動的クラスタ分析でサイバー脅威を追跡する
ネットワークテレスコープデータを分析して、協調したコンピュータの活動を特定する方法。
― 1 分で読む
目次
サイバーセキュリティの分野では、時間をかけて一緒に動作する複数のコンピュータの活動を追跡するのはかなり難しいんだ。関わっているコンピュータやその行動がすぐに変わるからね。この問題を解決するために、特にネットワークテレスコープからのデータに焦点を当てて、これらのコンピュータの行動の新しいパターンを見つけて追跡する方法を作ったんだ。
ネットワークテレスコープは、アクティブなサービスに向けられていないインターネットトラフィックから情報を集める特別なシステムだ。このトラフィックは、さまざまな注目すべきサイバー活動についての洞察を提供してくれる。私たちのアプローチは、このデータを効果的に分析するための3つの主なステップから構成されている。
私たちの方法
ステップ1: ホストの表現を学ぶ
私たちのアプローチの最初のステップは、送信するトラフィックに基づいてコンピュータのシンプルな表現を作ることだ。これは、トラフィックが何を意味するのかについての事前のラベルや情報がなくてもできる。トラフィックデータを分析することで、各コンピュータの活動のコンパクトな表現や「エンベディング」を生成することができる。
ステップ2: 類似したホストをクラスタリング
これらの表現を手に入れたら、似たような行動を示すコンピュータのグループを探す。これはクラスタリングと呼ばれる方法を使って、同じように振る舞っているコンピュータを分類するのに役立つ。このフェーズでは、トラフィックに対して同様に反応しているように見えるさまざまなコンピュータのグループを特定できる。
ステップ3: 時間の経過に伴う変化を追跡
最後のステップは、これらのグループが時間とともにどのように変化するかを追跡することだ。毎日新しいトラフィックデータを分析して、クラスタを特定し、どのグループが同じままで、どの新しいグループが現れるのかを見ていく。こうすることで、新たな脅威や行動の変化を示す新しいパターンを検出できる。
ネットワークテレスコープのトラフィック分析
私たちの方法を検証するために、ネットワークテレスコープからの20日間のデータに適用した。期間中に8,000台以上の異なるコンピュータを追跡した分析では、毎日約50〜70の異なるコンピュータのグループを特定できた。その中の約60〜70%は以前に知られているパターンと一致し、約10〜20グループは新しい行動や事件を示すものとして特定された。
デジタル脅威の状況
サイバーセキュリティの世界では、新しい脅威が毎日現れる。一つの重大な懸念は、他人の管理下で悪意のある活動を行うために使われる妥協されたコンピュータのグループ、つまりボットネットだ。ボットネットは常に変化し、最新の脆弱性を悪用するための手法を改善している。例えば、特定のボットネットは特定のソフトウェアの弱点に適応して拡散手法を強化している。
これらの進化する脅威に効果的に対抗するためには、サイバーセキュリティの専門家がボットネットの動き方を理解し、関与するコンピュータの中で似たようなパターンを特定する必要がある。これが私たちの方法の出番で、人工知能技術を活用して、協調したコンピュータのグループを認識し、サイバー脅威に対して先手を打つことができる。
サイバーセキュリティにおける人工知能の役割
人工知能は、妥協されたコンピュータ間の協調活動を特定するための重要なツールになっている。多くの研究者が、データから特徴を抽出し、オートエンコーダやニューラルネットワークなどの機械学習技術を適用して得られたデータセットを分析してきた。他の人たちは、自然言語処理のアイデアを借用して、ネットワーク上で送信されるパケットのシーケンスを分析し、パケットをテキストの単語のように扱っている。
これらの進展にもかかわらず、既知のパターンとまったく新しい活動を区別するのは依然として課題だ。例えば、異なる2日間のクラスタリング結果を比較すると、どのグループが新しいもので、どれが過去の活動の継続なのかを判断するのは複雑だ。これが私たちの動的クラスタ分析の目的だ。
動的クラスタ分析 (DCA)
動的クラスタ分析は、コンピュータのグループが時間とともにどのように進化するかを監視し追跡するための方法だ。この分野で人気のある手法はMONICと呼ばれ、クラスタ間の変化や移行を追跡するのに役立つ。私たちの目標は、ネットワークテレスコープのデータの特性により適した形でMONICを調整することだった。
各分析期間の終わりに、コンピュータをクラスタにグループ化する。その後、これらのクラスタが次の期間にどのように変化するかを見て、存続するのか、他と統合されるのか、あるいは消えるのかを特定する。これによって、全体的な活動のダイナミクスを理解できる。
このプロセスを私たちのニーズに合わせてよりカスタマイズするために、観察したコンピュータ活動の独自の変動を考慮してMONICにいくつかの調整を行った。
実践応用と結果
私たちの方法を特定のネットワークテレスコープから収集した20日間のデータに適用した。全体で、約785,000台の異なるコンピュータから送信された1億以上のパケットを調査した。毎日5つ以上のパケットを送信したコンピュータを「アクティブ」とみなし、全体で約130,000台のアクティブコンピュータがいた。
毎日の分析ではいくつかのパターンが明らかになった。毎日、協調したコンピュータのクラスタとして50〜70のクラスタを検出した。これらのクラスタの多くは、以前の既知の活動とリンクしており、少数のクラスターが新たに出現し、変化や新しい事件を示していた。
クラスタリング結果からの洞察
私たちのクラスタリングの結果は、サイバーセキュリティのアナリストが通常直面するトラフィックパターンを理解するための手動作業を簡素化するのに役立った。トラフィックで調整を示すコンピュータのグループを特定することで、アナリストが精査しなければならないデータの量を減らした。
特定したクラスタの質は一般的に高かった。ほとんどのクラスタは良好な分離度を持ち、関与するコンピュータの行動についての結論を引き出しやすくなっていた。これにより、異常や潜在的な脅威の検出がより効率的に行われ、全体的なサイバーセキュリティの取り組みが強化された。
行動の変化を観察する
私たちの動的クラスタ分析の注目すべき点は、行動の変化をどれだけうまく観察できたかということだ。毎日、分析はクラスタが生き残っているか、消えているか、新しい行動のパターンを示しているかを示した。大半のクラスタは、次の日も生き残っており、一貫した悪意のある活動を示していたが、少数は他のカテゴリに移行していた。
クラスタの時間に伴う変化を追跡することで、サイバーセキュリティのアナリストは、潜在的な重要性や新規性に基づいて調査すべきパターンを優先できる。この進化する動的を追跡する能力は、サイバーセキュリティへの積極的なアプローチを維持するのに役立つ。
活動の具体例
特定したクラスタのいくつかを手動でレビューしたことで、その活動の性質についての追加的な詳細を明らかにすることができた。例えば、特定の脆弱性に関連するポートを狙うグループを観察した。これは、さらなる注意が必要な悪意のあるスキャン活動を示すものだった。
別のケースでは、脆弱なサービスを対象としたボットネットの一部と思われる送信者を特定した。トラフィックを分析することで、これらのコンピュータが実際に知られているボットネットの特徴に沿った協調したスキャン行動を示していることを確認した。
結論
結論として、私たちの動的クラスタ分析方法は、サイバーセキュリティの分野で大きな利点を提供する。協調活動を効果的に特定し追跡することで、新たな脅威や行動の変化についての貴重な洞察を提供できる。私たちの作業は、セキュリティ専門家の分析負担を軽減し、最も重要な事件に集中できるようにしている。
今後、私たちはアプローチをさらに洗練させ、リアルタイムアプリケーションのために動的分析を最適化する予定だ。トラフィックを継続的に分析することで、脅威の検出と対応をより効率的に行い、結果的に強力なサイバーセキュリティ対策に貢献できることを目指している。
将来の方向性
前進するにつれて、私たちは分析に追加の特徴を取り入れ、異なるクラスタの優先順位を明確にする基準を確立し、長期間にわたってクラスタを一致させる戦略を洗練させることを目指している。最終的には、ネットワークトラフィックを継続的に監視し、リアルタイムで潜在的な脅威を特定し対応することができる、より堅牢なシステムを展開するのが目標だ。
私たちの研究の倫理的な影響については慎重に考慮している。私たちの焦点は、観測されたエンティティに干渉することなく、受動的な測定技術を通じてサイバーセキュリティを改善することのみにある。私たちの方法論を進化させ続ける中で、ネットワークセキュリティの実践を向上させることに引き続き貢献し、サイバー脅威との戦いにおいて前向きな影響をもたらすことを約束する。
タイトル: Dynamic Cluster Analysis to Detect and Track Novelty in Network Telescopes
概要: In the context of cybersecurity, tracking the activities of coordinated hosts over time is a daunting task because both participants and their behaviours evolve at a fast pace. We address this scenario by solving a dynamic novelty discovery problem with the aim of both re-identifying patterns seen in the past and highlighting new patterns. We focus on traffic collected by Network Telescopes, a primary and noisy source for cybersecurity analysis. We propose a 3-stage pipeline: (i) we learn compact representations (embeddings) of hosts through their traffic in a self-supervised fashion; (ii) via clustering, we distinguish groups of hosts performing similar activities; (iii) we track the cluster temporal evolution to highlight novel patterns. We apply our methodology to 20 days of telescope traffic during which we observe more than 8 thousand active hosts. Our results show that we efficiently identify 50-70 well-shaped clusters per day, 60-70% of which we associate with already analysed cases, while we pinpoint 10-20 previously unseen clusters per day. These correspond to activity changes and new incidents, of which we document some. In short, our novelty discovery methodology enormously simplifies the manual analysis the security analysts have to conduct to gain insights to interpret novel coordinated activities.
著者: Kai Huang, Luca Gioacchini, Marco Mellia, Luca Vassio
最終更新: 2024-05-17 00:00:00
言語: English
ソースURL: https://arxiv.org/abs/2405.10545
ソースPDF: https://arxiv.org/pdf/2405.10545
ライセンス: https://creativecommons.org/licenses/by/4.0/
変更点: この要約はAIの助けを借りて作成されており、不正確な場合があります。正確な情報については、ここにリンクされている元のソース文書を参照してください。
オープンアクセスの相互運用性を利用させていただいた arxiv に感謝します。