マハラノビス距離による異常検出法のクラスタリングを利用した改良の提案
藤原 雄介 (1151204)
インターネットの普及に伴い、DDoS攻撃その他のネットワーク異常の検出技術はネットワークの安全性確保の上できわめて重要となっている。そのためこれまで様々な異常検出法が提案されてきたが、シグネチャやラベル済み学習データが必要となるなど、利用する上で制約があるものも多かった。トラフィックから抽出したエントロピーおよびマハラノビス距離を利用して異常検出を行うEMMMは、シグネチャやラベル済みデータを必要としない点で優れた異常検出法であるが、マハラノビス距離の性質上トラフィックによっては通常トラフィックの挙動を十分にモデル化することができず検出性能が低下することが予想される。
そこで、本発表ではEMMMにクラスタリングを適用し、トラフィックをより単純で微細な部分構造の集合としてとらえることにより、マハラノビス距離による異常検出を有効に機能させるMC-EMMMを提案する。これに基づき、MC-EMMMを実装した検出プログラムを作成し、攻撃パケットを意図的に挿入したMAWIデータセットにより性能評価を行ったところ、MC-EMMMは元となるEMMMでは検出できなかった低レートの攻撃を捉えることができたが、それと同時にいくつかの問題点も明らかになった。今後はこれらの問題点を解決しつつ、より実用性の高い手法となるよう改良を進めていく。