知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】
(24)【登録日】2024-10-28
(45)【発行日】2024-11-06
(54)【発明の名称】通信監視装置、および通信監視方法
(51)【国際特許分類】
H04L 43/0876 20220101AFI20241029BHJP
【FI】
H04L43/0876
【請求項の数】
9
(21)【出願番号】P 2024122997
(22)【出願日】2024-07-30
【審査請求日】2024-07-30
【早期審査対象出願】
(73)【特許権者】
【識別番号】397036309
【氏名又は名称】株式会社インターネットイニシアティブ
(74)【代理人】
【識別番号】100118902
【弁理士】
【氏名又は名称】山本 修
(74)【代理人】
【識別番号】100106208
【弁理士】
【氏名又は名称】宮前 徹
(74)【代理人】
【識別番号】100196508
【弁理士】
【氏名又は名称】松尾 淳一
(74)【代理人】
【識別番号】100195408
【弁理士】
【氏名又は名称】武藤 陽子
(72)【発明者】
【氏名】柿島 純
【審査官】宮島 郁美
(56)【参考文献】
【文献】特開2018-93432(JP,A)
【文献】特開2018-125632(JP,A)
【文献】特開2020-108029(JP,A)
【文献】特許第7521145(JP,B1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L12/00-69/00
(57)【特許請求の範囲】
【請求項1】
ネットワーク帯域幅の異常な使用を行うユーザ端末の時間区間ごとの通信量の時系列データを教師データとして、前記時間区間を順次入力として与えた場合に、前記時間区間ごとのユーザ端末の通信量を出力する再帰型ニューラルネットワークを学習するように構成された第1学習部と、前記第1学習部による学習で構築された学習済み再帰型ニューラルネットワークを、前記ネットワーク帯域幅の前記異常な使用を行うユーザ端末の前記時間区間ごとの通信量の時系列データについての真の異常データとして、前記真の異常データに類似する疑似異常データを生成する生成器と、前記生成器によって生成された前記疑似異常データと前記真の異常データとを識別する識別器とを有する生成モデルの敵対的学習を行うように構成された第2学習部と、
前記第2学習部の敵対的学習によって得られた学習済み生成器を用いて前記疑似異常データを生成するように構成された生成部と、
監視対象のユーザ端末の前記時間区間ごとの通信量の時系列データと、前記生成部によって生成された前記疑似異常データとが一致する場合に、前記監視対象のユーザ端末が、前記ネットワーク帯域幅の前記異常な使用を行うユーザ端末であると判定するように構成された判定部と、
前記判定部による判定結果を通知するように構成された通知部と
を備える通信監視装置。
【請求項2】
請求項1に記載の通信監視装置において、さらに、前記教師データとして用いられる、前記ネットワーク帯域幅の前記異常な使用を行うユーザ端末の前記時間区間ごとの通信量の時系列データを取得するように構成された第1取得部を備え、
前記ネットワーク帯域幅の前記異常な使用は、ユーザ端末が使用可能なネットワーク帯域幅の上限を超えた使用を含む
ことを特徴とする通信監視装置。
【請求項3】
請求項1に記載の通信監視装置において、さらに、前記判定部は、前記監視対象のユーザ端末の前記時間区間ごとの通信量の時系列データが、前記真の異常データと一致する場合に、前記監視対象のユーザ端末が、前記ネットワーク帯域幅の前記異常な使用を行うユーザ端末であると判定する
ことを特徴とする通信監視装置。
【請求項4】
請求項1に記載の通信監視装置において、さらに、前記監視対象のユーザ端末の前記時間区間ごとの通信量の時系列データをコアネットワークから取得するように構成された第2取得部を備える
ことを特徴とする通信監視装置。
【請求項5】
請求項1に記載の通信監視装置において、前記疑似異常データは、前記真の異常データのデータ分布との統計的な距離が最小となるデータ分布を有する
ことを特徴とする通信監視装置。
【請求項6】
ネットワーク帯域幅の異常な使用を行うユーザ端末の時間区間ごとの通信量の時系列データを教師データとして、前記時間区間を順次入力として与えた場合に、前記時間区間ごとのユーザ端末の通信量を出力する再帰型ニューラルネットワークを学習する第1学習ステップと、前記第1学習ステップによる学習で構築された学習済み再帰型ニューラルネットワークを、前記ネットワーク帯域幅の前記異常な使用を行うユーザ端末の前記時間区間ごとの通信量の時系列データについての真の異常データとして、前記真の異常データに類似する疑似異常データを生成する生成器と、前記生成器によって生成された前記疑似異常データと前記真の異常データとを識別する識別器とを有する生成モデルの敵対的学習を行う第2学習ステップと、
前記第2学習ステップでの敵対的学習によって得られた学習済み生成器を用いて前記疑似異常データを生成する生成ステップと、
監視対象のユーザ端末の前記時間区間ごとの通信量の時系列データと、前記生成ステップで生成された前記疑似異常データとが一致する場合に、前記監視対象のユーザ端末が、前記ネットワーク帯域幅の前記異常な使用を行うユーザ端末であると判定する判定ステップと、
前記判定ステップでの判定結果を通知する通知ステップと
を備える通信監視方法。
【請求項7】
請求項6に記載の通信監視方法において、さらに、前記教師データとして用いられる、前記ネットワーク帯域幅の前記異常な使用を行うユーザ端末の前記時間区間ごとの通信量の時系列データを取得する第1取得ステップを備え、
前記ネットワーク帯域幅の前記異常な使用は、ユーザ端末が使用可能なネットワーク帯域幅の上限を超えた使用を含む
ことを特徴とする通信監視方法。
【請求項8】
請求項6に記載の通信監視方法において、さらに、前記判定ステップは、前記監視対象のユーザ端末の前記時間区間ごとの通信量の時系列データが、前記真の異常データと一致する場合に、前記監視対象のユーザ端末が、前記ネットワーク帯域幅の前記異常な使用を行うユーザ端末であると判定する
ことを特徴とする通信監視方法。
【請求項9】
請求項6に記載の通信監視方法において、さらに、前記監視対象のユーザ端末の前記時間区間ごとの通信量の時系列データをコアネットワークから取得する第2取得ステップを備える
ことを特徴とする通信監視方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信監視装置、および通信監視方法に関する。
【背景技術】
【0002】
近年、インターネットに接続するモバイル端末や固定回線端末の数が急増し、インターネットを流れるトラヒックが急増している。モバイル端末や固定回線端末などのユーザ端末には、サービス契約やネットワーク管理によりデータ通信やインターネット接続の帯域幅の上限が事前に設定されている。しかし、ユーザ端末の中には、使用可能な帯域幅の上限を超えた通信を行う端末が存在し、そのようなユーザ端末によるパケットを処理するネットワーク設備において輻輳やバーストトラヒックなどのトラヒック異常が発生する原因となっている。
【0003】
例えば、DoSのように悪意を持って使用可能な帯域幅を超えたトラヒックを流し、バーストトラヒックを発生させる端末が存在する一方、DDoSによる攻撃では、踏み台とされるユーザ端末は意図せず帯域幅の上限を超えた通信を行う場合がある。また、設定された帯域幅を超過する異常な通信パターンにも多様なものが存在する。例えば、設定された帯域幅の上限を大きく超えた通信を行うユーザ端末が存在する一方で、帯域幅の上限をわずかに超える場合や、間欠的に帯域幅の上限を超える通信を行うユーザ端末も存在する。このように、ネットワークのトラヒック異常の原因となり得る帯域幅の異常な使用にも様々な態様が存在するなかで、ネットワーク全体における個々のユーザ端末の通信量の状態を監視して、帯域幅の異常な使用を行うユーザ端末を特定することは困難であった。
【0004】
そこで、特許文献1は、過去のトラヒック情報のデータベースに基づいて、ユーザ端末の通信量を監視する技術を開示している。しかし、特許文献1に開示された技術では、過去のトラヒックのパターンとは異なる帯域幅の異常な使用を行うユーザ端末を特定することは困難である。
【先行技術文献】
【特許文献】
【0005】
【文献】特開2020-108029号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
従来の技術では、ネットワーク帯域幅の異常な使用をより確実に監視することが困難であった。
【0007】
本発明は、上述した課題を解決するためになされたものであり、ネットワーク帯域幅の異常な使用をより確実に監視することを目的とする。
【課題を解決するための手段】
【0008】
上述した課題を解決するために、本発明に係る通信監視装置は、ネットワーク帯域幅の異常な使用を行うユーザ端末の時間区間ごとの通信量の時系列データを教師データとして、前記時間区間を順次入力として与えた場合に、前記時間区間ごとのユーザ端末の通信量を出力する再帰型ニューラルネットワークを学習するように構成された第1学習部と、前記第1学習部による学習で構築された学習済み再帰型ニューラルネットワークを、前記ネットワーク帯域幅の前記異常な使用を行うユーザ端末の前記時間区間ごとの通信量の時系列データについての真の異常データとして、前記真の異常データに類似する疑似異常データを生成する生成器と、前記生成器によって生成された前記疑似異常データと前記真の異常データとを識別する識別器とを有する生成モデルの敵対的学習を行うように構成された第2学習部と、前記第2学習部の敵対的学習によって得られた学習済み生成器を用いて前記疑似異常データを生成するように構成された生成部と、監視対象のユーザ端末の前記時間区間ごとの通信量の時系列データと、前記生成部によって生成された前記疑似異常データとが一致する場合に、前記監視対象のユーザ端末が、前記ネットワーク帯域幅の前記異常な使用を行うユーザ端末であると判定するように構成された判定部と、前記判定部による判定結果を通知するように構成された通知部とを備える。
【0009】
また、本発明に係る通信監視装置において、さらに、前記教師データとして用いられる、前記ネットワーク帯域幅の前記異常な使用を行うユーザ端末の前記時間区間ごとの通信量の時系列データを取得するように構成された第1取得部を備え、前記ネットワーク帯域幅の前記異常な使用は、ユーザ端末が使用可能なネットワーク帯域幅の上限を超えた使用を含んでいてもよい。
【0010】
また、本発明に係る通信監視装置において、さらに、前記判定部は、前記監視対象のユーザ端末の前記時間区間ごとの通信量の時系列データが、前記真の異常データと一致する場合に、前記監視対象のユーザ端末が、前記ネットワーク帯域幅の前記異常な使用を行うユーザ端末であると判定してもよい。
【0011】
また、本発明に係る通信監視装置において、さらに、前記監視対象のユーザ端末の前記時間区間ごとの通信量の時系列データをコアネットワークから取得するように構成された第2取得部を備えていてもよい。
【0012】
また、本発明に係る通信監視装置において、前記疑似異常データは、前記真の異常データのデータ分布との統計的な距離が最小となるデータ分布を有していてもよい。
【0013】
上述した課題を解決するために、本発明に係る通信監視方法は、ネットワーク帯域幅の異常な使用を行うユーザ端末の時間区間ごとの通信量の時系列データを教師データとして、前記時間区間を順次入力として与えた場合に、前記時間区間ごとのユーザ端末の通信量を出力する再帰型ニューラルネットワークを学習する第1学習ステップと、前記第1学習ステップによる学習で構築された学習済み再帰型ニューラルネットワークを、前記ネットワーク帯域幅の前記異常な使用を行うユーザ端末の前記時間区間ごとの通信量の時系列データについての真の異常データとして、前記真の異常データに類似する疑似異常データを生成する生成器と、前記生成器によって生成された前記疑似異常データと前記真の異常データとを識別する識別器とを有する生成モデルの敵対的学習を行う第2学習ステップと、前記第2学習ステップでの敵対的学習によって得られた学習済み生成器を用いて前記疑似異常データを生成する生成ステップと、監視対象のユーザ端末の前記時間区間ごとの通信量の時系列データと、前記生成ステップで生成された前記疑似異常データとが一致する場合に、前記監視対象のユーザ端末が、前記ネットワーク帯域幅の前記異常な使用を行うユーザ端末であると判定する判定ステップと、前記判定ステップでの判定結果を通知する通知ステップとを備える。
【0014】
また、本発明に係る通信監視方法において、さらに、前記教師データとして用いられる、前記ネットワーク帯域幅の前記異常な使用を行うユーザ端末の前記時間区間ごとの通信量の時系列データを取得する第1取得ステップを備え、前記ネットワーク帯域幅の前記異常な使用は、ユーザ端末が使用可能なネットワーク帯域幅の上限を超えた使用を含んでいてもよい。
【0015】
また、本発明に係る通信監視方法において、さらに、前記判定ステップは、前記監視対象のユーザ端末の前記時間区間ごとの通信量の時系列データが、前記真の異常データと一致する場合に、前記監視対象のユーザ端末が、前記ネットワーク帯域幅の前記異常な使用を行うユーザ端末であると判定してもよい。
【0016】
また、本発明に係る通信監視方法において、さらに、前記監視対象のユーザ端末の前記時間区間ごとの通信量の時系列データをコアネットワークから取得する第2取得ステップを備えていてもよい。
【発明の効果】
【0017】
本発明によれば、第1学習部による学習で構築された学習済み再帰型ニューラルネットワークを、ネットワーク帯域幅の異常な使用を行うユーザ端末の時間区間ごとの通信量の時系列データについての真の異常データとして、真の異常データに類似する疑似異常データを生成する生成器と、生成器によって生成された疑似異常データと真の異常データとを識別する識別器とを有する生成モデルの敵対的学習を行う。そのため、ネットワーク帯域幅の異常な使用をより確実に監視することができる。
【図面の簡単な説明】
【0018】
【発明を実施するための形態】
【0019】
【0020】
[通信監視システムの構成]
まず、図1を参照して、本発明の実施の形態に係る通信監視装置1を備える通信監視システムの概要について説明する。
まず、図1を参照して、本発明の実施の形態に係る通信監視装置1を備える通信監視システムの概要について説明する。
【0021】
本実施の形態に係る通信監視システムは、通信監視装置1、複数のユーザ端末2、UPF(User Plane Function)3、およびデータネットワーク(DN)4を備える。通信監視装置1とUPF3とは、例えば、LAN、WANまたはインターネットなどの通信ネットワークNWを介して互いに通信可能に接続されている。ユーザ端末2は、LAN、WANまたはインターネット、ISDNなどの有線ネットワークや、無線LAN、例えば、5G無線通信システムを用いたモバイル通信ネットワークを介して、UPF3を備えるコアネットワークと通信を行うことができる。
【0022】
本実施の形態に係る通信監視システムは、ネットワーク帯域幅の異常な使用を示す通信量の変動パターンのデータベースを事前に構築し、構築されたデータベースに基づいて、監視対象の複数のユーザ端末2の各々が、帯域幅の異常な使用を行う端末であるか否かを判定し、判定結果を通知する。
【0023】
ユーザ端末2は、モバイル端末および固定回線端末を含む。モバイル端末として構成されるユーザ端末2は、SIMを備え、スマートフォンなどの携帯通信端末、タブレット型コンピュータ、ラップトップ型コンピュータなどとして実現される。
【0024】
ユーザ端末2が備えるSIMには、ユーザの契約プロファイルが格納されている。SIMの契約プロファイルには、ユーザの加入者識別情報が格納され、携帯電話の回線契約に割り当てられるIMSI、加入者であるユーザの電話番号(MSISDN:Mobile Subscriber International Subscriber Directory Number)、SIMカード番号(ICCID:Integrated Circuit Card Identifier)等の識別子情報が含まれる。ユーザ端末2は、割り当てられたIMSIによって一意に識別される。
【0025】
ユーザ端末2が固定回線端末として構成される場合、デスクトップコンピュータ、サーバ、IoTデバイスなどとして実現され、端末を一意に識別する端末IPアドレスが割り当てられている。なお、以下の説明では、ユーザ端末2がモバイル端末である場合を例に挙げて説明する。
【0026】
UPF3は、コアネットワークのユーザプレーン機能であり、図示されない無線アクセスネットワーク(RAN)と、データネットワーク(DN)4との間のデータパケットを処理する。UPF3は、複数のユーザ端末2の各々の通信量のログを記録する。ユーザ端末2がモバイル端末の場合には、IMSIごとの通信量の時系列データが記録される。本実施の形態では、UPF3は、予め設定された時間区間ごとの通信量の時系列データを記録する。
【0027】
データネットワーク(DN)4は、コアネットワークの外部のインターネット等であり、ユーザ端末2が有線または無線によりコアネットワークのUPF3を介して接続する。
【0028】
[通信監視装置の機能ブロック]
図1に示すように、通信監視装置1は、第1取得部10、第1学習部11、第2学習部12、第1記憶部13、生成部14、第2記憶部15、第2取得部16、判定部17、および通知部18を備える。
図1に示すように、通信監視装置1は、第1取得部10、第1学習部11、第2学習部12、第1記憶部13、生成部14、第2記憶部15、第2取得部16、判定部17、および通知部18を備える。
【0029】
第1取得部10は、第1学習部11が教師データとして用いる、ネットワーク帯域幅の異常な使用を行うユーザ端末2による時間区間ごとの通信量の時系列データを取得する。ネットワーク帯域幅は、ユーザ端末2の各々と通信事業者とのサービス契約に基づき各ユーザ端末2に設定された使用可能な帯域幅の上限である。また、帯域幅の異常な使用とは、使用可能な帯域幅の上限を超える使用を一定期間にわたって行うことや、一定期間において間欠的に行うことを含む。さらに、帯域幅の異常な使用には、帯域幅の上限を僅かに超えるあるいは超えない程度の上限帯域幅の使用を一定期間にわたって行う場合や、一定期間において間欠的に行うことなど、通常の設定帯域幅の使用を逸脱した通信の態様を含む。このような帯域幅の異常な使用が1台あるいは複数台のユーザ端末2によって行われることで、通常よりも多くのトラヒックが発生し、ネットワークの輻輳やバーストトラヒックの原因となり得る。
【0030】
第1取得部10は、帯域幅の異常な使用として事前に定義された帯域幅の使用パターンに基づいて算出された、ユーザ端末2の時間区間ごとの通信量の時系列データを取得することができる。あるいは、第1取得部10は、過去に発生した帯域幅の異常な使用を行ったユーザ端末2による実際の時間区間ごとの通信量の時系列データの履歴を取得することができる。このように、第1取得部10は、ネットワークの輻輳やバーストトラヒックを発生させる原因として想定される帯域幅の異常な使用の態様に応じた時間区間ごとの通信量の時系列データを取得することができる。例えば、第1取得部10は、管理者により事前に設定された帯域幅の異常な使用に対応する通信量の時系列データを外部から取得することができる。
【0031】
また、時間区間とは、事前に設定された開始時刻と終了時刻とを持つ連続した単位時間であり、1つの時間区間の長さを、例えば、1[ms]とすることができる。さらに、ユーザ端末2の時間区間ごとの通信量の時系列データは、時間区間[ms]ごとに発生した通信量[bps]の時系列データセットである。
【0032】
第1学習部11は、ネットワーク帯域幅の異常な使用を行うユーザ端末2の時間区間ごとの通信量の時系列データを教師データとして、時間区間を順次入力として与えた場合に、時間区間ごとのユーザ端末2の通信量を出力する再帰型ニューラルネットワーク(Recurrent Neural Network:RNN)を学習する。具体的には、第1学習部11は、第1取得部10によって取得された、帯域幅の異常な使用を行うユーザ端末2の時間区間ごとの通信量の時系列データ、すなわち、各時間区間の値に対して、ユーザ端末2の通信量の値を正解ラベルとして付与した時系列シーケンスをRNNの教師データとして用いる。このように、第1学習部11は、RNNにより、帯域幅の異常な使用に係る通信量の変動パターンを学習する。
【0033】
図2は、第1学習部11の学習で用いるRNNのネットワーク構造を示す模式図である。図2に示すように、RNNは、入力層X、メモリセルである隠れ層H、および出力層Yからなるニューラルネットワークで構成され、入力時系列データx(t)から予測時系列データy(t)を出力する。本実施の形態では、入力時系列データは、時間区間の値とする。また、予測時系列データは、各時間区間でのユーザ端末2の通信量である。RNNでは、時系列に沿って、ある時刻の隠れ層から次の時刻の隠れ層に情報を伝える。そのため、時刻tの隠れ層は、時刻tおよび直前の時刻t-1の隠れ層からの入力を受け取る。
【0034】
与えられた時系列データx(t)に対して、RNNは次式(1)、(2)で定義される。
h(t)=σ(U×x(t)+W×h(t-1)+b) ・・・(1)
y(t)=V×h(t)+c ・・・(2)
h(t)=σ(U×x(t)+W×h(t-1)+b) ・・・(1)
y(t)=V×h(t)+c ・・・(2)
【0035】
上式(1)は、入力層から隠れ層への伝播を表し、x(t)は時刻tでの入力ベクトルである。h(t)は、時刻tでの隠れ層の出力である。Uは、入力から隠れ層への重みパラメータ、Wは前の時刻t-1の隠れ状態から現在の時刻tの隠れ状態への重みパラメータである。bは、隠れ層のバイアスベクトル、σは、活性化関数である。
【0036】
上式(2)は、隠れ層から出力層への伝播を表し、y(t)は時刻tでの出力ベクトルである。Vは、隠れ層から出力層への重みパラメータ、cは出力層のバイアスベクトルである。
【0037】
第1学習部11は、誤差逆伝播法などを利用して、与えられた入力値に対して、得られた予測出力値と教師データの出力値とを比較し、その誤差を最小化する目的関数を導入し、重みパラメータの誤差を調べて逆方向に伝播していき、最終的に重みパラメータU、W、Vやバイアスb、cを決定することができる。このような学習処理を経て、第1学習部11は、学習済みRNNを構築する。第1学習部11によって構築された学習済みRNNは、第2学習部12による、生成モデルの敵対的学習における訓練データとして用いられる。
【0038】
第2学習部12は、第1学習部11による学習によって得られた学習済みRNNを、ネットワーク帯域幅の異常な使用を行うユーザ端末2の時間区間ごとの通信量の時系列データについての真の異常データとして、真の異常データに類似する疑似異常データを生成する生成器121と、生成器121によって生成された疑似異常データと真の異常データとを識別する識別器122とを有する生成モデルの敵対的学習を行う。
【0039】
第2学習部12は、図3に示すように、生成器121および識別器122を有するGAN(Generative Adversarrial Network:敵対的生成ネットワーク)を敵対的に学習させる。第2学習部12の学習によって学習済み生成器121’が構築される。このように、本実施の形態では、第1学習部11による学習で構築された学習済みRNNが示す、事前に定義された帯域幅の異常な使用パターンに係る通信量の変動パターンを真の異常データとして考える。さらに、真の異常データを訓練データとして用いて、真の異常データが示す、帯域幅の異常な使用に係る時間区間ごとの通信量の時系列データに類似する疑似異常データを生成する生成器121を学習する。
【0040】
図4および図5は、第2学習部12が用いるGANの生成器121および識別器122のニューラルネットワーク構造を模式的に表した図である。図4に示すように、生成器121は、入力層、隠れ層、および出力層を有するニューラルネットワークで構成される。生成器121は、連続する時間区間の値t_1~t_Dの各々に対応するD個の生成器121_1~121_Dで構成される。生成器121は、図3および図4に示すように、シーケンシャルな時間区間の値sを生成器121_1~121_Dのそれぞれに入力として与え、疑似異常データG1(s)~GD(s)を生成する構成とする。
【0041】
生成器121_1~121_Dの各々は、第1学習部11がRNNの学習で用いた各時刻の学習済みRNNのメモリセルに対応する。例えば、G1で示される生成器121_1は、時間区間の値t_1を入力として、ユーザ端末2が帯域幅の異常な使用を行った場合の、時間区間の値t_1での通信量T1を出力する学習済みRNNのパラメータに類似する疑似異常データを学習することができるニューラルネットワーク構造を有する。生成器121を構成するニューラルネットワークとしてCNNやResNetを用いることができる。
【0042】
生成器121は、入力と重みパラメータの積和演算および活性化関数によるしきい値処理を経て出力G(s)を出力する。例えば、生成器121_1からの出力G1(s)は、学習済みRNNに時間区間の値t_1の値を入力として与えた場合に出力される通信量T1に類似する疑似異常データである。同様に、各時間区間の値t_2~t_Dに対応する生成器121_2~121_Dについても、学習済みRNNから出力される通信量T2~TDに類似する疑似異常データを出力する。このように、本実施の形態に係る生成器121は、各時間区間の値を入力として、ランダム関数を出力する。
【0043】
図5の(a)に示す識別器122は、入力層、隠れ層、および出力層を有するニューラルネットワークで構成される。図5の(a)の例では、訓練データの入力として、第1学習部11によって得られた学習済みRNNから出力される、各時間区間でのユーザ端末2の通信量を示す真の異常データが与えられる。図5の(b)は、識別器122に与えられる入力データを説明するための図である。図5の(b)の例では、真の異常データに係る訓練データを例示する。すなわち、ユーザ端末2が各時間区間t_1~t_Dでデータ通信を行った際の通信量T1~TDが訓練データとして識別器122に与えられる。
【0044】
識別器122は、入力と重みパラメータの積和演算および活性化関数によるしきい値処理を経て、1または0の二値出力を出す。識別器122は、入力された真の異常データに係る訓練データを正しく真の異常データであると識別すると出力y=1を出力する。一方、入力された疑似異常データに係る訓練データを正しく疑似異常データであると識別すると出力y=0を出力する。このように、識別器122は、生成器121が生成したモデル分布を真の分布である訓練データのデータ分布から区別するモデルである。疑似異常データは、真の異常データのデータ分布との統計的な距離が最小となるデータ分布を有する。識別器122を構成するニューラルネットワークとしてCNNを用いることができる。
【0045】
図3は、第2学習部12によるGANの敵対的学習を説明するためのブロック図である。第2学習部12が採用するGANの生成器121を関数G、識別器122を関数Dと表す。なお、以下において生成器121_1~121_Dの関数G1~GDを総称して関数Gという。また、真の異常データをx、識別器122による出力である予測値はyと表し、正解ラベルをtと表す。正解ラベルtは、真の異常データに対して1、生成器121で生成された疑似異常データに対して0と設定される。このとき、識別器122は、二値分類問題として次式(3)の交差エントロピーECEで表すことができる。
【0046】
【数1】
【0047】
上式(3)のブレース内の第1項が表すtnlnynにおいて、識別器122の予測値ynが、真の異常データの正解ラベルtn=1の値に近づくことが望ましい。一方、ブレース内の第2項が表す(1-tn)ln(1-yn)においては、識別器122の予測値ynが、疑似異常データと識別する正解ラベルの値(1-tn)=0に近づくことが望ましい。このように交差エントロピーECEは、予測値が正解ラベルの値に一致している場合に最大値となる。
【0048】
ここで、GANを構成する生成器121は、パラメータwG,θGを有し、関数G(wG,θG)と表す。また、識別器122は、パラメータwD,θDを有し、関数D(wD,θD)と表す。上式(3)の交差エントロピーECEに基づいた生成器121と識別器122とを備えるGANの目的関数Eは、次式(4)で表すことができる。
【数2】
【0049】
上式(4)の第1項が表すED(x)=1lnD(wD,θD)は、識別器122が真の異常データを真の異常データであると識別する期待値である。上式(4)の第2項が表すED(x)=0ln(1-D(G(wG,θG),wD,θD))は、生成器121により生成された疑似異常データを識別器122が疑似異常データであると識別する期待値である。GANの学習では、目的関数Eのmin-max最適化により、生成器121と識別器122とを敵対的に学習する。したがって、識別器122をだますような疑似異常データを生成できるように生成器121を学習し、生成器121が生成した疑似異常データを疑似異常データであると識別するように識別器122を学習する。
【0050】
識別器122の学習では、真の異常データが与えられた場合に、識別器122がy=1に近い出力を出すことで、上式(4)の目的関数Eの第1項を最大化する。一方、疑似異常データが与えられた場合に、識別器122がy=0に近い出力を出すことで目的関数Eの第2項を最大化するように学習が行われる。
【0051】
生成器121の学習では、上式(4)のD(G(wG,θG),wD,θD)(図3のG1(s)~GD(s))が1に近くなるようなG(wG,θG)(図3のG1(s)~GD(s))を出力することで、目的関数Eを最小化する。第2学習部12は、生成器121のパラメータと識別器122のパラメータとを交互に更新する学習手順を用いる。なお、第2学習部12による生成器121および識別器122の学習手順の詳細は後述する。
【0052】
第1記憶部13は、学習済みRNNのパラメータ、および学習済み生成器121’を記憶する。具体的には、第1記憶部13は、各時間区間t_1~t_Dに対応する学習済み生成器121_1’~121_D’を記憶する。
【0053】
生成部14は、第2学習部12の敵対的学習によって得られた学習済み生成器121’を用いて疑似異常データを生成する。より具体的には、生成部14は、時間区間の値t_1~t_Dを学習済み生成器121_1’~121_D’に入力し、学習済み生成器121_1’~121_D’の演算を行って、時間区間ごとのユーザ端末2の通信量を示す疑似異常データを生成する。各学習済み生成器121_1’~121_D’で生成された疑似異常データのシーケンスは、帯域幅の異常な使用による通信量の変動パターンを表す。
【0054】
第2記憶部15は、生成部14によって生成された疑似異常データを記憶する。また、第2記憶部15は、第2学習部12が訓練データとして用いた真の異常データを記憶する。第2記憶部15は、帯域幅の異常な使用を表す時間区間ごとの通信量の時系列データのデータベースを構築する。
【0055】
第2取得部16は、監視対象のユーザ端末2の時間区間ごとの通信量の時系列データをコアネットワークから取得する。具体的には、第2取得部16は、コアネットワークのUPF3から、複数のユーザ端末2の各々の通信量の履歴を一定周期で取得する。第2取得部16は、IMSIをキーとして各ユーザ端末2の時間区間ごとの通信量の履歴を取得する。
【0056】
判定部17は、監視対象のユーザ端末2の時間区間ごとの通信量の時系列データと、生成部14によって生成された疑似異常データとが一致する場合に、監視対象のユーザ端末2が、帯域幅の異常な使用を行う端末であると判定する。また、判定部17は、監視対象のユーザ端末2の時間区間ごとの通信量の時系列データが、真の異常データと一致する場合に、監視対象のユーザ端末2は、帯域幅の異常な使用を行う端末であると判定する。具体的には、判定部17は、第2記憶部15に記憶されている、疑似異常データおよび真の異常データを含む異常データのデータベースに基づいて判定処理を行う。
【0057】
さらに、判定部17は、第2記憶部15に記憶されている疑似異常データおよび真の異常データが示す、時間区間ごとの通信量の時系列データの値から一定範囲内の通信量の時系列データの値を有するユーザ端末2を、帯域幅の異常な使用を行う端末であると判定することができる。ここで、第2取得部16によって取得された監視対象のユーザ端末2の時間区間ごとの通信量の時系列データセットを、[X1,X2,X3,・・・,XD]と表す。また、第2記憶部15に記憶されている異常データに係る時間区間ごとの通信量のl個の時系列データセットを、[Y(1,1),Y(1,2),Y(1,3),・・・,Y(1,D)],[Y(2,1),Y(2,2),Y(2,3),・・・,Y(2,D)],・・・,[Y(L,1),Y(L,2),Y(L,3),・・・,Y(L,D)]と表す。
【0058】
判定部17は、時間区間ごとの通信量のパターンが、第2記憶部15に記憶されている時間区間ごとの通信量のパターンにどれだけ似ているかについて、次式(5)で表すように、2つの時系列データセット間のユークリッド距離を計算し、その距離がしきい値以下であるかを判断することで判定を行うことができる。
【数3】
【0059】
さらに、判定部17は、上式(5)の判定処理の前に、第2取得部16によって取得された監視対象のユーザ端末2の時間区間ごとの通信量の時系列データセット[X1,X2,X3,・・・,XD]と、第2記憶部15に記憶されている異常データが表す時間区間ごとの通信量の時系列データセット[Y(l,1),Y(l,2),Y(l,3),・・・,Y(l,D)]において、互いに対応する時間区間がどれであるかを特定する。例えば、上式(5)では、第2記憶部15に記憶されている異常データの時系列データセットのうち第1の時間区間の通信量Y(l,1)に近い時間区間の通信量として、監視対象のユーザ端末2の通信量の時系列データセットのうちの第1の時間区間の通信量X1が特定されている。
【0060】
判定部17は、上式(5)を用いて判定処理を行う際に、監視対象のユーザ端末2の各時間区間での通信量の値が、対応する時間区間の異常データの通信量の値から一定範囲内となる場合にのみ、その時間区間に対応するデータポイント間の差および二乗の項の算出を行うことができる。例えば、第2記憶部15の第1の時間区間の通信量Y(l,1)の値が2[Gbps]の場合、監視対象のユーザ端末2の対応する第1の時間区間での通信量X1が1.7[Gbps]などであり、2[Gbps]から一定範囲内である場合には、上式(5)においてこれらのデータポイントが考慮される。一定範囲にない場合、例えば、通信量X1が0.7[Gbps]などの場合には、その時間区間での上式(5)の対応する項のデータポイント間の値はないものとして計算される。
【0061】
また、判定部17は、第2記憶部15に記憶されているL個の通信量の時系列データセットについて、上式(5)により、1~L個までの時系列データセットを順番に用いてしきい値処理を行い、上式(5)が満たされた時点で判定処理を終了する。さらに、監視対象となっている複数のユーザ端末2のすべてについて同様に上式(5)を用いた判定処理を行う。
【0062】
さらに、監視対象のユーザ端末2の時間区間ごとの通信量の時系列データセットの各通信量のデータポイントのうち、例えば、最も早い時間区間である第1の時間区間に対応する通信量X1から、第2の時間区間の通信量X2・・・と順番に、上式(5)に代入していき、しきい値以下となった時間区間のデータポイントが現れた時点で判定処理を終了することができる。これにより、1~D個までのすべてのデータポイントについての演算を行うまでもなく判定結果が得られる。
【0063】
通知部18は、判定部17による判定結果を通知する。具体的には、通知部18は、ネットワーク帯域幅の異常な使用を行う端末であると判定した監視対象のユーザ端末2のIMSIをUPF3に通知する。さらに、通知部18は、これらのIMSIで識別されるユーザ端末2の通信を遮断する指示をUPF3に対して行うことができる。
【0064】
[通信監視装置のハードウェア構成]
次に、上述した機能を有する通信監視装置1を実現するハードウェア構成の一例について、図6を用いて説明する。
次に、上述した機能を有する通信監視装置1を実現するハードウェア構成の一例について、図6を用いて説明する。
【0065】
図6に示すように、通信監視装置1は、例えば、バス101を介して接続されるプロセッサ102、主記憶装置103、通信インターフェース104、補助記憶装置105、入出力I/O106を備えるコンピュータと、これらのハードウェア資源を制御するプログラムによって実現することができる。
【0066】
プロセッサ102は、CPU、GPU、FPGA、ASICなどによって実現される。
【0067】
主記憶装置103には、プロセッサ102が各種制御や演算を行うためのプログラムが予め格納されている。プロセッサ102と主記憶装置103とによって、図1に示した第1取得部10、第1学習部11、第2学習部12、生成部14、第2取得部16、判定部17、通知部18など通信監視装置1の各機能が実現される。
【0068】
通信インターフェース104は、通信監視装置1と各種外部電子機器との間をネットワーク接続するためのインターフェース回路である。
【0069】
補助記憶装置105は、読み書き可能な記憶媒体と、その記憶媒体に対してプログラムやデータなどの各種情報を読み書きするための駆動装置とで構成されている。補助記憶装置105には、記憶媒体としてハードディスクやフラッシュメモリなどの半導体メモリを使用することができる。
【0070】
補助記憶装置105は、通信監視装置1が実行する通信監視プログラムを格納するプログラム格納領域を有する。また、補助記憶装置105は、RNNの学習を行うための第1学習プログラム、およびGANを用いた敵対的学習を行うための第2学習プログラムを格納する領域を有する。補助記憶装置105によって、図1で説明した第1記憶部13および第2記憶部15が実現される。さらには、例えば、上述したデータやプログラムなどをバックアップするためのバックアップ領域などを有していてもよい。
【0071】
入出力I/O106は、外部機器からの信号を入力したり、外部機器へ信号を出力したりする入出力装置である。
【0072】
表示装置107は、有機ELディスプレイや液晶ディスプレイなどによって構成される。
【0073】
[通信監視システムの動作]
次に、上述した構成の通信監視装置1を備える通信監視システムの動作を、図7のシーケンス図を参照して説明する。
次に、上述した構成の通信監視装置1を備える通信監視システムの動作を、図7のシーケンス図を参照して説明する。
【0074】
まず、通信監視装置1の第1取得部10は、RNNの学習で用いられる教師データを取得する(ステップS1)。第1取得部10は、例えば、ネットワーク管理者により事前に設定された帯域幅の異常な使用のパターンに対応する、時間区間ごとの通信量の時系列データを取得する。あるいは、第1取得部10は、複数のユーザ端末2の通信量の履歴から、帯域幅の異常な使用が発生した時間区間ごとの通信量の時系列データを抽出して取得することができる。
【0075】
次に、第1学習部11は、RNNを学習する第1学習処理を行う(ステップS2)。より詳細には、第1学習部11は、ステップS1で取得された、帯域幅の異常な使用を行うユーザ端末2による時間区間ごとの通信量の時系列データを教師データとして、時間区間を順次入力として与えた場合に、時間区間ごとのユーザ端末2の通信量を出力するRNNを学習する。
【0076】
ステップS2において、第1学習部11は、誤差逆伝播法などを利用して、与えた入力値に対して、得られた予測出力値と教師データの出力値とを比較し、その誤差を最小化する目的関数を導入し、それぞれの重みパラメータの誤差を調べて逆方向に伝播していき、最終的に上式(1)(2)の重みパラメータU、W、Vやバイアスb、cを決定する。第1記憶部13は、ステップS3の第1学習処理で構築された学習済みRNNを記憶する(ステップS3)。
【0077】
次に、第2学習部12は、第2学習処理を行う(ステップS4)。より詳細には、第2学習部12は、ステップS2の第1学習処理で得られた学習済みRNNを訓練データ、すなわち真の異常データとして、真の異常データに類似する疑似異常データを生成する生成器121と、生成器121によって生成された疑似異常データと真の異常データとを識別する識別器122とを有するGANの敵対的学習を行う。真の異常データは、帯域幅の異常な使用として事前に定められた使用パターンに対応する通信量の変動パターンを表す時間区間ごとの通信量の時系列データである。ステップS4の第2学習処理の詳細は後述する。
【0078】
次に、第1記憶部13は、ステップS4で構築された学習済み生成器121’を記憶する(ステップS5)。具体的には、各時間区間に対応する学習済み生成器121_1’~121_D’が第1記憶部13に記憶される。続いて、生成部14は、ステップS5で構築された学習済み生成器121’(学習済み生成器121_1’~121_D’)を用いて、疑似異常データを生成する(ステップS6)。ステップS6では、事前に用意された各時間区間の値が、各学習済み生成器121_1’~121_D’の入力として与えられる。
【0079】
次に、第2記憶部15は、ステップS6で生成された疑似異常データおよびステップS4で用いられた真の異常データを記憶する(ステップS7)。ステップS7において、既知の異常データのデータベースが構築される。その後、第2取得部16は、監視対象の複数のユーザ端末2の時間区間ごとの通信量の時系列データをUPF3から取得する(ステップS8)。ステップS8で取得される、時間区間ごとの通信量の時系列データは、IMSIをキーとして取得された通信量の時系列データセットである。
【0080】
その後、判定部17は、監視対象のユーザ端末2の時間区間ごとの通信量の時系列データと、生成部14によって生成された疑似異常データとが一致する場合に、監視対象のユーザ端末2が、設定された帯域幅の異常な使用を行うユーザ端末2であると判定する(ステップS9)。ステップS9では、判定部17は、まず、第2記憶部15が記憶する異常データに係る通信量の時系列データセットと、監視対象のユーザ端末2の通信量の時系列データセットとの間で、対応する時間区間を特定する。さらに、対応する時間区間のデータポイントY(l,1)およびデータポイントX1の値が、一定範囲内である場合にのみ、上式(5)のデータポイント間の差の二乗の項を計算し、しきい値による判定処理を行う。
【0081】
ステップS9の判定処理では、IMSIで特定される監視対象のユーザ端末2ごとに、上式(5)を用いて、第2記憶部15に記憶されている1~L個の異常データに係る通信量の時系列データセットを順番に用いてしきい値処理を行う。1~L個のうち一致する時系列データセットが存在した場合に、監視対象のユーザ端末2は帯域幅の異常な使用を行う端末であると判定される。一方、一致する時系列データセットが存在しない場合には、監視対象のユーザ端末2は、帯域幅の異常な使用を行っていないと判定される。
【0082】
その後、通知部18は、ステップS9での判定結果を、ネットワークNWを介してUPF3に通知する(ステップS10)。ステップS10では、帯域幅の異常な使用を行う端末であるとされた監視対象のユーザ端末2のIMSIの通信を遮断する指示をUPF3に対して行うことができる。
【0083】
その後、UPF3は、通信監視装置1からのIMSIの通知に基づいて、通知されたIMSIの通信を遮断する(ステップS11)。
【0084】
次に、図8を参照し、通信監視装置1の第2学習部12による第2学習処理(ステップS4)を説明する。まず、第2学習部12は、図7のステップS2の第1学習部11による第1学習処理で得られた、学習済みのパラメータ、すなわち学習済みRNNを、帯域幅の異常な使用のパターンを表すユーザ端末2の時間区間ごとの通信量の時系列データに係る真の異常データとして取得する(ステップS30)。
【0085】
ここで、図3の第2学習部12によるGANの学習処理に示すように、ステップS30で収集された真の異常データは、識別器122を学習する際に入力される訓練データ124として用いられる。また、識別器122に入力される真の異常データに係る訓練データは、学習済みRNNによって得られた時間区間ごとのユーザ端末2の通信量の時系列シーケンスである。さらに、訓練データとして、n個の通信量の時系列シーケンスのセットを用いることができる。
【0086】
次に、第2学習部12は、真の異常データを訓練データ124として識別器122に入力し、真の異常データを真の異常データ(y=1)と識別するように、識別器122のパラメータwD,θDを学習し、更新する(ステップS31)。ステップS31では、第2学習部12は、例えば、誤差逆伝播法などを用いて識別器122に真の異常データを学習させることができる。ステップS31により、真の異常データを真の異常データと識別することができる識別器122が事前に構築される。
【0087】
次に、第2学習部12は、時間区間の識別番号を生成器121に入力として与える(ステップS32)。より詳細には、図3に示すように、時間軸に沿って最も早い時間区間の値t_1が、生成器121_1に入力される。同様に、時間区間の値t_2~t_Dがそれぞれの生成器121_2~121_Dに入力される。
【0088】
続いて、生成器121は、与えられた時間区間の識別番号に基づいて、入力sと重みパラメータwG,θGの積和演算および活性化関数によるしきい値処理を行い、疑似異常データG(s)を生成する(ステップS33)。より詳細には、生成器121_1~121_Dの各々は、疑似異常データG1(s)~GD(s)を生成する。
【0089】
次に、第2学習部12は識別器122の学習を行う。識別器122の学習は、生成器121のパラメータwD,θDを固定して行われる。まず、第2学習部12は、ステップS30で取得した真の異常データの訓練データ124を識別器122に入力として与え、上式(4)の目的関数Eが最大となるように、誤差逆伝播法などによりパラメータwD,θDを更新する(ステップS34)。なお、訓練データ124のラベルは1(真の異常データ)が設定されている。
【0090】
次に、第2学習部12は、ステップS33で生成器121によって生成された疑似異常データを識別器122に入力として与え、上式(4)の目的関数Eが最大となるように、誤差逆伝播法などによりパラメータwD,θDを更新する(ステップS35)。すなわち、ステップS34およびステップS35では、上式(4)の目的関数Eを最大にするために、第1項はD(wD,θD)=1が出力され、第2項はD(G(wG,θG),wD,θD)=0となるように最適化が行われる。なお、訓練データ124には、ラベルは0(疑似異常データ)が設定されている。また、ステップS35においては、各時間区間に対応する生成器121_1~121_Dの各々で生成された疑似異常データG1(s)~GD(s)が識別器122に与えられる。
【0091】
ステップS34およびステップS35での識別器122の学習は、識別器122からの出力123に基づいて、目的関数Eのブロック125で識別器誤差が算出され、その後、識別器122へ誤差逆伝播されることを示す図3の破線の矢印に対応する。
【0092】
次に、第2学習部12は生成器121の学習を行う。生成器121の学習では、識別器122のパラメータが固定されて行われる。第2学習部12は、各時間区間の識別番号を生成器121に与えた際に疑似異常データが生成されるように生成器121を学習する。具体的には、第2学習部12は、上式(4)の目的関数Eを最小とするために、誤差逆伝播法などによりパラメータwG,θGを更新する(ステップS36)。
【0093】
ステップS36での学習は、図3に示す、生成器121へ誤差逆伝播されることを示す破線の矢印に対応する。すなわち、ステップS36は、図3の生成器121_1~121_Dの各々で生成された疑似異常データG1(s)~GD(s)が識別器122に入力され、その出力123から目的関数Eのブロック125で生成器誤差が算出され、さらには、生成器121_1~121_Dへ誤差逆伝播される破線矢印に対応する。このように、ステップS36では、各時間区間に対応して設けられた生成器121_1~121_Dが別々に学習される。
【0094】
その後、目的関数Eの値がナッシュ均衡に到達して収束するまで(ステップS37:NO)、ステップS33からステップS36までの識別器122および生成器121(生成器121_1~121_D)の学習が繰り返し行われる。一方、目的関数Eの値が収束した場合(ステップS37:YES)、n個のセットの真の異常データについて、生成器121(生成器121_1~121_D)および識別器122の学習が行われるまで(ステップS38:NO)、ステップS31からステップS37までの処理が繰り返される。
【0095】
その後、n個全ての真の異常データの時間区間t_1~t_Dの訓練データを用いて、生成器121(生成器121_1~121_D)および識別器122の学習が行われた場合(ステップS38:YES)、第2学習部12は、学習済み生成器121’(学習済み生成器121_1’~121_D’)を第1記憶部13に記憶する(ステップS5)。以上のステップS30からステップS38までの処理によって学習済み生成器121’(学習済み生成器121_1’~121_D’)が構築される。
【0096】
以上説明したように、本実施の形態に係る通信監視装置1によれば、事前に設定された、帯域幅の異常な使用パターンに係る通信量の変動パターンを教師データとしてRNNを学習する。そして、学習済みRNNを真の異常データとして、GANの敵対的学習により学習済み生成器121’を構築し、学習済み生成器121’を用いて、帯域幅の異常な使用に係る通信量の変動パターンに類似する疑似異常データを大量に生成する。さらに、疑似異常データを第2記憶部15に記憶し、異常データのデータベースを構築する。そのため、ネットワーク帯域幅の異常な使用をより確実に監視することができる。その結果、帯域幅の異常な使用に起因したバーストトラヒックやネットワークの輻輳を事前に防止することが可能となる。さらには、DoSやDDoSなどの悪意をもった意図的なトラヒックの増加やバーストトラヒックなどを未然に防止することができる。
【0097】
また、本実施の形態に係る通信監視装置1によれば、疑似異常データに加えて真の異常データを第2記憶部15に記憶する。そのため、ネットワーク帯域幅の異常な使用パターンとしてより多様な使用パターンを既知の異常データに含むデータベースを構築することができる。
【0098】
また、本実施の形態に係る通信監視装置1によれば、RNNの各時刻における隠れ状態やメモリセルの値、およびユニット間の重みパラメータなどの潜在パラメータを、GANの学習を通して学習するので、より簡易な構成で、多様な異常データを生成することができる。
【0099】
また、本実施の形態に係る通信監視装置1によれば、判定部1は、上式(5)による判定処理を行うため、時系列データセットに含まれる一部のデータポイントの一致に基づいて、帯域幅の異常な使用を行うユーザ端末2を特定することができる。そのため、より演算負荷が抑制される。
【0100】
また、本実施の形態に係る通信監視装置1によれば、事前に設定された、帯域幅の異常な使用に係る通信量の変動パターンのデータをRNNの教師データとして設定するため、過去のネットワークトラヒックの履歴から抽出することが困難な異常な使用パターンや、過去に存在しない異常な使用パターンをも特定することが可能な既知の異常データを生成することができる。
【0101】
なお、説明した実施の形態では、第1学習部11が、RNNを学習する場合について説明したが、第1学習部11は、LSTM(Long short-term memory)を用いて学習を行うことができる。
【0102】
また、説明した実施の形態では、5Gモバイル通信ネットワークに対応する通信監視システムについて説明したが、通信ネットワークはLTE/4Gや6Gなどであってもよい。また、通信ネットワークは、Wi-FiやEthernetの固定通信ネットワークなどであってもよい。ユーザ端末2が固定回線端末である場合には、IPアドレスをキーにして通信量の時系列データが取得される。さらに、通知部18は、帯域幅の異常な使用を行うユーザ端末2のIPアドレスをISPネットワークに通知することができる。
【0103】
以上、本発明の通信監視装置、および通信監視方法における実施の形態について説明したが、本発明は説明した実施の形態に限定されるものではなく、請求項に記載した発明の範囲において当業者が想定し得る各種の変形を行うことが可能である。
【符号の説明】
【0104】
1…通信監視装置、2…ユーザ端末、10…第1取得部、11…第1学習部、12…第2学習部、13…第1記憶部、14…生成部、15…第2記憶部、16…第2取得部、17…判定部、18…通知部、101…バス、102…プロセッサ、103…主記憶装置、104…通信インターフェース、105…補助記憶装置、106…入出力I/O、107…表示装置、121、121_1~121_D…生成器、121’、121_1’~121_D’…学習済み生成器、122…識別器、123…出力、124…訓練データ、125…目的関数Eのブロック、NW…ネットワーク。
【要約】
【課題】ネットワーク帯域幅の異常な使用をより確実に監視することを目的とする。
【解決手段】
通信監視装置1は、第1学習部11による学習で構築された学習済み再帰型ニューラルネットワークを、ネットワーク帯域幅の異常な使用を行うユーザ端末2の時間区間ごとの通信量の時系列データについての真の異常データとして、真の異常データに類似する疑似異常データを生成する生成器121と、生成器121によって生成された疑似異常データと真の異常データとを識別する識別器122とを有する生成モデルの敵対的学習を行う。
【選択図】図1
【解決手段】
通信監視装置1は、第1学習部11による学習で構築された学習済み再帰型ニューラルネットワークを、ネットワーク帯域幅の異常な使用を行うユーザ端末2の時間区間ごとの通信量の時系列データについての真の異常データとして、真の異常データに類似する疑似異常データを生成する生成器121と、生成器121によって生成された疑似異常データと真の異常データとを識別する識別器122とを有する生成モデルの敵対的学習を行う。
【選択図】図1
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
