WEKO3
アイテム
トラフイックパラメータのクラスタリングによる異常検知手法の特」性調査
https://ipsj.ixsq.nii.ac.jp/records/90782
https://ipsj.ixsq.nii.ac.jp/records/907826eaa8243-748c-44ef-9067-aad283709ca1
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-IOT13020005.pdf (525.4 kB)
2100年1月1日からダウンロード可能です。
|
Copyright (c) 2013 by the Institute of Electronics, Information and Communication Engineers
This SIG report is only available to those in membership of the SIG. |
|
| IOT:会員:¥0, DLIB:会員:¥0 | ||
| Item type | SIG Technical Reports(1) | |||||||
|---|---|---|---|---|---|---|---|---|
| 公開日 | 2013-03-07 | |||||||
| タイトル | ||||||||
| タイトル | トラフイックパラメータのクラスタリングによる異常検知手法の特」性調査 | |||||||
| タイトル | ||||||||
| 言語 | en | |||||||
| タイトル | A Study of the Anomaly Detection Method Characteristics based on the Traffic Parameter Clustering | |||||||
| 言語 | ||||||||
| 言語 | jpn | |||||||
| キーワード | ||||||||
| 主題Scheme | Other | |||||||
| 主題 | セキュリティ | |||||||
| 資源タイプ | ||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_18gh | |||||||
| 資源タイプ | technical report | |||||||
| 著者所属 | ||||||||
| 京都産業大学コンピュータ理工学部 | ||||||||
| 著者所属 | ||||||||
| 京都産業大学コンピュータ理工学部 | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| aculty of Computer Science and Engineering, Kyoto Sangyo University | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| aculty of Computer Science and Engineering, Kyoto Sangyo University | ||||||||
| 著者名 |
巽, 康平
× 巽, 康平
|
|||||||
| 著者名(英) |
Kouhei, Tatsumi
× Kouhei, Tatsumi
|
|||||||
| 論文抄録 | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | 近年,中央省庁や企業などへの標的型攻撃が増加している.標的型攻撃のような未知の攻撃にはアノマリ型の検知手法が有効であり重要になってきている.本稿では,アノマリ型に分類される既存手法の中で,正常状態からの逸脱度合いによる異常検知手法について,実環境への適用可能性について調査を行った調査した手法では,正常なトラフィックパラメータをクラスタリングすることによって正常状態の特徴を抽出する.その後新たに観測したトラフイックパラメータについて正常状態の特徴からの逸脱度合いを算出し,異常を検出する.本稿では既存手法をRubyとRで実装し,侵入検知データセットである1999DarpalntmsionDetectionDataSetを用いて異常検知を試みた.k-means法はクラスタ数の初期値を設定する必要があるため,既存手法ではクラスタ数を決定するためにパラメータR(ん)を用いている.既存手法ではクラスタ数の増加に伴ってR(ん)が収束し,収束値付近のクラスタ数を採用することで最適なクラスタ数が得られると述べられているが,実データでは収束しなかった.そこで,既存手法で用いられているクラスタ数と,適切なクラスタ数を自動的に決定するx戸means法を用いた場合について比較を行った. | |||||||
| 論文抄録(英) | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | The "targeted attacks" especially to the government and the companies increase in recent years. Such unknown attacks are difficult to detect by signature-based IDSs, and it is said that anomaly-based IDS can detect them effectively. In this study, we investigated the applicability of an existing anomaly detection method to the practical environment. The method is classified to the anomaly-based method and it uses the degree of deviation from the normal state. In the method, at first, the features of the normal state is extracted by clustering normal traffic parameters using k-means method. Then, it calculates the degree of deviation from the normal state for the newly observed traffic. We implemented the method using the R and Ruby. Then, we apply it to detect anomalies using the 1999 Darpa Intrusion Detection Data Set. Since the k-means method requires the number of clusters decide before clustering, the existing method uses the parameter R(k)to find the approproate number. The literature, describes that R(k) will converge when the number of the cluster k increases, and k will be the optimal when R(k) is within t of the converged value. However, R(k) did not converge with the Data set. Therefore, we will compare the fixed k value used in the existing methods and the x-means method which automatically determines the appropriate fc value. | |||||||
| 書誌レコードID | ||||||||
| 収録物識別子タイプ | NCID | |||||||
| 収録物識別子 | AA12326962 | |||||||
| 書誌情報 |
研究報告インターネットと運用技術(IOT) 巻 2013-IOT-20, 号 5, p. 1-6, 発行日 2013-03-07 |
|||||||
| Notice | ||||||||
| SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. | ||||||||
| 出版者 | ||||||||
| 言語 | ja | |||||||
| 出版者 | 情報処理学会 | |||||||
