[論文レビュー] Automatically Generating Models of IT Systems
本論文では、企業の規模や事業分野などの上位レベルの要件から、ハードウェア、ソフトウェア、ネットワークセグメント、資格情報、データなどを含む、詳細で現実的な情報技術システム(ITS)モデルを自動生成するプロトタイプの専門家システム「IT System Generator」を提案する。ルールベースのインスタンシエーションと依存関係モデリングを用い、複雑で多層的なITSモデルを生成する。フィクションの金融機関を対象にした概念実証実装により、現実的な入力サイズにおいても妥当なパフォーマンスを示し、実現可能性を裏付けた。
Information technology system (ITS), informally, consists of hardware and software infrastructure (e.g., workstations, servers, laptops, installed software packages, databases, LANs, firewalls, etc.), along with physical and logical connections and inter-dependencies between various items. Nowadays, every company owns and operates an ITS, but detailed information about the system is rarely publicly available. However, there are many situations where the availability of such data would be beneficial. For example, cyber ranges need descriptions of complex realistic IT systems in order to provide an effective training and education platform. Furthermore, various algorithms in cybersecurity, in particular attack tree generation, need to be validated on realistic models of IT systems. In this paper, we describe a system we call the Generator that, based on the high-level requirements such as the number of employees and the business area the target company belongs to, generates a model of an ITS that satisfies the given requirements. We put special emphasis on the following two criteria: the generated ITS models a large amount of details, and ideally resembles a real system. Our survey of related literature found no sufficiently similar prior works, so we believe that this is the first attempt of building something like this. We created a proof-of-concept implementation of the Generator, validated it by generating ITS models for a simplified fictional financial institution, and analyzed the Generators performance with respect to the problem size. The research was done in an iterative manner, with coauthors continuously providing feedback on intermediate results. (...) We intend to extend this prototype to allow probabilistic generation of IT systems when only a subset of parameters is explicitly defined, and further develop and validate our approach with the help of domain experts.
研究の動機と目的
- サイバーセキュリティの訓練や研究のための、詳細で現実的かつ公開可能なITシステムモデルの不足を解消すること。
- 現実の組織構造と技術的依存関係を反映する、複雑でエントレープライズレベルのITシステムモデルを自動生成できるようにすること。
- スケーラブルでカスタマイズ可能かつ代表的なITシステムモデルを提供することにより、サイバーレンジの開発、アタックグラフ分析、セキュリティリスク評価を支援すること。
- 最小限の入力に基づき、ソフトウェア、ネットワークサービス、資格情報、データ資産を含む豊富な詳細を有するモデルを生成できる概念実証システムを構築すること。
- 将来の確率的および専門家による検証を組み込む拡張の基盤を築くこと。
提案手法
- 本システムは、従業員数や事業分野などの上位レベルの入力をもとに、ワークステーション、サーバー、ソフトウェア、ネットワークサービスなどのITコンポONENTをルールベースの専門家システムアーキテクチャでインスタンス化する。
- ソフトウェアパッケージ、従業員役割、組織サービスの分野固有のテンプレートを適用し、CPE識別子、必要な依存関係、ハードウェア割当、セキュリティ露出指標などの属性を付与する。
- SMTソルバーや整数線形プログラミングツールを用いて論理的・技術的制約を強制し、生成されたモデルの整合性と妥当性を保証する。
- ネットワークトポロジーはセグメンテーションルールとファイアウォールポリシーを用いてモデリングされ、コンポーネントは論理的ネットワークゾーン(例:DMZ、内部ネットワーク)にグループ化される。
- ユーザー、システム、アクセスポリシーに適切にリンクされた資格情報とデータ資産が生成され、標準的および特権的(例:root)資格情報が含まれる。
- ストレージ場所とアクセス制御が定義されたデータセットインスタンス(例:FinancialData:banking)の作成が可能であり、現実的なデータフローのモデリングを可能にする。
実験結果
リサーチクエスチョン
- RQ1ルールベースの専門家システムは、従業員数や事業分野などの最小限の上位レベルの入力から、詳細で現実的なITシステムモデルを自動生成できるか?
- RQ2生成されたモデルは、ハードウェア、ソフトウェア、ネットワークサービス、データ依存関係を含む、現実のITシステムの複雑さをどの程度反映できるか?
- RQ3入力サイズの増加(例:従業員数、ネットワークセグメント数)に伴い、プロトタイプのパフォーマンスはどのようにスケーリングするか?
- RQ4生成されたモデルは、サイバーレンジの展開やアタックグラフ分析といった実用的ユースケースをサポートできるか?
- RQ5自動で現実的なITシステムをモデリングする際の主な制約や限界は何か。今後の研究でそれらはどのように克服できるか?
主な発見
- 概念実証実装により、100名の従業員、199台のコンピュータ、7つの従業員役割を有するフィクションの金融機関の詳細で現実的なモデルが正常に生成され、自動ITSモデリングの実現可能性が裏付けられた。
- 本システムは、199台の異なるコンピュータ、100名の従業員、100以上のソフトウェアインストール、199個の資格情報、5つのネットワークセグメンテーションルール、3つのデータセットインスタンス(アクセスポリシー付)を含む包括的なモデルを生成した。
- テストされた入力サイズにおいて、CPU使用率とメモリ消費量は許容範囲内に保たれ、本システムが現実のエントレープライズ規模のモデルに対してスケーラブルであることが示された。
- 生成されたモデルには、ソフトウェア依存関係、必要なオペレーティングシステム、ネットワークサービスの露出、データアクセス制御といった現実的な技術的・組織的詳細が含まれていた。
- SMTソルバーや整数線形プログラミングの使用により、生成されたシステム構成の論理的整合性と妥当性が保証された。
- 生成されたITSモデルのデータセットは公開されており、サイバーセキュリティ研究における再現可能性と今後のベンチマークの支援が可能である。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。