2021年度の研究では、2020年度までに検討した手法をシステムとして実装し、その評価と外部発表を行った。開発したシステムは、これまでの検討内容を実際のLinuxシステム上に実装したもので、IDS/IPS等で外部との不正な通信を検知した際に、その攻撃源を見つけるシナリオを想定し、システムコールログを半自動的に解析した上で、関連するプロセス及びファイルを一連の悪性活動として紐付け・可視化することを実現したものである。このシステムの評価としては、i) 具体的な攻撃シナリオを再現し、悪性活動の紐付け・可視化ができることの確認、ii) i)の紐付け・可視化が人間による分析の支援となることの確認、iii) 様々な現実の攻撃シナリオで悪性活動の紐付け・可視化ができることの確認、を行い、この有効性を示した。
また、このシステムの開発によって明らかになった課題、すなわち、一連の悪性活動を紐付ける際の、依存関係の爆発問題への対処方法、必要十分な分析期間の設定方法、時系列情報の表現方法、紐付け及び可視化の完全自動化方法、分析支援効果についてのより適切な評価方法等については、引き続き検討を進めた。同時に、このシステムをベースに、侵入の検出結果を集積し、攻撃意図の収集からその変化を調べ、縮退させた形で新たに設定するべき「新意図」候補の抽出を行う手法の検討と、それを検出ターゲットに設定することで、変化への適応能力を持たせるとともに、結果を管理者に提示する手法についての検討を行った。
|