ドメイン間における侵入検知情報交換機構の提案と実装

森田 直樹 (0051112)


インターネットの普及に伴い, ウイルスとワームをはじめとする連鎖的・ 拡散的な不正アクセスが増加している. 連鎖的・拡散的な不正アクセスの拡大防止には, 早期発見・早期対処が重要であ る. しかし, 既存の侵入検知システム~(Intrusion Detection System : IDS)をはじ めとするセキュリティ技術では, 不正アクセスが自ドメインに対して行わ れなければ検出できない. したがって, このような不正アクセスが他のドメイン で発生していた場合,その検出は難しい. 従来の研究では, 分散配置したセンサーから情報収集を行い, 連鎖的・拡散的な 不正アクセスの検出を行う手法が用いられている. しかし, ドメイン間で発生す るポリシーの差異を考慮しておらず, ポリシーの異なるドメインからの情報収集 が困難である.
そこで本研究では, ドメイン間において不正アクセスに関する情報を交換するこ とにより, 他のドメインで発生している連鎖的・拡散的な不正アクセスの早期発 見を目的とする. これにより, 連鎖的・拡散的な不正アクセスの早期対応が可能となり, 被害の拡大を防止することができると考える. 本論文では, 分散型侵入検知システムに関する研究の現状 を報告し, ドメイン間における侵入検知情報交換を実現するために必要となる要 件を考察する. さらにこの要件を基にして, ドメイン間で侵入検知情報を交換す る機構を提案し, プロトタイプの設計, 実装を行う.

As the Internet grown widespreadly, illegal accesses that cause a chain reaction based on viruses and worms are increasing. To prevent the chain reaction of illegal access, we should detect in early stages and cope with these accesses. However, usual security technology such as Intrusion Detection System only detects unlawful invasions after suffered damage to system. Therefore, if these viruses and worms cause illegal accesses on other domain, we cannot detect them. In past research, a distributed center collects some information of intruders. The center finds the chain reaction of illegal access. However, these methods cannot exchange intrusion information between domains with different policy in operation. In this thesis, I propose a new method that interchanges intrusion information between domains and aim for detection of chain reaction of illegal access. I can observe unlawful invations in early state by employing my mechanism. This thesis reports state of research of exchanging distributed intrusion detection information and considers requirement items of these information. Furthermore, based on these requirements, I propose a mechanism of exchanging intrusion detection information and implement a prototype of my mechanism.