| 電子情報通信学会 研究会発表申込システム 講演論文 詳細 |
技報閲覧サービス [ログイン] 技報アーカイブ |
| トップに戻る | 前のページに戻る | [Japanese] / [English] |
| 講演抄録/キーワード | ||
| 講演名 | 2006-11-16 12:50 同時多発する未知イベントに対する情報集約による偽陽性アラート排除検知方法の性能評価 村瀬 勉(NEC)・福島行信(岡山大)・小林正好(NEC)・○藤原弘輝・横平徳美(岡山大)  IN2006-93 |
|
| 抄録 | (和) | 未知のウィルス・ワームの攻撃・感染の検知方法として、攻撃行動・感染行動に起因する変化点検出を利用する方法が有望視されている。しかし、この方法においては、ハードウェア障害等に起因する変化点をも検出してしまうため、攻撃行動・感染行動のみを検出するような絞り込み方法が求められている。このような方法として、ネットワーク全体で変化点が同時多発的に検出されるかどうかに着目する方法が考えられる。なぜなら、未知のウィルス・ワームの攻撃行動・感染行動は同時多発的に発生する傾向があるためである。そこで本稿では、分散配置したIDS からの変化点検出情報を集約し、ネットワーク全体で統合的に同時多発イベントの発生を検出する階層型検出機構を提案する。シミュレーションの結果、0.99 の検出率を達成しようとする場合に、提案法はIDS 単体での検出法よりも常に低い誤検出率を実現し、最大で約98%低減できることがわかった。 |
| (英) | Change-point detection schemes are a promising approach for detecting network anomalies such as attacks and infections by unknown viruses and worms. They detect those behaviors as change-points. In general, however, because they also detect false-positive change-points, those caused by other factors such as hardware troubles, we need a scheme that only detects true-positive change-points caused by attacks and infections. True-positive change-points tend to occur simultaneously, and the number of true-positive change-points is very large, while false-positive change-points tend to occur sporadically. We exclude false-positive change-points by neglecting change-points that occur sporadically, based on information gathered from the whole network. In this paper, we propose a multi-stage network anomaly detection scheme that aggregates change-point information from distributed IDSs (Intrusion Detection Systems) and detects the true-positive change-points. Simulation results illustrate that, compared to a scheme using only one IDS, our method always yields a smaller false-positive rate, a reduction of up to 98%, under a constraint that the detection rate of the true-positive change-points must exceed 0.99. |
|
| キーワード | (和) | ウィルス / ワーム / 階層型検出機構 / 変化点検出 / 同時多発イベント / / / |
| (英) | Virus / Worm / Multi-Stage Network Anomaly Detection / Change-Point Detection / Simultaneous Multiple Events / / / | |
| 文献情報 | 信学技報, vol. 106, no. 358, IN2006-93, pp. 25-30, 2006年11月. | |
| 資料番号 | IN2006-93 | |
| 発行日 | 2006-11-09 (IN) | |
| ISSN | Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 | |
| 著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) | |
| PDFダウンロード | IN2006-93 |
|
| 研究会情報 | |
| 研究会 | IN MoNA |
| 開催期間 | 2006-11-16 - 2006-11-17 |
| 開催地(和) | 熊本大学 |
| 開催地(英) | |
| テーマ(和) | FMC、モバイルネットワーク、情報家電ネットワークおよび一般 |
| テーマ(英) | FMC, Mobile Network, Home Network, etc. |
| 講演論文情報の詳細 | |
| 申込み研究会 | IN |
| 会議コード | 2006-11-IN-MoMuC |
| 本文の言語 | 日本語 |
| タイトル(和) | 同時多発する未知イベントに対する情報集約による偽陽性アラート排除検知方法の性能評価 |
| サブタイトル(和) | |
| タイトル(英) | Performance Evaluation of a Multi-Stage Network Anomaly Detection Scheme for Decreasing the False-Positive Rate against a Large Number of Simultaneous, Unknown Events |
| サブタイトル(英) | |
| キーワード(1)(和/英) | ウィルス / Virus |
| キーワード(2)(和/英) | ワーム / Worm |
| キーワード(3)(和/英) | 階層型検出機構 / Multi-Stage Network Anomaly Detection |
| キーワード(4)(和/英) | 変化点検出 / Change-Point Detection |
| キーワード(5)(和/英) | 同時多発イベント / Simultaneous Multiple Events |
| キーワード(6)(和/英) | / |
| キーワード(7)(和/英) | / |
| キーワード(8)(和/英) | / |
| 第1著者 氏名(和/英/ヨミ) | 村瀬 勉 / Tutomu Murase / ムラセ ツトム |
| 第1著者 所属(和/英) | 日本電気株式会社 (略称: NEC) NEC Corporation (略称: NEC) |
| 第2著者 氏名(和/英/ヨミ) | 福島 行信 / Yukinobu Fukushima / フクシマ ユキノブ |
| 第2著者 所属(和/英) | 岡山大学 (略称: 岡山大) Okayama University (略称: Okayama Univ.) |
| 第3著者 氏名(和/英/ヨミ) | 小林 正好 / Masayoshi Kobayashi / コバヤシ マサヨシ |
| 第3著者 所属(和/英) | 日本電気株式会社 (略称: NEC) NEC Corporation (略称: NEC) |
| 第4著者 氏名(和/英/ヨミ) | 藤原 弘輝 / Hiroki Fujiwara / フジワラ ヒロキ |
| 第4著者 所属(和/英) | 岡山大学 (略称: 岡山大) Okayama University (略称: Okayama Univ.) |
| 第5著者 氏名(和/英/ヨミ) | 横平 徳美 / Tokumi Yokohira / ヨコヒラ トクミ |
| 第5著者 所属(和/英) | 岡山大学 (略称: 岡山大) Okayama University (略称: Okayama Univ.) |
| 第6著者 氏名(和/英/ヨミ) | / / |
| 第6著者 所属(和/英) | (略称: ) (略称: ) |
| 第7著者 氏名(和/英/ヨミ) | / / |
| 第7著者 所属(和/英) | (略称: ) (略称: ) |
| 第8著者 氏名(和/英/ヨミ) | / / |
| 第8著者 所属(和/英) | (略称: ) (略称: ) |
| 第9著者 氏名(和/英/ヨミ) | / / |
| 第9著者 所属(和/英) | (略称: ) (略称: ) |
| 第10著者 氏名(和/英/ヨミ) | / / |
| 第10著者 所属(和/英) | (略称: ) (略称: ) |
| 第11著者 氏名(和/英/ヨミ) | / / |
| 第11著者 所属(和/英) | (略称: ) (略称: ) |
| 第12著者 氏名(和/英/ヨミ) | / / |
| 第12著者 所属(和/英) | (略称: ) (略称: ) |
| 第13著者 氏名(和/英/ヨミ) | / / |
| 第13著者 所属(和/英) | (略称: ) (略称: ) |
| 第14著者 氏名(和/英/ヨミ) | / / |
| 第14著者 所属(和/英) | (略称: ) (略称: ) |
| 第15著者 氏名(和/英/ヨミ) | / / |
| 第15著者 所属(和/英) | (略称: ) (略称: ) |
| 第16著者 氏名(和/英/ヨミ) | / / |
| 第16著者 所属(和/英) | (略称: ) (略称: ) |
| 第17著者 氏名(和/英/ヨミ) | / / |
| 第17著者 所属(和/英) | (略称: ) (略称: ) |
| 第18著者 氏名(和/英/ヨミ) | / / |
| 第18著者 所属(和/英) | (略称: ) (略称: ) |
| 講演者 | 第4著者 |
| 発表日時 | 2006-11-16 12:50:00 |
| 発表時間 | 20分 |
| 申込先研究会 | IN |
| 資料番号 | IN2006-93 |
| 巻番号(vol) | vol.106 |
| 号番号(no) | no.358 |
| ページ範囲 | pp.25-30 |
| ページ数 | 6 |
| 発行日 | 2006-11-09 (IN) |
[研究会発表申込システムのトップページに戻る]