本研究の目的は、超高速ネットワークに対応し、DoS攻撃に対する弱点を克服するためのIDSの構築法を確立することである。この目的を達成するために、システムリソースの消費量の少ない観測方式、通信の異常性評価方式の開発を行った システムリソースの少ない観測方式としては、タイムスロット単位の観測とフロー単位での観測を段階的に組み合わせるシステムの構築を行った。通常のタイムスロット単位での観測では、個々の通信の異常性を詳細に評価することが困難であるが、本研究で提案した方式では、プライバシーを守りながらパケットのデータをタイムスロット単位で数値化することに成功し、その数値化された観測量を用いて、従来以上の精度で異常や不正を検知できる観測方式を確立した。 また、通信の異常性の評価方式としては、通信データを構成するコードのヒストグラムを用いた通信の数値モデル化を提案し、それを利用した不正検知方式を開発した。この方式は、検知対象とする不正アクセスの種類が増加した場合においても、計算量の増加が従来方式と比較して大幅に削減出来る優位性があることが判明した。更に、この数値化方式を従来のIDSの前段階に導入することにより解析対象の通信を削減する不正検知システムを構築し、従来のIDSと同等の検知精度を保持したまま、計算負荷の低い不正検知システムの実現に成功した。
|