|
本研究では、ネットワークを介した攻撃や不正侵入行為の時間的変動を確率モデルとして定式化し、これに基づいて各種の不正侵入対策技術の妥当性を評価する手法を確立することにある。
本年度はその端緒として、Webおよびメールサービスへのアクセスをパケット単位で漏らさず記録することのできる計測システム、および付帯ネットワークシステムを構築した。またこのシステムを用いて、できる限り長期にわたるパケットの送受信を定点観測・記録し、これをまず意味のある通信単位であるコネクションにグループ化した。個々のコネクションに対して主観的基準に基づき正常・不正という2つの集合に分類した。この2集合を適切に分離できるような指標を分散分析を用いて評価し、不正侵入の特徴的パターンを抽出するための簡便な指標を発見することに注力した。この結果、以下のような成果を得た。
1.コネクションに含まれるパケットの付帯情報(ヘッダ)から得られる指標のうち、送信元・受信先アドレス、通信開始時刻、通信継続時間を指標とした場合、級間分散が相対的に小さく、2つの集合を分離するための指標として適切であるとは言いがたい。
2.コネクションあたりのデータ量を指標とした場合、特にメールサービスについて、級間分散がある程度大きく、不正なアクセスとそうでないものをある程度分離できることがある。
これらの結果に基づき、来年度はパケット中の実データに踏み込み、不正侵入の特徴的パターンを抽出するための指標を発見することに注力する。
|
