ネットワーク攻撃実績を基にしたサブネットワーク評価システムの提案と実装
森久和昭 (0951126)
新種の攻撃に即座に対応する方法の 1 つとして侵入検知システム (IDS) のシグネチャ自動生成手法が提 案されている.シグネチャの自動生成では,観測された全パケットから攻撃パケットのみを抽出する事が 重要である.既存手法において新種の攻撃パケットを含み,なおかつ通常の通信パケットを含まずに攻撃 パケットを抽出する方法は存在しておらず,自動生成手法の課題となっている.本研究では過去の攻撃実 績を用いてサブネットワークの格付けをおこなう手法を提案した.格付けをおこなうために,サブネット ワークに存在している攻撃ホストの割合を示す攻撃ホスト密度と,格付け期間における攻撃ホスト密度の 変化を示す総攻撃ホスト密度を定義した.そして総攻撃ホスト密度を計算するサブネットワーク評価シス テムとして SUNRAT を実装した.本研究では SUNRAT によって格付けされたサブネットワークからは 攻撃がおこなわれるという仮説を立て,実際に攻撃がおこなわれているのかということについて検証をお こなった.検証方法は,SUNRAT による格付けされたサブネットワークを攻撃がおこなわれる集合 (攻撃 予測集合) とし,実際に攻撃がおこなわれたサブネットワークの集合 (攻撃実績集合) との類似度を求め検 証する.この類似度が高ければ攻撃元を予測可能であり仮説が正しかったということができる.検証の結 果,運用する上で実用的なアドレスブロックでは高い類似度を得られなかったが,攻撃の大部分を予測可 能であるということを示した.