核心概念
時間変動型アクティブディレクトリネットワークにおいて、デコイを戦略的に配置することで、ドメイン管理者への攻撃に対する対応時間を最大化する。
要約
本論文では、時間変動型アクティブディレクトリネットワークにおけるサイバー攻撃への防御手段としてデコイの配置問題を研究している。
まず、時間変動型アクティブディレクトリネットワークをグラフモデルで表現し、攻撃者がドメイン管理者に到達するまでの時間を「対応時間」として定義する。防御者の目的は、デコイの配置によって対応時間を最大化することで、早期に攻撃を検知し、適切な対応を取れるようにすることである。
この問題をスタッケルバーグゲームとしてモデル化し、防御者の最適化問題がNP困難であることを示す。そのため、進化的多様性最適化(EDO)アルゴリズムを提案する。
しかし、EDOアルゴリズムの単純な適用では、大規模なグラフに対して収束が遅く、実用的ではない。そこで、以下の2つの改善策を提案する:
最短到達時間経路の計算を高速化するDijkstra ベースのアルゴリズムの導入
制約付き進化アルゴリズム:
整数計画法を用いた修復オペレーター
代替(サロゲート)フィットネス関数と罰則関数を用いた手法
これらの改善により、大規模なアクティブディレクトリグラフに対しても効率的に最適なデコイ配置を見出すことができる。
統計
月間30億件のアクティブディレクトウントに対する不正アクセス試行が報告されている。
アクティブディレクトリネットワークのグラフには、静的エッジと動的エッジ(HasSessionエッジ)が存在する。
静的エッジが大部分を占める一方で、動的エッジが時間変動の主な要因となっている。
引用
"アクティブディレクトリは、Windowsドメインネットワークのデフォルトのセキュリティ管理システムである。"
"我々のモデルでは、攻撃者は完全な可視性を持ち、防御者の配置戦略を観察できると仮定する。"