多種類サイバー攻撃の高速検知のためのヒストグラムデータベースの応用研究

• 研究課題/領域番号: 25330131
• 研究種目: 基盤研究(C)
• 配分区分: 基金
• 応募区分: 一般
• 研究分野: マルチメディア・データベース
• 研究機関: 九州大学
• 研究代表者: 馮 尭楷 九州大学, システム情報科学研究科(研究院, 助教 (60363389)
• 研究期間 (年度): 2013-04-01 – 2016-03-31
• 研究課題ステータス: 完了 (2015年度)
• 配分額: 4,810千円 (直接経費: 3,700千円、間接経費: 1,110千円); 2015年度: 1,170千円 (直接経費: 900千円、間接経費: 270千円); 2014年度: 1,170千円 (直接経費: 900千円、間接経費: 270千円); 2013年度: 2,470千円 (直接経費: 1,900千円、間接経費: 570千円)
• キーワード: 分散型攻撃 / 挙動に基づく異常検知 / サイバーセキュリティ / ポートスキャン攻撃 / DRDoS攻撃 / DNS amp 攻撃 / DDoS攻撃 / C&C 通信 / ポートスキャン / Behavior mode / behavior-based detection / Frequency distribution / Learning algorithm / Cyber attacks / Distributed attacks / Port scan attacks / 挙動に基づいた検知 / 評価関数

研究成果の概要

１）多種類のサイバー攻撃を検知するための特徴量を決定し、機械学習を利用して検知性能を確認した。具体的に言えば、DRDoS攻撃、DNSアンプ攻撃、DDoS攻撃の予兆およびポートスキャンの検知でした。
２）既存に収集したサイバー攻撃の挙動を更に詳しく分析する上で、検知するための必要なヒストグラムの構成法および通常時挙動モードの抽出法を詳細的に検討して、その性能も実証した。
３）大規模多次元のパケット流れからヒストグラムを動的高速に構築する方法を考案して、その性能を確認した。

研究成果

• [雑誌論文] 挙動に基づくポートスキャン検知の自動化に向けた学習アルゴリズムの提案とその性能評価 (2015)
  • 著者名/発表者名: 王サン, フォン ヤオカイ, 川本 淳平, 堀 彰良, 櫻井 幸一
  • 雑誌名: 情報処理学会論文誌 巻: 56(9) ページ: 1770-1781
  • 査読あり / 謝辞記載あり
• [学会発表] ランダムフォレストを用いたボットネットの検出 (2016)
  • 著者名/発表者名: 呂 良, フォン ヤオカイ, 川本 淳平, 櫻井 幸一
  • 学会等名: 電子情報通信学会総合大会2016
  • 発表場所: 福岡
  • 年月日: 2016-03-16
• [学会発表] 機械学習を利用したDRDoS攻撃検知の提案とその性能実証 (2016)
  • 著者名/発表者名: 高 宇軒, フォン ヤオカイ, 川本 淳平, 櫻井 幸一
  • 学会等名: 第33回 暗号と情報セキュリティシンポジウム(SCIS2016)
  • 発表場所: 熊本
  • 年月日: 2016-01-22
• [学会発表] 挙動に基づくDNSアンプ攻撃の検知 (2015)
  • 著者名/発表者名: 蔡龍洙, フォン ヤオカイ, 川本 淳平, 櫻井 幸一
  • 学会等名: コンピュータセキュリティシンポジウム2015 (CSS2015)
  • 発表場所: 長崎
  • 年月日: 2015-10-23
• [学会発表] パケットマーキングとロギングを用いたサイバー攻撃に対するトレースバック (2015)
  • 著者名/発表者名: 李 鵬飛, フォン ヤオカイ, 川本 淳平, 櫻井 幸一
  • 学会等名: コンピュータセキュリティシンポジウム2015 (CSS2015)
  • 発表場所: 長崎
  • 年月日: 2015-10-23
• [学会発表] 挙動に基づく検知手法に向けてパラメータなしの学習アルゴリズムの提案と検証 (2015)
  • 著者名/発表者名: 王サン, フォン ヤオカイ, 川本 淳平, 堀 良彰, 櫻井 幸一
  • 学会等名: 第67回電気関係学会九州支部連合大会講演論文
  • 発表場所: 鹿児島大学
  • 年月日: 2015-09-18 – 2015-09-19
• [学会発表] A Proposal for Detecting Distributed Cyber-Attacks Using Automatic Thresholding (2015)
  • 著者名/発表者名: Yaokai Feng, Yoshiaki Hori, Kouichi Sakurai
  • 学会等名: the 10th Asia Conference on information security
  • 発表場所: Taiwan
  • 年月日: 2015-05-26
  • 国際学会
• [学会発表] A Behavior-based Engine for Detecting Distributed Internet Attacks and its Performance Investigation (2015)
  • 著者名/発表者名: フォン ヤオカイ, 堀良彰, 櫻井 幸一
  • 学会等名: 第32回 暗号と情報セキュリティシンポジウム(SCIS2015) ,2015.01.20.
  • 発表場所: 小倉市（福岡県）
  • 年月日: 2015-01-21 – 2015-01-25
• [学会発表] 挙動に基づくポートスキャン検知手法に向けたパラメータなしの学習アルゴリズムの提案とその性能評価 (2015)
  • 著者名/発表者名: 王サン, フォン ヤオカイ, 川本 淳平, 堀良彰, 櫻井 幸一
  • 学会等名: 第32回 暗号と情報セキュリティシンポジウム(SCIS2015) ,2015.01.20.
  • 発表場所: 小倉市（福岡県）
  • 年月日: 2015-01-21 – 2015-01-25
• [学会発表] An Approach for Detecting Distributed Cyber-Attacks (2015)
  • 著者名/発表者名: Yaokai Feng, Yoshiaki Hori, Kouichi Sakurai
  • 学会等名: The 8th Workshop WAIS2015
  • 発表場所: ソウル
  • 年月日: 2015-01-08 – 2015-01-09
• [学会発表] A Learning Algorithm for the Threshold in Behavior-based PortScan Detection and Its Evaluation (2015)
  • 著者名/発表者名: Can Wang, Yaokai Feng, Junpei Kawamoto, Yoshiaki Hori, Kouichi Sakurai
  • 学会等名: The 8th Workshop WAIS2015
  • 発表場所: ソウル
  • 年月日: 2015-01-08 – 2015-01-09
• [学会発表] A Parameterless Learning Algorithm for Behavior-Based Attack Detection (2014)
  • 著者名/発表者名: Can Wang, Yaokai Feng, Junpei Kawamoto, Yoshiaki Hori, Kouichi Sakurai
  • 学会等名: 9th Asia Conference on information security
  • 発表場所: 武漢（中国）
  • 年月日: 2014-09-24 – 2014-09-26
• [学会発表] 挙動に基づく分散型攻撃の検知案の再考 (2014)
  • 著者名/発表者名: フォン ヤオカイ
  • 学会等名: 31回 暗号と情報セキュリティシンポジウム(SCIS2014)
  • 発表場所: 鹿児島市
• [学会発表] ポートのアクセス数分布によるポートスキャン検知 (2014)
  • 著者名/発表者名: Can Wang, フォン ヤオカイ
  • 学会等名: 31回 暗号と情報セキュリティシンポジウム(SCIS2014)
  • 発表場所: 鹿児島市
• [学会発表] A Behavior-Based Port Scan Detection by the Distribution Diagram of Accessed Ports (2014)
  • 著者名/発表者名: Can Wang, Yaokai Feng
  • 学会等名: The Seventh Workshop among Asian Information Security Labs (WAIS2014)
  • 発表場所: 上海（中国）