NEC、 人工知能を活用し未知のサイバー攻撃を自動検知する「自己学習型システム異常検知技術」を開発

NECは、人工知能（AI）技術を活用し、社会インフラや企業システム等に対する未知のサイバー攻撃を自動検知する「自己学習型システム異常検知技術」を開発した。

同技術では、PCやサーバなどシステム全体の複雑な動作状態（プログラムの起動、ファイルへのアクセス、通信など）から定常状態を学習（機械学習、注1）し、定常状態と現在のシステムの動きをリアルタイムに比較・分析することで、定常状態から外れた場合の検知が可能。また、システム管理ツールやSDN（注2）などを活用することで、該当箇所のみをネットワークから自動で隔離できる。

システム動作の詳細な把握により、従来の人手による作業に比べ、1/10以下の時間で被害範囲の特定が可能となり、システム全体を止めることなく被害範囲の拡大を最小限に抑える高精度な異常検知と防御を実現する。

現在のサイバー攻撃対策は、既知の攻撃手法に基づくため、未知の攻撃への対策が困難だ。同技術は、攻撃手法ではなく攻撃を受けたシステムの動作変化のみに基づくことで、全く新しい攻撃への対策が可能な革新的な方式だ。

NECは同技術を社内システムのサーバに適用する実証を行い、模擬攻撃を全て検知できた。今後、発電所や工場など重要インフラ施設のシステムへの適用を目指し、2016年度中に実用化予定である。

【背景】

昨今、標的型攻撃や新種のウィルスなど、未知のサイバー攻撃は世界規模で激増している。そのため、これらの攻撃に対抗するサイバーセキュリティ技術は、 国家レベルの喫緊の課題として研究開発が進められている。

現在のサイバー攻撃対策は、既知の攻撃手法をもとに対策を行うため、前例のない、全く新しい攻撃手法に対しては、検知が極めて困難で甚大な被害を受けるケースが多発している。

今回開発した技術は、攻撃手法ではなく攻撃を受けたシステムの動作変化のみに基づくことで、過去に例のない新しい手法の攻撃に対して、過去の攻撃の経験や知識がなくても、システム側でリアルタイムに異常を検知し、隔離する革新的なサイバーセキュリティ技術だ。

【新技術の特長】

■軽量な監視ソフトウェアで詳細なログ情報を収集

システム動作を監視する従来のソフトウェア（エージェント）は、PCやサーバの動きを遅延させる等の悪影響を与えることがある。

今回、システムにかかる負荷を常に考慮して、監視処理のタイミング等を適宜制御する機能を搭載した軽量なエージェントを開発した。これにより、システム動作を遅延させず に、プログラム起動・ファイルアクセス・ネットワークなどの詳細なログ収集することを実現した。

■AIを活用してリアルタイムに異常を検知

PCやサーバなどシステム全体の複雑な動作状態（プログラムの起動、ファイルへのアクセス、通信など）から定常状態を機械学習し、この定常状態と現在のシス テムの動きをリアルタイムに比較・分析することで、定常状態から外れた場合、異常として自動検知する。

異常を検知した場合、原因となるシステムの一連の 動作を自動で特定し、ネットワークから自動隔離できる。

これにより、システム全体を止めることなく被害範囲の拡大を最小限に抑える防御を実現する。

■被害範囲を特定し、ネットワークから自動的に隔離

現在のシステムの動きを詳細に把握しているため、異常と検知された一連の動作を時系列で自動追跡できる。これにより、従来の人手による作業に比べ、1/10の時間で被害範囲の特定が可能だ。

また、システム管理ツールやSDN（注2）等を活用し、特定した被害範囲をネットワークから切断することで、自動的な隔離も可能。

これらにより、情報漏洩やシステム破壊の被害の拡大を最小限に抑え、システム全体の停止回避を実現する。

（注1）人工知能の1つ。人間が行うパターン認識や経験に基づくルール作りなどをコンピュータで実現する技術やソフトウェアなどの総称

（注2）SDN（Software-Defined Networking）：ネットワークをソフトウェアで制御する概念

【関連リンク】
・NEC

IoTNEWS編集部

IoTに関する様々な情報を取材し、皆様にお届けいたします。