公開番号2025001918 公報種別公開特許公報(A) 公開日2025-01-09 出願番号2023101698 出願日2023-06-21 発明の名称異常通信検知装置及び異常通信検知プログラム 出願人KDDI株式会社,トヨタ自動車株式会社,株式会社ARISE analytics 代理人個人,個人 主分類G06N 20/00 20190101AFI20241226BHJP(計算;計数) 要約【課題】時系列のフローデータに基づく異常通信検知における検知精度を向上させられる異常通信検知装置及び異常通信検知プログラムを提供すること。 【解決手段】異常通信検知装置1は、通信ネットワークにおいて蓄積されたフローデータを、特徴量の類似性に基づいて複数のクラスタに分類し、当該複数のクラスタそれぞれにラベルを付与するクラスタリング部11と、ラベルを、フローデータの送信元デバイス別に通信時刻順で並べたシーケンスを生成するシーケンス生成部13と、シーケンスに基づいて、複数のクラスタにそれぞれ異なる多次元ベクトルを割り当てる特徴抽出部14と、シーケンス及び多次元ベクトルに基づいて、順序モデルを作成する事前学習部16と、順序モデルにより新たなシーケンスの異常度を算出し、当該異常度に基づいて当該新たなシーケンスの異常検知をする異常検知部17と、を備える。 【選択図】図2 特許請求の範囲【請求項1】 通信ネットワークにおいて蓄積されたフローデータを、特徴量の類似性に基づいて複数のクラスタに分類し、当該複数のクラスタそれぞれにラベルを付与するクラスタリング部と、 前記ラベルを、前記フローデータの送信元デバイス別に通信時刻順で並べたシーケンスを生成するシーケンス生成部と、 前記シーケンスに基づいて、前記複数のクラスタにそれぞれ異なる多次元ベクトルを割り当てる特徴抽出部と、 前記シーケンス及び多次元ベクトルに基づいて、順序モデルを作成する事前学習部と、 前記順序モデルにより新たなシーケンスの異常度を算出し、当該異常度に基づいて当該新たなシーケンスの異常検知をする異常検知部と、を備える異常通信検知装置。 続きを表示(約 970 文字)【請求項2】 前記通信ネットワークは、一つ以上の送信元デバイスと一つの送信先デバイスとが相互に通信を行う構造を、少なくとも一部分に持つ請求項1に記載の異常通信検知装置。 【請求項3】 前記通信ネットワークは、一つ以上の送信元車両と一つの送信先デバイスとが相互に通信を行う構造を、少なくとも一部分に持つ車両通信ネットワークである請求項1に記載の異常通信検知装置。 【請求項4】 前記クラスタリング部により前記複数のクラスタのいずれかに分類されたフローデータのうち、特徴量が外れ値に該当するものを未知クラスタに置き換える未知クラスタ変換部を備える請求項1に記載の異常通信検知装置。 【請求項5】 前記未知クラスタ変換部は、フローデータ単体の特徴に基づく所定の異常検知手法により異常と判定されたフローデータを前記未知クラスタに置き換える請求項4に記載の異常通信検知装置。 【請求項6】 前記未知クラスタ変換部は、各クラスタに属するフローデータそれぞれに対応した特徴量空間における各点の近傍球の集合に含まれない新たなフローデータを前記未知クラスタに置き換える請求項4に記載の異常通信検知装置。 【請求項7】 前記特徴抽出部は、前記多次元ベクトルとして、前記シーケンスの順序関係に基づく分散表現を獲得する請求項1から請求項6のいずれかに記載の異常通信検知装置。 【請求項8】 前記複数のクラスタのうち、前記多次元ベクトルの類似度が所定以上の組み合わせを、一つのクラスタに統合するクラスタ統合部を備える請求項7に記載の異常通信検知装置。 【請求項9】 前記クラスタリング部は、クラスタ数を固定せずに実行可能なクラスタリング手法によって前記フローデータを分類する請求項1から請求項6のいずれかに記載の異常通信検知装置。 【請求項10】 前記異常検知部は、前記順序モデルにより得られる、前記新たなシーケンス又は当該シーケンスを構成するクラスタの特徴ベクトルを、所定の異常検知モデルの入力とすることで、前記異常度を算出する請求項1から請求項6のいずれかに記載の異常通信検知装置。 (【請求項11】以降は省略されています) 発明の詳細な説明【技術分野】 【0001】 本発明は、通信ネットワークにおける異常通信を検知するための装置及びプログラムに関する。 続きを表示(約 2,400 文字)【背景技術】 【0002】 一般的に、通信ネットワークの異常通信検知に用いられる通信データの形式は、大きくパケット又はフローの二つに分けられる。パケットは、ペイロードを含むためデータサイズが大きく、異常通信検知の処理速度に関する課題がある。一方、フローは、複数のパケットをセッション単位で集約したデータであり、データサイズがパケットと比較して小さいため、異常通信検知の処理速度を向上させることが期待できる。 【0003】 例えば、非特許文献1では、単一フローの量的変数を入力として、Deep Neural Network(DNN)を用いた異常通信検知モデルを学習する手法が提案されている。しかしながら、フローデータは、複数のパケットを集約している関係で、正常フローと不正フローとを単一フローの量的変数のみでは区別できない場合がある。 【0004】 そこで、複数フロー間の関係を活用して学習する手法が提案されている。 例えば、非特許文献2では、Gated Recurrent Unit (GRU)を用いた異常通信検知手法が提案されている。GRUは、連続するフローの関係性を同時に学習可能な時系列モデルであり、単一フローだけでは利用できなかった時間的特徴を考慮した分類ができる。 【先行技術文献】 【非特許文献】 【0005】 T. A. Tang, L. Mhamdi, D. McLernon, S. A. R. Zaidi and M. Ghogho, "Deep learning approach for Network Intrusion Detection in Software Defined Networking," 2016 International Conference on Wireless Networks and Mobile Communications (WINCOM), Fez, Morocco, 2016, pp. 258-263. T. A. Tang, L. Mhamdi, D. McLernon, S. A. R. Zaidi and M. Ghogho, "Deep Recurrent Neural Network for Intrusion Detection in SDN-based Networks," 2018 4th IEEE Conference on Network Softwarization and Workshops (NetSoft), Montreal, QC, Canada, 2018, pp. 202-206. 【発明の概要】 【発明が解決しようとする課題】 【0006】 フロー間の順序関係を考慮した異常通信検知において、例えば非特許文献2では、フローが持つ量的変数を通信の発生順に並べた時系列データとして扱い、時系列の学習が可能な深層学習法であるGRUを用いて異常検知の精度を向上させている。 しかしながら、量的変数による時系列学習では、順序関係(A→BとB→A)を区別することが重要な場合に異常通信を検知できない場合がある。 【0007】 例えば、車両からプロキシサーバを経由した、いずれかのアプリケーション宛の通信が発生するような車両通信ネットワークから取得したフローデータを対象として、車両及びプロキシサーバのIPアドレス、通信発生時刻、送信パケット数のみが変数として利用できるとする。 ここで、宛先のアプリケーションは、A,B,C,Dの4種があり、発生する送信パケット数はそれぞれ10,20,40,100パケットとする。また、アプリケーション宛の通信は発生する順序が決まっており、B→A,A→A,A→C,A→D,C→Dの順序でしか通常は発生しないものとする。 【0008】 このとき、二つの正常フロー時系列データ(B→A→C→D,B→A→A→D)と一つの異常フロー時系列データ(B→A→B→D)の送信パケット数の遷移は、例えば図8のようになる。 異常検知モデルは、正常データのみを用いた教師なしで学習することが多いため、正常1及び正常2の遷移が一定数発生する場合、正常1の「20→10→10→100」のパケット数遷移、及び正常2の「20→10→40→100」のパケット数遷移は正常と予測されることとなる。 したがって、これらの正常遷移に挟まれ、かつ、ユークリッド距離空間上差のない異常1の「20→10→20→100」のパケット数遷移のみを局所的に異常と正しく判定することは困難である。 【0009】 この課題を解決するために、フローデータを一度クラスタリングし、クラスタの発生順序から遷移確率行列を作成することで異常を検知することが考えられる。 しかしながら、遷移確率行列は、クラスタリングの精度に大きく影響する。例えば、本来であれば同一クラスタに割り当てられるべき点群が二つの別々のクラスタとして割り当てられた場合、各クラスタへの遷移確率もまた別々に計算される。一般に、ある閾値以下の発生確率である遷移が発生した場合に異常と判定することが多いため、クラスタが分離することは異常通信の誤検知へとつながっていた。 【0010】 本発明は、時系列のフローデータに基づく異常通信検知における検知精度を向上させられる異常通信検知装置及び異常通信検知プログラムを提供することを目的とする。 【課題を解決するための手段】 (【0011】以降は省略されています) この特許をJ-PlatPatで参照する
特許ウォッチ
