• 研究課題をさがす
  • 研究者をさがす
  • KAKENの使い方
  1. 課題ページに戻る

2003 年度 実績報告書

プロファイル作成機能を有するマルチモード型不正アクセス検出システム

研究課題

研究課題/領域番号 15700041
研究機関東北大学

研究代表者

和泉 勇治  東北大学, 大学院・情報科学研究科, 講師 (90333872)

キーワードネットワーク特徴量 / 不正アクセス / 異常検知
研究概要

インターネットにおける不正アクセスのプロファイルを自動的に作成するためには、正常とは異なる異常なネットワークトラヒックを高精度に検出する必要があると考え、計算機で処理可能なネットワークトラヒックの特徴量抽出(数値化)手法を様々な観点から定義し、数値化されたネットワークトラヒックから異常を判断する状態判別モデルを提案した。具体的には、ネットワークトラヒックを総合的に記述可能なタイムスロット型特徴量と、個々のホストやアプリケーション毎に詳細な特徴を記述できるフロー型特徴量を提案し、それぞれの特性に応じた学習・判別モデルを構築した。
タイムスロット型特徴量は、ネットワークトラヒック全体に占めるプロトコルやフラグの数を用いた特徴量であり、その特徴量からプロトコルによって規定された拘束条件によって、プロトコルやフラグの種類の出現頻度の相関関係を定量的に評価できることが判明し、主成分分析などの統計学的解析方法によって、通常と異常の分離が可能であることが明らかとなり、それを応用した判別手法を構築した。
フロー型特徴量は、個々のアプリケーションによって生成されるトラヒックのパケット数や大きさ、ペイロードに含まれる文字コードなどを定量的に評価可能であるように構成した。その特徴により、不正なトラヒックと正常なトラヒック間の特性の違いを文字コードのヒストグラムや正規分布などで評価し、異常トラヒックを検知する手法を提案した。
不正アクセスのデータベースによって上記提案手法の評価実験を行い、従来研究と比較して、フォールスポジティブやフォールスネガティブが少なく高精度な検知を行えることが明らかとなり、本研究の優位性を確認できた。

  • 研究成果

    (2件)

すべて その他

すべて 文献書誌 (2件)

  • [文献書誌] 和泉勇治, 宇津江康太 加藤寧, 根元義章: "リンクの輻輳状態を考慮した動的なミラーサーバ選択方式"情報処理学会論文誌. Vol.45 No.1. 65-73 (2004)

  • [文献書誌] 内山勇一, 和泉勇治, 加藤寧, 根元義章: "自己回帰予測を用いたトラヒック解析によるDoS検知方法の提案"電子情報通信学会技術研究報告. NS2003-98. 55-60 (2003)

URL: 

公開日: 2005-04-18   更新日: 2016-04-21  

サービス概要 検索マニュアル よくある質問 お知らせ 利用規程 科研費による研究の帰属

Powered by NII kakenhi