JP7384751B2 - Learning data generation device, model learning device, learning data generation method, and computer program - Google Patents

Learning data generation device, model learning device, learning data generation method, and computer program Download PDF

Info

Publication number
JP7384751B2
JP7384751B2 JP2020103155A JP2020103155A JP7384751B2 JP 7384751 B2 JP7384751 B2 JP 7384751B2 JP 2020103155 A JP2020103155 A JP 2020103155A JP 2020103155 A JP2020103155 A JP 2020103155A JP 7384751 B2 JP7384751 B2 JP 7384751B2
Authority
JP
Japan
Prior art keywords
learning
route information
route
model
abnormal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020103155A
Other languages
Japanese (ja)
Other versions
JP2021197640A (en
Inventor
元一 毛利
純一 河崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2020103155A priority Critical patent/JP7384751B2/en
Publication of JP2021197640A publication Critical patent/JP2021197640A/en
Application granted granted Critical
Publication of JP7384751B2 publication Critical patent/JP7384751B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、学習データ生成装置、モデル学習装置、学習データ生成方法及びコンピュータプログラムに関する。 The present invention relates to a learning data generation device, a model learning device, a learning data generation method, and a computer program.

特許文献1には、BGP(Border Gateway Protocol)に基づいた経路制御が行われる通信ネットワークにおいて、BGPルータから送信されるBGP経路情報を受信してIRR(Internet Routing Registry)に登録されるBGP経路情報と照合することにより異常経路を検出するBGP経路監視装置が記載されている。
特許文献2には、複数の交換機が互いに接続されているネットワークシステムにおいて、経路管理装置は、交換機から送信された使用許可要求の経路について宛先まで到達するか否かを検証し、使用許可要求を送信した交換機に対して当該経路の宛先まで到達すると検証された経路の使用許可を通知し、宛先まで到達することが検証された経路の経路情報について、交換機及び経路管理装置は経路表を更新するネットワークシステムが記載されている。 Patent Document 1 discloses that in a communication network where route control is performed based on BGP (Border Gateway Protocol), BGP route information is received from a BGP router and registered in an IRR (Internet Routing Registry). A BGP route monitoring device is described that detects an abnormal route by comparing it with the following.
Patent Document 2 discloses that in a network system in which a plurality of exchanges are connected to each other, a route management device verifies whether or not the route of a usage permission request sent from the exchange reaches the destination, and processes the usage permission request. The sending exchange is notified of permission to use the route that has been verified to reach the destination of the route, and the exchange and route management device update the route table for the route information of the route that has been verified to reach the destination. Network systems are described.

特開2011-087302号公報Japanese Patent Application Publication No. 2011-087302 特許第3623680号公報Patent No. 3623680

しかし、上述した特許文献1に記載される技術では、大量の経路が収集された場合、IRRに登録されるBGP経路情報と照合する処理が膨大になって計算処理遅延が大きくなり、異常経路の検出にかかる時間が長くなる。これにより、通信ネットワークの障害分析が迅速に行うことができない可能性がある。
また特許文献2に記載される技術では、例えばインターネットのように経路が頻繁に変化するネットワークでは、全ての使用許可要求の経路について宛先まで到達するか否かを検証することが難しい。 However, with the technology described in Patent Document 1 mentioned above, when a large number of routes are collected, the process of comparing them with the BGP route information registered in the IRR becomes enormous, resulting in a large calculation processing delay, and Detection takes longer. As a result, failure analysis of the communication network may not be performed quickly.
Furthermore, with the technology described in Patent Document 2, in a network where routes change frequently, such as the Internet, it is difficult to verify whether all the routes of usage permission requests reach the destination.

本発明は、このような事情を考慮してなされたものであり、その目的は、特定の経路制御プロトコルに基づいた経路制御が行われる通信ネットワークにおける異常経路の判定にかかる負担の軽減を図ることにある。 The present invention has been made in consideration of such circumstances, and its purpose is to reduce the burden of determining abnormal routes in a communication network where route control is performed based on a specific route control protocol. It is in.

(1)本発明の一態様は、特定の経路制御プロトコルに基づいた経路制御が行われる通信ネットワークから学習用経路情報を収集するデータ収集部と、学習用経路情報の画像化を行う画像化部と、を備え、画像化された学習用経路情報と当該学習用経路情報が異常経路を含むか否かを示す教師データとを、前記通信ネットワークから収集された判定対象の経路情報が異常経路を含むか否かを判定するためのモデルを生成するために所定の機械学習モデルを学習させる学習データに使用する、学習データ生成装置であって、前記画像化部は、正常な経路情報の値と学習用経路情報の値との差を画素値に使用する、学習データ生成装置である。
)本発明の一態様は、前記画像化部は、経路情報が持つ3種類の値の各前記差を、RGB画像の各色の画素値に使用する、上記()の学習データ生成装置である。
)本発明の一態様は、前記経路情報が持つ3種類の値は、特定プレフィックス長の個数とASパス長の最大値の個数とMED値の最大値の個数とである、上記()の学習データ生成装置である。
)本発明の一態様は、特定の経路制御プロトコルに基づいた経路制御が行われる通信ネットワークから学習用経路情報を収集するデータ収集部と、学習用経路情報の画像化を行う画像化部と、を備え、画像化された学習用経路情報と当該学習用経路情報が異常経路を含むか否かを示す教師データとを、前記通信ネットワークから収集された判定対象の経路情報が異常経路を含むか否かを判定するためのモデルを生成するために所定の機械学習モデルを学習させる学習データに使用する、学習データ生成装置であって、学習用経路情報が持つ各種類の値について、所定のプレフィックス長ごとに、ネットワークアドレスにおける集計単位で集計する要約部をさらに備え、前記画像化部は、前記集計の結果の学習用経路情報の画像化を行う、学習データ生成装置である。
)本発明の一態様は、正常な経路情報に基づいて疑似異常経路情報を生成する疑似異常経路情報生成部をさらに備え、前記通信ネットワークに疑似異常経路情報を適用することにより前記通信ネットワークから学習用経路情報を収集する、上記(1)から()のいずれかの学習データ生成装置である。 (1) One aspect of the present invention includes a data collection unit that collects learning route information from a communication network where route control is performed based on a specific route control protocol, and an imaging unit that images the learning route information. , the imaged learning route information and teacher data indicating whether or not the learning route information includes an abnormal route, and the route information to be determined collected from the communication network indicates whether the route information is an abnormal route. A learning data generation device used for learning data for learning a predetermined machine learning model in order to generate a model for determining whether the This is a learning data generation device that uses the difference between the learning route information value and the pixel value .
( 2 ) One aspect of the present invention is the learning data generation device according to ( 1 ) above, wherein the imaging unit uses each difference between three types of values of the route information as a pixel value of each color of an RGB image. It is.
( 3 ) One aspect of the present invention is that the three types of values that the route information has are the number of specific prefix lengths, the maximum number of AS path lengths, and the maximum number of MED values. ) is a learning data generation device.
( 4 ) One aspect of the present invention is a data collection unit that collects learning route information from a communication network where route control is performed based on a specific route control protocol, and an imaging unit that images the learning route information. , the imaged learning route information and teacher data indicating whether or not the learning route information includes an abnormal route, and the route information to be determined collected from the communication network indicates whether the route information is an abnormal route. A learning data generation device used for learning data for learning a predetermined machine learning model in order to generate a model for determining whether The learning data generation device further includes a summarization unit that performs summarization in units of summation in network addresses for each prefix length, and the imaging unit images the learning route information as a result of the summation.
( 5 ) One aspect of the present invention further includes a pseudo-abnormal route information generation unit that generates pseudo-abnormal route information based on normal route information, and the pseudo-abnormal route information is applied to the communication network to improve the communication network. The learning data generation device according to any one of (1) to ( 4 ) above, which collects learning route information from.

)本発明の一態様は、上記(1)から()のいずれかの学習データ生成装置と、前記学習データ生成装置が生成した学習データを使用して所定の機械学習モデルを学習させることにより、特定の経路制御プロトコルに基づいた経路制御が行われる通信ネットワークから収集された判定対象の経路情報が異常経路を含むか否かを判定するためのモデルを生成するモデル学習部と、を備えるモデル学習装置である。
)本発明の一態様は、前記機械学習モデルは畳み込みニューラルネットワークである、上記()のモデル学習装置である。 ( 6 ) One aspect of the present invention is to train a predetermined machine learning model using the learning data generation device according to any one of (1) to ( 5 ) above and the learning data generated by the learning data generation device. a model learning unit that generates a model for determining whether or not route information to be determined collected from a communication network in which route control is performed based on a specific route control protocol includes an abnormal route; This is a model learning device equipped with a model learning device.
( 7 ) One aspect of the present invention is the model learning device according to ( 6 ) above, wherein the machine learning model is a convolutional neural network.

)本発明の一態様は、学習データ生成装置が、特定の経路制御プロトコルに基づいた経路制御が行われる通信ネットワークから学習用経路情報を収集するデータ収集ステップと、前記学習データ生成装置が、学習用経路情報の画像化を行う画像化ステップと、を含み、画像化された学習用経路情報と当該学習用経路情報が異常経路を含むか否かを示す教師データとを、前記通信ネットワークから収集された判定対象の経路情報が異常経路を含むか否かを判定するためのモデルを生成するために所定の機械学習モデルを学習させる学習データに使用する、学習データ生成方法であって、前記画像化ステップは、正常な経路情報の値と学習用経路情報の値との差を画素値に使用する、学習データ生成方法である。
(9)本発明の一態様は、学習データ生成装置が、特定の経路制御プロトコルに基づいた経路制御が行われる通信ネットワークから学習用経路情報を収集するデータ収集ステップと、前記学習データ生成装置が、学習用経路情報の画像化を行う画像化ステップと、を含み、画像化された学習用経路情報と当該学習用経路情報が異常経路を含むか否かを示す教師データとを、前記通信ネットワークから収集された判定対象の経路情報が異常経路を含むか否かを判定するためのモデルを生成するために所定の機械学習モデルを学習させる学習データに使用する、学習データ生成方法であって、前記学習データ生成装置が、学習用経路情報が持つ各種類の値について、所定のプレフィックス長ごとに、ネットワークアドレスにおける集計単位で集計する要約ステップをさらに含み、前記画像化ステップは、前記集計の結果の学習用経路情報の画像化を行う、学習データ生成方法である。 ( 8 ) One aspect of the present invention is a data collection step in which the learning data generation device collects learning route information from a communication network in which route control is performed based on a specific route control protocol; , an imaging step of imaging the learning route information, and transmitting the imaged learning route information and teacher data indicating whether or not the learning route information includes an abnormal route to the communication network. A learning data generation method used as learning data for learning a predetermined machine learning model in order to generate a model for determining whether or not route information to be determined that is collected from a route information includes an abnormal route, the method comprising: The imaging step is a learning data generation method that uses the difference between the value of normal route information and the value of learning route information as a pixel value .
(9) One aspect of the present invention includes a data collection step in which the learning data generation device collects learning route information from a communication network in which route control is performed based on a specific route control protocol; , an imaging step of imaging the learning route information, and transmitting the imaged learning route information and teacher data indicating whether or not the learning route information includes an abnormal route to the communication network. A learning data generation method used as learning data for learning a predetermined machine learning model in order to generate a model for determining whether or not route information to be determined that is collected from a route information includes an abnormal route, the method comprising: The learning data generation device further includes a summarizing step of aggregating each type of value of the learning route information for each prefix length in aggregation units in network addresses, and the imaging step summarizes the aggregation results. This is a learning data generation method that images learning route information.

(10)本発明の一態様は、コンピュータに、特定の経路制御プロトコルに基づいた経路制御が行われる通信ネットワークから学習用経路情報を収集するデータ収集ステップと、学習用経路情報の画像化を行う画像化ステップと、を実行させ、画像化された学習用経路情報と当該学習用経路情報が異常経路を含むか否かを示す教師データとを、前記通信ネットワークから収集された判定対象の経路情報が異常経路を含むか否かを判定するためのモデルを生成するために所定の機械学習モデルを学習させる学習データに使用する、コンピュータプログラムであって、前記画像化ステップは、正常な経路情報の値と学習用経路情報の値との差を画素値に使用する、コンピュータプログラムである。
(11)本発明の一態様は、コンピュータに、特定の経路制御プロトコルに基づいた経路制御が行われる通信ネットワークから学習用経路情報を収集するデータ収集ステップと、学習用経路情報の画像化を行う画像化ステップと、を実行させ、画像化された学習用経路情報と当該学習用経路情報が異常経路を含むか否かを示す教師データとを、前記通信ネットワークから収集された判定対象の経路情報が異常経路を含むか否かを判定するためのモデルを生成するために所定の機械学習モデルを学習させる学習データに使用する、コンピュータプログラムであって、学習用経路情報が持つ各種類の値について、所定のプレフィックス長ごとに、ネットワークアドレスにおける集計単位で集計する要約ステップをさらに前記コンピュータに実行させ、前記画像化ステップは、前記集計の結果の学習用経路情報の画像化を行う、コンピュータプログラムである。 (10) One aspect of the present invention is to perform, in a computer, a data collection step of collecting learning route information from a communication network in which route control is performed based on a specific route control protocol, and imaging the learning route information. imaging step, and converts the imaged learning route information and teacher data indicating whether or not the learning route information includes an abnormal route to the route information to be determined collected from the communication network. A computer program that is used as training data for training a predetermined machine learning model to generate a model for determining whether or not a route includes an abnormal route, the imaging step comprising: This is a computer program that uses the difference between the pixel value and the value of the learning route information as the pixel value .
(11) One aspect of the present invention is to have a computer perform a data collection step of collecting learning route information from a communication network where route control is performed based on a specific route control protocol, and image the learning route information. imaging step, and converts the imaged learning route information and teacher data indicating whether or not the learning route information includes an abnormal route to the route information to be determined collected from the communication network. A computer program used for learning data for training a predetermined machine learning model to generate a model for determining whether or not includes an abnormal route, the computer program being used for learning data for learning a predetermined machine learning model, the computer program for each type of value that learning route information has. , for each prefix length, the computer program further causes the computer to execute a summarizing step of aggregating network addresses in aggregation units, and the imaging step images the learning route information as a result of the aggregation. be.

本発明によれば、特定の経路制御プロトコルに基づいた経路制御が行われる通信ネットワークにおける異常経路の判定にかかる負担の軽減を図ることができるという効果が得られる。 According to the present invention, it is possible to reduce the burden of determining an abnormal route in a communication network where route control is performed based on a specific route control protocol.

一実施形態に係るモデル学習装置の構成例を示すブロック図である。FIG. 1 is a block diagram illustrating a configuration example of a model learning device according to an embodiment. 一実施形態に係る学習前処理部の構成例を示すブロック図である。FIG. 2 is a block diagram illustrating a configuration example of a learning preprocessing unit according to an embodiment. 一実施形態に係る学習用経路情報の要約方法の例を示す説明図である。FIG. 2 is an explanatory diagram illustrating an example of a method for summarizing learning route information according to an embodiment. 一実施形態に係る正規化方法の例を示す図である。FIG. 3 is a diagram illustrating an example of a normalization method according to an embodiment. 一実施形態に係る経路情報の画像化方法の例を示す説明図である。FIG. 2 is an explanatory diagram illustrating an example of a method for imaging route information according to an embodiment. 一実施形態に係る画像化経路情報の例を示す説明図である。FIG. 3 is an explanatory diagram illustrating an example of imaging route information according to an embodiment. 一実施形態に係る学習データ生成方法の手順の例を示すフローチャートである。3 is a flowchart illustrating an example of a procedure of a learning data generation method according to an embodiment. 一実施形態に係る学習前処理部の他の構成例を示すブロック図である。FIG. 3 is a block diagram illustrating another configuration example of a learning preprocessing unit according to an embodiment.

以下、図面を参照し、本発明の実施形態について説明する。
図1は、一実施形態に係るモデル学習装置の構成例を示すブロック図である。図1において、BGPネットワークNWは、分析対象の通信ネットワークである。BGPネットワークNWは、BGP(Border Gateway Protocol)に基づいた経路制御が行われる通信ネットワークである。BGPは、パケット通信の経路制御プロトコルの一つとして知られている。 Embodiments of the present invention will be described below with reference to the drawings.
FIG. 1 is a block diagram showing a configuration example of a model learning device according to an embodiment. In FIG. 1, a BGP network NW is a communication network to be analyzed. The BGP network NW is a communication network in which route control is performed based on BGP (Border Gateway Protocol). BGP is known as one of the route control protocols for packet communication.

BGPネットワークNWは、複数のノードNDから構成される。ノードNDは、BGP経路情報に基づいてフォワーディング動作を行う。BGPネットワークNWとして、例えばインターネットやバーチャルプライベートネットワーク(virtual private network:VPN)等が挙げられる。BGP経路情報は、BGPにおける経路情報である。以下、BGP経路情報を単に経路情報と称する。 The BGP network NW is composed of a plurality of nodes ND. Node ND performs forwarding operations based on BGP route information. Examples of the BGP network NW include the Internet and a virtual private network (VPN). BGP route information is route information in BGP. Hereinafter, BGP route information will be simply referred to as route information.

モデル学習装置10は、BGPネットワークNWにおける経路を分析するための経路分析モデル30を機械学習により生成する。図1において、モデル学習装置10は、データ収集部11と、学習前処理部12と、モデル学習部13と、疑似異常経路情報生成部14とを備える。 The model learning device 10 generates a route analysis model 30 for analyzing routes in the BGP network NW by machine learning. In FIG. 1, a model learning device 10 includes a data collection section 11, a learning preprocessing section 12, a model learning section 13, and a pseudo abnormal route information generation section 14.

モデル学習装置10の各機能は、モデル学習装置10がCPU(Central Processing Unit:中央演算処理装置)及びメモリ等のコンピュータハードウェアを備え、CPUがメモリに格納されたコンピュータプログラムを実行することにより実現される。なお、モデル学習装置10として、汎用のコンピュータ装置を使用して構成してもよく、又は、専用のハードウェア装置として構成してもよい。例えば、モデル学習装置10は、インターネット等の通信ネットワークに接続されるサーバコンピュータを使用して構成されてもよい。また、モデル学習装置10の各機能はクラウドコンピューティングにより実現されてもよい。 Each function of the model learning device 10 is realized by the model learning device 10 being equipped with computer hardware such as a CPU (Central Processing Unit) and memory, and the CPU executing a computer program stored in the memory. be done. Note that the model learning device 10 may be configured using a general-purpose computer device, or may be configured as a dedicated hardware device. For example, the model learning device 10 may be configured using a server computer connected to a communication network such as the Internet. Further, each function of the model learning device 10 may be realized by cloud computing.

データ収集部11は、各ノードNDから各通信情報Aを収集する。通信情報Aは、経路情報や通信品質情報などである。通信品質情報は、BGPネットワークNWのネットワーク品質に関するパフォーマンスを示す情報であって、例えばノードNDにおけるCPU使用率やメモリ使用率やトラフィック量などである。データ収集部11は、各ノードNDから収集した各通信情報Aを蓄積する。 The data collection unit 11 collects each piece of communication information A from each node ND. Communication information A includes route information, communication quality information, and the like. The communication quality information is information indicating the performance related to the network quality of the BGP network NW, and includes, for example, the CPU usage rate, memory usage rate, and traffic amount in the node ND. The data collection unit 11 accumulates each piece of communication information A collected from each node ND.

学習前処理部12は、モデル学習部13が機械学習モデルの学習に使用する学習用データセットDを生成する。学習前処理部12は、データ収集部11が収集した収集データBから学習用データセットを生成する。図1の例では、収集データBは、各ノードNDから収集された各通信情報Aである。学習用データセットDは、モデル学習部13の機械学習モデルに入力される入力データとして適合するように、収集データBが前処理されたものである。 The learning preprocessing unit 12 generates a learning data set D that the model learning unit 13 uses for learning a machine learning model. The learning pre-processing unit 12 generates a learning data set from the collected data B collected by the data collecting unit 11. In the example of FIG. 1, collected data B is each piece of communication information A collected from each node ND. The learning data set D is obtained by preprocessing the collected data B so that it is suitable as input data to be input to the machine learning model of the model learning unit 13.

モデル学習部13は、学習前処理部12が生成した学習用データセットDを使用して所定の機械学習モデルを学習させることにより、経路分析モデル30を生成する。経路分析モデル30は、BGPネットワークNWから収集された判定対象の経路情報が異常経路を含むか否かを判定するためのモデルである。 The model learning unit 13 generates the route analysis model 30 by learning a predetermined machine learning model using the learning data set D generated by the learning preprocessing unit 12. The route analysis model 30 is a model for determining whether the route information to be determined collected from the BGP network NW includes an abnormal route.

異常経路は、BGPネットワークNWに存在しない経路や所定の経路情報ルールに違反している経路情報に含まれる経路などである。例えば、BGPネットワークNWに含まれるノードND(例えば、BGPルータ等)の運用者による設定誤りなどによって、本来設定するべきでない経路(異常経路)がBGPネットワークNWにアナウンスされる場合がある。異常経路がアナウンスされた場合、異常経路による影響がBGPネットワークNW全体に及ぶ可能性がある。このため、異常経路の判定にかかる負担の軽減を図ることは、BGPネットワークNWの安定的な運用のために好ましい。 The abnormal route is a route that does not exist in the BGP network NW or a route included in route information that violates a predetermined route information rule. For example, due to a setting error by the operator of a node ND (for example, a BGP router, etc.) included in the BGP network NW, a route that should not be set (abnormal route) may be announced to the BGP network NW. When an abnormal route is announced, there is a possibility that the entire BGP network NW will be affected by the abnormal route. Therefore, it is preferable to reduce the burden of determining abnormal routes for stable operation of the BGP network NW.

本実施形態では、異常経路の判定にかかる負担の軽減を図るために、BGPネットワークNWから収集された判定対象の経路情報が異常経路を含むか否かを判定するためのモデルを効率よく生成することを図る。具体的には、BGPネットワークNWから収集された学習用経路情報の画像化を行い、画像化された学習用経路情報と当該学習用経路情報が異常経路を含むか否かを示す教師データとを学習データに使用して所定の機械学習モデルの学習を行う。本実施形態では、機械学習モデルの一例として、畳み込みニューラルネットワーク(Convolutional Neural Network:CNN)を使用する。畳み込みニューラルネットワークは、画像認識に適した機械学習モデルとして知られている。畳み込みニューラルネットワークは画像認識に適した機械学習モデルであるので、画像化された学習用経路情報を学習データに使用することにより、異常経路の学習の精度及び効率が向上する。 In this embodiment, in order to reduce the burden of determining abnormal routes, a model for determining whether or not route information to be determined collected from the BGP network NW includes an abnormal route is efficiently generated. I plan to do that. Specifically, the learning route information collected from the BGP network NW is imaged, and the imaged learning route information and teacher data indicating whether or not the learning route information includes an abnormal route are generated. A predetermined machine learning model is trained using the learning data. In this embodiment, a convolutional neural network (CNN) is used as an example of a machine learning model. Convolutional neural networks are known as machine learning models suitable for image recognition. Since the convolutional neural network is a machine learning model suitable for image recognition, the accuracy and efficiency of learning abnormal routes is improved by using imaged learning route information as learning data.

疑似異常経路情報生成部14は、正常な経路情報に基づいて疑似異常経路情報Eを生成する。正常な経路情報は、予め、モデル学習装置10に設定される。一般的に経路情報は、IP(Internet Protocol)アドレスにおけるネットワークアドレス(x.x.x.x)とネットワークアドレス長(y)とから構成されるプレフィックス(x.x.x.x/y)や、転送先のIPアドレスや、メトリックや、AS(Autonomous System)パスなどの情報から構成される。メトリックは、MED(MULTI_EXIT_DISC)値やローカルプリファレンス(Local Preference)値などである。 The pseudo-abnormal route information generation unit 14 generates pseudo-abnormal route information E based on the normal route information. Normal route information is set in the model learning device 10 in advance. Generally, route information includes a prefix (x.x.x.x/y) consisting of a network address (x.x.x.x) and a network address length (y) in an IP (Internet Protocol) address, a forwarding destination IP address, a metric, and an AS. (Autonomous System) Consists of information such as paths. Metrics include MED (MULTI_EXIT_DISC) values, local preference values, and the like.

疑似異常経路情報生成部14は、正常な経路情報を基にして、正常な経路情報に含まれる値を正常値とは異なる値に変更した疑似異常経路情報Eを生成する。疑似異常経路情報生成部14は、正常な経路情報に対して、例えば、プレフィックス(prefix)長(ネットワークアドレス長(y)に対応)や、ASパス長や、MED値などを正常値とは異なる値に変更して疑似異常経路情報Eを生成する。 The pseudo-abnormal route information generation unit 14 generates pseudo-abnormal route information E in which a value included in the normal route information is changed to a value different from the normal value, based on the normal route information. The pseudo-abnormal route information generation unit 14 generates a prefix length (corresponding to the network address length (y)), an AS path length, a MED value, etc., which are different from normal values, for the normal route information. value to generate pseudo-abnormal route information E.

疑似異常経路情報生成部14は、疑似異常経路情報EをBGPネットワークエミュレータ100へ供給する。BGPネットワークエミュレータ100は、疑似異常経路情報EのアナウンスFをBGPネットワークNWへ出力する。BGPネットワークNWにおいて各ノードNDは、BGPネットワークエミュレータ100からアナウンスされた疑似異常経路情報Eに基づいた通信情報Aを出力する。データ収集部11は、各ノードNDから、疑似異常経路情報Eに基づいた各通信情報Aを収集する。 The pseudo-abnormal route information generation unit 14 supplies the pseudo-abnormal route information E to the BGP network emulator 100. The BGP network emulator 100 outputs the announcement F of the pseudo abnormal route information E to the BGP network NW. In the BGP network NW, each node ND outputs communication information A based on pseudo-abnormal route information E announced from the BGP network emulator 100. The data collection unit 11 collects each communication information A based on the pseudo abnormal route information E from each node ND.

図2は、本実施形態に係る学習前処理部の構成例を示すブロック図である。図2において、学習前処理部12は、品質情報抽出部121と、経路情報抽出部122と、要約部123と、正規化部124と、画像化部125と、学習用データセット格納部126とを備える。 FIG. 2 is a block diagram showing a configuration example of the learning preprocessing section according to the present embodiment. In FIG. 2, the learning preprocessing section 12 includes a quality information extraction section 121, a route information extraction section 122, a summarization section 123, a normalization section 124, an imaging section 125, and a learning dataset storage section 126. Equipped with

品質情報抽出部121は、データ収集部11から出力された収集データB(学習用収集データBと称する)から通信品質情報を抽出する。品質情報抽出部121は、学習用収集データBから抽出した通信品質情報を、当該学習用収集データBに対応する学習用データセットに格納する。学習用データセットは、学習用データセット格納部126に格納される。 The quality information extraction unit 121 extracts communication quality information from collected data B (referred to as learning collected data B) output from the data collection unit 11. The quality information extraction unit 121 stores the communication quality information extracted from the learning collected data B in the learning data set corresponding to the learning collected data B. The learning data set is stored in the learning data set storage section 126.

経路情報抽出部122は、学習用収集データBから経路情報を抽出する。経路情報抽出部122は、学習用収集データBから抽出した経路情報(学習用経路情報と称する)を要約部123へ出力する。 The route information extraction unit 122 extracts route information from the learning collected data B. The route information extraction unit 122 outputs the route information extracted from the learning collected data B (referred to as learning route information) to the summarizing unit 123.

要約部123は、学習用経路情報の要約を行う。図3に、本実施形態に係る学習用経路情報の要約方法の例が示される。図3に例示されるように、要約部123は、学習用経路情報が持つ各種類の値について、所定のプレフィックス長ごとにネットワークアドレスにおける集計単位で集計する。この集計結果が学習用経路情報の要約の結果である経路要約情報である。 The summary unit 123 summarizes the learning route information. FIG. 3 shows an example of a method for summarizing learning route information according to this embodiment. As illustrated in FIG. 3, the summarizing unit 123 aggregates each type of value included in the learning route information in units of network addresses for each prefix length. This total result is route summary information that is the result of summarizing learning route information.

図3の例では、特定プレフィックス長の個数(プレフィックス数)と、ASパス長の最大値の個数と、MED値の最大値の個数とがそれぞれに、所定のプレフィックス長(「/16」,「/17」,「/18」,「/19」,「/20」,「/21」,「/22」,「/23」,「/24」)ごとに、ネットワークアドレスにおける集計単位(「/16」単位)で集計される。図3の例では、ネットワークアドレスにおける集計単位(「/16」単位)は「3×256=768」個ある。 In the example of FIG. 3, the number of specific prefix lengths (number of prefixes), the number of maximum AS path lengths, and the number of maximum MED values are respectively determined by predetermined prefix lengths ("/16", " /17", "/18", "/19", "/20", "/21", "/22", "/23", "/24") for each network address aggregation unit ("/24") 16" units). In the example of FIG. 3, there are "3×256=768" aggregation units ("/16" units) in network addresses.

プレフィックス数の集計では、特定プレフィックス長である「/16」,「/17」,「/18」,「/19」,「/20」,「/21」,「/22」,「/23」,「/24」の各個数が、ネットワークアドレスにおける集計単位の「/16」単位で集計される。 When calculating the number of prefixes, the specific prefix lengths "/16", "/17", "/18", "/19", "/20", "/21", "/22", "/23" are used. , "/24" are counted in units of "/16", which is the counting unit in the network address.

ASパス長の最大値の集計では、ASパス長の最大値が所定のプレフィックス長である「/16」,「/17」,「/18」,「/19」,「/20」,「/21」,「/22」,「/23」,「/24」ごとに検出され、各プレフィックス長について当該検出されたASパス長の最大値の個数がネットワークアドレスにおける集計単位の「/16」単位で集計される。 When calculating the maximum value of the AS path length, the maximum value of the AS path length is the predetermined prefix length "/16", "/17", "/18", "/19", "/20", "/ 21", "/22", "/23", and "/24", and the maximum number of detected AS path lengths for each prefix length is "/16" unit of the aggregation unit in the network address. will be aggregated.

MED値の最大値の集計では、MED値の最大値が所定のプレフィックス長である「/16」,「/17」,「/18」,「/19」,「/20」,「/21」,「/22」,「/23」,「/24」ごとに検出され、各プレフィックス長について当該検出されたMED値の最大値の個数がネットワークアドレスにおける集計単位の「/16」単位で集計される。 When calculating the maximum value of the MED value, the maximum value of the MED value is "/16", "/17", "/18", "/19", "/20", "/21" with the predetermined prefix length. , "/22", "/23", and "/24", and the maximum number of detected MED values for each prefix length is aggregated in units of "/16", which is the aggregation unit in the network address. Ru.

要約部123は、学習用経路情報の要約の結果である経路要約情報を正規化部124へ出力する。 The summarization unit 123 outputs route summary information, which is the result of summarizing the learning route information, to the normalization unit 124.

正規化部124は、学習用経路情報の要約の結果である経路要約情報を正規化する。図3に、本実施形態に係る経路要約情報の正規化方法の例が示される。図3に例示されるように、経路要約情報のプレフィックス数とASパス長の最大値とMED値の最大値とはそれぞれに、0から255までの範囲に正規化される。経路要約情報の正規化の結果として、経路正規化情報が生成される。 The normalization unit 124 normalizes the route summary information that is the result of summarizing the learning route information. FIG. 3 shows an example of a method for normalizing route summary information according to this embodiment. As illustrated in FIG. 3, the number of prefixes in the route summary information, the maximum value of the AS path length, and the maximum value of the MED value are each normalized to a range from 0 to 255. As a result of normalizing the route summary information, route normalization information is generated.

図4は、本実施形態に係る正規化方法の例を示す図である。図4には、プレフィックス数の正規化方法の例が示される。図4のプレフィックス数の正規化方法では、特定プレフィックス長のプレフィックス数に対して当該特定プレフィックス長に応じた係数を乗ずることにより、0から255までの範囲の正規化値を求める。但し、積が255を超えた場合には、正規化値を255に設定する。図4のプレフィックス数の正規化方法は、プレフィックス長が大きくなるほど個数(プレフィックス数)が少なくなることに基づいたものである。 FIG. 4 is a diagram illustrating an example of the normalization method according to this embodiment. FIG. 4 shows an example of a method for normalizing the number of prefixes. In the prefix number normalization method shown in FIG. 4, a normalized value in the range from 0 to 255 is obtained by multiplying the prefix number of a specific prefix length by a coefficient corresponding to the specific prefix length. However, if the product exceeds 255, the normalized value is set to 255. The method of normalizing the number of prefixes shown in FIG. 4 is based on the fact that the larger the prefix length, the smaller the number (number of prefixes).

正規化部124は、経路要約情報の正規化の結果である経路正規化情報を画像化部125へ出力する。 The normalization unit 124 outputs route normalization information, which is a result of normalization of the route summary information, to the imaging unit 125.

画像化部125は、学習用経路情報の画像化を行う。本実施形態では、画像化部125は、経路要約情報の正規化の結果である経路正規化情報の画像化を行う。また、本実施形態では、経路情報が持つ3種類の値に基づいてRGB画像の各色の成分を求める。具体的には、プレフィックス数に基づいてRGB画像のR(赤色)成分を求め、ASパス長の最大値に基づいてRGB画像のG(緑色)成分を求め、MED値の最大値に基づいてRGB画像のB(青色)成分を求める。 The imaging unit 125 images the learning route information. In this embodiment, the imaging unit 125 images route normalized information that is a result of normalizing route summary information. Furthermore, in this embodiment, the components of each color of the RGB image are determined based on three types of values included in the route information. Specifically, the R (red) component of the RGB image is determined based on the number of prefixes, the G (green) component of the RGB image is determined based on the maximum value of the AS path length, and the RGB component is determined based on the maximum value of the MED value. Find the B (blue) component of the image.

図5は、本実施形態に係る経路情報の画像化方法の例を示す説明図である。図5では、プレフィックス数を例に挙げているが、ASパス長の最大値及びMED値の最大値も同様である。 FIG. 5 is an explanatory diagram showing an example of the route information imaging method according to the present embodiment. In FIG. 5, the number of prefixes is taken as an example, but the same applies to the maximum value of the AS path length and the maximum value of the MED value.

図5に示されるように、画像化部125は、正常な経路情報(正規化済み)の値(プレフィックス数)と学習用経路情報(経路正規化情報)の値(プレフィックス数)との差をRGB画像の画素値(R成分)に使用する。 As shown in FIG. 5, the imaging unit 125 calculates the difference between the value (number of prefixes) of the normal route information (normalized) and the value (number of prefixes) of the learning route information (route normalized information). Used for pixel values (R components) of RGB images.

RGB画像は、画素ブロックが「9行×(3×256)列」で配置される。一画素ブロックの画素数は、任意に設定される。RGB画像は、経路正規化情報の「9行×(3×256)列」の行列の各行列要素に対応する「9×(3×256)」個の画素ブロックから構成される。つまり、経路正規化情報の「9行×(3×256)列」の行列のa行b列の行列要素が、RGB画像のa行b列の画素ブロックに対応する。経路正規化情報の「9行×(3×256)列」の行列の各行列要素のプレフィックス数の差は、RGB画像の「9行×(3×256)列」の各画素ブロックのR成分に使用される。 In an RGB image, pixel blocks are arranged in "9 rows x (3 x 256) columns". The number of pixels in one pixel block is set arbitrarily. The RGB image is composed of "9 x (3 x 256)" pixel blocks corresponding to each matrix element of the "9 rows x (3 x 256) columns" matrix of route normalization information. That is, the matrix element in row a and column b of the "9 rows x (3 x 256)" matrix of route normalization information corresponds to the pixel block in row a and column b of the RGB image. The difference in the number of prefixes of each matrix element of the "9 rows x (3 x 256) columns" matrix of the route normalization information is the R component of each pixel block of "9 rows x (3 x 256) columns" of the RGB image. used for.

上記したプレフィックス数と同様に、ASパス長の最大値及びMED値の最大値もそれぞれに、正常な経路情報(正規化済み)の値と学習用経路情報(経路正規化情報)の値との差が求められる。本実施形態では、ASパス長の最大値の差をRGB画像のG成分に使用し、MED値の最大値の差をRGB画像のB成分に使用する。 Similar to the number of prefixes mentioned above, the maximum value of the AS path length and the maximum value of the MED value are also the difference between the value of normal route information (normalized) and the value of learning route information (route normalized information). Difference is required. In this embodiment, the difference between the maximum values of AS path lengths is used for the G component of the RGB image, and the difference between the maximum values of the MED values is used for the B component of the RGB image.

図6は、本実施形態に係る画像化経路情報の例を示す説明図である。図6(1)には、正常な経路情報が画像化された画像化経路情報であるRGB画像(正常な経路情報のRGB画像)が示される。図6(1)に示される正常な経路情報のRGB画像では、全ての画素ブロックが黒色である。これは、正常な経路情報では、プレフィックス数の差もASパス長の最大値の差もMED値の最大値の差も全て0であるので、RGB画像の全ての画素ブロックにおいてR成分もG成分もB成分も0となるからである。 FIG. 6 is an explanatory diagram showing an example of imaging route information according to this embodiment. FIG. 6(1) shows an RGB image (an RGB image of normal route information) that is imaged route information of normal route information. In the RGB image of normal route information shown in FIG. 6(1), all pixel blocks are black. This is because in normal route information, the difference in the number of prefixes, the difference in the maximum value of the AS path length, and the difference in the maximum value of the MED value are all 0, so in all pixel blocks of the RGB image, both the R component and the G component This is because both the B component and the B component become 0.

図6(2)には、異常な経路情報が画像化された画像化経路情報であるRGB画像(異常な経路情報のRGB画像)が示される。図6(2)に示される異常な経路情報のRGB画像では、黒色以外の色の画素ブロックが存在する。図6(2)に示される異常な経路情報のRGB画像において、黒色の画素ブロックは、プレフィックス数の差もASパス長の最大値の差もMED値の最大値の差も全て0である画素ブロックである。 FIG. 6(2) shows an RGB image (RGB image of abnormal route information) that is imaged route information in which abnormal route information is visualized. In the RGB image of the abnormal route information shown in FIG. 6(2), there are pixel blocks of colors other than black. In the RGB image of abnormal route information shown in FIG. 6(2), black pixel blocks are pixels in which the difference in prefix number, the maximum value of AS path length, and the difference in maximum value of MED value are all 0. It is a block.

一方、白色の画素ブロックは、プレフィックス数の差もASパス長の最大値の差もMED値の最大値の差も全て255(差の最大値)である画素ブロックである。つまり、白色の画素ブロックに該当するプレフィックス長且つネットワークアドレスにおける集計単位では、学習用経路情報のプレフィックス数もASパス長の最大値もMED値の最大値も全てが正常値とは大きく異なることが、異常な経路情報のRGB画像によって表されている。 On the other hand, the white pixel block is a pixel block in which the difference in the number of prefixes, the difference in the maximum value of AS path lengths, and the difference in the maximum value of MED values are all 255 (maximum value of difference). In other words, in the prefix length corresponding to the white pixel block and the aggregation unit in the network address, the number of prefixes in the learning route information, the maximum value of the AS path length, and the maximum value of the MED value are all significantly different from normal values. , is represented by an RGB image of the abnormal route information.

また、黒色及び白色以外のX色やY色の画素ブロックは、プレフィックス数の差、ASパス長の最大値の差及びMED値の最大値の差が全て0ではなく且つ全て255ではない画素ブロックである。つまり、黒色及び白色以外のX色やY色の画素ブロックに該当するプレフィックス長且つネットワークアドレスにおける集計単位では、学習用経路情報のプレフィックス数、ASパス長の最大値及びMED値の最大値のうち少なくともいずれかが正常値とは異なることが、異常な経路情報のRGB画像によって表されている。 In addition, pixel blocks of colors X and Y other than black and white are pixel blocks in which the difference in the number of prefixes, the difference in the maximum value of AS path length, and the difference in the maximum value of MED value are all not 0, and all of them are not 255. It is. In other words, in the prefix length and network address aggregation unit corresponding to pixel blocks of X and Y colors other than black and white, the number of prefixes in the learning route information, the maximum value of the AS path length, and the maximum value of the MED value The RGB image of the abnormal route information indicates that at least one of the values is different from the normal value.

図6に示される本実施形態に係る画像化経路情報であるRGB画像によれば、R成分、G成分及びB成分のそれぞれの大きさによって、学習用経路情報のプレフィックス数、ASパス長の最大値及びMED値の最大値についてそれぞれの正常値との差が表される。本実施形態では、この画像化経路情報(RGB画像)を、機械学習モデルである畳み込みニューラルネットワークの学習に使用する。畳み込みニューラルネットワークは画像認識に適した機械学習モデルであるので、当該画像化経路情報(RGB画像)を学習データに使用することにより、異常経路の学習の精度及び効率が向上する。 According to the RGB image that is the imaging route information according to the present embodiment shown in FIG. The difference between the maximum value and the MED value from each normal value is expressed. In this embodiment, this imaging path information (RGB image) is used for learning of a convolutional neural network, which is a machine learning model. Since the convolutional neural network is a machine learning model suitable for image recognition, by using the imaged route information (RGB images) as learning data, the accuracy and efficiency of learning abnormal routes is improved.

画像化部125は、経路正規化情報の画像化の結果である画像化経路情報(RGB画像)を、該当の学習用収集データBに対応する学習用データセットに格納する。また、学習用データセットは、該当の学習用収集データBに対応する教師データCを格納する。教師データCは、学習用収集データBから抽出された学習用経路情報が異常経路を含むか否かを示すデータである。学習用データセットは、学習用データセット格納部126に格納される。 The imaging unit 125 stores the imaged route information (RGB image), which is the result of imaging the route normalization information, in the learning data set corresponding to the corresponding learning collected data B. Further, the learning data set stores teacher data C corresponding to the corresponding learning collected data B. The teacher data C is data indicating whether the learning route information extracted from the learning collected data B includes an abnormal route. The learning data set is stored in the learning data set storage section 126.

モデル学習部13は、学習前処理部12が生成した学習用データセットD(通信品質情報、画像化経路情報(RGB画像)及び教師データ)を学習データに使用して、所定の機械学習モデルである畳み込みニューラルネットワークに対して教師あり学習を行う。この学習によって、経路分析モデル30が生成される。 The model learning unit 13 uses the learning data set D (communication quality information, imaging route information (RGB image), and teaching data) generated by the learning preprocessing unit 12 as learning data to form a predetermined machine learning model. Perform supervised learning on a convolutional neural network. Through this learning, a route analysis model 30 is generated.

次に図7を参照して本実施形態に係る学習データ生成方法を説明する。図7は、本実施形態に係る学習データ生成方法の手順の例を示すフローチャートである。 Next, the learning data generation method according to this embodiment will be explained with reference to FIG. FIG. 7 is a flowchart illustrating an example of the procedure of the learning data generation method according to the present embodiment.

(ステップS1) モデル学習装置10は、正常な経路情報に基づいて疑似異常経路情報Eを生成する。モデル学習装置10は、BGPネットワークエミュレータ100を介して、疑似異常経路情報EをBGPネットワークNWに適用する。 (Step S1) The model learning device 10 generates pseudo abnormal route information E based on the normal route information. The model learning device 10 applies the pseudo abnormal route information E to the BGP network NW via the BGP network emulator 100.

(ステップS2) モデル学習装置10は、各ノードNDから、疑似異常経路情報Eに基づいた各通信情報Aを収集する。 (Step S2) The model learning device 10 collects each communication information A based on the pseudo abnormal route information E from each node ND.

(ステップS3) モデル学習装置10は、収集した通信情報Aから構成される収集データBから通信品質情報及び経路情報(学習用経路情報)を抽出する。 (Step S3) The model learning device 10 extracts communication quality information and route information (learning route information) from the collected data B composed of the collected communication information A.

(ステップS4) モデル学習装置10は、学習用経路情報の要約及び正規化を行う。 (Step S4) The model learning device 10 summarizes and normalizes the learning route information.

(ステップS5) モデル学習装置10は、学習用経路情報の要約及び正規化の結果の経路正規化情報の画像化を行う。経路正規化情報の画像化によって画像化経路情報が生成される。 (Step S5) The model learning device 10 summarizes the learning route information and converts the route normalized information resulting from the normalization into an image. Imaged route information is generated by imaging the route normalized information.

(ステップS6) モデル学習装置10は、学習用経路情報に対応する教師データCを取得する。 (Step S6) The model learning device 10 acquires teacher data C corresponding to learning route information.

(ステップS7) モデル学習装置10は、通信品質情報、画像化経路情報及び教師データCから構成される学習用データセットDを記録する。 (Step S7) The model learning device 10 records a learning data set D composed of communication quality information, imaging route information, and teacher data C.

(ステップS8) モデル学習装置10は、学習用データセットDを使用して所定の機械学習モデルを学習させることにより、経路分析モデル30を生成する。 (Step S8) The model learning device 10 generates the route analysis model 30 by learning a predetermined machine learning model using the learning data set D.

[学習前処理部の他の構成例]
図8は、本実施形態に係る学習前処理部の他の構成例を示すブロック図である。図8において図2の各部に対応する部分には同一の符号を付け、その説明を省略する。図8に示される学習前処理部12は、図2の学習前処理部12において品質情報抽出部121が削除されている。このため、図8に示される学習前処理部12において、学習用データセットDは通信品質情報を持たない。つまり、図8に示される学習前処理部12が生成する学習用データセットDは、画像化経路情報と教師データCとから構成される。モデル学習装置10は、学習用データセットDの画像化経路情報と教師データCとを使用して所定の機械学習モデルを学習させることにより、経路分析モデル30を生成する。 [Other configuration examples of the learning preprocessing unit]
FIG. 8 is a block diagram showing another example of the configuration of the learning preprocessing section according to this embodiment. In FIG. 8, parts corresponding to those in FIG. 2 are given the same reference numerals, and their explanations will be omitted. In the learning pre-processing section 12 shown in FIG. 8, the quality information extraction section 121 in the learning pre-processing section 12 of FIG. 2 is deleted. Therefore, in the learning preprocessing unit 12 shown in FIG. 8, the learning data set D does not have communication quality information. That is, the learning data set D generated by the learning preprocessing unit 12 shown in FIG. 8 is composed of imaging route information and teacher data C. The model learning device 10 generates a route analysis model 30 by learning a predetermined machine learning model using the imaging route information of the learning data set D and the teacher data C.

上述した実施形態によれば、BGPネットワークNWから収集された判定対象の経路情報が異常経路を含むか否かを判定するための経路分析モデル30を効率よく生成することができる。これにより、BGPネットワークNWにおける異常経路の判定にかかる負担の軽減を図ることができるという効果が得られる。 According to the embodiment described above, it is possible to efficiently generate the route analysis model 30 for determining whether the route information to be determined collected from the BGP network NW includes an abnormal route. This has the effect of reducing the burden of determining abnormal routes in the BGP network NW.

以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。 Although the embodiment of the present invention has been described above in detail with reference to the drawings, the specific configuration is not limited to this embodiment, and design changes and the like may be made without departing from the gist of the present invention.

また、上述した各装置の機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disc)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。 Further, a computer program for realizing the functions of each device described above may be recorded on a computer-readable recording medium, and the program recorded on the recording medium may be read into a computer system and executed. Note that the "computer system" here may include hardware such as an OS and peripheral devices.
Furthermore, "computer-readable recording media" refers to flexible disks, magneto-optical disks, ROMs, writable non-volatile memories such as flash memory, portable media such as DVDs (Digital Versatile Discs), and media built into computer systems. A storage device such as a hard disk.

さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。 Furthermore, "computer-readable recording medium" refers to volatile memory (for example, DRAM (Dynamic It also includes those that retain programs for a certain period of time, such as Random Access Memory).
Further, the program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in a transmission medium. Here, the "transmission medium" that transmits the program refers to a medium that has a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line.
Moreover, the above-mentioned program may be for realizing a part of the above-mentioned functions. Furthermore, it may be a so-called difference file (difference program) that can realize the above-described functions in combination with a program already recorded in the computer system.

10…モデル学習装置、11…データ収集部、12…学習前処理部、13…モデル学習部、14…疑似異常経路情報生成部、100…BGPネットワークエミュレータ、ND…ノード、NW…BGPネットワーク DESCRIPTION OF SYMBOLS 10... Model learning device, 11... Data collection unit, 12... Learning preprocessing unit, 13... Model learning unit, 14... Pseudo abnormal route information generation unit, 100... BGP network emulator, ND... Node, NW... BGP network

Claims (11)

特定の経路制御プロトコルに基づいた経路制御が行われる通信ネットワークから学習用経路情報を収集するデータ収集部と、
学習用経路情報の画像化を行う画像化部と、を備え、
画像化された学習用経路情報と当該学習用経路情報が異常経路を含むか否かを示す教師データとを、前記通信ネットワークから収集された判定対象の経路情報が異常経路を含むか否かを判定するためのモデルを生成するために所定の機械学習モデルを学習させる学習データに使用する、
学習データ生成装置であって、
前記画像化部は、正常な経路情報の値と学習用経路情報の値との差を画素値に使用する、
学習データ生成装置。 a data collection unit that collects learning route information from a communication network where route control is performed based on a specific route control protocol;
an imaging unit that images the learning route information;
The imaged learning route information and teacher data indicating whether the learning route information includes an abnormal route are used to determine whether the route information to be determined collected from the communication network includes an abnormal route. Used as training data to train a predetermined machine learning model to generate a model for judgment,
A learning data generation device ,
The imaging unit uses a difference between a value of normal route information and a value of learning route information as a pixel value.
Learning data generation device. 前記画像化部は、経路情報が持つ3種類の値の各前記差を、RGB画像の各色の画素値に使用する、
請求項に記載の学習データ生成装置。 The imaging unit uses each of the differences between the three types of values of the route information as a pixel value of each color of the RGB image.
The learning data generation device according to claim 1 . 前記経路情報が持つ3種類の値は、特定プレフィックス長の個数とASパス長の最大値の個数とMED値の最大値の個数とである、
請求項に記載の学習データ生成装置。 The three types of values that the route information has are the number of specific prefix lengths, the maximum number of AS path lengths, and the maximum number of MED values.
The learning data generation device according to claim 2 . 特定の経路制御プロトコルに基づいた経路制御が行われる通信ネットワークから学習用経路情報を収集するデータ収集部と、
学習用経路情報の画像化を行う画像化部と、を備え、
画像化された学習用経路情報と当該学習用経路情報が異常経路を含むか否かを示す教師データとを、前記通信ネットワークから収集された判定対象の経路情報が異常経路を含むか否かを判定するためのモデルを生成するために所定の機械学習モデルを学習させる学習データに使用する、
学習データ生成装置であって、
学習用経路情報が持つ各種類の値について、所定のプレフィックス長ごとに、ネットワークアドレスにおける集計単位で集計する要約部をさらに備え、
前記画像化部は、前記集計の結果の学習用経路情報の画像化を行う、
学習データ生成装置。 a data collection unit that collects learning route information from a communication network where route control is performed based on a specific route control protocol;
an imaging unit that images the learning route information;
The imaged learning route information and teacher data indicating whether the learning route information includes an abnormal route are used to determine whether the route information to be determined collected from the communication network includes an abnormal route. Used as training data to train a predetermined machine learning model to generate a model for judgment,
A learning data generation device,
further comprising a summarization unit for aggregating each type of value of the learning route information for each prefix length in aggregation units in network addresses;
The imaging unit images the learning route information as a result of the aggregation.
Learning data generation device. 正常な経路情報に基づいて疑似異常経路情報を生成する疑似異常経路情報生成部をさらに備え、
前記通信ネットワークに疑似異常経路情報を適用することにより前記通信ネットワークから学習用経路情報を収集する、
請求項1からのいずれか1項に記載の学習データ生成装置。 further comprising a pseudo-abnormal route information generation unit that generates pseudo-abnormal route information based on the normal route information,
collecting learning route information from the communication network by applying pseudo-abnormal route information to the communication network;
The learning data generation device according to any one of claims 1 to 4 . 請求項1からのいずれか1項に記載の学習データ生成装置と、
前記学習データ生成装置が生成した学習データを使用して所定の機械学習モデルを学習させることにより、特定の経路制御プロトコルに基づいた経路制御が行われる通信ネットワークから収集された判定対象の経路情報が異常経路を含むか否かを判定するためのモデルを生成するモデル学習部と、
を備えるモデル学習装置。 A learning data generation device according to any one of claims 1 to 5 ,
By training a predetermined machine learning model using the learning data generated by the learning data generation device, the route information to be determined collected from the communication network where route control is performed based on a specific route control protocol is a model learning unit that generates a model for determining whether or not an abnormal route is included;
A model learning device comprising: 前記機械学習モデルは畳み込みニューラルネットワークである、
請求項に記載のモデル学習装置。 the machine learning model is a convolutional neural network;
The model learning device according to claim 6 . 学習データ生成装置が、特定の経路制御プロトコルに基づいた経路制御が行われる通信ネットワークから学習用経路情報を収集するデータ収集ステップと、
前記学習データ生成装置が、学習用経路情報の画像化を行う画像化ステップと、を含み、
画像化された学習用経路情報と当該学習用経路情報が異常経路を含むか否かを示す教師データとを、前記通信ネットワークから収集された判定対象の経路情報が異常経路を含むか否かを判定するためのモデルを生成するために所定の機械学習モデルを学習させる学習データに使用する、
学習データ生成方法であって、
前記画像化ステップは、正常な経路情報の値と学習用経路情報の値との差を画素値に使用する、
学習データ生成方法。 a data collection step in which the learning data generation device collects learning route information from a communication network where route control is performed based on a specific route control protocol;
The learning data generation device includes an imaging step of imaging learning route information,
The imaged learning route information and teacher data indicating whether the learning route information includes an abnormal route are used to determine whether the route information to be determined collected from the communication network includes an abnormal route. Used as training data to train a predetermined machine learning model to generate a model for judgment,
A learning data generation method ,
The imaging step uses a difference between a value of normal route information and a value of learning route information as a pixel value.
Training data generation method. 学習データ生成装置が、特定の経路制御プロトコルに基づいた経路制御が行われる通信ネットワークから学習用経路情報を収集するデータ収集ステップと、 a data collection step in which the learning data generation device collects learning route information from a communication network where route control is performed based on a specific route control protocol;
前記学習データ生成装置が、学習用経路情報の画像化を行う画像化ステップと、を含み、 The learning data generation device includes an imaging step of imaging learning route information,
画像化された学習用経路情報と当該学習用経路情報が異常経路を含むか否かを示す教師データとを、前記通信ネットワークから収集された判定対象の経路情報が異常経路を含むか否かを判定するためのモデルを生成するために所定の機械学習モデルを学習させる学習データに使用する、 The imaged learning route information and teacher data indicating whether the learning route information includes an abnormal route are used to determine whether the route information to be determined collected from the communication network includes an abnormal route. Used as training data to train a predetermined machine learning model to generate a model for judgment,
学習データ生成方法であって、 A learning data generation method,
前記学習データ生成装置が、学習用経路情報が持つ各種類の値について、所定のプレフィックス長ごとに、ネットワークアドレスにおける集計単位で集計する要約ステップをさらに含み、 The learning data generation device further includes a summarizing step of aggregating each type of value of the learning route information for each predetermined prefix length in aggregation units in network addresses,
前記画像化ステップは、前記集計の結果の学習用経路情報の画像化を行う、 The imaging step images the learning route information as a result of the aggregation.
学習データ生成方法。 Training data generation method. コンピュータに、
特定の経路制御プロトコルに基づいた経路制御が行われる通信ネットワークから学習用経路情報を収集するデータ収集ステップと、
学習用経路情報の画像化を行う画像化ステップと、を実行させ、
画像化された学習用経路情報と当該学習用経路情報が異常経路を含むか否かを示す教師データとを、前記通信ネットワークから収集された判定対象の経路情報が異常経路を含むか否かを判定するためのモデルを生成するために所定の機械学習モデルを学習させる学習データに使用する、
コンピュータプログラムであって、
前記画像化ステップは、正常な経路情報の値と学習用経路情報の値との差を画素値に使用する、
コンピュータプログラム。 to the computer,
a data collection step of collecting learning route information from a communication network where route control is performed based on a specific route control protocol;
performing an imaging step of imaging the learning route information;
The imaged learning route information and teacher data indicating whether the learning route information includes an abnormal route are used to determine whether the route information to be determined collected from the communication network includes an abnormal route. Used as training data to train a predetermined machine learning model to generate a model for judgment,
A computer program ,
The imaging step uses a difference between a value of normal route information and a value of learning route information as a pixel value.
computer program. コンピュータに、 to the computer,
特定の経路制御プロトコルに基づいた経路制御が行われる通信ネットワークから学習用経路情報を収集するデータ収集ステップと、 a data collection step of collecting learning route information from a communication network where route control is performed based on a specific route control protocol;
学習用経路情報の画像化を行う画像化ステップと、を実行させ、 performing an imaging step of imaging the learning route information;
画像化された学習用経路情報と当該学習用経路情報が異常経路を含むか否かを示す教師データとを、前記通信ネットワークから収集された判定対象の経路情報が異常経路を含むか否かを判定するためのモデルを生成するために所定の機械学習モデルを学習させる学習データに使用する、 The imaged learning route information and teacher data indicating whether the learning route information includes an abnormal route are used to determine whether the route information to be determined collected from the communication network includes an abnormal route. Used as training data to train a predetermined machine learning model to generate a model for judgment,
コンピュータプログラムであって、 A computer program,
学習用経路情報が持つ各種類の値について、所定のプレフィックス長ごとに、ネットワークアドレスにおける集計単位で集計する要約ステップをさらに前記コンピュータに実行させ、 further causing the computer to perform a summarizing step of aggregating each type of value of the learning route information in aggregation units in network addresses for each prefix length;
前記画像化ステップは、前記集計の結果の学習用経路情報の画像化を行う、 The imaging step images the learning route information as a result of the aggregation.
コンピュータプログラム。 computer program.
JP2020103155A 2020-06-15 2020-06-15 Learning data generation device, model learning device, learning data generation method, and computer program Active JP7384751B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020103155A JP7384751B2 (en) 2020-06-15 2020-06-15 Learning data generation device, model learning device, learning data generation method, and computer program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020103155A JP7384751B2 (en) 2020-06-15 2020-06-15 Learning data generation device, model learning device, learning data generation method, and computer program

Publications (2)

Publication Number Publication Date
JP2021197640A JP2021197640A (en) 2021-12-27
JP7384751B2 true JP7384751B2 (en) 2023-11-21

Family

ID=79196136

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020103155A Active JP7384751B2 (en) 2020-06-15 2020-06-15 Learning data generation device, model learning device, learning data generation method, and computer program

Country Status (1)

Country Link
JP (1) JP7384751B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7710145B2 (en) * 2022-02-15 2025-07-18 Ntt株式会社 Data set creation device, data set creation method, and program

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180070251A1 (en) 2016-09-07 2018-03-08 Qualcomm Incorporated Techniques for generating a composite color to represent values of a communication metric
JP2019504584A (en) 2015-12-21 2019-02-14 シマンテック コーポレーションSymantec Corporation Accurate real-time identification of malicious BGP hijacking
US20200112574A1 (en) 2018-10-03 2020-04-09 At&T Intellectual Property I, L.P. Unsupervised encoder-decoder neural network security event detection
CN111191767A (en) 2019-12-17 2020-05-22 博雅信安科技(北京)有限公司 Vectorization-based malicious traffic attack type judgment method

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019504584A (en) 2015-12-21 2019-02-14 シマンテック コーポレーションSymantec Corporation Accurate real-time identification of malicious BGP hijacking
US20180070251A1 (en) 2016-09-07 2018-03-08 Qualcomm Incorporated Techniques for generating a composite color to represent values of a communication metric
US20200112574A1 (en) 2018-10-03 2020-04-09 At&T Intellectual Property I, L.P. Unsupervised encoder-decoder neural network security event detection
CN111191767A (en) 2019-12-17 2020-05-22 博雅信安科技(北京)有限公司 Vectorization-based malicious traffic attack type judgment method

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
毛利 元一 ほか,機械学習を用いたBGP異常アップデート障害検知に関する一検討,電子情報通信学会2020年総合大会講演論文集 通信2 PROCEEDINGS OF THE 2020 IEICE GENERAL CONFERENCE,日本,2020年03月03日,p.330

Also Published As

Publication number Publication date
JP2021197640A (en) 2021-12-27

Similar Documents

Publication Publication Date Title
US10574576B1 (en) Latency tracking
US8824282B2 (en) Network simulation and analysis using operational forwarding data
CN113676484A (en) An attack source tracing method, device and electronic device
US20200145435A1 (en) Suspicious packet detection device and suspicious packet detection method thereof
CN113037722B (en) Intrusion detection method and device for edge calculation scene
US12413529B2 (en) Traffic estimations for networks
US20160234234A1 (en) Orchestrating the Use of Network Resources in Software Defined Networking Applications
US10411983B2 (en) Latency monitoring for network devices
JP4232828B2 (en) Application classification method, network abnormality detection method, application classification program, network abnormality detection program, application classification apparatus, network abnormality detection apparatus
CN111953552B (en) Data flow classification method and message forwarding equipment
CN112437022B (en) Network traffic identification method, device and computer storage medium
CN111385106B (en) Method, device and equipment for identifying fault root cause
JP7384751B2 (en) Learning data generation device, model learning device, learning data generation method, and computer program
US20200382359A1 (en) Extracting and tagging text about networking entities from human readable textual data sources and using tagged text to build graph of nodes including networking entities
WO2018188733A1 (en) A computer implemented data processing method
CN109218067B (en) System and method for aggregating subscriber perspective data
CN110138720B (en) Anomaly classification and detection method, device, storage medium and processor for network traffic
CN116170203A (en) A method and system for predicting security risk events
WO2021001879A1 (en) Traffic monitoring device, and traffic monitoring method
US9158807B2 (en) Fast distributed database frequency summarization
CN116346395A (en) A method, system, device and storage medium for identifying industrial control network assets
US20250260719A1 (en) Malware process injection detection
CN117978539A (en) Network intrusion detection system, method, device, computer equipment and medium
US20090059796A1 (en) Method, system, and computer program product for identifying common factors associated with network threshold violations
TWI913616B (en) Detection method and detection device for abnormal network traffic

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220622

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230413

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230606

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230803

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231024

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231109

R150 Certificate of patent or registration of utility model

Ref document number: 7384751

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150