JP2005203992A - ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム - Google Patents
ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム Download PDFInfo
- Publication number
- JP2005203992A JP2005203992A JP2004007344A JP2004007344A JP2005203992A JP 2005203992 A JP2005203992 A JP 2005203992A JP 2004007344 A JP2004007344 A JP 2004007344A JP 2004007344 A JP2004007344 A JP 2004007344A JP 2005203992 A JP2005203992 A JP 2005203992A
- Authority
- JP
- Japan
- Prior art keywords
- network
- abnormality
- abnormality detection
- feature amount
- predetermined
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】ネットワークの異常検出を簡易な手段で、定量的に行うこと。
【解決手段】ネットワークの回線状態の異常を検出するネットワーク異常検出装置であって、特徴量抽出手段13は、ネットワークに流れるパケット情報から所定の特徴量を抽出し、通常状態定義手段14は、抽出された特徴量に基づいてネットワークの異常検出の基準となるネットワーク通常状態を定義し、逸脱度判定手段15は、ネットワーク通常状態からの逸脱度を判定する。特に、通常状態定義手段14に備えられた多項分布生成部141〜14pは、所定の特徴量のヒストグラムを多項分布として構築する。
【選択図】 図1
【解決手段】ネットワークの回線状態の異常を検出するネットワーク異常検出装置であって、特徴量抽出手段13は、ネットワークに流れるパケット情報から所定の特徴量を抽出し、通常状態定義手段14は、抽出された特徴量に基づいてネットワークの異常検出の基準となるネットワーク通常状態を定義し、逸脱度判定手段15は、ネットワーク通常状態からの逸脱度を判定する。特に、通常状態定義手段14に備えられた多項分布生成部141〜14pは、所定の特徴量のヒストグラムを多項分布として構築する。
【選択図】 図1
Description
この発明は、ネットワーク回線の異常検出に関するものであり、特に簡易な構成で未知の異常をも検出可能なネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラムに関するものである。
今や世界的規模にまで拡大したインターネットは、人類の社会的、経済的な基盤となり、その重要性は増すばかりである。重要性の増加に伴って、益々頻発する被害拡大が見られるのが、以前からも問題となっているネットワークに対する不正アクセスである。
ネットワーク管理者は、管理下のネットワークを常に安全かつ正常な状態に保つことが要求される。そこで広く用いられているのがファイアウォール(Fire Wall)や侵入検知装置(IDS:Intrusion DetectionSystem)である。
ファイアウォールは、あらかじめ設定されたルールに基づいてネットワークの入口において、異常なパケットを遮断することによって安全を確保するための手段である。このファイアウォールによって行われる処理は、不必要なトラヒックを侵入させないという概念であるため、ルールによっては、ある程度の安全を確保できるという確立された方式である。しかし、それだけでは完全な安全確保を期待することができないため、IDSを併用することになる。IDSには既知の不正トラヒックの特徴(シグネチャ)を利用した不正アクセスの検出機能があり、この検出機能を用いることによって、既知の不正アクセスに対しては、ほぼ完全な検出が可能である(例えば、非特許文献1を参照)。
武田圭史、磯崎宏「ネットワーク侵入検知」、ソフトバンクパブリッシング株式会社、2000
しかしながら、近時、DoS攻撃などに代表される未知の不正アクセス、ネットワークに対する妨害、あるいは突発的に起こるネットワーク障害などを検出するネットワークの異常検出が問題となっている。これらのネットワーク異常検出の分野においても多数の研究がなされているが、必ずといっていいほど問題になる点は、「通常状態をいかに定義するか」という点にある。そもそも、ネットワーク状態を通常状態と異常状態の2者択一に定義することはきわめて困難である。また、通常状態の定義が複雑な場合には、通常状態そのものを定義するのに多大な時間を要し、ネットワークの異常検出を迅速に行うことができないという問題点も存在する。
この発明は、上述した従来の欠点に鑑みてなされたものであり、簡易な手段にて定量的に定義されたネットワークの通常状態に基づいてネットワークの異常検出を行うネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラムを提供することを目的とする。
上記目的を達成するため、請求項1にかかるネットワーク異常検出装置は、ネットワークの回線状態の異常を検出するネットワーク異常検出装置であって、ネットワークに流れるパケット情報から所定の特徴量を抽出する特徴量抽出手段と、抽出された特徴量に基づいてネットワークの異常検出の基準となるネットワーク通常状態を定義する通常状態定義手段と、ネットワーク通常状態からの逸脱度を判定する逸脱度判定手段と、を備え、前記通常状態定義手段は、前記所定の特徴量のヒストグラムを多項分布として構築する多項分布生成部を備えたことを特徴とする。
この請求項1の発明によれば、特徴量抽出手段は、ネットワークに流れるパケット情報から所定の特徴量を抽出し、通常状態定義手段の多項分布生成部は、ネットワーク通常状態を表すものとして、抽出された所定の特徴量に基づいて、ネットワークの異常検出の基準となる、特徴量ヒストグラムを構築するようにしている。
また、請求項2にかかるネットワーク異常検出装置は、上記の発明において、前記逸脱度判定手段は、前記多項分布生成部で定義され、前記特徴量抽出手段から伝達された特徴量に基づいて更新される予定の多項分布が、通常状態と比較してどの程度逸脱した状態にあるのかを判定する適合度検定部を備えたことを特徴とする。
また、請求項3にかかるネットワーク異常検出装置は、上記の発明において、前記適合度検定部は、所定の時間内におけるネットワークの状態の逸脱度を示す指標として検定統計量を用いることを特徴とする。
また、請求項4にかかるネットワーク異常検出装置は、上記の発明において、前記特徴量抽出手段によって抽出されたk番目のフローでのTCPストリーム値をSkとし、(k−1)番目のフローまでのTCPストリーム値によって生成される多項分布Pk-1とし、所定の重み付け係数rとするとき、k番目のフローが終了した時点において更新される予定の多項分布の度数を表す度数ベクトルXkを、
Xk=r*Pk-1+Sk
によって算出し、該算出された度数ベクトルXkに基づいて算出される前記検定統計量Tkを、
によって算出することを特徴とする。
Xk=r*Pk-1+Sk
によって算出し、該算出された度数ベクトルXkに基づいて算出される前記検定統計量Tkを、
また、請求項5にかかるネットワーク異常検出装置は、上記の発明において、前記所定の重み付け係数rとして、所定のTCPストリーム数を半減期とすることによって決定される係数を用いることを特徴とする。
また、請求項6にかかるネットワーク異常検出装置は、上記の発明において、前記逸脱度判定手段は、前記検定統計量と、所定の第1のしきい値と、の比較結果に基づいてアラート情報の報知処理を行うことを特徴とする。
また、請求項7にかかるネットワーク異常検出装置は、上記の発明において、前記通常状態定義手段は、前記検定統計量と、所定の第2のしきい値と、の比較結果に基づいて前記多項分布を更新することを特徴とする。
また、請求項8にかかるネットワーク異常検出装置は、上記の発明において、前記逸脱度判定手段は、前記検定統計量と、所定の第1のしきい値と、の比較結果に基づいてアラート情報の報知処理を行い、前記通常状態定義手段は、前記検定統計量と、所定の第2のしきい値と、の比較結果基づいて前記多項分布を更新することを特徴とする。
また、請求項9にかかるネットワーク異常検出装置は、上記の発明において、前記通常状態定義手段は、前記検定統計量と、所定の第2のしきい値とを比較し、前記検定統計量が前記所定の第2のしきい値よりも小さい場合に、前記度数ベクトルXkをk番目のフローでの多項分布Pkとし、前記検定統計量が前記所定の第2のしきい値よりも大きい場合に、前記(k−1)番目のフローでの多項分布Pk−1をk番目のフローでの多項分布Pkとして用いることを特徴とする。
また、請求項10にかかるネットワーク異常検出装置は、ネットワークの回線状態の異常を検出するネットワーク異常検出装置であって、ネットワークに流れるパケット情報から所定の特徴量を抽出する特徴量抽出手段と、抽出された特徴量に基づいてネットワークの異常検出の基準となるネットワーク通常状態を定義する通常状態定義手段と、ネットワーク通常状態からの逸脱度を判定する逸脱度判定手段と、を備え、前記通常状態定義手段は、前記所定の特徴量の分布を確率分布として生成する確率分布生成部を備えたことを特徴とする。
また、請求項11にかかるネットワーク異常検出装置は、上記の発明において、前記逸脱度判定手段は、観測時点で得られた特徴量の存在確率を用いて該特徴量ごとの個々の異常度を算出する異常度算出部と、前記異常度算出部からそれぞれ出力された前記個々の異常度に基づいてネットワークの異常度を判定する異常度判定部と、を備えたことを特徴とする。
また、請求項12にかかるネットワーク異常検出装置は、上記の発明において、前記確率分布生成部が生成する確率分布が、正規分布であることを特徴とする。
また、請求項13にかかるネットワーク異常検出装置は、上記の発明において、前記確率分布生成部が生成する確率分布が、標準正規分布であることを特徴とする。
また、請求項14にかかるネットワーク異常検出装置は、上記の発明において、前記異常度算出部によって算出される異常度として、シャノンの情報量を用いることを特徴とする。
また、請求項15にかかるネットワーク異常検出装置は、上記の発明において、前記異常度判定部は、前記異常度算出部からそれぞれ出力された前記個々の異常度の合成出力と、所定のしきい値と、の比較結果に基づいてアラート情報の報知処理を行うことを特徴とする。
また、請求項16にかかるネットワーク異常検出方法は、ネットワークの回線状態の異常を検出するネットワーク異常検出方法であって、ネットワークに流れるパケット情報から抽出された特徴量に基づいてネットワークの異常検出の基準となる特徴量ヒストグラムを生成する特徴量ヒストグラム生成処理ステップと、前記特徴量ごとにそれぞれの検定統計量を生成する検定統計量生成ステップと、前記検定統計量と、所定の第1のしきい値との比較処理に基づいてアラート情報の報知処理を行うアラート報知処理ステップと、を含むことを特徴とする。
また、請求項17にかかるネットワーク異常検出方法は、上記の発明において、前記検定統計量と、前記所定の第1のしきい値と、の比較処理結果に基づいて前記特徴量ヒストグラムの更新処理を行う特徴量ヒストグラム更新処理ステップさらに含むことを特徴とする。
また、請求項18にかかるネットワーク異常検出方法は、ネットワークの回線状態の異常を検出するネットワーク異常検出方法であって、ネットワークに流れるパケット情報から抽出された特徴量に基づいてネットワークの異常検出の基準となる確率分布を生成する確率分布生成処理ステップと、前記特徴量ごとに個々の異常度を算出する異常度算出処理ステップと、前記個々の異常度の合成出力と、所定のしきい値と、の比較処理に基づいてアラート情報の報知処理を行うアラート報知処理ステップと、を含むことを特徴とする。
また、請求項19にかかるネットワーク異常検出方法は、上記の発明において、前記個々の異常度の合成出力と、前記所定のしきい値と、の比較処理結果に基づいて前記確率分布の更新処理を行うことを特徴とする。
また、請求項20にかかるネットワーク異常検出プログラムは、請求項16〜19のいずれか一つに記載の方法を電子計算機に実行させることを特徴とする。
この発明にかかるネットワーク異常検出装置によれば、ネットワークに流れるパケット情報から所定の特徴量を抽出し、抽出された所定の特徴量に基づいてネットワークの異常検出の基準となる多項分布を構築するようにしているので、ネットワーク回線の評価を定量的に行うことができ、また、未知のネットワーク異常をも検出することができる。
また、この発明にかかるネットワーク異常検出装置によれば、ネットワークに流れるパケット情報から所定の特徴量を抽出し、抽出された所定の特徴量に基づいてネットワークの異常検出の基準となる確率分布を生成するようにしているので、ネットワーク回線の評価を定量的に行うことができ、また、未知のネットワーク異常をも検出することができる。
以下、図面を参照して、この発明の実施の形態であるネットワーク異常検出装置について説明する。なお、この実施の形態によりこの発明が限定されるものではない。
[実施の形態1]
(実施の形態1の装置の構成)
図1は、実施の形態1にかかるネットワーク異常検出装置の構成を示すブロック図である。同図に示すように、実施の形態1にかかるネットワーク異常検出装置10は、タッピング装置11によって収集された監視対象ネットワークに流れるパケットを記憶(保持)する記憶部12と、収集されたパケット情報から所定の特徴量を抽出する特徴量抽出手段13と、抽出された特徴量に基づいてネットワークの異常検出の基準となる状態、すなわち、ネットワーク通常状態を定義する通常状態定義手段14と、ネットワーク通常状態からの逸脱度、すなわちネットワーク通常状態からどの程度懸け離れた状態にあるか否かを判定する逸脱度判定手段15と、逸脱していると判定された場合にアラート(警報)を出力するアラート出力部16とを備えている。
(実施の形態1の装置の構成)
図1は、実施の形態1にかかるネットワーク異常検出装置の構成を示すブロック図である。同図に示すように、実施の形態1にかかるネットワーク異常検出装置10は、タッピング装置11によって収集された監視対象ネットワークに流れるパケットを記憶(保持)する記憶部12と、収集されたパケット情報から所定の特徴量を抽出する特徴量抽出手段13と、抽出された特徴量に基づいてネットワークの異常検出の基準となる状態、すなわち、ネットワーク通常状態を定義する通常状態定義手段14と、ネットワーク通常状態からの逸脱度、すなわちネットワーク通常状態からどの程度懸け離れた状態にあるか否かを判定する逸脱度判定手段15と、逸脱していると判定された場合にアラート(警報)を出力するアラート出力部16とを備えている。
特徴量抽出手段13は、例えば、TCPストリーム(特定のクライアント・サーバ間における一対の通信ポートによる単位)のような特定の通信単位において、この通信を特徴づけるために定義された所定の特徴量を抽出する特徴量抽出部131〜13pを備えている。特徴量の詳細については後述するが、この実施の形態では7つの特徴量を扱うようにしているので、図1においてp=7の場合に相当する。なお、扱う特徴量の数は7つに限られるものではなく、1以上の任意の数とすることができる。
通常状態定義手段14は、所定の特徴量ヒストグラムを多項分布として構築する多項分布生成部141〜14pを備えている。これらの多項分布生成部141〜14pの添字pは、特徴量抽出部131〜13pの添字にそれぞれ対応する。すなわち、多項分布生成部141〜14pでは、特徴量抽出部131〜13pから抽出された特徴量ごとに、この特徴量に対応した多項分布が生成される。
一方、逸脱度判定手段15は、通常状態を定義するものとして多項分布生成部141〜14pで定義された多項分布に基づいて、任意の時間帯に特徴量抽出部131〜13pからそれぞれ伝達された特徴量に基づいて、更新される予定の多項分布が通常状態と比較してどの程度逸脱した状態にあるのかを判定する適合度検定部151〜15pを備えている。
なお、図1において、逸脱度判定手段15から通常状態定義手段14に対して情報の流れを示す矢印の向きが示されている。この矢印は、異常状態を検出したときの特徴量データを通常状態を定義するデータとして用いるかどうかの判断を行うためのしきい値情報の伝達を示すものである。
(ネットワークの通常状態の定義)
ここで、ネットワークの通常状態の定義について説明する。上述したように、ネットワークの異常状態を検出するためには、初めに、ネットワークの通常状態を定義しなければならない。ネットワークには様々な特徴を持ったトラヒックが混在しているため、全体を捉えようとすると通常状態を定義付けることができる情報のみを抽出することができない。つまり、トラヒックの観測単位が重要となる。トラヒックをどのような基準で観測し、そこからどのような情報を抽出するかには様々な手法がある。本願においては、フロー単位の観測を用いることにした。
ここで、ネットワークの通常状態の定義について説明する。上述したように、ネットワークの異常状態を検出するためには、初めに、ネットワークの通常状態を定義しなければならない。ネットワークには様々な特徴を持ったトラヒックが混在しているため、全体を捉えようとすると通常状態を定義付けることができる情報のみを抽出することができない。つまり、トラヒックの観測単位が重要となる。トラヒックをどのような基準で観測し、そこからどのような情報を抽出するかには様々な手法がある。本願においては、フロー単位の観測を用いることにした。
ここでいうところのフローとは、RTFM(Realtime Traffic Flow Measurement)で定義されたものであり、一般的なトラヒックモデルとして定義されたものである。また、このRTFMは、ネットワークを流れるパケットを通信の両端末によって集約したものであり、プロトコル、送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号の5要素の同一組によって一つのフローが特定される。IPトラヒックの場合、ICMPトラヒックではポート番号の情報がないため、他の3要素による集約になるが、その際はタイムアウトを設けることでフローの終了を決定することができる。
フロー単位の観測を用いる理由は2つある。1つ目の理由は、タイムスロットによる集約方法等のように観測時間帯に依存することなく、2点間通信の独立した情報を抽出することができることにある。2つ目の理由は、状態を判別した際に原因となるホストの情報を迅速に得ることができることにある。特に、フロー単位で観測することで必然的に通信サービスの区別が明確になることは重要な点である。また、個々のサービスを独立させることで、そのサービスごとの特徴が際だち、適切なモデルを構築することができる。本願で提案するネットワーク異常検出装置、異常検出方法は、後述するようなサービスごとに独立した通常状態モデルを構築することで高精度の状態判別を可能としている。
つぎに実行しなければならないのが、トラヒック中のフローからネットワークの通常状態を定義する情報を抽出することにある。異常状態とは統計的に稀な状態にあることを意味する。つまり、ネットワークから抽出されたあるパラメータがトラヒックを構成する他のフローのパラメータと比べて稀な値をとる場合にそのパラメータの値を異常とすることができる。したがって、トラヒックの大部分を占める通常状態のモデルを構築するためには各フローから通常状態を定義付ける特徴量(統計量)を抽出する必要がある。
上述した事項に鑑み、この実施の形態では、IPトラヒックの中でも特に重要なTCPトラフィックに着目し、クライアント・サーバ間における一対の通信ポートによる通信単位であるTCPストリームから所定の特徴量を抽出するようにした。なお、図2は、TCP通信を行うために必要なTCPコネクションのフローを示す図である。ここでは、同図を用いて、「TCPコネクションの確立」および「TCPコネクションの開放」のフローの概要について説明する。
(TCPコネクションの確立)
図2において、クライアントは、サーバに対するコネクション確立要求として、「SYN」フラグを「ON」に設定したTCPパケットをサーバに送信する(ステップSB100)。サーバでは、あらかじめサービスごとに定められているポート(通信ポート)の使用可否の判定を行う(SB101)。クライアントからのコネクション確立要求を受諾したサーバは、「ACK」および「SYN」フラグを「ON」に設定したTCPパケットをクライアントに送信する(ステップSB102)。クライアントでは、コネクション確立の確認応答を表す「ACK」フラグを「ON」に設定したTCPパケットをサーバに送信する(ステップSB103)。以上のコネクションにて、TCPのコネクションが確立される(ステップSB104)。このように、コネクションが確立された状態においては、クライアントとサーバとの間で、任意の通信が行われる。
図2において、クライアントは、サーバに対するコネクション確立要求として、「SYN」フラグを「ON」に設定したTCPパケットをサーバに送信する(ステップSB100)。サーバでは、あらかじめサービスごとに定められているポート(通信ポート)の使用可否の判定を行う(SB101)。クライアントからのコネクション確立要求を受諾したサーバは、「ACK」および「SYN」フラグを「ON」に設定したTCPパケットをクライアントに送信する(ステップSB102)。クライアントでは、コネクション確立の確認応答を表す「ACK」フラグを「ON」に設定したTCPパケットをサーバに送信する(ステップSB103)。以上のコネクションにて、TCPのコネクションが確立される(ステップSB104)。このように、コネクションが確立された状態においては、クライアントとサーバとの間で、任意の通信が行われる。
(TCPコネクションの開放)
つぎに、TCPコネクションの開放について説明する。図2に示すようにコネクションが確立された状態において、クライアントは、サーバに対するコネクション開放要求として、「FIN」フラグを「ON」に設定したTCPパケットをサーバに送信する(ステップSB105)。サーバは、クライアントからのコネクション開放要求を受諾した旨を意味する「ACK」フラグを「ON」に設定したTCPパケットをクライアントに送信し(ステップSB106)、さらに、コネクション開放要求を意味する「FIN」フラグを「ON」に設定したTCPパケットをクライアントに送信する(ステップSB107)。クライアントでは、コネクション開放要求を受諾した旨を意味する「ACK」フラグを「ON」に設定したTCPパケットをクライアントに送信する(ステップSB108)。以上のコネクションにて、TCPのコネクションが開放される。
つぎに、TCPコネクションの開放について説明する。図2に示すようにコネクションが確立された状態において、クライアントは、サーバに対するコネクション開放要求として、「FIN」フラグを「ON」に設定したTCPパケットをサーバに送信する(ステップSB105)。サーバは、クライアントからのコネクション開放要求を受諾した旨を意味する「ACK」フラグを「ON」に設定したTCPパケットをクライアントに送信し(ステップSB106)、さらに、コネクション開放要求を意味する「FIN」フラグを「ON」に設定したTCPパケットをクライアントに送信する(ステップSB107)。クライアントでは、コネクション開放要求を受諾した旨を意味する「ACK」フラグを「ON」に設定したTCPパケットをクライアントに送信する(ステップSB108)。以上のコネクションにて、TCPのコネクションが開放される。
(実施の形態1で扱う特徴量の一例)
図3は、実施の形態1で取り扱う特徴量の一例を示す図表である。上記において、この実施の形態では、7つの特徴量を扱うことについて若干触れているが、具体的には、同図に示すような、フロー継続時間、受信パケット数、送信パケット数、受信バイト数、送信バイト数、パケットあたりの受信バイト数、およびパケットあたりの送信バイト数、の7つの特徴量を代表的な特徴量として取り扱うようにしている。
図3は、実施の形態1で取り扱う特徴量の一例を示す図表である。上記において、この実施の形態では、7つの特徴量を扱うことについて若干触れているが、具体的には、同図に示すような、フロー継続時間、受信パケット数、送信パケット数、受信バイト数、送信バイト数、パケットあたりの受信バイト数、およびパケットあたりの送信バイト数、の7つの特徴量を代表的な特徴量として取り扱うようにしている。
(実施の形態1の装置の動作)
つぎに、実施の形態1にかかるネットワーク異常検出装置の動作について説明する。図4は、実施の形態1にかかるネットワーク異常検出装置の全体動作を示すフローチャートであり、図5〜図7は、実施の形態1にかかるネットワーク異常検出装置の一部の処理の細部動作を示すフローチャートである。より詳細には、図5は、特徴量ヒストグラムの生成処理を示すフローチャートであり、図6は、検定統計量(Tk)の生成処理を示すフローチャートであり、図7は、特徴量ヒストグラムの更新処理を示すフローチャートである。ここでは、まず、図1に示すネットワーク異常検出装置10の各処理部が行う処理の概要について図4に示すフローチャートを用いて説明し、つぎに、特徴量ヒストグラムの生成処理、検定統計量(Tk)の生成処理および特徴量ヒストグラムの更新処理の各ステップの処理の詳細について、図5〜図7のそれぞれのフローチャートを用いて説明する。
つぎに、実施の形態1にかかるネットワーク異常検出装置の動作について説明する。図4は、実施の形態1にかかるネットワーク異常検出装置の全体動作を示すフローチャートであり、図5〜図7は、実施の形態1にかかるネットワーク異常検出装置の一部の処理の細部動作を示すフローチャートである。より詳細には、図5は、特徴量ヒストグラムの生成処理を示すフローチャートであり、図6は、検定統計量(Tk)の生成処理を示すフローチャートであり、図7は、特徴量ヒストグラムの更新処理を示すフローチャートである。ここでは、まず、図1に示すネットワーク異常検出装置10の各処理部が行う処理の概要について図4に示すフローチャートを用いて説明し、つぎに、特徴量ヒストグラムの生成処理、検定統計量(Tk)の生成処理および特徴量ヒストグラムの更新処理の各ステップの処理の詳細について、図5〜図7のそれぞれのフローチャートを用いて説明する。
図4において、図1に示す通常状態定義手段14の多項分布生成部141〜14pによって特徴量ヒストグラムの生成処理が行われる(ステップS101)。つぎに、逸脱度判定手段15の適合度検定部151〜15pによって検定統計量(Tk)の生成処理が行われる(ステップS102)。この検定統計量(Tk)は、所定の時間内におけるネットワークの状態が、通常状態からどの程度懸け離れた状態にあるか否かの逸脱度を判定するのに必要な指標であり、特徴量ごとにそれぞれの検定統計量(Tk)が生成される。
さらに、適合度検定部151〜15pでは検定統計量(Tk)と、所定のしきい値(Q1:第1のしきい値)との間の比較処理が行われ(ステップS103)、検定統計量(Tk)が第1のしきい値(Q1)よりも大きい場合には(ステップS103、Yes)、逸脱度判定手段15からアラート出力部16へアラート情報が通報され、アラート出力部16ではアラート報知処理が行われ(ステップS104)、通常状態定義手段14において特徴量ヒストグラムの更新処理が行われる(ステップS106)。一方、検定統計量(Tk)が第1のしきい値(Q1)以下の場合には(ステップS103、No)、アラート報知処理が行われず、特徴量ヒストグラムの更新処理だけが行われる(ステップS106)。
なお、ステップS104のアラート報知処理では、つぎの2つの処理が行われる。まず、アラート出力部16には、逸脱度が高いと判定された特徴量に関するアラート情報が逸脱度判定手段15から送信される。アラート出力部16では、送信されたアラート情報に基づいて、例えば、アラート情報の出力処理などが行われる。一方、通常状態定義手段14には、逸脱度が高いと判定された特徴量に関するアラート情報と、特徴量ごとの検定統計量(Tk)とが逸脱度判定手段15から送信される。通常状態定義手段14では、特徴量ごとの検定統計量(Tk)などに基づいて多項分布である特徴量ヒストグラムの更新処理を行うか否かが判断される。
ステップS106の特徴量ヒストグラムの更新処理が行われた後は、ステップS102の検定統計量(Tk)の生成処理に移行し、以後、同様な処理が繰り返される。なお、ネットワークに接続される機器(サーバ装置、クライアント装置など)の構成が大きく変化しない場合では、ステップS101の特徴量ヒストグラムの生成処理は初期段階において一度行っておけばよい。一方、ネットワークに接続される機器の構成が大きく変化した場合や、ネットワークの状態が大きく変化したような場合には、新たに特徴量ヒストグラムの生成処理を行うようにした方がよい。
つぎに、通常状態定義手段14によって行われる特徴量ヒストグラムの生成処理(ステップS101)について、図5を用いて説明する。同図において、特徴量ヒストグラムの生成処理を行う際に用いられるTCPストリーム数をNとし、ヒストグラムのクラス数をnとするとき、スタージェスの公式(n≒1+log2N)を用いてクラス数nが求められ(ステップS201)、このnを用いてクラス数nの特徴量ヒストグラムが生成され(ステップS202)、図4に示すステップS102の処理に移行する。
ここで、ステップS202の処理の一例を示すとすれば、つぎのような処理の流れになる。例えば、ヒストグラムの各クラス幅は、特徴量ごとの最大値と最小値との差をクラス数nで割った値に設定される。さらに最大値と最小値との間に含まれないクラスが両側に設定され、度数0のクラスとともに度数を1に補正される。最大値と最小値の外側にもクラスを設定するのは、特徴量ヒストグラムの更新時に最大値よりも大きな特徴量を持つデータ、あるいは、最小値よりも小さな特徴量を持つデータが入力された際に、これらのデータを格納するクラスを確保しておくためである。なお、このような処理によって生成された特徴ごとの特徴量ヒストグラムを通常状態の多項分布として定義すればよい。
つぎに、逸脱度判定手段15によって行われる検定統計量(Tk)の生成処理(ステップS102)について説明する。図6において、特徴量抽出手段13によって抽出されたk番目のフローでのTCPストリームの値(Sk)が、逸脱度判定手段15によって受信される(ステップS301)。逸脱度判定手段15の適合度検定部151〜15pは、度数ベクトルXkを次式にて生成する(ステップS302)。
Xk=r*Pk-1+Sk ・・・・・(1)
ここで、度数ベクトルXkは、k番目のフローが終了した時点において、抽出されたSkを考慮した場合に更新されるであろう(更新される可能性のある)ヒストグラムを表すクラスごとの度数ベクトルである。「更新される可能性のある」という意味は、後述の比較判定処理において、このXkを用いてヒストグラムが更新される場合と、更新されない場合とがあるからである。なお、この度数ベクトルXkは、特徴量ごとのヒストグラムにおけるi番目(i=1〜n)のクラスの度数(xi)を用いて、次式のように表すことができる。
Xk=(x1,x2,・・・・・,xn) ・・・・・(2)
また、Pk-1は(k−1)番目のフローまでのTCPストリームの値によって生成され、あるいは更新されたヒストグラムの各クラスでの度数である。また、rは重み付け係数であり、過去のヒストグラム度数を、これから生成するヒストグラム度数にどれだけ反映させるのかを決定する係数である。なお、重み付け係数の一例として、半減期の考え方を適用した係数を用いることができる。例えば、半減期を10(ストリーム)とすれば、重み付け係数rは、r=(1/2)(1/10)≒0.933が採用される。
さらに、図6において、逸脱度判定手段15の適合度検定部151〜15pによって、特徴量ごとの検定統計量(Tk)が生成され(ステップS303)、この処理の後、図4に示すステップS103の処理に移行する。なお、この検定統計量(Tk)は、式(2)の度数ベクトルXkを用いて、次式にて表すことができる。
式(3)において、miはi番目のクラスにおいて期待される期待度数であり、xiは生成された特徴量ごとのヒストグラムにおいて、i番目のクラスでの度数である。なお、期待度数miは、TCPストリーム数(N)と、多項分布のi番目の分布確率(pi)との積、すなわち、mi=Npiで表すことができる。
さらに、特徴量ヒストグラムの更新処理(ステップS106)について説明する。図7において、逸脱度判定手段15によって検定統計量(Tk)と所定のしきい値(Q2:第2のしきい値)との比較処理が行われる(ステップS402)。このとき、検定統計量(Tk)が第2のしきい値(Q2)以下の場合には(ステップS402、No)、式(1)にて生成された度数ベクトルXkが新たなヒストグラムとして更新される(ステップS403)。一方、検定統計量(Tk)が第2のしきい値(Q2)よりも大きい場合には(ステップS402、Yes)、(k−1)フローまでのTCPストリームによって生成されているヒストグラムPk-1がそのまま用いられる(ステップS404)。これらのステップS402〜S404までの処理は、異常なTCPストリームが現れた場合に、以降の多項分布への影響を回避するために行われる。これらの処理が行われた後、kの値がインクリメントされ(ステップS405)、図4に示すステップS102の処理に戻り、以後の処理が繰り返される。
以上説明したように、この実施の形態のネットワーク異常検出装置によれば、特徴量抽出手段は、ネットワークに流れるパケット情報から所定の特徴量を抽出し、通常状態定義手段の多項分布生成部は、抽出された所定の特徴量に基づいてネットワーク通常状態を表し、ネットワークの異常検出の基準となる特徴量ヒストグラムを構築するようにしているので、ネットワークの回線状態の異常の有無を判断することができ、また、未知のネットワーク異常をも検出することができる。さらに、ネットワークの異常検出の基準として特徴量ヒストグラム用いることで、定量的な評価を簡易に行うことができる。
[実施の形態1の装置の評価]
この実施の形態のネットワーク異常検出装置の評価として、以下に示すデータセットを用いた実験を行った。
「1999 DARPA off−line intrusion detection evaluation test set,http://www.ll.mit.edu/IST/ideval/index.html」
この実施の形態のネットワーク異常検出装置の評価として、以下に示すデータセットを用いた実験を行った。
「1999 DARPA off−line intrusion detection evaluation test set,http://www.ll.mit.edu/IST/ideval/index.html」
通常状態のモデル化には、学習用トラヒックデータ(tcpdump)のweek1,week3を用い、異常検出精度の評価には、テスト用のトラヒックデータweek4,week5を用いた。ネットワークの判別基準は、検定統計量(Tk)が“700”より大きい場合を「danger」、“500”より大きい場合を「suspicious」とし、「danger」が1回、または「suspicious」が5回観測された場合にアラートを発生するようにした。すなわち、この実施例では、実施の形態1における第1のしきい値として、2つのしきい値を併用していることになる。なお、ここで示したしきい値は、一例を示したものであり、これらの値に限定されるものではなく、ネットワークの特性、検出精度などを勘案して、任意の値に設定することができる。
一方、この実施例では、実施の形態1における第2のしきい値の値として、“500”を用いた。すなわち、検定統計量(Tk)が“500”より大きい場合に、直前に用いた多項分布(ヒストグラム)Pk-1を次回の多項分布として用い、検定統計量(Tk)が“500”より小さい場合に、式(1)にて生成された度数ベクトルXkを次回の多項分布として用いた。
その他、同一クライアントによる所定時間(例えば、フロー20個分)の複数の「danger」を同一事象として集約を行った。
検出精度の性能評価は、以下に示す文献に記載された評価結果を参照した。
「Detecting Novel Attacks by Identyfying Anormalous Network Packet Headers,V.Mahoney and Philip K.Chan,Florida Institute of Technology Technical Report CS−2001−2」
「Detecting Novel Attacks by Identyfying Anormalous Network Packet Headers,V.Mahoney and Philip K.Chan,Florida Institute of Technology Technical Report CS−2001−2」
上記文献では、代表的なIDSである「PHAD」の検出精度について、種々のIDS、例えば、「Expert−1」、「Expert−2」、「DMine」、「Forensics」の検出精度との比較が行われ、「PHAD」の優位性を示すデータが紹介されている。
そこで、この実施の形態のネットワーク異常検出装置と上記文献に示されたPHADとの比較を行った。比較に際し、上記文献で用いられた同一データセットを用い、また、1日に10個の誤検出を許容するという条件も同一とした。また、検出対象とする攻撃の種類として、シグネチャ方式による検出を無力化することができ、豊富な攻撃のバリエーションが可能なProbe攻撃、DoS攻撃を選定した。
図8は、実施の形態1の装置と代表的なIDSとの検出精度の比較結果を示す図表である。同図に示すように、この実施の形態のネットワーク異常検出装置では、Probe攻撃に対しては、PHADに対して若干劣った性能値を示しているが、DoS攻撃、あるいはprobe攻撃とDoS攻撃との複合攻撃に対しては、PHADに対して優位な性能値を示している。また、図9に示した評価結果では、PHADの誤検出数が100個であるのに対して、この実施の形態のネットワーク異常検出装置での評価では、誤検出数が47個しかなかった。したがって、誤検出数がほぼ同一になるように、しきい値(第1、第2のしきい値)を下げることによって、本願のネットワーク異常検出装置の検出精度を向上させることができ、この場合、Probe攻撃に対しても、PHADと同等、あるいはそれ以上の検出精度が得られる可能性がある。
[実施の形態2]
(実施の形態2の装置の特徴)
実施の形態2の構成を説明する前に、実施の形態2の特徴を、実施の形態1の特徴との比較において説明する。まず、実施の形態1では、通常状態を定義する手段として特徴量の多項分布を用いているが、実施の形態2では、特徴量の確率分布を用いるようにしている。つぎに、実施の形態1では、逸脱度を判定する手段として適合度検定を用いているが、実施の形態2では、情報処理の分野では一般的な指標である、シャノンによって定義された「情報量」という単位を異常度を表現する指標として用いている。
(実施の形態2の装置の特徴)
実施の形態2の構成を説明する前に、実施の形態2の特徴を、実施の形態1の特徴との比較において説明する。まず、実施の形態1では、通常状態を定義する手段として特徴量の多項分布を用いているが、実施の形態2では、特徴量の確率分布を用いるようにしている。つぎに、実施の形態1では、逸脱度を判定する手段として適合度検定を用いているが、実施の形態2では、情報処理の分野では一般的な指標である、シャノンによって定義された「情報量」という単位を異常度を表現する指標として用いている。
(実施の形態2の装置の構成)
図9は、実施の形態2にかかるネットワーク異常検出装置の構成を示すブロック図である。同図に示すネットワーク異常検出装置20は、実施の形態1にかかるネットワーク異常検出装置10の主要部の構成と同一である。すなわち、タッピング装置11によって収集された監視対象ネットワークに流れるパケットを記憶(保持)する記憶部12と、収集されたパケット情報から所定の特徴量を抽出する特徴量抽出手段13と、抽出された特徴量に基づいてネットワークの通常状態を定義する通常状態定義手段14と、ネットワークの通常状態からの逸脱度、すなわちネットワーク通常状態からどの程度懸け離れた状態にあるか否かを判定する逸脱度判定手段15と、逸脱していると判定された場合にアラート(警報)を出力するアラート出力部16とを備えている。
図9は、実施の形態2にかかるネットワーク異常検出装置の構成を示すブロック図である。同図に示すネットワーク異常検出装置20は、実施の形態1にかかるネットワーク異常検出装置10の主要部の構成と同一である。すなわち、タッピング装置11によって収集された監視対象ネットワークに流れるパケットを記憶(保持)する記憶部12と、収集されたパケット情報から所定の特徴量を抽出する特徴量抽出手段13と、抽出された特徴量に基づいてネットワークの通常状態を定義する通常状態定義手段14と、ネットワークの通常状態からの逸脱度、すなわちネットワーク通常状態からどの程度懸け離れた状態にあるか否かを判定する逸脱度判定手段15と、逸脱していると判定された場合にアラート(警報)を出力するアラート出力部16とを備えている。
特徴量抽出手段13は、実施の形態1と同様に、TCPストリームから所定の特徴量を抽出する特徴量抽出部131〜13pを備えている。通常状態定義手段14は、所定の特徴量を確率分布として構築する確率分布生成部211〜21pを備えている。これらの確率分布生成部211〜21pの添字は、実施の形態1と同様に、特徴量抽出部131〜13pの添字にそれぞれ対応している。
逸脱度判定手段15は、通常状態を定義するものとして確率分布生成部211〜21pで定義された確率分布に基づいて、任意の時間帯に特徴量抽出部131〜13pからそれぞれ伝達された特徴量が、通常状態と比較してどの程度逸脱した状態にあるのかを示す異常度を算出する異常度算出部221〜22pと、異常度算出部221〜22pにおいて算出された異常度の値を合成する合成手段23と、合成手段23の出力値に基づいて異常度を判定する異常度判定部24と、を備えている。
なお、実施の形態と同様に、図9において、逸脱度判定手段15から通常状態定義手段14に対して情報の流れを示す矢印の向きが示されている。この矢印は、確率分布をダイナミックに更新する場合に、異常状態を検出したときの特徴量データを通常状態を定義するデータとして用いるかどうかの判断を行うためのしきい値情報の伝達を示すものである。
(実施の形態2で扱う特徴量の一例)
図10は、実施の形態2で取り扱う特徴量の一例を示す図表である。同図に示すように、この実施の形態では、13の特徴量を扱うようにしている。すなわち、具体的には、フロー継続時間、パケット時間間隔平均、パケット時間間隔標準偏差、パケット時間間隔変動係数、総パケット数、受信パケット数、送信パケット数、総バイト数、受信バイト数、送信バイト数、パケットあたりの総バイト数、パケットあたりの受信バイト数、およびパケットあたりの送信バイト数、の13の特徴量である。なお、ここに示す特徴量は代表的な特徴量を示したものであり、この13の特徴量に限定されるものではない。また、特徴量の数に関しても、この実施の形態の13という数は、一例を示したものであり、算出時間や検出精度などとの関係を考慮して、1以上の任意の数とすることができる。
図10は、実施の形態2で取り扱う特徴量の一例を示す図表である。同図に示すように、この実施の形態では、13の特徴量を扱うようにしている。すなわち、具体的には、フロー継続時間、パケット時間間隔平均、パケット時間間隔標準偏差、パケット時間間隔変動係数、総パケット数、受信パケット数、送信パケット数、総バイト数、受信バイト数、送信バイト数、パケットあたりの総バイト数、パケットあたりの受信バイト数、およびパケットあたりの送信バイト数、の13の特徴量である。なお、ここに示す特徴量は代表的な特徴量を示したものであり、この13の特徴量に限定されるものではない。また、特徴量の数に関しても、この実施の形態の13という数は、一例を示したものであり、算出時間や検出精度などとの関係を考慮して、1以上の任意の数とすることができる。
(実施の形態2の装置の動作)
つぎに、実施の形態2にかかるネットワーク異常検出装置の動作について説明する。図11は、実施の形態2にかかるネットワーク異常検出装置の動作を示すフローチャートである。図11において、図9に示す通常状態定義手段14の確率分布生成部211〜21pによって確率分布の生成処理が行われる(ステップS501)。ここでいう確率分布とは、例えば、各特徴量の値を確率変数とする正規分布などが用いられる。なお、後述する動作説明では、確率変数の変換処理によって正規分布を標準正規分布に変換する処理を行っているが、異常度を求めるという本質的な点において両者の差異はない。
つぎに、実施の形態2にかかるネットワーク異常検出装置の動作について説明する。図11は、実施の形態2にかかるネットワーク異常検出装置の動作を示すフローチャートである。図11において、図9に示す通常状態定義手段14の確率分布生成部211〜21pによって確率分布の生成処理が行われる(ステップS501)。ここでいう確率分布とは、例えば、各特徴量の値を確率変数とする正規分布などが用いられる。なお、後述する動作説明では、確率変数の変換処理によって正規分布を標準正規分布に変換する処理を行っているが、異常度を求めるという本質的な点において両者の差異はない。
ステップS501の処理の後、逸脱度判定手段15の異常度算出部221〜22pによって個々(特徴量ごと)の異常度が算出される。(ステップS502)。この個々の異常度は、観測時点で得られた特徴量(確率変数)の存在確率を用いて算出される。なお、異常度の算出処理の詳細については後述する。
ステップS502の処理で算出された各異常度は、合成手段23で合成された後、異常度判定部24に出力されてネットワークの異常度を判定する判定処理が行われる(ステップS503)。このネットワークの異常度全体の異常度(C)がしきい値(Q3)よりも大きい場合には(ステップS503、Yes)、逸脱度判定手段15からアラート出力部16へアラート情報が通報され、アラート出力部16では、アラート報知処理が行われ(ステップS104)、ステップS502の処理に戻る。一方、異常度(C)がしきい値(Q3)以下の場合には(ステップS503、No)、アラート報知処理が行われることなくステップS502の処理に戻る。以後、上記の各処理が繰り返される。
なお、上記の処理では、確率分布の生成処理は最初に1度だけ行う処理としているが、実施の形態1のように異常度の判定の都度、確率分布の更新処理を行うようにしてもよい。また、実施の形態1と同様に、異常度の判定処理に用いた特徴量を、確率分布の更新処理に用いか否かを判定するような処理を含ませることもできる。
つぎに、通常状態定義手段14によって行われる確率分布の生成処理(ステップS501)について説明する。なお、この実施の形態では、取り扱う確率分布として正規分布を例にとり説明する。
特徴量抽出手段13によって抽出される特徴量は、フローを構成するパケット群のパケットヘッダから抽出される情報、あるいは、その一部から算出される情報である。これらの各特徴量をciで(i=1,2,・・・,13)で表すとき、ciの値xは0付近に集まる傾向がある。そのため、次式で示される補正式によって自然対数に変換された値を用いた確率分布を定義する。
x'=ln(x+0.00001) ・・・(4)
つぎに、x’の平均をμ、分散をσ2としたときの確率分布を正規分布によって近似する。各特徴量間の偏りをなくすために、次式で示される標準変換を行う。
このとき、特徴量ciに関する確率密度関数gi(z)は、次式で表される。
どの特徴量においても、このzの絶対値が平均値(標準正規分布の場合には“0”)から離れる度合いによって異常度を表現することができる。いま、特徴量ciに関する確率密度関数gi(z)が定義されているとき、観測フローの特徴量ciの変換後の値がz’であることの希少性を次式にて示される確率Piで表現する。
また、異常度の算出に際しては、シャノンによって定義された情報量(−logPi)を個々の異常度として定義し、また、次式にて示される各特徴量の情報量(異常度)の合計値(C)をネットワークの異常度として定義する。
逸脱度判定手段15の異常度判定部24は、この式(8)にて算出された(C)を用いて、監視対象のネットワークが正常状態にあるか、異常状態にあるかの判定を行うことができる。
なお、図9に示す構成では、異常度算出部221〜22pの出力を合成手段23にてそのまま加算しているが、特徴量の種類に応じた重み付け処理を施した後に加算してもよい。
以上説明したように、この実施の形態のネットワーク異常検出装置によれば、特徴量抽出手段は、ネットワークに流れるパケット情報から所定の特徴量を抽出し、通常状態定義手段の確率分布生成部は、抽出された所定の特徴量に基づいてネットワーク通常状態を表し、ネットワークの異常検出の基準となる正規分布を構築するようにしているので、ネットワークの回線状態の異常の有無を判断することができ、また、未知のネットワーク異常をも検出することができる。さらに、ネットワークの異常検出の基準として正規分布を用いているので、定量的な評価を簡易に行うことができる。
[実施の形態2の装置の評価]
図12は、ある攻撃が行われた場合の異常度の分布の一例を示すグラフである。より詳細には、一般的なHTTP通信の際に発生するフローと、所定のポート(80番ポート)に対する攻撃の際に発生するフローについて、それぞれ図10に示す13種の特徴量から算出した異常度を示している。同図において、K1は「PORTSWEEP」と呼ばれる1回目の攻撃(フロー番号:169)に関する異常度の分布であり、K2は「PORTSWEEP」による2回目の攻撃(フロー番号:872)に対する異常度の分布である。同様に、K3は、「APACHE2」と呼ばれる1回目の攻撃(フロー番号:1409〜1482,1484〜1522,1524〜1852,1854〜2085,2087〜2400)に対する異常度の分布であり、K4は、「APACHE2」による2回目の攻撃(フロー番号:4109〜4460)に対する異常度の分布である。また、それ以外の分布は、HTTP通信に対する分布を示している。同図にも示しているように、しきい値Q3の値を7.5程度に設定すれば、これらの時間帯において行われた上記4つの攻撃のすべてを検出できることがわかる。
図12は、ある攻撃が行われた場合の異常度の分布の一例を示すグラフである。より詳細には、一般的なHTTP通信の際に発生するフローと、所定のポート(80番ポート)に対する攻撃の際に発生するフローについて、それぞれ図10に示す13種の特徴量から算出した異常度を示している。同図において、K1は「PORTSWEEP」と呼ばれる1回目の攻撃(フロー番号:169)に関する異常度の分布であり、K2は「PORTSWEEP」による2回目の攻撃(フロー番号:872)に対する異常度の分布である。同様に、K3は、「APACHE2」と呼ばれる1回目の攻撃(フロー番号:1409〜1482,1484〜1522,1524〜1852,1854〜2085,2087〜2400)に対する異常度の分布であり、K4は、「APACHE2」による2回目の攻撃(フロー番号:4109〜4460)に対する異常度の分布である。また、それ以外の分布は、HTTP通信に対する分布を示している。同図にも示しているように、しきい値Q3の値を7.5程度に設定すれば、これらの時間帯において行われた上記4つの攻撃のすべてを検出できることがわかる。
なお、実施の形態1および実施の形態2は、いずれも専用の装置を用いた構造について説明したが、本発明の適用対象は、必ずしも実施の形態に限定して解釈する必要はない。また、具体的構造についても、図1および図9のブロック図に示されるものに限定して解釈する必要はなく、上記の手法を用いてネットワークの異常を検出するのであればよい。さらには、上記の手法をアルゴリズムとして記載したプログラムを用いてコンピュータ等の電子計算機に実行させる構造としてもよい。
以上のように、この発明にかかるネットワーク異常検出装置は、ネットワーク回線の異常検出に有用であり、特に、未知のネットワーク異常の検出に適している。
10,20 ネットワーク異常検出装置
11 タッピング装置
12 記憶部
13 特徴量抽出手段
131〜13p 特徴量抽出部
14 通常状態定義手段
141〜14p 多項分布生成部
15 逸脱度判定手段
151〜15p 適合度検定部
16 アラート出力部
20 ネットワーク異常検出装置
211〜21p 確率分布生成部
221〜22p 異常度算出部
23 合成手段
24 異常度判定部
11 タッピング装置
12 記憶部
13 特徴量抽出手段
131〜13p 特徴量抽出部
14 通常状態定義手段
141〜14p 多項分布生成部
15 逸脱度判定手段
151〜15p 適合度検定部
16 アラート出力部
20 ネットワーク異常検出装置
211〜21p 確率分布生成部
221〜22p 異常度算出部
23 合成手段
24 異常度判定部
Claims (20)
- ネットワークの回線状態の異常を検出するネットワーク異常検出装置であって、
ネットワークに流れるパケット情報から所定の特徴量を抽出する特徴量抽出手段と、
抽出された特徴量に基づいてネットワークの異常検出の基準となるネットワーク通常状態を定義する通常状態定義手段と、
ネットワーク通常状態からの逸脱度を判定する逸脱度判定手段と、
を備え、
前記通常状態定義手段は、前記所定の特徴量のヒストグラムを多項分布として構築する多項分布生成部を備えたことを特徴とするネットワーク異常検出装置。 - 前記逸脱度判定手段は、前記多項分布生成部で定義され、前記特徴量抽出手段から伝達された特徴量に基づいて更新される予定の多項分布が、通常状態と比較してどの程度逸脱した状態にあるのかを判定する適合度検定部を備えたことを特徴とする請求項1に記載のネットワーク異常検出装置。
- 前記適合度検定部は、所定の時間内におけるネットワークの状態の逸脱度を示す指標として検定統計量を用いることを特徴とする請求項2に記載のネットワーク異常検出装置。
- 前記特徴量抽出手段によって抽出されたk番目のフローでのTCPストリーム値をSkとし、
(k−1)番目のフローまでのTCPストリーム値によって生成される多項分布Pk-1とし、
所定の重み付け係数rとするとき、
k番目のフローが終了した時点において更新される予定の多項分布の度数を表す度数ベクトルXkを、
Xk=r*Pk-1+Sk
によって算出し、
該算出された度数ベクトルXkに基づいて算出される前記検定統計量Tkを、
- 前記所定の重み付け係数rとして、所定のTCPストリーム数を半減期とすることによって決定される係数を用いることを特徴とする請求項4に記載のネットワーク異常検出装置。
- 前記逸脱度判定手段は、前記検定統計量と、所定の第1のしきい値と、の比較結果に基づいてアラート情報の報知処理を行うことを特徴とする請求項3〜5のいずれか一つに記載のネットワーク異常検出装置。
- 前記通常状態定義手段は、前記検定統計量と、所定の第2のしきい値と、の比較結果に基づいて前記多項分布を更新することを特徴とする請求項3〜5のいずれか一つに記載のネットワーク異常検出装置。
- 前記逸脱度判定手段は、前記検定統計量と、所定の第1のしきい値と、の比較結果に基づいてアラート情報の報知処理を行い、
前記通常状態定義手段は、前記検定統計量と、所定の第2のしきい値と、の比較結果に基づいて前記多項分布を更新することを特徴とする請求項3〜5のいずれか一つに記載のネットワーク異常検出装置。 - 前記通常状態定義手段は、前記検定統計量と、所定の第2のしきい値とを比較し、
前記検定統計量が前記所定の第2のしきい値よりも小さい場合に、前記度数ベクトルXkをk番目のフローでの多項分布Pkとし、
前記検定統計量が前記所定の第2のしきい値よりも大きい場合に、前記(k−1)番目のフローでの多項分布Pk−1をk番目のフローでの多項分布Pkとして用いることを特徴とする請求項4〜8のいずれか一つに記載のネットワーク異常検出装置。 - ネットワークの回線状態の異常を検出するネットワーク異常検出装置であって、
ネットワークに流れるパケット情報から所定の特徴量を抽出する特徴量抽出手段と、
抽出された特徴量に基づいてネットワークの異常検出の基準となるネットワーク通常状態を定義する通常状態定義手段と、
ネットワーク通常状態からの逸脱度を判定する逸脱度判定手段と、
を備え、
前記通常状態定義手段は、前記所定の特徴量の分布を確率分布として生成する確率分布生成部を備えたことを特徴とするネットワーク異常検出装置。 - 前記逸脱度判定手段は、
観測時点で得られた特徴量の存在確率を用いて該特徴量ごとの個々の異常度を算出する異常度算出部と、
前記異常度算出部からそれぞれ出力された前記個々の異常度に基づいてネットワークの異常度を判定する異常度判定部と、
を備えたことを特徴とする請求項10に記載のネットワーク異常検出装置。 - 前記確率分布生成部が生成する確率分布が、正規分布であることを特徴とする請求項10または11に記載のネットワーク異常検出装置。
- 前記確率分布生成部が生成する確率分布が、標準正規分布であることを特徴とする請求項10または11に記載のネットワーク異常検出装置。
- 前記異常度算出部によって算出される異常度として、シャノンの情報量を用いることを特徴とする請求項11〜13のいずれか一つに記載のネットワーク異常検出装置。
- 前記異常度判定部は、前記異常度算出部からそれぞれ出力された前記個々の異常度の合成出力と、所定のしきい値と、の比較結果に基づいてアラート情報の報知処理を行うことを特徴とする請求項11〜14のいずれか一つに記載のネットワーク異常検出装置。
- ネットワークの回線状態の異常を検出するネットワーク異常検出方法であって、
ネットワークに流れるパケット情報から抽出された特徴量に基づいてネットワークの異常検出の基準となる特徴量ヒストグラムを生成する特徴量ヒストグラム生成処理ステップと、
前記特徴量ごとにそれぞれの検定統計量を生成する検定統計量生成ステップと、
前記検定統計量と、所定の第1のしきい値との比較処理に基づいてアラート情報の報知処理を行うアラート報知処理ステップと、
を含むことを特徴とするネットワーク異常検出方法。 - 前記検定統計量と、前記所定の第1のしきい値と、の比較処理結果に基づいて前記特徴量ヒストグラムの更新処理を行う特徴量ヒストグラム更新処理ステップさらに含むことを特徴とする請求項16に記載のネットワーク異常検出方法。
- ネットワークの回線状態の異常を検出するネットワーク異常検出方法であって、
ネットワークに流れるパケット情報から抽出された特徴量に基づいてネットワークの異常検出の基準となる確率分布を生成する確率分布生成処理ステップと、
前記特徴量ごとに個々の異常度を算出する異常度算出処理ステップと、
前記個々の異常度の合成出力と、所定のしきい値と、の比較処理に基づいてアラート情報の報知処理を行うアラート報知処理ステップと、
を含むことを特徴とするネットワーク異常検出方法。 - 前記個々の異常度の合成出力と、前記所定のしきい値と、の比較処理結果に基づいて前記確率分布の更新処理を行うことを特徴とする請求項18に記載のネットワーク異常検出方法。
- 請求項16〜19のいずれか一つに記載の方法を電子計算機に実行させることを特徴とするネットワーク異常検出プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004007344A JP2005203992A (ja) | 2004-01-14 | 2004-01-14 | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004007344A JP2005203992A (ja) | 2004-01-14 | 2004-01-14 | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005203992A true JP2005203992A (ja) | 2005-07-28 |
Family
ID=34821019
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004007344A Pending JP2005203992A (ja) | 2004-01-14 | 2004-01-14 | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2005203992A (ja) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005236862A (ja) * | 2004-02-23 | 2005-09-02 | Kddi Corp | ログ分析装置、ログ分析プログラムおよび記録媒体 |
| JP2007179542A (ja) * | 2005-12-27 | 2007-07-12 | Samsung Electronics Co Ltd | ネットワーク侵入探知システム及びその探知方法 |
| JP2008252427A (ja) * | 2007-03-30 | 2008-10-16 | Kyushu Univ | 検出装置、検出方法、通信制御方法、履歴空間データ生産方法、及びこれらの方法をコンピュータに実行させることが可能なプログラム |
| JP2008311720A (ja) * | 2007-06-12 | 2008-12-25 | Nippon Telegr & Teleph Corp <Ntt> | 基準値予測方法とシステムおよびプログラム |
| JP2009065277A (ja) * | 2007-09-04 | 2009-03-26 | Kddi Corp | 情報収集装置、通信異常検知装置およびコンピュータプログラム |
| JP2013081004A (ja) * | 2011-09-30 | 2013-05-02 | Toshiba Corp | サーバ、サーバ制御方法、サーバ制御プログラム |
| WO2016038869A1 (ja) * | 2014-09-10 | 2016-03-17 | 日本電気株式会社 | イベント推定装置、イベント推定方法、及び、イベント推定プログラムが格納された記録媒体 |
| JP2017097625A (ja) * | 2015-11-24 | 2017-06-01 | 富士通株式会社 | 判定プログラム、判定方法、および判定装置 |
-
2004
- 2004-01-14 JP JP2004007344A patent/JP2005203992A/ja active Pending
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005236862A (ja) * | 2004-02-23 | 2005-09-02 | Kddi Corp | ログ分析装置、ログ分析プログラムおよび記録媒体 |
| JP2007179542A (ja) * | 2005-12-27 | 2007-07-12 | Samsung Electronics Co Ltd | ネットワーク侵入探知システム及びその探知方法 |
| JP2008252427A (ja) * | 2007-03-30 | 2008-10-16 | Kyushu Univ | 検出装置、検出方法、通信制御方法、履歴空間データ生産方法、及びこれらの方法をコンピュータに実行させることが可能なプログラム |
| JP2008311720A (ja) * | 2007-06-12 | 2008-12-25 | Nippon Telegr & Teleph Corp <Ntt> | 基準値予測方法とシステムおよびプログラム |
| JP4688083B2 (ja) * | 2007-06-12 | 2011-05-25 | 日本電信電話株式会社 | 基準値予測方法とシステムおよびプログラム |
| JP2009065277A (ja) * | 2007-09-04 | 2009-03-26 | Kddi Corp | 情報収集装置、通信異常検知装置およびコンピュータプログラム |
| US8422371B2 (en) | 2007-09-04 | 2013-04-16 | Kddi Corporation | Information collection device, communication error detection device, and computer program |
| JP2013081004A (ja) * | 2011-09-30 | 2013-05-02 | Toshiba Corp | サーバ、サーバ制御方法、サーバ制御プログラム |
| WO2016038869A1 (ja) * | 2014-09-10 | 2016-03-17 | 日本電気株式会社 | イベント推定装置、イベント推定方法、及び、イベント推定プログラムが格納された記録媒体 |
| JP2016057875A (ja) * | 2014-09-10 | 2016-04-21 | 日本電気株式会社 | イベント推定装置、イベント推定方法、及び、イベント推定プログラム |
| JP2017097625A (ja) * | 2015-11-24 | 2017-06-01 | 富士通株式会社 | 判定プログラム、判定方法、および判定装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5518872B2 (ja) | ネットワーク異常流量分析装置及び方法 | |
| Wagner et al. | Entropy based worm and anomaly detection in fast IP networks | |
| Blazek et al. | A novel approach to detection of “denial–of–service” attacks via adaptive sequential and batch–sequential change–point detection methods | |
| US20040157556A1 (en) | System for intrusion detection | |
| US20100268818A1 (en) | Systems and methods for forensic analysis of network behavior | |
| CN110225037B (zh) | 一种DDoS攻击检测方法和装置 | |
| US20120117254A1 (en) | Methods, Devices and Computer Program Products for Actionable Alerting of Malevolent Network Addresses Based on Generalized Traffic Anomaly Analysis of IP Address Aggregates | |
| US7903657B2 (en) | Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor | |
| JP2014060722A (ja) | 将来のネットワーク攻撃を検知及び予測するために、様々な指標と過去の攻撃事例を相関させ、攻撃に関する指標のプロファイルを作成するシステム及び方法 | |
| CN109361673B (zh) | 基于流量数据样本统计和平衡信息熵估计的网络异常检测方法 | |
| Ireland | Intrusion detection with genetic algorithms and fuzzy logic | |
| JP2007179131A (ja) | イベント検出システム、管理端末及びプログラムと、イベント検出方法 | |
| JP4324189B2 (ja) | 異常トラヒック検出方法およびその装置およびプログラム | |
| US10681059B2 (en) | Relating to the monitoring of network security | |
| JP2005203992A (ja) | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム | |
| JP6470201B2 (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
| JP2021527873A (ja) | プロトコルに依存しない異常検出 | |
| CN108322454B (zh) | 一种网络安全检测方法及装置 | |
| JP2005223847A (ja) | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム | |
| JP2020014061A (ja) | 情報処理装置、通信検査方法及びプログラム | |
| JP2008219525A (ja) | ネットワーク異常検知方法およびネットワーク異常検知システム | |
| KR20110107880A (ko) | 패스트 정보 엔트로피와 능동형 이동평균 탐지기를 이용한 분산형 서비스 거부 공격 탐지 방법 | |
| Marhas et al. | Anomaly detection in network traffic: A statistical approach | |
| Celenk et al. | Anomaly detection and visualization using Fisher discriminant clustering of network entropy | |
| JP4149366B2 (ja) | ネットワーク攻撃対策方法およびそのネットワーク装置、ならびにそのプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20060915 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20060915 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070112 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20081210 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090430 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090902 |