サイバーセキュリティ (Cyber Security)
矢向研究室ではサイバーセキュリティに関する研究を行っています。特に、マルウェア検出や、不正アクセスの特徴量検出、実際のアクセスを遮断する機構の実装などが研究テーマとなっています。
不正アクセス検知
サイバー犯罪の件数は近年増加の一途をたどっています。その原因の1つとしてあげられるのがIoT機器に大規模感染するボットネット型ウイルスです。ボットネット型ウイルスの特徴は、PCだけでなく防犯カメラ、テレビなどの多くのIoT機器に感染し数万台にも感染することです。また、ボットネット型の代表的なウイルス"mirai"のソースコード公開に伴い、感染端末数は非常に増加しています。被害の実例としては、twitterやNetflixなどの大手ウェブサーバーが一時的にダウンすることもあります。このようなボットネット型のウイルスによる被害の対策として、矢向研究室ではハニーポットと言われる囮のサーバーをたてて、不正アクセスの監視、ならびにウイルスの収集を行なうことでボットの傾向を算出し、通信のブロック、遮断時間の検討を行なっています。現在 (2018年10月) に関しても、1日あたり3万件ほどの不正アクセスが観測されています。
最終的な研究課題としては、不正アクセスに関する特徴量検出を機械学習を応用して抽出できるよう時系列を含めた特徴量の数値化、検出アルゴリズムの作成です。
ハニーポット(T-Pot)のアクセス解析結果
不正アクセス制御機構
攻撃者 (attacker) はボットネットを管理するサーバーを通して標的 (user) に対して攻撃を仕掛けます。このような攻撃検知に関する研究は多く存在します。
そこで、矢向研究室では、IP アドレスベースでブロックすると攻撃者が動的IPを割り振るISPを利用している場合に以後適切でないブロッキングが行われてしまう可能性、また、同じIPアドレスをNAPTなどで複数のデバイスが 利用している場合にも必要以上のブロッキングが行われることを考慮し、ブロッキングを攻撃が来ている間のみ行い、攻撃が終了するとブロッキングを解除するような システムの提案をします。また、不正アクセスと判断された物に関してはOpenflow技術を用いてハニーポットに誘導するシステムの構築も目指しています。最終的にはこの機構を用いて不正アクセス遮断を解除することの有用性を示すことが目標となっています。
