JP7494240B2 - Aiによるネットワーク攻撃防御システムおよびその方法 - Google Patents

Aiによるネットワーク攻撃防御システムおよびその方法 Download PDF

Info

Publication number
JP7494240B2
JP7494240B2 JP2022054899A JP2022054899A JP7494240B2 JP 7494240 B2 JP7494240 B2 JP 7494240B2 JP 2022054899 A JP2022054899 A JP 2022054899A JP 2022054899 A JP2022054899 A JP 2022054899A JP 7494240 B2 JP7494240 B2 JP 7494240B2
Authority
JP
Japan
Prior art keywords
feature
unit
information
packet
training
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022054899A
Other languages
English (en)
Other versions
JP2023147418A (ja
Inventor
育承 頼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ecolux Technology Co Ltd
Original Assignee
Ecolux Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ecolux Technology Co Ltd filed Critical Ecolux Technology Co Ltd
Priority to JP2022054899A priority Critical patent/JP7494240B2/ja
Publication of JP2023147418A publication Critical patent/JP2023147418A/ja
Application granted granted Critical
Publication of JP7494240B2 publication Critical patent/JP7494240B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、攻撃行為のあるネットワークパケットをAI(人工知能)モデルで迅速に認識することができ、それをフィルタリングすることができる上に、認証による大量の演算資源の消耗を回避することができる、AIによるネットワーク攻撃防御システムおよびその方法に関する。
インターネットの急速な発展に伴い、情報の送信を加速させたほか、産業行為も多く変えられている。インターネット上でのセキュリティを確保するために、どのようにすれば、ネットワークを攻撃から守るかが大きな課題となっている。従来のネットワークを攻撃から守る手段は、攻撃が発生してからパケットの解析を開始するのが一般的である。インターネットの送信方式の多様化により、従来の単一型のサイバー攻撃行為は、複合式あるいは全く新しい攻撃方式に転換し始めた。
従来では、DDoS攻撃を防御する手段は、主に、CDNによるトラフィックの疎通と組み合わせて経験法則によって、DDoS攻撃による危害を緩和することであるが、CDNの主な設計意図は、機器を増設することによって、より高いトラフィックのサービスでサービス品質を高め、収入を増やすことである。しかし、CDNによってDDoS攻撃を緩和することは、ユーザに巨大なコストを与え、しかも大量の人力資源を必要とし、攻撃形態を分析し、規則を制定し、かつ規則間の衝突を避けなければならないため、この方法を用いた防御方法は、あまりに受動的であり、防御範囲はかなり限られている。
また、ネットワーク機器がハッキングされることを避けるために、TLSのようなプロトコルで認証を行い接続相手の身元を確認する業者もあるが、クラッカーは、プロトコルの演算に時間がかかるという特性を利用して、通信機器の演算資源を大量に消耗し、通信機器をマヒさせる目的を達成している。
また、従来では、悪質トラフィックの侵入をフィルタリングする方法もあり、主に、パケットを濾過検知機器に導入し、前記濾過検知機器は、パケットをトラフィック画像に転換する必要があり、そして既知の悪質トラフィックパケットのモデル画像をトラフィック画像と照合分析し、トラフィック画像がモデル画像に一致するかどうかを判断するが、前記従来の方法は、まず、悪質トラフィックパケットのモデル画像から引き起こしたフィルタリングプロセスの増加を知る必要があった以外に、そのパケットをトラフィック画像に転換する過程においてその稼動効率を消耗する一方、画像照合上にも照合効率を高めて精確な照合を行う必要があり、それに対し、機器を増設して稼動効率を高める必要があり、また、その濾過検知の機器も、悪質パケットの変化に応じてトラフィック画像と悪質トラフィックパケットのモデル画像を変えなければならず、照合分析上に迷惑になる。
ここで、前記の問題を効果的に解決するために、本発明の主な目的は、攻撃行為のあるネットワークパケットをAIモデルで迅速に認識することができ、それをフィルタリングすることができる上、単独で認証の使用による大量の演算資源の消耗を回避できる、AIによるネットワーク攻撃防御システムおよびその方法を提供することにある。
本発明のもう一つの目的は、コストを大幅に低下させることができる、AIによるネットワーク攻撃防御システムおよびその方法を提供することにある。
前記目的を達成するために、本発明は、ユーザ端末データを有し、少なくとも1つのネットワークパケットが生成された少なくとも1つのユーザ端末と、前記ユーザ端末に接続し、少なくとも一つのユーザ濾過データベースを有し、前記ネットワークパケットを受信すると共に、前記ユーザ濾過データベースによって前記ネットワークパケットを認証装置に送信するか、または、そのネットワークパケットをフィルタリングするパケット濾過ユニットを備えたネットワーク機器と、を含み、前記認証装置は、前記ネットワークパケットを受信し、前記ネットワークパケットを生成するユーザ端末に認証を行うと共に、認証結果によって前記ネットワークパケットをサーバ機器に送信する、AIによるネットワーク攻撃防御システムを提供する。
本発明に係るAIによるネットワーク攻撃防御システムの一実施形態では、前記ネットワーク機器は、前記パケット濾過ユニットに接続し、前記認証装置に送信されたネットワークパケットを取得するパケット取得ユニットと、前記パケット取得ユニットに接続し、前記ネットワークパケットを記憶するパケット記憶ユニットと、前記パケット記憶ユニットに接続し、前記ネットワークパケットを取得すると共に少なくとも一つの特徴テンプレートで前記ネットワークパケットを解析し、前記ネットワークパケットの行為特徴情報およびパケット情報を生成する特徴取得ユニットと、前記特徴取得ユニットに接続し、前記行為特徴情報および前記パケット情報を記憶する特徴記憶ユニットと、前記特徴取得ユニットに接続し、その行為特徴情報を受信すると共に、AIモデルで前記ネットワークパケットの行為特徴情報が正常かまたは悪質であるかを判断して特徴情報結果を生成し、悪質なネットワークパケットの特徴情報結果を前記パケット濾過ユニットに送信し、前記パケット濾過ユニットは、前記特徴記憶ユニットのパケット情報をさらに受信し、前記特徴情報結果およびパケット情報によって悪質なネットワークパケットを生成するユーザ端末データを前記ユーザ濾過データベースに記憶する処理ユニットと、をさらに含む。
本発明に係るAIによるネットワーク攻撃防御システムの一実施形態では、前記ネットワーク機器は、特徴自動標記ユニットと、特徴自動標記記憶ユニットとをさらに含み、前記特徴自動標記ユニットは、前記特徴記憶ユニットに接続し、前記特徴記憶ユニットにおける行為特徴情報を取得すると共に標記を行うことで、前記行為特徴情報には特徴自動分類標記を有させ、前記特徴自動標記記憶ユニットは、前記特徴自動標記ユニットに接続し、前記行為特徴情報および所属する特徴自動分類標記を記憶し、かつ前記特徴自動標記記憶ユニットはトレーニングユニットに接続し、前記トレーニングユニットのトレーニング対象モデルは、前記行為特徴情報および所属する特徴自動分類標記を取得すると共にトレーニング済みモデルを生成する。
本発明に係るAIによるネットワーク攻撃防御システムの一実施形態では、前記ネットワーク機器は、前記トレーニングユニットおよび正確特徴標記記憶ユニットに接続された照合ユニットを有し、前記正確特徴標記記憶ユニットに少なくとも一つのトレーニング特徴情報および前記トレーニング特徴情報の特徴正確分類標記が記憶され、前記照合ユニットは、前記正確特徴標記記憶ユニットのトレーニング特徴情報および特徴正確分類標記を取得し、前記トレーニングユニットは、前記トレーニング済みモデルを前記照合ユニットに出力し、前記トレーニング済みモデルは、前記トレーニング特徴情報を取得すると共にトレーニング情報結果を出力し、前記照合ユニットは、前記トレーニング情報結果とトレーニング特徴情報および特徴正確分類標記とを照合し、前記トレーニング済みモデルを最適化するか、前記トレーニング済みモデルを前記処理ユニットに出力するかを決定する。
本発明に係るAIによるネットワーク攻撃防御システムの一実施形態では、前記ネットワーク機器は、最適化ユニットをさらに含み、前記最適化ユニットが前記照合ユニットに接続され、前記照合ユニットが前記トレーニング済みモデルを最適化することを決定するときに最適化を実行する。
本発明に係るAIによるネットワーク攻撃防御システムの一実施形態では、前記最適化ユニットは、前記特徴自動標記ユニットにさらに接続し、前記照合ユニットが前記トレーニング済みモデルを最適化することを決定するときに、前記最適化ユニットは、前記特徴自動標記ユニットを最適化し、前記特徴自動標記ユニットは、他の一組の特徴自動分類標記を生成する。
本発明に係るAIによるネットワーク攻撃防御システムの一実施形態では、前記最適化ユニットは、前記特徴取得ユニットにさらに接続し、前記照合ユニットが前記トレーニング済みモデルを最適化することを決定するときに、前記最適化ユニットは、前記特徴取得ユニットに他の特徴テンプレートを使用させ、前記特徴取得ユニットは、他の特徴テンプレートによって他の行為特徴情報を生成する。
本発明は、少なくとも一つのユーザ端末により一つのネットワーク機器に少なくとも一つのネットワークパケットを生成するステップと、前記ネットワーク機器のパケット濾過ユニットが前記ネットワークパケットを受信すると共に、ユーザ濾過データベースによって前記ネットワークパケットを認証装置に送信するか、またはそのネットワークパケットをフィルタリングするステップと、前記認証装置が前記ネットワークパケットを受信し、前記ネットワークパケットを生成したユーザ端末に対して認証を行い、そして認証結果によって前記ネットワークパケットをサーバ機器に送信するステップと、を含む、AIによるネットワーク攻撃防御方法を提供する。
本発明に係るAIによるネットワーク攻撃防御方法の一実施形態では、前記認証装置が前記ネットワークパケットを受信し、前記ネットワークパケットを生成したユーザ端末に対し認証を行い、そして認証結果によって前記ネットワークパケットをサーバ機器に送信するステップは、パケット取得ユニットが、前記パケット濾過ユニットによって前記認証装置に送信されたネットワークパケットを取得する過程と、パケット記憶ユニットが前記パケット取得ユニットにより取得したネットワークパケットを記憶し、特徴取得ユニットによって前記パケット記憶ユニットのネットワークパケットを取得すると共に、少なくとも一つの特徴テンプレートで前記ネットワークパケットを解析し、前記ネットワークパケットの行為特徴情報およびパケット情報を生成して特徴記憶ユニットに記憶する過程と、処理ユニットのAIモデルは、前記ネットワークパケットの行為特徴情報が正常または悪質であるかを判断し、特徴情報結果を生成する過程と、前記処理ユニットが悪質なネットワークパケットの特徴情報結果を前記パケット濾過ユニットに送信し、前記パケット濾過ユニットが前記特徴記憶ユニットのパケット情報をさらに受信し、前記パケット濾過ユニットが前記特徴情報結果およびパケット情報によって悪質なネットワークパケットを生成したユーザ端末データを前記ユーザ濾過データベースに記憶する過程と、を含む。
本発明に係るAIによるネットワーク攻撃防御方法の一実施形態では、前記特徴取得ユニットがパケット記憶ユニットのネットワークパケットを取得し、少なくとも1つの特徴テンプレートで前記ネットワークパケットを解析し、前記ネットワークパケットの行為特徴情報およびパケット情報を生成するステップは、前記特徴記憶ユニットが前記特徴取得ユニットの行為特徴情報を記憶し、さらに特徴自動標記ユニットが特徴記憶ユニットにおける行為特徴情報を取得すると共に標記を行うことで、前記行為特徴情報には特徴自動分類標記を有するようにする過程と、さらに前記特徴自動標記記憶ユニットが前記行為特徴情報および所属する特徴自動分類標記を記憶し、トレーニングユニットのトレーニング対象モデルで前記行為特徴情報および所属の特徴自動分類標記を取得すると共に、トレーニング済みモデルを生成する過程と、照合ユニットに前記トレーニング済みモデルが出力され、前記照合ユニットが正確特徴標記記憶ユニットのトレーニング特徴情報および特徴正確分類標記をさらに取得する過程と、前記トレーニング済みモデルは、前記トレーニング特徴情報を取得し、トレーニング情報結果を出力する過程と、前記照合ユニットが前記トレーニング情報結果とトレーニング特徴情報および特徴正確分類標記とを照合し、前記トレーニング済みモデルを最適化するか、前記トレーニング済みモデルを前記処理ユニットに出力するかを決定する過程と、を含む。
本発明に係るAIによるネットワーク攻撃防御方法の一実施形態では、前記照合ユニットが前記トレーニング情報結果とトレーニング特徴情報および特徴正確分類標記を照合し、前記トレーニング済みモデルを最適化すると決定したステップは、最適化ユニットが前記特徴自動標記ユニットを最適化し、前記特徴自動標記ユニットがさらに前記特徴記憶ユニットにおける行為特徴情報を取得すると共に標記を行うことで、前記行為特徴情報にはもう一組の特徴自動分類標記を有するようにする過程と、前記特徴自動標記記憶ユニットが前記行為特徴情報および所属するもう一組の特徴自動分類標記を記憶する過程と、前記トレーニングユニットのトレーニング対象モデルが前記行為特徴情報および所属の特徴自動分類標記を取得し、他のトレーニング済みモデルを出力する過程と、前記照合ユニットに前記他のトレーニング済みモデルが出力され、前記照合ユニットがトレーニング特徴情報および特徴正確分類標記を取得する過程と、前記他のトレーニング済みモデルが、前記トレーニング特徴情報を取得し、他のトレーニング情報結果を出力する過程と、前記照合ユニットが前記他のトレーニング情報結果とトレーニング特徴情報および特徴正確分類標記とを照合し、前記他のトレーニング済みモデルを前記処理ユニットに出力する過程と、を含む。
本発明に係るAIによるネットワーク攻撃防御方法の一実施形態では、前記照合ユニットが前記トレーニング情報結果とトレーニング特徴情報および特徴正確分類標記とを照合し、前記トレーニング済みモデルを最適化すると決定するステップは、最適化ユニットから前記特徴取得ユニットに接続する過程と、前記最適化ユニットが、前記特徴取得ユニットに他の特徴テンプレートを使用させ、前記特徴取得ユニットが他の特徴テンプレートによって他の行為特徴情報を生成する過程と、前記特徴自動標記ユニットがさらに前記特徴記憶ユニットにおける他の行為特徴情報を取得すると共に標記を行うことで、前記行為特徴情報にはもう一組の特徴自動分類標記を有させる過程と、前記特徴自動標記記憶ユニットが前記行為特徴情報および所属するもう一組の特徴自動分類標記を記憶する過程と、前記トレーニングユニットのトレーニング対象モデルが前記行為特徴情報および所属の特徴自動分類標記を取得し、他のトレーニング済みモデルを出力する過程と、前記照合ユニットに前記他のトレーニング済みモデルが出力され、前記照合ユニットがトレーニング特徴情報および特徴正確分類標記を取得する過程と、前記他のトレーニング済みモデルが前記トレーニング特徴情報を取得し、他のトレーニング情報結果を出力する過程と、前記照合ユニットが前記他のトレーニング情報結果とトレーニング特徴情報および特徴正確分類標記とを照合し、前記他のトレーニング済みモデルを前記処理ユニットに出力する過程と、を含む。
本発明に係るAIによるネットワーク攻撃防御システムのシステムアーキテクチャ概略図である。 本発明に係るAIによるネットワーク攻撃防御システムのシステムアーキテクチャ実施概略図である。 本発明に係るAIによるネットワーク攻撃防御システムの他のシステムアーキテクチャ実施概略図である。 本発明の行為特徴情報の内容概略図である。 本発明に係るAIによるネットワーク攻撃防御システムの他のシステムアーキテクチャ最適化態様の実施概略図である。 本発明に係るAIによるネットワーク攻撃防御方法のフローチャートである。 本発明に係るAIによるネットワーク攻撃防御方法の更なるフローチャートである。 本発明に係るAIによるネットワーク攻撃防御方法において照合を行うフローチャートである。 本発明に係るAIによるネットワーク攻撃防御方法において最適化するフローチャートである。 本発明に係るAIによるネットワーク攻撃防御方法おいて他の最適化を行うフローチャートである。
本発明の上記目的ならびその構造および機能的特徴については、添付図面の好ましい実施例に基づいて説明される。
図1および図2を参照すると、本発明に係るAIによるネットワーク攻撃防御システムのシステムアーキテクチャ概略図、およびシステムアーキテクチャ実施概略図である。図から明らかなように、前記AIによるネットワーク攻撃防御システム1は、少なくとも1つのユーザ端末2と、認証装置3と、サーバ機器4と、ネットワーク機器5とを含み、前記認証装置3、サーバ機器4およびネットワーク機器5は、それぞれ個別に設置した装置または単一の装置内に統合された装置であり、前記ネットワーク機器5は、ネットワークを介して前記ユーザ端末2と認証装置3との間に接続され、前記ユーザ端末2は、ユーザ端末データを有し、少なくとも1つのネットワークパケットP1が生成され、前記認証装置3が前記サーバ機器4に接続され、前記認証装置3は、ルータ(router)、ゲートウェイ(gateway)、中継機器(repeater)またはブリッジ(bridge)であってよいが、これらに限定されない。
前記ネットワーク機器5は、パケット濾過ユニット51を有し、前記パケット濾過ユニット51は、少なくとも1つのユーザ濾過データベース511を有し、前記ユーザ濾過データベース511には悪質なパケットデータを送信可能な少なくとも1つのユーザ端末データが記録され、前記パケット濾過ユニット51は、ユーザ端末2から認証装置3を流れたネットワークパケットP1を取得し、前記パケット濾過ユニット51は、前記ネットワークパケットP1を受信した後、まず、そのユーザ濾過データベース511におけるユーザ端末データよってフィルタリングする。ネットワークパケットP1を送信したユーザ端末2が悪質なパケットデータとして記録されたユーザ端末データである場合、前記パケット濾過ユニット51は、そのネットワークパケットP1をフィルタリングし、逆にネットワークパケットP1を送信したユーザ端末2が悪質なパケットデータとして記録されたユーザ端末データでない場合、前記パケット濾過ユニット51は、取得したネットワークパケットP1を前記認証装置3に送信し、前記認証装置3は、前記ネットワークパケットP1を受信し、前記ネットワークパケットP1を生成したユーザ端末2に対し認証を行い、認証結果に基づいて前記ネットワークパケットP1をサーバ機器4に送信する。前記認証装置3は、主に、トランスポート・レイヤー・セキュリティ(Transport Layer Security、TLS)またはセキュア・ソケッツ・レイヤー(Secure Sockets Layer、SSL)のようなセキュリティプロトコル接続または他の認証方式で認証を行うため、その認証装置3は、そのネットワークパケットP1を送信したユーザ端末2に対して認証を行い、前記認証装置3の認証が成功すると、前記認証装置3は、サーバ機器4にネットワークパケットP1を送信し、前記認証装置3の認証が失敗すると、前記サーバ機器4に前記ネットワークパケットP1を送信しない。
よって、前記AIによるネットワーク攻撃防御システム1は、攻撃行為のあるネットワークパケットP1を迅速に認識してフィルタリングすることができ、このように機器の増設や複雑な機器の構築を必要とせず、設置コストを低下させるほか、認証装置3が悪質なネットワークパケットP1を生成したユーザ端末2の悪質攻撃によって大量の演算資源を消耗する問題の発生を回避することができ、サーバ機器4に送信されたパケットが正常なパケットとなるまでに、認証装置3でさらなるフィルタリングを行うことで、サイバー攻撃を阻止する。
また、図3を参照すると、本発明に係るAIによるネットワーク攻撃防御システムの他のシステムアーキテクチャ実施概略図であり、前記ネットワーク機器5は、さらに、順次接続されたパケット取得ユニット52と、パケット記憶ユニット521と、特徴取得ユニット53と、処理ユニット54とを含み、前記処理ユニット54は、前記パケット濾過ユニット51に接続されている。
前記認証装置3は、ネットワークパケットP1をサーバ機器4に送信すると共に、前記パケット取得ユニット52は、認証装置3に送信されたネットワークパケットP1を取得し、前記パケット取得ユニット52は、取得したネットワークパケットP1を前記パケット記憶ユニット521に記憶し、前記特徴取得ユニット53は、前記パケット記憶ユニット521におけるネットワークパケットP1を取得し、そして、前記特徴取得ユニット53は、少なくとも一つの特徴テンプレート531で前記ネットワークパケットP1を解析し、前記ネットワークパケットP1の行為特徴情報I1およびパケット情報I2を生成する。ここで、前記特徴テンプレート531は、それぞれのネットワークパケットP1、一定数のネットワークパケットP1、または一定時間帯に取得したネットワークパケットP1によって分析し、行為特徴情報I1を取得する。この特徴テンプレート531は、例えば、図4に示すように、ユーザ端末2またはサーバ機器4のネットワークパケットP1の送信プロトコル、取得数量、ヘッダ情報、送信ポート(ポート)、送信時間、パケットコンテンツ、送信速度、送信方向、TCPフラグの回数、受信端、パケット数、パケットサイズ、到着間隔(inter arrival time)、データストリームアクティビティ時間、データストリームアイドル時間などを含む。また、この特徴取得ユニット53は、特徴テンプレート531によって、このネットワークパケットP1の行為特徴情報I1をさらに取得する。また、図4に示すように、行為特徴情報I1および特徴テンプレート531のコンテンツであり、行為特徴情報I1は、量子化データ、行列または画像の組である。特徴テンプレート531は、図4の実施例における4組を限定するものではない。
その中、前記特徴取得ユニット53は、前記行為特徴情報I1およびパッケージ情報I2を生成した後、前記特徴取得ユニット53は、前記処理ユニット54にその行為特徴情報I1を送信し、特徴記憶ユニット532に前記行為特徴情報I1およびパッケージ情報I2を送信して記憶する。前記パッケージ情報I2のコンテンツは、ネットワークパッケージP1のIPアドレス(Internet Protocol Address 、IP Address)および対応の行為特徴情報I1であり、前記特徴記憶ユニット532は、前記パケット濾過ユニット51に接続し、前記処理ユニット54のAIモデル541は、前記ネットワークパッケージP1の行為特徴情報I1が正常か悪質であるかを判断し、特徴情報結果R1を生成する。ここで、前記AIモデル541は、AIアルゴリズム(Artificial Intelligence)より構成され、AIアルゴリズムは、人工ニューラルネットワーク、 決定木、センサ、サポートベクターマシン、総合学習、次元削減および距離学習、クラスタリング、ベイズ分類器、または順伝播型ニューラルネットワーク(Feed Forward Neural Network )などであってよいが、これらだけではない。その処理ユニット54は、パケット濾過ユニット51に悪質なネットワークパケットP1の特徴情報結果R1を送信し、前記パケット濾過ユニット51は前記特徴情報結果R1を受信し、前記パケット濾過ユニット51は、前記特徴記憶ユニット532のパケット情報I2をさらに受信し、前記パケット濾過ユニット51は、前記特徴情報結果R1およびパケット情報I2によって、悪質なネットワークパケットを生成したユーザ端末データを知り、前記パケット濾過ユニット51は、悪質なネットワークパケットのユーザ端末データをユーザ濾過データベース511に記憶することによって、前記悪質なネットワークパケットP1を生成したユーザ端末2は、再び前記サーバ機器4にネットワークパケットP1を送信したとき、前記パケット濾過ユニット51は前記ネットワークパケットP1を取得すると共に、まず前記ユーザ濾過データベース511のユーザ端末データによってフィルタリングする。一方、処理ユニット54のAIモデル541は、前記ネットワークパケットP1の行為特徴情報I1が正常であると判断し、前記特徴情報結果R1を生成し、前記パケット濾過ユニット51は、正常なネットワークパケットP1を生成したユーザ端末2が生成するネットワークパケットP1を前記認証装置3に送信し、前記認証装置3の認証が成功すると、前記認証装置3は、サーバ機器4にネットワークパケットP1を送信し、例えば、AIモデル541は、行為特徴情報I1が攻撃特徴または正常特徴であると判断し、その後、特徴情報結果R1(行為特徴情報I1は攻撃または正常である)をパケット濾過ユニット51に送信し、パケット濾過ユニット51は、特徴結果情報R1とパケット情報I2によって前記パケットのIPアドレス(Internet Protocol Address 、IPAddress)および攻撃特徴であるかどうかを取得し、前記特徴結果情報R1が攻撃であると、パケットのIPアドレス(Internet Protocol Address 、IPAddress)である悪質のネットワークパケットのユーザ端末データをユーザ濾過データベース511に記憶しブラックリストとしてリストされ、将来、同一のIPアドレス(Internet Protocol Address 、IPAddress)のパケットは、パケット濾過ユニット51によってフィルタリングされ、これによって、前記AIによるネットワーク攻撃防御システム1は、AIモデル541で攻撃行為のあるネットワークパケットP1を迅速に認識かつフィルタリングすることができ、このように機器の増設や複雑な機器の構築を必要とせず、設置コストを低下することができるほか、前記認証装置3は、認証前の段階で、前記AIモデル541によって、特徴テンプレート531に解析された行為特徴情報I1に基づいて正常なネットワークパケットP1か、悪質のネットワークパケットP1であるかを判断し、さらに悪質のネットワークパケットP1を生成したユーザ端末2の悪質の攻撃によって大量の演算資源を消耗する問題の発生を回避することができる。
さらに、前記ネットワーク機器5は、特徴自動標記ユニット55と、特徴自動標記記憶ユニット551と、トレーニングユニット56と、照合ユニット57と、正確特徴標記記憶ユニット58と、最適化ユニット59とをさらに含む。
前記特徴自動標記ユニット55は、前記特徴記憶ユニット532に接続し、前記特徴自動標記ユニット55は、特徴記憶ユニット532における行為特徴情報I1を取得し、前記特徴自動標記ユニット55は、その行為特徴情報I1に対し標記を行い、前記行為特徴情報I1に特徴自動分類標記C1を有させる。さらに言えば、特徴自動標記ユニット55によって行為特徴情報I1を正常特徴または悪質特徴に分類する。その中、特徴自動標記ユニット55は、分類アルゴリズムを有する分類器であり、分類アルゴリズムは論理回帰、決定木、サポートベクターマシン(SVM)、ナイーブベイズ、近隣アルゴリズム(KNN)などであってよいが、これらだけではない。前記特徴自動標記ユニット55は、前記特徴自動標記記憶ユニットに前記行為特徴情報I1および所属の特徴自動分類標記C1を送信する。前記特徴自動標記記憶ユニットに前記行為特徴情報I1および所属の特徴自動分類標記C1が記憶され、前記トレーニングユニット56が前記特徴自動標記記憶ユニットに接続し、前記トレーニングユニット56は、前記特徴自動標記記憶ユニットにおける行為特徴情報I1および所属の特徴自動分類標記C1を取得する。また、前記トレーニングユニット56は、トレーニング対象モデル561を有し、ここで、前記トレーニング対象モデル561は、AIアルゴリズム(Artificial Intelligence)より構成される。前記トレーニングユニット56は、前記トレーニング対象モデル561によって前記行為特徴情報I1および所属の特徴自動分類標記C1を取得し、前記トレーニング対象モデル561は、前記行為特徴情報I1および所属の特徴自動分類標記C1によってトレーニング済みモデル562を生成する。
前記照合ユニット57は、前記トレーニングユニット56、正確特徴標記記憶ユニット58および前記最適化ユニット59に接続し、前記正確特徴標記記憶ユニット58に少なくとも一つのトレーニング特徴情報I3および前記トレーニング特徴情報I3の特徴正確分類標記C2が記憶される。ここで、前記トレーニング特徴情報I3および特徴正確分類標記C2は、すべてシステム外に生成し、予め正確特徴標記記憶ユニット58に記憶したデータであり、その中、前記トレーニング特徴情報I3は行為特徴情報に相当し、前記特徴正確分類標記C2は、前記トレーニング特徴情報I3が正常特徴または攻撃特徴であることを示す。トレーニング特徴情報I3および特徴正確分類標記C2は、人工または装置で生成し標記することができ、さらにいえば、前記特徴正確分類標記C2の分類は正確であると、標準答えとなり、前記照合ユニット57に前記トレーニングユニット56のトレーニング済みモデル562を出力し、前記照合ユニット57は、正確特徴標記記憶ユニット58のトレーニング特徴情報I3および特徴正確分類標記C2を取得し、前記トレーニング済みモデル562は、照合ユニット57において前記トレーニング特徴情報I3を取得し、トレーニング情報結果を出力する。前記照合ユニット57は、前記トレーニング情報結果とトレーニング特徴情報I3および特徴正確分類標記C2とを照合し、前記照合ユニット57は、前記トレーニング情報結果R2とトレーニング特徴情報I3および特徴正確分類標記C2間の分類標記が一致するかどうかを照合すれば、前記トレーニング情報結果R2とトレーニング特徴情報I3および特徴正確分類標記C2の一致率が設定値より高い場合に、前記照合ユニット57は、前記トレーニング済みモデル562を前記処理ユニット54に出力し、前記トレーニング済みモデル562により前記AIモデル541を更新する。一方、前記トレーニング結果R2とトレーニング特徴情報I3および特徴正確分類標記C2の一致率が設定値より低い場合、照合ユニットは、トレーニング済みモデル562を最適化することを決定し、例えば、2つのトレーニング特徴情報(A)および(B)を予め設定し、(A)に対応する特徴正確分類標記は正常(○)、(B)に対応する特徴正確分類標記は攻撃(X)とし、トレーニング済みモデル562に(A)、(B)が入力された後、トレーニング済みモデル562は、トレーニング特徴情報(A)のトレーニング情報結果を正常(○)として出力し、トレーニング特徴情報(B)のトレーニング情報結果は正常(○)であり、この場合、照合ユニット57は、トレーニング情報結果および特徴正確分類標記を照合し、本例の(A)のトレーニング情報結果は正常(○)であり、特徴正確分類標記が正常(○)であり、設定に符合し、(B)のトレーニング情報結果は正常(○)であるが、特徴正確分類標記が攻撃(X)であり、設定に符合しない。そのトレーニング済みモデル562の判断の正確さは50%であり、設定値が90%より大きい必要がある場合、照合ユニットは、前記特徴自動標記ユニット55を調整することを決定し、設定値は90%より大きい場合に限らず、実際の状況によって調整できる。前記最適化ユニット59は、前記特徴自動標記ユニット55を最適化し、前記最適化ユニット59は、分類アルゴリズムを利用して最適化を実行し、前記特徴自動標記ユニット55は、他のアルゴリズム或は置換標記パラメータによって前記行為特徴情報I1に対しもう一組の特徴自動分類標記C1を生成し、前記特徴自動標記記憶ユニット551は、前記行為特徴情報I1および所属するもう一組の特徴自動分類標記C1を記憶する。また、トレーニングユニット56のトレーニング対象モデル561は、前記行為特徴情報I1および所属する特徴自動分類標記C1を取得し、他のトレーニング済みモデル562を前記照合ユニット57に出力する。
前記照合ユニット57は、前記正確特徴標記記憶ユニット58のトレーニング特徴情報I3および特徴正確分類標記C2をさらに取得し、前記トレーニング済みモデル562は、照合ユニット57において前記トレーニング特徴情報I3を取得し、他のトレーニング情報結果を出力する。前記照合ユニット57は、前記他のトレーニング情報結果とトレーニング特徴情報I3および特徴正確分類標記C2とを照合し、前記照合ユニット57は、前記他のトレーニング情報結果とトレーニング特徴情報I3および特徴正確分類標記C2の間の分類標記が一致するかどうかを照合すると、前記トレーニング情報結果とトレーニング特徴情報I3および特徴正確分類標記C2の一致率が設定値より高い場合、前記照合ユニット57は、前記他のトレーニング済みモデル562を前記処理ユニット54に出力し、前記トレーニング済みモデル562により前記AIモデル541を更新する。一方、前記トレーニング情報結果とトレーニング特徴情報I3および特徴正確分類標記C2の一致率が設定値より低いときに、前記照合ユニットは、トレーニング情報結果とトレーニング特徴情報I3および特徴正確分類標記C2の一致率が設定値より高くなるまで、再び前記特徴自動分類標記C1を調整する。
また、図5を参照すると、本発明に係るAIによるネットワーク攻撃防御システムの他のシステムアーキテクチャの最適化態様実施概略図であり、前記最適化ユニット59は、別の最適化態様を有し、前記最適化ユニット59は前記特徴取得ユニットに接続され、前記照合ユニット57が前記トレーニング済みモデル562を最適化すると決定するときに、前記最適化ユニット59は、前記特徴取得ユニット53に他の特徴テンプレート531を使用させ、前記特徴取得ユニット53は、他の特徴テンプレート531によって他の行為特徴情報I1を生成し、前記最適化ユニット59は前記特徴テンプレート531の数量または項目を変更し、前記特徴取得ユニット53は、特徴テンプレート531によってさらに前記ネットワークパケットP1の他の行為特徴情報I1を取得し、前記特徴自動標記ユニット55が他の行為特徴情報I1から他の組の特徴自動分類標記C1を生成させる。
本実施形態の稼働過程を明確に説明するために、図6をさらに参照し、図6は、本発明に係るAIによるネットワーク攻撃防御方法のフローチャートである。AIによるネットワーク攻撃防御方法は、以下のステップを含む。
ステップS1では、ユーザ端末がネットワーク機器へのネットワークパケットを生成する。
ステップS2では、前記ネットワーク機器のパケット濾過ユニットは、前記ネットワークパケットを受信し、ユーザ濾過データベースによって前記ネットワークパケットを認証装置に送信するか、そのネットワークパケットをフィルタリングする。前記パケット濾過ユニット51は前記ユーザ濾過データベース511を有し、前記ユーザ濾過データベースに悪質なパケットデータを送信した少なくとも1つのユーザ端末データが記録され、前記パケット濾過ユニット51は、ユーザ端末2から認証装置3を流れたネットワークパケットP1を取得し、前記パケット濾過ユニット51は、前記ネットワークパケットP1を取得した後、まずユーザ濾過データベース511のユーザ端末データによってフィルタリングし、ネットワークパケットP1を送信したユーザ端末2が悪質なパケットデータとして記録されたユーザ端末データでない場合、前記パケット濾過ユニット51は、取得したネットワークパケットP1を前記認証装置3に送信し、そうでなければ、ステップS21に進む。パケット濾過ユニットは、ネットワークパケットをフィルタリングし、接続を終了する。ネットワークパケットP1を送信したユーザ端末2が悪質なパケットデータとして記録されたユーザ端末データである場合、前記パケット濾過ユニット51は、そのネットワークパケットP1をフィルタリングし、前記ユーザ端末2の接続を終了する。
ステップS3では、前記認証装置は、前記ネットワークパケットを受信し、前記ネットワークパケットを生成したユーザ端末に対して認証を行い、認証結果によって前記ネットワークパケットをサーバ機器に送信する。その中、前記認証装置3は、ネットワークパケットP1を送信したユーザ端末2に対して認証を行うことができ、前記認証装置3の認証が成功すると、前記認証装置3は、ネットワークパケットP1をサーバ機器4に送信し、そうでなければ、ステップS31に進む。認証装置は、ネットワークパケットの送信を停止しかつ接続を終了し、前記認証装置3の認証が失敗すれば、前記ネットワークパケットP1は前記サーバ機器4に送信しない。
よって、前記AIによるネットワーク攻撃防御システム1は、攻撃行為のあるネットワークパケットP1を迅速に認識してフィルタリングすることができ、このように機器の増設や複雑な機器の構築を必要とせず、設置コストを低下させ、さらに認証装置3を利用してさらなる認証を行い、悪質のあるネットワークパケットP1を生成したユーザ端末2の悪質のある攻撃によって大量の演算資源を消耗する問題の発生を回避できる。
また、図7を参照すると、本発明に係るAIによるネットワーク攻撃防御方法の更なるフローチャートである。ここで、ステップS3の次には、以下のステップが含まれる。
ステップS4では、パケット取得ユニットは、前記パケット濾過ユニットにより認証装置に送信されたネットワークパケットを取得する。前記認証装置3は、ネットワークパケットP1をサーバ機器4に送信すると共に、前記パケット取得ユニット52は、認証装置3に送信したネットワークパケットP1を取得する。
ステップS5では、パケット記憶ユニットは、前記パケット取得ユニットが取得したネットワークパケットを記憶し、特徴取得ユニットによってパケット記憶ユニットのネットワークパケットを取得し、特徴テンプレートで前記ネットワークパケットを解析し、前記ネットワークパケットの行為特徴情報およびパケット情報を生成し、特徴記憶ユニットに記憶する。前記パケット取得ユニット52は、取得したネットワークパケットP1を前記パケット記憶ユニット521内に記憶し、前記特徴取得ユニット53は、前記パケット記憶ユニット521のネットワークパケットP1を取得し、前記特徴取得ユニット53は、特徴テンプレート531で前記ネットワークパケットP1を解析して前記ネットワークパケットP1の行為特徴情報I1およびパケット情報I2を生成し、前記特徴取得ユニット53が生成した行為特徴情報I1およびパケット情報I2は、特徴記憶ユニット532に記憶される。
ステップS6では、前記処理ユニットのAIモデルは、前記ネットワークパケットの行為特徴情報が正常か悪質であるかを判断し、特徴情報結果を生成する。その中、前記特徴取得ユニット53は、前記行為特徴情報I1を生成した後、前記特徴取得ユニット53は、その行為特徴情報I1を前記処理ユニット54に送信し、前記処理ユニット54のAIモデル541は、前記ネットワークパケットP1の行為特徴情報I1が正常なネットワークパケットP1か、悪質なネットワークパケットP1であるかを判断し、特徴情報結果R1を生成する。
ステップS7では、前記処理ユニットは、悪質なネットワークパケットの特徴情報結果をパケット濾過ユニットに送信し、前記パケット濾過ユニットは、前記パケット情報を受信し、前記パケット濾過ユニットは、前記特徴情報結果および前記パケット情報によって悪質なネットワークパケットを生成したユーザ端末データをユーザ濾過データベースに記憶する。前記パケット濾過ユニット51は、前記特徴情報結果R1を受信し、パケット濾過ユニット51は、前記特徴記憶ユニットのパケット情報I2を受信し、前記パケット濾過ユニット51は、前記特徴情報結果R1(行為特徴情報I1は攻撃または正常である)およびパケット情報I2(前記行為特徴情報I1および前記行為特徴情報I1に対応したIPアドレス、IP)によって悪質なネットワークパケットのユーザ端末データ(すなわち、行為特徴情報I1に対応したIPアドレス、IP)を生成し、前記パケット濾過ユニット51は、悪質なネットワークパケットP1を生成したユーザ端末2のパケット情報をユーザ濾過データベース511に記憶し、前記悪質なネットワークパケットP1を生成したユーザ端末2に再びネットワークパケットP1を前記サーバ機器4に送信させたとき、前記パケット濾過ユニット51は、前記ネットワークパケットP1を取得すると共に、まずそのユーザ濾過データベース511のユーザ端末データによってフィルタリングを行う。一方、前記処理ユニット54のAIモデル541は、前記ネットワークパケットP1の行為特徴情報I1が正常と判断され、特徴情報結果R1を生成すると、パケット濾過ユニット51は、正常ネットワークパケットP1を生成したユーザ端末2が生成したネットワークパケットP1を前記認証装置3に送信する。
よって、AIによるネットワーク攻撃防御システム1は、AIモデル541で攻撃行為のあるネットワークパケットP1を迅速に認識かつフィルタリングすることができ、このように機器の増設や複雑な機器の構築を必要とせず、設置コストを低下する上に、前記認証装置3は、認証段階で、前記AIモデル541を用いて、特徴テンプレート531に解析される行為特徴情報I1に基づいて正常なネットワークパケットP1か、悪質のネットワークパケットP1であるかを判断でき、さらに前記特徴情報結果R1によって悪質なネットワークパケットP1を生成したユーザ端末2をユーザ濾過データベース511に記憶し、悪質なネットワークパケットP1を生成したユーザ端末2の悪質攻撃によって大量の演算資源を消耗する問題の発生を回避することができる。
また、図8を参照すると、本発明に係るAIによるネットワーク攻撃防御方法において照合を行うフローチャートである。前記特徴取得ユニット53がパケット記憶ユニット521のネットワークパケットP1を取得し、特徴テンプレート531で前記ネットワークパケットP1を解析し、前記ネットワークパケットP1の行為特徴情報I1およびパケット情報I2を生成するステップは、以下のステップを含む。
ステップS41では、特徴記憶ユニットは、前記特徴取得ユニットの行為特徴情報を記憶し、さらに、特徴自動標記ユニットは、特徴記憶ユニットの行為特徴情報を取得すると共に標記を行い、前記行為特徴情報に特徴自動分類標記を有させる。前記特徴記憶ユニット532は、前記特徴取得ユニット53が生成した行為特徴情報I1を記憶し、前記特徴自動標記ユニット55は、特徴記憶ユニット532の行為特徴情報I1を取得し、前記特徴自動標記ユニット55は、前記行為特徴情報I1が特徴自動分類標記C1を有するようにその行為特徴情報I1を標記する。
ステップS42では、特徴自動標記記憶ユニットは、前記行為特徴情報および所属する特徴自動分類標記を記憶し、トレーニングユニットのトレーニング対象モデルが前記行為特徴情報および所属する特徴自動分類標記を取得し、トレーニング済みモデルを生成する。前記特徴自動標記ユニット55は、前記行為特徴情報I1および所属する特徴自動分類標記C1を前記自動標記記憶ユニットに送信し、前記自動標記記憶ユニットには、前記行為特徴情報I1および所属する特徴自動分類標記C1が記憶され、前記トレーニングユニット56は、前記自動標記記憶ユニットの行為特徴情報I1および所属する特徴自動分類標記C1を取得し、前記トレーニングユニット56は、前記トレーニング対象モデル561により前記行為特徴情報I1および所属する特徴自動分類標記C1を取得し、前記トレーニング対象モデル561は、前記行為特徴情報I1および所属する特徴自動分類標記C1によってトレーニング済みモデル562を生成する。
ステップS43では、照合ユニットに前記トレーニング済みモデルが出力され、前記照合ユニットは、前記正確特徴標記記憶ユニットのトレーニング特徴情報および特徴正確分類標記を取得し、前記トレーニング済みモデル562は、前記照合ユニットに出力され、前記照合ユニット57は、前記正確特徴標記記憶ユニット58のトレーニング特徴情報I3および特徴正確分類標記C2を取得する。
ステップS44では、前記トレーニング済みモデルは、前記トレーニング特徴情報を取得すると共にトレーニング情報結果を出力する。前記トレーニング済みモデル562は、照合ユニット57において前記トレーニング特徴情報I3を取得してトレーニング情報結果を出力する。
ステップS45では、照合ユニットは、これらのトレーニング情報結果とトレーニング特徴情報および特徴正確分類標記とを照合することにより、トレーニング済みモデルを最適化するか、またはトレーニング済みモデルを処理ユニットに出力するかを決定する。前記照合ユニット57は、前記トレーニング情報結果とトレーニング特徴情報I3および特徴正確分類標記C2とを照合し、前記照合ユニット57は、前記トレーニング情報結果とトレーニング特徴情報I3および特徴正確分類標記C2の間の分類標記が一致するかどうかを照合すれば、前記トレーニング情報結果とトレーニング特徴情報I3および特徴正確分類標記C2の一致率が設定値より高い場合、前記照合ユニット57は、前記トレーニング済みモデル562を前記処理ユニット54に出力する。
また、図9を参照すると、本発明に係るAIによるネットワーク攻撃防御方法において最適化するフローチャートである。照合ユニット57がこれらのトレーニング情報結果R2をトレーニング特徴情報I3および特徴正確分類標記C2と照合して、トレーニング済みモデル562を最適化すると決定するステップは、以下のステップを含む。
ステップS4511では、最適化ユニットは、前記特徴自動標記ユニットを最適化し、前記特徴自動標記ユニットは、前記行為特徴情報に他の一組の特徴自動分類標記を有させるように、特徴記憶ユニットの行為特徴情報を取得して標記を行う。前記トレーニング情報結果とトレーニング特徴情報I3および特徴正確分類標記C2との一致率が設定値より低い場合、前記照合ユニット57は、前記トレーニング済みモデル562を最適化することを決定し、前記最適化ユニット59は、前記特徴自動標記ユニット55を最適化し、前記最適化ユニットは、分類アルゴリズムを利用して最適化を実行することで、前記特徴自動標記ユニット55に他のアルゴリズムまたは置換標記パラメータによって前記行為特徴情報I1に対して他の組の特徴自動分類標記C1を生成させる。
ステップS4512では、この特徴自動標記記憶ユニットは、この行為特徴情報と所属する他の特徴自動分類標記を記憶する。前記特徴自動標記記憶ユニット551は、前記行為特徴情報I1および所属する他の特徴自動分類標記C1を記憶する。
ステップS4513では、前記トレーニングユニットのトレーニング対象モデルは、前記行為特徴情報および所属する特徴自動分類標記を取得し、他のトレーニング済みモデルを出力する。前記トレーニングユニット56のトレーニング対象モデル561は、前記行為特徴情報I1および所属する特徴自動分類標記C1を取得し、他のトレーニング済みモデル562を出力する。
ステップS4514では、前記他のトレーニング済みモデルは、照合ユニットに出力し、前記照合ユニットは、正確特徴標記記憶ユニットのトレーニング特徴情報および特徴正確分類標記を取得する。前記トレーニングユニット56の他のトレーニング済みモデル562は、前記照合ユニット57に出力し、前記照合ユニット57は、前記正確特徴標記記憶ユニット58のトレーニング特徴情報I3および特徴正確分類標記C2を取得する。
ステップS4515では、前記他のトレーニング済みモデルは、前記トレーニング特徴情報を取得し、他のトレーニング情報結果を出力する。前記他のトレーニング済みモデル562は、照合ユニット57において前記トレーニング特徴情報I3を取得し、他のトレーニング情報結果を出力する。
ステップS4516では、照合ユニットは、前記他のトレーニング情報結果とトレーニング特徴情報および特徴正確分類標記とを照合し、前記他のトレーニング済みモデルを前記処理ユニットに出力する。前記照合ユニット57は、前記他のトレーニング情報結果とトレーニング特徴情報I3および特徴正確分類標記C2とを照合し、前記照合ユニット57は前記他のトレーニング情報結果とトレーニング特徴情報I3および特徴正確分類標記C2の間の分類標記が一致するかどうかを照合すれば、前記トレーニング情報結果とトレーニング特徴情報I3および特徴正確分類標記C2の一致率が設定値より高い場合、前記照合ユニット57は、前記他のトレーニング済みモデル562を前記処理ユニット54に出力し、前記トレーニング済みモデル562によって前記AIモデル541を更新し、そうでなければ、前記他のトレーニング情報結果とトレーニング特徴情報I3および特徴正確分類標記C2の一致率が設定値より低い場合、前記照合ユニット57は、トレーニング情報結果とトレーニング特徴情報I3および特徴正確分類標記C2の一致率が設定値より高くなるまで、前記特徴自動分類標記C1を再調整する。
また、図10を参照すると、本発明に係るAIによるネットワーク攻撃防御方法おいてさらに最適化するフローチャートである。照合ユニット57がこれらのトレーニング情報結果R2をトレーニング特徴情報I3および特徴正確分類標記C2と照合し、トレーニング済みモデル562を最適化すると決定するステップは、以下のステップを含む。
ステップS4521では、最適化ユニットが前記特徴取得ユニットに接続される。前記最適化ユニット59が前記特徴取得ユニット53に接続される。
ステップS4522では、最適化ユニットは、前記特徴取得ユニットに他の特徴テンプレートを使用させ、前記特徴取得ユニットは他の特徴テンプレートによって他の行為特徴情報を生成する。前記照合ユニット57が前記トレーニング済みモデル562を最適化することを決定すると、前記最適化ユニット59は、前記特徴取得ユニット53に他の特徴テンプレート531を使用させ、前記特徴取得ユニット53は、他の特徴テンプレート531によって他の行為特徴情報I1を生成し、前記最適化ユニット59は、前記特徴テンプレート531の数または項目を変更し、前記特徴取得ユニット53は、特徴テンプレート531によってさらに前記ネットワークパケットP1の他の行為特徴情報I1を取得する。
ステップS4523では、前記特徴自動標記ユニットは、特徴記憶ユニットの他の行為特徴情報を取得して標記を行うことで、前記行為特徴情報にもう一組の特徴自動分類標記を有させる。この特徴自動標記ユニット55に、他の行為特徴情報I1からもう一組の特徴自動分類標記C1を生成させる。
ステップS4524では、この特徴自動標記記憶ユニットは、この行為特徴情報と所属する他の組の特徴自動分類標記を記憶する。前記特徴自動標記記憶ユニット551は、前記行為特徴情報I1および所属するもう一組の特徴自動分類標記C1を記憶する。
ステップS4525では、前記トレーニングユニットのトレーニング対象モデルは、前記行為特徴情報および所属する特徴自動分類標記を取得し、他のトレーニング済みモデルを出力する。前記トレーニングユニット56のトレーニング対象モデル561は、前記行為特徴情報I1および所属する特徴自動分類標記C1を取得し、他のトレーニング済みモデル562を出力する。
ステップS4526では、前記他のトレーニング済みモデルは、前記照合ユニットに出力し、前記照合ユニットは、トレーニング特徴情報および特徴正確分類標記を取得する。前記トレーニングユニット56の他のトレーニング済みモデル562は、前記照合ユニットに出力し、前記照合ユニット57は、前記正確特徴標記記憶ユニット58のトレーニング特徴情報I3および特徴正確分類標記C2を取得する。
ステップS4527では、前記他のトレーニング済みモデルは、前記トレーニング特徴情報を取得し、他のトレーニング情報結果を出力する。他のトレーニング済みモデル562は、照合ユニット57において、前記トレーニング特徴情報I3を取得すると共に、他のトレーニング情報結果を出力する。
ステップS4528では、照合ユニットは、前記他のトレーニング情報結果とトレーニング特徴情報および特徴正確分類標記とを照合すると共に、前記他のトレーニング済みモデルを前記処理ユニットに出力する。前記照合ユニット57は、前記他のトレーニング情報結果とトレーニング特徴情報I3および特徴正確分類標記C2とを照合し、前記照合ユニット57が前記他のトレーニング情報結果とトレーニング特徴情報I3および特徴正確分類標記C2の間の分類標記が一致するかどうかを照合すれば、前記トレーニング情報結果とトレーニング特徴情報I3および特徴正確分類標記C2の一致率が設定値より高い場合、前記照合ユニット57は、前記他のトレーニング済みモデル562を前記処理ユニット54に出力し、前記トレーニング済みモデル562によって前記AIモデル541を更新し、そうでなければ、前記他のトレーニング情報結果とトレーニング特徴情報I3および特徴正確分類標記C2の一致率が設定値より低い場合、前記照合ユニット57は、トレーニング情報結果とトレーニング特徴情報I3および特徴正確分類標記C2の一致率が設定値より高くなるまで、前記特徴自動分類標記C1を再調整する。
よって、前記AIによるネットワーク攻撃防御システム1は、AIモデル541で攻撃行為のあるネットワークパケットP1を迅速に認識かつフィルタリングすることができ、このように機器の増設や複雑な機器の構築を必要とせず、設置コストを低下する上に、前記認証装置3は認証段階で、前記AIモデル541によって、特徴テンプレート531に解析される行為特徴情報I1に基づいて正常なネットワークパケットP1または悪質なネットワークパケットP1と判断でき、さらに前記特徴情報結果R1によって悪質なネットワークパケットP1を生成したユーザ端末2をユーザ濾過データベース511に記憶し、悪質なネットワークパケットP1を生成したユーザ端末2の悪質攻撃によって大量の演算資源を消耗する問題の発生を避けることができる。
以上、本発明を詳細に説明したが、上述で説明されたものは、本発明の1つの好ましい実施例にすぎず、本発明の実施範囲を限定するものではなく、すなわち本発明の請求範囲によって行う均等変化と修飾などは、本発明の特許請求範囲に属するべきである。
1 AIによるネットワーク攻撃防御システム
2 ユーザ端末
3 認証装置
4 サーバ機器
5 ネットワーク機器
51 パケット濾過ユニット
511 ユーザ濾過データベース
52 パケット取得ユニット
521 パケット記憶ユニット
53 特徴取得ユニット
531 特徴テンプレート
532 特徴記憶ユニット
54 処理ユニット
541 AIモデル
55 特徴自動標記ユニット
551 特徴自動標記記憶ユニット
56 トレーニングユニット
561 トレーニング対象モデル
562 トレーニング済みモデル
57 照合ユニット
58 正確特徴標記記憶ユニット
59 最適化ユニット
P1 ネットワークパケット
I1 行為特徴情報
I2 パケット情報
R1 特徴情報結果
C1 特徴自動分類標記
I3 トレーニング特徴情報
C2 特徴正確分類標記
S1~S7 ステップ
S41~S45 ステップ
S4511~S4516 ステップ
S4521~S4528 ステップ

Claims (10)

  1. ユーザ端末データを有すると共に、少なくとも1つのネットワークパケットが生成された少なくとも1つのユーザ端末と、
    前記ユーザ端末に接続し、少なくとも一つのユーザ濾過データベースを有し、前記ネットワークパケットを受信すると共に、前記ユーザ濾過データベースにより前記ネットワークパケットを認証装置に送信するか、または、そのネットワークパケットをフィルタリングするパケット濾過ユニットを備えたネットワーク機器と、を含むAIによるネットワーク攻撃防御システムにおいて、
    前記認証装置は、前記ネットワークパケットを受信し、前記ネットワークパケットを生成するユーザ端末に認証を行うと共に、認証結果によって前記ネットワークパケットをサーバ機器に送信
    前記ネットワーク機器は、
    前記パケット濾過ユニットに接続し、前記認証装置に送信されたネットワークパケットを取得するパケット取得ユニットと、
    前記パケット取得ユニットに接続し、前記ネットワークパケットを記憶するパケット記憶ユニットと、
    前記パケット記憶ユニットに接続し、前記ネットワークパケットを取得すると共に少なくとも一つの特徴テンプレートで前記ネットワークパケットを解析し、前記ネットワークパケットの行為特徴情報およびパケット情報を生成する特徴取得ユニットと、
    前記特徴取得ユニットに接続し、前記行為特徴情報および前記パケット情報を記憶する特徴記憶ユニットと、
    前記特徴取得ユニットに接続し、その行為特徴情報を受信すると共に、AIモデルで前記ネットワークパケットの行為特徴情報が正常かまたは悪質であるかを判断して特徴情報結果を生成し、悪質なネットワークパケットの特徴情報結果を前記パケット濾過ユニットに送信し、前記パケット濾過ユニットは、前記特徴記憶ユニットのパケット情報をさらに受信し、前記特徴情報結果およびパケット情報によって悪質なネットワークパケットを生成するユーザ端末データを前記ユーザ濾過データベースに記憶する処理ユニットと、をさらに含む、
    ことを特徴とするAIによるネットワーク攻撃防御システム。
  2. 前記ネットワーク機器は、特徴自動標記ユニットと、特徴自動標記記憶ユニットとをさらに含み、
    前記特徴自動標記ユニットは、前記特徴記憶ユニットに接続し、前記特徴記憶ユニットにおける行為特徴情報を取得すると共に標記を行うことで、前記行為特徴情報には特徴自動分類標記を有させ、
    前記特徴自動標記記憶ユニットは、前記特徴自動標記ユニットに接続し、前記行為特徴情報および所属する特徴自動分類標記を記憶し、かつ前記特徴自動標記記憶ユニットはトレーニングユニットに接続し、
    前記トレーニングユニットのトレーニング対象モデルは、前記行為特徴情報および所属する特徴自動分類標記を取得すると共にトレーニング済みモデルを生成する、ことを特徴とする請求項に記載のAIによるネットワーク攻撃防御システム。
  3. 前記ネットワーク機器は、前記トレーニングユニットおよび正確特徴標記記憶ユニットに接続された照合ユニットを有し、
    前記正確特徴標記記憶ユニットには、少なくとも一つのトレーニング特徴情報および前記トレーニング特徴情報の特徴正確分類標記が記憶され、
    前記照合ユニットは、前記正確特徴標記記憶ユニットのトレーニング特徴情報および特徴正確分類標記を取得し、
    前記トレーニングユニットは、前記トレーニング済みモデルを前記照合ユニットに出力し、
    前記トレーニング済みモデルは、前記トレーニング特徴情報を取得すると共にトレーニング情報結果を出力し、
    前記照合ユニットは、前記トレーニング情報結果とトレーニング特徴情報および特徴正確分類標記とを照合し、前記トレーニング済みモデルを最適化するか、前記トレーニング済みモデルを前記処理ユニットに出力するかを決定する、ことを特徴とする請求項に記載のAIによるネットワーク攻撃防御システム。
  4. 前記ネットワーク機器は、最適化ユニットをさらに含み、
    前記最適化ユニットは、前記照合ユニットに接続され、前記照合ユニットが前記トレーニング済みモデルを最適化することを決定するときに最適化を実行する、ことを特徴とする請求項に記載のAIによるネットワーク攻撃防御システム。
  5. 前記最適化ユニットは、前記特徴自動標記ユニットにさらに接続し、
    前記照合ユニットが前記トレーニング済みモデルを最適化することを決定するときに、前記最適化ユニットは、前記特徴自動標記ユニットを最適化し、前記特徴自動標記ユニットは、他の一組の特徴自動分類標記を生成する、ことを特徴とする請求項に記載のAIによるネットワーク攻撃防御システム。
  6. 前記最適化ユニットは、前記特徴取得ユニットにさらに接続し、
    前記照合ユニットが前記トレーニング済みモデルを最適化することを決定するときに、前記最適化ユニットは、前記特徴取得ユニットに他の特徴テンプレートを使用させ、前記特徴取得ユニットは、他の特徴テンプレートによって他の行為特徴情報を生成する、ことを特徴とする請求項に記載のAIによるネットワーク攻撃防御システム。
  7. 少なくとも一つのユーザ端末により一つのネットワーク機器に少なくとも一つのネットワークパケットを生成するステップと、
    前記ネットワーク機器のパケット濾過ユニットは、前記ネットワークパケットを受信すると共に、ユーザ濾過データベースにより前記ネットワークパケットを認証装置に送信するか、またはそのネットワークパケットをフィルタリングするステップと、
    前記認証装置は、前記ネットワークパケットを受信し、前記ネットワークパケットを生成したユーザ端末に対して認証を行い、そして認証結果により前記ネットワークパケットをサーバ機器に送信するステップと、を含
    前記認証装置が前記ネットワークパケットを受信し、前記ネットワークパケットを生成したユーザ端末に対し認証を行い、そして認証結果によって前記ネットワークパケットをサーバ機器に送信するステップは、
    パケット取得ユニットが、前記パケット濾過ユニットによって前記認証装置に送信されたネットワークパケットを取得する過程と、
    パケット記憶ユニットが前記パケット取得ユニットにより取得したネットワークパケットを記憶し、特徴取得ユニットによって前記パケット記憶ユニットのネットワークパケットを取得すると共に、少なくとも一つの特徴テンプレートで前記ネットワークパケットを解析し、前記ネットワークパケットの行為特徴情報およびパケット情報を生成して特徴記憶ユニットに記憶する過程と、
    処理ユニットのAIモデルは、前記ネットワークパケットの行為特徴情報が正常または悪質であるかを判断し、特徴情報結果を生成する過程と、
    前記処理ユニットが悪質なネットワークパケットの特徴情報結果を前記パケット濾過ユニットに送信し、前記パケット濾過ユニットが前記特徴記憶ユニットのパケット情報をさらに受信し、前記パケット濾過ユニットが前記特徴情報結果およびパケット情報によって悪質なネットワークパケットを生成したユーザ端末データを前記ユーザ濾過データベースに記憶する過程と、を含む、
    ことを特徴とするAIによるネットワーク攻撃防御方法。
  8. 前記特徴取得ユニットがパケット記憶ユニットのネットワークパケットを取得し、少なくとも1つの特徴テンプレートで前記ネットワークパケットを解析し、前記ネットワークパケットの行為特徴情報およびパケット情報を生成するステップは、
    前記特徴記憶ユニットが前記特徴取得ユニットの行為特徴情報を記憶し、さらに特徴自動標記ユニットが前記特徴記憶ユニットにおける行為特徴情報を取得すると共に標記を行うことで、前記行為特徴情報には特徴自動分類標記を有するようにする過程と、
    さらに特徴自動標記記憶ユニットが前記行為特徴情報および所属する特徴自動分類標記を記憶し、トレーニングユニットのトレーニング対象モデルで前記行為特徴情報および所属の特徴自動分類標記を取得すると共に、トレーニング済みモデルを生成する過程と、
    照合ユニットに前記トレーニング済みモデルが出力され、前記照合ユニットが正確特徴標記記憶ユニットのトレーニング特徴情報および特徴正確分類標記をさらに取得する過程と、
    前記トレーニング済みモデルは、前記トレーニング特徴情報を取得し、トレーニング情報結果を出力する過程と、
    照合ユニットが前記トレーニング情報結果とトレーニング特徴情報および特徴正確分類標記とを照合し、前記トレーニング済みモデルを最適化するか、前記トレーニング済みモデルを前記処理ユニットに出力するかを決定する過程と、を含む、ことを特徴とする請求項に記載のAIによるネットワーク攻撃防御方法。
  9. 前記照合ユニットが前記トレーニング情報結果とトレーニング特徴情報および特徴正確分類標記を照合し、前記トレーニング済みモデルを最適化すると決定したステップは、
    最適化ユニットが前記特徴自動標記ユニットを最適化し、前記特徴自動標記ユニットがさらに前記特徴記憶ユニットにおける行為特徴情報を取得すると共に標記を行うことで、前記行為特徴情報にはもう一組の特徴自動分類標記を有するようにする過程と、
    前記特徴自動標記記憶ユニットが前記行為特徴情報および所属するもう一組の特徴自動分類標記を記憶する過程と、
    前記トレーニングユニットのトレーニング対象モデルが前記行為特徴情報および所属の特徴自動分類標記を取得し、他のトレーニング済みモデルを出力する過程と、
    前記照合ユニットに前記他のトレーニング済みモデルが出力され、前記照合ユニットがトレーニング特徴情報および特徴正確分類標記を取得する過程と、
    前記他のトレーニング済みモデルが、前記トレーニング特徴情報を取得し、他のトレーニング情報結果を出力する過程と、
    前記照合ユニットが前記他のトレーニング情報結果とトレーニング特徴情報および特徴正確分類標記とを照合し、前記他のトレーニング済みモデルを前記処理ユニットに出力する過程と、を含む、ことを特徴とする請求項に記載のAIによるネットワーク攻撃防御方法。
  10. 前記照合ユニットが前記トレーニング情報結果とトレーニング特徴情報および特徴正確分類標記とを照合し、前記トレーニング済みモデルを最適化すると決定するステップは、
    最適化ユニットから前記特徴取得ユニットに接続する過程と、
    前記最適化ユニットが、前記特徴取得ユニットに他の特徴テンプレートを使用させ、前記特徴取得ユニットが他の特徴テンプレートによって他の行為特徴情報を生成する過程と、
    前記特徴自動標記ユニットがさらに前記特徴記憶ユニットにおける他の行為特徴情報を取得すると共に標記を行うことで、前記行為特徴情報にはもう一組の特徴自動分類標記を有させる過程と、
    前記特徴自動標記記憶ユニットが前記行為特徴情報および所属するもう一組の特徴自動分類標記を記憶する過程と、
    前記トレーニングユニットのトレーニング対象モデルが前記行為特徴情報および所属の特徴自動分類標記を取得し、他のトレーニング済みモデルを出力する過程と、
    前記照合ユニットに前記他のトレーニング済みモデルが出力され、前記照合ユニットがトレーニング特徴情報および特徴正確分類標記を取得する過程と、
    前記他のトレーニング済みモデルが前記トレーニング特徴情報を取得し、他のトレーニング情報結果を出力する過程と、
    前記照合ユニットが前記他のトレーニング情報結果とトレーニング特徴情報および特徴正確分類標記とを照合し、前記他のトレーニング済みモデルを前記処理ユニットに出力する過程と、を含む、ことを特徴とする請求項に記載のAIによるネットワーク攻撃防御方法。
JP2022054899A 2022-03-30 2022-03-30 Aiによるネットワーク攻撃防御システムおよびその方法 Active JP7494240B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2022054899A JP7494240B2 (ja) 2022-03-30 2022-03-30 Aiによるネットワーク攻撃防御システムおよびその方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2022054899A JP7494240B2 (ja) 2022-03-30 2022-03-30 Aiによるネットワーク攻撃防御システムおよびその方法

Publications (2)

Publication Number Publication Date
JP2023147418A JP2023147418A (ja) 2023-10-13
JP7494240B2 true JP7494240B2 (ja) 2024-06-03

Family

ID=88288999

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022054899A Active JP7494240B2 (ja) 2022-03-30 2022-03-30 Aiによるネットワーク攻撃防御システムおよびその方法

Country Status (1)

Country Link
JP (1) JP7494240B2 (ja)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004320636A (ja) 2003-04-18 2004-11-11 Nippon Telegr & Teleph Corp <Ntt> DoS攻撃元検出方法、DoS攻撃阻止方法、セッション制御装置、ルータ制御装置、プログラムおよびその記録媒体
JP2008504737A (ja) 2004-06-23 2008-02-14 クゥアルコム・インコーポレイテッド ネットワークパケットの効率的な分類
JP2017152852A (ja) 2016-02-23 2017-08-31 株式会社日立製作所 通信システム、通信装置、および通信システムの通信制御方法
CN111262832A (zh) 2020-01-08 2020-06-09 北京工业大学 云环境下融合信任和学习的DDoS攻击发现方法
JP2020135816A (ja) 2019-02-26 2020-08-31 株式会社日立製作所 不正通信検知装置および不正通信検知プログラム

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004320636A (ja) 2003-04-18 2004-11-11 Nippon Telegr & Teleph Corp <Ntt> DoS攻撃元検出方法、DoS攻撃阻止方法、セッション制御装置、ルータ制御装置、プログラムおよびその記録媒体
JP2008504737A (ja) 2004-06-23 2008-02-14 クゥアルコム・インコーポレイテッド ネットワークパケットの効率的な分類
JP2017152852A (ja) 2016-02-23 2017-08-31 株式会社日立製作所 通信システム、通信装置、および通信システムの通信制御方法
JP2020135816A (ja) 2019-02-26 2020-08-31 株式会社日立製作所 不正通信検知装置および不正通信検知プログラム
CN111262832A (zh) 2020-01-08 2020-06-09 北京工业大学 云环境下融合信任和学习的DDoS攻击发现方法

Also Published As

Publication number Publication date
JP2023147418A (ja) 2023-10-13

Similar Documents

Publication Publication Date Title
US9009830B2 (en) Inline intrusion detection
AlEroud et al. Identifying cyber-attacks on software defined networks: An inference-based intrusion detection approach
Phan et al. OpenFlowSIA: An optimized protection scheme for software-defined networks from flooding attacks
Lin et al. Application classification using packet size distribution and port association
Phan et al. A novel hybrid flow-based handler with DDoS attacks in software-defined networking
US20170364576A1 (en) Classification of security rules
US20150052606A1 (en) Method and a system to detect malicious software
Samarakoon et al. 5g-nidd: A comprehensive network intrusion detection dataset generated over 5g wireless network
US7574594B2 (en) Network authentication based on inter-packet gap characteristics
Ali et al. Novel three-tier intrusion detection and prevention system in software defined network
CN109768981B (zh) 一种在sdn架构下基于机器学习的网络攻击防御方法和系统
US20150372978A1 (en) Methods and apparatus for denial of service resistant policing of packets
CN112769623A (zh) 边缘环境下的物联网设备识别方法
Yang et al. Bayesian neural network based encrypted traffic classification using initial handshake packets
CN114091020A (zh) 基于特征分组和多模型融合的对抗攻击防御方法及系统
CN116346418A (zh) 基于联邦学习的DDoS检测方法及装置
KR102083028B1 (ko) 네트워크 침입탐지 시스템
CN114866310A (zh) 一种恶意加密流量检测方法、终端设备及存储介质
JP2013070325A (ja) 通信システム、通信装置、サーバ、通信方法
CN108667804B (zh) 一种基于SDN架构的DDoS攻击检测及防护方法和系统
Fenil et al. Towards a secure software defined network with adaptive mitigation of dDoS attacks by machine learning approaches
CN108650237B (zh) 一种基于存活时间的报文安全检查方法及系统
JP7494240B2 (ja) Aiによるネットワーク攻撃防御システムおよびその方法
CN111786967B (zh) DDoS攻击的防御方法、系统、节点及存储介质
CN108881241B (zh) 一种面向软件定义网络的动态源地址验证方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20221219

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240206

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240418

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20240418

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240430

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240522

R150 Certificate of patent or registration of utility model

Ref document number: 7494240

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150