通信先ホスト数の変化に注目した異常トラヒック自動検出手法の提案と評価

摘要

本論文では，一般的な組織の運用ポリシをかんがみ，ワームによる攻撃及びP2Pファイル交換ソフトウェアによるトラヒックを異常トラヒックと定義する．ネットワークがインフラとして広く利用されるようになるにつれ，ネットワーク管理者は組織の運営効率，健全性の維持のため，異常トラヒック発生の有無を常に監視する必要がある．しかし，ネットワーク上で展開されるサービスが多様化し，従来のように転送バイト量やパケット量から異常トラヒックを検出する手法，シグニチャにより異常トラヒック検出には限界が生じている．本論文では，既存の異常トラヒック検出手法とその問題点を挙げ，優位なトラヒック検出手法に必要な機能要件を検討し，それらの機能要件に適合する異常トラヒック検出手法を提案する．提案手法を用いることにより，従来指標の監視では検出不可能な異常トラヒックを，低コストで，シグニチャに非依存で自動検出が可能であることを示す．また，提案手法による異常トラヒック検出の検出精度，及び，広帯域への適応性，そして，リアルタイムな異常トラヒック検出への利用可能性を評価する．