| 研究課題/領域番号 |
16H02874
|
|---|
| 研究機関 | 神戸大学 |
|---|
研究代表者 |
小澤 誠一 神戸大学, 数理・データサイエンスセンター, 教授 (70214129)
|
|---|
| 研究分担者 |
北園 淳 神戸大学, 工学研究科, 工学研究科研究員 (00733677)
大森 敏明 神戸大学, 工学研究科, 准教授 (10391898)
|
|---|
| 研究期間 (年度) |
2016-04-01 – 2020-03-31
|
| キーワード | 機械学習 / サイバーセキュリティ / ダークネット分析 / 連想ルールマイニング / IoTマルウェア / 広域観測 / 可視化 / 異常検知 |
|---|
| 研究実績の概要 |
2016年度に開発したDDoS攻撃検知システムにおいて,トラフィック特徴の観測期間に関する正規化手法を改良し,さらに同年度に開発したスキャン攻撃の特徴をルールとして抽出する連想ルールマイニングに詳細解析部を追加した.詳細解析部は,国情報,トラフィック可視化,マルウェア判定,インシデント調査で構成される.NICTが所有する/16ダークネットセンサで観測される通信トラフィックに対し,改良システムによる攻撃検知・観測を実行し,以下の結果を得た.
(1)2016年1月1日から1年間の観測データに対するDDoS攻撃検知システムの判定精度は,TCP通信に対してF値で0.976から0.977,UDP通信に対してF値で0.892から0.904に改善した.また,2019年3月まで観測を継続し,F値で90%以上の判定精度を得た.
(2)2016年7月1日から2018年12月31日の間,1億以上の固有ホストIPから送信された32,341,827,204のTCP/SYNパケットに対し,IPとTCPヘッダごとにトランザクションを作成し,最低支持数(最低ホスト数)が1000,最低確信度90%の条件で連想ルールマイニングを行った.その結果,2016年10月以降,IoTマルウェアとしてインターネットを席巻したMiraiは,Hajimeの出現によりTCP/5358,TCP/7547ポートが使用できなくなり,感染の拡大が抑制された.このことからMiraiとHajimeの競合関係を本解析で改めて確認した.
(3)2018年以降,MiraiやHajimeのシグネチャーを持たないダークネットトラフィックが増加し,宛先ポートで5件,TCPウィンドウサイズで1件,ToSで2件の相関ルールが抽出された.ベンダーが提供するセキュリティレポートでは,いずれのルールも特定のマルウェアとの関連性が言及されおらず,今後の調査を要する.
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
2: おおむね順調に進展している
理由
2018 年度において,情報通信研究機構(NICT)が所有する13個のダークネットセンサのうち,できるだけ多くのものを使用して解析することが目標であった.しかし,膨大なデータ量に見合った計算機リソースが欠如していたため,2018年度でのシステム構築を断念した.この点は当初の計画から遅れているが,DDoS攻撃検知システムおよびスキャン攻撃検知用連想ルールマイニングシステムのいずれに対しても,2016年1月1日以降,現在に至るまで追加学習を継続しており,DDoS攻撃については,F値で平均90%以上の検知精度を維持できている.また,スキャン攻撃についても,次々に現れるIoTマルウェアの亜種の変遷をとらえることに成功しており,リアルタイム検知・分類のためのオンライン学習方式の開発については,当初の計画通り,研究は順調に進んでいる.一方,当初予定していた追加学習可能なt-SNE学習アルゴリズムの開発が遅れており,現在のところ,サイバー攻撃の可視化に対するオンライン学習方式の開発が完了していない.この理由として,観測済みデータと追加観測データとの高次元空間でのトポロジーを保存したまま,追加観測データの低次元空間表現を実現するには,観測済みデータの低次元写像表現の頑強性を実現する制約項の導入が必要であるが,これに成功していないためである.次年度での開発を目標とする.
|
| 今後の研究の推進方策 |
2019年度では,情報通信研究機構(NICT)の協力のもと,計算リソースを見直することで、13個のダークネットセンサのうち,できるだけ多くのものを使用して、観測の大規模化と詳細なサイバー攻撃の特徴を捉えられるようにサイバー攻撃システムの高機能化を目指す.また,スキャン攻撃検知のための連想ルールマイニングシステムにおいて,現在,抽出されるルール数が非常に多いため,マルウェアの特徴を直感的に捉えることが難しいことが問題になっている.これを改良するため,高い関連性をもつルール同士を統合して簡単化する手法を開発し,これを追加学習可能なかたちで実装する.また,マルウェア亜種の検知をダークネット観測に基づいた受動的な方法だけでなく,敵対的生成ネットワークなどを用いて,攻撃パターンの変化を予測しながら追跡して能動的に観測を行う機械学習モデルの開発を試みる.さらに前述した通り,t-SNEの追加学習アルゴリズムを開発し,時々刻々と変化するサイバー攻撃に追従可能な可視化に対するオンライン学習方式を実現する.また,最終年度であることから,国際会議や英文ジャーナルに論文投稿を通して,本研究プロジェクトの研究成果を積極的に公開していく.
|
