JP2021513170A - モバイルネットワークにおけるトラフィックデータから監視されないなりすまし検出 - Google Patents
モバイルネットワークにおけるトラフィックデータから監視されないなりすまし検出 Download PDFInfo
- Publication number
- JP2021513170A JP2021513170A JP2020543269A JP2020543269A JP2021513170A JP 2021513170 A JP2021513170 A JP 2021513170A JP 2020543269 A JP2020543269 A JP 2020543269A JP 2020543269 A JP2020543269 A JP 2020543269A JP 2021513170 A JP2021513170 A JP 2021513170A
- Authority
- JP
- Japan
- Prior art keywords
- logs
- network traffic
- data
- spoofing
- mismatched
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/022—Knowledge engineering; Knowledge acquisition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N7/00—Computing arrangements based on specific mathematical models
- G06N7/01—Probabilistic graphical models, e.g. probabilistic networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Mathematical Physics (AREA)
- Computer Hardware Design (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Medical Informatics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Computational Mathematics (AREA)
- Pure & Applied Mathematics (AREA)
- Algebra (AREA)
- Probability & Statistics with Applications (AREA)
- Computational Linguistics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Image Analysis (AREA)
Abstract
Description
本出願は、2018年2月19日に出願された仮出願シリアル番号62/632,190、2019年1月14日に出願された米国特許出願シリアル番号16/246,774の優先権を主張し、その内容全体が、参照により本明細書に組み込まれる。
Claims (20)
- ネットワークトラフィックログデータからなりすまし攻撃を検出するためにプロセッサで実行されるコンピュータ実施方法であって、前記方法は、
トレーニングデータに対するなりすまし攻撃に関連する特徴を抽出すること、
前記ネットワークトラフィックログデータに対するベクトル表現の第1のセットを構築すること、
深層自己符号化混合ガウスモデル(DAGMM)を使用することによって異常検出モデルをトレーニングすること、
DAGMMの学習パラメータを取得すること、および、
前記学習パラメータをデータベースに格納すること、によって、
1つまたは複数のモバイルネットワークから受信された前記ネットワークトラフィックログデータを用いてなりすまし攻撃検出器をトレーニングすること、を含む方法。 - テストデータのためのなりすまし攻撃に関連する特徴を抽出すること、
前記ネットワークトラフィックログデータに対するベクトル表現の第2のセットを構築すること、
前記トレーニング段階から前記学習モデルによる前記テストデータの潜在的な表現を取得すること、
前記テストデータの前記潜在的な表現に基づいて前記テストデータのzスコアを計算すること、および、
所定の閾値を超えるzスコアを生成するトラフィックログを表にするなりすまし攻撃警報レポートを作成すること、によって、
前記1つまたは複数のモバイルネットワークから受信された前記ネットワークトラフィックログデータを用いて前記なりすまし攻撃検出器をテストすること、を含む請求項1に記載の方法。 - 前記抽出された特徴は、一致しない“InvokeSendAuthenticationInfo”ログの数、一致しない“InvokeUpdateGprsLocation”ログの数、一致しない“InvokeSendRoutingInfoForSM”ログの数、一致しない“InvokeMtForwardSM”ログの数、類似するグローバルタイトル(GT)情報を共有する“InvokeInsertSubscriberData”ログの対の数、および類似するGT情報を共有する“InvokeMoForwardSM”ログの対の数を含む、請求項1に記載の方法。
- 前記学習パラメータは、深層自己符号器からの第1のパラメータセットと、混合ガウスモデル(GMM)からの第2のパラメータセットとを含む、請求項1に記載の方法。
- 前記第1のパラメータセットは、それらの特徴空間から小型の潜在的な空間への前記ネットワークトラフィックログデータの投影を可能にし、前記第2のパラメータセットは、トラフィックログのグループがなりすまし攻撃関連特徴に関して異常であるかどうかの評価を可能にする、請求項4に記載の方法。
- 前記なりすまし攻撃警報レポートは、ロググループの開始時刻と終了時刻とを含み、前記生成された警報は、警報データベースに格納される、請求項1に記載の方法。
- 前記トレーニングされた異常検出モデルは、前記トレーニングデータの類似性および非類似性を評価する、請求項1に記載の方法。
- 前記テストデータはグループの第1のセットに分割され、前記テストデータはグループの第2のセットに分割される、請求項1に記載の方法。
- ネットワークトラフィックデータからなりすまし攻撃を検出するためのコンピュータ読み取り可能プログラムを含む非一時的なコンピュータ読み取り可能記憶媒体であって、コンピュータで実行されたときコンピュータ読み取り可能プログラムが前記コンピュータに、
トレーニングデータに対するなりすまし攻撃に関連する特徴を抽出すること、
前記ネットワークトラフィックログデータに対するベクトル表現の第1のセットを構築すること、
深層自己符号化混合ガウスモデル(DAGMM)を使用することによって異常検出モデルをトレーニングすること、
DAGMMの学習パラメータを取得すること、および、
前記学習パラメータをデータベースに格納すること、によって、
1つまたは複数のモバイルネットワークから受信された前記ネットワークトラフィックログデータを用いてなりすまし攻撃検出器をトレーニングするステップを実行させる、非一時的なコンピュータ読み取り可能記憶媒体。 - コンピュータで実行されたときコンピュータ読み取り可能プログラムが前記コンピュータに、
テストデータのためのなりすまし攻撃に関連する特徴を抽出すること、
前記ネットワークトラフィックログデータに対するベクトル表現の第2のセットを構築すること、
前記トレーニング段階から前記学習モデルによる前記テストデータの潜在的な表現を取得すること、
前記テストデータの前記潜在的な表現に基づいて前記テストデータのzスコアを計算すること、および、
所定の閾値を超えるzスコアを生成するトラフィックログを表にするなりすまし攻撃警報レポートを作成すること、によって、
前記1つまたは複数のモバイルネットワークから受信された前記ネットワークトラフィックログデータを用いて前記なりすまし攻撃検出器をテストするステップを実行させる、請求項9に記載の非一時的なコンピュータ読み取り可能記憶媒体。 - 前記抽出された特徴は、一致しない“InvokeSendAuthenticationInfo”ログの数、一致しない“InvokeUpdateGprsLocation”ログの数、一致しない“InvokeSendRoutingInfoForSM”ログの数、一致しない“InvokeMtForwardSM”ログの数、類似するグローバルタイトル(GT)情報を共有する“InvokeInsertSubscriberData”ログの対の数、および類似するGT情報を共有する“InvokeMoForwardSM”ログの対の数を含む、請求項9に記載の非一時的なコンピュータ読み取り可能な記憶媒体。
- 前記学習パラメータは、深層自己符号器からの第1のパラメータセットと、混合ガウスモデル(GMM)からの第2のパラメータセットとを含む、請求項9に記載の非一時的なコンピュータ読み取り可能な記憶媒体。
- 前記第1のパラメータセットは、それらの特徴空間から小型の潜在的な空間への前記ネットワークトラフィックログデータの投影を可能にし、前記第2のパラメータセットは、トラフィックログのグループがなりすまし攻撃関連特徴に関して異常であるかどうかの評価を可能にする、請求項12に記載の非一時的なコンピュータ読み取り可能な記憶媒体。
- 前記なりすまし攻撃警報レポートは、ロググループの開始時刻と終了時刻とを含み、前記生成された警報は、警報データベースに格納される、請求項9に記載の非一時的なコンピュータ読み取り可能な記憶媒体。
- 前記トレーニングされた異常検出モデルは、前記トレーニングデータの類似性および非類似性を評価する、請求項9に記載の非一時的なコンピュータ読み取り可能な記憶媒体。
- 前記テストデータはグループの第1のセットに分割され、前記テストデータはグループの第2のセットに分割される、請求項9に記載の非一時的なコンピュータ読み取り可能な記憶媒体。
- ネットワークトラフィックログデータからなりすまし攻撃を検出するためのシステムであって、前記システムは、
トレーニングデータに対するなりすまし攻撃に関連する特徴を抽出すること、
前記ネットワークトラフィックログデータに対するベクトル表現の第1のセットを構築すること、
深層自己符号化混合ガウスモデル(DAGMM)を使用することによって異常検出モデルをトレーニングすること、
DAGMMの学習パラメータを取得すること、および、
前記学習パラメータをデータベースに格納すること、によって、
1つまたは複数のモバイルネットワークから受信された前記ネットワークトラフィックログデータを用いてなりすまし攻撃検出器をトレーニングするトレーニングモジュールと、
テストデータのためのなりすまし攻撃に関連する特徴を抽出すること、
前記ネットワークトラフィックログデータに対するベクトル表現の第2のセットを構築すること、
前記トレーニング段階から前記学習モデルによる前記テストデータの潜在的な表現を取得すること、
前記テストデータの前記潜在的な表現に基づいて前記テストデータのzスコアを計算すること、および、
所定の閾値を超えるzスコアを生成するトラフィックログを表にするなりすまし攻撃警報レポートを作成すること、によって、
前記1つまたは複数のモバイルネットワークから受信された前記ネットワークトラフィックログデータを用いて前記なりすまし攻撃検出器をテストするテストモジュールと、を含むシステム。 - 前記抽出された特徴は、一致しない“InvokeSendAuthenticationInfo”ログの数、一致しない“InvokeUpdateGprsLocation”ログの数、一致しない“InvokeSendRoutingInfoForSM”ログの数、一致しない“InvokeMtForwardSM”ログの数、類似するグローバルタイトル(GT)情報を共有する“InvokeInsertSubscriberData”ログの対の数、および類似するGT情報を共有する“InvokeMoForwardSM”ログの対の数を含む、請求項17に記載のシステム。
- 前記学習パラメータは、深層自己符号器からの第1のパラメータセットと、混合ガウスモデル(GMM)からの第2のパラメータセットとを含む、請求項17に記載のシステム。
- 前記第1のパラメータセットは、それらの特徴空間から小型の潜在的な空間への前記ネットワークトラフィックログデータの投影を可能にし、前記第2のパラメータセットは、トラフィックログのグループがなりすまし攻撃関連特徴に関して異常であるかどうかの評価を可能にする、請求項19に記載のシステム。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201862632190P | 2018-02-19 | 2018-02-19 | |
US62/632,190 | 2018-02-19 | ||
US16/246,774 | 2019-01-04 | ||
US16/246,774 US11171977B2 (en) | 2018-02-19 | 2019-01-14 | Unsupervised spoofing detection from traffic data in mobile networks |
PCT/US2019/013947 WO2019160641A1 (en) | 2018-02-19 | 2019-01-17 | Unsupervised spoofing detection from traffic data in mobile networks |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2021513170A true JP2021513170A (ja) | 2021-05-20 |
Family
ID=67618290
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020543269A Pending JP2021513170A (ja) | 2018-02-19 | 2019-01-17 | モバイルネットワークにおけるトラフィックデータから監視されないなりすまし検出 |
Country Status (3)
Country | Link |
---|---|
US (1) | US11171977B2 (ja) |
JP (1) | JP2021513170A (ja) |
WO (1) | WO2019160641A1 (ja) |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102018220711A1 (de) * | 2018-11-30 | 2020-06-04 | Robert Bosch Gmbh | Messung der Anfälligkeit von KI-Modulen gegen Täuschungsversuche |
FI20195989A1 (en) | 2019-11-19 | 2021-05-20 | Elisa Oyj | Analysis of measurement results using deviation detection and identification of deviating variables |
CN111178537B (zh) * | 2019-12-09 | 2023-11-17 | 华为云计算技术有限公司 | 一种特征提取模型训练方法及设备 |
EP3836505A1 (en) * | 2019-12-13 | 2021-06-16 | Unify Patente GmbH & Co. KG | Computer-implemented method of detecting abnormal events in a telecommunication system and telecommunication system |
CN111191767B (zh) * | 2019-12-17 | 2023-06-06 | 博雅信安科技(北京)有限公司 | 一种基于向量化的恶意流量攻击类型的判断方法 |
CN113657352A (zh) * | 2020-03-19 | 2021-11-16 | 支付宝(杭州)信息技术有限公司 | 一种人脸特征提取方法、装置及设备 |
CN111476375B (zh) * | 2020-03-30 | 2023-09-19 | 中移动信息技术有限公司 | 一种确定识别模型的方法、装置、电子设备及存储介质 |
CN111797401B (zh) * | 2020-07-08 | 2023-12-29 | 深信服科技股份有限公司 | 一种攻击检测参数获取方法、装置、设备及可读存储介质 |
CN111931175B (zh) * | 2020-09-23 | 2020-12-25 | 四川大学 | 一种基于小样本学习的工业控制系统入侵检测方法 |
CN112436968B (zh) * | 2020-11-23 | 2023-10-17 | 恒安嘉新(北京)科技股份公司 | 一种网络流量的监测方法、装置、设备及存储介质 |
CN112929381B (zh) * | 2021-02-26 | 2022-12-23 | 南方电网科学研究院有限责任公司 | 一种虚假注入数据的检测方法、装置设备和存储介质 |
CN113012684B (zh) * | 2021-03-04 | 2022-05-31 | 电子科技大学 | 一种基于语音分割的合成语音检测方法 |
CN113660236B (zh) * | 2021-08-10 | 2023-05-09 | 和安科技创新有限公司 | 一种基于优化堆叠降噪卷积自编码网络的异常流量检测方法、存储器和处理器 |
CN114500050B (zh) * | 2022-01-26 | 2024-03-15 | 亚信科技(成都)有限公司 | 一种数据状态检测方法、装置和存储介质 |
WO2024007615A1 (zh) * | 2022-07-05 | 2024-01-11 | 华为云计算技术有限公司 | 模型训练方法、装置及相关设备 |
CN115118514A (zh) * | 2022-07-11 | 2022-09-27 | 深信服科技股份有限公司 | 一种数据检测方法、装置、设备及介质 |
CN115242513B (zh) * | 2022-07-22 | 2024-02-27 | 中国工商银行股份有限公司 | 广域网链路流量异常告警方法、装置、设备和介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160065534A1 (en) * | 2011-07-06 | 2016-03-03 | Nominum, Inc. | System for correlation of domain names |
JP2017199250A (ja) * | 2016-04-28 | 2017-11-02 | 株式会社日立製作所 | 計算機システム、データの分析方法、及び計算機 |
JP2018503203A (ja) * | 2014-12-16 | 2018-02-01 | エントイット ソフトウェア エルエルシーEntit Software Llc | 許容可能なアクティビティルールに基づく許容可能なアクティビティの決定 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8402543B1 (en) * | 2011-03-25 | 2013-03-19 | Narus, Inc. | Machine learning based botnet detection with dynamic adaptation |
WO2012154657A2 (en) * | 2011-05-06 | 2012-11-15 | The Penn State Research Foundation | Robust anomaly detection and regularized domain adaptation of classifiers with application to internet packet-flows |
US8549645B2 (en) * | 2011-10-21 | 2013-10-01 | Mcafee, Inc. | System and method for detection of denial of service attacks |
US9210181B1 (en) * | 2014-05-26 | 2015-12-08 | Solana Networks Inc. | Detection of anomaly in network flow data |
US10911318B2 (en) * | 2015-03-24 | 2021-02-02 | Futurewei Technologies, Inc. | Future network condition predictor for network time series data utilizing a hidden Markov model for non-anomalous data and a gaussian mixture model for anomalous data |
CN109791585B (zh) * | 2016-09-19 | 2023-10-10 | 西门子股份公司 | 检测影响计算装置的网络攻击的计算机实现的方法及系统 |
EP3534303A4 (en) * | 2016-10-26 | 2019-11-06 | Sony Corporation | INFORMATION PROCESSOR AND INFORMATION PROCESSING METHOD |
US10686806B2 (en) * | 2017-08-21 | 2020-06-16 | General Electric Company | Multi-class decision system for categorizing industrial asset attack and fault types |
-
2019
- 2019-01-14 US US16/246,774 patent/US11171977B2/en active Active
- 2019-01-17 JP JP2020543269A patent/JP2021513170A/ja active Pending
- 2019-01-17 WO PCT/US2019/013947 patent/WO2019160641A1/en active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160065534A1 (en) * | 2011-07-06 | 2016-03-03 | Nominum, Inc. | System for correlation of domain names |
JP2018503203A (ja) * | 2014-12-16 | 2018-02-01 | エントイット ソフトウェア エルエルシーEntit Software Llc | 許容可能なアクティビティルールに基づく許容可能なアクティビティの決定 |
JP2017199250A (ja) * | 2016-04-28 | 2017-11-02 | 株式会社日立製作所 | 計算機システム、データの分析方法、及び計算機 |
Also Published As
Publication number | Publication date |
---|---|
US20190260778A1 (en) | 2019-08-22 |
WO2019160641A1 (en) | 2019-08-22 |
US11171977B2 (en) | 2021-11-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2021513170A (ja) | モバイルネットワークにおけるトラフィックデータから監視されないなりすまし検出 | |
Hady et al. | Intrusion detection system for healthcare systems using medical and network data: A comparison study | |
US11212299B2 (en) | System and method for monitoring security attack chains | |
CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
US10298607B2 (en) | Constructing graph models of event correlation in enterprise security systems | |
CN104303152B (zh) | 在内网检测异常以识别协同群组攻击的方法、装置和系统 | |
JP6355683B2 (ja) | リスク早期警報方法、装置、記憶媒体およびコンピュータプログラム | |
US10701086B1 (en) | Methods and systems for detecting malicious servers | |
CN106101130B (zh) | 一种网络恶意数据检测方法、装置及系统 | |
CN106716958A (zh) | 横向移动检测 | |
WO2018111355A1 (en) | Content-level anomaly detection for heterogeneous logs | |
US11595418B2 (en) | Graphical connection viewer for discovery of suspect network traffic | |
JP6933112B2 (ja) | サイバー攻撃情報処理プログラム、サイバー攻撃情報処理方法および情報処理装置 | |
CN106850687A (zh) | 用于检测网络攻击的方法和装置 | |
Rawat et al. | Modeling of cyber threat analysis and vulnerability in IoT-based healthcare systems during COVID | |
CN113242267A (zh) | 一种基于类脑计算的态势感知方法 | |
WO2018071356A1 (en) | Graph-based attack chain discovery in enterprise security systems | |
CN114584359B (zh) | 安全诱捕方法、装置和计算机设备 | |
Singh | Cloud computing and COVID-19 | |
US20230344846A1 (en) | Method for network traffic analysis | |
CN113395251A (zh) | 一种机器学习安全场景检测方法及装置 | |
Yu et al. | A visualization analysis tool for DNS amplification attack | |
CN110224975A (zh) | Apt信息的确定方法及装置、存储介质、电子装置 | |
AU2021102449A4 (en) | Machine learning in safety critical cyber security system | |
WO2022192606A1 (en) | Systems and methods for authentication using sound-based vocalization analysis |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200813 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211026 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211216 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220510 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20221206 |