Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7548422B2 - Feature quantity calculation device, feature quantity calculation method, and feature quantity calculation program - Google Patents
[go: Go Back, main page]

JP7548422B2 - Feature quantity calculation device, feature quantity calculation method, and feature quantity calculation program - Google Patents

Feature quantity calculation device, feature quantity calculation method, and feature quantity calculation program Download PDF

Info

Publication number
JP7548422B2
JP7548422B2 JP2023520722A JP2023520722A JP7548422B2 JP 7548422 B2 JP7548422 B2 JP 7548422B2 JP 2023520722 A JP2023520722 A JP 2023520722A JP 2023520722 A JP2023520722 A JP 2023520722A JP 7548422 B2 JP7548422 B2 JP 7548422B2
Authority
JP
Japan
Prior art keywords
nodes
feature
unit
graph
group
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2023520722A
Other languages
Japanese (ja)
Other versions
JPWO2022239235A1 (en
Inventor
博 胡
和憲 神谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2022239235A1 publication Critical patent/JPWO2022239235A1/ja
Application granted granted Critical
Publication of JP7548422B2 publication Critical patent/JP7548422B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、特徴量算出装置、特徴量算出方法および特徴量算出プログラムに関する。 The present invention relates to a feature calculation device, a feature calculation method, and a feature calculation program.

悪意のあるプログラムによって乗っ取られた悪性サーバで構成されるボットネットと呼ばれるネットワークの構造は多様であり、悪性サーバ間の最短距離も、構造に応じて多様である。近年、このようなボットネットの構造を検知する技術が期待されている。IPホストをノードとし、IPホスト間のエンドツーエンド通信をエッジとするグラフの特徴量は、ボットネットの構造を検知するために有用な情報となる。 The structures of networks called botnets, which are made up of malicious servers hijacked by malicious programs, are diverse, and the shortest distance between malicious servers also varies depending on the structure. In recent years, there has been hope for technology that can detect the structure of such botnets. The features of a graph, in which IP hosts are nodes and end-to-end communications between IP hosts are edges, provide useful information for detecting the structure of a botnet.

そこで、ネットワークフロー情報からなる通信グラフからノードの特徴量を学習するgraph embeddingと呼ばれる技術が知られている。例えば、グラフからノードのパスを生成し、パス上の所定ホップ数以内のノード間の類似性を学習することができる(非特許文献1参照)。 Therefore, a technology called graph embedding is known that learns the features of nodes from a communication graph consisting of network flow information. For example, it is possible to generate a path of nodes from a graph and learn the similarity between nodes within a certain number of hops on the path (see Non-Patent Document 1).

Bryan Perozzi et al., “DeepWalk: Online Learning of Social Representations”, KDD '14, Proceedings of the 20th ACM SIGKDD international conference on Knowledge discovery, 2014年Bryan Perozzi et al., “DeepWalk: Online Learning of Social Representations”, KDD '14, Proceedings of the 20th ACM SIGKDD international conference on Knowledge discovery, 2014

しかしながら、従来の技術では、質の高い特徴量を学習することが困難である。例えば、あるノードに着目した場合に、一定距離内の隣接ノードが持つコンテキストが距離によって異なるため、コンテキストが異なるノードを同時に学習することにより、得られた特徴量の質が低下するという問題がある。However, with conventional technology, it is difficult to learn high-quality features. For example, when focusing on a certain node, the contexts of neighboring nodes within a certain distance differ depending on the distance, so there is a problem that the quality of the obtained features decreases when nodes with different contexts are simultaneously learned.

本発明は、上記に鑑みてなされたものであって、通信ネットワークを表すグラフから質の高い特徴量を学習することを目的とする。 The present invention has been made in consideration of the above, and aims to learn high-quality features from a graph representing a communication network.

上述した課題を解決し、目的を達成するために、本発明に係る特徴量学習装置は、ネットワークのノード間の通信情報を用いて、ノード間の通信を表すグラフを生成する生成部と、生成された前記グラフのノードのうち、所定長のパスで接続された関連するノードを選択する選択部と、選択された前記ノードに対して、パス上の所定距離内のノード同士をノード間の距離に応じたグループに分類する分類部と、分類された前記グループごとに、グループ内の各ノードの前記グラフでの特徴量を表すモデルを学習する学習部と、選択された前記ノードのそれぞれについて、各グループで学習されたモデルを用いて推定された特徴量を合成することにより、特徴量を算出する算出部と、を有することを特徴とする。In order to solve the above-mentioned problems and achieve the object, the feature learning device of the present invention is characterized by having a generation unit that uses communication information between nodes in a network to generate a graph representing communication between nodes; a selection unit that selects related nodes connected by paths of a predetermined length from the nodes of the generated graph; a classification unit that classifies nodes within a predetermined distance on the path for the selected nodes into groups according to the distance between the nodes; a learning unit that learns a model that represents the feature in the graph of each node in the group for each classified group; and a calculation unit that calculates a feature for each of the selected nodes by combining features estimated using the models learned for each group.

本発明によれば、通信ネットワークを表すグラフから質の高い特徴量を学習することが可能となる。 According to the present invention, it is possible to learn high-quality features from a graph representing a communication network.

図1は、特徴量算出装置の概略構成を例示する模式図である。FIG. 1 is a schematic diagram illustrating a schematic configuration of a feature calculation device. 図2は、特徴量算出装置の処理を説明するための図である。FIG. 2 is a diagram for explaining the processing of the feature calculation device. 図3は、特徴量算出装置の処理を説明するための図である。FIG. 3 is a diagram for explaining the process of the feature calculation device. 図4は、特徴量算出装置の処理を説明するための図である。FIG. 4 is a diagram for explaining the process of the feature calculation device. 図5は、特徴量算出処理手順を示すフローチャートである。FIG. 5 is a flowchart showing the procedure of the feature amount calculation process. 図6は、特徴量算出プログラムを実行するコンピュータを例示する図である。FIG. 6 is a diagram illustrating a computer that executes a feature amount calculation program.

以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。Hereinafter, one embodiment of the present invention will be described in detail with reference to the drawings. Note that the present invention is not limited to this embodiment. In addition, in the description of the drawings, the same parts are indicated by the same reference numerals.

[特徴量算出装置の構成]
図1は、特徴量算出装置の概略構成を例示する模式図である。また、図2~図4は、特徴量算出装置の処理を説明するための図である。まず、図1に例示するように、特徴量算出装置10は、パソコン等の汎用コンピュータで実現され、入力部11、出力部12、通信制御部13、記憶部14、および制御部15を備える。
[Configuration of the feature amount calculation device]
Fig. 1 is a schematic diagram illustrating an example of a schematic configuration of a feature calculation device. Fig. 2 to Fig. 4 are diagrams for explaining the processing of the feature calculation device. First, as illustrated in Fig. 1, a feature calculation device 10 is realized by a general-purpose computer such as a personal computer, and includes an input unit 11, an output unit 12, a communication control unit 13, a storage unit 14, and a control unit 15.

入力部11は、キーボードやマウス等の入力デバイスを用いて実現され、操作者による入力操作に対応して、制御部15に対して処理開始などの各種指示情報を入力する。出力部12は、液晶ディスプレイなどの表示装置、プリンター等の印刷装置等によって実現される。The input unit 11 is realized using input devices such as a keyboard and a mouse, and inputs various instruction information such as a command to start processing to the control unit 15 in response to an input operation by an operator. The output unit 12 is realized by a display device such as a liquid crystal display, a printing device such as a printer, etc.

通信制御部13は、NIC(Network Interface Card)等で実現され、ネットワークを介したサーバ等の外部の装置と制御部15との通信を制御する。例えば、通信制御部13は、ネットワークの通信情報を収集し管理する管理装置等と制御部15との通信を制御する。The communication control unit 13 is realized by a NIC (Network Interface Card) or the like, and controls communication between the control unit 15 and an external device such as a server via the network. For example, the communication control unit 13 controls communication between the control unit 15 and a management device or the like that collects and manages communication information of the network.

記憶部14は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。記憶部14には、特徴量算出装置10を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが予め記憶され、あるいは処理の都度一時的に記憶される。例えば、記憶部14は、後述する学習部の処理結果のモデル14a等を記憶する。なお、記憶部14は、通信制御部13を介して制御部15と通信する構成でもよい。The storage unit 14 is realized by a semiconductor memory element such as a RAM (Random Access Memory) or a flash memory, or a storage device such as a hard disk or an optical disk. The storage unit 14 stores in advance the processing program that operates the feature calculation device 10 and data used during execution of the processing program, or temporarily stores the data each time processing is performed. For example, the storage unit 14 stores a model 14a of the processing results of the learning unit described below. The storage unit 14 may be configured to communicate with the control unit 15 via the communication control unit 13.

制御部15は、CPU(Central Processing Unit)等を用いて実現され、メモリに記憶された処理プログラムを実行する。これにより、制御部15は、図1に例示するように、取得部15a、生成部15b、選択部15c、分類部15d、学習部15e、算出部15fおよび抽出部15gとして機能する。なお、これらの機能部は、それぞれあるいは一部が異なるハードウェアに実装されてもよい。例えば、学習部15eと算出部15fとは異なるハードウェアに実装されてもよい。また、制御部15は、その他の機能部を備えてもよい。The control unit 15 is realized using a CPU (Central Processing Unit) or the like, and executes a processing program stored in memory. As a result, the control unit 15 functions as an acquisition unit 15a, a generation unit 15b, a selection unit 15c, a classification unit 15d, a learning unit 15e, a calculation unit 15f, and an extraction unit 15g, as exemplified in FIG. 1. Note that each or some of these functional units may be implemented in different hardware. For example, the learning unit 15e and the calculation unit 15f may be implemented in different hardware. The control unit 15 may also include other functional units.

取得部15aは、収集されたネットワークのノードの通信情報を取得する。例えば、取得部15aは、後述する特徴量算出処理の処理対象のIPホストのフロー情報等を、入力部11あるいは通信制御部13を介して、ネットワークの通信情報を収集し管理する管理装置等から取得する。なお、取得部15aは、取得したデータを記憶部14に記憶させてもよい。あるいは、取得部15aは、これらの情報を記憶部14に記憶させずに、以下に説明する生成部15bに転送してもよい。The acquisition unit 15a acquires the collected communication information of the network nodes. For example, the acquisition unit 15a acquires flow information of the IP host that is the target of the feature calculation process described below, via the input unit 11 or the communication control unit 13, from a management device that collects and manages communication information of the network. The acquisition unit 15a may store the acquired data in the storage unit 14. Alternatively, the acquisition unit 15a may transfer the information to the generation unit 15b described below without storing it in the storage unit 14.

生成部15bは、ネットワークのノード間の通信情報を用いて、ノード間の通信を表すグラフを生成する。例えば、生成部15bは、図2に示すように、取得したIPホストのフロー情報を用いて、IPホストをノードとし、IPホスト間の通信をエッジとするグラフを作成する。図2には、悪性(Bot)サーバとC&C(Command and Control)サーバとの通信グラフが例示されている。The generation unit 15b uses communication information between network nodes to generate a graph representing communication between nodes. For example, as shown in Fig. 2, the generation unit 15b uses the acquired flow information of IP hosts to create a graph in which IP hosts are nodes and communications between IP hosts are edges. Fig. 2 illustrates a communication graph between a malicious (Bot) server and a C&C (Command and Control) server.

選択部15cは、生成されたグラフのノードのうち、所定長のパスで接続された関連するノードを選択する。例えば、選択部15cは、各ノードを起点としてRandom Walkを所定回数実行し、起点としたノードごとに、ノードを含む所定長のパスを生成する。The selection unit 15c selects related nodes connected by paths of a predetermined length from among the nodes of the generated graph. For example, the selection unit 15c executes a random walk a predetermined number of times starting from each node, and generates a path of a predetermined length that includes the node for each starting node.

分類部15dは、選択されたノードに対して、パス上の所定距離内のノード同士をノード間の距離に応じたグループに分類する。例えば、分類部15dは、図2に示したグラフについて、図3に示すように、ノードペアA-Cを距離1のグループに、ノードペアA-Bを距離2のグループに、ノードペアA-Eを距離3のグループに分類する。The classification unit 15d classifies nodes on the path within a certain distance of the selected node into groups according to the distance between the nodes. For example, for the graph shown in Figure 2, the classification unit 15d classifies node pair A-C into a group with distance 1, node pair A-B into a group with distance 2, and node pair A-E into a group with distance 3, as shown in Figure 3.

学習部15eは、図4(a)に示すように、分類されたグループごとに、グループ内の各ノードのグラフでの特徴量を表すモデル14aを学習する。本実施形態では、学習部15eは、分類されたグループごとに異なるモデル14aを学習する。As shown in FIG. 4(a), the learning unit 15e learns a model 14a that represents the features in the graph of each node in each classified group for each classified group. In this embodiment, the learning unit 15e learns a different model 14a for each classified group.

学習部15eは、さらに、分類されたグループのうち、所定の距離の範囲の複数のグループについて、共通のモデル14aを学習してもよい。例えば、図4(a)に例示したグループのうち、距離2以下の複数のグループ、すなわち、距離1のグループと距離2のグループとにおいて、共通のモデル14aを学習するようにしてもよい。この場合に、学習部15eは、原則として各グループが異なるモデル14aを学習することとし、共通のモデル14aを学習する複数のグループを選択できるようにしてもよい。The learning unit 15e may further learn a common model 14a for multiple groups within a predetermined distance range among the classified groups. For example, among the groups illustrated in FIG. 4(a), a common model 14a may be learned for multiple groups with a distance of 2 or less, i.e., a group with a distance of 1 and a group with a distance of 2. In this case, the learning unit 15e may be configured to learn a different model 14a for each group in principle, and may be able to select multiple groups that learn a common model 14a.

算出部15fは、選択されたノードのそれぞれについて、各グループで学習されたモデル14aを用いて推定された特徴量を合成することにより、特徴量を算出する。例えば、算出部15fは、図4(b)に示すように、ノードごとに、各グループで学習された各モデル14aが出力する特徴量のすべてを結合して、当該ノードの特徴量とする。The calculation unit 15f calculates the feature amount for each selected node by combining the feature amounts estimated using the models 14a trained in each group. For example, as shown in FIG. 4(b), the calculation unit 15f combines all the feature amounts output by the models 14a trained in each group for each node to obtain the feature amount for the node.

抽出部15gは、算出された特徴量のうち、所定のしきい値以上の重要度の次元の値を抽出する。具体的には、抽出部15gは、教師データと学習されたモデル14aとを用いて、各ノードの特徴量を表す特徴ベクトルの次元ごとの重要度を算出する。例えば、抽出部15gは、Random Forestにより、各次元の重要度を算出する。そして、抽出部15gは、図4(c)に示すように、重要度が所定のしきい値以上の重要な次元のみを選択して、当該ノードの特徴量とする。The extraction unit 15g extracts the value of a dimension whose importance is equal to or greater than a predetermined threshold value from among the calculated features. Specifically, the extraction unit 15g uses the teacher data and the learned model 14a to calculate the importance of each dimension of the feature vector representing the feature of each node. For example, the extraction unit 15g calculates the importance of each dimension by Random Forest. Then, as shown in FIG. 4(c), the extraction unit 15g selects only important dimensions whose importance is equal to or greater than a predetermined threshold value, and sets them as the feature of the node.

また、抽出部15gは、出力部12を介して、算出された各ノードの特徴量を出力する。なお、抽出部15gに変えて、あるいは抽出部15gに加えて、算出部15fが算出した各ノードの特徴量を出力してもよい。Moreover, the extraction unit 15g outputs the calculated feature amount of each node via the output unit 12. Note that instead of or in addition to the extraction unit 15g, the calculation unit 15f may output the feature amount of each node calculated.

[特徴量算出処理]
次に、図5を参照して、本実施形態に係る特徴量算出装置10による特徴量算出処理について説明する。図5は、特徴量算出処理手順を示すフローチャートである。図5のフローチャートは、例えば、特徴量算出処理の開始を指示する操作入力があったタイミングで開始される。
[Feature Calculation Processing]
Next, a feature calculation process performed by the feature calculation device 10 according to the present embodiment will be described with reference to Fig. 5. Fig. 5 is a flowchart showing a procedure of the feature calculation process. The flowchart in Fig. 5 is started, for example, when an operation input is made to instruct the start of the feature calculation process.

まず、取得部15aが取得したネットワークのノードの通信情報を用いて、生成部15bがノード間の通信を表すグラフを生成する(ステップS1)。First, the generation unit 15b generates a graph representing communication between nodes using the communication information of the network nodes acquired by the acquisition unit 15a (step S1).

また、選択部15cが、生成されたグラフのノードのうち、所定長のパスで接続された関連するノードを選択する(ステップS2)。また、分類部15dが、選択されたノードに対して、パス上の所定距離内のノード同士をノード間の距離に応じたグループに分類する(ステップS3)。The selection unit 15c selects related nodes connected by paths of a predetermined length from among the nodes of the generated graph (step S2). The classification unit 15d classifies nodes within a predetermined distance on the path to the selected nodes into groups according to the distance between the nodes (step S3).

次に、学習部15eが、分類されたグループごとに、グループ内の各ノードのグラフでの特徴量を表すモデル14aを学習する(ステップS4)。Next, the learning unit 15e learns a model 14a representing the features in the graph of each node in the group for each classified group (step S4).

その際に、学習部15eは、分類されたグループごとに異なるモデル14aを学習する。あるいは、学習部15eは、分類されたグループのうち、所定の距離の範囲の複数のグループについて、共通のモデル14aを学習してもよい。At that time, the learning unit 15e learns a different model 14a for each classified group. Alternatively, the learning unit 15e may learn a common model 14a for multiple groups within a predetermined distance range among the classified groups.

そして、算出部15fが、選択されたノードのそれぞれについて、各グループで学習されたモデル14aを用いて推定された特徴量を合成することにより、特徴量を算出する(ステップS5)。Then, the calculation unit 15f calculates features for each selected node by combining the features estimated using the model 14a learned in each group (step S5).

また、抽出部15gは、教師データと学習されたモデル14aとを用いて、各ノードの特徴量を表す特徴ベクトルの次元ごとの重要度を算出する。そして、抽出部15gは、重要度が所定のしきい値以上の重要な次元のみを抽出して、当該ノードの特徴量とする(ステップS6)。In addition, the extraction unit 15g uses the teacher data and the trained model 14a to calculate the importance of each dimension of the feature vector representing the feature of each node. Then, the extraction unit 15g extracts only important dimensions whose importance is equal to or greater than a predetermined threshold value, and sets them as the feature of the node (step S6).

また、抽出部15gが、出力部12を介して、各ノードの特徴量を出力する(ステップS7)。これにより、一連の特徴量算出処理が終了する。The extraction unit 15g also outputs the features of each node via the output unit 12 (step S7). This completes the series of feature calculation processes.

以上、説明したように、特徴量算出装置10において、生成部15bが、ネットワークのノード間の通信情報を用いて、ノード間の通信を表すグラフを生成する。また、選択部15cが、生成されたグラフのノードのうち、所定長のパスで接続された関連するノードを選択する。また、分類部15dが、選択されたノードに対して、パス上の所定距離内のノード同士をノード間の距離に応じたグループに分類する。また、学習部15eが、分類されたグループごとに、グループ内の各ノードのグラフでの特徴量を表すモデル14aを学習する。そして、算出部15fが、選択されたノードのそれぞれについて、各グループで学習されたモデル14aを用いて推定された特徴量を合成することにより、特徴量を算出する。As described above, in the feature calculation device 10, the generation unit 15b uses communication information between nodes in the network to generate a graph representing communication between the nodes. The selection unit 15c selects related nodes connected by paths of a predetermined length from among the nodes in the generated graph. The classification unit 15d classifies nodes within a predetermined distance on the path from the selected nodes into groups according to the distance between the nodes. The learning unit 15e learns a model 14a representing the feature in the graph of each node in the group for each classified group. The calculation unit 15f then calculates the feature for each selected node by combining the feature estimated using the model 14a learned in each group.

このように特徴量算出装置10は、ノード間の距離に応じて教師データを分割し、それぞれの距離のノード間の類似性を学習し、異なる距離のそれぞれで学習した各ノードの特徴量を合成することにより、各ノードの特徴量を算出する。これにより、隣接ノードの持つコンテキストの距離による違いを考慮して、ノードの特徴量を算出することができる。したがって、特徴量算出装置10は、通信ネットワークを表すグラフから質の高い特徴量を学習することが可能となる。In this way, the feature calculation device 10 divides the training data according to the distance between nodes, learns the similarity between nodes at each distance, and calculates the feature of each node by combining the features of each node learned at each different distance. This makes it possible to calculate the feature of a node taking into account the difference in the context of adjacent nodes due to distance. Therefore, the feature calculation device 10 is able to learn high-quality features from a graph representing a communication network.

また、学習部15eが、分類されたグループごとに異なるモデル14aを学習する。これにより、特徴量算出装置10は、モデル14a学習がより高精度に可能となる。In addition, the learning unit 15e learns a different model 14a for each classified group. This enables the feature calculation device 10 to learn the model 14a with higher accuracy.

また、学習部15eは、分類されたグループのうち、所定の距離の範囲の複数のグループについて、共通のモデル14aを学習する。これにより、特徴量算出装置10は、モデル14aの学習が高効率に可能となる。In addition, the learning unit 15e learns a common model 14a for multiple groups within a predetermined distance range among the classified groups. This enables the feature calculation device 10 to learn the model 14a with high efficiency.

また、抽出部15gは、教師データと学習されたモデル14aとを用いて、各ノードの特徴量を表す特徴ベクトルの次元ごとの重要度を算出する。そして、抽出部15gが、算出された特徴量のうち、所定のしきい値以上の重要度の次元の値を抽出する。これにより、特徴量算出装置10は、各ノードの質の高い特徴量を効率よく算出することが可能となる。In addition, the extraction unit 15g uses the teacher data and the learned model 14a to calculate the importance of each dimension of the feature vector representing the feature of each node. Then, the extraction unit 15g extracts the value of the dimension with an importance equal to or greater than a predetermined threshold value from the calculated feature. This enables the feature calculation device 10 to efficiently calculate high-quality feature of each node.

[プログラム]
上記実施形態に係る特徴量算出装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、特徴量算出装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の特徴量算出処理を実行する特徴量算出プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の特徴量算出プログラムを情報処理装置に実行させることにより、情報処理装置を特徴量算出装置10として機能させることができる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。また、特徴量算出装置10の機能を、クラウドサーバに実装してもよい。
[program]
A program in which the process executed by the feature amount calculation device 10 according to the above embodiment is written in a language executable by a computer can also be created. As an embodiment, the feature amount calculation device 10 can be implemented by installing a feature amount calculation program that executes the feature amount calculation process as package software or online software on a desired computer. For example, the feature amount calculation program can be executed by an information processing device, so that the information processing device can function as the feature amount calculation device 10. In addition, the information processing device also includes mobile communication terminals such as smartphones, mobile phones, and PHS (Personal Handyphone System), and even slate terminals such as PDA (Personal Digital Assistant). The functions of the feature amount calculation device 10 may be implemented on a cloud server.

図6は、特徴量算出プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。6 is a diagram showing an example of a computer that executes a feature calculation program. The computer 1000 has, for example, a memory 1010, a CPU 1020, a hard disk drive interface 1030, a disk drive interface 1040, a serial port interface 1050, a video adapter 1060, and a network interface 1070. These components are connected by a bus 1080.

メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1041に接続される。ディスクドライブ1041には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1051およびキーボード1052が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1061が接続される。The memory 1010 includes a ROM (Read Only Memory) 1011 and a RAM 1012. The ROM 1011 stores a boot program such as a BIOS (Basic Input Output System). The hard disk drive interface 1030 is connected to a hard disk drive 1031. The disk drive interface 1040 is connected to a disk drive 1041. A removable storage medium such as a magnetic disk or optical disk is inserted into the disk drive 1041. The serial port interface 1050 is connected to a mouse 1051 and a keyboard 1052, for example. The video adapter 1060 is connected to a display 1061, for example.

ここで、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各情報は、例えばハードディスクドライブ1031やメモリ1010に記憶される。Here, the hard disk drive 1031 stores, for example, an OS 1091, an application program 1092, a program module 1093, and program data 1094. Each piece of information described in the above embodiment is stored, for example, in the hard disk drive 1031 or memory 1010.

また、特徴量算出プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、ハードディスクドライブ1031に記憶される。具体的には、上記実施形態で説明した特徴量算出装置10が実行する各処理が記述されたプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。In addition, the feature calculation program is stored in the hard disk drive 1031, for example, as a program module 1093 in which instructions to be executed by the computer 1000 are described. Specifically, the program module 1093 in which each process executed by the feature calculation device 10 described in the above embodiment is described is stored in the hard disk drive 1031.

また、特徴量算出プログラムによる情報処理に用いられるデータは、プログラムデータ1094として、例えば、ハードディスクドライブ1031に記憶される。そして、CPU1020が、ハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。In addition, data used for information processing by the feature calculation program is stored as program data 1094, for example, in the hard disk drive 1031. Then, the CPU 1020 reads the program module 1093 and the program data 1094 stored in the hard disk drive 1031 into the RAM 1012 as necessary, and executes each of the above-mentioned procedures.

なお、特徴量算出プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、特徴量算出プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。In addition, the program module 1093 and program data 1094 related to the feature calculation program are not limited to being stored in the hard disk drive 1031, and may be stored in, for example, a removable storage medium and read by the CPU 1020 via the disk drive 1041 or the like. Alternatively, the program module 1093 and program data 1094 related to the feature calculation program may be stored in another computer connected via a network such as a LAN (Local Area Network) or a WAN (Wide Area Network), and read by the CPU 1020 via the network interface 1070.

以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。 The above describes an embodiment of the invention made by the inventor, but the present invention is not limited to the description and drawings that form part of the disclosure of the present invention according to this embodiment. In other words, other embodiments, examples, operational techniques, etc. made by those skilled in the art based on this embodiment are all included in the scope of the present invention.

10 特徴量算出装置
11 入力部
12 出力部
13 通信制御部
14 記憶部
14a モデル
15 制御部
15a 取得部
15b 生成部
15c 選択部
15d 分類部
15e 学習部
15f 算出部
15g 抽出部
REFERENCE SIGNS LIST 10 Feature quantity calculation device 11 Input unit 12 Output unit 13 Communication control unit 14 Storage unit 14a Model 15 Control unit 15a Acquisition unit 15b Generation unit 15c Selection unit 15d Classification unit 15e Learning unit 15f Calculation unit 15g Extraction unit

Claims (7)

ネットワークのノード間の通信情報を用いて、ノード間の通信を表すグラフを生成する生成部と、
生成された前記グラフのノードのうち、所定長のパスで接続された関連するノードを選択する選択部と、
選択された前記ノードに対して、パス上の所定距離内のノード同士をノード間の距離に応じたグループに分類する分類部と、
分類された前記グループごとに、グループ内の各ノードの前記グラフでの特徴量を表すモデルを学習する学習部と、
選択された前記ノードのそれぞれについて、各グループで学習されたモデルを用いて推定された特徴量を合成することにより、特徴量を算出する算出部と、
を有することを特徴とする特徴量算出装置。
A generation unit that generates a graph representing communications between nodes using communication information between nodes of the network;
a selection unit that selects, from among the nodes of the generated graph, related nodes that are connected by paths of a predetermined length;
a classification unit that classifies nodes on a path within a predetermined distance of the selected nodes into groups according to the distance between the nodes;
a learning unit that learns a model representing a feature amount in the graph of each node in the group for each of the classified groups;
a calculation unit that calculates a feature amount by combining feature amounts estimated using models trained in each group for each of the selected nodes;
A feature calculation device comprising:
前記学習部は、分類された前記グループごとに異なるモデルを学習することを特徴とする請求項1に記載の特徴量算出装置。 The feature calculation device described in claim 1, characterized in that the learning unit learns a different model for each of the classified groups. 前記学習部は、分類された前記グループのうち、所定の距離の範囲の複数のグループについて、共通のモデルを学習することを特徴とする請求項2に記載の特徴量算出装置。 The feature calculation device described in claim 2, characterized in that the learning unit learns a common model for multiple groups within a predetermined distance range among the classified groups. 算出された前記特徴量のうち、所定のしきい値以上の重要度の次元の値を抽出する抽出部を、さらに有することを特徴とする請求項1に記載の特徴量算出装置。The feature calculation device according to claim 1, further comprising an extraction unit that extracts, from the calculated features, values of dimensions having an importance equal to or greater than a predetermined threshold value. 前記抽出部は、教師データと学習された前記モデルとを用いて、各ノードの特徴量を表す特徴ベクトルの次元ごとの重要度を算出することを特徴とする請求項4に記載の特徴量算出装置。The feature calculation device described in claim 4, characterized in that the extraction unit uses training data and the learned model to calculate the importance of each dimension of the feature vector representing the feature of each node. 特徴量算出装置が実行する特徴量算出方法であって、
ネットワークのノード間の通信情報を用いて、ノード間の通信を表すグラフを生成する生成工程と、
生成された前記グラフのノードのうち、所定長のパスで接続された関連するノードを選択する選択工程と、
選択された前記ノードに対して、パス上の所定距離内のノード同士をノード間の距離に応じたグループに分類する分類工程と、
分類された前記グループごとに、グループ内の各ノードの前記グラフでの特徴量を表すモデルを学習する学習工程と、
選択された前記ノードのそれぞれについて、各グループで学習されたモデルを用いて推定された特徴量を合成することにより、特徴量を算出工程と、
を含んだことを特徴とする特徴量算出方法。
A feature calculation method executed by a feature calculation device, comprising:
A generation step of generating a graph representing communications between nodes using communication information between nodes of the network;
a selection step of selecting, from among the nodes of the generated graph, related nodes connected by paths of a predetermined length;
a classification step of classifying nodes on a path within a predetermined distance of the selected nodes into groups according to the distance between the nodes;
a learning step of learning a model representing a feature amount in the graph of each node in each group, for each of the classified groups;
A step of calculating a feature amount by synthesizing the feature amounts estimated using the models trained in each group for each of the selected nodes;
A feature calculation method comprising:
コンピュータに
ネットワークのノード間の通信情報を用いて、ノード間の通信を表すグラフを生成する生成ステップと、
生成された前記グラフのノードのうち、所定長のパスで接続された関連するノードを選択する選択ステップと、
選択された前記ノードに対して、パス上の所定距離内のノード同士をノード間の距離に応じたグループに分類する分類ステップと、
分類された前記グループごとに、グループ内の各ノードの前記グラフでの特徴量を表すモデルを学習する学習ステップと、
選択された前記ノードのそれぞれについて、各グループで学習されたモデルを用いて推定された特徴量を合成することにより、特徴量を算出ステップと、
を実行させることを特徴とする特徴量算出プログラム。
A generating step of generating a graph representing communications between the nodes using communication information between the nodes of the network in a computer;
a selection step of selecting, from among the nodes of the generated graph, related nodes connected by paths of a predetermined length;
a classification step of classifying nodes on a path within a predetermined distance of the selected nodes into groups according to the distance between the nodes;
a learning step of learning a model representing a feature amount in the graph of each node in each group, for each of the classified groups;
calculating a feature amount by combining the feature amounts estimated using the models trained in each group for each of the selected nodes;
A feature calculation program for executing the above.
JP2023520722A 2021-05-14 2021-05-14 Feature quantity calculation device, feature quantity calculation method, and feature quantity calculation program Active JP7548422B2 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2021/018420 WO2022239235A1 (en) 2021-05-14 2021-05-14 Feature quantity calculation device, feature quantity calculation method, and feature quantity calculation program

Publications (2)

Publication Number Publication Date
JPWO2022239235A1 JPWO2022239235A1 (en) 2022-11-17
JP7548422B2 true JP7548422B2 (en) 2024-09-10

Family

ID=84028959

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2023520722A Active JP7548422B2 (en) 2021-05-14 2021-05-14 Feature quantity calculation device, feature quantity calculation method, and feature quantity calculation program

Country Status (2)

Country Link
JP (1) JP7548422B2 (en)
WO (1) WO2022239235A1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104506482A (en) 2014-10-10 2015-04-08 香港理工大学 Network attack detection method and device
WO2019168072A1 (en) 2018-02-27 2019-09-06 日本電信電話株式会社 Traffic anomaly sensing device, traffic anomaly sensing method, and traffic anomaly sensing program

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104506482A (en) 2014-10-10 2015-04-08 香港理工大学 Network attack detection method and device
WO2019168072A1 (en) 2018-02-27 2019-09-06 日本電信電話株式会社 Traffic anomaly sensing device, traffic anomaly sensing method, and traffic anomaly sensing program

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
熊谷 将也 MASAYA KUMAGAI,侵入検知システムのためのグラフ構造に基づいた機械学習および可視化 Graph Based Machine Learning and Visualization for Intrusion Detection System,情報処理学会 研究報告 インターネットと運用技術(IOT) 2019-IOT-044,日本,情報処理学会,2019年02月28日

Also Published As

Publication number Publication date
JPWO2022239235A1 (en) 2022-11-17
WO2022239235A1 (en) 2022-11-17

Similar Documents

Publication Publication Date Title
US11483354B2 (en) System and method for reasoning about the optimality of a configuration parameter of a distributed system
Ghanem et al. Hierarchical reinforcement learning for efficient and effective automated penetration testing of large networks
CN110334742B (en) A Reinforcement Learning-Based Graph Adversarial Example Generation Method by Adding Fake Nodes for Document Classification
RU2697955C2 (en) System and method for training harmful container detection model
CN111461226A (en) Adversarial sample generation method, device, terminal and readable storage medium
CN115486026A (en) Quantum Computing Machine Learning for Security Threats
US20200302273A1 (en) Subsampling training data during artificial neural network training
CN110677433B (en) Method, system, equipment and readable storage medium for predicting network attack
CN111314138B (en) Directed network detection method, computer readable storage medium and related equipment
US20210160142A1 (en) Generalized correlation of network resources and associated data records in dynamic network environments
CN115066694A (en) Computation graph optimization
JP6725452B2 (en) Classification device, classification method, and classification program
CN110322003B (en) A gradient-based graph adversarial example generation method by adding fake nodes for document classification
US20200118027A1 (en) Learning method, learning apparatus, and recording medium having stored therein learning program
WO2020075462A1 (en) Learner estimating device, learner estimation method, risk evaluation device, risk evaluation method, and program
JP6989014B2 (en) System configuration derivation device, method and program
JP6721551B2 (en) Extraction device, extraction method, and extraction program
JP7548422B2 (en) Feature quantity calculation device, feature quantity calculation method, and feature quantity calculation program
WO2023238246A1 (en) Integrated model generation method, integrated model generation device, and integrated model generation program
US20260044673A1 (en) Fine-tuning language models for network devices
CN116340581B (en) Incremental meta-path storage and dynamic maintenance method and system
WO2025222841A1 (en) Traffic data processing method and apparatus, nonvolatile storage medium and electronic device
JP7586304B2 (en) Feature calculation device, feature calculation method, and feature calculation program
US20240061936A1 (en) Method and Apparatus for Detecting Malicious PE File and Device and Medium
CN117978484A (en) Attack prediction method and device based on multimodal attack path graph

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230904

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240730

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240812

R150 Certificate of patent or registration of utility model

Ref document number: 7548422

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350