AIBR プレミアム
拓海さん、最近うちの現場で「DDoSを見つけられるAIを入れたら」と言われましてね。ただ、従来の学習型の話ばかりで、未知の攻撃にどう対応するのかがよく分からないんです。今回の論文はそこを変えそうですか?
素晴らしい着眼点ですね!大丈夫、一緒に整理すれば見えてきますよ。今回の研究は「外れ値検出(outlier detection)」を使って、通常とは違う通信の流れを見つける手法を検証しているんですよ。要点は3つで、未知攻撃に強い、データ不均衡に耐える、教師データを大量に必要としない、です。
なるほど。しかし現実問題として、うちのような中小のネットワークで試すと誤検知ばかり出て現場が混乱するのではと心配です。実運用での利点・欠点を端的に教えてください。
良い質問ですよ。簡潔に言うと利点は、未知の異常を検出できる点と、攻撃が極端に少ない不均衡な状況でも比較的安定する点です。欠点は、教師ラベルがないため“何が攻撃か”を人が確認する工程が残ることと、特徴量設計や閾値調整が運用負荷になることです。要点は監視の自動化ではなく、人的確認の補助が主目的である点です。
これって要するに、知らない攻撃を見つけるための“異常検知のフィルター”を先にかけて、その候補だけ人が判断する、ということですか?
その通りですよ!まさに要点はそれです。具体的には自動で候補リストを作り、現場担当が確認する運用設計が合うんです。要点3つで言えば、1) 監視負荷の先鋭化、2) 未知攻撃の早期検出、3) ラベル不足の場面でも運用可能、です。
学術的にはどんな手法が候補になるのでしょうか。Isolation ForestとかOne-Class SVMみたいなのを聞いたことがありますが、どれが現実向けですか?
専門用語、素晴らしい着眼点ですね!簡単に言うと、Isolation Forest(アイソレーションフォレスト)はランダムに分割して孤立しやすい点を見つける手法で、計算が速くて大規模データ向けです。One-Class SVM(ワン・クラス・SVM)は境界を学習して外れ値を判定しますが、パラメータ調整が運用で難しいです。要点3つにまとめると、計算コスト、調整の難度、データの次元性が選定の鍵です。
現場で試すには、データをどう準備すればいいですか。特徴量って現場のログをそのまま使えば良いのか、それとも前処理が必要ですか?
いい質問ですよ。ログをそのまま使うのは避けたほうが良いです。通信の流れに関する要約指標、例えばフロー継続時間(Flow.Duration)、順方向のパケット合計(Tot.Fwd.Pkts)、逆方向のパケット合計(Tot.Bwd.Pkts)、最大パケット長・最小パケット長などを特徴量として整えます。要点3つで言えば、1) 不要なノイズ除去、2) 意味ある要約量の作成、3) 正規化や欠損処理の実施、です。
分かりました。では、これを実際にパイロット導入するとして、最初の評価指標は何を見れば良いですか。投資対効果の観点から教えてください。
大事なポイントですね。投資対効果を評価するには、誤検知率(false positive)と検出率(true positive)を両方見る必要がありますが、運用コストを加味すると「人が確認する件数の削減」と「重大インシデントの早期検出」の二つが最優先のKPIです。要点3つは、1) 担当者の確認工数削減、2) インシデント未然防止の期待値、3) 初期運用コストの回収計画、です。
よし、まとめます。外れ値検出を使ってまずは候補を自動であげ、その候補を現場の人が確認して対応すればいい。初期は人手が要るが、運用が回れば監視負荷が減り、未知攻撃にも気づけるということですね。理解しました、ありがとうございます。
