電子情報通信学会 - IEICE会誌 試し読みサイト
© Copyright IEICE. All rights reserved.
|
機械学習を活用したネットワーク監視・予測・制御技術の最新動向
小特集 4.
IDPSシグネチャ分類への機械学習適用
Applying Machine Learning to IDPS Signature Classification
Abstract
ネットワーク運用の現場では,ログの振り分けや機器設定などの業務を,機械学習の適用により効率化することが期待される.これらの多種多様な業務に広く適用可能な,汎用的な機械学習技術はいまだ確立されておらず,現状は地道に個別事例について検証を行っていく必要がある.本稿ではその一つとして,IDPS(Intrusion Detection and Prevention System)のシグネチャを,重要度で分類する機械学習の適用研究について紹介する.具体的には,シグネチャの特徴量設計やその分析,またIf/Thenルールでラベル付けを行ったデータを機械学習に用いた場合の結果を共有する.
キーワード:機械学習,IDS,IPS,シグネチャ,SVM
IDS(Intrusion Detection System)とIPS(Intrusion Prevention System)はいずれもネットワークセキュリティのためのシステムであり,シグネチャとはそれらが用いる悪性通信のパターンファイルである.本稿では,IDSとIPSを区別せずに,この二つを表す表記としてIDPS(Intrusion Detection and Prevention System)という用語を用いるものとする.IDPSは,Webサービスを公開しているサーバが設置されたネットワークや,組織のLANといった,インターネットに接続されたネットワークに設置される.
セキュリティ運用の専門家(以下,専門家)がシグネチャをIDPSにセットする際,そのシグネチャにマッチしたときのアクションを設定する必要がある.例えば,ロギング・通知・遮断などを設定できるのだが,適切な設定はIDPSが設置されているネットワークによって異なってくるためである.シグネチャにマッチした通信を全て遮断することは現実的ではなく,また過剰な通知はセキュリティ運用者の大きな負担となってしまう.IDPSの利用者は,日々生まれる悪性通信に対応する形でこのシグネチャを用意・整備する必要がある.
シグネチャを適切に設定するには専門性が必要であり,また判断には時間を要するため,ネットワーク運用のコストと考えられる(1).ある程度はIf/Thenルールで自動的に設定の分類を行うことができるが,If/Thenルールで分類できなかったシグネチャについては専門家が判断を下し手動で設定する必要がある.本稿でのIf/Thenルールとは,条件分岐及びその組合せに基づきシグネチャの分類を一意に決定するプログラムのことを指す.
本研究ではネットワーク運用のコスト軽減を目的に,シグネチャの自動分類を行うための機械学習の適用に取り組んでいる(2).IDPSのシグネチャやそれと役割が同じであるパターンを自動生成すること(3)~(5),そしてシグネチャの評価や重複の削減をするための諸技術に関する研究は数多く存在する(1),(6).しかしながら,シグネチャの自動設定のために分類を自動化しようという試みはほとんど行われていない.本稿では,自然言語分析に用いられる特徴量変換を行い機械学習の適用を通した特徴量の基礎的な分析を行っていく.また,If/Thenルールで分類されたシグネチャを訓練データに組み込むことが分類精度にどのように影響を与えるかについても議論を行っていく.
続きを読みたい方は、以下のリンクより電子情報通信学会の学会誌の購読もしくは学会に入会登録することで読めるようになります。 また、会員になると豊富な豪華特典が付いてきます。
電子情報通信学会 - IEICE会誌はモバイルでお読みいただけます。
電子情報通信学会 - IEICE会誌アプリをダウンロード