| 研究実績の概要 |
H29年度では,NICTが有する/16ダークネット(未使用IP群)センサーで観測される通信トラフィックに対し,H28年度に開発した2種類のサポートベクトルマシン(SVM)を組み合わせたサイバー攻撃検知・分類システムおよび連想ルールマイニングを使った攻撃検知・観測を継続的に実行し,以下の結果を得た.
(1)サイバー攻撃検知・分類システムのDDoS判定の精度は,追加学習を継続的に行った結果,2017年1月1日以降も2016年度と大きく変わらず,適合率,再現率,F値とも90%を超える精度を得た.
(2)2016年10月以降,世界を席巻したIoTマルウェア「Mirai」の9月以前の動向を調査した結果,TCPヘッダのWindows Size,ToS,宛先ポート番号に顕著なルールが出現し,ソースコードがダークウェッブやGitHubで公開される以前の2016年8月2日から9月3日頃にも表れていることが分かった.ソースコードは公開されていないにも関わらず,後に公開されたMiraiのソースコードの特徴を持っており,Miraiの開発者がテストを行っていたと推測される.
(3)2017年以降にも,連想ルールマイニングによってToSや宛先ポート番号に関して顕著なルールが出現している.特に2月以降にToS(104,40→8),ToS(224→0),ToS(0,40→8)などの頻出パターンが観測され,それぞれ特定の国に偏って分布しており,IoTを狙ったマルウェアは,その国でよく使われているIoT機器の脆弱性を利用する亜種であると推測される.また,2月7日から2月9日にdestport(32 (or 3232), 2323→23)など宛先ポート32や3232に関連した頻出ルールが出現し,Mirai亜種の挙動と推測される.
(4)2017年3月5日~29日において,destport(81, 88, 8000, 8080→80)など宛先ポート80, 81, 88, 8000, 8080を利用したルールが特定の国に突出して出現し,Miraiの条件と合致していることから,Mirai亜種であると推測される.
|
