サイバー攻撃、少数の通信から検出 日立と中電など

2019/6/18 18:14
保存
共有
印刷
その他

日立製作所中部電力、慶応義塾大学は18日、少数の通信からサイバー攻撃の予兆を検知する手法を実験し、効果を確認したと発表した。実用化すれば、特定の組織を狙う「標的型攻撃」など、検出が難しいとされる攻撃を未然に防ぐ可能性が開ける。

ネット上の住所に当たるIPアドレスのうち、未使用のものを指す「ダークネット」宛ての通信に着目する。中電と慶大がそれぞれダークネット通信を観測し、合計で1日当たり2000万件に上るデータを分析する。日立と慶大が共同研究で開発した相関分析の技術を使う。

例えば犯罪者が攻撃を仕掛ける準備で実施する「ポートスキャン」と呼ばれる通信を抽出。一定期間内に同じIPアドレスから中電と慶大が観測したダークネットの両方にポートスキャンが見つかった場合などに、サイバー攻撃の予兆として検出する。ポートスキャンは正常な通信でも使われる場合がある。このため単一の組織では、少量のポートスキャンが攻撃の予兆かどうかの見極めが難しい。複数の組織で不審な通信を持ち寄り、相関性を分析することで検出を可能にした。

サイバー攻撃は無差別に大量にウイルスをばらまくような手口と、特定または少数を標的とする手口に分かれる。前者であれば、短期間に通信量が急増する点に着目すれば攻撃を短時間で検出できる。一方、後者の手口は一般に通信量が少なく、正常の通信にまぎれて見落としやすい。実際の攻撃が始まれば情報を盗み出すための振る舞いを検出できる可能性もあるが、攻撃前の予兆を検知するのは難しいとされていた。3者の手法であれば、この課題を克服できる可能性がある。

今後はダークネットだけでなく、通常のネットワーク通信を分析して予兆を検知したり、攻撃の内容も詳しく分析したりすることで、実用性を高める方針だ。

保存
共有
印刷
その他

関連企業・業界 日経会社情報DIGITAL

電子版トップ



[PR]