挙動に基づく分散型サイバー攻撃の検知システムとその性能評価

抄録

分散型サイバー攻撃は、複数のホストから共同で行った攻撃を意味する。関連の検知技術に関する研究は、サイバーセキュリティコミュニティで最も重要なトピックの一つとなっている。多くの検出方法が提案されているが、様々な問題が残ってある。近年、挙動に基づく方法は、多くの研究者や開発者から大きな注目を集めている。挙動に基づくアプローチでは、歴史のトラフィック・データから通常の動作モードを抽出して、それを異常検出に利用する。本稿では、分散型サイバー攻撃を検出するための挙動に基づく検知エンジンを実装する方法について説明した上で、実装した検知システムの検知結果も報告する。