|
インターネットにおける不正アクセスのプロファイルを自動的に作成するためには、正常とは異なる異常なネットワークトラヒックを高精度に検出する必要があると考え、計算機で処理可能なネットワークトラヒックの特徴量抽出(数値化)手法を様々な観点から定義し、数値化されたネットワークトラヒックから異常を判断する状態判別モデルを提案した。具体的には、ネットワークトラヒックを総合的に記述可能なタイムスロット型特徴量と、個々のホストやアプリケーション毎に詳細な特徴を記述できるフロー型特徴量を提案し、それぞれの特性に応じた学習・判別モデルを構築した。
タイムスロット型特徴量は、ネットワークトラヒック全体に占めるプロトコルやフラグの数を用いた特徴量であり、その特徴量からプロトコルによって規定された拘束条件によって、プロトコルやフラグの種類の出現頻度の相関関係を定量的に評価できることが判明し、主成分分析などの統計学的解析方法によって、通常と異常の分離が可能であることが明らかとなり、それを応用した判別手法を構築した。
フロー型特徴量は、個々のアプリケーションによって生成されるトラヒックのパケット数や大きさ、ペイロードに含まれる文字コードなどを定量的に評価可能であるように構成した。その特徴により、不正なトラヒックと正常なトラヒック間の特性の違いを文字コードのヒストグラムや正規分布などで評価し、異常トラヒックを検知する手法を提案した。
不正アクセスのデータベースによって上記提案手法の評価実験を行い、従来研究と比較して、フォールスポジティブやフォールスネガティブが少なく高精度な検知を行えることが明らかとなり、本研究の優位性を確認できた。
|
