SlideShare a Scribd company logo
1 of 21
Download to read offline
教師なしGNNによる
IoTデバイスの異常通信検知の検討
★近藤 真暉(株式会社 ARISE analytics)
奥井 宣広(株式会社 KDDI総合研究所)
2023.01.26 @ SCIS2023
©2023 ARISE analytics Reserved.
本研究成果は、国立研究開発法人情報通信研究機構の委託研究(05201)により得られたものです。
発表概要
©2023 ARISE analytics Reserved. 1
【本研究の概要】
IoTデバイスの通信データを対象とした異常通信検知を目的とした教師なしGNNを提案
【本研究の成果】
① Metric Learning を用いた教師なし学習によるグラフの埋め込み手法の提案
② 異常通信検知向け公開データセットを用い、本手法により汎用的な性能が得られていることを確認
Source
IP/Port
Destination
IP/Port
Device Network
1b
2b
1a
1c
2c
Create Graph
➡ ➡
Sub-Graph Extraction
➡
Graph
Embedding
Model
Anomaly Detection with kNN
目次
©2023 ARISE analytics Reserved. 2
提案手法
先行研究
実験
まとめ
背景
背景 - IoTデバイスを対象としたサイバーセキュリティ
©2023 ARISE analytics Reserved. 3
図:『総務省 情報通信白書(R3版)(総務省 2021)』をもとに一部加工
IoTデバイスの増加に伴い、IoTデバイスを対象としたサイバー攻撃が増加傾向にある
世界のIoTデバイス数の推移及び予測 IoTデバイスを対象としたサイバー攻撃(マルウェアMiraiの例)
IoTデバイスは台数・種類の多さから手動によるセキュリティ対策が困難
↓
機械学習を用いたセキュリティ対策(異常通信検知)の自動化が不可欠
Mirai botmaster C&C Server 感染IoTデバイス DDoS攻撃
目次
©2023 ARISE analytics Reserved. 4
提案手法
先行研究
実験
まとめ
背景
異常通信検知
©2023 ARISE analytics Reserved. 5
デバイス間で行われる通信を観測し、正常とは異なる通信が発生したときに自動で検知する手段
機械学習を用いた異常通信検知は、「教師なし」ベースの手法と「教師あり」ベースの手法に大別される
デバイス間の通信を観測 異常通信を検知したら対策
×
教師なし異常通信検知
教師あり異常通信検知
サイバー攻撃は日進月歩であり、過去とは異なる異常通信が発生する可能性が高く、
教師なし異常通信検知の重要性が高まっている
⚫ 正常通信を用いて学習
⚫ 正常通信と異なる異常通信を
検知する
⚫ 未知の異常通信に対応可能
⚫ 正常通信と異常通信を用いて
学習
⚫ 異常通信の検知に加え、異常
通信の種類も分類可能
⚫ 既知の異常通信のみを対象
グラフニューラルネットワーク(GNN)による異常通信検知
©2023 ARISE analytics Reserved. 6
従来の機械学習アプローチに対し、近年GNNを用いた異常通信検知が提案されている
利点:
- 複数の通信データを統合して処理できるため、従来手法に比べて性能向上する例が多い
欠点:
- 教師ありの手法が中心であり、未知の異常に対して十分な検知精度が得られない可能性がある
Source
IP/Port
Destination
IP/Port
Device Network
1b
2b
1a
1c
2c
Create Graph
➡ ➡
Sub-Graph Extraction
➡
Graph
Embedding
Model
Anomaly Detection
(Supervised)
E-GraphSAGEによる教師あり異常通信検知の例
本研究の位置づけ
©2023 ARISE analytics Reserved. 7
GNNを教師なし異常通信検知に適用できるよう改良し、活用の幅を広げる
GNN
ML
教師あり異常通信検知 教師なし異常通信検知
• [1][2]など
• [4][5]など
• [3]など
• 提案手法
[1] Distributed anomaly detection for industrial wireless sensor networks based on fuzzy data modelling(JPDC 2013)
[2] On the symbiosis of specification-based and anomaly-based detection (Computers & Security 2010)
[3] Hyperspherical cluster based distributed anomaly detection in wireless sensor networks (JPDC 2013)
[4] E-GraphSAGE: A Graph Neural Network based Intrusion Detection System for IoT(NOMS 2022)
[5] Graph-based Solutions with Residuals for Intrusion Detection: the Modified E-GraphSAGE and E-ResGAT Algorithms(ArXiv 2021)
目次
©2023 ARISE analytics Reserved. 8
提案手法
先行研究
実験
まとめ
背景
提案手法:Unsupervised E-GraphSAGE
©2023 ARISE analytics Reserved. 9
[4] E-GraphSAGE: A Graph Neural Network based Intrusion Detection System for IoT(NOMS 2022)
E-GraphSAGE[4]をベースに、Metric Learningを導入することで教師なし学習を実現
本手法は3つの手順に分かれる
Source
IP/Port
Destination
IP/Port
Device Network
1b
2b
1a
1c
2c
Create Graph
➡ ➡
Sub-Graph Extraction
➡
Graph
Embedding
Model
Anomaly Detection with kNN
手順① 通信データからのグラフ構築 手順② ノード埋め込みモデルの学習 手順③ 異常検知モデルの学習
E-GraphSAGEベース 今回の改良部分
手順① 通信データからのグラフ構築
©2023 ARISE analytics Reserved. 10
ホストをノードに、ホスト間通信をエッジとみなすことで、グラフを用いた通信表現が可能
ただし、一般的なGNNはノードに特徴(通信データ)が保有されていることを前提としている
➡ノードに通信データが含まれるように変換を行う
Source
IP/Port
Destination
IP/Port
1
2
3
a
b
c
Source
IP/Port
Destination
IP/Port
= ⇔
1b
2b
3b
1a
1c
2c
Device Network Device Graph Swap Edges and Nodes
3c
1b
2b
1a
1c
2c
通信データはエッジに格納されており
一般的なGNNでは処理が難しい
通信データ
通信データ
ノードとエッジを入れ替えることで、
ノードに通信データを格納することが可能
これにより、一般的なGNNでの処理が可能になる
手順② ノード埋め込みモデルの学習 – Metric Learning
©2023 ARISE analytics Reserved. 11
教師情報を用いないMetric Learningを導入し、教師なしによるノード埋め込みモデルを学習
近くなるように学習
𝑧𝑢
𝑧𝑣𝑛
𝑧𝑣
𝐹(𝑆𝑢)
𝐹(𝑆𝑣)
𝐹(𝑆𝑣𝑛
)
アンカー・ポジティブ・ネガティブを用い、
以下を実現する埋め込みモデル 𝐹(𝑥) を学習
アンカー𝒖-ポジティブ𝒗 :近くなる
アンカー𝒖-ネガティブ𝒗𝒏 :遠くなる
Metric Learningの損失関数(Triplet Loss)
遠くなるように学習
アンカー
ポジティブ
ネガティブ
手順② ノード埋め込みモデルの学習 – ノードの選択
©2023 ARISE analytics Reserved. 12
※ 隣接ノードからは似たサブグラフが、遠方ノードからは異なるサブグラフが構築される、という考え方に基づく
選択したアンカーノードに対し、構成されるサブグラフが似る/似ないようにポジティブ/ネガティブを選択し、ノード
を起点とするサブグラフを埋め込むモデルを学習
k-hop
近くなるように学習
𝑢
𝑣
𝑣𝑛
𝑧𝑢
𝑧𝑣𝑛
𝑧𝑣
𝑆𝑢
𝑆𝑣
𝑆𝑣𝑛
𝐹(𝑆𝑢)
𝐹(𝑆𝑣)
𝐹(𝑆𝑣𝑛
)
① 埋め込み対象 アンカーノード𝒖 を決定
② ポジティブサンプルである隣接ノード𝒗 と
ネガティブサンプルである遠方ノード𝒗𝒏を決定
③ それぞれのノードに対し、k-hop
samplingを行いサブグラフを構築
(k=2の例)
④ サブグラフの埋め込みを学習
アンカーノード𝒖-隣接ノード𝒗 :近くなる
アンカーノード𝒖-遠方ノード𝒗𝒏 :遠くなる
遠くなるように学習
ポジティブ
ネガティブ
アンカー
手順③ 異常検知モデルの学習
©2023 ARISE analytics Reserved. 13
※ 埋め込みモデルの学習データと異常検知モデルの学習データは同一のものを用いる
得られたノードの埋め込み特徴(通信データの埋め込み特徴)を用い、異常検知モデルを学習
異常検知モデルは、Metric Learningと同様に距離計算ベースの手法であるkNN Anomaly Detectorを採用
検知対象サンプルに対し、N個の近隣サンプルとの距離を算出
距離が事前に学習した閾値を上回った場合は異常とみなす
(k=3の例)
正常サンプルの処理例 異常サンプルの処理例
最大距離 : 4.2 最大距離 : 14.7
目次
©2023 ARISE analytics Reserved. 14
提案手法
先行研究
実験
まとめ
背景
実験設定
©2023 ARISE analytics Reserved. 15
※1 E-GraphSAGEと同様の前処理を行うため、IPアドレスおよびポートは除去して用いた。
※2 すべての種類の異常通信をまとめてひとつの異常通信として扱う。
提案手法の効果を確認するため、IoTの通信データによる公開データセットを用いた実験を実施
【データセット内訳】
【比較対象】
① 通信データの特徴表現(埋め込み前の既存特徴 / 提案手法 )
② 異常検知アルゴリズム(kNN / AutoEncoder / One Class SVM)
【評価方法】
① t-SNEを用いた埋め込み特徴の可視化
② 二値分類による通信異常検知(正常通信か異常通信※2かを分類)とROCAUCを用いた評価
データセット
異常通信の種類
数
正常通信の割合
(%)
既存特徴の次元※1
訓練データの件数
(正常通信のみ)
検証データの件数
(異常通信含む)
テストデータの件数
(異常通信含む)
UNSW-NB15 9 96.83 43 485,001 5,000 210,000
The TON_IoT 9 65.07 39 316,043 5,000 210,000
実験① 埋め込み特徴の可視化
©2023 ARISE analytics Reserved. 16
提案手法によるノード埋め込み(通信データ埋め込み)結果をt-SNEで可視化
UNSW-NB15 The TON_IoT
青色:正常通信から生成されたサンプル
それ以外の色:異常通信から生成されたサンプル
同一種別の通信によるまとまりが確認できている
↓
提案手法により、正常通信と異常通信を分離できるような特徴表現を学習できている
実験② 通信異常検知
©2023 ARISE analytics Reserved. 17
提案手法によるノード埋め込み(通信データ埋め込み)結果と異常検知アルゴリズムの組み合わせを検証
比較対象として、通信データに対し異常検知アルゴリズムを適用したケース(RAW)を算出
各データセットで高精度であったのはRAW(AE)/RAW(kNN)
ただし、平均値は提案手法(kNN)が最も高精度であり、データセット間の差分(ばらつき)も最も小さい
↓
本実験の範囲において、Unsupervised E-GraphSAGE Embedding Model(kNN)は
データセットによらず汎用的な性能が得られている
↓
↑ ↑
↑
目次
©2023 ARISE analytics Reserved. 18
提案手法
先行研究
実験
まとめ
背景
まとめ
©2023 ARISE analytics Reserved. 19
【本研究の概要】
IoTデバイスの通信データを対象とした異常通信検知を目的に、教師なしGNN異常検知を提案
【本研究の成果】
① Metric Learning を用いた教師なし学習によるグラフの埋め込み手法の提案
② 異常通信検知向け公開データセットを用い、本手法と異常検知手法を組み合わせることで汎用的な性
能が得られていることを確認
【今後の展望】
① ノード埋め込みモデルの学習と異常検知モデルの学習の統合
② 組み合わせる異常検知アルゴリズムの違いによる特性の分析
Best Partner for innovation, Best Creator for the future.

More Related Content

What's hot

GAN(と強化学習との関係)
GAN(と強化学習との関係)GAN(と強化学習との関係)
GAN(と強化学習との関係)Masahiro Suzuki
 
【論文読み会】Autoregressive Diffusion Models.pptx
【論文読み会】Autoregressive Diffusion Models.pptx【論文読み会】Autoregressive Diffusion Models.pptx
【論文読み会】Autoregressive Diffusion Models.pptxARISE analytics
 
【DL輪読会】Scaling Laws for Neural Language Models
【DL輪読会】Scaling Laws for Neural Language Models【DL輪読会】Scaling Laws for Neural Language Models
【DL輪読会】Scaling Laws for Neural Language ModelsDeep Learning JP
 
数学で解き明かす深層学習の原理
数学で解き明かす深層学習の原理数学で解き明かす深層学習の原理
数学で解き明かす深層学習の原理Taiji Suzuki
 
【DL輪読会】SimCSE: Simple Contrastive Learning of Sentence Embeddings (EMNLP 2021)
【DL輪読会】SimCSE: Simple Contrastive Learning of Sentence Embeddings  (EMNLP 2021)【DL輪読会】SimCSE: Simple Contrastive Learning of Sentence Embeddings  (EMNLP 2021)
【DL輪読会】SimCSE: Simple Contrastive Learning of Sentence Embeddings (EMNLP 2021)Deep Learning JP
 
よくわかるフリストンの自由エネルギー原理
よくわかるフリストンの自由エネルギー原理よくわかるフリストンの自由エネルギー原理
よくわかるフリストンの自由エネルギー原理Masatoshi Yoshida
 
自己教師学習(Self-Supervised Learning)
自己教師学習(Self-Supervised Learning)自己教師学習(Self-Supervised Learning)
自己教師学習(Self-Supervised Learning)cvpaper. challenge
 
ベイズ最適化によるハイパラーパラメータ探索
ベイズ最適化によるハイパラーパラメータ探索ベイズ最適化によるハイパラーパラメータ探索
ベイズ最適化によるハイパラーパラメータ探索西岡 賢一郎
 
モデルアーキテクチャ観点からのDeep Neural Network高速化
モデルアーキテクチャ観点からのDeep Neural Network高速化モデルアーキテクチャ観点からのDeep Neural Network高速化
モデルアーキテクチャ観点からのDeep Neural Network高速化Yusuke Uchida
 
[DL輪読会]Bayesian Uncertainty Estimation for Batch Normalized Deep Networks
[DL輪読会]Bayesian Uncertainty Estimation for Batch Normalized Deep Networks[DL輪読会]Bayesian Uncertainty Estimation for Batch Normalized Deep Networks
[DL輪読会]Bayesian Uncertainty Estimation for Batch Normalized Deep NetworksDeep Learning JP
 
モデル高速化百選
モデル高速化百選モデル高速化百選
モデル高速化百選Yusuke Uchida
 
【DL輪読会】The Forward-Forward Algorithm: Some Preliminary
【DL輪読会】The Forward-Forward Algorithm: Some Preliminary【DL輪読会】The Forward-Forward Algorithm: Some Preliminary
【DL輪読会】The Forward-Forward Algorithm: Some PreliminaryDeep Learning JP
 
Tensorflow Liteの量子化アーキテクチャ
Tensorflow Liteの量子化アーキテクチャTensorflow Liteの量子化アーキテクチャ
Tensorflow Liteの量子化アーキテクチャHitoshiSHINABE1
 
深層学習による自然言語処理入門: word2vecからBERT, GPT-3まで
深層学習による自然言語処理入門: word2vecからBERT, GPT-3まで深層学習による自然言語処理入門: word2vecからBERT, GPT-3まで
深層学習による自然言語処理入門: word2vecからBERT, GPT-3までYahoo!デベロッパーネットワーク
 
敵対的生成ネットワーク(GAN)
敵対的生成ネットワーク(GAN)敵対的生成ネットワーク(GAN)
敵対的生成ネットワーク(GAN)cvpaper. challenge
 
“機械学習の説明”の信頼性
“機械学習の説明”の信頼性“機械学習の説明”の信頼性
“機械学習の説明”の信頼性Satoshi Hara
 
ディープラーニングのフレームワークと特許戦争
ディープラーニングのフレームワークと特許戦争ディープラーニングのフレームワークと特許戦争
ディープラーニングのフレームワークと特許戦争Yosuke Shinya
 
全力解説!Transformer
全力解説!Transformer全力解説!Transformer
全力解説!TransformerArithmer Inc.
 
第1回NIPS読み会・関西発表資料
第1回NIPS読み会・関西発表資料第1回NIPS読み会・関西発表資料
第1回NIPS読み会・関西発表資料Takato Horii
 

What's hot (20)

GAN(と強化学習との関係)
GAN(と強化学習との関係)GAN(と強化学習との関係)
GAN(と強化学習との関係)
 
【論文読み会】Autoregressive Diffusion Models.pptx
【論文読み会】Autoregressive Diffusion Models.pptx【論文読み会】Autoregressive Diffusion Models.pptx
【論文読み会】Autoregressive Diffusion Models.pptx
 
【DL輪読会】Scaling Laws for Neural Language Models
【DL輪読会】Scaling Laws for Neural Language Models【DL輪読会】Scaling Laws for Neural Language Models
【DL輪読会】Scaling Laws for Neural Language Models
 
数学で解き明かす深層学習の原理
数学で解き明かす深層学習の原理数学で解き明かす深層学習の原理
数学で解き明かす深層学習の原理
 
【DL輪読会】SimCSE: Simple Contrastive Learning of Sentence Embeddings (EMNLP 2021)
【DL輪読会】SimCSE: Simple Contrastive Learning of Sentence Embeddings  (EMNLP 2021)【DL輪読会】SimCSE: Simple Contrastive Learning of Sentence Embeddings  (EMNLP 2021)
【DL輪読会】SimCSE: Simple Contrastive Learning of Sentence Embeddings (EMNLP 2021)
 
よくわかるフリストンの自由エネルギー原理
よくわかるフリストンの自由エネルギー原理よくわかるフリストンの自由エネルギー原理
よくわかるフリストンの自由エネルギー原理
 
研究効率化Tips Ver.2
研究効率化Tips Ver.2研究効率化Tips Ver.2
研究効率化Tips Ver.2
 
自己教師学習(Self-Supervised Learning)
自己教師学習(Self-Supervised Learning)自己教師学習(Self-Supervised Learning)
自己教師学習(Self-Supervised Learning)
 
ベイズ最適化によるハイパラーパラメータ探索
ベイズ最適化によるハイパラーパラメータ探索ベイズ最適化によるハイパラーパラメータ探索
ベイズ最適化によるハイパラーパラメータ探索
 
モデルアーキテクチャ観点からのDeep Neural Network高速化
モデルアーキテクチャ観点からのDeep Neural Network高速化モデルアーキテクチャ観点からのDeep Neural Network高速化
モデルアーキテクチャ観点からのDeep Neural Network高速化
 
[DL輪読会]Bayesian Uncertainty Estimation for Batch Normalized Deep Networks
[DL輪読会]Bayesian Uncertainty Estimation for Batch Normalized Deep Networks[DL輪読会]Bayesian Uncertainty Estimation for Batch Normalized Deep Networks
[DL輪読会]Bayesian Uncertainty Estimation for Batch Normalized Deep Networks
 
モデル高速化百選
モデル高速化百選モデル高速化百選
モデル高速化百選
 
【DL輪読会】The Forward-Forward Algorithm: Some Preliminary
【DL輪読会】The Forward-Forward Algorithm: Some Preliminary【DL輪読会】The Forward-Forward Algorithm: Some Preliminary
【DL輪読会】The Forward-Forward Algorithm: Some Preliminary
 
Tensorflow Liteの量子化アーキテクチャ
Tensorflow Liteの量子化アーキテクチャTensorflow Liteの量子化アーキテクチャ
Tensorflow Liteの量子化アーキテクチャ
 
深層学習による自然言語処理入門: word2vecからBERT, GPT-3まで
深層学習による自然言語処理入門: word2vecからBERT, GPT-3まで深層学習による自然言語処理入門: word2vecからBERT, GPT-3まで
深層学習による自然言語処理入門: word2vecからBERT, GPT-3まで
 
敵対的生成ネットワーク(GAN)
敵対的生成ネットワーク(GAN)敵対的生成ネットワーク(GAN)
敵対的生成ネットワーク(GAN)
 
“機械学習の説明”の信頼性
“機械学習の説明”の信頼性“機械学習の説明”の信頼性
“機械学習の説明”の信頼性
 
ディープラーニングのフレームワークと特許戦争
ディープラーニングのフレームワークと特許戦争ディープラーニングのフレームワークと特許戦争
ディープラーニングのフレームワークと特許戦争
 
全力解説!Transformer
全力解説!Transformer全力解説!Transformer
全力解説!Transformer
 
第1回NIPS読み会・関西発表資料
第1回NIPS読み会・関西発表資料第1回NIPS読み会・関西発表資料
第1回NIPS読み会・関西発表資料
 

Similar to 教師なしGNNによるIoTデバイスの異常通信検知の検討

Enocean無線センサー用ノード開発事例
Enocean無線センサー用ノード開発事例Enocean無線センサー用ノード開発事例
Enocean無線センサー用ノード開発事例nodered_ug_jp
 
Software for Edge Heavy Computing @ INTEROP 2016 Tokyo
Software for Edge Heavy Computing @ INTEROP 2016 TokyoSoftware for Edge Heavy Computing @ INTEROP 2016 Tokyo
Software for Edge Heavy Computing @ INTEROP 2016 TokyoShohei Hido
 
低遅延Ethernetとファブリックによるデータセンタ・ネットワーク
低遅延Ethernetとファブリックによるデータセンタ・ネットワーク低遅延Ethernetとファブリックによるデータセンタ・ネットワーク
低遅延Ethernetとファブリックによるデータセンタ・ネットワークNaoto MATSUMOTO
 
Self-supervised Learning of Adversarial Example: Towards Good Generalizations...
Self-supervised Learning of Adversarial Example:Towards Good Generalizations...Self-supervised Learning of Adversarial Example:Towards Good Generalizations...
Self-supervised Learning of Adversarial Example: Towards Good Generalizations...harmonylab
 
SegFormer: Simple and Efficient Design for Semantic Segmentation with Transfo...
SegFormer: Simple and Efficient Design for Semantic Segmentation with Transfo...SegFormer: Simple and Efficient Design for Semantic Segmentation with Transfo...
SegFormer: Simple and Efficient Design for Semantic Segmentation with Transfo...harmonylab
 
20170703_04 IoTビジネス共創ラボドローンワークス
20170703_04 IoTビジネス共創ラボドローンワークス20170703_04 IoTビジネス共創ラボドローンワークス
20170703_04 IoTビジネス共創ラボドローンワークスIoTビジネス共創ラボ
 
20181128 ansible juniper-automation_v2
20181128 ansible juniper-automation_v220181128 ansible juniper-automation_v2
20181128 ansible juniper-automation_v2Hiromi Tsukamoto
 
キャリア網の完全なソフトウェア制御化への取り組み (沖縄オープンデイズ 2017) / Telecommunication Infrastructure ...
キャリア網の完全なソフトウェア制御化への取り組み (沖縄オープンデイズ 2017) / Telecommunication Infrastructure ...キャリア網の完全なソフトウェア制御化への取り組み (沖縄オープンデイズ 2017) / Telecommunication Infrastructure ...
キャリア網の完全なソフトウェア制御化への取り組み (沖縄オープンデイズ 2017) / Telecommunication Infrastructure ...KenzoOkuda
 
データセンターネットワークの構成について
データセンターネットワークの構成についてデータセンターネットワークの構成について
データセンターネットワークの構成についてMicroAd, Inc.(Engineer)
 
iBeacon を利用したサービス開発のポイント
iBeacon を利用したサービス開発のポイントiBeacon を利用したサービス開発のポイント
iBeacon を利用したサービス開発のポイントdaisuke-a-matsui
 
これだけは知っておきたい5Gのキホン - 5Gビジネスに必要な基礎知識
これだけは知っておきたい5Gのキホン - 5Gビジネスに必要な基礎知識これだけは知っておきたい5Gのキホン - 5Gビジネスに必要な基礎知識
これだけは知っておきたい5Gのキホン - 5Gビジネスに必要な基礎知識Yasuo Igano
 
Graph Attention Network
Graph Attention NetworkGraph Attention Network
Graph Attention NetworkTakahiro Kubo
 
20200522 Blockchain GIG#7 株式会社NTTデータ山下様資料
20200522 Blockchain GIG#7 株式会社NTTデータ山下様資料20200522 Blockchain GIG#7 株式会社NTTデータ山下様資料
20200522 Blockchain GIG#7 株式会社NTTデータ山下様資料オラクルエンジニア通信
 
Arduino用3gシールドの開発と教育への実践(天良先生)
Arduino用3gシールドの開発と教育への実践(天良先生)Arduino用3gシールドの開発と教育への実践(天良先生)
Arduino用3gシールドの開発と教育への実践(天良先生)Takayori Takamoto
 
Secure architecting on OCI (Oracle Cloud Infrastructure) 2021年3月16日
Secure architecting on OCI (Oracle Cloud Infrastructure) 2021年3月16日Secure architecting on OCI (Oracle Cloud Infrastructure) 2021年3月16日
Secure architecting on OCI (Oracle Cloud Infrastructure) 2021年3月16日Masanori KAMAYAMA
 
Arduino用3gシールド今後の開発・製造・普及に向けて
Arduino用3gシールド今後の開発・製造・普及に向けてArduino用3gシールド今後の開発・製造・普及に向けて
Arduino用3gシールド今後の開発・製造・普及に向けてArduino3G
 
Arduino用3gシールド今後の開発・製造・普及に向けて
Arduino用3gシールド今後の開発・製造・普及に向けてArduino用3gシールド今後の開発・製造・普及に向けて
Arduino用3gシールド今後の開発・製造・普及に向けてTakayori Takamoto
 
IoTビジネス共創ラボ 第4回勉強会(2017 07-03)
IoTビジネス共創ラボ 第4回勉強会(2017 07-03)IoTビジネス共創ラボ 第4回勉強会(2017 07-03)
IoTビジネス共創ラボ 第4回勉強会(2017 07-03)博宣 今村
 

Similar to 教師なしGNNによるIoTデバイスの異常通信検知の検討 (20)

Enocean無線センサー用ノード開発事例
Enocean無線センサー用ノード開発事例Enocean無線センサー用ノード開発事例
Enocean無線センサー用ノード開発事例
 
Software for Edge Heavy Computing @ INTEROP 2016 Tokyo
Software for Edge Heavy Computing @ INTEROP 2016 TokyoSoftware for Edge Heavy Computing @ INTEROP 2016 Tokyo
Software for Edge Heavy Computing @ INTEROP 2016 Tokyo
 
低遅延Ethernetとファブリックによるデータセンタ・ネットワーク
低遅延Ethernetとファブリックによるデータセンタ・ネットワーク低遅延Ethernetとファブリックによるデータセンタ・ネットワーク
低遅延Ethernetとファブリックによるデータセンタ・ネットワーク
 
ifLink[改善版].pdf
ifLink[改善版].pdfifLink[改善版].pdf
ifLink[改善版].pdf
 
Self-supervised Learning of Adversarial Example: Towards Good Generalizations...
Self-supervised Learning of Adversarial Example:Towards Good Generalizations...Self-supervised Learning of Adversarial Example:Towards Good Generalizations...
Self-supervised Learning of Adversarial Example: Towards Good Generalizations...
 
SegFormer: Simple and Efficient Design for Semantic Segmentation with Transfo...
SegFormer: Simple and Efficient Design for Semantic Segmentation with Transfo...SegFormer: Simple and Efficient Design for Semantic Segmentation with Transfo...
SegFormer: Simple and Efficient Design for Semantic Segmentation with Transfo...
 
20170703_04 IoTビジネス共創ラボドローンワークス
20170703_04 IoTビジネス共創ラボドローンワークス20170703_04 IoTビジネス共創ラボドローンワークス
20170703_04 IoTビジネス共創ラボドローンワークス
 
20181128 ansible juniper-automation_v2
20181128 ansible juniper-automation_v220181128 ansible juniper-automation_v2
20181128 ansible juniper-automation_v2
 
キャリア網の完全なソフトウェア制御化への取り組み (沖縄オープンデイズ 2017) / Telecommunication Infrastructure ...
キャリア網の完全なソフトウェア制御化への取り組み (沖縄オープンデイズ 2017) / Telecommunication Infrastructure ...キャリア網の完全なソフトウェア制御化への取り組み (沖縄オープンデイズ 2017) / Telecommunication Infrastructure ...
キャリア網の完全なソフトウェア制御化への取り組み (沖縄オープンデイズ 2017) / Telecommunication Infrastructure ...
 
データセンターネットワークの構成について
データセンターネットワークの構成についてデータセンターネットワークの構成について
データセンターネットワークの構成について
 
iBeacon を利用したサービス開発のポイント
iBeacon を利用したサービス開発のポイントiBeacon を利用したサービス開発のポイント
iBeacon を利用したサービス開発のポイント
 
Aws summit tokyo 2016
Aws summit tokyo 2016Aws summit tokyo 2016
Aws summit tokyo 2016
 
これだけは知っておきたい5Gのキホン - 5Gビジネスに必要な基礎知識
これだけは知っておきたい5Gのキホン - 5Gビジネスに必要な基礎知識これだけは知っておきたい5Gのキホン - 5Gビジネスに必要な基礎知識
これだけは知っておきたい5Gのキホン - 5Gビジネスに必要な基礎知識
 
Graph Attention Network
Graph Attention NetworkGraph Attention Network
Graph Attention Network
 
20200522 Blockchain GIG#7 株式会社NTTデータ山下様資料
20200522 Blockchain GIG#7 株式会社NTTデータ山下様資料20200522 Blockchain GIG#7 株式会社NTTデータ山下様資料
20200522 Blockchain GIG#7 株式会社NTTデータ山下様資料
 
Arduino用3gシールドの開発と教育への実践(天良先生)
Arduino用3gシールドの開発と教育への実践(天良先生)Arduino用3gシールドの開発と教育への実践(天良先生)
Arduino用3gシールドの開発と教育への実践(天良先生)
 
Secure architecting on OCI (Oracle Cloud Infrastructure) 2021年3月16日
Secure architecting on OCI (Oracle Cloud Infrastructure) 2021年3月16日Secure architecting on OCI (Oracle Cloud Infrastructure) 2021年3月16日
Secure architecting on OCI (Oracle Cloud Infrastructure) 2021年3月16日
 
Arduino用3gシールド今後の開発・製造・普及に向けて
Arduino用3gシールド今後の開発・製造・普及に向けてArduino用3gシールド今後の開発・製造・普及に向けて
Arduino用3gシールド今後の開発・製造・普及に向けて
 
Arduino用3gシールド今後の開発・製造・普及に向けて
Arduino用3gシールド今後の開発・製造・普及に向けてArduino用3gシールド今後の開発・製造・普及に向けて
Arduino用3gシールド今後の開発・製造・普及に向けて
 
IoTビジネス共創ラボ 第4回勉強会(2017 07-03)
IoTビジネス共創ラボ 第4回勉強会(2017 07-03)IoTビジネス共創ラボ 第4回勉強会(2017 07-03)
IoTビジネス共創ラボ 第4回勉強会(2017 07-03)
 

More from ARISE analytics

【第3回生成AIなんでもLT会資料】_動画生成AIと物理法則_v0.2.pptx
【第3回生成AIなんでもLT会資料】_動画生成AIと物理法則_v0.2.pptx【第3回生成AIなんでもLT会資料】_動画生成AIと物理法則_v0.2.pptx
【第3回生成AIなんでもLT会資料】_動画生成AIと物理法則_v0.2.pptxARISE analytics
 
【第3回】生成AIなんでもLT会 2024_0304なんでも生成AI_sergicalsix.pptx
【第3回】生成AIなんでもLT会 2024_0304なんでも生成AI_sergicalsix.pptx【第3回】生成AIなんでもLT会 2024_0304なんでも生成AI_sergicalsix.pptx
【第3回】生成AIなんでもLT会 2024_0304なんでも生成AI_sergicalsix.pptxARISE analytics
 
めんどうな環境構築とはおさらば!Dockerの概要と使い方
めんどうな環境構築とはおさらば!Dockerの概要と使い方めんどうな環境構築とはおさらば!Dockerの概要と使い方
めんどうな環境構築とはおさらば!Dockerの概要と使い方ARISE analytics
 
【論文レベルで理解しよう!】​ 欠測値処理編​
【論文レベルで理解しよう!】​ 欠測値処理編​【論文レベルで理解しよう!】​ 欠測値処理編​
【論文レベルで理解しよう!】​ 欠測値処理編​ARISE analytics
 
【論文レベルで理解しよう!】​ 大規模言語モデル(LLM)編​
【論文レベルで理解しよう!】​ 大規模言語モデル(LLM)編​【論文レベルで理解しよう!】​ 大規模言語モデル(LLM)編​
【論文レベルで理解しよう!】​ 大規模言語モデル(LLM)編​ARISE analytics
 
【論文読み会】Signing at Scale: Learning to Co-Articulate Signs for Large-Scale Pho...
【論文読み会】Signing at Scale: Learning to Co-Articulate  Signs for Large-Scale Pho...【論文読み会】Signing at Scale: Learning to Co-Articulate  Signs for Large-Scale Pho...
【論文読み会】Signing at Scale: Learning to Co-Articulate Signs for Large-Scale Pho...ARISE analytics
 
Hierarchical Metadata-Aware Document Categorization under Weak Supervision​ (...
Hierarchical Metadata-Aware Document Categorization under Weak Supervision​ (...Hierarchical Metadata-Aware Document Categorization under Weak Supervision​ (...
Hierarchical Metadata-Aware Document Categorization under Weak Supervision​ (...ARISE analytics
 
【論文読み会】Pyraformer_Low-Complexity Pyramidal Attention for Long-Range Time Seri...
【論文読み会】Pyraformer_Low-Complexity Pyramidal Attention for Long-Range Time Seri...【論文読み会】Pyraformer_Low-Complexity Pyramidal Attention for Long-Range Time Seri...
【論文読み会】Pyraformer_Low-Complexity Pyramidal Attention for Long-Range Time Seri...ARISE analytics
 
【論文読み会】Analytic-DPM_an Analytic Estimate of the Optimal Reverse Variance in D...
【論文読み会】Analytic-DPM_an Analytic Estimate of the Optimal Reverse Variance in D...【論文読み会】Analytic-DPM_an Analytic Estimate of the Optimal Reverse Variance in D...
【論文読み会】Analytic-DPM_an Analytic Estimate of the Optimal Reverse Variance in D...ARISE analytics
 
【論文読み会】BEiT_BERT Pre-Training of Image Transformers.pptx
【論文読み会】BEiT_BERT Pre-Training of Image Transformers.pptx【論文読み会】BEiT_BERT Pre-Training of Image Transformers.pptx
【論文読み会】BEiT_BERT Pre-Training of Image Transformers.pptxARISE analytics
 
【論文読み会】PiCO_Contrastive Label Disambiguation for Partial Label Learning.pptx
【論文読み会】PiCO_Contrastive Label Disambiguation for Partial Label Learning.pptx【論文読み会】PiCO_Contrastive Label Disambiguation for Partial Label Learning.pptx
【論文読み会】PiCO_Contrastive Label Disambiguation for Partial Label Learning.pptxARISE analytics
 
【論文読み会】Deep Reinforcement Learning at the Edge of the Statistical Precipice
【論文読み会】Deep Reinforcement Learning at the Edge of the Statistical Precipice【論文読み会】Deep Reinforcement Learning at the Edge of the Statistical Precipice
【論文読み会】Deep Reinforcement Learning at the Edge of the Statistical PrecipiceARISE analytics
 
【論文読み会】Alias-Free Generative Adversarial Networks(StyleGAN3)
【論文読み会】Alias-Free Generative Adversarial Networks(StyleGAN3)【論文読み会】Alias-Free Generative Adversarial Networks(StyleGAN3)
【論文読み会】Alias-Free Generative Adversarial Networks(StyleGAN3)ARISE analytics
 
【論文読み会】On the Expressivity of Markov Reward
【論文読み会】On the Expressivity of Markov Reward【論文読み会】On the Expressivity of Markov Reward
【論文読み会】On the Expressivity of Markov RewardARISE analytics
 
【論文読み会】MAUVE: Measuring the Gap Between Neural Text and Human Text using Dive...
【論文読み会】MAUVE: Measuring the Gap Between Neural Text and Human Text using Dive...【論文読み会】MAUVE: Measuring the Gap Between Neural Text and Human Text using Dive...
【論文読み会】MAUVE: Measuring the Gap Between Neural Text and Human Text using Dive...ARISE analytics
 
【論文読み会】Moser Flow: Divergence-based Generative Modeling on Manifolds
【論文読み会】Moser Flow: Divergence-based Generative Modeling on Manifolds【論文読み会】Moser Flow: Divergence-based Generative Modeling on Manifolds
【論文読み会】Moser Flow: Divergence-based Generative Modeling on ManifoldsARISE analytics
 
Counterfaual Machine Learning(CFML)のサーベイ
Counterfaual Machine Learning(CFML)のサーベイCounterfaual Machine Learning(CFML)のサーベイ
Counterfaual Machine Learning(CFML)のサーベイARISE analytics
 
【論文読み会】Deep Clustering for Unsupervised Learning of Visual Features
【論文読み会】Deep Clustering for Unsupervised Learning of Visual Features【論文読み会】Deep Clustering for Unsupervised Learning of Visual Features
【論文読み会】Deep Clustering for Unsupervised Learning of Visual FeaturesARISE analytics
 
【論文読み会】Self-Attention Generative Adversarial Networks
【論文読み会】Self-Attention Generative  Adversarial Networks【論文読み会】Self-Attention Generative  Adversarial Networks
【論文読み会】Self-Attention Generative Adversarial NetworksARISE analytics
 
【論文読み会】Universal Language Model Fine-tuning for Text Classification
【論文読み会】Universal Language Model Fine-tuning for Text Classification【論文読み会】Universal Language Model Fine-tuning for Text Classification
【論文読み会】Universal Language Model Fine-tuning for Text ClassificationARISE analytics
 

More from ARISE analytics (20)

【第3回生成AIなんでもLT会資料】_動画生成AIと物理法則_v0.2.pptx
【第3回生成AIなんでもLT会資料】_動画生成AIと物理法則_v0.2.pptx【第3回生成AIなんでもLT会資料】_動画生成AIと物理法則_v0.2.pptx
【第3回生成AIなんでもLT会資料】_動画生成AIと物理法則_v0.2.pptx
 
【第3回】生成AIなんでもLT会 2024_0304なんでも生成AI_sergicalsix.pptx
【第3回】生成AIなんでもLT会 2024_0304なんでも生成AI_sergicalsix.pptx【第3回】生成AIなんでもLT会 2024_0304なんでも生成AI_sergicalsix.pptx
【第3回】生成AIなんでもLT会 2024_0304なんでも生成AI_sergicalsix.pptx
 
めんどうな環境構築とはおさらば!Dockerの概要と使い方
めんどうな環境構築とはおさらば!Dockerの概要と使い方めんどうな環境構築とはおさらば!Dockerの概要と使い方
めんどうな環境構築とはおさらば!Dockerの概要と使い方
 
【論文レベルで理解しよう!】​ 欠測値処理編​
【論文レベルで理解しよう!】​ 欠測値処理編​【論文レベルで理解しよう!】​ 欠測値処理編​
【論文レベルで理解しよう!】​ 欠測値処理編​
 
【論文レベルで理解しよう!】​ 大規模言語モデル(LLM)編​
【論文レベルで理解しよう!】​ 大規模言語モデル(LLM)編​【論文レベルで理解しよう!】​ 大規模言語モデル(LLM)編​
【論文レベルで理解しよう!】​ 大規模言語モデル(LLM)編​
 
【論文読み会】Signing at Scale: Learning to Co-Articulate Signs for Large-Scale Pho...
【論文読み会】Signing at Scale: Learning to Co-Articulate  Signs for Large-Scale Pho...【論文読み会】Signing at Scale: Learning to Co-Articulate  Signs for Large-Scale Pho...
【論文読み会】Signing at Scale: Learning to Co-Articulate Signs for Large-Scale Pho...
 
Hierarchical Metadata-Aware Document Categorization under Weak Supervision​ (...
Hierarchical Metadata-Aware Document Categorization under Weak Supervision​ (...Hierarchical Metadata-Aware Document Categorization under Weak Supervision​ (...
Hierarchical Metadata-Aware Document Categorization under Weak Supervision​ (...
 
【論文読み会】Pyraformer_Low-Complexity Pyramidal Attention for Long-Range Time Seri...
【論文読み会】Pyraformer_Low-Complexity Pyramidal Attention for Long-Range Time Seri...【論文読み会】Pyraformer_Low-Complexity Pyramidal Attention for Long-Range Time Seri...
【論文読み会】Pyraformer_Low-Complexity Pyramidal Attention for Long-Range Time Seri...
 
【論文読み会】Analytic-DPM_an Analytic Estimate of the Optimal Reverse Variance in D...
【論文読み会】Analytic-DPM_an Analytic Estimate of the Optimal Reverse Variance in D...【論文読み会】Analytic-DPM_an Analytic Estimate of the Optimal Reverse Variance in D...
【論文読み会】Analytic-DPM_an Analytic Estimate of the Optimal Reverse Variance in D...
 
【論文読み会】BEiT_BERT Pre-Training of Image Transformers.pptx
【論文読み会】BEiT_BERT Pre-Training of Image Transformers.pptx【論文読み会】BEiT_BERT Pre-Training of Image Transformers.pptx
【論文読み会】BEiT_BERT Pre-Training of Image Transformers.pptx
 
【論文読み会】PiCO_Contrastive Label Disambiguation for Partial Label Learning.pptx
【論文読み会】PiCO_Contrastive Label Disambiguation for Partial Label Learning.pptx【論文読み会】PiCO_Contrastive Label Disambiguation for Partial Label Learning.pptx
【論文読み会】PiCO_Contrastive Label Disambiguation for Partial Label Learning.pptx
 
【論文読み会】Deep Reinforcement Learning at the Edge of the Statistical Precipice
【論文読み会】Deep Reinforcement Learning at the Edge of the Statistical Precipice【論文読み会】Deep Reinforcement Learning at the Edge of the Statistical Precipice
【論文読み会】Deep Reinforcement Learning at the Edge of the Statistical Precipice
 
【論文読み会】Alias-Free Generative Adversarial Networks(StyleGAN3)
【論文読み会】Alias-Free Generative Adversarial Networks(StyleGAN3)【論文読み会】Alias-Free Generative Adversarial Networks(StyleGAN3)
【論文読み会】Alias-Free Generative Adversarial Networks(StyleGAN3)
 
【論文読み会】On the Expressivity of Markov Reward
【論文読み会】On the Expressivity of Markov Reward【論文読み会】On the Expressivity of Markov Reward
【論文読み会】On the Expressivity of Markov Reward
 
【論文読み会】MAUVE: Measuring the Gap Between Neural Text and Human Text using Dive...
【論文読み会】MAUVE: Measuring the Gap Between Neural Text and Human Text using Dive...【論文読み会】MAUVE: Measuring the Gap Between Neural Text and Human Text using Dive...
【論文読み会】MAUVE: Measuring the Gap Between Neural Text and Human Text using Dive...
 
【論文読み会】Moser Flow: Divergence-based Generative Modeling on Manifolds
【論文読み会】Moser Flow: Divergence-based Generative Modeling on Manifolds【論文読み会】Moser Flow: Divergence-based Generative Modeling on Manifolds
【論文読み会】Moser Flow: Divergence-based Generative Modeling on Manifolds
 
Counterfaual Machine Learning(CFML)のサーベイ
Counterfaual Machine Learning(CFML)のサーベイCounterfaual Machine Learning(CFML)のサーベイ
Counterfaual Machine Learning(CFML)のサーベイ
 
【論文読み会】Deep Clustering for Unsupervised Learning of Visual Features
【論文読み会】Deep Clustering for Unsupervised Learning of Visual Features【論文読み会】Deep Clustering for Unsupervised Learning of Visual Features
【論文読み会】Deep Clustering for Unsupervised Learning of Visual Features
 
【論文読み会】Self-Attention Generative Adversarial Networks
【論文読み会】Self-Attention Generative  Adversarial Networks【論文読み会】Self-Attention Generative  Adversarial Networks
【論文読み会】Self-Attention Generative Adversarial Networks
 
【論文読み会】Universal Language Model Fine-tuning for Text Classification
【論文読み会】Universal Language Model Fine-tuning for Text Classification【論文読み会】Universal Language Model Fine-tuning for Text Classification
【論文読み会】Universal Language Model Fine-tuning for Text Classification
 

教師なしGNNによるIoTデバイスの異常通信検知の検討

  • 1. 教師なしGNNによる IoTデバイスの異常通信検知の検討 ★近藤 真暉(株式会社 ARISE analytics) 奥井 宣広(株式会社 KDDI総合研究所) 2023.01.26 @ SCIS2023 ©2023 ARISE analytics Reserved. 本研究成果は、国立研究開発法人情報通信研究機構の委託研究(05201)により得られたものです。
  • 2. 発表概要 ©2023 ARISE analytics Reserved. 1 【本研究の概要】 IoTデバイスの通信データを対象とした異常通信検知を目的とした教師なしGNNを提案 【本研究の成果】 ① Metric Learning を用いた教師なし学習によるグラフの埋め込み手法の提案 ② 異常通信検知向け公開データセットを用い、本手法により汎用的な性能が得られていることを確認 Source IP/Port Destination IP/Port Device Network 1b 2b 1a 1c 2c Create Graph ➡ ➡ Sub-Graph Extraction ➡ Graph Embedding Model Anomaly Detection with kNN
  • 3. 目次 ©2023 ARISE analytics Reserved. 2 提案手法 先行研究 実験 まとめ 背景
  • 4. 背景 - IoTデバイスを対象としたサイバーセキュリティ ©2023 ARISE analytics Reserved. 3 図:『総務省 情報通信白書(R3版)(総務省 2021)』をもとに一部加工 IoTデバイスの増加に伴い、IoTデバイスを対象としたサイバー攻撃が増加傾向にある 世界のIoTデバイス数の推移及び予測 IoTデバイスを対象としたサイバー攻撃(マルウェアMiraiの例) IoTデバイスは台数・種類の多さから手動によるセキュリティ対策が困難 ↓ 機械学習を用いたセキュリティ対策(異常通信検知)の自動化が不可欠 Mirai botmaster C&C Server 感染IoTデバイス DDoS攻撃
  • 5. 目次 ©2023 ARISE analytics Reserved. 4 提案手法 先行研究 実験 まとめ 背景
  • 6. 異常通信検知 ©2023 ARISE analytics Reserved. 5 デバイス間で行われる通信を観測し、正常とは異なる通信が発生したときに自動で検知する手段 機械学習を用いた異常通信検知は、「教師なし」ベースの手法と「教師あり」ベースの手法に大別される デバイス間の通信を観測 異常通信を検知したら対策 × 教師なし異常通信検知 教師あり異常通信検知 サイバー攻撃は日進月歩であり、過去とは異なる異常通信が発生する可能性が高く、 教師なし異常通信検知の重要性が高まっている ⚫ 正常通信を用いて学習 ⚫ 正常通信と異なる異常通信を 検知する ⚫ 未知の異常通信に対応可能 ⚫ 正常通信と異常通信を用いて 学習 ⚫ 異常通信の検知に加え、異常 通信の種類も分類可能 ⚫ 既知の異常通信のみを対象
  • 7. グラフニューラルネットワーク(GNN)による異常通信検知 ©2023 ARISE analytics Reserved. 6 従来の機械学習アプローチに対し、近年GNNを用いた異常通信検知が提案されている 利点: - 複数の通信データを統合して処理できるため、従来手法に比べて性能向上する例が多い 欠点: - 教師ありの手法が中心であり、未知の異常に対して十分な検知精度が得られない可能性がある Source IP/Port Destination IP/Port Device Network 1b 2b 1a 1c 2c Create Graph ➡ ➡ Sub-Graph Extraction ➡ Graph Embedding Model Anomaly Detection (Supervised) E-GraphSAGEによる教師あり異常通信検知の例
  • 8. 本研究の位置づけ ©2023 ARISE analytics Reserved. 7 GNNを教師なし異常通信検知に適用できるよう改良し、活用の幅を広げる GNN ML 教師あり異常通信検知 教師なし異常通信検知 • [1][2]など • [4][5]など • [3]など • 提案手法 [1] Distributed anomaly detection for industrial wireless sensor networks based on fuzzy data modelling(JPDC 2013) [2] On the symbiosis of specification-based and anomaly-based detection (Computers & Security 2010) [3] Hyperspherical cluster based distributed anomaly detection in wireless sensor networks (JPDC 2013) [4] E-GraphSAGE: A Graph Neural Network based Intrusion Detection System for IoT(NOMS 2022) [5] Graph-based Solutions with Residuals for Intrusion Detection: the Modified E-GraphSAGE and E-ResGAT Algorithms(ArXiv 2021)
  • 9. 目次 ©2023 ARISE analytics Reserved. 8 提案手法 先行研究 実験 まとめ 背景
  • 10. 提案手法:Unsupervised E-GraphSAGE ©2023 ARISE analytics Reserved. 9 [4] E-GraphSAGE: A Graph Neural Network based Intrusion Detection System for IoT(NOMS 2022) E-GraphSAGE[4]をベースに、Metric Learningを導入することで教師なし学習を実現 本手法は3つの手順に分かれる Source IP/Port Destination IP/Port Device Network 1b 2b 1a 1c 2c Create Graph ➡ ➡ Sub-Graph Extraction ➡ Graph Embedding Model Anomaly Detection with kNN 手順① 通信データからのグラフ構築 手順② ノード埋め込みモデルの学習 手順③ 異常検知モデルの学習 E-GraphSAGEベース 今回の改良部分
  • 11. 手順① 通信データからのグラフ構築 ©2023 ARISE analytics Reserved. 10 ホストをノードに、ホスト間通信をエッジとみなすことで、グラフを用いた通信表現が可能 ただし、一般的なGNNはノードに特徴(通信データ)が保有されていることを前提としている ➡ノードに通信データが含まれるように変換を行う Source IP/Port Destination IP/Port 1 2 3 a b c Source IP/Port Destination IP/Port = ⇔ 1b 2b 3b 1a 1c 2c Device Network Device Graph Swap Edges and Nodes 3c 1b 2b 1a 1c 2c 通信データはエッジに格納されており 一般的なGNNでは処理が難しい 通信データ 通信データ ノードとエッジを入れ替えることで、 ノードに通信データを格納することが可能 これにより、一般的なGNNでの処理が可能になる
  • 12. 手順② ノード埋め込みモデルの学習 – Metric Learning ©2023 ARISE analytics Reserved. 11 教師情報を用いないMetric Learningを導入し、教師なしによるノード埋め込みモデルを学習 近くなるように学習 𝑧𝑢 𝑧𝑣𝑛 𝑧𝑣 𝐹(𝑆𝑢) 𝐹(𝑆𝑣) 𝐹(𝑆𝑣𝑛 ) アンカー・ポジティブ・ネガティブを用い、 以下を実現する埋め込みモデル 𝐹(𝑥) を学習 アンカー𝒖-ポジティブ𝒗 :近くなる アンカー𝒖-ネガティブ𝒗𝒏 :遠くなる Metric Learningの損失関数(Triplet Loss) 遠くなるように学習 アンカー ポジティブ ネガティブ
  • 13. 手順② ノード埋め込みモデルの学習 – ノードの選択 ©2023 ARISE analytics Reserved. 12 ※ 隣接ノードからは似たサブグラフが、遠方ノードからは異なるサブグラフが構築される、という考え方に基づく 選択したアンカーノードに対し、構成されるサブグラフが似る/似ないようにポジティブ/ネガティブを選択し、ノード を起点とするサブグラフを埋め込むモデルを学習 k-hop 近くなるように学習 𝑢 𝑣 𝑣𝑛 𝑧𝑢 𝑧𝑣𝑛 𝑧𝑣 𝑆𝑢 𝑆𝑣 𝑆𝑣𝑛 𝐹(𝑆𝑢) 𝐹(𝑆𝑣) 𝐹(𝑆𝑣𝑛 ) ① 埋め込み対象 アンカーノード𝒖 を決定 ② ポジティブサンプルである隣接ノード𝒗 と ネガティブサンプルである遠方ノード𝒗𝒏を決定 ③ それぞれのノードに対し、k-hop samplingを行いサブグラフを構築 (k=2の例) ④ サブグラフの埋め込みを学習 アンカーノード𝒖-隣接ノード𝒗 :近くなる アンカーノード𝒖-遠方ノード𝒗𝒏 :遠くなる 遠くなるように学習 ポジティブ ネガティブ アンカー
  • 14. 手順③ 異常検知モデルの学習 ©2023 ARISE analytics Reserved. 13 ※ 埋め込みモデルの学習データと異常検知モデルの学習データは同一のものを用いる 得られたノードの埋め込み特徴(通信データの埋め込み特徴)を用い、異常検知モデルを学習 異常検知モデルは、Metric Learningと同様に距離計算ベースの手法であるkNN Anomaly Detectorを採用 検知対象サンプルに対し、N個の近隣サンプルとの距離を算出 距離が事前に学習した閾値を上回った場合は異常とみなす (k=3の例) 正常サンプルの処理例 異常サンプルの処理例 最大距離 : 4.2 最大距離 : 14.7
  • 15. 目次 ©2023 ARISE analytics Reserved. 14 提案手法 先行研究 実験 まとめ 背景
  • 16. 実験設定 ©2023 ARISE analytics Reserved. 15 ※1 E-GraphSAGEと同様の前処理を行うため、IPアドレスおよびポートは除去して用いた。 ※2 すべての種類の異常通信をまとめてひとつの異常通信として扱う。 提案手法の効果を確認するため、IoTの通信データによる公開データセットを用いた実験を実施 【データセット内訳】 【比較対象】 ① 通信データの特徴表現(埋め込み前の既存特徴 / 提案手法 ) ② 異常検知アルゴリズム(kNN / AutoEncoder / One Class SVM) 【評価方法】 ① t-SNEを用いた埋め込み特徴の可視化 ② 二値分類による通信異常検知(正常通信か異常通信※2かを分類)とROCAUCを用いた評価 データセット 異常通信の種類 数 正常通信の割合 (%) 既存特徴の次元※1 訓練データの件数 (正常通信のみ) 検証データの件数 (異常通信含む) テストデータの件数 (異常通信含む) UNSW-NB15 9 96.83 43 485,001 5,000 210,000 The TON_IoT 9 65.07 39 316,043 5,000 210,000
  • 17. 実験① 埋め込み特徴の可視化 ©2023 ARISE analytics Reserved. 16 提案手法によるノード埋め込み(通信データ埋め込み)結果をt-SNEで可視化 UNSW-NB15 The TON_IoT 青色:正常通信から生成されたサンプル それ以外の色:異常通信から生成されたサンプル 同一種別の通信によるまとまりが確認できている ↓ 提案手法により、正常通信と異常通信を分離できるような特徴表現を学習できている
  • 18. 実験② 通信異常検知 ©2023 ARISE analytics Reserved. 17 提案手法によるノード埋め込み(通信データ埋め込み)結果と異常検知アルゴリズムの組み合わせを検証 比較対象として、通信データに対し異常検知アルゴリズムを適用したケース(RAW)を算出 各データセットで高精度であったのはRAW(AE)/RAW(kNN) ただし、平均値は提案手法(kNN)が最も高精度であり、データセット間の差分(ばらつき)も最も小さい ↓ 本実験の範囲において、Unsupervised E-GraphSAGE Embedding Model(kNN)は データセットによらず汎用的な性能が得られている ↓ ↑ ↑ ↑
  • 19. 目次 ©2023 ARISE analytics Reserved. 18 提案手法 先行研究 実験 まとめ 背景
  • 20. まとめ ©2023 ARISE analytics Reserved. 19 【本研究の概要】 IoTデバイスの通信データを対象とした異常通信検知を目的に、教師なしGNN異常検知を提案 【本研究の成果】 ① Metric Learning を用いた教師なし学習によるグラフの埋め込み手法の提案 ② 異常通信検知向け公開データセットを用い、本手法と異常検知手法を組み合わせることで汎用的な性 能が得られていることを確認 【今後の展望】 ① ノード埋め込みモデルの学習と異常検知モデルの学習の統合 ② 組み合わせる異常検知アルゴリズムの違いによる特性の分析
  • 21. Best Partner for innovation, Best Creator for the future.