WO2023238246A1

WO2023238246A1 - 統合モデル生成方法、統合モデル生成装置および統合モデル生成プログラム

Info

Publication number: WO2023238246A1
Application number: PCT/JP2022/022983
Authority: WO
Inventors: 達也竹村; 駿飛山; 和憲神谷
Original assignee: 日本電信電話株式会社
Priority date: 2022-06-07
Filing date: 2022-06-07
Publication date: 2023-12-14

Abstract

統合モデル生成装置（１０）において、評価部（１５ｂ）が、各参加者によって学習された各モデルについて、所定の評価指標を用いて評価する。算出部（１５ｃ）が、各モデルについて、評価指標に応じた重みを算出する。統合部（１５ｄ）が、算出された重みに応じて各モデルを統合する。

Description

統合モデル生成方法、統合モデル生成装置および統合モデル生成プログラム

　本発明は、統合モデル生成方法、統合モデル生成装置および統合モデル生成プログラムに関する。

　従来、大規模攻撃基盤における指令役であるＣｏｍｍａｎｄ＆Ｃｏｎｔｒｏｌサーバ（以下、悪性サーバ）を検知するシステムにおいて、単一の通信事業者が収集したトラフィックデータを利用するだけでは、世界中に分散する悪性サーバの検知数に限界がある。一方、悪性サーバの検知数を向上させるために複数の通信事業者が協調してデータを交換することは、各通信事業者のプライバシの観点で困難である。そこで、データを交換することなく、参加する通信事業者（以下、参加者）がそれぞれに生成した予測モデルのみを交換して統合することによって、より良い性能のモデルを生成するＦｅｄｅｒａｔｅｄ　Ｌｅａｒｎｉｎｇと呼ばれる技術が知られている（非特許文献１、２参照）。

Zirui　Xu,　et.al.,　"Helios:　Heterogeneity-Aware　Federated　Learning　with　Dynamically　Balanced　Collaboration",　IEEE　2021,　pp.997-1002 Ying　Zhao,　et.al.,　"Multi-Task　Network　Anomaly　Detection　using　Federated　Learning",　SolCT　2019,　pp.273-279

　しかしながら、従来の技術で各参加者のモデルを統合する際には、悪性サーバの検知精度を向上させることが困難な場合がある。例えば、実際のトラフィックデータに含まれる悪性サーバに関するデータ（以下、悪性データ）は、それ以外の良性データと比較して圧倒的に数が少なく、各参加者の規模によって生成できる予測モデルの性能の差が大きい。そのため、Ｆｅｄｅｒａｔｅｄ　Ｌｅａｒｎｉｎｇのモデル統合時には、性能の悪いモデルが悪影響を及ぼす結果、悪性データを誤検知や見逃しを発生させずに検知するという、サイバーセキュリティ分野で特に重要なことが困難な場合がある。

　本発明は、上記に鑑みてなされたものであって、各参加者のモデルを統合する際に、性能の悪いモデルの影響を抑制して、少量の悪性サーバに関するデータを精度高く検出可能とすることを目的とする。

　上述した課題を解決し、目的を達成するために、本発明に係る統合モデル生成方法は、統合モデル生成装置が実行する統合モデル生成方法であって、各参加者によって学習された各モデルについて、所定の評価指標を用いて評価する評価工程と、前記各モデルについて、前記評価指標に応じた重みを算出する算出工程と、算出された前記重みに応じて前記各モデルを統合する統合工程と、を含んだことを特徴とする。

　本発明によれば、各参加者のモデルを統合する際に、性能の悪いモデルの影響を抑制して、少量の悪性サーバに関するデータを精度高く検出することが可能となる。

図１は、統合モデル生成装置の概要を説明するための図である。図２は、統合モデル生成装置の概要を説明するための図である。図３は、統合モデル生成装置の概要を説明するための図である。図４は、統合モデル生成装置の概略構成を例示する模式図である。図５は、統合モデル生成処理手順を示すフローチャートである。図６は、他の実施形態の統合モデル生成装置を説明するための図である。図７は、統合モデル生成プログラムを実行するコンピュータを例示する図である。

　以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。

［統合モデル生成装置の概要］
　図１～図３は、統合モデル生成装置の概要を説明するための図である。まず、図１に例示するように、統合モデルの生成に参加する通信事業者（以下、参加者）のそれぞれが、学習用の独自のトラフィックデータセットを用意する。例えば、各参加者は、自身が管理するネットワークのネットワーク機器から、フロー収集機能を用いてネットワークフローデータを収集し、収集したデータから各ホストの特徴量を抽出する。そして、悪性ホストの公開リストや過去の検知結果に基づいて、各ホストの特徴量のデータに、良性または悪性のいずれかのラベルを付与して、学習用のトラフィックデータセットとする。

　なお、参加者間で特徴量の種類と学習するモデルの形態とを予め共有する。そして、事前に形態を決定してパラメータをランダム化した初期モデルを各参加者に配布する。各参加者は、独自のトラフィックデータセットを用いて、入力されたホストの特徴量に対して、このホストが良性または悪性の予測確率を出力するように初期モデルを学習し、パラメータを決定する。そして、統合モデル生成装置は、各参加者が学習したモデルを組み合わせて統合モデルを生成する。

　ここで、図２には、従来のＦｅｄｅｒａｔｅｄ　Ｌｅａｒｎｉｎｇにより生成される統合モデルが例示されている。また、図３には、本実施形態の統合モデル生成装置により生成される統合モデルが例示されている。従来のＦｅｄｅｒａｔｅｄ　Ｌｅａｒｎｉｎｇでは、図２に例示するように、各参加者が学習したモデルのパラメータの単純な平均を統合モデルのパラメータとしていた。図２に示す例では、３つのモデルｍ１、ｍ２、ｍ３のパラメータの平均が統合モデルのパラメータｗ１１とされている。

　これに対し、本実施形態の統合モデル生成装置は、図３に例示するように、各モデルの予測確率を評価指標として、評価指標に応じた重み付けにより統合モデルのパラメータを決定する。図３に示す例では、各モデルｍ１、ｍ２、ｍ３の予測確率の平均に応じて、パラメータｗ１１が決定されている。

　具体的には、統合モデル生成装置は、まず、悪性サーバの公開リストや参加者が予め協調して検知した悪性サーバから特徴量を抽出し、評価用の悪性データセットを用意する。そして、統合モデル生成装置は、この評価用の悪性データセットを用いて各モデルを評価して、統合モデルのパラメータの重みを算出する。例えば、統合モデル生成装置は、各モデルの悪性データの予測確率の平均を基に、重み決定関数を利用して各モデルの重みを決定する。各モデルの重みは、性能のよいモデルを強調する度合いや、性能の悪いモデルを協調させる度合いを表し、重み決定関数のパラメータで調整可能である。

　統合モデル生成装置は、決定した重みを基に各モデルを組み合わせて統合モデルを生成する。統合モデル生成装置は、ここで生成した統合モデルを次ラウンドの初期モデルとして、上記の処理を所定の回数繰り返すことにより、統合モデルを生成する。

　このように、本実施形態の統合モデル生成装置によれば、性能の悪いモデルの影響を抑制して、各参加者のモデルを統合することが可能となる。したがって、少量の悪性サーバに関するデータを精度高く検出することが可能となる。

［統合モデル生成装置の構成］
　図４は、統合モデル生成装置の概略構成を例示する模式図である。図４に例示するように、統合モデル生成装置１０は、パソコン等の汎用コンピュータで実現され、入力部１１、出力部１２、通信制御部１３、記憶部１４、および制御部１５を備える。

　入力部１１は、キーボードやマウス等の入力デバイスを用いて実現され、操作者による入力操作に対応して、制御部１５に対して処理開始などの各種指示情報を入力する。出力部１２は、液晶ディスプレイなどの表示装置、プリンター等の印刷装置等によって実現される。

　通信制御部１３は、ＮＩＣ（Network　Interface　Card）等で実現され、ネットワークを介したサーバ等の外部の装置と制御部１５との通信を制御する。例えば、通信制御部１３は、後述する統合モデル生成処理に用いられる各参加者のモデルやトラフィックデータ等を管理するサーバ等と、制御部１５との通信を制御する。

　記憶部１４は、ＲＡＭ（Random　Access　Memory）、フラッシュメモリ（Flash　Memory）等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。記憶部１４には、統合モデル生成装置１０を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが予め記憶され、あるいは処理の都度一時的に記憶される。なお、記憶部１４は、通信制御部１３を介して制御部１５と通信する構成でもよい。

　本実施形態において、記憶部１４には、後述する統合モデル生成処理で使用される悪性データセット１４ａが記憶される。悪性データセット１４ａは、既知の悪性サーバのそれぞれに関するデータであって、各悪性サーバの所定の特徴量である。ここで、既知の悪性サーバとは、公開されているリストの悪性サーバ、あるいは参加者が予め協調して検知した悪性サーバを意味する。

　制御部１５は、ＣＰＵ（Central　Processing　Unit）等を用いて実現され、メモリに記憶された処理プログラムを実行する。これにより、制御部１５は、図４に例示するように、収集部１５ａ、評価部１５ｂ、算出部１５ｃ、統合部１５ｄおよび配布部１５ｅとして機能して、後述する統合モデル生成処理を実行する。なお、これらの機能部は、それぞれが異なるハードウェアに実装されてもよい。例えば、収集部１５ａおよび配布部１５ｅが、他の機能部とは別の装置に実装されていてもよい。また、制御部１５は、その他の機能部を備えてもよい。

　収集部１５ａは、各参加者により学習されたモデルを収集する。具体的には、収集部１５ａは、入力部１１を介して、あるいは各参加者のサーバから通信制御部１３を介して、各参加者により学習されたモデルを収集する。

　なお、収集部１５ａは、後述するように、繰り返し、各参加者により学習されたモデルを収集して後段の評価部１５ｂに転送する。初回には、図１に例示したように、パラメータがランダム化された所定の形態の初期モデルが各参加者に配布され、各参加者が独自のトラフィックデータセットを用いて学習したモデルが収集される。また２回目以降には、後述する統合部１５ｄが生成した統合モデルが各参加者に配布され、初回と同様に、各参加者が独自のトラフィックデータセットを用いて学習したモデルが収集される。

　収集部１５ａは、収集した各参加者のモデルを、直ちに評価部１５ｂに転送してもよいし、後述する処理に先立って予め収集して記憶部１４に記憶させてもよい。

　図４の説明に戻る。評価部１５ｂは、各参加者によって学習された各モデルについて、所定の評価指標を用いて評価する。例えば、評価部１５ｂは、評価指標として、既知の悪性サーバの情報である悪性データセット１４ａを用いて悪性度の予測確率を算出する。図１に示した例では、悪性度の予測確率の平均ｐ_１、ｐ_２、ｐ_３が算出されている。

　図４の説明に戻る。算出部１５ｃは、各モデルについて、評価指標に応じた重みを算出する。例えば、算出部１５ｃは、悪性度の予測確率が高いほど大きくなるように重みを算出する。具体的には、算出部１５ｃは、次式（１）または次式（２）に示す重み決定関数ｆ（ｐ_ｉ）を用いて、各モデルについての重みを算出する。

　上記式（２）は、温度付きソフトマックス関数と呼ばれ、上記式（１）よりパラメータＴの影響を大きく与えることが可能である。例えば、Ｔ＜１の場合には、Ｔが０に近づくほど悪性予測確率が高い参加者のモデルを強調して重み付けすることが可能となる。また、Ｔ＞１の場合には、Ｔが大きくなるほど悪性予測確率の低い参加者のモデルも強調されやすくなる。

　統合部１５ｄは、算出された重みに応じて各モデルを統合する。例えば、図１に例示したように、上記式（１）または（２）で算出されたｆ（ｐ_ｉ）を用いて、各モデルを重み付けして統合することにより、統合モデルを生成する。これにより、統合モデル生成装置１０は、悪性度の予測精度が高く性能が良いほど強調するように重み付けした統合モデルを生成する。したがって、統合モデル生成装置１０は、性能の悪い参加者のモデルの影響を抑制して、悪性サーバを精度高く検出可能な統合モデルを生成することが可能となる。

　図４の説明に戻る。配布部１５ｅは、統合された統合モデルを各参加者に配布する。例えば、図１に例示したように、配布部１５ｅは、統合モデルを次回ラウンドの初期モデルとして、各参加者に配布する。このようにして、統合モデル生成装置１０は、上記の収集部１５ａ～配布部１５ｅの処理を所定回数繰り返すことにより、統合モデルの精度を向上させることが可能となる。

［統合モデル生成処理］
　次に、図５を参照して、本実施形態に係る統合モデル生成装置１０による統合モデル生成処理について説明する。図５は、統合モデル生成処理手順を示すフローチャートである。図５のフローチャートは、例えば、統合モデル生成処理の開始を指示する操作入力があったタイミングで開始される。

　まず、収集部１５ａが、各参加者が独自のトラフィックデータセットを用いて学習した学習済みのモデルを、各参加者のサーバ等から収集する（ステップＳ１）。

　次に、評価部１５ｂが、各参加者によって学習された各モデルについて、所定の評価指標を算出する（ステップＳ２）。例えば、評価部１５ｂは、評価指標として、既知の悪性サーバの情報である悪性データセット１４ａを用いて悪性度の予測確率を算出する。

　また、算出部１５ｃが、各モデルについて、評価指標に応じた重みを算出する（ステップＳ３）。例えば、算出部１５ｃは、重み決定関数を用いて、各モデルについて、悪性度の予測確率が高いほど強調するように重みを算出する。

　そして、統合部１５ｄが、算出された重みに応じて各モデルを統合する（ステップＳ４）。例えば統合部１５ｄは、悪性度の予測精度が高く性能が良いほど強調するように重み付けした統合モデルを生成する。

　また、配布部１５ｅは、統合された統合モデルを各参加者に配布して（ステップＳ５）、ステップＳ１に処理を戻す。これにより、一連の統合モデル生成処理が繰り返される。

［他の実施形態］
　図６は、他の実施形態の統合モデル生成装置を説明するための図である。上記の実施形態では、図６（ａ）に示すように、複数の通信事業者のそれぞれを参加者として統合モデルを生成している。この場合には、他の通信事業者と協調することにより、悪性サーバの検出数を増やすことが可能となる。

　ただし、本発明は、これに限定されない。例えば、図６（ｂ）に例示するように、単一の通信事業者内のエッジコンピューティングを対象として、複数の地域を参加者として統合モデルを生成してもよい。世界規模の通信事業者では、各地から一か所にトラフィックデータを集約させる必要があり、今後の通信量の増加により集約のためのオーバヘッドが大きくなる恐れがある。また、同一の組織内であっても、地域ごとの法規制により、トラフィックデータを直接地域外に出せずに、一か所に集約することが困難な場合がある。そのような場合にも、単一の大規模な通信事業者において、各地域を各参加者として統合モデルを生成することにより、悪性サーバを高精度に検出することが可能となる。

［効果］
　以上、説明したように、統合モデル生成装置１０において、評価部１５ｂが、各参加者によって学習された各モデルについて、所定の評価指標を用いて評価する。算出部１５ｃが、各モデルについて、評価指標に応じた重みを算出する。統合部１５ｄは、算出された重みに応じて各モデルを統合する。

　具体的には、評価部１５ｂは、評価指標として、既知の悪性サーバの情報を用いて悪性度の予測確率を算出する。この場合に、算出部１５ｃは、悪性度の予測確率が高いほど大きくなるように重みを算出する。

　このように、本実施形態の統合モデル生成装置１０によれば、例えば悪性度の予測確率が高く悪性サーバ検出の性能の良いモデルを強調し、性能の悪いモデルの影響を抑制して、各通信事業者のモデルを統合することが可能となる。したがって、少量の悪性サーバに関するデータを精度高く検出することが可能となる。

　また、配布部１５ｅが、統合された統合モデルを各参加者に配布する。これにより、各参加者が配布された統合モデルをそれぞれに学習し、学習されたそれぞれの統合モデルを統合する処理を繰り返すことにより、さらに悪性サーバの検出精度を向上させることが可能となる。

［プログラム］
　上記実施形態に係る統合モデル生成装置１０が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、統合モデル生成装置１０は、パッケージソフトウェアやオンラインソフトウェアとして上記の統合モデル生成処理を実行する統合モデル生成プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の統合モデル生成プログラムを情報処理装置に実行させることにより、情報処理装置を統合モデル生成装置１０として機能させることができる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やＰＨＳ（Personal　Handyphone　System）等の移動体通信端末、さらには、ＰＤＡ（Personal　Digital　Assistant）等のスレート端末等がその範疇に含まれる。また、統合モデル生成装置１０の機能を、クラウドサーバに実装してもよい。

　図７は、統合モデル生成プログラムを実行するコンピュータの一例を示す図である。コンピュータ１０００は、例えば、メモリ１０１０と、ＣＰＵ１０２０と、ハードディスクドライブインタフェース１０３０と、ディスクドライブインタフェース１０４０と、シリアルポートインタフェース１０５０と、ビデオアダプタ１０６０と、ネットワークインタフェース１０７０とを有する。これらの各部は、バス１０８０によって接続される。

　メモリ１０１０は、ＲＯＭ（Read　Only　Memory）１０１１およびＲＡＭ１０１２を含む。ＲＯＭ１０１１は、例えば、ＢＩＯＳ（Basic　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、ハードディスクドライブ１０３１に接続される。ディスクドライブインタフェース１０４０は、ディスクドライブ１０４１に接続される。ディスクドライブ１０４１には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース１０５０には、例えば、マウス１０５１およびキーボード１０５２が接続される。ビデオアダプタ１０６０には、例えば、ディスプレイ１０６１が接続される。

　ここで、ハードディスクドライブ１０３１は、例えば、ＯＳ１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３およびプログラムデータ１０９４を記憶する。上記実施形態で説明した各情報は、例えばハードディスクドライブ１０３１やメモリ１０１０に記憶される。

　また、統合モデル生成プログラムは、例えば、コンピュータ１０００によって実行される指令が記述されたプログラムモジュール１０９３として、ハードディスクドライブ１０３１に記憶される。具体的には、上記実施形態で説明した統合モデル生成装置１０が実行する各処理が記述されたプログラムモジュール１０９３が、ハードディスクドライブ１０３１に記憶される。

　また、統合モデル生成プログラムによる情報処理に用いられるデータは、プログラムデータ１０９４として、例えば、ハードディスクドライブ１０３１に記憶される。そして、ＣＰＵ１０２０が、ハードディスクドライブ１０３１に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてＲＡＭ１０１２に読み出して、上述した各手順を実行する。

　なお、統合モデル生成プログラムに係るプログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０３１に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ１０４１等を介してＣＰＵ１０２０によって読み出されてもよい。あるいは、統合モデル生成プログラムに係るプログラムモジュール１０９３やプログラムデータ１０９４は、ＬＡＮ（Local　Area　Network）やＷＡＮ（Wide　Area　Network）等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース１０７０を介してＣＰＵ１０２０によって読み出されてもよい。

　以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。

　１０　統合モデル生成装置
　１１　入力部
　１２　出力部
　１３　通信制御部
　１４　記憶部
　１４ａ　悪性データセット
　１５　制御部
　１５ａ　収集部
　１５ｂ　評価部
　１５ｃ　算出部
　１５ｄ　統合部
　１５ｅ　配布部

Claims

　統合モデル生成装置が実行する統合モデル生成方法であって、
　各参加者によって学習された各モデルについて、所定の評価指標を用いて評価する評価工程と、
　前記各モデルについて、前記評価指標に応じた重みを算出する算出工程と、
　算出された前記重みに応じて前記各モデルを統合する統合工程と、
　を含んだことを特徴とする統合モデル生成方法。
　前記評価工程は、前記評価指標として、既知の悪性サーバの情報を用いて悪性度の予測確率を算出し、
　前記算出工程は、前記悪性度の予測確率が高いほど大きくなるように前記重みを算出する、
　ことを特徴とする請求項１に記載の統合モデル生成方法。
　統合された統合モデルを前記各参加者に配布する配布工程を、さらに含むことを特徴とする請求項１に記載の統合モデル生成方法。
　各参加者によって学習された各モデルについて、所定の評価指標を用いて評価する評価部と、
　前記各モデルについて、前記評価指標に応じた重みを算出する算出部と、
　算出された前記重みに応じて前記各モデルを統合する統合部と、
　を有することを特徴とする統合モデル生成装置。
　各参加者によって学習された各モデルについて、所定の評価指標を用いて評価する評価ステップと、
　前記各モデルについて、前記評価指標に応じた重みを算出する算出ステップと、
　算出された前記重みに応じて前記各モデルを統合する統合ステップと、
　をコンピュータに実行させるための統合モデル生成プログラム。