| Project/Area Number |
15700041
|
|---|
| Research Category |
Grant-in-Aid for Young Scientists (B)
|
| Allocation Type | Single-year Grants |
|---|
| Research Field |
Computer system/Network
|
|---|
| Research Institution | Tohoku University |
|---|
Principal Investigator |
和泉 勇治 東北大学, 大学院・情報科学研究科, 講師 (90333872)
|
|---|
| Project Period (FY) |
2003 – 2004
|
| Project Status |
Completed (Fiscal Year 2004)
|
| Budget Amount *help |
¥1,900,000 (Direct Cost: ¥1,900,000)
Fiscal Year 2004: ¥700,000 (Direct Cost: ¥700,000)
Fiscal Year 2003: ¥1,200,000 (Direct Cost: ¥1,200,000)
|
|---|
| Keywords | ネットワーク特徴量 / 不正アクセス / 異常検知 / 主成分分析 / プロファイル作成 |
|---|
| Research Abstract |
インターネットにおける不正アクセスのプロファイルを自動的に作成するためには、正常とは異なる異常なネットワークトラヒックを高精度に検出する必要があると考え、計算機で処理可能なネットワークトラヒックの特徴量抽出(数値化)手法を様々な観点から定義し、数値化されたネットワークトラヒックから異常を判断する状態判別モデルを提案した。具体的には、ネットワークトラヒックを総合的に記述可能なタイムスロット型特徴量、個々のホストやアプリケーション毎に詳細な通信特性を記述できるフローカウント型特徴量、フローペイロード型特徴量を提案した。これらの特徴量は、計算機で効率的に扱えるように数値で表現され、数十次元のベクトルとして定義される。
ネットワークトラヒックは、ネットワークプロトコルやアプリケーション動作に基づき生成されるため、特徴量のベクトルの各要素間に有意な相関関係が存在し得ることを明らかとなり、その相関関係を自動的に抽出可能な主成分分析を用いた通常状態のプロファイル定義構築手法を提案した。また、異なる観点により定義して特徴量を同時に扱った場合、互いにノイズとして作用し、異常検出に悪影響を及ぼすことも明らかにし、主成分分析とそれを用いた異常検知までを個々の特徴量毎に独立に動作させる異常検出システムを構築した。
不正アクセスのデータベースによって上記提案手法の評価実験を行い、従来研究と比較して、フォールスポジティブやフォールスネガティブが少なく高精度な検知を行えることが明らかとなり、本研究の優位性を確認できた。
本研究では、ネットワークトラヒックの数値方式、主成分分析による通常状態のプロファイル作成手法を確立し、プロファイル作成機能を有するマルチモード型不正アクセス検出システムの構築を実現した。
|
