2024-03-29T08:18:20Zhttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_oaipmhoai:ipsj.ixsq.nii.ac.jp:000446862023-04-27T10:00:04Z01164:03925:03936:03940
複数プローブによる異常トラフィック検知システムAnomaly Network Traffic Detection System using Multi-Probesjpnhttp://id.nii.ac.jp/1001/00044686/Technical Reporthttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_action_common_download&item_id=44686&item_no=1&attribute_id=1&file_no=1Copyright (c) 2006 by the Information Processing Society of Japan沖電気工業株式会社 研究開発本部 ユビキタスシステムラボラトリ沖電気工業株式会社 研究開発本部 ユビキタスシステムラボラトリ中村, 信之中井, 敏久インターネット上にはボットと呼ばれるワームに感染した端末が多く存在しており,それらボットの構成するボットネットの潜在的な危険性が問題になっている.本稿ではそれらボットネットの危険性が顕在化する早期段階において発生する異常なトラフィックを検知するために,トラフィックの異常状態を表す”異常度”を定義してその”異常度”の変化を元に異常トラフィックを検知する手法を述べる.また複数のプローブにおいて同様の検知手法を用いその結果をあわせて解析することで,大規模な異常トラフィックの早期検知と異常と判定した原因の推定ができることを示す.Many nodes, which are infected by worms, are spreading all over the internet. These nodes are called bots, and these bots may construct botnets. Botnets' behavior is now a potential risk to the everyday operation of the internet. This paper proposes the way to detect the anomaly of the network traffic at the early stage of the strange behavior of the botnets by defining "anomaly degree". Anomaly degree is calculated by the statistics of the network traffic observed by a monitoring node, called probe. By combining, comparing and analyzing the results of multiple probes, we can detect a large scale network traffic anomaly events in the early stage and moreover we can estimate the source of anomaly.AA11235941情報処理学会研究報告コンピュータセキュリティ(CSEC)200626(2006-CSEC-032)2692742006-03-172009-06-30