2012 Fiscal Year Research-status Report
ハースト空間を用いた異常トラフィック検知方法に関する研究
| Project/Area Number |
23500077
|
|---|
| Research Institution | Akita University |
|---|
Principal Investigator |
高橋 秋典 秋田大学, 工学(系)研究科(研究院), 助教 (90236258)
|
|---|
| Keywords | トラフィック特性 / トラフィック解析 / R/S解析法 / R/S Pox Diagram / R/S Poxレッグライン 特性 / 異常検知 / 周期推定法 |
|---|
| Research Abstract |
平成24年度は,実際のキャンパスネットワークから取得したパケットトラフィックデータに対して前年度で検討したR/S Pox レッグライン特性の解析を実施して,非定常的に発生する異常トラフィックに対する提案特性を用いた検知手法の可能性を検討した.
まず,pcapライブラリおよびリングバッファを用いたマルチスッド処理によって実時間でパケットデータから時系列データを生成するモジュールを開発し,それを用いた実時間によるR/S Pox レッグライン特性解析プログラムを作成した.キャンパスネットワークに適用した結果,パケットロスなく解析が行えることを確認できた.
次に,トラフィック事象変化点検出アルゴリズムの検討として,R/S Pox レッグライン特性を用いて,周期的時系列の周期と同等の値を呈するプロット点群の折れ曲がるポイントを推定する周期推定手法を考案した.これを用いて,実トラフィックデータに混在する長期的ポートスキャン攻撃トラフィックの周期性を検知できることを明らかにした.
さらに,R/S Pox レッグライン特性の傾きの変移を捉えることで,観測時系列における攻撃トラフィックの状態(攻撃開始,攻撃中,攻撃終了)を推測する手法の検討も行った.具体的には傾きの特徴量に対してニューラルネットワークを用いたパターン認識を行うことで,状態判別を実現した.
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
平成24年度で計画した実時間計測のためのプログラム開発に関しては,実環境での実験でパケットを計測しながらR/S Pox レッグライン特性を導出することが確認できた.
また,R/S Pox Diagramからの特徴量を用いた変化点検出アルゴリズムの考案に関しては,提案したR/S Pox レッグライン特性から非定常的性質である周期性を推定する手法を考案し,実トラフィックにおける長期的ポートスキャン攻撃トラフィックに対して検知評価を行い有効性を示した.このとき,観測時系列に対する攻撃トラフィックの状態をニューラルネットワークによるパターン認識が可能であるか基礎実験を行い,その状態認識の可能性を示すことができた.
さらに,平成25年度研究予定であったトラフィック状態の可視化手法の検討として, R/S Pox Diagramの前半・後半プロット群のそれぞれ3つの傾きを3次元空間の直交座標系として表現し,各プロット群の状態を空間上にマッピングする手法を提案した.
これらの研究成果は,研究発表に記しているように論文等で発表済みである.以上より,当初の目的に対して概ね順調に進展している.
|
| Strategy for Future Research Activity |
2年にわたる事前研究で提案できたR/S Pox レッグライン特性に関して,周期性検知によるトラフィック変化検知のみならず,突発的トラフィック増加やワーム発生時のゆるやかなトラフィック変化に対する性質など更なる検討を行う.
また,トラフィック可視化に関して,3次元直交座標系による表現のみならず,ネットワーク管理者に対してより認識しやすい可視化手法の検討を行う.このとき,可視化の表現という観点以外にも,管理者に対して操作性や汎用性,利便性を考慮したトラフィック監視システムの提案という観点でも検討を行う.
|
| Expenditure Plans for the Next FY Research Funding |
該当なし
|
