論文内容の要旨
近年,インターネットは重要なインフラとして,必要不可欠のものとなっている.イン ターネット上には多様なアプリケーションによるトラフィックの他,DDoS攻撃や攻撃対象 発見を目的としたポートスキャン等の悪意あるトラフィックも疎通し,これにより輻輳崩 壊やその他の障害の発生が懸念される場合がある.このことから,ネットワークトラフィ ックの異常検知は,管理運用およびセキュリティーという観点において重要性の高い作業 となっている.異常検知に対する現実的な方法としてはトラフィック量の異常な,或いは 急激な増減を検知する手法であると考えられるが,自己相似性を有するパケットトラフィ ックは如何なる集積時間スケールにおいてもバースト性が存在するため,正常な変化範囲 のフローレベルを誤って異常と判断してしまう不都合が予想される.
この自己相似性の要因については,上位層プロトコルのTCP輻輳制御や輻輳・非輻輳の 臨界領域の影響,また,ネットワークアプリケーションによる影響や,DDoS攻撃のような 非定常的な異常トラフィックによる影響などの報告がされている.この自己相似性の解析 に用いられるR/S解析法では,上記のような異常なトラフィックが疎通した場合,突発的ト ラフィック量増減や周期性といった非定常性に対して特徴的特性が顕現する.しかし,こ の特徴的特性をトラフィック事象変化検出に積極的に利用しようとした研究は見当たらな い.この非定常性に対する特徴的特性の定量化は,事象変化の検知に積極的に応用できる と推測される.
そこで本研究では上記推測に対して,R/S Pox Diagramに現れる非定常性に対するプロッ 氏 名(本籍) 髙橋 秋典(秋田県)
専攻分野の名称 博士(工学)
学 位 記 番 号 工博甲第216号 学位授与の日付 平成26年9月29日 学位授与の要件 学位規則第4条第1項該当
研 究 科 ・ 専 攻 工学資源学研究科(電気電子情報システム工学)
学 位 論 文 題 名 R/S Poxレッグライン特性に基づくポートスキャントラフィック の検知に関する研究.
論 文 審 査 委 員 (主査)教授 五十嵐 隆治
(副査)教授 西田 眞 (副査)教授 景山 陽一 (副査)教授 水戸部 一孝
Akita University
ト形状の要因を明らかにし,その形状を定量的に扱える新たな指標的特性を提案し,ポー トスキャン攻撃を対象としたトラフィック異常検知手法について検討することを目的とす る.
本論文は全5章より構成されている.
第1章では,本質的な特性の一つとして検討されてきたパケットトラフィックの自己相似 性の要因や定量化手法に関する従来研究について概観し,本研究の目的および本研究に対 する筆者の立場を述べるとともに,本論文の内容について述べた.
第2章では,R/S解析法による時系列解析手順に関する問題点を指摘し,効果的な改良方 法について提案した.また,自己相似性を表すハーストパラメータ導出過程に生成される R/S Pox Diagramについて,非定常性を含む時系列観測時に現れる特徴的プロット形状の要 因について,シミュレーションによる調査を行い検討を加えた.その結果,R/S Pox Diagram では,突発的トラフィック量増減を示すレベルシフト時系列や,時間間隔をおいて対象に 攻撃を送信するような周期的時系列に対して,その非定常性を表現し得ることを明らかに した.特に,周期的時系列の周期について,プロット点群の折れ曲がるポイントにその特 徴が明確に現れていることを明らかにした.
第3章では,第2章の検討結果に基づき,プロット形状を定量化する新たな特性として,
R/S Pox レッグライン特性を提案し,その特徴量および特徴量を用いた周期推定法につい
て定義した.この特性の名称は,R/S Pox Diagramの折れ曲がるようなプロット形状が,人 体の脚部に似ていることに由来する.特性の特徴量は,ハーストパラメータの算出手順を 参考に,Pox Diagramの前半部分(ST:Slope of Thigh),後半部分(SS:Slope of Shin)のそれ ぞれ上限点群(Sup),平均点群(Avg),下限点群(Inf)の回帰直線の傾きから算出した.また,
周期を示す折れ曲がるポイントを前半部,後半部の回帰直線の交点x座標から推定する方法 を提案した.本特性の有用性を検討するため,非定常性に対する特徴量の変化をシミュレ ーションにより検証し,第2章で推測した異常検知に対する性能を有することを確認した.
また,提案した周期推定法により,STSupを選択したときの周期的時系列の周期が推測可能 であることを明らかにした.
第4章では,本特性の実トラフィック環境での異常検知性能を評価するため,実環境下で 取得されたトラフィックデータを用いて,低レートのパケットで事前調査を行う長期的ポ ートスキャントラフィックの検知実験を行った.その結果,実際に観測されたポートスキ ャントラフィックの周期を,荒い精度ではあるが,推測できることを明らかにした.また,
特徴量および推定された周期の経時変化を調査したところ,ポートスキャントラフィック の有無を検知できる性能を有していることを明らかにした.
第5章では,本研究で得られた主な知見と今後残された課題について述べている.
Akita University
論文審査結果の要旨
インターネット上でのDDoS 攻撃や,攻撃対象発見を目的としたポートスキャン等の悪 意あるトラフィックはインターネット運用上多くの不都合を惹起するため,ネットワーク トラフィックの異常検知は管理・運用上およびセキュリティーの観点から重要なものとな っている。ネットワークトラフィックには自己相似性が認められるが,自己相似性の解析 に用いられるR/S Pox Diagramの観測結果によると,突発的なトラフィック量増減や周期 的なトラフィック増減に対し特徴的特性が観測される。従来,この特徴的な特性をトラフ ィック事象変化検出に積極的に利用しようとした研究は見当たらない。
本研究では非定常トラフィック疎通時に現れるR/S Pox Diagramのプロット形状変化の 要因を明らかにし,その形状を定量的に扱える新たな指標的特性を提案する。また,ポー トスキャン攻撃を対象としたトラフィック異常検知手法についても検討することを目的と する。
本論文は5章より構成されていて,第 1章ではパケットトラフィックの自己相似性の要 因や定量化手法に関する従来研究について概観する。こののち,本研究の目的および本研 究に対する筆者の立場を述べるとともに,本論文の概要について述べる。
第2章では R/S解析法による時系列解析手順に関する問題点を指摘し,効果的な改良方 法について提案している。さらに非定常トラフィック疎通時のR/S Pox Diagramについて,
シミュレーションによる特徴的プロット形状の要因調査を行い,検討を加えた。その結果,
この特徴的プロット形状により,突発的なトラフィック量増減に基づくレベルシフト時系 列や,間欠的に攻撃を送信するような周期的時系列を識別し得ることが明らかとなった。
特に周期的時系列においては,プロット点群の折れ曲がるポイントに周期の特徴が明確に 現れることを明らかにした。
第3章では,第2章の検討結果に基づき,プロット形状を定量化する新たな特性として,
R/S Poxレッグライン特性を提案し,その特徴量および特徴量を用いた周期推定法について
述べた。この特性の名称は,R/S Pox Diagramの折れ曲がり形状が人体の脚部に似ている ことに因んでいる。本提案の特徴は,Pox Diagramの前半部および後半部各々の上限点群,
平均点群,下限点群の回帰直線の傾きの値の評価と,疎通トラフィック中の周期的レベル
シフトをPox Diagramの折れ曲がりポイントから推定し得たことである。
第 4 章は以上の成果の,実トラフィック環境での異常検知性能の評価に関する記述であ る。すなわち,実環境下で取得されたトラフィックデータを用いて,低レートの長期的ポ ートスキャントラフィックの検知実験を行った。その結果,実際に観測されたポートスキ ャントラフィックの周期を,荒い精度ではあるが,推測可能であることが確認できた。さ らに,ポートスキャントラフィックの有無も検知し得る性能を有していることも明らかに した。
Akita University
第5章では,本研究で得られた主な知見と今後残された課題について述べている。
以上のように本論文での成果は,ネットワーク管理者支援に有効で,インターネット上 でのトラフィック疎通に基づく異常や不具合の有用な検知手段を提供し得,工学的にも大 きな寄与となる。よって本論文は博士(工学)の学位論文として十分価値あるものと認め られる。
Akita University
