講演抄録/キーワード |
講演名 |
2006-11-16 12:50
同時多発する未知イベントに対する情報集約による偽陽性アラート排除検知方法の性能評価 村瀬 勉(NEC)・福島行信(岡山大)・小林正好(NEC)・○藤原弘輝・横平徳美(岡山大) IN2006-93 |
抄録 |
(和) |
未知のウィルス・ワームの攻撃・感染の検知方法として、攻撃行動・感染行動に起因する変化点検出を利用する方法が有望視されている。しかし、この方法においては、ハードウェア障害等に起因する変化点をも検出してしまうため、攻撃行動・感染行動のみを検出するような絞り込み方法が求められている。このような方法として、ネットワーク全体で変化点が同時多発的に検出されるかどうかに着目する方法が考えられる。なぜなら、未知のウィルス・ワームの攻撃行動・感染行動は同時多発的に発生する傾向があるためである。そこで本稿では、分散配置したIDS からの変化点検出情報を集約し、ネットワーク全体で統合的に同時多発イベントの発生を検出する階層型検出機構を提案する。シミュレーションの結果、0.99 の検出率を達成しようとする場合に、提案法はIDS 単体での検出法よりも常に低い誤検出率を実現し、最大で約98%低減できることがわかった。 |
(英) |
Change-point detection schemes are a promising approach for detecting network anomalies such as attacks and infections by unknown viruses and worms. They detect those behaviors as change-points. In general, however, because they also detect false-positive change-points, those caused by other factors such as hardware troubles, we need a scheme that only detects true-positive change-points caused by attacks and infections. True-positive change-points tend to occur simultaneously, and the number of true-positive change-points is very large, while false-positive change-points tend to occur sporadically. We exclude false-positive change-points by neglecting change-points that occur sporadically, based on information gathered from
the whole network. In this paper, we propose a multi-stage network anomaly detection scheme that aggregates change-point information from distributed IDSs (Intrusion Detection Systems) and detects the true-positive change-points. Simulation results illustrate that, compared to a scheme using only one IDS, our method always yields a smaller false-positive rate, a reduction of up to 98%, under a constraint that the detection rate of the true-positive change-points must exceed 0.99. |
キーワード |
(和) |
ウィルス / ワーム / 階層型検出機構 / 変化点検出 / 同時多発イベント / / / |
(英) |
Virus / Worm / Multi-Stage Network Anomaly Detection / Change-Point Detection / Simultaneous Multiple Events / / / |
文献情報 |
信学技報, vol. 106, no. 358, IN2006-93, pp. 25-30, 2006年11月. |
資料番号 |
IN2006-93 |
発行日 |
2006-11-09 (IN) |
ISSN |
Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
IN2006-93 |
|