JP6835703B2 - サイバー攻撃検知システム、特徴量選定システム、サイバー攻撃検知方法、及びプログラム - Google Patents
サイバー攻撃検知システム、特徴量選定システム、サイバー攻撃検知方法、及びプログラム Download PDFInfo
- Publication number
- JP6835703B2 JP6835703B2 JP2017231552A JP2017231552A JP6835703B2 JP 6835703 B2 JP6835703 B2 JP 6835703B2 JP 2017231552 A JP2017231552 A JP 2017231552A JP 2017231552 A JP2017231552 A JP 2017231552A JP 6835703 B2 JP6835703 B2 JP 6835703B2
- Authority
- JP
- Japan
- Prior art keywords
- feature amount
- feature
- packet
- attack detection
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
前記既知パケットの各特徴量の情報の重要度を算出し、重要度が上位の特徴量を選定する特徴量選定部と、
前記選定した特徴量から機械学習の学習モデルを作成する特徴量学習部と、
前記特徴量抽出部により抽出される判別対象パケットの特徴量と前記学習モデルとから、当該判別対象パケットがサイバー攻撃に係るパケットか否かを判別して判別結果を出力する攻撃判別部と、を備えるサイバー攻撃検知システムであって、
前記特徴量選定部は、特徴量を抽出する対象となるパケットのヘッダ情報に含まれる特徴量のうち、カテゴリデータの特徴量をダミー変数化し、数値データの特徴量とカテゴリデータの特徴量のそれぞれについて、重要度が上位の特徴量の選定を行う
ことを特徴とするサイバー攻撃検知システムが提供される。
図2に、本実施の形態におけるサイバー攻撃検知システム100の機能構成図を示す。図2に示すように本実施の形態におけるサイバー攻撃検知システム100は、特徴量抽出部110(既知パケット用と判別対象パケット用が含まれる)、特徴量選定部120(カテゴリデータ用と数値データ用が含まれる)、特徴量学習部130、攻撃判別部140を含む。なお、サイバー攻撃検知システム100は、ネットワーク上のパケットを取得可能であれば、ネットワークのどこに設置しても構わない。
図4は、サイバー攻撃検知システム100の詳細構成図を示す。図4を参照して、サイバー攻撃検知システム100における各機能部の詳細を説明する。
図4に示すように、特徴量抽出部110は、パケット入力部111、既知パケット特徴量抽出部112、判別パケット特徴量抽出部113、カテゴリデータ特徴量変換部114、特徴量出力部115を備える。
特徴量選定部120は、特徴量入力部121、既知パケット特徴量重要度算出部122、既知パケット特徴量選定部123、選定特徴量出力部124を備える。
特徴量学習部130は、特徴量選定結果入力部131、特徴量学習処理部132、学習モデル出力部133を備える。
攻撃判別部140は、学習モデル入力部141、学習モデル記録部142、特徴量入力部143、攻撃判別部144、及び判別結果出力部145を備える。
ポイント1は、特徴量の情報の重要度を算出するだけで、攻撃検知に有効な特徴量を選定する点である。
<ポイント2>
ポイント2は、攻撃検知に関して重要な意味合いを持つカテゴリデータ特徴量を数値データ特徴量とは別の特徴量として扱う点である。
ポイント3は、カテゴリデータをダミー変数化することで、カテゴリデータ内の重要な特徴量を選定することとしている点である。図8は、ダミー変数化の概念を示す図である。図8に示すように、数量ではない情報(male, female等)を変数として表現する。
上述したサイバー攻撃検知システム100は、例えば、コンピュータに、本実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現可能である。また、特徴量選定システムも同様に、例えば、コンピュータに、本実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現可能である。ここでは、サイバー攻撃検知システム100や特徴量選定システム等の本発明に係る機能を含むシステムを処理システムと呼ぶことにする。
次に、サイバー攻撃検知システム100が不正アクセス攻撃を検知する動作例を説明する。なお、サイバー攻撃検知システム100は、サイバー攻撃全般を検知対象とすることが可能である。以下、学習フェーズと検知判別フェーズのそれぞれについて説明する。
学習フェーズでは、正常通信と攻撃通信の正解ラベル付きデータセットを特徴量選定及び機械学習の特徴量学習の学習用データとして利用する。また、攻撃通信には不正アクセス攻撃に関する既知のパケットも含んでおり、攻撃通信のパケットがどのような攻撃と関連するものかの正解ラベルが付与されている。
検知判別フェーズでは、特徴量抽出部110において、判別対象のパケットのヘッダ部分から特徴量選定部120で選定された特徴量のみを抽出する。この際に、カテゴリデータの特徴量の場合、ダミー変数化した後に、選定した特徴量の抽出を行う。
従来技術では、攻撃検知に用いるヘッダ情報の特徴量選定において、現実時間内での最適な選定が困難であり、攻撃検知精度が十分でない課題があったが、本実施の形態の技術によると、特徴量に関する情報の重要度の算出のみで現実時間内での最適な特徴量選定を実現し、計算量削減と攻撃検知精度の向上が可能となる。
以上、説明したように、本実施の形態により、既知パケットのヘッダ情報から特徴量を抽出する特徴量抽出部と、前記既知パケットの各特徴量の情報の重要度を算出し、重要度が上位の特徴量を選定する特徴量選定部と、前記選定した特徴量から機械学習の学習モデルを作成する特徴量学習部と、前記特徴量抽出部により抽出される判別対象パケットの特徴量と前記学習モデルとから、当該判別対象パケットがサイバー攻撃に係るパケットか否かを判別して判別結果を出力する攻撃判別部とを備えることを特徴とするサイバー攻撃検知システムが提供される。
110 特徴量抽出部
111 パケット入力部
112 既知パケット特徴量抽出部
113 判別パケット特徴量抽出部
114 カテゴリデータ特徴量変換部
115 特徴量出力部
120 特徴量選定部
121 特徴量入力部
122 既知パケット特徴量重要度算出部
123 既知パケット特徴量選定部
124 選定特徴量出力部
130 特徴量学習部
131 特徴量選定結果入力部
132 特徴量学習処理部
133 学習モデル出力部
140 攻撃判別部
141 学習モデル入力部
142 学習モデル記録部
143 特徴量入力部
144 攻撃判別部
145 判別結果出力部
150 ドライブ装置
151 記録媒体
152 補助記憶装置
153 メモリ装置
154 CPU
155 インターフェース装置
156 表示装置
157 入力装置
Claims (8)
- 既知パケットのヘッダ情報から特徴量を抽出する特徴量抽出部と、
前記既知パケットの各特徴量の情報の重要度を算出し、重要度が上位の特徴量を選定する特徴量選定部と、
前記選定した特徴量から機械学習の学習モデルを作成する特徴量学習部と、
前記特徴量抽出部により抽出される判別対象パケットの特徴量と前記学習モデルとから、当該判別対象パケットがサイバー攻撃に係るパケットか否かを判別して判別結果を出力する攻撃判別部と、を備えるサイバー攻撃検知システムであって、
前記特徴量選定部は、特徴量を抽出する対象となるパケットのヘッダ情報に含まれる特徴量のうち、カテゴリデータの特徴量をダミー変数化し、数値データの特徴量とカテゴリデータの特徴量のそれぞれについて、重要度が上位の特徴量の選定を行う
ことを特徴とするサイバー攻撃検知システム。 - 前記特徴量抽出部は、前記判別対象パケットの特徴量として、当該判別対象パケットのヘッダ情報から前記特徴量選定部により選定された特徴量を抽出する
ことを特徴とする請求項1に記載のサイバー攻撃検知システム。 - 前記特徴量選定部は、グラフ構造の機械学習手法を用いることにより、各ノードに対応する特徴量の重要度を算出する
ことを特徴とする請求項1又は2に記載のサイバー攻撃検知システム。 - サイバー攻撃検知のために使用される特徴量を選定する特徴量選定システムであって、
既知パケットのヘッダ情報から特徴量を抽出する特徴量抽出部と、
前記既知パケットの各特徴量の情報の重要度を算出し、重要度が上位の特徴量を選定する特徴量選定部と、
前記選定した特徴量から機械学習の学習モデルを作成する特徴量学習部と、を備える特徴量選定システムであって、
前記特徴量選定部は、前記既知パケットのヘッダ情報に含まれる特徴量のうち、カテゴリデータの特徴量をダミー変数化し、数値データの特徴量とカテゴリデータの特徴量のそれぞれについて、重要度が上位の特徴量の選定を行う
ことを特徴とする特徴量選定システム。 - 前記特徴量選定部は、グラフ構造の機械学習手法を用いることにより、各ノードに対応する特徴量の重要度を算出する
ことを特徴とする請求項4に記載の特徴量選定システム。 - サイバー攻撃検知システムが実行するサイバー攻撃検知方法であって、
既知パケットのヘッダ情報から特徴量を抽出する学習用特徴量抽出ステップと、
前記既知パケットの各特徴量の情報の重要度を算出し、重要度が上位の特徴量を選定する特徴量選定ステップと、
前記選定した特徴量から機械学習の学習モデルを作成する特徴量学習ステップと、
判別対象パケットのヘッダ情報から特徴量を抽出する判別用特徴量抽出ステップと、
前記判別用特徴量抽出ステップにより抽出された判別対象パケットの特徴量と前記学習モデルとから、当該判別対象パケットがサイバー攻撃に係るパケットか否かを判別して判別結果を出力する攻撃判別ステップと、を備えるサイバー攻撃検知方法であって、
前記特徴量選定ステップにおいて、特徴量を抽出する対象となるパケットのヘッダ情報に含まれる特徴量のうち、カテゴリデータの特徴量をダミー変数化し、数値データの特徴量とカテゴリデータの特徴量のそれぞれについて、重要度が上位の特徴量の選定を行う
ことを特徴とするサイバー攻撃検知方法。 - コンピュータを、請求項1ないし3のうちいずれか1項に記載のサイバー攻撃検知システムにおける各部として機能させるためのプログラム。
- コンピュータを、請求項4又は5に記載の特徴量選定システムにおける各部として機能させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017231552A JP6835703B2 (ja) | 2017-12-01 | 2017-12-01 | サイバー攻撃検知システム、特徴量選定システム、サイバー攻撃検知方法、及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017231552A JP6835703B2 (ja) | 2017-12-01 | 2017-12-01 | サイバー攻撃検知システム、特徴量選定システム、サイバー攻撃検知方法、及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019102960A JP2019102960A (ja) | 2019-06-24 |
JP6835703B2 true JP6835703B2 (ja) | 2021-02-24 |
Family
ID=66974306
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017231552A Active JP6835703B2 (ja) | 2017-12-01 | 2017-12-01 | サイバー攻撃検知システム、特徴量選定システム、サイバー攻撃検知方法、及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6835703B2 (ja) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20220083910A1 (en) * | 2019-09-09 | 2022-03-17 | Rakuten Group, Inc. | Learning model applying system, a learning model applying method, and a program |
CN110830499B (zh) * | 2019-11-21 | 2021-08-27 | 中国联合网络通信集团有限公司 | 一种网络攻击应用检测方法和系统 |
JP7050042B2 (ja) * | 2019-12-12 | 2022-04-07 | Kddi株式会社 | 情報処理システムおよび情報処理方法 |
CN111314310B (zh) * | 2020-01-19 | 2021-02-12 | 浙江大学 | 一种基于机器学习的不可解析网络数据特征选择的攻击检测方法 |
CN111507385B (zh) * | 2020-04-08 | 2023-04-28 | 中国农业科学院农业信息研究所 | 一种可扩展的网络攻击行为分类方法 |
CN113505826B (zh) * | 2021-07-08 | 2024-04-19 | 西安电子科技大学 | 基于联合特征选择的网络流量异常检测方法 |
JP7273942B1 (ja) | 2021-12-28 | 2023-05-15 | 尚承科技股▲フン▼有限公司 | ネットワーク行為特徴を学習するネットワーク機器、処理システムおよび方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102821002B (zh) * | 2011-06-09 | 2015-08-26 | 中国移动通信集团河南有限公司信阳分公司 | 网络流量异常检测方法和系统 |
US10084752B2 (en) * | 2016-02-26 | 2018-09-25 | Microsoft Technology Licensing, Llc | Hybrid hardware-software distributed threat analysis |
JP6177410B1 (ja) * | 2016-11-07 | 2017-08-09 | 株式会社オプティマイザー | 電力需要調達支援システム、情報処理装置、情報処理方法および情報処理プログラム |
-
2017
- 2017-12-01 JP JP2017231552A patent/JP6835703B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2019102960A (ja) | 2019-06-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6835703B2 (ja) | サイバー攻撃検知システム、特徴量選定システム、サイバー攻撃検知方法、及びプログラム | |
Karatas et al. | Increasing the performance of machine learning-based IDSs on an imbalanced and up-to-date dataset | |
US10785241B2 (en) | URL attack detection method and apparatus, and electronic device | |
Muna et al. | Identification of malicious activities in industrial internet of things based on deep learning models | |
Talukder et al. | A dependable hybrid machine learning model for network intrusion detection | |
Karami | An anomaly-based intrusion detection system in presence of benign outliers with visualization capabilities | |
AU2018212470B2 (en) | Continuous learning for intrusion detection | |
JP6622928B2 (ja) | 悪意のあるbgpハイジャックの正確なリアルタイム識別 | |
Ghosh et al. | Proposed GA-BFSS and logistic regression based intrusion detection system | |
CN112019497B (zh) | 一种基于词嵌入的多阶段网络攻击检测方法 | |
Biswas et al. | Botnet traffic identification using neural networks | |
Wang et al. | A Few‐Shot Learning‐Based Siamese Capsule Network for Intrusion Detection with Imbalanced Training Data | |
Abirami et al. | Building an ensemble learning based algorithm for improving intrusion detection system | |
Saurabh et al. | Nfdlm: A lightweight network flow based deep learning model for ddos attack detection in iot domains | |
CN114866310A (zh) | 一种恶意加密流量检测方法、终端设备及存储介质 | |
Manzano et al. | Design of a machine learning based intrusion detection framework and methodology for iot networks | |
Hossain et al. | A novel hybrid feature selection and ensemble-based machine learning approach for botnet detection | |
WO2023163842A1 (en) | Thumbprinting security incidents via graph embeddings | |
Sabeel et al. | Unknown, Atypical and Polymorphic Network Intrusion Detection: A Systematic Survey | |
Shahbandayeva et al. | Network intrusion detection using supervised and unsupervised machine learning | |
Holman et al. | Toward home area network hygiene: device classification and intrusion detection for encrypted communications | |
Flanagan et al. | NetFlow anomaly detection though parallel cluster density analysis in continuous time-series | |
Sajani et al. | Analysing and Monitoring of Network IDS Using Intrusion Detection | |
Govindaraju | Towards Examining Supervised and Unsupervised Learning for IoT Attack Detection | |
CN113572785B (zh) | 一种用于核电工控系统的蜜罐防御方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191216 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201012 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201104 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201228 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210202 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210204 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6835703 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |