JP2005244429A - Feature quantity extracting method for detecting abnormality of network, program for allowing computer to execute the method, feature quantity extracting apparatus, and network abnormality detecting system - Google Patents

Feature quantity extracting method for detecting abnormality of network, program for allowing computer to execute the method, feature quantity extracting apparatus, and network abnormality detecting system Download PDF

Info

Publication number
JP2005244429A
JP2005244429A JP2004049430A JP2004049430A JP2005244429A JP 2005244429 A JP2005244429 A JP 2005244429A JP 2004049430 A JP2004049430 A JP 2004049430A JP 2004049430 A JP2004049430 A JP 2004049430A JP 2005244429 A JP2005244429 A JP 2005244429A
Authority
JP
Japan
Prior art keywords
network
event
feature
feature quantity
feature amount
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004049430A
Other languages
Japanese (ja)
Inventor
Yuji Izumi
勇治 和泉
Toshiki Endo
俊樹 遠藤
Yasushi Kato
寧 加藤
Yoshiaki Nemoto
義章 根元
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intelligent Cosmos Research Institute
Original Assignee
Intelligent Cosmos Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intelligent Cosmos Research Institute filed Critical Intelligent Cosmos Research Institute
Priority to JP2004049430A priority Critical patent/JP2005244429A/en
Publication of JP2005244429A publication Critical patent/JP2005244429A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a feature quantity extracting method for detecting abnormality of a network or the like enhancing detection accuracy of an illegitimate access such as an attack by using an abnormality detection system. <P>SOLUTION: The method segments an observation slot by a feature quantity extracting section 13a on the basis of an event including traffic such as a SYN packet as a feature quantity capturing a quantitative change in the traffic delivered from the Internet 11 to a network of a LAN 12 to extract the feature quantity. A data generating section 13b generates a distribution pattern of the traffic on the basis of the feature quantity, and the feature quantity extracting apparatus compares a distribution pattern in an ordinary state of the network with a distribution pattern in operation to detect the abnormality state of the network. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

この発明は、ネットワークの異常状態を検出するための特徴量を求めるネットワーク異常検出の特徴量抽出方法、その方法をコンピュータに実行させるプログラム、その特徴量抽出装置およびネットワーク異常検出システムに関するものである。   The present invention relates to a network abnormality detection feature amount extraction method for obtaining a feature amount for detecting an abnormal state of a network, a program for causing a computer to execute the method, a feature amount extraction apparatus, and a network abnormality detection system.

近年、インターネットの発展にともなって、企業、官公庁および各種学校への普及に限らず、個人のユーザにおいても、インターネットへの常時接続が可能になった。このため、Webページの改ざんやホストへの不正侵入、DoS(Denial of Service)攻撃やDDoS(Distributed DoS)攻撃は、企業やプロバイダなどの問題だけではなく、個人ユーザまでもが、その脅威にさらされている。   In recent years, along with the development of the Internet, it has become possible not only to spread to businesses, government offices and various schools, but also to individual users to always connect to the Internet. For this reason, tampering with web pages, unauthorized intrusion into the host, DoS (Denial of Service) attacks and DDoS (Distributed DoS) attacks are not only a problem for companies and providers, but also to individual users. Has been.

そこで、これら攻撃を検知するシステムとして、IDS(IntrusionDetection System)が開発されている。このIDSの攻撃検出手法には、主に不正検出方式と異常検出方式の2つがあり、このうちの異常検出方式の研究が広く行われている(たとえば、特許文献1)。この異常検出方式では、たとえば図15の侵入検知システムを用いて説明すると、トラフィックの通常状態を定義するために、インターネット11と、LAN12間に設けられた特徴量抽出装置13によるパケット単位、TCP(Transmission Control Protocol)のセッション単位やタイムスロット単位による特徴量の抽出が提案されている。なお、図15の特徴量抽出装置13において抽出された特徴量は、たとえば管理用マネージャ14内のデータベースに格納され、この管理用マネージャ14によって管理されている。   Therefore, IDS (Intrusion Detection System) has been developed as a system for detecting these attacks. There are mainly two types of IDS attack detection methods, a fraud detection method and an anomaly detection method, and anomaly detection methods among them are widely studied (for example, Patent Document 1). In this anomaly detection method, for example, using the intrusion detection system of FIG. 15, in order to define a normal state of traffic, a packet unit, TCP (by a feature quantity extraction device 13 provided between the Internet 11 and the LAN 12 is used. (Transmission Control Protocol) has been proposed to extract feature amounts in session units or time slot units. Note that the feature quantity extracted by the feature quantity extraction device 13 of FIG. 15 is stored, for example, in a database in the management manager 14 and managed by the management manager 14.

特開2000−354034号公報JP 2000-354034 A

しかしながら、このうちのパケット単位では、ネットワークの広帯域化により負荷が大きくなってしまうという問題点があり、また、このセッション単位では、ネットワークの全体的な特徴を表すことができないという問題点があった。さらに、このタイムスロット単位では、抽出する情報が分断されるなどの問題点があった。   However, these packets have the problem that the load becomes large due to the wider bandwidth of the network, and there is the problem that the overall characteristics of the network cannot be expressed in this session unit. . Furthermore, there is a problem that information to be extracted is divided in this time slot unit.

この発明は、上記問題点に鑑みなされたもので、異常検出方式を用いて、攻撃などの不正アクセスの検出精度を向上させることができるネットワーク異常検出の特徴量抽出方法、その方法をコンピュータに実行させるプログラム、その特徴量抽出装置およびネットワーク異常検出システムを提供することを目的とする。   The present invention has been made in view of the above-mentioned problems. A network anomaly detection feature quantity extraction method capable of improving the accuracy of detecting unauthorized access such as an attack using an anomaly detection method, and executing the method on a computer It is an object of the present invention to provide a program to be executed, a feature amount extraction apparatus, and a network abnormality detection system.

上記目的を達成するため、請求項1の発明にかかるネットワーク異常検出の特徴量抽出方法では、予め定めたイベントを所定回検出する検出工程と、前記検出工程で前記イベントが検出される間の特徴量を抽出する抽出工程とを含み、前記ネットワークの異常状態を検出するための前記特徴量を、前記イベントに基づいて抽出することを特徴とするネットワーク異常検出の特徴量抽出方法が提供される。   In order to achieve the above object, in the feature extraction method of network abnormality detection according to the invention of claim 1, a detection step of detecting a predetermined event a predetermined number of times, and a feature during the detection of the event in the detection step A network anomaly detection feature quantity extraction method comprising: extracting the feature quantity for detecting an abnormal state of the network based on the event.

この請求項1の発明によれば、ネットワークに流入するトラヒックの量的な変化を捉える特徴量として、単位時間当たりのトラヒックを観測するタイムスロットよりも、トラヒックのあるイベント、たとえばSYNやFINのパケットを基準として観測スロットを区切り、特徴量の抽出を行うことで、不正アクセスの検出精度を高める。   According to the first aspect of the present invention, as a feature value for capturing a quantitative change in traffic flowing into the network, an event with traffic rather than a time slot for observing traffic per unit time, for example, a packet of SYN or FIN The detection accuracy of unauthorized access is improved by dividing the observation slots on the basis of and extracting feature quantities.

また、請求項2にかかるネットワーク異常検出の特徴量抽出方法にて、前記抽出工程では、前記イベントが所定回検出される間のトラフィック全体に対する少なくとも1種類の前記イベントの数または比率を計算し、前記計算の結果を特徴量として抽出することを特徴とする。   Further, in the feature extraction method of network abnormality detection according to claim 2, in the extraction step, the number or ratio of at least one type of the event to the entire traffic while the event is detected a predetermined number of times is calculated, The result of the calculation is extracted as a feature quantity.

この発明によれば、イベントが所定回検出される間を一つの観測スロットとして、その間のトラフィック全体に対して検出されたイベントの数、比率または量から特徴量の抽出を行うことで、不正アクセスの検出精度を高める。   According to the present invention, while an event is detected a predetermined number of times, a single observation slot is used, and the feature amount is extracted from the number, ratio, or amount of detected events for the entire traffic in the meantime, thereby allowing unauthorized access. Increase detection accuracy.

また、請求項3にかかるネットワーク異常検出の特徴量抽出方法にて、前記検出工程で検出される前記イベントは、TCP、UDP(User Datagram Protocol)およびICMP(Internet control Message Protocol)のパケットのうち、いずれか一つプロトコルの前記パケットの中の予め定められたイベントからなることを特徴とする。   Further, in the feature extraction method for network abnormality detection according to claim 3, the events detected in the detection step are TCP, UDP (User Datagram Protocol), and ICMP (Internet control Message Protocol) packets. It consists of a predetermined event in the packet of any one protocol.

この発明によれば、インターネットとLAN間を流れるTCP、UDPおよびICMPのパケットのうち、いずれか一つのプロトコルのパケットの中の所定イベント、たとえばTCPにおけるSYNなどのパケットを基準として、特徴量の抽出を行うことで、不正アクセスの検出精度を高める。   According to the present invention, feature amount extraction is performed based on a predetermined event in a packet of any one protocol among TCP, UDP, and ICMP packets flowing between the Internet and a LAN, for example, a packet such as SYN in TCP. To increase the accuracy of detecting unauthorized access.

また、請求項4にかかるプログラムでは、請求項1または2に記載された方法をコンピュータに実行させることを特徴とするプログラムが提供される。   According to a fourth aspect of the present invention, there is provided a program that causes a computer to execute the method according to the first or second aspect.

この発明によれば、請求項1または2にいずれか一つに記載された方法をコンピュータに実行させるプログラムであり、そのプログラムがコンピュータに読み取り可能となり、これによって、上記請求項1または2のいずれか一つの動作をコンピュータによって実行することができる。   According to the present invention, there is provided a program for causing a computer to execute the method described in any one of claims 1 and 2, and the program can be read by the computer. One operation can be performed by a computer.

また、請求項5にかかるネットワーク異常検出の特徴量抽出装置にて、ネットワークの異常状態を検出するための特徴量を抽出するネットワーク異常検出の特徴量抽出装置において、予め定めたイベントを検出する検出手段と、前記イベントが所定回検出される間の特徴量を抽出する抽出手段とを備えたことを特徴とするネットワーク異常検出の特徴量抽出装置が提供される。   In addition, in the feature extraction device for network abnormality detection according to claim 5, detection for detecting a predetermined event in the feature extraction device for network abnormality detection that extracts a feature amount for detecting an abnormal state of the network. There is provided a feature amount extraction device for detecting network anomalies, characterized by comprising means and extraction means for extracting a feature amount while the event is detected a predetermined number of times.

この発明によれば、SYNやFINなどのイベントを検出手段で所定回検出し、その間のネットワークに流入するトラヒックの量的な変化を、抽出手段で特徴量として抽出することで、不正アクセスの検出精度を高める。   According to this invention, an event such as SYN or FIN is detected a predetermined number of times by the detecting means, and a quantitative change in traffic flowing into the network during that time is extracted as a feature quantity by the extracting means, thereby detecting unauthorized access. Increase accuracy.

また、請求項6にかかるネットワーク異常検出の特徴量抽出装置にて、前記抽出手段は、前記検出手段で前記イベントが所定回検出される間のパケット全体に対する前記イベントの割合を特徴量として抽出することを特徴とする。   Further, in the feature extraction device for network abnormality detection according to claim 6, the extraction means extracts the ratio of the event to the whole packet while the event is detected a predetermined number of times as the feature quantity. It is characterized by that.

この発明によれば、イベントが所定回検出される間を一つの観測スロットとして、抽出手段でパケット全体に対するイベントの割合を特徴量として抽出することで、不正アクセスの検出精度を高める。   According to the present invention, the period during which an event is detected a predetermined number of times is regarded as one observation slot, and the extraction means extracts the ratio of the event with respect to the entire packet as a feature amount, thereby increasing the accuracy of detecting unauthorized access.

また、請求項7にかかるネットワーク異常検出の特徴量抽出装置では、前記抽出手段で抽出された特徴量に基づき、トラフィックの分布パターンを作成する作成手段をさらに備えたことを特徴とする。   According to a seventh aspect of the present invention, there is provided a network anomaly detection feature quantity extraction device further comprising a creation means for creating a traffic distribution pattern based on the feature quantity extracted by the extraction means.

この発明によれば、抽出された特徴量を基に、トラフィックの分布パターンを作成する作成手段を新たに設けることで、通常時のトラフィックの分布パターンと異常時のトラフィックの分布パターンを得て、ネットワークの状態異常の監視を可能にする。   According to this invention, based on the extracted feature quantity, by newly providing a creation means for creating a traffic distribution pattern, obtain a normal traffic distribution pattern and an abnormal traffic distribution pattern, Enables monitoring of network status abnormalities.

また、請求項8にかかるネットワーク異常検出システムでは、抽出された特徴量に基づいて、ネットワーク回線状態の異常を検出するネットワーク異常検出システムにおいて、請求項5〜7のいずれか一つの特徴量抽出装置と、前記特徴量抽出装置で抽出された特徴量に基づき、ネットワークの状態異常を監視する監視装置とを備えたことを特徴とするネットワーク異常検出システムが提供される。   Further, in the network abnormality detection system according to claim 8, in the network abnormality detection system for detecting an abnormality in the network line state based on the extracted feature quantity, the feature quantity extraction device according to any one of claims 5 to 7 And a monitoring device for monitoring a network state abnormality based on the feature amount extracted by the feature amount extraction device.

この発明によれば、上記請求項5〜7のいずれか一つの特徴量抽出装置で抽出された特徴量を基に、通常時のトラフィックの分布パターンと異常時のトラフィックの分布パターンを例えば比較することで監視装置でネットワークの状態異常を監視することで、ネットワークの異常状態の監視を的確に行う。   According to the present invention, for example, the normal traffic distribution pattern and the abnormal traffic distribution pattern are compared based on the feature amount extracted by the feature amount extraction device according to any one of claims 5 to 7. By monitoring the network status abnormality with the monitoring device, the network abnormal status is accurately monitored.

以上説明したように、この発明では、ネットワークに流入するトラヒックの量的な変化を捉える特徴量として、トラヒックのあるイベントを特定し、このイベントが所定回数検出される間の特徴量を抽出して、ネットワークの異常状態を検出するので、一連のパケット通信内でネットワークの異常状態を検出でき、これにより攻撃などの不正アクセスの検出精度を向上させることができる。   As described above, according to the present invention, an event with traffic is specified as a feature amount that captures a quantitative change in traffic flowing into the network, and a feature amount during which this event is detected a predetermined number of times is extracted. Since the abnormal state of the network is detected, the abnormal state of the network can be detected within a series of packet communications, thereby improving the accuracy of detecting unauthorized access such as an attack.

以下に図1〜図14の添付図面を参照して、この発明にかかるネットワーク異常検出の特徴量抽出方法、その方法をコンピュータに実行させるプログラム、その特徴量抽出装置およびネットワーク異常検出システムの好適な実施の形態を説明する。   With reference to the accompanying drawings of FIG. 1 to FIG. 14, a network anomaly detection feature quantity extraction method, a program for causing a computer to execute the method, a feature quantity extraction apparatus, and a network anomaly detection system according to the present invention are described below. An embodiment will be described.

(実施の形態1)
図1は、この発明にかかる侵入検知システムの概略構成を示す概略構成図である。図1において、図15と異なる点は、特徴量抽出装置13内の特徴量抽出部13aでは、管理者が予め定めたイベント、たとえばTCPのパケットのうち、TCPヘッダ内にSYNフラグが立ったパケット(以下、「SYNパケット」という)を所定回数検出し、その間隔を一つの観測スロットとして観測データを区切り、特徴量を抽出し、その特徴量に基づいて、データ作成部13bでトラフィックの分布パターンを作成し、作成されたトラフィックの分布パターンに基づいて特徴量抽出部13aがネットワークの異常検出を行う点である。 (Embodiment 1)
FIG. 1 is a schematic configuration diagram showing a schematic configuration of an intrusion detection system according to the present invention. FIG. 1 differs from FIG. 15 in that the feature quantity extraction unit 13a in the feature quantity extraction device 13 has an event predetermined by the administrator, for example, a packet in which a SYN flag is set in the TCP header among TCP packets. (Hereinafter referred to as “SYN packet”) is detected a predetermined number of times, the observation data is divided by using the interval as one observation slot, the feature amount is extracted, and the data distribution unit 13b performs traffic distribution pattern based on the feature amount. And the feature amount extraction unit 13a detects a network abnormality based on the created traffic distribution pattern.

つまり、TCPのプロトコルを用いたネットワークの通常状態における一連のデータ通信の流れは、図2のシーケンス図に示すように、まずデータ通信の始まりを示すSYNパケットがセンダ側からレシーバ側に送出され、このSYNパケットに対する確認応答である、TCPヘッダ内にACKフラグが立ったパケット(以下、「SYN/ACKパケット」という)がレシーバ側から送出される。次に、センダ側は、このSYN/ACKパケットを受け取ると、このSYN/ACKパケットに対する確認応答であるACKパケットを返送した後に、パケット構成のデータを送出し、レシーバ側は、このデータを受け取る度にACKパケットを返送して確認応答を行う。そして、データ通信が終了すると、センダ側からデータ通信の終了を示すTCPヘッダ内にFINのフラグが立ったパケット(以下、「FINパケット」という)がレシーバ側に送出され、これに応答してレシーバ側からFINパケットがセンダ側に返送されることで、一連のデータ通信が終了することとなる。   In other words, the flow of a series of data communication in the normal state of the network using the TCP protocol is as follows. First, a SYN packet indicating the start of data communication is sent from the sender side to the receiver side, as shown in the sequence diagram of FIG. A packet with an ACK flag set in the TCP header (hereinafter referred to as “SYN / ACK packet”), which is an acknowledgment response to the SYN packet, is transmitted from the receiver side. Next, when the sender side receives the SYN / ACK packet, the sender side returns an ACK packet which is an acknowledgment response to the SYN / ACK packet, and then sends out packet-structured data. The receiver side receives this data every time it receives the data. An ACK packet is returned to and an acknowledgment response is made. When the data communication is completed, a packet in which a FIN flag is set in the TCP header indicating the end of the data communication (hereinafter referred to as “FIN packet”) is sent from the sender side to the receiver side. By returning the FIN packet from the side to the sender side, a series of data communication is completed.

この実施の形態では、ネットワークの通常状態における一連のデータ通信で必ず存在するSYN(またはFIN)を特定のイベントに予め設定し、このSYNパケットを所定回数検出し、その間隔を一つの観測スロットとして観測データを区切り、この観測スロット内で検出された全パケットの数とSYNパケットの数との割合を算出し、この算出結果を特徴量としてトラフィックの分布データを作成する。   In this embodiment, SYN (or FIN), which is always present in a series of data communications in the normal state of the network, is set in advance as a specific event, this SYN packet is detected a predetermined number of times, and the interval is set as one observation slot. The observation data is divided, the ratio between the number of all packets detected in this observation slot and the number of SYN packets is calculated, and traffic distribution data is created using this calculation result as a feature amount.

次に、図1に示した特徴量抽出装置13の特徴量抽出動作を、図3のフローチャートを用いて説明する。図3において、特徴量抽出部13aには、まずカウンタ機能を用いて初期設定値としてSYNの検出回数をたとえば(n+1)に設定しており(ステップ101)特定イベントの検出回数のカウントを可能とし、このSYNフラグが立ったSYNパケットが検出されたかどうか判断する(ステップ102)。   Next, the feature quantity extraction operation of the feature quantity extraction apparatus 13 shown in FIG. 1 will be described using the flowchart of FIG. In FIG. 3, the feature quantity extraction unit 13a first sets the number of times of detection of SYN as, for example, (n + 1) as an initial set value using a counter function (step 101), and enables the number of times of detection of a specific event to be counted. Then, it is determined whether or not a SYN packet with the SYN flag set is detected (step 102).

そして、SYNが検出されると、特徴量抽出部13aは、カウンタ機能を用いてこのSYNが(n+1)回になる間の全パケット数を検出し(ステップ103)、次にSYNの検出が(n+1)回に達したかどうか判断する(ステップ104)。ここで、このSYN検出が(n+1)回に達していない場合には、SYNの現在に検出回数nに「1」をインクリメントして(ステップ105)、次のSYNパケットの検出を行う。   When SYN is detected, the feature quantity extraction unit 13a uses the counter function to detect the total number of packets while the SYN is (n + 1) times (step 103), and then the SYN is detected ( It is determined whether or not n + 1) times have been reached (step 104). If the SYN detection has not reached (n + 1) times, “1” is incremented to the number of detections n at the current time of SYN (step 105), and the next SYN packet is detected.

また、このSYNの検出が(n+1)回に達した場合には、ステップ103で検出した全パケット数に対するSYN数の割合を求めて、特徴量を抽出し、その特徴量に基づいて、データ作成部13bがトラフィックの分布パターンを作成する(ステップ106)。そして、SYNの検出回数(カウント数)をクリアして(ステップ107)、次のSYNパケットの検出を行う。   If the number of SYN detections reaches (n + 1) times, the ratio of the number of SYNs to the total number of packets detected in step 103 is obtained, feature quantities are extracted, and data is created based on the feature quantities. The unit 13b creates a traffic distribution pattern (step 106). Then, the number of times SYN detection (count number) is cleared (step 107), and the next SYN packet is detected.

この実施の形態では、図1に示すように、IDS16がLAN12内に設けられ、データ作成部13bによって作成されたトラフィックの分布パターンのデータをデータベース16aに記憶するとともに、データ解析クラスタ16bによって、これらトラフィックの分布パターンのクラスタ解析を行ってネットワークの状態を監視している。なお、この発明では、特徴量抽出装置13とIDS16とを一つのユニットとして構成することも可能である。   In this embodiment, as shown in FIG. 1, the IDS 16 is provided in the LAN 12, and the traffic distribution pattern data created by the data creation unit 13b is stored in the database 16a. The network status is monitored by cluster analysis of traffic distribution patterns. In the present invention, the feature quantity extraction device 13 and the IDS 16 can be configured as one unit.

データ作成部13bでは、ネットワークの通常状態において作成したトラフィックの分布パターンのデータをIDS16に送出して、データベース16aに予め記憶させるとともに、ネットワークの運用時に作成したトラフィックの分布パターンと、このデータベースに記憶させた通常時のトラフィックの分布パターンの比較を行い、この比較の結果を特徴量抽出部13aに出力する。特徴量抽出部13aは、この比較結果からネットワークの状態異常を判断する。   In the data creation unit 13b, traffic distribution pattern data created in the normal state of the network is sent to the IDS 16 and stored in the database 16a in advance, and the traffic distribution pattern created during network operation and stored in this database. The normal traffic distribution patterns are compared, and the comparison result is output to the feature amount extraction unit 13a. The feature amount extraction unit 13a determines a network state abnormality from the comparison result.

また、特徴量抽出部13aは、ネットワークの状態異常を検出した場合には、警告をファイアウォール15に通知し、この通知を受けてファイアウォール15は、インターネット11などからの不正アクセスを遮断するように動作する。このように、管理者の意図しないLAN外部からの不正アクセスを排除することで、侵入検知システムの安全性を飛躍的に高めている。   Also, the feature quantity extraction unit 13a notifies the firewall 15 of a warning when an abnormal network condition is detected, and the firewall 15 operates so as to block unauthorized access from the Internet 11 or the like in response to this notification. To do. In this way, by removing unauthorized access from outside the LAN that is not intended by the administrator, the security of the intrusion detection system is dramatically improved.

(タイムスロット手法との比較)
次に、この発明者らは、特徴量抽出装置13の不正アクセスの検出の効果を検証するために、約80台の計算機が稼動するネットワーク(LAN12)に流入する1日分のトラフィックを対象に以下の実験を行った。この日は、11回のホストスキャンが確認されており、これを検出対象とした。 (Comparison with time slot method)
Next, in order to verify the effect of detecting unauthorized access by the feature quantity extraction device 13, the present inventors target traffic for one day flowing into a network (LAN 12) in which about 80 computers are operated. The following experiment was conducted. On this day, 11 host scans were confirmed, and this was the detection target.

この実験において、本発明では、基準となるイベントをSYNパケットとし、観測スロットを決定するSYNパケットの観測回数を10回、20回、30回、40回および50回と変化させて、SYNパケットがこれら観測回数検出される間のパケット全体に対するSYNの割合を特徴量として抽出した。図4〜図8は、上記観測の結果によって求められたトラフィックの分布パターンであり、図9は、本発明のイベント基準によるスキャン検出数を示している。なお、図9では、閾値をいずれも通常状態の場合の20%とした。   In this experiment, in the present invention, the SYN event is changed to 10 times, 20 times, 30 times, 40 times, and 50 times, and the SYN packet is changed to 10 times, 20 times, 30 times, 40 times, and 50 times. The ratio of SYN to the whole packet during the detection of these observation times was extracted as a feature amount. 4 to 8 show traffic distribution patterns obtained from the above observation results, and FIG. 9 shows the number of scan detections according to the event criterion of the present invention. In FIG. 9, the threshold value is 20% of that in the normal state.

また、比較例として、タイムスロット単位での同様の特徴量の抽出も行い、その測定間隔を1分、3分、5分および10分間とした。図10〜図13は、上記観測の結果によって求められたトラフィックの分布パターンであり、図14は、タイムスロットによるスキャン検出数を示している。なお、図14では、閾値を、タイムスロット1分間の場合10%、それ以外の場合15%とした。   Further, as a comparative example, similar feature amounts were extracted in units of time slots, and the measurement intervals were set to 1, 3, 5, and 10 minutes. 10 to 13 show traffic distribution patterns obtained from the above observation results, and FIG. 14 shows the number of scan detections by time slots. In FIG. 14, the threshold value is 10% when the time slot is 1 minute, and 15% otherwise.

図4〜図8および図10〜図13の分布パターンでは、一時的にSYNパケットが増大している様子を捉えている。通常のデータ通信では、図2に示したように、SYNパケットとSYNパケットとの間にデータの通信などが含まれるが、ホストスキャンでは、SYNパケットとSYNパケットとの間に他のデータが含まれない形で通信が起こる。   The distribution patterns of FIGS. 4 to 8 and FIGS. 10 to 13 capture a state in which the SYN packets are temporarily increased. In normal data communication, as shown in FIG. 2, communication of data is included between SYN packets and SYN packets, but in host scan, other data is included between SYN packets and SYN packets. Communication occurs in a form that is not possible.

この点に鑑みてタイムスロット単位での分布パターンを検証すると、たとえば最初の10秒間にホストスキャンによるSYNの増大が発生しても、残りの検出時間が長くなるほど、SYN以外の他のデータのダウンロードが行われる通信が増えることによって、全体のパケット数が増大して最初のSYNの増大が異常として検出されずらいことがある。   In view of this point, if the distribution pattern in time slot units is verified, for example, even if SYN increases due to the host scan in the first 10 seconds, the remaining detection time becomes longer, and other data other than SYN is downloaded. As the number of communications performed increases, the total number of packets increases, and the first increase in SYN may not be detected as abnormal.

これに対して、この発明のイベント基準での分布パターンでは、SYNが所定の検出個数に達したら、その間の全パケット数に対するSYNの検出個数の割合を求めるので、タイムスロット単位での分布パターンのように、一連の通信の事象が分断された状態でパケット数をカウントしてしまうことが減少する。   In contrast, in the event-based distribution pattern of the present invention, when the SYN reaches a predetermined number of detections, the ratio of the number of detected SYNs to the total number of packets between them is obtained. As described above, counting the number of packets in a state where a series of communication events is divided is reduced.

したがって、図14に示したタイムスロットによるホストスキャンの検出数では、各タイムスロットで最も検出数がよかったものを採用したにもかかわらず、11個のホストスキャン中、最大でも8個のスキャンしか検出できなかった。これに対して、図9に示したこの発明のイベント基準によるホストスキャンの検出数では、全てのホストスキャンを検出することができ、特にSYNパケットの観測回数が30,40回とした場合には、誤検出や未検出もなく、全てのホストスキャンを検出することができた。   Therefore, in the number of host scans detected by the time slot shown in FIG. 14, only 8 scans are detected at the maximum, out of 11 host scans, even though the one with the highest number of detections in each time slot is adopted. could not. On the other hand, with the number of host scans detected according to the event criteria of the present invention shown in FIG. 9, all host scans can be detected, particularly when the number of observations of SYN packets is 30,40. It was possible to detect all host scans with no false positives or no detection.

なお、SYNの観測回数によって誤検出や未検出が変化するのは、通信の始まりから終わりまでを表す観測の起点となるSYNの個数が少なすぎると、タイムスロットで区切った場合と同様に、異常状態の通信と正常状態の通信とをうまく分離できず、誤検出が生じてしまい、またSYNの個数が多すぎると、小規模のホストスキャンなどが通常状態の通信に埋もれてしまい未検出が生じてしまうためと考えられる。   Note that the false detection and non-detection change depending on the number of SYN observations. The reason is that if the number of SYNs that are the starting points of the observation from the beginning to the end of the communication is too small, as in the case of dividing by time slots, State communication and normal state communication cannot be separated well, resulting in false detection, and if the number of SYNs is too large, small-scale host scans are buried in normal state communication, causing no detection. This is thought to be due to this.

このように、この実施の形態では、ネットワークの通常状態を定義するために、トラフィックのあるイベントを基準として観測スロットを区切って特徴量の抽出を行うので、攻撃などの不正アクセスの検出精度を向上させることができる。   As described above, in this embodiment, in order to define the normal state of the network, the feature amount is extracted by dividing the observation slot based on an event with traffic, so that the detection accuracy of unauthorized access such as an attack is improved. Can be made.

また、この実施の形態では、この発明にかかる特徴量抽出方法はコンピュータに実行させるプログラムであり、そのプログラムを特徴量抽出装置13内の図示しないコンピュータに読み取らせることによって、この特徴量抽出の動作を特徴量抽出装置13内のコンピュータに実行させることができる。   In this embodiment, the feature quantity extraction method according to the present invention is a program to be executed by a computer, and this feature quantity extraction operation is performed by causing the computer (not shown) in the feature quantity extraction apparatus 13 to read the program. Can be executed by a computer in the feature quantity extraction device 13.

なお、この実施の形態では、TCPのパケットについて説明したが、この発明はこれに限らず、たとえばUDPやICMPのパケットに対しても同様に、これらプロトコルのパケットの中から特定イベントを設定し、この特定イベントが所定回数検出される間の全パケット数に対する特定イベント数の割合を、特徴量として抽出することも可能である。また、この発明では、SYNやFINの他のイベントを基準にすることも可能である。   In this embodiment, the TCP packet has been described. However, the present invention is not limited to this. For example, a specific event is set from among the packets of these protocols for UDP and ICMP packets. It is also possible to extract the ratio of the number of specific events to the total number of packets while the specific event is detected a predetermined number of times as a feature amount. In the present invention, other events such as SYN and FIN can be used as a reference.

この発明は、これら実施形態に限定されるものではなく、この発明の要旨を逸脱しない範囲で種々の変形実施が可能である。この実施の形態では、パケット全体の受信回数に対する特定イベントの所定回数の割合(比率)によって特徴量を抽出するが、この発明はこれに限らず、たとえば特定イベントのデータ量を予め定めておき、この特定イベントのデータ量が所定量になる間のパケット全体のデータ量に対する特定イベントのデータ量の割合によって特徴量を抽出するように構成することも可能である。また、対象となる特定イベントは、複数種類でも良く、さらに特徴量は、上記割合に限らず、その数でも良い。   The present invention is not limited to these embodiments, and various modifications can be made without departing from the spirit of the present invention. In this embodiment, the feature amount is extracted by the ratio (ratio) of the predetermined number of specific events to the total number of receptions of the packet. However, the present invention is not limited to this. For example, the data amount of the specific event is determined in advance. The feature amount may be extracted based on the ratio of the data amount of the specific event to the data amount of the entire packet while the data amount of the specific event reaches a predetermined amount. Further, the target specific event may be a plurality of types, and the feature amount is not limited to the above-described ratio but may be the number thereof.

この発明にかかる侵入検知システムの概略構成を示す概略構成図である。1 is a schematic configuration diagram showing a schematic configuration of an intrusion detection system according to the present invention. ネットワークの通常状態における一連のデータ通信の流れを示すシーケンス図である。It is a sequence diagram which shows the flow of a series of data communications in the normal state of a network. 図1に示した特徴量抽出装置の特徴量抽出の動作を説明するためのフローチャートである。3 is a flowchart for explaining an operation of feature quantity extraction of the feature quantity extraction apparatus shown in FIG. 1. この発明にかかるSYNパケットの観測回数を10回に設定した場合のトラフィックの分布パターンを示す図である。It is a figure which shows the traffic distribution pattern when the frequency | count of observation of the SYN packet concerning this invention is set to 10. この発明にかかるSYNパケットの観測回数を20回に設定した場合のトラフィックの分布パターンを示す図である。It is a figure which shows the traffic distribution pattern at the time of setting the frequency | count of observation of the SYN packet concerning this invention to 20 times. この発明にかかるSYNパケットの観測回数を30回に設定した場合のトラフィックの分布パターンを示す図である。It is a figure which shows the traffic distribution pattern when the frequency | count of observation of the SYN packet concerning this invention is set to 30 times. この発明にかかるSYNパケットの観測回数を40回に設定した場合のトラフィックの分布パターンを示す図である。It is a figure which shows the distribution pattern of the traffic at the time of setting the observation frequency of the SYN packet concerning this invention to 40 times. この発明にかかるSYNパケットの観測回数を50回に設定した場合のトラフィックの分布パターンを示す図である。It is a figure which shows the traffic distribution pattern when the frequency | count of observation of the SYN packet concerning this invention is set to 50 times. この発明のイベント基準によるスキャン検出数を示す図である。It is a figure which shows the scan detection number by the event reference | standard of this invention. 従来例におけるタイムスロットの測定間隔を1分に設定した場合のトラフィックの分布パターンを示す図である。It is a figure which shows the traffic distribution pattern when the measurement interval of the time slot in a prior art example is set to 1 minute. 従来例におけるタイムスロットの測定間隔を3分に設定した場合のトラフィックの分布パターンを示す図である。It is a figure which shows the distribution pattern of traffic when the measurement interval of the time slot in a prior art example is set to 3 minutes. 従来例におけるタイムスロットの測定間隔を5分に設定した場合のトラフィックの分布パターンを示す図である。It is a figure which shows the traffic distribution pattern when the measurement interval of the time slot in a prior art example is set to 5 minutes. 従来例におけるタイムスロットの測定間隔を10分に設定した場合のトラフィックの分布パターンを示す図である。It is a figure which shows the distribution pattern of traffic when the measurement interval of the time slot in a prior art example is set to 10 minutes. タイムスロットによるスキャン検出数を示す図である。It is a figure which shows the scan detection number by a time slot. 従来の侵入検知システムの概略構成を示す概略構成図である。It is a schematic block diagram which shows schematic structure of the conventional intrusion detection system.

符号の説明Explanation of symbols

11 インターネット
12 LAN
13 特徴量抽出装置
13a 特徴量抽出部
13b データ作成部
14 管理用マネージャ
15 ファイアウォール
16 IDS
16a データベース
16b データ解析クラスタ 11 Internet 12 LAN
13 Feature Extraction Device 13a Feature Extraction Unit 13b Data Creation Unit 14 Management Manager 15 Firewall 16 IDS
16a database 16b data analysis cluster

Claims (8)

予め定めたイベントを所定回検出する検出工程と、
前記検出工程で前記イベントが所定回検出される間の特徴量を抽出する抽出工程と、
を含み、前記ネットワークの状態異常を検出するための前記特徴量を、前記イベントに基づいて抽出することを特徴とするネットワーク異常検出の特徴量抽出方法。 A detection step of detecting a predetermined event a predetermined number of times;
An extraction step for extracting a feature amount while the event is detected a predetermined number of times in the detection step;
And extracting the feature amount for detecting an abnormality in the network status based on the event. 前記抽出工程では、前記イベントが所定回検出される間のトラフィック全体に対する少なくとも1種類の前記イベントの数、比率または量を計算し、前記計算の結果を特徴量として抽出することを特徴とする請求項1に記載のネットワーク異常検出の特徴量抽出方法。   The extracting step calculates a number, a ratio, or an amount of at least one kind of the event with respect to the entire traffic while the event is detected a predetermined number of times, and extracts the calculation result as a feature amount. Item 2. A method for extracting feature values for network abnormality detection according to Item 1. 前記検出工程で検出される前記イベントは、TCP、UDPおよびICMPのパケットのうち、いずれか一つプロトコルの前記パケットの中の予め定められたイベントからなることを特徴とする請求項1または2に記載のネットワーク異常検出の特徴量抽出方法。   3. The event detected in the detection step includes a predetermined event in the packet of any one protocol among TCP, UDP, and ICMP packets. The feature extraction method of the network abnormality detection described. 請求項1または2に記載された方法をコンピュータに実行させることを特徴とするプログラム。   A program for causing a computer to execute the method according to claim 1. ネットワークの状態異常を検出するための特徴量を抽出するネットワーク異常検出の特徴量抽出装置において、
予め定めたイベントを検出する検出手段と、
前記イベントが所定回検出される間の特徴量を抽出する抽出手段と、
を備えたことを特徴とするネットワーク異常検出の特徴量抽出装置。 In a network anomaly detection feature quantity extraction device that extracts feature quantities for detecting abnormal network conditions,
Detecting means for detecting a predetermined event;
Extraction means for extracting a feature amount while the event is detected a predetermined number of times;
A feature extraction device for detecting network anomalies characterized by comprising: 前記抽出手段は、前記検出手段で前記イベントが所定回検出される間のパケット全体に対する前記イベントの割合を特徴量として抽出することを特徴とする請求項5に記載のネットワーク異常検出の特徴量抽出装置。   6. The feature extraction for network abnormality detection according to claim 5, wherein the extraction unit extracts a ratio of the event to the whole packet while the event is detected a predetermined number of times by the detection unit as a feature amount. apparatus. 前記ネットワーク異常検出の特徴量抽出装置は、前記抽出手段で抽出された特徴量に基づき、トラフィックの分布データを作成する作成手段をさらに備えたことを特徴とする請求項5または6に記載のネットワーク異常検出の特徴量抽出装置。   7. The network according to claim 5, wherein the network abnormality detection feature amount extraction apparatus further includes a creation unit that creates traffic distribution data based on the feature amount extracted by the extraction unit. A feature extraction device for abnormality detection. 抽出された特徴量に基づいて、ネットワークの状態異常を検出するネットワーク異常検出システムにおいて、
請求項5〜7のいずれか一つの特徴量抽出装置と、
前記特徴量抽出装置で抽出された特徴量に基づき、ネットワークの状態異常を監視する監視装置と、
を備えたことを特徴とするネットワーク異常検出システム。 In a network anomaly detection system that detects network status anomalies based on the extracted features,
A feature amount extraction device according to any one of claims 5 to 7,
A monitoring device that monitors a network state abnormality based on the feature amount extracted by the feature amount extraction device;
A network abnormality detection system characterized by comprising:
JP2004049430A 2004-02-25 2004-02-25 Feature quantity extracting method for detecting abnormality of network, program for allowing computer to execute the method, feature quantity extracting apparatus, and network abnormality detecting system Pending JP2005244429A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004049430A JP2005244429A (en) 2004-02-25 2004-02-25 Feature quantity extracting method for detecting abnormality of network, program for allowing computer to execute the method, feature quantity extracting apparatus, and network abnormality detecting system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004049430A JP2005244429A (en) 2004-02-25 2004-02-25 Feature quantity extracting method for detecting abnormality of network, program for allowing computer to execute the method, feature quantity extracting apparatus, and network abnormality detecting system

Publications (1)

Publication Number Publication Date
JP2005244429A true JP2005244429A (en) 2005-09-08

Family

ID=35025716

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004049430A Pending JP2005244429A (en) 2004-02-25 2004-02-25 Feature quantity extracting method for detecting abnormality of network, program for allowing computer to execute the method, feature quantity extracting apparatus, and network abnormality detecting system

Country Status (1)

Country Link
JP (1) JP2005244429A (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008154010A (en) * 2006-12-19 2008-07-03 Mitsubishi Electric Corp Data processor, and data processing method and program
JP2010092236A (en) * 2008-10-07 2010-04-22 Kddi Corp Information processing apparatus, program, and recording medium
JP2010092235A (en) * 2008-10-07 2010-04-22 Kddi Corp Information processing apparatus, program, and recording medium
CN104270373A (en) * 2014-10-11 2015-01-07 国家电网公司 Web server anonymous access flow detection method based on time characteristics
US9916445B2 (en) 2014-02-26 2018-03-13 Mitsubishi Electric Corporation Attack detection device, attack detection method, and non-transitory computer readable recording medium recorded with attack detection program
US10484401B2 (en) 2015-10-30 2019-11-19 Hyundai Motor Company In-vehicle network attack detection method and apparatus
WO2020161808A1 (en) * 2019-02-05 2020-08-13 日本電気株式会社 Priority determination device, priority determination method, and computer-readable medium
WO2020245930A1 (en) * 2019-06-04 2020-12-10 日本電信電話株式会社 Sensing device, sensing method, and sensing program

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008154010A (en) * 2006-12-19 2008-07-03 Mitsubishi Electric Corp Data processor, and data processing method and program
JP2010092236A (en) * 2008-10-07 2010-04-22 Kddi Corp Information processing apparatus, program, and recording medium
JP2010092235A (en) * 2008-10-07 2010-04-22 Kddi Corp Information processing apparatus, program, and recording medium
US9916445B2 (en) 2014-02-26 2018-03-13 Mitsubishi Electric Corporation Attack detection device, attack detection method, and non-transitory computer readable recording medium recorded with attack detection program
CN104270373A (en) * 2014-10-11 2015-01-07 国家电网公司 Web server anonymous access flow detection method based on time characteristics
CN104270373B (en) * 2014-10-11 2017-07-14 国家电网公司 A kind of Web server anonymous access flow rate testing methods based on temporal characteristics
US10484401B2 (en) 2015-10-30 2019-11-19 Hyundai Motor Company In-vehicle network attack detection method and apparatus
WO2020161808A1 (en) * 2019-02-05 2020-08-13 日本電気株式会社 Priority determination device, priority determination method, and computer-readable medium
JPWO2020161808A1 (en) * 2019-02-05 2021-10-28 日本電気株式会社 Priority determination device, priority determination method, and control program
JP7081695B2 (en) 2019-02-05 2022-06-07 日本電気株式会社 Priority determination device, priority determination method, and control program
US11956256B2 (en) 2019-02-05 2024-04-09 Nec Corporation Priority determination apparatus, priority determination method, and computer readable medium
WO2020245930A1 (en) * 2019-06-04 2020-12-10 日本電信電話株式会社 Sensing device, sensing method, and sensing program

Similar Documents

Publication Publication Date Title
US7607170B2 (en) Stateful attack protection
Zhang et al. Detecting backdoors
US20190334937A1 (en) Method and apparatus for detecting port scans in a network
CN102271068B (en) Method for detecting DOS/DDOS (denial of service/distributed denial of service) attack
US7308714B2 (en) Limiting the output of alerts generated by an intrusion detection sensor during a denial of service attack
US7284272B2 (en) Secret hashing for TCP SYN/FIN correspondence
US7307999B1 (en) Systems and methods that identify normal traffic during network attacks
CN106471778B (en) Attack detection device and attack detection method
KR20120065727A (en) Apparatus and method for defending ddos attack
Sun et al. Detection and classification of malicious patterns in network traffic using Benford's law
JP6168977B2 (en) System and method for real-time reporting of abnormal internet protocol attacks
CN110224970B (en) Safety monitoring method and device for industrial control system
Thakur et al. Detection and prevention of botnets and malware in an enterprise network
Muraleedharan et al. A flow based anomaly detection system using chi-square technique
Ireland Intrusion detection with genetic algorithms and fuzzy logic
Du et al. Detecting DoS attacks using packet size distribution
Yu et al. Hurst parameter based anomaly detection for intrusion detection system
Limmer et al. Improving the performance of intrusion detection using dialog-based payload aggregation
JP2008118242A (en) Method and device for detecting abnormal traffic, and program
Xiao et al. A novel approach to detecting DDoS attacks at an early stage
Li et al. DDoS attack detection algorithms based on entropy computing
JP2005244429A (en) Feature quantity extracting method for detecting abnormality of network, program for allowing computer to execute the method, feature quantity extracting apparatus, and network abnormality detecting system
Bhatnagar et al. The proposal of hybrid intrusion detection for defence of sync flood attack in wireless sensor network
JP2010250607A (en) System, method and program for analysis of unauthorized access
Singh et al. Denial of service attack: analysis of network traffic anormaly using queuing theory

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20060915

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20060915

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070222

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090212

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090422

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090819