WEKO3
アイテム
未知の攻撃に対する2段階分類侵入検知モデルの汎用性検証
https://ipsj.ixsq.nii.ac.jp/records/2007391
https://ipsj.ixsq.nii.ac.jp/records/20073914ef37770-c64e-43b5-8b4f-86156f424a82
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-IOT26072014.pdf (941.3 KB)
9999年1月1日からダウンロード可能です。
|
Copyright (c) 2026 by the Institute of Electronics, Information and Communication Engineers This SIG report is only available to those in membership of the SIG.
|
|
| IOT:会員:¥0, DLIB:会員:¥0 | ||
| Item type | SIG Technical Reports(1) | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| 公開日 | 2026-02-24 | |||||||||
| タイトル | ||||||||||
| 言語 | ja | |||||||||
| タイトル | 未知の攻撃に対する2段階分類侵入検知モデルの汎用性検証 | |||||||||
| タイトル | ||||||||||
| 言語 | en | |||||||||
| タイトル | Evaluating the Generalizability of a Two-Stage Classification-Based Intrusion Detection Model for Unknown Attacks | |||||||||
| 言語 | ||||||||||
| 言語 | jpn | |||||||||
| キーワード | ||||||||||
| 主題Scheme | Other | |||||||||
| 主題 | IA | |||||||||
| 資源タイプ | ||||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_18gh | |||||||||
| 資源タイプ | technical report | |||||||||
| 著者所属 | ||||||||||
| 中央大学 | ||||||||||
| 著者所属 | ||||||||||
| 中央大学 | ||||||||||
| 著者所属(英) | ||||||||||
| en | ||||||||||
| Chuo University | ||||||||||
| 著者所属(英) | ||||||||||
| en | ||||||||||
| Chuo University | ||||||||||
| 著者名 |
宮澤,昌子
× 宮澤,昌子
× 松崎,和賢
|
|||||||||
| 著者名(英) |
Masako Miyazawa
× Masako Miyazawa
× Kazutaka Matsuzaki
|
|||||||||
| 論文抄録 | ||||||||||
| 内容記述タイプ | Other | |||||||||
| 内容記述 | 侵入検知においてIsolation Forestに基づく1クラス分類器と,決定木に基づく多クラス分類器を組み合わせたMQT Tブローカー向けの2段階分類侵入検知モデルが先行研究で提案された.本モデルは第1段階で未知攻撃と既知通信を識別し,第2段階で既知通信について正常通信と各既知攻撃を分類する.本稿では既提案モデルをフロー特徴量に基づくCSE-CIC-IDS2018データセットに適用し,各段階の指標及び2段階全体指標を用いて性能を定量的に評価した.その結果,既提案モデルの他データセットへの転用可能性を確認した.一方,汎用性能には改善余地があり,特に第1段階における検知器性能が全体性能を左右することが示された.また,無限値に着目した特徴量及び時間窓集計に基づく特徴量を作成し,特徴量条件が汎用性能に与える影響を比較した.その結果,特徴量追加は未知攻撃検知と既知攻撃識別性能の間にトレードオフが存在し,効果が未知攻撃種に依存する傾向を確認した. | |||||||||
| 論文抄録(英) | ||||||||||
| 内容記述タイプ | Other | |||||||||
| 内容記述 | A two-stage classification-based intrusion detection model for MQTT brokers that combines a one-class classifier based on Isolation Forest and a multi-class classifier based on a decision tree has been proposed in prior work. The model distinguishes unknown attacks from known traffic in the first stage, and classifies known traffic into benign traffic and each known attack class in the second stage. In this paper, we apply the proposed model to the CSE-CIC IDS2018 dataset based on flow features, and quantitatively evaluate its performance using metrics for each stage as well as end-to-end metrics for the overall full pipeline. The results confirm that the proposed model can be transferred to another dataset. However, there remains room for improvement in generalization performance, and in particular, the detector performance in the first stage is shown to largely determine the overall performance. In addition, we construct features focusing on infinite values and features based on time-window aggregation, and compare their impact on generalization performance across feature settings. The results indicate a trade-off between unknown attack detection and multi-class classification of known attacks, and the effectiveness of the added features tends to depend on the type of unknown attack. | |||||||||
| 書誌レコードID | ||||||||||
| 収録物識別子タイプ | NCID | |||||||||
| 収録物識別子 | AA12326962 | |||||||||
| 書誌情報 |
研究報告インターネットと運用技術(IOT) 巻 2026-IOT-72, 号 14, p. 1-6, 発行日 2026-02-24 |
|||||||||
| ISSN | ||||||||||
| 収録物識別子タイプ | ISSN | |||||||||
| 収録物識別子 | 2188-8787 | |||||||||
| Notice | ||||||||||
| SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. | ||||||||||
| 出版者 | ||||||||||
| 言語 | ja | |||||||||
| 出版者 | 情報処理学会 | |||||||||
