| 研究課題/領域番号 |
16H02874
|
|---|
| 研究機関 | 神戸大学 |
|---|
研究代表者 |
小澤 誠一 神戸大学, 工学研究科, 教授 (70214129)
|
|---|
| 研究分担者 |
大森 敏明 神戸大学, 工学研究科, 准教授 (10391898)
北園 淳 神戸大学, 工学研究科, 工学研究科研究員 (00733677)
|
|---|
| 研究期間 (年度) |
2016-04-01 – 2020-03-31
|
| キーワード | 機械学習 / サイバー攻撃 / ニューラルネット / DDoS攻撃検知 / ダークネット / 可視化 / 連想ルールマイニング / t-SNE |
|---|
| 研究実績の概要 |
H28 年度では,ダークネットで観測される通信トラフィックからサイバー攻撃の検知・分類・可視化が可能となるよう,機械学習を導入した(1)検知・分類方式と(2)可視化方式の開発に取り組んだ.
(1)については,TCP通信とUDP通信のトラフィック特徴に対して独立した外れ値検出(L1-SVM)とL2-SVM識別器を組み合わせたハイブリッド型DDoS 攻撃検知システムを開発し,2016年1月1日から同年12月31日までにNICTのダークネットセンサで観測されたトラフィックデータをオンライン学習し,DDoS攻撃判定を行った.なお,ダークネットトラフィックを特徴ベクトルに変換する際に使う時間窓を30秒から1時間までの複数個設定し,1ホスト当たりの特徴ベクトル数を増やして,多様な攻撃パターンに対応できるよう改良した.その結果,1年間にわたる平均オンライン性能は,適合率0.94, 再現率0.93,F値0.93となり,安定して高精度にDDoS判定が行えることを実証した.また,識別器モデルに線形L2-SVM,k近傍法,ランダムフォレスト,RBFネットワークを導入した場合の性能を調べ,非線形L2-SVMの優位性を検証した.また,FP-Treeと呼ばれる連想ルールマイニング手法を適用し,2016年度9月下旬以降に大流行したIoTマルウェアMiraiと疑われる挙動を捉え,大流行以前の挙動と9月下旬のソースコード公開以後の挙動とに特徴的な違いがあることを発見した.
(2)については,t-SNEと呼ばれる可視化手法において,いったん得られた解を新たな初期に設定してオンラインで2次元マップを更新する方法を提案した.2014年2月1日のデータを用いて,1時間ごとにt-SNEによる可視化結果を求めたところ,DDoS攻撃を受けたホストの変化が捉えられ,DDoS攻撃以外の攻撃が新たに出現する様子などが観測された.
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
2: おおむね順調に進展している
理由
初年度の研究計画から大きなずれはなく,研究はおおむね順調に進んでいる.但し,いくつかの点で当初見込んでいた条件が整わず,H28年度に完成できなかった点があるので,それを以下にまとめる.
(1)観測対象とするダークネットセンサとして,/16の1センサからNICTが所有する13個のすべてのセンサを使用することになっていたが,NICTから神戸大学に対してデータ共有する環境が間に合わず,従来通りの1センサでの観測データを使用した性能評価となった.
(2)ダークネットトラフィックの時空間特徴を陽に考慮するため,スパイキングニューラルネットの活用を予定していた.しかし,協力研究者であるNikola Kasabov教授が開発しているNeuCubeと呼ばれるスパイキングニューラルネットのソースコードを提供して頂く条件として,オークランド工科大学(ニュージーランド)と神戸大学の間で共同研究契約を結ぶ必要があった.この契約がH28年度には間に合わず,上記研究の進展に影響が出た.
|
| 今後の研究の推進方策 |
特に大きな変更を予定しておらず,当初の予定通り推進していく.但し,本研究プロジェクトの成果を論文化する際,DDoS攻撃やその他のサイバー攻撃を検知した結果が正しいかどうかの検証が必要との指摘を得た.このような検証を行うためには,各国のCERTサイトや攻撃者,ホワイトハッカーなどが情報提供しているサイバー攻撃に関するニュースや掲示板,SNSを利用して,事実認定していく必要がある.これについては,現在,セキュリティ分野で行われているインシデント管理の方法を調査中であり,セキュリティの専門家ともコンタクトを取って,その方法を検討中である.
|
