講演抄録/キーワード |
講演名 |
2013-03-14 10:40
トラフィックパラメータのクラスタリングによる異常検知手法の特性調査 ○巽 康平・秋山豊和(京都産大) SITE2012-49 IA2012-87 |
抄録 |
(和) |
近年,中央省庁や企業などへの標的型攻撃が増加している.標的型攻撃のような未知の攻撃にはアノマリ型の検知手
法が有効であり重要になってきている.本稿では,アノマリ型に分類される既存手法の中で,正常状態からの逸脱度合
いによる異常検知手法について,実環境への適用可能性について調査を行った.調査した手法では,正常なトラフィッ
クパラメータをクラスタリングすることによって正常状態の特徴を抽出する.その後新たに観測したトラフィックパ
ラメータについて正常状態の特徴からの逸脱度合いを算出し,異常を検出する.本稿では既存手法をRuby とR で実
装し,侵入検知データセットである1999Darpa Intrusion Detection Data Set を用いて異常検知を試みた.k-means
法はクラスタ数の初期値を設定する必要があるため,既存手法ではクラスタ数を決定するためにパラメータR(k) を
用いている.既存手法ではクラスタ数の増加に伴ってR(k) が収束し,収束値付近のクラスタ数を採用することで最
適なクラスタ数が得られると述べられているが,実データでは収束しなかった.そこで,既存手法で用いられている
クラスタ数と,適切なクラスタ数を自動的に決定するx-means 法を用いた場合について比較を行った. |
(英) |
The ”targeted attacks” especially to the government and the companies increase in recent years. Such unknown
attacks are difficult to detect by signature-based IDSs, and it is said that anomaly-based IDS can detect them
effectively. In this study, we investigated the applicability of an existing anomaly detection method to the practical
environment. The method is classified to the anomaly-based method and it uses the degree of deviation from the
normal state. In the method, at first, the features of the normal state is extracted by clustering normal traffic
parameters using k-means method. Then, it calculates the degree of deviation from the normal state for the newly
observed traffic. We implemented the method using the R and Ruby. Then, we apply it to detect anomalies using
the 1999 Darpa Intrusion Detection Data Set. Since the k-means method requires the number of clusters decide
before clustering, the existing method uses the parameter R(k)to find the approproate number. The literature,
describes that R(k) will converge when the number of the cluster k increases, and k will be the optimal when
R(k) is within of the converged value. However, R(k) did not converge with the Data set. Therefore, we will
compare the fixed k value used in the existing methods and the x-means method which automatically determines
the appropriate k value. |
キーワード |
(和) |
異常検知 / クラスタリング / / / / / / |
(英) |
anomaly detection / clustering / / / / / / |
文献情報 |
信学技報, vol. 112, no. 489, IA2012-87, pp. 25-30, 2013年3月. |
資料番号 |
IA2012-87 |
発行日 |
2013-03-07 (SITE, IA) |
ISSN |
Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
SITE2012-49 IA2012-87 |
研究会情報 |
研究会 |
IA SITE IPSJ-IOT |
開催期間 |
2013-03-14 - 2013-03-15 |
開催地(和) |
東大寺総合文化センター |
開催地(英) |
Todaiji Total Cultural Center |
テーマ(和) |
インターネットと情報倫理教育、一般 |
テーマ(英) |
Internet and Information Ethics Education, etc. |
講演論文情報の詳細 |
申込み研究会 |
IA |
会議コード |
2013-03-IA-SITE-IOT |
本文の言語 |
日本語 |
タイトル(和) |
トラフィックパラメータのクラスタリングによる異常検知手法の特性調査 |
サブタイトル(和) |
|
タイトル(英) |
A Study of the Anomaly Detection Method Characteristics based on the Traffic Parameter Clustering |
サブタイトル(英) |
|
キーワード(1)(和/英) |
異常検知 / anomaly detection |
キーワード(2)(和/英) |
クラスタリング / clustering |
キーワード(3)(和/英) |
/ |
キーワード(4)(和/英) |
/ |
キーワード(5)(和/英) |
/ |
キーワード(6)(和/英) |
/ |
キーワード(7)(和/英) |
/ |
キーワード(8)(和/英) |
/ |
第1著者 氏名(和/英/ヨミ) |
巽 康平 / Kouhei Tatsumi / タツミ コウヘイ |
第1著者 所属(和/英) |
京都産業大学 (略称: 京都産大)
Kyoto Sangyo University (略称: Kyoto Sangyo Univ.) |
第2著者 氏名(和/英/ヨミ) |
秋山 豊和 / Toyokazu Akiyama / |
第2著者 所属(和/英) |
京都産業大学 (略称: 京都産大)
Kyoto Sangyo University (略称: Kyoto Sangyo Univ.) |
第3著者 氏名(和/英/ヨミ) |
/ / |
第3著者 所属(和/英) |
(略称: )
(略称: ) |
第4著者 氏名(和/英/ヨミ) |
/ / |
第4著者 所属(和/英) |
(略称: )
(略称: ) |
第5著者 氏名(和/英/ヨミ) |
/ / |
第5著者 所属(和/英) |
(略称: )
(略称: ) |
第6著者 氏名(和/英/ヨミ) |
/ / |
第6著者 所属(和/英) |
(略称: )
(略称: ) |
第7著者 氏名(和/英/ヨミ) |
/ / |
第7著者 所属(和/英) |
(略称: )
(略称: ) |
第8著者 氏名(和/英/ヨミ) |
/ / |
第8著者 所属(和/英) |
(略称: )
(略称: ) |
第9著者 氏名(和/英/ヨミ) |
/ / |
第9著者 所属(和/英) |
(略称: )
(略称: ) |
第10著者 氏名(和/英/ヨミ) |
/ / |
第10著者 所属(和/英) |
(略称: )
(略称: ) |
第11著者 氏名(和/英/ヨミ) |
/ / |
第11著者 所属(和/英) |
(略称: )
(略称: ) |
第12著者 氏名(和/英/ヨミ) |
/ / |
第12著者 所属(和/英) |
(略称: )
(略称: ) |
第13著者 氏名(和/英/ヨミ) |
/ / |
第13著者 所属(和/英) |
(略称: )
(略称: ) |
第14著者 氏名(和/英/ヨミ) |
/ / |
第14著者 所属(和/英) |
(略称: )
(略称: ) |
第15著者 氏名(和/英/ヨミ) |
/ / |
第15著者 所属(和/英) |
(略称: )
(略称: ) |
第16著者 氏名(和/英/ヨミ) |
/ / |
第16著者 所属(和/英) |
(略称: )
(略称: ) |
第17著者 氏名(和/英/ヨミ) |
/ / |
第17著者 所属(和/英) |
(略称: )
(略称: ) |
第18著者 氏名(和/英/ヨミ) |
/ / |
第18著者 所属(和/英) |
(略称: )
(略称: ) |
第19著者 氏名(和/英/ヨミ) |
/ / |
第19著者 所属(和/英) |
(略称: )
(略称: ) |
第20著者 氏名(和/英/ヨミ) |
/ / |
第20著者 所属(和/英) |
(略称: )
(略称: ) |
講演者 |
第1著者 |
発表日時 |
2013-03-14 10:40:00 |
発表時間 |
25分 |
申込先研究会 |
IA |
資料番号 |
SITE2012-49, IA2012-87 |
巻番号(vol) |
vol.112 |
号番号(no) |
no.488(SITE), no.489(IA) |
ページ範囲 |
pp.25-30 |
ページ数 |
6 |
発行日 |
2013-03-07 (SITE, IA) |
|