2017 Fiscal Year Annual Research Report
Development of a method for finding a appropriate values of parameters for the cardinality count analysis applying various cases
| Project/Area Number |
15K00434
|
|---|
| Research Institution | University of Tsukuba |
|---|
Principal Investigator |
佐藤 聡 筑波大学, システム情報系, 准教授 (90285429)
|
|---|
| Project Period (FY) |
2015-04-01 – 2018-03-31
|
| Keywords | 異なり数 / ネットワーク / 異常検知 / セキュリティ |
|---|
| Outline of Annual Research Achievements |
平成29年度は、前年度までに開発したシステムに加えて、1)DNSフルリゾルバに対する問い合わせログ、2)学内の未使用IPアドレス宛の通信のログ、3)メールサーバへのアクセスログを開発した。特に3)については、アクセス元のIPアドレスを直接解析するのではなく、アクセス元が所属するAS(Autonomous System)の番号に変換して解析するようにした。これらに対して異なり数解析を適用した。2)の解析結果により学内において、不適切な設定をしている端末を特定することができた。また3)においては、不適切な利用を行なっている利用者の特定をすることができた。また、前年に引き続き、スイッチを通過するパケットをサンプリングにより収集する方法については、異なり数解析に適したサンプリング手法についての検討を行った。通常のランダムサンプリングを使った場合、サイバー攻撃の際に現れる特徴がサンプリングにより見えなくなってしまうことがわかり、そのデータをそのまま異なり数解析をしても良い結果が出ないことがわかった。
いずれのデータ群に対しても、異なり数解析を行う際の閾値については、様々な値に設定し、それらの試行実験により、適切であろう閾値を求めることができた。しかしながら、解析結果の利用方法などにより、最適なな閾値の値は異なることがわかった。すなわち、解析対象となるデータを分析しただけでは、適切な閾値を定めることは非常に難しいことがわかった。一方、連続値を取り扱う方法については、いろいろな分野に応用できることが確認できた。これにより、属性値をいくつかの区間に分けて離散値にすることを行わずに解析できることがわかった。
さらに、異なり数解析をハードウェアによる実装方法について検討を行い、現在の技術をもちいることにより、100Gbps程度のトラフィックの全てをリアルタイムに異なり数解析することの可能性を示すことができた。
|
