2003 Fiscal Year Annual Research Report
次世代ネットワークプロトコル対応学習駆動型不正アクセス検知・駆動システム
| Project/Area Number |
15300011
|
|---|
| Research Institution | Tohoku University |
|---|
Principal Investigator |
加藤 寧 東北大学, 大学院・情報科学研究科, 教授 (00236168)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
太田 耕平 (株)サイバー, ソリューションズ, 主任研究員
|
|---|
| Keywords | ネットワークセキュリティ / 不正アクセス / 学習型検出 / IDS / 主成分分析 |
|---|
| Research Abstract |
本研究では、サブネットワーク上に学習機能を有する不正アクセス検知システムを提案し、NIDSとの連携により、IPv6にも対応した、未知の不正アクセス検出機構を含む次世代学習駆動型の不正アクセス検知システムを開発することを目的とする。
平成15年度では学習システムを開発し、さらに、学習システムとサブネットIDS、メインIDS間の通信ソフトウェアを開発した。具体的内容は以下に示す。
●ネットワークプローブを50台程度のネットワークノードが接続されているLAN上に設置し、ネットワークトラヒックを観測するシステムを構築した。観測システム構築後、必要なデータをリモートから自由に設定し取得できることを確認した。
●主成分分析を用いた学習型不正アクセス検知システムを開発した。パソコン上に計算ライブラリを搭載するのに必要なソフトウェアを開発し、大規模なネットワークデータを実時間で主成分分析できるように最適化を行った。
●学習に用いるネットワークデータの種類を選別し、学習特徴量を決定した。具体的には不正アクセス発生時によく観測されるデータを選び、その特性を解析し、不正アクセス検出のための汎用的な特徴量を抽出した。さらに、これらのデータ間の相関を計算し、相関が1あるいは0に近いデータ同士を1種類だけ残し、残りを削除するようにした。
●ネットワークIDS(メインIDS)としてフリーソフトのSNORTを立ち上げた。また、メインIDSとサブネットIDS、および学習システムとの間の通信ソフトウェアを開発し、不正アクセスの関連情報を相互に実時間で情報交換を行うシステムを確立した。
|
-
[Publications] 和泉勇治: "異常検知のためのネットワーク特徴量抽出法に関する一考察"2004年電子情報通信学会総合大会講演論文集. SB-4-1. S-27 (2004)
-
[Publications] 太田耕平: "不正・障害検知のためのトラフィックの安全性分析"2004年電子情報通信学会総合大会講演論文集. SB-4-2. S-29 (2004)
-
[Publications] 加藤寧: "ユーザトラヒックパターンの特徴付けによるUDP Flooding抑制方式"2004年電子情報通信学会総合大会講演論文集. B-7-14. 223 (2004)
