JP7356617B1 - Packet analysis device and computer program for packet analysis - Google Patents

Packet analysis device and computer program for packet analysis Download PDF

Info

Publication number
JP7356617B1
JP7356617B1 JP2023105947A JP2023105947A JP7356617B1 JP 7356617 B1 JP7356617 B1 JP 7356617B1 JP 2023105947 A JP2023105947 A JP 2023105947A JP 2023105947 A JP2023105947 A JP 2023105947A JP 7356617 B1 JP7356617 B1 JP 7356617B1
Authority
JP
Japan
Prior art keywords
character string
learning model
machine learning
packet
item
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2023105947A
Other languages
Japanese (ja)
Inventor
純 柿島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Internet Initiative Japan Inc
Original Assignee
Internet Initiative Japan Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Internet Initiative Japan Inc filed Critical Internet Initiative Japan Inc
Priority to JP2023105947A priority Critical patent/JP7356617B1/en
Application granted granted Critical
Publication of JP7356617B1 publication Critical patent/JP7356617B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】パケットの解析を行う際のユーザの負担を軽減する。【解決手段】パケット解析装置は、送受信されるパケットを取得するパケット取得部と、前記パケットのヘッダー情報に含まれる文字列を表す文字列画像を生成する画像生成部と、前記取得されたパケットに基づいて生成された前記文字列画像から、前記ヘッダー情報の複数の項目のうちの1または複数の対象項目に対応する文字列を選別するように構成された第1の機械学習モデルと、前記取得されたパケットに基づいて生成された前記文字列画像において、前記第1の機械学習モデルによって選別された対象項目の文字列が、正常なパラメータ値を有しているか否かを判定するように構成された第2の機械学習モデルと、前記第1の機械学習モデルによる選別結果および前記第2の機械学習モデルによる判定結果を表示する表示部と、を備える。【選択図】図1An object of the present invention is to reduce the burden on a user when analyzing packets. [Solution] A packet analysis device includes a packet acquisition unit that acquires transmitted and received packets, an image generation unit that generates a character string image representing a character string included in the header information of the packet, and a a first machine learning model configured to select a character string corresponding to one or more target items among the plurality of items of the header information from the character string image generated based on the acquisition method; configured to determine whether or not the character string of the target item selected by the first machine learning model has a normal parameter value in the character string image generated based on the received packet. and a display unit that displays a selection result by the first machine learning model and a determination result by the second machine learning model. [Selection diagram] Figure 1

Description

本発明は、パケット解析装置およびパケット解析のためのコンピュータプログラムに関する。 The present invention relates to a packet analysis device and a computer program for packet analysis.

ネットワークを流れるパケットを収集して表示する機能を備えた、パケットキャプチャやLANアナライザと呼ばれるツールが知られている(例えば特許文献1および非特許文献1等を参照)。これらのツールを用いることで、ネットワークに生じた通信障害やトラブルなどの原因を分析することができる。 Tools called packet captures and LAN analyzers that have a function of collecting and displaying packets flowing through a network are known (see, for example, Patent Document 1 and Non-Patent Document 1). By using these tools, it is possible to analyze the causes of communication failures and troubles that occur in the network.

特開2021-193832号公報JP 2021-193832 Publication

「LANアナライザ」、[online]、[令和5年6月26日検索]、インターネット <https://ja.wikipedia.org/wiki/LAN%E3%82%A2%E3%83%8A%E3%83%A9%E3%82%A4%E3%82%B6>"LAN analyzer", [online], [searched on June 26, 2020], Internet <https://ja.wikipedia.org/wiki/LAN%E3%82%A2%E3%83%8A%E3 %83%A9%E3%82%A4%E3%82%B6>

しかしながら、パケットのヘッダー情報には膨大な数の項目が含まれており、各項目に設定されている値が適切であるか否かを正しく判断するには、各種の通信プロトコルに関する極めて高度な専門知識が必要とされる。そこで、パケットの解析を行う際のユーザの負担を軽減することが求められている。 However, packet header information contains a huge number of items, and correctly determining whether the values set for each item are appropriate requires extremely advanced expertise in various communication protocols. knowledge is required. Therefore, there is a need to reduce the burden on users when analyzing packets.

本発明の一態様によれば、送受信されるパケットを取得するパケット取得部と、前記パケットのヘッダー情報に含まれる文字列を表す文字列画像を生成する画像生成部であって、前記文字列画像は、前記ヘッダー情報の各項目を区別可能に表示する画像である、画像生成部と、前記取得されたパケットに基づいて生成された前記文字列画像から、前記ヘッダー情報の複数の項目のうちの1または複数の対象項目に対応する文字列を選別するように構成された第1の機械学習モデルと、前記取得されたパケットに基づいて生成された前記文字列画像において、前記第1の機械学習モデルによって選別された対象項目の文字列が、正常なパラメータ値を有しているか否かを判定するように構成された第2の機械学習モデルと、前記第1の機械学習モデルによる選別結果および前記第2の機械学習モデルによる判定結果を表示する表示部と、を備えるパケット解析装置が提供される。 According to one aspect of the present invention, there is provided a packet acquisition unit that acquires a packet to be transmitted and received, and an image generation unit that generates a character string image representing a character string included in header information of the packet, the image generation unit comprising: is an image that distinguishably displays each item of the header information, and from the character string image generated based on the obtained packet, selects one of the plurality of items of the header information. a first machine learning model configured to select a character string corresponding to one or more target items; and a first machine learning model configured to select a character string corresponding to one or more target items; a second machine learning model configured to determine whether a character string of a target item selected by the model has a normal parameter value; a screening result by the first machine learning model; A packet analysis device is provided, including a display unit that displays a determination result based on the second machine learning model.

また、本発明の一態様によれば、前記第1の機械学習モデルは、前記文字列画像のうちの前記ヘッダー情報の各項目に対応する部分画像を入力として受け取り、前記各項目が対象項目であるか否かの識別情報を出力するように構成されるのであってよい。 Further, according to one aspect of the present invention, the first machine learning model receives as input a partial image corresponding to each item of the header information of the character string image, and each item is a target item. It may be configured to output identification information indicating whether or not there is one.

また、本発明の一態様によれば、前記第2の機械学習モデルは、前記文字列画像のうちの前記対象項目に対応する部分画像を入力として受け取り、前記対象項目内のパラメータ値が正常値であるか否かの識別情報を出力するように構成されるのであってよい。 Further, according to one aspect of the present invention, the second machine learning model receives as input a partial image corresponding to the target item of the character string image, and the parameter value in the target item is a normal value. It may be configured to output identification information indicating whether or not it is.

また、本発明の一態様によれば、前記文字列画像は、前記ヘッダー情報における第1階層の複数の項目に対応する第1群の部分画像と、前記ヘッダー情報における前記第1階層の下位の階層である第2階層の複数の項目のうち、前記第1階層における対象項目に従属している複数の項目に対応する第2群の部分画像と、前記ヘッダー情報における前記第2階層の複数の項目のうち、前記第1階層における前記対象項目以外の項目に従属している複数の項目に対応する第3群の部分画像と、を含み、前記第1の機械学習モデルは、前記第1群の部分画像および前記第2群の部分画像を含み前記第3群の部分画像を含まない教師データを用いて事前に訓練された学習モデルであるのであってよい。 Further, according to one aspect of the present invention, the character string image includes a first group of partial images corresponding to a plurality of items in the first layer in the header information, and a first group of partial images corresponding to a plurality of items in the first layer in the header information, A second group of partial images corresponding to a plurality of items subordinate to the target item in the first layer among a plurality of items in the second layer, which is a layer, and a plurality of partial images in the second layer in the header information. Among the items, a third group of partial images corresponding to a plurality of items subordinate to items other than the target item in the first layer, the first machine learning model The learning model may be trained in advance using training data that includes the partial images of the second group and the second group of partial images, but does not include the third group of partial images.

また、本発明の一態様によれば、前記文字列は、文字、数字、および記号のうちの1または複数を用いて表現されるのであってよい。 Further, according to one aspect of the present invention, the character string may be expressed using one or more of letters, numbers, and symbols.

また、本発明の一態様によれば、前記文字列画像は、前記ヘッダー情報の各項目をそれぞれ1行に表示した画像であるのであってよい。 According to one aspect of the present invention, the character string image may be an image in which each item of the header information is displayed in one line.

また、本発明の一態様によれば、前記対象項目は、前記パラメータ値に対するユーザによるチェックが必要であるものとしてあらかじめ決められた項目であるのであってよい。 Further, according to one aspect of the present invention, the target item may be an item that is predetermined as requiring a user to check the parameter value.

また、本発明の一態様によれば、コンピュータを、送受信されるパケットを取得するパケット取得部、前記パケットのヘッダー情報に含まれる文字列を表す文字列画像を生成する画像生成部であって、前記文字列画像は、前記ヘッダー情報の各項目を区別可能に表示する画像である、画像生成部、前記取得されたパケットに基づいて生成された前記文字列画像から、前記ヘッダー情報の複数の項目のうちの1または複数の対象項目に対応する文字列を選別するように構成された第1の機械学習モデル、前記取得されたパケットに基づいて生成された前記文字列画像において、前記第1の機械学習モデルによって選別された対象項目の文字列が、正常なパラメータ値を有しているか否かを判定するように構成された第2の機械学習モデル、および前記第1の機械学習モデルによる選別結果および前記第2の機械学習モデルによる判定結果を表示する表示部、として機能させるように構成された、パケット解析のためのコンピュータプログラムが提供される。 Further, according to one aspect of the present invention, the computer includes a packet acquisition unit that acquires transmitted and received packets, and an image generation unit that generates a character string image representing a character string included in header information of the packet, The character string image is an image that distinguishably displays each item of the header information. a first machine learning model configured to select a character string corresponding to one or more target items; A second machine learning model configured to determine whether the character string of the target item selected by the machine learning model has a normal parameter value, and screening by the first machine learning model. A computer program for packet analysis is provided that is configured to function as a display unit that displays results and determination results based on the second machine learning model.

本発明によれば、パケットの解析を行う際のユーザの負担を軽減することができる。 According to the present invention, it is possible to reduce the burden on the user when analyzing packets.

本発明の一実施形態に係るパケット解析装置の例示的な構成を示す図である。1 is a diagram showing an exemplary configuration of a packet analysis device according to an embodiment of the present invention. パケット取得部で取得された複数のパケットをリスト表示する文字列画像の例である。This is an example of a character string image that displays a list of multiple packets acquired by the packet acquisition unit. 図2の文字列画像における複数のパケットの中から選択された1つのパケットの詳細を表示する文字列画像の例である。This is an example of a character string image that displays details of one packet selected from among the plurality of packets in the character string image of FIG. 2. 図3の文字列画像における複数の項目から選択された1または複数の項目のさらなる詳細を表示する文字列画像の例である。4 is an example of a character string image that displays further details of one or more items selected from the plurality of items in the character string image of FIG. 3. FIG. 本発明の一実施形態に係るパケット解析装置における第1の機械学習モデルの一実装例を示す。1 shows an implementation example of a first machine learning model in a packet analysis device according to an embodiment of the present invention. 本発明の一実施形態に係るパケット解析装置における第2の機械学習モデルの一実装例を示す。An example of implementation of a second machine learning model in a packet analysis device according to an embodiment of the present invention is shown. 本発明の一実施形態に係るパケット解析装置の動作の一例を示すフローチャートである。3 is a flowchart illustrating an example of the operation of a packet analysis device according to an embodiment of the present invention.

以下、図面を参照しながら本発明の実施形態について詳しく説明する。 Embodiments of the present invention will be described in detail below with reference to the drawings.

図1は、本発明の一実施形態に係るパケット解析装置100の例示的な構成を示す図である。図1に示されるように、パケット解析装置100は、例えば、ルーター20および通信ノード30とともにLAN10を形成する。LAN10において、パケット解析装置100および通信ノード30は、ルーター20と通信可能に接続されている。通信ノード30は、ネットワーク通信機能を備えたコンピュータ(例えばPCやサーバ装置等)であってよく、ルーター20を介して、外部ネットワーク40(例えばインターネット等)上の他の通信ノード50との間でパケットを送受信する。パケット解析装置100は、通信ノード30が送受信するパケットを取得して解析する機能を有する。 FIG. 1 is a diagram showing an exemplary configuration of a packet analysis device 100 according to an embodiment of the present invention. As shown in FIG. 1, the packet analysis device 100 forms a LAN 10 together with a router 20 and a communication node 30, for example. In the LAN 10, the packet analysis device 100 and the communication node 30 are communicably connected to the router 20. The communication node 30 may be a computer (for example, a PC, a server device, etc.) equipped with a network communication function, and communicates with other communication nodes 50 on an external network 40 (for example, the Internet) via the router 20. Send and receive packets. The packet analysis device 100 has a function of acquiring and analyzing packets transmitted and received by the communication node 30.

パケット解析装置100は、パケット取得部110と、文字列画像生成部120と、部分画像切出部130と、機械学習部140と、表示部150とを備える。また機械学習部140は、第1の機械学習モデル142と、第2の機械学習モデル144を備える。パケット解析装置100は、プロセッサおよびメモリを備えたコンピュータとして構成され、メモリに格納されたプログラム(すなわちコンピュータ実行可能命令)をプロセッサが読み出して実行することによって、パケット取得部110、文字列画像生成部120、部分画像切出部130、および機械学習部140の各部の機能が実現されるのであってよい。 The packet analysis device 100 includes a packet acquisition section 110, a character string image generation section 120, a partial image extraction section 130, a machine learning section 140, and a display section 150. The machine learning unit 140 also includes a first machine learning model 142 and a second machine learning model 144. The packet analysis device 100 is configured as a computer including a processor and a memory, and the processor reads and executes a program (i.e., computer-executable instructions) stored in the memory, thereby generating a packet acquisition unit 110 and a character string image generation unit. 120, the partial image extraction section 130, and the machine learning section 140.

なお、図1においてパケット解析装置100は通信ノード30と別個の装置として描かれているが、パケット解析装置100の各部の機能が、通信ノード30に組み込まれる(すなわちパケット解析装置100が通信ノード30と一体に構成される)のであってもよい。例えば、パケット解析装置100の各部の機能を実現するためのプログラムがアプリケーションソフトウェアとして提供され、このアプリケーションソフトウェアが通信ノード30(すなわちPCやサーバ装置)にインストールされてもよい。 Although the packet analysis device 100 is depicted as a separate device from the communication node 30 in FIG. 1, the functions of each part of the packet analysis device 100 are incorporated into the communication node 30 (that is, the packet analysis device 100 ). For example, a program for realizing the functions of each part of the packet analysis device 100 may be provided as application software, and this application software may be installed in the communication node 30 (ie, a PC or a server device).

パケット取得部110は、通信ノード30が送受信するパケットを取得する。例えば、パケット取得部110は、ルーター20から、ルーター20を通過するパケットのコピーを取得するように構成することができる。また、パケット解析装置100が通信ノード30と一体に構成される実施例においては、パケット取得部110は、通信ノード30の有線/無線通信モジュールから、送信パケットおよび受信パケットのコピーを取得するように構成されるのであってよい。 The packet acquisition unit 110 acquires packets transmitted and received by the communication node 30. For example, the packet acquisition unit 110 can be configured to acquire from the router 20 a copy of a packet passing through the router 20. Further, in an embodiment in which the packet analysis device 100 is integrated with the communication node 30, the packet acquisition unit 110 acquires copies of the transmitted packet and the received packet from the wired/wireless communication module of the communication node 30. It may be configured.

文字列画像生成部120は、パケット取得部110によって取得されたパケットからヘッダー情報を取り出し、取り出したヘッダー情報に含まれる文字列を表す文字列画像を生成するように構成される。パケットのヘッダー情報は、数多くの様々な項目からなっており、文字列画像は、ヘッダー情報のそれら各項目をそれぞれ区別できる形で、かつ各項目の内容を人がその意味を識別可能な(すなわち16進表示等でない)文字列によって表した画像である。なお、ここで文字列とは、文字、数字、および記号のいずれからなるのであってもよいものとする。文字列画像生成部120によって生成された文字列画像は、パケット解析装置100のユーザがパケットのヘッダー情報の内容を確認することを可能にするために、パケット解析装置100の表示部150(ディスプレイ)に表示することができる。 The character string image generation unit 120 is configured to extract header information from the packet acquired by the packet acquisition unit 110 and generate a character string image representing a character string included in the extracted header information. The header information of a packet consists of many different items, and the character string image is used in a form that allows each item of header information to be distinguished from the other, and that allows a person to identify the meaning of each item (i.e. This is an image expressed as a character string (not in hexadecimal format, etc.). Note that the character string here may consist of any of letters, numbers, and symbols. The character string image generated by the character string image generation unit 120 is displayed on the display unit 150 (display) of the packet analysis device 100 in order to enable the user of the packet analysis device 100 to check the contents of the header information of the packet. can be displayed.

図2~4は、文字列画像生成部120によって生成された文字列画像のいくつかの例を示す。図2は、パケット取得部110で取得された複数のパケットをリスト表示する文字列画像200の例である。文字列画像200において、各パケット202は1行の文字列によって表され、パケット取得部110により取得された複数のパケットが、その取得された順に上から並んだ複数の行によってリスト形式で示されている。各行の文字列は、例えば、その行のパケットのヘッダー情報の内容を要約した文字列であってよい。文字列画像200は、例えば、パケット解析装置100においてパケット解析処理が開始され、パケット取得部110により新たなパケットが1つ取得されるごとに、更新されるのであってよく、その更新された文字列画像200が順次、パケット解析装置100の表示部150に表示されるのであってよい。 2 to 4 show some examples of character string images generated by the character string image generation unit 120. FIG. 2 is an example of a character string image 200 that displays a list of a plurality of packets acquired by the packet acquisition unit 110. In the character string image 200, each packet 202 is represented by one line of character string, and a plurality of packets acquired by the packet acquisition unit 110 are shown in a list format by a plurality of lines arranged from the top in the order in which they were acquired. ing. The character string in each row may be, for example, a character string summarizing the contents of the header information of the packet in that row. The character string image 200 may be updated, for example, each time a packet analysis process is started in the packet analysis device 100 and a new packet is acquired by the packet acquisition unit 110, and the character string image 200 may be updated. The row images 200 may be displayed one after another on the display unit 150 of the packet analysis device 100.

図3は、図2の文字列画像200における複数のパケットの中から選択された1つのパケットの詳細を表示する文字列画像300の例である。例えば、パケット解析装置100のユーザが、表示部150に表示された文字列画像200において1つのパケットを選択する入力(例えば入力デバイスであるマウスのクリック)をパケット解析装置100に与えたことに応答して、図3の文字列画像300が生成され、表示部150に表示される(例えば、文字列画像200が表示されている表示部150の画面下部に、文字列画像300が追加して表示される)のであってよい。文字列画像300において、当該選択されたパケットのヘッダー情報に含まれる複数の項目のうち、第1階層に属する複数の項目が、それぞれの項目ごとに1行の文字列によって表される。図3の例において、文字列画像300は、第1階層に5つの項目301~305を有している。例えば、項目303は選択されたパケットのIP(Internet Protocol)ヘッダーに関する項目であり、項目304はSCTP(Stream Control Transmission Protocol)ヘッダーに関する項目であり、項目305はDiameterプロトコルのヘッダーに関する項目である。図2の文字列画像200と同様に、文字列画像300の各行の文字列は、各項目に対応するヘッダー情報の内容を要約した文字列であってよい。 FIG. 3 is an example of a character string image 300 that displays details of one packet selected from a plurality of packets in the character string image 200 of FIG. 2. For example, in response to the user of the packet analysis device 100 giving an input to the packet analysis device 100 to select one packet in the character string image 200 displayed on the display unit 150 (for example, a click of a mouse, which is an input device). 3 is generated and displayed on the display unit 150 (for example, the character string image 300 is additionally displayed at the bottom of the screen of the display unit 150 where the character string image 200 is displayed). may be). In the character string image 300, among the multiple items included in the header information of the selected packet, multiple items belonging to the first layer are represented by one line of character string for each item. In the example of FIG. 3, the character string image 300 has five items 301 to 305 in the first layer. For example, item 303 is an item regarding the IP (Internet Protocol) header of the selected packet, item 304 is an item regarding the SCTP (Stream Control Transmission Protocol) header, and item 305 is an item regarding the Diameter protocol header. Similar to the character string image 200 in FIG. 2, the character string in each row of the character string image 300 may be a character string summarizing the contents of the header information corresponding to each item.

図4は、図3の文字列画像300における複数の項目から選択された1または複数の項目のさらなる詳細を表示する文字列画像400の例である。例えば、パケット解析装置100の表示部150に表示された図3の文字列画像300において1または複数の項目を選択する入力がパケット解析装置100に与えられたことに応答して、図4の文字列画像400が生成され、表示部150の画面が文字列画像300から文字列画像400に遷移するのであってよい。文字列画像400は、文字列画像300に含まれる複数の項目(すなわち第1階層の項目)から選択された項目の1つ下の階層(第2階層)に属する項目の情報を表示する画像である。図4の例は、図3の例の文字列画像300において項目304(SCTPヘッダー)と項目305(Diameterプロトコルのヘッダー)が選択された場合の文字列画像400を示しており、文字列画像400は、項目304の文字列の下に、項目304に含まれる第2階層の各項目401の文字列を有し、また項目305の文字列の下に、項目305に含まれる第2階層の各項目402の文字列を有している。文字列画像400において、第2階層の各行の文字列は、第1階層の文字列と同様、それぞれ第2階層の1つの項目に対応している。 FIG. 4 is an example of a character string image 400 that displays further details of one or more items selected from the plurality of items in the character string image 300 of FIG. 3. For example, in response to input to the packet analysis device 100 to select one or more items in the character string image 300 of FIG. 3 displayed on the display unit 150 of the packet analysis device 100, The string image 400 may be generated, and the screen of the display unit 150 may transition from the character string image 300 to the character string image 400. The character string image 400 is an image that displays information about an item belonging to the hierarchy (second hierarchy) one level below the item selected from the plurality of items included in the character string image 300 (i.e., the items in the first hierarchy). be. The example of FIG. 4 shows a character string image 400 when item 304 (SCTP header) and item 305 (Diameter protocol header) are selected in the character string image 300 of the example of FIG. has the character strings of each item 401 in the second hierarchy included in item 304 under the character string of item 304, and the character string of each item 401 in the second hierarchy included in item 305 under the character string of item 305. It has the character string of item 402. In the character string image 400, each character string in each row of the second layer corresponds to one item in the second layer, similarly to the character strings in the first layer.

このように、表示部150に文字列画像300が表示されている状態で1または複数の項目(第1階層の項目)が選択されると、その項目に従属する第2階層の項目が展開されて表示される。第1階層の項目の選択を解除することで、一旦展開された第2階層の項目を再度折り畳んで非表示とする(つまり文字列画像300の表示に戻る)ことが可能であってもよい。また、パケットのヘッダー情報が第2階層よりさらに下の階層(第3、第4階層等)の項目を含む場合、文字列画像生成部120は、それら下位階層の項目を有する同様の文字列画像を生成することが可能であってもよい。 In this way, when one or more items (first layer items) are selected while the character string image 300 is displayed on the display section 150, the second layer items subordinate to that item are expanded. will be displayed. By canceling the selection of the first layer item, it may be possible to fold the once expanded second layer item again and hide it (that is, return to displaying the character string image 300). In addition, if the header information of the packet includes items in a hierarchy lower than the second hierarchy (third, fourth, etc.), the character string image generation unit 120 generates a similar character string image that includes items in the lower hierarchy. It may be possible to generate .

なお、上記では、図2の文字列画像200において1つのパケットが選択されると図3の文字列画像300が生成、表示され、さらに図3の文字列画像300においてヘッダー情報の第1階層の項目が選択されると図4の文字列画像400が生成、表示されるものとして説明したが、図2の文字列画像200において1つのパケットが選択されたことを受けて直ちに、第2階層以下の階層に属する項目(例えば全ての階層の項目)が展開された文字列画像が生成、表示されるのであってもよい。 In the above, when one packet is selected in the character string image 200 in FIG. 2, the character string image 300 in FIG. 3 is generated and displayed, and furthermore, in the character string image 300 in FIG. The explanation has been made assuming that the character string image 400 in FIG. 4 is generated and displayed when an item is selected, but immediately after one packet is selected in the character string image 200 in FIG. A character string image in which items belonging to the hierarchy (for example, items in all the hierarchies) are expanded may be generated and displayed.

図1に戻り、部分画像切出部130は、文字列画像生成部120によって生成された文字列画像において、ヘッダー情報の各項目に対応する部分画像を切り出す。例えば、図3に例示された文字列画像300において、項目301~305のそれぞれに対応する5つの部分画像が切り出される。また、図4に例示された文字列画像400において、項目305(Diameterプロトコルのヘッダー)に従属する第2階層の各項目402のそれぞれに対応する部分画像が切り出される。ここでは、項目305の下には第2階層の項目402が23個(23行)存在するので、各行に対応する23個の部分画像が切り出される。なお、図4の例示の文字列画像400において、部分画像切出部130は、項目304(SCTPヘッダー)に従属する第2階層の各項目401については部分画像の切り出しを行わないが、その理由は後で説明する。 Returning to FIG. 1, the partial image cutting unit 130 cuts out partial images corresponding to each item of header information in the character string image generated by the character string image generating unit 120. For example, in the character string image 300 illustrated in FIG. 3, five partial images corresponding to each of the items 301 to 305 are cut out. Further, in the character string image 400 illustrated in FIG. 4, partial images corresponding to each item 402 in the second layer subordinate to the item 305 (header of the Diameter protocol) are cut out. Here, since there are 23 second-level items 402 (23 rows) below the item 305, 23 partial images corresponding to each row are cut out. Note that in the example character string image 400 of FIG. 4, the partial image cutting unit 130 does not cut out the partial images for each item 401 in the second layer subordinate to the item 304 (SCTP header). will be explained later.

機械学習部140の第1の機械学習モデル142は、文字列画像生成部120によって生成された文字列画像から、ヘッダー情報の複数の項目のうちの1または複数の対象項目に対応する文字列を選別するように構成される。上述したように、文字列画像(例えば文字列画像300、400)は、パケット取得部110で取得されたパケットのヘッダー情報に含まれる複数の項目(例えば項目301~305、401、402)のそれぞれに対応する文字列を有している。これら複数の項目のうち、「対象項目」とは、パケット解析装置100のユーザが、ヘッダー情報の当該項目に設定されているパラメータ値を(例えば表示部150に表示されたその値を目視することにより)チェックすることが必要なものとしてあらかじめ決められている項目を指す。例えば、図3の文字列画像300の例において、Diameterプロトコルのヘッダーに対応する項目305のみが、あらかじめ対象項目に設定される一方、その他の項目301~304は、あらかじめ非対象項目(すなわちユーザによるチェックが不要な項目)に設定されてよい。同様に、図4の文字列画像400の例において、Diameterプロトコル(項目305)に従属する第2階層の複数の項目402のうち、1~9行目の項目は非対象項目に、また10~23行目の項目は対象項目に、それぞれ、あらかじめ設定されるのであってよい。なお、各文字列画像における対象項目の数は任意である。 The first machine learning model 142 of the machine learning unit 140 generates a character string corresponding to one or more target items among the multiple items of header information from the character string image generated by the character string image generating unit 120. configured to screen. As described above, the character string images (for example, character string images 300 and 400) are each of a plurality of items (for example, items 301 to 305, 401, and 402) included in the header information of the packet acquired by the packet acquisition unit 110. It has a character string corresponding to . Among these multiple items, the “target item” refers to a parameter value set in the corresponding item of the header information by the user of the packet analysis device 100 (for example, by visually observing the value displayed on the display unit 150). refers to items that have been predetermined as necessary to be checked. For example, in the example of the character string image 300 in FIG. (Items that do not require checking) may be set. Similarly, in the example of the character string image 400 in FIG. The items on the 23rd line may be set in advance as target items. Note that the number of target items in each character string image is arbitrary.

第1の機械学習モデル142は、文字列画像における各行の文字列に対応するヘッダー情報の項目が対象項目であるか否かを識別することが可能となるように、機械学習部140によって事前に訓練(学習)される。具体的に、第1の機械学習モデル142の一実装例を図5に示す。第1の機械学習モデル142は、複数の入力ノード501を有する入力層502と、各々が複数のノード503を有する1または複数の層からなる中間層504と、複数の出力ノード505を有する出力層506とを備えたニューラルネットワーク500によって構成することができる。各ノードは、重み付けパラメータによって特徴付けられる強度で、当該ノードが属する層に隣接する層の複数のノードと接続されている。入力層502には、部分画像切出部130によって作成された部分画像が入力される。また出力層506は2つの出力ノード505から構成され、一方の出力ノードは、入力層502に入力された部分画像がヘッダー情報の対象項目に対応するものであることを示す識別情報507を出力し、他方の出力ノードは、入力層502に入力された部分画像がヘッダー情報の対象項目に対応しないものであることを示す識別情報508を出力する。第1の機械学習モデル142(ニューラルネットワーク500)を訓練するために、機械学習部140には、入力層502に入力された部分画像がヘッダー情報の対象項目であるかどうかの正しい情報を表すラベルが、例えばパケット解析装置100の管理者または訓練実施者から与えられる。出力層506の2つの出力ノード505がこのラベルと一致した識別情報507、508を出力するように、部分画像とラベルの多数のセットを教師データとして用いて、ニューラルネットワーク500の各ノード間の重み付けパラメータが調整される。これにより、第1の機械学習モデル142の訓練が行われる。 The first machine learning model 142 is configured in advance by the machine learning unit 140 so that it is possible to identify whether or not the header information item corresponding to the character string in each line in the character string image is a target item. be trained (learned). Specifically, an example implementation of the first machine learning model 142 is shown in FIG. The first machine learning model 142 includes an input layer 502 having a plurality of input nodes 501, an intermediate layer 504 consisting of one or more layers each having a plurality of nodes 503, and an output layer having a plurality of output nodes 505. 506. Each node is connected with a plurality of nodes in layers adjacent to the layer to which it belongs, with a strength characterized by a weighting parameter. A partial image created by the partial image cutting unit 130 is input to the input layer 502 . Further, the output layer 506 is composed of two output nodes 505, and one output node outputs identification information 507 indicating that the partial image input to the input layer 502 corresponds to the target item of the header information. , the other output node outputs identification information 508 indicating that the partial image input to the input layer 502 does not correspond to the target item of the header information. In order to train the first machine learning model 142 (neural network 500), the machine learning unit 140 includes a label indicating correct information as to whether the partial image input to the input layer 502 is a target item of the header information. is given, for example, by the administrator of the packet analysis device 100 or the training provider. A large set of partial images and labels are used as training data to weight each node of the neural network 500 so that the two output nodes 505 of the output layer 506 output identification information 507, 508 that matches this label. Parameters are adjusted. As a result, the first machine learning model 142 is trained.

例えば、図3の例の文字列画像300は、ヘッダー情報の第1階層における5つの項目301~305に対応する文字列を有しており、これら各項目の文字列を表す部分画像と当該部分画像に付与されたラベルを1セットとする多数の教師データを用いて、第1の機械学習モデル142が訓練される。また、図4の例の文字列画像400において、ヘッダー情報の第2階層は、第1階層の項目のうち対象項目であるDiameterプロトコル(項目305)に従属する複数の項目402と、対象項目でない項目(項目304)に従属する複数の項目401とを含んでいる。そしてヘッダー情報の第2階層については、第1階層における対象項目に従属する項目402の各文字列を表す部分画像および当該部分画像に付与されたラベルを1セットとする多数の教師データを用いて、第1の機械学習モデル142がさらに訓練される。 For example, the character string image 300 in the example of FIG. The first machine learning model 142 is trained using a large amount of training data including one set of labels assigned to images. In addition, in the character string image 400 in the example of FIG. 4, the second layer of header information includes a plurality of items 402 that are subordinate to the Diameter protocol (item 305), which is a target item among the items in the first layer, and a plurality of items 402 that are not target items. It includes a plurality of items 401 subordinate to the item (item 304). For the second layer of header information, a large amount of training data is used, including a set of partial images representing each character string of the item 402 subordinate to the target item in the first layer and a label given to the partial image. , the first machine learning model 142 is further trained.

ここで、第1階層の項目が対象項目でない場合にはその項目に従属する第2階層の項目(例えば項目401)も対象項目でないため、図4の例において、第1階層の対象項目に従属しない第2階層の各項目401の文字列に対応する部分画像は、第1の機械学習モデル142の訓練には使用されない。つまり、図3に例示された文字列画像300および図4に例示された文字列画像400の例において、第1の機械学習モデル142は、ヘッダー情報の第1階層における各項目301~305の文字列に対応する第1群の部分画像と、第1階層の対象項目(項目305)に従属する第2階層の項目402の各文字列に対応する第2群の部分画像とを含み、第1階層の対象項目(項目305)に従属しない第2階層の項目401の各文字列に対応する第3群の部分画像は含まない教師データによって、訓練される。そのため、第1の機械学習モデル142の規模を削減することができ、また学習時間も低減することができる。 Here, if the item on the first layer is not the target item, the item on the second layer that is subordinate to that item (for example, item 401) is also not the target item. The partial image corresponding to the character string of each item 401 in the second layer that is not used is not used for training the first machine learning model 142. That is, in the example of the character string image 300 illustrated in FIG. 3 and the character string image 400 illustrated in FIG. column, and a second group of partial images corresponding to each character string of the item 402 in the second layer subordinate to the target item (item 305) in the first layer, and Training is performed using teacher data that does not include the third group of partial images corresponding to each character string of the item 401 in the second hierarchy that is not subordinate to the target item (item 305) in the hierarchy. Therefore, the scale of the first machine learning model 142 can be reduced, and the learning time can also be reduced.

機械学習部140の第2の機械学習モデル144は、第1の機械学習モデル142によって選別された対象項目の文字列が、正常なパラメータ値を有しているか否かを判定するように構成される。前述したように、例えば図4の文字列画像400の例において、第1階層のDiameterプロトコル(項目305)に従属する第2階層の項目402のうち10~23行目の項目が対象項目に設定されており、これら各対象項目は、その項目の内容を表すパラメータ値の文字列を含んでいる。例えば、図4を参照すると、項目402のうち10行目の項目は、「Vendor-Specific-Application-Id(260) l=32 f=-M-」というパラメータ値を含む。パラメータ値が「正常」であるとは、例えば、当該パラメータ値が、所定の通信仕様においてその値に設定することが要求または推奨される値に一致していることを意味するのであってよい。 The second machine learning model 144 of the machine learning unit 140 is configured to determine whether the character string of the target item selected by the first machine learning model 142 has a normal parameter value. Ru. As mentioned above, for example, in the example of the character string image 400 in FIG. 4, the items in the 10th to 23rd lines of the items 402 in the second layer subordinate to the Diameter protocol (item 305) in the first layer are set as target items. Each of these target items includes a string of parameter values representing the contents of that item. For example, referring to FIG. 4, the item on the 10th line of item 402 includes the parameter value "Vendor-Specific-Application-Id(260) l=32 f=-M-". A parameter value being "normal" may mean, for example, that the parameter value matches a value that is required or recommended to be set in a predetermined communication specification.

第2の機械学習モデル144は、文字列画像における対象項目のパラメータ値が正常値であるか否かを識別することが可能となるように、機械学習部140によって事前に訓練(学習)される。具体的に、第2の機械学習モデル144の一実装例を図6に示す。第1の機械学習モデル142と同様に、第2の機械学習モデル144は、複数の入力ノード601を有する入力層602と、各々が複数のノード603を有する1または複数の層からなる中間層604と、複数の出力ノード605を有する出力層606とを備えたニューラルネットワーク600によって構成することができ、各ノードは、重み付けパラメータによって特徴付けられる強度で、当該ノードが属する層に隣接する層の複数のノードと接続されている。入力層602には、部分画像切出部130によって作成された対象項目の部分画像が入力される。また出力層606は2つの出力ノード605から構成され、一方の出力ノードは、入力層602に入力された対象項目の部分画像におけるパラメータ値が正常値であることを示す識別情報607を出力し、他方の出力ノードは、入力層602に入力された対象項目の部分画像におけるパラメータ値が異常値であることを示す識別情報608を出力する。第2の機械学習モデル144(ニューラルネットワーク600)を訓練するために、機械学習部140には、入力層602に入力された部分画像内のパラメータ値が正常値であるかどうかの正しい情報を表すラベルが、例えばパケット解析装置100の管理者または訓練実施者から与えられる。出力層606の2つの出力ノード605がこのラベルと一致した識別情報607、608を出力するように、対象項目の部分画像とそれに対応するラベルの多数のセットを教師データとして用いて、ニューラルネットワーク600の各ノード間の重み付けパラメータが調整される。これにより、第2の機械学習モデル144の訓練が行われる。 The second machine learning model 144 is trained (learned) in advance by the machine learning unit 140 so that it can identify whether the parameter value of the target item in the character string image is a normal value. . Specifically, one implementation example of the second machine learning model 144 is shown in FIG. Similar to the first machine learning model 142, the second machine learning model 144 includes an input layer 602 having a plurality of input nodes 601, and an intermediate layer 604 consisting of one or more layers each having a plurality of nodes 603. and an output layer 606 having a plurality of output nodes 605, each node having a plurality of layers adjacent to the layer to which it belongs, with a strength characterized by a weighting parameter. connected to the nodes. A partial image of the target item created by the partial image cutting unit 130 is input to the input layer 602 . Further, the output layer 606 is composed of two output nodes 605, one of which outputs identification information 607 indicating that the parameter value in the partial image of the target item input to the input layer 602 is a normal value, The other output node outputs identification information 608 indicating that the parameter value in the partial image of the target item input to the input layer 602 is an abnormal value. In order to train the second machine learning model 144 (neural network 600), the machine learning unit 140 includes correct information indicating whether the parameter values in the partial image input to the input layer 602 are normal values. The label is given, for example, by an administrator of the packet analysis device 100 or a training person. Using a large set of partial images of target items and their corresponding labels as training data, the neural network 600 The weighting parameters between each node are adjusted. As a result, the second machine learning model 144 is trained.

図7は、本発明の一実施形態に係るパケット解析装置100の動作の一例を示すフローチャートである。パケット解析装置100は、訓練(学習)済みの第1および第2の機械学習モデル142、144を用いて動作し、この動作はステップ702から開始する。 FIG. 7 is a flowchart showing an example of the operation of the packet analysis device 100 according to an embodiment of the present invention. The packet analysis device 100 operates using the trained first and second machine learning models 142 and 144, starting from step 702.

ステップ702において、パケット取得部110は、ルーター20または通信ノード30からパケットを取得する。ステップ704において、文字列画像生成部120は、取得された複数のパケットをリスト表示する文字列画像200(図2参照)を生成し、文字列画像200は表示部150に表示される。ステップ706において、表示部150に表示されたリストから1つのパケットがユーザにより選択されたか否かが(例えばパケット解析装置100のプロセッサによって)判定され、その選択が行われた場合、ステップ708へ進む。ステップ708において、文字列画像生成部120は、当該選択されたパケットの詳細を表す文字列画像300(図3参照)を生成し、文字列画像300は表示部150に表示される。 In step 702, the packet acquisition unit 110 acquires a packet from the router 20 or the communication node 30. In step 704, the character string image generation unit 120 generates a character string image 200 (see FIG. 2) that displays a list of the plurality of acquired packets, and the character string image 200 is displayed on the display unit 150. In step 706, it is determined (for example, by the processor of the packet analysis device 100) whether one packet has been selected by the user from the list displayed on the display unit 150, and if the selection has been made, the process proceeds to step 708. . In step 708, the character string image generation unit 120 generates a character string image 300 (see FIG. 3) representing details of the selected packet, and the character string image 300 is displayed on the display unit 150.

続くステップ710において、部分画像切出部130は、生成された文字列画像300からヘッダー情報の各項目(項目301~305)に対応する部分画像を切り出す。ステップ712において、機械学習部140は、ステップ710で切り出されたヘッダー情報の各項目の部分画像を第1の機械学習モデル142の入力層502に入力し、この入力を受けて、第1の機械学習モデル142は、入力された各部分画像について、当該部分画像の項目が対象項目であるかどうかを表す識別情報507または508を出力層506から出力する。ステップ714において、第1の機械学習モデル142による識別結果が表示部150に表示される。例えば、文字列画像300の中の対象項目である項目305の文字列(「Diameter Protocol」と記載された文字列)の横に、当該項目はユーザのチェックが必要な対象項目であることを知らせる付加情報(例えば「チェック要」の旨を表すアイコンまたは文字)が表示されるのであってよい。 In subsequent step 710, the partial image cutting unit 130 cuts out partial images corresponding to each item (items 301 to 305) of the header information from the generated character string image 300. In step 712, the machine learning unit 140 inputs the partial image of each item of the header information extracted in step 710 to the input layer 502 of the first machine learning model 142, and upon receiving this input, the machine learning unit 140 For each input partial image, the learning model 142 outputs identification information 507 or 508 from the output layer 506 indicating whether the item of the partial image is the target item. In step 714, the identification result by the first machine learning model 142 is displayed on the display unit 150. For example, next to the character string of item 305 (character string written as "Diameter Protocol"), which is the target item in the character string image 300, it is indicated that the item is a target item that the user needs to check. Additional information (for example, an icon or text indicating "check required") may be displayed.

次に、ステップ716において、表示部150の文字列画像300から1または複数の項目がユーザにより選択されたか否かが(例えばパケット解析装置100のプロセッサによって)判定され、その選択が行われた場合、ステップ718へ進む。ステップ718において、文字列画像生成部120は、当該選択された項目のさらなる詳細を表す文字列画像400(図4参照)を生成し、文字列画像400は表示部150に表示される(例えば文字列画像300の表示が文字列画像400の表示に切り替わる)。 Next, in step 716, it is determined (for example, by the processor of the packet analysis device 100) whether one or more items have been selected by the user from the character string image 300 on the display unit 150, and if the selection has been made; , proceed to step 718. In step 718, the character string image generation unit 120 generates a character string image 400 (see FIG. 4) representing further details of the selected item, and the character string image 400 is displayed on the display unit 150 (for example, (The display of the string image 300 is switched to the display of the character string image 400).

続くステップ720において、部分画像切出部130は、ステップ718で生成された文字列画像400から、ヘッダー情報の第1階層における対象項目に従属する第2階層の各項目(例えば項目402の各行)に対応する部分画像を切り出す。ステップ722において、機械学習部140は、ステップ720で切り出されたヘッダー情報の第2階層の項目の部分画像を第1の機械学習モデル142の入力層502に入力し、この入力を受けて、第1の機械学習モデル142は、入力された各部分画像について、当該部分画像の項目が対象項目であるかどうかを表す識別情報507または508を出力層506から出力する。ステップ724において、第1の機械学習モデル142による識別結果が表示部150に表示される。例えば、文字列画像400の中の対象項目である、項目402のうちの10~23行目の各文字列の横に、当該10~23行目の各項目はユーザのチェックが必要な対象項目であることを知らせる付加情報(例えば「チェック要」の旨を表すアイコンまたは文字)が表示されるのであってよい。 In the following step 720, the partial image cutting unit 130 extracts each item (for example, each line of item 402) in the second layer subordinate to the target item in the first layer of header information from the character string image 400 generated in step 718. Cut out a partial image corresponding to . In step 722, the machine learning unit 140 inputs the partial image of the second layer item of the header information extracted in step 720 to the input layer 502 of the first machine learning model 142, and upon receiving this input, For each input partial image, the No. 1 machine learning model 142 outputs identification information 507 or 508 indicating whether the item of the partial image is a target item from the output layer 506. In step 724, the identification result by the first machine learning model 142 is displayed on the display unit 150. For example, next to each character string in the 10th to 23rd lines of the item 402, which is the target item in the character string image 400, each item in the 10th to 23rd line is a target item that the user needs to check. Additional information (e.g., an icon or text indicating "Check required") may be displayed to notify the user of this.

さらに、ステップ726において、機械学習部140は、ステップ720で切り出された部分画像のうちヘッダー情報の第2階層の対象項目に対応する部分画像を第2の機械学習モデル144の入力層602に入力し、この入力を受けて、第2の機械学習モデル144は、入力された各部分画像について、当該部分画像内のパラメータ値が正常値であるかどうかを表す識別情報607または608を出力層606から出力する。ステップ728において、第2の機械学習モデル144による識別結果が表示部150に表示される。例えば、上記のステップ724で表示された付加情報の横に、さらに加えて、当該対象項目のパラメータ値が正常値と異常値のいずれであるかを知らせる付加情報(例えば「正常値」もしくは「異常値」のアイコンまたは文字)が表示されるのであってよい。 Furthermore, in step 726 , the machine learning unit 140 inputs the partial image corresponding to the target item in the second layer of the header information from among the partial images cut out in step 720 to the input layer 602 of the second machine learning model 144 . Upon receiving this input, the second machine learning model 144 outputs identification information 607 or 608 indicating whether the parameter value in the partial image is a normal value for each input partial image to the output layer 606. Output from. In step 728, the identification result by the second machine learning model 144 is displayed on the display unit 150. For example, next to the additional information displayed in step 724 above, additional information indicating whether the parameter value of the target item is a normal value or an abnormal value (for example, "normal value" or "abnormal value") is added. ``Value'' icon or text) may be displayed.

なお、上記の図7のフローチャートでは、ステップ706で1つのパケットが選択された場合に、第1階層の項目のみを含む文字列画像300が生成、表示された後、第2項目を含む文字列画像400が生成、表示されたが、そのような処理に代えて、ステップ706でのパケットの選択を受けて直ちに、第2階層の全項目が展開された文字列画像400に類似する文字列画像を生成、表示し、この文字列画像の各項目(各行)の部分画像を第1および第2の機械学習モデル142、144に入力して、それら各項目について、対象項目であるか否かおよびパラメータ値が正常か否かを示す識別情報507、508、607、608を出力しそれらを表示部150に表示するように、フローチャートが変更されてもよい。 In the flowchart of FIG. 7 above, when one packet is selected in step 706, after the character string image 300 containing only the first layer items is generated and displayed, the character string image 300 containing only the second layer item is generated and displayed. Although the image 400 is generated and displayed, instead of such processing, a character string image similar to the character string image 400 in which all items of the second layer are expanded immediately after the packet is selected in step 706 is generated. A partial image of each item (each line) of this character string image is input to the first and second machine learning models 142 and 144, and each item is determined whether it is a target item or not. The flowchart may be modified so that identification information 507, 508, 607, and 608 indicating whether the parameter values are normal or not are output and displayed on the display unit 150.

以上のように、本発明の一実施形態に係るパケット解析装置100によれば、パケットのヘッダー情報に含まれる多数の項目の中から、ユーザによる内容のチェックが必要な項目(対象項目)を自動的に判別することができ、また、それら対象項目の設定内容(パラメータ値)が正しいか否かを自動的に判別することができる。 As described above, the packet analysis device 100 according to an embodiment of the present invention automatically selects items (target items) whose contents need to be checked by the user from among a large number of items included in packet header information. It is also possible to automatically determine whether the setting contents (parameter values) of these target items are correct.

以上、本発明の実施形態を説明したが、本発明はこれに限定されず、その要旨を逸脱しない範囲内において様々な変更が可能である。 Although the embodiments of the present invention have been described above, the present invention is not limited thereto, and various changes can be made without departing from the gist thereof.

10 LAN
20 ルーター
30 通信ノード
40 外部ネットワーク
50 通信ノード
100 パケット解析装置
110 パケット取得部
120 文字列画像生成部
130 部分画像切出部
140 機械学習部
142 第1の機械学習モデル
144 第2の機械学習モデル
150 表示部
10 LAN
20 Router 30 Communication node 40 External network 50 Communication node 100 Packet analysis device 110 Packet acquisition unit 120 Character string image generation unit 130 Partial image extraction unit 140 Machine learning unit 142 First machine learning model 144 Second machine learning model 150 Display section

Claims (8)

送受信されるパケットを取得するパケット取得部と、
前記パケットのヘッダー情報に含まれる文字列を表す文字列画像を生成する画像生成部であって、前記文字列画像は、前記ヘッダー情報の各項目を区別可能に表示する画像である、画像生成部と、
前記取得されたパケットに基づいて生成された前記文字列画像から、前記ヘッダー情報の複数の項目のうちの1または複数の対象項目に対応する文字列を選別するように構成された第1の機械学習モデルと、
前記取得されたパケットに基づいて生成された前記文字列画像において、前記第1の機械学習モデルによって選別された対象項目の文字列が、正常なパラメータ値を有しているか否かを判定するように構成された第2の機械学習モデルと、
前記第1の機械学習モデルによる選別結果および前記第2の機械学習モデルによる判定結果を表示する表示部と、
を備えるパケット解析装置。
a packet acquisition unit that acquires transmitted and received packets;
an image generation unit that generates a character string image representing a character string included in header information of the packet, wherein the character string image is an image that distinguishably displays each item of the header information; and,
a first machine configured to select a character string corresponding to one or more target items among the plurality of items of the header information from the character string image generated based on the acquired packet; a learning model;
In the character string image generated based on the acquired packet, it is determined whether the character string of the target item selected by the first machine learning model has a normal parameter value. a second machine learning model configured with;
a display unit that displays a selection result by the first machine learning model and a determination result by the second machine learning model;
A packet analysis device comprising:
前記第1の機械学習モデルは、前記文字列画像のうちの前記ヘッダー情報の各項目に対応する部分画像を入力として受け取り、前記各項目が対象項目であるか否かの識別情報を出力するように構成される、請求項1に記載のパケット解析装置。 The first machine learning model receives as input a partial image corresponding to each item of the header information in the character string image, and outputs identification information indicating whether each item is a target item. The packet analysis device according to claim 1, configured to:. 前記第2の機械学習モデルは、前記文字列画像のうちの前記対象項目に対応する部分画像を入力として受け取り、前記対象項目内のパラメータ値が正常値であるか否かの識別情報を出力するように構成される、請求項1に記載のパケット解析装置。 The second machine learning model receives as input a partial image corresponding to the target item of the character string image, and outputs identification information indicating whether a parameter value in the target item is a normal value. The packet analysis device according to claim 1, configured as follows. 前記文字列画像は、
前記ヘッダー情報における第1階層の複数の項目に対応する第1群の部分画像と、
前記ヘッダー情報における前記第1階層の下位の階層である第2階層の複数の項目のうち、前記第1階層における対象項目に従属している複数の項目に対応する第2群の部分画像と、
前記ヘッダー情報における前記第2階層の複数の項目のうち、前記第1階層における前記対象項目以外の項目に従属している複数の項目に対応する第3群の部分画像と、を含み、
前記第1の機械学習モデルは、前記第1群の部分画像および前記第2群の部分画像を含み前記第3群の部分画像を含まない教師データを用いて事前に訓練された学習モデルである、
請求項1から3のいずれか1項に記載のパケット解析装置。
The character string image is
a first group of partial images corresponding to a plurality of items in a first layer in the header information;
a second group of partial images corresponding to a plurality of items that are subordinate to the target item in the first layer among a plurality of items in a second layer that is a lower layer than the first layer in the header information;
a third group of partial images corresponding to a plurality of items subordinate to items other than the target item in the first layer among the plurality of items in the second layer in the header information;
The first machine learning model is a learning model trained in advance using teacher data that includes the first group of partial images and the second group of partial images but does not include the third group of partial images. ,
A packet analysis device according to any one of claims 1 to 3.
前記文字列は、文字、数字、および記号のうちの1または複数を用いて表現される、請求項1に記載のパケット解析装置。 The packet analysis device according to claim 1, wherein the character string is expressed using one or more of letters, numbers, and symbols. 前記文字列画像は、前記ヘッダー情報の各項目をそれぞれ1行に表示した画像である、請求項1に記載のパケット解析装置。 The packet analysis device according to claim 1, wherein the character string image is an image in which each item of the header information is displayed in one line. 前記対象項目は、前記パラメータ値に対するユーザによるチェックが必要であるものとしてあらかじめ決められた項目である、請求項1に記載のパケット解析装置。 2. The packet analysis device according to claim 1, wherein the target item is an item that is predetermined as requiring a user to check the parameter value. コンピュータを、
送受信されるパケットを取得するパケット取得部、
前記パケットのヘッダー情報に含まれる文字列を表す文字列画像を生成する画像生成部であって、前記文字列画像は、前記ヘッダー情報の各項目を区別可能に表示する画像である、画像生成部、
前記取得されたパケットに基づいて生成された前記文字列画像から、前記ヘッダー情報の複数の項目のうちの1または複数の対象項目に対応する文字列を選別するように構成された第1の機械学習モデル、
前記取得されたパケットに基づいて生成された前記文字列画像において、前記第1の機械学習モデルによって選別された対象項目の文字列が、正常なパラメータ値を有しているか否かを判定するように構成された第2の機械学習モデル、および
前記第1の機械学習モデルによる選別結果および前記第2の機械学習モデルによる判定結果を表示する表示部、
として機能させるように構成された、パケット解析のためのコンピュータプログラム。
computer,
a packet acquisition unit that acquires transmitted and received packets;
an image generation unit that generates a character string image representing a character string included in header information of the packet, wherein the character string image is an image that distinguishably displays each item of the header information; ,
a first machine configured to select a character string corresponding to one or more target items among the plurality of items of the header information from the character string image generated based on the acquired packet; learning model,
In the character string image generated based on the acquired packet, it is determined whether the character string of the target item selected by the first machine learning model has a normal parameter value. a second machine learning model configured to; and a display unit that displays a selection result by the first machine learning model and a determination result by the second machine learning model;
A computer program for packet analysis configured to function as a computer program.
JP2023105947A 2023-06-28 2023-06-28 Packet analysis device and computer program for packet analysis Active JP7356617B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2023105947A JP7356617B1 (en) 2023-06-28 2023-06-28 Packet analysis device and computer program for packet analysis

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2023105947A JP7356617B1 (en) 2023-06-28 2023-06-28 Packet analysis device and computer program for packet analysis

Publications (1)

Publication Number Publication Date
JP7356617B1 true JP7356617B1 (en) 2023-10-04

Family

ID=88198242

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2023105947A Active JP7356617B1 (en) 2023-06-28 2023-06-28 Packet analysis device and computer program for packet analysis

Country Status (1)

Country Link
JP (1) JP7356617B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003318984A (en) 2002-04-26 2003-11-07 Nippon Telegr & Teleph Corp <Ntt> Pdu observation method, connectionless data communication device, and pdu observation apparatus
US8612530B1 (en) 2011-05-27 2013-12-17 Mu Dynamics, Inc. Pass-through testing using message exchange identifiers
US20220374453A1 (en) 2018-11-26 2022-11-24 IntellixAI, Inc. Virtual research platform

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003318984A (en) 2002-04-26 2003-11-07 Nippon Telegr & Teleph Corp <Ntt> Pdu observation method, connectionless data communication device, and pdu observation apparatus
US8612530B1 (en) 2011-05-27 2013-12-17 Mu Dynamics, Inc. Pass-through testing using message exchange identifiers
US20220374453A1 (en) 2018-11-26 2022-11-24 IntellixAI, Inc. Virtual research platform

Similar Documents

Publication Publication Date Title
CN110928772B (en) Test method and device
WO2017216980A1 (en) Machine learning device
US9122995B2 (en) Classification of stream-based data using machine learning
US20180165258A1 (en) Methods for improved auditing of web sites and devices thereof
US20190050376A1 (en) Automatic value formatting based on intrinsic structural semantics
JPWO2012124018A1 (en) Information processing apparatus, information processing method, and information processing program
WO2019111508A1 (en) Information processing device, information processing method, and program
JPWO2017110720A1 (en) Log analysis system, log analysis method and program
US11063887B2 (en) Information processing apparatus, user terminal apparatus, and control method
CN109542763A (en) Page monitoring method, device, computer equipment and storage medium
JP2002278797A (en) System and method for diagnosing security
CN110555488A (en) Image sequence auditing method and system, electronic equipment and storage medium
JP7356617B1 (en) Packet analysis device and computer program for packet analysis
JP2010182044A (en) Failure cause analysis system and program
CN111158973B (en) Web application dynamic evolution monitoring method
CN105550250B (en) A kind of processing method and processing device of access log
JP2011186706A (en) Information processor, information processing method, and program
CN110032500B (en) Multi-layer nested data analysis method and device
JP2009187395A (en) Topic analyzing device, method and program
CN107609401A (en) Automatic test approach and device
CN114003784A (en) Request recording method, device, equipment and storage medium
JP2005173671A (en) Device, method and program for link diagnosis
JP5394512B2 (en) Teacher data generation apparatus, method, and program
US20070211710A1 (en) Parameter sheet generating device, and corporeal computer program storage medium
JP6056094B2 (en) Site analysis system, site analysis method, server device, and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230628

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20230628

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230919

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230922

R150 Certificate of patent or registration of utility model

Ref document number: 7356617

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150