|
早稲田大学
菅原 俊治
教授
機関別共同研究
Discovery Saga
論文分野別Discovery Saga
研究テーマDiscovery Saga
協賛企業
共同研究先:The Graduate University for Advanced Studies
Academic
共同研究数 1
Article
2013 3 1
Elsevier
ADMIRE: Anomaly detection method using entropy-based PCA with three-step sketches
(Last author)
ADMIRE: エントロピー・ベースPCAを用いた3段階スケッチによる異常検知法
Yoshiki Kanda, Romain Fontugne, Kensuke Fukuda, Toshiharu Sugawara
Computer Communications
【抄録】
Network anomaly detection using dimensionality reduction has recently been well studied in order to overcome the weakness of signature-based detection. Previous works have proposed a method for detecting particular anomalous IP-flows by using random projection (sketch) and a Principal Component Analysis (PCA). It yields promising high detection capability results without needing a pre-defined anomaly database. However, the detection method cannot be applied to the traffic flows at a single measurement point, and the appropriate parameter settings (e.g., the relationship between the sketch size and the number of IP addresses) have not yet been sufficiently studied. We propose in this paper a PCA-based anomaly detection algorithm called ADMIRE to supplement and expand the previous works. The key idea of ADMIRE is the use of three-step sketches and an adaptive parameter setting to improve the detection performance and ease its use in practice. We evaluate the effectiveness of ADMIRE using the longitudinal traffic traces captured from a transpacific link. The main findings of this paper are as follows: (1) We reveal the correlation between the number of IP addresses in the measured traffic and the appropriate sketch size. We take advantage of this relation to set the sketch size parameter. (2) ADMIRE outperforms traditional PCA-based detector and other detectors based on different theoretical backgrounds. (3) The types of anomalies reported by ADMIRE depend on the traffic features that are selected as input. Moreover, we found that a simple aggregation of several traffic features degrades the detection performance. © 2012 Elsevier B.V. All rights reserved.
【抄録日本語訳】
シグネチャベースの検出の弱点を克服するために、次元削減を用いたネットワーク異常検出が最近よく研究されている。これまでの研究では、ランダムプロジェクション(スケッチ)と主成分分析(PCA)を用いて、特定の異常なIPフローを検出する方法が提案されている。これは、あらかじめ定義された異常データベースを必要とせず、高い検出能力を持つ有望な結果を得ることができる。しかし、この検出方法は単一の測定点におけるトラフィックフローに対して適用することができず、また、適切なパラメータ設定(スケッチサイズとIPアドレス数の関係等)についても十分な検討がなされていないのが現状である。本論文では、これまでの研究を補完・拡張するために、PCAに基づく異常検知アルゴリズム「ADMIRE」を提案する。ADMIREのキーとなるアイデアは、3段階のスケッチと適応的なパラメータ設定を用いることで、検出性能の向上と実際の利用を容易にすることである。我々は、太平洋横断リンクから取得した縦断的なトラフィックトレースを用いて、ADMIREの有効性を評価する。本論文の主な成果は以下の通りである。(1)計測したトラフィックに含まれるIPアドレス数と適切なスケッチサイズとの相関を明らかにする。この関係を利用してスケッチサイズのパラメータを設定する。(2) ADMIREは従来のPCAに基づく検出器や異なる理論的背景に基づく他の検出器を凌駕する.(3) ADMIREが報告する異常の種類は、入力として選択されるトラフィック特徴量に依存する。さらに、複数のトラフィック特徴を単純に集約すると、検出性能が劣化することを見出した。© 2012 Elsevier B.V. All rights reserved.