| ATUHURRA JESSE | M, 2回目発表 | 大規模システム管理 | 笠原 正治, | 門林 雄基, | 笹部 昌弘, | 張 元玉, | 原 崇徳 |
|
title: On Deep Reinforcement Learning Based Intrusion Detection in IoT Networks.
abstract: With the proliferation of IoT devices, IoT security problems arise to protect heterogeneous connected devices in IoT networks against cyber-attacks. To protect these attacks by intruders, the existing network intrusion detection systems (NIDSs) have been proposed. Since these systems focus on cloud security environments, they are not suited for IoT networks due to the resource limitation of the devices. To address the limitation, we propose an NIDS based on deep reinforcement learning designed for IoT networks. The proposed NIDS uses a realistic botnet dataset in IoT networks, which contains imbalanced class distribution. In this presentation, we introduce the classification in the imbalanced dataset toward the realization of the deep reinforcement learning based NIDS in IoT networks. Through the preliminary experiments, we demonstrate that the proposed classification yields high AUC scores with SMOTE sampling and as well as balances the high accuracy with low false-positive rates. language of the presentation: English | |||||||
| 小松 聖矢 | M, 2回目発表 | 情報基盤システム学 | 藤川 和利, | 門林 雄基, | 新井 イスマイル | ||
|
title: Malware Traffic Detection at Certain Time Using IP Flow Information
abstract: Malware activity via networks such as botnets activity has become a threat on the Internet and has become a social problem. Systems that detect malware activity can be broadly divided into host-based methods that operate on endpoints and are based on process information, and network-based systems that operate on networks between endpoints and are based on benign traffic and malware traffic differences. There are two types of traffic information used in the network-based method: packet information and IP flow information. When using IP flow information, the traffic is aggregated in 5-taple and is lightweight, but the information is output until the flow ends. However, it is difficult to analyze long-lasting flows and stealth-malware at an early stage. In this research, we aim to maintain the accuracy equivalent to that of the conventional system by detecting before the end of these flows and changing the features. Currently, the flow uses the existing detection method that uses the Markov chain model of the connection status, port number, and protocol state transition as the feature quantity, and the 30,000 packets of the ISCX botnet dataset converted into IP flow information using Zeek. The detection accuracy was investigated when the upper limit of the duration was not set (the longest flow in the data set was 240418 seconds) and when it was set to 30 seconds. As a result, it was confirmed that detection was possible with F-measure of 98.1% and 96.7%, respectively. From this experiment, it is expected that malware traffic detection within 30 seconds (certain time) will be realized with a slight decrease in accuracy. language of the presentation: Japanese 発表題目: IPフロー情報を利用した確定時間でのマルウェアトラフィック検知 発表概要: ボットネット等のネットワークを介するマルウェアの活動がインターネット上の脅威となり,社会問題化している。マルウェアの活動を検知するシステムには,大別して,エンドポイント上で動作し,プロセス情報に基づくホストベース手法と,エンドポイント間のネットワークで動作し,正常なトラフィックとマルウェアのトラフィック差異に基づくネットワークベース手法がある。ネットワークベース手法で利用されるトラフィック情報には,パケット情報とIPフロー情報の2種類があり,IPフロー情報を用いる場合,トラフィックが5タプルで集約され軽量だが,フローが終了するまで情報が出力されず,長期間継続するフローやステルス性マルウェアに対する早期の分析が困難である。 本研究では,これらのフローが終了する前に検知を行い,特徴量を変更することで,精度を従来のシステムと同等に保つことを目指す。現在,コネクションの状態とポート番号,プロトコルの遷移のマルコフ連鎖モデルを特徴量として用いる既存の検知手法と,Zeekを用いてIPフロー情報に変換したISCX botnetデータセットの3万パケットを利用し,フロー継続時間の上限を設定しない場合(データセット中の最長フロー 240418秒)と30秒とした場合で検知精度を調査した。結果,それぞれ98.1%と96.7%のF値で検知が可能であることを確認した。本調査から,30秒以内(確定時間)でのマルウェアトラフィック検知をわずかな精度低下で実現することが期待される。 | |||||||
| 桂 祐成 | M, 2回目発表 | 情報基盤システム学 | 藤川 和利, | 飯田 元, | 新井 イスマイル, | 門林 雄基 | |
|
title: Proposal of a Method for Early Detection of Anomalous Communications Targeting IoT Devices
abstract: The number of malware infections that target vulnerabilities in IoT devices is increasing. Such malware-infected IoT devices infect other IoT devices with the same vulnerability connected to the network in the organization, thus spreading the infection further. In addition, malware-infected IoT devices carry out DDoS attacks via botnets, causing damage to third parties as well. If we can detect and deal with such anomalous communications at an early stage, it will be possible to prevent such secondary damage. Previous research has proposed a method using machine learning to detect such anomalous communications, but the method waits for the end of the session before generating features, which makes it difficult to perform early detection. In this study, we propose a method to generate features with an arbitrary number of packets to solve this problem. language of the presentation: Japanese 発表題目: IoT機器を対象とした 異常通信早期検知手法の提案 発表概要: IoT機器の脆弱性を狙ったマルウェアの感染活動が増加している. このようなマルウェアに感染したIoT機器は, 組織内のネットワークに接続されている同様の脆弱性を持つIoT機器に対して感染活動を行うため, 更なる感染が広がる. また, マルウェアに感染したIoT機器は, ボットネットを介してDDoS攻撃を行うため, 第三者に対しても被害をもたらす. このような異常通信を早期に検知し, 対処することができればこれらの二次被害を未然に防ぐことが可能となる. これまでの研究では, このような異常通信の検知に機械学習を用いた手法が提案されていたが, セッションの終了を待ってから特徴量の生成を行なっていたため, 早期検知を行うことが困難となっていた. 本研究では, このような問題に対して任意のパケット数で特徴量を生成する手法を提案する. | |||||||