WIDE Paper-List in 2006 通信先ホスト数の変化に注目した異常トラフィック自動検出手法の提案と評価 wide-paper-roft-fujii-Detection_Method_for_Anomaly_Traffic_based_on_Alternations_of_Destination_Hosts-00.txt WIDE Project: http://www.wide.ad.jp/ If you have any comments on this document, please contact to ad@wide.ad.jp. Title: 通信先ホスト数の変化に注目した異常トラフィック自動検出手法の提案と評価 Author(s): 藤井 聖(fujii@iri-com.co.jp) 中村 豊(yutaka-n@isc.kyutech.ac.jp) 藤川 和利(fujikawa@itc.naist.jp) 砂原 秀樹(suna@wide.ad.jp) Date: 01/05/2006 author = [藤井 聖, 中村 豊, 藤川 和利, 砂原 秀樹] title = [通信先ホスト数の変化に注目した異常トラフィック自動検出手法の提案と評価] type = [journal] institution = [学会名] volume = [J88-B] number = [10] pages = [1922-1933] year = [Oct. 2005] site = [http://search.ieice.org/jpn/2005/files/j000b10.htm#j88-b,10,1922] wideareaname = [Area 4 (Operation & Management)] widewgname = [roft] keyword = [NetFlow, Anomaly Detection, Traffic Monitoring, Holt-Winters Forecasting] references = [] summary_ja = [ 本論文では,一般的な組織の運用ポリシーを鑑み,ワームによる攻撃および P2Pファイル交換ソフトウェアによるトラフィックを異常トラフィックと定義 する. ネットワークがインフラとして広く利用されるようになるにつれ,ネットワー ク管理者は組織の運営効率,健全性の維持のため,異常トラフィック発生の有 無を常に監視する必要がある.しかし,ネットワーク上で展開されるサービス が多様化し,従来のように転送バイト量やパケット量から異常トラフィックを 検出する手法,シグニチャにより異常トラフィック検出には限界が生じている. 本論文では,既存の異常トラフィック検出手法とその問題点を挙げ,優位なト ラフィック検出手法に必要な機能要件を検討し,それらの機能要件に適合する 異常トラフィック検出手法を提案する.提案手法を用いることにより,従来指 標の監視では検出不可能な異常トラフィックを,低コストで,シグニチャに非 依存で自動検出が可能であることを示す.また,提案手法による異常トラフィッ ク検出の検出精度,および,広帯域への適応性,そして,リアルタイムな異常 トラフィック検出への利用可能性を評価する. ] summary = [ In this paper, I consider the traffic, generated by worm attacks and P2P file sharing software, as anomalous one. Network administrators will inspect their network to find these anomalies, since they have to keep the efficiency and soundness of the network. Neither monitoring byte nor packet rate nor signature matching method can always reveal the anomalies. In this paper, I review the existing anomaly detecting methods and point out their weaknesses. Then, I show the requirements for a superior anomaly detecting method, and propose a new method which meets the requirements. With the proposed method, I can detect anomaly traffic which cannot be found by monitoring typical indices. The method is not costly and does not depend on signatures. Finally, I evaluate the scalability and the accuracy of the proposed method as well as the performance for real-time use. ] misc = [] -------------------------------------------- 株式会社 IRIコミュニケーションズ 技術部 ネットワーク技術課 藤井 聖(FUJII Satoshi) Tel:03-5908-0754(直通) Fax:03-5908-0757 http://www.iri-com.co.jp --------------------------------------------