多種類サイバー攻撃の高速検知のためのヒストグラムデータベースの応用研究

2015 年度 実績報告書

• 研究課題/領域番号: 25330131
• 研究機関: 九州大学
• 研究代表者: 馮 尭楷 九州大学, システム情報科学研究科(研究院, 助教 (60363389)
• 研究期間 (年度): 2013-04-01 – 2016-03-31
• キーワード: DRDoS攻撃 / DNS amp 攻撃 / DDoS攻撃 / C&C 通信 / ポートスキャン / Behavior mode

研究実績の概要

１）多種類の攻撃を検知するための特徴量を決めて、機械学習を利用して検知性能を確認しました。具体的に言えば、DRDoS攻撃、DNSアンプ攻撃、DDoS攻撃の予兆およびポートスキャンの検知でした。
2)既に収集しているサイバー攻撃の挙動を更に詳しく分析する上で、検知するための必要なヒストグラムの構成法および通常時挙動モードの抽出法を詳しく検討して、その性能も実証しました。
３）大規模かつ多次元のパケット流れからヒストグラムを動的かつ高速に構築する案を構築してその性能を確認しました。
異常検知を高速に行うために大量のパケットデータの状況をリアルタイムに追跡し、動的に移動　ヒストグラムを高速に構築する必要がある。ここでは、多次元移動パターンを部分次元空間に射影して必要な各種移動統計量を集約する。インクリメンタルなヒストグラムの更新及び精度のよい実現手法を開発しました。

研究成果

• [雑誌論文] 挙動に基づくポートスキャン検知の自動化に向けた学習アルゴリズムの提案とその性能評価 (2015)
  • 著者名/発表者名: 王サン, フォン ヤオカイ, 川本 淳平, 堀 彰良, 櫻井 幸一
  • 雑誌名: 情報処理学会論文誌 巻: 56(9) ページ: 1770, 1781
  • 査読あり / 謝辞記載あり
• [学会発表] ランダムフォレストを用いたボットネットの検出 (2016)
  • 著者名/発表者名: 呂 良, フォン ヤオカイ, 川本 淳平, 櫻井 幸一
  • 学会等名: 電子情報通信学会総合大会2016
  • 発表場所: 福岡
  • 年月日: 2016-03-16 – 2016-03-16
• [学会発表] 機械学習を利用したDRDoS攻撃検知の提案とその性能実証 (2016)
  • 著者名/発表者名: 高 宇軒, フォン ヤオカイ, 川本 淳平, 櫻井 幸一
  • 学会等名: 第33回 暗号と情報セキュリティシンポジウム(SCIS2016)
  • 発表場所: 熊本
  • 年月日: 2016-01-22 – 2016-01-22
• [学会発表] 挙動に基づくDNSアンプ攻撃の検知 (2015)
  • 著者名/発表者名: 蔡龍洙, フォン ヤオカイ, 川本 淳平, 櫻井 幸一
  • 学会等名: コンピュータセキュリティシンポジウム2015 (CSS2015)
  • 発表場所: 長崎
  • 年月日: 2015-10-23 – 2015-10-23
• [学会発表] パケットマーキングとロギングを用いたサイバー攻撃に対するトレースバック (2015)
  • 著者名/発表者名: 李 鵬飛, フォン ヤオカイ, 川本 淳平, 櫻井 幸一
  • 学会等名: コンピュータセキュリティシンポジウム2015 (CSS2015)
  • 発表場所: 長崎
  • 年月日: 2015-10-23 – 2015-10-23
• [学会発表] A Proposal for Detecting Distributed Cyber-Attacks Using Automatic Thresholding (2015)
  • 著者名/発表者名: Yaokai Feng, Yoshiaki Hori, Kouichi Sakurai
  • 学会等名: the 10th Asia Conference on information security
  • 発表場所: Taiwan
  • 年月日: 2015-05-26 – 2015-05-26
  • 国際学会