- 著者
-
竹森 敬祐
三宅 優
田中 俊昭
笹瀬 巌
- 出版者
- 一般社団法人情報処理学会
- 雑誌
- 情報処理学会研究報告コンピュータセキュリティ(CSEC) (ISSN:09196072)
- 巻号頁・発行日
- vol.2004, no.54, pp.31-36, 2004-05-21
- 参考文献数
- 11
- 被引用文献数
-
3
昨今,急速にインターネット全域に拡大する攻撃が深刻な問題になっている.ネットワークサービスに影響を与える大規模攻撃やワーム感染ホストが与える局所的な攻撃の確実な検出と迅速な対応,被害規模の把握は重要な課題である.本研究では,侵入検知システム(IDS: Intrusion Detection System)のイベント出力に関する情報理論的な曖昧度を情報エントロピーによって算出し,その長期間の統計分布の平均と標準偏差を用いて,短期間の異常性を評価する手法を提案する.実際のIDSログを用いて局所的攻撃の検出率に関する評価を行い,本手法が未検出率ならびに誤検出率を低減できること,従来からのイベント頻度を用いた異常検出手法と組み合わせることで確実に検出できることを示す.本手法をインターネットの攻撃概況指標へ適用することで,セキュリティ監視者の迅速な対応と情報交換に寄与する.Recently, rapid increasing attacks that influence network services have become critical issues on the Internet. A detection technique for large scale attacks and worm infected hosts needs to estimate degree of its propagation. In this research, we propose an anomaly detection technique for IDS (Intrusion Detection System) events using the information entropy. And the information entropy is adapted to a profiling approach which compares the current information entropy with mean and standard deviations of the past information entropies. Experimental evaluations with real IDS events show that the detection ratio of false positives nd false negatives for the large scale attacks or the worm attacks on our approach is better than that using event counts on previous approach. Furthermore, the combination system of our approach and previous approach is able to detect potential issues perfectly. We also adapt the techniques to a thereat indicator, and its objective alarms effect with quick and reliable response for security operators.