講演名 2020-03-03
宛先ポート行列の低ランク性を用いたポートスキャン検出法
農宗 弘貴(東工大), 山岸 昌夫(東工大), 山田 功(東工大),
PDFダウンロードページ PDFダウンロードページへ
抄録(和) ポートスキャンはサイバー攻撃の前兆になるため、その検出法の実現はネットワークセキュリティの重要な課題となっている。ポートスキャン検出問題では、ポートスキャンと他の種類の通信との高精度な識別が重要となるが、特に、TCP通信では、同一のパケットフラグが使用されるポートスキャンは、バックスキャッタ(DoS攻撃への多応答通信)と識別が困難であることが報告されている。小文では、これらの識別が可能となる高精度ポートスキャン検出法を提案している。まず、ネットワーク上の観測ポイントで獲得されたフローの中で、ポートスキャンとバックスキャッタに共通の特徴を満たすものだけを集めたPB(Portscan Backscatter)フロー束を定義している。次に、PBフロー束の宛先ポートベクトルから宛先ポート行列を構成し、ポートスキャンに対応する宛先ポート行列が低ランク性を持ち、また、バックスキャッタに代表される多応答通信に対応する宛先ポートベクトルが、自身を除く全てのPBフロー束の宛先ポートベクトルと低いコヒーレンスを持つことを明らかにしている。提案法は、宛先ポート行列をコヒーレンスの低い行列と低ランク行列の和に分解することにより、列ベクトルのクラスタリングとポートスキャン検出を具現化する方針に基づいており、行列の分解は、凸緩和で得られた最適化問題にDouglas-Rachford法を適用して近似実現されている。最後に、数値実験を行い、提案法によって、ポートスキャンと多応答通信が良好に識別できることを確認している。
抄録(英) The detection of port scans as possible preliminaries to more serious attacks is important for system administrators and other network defenders. However classifying port scan from backscatter as a side-effect of DoS attack has been a major burden to detect scans with high precision. In this report, we present an idea to resolve this issue. We newly introduce a set of flows, named the PB-flow bundle, which satisfies certain common features of port scans and backscatters, and then define a destination port matrix of which column indicates the distribution of destination ports of each PB-flow bundle. By observing that (i) the destination port matrix corresponding to port scan tends to have low rank, and (ii) each column of the destination port matrix corresponding to backscatter tends to show low coherence with destination ports of other PB-flow bundles, we propose a portscan detection method based on a decomposition of a given destination port matrix into sum of low rank and low coherent matrices. The matrix decomposition is realized by applying Douglas-Rachford splitting algorithm to a convexly relaxed optimization problem. Numerical experiments show the effectiveness of the proposed method.
キーワード(和) ポートスキャン検出 / バックボーンネットワーク / バックスキャッタ / PBフロー束 / 宛先ポート行列 / 低ランク性 / 凸最適化
キーワード(英) Portscan detection / Backbone network / Backscatter / PB-flow bundle / Destination port matrix / Low-rankness / Convex optimization
資料番号 EA2019-167,SIP2019-169,SP2019-116
発行日 2020-02-24 (EA, SIP, SP)

研究会情報
研究会 SP / EA / SIP
開催期間 2020/3/2(から2日開催)
開催地(和) 沖縄産業支援センター
開催地(英) Okinawa Industry Support Center
テーマ(和) 音声,応用/電気音響,信号処理,一般
テーマ(英)
委員長氏名(和) 河井 恒(NICT) / 古家 賢一(大分大) / 相川 直幸(東京理科大)
委員長氏名(英) Hisashi Kawai(NICT) / Kenichi Furuya(Oita Univ.) / Naoyuki Aikawa(TUS)
副委員長氏名(和) 李 晃伸(名工大) / 島内 末廣(金沢工大) / 武岡 成人(静岡理工科大) / 林 和則(阪市大) / 坂東 幸浩(NTT)
副委員長氏名(英) Akinobu Ri(Nagoya Inst. of Tech.) / Suehiro Shimauchi(Kanazawa Inst. of Tech.) / Shigeto Takeoka(Shizuoka Inst. of Science and Tech.) / Kazunori Hayashi(Osaka City Univ) / Yukihiro Bandou(NTT)
幹事氏名(和) 南條 浩輝(京大) / 小川 哲司(早大) / 松井 健太郎(NHK) / 小山 翔一(東大) / 中本 昌由(広島大) / 小西 克巳(法政大)
幹事氏名(英) Hiroaki Nanjo(Kyoto Univ.) / Tetsuji Ogawa(Waseda Univ.) / Kentaro Matsui(NHK) / Shoichi Koyama(Univ. of Tokyo) / Masayoshi Nakamoto(Hiroshima Univ.) / Katsumi Konishi(Hosei Univ.)
幹事補佐氏名(和) 郡山 知樹(東大) / 井島 勇祐(NTT) / 井本 桂右(立命館大) / 森川 大輔(富山県立大) / 杉本 憲治郎(早大)
幹事補佐氏名(英) Tomoki Koriyama(Univ. of Tokyo) / Yusuke Ijima(NTT) / Keisuke Imoto(Ritsumeikan Univ.) / Daisuke Morikawa(Toyama Pref Univ.) / Kenjiro Sugimoto(Waseda Univ.)

講演論文情報詳細
申込み研究会 Technical Committee on Speech / Technical Committee on Engineering Acoustics / Technical Committee on Signal Processing
本文の言語 JPN
タイトル(和) 宛先ポート行列の低ランク性を用いたポートスキャン検出法
サブタイトル(和)
タイトル(英) A Portscan Detection Based on Low-rankness of Destination Port Matrices
サブタイトル(和)
キーワード(1)(和/英) ポートスキャン検出 / Portscan detection
キーワード(2)(和/英) バックボーンネットワーク / Backbone network
キーワード(3)(和/英) バックスキャッタ / Backscatter
キーワード(4)(和/英) PBフロー束 / PB-flow bundle
キーワード(5)(和/英) 宛先ポート行列 / Destination port matrix
キーワード(6)(和/英) 低ランク性 / Low-rankness
キーワード(7)(和/英) 凸最適化 / Convex optimization
第 1 著者 氏名(和/英) 農宗 弘貴 / Hiroki Nousou
第 1 著者 所属(和/英) 東京工業大学(略称:東工大)
Tokyo Institute of Technology(略称:Tokyo Tech)
第 2 著者 氏名(和/英) 山岸 昌夫 / Masao Yamagishi
第 2 著者 所属(和/英) 東京工業大学(略称:東工大)
Tokyo Institute of Technology(略称:Tokyo Tech)
第 3 著者 氏名(和/英) 山田 功 / Isao Yamada
第 3 著者 所属(和/英) 東京工業大学(略称:東工大)
Tokyo Institute of Technology(略称:Tokyo Tech)
発表年月日 2020-03-03
資料番号 EA2019-167,SIP2019-169,SP2019-116
巻番号(vol) vol.119
号番号(no) EA-439,SIP-440,SP-441
ページ範囲 pp.385-390(EA), pp.385-390(SIP), pp.385-390(SP),
ページ数 6
発行日 2020-02-24 (EA, SIP, SP)