| 研究課題/領域番号 |
16300010
|
|---|
| 研究種目 |
基盤研究(B)
|
| 配分区分 | 補助金 |
|---|
| 応募区分 | 一般 |
|---|
| 研究分野 |
計算機システム・ネットワーク
|
|---|
| 研究機関 | 東北大学 |
|---|
研究代表者 |
根元 義章 東北大学, 大学院・情報科学研究科, 教授 (60005527)
|
|---|
| 研究分担者 |
加藤 寧 東北大学, 大学院・情報科学研究科, 教授 (00236168)
和泉 勇治 東北大学, 大学院・情報科学研究科, 講師 (90333872)
|
|---|
| 研究期間 (年度) |
2004 – 2005
|
| キーワード | 分散型不正検知 / 通信内容類似性 / シグネチャ自動生成 / 共通トークン / ヒストグラム / クラスタリング |
|---|
| 研究概要 |
ネットワークセキュリティにおいては、新種の不正アクセスの出現をいち早く検知することが重要である。本研究では、それらの早期検知を実現するために、未知の不正アクセスに対応可能な異常検知技術と通信内容の類似性に基づく不正アクセスの早期検知方式、不正アクセスの特徴的な情報の抽出方式の開発を行った。
異常検知技術の研究においては、不正発生時に生じるネットワークトラヒックの状態変化の解析に基づき、3種類のトラヒック観測方式に基づく異常検知手法を提案し、評価用データベースを用いた検知実験において世界最高レベルの検知性能を実現した。また、インターネットに蔓延するウイルスが拡散の際に、それ自身の複製を多数のホストに送信する通信特性を利用し、ウイルス拡散を早期に検知する方式の提案も行った。具体的には、通信データを構成するバイトコードの出現頻度をヒストグラムとしてモデル化することにより、通信内容の類似性を効率的に評価可能な類似性評価方式とそれに基づく拡散型不正検知方式を提案した。この方式を異なる組織のネットワークに分散して設置することにより、非常に少ない誤検知数で新種の不正アクセスを発見可能であることを確認した。
また、上記方式により検知された不正アクセスを分散配置したネットワークから能動的に収集し、それらの共通部分を抽出することにより、新たに発見した不正アクセス検知用のシグネチャデータベースの自動生成方式を完成させた。更に、不正アクセスの共通部分抽出方式は、すでにシグネチャデータベースが完成し、検知可能となっている不正アクセスに適用することにより、シグネチャデータベース作成時点では知ることの出来なかった亜種の出現を自動的に発見することが可能であることも確認され、新種と亜種の出現に対応可能な不正アクセスの情報収集技術を確立した。
|
