JP2005094361A - ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム - Google Patents
ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム Download PDFInfo
- Publication number
- JP2005094361A JP2005094361A JP2003325058A JP2003325058A JP2005094361A JP 2005094361 A JP2005094361 A JP 2005094361A JP 2003325058 A JP2003325058 A JP 2003325058A JP 2003325058 A JP2003325058 A JP 2003325058A JP 2005094361 A JP2005094361 A JP 2005094361A
- Authority
- JP
- Japan
- Prior art keywords
- network
- value
- error
- abnormality detection
- packets
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】DoS攻撃等のネットワーク異常の有無を簡易に判定すること。
【解決手段】ネットワーク異常検出装置1は、パケット数測定部2と、所定の演算を行う制御部3と、実測値、予測値および許容誤差範囲とを記憶する記憶部4と、判定結果を出力する出力部5とを有する。制御部3は、異常検出時と異なる時刻における実測値に基づいて予測値を導出する予測値導出部3aと、予測値と異常検出時における実測値との間の誤差を導出する誤差導出部3bと、誤差が許容誤差範囲内か否かに基づいてネットワークの異常を判定する異常判定部3cと、異常判定部3cが判定基準として用いる許容誤差範囲を導出する許容誤差範囲導出部3dとを備える。そして、ネットワーク異常検出装置1は、予測値と実測値との間の誤差が許容誤差範囲に属するか否かに基づいてネットワークの異常の有無を検出する。
【選択図】 図1
【解決手段】ネットワーク異常検出装置1は、パケット数測定部2と、所定の演算を行う制御部3と、実測値、予測値および許容誤差範囲とを記憶する記憶部4と、判定結果を出力する出力部5とを有する。制御部3は、異常検出時と異なる時刻における実測値に基づいて予測値を導出する予測値導出部3aと、予測値と異常検出時における実測値との間の誤差を導出する誤差導出部3bと、誤差が許容誤差範囲内か否かに基づいてネットワークの異常を判定する異常判定部3cと、異常判定部3cが判定基準として用いる許容誤差範囲を導出する許容誤差範囲導出部3dとを備える。そして、ネットワーク異常検出装置1は、予測値と実測値との間の誤差が許容誤差範囲に属するか否かに基づいてネットワークの異常の有無を検出する。
【選択図】 図1
Description
本発明は、ネットワークの異常を検出する技術に関するものであって、特にDoS攻撃等のネットワーク異常の有無を簡易に判定することが可能なネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラムに関するものである。
従来、パーソナルコンピュータ等の端末装置の普及に伴って、これら端末装置間を接続するネットワークが発展している。ネットワークの例としては、同一組織内の端末装置間を接続したイントラネットや、組織外との情報交換の利便性を求めて世界中に張り巡らされたインターネット等が知られている。かかるネットワークを用いて自己の端末装置から他の端末装置にアクセスすることが可能となり、自己の端末装置を用いて他の端末装置から必要な情報等を取り出せる等の利便性を有する。
一方で、インターネット等のネットワークの発達は、他者から自己の端末に対するアクセスが可能なことを意味する。このため、悪意を有する他者から不正なアクセスがなされた場合、自己の端末装置の破壊や、端末装置に記憶された情報が不当に引き出されること、さらには自己の端末のネットワークに対する接続の断絶等の弊害が生じることとなる。従って、かかる不正アクセスを防御する技術が必要となると共に、不正アクセス防御の前提として、ネットワークの異常を検出する技術の開発が要請されている。
図5は、従来のネットワーク異常検出装置の内部構成を示すブロック図である。従来のネットワーク異常検出装置において、パケットモニタ部807は、ネットワーク703上を流れるパケットを常にモニタし、パケットに含まれるデータを攻撃判定部806に転送する。攻撃判定部806は、転送されたデータと、攻撃パターンデータベース808に含まれる攻撃パターンとを照合し、そのパケットが攻撃を意図して送られたものかどうかを判断する。そして、対象パケットが攻撃を意図して送られたと判断された場合には、不正アクセスがなされたものとして、ネットワーク管理者への通知等、必要な処置を講ずることで不正アクセスに対する防御を行うことが可能である(例えば、特許文献1参照。)。
しかしながら、従来のネットワーク異常検出装置を用いたネットワークの異常検出では様々な問題が存在する。例えば、攻撃パターンデータベース808に記憶されていない新種のパターンに従った攻撃がなされた場合には、攻撃判定部806でネットワークに異常が生じた旨の判定を行うことはできない。
かかる問題に対処するため、従来のネットワーク異常検出装置では、攻撃パターンデータベース808に記憶する情報を定期的にアップデートする等の対策が取られている。しかしながら、かかる場合でも、未知のパターンに対して対処することは困難であると共に、新種の攻撃がなされた場合にはアップデートする情報を新たに作成する必要が生じるなどの問題を有する。
また、パケットに含まれるデータを用いて不正アクセスの検出を行うためには、当然のことながらネットワーク中を通過するパケットに対して内部データを逐一調査する必要があることから、検出処理に時間を要すると共に、検出装置の負荷も増大する。従って、近年のネットワークの高速化を鑑みると、データ転送速度に対して処理が追いつかなくなる可能性もあり、妥当ではない。
さらに、不正アクセスの態様としては、DoS攻撃のように短時間に大量のデータを送付することによってサーバをダウンさせるものも存在する。かかる攻撃の場合、送付される個々のパケットは通常のSYNパケット等であることから、攻撃判定部806では個々のパケットについて攻撃を意図したものと判定することはできない。
この発明は、上記従来技術の問題点に鑑みてなされたものであって、DoS攻撃等のネットワーク異常の有無を簡易に判定することが可能なネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラムを提供することを目的とする。
上記目的を達成するため、請求項1にかかるネットワーク異常検出装置は、測定対象ネットワークにおける所望時刻のパケット数の実測値を測定するパケット数測定手段と、測定対象ネットワークにおける異なる複数の時間に実測されたパケット数に基づいて、前記所望時刻におけるパケット数の予測値を導出するパケット予測値導出手段と、前記予測値と前記実測値との間の誤差を導出する誤差導出手段と、前記誤差と所定の許容誤差範囲とを比較して前記所望時刻におけるネットワーク異常の有無を判定する異常判定手段とを備えたことを特徴とする。
この請求項1の発明によれば、測定対象と同一のネットワークにおける他の時刻におけるパケット数の実測値に基づいて予測値を導出し、予測値と測定時における実測値との間の誤差の大きさからネットワーク異常の有無を検出することとしたため、測定対象の特性に適合した予測値を用いることが可能となり、測定対象の特性を加味した異常判定を行うことができる。
また、請求項2にかかるネットワーク異常検出装置は、上記の発明において、前記許容誤差範囲は、前記所望時刻と異なる時刻における実測値と、前記異なる時刻における予測値との間の誤差の分布に基づいて決定されることを特徴とする。
この請求項2の発明によれば、測定対象が異常か否かの判定に用いる許容誤差範囲は、測定対象と同一のネットワークにおける誤差分布に基づいて決定することとしたため、異常検出測定時において通常の誤差と大きく異なる誤差が導出された場合にネットワークが異常状態にあると判定することが可能である。
また、請求項3にかかるネットワーク異常検出装置は、上記の発明において、前記許容誤差範囲は、前記所望時刻と異なる複数の時刻における実測値と予測値との間の誤差分布から導出された平均値と、前記誤差分布から導出された標準偏差に2を乗算した値との差分値よりも大きく、前記平均値と前記標準偏差に2を乗算した値との和よりも小さくなる範囲であって、前記異常判定手段は、前記誤差が前記許容誤差範囲を逸脱した場合にネットワーク異常を有すると判定することを特徴とする。
また、請求項4にかかるネットワーク異常検出装置は、上記の発明において、前記予測値は、異なる複数の時間に実測されたパケット数の線形結合によって形成され、該線形結合における各項の係数は、最小自乗法によって導出されることを特徴とする。
また、請求項5にかかるネットワーク異常検出方法は、測定対象ネットワークにおける異なる複数の時刻に実測されたパケット数に基づいて、所望時刻のパケット数の予測値を導出するパケット予測値導出工程と、測定対象ネットワークにおける前記所望時刻のパケット数の実測値を測定するパケット数測定工程と、前記予測値と前記実測値との間の誤差を導出する誤差導出工程と、前記誤差と許容誤差範囲とを比較して前記所望時刻におけるネットワーク異常の有無を判定する異常判定工程とを含むことを特徴とする。
また、請求項6にかかるネットワーク異常検出方法は、上記の発明において、前記許容誤差範囲は、前記所望時刻と異なる複数の時刻における実測値と予測値との間の誤差分布から導出された平均値と、前記誤差分布から導出された標準偏差との差分値よりも大きく、前記平均値と前記標準偏差との和未満となる数値範囲であって、前記異常判定工程において、前記誤差が前記許容誤差範囲を逸脱した場合にネットワーク異常を有すると判定することを特徴とする。
また、請求項7にかかるネットワーク異常検出方法は、上記の発明において、前記予測値は、異なる複数の時間に実測されたパケット数の線形結合によって形成され、該線形結合における各項の係数は、最小自乗法によって導出されることを特徴とする。
また、請求項8にかかるネットワーク異常検出プログラムは、請求項5〜7のいずれか一つに記載の方法を計算機に実行させることを特徴とする。
本発明にかかるネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラムによれば、測定対象と同一のネットワークにおける他の時刻におけるパケット数の実測値に基づいて予測値を導出し、予測値と測定時における実測値との間の誤差の大きさからネットワーク異常の有無を検出する構成としたため、測定対象の特性に適合した予測値を用いることが可能となり、測定対象の特性を加味した異常判定を行うことができるという効果を奏する。
また、本発明にかかるネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラムによれば、測定対象が異常か否かの判定に用いる許容誤差範囲は、測定対象と同一のネットワークにおける誤差分布に基づいて決定する構成としたため、異常検出測定時において通常の誤差と大きく異なる誤差が導出された場合にネットワークが異常状態にあると判定できるという効果を奏する。
以下、図面を参照して、この発明の実施の形態であるネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラムについて説明する。なお、図面は模式的なものであり、現実のものとは異なることに留意する必要がある。
まず、この発明の実施の形態にかかるネットワーク異常検出装置について説明する。実施の形態にかかるネットワーク異常検出装置は、パケット数の実測値を不正アクセス検出の指標として用いており、過去のパケット数から導出される予測値と、測定時刻におけるパケット数の実測値との誤差に基づいて不正アクセスの有無を判定する構造を有する。
図1は、実施の形態にかかるネットワーク異常検出装置の構成を示すブロック図である。図1に示すように、実施の形態にかかるネットワーク異常検出装置1は、ネットワークN1、N2間に配置され、ネットワークN1、N2間の通信状態の異常の有無を判定する構成を有する。なお、ネットワークN1、N2の具体的態様はいかなるものであっても本実施の形態にかかるネットワーク異常検出装置1を適用可能であるが、好ましくはネットワークN1が大規模なネットワークであって、ネットワークN2は小規模なネットワーク、より好ましくは個々の端末であるとする。また、本実施の形態にかかるネットワーク異常検出装置は、任意の方向に通過するパケットに関して適用することが可能だが、以下では大規模なネットワークN1から小規模なネットワークN2に対して移動するパケット数に基づいてネットワークの異常を検出する構造とする。
具体的には、本実施の形態にかかるネットワーク異常検出装置1は、パケット数測定部2と、所定の演算を行う制御部3と、後述する実測値、予測値および許容誤差範囲とを記憶する記憶部4と、判定結果を出力する出力部5とを有する。制御部3は、異常検出時と異なる時刻における実測値に基づいて予測値を導出する予測値導出部3aと、予測値と異常検出時における実測値との間の誤差を導出する誤差導出部3bと、誤差が許容誤差範囲内か否かに基づいてネットワークの異常を判定する異常判定部3cと、異常判定部3cが判定基準として用いる許容誤差範囲を導出する許容誤差範囲導出部3dとを備える。
パケット数測定部2は、異常検出対象であるネットワーク中を所定期間内に通過するパケット数を測定するためのものである。パケット数測定部は、単純にパケット数のみをカウントするものであって、シグネチャ等のパケット内のデータを読みとることはしない構造を有する。パケット数測定部2で測定されたパケット数は、記憶部4に出力されて将来の異常検出の際に予測値の導出に用いられると共に、誤差導出部3bに出力されて予測値との誤差の検出に使用される。
予測値導出部3aは、異なる複数の時刻においてネットワークを通過したパケット数のデータに基づいて、検出時刻におけるパケット数の予測値を導出するためのものである。具体的には、最小自乗法等を用いて過去の複数の時刻における測定値を線形結合した値を予測値として導出し、誤差導出部3bに出力する構造を有する。
誤差導出部3bは、パケット数測定部2で測定されたパケットの実測値と、予測値導出部3aで導出された予測値とを比較し、実測値と予測値との間の誤差を導出するためのものである。具体的には、実測値と予測値との間で差分演算を行う構造を有し、導出した誤差を異常判定部3cおよび記憶部4に出力し、出力された誤差は異常検出に用いられると共に将来の異常検出の際における許容誤差範囲の導出に用いられる。
異常判定部3cは、誤差導出部3bから出力された誤差に基づいて、検出時刻におけるネットワーク異常の有無を判定する。具体的には、あらかじめ定められた許容誤差範囲内に誤差導出部3bから出力された誤差が含まれるか否かを判定し、許容誤差範囲内に含まれる場合には正常、含まれない場合には異常と判定する。
出力部5は、異常判定部3cで判定された測定対象ネットワークの異常の有無を表示するためのものである。具体的には、出力部5はCRTディスプレイまたは液晶ディスプレイ等のように判定結果を直接表示するものや、プリンタ等のように異なる媒体上に判定結果を表示する構造を有する。
次に、実施の形態にかかるネットワーク異常検出装置の動作について説明する。図2は、実施の形態にかかるネットワーク異常検出装置の動作について示すフローチャートであり、以下ではフローチャートに従って動作を概説した後、個々のステップについて詳細に説明を行う。
まず、記憶部4に記憶された、同一測定対象上を通過した過去のパケット数の実測値に基づいて、検出時刻にネットワークを通過すると推測されるパケット数の予測値を導出する(ステップS101)。
そして、パケット数測定部2によって、検出時刻に実際にネットワークを通過したパケット数を測定する(ステップS102)。本ステップにおいてはパケットの種類に関わらずネットワークを通過するパケット数を測定することとし、測定したパケット数の実測値に関するデータは、誤差導出部3bと、記憶部4とに送られる。
その後、誤差導出部3bにおいて、実際に測定されたパケット数(実測値)と予測値との間に生じる誤差を導出する(ステップS103)。具体的には、予測値と実測値との間で差分計算を行い、導出された差分値を異常判定部3cに出力する。
そして、異常判定部3cにおいて、ステップS103で導出された誤差が許容誤差範囲内か否かの判定を行う(ステップS104)。本ステップで許容誤差範囲内と判定された場合には、ネットワーク状態は正常であると判定され(ステップS105)、許容誤差範囲外と判定された場合には、ネットワーク状態は異常と判定される(ステップS106)。以上で、本実施の形態にかかる異常検出装置の動作は終了する。
以下、本実施の形態にかかるネットワーク異常検出装置の動作について、各ステップについて詳細に説明する。まず、ステップS101における予測値の導出について説明する。
本実施の形態では、測定時にネットワーク中を通過するパケット数は、ネットワークが正常状態を維持している限り過去の通過パケット数からの逸脱の程度は少ないものと推定している。一方で、同一ネットワークであっても通過するパケット数は時間変化に応じて徐々に変動するものであり、過去のパケット数をそのまま予測値として用いることは好ましくなく、あまりに時刻の離れた過去のパケット数を用いることも好ましくないという考えに基づいて予測値を導出することとしている。
従って、ステップS101では、記憶部4の中に多数記憶されたパケット数のデータの中から、測定時刻に近接した所定数のデータを抽出し、抽出したパケット数を線形結合させることによって予測値を導出している。具体的には以下の通りである。
まず、時刻tnにおけるパケット数の実測値をxtnとし、時刻tnにおけるパケット数の予測値をxtn’とすると、予測値xtn’は、
xtn’=an-1xtn-1+an-2xtn-2+・・・+an-kxtn-k・・・(1)
と表されるものとする。ここで、xtn-k〜xtn-1はいずれも過去の実測値であることから記憶部4から出力することが可能であるが、係数an-1〜an-kの値をどのように導出するかが問題となる。本実施の形態では、例えば最小自乗法を用いることによって(1)式における係数の値を決定している。
xtn’=an-1xtn-1+an-2xtn-2+・・・+an-kxtn-k・・・(1)
と表されるものとする。ここで、xtn-k〜xtn-1はいずれも過去の実測値であることから記憶部4から出力することが可能であるが、係数an-1〜an-kの値をどのように導出するかが問題となる。本実施の形態では、例えば最小自乗法を用いることによって(1)式における係数の値を決定している。
すなわち、本実施の形態では、まず、異なる時刻tn-1〜tn-mにおいて(1)式に従って予測値xtn-1’〜xtn-m’を導出する。その後、xtn-1’〜xtn-m’と、実測値xtn-1〜xtn-mとの間で差分演算を行い、誤差etn-1〜etn-mを導出する。最後に、導出した誤差etn-1〜etn-mの自乗和が最も小さくなるよう係数an-1〜an-kが決定される。
次に、ステップS102について説明する。ステップS102では、測定時刻に検出対象たるネットワーク中を一定時間内に通過するパケット数を測定しており、具体的には、測定時間を例えば10秒間とする。ステップS102で測定されたパケット数の実測値は、ステップS103における誤差導出に用いられるのみならず、次のネットワーク異常検出の際における予測値の導出に用いられる。従って、パケット数測定部2で測定された実測値は、誤差導出部3bと記憶部4に対して出力され、記憶部4では、測定時刻に対応づけられた形式で記憶される。
次に、ステップS103について説明する。ステップS103では、予測値と実測値との間で差分演算を行うことによって誤差を導出している。(1)式で示すように、ステップS101で導出した予測値は、同一ネットワークにおける過去の実測値の線形結合からなり、かつ実測値の係数は誤差の自乗和が最も小さくなるよう設定されていることから、検出対象たるネットワークが正常状態を維持している場合、実測値と予測値とは精度よく一致し、逸脱の程度は少ないものと予想される。換言すれば、実測値と予測値とが大きく異なる場合には何らかの異常がネットワークに発生していると推定されるため、本ステップでは、異常の有無の判定の前提として、実測値と予測値と間の誤差を導出することとしている。
次に、ステップS104について説明する。ステップS104では、ステップS103で導出された誤差が所定の許容誤差範囲内か否かを判定している。ステップS104の判断基準となる許容誤差範囲は、以下の通りに定められる。
予測値の導出の際に説明したように、(1)式を構成する係数は実測値と予測値との差分値たる誤差の自乗和が最も小さくなるよう定められている。このことは、過去に実測値が測定された時刻において、(1)式を用いて導出された予測値と、実際に測定された実測値とは必ずしも完全には一致していないことを意味する。従って、過去の時刻においてネットワークが正常状態であったとしても測定値と実測値との間にはある程度の誤差が生じており、かかる誤差は所定の規則性に従って分布しているものと考えられる。
図3は、ネットワークが通常状態を維持している間における、予測値と実測値の異同の一例について示すグラフである。図3において、破線は実測値の推移を示し、実線は(1)式に基づいて導出された予測値の推移を示している。図3に示すように、予測値と実測値とは完全には一致しないものの、時間変化についてほぼ同様の傾向を示しており、誤差の絶対値は低く抑えられている。
図4は、図3とは別の時間において実測値の測定と予測値の導出を複数の異なる時刻で行い、実測値と予測値との間の誤差の分布を示すグラフである。図4に示すように、誤差の分布は平均値である0の近傍に多くの値が存在し、平均値から離れるに従って分布数は急激に低下している。
そこで、ステップS104では、かかる分布状態を考慮して許容誤差範囲を定めている。すなわち、あらかじめ過去の実測値および予測値を導出して記憶部4に記憶しておき、かかる値に基づいて許容誤差範囲導出部3dによって誤差分布曲線を導出する。そして、許容誤差範囲導出部3dは、得られた誤差分布曲線から平均値および標準偏差を導出し、これらの値を用いて許容誤差範囲を導出している。具体的には、本実施の形態では、平均値と、標準偏差に2を乗算した値との差分値を下限とし、平均値と、標準偏差に2を乗算した値との和を上限とした許容誤差範囲を設定することとしている。そして、測定時における実測値と予測値との差分値がかかる許容誤差範囲内となる場合には、ネットワークは正常状態と判定され、許容誤差範囲から逸脱している場合には、ネットワークは異常状態であると判定される。
次に、本実施の形態にかかるネットワーク異常検出装置の利点について説明する。まず、実施の形態にかかるネットワーク異常検出装置では、ネットワーク中を通過するパケットに含まれる情報を分析することなくネットワーク異常の有無を判定している。従って、従来のネットワーク異常検出装置と比較して、異常判定に要する時間を短縮化することが可能となり、大容量の高速ネットワークのように正常状態で大量のパケットが通過するものに対しても異常検出が可能である。また、パケットに含まれる情報を分析することなしに異常検出を行っていることから、未知の攻撃パターンであっても対処することが可能である。
また、本実施の形態にかかるネットワーク異常検出装置は、許容誤差範囲を平均値と標準偏差に2を乗算した値との差分値以上、平均値と標準偏差に2を乗算した値との和以下としている。図4の例では、過去の時刻に関して得られた誤差の98.05%が許容誤差範囲内に収まり、正常状態として判定される。従って、本実施の形態にかかるネットワーク異常検出装置では、正常状態を異常状態として誤検出する可能性が低いという利点も有する。
さらに、本実施の形態にかかるネットワーク異常検出装置は、測定対象となるネットワークの特性に適合した異常検出が可能であるという利点を有する。すなわち、ネットワーク中を通過するパケット数はネットワークごとに相違するのが通常であり、同一ネットワークであっても時間の経過に応じて正常状態における通過パケット数は異なる値となる。本実施の形態にかかるネットワーク異常検出装置では、測定対象となるネットワークの過去のパケット数、しかもネットワーク異常検出を行う時刻に近接した時刻におけるパケット数に基づいて予測値を導出することから、検出対象となるネットワークの特性に応じた異常検出が可能である。
(変形例)
次に、本実施の形態にかかるネットワーク異常検出装置の変形例について説明する。変形例にかかるネットワーク異常検出装置は、実施の形態で説明したネットワーク状態の異常検出技術を応用して、異常状態の発生と異常状態の終了とを検知するものである。
次に、本実施の形態にかかるネットワーク異常検出装置の変形例について説明する。変形例にかかるネットワーク異常検出装置は、実施の形態で説明したネットワーク状態の異常検出技術を応用して、異常状態の発生と異常状態の終了とを検知するものである。
本変形例では、定常的にパケット数の計測を行い、ステップS104、S105と同様にパケット数の実測値と予測値の差分値を導出し、導出した差分値の閾値との対比を繰り返すこととしている。そして、本変形例にかかるネットワーク異常検出装置は、実測値と予測値との差分値と、あらかじめ設定してある閾値との間の大小関係が変化した時刻を、異常状態の発生もしくは異常状態の終了の時刻として検出する。
すなわち、差分値が閾値よりも大きい値となった時点において、本変形例では何らかのネットワーク異常が生じたものと推測し、例えば、DoS攻撃が開始されたものと判断する。そして、いったんネットワーク異常が生じたと判定された後、再び差分値が閾値よりも大きな値となった時点を検出し、検出された時刻をもってネットワークの異常が終了したものと判定している。
例えば、予測値導出部3aが、ネットワーク異常に起因して急激に変化したパケット数についても過去のパケット数のデータとして取り込んで予測値を導出する構成の場合には、実際には異常状態が継続しているにもかかわらず、一度差分値が閾値よりも高い値になった後、予測値と実測値との差が再び閾値以下となる。
一方、かかる場合における予測値は、異常状態のパケット数を含んで形成されることから、ネットワークが正常状態に戻った時点における実測値とは著しく異なる値となる。すなわち、すでに生じている異常状態に基づいた予測値の導出がなされていることから、ネットワークが再び正常状態に戻った時点では、異常状態に基づいた予測値と、正常状態に戻った時点における実測値との差分値は再び閾値を超えることとなる。従って、本変形例では、差分値が一旦閾値を上回った時点をネットワーク異常発生の時刻とし、再度閾値を上回った時点をネットワーク異常終了の時刻として検出することとしている。
特に、ネットワーク異常によって検出対象を通過するパケット数が通常よりも急激に増加する場合には、ネットワーク異常が生じた時点は、予測値に比べて実測値が大きな値となる一方、ネットワーク異常が終了した時点では、異常状態を反映した予測値に対して、実測値は小さな値をとることとなる。従って、かかる場合には、実測値と予測値との差分値が閾値を上回り、かつ実測値が予測値よりも大きな値となっている時刻をネットワーク異常が発生した時刻と検出することが可能である。また、かかる場合には、差分値が閾値を上回り、かつ実測値が予測値よりも小さな値となっている時刻をネットワーク異常が終了した時刻として検出することが可能である。
ネットワークの異常状態の発生時刻および終了時刻の検出を行うことによって、例えば、ネットワークの異常状態がDoS攻撃によって生じた場合には、DoS攻撃の開始時刻および終了時刻を検出することが可能である。なお、かかる検出を行うためには、図1に示す値とワーク異常検出装置1内に新たに時刻検出部を備えることとしても良いし、異常判定部3cに時刻検出機能を持たせることとしても良い。
なお、本変形例におけるネットワーク異常の検出方式は、実施の形態におけるものと若干異なるものである。かかる差違は、予測値導出部3aが導出に用いる過去のパケット数の実測値の選択手法の相違に基づくものである。すなわち、実施の形態にかかるネットワーク異常検出装置は、予測値導出に用いる過去のパケット数の実測値として、検出時刻近傍で生じたネットワーク異常に関係した実測値を使用していない。従って、実施の形態にかかるネットワーク異常検出装置では、予測値はあくまでネットワークが正常状態を維持した場合に予想されるパケット数であると推定されることとなり、かかる予測値との差分値が閾値を超えた場合には、ネットワークは異常状態であると一律に判断することとしている。
一方で、変形例にかかるネットワーク異常検出装置は、異常状態における実測値も用いて予測値の導出を行うことから、一度異常が生じた後は、異常状態を反映した予測値と、異常状態において観測される実測値との差分値は閾値以下の値となることが考えられる。従って、変形例の場合には、差分値と閾値の大小関係、さらには、かかる大小関係が変化した時点における実測値と予測値との大小関係によってネットワーク異常の発生時刻および終了時刻を正確に検出することとしているのである。
以上、実施の形態によって本発明の説明を行ったが、本発明は上記の実施の形態に限定されることはなく、当業者であれば様々な実施例、変形例等に想到することが可能である。例えば、実施の形態では異常検出動作の際に必ず予測値を導出することとしたが、正常状態の場合の通過パケット数がある程度の範囲内に抑制されることが経験則上明らかなネットワークの場合には、一度導出した予測値を複数回の検出動作に使用しても良い。また、検出動作ごとに予測値を導出する場合であっても、係数については固定することとしても良い。かかる構成とした場合、実施の形態と比較して検出誤差が若干低下する可能性はあるものの、検出動作の際に必要となる計算量を低減できることからネットワーク異常検出装置の動作負担を低減し、迅速な異常検出動作が可能となる利点を有する。また、実施の形態では、許容誤差範囲として標準偏差に2を乗算した値を用いることとしているが、他の値を用いることも可能であり、観測対象のネットワークの特性等に応じて適宜変更することとしても良い。
また、実施の形態では、予測値の導出の際に用いる過去の実測値として、異常検出動作を行う時刻に近接する順に過去の実測値を選択することとしたが、かかる態様に限定されず、選択にあたって所定の条件を付すこととしても良い。例えば、検出対象のネットワークが、正常状態における通過パケット数が1日単位、1週間単位で大きく変動するといった特性を有する場合には、例えば検出時刻と同じ時刻、同じ曜日の実測値のみを用いて予測値を導出することとしても良い。また、予測値について(1)式の係数を導出する際に、最小自乗法以外の手法を用いることも可能であって、例えば、最尤法等を用いて係数を導出することとしても良い。
また、予測値を導出する際に用いる過去の実測値は、過去の異常検出動作において正常であると判断された時刻のもののみを用いることも有効である。ネットワークが異常状態の際における実測値を予測値の導出に用いると、予測値が好ましい値から変位する可能性が生じるためである。
さらに、実施の形態ではネットワーク異常検出装置をネットワーク途上に独立して配置した構成としたが、配置場所について限定して解釈する必要はない。例えば、エッジ・ルータ(Edge Router)や、コア・ルータ(Core Router)等のルータ内部に内蔵した構成としても良い。なお、ネットワーク異常検出装置は上記のように任意の場所に配置することが可能だが、エッジ・ルータ内またはエッジ・ルータと同様ネットワークの入り口近傍に配置することが好ましい。これは、ネットワークの中枢でネットワーク異常の検出を行う構成とすると、DoS攻撃による通過パケット数の増加が、他の通常のパケット数の変動の中に埋もれてしまって異常検出が困難になることを防ぐためである。また、近年ネットワーク上の複数の端末を乗っ取って攻撃を行ういわゆる分散型DoS攻撃が知られており、かかる攻撃の検出も要請されている。一方、分散型DoS攻撃は複数の端末を用いることから、攻撃に使用されるパケットは、異なる経路を通過した後、最終的に攻撃対象の端末に到達するのが通常である。従って、パケット数の増減からネットワーク異常の検出を行う本発明においては、パケットが集中する攻撃対象の端末の近傍に配置することが好ましい。同様の観点から、実施の形態にかかるネットワーク異常検出装置を、各端末に備えた構造とすることも好ましい。
また、ネットワーク異常検出装置は、実施の形態で説明した機能を実現可能なハードウェア的な構造としても良いが、必要な機能をパーソナルコンピュータ等の計算機上で実行可能なプログラムによって実現する構成としても良い。一般的なパーソナルコンピュータはCPU等の演算機構を備え、ハードディスク等の記憶部を備えることから、必要な処理を記述したプログラムを用いることによってネットワーク異常検出装置を実現することが可能である。
1 ネットワーク異常検出装置
2 パケット数測定部
3 制御部
3a 予測値導出部
3b 誤差導出部
3c 異常判定部
3d 許容誤差範囲導出部
4 記憶部
5 出力部
703 ネットワーク
806 攻撃判定部
807 パケットモニタ部
808 攻撃パターンデータベース
2 パケット数測定部
3 制御部
3a 予測値導出部
3b 誤差導出部
3c 異常判定部
3d 許容誤差範囲導出部
4 記憶部
5 出力部
703 ネットワーク
806 攻撃判定部
807 パケットモニタ部
808 攻撃パターンデータベース
Claims (8)
- 測定対象ネットワークにおける所望時刻のパケット数の実測値を測定するパケット数測定手段と、
測定対象ネットワークにおける異なる複数の時間に実測されたパケット数に基づいて、前記所望時刻におけるパケット数の予測値を導出するパケット予測値導出手段と、
前記予測値と前記実測値との間の誤差を導出する誤差導出手段と、
前記誤差と所定の許容誤差範囲とを比較して前記所望時刻におけるネットワーク異常の有無を判定する異常判定手段と、
を備えたことを特徴とするネットワーク異常検出装置。 - 前記許容誤差範囲は、前記所望時刻と異なる時刻における実測値と、前記異なる時刻における予測値との間の誤差の分布に基づいて決定されることを特徴とする請求項1に記載のネットワーク異常検出装置。
- 前記許容誤差範囲は、前記所望時刻と異なる複数の時刻における実測値と予測値との間の誤差分布から導出された平均値と、前記誤差分布から導出された標準偏差に2を乗算した値との差分値よりも大きく、前記平均値と前記標準偏差に2を乗算した値との和よりも小さくなる範囲であって、前記異常判定手段は、前記誤差が前記許容誤差範囲を逸脱した場合にネットワーク異常を有すると判定することを特徴とする請求項1または2に記載のネットワーク異常検出装置。
- 前記予測値は、異なる複数の時間に実測されたパケット数の線形結合によって形成され、該線形結合における各項の係数は、最小自乗法によって導出されることを特徴とする請求項1〜3のいずれか一つに記載のネットワーク異常検出装置。
- 測定対象ネットワークにおける異なる複数の時刻に実測されたパケット数に基づいて、所望時刻のパケット数の予測値を導出するパケット予測値導出工程と、
測定対象ネットワークにおける前記所望時刻のパケット数の実測値を測定するパケット数測定工程と、
前記予測値と前記実測値との間の誤差を導出する誤差導出工程と、
前記誤差と許容誤差範囲とを比較して前記所望時刻におけるネットワーク異常の有無を判定する異常判定工程と、
を含むことを特徴とするネットワーク異常検出方法。 - 前記許容誤差範囲は、前記所望時刻と異なる複数の時刻における実測値と予測値との間の誤差分布から導出された平均値と、前記誤差分布から導出された標準偏差との差分値よりも大きく、前記平均値と前記標準偏差との和未満となる数値範囲であって、前記異常判定工程において、前記誤差が前記許容誤差範囲を逸脱した場合にネットワーク異常を有すると判定することを特徴とする請求項5に記載のネットワーク異常検出方法。
- 前記予測値は、異なる複数の時間に実測されたパケット数の線形結合によって形成され、該線形結合における各項の係数は、最小自乗法によって導出されることを特徴とする請求項5または6に記載のネットワーク異常検出方法。
- 請求項5〜7のいずれか一つに記載の方法を計算機に実行させることを特徴とするネットワーク異常検出プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003325058A JP2005094361A (ja) | 2003-09-17 | 2003-09-17 | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003325058A JP2005094361A (ja) | 2003-09-17 | 2003-09-17 | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005094361A true JP2005094361A (ja) | 2005-04-07 |
Family
ID=34455618
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003325058A Pending JP2005094361A (ja) | 2003-09-17 | 2003-09-17 | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2005094361A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009065277A (ja) * | 2007-09-04 | 2009-03-26 | Kddi Corp | 情報収集装置、通信異常検知装置およびコンピュータプログラム |
| WO2012053140A1 (ja) * | 2010-10-20 | 2012-04-26 | 日本電気株式会社 | サービス管理装置、表示方法およびプログラム |
| JP2014509015A (ja) * | 2011-02-24 | 2014-04-10 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ネットワーク・イベント管理のための装置、方法、およびコンピュータ・プログラム |
| JP2019169801A (ja) * | 2018-03-22 | 2019-10-03 | 株式会社国際電気通信基礎技術研究所 | 無線状況予測装置、無線状況予測方法、および、プログラム |
| JPWO2021024351A1 (ja) * | 2019-08-05 | 2021-02-11 |
-
2003
- 2003-09-17 JP JP2003325058A patent/JP2005094361A/ja active Pending
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009065277A (ja) * | 2007-09-04 | 2009-03-26 | Kddi Corp | 情報収集装置、通信異常検知装置およびコンピュータプログラム |
| US8422371B2 (en) | 2007-09-04 | 2013-04-16 | Kddi Corporation | Information collection device, communication error detection device, and computer program |
| WO2012053140A1 (ja) * | 2010-10-20 | 2012-04-26 | 日本電気株式会社 | サービス管理装置、表示方法およびプログラム |
| JPWO2012053140A1 (ja) * | 2010-10-20 | 2014-02-24 | 日本電気株式会社 | サービス管理装置、表示方法およびプログラム |
| JP5888239B2 (ja) * | 2010-10-20 | 2016-03-16 | 日本電気株式会社 | サービス管理装置、表示方法およびプログラム |
| US9158614B2 (en) | 2010-10-20 | 2015-10-13 | Nec Corporation | Service management device, display method, and information storage medium |
| US9191296B2 (en) | 2011-02-24 | 2015-11-17 | International Business Machines Corporation | Network event management |
| US9239988B2 (en) | 2011-02-24 | 2016-01-19 | International Business Machines Corporation | Network event management |
| JP2014509015A (ja) * | 2011-02-24 | 2014-04-10 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ネットワーク・イベント管理のための装置、方法、およびコンピュータ・プログラム |
| JP2019169801A (ja) * | 2018-03-22 | 2019-10-03 | 株式会社国際電気通信基礎技術研究所 | 無線状況予測装置、無線状況予測方法、および、プログラム |
| JP6999936B2 (ja) | 2018-03-22 | 2022-01-19 | 株式会社国際電気通信基礎技術研究所 | 無線状況予測装置、無線状況予測方法、および、プログラム |
| JPWO2021024351A1 (ja) * | 2019-08-05 | 2021-02-11 | ||
| WO2021024351A1 (ja) * | 2019-08-05 | 2021-02-11 | 日本電信電話株式会社 | 異常推定装置、異常検出装置、異常検出方法、異常検出プログラム |
| JP7248127B2 (ja) | 2019-08-05 | 2023-03-29 | 日本電信電話株式会社 | 異常推定装置、異常検出装置、異常検出方法、異常検出プログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7137582B2 (ja) | デジタル電気線路の完全性を検証する方法 | |
| Ingham et al. | Comparing anomaly detection techniques for http | |
| KR101061375B1 (ko) | Uri 타입 기반 디도스 공격 탐지 및 대응 장치 | |
| KR20190084946A (ko) | 사용자 이상행동 검측 방법, 장치 및 시스템 | |
| KR20190075861A (ko) | DoS/DDoS 공격의 탐지 방법, 장치, 서버 및 저장 매체 | |
| CN107508815B (zh) | 基于网站流量分析预警方法及装置 | |
| JP4573179B2 (ja) | 性能負荷異常検出システム、性能負荷異常検出方法、及びプログラム | |
| JP2007047884A (ja) | 情報処理システム | |
| CN106326736B (zh) | 数据处理方法及系统 | |
| CN116502166B (zh) | 一种对目标设备故障预测的方法、装置、设备和介质 | |
| CN107426136B (zh) | 一种网络攻击的识别方法和装置 | |
| US9230105B1 (en) | Detecting malicious tampering of web forms | |
| JP2005094361A (ja) | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム | |
| JP3942628B1 (ja) | 不正操作監視プログラム、不正操作監視方法、及び不正操作監視システム | |
| JP2013150083A (ja) | ネットワーク異常検出装置およびネットワーク異常検出方法 | |
| JPWO2019240020A1 (ja) | 不正通信検知装置、不正通信検知方法及び製造システム | |
| JP7296470B2 (ja) | 分析装置及び分析方法 | |
| Qu et al. | A control scheme integrating the T chart and TCUSUM chart | |
| JP2007183911A (ja) | 不正操作監視プログラム、不正操作監視方法、及び不正操作監視システム | |
| Zhang et al. | A prediction-based detection algorithm against distributed denial-of-service attacks | |
| JP2006279338A (ja) | セキュリティ情報交換による評価指標算出に基いたセキュリティ管理装置、セキュリティ管理方法、およびセキュリティ管理プログラム | |
| CN108270746B (zh) | 用户访问请求处理方法及装置 | |
| Wang et al. | A framework for security quantification of networked machines | |
| WO2022025149A1 (ja) | 監視装置、監視方法およびプログラム | |
| EP3796195B1 (en) | Abnormality detection device and abnormality detection method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20041228 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060915 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20060915 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20060915 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080929 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090225 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090701 |