L-029
シグネチャ型IDSとアノマリ型IDSの組み合わせによる未知の異常検出

◎谷澤俊樹・青木茂樹・宮本貴朗（大阪府大）

近年，ネットワークへのサイバー攻撃を検出するために，侵入検知システム(IDS)が広く用いられている．一般によく用いられているシグネチャ型IDSでは，登録されていないパターンの攻撃は検出できない．一方，アノマリ型IDSでは正常状態を定義することが難しい．そこで本稿では，アノマリ型IDSとシグネチャ型IDSを組み合わせて異常を検出する手法を提案する．まず，トラ フィックデータから特徴量を抽出してクラスタリングする．次に，各クラスにどのような攻撃が含まれるかをシグネチャ型IDSにより調べる．そして，新たに観測されたトラフィックがどのクラスに分類されるかを識別することで異常を検出し，検出した異常の種類を推定する．