The system like IDS and IPS based on the handcrafted signatures which represent the illegal characteristics is effective on a known malware and an unauthorized access, but cannot detect the unknown ones and suffer the damage. Recently as Home Network has been developed, there is a possibility that inflicts the further damage on the network due to the delay of detection. In this paper, we propose a system which can detect the unknown ones early without exception by using a database consisted of the aggregate of the running processes and the packet information on the target PCs. Our method can detect the unknown ones and decrease the false positives as time goes on. Moreover, our method is effective against the anomaly by a Root kit.%IDS(侵入検知システム)やIPS(侵入検知併御システム)はマルウェアの侵入や不正アクセスに対して有効であるが,基本的にはシグネチャ方式であり,未知のマルウェアや不正アクセスに対しては新たなシグネチャが必要となる.近年,ホームネットワーク技術の進展により,宅内機器が公衆ネットワークに接続され,侵入検知の遅れにより,被害が増大する恐れがある.本稿では監視対象での状態,すなわちプロセスの集合と,その通信状態により構築したデータベースを用い,未知のマルウェアや不正アクセスの新しい手法を検出する方法を提案する.提案システムでは,監視対象の状態を収集することで時間経過と共に誤検知数を漸近的に減少させる.またルートキットなどシステム情報隠ぺいを伴う手法に対しても有効となる.
展开▼