| 研究概要 |
Slammerに代表される自己増殖型ワームはその感染力が強く,加えて高速アクセス網が広く普及したことにより感染拡大の速度が高まり,ネットワーク全体が輻輳状態になる可能性がある.これらのワームによるトラヒックを通過するルータでのパケット情報のみで特定するのは難しく,除去することも困難なため,分散型ファイアウォールなどにより情報収集を行い除去する手法などが研究されている.
一方で信号処理の分野では複数の信号源から発生した混合信号を観測し、その観測信号のみを用いて元信号の分離を行なう独立成分分析の手法に関する研究がさかんに行なわれている。この手法の応用例として観測信号からノイズのみを削除するといった研究例なども報告されている。そこで、本研究ではインターネットにおけるウィルス感染に伴う不正パケットによる再感染先探索アタックを,独立成分分析を用いた特定および分離除去方法に関する研究を試みた。一般にウィルスに感染した後の感染先探索のパケット放出は、健全な利用時におけるパケットの送出とは異った傾向として非常に極端分布の異なるパケットの放出を行う特性を持っている。この不正パケット極端な分布を持ったパケットをインターネットトラヒックのノイズと見なし、独立成分分析の手法を応用することにより、各ルータ毎で不正な輻輳を引き起す原因となるパケットを除去することによって、ネットワークが麻痺状態に陥るのを防ぐ手法について研究を行なった。
研究の結果,独立成分分析における信号分離を行う際の混合過程を定式化することにより,ルータで観測したパケットの送信先アドレスのみを用いて不正トラヒックを推定する手法を提案することができた.また,シミュレーション結果より,提案手法を用いることにより,ワームにより発生したトラヒックをパケットの送信先アドレスの情報だけを用いて非常に高い程度で特定できることが判明した.
|
