68■概要サイバーセキュリティ研究室では、サイバー攻撃対処能力の絶え間ない向上と多様化するサイバー攻撃の対処に貢献するため、巧妙化・複雑化するサイバー攻撃に対応した攻撃観測・分析・可視化・対策技術、大規模集約された多種多様なサイバー攻撃に関する情報の横断分析技術、新たなネットワーク環境等のセキュリティ向上のための検証技術の研究開発を実施した。■令和3年度の成果1.STARDUSTの機能強化サイバー攻撃誘引基盤STARDUSTの並行ネットワーク構築機能の強化を進め、Geneve(Generic Network Virtualization Encapsulation)に基づくネットワーク仮想化及びオーバレイネットワークを実現し、任意の物理機材を接続した模擬環境の構築が可能となった。これにより、テレワーク環境、制御システム、クラウドなど、より多様な環境の模擬が可能になった(図1)。また、マルウェアを制御するC2(Command & Control)サーバの状態を観測し、適切なマルウェア解析のタイミングを把握可能なC2サーバ観測システムStargazerを開発した。2.CURE高度化とセキュリティキュレーションプロジェクト始動サイバーセキュリティ・ユニバーサル・リポジトリCUREに6種類のデータを新たに追加し、既存のものと合わせて17種類のデータの融合による多角的な分析環境が実現した。さらに、従来の観測したIoC(Indicator of Compromise:サイバー攻撃の痕跡情報)に自然言語処理によるキーワードでの自動的な意味付けを実現する2層モデルから、CUREに蓄えたデータに対して評価・分析を付加するFeedback-layerを追加した3層モデルへと機能強化した(図2)。サイバーセキュリティ情報に関する効率的な収集・要約の実現を目指し、セキュリティキュレーションプロジェクトを始動した。ベースとなるセキュリティ情報の自動収集を実現するため、セキュリティベンダのサイトを巡回し記事を収集する表層Webクローラを開発し、全29サイト・6年分の自然言語で記述された文章データセットを作成した。また、NICT内の研究開発の知見を最大活用するべく、ユニバーサルコミュニケーション研究所データ駆動知能システム研究センター(DIRECT)と連携し研究開発体制を強化した。3.AIによるマルウェア活動早期検知技術とアラート低減技術の高度化これまでに開発したDark-GLASSO、Dark-NMF、Dark-NTDの3種類の機械学習ベースのエンジンを一つのフレームワークに統合したDark-TRACERを構築した(図3)。このDark-TRACERを長期間リアルタイムに運用し、マルウェア活動の検知精度を定量的に評価した結果、偽陰性ゼロ(再現率100%)を達成した。また、早期検知処理において除外する必要のあるスキャンパケットに埋め込まれたイベント固有の特徴を遺伝的アルゴリズムにより特定する技術を開発し、実データを用いて有効性を確認した(国内学会CSS 2021学生論文賞受賞)。セキュリティアラートのトリアージ技術等の基礎検討図1 STARDUST機能強化図2 CURE高度化3.3.1サイバーセキュリティ研究室室長(兼務) 井上 大介ほか53名理論と実践を融合した最先端のサイバーセキュリティ研究
元のページ ../index.html#76