エントロピーベースのマハラノビス距離による高速な異常検知手法

情報処理学会 Web Site

書誌事項

タイトル別名
  • Fast Anomaly Detection Method Using Entropy-based Mahalanobis Distance
  • エントロピーベース ノ マハラノビス キョリ ニ ヨル コウソク ナ イジョウ ケンチ シュホウ

この論文をさがす

説明

サイバー攻撃の被害を最小限に抑えるためには,できるだけ早期に,かつ多様の異常トラヒックを検知する必要がある.これまでに,送信元IPアドレスや送信先ポート番号などを確率変数とするエントロピーにより異常検知が可能であることが示されている.しかし,従来の手法は,安定したエントロピーを得るために数万個の標本パケットが必要であり,早期の異常検知は困難であった.また,多くの種類の異常を検知しようとする場合,IPアドレスやポート番号などの情報源を異常の種類に応じて個別に選択する必要があり,多様な異常を同時に検出するのは困難であった.本稿ではエントロピー手法に多次元マハラノビス距離を適用したEMMMを提案する.EMMMは,複数の確率変数から求めたエントロピーだけでなく,エントロピーの相関を同時に考慮しており,多様な異常を同時に検知できる手法となる.F尺度を用いた評価実験により,EMMMはDDoS攻撃やIPアドレススキャンを高い精度で検出できた.また,窓幅を狭めたEMMMにおいて,高い精度で異常を発見することができ,異常検知までの時間を大幅に短縮することができた.

Deterrence for minimum damage from cyber attacks requires early detection of a variety of anomaly traffic as much as possible. Possible detection of anomalies from entropy using the source IP address and destination port number as random variables has been reported. However, conventional methods require tens of thousands of sample packets to have stabilization of entropy fluctuations, making early anomaly detection difficult. In addition, detection of different sorts of anomalies requires individual selection of information sources such as IP addresses or port numbers according to the type of anomaly attacks, making concurrent detection of diverse anomaly attacks difficult. This paper proposes EMMM as an application of multidimensional Mahalanobis distance for an entropy method. The EMMM is a method to detect various anomalies concurrently, considering correlativity between each entropy as well as that acquired from multiple random variables. An evaluation experiment with F-measure proved that EMMM can detect DDoS attacks and IP address scanning with a high degree of accuracy. In anomaly detection, considerable accuracy was seen in EMMM with narrower window width meaning a substantial reduction in the detection time.

収録刊行物

キーワード

詳細情報 詳細情報について

問題の指摘

ページトップへ