JP2004312083A - 学習データ作成装置、侵入検知システムおよびプログラム - Google Patents
学習データ作成装置、侵入検知システムおよびプログラム Download PDFInfo
- Publication number
- JP2004312083A JP2004312083A JP2003099040A JP2003099040A JP2004312083A JP 2004312083 A JP2004312083 A JP 2004312083A JP 2003099040 A JP2003099040 A JP 2003099040A JP 2003099040 A JP2003099040 A JP 2003099040A JP 2004312083 A JP2004312083 A JP 2004312083A
- Authority
- JP
- Japan
- Prior art keywords
- data
- pattern
- attack
- traffic data
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】アノマリ型侵入検知システムにおいて用いられる学習データを自動的に生成することができる侵入検知システムを提供することを目的とする。
【解決手段】ネットワーク上を伝送するトラヒックデータを入力し、学習データ作成装置により作成された学習データと前記トラヒックデータから変数を選択する変数選択手段と、該選択された変数をニューラルネットや決定木等の解析アルゴリズムを用いて解析を行い、パターンを生成する処理手段と、該生成されたパターンを用いて前記解析結果を評価する評価手段とを有し、前記変数選択手段および処理手段、評価手段における処理を1回以上行うことにより、侵入の検知に有効なパターンを生成して異常なトラヒックデータを検知する侵入検知システムを提供する。
【選択図】 図1
【解決手段】ネットワーク上を伝送するトラヒックデータを入力し、学習データ作成装置により作成された学習データと前記トラヒックデータから変数を選択する変数選択手段と、該選択された変数をニューラルネットや決定木等の解析アルゴリズムを用いて解析を行い、パターンを生成する処理手段と、該生成されたパターンを用いて前記解析結果を評価する評価手段とを有し、前記変数選択手段および処理手段、評価手段における処理を1回以上行うことにより、侵入の検知に有効なパターンを生成して異常なトラヒックデータを検知する侵入検知システムを提供する。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は、ネットワーク等への不正侵入を検知するための学習データ作成装置、侵入検知システムおよびプログラムに関する。
【0002】
【従来の技術】
近年、インターネットの急速な発展に伴って、例えば、インターネットを活用した企業間取引や顧客へのサービス提供が活発に行われており、こうしたサービスは戦略的なビジネス展開を模索する企業にとって重要な課題になっている。しかしながら、インターネットの通信環境は、ハッカーによる不正侵入やウイルス感染といった様々な脅威にさらされており、特に、インターネットにおける不正アクセスは社会的な問題となっている。こうした事態に対応する手段としてファイヤウォールが提案されているが、ファイヤウォールは、企業内ネットワークとインターネットの中間に接続され、インターネットからの不正なアクセスを遮断するフィルタとして機能を果たすものであり、ファイヤウォールを設置したネットワークシステムでは、内部から外部へのゲートウェイ的なアクセスを可能にし、インターネットの各種サービスを安全に利用できるようになるという利点を有するものの、ハッカーによる不正侵入おいては、サービスが提供されているため、ファイヤウォールによりフィルタすることができないトラヒックに含まれる攻撃ややサービスそのものを妨害する攻撃(サービス不能攻撃(DoS: Denaial
of Service)等、さまざまな攻撃を受ける危険性がある。
【0003】
こうした問題点に対応するために、ネットワークへの侵入を自動的に検出する侵入検知システム(IDS:Intrusion Detection System)が提案されている。前述のファイヤウォールは不要なサービスのトラヒックをフィルタリングすることにより、攻撃を防ぐことが可能であるが、必要なサービスのトラヒックに攻撃が含まれている場合には、攻撃を防ぐこともこれを検知することもできない。特に、サービスそのものが脆弱である場合には、攻撃を防御することも、これを検知することもできない。一方、IDSにおいては、サービス提供の有無に関わらず、トラヒックに攻撃が含まれているか否かを検知できるため、攻撃の量や種類をも検知できるという特色を有している。
【0004】
この侵入検知システムは検知する対象によって、シグネチャ型IDSとアノマリ型IDSとに分類される。シグネチャ型IDSは、既知の不正アクセスを検知するものであり、具体的には、過去の不正アクセスに伴う攻撃パターンを予めシグネチャとして登録しておき、ネットワーク上を伝送しているパケットデータをミラーリング等の手法で収集し、この収集したパケットデータと予め登録しておいたシグネチャとのパターンマッチングにより、攻撃の有無を判断するものである。なお、最近では、パケット単位でのパターンマッチングだけでなく、TCP(TCP:Transmission Control Protocol)コネクションを再構築してパターンマッチングを行う方式を実装したシステムも存在する。
【0005】
一方、アノマリ型IDSは、ネットワーク上を伝送しているパケットデータを収集し、これに統計処理、データマイニング処理等を施して得たモデルによって、攻撃の有無を検知する方式である。例えば、統計処理による場合には、特定のポート番号にいくつのパケットがきたのかを監視し、これから、平均値や合計値を求め、あるいは、これらの取得データと過去のデータとを比較することにより、モデルを導き出す。また、データマイニング方式による場合には、予め攻撃の有無が判断された学習データ(Training Data)を用いてモデルを作成し、このモデルをもとに、収集したパケットに対して攻撃の有無を判断する方式である(以上、例えば、非特許文献1参照)。なお、学習データからモデルを作成する際には、決定木やニューラルネットの手法が用いられる。
【0006】
【非特許文献1】
Edward G.Amoroso著「Intrusion Detection、Traps、Trace Back、and Response」Intrusion Net Books社、1999年2月1日発行
【0007】
【発明が解決しようとする課題】
しかし、シグネチャ型IDSは、コンピュータウィルス(Worm)や攻撃ツール(例えば、Exploit code等)を用いるスクリプトキディ等、攻撃パターンが一定である場合には、ネットワークへの不正侵入を高い確率で検知することが期待できるが、シグネチャに登録されていない未知の攻撃や亜種の攻撃を検知することが困難であるという問題がある。一方、アノマリ型IDSにおいては、未知の攻撃や亜種の攻撃を検知することができるという特徴を有し、高い確率で、ネットワークへの不正侵入を検知することが期待できる。
【0008】
しかし、アノマリ型IDSで用いられるモデルを生成するための学習データは、一般には、ネットワークシステムに関する習熟者が攻撃の有無を判断したデータや、模擬的に攻撃がまったく存在しないデータを用いて作成されるため、これを一般に入手することが困難であるという問題がある。
【0009】
そこで、本発明は、上述した問題点に鑑みてなされたものであって、アノマリ型侵入検知システムにおいて用いられる学習データを自動的に生成することができる侵入検知システムを提供することを目的とする。
【0010】
【課題を解決するための手段】
前記課題を解決するため、本発明は、以下の手段を提案している。
請求項1に係る発明は、ネットワーク上を伝送するトラヒックデータを入力し、過去の不正アクセスに基づくトラヒックデータから作成されたパターンデータを記憶する記憶手段と、該記憶手段に記憶されたパターンデータと前記ネットワークを伝送するトラヒックデータとを比較して、該パターンデータを含むトラヒックデータと攻撃種別とを抽出する比較抽出手段と、該比較抽出手段から得られたトラヒックデータと攻撃種別から攻撃の有無が判定された学習データを作成する学習データ作成装置を提案している。
【0011】
請求項3に係る発明は、ネットワーク上を伝送するトラヒックデータを入力し、過去の不正アクセスに基づくトラヒックデータから作成されたパターンデータを記憶し、該記憶されたパターンデータと前記ネットワークを伝送するトラヒックデータとを比較して、該パターンデータを含むトラヒックデータと攻撃種別とを抽出するとともに、該抽出されたトラヒックデータと攻撃種別から攻撃の有無が判定された学習データを作成する学習データ作成プログラムを提案している。
【0012】
これらの発明によれば、過去の不正アクセスに基づくトラヒックデータから作成されたパターンデータを記憶し、これとネットワークを伝送するトラヒックデータとを比較してトラヒックデータと攻撃種別とを抽出し、これにより学習データを作成するため、学習データの取得が容易になる。
【0013】
請求項2に係る発明は、ネットワーク上を伝送するトラヒックデータを入力し、予め攻撃の有無が判断された学習データから作成されたパターンに基づいて、ネットワークへの不正侵入を検知し出力する侵入検知システムであって、前記請求項1に記載された学習データ作成装置により作成された学習データと前記トラヒックデータから変数を選択する変数選択手段と、該選択された変数をニューラルネットや決定木等の解析アルゴリズムを用いて解析を行い、パターンを生成する処理手段と、該生成されたパターンを用いて前記解析結果を評価する評価手段とを有し、前記変数選択手段および処理手段、評価手段における処理を1回以上行うことにより、侵入の検知に有効なパターンを生成する侵入検知システムを提案している。
【0014】
請求項4に係る発明は、ネットワーク上を伝送するトラヒックデータと前記請求項3に記載された学習データプログラムにより作成された学習データとから変数を選択する第1のステップと、該選択された変数をニューラルネットや決定木等の解析アルゴリズムを用いて解析を行い、パターンを生成する第2のステップと、該生成されたパターンを用いて前記解析結果を評価する第3のステップとを有し、前記第1から第3のステップにおける処理を1回以上行うことにより、侵入の検知に有効なパターンを生成する侵入検知プログラムを提案している。
【0015】
これらの発明によれば、ネットワークへの不正侵入を前記学習データを用いて判断するため、未知の攻撃や亜種の攻撃に対しても高い検知率を有するシステムを構築することができる。また、学習データから不正侵入を判断するパターンを決定する手段として、ニューラルネットや決定木等の解析アルゴリズムを用いたことから、目的変数が予め決められたデータを入力することにより学習を行い、その結果を利用して目的変数から未知の事象に対して予測を行うことができる。
【0016】
【発明の実施の形態】
以下、本発明の実施形態に係る侵入検知システムについて図1から図4を参照して詳細に説明する。
本発明の実施形態に係る侵入検知システムは、図1(a)および(b)に示すように、シグネチャ型IDS1と、選択・前処理手段2と、データマイニング処理手段3と、評価・実装手段4と、アノマリ型検知エンジン5とを備えている。なお、図1(a)は、パターンデータを生成するためのブロックを、同図(b)は、侵入検知のためのブロックを示している。また、パターンデータを生成するためのブロックと侵入検知のためのブロックとは、同時に動作させてもよいし、交互に繰り返し動作させてもよい。
【0017】
シグネチャ型IDS1は、主に、システム上を伝送するパケットデータを入力し、各パケットデータに対する攻撃の有無やその種類を判定するシステムである。一般的なシグネチャ型IDS1は、システム上を伝送するパケットデータを取り込むパケットキャプチャ機能を含んでいるものが多い。シグネチャ型IDS1の仕組みは、予め攻撃と判定するパターンデータを登録しておき、パケットキャプチャ機能で取り込んだパケットデータと登録されたパターンデータとのパターンマッチングを行って、上記判定を行うものである。
【0018】
パターンマッチングの対象は、パケットデータそのものである場合もあるが、コネクション毎のマッチングを行う場合もある。シグネチャ型IDS1の出力は、ASCIIテキスト形式や攻撃パケットデータそのものである場合が多いが、既に製品化されたシグネチャ型IDS1では、それぞれ異なる出力形式が採用されており、共通フォーマット侵入検知交換フォーマット(例えば、IDEF:Intrusion Detection Exchange Format等)を採用しているものもある。
【0019】
本実施形態におけるシグネチャ型IDS1は、図示しない既存のシグネチャ型IDS接続用インターフェースを有しており、システム上を伝送するトラヒックデータを入力して、パターンマッチングを行い、攻撃トラヒック情報と攻撃種別情報とを出力する。なお、IDEFにより記述されたデータを入力対象とすることもできる。
【0020】
選択・前処理手段2は、各パケットデータに対して、フォーマットにおけるすべての変数を抽出する。一般に、ネットワーク上を伝送するトラヒックデータは、パケットデータと呼ばれる単位のバイナリデータに分割することができる。バイナリデータは、それぞれ決められたデータフォーマットにより規定されている。各パケットデータは、IP(IP:Internet Protocol)やポート、シーケンスナンバーといった変数に分類できるため、この処理においては、入力したトラヒックデータをパケット毎、IP毎、ポート毎、TCPコネクション毎のそれぞれを対象に変数を抽出する。なお、ここで、TCPコネクション毎とは、シーケンスナンバーにより関連付けられるものである。
【0021】
次に、抽出した変数の中から解析に必要な変数を選択する。変数の選択は、予め変数を決定しておく場合もあるが、シグネチャ型IDSにより得られるデータに基づいて、変数を決定する場合もある。こうして得られたデータは、次に、データマイニング処理に適した形式に成形されて、学習データとして出力される。なお、データマイニング処理には、汎用的なデータマイニングソフトも利用できる。この場合のデータ形式としては、ASCIIテキスト形式やリレーショナルデータベースに保存した形式となる。
【0022】
データマイニング処理手段3は、例えば、決定木やニューラルネットおよびK−meansなどの手法を用いて、選択・前処理手段2から入力される学習データを処理するものである。これらの手法は、入力として説明変数と目的変数とからなる多変数データを用いるものであり、この多変数データは複数の事象とそれに対応する説明変数および目的変数とにより構成される。
【0023】
一般に、目的変数は1つであり、説明変数は複数存在する。また、ニューラルネットなどを用いたデータマイニング処理では、目的変数が予め決められたデータを入力することにより学習を行い、その結果を利用することにより、目的変数から未知の事象に対して予測を行う。本実施形態においては、一例として、パケットデータ毎、IP毎、ポート毎、TCPコネクション毎のそれぞれを事象として、抽出された変数を説明変数とし、攻撃の有無もしくは攻撃の種類を目的変数としている。
【0024】
評価・実装手段4は、データマイニング処理手段3から出力されたパターンデータが攻撃トラヒックデータや異常トラヒックデータを検知するために有効であるかどうかを評価する。具体的には、評価・実装結果を人間が判断する場合やデータマイニング処理手段3から出力されたパターンデータをシステムに一旦適用して、その適用の結果から、何らかの閾値を設けることにより評価する方法などが考えられる。
【0025】
仮に、評価の結果が有効なものでないと判断された場合には、選択・前処理手段2に戻って、もう一度、学習データの生成を行う。一方、有効であると判断された場合、その有効な特徴を検知方法として実装し、システムに適用する。アノマリ型検知エンジン5は、実装された有効な特徴を利用して、目的変数の決定されていないデータの目的変数を予測する機能を果たす。
【0026】
次に、図2を用いて、学習データ作成の処理フローについて説明する。
本実施形態において、学習データを得るためには、まず、ネットワークを伝送するトラヒックデータからパケットデータをダンプする(ステップ101)。ダンプされたパケットデータは、シグネチャ型IDS1内のインターフェースを介して入力される(ステップ102)。入力されたパケットデータは、予め登録されているシグネチャとマッチング処理され(ステップ103)、入力されたパケットデータと予め登録されているシグネチャが一致しているときは、攻撃トラヒック情報と攻撃種別が抽出された後、選択・前処理手段2に出力され、パケットの分類および変数の選択が行われる(ステップ104)。
【0027】
その後、目的変数に攻撃種別が記入され(ステップ105)、データマイニング処理が可能な形式に成形される(ステップ106)。続いて、すべてのパケットデータについて、予め登録されているシグネチャとのマッチング処理が完了したかが判断され、すべてのパケットデータについてマッチング処理が完了していると判断されたときは(ステップ107)、学習データを出力して終了する(ステップ108)。一方、すべてのパケットデータについてマッチング処理が完了していないと判断したときは(ステップ107)、ステップ101に戻って、新たなパケットデータをトラヒックデータからダンプする。
【0028】
さらに、パケットデータと予め登録されているシグネチャが一致していない判断されるときは(ステップ103)、すべてのパケットデータについてマッチングが完了しているか否かを判断し、完了していると判断したときは(ステップ107)、学習データを出力して(ステップ108)終了する。一方、すべてのパケットデータについてマッチングが完了していないと判断したときは、ステップ101に戻って、処理を続行する。
【0029】
次に、図3を用いて、データマイニング処理からパターンデータの生成までの流れについて説明する。
データマイニング処理手段3は、選択・前処理手段2から学習データを入力する(ステップ201)。入力された学習データには、目的変数として攻撃種別が記入されているため、データマイニング処理手段3においては、この目的変数を入力することにより学習を行い、その結果を利用して目的変数から未知の事象に対して予測を行う(ステップ202)。
【0030】
データマイニング処理における予測により、有効な結果が得られた場合には(ステップ203)、このデータマイニングの結果をパターンデータとして評価・実装手段4に出力し(ステップ204)、良好な評価が行えた場合には、このモデルをアノマリ型検知エンジン5に出力する(ステップ205)。一方、データマイニング処理における予測により、有効な結果が得られない場合には(ステップ203)、図2のフローチャートに戻って、学習データを再構築する(ステップ206)。
【0031】
次に、図4を用いて、システムの侵入検知の処理について説明する。なお、本図においては、事前に、図2および図3のフローチャートにしたがって、モデルが構築できているものとする。
ネットワーク上を伝送するトラヒックデータは、パケット単位でダンプされて(ステップ301)アノマリ型検知エンジン5に出力される(ステップ302)。アノマリ型検知エンジン5に入力されたパケットデータは、パケットごとに分類され、変数の選択が行われる(ステップ303)。変数の選択が行われたパケットデータは、データマイニングに適した形式に成形され(ステップ304)、登録されているモデルとマッチング処理される(ステップ305)。
【0032】
マッチング処理の結果、パケットデータと登録されたモデルとが一致すると判断されたとき(ステップ305)は、異常トラヒック情報を出力し(ステップ306)、次に、すべてのパケットデータについてマッチング処理が完了したかを確認し、すべてのパケットデータについてマッチング処理が完了したと判断したときは処理を終了する(ステップ307)。
【0033】
一方、すべてのパケットデータについて、マッチング処理が完了していないと判断したときは、ステップ301に戻って処理を続行する。また、パケットデータと登録されたモデルとが一致しないと判断されたときは(ステップ305)、すべてのパケットデータについてマッチング処理が完了したかを判断し(ステップ307)、完了したと判断したときは処理を終了し、完了していないと判断したときは、ステップ301に戻って、処理を続行する。
【0034】
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成はこれらの実施の形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、図4のフローチャートにおいては、ダンプしたパケットデータを選択・前処理してアノマリ型検知エンジンに入力する形態について説明したが、選択・前処理を行わず、ダンプしたパケットデータを直接、アノマリ型検知エンジンに入力するような構成であってもよい。
【0035】
また、本実施形態においては、攻撃トラヒック情報の抽出、攻撃種別情報の抽出にシグネチャ型IDSを用いて説明したが、IDSの検知結果としては、既存のIDSの検知結果であればどのようなものでもよいし、必ずしもシグネチャ型である必要はない。
【0036】
【発明の効果】
以上のように、この発明によれば、アノマリ型IDSに用いる有効なパターンデータの生成に必要な学習データをシグネチャ型IDSを利用して生成することとしたことから、従来、熟練者等によらなければ入手が困難であった学習データを容易に入手することができるという効果がある。
【0037】
また、上記有効なパターンデータをアノマリ型IDSに適用することにより、シグネチャの登録されていない未知の攻撃や亜種の攻撃を検知できるという効果がある。さらに、シグネチャ型IDSにより生成した学習データを用いて侵入検知に有効なパターンデータを生成し、これをアノマリ型IDSに適用したことから、より高い検知率を期待できるという効果がある。
【図面の簡単な説明】
【図1】本発明の実施形態に係る侵入検知システムの構成図である。
【図2】本発明の実施形態に係る侵入検知システムにおける学習データの生成フローチャート図である。
【図3】本発明の実施形態に係る侵入検知システムにおけるデータマイニング処理からパターンデータの作成までを示すフローチャート図である。
【図4】本発明の実施形態に係る侵入検知システムにおける侵入検知のフローチャート図である。
【符号の説明】
1・・・シグネチャ型IDS、2・・・選択・前処理手段、3・・・データマイニング処理手段、4・・・評価・実装手段、5・・・アノマリ型検知エンジン、
【発明の属する技術分野】
本発明は、ネットワーク等への不正侵入を検知するための学習データ作成装置、侵入検知システムおよびプログラムに関する。
【0002】
【従来の技術】
近年、インターネットの急速な発展に伴って、例えば、インターネットを活用した企業間取引や顧客へのサービス提供が活発に行われており、こうしたサービスは戦略的なビジネス展開を模索する企業にとって重要な課題になっている。しかしながら、インターネットの通信環境は、ハッカーによる不正侵入やウイルス感染といった様々な脅威にさらされており、特に、インターネットにおける不正アクセスは社会的な問題となっている。こうした事態に対応する手段としてファイヤウォールが提案されているが、ファイヤウォールは、企業内ネットワークとインターネットの中間に接続され、インターネットからの不正なアクセスを遮断するフィルタとして機能を果たすものであり、ファイヤウォールを設置したネットワークシステムでは、内部から外部へのゲートウェイ的なアクセスを可能にし、インターネットの各種サービスを安全に利用できるようになるという利点を有するものの、ハッカーによる不正侵入おいては、サービスが提供されているため、ファイヤウォールによりフィルタすることができないトラヒックに含まれる攻撃ややサービスそのものを妨害する攻撃(サービス不能攻撃(DoS: Denaial
of Service)等、さまざまな攻撃を受ける危険性がある。
【0003】
こうした問題点に対応するために、ネットワークへの侵入を自動的に検出する侵入検知システム(IDS:Intrusion Detection System)が提案されている。前述のファイヤウォールは不要なサービスのトラヒックをフィルタリングすることにより、攻撃を防ぐことが可能であるが、必要なサービスのトラヒックに攻撃が含まれている場合には、攻撃を防ぐこともこれを検知することもできない。特に、サービスそのものが脆弱である場合には、攻撃を防御することも、これを検知することもできない。一方、IDSにおいては、サービス提供の有無に関わらず、トラヒックに攻撃が含まれているか否かを検知できるため、攻撃の量や種類をも検知できるという特色を有している。
【0004】
この侵入検知システムは検知する対象によって、シグネチャ型IDSとアノマリ型IDSとに分類される。シグネチャ型IDSは、既知の不正アクセスを検知するものであり、具体的には、過去の不正アクセスに伴う攻撃パターンを予めシグネチャとして登録しておき、ネットワーク上を伝送しているパケットデータをミラーリング等の手法で収集し、この収集したパケットデータと予め登録しておいたシグネチャとのパターンマッチングにより、攻撃の有無を判断するものである。なお、最近では、パケット単位でのパターンマッチングだけでなく、TCP(TCP:Transmission Control Protocol)コネクションを再構築してパターンマッチングを行う方式を実装したシステムも存在する。
【0005】
一方、アノマリ型IDSは、ネットワーク上を伝送しているパケットデータを収集し、これに統計処理、データマイニング処理等を施して得たモデルによって、攻撃の有無を検知する方式である。例えば、統計処理による場合には、特定のポート番号にいくつのパケットがきたのかを監視し、これから、平均値や合計値を求め、あるいは、これらの取得データと過去のデータとを比較することにより、モデルを導き出す。また、データマイニング方式による場合には、予め攻撃の有無が判断された学習データ(Training Data)を用いてモデルを作成し、このモデルをもとに、収集したパケットに対して攻撃の有無を判断する方式である(以上、例えば、非特許文献1参照)。なお、学習データからモデルを作成する際には、決定木やニューラルネットの手法が用いられる。
【0006】
【非特許文献1】
Edward G.Amoroso著「Intrusion Detection、Traps、Trace Back、and Response」Intrusion Net Books社、1999年2月1日発行
【0007】
【発明が解決しようとする課題】
しかし、シグネチャ型IDSは、コンピュータウィルス(Worm)や攻撃ツール(例えば、Exploit code等)を用いるスクリプトキディ等、攻撃パターンが一定である場合には、ネットワークへの不正侵入を高い確率で検知することが期待できるが、シグネチャに登録されていない未知の攻撃や亜種の攻撃を検知することが困難であるという問題がある。一方、アノマリ型IDSにおいては、未知の攻撃や亜種の攻撃を検知することができるという特徴を有し、高い確率で、ネットワークへの不正侵入を検知することが期待できる。
【0008】
しかし、アノマリ型IDSで用いられるモデルを生成するための学習データは、一般には、ネットワークシステムに関する習熟者が攻撃の有無を判断したデータや、模擬的に攻撃がまったく存在しないデータを用いて作成されるため、これを一般に入手することが困難であるという問題がある。
【0009】
そこで、本発明は、上述した問題点に鑑みてなされたものであって、アノマリ型侵入検知システムにおいて用いられる学習データを自動的に生成することができる侵入検知システムを提供することを目的とする。
【0010】
【課題を解決するための手段】
前記課題を解決するため、本発明は、以下の手段を提案している。
請求項1に係る発明は、ネットワーク上を伝送するトラヒックデータを入力し、過去の不正アクセスに基づくトラヒックデータから作成されたパターンデータを記憶する記憶手段と、該記憶手段に記憶されたパターンデータと前記ネットワークを伝送するトラヒックデータとを比較して、該パターンデータを含むトラヒックデータと攻撃種別とを抽出する比較抽出手段と、該比較抽出手段から得られたトラヒックデータと攻撃種別から攻撃の有無が判定された学習データを作成する学習データ作成装置を提案している。
【0011】
請求項3に係る発明は、ネットワーク上を伝送するトラヒックデータを入力し、過去の不正アクセスに基づくトラヒックデータから作成されたパターンデータを記憶し、該記憶されたパターンデータと前記ネットワークを伝送するトラヒックデータとを比較して、該パターンデータを含むトラヒックデータと攻撃種別とを抽出するとともに、該抽出されたトラヒックデータと攻撃種別から攻撃の有無が判定された学習データを作成する学習データ作成プログラムを提案している。
【0012】
これらの発明によれば、過去の不正アクセスに基づくトラヒックデータから作成されたパターンデータを記憶し、これとネットワークを伝送するトラヒックデータとを比較してトラヒックデータと攻撃種別とを抽出し、これにより学習データを作成するため、学習データの取得が容易になる。
【0013】
請求項2に係る発明は、ネットワーク上を伝送するトラヒックデータを入力し、予め攻撃の有無が判断された学習データから作成されたパターンに基づいて、ネットワークへの不正侵入を検知し出力する侵入検知システムであって、前記請求項1に記載された学習データ作成装置により作成された学習データと前記トラヒックデータから変数を選択する変数選択手段と、該選択された変数をニューラルネットや決定木等の解析アルゴリズムを用いて解析を行い、パターンを生成する処理手段と、該生成されたパターンを用いて前記解析結果を評価する評価手段とを有し、前記変数選択手段および処理手段、評価手段における処理を1回以上行うことにより、侵入の検知に有効なパターンを生成する侵入検知システムを提案している。
【0014】
請求項4に係る発明は、ネットワーク上を伝送するトラヒックデータと前記請求項3に記載された学習データプログラムにより作成された学習データとから変数を選択する第1のステップと、該選択された変数をニューラルネットや決定木等の解析アルゴリズムを用いて解析を行い、パターンを生成する第2のステップと、該生成されたパターンを用いて前記解析結果を評価する第3のステップとを有し、前記第1から第3のステップにおける処理を1回以上行うことにより、侵入の検知に有効なパターンを生成する侵入検知プログラムを提案している。
【0015】
これらの発明によれば、ネットワークへの不正侵入を前記学習データを用いて判断するため、未知の攻撃や亜種の攻撃に対しても高い検知率を有するシステムを構築することができる。また、学習データから不正侵入を判断するパターンを決定する手段として、ニューラルネットや決定木等の解析アルゴリズムを用いたことから、目的変数が予め決められたデータを入力することにより学習を行い、その結果を利用して目的変数から未知の事象に対して予測を行うことができる。
【0016】
【発明の実施の形態】
以下、本発明の実施形態に係る侵入検知システムについて図1から図4を参照して詳細に説明する。
本発明の実施形態に係る侵入検知システムは、図1(a)および(b)に示すように、シグネチャ型IDS1と、選択・前処理手段2と、データマイニング処理手段3と、評価・実装手段4と、アノマリ型検知エンジン5とを備えている。なお、図1(a)は、パターンデータを生成するためのブロックを、同図(b)は、侵入検知のためのブロックを示している。また、パターンデータを生成するためのブロックと侵入検知のためのブロックとは、同時に動作させてもよいし、交互に繰り返し動作させてもよい。
【0017】
シグネチャ型IDS1は、主に、システム上を伝送するパケットデータを入力し、各パケットデータに対する攻撃の有無やその種類を判定するシステムである。一般的なシグネチャ型IDS1は、システム上を伝送するパケットデータを取り込むパケットキャプチャ機能を含んでいるものが多い。シグネチャ型IDS1の仕組みは、予め攻撃と判定するパターンデータを登録しておき、パケットキャプチャ機能で取り込んだパケットデータと登録されたパターンデータとのパターンマッチングを行って、上記判定を行うものである。
【0018】
パターンマッチングの対象は、パケットデータそのものである場合もあるが、コネクション毎のマッチングを行う場合もある。シグネチャ型IDS1の出力は、ASCIIテキスト形式や攻撃パケットデータそのものである場合が多いが、既に製品化されたシグネチャ型IDS1では、それぞれ異なる出力形式が採用されており、共通フォーマット侵入検知交換フォーマット(例えば、IDEF:Intrusion Detection Exchange Format等)を採用しているものもある。
【0019】
本実施形態におけるシグネチャ型IDS1は、図示しない既存のシグネチャ型IDS接続用インターフェースを有しており、システム上を伝送するトラヒックデータを入力して、パターンマッチングを行い、攻撃トラヒック情報と攻撃種別情報とを出力する。なお、IDEFにより記述されたデータを入力対象とすることもできる。
【0020】
選択・前処理手段2は、各パケットデータに対して、フォーマットにおけるすべての変数を抽出する。一般に、ネットワーク上を伝送するトラヒックデータは、パケットデータと呼ばれる単位のバイナリデータに分割することができる。バイナリデータは、それぞれ決められたデータフォーマットにより規定されている。各パケットデータは、IP(IP:Internet Protocol)やポート、シーケンスナンバーといった変数に分類できるため、この処理においては、入力したトラヒックデータをパケット毎、IP毎、ポート毎、TCPコネクション毎のそれぞれを対象に変数を抽出する。なお、ここで、TCPコネクション毎とは、シーケンスナンバーにより関連付けられるものである。
【0021】
次に、抽出した変数の中から解析に必要な変数を選択する。変数の選択は、予め変数を決定しておく場合もあるが、シグネチャ型IDSにより得られるデータに基づいて、変数を決定する場合もある。こうして得られたデータは、次に、データマイニング処理に適した形式に成形されて、学習データとして出力される。なお、データマイニング処理には、汎用的なデータマイニングソフトも利用できる。この場合のデータ形式としては、ASCIIテキスト形式やリレーショナルデータベースに保存した形式となる。
【0022】
データマイニング処理手段3は、例えば、決定木やニューラルネットおよびK−meansなどの手法を用いて、選択・前処理手段2から入力される学習データを処理するものである。これらの手法は、入力として説明変数と目的変数とからなる多変数データを用いるものであり、この多変数データは複数の事象とそれに対応する説明変数および目的変数とにより構成される。
【0023】
一般に、目的変数は1つであり、説明変数は複数存在する。また、ニューラルネットなどを用いたデータマイニング処理では、目的変数が予め決められたデータを入力することにより学習を行い、その結果を利用することにより、目的変数から未知の事象に対して予測を行う。本実施形態においては、一例として、パケットデータ毎、IP毎、ポート毎、TCPコネクション毎のそれぞれを事象として、抽出された変数を説明変数とし、攻撃の有無もしくは攻撃の種類を目的変数としている。
【0024】
評価・実装手段4は、データマイニング処理手段3から出力されたパターンデータが攻撃トラヒックデータや異常トラヒックデータを検知するために有効であるかどうかを評価する。具体的には、評価・実装結果を人間が判断する場合やデータマイニング処理手段3から出力されたパターンデータをシステムに一旦適用して、その適用の結果から、何らかの閾値を設けることにより評価する方法などが考えられる。
【0025】
仮に、評価の結果が有効なものでないと判断された場合には、選択・前処理手段2に戻って、もう一度、学習データの生成を行う。一方、有効であると判断された場合、その有効な特徴を検知方法として実装し、システムに適用する。アノマリ型検知エンジン5は、実装された有効な特徴を利用して、目的変数の決定されていないデータの目的変数を予測する機能を果たす。
【0026】
次に、図2を用いて、学習データ作成の処理フローについて説明する。
本実施形態において、学習データを得るためには、まず、ネットワークを伝送するトラヒックデータからパケットデータをダンプする(ステップ101)。ダンプされたパケットデータは、シグネチャ型IDS1内のインターフェースを介して入力される(ステップ102)。入力されたパケットデータは、予め登録されているシグネチャとマッチング処理され(ステップ103)、入力されたパケットデータと予め登録されているシグネチャが一致しているときは、攻撃トラヒック情報と攻撃種別が抽出された後、選択・前処理手段2に出力され、パケットの分類および変数の選択が行われる(ステップ104)。
【0027】
その後、目的変数に攻撃種別が記入され(ステップ105)、データマイニング処理が可能な形式に成形される(ステップ106)。続いて、すべてのパケットデータについて、予め登録されているシグネチャとのマッチング処理が完了したかが判断され、すべてのパケットデータについてマッチング処理が完了していると判断されたときは(ステップ107)、学習データを出力して終了する(ステップ108)。一方、すべてのパケットデータについてマッチング処理が完了していないと判断したときは(ステップ107)、ステップ101に戻って、新たなパケットデータをトラヒックデータからダンプする。
【0028】
さらに、パケットデータと予め登録されているシグネチャが一致していない判断されるときは(ステップ103)、すべてのパケットデータについてマッチングが完了しているか否かを判断し、完了していると判断したときは(ステップ107)、学習データを出力して(ステップ108)終了する。一方、すべてのパケットデータについてマッチングが完了していないと判断したときは、ステップ101に戻って、処理を続行する。
【0029】
次に、図3を用いて、データマイニング処理からパターンデータの生成までの流れについて説明する。
データマイニング処理手段3は、選択・前処理手段2から学習データを入力する(ステップ201)。入力された学習データには、目的変数として攻撃種別が記入されているため、データマイニング処理手段3においては、この目的変数を入力することにより学習を行い、その結果を利用して目的変数から未知の事象に対して予測を行う(ステップ202)。
【0030】
データマイニング処理における予測により、有効な結果が得られた場合には(ステップ203)、このデータマイニングの結果をパターンデータとして評価・実装手段4に出力し(ステップ204)、良好な評価が行えた場合には、このモデルをアノマリ型検知エンジン5に出力する(ステップ205)。一方、データマイニング処理における予測により、有効な結果が得られない場合には(ステップ203)、図2のフローチャートに戻って、学習データを再構築する(ステップ206)。
【0031】
次に、図4を用いて、システムの侵入検知の処理について説明する。なお、本図においては、事前に、図2および図3のフローチャートにしたがって、モデルが構築できているものとする。
ネットワーク上を伝送するトラヒックデータは、パケット単位でダンプされて(ステップ301)アノマリ型検知エンジン5に出力される(ステップ302)。アノマリ型検知エンジン5に入力されたパケットデータは、パケットごとに分類され、変数の選択が行われる(ステップ303)。変数の選択が行われたパケットデータは、データマイニングに適した形式に成形され(ステップ304)、登録されているモデルとマッチング処理される(ステップ305)。
【0032】
マッチング処理の結果、パケットデータと登録されたモデルとが一致すると判断されたとき(ステップ305)は、異常トラヒック情報を出力し(ステップ306)、次に、すべてのパケットデータについてマッチング処理が完了したかを確認し、すべてのパケットデータについてマッチング処理が完了したと判断したときは処理を終了する(ステップ307)。
【0033】
一方、すべてのパケットデータについて、マッチング処理が完了していないと判断したときは、ステップ301に戻って処理を続行する。また、パケットデータと登録されたモデルとが一致しないと判断されたときは(ステップ305)、すべてのパケットデータについてマッチング処理が完了したかを判断し(ステップ307)、完了したと判断したときは処理を終了し、完了していないと判断したときは、ステップ301に戻って、処理を続行する。
【0034】
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成はこれらの実施の形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、図4のフローチャートにおいては、ダンプしたパケットデータを選択・前処理してアノマリ型検知エンジンに入力する形態について説明したが、選択・前処理を行わず、ダンプしたパケットデータを直接、アノマリ型検知エンジンに入力するような構成であってもよい。
【0035】
また、本実施形態においては、攻撃トラヒック情報の抽出、攻撃種別情報の抽出にシグネチャ型IDSを用いて説明したが、IDSの検知結果としては、既存のIDSの検知結果であればどのようなものでもよいし、必ずしもシグネチャ型である必要はない。
【0036】
【発明の効果】
以上のように、この発明によれば、アノマリ型IDSに用いる有効なパターンデータの生成に必要な学習データをシグネチャ型IDSを利用して生成することとしたことから、従来、熟練者等によらなければ入手が困難であった学習データを容易に入手することができるという効果がある。
【0037】
また、上記有効なパターンデータをアノマリ型IDSに適用することにより、シグネチャの登録されていない未知の攻撃や亜種の攻撃を検知できるという効果がある。さらに、シグネチャ型IDSにより生成した学習データを用いて侵入検知に有効なパターンデータを生成し、これをアノマリ型IDSに適用したことから、より高い検知率を期待できるという効果がある。
【図面の簡単な説明】
【図1】本発明の実施形態に係る侵入検知システムの構成図である。
【図2】本発明の実施形態に係る侵入検知システムにおける学習データの生成フローチャート図である。
【図3】本発明の実施形態に係る侵入検知システムにおけるデータマイニング処理からパターンデータの作成までを示すフローチャート図である。
【図4】本発明の実施形態に係る侵入検知システムにおける侵入検知のフローチャート図である。
【符号の説明】
1・・・シグネチャ型IDS、2・・・選択・前処理手段、3・・・データマイニング処理手段、4・・・評価・実装手段、5・・・アノマリ型検知エンジン、
Claims (4)
- ネットワーク上を伝送するトラヒックデータを入力し、
過去の不正アクセスに基づくトラヒックデータから作成されたパターンデータを記憶する記憶手段と、
該記憶手段に記憶されたパターンデータと前記ネットワークを伝送するトラヒックデータとを比較して、該パターンデータを含むトラヒックデータと攻撃種別とを抽出する比較抽出手段と、
該比較抽出手段から得られたトラヒックデータと攻撃種別から攻撃の有無が判定された学習データを作成する学習データ作成装置。 - ネットワーク上を伝送するトラヒックデータを入力し、予め攻撃の有無が判断された学習データから作成されたパターンに基づいて、ネットワークへの不正侵入を検知し出力する侵入検知システムであって、
前記請求項1に記載された学習データ作成装置により作成された学習データと前記トラヒックデータから変数を選択する変数選択手段と、
該選択された変数をニューラルネットや決定木等の解析アルゴリズムを用いて解析を行い、パターンを生成する処理手段と、
該生成されたパターンを用いて前記解析結果を評価する評価手段とを有し、
前記変数選択手段および処理手段、評価手段における処理を1回以上行うことにより、侵入の検知に有効なパターンを生成する侵入検知システム。 - ネットワーク上を伝送するトラヒックデータを入力し、
過去の不正アクセスに基づくトラヒックデータから作成されたパターンデータを記憶し、
該記憶されたパターンデータと前記ネットワークを伝送するトラヒックデータとを比較して、該パターンデータを含むトラヒックデータと攻撃種別とを抽出するとともに、
該抽出されたトラヒックデータと攻撃種別から攻撃の有無が判定された学習データを作成する学習データ作成プログラム。 - ネットワーク上を伝送するトラヒックデータと前記請求項3に記載された学習データプログラムにより作成された学習データとから変数を選択する第1のステップと、
該選択された変数をニューラルネットや決定木等の解析アルゴリズムを用いて解析を行い、パターンを生成する第2のステップと、
該生成されたパターンを用いて前記解析結果を評価する第3のステップとを有し、
前記第1から第3のステップにおける処理を1回以上行うことにより、侵入の検知に有効なパターンを生成する侵入検知プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003099040A JP2004312083A (ja) | 2003-04-02 | 2003-04-02 | 学習データ作成装置、侵入検知システムおよびプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003099040A JP2004312083A (ja) | 2003-04-02 | 2003-04-02 | 学習データ作成装置、侵入検知システムおよびプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004312083A true JP2004312083A (ja) | 2004-11-04 |
Family
ID=33463612
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003099040A Withdrawn JP2004312083A (ja) | 2003-04-02 | 2003-04-02 | 学習データ作成装置、侵入検知システムおよびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004312083A (ja) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007096735A (ja) * | 2005-09-29 | 2007-04-12 | Fujitsu Ltd | ネットワークセキュリティ装置 |
| CN1333552C (zh) * | 2005-03-23 | 2007-08-22 | 北京首信科技有限公司 | 基于机器学习的用户行为异常的检测方法 |
| KR100756462B1 (ko) | 2006-02-03 | 2007-09-07 | 엘지엔시스(주) | 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법 |
| JP2008269420A (ja) * | 2007-04-23 | 2008-11-06 | Sky Kk | コンピュータにおけるリスク管理方法とリスク管理プログラム、及びその方法を実施するリスク管理システム |
| JP2011040064A (ja) * | 2003-11-12 | 2011-02-24 | Trustees Of Columbia Univ In The City Of New York | 正常データのnグラム分布を用いてペイロード異常を検出するための装置、方法、及び媒体 |
| KR101606088B1 (ko) * | 2014-12-29 | 2016-04-04 | 주식회사 시큐아이 | 악성 코드 탐지 방법 및 장치 |
| KR101714520B1 (ko) * | 2015-10-30 | 2017-03-09 | 현대자동차주식회사 | 차량 내 네트워크 공격 탐지 방법 및 장치 |
| WO2017065070A1 (ja) * | 2015-10-13 | 2017-04-20 | 日本電気株式会社 | 不審行動検知システム、情報処理装置、方法およびプログラム |
| WO2017217247A1 (ja) * | 2016-06-16 | 2017-12-21 | 日本電信電話株式会社 | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム |
| JP2019121017A (ja) * | 2017-12-28 | 2019-07-22 | 株式会社リコー | 情報処理装置、脆弱性検知方法およびプログラム |
| WO2020004489A1 (ja) * | 2018-06-29 | 2020-01-02 | 日本電信電話株式会社 | 通信システム及び通信方法 |
| JP2020505707A (ja) * | 2017-01-30 | 2020-02-20 | マイクロソフト テクノロジー ライセンシング,エルエルシー | 侵入検出のための継続的な学習 |
| CN117675394A (zh) * | 2023-12-14 | 2024-03-08 | 上海迪塔班克数据科技有限公司 | 一种化塑业的互联网数据异常检测方法及系统 |
| US12003523B2 (en) | 2020-01-23 | 2024-06-04 | Mitsubishi Electric Corporation | Model generation apparatus, model generation method, and computer readable medium |
-
2003
- 2003-04-02 JP JP2003099040A patent/JP2004312083A/ja not_active Withdrawn
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011040064A (ja) * | 2003-11-12 | 2011-02-24 | Trustees Of Columbia Univ In The City Of New York | 正常データのnグラム分布を用いてペイロード異常を検出するための装置、方法、及び媒体 |
| CN1333552C (zh) * | 2005-03-23 | 2007-08-22 | 北京首信科技有限公司 | 基于机器学习的用户行为异常的检测方法 |
| JP2007096735A (ja) * | 2005-09-29 | 2007-04-12 | Fujitsu Ltd | ネットワークセキュリティ装置 |
| JP4509904B2 (ja) * | 2005-09-29 | 2010-07-21 | 富士通株式会社 | ネットワークセキュリティ装置 |
| US8544063B2 (en) | 2005-09-29 | 2013-09-24 | Fujitsu Limited | Network security apparatus, network security control method and network security system |
| KR100756462B1 (ko) | 2006-02-03 | 2007-09-07 | 엘지엔시스(주) | 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법 |
| JP2008269420A (ja) * | 2007-04-23 | 2008-11-06 | Sky Kk | コンピュータにおけるリスク管理方法とリスク管理プログラム、及びその方法を実施するリスク管理システム |
| KR101606088B1 (ko) * | 2014-12-29 | 2016-04-04 | 주식회사 시큐아이 | 악성 코드 탐지 방법 및 장치 |
| WO2017065070A1 (ja) * | 2015-10-13 | 2017-04-20 | 日本電気株式会社 | 不審行動検知システム、情報処理装置、方法およびプログラム |
| JPWO2017065070A1 (ja) * | 2015-10-13 | 2018-08-16 | 日本電気株式会社 | 不審行動検知システム、情報処理装置、方法およびプログラム |
| KR101714520B1 (ko) * | 2015-10-30 | 2017-03-09 | 현대자동차주식회사 | 차량 내 네트워크 공격 탐지 방법 및 장치 |
| US10484401B2 (en) | 2015-10-30 | 2019-11-19 | Hyundai Motor Company | In-vehicle network attack detection method and apparatus |
| JPWO2017217247A1 (ja) * | 2016-06-16 | 2018-10-04 | 日本電信電話株式会社 | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム |
| WO2017217247A1 (ja) * | 2016-06-16 | 2017-12-21 | 日本電信電話株式会社 | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム |
| US10963562B2 (en) | 2016-06-16 | 2021-03-30 | Nippon Telegraph And Telephone Corporation | Malicious event detection device, malicious event detection method, and malicious event detection program |
| JP2020505707A (ja) * | 2017-01-30 | 2020-02-20 | マイクロソフト テクノロジー ライセンシング,エルエルシー | 侵入検出のための継続的な学習 |
| JP7086972B2 (ja) | 2017-01-30 | 2022-06-20 | マイクロソフト テクノロジー ライセンシング,エルエルシー | 侵入検出のための継続的な学習 |
| US11689549B2 (en) | 2017-01-30 | 2023-06-27 | Microsoft Technology Licensing, Llc | Continuous learning for intrusion detection |
| JP2019121017A (ja) * | 2017-12-28 | 2019-07-22 | 株式会社リコー | 情報処理装置、脆弱性検知方法およびプログラム |
| JP7167439B2 (ja) | 2017-12-28 | 2022-11-09 | 株式会社リコー | 情報処理装置、脆弱性検知方法およびプログラム |
| WO2020004489A1 (ja) * | 2018-06-29 | 2020-01-02 | 日本電信電話株式会社 | 通信システム及び通信方法 |
| JP2020005184A (ja) * | 2018-06-29 | 2020-01-09 | 日本電信電話株式会社 | 通信システム及び通信方法 |
| JP7047636B2 (ja) | 2018-06-29 | 2022-04-05 | 日本電信電話株式会社 | 通信システム及び通信方法 |
| US12003523B2 (en) | 2020-01-23 | 2024-06-04 | Mitsubishi Electric Corporation | Model generation apparatus, model generation method, and computer readable medium |
| CN117675394A (zh) * | 2023-12-14 | 2024-03-08 | 上海迪塔班克数据科技有限公司 | 一种化塑业的互联网数据异常检测方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Rabbani et al. | A hybrid machine learning approach for malicious behaviour detection and recognition in cloud computing | |
| CN107241352B (zh) | 一种网络安全事件分类与预测方法及系统 | |
| CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
| Garcia et al. | An empirical comparison of botnet detection methods | |
| EP2040435B1 (en) | Intrusion detection method and system | |
| Chen et al. | An efficient network intrusion detection | |
| US20170026390A1 (en) | Identifying Malware Communications with DGA Generated Domains by Discriminative Learning | |
| Guezzaz et al. | A Global Intrusion Detection System using PcapSockS Sniffer and Multilayer Perceptron Classifier. | |
| Norouzian et al. | Classifying attacks in a network intrusion detection system based on artificial neural networks | |
| CN110958233B (zh) | 一种基于深度学习的加密型恶意流量检测系统和方法 | |
| JP2004312083A (ja) | 学習データ作成装置、侵入検知システムおよびプログラム | |
| CN110611640A (zh) | 一种基于随机森林的dns协议隐蔽通道检测方法 | |
| CN110460611B (zh) | 基于机器学习的全流量攻击检测技术 | |
| EP3336739B1 (en) | A method for classifying attack sources in cyber-attack sensor systems | |
| Fallahi et al. | Automated flow-based rule generation for network intrusion detection systems | |
| CN112118154A (zh) | 基于机器学习的icmp隧道检测方法 | |
| Riadi et al. | Internet forensics framework based-on clustering | |
| Sharma et al. | An overview of flow-based anomaly detection | |
| CN115051874B (zh) | 一种多特征的cs恶意加密流量检测方法和系统 | |
| Wahal et al. | Intrusion detection system in python | |
| WS et al. | Machine learning based intrusion detection framework using recursive feature elimination method | |
| Sun et al. | A rough set approach for automatic key attributes identification of zero-day polymorphic worms | |
| CN115987687A (zh) | 网络攻击取证方法、装置、设备及存储介质 | |
| CN112968891B (zh) | 网络攻击防御方法、装置及计算机可读存储介质 | |
| Gonzalez-Granadillo et al. | An improved live anomaly detection system (i-lads) based on deep learning algorithm |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20060606 |