巨大トラフィックからの情報抽出手法の研究

海量流量信息提取方法研究

• 批准号: 18049042
• 负责人: 高倉 弘喜
• 金额: $ 1.86万
• 依托单位: Kyoto University
• 依托单位国家: 日本
• 项目类别: Grant-in-Aid for Scientific Research on Priority Areas
• 财政年份: 2006
• 资助国家: 日本
• 起止时间: 2006 至 无数据
• 项目状态: 已结题
• 来源: https://kaken.nii.ac.jp/en/grant/KAKENHI-PROJECT-18049042/
• 关键词: 情報可視化; IDS; データマイニング; トラフィックデータ; ハニーポット; ゼロデイ攻撃; センサーシステム

まず、研究対象のデータとして、数Gbpsクラスの巨大なトラフィックデータを不正アクセス検知装置(IDS)で観測した警報を対象とした。京都大学に設置されたIDSでは、毎分200件程度の警報が出ている。ただし、このうちの99%は誤検知、あるいは、被害を生じない過去の脆弱性を狙った攻撃である。残り1%は、既知ではあるが脆弱性対応が不完全で被害を生じる可能性の疑われる攻撃、もしくは、攻撃の存在を遮蔽するため意図的に過去の攻撃を模倣した未知の攻撃である。また、大量の誤検知に埋もれてしまっているが、(D)DoS攻撃に関する警報も散発的に発せられている。本研究では、この1%の攻撃、あるいは、(D)DoS攻撃を抽出する手法を開発した。まずは、IDSに関するマイニングアルゴリズムのベンチマークデータとして広く利用されているKDDCup99データについて調査を行い、当該データがIDSの性能評価には不向きであること、特に、41次元データ中8次元程度しか有為な情報を持たないため、巧妙化・複雑化した最近の攻撃を反映できていないことを示した。次に、京都大学のIDSデータに対するマイニングアルゴリズムの開発を行った。前日、1週間前、1ヶ月前、3ヶ月前、6ヶ月前それぞれの警報データを全て正常データ、すなわち、誤検知として学習させクラスタリングを行なった。次に、生成されたそれぞれのクラスタを用いて、当日の警報データの判定を行った。さらに、異常データと判定された警報を、ハニーポットで検知された攻撃データと比較した。その結果、僅か十数件しかなかったが、マルウェアallapleのゼロディ攻撃が開始されたことによる警報であることが判明した。また、マイニング結果の可視化手法も開発し、上記allapleに起因する警報を強調表示したり、誤検知に埋もれていた(D)DoS攻撃を強調表示することで、攻撃を認識しやすい可視化を実現した。

The detection and alarm of the large number of Gbps of detection and alarm devices (IDS) are detected. Kyoto University has set up IDS to alert users at a level of 200 per minute. 99% of the time, the wrong information, the wrong information, the wrong information. 1%, known, vulnerable, incomplete, suspected, attack, hidden, intended, past attack, imitation, unknown attack A large number of false alarms were detected, and (D)DoS attacks were detected. This study is aimed at developing a method for extracting DoS attacks from 1% of attacks. The KDDCup99 is used to investigate IDS performance, and when IDS performance is evaluated, the KDDCup99 is used to investigate IDS performance. The KDDCup99 is used to evaluate IDS performance. The development of IDS at Kyoto University The day before yesterday, 1 week ago, 1 month ago, 3 months ago, 6 months ago, all alarm data were recorded as normal data, false data and false data. The next step is to determine whether the alarm is correct or not. In addition, the abnormal situation is determined by the alarm, the abnormal situation is determined by the attack, and the abnormal situation is determined by the comparison. As a result, only a dozen pieces were found, and the attack began. The visualization method of the result of the attack is to open the alarm, record the cause of the alarm, highlight the alarm, and recognize the attack.

项目成果

機械学習によるネットワークIDSログデータの解析および可視化

使用机器学习对网络 IDS 日志数据进行分析和可视化

• 发表时间: 2007
• 期刊: 信学技報(IA2006-36) 106・465
• 作者: 大庭隼人;宋中錫;高倉弘喜;岡部寿男
• 通讯作者: 岡部寿男

ネットワーク観測から把握するサイバー攻撃とspamメールの状況

通过网络观察了解网络攻击和垃圾邮件状态

• 发表时间: 2007
• 期刊: システム技術分科会 (採録)
• 作者: 大庭隼人;宋中錫;高倉弘喜;岡部寿男;高倉弘喜
• 通讯作者: 高倉弘喜

ハニーポットシステム技術の動向と研究課題(招待講演)

蜜罐系统技术趋势及研究问题（特邀报告）

• 发表时间: 2007
• 期刊: 第3回情報通言システムセキュリティ時限研究会,電子情報通信学会 ICSS2006-19
• 作者: Jungsuk Song;Hiroki Takakura;Yasuo Okabe;Yongjin Kwon;高倉弘喜
• 通讯作者: 高倉弘喜

A Robust Feature Normalization Scheme and an Optimized Clustering Method for Anomaly-based Intrusion Detection

基于异常的入侵检测的鲁棒特征归一化方案和优化聚类方法

• 发表时间: 2007
• 期刊: Proc.12th International Conference on Database Systems for Advanced Applications
• 作者: Jungsuk Song;Hiroki Takakura;Yasuo Okabe;Yongjin Kwon
• 通讯作者: Yongjin Kwon

未知の攻撃コードを安全に収集するための定点観測装置の構築手法

一种安全收集未知攻击代码的定点观测装置构建方法

• 发表时间: 2006
• 期刊: 信学技報(IA2006-1) 106・62
• 作者: 大平健司;宋中錫;高倉弘喜;岡部寿男
• 通讯作者: 岡部寿男