特許ウォッチ

公開番号2025170566
公報種別公開特許公報(A)
公開日2025-11-19
出願番号2024075240
出願日2024-05-07
発明の名称動的グラフによる異常通信検知装置、異常通信検知方法、及び異常通信検知プログラム
出願人KDDI株式会社,トヨタ自動車株式会社,株式会社ARISE analytics
代理人個人
主分類H04L 43/04 20220101AFI20251112BHJP(電気通信技術)
要約【課題】車両通信やIoT通信におけるコンセプトドリフトの課題を解決して、異常通信を検知することができる異常通信検知装置を提供すること。
【解決手段】異常通信検知装置1は、フローデータを、フローデータの機能に基づいて機能別に分類するフローデータ分類部11と、フローデータを時系列順に並べ、同じ機能に分類された1つ又は複数のフローデータを同じノードに集約し、隣接するフローデータが異なる機能に分類されている場合、異なる2つの機能に対応するノード間にエッジを張るコンティニュアスグラフ生成部12と、エッジに重みを付与する重み付与部13と、コンティニュアスグラフから、コンティニュアスグラフの特定の期間を切り取った静的グラフであるスナップショットを複数切り出すスナップショット作成部14と、複数のスナップショットをGNNモデルに入力して、異常通信を検知する異常通信検知部15と、を備える。
【選択図】図2
特許請求の範囲【請求項１】
フローデータの集合のフローデータを、フローデータの機能に基づいて機能別に分類するフローデータ分類部と、
前記フローデータの集合のフローデータを時系列順に並べ、同じ機能に分類された１つ又は複数のフローデータを同じノードに集約し、隣接するフローデータが異なる機能に分類されている場合、前記異なる２つの機能に対応するノード間にエッジを張り、前記ノード及び前記エッジにタイムスタンプを付与するコンティニュアスグラフ生成部と、
前記エッジに重みを付与する重み付与部と、
生成されたコンティニュアスグラフから、前記コンティニュアスグラフの特定の期間を切り取った静的グラフであるスナップショットを複数切り出すスナップショット作成部と、
前記複数のスナップショットをＧＮＮモデルに入力して、異常通信を検知する異常通信検知部と、
を備えた異常通信検知装置。
続きを表示（約 900 文字）【請求項２】
前記重み付与部は、前記エッジに関連している２つのフローデータの始端時刻と終端時刻に基づいて重みを付与する、請求項１に記載の異常通信検知装置。
【請求項３】
前記重み付与部は、前記エッジの両端のノード間で機能遷移する確率に基づいて重みを付与する、請求項１に記載の異常通信検知装置。
【請求項４】
前記コンティニュアスグラフ生成部は、ノード又はエッジが生成されてから一定期間が経過すると、前記ノード又は前記エッジを削除する、請求項１に記載の異常通信検知装置。
【請求項５】
前記スナップショット作成部は、前記コンティニュアスグラフから、第１の所定の数の連続したタイムスタンプが付与されたノード及びエッジのみを含む静的グラフを、前記連続したタイムスタンプを変更しながら、第２の所定の数だけ作成する、請求項１に記載の異常通信検知装置。
【請求項６】
フローデータの集合のフローデータを、フローデータの機能に基づいて機能別に分類するフローデータ分類ステップと、
前記フローデータの集合のフローデータを時系列順に並べ、同じ機能に分類された１つ又は複数のフローデータを同じノードに集約し、隣接するフローデータが異なる機能に分類されている場合、前記異なる２つの機能に対応するノード間にエッジを張り、前記ノード及び前記エッジにタイムスタンプを付与するコンティニュアスグラフ生成ステップと、
前記エッジに重みを付与する重み付与ステップと、
生成されたコンティニュアスグラフから、前記コンティニュアスグラフの特定の期間を切り取った静的グラフであるスナップショットを複数切り出すスナップショット作成ステップと、
前記複数のスナップショットをＧＮＮモデルに入力して、異常通信を検知する異常通信検知ステップと、
をコンピュータが実行する異常通信検知方法。
【請求項７】
請求項１から請求項５のいずれかに記載の異常通信検知装置として、コンピュータを機能させるための異常通信検知プログラム。

発明の詳細な説明【技術分野】
【０００１】
本発明は、動的グラフを用いて、異常通信を検知する装置に関する。
続きを表示（約 2,200 文字）【背景技術】
【０００２】
従来、静的グラフを用いて、異常な通信を検知することが行われてきた。
特許文献１では、ＩＰＦＩＸ（ＩＰＦｌｏｗＩｎｆｏｒｍａｔｉｏｎＥｘｐｏｒｔ）等のフローデータを用いて、通信順序や機能遷移などの通信の振る舞いに着目したグラフの構築方法と異常通信検知方法を提案している。ＩＰＦＩＸレコードの集合に対して予めアプリケーション識別を適用してラベルを付与し、ＩＰＦＩＸの時系列順にラベルの遷移をグラフ化することによって、通信の順序や機能遷移を表現している。
【０００３】
非特許文献１では、特許文献１の技術に基いて、ＧＮＮ（ＧｒａｐｈＮｅｕｒａｌＮｅｔｗｏｒｋ）を用いた異常通信検知システムを構築し、精度を検証した。通信元、通信先、及び通信先ポートの組み合わせで機能を表現し、ＩＰＦＩＸを機能別に分類して集約した。通信元、通信先の情報としてはＩＰアドレスを用いている。ＩＰＦＩＸの時系列順に機能の遷移をグラフで表現することによって、ＧＮＮで処理可能な形のグラフを構成している。
【０００４】
非特許文献２によれば、動的グラフを扱う方法は大きく分けて、２つの種類がある。一つ目は、グラフを一定期間ごとに分割したディスクリートグラフ（ＤｉｓｃｒｅｔｅＧｒａｐｈ）を使用する方法であり、二つ目は、グラフの要素（すなわち、ノードとエッジ）ごとにタイムスタンプが付与され、グラフの構造が連続的に変化するコンティニュアスグラフ（ＣｏｎｔｉｎｕｏｕｓＧｒａｐｈ）を使用する方法である。先行した研究の多くは、前者のディスクリートグラフを使用している。
なお、ディスクリートグラフは、ＧＮＮで処理可能であるが、コンティニュアスグラフは、コンティニュアスグラフのままではＧＮＮで処理できないことが知られている。
【先行技術文献】
【特許文献】
【０００５】
特開２０２３－１５０８５１号公報
【非特許文献】
【０００６】
Okui, N., Akimoto, Y., Kubota, A., and Yoshida, T.: A Graph Construction Method for Anomalous Traffic Detection with Graph Neural Networks Using Sets of Flow Data, in 2023 IEEE 47th Annual Computers, Software, and Applications Conference (COMPSAC), pp. 1017-1018 (2023)
Barros, C. D., Mendoncza, M. R., Vieira, A. B., & Ziviani, A. (2021). A survey on embedding dynamic graphs. ACM Computing Surveys (CSUR), 55(1), 1-37
【発明の概要】
【発明が解決しようとする課題】
【０００７】
特許文献１及び非特許文献１の方法は、一定期間の通信データを切り取って通信データからフローデータを生成し、そのフローデータを分析する技術である。この技術は、グラフ理論の分類では静的グラフを対象とした分析技術に属する。ところが、現実の異常通信検知では時間とともに変動する通信データを取り扱う必要があるので、静的グラフしか扱えないモデルでは、業務に適用できないケースが多い。
【０００８】
具体的な課題としては、次のようなものがある。車両通信やＩｏＴ通信においては、機器が特定の用途に特化していることから、通信が頻繁に発生する期間とそうでない期間における通信量の差が大きい。そのため、特定の期間を対象として学習を行う方法では、通信特性が変化した場合に検知精度が大きく低下することが予想される。機械学習の分野では、このような対象とするデータの分布が時間によって変化することによる検知精度の劣化は、「コンセプトドリフト」と呼ばれ、特許文献１及び非特許文献１において対応が必要な課題となる。
【０００９】
車両通信やＩｏＴ通信におけるコンセプトドリフトには２つの側面がある。一つ目の側面は、通信データは時間とともにその内容が変化するので、特定の期間で学習したモデルは、その特定の期間内に観測された通信内容に関する異常検知に特化してしまい、通信内容が変化した場合に検知精度が大きく低下することが予測できるということである。
【００１０】
二つ目の側面は、車両通信やＩｏＴ通信では、通信が頻繁に発生する期間とそうでない期間の差が大きいので、一定の期間の通信データを切り取る方法では、ノードやエッジの数が極端に多い過密なグラフか、又はノードやエッジがほとんど存在しない過疎なグラフのどちらかが発生するということである。したがって、これらの両方（通信が頻繁に発生する期間とそうでない期間）を同じモデルで扱わなければならず、開発の難易度が高い。
（【００１１】以降は省略されています）

関連特許