|
OpenFlow コンポーネントを用いたネットワーク観測手法として、ネットワークパケット到着挙動における異常検知技術手法の研究開発を実施した。ネットワークトラフィックの異常挙動を検知するために、入力されたパケットデータを時系列に変換し、時間列データに対する挙動解析を行う方法がとられる。その際、どのように時系列データに変化をし、それをどのように解析するかが課題である。
本研究では、ネットワークを介した攻撃挙動の検知を目的とするため、終点ポート番号、始点IPアドレス数、到着パケット数を時系列データ作成のキーとすることに着目し、その上で時系列データ解析を行う手法を考案した。
時系列データの解析には、従来、時系列データの変化に応じて算出された変化点スコアと、あらかじめ設定した閾値との比較により、異常挙動を検知する手法が用いられている。この場合、定常状態を表す閾値を適切に定める必要があった。考案手法では、変化点スコアを別の時系列データとし、正規分布を仮定することと、その統計量によって定まる動的な閾値による異常検知手法を考案した。さらに、その手法をダークネットトラヒックに適用することで、その有効性および変化点スコア算出機構のパラメタ設定に関する指針を得た。
本研究の成果は、情報処理学会九州支部火の国情報シンポジウム2019にて発表した。
|
