Project/Area Number |
21H03438
|
Research Category |
Grant-in-Aid for Scientific Research (B)
|
Allocation Type | Single-year Grants |
Section | 一般 |
Review Section |
Basic Section 60060:Information network-related
|
Research Institution | National Institute of Informatics |
Principal Investigator |
Fukuda Kensuke 国立情報学研究所, アーキテクチャ科学研究系, 教授 (90435503)
|
Project Period (FY) |
2021-04-01 – 2024-03-31
|
Project Status |
Completed (Fiscal Year 2023)
|
Budget Amount *help |
¥17,290,000 (Direct Cost: ¥13,300,000、Indirect Cost: ¥3,990,000)
Fiscal Year 2023: ¥5,070,000 (Direct Cost: ¥3,900,000、Indirect Cost: ¥1,170,000)
Fiscal Year 2022: ¥5,720,000 (Direct Cost: ¥4,400,000、Indirect Cost: ¥1,320,000)
Fiscal Year 2021: ¥6,500,000 (Direct Cost: ¥5,000,000、Indirect Cost: ¥1,500,000)
|
Keywords | IPv6 / ネットワークスキャン / ハニーネット / ダークネット / ハニーポット / DNS / インターネット / セキュリティ |
Outline of Research at the Start |
本課題では大規模IPv6ネットワークスキャンを網羅的に精度高く検出することを目標とする.既存の局所的なセンサはスキャンの正確な同定が可能であるが検出率が低く,DNS権威サーバによる大域的な検出手法は大規模イベントを検出可能だがスキャンの判定精度が低いという問題がある. そのため,局所的・大域的アプローチを拡張し組み合わ目標を達成する.具体的には,(1) センサのアドレス空間を積極的に広報し,より多くのスキャンを誘引する手法,(2) ネットワークアドレスブロックの使用パターンの推定手法,(3) 上記2つの知見を用いた教師あり機械学習によるDNS権威サーバでの高精度なスキャン検出手法を確立する.
|
Outline of Final Research Achievements |
In this work, we establish a methodology to attract IPv6 network scans, in order to early detect network scans in the wild. The key idea of the work is to expose IP address block information on sensor networks (i.e, honeynet and darknet) to the Internet so as to detect them by network scanners. We design and implement the proposed sensor networks and deploy to real IPv6 Internet. We confirmed that our proposed method effectively attracts network scans from over the world for more than six months; more than 2000 scans with our method though 5 scans with the traditional method.
|
Academic Significance and Societal Importance of the Research Achievements |
既存のIPv4インターネットからIPv6インターネットへの移行が進んでいる。IPv6ではアドレス空間が広大なため、ネットワークスキャナーは対象となるIPアドレスを得ることが難しい。同様に、スキャナーを検出するセンサーネットワークにおいてもスキャンが到達しない問題がある。本課題では、センサーアドレスを積極的に広報することで、より多くのスキャンを検出する手法を確立した。これにより、ホスト上の新たな脆弱性が発見された際に、実際の攻撃が始まる前兆である大規模ネットワークスキャンを検出することが可能となった。検出されたスキャンは管理者に対して防御のための重要な事前情報となる。
|