今後の課題

第 7 章

まとめと今後の課題

7.1 _まとめ

日米の3ヶ所に設置された, DRDoS攻撃に悪用されるリフレクタを模擬するシステムである

DRDoSハニーポットを用いてDRDoS攻撃の傾向を調査した. 攻撃の種類や, リフレクタの応

答停止によるパケット数の推移, 複数のリフレクタを同時に使った攻撃の観測, 攻撃の継続時 間, 攻撃以外の通信の存在,さらにIoT端末による攻撃を確認した.

次に, DRDoS攻撃をパケットレベルで高精度に判別するために有効な特徴量を機械学習に よって自動的に選別できることを明らかにした. 選ばれた特徴は攻撃者が増幅率を高くするた めに用いられるものであった. また, 判別に適した機械学習法についても実験によって明らか にした. その結果,その結果, ランダムフォレストが最も高精度に正常通信との判別が行えるる ことを示した. 提案手法による実験を行った結果,性能指標は検知率100.0%,誤検知率0.01%と 非常に精度が高く,処理速度も実験環境において約300Mbpsであり, 高精度かつ高速な判別が 可能であることを示した.

第 7 章 まとめと今後の課題

さらに, 本研究では有効な特徴量の決定法について, 決定木を用いるもの以外の方法を検討 していない. また, 判別に用いる学習器についてはセキュリティ分野でよく用いられる4種類 の方法についてしか検討してない. 今日注目されているディープラーニングなど, 特徴量の決 定や判別が可能な機械学習法は他にもあるため, それらについても検討することで, より性能 の良い検知ができる可能性がある.

謝辞

本修士論文の作成にあたり, 日頃より御指導をいただいた早稲田大学 基幹理工学研究科 情報 理工・情報通信専攻の後藤滋樹教授に深く感謝致します.

また, NTTセキュアプラットフォーム研究所の神谷和憲氏には本研究におけるデータの提供 や研究のアドバイス等で多大なご協力をいただきました. 深くお礼申し上げます.

最後に, 日ごろお世話になった後藤滋樹研究室の皆様に感謝致します.

参考文献

[1] ARBOR Networks, “Worldeide Infrastructure Security Report Volume XI,” https://

www.arbornetworks.com/images/documents/WISR2016_EN_Web.pdf, 2016.

[2] Akamai, “Q2 2016 State of the Internet Security Report,” https://

www.akamai.com/us/en/multimedia/documents/state-of-the-internet/

akamai-q2-2016-state-of-the-internet-security-report.pdf, 2016.

[3] 牧 田 大 佑, 吉 岡 克 成, “DRDoS 攻 撃 を 観 測 す る ハ ニ ー ポット 技 術 の 研 究 開 発,”

http://www.nict.go.jp/publication/shuppan/kihou-journal/houkoku-vol62no2/

K2016S-05-03.pdf ,情報通信研究機構研究報告Vol. 62 No. 2, 2016.

[4] US-CERT, “UDP-Based Amplification Attacks,” https://www.us-cert.gov/ncas/

alerts/TA14-017A, 2016.

[5] 牧田大佑, 西添友美, 小出駿, 筒見拓也, 金井文宏, 森博志, 吉岡克成, 松本勉, “早期対応を 目的とした統合型 DRDoS 攻撃観測システムの構築,” Symposium on Cryptography and Information Security 2015.

[6] 西添友美,牧田大佑, 吉岡克成, 松本勉, “プロトコル非準拠のハニーポットによるDRDoS 攻撃の観測,” Symposium on Cryptography and Information Security 2016.

[7] 牧田大佑,西添友美, 吉岡克成, 松本勉,井上 大介,中尾 康二, “早期インシデント対応を目 的としたDRDoS攻撃アラートシステム,”情報処理学会論文誌Vol.57 No.9 197420131985, Sep. 2016.

[8] 蒲谷 武正, 千賀 渉, 村上 洸介, 牧田 大佑, 吉岡 克成, 中尾 康二, “AmpPot を活用した DRDoS 攻撃対応早期化の取り組み,” Computer Security Symposium 2016.

[9] 浦川順平,澤谷雪子,山田明,窪田歩, 牧田大祐, 吉岡克成, 松本勉, “ハニーポット監視によ る DRDoS攻撃の早期規模推定,” Symposium on Cryptography and Information Security 2015.

参考文献

[10] 柴原健一, 筒見拓也, 小出駿, 森博志, 村上洸介, 中尾康二, 吉岡克成, 松本勉, “DRDoS 攻 撃を観測可能なダークネットを用いたリフレクタの分析,” Symposium on Cryptography and Information Security 2016.

[11] 牧田 大佑, 吉岡克成, 松本勉, 中里純二, 島村隼平, 井上大介, “DNS アンプ攻撃の事前対 策へ向けた DNS ハニーポットとダークネットの相関分析,” , 情報処理学会論文誌 Vol.56 No.3 9212013931, Mar. 2015.

[12] Jose Jair Santanna, Roland van Rijswijk-Deij, Rick Hofstede, Anna Sperotto, Mark Wier-bosch, Lisandro Zambenedetti Granville, Aiko Pras, “Booters - An Analysis of DDoS-as-a-Service Attacks,” http://dl.ifip.org/db/conf/im/im2015/137274.pdf, 2015.

[13] M. Karami, Y. Park, and D. Mccoy, “Stress Testing the Booters:Understanding and Un-dermining the Business of DDoS Services,” Proc.World Wide Web Conf., 2016.

[14] 鈴木崇広, “決定木によるデータマイニングの比較,”http://www.ccn.yamanashi.ac.jp/

~munehisa/kenkyuu/soturon_2004/suzuki.pdf, 学士学位論文,山梨大学, Feb. 2005.

[15] Machine Learning Group at the University of Waikato, “Weka 3: Data Mining Software in Java,”http://www.cs.waikato.ac.nz/ml/index.html, 2017年1月30日閲覧.

[16] C. M.ビショップ,元田浩, 栗田多喜夫, 樋口知之, 松本裕治, 村田昇(監訳), “パターン認識

と機械学習 上・下,” 丸善出版,東京, 2008.

[17] 麻生英樹, 津田宏治, 村田昇, 甘利俊一, 竹内啓, 竹村彰通, 伊庭幸人 (編), “統計科学のフ ロンティア 6 パターン認識と学習の統計学 新しい概念と手法,” 岩波書店,東京, 2005.

[18] 辻谷將明,竹澤邦夫,金明哲(編), “Rで学ぶデータサイエンス6マシンラーニング,”共立 出版,東京, 2011.

[19] Yoshihiko Suhara, LinkedIn Corporation, “SVM実践ガイド,”http://www.slideshare.

net/sleepy_yoshi/svm-13435949, June 2012.

[20] Chih-Chung Chang, Chih-Jen Lin, “LIBSVM – A Library for Support Vector Machine,”

http://www.csie.ntu.edu.tw/~cjlin/libsvm/, 2017年1月30日閲覧.

[21] Thorsten Joachims, “SVM light,” http://www.cs.cornell.edu/People/tj/svm_

light/index.html, Cornell University, Aug. 2008.

[22] r-project.org, “The R Project for Statistical Computing,”http://www.r-project.org/, 2017年1月30日閲覧.