Core Concepts
ネットワークサービスのペイロードエントロピーの基準値を分析し、ネットワーク異常検知に活用する。
Abstract
本研究では、ネットワークサービスのペイロードエントロピーの基準値を分析しました。主な内容は以下の通りです。
- 複数の大規模パケットデータセットを分析し、一般的なネットワークサービスのペイロードエントロピーの平均値と標準偏差を算出しました。
- 暗号化されたサービス(SSH、HTTPS)は平均エントロピーが8.0に近く、平文のサービス(Telnet、LDAP)は低いエントロピーを示すことを明らかにしました。
- ペイロードエントロピーの変化を監視することで、暗号化チャネルの不正利用やデータ漏洩などの異常検知に活用できることを示しました。
- ペイロードエントロピーの他にも、IPアドレス、ポート番号、パケット間隔などの属性エントロピーを分析することで、より広範な異常検知が可能になります。
本研究の成果は、ネットワークセキュリティ分野における異常検知手法の向上に貢献できると期待されます。
Stats
暗号化されたHTTPSのペイロードエントロピーは平均7.92、標準偏差0.31
平文のTelnetのペイロードエントロピーは平均3.41、標準偏差1.72
圧縮されたZIPファイルのペイロードエントロピーは平均7.98
Quotes
"ペイロードエントロピーの変化を監視することで、暗号化チャネルの不正利用やデータ漏洩などの異常検知に活用できる"
"ペイロードエントロピーの他にも、IPアドレス、ポート番号、パケット間隔などの属性エントロピーを分析することで、より広範な異常検知が可能になる"