トラフィック特徴量の相関特性を用いた異常検出

Transcript

1. トラフィック特徴量の相関特性を 用いた異常検出 B４ 松本 亮介 平成１9年度 卒業研究発表会 知能情報講座

2. 2/16 研究背景 インターネットの普及 ⇒ ネットワークセキュリティへの対応 不正検出（既知の不正を検出） ⇒ 未知の異常を検出できない ▪ 異常検出

   ネットワークトラフィックから未知の異常を検出

3. 3/16 既存手法の問題点 単一の特徴量では正常か異常か判断できないことが多い ▪不正アクセスなどの異常 ⇒ 正常と異常の区別が困難 複数のトラフィック特徴の相関関係を利用し て異常を検出する手法を提案する。 本発表 ▪

   通信量やトラフィック特徴量の時系列変化を単一で使用

4. 4/16 目次 提案手法の説明 実験と考察 まとめ

5. 5/16 提案手法による異常検出 ▪ 提案手法 複数のトラフィック特徴の相関関係を利用 ⇒ 相関係数が急激に変化した場合に異常 特徴量（A）時系列データ 特徴量（B）時系列データ 相関係数時系列データ

   通常状態では相関係数に大きな変化がない

6. 6/16 トラフィック特徴量抽出 ▪ 特徴量（ヘッダ情報を利用・単位時間で処理） ・特徴量（A）：単一のヘッダ情報による特徴量 -サービス別（HTTP、SMTP、TELNET・・・） -TCPフラグ別（SYNフラグ、FINフラグ、ACKフラグ・・・） -パケットサイズ範囲別（1～100、101～200、・・・、1401～1500バイト） ・特徴量（B）：複数のヘッダ情報による特徴量 -（送信先IP、送信先Port、パケットサイズ）

   -（送信元IP、送信先IP） -（送信先IP、パケットサイズ） -（送信元IP、送信先Port） ・・・など

7. 7/16 トラフィック特徴量抽出（例） 時間 時間 時間 時間 送信元 送信元 送信元 送信元IP.送信元

   送信元 送信元 送信元ポート ポート ポート ポート > 送信先 送信先 送信先 送信先IP.送信先 送信先 送信先 送信先ポート ポート ポート ポート: (パケットサイズ パケットサイズ パケットサイズ パケットサイズ) 00:37:07 IP 172.16.114.50.http > 206.48.44.50.2222: . ack 5841 win 32120 00:37:17 IP 172.16.114.50.http > 206.48.44.90.2313: . ack 2921 win 32120 00:37:25 IP 206.48.44.40.2222 > 172.16.114.30.http: . (256) ack 8192 win 31744 00:37:25 IP 206.48.44.50.2222 > 172.16.114.40.http: . (1320) ack 8192 win 31744 00:37:38 IP 206.48.44.60.2222 > 172.16.114.70.http: . (156) ack 8192 win 31744 00:37:49 IP 206.48.44.90.2313 > 172.16.114.50.http: . (1460) ack 8192 win 31744 00:37:58 IP 206.48.44.90.2313 > 172.16.114.50.http: . (1460) ack 8192 win 31744 [総パケット数] = 7 7 4 5 [ = 数] [パケット数] 種類 ⇒ 特徴量（A） ⇒ 特徴量（B） [例] 特徴量（A）：HTTP 特徴量（B）：（送信先IP、送信先ポート、パケットサイズ） 単位時間：1分 ⇒ 相関係数時系列データ DoS攻撃 ⇒ 特徴量（A）より特徴量（B）が急激に変化

8. 8/16 相関係数時系列処理 ▪ ピアソンの積率相関係数 ・N区間における相関係数を区間をずらしながら計算 相関係数時系列データが急激に変化する点 相関関係が大きく変化する時点 ネットワークトラフィックに異常 ⇒ ChangeFinder[1]（変化点検出エンジン）を利用

   [1] J. Takeuchi and K. Yamanishi, “A Unifying Framework for Detecting Outliers and Change Points from Time Series,” IEEE transactions on Knowledge and Data Engineering, pp.482-492, 2006.

9. 9/16 ChangeFinder[1]の流れ T区間 区間 区間 区間 外れ値スコア t x 変化点スコア

   平滑化後 第二学習 第一学習 時系列データ SDAR SDAR 平滑化

10. 10/16 目次 提案手法の説明 実験と考察 まとめ

11. 11/16 実験 ・DARPA（国防高等研究企画局）によって作成された不正・ 異常検出評価用データ -仮想的な大規模ネットワークのトラフィック情報のログ - week4・week5の2週間分の検証用データ ・本発表・・・DoS攻撃を対象 - 特徴量（A）：

    （A1）HTTPのパケット数 - 特徴量（B）： （B1）（送信先IP、送信先Port、パケットサイズ）による値 （B2）（送信元IP、送信先IP）による値 （B3）（送信元IP、パケットサイズ）による値 （B4）（送信元IP、送信先Port）による値 [手法１] A1 [手法２] B1 [手法３] A1B1 [手法４] A1B1 or A1B2 or A1B3 or A1B4 ・手法別の比較実験（week5-Wednesdayのデータ）

12. 12/16 評価方法（変化点スコア） week5_Mon_80_DoS CF_MAX_SCORE -1.5 -1 -0.5 0 0.5 1

    1.5 2 2.5 3 1 101 201 301 401 501 601 701 time[t] CF_MAX_SCORE CF_MAX_SCORE 閾値に対する検出率と誤検出率の関係 ⇒ ROCカーブ 正常の数 数 正常を異常と検出した 誤検出率 , 異常の数 数 異常を異常と検出した 検出率 = =

13. 13/16 実験結果（手法別の評価） 0 0.1 0.2 0.3 0.4 0.5 0.6 0.7

    0.8 0.9 1 0 0.2 0.4 0.6 0.8 1 A1 B1 A1-B1_correl A1-B1,B2,B3,B4_correl 0 0.2 0.4 0.6 0.8 1 false positive rate 1 0.8 0.6 0.4 0.2 0 hit rate 単一の特徴量 特徴量の相関

14. 14/16 実験結果（曜日別） 0 0.1 0.2 0.3 0.4 0.5 0.6 0.7

    0.8 0.9 1 0 0.2 0.4 0.6 0.8 1 false positive rate hit rate week4-Mon week4-Thu week5-Mon week5-Tue week5-Wen week5-Fri 0 0.2 0.4 0.6 0.8 1 false positive rate 1 0.8 0.6 0.4 0.2 0 hit rate

15. 15/16 目次 提案手法の説明 実験と考察 まとめ

16. 16/16 まとめ ▪ 特徴 ・単一の特徴量ではとらえられない異常を検出 ・システムの一部にフィルタとして利用（正常パケットを判別） ▪ 課題 ・学習データによる検出遅延を誤検出としない閾値設定の考慮 ▪

    提案手法 ・トラフィック特徴量間の相関係数の時系列データにおいて変化 点検出を行うことにより異常を検出する手法を提案