@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00146933, author = {荒木, 翔平 and 山口, 由紀子 and 嶋田, 創 and 高倉, 弘喜 and Shohei, Araki and Yukiko, Yamaguchi and Hajime, Shimada and Hiroki, Takakura}, book = {コンピュータセキュリティシンポジウム2015論文集}, issue = {3}, month = {Oct}, note = {サイバー攻撃は年々巧妙化しており,深刻な問題となっている.従来の対策の 1 つであるシグネチャ型侵入検知システムは,あらかじめ登録された攻撃の特徴に一致するものを検知するシステムであるため,未知の攻撃には対応できない.そこで,本稿では攻撃の特徴を必要としないトラフィックの状態遷移に基づくアノマリ型の検知手法を提案する.本手法では,トラフィックデータからセッション単位に特徴量を抽出しクラスタリングを行い,各ホストの通信のクラスタ遷移によってスコアを付け,通信が正常か攻撃かの検知を行う.前後のセッションのクラスタ遷移も含めてスコアリングを行うことで検知精度をを高めるとともに,閾値により未知攻撃の検知も行う. 実験の結果,90%近くの攻撃を検知し,86%の未知攻撃を検知できたことを確認した., Cyber attacks have been sophisticating. A signature-based intrusion detection system (IDS) is one of the countermeasures, but it detects only attacks whose signature are provided in advance. In order to detect unknown attacks without signatures, it is expected to develop some method, e.g., an anomaly-based IDS. In this paper, we propose a method that dose not require signatures of attacks. In this method, we perform clustering and give a score by cluster sequence of communication per host after extracting features from communication. We aim to improve the detection accuracy by taking session sequence of prior and latter communication into account.}, pages = {1066--1072}, publisher = {情報処理学会}, title = {通信のクラスタ間遷移に基づくサイバー攻撃検知手法}, volume = {2015}, year = {2015} }