| 研究課題/領域番号 |
23500076
|
|---|
| 研究機関 | 秋田大学 |
|---|
研究代表者 |
五十嵐 隆治 秋田大学, 工学(系)研究科(研究院), 教授 (00091786)
|
|---|
| キーワード | 自己相似性 / R/Sポックスダイアグラム / 異常検知 / トラフィックフロー / べき分布 / スキャン攻撃 / synパケット |
|---|
| 研究概要 |
本申請課題はR/Sポックスダイアグラムの散布形状に注目して、トラフィックの異常検知を試みようとするものである。本研究の主たる意図はハーストパラメータの推定ではなく、R/Sポックスダイアグラムの散布形状に注目した異常トラフィックの同定の試みである。悪意あるトラフィックが多く疎通する現状において、異常トラフィックの同定は今後のインターネットの発展に寄与し得る有用な研究の一つとなる。
ターゲットに向けて悪意あるアクセスを意図する場合、脆弱なポートを探る目的でsynパケットによるポートスキャンが実行されることが多い。しかし近年、スキャン検知を逃れる方法として、synパケットを用い、低レートで周期的にスキャンをする方法も取られる。低レートスキャンは単なるレベルシフトとしての検知は困難である。そこで本研究では、低レートであるが周期的となるsynパケットフローの周期に着目し、この周期推定にR/Sポックスダイアグラムの特徴的散布形状を用いてみることを試みた。この特徴的散布形状モードは人間の大腿部の脚形状に類似することから、本研究ではこれをR/Sポックスレッグライン(R/S Pox Leg-Line)特性を名づけた。
初めに、シミュレーショントラフィック生成によりR/Sポックスレッグライン特性の特徴を把握し、これを参照しつつ、キャンパスにおいて取得された実トラフィックデータに対するレッグライン特性を調べてみた。この結果synパケットによる低レートスキャン攻撃の検知とその周期推定に、本提案法は有効であることを確認できた。本提案による方法は単なる周期推定のみを意図したものではなく、R/Sポックスダイアグラムの形状変化から、トラフィック状態の自己相似性からの推移の程度も同定できる可能性を有していて、今後はトラフィック異常検知のみならず、融通性のあるトラフィック状態同定法として活用し得る。
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
2: おおむね順調に進展している
理由
R/Sポックスダイアグラムのレッグライン特性により低レートスキャンを検知する場合、その誤検知率は適応閾値法やCUSUM法より向上する場合もあるが、ネットワークの実用運用において、より少ない誤検知率を得るには他の方法を援用するシステム構築が求められる。この候補として、昨年度は設定閾値超過期間長分布を計画していた。この設定閾値超過期間長分布は物理学での相転移現象の概念を援用したもので、このべき分布図上で傾きが-1となる直線がトラフィックの自己相似性を示すものとなり、これより大きな傾きの領域がトラフィックの輻輳領域、小さな領域が非輻輳領域となる性質を有する分布図である。この分布図は定常トラフィックに対する特性の議論に用いられものであるが、昨年度の計画ではレベルシフトなどを有する異常トラフィックが、べき分布図上で特徴的な形状を示すことに着目し、この特性を異常検知に適用し得る可能性を試みることとしていた。
設定閾値超過期間長分布特性の基本的特徴を探るためにレベルシフトを含むシミュレーショントラフィックを生成し、このトラフィックを用いて基礎的な検討を実施した。研究室におけるシミュレーショントラフィックとしては2次の自己相似過程時系列の数学的な実現系であるFGN(Fractional Gaussian Noise)を用いていたが、実トポロジーのもとで疎通する実トラフィックの十分なシミュレーションはFGNでは達成し得ない。このために外注による、より現実のトラフィックに近いシミュレーショントラフィックを用いることとした。シミュレーションモード数はまだ十分とは言えず、これを用いた異常検知特性の議論は未だ不十分ではあるが、2次の自己相似性の議論に用いられる設定閾値超過期間長分布の分布図は異常トラフィックの同定に使用し得る可能性を示唆していて、当該年度の目的の達成度は6割程度と見積もられる。
|
| 今後の研究の推進方策 |
R/Sポックスダイアグラムの散布形状変化によるトラフィックフローの単純レベルシフトおよび周期的レベルシフトの検知は、設定閾値超過期間長分布との併用により有効な検知システム構築の可能性を示唆していたので、平成25年度はこれをさらに進め、実ネットワークシステムにおける管理者支援の方策提言へと発展させることを目指す。平成24年度には、より実トラフィックに近いシミュレーショントラフィックを得るために、シミュレータOPNETを外注により活用したが、平成25年度にも前年度の設定条件を発展させたシミュレーショントラフィックを取得し、より広い観点からの検討をしてみる。
本研究で、自己相似過程の程度の記述に用いるハーストパラメータの推定法であるR/Sポックスダイアグラム、ないしは相転移のチェックのための、べき分布表現による設定閾値超過期間長分布を援用したのは、異常トラフィック状態の検知のみならずトラフィック状態が自己相似性から推移する状況を探り得る可能性を見たからである。すなわち、定常、および異常トラフィックが交互に顕現、ないしは混在しているような状況で、同一の方法の援用により定常、および異常の両状態の検知と記述の可能性を見出し得る。本年度は研究のまとめの年度ゆえこのことの総括的な検討をめざし、いま一度、実トラフィックに近いシミュレーショントラフィックをOPNET外注により取得し、R/Sポックスダイアグラムの散布形状とべき分布表現による設定閾値超過期間長分布形状との相関を調べ、レベルシフト的な異常トラフィックの検知システム構築の可能性への提言を試みる。
|
| 次年度の研究費の使用計画 |
研究の推進方策に述べたように、より実トラフィックに近いシミュレーショントラフィックを、ネットワークシミュレータOPNETにより取得する。OPNETによるシミュレーションスキーム構築は前年度と同様に外注する。シミュレーションスキーム構築の際には外注先との詳細な打合せが必要となり、複数回の出張を予定している。出張費は成果発表と併せ、シミュレーションスキーム構築のための打合せにも用いる。またシミュレーションデータ取得後のデータ解析は、前年度に比較し広範囲且つ複雑な処理を予定していて、この処理は大学院生および外部の方に依頼する。このための謝金も科研費から支出する。
シミュレーション結果の解析ならびに詳細な検討は、従来の共同研究者とのディスカッションによっても進める予定で、このための出張も必要となるので科研費での旅費をこれに充てる。本研究と同様のテーマを進めている他機関の共同研究者は、本科研費執行者とは異なるネットワーク上で、異なる観点からの検討もしていて、ディスカッションは互いに取って非常に有益であり、発展的な業績へ繋がることが期待される。
|
