インターネットは、過去に私たちが予想もできなかったような速さで進歩し、普及している。インターネットという巨大なネットワークにはさまざまな可能性があり、一般家庭にまでインターネットが普及し始めている現在では、コンピュータとインターネットが私たちにたくさんの恩恵を与えてくれるようになり、今ではなくてはならないものになった。その反面、そこにはいくつかのリスクか存在するのも事実である。1995年から始まったインターネットブーム以降、インターネットを利用した犯罪も増加してきた。日本でも2000年1月の官公庁Web書き換え事件以来、不正アクセス禁止法の制定などセキュリティへの関心が高まってきた。
不正アクセスを検出するには、アクセスログの監視が不可欠である。しかし、アクセスログは膨大であり、監視は手間のかかる作業である。しかし、不正侵入を受けた際、その痕跡を知る唯一の手がかりであるため、重要な作業である。これを自動化する手法を、武井ら[1]は以下のように提案した。
まず、トラフィックパターンを監視し、異常パターンを自動的に抽出する。これを複数の場所で行い、抽出したパターンを統計処理して、指向性を検出する。指向性の検出により、不正アクセスを追跡する。
実際には不正アクセスとしてDOS攻撃の中のSmurfだけに着目し、1分間に60回以上のICMP Echoの受信だけを不正アクセスとして見なす。1度60回以上のアクセスを検出するとアクセスパターンを記録しはじめる。記録はアクセス数がピークを迎え、さらにピークの半分を下回るまで行なう(最大10分間)。
複数の地点で記録した情報に対して相関係数と比例係数を求める。これによりパケットが増幅された場合にトラフィックパターンの形状から同定できる。トラフィックは増幅されるとの仮定により指向性が求まる。
本研究では不正アクセスの追跡は行なわず、不正アクセスの自動検出のみにしぼる。武井ら[1]の研究では、検出の条件は、「ICMP Echoを1分間に60回以上というものであったが、これ自体が不正アクセスと言えるであろうか? 特に、DOS攻撃では、通常アクセスと不正アクセスに明確な境界があるわけではないので、「1分間に60回以上などと決められるわけではない。又、通常アクセスは環境によって大きく変わる。そこで、我々は、通常アクセスを過去のログから学習して、異常アクセスと通常アクセスを区別する方法を提案した。 本研究での手法は、アクセス数をリアルタイムに記録し、統計処理を行ない不正アクセスと通常アクセスのしきい値を計算する。
2章では作成したプログラムについて解説する。 3章では実データに対し、本プログラムを適用した例を示し、本プログラムの有効性を示す。 4章では、本研究で使用した最小2乗法を、5章では、同じく区間推定について説明した。 最後に6章にまとめを書いた。