近年，組織や個人など特定のターゲットを狙って行われる標的型攻撃の増加や巧妙化が大きな脅威となっており，効果的な検知技術の実現が求められている．標的型攻撃には未知の攻撃が含まれていることが多く，未知の攻撃の検知に有効であるアノマリ型IDS(Intrusion Detection System)の重要性が高まっている．<br>本研究では，日常業務における組織内の通信には特徴があると想定し，通常時の通信を学習することにより，不審な通信を検出する手法を提案する．まず，通常時の通信を単位パケット数ごとに分割し，分割した各区間ごとにパケットのヘッダから IP アドレス，ポート番号等の特徴量を抽出する．抽出した各特徴量からエントロピーを算出し，特徴ベクトルを生成する．次に，生成した特徴ベクトルを学習データとしてクラスタリングする．その後，テストデータから同様に特徴ベクトルを生成し，学習データのクラスタに所属するか否かを判別する．クラスタに所属しない場合，学習データとは類似しない通信が行われたと判断し，異常として検出する．実験では，MWSデータセットを用いて本手法の有効性を確認した．

Increase in APT(Advanced Persistent Threat) is a serious threat and requires effective detection technology. Since APT include unknown attacks, anomaly-based IDS (Intrusion Detection System) is considered effective in detecting them. In this paper, we propose a method to detect suspicious traffic by learning normal traffic in organization. First, traffic data is divided by number of packets, and features such as IP addresses are extracted from the packets for each divided section. We calculate entropy from each extracted features and generate feature vectors. We cluster the generated feature vectors. Next, we generate a feature vector from new test data and select the closest cluster. We detect anomaly when distance between the feature vector and the cluster center is greater than threshold. In the experiment, we confirmed effectiveness of our method using MWS dataset.