トラフィックエントロピー解析（とらふぃっくえんとろぴーかいせき）

トラフィックエントロピー解析とは

トラフィックエントロピー解析は、ネットワークセキュリティにおける異常検知技術の一つです。従来のセキュリティ対策は、既知の脅威に対するシグネチャに基づいていましたが、トラフィックエントロピー解析は、通信データの統計的な特性を分析することで、未知の脅威やゼロデイ攻撃を検出することを目指します。

エントロピーとは、情報の不確実性やランダム性の度合いを示す指標です。ネットワークトラフィックにおけるエントロピーは、パケットサイズ、プロトコル、ポート番号、通信時間などの要素から計算されます。通常の通信パターンは、ある程度のエントロピー値を持つ一方で、異常な通信は、エントロピー値が極端に高いか低い傾向があります。

解析の仕組み

トラフィックエントロピー解析は、以下のステップで実行されます。

1. データ収集: ネットワークインターフェースからパケットをキャプチャし、通信データを収集します。
2. 特徴抽出: 収集したデータから、パケットサイズ、プロトコル、ポート番号、通信時間などの特徴量を抽出します。
3. エントロピー計算: 抽出した特徴量に基づいて、エントロピー値を計算します。
4. 異常検知: 計算されたエントロピー値を、事前に定義された閾値と比較し、異常な通信を検出します。

応用例

• マルウェア感染の検出: マルウェアに感染したホストは、C&Cサーバーとの通信を行うため、通常の通信パターンとは異なるエントロピー値を示すことがあります。
• 不正アクセスの検出: 不正アクセスは、通常、特定のポートやプロトコルを介して行われるため、エントロピー解析によって検出することができます。
• DDoS攻撃の緩和: DDoS攻撃は、大量のトラフィックを送信するため、エントロピー値が異常に高くなることがあります。
• 内部不正の検出: 内部不正者は、機密情報にアクセスする際に、通常のユーザーとは異なる通信パターンを示すことがあります。

注意点

トラフィックエントロピー解析は、誤検知が発生する可能性があります。そのため、他のセキュリティ対策と組み合わせて使用することが推奨されます。また、暗号化された通信においても有効ですが、暗号化の種類によっては、解析が困難になる場合があります。