|
1)ダークネットデータを利用して、通常時の通信挙動モードを構築した。 履歴データを大量収集して、それを利用して,通常時の挙動モード(多種・大量)を構築することができました。より具体的に言えば、各時間単位(5分、10分)の中、各終点ポートへ通信してきた始点の数を数えて、ヒストグラムを作成します。そのヒストグラムを分析して、課題代表者が考案したアルゴリズムでノイズを削除します。そのあと、本ポートの通常時挙動モードを抽出することができました。
2)通常時挙動モードを利用して,分散型スキャン攻撃の検知手段を考案することができました。関連の研究成果は情報処理学会の論文誌に掲載する予定です。異常検知を高速に行うために大量の流れてきたパケットデータの状況をリアルタイムに追跡し、1)で構築した通常時通信モードを利用して,異常検知を行います.通常時挙動モードの更新及び精度のよい検知手法などの課題がありました。
3)検知の高速化のため、新しいインデックスを構築しました。本研究でそのインデックスをBH-treeと呼びます。それを利用すれば、検知時間は30倍以上短縮される場合もありました。
4)異常検知機能の定量的評価を実現しました。実際データを利用して、提案の有効性を検証しました。
以上の研究成果を情報処理学会の英文論文誌に投稿して、採録されました。査読者に高い評価を受けました。
|
