| 研究概要 |
今年度の研究では,監視対象ネットワークにおいて計測されたトラヒックデータとの比較のために用いられる正常時のトラヒックパターンを表す確率モデル(基準モデル)を,正常/異常パケットが分類されてないトラヒックデータ(教師無しデータ)を用いて学習することのできる教師無し異常トラヒック検出手法を提案した.このことを実現するために本研究では,本来とは異なる目的でパケットサンプリングを用いた.すなわち,教師無しデータに含まれる正常トラヒックに関する情報(正常パケット)を効率良く抽出するために,パケットサンプリングの欠点である情報損失特性を逆手に利用する手法を提案した.そして,実トラヒックデータを用いた検証実験により,時間周期的パケットサンプリングを用いることで,バースト的な異常トラヒックを含む可能性がある教師無しデータから効率良く正常パケットを抽出できることを確認した.また,時間周期的サンプリングされたトラヒックデータを用いて学習した基準分布は,誤検出率や未検出率の観点から異常検出に有効であることを確認した.さらに本研究では,サンプルされたトラヒックデータの確率的変動が検出性能へ与える影響を軽減するために,複数の基準モデルを統合して用いるという,情報理論と機械学習を背景としたアンサンブル異常検出手法を提案した.実トラヒックデータを用いた検証実験の結果より,複数の基準分布を統合して用いることで,誤検出率や未検出率はさらに改善可能であり,手作業で分類されたトラヒックデータ(教師有りデータ)を用いた従来手法と同程度の検出性能を達成できることを確認した.以上より,提案した教師無しアンサンブル異常検出手法を用いることで,正常トラヒックに関する情報を効率的に抽出して最大限に活用できることが明らかとなった.
|
