同時多発する未知イベントに対する情報集約による偽陽性アラート排除検知方法の性能評価

村瀬 勉
福島 行信
小林 正好
藤原 弘輝
横平 徳美

未知のウィルス・ワームの攻撃・感染の検知方法として、攻撃行動・感染行動に起因する変化点検出を利用する方法が有望視されている。しかし、この方法においては、ハードウェア障害等に起因する変化点をも検出してしまうため、攻撃行動・感染行動のみを検出するような絞り込み方法が求められている。このような方法として、ネットワーク全体で変化点が同時多発的に検出されるかどうかに着目する方法が考えられる。なぜなら、未知のウィルス・ワームの攻撃行動・感染行動は同時多発的に発生する傾向があるためである。そこで本稿では、分散配置したIDSからの変化点検出情報を集約し、ネットワーク全体で統合的に同時多発イベントの発生を検出する階層型検出機構を提案する。シミュレーションの結果、0.99の検出率を達成しようとする場合に、提案法はIDS単体での検出法よりも常に低い誤検出率を実現し、最大で約98%低減できることがわかった。

電子情報通信学会技術研究報告. IN, 情報ネットワーク

一般社団法人電子情報通信学会

106

358

http://ci.nii.ac.jp/naid/110005717544
http://ci.nii.ac.jp/ncid/AN10013072
http://id.ndl.go.jp/bib/8572253