JP2005203992A - ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム - Google Patents
ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム Download PDFInfo
- Publication number
- JP2005203992A JP2005203992A JP2004007344A JP2004007344A JP2005203992A JP 2005203992 A JP2005203992 A JP 2005203992A JP 2004007344 A JP2004007344 A JP 2004007344A JP 2004007344 A JP2004007344 A JP 2004007344A JP 2005203992 A JP2005203992 A JP 2005203992A
- Authority
- JP
- Japan
- Prior art keywords
- network
- abnormality
- abnormality detection
- feature amount
- predetermined
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【解決手段】ネットワークの回線状態の異常を検出するネットワーク異常検出装置であって、特徴量抽出手段13は、ネットワークに流れるパケット情報から所定の特徴量を抽出し、通常状態定義手段14は、抽出された特徴量に基づいてネットワークの異常検出の基準となるネットワーク通常状態を定義し、逸脱度判定手段15は、ネットワーク通常状態からの逸脱度を判定する。特に、通常状態定義手段14に備えられた多項分布生成部141〜14pは、所定の特徴量のヒストグラムを多項分布として構築する。
【選択図】 図1
Description
Xk=r*Pk-1+Sk
によって算出し、該算出された度数ベクトルXkに基づいて算出される前記検定統計量Tkを、
(実施の形態1の装置の構成)
図1は、実施の形態1にかかるネットワーク異常検出装置の構成を示すブロック図である。同図に示すように、実施の形態1にかかるネットワーク異常検出装置10は、タッピング装置11によって収集された監視対象ネットワークに流れるパケットを記憶(保持)する記憶部12と、収集されたパケット情報から所定の特徴量を抽出する特徴量抽出手段13と、抽出された特徴量に基づいてネットワークの異常検出の基準となる状態、すなわち、ネットワーク通常状態を定義する通常状態定義手段14と、ネットワーク通常状態からの逸脱度、すなわちネットワーク通常状態からどの程度懸け離れた状態にあるか否かを判定する逸脱度判定手段15と、逸脱していると判定された場合にアラート(警報)を出力するアラート出力部16とを備えている。
ここで、ネットワークの通常状態の定義について説明する。上述したように、ネットワークの異常状態を検出するためには、初めに、ネットワークの通常状態を定義しなければならない。ネットワークには様々な特徴を持ったトラヒックが混在しているため、全体を捉えようとすると通常状態を定義付けることができる情報のみを抽出することができない。つまり、トラヒックの観測単位が重要となる。トラヒックをどのような基準で観測し、そこからどのような情報を抽出するかには様々な手法がある。本願においては、フロー単位の観測を用いることにした。
図2において、クライアントは、サーバに対するコネクション確立要求として、「SYN」フラグを「ON」に設定したTCPパケットをサーバに送信する(ステップSB100)。サーバでは、あらかじめサービスごとに定められているポート(通信ポート)の使用可否の判定を行う(SB101)。クライアントからのコネクション確立要求を受諾したサーバは、「ACK」および「SYN」フラグを「ON」に設定したTCPパケットをクライアントに送信する(ステップSB102)。クライアントでは、コネクション確立の確認応答を表す「ACK」フラグを「ON」に設定したTCPパケットをサーバに送信する(ステップSB103)。以上のコネクションにて、TCPのコネクションが確立される(ステップSB104)。このように、コネクションが確立された状態においては、クライアントとサーバとの間で、任意の通信が行われる。
つぎに、TCPコネクションの開放について説明する。図2に示すようにコネクションが確立された状態において、クライアントは、サーバに対するコネクション開放要求として、「FIN」フラグを「ON」に設定したTCPパケットをサーバに送信する(ステップSB105)。サーバは、クライアントからのコネクション開放要求を受諾した旨を意味する「ACK」フラグを「ON」に設定したTCPパケットをクライアントに送信し(ステップSB106)、さらに、コネクション開放要求を意味する「FIN」フラグを「ON」に設定したTCPパケットをクライアントに送信する(ステップSB107)。クライアントでは、コネクション開放要求を受諾した旨を意味する「ACK」フラグを「ON」に設定したTCPパケットをクライアントに送信する(ステップSB108)。以上のコネクションにて、TCPのコネクションが開放される。
図3は、実施の形態1で取り扱う特徴量の一例を示す図表である。上記において、この実施の形態では、7つの特徴量を扱うことについて若干触れているが、具体的には、同図に示すような、フロー継続時間、受信パケット数、送信パケット数、受信バイト数、送信バイト数、パケットあたりの受信バイト数、およびパケットあたりの送信バイト数、の7つの特徴量を代表的な特徴量として取り扱うようにしている。
つぎに、実施の形態1にかかるネットワーク異常検出装置の動作について説明する。図4は、実施の形態1にかかるネットワーク異常検出装置の全体動作を示すフローチャートであり、図5〜図7は、実施の形態1にかかるネットワーク異常検出装置の一部の処理の細部動作を示すフローチャートである。より詳細には、図5は、特徴量ヒストグラムの生成処理を示すフローチャートであり、図6は、検定統計量(Tk)の生成処理を示すフローチャートであり、図7は、特徴量ヒストグラムの更新処理を示すフローチャートである。ここでは、まず、図1に示すネットワーク異常検出装置10の各処理部が行う処理の概要について図4に示すフローチャートを用いて説明し、つぎに、特徴量ヒストグラムの生成処理、検定統計量(Tk)の生成処理および特徴量ヒストグラムの更新処理の各ステップの処理の詳細について、図5〜図7のそれぞれのフローチャートを用いて説明する。
この実施の形態のネットワーク異常検出装置の評価として、以下に示すデータセットを用いた実験を行った。
「1999 DARPA off−line intrusion detection evaluation test set,http://www.ll.mit.edu/IST/ideval/index.html」
「Detecting Novel Attacks by Identyfying Anormalous Network Packet Headers,V.Mahoney and Philip K.Chan,Florida Institute of Technology Technical Report CS−2001−2」
(実施の形態2の装置の特徴)
実施の形態2の構成を説明する前に、実施の形態2の特徴を、実施の形態1の特徴との比較において説明する。まず、実施の形態1では、通常状態を定義する手段として特徴量の多項分布を用いているが、実施の形態2では、特徴量の確率分布を用いるようにしている。つぎに、実施の形態1では、逸脱度を判定する手段として適合度検定を用いているが、実施の形態2では、情報処理の分野では一般的な指標である、シャノンによって定義された「情報量」という単位を異常度を表現する指標として用いている。
図9は、実施の形態2にかかるネットワーク異常検出装置の構成を示すブロック図である。同図に示すネットワーク異常検出装置20は、実施の形態1にかかるネットワーク異常検出装置10の主要部の構成と同一である。すなわち、タッピング装置11によって収集された監視対象ネットワークに流れるパケットを記憶(保持)する記憶部12と、収集されたパケット情報から所定の特徴量を抽出する特徴量抽出手段13と、抽出された特徴量に基づいてネットワークの通常状態を定義する通常状態定義手段14と、ネットワークの通常状態からの逸脱度、すなわちネットワーク通常状態からどの程度懸け離れた状態にあるか否かを判定する逸脱度判定手段15と、逸脱していると判定された場合にアラート(警報)を出力するアラート出力部16とを備えている。
図10は、実施の形態2で取り扱う特徴量の一例を示す図表である。同図に示すように、この実施の形態では、13の特徴量を扱うようにしている。すなわち、具体的には、フロー継続時間、パケット時間間隔平均、パケット時間間隔標準偏差、パケット時間間隔変動係数、総パケット数、受信パケット数、送信パケット数、総バイト数、受信バイト数、送信バイト数、パケットあたりの総バイト数、パケットあたりの受信バイト数、およびパケットあたりの送信バイト数、の13の特徴量である。なお、ここに示す特徴量は代表的な特徴量を示したものであり、この13の特徴量に限定されるものではない。また、特徴量の数に関しても、この実施の形態の13という数は、一例を示したものであり、算出時間や検出精度などとの関係を考慮して、1以上の任意の数とすることができる。
つぎに、実施の形態2にかかるネットワーク異常検出装置の動作について説明する。図11は、実施の形態2にかかるネットワーク異常検出装置の動作を示すフローチャートである。図11において、図9に示す通常状態定義手段14の確率分布生成部211〜21pによって確率分布の生成処理が行われる(ステップS501)。ここでいう確率分布とは、例えば、各特徴量の値を確率変数とする正規分布などが用いられる。なお、後述する動作説明では、確率変数の変換処理によって正規分布を標準正規分布に変換する処理を行っているが、異常度を求めるという本質的な点において両者の差異はない。
図12は、ある攻撃が行われた場合の異常度の分布の一例を示すグラフである。より詳細には、一般的なHTTP通信の際に発生するフローと、所定のポート(80番ポート)に対する攻撃の際に発生するフローについて、それぞれ図10に示す13種の特徴量から算出した異常度を示している。同図において、K1は「PORTSWEEP」と呼ばれる1回目の攻撃(フロー番号:169)に関する異常度の分布であり、K2は「PORTSWEEP」による2回目の攻撃(フロー番号:872)に対する異常度の分布である。同様に、K3は、「APACHE2」と呼ばれる1回目の攻撃(フロー番号:1409〜1482,1484〜1522,1524〜1852,1854〜2085,2087〜2400)に対する異常度の分布であり、K4は、「APACHE2」による2回目の攻撃(フロー番号:4109〜4460)に対する異常度の分布である。また、それ以外の分布は、HTTP通信に対する分布を示している。同図にも示しているように、しきい値Q3の値を7.5程度に設定すれば、これらの時間帯において行われた上記4つの攻撃のすべてを検出できることがわかる。
11 タッピング装置
12 記憶部
13 特徴量抽出手段
131〜13p 特徴量抽出部
14 通常状態定義手段
141〜14p 多項分布生成部
15 逸脱度判定手段
151〜15p 適合度検定部
16 アラート出力部
20 ネットワーク異常検出装置
211〜21p 確率分布生成部
221〜22p 異常度算出部
23 合成手段
24 異常度判定部
Claims (20)
- ネットワークの回線状態の異常を検出するネットワーク異常検出装置であって、
ネットワークに流れるパケット情報から所定の特徴量を抽出する特徴量抽出手段と、
抽出された特徴量に基づいてネットワークの異常検出の基準となるネットワーク通常状態を定義する通常状態定義手段と、
ネットワーク通常状態からの逸脱度を判定する逸脱度判定手段と、
を備え、
前記通常状態定義手段は、前記所定の特徴量のヒストグラムを多項分布として構築する多項分布生成部を備えたことを特徴とするネットワーク異常検出装置。 - 前記逸脱度判定手段は、前記多項分布生成部で定義され、前記特徴量抽出手段から伝達された特徴量に基づいて更新される予定の多項分布が、通常状態と比較してどの程度逸脱した状態にあるのかを判定する適合度検定部を備えたことを特徴とする請求項1に記載のネットワーク異常検出装置。
- 前記適合度検定部は、所定の時間内におけるネットワークの状態の逸脱度を示す指標として検定統計量を用いることを特徴とする請求項2に記載のネットワーク異常検出装置。
- 前記所定の重み付け係数rとして、所定のTCPストリーム数を半減期とすることによって決定される係数を用いることを特徴とする請求項4に記載のネットワーク異常検出装置。
- 前記逸脱度判定手段は、前記検定統計量と、所定の第1のしきい値と、の比較結果に基づいてアラート情報の報知処理を行うことを特徴とする請求項3〜5のいずれか一つに記載のネットワーク異常検出装置。
- 前記通常状態定義手段は、前記検定統計量と、所定の第2のしきい値と、の比較結果に基づいて前記多項分布を更新することを特徴とする請求項3〜5のいずれか一つに記載のネットワーク異常検出装置。
- 前記逸脱度判定手段は、前記検定統計量と、所定の第1のしきい値と、の比較結果に基づいてアラート情報の報知処理を行い、
前記通常状態定義手段は、前記検定統計量と、所定の第2のしきい値と、の比較結果に基づいて前記多項分布を更新することを特徴とする請求項3〜5のいずれか一つに記載のネットワーク異常検出装置。 - 前記通常状態定義手段は、前記検定統計量と、所定の第2のしきい値とを比較し、
前記検定統計量が前記所定の第2のしきい値よりも小さい場合に、前記度数ベクトルXkをk番目のフローでの多項分布Pkとし、
前記検定統計量が前記所定の第2のしきい値よりも大きい場合に、前記(k−1)番目のフローでの多項分布Pk−1をk番目のフローでの多項分布Pkとして用いることを特徴とする請求項4〜8のいずれか一つに記載のネットワーク異常検出装置。 - ネットワークの回線状態の異常を検出するネットワーク異常検出装置であって、
ネットワークに流れるパケット情報から所定の特徴量を抽出する特徴量抽出手段と、
抽出された特徴量に基づいてネットワークの異常検出の基準となるネットワーク通常状態を定義する通常状態定義手段と、
ネットワーク通常状態からの逸脱度を判定する逸脱度判定手段と、
を備え、
前記通常状態定義手段は、前記所定の特徴量の分布を確率分布として生成する確率分布生成部を備えたことを特徴とするネットワーク異常検出装置。 - 前記逸脱度判定手段は、
観測時点で得られた特徴量の存在確率を用いて該特徴量ごとの個々の異常度を算出する異常度算出部と、
前記異常度算出部からそれぞれ出力された前記個々の異常度に基づいてネットワークの異常度を判定する異常度判定部と、
を備えたことを特徴とする請求項10に記載のネットワーク異常検出装置。 - 前記確率分布生成部が生成する確率分布が、正規分布であることを特徴とする請求項10または11に記載のネットワーク異常検出装置。
- 前記確率分布生成部が生成する確率分布が、標準正規分布であることを特徴とする請求項10または11に記載のネットワーク異常検出装置。
- 前記異常度算出部によって算出される異常度として、シャノンの情報量を用いることを特徴とする請求項11〜13のいずれか一つに記載のネットワーク異常検出装置。
- 前記異常度判定部は、前記異常度算出部からそれぞれ出力された前記個々の異常度の合成出力と、所定のしきい値と、の比較結果に基づいてアラート情報の報知処理を行うことを特徴とする請求項11〜14のいずれか一つに記載のネットワーク異常検出装置。
- ネットワークの回線状態の異常を検出するネットワーク異常検出方法であって、
ネットワークに流れるパケット情報から抽出された特徴量に基づいてネットワークの異常検出の基準となる特徴量ヒストグラムを生成する特徴量ヒストグラム生成処理ステップと、
前記特徴量ごとにそれぞれの検定統計量を生成する検定統計量生成ステップと、
前記検定統計量と、所定の第1のしきい値との比較処理に基づいてアラート情報の報知処理を行うアラート報知処理ステップと、
を含むことを特徴とするネットワーク異常検出方法。 - 前記検定統計量と、前記所定の第1のしきい値と、の比較処理結果に基づいて前記特徴量ヒストグラムの更新処理を行う特徴量ヒストグラム更新処理ステップさらに含むことを特徴とする請求項16に記載のネットワーク異常検出方法。
- ネットワークの回線状態の異常を検出するネットワーク異常検出方法であって、
ネットワークに流れるパケット情報から抽出された特徴量に基づいてネットワークの異常検出の基準となる確率分布を生成する確率分布生成処理ステップと、
前記特徴量ごとに個々の異常度を算出する異常度算出処理ステップと、
前記個々の異常度の合成出力と、所定のしきい値と、の比較処理に基づいてアラート情報の報知処理を行うアラート報知処理ステップと、
を含むことを特徴とするネットワーク異常検出方法。 - 前記個々の異常度の合成出力と、前記所定のしきい値と、の比較処理結果に基づいて前記確率分布の更新処理を行うことを特徴とする請求項18に記載のネットワーク異常検出方法。
- 請求項16〜19のいずれか一つに記載の方法を電子計算機に実行させることを特徴とするネットワーク異常検出プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004007344A JP2005203992A (ja) | 2004-01-14 | 2004-01-14 | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004007344A JP2005203992A (ja) | 2004-01-14 | 2004-01-14 | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005203992A true JP2005203992A (ja) | 2005-07-28 |
Family
ID=34821019
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004007344A Pending JP2005203992A (ja) | 2004-01-14 | 2004-01-14 | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005203992A (ja) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005236862A (ja) * | 2004-02-23 | 2005-09-02 | Kddi Corp | ログ分析装置、ログ分析プログラムおよび記録媒体 |
JP2007179542A (ja) * | 2005-12-27 | 2007-07-12 | Samsung Electronics Co Ltd | ネットワーク侵入探知システム及びその探知方法 |
JP2008252427A (ja) * | 2007-03-30 | 2008-10-16 | Kyushu Univ | 検出装置、検出方法、通信制御方法、履歴空間データ生産方法、及びこれらの方法をコンピュータに実行させることが可能なプログラム |
JP2008311720A (ja) * | 2007-06-12 | 2008-12-25 | Nippon Telegr & Teleph Corp <Ntt> | 基準値予測方法とシステムおよびプログラム |
JP2009065277A (ja) * | 2007-09-04 | 2009-03-26 | Kddi Corp | 情報収集装置、通信異常検知装置およびコンピュータプログラム |
JP2013081004A (ja) * | 2011-09-30 | 2013-05-02 | Toshiba Corp | サーバ、サーバ制御方法、サーバ制御プログラム |
WO2016038869A1 (ja) * | 2014-09-10 | 2016-03-17 | 日本電気株式会社 | イベント推定装置、イベント推定方法、及び、イベント推定プログラムが格納された記録媒体 |
JP2017097625A (ja) * | 2015-11-24 | 2017-06-01 | 富士通株式会社 | 判定プログラム、判定方法、および判定装置 |
-
2004
- 2004-01-14 JP JP2004007344A patent/JP2005203992A/ja active Pending
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005236862A (ja) * | 2004-02-23 | 2005-09-02 | Kddi Corp | ログ分析装置、ログ分析プログラムおよび記録媒体 |
JP2007179542A (ja) * | 2005-12-27 | 2007-07-12 | Samsung Electronics Co Ltd | ネットワーク侵入探知システム及びその探知方法 |
JP2008252427A (ja) * | 2007-03-30 | 2008-10-16 | Kyushu Univ | 検出装置、検出方法、通信制御方法、履歴空間データ生産方法、及びこれらの方法をコンピュータに実行させることが可能なプログラム |
JP2008311720A (ja) * | 2007-06-12 | 2008-12-25 | Nippon Telegr & Teleph Corp <Ntt> | 基準値予測方法とシステムおよびプログラム |
JP4688083B2 (ja) * | 2007-06-12 | 2011-05-25 | 日本電信電話株式会社 | 基準値予測方法とシステムおよびプログラム |
JP2009065277A (ja) * | 2007-09-04 | 2009-03-26 | Kddi Corp | 情報収集装置、通信異常検知装置およびコンピュータプログラム |
US8422371B2 (en) | 2007-09-04 | 2013-04-16 | Kddi Corporation | Information collection device, communication error detection device, and computer program |
JP2013081004A (ja) * | 2011-09-30 | 2013-05-02 | Toshiba Corp | サーバ、サーバ制御方法、サーバ制御プログラム |
WO2016038869A1 (ja) * | 2014-09-10 | 2016-03-17 | 日本電気株式会社 | イベント推定装置、イベント推定方法、及び、イベント推定プログラムが格納された記録媒体 |
JP2016057875A (ja) * | 2014-09-10 | 2016-04-21 | 日本電気株式会社 | イベント推定装置、イベント推定方法、及び、イベント推定プログラム |
JP2017097625A (ja) * | 2015-11-24 | 2017-06-01 | 富士通株式会社 | 判定プログラム、判定方法、および判定装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5518872B2 (ja) | ネットワーク異常流量分析装置及び方法 | |
Wagner et al. | Entropy based worm and anomaly detection in fast IP networks | |
Blazek et al. | A novel approach to detection of “denial–of–service” attacks via adaptive sequential and batch–sequential change–point detection methods | |
US20040157556A1 (en) | System for intrusion detection | |
US20100268818A1 (en) | Systems and methods for forensic analysis of network behavior | |
CN110225037B (zh) | 一种DDoS攻击检测方法和装置 | |
US20120117254A1 (en) | Methods, Devices and Computer Program Products for Actionable Alerting of Malevolent Network Addresses Based on Generalized Traffic Anomaly Analysis of IP Address Aggregates | |
US7903657B2 (en) | Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor | |
JP2014060722A (ja) | 将来のネットワーク攻撃を検知及び予測するために、様々な指標と過去の攻撃事例を相関させ、攻撃に関する指標のプロファイルを作成するシステム及び方法 | |
CN109361673B (zh) | 基于流量数据样本统计和平衡信息熵估计的网络异常检测方法 | |
Ireland | Intrusion detection with genetic algorithms and fuzzy logic | |
JP2007179131A (ja) | イベント検出システム、管理端末及びプログラムと、イベント検出方法 | |
JP4324189B2 (ja) | 異常トラヒック検出方法およびその装置およびプログラム | |
US10681059B2 (en) | Relating to the monitoring of network security | |
JP2005203992A (ja) | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム | |
JP6470201B2 (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
JP2021527873A (ja) | プロトコルに依存しない異常検出 | |
CN108322454B (zh) | 一种网络安全检测方法及装置 | |
JP2005223847A (ja) | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム | |
JP2020014061A (ja) | 情報処理装置、通信検査方法及びプログラム | |
JP2008219525A (ja) | ネットワーク異常検知方法およびネットワーク異常検知システム | |
KR20110107880A (ko) | 패스트 정보 엔트로피와 능동형 이동평균 탐지기를 이용한 분산형 서비스 거부 공격 탐지 방법 | |
Marhas et al. | Anomaly detection in network traffic: A statistical approach | |
Celenk et al. | Anomaly detection and visualization using Fisher discriminant clustering of network entropy | |
JP4149366B2 (ja) | ネットワーク攻撃対策方法およびそのネットワーク装置、ならびにそのプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20060915 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20060915 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070112 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20081210 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090430 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090902 |