IPA

Home > Research > IPA > IPA Global

不正アクセスの高感度検出及びグローバル警戒機構に関する研究

インターネット上の情報セキュリティ確保には、不正アクセスの発見、防止が重要だが、不正の手口は日々高度化し、従来の個別対応では限界がある。しかし、ネットワークの高速化に伴い膨大なアクセス情報の網羅的調査が非現実的な上、実際の検出情報は不正アクセスの「氷山の一角」に過ぎないことが多い。例えばセキュリティホールを探すスキャンの個々のアクセスは一見関連がないように見え、実時間で全体像を捉えることは容易ではない。わずかな異常から迅速に全体を検知する高感度検出技術が必要である。一方、不正アクセスの多くは他のサイトを踏み台として利用するため、第三者が無意識に不正アクセスを助長する可能性がある。不正防止には、検出のみならず、アクセス経路の特定が重要である。本提案は、不正アクセスの検出と診断を行う統合システムの構築を目的とする。膨大なトラヒック中の微少な異常を検出する新手法、および、経路ポリシー情報と連動したアクセス経路捜査機能を特徴とする。本システムによって、高速ネットワーク上の不正アクセス高感度検出と、その発信者、中継者、潜在的影響範囲をグローバルインターネット規模で捜査できる不正アクセス早期警戒システムを実現する。

研究項目

不正アクセスが示す「トラヒックの振る舞い」のリアルタイム検出
　リアルタイムに情報を結び付けるダイナミックアクセスツリーの構成法と性能向上の研究
ネットワーク地図との融合と応用
　不正アクセスの発信者、アクセス経路、及び影響範囲を評価する地図ベース捜査診断システムの研究
不正アクセスの早期警戒システムと検出結果の標準形式による流通方式
　サイトとの迅速な情報交換のための、不正アクセス情報の標準的記述方式の研究

特徴

リアルタイムトラヒックダイナミクス検出システム
研究開発されたダイナミックアクセスツリーを実装する高感度不正アクセス検出システム。本システムはパケットモニタリングをベースとした不正アクセスのリアルタイム抽出を実現する。「振る舞いＤＢ」によって一般化された不正アクセスの情報は、あらゆるネットワークで利用可能な汎用的なものとなる。ネットワーク地図情報と連携した捜査診断システム
経路ポリシー情報を利用して不正アクセスの捜査を行うシステム。
不正アクセスの発信元、およびそのアクセス経路を、IRR(Internet Routing Registry)の情報を元に診断する。本システムによって、検出した不正アクセスの規模、影響範囲をビジュアルに診断することが可能になる。さらに、アクセス経路の診断過程で「踏み台」サイトの発見を行い、そのサイトに関連する潜在的に攻撃対象となり得る他のサイトについての診断を行える。全インターネット規模の診断を実現するグローバルな早期追跡捜査システムとなる。
不正アクセス早期警戒システム
経路ポリシー情報に基づく早期警戒システム診断システムによって明らかにされる不正アクセス情報に基づいて、潜在的に不正アクセスの危険性のあるサイトに対する警戒警報を発するシステム。診断されたアクセス経路情報とその経路上のサイトのポリシー情報に基づいて、実際に不正アクセスをうける以前に警戒警報を出すことが可能になる。また、明らかにされた無防備なサイトを経由するトラヒックについて、特別な処理を行うことも実現できる。
検出情報出力システム
　複数検出システム間での不正アクセス情報交換システム検出・診断された不正アクセス情報を、ネットワーク全体で共有し、不正アクセスを防止するための不正アクセス情報交換システム。他のサイト、特に踏み台に利用されているサイトに対して危険を通知するとともに、それらの情報を自動的に処理するための検出システム間情報交換システム。本システムは不正アクセス情報を交換するための標準フォーマットを用いる。不正アクセス情報交換のためのフォーマットはまだ定まっておらず、早急な策定が望まれている。本研究開発の成果と、インターネットの標準技術を議論する IETF(Internet Engineering Task Force)のIDWG(Intrusion Detection Exchange Format)ワーキンググループの成果と併せて、実用化を目指す。

研究成果

学会論文

“インターネットにおける不正アクセス検出技術 ―NIDSの現状と将来 ―” 太田耕平、Glenn MANSFIELD,
電子情報通信学会誌, Vol.J83-B NO.9, September 2000, pp.1209 – pp.1216

“Towards trapping wily intruders in the large” Glenn Mansfield, Kohei Ohta, Y. Takei, N. Kato and Y. Nemoto,
Computer Networks Volume 34, Issue 4, October 2000
電子情報通信学会論文誌B, 採録決定, 印刷中

国際会議論文

“Towards trapping wily intruders in the large ” (Acrobat PDF) (MS PowerPoint ) G.Mansfield,K.Ohta,Y.Takei,N.Kato,and Y.Nemoto,
The proceedings of Second International Work-shop on Recent Advances in Intrusion Detection,
West Lafayette ,Indiana,USA,September 7-9,1999.

“Synchronizing Management Information Using Traffic Pattern Matching Technique ” (Acrobat PDF) (MS PowerPoint) (PostScript ) K.Ohta,Y.Takei,N.Kato,G.Mansfield,and Y.Nemoto,
The Proc.of 1999 Symposium on Performance Evaluation of Computer and Telecommunication Systems,pp.349-354 (1999).

“Detection, Defense, and Tracking of Internet-Wide Illegal Access in a Distributed Manner” Kohei OHTA, Glenn MANSFIELD, Yohsuke TAKEI, Nei KATO, Yoshiaki NEMOTO, Proceedings of INET2000, July, 2000. （HTML)

Activity at IDWG-WG, IETF

Glenn MANSFIELD, “Intrusion Detection Message MIB”, Internet-Draft, work in progress, November 20, 2000.
Glenn MANSFILED, Dipankar Gupta, “Intrusion Detection Sensor Alert MIB”, Internet-Draft, work in progress, November 20, 2000.

電子情報通信学会 IN研究会

トラヒックパターンを用いた不正アクセス検出及び追跡方式武井洋介, 太田耕平, 加藤寧, グレン・マンスフィールド, 根元義章,
電子情報通信学会技術研究報告 IN99-75,(1999)

その他

分散協調型IDSによる広域不正アクセス検出手法に関する研究
油川良太,　太田耕平,　加藤寧†Glenn Mansfield,　根元義章
Proceedings of ITRC第8回総会・研究会, November, 2000