AI（人工知能）技法を活用した未知のサイバー攻撃検知手法の研究

• 研究課題/領域番号: 17K00187
• 研究種目: 基盤研究(C)
• 配分区分: 基金
• 応募区分: 一般
• 研究分野: 情報セキュリティ
• 研究機関: 新潟県立大学
• 研究代表者: 高原 尚志 新潟県立大学, 国際地域学部, 准教授 (90340132)
• 研究分担者: 櫻井 幸一 九州大学, システム情報科学研究院, 教授 (60264066)
• 研究期間 (年度): 2017-04-01 – 2020-03-31
• 研究課題ステータス: 交付 (2017年度)
• 配分額: 4,550千円 (直接経費: 3,500千円、間接経費: 1,050千円); 2019年度: 1,300千円 (直接経費: 1,000千円、間接経費: 300千円); 2018年度: 1,300千円 (直接経費: 1,000千円、間接経費: 300千円); 2017年度: 1,950千円 (直接経費: 1,500千円、間接経費: 450千円)
• キーワード: サイバー攻撃 / 攻撃検知 / 機械学習 / Random Forest / 教師あり学習 / K-Means / 教師なし学習 / マルウエア

研究実績の概要

ネットワーク型侵入検知について、機械学習手法を応用して、未知の攻撃を検知する手法を開発し、評価を行った。具体的には、主に次の３点を中心に研究を進めた。
（１）機械学習のアンサンブル手法であるRandom Forestと教師なし学習手法であるK-Means法を組み合わせることにより、未知の攻撃を検知する方法を提案し、既存の機械学習手法による評価結果と比較して、提案手法が優れていることを示し、関連シンポジウムにおいてその成果を発表周知した（"Random ForestとK-Means法を組み合わせたハイブリッド型攻撃検知方式の検証評価," CSS2017, “機械学習手法を用いたサイバー攻撃検知に関する検討 ～新Kyoto 2006+を用いた評価～, CSS2017, "Kyoto2016 Datasetによるサイバー攻撃検知のための機械学習手法の評価," IBIS2017)。
（２）（１）の際、用いた評価用データセットにおいて、攻撃通信と正常通信の割合が現実的でないとの指摘を受けた。そこで、現実的な攻撃通信と正常通信の割合について、関連シンポジウムなどでポスター発表などを行い研究者から意見を求めた。この際、評価用データセットの信頼性という観点も新たな課題として浮上したため、現在用いられている評価用データセットについて、その信頼性という観点から研究を進めているところである。
（３）侵入検知の観点から、現在、現実にどのような攻撃が行われているのかを探求するため、ウイルス対策各社がまとめた最新の報告書をもとに、現在のサイバー攻撃の状況をまとめ、その対策も含め、論文にまとめて、広く周知した（"日本におけるサイバー攻撃の事例研究," 国際地域研究論集）。

現在までの達成度 (区分)

2: おおむね順調に進展している

理由

前年度に、十分な準備をしたこともあり、概ね順調に進んでいる。
（１）未知の攻撃を検知するという目標を達成することを目指して、機械学習を用いた手法の開発に力点を置いていた。具体的には、現在までの攻撃データを学習データとして検知を行うシグネチャー型検知手法と既存の攻撃データを参考にせずに検知を行う教師なし学習を用いた手法を組み合わせる（ハイブリッド型検知）ことにより、検知率（Detection Rate: DR）の向上を目指し、関連シンポジウムなどで発表した("Random ForestとK-Means法を組み合わせたハイブリッド型攻撃検知方式の検証評価," CSS2017, “機械学習手法を用いたサイバー攻撃検知に関する検討 ～新Kyoto 2006+を用いた評価～, CSS2017, "Kyoto2016 Datasetによるサイバー攻撃検知のための機械学習手法の評価," IBIS2017)。
（２）上記とは別に、研究手法の信頼性の保証方法の研究も進めている。具体的には、次の2つの観点から研究を進めている。①開発した手法を実現するソフトウエアの信頼性の保証、②①で実装した手法を評価するための評価用データセットの分析及びその信頼性の保証
①については、バグなどの観点から独自に開発したソフトウエアよりも広く用いられている既存のソフトウエアパッケージを用いた方が研究自体の信頼性を得られやすいのではんないかという結論に達し、②については、用いるデータセットについては、同じネットワーク環境で得られ、かつ公開されているデータセットを用いることによって他者による検証が可能となり、評価結果の信頼性が増すのではないかと考えている。
上記の考え方に基づき、現在研究を進めているところである。

今後の研究の推進方策

今後の研究は、次の手順で行う予定である。
（１）評価用データセットを、①データを取得したネットワークの構成、②データセット自体の特性などを中心に分析を進める。また、用いるデータセットの有効性という観点から、データが古い、冗長的であるなどの課題があるが、世界中で公開されているデータセットをサーベイして、上記有効性も含めた観点から、結果をまとめる。
（２）既存の手法及び開発した手法について、上記データセットを用いて評価し、その実用性を確認する。
（１）及び（２）の結果は、適宜ジャーナルやシンポジウム、国際会議などで発表し、周知するとともに、他の研究者からの意見も広く求め、今後の研究の一助とする予定である。

研究成果

• [雑誌論文] Random ForestとK-Means法を組み合わせたハイブリッド型攻撃検知方式の検証評価 (2017)
  • 著者名/発表者名: 高原尚志
  • 雑誌名: コンピュータセキュリティシンポジウム2017論文集 巻: 2017 ページ: 21-28
  • NAID: 170000176325
• [雑誌論文] Kyoto2016 Datasetによるサイバー攻撃検知のための機械学習手法の評価 (2017)
  • 著者名/発表者名: 高原尚志
  • 雑誌名: 電子情報通信学会技術研究報告 巻: 166 ページ: 55-62
• [雑誌論文] 日本におけるサイバー攻撃の事例研究 (2017)
  • 著者名/発表者名: 高原尚志
  • 雑誌名: 国際地域研究論集 巻: 9 ページ: 39-55
  • NAID: 120006648205
  • 査読あり / オープンアクセス
• [雑誌論文] A Detection System for Distributed DoS Attacks Based on Automatic Extraction of Normal Mode and Its Performance Evaluation (2017)
  • 著者名/発表者名: Y.Feng, Y.Hori, K.Sakurai
  • 雑誌名: Proc. of SpaCCS 2017, Springer LNCS 巻: 10656 ページ: 461-473
  • DOI: 10.1007/978-3-319-72389-1_37
  • ISBN: 9783319723884, 9783319723891
  • 査読あり
• [学会発表] Random ForestとK-Means法を組み合わせたハイブリッド型攻撃検知方式の検証評価 (2017)
  • 著者名/発表者名: 高原尚志
  • 学会等名: コンピュータセキュリティシンポジウム2017
• [学会発表] 機械学習手法を用いたサイバー攻撃検知に関する検討 ～新Kyoto 2006+を用いた評価～ (2017)
  • 著者名/発表者名: 高原尚志
  • 学会等名: コンピュータセキュリティシンポジウム2017
• [学会発表] Kyoto2016 Datasetによるサイバー攻撃検知のための機械学習手法の評価 (2017)
  • 著者名/発表者名: 高原尚志
  • 学会等名: 第20回情報論的学習理論ワークショップ
• [学会発表] A Detection System for Distributed DoS Attacks Based on Automatic Extraction of Normal Mode and Its Performance Evaluation (2017)
  • 著者名/発表者名: Yaokai Feng
  • 学会等名: Security, Privacy, and Anonymity in Computation, Communication, and Storage - 10th International Conference, SpaCCS 2017
  • 国際学会