1 / 19

機械 学習型 侵入 検知システムの改善

機械 学習型 侵入 検知システムの改善. 木下研究室  201002684 小野翔太郎. 背景. 近年、セキュリティ技術の発達により安全な通信ができるようになったが それだけ攻撃者の手口も進化してることを表してる。 その 中でも DoS 攻撃 が最近の主な攻撃方法となっていてこちらも手口が進化して攻撃元の特定が難しくなっている。. DoS 攻撃. 大量の データを一気に送ることに よってコンピューター や回線に負荷をかける攻撃手法である。これにより企業や政府などのサービスを停止させる。最近では手口も巧妙になっていて様々な種類がある。. DoS 攻撃による 大量のアクセス.

roary-holloway
Download Presentation

機械 学習型 侵入 検知システムの改善

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 機械学習型侵入検知システムの改善 木下研究室 201002684 小野翔太郎

  2. 背景 • 近年、セキュリティ技術の発達により安全な通信ができるようになったがそれだけ攻撃者の手口も進化してることを表してる。 • その中でもDoS攻撃が最近の主な攻撃方法となっていてこちらも手口が進化して攻撃元の特定が難しくなっている。

  3. DoS攻撃 • 大量のデータを一気に送ることによってコンピューターや回線に負荷をかける攻撃手法である。これにより企業や政府などのサービスを停止させる。最近では手口も巧妙になっていて様々な種類がある。 DoS攻撃による 大量のアクセス 企業や政府機関などの 攻撃目標

  4. 研究動向 • 最近の研究では予め設定された様々な閾値パラメータや攻撃パターンを比較してDoS攻撃を含むあらゆる攻撃を検知、不正なパケットを廃棄するシステム(IDS)が提案されている。 IDS 不正パケットを廃棄、 アクセスを 拒否

  5. 問題点 • 既存のIDSで閾値を設定したり、パターンマッチングで検知してるが全てを防ぎきれるとは限らない。 IDS IDSのシグネチャパターンに 当てはまらない未知のDoS攻撃 DDoS攻撃

  6. 問題点 • またいろんな種類の閾値を設けたり、パターンマッチングで検知する量を増やすと検知システム自体に処理による負荷が掛かったり、アクセス制限で今度はアクセスしづらくなり、企業などのサービスに影響を与えてしまう。 IDS

  7. 研究の目的 • そこで今回は既存のIDSに機械学習型の一種である遺伝的アルゴリズムを加えて、同様な従来の研究よりも未知のDoS攻撃の攻撃パターンを学習し、検知できる量を増やす。 学習 機能 IDS

  8. 遺伝的アルゴリズム • 遺伝的アルゴリズムを使う利点①: 遺伝的アルゴリズムは他の学習アルゴリズムよりも汎用性があり、さらに解を求めるまでの時間効率が良い。 DoS攻撃のような法則性がないような問題にも簡単に適用でき、尚且つ学習時間が短く済む。

  9. 遺伝的アルゴリズム • 遺伝的アルゴリズムを使う利点②: 確率的要素も含むので新たな手法・考え方を分析できる。 未知のDoS攻撃への分析、対策ができる。

  10. 従来の研究の問題点 • IDSに遺伝的アルゴリズムを入れた研究は存在するが、学習処理に時間がかかったり、検知率もあまり改善されなかった。 • また比較したプロトコルも一部であり、完全な性能評価はされていない

  11. 提案手法 • そこで今回は様々なDoS攻撃の中で送信元アドレスを簡単に詐称できるUDPでのDoS攻撃を防ぐ。UDPパケットのビット列を遺伝的アルゴリズムの遺伝子としていき、UDPにおける未知のDoS攻撃を学習、防いでいく。

  12. 提案手法 • 学習するデータとして実際のネットワークだとデータ量が膨大すぎるので、実際のネットワークに近いデータとしてKDDCup1999を学習と比較検証に用いる。

  13. 提案手法 • 特徴配列生成に用いる評価関数は従来の研究のものを用いる。評価値が高ければ高いほどDoS攻撃のパケットに近いことを表す Fitness=W1+W2 W1,W2:重み係数 N:ネットワーク接続の総数 ネットワーク接続の数 |AandB|:DoS攻撃だと判定する条件A       と条件B 両方に当てはまる      ネットワーク接続の数

  14. 提案手法 • 遺伝的アルゴリズムによって、様々なパターンのDoS攻撃の特徴配列を作り、そのパケットと受信したパケットとのハミング距離から類似度を比較することで検知していく。 1010・・・・・・・・・・・11 1010・・・・・・・・・・・11 0110・・・・・・・・・・・10 0010・・・・・・・・・・・10 1111・・・・・・・・・・・11 0010・・・・・・・・・・・10 UDPパケット 特徴配列

  15. 提案手法 • 今回の改良点として特徴配列生成における遺伝子操作において、二点交叉を用いることで最適解を生成しやすくし、学習にかかる時間を短くし、検知率を高くしていく。 10100100 10100100 00101000 00101000 従来の研究 (一点交叉) 今回の研究 (二点交叉)

  16. Snortの環境構築 • 今回用いるIDSとしてフリーソフトであるのと様々なプラグインに対応してることからSnortを使用する。Snortはシグネチャ型のIDSであり、ルール設定に基づいて監視対象ネットワークで攻撃の検知をする。 外部ネットワークの シミュレートデータ (KDD Cup 1999) Snort ホストコンピュータ 仮想マシン 仮想マシン 仮想マシン 仮想マシン

  17. Snortのパケット分析の例 パケットの 中身を表す

  18. 考察 • 今回はIDS の一種であるSnort の環境構築をした。 • 遺伝的アルゴリズムは評価関数や遺伝子操作の仕方によって、その計算処理能力は変わってくる。そのことから今回提案した遺伝子操作は一点交叉よりも有効であり、従来の研究よりもいい結果を期待できると考えられる。

  19. 今後の課題 • 類似度を比較するに当たって、最適な閾値を設ける。 • 遺伝的アルゴリズムを組み込んだIDSを実装していく。 • 他の学習アルゴリズムも実装、性能を比較していく。

More Related