研究課題
インターネットにおける不正アクセスのプロファイルを自動的に作成するためには、正常とは異なる異常なネットワークトラヒックを高精度に検出する必要があると考え、計算機で処理可能なネットワークトラヒックの特徴量抽出(数値化)手法を様々な観点から定義し、数値化されたネットワークトラヒックから異常を判断する状態判別モデルを提案した。具体的には、ネットワークトラヒックを総合的に記述可能なタイムスロット型特徴量、個々のホストやアプリケーション毎に詳細な通信特性を記述できるフローカウント型特徴量、フローペイロード型特徴量を提案した。これらの特徴量は、計算機で効率的に扱えるように数値で表現され、数十次元のベクトルとして定義される。ネットワークトラヒックは、ネットワークプロトコルやアプリケーション動作に基づき生成されるため、特徴量のベクトルの各要素間に有意な相関関係が存在し得ることを明らかとなり、その相関関係を自動的に抽出可能な主成分分析を用いた通常状態のプロファイル定義構築手法を提案した。また、異なる観点により定義して特徴量を同時に扱った場合、互いにノイズとして作用し、異常検出に悪影響を及ぼすことも明らかにし、主成分分析とそれを用いた異常検知までを個々の特徴量毎に独立に動作させる異常検出システムを構築した。不正アクセスのデータベースによって上記提案手法の評価実験を行い、従来研究と比較して、フォールスポジティブやフォールスネガティブが少なく高精度な検知を行えることが明らかとなり、本研究の優位性を確認できた。本研究では、ネットワークトラヒックの数値方式、主成分分析による通常状態のプロファイル作成手法を確立し、プロファイル作成機能を有するマルチモード型不正アクセス検出システムの構築を実現した。
すべて 2004 2003
すべて 雑誌論文 (5件) 産業財産権 (1件)
IEICE TRANSACTIONS on Information and Systems Vol.E87-D, No.12
ページ: 2635-2643
電子情報通信学会技術研究報告 NS2004-144
ページ: 45-48
電子情報通信学会技術研究報告 NS2004-101
ページ: 1-6
情報処理学会論文誌 Vol.45・No.1
ページ: 65-73
電子情報通信学会技術研究報告 NS2003-98
ページ: 55-60
