WEKO3
アイテム
検知ルール自動生成における低誤検知率の実現と計算コスト削減
https://ipsj.ixsq.nii.ac.jp/records/240759
https://ipsj.ixsq.nii.ac.jp/records/240759e9e3cae5-3551-42ed-a506-381252148166
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-CSS2024013.pdf (982.8 kB)
2026年10月15日からダウンロード可能です。
|
Copyright (c) 2024 by the Information Processing Society of Japan
|
|
| 非会員:¥660, IPSJ:学会員:¥330, CSEC:会員:¥0, SPT:会員:¥0, DLIB:会員:¥0 | ||
| Item type | Symposium(1) | |||||||
|---|---|---|---|---|---|---|---|---|
| 公開日 | 2024-10-15 | |||||||
| タイトル | ||||||||
| 言語 | ja | |||||||
| タイトル | 検知ルール自動生成における低誤検知率の実現と計算コスト削減 | |||||||
| タイトル | ||||||||
| 言語 | en | |||||||
| タイトル | Achieving Low False Positive Rates and Reducing Computational Costs in Detection Rule Generation | |||||||
| 言語 | ||||||||
| 言語 | jpn | |||||||
| 資源タイプ | ||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_5794 | |||||||
| 資源タイプ | conference paper | |||||||
| 著者所属 | ||||||||
| NTT社会情報研究所 | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| NTT Social Informatics Laboratories | ||||||||
| 著者名 |
芝原, 俊樹
× 芝原, 俊樹
|
|||||||
| 著者名(英) |
Toshiki, Shibahara
× Toshiki, Shibahara
|
|||||||
| 論文抄録 | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | サイバー攻撃や不正決済を検知する実システムでは,ルールベースの検知も広く使われている.手動で検知ルールを作成する手間を軽減するために,自動的に検知ルールを生成する手法が研究されている.これらの手法は,決定木と比較してよりシンプルな検知ルールを生成できるが,誤検知率と計算コストの高さが課題である.そこで,本稿では,低誤検知率の実現と計算コスト削減のために,教師データと学習設定を最適化する手法を提案する.教師データの最適化では,低誤検知率を実現するためには,検知が難しい不正データと誤検知しにくい正規データはルール生成に不要なことに着目する.決定木を用いてルールベースの検知をシミュレーションしながら,低誤検知率のために最適化された教師データを作成する.学習設定の最適化では,基準とする誤検知率を超えない範囲で最も検知率が高くなるように,教師データ中の不正データの割合とルール生成時の正規データの重みを調整する.さらに,教師データのアンダーサンプリングを同時に行うことで,計算コストを削減する.2 つの公開データセットと3 つのルール生成手法を用いて提案手法の有効性を評価した.実験結果から,学習設定の最適化を適用することで,基準とする誤検知率を超えない検知ルールを生成できること,教師データの最適化を適用することで,検知性能が向上すること,大規模なデータセットでも10 分程度でルール生成が完了することが確認できた. | |||||||
| 論文抄録(英) | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | In actual systems for detecting cyber attacks or fraudulent transactions, rule-based detection is also widely used. To reduce the effort of manually creating detection rules, methods for automatically generating detection rules have been studied. While these methods can generate simpler detection rules compared to decision trees, they face challenges such as high false positive rates and high computational costs. Therefore, we propose a method to optimize training data and settings to achieve low false positive rates and reduce computational costs. For optimizing training data, we focus on the fact that achieving low false positive rates does not require difficult-to-detect malicious data and rarely misclassified legitimate data. By simulating rule-based detection using decision trees, we create optimized training data for low false positive rates. In optimizing training settings, we adjust the proportion of malicious data in the training data and the weight of legitimate data during training to achieve the highest detection rate without exceeding the predefined false positive rate. Additionally, we reduce the computational cost by simultaneously undersampling the training data. We evaluate the effectiveness of the proposed method using two public datasets and three rule-generation methods. The experimental results show that training setting optimization enables the generation of detection rules that do not exceed the predefined false positive rate, training data optimization improves detection performance, and rule generation for large datasets can be completed in about 10 minutes. | |||||||
| 書誌情報 |
コンピュータセキュリティシンポジウム2024論文集 p. 90-97, 発行日 2024-10-15 |
|||||||
| 出版者 | ||||||||
| 言語 | ja | |||||||
| 出版者 | 情報処理学会 | |||||||
