| 研究課題/領域番号 |
18049042
|
|---|
| 研究種目 |
特定領域研究
|
| 配分区分 | 補助金 |
|---|
| 審査区分 |
理工系
|
|---|
| 研究機関 | 京都大学 |
|---|
研究代表者 |
高倉 弘喜 京都大学, 学術情報メディアセンター, 助教授 (70281144)
|
|---|
| 研究期間 (年度) |
2006
|
| 研究課題ステータス |
完了 (2006年度)
|
| 配分額 *注記 |
2,900千円 (直接経費: 2,900千円)
2006年度: 2,900千円 (直接経費: 2,900千円)
|
|---|
| キーワード | 情報可視化 / IDS / データマイニング / トラフィックデータ / ハニーポット / ゼロデイ攻撃 / センサーシステム |
|---|
| 研究概要 |
まず、研究対象のデータとして、数Gbpsクラスの巨大なトラフィックデータを不正アクセス検知装置(IDS)で観測した警報を対象とした。京都大学に設置されたIDSでは、毎分200件程度の警報が出ている。ただし、このうちの99%は誤検知、あるいは、被害を生じない過去の脆弱性を狙った攻撃である。残り1%は、既知ではあるが脆弱性対応が不完全で被害を生じる可能性の疑われる攻撃、もしくは、攻撃の存在を遮蔽するため意図的に過去の攻撃を模倣した未知の攻撃である。また、大量の誤検知に埋もれてしまっているが、(D)DoS攻撃に関する警報も散発的に発せられている。本研究では、この1%の攻撃、あるいは、(D)DoS攻撃を抽出する手法を開発した。
まずは、IDSに関するマイニングアルゴリズムのベンチマークデータとして広く利用されているKDDCup99データについて調査を行い、当該データがIDSの性能評価には不向きであること、特に、41次元データ中8次元程度しか有為な情報を持たないため、巧妙化・複雑化した最近の攻撃を反映できていないことを示した。
次に、京都大学のIDSデータに対するマイニングアルゴリズムの開発を行った。前日、1週間前、1ヶ月前、3ヶ月前、6ヶ月前それぞれの警報データを全て正常データ、すなわち、誤検知として学習させクラスタリングを行なった。次に、生成されたそれぞれのクラスタを用いて、当日の警報データの判定を行った。さらに、異常データと判定された警報を、ハニーポットで検知された攻撃データと比較した。その結果、僅か十数件しかなかったが、マルウェアallapleのゼロディ攻撃が開始されたことによる警報であることが判明した。
また、マイニング結果の可視化手法も開発し、上記allapleに起因する警報を強調表示したり、誤検知に埋もれていた(D)DoS攻撃を強調表示することで、攻撃を認識しやすい可視化を実現した。
|
