X二乗手法を使った不正アクセスIPパケットの特徴抽出

摘要

DoS (Denial of Service)攻撃からサーバを防御するためには，サーバまたはIDSにおいてアクセスフィルタリング策を講じる必要がある。 しかし，一般には到達パケットが攻撃パケットかそうでないかを区別するためのフィルタリングを行うことは困難である．そこで本研究では，不正アクセスが行われているか否かを早期に検出するための仕組みについて，統計的な手法を用いた検討を行っている．特に本稿では，ソースIPアドレスを元にX二乗を定義し，本校に到達する全パケットについて解析を行った．その結果，X二乗手法を用いた場合は，1)カイ二乗値の計算対象となるウィンドウにおいて，時間を基準とするよりパケット数を基準とした方が攻撃の検出には適しており，2) DNSサーバに対する攻撃については，ウィンドウサイズを500パケット，ビン数を2とすることにより10分以内でDoS攻撃を発見することが可能となる，という2点が明らかとなった．