JP6712944B2 - Communication prediction device, communication prediction method, and communication prediction program - Google Patents
Communication prediction device, communication prediction method, and communication prediction program Download PDFInfo
- Publication number
- JP6712944B2 JP6712944B2 JP2016241213A JP2016241213A JP6712944B2 JP 6712944 B2 JP6712944 B2 JP 6712944B2 JP 2016241213 A JP2016241213 A JP 2016241213A JP 2016241213 A JP2016241213 A JP 2016241213A JP 6712944 B2 JP6712944 B2 JP 6712944B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- host
- hosts
- probability
- cluster
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、将来の通信を予測する装置、方法及びプログラムに関する。 The present invention relates to an apparatus, method and program for predicting future communication.
従来、不正通信を監視し、あるホストに対して将来、サイバー攻撃が発生するか否かを予測する方法として、攻撃を実施する前に攻撃者が行う準備行動、例えばポートスキャン又はマルウェアの導入等を検知し、この準備行動に基づいて、実攻撃の対象及び発生の有無を予測する方法が提案されている(例えば、非特許文献1参照)。 Conventionally, as a method of monitoring unauthorized communication and predicting whether a cyber attack will occur against a certain host in the future, preparatory actions taken by the attacker before executing the attack, such as port scan or introduction of malware, etc. Has been proposed, and a method of predicting the target of an actual attack and the presence/absence of the actual attack based on this preparatory action has been proposed (see Non-Patent Document 1, for example).
しかしながら、従来の予測方法は、準備行動を行う攻撃手法を対象としているため、準備行動を行わない、又は検知できない場合、攻撃の発生を予測できない。したがって、予測可能な攻撃の種類が限定されていた。 However, since the conventional prediction method is targeted at an attack method that performs a preparatory action, the occurrence of an attack cannot be predicted when the preparatory action is not performed or cannot be detected. Therefore, the types of predictable attacks were limited.
本発明は、広範囲な通信の種類に対して、発生を予測できる通信予測装置、通信予測方法及び通信予測プログラムを提供することを目的とする。 An object of the present invention is to provide a communication prediction device, a communication prediction method, and a communication prediction program that can predict the occurrence of a wide range of communication types.
本発明に係る通信予測装置は、ネットワーク内のフロー情報に基づいて、ホスト毎に所定の特徴を有するパケット群の受信履歴を収集する収集部と、収集された前記ホスト毎の前記パケット群の受信回数を集計し、受信回数がn回以上のホストのうち、受信回数がn+1回以上のホストの占める割合を、n+1回目の通信発生確率として算出する算出部と、予測対象ホストが過去に前記パケット群を受信した回数に基づいて前記通信発生確率を判定し、予測値として出力する判定部と、を備える。 A communication prediction apparatus according to the present invention includes a collection unit that collects a reception history of a packet group having a predetermined characteristic for each host based on flow information in a network, and a reception of the collected packet group for each host. A calculation unit that aggregates the number of times and calculates the proportion of hosts that have received n+1 or more times among the hosts that have received n times or more as the probability of occurrence of communication at the (n+1)th time, and the prediction target host has previously used the packet A determination unit that determines the communication occurrence probability based on the number of times the group is received and outputs the communication probability as a predicted value.
前記算出部は、前記パケット群を、通信量の規模、ホストの種類、通信発生間隔、所定レンジ内の近隣ホストに対する通信発生の有無、パケットの種類、送信元の地域の少なくともいずれか毎にクラスタリングし、クラスタ毎に前記通信発生確率を算出してもよい。 The calculation unit clusters the packet group based on at least one of communication volume scale, host type, communication occurrence interval, presence/absence of communication with a neighboring host within a predetermined range, packet type, and source region. However, the communication occurrence probability may be calculated for each cluster.
前記判定部は、ホスト群を配下に持つルータにおける前記パケット群の発生確率を、前記ホスト群に含まれるホストそれぞれに対して判定した前記通信発生確率に基づいて算出してもよい。 The determination unit may calculate an occurrence probability of the packet group in a router having a host group as a subordinate based on the communication occurrence probability determined for each host included in the host group.
本発明に係る通信予測方法は、ネットワーク内のフロー情報に基づいて、ホスト毎に所定の特徴を有するパケット群の受信履歴を収集する収集ステップと、収集された前記ホスト毎の前記パケット群の受信回数を集計し、受信回数がn回以上のホストのうち、受信回数がn+1回以上のホストの占める割合を、n+1回目の通信発生確率として算出する算出ステップと、予測対象ホストが過去に前記パケット群を受信した回数に基づいて前記通信発生確率を判定し、予測値として出力する判定ステップと、をコンピュータが実行する。 A communication prediction method according to the present invention includes a collecting step of collecting a reception history of a packet group having a predetermined characteristic for each host based on flow information in a network, and receiving the collected packet group for each host. A calculation step of totaling the number of times, and calculating a ratio of the hosts receiving the number of receptions n+1 or more among the hosts receiving the number of receptions n times or more as the communication occurrence probability of the n+1th time, The computer executes a determination step of determining the communication occurrence probability based on the number of times the group has been received and outputting the communication probability as a predicted value.
本発明に係る通信予測プログラムは、ネットワーク内のフロー情報に基づいて、ホスト毎に所定の特徴を有するパケット群の受信履歴を収集する収集ステップと、収集された前記ホスト毎の前記パケット群の受信回数を集計し、受信回数がn回以上のホストのうち、受信回数がn+1回以上のホストの占める割合を、n+1回目の通信発生確率として算出する算出ステップと、予測対象ホストが過去に前記パケット群を受信した回数に基づいて前記通信発生確率を判定し、予測値として出力する判定ステップと、をコンピュータに実行させる。 A communication prediction program according to the present invention includes a collecting step of collecting a reception history of a packet group having a predetermined characteristic for each host based on flow information in a network, and receiving the collected packet group for each host. A calculation step of totaling the number of times, and calculating a ratio of the hosts receiving the number of receptions n+1 or more among the hosts receiving the number of receptions n times or more as the communication occurrence probability of the n+1th time, The computer is made to perform a determination step of determining the communication occurrence probability based on the number of times the group is received, and outputting the communication probability as a predicted value.
本発明によれば、広範囲な通信の種類に対して、発生を予測できる。 According to the present invention, occurrence can be predicted for a wide range of communication types.
以下、本発明の実施形態の一例について説明する。
図1は、本実施形態に係る通信予測装置1の機能構成を示すブロック図である。
通信予測装置1は、サーバ装置又はパーソナルコンピュータ等の情報処理装置(コンピュータ)である。通信予測装置1は、予測対象ホストに対して所定の特徴を有するパケット群が送信される可能性を予測する。
ここで、所定の特徴を有するパケット群とは、例えば、同一のホストに対して大量に送信されるパケット群であり、DoS(Denial of Service)攻撃により発生する大規模な通信量のパケット群がこれに該当する。本実施形態では、パケット群は、ネットワーク機器又はホストに影響を及ぼす可能性のある一定以上の通信量の規模を有する攻撃であり、通信予測装置1は、同一ホストが同様の攻撃を再び受ける可能性を予測するものとする。
Hereinafter, an example of the embodiment of the present invention will be described.
FIG. 1 is a block diagram showing a functional configuration of the communication prediction device 1 according to this embodiment.
The communication prediction device 1 is an information processing device (computer) such as a server device or a personal computer. The communication prediction device 1 predicts the possibility that a packet group having a predetermined characteristic will be transmitted to the prediction target host.
Here, the packet group having a predetermined characteristic is, for example, a packet group that is transmitted in large quantities to the same host, and is a packet group having a large communication volume generated by a DoS (Denial of Service) attack. This is the case. In the present embodiment, the packet group is an attack having a certain amount of communication volume that may affect the network device or the host, and the communication predicting apparatus 1 allows the same host to receive the same attack again. Sex should be predicted.
通信予測装置1は、制御部10及び記憶部20の他、各種データの入出力デバイス又は通信デバイス等を備える。
制御部10は、通信予測装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、本実施形態における各種機能を実現している。制御部10は、CPUであってよい。
The communication prediction device 1 includes an input/output device for various data, a communication device, and the like in addition to the
The
記憶部20は、ハードウェア群を通信予測装置1として機能させるための各種プログラム、及び各種データ等の記憶領域であり、ROM、RAM、フラッシュメモリ又はハードディスク(HDD)等であってよい。具体的には、記憶部20は、本実施形態の各機能を制御部10に実行させる通信予測プログラムと、当該プログラムにより実行される後述の処理によって得られた攻撃発生確率データを記憶する。
The
制御部10は、収集部11と、算出部12と、判定部13とを備える。
収集部11は、観測対象のネットワークのフロー情報を、ネットワーク内の上位階層のルータ(コアルータ)から取得し、取得した所定期間(例えば、過去1年間)のフロー情報に基づいて、通信の宛先であるホスト毎に所定の特徴を有するパケット群の受信履歴を、攻撃情報として収集する。攻撃情報には、宛先IPアドレス、攻撃発生時期及び攻撃規模等が含まれる。
なお、観測対象のネットワークは、予測対象ホストが存在するネットワークと異なってもよい。
The
The
The observation target network may be different from the network in which the prediction target host exists.
算出部12は、収集部11により収集されたホスト毎のパケット群の受信回数、すなわち攻撃回数を集計し、攻撃回数がn回以上のホストのうち、攻撃回数がn+1回以上のホストの占める割合を、n+1回目の攻撃発生確率(通信発生確率)として算出する。
このとき、算出部12は、パケット群を、攻撃回数に加えて、以下のような複数の属性(a)〜(f)のうち、少なくともいずれかの属性毎にクラスタリングし、クラスタ毎に次式のように攻撃発生確率を算出する。
過去の攻撃回数がn回のホストに対する攻撃発生確率
=攻撃回数がn+1回以上のホスト数/クラスタ(攻撃回数がn回以上)のホスト数
The calculating
At this time, the
Probability of an attack occurring on a host with n past attacks = number of hosts with n+1 attacks or more / number of hosts with cluster (n or more attacks)
(a)通信量の規模
例えば、100〜500Mbps、500〜1Gbps、1Gbps以上のように、通信量の規模毎に攻撃の種類が分類される。
(A) Scale of communication volume For example, the types of attacks are classified according to the scale of communication volume, such as 100 to 500 Mbps, 500 to 1 Gbps, and 1 Gbps or more.
(b)ホストの種類
例えば、宛先ホストが不特定多数のユーザからアクセスされるサービスを提供するサーバ(Web、DNS、NTP等)か、このようなサービス提供を行わない個人の端末かで攻撃の種類が分類される。
(B) Host type For example, the destination host may be a server (Web, DNS, NTP, etc.) that provides a service accessed by an unspecified number of users, or an individual terminal that does not provide such a service. The types are classified.
(c)攻撃発生間隔又は頻度
例えば、攻撃の発生間隔が1日未満、1週間未満等、あるいは別の表現として、発生頻度が1日に1回以上、1週間に1回以上等の違いにより、攻撃の種類が分類される。
(C) Attack occurrence interval or frequency For example, the attack occurrence interval is less than one day, less than one week, etc., or, as another expression, the frequency of occurrence is one or more times a day, one or more times a week, etc. , The types of attacks are classified.
(d)所定レンジ内の近隣ホストに対する攻撃発生の有無
例えば、IPアドレスの近い(例えば、第4オクテットのみが異なる)ホスト、あるいはネットワークのトポロジ上の位置が近いホストに対しても攻撃が発生しているか否かによって攻撃の種類が分類される。
(D) Presence/absence of attack against a neighboring host within a predetermined range For example, an attack may occur also to a host having a close IP address (for example, different only in the fourth octet) or a host having a close network topological position. The types of attacks are classified according to whether or not they are present.
(e)パケットの種類
攻撃手法として、SYNフラッド、UDP reflection等、どのような手法が用いられているかによって攻撃の種類が分類される。
(E) Type of Packet The type of attack is classified according to what kind of method is used such as SYN flood and UDP reflection as an attack method.
(f)送信元の地域
送信元のIPアドレスが属する国等、どの地域から送信されたかによって攻撃の種類が分類される。
(F) Source area The type of attack is classified according to which area the source IP address belongs to, such as the country.
以上のような属性により、ネットワーク内のホストは、例えば、クラスタA「攻撃回数:1回以上&規模:100Mbps&種類:個人」、クラスタB「攻撃回数:2回以上&規模:500Mbps&種類:サーバ」等のように複数のクラスタに分類される。 With the above attributes, the hosts in the network are, for example, cluster A “attack count: 1 or more & scale: 100 Mbps & type: individual”, cluster B “attack count: 2 or more & scale: 500 Mbps & type: server” Etc. are classified into a plurality of clusters.
判定部13は、予測対象ホストに対する過去の攻撃情報を、算出部12で生成されたクラスタのいずれかに分類することで、さらに攻撃を受ける攻撃発生確率を判定し、予測値として出力する。
ここで、攻撃情報は、通信ログから抽出される前述の属性の情報であり、判定部は、攻撃の回数を含むこれらの属性に基づいて、クラスタを判定する。
なお、攻撃情報は、外部から入力されてもよいし、判定部13が通信ログから抽出してもよい。
The
Here, the attack information is information on the above attributes extracted from the communication log, and the determination unit determines the cluster based on these attributes including the number of attacks.
The attack information may be input from the outside or the
また、判定部13は、ホスト群を配下に持つ上位のルータにおける攻撃パケット群の発生確率を、ホスト群に含まれるホストそれぞれに対して判定した攻撃発生確率を統合して算出してもよい。
Further, the
図2は、本実施形態に係る攻撃回数を条件とするホスト集合の包含関係を示す模式図である。
全ホストが属する攻撃が0回以上の集合は、攻撃が1回以上の集合を内包する。さらに、攻撃が1回以上の集合は、攻撃が2回以上の集合を内包する。
このように、攻撃の回数が増えるほど、回数が少ない集合に内包する形で集合が小さくなっていく。
通信予測装置1は、この内包される集合の大きさの割合を攻撃発生確率として算出する。
FIG. 2 is a schematic diagram showing the inclusion relationship of host sets subject to the number of attacks according to this embodiment.
A set to which all hosts belong to 0 or more attacks includes a set to which one or more attacks belong. Further, a set having one or more attacks includes a set having two or more attacks.
In this way, as the number of attacks increases, the set becomes smaller in the form of being included in the set having a smaller number of attacks.
The communication prediction device 1 calculates the ratio of the size of the included set as the attack occurrence probability.
図3は、本実施形態に係るクラスタ毎の攻撃発生確率を例示する模式図である。
クラスタA0に分類されるホスト(攻撃回数が0回以上)が次に同種の攻撃を受ける確率は、クラスタA0に対するクラスタA1のホスト数の割合であり、図中では面積の大きさで表現されている。各クラスタにおける攻撃発生確率は、クラスタ毎に、すなわち攻撃回数及びその他の属性毎に異なってよい。
FIG. 3 is a schematic diagram illustrating an attack occurrence probability for each cluster according to this embodiment.
The probability that a host classified into cluster A0 (the number of attacks is 0 or more) will be attacked next by the same kind is the ratio of the number of hosts in cluster A1 to cluster A0, and is represented by the size of the area in the figure. There is. The attack occurrence probability in each cluster may be different for each cluster, that is, for each attack count and other attributes.
例えば、クラスタA0に対するクラスタA1(攻撃回数が1回以上)の割合と、クラスタA1に対するクラスタA2(攻撃回数が2回以上)の割合と、クラスタA2に対するクラスタA3(攻撃回数が3回以上)の割合とは、それぞれ異なっている。
また、攻撃回数が同一でも他の属性が互いに異なるクラスタA0とB0、A1とB1、A2とB2は、それぞれ攻撃発生確率が異なっている。
For example, the ratio of cluster A1 (the number of attacks is 1 or more) to cluster A0, the ratio of cluster A2 to cluster A1 (the number of attacks is 2 or more), and the ratio of cluster A3 to cluster A2 (the number of attacks is 3 or more). The percentages are different.
Further, clusters A0 and B0, A1 and B1, and A2 and B2, which have the same number of attacks but different attributes, have different attack probabilities.
図4は、本実施形態に係るクラスタ毎の攻撃発生確率データの生成処理を示すフローチャートである。
ステップS1において、収集部11は、観測対象のネットワークからホスト毎の攻撃情報を収集する。
FIG. 4 is a flowchart showing a process of generating attack probability data for each cluster according to this embodiment.
In step S1, the
ステップS2において、算出部12は、ステップS1で収集した攻撃情報に基づいて、攻撃回数を含む属性によりホストをクラスタリングする。
ステップS3において、算出部12は、ステップS2で生成されたクラスタ毎に、攻撃発生確率を算出し、クラスタの情報に対応付けて記憶部20に格納する。
In step S2, the
In step S3, the
ステップS4において、算出部12は、全てのクラスタについて攻撃発生確率を算出したか否かを判定する。この判定がYESの場合、処理は終了し、判定がNOの場合、処理はステップS3に移る。
In step S4, the
図5は、本実施形態に係る予測対象ホストにおける攻撃発生確率の取得処理を示すフローチャートである。
ステップS11において、判定部13は、例えば、運用対象のネットワークの管理者等からの入力を受け付け、予測対象ホストを指定する。
FIG. 5 is a flowchart showing an attack occurrence probability acquisition process in the prediction target host according to the present embodiment.
In step S11, the
ステップS12において、判定部13は、ステップS11で指定した予測対象ホストに関する通信ログから、攻撃情報を取得する。
ステップS13において、判定部13は、ステップS12で取得した攻撃情報に基づいて、予測対象ホストが記憶部20に格納されているクラスタのいずれに該当するかを判定する。
ステップS14において、判定部13は、ステップS13で判定されたクラスタの攻撃発生確率を取得し、予測値として出力する。
In step S12, the
In step S13, the
In step S14, the
本実施形態によれば、通信予測装置1は、攻撃情報の履歴をホスト毎に集計することにより、n回以上の攻撃を受けたホストのうち、n+1回以上の攻撃を受けたホストの割合を、n回の攻撃を受けたホストがn+1回目の攻撃を受ける確率として算出する。通信予測装置1は、予測対象ホストに対する攻撃の回数に基づいて、次に攻撃を受ける確率を取得する。
したがって、通信予測装置1は、攻撃前の事前行動の情報を利用することなく、過去に発生した攻撃の統計的事象を利用して、任意の予測対象ホストに対する将来の攻撃の発生を予測するので、広範囲な攻撃の種類に対して、発生を予測できる。
According to the present embodiment, the communication prediction device 1 collects the history of attack information for each host to determine the ratio of the hosts that have been attacked n+1 times or more to the hosts that have been attacked n or more times. , And the probability that a host that has been attacked n times will be attacked n+1 times. The communication prediction device 1 acquires the probability of the next attack based on the number of attacks on the prediction target host.
Therefore, the communication prediction device 1 predicts the occurrence of a future attack on an arbitrary prediction target host by using the statistical event of the attack that occurred in the past, without using the information of the pre-action before the attack. , Predictable against a wide range of attack types.
また、通信予測装置1は、通信量の規模、ホストの種類、通信発生間隔、所定レンジ内の近隣ホストに対する通信発生の有無、パケットの種類、送信元の地域の少なくともいずれか毎にホストをクラスタリングし、クラスタ毎に攻撃発生確率を算出する。
したがって、通信予測装置1は、攻撃の属性に応じて変動する攻撃発生確率を精度良く出力できる。
Further, the communication prediction device 1 clusters hosts by at least one of the scale of communication volume, the type of host, the communication occurrence interval, the presence or absence of communication with a neighboring host within a predetermined range, the packet type, and the source region. Then, the attack occurrence probability is calculated for each cluster.
Therefore, the communication prediction device 1 can accurately output the attack occurrence probability that varies according to the attack attribute.
また、通信予測装置1は、複数のホスト群を配下に持つルータにおいて、攻撃に関わるパケット群の発生確率を、これらのホストそれぞれに対して判定した攻撃発生確率を統合して算出する。
したがって、通信予測装置1は、通信経路となるルータにおける通信量の増加等、攻撃の発生に応じた通信異常を予測できるので、ネットワーク設備の効率的な運用を助けることができる。
Further, the communication prediction device 1 calculates the probability of occurrence of a packet group related to an attack in a router having a plurality of host groups under its control, by integrating the attack occurrence probabilities determined for each of these hosts.
Therefore, the communication prediction device 1 can predict a communication abnormality according to the occurrence of an attack, such as an increase in the amount of communication in the router serving as the communication path, and thus can help the efficient operation of the network equipment.
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、本実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本実施形態に記載されたものに限定されるものではない。 Although the embodiments of the present invention have been described above, the present invention is not limited to the above-described embodiments. In addition, the effects described in the present embodiment are merely enumeration of the most suitable effects resulting from the present invention, and the effects according to the present invention are not limited to those described in the present embodiment.
通信予測装置1による通信予測方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。 The communication prediction method by the communication prediction device 1 is realized by software. When implemented by software, a program forming the software is installed in an information processing device (computer). Further, these programs may be recorded on a removable medium such as a CD-ROM and distributed to users, or may be distributed by being downloaded to a user's computer via a network. Further, these programs may be provided to the user's computer as a Web service via the network without being downloaded.
1 通信予測装置
10 制御部
11 収集部
12 算出部
13 判定部
20 記憶部
1
Claims (5)
収集された前記ホスト毎の前記パケット群の受信回数を集計し、受信回数がn回以上のホストのうち、受信回数がn+1回以上のホストの占める割合を、前記パケット群を過去にn回受信したホストのクラスタにおけるn+1回目の通信発生確率として算出する算出部と、
予測対象ホストが過去に前記パケット群を受信した回数に該当する前記クラスタを判定し、当該クラスタにおける前記通信発生確率を予測値として出力する判定部と、を備える通信予測装置。 A collection unit that collects a reception history of a packet group having a predetermined characteristic for each host based on the flow information in the network,
The number of times the collected packet groups are received for each host is collected, and the ratio of the hosts having the number of reception times of n+1 or more to the hosts having the number of reception times of n+1 or more is received n times in the past of the packet groups. A calculation unit that calculates the probability of occurrence of the ( n+1)th communication in the cluster of hosts
Determining the clusters corresponding to the number of times the prediction target host receives the packets in the past, the communication predicting apparatus comprising: a determination unit that the communication probability of the cluster outputs as predictors, the.
収集された前記ホスト毎の前記パケット群の受信回数を集計し、受信回数がn回以上のホストのうち、受信回数がn+1回以上のホストの占める割合を、前記パケット群を過去にn回受信したホストのクラスタにおけるn+1回目の通信発生確率として算出する算出ステップと、
予測対象ホストが過去に前記パケット群を受信した回数に該当する前記クラスタを判定し、当該クラスタにおける前記通信発生確率を予測値として出力する判定ステップと、をコンピュータが実行する通信予測方法。 A collection step of collecting a reception history of a packet group having a predetermined characteristic for each host based on the flow information in the network,
The number of times the collected packet groups are received for each host is collected, and the ratio of the hosts having the number of reception times of n+1 or more to the hosts having the number of reception times of n+1 or more is received n times in the past of the packet groups. A calculation step for calculating the probability of occurrence of the ( n+1)th communication in the cluster of hosts
Communication prediction method prediction target host to determine the cluster corresponding to the number of times of receiving the packets in the past, and the determination step of outputting the communication probability of the cluster as predictors, the computer executes.
収集された前記ホスト毎の前記パケット群の受信回数を集計し、受信回数がn回以上のホストのうち、受信回数がn+1回以上のホストの占める割合を、前記パケット群を過去にn回受信したホストのクラスタにおけるn+1回目の通信発生確率として算出する算出ステップと、
予測対象ホストが過去に前記パケット群を受信した回数に該当する前記クラスタを判定し、当該クラスタにおける前記通信発生確率を予測値として出力する判定ステップと、をコンピュータに実行させるための通信予測プログラム。 A collection step of collecting a reception history of a packet group having a predetermined characteristic for each host based on the flow information in the network,
The number of times the collected packet groups are received for each host is collected, and the ratio of the hosts having the number of reception times of n+1 or more to the hosts having the number of reception times of n+1 or more is received n times in the past of the packet groups. A calculation step for calculating the probability of occurrence of the ( n+1)th communication in the cluster of hosts
The clusters prediction target host corresponds to the number of times received the packets in the past to determine, communication prediction program for the communication probability of the cluster to execute a determination step of outputting as predictors, to the computer ..
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016241213A JP6712944B2 (en) | 2016-12-13 | 2016-12-13 | Communication prediction device, communication prediction method, and communication prediction program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016241213A JP6712944B2 (en) | 2016-12-13 | 2016-12-13 | Communication prediction device, communication prediction method, and communication prediction program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018098635A JP2018098635A (en) | 2018-06-21 |
JP6712944B2 true JP6712944B2 (en) | 2020-06-24 |
Family
ID=62634707
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016241213A Active JP6712944B2 (en) | 2016-12-13 | 2016-12-13 | Communication prediction device, communication prediction method, and communication prediction program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6712944B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113179256B (en) * | 2021-04-12 | 2022-02-08 | 中国电子科技集团公司第三十研究所 | Time information safety fusion method and system for time synchronization system |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7865954B1 (en) * | 2007-08-24 | 2011-01-04 | Louisiana Tech Research Foundation; A Division Of Louisiana Tech University Foundation, Inc. | Method to detect SYN flood attack |
US9386030B2 (en) * | 2012-09-18 | 2016-07-05 | Vencore Labs, Inc. | System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks |
JP5885631B2 (en) * | 2012-09-21 | 2016-03-15 | 株式会社Kddi研究所 | Attack host behavior analysis apparatus, method and program |
-
2016
- 2016-12-13 JP JP2016241213A patent/JP6712944B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2018098635A (en) | 2018-06-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
El Sayed et al. | A flow-based anomaly detection approach with feature selection method against ddos attacks in sdns | |
US8959643B1 (en) | Detecting malware infestations in large-scale networks | |
US10686814B2 (en) | Network anomaly detection | |
US10270803B2 (en) | Method and apparatus for detecting malware infection | |
JP6201614B2 (en) | Log analysis apparatus, method and program | |
US10129270B2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
US11882137B2 (en) | Network security blacklist derived from honeypot statistics | |
Kaaniche et al. | Empirical analysis and statistical modeling of attack processes based on honeypots | |
US10440035B2 (en) | Identifying malicious communication channels in network traffic by generating data based on adaptive sampling | |
JP6750457B2 (en) | Network monitoring device, program and method | |
US11770387B1 (en) | Graph-based detection of lateral movement in computer networks | |
JP4823813B2 (en) | Abnormality detection device, abnormality detection program, and recording medium | |
US9871810B1 (en) | Using tunable metrics for iterative discovery of groups of alert types identifying complex multipart attacks with different properties | |
JP6592196B2 (en) | Malignant event detection apparatus, malignant event detection method, and malignant event detection program | |
CN108712365B (en) | DDoS attack event detection method and system based on flow log | |
JP6712944B2 (en) | Communication prediction device, communication prediction method, and communication prediction program | |
JP6393010B2 (en) | Analysis method, analysis apparatus, and analysis program | |
JP4825767B2 (en) | Abnormality detection device, program, and recording medium | |
JP5719054B2 (en) | Access control apparatus, access control method, and access control program | |
JP6649296B2 (en) | Security countermeasure design apparatus and security countermeasure design method | |
JP6883535B2 (en) | Attack prediction device, attack prediction method and attack prediction program | |
Li et al. | An empirical study of storj dcs: Ecosystem, performance, and security | |
JP6894860B2 (en) | Priority calculation device, priority calculation method and priority calculation program | |
Burke et al. | Lost packet warehousing service | |
JP6698507B2 (en) | Communication monitoring device, communication monitoring method, and communication monitoring program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181221 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191126 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200121 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200512 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200602 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6712944 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |