惡意網路攻擊，將生活必需社會基礎設施，也納入攻擊目標

由於近年來網路攻撃手法漸趨巧妙，受害層面、對社會的影響也因而擴大。美國為了攻擊伊朗核電廠設施，與以色列共同開發出惡意軟體「震網（Stuxnet）」後，於2010年擴散至全世界。自此之後，惡意性的攻撃手法有增無減，病毒的感染途徑也更為多樣化。盜用銀行帳號密碼進而提領現金，或是利用病毒將系統加密後，再勒索企業支付贖金才能解密等，類似的受害新聞層出不窮。

此外，攻撃目標不僅限於企業系統，更擴展到能源業界等社會基礎設施領域。在美國，進入2010年代之後，便時常發生公共建設受到網路攻撃的事件。根據ICS-CERT（美國國土安全部所屬的工業控制系統網路緊急應變小組，為官方與民間業者攜手合作的組織）獲報的網路攻撃事件數量，2010年尚在50件以下，但2013年卻暴增到超過250件。攻撃目標也以能源業界與重要的生產設備為中心，逐步擴大。今後，日本即將迎接2020東京奧運，像是能源、交通等生活所需的社會基礎設施，針對這些基礎設施控制系統進行的網路攻擊，預估也將大幅增加。

 

防禦網路攻撃的典範轉移，劃時代的解決方式

在系統安全領域中，網路攻擊者向來都處於較為有利的優勢。例如，攻撃者可事先取得防毒軟體進行測試，因此能隨心所欲開發出針對既有資安軟體漏洞的全新惡意軟體。反觀在系統的防禦端，卻只能根據過去遭受的攻撃經驗，來避免受到惡意軟體的感染，因此只能採取較為被動的對策。

打破過往解決方式侷限，為防禦網路攻擊帶來典範轉移而倍受期待，這就是2015年12月發表的「自我學習型系統異常檢測技術(Automated Security Intelligence)」。只要運用這項技術，不需要過去的網路攻撃知識就能檢測出異常，在遭受攻擊之前提出對策。如此，可說是從源頭打斷了以往一直處於劣勢的「攻撃VS防禦」惡性循環。

本專案是依據NEC北美研究所的發想，從2013年11月起開始正式展開研究開發。半年後，在北美研究所的請求下，日本雲端系統研究所的技術人員也加入研究。

這項技術的開發，大致可分為3大課題。①是「輕量型監控軟體」。以Agent為名的這套監控軟體，不會對系統造成極大負擔，每天都能自我學習系統的正常（穩定）狀態。②是「即時檢測系統」。透過①得到的正常狀態與現行系統動作，進行適當的比較和分析，而能即時檢測異常。③是「自動鎖定、自動隔離受害範圍」。以②的比較和分析為基礎，依時間順序精細追蹤通信流量、檔案與過程動作的同時，自動鎖定受害範圍，再視其需要採取隔離對策。

解決3大開發課題，日美「異種混合」團隊，於美國率先研發、上市

上述的3大開發課題，通常是由不同領域的技術人員負責。①是OS（電腦作業系統）領域、②是資料庫領域及資料分析領域、③是GUI（圖形使用者介面）領域，由於相關技術人員涉及如此廣泛的技術領域，本專案因而在日本、美國精選出技術人員，可說是建立了「異種混合」的專案團隊。這群技術人員不斷往返日美兩地、歷經試驗和錯誤之下，耗時2年半的時間，終於成功解決開發課題。今後的目標，是將本技術導入具體系統，藉由測試與人工智慧(AI)不斷學習後上市。目前，已有迫切需求的某項社會基礎設施，決定導入本技術。未來希望解決更為艱難的技術課題（提升大規模系統的分析精確度等），最終能針對有數萬台使用裝置的系統，減少檢測錯誤，進而提供實用的解決方案。

 

CPU使用率僅有3%（平均）的監控Agent

當時主導「自我學習型系統異常檢測技術」技術的開發，主要是NEC北美研究所負責的「監控Agent（輕量型監控軟體）」。本方式可即時蒐集流程層級（Process Level）的詳細運作資料，卻幾乎不會影響其他應用程式的運作。一般的防毒軟體，會造成CPU使用率驟升，但新研發出來的本方式，可在不超過設定上限的情況下進行監控。

「異常檢測分析技術」是針對系統的正常狀態與現行系統動作進行比較、分析，再從差異中檢測出異常，為了達到「不遺漏任何異常動作，且毫無錯誤檢測」的境界，由NEC北美研究所主導，不斷反覆進行驗證並從錯誤中學習。本方式所運用的異常檢測演算法，在新的網路存取（Network Access）產生時，會對新存取的異常性進行更精細的判斷。在運用「社交過濾（Social Filtering）」演算法（可用在EC網站的推薦商品等）的同時，考量到存取的頻繁度，事先將類似主機群組化後再分析等，透過上述這些做法，即可大幅降低錯誤檢測。

再者，在「鎖定受害範圍並將其隔離」的技術中，檢測為異常的系統動作，可依照時間順序向下逐層分析，並進行自動追蹤，因此相較於以往的人工作業，只需1/10的時間便能鎖定出受害範圍。分析的結果，則會整合呈現在清楚易懂的GUI（圖形使用者介面）：畫面為黑底，以藍、橘等顏色分別顯示。

研究者簡介

喜田 弘司 ( NEC 雲端系統研究所　主任研究員)