抄録
本稿では,インターネット上の小規模な観測アドレス空間(Darknet)を用いて,その近隣のアドレス空間へ到着する異常パケットの振る舞いを推定できる可能性を示す.我々はこれまで,各組織の断片的未使用アドレス空間に到着する異常パケットの振る舞いを観測することで,近隣のアドレス空間に到着する異常パケットを推定・防御する分散協調監視アーキテクチャを提案してきた.異常パケットの振る舞いを推定するには,小規模な観測アドレス空間とその近隣へ到着する異常パケット間の時系列相関強度を調査する必要がある.そこで,アドレス空間をスキャンする異常パケットを対象に,Darknetの観測空間を小規模なサブ観測空間に分け,そのサブ観測空間の間の時系列解析から相関強度を求めた.さらに,サブ観測空間のサイズを変更させ,その相関強度のサイズ依存性を調査した.その結果,十分小さなサブ観測空間でも,近隣へ到着する異常パケットの振る舞いを推定できることが分かった.また,特定の観測位置をベースとした解析を行うことで非常に高い相関強度を得られた.これらの結果から,小規模な観測空間を用いる分散協調監視アーキテクチャでも異常パケットの振る舞いを推定できる可能性が示せた.
