2004 Fiscal Year Annual Research Report
独立成分分析によるインターネットトラヒック上の不正トラヒックの除去に関する研究
| Project/Area Number |
16700069
|
|---|
| Research Institution | Nara Institute of Science and Technology |
|---|
Principal Investigator |
安達 直世 奈良先端科学技術大学院大学, 情報科学研究科, 助手 (10335490)
|
|---|
| Keywords | 不正トラヒック検出 / 独立成分分析 / 事後確率評価 / ベイズの定理 |
|---|
| Research Abstract |
Slammerに代表される自己増殖型ワームはその感染力が強く,加えて高速アクセス網が広く普及したことにより感染拡大の速度が高まり,ネットワーク全体が輻輳状態になる可能性がある.これらのワームによるトラヒックを通過するルータでのパケット情報のみで特定するのは難しく,除去することも困難なため,分散型ファイアウォールなどにより情報収集を行い除去する手法などが研究されている.
一方で信号処理の分野では複数の信号源から発生した混合信号を観測し、その観測信号のみを用いて元信号の分離を行なう独立成分分析の手法に関する研究がさかんに行なわれている。この手法の応用例として観測信号からノイズのみを削除するといった研究例なども報告されている。そこで、本研究ではインターネットにおけるウィルス感染に伴う不正パケットによる再感染先探索アタックを,独立成分分析を用いた特定および分離除去方法に関する研究を試みた。一般にウィルスに感染した後の感染先探索のパケット放出は、健全な利用時におけるパケットの送出とは異った傾向として非常に極端分布の異なるパケットの放出を行う特性を持っている。この不正パケット極端な分布を持ったパケットをインターネットトラヒックのノイズと見なし、独立成分分析の手法を応用することにより、各ルータ毎で不正な輻輳を引き起す原因となるパケットを除去することによって、ネットワークが麻痺状態に陥るのを防ぐ手法について研究を行なった。
研究の結果,独立成分分析における信号分離を行う際の混合過程を定式化することにより,ルータで観測したパケットの送信先アドレスのみを用いて不正トラヒックを推定する手法を提案することができた.また,シミュレーション結果より,提案手法を用いることにより,ワームにより発生したトラヒックをパケットの送信先アドレスの情報だけを用いて非常に高い程度で特定できることが判明した.
|
