不正ポートスキャンパケットの直交展開

摘要

インターネットの上に観測されているポートスキャンには，時間，ポート番号，発信と宛先アドレスなど多くのパラメータが絡んでいる．多くの不正コードから狙われる有名なポート番号がいくつか知られているが，ポート番号と不正コードの関係は明らかにされていない．そこで，本研究では，複数のセンサで分散観測されたポートスキャンの特徴を取り出す新しい方式を提案する．提案方式の特長には次の特徴がある．1)可能性のあるすべてのポート番号を考慮するのではなく，直交展開された少数の重要な成分からのセンサの分析，2)直交成分の線形結合による観測パケットデータの圧縮．3)ポート番号間の統計上の相関関係から，任意のセンサの任意のポートのスキャン数の近似．また，実測したパケットデータについて提案方式の精度評価する．