Core Concepts
新しいクラスを再トレーニングせずに動的に検出し、適応させるための新しい分類方法を紹介します。
Abstract
暗号化されたネットワークトラフィックの分類問題に対処するための新しいアプローチであるCBR(Classification By Retrieval)を紹介。
モデルを再トレーニングすることなく、新しいクラスを動的に検出して適応させる能力がある。
ANNベースの手法を使用しており、リアルタイムな分類が可能であり、RFと同等の精度を提供。
新しいサンプル(新規クラスから)の場合は若干の減少が見られるものの、再トレーニングなしで新しいクラスを分類可能。
提案されたソリューションは統計的特徴量のみ使用しており、将来予定されているプロトコル変更に対して堅牢性が期待される。
イントロダクション
暗号化されたネットワークトラフィック分類へのMLおよびDLモデルの適用性。
伝統的なDeep Packet Inspection(DPI)方法では今後利用できなくなる可能性があることから高度な暗号化トラフィックフロー分類アルゴリズムが必要。
方法論
CBRアーキテクチャ:ANNを使用した迅速かつ正確な分類手法。
データセットを訓練セット(70%)とテストセット(30%)に分割し、Elastic searchデータベースに特徴量を追加。
結果
BOAおよびMTAデータセットで実験実施。RFと比較してCBRは近い結果を達成。
新規クラス(Cobalt Strike)に対するCBRモデル評価。全てのクラスが正確に分類されるも一部精度低下あり。
議論と将来展望
行動特徴量選択や他データセットでCBR分類評価予定。
近似最近傍探索アルゴリズム比較やANN検索アルゴリズム追加比較予定。
Stats
"To summarize, the new method is a real-time classification, which can classify new classes without retraining."
"The dataset contains more than 20,000 sessions."
"For each sample from the test set, the model predicts the label."