Snortを用いた侵入防止システムの構築と侵入検知処理高速化の検討,
林 經世,横山 幹,高原 厚,岩橋 政宏,
情報処理学会研究報告 2003-CSEC-21, pp.59--64, 2003.
IDS(不正侵入検知システム)の処理能力がnetwork traffic量の増大に伴い低下することを問題視した論文.特定の状況(攻撃用の通信しか存在しない)ではなく,平時の環境を想定しつつ(?),不正検知システムの処理能力の評価を行い,高トラフィック時でも十分に検知処理が可能な検知システムの検討を行った,また検知結果をもとに通信を遮断する侵入防御システムの評価も行った
Snortを利用している.Snortはプリプロセッサの処理後,Signatureを用いた検索を行うが,それは
1. パケット識別によるフィルタリング処理
2. 文字列などのパターンマッチング処理
3. プロトコル解析処理
の3つである.このなかで最も時間がかかる文字列パターンマッチングに注目し,そのアルゴリズムの高速化と,処理の負荷軽減について考察.さらに不正侵入対応機能としてのFlexResp機能についても評価した.
処理負荷軽減方法としてあげられているのは以下の三種類
I. 探索木パターンマッチアルゴリズムの利用
II. Kernelパケットフィルタリングの併用による処理対象削減
III. HW/SW併用処理とあるが,Hardwareパケットフィルタリングによる処理対象削減
結果はほぼ予想通りなのではと理解できるが,アルゴリズムの改善などでは場合によっては改善されない場合もあり,kernelによるパケットフィルタリングもそちらの処理の方が負荷となって不正検知の処理能力が低下するという場合も発生していた.
つまり結果としてわかったことは,明らかに不要だと考えられるパケットは事前にフィルタリングすれば,不正侵入検知処理は高トラフィックでも十分稼動する能力を持つ.またフィルタリングもハードウェア製の方がCPUに負担をかけないだけいいということがわかる.
またFlexRespにもその通信強制遮断対応に限界があり,nmapで実行できる複数種のポートスキャン機能では強制遮断ができなかったという結果が得られていた.
竹森 敬祐,三宅 優,中尾 康二,
IDSログ分析支援システムの提案,
情報処理学会 研究報告 2003-CSEC-21, pp.65--70, 2003.
IDS(不正侵入検知システム)の出力するログは,膨大な量であり,かつ誤検知,多重検知,対策済みの脆弱性に対する攻撃の検知などの存在,攻撃の意図や成否がわからないなどの原因から,有効に活用されているとは到底言えない状況にある.そこで運用者の視点に立った有効なログ解析方法としての要件を整理し,そのための解析方法として統計分析と閾値学習分析の手法を提案している.
非常に興味深い論文である.が,「支援システム」というよりは「ログ解析方法」というべき内容だと勝手に理解した.
長方形の入れ子構造を用いた階層型データ視覚化手法の拡張、
山口裕美,伊藤貴之,
情報処理学会論文誌, Vol.44, N.10, pp.2469--2477, (2003)
階層型データの視覚化手法で,「データ宝石箱」といわれる視覚化システムらしい.TreeMapとは異なるが似てなくもない視覚化手法である.IBMの展示会で見たことはあったが論文は初めてみた.非常に興味深い
データ視覚化システム「データ宝石箱」は以下のような要求を満たしている階層型データ視覚化手法であった.
1. すべてのノードを同時に表示するため,互いに重ならないようにノードを配置する
2. 画面空間を節約するために,ノードの配置領域となる長方形領域が,できるだけ小さい面積になるように,かつできるだけ正方形に近い形状になるようにノードを配置
3. できるだけ高速に配置
しかし,データの意味やユーザの意図を反映した一意な画面配置はできなかった.つまり類似しているデータに対してまったく異なる視覚化結果をもたらしていたので,それを解決するために理想的な位置をあらかじめ用意し,それを視覚化システムに教示する「テンプレート」を用意した.これを使うことで
1. ユーザのデザイン意図を反映した画面配置
2. 座標軸に意味を持たせた画面配置
3. 時系列に沿って微量ずつ変化するデータのシームレスな視覚化
が,可能になるらしい.大規模階層構造情報を視覚化した結果もあり,視覚化システムとしても非常に興味深い.「データ宝石箱」の論文も読んでみる必要がある.データ宝石箱の論文は画像電子学会論文誌 Visual Computing特集号 Vol.32, No.407, pp.407--417 (2003)である
InfoVis 2003 ContestのSecond Place Paper
著者はNihar Sheth, K.Borner, J.Baumgartner, K.Mane and Eric Wernert
Contest Resultはこちら
論文はここから取得可能.
3つの木構造型データの情報視覚化システムについて延べられている
1. 3D tree viewer
系統図のような木構造の複数(2つ?)のデータを比較し、どの部分が他方のどの部分に対応するのかを線で結んで示している。3次元視覚化らしいが、一見ではそのようには見えない。Open Inventorで実装されているとのこと。
2. Radial Tree
系統図に対応する行列があり,その行列を元に系統図の類似度を比較する方法が関連研究で参照されており、それを応用した視覚化システムらしい。Javaで実装されているとのこと。focus+context技術も盛り込まれておりhyperbolic treeと同様のアニメーション機能も持つ。というか視覚化手法もよく似ている。
3. Tree Map
これはアイデア自体はTreeMapであり著者達の発想ではないと推測されるが、実装はしており,応用してみたらいい結果が出た(?)ということだろうか? 各四角形の色をファイルの更新時刻として意味付けしており、ディレクトリやファイルが入れ子状になっているのもわかる。