JP7405231B2 - 学習装置、学習方法及び学習プログラム - Google Patents
学習装置、学習方法及び学習プログラム Download PDFInfo
- Publication number
- JP7405231B2 JP7405231B2 JP2022500201A JP2022500201A JP7405231B2 JP 7405231 B2 JP7405231 B2 JP 7405231B2 JP 2022500201 A JP2022500201 A JP 2022500201A JP 2022500201 A JP2022500201 A JP 2022500201A JP 7405231 B2 JP7405231 B2 JP 7405231B2
- Authority
- JP
- Japan
- Prior art keywords
- learning
- representative point
- data
- representative
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 33
- 238000004891 communication Methods 0.000 claims description 89
- 238000000605 extraction Methods 0.000 claims description 41
- 239000000284 extract Substances 0.000 claims description 16
- 238000001514 detection method Methods 0.000 description 62
- 238000011156 evaluation Methods 0.000 description 38
- 238000012545 processing Methods 0.000 description 19
- 238000010586 diagram Methods 0.000 description 17
- 230000006870 function Effects 0.000 description 10
- 230000005856 abnormality Effects 0.000 description 8
- 238000005070 sampling Methods 0.000 description 7
- 230000002159 abnormal effect Effects 0.000 description 3
- 238000002474 experimental method Methods 0.000 description 3
- 230000000052 comparative effect Effects 0.000 description 2
- 238000012854 evaluation process Methods 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002250 progressing effect Effects 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 238000011144 upstream manufacturing Methods 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003211 malignant effect Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/10—Machine learning using kernel methods, e.g. support vector machines [SVM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
- G06N3/0455—Auto-encoder networks; Encoder-decoder networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/047—Probabilistic or stochastic networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/0475—Generative networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/088—Non-supervised learning, e.g. competitive learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Artificial Intelligence (AREA)
- Mathematical Physics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Biophysics (AREA)
- Molecular Biology (AREA)
- General Health & Medical Sciences (AREA)
- Computational Linguistics (AREA)
- Biomedical Technology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Security & Cryptography (AREA)
- Medical Informatics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Probability & Statistics with Applications (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Electrically Operated Instructional Devices (AREA)
Description
本実施の形態では、kernel herdingと呼ばれるカーネル法を用いて、学習用トラフィック特徴量の代表点を抽出することで、学習用のトラフィック特徴量の傾向を把握するための情報を提供する。さらに、本実施の形態では、確率密度推定器としてVAEのような生成モデルを用いた場合、生成モデルからデータを生成し、kernel herdingを用いて、生成したデータの代表点を抽出することで、生成モデルが実際にどのような通信を正常とみなすのかを把握するための情報を提供する。
まず、kernel herdingについて説明する。kernel herdingは、カーネル平均mxをカーネルサンプル平均(1/T)ΣtΦ(xt)で効率的に近似するようなサンプル列を求めるためのアルゴリズムとして提案された(非特許文献1参照)。kernel herdingでは、(1),(2)式に示す更新式にしたがってサンプル列{xt}を逐次的に求める。
本実施の形態における通信システムについて説明する。図2は、実施の形態における通信システムの構成の一例を示すブロック図である。図2に示すように、実施の形態における通信システム1では、複数のNW装置2と、検知システム100とが、ネットワークNを介して接続する構成を有する。検知システム100は、NW管理者等が使用するユーザ端末3との間で通信を行う。
次に、図3を参照して、理の流れについて説明する。図3は、実施の形態における検知システム100の処理の流れについて説明する図である。
次に、検知システム100の各装置の構成について説明する。まず、学習装置10について説明する。図4は、学習装置10の構成の一例を示す図である。図4に示すように、学習装置10は、通信部11、記憶部12及び制御部13を有する。
次に、検知装置20について説明する。図5は、検知装置20の構成の一例を示す図である。図5に示すように、検知装置20は、通信部21、記憶部22及び制御部23を有する。
次に、評価装置30の構成について説明する。図6は、評価装置30の構成の一例を示す図である。図6に示すように、評価装置30は、通信部31、記憶部32及び制御部33を有する。
次に、学習装置10が実行する学習方法について説明する。図7は、実施の形態に係る学習処理の処理手順を示すフローチャートである。
次に、評価装置30が実行する評価方法について説明する。図8は、評価装置30が実行する評価処理の処理手順を示すフローチャートである。
例えば、本実施の形態における検知システム100は、IoT機器の異常検知に適用することができる。図9は、実施の形態における検知システム100の適用例を説明する図である。図9に示すように、複数のIoT機器4が接続されたネットワーク5上に、検知システム100を設ける。この場合、検知システム100は、IoT機器4が送受信するトラフィックセッション情報を収集し、正常トラフィックセッションの確率密度の学習、及び、異常トラフィックセッションの検知を行う。
実際に、学習用のトラフィック特徴量のデータセットから、kernel herdingを用いて代表点を抽出した。具体的には、2種類の通信(MQTT(Message Queue Telemetry Transport)による温度情報送信(500件)、RTMP(Real-Time Messaging Protocol)による動画配信(300件))を混ぜたデータセットを作成し、kernel herdingによる代表点抽出を行った。その結果を表1に示す。
このように、本実施の形態に係る学習装置10は、複数の通信データの特徴量をそれぞれ抽出し、通信データの特徴量を生成モデルに学習させる。
図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
図10は、プログラムが実行されることにより、検知システム100が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
2 NW装置
3 ユーザ端末
4 IoT機器
5,N ネットワーク
10 学習装置
11,21,31 通信部
12,22,32 記憶部
13,23,33 制御部
20 検知装置
30 評価装置
100 検知システム
121 VAEモデル
131,231 取得部
132,232 特徴量抽出部
133 モデル学習部
233 検知部
331 モデル評価部
1331 学習部
1332,3312 代表点抽出部
1333,3313 提示部
3311 データ生成部
Claims (3)
- 学習用の複数の通信データを取得する取得部と、
前記複数の通信データの特徴量をそれぞれ抽出する特徴量抽出部と、
前記通信データの特徴量を生成モデルに学習させる学習部と、
kernel herdingを用いて、前記複数の通信データの特徴量の代表点を抽出する第1の代表点抽出部と、
前記第1の代表点抽出部によって抽出された代表点を出力する出力部と、
前記生成モデルから複数のデータを生成する生成部と、
前記kernel herdingを用いて、前記複数のデータの代表点を抽出する第2の代表点抽出部と、
を有し、
前記出力部は、前記第2の代表点抽出部によって抽出された代表点を出力し、
前記第1の代表点抽出部によって抽出された代表点と、前記第2の代表点抽出部によって抽出された代表点との差分は、前記生成モデルの進行度合いの評価において使用されることを特徴とする学習装置。 - 学習装置が実行する学習方法であって、
学習用の複数の通信データを取得する取得工程と、
前記複数の通信データの特徴量をそれぞれ抽出する特徴量抽出工程と、
前記通信データの特徴量を生成モデルに学習させる学習工程と、
kernel herdingを用いて、前記複数の通信データの特徴量の代表点を抽出する第1の代表点抽出工程と、
前記第1の代表点抽出工程において抽出された代表点を出力する出力工程と、
前記生成モデルから複数のデータを生成する生成工程と、
前記kernel herdingを用いて、前記複数のデータの代表点を抽出する第2の代表点抽出工程と、
を含み、
前記出力工程は、前記第2の代表点抽出工程において抽出された代表点を出力し、
前記第1の代表点抽出工程において抽出された代表点と、前記第2の代表点抽出工程によって抽出された代表点との差分は、前記生成モデルの進行度合いの評価において使用されることを特徴とする学習方法。 - 学習用の複数の通信データを取得する取得ステップと、
前記複数の通信データの特徴量をそれぞれ抽出する特徴量抽出ステップと、
前記通信データの特徴量を生成モデルに学習させる学習ステップと、
kernel herdingを用いて、前記複数の通信データの特徴量の代表点を抽出する第1の代表点抽出ステップと、
前記第1の代表点抽出ステップにおいて抽出された代表点を出力する出力ステップと、
前記生成モデルから複数のデータを生成する生成ステップと、
前記kernel herdingを用いて、前記複数のデータの代表点を抽出する第2の代表点抽出ステップと、
をコンピュータに実行させ、
前記出力ステップは、前記第2の代表点抽出ステップにおいて抽出された代表点を出力し、
前記第1の代表点抽出ステップにおいて抽出された代表点と、前記第2の代表点抽出ステップによって抽出された代表点との差分は、前記生成モデルの進行度合いの評価において使用されるための学習プログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2020/005908 WO2021161538A1 (ja) | 2020-02-14 | 2020-02-14 | 学習装置、学習方法及び学習プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2021161538A1 JPWO2021161538A1 (ja) | 2021-08-19 |
JP7405231B2 true JP7405231B2 (ja) | 2023-12-26 |
Family
ID=77293032
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022500201A Active JP7405231B2 (ja) | 2020-02-14 | 2020-02-14 | 学習装置、学習方法及び学習プログラム |
Country Status (6)
Country | Link |
---|---|
US (1) | US20220374780A1 (ja) |
EP (1) | EP4092581A4 (ja) |
JP (1) | JP7405231B2 (ja) |
CN (1) | CN115087993A (ja) |
AU (1) | AU2020428327B2 (ja) |
WO (1) | WO2021161538A1 (ja) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019067224A (ja) | 2017-10-03 | 2019-04-25 | 日本電気株式会社 | 人流パターン推定システム、人流パターン推定方法および人流パターン推定プログラム |
JP2019220892A (ja) | 2018-06-21 | 2019-12-26 | 日本電信電話株式会社 | 検知装置及び検知方法 |
-
2020
- 2020-02-14 WO PCT/JP2020/005908 patent/WO2021161538A1/ja active Application Filing
- 2020-02-14 US US17/798,566 patent/US20220374780A1/en active Pending
- 2020-02-14 EP EP20919013.1A patent/EP4092581A4/en active Pending
- 2020-02-14 AU AU2020428327A patent/AU2020428327B2/en active Active
- 2020-02-14 CN CN202080096228.9A patent/CN115087993A/zh active Pending
- 2020-02-14 JP JP2022500201A patent/JP7405231B2/ja active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019067224A (ja) | 2017-10-03 | 2019-04-25 | 日本電気株式会社 | 人流パターン推定システム、人流パターン推定方法および人流パターン推定プログラム |
JP2019220892A (ja) | 2018-06-21 | 2019-12-26 | 日本電信電話株式会社 | 検知装置及び検知方法 |
Non-Patent Citations (2)
Title |
---|
KANAGAWA, Motonobu, et al.,"Filtering with State-Observation Examples via Kernel Monte Carlo Filter",arXiv:1312.4664v4,version v4,[online], arXiv (Cornell University),2015年10月22日,Pages 1-57,[retrieved on 2020.06.26], Retrieved from the Internet: <URL: https://arxiv.org/abs/1312.4664v4> and |
LECUYER, Mathias, et al.,"Pyramid: Enhancing Selectivity in Big Data Protection with Count Featurization",Proceedings of the 2017 IEEE Symposium on Security and Privacy,2017年05月26日,Pages 78-95,ISBN: 978-1-5090-5533-3, <DOI: 10.1109/SP.2017.60>. |
Also Published As
Publication number | Publication date |
---|---|
EP4092581A4 (en) | 2023-09-06 |
CN115087993A (zh) | 2022-09-20 |
EP4092581A1 (en) | 2022-11-23 |
AU2020428327B2 (en) | 2023-11-16 |
US20220374780A1 (en) | 2022-11-24 |
WO2021161538A1 (ja) | 2021-08-19 |
AU2020428327A1 (en) | 2022-09-08 |
JPWO2021161538A1 (ja) | 2021-08-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Engelen et al. | Troubleshooting an intrusion detection dataset: the CICIDS2017 case study | |
EP3206366B1 (en) | An anomaly alert system for cyber threat detection | |
Wang et al. | Botnet detection based on anomaly and community detection | |
US8539221B2 (en) | Method and system for identifying an application type of encrypted traffic | |
CN113468071B (zh) | 模糊测试用例生成方法、系统、计算机设备及存储介质 | |
US11403559B2 (en) | System and method for using a user-action log to learn to classify encrypted traffic | |
CN106878314B (zh) | 基于可信度的网络恶意行为检测方法 | |
CN111245667A (zh) | 网络业务识别方法及装置 | |
Rosner et al. | Profit: Detecting and Quantifying Side Channels in Networked Applications. | |
JPWO2017094377A1 (ja) | 分類方法、分類装置および分類プログラム | |
Kiran et al. | Detecting anomalous packets in network transfers: investigations using PCA, autoencoder and isolation forest in TCP | |
CN109347785A (zh) | 一种终端类型识别方法及装置 | |
WO2019244902A1 (ja) | 評価装置及び評価方法 | |
JPWO2019043804A1 (ja) | ログ分析装置、ログ分析方法及びプログラム | |
Lee et al. | ATMSim: An anomaly teletraffic detection measurement analysis simulator | |
JP7405231B2 (ja) | 学習装置、学習方法及び学習プログラム | |
CN112437022B (zh) | 网络流量识别方法、设备及计算机存储介质 | |
CN111369010B (zh) | 一种信息资产类别识别方法、装置、介质和设备 | |
Ma et al. | Grammatch: An automatic protocol feature extraction and identification system | |
Bahashwan et al. | HLD-DDoSDN: High and low-rates dataset-based DDoS attacks against SDN | |
Moore et al. | Learning network structure via hawkes processes | |
Niu et al. | Network steganography based on traffic behavior in dynamically changing wireless sensor networks | |
CN114499923B (zh) | 一种icmp模拟报文的生成方法及装置 | |
US11941626B2 (en) | System and method for associating a cryptocurrency address to a user | |
Rodriguez et al. | Action recommendation for cyber resilience |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220526 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230704 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230825 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231114 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231127 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7405231 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |