最近に始まったことではないですが、機械学習は最近物凄い人気ですよね。
私の知り合いでも機械学習を脆弱性診断に取り入れられないかを研究している人がいますね。
皆さんの周りでも機械学習(Deep Learning)を使用して何かをしようとしたりしてる人もきっといますよね。
今回はその機械学習を使用した技術についてのニュースの紹介です。
ニュースの概要
判定モデルの生成にあたり、大量のログから標的型攻撃などサイバー攻撃のふるまいを示すログを特定して抽出する技術と、抽出された少量の攻撃学習データを拡張し、十分な量の学習データを生成、確保できる技術をあらたに開発したもの。
抽出した標的型攻撃による諜報活動に対して、攻撃性の高さを算出し、重要なコマンドを特定。その引数を攻撃パターンデータベースに存在する範囲で変化させることで、攻撃性を保ったまま、あらたな諜報活動のデータを疑似的に生成。学習データの量を4倍に拡張できる。
参考:http://www.security-next.com/101917
実際に富士通研究所のサイトへ確認しに行きました。(リンクはそのページへのリンクです。)
課題もかなりあったとのことです。
①正規ログと攻撃のログをどう判断するのか?特に標的型攻撃後はOSコマンドを使用するために正規ログとの見分けがしにくい
⇒学習データの抽出を行い、自社のノウハウを使用し標的型攻撃の際のコマンドや引数のパターンを攻撃パターンデータベースとして構築、データベースを利用しログからの一連の諜報活動を正確に特定・抽出可能に
②膨大なログからの少量の攻撃ログの抽出とそれを学習データとして利用するのは困難。データ量を加工して増やすのはできるが、単純な加工では攻撃性が失われる場合があり、データ拡張が難しい
⇒抽出した標的型攻撃の一連の諜報活動に対して、攻撃性の高さを算出し重要なコマンドを特定後、その引数を攻撃パターンデータベースに存在する範囲で変化させることで、攻撃性を失うことなく、新たな諜報活動(標的型攻撃の亜種)を疑似的に生成
検証結果
また、NICT(国立研究開発法人情報通信研究機構)との協力し、企業を狙った実際のサイバー攻撃を使用した実証実験を行ったところ、対処が必要な攻撃事案であると自動判断し、その有用性を確認した。
この技術を使用することで、通常専門が数時間から数日かかっていた攻撃を受けてからの対処の要否を数分から数秒にすることが可能とのことです。
以下の図は富士通研究所のサイト(http://pr.fujitsu.com/jp/news/2019/01/22-2.html)より引用しています。
所感
昨今はセキュリティ人材の枯渇等が騒がれていますが、こういった技術がさらに浸透することで人材不足の打開策になるんじゃないかと考えています。
また、すごいなと感じたのはやはり「自社のノウハウをまとめ、攻撃パターンデータベースを構築」したことではないかと考えています。
膨大なデータの中から役に立つデータを洗い出しそれを基にデータベースを構築したからこその機械学習への応用が可能になったので、これを構築した人はものすごい人(またはチーム)であると思います。
研究所と名前がついているだけありますね!
今後も機械学習はまだまだ盛んで、色々な技術への応用が行われるので、今からでも遅くないので勉強しないとな~・・・
最近は以下の本がオススメとの情報が入ってきましたので、春になったら(年度末を無事に乗り越えたら)読んでみようと思います。(とりあえず買いました。)
不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。
また、内容について間違った内容があれば訂正しますので、お知らせください。
コメント