2013 Fiscal Year Annual Research Report
インターネットトラフィック異常検出への機械学習の適用に関する研究
| Project/Area Number |
12F02802
|
|---|
| Research Institution | National Institute of Informatics |
|---|
Principal Investigator |
福田 健介 国立情報学研究所, アーキテクチャ科学研究系, 准教授
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
MAZEL Johan 国立情報学研究所, アーキテクチャ科学研究系, 外国人特別研究員
|
|---|
| Keywords | インターネット / 異常検出 / パラメータチューニング |
|---|
| Research Abstract |
平成25年度は, インターネット異常検出器間の性能を比較し, また, 異常検出器を組み合わせた際の性能向上を目指すために, Chord図に基づく, 異常検出器間の性能解析・パラメータチューニング手法の研究開発を行った. Chord図は, ゲノムの進化・分類過程を表すための視覚化手法として知られているが, 本研究では, Chord図の円周上に各異常検出器で発見された異常イベント数を孤として配置し, 異なる異常検出器で発見された異常イベントのうち共通して発見されたオーバーラップ部分を孤の間の辺として表現する. 既存手法であるベン図では異常検出器の数が3を越えると視覚的に表現・理解することが困難になるが, Chord図を用いることで5つの異常検出器の性能を比較することが可能となった. これにより, 各異常検出器のパラメータ依存性の大小, および各異常検出器で検出可能な異常のタイプの違い等を視覚的に評価した. さらに, 複数の理論的な背景の異なる異常検出器の組み合わせによるインターネットトラフィック異常検出システムであるMAWILabに, 提案手法を適用することで, 既存システムに比べて約20%の精度向上が実現できた. この結果は, 情報ネットワーク分野の査読付国際会議論文として発表した.
また, 検出された異常イベントの原因を特定するには, 異常イベントに対してその理由付けをラベルとして付与する必要があるが, このラベルを異常検出器の出力より, 経験的に抽出する方法の研究開発に着手している. この異常イベントタクソノミーは検出された異常の重要度や類似度を判定するためには必要不可欠のものであり, 得られた結果は平成26年度に論文投稿を行う予定である.
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
平成24年度より進めていた異常検出器の比較手法を発展させ視覚化による手法を確立できた点で, 研究は順調に進展していると考える.
|
| Strategy for Future Research Activity |
平成25年度後半に着手したタクソノミーをもとに, 異常検出器の出力結果を分類し, 10年間にわたるインターネットバックボーントラフィックトレース中に検出された異常イベントの振る舞いを定量的に評価する予定である.
|
