|
本研究ではインターネット上で疎通している「異常」トラフィックの検知を目的とし、R/S解析で用いられるポックスダイアグラムの特徴的な形状変化に着目することとした。R/S解析は、ランダム過程が自己相似性を示すときの自己相似パラメータHの推定に用いられる方法の一つで、Hはポックスダイアグラム上での回帰直線の傾きとして求められる。疎通トラフィックにフラッド攻撃やスキャンなどの悪意あるトラフィックが混在しているときには、R/Sポックスダイアグラムが特徴的な散布形状を呈する。昨年度までの実績報告では低レートのポートスキャンに対し、R/Sポックスダイアグラムがその途中で折れ曲がりを呈し、この折れ曲がり点はスキャン周期Tに一致していることを述べた。折れ曲がりの形状は人間の脚部の折れ曲がりに類似していることに鑑み、これをR/Sポックスレッグライン特性と命名していた。
当該トラフィック時系列は周期信号を含むランダム時系列と見なせるので、たとえばフーリエ解析によりその周期を見出せると考えられる。しかし実際にパワースペクトル解析を実施してみた結果、当該スキャン周期以外にも複数のスペクトルが認められ、スキャン周期を把握するという目的からは、R/Sポックスレッグライン特性に対する優位性は高くはなかった。
本研究でのR/Sポックスダイアグラムの援用は、疎通トラフィックに異常がある場合と無い場合の両モードを検討できるという長所に注目したものであった。フーリエパワースペクトル解析の摘要は、自己相似パラメータ推定に用いるペリオドグラムの採用と同義であり、トラフィック時系列に周期成分が混在している場合であってもHの推定は可能である。本研究ではR/Sポックスダイアグラム援用とフーリエパワースペクトル解析との組み合わせにより、より高度な異常トラフィック検知の扱いの可能性を示すことができた。
|
