ここから本文です
研究室
情報セキュリティ研究室

情報セキュリティ研究室

2016年電子情報通信学会総合大会 「DI-1 国際連携によるサイバー攻撃の予知・即応」セッション聴講報告

2016IEICE総合大会 「DI-1 国際連携によるサイバー攻撃の予知・即応」報告

日時: 2016.3.18(金)9:30~12:30
sessionchair
会場:西講義棟 3F 第4講義室
座長: 櫻井幸一(九大)
報告者: 馮 尭鍇(フォン ヤオカイ)特別研究員(九州大学),松本研究員

 

 

DI-1-1  “PRACTICE ― 国際連携によるサイバー攻撃の予知・即応プロジェクト―”, 千賀 渉・○蒲谷武正・村上洸介・中尾康二(KDDI)

  • PRACTICE概要.目的,研究開発目標
  • NICTERの動画紹介
  • 予兆解析における機能: Darknet, Sandbox, Honeypot
  • 分担と他機関連携,KDDI担当部分
  • 事例: マレーシア政府系サイトへの攻撃の検知

Q.(座長)センサーを海外に設置しないと観測できないと言われたが,理想としては世界にセンサーをばらまくことになるのか?

A.多数おけばカバー率は上げられ,効果はあげられるとは思うが,費用対効果の問題もある.

 

DI-1-2  “DR-DOS攻撃のリアルタイム検知と即時警報システム”,○吉岡克成・牧田大佑・西添友美・松本 勉(横浜国大)・井上大介・中尾康二(NICT)

  • DRDoS攻撃とは.DNSamp攻撃
  • DRDoS Honeypot(AmpPot)の説明
  • ISPによるDOS検知と,PRACTICEによる検知の比較(早期検知)
  • 短い攻撃(300secなど)は,DDoS攻撃代行サービスのお試し?
  • Operation KillingBayの攻撃事例

Q.6台で2万件/日検知といわれたが,台数を増やせばもっと検知できる?

A.台数と検知数の関係は,1台増やして検知できるのは漸減する.10台程度で飽和する.ドイツのSaarland大では世界中にCloudを使って設置している.DRDoSは国内においたものでも検知できる.これは効果を上げるため数を動員しているから.

Q.(座長)攻撃代行お試しは使われた?

A.使ってはいない.支払はbitcoinになる

 

DI-1-3  “ISP運用におけるハニーポットセンサ観測データを用いたサイバー攻撃予測の評価”, ○浦川順平・澤谷雪子・山田 明・窪田 歩(KDDI研)・牧田大祐・吉岡克成・松本 勉(横浜国大)

  • DDoS攻撃対策の必要条件
  • 高精度な判定,早期検知,対処実施判断を支援するアラートを発行
  • ハニーポットアラートとバックボーンのDDOS検知を突合
  • 検証結果: 検知精度/速度,規模推定実現性

Q.(座長)当該結果はKDDIでのオペレーションに利用されているか?

A.Honeypotはtuningなどが施された上でKDDIで運用されている.

DI-1-4  “DRDoS攻撃予兆情報のISPへの配信と利活用事例”, ○則武 智・大村 優・  岡崎秀哉・高橋竜平(NTTコミュニケーションズ)

  • ISP事業者の立場としてのDoS対策
  • 対策が必要となるケース
  • 実証実験: DRDOS攻撃情報を運用に反映させる
  • 予兆アラート配信,配信メッセージ例, DDoS検知事例
  • アラート利活用事例

Q.(座長)ISP事業者の結びつきは.

A.テレコムISACの枠組内で行っている.加入費用はISPの規模による.

Q.(座長)単独でビジネス展開する展望は?

A.NTTCOMとしてはない.ただOCNでは規模が大きいので先に検知可能といった話もある

DI-1-5 “PRACTICEにおける情報共有基盤の構築” ○畑 太一(ジャパンデータコム)・井沼 学(城西大)・四方順司(横浜国大)・今村 祐・竹内 新(ジャパンデータコム)

  • PRACTICE の研究開発内容および自社の役割分担(情報共有基盤の構築)
  • PRACTICEのデータフロー
  • JDC(ジャパンデータコム)の担当:
    • 解析デ―タ管理システム;複数の研究機関から出力される多種多様なサイバー攻撃情報に(タグリストを利用)共通のタグを付加して正規化してからドキュメント指向データベースのElasticSearchに蓄積する.その正規化サイバー攻撃情報を突合して統合解析し,連携国に有効なアラートをポータルサイトに表示,通知など行う.
    • B―NONSTOPシステム: 情報提供元にリモート接続して,機微データをDP 内で解析し,その解析結果を外部に転送可能としたシステムである.
  • 情報共有基盤システムのフレームワークとして確立しており、様々な分野で利用が可能。しかし、プロジェクト終了後の移管先は未定。

Q.(座長) 研究成果は発表されたのでしょうか?

A.はい。国内研究会SCISで発表。

Q(座長)ビジネス化を考えていますでしょうか?

A.考えていないが、システムとして活用できればと考えております。

DI-1-6 “サイバーセキュリティにおけるデータ解析”○竹内純一・櫻井幸一(九州先端科技研)

  • ISITの課題:サイバー攻撃情報の類似性・局所性・時系列性解析技術
  • データスクリーニング技術
    • 半教師つき学習によるスクリーニング
    • 系列パタンスクリーニング前後のパケット数推移
    • スクリーニングの有無によるglassoエンジンの処理時間の差異
  • 解析エンジン群の開発とインシデント発見
    • glassoエンジン
    • 高感度グラフィカルモデル学習:グラフベース変化点検知エンジン
    • 高リスクポート検知エンジン:分散型攻撃検知エンジン
    • 信号源分解による高次元時系列解析 : テンソル分解エンジン
  • 大量マルウェアデータ分類技術
    • データ圧縮に基づくマルウェア分類:
    • マルウェア系統樹によるオンライン亜種分析と活用イメージ
  • 多次元属性データの可視化手法:Parallel Coordinates

Q.(座長)韓国の例の詳細は?

A.解明していない。

DI-1-7 “PRACTICEダークネットトラヒックへの時系列解析とスキャン特徴量によるスキャンツールなどの分類”, ○村井健祥・古本啓祐(神戸大)・村上洸介(KDDI)・中尾康二(NICT)・森井昌克(神戸大)

  • ダークネット解析の有効性について
  • 複数のダークネットトラヒックの解析: 国をまたいだサイバー攻撃の詳細な攻撃傾向の把握が可能となるが,一方で解析対象のデータ量が膨大なものになる
  • 提案:時系列分析や多変量解析手法を利用して,膨大な量のトラヒックデータを効率的に解析する手法について報告を行なってきた
  • 提案手法による出力結果: MDS(多次元尺度構成法)で3次元空間にマッピング.結果の突合せを行って、スキャンツールの種類を解明(Zmap, masscan, morto)した。

Q.(座長) 同じツ―ルでのスキャンデ―タは同じ国でしょうか?

A.異なる国からは同じ種類のスキャンを確認できました。

Q.(座長) 博士?
A. 修士です。

Q.(座長) 進学or就職?

A.就職です。

 

DI-1-8 “マルウェア長期観測・テイント解析の解析手法と観測結果”, 高田一樹・○岡田晃市郎(セキュアブレイン)・井上大介・中尾康二(NICT)

  • マルウェアの長期観測が必要: 近年のマルウェアはコマンドアンドコントロール(C&C)サーバからの指示により攻撃対象や動作を変更する
  • 長期観測システムの構成: KVM(Kernel-based Virtual Machine),アクセスコントローラ,デコードツール
  • テイント解析システムの構成: TEMU, テイント解析コントローラ、メモリ復元、アクセスコントローラ
  • バンキングマルウエアのC&C通信発見には、長期観測が非常に有効。
  • 常時約60 検体の長期観測を行っている.
    長期観測とテイント解析を組み合わせることで不正送金のVAWTRACK の攻撃対象の変化を観測することができた.
    またDyre の攻撃対象に国内の銀行が攻撃対象となったことを観測された.

Q.(埼玉大学 吉浦先生)攻撃者は多くのDOMAINを持っている可能性があります。検知されたDOMAINは警察の管理下でしょうか?

A.警察のところでそれらのDOMAINを無害化しています。