2005 Fiscal Year Annual Research Report
超高速ネットワークに対応する階層型異常検知システムの構築
| Project/Area Number |
17700045
|
|---|
| Research Institution | Tohoku University |
|---|
Principal Investigator |
和泉 勇治 東北大学, 大学院情報科学研究科, 講師 (90333872)
|
|---|
| Keywords | 不正アクセス / ネットワークセキュリティ / 超高速ネットワーク / 段階的異常検知 / タイムスロット / フロー解析 |
|---|
| Research Abstract |
インターネットにおける不正アクセスを高精度に検出するためには、従来用いられているパケット単位の解析ではなく、End-to-Endの組み合わせ毎に抽出したフロー単位での解析が必要である。解析対象のフローを抽出するためには、End-to-Endの情報を観測機器が保持し、対象フローを構成するパケットを収集する必要がある。近年、高速化の著しいインターネットにおいては、同時に大量のフローが発生する可能性があり、フロー数に比例して保持すべきEnd-to-Endの情報が膨大になる問題が生じる。また、この問題は、フロー単位での解析技術の構造的な欠陥でもあり、攻撃者の攻撃対象となり得る脆弱性であるとも言える。
本研究では今年度において、上記問題の解決策として、段階的異常検知システムのアーキテクチャを提案し、そのシステムの必要要件と検知性能の基本的検証を行った。具体的には、観測の第一段階として観測に必要なリソースの少ないタイムスロット型での観測方式を設置し、第二段階でのフロー単位での観測と解析を行う基本的なシステムを構築し、第一段階において観測すべき情報に関する実験と考察を行った。この考察から高精度な異常検知には、タイムスロット型においても、パケットペイロードの情報をも観測対象とすべきであるとの知見を得ることが出来た。その知見に基づき、タイムスロット型の観測方式にパケットのペイロード部の情報を統合した新しい観測方式を提案し、段階的な異常検知を行っても、高い検知性能を保持可能な第一段階の観測システムを完成した。
|
