富士通研究所、サイバー攻撃への対処要否を判断するAI技術を開発
- 2019/01/24 10:00
- SecurityInsight
富士通研究所は1月22日、サイバー攻撃を受けた際に対処の要否をAIで自動判断する技術を開発したことを発表した。
業務ネットワークに対してサイバー攻撃が行われた際には、ネットワーク上のサーバや端末、様々なセキュリティ・アプライアンスが攻撃を検知後、サイバー攻撃分析の専門家が手動で危険性を調査・確認し、被害を最小化するための対処の要否を決定しています。
今回、高精度なAI技術の開発に必要な学習データを確保するため、大量の業務ログからサイバー攻撃のふるまいを表す攻撃ログを特定し抽出する技術を開発するとともに、抽出した数少ない攻撃の学習データを攻撃性が損なわれないように拡張し、十分な量の学習データを生成する技術を開発。この技術を活用したシミュレーションでは、専門家による対処要否判断と比較し、約95%の一致率と要対処の攻撃事案の見逃しゼロを達成した。また、判断にかかる時間を数時間から数分に短縮できることを確認した。
この技術を活用することで、要対処と判断されたサイバー攻撃に対しすぐに対策を実施することができ、損失防止や業務継続に寄与するとしている。
対処要否の判断を可能にするAI技術の開発には、攻撃情報の学習において次のような課題があった。
1.サーバーや端末、ネットワーク機器には、正規の動作ログと攻撃操作のログが混在して大量に蓄積されている。AI技術で適切な学習を行うためには、大量のログの中から危険性のある標的型攻撃の痕跡を選別する必要がある。しかし、標的型攻撃による諜報活動はOSのコマンドなどを使うため、ログの区別が困難。
2.膨大に存在するログから攻撃操作ログを抽出し、学習データとして大量に確保することは非常に困難。AI技術では、少量の学習データを元に、ノイズ付加などの加工と変換を行なうことでデータ量を増やすことは可能だが、標的型攻撃の学習データは単純な加工処理では攻撃性が失われる場合があり、データ拡張が難しいことが課題だった。
そこで今回開発した、精度の高いAIの判定モデルの生成に必要な、十分な量の標的型攻撃に関する学習データを確保する技術の特徴は以下のとおり。
・学習データの抽出技術
これまでのセキュリティ関連業務・研究で培ってきたノウハウを元に、攻撃分析で得た約7年間の実績データから、標的型攻撃の諜報活動につながるコマンドや引数などのパターンを攻撃パターンデータベースとして構築。このデータベースを利用することで、膨大なログから一連の諜報活動を正確に特定・抽出することが可能になった。
・学習データの拡張技術
抽出した標的型攻撃の一連の諜報活動に対して、攻撃性の高さを算出し重要なコマンドを特定後、その引数を攻撃パターンデータベースに存在する範囲で変化させることで、攻撃性を失うことなく、新たな諜報活動(標的型攻撃の亜種)を疑似的に生成する。これにより、学習データを4倍に拡張することが可能に。
今回、高精度なAI技術の開発に必要な学習データを確保するため、大量の業務ログからサイバー攻撃のふるまいを表す攻撃ログを特定し抽出する技術を開発するとともに、抽出した数少ない攻撃の学習データを攻撃性が損なわれないように拡張し、十分な量の学習データを生成する技術を開発。この技術を活用したシミュレーションでは、専門家による対処要否判断と比較し、約95%の一致率と要対処の攻撃事案の見逃しゼロを達成した。また、判断にかかる時間を数時間から数分に短縮できることを確認した。
この技術を活用することで、要対処と判断されたサイバー攻撃に対しすぐに対策を実施することができ、損失防止や業務継続に寄与するとしている。