プロファイル作成機能を有するマルチモード型不正アクセス検出システム

2003 Fiscal Year Annual Research Report

• Project/Area Number: 15700041
• Research Institution: Tohoku University
• Principal Investigator: 和泉 勇治 東北大学, 大学院・情報科学研究科, 講師 (90333872)
• Keywords: ネットワーク特徴量 / 不正アクセス / 異常検知

Research Abstract

インターネットにおける不正アクセスのプロファイルを自動的に作成するためには、正常とは異なる異常なネットワークトラヒックを高精度に検出する必要があると考え、計算機で処理可能なネットワークトラヒックの特徴量抽出(数値化)手法を様々な観点から定義し、数値化されたネットワークトラヒックから異常を判断する状態判別モデルを提案した。具体的には、ネットワークトラヒックを総合的に記述可能なタイムスロット型特徴量と、個々のホストやアプリケーション毎に詳細な特徴を記述できるフロー型特徴量を提案し、それぞれの特性に応じた学習・判別モデルを構築した。
タイムスロット型特徴量は、ネットワークトラヒック全体に占めるプロトコルやフラグの数を用いた特徴量であり、その特徴量からプロトコルによって規定された拘束条件によって、プロトコルやフラグの種類の出現頻度の相関関係を定量的に評価できることが判明し、主成分分析などの統計学的解析方法によって、通常と異常の分離が可能であることが明らかとなり、それを応用した判別手法を構築した。
フロー型特徴量は、個々のアプリケーションによって生成されるトラヒックのパケット数や大きさ、ペイロードに含まれる文字コードなどを定量的に評価可能であるように構成した。その特徴により、不正なトラヒックと正常なトラヒック間の特性の違いを文字コードのヒストグラムや正規分布などで評価し、異常トラヒックを検知する手法を提案した。
不正アクセスのデータベースによって上記提案手法の評価実験を行い、従来研究と比較して、フォールスポジティブやフォールスネガティブが少なく高精度な検知を行えることが明らかとなり、本研究の優位性を確認できた。

Research Products

• [Publications] 和泉勇治, 宇津江康太 加藤寧, 根元義章: "リンクの輻輳状態を考慮した動的なミラーサーバ選択方式"情報処理学会論文誌. Vol.45 No.1. 65-73 (2004)
• [Publications] 内山勇一, 和泉勇治, 加藤寧, 根元義章: "自己回帰予測を用いたトラヒック解析によるDoS検知方法の提案"電子情報通信学会技術研究報告. NS2003-98. 55-60 (2003)