2010 Fiscal Year Annual Research Report
正常トラヒック情報の効率的な抽出と統合モデルによるロバスト異常トラヒック検出技術
| Project/Area Number |
21700079
|
|---|
| Research Institution | Kyushu Institute of Technology |
|---|
Principal Investigator |
内田 真人 九州工業大学, ネットワークデザイン研究センター, 准教授 (20419617)
|
|---|
| Keywords | 異常トラヒック検知 / パケットサンプリング / アンサンブル学習 |
|---|
| Research Abstract |
本研究では,監視対象ネットワークにおいて計測されたトラヒックパターンを,正常時のトラヒックパターンを表現する確率モデル(基準分布)と比較することによって異常トラヒックを検知する手法について検討した.従来手法の多くは,正常/異常パケットが分類されてないトラヒックデータ(教師無しデータ)から,手作業によって選別された正常パケットのみからなるトラヒックデータを用いて基準分布の学習を行う.本研究では,この時間と手間を省くために,本来とは異なる目的でパケットサンプリングを利用することを提案した.すなわち,教師無しデータに含まれる正常トラヒックに関する情報(正常パケット)を効率良く抽出するために,パケットサンプリングの欠点である情報損失特性を逆手に利用する手法を提案した.昨年度の研究では,実トラヒックデータを用いた検証実験により,時間周期的パケットサンプリングを用いることで,バースト的な異常トラヒックを含む可能性溝ある教師無しデータから効率良く正常パケットを抽出できることを確認したが,今年度の研究では,このことを数理的に証明した.また,昨年度の研究では,独立にサンプリングされたトラヒックデータを個別に学習した複数の基準モデルを用いることで,サンプリング時間間隔を確率的に決定することに伴う異常トラヒック検出性能の統計的変動を緩和する手法を提案したが,今年度の研究では,この有効性を詳細に検討した.さらに,正常トラヒックに関する情報を最大限に活用するために,サンプリング結果の統計的変動を利用して異常トラヒック検出の感度を調整することで,異常トラヒック検出結果におけるFalse PositiveとFalse Negativeとの間のトレードオフを調整することのできる手法を提案した.実トラヒックデータを用いた実験の結果,提案手法はバースト性を伴う異常トラヒックの検知に有効であることが示された.
|
