近年,特定組織を標的とした標的型攻撃の被害が多発しています.標的型攻撃はLAN
内で感染を拡大するという特徴を有しています.そのため,これまで行われてきたコアネットワークやインターネット接続部分の異常検知だけでなく,コストは高くなりますがLAN
内での異常検知も重要になってくると考えられます.ここで,異常検知手法では何らかの方法で正常時の状態を把握する必要がありますが(図1),LAN内のトラフィックはインターネット接続部分と異なり,組織や利用形態によって全く異なった特徴を示すと考えられます.本研究では,まずは学内LANを対象として,単位時間あたりのパケット数やフロー数といったパラメータやこれらのパラメータの変動値に注目し,ネットワークの定常状態を調査する手法について検討しています.EMアルゴリズムによる混合ガウス分布近似を用いたトラフィックパラメータの度数分布分析(図2)や,R/S解析手法を用いたトラフィックパラメータの時系列分析(図3, 4)など,既存の統計手法を用いた分析により,定常的なトラフィックの特徴がどのように捉えられるのかについて,調査を進めています. 図1: 異常検知手法における定常トラフィック定義について |