| 研究課題/領域番号 |
19K11961
|
|---|
| 研究機関 | 名古屋大学 |
|---|
研究代表者 |
山口 由紀子 名古屋大学, 情報基盤センター, 助教 (90239921)
|
|---|
| 研究期間 (年度) |
2019-04-01 – 2022-03-31
|
| キーワード | サイバーセキュリティ |
|---|
| 研究実績の概要 |
本研究では中規模程度の組織を対象とする標的型攻撃において、インターネットとの接続点に設置したIDSで大量の外向き通信が検知されるなどの情報窃取などの痕跡が発見された時点から組織内部の侵入被害を調査するための手法を提案するものである。本研究では通信の中身(ペイロード)を含まないヘッダ情報を使うことでデータ収集の負荷を軽減し、長期間のデータ収集を可能とする。そこで本研究ではNetFlowによる組織内通信データの収集と感染経路推定を行う。実験ネットワークは、組織内の複数の部署サブネットとサーバセグメントからなるイントラネットから構成され、各サブネットを接続するルータにおいてNetFlowにより通信データを収集してログ収集サーバへ転送するものである。
昨年度までに、部署サブネットやサーバセグメントをPC1台に仮想環境を構築して実現し、複数台のPCをルータに接続してイントラネット通信およびインターネット通信が可能な環境を構築した。当該ルータにおいてNetFlowデータを構築して送出し、ログ収集サーバにおいて受信する環境を構築した。
今年度は、各部署の日常的なネットワーク利用のデータ収集を行うとともに、機械学習を行う解析環境の構築を行った。イントラネット内の各端末について、組織内部で日常的に実行するネットワークを利用した作業をタスクスケジューラで設定し定期的に自動実行するようにした。また、収集したNetFlowデータについて機械学習要のデータとするための特徴量抽出について検討した。しかしながら、平常時モデルの構築や、標的型攻撃で行われる侵入、侵入拡大、情報窃取、情報流出のシナリオに沿った模擬攻撃の実施までにはいたらなかった。
一方、本研究課題の関連研究として、組織における脅威情報の自動抽出や機械学習を用いたマルウェア検知システムに関する研究を行い、研究成果の発表を行った。
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
3: やや遅れている
理由
中規模組織を模した実験ネットワークで日常的なネットワーク活動のデータ収集環境を利用したNetFlowデータの収集を行うとともに、並行して機械学習環境を構築した。一方で、標的型攻撃のシナリオ検討とその実現に時間がかかり、データ収集ができなかったため、機械学習によるモデル構築もできなかった。
|
| 今後の研究の推進方策 |
実験ネットワークを利用した平常時の通信データの収集を継続するとともに、標的型攻撃のシナリオ実施を早急に進める。平常時データ、攻撃時データが揃い次第、機械学習によるモデル構築を行う。
|
| 次年度使用額が生じた理由 |
2020年2月末より広がった新型コロナウィルス感染により、引き続き2020年度も国際会議、国内学会、研究会などがすべてオンライン開催となった。そのため、成果発表や情報収集のために予定していた出張がすべてキャンセルとなり、計画どおりの予算執行ができなった。
2021年度後半には各種学会も現地開催されることが予想されるので、積極的に参加する予定である。また、実験環境の拡充も進める予定である。
|
