2007 Fiscal Year Annual Research Report
ソフトウエアの動作推定に基づく情報改竄に頑健な不正アクセス検知方式の構築
| Project/Area Number |
19700053
|
|---|
| Research Institution | Tohoku University |
|---|
Principal Investigator |
和泉 勇治 Tohoku University, 大学院・情報科学研究科, 講師 (90333872)
|
|---|
| Keywords | アプリケーション識別 / パケットサイズ / アプリケーションペイロード / 遷移パターン / 情報流出 |
|---|
| Research Abstract |
本研究は、近年大きな社会問題となっているネットワークを経由した情報流出事故を防ぐために、不正なネットワークアプリケーションの自動検知を目標としている。情報流出を引き起こす不正アプリケーションは、アプリケーション識別に利用されるポート番号を容易に変更することが出来るため、ポート番号に依存しないアプリケーション識別方式が必要となる。
そこで本研究では、パケットサイズやアプリケーションペイロードの遷移パターンを利用したアプリケーション識別方式の提案を行った。提案方式は、各ネットワークアプリケーションには、ユーザー認証、バージョン情報交換などの共通の情報交換が通信の初期段階で行われ、それらの規則性を適切にモデル化出来れば、ポート番号に依存しないアプリケーション識別が可能であるとの仮定に基づいている。
パケットサイズの遷移パターンを利用したアプリケーション識別においては、識別性能を確保するために、一定数以上のパケットを利用することが必要であるが、一定数以上のパケットの通信が行われると、パケットサイズがMTU付近で一定になってしまい、アプリケーション間の差異が埋没してしまう問題が明らかとなった。そこで本研究では、パケットサイズの逆数を利用することでこの問題を解決し、90%以上の識別精度を達成することが出来た。
更に、パケットサイズを利用した識別では、不要データのパディングなどによってサイズを変更されてしまう問題もあるため、通信内容を利用した識別手法の構築も行った。この手法は、ペイロードを8ビット毎のコードに分割し、その発生確率を利用してペイロードの数値化を行っている。この数値化方式は、通信内容の不可逆な変換で通信の秘匿性を保持した方式である。この数値化したデータの遷移パターンの法則性を学習することにより、パケットサイズを利用した方式と同等のアプリケーション識別精度を達成した。
|
