ごぶさたしています。コロナも大変ですが、それ以上に年度末でなかなか更新の時間がとれません。
さて今回は、学生の研究その2です。以前に研究室サイトで公開したものです。
社会的イベントがダークネットワークの攻撃トラフィックに及ぼす影響についての分析
http://lab.iisec.ac.jp/~okubo_lab/docs/darknet_socialevent.pdf (※PDF)
この研究は、サイバー攻撃のトラフィックデータ(量)の遷移と社会的イベントの関連性を発見した上で、社会的イベントの際の攻撃の増減を推測、あるいは、攻撃の量の増減の聴講から社会的イベントを推測することを最終目的としています。皆が「できたらいいな」と思う。かつ、現状でそのような成果はなく非常にチャレンジングだと思います。ですが、状況はごらんの通りongoingの研究です。どの辺がongoingなのかを解説していきたいと思います。
まず、何もコネがない状況(社会人学生でSOCに努めていてかつ自社データが使える、またはNICTと共同研究してる、でない)では、攻撃データを収集するのがまず大変。ですが、ありがたいことに、NICTでは観測したダークネットを2019年から公開してくれています。
サイバー攻撃の観測情報をWebで公開
https://www.nict.go.jp/publication/NICT-News/1205/06.html
今回、このデータを使わせていただきました。で、学生がやりたかったのが、攻撃データの国別の分析。なので、ダークネットの攻撃元を国別に分類して、日毎に傾向を見ています。その結果いろいろ面白いことが分かりました。まず、国別パケット総量では、ロシアアメリカ中国といったところが上位を占めますが、それに混じって、まさかのオランダ2位。なぜでしょうね。
次に、トラフィック量の増加について、いわゆる特定の日にトラフィックが急激に増加(いわゆるスパイク的なやつ)している箇所がいくつかの国で見られます。たとえばロシアでは、5月5日に通常時の2.3倍の増加がみられますが、この日は「ロシア軍がシリア北西部で軍事活動を行っており、 テロ組織と交戦 している」日だそうです。また、中国でスパイクが観測された2月19日は、ファーウェイの諜報疑いで「ファーウェイ創始者が米国に対抗声明を表明した日」、同じく3月16日は、3 月 16 日は中国の政策に対して 米国が批判 を行った日だそうです。
…と、ここまで読んで、「へえーそうなんだ!」と思いました?まあ、ご推察の通りなんですが、このイベントと当該国のトラフィックの関連性が高いことを科学的に示してあげるには、もう少し努力が必要ですね。
まず、合理的疑いをする人は、このイベントが日付に合わせて恣意的に選ばれているのではと考えます。他にもいろいろイベントがある中で、たまたまそのスパイクに合ったものをピックアップしたのではと。ファーウェイ関連に絞ったとしても、それらのポイントとなるイベントをすべてピックアップした上で、それぞれでトラフィック増加が起きているのか?もし起きていないとすると、本当にそれらは関連性が高いのか?これらが統計的ないし論理的に示されないといけません。もう一つは、そのイベントが発生した時に、当該国以外でトラフィックが増加しているのかどうか?他の国は増加していなければ、関連性は高いことの証左の一つになるはずです。
もう一つは、国ごとの相関分析です。トラフィックの増減について、例えばイギリスとフランスの正の相関が高いことについて、「両者が地理的に近いから」としてしまうと、国ごとに分析していることの意義を否定することになってしまいます。確かに、例えば地理的に近くない国どうしが特定のイベントに対して正の相関が高ければ、あるいは常に高ければ、両者に何らかの関係がありそうなことは言えそうですが、そこから先は、イベントとの関連を示せないと難しそうです。
と、いった具合に、まだまだやるべきことは多いです。学生自身も分かっていたと思いますが、そもそもがチャレンジングなテーマなんですよね。だって、イベントも歴史的なのからongoingなのから、経済から政治から山ほどある訳ですよね。たぶん対象を絞りこんだ上で消去法的にいかないと、そもそもが複数の要因でトラフィックが成り立っているので難しいんです。それに、関連性が高いことは示せても、それと因果関係はすぐには示せません。まあそこまではしなくてもいいのかもしれませんけどね。そういった、高いハードルの中で、ここまではがんばって、次の方向性を示せていると思います。またもう少し(?)がんばってほしいところです。
Follow me!
