WEKO3
アイテム
マトリックス分解によるパケットフィルタリングルールの分析-不要ルールと冗長条件ルールの検出-
https://ipsj.ixsq.nii.ac.jp/records/44697
https://ipsj.ixsq.nii.ac.jp/records/44697054f3327-d634-47a7-8783-247f46daf9f7
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-CSEC05031001.pdf (206.2 kB)
|
Copyright (c) 2005 by the Information Processing Society of Japan
|
|
| オープンアクセス | ||
| Item type | SIG Technical Reports(1) | |||||||
|---|---|---|---|---|---|---|---|---|
| 公開日 | 2005-12-09 | |||||||
| タイトル | ||||||||
| タイトル | マトリックス分解によるパケットフィルタリングルールの分析-不要ルールと冗長条件ルールの検出- | |||||||
| タイトル | ||||||||
| 言語 | en | |||||||
| タイトル | A Packet Filtering Rules Analysis by Decomposing into Matrixes- Removable and Revisable Rules Detection - | |||||||
| 言語 | ||||||||
| 言語 | jpn | |||||||
| 資源タイプ | ||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_18gh | |||||||
| 資源タイプ | technical report | |||||||
| 著者所属 | ||||||||
| NEC インターネットシステム研究所 | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Internet Systems Research Laboratories NEC | ||||||||
| 著者名 |
松田, 勝志
× 松田, 勝志
|
|||||||
| 著者名(英) |
Katsushi, MATSUDA
× Katsushi, MATSUDA
|
|||||||
| 論文抄録 | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | 企業や組織のネットワークを外部からの不正なアクセス等から守る方法の一つにパケットフィルタリングがある.しかしながら,パケットフィルタリングの設定は多数の複雑なルールから構成されるため,セキュリティ専門家ですら運用管理するのは難しい.本稿では,パケットフィルタリングのルール集合を詳細に分析することができるマトリックスを用いた分析手法について述べる.マトリックスとは,ルール集合で作る多次元空間を,各ルールの各条件属性の範囲指定された全ての境界点で区割りしてできる最小の多次元立方体である.このマトリックスとルールを対応付けることで,不要なルールを検出することが可能となる.また,実装したシステムを用いて,分析実行速度の評価実験を行った.その結果,中規模程度のルール集合(500ルール程度)ならば実用的な速度で分析が可能であることが分かった.更に,実際のルール集合を用いて不要なルールの検出を行ったところ,525ルールの中から44個の不要なルールを検出することができた. | |||||||
| 論文抄録(英) | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | Packet filters are essential for organizations that are connected to the Internet. However, it is difficult for even security experts to manage the filters, because their configurations consist of a large number of rules. In this paper, we describe a novel analysis method using matrixes. The matrixes are the smallest hyper cubes into which a hyper space including a rule set is decomposed at all boundary derived from every beginning and end value of each attribute of the all rule. Mapping these matrixes to the rules enables to find unnecessary rules. We have had an experiment of elapse time of analyzing. The result shows that the system produces results within practical time up to about five hundreds rules. And also we have detected 44 unnecessary rules from an actual rule set consisted of 525 rules. | |||||||
| 書誌レコードID | ||||||||
| 収録物識別子タイプ | NCID | |||||||
| 収録物識別子 | AA11235941 | |||||||
| 書誌情報 |
情報処理学会研究報告コンピュータセキュリティ(CSEC) 巻 2005, 号 122(2005-CSEC-031), p. 1-6, 発行日 2005-12-09 |
|||||||
| Notice | ||||||||
| SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. | ||||||||
| 出版者 | ||||||||
| 言語 | ja | |||||||
| 出版者 | 情報処理学会 | |||||||
