特許ウォッチ

公開番号2025097860
公報種別公開特許公報(A)
公開日2025-07-01
出願番号2023214321
出願日2023-12-19
発明の名称識別装置、および識別方法
出願人日本電信電話株式会社
代理人弁理士法人酒井国際特許事務所
主分類H04L 69/167 20220101AFI20250624BHJP(電気通信技術)
要約【課題】学習に用いる教師データの用意が難しい場合でも、適切な通信の識別処理の実行を可能とする。
【解決手段】識別装置100は、IPv4に基づく通信のトラフィックデータから抽出される特徴情報とIPv6に基づく通信のトラフィックデータから抽出される特徴情報とが共通するように、IPv4の特徴情報およびIPv6の特徴情報のうち少なくともいずれか一方を変換して共通の特徴情報を生成する。識別装置100は、生成された共通の特徴情報を用いて、IPv6に基づく通信について識別処理を行うための識別器を学習する。識別装置100は、識別対象のIPv6に基づく通信のトラフィックデータを用いて生成された共通の特徴情報を、学習済みの識別器に対して入力することで得られる結果に基づき、IPv6に基づく通信についての識別処理を行う。
【選択図】図3
特許請求の範囲【請求項１】
ＩＰｖ４に基づく通信のトラフィックデータから抽出される特徴情報とＩＰｖ６に基づく通信のトラフィックデータから抽出される特徴情報とが共通するように、前記ＩＰｖ４の特徴情報および前記ＩＰｖ６の特徴情報のうち少なくともいずれか一方を変換して共通の特徴情報を生成する特徴生成部と、
前記特徴生成部により生成された前記共通の特徴情報を用いて、ＩＰｖ６に基づく通信について識別処理を行うための識別器を学習する識別器学習部と、
識別対象のＩＰｖ６に基づく通信のトラフィックデータを用いて生成された前記共通の特徴情報を、学習済みの前記識別器に対して入力することで得られる結果に基づき、前記ＩＰｖ６に基づく通信についての識別処理を行う識別部と、
を有することを特徴とする識別装置。
続きを表示（約 790 文字）【請求項２】
前記識別器学習部は、
前記共通の特徴情報として、ラベルありの前記ＩＰｖ４に基づく通信のトラフィックデータの特徴情報と、ラベルありの前記ＩＰｖ６に基づく通信のトラフィックデータの特徴情報と、ラベルなしの前記ＩＰｖ６に基づく通信のトラフィックデータの特徴情報のうちの１つ、または、複数の組み合わせを用いて、前記ＩＰｖ６に基づく通信についての識別処理である悪性通信の識別を行うための前記識別器を学習する、
ことを特徴とする請求項１に記載の識別装置。
【請求項３】
前記識別部は、
前記識別対象のＩＰｖ６に基づく通信のトラフィックデータを用いて生成された前記共通の特徴情報を、学習済みの前記識別器に対して入力することで得られる結果に基づき、前記ＩＰｖ６に基づく通信が悪性通信であるか否かを識別する、
ことを特徴とする請求項１または２に記載の識別装置。
【請求項４】
識別装置により実行される識別方法であって、
ＩＰｖ４に基づく通信のトラフィックデータから抽出される特徴情報とＩＰｖ６に基づく通信のトラフィックデータから抽出される特徴情報とが共通するように、前記ＩＰｖ４の特徴情報および前記ＩＰｖ６の特徴情報のうち少なくともいずれか一方を変換して共通の特徴情報を生成する特徴生成工程と、
前記特徴生成工程により生成された前記共通の特徴情報を用いて、ＩＰｖ６に基づく通信について識別処理を行うための識別器を学習する識別器学習工程と、
識別対象のＩＰｖ６に基づく通信のトラフィックデータを用いて生成された前記共通の特徴情報を、学習済みの前記識別器に対して入力することで得られる結果に基づき、前記ＩＰｖ６に基づく通信についての識別処理を行う識別工程と、
を含むことを特徴とする識別方法。

発明の詳細な説明【技術分野】
【０００１】
本発明は、識別装置、および識別方法に関する。
続きを表示（約 2,800 文字）【背景技術】
【０００２】
インターネットにおいては、ＩＰｖ４（Internet Protocol version 4）に基づく通信が用いられている。そのため、インターネットを悪用したボットネットをはじめとする攻撃基盤の多くは、攻撃者によりＩＰｖ４に基づいて整備される。
【０００３】
攻撃基盤の全貌を検知するため、ネットワーク事業者が通信の送信先、送信元および通信容量等の情報が含まれるネットワークトラフィックデータ（以降、単に「トラフィックデータ」と記載する場合がある）を用いてトラフィック分析を実施することで、不審な通信先を検知する手法が知られている。例えば、従来技術として、大量に存在するＩＰｖ４に基づく通信のトラフィックデータ（以降、単に「ＩＰｖ４トラフィックデータ」と表記する場合がある）を教師データとして用いて機械学習モデルを学習し、学習済みの機械学習モデルに基づいてＩＰｖ４に基づく不審な通信を検知する技術が知られている（例えば、非特許文献１および特許文献１を参照）。また、従来技術として、トラフィックデータの一種であるパケットデータや、パケットデータの統計情報を記録したフローデータから特徴を抽出し、機械学習技術を用いて攻撃者の通信特徴を学習および分類することで攻撃者の不審な通信を検知する技術が知られている（例えば、非特許文献２を参照）。
【先行技術文献】
【特許文献】
【０００４】
特許第６７４９８７３号公報
【非特許文献】
【０００５】
B. Hu, K. Kamiya, K. Takahashi and A. Nakao, Piper: A Unified Machine Learning Pipeline for Internet-scale Traffic Analysis, GLOBECOM 2020 - 2020 IEEE Global Communications Conference, Taipei, Taiwan, 2020, pp. 1-6, doi: 10.1109/GLOBECOM42002.2020.9322531.
B. Vrat, N. Aggarwal and S. Venkatesan, Anomaly Detection in IPv4 and IPv6 Networks Using Machine Learning, 2015 Annual IEEE India Conference (INDICON), New Delhi, India, 2015, pp. 1-6, doi: 10.1109/INDICON.2015.7443752.
【発明の概要】
【発明が解決しようとする課題】
【０００６】
しかしながら、上述の従来技術では、学習に用いる教師データの用意が難しい場合に、適切な通信の識別処理が実行できない、という課題がある。例えば、近年、ＩＰｖ４に基づくＩＰ（Internet Protocol）アドレスであるＩＰｖ４アドレスの枯渇に起因して、ＩＰｖ６（Internet Protocol version 6）に基づくＩＰアドレスであるＩＰｖ６アドレスが使われるようになってきている。しかし、従来技術は、ＩＰｖ６アドレスが用いられた不審な通信のトラフィックデータが十分存在しないため教師データとして使用できるデータが少なく、実用的な精度を有するように機械学習モデルを効率よく学習することが難しい。また、従来技術を用いてモデルの学習を行うにしても、ＩＰｖ６のプロトコルは、ＩＰｖ４のプロトコルと異なる点を考慮して特徴量を設計する必要がある。また、教師なし学習に基づき学習を行う従来技術は、教師データが不要であるものの、誤検知が多く発生する等の課題がある。
【課題を解決するための手段】
【０００７】
そこで、上述した課題を解決し、目的を達成するために、本発明の識別装置は、ＩＰｖ４に基づく通信のトラフィックデータから抽出される特徴情報とＩＰｖ６に基づく通信のトラフィックデータから抽出される特徴情報とが共通するように、前記ＩＰｖ４の特徴情報および前記ＩＰｖ６の特徴情報のうち少なくともいずれか一方を変換して共通の特徴情報を生成する特徴生成部と、前記特徴生成部により生成された前記共通の特徴情報を用いて、ＩＰｖ６に基づく通信について識別処理を行うための識別器を学習する識別器学習部と、識別対象のＩＰｖ６に基づく通信のトラフィックデータを用いて生成された前記共通の特徴情報を、学習済みの前記識別器に対して入力することで得られる結果に基づき、前記ＩＰｖ６に基づく通信についての識別処理を行う識別部と、を有することを特徴とする。
【発明の効果】
【０００８】
本発明によれば、学習に用いる教師データの用意が難しい場合でも、適切な通信の識別処理の実行を可能とする、という効果を奏する。
【図面の簡単な説明】
【０００９】
図１は、本実施形態に係る識別装置による処理の全体像を説明する図である。
図２は、本実施形態に係る識別装置による処理の一例を説明する図である。
図３は、本実施形態に係る識別装置の構成の一例を示す図である。
図４は、本実施形態に係るトラフィックデータの一例を示すテーブル図である。
図５は、本実施形態に係る特徴情報の一例を示す図である。
図６は、本実施形態に係る学習処理および検知処理の一例を示す図である。
図７は、本実施形態に係る学習処理および検知処理の一例を示す図である。
図８は、本実施形態に係る学習処理および検知処理の一例を示す図である。
図９は、本実施形態に係る学習処理および検知処理の一例を示す図である。
図１０は、本実施形態に係る学習処理および検知処理の一例を示す図である。
図１１は、本実施形態に係る学習処理手順の一例を示すフローチャートである。
図１２は、本実施形態に係る識別処理手順の一例を示すフローチャートである。
図１３は、本実施形態に係る識別装置を実現するコンピュータの一例を示す図である。
【発明を実施するための形態】
【００１０】
以下、図面を参照しながら、本発明を実施するための形態（以降、「実施形態」）について説明する。なお、各実施形態は、以下に記載する内容に限定されない。
（【００１１】以降は省略されています）

関連特許