1. 教師なしGNNによる
IoTデバイスの異常通信検知の検討
★近藤 真暉（株式会社 ARISE analytics）
奥井 宣広（株式会社 KDDI総合研究所）
2023.01.26 ＠ SCIS2023
©2023 ARISE analytics Reserved.
本研究成果は、国立研究開発法人情報通信研究機構の委託研究（05201）により得られたものです。

2. 発表概要
©2023 ARISE analytics Reserved. 1
【本研究の概要】
IoTデバイスの通信データを対象とした異常通信検知を目的とした教師なしGNNを提案
【本研究の成果】
① Metric Learning を用いた教師なし学習によるグラフの埋め込み手法の提案
② 異常通信検知向け公開データセットを用い、本手法により汎用的な性能が得られていることを確認
Source
IP/Port
Destination
IP/Port
Device Network
1b
2b
1a
1c
2c
Create Graph
➡ ➡
Sub-Graph Extraction
➡
Graph
Embedding
Model
Anomaly Detection with kNN

3. 目次
©2023 ARISE analytics Reserved. 2
提案手法
先行研究
実験
まとめ
背景

4. 背景 - IoTデバイスを対象としたサイバーセキュリティ
©2023 ARISE analytics Reserved. 3
図：『総務省 情報通信白書（R3版）（総務省 2021）』をもとに一部加工
IoTデバイスの増加に伴い、IoTデバイスを対象としたサイバー攻撃が増加傾向にある
世界のIoTデバイス数の推移及び予測 IoTデバイスを対象としたサイバー攻撃（マルウェアMiraiの例）
IoTデバイスは台数・種類の多さから手動によるセキュリティ対策が困難
↓
機械学習を用いたセキュリティ対策（異常通信検知）の自動化が不可欠
Mirai botmaster C&C Server 感染IoTデバイス DDoS攻撃

5. 目次
©2023 ARISE analytics Reserved. 4
提案手法
先行研究
実験
まとめ
背景

6. 異常通信検知
©2023 ARISE analytics Reserved. 5
デバイス間で行われる通信を観測し、正常とは異なる通信が発生したときに自動で検知する手段
機械学習を用いた異常通信検知は、「教師なし」ベースの手法と「教師あり」ベースの手法に大別される
デバイス間の通信を観測 異常通信を検知したら対策
×
教師なし異常通信検知
教師あり異常通信検知
サイバー攻撃は日進月歩であり、過去とは異なる異常通信が発生する可能性が高く、
教師なし異常通信検知の重要性が高まっている
⚫ 正常通信を用いて学習
⚫ 正常通信と異なる異常通信を
検知する
⚫ 未知の異常通信に対応可能
⚫ 正常通信と異常通信を用いて
学習
⚫ 異常通信の検知に加え、異常
通信の種類も分類可能
⚫ 既知の異常通信のみを対象

7. グラフニューラルネットワーク（GNN）による異常通信検知
©2023 ARISE analytics Reserved. 6
従来の機械学習アプローチに対し、近年GNNを用いた異常通信検知が提案されている
利点：
- 複数の通信データを統合して処理できるため、従来手法に比べて性能向上する例が多い
欠点：
- 教師ありの手法が中心であり、未知の異常に対して十分な検知精度が得られない可能性がある
Source
IP/Port
Destination
IP/Port
Device Network
1b
2b
1a
1c
2c
Create Graph
➡ ➡
Sub-Graph Extraction
➡
Graph
Embedding
Model
Anomaly Detection
（Supervised）
E-GraphSAGEによる教師あり異常通信検知の例

8. 本研究の位置づけ
©2023 ARISE analytics Reserved. 7
GNNを教師なし異常通信検知に適用できるよう改良し、活用の幅を広げる
GNN
ML
教師あり異常通信検知 教師なし異常通信検知
• [1][2]など
• [4][5]など
• [3]など
• 提案手法
[1] Distributed anomaly detection for industrial wireless sensor networks based on fuzzy data modelling（JPDC 2013）
[2] On the symbiosis of specification-based and anomaly-based detection （Computers & Security 2010）
[3] Hyperspherical cluster based distributed anomaly detection in wireless sensor networks （JPDC 2013）
[4] E-GraphSAGE: A Graph Neural Network based Intrusion Detection System for IoT（NOMS 2022）
[5] Graph-based Solutions with Residuals for Intrusion Detection: the Modified E-GraphSAGE and E-ResGAT Algorithms（ArXiv 2021）

9. 目次
©2023 ARISE analytics Reserved. 8
提案手法
先行研究
実験
まとめ
背景

10. 提案手法：Unsupervised E-GraphSAGE
©2023 ARISE analytics Reserved. 9
[4] E-GraphSAGE: A Graph Neural Network based Intrusion Detection System for IoT（NOMS 2022）
E-GraphSAGE[4]をベースに、Metric Learningを導入することで教師なし学習を実現
本手法は３つの手順に分かれる
Source
IP/Port
Destination
IP/Port
Device Network
1b
2b
1a
1c
2c
Create Graph
➡ ➡
Sub-Graph Extraction
➡
Graph
Embedding
Model
Anomaly Detection with kNN
手順① 通信データからのグラフ構築 手順② ノード埋め込みモデルの学習 手順③ 異常検知モデルの学習
E-GraphSAGEベース 今回の改良部分

11. 手順① 通信データからのグラフ構築
©2023 ARISE analytics Reserved. 10
ホストをノードに、ホスト間通信をエッジとみなすことで、グラフを用いた通信表現が可能
ただし、一般的なGNNはノードに特徴（通信データ）が保有されていることを前提としている
➡ノードに通信データが含まれるように変換を行う
Source
IP/Port
Destination
IP/Port
1
2
3
a
b
c
Source
IP/Port
Destination
IP/Port
＝ ⇔
1b
2b
3b
1a
1c
2c
Device Network Device Graph Swap Edges and Nodes
3c
1b
2b
1a
1c
2c
通信データはエッジに格納されており
一般的なGNNでは処理が難しい
通信データ
通信データ
ノードとエッジを入れ替えることで、
ノードに通信データを格納することが可能
これにより、一般的なGNNでの処理が可能になる

12. 手順② ノード埋め込みモデルの学習 – Metric Learning
©2023 ARISE analytics Reserved. 11
教師情報を用いないMetric Learningを導入し、教師なしによるノード埋め込みモデルを学習
近くなるように学習
𝑧𝑢
𝑧𝑣𝑛
𝑧𝑣
𝐹(𝑆𝑢)
𝐹(𝑆𝑣)
𝐹(𝑆𝑣𝑛
)
アンカー・ポジティブ・ネガティブを用い、
以下を実現する埋め込みモデル 𝐹(𝑥) を学習
アンカー𝒖-ポジティブ𝒗 ：近くなる
アンカー𝒖-ネガティブ𝒗𝒏 ：遠くなる
Metric Learningの損失関数（Triplet Loss）
遠くなるように学習
アンカー
ポジティブ
ネガティブ

13. 手順② ノード埋め込みモデルの学習 – ノードの選択
©2023 ARISE analytics Reserved. 12
※ 隣接ノードからは似たサブグラフが、遠方ノードからは異なるサブグラフが構築される、という考え方に基づく
選択したアンカーノードに対し、構成されるサブグラフが似る/似ないようにポジティブ/ネガティブを選択し、ノード
を起点とするサブグラフを埋め込むモデルを学習
k-hop
近くなるように学習
𝑢
𝑣
𝑣𝑛
𝑧𝑢
𝑧𝑣𝑛
𝑧𝑣
𝑆𝑢
𝑆𝑣
𝑆𝑣𝑛
𝐹(𝑆𝑢)
𝐹(𝑆𝑣)
𝐹(𝑆𝑣𝑛
)
① 埋め込み対象 アンカーノード𝒖 を決定
② ポジティブサンプルである隣接ノード𝒗 と
ネガティブサンプルである遠方ノード𝒗𝒏を決定
③ それぞれのノードに対し、k-hop
samplingを行いサブグラフを構築
（k=2の例）
④ サブグラフの埋め込みを学習
アンカーノード𝒖-隣接ノード𝒗 ：近くなる
アンカーノード𝒖-遠方ノード𝒗𝒏 ：遠くなる
遠くなるように学習
ポジティブ
ネガティブ
アンカー

14. 手順③ 異常検知モデルの学習
©2023 ARISE analytics Reserved. 13
※ 埋め込みモデルの学習データと異常検知モデルの学習データは同一のものを用いる
得られたノードの埋め込み特徴（通信データの埋め込み特徴）を用い、異常検知モデルを学習
異常検知モデルは、Metric Learningと同様に距離計算ベースの手法であるkNN Anomaly Detectorを採用
検知対象サンプルに対し、N個の近隣サンプルとの距離を算出
距離が事前に学習した閾値を上回った場合は異常とみなす
（k=3の例）
正常サンプルの処理例 異常サンプルの処理例
最大距離 : 4.2 最大距離 : 14.7

15. 目次
©2023 ARISE analytics Reserved. 14
提案手法
先行研究
実験
まとめ
背景

16. 実験設定
©2023 ARISE analytics Reserved. 15
※1 E-GraphSAGEと同様の前処理を行うため、IPアドレスおよびポートは除去して用いた。
※2 すべての種類の異常通信をまとめてひとつの異常通信として扱う。
提案手法の効果を確認するため、IoTの通信データによる公開データセットを用いた実験を実施
【データセット内訳】
【比較対象】
① 通信データの特徴表現（埋め込み前の既存特徴 / 提案手法 ）
② 異常検知アルゴリズム（kNN / AutoEncoder / One Class SVM）
【評価方法】
① t-SNEを用いた埋め込み特徴の可視化
② 二値分類による通信異常検知（正常通信か異常通信※2かを分類）とROCAUCを用いた評価
データセット
異常通信の種類
数
正常通信の割合
（％）
既存特徴の次元※1
訓練データの件数
（正常通信のみ）
検証データの件数
（異常通信含む）
テストデータの件数
（異常通信含む）
UNSW-NB15 9 96.83 43 485,001 5,000 210,000
The TON_IoT 9 65.07 39 316,043 5,000 210,000

17. 実験① 埋め込み特徴の可視化
©2023 ARISE analytics Reserved. 16
提案手法によるノード埋め込み（通信データ埋め込み）結果をt-SNEで可視化
UNSW-NB15 The TON_IoT
青色：正常通信から生成されたサンプル
それ以外の色：異常通信から生成されたサンプル
同一種別の通信によるまとまりが確認できている
↓
提案手法により、正常通信と異常通信を分離できるような特徴表現を学習できている

18. 実験② 通信異常検知
©2023 ARISE analytics Reserved. 17
提案手法によるノード埋め込み（通信データ埋め込み）結果と異常検知アルゴリズムの組み合わせを検証
比較対象として、通信データに対し異常検知アルゴリズムを適用したケース（RAW）を算出
各データセットで高精度であったのはRAW（AE）/RAW（kNN）
ただし、平均値は提案手法（kNN）が最も高精度であり、データセット間の差分（ばらつき）も最も小さい
↓
本実験の範囲において、Unsupervised E-GraphSAGE Embedding Model（kNN）は
データセットによらず汎用的な性能が得られている
↓
↑ ↑
↑

19. 目次
©2023 ARISE analytics Reserved. 18
提案手法
先行研究
実験
まとめ
背景

20. まとめ
©2023 ARISE analytics Reserved. 19
【本研究の概要】
IoTデバイスの通信データを対象とした異常通信検知を目的に、教師なしGNN異常検知を提案
【本研究の成果】
① Metric Learning を用いた教師なし学習によるグラフの埋め込み手法の提案
② 異常通信検知向け公開データセットを用い、本手法と異常検知手法を組み合わせることで汎用的な性
能が得られていることを確認
【今後の展望】
① ノード埋め込みモデルの学習と異常検知モデルの学習の統合
② 組み合わせる異常検知アルゴリズムの違いによる特性の分析

21. Best Partner for innovation, Best Creator for the future.