2010 Fiscal Year Annual Research Report
多解像度観測量に対応した分散型ネットワーク異常検知システムの構築
| Project/Area Number |
20300023
|
|---|
| Research Institution | Tohoku University |
|---|
Principal Investigator |
根元 義章 東北大学, 大学院・情報科学研究科, 理事 (60005527)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
和泉 勇治 東北大学, 大学院・情報科学研究科, 准教授 (90333872)
角田 裕 東北工業大学, 工学部・情報通信工学科, 講師 (30400302)
|
|---|
| Keywords | 異常検知 / 処理時間推定 / 異常原因特定 / 不正利用ソフトウエア |
|---|
| Research Abstract |
ネットワークトラヒックの異常状態の早期検知と異常原因の特定方式の研究開発を目的とし、ネットワークトラヒックの数値化・評価方法についての検討を行った。平成21年度までは、ネットワークトラヒックを端末毎に分離せずトラヒック全体に含まれる異常状態の検知を対象としていたが、今年度は異常原因の特定を研究対象の中心に据え、通信端末毎にトラヒックを分離し、個々の通信が異常な通信であるか、不正なソフトウエアの利用に起因するトラヒックであるかを判別する手法の構築を行った。具体的な内容は、通信の秘匿性を保持した通信内容の数値化とメッセージの送受信タイミングからの処理時間推定方式の提案である。通信内容の数値化方式は、通信に利用されているパケットのデータ部を文字コードに分解し、その発生確率に基づく数値化を行う手法である。文字コードの出現順の情報が消去され通信の秘匿性が保持される特徴がある。処理時間推定方式については、トラヒックを発生するソフトウエア種別毎に計算機内で実行される処理内容が異なり、その処理時間も異なるという仮定に基づく数値化方式である。これらの数値化方式により得られたデータを利用し、異常通信の検知、不正利用ソフトウエアの特定システムを構築した。実運用ネットワークのトラヒックを用いた評価実験では、近年問題となっているBotによる異常通信を95%以上、その他のソフトウエア種別の特定を90%程度の精度で判別し、本研究の目的であるネットワーク異常状態の早期検知と異常原因の特定を実現出来たと言える。
|
