JP5405305B2 - タイプ2ファジーニューラルネットワークを使用したインテリジェンスネットワーク異常検出 - Google Patents
タイプ2ファジーニューラルネットワークを使用したインテリジェンスネットワーク異常検出 Download PDFInfo
- Publication number
- JP5405305B2 JP5405305B2 JP2009530667A JP2009530667A JP5405305B2 JP 5405305 B2 JP5405305 B2 JP 5405305B2 JP 2009530667 A JP2009530667 A JP 2009530667A JP 2009530667 A JP2009530667 A JP 2009530667A JP 5405305 B2 JP5405305 B2 JP 5405305B2
- Authority
- JP
- Japan
- Prior art keywords
- network
- attack
- layer
- metric
- statistics
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
- Devices For Executing Special Programs (AREA)
Description
本発明は、(プライベートネットワークに向けられた)攻撃/異常の症状を特定し、その攻撃/異常の症状がなくなり始めるまで(ネットワークデバイスによって実施可能な)段階的に強化する訂正処置を提案するための、異常検出器およびタイプ2ファジーニューラルネットワークの使用方法に関する。
現在のネットワーキングデバイス(例えば、レイヤ3イーサネット(登録商標)スイッチ)では、ネットワーク異常/攻撃を検出および訂正するために、しばしば事後分析技術または予防対策技術のいずれかを使用する。前者の場合、ネットワーキングデバイスが、大量のネットワーク統計値を収集し、次いでこの情報を外部機能に送り、組織的な攻撃/異常または望まれないネットワーク挙動の知られているパターンまたは特徴を特定する。これらのネットワーク統計値を照合、計算および分析する要求は、徹底的な量の数値演算処理および検索機能を要求するため、この外部機能は、異常/攻撃が既にネットワークに損害を与えた後にこの異常/攻撃を特定する。
後者の場合、ネットワーキングデバイスは、1組のフィルタマスク、決定木、または組織的な攻撃/異常もしくは望まれないネットワーク挙動の知られているパターンまたは特徴に対応する複雑な発見的方法でプログラムされている。これらの仕組みは、攻撃/異常の固定パターンおよび組織的パターンを追跡するのにかなり効率的な、厳重で迅速な規則を使用することによってのみ、それらの攻撃/異常を認識する。特定されると、このネットワーキングデバイスが、問題を起こす攻撃/異常の症状に対処するために適切なステップを実行する。この特定の技術は、その攻撃/異常が固定的な動作範囲を有し、よく知られている特徴を残す場合に上手く機能する。
一部のネットワーキングデバイスでは、ネットワーク異常/攻撃を検出および訂正するために、事後分析技術および予防対策技術を組み合わせて使用する。例えば、サービスの妨害、ポートスキャニングなど、最も損害を与え、認識可能な攻撃方法は、極めて独特な特徴を有するため、このタイプのネットワーキングデバイスは、これらの攻撃/異常の多くを上手く特定および訂正することができる。例えば、ネットワーク管理者は、固定的な動作範囲を示し、よく知られている特徴を残す攻撃/異常によってもたらされる問題を検出および訂正するために、1組のフィルタマスク、決定木または複雑な発見的方法を容易にプログラムすることができる。しかし、今日一般に使用されている新しいタイプの攻撃/異常は、予測可能な方法では動作せず、また独特な特徴も残さない。例えば、ネットワーク間を移動する場合に容易には特定できない活動範囲を有する新しい世代のワームがあり、容易には特定できないのは、これらの新しいワームが、ネットワーク内で移動および複製する際に自らの動作を変えさせる生物学的アルゴリズムを使用するからである。
結果として、これらのよく知られている技術は、攻撃/異常を認識し、その攻撃/異常の症状を訂正するための訂正処置を実行することができる前に、その攻撃/異常の原因に関する詳細な知識に依存するため、十分に機能しない可能性がある。さらに、これらの技術は(ネットワーク管理者が、対処したいと思う攻撃の各程度を特別に定義し、これにより実質的にその攻撃の各程度を攻撃の新しいクラスにしない限り)その攻撃/異常の程度に関係なく、離散的な訂正処置の過程をしばしば実行する必要がある。したがって、攻撃/異常(特に、変形可能なワームの新しいタイプの1つ)を検出し、その攻撃/異常の症状がなくなり始めるまで、段階的に強化する処置を提案することができる新しい技術が求められている。この要求および他の諸要求は、本発明の異常検出器および異常検出方法によって応えられている。
米国特許出願公開第2004/0250124A1号明細書は、攻撃からネットワークを保護するための方法を開示し、この方法は、ネットワークに入ってくるトラフィックの特性を測定すること、および攻撃を検出するために、その特性を少なくとも1つのファジー論理アルゴリズムを使用して分析することを含む。
発明の簡単な説明
異常検出器および2つの方法が、独立請求項1、7および11にそれぞれ説明されている。
異常検出器および2つの方法が、独立請求項1、7および11にそれぞれ説明されている。
本発明は、攻撃の症状を追跡し、その攻撃の症状がなくなり始めるまで、段階的に強化する訂正処置を提案することができる異常検出器およびタイプ2ファジーニューラルネットワークの使用方法を含む。一実施形態では、この異常検出器は、3層のタイプ2ファジーニューラルネットワークを使用し、第1の層は、複数のメンバシップ関数μ1−μiを有し、これらのメンバシップ関数は、ネットワークデバイスの「健康状態」の様々な側面に関する統計値を収集し、それらの数値を0から1の間の値を有するメトリックへと処理する。第2の層は、複数の加算器П1−Πmを有し、これら複数の加算器のそれぞれは、選択されたメンバシップ関数μ1−μiとインタフェースをとり、それらメンバシップ関数μ1−μiのメトリックを入手し、次いで(数値的ではなく、確率的)移動和を出力する。第3の層206は、複数のアグリゲータΣ1−Σkを有し、これら複数のアグリゲータのそれぞれは、選択された加算器П1−Πmからの合計を集約し、ネットワークデバイスが攻撃の症状に対処するために従うことのできる特定の処置過程を決定するために(if−then−elseテーブル内に位置する)ファジー論理制御規則と比較される、移動平均を計算する。
本発明のより完全な理解は、以下の詳細な説明を添付の図面と共に参照することにより得ることができる。
図1を参照すると、本発明により、攻撃の症状を特定し、ネットワークデバイス100がその攻撃の症状に対処するために従うことのできる段階的に強化する訂正処置を提案する異常検出器102に、ネットワークデバイス100がどのようにインタフェースをとることができるのかを説明するのに役立つ図が示されている。この例示的シナリオでは、ネットワークデバイス100が(ネットワークデバイス100内に位置することもできる)異常検出器102とインタフェースをとることにより、パブリックネットワーク106から発生する攻撃および可能な脅威からプライベートネットワーク104を保護することができる。さらに、ネットワークデバイス100が異常検出器102とインタフェースをとることにより、プライベートネットワーク104を、プライベートネットワーク104自体のユーザからの攻撃および潜在的な濫用から保護することができる。異常検出器102が、どのようにネットワーク統計値108を受け取り、それらのネットワーク統計値108を処理し、次いでプライベートネットワーク104を保護するためにネットワークデバイス100が実施可能な1つまたは複数の訂正処置110を出力するのか、を説明するために、詳細な説明を次に行う。
異常検出器102は、望ましい異常検出プロセスでのある程度の適応性を導入するために人工知能を使用するのは、新しいネットワーク攻撃(例えば変形可能なワーム)の本質がしばしば複雑であり、さらに多くの場合、不可知であるためである。一実施形態では、異常検出器102は、このある程度の適応性を、本明細書でタイプ2ファジーニューラルネットワーク112と呼ぶ、人工知能の一形態を使用することによって可能にする(図2および図3参照)。タイプ2ファジーニューラルネットワーク112は、収集されたネットワーク統計値108から取られた部分的な知識を使用して、攻撃の症状を特定および追跡してから、その攻撃の症状に対処するための段階的に強化する訂正処置110を提案することができる。したがって、タイプ2ファジーニューラルネットワーク112は、攻撃を検出し、その攻撃の症状に対処するために必要な訂正処置110を提案することができる前に、攻撃の根本的原因を推定する必要はない。
タイプ2ファジーニューラルネットワーク112は、その学習条件が、複雑な適応フィルタではなく、単純な発見的方法をベースとする点で、従来のニューラルネットワークとは異なる。これらの単純な発見的方法は、「ファジネス」と呼ばれる、適応での未定義の数値誤差を許す。この「ファジー」な性質は、複雑な適応フィルタを使用する従来のニューラルネットワークで必要とされるデータ精度を有する必要なく、異常検出器102が、一般的傾向を発見することにより把握しにくい問題を追跡できるようにする。3層の制御構造を有するタイプ2ファジーニューラルネットワーク112の例示的な一実施形態を、図2および図3に関連して次に説明する。
図2を参照すると、本発明により、攻撃の症状を特定し、その攻撃の症状がなくなり始めるまで実施することができる段階的に強化する訂正処置を提案するために異常検出器102によって使用される、例示的な3層のタイプ2ファジーニューラルネットワーク112の図が示されている。図示のように、第1の層202は、複数のメンバシップ関数μ1−μiを有し、これらのメンバシップ関数は、ネットワークデバイス100の「健康状態」の様々な側面に関する統計値108を収集し、それらの数値を0から1の間の値を有するメトリックへと処理する。第2の層204は、複数の加算器П1−Πmを有し、これら複数の加算器のそれぞれは、選択されたメンバシップ関数μ1−μiとインタフェースをとり、それらメンバシップ関数μ1−μiのメトリックを入手し、次いで(数値的ではなく、確率的)移動和を処理/出力する。第3の層206は、複数のアグリゲータΣ1−Σkを有し、これら複数のアグリゲータのそれぞれは、選択された加算器П1−Πmからの合計を集約し、ネットワークデバイス100が攻撃の症状に対処するために従うことのできる処置過程110を決定するために対応するif−then−elseテーブル2081および208k内に位置するファジー論理制御規則と比較される、移動平均を計算する。詳細には、第3の層206は、複数のif−then−elseテーブル2081および208kを有し、これら複数のif−then−elseテーブルのそれぞれは個々のアグリゲータΣ1−Σkから移動平均を受け取り、その入力に基づいてif−then−else分析を実行し、次いで、攻撃の症状に対処するためにネットワークデバイス100が実施可能な処置110を出力する。
ある特定の適用例では、各メンバシップ関数μ1−μiは、ネットワークデバイス100の特定の側面に関する統計値108を収集し、次いでネットワークデバイス100のその特定の側面の「健康状態」を表すための単一のメトリックを生成する。このメトリックは、0から1の間のスコアを有し、これは、対応するメンバシップ関数をμ∈{0..1}として表すことができることを意味する。このメトリックスコアは、論理上の最高値に対する、例えば、特定のインタフェースを通るパケット数、特定のインタフェースを通るビット数、特定のインタフェースを通るhttp接続数、等、ネットワークデバイス100が現在収集中のネットワーク統計値の分数である。例えば、μ1=ポートAの処理能力=(ポートAが送信したビット数/秒)/(ポートAの1秒あたりのリンク速度)となる。したがって、高いメトリックスコアは、より優れた健康状態を示すので、メトリックは低いスコアよりも高いスコアがより望ましい。理解できるように、メンバシップ関数が自らのμ値でどんなタイプの側面(ネットワークデバイス100に関連する統計値)を伝えることができるのかについての制限はない。さらに、ネットワーク管理者がメンバシップ関数μ1−μiを正確に定義すればするほど、異常検出器102は全体的により好ましく動作することになる。
第2の層204では、選択されたメンバシップ関数μ1−μiからのメトリックは、加算器П1−Πmのうちの1つによって合計され、総合スコアμoverallを生成する。特定の個々のメンバシップ関数μ1−μiは、総合スコアに様々な方法で影響を及ぼすことができるからである。加算器П1−Πmは、個々のメンバシップ関数μ1−μiのうちの1つまたは複数に、それら個々のメンバシップ関数μ1−μiのうちの1つまたは複数が総合スコアμoverallに対して所望の補償効果を有するように、変化する重み「w」を組み入れることができる。一例では、この総合スコアμoverallは、次式のように計算することができる(式1):
μoverall=(П(μi w(i)*μ’i w(i)))β*(1−П((1−μi)w(i)*(1−μ’i)w(i)))Y
ただし、β=Y−1、μi∈{0..1}、w(i)=μiのi番目の重み、である。
上記の式は、μiおよびμ’iの、重みを付けられた幾何平均の場合であり、ただしμiは、総合スコアμoverallに影響を与えるi番目のファクタであり、μ’iは、μiの変化率であり、すなわち、μ’i=dμi/dtとなる。
μoverall=(П(μi w(i)*μ’i w(i)))β*(1−П((1−μi)w(i)*(1−μ’i)w(i)))Y
ただし、β=Y−1、μi∈{0..1}、w(i)=μiのi番目の重み、である。
上記の式は、μiおよびμ’iの、重みを付けられた幾何平均の場合であり、ただしμiは、総合スコアμoverallに影響を与えるi番目のファクタであり、μ’iは、μiの変化率であり、すなわち、μ’i=dμi/dtとなる。
第3の層206では、重みを付けられた幾何平均(総合スコアμoverall)のうちの選択された幾何平均が、アグリゲータΣ1−Σkの1つによって合計され、その結果が、if−then−else処置の対応するテーブル2081および208kに対して比較される。図示のように、各アグリゲータΣ1−Σkは1つのテーブルとしか結合されておらず、テーブル2081および208kのそれぞれは、特定の攻撃/異常を探し、その特定の攻撃/異常の症状に対処するようにプログラムすることができる。以下は、サンプルテーブル2081および208kの表である。
上記で説明した処置110は、ネットワーキングデバイス100が、自らを攻撃/異常から保護するために実行可能なステップである。例えば、異常検出器102は、現在のトラフィックパターンに基づいて、すなわち異常検出器102の輻輳用アグリゲータΣ1が特定の閾値を超える場合に、ネットワークデバイス100の特定のインタフェース上の潜在的なネットワークの輻輳を検出する可能性がある。このアグリゲータの合計が、厳しい閾値と緩い閾値との間にある場合、アグリゲータΣ1によって引き起こされる処置110は、ネットワーキングデバイス100に、すべての後続トラフィックを低いDSCP(Differentiated Services Code Point)プライオリティで印をつけさせる可能性もある。アグリゲータの合計が厳しい閾値を超える場合、アグリゲータΣ1によって引き起こされる処置110は、ネットワーキングデバイス100に、輻輳状態にあるインタフェース上のすべての後続トラフィックを取り止めさせる可能性もある。
別の例では、ネットワーキングデバイス100は、予測パターンおよび固定間隔での、不審に大量のハイパテキスト転送プロトコル(HTTP)要求と、その後に続く少数のインターネットプロトコル(IP)アドレスからの大量のHTTPアボートに直面する可能性もある。異常検出器102は、これらの変数の両方を集約することによりこのパターンを追跡し、次いで、ネットワーキングデバイス100が実施可能な処置110を出力することにより、この問題に対処することができる。この例では、ネットワークオペレータは、この特定の異常に関する事前知識を有すると想定され、したがって、ネットワークオペレータは、メンバシップ関数μ1−μn、加算器П1−Πm、アグリゲータΣ1−Σk、ならびに/またはif−then−elseテーブル2081および208kを適切に構成することが(さらにメンバシップ関数μ1−μnに重みを付けることも)できる。あるいは、予期しない攻撃/異常を検出および対処するために、異常検出器102を使用することもできる(この特定の機能については、以下でより詳細に説明する)。
実例的な一実施形態では、3層のタイプ2ファジーニューラルネットワーク112を、既に莫大な統計値を維持する、例えばレイヤ3イーサネット(登録商標)スイッチ100など、1つのネットワーキング機器100の1つに実装することができる。この場合、第1の層のメンバシップ関数μ1−μiは、周期的にこれらの統計値を取得し、取得したそれらの値をメトリック/分数へと変換し、変換したメトリック/分数は、1つまたは複数の第2の層の加算器П1−Πm中に供給される。例えば、メンバシップ関数の1つμ1は、1秒あたりにインタフェースを通過するビット数に関連する統計値を取得し、この値をポート速度に対して除算して、リンクの利用率を表すことになる{0..1}の間のメトリック/分数を生成する。第1のメトリック/分数(μ1)を計算することに加え、第1の層のメンバシップ関数μ1は、そのメトリック/分数の時間差(μ1’)も計算するであろう。この計算を行うために、例えば、メンバシップ関数μ1は、連続する各μ1(t)ポイントの傾きを計算し、三角法的に角度値をエキストラクトし、その角度を2πに対して除算することができる。
その後、第2の層の加算器П1−Πmは、メトリック/分数(μ1−μi)およびメトリック/分数(μ1−μi)の対応する時間差メトリック/分数(μ1’−μi’)
の固有のセットをそれぞれ受け取り、重みを付けられた幾何平均μoverallを、(例えば)式1に基づいて計算する。所望の場合、加算器П1−Πmは、メトリック/分数(μ1−μi)のそれぞれに0から1の間の数値で重みを付けることもできる。メトリック/分数(μ1−μi)に割り当てられた重みは、対応するメンバシップ関数μ1−μiの相対的重要度を示す。例えば、ネットワークの輻輳を追跡したい場合、リンクの利用率は、開いているTCP(伝送制御プロトコル)接続の数よりも高いパワーで重みを付けられるであろう。当然、タイプ2ファジーニューラルネットワーク112は、メンバシップ関数μ1−μiに割り当てられた重みとは関係なく収束する。しかし、メンバシップ関数μ1−μiが不適切に選択された重みを有する場合よりはむしろ、メンバシップ関数μ1−μiが適切に選択された重みを有する場合、タイプ2ファジーニューラルネットワーク112はより早く適応するであろう。最後に、加算器П1−Πmは、第3の層のアグリゲータΣ1−Σkのうちの選択されたアグリゲータに自らの出力μoverallを供給し、選択されたアグリゲータのそれぞれは、受け取ったμoverallを集約し、ネットワークデバイス100が攻撃の症状に対処するために実施可能な特定の処置過程110を決定するために(対応するif−then−elseテーブル2081および208k内に位置する)ファジー論理制御規則と比較される、移動平均を計算する。
の固有のセットをそれぞれ受け取り、重みを付けられた幾何平均μoverallを、(例えば)式1に基づいて計算する。所望の場合、加算器П1−Πmは、メトリック/分数(μ1−μi)のそれぞれに0から1の間の数値で重みを付けることもできる。メトリック/分数(μ1−μi)に割り当てられた重みは、対応するメンバシップ関数μ1−μiの相対的重要度を示す。例えば、ネットワークの輻輳を追跡したい場合、リンクの利用率は、開いているTCP(伝送制御プロトコル)接続の数よりも高いパワーで重みを付けられるであろう。当然、タイプ2ファジーニューラルネットワーク112は、メンバシップ関数μ1−μiに割り当てられた重みとは関係なく収束する。しかし、メンバシップ関数μ1−μiが不適切に選択された重みを有する場合よりはむしろ、メンバシップ関数μ1−μiが適切に選択された重みを有する場合、タイプ2ファジーニューラルネットワーク112はより早く適応するであろう。最後に、加算器П1−Πmは、第3の層のアグリゲータΣ1−Σkのうちの選択されたアグリゲータに自らの出力μoverallを供給し、選択されたアグリゲータのそれぞれは、受け取ったμoverallを集約し、ネットワークデバイス100が攻撃の症状に対処するために実施可能な特定の処置過程110を決定するために(対応するif−then−elseテーブル2081および208k内に位置する)ファジー論理制御規則と比較される、移動平均を計算する。
図3を参照すると、本発明により、例示的な3層のタイプ2ファジーニューラルネットワーク112が、プライベートネットワーク104の保護を支援するためにどのように機能するかについて、異なる方法で説明するために使用する図が示されている。ステップ302では、第1の層のエンティティ202が、統計値を収集し、収集した値を、ファジー論理計算を使用することによって操作可能な分数値に処理することにより、システム状況を監視するように機能する。ステップ304では、第2の層のエンティティ204が、推論結果を導くために様々な統計値を結び付けるように機能する。ステップ306では、第3の層のエンティティ206(1つのΣ1および1つのif−then−elseテーブル2081のみを示す)が、第2の層の選択されたエンティティ204から受け取った一連の推量を使用して、ネットワークデバイス100が、プライベートネットワーク104を保護するためにどんな処置110を実行することができるのかを決定するように機能する。
タイプ2ファジーニューラルネットワーク112を使用する利点は、将来の攻撃およびネットワーク問題について学習するように、タイプ2ファジーニューラルネットワーク112を訓練することができることである。例えば、ネットワーク管理者が、パブリックネットワーク106上で新しいワーム攻撃が急激に増加することを予期する場合、ネットワーク管理者は疑わしいワームを実験的なネットワークに解放し、この仕組みを使用して攻撃パターンを追跡することができる。その後、ネットワーク管理者は、この新しく学習されたパターンを、活動している異常検出器102にプログラムすることができ、したがって、プライベートネットワーク104はそのような攻撃に対して予防接種されることになる。オペレータは、次の2つの方法でこの予防接種を行うことができる:(1)オペレータが、差し迫った攻撃を遮断することができる処置で規則テーブル2081−208kを修正することができ、および/または(2)オペレータが、1つまたは複数のメンバシップ関数μ1−μi(例えば、測定値の重み)を更新、または新しい1つまたは複数のメンバシップ関数を追加することにより、第2の層204がどのように1つまたは複数の測定値を評価するのかを変えることができる。
別の例では、ネットワーク管理者が、新しい攻撃/異常を探すようにタイプ2ファジーニューラルネットワーク112を訓練したい場合、ネットワーク管理者は、if−then−elseテーブルのうちの1つ2081を、処置を実行せず、対応するアグリゲータΣ1からの出力を単純に監視するようにプログラムすることができる。次いで、ネットワーク管理者は、その特定の新しい攻撃/異常に適合した特定の処置のセットを設計することができる。さらに、タイプ2ファジーニューラルネットワーク112が、特定の脅威を防御するように訓練されている場合、ファジーパラメータの修正と共に、訓練プロセス自体も、前例のない攻撃を防御するのを支援することができる。ファジーニューラルネットワーク112が、これらの予期しない攻撃を「有害」と判断し、応答を実行するためには、これらの予期しない攻撃は、知られている攻撃に関連する同一要素の一部を共有するだけでよい。これらの要素は、測定および容易に特定することができ(例えば、これらの要素は特定のトラフィックタイプの1秒あたりのパケットとすることができる)、これらの要素をこの仕組みが多く集約すればするほど、ますます多様なタイプの予期しない攻撃を特定することができる。
本発明の一実施形態を添付の図面に示し、上記の詳細な説明に記載したが、当然のことながら、本発明は開示した実施形態に限定されず、添付の特許請求の範囲によって規定および定義された本発明の精神から逸脱することなく、多くの再配置、修正および代用が可能である。
Claims (9)
- レイヤ3イーサネットデバイスであって、
タイプ2ファジーニューラルネットワークを実行する命令を格納するメモリを有し、命令は、レイヤ3イーサネットデバイスに、
ネットワークデバイスからネットワーク統計値を受信し、
統計値を処理して1つまたは複数のメトリックを生成し、1つ又は複数のメトリックの各々は、受信した統計値のそれぞれの理論上の最高値で受信した統計値のそれぞれを除算して得られた分数であるスコアにより表わされ、
複数の加算器を使用して1つまたは複数のメトリックから1つまたは複数のメトリックの和を生成し、各メトリックの和が、メトリックのそれぞれとメトリックのそれぞれの変化率の重みを付けられた幾何平均であり、
複数のアグリゲータを使用して、1つまたは複数のメトリック和を集約し、及び移動平均を生成し、
少なくとも1つの攻撃の症状を特定するために移動平均を制御規則と比較し、
比較に基づいて、少なくとも1つの訂正処置を決定し、
少なくとも1つの訂正処置をネットワークデバイスに送り、
少なくとも1つの症状がもはや検出されなくなるまで、少なくとも1つの訂正処置をエスカレートする、
ように動作させることが可能である、レイヤ3イーサネットデバイス。 - 前記受信したネットワーク統計値が、
ネットワークデバイス上の特定のインタフェースを通るパケット数、
前記ネットワークデバイス上の特定のインタフェースを通るビット数、または
前記ネットワークデバイス上の特定のインタフェースを通るHTTP接続数
を含む、請求項1に記載のレイヤ3イーサネットデバイス。 - 前記攻撃が、複数の生物学的アルゴリズムを実行する変形ワームである、請求項1に記載のレイヤ3イーサネットデバイス。
- 前記攻撃が、予期しない攻撃である、請求項1に記載のレイヤ3イーサネットデバイス。
- 前記攻撃が、予期された攻撃である、請求項1に記載のレイヤ3イーサネットデバイス。
- ネットワーク攻撃の症状への対処方法であって、
タイプ2ファジーニューラルネットワークを含むレイヤ3イーサネットデバイスを使用して、ネットワークデバイスから複数のネットワーク統計値を収集し、
収集済みネットワーク統計値をその理論上の最高値で除算して得られた分数であるメトリックに、各収集済みネットワーク統計値を処理し、
複数の加算器を使用してメトリックから1つまたは複数のメトリックの和を生成し、各メトリックの和が、メトリックのそれぞれとメトリックのそれぞれの変化率の重みを付けられた幾何平均であり、
複数のアグリゲータを使用して、1つまたは複数のメトリックの和を集約し、及び移動平均を計算し、
攻撃の症状に対処するための処置を決定するために、移動平均を決定規則テーブルの値と比較する、
ことを含む、方法。 - 収集済みネットワーク統計値及び移動平均を審査した後に、攻撃の症状により適切に対処するために、決定規則テーブルを改訂することさらに含む、請求項6に記載の方法。
- 前記収集済みネットワーク統計値が、
前記ネットワークデバイスの特定のインタフェースを通るパケット数、
前記ネットワークデバイスの特定のインタフェースを通るビット数、または
前記ネットワークデバイスの特定のインタフェースを通るHTTP接続数
を含む、請求項6に記載の方法。 - 前記攻撃が、複数の生物学的アルゴリズムを実行する変形ワームである、請求項6に記載の方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/536,842 | 2006-09-29 | ||
| US11/536,842 US20080083029A1 (en) | 2006-09-29 | 2006-09-29 | Intelligence Network Anomaly Detection Using A Type II Fuzzy Neural Network |
| PCT/US2007/080023 WO2008042824A2 (en) | 2006-09-29 | 2007-09-29 | Intelligence network anomaly detection using a type ii fuzzy neural network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010506460A JP2010506460A (ja) | 2010-02-25 |
| JP5405305B2 true JP5405305B2 (ja) | 2014-02-05 |
Family
ID=39156334
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009530667A Expired - Fee Related JP5405305B2 (ja) | 2006-09-29 | 2007-09-29 | タイプ2ファジーニューラルネットワークを使用したインテリジェンスネットワーク異常検出 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20080083029A1 (ja) |
| EP (1) | EP2082555B1 (ja) |
| JP (1) | JP5405305B2 (ja) |
| KR (1) | KR101323074B1 (ja) |
| CN (1) | CN101523848B (ja) |
| ES (1) | ES2602802T3 (ja) |
| WO (1) | WO2008042824A2 (ja) |
Families Citing this family (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7877644B2 (en) * | 2007-04-19 | 2011-01-25 | International Business Machines Corporation | Computer application performance optimization system |
| US8291495B1 (en) * | 2007-08-08 | 2012-10-16 | Juniper Networks, Inc. | Identifying applications for intrusion detection systems |
| CN101873638B (zh) * | 2010-07-15 | 2013-04-17 | 吉林大学 | 基于模糊神经网络的异构无线网络接入选择方法 |
| US20140068761A1 (en) * | 2012-09-06 | 2014-03-06 | Microsoft Corporation | Abuse identification of front-end based services |
| US9191400B1 (en) * | 2013-06-12 | 2015-11-17 | The United States Of America, As Represented By The Secretary Of The Navy | Cyphertext (CT) analytic engine and method for network anomaly detection |
| US9563854B2 (en) | 2014-01-06 | 2017-02-07 | Cisco Technology, Inc. | Distributed model training |
| US9450978B2 (en) | 2014-01-06 | 2016-09-20 | Cisco Technology, Inc. | Hierarchical event detection in a computer network |
| US9870537B2 (en) | 2014-01-06 | 2018-01-16 | Cisco Technology, Inc. | Distributed learning in a computer network |
| CN103957203B (zh) * | 2014-04-19 | 2015-10-21 | 盐城工学院 | 一种网络安全防御*** |
| US10038713B2 (en) * | 2014-05-06 | 2018-07-31 | Cisco Technology, Inc. | Predicted attack detection rates along a network path |
| US9230104B2 (en) | 2014-05-09 | 2016-01-05 | Cisco Technology, Inc. | Distributed voting mechanism for attack detection |
| US9559918B2 (en) | 2014-05-15 | 2017-01-31 | Cisco Technology, Inc. | Ground truth evaluation for voting optimization |
| US9641542B2 (en) | 2014-07-21 | 2017-05-02 | Cisco Technology, Inc. | Dynamic tuning of attack detector performance |
| US9705914B2 (en) | 2014-07-23 | 2017-07-11 | Cisco Technology, Inc. | Signature creation for unknown attacks |
| US9686312B2 (en) * | 2014-07-23 | 2017-06-20 | Cisco Technology, Inc. | Verifying network attack detector effectiveness |
| US9407646B2 (en) | 2014-07-23 | 2016-08-02 | Cisco Technology, Inc. | Applying a mitigation specific attack detector using machine learning |
| US9450972B2 (en) | 2014-07-23 | 2016-09-20 | Cisco Technology, Inc. | Network attack detection using combined probabilities |
| US9800592B2 (en) | 2014-08-04 | 2017-10-24 | Microsoft Technology Licensing, Llc | Data center architecture that supports attack detection and mitigation |
| US10217017B2 (en) * | 2015-09-17 | 2019-02-26 | Board Of Regents, The University Of Texas System | Systems and methods for containerizing multilayer image segmentation |
| CN106789831B (zh) * | 2015-11-19 | 2020-10-23 | 阿里巴巴集团控股有限公司 | 识别网络攻击的方法和装置 |
| CN105517070B (zh) * | 2015-12-25 | 2019-03-22 | 上海交通大学 | 基于用户使用习惯的异构网络切换方法 |
| WO2018008605A1 (ja) * | 2016-07-04 | 2018-01-11 | 株式会社Seltech | 人工知能を有するシステム |
| CN107645478B (zh) * | 2016-07-22 | 2020-12-22 | 阿里巴巴集团控股有限公司 | 网络攻击防御***、方法及装置 |
| KR101927100B1 (ko) * | 2016-10-17 | 2018-12-10 | 국민대학교산학협력단 | 순환 신경망 기반 네트워크 패킷의 위험요소 분석 방법, 이를 수행하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치 |
| US10397258B2 (en) * | 2017-01-30 | 2019-08-27 | Microsoft Technology Licensing, Llc | Continuous learning for intrusion detection |
| US10887341B2 (en) * | 2017-03-06 | 2021-01-05 | Radware, Ltd. | Detection and mitigation of slow application layer DDoS attacks |
| KR102413096B1 (ko) | 2018-01-08 | 2022-06-27 | 삼성전자주식회사 | 전자 장치 및 그 제어 방법 |
| CN108897334B (zh) * | 2018-07-19 | 2020-03-17 | 上海交通大学 | 一种基于模糊神经网络的仿昆虫扑翼飞行器姿态控制方法 |
| US11050770B2 (en) * | 2018-08-02 | 2021-06-29 | Bae Systems Information And Electronic Systems Integration Inc. | Network defense system and method thereof |
| CN110719289B (zh) * | 2019-10-14 | 2020-12-22 | 北京理工大学 | 一种基于多层特征融合神经网络的工控网络入侵检测方法 |
| CN110995761B (zh) * | 2019-12-19 | 2021-07-13 | 长沙理工大学 | 检测虚假数据注入攻击的方法、装置及可读存储介质 |
| US11743272B2 (en) * | 2020-08-10 | 2023-08-29 | International Business Machines Corporation | Low-latency identification of network-device properties |
| US12045713B2 (en) | 2020-11-17 | 2024-07-23 | International Business Machines Corporation | Detecting adversary attacks on a deep neural network (DNN) |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| NZ516346A (en) * | 2001-12-21 | 2004-09-24 | Esphion Ltd | A device for evaluating traffic on a computer network to detect traffic abnormalities such as a denial of service attack |
| JP2004312064A (ja) * | 2003-02-21 | 2004-11-04 | Intelligent Cosmos Research Institute | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム |
| US7681235B2 (en) * | 2003-05-19 | 2010-03-16 | Radware Ltd. | Dynamic network protection |
| CN1555156A (zh) * | 2003-12-25 | 2004-12-15 | 上海交通大学 | 基于自组织映射网络的自适应入侵检测方法 |
| JP4509904B2 (ja) * | 2005-09-29 | 2010-07-21 | 富士通株式会社 | ネットワークセキュリティ装置 |
| CN1809000A (zh) * | 2006-02-13 | 2006-07-26 | 成都三零盛安信息***有限公司 | 一种网络入侵的检测方法 |
-
2006
- 2006-09-29 US US11/536,842 patent/US20080083029A1/en not_active Abandoned
-
2007
- 2007-09-29 KR KR1020097006465A patent/KR101323074B1/ko not_active IP Right Cessation
- 2007-09-29 EP EP07843575.7A patent/EP2082555B1/en not_active Not-in-force
- 2007-09-29 JP JP2009530667A patent/JP5405305B2/ja not_active Expired - Fee Related
- 2007-09-29 CN CN2007800365013A patent/CN101523848B/zh not_active Expired - Fee Related
- 2007-09-29 ES ES07843575.7T patent/ES2602802T3/es active Active
- 2007-09-29 WO PCT/US2007/080023 patent/WO2008042824A2/en active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| KR20090058533A (ko) | 2009-06-09 |
| EP2082555B1 (en) | 2016-08-17 |
| CN101523848A (zh) | 2009-09-02 |
| EP2082555A2 (en) | 2009-07-29 |
| WO2008042824A2 (en) | 2008-04-10 |
| ES2602802T3 (es) | 2017-02-22 |
| CN101523848B (zh) | 2013-03-27 |
| US20080083029A1 (en) | 2008-04-03 |
| JP2010506460A (ja) | 2010-02-25 |
| WO2008042824A3 (en) | 2008-05-22 |
| KR101323074B1 (ko) | 2013-10-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5405305B2 (ja) | タイプ2ファジーニューラルネットワークを使用したインテリジェンスネットワーク異常検出 | |
| Fernandes et al. | A comprehensive survey on network anomaly detection | |
| Karami | An anomaly-based intrusion detection system in presence of benign outliers with visualization capabilities | |
| Prasad et al. | DoS and DDoS attacks: defense, detection and traceback mechanisms-a survey | |
| Shameli-Sendi et al. | Taxonomy of intrusion risk assessment and response system | |
| Alrashdi et al. | FBAD: Fog-based attack detection for IoT healthcare in smart cities | |
| Van Efferen et al. | A multi-layer perceptron approach for flow-based anomaly detection | |
| Alkasassbeh | A novel hybrid method for network anomaly detection based on traffic prediction and change point detection | |
| Letteri et al. | Security in the internet of things: botnet detection in software-defined networks by deep learning techniques | |
| Al-Naymat et al. | Accurate detection of network anomalies within SNMP-MIB data set using deep learning | |
| Berral et al. | Adaptive distributed mechanism against flooding network attacks based on machine learning | |
| El-Alfy et al. | A multicriterion fuzzy classification method with greedy attribute selection for anomaly-based intrusion detection | |
| CN106663040A (zh) | 用于计算机网络业务中的信任异常检测的方法及*** | |
| Saied et al. | Artificial neural networks in the detection of known and unknown DDoS attacks: proof-of-concept | |
| Wang et al. | Source-based defense against DDoS attacks in SDN based on sFlow and SOM | |
| Wang et al. | Efficient detection of DDoS attacks with important attributes | |
| Kashyap et al. | A DDoS attack detection mechanism based on protocol specific traffic features | |
| Tang et al. | A detection and mitigation scheme of LDoS Attacks via SDN Based on the FSS-RSR Algorithm | |
| Alanazi et al. | Intrusion detection system: overview | |
| Hariri et al. | Quality-of-protection (QoP)-an online monitoring and self-protection mechanism | |
| Saidi et al. | Fuzzy logic based intrusion detection system as a service for malicious port scanning traffic detection | |
| Murthy et al. | Hybrid intelligent intrusion detection system using bayesian and genetic algorithm (baga): comparitive study | |
| Hughes et al. | Policy-based profiles for network intrusion response systems | |
| Ghafari et al. | SDN-based Deep Anomaly Detection for Securing Cloud Gaming Servers | |
| Altangerel et al. | A 1D CNN-based model for IoT anomaly detection using INT data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100927 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120423 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120529 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120828 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120904 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20121102 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121115 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20121203 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130604 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130903 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131001 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131030 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees | ||
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R371 | Transfer withdrawn |
Free format text: JAPANESE INTERMEDIATE CODE: R371 |