|
本研究は、近年大きな社会問題となっているネットワークを経由した情報流出事故を防ぐために、不正なネットワークアプリケーションの自動検知を目標としている。情報流出を引き起こす不正アプリケーションは、アプリケーション識別に利用されるポート番号を容易に変更することが出来るため、ポート番号に依存しないアプリケーション識別方式が必要となる。
そこで本研究では、パケットサイズやアプリケーションペイロードの遷移パターンを利用したアプリケーション識別方式の提案を行った。提案方式は、各ネットワークアプリケーションには、ユーザー認証、バージョン情報交換などの共通の情報交換が通信の初期段階で行われ、それらの規則性を適切にモデル化出来れば、ポート番号に依存しないアプリケーション識別が可能であるとの仮定に基づいている.ケーション識別が可能であるとの仮定に基づいている。
パケットサイズの遷移パターンを利用したアプリケーション識別においては、TCPヘッダに記録されているポート番号が正しいものと仮定し、その妥当性の評価を行う手法として識別アルゴリズムを利用するシステムの構築を行った。構築した識別システムでは、97%以上の精度で識別を正しく行えることが明らかとなり、ポート番号を一切利用しない識別アルゴリズムと比較して高精度な識別を実現することが出来た。
更に、パディングなどの影響を受けない指標として、パケット送受信の時間間隔をアプリケーション毎に学習し、識別可能であるかを検証した。ペイロード長と比較すると外乱の入り易い特徴量であるが、90%以上の正確性でアプリケーション識別を行えることが明らかとなり、改窟が困難な指標としての可能性を見出すことに成功した。
|
