| 講演名 | 2004-07-20 学習データを自動生成する侵入検知システムの評価 山田 明, 三宅 優, 竹森 敬祐, 田中 俊昭, |
|---|---|
| PDFダウンロードページ |  PDFダウンロードページへ |
| 抄録(和) | 近年,既知の攻撃パターンファイル(シグネチャ)に基づくIntrusion Detection System(IDS)が広く利用されるようになってきたが,未知攻撃や亜種攻撃を検知できない課題がある.そこで,未知攻撃や亜種攻撃を検知するための機械学習アルゴリズムに基づくIDSが注目を集めている.しかし,実環境において学習データを作成することが困難なこと,ならびに試験環境で作成する学習データでは実環境の攻撃に対応しきれないことが問題となっている.筆者らは,シグネチャに基づくIDSの出力から学習データを自動生成し,これを学習することにより亜種の攻撃を検知できるIDSを提案している.本稿では,1999 DARPA IDS Evaluation Dataの試験データを用いた検知率に関する詳細な評価を行うとともに,より実際の環境に近い状態を想定して,脆弱性スキャナによるトラヒックおよび実ネットワークのトラヒックを用いて評価を行う.検知対象としてHTTPにおける攻撃に注目しており,すべてのデータにおいて亜種攻撃を的確に検知できることを確認する. |
| 抄録(英) | Although many intrusion detection systems based on learning algorithms have been proposed to detect unknown attacks or variants of known attacks, most systems require sophisticated training data for supervised learning. Because it is not easy to prepare the training data, the anomaly detection systems are not widely used in the practical environment. On the other hand, misuse detection systems that use signatures to detect attacks are deployed widely. However, they are not able to detect unknown attacks or variants of known attacks. So we have proposed a new anomaly detection system, which detects the variants of known attacks without preparing the training data. In this system, we use outputs of signature-based conventional IDS to generate the training data for anomaly detection. This system identifies novel features of attacks, and generates generalized signatures from the output of IDS to detect the variant attacks. We conducted experiments on the prototype system with three types of traffic data, 1999 DARPA IDS Evaluation Data, attacks by vulnerability scanner and actual traffic. The results show that our scheme can detect the variants of attacks efficiently, which cannot be detected by conventional IDS. |
| キーワード(和) | 侵入検知システム / 機械学習 / 教師あり学習 / 異常検知 / 亜種攻撃 / 自動学習データ生成 |
| キーワード(英) | Network intrusion detection / Machine learning / Supervised learning / Anomaly detection / Misuse detection / Variant attacks / Automatic training data generation |
| 資料番号 | ISEC2004-31 |
| 発行日 |
| 研究会情報 | |
| 研究会 | ISEC |
|---|---|
| 開催期間 | 2004/7/13(から1日開催) |
| 開催地(和) | |
| 開催地(英) | |
| テーマ(和) | |
| テーマ(英) | |
| 委員長氏名(和) | |
| 委員長氏名(英) | |
| 副委員長氏名(和) | |
| 副委員長氏名(英) | |
| 幹事氏名(和) | |
| 幹事氏名(英) | |
| 幹事補佐氏名(和) | |
| 幹事補佐氏名(英) | |
| 講演論文情報詳細 | |
| 申込み研究会 | Information Security (ISEC) |
|---|---|
| 本文の言語 | JPN |
| タイトル(和) | 学習データを自動生成する侵入検知システムの評価 |
| サブタイトル(和) | |
| タイトル(英) | Evaluations for Machine Learning Based IDS with Automatic Training Data Generatiin |
| サブタイトル(和) | |
| キーワード(1)(和/英) | 侵入検知システム / Network intrusion detection |
| キーワード(2)(和/英) | 機械学習 / Machine learning |
| キーワード(3)(和/英) | 教師あり学習 / Supervised learning |
| キーワード(4)(和/英) | 異常検知 / Anomaly detection |
| キーワード(5)(和/英) | 亜種攻撃 / Misuse detection |
| キーワード(6)(和/英) | 自動学習データ生成 / Variant attacks |
| 第 1 著者 氏名(和/英) | 山田 明 / Akira YAMADA |
| 第 1 著者 所属(和/英) | (株)KDDI研究所 KDDI R&D Laboratories Inc. |
| 第 2 著者 氏名(和/英) | 三宅 優 / Yutaka MIYAKE |
| 第 2 著者 所属(和/英) | (株)KDDI研究所 KDDI R&D Laboratories Inc. |
| 第 3 著者 氏名(和/英) | 竹森 敬祐 / Keisuke TAKEMORI |
| 第 3 著者 所属(和/英) | (株)KDDI研究所 KDDI R&D Laboratories Inc. |
| 第 4 著者 氏名(和/英) | 田中 俊昭 / Toshiaki TANAKA |
| 第 4 著者 所属(和/英) | (株)KDDI研究所 KDDI R&D Laboratories Inc. |
| 発表年月日 | 2004-07-20 |
| 資料番号 | ISEC2004-31 |
| 巻番号(vol) | vol.104 |
| 号番号(no) | 199 |
| ページ範囲 | pp.- |
| ページ数 | 8 |
| 発行日 | |