ニュース
2004/04/16 23:37 更新
NEC、未知のワームも検出可能なデータマイニングエンジンを開発
NECは、通常のパターンから外れる異常行動を分析し、未知のワームやなりすまし行為、障害を高精度で検出する「AccessTracer」を開発した。
NECは4月16日、通常のパターンから外れる異常行動を分析し、未知のワームやなりすまし行為、障害を高精度で検出するデータマイニングエンジン「AccessTracer」を開発したことを発表した。
システムの安定運用やセキュリティ対策上、障害の早期検出や未知のウイルス/ワーム発見の重要性が高まっている。しかし、従来より主流となっているシグネチャベースの検出やポリシーに基づく検査では、ルールの記述や照合に多くのコストを要するほか、未知の障害やワームへの対応が困難という問題があった。
これに対しAccessTracerは、データマイニング技術とNECが独自に開発した「忘却型学習アルゴリズム」を用いて行動パターンのモデルを学習し、パターンから大きく外れる行動を異常行動としてオンラインで判別することができる。これにより、未知のネットワーク侵入や未知のコンピュータ機器の障害を高精度に検出するだけでなく、各パターンの特徴や傾向を抽出することも可能という。
同社がUNIXコマンド履歴を用いて行ったなりすまし行為の検出実験では、従来の手法に比べ、誤警報率を50%以下に削減できたという。またSYSLOGを使った障害検出の実証実験では、未知の障害を遅延なく検出することができた。
NECでは早期にAccessTracerの製品化を目指し、セキュリティソリューションやネットワーク監視のための運用保守サービス、内部犯罪防止ソリューションなどに適用していく方針だ。
関連リンク
NEC[ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
