JP7444287B2 - 推定装置、推定方法、および、推定プログラム - Google Patents
推定装置、推定方法、および、推定プログラム Download PDFInfo
- Publication number
- JP7444287B2 JP7444287B2 JP2022563513A JP2022563513A JP7444287B2 JP 7444287 B2 JP7444287 B2 JP 7444287B2 JP 2022563513 A JP2022563513 A JP 2022563513A JP 2022563513 A JP2022563513 A JP 2022563513A JP 7444287 B2 JP7444287 B2 JP 7444287B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- abnormal
- payload
- estimation
- normal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 16
- 230000002159 abnormal effect Effects 0.000 claims description 77
- 230000005856 abnormality Effects 0.000 claims description 28
- 239000000284 extract Substances 0.000 claims description 19
- 238000000605 extraction Methods 0.000 claims description 17
- 238000010801 machine learning Methods 0.000 claims description 9
- 238000003066 decision tree Methods 0.000 claims description 8
- 238000012549 training Methods 0.000 claims description 6
- 230000002441 reversible effect Effects 0.000 claims description 5
- 238000012417 linear regression Methods 0.000 claims description 2
- 238000007477 logistic regression Methods 0.000 claims description 2
- 230000009466 transformation Effects 0.000 claims 1
- 238000012545 processing Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 7
- 238000006243 chemical reaction Methods 0.000 description 5
- 238000002474 experimental method Methods 0.000 description 4
- 230000010365 information processing Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 238000013135 deep learning Methods 0.000 description 2
- 238000013528 artificial neural network Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013136 deep learning model Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012946 outsourcing Methods 0.000 description 1
- 230000007474 system interaction Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Devices For Executing Special Programs (AREA)
- Debugging And Monitoring (AREA)
Description
本発明は、異常と判定されたパケットについて、当該パケットのペイロードのどの部分が原因で異常と判定されたのかを推定する、推定装置、推定方法、および、推定プログラムに関する。
従来、深層学習等を用いた異常検知器が提案されている。この異常検知器による異常検知の原因を説明できれば、検知された異常に対しユーザが適切な対処をするための意思決定に役立つ。近年では、深層学習モデルの判断を説明するために、説明可能なモデルに入力した特徴量における原因箇所や、特徴量の元データにおける原因箇所を推定する手法が提案されている。
K. Amarasinghe et al., "Toward Explainable Deep Neural Network based Anomaly Detection," IEEE:11th International Conference on Human System Interaction, 2018.
しかし、従来技術の深層学習を用いた異常検知器の中には、元データから特徴量へ非可逆的に変換するものがある。その場合、特徴量の異常箇所が判明しても、元データの原因箇所の推定が難しいことがある。例えば、異常検知器があるパケットを異常と判定しても、そのパケットのペイロードのどの部分が原因で異常と判定したのか分からないことがある。そこで、本発明は、前記した問題を解決し、異常と判定されたパケットについて、当該パケットのペイロードのどの部分が原因で異常と判定されたのかを推定することを課題とする。
前記した課題を解決するため、本発明は、異常検知器により異常か正常かが判定されたパケットそれぞれについて、当該パケットのペイロードを1文字ずつ可逆変換することにより特徴量を生成し、前記生成した特徴量に当該パケットが異常か正常かの判定結果を付与する特徴量生成部と、当該パケットのペイロードの特徴量および当該パケットが異常か正常かの判定結果を教師データとし、機械学習により、前記パケットが異常か正常かの分類を行うモデルの学習を行うモデル学習部と、前記学習されたモデルにおける、前記分類への寄与度が所定値以上である、前記特徴量の次元数を抽出する抽出部と、前記抽出された前記特徴量の次元数を、前記抽出された前記特徴量の次元数を用いて、異常と判定されたパケットのペイロードにおける異常の原因箇所を推定し、前記推定の結果を出力する出力部とを備えることを特徴とする。
本発明によれば、異常と判定されたパケットについて、当該パケットのペイロードのどの部分が原因で異常と判定されたのかを推定することができる。
以下、図面を参照しながら、本発明を実施するための形態(実施形態)について説明する。本発明は、以下に説明する実施形態に限定されない。
[構成例]
本実施形態の推定装置を含む推定システムの構成例を説明する。図1に示すように、推定システム1は、例えば、推定装置10と、入力装置20と、出力装置30とを備える。
本実施形態の推定装置を含む推定システムの構成例を説明する。図1に示すように、推定システム1は、例えば、推定装置10と、入力装置20と、出力装置30とを備える。
推定装置10は、通信データのパケットのうち、異常と判定されたパケットについて、ペイロードのどの部分が原因で異常と判定されたかを推定する。
入力装置20は、推定装置10が用いる各種データ(例えば、異常と判定されたパケット)の入力を受け付ける。出力装置30は、推定装置10から出力されたデータを出力する。例えば、出力装置30は、推定装置10による推定結果をモニタ上に表示する。
推定装置10は、記憶部11と、制御部12とを備える。記憶部11は、制御部12が処理を実行する際に参照する各種データを記憶する。記憶部11は、例えば、正常判定データと、モデルパラメータ情報とを記憶する。正常判定データは、異常検知器(図示省略)により正常と判定されたパケット群のデータである。
モデルパラメータ情報は、モデル学習部123(後記)がモデルの学習をする際に用いられるパラメータを示した情報である。モデルパラメータ情報は、例えば、モデル学習部123により学習対象のモデルが決定木を用いたモデルである場合、決定木におけるmax_depth、分岐条件の個数等が示される。
制御部12は、推定装置10全体の制御を行う。制御部12は、例えば、データ取得部121と、特徴量生成部122と、モデル学習部123と、抽出部124と、出力部125とを備える。
データ取得部121は、入力装置20から各種データを取得する。例えば、データ取得部121は、入力装置20から、異常検知器により異常と判定されたパケット群のデータを取得する。
特徴量生成部122は、異常検知器により異常/正常が判定されたパケットそれぞれについて、当該パケットのペイロードを1文字ずつ可逆変換することにより特徴量を生成する。そして、特徴量生成部122は、生成した当該パケットのペイロードの特徴量に当該パケットが異常か正常かの判定結果を付与する。
例えば、特徴量生成部122は、データ取得部121により取得された、異常と判定されたパケットのペイロードを抽出し、また、記憶部11の正常判定データのパケットからペイロードを抽出する。そして、特徴量生成部122は、抽出した各パケットのペイロードを1文字ずつ可逆変換することにより特徴量を生成する。
例えば、特徴量生成部122は、各パケットのペイロードを16進数のバイト列とみなし、各バイトを10進数に変換することにより特徴量を生成する。そして、特徴量生成部122は、生成したパケットのペイロードの特徴量に、当該パケットが異常か正常かの判定結果を付与する。
例えば、特徴量生成部122が、正常と判定されたパケットおよび異常と判定されたパケットそれぞれから抽出したペイロードを、以下の式(1)に示すxとする。
ここで、特徴量生成部122が、例えば、ASCIIコード表に基づく可逆変換を行う場合、パケットのペイロードの文字列を1文字ずつ可逆変換し、変換後の次元数をペイロードの長さと同等にする。また、特徴量生成部122は、ASCIIコード表に則って、ペイロードの文字列(16進数:0x00~0xff)から数値列(10進数:0~255)に変換する。例えば、特徴量生成部122は、ペイロードx=helloを、x=‘104 101 108 108 111’に変換する。なお、特徴量生成部122は、ペイロードにおける大文字、小文字を区別して変換する。
モデル学習部123は、特徴量生成部122により生成された、パケットのペイロードの特徴量および当該パケットが異常か正常かの判定結果を教師データとし、機械学習により、パケットが異常か正常かの分類を行うモデルの学習を行う。上記の学習の対象とするモデルは、解釈性の高いモデルである。解釈性の高いモデルは、例えば、当該モデルによる分類にどの特徴量が大きく寄与しているか等を解釈しやすいモデルである。
例えば、上記のモデルは、例えば、決定木、線形回帰、ロジスティック回帰等を用いたモデルである。モデルの学習には、記憶部11のモデルパラメータ情報を用いる。
抽出部124は、モデル学習部123により学習されたモデルにおける寄与度が所定値以上の特徴を抽出する。例えば、抽出部124は、上記のモデルにおいて、特徴量を構成する各次元の値が、当該モデルにおける正常/異常の分類に対しどの程度寄与するかを測定する。そして、抽出部124は、測定した寄与度が所定値以上の特徴量の次元数を、特徴として抽出する。
例えば、上記の寄与度が所定値以上となる特徴量のバイト列が、43番目と41番目と18番目である場合、抽出部124は、図4に示すように「バイト列:43番目、バイト列:41番目、バイト列:18番目」を特徴として抽出する。
例えば、モデル学習部123により学習されたモデルが決定木を用いたモデルである場合を考える。この場合、抽出部124は、上記の決定木における分岐条件が記述されたノードから、当該分岐条件に記述されている特徴量の次元数を特徴として抽出する。
出力部125は、抽出部124により抽出された、寄与度が所定値以上の特徴(例えば、特徴量の次元数)を用いて、異常と判定されたパケットのペイロードにおける異常の原因箇所を推定し、その推定の結果を出力する。
例えば、出力部125は、抽出部124により抽出された特徴(例えば、図4に示す「バイト列:43番目、バイト列:41番目、バイト列:18番目」)を、異常と判定されたパケットのペイロードにおける異常の原因箇所の推定結果として、出力装置30に出力する。これにより、推定システム1のユーザは、異常と判定されたパケットのペイロードの何バイト目が異常の原因箇所として推定されるかを確認することができる。
なお、出力部125は、抽出部124により抽出された特徴に基づき、異常と判定されたパケットのペイロードにおける異常の原因箇所と推定される箇所を可視化した情報を出力してもよい。
例えば、出力部125は、抽出部124により抽出された特徴に基づき、異常と判定されたパケットにおけるペイロードのうち、異常の原因箇所と推定される箇所をハイライト等で強調したデータを出力装置30に出力してもよい(図5参照)。
これにより、推定システム1のユーザは、当該パケットのペイロードのどの部分が異常の原因箇所として推定されるかを視覚的に確認しやすくなる。
[処理手順の例]
次に、図2を用いて、推定システム1の処理手順の例を説明する。推定装置10のデータ取得部121は、異常と判定されたデータ(パケット)を取得する。そして、特徴量生成部122は、異常と判定されたパケットのペイロードを抽出し、可逆な特徴量に変換する(S1)。また、特徴量生成部122は、S1で変換したパケットのペイロードの特徴量に、当該パケットが異常である旨の判定結果を付与する。
次に、図2を用いて、推定システム1の処理手順の例を説明する。推定装置10のデータ取得部121は、異常と判定されたデータ(パケット)を取得する。そして、特徴量生成部122は、異常と判定されたパケットのペイロードを抽出し、可逆な特徴量に変換する(S1)。また、特徴量生成部122は、S1で変換したパケットのペイロードの特徴量に、当該パケットが異常である旨の判定結果を付与する。
さらに、特徴量生成部122は、正常判定パケットデータから正常と判定されたパケットを取得する。そして、特徴量生成部122は、正常と判定されたパケットのペイロードを抽出し、可逆な特徴量に変換する(S2)。また、特徴量生成部122は、S2で変換したパケットのペイロードの特徴量に、当該パケットが正常である旨の判定結果を付与する。
その後、モデル学習部123は、S1およびS2で変換したパケットのペイロードの特徴量および当該パケットが異常か正常かの判定結果を教師データとし、解釈性の高いモデルで機械学習を行う(S3)。そして、抽出部124は、機械学習後のモデルから、異常の原因に寄与した特徴を抽出する(S4)。例えば、抽出部124は、機械学習後のモデルから、特徴量それぞれの異常への分類の寄与度を測定し、測定した寄与度が所定値以上の特徴(例えば、特徴量の次元数)を抽出する。
S4の後、出力部125は、S4で抽出した特徴を元のデータ形式に変換し(S5)、S5の変換の結果を異常の原因箇所の推定結果として出力する(S6)。例えば、出力部125は、異常と判定されたパケットにおけるペイロードのうち、異常の原因箇所と推定される箇所をハイライト等で強調したデータを出力装置30に出力する(図5参照)。
このようにすることで、推定システム1は、異常と判定されたパケットについて、当該パケットのペイロードのどこが原因で異常と判定されたのかを推定することができる。
[実験結果]
次に、図3~図5を参照しながら、推定装置10の実験結果を説明する。ここでは、異常検知器により異常と判定されたパケットについて、推定装置10が、当該パケットのペイロードにおける異常箇所を抽出し、かつ、異常箇所以外を抽出しないかを実験した。
次に、図3~図5を参照しながら、推定装置10の実験結果を説明する。ここでは、異常検知器により異常と判定されたパケットについて、推定装置10が、当該パケットのペイロードにおける異常箇所を抽出し、かつ、異常箇所以外を抽出しないかを実験した。
・実験条件
(1)実験には、正常/異常の判定結果のラベルが付与されたパケットを使用した。異常の判定結果のラベルが付与されたパケットについては、ペイロードの異常箇所が異なる3種類のパケット(異常パターン1~3)を用意した(図3参照)。なお、図3に示す異常パターン1~3に示すバイト列のうち、ハッチングがされた部分は異常箇所を示す。例えば、異常パターン1のパケットは、ペイロードの18バイト目(ファンクションコード)が正常パケットとは異なるパケットである。異常パターン2は、ペイロードの43バイト目のとりうる値が正常パケットとは異なるパケットである。異常パターン3は、ペイロードの41バイト目のとりうる値が正常パケットとは異なるパケットである。
(2)推定装置10は、1パケットずつ、当該パケットのペイロードの何バイト目が異常なのかを推定した。
(3)推定装置10が、ペイロードの可逆変換を行う際には、当該ペイロードの各バイト(16進数:0x00~0xff)を数値(10進数:0~255)に変換した。
(4)ペイロードの変換後の正常/異常のラベル付けは手動で実施した。
(5)推定装置10が用いる解釈性の高いモデルは、決定木を用いたモデルとした。
(1)実験には、正常/異常の判定結果のラベルが付与されたパケットを使用した。異常の判定結果のラベルが付与されたパケットについては、ペイロードの異常箇所が異なる3種類のパケット(異常パターン1~3)を用意した(図3参照)。なお、図3に示す異常パターン1~3に示すバイト列のうち、ハッチングがされた部分は異常箇所を示す。例えば、異常パターン1のパケットは、ペイロードの18バイト目(ファンクションコード)が正常パケットとは異なるパケットである。異常パターン2は、ペイロードの43バイト目のとりうる値が正常パケットとは異なるパケットである。異常パターン3は、ペイロードの41バイト目のとりうる値が正常パケットとは異なるパケットである。
(2)推定装置10は、1パケットずつ、当該パケットのペイロードの何バイト目が異常なのかを推定した。
(3)推定装置10が、ペイロードの可逆変換を行う際には、当該ペイロードの各バイト(16進数:0x00~0xff)を数値(10進数:0~255)に変換した。
(4)ペイロードの変換後の正常/異常のラベル付けは手動で実施した。
(5)推定装置10が用いる解釈性の高いモデルは、決定木を用いたモデルとした。
・評価
推定装置10が、パケットのペイロードの異常箇所(図1のハッチング部分)を抽出し、かつ、異常箇所以外(図1のハッチング部分以外)を抽出していないかを評価した。
推定装置10が、パケットのペイロードの異常箇所(図1のハッチング部分)を抽出し、かつ、異常箇所以外(図1のハッチング部分以外)を抽出していないかを評価した。
例えば、推定装置10が、図3に示す異常パターン1のパケットのペイロードにおける異常箇所として、18バイト目が抽出できていれば、OKと評価し、異常パターン2のパケットのペイロードにおける異常箇所として、43バイト目が抽出できていれば、OKと評価した。また、推定装置10が異常パターン3のパケットのペイロードにおける異常箇所として、41バイト目が抽出できていれば、OKと評価した。
・結果
上記の実験条件で実験を行った結果、推定装置10が、異常と判定されたパケットのペイロードの異常箇所を正しく抽出できたか否かについて、図4を用いて説明する。図4は、推定装置10によって抽出されたペイロードの異常箇所のバイト列の番号を表している。
上記の実験条件で実験を行った結果、推定装置10が、異常と判定されたパケットのペイロードの異常箇所を正しく抽出できたか否かについて、図4を用いて説明する。図4は、推定装置10によって抽出されたペイロードの異常箇所のバイト列の番号を表している。
図4に示すように、推定装置10により、パケットのペイロードの異常箇所が3箇所あり、18バイト目、41バイト目、43バイト目が抽出された(順番は問わない)。本実験において、予め異常箇所として設定したのは、パケットのペイロードの18バイト目、41バイト目、43バイト目の3箇所であるので、推定装置10は、ペイロードの異常箇所を正しく抽出し、かつ、ペイロードの異常箇所以外は抽出しないことが確認できた。
なお、補足として、推定装置10において、パケットのペイロードの異常箇所として抽出した箇所をペイロードの他の箇所とは異なる色で出力したものを図5に示す。なお、図5における太字の箇所は、他の箇所の色とは別の色で出力した箇所を示す。
推定装置10により、図5に示すペイロードの一番左(図5における「B」)を1バイト目として、異常箇所として抽出された3つのバイト番号(18バイト目、41バイト目、43バイト目)が他の箇所の色とは異なる色で出力されている。なお、図5に1行目のペイロードの43バイト目の□はnullを示している。図3に示す異常パターン1~3のペイロードと、図5に示した出力結果とを比較すると、パケットのペイロードの異常箇所が正しく抽出されていることがわかる。
[システム構成等]
また、図示した各部の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、図示した各部の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、前記した実施形態において説明した処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
前記した推定装置10は、パッケージソフトウェアやオンラインソフトウェアとしてプログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記のプログラムを情報処理装置に実行させることにより、情報処理装置を各実施形態の推定装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等の端末等がその範疇に含まれる。
前記した推定装置10は、パッケージソフトウェアやオンラインソフトウェアとしてプログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記のプログラムを情報処理装置に実行させることにより、情報処理装置を各実施形態の推定装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等の端末等がその範疇に含まれる。
また、推定装置10は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の処理に関するサービスを提供するサーバ装置として実装することもできる。この場合、サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。
図6は、推定プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記の推定装置10が実行する各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、推定装置10における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSDにより代替されてもよい。
また、上述した実施形態の処理で用いられる各データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワされたーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 推定装置
20 入力装置
30 出力装置
11 記憶部
12 制御部
121 データ取得部
122 特徴量生成部
123 モデル学習部
124 抽出部
125 出力部
20 入力装置
30 出力装置
11 記憶部
12 制御部
121 データ取得部
122 特徴量生成部
123 モデル学習部
124 抽出部
125 出力部
Claims (7)
- 異常検知器により異常か正常かが判定されたパケットそれぞれについて、当該パケットのペイロードを1文字ずつ可逆変換することにより特徴量を生成し、前記生成した特徴量に当該パケットが異常か正常かの判定結果を付与する特徴量生成部と、
当該パケットのペイロードの特徴量および当該パケットが異常か正常かの判定結果を教師データとし、機械学習により、前記パケットが異常か正常かの分類を行うモデルの学習を行うモデル学習部と、
前記学習されたモデルにおける、前記分類への寄与度が所定値以上である、前記特徴量の次元数を抽出する抽出部と、
前記抽出された前記特徴量の次元数を用いて、異常と判定されたパケットのペイロードにおける異常の原因箇所を推定し、前記推定の結果を出力する出力部と
を備えることを特徴とする推定装置。 - 前記モデルは、
決定木を用いたモデルであり、
前記抽出部は、
前記寄与度が所定値以上である、前記特徴量の次元数として、前記機械学習により得られた決定木における分岐条件が記述されたノードから、当該分岐条件に記述された特徴量の次元数を抽出する
ことを特徴とする請求項1に記載の推定装置。 - 前記モデルは、
線形回帰またはロジスティック回帰を用いたモデルである
ことを特徴とする請求項1に記載の推定装置。 - 前記出力部は、
前記抽出された前記特徴量の次元数に基づき、前記異常と判定されたパケットのペイロードにおける異常の原因箇所と推定される箇所を特定し、前記特定した箇所を可視化した情報を、前記推定の結果として出力する
を備えることを特徴とする請求項1に記載の推定装置。 - 前記可逆変換は、
ASCIIコード表に則った、文字列から数値列への変換
であることを特徴とする請求項1に記載の推定装置。 - 推定装置により実行される推定方法であって、
異常検知器により異常か正常かが判定されたパケットそれぞれについて、当該パケットのペイロードを1文字ずつ可逆変換することにより複数の特徴量を生成し、前記生成した特徴量に当該パケットが異常か正常かの判定結果を付与する工程と、
前記パケットのペイロードの特徴量および当該パケットが異常か正常かの判定結果を教師データとし、機械学習により、前記パケットが異常か正常かの分類を行うモデルの学習を行う工程と、
前記学習されたモデルにおける、前記分類への寄与度が所定値以上である、前記特徴量の次元数を抽出する工程と、
前記抽出された前記特徴量の次元数を用いて、異常と判定されたパケットのペイロードにおける異常の原因箇所を推定し、前記推定の結果を出力する工程と
を含むことを特徴とする推定方法。 - 異常検知器により異常か正常かが判定されたパケットそれぞれについて、当該パケットのペイロードを1文字ずつ可逆変換することにより複数の特徴量を生成し、前記生成した特徴量に当該パケットが異常か正常かの判定結果を付与する工程と、
前記パケットのペイロードの特徴量および当該パケットが異常か正常かの判定結果を教師データとし、機械学習により、前記パケットが異常か正常かの分類を行うモデルの学習を行う工程と、
前記学習されたモデルにおける、前記分類への寄与度が所定値以上である、前記特徴量の次元数を抽出する工程と、
前記抽出された前記特徴量の次元数を用いて、異常と判定されたパケットのペイロードにおける異常の原因箇所を推定し、前記推定の結果を出力する工程と
をコンピュータに実行させることを特徴とする推定プログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2020/043291 WO2022107296A1 (ja) | 2020-11-19 | 2020-11-19 | 推定装置、推定方法、および、推定プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2022107296A1 JPWO2022107296A1 (ja) | 2022-05-27 |
| JP7444287B2 true JP7444287B2 (ja) | 2024-03-06 |
Family
ID=81708653
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022563513A Active JP7444287B2 (ja) | 2020-11-19 | 2020-11-19 | 推定装置、推定方法、および、推定プログラム |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20230412624A1 (ja) |
| EP (1) | EP4228221A1 (ja) |
| JP (1) | JP7444287B2 (ja) |
| CN (1) | CN116458119A (ja) |
| AU (1) | AU2020477732B2 (ja) |
| WO (1) | WO2022107296A1 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023242904A1 (ja) * | 2022-06-13 | 2023-12-21 | 日本電信電話株式会社 | 異常区間推定方法、異常区間推定システム及び異常区間推定装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018105330A1 (ja) | 2016-12-06 | 2018-06-14 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 情報処理方法、情報処理システム、及びプログラム |
| WO2019116418A1 (ja) | 2017-12-11 | 2019-06-20 | 日本電気株式会社 | 障害分析装置、障害分析方法および障害分析プログラム |
| WO2020203352A1 (ja) | 2019-03-29 | 2020-10-08 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常検知方法及び異常検知装置 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001136524A (ja) * | 1999-11-02 | 2001-05-18 | Ricoh Co Ltd | 圧縮伸長装置 |
| CN101645883A (zh) * | 2008-08-08 | 2010-02-10 | 比亚迪股份有限公司 | 数据传输方法、数据发送方法及数据接收方法 |
| US8363729B1 (en) * | 2008-11-06 | 2013-01-29 | Marvell International Ltd. | Visual data compression algorithm with parallel processing capability |
| WO2015186662A1 (ja) * | 2014-06-06 | 2015-12-10 | 日本電信電話株式会社 | ログ分析装置、攻撃検知装置、攻撃検知方法およびプログラム |
| KR101753467B1 (ko) * | 2014-06-26 | 2017-07-03 | 인텔 코포레이션 | 범용 gf(256) simd 암호용 산술 기능성을 제공하는 명령어 및 로직 |
| WO2017168458A1 (ja) * | 2016-03-28 | 2017-10-05 | 日本電気株式会社 | 予測モデル選択システム、予測モデル選択方法および予測モデル選択プログラム |
| JP6890498B2 (ja) * | 2017-08-04 | 2021-06-18 | 株式会社日立製作所 | ネットワーク装置、パケットを処理する方法、及びプログラム |
| JP6866930B2 (ja) * | 2017-10-16 | 2021-04-28 | 富士通株式会社 | 生産設備監視装置、生産設備監視方法及び生産設備監視プログラム |
| US11551785B2 (en) * | 2017-10-20 | 2023-01-10 | Genetalks Bio-Tech (Changsha) Co., Ltd. | Gene sequencing data compression preprocessing, compression and decompression method, system, and computer-readable medium |
| WO2019107149A1 (ja) * | 2017-12-01 | 2019-06-06 | 日本電信電話株式会社 | ビットアサイン推定装置、ビットアサイン推定方法、プログラム |
| JP7082533B2 (ja) * | 2017-12-15 | 2022-06-08 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常検知方法および異常検知装置 |
| JP6964274B2 (ja) * | 2018-01-12 | 2021-11-10 | パナソニックIpマネジメント株式会社 | 監視装置、監視システム及び監視方法 |
| JP6574004B2 (ja) * | 2018-01-25 | 2019-09-11 | 株式会社モルフォ | 計算手法決定システム、計算手法決定装置、処理装置、計算手法決定方法、処理方法、計算手法決定プログラム、及び、処理プログラム |
| CN109146246B (zh) * | 2018-05-17 | 2021-06-04 | 清华大学 | 一种基于自动编码器和贝叶斯网络的故障检测方法 |
| JP7065744B2 (ja) * | 2018-10-10 | 2022-05-12 | 株式会社日立製作所 | ネットワーク装置、パケットを処理する方法、及びプログラム |
| CN109391624A (zh) * | 2018-11-14 | 2019-02-26 | 国家电网有限公司 | 一种基于机器学习的终端接入数据异常检测方法及装置 |
| CN111835695B (zh) * | 2019-04-23 | 2021-06-25 | 华东师范大学 | 一种基于深度学习的车载can总线入侵检测方法 |
-
2020
- 2020-11-19 AU AU2020477732A patent/AU2020477732B2/en active Active
- 2020-11-19 EP EP20962459.2A patent/EP4228221A1/en active Pending
- 2020-11-19 JP JP2022563513A patent/JP7444287B2/ja active Active
- 2020-11-19 US US18/035,109 patent/US20230412624A1/en active Pending
- 2020-11-19 WO PCT/JP2020/043291 patent/WO2022107296A1/ja active Application Filing
- 2020-11-19 CN CN202080107106.5A patent/CN116458119A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018105330A1 (ja) | 2016-12-06 | 2018-06-14 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 情報処理方法、情報処理システム、及びプログラム |
| WO2019116418A1 (ja) | 2017-12-11 | 2019-06-20 | 日本電気株式会社 | 障害分析装置、障害分析方法および障害分析プログラム |
| WO2020203352A1 (ja) | 2019-03-29 | 2020-10-08 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常検知方法及び異常検知装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| AU2020477732A1 (en) | 2023-06-22 |
| AU2020477732B2 (en) | 2024-02-01 |
| US20230412624A1 (en) | 2023-12-21 |
| EP4228221A1 (en) | 2023-08-16 |
| JPWO2022107296A1 (ja) | 2022-05-27 |
| WO2022107296A1 (ja) | 2022-05-27 |
| CN116458119A (zh) | 2023-07-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110765458B (zh) | 一种基于深度学习的恶意软件图像格式检测方法及其装置 | |
| US11941491B2 (en) | Methods and apparatus for identifying an impact of a portion of a file on machine learning classification of malicious content | |
| CN111460446B (zh) | 基于模型的恶意文件检测方法及装置 | |
| EP3454230A1 (en) | Access classification device, access classification method, and access classification program | |
| CN110442523B (zh) | 一种跨项目软件缺陷预测方法 | |
| JP2017004123A (ja) | 判定装置、判定方法および判定プログラム | |
| JP7444287B2 (ja) | 推定装置、推定方法、および、推定プログラム | |
| JPWO2017094377A1 (ja) | 分類方法、分類装置および分類プログラム | |
| JP6767312B2 (ja) | 検知システム、検知方法及び検知プログラム | |
| CN113420295A (zh) | 恶意软件的检测方法及装置 | |
| CN113535582A (zh) | 接口测试方法、装置、设备及计算机可读存储介质 | |
| CN111460447B (zh) | 恶意文件检测方法、装置、电子设备与存储介质 | |
| WO2022259561A1 (ja) | 識別装置、識別方法および識別プログラム | |
| CN114817925A (zh) | 基于多模态图特征的安卓恶意软件检测方法及系统 | |
| JPWO2018142694A1 (ja) | 特徴量生成装置、特徴量生成方法及びプログラム | |
| CN112418305A (zh) | 一种训练样本的生成方法、装置、计算机设备和存储介质 | |
| JP7140268B2 (ja) | 警告装置、制御方法、及びプログラム | |
| CN109754087B (zh) | 量子程序转化方法、装置及电子设备 | |
| Kruse et al. | Logging to facilitate combinatorial system testing | |
| CN115718696B (zh) | 源码密码学误用检测方法、装置、电子设备和存储介质 | |
| CN112948244B (zh) | 用于工业互联网信息模型测试的方法、装置和设备 | |
| WO2023112333A1 (ja) | 推定装置、推定方法及び推定プログラム | |
| CN116578979B (zh) | 一种基于代码特征的跨平台二进制代码匹配方法及系统 | |
| WO2023105696A1 (ja) | 情報付与装置、情報付与方法及び情報付与プログラム | |
| CN116700727B (zh) | 一种跨平台的数据处理方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230315 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240123 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240205 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7444287 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |