JP2005223847A - ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム - Google Patents

ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム Download PDF

Info

Publication number
JP2005223847A
JP2005223847A JP2004032325A JP2004032325A JP2005223847A JP 2005223847 A JP2005223847 A JP 2005223847A JP 2004032325 A JP2004032325 A JP 2004032325A JP 2004032325 A JP2004032325 A JP 2004032325A JP 2005223847 A JP2005223847 A JP 2005223847A
Authority
JP
Japan
Prior art keywords
network
state
deviation
degree
determination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004032325A
Other languages
English (en)
Inventor
Yuji Izumi
勇治 和泉
Daisuke Kudo
大助 工藤
Yasushi Kato
寧 加藤
Yoshiaki Nemoto
義章 根元
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intelligent Cosmos Research Institute
Original Assignee
Intelligent Cosmos Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intelligent Cosmos Research Institute filed Critical Intelligent Cosmos Research Institute
Priority to JP2004032325A priority Critical patent/JP2005223847A/ja
Publication of JP2005223847A publication Critical patent/JP2005223847A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】ネットワークの異常検出を簡易な手段で、定量的に行うこと。
【解決手段】ネットワークの状態の異常を検出するネットワーク異常検出装置であって、ネットワークに流れるパケット情報に基づいて当該ネットワークの通常状態からの逸脱の程度を表す逸脱度を出力する少なくとも一つの逸脱度出力生成部10a,10b,10cと、逸脱度出力生成部10a,10b,10cから出力された少なくとも一つの逸脱度を統合的に処理してネットワークの異常の有無を判断する制御部5とが備えられ、制御部5は、逸脱度と所定のしきい値との比較処理を行う逸脱度判定処理部6と、所定の時間的判断要素と所定のタイムアウト値との比較処理を行うタイムアウト判定処理部7とを備える。
【選択図】 図1

Description

この発明は、ネットワーク回線の異常検出に関するものであり、特に簡易な構成で未知の異常をも検出可能なネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラムに関するものである。
今や世界的規模にまで拡大したインターネットは、人類の社会的、経済的な基盤となり、その重要性は増すばかりである。重要性の増加に伴って、益々頻発する被害拡大が見られるのが、以前からも問題となっているネットワークに対する不正アクセスである。
ネットワーク管理者は、管理下のネットワークを常に安全かつ正常な状態に保つことが要求される。そこで広く用いられているのがファイアウォール(Fire Wall)や侵入検知装置(IDS:Intrusion Detection System)である。
ファイアウォールは、あらかじめ設定されたルールに基づいてネットワークの入口において、異常なパケットを遮断することによって安全を確保するための手段である。このファイアウォールによって行われる処理は、不必要なトラヒックを侵入させないという概念であるため、ルールによっては、ある程度の安全を確保できるという確立された方式である。しかし、それだけでは完全な安全確保を期待することができないため、IDSを併用することになる。IDSには既知の不正トラヒックの特徴(シグネチャ)を利用した不正アクセスの検出機能があり、この検出機能を用いることによって、既知の不正アクセスに対しては、ほぼ完全な検出が可能である(例えば、非特許文献1を参照)。
武田圭史、磯崎宏「ネットワーク侵入検知」、ソフトバンクパブリッシング株式会社、2000
しかしながら、近時、DoS攻撃などに代表される未知の不正アクセス、ネットワークに対する妨害、あるいは突発的に起こるネットワーク障害などを検出するネットワークの異常検出が問題となっている。これらのネットワーク異常検出の分野においても多数の研究がなされているが、必ずといっていいほど問題になる点は、「通常状態をいかに定義するか」という点にある。そもそも、ネットワーク状態を通常状態と異常状態の2者択一に定義することはきわめて困難である。また、通常状態の定義が複雑な場合には、通常状態そのものを定義するのに多大な時間を要し、ネットワークの異常検出を迅速に行うことができないという問題点も存在する。
この発明は、上述した従来の欠点に鑑みてなされたものであり、簡易な手段にて定量的に定義されたネットワークの通常状態に基づいてネットワークの異常検出を行うネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラムを提供することを目的とする。
上記目的を達成するため、請求項1にかかるネットワーク異常検出装置は、ネットワークの状態の異常を検出するネットワーク異常検出装置であって、ネットワークに流れるパケット情報に基づいて当該ネットワークの通常状態からの逸脱の程度を表す逸脱度を出力する少なくとも一つの逸脱度出力生成部と、前記逸脱度出力生成部から出力された少なくとも一つの逸脱度を統合的に処理してネットワークの異常の有無を判断する制御部とを備え、前記制御部は、前記逸脱度と所定のしきい値との比較処理を行う逸脱度判定処理部と、所定の時間的判断要素と所定のタイムアウト値との比較処理を行うタイムアウト判定処理部とを備えたことを特徴とする。
この請求項1の発明によれば、ネットワークの通常状態からの逸脱の程度を表す少なくとも一つの逸脱度に対して所定のしきい値、あるいは所定のタイムアウト値との比較処理を行ってネットワークの異常の有無を判断するようにしているので、ネットワークの異常検出を簡易な手段で、定量的に行うことができる。
また、請求項2にかかるネットワーク異常検出装置は、上記の発明において、通常状態に加えてネットワークの異常検出を行う条件の異なる第1の状態および第2の状態の2つの判定状態がさらに定義されるとともに、前記所定のしきい値の一つとして第1のしきい値が設定され、前記逸脱度と前記第1のしきい値との比較処理の結果に基づいて前記判定状態が通常状態、第1の状態または第2の状態のいずれか一つの状態に設定されるとき、前記制御部は、前記判定状態が第1の状態のときには、アラートを発出するか否かの判断を行い、前記判定状態が第2の状態のときには、アラートを発出するか否かの判断を保留することを特徴とする。
また、請求項3にかかるネットワーク異常検出装置は、上記の発明において、前記所定のタイムアウト値の一つとして第1のタイムアウト値が設定され、前記所定の時間的判断要素の一つとしてアラート発生間隔が設定されるとき、前記タイムアウト判定処理部は、前記判定状態が第1の状態のときに、前記アラート発生間隔と前記第1のタイムアウト値との比較処理の結果に基づいてアラートを発出するか否かを判断することを特徴とする。
また、請求項4にかかるネットワーク異常検出装置は、上記の発明において、前記所定のしきい値の一つとして第2のしきい値が設定され、前記所定のタイムアウト値の一つとして第2のタイムアウト値が設定され、前記所定の時間的判断要素の一つとして判定処理間隔が設定されるとともに、前記判定状態が第2の状態のとき、前記タイムアウト判定処理部は、前記判定処理間隔と前記第2のタイムアウト値との比較処理の結果に基づいて判定を継続するか否か判断し、前記逸脱度判定処理部は、当該判定を継続すると判断したときに前記逸脱度を累積加算した累積逸脱度を算出するとともに、当該累積逸脱度と前記第2のしきい値との比較処理の結果に基づいて前記第1の状態に遷移するか否かを判断することを特徴とする。
また、請求項5にかかるネットワーク異常検出装置は、上記の発明において、前記逸脱度出力生成部は、前記パケット情報から抽出される所定の特徴量の確率分布に基づいて生成される逸脱度を出力することを特徴とする。
また、請求項6にかかるネットワーク異常検出装置は、上記の発明において、前記逸脱度出力生成部は、前記パケット情報のペイロードから抽出されたペイロード文字の文字出現確率分布に基づいて生成される逸脱度を出力することを特徴とする。
また、請求項7にかかるネットワーク異常検出装置は、上記の発明において、前記逸脱度出力生成部は、前記パケット情報から抽出される所定の特徴量の確率分布に基づいて生成される逸脱度と、前記パケット情報のペイロードから抽出されたペイロード文字の文字出現確率分布に基づいて生成される逸脱度とを出力することを特徴とする。
また、請求項8にかかるネットワーク異常検出装置は、上記の発明において、前記逸脱度出力生成部は、所定のサーバが所定のサービスにおいてサーバとなる確率を表すサービス提供率に基づいて生成される逸脱度をさらに出力することを特徴とする。
また、請求項9にかかるネットワーク異常検出方法は、ネットワークの通常状態からの逸脱の程度を表すものとして当該ネットワークに流れるパケット情報に基づいて生成される逸脱度に基づいてネットワークの状態の異常を検出するネットワーク異常検出方法であって、ネットワークの状態が異常か否かの判断が行われる第1の状態と、ネットワークの状態が異常か否かの判断が保留される第2の状態とが定義され、前記第1の状態のときに、前記逸脱度と所定の第1のしきい値との比較処理を行う逸脱度判定処理ステップと、アラート発生間隔と所定の第1のタイムアウト値との比較処理を行う第1のタイムアウト判定処理ステップとを含むことを特徴とする。
また、請求項10にかかるネットワーク異常検出方法は、上記の発明において、前記逸脱度が前記第1のしきい値よりも小さいときに前記判定状態を通常状態から第2の状態に遷移させることを特徴とする。
また、請求項11にかかるネットワーク異常検出方法は、上記の発明において、前記第2の状態のときに、自身の判定処理間隔と所定の第2のタイムアウト値との比較処理を行う第2のタイムアウト判定処理ステップと、前記第2のタイムアウト判定処理ステップの判定結果に基づいて前記逸脱度が累積加算された累積逸脱度がと所定の第2のしきい値との比較処理を行う累積逸脱度判定処理ステップとを含むことを特徴とする。
また、請求項12にかかるネットワーク異常検出方法は、上記の発明において、前記累積逸脱度が前記所定の第2のしきい値よりも大きいときに前記第2の状態から前記第1の状態に遷移させることを特徴とする。
また、請求項13にかかるネットワーク異常検出プログラムは、請求項9〜12のいずれか一つに記載の方法を電子計算機に実行させることを特徴とする。
この発明にかかるネットワーク異常検出装置によれば、ネットワークの通常状態からの逸脱の程度を表す少なくとも一つの逸脱度に対して所定のしきい値、あるいは所定のタイムアウト値との比較処理を行ってネットワークの異常の有無を判断するようにしているので、ネットワークの異常検出を簡易な手段で、定量的に行うことができる。
以下、図面を参照して、この発明の実施の形態であるネットワーク異常検出装置およびネットワーク異常検出方法について説明する。なお、この実施の形態によりこの発明が限定されるものではない。
(装置の構成)
図1は、この実施の形態にかかるネットワーク異常検出装置の構成を示すブロック図である。同図に示すこの実施の形態にかかるネットワーク異常検出装置1は、タッピング装置11によって収集された監視対象ネットワークに流れるパケット情報がそれぞれ入力され、この入力されたパケット情報に基づいて監視対象ネットワークが通常状態からどの程度懸け離れた状態にあるか否かの指標となる逸脱度を算出して出力する、第1の逸脱度出力生成部10a、第2の逸脱度出力生成部10bおよび第3の逸脱度出力生成部10cの3つの逸脱度出力生成部を備えている。また、これらの3つの逸脱度出力生成部からのそれぞれの逸脱度出力が入力される制御部5と、逸脱していると判定された場合に、制御部5の判定出力に基づいてアラート(警報)を出力するアラート出力部8とを備えている。
さらに、制御部5は、逸脱度判定処理部6と、タイムアウト判定処理部7とを備えている。逸脱度判定処理部6は、上記3つの逸脱度出力生成部からそれぞれ出力される少なくとも一つの逸脱度出力を用いて所定のしきい値との比較処理を行って監視対象ネットワークの異常の有無を判断する。一方、タイムアウト判定処理部7は、時間的な要素に基づいて監視対象ネットワークの異常の有無を判断する。これらの逸脱度判定処理部6およびタイムアウト判定処理部7が行う処理は、ネットワークの状態に応じて両者が密接な関連を保持した処理が行われるが、これらの詳細については後述する。なお、この実施の形態では、3つの逸脱度出力生成部を備えた実施の形態を示しているが、必ずしもこの形態に限定されるものではなく、1以上の逸脱度出力生成部で構成されていればよい。
つぎに、この実施の形態にかかるネットワーク異常検出装置で行われる処理に対する理解を容易にするため、上記3つの逸脱度出力生成部(第1の逸脱度出力生成部10a、第2の逸脱度出力生成部10b、第3の逸脱度出力生成部10c)の構成および動作について先に説明する。
(第1の逸脱度出力生成部の構成)
図2は、図1に示す第1の逸脱度出力生成部10aの構成を示すブロック図である。同図に示す第1の逸脱度出力生成部10aは、タッピング装置11によって収集された監視対象ネットワークに流れるパケットを記憶(保持)する記憶部12と、収集されたパケット情報から所定の特徴量を抽出する特徴量抽出部13と、抽出された特徴量に基づいてネットワークの通常状態を定義する通常状態定義部14と、ネットワークの通常状態からの逸脱度、すなわちネットワーク通常状態からどの程度懸け離れた状態にあるか否かの指標となる逸脱度(C)を算出して出力する逸脱度算出部15と、を備えている。
特徴量抽出部13は、TCPストリームなどから所定の特徴量を抽出する特徴量抽出部181〜18pを備えている。通常状態定義部14は、所定の特徴量を確率分布として構築する確率分布生成部211〜21pを備えている。これらの確率分布生成部211〜21pの添字は、特徴量抽出部181〜18pの添字にそれぞれ対応している。
逸脱度算出部15は、通常状態を定義するものとして確率分布生成部211〜21pで定義された確率分布に基づいて、任意の時間帯に特徴量抽出部181〜18pからそれぞれ伝達された特徴量が、通常状態と比較してどの程度逸脱した状態にあるのかを示す指標となる異常度を算出する異常度算出部221〜22pと、異常度算出部221〜22pにおいて算出された異常度の値を合成して出力する合成部23と、を備えている。
なお、図2において、逸脱度算出部15から通常状態定義部14に対して情報の流れを示す矢印の向きが示されている。この矢印は、確率分布をダイナミックに更新する場合に、異常状態を検出したときの特徴量データを通常状態を定義するデータとして用いるかどうかの判断を行うためのしきい値情報の伝達を示すものである。
(ネットワークの通常状態の定義)
ここで、ネットワークの通常状態の定義について説明する。上述したように、ネットワークの異常状態を検出するためには、初めに、ネットワークの通常状態を定義しなければならない。ネットワークには様々な特徴を持ったトラヒックが混在しているため、全体を捉えようとすると通常状態を定義付けることができる情報のみを抽出することができない。つまり、トラヒックの観測単位が重要となる。トラヒックをどのような基準で観測し、そこからどのような情報を抽出するかには様々な手法がある。本願においては、フロー単位の観測を用いることにした。
ここでいうところのフローとは、RTFM(Realtime Traffic Flow Measurement)で定義されたものであり、一般的なトラヒックモデルとして定義されたものである。また、このRTFMは、ネットワークを流れるパケットを通信の両端末によって集約したものであり、プロトコル、送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号の5要素の同一組によって一つのフローが特定される。IPトラヒックの場合、ICMPトラヒックではポート番号の情報がないため、他の3要素による集約になるが、その際はタイムアウトを設けることでフローの終了を決定することができる。
フロー単位の観測を用いる理由は2つある。1つ目の理由は、タイムスロットによる集約方法等のように観測時間帯に依存することなく、2点間通信の独立した情報を抽出することができることにある。2つ目の理由は、状態を判別した際に原因となるホストの情報を迅速に得ることができることにある。特に、フロー単位で観測することで必然的に通信サービスの区別が明確になることは重要な点である。また、個々のサービスを独立させることで、そのサービスごとの特徴が際だち、適切なモデルを構築することができる。本願で提案するネットワーク異常検出装置、異常検出方法は、後述するようなサービスごとに独立した通常状態モデルを構築することで高精度の状態判別を可能としている。
つぎに実行しなければならないのが、トラヒック中のフローからネットワークの通常状態を定義する情報を抽出することにある。一方、異常状態とは定常状態とは懸け離れており、統計的に稀な状態にあることを意味する。つまり、ネットワークから抽出されたあるパラメータがトラヒックを構成する他のフローのパラメータと比べて稀な値をとる場合にそのパラメータの値を異常とすることができる。したがって、トラヒックの大部分を占める通常状態のモデルを構築するためには各フローから通常状態を定義付ける特徴量(統計量)を抽出する必要がある。
上述した事項に鑑み、第1の逸脱度出力生成部10aでは、IPトラヒックの中でも特に重要なTCPトラフィックに着目し、クライアント・サーバ間における一対の通信ポートによる通信単位であるTCPストリームから所定の特徴量を抽出するようにしている。
(第1の逸脱度出力生成部で取り扱う特徴量の一例)
図3は、第1の逸脱度出力生成部10aで取り扱う特徴量の一例を示す図表である。同図に示すように、第1の逸脱度出力生成部10aでは、13の特徴量を扱うようにしている。すなわち、具体的には、フロー継続時間、パケット時間間隔平均、パケット時間間隔標準偏差、パケット時間間隔変動係数、総パケット数、受信パケット数、送信パケット数、総バイト数、受信バイト数、送信バイト数、パケットあたりの総バイト数、パケットあたりの受信バイト数、およびパケットあたりの送信バイト数、の13の特徴量である。なお、ここに示す特徴量は代表的な特徴量を示したものであり、この13の特徴量に限定されるものではない。また、特徴量の数に関しても、この13という数は、一例を示したものであり、算出時間や検出精度などとの関係を考慮して、1以上の任意の数とすることができる。
(第1の逸脱度出力生成部で行われる処理)
つぎに、第1の逸脱度出力生成部10aで行われる処理について説明する。図4は、第1の逸脱度出力生成部10aで行われる処理を示すフローチャートである。図4において、図2に示す通常状態定義部14の確率分布生成部211〜21pによって確率分布の生成処理が行われる(ステップS101)。ここでいう確率分布とは、例えば、各特徴量の値を確率変数とする正規分布などが用いられる。なお、後述する動作説明では、確率変数の変換処理によって正規分布を標準正規分布に変換する処理を行っているが、異常度を求めるという本質的な点において両者の差異はない。
ステップS101の処理の後、逸脱度算出部15の異常度算出部221〜22pによって個々(特徴量ごと)の異常度が算出される。(ステップS102)。この個々の異常度は、観測時点で得られた特徴量(確率変数)の存在確率を用いて算出される。なお、異常度の算出処理の詳細については後述する。ステップS102の処理で算出された各異常度は、合成部23で出力合成される(ステップS103)。また、この合成出力は、逸脱度(C)として出力され(ステップS104)、ステップS102の処理に戻り、上記の各処理が繰り返される。なお、ステップ104で行われる逸脱度出力(C)の出力制御は、図1に示すネットワーク異常検出装置1の制御部5によって行われる。
なお、上記の処理では、確率分布の生成処理は最初に1度だけ行う処理としているが、逸脱度の判定の都度、確率分布の更新処理を行うようにしてもよい。また、逸脱度の判定処理に用いた特徴量を、確率分布の更新処理に用いるか否かを判定するような処理を含ませることもできる。
つぎに、通常状態定義部14によって行われる確率分布の生成処理(ステップS101)の詳細について説明する。なお、ここに示す例では、取り扱う確率分布として正規分布を例にとり説明する。
特徴量抽出部13によって抽出される特徴量は、フローを構成するパケット群のパケットヘッダから抽出される情報、あるいは、その一部から算出される情報である。これらの各特徴量をciで(i=1,2,・・・,13)で表すとき、ciの値xは0付近に集まる傾向がある。そのため、次式で示される補正式によって自然対数に変換された値を用いた確率分布を定義する。
x'=ln(x+0.00001) ・・・(1)
つぎに、x’の平均をμ、分散をσ2としたときの確率分布を正規分布によって近似する。各特徴量間の偏りをなくすために、次式で示される標準変換を行う。
Figure 2005223847
このとき、特徴量ciに関する確率密度関数gi(z)は、次式で表される。
Figure 2005223847
いずれの特徴量においても、このzの絶対値が平均値(標準正規分布の場合には“0”)から離れる度合いによって異常度を表現することができる。いま、特徴量ciに関する確率密度関数gi(z)が定義されているとき、観測フローの特徴量ciの変換後の値がz’であることの希少性を次式にて示される確率Piで表現する。
Figure 2005223847
また、逸脱度の算出に際しては、シャノンによって定義された情報量(−logPi)を個々の逸脱度として定義し、また、次式にて示される各特徴量の情報量(異常度)の合計値(C)をネットワークの逸脱度として定義する。
Figure 2005223847
逸脱度算出部15は、この式(5)にて算出された逸脱度(C)を出力する。図1に示すネットワーク異常検出装置は、監視対象のネットワークが正常状態にあるのか、異常状態にあるのかをこの逸脱度(C)を用いて判定する。
なお、図2に示す構成では、異常度算出部221〜22pの出力を合成部23にてそのまま加算しているが、特徴量の種類に応じた重み付け処理を施した後に加算してもよい。
(第2の逸脱度出力生成部の構成)
図5は、図1に示す第2の逸脱度出力生成部10bの構成を示すブロック図である。同図に示す第2の逸脱度出力生成部10bは、第1の逸脱度出力生成部10aの構成と基本的な構成は同一である。すなわち、第2の逸脱度出力生成部10bは、タッピング装置11によって収集された監視対象ネットワークに流れるパケットを記憶(保持)する記憶部12と、収集されたパケット情報に基づいて所定の特徴量を抽出(算出)する特徴量抽出部13と、抽出(算出)された特徴量に基づいてネットワークの通常状態を定義する通常状態定義部14と、ネットワークの通常状態からの逸脱度、すなわちネットワーク通常状態からどの程度懸け離れた状態にあるか否かの指標となる逸脱度(H)を算出して出力する逸脱度算出部15と、を備えている。
特徴量抽出部13は、サーバホストに対するアクセス回数を算出するアクセス回数算出部31と、サーバホストがサービスを提供した回数を算出するサービス回数算出部32と、を備えている。通常状態定義部14は、アクセス回数算出部31から伝達されたアクセス回数と、サービス回数算出部32から伝達されたサービス回数とに基づいて通常状態を定義するものとしてのサービス提供率を算出するサービス提供率算出部34を備えている。
一方、逸脱度算出部15は、通常状態を定義するものとしてサービス提供率算出部34で定義されたサービス提供率に基づいて、任意の時間帯にアクセス回数算出部31およびサービス回数算出部32からそれぞれ伝達されたアクセス回数およびサービス回数に基づき、通常状態と比較してどの程度逸脱した状態にあるのかを示す指標となる異常度を算出する異常度算出部35を備えている。
また、図5において、逸脱度算出部15から通常状態定義部14に対して情報の流れを示す矢印の向きが示されている。この矢印は、異常状態が検出されたときのアクセス回数およびサービス回数の情報をサービス提供率算出部で算出されるサービス提供率に反映させるか否かの判断を行うための情報の伝達を示すものである。
なお、第2の逸脱度出力生成部10bにおけるネットワークの通常状態の定義は、第1の逸脱度出力生成部10aの場合のときと同様に、フロー単位ごとのアクセス回数、あるいはサービス回数の観測を行うようにしている。このようなフロー単位の観測を行うことで、アクセス回数やサービス回数のカウントを容易になるという利点を有する。
(第2の逸脱度出力生成部で行われる処理)
つぎに、第2の逸脱度出力生成部10bで行われる処理について説明する。図6は、第2の逸脱度出力生成部10bで行われる処理を示すフローチャートである。図6において、図5に示す特徴量抽出部13のアクセス回数算出部31によってアクセス回数の算出処理が行われる(ステップS201)。同様に、サービス回数算出部32によってサービス回数の算出処理が行われる(ステップS202)。つぎに、逸脱度算出部15の出力処理のタイミングか否かの判断が行われる(ステップS203)。逸脱度の出力処理が要求されていない場合には(ステップS203、No)、ステップS201の処理に戻り、逸脱度の出力処理が要求されている場合には(ステップS203、Yes)、ステップS204以下の処理を実行する。この処理以降、サービス提供率算出部によってサービス提供率の算出処理(ステップS204)が行われ、一方、異常度算出部によって異常度の算出処理(ステップS205)が行われ、図1に示すネットワーク異常検出装置1の制御部5によって逸脱度出力(H)の出力処理の制御が行われる(ステップS206)。なお、上述のステップS203の処理において、逸脱度の出力処理のタイミングは、第1の逸脱度出力生成部10aの場合と同様に、ネットワーク異常検出装置1の制御部5によって行われる。
つぎに、上述の処理の詳細について説明する。例えば、管理対象のネットワークにおいて、ネットワークの外部からのアクセスを許可しているWebサーバホストは所定の装置が割り当てられており、固定的な運用がなされるのがほとんどである。このような場合、ある一定期間においてすべてのサービスへのアクセス回数Nを測定(算出)し、さらにホストsがサービスを提供した回数(サービス回数)ASを測定(算出)する。ある程度の期間の測定の後、あるサービスにおいてホストsがサーバとなる確率(サービス提供率)をP(s)とすると、このP(s)は次式にて算出される。
P(s)=AS/N ・・・(6)
式(6)で表されるサービス提供率が正常状態のモデルとなる。あるサービスにおいてサーバホストとなる確率が低いホストがサーバホストとなることは単純に統計的に稀であるという点で異常状態である。その異常の程度を数値的に表現する際にはシャノンの定義する情報量を用いるのが好適である。すなわち、あるサービスにおいてホストsがサーバとなるときの異常度をHですると、このHは次式にて算出される。
H=−logP(h) ・・・(7)
式(7)で与えられる情報量は、その事象が起こることで得られる情報の大きさであり、その事象が稀であることは得られる情報量が大きいということである。つまり、上記モデルで与えられた確率P(s)によって異常度を数値化することができている。
逸脱度算出部15は、この式(7)にて算出された異常度を逸脱度(H)として出力する。図1に示すネットワーク異常検出装置は、監視対象のネットワークが正常状態にあるのか、異常状態にあるのかをこの逸脱度(H)を用いて判定する。
(第3の逸脱度出力生成部の構成)
図7は、図1に示す第3の逸脱度出力生成部10cの構成を示すブロック図である。同図に示す第3の逸脱度出力生成部10cは、第1の逸脱度出力生成部10aおよび第2の逸脱度出力生成部10bの構成と基本的な構成は同一である。すなわち、同図に示す第3の逸脱度出力生成部10cは、タッピング装置11によって収集された監視対象ネットワークに流れるパケットを記憶(保持)する記憶部12と、収集されたパケット情報から所定の特徴量を抽出する特徴量抽出部13と、抽出された特徴量に基づいてネットワークの異常検出の基準となる状態、すなわち、ネットワーク通常状態を定義する通常状態定義部14と、ネットワーク通常状態からの逸脱度、すなわちネットワーク通常状態からどの程度懸け離れた状態にあるか否かの指標を算出して出力する逸脱度算出部15と、を備えている。
特徴量抽出部13は、例えば、SendmailやPortSweepのような特定の攻撃(別な見方をすれば通信サービス)が行われる際に、この通信サービスのフローの中の所定の部分(例えばペイロード)に着目し、このペイロードに記述されている文字を抽出するペイロード文字抽出部411〜41hを備えている。これらのペイロード文字抽出部411〜41hの添字hは、抽出対称の通信サービスの数(あるいは種類)を表しており、通信サービスごとにペイロードの文字が抽出される。通常状態定義部14は、ペイロードの部分に記述されている文字列から各文字の出現確率分布を構築する文字出現確率分布生成部421〜42hを備えている。なお、これらの文字出現確率分布生成部421〜42hの添字hは、ペイロード文字抽出部411〜41hの添字にそれぞれ対応する。すなわち、文字出現確率分布生成部421〜42hでは、ペイロード文字抽出部411〜41hで取り扱われた通信サービスごとに、この通信サービスに対応した文字出現確率分布(ヒストグラム)が生成されることになる。
一方、逸脱度算出部15は、通常状態を定義するものとして文字出現確率分布生成部421〜42hで定義された文字出現確率分布に基づいて、任意の時間帯にペイロード文字抽出部411〜41pからそれぞれ伝達された特徴量に基づき、更新予定の文字出現確率分布が通常状態と比較してどの程度逸脱した状態にあるのかを示す指標となる適合度検定量を算出する適合度検定量算出部431〜43hを備えている。
また、図7において、逸脱度算出部15から通常状態定義部14に対して情報の流れを示す矢印の向きが示されている。この矢印は、異常状態が検出されたときのペイロード文字情報を文字出現確率分布に反映させるか否かの判断を行うための情報の伝達を示すものである。
なお、第3の逸脱度出力生成部10cにおけるネットワークの通常状態の定義は、第1の逸脱度出力生成部10aおよび第2の逸脱度出力生成部10bの場合と同様に、フロー単位の観測を行うようにしている。具体的には、フロー単位を構成するパケットのペイロードの部分に着目し、通常状態を定義する情報としてペイロードの部分に書き込まれた文字の出現確率を用いるようにしている。なお、フロー単位で観測することで必然的に通信サービスの区別が明確になり、また、後述するようなサービスごとに独立した通常状態モデルを構築することで高精度の状態判別が可能となる。
(第3の逸脱度出力生成部で行われる処理)
つぎに、第3の逸脱度出力生成部10cで行われる処理について説明する。図8は、第3の逸脱度出力生成部10cで行われる処理を示すフローチャートである。同図において、図7に示す通常状態定義部14の文字出現確率分布生成部421〜42hによって文字出現確率分布の生成処理が行われる(ステップS301)。つぎに、逸脱度算出部15の適合度検定量算出部431〜43hによって通信サービスごとに適合度検定が行われる。この適合度検定では、特徴量抽出手段から伝達されたペイロード文字と文字出現確率分布生成部421〜42hで定義(生成)された文字出現確率分布の分布情報とに基づいて生成される通信サービスごとの所定の統計量に対して所定の修正を加えて算出した適合度検定量の算出処理が行われ(ステップS302)、図1に示すネットワーク異常検出装置1の制御部5によって適合度検定量そのものである逸脱度出力(T)の出力処理の制御が行われる(ステップS303)。
なお、上記の適合度検定における所定の統計量として、例えば、χ2検定(カイ2乗検定)に基づくカイ2乗値などを用いることができる。また、これらのχ2検定に基づく適合度検定量の算出処理の詳細については後述する。
なお、図8に示すフローチャートでは、文字出現確率分布の生成処理は最初に1度だけ行う処理としているが、逸脱度と所定のしきい値との比較処理の都度、文字出現確率分布の更新処理を行うようにしてもよい。また、逸脱度の比較処理に用いた文字情報を、文字出現確率分布の更新処理に用いるか否かを判定するような処理を含ませてもよい。
つぎに、通常状態定義部14によって行われる文字出現確率分布の生成処理の詳細について説明する。この生成処理では、各通信サービスのペイロード部分を1バイトの文字(28=256種類)から構成される文字列として捉え、各文字の出現確率をモデル化する。このモデル化によって、サービスごとに256クラスを持つ文字コードのヒストグラムが構築される。このとき、文字種に関わらず相対頻度(出現確率)の値の大小によって降順にソートする。このように降順にソートされた順位によって変換された出現確率に基づいて単調減少のヒストグラムが生成される。このヒストグラムが、上記でいうところの文字出現確率分布である。
つぎに、逸脱度算出部15によって行われる適合度検定および適合度検定量の算出処理について説明する。まず、適合度検定は、上述したχ2検定を用いて行われる。なお、このχ2検定では、ペイロードを構成する文字種を256種としているため、検定統計量は、自由度255のχ2分布に従うことになる。いま、文字出現確率分布の生成処理で生成された文字出現確率分布において、ある文字kの理論出現度数をEkとし、所定のサービスでのこの文字kの実測出現度数をOkとするとき、このフローにおける適合度検定量は、次式で表すことができる。
Figure 2005223847
一般的に、式(8)におけるXの値は、合計実測度数でもある観測されたフローのペイロードを構成する全文字数Lに伴って増加する傾向がある。すなわち、データサイズが大きいだけで適合度検定量そのものの値が大きくなってしまう。そこで、ここでは、以下の観点を考慮した、新たな指標を算出する。
すなわち、式(8)に示す適合度検定量をデータサイズで平均化した値を新たな指標とする。また、各フローにおいて、文字の偏りが文字出現確率分布の上位数クラスにのみ顕著に見られるという特性を利用し、上位の20クラスのみを検定対象とするようにする。このような条件にて算出される(修正される)適合度検定量を逸脱度(T)として定義すれば、この逸脱度(T)は、次式で表されることになる。
Figure 2005223847
なお、この逸脱度(T)は、式(9)に示されるように各フローの通信量と等価なデータサイズで除算しているので、各フローの通信量に依存することのない指標としての性質を有するとともに、算出時間を大幅に短縮(256文字種→20文字種)することもできる。また、この逸脱度(すなわち適合度検定量)の算出では、算出クラス数を20文字種としているが、この20文字種に限定されるものではなく、サービスの種類や算出時間を考慮して1以上256以下の任意の整数値を選択することができる。
逸脱度算出部15は、この式(9)にて算出された逸脱度(T)を出力する。図1に示すネットワーク異常検出装置は、監視対象のネットワークが正常状態にあるのか、異常状態にあるのかをこの逸脱度(H)を用いて判定する。
(この実施の形態で行われる処理)
つぎに、この実施の形態にかかるネットワーク異常検出装置で行われる処理について説明する。図9は、この実施の形態のネットワーク異常検出装置で行われる段階的状態判別手法を示すフローチャートである。より詳細には、ネットワーク異常検出装置で行われる処理フローを状態遷移図上に表した図である。同図に示すように、この実施の形態のネットワーク異常検出装置では、「danger(危険な状態)」と、「suspicious(疑わしい状態)」との、2つの状態を定義している。これらの2つの状態を定義するのは、より的確な判定を行うこと、すなわち、検出確率を増大させ、同時に誤警報率を低下させること目的とする段階的状態判別手法を適用するためである。
この実施の形態でいうところの段階的状態判別手法とは、以下の特徴を有している。
(1) 検出確率を増加させ、あるいは誤警報を抑制するため、状態を「danger」と「suspicious」との2段階に分けて判定を行う。
(2) しきい値を超えない程度の逸脱度を持つフローについても状態判別を保留する段階を設ける。
(3) 誤検出数や同じ事象に対する複数の警告を抑制するためにタイムアウトを設けた判定を行う。
なお、段階的状態判別手法の簡便な手法として、例えば、「danger」が1回、「suspicious」が5回観測された場合にアラートを発生するような簡単な判定手法を用いることも可能である。
つぎに、図9において、3つの逸脱度出力生成部(第1の逸脱度出力生成部10a、第2の逸脱度出力生成部10bおよび第3の逸脱度出力生成部10c)のそれぞれは、制御部5からの出力指示、あるいは独自に自身が生成した上述の逸脱度出力(逸脱度出力(C)、逸脱度出力(H)、逸脱度出力(T))を算出して制御部5に出力し(ステップS400)、ステップS401の処理に移行する(遷移J1)。制御部5の逸脱度判定処理部6では、上記3つの逸脱度出力に基づいた逸脱度(AS)が生成され、所定のしきい値(Q1)との比較処理が行われる(ステップS401)。逸脱度(AS)が所定のしきい値(Q1)より大きい場合(ステップS401、Yes)には、ステップS402の処理に移行し(遷移K1)、状態が「danger」に設定される。一方、逸脱度(AS)が所定のしきい値(Q1)以下の場合(ステップS401、No)には、ステップS403の処理に移行し(遷移K2)、状態が「suspicious」に設定される。
状態が「danger」に設定されているとき、タイムアウト判定処理部7では、誤検出を抑制し、あるいは同じ事象に対する複数の警告を回避することを目的としたタイムアウトの判定処理が行われる(ステップS402)。より詳細には、前回、アラート(警告)の出力対象となったサーバホストと同一サーバホストに対してアラートが出力される場合、これらのアラートの発出間隔であるアラート発出間隔(Int1)と所定のタイムアウト値(T1)との比較処理が行われる。アラート発出間隔(Int1)が所定のタイムアウト値(T1)より大きい場合(ステップS402、Yes)には、アラートが出力され(遷移L1)、一方、アラート発出間隔(Int1)が所定のタイムアウト値(T1)以下の場合(ステップS402、No)には、ステップS400の処理に戻る(遷移L2)。また、このステップS402の処理が行われた場合、状態「danger」が解除される。
他方、ステップS401の処理の後、状態が「suspicious」に設定されたとき(遷移K2)、タイムアウト判定処理部7では、個々のフローではしきい値を超えないが、短時間に同事象と捉えられる大量のフローが生成される場合などの事象の検出を目的としたタイムアウトの判定処理が行われる(ステップS403〜S405)。すなわち、判定処理間隔(Int2)と所定のタイムアウト値(T2)との比較処理が行われ(ステップS403)、判定処理間隔(Int2)が所定のタイムアウト値(T2)より大きい場合(ステップS403、Yes)には、同一事象として捉えることのできない時間間隔であるものとしてステップS400の処理に戻り(遷移M1)、状態「suspicious」が解除される。一方、判定処理間隔(Int2)が所定のタイムアウト値(T2)以下の場合(ステップS403、No)には、同一事象として捉えることのできる時間間隔であるものとしてステップS404の処理に移行する(遷移M2)。
つぎに、逸脱度判定処理部6では、逸脱度の累積処理が行われ(ステップS404)、ステップS405の処理に移行する(遷移N1)。さらに、逸脱度判定処理部6では、ステップS404で生成された累積逸脱度(CAS)の判定処理が行われる(ステップS405)。累積逸脱度(CAS)が所定のしきい値(Q2)より大きい場合(ステップS405、Yes)には、ステップS402の処理に移行し(遷移P1)、状態が「danger」に変更される。一方、累積逸脱度(CAS)が所定のしきい値(Q2)以下の場合(ステップS405、No)には、ステップS400の処理に戻り(遷移P2)、状態「suspicious」が解除される。
以上説明してきた内容は、この実施の形態のネットワーク異常検出装置で行われる処理に関する定性的な内容であった。つぎに、この実施の形態のネットワーク異常検出装置で行われる処理の詳細について数式や具体的な数値例を用いて説明する。
上記では、第1〜第3の逸脱度出力生成部が出力する3種の統計量についてのモデル(確率分布、サービス提供率および文字出現確率分布)の構築と逸脱度の数値化について説明してきた。本願発明は、これら3種の統計量の逸脱度について統合的判断を行うものであり、着目するフローの逸脱度を3種の統計量の逸脱度の和として捉えることができる。
すなわち、上記で説明した3つの逸脱度出力(逸脱度出力(C)、逸脱度出力(H)、逸脱度出力(T))に基づいた逸脱度(AS)は、次式で表すことができる。
AS=C+H+T ・・・(10)
式(10)は、3者を単純に加算したものであるが、この段階で、次式のように所定の係数を用いて重み付けを行ってもよい。
AS=uC+vH+wT ・・・(11)
これらの重み付け値の最適値を決定するのは難しい一面があるが、本願発明によるネットワークの評価を通じて蓄積されたデータに基づいて、経験的に決定することは可能であると考える。
つぎに、着目しているフローにおいて、上記の式(10)または式(11)にて算出された逸脱度によって、そのフローの状態判別の基準を定める。この状態判別では、異常状態は稀であるという統計的根拠が用いられる。すなわち、算出された逸脱度の値にしきい値を設け、このしきい値を超える逸脱度を持つフローは異常と判断される。ここで、このしきい値の設定にはチェビチェフの不等式を用いることが好適である。より具体的に説明すると、あらかじめ通常状態における逸脱度、つまりモデル構築の際に用いたデータに含まれるフロー群自身の逸脱度を算出しておき、その逸脱度の分布から通常状態と判断されるべき逸脱度の許容範囲を設定する。
チェビシェフの不等式は、確率変数Xが平均値μから標準偏差σのa倍以上離れている確率P(|X−μ|≧aσ)が、全体の1/a2以下であることを示す次式で表される。
P(|X−μ|≧aσ)≦1/a2 ・・・(12)
式(12)を用いれば、通常状態のフローにおける逸脱度ASを確率変数として、その平均値μと標準偏差σを求め、式(12)を満足するaを設定することによって全体の1/a2以下の稀少性で異常と判断することができるしきい値aσを設定することができる。
ここで、図9のフローチャートの処理フローについて具体的な数字を用いて説明する。あるサービスに関する新たなフローの生成直後にそのフローの逸脱度ASが算出される(ステップS400)。その逸脱度(AS)が、しきい値(Q1)より大きい場合(ステップS401、Yes)には、状態「danger」に移行し、管理者にアラートが発出される。このとき、同事象とみなされる事象、すなわち同じクライアントまたは同じサーバに関するアラートがタイムアウト時間(例えば60[sec];図9に示すところのタイムアウト値(T1))以内に発生していた場合には、そのアラート出力を抑制する(ステップS402)。
一方、逸脱度(AS)が、しきい値(Q1)以下(ステップS401、No)である場合には、状態を「suspicious」に遷移させ(遷移K2)、サービス、ホストごとに逸脱度(AS)を累積した累積逸脱度(CAS)を生成する(ステップS404)。この累積逸脱度(CAS)がタイムアウト時間(例えば300[sec];図9に示すところのタイムアウト値(T2))以内に(ステップS403、No)、しきい値(Q1)の10倍の値(すなわち、図9に示すところのしきい値(Q2=Q1×10))を超えた場合には(ステップS405、Yes)、状態を「danger」に遷移させる(遷移P1)。このように、状態「suspicious」を設けることによって、個々のフローでは、しきい値を超えない程度の逸脱度であっても短時間に同事象として捉えられるような大量のフローが生成される場合にアラートを出力することができ、例えば、flood系DoS(Denial of Service)などの異常に対してアラートが出力されないという事象の発生を抑制することができるという効果を呈する。
(この実施の形態の装置の評価)
この実施の形態のネットワーク異常検出装置の評価として、以下に示すデータセットを用いた実験を行った。
「1999 DARPA off−line intrusion detection evaluation test set,http://www.ll.mit.edu/IST/ideval/index.html」
このデータセットには、Week1〜Week5までの合計5週間分のトラヒックデータがあり、週ごとに用途が異なっている。これらのデータの中で、Week1およびWeek3は攻撃が全く含まれていないと保証された通常状態のデータであり、Week2は数回の攻撃が含まれていることが既知である攻撃用のデータである。また、Week4とWeek5は同様に数回の攻撃が含まれており、性能評価を測定するための評価用データである。今回の実験においては、通常状態モデル構築用データとしてWeek1とWeek3のデータを用い、これらのデータによって上述のモデル(確率分布、サービス提供率および文字出現確率分布)を構築し、Week4とWeek5のデータに含まれる既知攻撃を検出することを試みた。
使用するデータは、以下に示すサイトにて収集されたパケットダンプデータを用いている。
tcpdump/libpcap,http://www.tcpdump.org/
また、本願手法は、ネットワーク内のサーバホストに関して通信サービス別に上述のモデルを構築する手法であるため、検出対象となるトラヒックはネットワーク内のホストがサーバとなるIPトラヒックであり、データセット内には165個の検出対象攻撃が含まれることになる。この攻撃は複数のサービスにまたがっている場合や、同一サービスだとしても複数のフローによって構成されている場合がある。今回の評価実験においては既知攻撃を構成するフローの少なくとも一つのフローに対してアラートを発生することができれば、その攻撃の検出が成功したものとした。
また、既知攻撃以外のフローに対してアラートが発出された場合を誤検出とした。その際、既知攻撃以外でも異常が自明であるフロー(例えば、すべてのTCP/SYNパケットで構成されているようなフロー)については、誤検出数には含めなかった。さらに、逸脱度の数値化の際には、学習時に一度も出現しなかったサービスや、サーバホストに関する逸脱度はあらかじめ設定された大きな値とした。さらには、しきい値設定の際はa=6とし、全体の1/a2=1/62以下となるような、逸脱度を状態判別の基準とした。
(実験結果)
検出率などの性能評価は、以下に示す文献に記載された評価結果を参照した。
「Detecting Novel Attacks by Identyfying Anormalous Network Packet Headers,V.Mahoney and Philip K.Chan,Florida Institute of Technology Technical Report CS−2001−2」
上記文献では、代表的なIDSである「PHAD」の検出精度について、種々のIDS、例えば、「Expert−1」、「Expert−2」、「DMine」、「Forensics」の検出精度との比較が行われ、「PHAD」の優位性を示すデータが紹介されている。
そこで、この実施の形態のネットワーク異常検出装置と上記文献に示されたPHADとの比較を行った。比較に際し、上記文献で用いられた同一データセットを用い、また、1日に10個の誤検出を許容するという条件も同一とした。また、検出対象とする攻撃の種類として、シグネチャ方式による検出を無力化することができ、豊富な攻撃のバリエーションが可能なProbe攻撃、DoS攻撃、R2L攻撃、あるいはこれらの複合攻撃に限定した。
図10は、この実施の形態のネットワーク異常検出装置と代表的なIDSとの検出精度の比較結果を示す図表である。なお、PHADに関しては、Probe&DoS&R2Lによる複合攻撃に関する検出精度のデータはない。同図に示すように、この実施の形態のネットワーク異常検出装置は、PHADよりも優れた性能値を示している。また、本願装置のProbe&DoS&R2Lによる複合攻撃に対する検出精度が74%であり、一方、DoS攻撃単独による検出精度において、本願装置が72%であり、PHADが48%であることを鑑みれば、Probe&DoS&R2Lによる複合攻撃に関して類推すれば、あらゆる複合攻撃に関しても本願装置のPHADに対する優位性が保証される。
図11は、採用する統計量(モデル)の数を単独あるいは2種にした場合の検出精度の比較結果を示す図表である。同図に示す結果は、対象トラヒックをTCPトラヒックのみに限定しており、検出対象攻撃数は145個である。B(逸脱度(H))のみの場合は誤検出数が多数となっているが、A(逸脱度(C))のみ、あるいはC(逸脱度(T))のみの場合は、誤検出数が大幅に減少している。また、採用する統計量の数の増加に伴って検出精度が向上していることが明らかであり、3種の統計量の逸脱度を統合的に捉えた場合には許容誤検出数(100)の範囲内において最大の検出率を示している。この結果により、統計量を統合的に用いることの有効性が結論できる。
以上説明したように、この実施の形態のネットワーク異常検出装置によれば、3種の統計量の逸脱度を統合的に捉えるようにしているので、ネットワークの異常検出を迅速に行うことができ、検出精度を増加させることができる。
なお、この実施の形態では、専用の装置を用いた構造について説明したが、本発明の適用対象は、必ずしも実施の形態に限定して解釈する必要はない。また、具体的構造についても、図1および図9のブロック図に示されるものに限定して解釈する必要はなく、上記の手法を用いてネットワークの異常を検出するのであればよい。さらには、上記の手法をアルゴリズムとして記載したプログラムを用いてコンピュータ等の電子計算機に実行させる構造としてもよい。
以上のように、この発明にかかるネットワーク異常検出装置は、ネットワーク回線の異常検出に有用であり、特に、未知のネットワーク異常の検出に適している。
この実施の形態にかかるネットワーク異常検出装置の構成を示すブロック図である。 第1の逸脱度出力生成部10aの構成を示すブロック図である。 第1の逸脱度出力生成部10aで取り扱う特徴量の一例を示す図表である。 第1の逸脱度出力生成部10aで行われる処理を示すフローチャートである。 第2の逸脱度出力生成部10bの構成を示すブロック図である。 第2の逸脱度出力生成部10bで行われる処理を示すフローチャートである。 第3の逸脱度出力生成部10cの構成を示すブロック図である。 第3の逸脱度出力生成部10cで行われる処理を示すフローチャートである。 この実施の形態のネットワーク異常検出装置で行われる段階的状態判別手法を示すフローチャートである。 この実施の形態のネットワーク異常検出装置と代表的なIDSとの検出精度の比較結果を示す図表である。 採用する統計量(モデル)の数を単独あるいは2種にした場合の検出精度の比較結果を示す図表である。
符号の説明
1 ネットワーク異常検出装置
5 制御部
6 逸脱度判定処理部
7 タイムアウト判定処理部
8 アラート出力部
10a 第1の逸脱度出力生成部
10b 第2の逸脱度出力生成部
10c 第3の逸脱度出力生成部
11 タッピング装置
12 記憶部
13 特徴量抽出部
14 通常状態定義部
15 逸脱度算出部
181〜18p 特徴量抽出部
20 ネットワーク異常検出装置
211〜21p 確率分布生成部
221〜22p 異常度算出部
23 合成部
31 アクセス回数算出部
32 サービス回数算出部
34 サービス提供率算出部
35 異常度算出部
411〜41h ペイロード文字抽出部
421〜42h 文字出現確率分布生成部
431〜43h 適合度検定量算出部

Claims (13)

  1. ネットワークの状態の異常を検出するネットワーク異常検出装置であって、
    ネットワークに流れるパケット情報に基づいて当該ネットワークの通常状態からの逸脱の程度を表す逸脱度を出力する少なくとも一つの逸脱度出力生成部と、
    前記逸脱度出力生成部から出力された少なくとも一つの逸脱度を統合的に処理してネットワークの異常の有無を判断する制御部と、
    を備え、
    前記制御部は、
    前記逸脱度と所定のしきい値との比較処理を行う逸脱度判定処理部と、
    所定の時間的判断要素と所定のタイムアウト値との比較処理を行うタイムアウト判定処理部と、
    を備えたことを特徴とするネットワーク異常検出装置。
  2. 通常状態に加えてネットワークの異常検出を行う条件の異なる第1の状態および第2の状態の2つの判定状態がさらに定義されるとともに、前記所定のしきい値の一つとして第1のしきい値が設定され、前記逸脱度と前記第1のしきい値との比較処理の結果に基づいて前記判定状態が通常状態、第1の状態または第2の状態のいずれか一つの状態に設定されるとき、
    前記制御部は、
    前記判定状態が第1の状態のときには、アラートを発出するか否かの判断を行い、
    前記判定状態が第2の状態のときには、アラートを発出するか否かの判断を保留することを特徴とする請求項1に記載のネットワーク異常検出装置。
  3. 前記所定のタイムアウト値の一つとして第1のタイムアウト値が設定され、前記所定の時間的判断要素の一つとしてアラート発生間隔が設定されるとき、
    前記タイムアウト判定処理部は、
    前記判定状態が第1の状態のときに、前記アラート発生間隔と前記第1のタイムアウト値との比較処理の結果に基づいてアラートを発出するか否かを判断することを特徴とする請求項2に記載のネットワーク異常検出装置。
  4. 前記所定のしきい値の一つとして第2のしきい値が設定され、前記所定のタイムアウト値の一つとして第2のタイムアウト値が設定され、前記所定の時間的判断要素の一つとして判定処理間隔が設定されるとともに、前記判定状態が第2の状態のとき、
    前記タイムアウト判定処理部は、
    前記判定処理間隔と前記第2のタイムアウト値との比較処理の結果に基づいて判定を継続するか否か判断し、
    前記逸脱度判定処理部は、
    当該判定を継続すると判断したときに前記逸脱度を累積加算した累積逸脱度を算出するとともに、当該累積逸脱度と前記第2のしきい値との比較処理の結果に基づいて前記第1の状態に遷移するか否かを判断することを特徴とする請求項3に記載のネットワーク異常検出装置。
  5. 前記逸脱度出力生成部は、前記パケット情報から抽出される所定の特徴量の確率分布に基づいて生成される逸脱度を出力することを特徴とする請求項1〜4のいずれか一つに記載のネットワーク異常検出装置。
  6. 前記逸脱度出力生成部は、前記パケット情報のペイロードから抽出されたペイロード文字の文字出現確率分布に基づいて生成される逸脱度を出力することを特徴とする請求項1〜4のいずれか一つに記載のネットワーク異常検出装置。
  7. 前記逸脱度出力生成部は、
    前記パケット情報から抽出される所定の特徴量の確率分布に基づいて生成される逸脱度と、
    前記パケット情報のペイロードから抽出されたペイロード文字の文字出現確率分布に基づいて生成される逸脱度と、
    を出力することを特徴とする請求項1〜5のいずれか一つに記載のネットワーク異常検出装置。
  8. 前記逸脱度出力生成部は、所定のサーバが所定のサービスにおいてサーバとなる確率を表すサービス提供率に基づいて生成される逸脱度をさらに出力することを特徴とする請求項7に記載のネットワーク異常検出装置。
  9. ネットワークの通常状態からの逸脱の程度を表すものとして当該ネットワークに流れるパケット情報に基づいて生成される逸脱度に基づいてネットワークの状態の異常を検出するネットワーク異常検出方法であって、
    ネットワークの状態が異常か否かの判断が行われる第1の状態と、ネットワークの状態が異常か否かの判断が保留される第2の状態とが定義され、
    前記第1の状態のときに、
    前記逸脱度と所定の第1のしきい値との比較処理を行う逸脱度判定処理ステップと、
    アラート発生間隔と所定の第1のタイムアウト値との比較処理を行う第1のタイムアウト判定処理ステップと、
    を含むことを特徴とするネットワーク異常検出方法。
  10. 前記逸脱度が前記第1のしきい値よりも小さいときに前記判定状態を通常状態から第2の状態に遷移させることを特徴とする請求項9に記載のネットワーク異常検出方法。
  11. 前記第2の状態のときに、
    自身の判定処理間隔と所定の第2のタイムアウト値との比較処理を行う第2のタイムアウト判定処理ステップと、
    前記第2のタイムアウト判定処理ステップの判定結果に基づいて前記逸脱度が累積加算された累積逸脱度がと所定の第2のしきい値との比較処理を行う累積逸脱度判定処理ステップと、
    を含むことを特徴とする請求項10に記載のネットワーク異常検出方法。
  12. 前記累積逸脱度が前記所定の第2のしきい値よりも大きいときに前記第2の状態から前記第1の状態に遷移させることを特徴とする請求項11に記載のネットワーク異常検出方法。
  13. 請求項9〜12のいずれか一つに記載の方法を電子計算機に実行させることを特徴とするネットワーク異常検出プログラム。
JP2004032325A 2004-02-09 2004-02-09 ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム Pending JP2005223847A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004032325A JP2005223847A (ja) 2004-02-09 2004-02-09 ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004032325A JP2005223847A (ja) 2004-02-09 2004-02-09 ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム

Publications (1)

Publication Number Publication Date
JP2005223847A true JP2005223847A (ja) 2005-08-18

Family

ID=34999115

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004032325A Pending JP2005223847A (ja) 2004-02-09 2004-02-09 ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム

Country Status (1)

Country Link
JP (1) JP2005223847A (ja)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007029396A1 (ja) * 2005-09-07 2007-03-15 Yokogawa Electric Corporation 情報システム
JP2008154010A (ja) * 2006-12-19 2008-07-03 Mitsubishi Electric Corp データ処理装置及びデータ処理方法及びプログラム
JP2009111537A (ja) * 2007-10-29 2009-05-21 Nippon Telegr & Teleph Corp <Ntt> 通信関係構造変化による異常検出方法、装置、プログラム、および記録媒体
JP2009540463A (ja) * 2006-06-16 2009-11-19 マイクロソフト コーポレーション Api性能プロファイルを収集し報告するための自動化された方法およびシステム
WO2010035711A1 (ja) * 2008-09-26 2010-04-01 株式会社コナミデジタルエンタテインメント 情報処理装置、情報処理方法、情報記憶媒体、ならびに、プログラム
JP2011205276A (ja) * 2010-03-25 2011-10-13 Ntt Docomo Inc 故障検出装置
WO2018181253A1 (ja) * 2017-03-27 2018-10-04 パナソニックIpマネジメント株式会社 データ分析装置、方法、及びプログラム
CN112788145A (zh) * 2021-01-21 2021-05-11 中国科学院信息工程研究所 一种基于非嵌入式探针的跨域功能安全异常检测溯源方法

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007029396A1 (ja) * 2005-09-07 2007-03-15 Yokogawa Electric Corporation 情報システム
JP2009540463A (ja) * 2006-06-16 2009-11-19 マイクロソフト コーポレーション Api性能プロファイルを収集し報告するための自動化された方法およびシステム
US9027000B2 (en) 2006-06-16 2015-05-05 Microsoft Technology Licensing, Llc Automated method and system for collecting and reporting API performance profiles
JP2008154010A (ja) * 2006-12-19 2008-07-03 Mitsubishi Electric Corp データ処理装置及びデータ処理方法及びプログラム
JP4559462B2 (ja) * 2007-10-29 2010-10-06 日本電信電話株式会社 通信関係構造変化による異常検出方法、装置、プログラム、および記録媒体
JP2009111537A (ja) * 2007-10-29 2009-05-21 Nippon Telegr & Teleph Corp <Ntt> 通信関係構造変化による異常検出方法、装置、プログラム、および記録媒体
WO2010035711A1 (ja) * 2008-09-26 2010-04-01 株式会社コナミデジタルエンタテインメント 情報処理装置、情報処理方法、情報記憶媒体、ならびに、プログラム
JP2010078499A (ja) * 2008-09-26 2010-04-08 Konami Digital Entertainment Co Ltd 情報処理装置、情報処理方法、ならびに、プログラム
JP2011205276A (ja) * 2010-03-25 2011-10-13 Ntt Docomo Inc 故障検出装置
WO2018181253A1 (ja) * 2017-03-27 2018-10-04 パナソニックIpマネジメント株式会社 データ分析装置、方法、及びプログラム
CN110463145A (zh) * 2017-03-27 2019-11-15 松下知识产权经营株式会社 数据分析装置、方法以及程序
JPWO2018181253A1 (ja) * 2017-03-27 2020-02-06 パナソニックIpマネジメント株式会社 データ分析装置、方法、及びプログラム
US10986115B2 (en) * 2017-03-27 2021-04-20 Panasonic Intellectual Property Management Co., Ltd. Data analysis device, method, and storage medium
CN110463145B (zh) * 2017-03-27 2021-09-24 松下知识产权经营株式会社 数据分析装置、方法以及程序
JP7033733B2 (ja) 2017-03-27 2022-03-11 パナソニックIpマネジメント株式会社 データ分析装置、方法、及びプログラム
CN112788145A (zh) * 2021-01-21 2021-05-11 中国科学院信息工程研究所 一种基于非嵌入式探针的跨域功能安全异常检测溯源方法
CN112788145B (zh) * 2021-01-21 2022-05-10 中国科学院信息工程研究所 一种基于非嵌入式探针的跨域功能安全异常检测溯源方法

Similar Documents

Publication Publication Date Title
KR101814368B1 (ko) 빅데이터 및 인공지능을 이용한 정보 보안 네트워크 통합 관리 시스템 및 그 방법
JP6184270B2 (ja) 将来のネットワーク攻撃を検知及び予測するために、様々な指標と過去の攻撃事例を相関させ、攻撃に関する指標のプロファイルを作成するシステム及び方法
CN108429651B (zh) 流量数据检测方法、装置、电子设备及计算机可读介质
JP5518872B2 (ja) ネットワーク異常流量分析装置及び方法
CN102624696B (zh) 一种网络安全态势评估方法
CN108965347B (zh) 一种分布式拒绝服务攻击检测方法、装置及服务器
CN101286897B (zh) 一种基于超统计理论的网络流量异常检测方法
US20040157556A1 (en) System for intrusion detection
US7596810B2 (en) Apparatus and method of detecting network attack situation
JP4232828B2 (ja) アプリケーション分類方法、ネットワーク異常検知方法、アプリケーション分類プログラム、ネットワーク異常検知プログラム、アプリケーション分類装置、ネットワーク異常検知装置
Eslahi et al. Periodicity classification of HTTP traffic to detect HTTP Botnets
CN113518057B (zh) 分布式拒绝服务攻击的检测方法、装置及其计算机设备
JP4112584B2 (ja) 異常トラヒック検出方法及び装置
KR101281456B1 (ko) 자기 유사성을 이용한 scada 네트워크의 이상증후를 탐지하는 장치 및 방법
US10681059B2 (en) Relating to the monitoring of network security
JP2005223847A (ja) ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム
KR101187023B1 (ko) 네트워크 비정상 트래픽 분석시스템
JP6470201B2 (ja) 攻撃検知装置、攻撃検知システムおよび攻撃検知方法
CN108712365B (zh) 一种基于流量日志的DDoS攻击事件检测方法及系统
JP2005203992A (ja) ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム
Wang et al. Network traffic anomaly detection algorithm based on intuitionistic fuzzy time series graph mining
KR101976395B1 (ko) 네트워크의 비정상행위 시각화 방법 및 장치
CN109257384B (zh) 基于访问节奏矩阵的应用层DDoS攻击识别方法
JP6067195B2 (ja) 情報処理装置及び情報処理方法及びプログラム
JP4559500B2 (ja) 異常トラヒック検出方法及び装置