JP2019102960A - サイバー攻撃検知システム、特徴量選定システム、サイバー攻撃検知方法、及びプログラム - Google Patents
サイバー攻撃検知システム、特徴量選定システム、サイバー攻撃検知方法、及びプログラム Download PDFInfo
- Publication number
- JP2019102960A JP2019102960A JP2017231552A JP2017231552A JP2019102960A JP 2019102960 A JP2019102960 A JP 2019102960A JP 2017231552 A JP2017231552 A JP 2017231552A JP 2017231552 A JP2017231552 A JP 2017231552A JP 2019102960 A JP2019102960 A JP 2019102960A
- Authority
- JP
- Japan
- Prior art keywords
- feature
- feature amount
- packet
- unit
- attack detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
前記既知パケットの各特徴量の情報の重要度を算出し、重要度が上位の特徴量を選定する特徴量選定部と、
前記選定した特徴量から機械学習の学習モデルを作成する特徴量学習部と、
前記特徴量抽出部により抽出される判別対象パケットの特徴量と前記学習モデルとから、当該判別対象パケットがサイバー攻撃に係るパケットか否かを判別して判別結果を出力する攻撃判別部と
を備えることを特徴とするサイバー攻撃検知システムが提供される。
図2に、本実施の形態におけるサイバー攻撃検知システム100の機能構成図を示す。図2に示すように本実施の形態におけるサイバー攻撃検知システム100は、特徴量抽出部110(既知パケット用と判別対象パケット用が含まれる)、特徴量選定部120(カテゴリデータ用と数値データ用が含まれる)、特徴量学習部130、攻撃判別部140を含む。なお、サイバー攻撃検知システム100は、ネットワーク上のパケットを取得可能であれば、ネットワークのどこに設置しても構わない。
図4は、サイバー攻撃検知システム100の詳細構成図を示す。図4を参照して、サイバー攻撃検知システム100における各機能部の詳細を説明する。
図4に示すように、特徴量抽出部110は、パケット入力部111、既知パケット特徴量抽出部112、判別パケット特徴量抽出部113、カテゴリデータ特徴量変換部114、特徴量出力部115を備える。
特徴量選定部120は、特徴量入力部121、既知パケット特徴量重要度算出部122、既知パケット特徴量選定部123、選定特徴量出力部124を備える。
特徴量学習部130は、特徴量選定結果入力部131、特徴量学習処理部132、学習モデル出力部133を備える。
攻撃判別部140は、学習モデル入力部141、学習モデル記録部142、特徴量入力部143、攻撃判別部144、及び判別結果出力部145を備える。
ポイント1は、特徴量の情報の重要度を算出するだけで、攻撃検知に有効な特徴量を選定する点である。
<ポイント2>
ポイント2は、攻撃検知に関して重要な意味合いを持つカテゴリデータ特徴量を数値データ特徴量とは別の特徴量として扱う点である。
ポイント3は、カテゴリデータをダミー変数化することで、カテゴリデータ内の重要な特徴量を選定することとしている点である。図8は、ダミー変数化の概念を示す図である。図8に示すように、数量ではない情報(male, female等)を変数として表現する。
上述したサイバー攻撃検知システム100は、例えば、コンピュータに、本実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現可能である。また、特徴量選定システムも同様に、例えば、コンピュータに、本実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現可能である。ここでは、サイバー攻撃検知システム100や特徴量選定システム等の本発明に係る機能を含むシステムを処理システムと呼ぶことにする。
次に、サイバー攻撃検知システム100が不正アクセス攻撃を検知する動作例を説明する。なお、サイバー攻撃検知システム100は、サイバー攻撃全般を検知対象とすることが可能である。以下、学習フェーズと検知判別フェーズのそれぞれについて説明する。
学習フェーズでは、正常通信と攻撃通信の正解ラベル付きデータセットを特徴量選定及び機械学習の特徴量学習の学習用データとして利用する。また、攻撃通信には不正アクセス攻撃に関する既知のパケットも含んでおり、攻撃通信のパケットがどのような攻撃と関連するものかの正解ラベルが付与されている。
検知判別フェーズでは、特徴量抽出部110において、判別対象のパケットのヘッダ部分から特徴量選定部120で選定された特徴量のみを抽出する。この際に、カテゴリデータの特徴量の場合、ダミー変数化した後に、選定した特徴量の抽出を行う。
従来技術では、攻撃検知に用いるヘッダ情報の特徴量選定において、現実時間内での最適な選定が困難であり、攻撃検知精度が十分でない課題があったが、本実施の形態の技術によると、特徴量に関する情報の重要度の算出のみで現実時間内での最適な特徴量選定を実現し、計算量削減と攻撃検知精度の向上が可能となる。
以上、説明したように、本実施の形態により、既知パケットのヘッダ情報から特徴量を抽出する特徴量抽出部と、前記既知パケットの各特徴量の情報の重要度を算出し、重要度が上位の特徴量を選定する特徴量選定部と、前記選定した特徴量から機械学習の学習モデルを作成する特徴量学習部と、前記特徴量抽出部により抽出される判別対象パケットの特徴量と前記学習モデルとから、当該判別対象パケットがサイバー攻撃に係るパケットか否かを判別して判別結果を出力する攻撃判別部とを備えることを特徴とするサイバー攻撃検知システムが提供される。
110 特徴量抽出部
111 パケット入力部
112 既知パケット特徴量抽出部
113 判別パケット特徴量抽出部
114 カテゴリデータ特徴量変換部
115 特徴量出力部
120 特徴量選定部
121 特徴量入力部
122 既知パケット特徴量重要度算出部
123 既知パケット特徴量選定部
124 選定特徴量出力部
130 特徴量学習部
131 特徴量選定結果入力部
132 特徴量学習処理部
133 学習モデル出力部
140 攻撃判別部
141 学習モデル入力部
142 学習モデル記録部
143 特徴量入力部
144 攻撃判別部
145 判別結果出力部
150 ドライブ装置
151 記録媒体
152 補助記憶装置
153 メモリ装置
154 CPU
155 インターフェース装置
156 表示装置
157 入力装置
Claims (8)
- 既知パケットのヘッダ情報から特徴量を抽出する特徴量抽出部と、
前記既知パケットの各特徴量の情報の重要度を算出し、重要度が上位の特徴量を選定する特徴量選定部と、
前記選定した特徴量から機械学習の学習モデルを作成する特徴量学習部と、
前記特徴量抽出部により抽出される判別対象パケットの特徴量と前記学習モデルとから、当該判別対象パケットがサイバー攻撃に係るパケットか否かを判別して判別結果を出力する攻撃判別部と
を備えることを特徴とするサイバー攻撃検知システム。 - 前記特徴量抽出部は、前記判別対象パケットの特徴量として、当該判別対象パケットのヘッダ情報から前記特徴量選定部により選定された特徴量を抽出する
ことを特徴とする請求項1に記載のサイバー攻撃検知システム。 - 前記特徴量選定部は、特徴量を抽出する対象となるパケットのヘッダ情報に含まれる特徴量のうち、カテゴリデータの特徴量をダミー変数化し、数値データの特徴量とカテゴリーデータの特徴量のそれぞれについて、特徴量の選定を行う
ことを特徴とする請求項1又は2に記載のサイバー攻撃検知システム。 - サイバー攻撃検知のために使用される特徴量を選定する特徴量選定システムであって、
既知パケットのヘッダ情報から特徴量を抽出する特徴量抽出部と、
前記既知パケットの各特徴量の情報の重要度を算出し、重要度が上位の特徴量を選定する特徴量選定部と、
前記選定した特徴量から機械学習の学習モデルを作成する特徴量学習部と
を備えることを特徴とする特徴量選定システム。 - 前記特徴量選定部は、前記既知パケットのヘッダ情報に含まれる特徴量のうち、カテゴリデータの特徴量をダミー変数化し、数値データの特徴量とカテゴリーデータの特徴量のそれぞれについて、特徴量の選定を行う
ことを特徴とする請求項4に記載の特徴量選定システム。 - サイバー攻撃検知システムが実行するサイバー攻撃検知方法であって、
既知パケットのヘッダ情報から特徴量を抽出する学習用特徴量抽出ステップと、
前記既知パケットの各特徴量の情報の重要度を算出し、重要度が上位の特徴量を選定する特徴量選定ステップと、
前記選定した特徴量から機械学習の学習モデルを作成する特徴量学習ステップと、
判別対象パケットのヘッダ情報から特徴量を抽出する判別用特徴量抽出ステップと、
前記判別用特徴量抽出ステップにより抽出された判別対象パケットの特徴量と前記学習モデルとから、当該判別対象パケットがサイバー攻撃に係るパケットか否かを判別して判別結果を出力する攻撃判別ステップと
を備えることを特徴とするサイバー攻撃検知方法。 - コンピュータを、請求項1ないし3のうちいずれか1項に記載のサイバー攻撃検知システムにおける各部として機能させるためのプログラム。
- コンピュータを、請求項4又は5に記載の特徴量選定システムにおける各部として機能させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017231552A JP6835703B2 (ja) | 2017-12-01 | 2017-12-01 | サイバー攻撃検知システム、特徴量選定システム、サイバー攻撃検知方法、及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017231552A JP6835703B2 (ja) | 2017-12-01 | 2017-12-01 | サイバー攻撃検知システム、特徴量選定システム、サイバー攻撃検知方法、及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019102960A true JP2019102960A (ja) | 2019-06-24 |
JP6835703B2 JP6835703B2 (ja) | 2021-02-24 |
Family
ID=66974306
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017231552A Active JP6835703B2 (ja) | 2017-12-01 | 2017-12-01 | サイバー攻撃検知システム、特徴量選定システム、サイバー攻撃検知方法、及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6835703B2 (ja) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110830499A (zh) * | 2019-11-21 | 2020-02-21 | 中国联合网络通信集团有限公司 | 一种网络攻击应用检测方法和*** |
CN111314310A (zh) * | 2020-01-19 | 2020-06-19 | 浙江大学 | 一种基于机器学习的不可解析网络数据特征选择的攻击检测方法 |
CN111507385A (zh) * | 2020-04-08 | 2020-08-07 | 中国农业科学院农业信息研究所 | 一种可扩展的网络攻击行为分类方法 |
WO2021048902A1 (ja) * | 2019-09-09 | 2021-03-18 | 楽天株式会社 | 学習モデル適用システム、学習モデル適用方法、及びプログラム |
JP2021093689A (ja) * | 2019-12-12 | 2021-06-17 | Kddi株式会社 | 情報処理システムおよび情報処理方法 |
CN113505826A (zh) * | 2021-07-08 | 2021-10-15 | 西安电子科技大学 | 基于联合特征选择的网络流量异常检测方法 |
JP7273942B1 (ja) | 2021-12-28 | 2023-05-15 | 尚承科技股▲フン▼有限公司 | ネットワーク行為特徴を学習するネットワーク機器、処理システムおよび方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102821002A (zh) * | 2011-06-09 | 2012-12-12 | ***通信集团河南有限公司信阳分公司 | 网络流量异常检测方法和*** |
JP6177410B1 (ja) * | 2016-11-07 | 2017-08-09 | 株式会社オプティマイザー | 電力需要調達支援システム、情報処理装置、情報処理方法および情報処理プログラム |
US20170250954A1 (en) * | 2016-02-26 | 2017-08-31 | Microsoft Technology Licensing, Llc | Hybrid hardware-software distributed threat analysis |
-
2017
- 2017-12-01 JP JP2017231552A patent/JP6835703B2/ja active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102821002A (zh) * | 2011-06-09 | 2012-12-12 | ***通信集团河南有限公司信阳分公司 | 网络流量异常检测方法和*** |
US20170250954A1 (en) * | 2016-02-26 | 2017-08-31 | Microsoft Technology Licensing, Llc | Hybrid hardware-software distributed threat analysis |
JP6177410B1 (ja) * | 2016-11-07 | 2017-08-09 | 株式会社オプティマイザー | 電力需要調達支援システム、情報処理装置、情報処理方法および情報処理プログラム |
Non-Patent Citations (3)
Title |
---|
小久保 博崇 HIROTAKA KOKUBO: "攻撃通信検知のための合成型機械学習手法の一検討", 情報処理学会論文誌 論文誌ジャーナル VOL.53 NO.9 [CD−ROM] IPSJ JOURNAL, vol. 第53巻, JPN6020040240, 15 September 2012 (2012-09-15), JP, pages 2086 - 2093, ISSN: 0004435124 * |
小池 泰輔 DAISUKE KOIKE: "ランダムフォレストアルゴリズムを用いたネットワーク侵入検出システムの性能解析", 第76回(平成26年)全国大会講演論文集(3) ネットワーク セキュリティ, JPN6020040238, 11 March 2014 (2014-03-11), pages 3 - 619, ISSN: 0004375411 * |
高原 尚志 HISASHI TAKAHARA: "Random ForestとK−Means法を組み合わせたハイブリッド型攻撃検知方式の検証評価 Eval", CSS2017 コンピュータセキュリティシンポジウム2017 論文集 合同開催 マルウェア対策研究人, vol. 第2017巻, JPN6020040242, 16 October 2017 (2017-10-16), JP, pages 21 - 28, ISSN: 0004435125 * |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPWO2021048902A1 (ja) * | 2019-09-09 | 2021-09-27 | 楽天グループ株式会社 | 学習モデル適用システム、学習モデル適用方法、及びプログラム |
TWI778411B (zh) * | 2019-09-09 | 2022-09-21 | 日商樂天集團股份有限公司 | 學習模型應用系統、學習模型應用方法及程式產品 |
JP7015927B2 (ja) | 2019-09-09 | 2022-02-03 | 楽天グループ株式会社 | 学習モデル適用システム、学習モデル適用方法、及びプログラム |
WO2021048902A1 (ja) * | 2019-09-09 | 2021-03-18 | 楽天株式会社 | 学習モデル適用システム、学習モデル適用方法、及びプログラム |
CN110830499B (zh) * | 2019-11-21 | 2021-08-27 | 中国联合网络通信集团有限公司 | 一种网络攻击应用检测方法和*** |
CN110830499A (zh) * | 2019-11-21 | 2020-02-21 | 中国联合网络通信集团有限公司 | 一种网络攻击应用检测方法和*** |
JP2021093689A (ja) * | 2019-12-12 | 2021-06-17 | Kddi株式会社 | 情報処理システムおよび情報処理方法 |
JP7050042B2 (ja) | 2019-12-12 | 2022-04-07 | Kddi株式会社 | 情報処理システムおよび情報処理方法 |
CN111314310A (zh) * | 2020-01-19 | 2020-06-19 | 浙江大学 | 一种基于机器学习的不可解析网络数据特征选择的攻击检测方法 |
CN111507385A (zh) * | 2020-04-08 | 2020-08-07 | 中国农业科学院农业信息研究所 | 一种可扩展的网络攻击行为分类方法 |
CN111507385B (zh) * | 2020-04-08 | 2023-04-28 | 中国农业科学院农业信息研究所 | 一种可扩展的网络攻击行为分类方法 |
CN113505826A (zh) * | 2021-07-08 | 2021-10-15 | 西安电子科技大学 | 基于联合特征选择的网络流量异常检测方法 |
CN113505826B (zh) * | 2021-07-08 | 2024-04-19 | 西安电子科技大学 | 基于联合特征选择的网络流量异常检测方法 |
JP7273942B1 (ja) | 2021-12-28 | 2023-05-15 | 尚承科技股▲フン▼有限公司 | ネットワーク行為特徴を学習するネットワーク機器、処理システムおよび方法 |
JP2023097531A (ja) * | 2021-12-28 | 2023-07-10 | 尚承科技股▲フン▼有限公司 | ネットワーク行為特徴を学習するネットワーク機器、処理システムおよび方法 |
Also Published As
Publication number | Publication date |
---|---|
JP6835703B2 (ja) | 2021-02-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6835703B2 (ja) | サイバー攻撃検知システム、特徴量選定システム、サイバー攻撃検知方法、及びプログラム | |
Karatas et al. | Increasing the performance of machine learning-based IDSs on an imbalanced and up-to-date dataset | |
Rabbani et al. | A hybrid machine learning approach for malicious behaviour detection and recognition in cloud computing | |
US10785241B2 (en) | URL attack detection method and apparatus, and electronic device | |
Karami | An anomaly-based intrusion detection system in presence of benign outliers with visualization capabilities | |
JP6622928B2 (ja) | 悪意のあるbgpハイジャックの正確なリアルタイム識別 | |
CN111565205B (zh) | 网络攻击识别方法、装置、计算机设备和存储介质 | |
Nagarajan et al. | IADF-CPS: Intelligent anomaly detection framework towards cyber physical systems | |
US9762593B1 (en) | Automatic generation of generic file signatures | |
JP6053568B2 (ja) | ネットワークフローデータプロファイルからのスパムメール送信ホストの検知方式とシステム | |
WO2019168072A1 (ja) | トラフィック異常検知装置、トラフィック異常検知方法、及びトラフィック異常検知プログラム | |
CN111382434A (zh) | 用于检测恶意文件的***和方法 | |
JP6491356B2 (ja) | 分類方法、分類装置および分類プログラム | |
Laftah Al-Yaseen et al. | Hybrid Modified K‐Means with C4. 5 for Intrusion Detection Systems in Multiagent Systems | |
CN110768946A (zh) | 一种基于布隆过滤器的工控网络入侵检测***及方法 | |
Dinh et al. | ECSD: Enhanced compromised switch detection in an SDN-based cloud through multivariate time-series analysis | |
Saurabh et al. | Nfdlm: A lightweight network flow based deep learning model for ddos attack detection in iot domains | |
CN117061254B (zh) | 异常流量检测方法、装置和计算机设备 | |
Manzano et al. | Design of a machine learning based intrusion detection framework and methodology for iot networks | |
Martins et al. | Automatic detection of computer network traffic anomalies based on eccentricity analysis | |
Sabeel et al. | Unknown, Atypical and Polymorphic Network Intrusion Detection: A Systematic Survey | |
JP2019029798A (ja) | 異常検知システム及び異常検知方法 | |
EP3799367B1 (en) | Generation device, generation method, and generation program | |
Li et al. | Improving the performance of neural networks with random forest in detecting network intrusions | |
WO2016204839A2 (en) | System and method to detect attacks on mobile wireless networks based on network controllability analysis |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191216 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201012 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201104 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201228 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210202 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210204 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6835703 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |