2004 Fiscal Year Annual Research Report
不正アクセス情報の能動的収集機能を有するネットワークセキュリティシステムの構築
| Project/Area Number |
16300010
|
|---|
| Research Category |
Grant-in-Aid for Scientific Research (B)
|
| Research Institution | Tohoku University |
|---|
Principal Investigator |
根元 義章 東北大学, 大学院・情報科学研究科, 教授 (60005527)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
加藤 寧 東北大学, 大学院・情報科学研究科, 教授 (00236168)
和泉 勇治 東北大学, 大学院・情報科学研究科, 講師 (90333872)
|
|---|
| Keywords | 不正アクセス / 異常検知 / 状態記述方式 / 状態判別 / おとりシステム / ネットワークセキュリティ |
|---|
| Research Abstract |
インターネットにおける不正アクセス情報を効率的に収集するには、正常とは異なる異常なネットワークトラヒックを高精度に検出する必要があると考え、ネットワークトラヒックの状態記述方式の開発を行った。特に計算機によって自動的かつ高精度に不正アクセスの検出を行うために、不正アクセスをその挙動に基づき3種類に分類し、それぞれに対応したネットワークトラヒックの状態の数値化方式を提案した。数値化されたネットワーク状態の判別方式として、数値化された3種類のネットワーク状態を独立に扱うことで互いにノイズとして悪影響を及ぼすことを防ぎ、異常の判別を高精度に行う方式を確立した。ベンチマークに用いられるデータセットを用いた性能評価実験において、提案した方式が高い異常検出性能を有することを明らかにした。
また、この検出方式の検出結果に対し、過去に観測されたネットワークトラヒックとの差異を抽出することにより、不正アクセス固有の特徴を表す情報抽出方式も実現した。情報抽出方式においては、1日当りの許容誤検知数を設定するだけで他のシステムパラメータの自動設定を実現するアルゴリズムも構築し、実用的なシステム構築方式を確立した。また、新種の不正アクセスの早期検出に対する解決策として、このシステムにHopeyPotなどのおとりシステムを導入することにより、より確実で早期の検出が実現可能であることを確認した。
ネットワークトラヒックの状態抽出・判別の研究過程において、無線通信でのネットワーク環境の急激な変化が、異常検出に悪影響を与え得ることが明らかになった。この問題の解決策として、無線ネットワークの環境変化にロバストな通信制御方式を提案し、その有効性を確認した。無線ネットワークの急激な環境変化は、大量のトラヒックを発生させるサービス停止攻撃と類似した現象であることも判明し、提案した通信制御方式がサービス停止攻撃に対しても有効な対抗手段になる可能性も確認した。
|
