JP2004312064A - ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム - Google Patents

ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム Download PDF

Info

Publication number
JP2004312064A
JP2004312064A JP2003098606A JP2003098606A JP2004312064A JP 2004312064 A JP2004312064 A JP 2004312064A JP 2003098606 A JP2003098606 A JP 2003098606A JP 2003098606 A JP2003098606 A JP 2003098606A JP 2004312064 A JP2004312064 A JP 2004312064A
Authority
JP
Japan
Prior art keywords
network
principal component
component axis
dimensional vector
axis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003098606A
Other languages
English (en)
Inventor
Yuji Izumi
勇治 和泉
Tatsuya Oikawa
達也 及川
Yasushi Kato
寧 加藤
Yoshiaki Nemoto
義章 根元
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intelligent Cosmos Research Institute
Original Assignee
Intelligent Cosmos Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intelligent Cosmos Research Institute filed Critical Intelligent Cosmos Research Institute
Priority to JP2003098606A priority Critical patent/JP2004312064A/ja
Publication of JP2004312064A publication Critical patent/JP2004312064A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】ネットワークの異常検出を行うこと。
【解決手段】検出対象たるネットワーク中を一定時間の間に通過するパケットについて、k個(k:自然数)の分類ごとにパケット数をカウントするパケット数カウント部1と、カウントしたパケット数をk個の分類ごとに正規化し、正規化したパケット数を要素としたk次元ベクトルを生成するベクトル生成部2とを有する。さらに、本実施の形態1にかかるネットワーク異常検出装置は、k次元特徴空間において各次元間の相関関係に基づいて定められた主成分軸を導出する主成分軸導出部3と、必要な情報を記憶する記憶部4と、生成したk次元ベクトルとの距離を導出する主成分軸−k次元ベクトル間距離測定部5と、ネットワークの異常の有無を判定する異常判定部6とを有する。かかる構造を有することで、簡易な構成で未知の異常状態をも検出することが可能となる。
【選択図】 図1

Description

【0001】
【発明の属する技術分野】
この発明は、ネットワークの異常検出に関するものであり、特に簡易な構成で未知の異常をも検出可能なネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラムに関するものである。
【0002】
【従来の技術】
現在、一般的に不正アクセスに対しては、管理化ネットワークの入口にをファイアウォールや侵入検知システム(IDS)を設置し、防御あるいは検出を行うシステムが広く普及している。ファイアウォールとIDSそれぞれについて、その働きを以下に述べる。
【0003】
(ファイアウォール)
まず、ファイアウォールまたはホストの設定によって、不要なポートに対するアクセスを遮断することが基本である。これにより、管理者の意図しない外部からのアクセスを排除することでシステムを外界から隠し、安全性を飛躍的に高めることができる。しかし、外界からの全てのアクセスを排除するとネットワークの利便性が損なわれてしまう。また、不特定多数を対象に公開しているサーバなどは、ファイアウォールによる保護の対象とできない。さらに、ファイアウォールの本質的な弱点として、ファイアウォール自身が不正アクセスを受けて不正侵入を許すと、内部のシステムは極めて無防備なものとなってしまう。よって、セキュリティ向上の手段をファイアウォールのみに頼ることは危険であり、一般的にはIDSが併用されることが多い。
【0004】
(IDS)
IDSの研究開発は1980年代前半から始まり、現在でも活発な研究開発が行われている。しかし、優秀なIDSが開発されれば、侵入者はより巧妙な手口を使って検出を避けようとし、こういったセキュリティ技術者と侵入者の競争は、しばしば”いたちごっこ”とも言われる。これまでに、様々な目的のために多数のIDSが開発されており、標準化の動きも始まっている。例えば、CIDF(Common Intrusion DerectionSystem Framework)では、図25に示すような、侵入検知システムの基本的なモデルを提案している。CIDFでは、IDSはイベント生成器101(Event Generators、 ”E−Boxes”)、イベント解析器102(Event Analyzers、 ”A−Boxes”)、イベントデータベース103(Event Databases、 ”D−Boxes”)、反応器104(Response Units、 ”R−Boxes”)から構成されている。
【0005】
イベント生成器101はユーザアクティビティやホスト上のプロセス、ネットワークトラヒック等の情報を収集する。これらの情報は、イベント解析器102、イベントデータベース103により使用される。イベント解析器102は、イベント生成器101から情報を受け取り、侵入が起きているかどうかの判断を行う。
【0006】
同時に、侵入に関連した情報をイベントデータベース103に蓄積する。イベントデータベース103は、イベント生成器101とイベント解析器102からの情報を蓄積する。反応器104は、イベントを受け取り、イベントにより行動を起こす。例えば、イベント解析器102が侵入が起きていると判断した場合には、侵入を検知したことを警報として管理者に通知したり、侵入されたシステムをネットワークから切り離したり、あるいは履歴情報の保管やログの作成を行う。
【0007】
IDSは、イベント生成器101が観測するデータと、イベント解析器102が使用する検出アルゴリズムによって分類することができる。イベント生成器101があるホストに関する情報を収集するシステムは、ホストベースIDSである。
【0008】
ホストベースIDSは、一般的に観測対象ホストに対する侵入を検知することを目的としている。一方、ネットワークトラヒックを観測するシステムはネットワークベースIDSと呼ばれる。ネットワークベースIDSは、観測対象ネットワークあるいはネットワーク内のホストに対する侵入を検知することを目的としている。
【0009】
また、イベント解析器102が使用するアルゴリズムは、不正検出と異常検出の2種類に大別される。この両者は、それぞれ以下のような特徴を持つ。
【0010】
(不正検出)
不正検出とは、あらかじめ登録しておいた不正アクセスの振る舞いのデータベース(シグネチャ)と、実際のネットワークの振る舞いを比較して侵入を検出する手法である。snort等、既存の多くのIDSではこの手法が採用されている。
【0011】
シグネチャには、過去に発見された不正アクセスのデータをもとに、それぞれの不正アクセスに現れる特定の文字列等のデータが格納されており、観測された全てのパケットに対してマッチングを行う。よって、不正検出では、シグネチャに記録された既知の不正アクセスをほぼ確実に検出することができる。また、リアルタイムでパケット単位の比較を行うため、侵入の試みが観測された場合、そのパケットがシステムに到達する前に廃棄することも可能である。
【0012】
例えば、DoS攻撃の一種であるlandアタックでは、TCP/IPの実装の弱点を利用して、SYNパケットの送信元アドレスとポート番号を宛先ホストのアドレスとポート番号と同一になるようなパケットを送りつけ、宛先ホストをフリーズさせてしまう。この攻撃は、TCPパケットのヘッダ情報から、SYNフラグビットと送信元と宛先のアドレスとポート番号を監視することで検出することができる。
【0013】
一方、一般にシグネチャはベンダーによって提供されるため、新たなシグネチャが公開され、入手するまで、新たに発見された不正アクセスは検出できない。よって、本質的に未知の不正アクセスや、既知の不正アクセスに改造を加えた、いわゆる亜種と呼ばれるものに対しては無防備である。さらに、シグネチャの数が多くなったり、観測ネットワークを流れるデータ量が増加すると、IDSの処理能力が低下するという問題点がある。
【0014】
また、正常なアクセスで発生したパケットの一部が偶然シグネチャに一致すると、誤警報が発生する。誤警報が大量に発生すると、悪意のある不正アクセスによって生じた警報が埋もれてしまい、本来の目的である侵入検知が困難になることも多い。
【0015】
以上より、不正検出方式は、単純な仕組みを用いているため、既知の不正アクセスに対しては強力な検出能力を発揮するが、シグネチャを用いることによる短所も多い。未知の不正アクセスに対して無防備であることの他にも、一般的に、誤検出を減らすためには、管理者がシグネチャを管理ネットワークの特性に合わせて調整することが必要となる。
【0016】
(異常検出)
異常検出は、シグネチャを利用せず、未知の不正アクセスをも検出するための手法である。基本的には、観測対象の振る舞いを監視し、「通常とは異なる振る舞い」を検出するという方法を採用している。
【0017】
例えば、あるユーザが、通常朝から夕方まで仕事でシステムを使用しており、突然、ある日の深夜にシステムを利用しようとした場合は、通常の振る舞いからかけ離れた状況であるといえる。
【0018】
1986年にDenningによって発表された“侵入検知モデル”は、ユーザやシステムの振る舞いを監視し、通常と異なるものを異常として検出し、不正を発見する概念的なモデルを示した。現在でも、異常検出手法を用いた多くのシステムがこのモデルに基づいて開発されている。
【0019】
異常検出の特徴は、不正検出に対してシグネチャのメンテナンスが不要であり、未知の攻撃や攻撃以外の異常(機器障害等)も検出できる点である。一方、悪意を持った攻撃と、攻撃以外の異常との区別は難しく、攻撃の検出のみを求める場合には、機器障害等の検出は誤検出となりかねないことから、誤検出を抑制することが難しい。
【0020】
異常検出の性能は、正常な振る舞い(プロファイル)の定義方法と正常状態と異常状態の境界(閾値)によって決定される。これらの適切な定義は検出対象や適用対象によって異なり、一意に決定することは困難であるため、異常検出だけを侵入検知の手段としているシステムは少ないが、多くの研究が進んでいる。例えば、UNIX(R)マシンのユーザの振る舞いを統計量として学習することにより、コンピュータの不正使用を検出する手法も研究されている。
【0021】
これらのアルゴリズムは、不正アクセスの性質によって検出能力が異なる。例えば、未知の不正アクセスを不正検出手法で検出することは難しい。そこで、不正アクセスの性質による検出可否の比較を行う。
【0022】
(不正アクセスの性質)
1999 DARPAIntrusion Detection Evaluationでは、不正アクセスの性質を以下の5種類に分類している。
・Probe 攻撃対象に関する情報を収集する
・DoS 攻撃対象のサービスを妨害する
・R2L 攻撃対象のリソースへのアクセス権限を不正に得る
・U2R 一般ユーザが特権ユーザ権限を不正に得る
・DATA 攻撃対象から機密情報を不正に得る
【0023】
これらのうち、R2L、 U2R、 DATAの3種類の攻撃の多くは、脆弱性のあるプログラムに対して特定の文字列を送信することでプログラムの誤動作を誘発する、いわゆるバッファオーバーフローと呼ばれる攻撃である。これらの攻撃は、最悪の場合、プログラムを動かしている権限を乗っ取ることで、攻撃対象マシンに関する全ての権限が攻撃者のものとなるような深刻な被害となり得るものが多い。一方、特定の文字列を送信するという特性から、これらの攻撃に対してはシグネチャの作成が容易である。また、シグネチャによる検出を回避することも困難であるため、常に最新のシグネチャを使用することで、これらの攻撃の多くは検出することが可能である。
【0024】
これに対して、probe攻撃は、攻撃の前段階として、攻撃対象ホストに関する情報を収集し、脆弱性のあるプログラムが動いていないかをチェックすることが主な目的であるため、攻撃対象から情報が得られるような反応があればどのようなパケットを送信しても目的は達せられてしまう。同様にDoSに関しても、攻撃対象のサービスを妨害するという目的のためには、どのようなパケットを送ってもよい。例えば、帯域の狭い回線に対しては、どのようなパケットであっても大量に送ることができれば回線を圧迫し、攻撃の目的が達成されてしまう。よって、probe、DoS攻撃は、用いることのできるパケットのバリエーションが多く、シグネチャを作成することが困難となる。このような攻撃は、シグネチャ方式IDSによる検出を比較的容易に避けることができるため、異常検出方式によって検出することが望ましいといえる。
【0025】
以上より、これまでの様々な研究によって、不正検出方式を用いた不正アクセス検出技術は成熟の域に達しており、適用範囲も明らかとなっているといえる。(たとえば、非特許文献1参照)。
【0026】
【非特許文献1】
武田圭史、磯崎宏「ネットワーク侵入検知」、ソフトバンクパブリッシング株式会社、2000
【0027】
【発明が解決しようとする課題】
侵入検知手法または障害検知手法として、異常検出は広く応用されており、データマイニングを用いた手法や、ニューラルネットワークを用いた手法が報告されている。他にも多数の研究が報告されているが、その多くは入力としてUNIX(R)マシンのシステムコールを利用する、ホストベースのシステムを想定している。ホストベースの手法を用いる場合、システムコールや様々なログをはじめ、侵入者の行動により残されたファイルや改竄の痕跡など、ネットワークベースでは得られない情報を利用することができるため、高精度な侵入検知が可能となる。しかし、ホスト毎に情報を収集するため、システム全体を適用範囲とする場合はコストが高くなる。また、侵入検知に失敗し、マシンを完全に乗っ取られた場合は、侵入者の手で侵入検知システムを無効化することができ、侵入者のその後の行動による検知が困難となる恐れがある。
【0028】
一方、ネットワークベースの異常検出を実現するための、ネットワークベースならではの課題として、観測対象の決定が困難であることが挙げられる。ホストベースシステムの場合は、侵入によって起こるホスト内部の変化や痕跡を予測することが比較的容易であるが、ネットワークを流れるパケットのみから情報を得る場合、何をもって攻撃と判断するかの基準を設けることが困難である。
【0029】
これまでに、ニューラルネットワークを用いて不自然なTCPコネクションを検出する手法や、パケットヘッダを分析し、判別分析によってパケット単位の異常検出を行う手法が報告されている。これらの手法は、観測対象を限定し、コネクション単位あるいはパケット単位での特徴量を抜き出すことでニューラルネットワークあるいは判別分析による解析を可能としている。これらの手法の問題点は、観測対象を限定していることである。一つの異常がネットワークトラヒックに様々な影響を与えることがあり、このような攻撃に対してはトラヒック全体を観測し、様々な変化を同時に捉えて診断を行わなければ検出することができない。しかしTCPコネクション単位やパケット単位でしか観測を行わない場合は、他に発生した変化が見えず、誤った検出を行ったり、検出ができない場合がある。
【0030】
本発明は、上記した従来技術の欠点に鑑みてなされたものであり、簡易な構成で未知の異常をも検出可能なネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラムを提供することを目的とする。
【0031】
【課題を解決するための手段】
上記目的を達成するため、請求項1にかかるネットワーク異常検出装置は、ネットワーク回線状態の異常を検出するネットワーク異常検出装置であって、一定時間内にネットワークを通過するパケットについて、k通りの分類ごとにパケット数を検出するパケット数検出手段と、検出されたパケット数に基づいて前記分類を要素とするk次元ベクトルを生成するベクトル生成手段と、ネットワーク正常状態に対応した領域としてk次元特徴空間上に定義された正常領域と、前記k次元ベクトルとの位置関係に基づいてネットワークの異常の有無を判定する異常判定手段とを備えたことを特徴とする。
【0032】
この請求項1の発明によれば、ネットワーク回線の状態をk次元ベクトル化し、k次元特徴空間において正常領域を定義してk次元ベクトルとの位置関係に基づいてネットワークの異常の有無を検出することとしたため、ネットワーク回線の評価を定量的に行うことができるとともに、未知のネットワーク異常を検出することが可能である。
【0033】
また、請求項2にかかるネットワーク異常検出装置は、上記の発明において、前記異常判定手段は、過去のネットワーク状態に基づいて得られた複数のk次元ベクトルをクラスタリングによって分類することによって得られた正常領域を用いてネットワークの異常の有無を判定することを特徴とする。
【0034】
また、請求項3にかかるネットワーク異常検出装置は、上記の発明において、前記ベクトル生成手段は、過去の観測値に基づいてパケット数を正規化した値を用いてk次元ベクトルを生成することを特徴とする。
【0035】
また、請求項4にかかるネットワーク異常検出装置は、上記の発明において、前記異常判定手段は、前記正常領域としてk次元を形成する各軸の相関関係によって定められた主成分軸を使用し、該主成分軸と前記k次元ベクトルとがなす距離に基づいてネットワーク回線状態の異常を検出することを特徴とする。
【0036】
また、請求項5にかかるネットワーク異常検出装置は、上記の発明において、異なる時刻において導出された複数のk次元ベクトルの分散が最大になる軸を前記主成分軸として定める主成分軸導出手段をさらに備えたことを特徴とする。
【0037】
また、請求項6にかかるネットワーク異常検出装置は、上記の発明において、前記主成分軸導出手段は、前記主成分軸を導出した後、前記主成分軸からの距離が所定以上の値を有する異常k次元ベクトルが存在する場合に、前記異常k次元ベクトルと正常なk次元ベクトルとを分離する判別軸を導出した後、前記異常k次元ベクトルを除去して正常なk次元ベクトルの分布を前記判別軸方向に圧縮し、該圧縮した分布状態において分散が最大になる軸を主成分軸に設定し直す主成分軸更新処理を行うことを特徴とする。
【0038】
また、請求項7にかかるネットワーク異常検出装置は、上記の発明において、記主成分軸導出手段は、異常k次元ベクトルが消滅するまで前記主成分軸更新処理を繰り返すことを特徴とする。
【0039】
また、請求項8にかかるネットワーク異常検出装置は、上記の発明において、前記主成分軸導出手段は、前記主成分軸の次に分散が大きな値となる第2主成分軸をさらに導出し、前記異常判定手段は、前記第2主成分軸の前記主成分軸に対する寄与率に係数を乗算した値を前記主成分軸と前記k次元ベクトルとの距離の閾値として、該閾値以上の場合に異常と判定することを特徴とする。
【0040】
また、請求項9にかかるネットワーク異常検出装置は、上記の発明において、前記異常判定手段は、過去のネットワーク状態から得られた多数のk次元ベクトルからデンドログラムまたはk−meansクラスタリングによって抽出された正常領域を用いることを特徴とする。
【0041】
また、請求項10にかかるネットワーク異常検出方法は、ネットワーク回線状態の異常を検出するネットワーク異常検出方法であって、一定時間内にネットワークを通過するパケットについて、k通りの分類ごとにパケット数を検出するパケット数検出工程と、検出されたパケット数に基づいて前記分類を要素とするk次元ベクトルを生成するベクトル生成工程と、ネットワーク正常状態に対応した領域としてk次元特徴空間上に定義された正常領域と、前記k次元ベクトルとの位置関係に基づいてネットワークの異常の有無を判定する異常判定工程とを含むことを特徴とする。
【0042】
また、請求項11にかかるネットワーク異常検出方法は、上記の発明において、前記異常判定工程において、前記正常領域としてk次元を形成する各軸の相関関係によって定められた主成分軸を使用し、該主成分軸と前記k次元ベクトルとがなす距離に基づいてネットワーク回線状態の異常を検出することを特徴とする。
【0043】
また、請求項12にかかるネットワーク異常検出方法は、上記の発明において、異なる時刻において導出された複数のk次元ベクトルの分散がもっとも大きくなる軸を前記主成分軸として導出する主成分軸導出工程をさらに含むことを特徴とする。
【0044】
また、請求項13にかかるネットワーク異常検出方法は、上記の発明において、前記主成分軸導出工程は、一度前記主成分軸導出を行った後、該導出した主成分軸からの距離が所定以上の値を有する異常k次元ベクトルが存在する場合に、前記異常k次元ベクトルと正常なk次元ベクトルとを分離する判別軸を導出した後、前記異常k次元ベクトルを除去して正常なk次元ベクトルの分布を前記判別軸方向に圧縮し、該圧縮した分布状態において分散が最大になる軸を主成分軸に設定し直す主成分軸更新工程を含むことを特徴とする。
【0045】
また、請求項14にかかるネットワーク異常検出方法は、上記の発明において、前記主成分軸更新工程は、前記主成分軸に対して異常k次元ベクトルが存在しなくなるまで繰り返されることを特徴とする。
【0046】
また、請求項15にかかるネットワーク異常検出プログラムは、請求項10〜14のいずれか一つに記載の方法を電子計算機に実行させることを特徴とする。
【0047】
【発明の実施の形態】
以下、図面を参照して、この発明の実施の形態であるネットワーク異常検出装置について説明する。
【0048】
(実施の形態1)
まず、実施の形態1にかかるネットワーク異常検出装置について説明する。以下では、まず実施の形態1にかかるネットワーク異常検出装置の構成および動作を説明した上で、正常領域たる主成分軸の導出プロセスについての説明を行うこととする。
【0049】
図1は、実施の形態1にかかるネットワーク異常検出装置の構成を示すブロック図である。図1に示すように、本実施の形態1にかかるネットワーク異常検出装置は、検出対象たるネットワーク中を一定時間の間に通過するパケットについて、k個(k:自然数)の分類ごとにパケット数をカウントするパケット数カウント部1と、カウントしたパケット数をk個の分類ごとに正規化し、正規化したパケット数を要素としたk次元ベクトルを生成するベクトル生成部2とを有する。さらに、本実施の形態1にかかるネットワーク異常検出装置は、k次元特徴空間において各次元間の相関関係に基づいて定められた主成分軸を導出する主成分軸導出部3と、必要な情報を記憶する記憶部4と、生成したk次元ベクトルとの距離を導出する主成分軸−k次元ベクトル間距離測定部5と、ネットワークの異常の有無を判定する異常判定部6とを有する。
【0050】
パケット数カウント部1は、異常の有無を判定する対象たるネットワーク中を流れる通信パケットをk通りの分類に従ってカウントするためのものである。パケット数カウント部1は、カウントしたパケット数をベクトル生成部2および記憶部4に出力する構造を有する。
【0051】
ベクトル生成部2は、パケット数カウント部1によってカウントされたパケット数に基づいてベクトルを生成するためのものである。具体的には、ベクトル生成部2は、パケット数カウント部1における分類に従って、カウント時におけるネットワーク状態を反映したk次元のベクトルを形成する。なお、ベクトル生成部2は、カウントされたパケット数をそのままk次元ベクトルの各要素とすることとしても良いが、本実施の形態では後述する理由によりパケット数を正規化した値をベクトルの要素とする構成を有する。ベクトル生成部2は、ベクトル生成部2で生成されたk次元ベクトルを主成分軸−ベクトル間距離測定部5と記憶部4とに対して出力する。
【0052】
記憶部4は、パケット数カウント部1によってカウントされたパケット数と、ベクトル生成部2で生成されたk次元ベクトルを記録するためのものである。記憶部4に記憶される値のうち、パケット数は、ベクトル生成部2に出力され、k次元ベクトルは、主成分軸導出部3に出力される構造を有する。
【0053】
主成分軸導出部3は、ネットワークの正常状態の基準を示す主成分軸を導出するためのものである。主成分軸とは、ネットワークが正常な状態におけるk次元特徴空間を形成する各成分間の相関関係を示すものであり、各成分間の相関関係に基づいた正常状態を定義する軸である。主成分軸導出部3によって導出された主成分軸は、主成分軸−ベクトル間距離測定部5に対して出力される。
【0054】
主成分軸−ベクトル間距離測定部5は、主成分軸に対するk次元ベクトルの距離を導出するためのものである。主成分軸−ベクトル間距離測定部5で導出された距離は、異常判定部6に出力される。
【0055】
異常判定部6は、主成分軸−ベクトル間距離測定部5で導出された距離に基づいて、k次元ベクトルを形成したタイムスロットにおけるネットワーク状態の異常の有無を判定する。具体的には、異常判定部6は、主成分軸−ベクトル間距離測定部5で導出された主成分軸とk次元ベクトルとがなす距離が所定の閾値以上の場合にはネットワーク状態が異常であると判定する。
【0056】
次に、本実施の形態1にかかるネットワーク異常検出装置の動作について説明する。図2は、本実施の形態2にかかるネットワーク異常検出装置の動作を示すフローチャートであり、フローチャートを用いて動作の流れを簡単に説明した後、各ステップについて詳細に説明する。
【0057】
まず、ネットワーク状態の検証対象たるネットワーク中を流れるパケットに対して、パケット数カウント部1はk個の分類ごとにパケット数をカウントする(ステップS101)。カウントされたパケット数は、分類ごとにベクトル生成部2に出力され、次ステップにおけるベクトル生成に用いられる。
【0058】
そして、カウントされたパケット数は、記憶部4に記憶された過去のタイムスロットにおける多数のカウント数に基づいて、ベクトル生成部2において分類ごとに正規化され、かかる正規化された値を要素として分類の個数に対応した次元を有するk次元ベクトルが生成される(ステップS102)。生成されたk次元ベクトルは記憶部4および主成分軸−ベクトル間距離測定部5に出力され、将来の主成分軸生成および次ステップにおける距離測定に用いられる。
【0059】
その後、生成されたベクトルを用いて、主成分軸−ベクトル間距離測定部5によって主成分軸との距離が導出される(ステップS103)。導出された値は異常判定部6に出力され、次ステップの異常判定に使用される。
【0060】
最後に、ステップS103で導出された距離の値は、あらかじめ定められた閾値と比較され(ステップS104)、導出された距離が閾値よりも大きいと判断された場合にはネットワーク状態に異常が生じたと判定し(ステップS105)、閾値よりも小さい場合には正常と判定される(ステップS106)。以上で、本実施の形態1にかかるネットワーク異常検出装置の動作は終了し、ネットワーク状態の異常の有無が判定される。
【0061】
次に、ステップS101〜S104について詳細に説明する。まず、ステップS101において、パケット数をカウントする理由について説明する。ネットワーク状態の異常の検出を行う場合、検出能力を左右する最も重要なファクタは、用いるパラメータである。すなわち、何を観測するかにより、検出することのできる事象が決定される。観測すべき事象を逃してパラメータを設定してしまった場合は、そのパラメータを用いてどれほど優れたアルゴリズムを適用しても目的とする事象を検出することは不可能である。
【0062】
異常検出に用いるパラメータを設定するにあたり、異常状態に何らかの特徴が現れるパラメータを設定しなくてはならない。異常状態を、「何らかの不正アクセスを受けている、あるいは機器障害等が発生している状態」と定義する。このような異常状態において、ネットワーク生じる変化について考える。例えば、ネットワーク管理者がトラヒックデータを眺めていた時、どのような兆候が現れた時に異常を感じるかと考えると、以下のようなものが挙げられる。
・SYNパケット、RSTパケットが大量に発生
SYNパケットを送りつけ、その反応を調べるprobe攻撃を受けており、接続が失敗したことを伝えるRSTパケットが発生している可能性がある。
・特定プロトコル(SYN、UDP等)のパケットが大量に発生
ある特定のプロトコルのパケットを大量に送りつけ、攻撃対象ホストのサービスを妨害するDoS攻撃が行われている可能性がある。DoS攻撃に利用されるパケットとして、SYNパケットやUDPパケットがあり、それぞれSYN flood、UDP flood と呼ばれる。
・特定ポートに関するICMPパケットやRSTパケットが大量発生
ネットワーク内で特定の役割を持つサーバが何らかの原因でダウンすると、そのサーバに対するリクエストは受理されず、リクエストがサービスされないことを知らせるためのエラーパケットとしてICMPパケットまたはRSTパケットが発生する。この際、破棄されるリクエストパケットは、所望のサービスを提供するポートへ向けられており、さらに、リクエストが失敗すると、クライアントは何度か再リクエストをすることがあるため、特定のポートに関するパケットが極端に増加することがある。これらがエラーパケットとなる場合は、機器障害が発生している可能性が高い。
【0063】
以上のように、ネットワーク管理者がネットワーク異常を感じる原因が特定のパケット数の変化であることを鑑みて、本実施の形態1では、異常検出に用いるパラメータとして特定のパケット数を用いることとしている。具体的には、本実施の形態1にかかるネットワーク異常検出装置では、ネットワーク状態を表す指標として、タイムスロット毎にカウントされる特定のプロトコル別のパケット発生数をパラメータとしている。かかるパラメータ設定により、任意のタイムスロットでのプロトコルの分布が明らかになり、行われている通信の種類や数を把握することができる。
【0064】
次に、カウントすべきパケットの種類の導出について説明する。本実施の形態1では、カウントすべきパケットの第1の条件として、常に観測されるパケットであることとする。滅多に観測されないようなプロトコルのパケットを観測対象とすると、そのパケットの発生数ではなく、有無により異常検出を行うことになってしまうためである。従って、カウントすべきパケットの種類としては、常に観測されるパケットとすることが望ましい。
【0065】
第2の条件としては、他のパケットとの間に相関関係、例えば量的な関係を持つこととする。例えば、総パケット数は、(総パケット数=TCP+UDP+ICMP)という関係がある。この関係は厳密には正しくないが、IPレベルでは、TCP、UDP、ICMPの3種類のパケットがトラヒックのほとんどを占める。この関係が崩れる状態は通常ではほとんど観測されないことから、崩れた場合にはネットワークが異常状態となっていると考えることができる。上記のような相関関係を有する種類のパケットを観測量とすることで、ネットワークの正常状態を決定できると共に、決定した正常状態からの逸脱の程度を測定することによってネットワークの異常を検出することが可能となる。
【0066】
以上の観点に基づいて、本実施の形態1では以下の10通りの分類に従って、ステップS101でパケット数をカウントすることとしている。
・すべてのパケット
・TCPパケット
・TCPパケットのうちSYNフラグのついたパケット
・TCPパケットのうちFINフラグのついたパケット
・TCPパケットのうちPSHフラグのついたパケット
・TCPパケットのうちRSTフラグのついたパケット
・TCPパケットのうち上記フラグのついていないパケット
・UDPパケット
・UDPパケットのうち、DNSに関するパケット
・ICMPパケット
【0067】
なお、かかる分類はあくまで例示にすぎず、他の分類に従ってパケット数をカウントすることとしても良い。すなわち、ネットワークの種類およびネットワークの利用者によっては常に観測されるパケットおよび相互に量的関係を有するパケットは相違する可能性があることから、異常検出対象たるネットワークの特性に応じてカウントされるパケットの分類は相違することとなる。
【0068】
次に、ステップS102におけるk次元ベクトルの生成について説明する。ステップS102では、ステップS101でカウントされたk通り(本実施の形態1では10通り)の分類ごとのパケット数に基づいて、測定期間におけるネットワークの状態を示すk次元ベクトルを生成する。具体的には、ベクトル生成部2は、記憶部4に記憶された、異なる時刻におけるk通りの分類ごとのパケット数に関するデータを参照して、ステップS101でカウントされた各分類のパケット数を正規化する。すなわち、過去のパケット数およびパケット数カウント部1によって得られたパケット数の平均値が0、標準偏差が1となるように正規化を施している。
【0069】
本ステップで正規化を行うこととしたのは、上記したパケット数が分類ごとに取りうる値が一般に異なり、パケット数をそのままk次元ベクトルの要素とした場合、要素間の影響力に差が生じるためである。例えば、上記の分類のうち、ICMPパケットが10個から50個に増加した場合と、すべてのパケットが1000個から1100個に増加した場合とでは、ネットワーク状態の異常を検出する観点からはICMPパケットの増加に着目するべきである。しかしながら、パケットの絶対数をパラメータとした場合には、すべてのパケット数の変化の中にICMPパケット数の変化が埋もれてしまい、ICMPパケットに関する異常が検知されなくなるおそれがある。従って、ベクトル生成部2では、パケット数カウント部1によってカウントされたk通りの分類ごとのパケット数を正規化し、分類された各要素のネットワーク異常の判定に対する影響力を均一化している。
【0070】
以上より、ベクトル生成部2は、上記分類に従ってカウントされたパケット数を正規化し、あるタイムスロットiにおけるネットワーク状態Xiを
=(xi1、xi2、xi3、・・・・、xik
のようにk次元ベクトルの形で表現している。かかるk次元ベクトルの概念を導入することによって、あるタイムスロットにおけるネットワークの状態をk次元特徴空間中の一点として表現することができる。すなわち、生成されるk次元ベクトルは、特徴空間上での位置がデータとしての性質を示すこととなり、k次元ベクトルの特徴空間上での分布を解析することによってネットワーク状態の異常の有無を判断することができる。
【0071】
次に、ステップS103における主成分軸とk次元ベクトルとがなす距離の測定について説明する。本実施の形態1において、カウントされるパケットは互いに相関関係を有するように選択されることから、k次元特徴空間中で各ネットワーク状態はプロトコルにより生じる相関関係を保って分布する。例えば、正常なTCP通信が行われた場合、発生するSYNパケットとFINパケットの数は同じであるため、ネットワーク状態においても、タイムスロットで区切ることを考慮に入れてもSYNパケットとFINパケットの数の間に大きな差は生まれないと考えられる。図3は、評価用データからネットワーク状態を作成し、SYNパケットとFINパケットの値を二次元平面にプロットした図である。図3に示すように、SYNとFINの発生数は、非常に強い相関関係にあることがわかる。実際、この分布の相関係数を求めると、ほとんどの時間帯で0.98〜1となる。
【0072】
同様に、評価用データより各プロトコル間の相関係数を求めると、図4のようになる。SYN−FINの他、all、TCP、PSH、noflagの4項目は、いずれの組合せでも相関係数が高くなっている。これは、総パケット数のうちTCPパケットの占める割合の変化が少なく、同様にTCPパケット数のうち、PSHまたはnoflagパケットの占める割合の変化が少ないためである。
【0073】
ネットワークの利用状況に大きな変化がなければ総パケット数中のTCPパケットの割合は一定であり、TCPパケットの中でも、通信の開始と終了により発生するSYNパケットとFINパケットの数は少なく、主に通信内容が格納されているPSHパケットとnoflagパケットの割合が大きくなることが想定されるため、このバランスが崩れることはない。
【0074】
このため、k次元特徴空間を形成する各成分間の正常な相関関係を反映した主成分軸は、ステップS104における異常判定における判定基準たる正常領域として機能することが可能となる。従って、主成分軸からの逸脱はネットワーク状態の異常状態の程度を示すこととなり、かかる考えに基づいて本ステップでは主成分軸とk次元ベクトルとの間の距離を測定することとしている。
【0075】
次に、ステップS104について説明する。上記のように、主成分軸はネットワークの正常状態の基準となるものであることから、判定対象たるk次元ベクトルが、主成分軸からどの程度離隔しているかを判断基準とすることによってネットワーク状態の異常の有無を判定することが可能である。従って、本ステップにおいては、主成分軸とk次元ベクトルとがなす距離が閾値以上か否かによってネットワークの異常の有無を判定することとしている。
【0076】
ここで問題となるのは、異常の有無の判定基準となる閾値をいかに設定するかである。本実施の形態1では、閾値を決定するにあたって、第2主成分なる概念を導入し、かかる第2主成分の主成分寄与率に基づいて閾値を決定している。第2主成分軸は、k次元特徴空間におけるk次元ベクトルの分布に対して、2番目に分散が大きい値となる軸のことをいい、主成分寄与率とはその分散具合を表す指標である。主成分寄与率に基づいて閾値を決定する場合、例えば第2主成分の方向の分散が大きい場合には閾値を大きくすることによって誤検出の発生を抑制することが可能となる。具体的には、本実施の形態1では、第2主成分の主成分寄与率に適当な係数を乗算した値を閾値としている。乗算する係数は実験的に求めることが可能であり、本実施の形態1では、後述の実施例における測定結果に基づいて、70程度の値としている。
【0077】
かかる閾値を用いて、所定のタイムスロットに得られたk次元ベクトルについて、ネットワークの正常状態を示す指標たる主成分軸からの距離が閾値以上か否かを判定することによって、検出対象のネットワーク状態が異常であるか否かの判定がなされる。
【0078】
次に、ネットワーク状態の異常を検出する基準となる主成分軸の導出について説明する。簡易な構成としては、k次元を構成する各成分の一般的な相関関係を用いてあらかじめ主成分軸を一意に定めることとしても良い。しかしながら、本実施の形態1では、検出対象のネットワークの特性に対応した異常検出を行うため、記憶部4に記憶された過去のk次元ベクトルのk次元特徴空間における分布状態に基づいて主成分軸を導出している。また、検出精度をさらに高める観点から、過去のk次元ベクトルの分布状態の中から異常状態を排除しつつ主成分軸を複数回導出することとしている。
【0079】
図5は、主成分軸導出のプロセスを示すフローチャートである。以下、フローチャートを参照して動作の流れを簡単に説明した後、各ステップについて詳細に説明する。まず、検出対象たるネットワークについて過去に得られた複数のk次元ベクトルの分散が最大となる主成分軸を導出する(ステップS201)。なお、簡易な方法としては、正常状態に対応することが明らかなk次元ベクトルのみから主成分軸を導出することとしても良い。
【0080】
そして、ステップS201で導出された主成分軸を基準として、過去のk次元ベクトルのうち、主成分軸から所定距離だけ離隔した異常状態のものを検出する(ステップS202)。かかる異常状態の検出は、上述したステップS101〜S104と同様のプロセスによって個々のk次元ベクトルについて検出動作を行う。
【0081】
その後、ステップS202に基づいて異常状態が存在するか否かの判定を行う(ステップS203)。異常状態が存在する場合にはステップS204に移行し、異常状態が存在しない場合にはステップS201で導出された軸が主成分軸として決定され、主成分軸の導出が終了する。
【0082】
ステップS203で異常状態が存在すると判定された場合には、検出された異常状態のk次元ベクトルについてクラスタリングを行う(ステップS204)。具体的には、後述のk−meansクラスタリングを用いて、異常状態のk次元ベクトルを一定数のクラスタに分類する。
【0083】
そして、クラスタリングされた異常状態のk次元ベクトルと、正常状態のk次元ベクトルとを分離する判別軸を導出する(ステップS205)。具体的には、後述するフィッシャーの線形判別法を用いて判別軸の導出を行う。
【0084】
その後、異常状態のk次元ベクトルを除去した上で、正常状態のk次元ベクトルの分布状態を、ステップS205で導出した判別軸の方向に圧縮する(ステップS206)。具体的には、判別軸と垂直に交差する面の分散が0となるよう正常状態のk次元ベクトルの分布状態を変化させる。そして、本ステップ後には再びステップS201に戻ってデータ圧縮が行われたk次元ベクトルの分布状態に基づいて主成分軸の導出が行われる。
【0085】
次に、各ステップについて詳細に説明する。ステップS201では、過去に得られたk次元ベクトルの分布状態に基づいて主成分軸の導出を行っており、具体的には、主成分軸は、主成分分析によって導出される。主成分分析とは、多次元のデータの次元圧縮の手法であり、主成分分析を用いることによって圧縮により失われる情報量を最小にする軸を求めることができる。図6のように、2次元の要素(x1、x2)を合成して、1次元の軸zに射影することを考える。このとき、次元圧縮により失われる情報量を最小にすることは、軸zの分散を最大にすることと等価であり、相関を示す軸を求めることができる。かかる軸zが主成分軸に相当することから、主成分分析によって得られた主成分軸は相関関係に基づいたネットワークの正常状態の分布を定義するといえ、ネットワークの異常の有無を検出する指標となる。
【0086】
ステップS202では、導出された主成分軸との距離が大きいクラスタを異常状態として検出する。まず、ステップS202において異常状態の検出を行う理由について説明する。
【0087】
過去のk次元ベクトルのデータがすべて正常状態の場合には、k次元ベクトルのk次元特徴空間上の分布に基づいて主成分軸を導出すれば足りる。しかしながら、実際にはすべてのk次元ベクトルが正常状態に対応している保証はなく、異常状態のk次元ベクトルの混在を配慮して主成分軸の導出を行う必要がある。図7は、極端に逸脱した異常状態のk次元ベクトルが存在する場合を示す模式図である。
【0088】
上述のように、主成分軸はk次元特徴空間におけるk次元ベクトルの分布状態に関して、分散が最小になるよう導出される。従って、極端に逸脱したk次元ベクトルが存在する場合には、かかるk次元ベクトルも含んだ状態で分散が最大となるよう主成分軸が導出されることとなり、図7に示すように、望ましい主成分軸と異なる主成分軸が導出されることとなる。すなわち、異常状態が混在している場合には、ステップS201で導出した主成分軸は異常状態をも反映することとなり、ネットワーク状態の異常の判定基準として用いることは妥当ではない。従って、本実施の形態1における主成分軸の導出プロセスでは、導出した主成分軸に基づいて異常検出を行い、異常状態が検出された場合には、所定の処理を行った上で再び主成分軸の導出を行うこととしている。
【0089】
ステップS204では、ステップS203で異常状態のk次元ベクトルが存在すると判定された場合、異常状態のk次元ベクトルについてクラスタリングを行っている。かかるクラスタリングを行うのは、後述の判別軸の導出に用いるためである。クラスタリングの手法としては、セントロイドからの距離を基準として行うk−meansクラスタリングや、デンドログラム等を用いることが可能である。
【0090】
後述のステップS205において問題となるのは、検出される異常状態は未分類の分布に対して様々な方向に存在し、線形分離可能な分布になりにくいことである。この様子を図8に示す。かかる問題を解決するために、ステップS204では、得られた異常状態の分布に対してk−meansクラスタリングを用い、複数のカテゴリに分割している。充分な数のセントロイドを与えて細かく分割すると、図9に示すように、それぞれのカテゴリは線形分離可能なものとなる。この過程を経ることで、ステップS205で分布を圧縮する判定軸が複数となり、圧縮された分布も複数得られる。
【0091】
かかるクラスタリングの際に重要となるのは、k−meansクラスタリングに用いるセントロイドの数である。これは、ある段階で検出された異常状態をいくつのクラスタに分類するべきかという指標であり、与えるクラスタ数が少なければ、各クラスタと正常状態が線形分離不可能な分布となってしまい、分布を圧縮する意味が失われてしまう。一方、多すぎるクラスタ数を与えた場合は、同じ方向に圧縮される分布が複数となってしまう可能性がある。この場合は、同じ方向に圧縮された分布からは次の段階で同じ異常状態が検出されるため、計算時間は増えるが、検出精度に悪影響はないと考えられる。よって、k−meansクラスタリングに用いるセントロイド数は、大きすぎても意味はないが、充分に大きな値を与えるべきである。なお、後述の実施例では、測定結果に基づいてセントロイド数を10としている。
【0092】
次に、ステップS205について説明する。ステップS205では、異常状態のk次元ベクトルと、正常状態のk次元ベクトルとを分離する判別軸を導出している。具体的には、異常状態のk次元ベクトルについて形成されたクラスタと、正常状態のk次元ベクトルについて形成されたクラスタとを分離する判別軸を導出する。判別軸の導出に用いられるフィッシャーの判別手法とは、図10に示すように、複数のクラスが存在する場合に、クラス内分散が小さくなり、クラス間分散が大きくなる手法である。なお、フィッシャーの判別手法以外に、ニューラルネットワークを利用した判別軸の導出等も可能である。
【0093】
ステップ206では、異常状態のk次元ベクトルを除去した上で、判別軸方向に正常状態のk次元ベクトルの分布を圧縮している。異常状態と判定されたクラスタを除去するのは、かかるクラスタが主成分軸導出の妨げとなるためである。すなわち、主成分軸導出に用いる過去のk次元ベクトルの中には異常状態を反映したものも存在することから、極端に逸脱したデータを除去することによって、主成分軸導出の精度を向上させる必要があるためである。
【0094】
判別軸方向にk次元ベクトルを圧縮するのは次の理由による。図11は、k=3の場合を例とした、圧縮処理を行わない場合における検出対象について示す模式図である。図11に示すように、実際には主成分軸から様々な方向に異常状態が分布しており、まず外側の境界により異常状態の検出を行った後、別方向の異常状態を検出するために内側の境界が使用される。しかしながら、内側の境界が使用された場合には、正常状態の領域もしくは正常状態と異常状態とが混在する領域についても異常状態と判定されるおそれがある。一方で、外側の境界を用いて異常状態の領域が既に検出された横軸方向については、改めて内側の領域で異常状態の検出を行う必要性は存在しない。
【0095】
従って、本実施の形態1では、ステップS206において正常状態のk次元ベクトルの分布を、判別軸方向に圧縮している。かかる圧縮を行うことによって、既に異常状態を検出した方向について、誤検出の発生を防止している。すなわち、図12に示すように、一度横軸方向に異常状態が検出された後、かかる横軸方向について圧縮を行うことによって、横軸方向に存在する正常状態と異常状態の混在領域を誤って検出することを避けることが可能となる。
【0096】
より具体的には図13に示す状態となる。すなわち、検出された異常および異常状態1を含む分布が存在する場合にまず主成分軸を導出することによって異常を検出する(この段階で異常状態1を検出することはできない)。その後、フィッシャーの線形判別による判別軸を導出するとともに検出された異常をのぞいた上で、圧縮を行う。これにより、異常状態1を検出することが可能となる。
【0097】
次に、本実施の形態1にかかるネットワーク異常検出装置の利点について説明する。まず、本実施の形態1では、k次元特徴空間において正常なネットワーク状態を定義づける主成分軸を用いることとし、かかる主成分軸に対する距離に基づいてネットワーク状態の異常の有無を判定する事としている。従って、ネットワーク異常の有無の判断を定量的に行えると共に、複数のパラメータを用いた判断を簡易に行うことができる。
【0098】
また、本実施の形態1にかかるネットワーク異常検出装置は、ネットワーク上のパケット数に基づいて異常の有無を判断することとしたため、ホスト毎に情報を収集する従来の手法と比較して、システム全体を適用した場合であっても設置コストの上昇を抑制することが可能である。例えば、あるネットワークの入口に本実施の形態1にかかるネットワーク異常検出装置を1台配置した構造とすることで、ネットワーク全体における異常を検出することが可能である。
【0099】
また、既知のシグネチャを用いた異常検出装置と異なり、未知のネットワーク異常を検出することが可能である。本実施の形態1にかかるネットワーク異常検出装置は、異常の原因に関わらずk次元特徴空間上に示された主成分軸からの逸脱の程度によって判定が行われることから、未知の原因によるものであっても異常と判定することが可能である。
【0100】
さらに、本実施の形態1にかかるネットワーク異常検出装置は、主成分軸を導出する機構を有することから、ネットワークの特性に対応した異常状態の検出が可能である。すなわち、ネットワーク上を流れるデータの態様はネットワーク毎に様々であり、画一的な判定基準を用いた場合には異常状態の誤検出が生じる可能性がある。しかしながら、本実施の形態1では、検出対象のネットワークにおける過去のk次元ベクトルを用いて主成分軸を形成することとしており、ネットワークの特性に合致した判定基準を得ることができる。
【0101】
また、本実施の形態1にかかるネットワーク異常検出装置は、同一ネットワークに関して、時間変化によるネットワーク特性が変化した場合であっても対応することが可能である。すなわち、例えば主成分軸の導出に際して用いるk次元ベクトルを最近導出されたものに限定することにより、現在のネットワーク特性に対応した主成分軸の導出が可能である。さらに、最近導出されたk次元ベクトルに基づいて一定間隔で主成分軸の導出を行うこととすれば、常に現在のネットワーク状況に対応した異常検出が可能となる。
【0102】
なお、本実施の形態1にかかるネットワーク異常検出装置は、正常状態からの逸脱の程度によって異常の有無を判定する構造とするため、未知の異常をも検出可能な利点を有する一方、何が原因となってネットワーク異常が発生したかを直接的に知ることはできない。しかしながら、k次元特徴空間上の主成分軸に対する異常状態の分布を調べることによって、異常の原因を推定することが可能である。
【0103】
例えば、ある異常状態について、図14のような、主成分軸に直交するベクトルを異常状態の位置まで延ばすことが有効である。こうして求まるベクトルの成分のうち、大きな値をとるパラメータが、この異常状態の逸脱に大きな影響を与えたパラメータであると考えられる。
【0104】
各異常状態について、逸脱するパラメータの組合せはいくつかのパターンに分類できる。例えば、ICMPパケットの逸脱量の大きなグループは機器障害の可能性が高く、FINパケット数に比べてSYNパケットの数が多いために逸脱していたり、さらにRSTパケットが多く発生している場合にはスキャンが行われている可能性が高い。さらに、行われている通信のデータ量が大きい場合に、総パケット数の他にPSHパケットやnoflagパケット、あるいはUDPパケットが大量に発生するので、こういったパラメータの逸脱のために検出された状態は、不正アクセスが原因である可能性は低いと考え、異常状態としないことができる。このような分類を行うことで、発生した異常状態についての大まかな情報を管理者に与えると同時に、誤検出を減少させることもできる。
【0105】
(実施例)
本願発明者らは、本実施の形態1にかかるネットワーク異常検出装置を実際にネットワーク上に構築して実験を行い、その効果について確認している。実験には、公開されているトラヒックデータのサンプルを使用して、ネットワーク異常検出装置に用いる主成分軸および最適な閾値を求めた後に不正アクセス検出数の評価を行う。さらに、未知不正アクセスに対する検出能力の評価を行い、段階的分類手法の有効性を確認するために、大分類のみによる検出を行った場合との比較を行う。さらに、検出された異常状態について、どのような異常が発生しているのか、大まかな情報を与えるための分類を行い、その有効性を確認する。
【0106】
なお、本実施例においては、大分類および細分類の二段階の分類を行っている。まず大分類として、過去に観測された正常状態より主成分軸を求め、極端に逸脱するデータを検出するとともに取り除く。過去の正常状態より主成分軸を求める場合、ネットワークの特性が変化しており、解析対象のデータに対して最適な主成分軸ではない可能性がある。よって、大分類を行った後に細分類として、解析対象データより主成分軸を求め、同様に主成分軸から距離的に逸脱したデータを異常状態として検出する。細分類では、大分類によって極端な逸脱点が取り除かれているので、主成分軸により定義される正常状態のプロファイルがより正確なものとなる。
【0107】
本システムの評価実験には、侵入検知システムの性能評価用トラヒックデータである”1999 DARPA Intrusion Detection Evaluation Data Sets”(以下、「評価データセット」と称する)を使用する。このデータセットは、攻撃が行われた時刻や攻撃の種類が全て明らかにされている。実験に用いるパラメータとデータの条件は、以下の通りである。
・ネットワーク状態を作成するタイムスロットは1分間とする
・probe、DoS攻撃を検出対象とする
・攻撃に関与したパケットが1つでも存在するタイムスロットは異常状態とする・k−meansクラスタリングのセントロイド数は10とする
【0108】
このデータセットでは、一週間(5日間)単位で、攻撃の存在するデータと存在しないことが保証されているデータそれぞれが与えられている。実験では、攻撃の存在するある一週間のデータより正常状態のみを抜き出したものを正常状態、逆に異常状態のみを抜き出したものを異常状態とする。さらに異常状態のデータ数を増やすため、異常状態に関しては2週間分のトラヒックより抽出した。
【0109】
細分類は繰り返し行い、検出される異常状態の数が0となった時点で終了し、その段階までに検出した攻撃の数と誤検出の数を評価する。この際、ある攻撃の存在するタイムスロットを一つでも検出できれば、その攻撃を検出したものとする。
【0110】
提案手法に用いられるパラメータは、k−meansクラスタリングに用いるセントロイド数と、主成分軸との投影距離である。このうち、主成分分析に用いる閾値を、
閾値=(第二主成分の主成分寄与率)×ratio
と定義する。
【0111】
セントロイド数とratioの値による攻撃検出能力の変化を図15に示す。
なお、提案手法において、k−meansクラスタリングの初期セントロイドはランダムに決定するため、同じパラメータを与えても結果に変化が生じる。この影響を取り除くため、各パラメータの組合せについて、5回の試行による結果の平均値を採用した。
【0112】
図15より、セントロイド数に関わらず、ratio値が大きくなるほど検出数は少なくなる。これは、ratio値が大きくなるほど主成分分析における閾値の値が大きくなり、異常状態として検出されるデータの数が減少するためである。また、セントロイド数が1の場合に比べ、5以上とした場合の方が高い検出数となっている。このことは、セントロイド数を1とした場合は、検出済みの異常状態と未検出の状態とが線形分離可能な分布とならないため、効果的な分布の圧縮が行われなかったためと考えられる。この結果を踏まえ、セントロイド数は10であれば充分に大きな値と考え、これ以降の実験にはこの値を用いる。次に、適切なratio値を求めるために、ratio値による検出数と誤検出数の関係を調査した。セントロイド数を10とした場合の結果を図16、図17に示す。なお、図16、図17における曲線lは、誤検出数の変化を示し、曲線lは、検出数の変化を示している。
【0113】
1999 DARPA Intrusion Detection Evaluation では、許容される誤検出数の目安として一日あたり10件以下という値を示している。この基準に従えば、この実験では5日分のデータを用いているので、50件以下の誤検出数であれば実用的といえる。この基準を満たすためには、図17より、およそ70以上の値を与えればよいことがわかる。また、より大きな値を与えると、誤検出数はさらに減少する。実際のシステムでは、この値は検出の感度を調整する指標として、管理者がニーズに合わせて調整することが望ましい。
【0114】
前述のratio値を70に設定して、攻撃検出数の評価を行った結果を図18に示す。実験では、段階的細分類の4段階目で検出された状態の数が0となり、分類を終了した。この段階で検出された攻撃数は37であり、これは、全攻撃数69の約54%にあたる。評価データセットでは、優秀なシステムの検出率として46〜88%の数値を挙げている。しかし、これらには、シグネチャ方式のシステムや異常検出方式と組み合わせたハイブリッドシステムが含まれているため、単純な比較はできないが、これらに匹敵する検出率を得たといえる。
【0115】
次に、未知のネットワーク異常の検出について評価する。従来、未知あるいは亜種であるために、全てのシステムで検出率が極端に悪い攻撃がリストアップされている。このうち、DoSとprobeに分類されるものについて、評価データセットにて最も性能のよかったシステムの検出数と、提案システムの検出数との比較を図19に示す。
【0116】
いくつかは本手法が勝り、いくつかでは劣るという結果となっている。
分母が異なるため一概に比較することはできないが、ここで挙げられた全ての検出率をとると、評価データセットにて最も性能のよかったシステムの検出率は8/39(21%)であるのに対して、提案手法の検出率は7/21(33%)となり、提案手法が未知の攻撃に対して特に高い検出能力を持っていることがわかる。
【0117】
次に、検出された異常状態の分類を行った。具体的には、検出された異常状態について、主成分軸と直交し、主成分軸を始点として異常状態の位置に向かうベクトルを求め、その成分より逸脱の原因となったパラメータの推定を行った。診断の方法は以下の通りである。
・SYN
SYNの逸脱量がFINの逸脱量より大きく、SYNパケットを利用したprobe攻撃あるいはDoS攻撃が行われた可能性がある。
・FIN
FINの逸脱量がSYNの逸脱量より大きく、FINパケットを利用したprobe攻撃が行われた可能性がある。
・fault
RSTまたはICMPの逸脱量が大きく、障害が発生している可能性が高い。
・DNS
DNSの逸脱量が大きく、DNSサーバに障害が発生したり、DNSを利用するクライアントに設定ミスなどの障害が発生した可能性がある。
・UDP
UDPの逸脱量が大きく、UDPを利用したDoS攻撃が行われた可能性があるが、ストリーミング等、大量のUDPパケットを発生する正常な通信の可能性もある。
・big traffic
all、TCP、PSHまたはall、TCP、noflagの逸脱量が大きく、データ量の大きなTCP通信が行われたために検出された可能性があり、異常状態として検出しないことが望ましい。
【0118】
これまでの実験により検出された異常状態495個と、誤検出された32個を以上の分類方法に従って分類した結果を図20に示す。
【0119】
最も多くの異常状態が分類されたのはfaultとSYNであった。faultは、RSTまたはICMPが大量に発生した状態としている。probe、DoS攻撃の中には、開いていないポートにパケットを送るために、被害者ホストからのRSTパケットやICMPパケットの発生を伴うことが多く、faultに分類されたものと考えられる。また、誤検出された状態も多くがfaultに分類された。これは、不正アクセス以外の要因、例えば機器障害が原因となっていると考えられる。
【0120】
これらの情報は大まかではあるが、管理者のポリシによって検出すべきものと検出の必要のないものを取捨選択することができる。
【0121】
(実施の形態2)
次に、実施の形態2にかかるネットワーク異常検出装置について説明する。実施の形態2では、実施の形態1と同様にk通りの分類に従ってパケット数をカウントしてk次元ベクトルを導出すると共に、過去のネットワーク状態に基づいたk次元ベクトルをクラスタリングする事によって得られた正常状態領域とk次元ベクトルとの位置関係に基づいてネットワーク状態の異常の有無を検出している。k次元ベクトルの導出は実施の形態1と同様に行われることから説明を省略し、以下ではネットワーク異常の判定基準となる正常状態領域の導出を中心に説明を行う。
【0122】
まず、本実施の形態2にかかるネットワーク異常検出装置は、ネットワーク状態を反映したk次元ベクトルが多数存在する場合、図21に示す状態で分布することを前提として異常状態の検出を行っている。すなわち、類似した状態同士は特徴空間内において互いに近接した状態で集合すること、異常状態を反映したk次元ベクトルの個数は、正常状態を反映したk次元ベクトルに比べてきわめて低いことを前提としている。
【0123】
かかる前提に基づいて、本実施の形態2では、過去のネットワーク状態等から多数得られたk次元ベクトルをデンドログラム、k−meansクラスタリング等によってクラスタリングを行い、最も大きいクラスタについて正常状態領域として決定する。そして、判定対象たるk次元ベクトルが得られた場合に、正常領域に属する場合には正常状態と判定し、正常領域に属さない場合、または正常領域から所定距離だけ離隔して存在する場合には異常状態と判定することとしている。以下では、デンドログラムを用いて正常領域を導出する例について説明する。
【0124】
デンドログラムとは、複数の状態間で、距離の最も小さい状態同士のグループ化を繰り返すことにより、最終的に2つのクラスタを形成する手法である。デンドログラムは、互いに近接する密集に基づいて一つのクラスタを形成することから、k次元ベクトルが図21に示すような分布を示す場合に、一つの大きなクラスタを正常状態、複数の小さなクラスタを異常状態として分類することが可能である。
【0125】
デンドログラムを用いて異常の有無を判定する際に重要となるのは、グループ化の回数である。すなわち、グループ化開始直後のようにクラスタ数が多数存在する場合、最も大きいクラスタのみを正常状態とすると、他の多数のクラスタに属するk次元ベクトルが異常と判定されてしまい、本来正常であるものについてまで異常とされてしまう。一方、グループ化が進行してクラスタの数が少なくなった場合、最も大きいクラスタの中に異常状態を反映した一定数のk次元ベクトルが存在することとなり、本来異常であるものについてまで正常と判断されることとなる。従って、本実施の形態2では、ネットワークの特性に応じて適切な回数のグループ化を行う必要がある。
【0126】
本願発明者等は、正常状態か否かが既に知られた多数のk次元ベクトルについてデンドログラムによる正常領域導出の実験を行って最も適切なグループ化の回数を導出している。以下、かかる実験について説明する。
【0127】
実験では、あるネットワークの入口において、トラヒックモニタリングによってパケット情報を取得している。かかるネットワークは、25ビットマスクのネットワークアドレスを持ち、常時100台程度のマシンが接続され、http、ftpなど外部に公開しているサーバが複数台存在するものである。このネットワークによって得られたパケット情報に基づいて、タイムスロットを1分として実施の形態1と同様の手法によってk次元ベクトルを多数導出している。なお、今回の実験ではk=6として、SYNフラグ、FINフラグ、RSTフラグのそれぞれがついたTCPパケット数と、UDPパケット数と、UDPパケットのうち、DNSに関するパケット数と、ICMPパケット数についてカウントし、かかるカウント数に基づいてk次元ベクトルを導出している。
【0128】
得られたk次元ベクトルは480個であり、かかるデータの中にはsnortによりホストスキャンが行われたものが16個含まれていることがあらかじめ明らかになっている。本実験では、デンドログラムによって分類を行った後、かかるsnortに起因する16個のデータがネットワーク状態の異常として検出されるか否かによって精度を確認している。
【0129】
本実験では、デンドログラムによるグループ化をするたびに、異常状態であるにもかかわらず正常状態に誤分類されたk次元ベクトルの個数Nfnと、正常状態であるにもかかわらず異常状態に誤分類されたk次元ベクトルの個数Nfpとを測定した。図22は、かかる実験の結果を示すグラフである。図22に示すように、グループ化の開始当初、すなわち、クラスタが多数存在する時点では、異常状態に誤分類された正常状態の数が多い。一方で、グループ化が進行するに従って、すなわちクラスタの数が減少するに従って正常状態が異常状態に誤分類されるケースが減少する一方、異常状態が正常状態に誤分類されるケースが増加する。これらの誤分類の合計が最も少なくなるのは、グループ化が472〜473回行われた時点であり、誤分類の合計は15個であった。かかる時点でグループ化を終了した場合において、最も多数のk次元ベクトルを包含するクラスタを正常状態、その他のクラスタを異常状態とする。
【0130】
誤分類の合計が最も少なくなった状態における正常状態領域および異常状態領域の評価について、図23に表を示す。図23に示すように、正常状態領域に属するk次元ベクトル471個のうち、11個の異常状態が含まれる一方、異常状態領域の中には、既知の16個の異常状態に含まれないものが4個存在した。
【0131】
図24は、異常状態と判断されたk次元ベクトルについて、ベクトルを構成する各要素の値を示す表である。図24において、scan1〜5は既知の異常状態を示し、unknown1〜4は、既知の異常状態に含まれないにも関わらず、異常と判定されたk次元ベクトルについて示している。なお、本実験で用いられるk次元ベクトルは、実施の形態1と同様正規化が施されていることから、正常な値であれば0近傍の値となる。
【0132】
図24に示すように、unknown1〜4は、いずれもk次元ベクトルを構成する何らかの要素について0から著しく逸脱したものが存在する。このうち、unknown1、4は、いずれもSYNパケット数に対応した要素と、FINパケットに対応した要素が0から逸脱しており、通信量が増大した状態を示しているものと推測される。一方で、unknown2、3はDNSおよびICMPに対応した要素に逸脱が見られる。かかる結果に基づいて、実験に用いたパケット情報についてパケット単位で詳細な診断を行ったところ、実際にDNS障害の兆候が確認された。
【0133】
このように、本実施の形態2にかかるネットワーク異常検出装置は、実際に実験を行った結果から、良好な精度で異常状態と正常状態を区別し、正常状態に対応した正常領域を精度よく抽出することが可能であることが明らかとなった。すなわち、実施の形態2にかかるネットワーク異常検出装置における正常領域は、実施の形態1における主成分軸と同様に、k次元特徴空間においてネットワークの状態を判定する基準として十分機能するといえ、かかる手法による異常検出も有効であることが示されている。
【0134】
なお、実施の形態1および実施の形態2は、いずれも専用の装置を用いた構造について説明したが、本発明の適用対象は、必ずしも実施の形態に限定して解釈する必要はない。例えば、主成分軸や、デンドログラムまたはk−mieansクラスタリングによって導出された正常領域以外であっても、k次元特徴空間上でネットワークが正常状態であることを示す領域であれば、異常検出の指標として用いることが可能である。すなわち、ネットワークを通過する特定のパケット数を用いてk次元ベクトルを導出し、かかるk次元ベクトルとk次元特徴空間上に形成された正常領域とを対比することによってネットワークの異常を検出する構造であれば、本発明を適用することが可能である。また、具体的構造についても、図1のブロック図に示されるものに限定して解釈する必要はなく、上記の手法を用いてネットワークの異常を検出するのであればよい。さらには、上記の手法をアルゴリズムとして記載したプログラムを用いてコンピュータ等の電子計算機に実行させる構造としてもよい。
【0135】
【発明の効果】
以上説明したように、この発明によれば、ネットワーク回線の状態をk次元ベクトル化し、k次元特徴空間において正常領域を定義してk次元ベクトルとの位置関係に基づいてネットワークの異常の有無を検出することとしたため、ネットワーク回線の評価を定量的に行うことができるとともに、未知のネットワーク異常をも検出することが可能である。
【図面の簡単な説明】
【図1】実施の形態1にかかるネットワーク異常検出装置の構成を示すブロック図である。
【図2】実施の形態1にかかるネットワーク異常検出装置の動作を示すフローチャートである。
【図3】SYNとFINの相関関係を示すグラフである。
【図4】プロトコル間の相関係数を示す図表である。
【図5】主成分軸の導出プロセスを示すフローチャートである。
【図6】主成分分析による次元圧縮を示すグラフである。
【図7】極端な逸脱に影響される主成分軸の状態を図示した模式図である。
【図8】線形分離不可能な異常状態の分布を示す模式図である。
【図9】異常状態分布の分割を示す模式図である。
【図10】フィッシャーの線形判別手法により求める軸を示す模式図である。
【図11】圧縮を行った場合の検出対象を示す模式図である。
【図12】圧縮を行った場合の検出対象を示す模式図である。
【図13】圧縮を行った場合の状態を3次元的に図示した模式図である。
【図14】逸脱度を表すベクトルを図示した模式図である。
【図15】セントロイド数と検出数との関係を示すグラフである。
【図16】ratioと検出数、誤検出数との関係を示すグラフである。
【図17】図15の拡大図である。
【図18】実験結果を示す図表である。
【図19】検出率が特に悪いとされる攻撃を示す図表である。
【図20】検出した異常状態の分類を示す図表である。
【図21】実施の形態にかかるネットワーク異常検出装置において、異常検出の態様を示す模式図である。
【図22】誤分類数の変化を示すグラフである。
【図23】デンドログラムによる分類結果を示す図表である。
【図24】デンドログラムにより検出された異常状態を示す図表である。
【図25】従来技術にかかる侵入検知システムの構成を示すブロック図である。
【符号の説明】
1 パケット数カウント部
2 ベクトル生成部
3 主成分軸導出部
4 記憶部
5 ベクトル間距離測定部
6 異常判定部
101 イベント生成器
102 イベント解析器
103 イベントデータベース
104 反応器

Claims (15)

  1. ネットワーク回線状態の異常を検出するネットワーク異常検出装置であって、
    一定時間内にネットワークを通過するパケットについて、k通りの分類ごとにパケット数を検出するパケット数検出手段と、
    検出されたパケット数に基づいて前記分類を要素とするk次元ベクトルを生成するベクトル生成手段と、
    前記k次元ベクトルと、ネットワーク正常状態に対応した領域としてk次元特徴空間上に定義された正常領域との位置関係に基づいてネットワークの異常の有無を判定する異常判定手段と、
    を備えたことを特徴とするネットワーク異常検出装置。
  2. 前記異常判定手段は、過去のネットワーク状態に基づいて得られた複数のk次元ベクトルをクラスタリングによって分類することによって得られた正常領域を用いてネットワークの異常の有無を判定することを特徴とする請求項1に記載のネットワーク異常検出装置。
  3. 前記ベクトル生成手段は、過去の観測値に基づいてパケット数を正規化した値を用いてk次元ベクトルを生成することを特徴とする請求項1または2に記載のネットワーク異常検出装置。
  4. 前記異常判定手段は、前記正常領域としてk次元を形成する各軸の相関関係によって定められた主成分軸を使用し、該主成分軸と前記k次元ベクトルとがなす距離に基づいてネットワーク回線状態の異常を検出することを特徴とする請求項1〜3のいずれか一つに記載のネットワーク異常検出装置。
  5. 異なる時刻において導出された複数のk次元ベクトルの分散が最大になる軸を前記主成分軸として定める主成分軸導出手段をさらに備えたことを特徴とする請求項4に記載のネットワーク異常検出装置。
  6. 前記主成分軸導出手段は、前記主成分軸を導出した後、前記主成分軸からの距離が所定以上の値を有する異常k次元ベクトルが存在する場合に、前記異常k次元ベクトルと正常なk次元ベクトルとを分離する判別軸を導出した後、前記異常k次元ベクトルを除去して正常なk次元ベクトルの分布を前記判別軸方向に圧縮し、該圧縮した分布状態において分散が最大になる軸を主成分軸に設定し直す主成分軸更新処理を行うことを特徴とする請求項5に記載のネットワーク異常検出装置。
  7. 前記主成分軸導出手段は、異常k次元ベクトルが消滅するまで前記主成分軸更新処理を繰り返すことを特徴とする請求項6に記載のネットワーク異常検出装置。
  8. 前記主成分軸導出手段は、前記主成分軸の次に分散が大きな値となる第2主成分軸をさらに導出し、
    前記異常判定手段は、前記第2主成分軸の前記主成分軸に対する寄与率に係数を乗算した値を前記主成分軸と前記k次元ベクトルとの距離の閾値として、該閾値以上の場合に異常と判定することを特徴とする請求項5〜7のいずれか一つに記載のネットワーク異常検出装置。
  9. 前記異常判定手段は、過去のネットワーク状態から得られた多数のk次元ベクトルからデンドログラムまたはk−meansクラスタリングによって抽出された正常領域を用いることを特徴とする請求項1〜3のいずれか一つに記載のネットワーク異常検出装置。
  10. ネットワーク回線状態の異常を検出するネットワーク異常検出方法であって、
    一定時間内にネットワークを通過するパケットについて、k通りの分類ごとにパケット数を検出するパケット数検出工程と、
    検出されたパケット数に基づいて前記分類を要素とするk次元ベクトルを生成するベクトル生成工程と、
    ネットワーク正常状態に対応した領域としてk次元特徴空間上に定義された正常領域と、前記k次元ベクトルとの位置関係に基づいてネットワークの異常の有無を判定する異常判定工程と、
    を含むことを特徴とするネットワーク異常検出方法。
  11. 前記異常判定工程において、前記正常領域としてk次元を形成する各軸の相関関係によって定められた主成分軸を使用し、該主成分軸と前記k次元ベクトルとがなす距離に基づいてネットワーク回線状態の異常を検出することを特徴とする請求項10に記載のネットワーク異常検出方法。
  12. 異なる時刻において導出された複数のk次元ベクトルの分散がもっとも大きくなる軸を前記主成分軸として導出する主成分軸導出工程をさらに含むことを特徴とする請求項11に記載のネットワーク異常検出方法。
  13. 前記主成分軸導出工程は、一度前記主成分軸導出を行った後、該導出した主成分軸からの距離が所定以上の値を有する異常k次元ベクトルが存在する場合に、前記異常k次元ベクトルと正常なk次元ベクトルとを分離する判別軸を導出した後、前記異常k次元ベクトルを除去して正常なk次元ベクトルの分布を前記判別軸方向に圧縮し、該圧縮した分布状態において分散が最大になる軸を主成分軸に設定し直す主成分軸更新工程を含むことを特徴とする請求項12に記載のネットワーク異常検出方法。
  14. 前記主成分軸更新工程は、前記主成分軸に対して異常k次元ベクトルが存在しなくなるまで繰り返されることを特徴とする請求項13に記載のネットワーク異常検出方法。
  15. 請求項10〜14のいずれか一つに記載の方法を電子計算機に実行させることを特徴とするネットワーク異常検出プログラム。
JP2003098606A 2003-02-21 2003-04-01 ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム Pending JP2004312064A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003098606A JP2004312064A (ja) 2003-02-21 2003-04-01 ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2003044348 2003-02-21
JP2003098606A JP2004312064A (ja) 2003-02-21 2003-04-01 ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム

Publications (1)

Publication Number Publication Date
JP2004312064A true JP2004312064A (ja) 2004-11-04

Family

ID=33478000

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003098606A Pending JP2004312064A (ja) 2003-02-21 2003-04-01 ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム

Country Status (1)

Country Link
JP (1) JP2004312064A (ja)

Cited By (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006314077A (ja) * 2005-04-06 2006-11-16 Alaxala Networks Corp ネットワーク制御装置と制御システム並びに制御方法
WO2007081023A1 (ja) * 2006-01-16 2007-07-19 Cyber Solutions Inc. トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム
JP2007189644A (ja) * 2006-01-16 2007-07-26 Mitsubishi Electric Corp 管理装置及び管理方法及びプログラム
JP2007221311A (ja) * 2006-02-15 2007-08-30 Yokogawa Electric Corp パケット解析システム
JP2007335951A (ja) * 2006-06-12 2007-12-27 Kddi R & D Laboratories Inc 通信監視装置、通信監視方法およびプログラム
JP2008136012A (ja) * 2006-11-29 2008-06-12 Alaxala Networks Corp トラヒック分析装置および分析方法
JP2008146157A (ja) * 2006-12-06 2008-06-26 Mitsubishi Electric Corp ネットワーク異常判定装置
JP2008252427A (ja) * 2007-03-30 2008-10-16 Kyushu Univ 検出装置、検出方法、通信制御方法、履歴空間データ生産方法、及びこれらの方法をコンピュータに実行させることが可能なプログラム
JP2009218825A (ja) * 2008-03-10 2009-09-24 Kddi Corp ネットワーク攻撃検出装置及び防御装置
JP2010506460A (ja) * 2006-09-29 2010-02-25 アルカテル−ルーセント タイプ2ファジーニューラルネットワークを使用したインテリジェンスネットワーク異常検出
JP2010050939A (ja) * 2008-08-25 2010-03-04 Hitachi Information Systems Ltd 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム
JP2010511359A (ja) * 2006-11-29 2010-04-08 ウイスコンシン アラムナイ リサーチ フオンデーシヨン ネットワーク異常検出のための方法と装置
JP2011166602A (ja) * 2010-02-12 2011-08-25 Ntt Docomo Inc 故障検出装置
US8544063B2 (en) 2005-09-29 2013-09-24 Fujitsu Limited Network security apparatus, network security control method and network security system
WO2015141560A1 (ja) * 2014-03-19 2015-09-24 日本電信電話株式会社 トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム
JP5973636B1 (ja) * 2015-08-07 2016-08-23 三菱電機インフォメーションシステムズ株式会社 異常ベクトル検出装置および異常ベクトル検出プログラム
JP2019033312A (ja) * 2017-08-04 2019-02-28 株式会社日立製作所 ネットワーク装置、パケットを処理する方法、及びプログラム
JP2019102011A (ja) * 2017-12-08 2019-06-24 日本電信電話株式会社 学習装置、学習方法及び学習プログラム
JP2019101982A (ja) * 2017-12-07 2019-06-24 日本電信電話株式会社 学習装置、検知システム、学習方法及び学習プログラム
WO2020004315A1 (ja) 2018-06-27 2020-01-02 日本電信電話株式会社 異常検知装置、および、異常検知方法
WO2022137916A1 (ja) 2020-12-24 2022-06-30 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 閾値算出装置、異常検知装置、閾値算出方法および異常検知方法
CN116150221A (zh) * 2022-10-09 2023-05-23 浙江博观瑞思科技有限公司 服务于企业电商运营管理的信息交互方法及系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0993665A (ja) * 1995-09-26 1997-04-04 Meidensha Corp 監視装置
JP2002342279A (ja) * 2001-03-13 2002-11-29 Fujitsu Ltd フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0993665A (ja) * 1995-09-26 1997-04-04 Meidensha Corp 監視装置
JP2002342279A (ja) * 2001-03-13 2002-11-29 Fujitsu Ltd フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
及川達也 他: "統計的クラスタリング手法によるネットワーク状態の判別", 2002年電子情報通信学会総合大会講演論文集 通信2, JPN6008002674, 7 March 2002 (2002-03-07), pages 230, ISSN: 0000966573 *
山西健司 他: "統計的外れ値検出によるデータマイニングとネットワーク侵入検出への応用", 信学技報 VOL.102 NO.132, JPN6008002677, 14 June 2002 (2002-06-14), pages 19 - 24, ISSN: 0000966574 *

Cited By (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006314077A (ja) * 2005-04-06 2006-11-16 Alaxala Networks Corp ネットワーク制御装置と制御システム並びに制御方法
JP4547342B2 (ja) * 2005-04-06 2010-09-22 アラクサラネットワークス株式会社 ネットワーク制御装置と制御システム並びに制御方法
US8544063B2 (en) 2005-09-29 2013-09-24 Fujitsu Limited Network security apparatus, network security control method and network security system
US8689326B2 (en) 2006-01-16 2014-04-01 Cyber Solutions Inc. Device for analyzing and diagnosing network traffic, a system for analyzing and diagnosing network traffic, and a system for tracing network traffic
JP5015014B2 (ja) * 2006-01-16 2012-08-29 株式会社サイバー・ソリューションズ トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム
JP2007189644A (ja) * 2006-01-16 2007-07-26 Mitsubishi Electric Corp 管理装置及び管理方法及びプログラム
WO2007081023A1 (ja) * 2006-01-16 2007-07-19 Cyber Solutions Inc. トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム
JP4559974B2 (ja) * 2006-01-16 2010-10-13 三菱電機株式会社 管理装置及び管理方法及びプログラム
JP2007221311A (ja) * 2006-02-15 2007-08-30 Yokogawa Electric Corp パケット解析システム
JP4687978B2 (ja) * 2006-02-15 2011-05-25 横河電機株式会社 パケット解析システム
JP2007335951A (ja) * 2006-06-12 2007-12-27 Kddi R & D Laboratories Inc 通信監視装置、通信監視方法およびプログラム
JP2010506460A (ja) * 2006-09-29 2010-02-25 アルカテル−ルーセント タイプ2ファジーニューラルネットワークを使用したインテリジェンスネットワーク異常検出
JP2008136012A (ja) * 2006-11-29 2008-06-12 Alaxala Networks Corp トラヒック分析装置および分析方法
JP2010511359A (ja) * 2006-11-29 2010-04-08 ウイスコンシン アラムナイ リサーチ フオンデーシヨン ネットワーク異常検出のための方法と装置
JP4734223B2 (ja) * 2006-11-29 2011-07-27 アラクサラネットワークス株式会社 トラヒック分析装置および分析方法
JP2008146157A (ja) * 2006-12-06 2008-06-26 Mitsubishi Electric Corp ネットワーク異常判定装置
JP2008252427A (ja) * 2007-03-30 2008-10-16 Kyushu Univ 検出装置、検出方法、通信制御方法、履歴空間データ生産方法、及びこれらの方法をコンピュータに実行させることが可能なプログラム
JP2009218825A (ja) * 2008-03-10 2009-09-24 Kddi Corp ネットワーク攻撃検出装置及び防御装置
JP2010050939A (ja) * 2008-08-25 2010-03-04 Hitachi Information Systems Ltd 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム
JP2011166602A (ja) * 2010-02-12 2011-08-25 Ntt Docomo Inc 故障検出装置
US10721244B2 (en) 2014-03-19 2020-07-21 Nippon Telegraph And Telephone Corporation Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program
WO2015141560A1 (ja) * 2014-03-19 2015-09-24 日本電信電話株式会社 トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム
JP6053091B2 (ja) * 2014-03-19 2016-12-27 日本電信電話株式会社 トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム
JP5973636B1 (ja) * 2015-08-07 2016-08-23 三菱電機インフォメーションシステムズ株式会社 異常ベクトル検出装置および異常ベクトル検出プログラム
JP2019033312A (ja) * 2017-08-04 2019-02-28 株式会社日立製作所 ネットワーク装置、パケットを処理する方法、及びプログラム
JP2019101982A (ja) * 2017-12-07 2019-06-24 日本電信電話株式会社 学習装置、検知システム、学習方法及び学習プログラム
JP2019102011A (ja) * 2017-12-08 2019-06-24 日本電信電話株式会社 学習装置、学習方法及び学習プログラム
WO2020004315A1 (ja) 2018-06-27 2020-01-02 日本電信電話株式会社 異常検知装置、および、異常検知方法
WO2022137916A1 (ja) 2020-12-24 2022-06-30 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 閾値算出装置、異常検知装置、閾値算出方法および異常検知方法
CN116150221A (zh) * 2022-10-09 2023-05-23 浙江博观瑞思科技有限公司 服务于企业电商运营管理的信息交互方法及系统

Similar Documents

Publication Publication Date Title
JP2004312064A (ja) ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム
JP5248612B2 (ja) 侵入検知の方法およびシステム
US11316878B2 (en) System and method for malware detection
JP6703613B2 (ja) データストリームにおける異常検出
Rao et al. A model for generating synthetic network flows and accuracy index for evaluation of anomaly network intrusion detection systems
Hoque et al. An implementation of intrusion detection system using genetic algorithm
CA2417817C (en) System and method of detecting events
JP5844938B2 (ja) ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
US20030084319A1 (en) Node, method and computer readable medium for inserting an intrusion prevention system into a network stack
JP2018533897A5 (ja)
US20060137009A1 (en) Stateful attack protection
EP1685458A2 (en) Method and system for addressing intrusion attacks on a computer system
CN110572412A (zh) 云环境下基于入侵检测系统反馈的防火墙及其实现方法
Mangrulkar et al. Network attacks and their detection mechanisms: A review
Jadhav et al. A novel approach for the design of network intrusion detection system (NIDS)
KR20020072618A (ko) 네트워크 기반 침입탐지 시스템
CN117560196A (zh) 一种智慧变电站二次系统测试系统及方法
Singh Intrusion Detection Systems (IDS) and Intrusion Prevention Systems (IPS) For Network Security: A Critical Analysis
JP4159814B2 (ja) 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム
Lee et al. Sierra: Ranking anomalous activities in enterprise networks
Kumar et al. Statistical based intrusion detection framework using six sigma technique
Lee et al. A probe detection model using the analysis of the fuzzy cognitive maps
Hooper An intelligent intrusion detection and response system using hybrid ward hierarchical clustering analysis
CN116527378B (zh) 一种云手机监控管理方法和系统
CN118473829B (zh) 一种IPv6网络安全防护系统

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20041005

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20041228

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060327

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20060327

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20060327

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080117

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080123

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080528