研究課題
まず、研究対象のデータとして、数Gbpsクラスの巨大なトラフィックデータを不正アクセス検知装置(IDS)で観測した警報を対象とした。京都大学に設置されたIDSでは、毎分200件程度の警報が出ている。ただし、このうちの99%は誤検知、あるいは、被害を生じない過去の脆弱性を狙った攻撃である。残り1%は、既知ではあるが脆弱性対応が不完全で被害を生じる可能性の疑われる攻撃、もしくは、攻撃の存在を遮蔽するため意図的に過去の攻撃を模倣した未知の攻撃である。また、大量の誤検知に埋もれてしまっているが、(D)DoS攻撃に関する警報も散発的に発せられている。本研究では、この1%の攻撃、あるいは、(D)DoS攻撃を抽出する手法を開発した。まずは、IDSに関するマイニングアルゴリズムのベンチマークデータとして広く利用されているKDDCup99データについて調査を行い、当該データがIDSの性能評価には不向きであること、特に、41次元データ中8次元程度しか有為な情報を持たないため、巧妙化・複雑化した最近の攻撃を反映できていないことを示した。次に、京都大学のIDSデータに対するマイニングアルゴリズムの開発を行った。前日、1週間前、1ヶ月前、3ヶ月前、6ヶ月前それぞれの警報データを全て正常データ、すなわち、誤検知として学習させクラスタリングを行なった。次に、生成されたそれぞれのクラスタを用いて、当日の警報データの判定を行った。さらに、異常データと判定された警報を、ハニーポットで検知された攻撃データと比較した。その結果、僅か十数件しかなかったが、マルウェアallapleのゼロディ攻撃が開始されたことによる警報であることが判明した。また、マイニング結果の可視化手法も開発し、上記allapleに起因する警報を強調表示したり、誤検知に埋もれていた(D)DoS攻撃を強調表示することで、攻撃を認識しやすい可視化を実現した。
すべて 2007 2006
すべて 雑誌論文 (5件) 図書 (1件)
信学技報(IA2006-36) 106・465
ページ: 31-36
システム技術分科会 (採録)
Proc.12th International Conference on Database Systems for Advanced Applications
ページ: 140-151
第3回情報通言システムセキュリティ時限研究会,電子情報通信学会 ICSS2006-19
信学技報(IA2006-1) 106・62
ページ: 1-6
