分散表現を用いたアラートログにおけるアノマリ検知
書誌事項
- タイトル別名
-
- Anomaly Detection for Alert Logs with Word Embeddings
説明
セキュリティ機器のあげるアラートは増加の一途をたどり,サイバー攻撃対策を行うSOC業務従事者のログ分析負担は増加している.それに従い,膨大なログの中から潜在的脅威であるアノマリを効率的に検知する機械学習分析技術が注目されている.しかしアラートログは,IPアドレスやポート番号といったパターン数が膨大なカテゴリカル変数を含むため,計算コスト・精度の面で分析が困難となる.そこで本稿では,アラートログを自然言語とみなし,同分野の分散表現技術[word2vec]に基づくアノマリ検知技術を提案する.提案技術により,検知対象の特徴量を,低次元かつ検知に適した形で分散表現することを可能にし,アノマリ検知の精度改善を実現する.数値実験では,ネットワーク型 IDS アラートから攻撃者IP アドレスを検知するタスクに取り組み,従来手法を上回る検知精度を得た.
The number of alerts raised by security protection systems has been constantly increasing, and the burden of security operators has also been increasing accordingly. At the same time, machine learning algorithms, which can detect potential threat [anomaly] among a large amount of alerts, have been paid attention. However, it is pretty hard to analyze alert logs efficiently because they typically contain categorical variables with enormous patterns such as IP addresses and port numbers. The paper proposes an algorithm which can detect anomaly on such logs on the basis of the embedding approach in the natural language processing field, word2vec. The proposed algorithm extracts low-dimensional, feasible features of objects for anomaly detection from logs. In our experiments, the proposed approach outperformed a baseline approach on the task of detecting attackers' IP addresses from network IDS logs.
収録刊行物
-
- コンピュータセキュリティシンポジウム2019論文集
-
コンピュータセキュリティシンポジウム2019論文集 2019 443-450, 2019-10-14
情報処理学会
- Tweet
キーワード
詳細情報 詳細情報について
-
- CRID
- 1050011097117675136
-
- NII論文ID
- 170000181035
-
- 本文言語コード
- ja
-
- 資料種別
- conference paper
-
- データソース種別
-
- IRDB
- CiNii Articles
