JP5682089B2 - 通信分類装置及び方法 - Google Patents
通信分類装置及び方法 Download PDFInfo
- Publication number
- JP5682089B2 JP5682089B2 JP2011033932A JP2011033932A JP5682089B2 JP 5682089 B2 JP5682089 B2 JP 5682089B2 JP 2011033932 A JP2011033932 A JP 2011033932A JP 2011033932 A JP2011033932 A JP 2011033932A JP 5682089 B2 JP5682089 B2 JP 5682089B2
- Authority
- JP
- Japan
- Prior art keywords
- address
- feature vector
- communication
- training
- determination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
通信を発生させた端末の判定対象アドレスを取得し、該判定対象アドレスを構成するビット列の構造的な性質に基づいて、該判定対象アドレスに固有な特徴を特徴ベクトルとして抽出する特徴ベクトル抽出手段と、
随時または所定の周期で取得した悪意性の有無を示すラベルが付与されたアドレスのリストを格納した訓練データ記憶手段と、
前記訓練データ記憶手段の前記アドレスのリストに対し、アドレス毎に、アドレスに固有な特徴を特定することにより特徴ベクトルを抽出し、該特徴ベクトルに対して教師付き機械学習を適用して訓練を実施し、訓練結果を出力するアドレス訓練手段と、
前記アドレス訓練手段の前記訓練結果と前記特徴ベクトル抽出手段で抽出された前記特徴ベクトルを用いて、通信が通常の通信か、または、悪意のある通信かを確率的に判定する判定手段と、
を有し、
前記特徴ベクトル抽出手段は、
前記判定対象アドレスを構成するビット列をサブビット列に分割し、各サブビット列を任意の関数で変換した値を前記特徴ベクトルの要素とする手段を含む。
一般に、N 個のビット列 {b1, b2, ....., bN} によって構成されるアドレスに対して、上位j番目からk個のビットを用いて構成したビット列 {bj, bj+1, ....., bj+k-1} を特徴ベクトルとして抽出する。
1≦ j < j + k - 1 ≦N
を満たす任意に設定が可能な値である。
一般に、N 個のビット列 {b1, b2,…, bN} によって構成されるアドレスを、上位から順番に T 個のサブビット列 sj (j=1,…,T) に分割する。当該分割条件を以下に示す。
S1 + S2 + ... + ST ≦ N (式1)
を満たす、任意の値となるように設定される。
s1 = {b3, b4, b5}
のようにサブビット列を構成することが可能である。
・分割されたサブビットから特徴ベクトルを構成できる関数f(sj)を適用する:
なお、特徴ベクトルを構成できる関数f(sj)は、既存の(任意の)関数を利用することとする。例えば、
・10進表記を利用した特徴ベクトル構成方法;
・10進表記した値に対してハッシュ関数を適用する方法;
などがある。
ここで、アドレスリストとは、ある一定の性質を持つアドレスを収集したものであり、単一のアドレスあるいは複数の連続するアドレスをネットワークプレフィックスによって表記したものから構成される。
ネットワークプレフィックス表記の例:192.168.1.0/24
各アドレスリストは、同一の性質を有するアドレスを収集したものであり、これらのアドレスリストはリアルタイムに更新することが可能である。
"192.168.5.88 "を2進数表記すると
11000000101010000000010101011000
のように32個のビットから構成されるビット列となる。このうち上位 j 番目から k 個のビットを用いて構成したビット列を特徴ベクトルとする。
{1,1,0,0,0,0,0,0,1,0,1,0,1,0,0,0,0,0,0,0,0,1,0,1}
となる。
一般に、N 個のビット列 {b1, b2, ..., bN} によって構成されるアドレスを上位から順番に T 個のサブビット列 sj (j=1,...,T) に分割する。
ここでは前述と同じ"192.168.5.88 "を用いると、元のビット列は、
11000000101010000000010101011000
である。N = 32, T = 5 とし、サブビット列を
s1 = 11000000
s2 = 1010
s3 = 1000
s4 = 0000
s5 = 0101
と定義する。サブビット列 sj (j=1,2,..,4) のサイズは
S1 = 8, S2 = S3 = S4 = S5 = 4
である。
{192, 10, 8, 0, 5}
のように特徴ベクトルを構成できる。
f(s5) = (0101)2 = (5)10
あるいは関数 f(sj) を「{s1,s2,...,sj} のビットを結合して得られたビットを10進表記する」と定義した場合、
{192, 3082, 49320, 789120, 12625925}
のように特徴ベクトルを構成できる。
f(s2) = (110000001010)2 = (3082)10 ,
f(s3) = (1100000010101000)2 = (49320)10 ,
f(s4) = (11000000101010000000)2 = (789120)10 ,
f(s5) = (110000001010100000000101)2 = (12625925)10
あるいは関数を以下のような特徴ベクトルを構成する関数として定義することもできる。
例えば、簡単のため、T=1 とし、s1 = 110000001010100000000101 とする。サブビットのサイズは S1 = 24 である。24ビット長の最大値は10進表記で 224=16,777,216 であるので、サブビットs1の10進表記 12,625,925 を用い、12,625,925 番目のビットのみが"1"で他はすべて"0"の粗な特徴ベクトルを構成することもできる。
s1 = 11000000
s2 = 10101000
s3 = 00000101
とした場合、それぞれのサブビットは8ビット長であるため、0から255の256通りの値をとることができる。
別途アドレス情報記憶部101に用意したA種類のアドレスデータ L1,L2,...,LA を用いてA個の要素からなる特徴ベクトルを構成する方法を述べる。
{1,1,0,0,0,0,0,0,0,1}
のように、特徴ベクトルを抽出する。
例えば、上記の(1)の方法と(3)の方法を組み合わせ、"192.168.5.88"に対して、前述の(1)の例(j=1,k=24の特徴ベクトル)である、
{1,1,0,0,0,0,0,0,1,0,1,0,1,0,0,0,0,0,0,0,0,1,0,1}
と、同様に(3)の最初の例である、『A =10であり、悪意性判定対象のアドレスが 1, 2, 10番目のリストに掲載のアドレスに合致する』からなる特徴ベクトル
{1,1,0,0,0,0,0,0,0,1}
とを組み合わせ、
{1,1,0,0,0,0,0,0,1,0,1,0,1,0,0,0,0,0,0,0,0,1,0,1,1,1,0,0,0,0,0,0,0,1}
のように34次元の特徴ベクトルを構成することが可能である。本実施例ではアドレスデータとして国情報に相当する情報を用いたが、この他BGP経路情報あるいはWhoisといった外部公開されているIPアドレスに関する情報を利用することができる。
Xi = {xi1,xi2,...,xi24}
と表記する。同様にi番目のサンプルのラベルを ci と表記する。例えば、1番目の特徴ベクトルとラベルの値は
X1 = {1,1,0,0,0,0,0,0,1,0,1,0,1,0,0,0,0,0,0,0,0,1,0,1}
c1 = +1
である。
はベクトル Xi に特徴空間の変換を施す非線形関数を適用したものである。‖W‖はベクトル W のユークリッドノルムである。M は訓練データにおけるサンプル数である。
ここで、φ(Xi) Tはφ(Xi)の転置行列である。
このようなカーネル関数を導入すると、マージン最大化はカーネル関数によって表現される二次計画法を解く問題に帰着する。
y = WTφ(X) + b
を計算し、y が正であれば悪意性がある、負の値であれば通常のアドレスである、と判定する。ここでW, b は前記のアドレス訓練部150で計算済みの値を用いる。なお、 y の計算はカーネル関数を用いて、
"Probabilistic Outputs for Support Vector Machines and Comparisons to Regularized Likelihood Methods", ADVANCES IN LARGE MARGIN CLASSIFIERS, pp. 61-74, 1999 http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.41.1639」に記載の方法を本発明に適用した例を示す。ある観測したアドレスに悪意性がある状態をC=1 と書くことにする。Cはクラスの意である。同様にあるアドレスに対してC=−1であればそのアドレスに悪意性が存在しない状態を示す。
フィッティングの方法は下記の通りである。はじめに訓練集合のCi (i=1,2,…)を用い、
ti = (yi+1)/2
という変数を定義する。A,B は次式で表現される訓練データの負の対数尤度を最小化する値を数値計算によって求める事ができる。
ゲートウェイルータ等で、外部インターネットから内部組織への通信の送信元IPアドレスを得ることができるため、ルータが観測したすべてのアドレスを、本装置100への入力値である悪意性判定対象アドレスとし、悪意性があると判断したアドレスをフィルターするケース。
本発明の通信分類装置100はネットワーク上のゲートウェイルータ210と連携をする形で利用される。図3に構成例を示す。ネットワークの管理者は予め本システムのアドレス訓練部が保持する訓練元データを準備し、通信分類装置100に投入する。この訓練元データはアドレス毎に悪意性の有無に関するラベルが付与されたものである。同様にネットワーク内部の侵入・異常・攻撃検知システム230の出力結果を訓練元データ(訓練元データ記憶部102)として利用することができる。本装置100では前述のアドレス訓練を実施し、アドレス判定が可能な状態を保持する。
あるプログラムが、特定のアドレスからの通信を受信した際に、その通信を受け取るか否かを判断するために、通信分類装置100の出力である悪意性判定結果を利用するケース。
あるサーバ上で動作するプログラムがあるIPアドレスを持つクライアントからリクエストを受けたものとする。この際にそのリクエストをプログラムが実際に処理する前に本発明の通信分類装置100に問い合わせをし、悪意性のあるアドレスであることが判明したらリクエストを廃棄するか、サーバの負荷が高い場合は他の通常のリクエストを優先し、悪意性のあるアドレスからのリクエストを最低優先とする。
101 アドレス情報記憶部
102 訓練元データ記憶部
103 訓練データ記憶部
110 判定対象アドレス受信部
120 特徴抽出用アドレス情報受信部
130 訓練用データ受信部
140 アドレス特徴抽出部
150 アドレス訓練部
160 アドレス判定部
170 判定出力部
180 判定結果キャッシュ部
Claims (6)
- 通常の通信、悪意のある通信を弁別するための通信分類装置であって、
通信を発生させた端末の判定対象アドレスを取得し、該判定対象アドレスを構成するビット列の構造的な性質に基づいて、該判定対象アドレスに固有な特徴を特徴ベクトルとして抽出する特徴ベクトル抽出手段と、
随時または所定の周期で取得した悪意性の有無を示すラベルが付与されたアドレスのリストを格納した訓練データ記憶手段と、
前記訓練データ記憶手段の前記アドレスのリストに対し、アドレス毎に、アドレスに固有な特徴を特定することにより特徴ベクトルを抽出し、該特徴ベクトルに対して教師付き機械学習を適用して訓練を実施し、訓練結果を出力するアドレス訓練手段と、
前記アドレス訓練手段の前記訓練結果と前記特徴ベクトル抽出手段で抽出された前記特徴ベクトルを用いて、通信が通常の通信か、または、悪意のある通信かを確率的に判定する判定手段と、
を有し、
前記特徴ベクトル抽出手段は、
前記判定対象アドレスを構成するビット列をサブビット列に分割し、各サブビット列を任意の関数で変換した値を前記特徴ベクトルの要素とする手段を含む
ことを特徴とする通信分類装置。 - 通常の通信、悪意のある通信を弁別するための通信分類装置であって、
ある一定の性質を持つアドレスを収集したアドレスリストからなる特徴抽出用アドレス情報を格納するアドレスリスト記憶手段と、
通信を発生させた端末の判定対象アドレスを取得し、該判定対象アドレスを構成するビット列の構造的な性質に基づいて、該判定対象アドレスに固有な特徴を特徴ベクトルとして抽出する特徴ベクトル抽出手段と、
随時または所定の周期で取得した悪意性の有無を示すラベルが付与されたアドレスのリストを格納した訓練データ記憶手段と、
前記訓練データ記憶手段の前記アドレスのリストに対し、アドレス毎に、アドレスに固有な特徴を特定することにより特徴ベクトルを抽出し、該特徴ベクトルに対して教師付き機械学習を適用して訓練を実施し、訓練結果を出力するアドレス訓練手段と、
前記アドレス訓練手段の前記訓練結果と前記特徴ベクトル抽出手段で抽出された前記特徴ベクトルを用いて、通信が通常の通信か、または、悪意のある通信かを確率的に判定する判定手段と、
を有し、
前記特徴ベクトル抽出手段は、
前記判定対象アドレスが前記アドレスリスト記憶手段に格納されている前記特徴抽出用アドレス情報に含まれるか否かにより値を定め、特徴ベクトルの構成要素の値とする手段を含む
ことを特徴とする通信分類装置。 - 前記アドレス訓練手段及び前記判定手段は、
前記訓練結果として、悪意の有無を2値で表す、または、悪意性の距離もしくは確率を用いたスコアで表現する手段を含む
請求項1または2記載の通信分類装置。 - 通常の通信、悪意のある通信を弁別するための通信分類方法であって、
特徴ベクトル抽出手段が、通信を発生させた端末の判定対象アドレスを取得し、該判定対象アドレスを構成するビット列の構造的な性質に基づいて、該判定対象アドレスに固有な特徴を特徴ベクトルとして抽出する特徴ベクトル抽出ステップと、
アドレス訓練手段が、随時または所定の周期で取得した悪意性の有無を示すラベルが付与されたアドレスのリストを格納した訓練データ記憶手段の前記アドレスのリストに対し、アドレス毎に、アドレスに固有な特徴を特定することにより特徴ベクトルを抽出し、該特徴ベクトルに対して教師付き機械学習を適用して訓練を実施し、訓練結果を出力するアドレス訓練ステップと、
判定手段が、前記アドレス訓練ステップで出力された前記訓練結果と前記特徴ベクトル抽出ステップで抽出された前記特徴ベクトルを用いて、通信が通常の通信か、または、悪意のある通信かを確率的に判定する判定ステップと、
を行い、
前記特徴ベクトル抽出ステップにおいて、
前記判定対象アドレスを構成するビット列をサブビット列に分割し、各サブビット列を任意の関数で変換した値を前記特徴ベクトルの要素とする
ことを特徴とする通信分類方法。 - 通常の通信、悪意のある通信を弁別するための通信分類方法であって、
特徴ベクトル抽出手段が、通信を発生させた端末の判定対象アドレスを取得し、該判定対象アドレスを構成するビット列の構造的な性質に基づいて、該判定対象アドレスに固有な特徴を特徴ベクトルとして抽出する特徴ベクトル抽出ステップと、
アドレス訓練手段が、随時または所定の周期で取得した悪意性の有無を示すラベルが付与されたアドレスのリストを格納した訓練データ記憶手段の前記アドレスのリストに対し、アドレス毎に、アドレスに固有な特徴を特定することにより特徴ベクトルを抽出し、該特徴ベクトルに対して教師付き機械学習を適用して訓練を実施し、訓練結果を出力するアドレス訓練ステップと、
判定手段が、前記アドレス訓練ステップで出力された前記訓練結果と前記特徴ベクトル抽出ステップで抽出された前記特徴ベクトルを用いて、通信が通常の通信か、または、悪意のある通信かを確率的に判定する判定ステップと、
を行い、
前記特徴ベクトル抽出ステップにおいて、
ある一定の性質を持つアドレスを収集したアドレスリストからなる特徴抽出用アドレス情報を格納するアドレスリスト記憶手段を参照し、前記判定対象アドレスが、該アドレスリスト記憶手段に格納されている該特徴抽出用アドレス情報に含まれるか否かにより値を定め、特徴ベクトルの構成要素の値とする
ことを特徴とする通信分類方法。 - 前記アドレス訓練ステップ及び前記判定ステップにおいて、
前記訓練結果として、悪意の有無を2値で表す、または、悪意性の距離もしくは確率を用いたスコアで表現する
請求項4または5記載の通信分類方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011033932A JP5682089B2 (ja) | 2011-02-18 | 2011-02-18 | 通信分類装置及び方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011033932A JP5682089B2 (ja) | 2011-02-18 | 2011-02-18 | 通信分類装置及び方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012175296A JP2012175296A (ja) | 2012-09-10 |
JP5682089B2 true JP5682089B2 (ja) | 2015-03-11 |
Family
ID=46977782
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011033932A Expired - Fee Related JP5682089B2 (ja) | 2011-02-18 | 2011-02-18 | 通信分類装置及び方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5682089B2 (ja) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9609517B2 (en) | 2014-12-19 | 2017-03-28 | Intel Corporation | Cooperative security in wireless sensor networks |
US10701085B2 (en) | 2015-03-05 | 2020-06-30 | Nippon Telegraph And Telephone Corporation | Communication partner malignancy calculation device, communication partner malignancy calculation method, and communication partner malignancy calculation program |
US10148690B2 (en) * | 2015-12-21 | 2018-12-04 | Symantec Corporation | Accurate real-time identification of malicious BGP hijacks |
JP7175148B2 (ja) * | 2018-09-27 | 2022-11-18 | Kddi株式会社 | 判定装置及び判定方法 |
JP2021175095A (ja) * | 2020-04-27 | 2021-11-01 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及び情報処理プログラム |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011034416A (ja) * | 2009-08-04 | 2011-02-17 | Kddi Corp | 電子メール分類装置及び電子メール分類方法及び電子メール分類プログラム |
-
2011
- 2011-02-18 JP JP2011033932A patent/JP5682089B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2012175296A (ja) | 2012-09-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Anderson et al. | Deciphering malware’s use of TLS (without decryption) | |
US11399288B2 (en) | Method for HTTP-based access point fingerprint and classification using machine learning | |
EP3823246B1 (en) | Identifying and using dns contextual flows | |
US10397256B2 (en) | Spam classification system based on network flow data | |
CN110493208B (zh) | 一种多特征的dns结合https恶意加密流量识别方法 | |
Mohmand et al. | A machine learning-based classification and prediction technique for DDoS attacks | |
Lysenko et al. | BotGRABBER: SVM-based self-adaptive system for the network resilience against the botnets’ cyberattacks | |
JP5682089B2 (ja) | 通信分類装置及び方法 | |
US11544575B2 (en) | Machine-learning based approach for malware sample clustering | |
Bayat et al. | Deep learning for network traffic classification | |
US8910281B1 (en) | Identifying malware sources using phishing kit templates | |
Ali et al. | Effective network intrusion detection using stacking-based ensemble approach | |
Almousa et al. | Identification of ransomware families by analyzing network traffic using machine learning techniques | |
Sun et al. | MD-Miner: behavior-based tracking of network traffic for malware-control domain detection | |
Zheng et al. | Detecting malicious tls network traffic based on communication channel features | |
Aydın et al. | Ocids: An online cnn-based network intrusion detection system for ddos attacks with iot botnets | |
EP3718284B1 (en) | Extending encrypted traffic analytics with traffic flow data | |
Al-Bakhat et al. | Intrusion detection on Quic Traffic: A machine learning approach | |
WO2020075662A1 (ja) | データ分類装置、データ分類方法、および、データ分類プログラム | |
Elejla et al. | IPv6 OS fingerprinting methods | |
Sija et al. | Automatic payload signature generation for accurate identification of internet applications and application services | |
Ramesh et al. | Analyzing and detecting Botnet Attacks using Anomaly Detection with Machine Learning | |
Yin et al. | Tor Traffic’s Representation and Classification Based on Packet Timing Characteristics | |
Makar et al. | Systemization of Knowledge (SoK)-Cross Impact of Transfer Learning in Cybersecurity: Offensive, Defensive and Threat Intelligence Perspectives | |
Alrassan et al. | Detection of ddos attacks on clouds computing environments using machine learning techniques |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20121029 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20121029 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130718 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20130718 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140325 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140430 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140626 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20141224 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20141226 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5682089 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |