VAEによるサブネット単位での異常検知

近年のサイバー攻撃の増加に伴い，侵入検知システム(IDS)の研究が盛んに行われている．本研究では，ネットワークトラフィックに対して変分オートエンコーダ（VAE）を適用することで異常を検出して攻撃元サブネットを推定する新たなIDSを提案する．まず，学習期間中の正常なトラフィックデータを単位時間で分割し，サブネットごとに特徴ベクトルを生成する．そして，生成した特徴ベクトルをVAEで学習する．次に異常を含むトラフィックデータから学習フェーズと同様の手法で特徴ベクトルを生成する．生成した特徴ベクトルを学習したVAEで再構成して，再構成誤差の大きいサブネットを攻撃元サブネットと推定する．本手法では，単位時間ごとにサブネット単位で学習と再構成を行なっているため，低処理コストで攻撃元サブネットを検出することができる．実験ではCICIDS2017の月曜日のデータセットを学習し，火曜日から金曜日のデータセット中の攻撃を検出した．また本手法の再構成処理をFPGA(Field Programmable Gate Array)上に実装し，その性能を評価した．

With the increase in cyberattacks in recent years, research on intrusion detection systems (IDS) has become more active. In this study, we propose a novel IDS that detects anomalies in network traffic and estimates the source subnet of the attack by applying a variational autoencoder (VAE). During the training phase, normal traffic data is divided into time units, and feature vectors are generated for each subnet. These feature vectors are then learned using the VAE. Next, feature vectors are generated from traffic data containing anomalies using the same method as in the training phase. The generated feature vectors are reconstructed using the trained VAE, and the subnets with high reconstruction errors are estimated to be the source subnets of the attack. Since this method performs learning and reconstruction for each subnet at each time unit, it can detect the source subnet of an attack with low processing cost. In our experiment, we trained on the Monday dataset of CICIDS2017 and detected attacks in the datasets from Tuesday to Friday. Additionally, we implemented the reconstruction process of this method on an FPGA (Field Programmable Gate Array) and evaluated its performance.