博士論文審査結果報告書
4
0
0
全文
(2) 本論文は、Genetic Network Programming-based Class Association Rule Mining(GNP-CARM)の Intrusion Detection(ID)への展開に関するものである。 具体的には、インターネットコネクションデータと GNP-CARM を使用してイン ターネットのアクセスに関するクラス相関ルール群を抽出し、これらのルール群 からコネクションデータが正常であるか、既知の Intrusion であるか、未知の Intrusion であるかを識別する方式を検討している。GNP-CARM の ID への展開 では、 まず、 GNP-CARM を使用して抽出された 2 種類のルール群(正常ルール群、 既知 Intrusion ルール群)とコネクションデータとの平均マッチング度(正常平均 マッチング度、既知 Intrusion 平均マッチング度)を計算する。次に、多くの属 性から構成される多次元のコネクションデータを上記平均マッチング度から構成 される 2 次元空間に写像する。これにより、複雑な多次元コネクションデータの 識別を 2 次元空間上で実現している。 ID の分野では、既知の Intrusion の検知を Misuse Detection(MD)、未知の Intrusion の検知を Anomaly Detection(AD)と呼んでいる。本論文では、上記 2 次元平均マッチング度空間への写像を前提に、クラス相関ルールの抽出、抽出し たルールのプルーニングおよび 2 次元平均マッチング度空間上でのコネクション データの識別の各課題について、新しいアルゴリズムを提案し評価している。具 体的には、①GNP の判定ノードに Fuzzy 論理を使用する Fuzzy GNP-based Class Association Rule Mining(Fuzzy GNP-CARM)、②平均マッチング度と Genetic Algorithm(GA)を利用する 2 段階ルールプルーニング、③2 次元平均マッ チング度空間上で MD と AD を同時に行う Hybrid Classification、④K 最近傍計 算と正常、MD および AD の各クラスタの重心までの距離によりコネクションデ ータの識別を行う Distance-based Classification、⑤正常および既知の Intrusion コネクションデータを複数のサブクラスタに分け、これらにガウス関数を設置す る こ と に よ り コ ネ ク シ ョ ン デ ー タ の 識 別 を 行 う Gaussian Function-based Classification の各方式を提案しこれらの有効性を検証している。 第 1 章では、コネクションデータの ID を解説し、GNP-CARM によるルール の抽出と平均マッチング度空間上でのコネクションデータの識別が ID にとって 有効であるという着想に至った経緯および期待できる効果を従来方式と比較しな がら述べ、本論文の内容を要約している。 第 2 章では、コネクションデータの正常平均マッチング度と既知 Intrusion 平 均マッチング度を計算し、この 2 次元空間上で正常、MD さらには AD までも同 時に識別を行う第 3 章以降の識別の基本となる Hybrid Classification を提案し評 価している。ルールの抽出に当たっては、正常と既知の Intrusion を含む訓練時 のコネクションデータの属性から GNP の遷移によりルールの特性を計算する GNP-CARM を使用して、正常および既知の Intrusion に関するルール群を抽出 している。Hybrid Classification では、平均マッチング度の平均と標準偏差を計 算し、コネクションデータの平均マッチング度のばらつきを考慮して 2 次元空間 2.
(3) を正常、既知 Intrusion および未知 Intrusion 領域に分割する方式を提案してい る。 シミュレーションでは、冗長なデータを含む KDD Cup 1999 インターネットコ ネクションデータを使用し、MD と AD を同時に行う Hybrid Classification と MD と AD を個別に行う従来方式を比較した結果、Hybrid Classification の Detection Rate(DR), Accuracy(ACC), Positive False Rate(PFR), Negative False Rate(NFR)が、それぞれ、約 95.8%, 90.2%, 4.4% , 3.8%であるのに対して、 従来方式の DR, PFR, NFR は、それぞれ、約 90.7%, 11.2%, 5.2%であり、Hybrid Classification が優れていることを明らかにしている。 第 3 章では、更なる識別性能の向上を図るため、冗長なルールをプルーニング する方式を提案し評価している。プルーニングの効率を上げるため、初めに、訓 練データ群との平均マッチング度が低いルールを大まかにプルーニングし、次に、 DR, ACC, PFR および NFR から構成される適合度を持つ GA を使用して、残り のルールのプルーニングを行う 2 段階ルールプルーニングを採用している。 シミュレーションでは、KDD Cup 1999 のインターネットコネクションデータ を利用して GNP-CARM により抽出したルールのプルーニングを行い、Hybrid Classification を使用してプルーニングの効果を検討している。その結果、2 段階 ルールプルーニングにより DR, ACC, PFR, NFR が、それぞれ、約 2.0%, 5.3%, 54.4%, 45.3%向上することを明らかにしている。従って、第 4 章以降のシミュレ ーションでは 2 段階ルールプルーニングを採用している。 第 4 章では, GNP の判定ノードに Fuzzy 論理を使用する Fuzzy GNP-CARM を 利用して、連続値を持つ属性を閾値で処理する従来方式の Sharp Boundary Problem を解決し、より多くのルールを抽出することにより識別性能の向上を図 っている。 シミュレーションでは、KDD Cup 1999 のインターネットコネクションデータ を利用して Fuzzy GNP-CARM により抽出したルールのプルーニングを行い、 Hybrid Classification を使用して Fuzzy 判定ノードの効果を検討している。その 結果、Fuzzy GNP-CARM の DR, ACC, PFR, NFR は GNP-CARM より、それぞ れ、約 1.5%, 2.5%, 87.2%, 37.0%向上することを明らかにしている。従って、第 5 章以降のシミュレーションでは Fuzzy GNP-CARM を採用している。 第 5 章と第6章では、正常、MD および AD を同時に識別する Hybrid Classification を基に新しい識別方式を提案し評価している。第 5 章では、識別 性能の向上を図るため、初めに、2 次元平均マッチング度空間上で K 最近傍計算 を行いコネクションデータが正常か、あるいは、Intrusion かの大まかな識別を行 う。次に、正常および MD コネクションデータのクラスタの重心, さらには、こ れらの重心から計算した AD の重心を利用して、コネクションデータの厳密な識 別を行う 2 段階 Distance-based Classification を提案し評価している。 シミュレーションでは、冗長なデータを除いた NSL-KDD インターネットコネ 3.
(4) ク シ ョ ン デ ー タ を 使 用 し 、 Distance-based Classification と Hybrid Classification の比較を行っている。その結果、Distance-based Classification の DR, ACC, PFR, NFR は、それぞれ、約 84.3%, 79.7%, 16.8%, 14.9%であり、 Hybrid Classification の約 83.0%, 72.0%, 20.0%, 14.5%と比較して NFR では若 干劣るものの、全体的には Distance-based Classification が優れていることを明 らかにしている。 第 6 章では、Fuzzy GNP-CARM を利用した ID に特有な、正常、MD および AD コネクションデータのクラスタのオーバラップ問題を解決し識別性能の向上 を図るため、2 次元平均マッチング度空間上の正常および MD コネクションデー タを複数のサブクラスタに分けている。その後、これらに GA で最適化されたガ ウス関数を設置しコネクションデータの識別を行う Gaussian Function-based Classification を提案し評価している。識別では、正常サブクラスタのガウス関数 の値が既知 Intrusion サブクラスタのガウス関数の値より大きければ正常、そう でなければ、Intrusion と大まかな識別を行い、その後、ガウス関数の値を閾値と 比較しコネクションデータの厳密な識別を行っている。 シミュレーションでは、NSL-KDD インターネットコネクションデータを使用 し、Gaussian Function-based Classification、Distance-based Classification, Hybrid Classification の 比 較 を 行 っ て い る 。 Gaussian Function-based Classification の DR, ACC, PFR, NFR が、それぞれ、約 87.2%, 84.2%, 11.3%, 14.0%であり、第5章の結果と比較することにより Gaussian Function-based Classification が最も優れた識別方式であることを明らかにしている。 第 7 章では、本論文で提案し評価を行った GNP-CARM を ID に展開する新し いアルゴリズムの研究成果を総括している。 以上、本論文では、Genetic Network Programming-based Class Association Rule Mining をインターネットコネクションデータの Intrusion Detection に展 開するためのクラス相関ルールの抽出、抽出したルールのプルーニングおよび 2 次元平均マッチング度空間上でのコネクションデータの識別に関する各種のアル ゴ リ ズ ム の 提 案 と 評 価 を 行 っ た も の で あ り 、 イ ン タ ー ネ ッ ト の Intrusion Detection の発展に寄与するところが大である。よって、本論文は博士(工学) の学位論文として価値あるものと認める。 2012 年 12 月 21 日 主査 早稲田大学 教授. 博士(情報工学)(九州工業大学)古月敬之. 早稲田大学 教授. 工学博士. (早稲田大学). 吉江修. 早稲田大学 教授. 博士(工学). (早稲田大学). 藤村茂. 早稲田大学 名誉教授. 工学博士. 4. (九州大学). 平澤宏太郎.
(5)
関連したドキュメント
複数ある場面を設定し,どちらがより好まれるのかを確かめる方法で行われ
平成 15 年度共同研究費 ○ 工学系研究科電気工学専攻 教官 研究題目 委託者 日髙 邦彦 革新的な非接触高電圧絶対値計測技術の開発調査 (財)電力中央研究所
会社名 株式会社 J&C care 代表取締役 執行役員:田村政人 所在地 〒105-0022 東京都港区海岸1-1-1-2711 アクティ汐留 TEL 03-6432-4534 FAX
・「仮想スマートハウス」は、ブース内に住宅を模して生活者が生活空間を実感でき
条件付き採録を受け取ったら 本会の論文誌ジャーナル/ JIP /トランザク ションへ投稿された論文は,
発達支援部会 平成
の理論が成熟するのと同時期なのは決して偶然ではない。抽象的な理念への志向
[r]
