JP6647725B2 - Traffic generation device and traffic generation method - Google Patents

Traffic generation device and traffic generation method Download PDF

Info

Publication number
JP6647725B2
JP6647725B2 JP2017014953A JP2017014953A JP6647725B2 JP 6647725 B2 JP6647725 B2 JP 6647725B2 JP 2017014953 A JP2017014953 A JP 2017014953A JP 2017014953 A JP2017014953 A JP 2017014953A JP 6647725 B2 JP6647725 B2 JP 6647725B2
Authority
JP
Japan
Prior art keywords
traffic
pseudo
learning
unit
identification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017014953A
Other languages
Japanese (ja)
Other versions
JP2018125632A (en
Inventor
勇貴 南
勇貴 南
潤紀 市川
潤紀 市川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2017014953A priority Critical patent/JP6647725B2/en
Publication of JP2018125632A publication Critical patent/JP2018125632A/en
Application granted granted Critical
Publication of JP6647725B2 publication Critical patent/JP6647725B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本開示は、トラフィック群の持つ特徴と同じ特徴を持った擬似トラフィックを生成するトラフィック生成装置及びトラフィック生成方法に関する。   The present disclosure relates to a traffic generation device and a traffic generation method for generating pseudo traffic having the same characteristics as those of a traffic group.

現在、通信の高速化などに伴ってネットワークシステムにおいて送受信されるトラフィックは非常に膨大な量である。これらのトラフィックを保存もしくは送受信するためには膨大なリソース(ストレージ、ネットワーク帯域および送受信時間、電力など)を必要とする。例えば、現在では、数百GB・数TBのストレージや、数Gbpsの帯域と数時間などのリソースが必要となっている。   At present, traffic transmitted and received in a network system along with the increase in communication speed is extremely enormous. Huge resources (storage, network bandwidth and transmission / reception time, power, etc.) are required to store or transmit / receive these traffics. For example, at present, storage of several hundred GB and several TB, bandwidth of several Gbps, and resources such as several hours are required.

現状ではトラフィックそのものではなく、類似する擬似的なトラフィックもしくはトラフィックの持つ特徴のみが必要である場合でも、膨大なトラフィックの保存、通信が必要となっている(以降、あるトラフィック群に類似する擬似的なトラフィックもしくはトラフィックの持つ特徴の事をまとめて擬似トラフィックと呼ぶ)。   At present, even when only the pseudo traffic or similar characteristics of the traffic are required instead of the traffic itself, enormous traffic storage and communication are required (hereinafter, pseudo traffic similar to a certain traffic group). Traffic or characteristics of traffic are collectively called pseudo traffic).

また、トラフィックは多くの場合、機密情報を含んでいる。例えば利益獲得を目的としてトラフィックそのものを売買することはセキュリティの観点などから困難であることが多い。   Also, traffic often contains sensitive information. For example, it is often difficult to buy or sell traffic itself for the purpose of gaining profits from the viewpoint of security.

Goodfellow, Ian, Pouget−Abadie, Jean, Mirza, Mehdi, Xu, Bing, Warde−Farley, David, Ozair, Sherjil, Courville, Aaron and Bengio, Yoshua, “Generative Adversarial Nets”, NIPS2014Goodfellow, Ian, Pouget-Abadie, Jean, Mirza, Mehdi, Xu, Bing, Warde-Farley, David, Ozair, Sherville, Courvile, Aargon an.

本開示は、ネットワークシステムにおけるトラフィック群から学習を行い、学習したトラフィック群の持つ特徴と同じ特徴を持った擬似トラフィックを生成することを目的とする。   An object of the present disclosure is to perform learning from a traffic group in a network system and generate pseudo traffic having the same characteristics as those of the learned traffic group.

データを生成モデルの構築手法としてGANs(generative adversarial nets)が知られている(非特許文献1参照。)。そこで、本開示は、擬似トラフィックを生成するトラフィック生成システムにおいてGANsによる手法を用いた。   GANs (generative advanced nets) are known as a technique for constructing a model for generating data (see Non-Patent Document 1). Therefore, the present disclosure uses a method based on GANs in a traffic generation system that generates pseudo traffic.

より具体的には、本開示のトラフィック生成装置は、
ノイズデータを用いて擬似トラフィックを生成し、生成した擬似トラッフィクが学習トラフィックに似るように学習する擬似トラフィック生成モデル部と、
入力されたトラフィックが擬似トラフィックか学習トラフィックかを識別し、識別精度が高くなるように学習するトラフィック識別モデル部と、
前記トラフィック識別モデル部に入力されたトラフィックと前記トラフィック識別モデル部の識別結果が一致しているかを判定する識別結果判定部と、
前記トラフィック識別モデル部の識別結果と前記入力されたトラフィックが一致している場合、入力された学習トラフィックを基に前記擬似トラフィック生成モデル部における擬似トラフィックの生成に用いるパラメータを更新する更新部と、
を備える。 More specifically, the traffic generation device of the present disclosure includes:
A pseudo-traffic generation model unit that generates pseudo-traffic using the noise data and learns that the generated pseudo-traffic resembles learning traffic;
A traffic identification model unit that identifies whether the input traffic is pseudo traffic or learning traffic, and learns to increase the identification accuracy;
An identification result determination unit that determines whether the traffic input to the traffic identification model unit matches the identification result of the traffic identification model unit,
When the identification result of the traffic identification model unit and the input traffic match, an update unit that updates a parameter used for generating pseudo traffic in the pseudo traffic generation model unit based on the input learning traffic,
Is provided.

本開示のトラフィック生成装置では、前記更新部は、前記トラフィック識別モデル部の識別結果と前記入力されたトラフィックが一致していない場合、入力された学習トラフィックを基に前記トラフィック識別モデル部における識別に用いるパラメータを更新してもよい。   In the traffic generation device according to the present disclosure, when the identification result of the traffic identification model unit does not match the input traffic, the update unit may perform the identification in the traffic identification model unit based on the input learning traffic. The parameters used may be updated.

本開示のトラフィック生成装置では、学習用トラフィックの一部を前記学習トラフィックとして抽出し、抽出した学習トラフィックを前記トラフィック識別モデル部及び前記更新部に入力する学習トラフィック抽出部をさらに備えてもよい。   The traffic generation device according to the present disclosure may further include a learning traffic extraction unit that extracts a part of the learning traffic as the learning traffic and inputs the extracted learning traffic to the traffic identification model unit and the update unit.

本開示のトラフィック生成装置では、前記学習トラフィックの元となる学習用トラフィックの少なくとも一部を前記擬似トラフィックに結合させて結合擬似トラフィックを生成し、前記結合擬似トラフィックを前記トラフィック識別モデル部に入力する擬似トラフィック結合部をさらに備えてもよい。   In the traffic generation device according to the present disclosure, at least a part of the learning traffic that is the source of the learning traffic is combined with the pseudo traffic to generate the combined pseudo traffic, and the combined pseudo traffic is input to the traffic identification model unit. A pseudo traffic combining unit may be further provided.

より具体的には、本開示のトラフィック生成方法は、
擬似トラフィック生成モデル部が、ノイズデータを用いて擬似トラフィックを生成する擬似トラフィック生成ステップと、
トラフィック識別モデル部が、入力されたトラフィックが擬似トラフィックか学習トラフィックかを識別するトラフィック識別ステップと、
識別結果判定部が、前記トラフィック識別モデル部に入力されたトラフィックと前記トラフィック識別モデル部の識別結果が一致しているかを判定する識別結果判定ステップと、
更新部が、前記トラフィック識別モデル部の識別結果と前記入力されたトラフィックが一致している場合、入力された学習トラフィックを基に前記擬似トラフィック生成モデル部における疑似トラフィックの生成に用いるパラメータを更新する更新ステップと、
を実行する。 More specifically, the traffic generation method of the present disclosure includes:
A pseudo-traffic generation model unit that generates pseudo-traffic using the noise data;
A traffic identification step in which a traffic identification model unit identifies whether the input traffic is pseudo traffic or learning traffic;
An identification result determining unit that determines whether the traffic input to the traffic identification model unit matches the identification result of the traffic identification model unit,
When the identification result of the traffic identification model unit matches the input traffic, an update unit updates a parameter used for generating pseudo traffic in the pseudo traffic generation model unit based on the input learning traffic. An update step;
Execute

本開示のトラフィック生成方法では、
前記更新ステップにおいて、前記更新部が、前記トラフィック識別モデル部の識別結果と前記入力されたトラフィックが一致していない場合、入力された学習トラフィックを基に前記トラフィック識別モデル部における識別に用いるパラメータを更新してもよい。 In the traffic generation method of the present disclosure,
In the updating step, when the identification result of the traffic identification model unit and the input traffic do not match, the updating unit sets a parameter used for identification in the traffic identification model unit based on the input learning traffic. May be updated.

また、本開示のトラフィック生成方法では、 前記トラフィック識別ステップにおいて、学習トラフィック抽出部が、前記学習トラフィックの元となる学習用トラフィックの一部を前記学習トラフィックとして抽出し、抽出した学習トラフィックを前記トラフィック識別モデル部及び前記更新部に入力し、
前記更新ステップにおいて、更新部が、前記学習トラフィック抽出部の抽出した学習トラフィックを基に、前記擬似トラフィック生成モデル部における擬似トラフィックの生成に用いるパラメータを更新してもよい。 In the traffic generation method according to an embodiment of the present disclosure, in the traffic identification step, a learning traffic extracting unit extracts a part of learning traffic that is a source of the learning traffic as the learning traffic, and extracts the extracted learning traffic as the traffic. Input to the identification model part and the updating part,
In the updating step, the updating unit may update a parameter used for generating pseudo traffic in the pseudo traffic generation model unit based on the learning traffic extracted by the learning traffic extracting unit.

本開示のトラフィック生成方法では、前記擬似トラフィック生成ステップにおいて、擬似トラフィック結合部が、前記学習トラフィックの元となるトラフィックの少なくとも一部を前記擬似トラフィックに結合させて結合擬似トラフィックを生成し、前記結合擬似トラフィックを前記トラフィック識別モデル部に入力してもよい。   In the traffic generation method according to an embodiment of the present disclosure, in the pseudo traffic generation step, the pseudo traffic combining unit generates combined pseudo traffic by combining at least a part of the traffic that is a source of the learning traffic with the pseudo traffic. Pseudo traffic may be input to the traffic identification model unit.

本開示のトラフィック生成プログラムは、本開示に係るトラフィック生成装置に備わる各機能をコンピュータに実現させるためのプログラムであり、本開示に係るトラフィック生成方法に備わる各ステップをコンピュータに実行させるためのプログラムである。本開示のトラフィック生成プログラムは、コンピュータ読み取り可能な記録媒体に記録されていてもよい。   The traffic generation program according to the present disclosure is a program for causing a computer to realize each function included in the traffic generation device according to the present disclosure, and is a program for causing a computer to execute each step included in the traffic generation method according to the present disclosure. is there. The traffic generation program of the present disclosure may be recorded on a computer-readable recording medium.

なお、上記各開示は、可能な限り組み合わせることができる。   The above disclosures can be combined as much as possible.

本開示によれば、ネットワークシステムにおけるトラフィック群から学習を行い、学習したトラフィック群の持つ特徴と同じ特徴を持った擬似トラフィックを生成することができる。   According to the present disclosure, learning can be performed from a traffic group in a network system, and pseudo traffic having the same characteristics as those of the learned traffic group can be generated.

本実施形態に係るトラフィック生成装置の第一例である。It is the 1st example of the traffic generator concerning this embodiment. 本実施形態に係る擬似トラフィック生成モデル部の一例である。It is an example of a pseudo traffic generation model unit according to the present embodiment. 本実施形態に係るトラフィック識別モデル部の一例である。It is an example of a traffic identification model unit according to the present embodiment. 本実施形態に係る学習フローの一例である。It is an example of a learning flow according to the present embodiment. 本実施形態に係るトラフィック生成装置の第二例である。It is a second example of the traffic generation device according to the present embodiment. 本実施形態に係るトラフィック生成装置の第三例である。It is the 3rd example of the traffic generator concerning this embodiment.

以下、本開示の実施形態について、図面を参照しながら詳細に説明する。なお、本開示は、以下に示す実施形態に限定されるものではない。これらの実施の例は例示に過ぎず、本開示は当業者の知識に基づいて種々の変更、改良を施した形態で実施することができる。なお、本明細書及び図面において符号が同じ構成要素は、相互に同一のものを示すものとする。   Hereinafter, embodiments of the present disclosure will be described in detail with reference to the drawings. Note that the present disclosure is not limited to the embodiments described below. These embodiments are merely examples, and the present disclosure can be implemented in various modified and improved forms based on the knowledge of those skilled in the art. In the specification and the drawings, components having the same reference numerals indicate the same components.

本開示は、一般的に画像生成などの用途で知られているGANsをトラフィック生成に応用した。GANsと呼ばれる手法を用いることで、学習するトラフィックのデータ構造について考慮することなく、擬似トラフィック生成モデルを実現することが可能となる。GANsを用いる事でデータ構造を意識せずに学習可能である。   The present disclosure applied GANs generally known for applications such as image generation to traffic generation. By using a method called GANs, a pseudo traffic generation model can be realized without considering the data structure of traffic to be learned. By using GANs, learning is possible without being aware of the data structure.

GANsでは、生成モデルとデータの真贋を判定する識別モデルが存在する。生成モデルでは識別モデルを騙すデータを生成することを目的とし、識別モデルは生成モデルが作成したデータを見抜くことを目的とし、互いに切磋琢磨して相互に学習させることで精度の高いデータを生成する。本開示は、トラフィック生成システムの生成モデルを構築する際に、擬似トラフィック生成モデルと生成トラフィックの真贋を判定するトラフィック識別モデルを相互に学習させるGANsと呼ばれる手法を用いることで、自動的に学習を行い擬似トラフィック生成モデルの精度を高めることが可能となる。   In GANs, there is an identification model for determining the authenticity of a generated model and data. The generation model aims to generate data that fools the identification model, and the identification model aims to find out the data created by the generation model, and to generate high-precision data by working together and learning from each other. The present disclosure automatically constructs a generation model of a traffic generation system by using a method called GANs in which a pseudo traffic generation model and a traffic identification model for determining the authenticity of generated traffic are mutually learned. It is possible to improve the accuracy of the pseudo traffic generation model.

学習トラフィック及び擬似トラフィックは、トラフィックに含まれる任意の単位のデータである。例えば、区切り無くパケット全体を対象としてもよいが、GANsをそのまま学習箇所をパケット全体に適用することはせず、Etherフレーム部分、IPヘッダ部分、ペイロード部分などに分割して学習させ、部分的なトラフィックの生成を可能とする構成としてもよい。これにより、トラフィック生成モデルの学習の際に、学習箇所をパケットの特定部分に絞りその他の箇所については固定値や後から設定可能とする事で、元トラフィックと異なっていてはならない部分「以外」の部分についてのみ擬似トラフィックを生成することが可能となる。   The learning traffic and the pseudo traffic are arbitrary units of data included in the traffic. For example, the entire packet may be targeted without delimiters, but the learning part is not applied to the entire packet as it is, and the GANs are divided into an Ether frame portion, an IP header portion, a payload portion, and the like, and the learning is performed. It is good also as composition which enables generation of traffic. In this way, when learning the traffic generation model, the learning part is narrowed down to a specific part of the packet, and other parts can be set to a fixed value or can be set later. It is possible to generate the pseudo traffic only for the portion of.

具体的には、IPヘッダのFlagsの1bit目(必ず0になる)などの、値が固定値になっているものや、ヘッダチェックサムなどの、パケットヘッダ確定後に計算する必要があるものなどから擬似トラフィックを生成するため、区切り有りがあるように設定した。ただし、IP、Ether、ペイロード等の大まかな区切りで学習することで部分的に学習することも可能である。   More specifically, the values are fixed values, such as the first bit of the Flags of the IP header (always 0), or the values that need to be calculated after the packet header is determined, such as the header checksum. In order to generate pseudo traffic, it was set to have a break. However, it is also possible to partially learn by learning at rough breaks such as IP, Ether, and payload.

さらに特定のビット(IPバージョンやフラグなど)については、設定可能とすることで壊れていないパケットを生成可能である。IPのバージョン、フラグなど、特定の箇所については固定値や設定可能とする構成とした。トラフィック生成モデルの活性化関数に一般によく用いられるReLUではなくTahnを用いる事で学習精度を向上することができる。   Further, by setting a specific bit (IP version, flag, and the like), an unbroken packet can be generated. Specific parts such as IP versions and flags are configured to have fixed values and can be set. The learning accuracy can be improved by using Tahn instead of ReLU, which is generally used for the activation function of the traffic generation model.

また、トラフィック生成モデルの活性化関数にドロップアウトの割合(0≦rate<1)を一般によく用いられる0.5などの値ではなく、0.99などの非常に大きな値を用いることで過学習を防ぎ、学習の精度を向上することができる。   In addition, overlearning is performed by using a very large value such as 0.99 instead of the commonly used value such as 0.5 for the dropout ratio (0 ≦ rate <1) as the activation function of the traffic generation model. Can be prevented and learning accuracy can be improved.

(実施形態1)
図1は、本実施形態に係るトラフィック生成装置の第一例である。トラフィック生成装置100は、擬似トラフィック生成モデル部11、トラフィック識別モデル部12、識別結果判定部13を備える。識別結果判定部13は、識別結果判定部及び更新部として機能する。擬似トラフィック生成モデル部11及びトラフィック識別モデル部12が深層学習すなわちDNN(Deep Neural Network)などの学習機能を有する。トラフィック生成装置100に備わるこれらの機能部は、コンピュータにモデル学習プログラム10を実行させることで実現する。 (Embodiment 1)
FIG. 1 is a first example of a traffic generation device according to the present embodiment. The traffic generation device 100 includes a pseudo traffic generation model unit 11, a traffic identification model unit 12, and an identification result determination unit 13. The identification result determination unit 13 functions as an identification result determination unit and an update unit. The pseudo traffic generation model unit 11 and the traffic identification model unit 12 have a learning function such as deep learning, that is, a DNN (Deep Neural Network). These functional units provided in the traffic generation device 100 are realized by causing a computer to execute the model learning program 10.

擬似トラフィック生成モデル部11は、ノイズデータを用いて擬似トラフィックを生成するためのモデル部である。ノイズデータは、擬似トラフィック生成モデル部11の入力であり、擬似トラフィックを生成する際のシーズとなるデータである。ノイズデータは、学習トラフィックとは異なる任意のデータ列を用いることができ、例えば、乱数データを用いることができる。   The pseudo traffic generation model unit 11 is a model unit for generating pseudo traffic using noise data. The noise data is an input to the pseudo traffic generation model unit 11 and is data serving as a seed when generating pseudo traffic. As the noise data, an arbitrary data sequence different from the learning traffic can be used. For example, random data can be used.

トラフィック識別モデル部12は、入力されたトラフィックが擬似トラフィック生成モデル部11から出力された擬似トラフィックか、学習トラフィックか、を識別するためのモデル部である。ここで、学習トラフィックは、擬似トラフィック生成モデル部11およびトラフィック識別モデル部12の学習を実施するためのデータである。学習トラフィックは、例えば、トラフィック保存に広く用いられているpcapファイルから読みだしたトラフィックが挙げられる。   The traffic identification model unit 12 is a model unit for identifying whether the input traffic is the pseudo traffic output from the pseudo traffic generation model unit 11 or the learning traffic. Here, the learning traffic is data for performing learning of the pseudo traffic generation model unit 11 and the traffic identification model unit 12. The learning traffic includes, for example, traffic read from a pcap file widely used for storing traffic.

識別結果判定部13は、トラフィック識別モデル部12に入力されたトラフィックと、トラフィック識別モデル部12が判定した識別結果が一致しているかを判定することで、トラフィック識別モデル12の識別結果の正誤を判定する。   The identification result determination unit 13 determines whether the traffic input to the traffic identification model unit 12 matches the identification result determined by the traffic identification model unit 12 to determine whether the identification result of the traffic identification model 12 is correct. judge.

例えば、トラフィック識別モデル部12に擬似トラフィックが入力されて、トラフィック識別モデル部12が入力された擬似トラフィックを擬似トラフィックと判定した場合、識別結果判定部13は、トラフィック識別モデル部12に入力されたトラフィックとトラフィック識別モデル部12の識別結果が一致しているため、トラフィック識別モデル12の識別結果を正しいと判断する。   For example, when pseudo traffic is input to the traffic identification model unit 12 and the traffic identification model unit 12 determines the input pseudo traffic as pseudo traffic, the identification result determination unit 13 inputs the pseudo traffic to the traffic identification model unit 12. Since the traffic and the identification result of the traffic identification model unit 12 match, it is determined that the identification result of the traffic identification model 12 is correct.

逆に、トラフィック識別モデル部12に擬似トラフィックが入力されて、トラフィック識別モデル部12が入力された擬似トラフィックを学習トラフィックと判定した場合、識別結果判定部13は、トラフィック識別モデル部12に入力されたトラフィックとトラフィック識別モデル部12の識別結果が一致しないため、トラフィック識別モデル12の識別結果を誤りと判断する。   Conversely, when pseudo traffic is input to the traffic identification model unit 12 and the traffic identification model unit 12 determines that the input pseudo traffic is learning traffic, the identification result determination unit 13 is input to the traffic identification model unit 12. Since the traffic and the identification result of the traffic identification model unit 12 do not match, the identification result of the traffic identification model 12 is determined to be incorrect.

また、識別結果判定部13は、トラフィック識別モデル12の識別結果の正誤判定及び入力された学習トラフィックに基づいて擬似トラフィック生成モデル部11又はトラフィック識別モデル部12の誤差を計算する。例えば、識別結果が正しいと判断された場合、識別結果判定部13は擬似トラフィック生成モデル部11の誤差を計算する。また、識別結果が誤りと判断された場合、識別結果判定部13はトラフィック識別モデル12の誤差を計算する。   Further, the identification result determination unit 13 calculates an error of the pseudo traffic generation model unit 11 or the traffic identification model unit 12 based on whether the identification result of the traffic identification model 12 is correct or not and based on the input learning traffic. For example, when it is determined that the identification result is correct, the identification result determination unit 13 calculates an error of the pseudo traffic generation model unit 11. If the identification result is determined to be incorrect, the identification result determination unit 13 calculates an error of the traffic identification model 12.

識別結果判定部13は、計算した誤差に応じて、擬似トラフィック生成モデル部11又はトラフィック識別モデル部12を更新する。識別結果判定部13が擬似トラフィック生成モデル部11の誤差を計算した場合、識別結果判定部13は擬似トラフィック生成モデル部11における擬似トラフィックの生成に用いるパラメータを更新する。また、識別結果判定部13がトラフィック識別モデル部12の誤差を計算した場合、識別結果判定部13はトラフィック識別モデル部12における識別に用いるパラメータを更新する。   The identification result determination unit 13 updates the pseudo traffic generation model unit 11 or the traffic identification model unit 12 according to the calculated error. When the identification result determination unit 13 calculates an error of the pseudo traffic generation model unit 11, the identification result determination unit 13 updates parameters used for generating pseudo traffic in the pseudo traffic generation model unit 11. When the identification result determination unit 13 calculates an error of the traffic identification model unit 12, the identification result determination unit 13 updates parameters used for identification in the traffic identification model unit 12.

〔トラフィック生成モデル部〕
図2は、本実施形態に係る擬似トラフィック生成モデル部11の一例を示す。擬似トラフィック生成モデル部11は、ノイズデータを用いて擬似トラフィックを生成し、生成した擬似トラッフィクが学習トラフィックに似るように学習する機能を有する。例えば、擬似トラフィック生成モデル部11は、入力層31、隠れ層32、出力層33を備える。入力層31は、トラフィック生成のシーズとなるノイズデータを入力するための層である。隠れ層32は、トラフィックの特徴を学習し、重み付けの変更などを行う層である。 [Traffic generation model]
FIG. 2 shows an example of the pseudo traffic generation model unit 11 according to the present embodiment. The pseudo-traffic generation model unit 11 has a function of generating pseudo-traffic using noise data and learning so that the generated pseudo-traffic resembles learning traffic. For example, the pseudo traffic generation model unit 11 includes an input layer 31, a hidden layer 32, and an output layer 33. The input layer 31 is a layer for inputting noise data serving as a seed for generating traffic. The hidden layer 32 is a layer that learns the characteristics of the traffic and changes the weight.

ここで、トラフィックの特徴としては、パケット内の各bitの分布確率が挙げられる。重みづけとしては、例えば、深層学習において、入力層31のノード31A−1と隠れ層32のノード32A−2との間、隠れ層32のノード32A−2と次の隠れ層32のノード32Bn−1との間、隠れ層32のノード32Bn−1と出力層33のノード33A−nとの間を接続している各リンクにおいて、重みづけがなされていることが挙げられる。   Here, the characteristics of the traffic include the distribution probability of each bit in the packet. As the weighting, for example, in deep learning, between the node 31A-1 of the input layer 31 and the node 32A-2 of the hidden layer 32, the node 32A-2 of the hidden layer 32 and the node 32Bn- of the next hidden layer 32 1 is weighted for each link connecting between the node 32Bn-1 of the hidden layer 32 and the node 33A-n of the output layer 33.

出力層33は、擬似トラフィックが生成される層である。本実施形態における実装では、次元数はトラフィック生成モデル部11の生成する擬似トラフィックのビット数と同じにしている。   The output layer 33 is a layer in which pseudo traffic is generated. In the embodiment, the number of dimensions is the same as the number of bits of the pseudo traffic generated by the traffic generation model unit 11.

〔トラフィック識別モデル部〕
図3は、本実施形態に係るトラフィック識別モデル部12の一例を示す。トラフィック識別モデル部12は、入力されたトラフィックが擬似トラフィックか学習トラフィックかを識別し、識別精度が高くなるように学習する機能を有する。入力層41は、擬似トラフィック生成モデル部11が生成した擬似トラフィック又は学習トラフィックを入力するための層である。本実施形態における実装では、次元数は擬似トラフィック生成モデル部11の出力層33の次元数と同じである。 [Traffic identification model]
FIG. 3 shows an example of the traffic identification model unit 12 according to the present embodiment. The traffic identification model unit 12 has a function of identifying whether the input traffic is pseudo traffic or learning traffic, and learning so as to increase the identification accuracy. The input layer 41 is a layer for inputting pseudo traffic or learning traffic generated by the pseudo traffic generation model unit 11. In the implementation in the present embodiment, the number of dimensions is the same as the number of dimensions of the output layer 33 of the pseudo traffic generation model unit 11.

隠れ層42は、トラフィックの特徴を学習し、重み付けの変更などを行う層である。トラフィックの特徴及び重みづけは、擬似トラフィック生成モデル部11と同様である。出力層43は、識別結果を出力する層である。次元は実装方法によって異なる。   The hidden layer 42 is a layer that learns the characteristics of the traffic and changes the weight. The characteristics and weight of the traffic are the same as those of the pseudo traffic generation model unit 11. The output layer 43 is a layer that outputs the identification result. The dimensions depend on the implementation.

本実施形態では、2次元で学習トラフィックか擬似トラフィックかを識別する例を述べるが、DNNの次元は2次元で限定されるものではない。   In the present embodiment, an example is described in which learning traffic or pseudo traffic is identified in two dimensions, but the dimension of DNN is not limited to two dimensions.

〔学習フロー〕
図4に、本実施形態に係るトラフィック生成モデルの構築方法の一例を示す。本実施形態に係るトラフィック生成モデルのトラフィック生成方法は、トラフィック生成装置100が、擬似トラフィック生成ステップと、トラフィック識別ステップと、識別結果判定ステップと、更新ステップと、を順に実行する。擬似トラフィック生成ステップではステップS101を実行し、トラフィック識別ステップではステップS102を実行し、識別結果判定ステップではステップS103を実行し、更新ステップではステップS104〜109を実行する。 [Learning flow]
FIG. 4 shows an example of a method for constructing a traffic generation model according to the present embodiment. In the traffic generation method of the traffic generation model according to the present embodiment, the traffic generation device 100 sequentially executes a pseudo traffic generation step, a traffic identification step, an identification result determination step, and an update step. In the pseudo traffic generation step, step S101 is executed, in the traffic identification step, step S102 is executed, in the identification result determination step, step S103 is executed, and in the update step, steps S104 to 109 are executed.

擬似トラフィック生成モデル部11とトラフィック識別モデル部12の学習が進めばよく、実装の違いにより学習フローの各手順は前後する可能性がある。また、その他一般的な深層学習において用いられている学習フローに置き換わってもよい。トラフィック識別モデル部12が、学習トラフィックか擬似トラフィックであるかを判断し、擬似トラフィック生成モデル部11及びトラフィック識別モデル部12がどのように学習するかについては以下のとおりである。   The learning of the pseudo-traffic generation model unit 11 and the traffic identification model unit 12 may be advanced, and each procedure of the learning flow may be changed before or after due to a difference in implementation. Further, the learning flow may be replaced with a learning flow used in other general deep learning. The traffic identification model unit 12 determines whether the traffic is learning traffic or pseudo traffic, and how the pseudo traffic generation model unit 11 and the traffic identification model unit 12 learn is as follows.

ステップS100:擬似トラフィック生成モデル部11及びトラフィック識別モデル部12が学習を開始する。
ステップS101:擬似トラフィック生成モデル部11が入力されたノイズデータを基に、擬似トラフィックを生成して、トラフィック識別モデル部12に入力する。ここでは、プログラミング言語のライブラリとして用意されている乱数生成関数によって生成された乱数データをノイズデータとする。 Step S100: The pseudo traffic generation model unit 11 and the traffic identification model unit 12 start learning.
Step S101: The pseudo traffic generation model unit 11 generates pseudo traffic based on the input noise data and inputs the pseudo traffic to the traffic identification model unit 12. Here, random number data generated by a random number generation function prepared as a library of a programming language is used as noise data.

ステップS102:トラフィック識別モデル部12が、入力されたトラフィックが擬似トラフィックか、学習トラフィックかを識別し、識別結果を識別結果判定部13に入力する。   Step S102: The traffic identification model unit 12 identifies whether the input traffic is pseudo traffic or learning traffic, and inputs the identification result to the identification result determination unit 13.

ステップS103:識別結果判定部13が、トラフィック識別モデル部12に入力されたトラフィックに基づいて、トラフィック識別モデル部12の識別結果の正誤を判定する。ステップS101では、トラフィック識別モデル部12に擬似トラフィックを入力しているため、トラフィック識別モデル部12の識別結果が擬似トラフィックとした場合はトラフィック識別モデル部12の識別結果が正しく、トラフィック識別モデル部12の識別結果が学習トラフィックとした場合はトラフィック識別モデル部12の識別結果が誤りとなる。   Step S103: The identification result determination unit 13 determines whether the identification result of the traffic identification model unit 12 is correct based on the traffic input to the traffic identification model unit 12. In step S101, since the pseudo traffic is input to the traffic identification model unit 12, if the identification result of the traffic identification model unit 12 is pseudo traffic, the identification result of the traffic identification model unit 12 is correct, and the traffic identification model unit 12 If the identification result is learning traffic, the identification result of the traffic identification model unit 12 will be incorrect.

ステップS104:ステップS103におけるトラフィック識別モデル部12の識別結果が擬似トラフィックであるとしたとき、すなわちトラフィック識別モデル部12の識別結果が正しい場合、識別結果判定部13が擬似トラフィック識別モデル部12の識別結果と誤差計算用として識別結果判定部13に入力された学習トラフィックの誤差を計算する。識別結果判定部13が計算した誤差を擬似トラフィック生成モデル部11の誤差とする。擬似トラフィック生成モデル部11はこの誤差を小さくしようとする。   Step S104: If the identification result of the traffic identification model unit 12 in step S103 is pseudo traffic, that is, if the identification result of the traffic identification model unit 12 is correct, the identification result determination unit 13 identifies the pseudo traffic identification model unit 12. The error of the learning traffic input to the discrimination result determination unit 13 for calculating the result and the error is calculated. The error calculated by the identification result determination unit 13 is regarded as the error of the pseudo traffic generation model unit 11. The pseudo traffic generation model unit 11 tries to reduce this error.

ステップS105:識別結果部13が、ステップS104で測定した誤差に基づいて、学習トラフィックと擬似トラフィックの誤差を小さくしようと擬似トラフィック生成モデル部11における擬似トラフィックの生成に用いるパラメータを更新する。すなわち、学習によって、擬似トラフィック生成モデル部11が生成する擬似トラフィックが、学習トラフィックに近づいて誤差が小さくなるように、擬似トラフィック生成モデル部11における擬似トラフィックの生成に用いるパラメータを更新する。これにより、生成した擬似トラフィックが学習トラフィックに似るように、トラフィック識別モデル部12を学習させることができる。   Step S105: Based on the error measured in step S104, the identification result unit 13 updates a parameter used for generating pseudo traffic in the pseudo traffic generation model unit 11 so as to reduce the error between the learning traffic and the pseudo traffic. That is, the parameters used for generating the pseudo traffic in the pseudo traffic generation model unit 11 are updated so that the pseudo traffic generated by the pseudo traffic generation model unit 11 approaches the learning traffic and the error is reduced by learning. This allows the traffic identification model unit 12 to learn such that the generated pseudo traffic resembles the learning traffic.

擬似トラフィック生成モデル部11における擬似トラフィックの生成に用いるパラメータは、例えば、擬似トラフィック生成モデル部11における入力層、隠れ層、出力層の次元数や接続関係、重みづけ、発火の閾値などが挙げられる。   The parameters used to generate the pseudo traffic in the pseudo traffic generation model unit 11 include, for example, the number of dimensions of the input layer, the hidden layer, and the output layer in the pseudo traffic generation model unit 11, the connection relationship, the weight, the firing threshold, and the like. .

ステップS106:ステップS103におけるトラフィック識別モデル部12の識別結果が学習トラフィックとしたとき、すなわちトラフィック識別モデル部12の識別結果が誤りである場合、識別結果判定部13が擬似トラフィック識別モデル部12の識別結果と誤差計算用として識別結果判定部13に入力された学習トラフィックの誤差を計算する。識別結果判定部13が計算した誤差をトラフィック識別モデル部12の誤差としてとる。   Step S106: When the identification result of the traffic identification model unit 12 in step S103 is a learning traffic, that is, when the identification result of the traffic identification model unit 12 is incorrect, the identification result determination unit 13 identifies the pseudo traffic identification model unit 12. The error of the learning traffic input to the discrimination result determination unit 13 for calculating the result and the error is calculated. The error calculated by the identification result determination unit 13 is taken as the error of the traffic identification model unit 12.

ステップS107:識別結果部13が、ステップS106で測定したトラフィック識別モデル部12の誤差を小さくするようにトラフィック識別モデル部12における識別に用いるパラメータを更新する。つまり、トラフィック識別モデル部12は、擬似トラフィックをより高精度に識別できるように、トラフィック識別モデル部12における識別に用いるパラメータを更新される。これにより、識別精度が高くなるように、トラフィック識別モデル部12を学習させることができる。   Step S107: The identification result unit 13 updates parameters used for identification in the traffic identification model unit 12 so as to reduce the error of the traffic identification model unit 12 measured in step S106. That is, the traffic identification model unit 12 updates the parameters used for identification in the traffic identification model unit 12 so that the pseudo traffic can be identified with higher accuracy. Thereby, the traffic identification model unit 12 can be trained so that the identification accuracy is increased.

トラフィック識別モデル部12における識別に用いるパラメータとしては、例えば、トラフィック識別モデル部12における入力層、隠れ層、出力層の次元数や接続関係、重みづけなどが挙げられる。   The parameters used for identification in the traffic identification model unit 12 include, for example, the number of dimensions of the input layer, the hidden layer, the output layer, the connection relationship, and the weighting in the traffic identification model unit 12.

ステップS108:指定したステップ数の学習が完了したかどうかを判定する。指定したステップ数の学習が完了していない場合、再びステップS101の動作を行う。指定したステップ数の学習が完了した場合、ステップS109の動作に移る。   Step S108: It is determined whether learning of the specified number of steps has been completed. If the learning of the specified number of steps has not been completed, the operation of step S101 is performed again. When learning for the specified number of steps is completed, the operation moves to step S109.

ステップS109:学習フローに沿って学習を進め、学習完了後に擬似トラフィック生成モデル部11及びトラフィック識別モデル部12の更新を保存する(入力層、隠れ層、出力層の次元数や接続関係、重みづけなどのパラメータを保存する)。これにより、生成モデルの学習を終了する。   Step S109: The learning is advanced in accordance with the learning flow, and after the learning is completed, the updates of the pseudo-traffic generation model unit 11 and the traffic identification model unit 12 are stored (the number of dimensions, connection relation, weighting of the input layer, hidden layer, output layer) And save the parameters). This ends the generation model learning.

GANsを用いることで、非常に少ない手順で学習トラフィックから生成モデルを構築することができる。学習トラフィックを入力するだけで自動的に生成モデルと識別モデルが相互に学習しモデルの精度が高くなる。パケットの構造などを考慮せずにパケットの持つ特徴を抽出することが可能となる。   By using GANs, a generation model can be constructed from learning traffic with very few procedures. By simply inputting the learning traffic, the generation model and the identification model automatically learn from each other, and the accuracy of the model increases. It is possible to extract the characteristics of the packet without considering the packet structure and the like.

(実施形態2)
図5は、本実施形態に係るトラフィック生成装置の第二例を示す。本実施形態に係るモデル学習プログラムは、実施形態1と同様に擬似トラフィック生成モデル部11と、トラフィック識別モデル部12と、識別結果判定部13とを備え、新たに学習トラフィック抽出部14を備える。擬似トラフィック生成モデル部11、トラフィック識別モデル部12及び識別結果判定部13の構成、並びに、擬似トラフィック生成ステップ、トラフィック識別ステップ、識別結果判定ステップについては、実施形態1と同様である。 (Embodiment 2)
FIG. 5 shows a second example of the traffic generation device according to the present embodiment. The model learning program according to the present embodiment includes a pseudo traffic generation model unit 11, a traffic identification model unit 12, an identification result determination unit 13, and a new learning traffic extraction unit 14, as in the first embodiment. The configurations of the pseudo traffic generation model unit 11, the traffic identification model unit 12, and the identification result determination unit 13, and the pseudo traffic generation step, the traffic identification step, and the identification result determination step are the same as those in the first embodiment.

本実施形態の学習トラフィック抽出部14は、元となる学習用トラフィックを分割し、学習したい箇所のみを学習トラフィックとしてトラフィック識別モデル部12及び識別結果判定部13に入力として与えるための機能部である。トラフィックの学習箇所以外の部分は、学習用トラフィックから抽出しても良いし、別途生成しても良い。   The learning traffic extracting unit 14 of the present embodiment is a functional unit for dividing the original learning traffic and providing only a part to be learned as learning traffic to the traffic identification model unit 12 and the identification result determination unit 13 as an input. . The portion other than the learning part of the traffic may be extracted from the learning traffic or may be separately generated.

トラフィックの一部のみを学習する場合(例えばIPヘッダ部分のみを学習する場合)は学習トラフィック抽出部14を用いて元となる学習用トラフィックから抽出された学習トラフィックを用意する。この時に学習トラフィックの切り出された箇所と擬似トラフィックの生成する箇所は一致するようにモデルを構築する(次元数を合わせるなど)。   When learning only a part of the traffic (for example, when learning only the IP header part), the learning traffic extracted from the original learning traffic is prepared using the learning traffic extracting unit 14. At this time, a model is constructed so that the portion where the learning traffic is cut out and the portion where the pseudo traffic is generated match (for example, matching the number of dimensions).

(実施形態3)
図6は、本実施形態に係るトラフィック生成装置の第三例を示す。本実施形態に係るトラフィック生成装置100は、実施形態1に記載の擬似トラフィック生成モデル部11に代え、擬似トラフィック生成モデル部21及び擬似トラフィック結合部22を備える。擬似トラフィック生成モデル部21及び擬似トラフィック結合部22は、コンピュータにトラフィック生成プログラム20を実行させることで実現する。擬似トラフィック生成プログラム20は、実施形態1及び2において、保存されたモデルを用いて擬似トラフィックを生成する。 (Embodiment 3)
FIG. 6 shows a third example of the traffic generation device according to the present embodiment. The traffic generation device 100 according to the present embodiment includes a pseudo traffic generation model unit 21 and a pseudo traffic combining unit 22 instead of the pseudo traffic generation model unit 11 described in the first embodiment. The pseudo traffic generation model unit 21 and the pseudo traffic combining unit 22 are realized by causing a computer to execute the traffic generation program 20. In the first and second embodiments, the pseudo traffic generation program 20 generates pseudo traffic using the stored model.

擬似トラフィック生成モデル部21は、実施形態1及び2を実施して学習した擬似トラフィック生成モデル部11である。擬似トラフィック生成モデル部21は、擬似トラフィック生成モデル部11と同様にノイズデータを用いて擬似トラフィックを演算して、出力する。   The pseudo traffic generation model unit 21 is the pseudo traffic generation model unit 11 learned by implementing the first and second embodiments. The pseudo traffic generation model unit 21 calculates pseudo traffic using noise data and outputs the same as the pseudo traffic generation model unit 11.

擬似トラフィック結合部22は、擬似トラフィック生成モデル部21で生成された擬似トラフィックと、トラフィックの学習箇所以外の部分を組み合わせるための機能部である。擬似トラフィック生成モデル部21が生成した擬似トラフィックがトラフィックの一部のみである場合(たとえばIPヘッダのみ)、結合用トラフィックとしてトラフィックの残りの部分(たとえばEtherフレーム部分とペイロード部分)を用意して、擬似トラフィック結合部22においてそれらを結合することでIPパケットとして結合擬似トラフィックを生成する。   The pseudo traffic combining unit 22 is a functional unit for combining the pseudo traffic generated by the pseudo traffic generation model unit 21 with a part other than the traffic learning part. When the pseudo traffic generated by the pseudo traffic generation model unit 21 is only a part of the traffic (for example, only the IP header), the remaining part of the traffic (for example, the Ether frame part and the payload part) is prepared as the coupling traffic. The pseudo traffic combining unit 22 combines them to generate combined pseudo traffic as an IP packet.

トラフィック生成方法におけるトラフィック生成装置100の動作は、図4と同様である。ただし、図4における「生成された擬似トラフィック」は「結合擬似トラフィック」に代わる。ステップS102において、トラフィック識別モデル部12が、擬似トラフィック生成モデル部21が結合した結合擬似トラフィックを用いて、擬似トラフィックか、学習トラフィックかを識別する。   The operation of the traffic generation device 100 in the traffic generation method is the same as in FIG. However, the “generated pseudo traffic” in FIG. 4 replaces the “combined pseudo traffic”. In step S102, the traffic identification model unit 12 identifies the pseudo traffic or the learning traffic using the combined pseudo traffic combined with the pseudo traffic generation model unit 21.

なお、本実施形態では、モデル学習プログラム10と擬似トラフィック生成プログラム20を別々のプログラムとしたが、一つのプログラム内にかかれていても良い。   In the present embodiment, the model learning program 10 and the pseudo traffic generation program 20 are separate programs, but they may be included in one program.

〔発明によって生じる効果〕
GANsを用いることで、非常に少ない手順で学習トラフィックから擬似トラフィックの生成モデルを構築することができる。学習トラフィックを入力するだけで、自動的に擬似トラフィック生成モデル部11とトラフィック識別モデル部12が相互に学習し、擬似トラフィック生成モデル部11の精度が高くなる。また擬似トラフィック生成モデル部11を学習させることで、パケットの構造などを考慮せずにパケットの持つ特徴を抽出することが可能となる。ここで、トラフィック生成モデル部11及びトラフィック識別モデル部12に用いられる学習機能はDNNに限定されない。例えば、隠れ層が1層や2層のNN(Neural net)やRNN(Recurrent NN)であっても、本実施形態と同様の効果を得ることができる。 [Effects of the Invention]
By using GANs, a pseudo traffic generation model can be constructed from learning traffic with very few procedures. Simply by inputting the learning traffic, the pseudo traffic generation model unit 11 and the traffic identification model unit 12 automatically learn from each other, and the accuracy of the pseudo traffic generation model unit 11 increases. Further, by making the pseudo traffic generation model unit 11 learn, it is possible to extract the characteristics of the packet without considering the structure of the packet. Here, the learning function used for the traffic generation model unit 11 and the traffic identification model unit 12 is not limited to DNN. For example, even when the hidden layer is one layer or two layers of NN (Neural net) or RNN (Recurrent NN), the same effect as the present embodiment can be obtained.

擬似トラフィック生成モデル部11の学習後、擬似トラフィックを非常に軽量なノイズデータ(乱数、数十Byte)から生成することができる。学習済みの擬似トラフィック生成モデルもまた非常に軽量(数百kB)である。これによって、擬似トラフィックが必要な場合には、学習後に元のトラフィックを削除する事が可能となり、ストレージリソースを節約する事ができる。   After learning by the pseudo traffic generation model unit 11, pseudo traffic can be generated from extremely lightweight noise data (random numbers, several tens of bytes). The trained pseudo-traffic generation model is also very lightweight (several hundred kB). Thus, when pseudo traffic is required, the original traffic can be deleted after learning, and storage resources can be saved.

また、擬似トラフィックが必要な場合、トラフィックそのものを送受信する必要がなくなり、擬似トラフィック生成モデルの送信後にノイズからトラフィックを生成すれば良いため、帯域、時間を節約する事ができる。   Further, when pseudo traffic is required, it is not necessary to transmit and receive the traffic itself, and it is only necessary to generate traffic from noise after transmitting the pseudo traffic generation model, so that bandwidth and time can be saved.

また、擬似トラフィックはノイズデータから生成されるため、トラフィックそのものと類似しているが、全く同一ではない。このため、ネットワーク装置の試験において擬似トラフィックを用いることで、想定外のトラフィックが流れた際にバグが存在しないかテストする、ウイルス検知システムにおいて擬似トラフィックを用いることでウイルスに対して柔軟性を持った検知を可能とするようにウイルス検知システムの学習を行う、などの応用が可能となる。   Also, since the pseudo traffic is generated from the noise data, the pseudo traffic is similar to the traffic itself, but is not completely the same. For this reason, using pseudo-traffic in the test of network equipment tests whether there is a bug when unexpected traffic flows. Using pseudo-traffic in a virus detection system provides flexibility against viruses. Application such as learning of a virus detection system so as to enable detection.

また、利益獲得のためのトラフィック売買を考えた場合、トラフィックそのものではなく擬似トラフィックを売買することでセキュリティリスクを低減することができる。   In addition, when considering traffic trading for obtaining profits, security risks can be reduced by trading not traffic itself but pseudo traffic.

本開示は情報通信産業に適用することができる。   The present disclosure can be applied to the information and communication industry.

10:モデル学習プログラム
11、21:擬似トラフィック生成モデル部
12:トラフィック識別モデル部
13:識別結果判定部
14:学習トラフィック抽出部
20:擬似トラフィック生成プログラム
22:擬似トラフィック結合部
31、41:入力層
32、42:隠れ層
33、43:出力層
100:トラフィック生成装置 10: Model learning programs 11, 21: Pseudo traffic generation model unit 12: Traffic identification model unit 13: Identification result determination unit 14: Learning traffic extraction unit 20: Pseudo traffic generation program 22: Pseudo traffic coupling units 31, 41: Input layer 32, 42: hidden layer 33, 43: output layer 100: traffic generator

Claims (8)

ノイズデータを用いて擬似トラフィックを生成し、生成した擬似トラッフィクが学習トラフィックに似るように学習する擬似トラフィック生成モデル部と、
入力されたトラフィックが擬似トラフィックか学習トラフィックかを識別し、識別精度が高くなるように学習するトラフィック識別モデル部と、
前記トラフィック識別モデル部に入力されたトラフィックと前記トラフィック識別モデル部の識別結果が一致しているかを判定する識別結果判定部と、
前記トラフィック識別モデル部の識別結果と前記入力されたトラフィックが一致している場合、入力された学習トラフィックを基に前記擬似トラフィック生成モデル部における擬似トラフィックの生成に用いるパラメータを更新する更新部と、
を備えるトラフィック生成装置。 A pseudo-traffic generation model unit that generates pseudo-traffic using the noise data and learns that the generated pseudo-traffic resembles learning traffic;
A traffic identification model unit that identifies whether the input traffic is pseudo traffic or learning traffic, and learns to increase the identification accuracy;
An identification result determination unit that determines whether the traffic input to the traffic identification model unit matches the identification result of the traffic identification model unit,
When the identification result of the traffic identification model unit and the input traffic match, an update unit that updates a parameter used for generating pseudo traffic in the pseudo traffic generation model unit based on the input learning traffic,
A traffic generation device comprising: 前記更新部は、前記トラフィック識別モデル部の識別結果と前記入力されたトラフィックが一致していない場合、入力された学習トラフィックを基に前記トラフィック識別モデル部における識別に用いるパラメータを更新する、
請求項1に記載のトラフィック生成装置。 The updating unit, when the identification result of the traffic identification model unit and the input traffic do not match, updates a parameter used for identification in the traffic identification model unit based on the input learning traffic.
The traffic generation device according to claim 1. 学習用トラフィックの一部を前記学習トラフィックとして抽出し、抽出した学習トラフィックを前記トラフィック識別モデル部及び前記更新部に入力する学習トラフィック抽出部をさらに備える、
請求項1又は2に記載のトラフィック生成装置。 A learning traffic extracting unit configured to extract a part of learning traffic as the learning traffic and to input the extracted learning traffic to the traffic identification model unit and the updating unit;
The traffic generation device according to claim 1. 前記学習トラフィックの元となる学習用トラフィックの少なくとも一部を前記擬似トラフィックに結合させて結合擬似トラフィックを生成し、前記結合擬似トラフィックを前記トラフィック識別モデル部に入力する擬似トラフィック結合部をさらに備える、
請求項1から3のいずれかに記載のトラフィック生成装置。 A pseudo-traffic combining unit configured to generate combined pseudo-traffic by combining at least a part of the learning traffic that is a source of the learning traffic with the pseudo-traffic, and input the combined pseudo-traffic to the traffic identification model unit.
The traffic generation device according to claim 1. 擬似トラフィック生成モデル部が、ノイズデータを用いて擬似トラフィックを生成する擬似トラフィック生成ステップと、
トラフィック識別モデル部が、入力されたトラフィックが擬似トラフィックか学習トラフィックかを識別するトラフィック識別ステップと、
識別結果判定部が、前記トラフィック識別モデル部に入力されたトラフィックと前記トラフィック識別モデル部の識別結果が一致しているかを判定する識別結果判定ステップと、
更新部が、前記トラフィック識別モデル部の識別結果と前記入力されたトラフィックが一致している場合、入力された学習トラフィックを基に前記擬似トラフィック生成モデル部における疑似トラフィックの生成に用いるパラメータを更新する更新ステップと、
を実行するトラフィック生成方法。 A pseudo-traffic generation model unit that generates pseudo-traffic using the noise data;
A traffic identification step in which a traffic identification model unit identifies whether the input traffic is pseudo traffic or learning traffic;
An identification result determining unit that determines whether the traffic input to the traffic identification model unit matches the identification result of the traffic identification model unit,
When the identification result of the traffic identification model unit matches the input traffic, an update unit updates a parameter used for generating pseudo traffic in the pseudo traffic generation model unit based on the input learning traffic. An update step;
The traffic generation method to perform. 前記更新ステップにおいて、前記更新部が、前記トラフィック識別モデル部の識別結果と前記入力されたトラフィックが一致していない場合、入力された学習トラフィックを基に前記トラフィック識別モデル部における識別に用いるパラメータを更新する、
請求項5に記載のトラフィック生成方法。 In the updating step, when the identification result of the traffic identification model unit and the input traffic do not match, the updating unit sets a parameter used for identification in the traffic identification model unit based on the input learning traffic. Update,
The traffic generation method according to claim 5. 前記トラフィック識別ステップにおいて、学習トラフィック抽出部が、前記学習トラフィックの元となる学習用トラフィックの一部を前記学習トラフィックとして抽出し、抽出した学習トラフィックを前記トラフィック識別モデル部及び前記更新部に入力し、
前記更新ステップにおいて、更新部が、前記学習トラフィック抽出部の抽出した学習トラフィックを基に、前記擬似トラフィック生成モデル部における擬似トラフィックの生成に用いるパラメータを更新する、
請求項5又は6に記載のトラフィック生成方法。 In the traffic identification step, a learning traffic extraction unit extracts a part of learning traffic that is a source of the learning traffic as the learning traffic, and inputs the extracted learning traffic to the traffic identification model unit and the update unit. ,
In the updating step, based on the learning traffic extracted by the learning traffic extracting unit, an updating unit updates a parameter used for generating pseudo traffic in the pseudo traffic generation model unit.
The traffic generation method according to claim 5. 前記擬似トラフィック生成ステップにおいて、擬似トラフィック結合部が、前記学習トラフィックの元となるトラフィックの少なくとも一部を前記擬似トラフィックに結合させて結合擬似トラフィックを生成し、前記結合擬似トラフィックを前記トラフィック識別モデル部に入力する、
請求項5から7のいずれかに記載のトラフィック生成方法。 In the pseudo-traffic generation step, the pseudo-traffic combining unit generates combined pseudo-traffic by combining at least a part of the traffic that is the source of the learning traffic with the pseudo-traffic, To enter,
The traffic generation method according to claim 5.
JP2017014953A 2017-01-31 2017-01-31 Traffic generation device and traffic generation method Active JP6647725B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017014953A JP6647725B2 (en) 2017-01-31 2017-01-31 Traffic generation device and traffic generation method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017014953A JP6647725B2 (en) 2017-01-31 2017-01-31 Traffic generation device and traffic generation method

Publications (2)

Publication Number Publication Date
JP2018125632A JP2018125632A (en) 2018-08-09
JP6647725B2 true JP6647725B2 (en) 2020-02-14

Family

ID=63111661

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017014953A Active JP6647725B2 (en) 2017-01-31 2017-01-31 Traffic generation device and traffic generation method

Country Status (1)

Country Link
JP (1) JP6647725B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4060572A4 (en) 2019-12-26 2023-07-19 Telefónica, S.A. Computer-implemented method for accelerating convergence in the training of generative adversarial networks (gan) to generate synthetic network traffic, and computer programs of same

Also Published As

Publication number Publication date
JP2018125632A (en) 2018-08-09

Similar Documents

Publication Publication Date Title
US10484410B2 (en) Anomaly detection for micro-service communications
US10305776B2 (en) Network verification
US20190052656A1 (en) Automatic detection of network threats based on modeling sequential behavior in network traffic
AU2015201161B2 (en) Event correlation
US10608879B2 (en) Validation using natural language processing
US8949418B2 (en) Firewall event reduction for rule use counting
AU2017345769B2 (en) Systems and methods for scalable network modeling
US20100138375A1 (en) Graph-Based Data Search
CN110012037B (en) Network attack prediction model construction method based on uncertainty perception attack graph
Dowoo et al. PcapGAN: Packet capture file generator by style-based generative adversarial networks
CN115277102B (en) Network attack detection method and device, electronic equipment and storage medium
CN111935185B (en) Method and system for constructing large-scale trapping scene based on cloud computing
CN111835532A (en) Network authentication method and device
CN109582289A (en) The processing method of regular flow, system, storage medium and processor in regulation engine
Gogoi et al. A rough set–based effective rule generation method for classification with an application in intrusion detection
JP6647725B2 (en) Traffic generation device and traffic generation method
Petroulakis et al. Patterns for the design of secure and dependable software defined networks
US20230344755A1 (en) Determining flow paths of packets through nodes of a network
CN106411923B (en) Network risk assessment method based on ontology modeling
CN116915519A (en) Method, device, equipment and storage medium for tracing data stream
CN116599720A (en) Malicious DoH flow detection method and system based on GraphSAGE
Ji et al. Automatic reverse engineering of private flight control protocols of UAVs
CN114900362A (en) Extensible network attack detection method based on behavior diagram and Weisfeiler Lehman algorithm
CN113704078A (en) Method for constructing call chain conversion diagram and guiding generation of X.509 certificate variety
KR101548378B1 (en) Behavior signature generation system and method, and network traffic analyzation system and method with the same

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190306

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191216

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200107

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200108

R150 Certificate of patent or registration of utility model

Ref document number: 6647725

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150