機械 学習型 侵入 検知システムの改善
DESCRIPTION
機械 学習型 侵入 検知システムの改善. 木下研究室 201002684 小野翔太郎. 背景. 近年、セキュリティ技術の発達により安全な通信ができるようになったが それだけ攻撃者の手口も進化してることを表してる。 その 中でも DoS 攻撃 が最近の主な攻撃方法となっていてこちらも手口が進化して攻撃元の特定が難しくなっている。. DoS 攻撃. 大量の データを一気に送ることに よってコンピューター や回線に負荷をかける攻撃手法である。これにより企業や政府などのサービスを停止させる。最近では手口も巧妙になっていて様々な種類がある。. DoS 攻撃による 大量のアクセス. - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: 機械 学習型 侵入 検知システムの改善](https://reader035.vdocuments.mx/reader035/viewer/2022062221/568135d2550346895d9d3928/html5/thumbnails/1.jpg)
機械学習型侵入検知システムの改善
木下研究室 201002684 小野翔太郎
![Page 2: 機械 学習型 侵入 検知システムの改善](https://reader035.vdocuments.mx/reader035/viewer/2022062221/568135d2550346895d9d3928/html5/thumbnails/2.jpg)
背景• 近年、セキュリティ技術の発達により安全な通信ができるようになったがそれだけ攻撃者の手口も進化してることを表してる。
• その中でも DoS攻撃が最近の主な攻撃方法となっていてこちらも手口が進化して攻撃元の特定が難しくなっている。
![Page 3: 機械 学習型 侵入 検知システムの改善](https://reader035.vdocuments.mx/reader035/viewer/2022062221/568135d2550346895d9d3928/html5/thumbnails/3.jpg)
DoS攻撃• 大量のデータを一気に送ることによってコンピューターや回線に負荷をかける攻撃手法である。これにより企業や政府などのサービスを停止させる。最近では手口も巧妙になっていて様々な種類がある。
企業や政府機関などの攻撃目標DoS攻撃による
大量のアクセス
![Page 4: 機械 学習型 侵入 検知システムの改善](https://reader035.vdocuments.mx/reader035/viewer/2022062221/568135d2550346895d9d3928/html5/thumbnails/4.jpg)
研究動向• 最近の研究では予め設定された様々な閾値パラメータや攻撃パターンを比較して DoS攻撃を含むあらゆる攻撃を検知、不正なパケットを廃棄するシステム (IDS)が提案されている。
IDS不正パケットを廃棄、アクセスを拒否
![Page 5: 機械 学習型 侵入 検知システムの改善](https://reader035.vdocuments.mx/reader035/viewer/2022062221/568135d2550346895d9d3928/html5/thumbnails/5.jpg)
• 既存の IDSで閾値を設定したり、パターンマッチングで検知してるが全てを防ぎきれるとは限らない。
問題点
IDS
DDoS攻撃
IDSのシグネチャパターンに当てはまらない未知の DoS攻
撃
![Page 6: 機械 学習型 侵入 検知システムの改善](https://reader035.vdocuments.mx/reader035/viewer/2022062221/568135d2550346895d9d3928/html5/thumbnails/6.jpg)
問題点• またいろんな種類の閾値を設けたり、パターンマッチングで検知する量を増やすと検知システム自体に処理による負荷が掛かったり、アクセス制限で今度はアクセスしづらくなり、企業などのサービスに影響を与えてしまう。
IDS
![Page 7: 機械 学習型 侵入 検知システムの改善](https://reader035.vdocuments.mx/reader035/viewer/2022062221/568135d2550346895d9d3928/html5/thumbnails/7.jpg)
研究の目的• そこで今回は既存のIDSに機械学習型の一種である遺伝的アルゴリズムを加えて、同様な従来の研究よりも未知の DoS攻撃の攻撃パターンを学習し、検知できる量を増やす。
IDS
学習機能
![Page 8: 機械 学習型 侵入 検知システムの改善](https://reader035.vdocuments.mx/reader035/viewer/2022062221/568135d2550346895d9d3928/html5/thumbnails/8.jpg)
遺伝的アルゴリズム• 遺伝的アルゴリズムを使う利点①:遺伝的アルゴリズムは他の学習アルゴリズムよりも汎用性があり、さらに解を求めるまでの時間効率が良い。
DoS攻撃のような法則性がないような問題にも簡単に適用でき、尚且つ学習時間が短
く済む。
![Page 9: 機械 学習型 侵入 検知システムの改善](https://reader035.vdocuments.mx/reader035/viewer/2022062221/568135d2550346895d9d3928/html5/thumbnails/9.jpg)
遺伝的アルゴリズム• 遺伝的アルゴリズムを使う利点②:
未知の DoS攻撃への分析、対策ができる。
確率的要素も含むので新たな手法・考え方を分析できる。
![Page 10: 機械 学習型 侵入 検知システムの改善](https://reader035.vdocuments.mx/reader035/viewer/2022062221/568135d2550346895d9d3928/html5/thumbnails/10.jpg)
従来の研究の問題点• IDSに遺伝的アルゴリズムを入れた研究は存在するが、学習処理に時間がかかったり、検知率もあまり改善されなかった。
• また比較したプロトコルも一部であり、完全な性能評価はされていない
![Page 11: 機械 学習型 侵入 検知システムの改善](https://reader035.vdocuments.mx/reader035/viewer/2022062221/568135d2550346895d9d3928/html5/thumbnails/11.jpg)
提案手法• そこで今回は様々な DoS攻撃の中で送信元アドレスを簡単に詐称できる UDPでのDoS攻撃を防ぐ。 UDPパケットのビット列を遺伝的アルゴリズムの遺伝子としていき、 UDPにおける未知の DoS攻撃を学習、防いでいく。
![Page 12: 機械 学習型 侵入 検知システムの改善](https://reader035.vdocuments.mx/reader035/viewer/2022062221/568135d2550346895d9d3928/html5/thumbnails/12.jpg)
提案手法• 学習するデータとして実際のネットワークだとデータ量が膨大すぎるので、実際のネットワークに近いデータとしてKDDCup1999を学習と比較検証に用いる。
![Page 13: 機械 学習型 侵入 検知システムの改善](https://reader035.vdocuments.mx/reader035/viewer/2022062221/568135d2550346895d9d3928/html5/thumbnails/13.jpg)
提案手法• 特徴配列生成に用いる評価関数は従来の研究のものを用いる。評価値が高ければ高いほど DoS攻撃のパケットに近いことを表す
Fitness=W1+W2W1,W2:重み係数
ネットワーク接続の数|AandB|: DoS 攻撃だと判定する条件 A と条件 B 両方に当てはまる ネットワーク接続の数
N:ネットワーク接続の総数𝑨𝑵 :条件A に当てはまるネットワーク接続の数
![Page 14: 機械 学習型 侵入 検知システムの改善](https://reader035.vdocuments.mx/reader035/viewer/2022062221/568135d2550346895d9d3928/html5/thumbnails/14.jpg)
提案手法• 遺伝的アルゴリズムによって、様々なパターンの DoS攻撃の特徴配列を作り、そのパケットと受信したパケットとのハミング距離から類似度を比較することで検知していく。 101
0・・・・・・・・・・・ 11
0010・・・・・・・・・
・・ 100010・・・・・・・・・
・・ 10
1010・・・・・・・・・
・・ 11
1111・・・・・・・・・
・・ 11
0110・・・・・・・・・
・・ 10
UDPパケット 特徴配列
![Page 15: 機械 学習型 侵入 検知システムの改善](https://reader035.vdocuments.mx/reader035/viewer/2022062221/568135d2550346895d9d3928/html5/thumbnails/15.jpg)
• 今回の改良点として特徴配列生成における遺伝子操作において、二点交叉を用いることで最適解を生成しやすくし、学習にかかる時間を短くし、検知率を高くしていく。
提案手法
10100100
00101000
10100100
00101000
従来の研究(一点交叉)
今回の研究(二点交叉)
![Page 16: 機械 学習型 侵入 検知システムの改善](https://reader035.vdocuments.mx/reader035/viewer/2022062221/568135d2550346895d9d3928/html5/thumbnails/16.jpg)
Snortの環境構築• 今回用いる IDSとしてフリーソフトであるのと様々なプラグインに対応してることから Snortを使用する。 Snortはシグネチャ型の IDSであり、ルール設定に基づいて監視対象ネットワークで攻撃の検知をする。
Snort
仮想マシン
仮想マシン
仮想マシン
仮想マシン
ホストコンピュータ
外部ネットワークのシミュレートデータ( KDD Cup 1999)
![Page 17: 機械 学習型 侵入 検知システムの改善](https://reader035.vdocuments.mx/reader035/viewer/2022062221/568135d2550346895d9d3928/html5/thumbnails/17.jpg)
Snortのパケット分析の例
パケットの中身を表す
![Page 18: 機械 学習型 侵入 検知システムの改善](https://reader035.vdocuments.mx/reader035/viewer/2022062221/568135d2550346895d9d3928/html5/thumbnails/18.jpg)
考察• 今回は IDS の一種である Snort の環境構築をした。
• 遺伝的アルゴリズムは評価関数や遺伝子操作の仕方によって、その計算処理能力は変わってくる。そのことから今回提案した遺伝子操作は一点交叉よりも有効であり、従来の研究よりもいい結果を期待できると考えられる。
![Page 19: 機械 学習型 侵入 検知システムの改善](https://reader035.vdocuments.mx/reader035/viewer/2022062221/568135d2550346895d9d3928/html5/thumbnails/19.jpg)
今後の課題• 類似度を比較するに当たって、最適な閾値を設ける。
• 遺伝的アルゴリズムを組み込んだ IDSを実装していく。
• 他の学習アルゴリズムも実装、性能を比較していく。