| 研究課題/領域番号 |
23500106
|
|---|
| 研究機関 | 沖縄工業高等専門学校 |
|---|
研究代表者 |
伊波 靖 沖縄工業高等専門学校, メディア情報工学科, 教授 (60390564)
|
|---|
| 研究期間 (年度) |
2011-04-28 – 2014-03-31
|
| キーワード | 不正プログラム検知 / SVM / WAF |
|---|
| 研究概要 |
Windows系の不正プログラム検知方法について危険なシステムコールに着目したシステムの開発を行った。ルールベースによる検知とSVMによる識別を組み合わせることで、検知ができることを確認した。しかし、開発したシステムについては、現時点で実用化できる段階まで完成度が高くないことから、さらに完成度を高める必要がある。また、SVMを用いてプログラムの特徴に着目した不正プログラム検知手法について提案し、その有効性を確認するためのシミュレーション実験を行っている。プログラムの特徴に着目した検知手法と危険なシステムコールに着目した振る舞いによる検知手法を組み合わせることで、さらに高い検知率が期待できる。次に、Windows系で有効であることが示された手法をMac OS X上において実装するためにMac OS Xにおけるシステムコールの調査と、不正なプログラムによる危険なシステムコールの分類を行った。現在、Mac OS Xにおけるカーネル拡張によるプログラムの開発について調査と試作を行っている。Windows系およびMac OS Xにおいて上記のシステムによる不正プログラム検知が可能になることで、ウイルスやワーム等の不正なプログラムによるシステムへの感染を防ぐことが可能になり、より安全なコンピュータ環境の実現に寄与できるものと考える。また、SVMによる不正プログラム検知手法を応用し、Webアプリケーションにおいて発生するクロスサイトスクリプティングやSQLインジェクション攻撃を検知するためのWeb Application Firewall(WAF)への実装を提案し、実際にWebサーバのモジュールとして実装し有効性について検討した。学習データによる検知率は100%となり、未知の評価データについても99.69%と高い検知率を確認することができた。
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
3: やや遅れている
理由
実験に必要な正常なプログラムおよび不正なプログラムのシステムコール時系列のデータ収集については順調に進んでおり、実験データを用いたシミュレーション実験については予定どおり進んでいる。現在、Windows系におけるSVMを用いた不正プログラム検知システムの実装において性能を向上させるためにアルゴリズムの改良を行っているが、その部分において不具合が発生しており、実用化に向けたチューニングが遅れている。なお、Mac OS Xへの提案手法の検討については、当初の予定より若干前倒しで進めることができている。また、提案手法を用いたWAFへの応用について研究を進めている。
|
| 今後の研究の推進方策 |
今年度の計画において遅れているWindows系OSへの実装についてさらに開発を進め、検知能力および性能を評価するための実験を行う予定である。また、昨年度検討したプログラムの特徴に基づく検知手法についてもシステムへの追加機能として実装を検討する予定である。また、現在検討中のMac OS Xへの提案手法の実装方法についてさらに調査検討を行い、システムの概要設計を行う予定である。
|
| 次年度の研究費の使用計画 |
購入予定のノートパソコンと旅費により研究成果の学会等への発表を行う予定である。
|
