インターネット上では日々様々なデータトラフィックが流通している.その多くは正しいものであるが,一部のトラフィックは異常なものである.また,インターネット上の影響度合いという意味では,正常・異常トラフィックともに,少数のホストが関与している場合,多くのホストが関与している場合がある.本研究では,後者の多くのホストによる大きなイベントの検出を目指している.その例としては,CDNやメーリングリストに関係する正常なもの,ネットワークスキャンやスパム送信等の異常なものである. 基本的なアプローチとしては,インターネット上の名前解決方式であるDNSを用いて,どのような名前が普段と異なる振る舞いをするかに着目する. 本年度は引き続きDNSの逆引きクエリ名を用いたDNSバックスキャッターの学習データの拡充およびその精度向上に関して研究を進めた.さらに,トラフィック中のネットワークスキャンを検出するアルゴリズムを開発し,過去15年にわたるインターネットバックボーントラフィックデータに適用することで,ネットワークスキャンの振る舞いを明らかにした.とりわけ,オープンソースのスキャンツールの出現により,カジュアルなネットワークスキャンが増加していること,研究・セキュリティ目的のスキャンが定常的に行われているもののサーバ設置基準等の研究倫理が必ずしも守られているわけではないことが明らかとなった.以上の結果は国際会議論文として出版された.
|