Upgrade to Pro — share decks privately, control downloads, hide ads and more …

トラフィック特徴量の相関特性を用いた異常検出

 トラフィック特徴量の相関特性を用いた異常検出

MATSUMOTO Ryosuke

January 22, 2014
Tweet

More Decks by MATSUMOTO Ryosuke

Other Decks in Technology

Transcript

  1. トラフィック特徴量の相関特性を
    用いた異常検出
    B4 松本 亮介
    平成19年度 卒業研究発表会
    知能情報講座

    View full-size slide

  2. 2/16
    研究背景
    インターネットの普及 ⇒ ネットワークセキュリティへの対応
    不正検出(既知の不正を検出) ⇒ 未知の異常を検出できない
    ■ 異常検出
    ネットワークトラフィックから未知の異常を検出

    View full-size slide

  3. 3/16
    既存手法の問題点
    単一の特徴量では正常か異常か判断できないことが多い
    ■不正アクセスなどの異常
    ⇒ 正常と異常の区別が困難
    複数のトラフィック特徴の相関関係を利用し
    て異常を検出する手法を提案する。
    本発表
    ■ 通信量やトラフィック特徴量の時系列変化を単一で使用

    View full-size slide

  4. 4/16
    目次
    提案手法の説明
    実験と考察
    まとめ

    View full-size slide

  5. 5/16
    提案手法による異常検出
    ■ 提案手法
    複数のトラフィック特徴の相関関係を利用
    ⇒ 相関係数が急激に変化した場合に異常
    特徴量(A)時系列データ
    特徴量(B)時系列データ
    相関係数時系列データ
    通常状態では相関係数に大きな変化がない

    View full-size slide

  6. 6/16
    トラフィック特徴量抽出
    ■ 特徴量(ヘッダ情報を利用・単位時間で処理)
    ・特徴量(A):単一のヘッダ情報による特徴量
    -サービス別(HTTP、SMTP、TELNET・・・)
    -TCPフラグ別(SYNフラグ、FINフラグ、ACKフラグ・・・)
    -パケットサイズ範囲別(1~100、101~200、・・・、1401~1500バイト)
    ・特徴量(B):複数のヘッダ情報による特徴量
    -(送信先IP、送信先Port、パケットサイズ)
    -(送信元IP、送信先IP)
    -(送信先IP、パケットサイズ)
    -(送信元IP、送信先Port)
    ・・・など

    View full-size slide

  7. 7/16
    トラフィック特徴量抽出(例)
    時間
    時間
    時間
    時間 送信元
    送信元
    送信元
    送信元IP.送信元
    送信元
    送信元
    送信元ポート
    ポート
    ポート
    ポート > 送信先
    送信先
    送信先
    送信先IP.送信先
    送信先
    送信先
    送信先ポート
    ポート
    ポート
    ポート: (パケットサイズ
    パケットサイズ
    パケットサイズ
    パケットサイズ)
    00:37:07 IP 172.16.114.50.http > 206.48.44.50.2222: . ack 5841 win 32120
    00:37:17 IP 172.16.114.50.http > 206.48.44.90.2313: . ack 2921 win 32120
    00:37:25 IP 206.48.44.40.2222 > 172.16.114.30.http: . (256) ack 8192 win 31744
    00:37:25 IP 206.48.44.50.2222 > 172.16.114.40.http: . (1320) ack 8192 win 31744
    00:37:38 IP 206.48.44.60.2222 > 172.16.114.70.http: . (156) ack 8192 win 31744
    00:37:49 IP 206.48.44.90.2313 > 172.16.114.50.http: . (1460) ack 8192 win 31744
    00:37:58 IP 206.48.44.90.2313 > 172.16.114.50.http: . (1460) ack 8192 win 31744
    [総パケット数] = 7
    7
    4
    5
    [
    =
    数]
    [パケット数]
    種類
    ⇒ 特徴量(A)
    ⇒ 特徴量(B)
    [例] 特徴量(A):HTTP
    特徴量(B):(送信先IP、送信先ポート、パケットサイズ)
    単位時間:1分
    ⇒ 相関係数時系列データ
    DoS攻撃 ⇒ 特徴量(A)より特徴量(B)が急激に変化

    View full-size slide

  8. 8/16
    相関係数時系列処理
    ■ ピアソンの積率相関係数
    ・N区間における相関係数を区間をずらしながら計算
    相関係数時系列データが急激に変化する点
    相関関係が大きく変化する時点
    ネットワークトラフィックに異常
    ⇒ ChangeFinder[1](変化点検出エンジン)を利用
    [1] J. Takeuchi and K. Yamanishi, “A Unifying Framework for Detecting
    Outliers and Change Points from Time Series,” IEEE transactions on
    Knowledge and Data Engineering, pp.482-492, 2006.

    View full-size slide

  9. 9/16
    ChangeFinder[1]の流れ
    T区間
    区間
    区間
    区間
    外れ値スコア
    t
    x
    変化点スコア
    平滑化後
    第二学習
    第一学習
    時系列データ
    SDAR
    SDAR
    平滑化

    View full-size slide

  10. 10/16
    目次
    提案手法の説明
    実験と考察
    まとめ

    View full-size slide

  11. 11/16
    実験
    ・DARPA(国防高等研究企画局)によって作成された不正・
    異常検出評価用データ
    -仮想的な大規模ネットワークのトラフィック情報のログ
    - week4・week5の2週間分の検証用データ
    ・本発表・・・DoS攻撃を対象
    - 特徴量(A): (A1)HTTPのパケット数
    - 特徴量(B): (B1)(送信先IP、送信先Port、パケットサイズ)による値
    (B2)(送信元IP、送信先IP)による値
    (B3)(送信元IP、パケットサイズ)による値
    (B4)(送信元IP、送信先Port)による値
    [手法1] A1 [手法2] B1
    [手法3] A1B1 [手法4] A1B1 or A1B2 or A1B3 or A1B4
    ・手法別の比較実験(week5-Wednesdayのデータ)

    View full-size slide

  12. 12/16
    評価方法(変化点スコア)
    week5_Mon_80_DoS CF_MAX_SCORE
    -1.5
    -1
    -0.5
    0
    0.5
    1
    1.5
    2
    2.5
    3
    1 101 201 301 401 501 601 701
    time[t]
    CF_MAX_SCORE
    CF_MAX_SCORE
    閾値に対する検出率と誤検出率の関係 ⇒ ROCカーブ
    正常の数

    正常を異常と検出した
    誤検出率
    ,
    異常の数

    異常を異常と検出した
    検出率 =
    =

    View full-size slide

  13. 13/16
    実験結果(手法別の評価)
    0
    0.1
    0.2
    0.3
    0.4
    0.5
    0.6
    0.7
    0.8
    0.9
    1
    0 0.2 0.4 0.6 0.8 1
    A1
    B1
    A1-B1_correl
    A1-B1,B2,B3,B4_correl
    0 0.2 0.4 0.6 0.8 1
    false positive rate
    1
    0.8
    0.6
    0.4
    0.2
    0
    hit rate
    単一の特徴量
    特徴量の相関

    View full-size slide

  14. 14/16
    実験結果(曜日別)
    0
    0.1
    0.2
    0.3
    0.4
    0.5
    0.6
    0.7
    0.8
    0.9
    1
    0 0.2 0.4 0.6 0.8 1
    false positive rate
    hit rate
    week4-Mon
    week4-Thu
    week5-Mon
    week5-Tue
    week5-Wen
    week5-Fri
    0 0.2 0.4 0.6 0.8 1
    false positive rate
    1
    0.8
    0.6
    0.4
    0.2
    0
    hit rate

    View full-size slide

  15. 15/16
    目次
    提案手法の説明
    実験と考察
    まとめ

    View full-size slide

  16. 16/16
    まとめ
    ■ 特徴
    ・単一の特徴量ではとらえられない異常を検出
    ・システムの一部にフィルタとして利用(正常パケットを判別)
    ■ 課題
    ・学習データによる検出遅延を誤検出としない閾値設定の考慮
    ■ 提案手法
    ・トラフィック特徴量間の相関係数の時系列データにおいて変化
    点検出を行うことにより異常を検出する手法を提案

    View full-size slide