講演抄録/キーワード |
講演名 |
2011-03-04 13:25
γダイバージェンスに基づく異常検知手法の提案とシステムコール発行履歴への適用 ○村上慎太郎・川喜田雅則・竹内純一(九州先端科学技研/九大) IT2010-98 ISEC2010-102 WBS2010-77 |
抄録 |
(和) |
近年のマルウェア被害の増加に伴い,マルウェアの侵入検知の需要が増加している.本稿では,この課題に対して機械学習による異常検知の適用について論じる.マルウェアがホストに感染するとプロセス制御の奪取が起こり,システムコールの発行履歴に異常が生じる.ここに着目して,システムコール正常列の振る舞いをマルコフモデルで学習して異常を検知する手法が提案されている.しかし一般にマルウェアに感染していないという保証のあるデータは存在せず,学習データには異常データが混在している可能性がある.さらに感染中は異常なシステムコール発行が継続するため,異常データの割合が小さいとは限らない.よって正常列の振る舞いの学習は一般に難しい.このような問題に対し,近年統計学において外れ値の割合が大きくても頑健な学習が可能な,$\gamma$ダイバージェンスに基づく推定手法が提案されている.本研究では,これをマルコフモデルの推定に応用する手法を提案する.また,これを実データに基づく模擬データに対して適用した結果を報告する. |
(英) |
Nowadays, damage by malwares is increasing. In this paper, we discuss anomaly detection by machine learning and its application to this problem. When a malware infects a computer, it takes control of the process and system call sequence shows abnormal behaviors. Tatara et. al. proposed a method which detects anomaly by using Markov model. However, we have no data warranted not to be infected, hence training data may involve abnormal data. Moreover, the ratio of abnormal data to normal data may be large, because infected hosts output abnormal system calls period of time. For these reasons, the learning of behaviors of normal sequences requires some robust learning method. For this problem, we employ $\gamma$-divergence, by which it is possible to learn the normal behaviors even if the ration of abnormal data is large. In our study, we apply $\gamma$-divergence to estimate Markov model. We report the results of experiment using real data. |
キーワード |
(和) |
マルウェア侵入検知 / $\gamma$ダイバージェンス / ロバスト推定 / / / / / |
(英) |
Intrusion Detection / $\gamma$-divergence / Robust Estimation / / / / / |
文献情報 |
信学技報, vol. 110, no. 443, ISEC2010-102, pp. 191-197, 2011年3月. |
資料番号 |
ISEC2010-102 |
発行日 |
2011-02-24 (IT, ISEC, WBS) |
ISSN |
Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
IT2010-98 ISEC2010-102 WBS2010-77 |
|