JP7548422B2 - Feature quantity calculation device, feature quantity calculation method, and feature quantity calculation program - Google Patents
Feature quantity calculation device, feature quantity calculation method, and feature quantity calculation program Download PDFInfo
- Publication number
- JP7548422B2 JP7548422B2 JP2023520722A JP2023520722A JP7548422B2 JP 7548422 B2 JP7548422 B2 JP 7548422B2 JP 2023520722 A JP2023520722 A JP 2023520722A JP 2023520722 A JP2023520722 A JP 2023520722A JP 7548422 B2 JP7548422 B2 JP 7548422B2
- Authority
- JP
- Japan
- Prior art keywords
- nodes
- feature
- unit
- graph
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、特徴量算出装置、特徴量算出方法および特徴量算出プログラムに関する。 The present invention relates to a feature calculation device, a feature calculation method, and a feature calculation program.
悪意のあるプログラムによって乗っ取られた悪性サーバで構成されるボットネットと呼ばれるネットワークの構造は多様であり、悪性サーバ間の最短距離も、構造に応じて多様である。近年、このようなボットネットの構造を検知する技術が期待されている。IPホストをノードとし、IPホスト間のエンドツーエンド通信をエッジとするグラフの特徴量は、ボットネットの構造を検知するために有用な情報となる。 The structures of networks called botnets, which are made up of malicious servers hijacked by malicious programs, are diverse, and the shortest distance between malicious servers also varies depending on the structure. In recent years, there has been hope for technology that can detect the structure of such botnets. The features of a graph, in which IP hosts are nodes and end-to-end communications between IP hosts are edges, provide useful information for detecting the structure of a botnet.
そこで、ネットワークフロー情報からなる通信グラフからノードの特徴量を学習するgraph embeddingと呼ばれる技術が知られている。例えば、グラフからノードのパスを生成し、パス上の所定ホップ数以内のノード間の類似性を学習することができる(非特許文献1参照)。 Therefore, a technology called graph embedding is known that learns the features of nodes from a communication graph consisting of network flow information. For example, it is possible to generate a path of nodes from a graph and learn the similarity between nodes within a certain number of hops on the path (see Non-Patent Document 1).
しかしながら、従来の技術では、質の高い特徴量を学習することが困難である。例えば、あるノードに着目した場合に、一定距離内の隣接ノードが持つコンテキストが距離によって異なるため、コンテキストが異なるノードを同時に学習することにより、得られた特徴量の質が低下するという問題がある。However, with conventional technology, it is difficult to learn high-quality features. For example, when focusing on a certain node, the contexts of neighboring nodes within a certain distance differ depending on the distance, so there is a problem that the quality of the obtained features decreases when nodes with different contexts are simultaneously learned.
本発明は、上記に鑑みてなされたものであって、通信ネットワークを表すグラフから質の高い特徴量を学習することを目的とする。 The present invention has been made in consideration of the above, and aims to learn high-quality features from a graph representing a communication network.
上述した課題を解決し、目的を達成するために、本発明に係る特徴量学習装置は、ネットワークのノード間の通信情報を用いて、ノード間の通信を表すグラフを生成する生成部と、生成された前記グラフのノードのうち、所定長のパスで接続された関連するノードを選択する選択部と、選択された前記ノードに対して、パス上の所定距離内のノード同士をノード間の距離に応じたグループに分類する分類部と、分類された前記グループごとに、グループ内の各ノードの前記グラフでの特徴量を表すモデルを学習する学習部と、選択された前記ノードのそれぞれについて、各グループで学習されたモデルを用いて推定された特徴量を合成することにより、特徴量を算出する算出部と、を有することを特徴とする。In order to solve the above-mentioned problems and achieve the object, the feature learning device of the present invention is characterized by having a generation unit that uses communication information between nodes in a network to generate a graph representing communication between nodes; a selection unit that selects related nodes connected by paths of a predetermined length from the nodes of the generated graph; a classification unit that classifies nodes within a predetermined distance on the path for the selected nodes into groups according to the distance between the nodes; a learning unit that learns a model that represents the feature in the graph of each node in the group for each classified group; and a calculation unit that calculates a feature for each of the selected nodes by combining features estimated using the models learned for each group.
本発明によれば、通信ネットワークを表すグラフから質の高い特徴量を学習することが可能となる。 According to the present invention, it is possible to learn high-quality features from a graph representing a communication network.
以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。Hereinafter, one embodiment of the present invention will be described in detail with reference to the drawings. Note that the present invention is not limited to this embodiment. In addition, in the description of the drawings, the same parts are indicated by the same reference numerals.
[特徴量算出装置の構成]
図1は、特徴量算出装置の概略構成を例示する模式図である。また、図2~図4は、特徴量算出装置の処理を説明するための図である。まず、図1に例示するように、特徴量算出装置10は、パソコン等の汎用コンピュータで実現され、入力部11、出力部12、通信制御部13、記憶部14、および制御部15を備える。
[Configuration of the feature amount calculation device]
Fig. 1 is a schematic diagram illustrating an example of a schematic configuration of a feature calculation device. Fig. 2 to Fig. 4 are diagrams for explaining the processing of the feature calculation device. First, as illustrated in Fig. 1, a
入力部11は、キーボードやマウス等の入力デバイスを用いて実現され、操作者による入力操作に対応して、制御部15に対して処理開始などの各種指示情報を入力する。出力部12は、液晶ディスプレイなどの表示装置、プリンター等の印刷装置等によって実現される。The
通信制御部13は、NIC(Network Interface Card)等で実現され、ネットワークを介したサーバ等の外部の装置と制御部15との通信を制御する。例えば、通信制御部13は、ネットワークの通信情報を収集し管理する管理装置等と制御部15との通信を制御する。The communication control unit 13 is realized by a NIC (Network Interface Card) or the like, and controls communication between the control unit 15 and an external device such as a server via the network. For example, the communication control unit 13 controls communication between the control unit 15 and a management device or the like that collects and manages communication information of the network.
記憶部14は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。記憶部14には、特徴量算出装置10を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが予め記憶され、あるいは処理の都度一時的に記憶される。例えば、記憶部14は、後述する学習部の処理結果のモデル14a等を記憶する。なお、記憶部14は、通信制御部13を介して制御部15と通信する構成でもよい。The storage unit 14 is realized by a semiconductor memory element such as a RAM (Random Access Memory) or a flash memory, or a storage device such as a hard disk or an optical disk. The storage unit 14 stores in advance the processing program that operates the
制御部15は、CPU(Central Processing Unit)等を用いて実現され、メモリに記憶された処理プログラムを実行する。これにより、制御部15は、図1に例示するように、取得部15a、生成部15b、選択部15c、分類部15d、学習部15e、算出部15fおよび抽出部15gとして機能する。なお、これらの機能部は、それぞれあるいは一部が異なるハードウェアに実装されてもよい。例えば、学習部15eと算出部15fとは異なるハードウェアに実装されてもよい。また、制御部15は、その他の機能部を備えてもよい。The control unit 15 is realized using a CPU (Central Processing Unit) or the like, and executes a processing program stored in memory. As a result, the control unit 15 functions as an
取得部15aは、収集されたネットワークのノードの通信情報を取得する。例えば、取得部15aは、後述する特徴量算出処理の処理対象のIPホストのフロー情報等を、入力部11あるいは通信制御部13を介して、ネットワークの通信情報を収集し管理する管理装置等から取得する。なお、取得部15aは、取得したデータを記憶部14に記憶させてもよい。あるいは、取得部15aは、これらの情報を記憶部14に記憶させずに、以下に説明する生成部15bに転送してもよい。The
生成部15bは、ネットワークのノード間の通信情報を用いて、ノード間の通信を表すグラフを生成する。例えば、生成部15bは、図2に示すように、取得したIPホストのフロー情報を用いて、IPホストをノードとし、IPホスト間の通信をエッジとするグラフを作成する。図2には、悪性(Bot)サーバとC&C(Command and Control)サーバとの通信グラフが例示されている。The generation unit 15b uses communication information between network nodes to generate a graph representing communication between nodes. For example, as shown in Fig. 2, the generation unit 15b uses the acquired flow information of IP hosts to create a graph in which IP hosts are nodes and communications between IP hosts are edges. Fig. 2 illustrates a communication graph between a malicious (Bot) server and a C&C (Command and Control) server.
選択部15cは、生成されたグラフのノードのうち、所定長のパスで接続された関連するノードを選択する。例えば、選択部15cは、各ノードを起点としてRandom Walkを所定回数実行し、起点としたノードごとに、ノードを含む所定長のパスを生成する。The
分類部15dは、選択されたノードに対して、パス上の所定距離内のノード同士をノード間の距離に応じたグループに分類する。例えば、分類部15dは、図2に示したグラフについて、図3に示すように、ノードペアA-Cを距離1のグループに、ノードペアA-Bを距離2のグループに、ノードペアA-Eを距離3のグループに分類する。The classification unit 15d classifies nodes on the path within a certain distance of the selected node into groups according to the distance between the nodes. For example, for the graph shown in Figure 2, the classification unit 15d classifies node pair A-C into a group with distance 1, node pair A-B into a group with distance 2, and node pair A-E into a group with distance 3, as shown in Figure 3.
学習部15eは、図4(a)に示すように、分類されたグループごとに、グループ内の各ノードのグラフでの特徴量を表すモデル14aを学習する。本実施形態では、学習部15eは、分類されたグループごとに異なるモデル14aを学習する。As shown in FIG. 4(a), the learning unit 15e learns a model 14a that represents the features in the graph of each node in each classified group for each classified group. In this embodiment, the learning unit 15e learns a different model 14a for each classified group.
学習部15eは、さらに、分類されたグループのうち、所定の距離の範囲の複数のグループについて、共通のモデル14aを学習してもよい。例えば、図4(a)に例示したグループのうち、距離2以下の複数のグループ、すなわち、距離1のグループと距離2のグループとにおいて、共通のモデル14aを学習するようにしてもよい。この場合に、学習部15eは、原則として各グループが異なるモデル14aを学習することとし、共通のモデル14aを学習する複数のグループを選択できるようにしてもよい。The learning unit 15e may further learn a common model 14a for multiple groups within a predetermined distance range among the classified groups. For example, among the groups illustrated in FIG. 4(a), a common model 14a may be learned for multiple groups with a distance of 2 or less, i.e., a group with a distance of 1 and a group with a distance of 2. In this case, the learning unit 15e may be configured to learn a different model 14a for each group in principle, and may be able to select multiple groups that learn a common model 14a.
算出部15fは、選択されたノードのそれぞれについて、各グループで学習されたモデル14aを用いて推定された特徴量を合成することにより、特徴量を算出する。例えば、算出部15fは、図4(b)に示すように、ノードごとに、各グループで学習された各モデル14aが出力する特徴量のすべてを結合して、当該ノードの特徴量とする。The
抽出部15gは、算出された特徴量のうち、所定のしきい値以上の重要度の次元の値を抽出する。具体的には、抽出部15gは、教師データと学習されたモデル14aとを用いて、各ノードの特徴量を表す特徴ベクトルの次元ごとの重要度を算出する。例えば、抽出部15gは、Random Forestにより、各次元の重要度を算出する。そして、抽出部15gは、図4(c)に示すように、重要度が所定のしきい値以上の重要な次元のみを選択して、当該ノードの特徴量とする。The
また、抽出部15gは、出力部12を介して、算出された各ノードの特徴量を出力する。なお、抽出部15gに変えて、あるいは抽出部15gに加えて、算出部15fが算出した各ノードの特徴量を出力してもよい。Moreover, the
[特徴量算出処理]
次に、図5を参照して、本実施形態に係る特徴量算出装置10による特徴量算出処理について説明する。図5は、特徴量算出処理手順を示すフローチャートである。図5のフローチャートは、例えば、特徴量算出処理の開始を指示する操作入力があったタイミングで開始される。
[Feature Calculation Processing]
Next, a feature calculation process performed by the
まず、取得部15aが取得したネットワークのノードの通信情報を用いて、生成部15bがノード間の通信を表すグラフを生成する(ステップS1)。First, the generation unit 15b generates a graph representing communication between nodes using the communication information of the network nodes acquired by the
また、選択部15cが、生成されたグラフのノードのうち、所定長のパスで接続された関連するノードを選択する(ステップS2)。また、分類部15dが、選択されたノードに対して、パス上の所定距離内のノード同士をノード間の距離に応じたグループに分類する(ステップS3)。The
次に、学習部15eが、分類されたグループごとに、グループ内の各ノードのグラフでの特徴量を表すモデル14aを学習する(ステップS4)。Next, the learning unit 15e learns a model 14a representing the features in the graph of each node in the group for each classified group (step S4).
その際に、学習部15eは、分類されたグループごとに異なるモデル14aを学習する。あるいは、学習部15eは、分類されたグループのうち、所定の距離の範囲の複数のグループについて、共通のモデル14aを学習してもよい。At that time, the learning unit 15e learns a different model 14a for each classified group. Alternatively, the learning unit 15e may learn a common model 14a for multiple groups within a predetermined distance range among the classified groups.
そして、算出部15fが、選択されたノードのそれぞれについて、各グループで学習されたモデル14aを用いて推定された特徴量を合成することにより、特徴量を算出する(ステップS5)。Then, the
また、抽出部15gは、教師データと学習されたモデル14aとを用いて、各ノードの特徴量を表す特徴ベクトルの次元ごとの重要度を算出する。そして、抽出部15gは、重要度が所定のしきい値以上の重要な次元のみを抽出して、当該ノードの特徴量とする(ステップS6)。In addition, the
また、抽出部15gが、出力部12を介して、各ノードの特徴量を出力する(ステップS7)。これにより、一連の特徴量算出処理が終了する。The
以上、説明したように、特徴量算出装置10において、生成部15bが、ネットワークのノード間の通信情報を用いて、ノード間の通信を表すグラフを生成する。また、選択部15cが、生成されたグラフのノードのうち、所定長のパスで接続された関連するノードを選択する。また、分類部15dが、選択されたノードに対して、パス上の所定距離内のノード同士をノード間の距離に応じたグループに分類する。また、学習部15eが、分類されたグループごとに、グループ内の各ノードのグラフでの特徴量を表すモデル14aを学習する。そして、算出部15fが、選択されたノードのそれぞれについて、各グループで学習されたモデル14aを用いて推定された特徴量を合成することにより、特徴量を算出する。As described above, in the
このように特徴量算出装置10は、ノード間の距離に応じて教師データを分割し、それぞれの距離のノード間の類似性を学習し、異なる距離のそれぞれで学習した各ノードの特徴量を合成することにより、各ノードの特徴量を算出する。これにより、隣接ノードの持つコンテキストの距離による違いを考慮して、ノードの特徴量を算出することができる。したがって、特徴量算出装置10は、通信ネットワークを表すグラフから質の高い特徴量を学習することが可能となる。In this way, the
また、学習部15eが、分類されたグループごとに異なるモデル14aを学習する。これにより、特徴量算出装置10は、モデル14a学習がより高精度に可能となる。In addition, the learning unit 15e learns a different model 14a for each classified group. This enables the
また、学習部15eは、分類されたグループのうち、所定の距離の範囲の複数のグループについて、共通のモデル14aを学習する。これにより、特徴量算出装置10は、モデル14aの学習が高効率に可能となる。In addition, the learning unit 15e learns a common model 14a for multiple groups within a predetermined distance range among the classified groups. This enables the
また、抽出部15gは、教師データと学習されたモデル14aとを用いて、各ノードの特徴量を表す特徴ベクトルの次元ごとの重要度を算出する。そして、抽出部15gが、算出された特徴量のうち、所定のしきい値以上の重要度の次元の値を抽出する。これにより、特徴量算出装置10は、各ノードの質の高い特徴量を効率よく算出することが可能となる。In addition, the
[プログラム]
上記実施形態に係る特徴量算出装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、特徴量算出装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の特徴量算出処理を実行する特徴量算出プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の特徴量算出プログラムを情報処理装置に実行させることにより、情報処理装置を特徴量算出装置10として機能させることができる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。また、特徴量算出装置10の機能を、クラウドサーバに実装してもよい。
[program]
A program in which the process executed by the feature
図6は、特徴量算出プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。6 is a diagram showing an example of a computer that executes a feature calculation program. The
メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1041に接続される。ディスクドライブ1041には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1051およびキーボード1052が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1061が接続される。The
ここで、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各情報は、例えばハードディスクドライブ1031やメモリ1010に記憶される。Here, the hard disk drive 1031 stores, for example, an
また、特徴量算出プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、ハードディスクドライブ1031に記憶される。具体的には、上記実施形態で説明した特徴量算出装置10が実行する各処理が記述されたプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。In addition, the feature calculation program is stored in the hard disk drive 1031, for example, as a
また、特徴量算出プログラムによる情報処理に用いられるデータは、プログラムデータ1094として、例えば、ハードディスクドライブ1031に記憶される。そして、CPU1020が、ハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。In addition, data used for information processing by the feature calculation program is stored as
なお、特徴量算出プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、特徴量算出プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。In addition, the
以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。 The above describes an embodiment of the invention made by the inventor, but the present invention is not limited to the description and drawings that form part of the disclosure of the present invention according to this embodiment. In other words, other embodiments, examples, operational techniques, etc. made by those skilled in the art based on this embodiment are all included in the scope of the present invention.
10 特徴量算出装置
11 入力部
12 出力部
13 通信制御部
14 記憶部
14a モデル
15 制御部
15a 取得部
15b 生成部
15c 選択部
15d 分類部
15e 学習部
15f 算出部
15g 抽出部
REFERENCE SIGNS
Claims (7)
生成された前記グラフのノードのうち、所定長のパスで接続された関連するノードを選択する選択部と、
選択された前記ノードに対して、パス上の所定距離内のノード同士をノード間の距離に応じたグループに分類する分類部と、
分類された前記グループごとに、グループ内の各ノードの前記グラフでの特徴量を表すモデルを学習する学習部と、
選択された前記ノードのそれぞれについて、各グループで学習されたモデルを用いて推定された特徴量を合成することにより、特徴量を算出する算出部と、
を有することを特徴とする特徴量算出装置。 A generation unit that generates a graph representing communications between nodes using communication information between nodes of the network;
a selection unit that selects, from among the nodes of the generated graph, related nodes that are connected by paths of a predetermined length;
a classification unit that classifies nodes on a path within a predetermined distance of the selected nodes into groups according to the distance between the nodes;
a learning unit that learns a model representing a feature amount in the graph of each node in the group for each of the classified groups;
a calculation unit that calculates a feature amount by combining feature amounts estimated using models trained in each group for each of the selected nodes;
A feature calculation device comprising:
ネットワークのノード間の通信情報を用いて、ノード間の通信を表すグラフを生成する生成工程と、
生成された前記グラフのノードのうち、所定長のパスで接続された関連するノードを選択する選択工程と、
選択された前記ノードに対して、パス上の所定距離内のノード同士をノード間の距離に応じたグループに分類する分類工程と、
分類された前記グループごとに、グループ内の各ノードの前記グラフでの特徴量を表すモデルを学習する学習工程と、
選択された前記ノードのそれぞれについて、各グループで学習されたモデルを用いて推定された特徴量を合成することにより、特徴量を算出工程と、
を含んだことを特徴とする特徴量算出方法。 A feature calculation method executed by a feature calculation device, comprising:
A generation step of generating a graph representing communications between nodes using communication information between nodes of the network;
a selection step of selecting, from among the nodes of the generated graph, related nodes connected by paths of a predetermined length;
a classification step of classifying nodes on a path within a predetermined distance of the selected nodes into groups according to the distance between the nodes;
a learning step of learning a model representing a feature amount in the graph of each node in each group, for each of the classified groups;
A step of calculating a feature amount by synthesizing the feature amounts estimated using the models trained in each group for each of the selected nodes;
A feature calculation method comprising:
ネットワークのノード間の通信情報を用いて、ノード間の通信を表すグラフを生成する生成ステップと、
生成された前記グラフのノードのうち、所定長のパスで接続された関連するノードを選択する選択ステップと、
選択された前記ノードに対して、パス上の所定距離内のノード同士をノード間の距離に応じたグループに分類する分類ステップと、
分類された前記グループごとに、グループ内の各ノードの前記グラフでの特徴量を表すモデルを学習する学習ステップと、
選択された前記ノードのそれぞれについて、各グループで学習されたモデルを用いて推定された特徴量を合成することにより、特徴量を算出ステップと、
を実行させることを特徴とする特徴量算出プログラム。 A generating step of generating a graph representing communications between the nodes using communication information between the nodes of the network in a computer;
a selection step of selecting, from among the nodes of the generated graph, related nodes connected by paths of a predetermined length;
a classification step of classifying nodes on a path within a predetermined distance of the selected nodes into groups according to the distance between the nodes;
a learning step of learning a model representing a feature amount in the graph of each node in each group, for each of the classified groups;
calculating a feature amount by combining the feature amounts estimated using the models trained in each group for each of the selected nodes;
A feature calculation program for executing the above.
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2021/018420 WO2022239235A1 (en) | 2021-05-14 | 2021-05-14 | Feature quantity calculation device, feature quantity calculation method, and feature quantity calculation program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2022239235A1 JPWO2022239235A1 (en) | 2022-11-17 |
| JP7548422B2 true JP7548422B2 (en) | 2024-09-10 |
Family
ID=84028959
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2023520722A Active JP7548422B2 (en) | 2021-05-14 | 2021-05-14 | Feature quantity calculation device, feature quantity calculation method, and feature quantity calculation program |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP7548422B2 (en) |
| WO (1) | WO2022239235A1 (en) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104506482A (en) | 2014-10-10 | 2015-04-08 | 香港理工大学 | Network attack detection method and device |
| WO2019168072A1 (en) | 2018-02-27 | 2019-09-06 | 日本電信電話株式会社 | Traffic anomaly sensing device, traffic anomaly sensing method, and traffic anomaly sensing program |
-
2021
- 2021-05-14 JP JP2023520722A patent/JP7548422B2/en active Active
- 2021-05-14 WO PCT/JP2021/018420 patent/WO2022239235A1/en not_active Ceased
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104506482A (en) | 2014-10-10 | 2015-04-08 | 香港理工大学 | Network attack detection method and device |
| WO2019168072A1 (en) | 2018-02-27 | 2019-09-06 | 日本電信電話株式会社 | Traffic anomaly sensing device, traffic anomaly sensing method, and traffic anomaly sensing program |
Non-Patent Citations (1)
| Title |
|---|
| 熊谷 将也 MASAYA KUMAGAI,侵入検知システムのためのグラフ構造に基づいた機械学習および可視化 Graph Based Machine Learning and Visualization for Intrusion Detection System,情報処理学会 研究報告 インターネットと運用技術(IOT) 2019-IOT-044,日本,情報処理学会,2019年02月28日 |
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2022239235A1 (en) | 2022-11-17 |
| WO2022239235A1 (en) | 2022-11-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11483354B2 (en) | System and method for reasoning about the optimality of a configuration parameter of a distributed system | |
| Ghanem et al. | Hierarchical reinforcement learning for efficient and effective automated penetration testing of large networks | |
| CN110334742B (en) | A Reinforcement Learning-Based Graph Adversarial Example Generation Method by Adding Fake Nodes for Document Classification | |
| RU2697955C2 (en) | System and method for training harmful container detection model | |
| CN111461226A (en) | Adversarial sample generation method, device, terminal and readable storage medium | |
| CN115486026A (en) | Quantum Computing Machine Learning for Security Threats | |
| US20200302273A1 (en) | Subsampling training data during artificial neural network training | |
| CN110677433B (en) | Method, system, equipment and readable storage medium for predicting network attack | |
| CN111314138B (en) | Directed network detection method, computer readable storage medium and related equipment | |
| US20210160142A1 (en) | Generalized correlation of network resources and associated data records in dynamic network environments | |
| CN115066694A (en) | Computation graph optimization | |
| JP6725452B2 (en) | Classification device, classification method, and classification program | |
| CN110322003B (en) | A gradient-based graph adversarial example generation method by adding fake nodes for document classification | |
| US20200118027A1 (en) | Learning method, learning apparatus, and recording medium having stored therein learning program | |
| WO2020075462A1 (en) | Learner estimating device, learner estimation method, risk evaluation device, risk evaluation method, and program | |
| JP6989014B2 (en) | System configuration derivation device, method and program | |
| JP6721551B2 (en) | Extraction device, extraction method, and extraction program | |
| JP7548422B2 (en) | Feature quantity calculation device, feature quantity calculation method, and feature quantity calculation program | |
| WO2023238246A1 (en) | Integrated model generation method, integrated model generation device, and integrated model generation program | |
| US20260044673A1 (en) | Fine-tuning language models for network devices | |
| CN116340581B (en) | Incremental meta-path storage and dynamic maintenance method and system | |
| WO2025222841A1 (en) | Traffic data processing method and apparatus, nonvolatile storage medium and electronic device | |
| JP7586304B2 (en) | Feature calculation device, feature calculation method, and feature calculation program | |
| US20240061936A1 (en) | Method and Apparatus for Detecting Malicious PE File and Device and Medium | |
| CN117978484A (en) | Attack prediction method and device based on multimodal attack path graph |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230904 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240730 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240812 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7548422 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |