2008 Fiscal Year Annual Research Report
通信端点における分散検知モジュールによる侵入防止機構
| Project/Area Number |
19024008
|
|---|
| Research Institution | University of Tsukuba |
|---|
Principal Investigator |
前田 敦司 University of Tsukuba, 大学院・システム情報工学研究科, 准教授 (50293139)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
山口 喜教 筑波大学, 大学院・システム情報工学研究科, 教授 (00312827)
|
|---|
| Keywords | セキュアネットワーク / 安全性・信頼性 |
|---|
| Research Abstract |
通信内容を検査するためのパターンマッチングエンジンの速度を落とすことなくメモリ消費量を大幅に削減する新たなデータ構造を提案し, 評価を行った. これを用いて、メールやWebなど, TCP通信を行うサーバへの攻撃を検知するための検査モジュールや, UDPやICMPなどの通信の検査を行うカーネル内検査モジュールを作成し,個々のサーバやPCに設置できるほど軽量な検査モジュールが実現可能であることを実証した. さらに, TCP通信用の検査モジュールとUDPやICMP向けの検査モジュールで検出した疑わしいパケットに対して, より詳細な検査を行う詳細検査モジュールを実装し, NIDSとして完結したソフトウェアシステムとした.
また,開発したデータ構造は, 侵入知以外に正規表現を用いたテキスト処理への利用も考慮し、メモ化により効率向上を試みた.
今後は, 検知結果の情報を個々の計算機やネットワーク全体で統合して防御する仕組みを開発し, システム全体の完成度を高めるとともに, 大規模な攻撃や感染をシミュレートすることによってシステムの実用性を検証する研究を進める, 既存のNIDSであるSnortのルールをそのまま用い, 既存NIPSよりもスケーラブルで情報爆発時代に対応できる侵入検知システムとしての実用性を高め, フリーソフトウェアとして公開して広く一般の利用に供する. また, 暗号通信に対する検知の仕組みや, 認証を用いて検査を省略する手法に関する研究を進める予定である.
|
