ストリームマイニングによるユーザビヘイビア同定とその応用に向けた基礎的検証

2013 年度 実施状況報告書

• 研究課題/領域番号: 25540034
• 研究種目: 挑戦的萌芽研究
• 研究機関: 大阪市立大学
• 研究代表者: 阿多 信吾 大阪市立大学, 工学(系)研究科(研究院), 教授 (30326251)
• 研究期間 (年度): 2013-04-01 – 2016-03-31
• キーワード: ネットワーク計測 / ビヘイビア / パケットキャプチャ / 機械学習

研究概要

本研究では、従来のフロー単位のアプリケーション識別手法を時間軸に拡張することで、ユーザの生成するトラヒックを計測しつつ、ユーザの挙動をリアルタイムに識別する手法を提案する。提案手法では、ユーザの送受信トラヒックの統計的性質を用いてユーザの挙動を識別する。
まず、送受信トラヒックを IP ヘッダ情報に含まれる5組の属性(送信元 IP アドレス、送信先 IP アドレス、送信元ポート番号、送信先ポート番号、プロトコル番号) にもとづいてフローに分割し、フローに統計処理を施すことで、ハパケットサイズやパケット到着間隔などの統計情報を算出する。これらの算出した統計情報をフロー特徴量と定義する。次に算出した一定のインターバルにおける複数のフロー特徴量に変換関数を施すことで、フロー特徴量の時間経過に伴う変化を数値化する。これをビヘイビア特徴量と定義する。最後に、ビヘイビア特徴量と学習アルゴリズムを利用することで、ビヘイビアの識別を行う。
本研究では、1種類のフロー特徴量につき6種類の変換関数（平均値、最大値など）を用いてビヘイビア特徴量を決定する。フロー特徴量を54種類用いたため、ビヘイビア特徴量の合計は324種類となる。このなかで最も識別精度が高いビヘイビア特徴量の組み合わせを発見的アルゴリズムにより求める。
以上によって得られたビヘイビア特徴量の集合と機械学習アルゴリズムの選択により、6種類のビヘイビア（ストリーミング、ソーシャル、Web、VoIP など）を80% の精度で識別できることを実トラヒックのデータを用いて明らかにした。

現在までの達成度 (区分)

2: おおむね順調に進展している

理由

本研究では、4つの課題を設定している。今年度の進捗により、各課題に次に述べる進捗があった。課題1「ユーザビヘイビアを特徴付けるトラヒック種別の特定」では、ユーザビヘイビアを高精度で同定するために必要なビヘイビア特徴量を発見的アルゴリズムにより決定可能であることを明らかにした。課題2「ユーザビヘイビア同定のためのストリームマイニング技術」では、機械学習アルゴリズムを複数用いて精度比較をおこなった結果、C4.5 決定木作成アルゴリズムを利用することがよいことが分かった。課題3「ユーザビヘイビアパターンの収集」では、代表的なユーザ挙動（ビヘイビア）に対するトラヒックパターンのデータを実験により多く収集し、今後の識別精度向上やビヘイビアの細分化などに活用できるよう準備を行った。また、課題4「ユーザビヘイビア同定による応用としてのテストベッド構築」では、ビヘイビアをリアルタイムで観測・識別するための準備として、限られたサンプル数による特徴量と識別精度の関係について分析を行い、特徴量ごとに識別精度に与える影響を明らかにした。
以上の成果は、国際会議論文1件と国内研究会論文1件によって公表しており、成果公表の点からも順調に進捗していると判断している。

今後の研究の推進方策

平成25年までにビヘイビア分類に関する基本的な処理について開発を完了させ、平成26年度は精度向上を主目的として各項目の成果の改良を行う。具体的には、アプリケーション識別においても特徴値の数が多くなると識別精度が劣化するという結果が得られている。これは、特徴値の数が多くなることで計測誤差の影響が大きくなるためであり、精度を向上させるためにはより特徴的な統計値をなるべく少なく選択した方がよいことが分かっている。ビヘイビア分類においても同様の傾向が予想されることから、課題１において精度を高めるための効率的な統計値の選択手法について検討を行う。また、学習アルゴリズムについても選択するアルゴリズムによって個別ケースの精度だけでなく、変化への追従性などが異なることが示されている。ユーザビヘイビアのように変化が大きいと予想される場合、追従性の高さに優先度を与えたアルゴリズムの選択が望まれる。課題２では、精度だけでなくアプリケーション識別とユーザビヘイビア分類での相違点を考慮した、適切なマイニングアルゴリズムの決定を行う。
さらに課題４では、単一ユーザのビヘイビアを断続的に観測し、同定されたビヘイビアに変化が発生した段階でなりすましの可能性を指摘する、なりすまし検出機構の開発を行う。そして被験者に実際に評価してもらうことで、なりすまし検出のためのビヘイビアパラメータの調整方法について検討する。

次年度の研究費の使用計画

国際会議発表のための旅費を計上したが、航空運賃等の費用が想定よりも安価であったこと、また現有するビヘイビア検出のための計測データを記録するストレージに余裕があり、今年度購入の必要がなかったことが理由である。
ビヘイビアデータを収集するためには非常に大きなストレージ容量を必要とするため、今後は必要に応じてストレージの購入を行い、データセットの拡充を行っていく。また、多くの被験者によるビヘイビアデータの収集を行うため、謝金を支出する予定である。

研究成果

• [雑誌論文] Towards Real-time Processing for Application Identification of Encrypted Traffic (2014)
  • 著者名/発表者名: Yuichi Kumano, Shingo Ata, Nobuyuki Nakamura, Yoshihiro Nakahira, Ikuo Oka
  • 雑誌名: Proc. 2014 International Conference on Computing, Networking and Communications (ICNC’14) 巻: 1 ページ: 136-140
  • DOI: 10.1109/ICCNC.2014.6785319
  • 査読あり
• [雑誌論文] コンテンツの需要の予測を利用したキャッシング法 (2014)
  • 著者名/発表者名: 中山 裕貴, 阿多 信吾, 岡 育生
  • 雑誌名: 電子情報通信学会技術研究報告 巻: 113 ページ: 125-130
• [備考] ネットワーク分析 | 情報通信領域
  • URL: http://www.c.info.eng.osaka-cu.ac.jp/projects/net-traffic/