| Research Abstract |
平成19年度は,(B)各種ログを関連付けるためのリンク技術について研究を進めた.(A)フラッシュワームの早期検知技術の検討で提案したACTM(Anomaly Connection Tree Method)を拡張し,サイレントワームの分散型検知手法であるd-ACTM/VTを提案し,シミュレーションによって評価した.
文献調査等を通じて分散IDSやログリンク技術とその問題点について整理した.また,ACTMについて学術会議で発表し,研究者と意見交換を行った.また,IDSの分散配置方法,各IDSにおけるローカルログの解析手法,IDS間の情報のリンクによるワームの分散検知手法について検討した.
これらの検討の結果,ACTMを分散型に拡張し,d-ACTM/VTへと発展させた.d-ACTM/VTはネットワーク内に配置された複数のIDSが協調動作して,ACTMに相当する検知機能を実行する.d-ACTM/VTでは,各IDSは監視対象ホストに関するローカルな通信ログを分析し,ACTの一部であるLocal AC Tree(LAT)の検知する.さらに,IDSの間でLATに関する情報を交換し,自身の情報と他のIDSから得られた情報をリンクしてアノマリコネクションのツリー構造を分散的に検知することで,ワームを検出する.
d-ACTM/VTを評価するために,シミュレーション・プログラムを実装し,さまざまな条件の下でシミュレーション実験を行った.その結果,d-ACTM/VTはACTMと同等の検出性能を達成できることを示した.また,監視対象のネットワークの情報をひとつのサーバに集約する必要が無く,個々のIDSが保持する必要がある情報量も少ないため,d-ACTM/VTはネットワークサイズに対してスケーラブルな方式であるといえる.主な研究成果は,情報処理学会論文誌,国際会議等で発表した.
|
