AIBR プレミアム
拓海先生、最近部下が「GANでネットワークのデータを作れば検知器の評価が簡単になる」と言うのですが、正直ピンと来ません。そもそもGANって何ですか、実務でどう使えるのですか。
素晴らしい着眼点ですね!Generative Adversarial Networks (GANs) — 敵対的生成ネットワークとは、一言で言えば「本物そっくりの偽物」を作る仕組みです。画像で本物そっくりの絵を作るのと同じ考え方で、ネットワークの流量データも真似できますよ。
それは面白い。しかし、我々の現場のデータはIPアドレスやポートといった数字以外の「カテゴリ情報」が混ざっています。GANは連続値しか扱えないと聞きましたが、そこをどうするのですか。
大丈夫、一緒にやれば必ずできますよ。要点は三つです。第一に、カテゴリや数値を連続値に変換する前処理を工夫すること。第二に、生成器(Generator)と識別器(Discriminator)を適切に学ばせて内部依存関係を捉えること。第三に、出来上がったデータをドメイン知識で評価することです。
これって要するにGANで本物のネットワーク流量を生成できるということ? 投資対効果を考えると、どれだけ現実に近いデータが得られるのかが肝心です。
その通りです。ここで紹介する研究は三つの前処理を提案し、実データ(CIDDS-001)を用いて評価しています。実務目線では、本物に近いデータが取れれば侵入検知システム(NIDS: Network-based Intrusion Detection System ネットワークベース侵入検知システム)の評価や学習データの拡張に直接効きますよ。
具体的にはどんな前処理ですか。現場のIT担当に説明できる簡単な比喩で教えてください。
いい問いですね。比喩で言えば、料理の下ごしらえです。一つはIPやポートをそのまま数値として扱い正規化する方法、これは素材を丸ごとミキサーにかけるイメージです。二つ目はカテゴリをバイナリで展開する方法で、これは具材を小分けにして個別に扱うようなものです。三つ目はテキストやラベルを埋め込みで連続空間に写す方法で、これは調味料の配合を数値化する感じです。
導入のリスクや注意点はありますか。偽データで学ばせることで誤った検知が起きたりしませんか。
重要な懸念です。要点は三つあります。第一、生成データは補助であり本番データの代替にはしないこと。第二、生成方法のバイアスを評価テストで確認すること。第三、ドメイン知識を使った品質テストを必ず実施することです。研究はこれらを意識した評価手法も提示しています。
分かりました。整理すると、GANで現実に近い流量を作れて、カテゴリ情報の扱い方を工夫し、品質検査を入れれば現場で使えるという理解でよろしいですか。私の言葉で言うと、「前処理でカテゴリをうまく数に直し、その上でGANに学習させ、出来上がりを業務目線で検査することで初めて実運用に耐えるデータが得られる」ということですね。
