悪性トラフィック挙動解析による未知のサイバー攻撃検知(異常検知と変化点検出)

抄録

サイバー攻撃の手法は日々進歩している.従来,サイバー攻撃に使用されるプログラムの開発では,有効性確認のためにインターネット上のコンピュータを無差別に攻撃する試し撃ちが世界中で観測された.それを観測・解析することにより攻撃者が狙っている脆弱性の推定,攻撃プログラムの開発状況を把握し,事前に防御策を講じることも可能であった.しかし,2010年代に入り,攻撃者の目的が愉快犯的なものから機密情報や個人情報など価値のある情報窃取に移行したため,試し撃ちの観測は困難となりつつある.攻撃者は事前の綿密な調査を経て,標的とする組織や人物に特化した攻撃プログラムをインターネット上で試用することなく開発し,対象者のPCに直接感染させ乗っ取ることができるようになった.このため,従来の観測手法ではサイバー攻撃の状況を把握しにくくなっている.この問題に対処するため,組織内ネットワークの通信を監視し,基準を超える異常な通信を見つけ出す手法が求められつつある.