段階的トラヒック解析によるネットワーク異常検出方式

摘要

インターネットの普及，拡大に伴って不正アクセスの件数が増加するとともに，その手口も日々巧妙化している．そのため，未知の不正アクセスを検知可能な異常検出型の侵入検知システム(IDS)の重要性が高まっている．異常検出におけるトラヒックの観測単位は様々であるが，その中でも端末間の一連のパケットのやりとりに相当するアロー単位での観測および検出は，特定の通信にしか含まれていない異常をも検知できるという点で優れている．しかし，大規模ネットワークなど，観測きれるフロー数が膨大である場合には，その全てを解析することは現実的ではない．そこで本稿では，フロー単位の解析の前段階として一定時間のスロット単位でトラヒック解析を行い解析対象となるフローを絞り込む，段階的なトラヒック解析による異常検出方式を提案する．また，データセットを用いた評価実験を通じ提案方式の有効性を示す．