パケットペイロードを対象としたBERTによる特徴抽出を用いた異常通信検知技術の有効性の検討

抄録

産業用制御システム (ICS)の安全性を確保するためにネットワーク内の異常通信の検知は重要だが，ICS内で利用される独自のものを含めた多種多様な通信プロトコル全てに対応した異常検知ルールの作成は困難である．そのため，パケットペイロードの特徴を事前知識なしで学習し，広範なプロトコルに対応可能なBidirectional Encoder Representations for Transformers (BERT)による特徴抽出を用いた異常通信検知が注目されている．しかしながら，実運用のための性能検討が十分にされているとは言えない．そこで，本稿ではパケットペイロードを対象としたBERTによる特徴抽出を用いた異常通信検知に対して，その特徴や有用性を検討するために性能測定実験を行う．具体的には(1)代表的なプロトコルのペイロードをランダム書き換えによる検知性能を測定し，(2)実運用上で重要な過検知補正技術を適用することによる性能向上について確認する．本稿ではこれらの実験により，パケットペイロードを対象としたBERTによる特徴抽出を用いた異常通信検知の性能を示し，その有効性について検討する．