研究課題/領域番号 |
14019005
|
研究機関 | 東北大学 |
研究代表者 |
根元 義章 東北大学, 大学院・情報科学研究科, 教授 (60005527)
|
研究分担者 |
太田 耕平 (株)サイバー, ソリューションズ, 主任研究員
加藤 寧 東北大学, 大学院・情報科学研究科, 助教授 (00236168)
|
キーワード | 不正アクセス / セキュリティ管理 / HIDS / NIDS |
研究概要 |
インターネットにおける防犯カメラの役割を果たすIDS(Intrusion Detection System)は、HIDS(host-based IDS)とNIDS(Network-based IDS)に分類される。HIDSはホスト単位での監視を目的とし、ホストに関わる全ての通信やファイルを監視の対象としている。これに対し、NIDSはネットワーク上の通信トラヒックを監視の対象とし、その中の特定のキーワード(シグネチャ)を手掛かりに不正アクセスの有無を判断する。そこで、本研究では、HIDSとNIDSの高度な融合を図り、両者間の情報の相互伝達による不正アクセスの高感度検知及び侵入の足取りを追跡可能な能動型セキュリティ管理システムを提案し、さらに、広域ネットワークにおいてシステムの実装を行い、実用可能なプロトタイプを構築することを目的とした。 今年度では当初の計画通り、分散型NIDSの基本技術を中心に開発を進める一方、HIDSとの連携をも視野に入れた研究開発を行った。具体的には、(1)不正アクセスに関する情報収集、(2)観測システムの構築、(3)分散型NIDSによる高感度な検出システムの開発を行った。まず、(1)では不正アクセス、特に分散スキャンに注目し、情報収集を行いその特徴や対策手法を調査した結果、従来のような単独のIDSではこれらのスキャンに対応することは困難であるという結論に至った。そして、(2)では、ネットワークプローブをLANに設置し、TCPのACK/RSTやICMPパケットといった不正アクセスに関連するパケット群を観測・収集するシステムを構築した。観測システムはフリーソフトであるTCPDUMPやSNORTを利用して構築し、ネットワークの速度に対応できるようにパラメータのチューニングを行った。(3)では、ネットワーク上に分散配置したIDSと、それらを管理するマネージャとを組み合わせた分散型NIDSによる検出システムを構築し、スキャン検出件数および検出時刻の双方において単独のNIDSより高性能であるという結果を得た。
|