発明の名称 ： 識別装置及び識別プログラム

技術分野

[0001] 本発明は、 識別装置及び識別プログラムに関する。

背景技術

[0002] 従来、 トラフィックデータを分析するための手法が 知られている。 例えば 、 バケッ トデータの情報を用いてフローデータにプロ トコルを表すラベルを 付与する手法が知られている (例えば、 非特許文献 1 を参照) 。 また、 トラ フィックデータから抽出した特徴を D N N (Deep Neural Network) により 分析する手法が知られている (例えば、 非特許文献 2を参照) 。

先行技術文献

非特許文献

[0003] 非特許文献 1 : Thomas Karagiannis, Konstant i na Papagiannaki, Michal is Fa loutsos, BLINC: Multi level Traffic Classification in the Dark.

非特許文献 2 : Zh i tang Chen, Ke He, Jian Li and Yanhui Geng, S eq2Img : A Sequence-to-Image based Approach Towards IP Traffic Classification using Convolutional· Neural Networks, 2017 IEEE International Conference on Big Data (BIGDATA) .

発明の概要

発明が解決しようとする課題

[0004] しかしながら、 従来の手法には、 フローデータを詳細に分析可能なラベル の付加を自動的に行うことが困難な場合があ るという問題がある。 例えば、 非特許文献 1 に記載の手法では、 プロトコルレべルでのラベルの付与しかで きず、 フローデータの詳細な分析は困難である。 また、 非特許文献 2に記載 の手法は、 バケッ トデータの特徴からアプリケーションを識別 しているに過 ぎず、 パケッ トデータと比べて得られる情報の少ないフロ ーデータの分析を \¥02020/175165 2 卩（：170?2020/005652

行うことは困難である。

課題を解決するための手段

［0005］ 上述した課題を解決し、 目的を達成するために、 識別装置は、 トラフィッ クデータに含まれるバケッ トデータのヘッダ情報と、 前記バケッ トデータに 対応するアプリケーシヨンのカテゴリを表す ラベルとを対応付けたシグネチ ヤを生成するシグネチヤ生成部と、 前記バケッ トデータからフローデータを 生成するフローデータ生成部と、 前記シグネチヤ及び前記フローデータのへ ッダ情報を基に、 前記フローデータにラベルを付加する付加部 と、 前記フロ —データの特徴量を計算する計算部と、 前記ラベル、 及び前記ラベルが付加 されたフローデータの前記特徴量を用いて、 特徴量からラベルを予測するモ デルの学習を行う学習部と、 を有することを特徴とする。

発明の効果

［0006］ 本発明によれば、 フローデータを詳細に分析可能なラベルの付 加を自動的 に行うことができる。

図面の簡単な説明

［0007］ ［図 1］図 1は、 第 1の実施形態に係るネッ トワークシステムの構成の一例を示 す図である。

［図 2］図 2は、 第 1の実施形態に係る識別装置の構成の一例を� �す図である。 ［図 3］図 3は、 シグネチヤの一例を示す図である。

［図 4］図 4は、 悪性通信の検知について説明するための図で ある。

［図 5］図 5は、 第 1の実施形態に係る識別装置の学習処理の流� �を示すフロー チヤートである。

［図 6］図 6は、 第 1の実施形態に係る識別装置の予測処理の流� �を示すフロー チヤートである。

［図 7］図 7は、 識別プログラムを実行するコンビュータの一 例を示す図である

発明を実施するための形態 \¥02020/175165 3 卩（：170?2020/005652

[0008] 以下に、 本願に係る識別装置及び識別プログラムの実 施形態を図面に基づ いて詳細に説明する。 なお、 本発明は、 以下に説明する実施形態により限定 されるものではない。

[0009] [第 1の実施形態の構成]

第 1の実施形態の識別装置は、 フローデータに対して、 当該フローデータ を発生させたアプリケーシヨンのカテゴリを 表すラベルを付加するものであ る。 また、 識別装置は、 フローデータに付加するラベルを予測するた めの識 別器の学習を行う。 なお、 識別器は、 特徴量からラベルを予測するモデルの —例である。

[0010] 図 1 を用いて、 識別装置を有するネッ トワークシステムの構成を説明する 。 図 1は、 第 1の実施形態に係るネッ トワークシステムの構成の一例を示す 図である。 図 1 に示すように、 識別装置 小規模 （ 《¾〇「1〇 か ら、 パケッ トデータ （ 301^1；） とフローデータ （^11401/0 を受け取る。 そし て、 識別装置 1 は、 受け取ったパケッ トデータとフローデータを用いて 識別器の学習を行い、 学習済みの識別器を出力する。

[001 1 ] 識別装置 1 〇匕は、 バックボーン からフローデータを受け取る。 そし て、 識別装置 1 〇匕は、 識別装置 1 〇 3によって出力された識別器を使って 、 受け取ったフローデータに付加するラベルを 予測する。

[0012] このように、 第 1の実施形態の識別装置によれば、 小規模なネッ トワーク で学習を行った結果を用いて、 大規模なネッ トワークであるバックボーン \/\/のフローデータの分析を行うことができ� �。 さらに、 フローデータからア プリケーシヨンを識別し、 可視化することにより、 ネッ トワーク状態の把握 及び障害発生時の初期分析等が可能になる。

[0013] パケッ トデータは、 パケッ トのヘッダ及びペイロードの情報である。 また 、 フローデータは、 の 5 - 1叩[6情報を共有するパケッ トグループ、 すなわちフ 口一の統計情報である。 例えば、 フローデータは、 フローに含まれるバケッ 卜の数、 各バケッ トのバイ ト数、 及びそれらの平均等の計算値を含んでいて もよい。 \¥02020/175165 4 卩（：170?2020/005652

[0014] アプリケーシヨン識別のために教師あり学習 で識別器を生成する場合、 大 量のデータと各データポイントに対応したラ ベルが必要となる。 しかし、 フ 口ーデータには丨 アドレスやポート番号等の簡易な情報しか含 まれない。 このため、 従来、 自動的なラベルの付加は難しく精度も低かっ た。 また、 対 象ネッ トワークの規模が大きいほど、 バケッ トデータの収集及び分析にかか る負荷は高く、 大規模なネッ トワークでは適用が難しい。 このため、 第 1の 実施形態のように、 パケッ トデータを用いることなく、 フローデータのみか らアプリケーシヨンのカテゴリを特定するこ とは有用である。

[0015] 第 1の実施形態によれば、 例えば小規模なネッ トワークで得られた少量の バケッ トデータを用いて学習した識別器を用いて、 大規模なネッ トワークの フローデータへのラベルの付加が可能になる 。 その際に、 大規模なネッ トワ —クのバケッ トデータを収集することは不要である。

[0016] 図 1 を用いて、 第 1の実施形態に係る識別装置の構成について� �明する。

図 1は、 第 1の実施形態に係る識別装置の構成の一例を� �す図である。 図 1 に示すように、 識別装置 1 0は、 入力部 1 1、 フローデータ生成部 1 3 1、 シグネチヤ生成部 1 3 2、 アプリケーシヨンシグネチヤ 0巳 1 3 3、 付加部 1 3 4、 計算部 1 3 5、 学習部 1 3 6、 識別モデル 0巳 1 2 2、 予測部 1 3 7及び出力部 1 4を有する。

[0017] 入力部 1 1 には、 トラフィックデータ 2 1が入力される。 トラフィックデ —夕 2 1は、 機器 2 0から収集されるパケッ トデータ及びフローデータ である。 また、 識別モデルロ巳 1 2 2には、 初期状態では、 生成済みの学習 済みモデルが格納される。 なお、 識別装置 1 0は、 初期状態のモデルを外部 から得ることなく、 乱数等を使って生成してもよい。

[0018] 出力部 1 4は、 予測結果として、 フローデータごとのラベルの予測値を出 力する。 また、 モデルがラベルごとの確率を出力するもので ある場合、 出力 部 1 4は、 ラベルごとの予測確率を出力してもよい。

[0019] 識別装置 1 0の各処理部の処理を、 学習フェーズと予測フェーズに分けて 説明する。 なお、 識別装置 1 〇は、 各処理部のうち学習に必要な処理部を持 つ学習装置、 及び各処理部のうち予測に必要な処理部を持 つ予測装置により 実現されてもよい。

[0020] （学習フェーズ）

学習フェーズにおいては、 バケッ トデータ及びフローデータを含むトラフ ィックデータが入力部 1 1 に入力される。 フローデータ生成部 1 3 1は、 パ ケッ トデータからフローデータを生成する。

[0021 ] シグネチヤ生成部 1 3 2は、 トラフィックデータに含まれるパケッ トデー 夕のヘッダ情報と、 バケッ トデータに対応するアプリケーションのカテ ゴリ を表すラベルとを対応付けたシグネチヤを生 成する。

[0022] シグネチヤ生成部 1 3 2は、 パケッ トデータのペイロード情報を基に、 当 該バケッ トデータに対応するアプリケーションのカテ ゴリを特定することが できる。 なお、 対応するパケッ トデータのアプリケーションとは、 例えば、 当該バケッ トデータをクライアントに送信するアプリケ ーション、 及び当該 バケッ トデータをクライアントから受信するアプリ ケーションである。

[0023] また、 シグネチヤ生成部 1 3 2は、 D P I （Deep Packet Inspect i on） 装置により分析して得られる情報を基に、 当該バケッ トデータに対応するア プリケーションのカテゴリを特定することが できる。 シグネチヤ生成部 1 3 2は、 D P 丨装置と同等の機能を有していてもよい。

[0024] シグネチヤ生成部 1 3 2は、 バケッ トデータの送信元丨 Pアドレス、 送信 元ポート番号、 宛先丨 Pアドレス及び宛先ポート番号の組と、 ラベルとを対 応付けたシグネチヤを生成する。 そして、 シグネチヤ生成部 1 3 2は、 生成 したシグネチヤをアプリケーションシグネチ ヤ D Bに格納する。

[0025] 図 3は、 シグネチヤの一例を示す図である。 図 3に示すように、 アプリケ —ションのカテゴリを表すラベルは、 例えば 「V i deo」 、 「SNS」 、 「（Uoud」

、 「Ma i l」 等である。 例えば、 図 3の 1行目のシグネチヤは、 送信元丨 Pア ドレスが 「192. 0. 2. 10」 、 送信元ポート番号が 「80」 、 宛先丨 Pアドレスが 「192. 0. 2. 20」 、 宛先ポート番号が 「32768」 であるバケッ トデータ又はフロ —データに対応するラベルが 「V i deo」 であることを表している。 \¥02020/175165 6 卩（：170?2020/005652

[0026] 付加部 1 3 4は、 シグネチヤ及びフローデータのヘッダ情報を 基に、 フロ —データにラベルを付加する。 例えば、 付加部 1 3 4は、 図 3に示すシグネ チヤを参照し、 送信元丨 アドレスが 「192. 0. 2. 10」 、 送信元ポート番号が 「80」 、 宛先丨 アドレスが 「192. 0. 2. 20」 、 宛先ポート番号が 「32768」 で あるフローデータに、 ラベル 「 _1〇160」 を付加する。

[0027] 計算部 1 3 5は、 フローデータの特徴量を計算する。 ここでは、 計算部 1

3 5は、 送信元丨 アドレス又は宛先丨 アドレスごとのフロー数、 1パケ ッ トあたりの送受信バイ ト数の平均、 1 フローあたりのバケッ ト数の少なく ともいずれかを特徴量として計算する。

[0028] シグネチヤ生成部 1 3 2が、 送信元 I アドレス、 送信元ポート番号、 宛 先丨 アドレス及び宛先ポート番号ごとにラベルを 対応付けるのに対し、 計 算部 1 3 5は、 送信元丨 アドレスごと、 又は宛先丨 アドレスごとにフロ —データを集約し特徴量を計算する。 ここまでの処理により、 ラベルと特徴 量が対応付けられる。

[0029] 学習部 1 3 6は、 ラベル、 及びラベルが付加されたフローデータの特徴 量 を用いて、 特徴量からラベルを予測するモデルの学習を 行う。 例えば、 モデ ルが特徴量からラベルを予測する口 1\1である場合、 学習部 1 3 6は0 の学習を行う。 そして、 学習部 1 3 6は、 更新したモデルのパラメータを識 別モデルロ巳 1 2 2に格納する。 例えば、 学習部 1 3 6は、 0 1\1を構築す るための重みやバイアス等のパラメータを識 別モデルロ巳 1 2 2に格納する

[0030] （予測フェーズ）

学習フェーズにおいては、 フローデータを含むトラフィックデータが入 力 部 1 1 に入力される。 そして、 計算部 1 3 5は、 トラフィックデータに含ま れるフローデータの特徴量を計算する。

[0031 ] また、 予測部 1 3 7は、 特徴量からアプリケーシヨンのカテゴリを表 すラ ベルを予測する学習済みのモデルを用いて、 フローデータに対応するラベル を予測する。 予測部 1 3 7は、 識別モデルロ巳に格納されているパラメータ を基に構築した D N Nを用いて予測を行うことができる。

[0032] 図 4に示すように、 識別装置 1 0の予測フェーズの処理によれば、 悪性通 信の検知を補助することができる。 図 4は、 悪性通信の検知について説明す るための図である。 図 4に示すように、 悪性通信が含まれている可能性があ る、 識別対象のトラフィックデータが識別装置 1 〇に入力される。 そして、 識別装置 1 〇は、 各トラフィックデータのラベルを予測する。 このとき、 識 別装置 1 0によってラベルを予測できなかったトラフ� �ックデータ （Unknown ） が存在する場合がある。 このとき、 ラベルが予測されたトラフィックデー 夕を除外することで、 悪性通信の検知を効率良く行うことが可能に なる。

[0033] [第 1の実施形態の処理]

図 5を用いて、 識別装置 1 0の学習処理の流れについて説明する。 図 5は 、 第 1の実施形態に係る識別装置の学習処理の流� �を示すフローチヤートで ある。 図 5に示すように、 まず、 識別装置 1 0は、 フローデータ及びバケッ トデータの入力を受け付ける （ステップ S 1 1） 。 次に、 識別装置 1 0は、 バケッ トデータからアプリケーシヨンのカテゴリの シグネチヤを生成する （ ステップ S 1 2） 。

[0034] ここで、 識別装置 1 0は、 パケッ トデータからフローデータを生成する （ ステップ S 1 3） 。 そして、 識別装置 1 0は、 シグネチヤに基づくラベルを 特徴量に付加する （ステップ S 1 4） 。 さらに、 識別装置 1 0は、 入力され たフローデータ及び生成したフローデータか ら特徴量を計算する （ステップ S 1 5） 。 そして、 識別装置 1 0は、 ラベルが付加された特徴量を用いて識 別モデルの学習を行う （ステップ S 1 6） 。

[0035] 図 6を用いて、 識別装置 1 0の予測処理の流れについて説明する。 図 6は 、 第 1の実施形態に係る識別装置の予測処理の流� �を示すフローチヤートで ある。 図 6に示すように、 まず、 識別装置 1 0は、 フローデータの入力を受 け付ける （ステップ S 2 1） 。 次に、 識別装置 1 0は、 入力されたフローデ —夕から特徴量を計算する （ステップ S 2 2） 。 そして、 識別装置 1 0は、 識別モデルを使って、 特徴量のラベルを予測する （ステップ S 2 3） 。 \¥02020/175165 8 卩（：170?2020/005652

[0036] [第 1の実施形態の効果]

これまで説明したように、 シグネチヤ生成部 1 3 2は、 トラフィックデー 夕に含まれるバケッ トデータのヘッダ情報と、 バケッ トデータに対応するア プリケーシヨンのカテゴリを表すラベルとを 対応付けたシグネチヤを生成す る。 また、 フローデータ生成部 1 3 1は、 バケッ トデータからフローデータ を生成する。 また、 付加部 1 3 4は、 シグネチヤ及びフローデータのヘッダ 情報を基に、 フローデータにラベルを付加する。 また、 計算部 1 3 5は、 フ 口ーデータの特徴量を計算する。 また、 学習部 1 3 6は、 ラベル、 及びラべ ルが付加されたフローデータの特徴量を用い て、 特徴量からラベルを予測す るモデルの学習を行う。 このように、 識別装置 1 0は、 パケッ トデータを用 いた学習により、 フローデータからラベルを予測するモデルを 生成すること ができる。 また、 予測されたラベルによれば、 フローデータの詳細な分析が 可能になる。 このため、 第 1の実施形態によれば、 フローデータを詳細に分 析可能なラベルの付加を自動的に行うことが できる。

[0037] 計算部 1 3 5は、 トラフィックデータに含まれるフローデータ の特徴量を 計算する。 また、 予測部 1 3 7は、 特徴量からアプリケーシヨンのカテゴリ を表すラベルを予測する学習済みのモデルを 用いて、 フローデータに対応す るラベルを予測する。 このように、 識別装置 1 0は、 フローデータのラベル を自動的に予測することができる。 このため、 第 1の実施形態によれば、 フ 口ーデータを詳細に分析可能なラベルの付加 を自動的に行うことができる。

[0038] シグネチヤ生成部 1 3 2は、 パケッ トデータのペイロード情報、 又はパケ ッ トデータを口 丨装置により分析して得られる情報を基に特 定されたカテ ゴリを表すラベルを用いて、 シグネチヤを生成する。 これにより、 特徴量ご とに、 アプリケーシヨンのカテゴリを特定すること が可能になる。

[0039] シグネチヤ生成部 1 3 2は、 バケッ トデータの送信元丨 アドレス、 送信 元ポート番号、 宛先丨 アドレス及び宛先ポート番号の組と、 ラベルとを対 応付けたシグネチヤを生成する。 これらのヘッダ情報は、 パケッ トデータと フローデータとで共通している。 このため、 第 1の実施形態によれば、 パケ \¥02020/175165 9 卩（：170?2020/005652

ッ トデータから生成したシグネチヤをフローデ ータに適用することが可能に なる。

[0040] 学習部 1 3 6は、 特徴量からラベルを予測する口 1\1の学習を行う。 これ により、 大規模なデータから有用な特徴を効果的に学 習することが可能にな る。

[0041 ] 計算部 1 3 5は、 送信元丨 アドレス又は宛先丨 アドレスごとのフロー 数、 1バケッ トあたりの送受信バイ ト数の平均、 1 フローあたりのパケッ ト 数の少なくともいずれかを特徴量として計算 する。 これにより、 同一のアプ リケーシヨンのバケッ トのポートが変化した場合であっても、 特徴量を当該 アプリケーシヨンのカテゴリに対応付けるこ とが可能になる。

[0042] [システム構成等]

また、 図示した各装置の各構成要素は機能概念的な ものであり、 必ずしも 物理的に図示のように構成されていることを 要しない。 すなわち、 各装置の 分散及び統合の具体的形態は図示のものに限 られず、 その全部又は一部を、 各種の負荷や使用状況等に応じて、 任意の単位で機能的又は物理的に分散又 は統合して構成することができる。 さらに、 各装置にて行われる各処理機能 は、 その全部又は任意の一部が、 0 II及び当該 0 IIにて解析実行される プログラムにて実現され、 あるいは、 ワイヤードロジックによるハードウェ アとして実現され得る。

[0043] また、 本実施形態において説明した各処理のうち、 自動的に行われるもの として説明した処理の全部又は一部を手動的 に行うこともでき、 あるいは、 手動的に行われるものとして説明した処理の 全部又は一部を公知の方法で自 動的に行うこともできる。 この他、 上記文書中や図面中で示した処理手順、 制御手順、 具体的名称、 各種のデータやパラメータを含む情報につい ては、 特記する場合を除いて任意に変更することが できる。

[0044] [プログラム]

—実施形態として、 識別装置 1 〇は、 パッケージソフトウェアやオンライ ンソフトウェアとして上記の学習及び予測を 実行する識別プログラムを所望 のコンビュータにインストールさせることに よって実装できる。 例えば、 上 記の識別プログラムを情報処理装置に実行さ せることにより、 情報処理装置 を識別装置 1 〇として機能させることができる。 ここで言う情報処理装置に は、 デスクトップ型又はノート型のパーソナルコ ンピュータが含まれる。 ま た、 その他にも、 情報処理装置にはスマートフォン、 携帯電話機や PHS (P ersona I Handyphone System) 等の移動体通信端末、 さらには、 PDA (Pe rsonal Digital Assistant) 等のスレート端末等がその範疇に含まれる。

[0045] また、 識別装置 1 0は、 ユーザが使用する端末装置をクライアントと し、 当該クライアントに上記の学習及び予測に関 するサービスを提供するサーバ 装置として実装することもできる。 例えば、 サーバ装置は、 トラフィックデ —夕を入力とし、 学習済みモデル又は予測結果を出力とするサ ービスを提供 するサーバ装置として実装される。 この場合、 サーバ装置は、 We bサーバ として実装することとしてもよいし、 アウトソーシングによって上記の学習 及び予測に関するサービスを提供するクラウ ドとして実装することとしても かまわない。

[0046] 図 7は、 識別プログラムを実行するコンビュータの一 例を示す図である。

コンビュータ 1 000は、 例えば、 メモリ 1 01 0、 C P U 1 020を有す る。 また、 コンビュータ 1 000は、 ハードディスクドライブインタフエー ス 1 030、 ディスクドライブインタフエース 1 040、 シリアルポートイ ンタフエース 1 050、 ビデオアダプタ 1 060、 ネッ トワークインタフエ —ス 1 070を有する。 これらの各部は、 バス 1 080によって接続される

[0047] メモリ 1 01 0は、 ROM (Read Only Memory) 1 01 1及び RAM 1

01 2を含む。 R OM 1 01 1は、 例えば、 B I OS (Basic Input Outpu t System) 等のブートプログラムを記憶する。 ハードディスクドライブイン タフエース 1 030は、 ハードディスクドライブ 1 090に接続される。 デ ィスクドライブインタフエース 1 040は、 ディスクドライブ 1 1 00に接 続される。 例えば磁気ディスクや光ディスク等の着脱可 能な記憶媒体が、 デ ィスクドライブ 1 1 0 0に揷入される。 シリアルポートインタフェース 1 0 5 0は、 例えばマウス 1 1 1 0、 キーボード 1 1 2 0に接続される。 ビデオ アダプタ 1 0 6 0は、 例えばディスプレイ 1 1 3 0に接続される。

[0048] ハードディスクドライブ 1 0 9 0は、 例えば、 〇 S 1 0 9 1、 アプリケー シヨンプログラム 1 0 9 2、 プログラムモジュール 1 0 9 3、 プログラムデ —夕 1 0 9 4を記憶する。 すなわち、 識別装置 1 0の各処理を規定するプロ グラムは、 コンピュータにより実行可能なコードが記述 されたプログラムモ ジュール 1 0 9 3として実装される。 プログラムモジュール 1 0 9 3は、 例 えばハードディスクドライブ 1 0 9 0に記憶される。 例えば、 識別装置 1 0 における機能構成と同様の処理を実行するた めのプログラムモジュール 1 0 9 3が、 ハードディスクドライブ 1 0 9 0に記憶される。 なお、 ハードディ スクドライブ 1 0 9 0は、 S S Dにより代替されてもよい。

[0049] また、 上述した実施形態の処理で用いられる設定デ ータは、 プログラムデ —夕 1 0 9 4として、 例えばメモリ 1 0 1 0やハードディスクドライブ 1 0 9 0に記憶される。 そして、 C P U 1 0 2 0は、 メモリ 1 0 1 0やハードデ ィスクドライブ 1 0 9 0に記憶されたプログラムモジュール 1 0 9 3やプロ グラムデータ 1 0 9 4を必要に応じて R A M 1 0 1 2に読み出して、 上述し た実施形態の処理を実行する。

[0050] なお、 プログラムモジュール 1 0 9 3やプログラムデータ 1 0 9 4は、 ハ —ドディスクドライブ 1 0 9 0に記憶される場合に限らず、 例えば着脱可能 な記憶媒体に記憶され、 ディスクドライブ 1 1 0 0等を介して C P U 1 0 2 0によって読み出されてもよい。 あるいは、 プログラムモジュール 1 0 9 3 及びプログラムデータ 1 0 9 4は、 ネッ トワーク ( L A N (Loca l Area Ne twork) 、 W A N (W i de Area Network) 等) を介して接続された他のコン ピュータに記憶されてもよい。 そして、 プログラムモジュール 1 0 9 3及び プログラムデータ 1 0 9 4は、 他のコンビュータから、 ネッ トワークインタ フェース 1 0 7 0を介して C P U 1 0 2 0によって読み出されてもよい。 符号の説明 〇 2020/175165 12 卩 ェ/·!? 2020 /005652

[0051] 1 0 識別装置

1 1 入力部

1 4 出力部

1 22 識別モデルロ巳

1 3 1 フローデータ生成部

1 32 シグネチヤ生成部

1 33 アプリケーションシグネチヤロ巳

1 34 付加部

1 35 計算部

1 36 学習部