教師なしGNNによるIoTデバイスの異常通信検知の検討

ARISE analytics
ARISE analyticsARISE analytics
教師なしGNNによる IoTデバイスの異常通信検知の検討 ★近藤 真暉(株式会社 ARISE analytics) 奥井 宣広(株式会社 KDDI総合研究所) 2023.01.26 @ SCIS2023 ©2023 ARISE analytics Reserved. 本研究成果は、国立研究開発法人情報通信研究機構の委託研究(05201)により得られたものです。
発表概要 ©2023 ARISE analytics Reserved. 1 【本研究の概要】 IoTデバイスの通信データを対象とした異常通信検知を目的とした教師なしGNNを提案 【本研究の成果】 ① Metric Learning を用いた教師なし学習によるグラフの埋め込み手法の提案 ② 異常通信検知向け公開データセットを用い、本手法により汎用的な性能が得られていることを確認 Source IP/Port Destination IP/Port Device Network 1b 2b 1a 1c 2c Create Graph ➡ ➡ Sub-Graph Extraction ➡ Graph Embedding Model Anomaly Detection with kNN
目次 ©2023 ARISE analytics Reserved. 2 提案手法 先行研究 実験 まとめ 背景
背景 - IoTデバイスを対象としたサイバーセキュリティ ©2023 ARISE analytics Reserved. 3 図:『総務省 情報通信白書(R3版)(総務省 2021)』をもとに一部加工 IoTデバイスの増加に伴い、IoTデバイスを対象としたサイバー攻撃が増加傾向にある 世界のIoTデバイス数の推移及び予測 IoTデバイスを対象としたサイバー攻撃(マルウェアMiraiの例) IoTデバイスは台数・種類の多さから手動によるセキュリティ対策が困難 ↓ 機械学習を用いたセキュリティ対策(異常通信検知)の自動化が不可欠 Mirai botmaster C&C Server 感染IoTデバイス DDoS攻撃
目次 ©2023 ARISE analytics Reserved. 4 提案手法 先行研究 実験 まとめ 背景
異常通信検知 ©2023 ARISE analytics Reserved. 5 デバイス間で行われる通信を観測し、正常とは異なる通信が発生したときに自動で検知する手段 機械学習を用いた異常通信検知は、「教師なし」ベースの手法と「教師あり」ベースの手法に大別される デバイス間の通信を観測 異常通信を検知したら対策 × 教師なし異常通信検知 教師あり異常通信検知 サイバー攻撃は日進月歩であり、過去とは異なる異常通信が発生する可能性が高く、 教師なし異常通信検知の重要性が高まっている ⚫ 正常通信を用いて学習 ⚫ 正常通信と異なる異常通信を 検知する ⚫ 未知の異常通信に対応可能 ⚫ 正常通信と異常通信を用いて 学習 ⚫ 異常通信の検知に加え、異常 通信の種類も分類可能 ⚫ 既知の異常通信のみを対象
グラフニューラルネットワーク(GNN)による異常通信検知 ©2023 ARISE analytics Reserved. 6 従来の機械学習アプローチに対し、近年GNNを用いた異常通信検知が提案されている 利点: - 複数の通信データを統合して処理できるため、従来手法に比べて性能向上する例が多い 欠点: - 教師ありの手法が中心であり、未知の異常に対して十分な検知精度が得られない可能性がある Source IP/Port Destination IP/Port Device Network 1b 2b 1a 1c 2c Create Graph ➡ ➡ Sub-Graph Extraction ➡ Graph Embedding Model Anomaly Detection (Supervised) E-GraphSAGEによる教師あり異常通信検知の例
本研究の位置づけ ©2023 ARISE analytics Reserved. 7 GNNを教師なし異常通信検知に適用できるよう改良し、活用の幅を広げる GNN ML 教師あり異常通信検知 教師なし異常通信検知 • [1][2]など • [4][5]など • [3]など • 提案手法 [1] Distributed anomaly detection for industrial wireless sensor networks based on fuzzy data modelling(JPDC 2013) [2] On the symbiosis of specification-based and anomaly-based detection (Computers & Security 2010) [3] Hyperspherical cluster based distributed anomaly detection in wireless sensor networks (JPDC 2013) [4] E-GraphSAGE: A Graph Neural Network based Intrusion Detection System for IoT(NOMS 2022) [5] Graph-based Solutions with Residuals for Intrusion Detection: the Modified E-GraphSAGE and E-ResGAT Algorithms(ArXiv 2021)
目次 ©2023 ARISE analytics Reserved. 8 提案手法 先行研究 実験 まとめ 背景
提案手法:Unsupervised E-GraphSAGE ©2023 ARISE analytics Reserved. 9 [4] E-GraphSAGE: A Graph Neural Network based Intrusion Detection System for IoT(NOMS 2022) E-GraphSAGE[4]をベースに、Metric Learningを導入することで教師なし学習を実現 本手法は3つの手順に分かれる Source IP/Port Destination IP/Port Device Network 1b 2b 1a 1c 2c Create Graph ➡ ➡ Sub-Graph Extraction ➡ Graph Embedding Model Anomaly Detection with kNN 手順① 通信データからのグラフ構築 手順② ノード埋め込みモデルの学習 手順③ 異常検知モデルの学習 E-GraphSAGEベース 今回の改良部分
手順① 通信データからのグラフ構築 ©2023 ARISE analytics Reserved. 10 ホストをノードに、ホスト間通信をエッジとみなすことで、グラフを用いた通信表現が可能 ただし、一般的なGNNはノードに特徴(通信データ)が保有されていることを前提としている ➡ノードに通信データが含まれるように変換を行う Source IP/Port Destination IP/Port 1 2 3 a b c Source IP/Port Destination IP/Port = ⇔ 1b 2b 3b 1a 1c 2c Device Network Device Graph Swap Edges and Nodes 3c 1b 2b 1a 1c 2c 通信データはエッジに格納されており 一般的なGNNでは処理が難しい 通信データ 通信データ ノードとエッジを入れ替えることで、 ノードに通信データを格納することが可能 これにより、一般的なGNNでの処理が可能になる
手順② ノード埋め込みモデルの学習 – Metric Learning ©2023 ARISE analytics Reserved. 11 教師情報を用いないMetric Learningを導入し、教師なしによるノード埋め込みモデルを学習 近くなるように学習 𝑧𝑢 𝑧𝑣𝑛 𝑧𝑣 𝐹(𝑆𝑢) 𝐹(𝑆𝑣) 𝐹(𝑆𝑣𝑛 ) アンカー・ポジティブ・ネガティブを用い、 以下を実現する埋め込みモデル 𝐹(𝑥) を学習 アンカー𝒖-ポジティブ𝒗 :近くなる アンカー𝒖-ネガティブ𝒗𝒏 :遠くなる Metric Learningの損失関数(Triplet Loss) 遠くなるように学習 アンカー ポジティブ ネガティブ
手順② ノード埋め込みモデルの学習 – ノードの選択 ©2023 ARISE analytics Reserved. 12 ※ 隣接ノードからは似たサブグラフが、遠方ノードからは異なるサブグラフが構築される、という考え方に基づく 選択したアンカーノードに対し、構成されるサブグラフが似る/似ないようにポジティブ/ネガティブを選択し、ノード を起点とするサブグラフを埋め込むモデルを学習 k-hop 近くなるように学習 𝑢 𝑣 𝑣𝑛 𝑧𝑢 𝑧𝑣𝑛 𝑧𝑣 𝑆𝑢 𝑆𝑣 𝑆𝑣𝑛 𝐹(𝑆𝑢) 𝐹(𝑆𝑣) 𝐹(𝑆𝑣𝑛 ) ① 埋め込み対象 アンカーノード𝒖 を決定 ② ポジティブサンプルである隣接ノード𝒗 と ネガティブサンプルである遠方ノード𝒗𝒏を決定 ③ それぞれのノードに対し、k-hop samplingを行いサブグラフを構築 (k=2の例) ④ サブグラフの埋め込みを学習 アンカーノード𝒖-隣接ノード𝒗 :近くなる アンカーノード𝒖-遠方ノード𝒗𝒏 :遠くなる 遠くなるように学習 ポジティブ ネガティブ アンカー
手順③ 異常検知モデルの学習 ©2023 ARISE analytics Reserved. 13 ※ 埋め込みモデルの学習データと異常検知モデルの学習データは同一のものを用いる 得られたノードの埋め込み特徴(通信データの埋め込み特徴)を用い、異常検知モデルを学習 異常検知モデルは、Metric Learningと同様に距離計算ベースの手法であるkNN Anomaly Detectorを採用 検知対象サンプルに対し、N個の近隣サンプルとの距離を算出 距離が事前に学習した閾値を上回った場合は異常とみなす (k=3の例) 正常サンプルの処理例 異常サンプルの処理例 最大距離 : 4.2 最大距離 : 14.7
目次 ©2023 ARISE analytics Reserved. 14 提案手法 先行研究 実験 まとめ 背景
実験設定 ©2023 ARISE analytics Reserved. 15 ※1 E-GraphSAGEと同様の前処理を行うため、IPアドレスおよびポートは除去して用いた。 ※2 すべての種類の異常通信をまとめてひとつの異常通信として扱う。 提案手法の効果を確認するため、IoTの通信データによる公開データセットを用いた実験を実施 【データセット内訳】 【比較対象】 ① 通信データの特徴表現(埋め込み前の既存特徴 / 提案手法 ) ② 異常検知アルゴリズム(kNN / AutoEncoder / One Class SVM) 【評価方法】 ① t-SNEを用いた埋め込み特徴の可視化 ② 二値分類による通信異常検知(正常通信か異常通信※2かを分類)とROCAUCを用いた評価 データセット 異常通信の種類 数 正常通信の割合 (%) 既存特徴の次元※1 訓練データの件数 (正常通信のみ) 検証データの件数 (異常通信含む) テストデータの件数 (異常通信含む) UNSW-NB15 9 96.83 43 485,001 5,000 210,000 The TON_IoT 9 65.07 39 316,043 5,000 210,000
実験① 埋め込み特徴の可視化 ©2023 ARISE analytics Reserved. 16 提案手法によるノード埋め込み(通信データ埋め込み)結果をt-SNEで可視化 UNSW-NB15 The TON_IoT 青色:正常通信から生成されたサンプル それ以外の色:異常通信から生成されたサンプル 同一種別の通信によるまとまりが確認できている ↓ 提案手法により、正常通信と異常通信を分離できるような特徴表現を学習できている
実験② 通信異常検知 ©2023 ARISE analytics Reserved. 17 提案手法によるノード埋め込み(通信データ埋め込み)結果と異常検知アルゴリズムの組み合わせを検証 比較対象として、通信データに対し異常検知アルゴリズムを適用したケース(RAW)を算出 各データセットで高精度であったのはRAW(AE)/RAW(kNN) ただし、平均値は提案手法(kNN)が最も高精度であり、データセット間の差分(ばらつき)も最も小さい ↓ 本実験の範囲において、Unsupervised E-GraphSAGE Embedding Model(kNN)は データセットによらず汎用的な性能が得られている ↓ ↑ ↑ ↑
目次 ©2023 ARISE analytics Reserved. 18 提案手法 先行研究 実験 まとめ 背景
まとめ ©2023 ARISE analytics Reserved. 19 【本研究の概要】 IoTデバイスの通信データを対象とした異常通信検知を目的に、教師なしGNN異常検知を提案 【本研究の成果】 ① Metric Learning を用いた教師なし学習によるグラフの埋め込み手法の提案 ② 異常通信検知向け公開データセットを用い、本手法と異常検知手法を組み合わせることで汎用的な性 能が得られていることを確認 【今後の展望】 ① ノード埋め込みモデルの学習と異常検知モデルの学習の統合 ② 組み合わせる異常検知アルゴリズムの違いによる特性の分析
Best Partner for innovation, Best Creator for the future.
1 von 21

教師なしGNNによるIoTデバイスの異常通信検知の検討

Downloaden Sie, um offline zu lesen
Technologie

SCIS2023で発表した「教師なしGNNによるIoTデバイスの異常通信検知の検討」の資料です。

ARISE analytics
ARISE analyticsARISE analytics

Recomendados

[DLHacks]StyleGANとBigGANのStyle mixing, morphing von
[DLHacks]StyleGANとBigGANのStyle mixing, morphing[DLHacks]StyleGANとBigGANのStyle mixing, morphing
[DLHacks]StyleGANとBigGANのStyle mixing, morphingDeep Learning JP
14.2K views82 Folien
Disentanglement Survey:Can You Explain How Much Are Generative models Disenta... von
Disentanglement Survey:Can You Explain How Much Are Generative models Disenta...Disentanglement Survey:Can You Explain How Much Are Generative models Disenta...
Disentanglement Survey:Can You Explain How Much Are Generative models Disenta...Hideki Tsunashima
6.9K views79 Folien
[DL輪読会]Flow-based Deep Generative Models von
[DL輪読会]Flow-based Deep Generative Models[DL輪読会]Flow-based Deep Generative Models
[DL輪読会]Flow-based Deep Generative ModelsDeep Learning JP
14.6K views62 Folien
Anomaly detection 系の論文を一言でまとめた von
Anomaly detection 系の論文を一言でまとめたAnomaly detection 系の論文を一言でまとめた
Anomaly detection 系の論文を一言でまとめたぱんいち すみもと
4.4K views33 Folien
【論文紹介】How Powerful are Graph Neural Networks? von
【論文紹介】How Powerful are Graph Neural Networks?【論文紹介】How Powerful are Graph Neural Networks?
【論文紹介】How Powerful are Graph Neural Networks?Masanao Ochi
3.9K views23 Folien
Direct feedback alignment provides learning in Deep Neural Networks von
Direct feedback alignment provides learning in Deep Neural NetworksDirect feedback alignment provides learning in Deep Neural Networks
Direct feedback alignment provides learning in Deep Neural NetworksDeep Learning JP
2.4K views21 Folien

Más contenido relacionado

Was ist angesagt?

[DL輪読会]ドメイン転移と不変表現に関するサーベイ von
[DL輪読会]ドメイン転移と不変表現に関するサーベイ[DL輪読会]ドメイン転移と不変表現に関するサーベイ
[DL輪読会]ドメイン転移と不変表現に関するサーベイDeep Learning JP
6.8K views54 Folien
[DL輪読会]Pay Attention to MLPs (gMLP) von
[DL輪読会]Pay Attention to MLPs (gMLP)[DL輪読会]Pay Attention to MLPs (gMLP)
[DL輪読会]Pay Attention to MLPs (gMLP)Deep Learning JP
16.9K views24 Folien
Graph Attention Network von
Graph Attention NetworkGraph Attention Network
Graph Attention NetworkTakahiro Kubo
15.1K views17 Folien
DL Hacks輪読 Semi-supervised Learning with Deep Generative Models von
DL Hacks輪読 Semi-supervised Learning with Deep Generative ModelsDL Hacks輪読 Semi-supervised Learning with Deep Generative Models
DL Hacks輪読 Semi-supervised Learning with Deep Generative ModelsYusuke Iwasawa
1.7K views24 Folien
[DL輪読会]Learning convolutional neural networks for graphs von
[DL輪読会]Learning convolutional neural networks for graphs[DL輪読会]Learning convolutional neural networks for graphs
[DL輪読会]Learning convolutional neural networks for graphsDeep Learning JP
3.3K views36 Folien
[DL輪読会]ICLR2020の分布外検知速報 von
[DL輪読会]ICLR2020の分布外検知速報[DL輪読会]ICLR2020の分布外検知速報
[DL輪読会]ICLR2020の分布外検知速報Deep Learning JP
5.4K views12 Folien

Was ist angesagt?(20)

[DL輪読会]ドメイン転移と不変表現に関するサーベイ von Deep Learning JP
[DL輪読会]ドメイン転移と不変表現に関するサーベイ[DL輪読会]ドメイン転移と不変表現に関するサーベイ
[DL輪読会]ドメイン転移と不変表現に関するサーベイ
Deep Learning JP6.8K views
[DL輪読会]Pay Attention to MLPs (gMLP) von Deep Learning JP
[DL輪読会]Pay Attention to MLPs (gMLP)[DL輪読会]Pay Attention to MLPs (gMLP)
[DL輪読会]Pay Attention to MLPs (gMLP)
Deep Learning JP16.9K views
Graph Attention Network von Takahiro Kubo
Graph Attention NetworkGraph Attention Network
Graph Attention Network
Takahiro Kubo15.1K views
DL Hacks輪読 Semi-supervised Learning with Deep Generative Models von Yusuke Iwasawa
DL Hacks輪読 Semi-supervised Learning with Deep Generative ModelsDL Hacks輪読 Semi-supervised Learning with Deep Generative Models
DL Hacks輪読 Semi-supervised Learning with Deep Generative Models
Yusuke Iwasawa1.7K views
[DL輪読会]Learning convolutional neural networks for graphs von Deep Learning JP
[DL輪読会]Learning convolutional neural networks for graphs[DL輪読会]Learning convolutional neural networks for graphs
[DL輪読会]Learning convolutional neural networks for graphs
Deep Learning JP3.3K views
[DL輪読会]ICLR2020の分布外検知速報 von Deep Learning JP
[DL輪読会]ICLR2020の分布外検知速報[DL輪読会]ICLR2020の分布外検知速報
[DL輪読会]ICLR2020の分布外検知速報
Deep Learning JP5.4K views
SakataMoriLab GNN勉強会第一回資料 von ttt_miura
SakataMoriLab GNN勉強会第一回資料SakataMoriLab GNN勉強会第一回資料
SakataMoriLab GNN勉強会第一回資料
ttt_miura392 views
Active Learning 入門 von Shuyo Nakatani
Active Learning 入門Active Learning 入門
Active Learning 入門
Shuyo Nakatani51.8K views
ELBO型VAEのダメなところ von KCS Keio Computer Society
ELBO型VAEのダメなところELBO型VAEのダメなところ
ELBO型VAEのダメなところ
KCS Keio Computer Society2.7K views
【DL輪読会】時系列予測 Transfomers の精度向上手法 von Deep Learning JP
【DL輪読会】時系列予測 Transfomers の精度向上手法【DL輪読会】時系列予測 Transfomers の精度向上手法
【DL輪読会】時系列予測 Transfomers の精度向上手法
Deep Learning JP3.1K views
深層生成モデルと世界モデル von Masahiro Suzuki
深層生成モデルと世界モデル深層生成モデルと世界モデル
深層生成モデルと世界モデル
Masahiro Suzuki16.6K views
[DL輪読会] Spectral Norm Regularization for Improving the Generalizability of De... von Deep Learning JP
[DL輪読会] Spectral Norm Regularization for Improving the Generalizability of De...[DL輪読会] Spectral Norm Regularization for Improving the Generalizability of De...
[DL輪読会] Spectral Norm Regularization for Improving the Generalizability of De...
Deep Learning JP9K views
[DL輪読会]近年のオフライン強化学習のまとめ —Offline Reinforcement Learning: Tutorial, Review, an... von Deep Learning JP
[DL輪読会]近年のオフライン強化学習のまとめ —Offline Reinforcement Learning: Tutorial, Review, an...[DL輪読会]近年のオフライン強化学習のまとめ —Offline Reinforcement Learning: Tutorial, Review, an...
[DL輪読会]近年のオフライン強化学習のまとめ —Offline Reinforcement Learning: Tutorial, Review, an...
Deep Learning JP4.7K views
【論文読み会】Self-Attention Generative Adversarial Networks von ARISE analytics
【論文読み会】Self-Attention Generative Adversarial Networks【論文読み会】Self-Attention Generative Adversarial Networks
【論文読み会】Self-Attention Generative Adversarial Networks
ARISE analytics5.3K views
画像処理AIを用いた異常検知 von Hideo Terada
画像処理AIを用いた異常検知画像処理AIを用いた異常検知
画像処理AIを用いた異常検知
Hideo Terada3.1K views
Domain Adaptation 発展と動向まとめ(サーベイ資料) von Yamato OKAMOTO
Domain Adaptation 発展と動向まとめ(サーベイ資料)Domain Adaptation 発展と動向まとめ(サーベイ資料)
Domain Adaptation 発展と動向まとめ(サーベイ資料)
Yamato OKAMOTO8.5K views
敵対的生成ネットワーク(GAN) von cvpaper. challenge
敵対的生成ネットワーク(GAN)敵対的生成ネットワーク(GAN)
敵対的生成ネットワーク(GAN)
cvpaper. challenge95.2K views
[DL輪読会]Transframer: Arbitrary Frame Prediction with Generative Models von Deep Learning JP
[DL輪読会]Transframer: Arbitrary Frame Prediction with Generative Models[DL輪読会]Transframer: Arbitrary Frame Prediction with Generative Models
[DL輪読会]Transframer: Arbitrary Frame Prediction with Generative Models
Deep Learning JP1.1K views
自己教師学習(Self-Supervised Learning) von cvpaper. challenge
自己教師学習(Self-Supervised Learning)自己教師学習(Self-Supervised Learning)
自己教師学習(Self-Supervised Learning)
cvpaper. challenge12.7K views
PRML学習者から入る深層生成モデル入門 von tmtm otm
PRML学習者から入る深層生成モデル入門PRML学習者から入る深層生成モデル入門
PRML学習者から入る深層生成モデル入門
tmtm otm5.7K views

Similar a 教師なしGNNによるIoTデバイスの異常通信検知の検討

Enocean無線センサー用ノード開発事例 von
Enocean無線センサー用ノード開発事例Enocean無線センサー用ノード開発事例
Enocean無線センサー用ノード開発事例nodered_ug_jp
480 views22 Folien
Software for Edge Heavy Computing @ INTEROP 2016 Tokyo von
Software for Edge Heavy Computing @ INTEROP 2016 TokyoSoftware for Edge Heavy Computing @ INTEROP 2016 Tokyo
Software for Edge Heavy Computing @ INTEROP 2016 TokyoShohei Hido
4.5K views34 Folien
低遅延Ethernetとファブリックによるデータセンタ・ネットワーク von
低遅延Ethernetとファブリックによるデータセンタ・ネットワーク低遅延Ethernetとファブリックによるデータセンタ・ネットワーク
低遅延Ethernetとファブリックによるデータセンタ・ネットワークNaoto MATSUMOTO
3.5K views18 Folien
IoT Plug and Playの実装方法 von
IoT Plug and Playの実装方法IoT Plug and Playの実装方法
IoT Plug and Playの実装方法Takashi Matsuoka
427 views25 Folien
ifLink[改善版].pdf von
ifLink[改善版].pdfifLink[改善版].pdf
ifLink[改善版].pdfKunihiroSugiyama1
1.6K views14 Folien
Self-supervised Learning of Adversarial Example: Towards Good Generalizations... von
Self-supervised Learning of Adversarial Example: Towards Good Generalizations...Self-supervised Learning of Adversarial Example: Towards Good Generalizations...
Self-supervised Learning of Adversarial Example: Towards Good Generalizations...harmonylab
471 views21 Folien

Similar a 教師なしGNNによるIoTデバイスの異常通信検知の検討(20)

Enocean無線センサー用ノード開発事例 von nodered_ug_jp
Enocean無線センサー用ノード開発事例Enocean無線センサー用ノード開発事例
Enocean無線センサー用ノード開発事例
nodered_ug_jp480 views
Software for Edge Heavy Computing @ INTEROP 2016 Tokyo von Shohei Hido
Software for Edge Heavy Computing @ INTEROP 2016 TokyoSoftware for Edge Heavy Computing @ INTEROP 2016 Tokyo
Software for Edge Heavy Computing @ INTEROP 2016 Tokyo
Shohei Hido4.5K views
低遅延Ethernetとファブリックによるデータセンタ・ネットワーク von Naoto MATSUMOTO
低遅延Ethernetとファブリックによるデータセンタ・ネットワーク低遅延Ethernetとファブリックによるデータセンタ・ネットワーク
低遅延Ethernetとファブリックによるデータセンタ・ネットワーク
Naoto MATSUMOTO3.5K views
IoT Plug and Playの実装方法 von Takashi Matsuoka
IoT Plug and Playの実装方法IoT Plug and Playの実装方法
IoT Plug and Playの実装方法
Takashi Matsuoka427 views
ifLink[改善版].pdf von KunihiroSugiyama1
ifLink[改善版].pdfifLink[改善版].pdf
ifLink[改善版].pdf
KunihiroSugiyama11.6K views
Self-supervised Learning of Adversarial Example: Towards Good Generalizations... von harmonylab
Self-supervised Learning of Adversarial Example: Towards Good Generalizations...Self-supervised Learning of Adversarial Example: Towards Good Generalizations...
Self-supervised Learning of Adversarial Example: Towards Good Generalizations...
harmonylab471 views
SegFormer: Simple and Efficient Design for Semantic Segmentation with Transfo... von harmonylab
SegFormer: Simple and Efficient Design for Semantic Segmentation with Transfo...SegFormer: Simple and Efficient Design for Semantic Segmentation with Transfo...
SegFormer: Simple and Efficient Design for Semantic Segmentation with Transfo...
harmonylab903 views
20170703_04 IoTビジネス共創ラボドローンワークス von IoTビジネス共創ラボ
20170703_04 IoTビジネス共創ラボドローンワークス20170703_04 IoTビジネス共創ラボドローンワークス
20170703_04 IoTビジネス共創ラボドローンワークス
IoTビジネス共創ラボ543 views
20181128 ansible juniper-automation_v2 von Hiromi Tsukamoto
20181128 ansible juniper-automation_v220181128 ansible juniper-automation_v2
20181128 ansible juniper-automation_v2
Hiromi Tsukamoto724 views
キャリア網の完全なソフトウェア制御化への取り組み (沖縄オープンデイズ 2017) / Telecommunication Infrastructure ... von KenzoOkuda
キャリア網の完全なソフトウェア制御化への取り組み (沖縄オープンデイズ 2017) / Telecommunication Infrastructure ...キャリア網の完全なソフトウェア制御化への取り組み (沖縄オープンデイズ 2017) / Telecommunication Infrastructure ...
キャリア網の完全なソフトウェア制御化への取り組み (沖縄オープンデイズ 2017) / Telecommunication Infrastructure ...
KenzoOkuda212 views
データセンターネットワークの構成について von MicroAd, Inc.(Engineer)
データセンターネットワークの構成についてデータセンターネットワークの構成について
データセンターネットワークの構成について
MicroAd, Inc.(Engineer)268 views
iBeacon を利用したサービス開発のポイント von daisuke-a-matsui
iBeacon を利用したサービス開発のポイントiBeacon を利用したサービス開発のポイント
iBeacon を利用したサービス開発のポイント
daisuke-a-matsui18.9K views
Aws summit tokyo 2016 von Shotaro Motomura
Aws summit tokyo 2016Aws summit tokyo 2016
Aws summit tokyo 2016
Shotaro Motomura9.8K views
これだけは知っておきたい5Gのキホン - 5Gビジネスに必要な基礎知識 von Yasuo Igano
これだけは知っておきたい5Gのキホン - 5Gビジネスに必要な基礎知識これだけは知っておきたい5Gのキホン - 5Gビジネスに必要な基礎知識
これだけは知っておきたい5Gのキホン - 5Gビジネスに必要な基礎知識
Yasuo Igano1.6K views
20200522 Blockchain GIG#7 株式会社NTTデータ山下様資料 von オラクルエンジニア通信
20200522 Blockchain GIG#7 株式会社NTTデータ山下様資料20200522 Blockchain GIG#7 株式会社NTTデータ山下様資料
20200522 Blockchain GIG#7 株式会社NTTデータ山下様資料
オラクルエンジニア通信1.3K views
Arduino用3gシールドの開発と教育への実践(天良先生) von Takayori Takamoto
Arduino用3gシールドの開発と教育への実践(天良先生)Arduino用3gシールドの開発と教育への実践(天良先生)
Arduino用3gシールドの開発と教育への実践(天良先生)
Takayori Takamoto2.5K views
Secure architecting on OCI (Oracle Cloud Infrastructure) 2021年3月16日 von Masanori KAMAYAMA
Secure architecting on OCI (Oracle Cloud Infrastructure) 2021年3月16日Secure architecting on OCI (Oracle Cloud Infrastructure) 2021年3月16日
Secure architecting on OCI (Oracle Cloud Infrastructure) 2021年3月16日
Masanori KAMAYAMA1.1K views
Arduino用3gシールド今後の開発・製造・普及に向けて von Arduino3G
Arduino用3gシールド今後の開発・製造・普及に向けてArduino用3gシールド今後の開発・製造・普及に向けて
Arduino用3gシールド今後の開発・製造・普及に向けて
Arduino3G861 views
Arduino用3gシールド今後の開発・製造・普及に向けて von Takayori Takamoto
Arduino用3gシールド今後の開発・製造・普及に向けてArduino用3gシールド今後の開発・製造・普及に向けて
Arduino用3gシールド今後の開発・製造・普及に向けて
Takayori Takamoto1.3K views
IoTビジネス共創ラボ 第4回勉強会(2017 07-03) von 博宣 今村
IoTビジネス共創ラボ 第4回勉強会(2017 07-03)IoTビジネス共創ラボ 第4回勉強会(2017 07-03)
IoTビジネス共創ラボ 第4回勉強会(2017 07-03)
博宣 今村554 views

Más de ARISE analytics

【論文レベルで理解しよう!】​ 欠測値処理編​ von
【論文レベルで理解しよう!】​ 欠測値処理編​【論文レベルで理解しよう!】​ 欠測値処理編​
【論文レベルで理解しよう!】​ 欠測値処理編​ARISE analytics
83 views19 Folien
【論文レベルで理解しよう!】​ 大規模言語モデル(LLM)編​ von
【論文レベルで理解しよう!】​ 大規模言語モデル(LLM)編​【論文レベルで理解しよう!】​ 大規模言語モデル(LLM)編​
【論文レベルで理解しよう!】​ 大規模言語モデル(LLM)編​ARISE analytics
112 views20 Folien
【論文読み会】Signing at Scale: Learning to Co-Articulate Signs for Large-Scale Pho... von
【論文読み会】Signing at Scale: Learning to Co-Articulate Signs for Large-Scale Pho...【論文読み会】Signing at Scale: Learning to Co-Articulate Signs for Large-Scale Pho...
【論文読み会】Signing at Scale: Learning to Co-Articulate Signs for Large-Scale Pho...ARISE analytics
183 views32 Folien
Hierarchical Metadata-Aware Document Categorization under Weak Supervision​ (... von
Hierarchical Metadata-Aware Document Categorization under Weak Supervision​ (...Hierarchical Metadata-Aware Document Categorization under Weak Supervision​ (...
Hierarchical Metadata-Aware Document Categorization under Weak Supervision​ (...ARISE analytics
122 views24 Folien
【論文読み会】Pyraformer_Low-Complexity Pyramidal Attention for Long-Range Time Seri... von
【論文読み会】Pyraformer_Low-Complexity Pyramidal Attention for Long-Range Time Seri...【論文読み会】Pyraformer_Low-Complexity Pyramidal Attention for Long-Range Time Seri...
【論文読み会】Pyraformer_Low-Complexity Pyramidal Attention for Long-Range Time Seri...ARISE analytics
574 views18 Folien
【論文読み会】Analytic-DPM_an Analytic Estimate of the Optimal Reverse Variance in D... von
【論文読み会】Analytic-DPM_an Analytic Estimate of the Optimal Reverse Variance in D...【論文読み会】Analytic-DPM_an Analytic Estimate of the Optimal Reverse Variance in D...
【論文読み会】Analytic-DPM_an Analytic Estimate of the Optimal Reverse Variance in D...ARISE analytics
464 views17 Folien

Más de ARISE analytics(17)

【論文レベルで理解しよう!】​ 欠測値処理編​ von ARISE analytics
【論文レベルで理解しよう!】​ 欠測値処理編​【論文レベルで理解しよう!】​ 欠測値処理編​
【論文レベルで理解しよう!】​ 欠測値処理編​
ARISE analytics83 views
【論文レベルで理解しよう!】​ 大規模言語モデル(LLM)編​ von ARISE analytics
【論文レベルで理解しよう!】​ 大規模言語モデル(LLM)編​【論文レベルで理解しよう!】​ 大規模言語モデル(LLM)編​
【論文レベルで理解しよう!】​ 大規模言語モデル(LLM)編​
ARISE analytics112 views
【論文読み会】Signing at Scale: Learning to Co-Articulate Signs for Large-Scale Pho... von ARISE analytics
【論文読み会】Signing at Scale: Learning to Co-Articulate Signs for Large-Scale Pho...【論文読み会】Signing at Scale: Learning to Co-Articulate Signs for Large-Scale Pho...
【論文読み会】Signing at Scale: Learning to Co-Articulate Signs for Large-Scale Pho...
ARISE analytics183 views
Hierarchical Metadata-Aware Document Categorization under Weak Supervision​ (... von ARISE analytics
Hierarchical Metadata-Aware Document Categorization under Weak Supervision​ (...Hierarchical Metadata-Aware Document Categorization under Weak Supervision​ (...
Hierarchical Metadata-Aware Document Categorization under Weak Supervision​ (...
ARISE analytics122 views
【論文読み会】Pyraformer_Low-Complexity Pyramidal Attention for Long-Range Time Seri... von ARISE analytics
【論文読み会】Pyraformer_Low-Complexity Pyramidal Attention for Long-Range Time Seri...【論文読み会】Pyraformer_Low-Complexity Pyramidal Attention for Long-Range Time Seri...
【論文読み会】Pyraformer_Low-Complexity Pyramidal Attention for Long-Range Time Seri...
ARISE analytics574 views
【論文読み会】Analytic-DPM_an Analytic Estimate of the Optimal Reverse Variance in D... von ARISE analytics
【論文読み会】Analytic-DPM_an Analytic Estimate of the Optimal Reverse Variance in D...【論文読み会】Analytic-DPM_an Analytic Estimate of the Optimal Reverse Variance in D...
【論文読み会】Analytic-DPM_an Analytic Estimate of the Optimal Reverse Variance in D...
ARISE analytics464 views
【論文読み会】Autoregressive Diffusion Models.pptx von ARISE analytics
【論文読み会】Autoregressive Diffusion Models.pptx【論文読み会】Autoregressive Diffusion Models.pptx
【論文読み会】Autoregressive Diffusion Models.pptx
ARISE analytics5.3K views
【論文読み会】BEiT_BERT Pre-Training of Image Transformers.pptx von ARISE analytics
【論文読み会】BEiT_BERT Pre-Training of Image Transformers.pptx【論文読み会】BEiT_BERT Pre-Training of Image Transformers.pptx
【論文読み会】BEiT_BERT Pre-Training of Image Transformers.pptx
ARISE analytics552 views
【論文読み会】PiCO_Contrastive Label Disambiguation for Partial Label Learning.pptx von ARISE analytics
【論文読み会】PiCO_Contrastive Label Disambiguation for Partial Label Learning.pptx【論文読み会】PiCO_Contrastive Label Disambiguation for Partial Label Learning.pptx
【論文読み会】PiCO_Contrastive Label Disambiguation for Partial Label Learning.pptx
ARISE analytics494 views
【論文読み会】Deep Reinforcement Learning at the Edge of the Statistical Precipice von ARISE analytics
【論文読み会】Deep Reinforcement Learning at the Edge of the Statistical Precipice【論文読み会】Deep Reinforcement Learning at the Edge of the Statistical Precipice
【論文読み会】Deep Reinforcement Learning at the Edge of the Statistical Precipice
ARISE analytics698 views
【論文読み会】Alias-Free Generative Adversarial Networks(StyleGAN3) von ARISE analytics
【論文読み会】Alias-Free Generative Adversarial Networks(StyleGAN3)【論文読み会】Alias-Free Generative Adversarial Networks(StyleGAN3)
【論文読み会】Alias-Free Generative Adversarial Networks(StyleGAN3)
ARISE analytics2.7K views
【論文読み会】On the Expressivity of Markov Reward von ARISE analytics
【論文読み会】On the Expressivity of Markov Reward【論文読み会】On the Expressivity of Markov Reward
【論文読み会】On the Expressivity of Markov Reward
ARISE analytics583 views
【論文読み会】MAUVE: Measuring the Gap Between Neural Text and Human Text using Dive... von ARISE analytics
【論文読み会】MAUVE: Measuring the Gap Between Neural Text and Human Text using Dive...【論文読み会】MAUVE: Measuring the Gap Between Neural Text and Human Text using Dive...
【論文読み会】MAUVE: Measuring the Gap Between Neural Text and Human Text using Dive...
ARISE analytics698 views
【論文読み会】Moser Flow: Divergence-based Generative Modeling on Manifolds von ARISE analytics
【論文読み会】Moser Flow: Divergence-based Generative Modeling on Manifolds【論文読み会】Moser Flow: Divergence-based Generative Modeling on Manifolds
【論文読み会】Moser Flow: Divergence-based Generative Modeling on Manifolds
ARISE analytics699 views
Counterfaual Machine Learning(CFML)のサーベイ von ARISE analytics
Counterfaual Machine Learning(CFML)のサーベイCounterfaual Machine Learning(CFML)のサーベイ
Counterfaual Machine Learning(CFML)のサーベイ
ARISE analytics29.7K views
【論文読み会】Deep Clustering for Unsupervised Learning of Visual Features von ARISE analytics
【論文読み会】Deep Clustering for Unsupervised Learning of Visual Features【論文読み会】Deep Clustering for Unsupervised Learning of Visual Features
【論文読み会】Deep Clustering for Unsupervised Learning of Visual Features
ARISE analytics7.8K views
【論文読み会】Universal Language Model Fine-tuning for Text Classification von ARISE analytics
【論文読み会】Universal Language Model Fine-tuning for Text Classification【論文読み会】Universal Language Model Fine-tuning for Text Classification
【論文読み会】Universal Language Model Fine-tuning for Text Classification
ARISE analytics1.9K views

Último

SSH応用編_20231129.pdf von
SSH応用編_20231129.pdfSSH応用編_20231129.pdf
SSH応用編_20231129.pdficebreaker4
30 views13 Folien
Windows 11 information that can be used at the development site von
Windows 11 information that can be used at the development siteWindows 11 information that can be used at the development site
Windows 11 information that can be used at the development siteAtomu Hidaka
21 views41 Folien
今、改めて考えるPostgreSQLプラットフォーム - マルチクラウドとポータビリティ -(PostgreSQL Conference Japan 20... von
今、改めて考えるPostgreSQLプラットフォーム - マルチクラウドとポータビリティ -(PostgreSQL Conference Japan 20...今、改めて考えるPostgreSQLプラットフォーム - マルチクラウドとポータビリティ -(PostgreSQL Conference Japan 20...
今、改めて考えるPostgreSQLプラットフォーム - マルチクラウドとポータビリティ -(PostgreSQL Conference Japan 20...NTT DATA Technology & Innovation
13 views42 Folien
さくらのひやおろし2023 von
さくらのひやおろし2023さくらのひやおろし2023
さくらのひやおろし2023法林浩之
83 views58 Folien
The Things Stack説明資料 by The Things Industries von
The Things Stack説明資料 by The Things IndustriesThe Things Stack説明資料 by The Things Industries
The Things Stack説明資料 by The Things IndustriesCRI Japan, Inc.
19 views29 Folien
pgvectorを使ってChatGPTとPostgreSQLを連携してみよう!(PostgreSQL Conference Japan 2023 発表資料) von
pgvectorを使ってChatGPTとPostgreSQLを連携してみよう!(PostgreSQL Conference Japan 2023 発表資料)pgvectorを使ってChatGPTとPostgreSQLを連携してみよう!(PostgreSQL Conference Japan 2023 発表資料)
pgvectorを使ってChatGPTとPostgreSQLを連携してみよう!(PostgreSQL Conference Japan 2023 発表資料)NTT DATA Technology & Innovation
185 views63 Folien

Último(12)

SSH応用編_20231129.pdf von icebreaker4
SSH応用編_20231129.pdfSSH応用編_20231129.pdf
SSH応用編_20231129.pdf
icebreaker430 views
Windows 11 information that can be used at the development site von Atomu Hidaka
Windows 11 information that can be used at the development siteWindows 11 information that can be used at the development site
Windows 11 information that can be used at the development site
Atomu Hidaka21 views
今、改めて考えるPostgreSQLプラットフォーム - マルチクラウドとポータビリティ -(PostgreSQL Conference Japan 20... von NTT DATA Technology & Innovation
今、改めて考えるPostgreSQLプラットフォーム - マルチクラウドとポータビリティ -(PostgreSQL Conference Japan 20...今、改めて考えるPostgreSQLプラットフォーム - マルチクラウドとポータビリティ -(PostgreSQL Conference Japan 20...
今、改めて考えるPostgreSQLプラットフォーム - マルチクラウドとポータビリティ -(PostgreSQL Conference Japan 20...
NTT DATA Technology & Innovation13 views
さくらのひやおろし2023 von 法林浩之
さくらのひやおろし2023さくらのひやおろし2023
さくらのひやおろし2023
法林浩之83 views
The Things Stack説明資料 by The Things Industries von CRI Japan, Inc.
The Things Stack説明資料 by The Things IndustriesThe Things Stack説明資料 by The Things Industries
The Things Stack説明資料 by The Things Industries
CRI Japan, Inc.19 views
pgvectorを使ってChatGPTとPostgreSQLを連携してみよう!(PostgreSQL Conference Japan 2023 発表資料) von NTT DATA Technology & Innovation
pgvectorを使ってChatGPTとPostgreSQLを連携してみよう!(PostgreSQL Conference Japan 2023 発表資料)pgvectorを使ってChatGPTとPostgreSQLを連携してみよう!(PostgreSQL Conference Japan 2023 発表資料)
pgvectorを使ってChatGPTとPostgreSQLを連携してみよう!(PostgreSQL Conference Japan 2023 発表資料)
NTT DATA Technology & Innovation185 views
「概念モデリング自動化に向けた第一歩」 ~ ChatGPT・Open AI 活用による開発対象のモデル化 von Knowledge & Experience
「概念モデリング自動化に向けた第一歩」 ~ ChatGPT・Open AI 活用による開発対象のモデル化「概念モデリング自動化に向けた第一歩」 ~ ChatGPT・Open AI 活用による開発対象のモデル化
「概念モデリング自動化に向けた第一歩」 ~ ChatGPT・Open AI 活用による開発対象のモデル化
Knowledge & Experience8 views
Web3 Career_クレデン資料 .pdf von nanamatsuo
Web3 Career_クレデン資料 .pdfWeb3 Career_クレデン資料 .pdf
Web3 Career_クレデン資料 .pdf
nanamatsuo8 views
JJUG CCC.pptx von Kanta Sasaki
JJUG CCC.pptxJJUG CCC.pptx
JJUG CCC.pptx
Kanta Sasaki6 views
01Booster Studio ご紹介資料 von ssusere7a2172
01Booster Studio ご紹介資料01Booster Studio ご紹介資料
01Booster Studio ご紹介資料
ssusere7a2172220 views
速習! PostgreSQL専用HAソフトウェア: Patroni(PostgreSQL Conference Japan 2023 発表資料) von NTT DATA Technology & Innovation
速習! PostgreSQL専用HAソフトウェア: Patroni(PostgreSQL Conference Japan 2023 発表資料)速習! PostgreSQL専用HAソフトウェア: Patroni(PostgreSQL Conference Japan 2023 発表資料)
速習! PostgreSQL専用HAソフトウェア: Patroni(PostgreSQL Conference Japan 2023 発表資料)
NTT DATA Technology & Innovation10 views
SNMPセキュリティ超入門 von mkoda
SNMPセキュリティ超入門SNMPセキュリティ超入門
SNMPセキュリティ超入門
mkoda31 views

教師なしGNNによるIoTデバイスの異常通信検知の検討

  • 1. 教師なしGNNによる IoTデバイスの異常通信検知の検討 ★近藤 真暉(株式会社 ARISE analytics) 奥井 宣広(株式会社 KDDI総合研究所) 2023.01.26 @ SCIS2023 ©2023 ARISE analytics Reserved. 本研究成果は、国立研究開発法人情報通信研究機構の委託研究(05201)により得られたものです。
  • 2. 発表概要 ©2023 ARISE analytics Reserved. 1 【本研究の概要】 IoTデバイスの通信データを対象とした異常通信検知を目的とした教師なしGNNを提案 【本研究の成果】 ① Metric Learning を用いた教師なし学習によるグラフの埋め込み手法の提案 ② 異常通信検知向け公開データセットを用い、本手法により汎用的な性能が得られていることを確認 Source IP/Port Destination IP/Port Device Network 1b 2b 1a 1c 2c Create Graph ➡ ➡ Sub-Graph Extraction ➡ Graph Embedding Model Anomaly Detection with kNN
  • 3. 目次 ©2023 ARISE analytics Reserved. 2 提案手法 先行研究 実験 まとめ 背景
  • 4. 背景 - IoTデバイスを対象としたサイバーセキュリティ ©2023 ARISE analytics Reserved. 3 図:『総務省 情報通信白書(R3版)(総務省 2021)』をもとに一部加工 IoTデバイスの増加に伴い、IoTデバイスを対象としたサイバー攻撃が増加傾向にある 世界のIoTデバイス数の推移及び予測 IoTデバイスを対象としたサイバー攻撃(マルウェアMiraiの例) IoTデバイスは台数・種類の多さから手動によるセキュリティ対策が困難 ↓ 機械学習を用いたセキュリティ対策(異常通信検知)の自動化が不可欠 Mirai botmaster C&C Server 感染IoTデバイス DDoS攻撃
  • 5. 目次 ©2023 ARISE analytics Reserved. 4 提案手法 先行研究 実験 まとめ 背景
  • 6. 異常通信検知 ©2023 ARISE analytics Reserved. 5 デバイス間で行われる通信を観測し、正常とは異なる通信が発生したときに自動で検知する手段 機械学習を用いた異常通信検知は、「教師なし」ベースの手法と「教師あり」ベースの手法に大別される デバイス間の通信を観測 異常通信を検知したら対策 × 教師なし異常通信検知 教師あり異常通信検知 サイバー攻撃は日進月歩であり、過去とは異なる異常通信が発生する可能性が高く、 教師なし異常通信検知の重要性が高まっている ⚫ 正常通信を用いて学習 ⚫ 正常通信と異なる異常通信を 検知する ⚫ 未知の異常通信に対応可能 ⚫ 正常通信と異常通信を用いて 学習 ⚫ 異常通信の検知に加え、異常 通信の種類も分類可能 ⚫ 既知の異常通信のみを対象
  • 7. グラフニューラルネットワーク(GNN)による異常通信検知 ©2023 ARISE analytics Reserved. 6 従来の機械学習アプローチに対し、近年GNNを用いた異常通信検知が提案されている 利点: - 複数の通信データを統合して処理できるため、従来手法に比べて性能向上する例が多い 欠点: - 教師ありの手法が中心であり、未知の異常に対して十分な検知精度が得られない可能性がある Source IP/Port Destination IP/Port Device Network 1b 2b 1a 1c 2c Create Graph ➡ ➡ Sub-Graph Extraction ➡ Graph Embedding Model Anomaly Detection (Supervised) E-GraphSAGEによる教師あり異常通信検知の例
  • 8. 本研究の位置づけ ©2023 ARISE analytics Reserved. 7 GNNを教師なし異常通信検知に適用できるよう改良し、活用の幅を広げる GNN ML 教師あり異常通信検知 教師なし異常通信検知 • [1][2]など • [4][5]など • [3]など • 提案手法 [1] Distributed anomaly detection for industrial wireless sensor networks based on fuzzy data modelling(JPDC 2013) [2] On the symbiosis of specification-based and anomaly-based detection (Computers & Security 2010) [3] Hyperspherical cluster based distributed anomaly detection in wireless sensor networks (JPDC 2013) [4] E-GraphSAGE: A Graph Neural Network based Intrusion Detection System for IoT(NOMS 2022) [5] Graph-based Solutions with Residuals for Intrusion Detection: the Modified E-GraphSAGE and E-ResGAT Algorithms(ArXiv 2021)
  • 9. 目次 ©2023 ARISE analytics Reserved. 8 提案手法 先行研究 実験 まとめ 背景
  • 10. 提案手法:Unsupervised E-GraphSAGE ©2023 ARISE analytics Reserved. 9 [4] E-GraphSAGE: A Graph Neural Network based Intrusion Detection System for IoT(NOMS 2022) E-GraphSAGE[4]をベースに、Metric Learningを導入することで教師なし学習を実現 本手法は3つの手順に分かれる Source IP/Port Destination IP/Port Device Network 1b 2b 1a 1c 2c Create Graph ➡ ➡ Sub-Graph Extraction ➡ Graph Embedding Model Anomaly Detection with kNN 手順① 通信データからのグラフ構築 手順② ノード埋め込みモデルの学習 手順③ 異常検知モデルの学習 E-GraphSAGEベース 今回の改良部分
  • 11. 手順① 通信データからのグラフ構築 ©2023 ARISE analytics Reserved. 10 ホストをノードに、ホスト間通信をエッジとみなすことで、グラフを用いた通信表現が可能 ただし、一般的なGNNはノードに特徴(通信データ)が保有されていることを前提としている ➡ノードに通信データが含まれるように変換を行う Source IP/Port Destination IP/Port 1 2 3 a b c Source IP/Port Destination IP/Port = ⇔ 1b 2b 3b 1a 1c 2c Device Network Device Graph Swap Edges and Nodes 3c 1b 2b 1a 1c 2c 通信データはエッジに格納されており 一般的なGNNでは処理が難しい 通信データ 通信データ ノードとエッジを入れ替えることで、 ノードに通信データを格納することが可能 これにより、一般的なGNNでの処理が可能になる
  • 12. 手順② ノード埋め込みモデルの学習 – Metric Learning ©2023 ARISE analytics Reserved. 11 教師情報を用いないMetric Learningを導入し、教師なしによるノード埋め込みモデルを学習 近くなるように学習 𝑧𝑢 𝑧𝑣𝑛 𝑧𝑣 𝐹(𝑆𝑢) 𝐹(𝑆𝑣) 𝐹(𝑆𝑣𝑛 ) アンカー・ポジティブ・ネガティブを用い、 以下を実現する埋め込みモデル 𝐹(𝑥) を学習 アンカー𝒖-ポジティブ𝒗 :近くなる アンカー𝒖-ネガティブ𝒗𝒏 :遠くなる Metric Learningの損失関数(Triplet Loss) 遠くなるように学習 アンカー ポジティブ ネガティブ
  • 13. 手順② ノード埋め込みモデルの学習 – ノードの選択 ©2023 ARISE analytics Reserved. 12 ※ 隣接ノードからは似たサブグラフが、遠方ノードからは異なるサブグラフが構築される、という考え方に基づく 選択したアンカーノードに対し、構成されるサブグラフが似る/似ないようにポジティブ/ネガティブを選択し、ノード を起点とするサブグラフを埋め込むモデルを学習 k-hop 近くなるように学習 𝑢 𝑣 𝑣𝑛 𝑧𝑢 𝑧𝑣𝑛 𝑧𝑣 𝑆𝑢 𝑆𝑣 𝑆𝑣𝑛 𝐹(𝑆𝑢) 𝐹(𝑆𝑣) 𝐹(𝑆𝑣𝑛 ) ① 埋め込み対象 アンカーノード𝒖 を決定 ② ポジティブサンプルである隣接ノード𝒗 と ネガティブサンプルである遠方ノード𝒗𝒏を決定 ③ それぞれのノードに対し、k-hop samplingを行いサブグラフを構築 (k=2の例) ④ サブグラフの埋め込みを学習 アンカーノード𝒖-隣接ノード𝒗 :近くなる アンカーノード𝒖-遠方ノード𝒗𝒏 :遠くなる 遠くなるように学習 ポジティブ ネガティブ アンカー
  • 14. 手順③ 異常検知モデルの学習 ©2023 ARISE analytics Reserved. 13 ※ 埋め込みモデルの学習データと異常検知モデルの学習データは同一のものを用いる 得られたノードの埋め込み特徴(通信データの埋め込み特徴)を用い、異常検知モデルを学習 異常検知モデルは、Metric Learningと同様に距離計算ベースの手法であるkNN Anomaly Detectorを採用 検知対象サンプルに対し、N個の近隣サンプルとの距離を算出 距離が事前に学習した閾値を上回った場合は異常とみなす (k=3の例) 正常サンプルの処理例 異常サンプルの処理例 最大距離 : 4.2 最大距離 : 14.7
  • 15. 目次 ©2023 ARISE analytics Reserved. 14 提案手法 先行研究 実験 まとめ 背景
  • 16. 実験設定 ©2023 ARISE analytics Reserved. 15 ※1 E-GraphSAGEと同様の前処理を行うため、IPアドレスおよびポートは除去して用いた。 ※2 すべての種類の異常通信をまとめてひとつの異常通信として扱う。 提案手法の効果を確認するため、IoTの通信データによる公開データセットを用いた実験を実施 【データセット内訳】 【比較対象】 ① 通信データの特徴表現(埋め込み前の既存特徴 / 提案手法 ) ② 異常検知アルゴリズム(kNN / AutoEncoder / One Class SVM) 【評価方法】 ① t-SNEを用いた埋め込み特徴の可視化 ② 二値分類による通信異常検知(正常通信か異常通信※2かを分類)とROCAUCを用いた評価 データセット 異常通信の種類 数 正常通信の割合 (%) 既存特徴の次元※1 訓練データの件数 (正常通信のみ) 検証データの件数 (異常通信含む) テストデータの件数 (異常通信含む) UNSW-NB15 9 96.83 43 485,001 5,000 210,000 The TON_IoT 9 65.07 39 316,043 5,000 210,000
  • 17. 実験① 埋め込み特徴の可視化 ©2023 ARISE analytics Reserved. 16 提案手法によるノード埋め込み(通信データ埋め込み)結果をt-SNEで可視化 UNSW-NB15 The TON_IoT 青色:正常通信から生成されたサンプル それ以外の色:異常通信から生成されたサンプル 同一種別の通信によるまとまりが確認できている ↓ 提案手法により、正常通信と異常通信を分離できるような特徴表現を学習できている
  • 18. 実験② 通信異常検知 ©2023 ARISE analytics Reserved. 17 提案手法によるノード埋め込み(通信データ埋め込み)結果と異常検知アルゴリズムの組み合わせを検証 比較対象として、通信データに対し異常検知アルゴリズムを適用したケース(RAW)を算出 各データセットで高精度であったのはRAW(AE)/RAW(kNN) ただし、平均値は提案手法(kNN)が最も高精度であり、データセット間の差分(ばらつき)も最も小さい ↓ 本実験の範囲において、Unsupervised E-GraphSAGE Embedding Model(kNN)は データセットによらず汎用的な性能が得られている ↓ ↑ ↑ ↑
  • 19. 目次 ©2023 ARISE analytics Reserved. 18 提案手法 先行研究 実験 まとめ 背景
  • 20. まとめ ©2023 ARISE analytics Reserved. 19 【本研究の概要】 IoTデバイスの通信データを対象とした異常通信検知を目的に、教師なしGNN異常検知を提案 【本研究の成果】 ① Metric Learning を用いた教師なし学習によるグラフの埋め込み手法の提案 ② 異常通信検知向け公開データセットを用い、本手法と異常検知手法を組み合わせることで汎用的な性 能が得られていることを確認 【今後の展望】 ① ノード埋め込みモデルの学習と異常検知モデルの学習の統合 ② 組み合わせる異常検知アルゴリズムの違いによる特性の分析
  • 21. Best Partner for innovation, Best Creator for the future.