CN112204928A - 异常检测装置、异常检测方法及异常检测程序 - Google Patents
异常检测装置、异常检测方法及异常检测程序 Download PDFInfo
- Publication number
- CN112204928A CN112204928A CN201980035133.3A CN201980035133A CN112204928A CN 112204928 A CN112204928 A CN 112204928A CN 201980035133 A CN201980035133 A CN 201980035133A CN 112204928 A CN112204928 A CN 112204928A
- Authority
- CN
- China
- Prior art keywords
- communication
- abnormality detection
- communication device
- unit
- total value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/062—Generation of reports related to network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/065—Generation of reports related to network devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
Abstract
异常检测装置(30)取得各通信设备(10)的通信特征量,针对通信特征量中包含的每个发送方MAC地址,计算出与该通信设备(10)连接的层2交换机(50)单位的发送和接收分组数的合计值或字节数的合计值,针对各发送方MAC地址,判定为在发送和接收分组数的合计值或字节数的合计值最多的层2交换机(50)上连接了与发送方MAC地址对应的通信设备(10)。并且,异常检测装置(30)利用发送和接收分组数的合计值或者字节数的合计值,判定是连接断开还是被更换。
Description
技术领域
本发明涉及异常检测装置、异常检测方法及异常检测程序。
背景技术
近年来,在连接IoT设备等通信设备的网络中,监视流过网络的通信量,检测非法访问或病毒感染等安全异常变得重要。以往,提出了各种监视流过网络的通信量的装置,例如公知有取得流过网络的通信分组,对所取得的分组进行统计处理和分析的技术。此外,公知如下的技术:在分析对象的分组通过的设备中,对分组进行镜像处理而取得,生成通信特征量,从而检测异常。
此外,以往公知如下技术:管理服务器和网络如何连接的构成管理在外部配置监视装置,与监视对象的状态无关地从监视装置以固定周期轮询监视对象,配置在监视对象内的代理服务器定期地向请求了该状态的上位系统传递。
在先技术文献
专利文献
专利文献1:日本特开平08-237249号公报
发明内容
发明要解决的课题
但是,在现有技术中,存在难以适当且容易地掌握通信设备的连接状况的课题。例如,设想IoT设备等通信设备变更网络的连接部位,或者因故障等而更换为其他设备的情况,在台数多的情况下,难以适当且容易地掌握结构。因此,难以自动识别通信设备与何处连接、移动过与否、废弃与否、设备被更换与否。
此外,还可以考虑导入代理服务器来管理通信设备的构成信息的方法,但IoT设备这样的通信设备资源少,难以导入代理服务器。
用于解决课题的手段
为了解决上述课题并达到目的,本发明的异常检测装置的特征在于,具备:取得部,其取得各通信设备的通信特征量;计算部,其针对在由所述取得部取得的通信特征量包含的每个发送方MAC地址,计算与该通信设备连接的层2交换机单位的发送和接收分组数的合计值或字节数的合计值;以及判定部,其关于各发送方MAC地址,判定为在由所述计算部计算出的发送和接收分组数的合计值或字节数的合计值最多的层2交换机上连接了与所述发送方MAC地址对应的通信设备。
此外,本发明的异常检测方法是由异常检测装置执行的异常检测方法,其特征在于,包括:取得步骤,取得各通信设备的通信特征量;计算步骤,针对在通过所述取得步骤取得的通信特征量包含的每个发送方MAC地址,计算与该通信设备连接的层2交换机单位的发送和接收分组数的合计值或字节数的合计值;以及判定步骤,关于各发送方MAC地址,判定为在通过所述计算步骤计算出的发送和接收分组数的合计值或字节数的合计值最多的层2交换机上连接了与所述发送方MAC地址对应的通信设备。
此外,本发明的异常检测程序,其特征在于,其使计算机执行如下步骤:取得步骤,取得各通信设备的通信特征量;计算步骤,针对在通过所述取得步骤取得的通信特征量包含的每个发送方MAC地址,计算与该通信设备连接的层2交换机单位的发送和接收分组数的合计值或字节数的合计值;以及判定步骤,关于各发送方MAC地址,判定为在通过所述计算步骤计算出的发送和接收分组数的合计值或字节数的合计值最多的层2交换机上连接了与所述发送方MAC地址对应的通信设备。
发明的效果
本发明得到能够适当且容易地掌握通信设备的连接状况的效果。
附图说明
图1是表示第一实施方式的异常检测系统的结构的一例的图。
图2是说明镜像监视中的通信模式的图。
图3是表示第一实施方式所涉及的异常检测装置的结构例的框图。
图4是表示通信特征量的一例的图。
图5是表示连接判定用列表的一例的图。
图6是表示处理用列表的一例的图。
图7是表示未通信MAC地址列表的一例的图。
图8是说明第一实施方式的异常检测装置的连接处理的流程图。
图9是说明第一实施例的异常检测装置的连接处理的流程图。
图10是说明第一实施方式的异常检测装置的切断更换判定处理的流程图。
图11是表示执行异常检测程序的计算机的图。
具体实施方式
以下,根据附图详细说明本申请所涉及的异常检测装置、异常检测方法及异常检测程序的实施方式。此外,本申请的异常检测装置、异常检测方法及异常检测程序并不限定于该实施方式。
[第一实施方式]
在以下的实施方式中,依次说明第一实施方式的异常检测系统的结构、异常检测装置的结构、异常检测装置中的处理流程,最后说明第一实施方式的效果。
[异常检测系统的结构]
首先,使用图1对第一实施方式所涉及的异常检测系统100进行说明。图1是表示第一实施方式的异常检测系统的结构的一例的图。如图1所示,第一实施方式的异常检测系统100例如具有:多个通信设备10A~10I、多个网关装置20A、20B、异常检测装置30、服务器40、具备多个层2交换机50A~50E和多个路由器60A、60B。
另外,服务器40和多个路由器60A,60B通过因特网等网络连接。此外,异常检测装置30和多个网关装置20A,20B通过监视网络连接。另外,在没有特别区别地说明通信设备10A~10I、网关装置20A、20B,层2交换机50A~50E、路由器60A、60B的情况下,分别记载为通信设备10、网关装置20、层2交换机50、路由器60。
通信设备10是成为异常检测系统中的异常的检测对象的通信装置。例如,通信设备10是制造厂、工厂、大厦、数据中心等各种环境中的IoT设备,将设置在设备或机械中的传感器的传感器信息通知给服务器40,实现了社会基础设施系统的高效化和工厂自动化。
网关装置20是与层2交换机50的镜像端口连接,收集各通信设备10的分组数据并生成通信特征量和动作日志,经由监视网络发送给异常检测装置30的装置。路由器60是将通信设备10经由因特网等网络与外部装置(例如服务器40)连接,或者与不同的LAN的其他通信设备10连接的装置。
异常检测装置30根据层2交换机50、通信设备10的正常动作时的通信特征量和动作日志学习正常动作的动作,保存学习结果,根据通信特征量进行通信设备的非法接入和病毒感染等异常的检测,并且,使用通信特征量来分析或监视通信设备10的连接状况。
例如,异常检测装置30对于分析对象的通信设备10的通信特征量和动作日志,计算表示异常的程度的异常分数,与预先设定好的判定阈值进行比较,在异常分数比判定阈值小的情况下,判定为正常,在大的情况下,判定为异常。
另外,异常检测装置30通过通信特征量的统计处理,对成为异常通信的监视对象的通信设备10,自动地识别与哪个网关装置20的哪个端口连接(与哪个层2交换机50连接),自动地检测已切断、已再连接、已与其他网关装置连接,管理结构。另外,镜像端口的结构为,设定在网络上存在的所有层2交换机50上。
服务器40是与网络连接的装置,例如是成为通信设备10的通信对方的装置。例如,服务器40从通信设备10接收传感器信息。层2交换机50与通信设备10和路由器60连接,进行层2中的分组传输,并且进行通信设备10的分组捕获,通过镜像端口向网关装置20输出通信数据。
例如,如图2所示,层2交换机50C~50E将分组捕获数据输出到网关装置20B。此外,如图2所例示,在通信设备10F和通信设备G进行通信的情况下,经由层2交换机50D进行通信数据的收发。在这种情况下,层2交换机50D进行分组捕获,通过镜像端口向网关装置20B输出通信数据。
此外,如图2所例示,在通信设备10G与服务器40进行通信的情况下,经由层2交换机50C、层2交换机50D以及路由器60B进行通信数据的收发。在这种情况下,层2交换机50C以及层2交换机50D分别进行分组捕获,通过镜像端口分别向网关装置20B输出通信数据。
[异常检测装置的结构]
接着,使用图3说明图1所示的异常检测装置30的结构。图3是表示第一实施方式所涉及的异常检测装置的结构例的框图。如图3所示,该异常检测装置30具有学习部311、异常检测部312、取得部313、计算部314、判定部315、计数部316、输入部317、显示部318、保存数据检索部319、、通信部320、OS 321、学习数据保存部322、通信特征量保存部323、列表保存部324以及构成信息保存部325。以下说明异常检测装置30具有的各部的处理。
学习部311通过机器学习来学习通信设备10正常动作时的通信特征量。例如,学习部311通过使用了保存在通信特征量保存部323中的通信设备10的通信特征量的机器学习,学习通信设备10的正常动作时的通信特征量,作为学习的结果,正常操作时的通信特征量被存储在学习数据保存部322中。
异常检测部312根据各通信设备10的正常动作时的通信特征量,检测通信设备10的异常。例如,异常检测部312从通信特征量保存部323取得分析对象的各通信设备10的通信特征量。然后,异常检测部312针对所取得的通信特征量,使用学习部311的学习结果,计算针对各通信设备10的通信特征量的异常分数。然后,在计算出的异常分数值为预先设定的判定阈值以上的情况下,异常检测部312判定为通信设备10中发生了异常,在小于预先设定的判定阈值的情况下,异常检测部312判定为通信设备10正常地动作。
取得部313取得各通信设备10的通信特征量。具体而言,取得部313从网关装置20以规定的时间间隔取得各通信设备的通信特征量,取得从前次取得时起追加的通信特征量,保存到通信特征量保存部323中,并且作成发送方MAC地址的列表。另外,各通信设备10的通信特征量(例如图4所示的各特征量项目的值)也可以构成为,从网关装置20直接取得针对通信设备10的发送和接收的通信特征量,并保存在通信特征量保存部323中,也可以是从网关装置20取得针对通信设备10的每规定时间的发送和接收的通信统计数据,在异常检测装置30中变换为通信特征量,保存在通信特征量保存部323中的结构。
这里,图4表示通信特征量的例子。图4是表示通信特征量的一例的图。如图4所示,在通信特征量的项目中,记载有发送方MAC地址、发送目的地MAC地址、五元组信息(发送方IP地址、发送方端口编号,发送目的地IP地址、发送目的地端口编号、协议)、上行平均分组尺寸、上行最大分组尺寸、上行最少分组尺寸、上行平均流量、下行平均分组尺寸、下行最大分组尺寸、下行最少分组尺寸、下行平均流量。
计算部314针对由取得部313取得的通信特征量中包含的每个发送方MAC地址,计算与该通信设备10连接的层2交换机50单位的发送和接收分组数的合计值或字节数的合计值。另外,在以下的说明中,说明计算部314计算出发送和接收分组数的合计值以及字节数的合计值两者的情况。
判定部315对于各发送方MAC地址,判定为与发送方MAC地址对应的通信设备10连接到由计算部314计算出的发送和接收分组数的合计值或字节数的合计值最多的层2交换机50。
例如,若使用图2的例子进行说明,则计算部314对于通信设备10G的发送方MAC地址,计算层2交换机50C的发送和接收分组数的合计值和字节数的合计值,层2交换机50D的发送和接收分组数的合计值和字节数的合计值。在图2的例子的情况下,对于通信设备10G的通信,层2交换机50D传输与通信设备10F以及服务器40之间的通信数据,但层2交换机50C对于通信设备10G的通信,仅传输与服务器40之间的通信数据,因此层2交换机50D的发送和接收分组数的合计值和字节数的合计值大于层2交换机50C的发送和接收分组数的合计值和字节数的合计值。即,在图2的例子中,判定部315判定为在层2交换机50D上直接连接了通信设备10G。
这样,异常检测装置30通过判定为通信设备10G直接连接的层2交换机50D,可以识别通信设备10G的观测点。即,在异常检测装置30中,会从层2交换机50C和层2交换机50D两者部分地重复而受领通信设备10G的通信数据,但通过判定为通信设备10G直接连接的层2交换机50D,在观测来自层2交换机50D的通信设备10G的通信数据时,无泄漏且无重复地监视通信设备10G的通信数据。
另外,在由后述的计数部316计数的未通信时间经过了规定时间的情况下,判定部315判定为未通信时间经过了规定时间的发送方MAC地址的通信设备10发生了通信的连接断开。并且,在与判定为没有发生通信的通信设备10连接的层2交换机50中,在由计数部316计数的未通信时间经过规定时间之前,存在新连接的通信设备且没有发生通信的通信设备的数量与新连接的通信设备的数量一致的情况下,判定部315判定为通信设备已被更换。
此外,判定部315根据判定结果,更新包含与通信设备10的连接状态有关的信息的构成信息。具体地,判定部315根据判定结果更新存储在构成信息存储部325中的构成信息。
在由取得部313取得的通信特征量中不存在,但在包含与通信设备10的连接状态相关的信息的构成信息中存在的发送方MAC地址的情况下,计数部316对该发送方MAC地址,计数未通信时间。
输入部317受理各保存部322~325中存储的各种数据的输入、各保存部322~325中存储的数据的检索请求等。例如,输入部317受理异常检测结果、构成信息等的检索请求。
显示部318将各保存部322~325中存储的各种数据显示在显示装置(省略图示)上。例如,显示部318在显示装置(省略图示)上显示由保存数据检索部319检索到的异常检测结果和构成信息。另外,在由异常检测部312检测出通信设备10的异常的情况下,显示部318将与该通信设备10连接的层2交换机50对应的网络显示为检测出异常的通信设备10所属的网络。因此,能够检测出与网络连接的通信设备10的异常,能够识别通信设备10连接的网络。
保存数据检索部319检索存储在各个存储部元322~325中的数据。例如,当从输入部317受理构成信息的检索请求时,保存数据检索部319从构成信息保存部325检索与检索请求匹配的构成信息。
通信部320负责与外部装置之间的通信接口。例如,通信部320受理经由网关装置20取得的各通信设备10的通信特征量、通信统计数据、分组数据的输入。
OS321管理及控制学习部311、异常检测部312、取得部313、计算部314、判定部315、计数部316、输入部317、显示部318、保存数据检索部319、通信部320、OS321、学习数据保存部322、通信特征量保存部323、列表保存部324以及构成信息保存部325。
学习数据保存部322保存由学习部311学习的通信设备10的通信特征量,作为正常动作时的通信特征量。通信特征量保存部323保存各通信设备10的通信特征量。该通信特征量用于学习部311的学习、异常检测部312的异常检测。
作为连接判定处理(参照图8,9)中的判定对象,列表保存部324存储表示新连接到层2交换机50的发送方MAC地址的连接判定用列表。例如,在连接判定用列表中,如图5所示,与“发送方MAC地址”和作为层2交换机50的ID的“交换机ID”相对应地存储发送和接收的“分组数”和“字节数”。图5是表示连接判定用列表的一例的图。
另外,列表保存部324作为切断更换判断处理(参照图10)中的判定对象,存储表示所取得的通信特征量中包含的发送方MAC地址的处理用列表。例如,如图6所示,在处理用列表中,将作为层2交换机50的ID的“交换机ID”和“发送方MAC地址”相对应地进行存储。图6是示出了处理用列表的一例的图。
另外,列表保存部324存储表示未发生通信的通信设备10的MAC地址即未通信MAC地址的未通信MAC地址列表。例如,在未通信MAC地址列表中,与发送方MAC地址对应地存储未通信时间。图7是示出了未通信MAC地址列表的一例的图。
构成信息保存部325存储至少包含与通信设备10的连接状态有关的信息的构成信息。该构成信息例如包含与各通信设备10直接连接的层2交换机50、层2交换机50所属的网络名等网络结构有关的各种信息。
[异常检测装置的处理流程]
接着,使用图8~图10说明第一实施方式的异常检测装置30的处理的流程。图8和图9是说明第一实施例的异常检测装置的连接处理的流程图。图10是说明第一实施例的异常检测装置的切断更换判定处理的流程图。
首先,使用图8和图9说明异常检测装置30的连接处理。此外,异常检测装置30的连接处理是以规定时间(例如1分钟)间隔定期地执行的处理。如图8以及图9所示,异常检测装置30的取得部313取得从前次取得时起追加的通信特征量(步骤S101),作成发送方MAC地址的列表(步骤S102)。
取得部313判定是否存在以层2交换机单位首次出现的发送方MAC地址(步骤S103),在不存在首次出现的发送方MAC地址(步骤S103中的“否”)的情况下,处理结束。另外,在存在首次出现的发送方MAC地址的情况下(步骤S103中的“是”),取得部313将发送方MAC地址的列表更新为相当于首次出现的发送方MAC地址的列表(步骤S104)。
接着,取得部313作成发送MAC地址的连接用判定列表,作为新连接的发送方MAC地址(步骤S105)。然后,计算部314以发送方MAC地址单位,且以层2交换机50单位,计算出发送和接收的分组数、字节数的合计值(步骤S106),并将发送方MAC地址作为密钥,以层2交换机50单位保存发送和接收的分组数、字节数的合计值,作为连接判定用列表(步骤S107)。
然后,判定部315判定在连接判定用列表中是否存在未处理的发送方MAC地址(步骤S108),若没有未处理的发送方MAC地址(步骤S108“否”),则直接结束处理。另外,在存在未处理的发送方MAC地址的情况下(步骤S108为是),判定部315从连接判定用列表中取得一个未处理的发送方MAC地址(步骤S109)。
接着,判定部315在处理对象的发送方MAC地址中,按层2交换机50从连接判定用列表中取得发送和接收的分组数、字节数的合计值(步骤S110)。然后,判定部315将分组数、字节数双方为最多的值的层2交换机50判定为已经连接的层2交换机50,并暂时保存(步骤S111)。另外,在分组数为最多的值的层2交换机50和字节数为最多的值的层2交换机50不同的情况下,判定部315可以根据规定的条件自动决定判定为连接了哪个的层2交换机50,也可以使用户进行判断。
然后,判定部315判定作为处理对象的发送方MAC地址过去是否连接到了其他的层2交换机50(步骤S112)。其结果,在在过去未连接到层2交换机50的情况下(步骤S112中的“否”),判定部315判断为在所判定的层2交换机50上新连接了具有此次处理对象的发送方MAC地址的通信设备10,更新构成信息(步骤S113),返回步骤S108的处理。
在过去连接到其他的层2交换机50的情况下(步骤S112为是),判定部315对于过去连接的层2交换机50的构成信息,判断为假设具有此次处理对象的发送方MAC地址的通信设备移动而被切断,更新构成信息(步骤S114)。然后,判定部315判断为在层2交换机50上,具有此次处理对象的发送方MAC地址的通信设备10移动而被连接,更新构成信息(步骤S115),返回步骤S108的处理。
接着,使用图10说明异常检测装置30的切断更换判定处理。此外,异常检测装置30的切断更换处理是以规定时间(例如1分钟)间隔定期地执行的处理。如图10所示,异常检测装置30的取得部313取得从前次取得时起追加的通信特征量(步骤S201),作成发送方MAC地址的列表作为处理用列表(步骤S202)。
然后,计数部316对在构成信息中是否存在以层2交换机单位不存在于处理用列表中的发送方MAC地址进行判定(步骤S203)。其结果,在判定为在构成信息中不存在以层2交换机单位不存在于处理用列表中的发送方MAC地址的情况下(步骤S203中为“否”),计数部316结束处理。
在判定为在构成信息中存在以层2交换机单位不存在于处理用列表中的发送方MAC地址的情况下(步骤S203中为“是”),计数部316对不存在于列表中的发送方MAC地址,判断为未发生通信的通信设备10,将从前次取得通信特征量时起的经过时间加为未通信时间,并作为未通信MAC地址列表进行保存(步骤S204)。
然后,判定部315对在未通信MAC地址列表中是否存在存在于处理用列表中的发送方MAC地址进行判定(步骤S205),在不存在存在于处理用列表中的发送方MAC地址的情况下(步骤S205中为“否”),处理进入到步骤S207。另外,在存在存在于处理用列表中的发送方MAC地址的情况下(步骤S205中为是),判定部315判断为在具有处理对象的发送方MAC地址的通信设备10中发生了通信,从未通信MAC地址列表中进行删除(步骤S206)。
然后,判定部315判定在存在于未通信MAC地址列表中的通信设备中是否存在经过了一定时间的通信设备(步骤S207),在没有经过了一定时间的通信设备的情况下(步骤S207为“否”),结束处理。另外,在存在于未通信MAC地址列表中的通信设备中存在经过了一定时间的通信设备的情况下(步骤S207为“是”),判定部315对具有相应的发送方MAC地址的通信设备10,判断为是未发生通信的通信设备10,从构成信息中进行删除(步骤S208)。
然后,判定部315判定在连接了相应的发送方MAC地址的层2交换机50中,在经过一定时间之前是否有新连接的通信设备10、且数量一致(步骤S209)。其结果,在判定部315判定为在经过一定时间之前存在新连接的通信设备10、且数量一致的情况下(步骤S209为“是”),判断为通信设备10被更换,对运用者提示信息,通过运用者有无更换判断来更新构成信息(步骤S210),并结束处理。此外,在判定部315判定为在经过一定时间之前没有新连接的通信设备10,或者数量不一致的情况下(步骤S209“否”),直接结束处理。
另外,作为判定通信设备10被更换的方法,除了上述的数量一致以外,还存在如下方法:预先识别通信设备10的正常通信模式,在判定为已连接的层2交换机50中,发送方MAC地址不同,但发送和接收的IP地址、端口编号、协议、流量模式没有变更的情况下,判定为已更换。进而,存在如下方法:识别连接到层2交换机50的端口的位置,如果在已经连接的端口的位置新连接了设备,则判定为已更换。进而,有组合使用这些判定方法的方法。
[第一实施方式的效果]
这样,第一实施方式涉及的异常检测装置30取得各通信设备10的通信特征量,针对通信特征量中包含的每个发送方MAC地址,计算与该通信设备10连接的层2交换机50单位的发送和接收分组数的合计值或字节数的合计值,对于各发送方MAC地址,判定为在发送和接收分组数的合计值或字节数的合计值最多的层2交换机50上,连接了与发送方MAC地址对应的通信设备10。因此,能够适当且容易地掌握通信设备10的连接状况。
即,异常检测装置30计算发送方MAC地址单位且层2交换机50单位的发送和接收的分组数、字节数的合计值,按层2交换机比较合计值,将示出最多的值的层2交换机判定为相应的通信设备10所连接的层2交换机,所以由此能够判定通信设备10的连接状态。另外,在异常检测装置30中,能够识别通信设备10是被连接,还是被移动到其他网络,还是被切断,还是被更换。
[系统结构等]
另外,图示的各装置的各构成要素是功能概念性的,不一定在物理上如图示那样构成。即,各装置的分散/合并的具体方式不限于图示的方式,可以根据各种负荷或使用状况等,以任意单位在功能上或物理上分散/合并其全部或一部分来构成。进而,在各装置中进行的各处理功能,其全部或者任意的一部分可以通过CPU以及由该CPU解析执行的程序来实现,或者作为基于有线逻辑的硬件来实现。
此外,在本实施方式中说明的各处理中,可以手动地进行作为自动进行的处理而说明的处理的全部或一部分,或者也可以用公知的方法自动地进行作为手动进行的处理而说明的处理的全部或一部分。除非另有说明,否则在说明书和附图中示出的处理过程、控制过程、具体名称以及包括各种数据和参数的信息可以任意地改变。
[程序]
另外,能够通过将实现在上述实施方式中叙述的异常检测装置30的功能的程序安装到期望的信息处理装置(计算机)中来安装。例如,通过使信息处理装置执行作为软件包或在线软件而提供的上述程序,能够使信息处理装置作为异常检测装置30发挥功能。这里所说的信息处理装置包括桌面型或笔记本型的个人计算机、机架搭载型的服务器计算机等。另外,除此以外,在信息处理装置中,其范畴内包括网关装置、智能手机、便携电话机或PHS(Personal Handyphone System:个人手持电话系统)等移动体通信终端,进而包括PDA(Personal Digital Assistants:个人数字助理)等。另外,也可以将异常检测装置30安装于云服务器。
使用图11说明执行上述程序(异常检测程序)的计算机的一例。如图11所示,例如,计算机1000包括存储器1010、CPU 1020、硬盘驱动接口1030和盘驱动接口1040、视频适配器1060和网络接口1070。这些各部通过总线1080连接。
存储器1010包括ROM(只读存储器)1011和RAM(随机存取存储器)1012。ROM 1011存储例如BIOS(Basic Input Output System,基本输入输出系统)等引导程序。硬盘驱动接口1030连接到硬盘驱动器1090。盘驱动器接口1040连接到盘驱动器1100。在盘驱动器1100中插入有例如磁盘或光盘等可装卸的存储介质。例如,鼠标1110和键盘1120连接到串行端口1050。例如,显示器1130连接到视频适配器1060。
这里,如图11所示,硬盘驱动器1090例如存储OS1091、应用程序1092、程序模块1093以及程序数据1094。在上述实施例中描述的各种数据和信息被存储在例如硬盘驱动器1090或存储器1010中。
然后,CPU1020根据需要将硬盘驱动器1090中存储的程序模块1093或程序数据1094读出到RAM1012中,执行上述的各步骤。
此外,与上述异常检测程序有关的程序模块1093或程序数据1094不限于存储在硬盘驱动器1090中的情况,例如也可以存储在可装卸的存储介质中,也可以通过盘驱动器1100等由CPU1020读出。或者,与上述程序相关的程序模块1093或程序数据1094被存储在通过LAN或WAN(Wide Area Network,广域网)等网络连接的其他计算机中,也可以通过网络接口1070由CPU1020读出。
标号说明
10,10A~10I 通信设备
20A,20B 网关装置
30 异常检测装置
40 服务器
50A~50C 层2交换机
60A,60B 路由器
100 异常检测系统
311 学习部
312 异常检测部
313 取得部
314 计算部
315 判定部
316 计数部
317 输入部
318 显示部
319 保存数据检索部
320 通信部
321 操作系统
322 学习数据保存部
323 通信特征量保存部
324 列表保存部
325 构成信息保存部
Claims (7)
1.一异常检测装置,其特征在于,具有:
取得部,其取得各通信设备的通信特征量;
计算部,其针对在由所述取得部取得的通信特征量中包含的每个发送方MAC地址,计算与该通信设备连接的层2交换机单位的发送和接收分组数的合计值或字节数的合计值;以及
判定部,其对于各发送方MAC地址,判定为在由所述计算部计算出的发送和接收分组数的合计值或字节数的合计值最多的层2交换机上连接了与所述发送方MAC地址对应的通信设备。
2.根据权利要求1所述的异常检测装置,其特征在于,
该异常检测装置还具有计数部,在有不存在于由所述取得部取得的通信特征量中、但存在于包含与所述通信设备的连接状态有关的信息的构成信息中的发送方MAC地址的情况下,该计数部对于该发送方MAC地址,对未通信时间进行计数,
在由所述计数部计数的未通信时间经过了规定时间的情况下,所述判定部判定为所述通信设备发生了通信的连接切断。
3.根据权利要求2所述的异常检测装置,其特征在于,
在与判定为未发生通信的通信设备连接的层2交换机中,有在由所述计数部计数的未通信时间经过规定时间之前新连接的通信设备,且判定为未发生通信的通信设备的数量与新连接的通信设备的数量一致的情况下,所述判定部判定为通信设备已被更换。
4.根据权利要求1至3中的任意一项所述的异常检测装置,其特征在于,
所述判定部根据判定结果,更新包含与所述通信设备的连接状态有关的信息的构成信息。
5.根据权利要求1至4中的任意一项所述的异常检测装置,其特征在于,
该异常检测装置还具有:
异常检测部,其根据所述各通信设备正常动作时的通信特征量,检测所述通信设备的异常;以及
显示部,在由所述异常检测部检测出所述通信设备的异常的情况下,该显示部将与该通信设备连接的层2交换机对应的网络作为检测到所述异常的通信设备所属的网络进行显示。
6.一种异常检测方法,由异常检测装置执行,该异常检测方法的特征在于,包括:
取得步骤,取得各通信设备的通信特征量;
计算步骤,针对在通过所述取得步骤取得的通信特征量中包含的每个发送方MAC地址,计算与该通信设备连接的层2交换机单位的发送和接收分组数的合计值或字节数的合计值;以及
判定步骤,对于各发送方MAC地址,判定为在通过所述计算步骤计算出的发送和接收分组数的合计值或字节数的合计值最多的层2交换机上连接了与所述发送方MAC地址对应的通信设备。
7.一种异常检测程序,其特征在于,其使计算机执行如下步骤:
取得步骤,取得各通信设备的通信特征量;
计算步骤,针对在通过所述取得步骤取得的通信特征量中包含的每个发送方MAC地址,计算与该通信设备连接的层2交换机单位的发送和接收分组数的合计值或字节数的合计值;以及
判定步骤,对于各发送方MAC地址,判定为在通过所述计算步骤计算出的发送和接收分组数的合计值或字节数的合计值最多的层2交换机上连接了与所述发送方MAC地址对应的通信设备。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018-103876 | 2018-05-30 | ||
| JP2018103876A JP6927155B2 (ja) | 2018-05-30 | 2018-05-30 | 異常検出装置、異常検出方法および異常検出プログラム |
| PCT/JP2019/021163 WO2019230739A1 (ja) | 2018-05-30 | 2019-05-28 | 異常検出装置、異常検出方法および異常検出プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112204928A true CN112204928A (zh) | 2021-01-08 |
| CN112204928B CN112204928B (zh) | 2022-07-15 |
Family
ID=68698813
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980035133.3A Active CN112204928B (zh) | 2018-05-30 | 2019-05-28 | 异常检测装置、异常检测方法及记录介质 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US11316770B2 (zh) |
| EP (1) | EP3787240B1 (zh) |
| JP (1) | JP6927155B2 (zh) |
| CN (1) | CN112204928B (zh) |
| AU (1) | AU2019277439B2 (zh) |
| WO (1) | WO2019230739A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115378819A (zh) * | 2021-05-19 | 2022-11-22 | 横河电机株式会社 | 网络模拟器、网络模拟方法和计算机可读记录介质 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08237249A (ja) * | 1995-02-28 | 1996-09-13 | Oki Electric Ind Co Ltd | ネットワーク管理システム |
| CN1703884A (zh) * | 2002-10-11 | 2005-11-30 | 诺基亚公司 | 具有性能优化的动态隧道连接对等化 |
| US20050286434A1 (en) * | 2004-06-25 | 2005-12-29 | Inmon Corporation | Methods and computer programs for generating data traffic matrices |
| CN1750494A (zh) * | 2004-09-13 | 2006-03-22 | 日本电气株式会社 | 中继节点安装选择方法、安装点选择装置、安装基站 |
| US20070204060A1 (en) * | 2005-05-20 | 2007-08-30 | Hidemitsu Higuchi | Network control apparatus and network control method |
| CN101087250A (zh) * | 2007-05-11 | 2007-12-12 | 华为技术有限公司 | 网络中邻接关系的建立方法及装置 |
| JP2007336512A (ja) * | 2006-05-18 | 2007-12-27 | Alaxala Networks Corp | 統計情報収集システム及び統計情報収集装置 |
| CN101803312A (zh) * | 2007-10-02 | 2010-08-11 | 日本电信电话株式会社 | 异常业务检测装置、异常业务检测方法及异常业务检测程序 |
| CN103098422A (zh) * | 2011-07-26 | 2013-05-08 | 株式会社日立制作所 | 通信装置 |
| JP2013157742A (ja) * | 2012-01-27 | 2013-08-15 | Fujitsu Ltd | 監視装置、プログラム及び監視方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5718198B2 (ja) * | 2011-09-15 | 2015-05-13 | アラクサラネットワークス株式会社 | ネットワーク管理システム、及び装置 |
| JP6357793B2 (ja) * | 2014-02-17 | 2018-07-18 | 日本電気株式会社 | ネットワーク監視装置、システム、方法及びプログラム |
| US10389606B2 (en) * | 2016-03-25 | 2019-08-20 | Cisco Technology, Inc. | Merging of scored records into consistent aggregated anomaly messages |
-
2018
- 2018-05-30 JP JP2018103876A patent/JP6927155B2/ja active Active
-
2019
- 2019-05-28 US US17/059,186 patent/US11316770B2/en active Active
- 2019-05-28 CN CN201980035133.3A patent/CN112204928B/zh active Active
- 2019-05-28 AU AU2019277439A patent/AU2019277439B2/en active Active
- 2019-05-28 WO PCT/JP2019/021163 patent/WO2019230739A1/ja unknown
- 2019-05-28 EP EP19812367.1A patent/EP3787240B1/en active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08237249A (ja) * | 1995-02-28 | 1996-09-13 | Oki Electric Ind Co Ltd | ネットワーク管理システム |
| CN1703884A (zh) * | 2002-10-11 | 2005-11-30 | 诺基亚公司 | 具有性能优化的动态隧道连接对等化 |
| US20050286434A1 (en) * | 2004-06-25 | 2005-12-29 | Inmon Corporation | Methods and computer programs for generating data traffic matrices |
| CN1750494A (zh) * | 2004-09-13 | 2006-03-22 | 日本电气株式会社 | 中继节点安装选择方法、安装点选择装置、安装基站 |
| US20070204060A1 (en) * | 2005-05-20 | 2007-08-30 | Hidemitsu Higuchi | Network control apparatus and network control method |
| JP2007336512A (ja) * | 2006-05-18 | 2007-12-27 | Alaxala Networks Corp | 統計情報収集システム及び統計情報収集装置 |
| CN101087250A (zh) * | 2007-05-11 | 2007-12-12 | 华为技术有限公司 | 网络中邻接关系的建立方法及装置 |
| CN101803312A (zh) * | 2007-10-02 | 2010-08-11 | 日本电信电话株式会社 | 异常业务检测装置、异常业务检测方法及异常业务检测程序 |
| CN103098422A (zh) * | 2011-07-26 | 2013-05-08 | 株式会社日立制作所 | 通信装置 |
| JP2013157742A (ja) * | 2012-01-27 | 2013-08-15 | Fujitsu Ltd | 監視装置、プログラム及び監視方法 |
Non-Patent Citations (2)
| Title |
|---|
| 穆文涛: "电力信息系统网络拓扑算法的分析与应用研究", 《中国优秀博硕士学位论文全文数据库》 * |
| 穆文涛: "电力信息系统网络拓扑算法的分析与应用研究", 《中国优秀博硕士学位论文全文数据库》, 15 March 2018 (2018-03-15) * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115378819A (zh) * | 2021-05-19 | 2022-11-22 | 横河电机株式会社 | 网络模拟器、网络模拟方法和计算机可读记录介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3787240A1 (en) | 2021-03-03 |
| EP3787240B1 (en) | 2024-01-03 |
| US11316770B2 (en) | 2022-04-26 |
| US20210218659A1 (en) | 2021-07-15 |
| JP6927155B2 (ja) | 2021-08-25 |
| WO2019230739A1 (ja) | 2019-12-05 |
| AU2019277439A1 (en) | 2020-12-24 |
| EP3787240A4 (en) | 2022-01-19 |
| JP2019208180A (ja) | 2019-12-05 |
| CN112204928B (zh) | 2022-07-15 |
| AU2019277439B2 (en) | 2022-06-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10673874B2 (en) | Method, apparatus, and device for detecting e-mail attack | |
| CN108429651B (zh) | 流量数据检测方法、装置、电子设备及计算机可读介质 | |
| US10356106B2 (en) | Detecting anomaly action within a computer network | |
| US7814224B2 (en) | Information processor deactivates communication processing function without passing interrupt request for processing when detecting traffic inbound is in over-traffic state | |
| US7752307B2 (en) | Technique of analyzing an information system state | |
| JP6258562B2 (ja) | 中継装置、ネットワーク監視システム及びプログラム | |
| EP3223495B1 (en) | Detecting an anomalous activity within a computer network | |
| KR20140088340A (ko) | 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법 | |
| CN111600863B (zh) | 网络入侵检测方法、装置、系统和存储介质 | |
| US9661016B2 (en) | Data center infrastructure management system incorporating security for managed infrastructure devices | |
| CN112204928B (zh) | 异常检测装置、异常检测方法及记录介质 | |
| CN115348092A (zh) | 一种工控网络异常流量检测方法、装置及电子设备 | |
| CN113014602B (zh) | 一种基于最优通信路径的工业网络防御方法和系统 | |
| KR20110067871A (ko) | Ip 망에서 oam 패킷을 이용한 트래픽 감시 및 제어를 위한 네트워크 액세스 장치 및 방법 | |
| JP5091975B2 (ja) | 情報処理装置及び情報処理システム | |
| JP2019213029A (ja) | 感染拡大攻撃検知システム及び方法、並びに、プログラム | |
| KR20030003981A (ko) | 망 관리장치 및 그 방법 | |
| CN114338221B (zh) | 一种基于大数据分析的网络检测系统 | |
| JP2023106103A (ja) | トラフィック分析装置、トラフィック分析プログラム及びトラフィック分析方法 | |
| CN115693932A (zh) | 一种电力智能调节的动态安全防护系统 | |
| CN117979348A (zh) | 网络状态确定方法、装置、电子设备及介质 | |
| CN117134997A (zh) | 一种边缘传感器能耗攻击检测方法、装置及存储介质 | |
| JP2020031338A (ja) | 判定装置、ゲートウェイ、判定方法及び判定プログラム | |
| JP2018037961A (ja) | フロー解析装置、トラフィック解析システム、及びフロー解析方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |