講演名 | 2020-03-03 宛先ポート行列の低ランク性を用いたポートスキャン検出法 農宗 弘貴(東工大), 山岸 昌夫(東工大), 山田 功(東工大), |
---|---|
PDFダウンロードページ | PDFダウンロードページへ |
抄録(和) | ポートスキャンはサイバー攻撃の前兆になるため、その検出法の実現はネットワークセキュリティの重要な課題となっている。ポートスキャン検出問題では、ポートスキャンと他の種類の通信との高精度な識別が重要となるが、特に、TCP通信では、同一のパケットフラグが使用されるポートスキャンは、バックスキャッタ(DoS攻撃への多応答通信)と識別が困難であることが報告されている。小文では、これらの識別が可能となる高精度ポートスキャン検出法を提案している。まず、ネットワーク上の観測ポイントで獲得されたフローの中で、ポートスキャンとバックスキャッタに共通の特徴を満たすものだけを集めたPB(Portscan Backscatter)フロー束を定義している。次に、PBフロー束の宛先ポートベクトルから宛先ポート行列を構成し、ポートスキャンに対応する宛先ポート行列が低ランク性を持ち、また、バックスキャッタに代表される多応答通信に対応する宛先ポートベクトルが、自身を除く全てのPBフロー束の宛先ポートベクトルと低いコヒーレンスを持つことを明らかにしている。提案法は、宛先ポート行列をコヒーレンスの低い行列と低ランク行列の和に分解することにより、列ベクトルのクラスタリングとポートスキャン検出を具現化する方針に基づいており、行列の分解は、凸緩和で得られた最適化問題にDouglas-Rachford法を適用して近似実現されている。最後に、数値実験を行い、提案法によって、ポートスキャンと多応答通信が良好に識別できることを確認している。 |
抄録(英) | The detection of port scans as possible preliminaries to more serious attacks is important for system administrators and other network defenders. However classifying port scan from backscatter as a side-effect of DoS attack has been a major burden to detect scans with high precision. In this report, we present an idea to resolve this issue. We newly introduce a set of flows, named the PB-flow bundle, which satisfies certain common features of port scans and backscatters, and then define a destination port matrix of which column indicates the distribution of destination ports of each PB-flow bundle. By observing that (i) the destination port matrix corresponding to port scan tends to have low rank, and (ii) each column of the destination port matrix corresponding to backscatter tends to show low coherence with destination ports of other PB-flow bundles, we propose a portscan detection method based on a decomposition of a given destination port matrix into sum of low rank and low coherent matrices. The matrix decomposition is realized by applying Douglas-Rachford splitting algorithm to a convexly relaxed optimization problem. Numerical experiments show the effectiveness of the proposed method. |
キーワード(和) | ポートスキャン検出 / バックボーンネットワーク / バックスキャッタ / PBフロー束 / 宛先ポート行列 / 低ランク性 / 凸最適化 |
キーワード(英) | Portscan detection / Backbone network / Backscatter / PB-flow bundle / Destination port matrix / Low-rankness / Convex optimization |
資料番号 | EA2019-167,SIP2019-169,SP2019-116 |
発行日 | 2020-02-24 (EA, SIP, SP) |
研究会情報 | |
研究会 | SP / EA / SIP |
---|---|
開催期間 | 2020/3/2(から2日開催) |
開催地(和) | 沖縄産業支援センター |
開催地(英) | Okinawa Industry Support Center |
テーマ(和) | 音声,応用/電気音響,信号処理,一般 |
テーマ(英) | |
委員長氏名(和) | 河井 恒(NICT) / 古家 賢一(大分大) / 相川 直幸(東京理科大) |
委員長氏名(英) | Hisashi Kawai(NICT) / Kenichi Furuya(Oita Univ.) / Naoyuki Aikawa(TUS) |
副委員長氏名(和) | 李 晃伸(名工大) / 島内 末廣(金沢工大) / 武岡 成人(静岡理工科大) / 林 和則(阪市大) / 坂東 幸浩(NTT) |
副委員長氏名(英) | Akinobu Ri(Nagoya Inst. of Tech.) / Suehiro Shimauchi(Kanazawa Inst. of Tech.) / Shigeto Takeoka(Shizuoka Inst. of Science and Tech.) / Kazunori Hayashi(Osaka City Univ) / Yukihiro Bandou(NTT) |
幹事氏名(和) | 南條 浩輝(京大) / 小川 哲司(早大) / 松井 健太郎(NHK) / 小山 翔一(東大) / 中本 昌由(広島大) / 小西 克巳(法政大) |
幹事氏名(英) | Hiroaki Nanjo(Kyoto Univ.) / Tetsuji Ogawa(Waseda Univ.) / Kentaro Matsui(NHK) / Shoichi Koyama(Univ. of Tokyo) / Masayoshi Nakamoto(Hiroshima Univ.) / Katsumi Konishi(Hosei Univ.) |
幹事補佐氏名(和) | 郡山 知樹(東大) / 井島 勇祐(NTT) / 井本 桂右(立命館大) / 森川 大輔(富山県立大) / 杉本 憲治郎(早大) |
幹事補佐氏名(英) | Tomoki Koriyama(Univ. of Tokyo) / Yusuke Ijima(NTT) / Keisuke Imoto(Ritsumeikan Univ.) / Daisuke Morikawa(Toyama Pref Univ.) / Kenjiro Sugimoto(Waseda Univ.) |
講演論文情報詳細 | |
申込み研究会 | Technical Committee on Speech / Technical Committee on Engineering Acoustics / Technical Committee on Signal Processing |
---|---|
本文の言語 | JPN |
タイトル(和) | 宛先ポート行列の低ランク性を用いたポートスキャン検出法 |
サブタイトル(和) | |
タイトル(英) | A Portscan Detection Based on Low-rankness of Destination Port Matrices |
サブタイトル(和) | |
キーワード(1)(和/英) | ポートスキャン検出 / Portscan detection |
キーワード(2)(和/英) | バックボーンネットワーク / Backbone network |
キーワード(3)(和/英) | バックスキャッタ / Backscatter |
キーワード(4)(和/英) | PBフロー束 / PB-flow bundle |
キーワード(5)(和/英) | 宛先ポート行列 / Destination port matrix |
キーワード(6)(和/英) | 低ランク性 / Low-rankness |
キーワード(7)(和/英) | 凸最適化 / Convex optimization |
第 1 著者 氏名(和/英) | 農宗 弘貴 / Hiroki Nousou |
第 1 著者 所属(和/英) | 東京工業大学(略称:東工大) Tokyo Institute of Technology(略称:Tokyo Tech) |
第 2 著者 氏名(和/英) | 山岸 昌夫 / Masao Yamagishi |
第 2 著者 所属(和/英) | 東京工業大学(略称:東工大) Tokyo Institute of Technology(略称:Tokyo Tech) |
第 3 著者 氏名(和/英) | 山田 功 / Isao Yamada |
第 3 著者 所属(和/英) | 東京工業大学(略称:東工大) Tokyo Institute of Technology(略称:Tokyo Tech) |
発表年月日 | 2020-03-03 |
資料番号 | EA2019-167,SIP2019-169,SP2019-116 |
巻番号(vol) | vol.119 |
号番号(no) | EA-439,SIP-440,SP-441 |
ページ範囲 | pp.385-390(EA), pp.385-390(SIP), pp.385-390(SP), |
ページ数 | 6 |
発行日 | 2020-02-24 (EA, SIP, SP) |