JP6647725B2 - トラフィック生成装置及びトラフィック生成方法 - Google Patents
トラフィック生成装置及びトラフィック生成方法 Download PDFInfo
- Publication number
- JP6647725B2 JP6647725B2 JP2017014953A JP2017014953A JP6647725B2 JP 6647725 B2 JP6647725 B2 JP 6647725B2 JP 2017014953 A JP2017014953 A JP 2017014953A JP 2017014953 A JP2017014953 A JP 2017014953A JP 6647725 B2 JP6647725 B2 JP 6647725B2
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- pseudo
- learning
- unit
- identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本開示は、トラフィック群の持つ特徴と同じ特徴を持った擬似トラフィックを生成するトラフィック生成装置及びトラフィック生成方法に関する。
現在、通信の高速化などに伴ってネットワークシステムにおいて送受信されるトラフィックは非常に膨大な量である。これらのトラフィックを保存もしくは送受信するためには膨大なリソース(ストレージ、ネットワーク帯域および送受信時間、電力など)を必要とする。例えば、現在では、数百GB・数TBのストレージや、数Gbpsの帯域と数時間などのリソースが必要となっている。
現状ではトラフィックそのものではなく、類似する擬似的なトラフィックもしくはトラフィックの持つ特徴のみが必要である場合でも、膨大なトラフィックの保存、通信が必要となっている(以降、あるトラフィック群に類似する擬似的なトラフィックもしくはトラフィックの持つ特徴の事をまとめて擬似トラフィックと呼ぶ)。
また、トラフィックは多くの場合、機密情報を含んでいる。例えば利益獲得を目的としてトラフィックそのものを売買することはセキュリティの観点などから困難であることが多い。
Goodfellow, Ian, Pouget−Abadie, Jean, Mirza, Mehdi, Xu, Bing, Warde−Farley, David, Ozair, Sherjil, Courville, Aaron and Bengio, Yoshua, "Generative Adversarial Nets", NIPS2014
本開示は、ネットワークシステムにおけるトラフィック群から学習を行い、学習したトラフィック群の持つ特徴と同じ特徴を持った擬似トラフィックを生成することを目的とする。
データを生成モデルの構築手法としてGANs(generative adversarial nets)が知られている(非特許文献1参照。)。そこで、本開示は、擬似トラフィックを生成するトラフィック生成システムにおいてGANsによる手法を用いた。
より具体的には、本開示のトラフィック生成装置は、
ノイズデータを用いて擬似トラフィックを生成し、生成した擬似トラッフィクが学習トラフィックに似るように学習する擬似トラフィック生成モデル部と、
入力されたトラフィックが擬似トラフィックか学習トラフィックかを識別し、識別精度が高くなるように学習するトラフィック識別モデル部と、
前記トラフィック識別モデル部に入力されたトラフィックと前記トラフィック識別モデル部の識別結果が一致しているかを判定する識別結果判定部と、
前記トラフィック識別モデル部の識別結果と前記入力されたトラフィックが一致している場合、入力された学習トラフィックを基に前記擬似トラフィック生成モデル部における擬似トラフィックの生成に用いるパラメータを更新する更新部と、
を備える。
ノイズデータを用いて擬似トラフィックを生成し、生成した擬似トラッフィクが学習トラフィックに似るように学習する擬似トラフィック生成モデル部と、
入力されたトラフィックが擬似トラフィックか学習トラフィックかを識別し、識別精度が高くなるように学習するトラフィック識別モデル部と、
前記トラフィック識別モデル部に入力されたトラフィックと前記トラフィック識別モデル部の識別結果が一致しているかを判定する識別結果判定部と、
前記トラフィック識別モデル部の識別結果と前記入力されたトラフィックが一致している場合、入力された学習トラフィックを基に前記擬似トラフィック生成モデル部における擬似トラフィックの生成に用いるパラメータを更新する更新部と、
を備える。
本開示のトラフィック生成装置では、前記更新部は、前記トラフィック識別モデル部の識別結果と前記入力されたトラフィックが一致していない場合、入力された学習トラフィックを基に前記トラフィック識別モデル部における識別に用いるパラメータを更新してもよい。
本開示のトラフィック生成装置では、学習用トラフィックの一部を前記学習トラフィックとして抽出し、抽出した学習トラフィックを前記トラフィック識別モデル部及び前記更新部に入力する学習トラフィック抽出部をさらに備えてもよい。
本開示のトラフィック生成装置では、前記学習トラフィックの元となる学習用トラフィックの少なくとも一部を前記擬似トラフィックに結合させて結合擬似トラフィックを生成し、前記結合擬似トラフィックを前記トラフィック識別モデル部に入力する擬似トラフィック結合部をさらに備えてもよい。
より具体的には、本開示のトラフィック生成方法は、
擬似トラフィック生成モデル部が、ノイズデータを用いて擬似トラフィックを生成する擬似トラフィック生成ステップと、
トラフィック識別モデル部が、入力されたトラフィックが擬似トラフィックか学習トラフィックかを識別するトラフィック識別ステップと、
識別結果判定部が、前記トラフィック識別モデル部に入力されたトラフィックと前記トラフィック識別モデル部の識別結果が一致しているかを判定する識別結果判定ステップと、
更新部が、前記トラフィック識別モデル部の識別結果と前記入力されたトラフィックが一致している場合、入力された学習トラフィックを基に前記擬似トラフィック生成モデル部における疑似トラフィックの生成に用いるパラメータを更新する更新ステップと、
を実行する。
擬似トラフィック生成モデル部が、ノイズデータを用いて擬似トラフィックを生成する擬似トラフィック生成ステップと、
トラフィック識別モデル部が、入力されたトラフィックが擬似トラフィックか学習トラフィックかを識別するトラフィック識別ステップと、
識別結果判定部が、前記トラフィック識別モデル部に入力されたトラフィックと前記トラフィック識別モデル部の識別結果が一致しているかを判定する識別結果判定ステップと、
更新部が、前記トラフィック識別モデル部の識別結果と前記入力されたトラフィックが一致している場合、入力された学習トラフィックを基に前記擬似トラフィック生成モデル部における疑似トラフィックの生成に用いるパラメータを更新する更新ステップと、
を実行する。
本開示のトラフィック生成方法では、
前記更新ステップにおいて、前記更新部が、前記トラフィック識別モデル部の識別結果と前記入力されたトラフィックが一致していない場合、入力された学習トラフィックを基に前記トラフィック識別モデル部における識別に用いるパラメータを更新してもよい。
前記更新ステップにおいて、前記更新部が、前記トラフィック識別モデル部の識別結果と前記入力されたトラフィックが一致していない場合、入力された学習トラフィックを基に前記トラフィック識別モデル部における識別に用いるパラメータを更新してもよい。
また、本開示のトラフィック生成方法では、 前記トラフィック識別ステップにおいて、学習トラフィック抽出部が、前記学習トラフィックの元となる学習用トラフィックの一部を前記学習トラフィックとして抽出し、抽出した学習トラフィックを前記トラフィック識別モデル部及び前記更新部に入力し、
前記更新ステップにおいて、更新部が、前記学習トラフィック抽出部の抽出した学習トラフィックを基に、前記擬似トラフィック生成モデル部における擬似トラフィックの生成に用いるパラメータを更新してもよい。
前記更新ステップにおいて、更新部が、前記学習トラフィック抽出部の抽出した学習トラフィックを基に、前記擬似トラフィック生成モデル部における擬似トラフィックの生成に用いるパラメータを更新してもよい。
本開示のトラフィック生成方法では、前記擬似トラフィック生成ステップにおいて、擬似トラフィック結合部が、前記学習トラフィックの元となるトラフィックの少なくとも一部を前記擬似トラフィックに結合させて結合擬似トラフィックを生成し、前記結合擬似トラフィックを前記トラフィック識別モデル部に入力してもよい。
本開示のトラフィック生成プログラムは、本開示に係るトラフィック生成装置に備わる各機能をコンピュータに実現させるためのプログラムであり、本開示に係るトラフィック生成方法に備わる各ステップをコンピュータに実行させるためのプログラムである。本開示のトラフィック生成プログラムは、コンピュータ読み取り可能な記録媒体に記録されていてもよい。
なお、上記各開示は、可能な限り組み合わせることができる。
本開示によれば、ネットワークシステムにおけるトラフィック群から学習を行い、学習したトラフィック群の持つ特徴と同じ特徴を持った擬似トラフィックを生成することができる。
以下、本開示の実施形態について、図面を参照しながら詳細に説明する。なお、本開示は、以下に示す実施形態に限定されるものではない。これらの実施の例は例示に過ぎず、本開示は当業者の知識に基づいて種々の変更、改良を施した形態で実施することができる。なお、本明細書及び図面において符号が同じ構成要素は、相互に同一のものを示すものとする。
本開示は、一般的に画像生成などの用途で知られているGANsをトラフィック生成に応用した。GANsと呼ばれる手法を用いることで、学習するトラフィックのデータ構造について考慮することなく、擬似トラフィック生成モデルを実現することが可能となる。GANsを用いる事でデータ構造を意識せずに学習可能である。
GANsでは、生成モデルとデータの真贋を判定する識別モデルが存在する。生成モデルでは識別モデルを騙すデータを生成することを目的とし、識別モデルは生成モデルが作成したデータを見抜くことを目的とし、互いに切磋琢磨して相互に学習させることで精度の高いデータを生成する。本開示は、トラフィック生成システムの生成モデルを構築する際に、擬似トラフィック生成モデルと生成トラフィックの真贋を判定するトラフィック識別モデルを相互に学習させるGANsと呼ばれる手法を用いることで、自動的に学習を行い擬似トラフィック生成モデルの精度を高めることが可能となる。
学習トラフィック及び擬似トラフィックは、トラフィックに含まれる任意の単位のデータである。例えば、区切り無くパケット全体を対象としてもよいが、GANsをそのまま学習箇所をパケット全体に適用することはせず、Etherフレーム部分、IPヘッダ部分、ペイロード部分などに分割して学習させ、部分的なトラフィックの生成を可能とする構成としてもよい。これにより、トラフィック生成モデルの学習の際に、学習箇所をパケットの特定部分に絞りその他の箇所については固定値や後から設定可能とする事で、元トラフィックと異なっていてはならない部分「以外」の部分についてのみ擬似トラフィックを生成することが可能となる。
具体的には、IPヘッダのFlagsの1bit目(必ず0になる)などの、値が固定値になっているものや、ヘッダチェックサムなどの、パケットヘッダ確定後に計算する必要があるものなどから擬似トラフィックを生成するため、区切り有りがあるように設定した。ただし、IP、Ether、ペイロード等の大まかな区切りで学習することで部分的に学習することも可能である。
さらに特定のビット(IPバージョンやフラグなど)については、設定可能とすることで壊れていないパケットを生成可能である。IPのバージョン、フラグなど、特定の箇所については固定値や設定可能とする構成とした。トラフィック生成モデルの活性化関数に一般によく用いられるReLUではなくTahnを用いる事で学習精度を向上することができる。
また、トラフィック生成モデルの活性化関数にドロップアウトの割合(0≦rate<1)を一般によく用いられる0.5などの値ではなく、0.99などの非常に大きな値を用いることで過学習を防ぎ、学習の精度を向上することができる。
(実施形態1)
図1は、本実施形態に係るトラフィック生成装置の第一例である。トラフィック生成装置100は、擬似トラフィック生成モデル部11、トラフィック識別モデル部12、識別結果判定部13を備える。識別結果判定部13は、識別結果判定部及び更新部として機能する。擬似トラフィック生成モデル部11及びトラフィック識別モデル部12が深層学習すなわちDNN(Deep Neural Network)などの学習機能を有する。トラフィック生成装置100に備わるこれらの機能部は、コンピュータにモデル学習プログラム10を実行させることで実現する。
図1は、本実施形態に係るトラフィック生成装置の第一例である。トラフィック生成装置100は、擬似トラフィック生成モデル部11、トラフィック識別モデル部12、識別結果判定部13を備える。識別結果判定部13は、識別結果判定部及び更新部として機能する。擬似トラフィック生成モデル部11及びトラフィック識別モデル部12が深層学習すなわちDNN(Deep Neural Network)などの学習機能を有する。トラフィック生成装置100に備わるこれらの機能部は、コンピュータにモデル学習プログラム10を実行させることで実現する。
擬似トラフィック生成モデル部11は、ノイズデータを用いて擬似トラフィックを生成するためのモデル部である。ノイズデータは、擬似トラフィック生成モデル部11の入力であり、擬似トラフィックを生成する際のシーズとなるデータである。ノイズデータは、学習トラフィックとは異なる任意のデータ列を用いることができ、例えば、乱数データを用いることができる。
トラフィック識別モデル部12は、入力されたトラフィックが擬似トラフィック生成モデル部11から出力された擬似トラフィックか、学習トラフィックか、を識別するためのモデル部である。ここで、学習トラフィックは、擬似トラフィック生成モデル部11およびトラフィック識別モデル部12の学習を実施するためのデータである。学習トラフィックは、例えば、トラフィック保存に広く用いられているpcapファイルから読みだしたトラフィックが挙げられる。
識別結果判定部13は、トラフィック識別モデル部12に入力されたトラフィックと、トラフィック識別モデル部12が判定した識別結果が一致しているかを判定することで、トラフィック識別モデル12の識別結果の正誤を判定する。
例えば、トラフィック識別モデル部12に擬似トラフィックが入力されて、トラフィック識別モデル部12が入力された擬似トラフィックを擬似トラフィックと判定した場合、識別結果判定部13は、トラフィック識別モデル部12に入力されたトラフィックとトラフィック識別モデル部12の識別結果が一致しているため、トラフィック識別モデル12の識別結果を正しいと判断する。
逆に、トラフィック識別モデル部12に擬似トラフィックが入力されて、トラフィック識別モデル部12が入力された擬似トラフィックを学習トラフィックと判定した場合、識別結果判定部13は、トラフィック識別モデル部12に入力されたトラフィックとトラフィック識別モデル部12の識別結果が一致しないため、トラフィック識別モデル12の識別結果を誤りと判断する。
また、識別結果判定部13は、トラフィック識別モデル12の識別結果の正誤判定及び入力された学習トラフィックに基づいて擬似トラフィック生成モデル部11又はトラフィック識別モデル部12の誤差を計算する。例えば、識別結果が正しいと判断された場合、識別結果判定部13は擬似トラフィック生成モデル部11の誤差を計算する。また、識別結果が誤りと判断された場合、識別結果判定部13はトラフィック識別モデル12の誤差を計算する。
識別結果判定部13は、計算した誤差に応じて、擬似トラフィック生成モデル部11又はトラフィック識別モデル部12を更新する。識別結果判定部13が擬似トラフィック生成モデル部11の誤差を計算した場合、識別結果判定部13は擬似トラフィック生成モデル部11における擬似トラフィックの生成に用いるパラメータを更新する。また、識別結果判定部13がトラフィック識別モデル部12の誤差を計算した場合、識別結果判定部13はトラフィック識別モデル部12における識別に用いるパラメータを更新する。
〔トラフィック生成モデル部〕
図2は、本実施形態に係る擬似トラフィック生成モデル部11の一例を示す。擬似トラフィック生成モデル部11は、ノイズデータを用いて擬似トラフィックを生成し、生成した擬似トラッフィクが学習トラフィックに似るように学習する機能を有する。例えば、擬似トラフィック生成モデル部11は、入力層31、隠れ層32、出力層33を備える。入力層31は、トラフィック生成のシーズとなるノイズデータを入力するための層である。隠れ層32は、トラフィックの特徴を学習し、重み付けの変更などを行う層である。
図2は、本実施形態に係る擬似トラフィック生成モデル部11の一例を示す。擬似トラフィック生成モデル部11は、ノイズデータを用いて擬似トラフィックを生成し、生成した擬似トラッフィクが学習トラフィックに似るように学習する機能を有する。例えば、擬似トラフィック生成モデル部11は、入力層31、隠れ層32、出力層33を備える。入力層31は、トラフィック生成のシーズとなるノイズデータを入力するための層である。隠れ層32は、トラフィックの特徴を学習し、重み付けの変更などを行う層である。
ここで、トラフィックの特徴としては、パケット内の各bitの分布確率が挙げられる。重みづけとしては、例えば、深層学習において、入力層31のノード31A−1と隠れ層32のノード32A−2との間、隠れ層32のノード32A−2と次の隠れ層32のノード32Bn−1との間、隠れ層32のノード32Bn−1と出力層33のノード33A−nとの間を接続している各リンクにおいて、重みづけがなされていることが挙げられる。
出力層33は、擬似トラフィックが生成される層である。本実施形態における実装では、次元数はトラフィック生成モデル部11の生成する擬似トラフィックのビット数と同じにしている。
〔トラフィック識別モデル部〕
図3は、本実施形態に係るトラフィック識別モデル部12の一例を示す。トラフィック識別モデル部12は、入力されたトラフィックが擬似トラフィックか学習トラフィックかを識別し、識別精度が高くなるように学習する機能を有する。入力層41は、擬似トラフィック生成モデル部11が生成した擬似トラフィック又は学習トラフィックを入力するための層である。本実施形態における実装では、次元数は擬似トラフィック生成モデル部11の出力層33の次元数と同じである。
図3は、本実施形態に係るトラフィック識別モデル部12の一例を示す。トラフィック識別モデル部12は、入力されたトラフィックが擬似トラフィックか学習トラフィックかを識別し、識別精度が高くなるように学習する機能を有する。入力層41は、擬似トラフィック生成モデル部11が生成した擬似トラフィック又は学習トラフィックを入力するための層である。本実施形態における実装では、次元数は擬似トラフィック生成モデル部11の出力層33の次元数と同じである。
隠れ層42は、トラフィックの特徴を学習し、重み付けの変更などを行う層である。トラフィックの特徴及び重みづけは、擬似トラフィック生成モデル部11と同様である。出力層43は、識別結果を出力する層である。次元は実装方法によって異なる。
本実施形態では、2次元で学習トラフィックか擬似トラフィックかを識別する例を述べるが、DNNの次元は2次元で限定されるものではない。
〔学習フロー〕
図4に、本実施形態に係るトラフィック生成モデルの構築方法の一例を示す。本実施形態に係るトラフィック生成モデルのトラフィック生成方法は、トラフィック生成装置100が、擬似トラフィック生成ステップと、トラフィック識別ステップと、識別結果判定ステップと、更新ステップと、を順に実行する。擬似トラフィック生成ステップではステップS101を実行し、トラフィック識別ステップではステップS102を実行し、識別結果判定ステップではステップS103を実行し、更新ステップではステップS104〜109を実行する。
図4に、本実施形態に係るトラフィック生成モデルの構築方法の一例を示す。本実施形態に係るトラフィック生成モデルのトラフィック生成方法は、トラフィック生成装置100が、擬似トラフィック生成ステップと、トラフィック識別ステップと、識別結果判定ステップと、更新ステップと、を順に実行する。擬似トラフィック生成ステップではステップS101を実行し、トラフィック識別ステップではステップS102を実行し、識別結果判定ステップではステップS103を実行し、更新ステップではステップS104〜109を実行する。
擬似トラフィック生成モデル部11とトラフィック識別モデル部12の学習が進めばよく、実装の違いにより学習フローの各手順は前後する可能性がある。また、その他一般的な深層学習において用いられている学習フローに置き換わってもよい。トラフィック識別モデル部12が、学習トラフィックか擬似トラフィックであるかを判断し、擬似トラフィック生成モデル部11及びトラフィック識別モデル部12がどのように学習するかについては以下のとおりである。
ステップS100:擬似トラフィック生成モデル部11及びトラフィック識別モデル部12が学習を開始する。
ステップS101:擬似トラフィック生成モデル部11が入力されたノイズデータを基に、擬似トラフィックを生成して、トラフィック識別モデル部12に入力する。ここでは、プログラミング言語のライブラリとして用意されている乱数生成関数によって生成された乱数データをノイズデータとする。
ステップS101:擬似トラフィック生成モデル部11が入力されたノイズデータを基に、擬似トラフィックを生成して、トラフィック識別モデル部12に入力する。ここでは、プログラミング言語のライブラリとして用意されている乱数生成関数によって生成された乱数データをノイズデータとする。
ステップS102:トラフィック識別モデル部12が、入力されたトラフィックが擬似トラフィックか、学習トラフィックかを識別し、識別結果を識別結果判定部13に入力する。
ステップS103:識別結果判定部13が、トラフィック識別モデル部12に入力されたトラフィックに基づいて、トラフィック識別モデル部12の識別結果の正誤を判定する。ステップS101では、トラフィック識別モデル部12に擬似トラフィックを入力しているため、トラフィック識別モデル部12の識別結果が擬似トラフィックとした場合はトラフィック識別モデル部12の識別結果が正しく、トラフィック識別モデル部12の識別結果が学習トラフィックとした場合はトラフィック識別モデル部12の識別結果が誤りとなる。
ステップS104:ステップS103におけるトラフィック識別モデル部12の識別結果が擬似トラフィックであるとしたとき、すなわちトラフィック識別モデル部12の識別結果が正しい場合、識別結果判定部13が擬似トラフィック識別モデル部12の識別結果と誤差計算用として識別結果判定部13に入力された学習トラフィックの誤差を計算する。識別結果判定部13が計算した誤差を擬似トラフィック生成モデル部11の誤差とする。擬似トラフィック生成モデル部11はこの誤差を小さくしようとする。
ステップS105:識別結果部13が、ステップS104で測定した誤差に基づいて、学習トラフィックと擬似トラフィックの誤差を小さくしようと擬似トラフィック生成モデル部11における擬似トラフィックの生成に用いるパラメータを更新する。すなわち、学習によって、擬似トラフィック生成モデル部11が生成する擬似トラフィックが、学習トラフィックに近づいて誤差が小さくなるように、擬似トラフィック生成モデル部11における擬似トラフィックの生成に用いるパラメータを更新する。これにより、生成した擬似トラフィックが学習トラフィックに似るように、トラフィック識別モデル部12を学習させることができる。
擬似トラフィック生成モデル部11における擬似トラフィックの生成に用いるパラメータは、例えば、擬似トラフィック生成モデル部11における入力層、隠れ層、出力層の次元数や接続関係、重みづけ、発火の閾値などが挙げられる。
ステップS106:ステップS103におけるトラフィック識別モデル部12の識別結果が学習トラフィックとしたとき、すなわちトラフィック識別モデル部12の識別結果が誤りである場合、識別結果判定部13が擬似トラフィック識別モデル部12の識別結果と誤差計算用として識別結果判定部13に入力された学習トラフィックの誤差を計算する。識別結果判定部13が計算した誤差をトラフィック識別モデル部12の誤差としてとる。
ステップS107:識別結果部13が、ステップS106で測定したトラフィック識別モデル部12の誤差を小さくするようにトラフィック識別モデル部12における識別に用いるパラメータを更新する。つまり、トラフィック識別モデル部12は、擬似トラフィックをより高精度に識別できるように、トラフィック識別モデル部12における識別に用いるパラメータを更新される。これにより、識別精度が高くなるように、トラフィック識別モデル部12を学習させることができる。
トラフィック識別モデル部12における識別に用いるパラメータとしては、例えば、トラフィック識別モデル部12における入力層、隠れ層、出力層の次元数や接続関係、重みづけなどが挙げられる。
ステップS108:指定したステップ数の学習が完了したかどうかを判定する。指定したステップ数の学習が完了していない場合、再びステップS101の動作を行う。指定したステップ数の学習が完了した場合、ステップS109の動作に移る。
ステップS109:学習フローに沿って学習を進め、学習完了後に擬似トラフィック生成モデル部11及びトラフィック識別モデル部12の更新を保存する(入力層、隠れ層、出力層の次元数や接続関係、重みづけなどのパラメータを保存する)。これにより、生成モデルの学習を終了する。
GANsを用いることで、非常に少ない手順で学習トラフィックから生成モデルを構築することができる。学習トラフィックを入力するだけで自動的に生成モデルと識別モデルが相互に学習しモデルの精度が高くなる。パケットの構造などを考慮せずにパケットの持つ特徴を抽出することが可能となる。
(実施形態2)
図5は、本実施形態に係るトラフィック生成装置の第二例を示す。本実施形態に係るモデル学習プログラムは、実施形態1と同様に擬似トラフィック生成モデル部11と、トラフィック識別モデル部12と、識別結果判定部13とを備え、新たに学習トラフィック抽出部14を備える。擬似トラフィック生成モデル部11、トラフィック識別モデル部12及び識別結果判定部13の構成、並びに、擬似トラフィック生成ステップ、トラフィック識別ステップ、識別結果判定ステップについては、実施形態1と同様である。
図5は、本実施形態に係るトラフィック生成装置の第二例を示す。本実施形態に係るモデル学習プログラムは、実施形態1と同様に擬似トラフィック生成モデル部11と、トラフィック識別モデル部12と、識別結果判定部13とを備え、新たに学習トラフィック抽出部14を備える。擬似トラフィック生成モデル部11、トラフィック識別モデル部12及び識別結果判定部13の構成、並びに、擬似トラフィック生成ステップ、トラフィック識別ステップ、識別結果判定ステップについては、実施形態1と同様である。
本実施形態の学習トラフィック抽出部14は、元となる学習用トラフィックを分割し、学習したい箇所のみを学習トラフィックとしてトラフィック識別モデル部12及び識別結果判定部13に入力として与えるための機能部である。トラフィックの学習箇所以外の部分は、学習用トラフィックから抽出しても良いし、別途生成しても良い。
トラフィックの一部のみを学習する場合(例えばIPヘッダ部分のみを学習する場合)は学習トラフィック抽出部14を用いて元となる学習用トラフィックから抽出された学習トラフィックを用意する。この時に学習トラフィックの切り出された箇所と擬似トラフィックの生成する箇所は一致するようにモデルを構築する(次元数を合わせるなど)。
(実施形態3)
図6は、本実施形態に係るトラフィック生成装置の第三例を示す。本実施形態に係るトラフィック生成装置100は、実施形態1に記載の擬似トラフィック生成モデル部11に代え、擬似トラフィック生成モデル部21及び擬似トラフィック結合部22を備える。擬似トラフィック生成モデル部21及び擬似トラフィック結合部22は、コンピュータにトラフィック生成プログラム20を実行させることで実現する。擬似トラフィック生成プログラム20は、実施形態1及び2において、保存されたモデルを用いて擬似トラフィックを生成する。
図6は、本実施形態に係るトラフィック生成装置の第三例を示す。本実施形態に係るトラフィック生成装置100は、実施形態1に記載の擬似トラフィック生成モデル部11に代え、擬似トラフィック生成モデル部21及び擬似トラフィック結合部22を備える。擬似トラフィック生成モデル部21及び擬似トラフィック結合部22は、コンピュータにトラフィック生成プログラム20を実行させることで実現する。擬似トラフィック生成プログラム20は、実施形態1及び2において、保存されたモデルを用いて擬似トラフィックを生成する。
擬似トラフィック生成モデル部21は、実施形態1及び2を実施して学習した擬似トラフィック生成モデル部11である。擬似トラフィック生成モデル部21は、擬似トラフィック生成モデル部11と同様にノイズデータを用いて擬似トラフィックを演算して、出力する。
擬似トラフィック結合部22は、擬似トラフィック生成モデル部21で生成された擬似トラフィックと、トラフィックの学習箇所以外の部分を組み合わせるための機能部である。擬似トラフィック生成モデル部21が生成した擬似トラフィックがトラフィックの一部のみである場合(たとえばIPヘッダのみ)、結合用トラフィックとしてトラフィックの残りの部分(たとえばEtherフレーム部分とペイロード部分)を用意して、擬似トラフィック結合部22においてそれらを結合することでIPパケットとして結合擬似トラフィックを生成する。
トラフィック生成方法におけるトラフィック生成装置100の動作は、図4と同様である。ただし、図4における「生成された擬似トラフィック」は「結合擬似トラフィック」に代わる。ステップS102において、トラフィック識別モデル部12が、擬似トラフィック生成モデル部21が結合した結合擬似トラフィックを用いて、擬似トラフィックか、学習トラフィックかを識別する。
なお、本実施形態では、モデル学習プログラム10と擬似トラフィック生成プログラム20を別々のプログラムとしたが、一つのプログラム内にかかれていても良い。
〔発明によって生じる効果〕
GANsを用いることで、非常に少ない手順で学習トラフィックから擬似トラフィックの生成モデルを構築することができる。学習トラフィックを入力するだけで、自動的に擬似トラフィック生成モデル部11とトラフィック識別モデル部12が相互に学習し、擬似トラフィック生成モデル部11の精度が高くなる。また擬似トラフィック生成モデル部11を学習させることで、パケットの構造などを考慮せずにパケットの持つ特徴を抽出することが可能となる。ここで、トラフィック生成モデル部11及びトラフィック識別モデル部12に用いられる学習機能はDNNに限定されない。例えば、隠れ層が1層や2層のNN(Neural net)やRNN(Recurrent NN)であっても、本実施形態と同様の効果を得ることができる。
GANsを用いることで、非常に少ない手順で学習トラフィックから擬似トラフィックの生成モデルを構築することができる。学習トラフィックを入力するだけで、自動的に擬似トラフィック生成モデル部11とトラフィック識別モデル部12が相互に学習し、擬似トラフィック生成モデル部11の精度が高くなる。また擬似トラフィック生成モデル部11を学習させることで、パケットの構造などを考慮せずにパケットの持つ特徴を抽出することが可能となる。ここで、トラフィック生成モデル部11及びトラフィック識別モデル部12に用いられる学習機能はDNNに限定されない。例えば、隠れ層が1層や2層のNN(Neural net)やRNN(Recurrent NN)であっても、本実施形態と同様の効果を得ることができる。
擬似トラフィック生成モデル部11の学習後、擬似トラフィックを非常に軽量なノイズデータ(乱数、数十Byte)から生成することができる。学習済みの擬似トラフィック生成モデルもまた非常に軽量(数百kB)である。これによって、擬似トラフィックが必要な場合には、学習後に元のトラフィックを削除する事が可能となり、ストレージリソースを節約する事ができる。
また、擬似トラフィックが必要な場合、トラフィックそのものを送受信する必要がなくなり、擬似トラフィック生成モデルの送信後にノイズからトラフィックを生成すれば良いため、帯域、時間を節約する事ができる。
また、擬似トラフィックはノイズデータから生成されるため、トラフィックそのものと類似しているが、全く同一ではない。このため、ネットワーク装置の試験において擬似トラフィックを用いることで、想定外のトラフィックが流れた際にバグが存在しないかテストする、ウイルス検知システムにおいて擬似トラフィックを用いることでウイルスに対して柔軟性を持った検知を可能とするようにウイルス検知システムの学習を行う、などの応用が可能となる。
また、利益獲得のためのトラフィック売買を考えた場合、トラフィックそのものではなく擬似トラフィックを売買することでセキュリティリスクを低減することができる。
本開示は情報通信産業に適用することができる。
10:モデル学習プログラム
11、21:擬似トラフィック生成モデル部
12:トラフィック識別モデル部
13:識別結果判定部
14:学習トラフィック抽出部
20:擬似トラフィック生成プログラム
22:擬似トラフィック結合部
31、41:入力層
32、42:隠れ層
33、43:出力層
100:トラフィック生成装置
11、21:擬似トラフィック生成モデル部
12:トラフィック識別モデル部
13:識別結果判定部
14:学習トラフィック抽出部
20:擬似トラフィック生成プログラム
22:擬似トラフィック結合部
31、41:入力層
32、42:隠れ層
33、43:出力層
100:トラフィック生成装置
Claims (8)
- ノイズデータを用いて擬似トラフィックを生成し、生成した擬似トラッフィクが学習トラフィックに似るように学習する擬似トラフィック生成モデル部と、
入力されたトラフィックが擬似トラフィックか学習トラフィックかを識別し、識別精度が高くなるように学習するトラフィック識別モデル部と、
前記トラフィック識別モデル部に入力されたトラフィックと前記トラフィック識別モデル部の識別結果が一致しているかを判定する識別結果判定部と、
前記トラフィック識別モデル部の識別結果と前記入力されたトラフィックが一致している場合、入力された学習トラフィックを基に前記擬似トラフィック生成モデル部における擬似トラフィックの生成に用いるパラメータを更新する更新部と、
を備えるトラフィック生成装置。 - 前記更新部は、前記トラフィック識別モデル部の識別結果と前記入力されたトラフィックが一致していない場合、入力された学習トラフィックを基に前記トラフィック識別モデル部における識別に用いるパラメータを更新する、
請求項1に記載のトラフィック生成装置。 - 学習用トラフィックの一部を前記学習トラフィックとして抽出し、抽出した学習トラフィックを前記トラフィック識別モデル部及び前記更新部に入力する学習トラフィック抽出部をさらに備える、
請求項1又は2に記載のトラフィック生成装置。 - 前記学習トラフィックの元となる学習用トラフィックの少なくとも一部を前記擬似トラフィックに結合させて結合擬似トラフィックを生成し、前記結合擬似トラフィックを前記トラフィック識別モデル部に入力する擬似トラフィック結合部をさらに備える、
請求項1から3のいずれかに記載のトラフィック生成装置。 - 擬似トラフィック生成モデル部が、ノイズデータを用いて擬似トラフィックを生成する擬似トラフィック生成ステップと、
トラフィック識別モデル部が、入力されたトラフィックが擬似トラフィックか学習トラフィックかを識別するトラフィック識別ステップと、
識別結果判定部が、前記トラフィック識別モデル部に入力されたトラフィックと前記トラフィック識別モデル部の識別結果が一致しているかを判定する識別結果判定ステップと、
更新部が、前記トラフィック識別モデル部の識別結果と前記入力されたトラフィックが一致している場合、入力された学習トラフィックを基に前記擬似トラフィック生成モデル部における疑似トラフィックの生成に用いるパラメータを更新する更新ステップと、
を実行するトラフィック生成方法。 - 前記更新ステップにおいて、前記更新部が、前記トラフィック識別モデル部の識別結果と前記入力されたトラフィックが一致していない場合、入力された学習トラフィックを基に前記トラフィック識別モデル部における識別に用いるパラメータを更新する、
請求項5に記載のトラフィック生成方法。 - 前記トラフィック識別ステップにおいて、学習トラフィック抽出部が、前記学習トラフィックの元となる学習用トラフィックの一部を前記学習トラフィックとして抽出し、抽出した学習トラフィックを前記トラフィック識別モデル部及び前記更新部に入力し、
前記更新ステップにおいて、更新部が、前記学習トラフィック抽出部の抽出した学習トラフィックを基に、前記擬似トラフィック生成モデル部における擬似トラフィックの生成に用いるパラメータを更新する、
請求項5又は6に記載のトラフィック生成方法。 - 前記擬似トラフィック生成ステップにおいて、擬似トラフィック結合部が、前記学習トラフィックの元となるトラフィックの少なくとも一部を前記擬似トラフィックに結合させて結合擬似トラフィックを生成し、前記結合擬似トラフィックを前記トラフィック識別モデル部に入力する、
請求項5から7のいずれかに記載のトラフィック生成方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017014953A JP6647725B2 (ja) | 2017-01-31 | 2017-01-31 | トラフィック生成装置及びトラフィック生成方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017014953A JP6647725B2 (ja) | 2017-01-31 | 2017-01-31 | トラフィック生成装置及びトラフィック生成方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018125632A JP2018125632A (ja) | 2018-08-09 |
| JP6647725B2 true JP6647725B2 (ja) | 2020-02-14 |
Family
ID=63111661
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017014953A Active JP6647725B2 (ja) | 2017-01-31 | 2017-01-31 | トラフィック生成装置及びトラフィック生成方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6647725B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021130392A1 (es) | 2019-12-26 | 2021-07-01 | Telefónica, S.A. | Método implementado por ordenador para acelerar la convergencia en el entrenamiento de redes generativas antagónicas (gan) para generación de tráfico de red sintético y programas de ordenador del mismo |
| JP7565471B1 (ja) | 2024-06-12 | 2024-10-10 | 株式会社インターネットイニシアティブ | 異常検出装置、および異常検出方法 |
| JP7578859B1 (ja) | 2024-07-30 | 2024-11-06 | 株式会社インターネットイニシアティブ | 通信監視装置、および通信監視方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1168849A (ja) * | 1997-08-12 | 1999-03-09 | Kokusai Denshin Denwa Co Ltd <Kdd> | トラヒックジェネレータおよびトラヒック生成関数決定方法 |
| JP3571270B2 (ja) * | 2000-01-24 | 2004-09-29 | 日本電信電話株式会社 | パケット宛先アドレス生成方法および装置とパケット宛先アドレス生成プログラムを記録した記録媒体 |
| JP2006295516A (ja) * | 2005-04-11 | 2006-10-26 | Nippon Telegr & Teleph Corp <Ntt> | パケット発生方法及び装置 |
| EP2416284A1 (en) * | 2010-08-02 | 2012-02-08 | Amadeus S.A.S. | Automatic traffic generation for a faring system |
-
2017
- 2017-01-31 JP JP2017014953A patent/JP6647725B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018125632A (ja) | 2018-08-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10484410B2 (en) | Anomaly detection for micro-service communications | |
| US10154051B2 (en) | Automatic detection of network threats based on modeling sequential behavior in network traffic | |
| US9729582B2 (en) | Methods, systems, and computer readable media for generating software defined networking (SDN) policies | |
| AU2017345769B2 (en) | Systems and methods for scalable network modeling | |
| Zarrad et al. | Evaluating network test scenarios for network simulators systems | |
| JP6647725B2 (ja) | トラフィック生成装置及びトラフィック生成方法 | |
| CN107967311B (zh) | 一种对网络数据流进行分类的方法和装置 | |
| Dowoo et al. | PcapGAN: Packet capture file generator by style-based generative adversarial networks | |
| WO2010065418A1 (en) | Graph-based data search | |
| CN110012037B (zh) | 基于不确定性感知攻击图的网络攻击预测模型构建方法 | |
| CN115277102B (zh) | 网络攻击检测方法、装置、电子设备及存储介质 | |
| CN116915519B (zh) | 数据流溯源的方法、装置、设备以及存储介质 | |
| Gogoi et al. | A rough set–based effective rule generation method for classification with an application in intrusion detection | |
| CN111935185B (zh) | 基于云计算构建大规模诱捕场景的方法及系统 | |
| CN116599720A (zh) | 一种基于GraphSAGE的恶意DoH流量检测方法、系统 | |
| US11184282B1 (en) | Packet forwarding in a network device | |
| US11757768B1 (en) | Determining flow paths of packets through nodes of a network | |
| CN106411923B (zh) | 基于本体建模的网络风险评估方法 | |
| CN112115380A (zh) | 基于生成对抗模型的影响力节点识别方法 | |
| EP4123963A1 (en) | Tree-based learning of application programming interface specification | |
| KR20200093455A (ko) | 역공학을 통한 네트워크 프로토콜 상태 추론 방법 및 시스템 | |
| KR101548378B1 (ko) | 행위 시그니쳐 생성 시스템 및 그 방법, 그리고 상기 시스템을 포함하는 네트워크 트래픽 분석 시스템 및 그 방법 | |
| US12149441B2 (en) | Determining flow paths of packets through nodes of a network | |
| CN113704078A (zh) | 构建调用链转换图及引导生成x.509证书变种方法 | |
| Le et al. | CODE-WSN: A formal modelling tool for congestion detection on wireless sensor networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190306 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191216 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200107 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200108 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6647725 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |