| 研究概要 |
平成18年度は,フラッシュワームの早期検知技術について研究を進めた.
文献調査等を通して,ネットワークワームの種類や特性,その検知手法,評価方法と評価項目について整理した.フラッシュワームの中でさらに強力なワームをサイレントワームと定義してモデル化を行った.フラッシュワームは既存の多くのワームと異なり,アドレススキャンの代わりにヒットリストを用いて感染活動を行うワームである.サイレントワームは,これに加えて,他ホストへの感染試行回数を制限する.このため,感染活動に起因するトラヒックの異常性を利用する既存の検知手法では検知が困難である.
本研究では,サイレントワームの検知のためにアノマリコネクションのツリー構造を利用した検知アルゴリズムを検討し,ACTM(Anomaly Connection Tree Method)を提案した.サイレントワームを含めたネットワークワームの感染活動の特徴は,(1)通常あまり通信を行わないホスト間での通信が集中的に発生すること,(2)感染コネクションと感染ホストがツリー構造を形成することの二点である.そこでACTMは,発生頻度が低い通信(アノマリコネクション)を検出し,それらの組み合わせによって形成されるツリー構造であるアノマリコネクションツリーを検出することでワームの感染活動を検知する.本年度は,企業ネットワークの各ホストのログが一箇所に集積することを前提として,このようなACTMの基本検知アルゴリズムを確立した.
提案したACTMを評価するために,シミュレーション・プログラムを実装し,さまざまな条件の下でシミュレーション実験を行った.その結果,ACTMは既存の手法と比べて,10倍以上高速なワーム検知を実現できることを示した.
主な研究成果は,情報処理学会論文誌,研究会で発表した.
|
