マルウェアを5分で自動解析し相関分析する「nicter」、Interopで公開へ

情報通信研究機構は、ネットワーク上の攻撃を検知し、自動解析、相関分析を行う分析システム「nicter」を開発。Interop Tokyo 2007で実証的運用を公開する。

[ITmedia]

　情報通信研究機構（NICT）は6月6日、ネットワーク上の攻撃を検知し、自動解析、相関分析を行うセキュリティインシデント分析システム「nicter（Network Incident analysis Center for Tactical Emergency Response）」を開発したことを明らかにした。6月13日から15日にかけて開催される「Interop Tokyo 2007」の展示会で公開する。

　nicterは、ネットワーク上で観測、検知した攻撃をマクロ、ミクロの両方の視点から自動分析し、可視化するシステム。サイバー攻撃の増加、多様化により、従来からの半手動型の解析が困難になってきていることを踏まえ、セキュリティログを元に攻撃を自動的に分析したり、高い精度でマルウェアを自動解析する技術を実現した。

　具体的には4つのサブシステムから構成される。広域ネットワークを観測し、攻撃をリアルタイムに自動分析する「マクロ解析システム」、ハニーポットなどによってマルウェアを捕捉し、検体1つを5分程度で自動解析する「ミクロ解析システム」、この2つの解析結果の創刊を調べ、ネットワーク上で起こっている現象とその原因を結び付ける「マクロ-ミクロ相関分析システム」、一連の分析結果を集約、管理し、可視化して表示する「インシデントハンドリングシステム」だ。

　Interop Tokyo 2007では、イベントの中核を担うネットワーク「ShowNet」にnicterを導入。ShowNetに対する攻撃をリアルタイムに分析、可視化するとともに、収集されたマルウェアの自動解析などを行う。解析結果はShowNet全体を管理するNOC（Network Operation Center）で活用する予定だ。