超高速ネットワークに対応する階層型異常検知システムの構築

• Project/Area Number: 17700045
• Research Category: Grant-in-Aid for Young Scientists (B)
• Allocation Type: Single-year Grants
• Research Field: Computer system/Network
• Research Institution: Tohoku University
• Principal Investigator: 和泉 勇治 東北大学, 大学院・情報科学研究科, 講師 (90333872)
• Project Period (FY): 2005 – 2006
• Project Status: Completed (Fiscal Year 2006)
• Budget Amount: ¥2,800,000 (Direct Cost: ¥2,800,000); Fiscal Year 2006: ¥1,300,000 (Direct Cost: ¥1,300,000); Fiscal Year 2005: ¥1,500,000 (Direct Cost: ¥1,500,000)
• Keywords: 段階的不正検知 / ヒストグラム / IDS / 不正アクセス / ネットワークセキュリティ / 超高速ネットワーク / 段階的異常検知 / タイムスロット / フロー解析

Research Abstract

本研究の目的は、超高速ネットワークに対応し、DoS攻撃に対する弱点を克服するためのIDSの構築法を確立することである。この目的を達成するために、システムリソースの消費量の少ない観測方式、通信の異常性評価方式の開発を行った
システムリソースの少ない観測方式としては、タイムスロット単位の観測とフロー単位での観測を段階的に組み合わせるシステムの構築を行った。通常のタイムスロット単位での観測では、個々の通信の異常性を詳細に評価することが困難であるが、本研究で提案した方式では、プライバシーを守りながらパケットのデータをタイムスロット単位で数値化することに成功し、その数値化された観測量を用いて、従来以上の精度で異常や不正を検知できる観測方式を確立した。
また、通信の異常性の評価方式としては、通信データを構成するコードのヒストグラムを用いた通信の数値モデル化を提案し、それを利用した不正検知方式を開発した。この方式は、検知対象とする不正アクセスの種類が増加した場合においても、計算量の増加が従来方式と比較して大幅に削減出来る優位性があることが判明した。更に、この数値化方式を従来のIDSの前段階に導入することにより解析対象の通信を削減する不正検知システムを構築し、従来のIDSと同等の検知精度を保持したまま、計算負荷の低い不正検知システムの実現に成功した。

Research Products

• [Journal Article] イントラネットセキュリティシステムにおける協調型DoS追跡技術 (2007)
  • Author(s): 角田裕, 太田耕平, 田中真一, 和泉勇治, 加藤寧, キニ グレンマン スフィールド, 根元義章
  • Journal Title: 情報処理学会論文誌 vol. 48, No. 2 Pages: 733-742
  • NAID: 110006207795
• [Journal Article] A NETWORK-BASED ANOMALY DETECTION SYSTEM USING MULTIPLE NETWORK FEATURES (2007)
  • Author(s): Yuji Waizumi, Yohei Sato, Yoshiaki Nemoto
  • Journal Title: Proc. of Web Information Systems and Technologies Vol. 1 Pages: 410-413
• [Journal Article] A Low Cost Worm Detection Technique based on Flow Payload Similarity (2007)
  • Author(s): Youhei Suzuki, Yuji Waizumi, Hiroshi Tsunoda, Yoshiaki Nemoto
  • Journal Title: Proc. of Web Information Systems and Technologies Vo1. 1 Pages: 414-417
• [Journal Article] A Multi-Level Security Based Autonomic Parameter Selection Approach for an Effective and Early Detection of Internet Worms (2006)
  • Author(s): K.Simkhada, T.Taleb, Y.Waizumi, A.Jamalipour, K.Hashimoto, N.Kato, Y.Nemoto
  • Journal Title: Proc. of IEEE Globecom' 06 (CDROM)
• [Journal Article] An Efficient Signature-Based Approach for Automatic Detection of Internet Worms over Large-Scale Networks (2006)
  • Author(s): K.Simkhada, T.Taleb, Y.Waizumi, A.Jamalipour, N.Kato, Y.Nemoto
  • Journal Title: Proc. of IEEE Int. Conf. Commun. (CDROM)
• [Journal Article] A New Network Anomaly Detection Technique Based on Per-flow and Per-service Statistics (2005)
  • Author(s): Yuji Waizumi, Daisuke Kudo, Nei Kato, Yoshiaki Nemoto
  • Journal Title: in Proc. of Int. Conf. on Computional Intelligence and Security 1 Pages: 52-259
• [Journal Article] Differencing Worm Flows and Normal Flows for Automatic Generation of Worm Signatures (2005)
  • Author(s): K.Simkhada, H.Tsunoda, Y.Waizumi, Y.Nemoto
  • Journal Title: The First IEEE International Workshop on Security and Pervasive Multimedia Environments 2 Pages: 680-685
• [Journal Article] パケットペイロードのクラスタリングによる拡散型不正アクセス検知方式に関する一考察 (2005)
  • Author(s): 和泉 勇治, 辻 雅史, 根元 義章
  • Journal Title: 電子情報通信学会技術研究報告 CS2005 Pages: 19-24
  • NAID: 110003283589
• [Journal Article] 段階的トラヒック解析によるネットワーク異常検出方式 (2005)
  • Author(s): 辻 雅史, 和泉 勇治, 角田 裕, 根元 義章
  • Journal Title: 電子情報通信学会技術研究報告 IN2005 Pages: 67-72
  • NAID: 110003224930
• [Journal Article] フローペイロードの類似性に基づく拡散型ワーム検出方式に関する一検討 (2005)
  • Author(s): 辻 雅史, 和泉 勇治, 角田 裕, 根元 義章
  • Journal Title: 電子情報通信学会技術研究報告 NS2005 Pages: 9-12
• [Journal Article] トラヒック種別間の相関関係に基づいたネットワーク状態の評価方式 (2005)
  • Author(s): 廣瀬 淳一, 和泉 勇治, 角田 裕, 根元 義章
  • Journal Title: 電子情報通信学会技術研究報告 NS2005 Pages: 5-8
  • NAID: 110004018470
• [Journal Article] トラヒックの最小流量に着目したトラヒックパターンのフィルタリングによるDDoS追跡方式 (2005)
  • Author(s): 内海宏律, 角田 裕, 和泉勇治, 根元義章
  • Journal Title: 電子情報通信学会技術研究報告 NS2005 Pages: 1-4