データ不足とドリフト条件下におけるIoTマルウェア検知のための機械学習モデルのベンチマーク

TL;DR（結論）

スマートシティや産業インフラで急増するIoTデバイスを保護するため、IoT-23データセットを用いてロジスティック回帰、ランダムフォレスト、LightGBM、多層パーセプトロンの4モデルを、バイナリおよびマルチクラス分類の観点から詳細に評価した。 検証の結果、ランダムフォレストやLightGBMといった決定木ベースのモデルは、学習データが全体の30%程度と極めて少ない状況下でもF1スコア0.998以上の高い精度を維持し、リソース制約の厳しいIoT環境におけるデータ効率の良さと汎化性能の高さが実証された。 一方で、時間の経過とともに攻撃手法や通信パターンが変化するコンセプトドリフトの影響により、すべてのモデルで将来のデータに対する検知性能が著しく低下する傾向が確認され、実運用においては未知の脅威に適応するための継続的な再学習や適応型モデルの導入が不可欠であることが明らかになった。

なぜこの問題か

現代社会において、スマートシティ、交通インフラ、産業オートメーションといった多様なドメインでモノのインターネット（IoT）が急速に普及し、私たちの生活を支える基盤となっている。しかし、これらのネットワークは分散化された膨大な数のデバイスで構成されており、利便性の向上と引き換えに深刻なセキュリティ上の脆弱性を抱えているのが現状である。特にIoTデバイスは、計算リソースやメモリ容量が極めて限定的であること、物理的な保護が不十分な場所に設置されることが多いこと、そして多様で動的なネットワークプロトコルを使用していることから、ボットネット、サービス拒否（DoS）攻撃、マルウェア感染といったサイバー攻撃の格好の標的となっている。 従来のマルウェア検知手法は、既知の攻撃パターンを照合するシグネチャマッチングや、通信内容を詳細に解析するディープパケットインスペクション（DPI）に依存してきた。しかし、これらの手法は計算負荷が非常に高く、リソースの限られたIoTデバイス上で直接実行するには不向きである。この課題を解決するために、ネットワークトラフィックの統計的特徴を利用した機械学習による自動化された軽量な検知手法が注目されている。…

核心：何を提案したのか

本研究では、IoT環境におけるマルウェア検知の有効性を多角的に検証するため、4つの代表的な教師あり学習モデル（ロジスティック回帰、ランダムフォレスト、LightGBM、多層パーセプトロン）を対象とした包括的なベンチマーク評価フレームワークを提案した。評価には、実際のIoTネットワークトラフィックを反映した大規模かつ信頼性の高いデータセットである「IoT-23」を使用している。この提案された評価手法は、単なる精度の比較にとどまらず、実際のデプロイメント（実運用）を強く意識した以下の3つの重要な次元からモデルの性能を分析している。 1つ目は、分類タスクの識別能力の評価である。…

続きはログイン/プランで閲覧できます。