トラフィックパラメータのクラスタリングによる異常検知手法の特性調査

巽,康平; 秋山,豊和

お知らせ 2023年度・2024年度学生員会費割引キャンペーン実施中です
お知らせ技術研究報告と和文論文誌Ｃの同時投稿施策(掲載料1割引き)について
お知らせ電子情報通信学会における研究会開催について
お知らせ NEW 参加費の返金について

電子情報通信学会研究会発表申込システム
講演論文詳細

技報閲覧サービス
[ログイン]
技報アーカイブ

トップに戻る

前のページに戻る

[Japanese] / [English]

講演抄録／キーワード
講演名		2013-03-14 10:40 トラフィックパラメータのクラスタリングによる異常検知手法の特性調査 ○巽　康平・秋山豊和（京都産大） SITE2012-49 IA2012-87
抄録	（和）	近年，中央省庁や企業などへの標的型攻撃が増加している．標的型攻撃のような未知の攻撃にはアノマリ型の検知手法が有効であり重要になってきている．本稿では，アノマリ型に分類される既存手法の中で，正常状態からの逸脱度合いによる異常検知手法について，実環境への適用可能性について調査を行った．調査した手法では，正常なトラフィックパラメータをクラスタリングすることによって正常状態の特徴を抽出する．その後新たに観測したトラフィックパラメータについて正常状態の特徴からの逸脱度合いを算出し，異常を検出する．本稿では既存手法をRuby とR で実装し，侵入検知データセットである1999Darpa Intrusion Detection Data Set を用いて異常検知を試みた．k-means 法はクラスタ数の初期値を設定する必要があるため，既存手法ではクラスタ数を決定するためにパラメータR(k) を用いている．既存手法ではクラスタ数の増加に伴ってR(k) が収束し，収束値付近のクラスタ数を採用することで最適なクラスタ数が得られると述べられているが，実データでは収束しなかった．そこで，既存手法で用いられているクラスタ数と，適切なクラスタ数を自動的に決定するx-means 法を用いた場合について比較を行った．
	（英）	The ”targeted attacks” especially to the government and the companies increase in recent years. Such unknown attacks are difficult to detect by signature-based IDSs, and it is said that anomaly-based IDS can detect them effectively. In this study, we investigated the applicability of an existing anomaly detection method to the practical environment. The method is classified to the anomaly-based method and it uses the degree of deviation from the normal state. In the method, at first, the features of the normal state is extracted by clustering normal traffic parameters using k-means method. Then, it calculates the degree of deviation from the normal state for the newly observed traffic. We implemented the method using the R and Ruby. Then, we apply it to detect anomalies using the 1999 Darpa Intrusion Detection Data Set. Since the k-means method requires the number of clusters decide before clustering, the existing method uses the parameter R(k)to find the approproate number. The literature, describes that R(k) will converge when the number of the cluster k increases, and k will be the optimal when R(k) is within of the converged value. However, R(k) did not converge with the Data set. Therefore, we will compare the fixed k value used in the existing methods and the x-means method which automatically determines the appropriate k value.
キーワード	（和）	異常検知 / クラスタリング / / / / / /
	（英）	anomaly detection / clustering / / / / / /
文献情報		信学技報, vol. 112, no. 489, IA2012-87, pp. 25-30, 2013年3月.
資料番号		IA2012-87
発行日		2013-03-07 (SITE, IA)
ISSN		Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380
著作権について		技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します．(許諾番号：10GA0019/12GB0052/13GB0056/17GB0034/18GB0034)
PDFダウンロード		SITE2012-49 IA2012-87

研究会情報
研究会	IA SITE IPSJ-IOT
開催期間	2013-03-14 - 2013-03-15
開催地（和）	東大寺総合文化センター
開催地（英）	Todaiji Total Cultural Center
テーマ（和）	インターネットと情報倫理教育、一般
テーマ（英）	Internet and Information Ethics Education, etc.
講演論文情報の詳細
申込み研究会	IA
会議コード	2013-03-IA-SITE-IOT
本文の言語	日本語
タイトル（和）	トラフィックパラメータのクラスタリングによる異常検知手法の特性調査
サブタイトル（和）
タイトル（英）	A Study of the Anomaly Detection Method Characteristics based on the Traffic Parameter Clustering
サブタイトル（英）
キーワード(1)（和/英）	異常検知 / anomaly detection
キーワード(2)（和/英）	クラスタリング / clustering
キーワード(3)（和/英）	/
キーワード(4)（和/英）	/
キーワード(5)（和/英）	/
キーワード(6)（和/英）	/
キーワード(7)（和/英）	/
キーワード(8)（和/英）	/
第1著者氏名（和/英/ヨミ）	巽康平 / Kouhei Tatsumi / タツミコウヘイ
第1著者所属（和/英）	京都産業大学 (略称：京都産大) Kyoto Sangyo University (略称： Kyoto Sangyo Univ.)
第2著者氏名（和/英/ヨミ）	秋山豊和 / Toyokazu Akiyama /
第2著者所属（和/英）	京都産業大学 (略称：京都産大) Kyoto Sangyo University (略称： Kyoto Sangyo Univ.)
第3著者氏名（和/英/ヨミ）	/ /
第3著者所属（和/英）	(略称： ) (略称： )
第4著者氏名（和/英/ヨミ）	/ /
第4著者所属（和/英）	(略称： ) (略称： )
第5著者氏名（和/英/ヨミ）	/ /
第5著者所属（和/英）	(略称： ) (略称： )
第6著者氏名（和/英/ヨミ）	/ /
第6著者所属（和/英）	(略称： ) (略称： )
第7著者氏名（和/英/ヨミ）	/ /
第7著者所属（和/英）	(略称： ) (略称： )
第8著者氏名（和/英/ヨミ）	/ /
第8著者所属（和/英）	(略称： ) (略称： )
第9著者氏名（和/英/ヨミ）	/ /
第9著者所属（和/英）	(略称： ) (略称： )
第10著者氏名（和/英/ヨミ）	/ /
第10著者所属（和/英）	(略称： ) (略称： )
第11著者氏名（和/英/ヨミ）	/ /
第11著者所属（和/英）	(略称： ) (略称： )
第12著者氏名（和/英/ヨミ）	/ /
第12著者所属（和/英）	(略称： ) (略称： )
第13著者氏名（和/英/ヨミ）	/ /
第13著者所属（和/英）	(略称： ) (略称： )
第14著者氏名（和/英/ヨミ）	/ /
第14著者所属（和/英）	(略称： ) (略称： )
第15著者氏名（和/英/ヨミ）	/ /
第15著者所属（和/英）	(略称： ) (略称： )
第16著者氏名（和/英/ヨミ）	/ /
第16著者所属（和/英）	(略称： ) (略称： )
第17著者氏名（和/英/ヨミ）	/ /
第17著者所属（和/英）	(略称： ) (略称： )
第18著者氏名（和/英/ヨミ）	/ /
第18著者所属（和/英）	(略称： ) (略称： )
第19著者氏名（和/英/ヨミ）	/ /
第19著者所属（和/英）	(略称： ) (略称： )
第20著者氏名（和/英/ヨミ）	/ /
第20著者所属（和/英）	(略称： ) (略称： )
講演者	第1著者
発表日時	2013-03-14 10:40:00
発表時間	25分
申込先研究会	IA
資料番号	SITE2012-49, IA2012-87
巻番号（vol）	vol.112
号番号（no）	no.488(SITE), no.489(IA)
ページ範囲	pp.25-30
ページ数	6
発行日	2013-03-07 (SITE, IA)

[研究会発表申込システムのトップページに戻る]

[電子情報通信学会ホームページ]

IEICE / 電子情報通信学会