| 講演名 | 2013-03-14 トラフィックパラメータのクラスタリングによる異常検知手法の特性調査(セキュリティ1,インターネットと情報倫理教育,一般) 巽 康平, 秋山 豊和, |
|---|---|
| PDFダウンロードページ |  PDFダウンロードページへ |
| 抄録(和) | 近年,中央省庁や企業などへの標的型攻撃が増加している.標的型攻撃のような未知の攻撃にはアノマリ型の検知手法が有効であり重要になってきている.本稿では,アノマリ型に分類される既存手法の中で,正常状態からの逸脱度合いによる異常検知手法について,実環境への適用可能性について調査を行った.調査した手法では,正常なトラフィックパラメータをクラスタリングすることによって正常状態の特徴を抽出する.その後新たに観測したトラフィックパラメータについて正常状態の特徴からの逸脱度合いを算出し,異常を検出する.本稿では既存手法をRubyとRで実装し,侵入検知データセットである1999 Darpa Intrusion Detection Data Setを用いて異常検知を試みた.k-means法はクラスタ数の初期値を設定する必要があるため,既存手法ではクラスタ数を決定するためにパラメータR(k)を用いている.既存手法ではクラスタ数の増加に伴ってR(k)が収束し,収束値付近のクラスタ数を採用することで最適なクラスタ数が得られると述べられているが,実データでは収束しなかった.そこで,既存手法で用いられているクラスタ数と,適切なクラスタ数を自動的に決定するx-means法を用いた場合について比較を行った. |
| 抄録(英) | The "targeted attacks" especially to the government and the companies increase in recent years. Such unknown attacks are difficult to detect by signature-based IDSs, and it is said that anomaly-based IDS can detect them effectively. In this study, we investigated the applicability of an existing anomaly detection method to the practical environment. The method is classified to the anomaly-based method and it uses the degree of deviation from the normal state. In the method, at first, the features of the normal state is extracted by clustering normal traffic parameters using k-means method. Then, it calculates the degree of deviation from the normal state for the newly observed traffic. We implemented the method using the R and Ruby. Then, we apply it to detect anomalies using the 1999 Darpa Intrusion Detection Data Set. Since the k-means method requires the number of clusters decide before clustering, the existing method uses the parameter R(k)to find the approproate number. The literature, describes that R(k) will converge when the number of the cluster k increases, and k will be the optimal when R(k) is within E of the converged value. However, R(k) did not converge with the Data set. Therefore, we will compare the fixed k value used in the existing methods and the x-means method which automatically determines the appropriate k value. |
| キーワード(和) | 異常検知 / クラスタリング |
| キーワード(英) | anomaly detection / clustering |
| 資料番号 | SITE2012-49,IA2012-87 |
| 発行日 |
| 研究会情報 | |
| 研究会 | SITE |
|---|---|
| 開催期間 | 2013/3/7(から1日開催) |
| 開催地(和) | |
| 開催地(英) | |
| テーマ(和) | |
| テーマ(英) | |
| 委員長氏名(和) | |
| 委員長氏名(英) | |
| 副委員長氏名(和) | |
| 副委員長氏名(英) | |
| 幹事氏名(和) | |
| 幹事氏名(英) | |
| 幹事補佐氏名(和) | |
| 幹事補佐氏名(英) | |
| 講演論文情報詳細 | |
| 申込み研究会 | Social Implications of Technology and Information Ethics (SITE) |
|---|---|
| 本文の言語 | JPN |
| タイトル(和) | トラフィックパラメータのクラスタリングによる異常検知手法の特性調査(セキュリティ1,インターネットと情報倫理教育,一般) |
| サブタイトル(和) | |
| タイトル(英) | A Study of the Anomaly Detection Method Characteristics based on the Traffic Parameter Clustering |
| サブタイトル(和) | |
| キーワード(1)(和/英) | 異常検知 / anomaly detection |
| キーワード(2)(和/英) | クラスタリング / clustering |
| 第 1 著者 氏名(和/英) | 巽 康平 / Kouhei TATSUMI |
| 第 1 著者 所属(和/英) | 京都産業大学コンピュータ理工学部 Faculty of Computer Science and Engineering, Kyoto Sangyo University |
| 第 2 著者 氏名(和/英) | 秋山 豊和 / Toyokazu AKIYAMA |
| 第 2 著者 所属(和/英) | 京都産業大学コンピュータ理工学部 Faculty of Computer Science and Engineering, Kyoto Sangyo University |
| 発表年月日 | 2013-03-14 |
| 資料番号 | SITE2012-49,IA2012-87 |
| 巻番号(vol) | vol.112 |
| 号番号(no) | 488 |
| ページ範囲 | pp.- |
| ページ数 | 6 |
| 発行日 | |