アプリケーション識別機能付きファイアウォールのログを対象とした機械学習による自己らしい通信の識別手法

DOI 情報処理学会

この論文をさがす

抄録

コンピュータやネットワークの脅威の一部では,ふだんと異なる,自己らしくない通信が発生する.ある一連の通信が自己による通信に似ているかを識別する手法は,役立つと考えられる.本研究は,アプリケーション識別機能を有するファイアウォールのログを用いて,識別対象者の通信の振舞いを学習し,ある通信が自己らしい通信であるか否かを識別する手法を提案する.提案手法では,学習フェーズにて,入力をファイアウォールログから生成した通信アプリケーション列とし,出力を識別対象者らしさを表す数値とする識別器を作成する.認識フェーズでは,学習フェーズで作成した識別対象者専用の識別器に対して,識別したい通信のファイアウォールログに学習フェーズと同じ手法を適用して生成した通信アプリケーション列を入力して識別を行う.提案手法に基づいた実験では,AUCの平均値は0.76037となり,識別能力があるという結果となった.また,1カ月の通信ログを対象にした個人ごとの識別器の生成時間は約1時間であった.これらより提案手法が有効であることを示した.

Some of the threats of computers and networks cause unusual traffic unlike your own. We believe that a discrimination method to determine whether a certain series of traffic is similar to your own traffic or not is useful. In this paper, we propose such discrimination method by learning one's behavior of the traffic based on the log of the firewall with application identification function. For the learning phase of the proposed method, we create a classifier that receives a communication application sequence generated from the firewall log and outputs a numerical value that represents how much the sequence is like target user's. In the recognition phase, we discriminate the communication application sequence generated by applying the same method as in the learning phase to the firewall log using the classifier. In the experiments of the proposed method, the average value of AUC was 0.76037, which means that the proposed method is considered to achieve an acceptable discrimination ability. Moreover, it took about one hour to generate the classifier by using firewall logs for one month for each individual who is targeted. These results show that the proposed method is effective.

収録刊行物

キーワード

詳細情報 詳細情報について

問題の指摘

ページトップへ