Online Learning Algorithms for Real-time Detection, Classification, and Visualization of Cyberattacks

2016 Fiscal Year Annual Research Report

• Project/Area Number: 16H02874
• Research Institution: Kobe University
• Principal Investigator: 小澤 誠一 神戸大学, 工学研究科, 教授 (70214129)
• Co-Investigator(Kenkyū-buntansha): 大森 敏明 神戸大学, 工学研究科, 准教授 (10391898) ; 北園 淳 神戸大学, 工学研究科, 工学研究科研究員 (00733677)
• Project Period (FY): 2016-04-01 – 2020-03-31
• Keywords: 機械学習 / サイバー攻撃 / ニューラルネット / DDoS攻撃検知 / ダークネット / 可視化 / 連想ルールマイニング / t-SNE

Outline of Annual Research Achievements

H28 年度では，ダークネットで観測される通信トラフィックからサイバー攻撃の検知・分類・可視化が可能となるよう，機械学習を導入した(1)検知・分類方式と(2)可視化方式の開発に取り組んだ．

(1)については，TCP通信とUDP通信のトラフィック特徴に対して独立した外れ値検出(L1-SVM)とL2-SVM識別器を組み合わせたハイブリッド型DDoS 攻撃検知システムを開発し，2016年1月1日から同年12月31日までにNICTのダークネットセンサで観測されたトラフィックデータをオンライン学習し，DDoS攻撃判定を行った．なお，ダークネットトラフィックを特徴ベクトルに変換する際に使う時間窓を30秒から1時間までの複数個設定し，1ホスト当たりの特徴ベクトル数を増やして，多様な攻撃パターンに対応できるよう改良した．その結果，1年間にわたる平均オンライン性能は，適合率0.94, 再現率0.93，F値0.93となり，安定して高精度にDDoS判定が行えることを実証した．また，識別器モデルに線形L2-SVM，k近傍法，ランダムフォレスト，RBFネットワークを導入した場合の性能を調べ，非線形L2-SVMの優位性を検証した．また，FP-Treeと呼ばれる連想ルールマイニング手法を適用し，2016年度9月下旬以降に大流行したIoTマルウェアMiraiと疑われる挙動を捉え，大流行以前の挙動と9月下旬のソースコード公開以後の挙動とに特徴的な違いがあることを発見した．

(2)については，t-SNEと呼ばれる可視化手法において，いったん得られた解を新たな初期に設定してオンラインで2次元マップを更新する方法を提案した．2014年2月1日のデータを用いて，1時間ごとにt-SNEによる可視化結果を求めたところ，DDoS攻撃を受けたホストの変化が捉えられ，DDoS攻撃以外の攻撃が新たに出現する様子などが観測された．

Current Status of Research Progress

2: Research has progressed on the whole more than it was originally planned.

Reason

初年度の研究計画から大きなずれはなく，研究はおおむね順調に進んでいる．但し，いくつかの点で当初見込んでいた条件が整わず，H28年度に完成できなかった点があるので，それを以下にまとめる．

(1)観測対象とするダークネットセンサとして，/16の1センサからNICTが所有する13個のすべてのセンサを使用することになっていたが，NICTから神戸大学に対してデータ共有する環境が間に合わず，従来通りの1センサでの観測データを使用した性能評価となった．

(2)ダークネットトラフィックの時空間特徴を陽に考慮するため，スパイキングニューラルネットの活用を予定していた．しかし，協力研究者であるNikola Kasabov教授が開発しているNeuCubeと呼ばれるスパイキングニューラルネットのソースコードを提供して頂く条件として，オークランド工科大学（ニュージーランド）と神戸大学の間で共同研究契約を結ぶ必要があった．この契約がH28年度には間に合わず，上記研究の進展に影響が出た．

Strategy for Future Research Activity

特に大きな変更を予定しておらず，当初の予定通り推進していく．但し，本研究プロジェクトの成果を論文化する際，DDoS攻撃やその他のサイバー攻撃を検知した結果が正しいかどうかの検証が必要との指摘を得た．このような検証を行うためには，各国のCERTサイトや攻撃者，ホワイトハッカーなどが情報提供しているサイバー攻撃に関するニュースや掲示板，SNSを利用して，事実認定していく必要がある．これについては，現在，セキュリティ分野で行われているインシデント管理の方法を調査中であり，セキュリティの専門家ともコンタクトを取って，その方法を検討中である．

Research Products

• [Int'l Joint Research] University of Ljubljana(Slovenia)
  • Country Name: Slovenia
  • Counterpart Institution: University of Ljubljana
• [Journal Article] Multidimensional Unfolding Based on Stochastic Neighbor Relationship (2017)
  • Author(s): Naoki Murata, Jun Kitazono, Seiichi Ozawa
  • Journal Title: Proceeding of the 9th International Conference on Machine Learning and Computing Volume: 1 Pages: 1-5
  • Peer Reviewed
• [Journal Article] A neural network model for detecting DDoS attacks using darknet traffic features (2016)
  • Author(s): S. H. A. Ali, S. Ozawa, T. Ban, J. Nakazato and J. Shimamura
  • Journal Title: 2016 International Joint Conference on Neural Networks Volume: 1 Pages: 2979-2985
  • DOI: 10.1109/IJCNN.2016.7727577
  • Peer Reviewed / Acknowledgement Compliant
• [Journal Article] A Fast Online Learning Algorithm of Radial Basis Function Network with Locality Sensitive Hashing (2016)
  • Author(s): Siti Hajar Aminah Ali, Kiminori Fukase, Seiichi Ozawa
  • Journal Title: Evolving Systems Volume: 7 Pages: 173-186
  • DOI: 10.1007/s12530-015-9141-5
  • Peer Reviewed
• [Journal Article] t-Distributed Stochastic Neighbor Embedding with Inhomogeneous Degrees of Freedom (2016)
  • Author(s): Jun Kitazono, Nistor Grozavu, Nicoleta Rogovschi, Toshiaki Omori, Seiichi Ozawa
  • Journal Title: ICONIP 2016: Neural Information Processing Volume: 3 Pages: 119-128
  • DOI: 10.1007/978-3-319-46675-0_14
  • Peer Reviewed / Int'l Joint Research
• [Journal Article] Stochastic Collapsed Variational Bayesian Inference for Biterm Topic Model (2016)
  • Author(s): Narutaka Awaya, Jun Kitazono, Toshiaki Omori, Seiichi Ozawa
  • Journal Title: 2016 International Joint Conference on Neural Networks Volume: 1 Pages: 3364-3370
  • DOI: 10.1109/IJCNN.2016.7727629
  • Peer Reviewed
• [Journal Article] A Sentiment Polarity Prediction Model Using Transfer Learning and Its Application to SNS Flaming Event Detection (2016)
  • Author(s): Seiichi Ozawa, Shun Yoshida, Jun Kitazono, Takahiro Sugawara and Tatsuya Haga
  • Journal Title: 2016 IEEE Symposium Series on Computational Intelligence Volume: 1 Pages: 1-7
  • DOI: 10.1109/SSCI.2016.7849868
  • Peer Reviewed
• [Presentation] 機械学習によるダークネット /ダークウェッブ解析と可視化 (2016)
  • Author(s): 小澤誠一
  • Organizer: NICT Nicterワークショップ
  • Place of Presentation: 秋田大学（秋田県・秋田市）
  • Year and Date: 2016-11-19 – 2016-11-20
  • Invited
• [Presentation] ダークネットトラフィックの可視化とオンライン更新によるモニタリング (2016)
  • Author(s): 畑中拓哉, 北園 淳, 小澤誠一, 班 涛, 中里純二, 島村隼平
  • Organizer: コンピュータセキュリティシンポジウム2016
  • Place of Presentation: 秋田キャッスルホテル（秋田県・秋田市）
  • Year and Date: 2016-10-11 – 2016-10-13
• [Presentation] Online Learning of Unstructured Data in Cybersecurity (2016)
  • Author(s): Seiichi Ozawa
  • Organizer: 2016 IEEE World Congress on Computational Intelligence
  • Place of Presentation: Vancouver Convention Centre (Vancouver, Canada)
  • Year and Date: 2016-07-24 – 2016-07-24
  • Int'l Joint Research / Invited
• [Presentation] 確率的近傍関係を用いた多次元展開法の開発 (2016)
  • Author(s): 村田直紀, 北園 淳, 小澤誠一
  • Organizer: システム制御情報学会
  • Place of Presentation: 京都テルサ（京都府・京都市）
  • Year and Date: 2016-05-25 – 2016-05-27
• [Presentation] Biterm Topic Modelの確率的崩壊型変分ベイズ推論 (2016)
  • Author(s): 粟屋成崇, 北園 淳, 大森敏明, 小澤誠一
  • Organizer: システム制御情報学会
  • Place of Presentation: 京都テルサ（京都府・京都市）
  • Year and Date: 2016-05-25 – 2016-05-27
• [Book] Neural Information Processing (2016)
  • Author(s): Akira Hirose, Seiichi Ozawa, Kenji Doya, Kazushi Ikeda, Minho Lee, Derong Liu
  • Total Pages: 2660
  • Publisher: Springer