|
本研究は、インターネット全体でワームや利用者の意図しない情報流出による流出情報の移動を捕捉するシステムの構築を目的としている。H21年度では、情報の移動を捕捉するために、ネットワークトラピックからファイルなどの捕捉対象の情報の同一性を評価する方式を重点的に検討した。研究計画の段階では、研究者が提案しているTCPのフローに含まれる8ヒット毎のデータコードの発生確率を利用する予定でいたが、それのみを利用した場合、途中でデータ内容に変化があった場合の曖昧性を許容した同一性評価性能が大幅に低下することが判明した。そこで、そのフローを送受信しているアプリケーションが何であるかを突き止め、その情報を基に、同一性を評価するTCPフローを絞り込むことで、性能低下を防ぐことに成功した。フローの送受信アプリケーションの識別には、個々のアプリケーションメッセージの送信間隔がアプリケーション毎に異なる点に着目し、その違いを基に識別する手法を新規に提案した。
また、同一性指標を基に、該当する情報の移動経路をグラフ化する方式についても検討した。情報流出やワームの拡散は多くの場合TCPにより行われるため、TCPのセッションを保持している端末のIPアドレス、ポート番号を基に同一性を探索し、グラフを作成するアルゴリズムの構築も行った。実験ネットワークでワームの感染実験を行い、いくつかの種類のワームで感染経路のグラフ化に成功した。
|
