2007 Fiscal Year Annual Research Report
通信データ列特徴量の類似性に基づいた不正アクセス逆探知方式
| Project/Area Number |
18300017
|
|---|
| Research Institution | Tohoku University |
|---|
Principal Investigator |
根元 義章 Tohoku University, 大学院・情報科学研究科, 教授 (60005527)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
和泉 勇治 東北大学, 大学院・情報科学研究科, 講師 (90333872)
角田 裕 東北大学, 大学院・情報科学研究科, 助教 (30400302)
|
|---|
| Keywords | 不正アクセス / 逆探知 / ヒストグラム / 識別子 |
|---|
| Research Abstract |
本研究では、専門家の解析により作られるプロファイルの完成を待たずに不正アクセスの同一性を判断し、発生源となったネットワークやノードを発見する逆探知の基礎技術の開発を目的としている。この目的を達成するための最重要事項は、健全な利用者のプライバシーを侵すことなく通信の同一性を判断するための方式の開発とし、不正アクセスの通信データの特徴を数値化する方式の開発を行った。具体的には、通信データのプロトコルヘッダ部を除いた部分をnビット毎のコードに分解し、それぞれのコードの発生頻度をヒストグラムとして表すことを行った。この結果、ある種類の不正アクセスと他の種類の不正アクセスや正常な通信との弁別が可能であることが判明した。この結果を利用し、従来とはことなる不正アクセスのシグネチャ作成方式を確立した。このシグネチャを不正アクセスの識別子として用いることにより、その発生源の逆探知を実現する可能性を見出すことが出来た。また、この識別子を利用した逆探知方式の検証実験に用いる実験ネットワークを仮想化技術を利用し構築し、複数の不正アクセスを感染させ、実際に多数のノードへ感染活動を行う様子の観測に成功することが出来た。
更に、本研究で提案した不正アクセス識別子を利用した不正アクセスの逆探知システムの構築を行った。逆探知システムでは、観測した通信の種別、観測時刻、送信元、識別子の4つの情報を保持する必要があることが明らかとなった。この情報を利用し、実験ネットワークで再現し観測した不正アクセスの識別子と不正アクセス以外の通信の識別子を混在させたデータから逆探知対象の不正アクセスのみを抽出し、感染経路の再現を試みた所、My Doomya SWENなどの拡散型ワームの逆探知に成功し、拡散型不正アクセス逆探知の基礎技術の確立に成功した。
|
