JP2021513170A - モバイルネットワークにおけるトラフィックデータから監視されないなりすまし検出 - Google Patents

モバイルネットワークにおけるトラフィックデータから監視されないなりすまし検出 Download PDF

Info

Publication number
JP2021513170A
JP2021513170A JP2020543269A JP2020543269A JP2021513170A JP 2021513170 A JP2021513170 A JP 2021513170A JP 2020543269 A JP2020543269 A JP 2020543269A JP 2020543269 A JP2020543269 A JP 2020543269A JP 2021513170 A JP2021513170 A JP 2021513170A
Authority
JP
Japan
Prior art keywords
logs
network traffic
data
spoofing
mismatched
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2020543269A
Other languages
English (en)
Inventor
ハイフォン チェン、
ハイフォン チェン、
ボ ゾング、
ボ ゾング、
クリスチャン ルメザヌ、
クリスチャン ルメザヌ、
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Laboratories America Inc
Original Assignee
NEC Laboratories America Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Laboratories America Inc filed Critical NEC Laboratories America Inc
Publication of JP2021513170A publication Critical patent/JP2021513170A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/02Knowledge representation; Symbolic representation
    • G06N5/022Knowledge engineering; Knowledge acquisition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N7/00Computing arrangements based on specific mathematical models
    • G06N7/01Probabilistic graphical models, e.g. probabilistic networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Mathematical Physics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Medical Informatics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Computational Mathematics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Algebra (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computational Linguistics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Image Analysis (AREA)

Abstract

ネットワークトラフィックログデータからなりすまし攻撃を検出するための方法が提示される。その方法は、トレーニングデータに対するなりすまし攻撃に関連する特徴を抽出すること、ネットワークトラフィックログデータに対するベクトル表現の第1のセットを構築すること、DAGMMを使用することによって異常検出モデルをトレーニングすること、DAGMMの学習パラメータを取得することによって、1つまたは複数のモバイルネットワークから受信されたネットワークトラフィックログデータを用いてなりすまし攻撃検出器をトレーニングすることを含む。その方法は、テストデータのためのなりすまし攻撃に関連する特徴を抽出すること、ネットワークトラフィックログデータに対するベクトル表現の第2のセットを構築すること、テストデータの潜在的な表現を取得すること、テストデータのzスコアを計算すること、所定の閾値を超えるzスコアを生成するトラフィックログを表にするなりすまし攻撃警報レポートを作成することによって、1つまたは複数のモバイルネットワークから受信されたネットワークトラフィックログデータを用いてなりすまし攻撃検出器をテストすることを含む。

Description

(関連出願情報)
本出願は、2018年2月19日に出願された仮出願シリアル番号62/632,190、2019年1月14日に出願された米国特許出願シリアル番号16/246,774の優先権を主張し、その内容全体が、参照により本明細書に組み込まれる。
本発明は、モバイルネットワークにおけるサイバーセキュリティに関し、より詳細には、モバイルネットワークにおけるトラフィックデータから監視されていない、なりすまし検出に関する。
侵入検出システム(IDS)は、現代の良好に管理されたネットワークシステムのあらゆる完全なセキュリティパッケージの不可欠な部分である。侵入検出のために最も広く展開された市販の方法は、署名ベースの検出を使用する。これらの方法は様々な監査ストリームから特徴を抽出し、特徴値と人間の専門家によって提供される攻撃署名のセットを比較することによって侵入を検出する。このような方法は、これらの侵入が対応する署名を有するので、以前から知られている侵入しか検出することができない。署名データベースは発見された新しいタイプの攻撃毎に手動で改訂される必要があり、この改訂まで、システムはこれらの攻撃に対して脆弱である。
ネットワークトラフィックログデータからなりすまし攻撃を検出するためにコンピュータ実施方法が提示される。その方法は、トレーニングデータに対するなりすまし攻撃に関連する特徴を抽出すること、ネットワークトラフィックログデータに対するベクトル表現の第1のセットを構築すること、深層自己符号化混合ガウスモデル(DAGMM)を使用することによって異常検出モデルをトレーニングすること、DAGMMの学習パラメータを取得すること、および、学習パラメータをデータベースに格納すること、によって、1つまたは複数のモバイルネットワークから受信されたネットワークトラフィックログデータを用いてなりすまし攻撃検出器をトレーニングすること、を含む。その方法は、さらに、テストデータのためのなりすまし攻撃に関連する特徴を抽出すること、ネットワークトラフィックログデータに対するベクトル表現の第2のセットを構築すること、トレーニング段階から学習モデルによるテストデータの潜在的な表現を取得すること、テストデータの潜在的な表現に基づいてテストデータのzスコアを計算すること、および、所定の閾値を超えるzスコアを生成するトラフィックログを表にするなりすまし攻撃警報レポートを作成すること、によって、1つまたは複数のモバイルネットワークから受信されたネットワークトラフィックログデータを用いてなりすまし攻撃検出器をテストすること、を含む。
ネットワークトラフィックログデータからなりすまし攻撃を検出するためのコンピュータ読み取り可能プログラムを含む非一時的なコンピュータ読み取り可能記憶媒体が提示され、コンピュータで実行されたときコンピュータ読み取り可能プログラムがコンピュータに、トレーニングデータに対するなりすまし攻撃に関連する特徴を抽出すること、ネットワークトラフィックログデータに対するベクトル表現の第1のセットを構築すること、深層自己符号化混合ガウスモデル(DAGMM)を使用することによって異常検出モデルをトレーニングすること、DAGMMの学習パラメータを取得すること、および、学習パラメータをデータベースに格納すること、によって、1つまたは複数のモバイルネットワークから受信されたネットワークトラフィックログデータを用いてなりすまし攻撃検出器をトレーニングするステップを実行させる。その方法は、さらに、テストデータのためのなりすまし攻撃に関連する特徴を抽出すること、ネットワークトラフィックログデータに対するベクトル表現の第2のセットを構築すること、トレーニング段階から学習モデルによるテストデータの潜在的な表現を取得すること、テストデータの潜在的な表現に基づいてテストデータのzスコアを計算すること、および、所定の閾値を超えるzスコアを生成するトラフィックログを表にするなりすまし攻撃警報レポートを作成すること、によって、1つまたは複数のモバイルネットワークから受信されたネットワークトラフィックログデータを用いてなりすまし攻撃検出器をテストすることを含む。
ネットワークトラフィックログデータからなりすまし攻撃を検出するためのシステムが提示される。そのシステムは、トレーニングデータに対するなりすまし攻撃に関連する特徴を抽出すること、ネットワークトラフィックログデータに対するベクトル表現の第1のセットを構築すること、深層自己符号化混合ガウスモデル(DAGMM)を使用することによって異常検出モデルをトレーニングすること、DAGMMの学習パラメータを取得すること、および、学習パラメータをデータベースに格納すること、によって、1つまたは複数のモバイルネットワークから受信されたネットワークトラフィックログデータを用いてなりすまし攻撃検出器をトレーニングするトレーニングモジュールを含む。そのシステムは、さらに、テストデータのためのなりすまし攻撃に関連する特徴を抽出すること、ネットワークトラフィックログデータに対するベクトル表現の第2のセットを構築すること、トレーニング段階から学習モデルによるテストデータの潜在的な表現を取得すること、テストデータの潜在的な表現に基づいてテストデータのzスコアを計算すること、および、所定の閾値を超えるzスコアを生成するトラフィックログを表にするなりすまし攻撃警報レポートを作成すること、によって、1つまたは複数のモバイルネットワークから受信されたネットワークトラフィックログデータを用いてなりすまし攻撃検出器をテストするテストモジュールを含む。
これらおよび他の特徴および利点は添付の図面に関連して読まれるべき、その例示的な実施形態の以下の詳細な説明から明らかになるであろう。
本開示は、以下の図面を参照して、好ましい実施形態の以下の説明において詳細を提供する。
本発明の実施形態によるモバイルネットワークにおけるなりすまし検出のための深層自己符号化混合ガウスモデル(SD-DAGMM)によるなりすまし検出例のブロック/フロー図である。 本発明の実施形態によるドメイン知識ベースの特徴選択の一例のブロック/フロー図である。 本発明の実施形態によるなりすまし攻撃検出器の一例のブロック/フロー図である。 本発明の実施形態によるデータをテストするための例示的なドメイン知識ベースの特徴選択のブロック/フロー図である。 本発明の実施形態によるガウス混合モデル(GMM)のための例示的な異常スコア計算のブロック/フロー図である。 本発明の実施形態によるなりすまし攻撃警報レポートの例示的な手順のブロック/フロー図である。 本発明の実施形態によるネットワークトラフィックデータからなりすまし攻撃を検出するための例示的な方法のブロック/フロー図である。 本発明の実施形態によるネットワークトラフィックデータからなりすまし攻撃を検出するための例示的な処理システムのブロック/フロー図である。 本発明の実施形態による深層自己符号化混合ガウスモデル(SD-DAGMM)によるなりすまし検出を使用した例示的なモバイルネットワークのブロック/フロー図である。 本発明の実施形態によるInternet of Things(IoT)システムまたは装置またはインフラにおけるなりすまし攻撃に関連する特徴を抽出するための例示的な方法のブロック/フロー図である。 本発明の実施形態によるなりすまし攻撃に関連する特徴を抽出するためにデータ/情報を収集するために使用される例示的なIoTセンサのブロック/フロー図である。
なりすまし攻撃は、モバイルネットワークにおけるサイバーセキュリティに対する脅威である。マルウェアは遠隔サーバに残り、入力トラフィックを通してなりすまし攻撃を実行するので、従来の署名ベースの方法によるこのようななりすまし攻撃を捕捉することは困難である。代わりに、ネットワークトラフィックデータを分析することによって、なりすまし攻撃は捕捉され得る。悪意のある意図のため、なりすまし攻撃によって開始されるネットワークトラフィックは、通常のユーザによって生成されるネットワークトラフィックとは異なる必要がある。この目的を達成するために、なりすまし攻撃を検出する問題は、監視されていない異常の検出の問題として定式化され得る。モバイルネットワークからのネットワークトラフィック記録が与えられると、その目的は、なりすまし攻撃によって開始される可能性が高い異常な記録を発見することである。しかしながら、既存の異常検出方法は、ネットワークトラフィックデータからなりすまし攻撃を正確に発見することは困難である。ネットワークトラフィックデータは高分散で高次元である。ネットワークトラフィックデータの高次元のため、既存の異常検出方法は、次元に苦しんでいる。加えて、トラフィック動特性によって引き起こされる高分散は、全てのデータ点を互いに異なるように現し、それは、既存の技術が通常のトラフィック間の共有性をモデル化することを困難にする。
本発明の例示的な実施形態は、ネットワークトラフィックデータからなりすまし攻撃を検出する深層学習に基づく方法であるSD-DAGMM(Spoofing Detection by Deep Auto-encoding Gaussian Mixture Model)を実装する。一般に、これは、トレーニング段階およびテスト段階を含む。
トレーニング段階では、検出器をトレーニングするために、本方法は、ネットワークトラフィックデータのセットが与えられる。この段階では、本方法がモバイルネットワークにおけるドメイン知識を活用し、なりすまし攻撃に関連する特徴を抽出し、ネットワークトラフィックデータのためのベクトル表現を構築する。それから、本方法はトレーニングデータの類似性/非類似性を最高に評価する検出器を学習するためにDAGMMを使用する。
テスト段階では、本方法は、入ってくるトラフィックデータを扱う。この段階では、本方法はトレーニング段階で使用された同じ特徴抽出方法を繰り返し、トラフィックデータをそれらのベクトル表現に変換し、学習された検出器によってそれらの類似性を評価し、次いで、トラフィックレコードの大部分とは著しく異なる異常トラフィック記録を、潜在的なりすまし攻撃トラフィックとしてレポートする。
さらに、本発明の例示的な実施形態は、SD-DAGMMを実装して、なりすまし攻撃検出に関する高次元および高分散の課題に対処する。第1に、例示的な実施形態は、モバイルネットワークにおけるドメイン知識に基づく特徴選択方法を使用し、なりすまし攻撃に関連するトラフィック記録の特徴を抽出する。このようにして、ネットワークトラフィックデータの次元および分散の両方が大幅に低減される。第2に、例示的な実施形態では、トラフィック記録のための抽出された特徴表現における次元の数が依然として高くなり得るので、高次元データのための安定した異常検出モデルを構築するために、最先端の深層学習技術、例えばDAGMMが使用され得る。
加えて、本発明の例示的な実施形態は、異常閾値の決定がモデルをトレーニングするために使用されるデータに依存しないように、DAGMMのフレームワークにおいてトラフィック記録の異常スコアを定義する統一された方法を提供する。
図1は、本発明の実施形態によるモバイルネットワークにおけるなりすまし検出のための例示的な深層自己符号化混合ガウスモデル(SD-DAGMM)のブロック/フロー図である。
トレーニングモジュール864(図8)は、トレーニングデータ101、ドメイン知識ベース特徴選択102、DAGMMトレーニングモジュール103、およびなりすまし攻撃検出器104を含む。テストモジュール866(図8)は、テストデータ105、ドメイン知識ベース特徴抽出106、DAGMMテストモジュール107、異常スコア計算モジュール108、およびなりすまし攻撃警報レポート109を含む。
トレーニングデータ101に関して、トレーニングデータ101はSD-DAGMMのトレーニングに使用される。これらのデータは、次の情報を含むモバイルネットワークからのトラフィックログである。
トラフィックデータが装置によって受信された時刻を示すためにタイムスタンプが使用される。
ログタイプは、InvokeSendAuthenticationInfo、InvokeUpdateGprsLocationなどのような、ネットワークトラフィックが運搬するログメッセージのタイプを示す。
グローバルタイトル(GT)は、電気通信ネットワーク上の信号メッセージの経路選択のためにスキニークライアント制御プロトコル(SCCP)で使用されるアドレスである。
国際モバイル加入者ID(IMSI)。
モバイル加入者ID(MSIS)。
ドメイン知識ベース特徴選択102に関して、トレーニングデータに対するなりすまし攻撃に関連する特徴が抽出される。
DAGMMトレーニング103に関して、最先端の異常検出技術であるDAGMMがモデルをトレーニングするため使用される。
なりすまし攻撃検出器104に関して、DAGMMの学習されたパラメータが取得され、後の検出タスクのためにデータベースに格納される。
テストデータ105に関して、モバイルネットワークからの如何なるトラフィックログもテストデータとして取り扱われ得る。SD-DAGMMは、なりすまし攻撃を含む可能性が高いトラフィックログをレポートする。
ドメイン知識ベース特徴選択106に関して、ブロック102で使用された同じ手法がデータをテストするために関連する特徴を抽出するために採用される。
DAGMMテスト107に関して、DAGMM内の深層自己符号化器がテストデータの潜在的な表現を得るために使用される。
異常スコア計算108に関して、テストデータのzスコアは、テストデータの潜在的な表現およびDAGMMにおける学習されたガウス混合モデルに基づいて計算または算定される。
なりすまし攻撃警報レポート109に関して、高いzスコアを生成するトラフィックログへの警報がレポートされる。
図2は、本発明の実施形態によるドメイン知識ベースの特徴選択の一例のブロック/フロー図である。
データのグループ化201に関して、SD-DAGMMにおいて、本方法は最初に時間次元を重複しない時間ビンに分割し、時間長30秒のエポックタイム0で開始する。次に、本方法は同じ時間ビンのトラフィックログを1つのグループに入れ、SD-DAGMMは1つのグループがなりすまし攻撃を含むかどうかを予測する。次に、個々のグループにおけるログの特徴選択が実行される。
特徴選択202に関して、SD-DAGMMでは、本方法はモバイルネットワークにおけるなりすまし攻撃に関連する6つの特徴を抽出する。
1つのグループ内で一致しない“InvokeSendAuthenticationInfo”ログの数:本方法がこのグループ内で同一のGTおよびIMSI情報を共有する“InvokeUpdateGprsLocation”または“InvokeUpdateLocation”ログを見つけることができない場合、“InvokeSendAuthenticationInfo”ログは一致しない。
1つのグループ内で一致しない“InvokeUpdateGprsLocation”または“InvokeUpdateLocation”ログの数:本方法がこのグループ内で同じGTおよびIMSI情報を共有する“InvokeSendAuthenticationInfo”ログを見つけることができない場合、“InvokeUpdateGprsLocation”または“InvokeUpdateLocation”ログは一致しない。
1つのグループ内で一致しない“InvokeSendRoutingInfoForSM”ログの数:本方法がこのグループ内で同じGTおよびMSIS情報を共有する“InvokeMtForwardSM”ログを見つけることができない場合、“InvokeSendRoutingInfoForSM”ログは一致しない。
1つのグループ内で一致しない“InvokeMtForwardSM”ログの数:本方法がグループ内で同一のGTおよびMSIS情報を共有する“InvokeSendRoutingInfoForSM”ログを見つけることができない場合、“InvokeMtForwardSM”は一致しない。
類似のGT情報を共有する“InvokeInsertSubscriberData”ログの対の数:GT aとbを有する“InvokeInsertSubscriberData”ログの対において、それらのGT類似性は、aとbの間の最大長さによって正規化されたaとbの共通プレフィックスの長さであり、
Figure 2021513170
 これらのGT類似性が0.75よりも大きい場合、aとbとは類似する。
類似のGT情報を共有する“InvokeMoForwardSM”ログのペアの数。
ブロック202の後、グループ内のトラフィックログの特徴表現が得られる。
図3は、本発明の実施形態による例示的なりすまし攻撃検出器のブロック/フロー図である。
ブロック401において、学習されたDAGMMからなりすまし攻撃検出器を抽出する。トレーニングデータから学習されたDAGMMが与えられると、なりすまし攻撃検出器は、学習されたパラメータの2つのセットを含む。
パラメータの第1のセットは、深層自己符号化器に関連する。DAGMMにおける深層自己符号化器のパラメータを用いて、本方法は、ネットワークトラフィックログデータをそれらの特徴空間からコンパクトな潜在空間に投影することができる。
パラメータの第2のセットは、ガウス混合モデル(GMM)に関連する。GMM内の推定パラメータを用いて、本方法は、トラフィックログのグループがなりすまし攻撃関連特徴の面で異常であるかどうかを評価することができる。
特に、GMMがK個の混合構成要素を有する場合、推定パラメータは、(1)混合係数φ1,...,φK、および(2)構成要素手段と共分散(μ1,σ1),...,(μK,σK)を含む。
ブロック402で、なりすまし攻撃検出器を1つまたは複数のデータベースに格納する。401から得られたなりすまし攻撃検出器は将来の検出タスクのためにデータベースシステム(例えば、エラスティックサーチ)に格納される。
図4は、本発明の実施形態によるデータをテストするための例示的なドメイン知識ベースの特徴選択のブロック/フロー図である。
データのグループ化601に関して、本方法は、ブロック201で説明したのと同じ方法を使用して、テストデータを複数のグループに分割する。
特徴選択602に関して、本方法は、ブロック202で説明したのと同じ手法を採用して、以下を含む、各個々のグループに対して6次元特徴を抽出する:
グループ内の不一致の“InvokeSendAuthenticationInfo”ログの数;
グループ内の不一致の“InvokeUpdateGprsLocation”または“InvokeUpdateLocation”ログの数;
グループ内の不一致の“InvokeSendRoutingInfoForSM”ログの数;
グループ内の不一致の“InvokeMtForwardSM”ログの数;
類似のGT情報を共有する“InvokeInsertSubscriberData”ログの対の数;
類似のGT情報を共有する“InvokeMoForwardSM”ログのペアの数。
図5は、本発明の実施形態によるガウス混合モデル(GMM)の例示的な異常スコア計算のブロック/フロー図である。
801の検出器の読み込みに関して、SD-DAGMMは最初にブロック401に指定されたすべてのパラメータを含むデータベースから検出器を読み込む。
異常なスコア802に関して、DAGMMからの深層自己符号化器による特徴ベクトルxの出力の潜在的な表現であるhが与えられると、本方法は、Gaussian分布のzスコアの概念をGaussian混合モデルの場合に適合させ、次の方程式で計算する。
Figure 2021513170
 ここで、μは平均偏差、σは標準偏差、hは特徴ベクトルの潜在的な表現、およびφは混合係数である。
図6は、本発明の実施形態によるなりすまし攻撃警報レポートの例示的な手順のブロック/フロー図である。
閾値処理901に関して、ブロック802で計算されたzスコアで、本方法は、zスコアと予め定義されたまたは予め設定された閾値を比較する。zスコアが閾値よりも高い場合、SD-DAGMMは、基礎的なグループによってカバーされるトラフィックログに警報をレポートする。
警報生成902に関して、各警報に対して、警報生成はロググループの開始時刻と終了時刻を含み、警報は警報データベースに挿入され、そこでユーザはそれらをレビューし、分析することができる。
図7は、本発明の実施形態によるネットワークトラフィックデータからなりすまし攻撃を検出するための例示的な方法のブロック/フロー図である。
ブロック701において、なりすまし攻撃検出器は、トレーニングデータに対するなりすまし攻撃に関連する特徴を抽出し、ネットワークトラフィックログデータのベクトル表現の第1のセットを構築し、深層自己符号化混合ガウスモデル(DAGMM)を使用することによって異常検出モデルをトレーニングし、DAGMMの学習パラメータを取得し、およびデータベースに学習パラメータを格納することによって、1つまたは複数のモバイルネットワークから受信されたネットワークトラフィックログデータを用いて訓練される。
ブロック703において、データをテストするためのなりすまし攻撃に関連する特徴を抽出し、ネットワークトラフィックログデータのベクトル表現の第2のセットを構築し、テストデータの潜在的な表現を取得し、テストデータの潜在的な表現に基づいてテストデータのzスコアを計算し、所定の閾値を超えるzスコアを生成するトラフィックログを表にするなりすまし攻撃警報レポートを作成することによって、1つまたは複数のモバイルネットワークから受信されたネットワークトラフィックログデータを用いてなりすまし攻撃検出器がテストされる。
図8は、本発明の実施形態によるネットワークトラフィックデータからなりすまし攻撃を検出するための例示的な処理システムのブロック/フロー図である。
処理システムは、システムバス802を介して他の構成要素に動作可能に結合された少なくとも1つのプロセッサまたはプロセッサ装置804を含む。キャッシュ806、読み取り専用メモリ(ROM)808、ランダムアクセスメモリ(RAM)810、入力/出力(I/O)アダプタ820、ネットワークアダプタ830、ユーザインタフェースアダプタ840、およびディスプレイアダプタ850は、システムバス802に動作可能に結合される。モバイルネットワーク860は、バス802に接続可能である。モバイルネットワーク860は、トレーニングモジュール864およびテストモジュール866を含むSD-DAGMM862を使用することができる。
記憶装置822は、I/Oアダプタ820によってシステムバス802に動作可能に結合される。記憶装置822はディスク記憶装置(例えば、磁気または光ディスク記憶装置)、ソリッドステート磁気装置などのうちの任意のものとすることができる。
トランシーバ832は、ネットワークアダプタ830によってシステムバス802に動作可能に結合される。
ユーザ入力装置842は、ユーザインタフェースアダプタ840によってシステムバス802に動作可能に結合される。ユーザ入力装置842は、キーボード、マウス、キーパッド、画像キャプチャ装置、モーションセンシング装置、マイク、前述の装置のうちの少なくとも2つの機能を組み込んだ装置などのうちの任意のものとすることができる。もちろん、本発明の精神を維持しながら、他のタイプの入力装置を使用することもできる。ユーザ入力装置842は、同じタイプのユーザ入力装置または異なるタイプのユーザ入力装置とすることができる。ユーザ入力装置842は、処理システムとの間で情報を入出力するために使用される。
ディスプレイ装置852は、ディスプレイアダプタ750によってシステムバス802に動作可能に結合される。
もちろん、処理システムは当業者によって容易に考えられるように、特定の要素(図示せず)を含んでもよく、また、特定の要素を省略してもよい。例えば、当業者によって容易に理解されるように、様々な他の入力装置および/または出力装置は、システムの特定の実装に応じて、システムに含まれ得る。例えば、様々なタイプの無線および/または有線の入力および/または出力装置が使用され得る。さらに、様々な構成において、追加のプロセッサ、プロセッサ装置、コントローラ、メモリなども、当業者によって容易に理解されるように利用され得る。処理システムのこれらおよび他の変形は、本明細書で提供される本発明の教示を与えられた当業者によって容易に考えられる。
図9は、本発明の実施形態による深層自己符号化混合ガウスモデル(SD-DAGMM)によるなりすまし検出を使用した例示的なモバイルネットワークのブロック/フロー図である。
複数のモバイルネットワーク910は、複数のサーバ901と通信するなりすまし攻撃装置905によって攻撃され得る。なりすまし攻撃装置905は、IoTネットワーク912などの他のネットワークを攻撃するためにも使用することができる。SD-DAGMM862は、モバイルネットワーク910およびIoTネットワーク912を保護するために使用することができる。
図10は、本発明の実施形態によるIoT(Internet of Things)システムまたは装置またはインフラにおけるなりすまし攻撃に関連する特徴を抽出するための例示的な方法のブロック/フロー図である。
IoTは、インターネットインフラを介してコンピューティング装置と組み込み装置との高度な接続を可能にする。IoTはマシン間通信(M2M)を含み、接続されたマシンを連続的に監視して、任意の異常またはバグを検出し、それらを迅速に解決してダウンタイムを最小限に抑えることが重要である。
モバイルネットワーク860は、例えば、着用可能な、埋め込み可能な、または摂取可能な電子装置、およびIoT(Internet of Things)センサと通信することができる。着用可能な、埋め込み可能な、または摂取可能な装置は、少なくとも健康および健康監視装置、並びにフィットネス装置を含むことができる。着用可能な、埋め込み可能な、または摂取可能な装置は、少なくとも埋め込み可能な装置、スマートウォッチ、頭部装着型装置、安全および予防装置、並びにゲームおよびライフスタイル装置をさらに含むことができる。IoTセンサは、少なくともホームオートメーションアプリケーション、自動車アプリケーション、ユーザインタフェースアプリケーション、ライフスタイルおよび/または娯楽アプリケーション、都市および/またはインフラアプリケーション、玩具、ヘルスケア、フィットネス、小売タグおよび/またはトラッカ、プラットフォームおよびコンポーネントなどに組み込むことができる。本明細書で説明されるモバイルネットワーク860は任意のタイプの使用、アプリケーション、または操作のために、任意のタイプの電子装置と通信することができる。
IoT(Internet of Things)は、ネットワーク化、センシング、ビッグデータ、および人工知能技術を利用して、製品またはサービスの完全なシステムを提供する高度な自動化および分析システムである。これらのシステムは任意の産業またはシステムに適用された場合、より大きい透明性、制御、および性能を可能にする。
IoTシステムは、その独特の柔軟性および任意の環境において適切である能力を通して、業界全体でアプリケーションを有する。IoTシステムは、スマートデバイスと強力な実現技術を通じて、はるかに多くのデータ収集、自動化、操作を高める。
IoTシステムは、ユーザがシステム内でより深い自動化、分析、および統合を達成することを可能にする。IoTは、これらの領域の到達範囲およびそれらの精度を改善する。IoTは感知、ネットワーク化、およびロボット工学のために、既存の技術および新興の技術を利用する。IoTの特徴は、人工知能、接続性、センサ、能動的係合、および小型装置使用を含む。様々な実施形態では、本発明のモバイルネットワーク860が様々な異なる装置および/またはシステムと通信することができる。例えば、モバイルネットワーク860は、着用可能な、または携帯型電子装置1030と通信することができる。着用可能/携帯型電子装置1030は、スマート衣類1032などの埋め込み型装置1031を含むことができる。着用可能/携帯型装置1030は、スマート腕時計1033、並びにスマート宝飾品1034を含むことができる。着用可能/携帯型装置1030はフィットネス監視装置1035、健康および健康監視装置1037、頭部装着装置1039(例えば、スマートメガネ1040)、安全および予防システム1041、ゲームおよびライフスタイル装置1043、スマートフォン/タブレット1045、メディアプレーヤ1047、および/またはコンピュータ/コンピューティング装置1049をさらに含むことができる。
本発明のモバイルネットワーク860は、ホームオートメーション1021、自動車1023、ユーザインタフェース1025、ライフスタイルおよび/または娯楽1027、都市および/またはインフラ1029、小売1011、タグおよび/またはトラッカ1013、プラットフォームおよびコンポーネント1015、玩具1017、および/またはヘルスケア1019などの様々なアプリケーションのために、インターネットオブシングズ(IoT)センサ1010とさらに通信することができる。もちろん、当業者は本明細書で説明されるものに限定されない、任意のタイプのアプリケーションの任意のタイプの電子装置と通信する、そのようなモバイルネットワーク860を考えることができる。
図11は、本発明の実施形態による、なりすまし攻撃に関連する特徴を抽出するためにデータ/情報を収集するために使用される例示的なIoTセンサのブロック/フロー図である。
IoTは、センサなしでその区別を失う。IoTセンサは、IoTを装置の標準受動的ネットワークから現実世界の統合の可能な能動的システムに変換する定義機器として機能する。
IoTセンサ1010は、情報/データを連続的かつリアルタイムで送信するために、モバイルネットワーク860を介して接続され得る。例示的なIoTセンサ1010は、位置/存在/近接センサ1101、運動/速度センサ1103、加速度/傾斜センサ1106などの変位センサ1105、温度センサ1107、湿度/湿気センサ1109、並びに流量センサ1110、音響/音/振動センサ1111、化学/ガスセンサ1113、力/負荷/トルク/歪み/圧力センサ1115、および/または電気/磁気センサ1117を含み得るが、これらに限定されない。当業者はデータ/情報を収集し、さらなる処理のため、モバイルネットワーク860のモジュール864、866に入力するために、そのようなセンサの任意の組み合わせを使用することを考えることができる。当業者は磁力計、ジャイロスコープ、画像センサ、光センサ、無線周波数識別(RFID)センサ、および/またはマイクロフローセンサのような、しかしそれらに限定されない他のタイプのIoTセンサを使用することを考えることができる。IoTセンサはまた、エネルギーモジュール、電力管理モジュール、RFモジュール、および感知モジュールを含むことができる。RFモジュールは、それらの信号処理、WiFi、ZigBee(登録商標)、Bluetooth(登録商標)、無線トランシーバ、デュプレクサなどを介して通信を管理する。
さらに、データ収集ソフトウェアを使用して、感知、測定、光データフィルタリング、光データセキュリティ、およびデータの集約を管理することができる。データ収集ソフトウェアは、特定のプロトコルを使用して、IoTセンサがリアルタイムでマシン間ネットワークと接続することを助ける。次に、データ収集ソフトウェアは、複数のデバイスからデータを収集し、設定に従ってそれを分配する。また、データ収集ソフトウェアは、装置を通してデータを分配することで、逆に働く。システムは最終的に、収集されたすべてのデータを、例えば中央サーバに送信することができる。
本明細書で使用されるように、用語“データ”、“コンテンツ”、“情報”および同様の用語は様々な例示的な実施形態に従って、捕捉され、送信され、受信され、表示され、および/または格納されることが可能なデータを参照するために、互換的に使用され得る。従って、このような用語の使用は、開示の精神および範囲を制限するものと解釈されるべきではない。さらに、別のコンピューティング装置からデータを受信するためにコンピューティング装置が本明細書に記載される場合、データは他のコンピューティング装置から直接受信することができ、または、例えば、1つ以上のサーバ、リレー、ルータ、ネットワークアクセスポイント、基地局、および/または同様のもののような1つ以上の中間コンピューティング装置を介して間接的に受信することができる。同様に、データを他のコンピューティング装置に送信するためにコンピューティング装置が本明細書に記載されている場合、データは他のコンピューティング装置に直接送信することができ、または、例えば、1つ以上のサーバ、リレー、ルータ、ネットワークアクセスポイント、基地局、および/または同様のもののような1つ以上の中間コンピューティング装置を介して間接的に送信することができる。
ユーザとの対話を提供するために、本明細書に記載される主題の実施形態は、ディスプレイデバイス、例えば、ユーザに情報を表示するためのCRT(cathode ray tube)またはLCD(liquid crystal display)を有するコンピュータ上で実施され得る。ユーザがコンピュータに入力を提供し得るキーボードおよびポインティングデバイス、例えば、マウスまたはトラックボールがコンピュータ上に実装されている。他の種類のデバイスも、同じように、ユーザとの対話を提供するために使用することができ、例えば、ユーザに提供されるフィードバックは任意の形態の感覚上のフィードバック、例えば、視覚フィードバック、聴覚フィードバック、または触覚フィードバックとすることができ、ユーザからの入力は、音響入力、音声入力、または触覚入力を含む任意の形態で受信することができる。
当業者には理解されるように、本発明の態様は、システム、方法、またはコンピュータプログラム製品として実施することができる。したがって、本発明の態様は完全なハードウェアの実施形態、完全なソフトウェアの実施形態(ファームウェア、常駐ソフトウェア、マイクロコード等を含む)、または一般的に“回路”、“モジュール”、“計算機”、“装置”または“システム”と呼ばれるのであろうソフトウェアとハードウェアの態様を組み合わせた実施形態をとることができる。さらに、本発明の態様はそれに具体化されたコンピュータ読み取り可能なプログラムコードを備えた、1つまたは複数のコンピュータ読み取り可能な媒体に具現化されたコンピュータプログラム製品の形態をとることができる。
1つまたは複数のコンピュータ可読媒体の任意の組合せが利用され得る。コンピュータ可読媒体は、コンピュータ可読信号媒体またはコンピュータ可読記憶媒体であってもよい。コンピュータ可読記憶媒体は、例えば、電子、磁気、光学、電磁気、赤外線、または半導体のシステム、装置、またはデバイス、あるいは前述の任意の適切な組合せとすることができるが、これらに限定されない。コンピュータ可読記憶媒体のより具体的な例(非網羅的なリスト)は、以下を含む:1つ以上のワイヤ、携帯用コンピュータディスケット、ハードディスク、ランダムアクセスメモリ(RAM)、読出し専用メモリ(ROM)、消去可能プログラマブル読出し専用メモリ(EEPROMまたはフラッシュメモリ)、光ファイバ、携帯用コンパクトディスク読出し専用メモリ(CD-ROM)、光データ記憶装置、磁気データ記憶装置、または前述の任意の適切な組み合わせを有する電気的接続。本文書の文脈では、コンピュータ読み取り可能な記憶媒体が命令実行システム、装置、またはデバイスによって、または関連して使用するためのプログラムを含む、またはそれを記憶することができる、任意の有形媒体であり得る。
コンピュータ可読信号媒体は、例えば、ベースバンドで、または搬送波の一部として、コンピュータ可読プログラムコードが具現化された伝搬データ信号を含むことができる。そのような伝搬信号は電磁、光学、またはそれらの任意の適切な組み合わせを含むが、それらに限定されない、任意の様々な形態を採ることができる。コンピュータ読み取り可能な信号媒体はコンピュータ読み取り可能な記憶媒体ではなく、命令実行システム、装置、またはデバイスによって、またはそれに関連して使用するために、プログラムを通信、伝搬、または搬送することができる、任意のコンピュータ読み取り可能な媒体であってもよい。
コンピュータ可読媒体上に具現化されたプログラムコードは無線、有線、光ファイバケーブル、RFなど、または前述のものの任意の適切な組合せを含むがこれらに限定されない、任意の適切な媒体を使用して送信され得る。
本発明の態様のための動作を実行するためのコンピュータプログラムコードは、Java、Smalltalk、C++等のオブジェクト指向プログラミング言語、および“C”プログラミング言語または類似のプログラミング言語のような従来の手続き型プログラミング言語を含む、1つ以上のプログラミング言語の任意の組み合わせで書くことができる。プログラムコードは、全体的にはユーザのコンピュータ上で、部分的にはユーザのコンピュータ上で、スタンドアロンソフトウェアパッケージとして、部分的にはユーザのコンピュータ上で、部分的には遠隔コンピュータ上で、または全体的には遠隔コンピュータまたはサーバ上で実行されてもよい。後者のシナリオでは、遠隔コンピュータがローカルエリアネットワーク(LAN)または広域ネットワーク(WAN)を含む任意のタイプのネットワークを介してユーザのコンピュータに接続されてもよく、または、その接続は(例えば、インターネットサービスプロバイダを使用してインターネットを介して)外部コンピュータであってもよい。
本発明の態様を、本発明の実施形態による方法、装置(システム)、およびコンピュータプログラム製品のフローチャート図および/またはブロック図を参照して以下に説明する。フローチャート図および/またはブロック図の各ブロック、並びにフローチャート図および/またはブロック図のブロックの組合せは、コンピュータプログラム命令によって実施できることを理解されたい。これらのコンピュータプログラム命令は、汎用コンピュータ、専用コンピュータ、または他のプログラマブルデータ処理装置のプロセッサに提供されて、コンピュータまたは他のプログラマブルデータ処理装置のプロセッサを介して実行される命令がフローチャートおよび/またはブロック図の1つまたは複数のブロックまたはモジュールで特定された機能/動作を実施するための手段を生み出すように、マシンを生成することができる。
これらのコンピュータプログラム命令はコンピュータ、他のプログラマブルデータ処理装置、または他のデバイスに特定の方法で機能するように指示することができるコンピュータ可読媒体に格納することもできるので、コンピュータ可読媒体に格納された命令は、フローチャートおよび/またはブロック図の1つまたは複数のブロックまたはモジュールで特定された機能/動作を実施する命令を含む製造品を生成する。
コンピュータプログラム命令はまた、コンピュータ、他のプログラマブルデータ処理装置、または他のデバイスに読み込まれて、一連の動作ステップがコンピュータ、他のプログラマブル装置、または他のデバイス上で実行されて、コンピュータまたは他のプログラマブル装置上で実行する命令がフローチャートおよび/またはブロック図の1つのブロックまたは複数のブロックまたはモジュールで特定された機能/動作を実施するためのプロセスを提供するように、コンピュータ実装プロセスを生成する。
本明細書で使用される“プロセッサ”という用語は、例えば、CPU(central processing unit)および/または他の処理回路を含むものなど、任意の処理デバイスを含むことが意図されることを理解されたい。“プロセッサ”という用語は複数の処理デバイスを指すことができ、処理デバイスに関連する様々な要素が他の処理デバイスによって共有され得ることも理解されたい。
本明細書で使用される“メモリ”という用語は、例えば、RAM、ROM、固定メモリデバイス(例えば、ハードドライブ)、リムーバブルメモリデバイス(例えば、ディスケット)、フラッシュメモリなど、プロセッサまたはCPUに関連するメモリを含むことを意図している。このようなメモリは、コンピュータ読み取り可能な記憶媒体と考えることができる。
さらに、本明細書で使用される“入力/出力装置”または“I/O装置”という語句は、例えば、処理ユニットにデータを入力するための1つまたは複数の入力装置(例えば、キーボード、マウス、スキャナなど)、および/または処理ユニットに関連する結果を提示するための1つまたは複数の出力装置(例えば、スピーカ、ディスプレイ、プリンタなど)を含むことが意図される。
前述は、あらゆる点で例示としての一例であるが、限定的ではないと理解されるべきであり、本明細書に開示される本発明の範囲は、詳細な説明からではなく、むしろ特許法によって許可される全範囲に従って解釈されるような特許請求の範囲から決定されるべきである。本明細書に示され、説明された実施形態は、本発明の例示にすぎず、当業者は、本発明の範囲および精神から逸脱することなく、様々な修正を実行することができることを理解されたい。当業者は、本発明の範囲および精神から逸脱することなく、様々な他の特徴の組み合わせを実行することができる。このように説明された本発明の態様は、特許法によって要求される詳細および特殊性を伴い、特許証によって保護が請求され、望まれるものは、添付の特許請求の範囲に記載されている。

Claims (20)

  1. ネットワークトラフィックログデータからなりすまし攻撃を検出するためにプロセッサで実行されるコンピュータ実施方法であって、前記方法は、
    トレーニングデータに対するなりすまし攻撃に関連する特徴を抽出すること、
    前記ネットワークトラフィックログデータに対するベクトル表現の第1のセットを構築すること、
    深層自己符号化混合ガウスモデル(DAGMM)を使用することによって異常検出モデルをトレーニングすること、
    DAGMMの学習パラメータを取得すること、および、
    前記学習パラメータをデータベースに格納すること、によって、
    1つまたは複数のモバイルネットワークから受信された前記ネットワークトラフィックログデータを用いてなりすまし攻撃検出器をトレーニングすること、を含む方法。
  2. テストデータのためのなりすまし攻撃に関連する特徴を抽出すること、
    前記ネットワークトラフィックログデータに対するベクトル表現の第2のセットを構築すること、
    前記トレーニング段階から前記学習モデルによる前記テストデータの潜在的な表現を取得すること、
    前記テストデータの前記潜在的な表現に基づいて前記テストデータのzスコアを計算すること、および、
    所定の閾値を超えるzスコアを生成するトラフィックログを表にするなりすまし攻撃警報レポートを作成すること、によって、
    前記1つまたは複数のモバイルネットワークから受信された前記ネットワークトラフィックログデータを用いて前記なりすまし攻撃検出器をテストすること、を含む請求項1に記載の方法。
  3. 前記抽出された特徴は、一致しない“InvokeSendAuthenticationInfo”ログの数、一致しない“InvokeUpdateGprsLocation”ログの数、一致しない“InvokeSendRoutingInfoForSM”ログの数、一致しない“InvokeMtForwardSM”ログの数、類似するグローバルタイトル(GT)情報を共有する“InvokeInsertSubscriberData”ログの対の数、および類似するGT情報を共有する“InvokeMoForwardSM”ログの対の数を含む、請求項1に記載の方法。
  4. 前記学習パラメータは、深層自己符号器からの第1のパラメータセットと、混合ガウスモデル(GMM)からの第2のパラメータセットとを含む、請求項1に記載の方法。
  5. 前記第1のパラメータセットは、それらの特徴空間から小型の潜在的な空間への前記ネットワークトラフィックログデータの投影を可能にし、前記第2のパラメータセットは、トラフィックログのグループがなりすまし攻撃関連特徴に関して異常であるかどうかの評価を可能にする、請求項4に記載の方法。
  6. 前記なりすまし攻撃警報レポートは、ロググループの開始時刻と終了時刻とを含み、前記生成された警報は、警報データベースに格納される、請求項1に記載の方法。
  7. 前記トレーニングされた異常検出モデルは、前記トレーニングデータの類似性および非類似性を評価する、請求項1に記載の方法。
  8. 前記テストデータはグループの第1のセットに分割され、前記テストデータはグループの第2のセットに分割される、請求項1に記載の方法。
  9. ネットワークトラフィックデータからなりすまし攻撃を検出するためのコンピュータ読み取り可能プログラムを含む非一時的なコンピュータ読み取り可能記憶媒体であって、コンピュータで実行されたときコンピュータ読み取り可能プログラムが前記コンピュータに、
    トレーニングデータに対するなりすまし攻撃に関連する特徴を抽出すること、
    前記ネットワークトラフィックログデータに対するベクトル表現の第1のセットを構築すること、
    深層自己符号化混合ガウスモデル(DAGMM)を使用することによって異常検出モデルをトレーニングすること、
    DAGMMの学習パラメータを取得すること、および、
    前記学習パラメータをデータベースに格納すること、によって、
    1つまたは複数のモバイルネットワークから受信された前記ネットワークトラフィックログデータを用いてなりすまし攻撃検出器をトレーニングするステップを実行させる、非一時的なコンピュータ読み取り可能記憶媒体。
  10. コンピュータで実行されたときコンピュータ読み取り可能プログラムが前記コンピュータに、
    テストデータのためのなりすまし攻撃に関連する特徴を抽出すること、
    前記ネットワークトラフィックログデータに対するベクトル表現の第2のセットを構築すること、
    前記トレーニング段階から前記学習モデルによる前記テストデータの潜在的な表現を取得すること、
    前記テストデータの前記潜在的な表現に基づいて前記テストデータのzスコアを計算すること、および、
    所定の閾値を超えるzスコアを生成するトラフィックログを表にするなりすまし攻撃警報レポートを作成すること、によって、
    前記1つまたは複数のモバイルネットワークから受信された前記ネットワークトラフィックログデータを用いて前記なりすまし攻撃検出器をテストするステップを実行させる、請求項9に記載の非一時的なコンピュータ読み取り可能記憶媒体。
  11. 前記抽出された特徴は、一致しない“InvokeSendAuthenticationInfo”ログの数、一致しない“InvokeUpdateGprsLocation”ログの数、一致しない“InvokeSendRoutingInfoForSM”ログの数、一致しない“InvokeMtForwardSM”ログの数、類似するグローバルタイトル(GT)情報を共有する“InvokeInsertSubscriberData”ログの対の数、および類似するGT情報を共有する“InvokeMoForwardSM”ログの対の数を含む、請求項9に記載の非一時的なコンピュータ読み取り可能な記憶媒体。
  12. 前記学習パラメータは、深層自己符号器からの第1のパラメータセットと、混合ガウスモデル(GMM)からの第2のパラメータセットとを含む、請求項9に記載の非一時的なコンピュータ読み取り可能な記憶媒体。
  13. 前記第1のパラメータセットは、それらの特徴空間から小型の潜在的な空間への前記ネットワークトラフィックログデータの投影を可能にし、前記第2のパラメータセットは、トラフィックログのグループがなりすまし攻撃関連特徴に関して異常であるかどうかの評価を可能にする、請求項12に記載の非一時的なコンピュータ読み取り可能な記憶媒体。
  14. 前記なりすまし攻撃警報レポートは、ロググループの開始時刻と終了時刻とを含み、前記生成された警報は、警報データベースに格納される、請求項9に記載の非一時的なコンピュータ読み取り可能な記憶媒体。
  15. 前記トレーニングされた異常検出モデルは、前記トレーニングデータの類似性および非類似性を評価する、請求項9に記載の非一時的なコンピュータ読み取り可能な記憶媒体。
  16. 前記テストデータはグループの第1のセットに分割され、前記テストデータはグループの第2のセットに分割される、請求項9に記載の非一時的なコンピュータ読み取り可能な記憶媒体。
  17. ネットワークトラフィックログデータからなりすまし攻撃を検出するためのシステムであって、前記システムは、
    トレーニングデータに対するなりすまし攻撃に関連する特徴を抽出すること、
    前記ネットワークトラフィックログデータに対するベクトル表現の第1のセットを構築すること、
    深層自己符号化混合ガウスモデル(DAGMM)を使用することによって異常検出モデルをトレーニングすること、
    DAGMMの学習パラメータを取得すること、および、
    前記学習パラメータをデータベースに格納すること、によって、
    1つまたは複数のモバイルネットワークから受信された前記ネットワークトラフィックログデータを用いてなりすまし攻撃検出器をトレーニングするトレーニングモジュールと、
    テストデータのためのなりすまし攻撃に関連する特徴を抽出すること、
    前記ネットワークトラフィックログデータに対するベクトル表現の第2のセットを構築すること、
    前記トレーニング段階から前記学習モデルによる前記テストデータの潜在的な表現を取得すること、
    前記テストデータの前記潜在的な表現に基づいて前記テストデータのzスコアを計算すること、および、
    所定の閾値を超えるzスコアを生成するトラフィックログを表にするなりすまし攻撃警報レポートを作成すること、によって、
    前記1つまたは複数のモバイルネットワークから受信された前記ネットワークトラフィックログデータを用いて前記なりすまし攻撃検出器をテストするテストモジュールと、を含むシステム。
  18. 前記抽出された特徴は、一致しない“InvokeSendAuthenticationInfo”ログの数、一致しない“InvokeUpdateGprsLocation”ログの数、一致しない“InvokeSendRoutingInfoForSM”ログの数、一致しない“InvokeMtForwardSM”ログの数、類似するグローバルタイトル(GT)情報を共有する“InvokeInsertSubscriberData”ログの対の数、および類似するGT情報を共有する“InvokeMoForwardSM”ログの対の数を含む、請求項17に記載のシステム。
  19. 前記学習パラメータは、深層自己符号器からの第1のパラメータセットと、混合ガウスモデル(GMM)からの第2のパラメータセットとを含む、請求項17に記載のシステム。
  20. 前記第1のパラメータセットは、それらの特徴空間から小型の潜在的な空間への前記ネットワークトラフィックログデータの投影を可能にし、前記第2のパラメータセットは、トラフィックログのグループがなりすまし攻撃関連特徴に関して異常であるかどうかの評価を可能にする、請求項19に記載のシステム。
JP2020543269A 2018-02-19 2019-01-17 モバイルネットワークにおけるトラフィックデータから監視されないなりすまし検出 Pending JP2021513170A (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201862632190P 2018-02-19 2018-02-19
US62/632,190 2018-02-19
US16/246,774 2019-01-04
US16/246,774 US11171977B2 (en) 2018-02-19 2019-01-14 Unsupervised spoofing detection from traffic data in mobile networks
PCT/US2019/013947 WO2019160641A1 (en) 2018-02-19 2019-01-17 Unsupervised spoofing detection from traffic data in mobile networks

Publications (1)

Publication Number Publication Date
JP2021513170A true JP2021513170A (ja) 2021-05-20

Family

ID=67618290

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020543269A Pending JP2021513170A (ja) 2018-02-19 2019-01-17 モバイルネットワークにおけるトラフィックデータから監視されないなりすまし検出

Country Status (3)

Country Link
US (1) US11171977B2 (ja)
JP (1) JP2021513170A (ja)
WO (1) WO2019160641A1 (ja)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018220711A1 (de) * 2018-11-30 2020-06-04 Robert Bosch Gmbh Messung der Anfälligkeit von KI-Modulen gegen Täuschungsversuche
FI20195989A1 (en) 2019-11-19 2021-05-20 Elisa Oyj Analysis of measurement results using deviation detection and identification of deviating variables
CN111178537B (zh) * 2019-12-09 2023-11-17 华为云计算技术有限公司 一种特征提取模型训练方法及设备
EP3836505A1 (en) * 2019-12-13 2021-06-16 Unify Patente GmbH & Co. KG Computer-implemented method of detecting abnormal events in a telecommunication system and telecommunication system
CN111191767B (zh) * 2019-12-17 2023-06-06 博雅信安科技(北京)有限公司 一种基于向量化的恶意流量攻击类型的判断方法
CN113657352A (zh) * 2020-03-19 2021-11-16 支付宝(杭州)信息技术有限公司 一种人脸特征提取方法、装置及设备
CN111476375B (zh) * 2020-03-30 2023-09-19 中移动信息技术有限公司 一种确定识别模型的方法、装置、电子设备及存储介质
CN111797401B (zh) * 2020-07-08 2023-12-29 深信服科技股份有限公司 一种攻击检测参数获取方法、装置、设备及可读存储介质
CN111931175B (zh) * 2020-09-23 2020-12-25 四川大学 一种基于小样本学习的工业控制系统入侵检测方法
CN112436968B (zh) * 2020-11-23 2023-10-17 恒安嘉新(北京)科技股份公司 一种网络流量的监测方法、装置、设备及存储介质
CN112929381B (zh) * 2021-02-26 2022-12-23 南方电网科学研究院有限责任公司 一种虚假注入数据的检测方法、装置设备和存储介质
CN113012684B (zh) * 2021-03-04 2022-05-31 电子科技大学 一种基于语音分割的合成语音检测方法
CN113660236B (zh) * 2021-08-10 2023-05-09 和安科技创新有限公司 一种基于优化堆叠降噪卷积自编码网络的异常流量检测方法、存储器和处理器
CN114500050B (zh) * 2022-01-26 2024-03-15 亚信科技(成都)有限公司 一种数据状态检测方法、装置和存储介质
WO2024007615A1 (zh) * 2022-07-05 2024-01-11 华为云计算技术有限公司 模型训练方法、装置及相关设备
CN115118514A (zh) * 2022-07-11 2022-09-27 深信服科技股份有限公司 一种数据检测方法、装置、设备及介质
CN115242513B (zh) * 2022-07-22 2024-02-27 中国工商银行股份有限公司 广域网链路流量异常告警方法、装置、设备和介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160065534A1 (en) * 2011-07-06 2016-03-03 Nominum, Inc. System for correlation of domain names
JP2017199250A (ja) * 2016-04-28 2017-11-02 株式会社日立製作所 計算機システム、データの分析方法、及び計算機
JP2018503203A (ja) * 2014-12-16 2018-02-01 エントイット ソフトウェア エルエルシーEntit Software Llc 許容可能なアクティビティルールに基づく許容可能なアクティビティの決定

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8402543B1 (en) * 2011-03-25 2013-03-19 Narus, Inc. Machine learning based botnet detection with dynamic adaptation
WO2012154657A2 (en) * 2011-05-06 2012-11-15 The Penn State Research Foundation Robust anomaly detection and regularized domain adaptation of classifiers with application to internet packet-flows
US8549645B2 (en) * 2011-10-21 2013-10-01 Mcafee, Inc. System and method for detection of denial of service attacks
US9210181B1 (en) * 2014-05-26 2015-12-08 Solana Networks Inc. Detection of anomaly in network flow data
US10911318B2 (en) * 2015-03-24 2021-02-02 Futurewei Technologies, Inc. Future network condition predictor for network time series data utilizing a hidden Markov model for non-anomalous data and a gaussian mixture model for anomalous data
CN109791585B (zh) * 2016-09-19 2023-10-10 西门子股份公司 检测影响计算装置的网络攻击的计算机实现的方法及系统
EP3534303A4 (en) * 2016-10-26 2019-11-06 Sony Corporation INFORMATION PROCESSOR AND INFORMATION PROCESSING METHOD
US10686806B2 (en) * 2017-08-21 2020-06-16 General Electric Company Multi-class decision system for categorizing industrial asset attack and fault types

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160065534A1 (en) * 2011-07-06 2016-03-03 Nominum, Inc. System for correlation of domain names
JP2018503203A (ja) * 2014-12-16 2018-02-01 エントイット ソフトウェア エルエルシーEntit Software Llc 許容可能なアクティビティルールに基づく許容可能なアクティビティの決定
JP2017199250A (ja) * 2016-04-28 2017-11-02 株式会社日立製作所 計算機システム、データの分析方法、及び計算機

Also Published As

Publication number Publication date
US20190260778A1 (en) 2019-08-22
WO2019160641A1 (en) 2019-08-22
US11171977B2 (en) 2021-11-09

Similar Documents

Publication Publication Date Title
JP2021513170A (ja) モバイルネットワークにおけるトラフィックデータから監視されないなりすまし検出
Hady et al. Intrusion detection system for healthcare systems using medical and network data: A comparison study
US11212299B2 (en) System and method for monitoring security attack chains
CN108471429B (zh) 一种网络攻击告警方法及系统
US10298607B2 (en) Constructing graph models of event correlation in enterprise security systems
CN104303152B (zh) 在内网检测异常以识别协同群组攻击的方法、装置和系统
JP6355683B2 (ja) リスク早期警報方法、装置、記憶媒体およびコンピュータプログラム
US10701086B1 (en) Methods and systems for detecting malicious servers
CN106101130B (zh) 一种网络恶意数据检测方法、装置及系统
CN106716958A (zh) 横向移动检测
WO2018111355A1 (en) Content-level anomaly detection for heterogeneous logs
US11595418B2 (en) Graphical connection viewer for discovery of suspect network traffic
JP6933112B2 (ja) サイバー攻撃情報処理プログラム、サイバー攻撃情報処理方法および情報処理装置
CN106850687A (zh) 用于检测网络攻击的方法和装置
Rawat et al. Modeling of cyber threat analysis and vulnerability in IoT-based healthcare systems during COVID
CN113242267A (zh) 一种基于类脑计算的态势感知方法
WO2018071356A1 (en) Graph-based attack chain discovery in enterprise security systems
CN114584359B (zh) 安全诱捕方法、装置和计算机设备
Singh Cloud computing and COVID-19
US20230344846A1 (en) Method for network traffic analysis
CN113395251A (zh) 一种机器学习安全场景检测方法及装置
Yu et al. A visualization analysis tool for DNS amplification attack
CN110224975A (zh) Apt信息的确定方法及装置、存储介质、电子装置
AU2021102449A4 (en) Machine learning in safety critical cyber security system
WO2022192606A1 (en) Systems and methods for authentication using sound-based vocalization analysis

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200813

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211026

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211216

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220510

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20221206