2016 Fiscal Year Annual Research Report
Development of intellectual networks forensic technologies against targeted attacks
| Project/Area Number |
26330161
|
|---|
| Research Institution | Tokyo Denki University |
|---|
Principal Investigator |
佐々木 良一 東京電機大学, 未来科学部, 教授 (70333531)
|
|---|
| Project Period (FY) |
2014-04-01 – 2017-03-31
|
| Keywords | セキュアネットワーク / デジタルフォレンジクス / ネットワークフォレンジクス / 人工知能 / ルールベース / イベントログ |
|---|
| Outline of Annual Research Achievements |
標的型メール攻撃があった場合に、運用者に適切にガイドしたり、半自動運転したりすることを可能とするために、知的ネットワークフォレンジックシステムLIFTの基本方式を確立した。この方式は、AI技術の1つであるルールベースシステムとベイジアンネットワークなどを利用し、徴候ー事象―対策の関係を記述し、徴候群から事象並びに対策を明確にするものである。C#を用い約2000ステップのプロトプログラムを開発するとともにするとともに評価実験を行うことにより過去に起きたのと類似の事象については5件中5件正しく発見できることを示した。また、表示画面について被験者によるアンケートを実施し、使い勝手については大きな問題がないことも確認した。これらによりLIFT方式の基本的有効性を確認することができた。
また、事象の推定の精度を上げるためプロセス情報とそのプロセスが発した通信に関するログを記録し、それらの関連付けを行うソフトOnmitsuを開発した。このソフトをネットワーク上のPCにインストールし、そのログを残すことにより不審な通信の原因となるPC内のプロセスを特定する事が可能となった。また、複数のPCのログを用いることにより、感染源の推定を可能とした。このOnmitsuの機能は企業に移管され、製品化され現場で利用されている。
現状のLIFTシステムは,既に発生した攻撃と同様な攻撃が起きた場合には対応できるが,新しい攻撃に対応するのは困難であるという問題があり、この問題を解決するためSuper-LIFTシステムの構想を固め、類似のウイルスの亜種の推移の統計分析により、次に出てくる亜種を予測する方式を提案した。
|
