Study on Cyber-attack Detection based on Automatic Extraction of Multi-dimensional Behavior Modes

2018 Fiscal Year Research-status Report

• Project/Area Number: 18K11295
• Research Institution: Kyushu University
• Principal Investigator: 馮 尭楷 九州大学, システム情報科学研究院, 助教 (60363389)
• Co-Investigator(Kenkyū-buntansha): 櫻井 幸一 九州大学, システム情報科学研究院, 教授 (60264066)
• Project Period (FY): 2018-04-01 – 2021-03-31
• Keywords: Feature Selection / Automatic Thresholding / Distributed attacks

Outline of Annual Research Achievements

１）SDN環境で模擬的にトラフィックデータ（攻撃データも含めて）を発生させ、収集・前処理を行った。これは今後の研究のベースになると考えられる。２）通常時挙動パターンの構成および自動抽出のためのアルゴリズムを考案し、それらを利用する場合の分散型攻撃に対する検知性能を模擬環境で実証した。これまでの提案は検知率が良いというメリットがあったことが分かったが、誤検知率が高いというデメリットもあった。挙動モードの定義に利用された特徴数を増やせば、誤検知率を抑えることができると考えられる。これはこれからの研究課題になった。３）分散型攻撃の有効検知のための必要な特徴を検討した。２）と３）は今後多次元挙動モードの定義および自動抽出に関する研究の基礎になる。関連する研究成果は次の３つの国際学術会議でFull Paperとして発表した（査読あり）。
ア）The 4th IEEE Cyber Science and Technology Congress, Aug. 2018
イ）The Sixth International Symposium on Computing and Networking, Nov. 2018
ウ）The 33rd International Conference on　Advanced Information Networking and Applications, Mar. 2019.

Current Status of Research Progress

2: Research has progressed on the whole more than it was originally planned.

Reason

当初はトラフィックデータセットの収集と前処理を行い、挙動パターンの構成を考案し検知性能の確認を行うとの計画でした。上述の「研究実績の概要」から分かるように、おおむね順調に進展している。

Strategy for Future Research Activity

１）これまでの特徴選択に関する研究成果を更に検討することによって、多次元挙動モードの考案とそれの自動且つ高速的に抽出アルゴリズム、および性能実証まで本研究を進める。
２）本研究での提案は伝統的なネットワークだけでなく、SDN環境およびIoT環境まで発展させる。

Causes of Carryover

当初は初年度にビッグデータになるトラフィックデータを高速処理するための計算サーバーの購入および物理的な実験用ネットワークの構築を行う予定でしたが、まず公開されたデータおよび研究室で持っているパソコンを利用し最初の提案の有効性を実証することにより、提案の改良策を含めて全体案を決めてから計算サーバーの購入および物理的なネットワーク環境の構築を行うことにした。

Research Products

• [Presentation] U2RおよびR2L攻撃の効率的な検出に向けて (2019)
  • Author(s): Hao Zhao、小出 洋、Yaokai Feng、櫻井 幸一
  • Organizer: 火の国情報シンポジウム2019
• [Presentation] 分散XML処理をための複数経路を用いたルーティングアルゴリズムの提案と評価 (2019)
  • Author(s): Longjian Ye、小出 洋、Yaokai Feng、櫻井 幸一
  • Organizer: 火の国情報シンポジウム2019
• [Presentation] Feature Selection for Machine Learning-Based Early Detection of Distributed Cyber Attacks (2018)
  • Author(s): Yaokai Feng, Hitoshi Akiyama, Liang Lu, Kouichi Sakurai
  • Organizer: The 4th IEEE Cyber Science and Technology Congress
  • Int'l Joint Research
• [Presentation] Detecting Distributed Cyber Attacks in SDN Based on Automatic Thresholding (2018)
  • Author(s): Ryousuke Komiya, Yaokai Feng, Kouichi Sakurai
  • Organizer: The Sixth International Symposium on Computing and Networking
  • Int'l Joint Research
• [Presentation] Implementing Lightweight IoT-IDS on Raspberry Pi Using Correlation-Based Feature Selection and Its Performance Evaluation (2018)
  • Author(s): Yan Naung Soe, Yaokai Feng, Paulus Insap Santosa, Rudy Hartanto, Kouichi Sakurai
  • Organizer: The 33rd International Conference on. Advanced Information Networking and Applications
  • Int'l Joint Research