1 / 16

IP アドレス構造を用いた攻撃通信の判別法 Detecting Malicious Traffic with IP Address Features

IP アドレス構造を用いた攻撃通信の判別法 Detecting Malicious Traffic with IP Address Features. 早稲田大学 基幹理工学部 情報理工学科 後藤滋樹研究室 千葉 大紀. 研究背景. IP 攻撃通信. マルウェア 感染. 有害な動作. 研究目標. 提案手法. 教師あり機械 学習 2 クラス ( 悪性と通常 ) の パターン 識別器として利用. Step 1. 訓練モデルの構築. 悪性 IP アドレス リスト 1. 悪性 IP アドレス リスト 2. 特徴ベクトル 抽出. SVM

barny
Download Presentation

IP アドレス構造を用いた攻撃通信の判別法 Detecting Malicious Traffic with IP Address Features

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. IP アドレス構造を用いた攻撃通信の判別法Detecting Malicious Traffic with IP Address Features 早稲田大学 基幹理工学部 情報理工学科 後藤滋樹研究室 千葉 大紀 Daiki CHIBA, GOTO Lab.

  2. 研究背景 IP攻撃通信 マルウェア 感染 有害な動作 Daiki CHIBA, GOTO Lab.

  3. 研究目標 Daiki CHIBA, GOTO Lab.

  4. 提案手法 教師あり機械学習 2クラス (悪性と通常) の パターン識別器として利用 Step 1. 訓練モデルの構築 悪性 IP アドレス リスト1 悪性 IP アドレス リスト2 特徴ベクトル 抽出 SVM (Support Vector Machine) 通常 IP アドレス リスト1 通常 IP アドレス リスト2 訓練モデル 複数のアドレスリスト の利用 アドレスの 構造的特徴を利用 Daiki CHIBA, GOTO Lab.

  5. 提案手法 Step 2.通信の悪性評価 訓練モデル 判定対象 IP アドレス 特徴ベクトル 抽出 SVM (Support Vector Machine) 悪性 IP アドレス 通常 IP アドレス Daiki CHIBA, GOTO Lab.

  6. 提案手法 特徴ベクトル抽出手法 上位        オクテット 次元の特徴ベクトル N = 1 • バイナリビット列 • ・初期値は 0 • ・第 nオクテットの数値 X N = 2 N = 3 N = 4 ※出力が 0 のパラメタは表記の都合上省略している Daiki CHIBA, GOTO Lab.

  7. 性能評価 評価に用いるデータ 悪性 • ハニーポットで収集したデータ • Spamhaus • DBL (Domain Block List) • PBL (Policy Block List) • SBL (Spamhaus Block List) 通常 • Alexa Top Global Sites • DNSWL (DNS White List) • CDN (Contents Delivery Network) • 教育機関 Daiki CHIBA, GOTO Lab.

  8. 性能評価 特徴ベクトル単位で重複を除去 → ユニークな特徴ベクトル 評価方法 • 特徴ベクトル抽出 線形 SVM (LIBLINEAR) 非線形 SVM (LIBSVM) 5分割交差検定 (5-fold Cross-Validation) → 未知のアドレスに対する性能評価 Daiki CHIBA, GOTO Lab.

  9. 性能評価 精度 評価指標 正答率 適合率 再現率 悪性と判定したアドレスのうち 実際に悪性の割合 実際に悪性のアドレスのうち 正しく悪性と判定した割合 Daiki CHIBA, GOTO Lab.

  10. 性能評価 N = 3 が最も良い結果 →多くのネットワークでIP アドレスブロック /24 N = 1 は識別が困難 → 約半数の特徴ベクトルが重複 N = 3 に対して N = 4 の性能が劣る →アドレス全体を含むと未知のアドレスに 対するロバスト性が失われる Daiki CHIBA, GOTO Lab.

  11. まとめ 本研究の成果: IP アドレスそのものを悪性通信の判断材料として利用可能 Daiki CHIBA, GOTO Lab.

  12. 今後の課題 Daiki CHIBA, GOTO Lab.

  13. 補足資料 Daiki CHIBA, GOTO Lab.

  14. SVM (Support Vector Machine) とは? • 教師あり機械学習のうちの1つ • 「線形識別器」+「マージン最大化」 • 線形分離不可でも分類可能 • 「ソフトマージン」+「カーネル法」 2クラスの判別 特徴空間に学習データを2分する超平面を構築 一意な最適解が求まる 「はみ出し」を許容 「はみ出し」の総和は なるべく小さく 入力データを 高次元に写像してデータを識別する Daiki CHIBA, GOTO Lab.

  15. 交差検定 (Cross-Validation) • 5分割交差検定 (5-fold Cross Validation) • 特徴ベクトルデータをランダムに5分割 • 4個を教師データ、残り1個をテストデータ • 5種類繰り返して平均値を算出 • 悪性・通常のそれぞれの特徴ベクトルはユニーク • 特徴ベクトル単位で重複を除去済 • 純粋に未知のIPアドレスに対する性能評価と同等 Daiki CHIBA, GOTO Lab.

  16. 参考文献 • [1] Dionaea, http://dionaea.carnivore.it/ • [2] The Spamhaus Project, http://www.spamhaus.org/ • [3] Alexa Top Sites, http://www.alexa.com/topsites • [4] DNS Whitelist, http://www.dnswl.org/ • [5] R.E.Fan, K.W.Chang, C.J.Hsieh, X.R.Wang, and C.J.Lin. LIBLINEAR: A Library for Large Linear Classification, Journal of Machine Learning Research 9 (2008), pp.1871--1874. Software available at http://www.csie.ntu.edu.tw/~cjlin/liblinear • [6] C.C.Chang and C.J.Lin, LIBSVM : a library for support vectormachines, 2001. Software available at http://www.csie.ntu.edu.tw/~cjlin/libsvm Daiki CHIBA, GOTO Lab.

More Related