特許 7586304 特徴量算出装置、特徴量算出方法および特徴量算出プログラム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2024-11-11

(45)【発行日】2024-11-19

(54)【発明の名称】特徴量算出装置、特徴量算出方法および特徴量算出プログラム

(51)【国際特許分類】

   H04L 41/142 20220101AFI20241112BHJP

   H04L 41/16 20220101ALI20241112BHJP

【ＦＩ】

H04L41/142

H04L41/16

【請求項の数】 8

(21)【出願番号】P 2023520712

(86)(22)【出願日】2021-05-14

(86)【国際出願番号】 JP2021018349

(87)【国際公開番号】W WO2022239222

(87)【国際公開日】2022-11-17

【審査請求日】2023-09-14

(73)【特許権者】

【識別番号】000004226

【氏名又は名称】日本電信電話株式会社

(74)【代理人】

【識別番号】110002147

【氏名又は名称】弁理士法人酒井国際特許事務所

(72)【発明者】

【氏名】胡 博

(72)【発明者】

【氏名】神谷 和憲

【審査官】長谷川 未貴

(56)【参考文献】

【文献】国際公開第２０１６／００２１３２（ＷＯ，Ａ１）

【文献】HAMILTON, W, L, et al.，Representation Learning on Graphs: Methods and Applications，arXiv:1709.05584v3 [cs.SI]，2018年04月10日

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｈ０４Ｌ １２／００－１０１／００

(57)【特許請求の範囲】

【請求項1】

ネットワークのノード間の通信情報を用いて、ノード間の通信を表すグラフを生成する生成部と、
生成された前記グラフのノードのうち、所定の条件を満たすノードを選択する選択部と、
選択された前記ノードについて、前記グラフでの特徴量を所定の学習方法により計算する計算部と、
選択された前記ノード以外のノードについて、前記グラフで相互に隣接するノードの計算された特徴量を合成することにより、特徴量を推定する推定部と、
を有することを特徴とする特徴量算出装置。

【請求項2】

前記生成部は、隣接するノードの数が所定の閾値より小さいノードを除外してグラフを生成することを特徴とする請求項１に記載の特徴量算出装置。

【請求項3】

前記選択部は、隣接するノードの数が多い順に所定数のノードを選択することを特徴とする請求項１に記載の特徴量算出装置。

【請求項4】

前記選択部は、すべてのノードに対して隣接ノードと異なる色を付与するＣｏｌｏｒｉｎｇアルゴリズムにより所定の色が付与されたノードを選択することを特徴とする請求項１に記載の特徴量算出装置。

【請求項5】

前記推定部は、選択された前記ノード以外のノードについて、該ノードから最短距離の全ての選択されたノードの計算された特徴量を合成することにより、特徴量を推定することを特徴とする請求項１に記載の特徴量算出装置。

【請求項6】

前記推定部は、複数のノードの特徴量ベクトルを平均またはアダマール積により合成することにより、前記選択されたノード以外のノードの特徴量を推定することを特徴とする請求項１に記載の特徴量算出装置。

【請求項7】

特徴量算出装置が実行する特徴量算出方法であって、
ネットワークのノード間の通信情報を用いて、ノード間の通信を表すグラフを生成する生成工程と、
生成された前記グラフのノードのうち、所定の条件を満たすノードを選択する選択工程と、
選択された前記ノードについて、前記グラフでの特徴量を所定の学習方法により計算する計算工程と、
選択された前記ノード以外のノードについて、前記グラフで相互に隣接するノードの計算された特徴量を合成することにより、特徴量を推定する推定工程と、
を含んだことを特徴とする特徴量算出方法。

【請求項8】

コンピュータに、
ネットワークのノード間の通信情報を用いて、ノード間の通信を表すグラフを生成する生成ステップと、
生成された前記グラフのノードのうち、所定の条件を満たすノードを選択する選択ステップと、
選択された前記ノードについて、前記グラフでの特徴量を所定の学習方法により計算する計算ステップと、
選択された前記ノード以外のノードについて、前記グラフで相互に隣接するノードの計算された特徴量を合成することにより、特徴量を推定する推定ステップと、
を実行させることを特徴とする特徴量算出プログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、特徴量算出装置、特徴量算出方法および特徴量算出プログラムに関する。

【背景技術】

【0002】

従来、悪意のあるプログラムによって乗っ取られたコンピュータで構成されるボットネットと呼ばれるネットワークの構造を検知する技術が期待されている。ＩＰホストをノードとし、ＩＰホスト間のエンドツーエンド通信をエッジとするグラフの特徴量は、ボットネットの構造を検知するために有用な情報となる。

【0003】

そこで、グラフの特徴量の質の高い学習が可能なｇｒａｐｈ ｅｍｂｅｄｄｉｎｇと呼ばれる技術が知られている。例えば、Ｄｅｅｐ ＷａｌｋやＮｏｄｅ２Ｖｅｃ等のｇｒａｐｈ ｅｍｂｅｄｄｉｎｇでは、関連性のあるノード同士に対して、低次元の特徴量空間上で類似するように、特徴ベクトルを学習することにより、グラフ上の数ホップ先の関連性のあるノードを抽出することができる（非特許文献１参照）。

【先行技術文献】

【非特許文献】

【0004】

【文献】Bryan Perozzi et al., “DeepWalk: Online Learning of Social Representations”, KDD '14, Proceedings of the 20th ACM SIGKDD international conference on Knowledge discovery, 2014年

【発明の概要】

【発明が解決しようとする課題】

【0005】

しかしながら、従来の技術では、ノード数に依存して、時間・空間計算量が増加するという問題がある。

【0006】

本発明は、上記に鑑みてなされたものであって、時間・空間計算量を削減して通信ネットワークを表すグラフから特徴量を算出することを目的とする。

【課題を解決するための手段】

【0007】

上述した課題を解決し、目的を達成するために、本発明に係る特徴量算出装置は、ネットワークのノード間の通信情報を用いて、ノード間の通信を表すグラフを生成する生成部と、生成された前記グラフのノードのうち、所定の条件を満たすノードを選択する選択部と、選択された前記ノードについて、前記グラフでの特徴量を所定の学習方法により計算する計算部と、選択された前記ノード以外のノードについて、前記グラフで順次隣接するノードの計算された特徴量を合成することにより、特徴量を推定する推定部と、を有することを特徴とする。

【発明の効果】

【0008】

本発明によれば、時間・空間計算量を削減して通信ネットワークを表すグラフから特徴量を算出することが可能となる。

【図面の簡単な説明】

【0009】

【図1】図１は、特徴量算出装置の概略構成を例示する模式図である。

【図2】図２は、特徴量算出装置の処理を説明するための図である。

【図3】図３は、特徴量算出装置の処理を説明するための図である。

【図4】図４は、特徴量算出装置の処理を説明するための図である。

【図5】図５は、特徴量算出処理手順を示すフローチャートである。

【図6】図６は、特徴量算出プログラムを実行するコンピュータを例示する図である。

【発明を実施するための形態】

【0010】

以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。

【0011】

［特徴量算出装置の構成］
図１は、特徴量算出装置の概略構成を例示する模式図である。図１に例示するように、特徴量算出装置１０は、パソコン等の汎用コンピュータで実現され、入力部１１、出力部１２、通信制御部１３、記憶部１４、および制御部１５を備える。

【0012】

入力部１１は、キーボードやマウス等の入力デバイスを用いて実現され、操作者による入力操作に対応して、制御部１５に対して処理開始などの各種指示情報を入力する。出力部１２は、液晶ディスプレイなどの表示装置、プリンター等の印刷装置等によって実現される。

【0013】

通信制御部１３は、ＮＩＣ（Network Interface Card）等で実現され、ネットワークを介したサーバ等の外部の装置と制御部１５との通信を制御する。例えば、通信制御部１３は、ネットワークの通信情報を収集し管理する管理装置等と制御部１５との通信を制御する。

【0014】

記憶部１４は、ＲＡＭ（Random Access Memory）、フラッシュメモリ（Flash Memory）等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。記憶部１４には、特徴量算出装置１０を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが予め記憶され、あるいは処理の都度一時的に記憶される。例えば、記憶部１４は、後述する推定部の処理結果の推定モデル等を記憶する。なお、記憶部１４は、通信制御部１３を介して制御部１５と通信する構成でもよい。

【0015】

制御部１５は、ＣＰＵ（Central Processing Unit）等を用いて実現され、メモリに記憶された処理プログラムを実行する。これにより、制御部１５は、図１に例示するように、取得部１５ａ、生成部１５ｂ、選択部１５ｃ、計算部１５ｄおよび推定部１５ｅとして機能する。なお、これらの機能部は、それぞれあるいは一部が異なるハードウェアに実装されてもよい。例えば、計算部１５ｄと推定部１５ｅとは異なるハードウェアに実装されてもよい。また、制御部１５は、その他の機能部を備えてもよい。

【0016】

取得部１５ａは、収集されたネットワークのノードの通信情報を取得する。例えば、取得部１５ａは、後述する特徴量算出処理の処理対象のＩＰホストのフロー情報等を、入力部１１あるいは通信制御部１３を介して、ネットワークの通信情報を収集し管理する管理装置等から取得する。なお、取得部１５ａは、取得したデータを記憶部１４に記憶させてもよい。あるいは、取得部１５ａは、これらの情報を記憶部１４に記憶させずに、以下に説明する生成部１５ｂに転送してもよい。

【0017】

生成部１５ｂは、ネットワークのノード間の通信情報を用いて、ノード間の通信を表すグラフを生成する。具体的には、生成部１５ｂは、取得したＩＰホストのフロー情報を用いて、ＩＰホストをノードとし、ＩＰホスト間の通信をエッジとするグラフを作成する。その際に、生成部１５ｂは、隣接するノードの数が所定の閾値より小さいノードを除外してグラフを生成する。

【0018】

選択部１５ｃは、生成されたグラフのノードのうち、所定の条件を満たすノードを選択する。例えば、選択部１５ｃは、隣接するノードの数が多い順に所定数のノードを選択する。

【0019】

あるいは、選択部１５ｃは、すべてのノードに対して隣接ノードと異なる色を付与するＣｏｌｏｒｉｎｇアルゴリズムにより所定の色が付与されたノードを選択する。ここで、図２は、選択部の処理を説明するための図である。図２に示すように、選択部１５ｃは、例えば、Ｇｒｅｅｄｙ Ｃｏｌｏｒｉｎｇ ａｌｇｏｒｉｔｈｍを用いて、隣接ノードと異なる色になるように、各ノードに色を付加する。図２に示す例では、隣接ノード数の多い順に選択して、例えば、ノードＥとノードＡには赤、ノードＢ、Ｃ、Ｄには青というように、所定の順に隣接ノードと異なる色を付与する。そして、選択部１５ｃは、例えば赤を付与したノード（図２の例ではノードＡ、Ｅ）を選択する。

【0020】

計算部１５ｄは、選択されたノードについて、グラフでの特徴量を所定の学習方法により計算する。ここで、図３は、計算部の処理を説明するための図である。図３に示すように、計算部１５ｄは、例えば、グラフ上でｒａｎｄｏｍ ｗａｌｋによってノードごとに複数のノードからなるパス（リスト）を生成し、パス上での選択されたノードについてのみ、特徴量をＤｅｅｐ Ｗａｌｋでも利用されるＷｏｒｄ２Ｖｅｃアルゴリズムによって計算する。

【0021】

図３に示す例では、パス上の選択されたノードＡ、Ｅについて、特徴量空間での特徴量φ（Ａ）、φ（Ｅ）を計算する。このように、計算部１５ｄは、Ｄｅｅｐ Ｗａｌｋのように全ノードの特徴量を学習することなく、選択されたノードのみの特徴量を所定の学習方法により計算する。

【0022】

推定部１５ｅは、選択されたノード以外のノードについて、グラフで順次隣接するノードの計算された特徴量を合成することにより、特徴量を推定する。なお、順次隣接するノードとは、各ノードの隣接ノードと、当該隣接ノードに隣接する２次隣接ノード等を含むことを意味する。

【0023】

ここで、図４は、推定部の処理を説明するための図である。図４に示すように、推定部１５ｅは、例えば、選択されたノード以外のノードについて、該ノードから最短距離の全ての選択されたノードの計算された特徴量を合成することにより、特徴量を推定する。また、推定部１５ｅは、複数のノードの特徴量ベクトルを平均またはアダマール積により合成することにより、選択されたノード以外のノードの特徴量を推定する。

【0024】

図４に示す例では、推定部１５ｅは、選択されたノードＡ、Ｅ以外の未学習のノードＢの特徴量φ（Ｂ）を、ノードＡの特徴量φ（Ａ）とノードＥの特徴量φ（Ｅ）との平均Ａｇｇ（φ（Ａ）,φ（Ｅ））により算出している。また、推定部１５ｅは、未学習のノードＧの特徴量φ（Ｇ）を、最短距離の全ノードであるノードＦの特徴量φ（Ｆ）の平均Ａｇｇ（φ（Ｆ））、すなわち、ノードＦの最短距離の選択された学習済のノードＥの特徴量φ（Ｅ）の平均Ａｇｇ（Ａｇｇ（φ（Ｅ）））により推定している。

【0025】

また、推定部１５ｅは、出力部１２を介して、計算された特徴量と、推定された特徴量とを出力する。

【0026】

［特徴量算出処理］
次に、図５を参照して、本実施形態に係る特徴量算出装置１０による特徴量算出処理について説明する。図５は、特徴量算出処理手順を示すフローチャートである。図５のフローチャートは、例えば、特徴量算出処理の開始を指示する操作入力があったタイミングで開始される。

【0027】

まず、取得部１５ａが取得したネットワークのノードの通信情報を用いて、生成部１５ｂがノード間の通信を表すグラフを生成する（ステップＳ１）。

【0028】

次に、選択部１５ｃが、生成されたグラフのノードのうち、所定の条件を満たすノードを選択する（ステップＳ２）。例えば、選択部１５ｃは、隣接するノードの数が多い順に所定数のノードを選択する。あるいは、選択部１５ｃは、Ｃｏｌｏｒｉｎｇアルゴリズムにより所定の色が付与されたノードを選択する。

【0029】

また、計算部１５ｄが、選択ノードについて、グラフでの特徴量を所定の学習方法により計算する（ステップＳ３）。

【0030】

そして、推定部１５ｅが、選択ノード以外の未学習ノードについて、グラフで隣接する選択ノードの計算された特徴量を合成することにより、特徴量を推定する（ステップＳ４）。

【0031】

例えば、推定部１５ｅは、選択ノード以外の未学習ノードについて、該未学習ノードから最短距離の全ての選択ノードの計算された特徴量を合成することにより、特徴量を推定する。その際に、推定部１５ｅは、複数のノードの特徴量ベクトルを平均またはアダマール積により合成することにより、選択ノード以外の未学習ノードの特徴量を推定する。

【0032】

また、推定部１５ｅが、出力部１２を介して、計算された特徴量と、推定された特徴量とを出力する（ステップＳ５）。これにより、一連の特徴量算出処理が終了する。

【0033】

以上、説明したように、特徴量算出装置１０において、生成部１５ｂが、ネットワークのノード間の通信情報を用いて、ノード間の通信を表すグラフを生成する。選択部１５ｃが、生成されたグラフのノードのうち、所定の条件を満たすノードを選択する。計算部１５ｄが、選択されたノードについて、グラフでの特徴量を所定の学習方法により計算する。推定部１５ｅが、選択されたノード以外のノードについて、グラフで順次隣接するノードの計算された特徴量を合成することにより、特徴量を推定する。

【0034】

このように、特徴量算出装置１０は、学習時の計算を選択ノードに限定して計算量を削減する。これにより、時間・空間計算量を削減して通信ネットワークを表すグラフから特徴量を算出することが可能となる。

【0035】

また、生成部１５ｂは、隣接するノードの数が所定の閾値より小さいノードを除外してグラフを生成する。これにより、特徴量算出装置１０は、効率よく特徴量を算出することが可能となる。

【0036】

また、選択部１５ｃは、隣接するノードの数が多い順に所定数のノードを選択する。これにより、特徴量算出装置１０は、効率よく特徴量を算出することが可能となる。

【0037】

また、選択部１５ｃは、すべてのノードに対して隣接ノードと異なる色を付与するＣｏｌｏｒｉｎｇアルゴリズムにより所定の色が付与されたノードを選択する。これにより、特徴量算出装置１０は、効率よく特徴量を算出することが可能となる。

【0038】

また、推定部１５ｅは、選択されたノード以外のノードについて、該ノードから最短距離の全ての選択されたノードの計算された特徴量を合成することにより、特徴量を推定する。これにより、特徴量算出装置１０は、高精度に特徴量を算出することが可能となる。

【0039】

また、推定部１５ｅは、複数のノードの特徴量ベクトルを平均またはアダマール積により合成することにより、選択されたノード以外のノードの特徴量を推定する。これにより、特徴量算出装置１０は、効率よく特徴量を算出することが可能となる。

【0040】

［プログラム］
上記実施形態に係る特徴量算出装置１０が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、特徴量算出装置１０は、パッケージソフトウェアやオンラインソフトウェアとして上記の特徴量算出処理を実行する特徴量算出プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の特徴量算出プログラムを情報処理装置に実行させることにより、情報処理装置を特徴量算出装置１０として機能させることができる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やＰＨＳ（Personal Handyphone System）等の移動体通信端末、さらには、ＰＤＡ（Personal Digital Assistant）等のスレート端末等がその範疇に含まれる。また、特徴量算出装置１０の機能を、クラウドサーバに実装してもよい。

【0041】

図６は、特徴量算出プログラムを実行するコンピュータの一例を示す図である。コンピュータ１０００は、例えば、メモリ１０１０と、ＣＰＵ１０２０と、ハードディスクドライブインタフェース１０３０と、ディスクドライブインタフェース１０４０と、シリアルポートインタフェース１０５０と、ビデオアダプタ１０６０と、ネットワークインタフェース１０７０とを有する。これらの各部は、バス１０８０によって接続される。

【0042】

メモリ１０１０は、ＲＯＭ（Read Only Memory）１０１１およびＲＡＭ１０１２を含む。ＲＯＭ１０１１は、例えば、ＢＩＯＳ（Basic Input Output System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、ハードディスクドライブ１０３１に接続される。ディスクドライブインタフェース１０４０は、ディスクドライブ１０４１に接続される。ディスクドライブ１０４１には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース１０５０には、例えば、マウス１０５１およびキーボード１０５２が接続される。ビデオアダプタ１０６０には、例えば、ディスプレイ１０６１が接続される。

【0043】

ここで、ハードディスクドライブ１０３１は、例えば、ＯＳ１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３およびプログラムデータ１０９４を記憶する。上記実施形態で説明した各情報は、例えばハードディスクドライブ１０３１やメモリ１０１０に記憶される。

【0044】

また、特徴量算出プログラムは、例えば、コンピュータ１０００によって実行される指令が記述されたプログラムモジュール１０９３として、ハードディスクドライブ１０３１に記憶される。具体的には、上記実施形態で説明した特徴量算出装置１０が実行する各処理が記述されたプログラムモジュール１０９３が、ハードディスクドライブ１０３１に記憶される。

【0045】

また、特徴量算出プログラムによる情報処理に用いられるデータは、プログラムデータ１０９４として、例えば、ハードディスクドライブ１０３１に記憶される。そして、ＣＰＵ１０２０が、ハードディスクドライブ１０３１に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてＲＡＭ１０１２に読み出して、上述した各手順を実行する。

【0046】

なお、特徴量算出プログラムに係るプログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０３１に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ１０４１等を介してＣＰＵ１０２０によって読み出されてもよい。あるいは、特徴量算出プログラムに係るプログラムモジュール１０９３やプログラムデータ１０９４は、ＬＡＮ（Local Area Network）やＷＡＮ（Wide Area Network）等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース１０７０を介してＣＰＵ１０２０によって読み出されてもよい。

【0047】

以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。

【符号の説明】

【0048】

１０ 特徴量算出装置
１１ 入力部
１２ 出力部
１３ 通信制御部
１４ 記憶部
１５ 制御部
１５ａ 取得部
１５ｂ 生成部
１５ｃ 選択部
１５ｄ 計算部
１５ｅ 推定部

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】