[論文レビュー] Security Orchestration, Automation, and Response Engine for Deployment of Behavioural Honeypots
本論文では、攻撃者のリコンナッサンスに応じて動的に行動型ハイジャックポットを展開する、セキュリティオーケストレーション、自動化、応答(SOAR)エンジンを提案する。ルールベースおよび機械学習技術を用いて、ボットネット、DDoS、マルウェアトラフィックを検出する。4日間のライブ展開で、平均攻撃者参加時間は静的ハイジャックポットの102秒から3,148秒に向上し、CPU使用率は89%削減され、7,823件の攻撃、965パケットのDDoS、3件の悪意あるサンプルを捕らえた。
Cyber Security is a critical topic for organizations with IT/OT networks as they are always susceptible to attack, whether insider or outsider. Since the cyber landscape is an ever-evolving scenario, one must keep upgrading its security systems to enhance the security of the infrastructure. Tools like Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR), Threat Intelligence Platform (TIP), Information Technology Service Management (ITSM), along with other defensive techniques like Intrusion Detection System (IDS), Intrusion Protection System (IPS), and many others enhance the cyber security posture of the infrastructure. However, the proposed protection mechanisms have their limitations, they are insufficient to ensure security, and the attacker penetrates the network. Deception technology, along with Honeypots, provides a false sense of vulnerability in the target systems to the attackers. The attacker deceived reveals threat intel about their modus operandi. We have developed a Security Orchestration, Automation, and Response (SOAR) Engine that dynamically deploys custom honeypots inside the internal network infrastructure based on the attacker's behavior. The architecture is robust enough to support multiple VLANs connected to the system and used for orchestration. The presence of botnet traffic and DDOS attacks on the honeypots in the network is detected, along with a malware collection system. After being exposed to live traffic for four days, our engine dynamically orchestrated the honeypots 40 times, detected 7823 attacks, 965 DDOS attack packets, and three malicious samples. While our experiments with static honeypots show an average attacker engagement time of 102 seconds per instance, our SOAR Engine-based dynamic honeypots engage attackers on average 3148 seconds.
研究の動機と目的
- 静的ハイジャックポットには、時間経過とともに効果が低下し、特に内部者などの洗練された攻撃者には効果を発揮しないという限界を解消すること。
- リアルタイムの攻撃者リコンナッサンスおよび横向き移動に応じて反応する、動的で行動主導のハイジャックポット展開システムを開発すること。
- 攻撃者参加時間の延長と、DDoSやボットネット活動などの悪意あるトラフィックの検出を向上させることで、脅威インテリジェンス収集を強化すること。
- 継続的運用ではなく、行動トリガーに基づき必要に応じてハイジャックポットを展開することで、リソースのオーバーヘッドを削減すること。
- 既存のセキュリティツール(SIEM や EDR など)と統合可能なスケーラブルで組織固有のデセプションフレームワークを構築すること。
提案手法
- SOARエンジンは、ポートスキャンやIPプローブなどのリコンナッサンス行動を検出するために、ネットワークトラフィックを監視する。
- 攻撃者行動を検知すると、事前に定義されたプールから未使用のIPを自動的に選択し、軽量でハイインタラクション性の高いハイジャックポットインスタンスを展開する。
- CTU-13(ボットネット)、CIC-IDS 2017(DDoS)、および統合された ECML/PKDD および HTTP CSIC データセット(XSS、SQLi、OSC)を用いてトレーニングされた機械学習モデルを活用し、悪意あるトラフィックを分類・応答する。
- コンテナ化(例:Docker)を用いて、ハイジャックポットイメージを動的に展開および削除し、2つのイメージを交互に展開することで、予測可能性を回避する。
- ネットワークインfraストラクチャと統合し、マルチ-VLAN環境をサポートする。攻撃者行動パターンに基づき、展開の優先順位をルールベース論理で制御する。
- 攻撃者とのインタラクション中に捕らえた悪意あるサンプルを格納・分析するマルウェア収集システムを設け、さらなる脅威インテリジェンス抽出を可能にする。
実験結果
リサーチクエスチョン
- RQ1SOARベースのシステムは、攻撃者行動に応じて動的にハイジャックポットを展開し、静的ハイジャックポットと比較して参加時間を延長できるか?
- RQ2SOARエンジンは、DDoS、ボットネット、Webベースの攻撃(XSS、SQLi、OSC)といった実世界の攻撃タイプを検出・応答する上で、どの程度有効であるか?
- RQ3動的ハイジャックポット展開は、脅威インテリジェンス収集を向上させつつ、リソース消費をどの程度削減できるか?
- RQ4システムの応答時間とIP選択戦略は、攻撃者参加の成功確率にどのように影響するか?
- RQ5機械学習モデルとルールベースオーケストレーションを統合することで、ライブネットワーク環境における検出精度とシステムのレジリエンスが向上するか?
主な発見
- SOARエンジンは、4日間のライブネットワーク運用で合計40件のハイジャックポット展開を動的にオーケストレーションし、静的ハイジャックポットと比較して攻撃者参加において顕著な優位性を示した。
- 平均攻撃者参加時間は、静的ハイジャックポットの102秒からSOARで展開されたハイジャックポットの3,148秒に向上し、騙し効果が30倍向上したことを示している。
- 合計7,823件の攻撃(うち965パケットのDDoSと3件の悪意あるマルウェアサンプル)を検出しており、強力な検出能力を示している。
- 継続的に稼働する静的ハイジャックポットと比較して、CPU使用率は約89%削減され、リソース効率が確認された。
- 動的展開モデルでは、2つのローテーションするハイジャックポットイメージで合計7,555件の攻撃を捕らえた。これに対して、66台の静的Webサーバーハイジャックポットは合計63,108件の攻撃を収集したにとどまり、性能が著しく劣っていた。
- SOARエンジンは、リコンナッサンスを検知してから約6秒で準備完了となり、攻撃者が到達する前に安全に展開できる十分な遅延(30秒)を確保した。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。