これまでの成果を基に、IoTシステム向けの軽量かつ有効な検知法、SDN(Software Defined Network)環境での有効な攻撃検知法、日印連携のIoT環境での攻撃用マルウェアの分類・識別の研究をさらに改良・実装し、そしてパブリックなデータセットを利用しての性能実証を行う。本研究の成果を国内外の学会と論文誌に投稿する。
WP3|実施報告
IoTシステム向けの軽量かつ有効な検知法の研究開発
機械学習アルゴリズムを利用してリソースが少ないIoTシステムにも実装可能・軽量なサイバー攻撃検知システムを実現し、性能評価を行った。具体的には、次の3つの研究を同時に進めた。
[icon name=”angle-double-right” class=”” unprefixed_class=””] 新・特徴選択アルゴリズム|CST-GR
新しく提案した特徴選択アルゴリズム|CST-GRを用いて軽量かつ有効な攻撃検知システムの研究を行った。リソースの少ないRaspberry Piで実装、IoT環境から収集されたパブリックデータセットを使用して検知性能を検証した。このシステムは、攻撃の種類ごとに2段階で特徴を選択するCST-GRアルゴリズムを利用したことで、検知に用いる特徴の数を大幅に減らすことを可能とする。この提案システムはRaspberry Pi環境に実装するのに十分なほど軽量でありながら、検出パフォーマンスをほとんど犠牲にしていないことを実証した。
同時に、多種類の機械学習アルゴリズムの検証を行った。RF(ランダムフォレスト)の検出精度(TPRおよびFPR)は、J48(決定木)よりわずかに優れているが、J48の検出時間はRFよりも約10倍高速であった。検証の結果、本提案にはJ48が最適であり、本研究成果は国際学術雑誌Electronics(査読有)の2020年1月号に出版された。
[icon name=”angle-double-right” class=”” unprefixed_class=””] 複数の攻撃を逐次検出するシステム
複数の攻撃を逐次検出するシステムを提案・実現および性能実証した。 各分類器がそれぞれ特定の攻撃に対して特徴選択、トレーニングされることで、より良い検知性能を達成することが実証できた。本研究の成果は国際会議IEEE CyberSciTech2019(査読有)に発表した。
[icon name=”angle-double-right” class=”” unprefixed_class=””] シーケンシャル攻撃検知システム
複数の分類器を利用して総合的に検知性能をあげるシーケンシャル攻撃検知システムの実装および性能実証を行った。既存のシステムでは通常、検知率を高くすれば偽アラート数が多くなる。本研究では、この両方を改善できるシーケンシャル検知システムを提案・実装し性能も実証した。この成果は国際会議CANDAR2019(査読有)に発表した。
SDN環境での有効な攻撃検知法の研究開発
IoT時代によく利用されるSDN環境での攻撃検知を効率的に実現するために、閾値の自動抽出技術の研究を続けた。これまで利用してきた自動抽出方法をさらに一般化し、その性能を検証している。既存の検知案の多くはトリガーを導入した2段階の方法であるが、トリガーの条件は検知性能(特に偽陽性率と偽陰性率)に直接関連しているので、本WPではより相応しいトリガー条件の研究も行っている。
IoTマルウェアの分類法の研究開発
既存研究でプログラムコードから濃淡画像を生成し、畳み込み深層ニューラルネットワーク(CNN: Convolutional Neural Network)によりマルウェア識別を行う手法は提案されていた。しかし、既存の画像処理CNNアルゴリズムの実装では、5層とおよそ2千個のノードを必要としていた。これに対して我々は、CNNへの入力画像の前処理に最近傍法を導入し、画像の近似軽量化を行い、2層と100個程度のノードからなるCNNの小型実装化を図った。実装実験により、CNNの軽量化に伴う精度劣化を評価したが、95% の精度と既存手法と同精度でマルウェア識別が可能であることを実証した。さらに、正常なソフトウェアと現実のIoTマルウェアであるMiraiとGafgyftとの3種間での識別精度は70%以上であることも実証し、提案手法の有効性を示した。