2014 Fiscal Year Annual Research Report
インターネットトラフィック異常検出への機械学習の適用に関する研究
| Project/Area Number |
12F02802
|
|---|
| Research Institution | National Institute of Informatics |
|---|
Principal Investigator |
福田 健介 国立情報学研究所, アーキテクチャ科学研究系, 准教授 (90435503)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
MAZEL Johan 国立情報学研究所, アーキテクチャ科学研究系, 外国人特別研究員
|
|---|
| Project Period (FY) |
2012-04-01 – 2015-03-31
|
| Keywords | インターネット / トラフィック / 異常検出 / タクソノミー |
|---|
| Outline of Annual Research Achievements |
本研究のゴールは,異常検出器によって発見された異常をネットワーク管理者・運用者が,正確かつ有用なカテゴリ分けをできるような分類手法を提供することにある.ネットワーク異常イベントの分類に関しては既存研究でいくつか述べられているが,多くの研究では,異常イベントに対応するシグネチャの数は10 未満と少ない.他方,DDoS やスキャンなどの限られた異常イベントに関しては,詳細なタクソノミーが構築されているが,ネットワーク異常イベント全体としてみると,そのカバー率は低い.さらには,既存研究では,タクソノミーの構築ツールや構築したタクソノミーを他の研究者が利用することができないため,再現性や一般性に関して問題がある.
この研究では,ネットワーク上で生じる異常イベントの分類および,その詳細なシグネチャーを含むタクソノミーを構築し,そのトラフィックの振る舞いに関する特徴を調査した.タクソノミーは木構造で表現され,各ノードは異常イベントタイプに対応し,エッジはそれらの関係性を表している.グラフのルートは全てのイベントに対応し二つのノード正常・異常のを持つ.異常イベントはさらにサービス不能攻撃とスキャンに分類され,それらはさらに詳細な異常イベントを特徴づける.正常イベントは異常検出器によって検出されるものの,ネットワーク管理者の観点では異常とは言えないものであり,大量のトラフィックを送受信するフロー(heavy hitter) や一つの送信者から多数の受信者へデータを転送するフロー(point-multipoint) 等に分類される.異常イベントは各々を特徴づけるシグネチャーから構成され,本研究では,80 以上のシグネチャーを導出した.さらに本研究の有用性を示すために,パブリックに利用可能なトラフィックレポジトリに提案手法を適用したところ,既存手法と比較して,10%程度の精度改善がはかられた.
|
| Research Progress Status |
26年度が最終年度であるため、記入しない。
|
| Strategy for Future Research Activity |
26年度が最終年度であるため、記入しない。
|
