2011 Fiscal Year Research-status Report
R/Sポックスダイアグラムの散布形状によるトラフィックの異常検知
| Project/Area Number |
23500076
|
|---|
| Research Institution | Akita University |
|---|
Principal Investigator |
五十嵐 隆治 秋田大学, 工学(系)研究科(研究院), 教授 (00091786)
|
|---|
| Project Period (FY) |
2011-04-28 – 2014-03-31
|
| Keywords | R/Sポックスダイアグラム / 自己相似性 / 異常検知 / トラフィックフロー / べき分布 |
|---|
| Research Abstract |
本申請課題はトラフィック時系列のランダム特性、特に定常ランダムとは異なる特性が重畳されたときのR/Sポックスダイアグラムの散布形状に注目してトラフィックの異常検知を試みようとするものである。ダイアグラムの散布形状は決定論的なトレンドや周期列の重畳によっても特徴的に変化することはシミュレーション時系列によって既に確認していたが、当年度は実トラフィックによってもこのことを確認した。具体的にはsynパケットによる周期的な攻撃トラフィックに注目し、種々の時系列パターンに対してR/Sポックスダイアグラムを導出してみた。この結果、トラフィックフロー量が急に増加するようなレベルシフトとフロー量増加が周期的に現れるような時系列に対する特徴的な変化が顕著に認められた。 ネットワークトラフィックには自己相似性が認められる場合があることはよく知られていて、この自己相似性の程度を表す評価パラメータであるハーストパラメータHの評価法は複数提案されている。R/S解析もその一つで、この方法ではR/Sポックスダイアグラムを用いることから「グラフ的な方法」とも呼ばれることがある。自己相似過程は定常確率過程で、この過程に対するR/Sポックスダイアグラムは当該区間の時系列の累積範囲Rと標準偏差Sの両対数グラフ上でふくらみを有する右肩上がりのプロットになる。逆にこの形状から推移するような時系列は自己相似過程以外の過程を含んでいることになり、Hを正確に評価できないことになる。しかしこれを逆に考えると、ポックスダイアグラム形状の変化がトラフィック時系列の特異性ないしは特徴を表していることになり、トラフィックの異常検知の観点からは、この特徴把握は有用である。 以上の観点のもとでsynパケットトラフィックに対して得られたポックスダイアグラムの散布形状の特徴は異常検知への応用上、有益であるという結果を得た。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
R/S解析で用いる累積範囲Rと標準偏差Sは統計量であり、R/Sも統計量となる。R/S解析を用いてトラフィックの異常検知を試みる場合、他の統計的な検知法との比較・検討が必要である。比較対象としたのは適応閾値法とCUSUM法であるが、これらの方法では、異常となるレベルシフト検知で誤検知が多く、本提案法ではこの誤検知を減ずることも目的としていた。当年度、誤検知減少を目指した試行を行ったところポックスダイアグラム散布形状の指標としたダイアグラム上での直線の傾きのみでは誤検知率をゼロにはできなかったものの、その散布形状には明確に異常トラフィックフローの影響が認められ、この散布形状に注目した場合は誤検知率の明確な減少を目指せることが見通せた。 以上より、当年度目標とした他の統計的な方法との比較・検討は実施でき、且つ誤検知率減少も可能性も見出せたので、当年度のみの達成度は7割程度と評価できる。
|
| Strategy for Future Research Activity |
R/Sポックスダイアグラムの散布形状変化によりトラフィックフローの単純レベルシフトおよび周期的レベルシフトを、適応閾値法やCUSUM法より少ない誤検知率で検知できる可能性を確認できたので、平成24年度はこのことをシミュレーショントラフィックによっても確認し、より有効なR/Sポックスダイアグラム散布形状変化の抽出法とそのトラフィック特性変化への同定法に関して検討を進めてみる。 また定常時のネットワークトラフィックは、フロー量が適切な期間、自己相似過程に従っている期間、フロー量が極度に多い期間が混在している。これらを考慮した場合は、上で述べた異常フロー検知をフロー量との関連で検討しておくことが必要となる。フロー量の程度が時系列特性に及ぼす影響は、適当に設けた閾値を超えるフローの超過期間長分布により推定できることが報告されている。我々が企図している、R/Sポックスダイアグラム散布形状変化による異常検知法は、このフロー混雑度の特性を考慮しつつ検討することも必要と考えられるので、シミュレーショントラフィック生成にはこの効果も考慮した、より実環境に近いスキーム構成としたい。このためには、より実環境に近いネットワーク構築とトラフィックフロー設定が可能なシミュレータの援用が必要となる。一研究室でのこのようなシミュレータの実装は運用と費用の面から大変困難であるため、シミュレーションは外部委託とする。直接経費のうちのその他に計上した費用はこの外部委託のための費用である。
|
| Expenditure Plans for the Next FY Research Funding |
当年度はR/Sポックスダイアグラム散布形状変化の抽出法に関する研究発表を予定回数実施できなかった。これは次年度のシミュレーションとも関連する事項であり、より本質的な考察は、上で述べたトラフィックフロー量の設定閾値超過期間長分布を検討してから実施する必要があったためである。次年度はこの設定閾値超過期間長分布の検討に関するディスカッションと研究結果の発表を積極的に実施し、当年度に予定通り使用しなかった旅費を積極的に活用する予定である。
|
