◎小堀 智弘，菊池 浩明(東海大学大学院) 寺田 真敏(日立製作所) 不正ポートスキャンの直交展開 ◎小堀　智弘，菊池　浩明(東海大学大学院) 寺田　真敏(日立製作所)

目次 研究の動機 提案方式の原理 実験結果 研究の動機 提案方式の原理 実験結果

ポートスキャンと定点観測センサ S1 S2 S3 445 445 137 80 25 80 139 80 135 135 135 445 m1 m2 m3

センサの観測パケット 宛先ポートごとのパケット数は一様ではなく、ポート間は独立ではない ポート センサ 平均 S1 S2 S3 135 82 41 6 43 445 61 30 14 35 ICMP 3 120 139 8 11 9 80 2 89 31

ポート間が独立でない理由 ワーム ポート 135 445 1434 Gaobot ○ Blaster Slammer …

研究目的 ポート間の関係を明らかにする 観測データの効率的な解析を可能 センサの分布や環境による変化

本研究のアプローチ 観測ベクトルの直交基底と直交展開

直交基底 基底 g1 基底 g2 観測ベクトル 135 445 1434 直交性： （g1，g2）=0

目次 研究の動機 提案方式の原理 実験結果

直交展開の応用 観測ベクトルの近似 観測値スペクトル解析 欠損データの補完 観測ベクトルの圧縮や近似を行う センサの分布や時刻による変化 欠損したポートデータを他のポートの観測値から予測する

欠損ポートの問題 ポートフィルタリング パケット数が人工的に減少する（観測誤差） s1 s2 s3 s4 P1 P2 P3 10 15 10 本当はいくつ？ P1 P2 P3 10 　　　　15 　　　10 18 8 ポート 24 　　　　25 　　　28 14 　　　　20　 　　　16

基本定義：観測ベクトル n g0 s1 s2 s3 a1 a2 a3 p1 p2 p3 10 15 11 12 6 17 4 6 8 10 15 11 12 6 17 4 6 8 15 20 16 m

欠損ポートの補完原理 ポート g0 平均 欠損 s P1 20 40 P2 30 P3 6 10

直交基底の算出 共分散行列 M = Σa’i・a’iTの固有値λ1,λ2 ,・・・と固有ベクトルg1, g2, ・・・ 　 （ただし、 λ1 ≧ λ2 ≧ ・・・ ） 　性質　1、正規性 ||g|| = 1 （単位ベクトル） 　　　　　2、直交性 （gi ，gj） = 0 （内積） 　　　　　3、誤差 Σ（ai　-　cgi）2　→　最小化

直交展開と線形結合 どの成分についても a = g0 + c1g1 + c2g2 + ・・・ a c1,c2,・・・ 　 （ g0 , g1 , g2） ci = （a , gi） で表現できる 線形結合 直交展開 ・・・ 展開

応用1：観測ベクトルの近似 a(k) = g0 + Σ cigi 第k次近似 a c1,c2,・・・,cm 直交展開 低周波成分 高周波成分

応用2：観測ベクトルのスペクトル解析 a c1,c2,・・・,cm 直交展開 特徴量

欠損ポートの近似 欠損したデータ と表せる。直交基底より が成立する。これをxについて解くと次が成立する 真値 未知係数 10 20 6 10 　20 　6 0 　1 　0 －　20 と表せる。直交基底より エラーベクトル が成立する。これをxについて解くと次が成立する

目次 研究の動機 提案方式の原理 実験結果

実験データ JPCERT/CC 定点観測システム（ ISDAS ） センサ数30台 アドレス空間上で独立になるように分散した正規ホスト 観測期間2005/10/1-2006/3/31(6ヶ月)

ポートスキャンパケットの直交基底 g1 g2 g3 g4 135 0.803 -0.017 -0.103 0.057 445 0.580 0.044 0.033 -0.111 ICMP -0.034 0.872 -0.002 -0.114 139 0.069 0.234 -0.224 0.421 80 -0.008 0.332 -0.135 0.131 1026 0.084 0.054 0.683 -0.350 1433 0.045 0.081 -0.004 -0.016 … 1030 0.001 0.003 0.038 -0.02

（１）近似収束： s01の原観測ベクトルと第1、第5近似

（２）スペクトラム解析：センサの分布

（３）欠損ポートと補完

補完の誤差の分布

補完の精度 センサ数 m 28 平均 μ 15326 誤差平均 μ（x-ai2） 標準偏差 σ（ x-ai2 ） 3302 平均　μ 15326 誤差平均　μ（x-ai2） 標準偏差　σ（ x-ai2 ） 3302 MAX　(x-ai2 ) 10083 誤差率　2σ/μ（ai2） 0.43

まとめと課題 まとめ 観測ベクトルのポート間の関係表す独立した直交基底を求め、その応用を3つ示した 実観測データを用いて提案方式の実験を行った 課題 実際のネットワーク環境ではポートの遮断は1つとは限らない。

直交基底 g0、a’ｊ、Mの求め方 g0 a’j S P Mより、固有値を算出する s1 s2 s3 a1 a2 a3 p1 p2 p3 a1n p1 p2 p3 10 15 11 12 6 17 -2 3 -1 4 6 8 -2 0 -2 am1 amn 15 20 16 -2 3 -1 Mより、固有値を算出する

原データとの平均二乗誤差

c1 とc2 軸上のセンサの散布図 （東海大）

（２）時間推移：3つのセンサのc1とc2上の推移 2005 年10月から1ヶ月毎

センサs1の月毎の直交成分cの推移

センサとc1の関係

提案方式と実データの比較