AIBR プレミアム
拓海先生、最近部下に「侵入検知にAIを使うべきだ」と言われまして、正直何から手を付けていいか分かりません。これって本当にうちの現場で効果がありますか。
素晴らしい着眼点ですね!大丈夫、一緒に整理すれば必ずできますよ。まず要点は3つで、何を監視するか、時間情報をどう扱うか、結果の解釈と運用に落とし込むことです。
時間情報をどう扱うか、ですか。うちの現場はパケットの山とログがあって、時間の刻みがバラバラで何が正常かもよく分からないのです。
いい質問です。Continuous Time Bayesian Network(CTBN、連続時間ベイジアンネットワーク)は、タイムスタンプの刻みを固定せずに変化の速さを直接扱える道具なんですよ。刻みで区切らないので、バースト的な変動も扱いやすいのです。
うーん、刻みを固定しない、と言われてもピンと来ませぬ。要するに、時間の間隔を気にせずに「普通」と違う動きを見つけられるということですか。
その通りですよ。要点を3つで言えば、1)時間刻みを決めないので細かな異常を見逃しにくい、2)ネットワークデータとシステムコールログという異なる種類のデータにも共通の枠組みで対応できる、3)確率モデルなので発見の確信度が出るため運用上の判断がしやすい、ということです。
なるほど、確率モデルなら「怪しい度合い」が出るのは助かります。ただ、うちの現場に導入する場合のコストと効果の見積もりはどう考えればよいですか。
そこは現実的な視点が重要です。まず最低限必要なのは正常時のデータ収集と、それを学習するための計算資源です。次に運用面では誤検出を扱う仕組みと、検出結果を現場が使える形に変換する工程が要ります。投資対効果は誤検出対応コストと検出で防げる損害の比較で評価しますよ。
それだと現場の負担が大きくなるのではないでしょうか。現場の人はクラウドも苦手で、ログの整備も進んでいません。最初に何をやれば導入に耐えうるデータが集まりますか。
最小限のステップは3つです。1)まずは現場で既に取得しているログやトラフィックをそのまま一定期間保存すること、2)そのデータからまずは「正常パターン」を学習すること、3)早期段階は人手で判定してモデルの出力を確認する運用にすること。この段階で負担を抑えつつ効果を測れますよ。
なるほど。その学習は誰がやるのですか。外注するとコストが跳ね上がるでしょうし、内製だと時間がかかります。
最初は外部の技術支援で導入スピードを確保し、並行して現場の担当者に運用を移すのが現実的です。私はいつも、早期に成功体験を作って現場の信頼を得ることを勧めています。成功体験が現場の学習を促し、やがて内製化が進みますよ。
分かりました。最後に要点を整理すると、CTBNで時間をそのまま扱い、正常モデルを作って確率的に異常を検出し、誤検出対応を運用に組み込む、これで合っていますか。自分の言葉で言うと、要するに時間を無視しない統計モデルで異常を見つけて、まずは外注で立ち上げて現場へ落とし込む、ということですね。
素晴らしい要約です!その認識で間違いありませんよ。大丈夫、一緒にやれば必ずできますから、次は現場のログ取得状況を一緒に確認しましょう。
