@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00214475,
 author = {中前, 諒哉 and 青木, 茂樹 and 宮本, 貴朗 and Ryoya, Nakamae and Shigeki, Aoki and Takao, Miyamoto},
 book = {コンピュータセキュリティシンポジウム2021論文集},
 month = {Oct},
 note = {一般的な深層学習手法を IDS（Intrusion Detection System）に応用する場合，教師データとして必要な，多岐にわたる異常データの収集が困難であることが課題となっている．そこで本稿では，深層学習の中でも教師データを必要としない VAE（Variational AutoEncoder）を応用した IDS の構築手法を提案する．VAE は学習した画像と類似する画像は再構成できるが，学習していない画像に類似する画像は再構成できないため，この性質を利用してネットワークトラフィックの異常を検出する．まず，学習期間のトラフィックデータを画像に変換して VAE で学習する．次に，別の期間に収集したトラフィックデータを学習時と同様に画像に変換し，変換した画像に類似する画像を VAE で再構成する．そして，入力した画像と再構成した画像の差分を基に異常度を算出し，算出した異常度により正常な通信と異常な通信を識別する．実験では，MWS2018 データセットと CICIDS2017 データセットを用いて本手法の有効性を確認した．, In general, deep learning method requires teacher data. However, when applying deep learning methods to Intrusion Detection System, it is difficult to collect various anomaly data. In this paper, we propose a method for constructing IDS using Variational AutoEncoder (VAE) which does not require teacher data. VAE can reconstruct images similar to learned images, but cannot reconstruct images similar to unlearned images. We use this property to detect anomaly in network traffic. First, we convert traffic data during learning period into images and learn the images by VAE. Second, we convert traffic data collected in another period into images in the same way as during learning, and use VAE to reconstruct images similar to the converted images. Anomaly scores are calculated based on the difference between input images and reconstructed images. Using calculated anomaly scores, we detect anomaly communication. We confirmed the effectiveness using MWS2018 dataset and CICIDS2017 dataset.},
 pages = {551--558},
 publisher = {情報処理学会},
 title = {VAEを用いたネットワークトラフィックの異常検出},
 year = {2021}
}