JP7491404B2 - 識別器生成装置、識別器生成方法および識別器生成プログラム - Google Patents
識別器生成装置、識別器生成方法および識別器生成プログラム Download PDFInfo
- Publication number
- JP7491404B2 JP7491404B2 JP2022566525A JP2022566525A JP7491404B2 JP 7491404 B2 JP7491404 B2 JP 7491404B2 JP 2022566525 A JP2022566525 A JP 2022566525A JP 2022566525 A JP2022566525 A JP 2022566525A JP 7491404 B2 JP7491404 B2 JP 7491404B2
- Authority
- JP
- Japan
- Prior art keywords
- feature vector
- classifier
- unit
- training data
- generating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 57
- 239000013598 vector Substances 0.000 claims description 95
- 238000012549 training Methods 0.000 claims description 59
- 238000004364 calculation method Methods 0.000 claims description 23
- 238000006243 chemical reaction Methods 0.000 claims description 17
- 239000000284 extract Substances 0.000 claims description 3
- 238000012360 testing method Methods 0.000 claims description 3
- 230000009466 transformation Effects 0.000 claims 1
- 238000004891 communication Methods 0.000 description 13
- 238000012545 processing Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 3
- 238000013507 mapping Methods 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000013527 convolutional neural network Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001131 transforming effect Effects 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/10—Machine learning using kernel methods, e.g. support vector machines [SVM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- Medical Informatics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
以下に、本実施形態に係る識別器生成装置の構成、識別器生成装置の利用例、識別器生成処理の流れを順に説明し、最後に本実施形態の効果を説明する。
図1を用いて、本実施形態に係る識別器生成装置10の構成を詳細に説明する。図1は、本実施形態に係る識別器生成装置の構成例を示すブロック図である。識別器生成装置10は、入力部11、出力部12、通信部13、記憶部14および制御部15を有する。
図2および図3を用いて、本実施形態に係る識別器生成装置の利用例を説明する。図2および図3は、第1の実施形態に係る識別器生成装置の利用例を示す図である。
第1に、図2を用いて、ISP(Internet Services Provider)ネットワークのトラフィックを可視化し、ネットワーク監視やネットワーク設備投資計画を効率化する利用例を説明する。まず、識別器生成装置10は、ネットワーク上のISP30(30A、30B)と接続されたネットワーク装置40(40A、40B、40C)からフローデータを収集し(図2の(1)参照)、フローデータを取得する(図2の(2)参照)。
第2に、図3を用いて、悪性通信検知のためのスクリーニングに関する利用例を説明する。まず、識別器生成装置10は、ネットワーク上のフローデータを収集し(図3の(1)参照)、フローデータを取得する(図3の(2)参照)。次に、識別器生成装置10は、フローデータに基づき学習用データセットを生成し、識別器20に提供し、また識別器20の設定を更新する(図3の(3)参照)。
図4を用いて、本実施形態に係る識別器生成処理の流れを詳細に説明する。図4は、第1の実施形態に係る識別器生成処理の流れの一例を示すフローチャートである。まず、識別器生成装置10の取得部15aは、ネットワーク上のフローデータを取得する(ステップS101)。
第1に、上述した本実施形態に係る識別器生成処理では、アプリケーションのフローデータを取得し、取得したフローデータから第1の特徴ベクトルを計算し、計算した第1の特徴ベクトルを、同種のアプリケーションの特徴ベクトルが類似するような第2の特徴ベクトルに変換し、変換した第2の特徴ベクトルをクラスタリングし、クラスタリングした第2の特徴ベクトルに疑似ラベルを付加し、疑似ラベルを付加した第2の特徴ベクトルから学習用データセットを生成し、生成した学習用データセットを識別器に提供し、学習用データセットを提供した識別器の設定を更新する。このため、本処理では、大規模ネットワークにおいて、アプリケーションレベルのトラフィック識別を迅速に行うことができる。
上記実施形態に係る図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のごとく構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、上記実施形態において説明した識別器生成装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。
11 入力部
12 出力部
13 通信部
14 記憶部
15 制御部
15a 取得部
15b 計算部
15c 変換部
15d 付加部
15e 生成部
15f 提供部
15g 更新部
20 識別器
30、30A、30B ISP
40、40A、40B、40C ネットワーク装置
50 ネットワーク管理者
Claims (8)
- アプリケーションのフローデータを取得する取得部と、
前記取得部により取得された前記フローデータから第1の特徴ベクトルを計算する計算部と、
前記計算部により計算された前記第1の特徴ベクトルを、同種のアプリケーションの特徴ベクトルが類似するような第2の特徴ベクトルに変換する変換部と、
前記変換部により変換された前記第2の特徴ベクトルをクラスタリングし、クラスタリングした前記第2の特徴ベクトルに疑似ラベルを付加する付加部と、
前記付加部により疑似ラベルを付加された前記第2の特徴ベクトルから規定数以下の学習用データを含む学習用データセットを生成する生成部と、
前記生成部により生成された前記学習用データセットを識別器に提供する提供部と、
前記提供部により前記学習用データセットを提供された前記識別器の設定を更新し、前記規定数以下の学習用データを含む前記学習用データセットを用いたメタ学習により前記識別器を生成する更新部と
を備えることを特徴とする識別器生成装置。 - 前記取得部は、IP(Internet Protocol)アドレスごとの前記フローデータを取得し、
前記計算部は、前記IPアドレスごとの統計的な前記第1の特徴ベクトルを計算し、
前記変換部は、所定の潜在空間に写像した前記第2の特徴ベクトルに変換し、
前記付加部は、前記第2の特徴ベクトルを教師なしクラスタリングすることを特徴とする請求項1に記載の識別器生成装置。 - 前記取得部は、所定の時間当たりの前記IPアドレスごとの前記フローデータを取得し、
前記計算部は、前記第1の特徴ベクトルとして、パケット数、バイト数、およびパケット数当たりのバイト数のヒストグラムの少なくとも1つを計算することを特徴とする請求項2に記載の識別器生成装置。 - 前記付加部は、前記第2の特徴ベクトルを所定の方式で複数回教師なしクラスタリングすることを特徴とする請求項2に記載の識別器生成装置。
- 前記生成部は、前記疑似ラベルを付加された前記第2の特徴ベクトルをランダムに抽出し、所定数の学習用データを含む前記学習用データセットを生成することを特徴とする請求項2に記載の識別器生成装置。
- 前記更新部は、前記学習用データセットの提供前後における前記識別器のパラメータとテストデータの識別精度との情報に基づいて、初期パラメータまたは学習方法の設定を更新することを特徴とする請求項1から5のいずれか1項に記載の識別器生成装置。
- 識別器生成装置によって実行される識別器生成方法であって、
アプリケーションのフローデータを取得する取得工程と、
前記取得工程により取得された前記フローデータから第1の特徴ベクトルを計算する計算工程と、
前記計算工程により計算された前記第1の特徴ベクトルを、同種のアプリケーションの特徴ベクトルが類似するような第2の特徴ベクトルに変換する変換工程と、
前記変換工程により変換された前記第2の特徴ベクトルをクラスタリングし、クラスタリングした前記第2の特徴ベクトルに疑似ラベルを付加する付加工程と、
前記付加工程により疑似ラベルを付加された前記第2の特徴ベクトルから規定数以下の学習用データを含む学習用データセットを生成する生成工程と、
前記生成工程により生成された前記学習用データセットを識別器に提供する提供工程と、
前記提供工程により前記学習用データセットを提供された前記識別器の設定を更新し、前記規定数以下の学習用データを含む前記学習用データセットを用いたメタ学習により前記識別器を生成する更新工程と
を含むことを特徴とする識別器生成方法。 - アプリケーションのフローデータを取得する取得ステップと、
前記取得ステップにより取得された前記フローデータから第1の特徴ベクトルを計算する計算ステップと、
前記計算ステップにより計算された前記第1の特徴ベクトルを、同種のアプリケーションの特徴ベクトルが類似するような第2の特徴ベクトルに変換する変換ステップと、
前記変換ステップにより変換された前記第2の特徴ベクトルをクラスタリングし、クラスタリングした前記第2の特徴ベクトルに疑似ラベルを付加する付加ステップと、
前記付加ステップにより疑似ラベルを付加された前記第2の特徴ベクトルから規定数以下の学習用データを含む学習用データセットを生成する生成ステップと、
前記生成ステップにより生成された前記学習用データセットを識別器に提供する提供ステップと、
前記提供ステップにより前記学習用データセットを提供された前記識別器の設定を更新し、前記規定数以下の学習用データを含む前記学習用データセットを用いたメタ学習により前記識別器を生成する更新ステップと
をコンピュータに実行させることを特徴とする識別器生成プログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2020/044677 WO2022118373A1 (ja) | 2020-12-01 | 2020-12-01 | 識別器生成装置、識別器生成方法および識別器生成プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2022118373A1 JPWO2022118373A1 (ja) | 2022-06-09 |
JP7491404B2 true JP7491404B2 (ja) | 2024-05-28 |
Family
ID=81852986
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022566525A Active JP7491404B2 (ja) | 2020-12-01 | 2020-12-01 | 識別器生成装置、識別器生成方法および識別器生成プログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US20230419173A1 (ja) |
JP (1) | JP7491404B2 (ja) |
WO (1) | WO2022118373A1 (ja) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020079986A1 (ja) | 2018-10-15 | 2020-04-23 | 日本電気株式会社 | 推定装置、システム及び方法及びコンピュータ可読媒体並びに学習装置及び方法及びコンピュータ可読媒体 |
JP2020181265A (ja) | 2019-04-23 | 2020-11-05 | 日鉄ソリューションズ株式会社 | 情報処理装置、システム、情報処理方法及びプログラム |
-
2020
- 2020-12-01 US US18/038,956 patent/US20230419173A1/en active Pending
- 2020-12-01 JP JP2022566525A patent/JP7491404B2/ja active Active
- 2020-12-01 WO PCT/JP2020/044677 patent/WO2022118373A1/ja active Application Filing
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020079986A1 (ja) | 2018-10-15 | 2020-04-23 | 日本電気株式会社 | 推定装置、システム及び方法及びコンピュータ可読媒体並びに学習装置及び方法及びコンピュータ可読媒体 |
JP2020181265A (ja) | 2019-04-23 | 2020-11-05 | 日鉄ソリューションズ株式会社 | 情報処理装置、システム、情報処理方法及びプログラム |
Non-Patent Citations (1)
Title |
---|
塚谷 俊介、村崎 和彦、安藤 慎吾、島村 潤,教師なし特徴表現学習に基づくアクティブラーニング,電子情報通信学会技術研究報告 Vol.119 No.193 [online] IEICE Technical Report,日本,一般社団法人電子情報通信学会,2019年08月28日,第119巻,pp.115-119 |
Also Published As
Publication number | Publication date |
---|---|
JPWO2022118373A1 (ja) | 2022-06-09 |
US20230419173A1 (en) | 2023-12-28 |
WO2022118373A1 (ja) | 2022-06-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Zeng et al. | $ Deep-Full-Range $: a deep learning based network encrypted traffic classification and intrusion detection framework | |
DE602004010865T2 (de) | Automatische Charakterisierung von Netzwerkverkehr | |
US11570070B2 (en) | Network device classification apparatus and process | |
CN107683586A (zh) | 用于异常检测中的计算基于小区密度的稀有度的方法和装置 | |
US20180285397A1 (en) | Entity-centric log indexing with context embedding | |
US20120054824A1 (en) | Access control policy template generating device, system, method and program | |
WO2020228527A1 (zh) | 数据流的分类方法和报文转发设备 | |
JPWO2007060721A1 (ja) | ネットワーク管理装置およびネットワークの管理方法 | |
CN113992349B (zh) | 恶意流量识别方法、装置、设备和存储介质 | |
WO2022001924A1 (zh) | 构建知识图谱的方法、装置及系统、计算机存储介质 | |
US20210027167A1 (en) | Model structure extraction for analyzing unstructured text data | |
WO2020170852A1 (ja) | 予測装置、予測方法及びプログラム | |
CN116405419A (zh) | 一种基于小样本学习的未知网络协议分类方法 | |
Shrivastav et al. | Network traffic classification using semi-supervised approach | |
JP7491404B2 (ja) | 識別器生成装置、識別器生成方法および識別器生成プログラム | |
Yan et al. | TL-CNN-IDS: transfer learning-based intrusion detection system using convolutional neural network | |
Chen et al. | A novel semi-supervised learning method for Internet application identification | |
Li et al. | A fast traffic classification method based on SDN network | |
CN112383488A (zh) | 一种适用于加密与非加密数据流的内容识别方法 | |
WO2016177146A1 (zh) | 一种网络流量数据的分类方法及装置 | |
WO2021192186A1 (ja) | 識別方法、識別装置及び識別プログラム | |
Santi et al. | Automated and reproducible application traces generation for IoT applications | |
Haghanikhameneh et al. | A comparison study between data mining algorithms over classification techniques in Squid dataset | |
Chowdhury et al. | Internet of things: Digital footprints carry a device identity | |
Donelan et al. | The analysis of user behaviour of a network management training tool using a neural network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230323 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240123 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240322 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240416 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240429 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7491404 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |