研究概要

本研究は、増加するサイバー攻撃に対抗するために、攻撃の兆候をリアルタイムに分析することで発生し得る攻撃とその深刻度、影響範囲を予測することを目指します。これにより、今まで担当者の属人的な能力にて担われていたセキュリティ事案に対する対応を、人工知能を用いてサポートします。さらに、本研究にて機械学習を用いたサイバー攻撃分析の手法と知見を確立し、そのデータと手法をオープンデータとして公開することを目指します。»さらに詳しく

最新情報

2018.06.13:Interop Tokyo 2018の展示ブースにて各種ライブデモを実施いたしました。
2018.04.11:プロジェクトウェブサイトをを公開しました。

研究成果

ソフトウェアパケット処理不審サイトを検出「Deep DNS Filter」

個人や組織を狙ったサイバー攻撃がインターネットインフラと利用者への大きな脅威となっている。日々新しい攻撃手法が生み出されており,防御する側はそれらの攻撃に対処しなくてならない。こうした未知や巧妙なサイバー攻撃を検知するためには,正常な通信やデータのパターンを予め定義し,正常から逸脱したものを検知するアノマリ型の検知手法が有効である。特に昨今では,深層学習をはじめとする機械学習技術を応用した検知手法が幅広く研究されている。

Deep-DNS-Fiiter

スケールアウト可能な高速ログ検索エンジン「Hayabusa」の実現

本研究では、大量のネットワーク、サーバ、セキュリティ機器から出力されるsyslogを時間軸検索に最適化したデータとして保存し、高速に検索可能な検索エンジンであるHayabusaを実現しました。複数台のサーバにHayabusaの処理を分散させることにより144億レコードのsyslogメッセージを約7秒で全文検索可能な性能を実現しました。またデータの保存量を優先させるために、ネットワークストレージを用いたHayabusa2を実装しオープンソースソフトウェアとしてリリースしました。

Hayabusa

フィッシングサイト識別エンジン「Phish Finder」

本研究では、ニューラルネットワーク技術を用いた詐称URLの判定を目指します。ウェブサイトに関する特殊な知識を利用せず、機械的に変換したURL文字列を用いて、PhishTank.comに登録されている詐称サイトと、通常アクセスによる安全なURLに対して提案手法を適用したところ、94%の正確性で二者を分類できることがわかりました。

PhishFinder

SYNパケットの画像化で悪性ホストをリアルタイムに判定「SynPicture」

本研究では、ネットワークを流れるパケットを画像化し、その画像に対して画像処理のための深層学習アルゴリズムを適用することで悪性ホストを検知する手法を提案しました。さらに、本提案手法を実践的なシステムとして実ネットワークに適用し、運用するための研究開発を行なっています。

SynPicture-1

インシデント対応時における意思決定支援に関する研究

本研究では、インシデント対応時に担当者が行うべき判断/行動といった意思決定をサポートするシステムの提供を目指しています。インシデント発生時に被害を最小化するためには、迅速で正確な求められ、そのためには十分なスキルと経験を持つ技術者の存在が欠かせません。本研究では、その様な技術者が持つ知見を蓄積し、またその知見を新規の事案発生時に適切に利用するため、インデント対応のワークフロー知見蓄積の観点から構築し、併せて利用されるデータの正規化に取り組んでいます。また、新たに機械学習/深層学習のモデルを構築することで、新規のインシデント発生時に過去の知見データから類似の事案を推薦し、適切な意思決定を促すための研究/開発を行っています。

Workflow1