知財求人 - 知財ポータルサイト「IP Force」
特開2023-97531ネットワーク行為特徴を学習するネットワーク機器、処理システムおよび方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023097531
(43)【公開日】2023-07-10
(54)【発明の名称】ネットワーク行為特徴を学習するネットワーク機器、処理システムおよび方法
(51)【国際特許分類】
G06F 21/55 20130101AFI20230703BHJP
【FI】
G06F21/55 320
【審査請求】有
【請求項の数】6
【出願形態】OL
【外国語出願】
(21)【出願番号】P 2021213697
(22)【出願日】2021-12-28
(11)【特許番号】
(45)【特許公報発行日】2023-05-15
(71)【出願人】
【識別番号】520511295
【氏名又は名称】尚承科技股▲フン▼有限公司
【氏名又は名称原語表記】ECOLUX Technology Co.,Ltd.
【住所又は居所原語表記】1F.,NO.279,ZIQIANG 5TH RD.,ZHUBEI CITY,HSINCHU COUNTY 302,TAIWAN
(74)【代理人】
【識別番号】100136319
【弁理士】
【氏名又は名称】北原 宏修
(74)【代理人】
【識別番号】100143498
【弁理士】
【氏名又は名称】中西 健
(72)【発明者】
【氏名】▲頼▼ 育承
(57)【要約】 (修正有)
【課題】ネットワーク行為特徴を学習するネットワーク機器、処理システム及び方法を提供する。
【解決手段】方法は、行為結果情報を特徴格納ユニットに格納するステップと、パケットキャプチャユニットが、ユーザ端末が提供したネットワークパケットをキャプチャし、パケット格納ユニットに格納するステップと、特徴キャプチャユニットが、さらにパケット格納ユニットからネットワークパケットを解析すると共に、特徴テンプレートによって相応の行為特徴情報を取得し、特徴格納ユニットに格納するステップと、処理ユニットが特徴格納ユニットから行為特徴情報および行為結果情報を取得し、学習収束情報を出力する学習モデルにインポートするステップと、処理ユニットが、学習収束情報に基づいて、特徴キャプチャユニットを調整するか、学習モデルを特徴認識モデルとして出力するかを決定するステップとを、含む。
【選択図】図4
【解決手段】方法は、行為結果情報を特徴格納ユニットに格納するステップと、パケットキャプチャユニットが、ユーザ端末が提供したネットワークパケットをキャプチャし、パケット格納ユニットに格納するステップと、特徴キャプチャユニットが、さらにパケット格納ユニットからネットワークパケットを解析すると共に、特徴テンプレートによって相応の行為特徴情報を取得し、特徴格納ユニットに格納するステップと、処理ユニットが特徴格納ユニットから行為特徴情報および行為結果情報を取得し、学習収束情報を出力する学習モデルにインポートするステップと、処理ユニットが、学習収束情報に基づいて、特徴キャプチャユニットを調整するか、学習モデルを特徴認識モデルとして出力するかを決定するステップとを、含む。
【選択図】図4
【特許請求の範囲】
【請求項1】
複数のネットワークパケットをキャプチャするパケットキャプチャユニットと、
前記パケットキャプチャユニットに接続し、前記ネットワークパケットを格納するパケット格納ユニットと、
前記パケット格納ユニットに接続し、少なくとも1つの特徴テンプレートで前記ネットワークパケットを解析すると共に、前記ネットワークパケットの少なくとも1つの行為特徴情報をキャプチャする特徴キャプチャユニットと、
前記特徴キャプチャユニットに接続し、前記行為特徴情報を格納すると共に、複数の行為結果情報を別に格納する特徴格納ユニットと、
前記行為特徴情報および行為結果情報を受信する処理ユニットと、
前記少なくとも1つの行為特徴情報および行為結果情報に基づいて、学習収束情報を出力する学習モデルと、を含む、ネットワーク行為特徴を学習するネットワーク機器であって、
前記処理ユニットは、前記学習収束情報に基づいて、前記特徴キャプチャユニットを調整するか、前記学習モデルを特徴認識モデルとして出力するかを決定する、
ことを特徴とするネットワーク行為特徴を学習するネットワーク機器。
前記パケットキャプチャユニットに接続し、前記ネットワークパケットを格納するパケット格納ユニットと、
前記パケット格納ユニットに接続し、少なくとも1つの特徴テンプレートで前記ネットワークパケットを解析すると共に、前記ネットワークパケットの少なくとも1つの行為特徴情報をキャプチャする特徴キャプチャユニットと、
前記特徴キャプチャユニットに接続し、前記行為特徴情報を格納すると共に、複数の行為結果情報を別に格納する特徴格納ユニットと、
前記行為特徴情報および行為結果情報を受信する処理ユニットと、
前記少なくとも1つの行為特徴情報および行為結果情報に基づいて、学習収束情報を出力する学習モデルと、を含む、ネットワーク行為特徴を学習するネットワーク機器であって、
前記処理ユニットは、前記学習収束情報に基づいて、前記特徴キャプチャユニットを調整するか、前記学習モデルを特徴認識モデルとして出力するかを決定する、
ことを特徴とするネットワーク行為特徴を学習するネットワーク機器。
【請求項2】
前記処理ユニットは、前記学習収束情報に基づいて前記特徴キャプチャユニットを調整することを決定し、
前記特徴キャプチャユニットは、処理ユニットの調整要求によってその特徴テンプレートを調整し、前記特徴キャプチャユニットは、さらに、調整された特徴テンプレートで前記ネットワークパケットを解析し、前記ネットワークパケットの新しい行為特徴情報をキャプチャする、
ことを特徴とする請求項1に記載のネットワーク行為特徴を学習するネットワーク機器。
前記特徴キャプチャユニットは、処理ユニットの調整要求によってその特徴テンプレートを調整し、前記特徴キャプチャユニットは、さらに、調整された特徴テンプレートで前記ネットワークパケットを解析し、前記ネットワークパケットの新しい行為特徴情報をキャプチャする、
ことを特徴とする請求項1に記載のネットワーク行為特徴を学習するネットワーク機器。
【請求項3】
複数のネットワークパケットを送信する少なくとも1つのユーザ端末と、
前記ネットワークパケットを受信する少なくとも1つのサーバ端末と、
パケットキャプチャユニットと、特徴キャプチャユニットと、パケット格納ユニットと、特徴格納ユニットと、処理ユニットと、学習モデルとを備えるネットワーク機器と、
を含むネットワーク行為特徴を学習する処理システムにおいて、
前記パケットキャプチャユニットは、前記ユーザ端末および前記サーバ端末を通った前記ネットワークパッケージをキャプチャし、
前記特徴キャプチャユニットは、少なくとも1つの特徴テンプレートで前記ネットワークパケットを解析すると共に、前記ネットワークパケットの少なくとも1つの行為特徴情報をキャプチャし、
前記パケット格納ユニットは、前記ネットワークパケットを格納し、
前記特徴格納ユニットは、前記行為特徴情報および複数の行為結果情報を格納し、
前記処理ユニットは、前記行為特徴情報および行為結果情報を受信すると共に前記学習モデルに入力し、
前記学習モデルは、前記少なくとも1つの行為特徴情報および行為結果情報に基づいて、学習収束情報を出力し、
前記処理ユニットは、前記学習収束情報に基づいて、前記特徴キャプチャユニットを調整するか、前記学習モデルを特徴認識モデルとして出力するかを決定する、
ことを特徴とするネットワーク行為特徴を学習する処理システム。
前記ネットワークパケットを受信する少なくとも1つのサーバ端末と、
パケットキャプチャユニットと、特徴キャプチャユニットと、パケット格納ユニットと、特徴格納ユニットと、処理ユニットと、学習モデルとを備えるネットワーク機器と、
を含むネットワーク行為特徴を学習する処理システムにおいて、
前記パケットキャプチャユニットは、前記ユーザ端末および前記サーバ端末を通った前記ネットワークパッケージをキャプチャし、
前記特徴キャプチャユニットは、少なくとも1つの特徴テンプレートで前記ネットワークパケットを解析すると共に、前記ネットワークパケットの少なくとも1つの行為特徴情報をキャプチャし、
前記パケット格納ユニットは、前記ネットワークパケットを格納し、
前記特徴格納ユニットは、前記行為特徴情報および複数の行為結果情報を格納し、
前記処理ユニットは、前記行為特徴情報および行為結果情報を受信すると共に前記学習モデルに入力し、
前記学習モデルは、前記少なくとも1つの行為特徴情報および行為結果情報に基づいて、学習収束情報を出力し、
前記処理ユニットは、前記学習収束情報に基づいて、前記特徴キャプチャユニットを調整するか、前記学習モデルを特徴認識モデルとして出力するかを決定する、
ことを特徴とするネットワーク行為特徴を学習する処理システム。
【請求項4】
前記処理ユニットは、前記学習収束情報に基づいて前記特徴キャプチャユニットを調整することを決定し、
前記特徴キャプチャユニットは、処理ユニットの調整要求によってその特徴テンプレートを調整し、前記特徴キャプチャユニットは、さらに、調整された特徴テンプレートで前記ネットワークパケットを解析し、前記ネットワークパケットの新しい行為特徴情報をキャプチャする、
ことを特徴とする請求項3に記載のネットワーク行為特徴を学習する処理システム。
前記特徴キャプチャユニットは、処理ユニットの調整要求によってその特徴テンプレートを調整し、前記特徴キャプチャユニットは、さらに、調整された特徴テンプレートで前記ネットワークパケットを解析し、前記ネットワークパケットの新しい行為特徴情報をキャプチャする、
ことを特徴とする請求項3に記載のネットワーク行為特徴を学習する処理システム。
【請求項5】
前記サーバ端末は、異常行為検出器をさらに含み、
前記異常行為検出器は、前記ネットワークパケットから少なくとも1つの異常行為情報を検出し、前記異常行為情報を行為解析ユニットに送信する、
ことを特徴とする請求項3に記載のネットワーク行為特徴を学習する処理システム。
前記異常行為検出器は、前記ネットワークパケットから少なくとも1つの異常行為情報を検出し、前記異常行為情報を行為解析ユニットに送信する、
ことを特徴とする請求項3に記載のネットワーク行為特徴を学習する処理システム。
【請求項6】
前記行為解析ユニットは、前記特徴キャプチャユニットおよびパケット格納ユニットに接続し、異常行為情報に基づいて前記パケット格納ユニット中の前記ネットワークパケットを解析し、特徴キャプチャユニットにその特徴テンプレートを調整するよう要求する、
ことを特徴とする請求項5に記載のネットワーク行為特徴を学習する処理システム。
ことを特徴とする請求項5に記載のネットワーク行為特徴を学習する処理システム。
【請求項7】
少なくとも1つの行為結果情報を特徴格納ユニットに格納するステップと、
パケットキャプチャユニットが、少なくとも1つのユーザ端末が提供したネットワークパケットをキャプチャすると共に、パケット格納ユニットに格納するステップと、
特徴キャプチャユニットが、さらに、パケット格納ユニットからネットワークパケットを解析すると共に、少なくとも1つの特徴テンプレートによって相応の行為特徴情報を取得し、特徴格納ユニットに格納するステップと、
処理ユニットが、特徴格納ユニットから行為特徴情報および行為結果情報を取得すると共に、学習収束情報を出力する学習モデルにインポートするステップと、
前記処理ユニットは、学習収束情報に基づいて、前記特徴キャプチャユニットを調整するか、前記学習モデルを特徴認識モデルとして出力するかを決定するステップとを、含む、
ことを特徴とするネットワーク行為特徴を学習する処理方法。
パケットキャプチャユニットが、少なくとも1つのユーザ端末が提供したネットワークパケットをキャプチャすると共に、パケット格納ユニットに格納するステップと、
特徴キャプチャユニットが、さらに、パケット格納ユニットからネットワークパケットを解析すると共に、少なくとも1つの特徴テンプレートによって相応の行為特徴情報を取得し、特徴格納ユニットに格納するステップと、
処理ユニットが、特徴格納ユニットから行為特徴情報および行為結果情報を取得すると共に、学習収束情報を出力する学習モデルにインポートするステップと、
前記処理ユニットは、学習収束情報に基づいて、前記特徴キャプチャユニットを調整するか、前記学習モデルを特徴認識モデルとして出力するかを決定するステップとを、含む、
ことを特徴とするネットワーク行為特徴を学習する処理方法。
【請求項8】
前記処理ユニットが学習収束情報に基づいて特徴キャプチャユニットを調整するステップは、
前記特徴キャプチャユニットが、処理ユニットの調整要求によってその特徴テンプレートを調整するステップと、
前記特徴キャプチャユニットは、さらに、調整された特徴テンプレートで前記ネットワークパケットを解析し、前記ネットワークパケットの新しい行為特徴情報をキャプチャするステップと、を含む、
ことを特徴とする請求項7に記載のネットワーク行為特徴を学習する処理方法。
前記特徴キャプチャユニットが、処理ユニットの調整要求によってその特徴テンプレートを調整するステップと、
前記特徴キャプチャユニットは、さらに、調整された特徴テンプレートで前記ネットワークパケットを解析し、前記ネットワークパケットの新しい行為特徴情報をキャプチャするステップと、を含む、
ことを特徴とする請求項7に記載のネットワーク行為特徴を学習する処理方法。
【請求項9】
さらに異常行為検出器を提供し、前記異常行為検出器は、前記ネットワークパケットから少なくとも1つの異常行為情報を検出し、前記異常行為情報を行為解析ユニットに送信する、
ことを特徴とする請求項7に記載のネットワーク行為特徴を学習する処理方法。
ことを特徴とする請求項7に記載のネットワーク行為特徴を学習する処理方法。
【請求項10】
前記行為解析ユニットは、異常行為情報に基づいて前記パケット格納ユニット中の前記ネットワークパケットを解析し、特徴キャプチャユニットにその特徴テンプレートを調整するよう要求する、
ことを特徴とする請求項9に記載のネットワーク行為特徴を学習する処理方法。
ことを特徴とする請求項9に記載のネットワーク行為特徴を学習する処理方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、学習能力を有する電子機器、処理システムおよび方法に関し、特に、ネットワーク行為特徴を学習するネットワーク機器、処理システムおよび方法に関する。
【背景技術】
【0002】
インターネットの急速な発展に伴い、情報の転送を加速させるほか、多くの産業の行為が変えられている。インターネットでのセキュリティを確保するために、どのようにしてネットワーク攻撃を防ぐかが大きな課題となっている。従来のネットワーク攻撃を防ぐ手段としては、攻撃が発生してからパケットの解析を開始する。インターネットの転送方式の多様化によって、従来の単一型のネットワーク攻撃行為は、複合式の攻撃行為あるいは全く新しい攻撃方式に転換し始めた。しかしながら、このようなネットワーク攻撃行為に対して、従来のサーバやネットワーク機器は、事後の更新によってしか防ぐことができず、即座に攻撃を受けたことを通知することができないため、反応のタイミングを逸することになる。
【発明の概要】
【0003】
これに鑑みて、前記の問題を有効に解決するために、本発明の主な目的は、学習能力を持つ電子機器、処理システムおよび方法であって、ネットワーク行為特徴を学習するネットワーク機器、処理システムおよび方法を提供することである。
【0004】
前記目的を達成するために、本発明は、複数のネットワークパケットをキャプチャするパケットキャプチャユニットと、前記パケットキャプチャユニットに接続し、前記ネットワークパケットを格納するパケット格納ユニットと、前記パケット格納ユニットに接続し、少なくとも1つの特徴テンプレートで前記ネットワークパケットを解析すると共に、前記ネットワークパケットの少なくとも1つの行為特徴情報をキャプチャする特徴キャプチャユニットと、前記特徴キャプチャユニットに接続し、前記行為特徴情報を格納すると共に、複数の行為結果情報を別に格納する特徴格納ユニットと、前記行為特徴情報および行為結果情報を受信する処理ユニットと、前記少なくとも1つの行為特徴情報および行為結果情報に基づいて、学習収束情報を出力する学習モデルと、を含み、前記処理ユニットは、前記学習収束情報に基づいて、前記特徴キャプチャユニットを調整するか、前記学習モデルを特徴認識モデルとして出力するかを決定する、ネットワーク行為特徴を学習するネットワーク機器を提供する。
【0005】
本発明に係るネットワーク行為特徴を学習するネットワーク機器の一実施例において、前記処理ユニットは、前記学習収束情報に基づいて前記特徴キャプチャユニットを調整することを決定し、前記特徴キャプチャユニットは、処理ユニットの調整要求によってその特徴テンプレートを調整し、前記特徴キャプチャユニットは、さらに、調整された特徴テンプレートで前記ネットワークパケットを解析し、前記ネットワークパケットの新しい行為特徴情報をキャプチャする。
【0006】
本発明は、複数のネットワークパケットを送信する少なくとも1つのユーザ端末と、前記ネットワークパケットを受信する少なくとも1つのサーバ端末と、ネットワーク機器と、を含む、ネットワーク行為特徴を学習する処理システムを提供する。前記ネットワーク機器は、前記ユーザ端末および前記サーバ端末を通った前記ネットワークパッケージをキャプチャするパケットキャプチャユニットと、少なくとも1つの特徴テンプレートで前記ネットワークパケットを解析すると共に、前記ネットワークパケットの少なくとも1つの行為特徴情報をキャプチャする特徴キャプチャユニットと、前記ネットワークパケットを格納するパケット格納ユニットと、前記行為特徴情報および複数の行為結果情報を格納する特徴格納ユニットと、前記行為特徴情報および行為結果情報を受信すると共に、前記学習モデルに入力する処理ユニットと、前記少なくとも1つの行為特徴情報および行為結果情報に基づいて、学習収束情報を出力する学習モデルとを備える。前記処理ユニットは、前記学習収束情報に基づいて、前記特徴キャプチャユニットを調整するか、前記学習モデルを特徴認識モデルとして出力するかを決定する。
【0007】
本発明に係るネットワーク行為特徴を学習する処理システムの一実施例において、前記処理ユニットは、前記学習収束情報に基づいて前記特徴キャプチャユニットを調整することを決定し、前記特徴キャプチャユニットは、処理ユニットの調整要求によってその特徴テンプレートを調整し、前記特徴キャプチャユニットは、さらに、調整された特徴テンプレートで前記ネットワークパケットを解析し、前記ネットワークパケットの新しい行為特徴情報をキャプチャする。
【0008】
本発明に係るネットワーク行為特徴を学習する処理システムの一実施例において、前記サーバ端末は、異常行為検出器をさらに含み、前記異常行為検出器は、前記ネットワークパケットから少なくとも1つの異常行為情報を検出し、前記異常行為情報を行為解析ユニットに送信する。
【0009】
本発明に係るネットワーク行為特徴を学習する処理システムの一実施例において、前記行為解析ユニットは、前記特徴キャプチャユニットおよびパケット格納ユニットに接続し、異常行為情報に基づいて前記パケット格納ユニット中の前記ネットワークパケットを解析し、特徴キャプチャユニットにその特徴テンプレートを調整するよう要求する。
【0010】
本発明は、少なくとも1つの行為結果情報を特徴格納ユニットに格納するステップと、パケットキャプチャユニットが、少なくとも1つのユーザ端末が提供したネットワークパケットをキャプチャし、パケット格納ユニットに格納するステップと、特徴キャプチャユニットが、さらに、パケット格納ユニットからネットワークパケットを解析すると共に、少なくとも1つの特徴テンプレートによって相応の行為特徴情報を取得し、特徴格納ユニットに格納するステップと、処理ユニットが特徴格納ユニットから行為特徴情報および行為結果情報を取得し、学習収束情報を出力する学習モデルにインポートするステップと、前記処理ユニットは、学習収束情報に基づいて、前記特徴キャプチャユニットを調整するか、前記学習モデルを特徴認識モデルとして出力するかを決定するステップとを、含むネットワーク行為特徴を学習する処理方法を提供する。
【0011】
本発明に係るネットワーク行為特徴を学習する処理方法の一実施例において、前記処理ユニットが学習収束情報に基づいて特徴キャプチャユニットを調整するステップは、前記特徴キャプチャユニットが、処理ユニットの調整要求によってその特徴テンプレートを調整するステップと、前記特徴キャプチャユニットは、さらに、調整された特徴テンプレートで前記ネットワークパケットを解析し、前記ネットワークパケットの新しい行為特徴情報をキャプチャするステップとを含む。
【0012】
本発明に係るネットワーク行為特徴を学習する処理方法の一実施例において、さらに異常行為検出器を提供し、前記異常行為検出器は、前記ネットワークパケットから少なくとも1つの異常行為情報を検出し、前記異常行為情報を行為解析ユニットに送信する。
【0013】
本発明に係るネットワーク行為特徴を学習する処理方法の一実施例において、前記行為解析ユニットは、異常行為情報に基づいて前記パケット格納ユニット中の前記ネットワークパケットを解析し、特徴キャプチャユニットにその特徴テンプレートを調整するよう要求する。
【図面の簡単な説明】
【0014】
【発明を実施するための形態】
【0015】
本発明の上記目的ならびその構造および機能的特徴については、添付図面の好ましい実施例に基づいて説明される。
【0016】
図1を参照すると、図1は、本発明のオンラインでのファームウェアを更新する処理システムのシステムアーキテクチャ概略図であり、図からは、本発明に係るネットワーク行為特徴を学習する処理システムのシステムアーキテクチャ概略図であることが明らかである。
【0017】
ネットワーク行為特徴を学習する処理システム100は、複数のユーザ端末110と、複数のサーバ端末120と、ネットワーク機器130とを含む。ネットワーク機器130は、ユーザ端末110とサーバ端末120との間にネットワークを介して接続されている。ネットワーク機器130は、ルータ、ゲートウェイ、リピータ、またはブリッジとすることができるが、これらに限定されない。
【0018】
ユーザ端末110は、複数のネットワークパケット151をサーバ端末120に送信する。
【0019】
ネットワーク機器130は、パケットキャプチャユニット131と、パケット格納ユニット133と、特徴キャプチャユニット132と、特徴格納ユニット136と、処理ユニット134と、学習モデル135とを有する。パケットキャプチャユニット131は、ユーザ端末110からサーバ端末120を通ったネットワークパケット151をキャプチャする。パケットキャプチャユニット131は、取得したネットワークパケット151をパケット格納ユニット133に転送し、ネットワークパケット151がパケット格納ユニット133に格納された。特徴キャプチャユニット132は、パッケージ格納ユニット133、特徴格納ユニット136および処理ユニット134に接続されている。
【0020】
特徴キャプチャユニット132は、パケット格納ユニット133からネットワークパケット151を取得し、特徴テンプレート211によってネットワークパケット151から行為特徴情報152を取得する。特徴キャプチャユニット132は、個々のネットワークパケット151、所定数のネットワークパケット151、または所定時間帯に取得されたネットワークパケット151に基づいて解析を行い、行為特徴情報152を取得することができる。特徴テンプレート211は、送信側または受信側のネットワークパケット151の転送プロトコル、キャプチャ数、ヘッダ情報、転送ポート、転送時間、パケット内容、転送速度、転送方向、TCPフラグの回数、受信側、パケット数、パケット大きさ、到着間隔時間(inter arrival time)、データストリームアクティビティ時間、データストリームアイドル時間などを含む。例えば、図2に示すように、特徴キャプチャユニット132は、特徴テンプレート211によって前記ネットワークパケット中の行為特徴情報152を取得し、図2には、行為特徴情報152および特徴テンプレート211の内容であり、示された行為特徴情報152は、一組の量子化データ、マトリックスまたは画像である。特徴テンプレート211は、図2の実施例における4組に限定されるものではなく、学習モデル135の学習状況に応じて調整することができる。
【0021】
特徴キャプチャユニット132は、取得した行為特徴情報152を特徴格納ユニット134に格納し、処理ユニット134は、特徴格納ユニット136から行為特徴情報152および行為結果情報153を取得して学習モデル135にインポートし、学習モデル135は、行為特徴情報152および行為結果情報153に基づいて学習を行う。ここで、学習モデル135は、人工知能(Artificial Intelligence)より構成され、人工知能は、人工ニューラルネットワーク、決定木、パーセプトロン、サポートベクターマシン(SVM)、整合学習、次元降下と度量学習、クラスタリング、ベイズ分類器、またはフィードフォワードニューラルネットワーク(Feed Forward Neural Network )などを含むが、それだけではない。また、行為結果情報153は、システム構築前に特徴格納ユニット136に取得、格納され、主に、外部アナライザによって既知のセキュリティユーザ端末111のネットワークパケット151を解析すると共に、外部アナライザによってその行為特徴情報152を取得し、これは正常な行為特徴情報152と見なすことができ、さらに、当該正常な行為特徴情報152に対応して正常な行為結果情報153を生成する。逆に、既知の悪意ユーザ端末112のネットワークパケット151に対して悪意のある行為結果情報153を解析し得て、これらの行為結果情報153を特徴格納ユニット136に格納する。行為結果情報153は、量子化データ、マトリックスまたは画像とすることができ、従来のフィードフォワードニューラルネットワークを例にすれば、正常な行為結果情報は整数1であり、悪意のある行為結果情報は整数0である。
【0022】
学習モデル135は、受信した行為特徴情報152および行為結果情報153に基づいてネットワーク攻撃行為の学習を行い、学習モデル135は、学習の結果を学習収束情報として出力する。ここで、処理ユニット134は、特徴キャプチャユニット132および特徴格納ユニット136に接続され、処理ユニット134は、学習モデル135を実行する以外に、学習モデル135が出力した学習収束情報に基づいて評価を行い、その学習モデル135の学習収束情報が学習の目標に合致するかどうかを判断し、特徴キャプチャユニットを調整するか、学習モデルを特徴認識モデルとして出力するかを決定する。処理ユニット134は、学習モデル135の学習収束情報が学習の目標に合致すると判断すれば、特徴認識モデルを出力し、逆の場合、処理ユニット134は、特徴キャプチャユニット132を調整する。
【0023】
学習収束情報は、収束状態と未収束状態の2つに大きく分けられる。学習収束情報が収束状態であれば学習目標に適合し、非収束状態であれば適合しない。例えば、処理ユニット134は、閾値0.9を予め設定し、学習収束情報が数値0.9を超えていれば収束状態に適合とし、逆に、出力される学習収束情報が0.5であれば非収束状態とし、ここで閾値が0.9であるが、0.9に限定されず、人工知能、行為結果情報153、または学習モデル135によって設定してもよい。なお、上述した収束、未収束状態は、人工知能、行為結果情報153、または学習モデル135によっても異なり、限定されるものではない。
【0024】
その中、処理ユニット134は、特徴キャプチャユニット132を調整するとき、一定回数を学習しても、または、ある時間を取っても学習目標に合致しない場合、処理ユニット134は、特徴キャプチャユニット132に調整要求を発送し、特徴キャプチャユニット132は、調整要求によって特徴テンプレート211を調整し、換言すれば、特徴キャプチャユニット132は、従来の特徴テンプレート211の集合から別に新しい特徴テンプレート211を選択するか、或は、新たにネットワークパッケージ151から新しい特徴テンプレート211をキャプチャする。特徴キャプチャユニット132は、調整した特徴テンプレート211に基づいて、ネットワークパッケージ151を解析し、さらに、新しい特徴テンプレート211で新しい行為特徴情報152を取得し、学習モデル135の学習に用いるために特徴格納ユニット136に格納する。
【0025】
また、別の方式で特徴キャプチャユニット132を調整することができ、図3に示すように、図3は、本発明のオンラインでのファームウェアを更新する処理システムの別のシステムアーキテクチャ概略図である。サーバ端末120は、異常行為検出器151をさらに含み、異常行為検出器121は、前記ネットワークパケット120から前記異常行為情報154を検出し、異常行為検出器121は、異常行為情報154を行為解析ユニット137に送信し、行為解析ユニット137は、特徴キャプチャユニット132およびパケット格納ユニット133に接続し、行為解析ユニット137は、異常行為情報154に基づいて、パケット格納ユニット133中のこれらのネットワークパケット151を解析し、特徴キャプチャユニット132に特徴テンプレート211を調整するように要求し、例えば、サーバ端末120の中央処理器の運転負荷が正常の場合には50%に維持するとすれば、サーバ端末120の運転負荷が急に90%まで高く上昇しかつ長期間に亘って運転されると、異常行為検出器121は、異常行為情報154と判断され、異常行為検出器121は、行為解析ユニット137に当該期間の異常行為情報154を送信し、行為解析ユニット137は、パケット格納ユニット137における当該期間のネットワークパケット151を解析し、解析結果に基づいて特徴キャプチャユニット132に対して特徴テンプレート133を調整するよう要求する。異常行為は、運転負荷に限定されず、パケット大きさ、ストリーム大きさ、プロトコルの種類、接続ポートまたはネットワークサービスなどにも適用可能であり、行為解析ユニット137は、網羅的アルゴリズム(Exhaustive Algorithm)を使用してパケットを解析することができる。
【0026】
本実施例の運転過程を分かりやすく説明するために、本発明のネットワーク行為特徴を学習する処理方法のフローチャートである図4を参照する。ネットワーク行為特徴を学習する処理方法は、次のステップを含む。
【0027】
ステップS310では、行為結果情報を特徴格納ユニットに格納する。外部アナライザにより既知のセキュリティユーザ端末111または悪意ユーザ端末112のネットワークパケット151を解析し、正常または悪意の行為特徴情報152を取得し、正常または悪意の行為特徴情報152により相応の行為結果情報153を生成し、特徴格納ユニット136に格納する。
【0028】
ステップS320では、パケットキャプチャユニットが、ユーザ端末が提供したネットワークパケットをキャプチャしてパケット格納ユニットに格納する。まず、ネットワーク機器130は、ユーザ端末110がサーバ端末120に送信したネットワークパケット151を受信し、ネットワーク機器130のパケットキャプチャユニット131は、ユーザ端末110がサーバ端末120に送信したネットワークパケット151を同時に送信したり、パケット格納ユニット133に格納したりするように、サイドローディングやバイパスなどを介してネットワークパケット151を取得することができる。
【0029】
ステップS330では、さらに、特徴キャプチャユニットが、パケット格納ユニットからネットワークパケットを解析し、特徴テンプレートに基づいて相応の行為特徴情報を取得して特徴格納ユニットに格納する。特徴キャプチャユニット132は、パケット格納ユニット133からネットワークパケット151を解析し、特徴テンプレート211に基づいて相応の行為特徴情報152を取得し、その後、行為特徴情報152を特徴格納ユニット136に格納する。ここで、特徴キャプチャユニット132は、ネットワークフロー監視ソフトウェア、例えば:Netflowを介してネットワークパケット151を解析することができるが、これに限定されない。
【0030】
ステップS340では、処理ユニットは、特徴格納ユニットから行為特徴情報および行為結果情報を取得して学習モデルにインポートし、この学習モデルは学習収束情報を出力する。処理ユニット134は、特徴格納ユニット136から行為特徴情報152および行為結果情報153を取得し、学習モデル135にインポートし、学習モデル135は、行為特徴情報152および行為結果情報153に基づいて学習を行い、学習モデル135は、学習結果を学習収束情報として出力する。
【0031】
ステップS350では、この処理ユニットは、学習収束情報に基づいて、特徴キャプチャユニットを調整するか、学習モデルを特徴認識モデルとして出力するかを決定する。ここで、処理ユニット134は、異なる期間またはユーザ端末110の組合せに対応する学習収束情報を継続的に取得し、処理ユニット134は、取得した学習収束情報に基づいて学習モデル135の学習状態を評価し、学習収束情報が継続的に収束状態である場合には、処理ユニット134は、学習モデル135を特徴認識モデルとして格納する。処理ユニット134は、特徴認識モデルを他のネットワーク機器130に出力する。
【0032】
逆に、学習収束情報が非収束状態で続く場合、当該処理ユニット134は、調整要求を特徴キャプチャユニット132へ送信し、当該特徴キャプチャユニット132は、調整要求に基づいて特徴テンプレート211を調整する。換言すれば、特徴キャプチャユニット132は、既存の特徴テンプレート211の集合から新たな特徴テンプレート211を別途選択するか、新たにネットワークパケット151から新しい特徴テンプレート211をキャプチャし、特徴キャプチャユニット132は、調整後の特徴テンプレート211に基づいてネットワークパケット151を解析し、新たな行為特徴情報152を取得するのに用いられ、特徴格納ユニット136に格納される。そして、処理ユニット134は、新しい行為特徴情報152と相応の行為結果情報153に基づいて、新しい学習収束情報を取得するために、ステップS340およびS350を再び実行する。特徴テンプレートを調整する方法は、特徴テンプレートを追加または削除することであってよい。
【0033】
また、ステップS350を複数回経て、収束情報を学習しても収束しない場合、行為解析ユニット137は、異常行為情報154に基づいて、当該パケット格納ユニット133におけるこれらのネットワークパケット151を解析し、特徴キャプチャユニット132に特徴テンプレート211を調整するよう要求する。
【0034】
従って、本発明のネットワーク行為特徴を学習するネットワーク機器130、処理システム100および方法は、ネットワークパケット151および相応の行為特徴を学習することによって、学習モデル135の判断精度を調整することができる。さらに、処理システム100のサーバ端末120は、認識されていない悪意のある攻撃の行為特徴情報152を提供することもできる。ネットワーク機器130は、異なるルートのデータソースを介して完全な保護の目的を達成する。
【0035】
以上、本発明を詳細に説明したが、上述で説明されたものは、本発明の1つの好ましい実施例にすぎず、本発明の実施範囲を限定するものではなく、すなわち本発明の請求範囲によって行う均等変化と修飾などは、本発明の特許請求範囲に属するべきである。
【符号の説明】
【0036】
100 処理システム
110 ユーザ端末
111 セキュリティユーザ端末
112 悪意ユーザ端末
120 サーバ端末
121 異常行為検出器
130 ネットワーク機器
131 パケットキャプチャユニット
132 特徴キャプチャユニット
133 パッケージ格納ユニット
134 処理ユニット
135 学習モデル
136 特徴格納ユニット
137 行為解析ユニット
151 ネットワークパケット
152 行為特徴情報
153 行為結果情報
154 異常行為情報
211 特徴テンプレート
110 ユーザ端末
111 セキュリティユーザ端末
112 悪意ユーザ端末
120 サーバ端末
121 異常行為検出器
130 ネットワーク機器
131 パケットキャプチャユニット
132 特徴キャプチャユニット
133 パッケージ格納ユニット
134 処理ユニット
135 学習モデル
136 特徴格納ユニット
137 行為解析ユニット
151 ネットワークパケット
152 行為特徴情報
153 行為結果情報
154 異常行為情報
211 特徴テンプレート
【図1】
【図2】
【図3】
【図4】
【手続補正書】
【提出日】2023-03-17
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
複数のネットワークパケットを送信する少なくとも1つのユーザ端末と、
前記ネットワークパケットを受信する少なくとも1つのサーバ端末と、
パケットキャプチャユニットと、特徴キャプチャユニットと、パケット格納ユニットと、特徴格納ユニットと、処理ユニットと、学習モデルとを備えるネットワーク機器と、
を含むネットワーク行為特徴を学習する処理システムにおいて、
前記サーバ端末は、前記ネットワークパケットから少なくとも1つの異常行為情報を検出して前記異常行為情報を行為解析ユニットに送信するための異常行為検出器をさらに含み、
前記パケットキャプチャユニットは、前記ユーザ端末および前記サーバ端末を通った前記ネットワークパケットをキャプチャし、
前記特徴キャプチャユニットは、少なくとも1つの特徴テンプレートで前記ネットワークパケットを解析すると共に、前記ネットワークパケットの少なくとも1つの行為特徴情報をキャプチャし、
前記パケット格納ユニットは、前記ネットワークパケットを格納し、
前記特徴格納ユニットは、前記行為特徴情報および複数の行為結果情報を格納し、
前記処理ユニットは、前記行為特徴情報および行為結果情報を受信すると共に前記学習モデルに入力し、
前記学習モデルは、前記少なくとも1つの行為特徴情報および行為結果情報に基づいて、学習収束情報を出力し、
前記処理ユニットは、前記学習収束情報に基づいて、前記特徴キャプチャユニットを調整するか、前記学習モデルを特徴認識モデルとして出力するかを決定する、
ことを特徴とするネットワーク行為特徴を学習する処理システム。
前記ネットワークパケットを受信する少なくとも1つのサーバ端末と、
パケットキャプチャユニットと、特徴キャプチャユニットと、パケット格納ユニットと、特徴格納ユニットと、処理ユニットと、学習モデルとを備えるネットワーク機器と、
を含むネットワーク行為特徴を学習する処理システムにおいて、
前記サーバ端末は、前記ネットワークパケットから少なくとも1つの異常行為情報を検出して前記異常行為情報を行為解析ユニットに送信するための異常行為検出器をさらに含み、
前記パケットキャプチャユニットは、前記ユーザ端末および前記サーバ端末を通った前記ネットワークパケットをキャプチャし、
前記特徴キャプチャユニットは、少なくとも1つの特徴テンプレートで前記ネットワークパケットを解析すると共に、前記ネットワークパケットの少なくとも1つの行為特徴情報をキャプチャし、
前記パケット格納ユニットは、前記ネットワークパケットを格納し、
前記特徴格納ユニットは、前記行為特徴情報および複数の行為結果情報を格納し、
前記処理ユニットは、前記行為特徴情報および行為結果情報を受信すると共に前記学習モデルに入力し、
前記学習モデルは、前記少なくとも1つの行為特徴情報および行為結果情報に基づいて、学習収束情報を出力し、
前記処理ユニットは、前記学習収束情報に基づいて、前記特徴キャプチャユニットを調整するか、前記学習モデルを特徴認識モデルとして出力するかを決定する、
ことを特徴とするネットワーク行為特徴を学習する処理システム。
【請求項2】
前記処理ユニットは、前記学習収束情報に基づいて前記特徴キャプチャユニットを調整することを決定し、
前記特徴キャプチャユニットは、処理ユニットの調整要求によってその特徴テンプレートを調整し、前記特徴キャプチャユニットは、さらに、調整された特徴テンプレートで前記ネットワークパケットを解析し、前記ネットワークパケットの新しい行為特徴情報をキャプチャする、
ことを特徴とする請求項1に記載のネットワーク行為特徴を学習する処理システム。
前記特徴キャプチャユニットは、処理ユニットの調整要求によってその特徴テンプレートを調整し、前記特徴キャプチャユニットは、さらに、調整された特徴テンプレートで前記ネットワークパケットを解析し、前記ネットワークパケットの新しい行為特徴情報をキャプチャする、
ことを特徴とする請求項1に記載のネットワーク行為特徴を学習する処理システム。
【請求項3】
前記行為解析ユニットは、前記特徴キャプチャユニットおよびパケット格納ユニットに接続し、異常行為情報に基づいて前記パケット格納ユニット中の前記ネットワークパケットを解析し、特徴キャプチャユニットにその特徴テンプレートを調整するよう要求する、
ことを特徴とする請求項1に記載のネットワーク行為特徴を学習する処理システム。
ことを特徴とする請求項1に記載のネットワーク行為特徴を学習する処理システム。
【請求項4】
少なくとも1つの行為結果情報を特徴格納ユニットに格納するステップと、
パケットキャプチャユニットが、少なくとも1つのユーザ端末が提供したネットワークパケットをキャプチャすると共に、パケット格納ユニットに格納するステップと、
特徴キャプチャユニットが、さらに、パケット格納ユニットからネットワークパケットを解析すると共に、少なくとも1つの特徴テンプレートによって相応の行為特徴情報を取得し、特徴格納ユニットに格納するステップと、
処理ユニットが、特徴格納ユニットから行為特徴情報および行為結果情報を取得すると共に、学習収束情報を出力する学習モデルにインポートするステップと、
前記処理ユニットは、学習収束情報に基づいて、前記特徴キャプチャユニットを調整するか、前記学習モデルを特徴認識モデルとして出力するかを決定するステップとを、含むネットワーク行為特徴を学習する処理方法において、
さらに異常行為検出器を提供し、前記異常行為検出器は、前記ネットワークパケットから少なくとも1つの異常行為情報を検出して前記異常行為情報を行為解析ユニットに送信する、
ことを特徴とするネットワーク行為特徴を学習する処理方法。
パケットキャプチャユニットが、少なくとも1つのユーザ端末が提供したネットワークパケットをキャプチャすると共に、パケット格納ユニットに格納するステップと、
特徴キャプチャユニットが、さらに、パケット格納ユニットからネットワークパケットを解析すると共に、少なくとも1つの特徴テンプレートによって相応の行為特徴情報を取得し、特徴格納ユニットに格納するステップと、
処理ユニットが、特徴格納ユニットから行為特徴情報および行為結果情報を取得すると共に、学習収束情報を出力する学習モデルにインポートするステップと、
前記処理ユニットは、学習収束情報に基づいて、前記特徴キャプチャユニットを調整するか、前記学習モデルを特徴認識モデルとして出力するかを決定するステップとを、含むネットワーク行為特徴を学習する処理方法において、
さらに異常行為検出器を提供し、前記異常行為検出器は、前記ネットワークパケットから少なくとも1つの異常行為情報を検出して前記異常行為情報を行為解析ユニットに送信する、
ことを特徴とするネットワーク行為特徴を学習する処理方法。
【請求項5】
前記処理ユニットが学習収束情報に基づいて特徴キャプチャユニットを調整するステップは、
前記特徴キャプチャユニットが、処理ユニットの調整要求によってその特徴テンプレートを調整するステップと、
前記特徴キャプチャユニットは、さらに、調整された特徴テンプレートで前記ネットワークパケットを解析し、前記ネットワークパケットの新しい行為特徴情報をキャプチャするステップと、を含む、
ことを特徴とする請求項4に記載のネットワーク行為特徴を学習する処理方法。
前記特徴キャプチャユニットが、処理ユニットの調整要求によってその特徴テンプレートを調整するステップと、
前記特徴キャプチャユニットは、さらに、調整された特徴テンプレートで前記ネットワークパケットを解析し、前記ネットワークパケットの新しい行為特徴情報をキャプチャするステップと、を含む、
ことを特徴とする請求項4に記載のネットワーク行為特徴を学習する処理方法。
【請求項6】
前記行為解析ユニットは、異常行為情報に基づいて前記パケット格納ユニット中の前記ネットワークパケットを解析し、特徴キャプチャユニットにその特徴テンプレートを調整するよう要求する、
ことを特徴とする請求項4に記載のネットワーク行為特徴を学習する処理方法。
ことを特徴とする請求項4に記載のネットワーク行為特徴を学習する処理方法。
【外国語明細書】