可判断是否需要对网络攻击进行响应的AI技术

本技术介绍参考了以下链接
English

2019年10月30日

株式会社富士通研究所 ^(注1) （以下简称：富士通研究所）开发了一项可自动判断是否需要对网络攻击进行响应的AI技术。

开发背景

近年来，针对商业网络的网络攻击数量持续增加。针对性攻击^(注2)是网络攻击的一种，攻击者通过巧妙的手段将可远程操控的恶意软件植入组织系统内，然后远程操控感染了恶意软件的终端，进行谍报活动。对此，当企业通过安全监控设备发现可疑活动时，安全专家需要手动调查、评估该攻击的风险性和危险程度，并判断是否需要做出响应，这将花费大量时间。另外，对攻击实施响应时，由于需要隔离受攻击的业务终端并重构网络，这将导致业务中止，影响正常的商业活动，因此需要谨慎判断是否要实施响应。

据日本经济产业省的统计 ^(注3)，2020年日本安全方面的专业人才短缺数量为19万3,000人。为此，我们期待实现一种基于AI的自动化技术，具备网络攻击方面的专家级别的先进知识与洞察力，可迅速判断是否需要对所受攻击做出响应，以此实现网络攻击的快速处理。

图. 企业受到网络攻击时实施的响应

课题

为了研发出可自动判断的AI技术，对攻击信息进行训练时需要解决以下问题：

1. 在服务器、终端和网络设备中，累积存储了大量正规操作日志和攻击操作日志。为了合理训练AI，需要从大量日志中筛选出存在风险的针对性攻击的痕迹。但是，由于基于针对性攻击的谍报活动使用的是OS命令，因此区分日志是十分困难的。
2. 从海量日志中提取出攻击操作日志以确保有大量的学习数据是非常困难的。在AI技术中，可基于少量学习数据，通过噪声处理等加工和转换来增加数据量，但这样简单地处理针对性攻击的学习数据会导致数据失去攻击性，因此很难对数据进行扩展。

开发的技术

此次，富士通研究所开发了一种技术，在生成高精度AI判断模型时，可确保其拥有足够用于训练的针对性攻击学习数据。开发的技术特征如下：

1. 学习数据的提取技术

   基于富士通在安全相关业务和研究中积累的技术经验，以及约7年的实际攻击分析数据，富士通研究所构建了一个攻击模式数据库，其中包括与针对性攻击的谍报活动相关的命令和参数。通过使用该数据库，用户可以从海量的日志中准确地识别和提取一系列的谍报活动。

2. 学习数据的扩展技术

   对于提取的一系列针对性攻击的谍报活动，该技术可算出它们的攻击强度并识别重要命令，然后通过将其参数进行转换（在攻击模式数据库中的参数范围内），可模拟生成新的谍报活动（针对性攻击的亚种），且不会丧失攻击性。这样，可以将学习数据扩展至原来的4倍。

效果

富士通研究所将此次开发的技术与该公司开发的AI技术“Deep Tensor”相结合，基于此次生成的学习数据来训练判断模型，并对该模型进行了评估实验。富士通通过使用超过12,000个案例约4个月的数据进行了模拟实验，得出的结果与安全专家通过手动分析获得的结果一致率约为95%，实现了几乎同等的判断水平。另外，在国立研究开发法人信息通信研究机构（NICT）运营的网络攻击诱导平台“STARDUST”^(注4)中，也对该技术进行了验证实验，用于处理针对企业的真实网络攻击。结果显示基于该技术可以自动判断需要实施响应的攻击事件，从而确认了其有效性。

到目前为止，专家需要花费数小时～数日才能判断是否需要对网络攻击进行响应，而基于该AI技术，仅需数十秒～数分钟便可自动进行高精度判断。此外，通过将该技术与富士通研究所的高速辨别技术（可在短时间内分析出针对性攻击的整体受损情况）相结合，可以实现从攻击分析到行动指令等一系列响应的自动化，从而能够对网络攻击立即做出响应，并将损害降到最低。

今后

作为应对网络攻击的基础，富士通研究所目标实现该技术在安全管理服务等方面的应用。

注释

 注1 株式会社富士通研究所：

社长 原 裕贵
总公司所在地 日本神奈川县川崎市

 注2 针对性攻击：

针对特定的组织或个人，强行进行信息窃取和系统破坏的攻击行为

 注3日本经济产业省的统计：

2016年日本经济产业省发布的“关于IT人才的最新动向与未来推算的调查结果”
http://www.meti.go.jp/press/2016/06/20160610002/20160610002-7.pdf

 注4 网络攻击诱导平台“STARDUST”：

由国立研究开发法人信息通信研究机构（NICT）开发的用于观测网络攻击的平台。其目的是将攻击者引诱至巧妙模拟了政府或企业等组织的环境中，在不被攻击者察觉的情况下，通过对攻击活动进行长期观测，查明攻击者入侵组织后的详细举动，以收集应对网络攻击的必要信息。