不正アクセスの傾向を分析するには,不正アクセスを収集する必要がある.しかし,悪意ある第三者はスキャンによって脆弱性が得られたホストに対してのみ不正アクセスを行うため,不正アクセスの収集は難しい.
また,侵入を試みる不正アクセスの内容を分析するため,Honeypot を用いて侵入記録を取得し,攻撃によるトラフィックと照合して未知の不正アクセスを発見する手法が試みられている.さらに,侵入者が他のホストに攻撃する際に Honeypot を用いた場合,侵入者の戦略や行動,あるいは不正アクセスを行うツールを取得でき,未知の不正アクセスをより効率よく発見することが可能となる.しかし従来の Honeypot では,ホストが Honeypot であることが察知されやすく,侵入者は Honeypot を用いて他のホストに攻撃を行わない問題があった.
本研究では,ネットワーク型の Honeypot,ホスト型の Honeypot という Honeypot の分類を提案する.さらに,不正アクセスの傾向を分析するために,ネットワークアーキテクチャを変更することより, スキャンに対し誤検出を促し,不正アクセスを収集するネットワーク型の Honeypot を実現する.