--- tags: 研究, 論文, 要約 robots: noindex, nofollow --- [論文][要約] Survey of Attack Projection, Prediction, and Forecasting in Cyber Security === 著者: Martin Husák, Jana Komárková, Elias Bou-Harb, Pavel Cˇ eleda 所属: 種類: IEEE COMMUNICATIONS SURVEYS & TUTORIALS 年度: 2019 ## 概要 ネットワークの攻撃・侵入検知に関するサーベイ論文． どんな検知モデルがあるか，実験用のデータセットの種類と問題点，評価指標や総合的な課題について述べられている． ## 攻撃検知のモデルに基づく分類  ## 離散モデル *グラフ理論を用いて知識ベースの攻撃検知を行う* ## 連続モデル *時系列データを用いて検知を行う* - Grey Models ファジー理論みたいなもの． ## 機械学習 and データマイニング セキュリティ専門家によるモデル作成に依存しないモデルを作ることができる ## その他のアプローチ - 類似度ベース - トラフィック量に基づくDDoS検知 - 進化的アルゴリズムベース - 一貫性のない送信元に基づく検知 ## 評価と教訓 - 現実的な実装 検知の正解率が90%を超えている論文もいくつかあるが，それはデータセット上(シミュレーション上)の話で，実際に実装すると60-70%くらいに落ちている． - データセット 既存のデータセットは色々あるが1998-2000年頃に作成されたもので，古すぎて最新の攻撃動向を反映していない． また，独自に収集したりテストベッドを用いる方法もあるが，再現性が低下する． さらに，既存のデータセットは侵入検知の為に作られており，攻撃者の意図や相関に関する情報が無いため，一部のタスクの評価には用いることが困難． - ライブネットワークにおける評価 実際のデータを用いた評価はかなり危険．しかしデータが存在していることには存在している． ハニーポットを設置する手もあるが，一般に攻撃データしか集まらない． ダークネット（未割り当てIPアドレス群）に基づく地球規模での攻撃検知研究もある． **SDNを用いたハニーポットネットワークの構築が近い将来発展するかもしれない．** ## メトリクス - Precision, Recall, Accuracy - 時間 ## 課題 - 従来の知識ベースの手法では専門家による手動定義が必要であったが，データマイニング・機械学習を用いた手法によりいくらか効率化された．しかし依然，人間の専門家は攻撃モデルの構築と結果のコンサルティングに必要だ． - また，ディープラーニングを用いた研究については調査した文献の中には存在していない． - 現在の予測方法がサイバーセキュリティの新しいトレンドに対してどのように対応できるかが評価できていない．例えば0day攻撃を効果的に予測することは出来ないが，機械学習を用いることで亜種の攻撃として検知することが可能かもしれない． - IoTやCPS，SDN等の発展に伴って，新しい攻撃を検知する試みが注目されるであろう． ## 所感 - 結局，機械学習を使ってある程度効率化出来ますよという内容だった． - 実験に用いるデータセットが古くて微妙という問題について，独自に収集したりテストベッドを用いるというのは手法の考案よりも実験環境を整備するのに多くの時間を取られそうで出来れば対応したくない． - SDNを用いたハニーポットネットワークの構築は面白そうなテーマだと思ったため，他にも文献を調べてみたい．