ストリームマイニングによるユーザビヘイビア同定とその応用に向けた基礎的検証

2014 Fiscal Year Research-status Report

• Project/Area Number: 25540034
• Research Institution: Osaka City University
• Principal Investigator: 阿多 信吾 大阪市立大学, 大学院工学研究科, 教授 (30326251)
• Project Period (FY): 2013-04-01 – 2016-03-31
• Keywords: ネットワーク計測 / ビヘイビア / パケットキャプチャ / 機械学習

Outline of Annual Research Achievements

本研究では、従来のフロー単位のアプリケーション識別手法を時間軸に拡張することで、ユーザの生成するトラヒックを計測しつつ、ユーザの挙動をリアルタイムに識別する手法を提案する。まず、送受信トラヒックをIPヘッダ情報に含まれる属性によってフローに分類し、フローごとにパケットサイズ、パケット到着間隔などの統計値（合計20種類）を求める（これをフロー特徴量セットと呼ぶ）。
ビヘイビアによって生成されるトラヒックは複数のフローから構成されるため、フロー特徴量セットは生成されたフロー数と等しい。そこで導出されたフロー特徴量を、フローが生成された（最初のパケットの到着）時刻にもとづいて時系列もとづいて分析し、特徴量の時間的変化について考察する。
その結果、アクティブフロー数の時間変動については、ポータルサイトなどビヘイビアの変化ごとに突出した変動を示すものがある一方、ビヘイビアによらず変化が緩やかであるものも存在する。同様に、パケットサイズの最大値、データ転送レートなどにおいても、ビヘイビアの違いによって傾向が大きく異なる場合があることが明らかとなった。
以上の分析をもとに、現在使用されている代表的な15種類のアプリケーションに対して、9種類のビヘイビア分類のための指標を定義し、それらを各アプリケーションのフロー特徴量セットに適用した結果、9種類のビヘイビア分類指標によって15種類のアプリケーションが分類できる可能性があることを示した。

Current Status of Research Progress

2: Research has progressed on the whole more than it was originally planned.

Reason

本研究で設定した4つの課題に対して、今年度それぞれ次に述べる進捗があった。課題１「ユーザビヘイビアを特徴付けるトラック種別の特定」では、15種類のアプリケーションを同定可能な9種類のビヘイビア特徴量の指標を新たに定義し、アプリケーション分類ができる可能性を示した。課題２「ユーザビヘイビア同定のためのストリームマイニング技術」では、統計値によって必要となるパケット数が異なることを考慮した、新しい多段階型学習機構の提案を行い、従来と比較してより高精度に識別可能であることを示した。課題３「ユーザビヘイビアパターンの収集」では、代表的なアプリケーションおよびビヘイビアに対するサンプルデータをより多く収集し、多様なビヘイビア分類を行うためのデータセットを構築した。さらに課題４「ユーザビヘイビア同定による応用としてのテストベッド構築」では、即時性の高いアプリケーション同定を実現するプログラムの開発およびゲートウェイへの統合のためのフレームワークの構築を行った。以上の成果は、国際会議論文１件、国内研究会論文１件によって公表しており、順調に進捗していると判断する。

Strategy for Future Research Activity

本研究で提案するユーザビヘイビア分類手法は、これまでのフロー識別、アプリケーション識別、特定アプリケーションの検出などのトラヒック識別・検出技術を時間軸上に並べることで体系的に取り扱うことが可能である。これらの区別は特徴セット作成のための時間ウィンドウの大きさによって決まることから、各識別に対して最適な時間ウィンドウをどのように設定すべきかについて課題1で検討する。また、アプリケーションを考えた場合ビヘイビアの分類はすべてリアルタイムで実行されるべきであることから、分類のリアルタイム化に向けた検討を課題２で実施する。リアルタイム化を実現するためには、計算量の削減だけでなく、より少ない計測トラヒックで分類を行う必要があり、精度が劣化することも予想される。このため、観測トラヒックと精度に関するトレードオフを明らかにし、高い精度を維持しつつ観測トラヒックをどの程度削減できるかについて検証する。
課題４のテストベッドに関しては、研究代表者が遂行しているトラスタブルネットワークフレームワークにおける信頼性の付与に、ユーザビヘイビア分類とトラヒックの実績により決定された値を用いる手法を考える。具体的には、別途トラヒック計測装置、および異常トラヒック検出装置を設置する。そして、トラヒックの異常、あるいは一定以上の正常トラヒックの送受信実績が発生した段階で、そのトラヒックに対するビヘイビアを求める。そしてビヘイビアに対する信頼値を調整する（異常があれば下げるなど）。本研究で得られたビヘイビア分類を上記機構の信頼度決定に活用するための実績とのマッピングを行う機構を実装する。

Causes of Carryover

国際会議発表のための旅費を計上したが、用務先が近隣国（台湾）であったため、想定より安価に実施できたこと、ビヘイビア同定のための計算機資源についてアルゴリズムの最適化により余裕があったため。

Expenditure Plan for Carryover Budget

収集した多くのトラヒックに対してビヘイビア同定を高速に行うための新たな計算機資源の購入と、ビヘイビアデータ収集のためのストレージ購入を計画する。

Research Products

• [Journal Article] 識別性能を向上させる多段階型アプリケーション識別手法 (2015)
  • Author(s): 熊野 由一, 阿多 信吾, 中村 信之, 中平 佳裕, 岡 育生
  • Journal Title: 電子情報通信学会技術研究報告 Volume: 114 Pages: 19-24
  • Acknowledgement Compliant
• [Journal Article] Identification of User Behavior based on Time Variation of Traffic Statistics (2014)
  • Author(s): Yusuke Iemura, Shingo Ata, Ikuo Oka
  • Journal Title: Proc. of 16th Asia-Pacific Network Operations and Management Symposium Volume: 1 Pages: 1-8
  • Peer Reviewed
• [Presentation] トラヒック統計量の時間変化にもとづくユーザのビヘイビア識別に関する研究 (2014)
  • Author(s): 家村 勇輔, 阿多 信吾, 岡 育生
  • Organizer: 電子情報通信学会 ソサイエティ大会
  • Place of Presentation: 徳島大学（徳島県徳島市）
  • Year and Date: 2014-09-26 – 2014-09-26
• [Presentation] 暗号化トラヒックに対応可能なアプリケーション識別のリアルタイム化に向けた検討 (2014)
  • Author(s): 熊野 由一, 阿多 信吾, 中村 信之, 中平 佳裕, 岡 育生
  • Organizer: インターネット技術第163委員会 新世代ネットワーク構築のための基盤技術研究分科会ワークショップ
  • Place of Presentation: 赤穂ハイツ（兵庫県赤穂市）
  • Year and Date: 2014-08-27 – 2014-08-28
• [Remarks] 情報通信領域：ネットワーク分析
  • URL: http://www.c.info.eng.osaka-cu.ac.jp/portfolio-items/network-analysis/