A New Multi Classifier System using Entropy-based Features in DDoS Attack Detection
という論文を読んだのでめっちゃざっくり内容を紹介していきます。
内容
機械学習でDDoS攻撃を判定する内容です。Smurfなどの通常の大量アクセスのDDoS攻撃、Slowlorisなどの少ないアクセスのDDoS攻撃の両方を判別できるらしいです。
エントロピーに基づく特徴量、複数の分類器を使用するあたりが特徴的なところでしょうか。
手法
1. パケットの取得
60秒ごとにパケットを取得する
2. 特徴量取得
特徴量はパケットのIPアドレス、ポート番号、MACアドレス、パケット長、プロトコルなどのエントロピーです。また、TCPパケットのシーケンス番号やウィンドウサイズも含まれます。
また、送信元・宛先IPアドレス、ポート、MACアドレスの分離の割合も特徴量として使用しているのですが、これについてはそこまで理解していません、すみません。
3. 分類する
RNN、多順パーセプトロン、決定木の3つの分類器で識別します。分類性能の順はRNN > 多重パーセプトロン > 決定木でした。
大量アクセスはRNNが他より性能が5%程度高いが、少ないアクセスの分類性能はあまり差がありませんでした。
複数の分類器を使うことで過学習を抑制し分類性能を上げています。
分類性能など
大量アクセスのDDoS判定はF値が85〜95%でトータルで約90%、少ないアクセスの判定は50〜65%で平均約60%でした。
大量アクセスが特徴的なのは容易に想像がつきますが、少ないアクセスの攻撃は特徴が少ないのか分類が難しいようです。
感想
やはり大量アクセスのような特徴が容易に分かるのは分類しやすく、少ないアクセスの攻撃のような特徴がわかりにくいものは分類性能が落ちますね。
分類に効果的な特徴量を人間が分析などして選択する必要があると感じました。
分類器の性能は1つ1つそこまで変わらないのでやはり特徴量の選び方が非常に重要ですね。
英語論文は英語の勉強にもなるし技術も知れて一石二鳥だと思います!普通の英語の勉強が苦痛なエンジニアの方にオススメです