WEKO3
アイテム
パッケージマネージャと連携したNIDSの誤検知削減
https://ipsj.ixsq.nii.ac.jp/records/44263
https://ipsj.ixsq.nii.ac.jp/records/44263ba234646-bddf-45f5-895f-a417f1bcb1d6
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-CSEC08043006.pdf (1.1 MB)
|
Copyright (c) 2008 by the Information Processing Society of Japan
|
|
| オープンアクセス | ||
| Item type | SIG Technical Reports(1) | |||||||
|---|---|---|---|---|---|---|---|---|
| 公開日 | 2008-11-28 | |||||||
| タイトル | ||||||||
| タイトル | パッケージマネージャと連携したNIDSの誤検知削減 | |||||||
| タイトル | ||||||||
| 言語 | en | |||||||
| タイトル | Reduction of NIDS False Alerts Using Package Manager | |||||||
| 言語 | ||||||||
| 言語 | jpn | |||||||
| 資源タイプ | ||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_18gh | |||||||
| 資源タイプ | technical report | |||||||
| 著者所属 | ||||||||
| 慶應義塾大学理工学部情報工学科 | ||||||||
| 著者所属 | ||||||||
| 慶應義塾大学理工学部情報工学科 | ||||||||
| 著者所属 | ||||||||
| 慶應義塾大学理工学部情報工学科 | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Department of Information and Computer Science, Keio University | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Department of Information and Computer Science, Keio University | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Department of Information and Computer Science, Keio University | ||||||||
| 著者名 |
北野, 雄大
× 北野, 雄大
|
|||||||
| 著者名(英) |
Takehiro, Kitano
× Takehiro, Kitano
|
|||||||
| 論文抄録 | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | 現在のシグネチャ型ネットワーク侵入検知システム (NIDS) は無害なメッセージに対して警告を発する誤検知が多発している.その原因の一つにインストールされていないソフトウェアに対する攻撃の誤検知が挙げられる.このような誤検知への対策は既存手法では不十分である.本研究では監視対象サーバのシステムの情報を考慮して NIDS が発した警告が本当に必要な警告かを選別し誤検知を減らすシステムを提案する.提案機構では監視対象サーバのパッケージマネージャを利用し,監視対象サーバにインストールされているソフトウェアの情報をあらかじめ取得しておく. NIDS が攻撃を検知すると,その攻撃が対象とするソフトウェアの情報と取得した監視対象サーバのソフトウェア情報を照合し,一致した場合にのみ警告を発する.実際に研究室内 DMZ を流れるパケットデータを用いた実験の結果,提案機構は全警告の 49% に当たる 289 件の false positive を削減できた. | |||||||
| 論文抄録(英) | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | Current signature-based Network Intrusion Detection Systems (NIDSs) generate many false alarms for normal messages. This is partly because an NIDS detects attacks to software not installed. We propose the system that uses software information of the monitored server to decrease false alarms. Software information means the name and version of the software installed on the monitored server. Our system uses a package manager to obtain software information. When NIDS detects attack messages, our system refers to the software information and generates an alert only when the target software is installed on the monitored machine. We conducted an experiment using the packet data from our laboratory's DMZ and the results suggest that our system decreases 289 false alarms, 49% of all. | |||||||
| 書誌レコードID | ||||||||
| 収録物識別子タイプ | NCID | |||||||
| 収録物識別子 | AA11235941 | |||||||
| 書誌情報 |
情報処理学会研究報告コンピュータセキュリティ(CSEC) 巻 2008, 号 122(2008-CSEC-043), p. 31-36, 発行日 2008-11-28 |
|||||||
| Notice | ||||||||
| SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. | ||||||||
| 出版者 | ||||||||
| 言語 | ja | |||||||
| 出版者 | 情報処理学会 | |||||||
