JP7273942B1 - ネットワーク行為特徴を学習するネットワーク機器、処理システムおよび方法 - Google Patents
ネットワーク行為特徴を学習するネットワーク機器、処理システムおよび方法 Download PDFInfo
- Publication number
- JP7273942B1 JP7273942B1 JP2021213697A JP2021213697A JP7273942B1 JP 7273942 B1 JP7273942 B1 JP 7273942B1 JP 2021213697 A JP2021213697 A JP 2021213697A JP 2021213697 A JP2021213697 A JP 2021213697A JP 7273942 B1 JP7273942 B1 JP 7273942B1
- Authority
- JP
- Japan
- Prior art keywords
- feature
- information
- network
- unit
- learning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】ネットワーク行為特徴を学習するネットワーク機器、処理システム及び方法を提供する。
【解決手段】方法は、行為結果情報を特徴格納ユニットに格納するステップと、パケットキャプチャユニットが、ユーザ端末が提供したネットワークパケットをキャプチャし、パケット格納ユニットに格納するステップと、特徴キャプチャユニットが、さらにパケット格納ユニットからネットワークパケットを解析すると共に、特徴テンプレートによって相応の行為特徴情報を取得し、特徴格納ユニットに格納するステップと、処理ユニットが特徴格納ユニットから行為特徴情報および行為結果情報を取得し、学習収束情報を出力する学習モデルにインポートするステップと、処理ユニットが、学習収束情報に基づいて、特徴キャプチャユニットを調整するか、学習モデルを特徴認識モデルとして出力するかを決定するステップとを、含む。
【選択図】図4
【解決手段】方法は、行為結果情報を特徴格納ユニットに格納するステップと、パケットキャプチャユニットが、ユーザ端末が提供したネットワークパケットをキャプチャし、パケット格納ユニットに格納するステップと、特徴キャプチャユニットが、さらにパケット格納ユニットからネットワークパケットを解析すると共に、特徴テンプレートによって相応の行為特徴情報を取得し、特徴格納ユニットに格納するステップと、処理ユニットが特徴格納ユニットから行為特徴情報および行為結果情報を取得し、学習収束情報を出力する学習モデルにインポートするステップと、処理ユニットが、学習収束情報に基づいて、特徴キャプチャユニットを調整するか、学習モデルを特徴認識モデルとして出力するかを決定するステップとを、含む。
【選択図】図4
Description
本発明は、学習能力を有する電子機器、処理システムおよび方法に関し、特に、ネットワーク行為特徴を学習するネットワーク機器、処理システムおよび方法に関する。
インターネットの急速な発展に伴い、情報の転送を加速させるほか、多くの産業の行為が変えられている。インターネットでのセキュリティを確保するために、どのようにしてネットワーク攻撃を防ぐかが大きな課題となっている。従来のネットワーク攻撃を防ぐ手段としては、攻撃が発生してからパケットの解析を開始する。インターネットの転送方式の多様化によって、従来の単一型のネットワーク攻撃行為は、複合式の攻撃行為あるいは全く新しい攻撃方式に転換し始めた。しかしながら、このようなネットワーク攻撃行為に対して、従来のサーバやネットワーク機器は、事後の更新によってしか防ぐことができず、即座に攻撃を受けたことを通知することができないため、反応のタイミングを逸することになる。
これに鑑みて、前記の問題を有効に解決するために、本発明の主な目的は、学習能力を持つ電子機器、処理システムおよび方法であって、ネットワーク行為特徴を学習するネットワーク機器、処理システムおよび方法を提供することである。
前記目的を達成するために、本発明は、複数のネットワークパケットをキャプチャするパケットキャプチャユニットと、前記パケットキャプチャユニットに接続し、前記ネットワークパケットを格納するパケット格納ユニットと、前記パケット格納ユニットに接続し、少なくとも1つの特徴テンプレートで前記ネットワークパケットを解析すると共に、前記ネットワークパケットの少なくとも1つの行為特徴情報をキャプチャする特徴キャプチャユニットと、前記特徴キャプチャユニットに接続し、前記行為特徴情報を格納すると共に、複数の行為結果情報を別に格納する特徴格納ユニットと、前記行為特徴情報および行為結果情報を受信する処理ユニットと、前記少なくとも1つの行為特徴情報および行為結果情報に基づいて、学習収束情報を出力する学習モデルと、を含み、前記処理ユニットは、前記学習収束情報に基づいて、前記特徴キャプチャユニットを調整するか、前記学習モデルを特徴認識モデルとして出力するかを決定する、ネットワーク行為特徴を学習するネットワーク機器を提供する。
本発明に係るネットワーク行為特徴を学習するネットワーク機器の一実施例において、前記処理ユニットは、前記学習収束情報に基づいて前記特徴キャプチャユニットを調整することを決定し、前記特徴キャプチャユニットは、処理ユニットの調整要求によってその特徴テンプレートを調整し、前記特徴キャプチャユニットは、さらに、調整された特徴テンプレートで前記ネットワークパケットを解析し、前記ネットワークパケットの新しい行為特徴情報をキャプチャする。
本発明は、複数のネットワークパケットを送信する少なくとも1つのユーザ端末と、前記ネットワークパケットを受信する少なくとも1つのサーバ端末と、ネットワーク機器と、を含む、ネットワーク行為特徴を学習する処理システムを提供する。前記ネットワーク機器は、前記ユーザ端末および前記サーバ端末を通った前記ネットワークパッケージをキャプチャするパケットキャプチャユニットと、少なくとも1つの特徴テンプレートで前記ネットワークパケットを解析すると共に、前記ネットワークパケットの少なくとも1つの行為特徴情報をキャプチャする特徴キャプチャユニットと、前記ネットワークパケットを格納するパケット格納ユニットと、前記行為特徴情報および複数の行為結果情報を格納する特徴格納ユニットと、前記行為特徴情報および行為結果情報を受信すると共に、前記学習モデルに入力する処理ユニットと、前記少なくとも1つの行為特徴情報および行為結果情報に基づいて、学習収束情報を出力する学習モデルとを備える。前記処理ユニットは、前記学習収束情報に基づいて、前記特徴キャプチャユニットを調整するか、前記学習モデルを特徴認識モデルとして出力するかを決定する。
本発明に係るネットワーク行為特徴を学習する処理システムの一実施例において、前記処理ユニットは、前記学習収束情報に基づいて前記特徴キャプチャユニットを調整することを決定し、前記特徴キャプチャユニットは、処理ユニットの調整要求によってその特徴テンプレートを調整し、前記特徴キャプチャユニットは、さらに、調整された特徴テンプレートで前記ネットワークパケットを解析し、前記ネットワークパケットの新しい行為特徴情報をキャプチャする。
本発明に係るネットワーク行為特徴を学習する処理システムの一実施例において、前記サーバ端末は、異常行為検出器をさらに含み、前記異常行為検出器は、前記ネットワークパケットから少なくとも1つの異常行為情報を検出し、前記異常行為情報を行為解析ユニットに送信する。
本発明に係るネットワーク行為特徴を学習する処理システムの一実施例において、前記行為解析ユニットは、前記特徴キャプチャユニットおよびパケット格納ユニットに接続し、異常行為情報に基づいて前記パケット格納ユニット中の前記ネットワークパケットを解析し、特徴キャプチャユニットにその特徴テンプレートを調整するよう要求する。
本発明は、少なくとも1つの行為結果情報を特徴格納ユニットに格納するステップと、パケットキャプチャユニットが、少なくとも1つのユーザ端末が提供したネットワークパケットをキャプチャし、パケット格納ユニットに格納するステップと、特徴キャプチャユニットが、さらに、パケット格納ユニットからネットワークパケットを解析すると共に、少なくとも1つの特徴テンプレートによって相応の行為特徴情報を取得し、特徴格納ユニットに格納するステップと、処理ユニットが特徴格納ユニットから行為特徴情報および行為結果情報を取得し、学習収束情報を出力する学習モデルにインポートするステップと、前記処理ユニットは、学習収束情報に基づいて、前記特徴キャプチャユニットを調整するか、前記学習モデルを特徴認識モデルとして出力するかを決定するステップとを、含むネットワーク行為特徴を学習する処理方法を提供する。
本発明に係るネットワーク行為特徴を学習する処理方法の一実施例において、前記処理ユニットが学習収束情報に基づいて特徴キャプチャユニットを調整するステップは、前記特徴キャプチャユニットが、処理ユニットの調整要求によってその特徴テンプレートを調整するステップと、前記特徴キャプチャユニットは、さらに、調整された特徴テンプレートで前記ネットワークパケットを解析し、前記ネットワークパケットの新しい行為特徴情報をキャプチャするステップとを含む。
本発明に係るネットワーク行為特徴を学習する処理方法の一実施例において、さらに異常行為検出器を提供し、前記異常行為検出器は、前記ネットワークパケットから少なくとも1つの異常行為情報を検出し、前記異常行為情報を行為解析ユニットに送信する。
本発明に係るネットワーク行為特徴を学習する処理方法の一実施例において、前記行為解析ユニットは、異常行為情報に基づいて前記パケット格納ユニット中の前記ネットワークパケットを解析し、特徴キャプチャユニットにその特徴テンプレートを調整するよう要求する。
本発明の上記目的ならびその構造および機能的特徴については、添付図面の好ましい実施例に基づいて説明される。
図1を参照すると、図1は、本発明のオンラインでのファームウェアを更新する処理システムのシステムアーキテクチャ概略図であり、図からは、本発明に係るネットワーク行為特徴を学習する処理システムのシステムアーキテクチャ概略図であることが明らかである。
ネットワーク行為特徴を学習する処理システム100は、複数のユーザ端末110と、複数のサーバ端末120と、ネットワーク機器130とを含む。ネットワーク機器130は、ユーザ端末110とサーバ端末120との間にネットワークを介して接続されている。ネットワーク機器130は、ルータ、ゲートウェイ、リピータ、またはブリッジとすることができるが、これらに限定されない。
ユーザ端末110は、複数のネットワークパケット151をサーバ端末120に送信する。
ネットワーク機器130は、パケットキャプチャユニット131と、パケット格納ユニット133と、特徴キャプチャユニット132と、特徴格納ユニット136と、処理ユニット134と、学習モデル135とを有する。パケットキャプチャユニット131は、ユーザ端末110からサーバ端末120を通ったネットワークパケット151をキャプチャする。パケットキャプチャユニット131は、取得したネットワークパケット151をパケット格納ユニット133に転送し、ネットワークパケット151がパケット格納ユニット133に格納された。特徴キャプチャユニット132は、パッケージ格納ユニット133、特徴格納ユニット136および処理ユニット134に接続されている。
特徴キャプチャユニット132は、パケット格納ユニット133からネットワークパケット151を取得し、特徴テンプレート211によってネットワークパケット151から行為特徴情報152を取得する。特徴キャプチャユニット132は、個々のネットワークパケット151、所定数のネットワークパケット151、または所定時間帯に取得されたネットワークパケット151に基づいて解析を行い、行為特徴情報152を取得することができる。特徴テンプレート211は、送信側または受信側のネットワークパケット151の転送プロトコル、キャプチャ数、ヘッダ情報、転送ポート、転送時間、パケット内容、転送速度、転送方向、TCPフラグの回数、受信側、パケット数、パケット大きさ、到着間隔時間(inter arrival time)、データストリームアクティビティ時間、データストリームアイドル時間などを含む。例えば、図2に示すように、特徴キャプチャユニット132は、特徴テンプレート211によって前記ネットワークパケット中の行為特徴情報152を取得し、図2には、行為特徴情報152および特徴テンプレート211の内容であり、示された行為特徴情報152は、一組の量子化データ、マトリックスまたは画像である。特徴テンプレート211は、図2の実施例における4組に限定されるものではなく、学習モデル135の学習状況に応じて調整することができる。
特徴キャプチャユニット132は、取得した行為特徴情報152を特徴格納ユニット134に格納し、処理ユニット134は、特徴格納ユニット136から行為特徴情報152および行為結果情報153を取得して学習モデル135にインポートし、学習モデル135は、行為特徴情報152および行為結果情報153に基づいて学習を行う。ここで、学習モデル135は、人工知能(Artificial Intelligence)より構成され、人工知能は、人工ニューラルネットワーク、決定木、パーセプトロン、サポートベクターマシン(SVM)、整合学習、次元降下と度量学習、クラスタリング、ベイズ分類器、またはフィードフォワードニューラルネットワーク(Feed Forward Neural Network )などを含むが、それだけではない。また、行為結果情報153は、システム構築前に特徴格納ユニット136に取得、格納され、主に、外部アナライザによって既知のセキュリティユーザ端末111のネットワークパケット151を解析すると共に、外部アナライザによってその行為特徴情報152を取得し、これは正常な行為特徴情報152と見なすことができ、さらに、当該正常な行為特徴情報152に対応して正常な行為結果情報153を生成する。逆に、既知の悪意ユーザ端末112のネットワークパケット151に対して悪意のある行為結果情報153を解析し得て、これらの行為結果情報153を特徴格納ユニット136に格納する。行為結果情報153は、量子化データ、マトリックスまたは画像とすることができ、従来のフィードフォワードニューラルネットワークを例にすれば、正常な行為結果情報は整数1であり、悪意のある行為結果情報は整数0である。
学習モデル135は、受信した行為特徴情報152および行為結果情報153に基づいてネットワーク攻撃行為の学習を行い、学習モデル135は、学習の結果を学習収束情報として出力する。ここで、処理ユニット134は、特徴キャプチャユニット132および特徴格納ユニット136に接続され、処理ユニット134は、学習モデル135を実行する以外に、学習モデル135が出力した学習収束情報に基づいて評価を行い、その学習モデル135の学習収束情報が学習の目標に合致するかどうかを判断し、特徴キャプチャユニットを調整するか、学習モデルを特徴認識モデルとして出力するかを決定する。処理ユニット134は、学習モデル135の学習収束情報が学習の目標に合致すると判断すれば、特徴認識モデルを出力し、逆の場合、処理ユニット134は、特徴キャプチャユニット132を調整する。
学習収束情報は、収束状態と未収束状態の2つに大きく分けられる。学習収束情報が収束状態であれば学習目標に適合し、非収束状態であれば適合しない。例えば、処理ユニット134は、閾値0.9を予め設定し、学習収束情報が数値0.9を超えていれば収束状態に適合とし、逆に、出力される学習収束情報が0.5であれば非収束状態とし、ここで閾値が0.9であるが、0.9に限定されず、人工知能、行為結果情報153、または学習モデル135によって設定してもよい。なお、上述した収束、未収束状態は、人工知能、行為結果情報153、または学習モデル135によっても異なり、限定されるものではない。
その中、処理ユニット134は、特徴キャプチャユニット132を調整するとき、一定回数を学習しても、または、ある時間を取っても学習目標に合致しない場合、処理ユニット134は、特徴キャプチャユニット132に調整要求を発送し、特徴キャプチャユニット132は、調整要求によって特徴テンプレート211を調整し、換言すれば、特徴キャプチャユニット132は、従来の特徴テンプレート211の集合から別に新しい特徴テンプレート211を選択するか、或は、新たにネットワークパッケージ151から新しい特徴テンプレート211をキャプチャする。特徴キャプチャユニット132は、調整した特徴テンプレート211に基づいて、ネットワークパッケージ151を解析し、さらに、新しい特徴テンプレート211で新しい行為特徴情報152を取得し、学習モデル135の学習に用いるために特徴格納ユニット136に格納する。
また、別の方式で特徴キャプチャユニット132を調整することができ、図3に示すように、図3は、本発明のオンラインでのファームウェアを更新する処理システムの別のシステムアーキテクチャ概略図である。サーバ端末120は、異常行為検出器151をさらに含み、異常行為検出器121は、前記ネットワークパケット120から前記異常行為情報154を検出し、異常行為検出器121は、異常行為情報154を行為解析ユニット137に送信し、行為解析ユニット137は、特徴キャプチャユニット132およびパケット格納ユニット133に接続し、行為解析ユニット137は、異常行為情報154に基づいて、パケット格納ユニット133中のこれらのネットワークパケット151を解析し、特徴キャプチャユニット132に特徴テンプレート211を調整するように要求し、例えば、サーバ端末120の中央処理器の運転負荷が正常の場合には50%に維持するとすれば、サーバ端末120の運転負荷が急に90%まで高く上昇しかつ長期間に亘って運転されると、異常行為検出器121は、異常行為情報154と判断され、異常行為検出器121は、行為解析ユニット137に当該期間の異常行為情報154を送信し、行為解析ユニット137は、パケット格納ユニット137における当該期間のネットワークパケット151を解析し、解析結果に基づいて特徴キャプチャユニット132に対して特徴テンプレート133を調整するよう要求する。異常行為は、運転負荷に限定されず、パケット大きさ、ストリーム大きさ、プロトコルの種類、接続ポートまたはネットワークサービスなどにも適用可能であり、行為解析ユニット137は、網羅的アルゴリズム(Exhaustive Algorithm)を使用してパケットを解析することができる。
本実施例の運転過程を分かりやすく説明するために、本発明のネットワーク行為特徴を学習する処理方法のフローチャートである図4を参照する。ネットワーク行為特徴を学習する処理方法は、次のステップを含む。
ステップS310では、行為結果情報を特徴格納ユニットに格納する。外部アナライザにより既知のセキュリティユーザ端末111または悪意ユーザ端末112のネットワークパケット151を解析し、正常または悪意の行為特徴情報152を取得し、正常または悪意の行為特徴情報152により相応の行為結果情報153を生成し、特徴格納ユニット136に格納する。
ステップS320では、パケットキャプチャユニットが、ユーザ端末が提供したネットワークパケットをキャプチャしてパケット格納ユニットに格納する。まず、ネットワーク機器130は、ユーザ端末110がサーバ端末120に送信したネットワークパケット151を受信し、ネットワーク機器130のパケットキャプチャユニット131は、ユーザ端末110がサーバ端末120に送信したネットワークパケット151を同時に送信したり、パケット格納ユニット133に格納したりするように、サイドローディングやバイパスなどを介してネットワークパケット151を取得することができる。
ステップS330では、さらに、特徴キャプチャユニットが、パケット格納ユニットからネットワークパケットを解析し、特徴テンプレートに基づいて相応の行為特徴情報を取得して特徴格納ユニットに格納する。特徴キャプチャユニット132は、パケット格納ユニット133からネットワークパケット151を解析し、特徴テンプレート211に基づいて相応の行為特徴情報152を取得し、その後、行為特徴情報152を特徴格納ユニット136に格納する。ここで、特徴キャプチャユニット132は、ネットワークフロー監視ソフトウェア、例えば:Netflowを介してネットワークパケット151を解析することができるが、これに限定されない。
ステップS340では、処理ユニットは、特徴格納ユニットから行為特徴情報および行為結果情報を取得して学習モデルにインポートし、この学習モデルは学習収束情報を出力する。処理ユニット134は、特徴格納ユニット136から行為特徴情報152および行為結果情報153を取得し、学習モデル135にインポートし、学習モデル135は、行為特徴情報152および行為結果情報153に基づいて学習を行い、学習モデル135は、学習結果を学習収束情報として出力する。
ステップS350では、この処理ユニットは、学習収束情報に基づいて、特徴キャプチャユニットを調整するか、学習モデルを特徴認識モデルとして出力するかを決定する。ここで、処理ユニット134は、異なる期間またはユーザ端末110の組合せに対応する学習収束情報を継続的に取得し、処理ユニット134は、取得した学習収束情報に基づいて学習モデル135の学習状態を評価し、学習収束情報が継続的に収束状態である場合には、処理ユニット134は、学習モデル135を特徴認識モデルとして格納する。処理ユニット134は、特徴認識モデルを他のネットワーク機器130に出力する。
逆に、学習収束情報が非収束状態で続く場合、当該処理ユニット134は、調整要求を特徴キャプチャユニット132へ送信し、当該特徴キャプチャユニット132は、調整要求に基づいて特徴テンプレート211を調整する。換言すれば、特徴キャプチャユニット132は、既存の特徴テンプレート211の集合から新たな特徴テンプレート211を別途選択するか、新たにネットワークパケット151から新しい特徴テンプレート211をキャプチャし、特徴キャプチャユニット132は、調整後の特徴テンプレート211に基づいてネットワークパケット151を解析し、新たな行為特徴情報152を取得するのに用いられ、特徴格納ユニット136に格納される。そして、処理ユニット134は、新しい行為特徴情報152と相応の行為結果情報153に基づいて、新しい学習収束情報を取得するために、ステップS340およびS350を再び実行する。特徴テンプレートを調整する方法は、特徴テンプレートを追加または削除することであってよい。
また、ステップS350を複数回経て、収束情報を学習しても収束しない場合、行為解析ユニット137は、異常行為情報154に基づいて、当該パケット格納ユニット133におけるこれらのネットワークパケット151を解析し、特徴キャプチャユニット132に特徴テンプレート211を調整するよう要求する。
従って、本発明のネットワーク行為特徴を学習するネットワーク機器130、処理システム100および方法は、ネットワークパケット151および相応の行為特徴を学習することによって、学習モデル135の判断精度を調整することができる。さらに、処理システム100のサーバ端末120は、認識されていない悪意のある攻撃の行為特徴情報152を提供することもできる。ネットワーク機器130は、異なるルートのデータソースを介して完全な保護の目的を達成する。
以上、本発明を詳細に説明したが、上述で説明されたものは、本発明の1つの好ましい実施例にすぎず、本発明の実施範囲を限定するものではなく、すなわち本発明の請求範囲によって行う均等変化と修飾などは、本発明の特許請求範囲に属するべきである。
100 処理システム
110 ユーザ端末
111 セキュリティユーザ端末
112 悪意ユーザ端末
120 サーバ端末
121 異常行為検出器
130 ネットワーク機器
131 パケットキャプチャユニット
132 特徴キャプチャユニット
133 パッケージ格納ユニット
134 処理ユニット
135 学習モデル
136 特徴格納ユニット
137 行為解析ユニット
151 ネットワークパケット
152 行為特徴情報
153 行為結果情報
154 異常行為情報
211 特徴テンプレート
110 ユーザ端末
111 セキュリティユーザ端末
112 悪意ユーザ端末
120 サーバ端末
121 異常行為検出器
130 ネットワーク機器
131 パケットキャプチャユニット
132 特徴キャプチャユニット
133 パッケージ格納ユニット
134 処理ユニット
135 学習モデル
136 特徴格納ユニット
137 行為解析ユニット
151 ネットワークパケット
152 行為特徴情報
153 行為結果情報
154 異常行為情報
211 特徴テンプレート
Claims (6)
- 複数のネットワークパケットを送信する少なくとも1つのユーザ端末と、
前記ネットワークパケットを受信する少なくとも1つのサーバ端末と、
パケットキャプチャユニットと、特徴キャプチャユニットと、パケット格納ユニットと、特徴格納ユニットと、処理ユニットと、学習モデルとを備えるネットワーク機器と、
を含むネットワーク行為特徴を学習する処理システムにおいて、
前記サーバ端末は、前記ネットワークパケットから少なくとも1つの異常行為情報を検出して前記異常行為情報を行為解析ユニットに送信するための異常行為検出器をさらに含み、
前記パケットキャプチャユニットは、前記ユーザ端末および前記サーバ端末を通った前記ネットワークパケットをキャプチャし、
前記特徴キャプチャユニットは、少なくとも1つの特徴テンプレートで前記ネットワークパケットを解析すると共に、前記ネットワークパケットの少なくとも1つの行為特徴情報をキャプチャし、
前記パケット格納ユニットは、前記ネットワークパケットを格納し、
前記特徴格納ユニットは、前記行為特徴情報および複数の行為結果情報を格納し、
前記処理ユニットは、前記行為特徴情報および行為結果情報を受信すると共に前記学習モデルに入力し、
前記学習モデルは、前記少なくとも1つの行為特徴情報および行為結果情報に基づいて、学習収束情報を出力し、
前記処理ユニットは、前記学習収束情報に基づいて、前記特徴キャプチャユニットを調整するか、前記学習モデルを特徴認識モデルとして出力するかを決定する、
ことを特徴とするネットワーク行為特徴を学習する処理システム。 - 前記処理ユニットは、前記学習収束情報に基づいて前記特徴キャプチャユニットを調整することを決定し、
前記特徴キャプチャユニットは、処理ユニットの調整要求によってその特徴テンプレートを調整し、前記特徴キャプチャユニットは、さらに、調整された特徴テンプレートで前記ネットワークパケットを解析し、前記ネットワークパケットの新しい行為特徴情報をキャプチャする、
ことを特徴とする請求項1に記載のネットワーク行為特徴を学習する処理システム。 - 前記行為解析ユニットは、前記特徴キャプチャユニットおよびパケット格納ユニットに接続し、異常行為情報に基づいて前記パケット格納ユニット中の前記ネットワークパケットを解析し、特徴キャプチャユニットにその特徴テンプレートを調整するよう要求する、
ことを特徴とする請求項1に記載のネットワーク行為特徴を学習する処理システム。 - 少なくとも1つの行為結果情報を特徴格納ユニットに格納するステップと、
パケットキャプチャユニットが、少なくとも1つのユーザ端末が提供したネットワークパケットをキャプチャすると共に、パケット格納ユニットに格納するステップと、
特徴キャプチャユニットが、さらに、パケット格納ユニットからネットワークパケットを解析すると共に、少なくとも1つの特徴テンプレートによって相応の行為特徴情報を取得し、特徴格納ユニットに格納するステップと、
処理ユニットが、特徴格納ユニットから行為特徴情報および行為結果情報を取得すると共に、学習収束情報を出力する学習モデルにインポートするステップと、
前記処理ユニットは、学習収束情報に基づいて、前記特徴キャプチャユニットを調整するか、前記学習モデルを特徴認識モデルとして出力するかを決定するステップとを、含むネットワーク行為特徴を学習する処理方法において、
さらに異常行為検出器を提供し、前記異常行為検出器は、前記ネットワークパケットから少なくとも1つの異常行為情報を検出して前記異常行為情報を行為解析ユニットに送信する、
ことを特徴とするネットワーク行為特徴を学習する処理方法。 - 前記処理ユニットが学習収束情報に基づいて特徴キャプチャユニットを調整するステップは、
前記特徴キャプチャユニットが、処理ユニットの調整要求によってその特徴テンプレートを調整するステップと、
前記特徴キャプチャユニットは、さらに、調整された特徴テンプレートで前記ネットワークパケットを解析し、前記ネットワークパケットの新しい行為特徴情報をキャプチャするステップと、を含む、
ことを特徴とする請求項4に記載のネットワーク行為特徴を学習する処理方法。 - 前記行為解析ユニットは、異常行為情報に基づいて前記パケット格納ユニット中の前記ネットワークパケットを解析し、特徴キャプチャユニットにその特徴テンプレートを調整するよう要求する、
ことを特徴とする請求項4に記載のネットワーク行為特徴を学習する処理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021213697A JP7273942B1 (ja) | 2021-12-28 | 2021-12-28 | ネットワーク行為特徴を学習するネットワーク機器、処理システムおよび方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021213697A JP7273942B1 (ja) | 2021-12-28 | 2021-12-28 | ネットワーク行為特徴を学習するネットワーク機器、処理システムおよび方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP7273942B1 true JP7273942B1 (ja) | 2023-05-15 |
| JP2023097531A JP2023097531A (ja) | 2023-07-10 |
Family
ID=86321975
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021213697A Active JP7273942B1 (ja) | 2021-12-28 | 2021-12-28 | ネットワーク行為特徴を学習するネットワーク機器、処理システムおよび方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7273942B1 (ja) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008211593A (ja) | 2007-02-27 | 2008-09-11 | Nippon Telegr & Teleph Corp <Ntt> | Ipフロー情報収集方法、装置、およびプログラム |
| JP2019102960A (ja) | 2017-12-01 | 2019-06-24 | 日本電信電話株式会社 | サイバー攻撃検知システム、特徴量選定システム、サイバー攻撃検知方法、及びプログラム |
| WO2021048902A1 (ja) | 2019-09-09 | 2021-03-18 | 楽天株式会社 | 学習モデル適用システム、学習モデル適用方法、及びプログラム |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08123778A (ja) * | 1994-10-20 | 1996-05-17 | Hitachi Ltd | 非線形モデル自動生成方法 |
-
2021
- 2021-12-28 JP JP2021213697A patent/JP7273942B1/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008211593A (ja) | 2007-02-27 | 2008-09-11 | Nippon Telegr & Teleph Corp <Ntt> | Ipフロー情報収集方法、装置、およびプログラム |
| JP2019102960A (ja) | 2017-12-01 | 2019-06-24 | 日本電信電話株式会社 | サイバー攻撃検知システム、特徴量選定システム、サイバー攻撃検知方法、及びプログラム |
| WO2021048902A1 (ja) | 2019-09-09 | 2021-03-18 | 楽天株式会社 | 学習モデル適用システム、学習モデル適用方法、及びプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2023097531A (ja) | 2023-07-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110445653B (zh) | 网络状态预测方法、装置、设备及介质 | |
| CN109981691B (zh) | 一种面向SDN控制器的实时DDoS攻击检测系统与方法 | |
| KR101907752B1 (ko) | 인공지능을 이용하여 DDoS 공격을 탐지하는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러 | |
| CN113364752B (zh) | 一种流量异常检测方法、检测设备及计算机可读存储介质 | |
| CN201563132U (zh) | 网络带宽控制装置与路由器 | |
| CN111464485A (zh) | 一种加密代理流量检测方法和装置 | |
| CN113452676B (zh) | 一种检测器分配方法和物联网检测系统 | |
| EP2258084A1 (en) | Technique for classifying network traffic and for validating a mechanism for calassifying network traffic | |
| KR101602189B1 (ko) | 10기가급 패킷 캡쳐링에 의한 트래픽 분석 및 망 감시 시스템 | |
| CN114070800B (zh) | 一种结合深度包检测和深度流检测的secs2流量快速识别方法 | |
| CN108667804B (zh) | 一种基于SDN架构的DDoS攻击检测及防护方法和系统 | |
| JP7273942B1 (ja) | ネットワーク行為特徴を学習するネットワーク機器、処理システムおよび方法 | |
| Fenil et al. | Towards a secure software defined network with adaptive mitigation of dDoS attacks by machine learning approaches | |
| CN113765896A (zh) | 基于人工智能的物联网实现系统及方法 | |
| CN116232777B (zh) | SDN-IIOT中基于统计度量的DDoS攻击检测与防御方法及相关设备 | |
| JP2009164706A (ja) | ネットワークシミュレーションシステム、ネットワークシミュレーション方法及びネットワークシミュレーション用プログラム | |
| TWI704782B (zh) | 骨幹網路異常流量偵測方法和系統 | |
| TWI805156B (zh) | 學習網路行為特徵的網路設備、處理系統與方法 | |
| Liu et al. | Doom: a training-free, real-time video flow identification method for encrypted traffic | |
| CN112583818B (zh) | 针对移动Web服务的自适应传输协议选择方法和装置 | |
| EP4207678A1 (en) | Network equipment and processing system and method for learning network behavior characteristics | |
| US20230208864A1 (en) | Network equipment and processing system and method for learning network behavior characteristics | |
| US11374838B1 (en) | Using a data processing unit (DPU) as a pre-processor for graphics processing unit (GPU) based machine learning | |
| WO2021147371A1 (zh) | 故障检测方法、装置及系统 | |
| CN114465769B (zh) | 学习网络行为特征的网络设备、处理系统与方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20211228 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20221220 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230317 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230404 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230428 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7273942 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |