ネットワークベース IDS の Anomaly 検知

ない「クリーンな」環境で学習させる必要があるが、それは現実的には容易ではない。

ニューラルネットワークはそれ自体で完結する技術ではなく、学習のための技術、得られ た検知結果の検証のための技術などと組み合わせて活用することで、その真価を発揮する と考えられる。

ボーンでも使用しやすいということがあげられる。この方式を採用しているIDSとして有 名なものに、SnortのプラグインのSPADE[43]がある。SPADEはIPアドレス、Portを観 測し間隔を開けたスキャン等の検知しにくいスキャンを検出する。

しかしながら、この方式では基本的なフィールドのみしか観測を行わないので、ペイロー ドに異常を含むようなバッファオーバーフロー等の不正アクセスを検知することが不可能 である。

4.4.1.2 アプリケーションレベル

アプリケーションレベルの IDSではネットワーク上を流れるパケットを SYN から始まり FIN で終わるアプリケーションにおける通信の単位であるセッションに再構築し、そのセ ッションを観測、確率を求める。この方式の利点としては通信をアプリケーションの単位 であるセッションに再構築することにより、通信内容を観測可能であるためネットワーク レベルIDSでは検知不可能な不正アクセスが検知可能である。

この方式を用いている研究としては Krugel ら の Service Specific Anomaly Detection for Network Intrusion Detection[44] がある。この研究ではセッションを再構築し、GET、

HEAD 等のリクエストの値毎の確率を求め、その確率を用いて不正アクセスを検出する。

この方式ではパケットをセッションに再構築するため、負荷が高く大量にパケットが流れ る場所では適用が困難である。

4.4.1.3 ネットワークおよびアプリケーションレベル

ネットワーク及びアプリケーションレベルは上記二つの方式を統合した方式となる。パケ ット、セッション等複数のレベルのフィールドを観測し、不正アクセスの検知を行う。こ の方式では両方のレベルで観測を行うことにより、単一のレベルを観測する場合よりも多 く の か つ 検 知 し に く い 不 正 ア ク セ ス も 検 出 可 能 で あ る 。 こ の 方 式 に は Matthew C. Mahoney ら の PHAD と ALAD [45]がある。PHAD はネットワークレベ ルで動作し、ALAD はアプリケーションレベルで動作する。しかし、PHAD、ALAD では まだ多くの誤検出が発生する。

4.4.2. 多変量アプローチ

多変数モデルでは単位時間のパケット数、セッション数等、多数の変数を入力に取り、そ の変数を用いて確率を求め、不正アクセス検出を行う。この方式では多くの変数を用いる ため、種々の不正アクセスを検出できる可能性があるが、計算量も増大する。この方式の

変数を削減し、その問題を解決し、小さな負荷で不正アクセス検出が可能となっている。

しかし、このNATEではペイロードを観測していないため、確率モデルのネットワークベ ースのIDSと同じ問題が発生する。

4.4.3. 状態ベースアプローチ

ステートベース型IDSでは、セッションを再構築し、プロトコル、IP、セッションの状態 遷移を確率として求め、不正アクセス検出を行う。この方法で不正アクセスが検出可能な のは、通常のセッションは、SYNから始まり、FINで終了するが、不正アクセスではこの SYNからFINまでの遷移が通常のセッションとは異なる場合が存在し、同様のことがプロ トコル、IP についても言えるからである。この方式の利点としては、セッション一つのみ の確率よりも、以前の状態を考慮して確率を求めるために、不正検知方式と比較しても、

より正確に不正アクセスを検知できることである。しかし、以前の状態を考慮するため、

計 算 量 は 増 大 し 、 負 荷 は 大 き く な っ て し ま う 。 こ の 方 式 の 研 究 に は Sekar ら の Specification-based Anomaly Detection: A New Approach for Detecting Network Intrusion [47]がある。

4.4.4. データマイニングアプローチ

この方法は他の方法とは異なり、何の構造も持たない、時系列データを複数の段階のデー タマイニングを経て、構造を持つ、解析が行いやすい形にする。そして構造を持った デー タ を 用 い て 不 正 ア ク セ ス の 検 出 を 行 う 。 こ の 方 式 の 研 究 に は W. Lee ら の Mining in a data-flow environment: Experience in network intrusion detection。

[48]がある。この研究では高い精度で不正アクセスが検出できているものの、データマイニ ングを行う際に繰り返しデータの解析を行う必要があり、また、セッションを用いている ので不正アクセスが行われてからアラートを発生させるまでに時間差が存在する。

4.4.5. Anomaly検知技術の今後の方向性

異常検出は未知の不正アクセス、亜種の不正アクセスを検出することが可能であるが、到 着パケットの属性を見ているものが多く、ほとんどが学習を必要とする。この学習の段階 では不正アクセスを含まないデータを学習しなければならないので、そのような理想的な データを作成するのは困難であり、これからの課題となっている。また、多変数モデル、

データマイニングにおいてはIDSの設定、実行時に高度な人の知識を必要とするため、こ の点においても改善を行わなければならない。現在IDSは不正アクセスを観測するおとり システムであるハニーポットと連係していないが、この連係が可能になればよりよい異常 検出ができるであろう。