未知のワームを検出、NECの「忘却型学習アルゴリズム」とは

2004/4/17

　NECはネットワーク監視システムなどでワームなどを分析し、未知の異常行動でも検出できるデータマイニングエンジン「AccessTracer」を開発したと4月16日に発表した。ネットワーク監視ではシグネチャベース、ポリシーベースでワームを検出するテクノロジが多いが、まったくの未知の脅威を検出するのは難しく、コストがかかっていた。

　AccessTracerはワームなどの過去の行動パターンを学習し、このパターンから大きく外れる挙動を異常行動として検出する。単純に行動パターンを更新するのではなく、全体の行動パターンを統計モデル化したうえで、過去のデータを徐々に削除し、新しいデータに適応していく「忘却型学習アルゴリズム」を備えている。

　また、AccessTracerは行動パターンやその内容の変化をダイナミックに検出できる「動的モデル選択アルゴリズム」を搭載したことで、未知のワームやネットワーク内部からの不正アクセスなどをリアルタイムに検出できるようにしたという。

　NECではAccessTracerの成果を早期に製品化して、セキュリティソリューションや運用保守サービスのネットワーク監視、内部犯罪防止ソリューションなどに活用したいとしている。

（編集局 垣内郁栄）

[関連リンク]
NECの発表資料

[関連記事]
監視から管理の時代へ、ウイルス対策アウトソーシングサービス （＠ITNews）
ヘルプデスクと統合、シマンテックの早期警告サービス （＠ITNews）
"ゼロデイ・アタック"に気を付けろ、シマンテックが独自レポート （＠ITNews）
アッカでも個人情報流出、内部漏えいの可能性も （＠ITNews）
反省が生んだMSの新セキュリティ戦略「多層的防御」とは （＠ITNews）

情報をお寄せください：

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）