• Search Research Projects
  • Search Researchers
  • How to Use
  1. Back to project page

2011 Fiscal Year Research-status Report

非観測情報の統計的推定によるWebアプリケーション識別

Research Project

Project/Area Number 23500075
Research InstitutionTohoku University

Principal Investigator

和泉 勇治  東北大学, 情報科学研究科, 准教授 (90333872)

Co-Investigator(Kenkyū-buntansha) 田中 和之  東北大学, 情報科学研究科, 教授 (80217017)
Project Period (FY) 2011-04-28 – 2014-03-31
Keywordsネットワークセキュリティ / アプリケーション識別 / Webアプリケーション / 確率モデル
Research Abstract

本研究は,コンピュータネットワークにおいて観測不可能な情報を統計的に推定することにより,高精度なアプリケーションの識別を実現する基礎技術の開発を行う.23年度においては,研究を推進する上で必要となるトラヒックのデータベースの作成,パケット観測タイミングの確率的モデル化,異なる観測量間の相関関係の考察を中心に研究を進めた.トラヒックのデータベースの作成においては,インターネットでは観測不可能な情報をDB化することを目的とし,実験ネットワークにおいてWebサーバ,Webアプリケーションの稼働を試みた.DB作成においては,dummynetなどのツールを利用し,ネットワーク遅延を付加するなど,インターネットでの観測において影響を与えると想定されるノイズを観測量に含めるようにした.パケット観測タイミングの確率的モデル化については,パケットの到着間隔をベクトルとして数値化し,その分布を幾つかのモデルで近似することを試みた.そのモデルで簡単な識別実験を行った所,既学習データと未学習データの識別精度に大きな差があり,汎化性能に問題があることが判明した.この問題は,どのモデルでも生じており,確率モデルの問題ではなく,トラヒックの数値化方式のノイズに対する頑健性の不足に課題があるという結論に至った.異なる観測量間の相関関係については,パケットの到着間隔意外に,アプリケーションレイヤーでのメッセージの到着間隔にDBを再構成し,そのデータを付加することにした.この数値化は,アプリケーションの挙動を適切に表現し得ると思われたが,HTTPの場合,メッセージの送受信回数が少ないトラヒックも存在し,それから得られる情報量の少なさが問題となり,有効に機能することが出来なかった.この点についても今後検討すべき課題であることが明らかとなった.

Current Status of Research Progress
Current Status of Research Progress

2: Research has progressed on the whole more than it was originally planned.

Reason

当初予定していた計画を実施することが出来た.識別性能としては,決して有用なものが得られていないが,実施した研究により想定出来なかった問題点が明らかとなり,今後の研究推進に有用な知見を得ることができている.その意味で概ね順調に進展していると考える.

Strategy for Future Research Activity

まずは,トラヒックデータからの情報抽出方式の検討を中心に研究を進める.具体的な課題は,ノイズに対する頑健性である.現時点の数値化方式はノイズに対して非常に弱く,未学習データの識別性能が非常に低いという問題がある.これに対しては,トラヒックの数値化方式の見直しとトラヒックから抽出する統計的な情報の検討の2つのアプローチを考えている.数値化方式に関しては,他の観測量の追加や複数のフローを集約してからの数値化などのアプローチが想定される.トラヒックから抽出する統計的な情報に関しては,識別対象となり得るホスト毎にその通信特性を事前分布として学習しておき,それを利用する識別方式の検討が研究課題であると想定している.これらの検討を中心に今後は研究を推進する予定である.

Expenditure Plans for the Next FY Research Funding

トラヒックの事前分布の学習実験を実行するため,数値計算用のワークステーションを購入する予定である.複数のCPU,または,CPUコアを内蔵し,複数のパラメータを同時に検証出来る計算機環境を構築する.確率モデルの最新の研究動向を捕捉するため,幾つかの研究会への参加を予定している.IEICE 情報論的学習理論と機械学習研究会やニューろコンピューティング研究会などである.その他にも情報セキュリティに関する研究会などで成果の発表を行い,多くの研究者からの意見を頂くことも予定している.

  • Research Products

    (3 results)

All 2012 2011

All Journal Article (3 results) (of which Peer Reviewed: 3 results)

  • [Journal Article] A Multi-Stage Network Anomaly Detection...2012

    • Author(s)
      Y. Waizumi, H. Tsunoda, M. Tsuji and Y. Nemoto
    • Journal Title

      Jouranl of Information Security

      Volume: Vol. 3 Pages: 18-24

    • Peer Reviewed
  • [Journal Article] A Network-based Anomaly Detection System...2012

    • Author(s)
      Y. Waizumi, Y. Sato,and Y. Nemoto
    • Journal Title

      Journal of Communication and Computer

      Volume: Vol. 1 Pages: 1-10

    • Peer Reviewed
  • [Journal Article] Development of a WLAN Based Monitoring System ...2011

    • Author(s)
      H. Tsunoda , H. Nakayama , Y. Waizumi and Y.Nemoto
    • Journal Title

      Journal of Communications and Networks

      Volume: Vol. 13 Pages: 86-94

    • Peer Reviewed

URL: 

Published: 2013-07-10  

Information User Guide FAQ News Terms of Use Attribution of KAKENHI

Powered by NII kakenhi