公開前のシステムの脆弱性（ゼロデイ脆弱性）をつくゼロデイ攻撃は防ぐのがむつかしく、企業にとっての脅威となっている。どこが攻撃対象になるのかわからない状況向けにも、システムの構成をプロアクティブに動かすことで攻撃の難易度を上げる「MTD（Moving Target Defense）」と呼ばれる手法がある。ただ、手動での再構成には時間とコストがかかるとの弱点があった。

こうしたなかペンシルバニア州立大学の研究者チームは、強化学習に基づく機械学習アプローチを使用して、ゼロデイ攻撃に有効な適応型サイバー防護手法を開発している。

防護アクションを強化学習で最適化

ゼロデイ攻撃といえば、2017年に猛威を振るったWannaCryを思い浮かべる方も多いだろう。このワーム型ランサムウェアは、150カ国の20万台以上のWindowsコンピュータを攻撃対象にしている。

脆弱性を補強するためにパッチを適用することになるが、企業内システムではテストを経ての手動適応となることも多い。研究者によると、一般的に攻撃への対応には最大15日を要し、組織は多額の費用ととリソースを消費する可能性があるという。

強化学習では、エージェントが環境内を探索し、報酬を最大化するアクションを学習していく。強化学習を用いた手法は、攻撃対象と脆弱性が未知な状況での防護に特に有効だ。

未知の攻撃シナリオに対応

研究チームは、コンピュータ10台構成のネットワークで強化学習アルゴリズムを検証している。

ネットワークには、Webサーバー、メールサーバー、ゲートウェイ、SQLサーバー、DNSサーバー、管理サーバーが含まれていた。また内部ホストへのアクセスを防ぐためのファイアウォールが設けられた。脆弱性には、複数の攻撃シナリオがあり得るものが選ばれている。

同アルゴリズムはいまのところ、大量のデータと学習反復が必要との改善点もあるようで、研究チームはモデルベースのアプローチを取り入れ学習プロセスを加速する意向だ。

参照元：Machine learning algorithm may be the key to timely, inexpensive cyber-defense/ Penn State News