2005 Fiscal Year Annual Research Report
不正アクセス情報の能動的収集機能を有するネットワークセキュリティシステムの構築
| Project/Area Number |
16300010
|
|---|
| Research Institution | Tohoku University |
|---|
Principal Investigator |
根元 義章 東北大学, 大学院・情報科学研究科, 教授 (60005527)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
加藤 寧 東北大学, 大学院・情報科学研究科, 教授 (00236168)
和泉 勇治 東北大学, 大学院・情報科学研究科, 講師 (90333872)
|
|---|
| Keywords | 分散型不正検知 / 通信内容類似性 / クラスタリング / シグネチャ自動生成 / ヒストグラム |
|---|
| Research Abstract |
インターネットにおける不正アクセス情報を素早く収集するには、不正アクセスの発生をいち早く発見することが必要であると考え、通信内容の類似性に着目した不正アクセスの早期検知方式の開発を行った。インターネットに蔓延するウイルスやワームは、拡散のために、それ自身の複製を多数のホストに送信する通信特性を有している。この特性は、ウイルスが被害拡大のために必ず発生するものであり、この通信を早期に捉えることが出来れば、不正アクセスの発生を早期に検知し、被害の拡大を抑制することが可能となる。
この問題に対し、本研究は、通信内容を8ビット毎のコードに分割し、そのコードの出現頻度をヒストグラムとして表現する数値化方式、そのヒストグラムをベクトルとして扱い、クラスタリング技術を適用することにより、通信内容の類似性を効率的に評価可能な類似性評価方式を提案した。この通信内容数値化方式と類似性評価方式を異なる組織のネットワークに分散して設置することにより、非常に少ない誤検知率で新種の不正アクセスを発見可能であることを確認した。
また、上記方式により検知された不正アクセスを分散配置したネットワークから能動的に収集し、それらの共通部分を抽出することにより、新たに発見した不正アクセス検知用のシグネチャデータベースの自動生成方式を完成させた。更に、不正アクセスの共通部分抽出方式は、すでにシグネチャデータベースが完成し、検知可能となっており不正アクセスに適用することにより、シグネチャデータベース作成時点では知ることの出来なかった亜種の出現を自動的に発見することが可能であることも確認され、新種と亜種の出現に対応可能な不正アクセスの情報収集技術を確立した。
|
