「Automated Port-scan Classification with Decision Tree and Distributed Sensors」


「Automated Port-scan Classification with Decision Tree and Distributed Sensors」


 Computer worms randomly perform port scans to find vulnerable hosts to intrude over the Internet. Malicious software varies its port-scan strategy, e.g., some hosts intensively perform scans on a particular target and some hosts scan uniformly over IP address blocks. In this paper, we propose a new automated worm classification scheme from distributed observations. Our proposed scheme can detect some statistics of behavior with a simple decision tree consisting of some nodes to classify source addresses with optimal threshold values. The choice of thresholds is automated to minimize the entropy gain of the classification. Once a tree has been constructed, the classification can be done very quickly and accurately.


 ポートスキャンを実行するcomputer wormに対する対策は重要であるが,本論文では,インターネット上の分散センサの情報からそのスキャン戦略を分類し,多量のパケットをclassifyするための最適なthresholdを速度と正確性の点から決定するdecision tree learning algorithmを適用する.本手法は数量自体が非常に多く,かつソースアドレスがspoofされているかもしれない,非決定的な挙動をするwormからのパケットを解析するのに有効である事を示す.以上のように有効性に優れた高いクオリティを持つ事から,本論文を論文賞に推薦する.

菊池 浩明

 1990明治大学博士前期課程修了.1994同博士(工学).富士通研究所勤務,東海大学工学部電気工学科助手を経て現在同大情報通信学部通信ネットワーク工学科教授. 2009より,情報処理学会コンピュータセキュリティ研究会(CSEC) 主査.電子情報通信学会,日本ファジィ学会,ACM, IEEE各会員.情報処理学会フェロー.

福野 直弥

 2007年東海大学大学院工学研究科修了.Internet Security Systems株式会社勤務を経て,現在,日本アイビーエム勤務.

小堀 智弘 君


寺田 真敏 君


Tangtisanon Pikulkaew

 She received B. E., and M. E. degrees from King Mongkut's Institute of Technology Ladkrabang in 2003 and 2005. She is a lecturer of King Mongkut's Institute of Technology Ladkrabang, and currently doctoral student of Tokai University.