|
インターネット上では日々様々なデータトラフィックが流通している.その多くは正しいものであるが,一部のトラフィックは異常なものである.また,インターネット上の影響度合いという意味では,正常・異常トラフィックともに,少数のホストが関与している場合,多くのホストが関与している場合がある.本研究では,後者の多くのホストによる大きなイベントの検出を目指している.その例として,CDNやメーリングリストに関係する正常なもの,ネットワークスキャンやスパム送信等の異常なものである. 基本的なアプローチとしては,インターネット上の名前解決方式であるDNSを用いて,どのような名前が普段と異なる振る舞いをするかに着目した.基課題では,DNS逆引きエリ名を用いたDNSバックスキャッターに関する研究を進めているが,本課題では,DNSバックスキャッターを将来的に異常な大規模ネットワークイベントの検出に使用するための基盤技術について研究を行っている.原理的にはDNSバックスキャッターが大規模イベントを検出できることは示されているものの,実際にこれらのデータを日々のネットワーク監視に応用するためには,精度の向上およびリアルタイム性の向上をはかることが必要である.
本年度は,受入研究者らが運用しているB-Root DNSデータの解析を行い,学習データの時間依存性の解明,高速化のために簡略化した特徴量空間での検出精度の向上をはかることが可能であることを示した.また,正解データの一つとなるダークネットデータのタクソノミーを構築することで,より的確なスキャンの検出が可能となった.
|
