6章異常検知

新井 悠

本章は日本語版オリジナルの記事である。本章は原著の「Chapter 6: Machine Learning in Anomaly Detection Systems（侵入検知システムにおける機械学習）」の主旨はそのままに増補・改訂を施したものであり、情報セキュリティ領域における異常検知の手法について解説を行う。本章では次のトピックについて取り扱う。

• Windowsイベントログの概要
• 時系列分析による異常値検出
• Prophet、msticpyを使ったそれぞれの実装

6.1　異常検知技術の概要

「異常」とは、普通ではないもの、予期しないデータのパターンのことである。データマイニングにおいて異常はよく使われる単語であり、「異常値」とも呼ばれる。異常検知技術とは、不正を検知したり悪意ある行動を発見したりするための技術である。ネットワークにおいて、異常はさまざまな理由で発生するが、本書で重要なのは悪意ある活動による異常である。一般的に、異常は次の3種類に分けられる。

点異常

個々のインスタンスが、他のデータと比較すると異常である。

文脈異常

特定の文脈（時間帯や地域など）において異常である。

集合的異常

個々のインスタンスは異常ではないが、集合として現れると異常である。

これらの異常は入手可能なデータをもとに検知できる。本章では、点異常について時系列解析を行って検出する方法について解説する。

6.2　SIEMとUEBA

SIEMとはSecurity Information and Event Managementの略称である。一般に、SIEMはセキュリティ対策機器などからログを収集して一元管理し、相関分析などをすることによって企業などが脅威を早期に発見する製品やソリューションを指している。近年では、SIEMに加えて ...