| 研究概要 |
近年のマルウェアは高度化・複雑化が進んでいる。その中でも,攻撃のステルス化をはかる,単位時間あたりのパケット数が非常に低い"低レート攻撃"は注目を集めている.観測トラフィックの激増などの,値の変化に着目した従来手法では,低レート攻撃を検知することは難しい.ほかの攻撃に使われる通常時の挙動モードに基づいた既存の異常検知案も低レート攻撃に適用できない.
本研究では,実際のネットワークトラフィックを調べていたところ,上述の低レート攻撃の危険性およびその検知の難しさが確認された.そして,次のような挙動に基づく同時多発低レート攻撃の検知アルゴリズムを初めて提案した.
(1)カレント時間単位に各始点から流れてきたパケット数を統計する
(2)挙動モードで各始点は低レート通信になるのかを判断する
(3)低レート通信になった始点を数える
(4)挙動モードを利用して,カレント時間単位に同時多発低レート攻撃になるのかを判断する
実際のデータを利用する実験の結果を通して本提案の有効性を示した.
以上の研究結果は,平成24年3月16日に東京で開催した第17回情報通信システムセキュリティ研究会(ICSS2012)にて発表して,高い評価を得た.しかも,平成24年7月16日~20日にトルコで開催するThe 12th IEEE/IPSJ International Symposium on Applications and the Internetに投稿して,査読者にも高く評価された.その国際学会で発表することが確定された.
|
