2008 Fiscal Year Annual Research Report
ソフトウエアの動作推定に基づく情報改竄に頑健な不正アクセス検知方式の構築
| Project/Area Number |
19700053
|
|---|
| Research Institution | Tohoku University |
|---|
Principal Investigator |
和泉 勇治 Tohoku University, 大学院・情報科学研究科, 講師 (90333872)
|
|---|
| Keywords | アプリケーション識別 / ペイロード長 / パケット送受信間隔 / 遷移パターン / 情報流出事故 |
|---|
| Research Abstract |
本研究は、近年大きな社会問題となっているネットワークを経由した情報流出事故を防ぐために、不正なネットワークアプリケーションの自動検知を目標としている。情報流出を引き起こす不正アプリケーションは、アプリケーション識別に利用されるポート番号を容易に変更することが出来るため、ポート番号に依存しないアプリケーション識別方式が必要となる。
そこで本研究では、パケットサイズやアプリケーションペイロードの遷移パターンを利用したアプリケーション識別方式の提案を行った。提案方式は、各ネットワークアプリケーションには、ユーザー認証、バージョン情報交換などの共通の情報交換が通信の初期段階で行われ、それらの規則性を適切にモデル化出来れば、ポート番号に依存しないアプリケーション識別が可能であるとの仮定に基づいている.ケーション識別が可能であるとの仮定に基づいている。
パケットサイズの遷移パターンを利用したアプリケーション識別においては、TCPヘッダに記録されているポート番号が正しいものと仮定し、その妥当性の評価を行う手法として識別アルゴリズムを利用するシステムの構築を行った。構築した識別システムでは、97%以上の精度で識別を正しく行えることが明らかとなり、ポート番号を一切利用しない識別アルゴリズムと比較して高精度な識別を実現することが出来た。
更に、パディングなどの影響を受けない指標として、パケット送受信の時間間隔をアプリケーション毎に学習し、識別可能であるかを検証した。ペイロード長と比較すると外乱の入り易い特徴量であるが、90%以上の正確性でアプリケーション識別を行えることが明らかとなり、改窟が困難な指標としての可能性を見出すことに成功した。
|
