JP6541482B2 - 検証装置、検証方法及び検証プログラム - Google Patents
検証装置、検証方法及び検証プログラム Download PDFInfo
- Publication number
- JP6541482B2 JP6541482B2 JP2015139498A JP2015139498A JP6541482B2 JP 6541482 B2 JP6541482 B2 JP 6541482B2 JP 2015139498 A JP2015139498 A JP 2015139498A JP 2015139498 A JP2015139498 A JP 2015139498A JP 6541482 B2 JP6541482 B2 JP 6541482B2
- Authority
- JP
- Japan
- Prior art keywords
- feature amount
- amount group
- feature
- types
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
このようなトラヒックの識別には、トラヒックデータから抽出される特徴に基づく機械学習が適用可能である(例えば、特許文献1参照)。
図1は、本実施形態に係る検証装置1の機能構成を示すブロック図である。
検証装置1は、トラヒックのフローデータを入力とし、第1の特徴量群を識別機2へ提供して得られた識別結果と、第2の特徴量群とに基づいて、識別結果を検証する。
検証装置1は、取得部11と、選択部12と、検出部13と、評価部14と、調整部15とを備える。
フロー毎の複数の特徴量としては、例えば、データサイズ、パケット数、パケットサイズ、時間、スループット(サイズ/時間)等が利用される。
また、識別機2は、第1の特徴量群に基づく教師データによって、例えばJ48等のアルゴリズムによって機械学習される。
第2の特徴量群の選択には、ラベルは用いられず、冗長な特徴量の選択を避けるため特徴量間の相関の平均値が低いことが求められる。このような選択手法として、例えば、主成分分析(PCA; Principal Component Analysis)が利用可能である。主成分分析によれば、複数の特徴量の線形結合を含んだ相関の低い第2の特徴量群が選択される。
この例では、第1の特徴量群であるf1及びf2を用いて、教師データによって学習された識別境界線Aによって、各フローデータがフォアグラウンド通信(FG traffic)とバックグラウンド通信(BG traffic)とに識別されている。
例えば、第1四分位値Q1、第3四分位値Q3、及びIQR=Q3−Q1に対して、下側閾値を「Q1−1.5×IQR」、上側閾値を「Q1+1.5×IQR」として、下側閾値より小さい値又は上側閾値より大きい値が外れ値と判定される。
ここで、より確度の高い外れ値を検出するために係数は適宜調整されてよく、例えば、下側閾値を「Q1−3×IQR」、上側閾値を「Q1+3×IQR」としてもよい。
このとき、調整部15は、演算の効率化のため、複数の外れ値を同質性によりクラスタ化し、クラスタ単位でマージの処理を行ってもよい。
・クラスタOjの要素xkがクラスCiに属していないこと(For all xk∈Oj, !(xk∈Ci))。
・マージしたクラスの同質性が十分に高い、すなわち、クラスタOjをクラスCiにマージすることにより同質性が向上する、又は同質性の低下率が所定未満であること。
この例では、識別機2により、フローデータがC1及びC2の2つのクラスに分類されている。
本実施形態の効果を、以下の手順により評価した。
(2−1)教師データセットDからCfsSubsetEvalにより、F1特徴量群を持つデータセットD’を選択する。
(2−2)D’から各クラス20サンプルずつ抽出し、テスト用データDtest1とする。
(2−3)残りを学習用データDtrainとする(Dtrain=D’−Dtest1)。
(2−4)Dtrainを用いてJ48等により学習を行い、識別機2を得る。
(2−5)識別機2により、Dtest1の識別を行い、識別結果C={C1,C2}を得る。
(2−6)識別結果Cに対して性能指標を算出する。
・現実の値!Xに対して判定結果X: FP(False Positive)
・現実の値Xに対して判定結果!X: TP(False Negative)
・現実の値!Xに対して判定結果!X: TP(True Negative)
P(Precision)=TP/(TP+FP)
R(Recall)=TP/(TP+FN)
F−score=2×P×R/(P+R)
(3−1)教師データセットDから、主成分分析により、F2特徴量群を持つデータ・セットD”を選択する。
(3−2)D”から20サンプルを抽出し、テスト用データDtest2とする。ここで、D’とD”とは同一のトラヒックフローについてのデータであるが、互いに異なる特徴量を持つ。
(4−1)前述した識別結果の調整方法(図3)により、調整後のクラスC’を得る。
(4−2)C’に対して性能指標の再評価を行う。
(4−3)調整前と調整後との性能指標を比較する。
上段は、F1特徴量群のみにより識別した場合の評価結果である。具体的には、種別a及び種別bのそれぞれ20サンプル(Dtest1)に対して、識別機2による識別結果(a又はb)、評価指標(P,R,F−score)及びF−scoreの調和平均が記載されている。
また、検証装置1は、第2の特徴量群として、互いの相関の平均値が低くなる特徴量を選択できるので、検証精度及び処理効率を向上できる。
このとき、検証装置1は、主成分分析を用いることにより、特徴量の線形結合を含んだ第2の特徴量群を選択できる。これにより、検証装置1は、第1の特徴量群と共通の要素を利用して検証用の第2の特徴量群を生成できる。
また、検証装置1は、マージ処理後のクラスタを更にクラスタ化することにより、調整結果の精度を向上できる。さらに、検証装置1は、分離された小さなクラスタを新たな種別の可能性があるクラスとして提示することができる。
11 取得部
12 選択部
13 検出部
14 評価部
15 調整部
Claims (10)
- トラヒックのフロー毎の複数種類の特徴量のうち、第1の特徴量群に基づいて、当該フローの種別を識別する識別機から、識別結果を取得する取得部と、
前記識別結果が得られた同一フローにおける、前記複数種類の特徴量のうち前記第1の特徴量群とは異なる種類の第2の特徴量群を選択する選択部と、
前記第2の特徴量群に基づいて、前記識別結果である前記種別毎のフローの集合から外れ値を検出する検出部と、を備える検証装置。 - 前記検出部は、IQR(Inter Quatile Range)に基づいて、前記外れ値を検出する請求項1に記載の検証装置。
- 前記選択部は、前記複数種類の特徴量のうち、互いの相関の平均値が低くなる特徴量を選択する請求項1又は請求項2に記載の検証装置。
- 前記選択部は、前記複数種類の特徴量の線形結合を含んで前記第2の特徴量群を選択する請求項1から請求項3のいずれかに記載の検証装置。
- 前記第2の特徴量群に基づいて、複数のフローの同質性を評価する評価部と、
前記同質性の変化量に基づいて、前記外れ値を前記識別結果とは異なる種別にマージして前記識別結果を調整する調整部と、を備える請求項1から請求項4のいずれかに記載の検証装置。 - 前記調整部は、前記外れ値を前記同質性によりクラスタ化し、クラスタ単位で前記マージの処理を行う請求項5に記載の検証装置。
- 前記調整部は、前記マージの処理後のクラスタを、前記同質性により更にクラスタ化し、最大のクラスタを調整結果として出力する請求項6に記載の検証装置。
- 前記調整部は、前記最大のクラスタ以外のクラスタを、新たな種別として報知する請求項7に記載の検証装置。
- コンピュータの制御部が、
トラヒックのフロー毎の複数種類の特徴量のうち、第1の特徴量群に基づいて、当該フローの種別を識別する識別機から、識別結果を取得する取得ステップと、
前記識別結果が得られた同一フローにおける、前記複数種類の特徴量のうち前記第1の特徴量群とは異なる種類の第2の特徴量群を選択する選択ステップと、
前記第2の特徴量群に基づいて、前記識別結果である前記種別毎のフローの集合から外れ値を検出する検出ステップと、を実行する検証方法。 - コンピュータの制御部に、
トラヒックのフロー毎の複数種類の特徴量のうち、第1の特徴量群に基づいて、当該フローの種別を識別する識別機から、識別結果を取得する取得ステップと、
前記識別結果が得られた同一フローにおける、前記複数種類の特徴量のうち前記第1の特徴量群とは異なる種類の第2の特徴量群を選択する選択ステップと、
前記第2の特徴量群に基づいて、前記識別結果である前記種別毎のフローの集合から外れ値を検出する検出ステップと、を実行させるための検証プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015139498A JP6541482B2 (ja) | 2015-07-13 | 2015-07-13 | 検証装置、検証方法及び検証プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015139498A JP6541482B2 (ja) | 2015-07-13 | 2015-07-13 | 検証装置、検証方法及び検証プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017022593A JP2017022593A (ja) | 2017-01-26 |
JP6541482B2 true JP6541482B2 (ja) | 2019-07-10 |
Family
ID=57888432
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015139498A Active JP6541482B2 (ja) | 2015-07-13 | 2015-07-13 | 検証装置、検証方法及び検証プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6541482B2 (ja) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6849525B2 (ja) * | 2017-05-10 | 2021-03-24 | ソフトバンク株式会社 | データ監視装置、データ監視方法及びデータ監視プログラム |
CN108933706B (zh) * | 2017-05-23 | 2022-02-25 | 华为技术有限公司 | 一种监测数据流量的方法、装置及系统 |
JP6795529B2 (ja) * | 2018-02-15 | 2020-12-02 | Kddi株式会社 | 通信分析方法およびシステム |
JP7095624B2 (ja) * | 2019-02-27 | 2022-07-05 | 日本電信電話株式会社 | 識別装置及び識別プログラム |
CN112947263A (zh) * | 2021-04-20 | 2021-06-11 | 南京云玑信息科技有限公司 | 一种基于数据采集与编码管理控制系统 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5812282B2 (ja) * | 2011-12-16 | 2015-11-11 | 公立大学法人大阪市立大学 | トラヒック監視装置 |
US9954743B2 (en) * | 2013-08-12 | 2018-04-24 | Hewlett Packard Enterprise Development Lp | Application-aware network management |
JP6075241B2 (ja) * | 2013-08-16 | 2017-02-08 | 富士ゼロックス株式会社 | 処置判定装置、処置判定システム、処置判定プログラム及び処置判定方法 |
JP6153166B2 (ja) * | 2013-08-29 | 2017-06-28 | 公立大学法人大阪市立大学 | トラヒック監視装置及びプログラム、並びに、通信装置 |
-
2015
- 2015-07-13 JP JP2015139498A patent/JP6541482B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2017022593A (ja) | 2017-01-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6541482B2 (ja) | 検証装置、検証方法及び検証プログラム | |
US10885618B2 (en) | Inspection apparatus, data generation apparatus, data generation method, and data generation program | |
US9923912B2 (en) | Learning detector of malicious network traffic from weak labels | |
US10587632B1 (en) | Neural network-based malware detection | |
EP2817691B1 (en) | Automatic detection of suggested video edits | |
JP4727732B2 (ja) | 車両番号認識装置 | |
CN102236796B (zh) | 数字视频不良内容的分类方法和系统 | |
TWI776945B (zh) | 對半導體樣本中的缺陷進行分類之方法及其系統 | |
Gomes et al. | Learning recurring concepts from data streams with a context-aware ensemble | |
CN106649250B (zh) | 一种情感新词的识别方法及装置 | |
CN107729952B (zh) | 一种业务流分类方法及装置 | |
CN112528975A (zh) | 工业质检方法、装置和计算机可读存储介质 | |
CN108875365A (zh) | 一种入侵检测方法及入侵检测检测装置 | |
TWI615809B (zh) | 用於評價圖像信號處理器中實施的分類器的系統和方法 | |
JP5905375B2 (ja) | 誤分類検出装置、方法、及びプログラム | |
US20180039822A1 (en) | Learning device and learning discrimination system | |
US20220230028A1 (en) | Determination method, non-transitory computer-readable storage medium, and information processing device | |
CN111582502B (zh) | 一种样本迁移学习方法和装置 | |
CN110770753A (zh) | 高维数据实时分析的装置和方法 | |
CN105897503B (zh) | 基于资源信息增益的Hadoop集群瓶颈检测方法 | |
US9811726B2 (en) | Chinese, Japanese, or Korean language detection | |
CA3024183C (en) | Generating synthetic frame features for sentinel frame matching | |
US20190197046A1 (en) | Operational status classification device | |
Alampay et al. | Autocalibration of Outlier Threshold with Autoencoder Mean Probability Score | |
JP2021516386A (ja) | ワークを検出するための方法、装置、システム、プログラム、及び記憶媒体 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180223 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190128 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190212 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190311 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190604 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190611 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6541482 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |