The "targeted attacks" especially to the government and the companies increase in recent years. Such unknown attacks are difficult to detect by signature-based IDSs, and it is said that anomaly-based IDS can detect them effectively. In this study, we investigated the applicability of an existing anomaly detection method to the practical environment. The method is classified to the anomaly-based method and it uses the degree of deviation from the normal state. In the method, at first, the features of the normal state is extracted by clustering normal traffic parameters using k-means method. Then, it calculates the degree of deviation from the normal state for the newly observed traffic. We implemented the method using the R and Ruby. Then, we apply it to detect anomalies using the 1999 Darpa Intrusion Detection Data Set. Since the k-means method requires the number of clusters decide before clustering, the existing method uses the parameter R(k)to find the approproate number. The literature, describes that R(k) will converge when the number of the cluster k increases, and k will be the optimal when R(k) is within (e) of the converged value. However, R(k) did not converge with the Data set. Therefore, we will compare the fixed k value used in the existing methods and the x-means method which automatically determines the appropriate k value.%近年,中央省庁や企業などへの標的型攻撃が増加している.標的型攻撃のような未知の攻撃にはアノマリ型の検知手法が有効であり重要になってきている.本稿では,アノマリ型に分類される既存手法の中で,正常状態からの逸脱度合いによる異常検知手法について,実環境への適用可能性について調査を行った.調査した手法では,正常なトラフイツクパラメータをクラスタリングすることによって正常状態の特徴を抽出する.その後新たに観測したトラフィックパラメータについて正常状態の特徴からの逸脱度合いを算出し,異常を検出する.本稿では既存手法をRubyとRで実装し,侵入検知データセットである1999 Darpa Intrusion Detection Data Setを用いて異常検知を試みた.k-means法はクラスタ数の初期値を設定する必要があるため,既存手法ではクラスタ数を決定するためにパラメータR(k)を用いている.既存手法ではクラスタ数の増加に伴ってR(k)が収束し,収束値付近のクラスタ数を採用することで最適なクラスタ数が得られると述べられているが,実データでは収束しなかった.そこで,既存手法で用いられているクラスタ数と,適切なクラスタ数を自動的に決定するx-means法を用いた場合について比較を行った.
展开▼
