JP2005250802A - 不正アクセス検出装置及び不正アクセス検出プログラム - Google Patents
不正アクセス検出装置及び不正アクセス検出プログラム Download PDFInfo
- Publication number
- JP2005250802A JP2005250802A JP2004059725A JP2004059725A JP2005250802A JP 2005250802 A JP2005250802 A JP 2005250802A JP 2004059725 A JP2004059725 A JP 2004059725A JP 2004059725 A JP2004059725 A JP 2004059725A JP 2005250802 A JP2005250802 A JP 2005250802A
- Authority
- JP
- Japan
- Prior art keywords
- data
- access
- statistical model
- storage device
- feature amount
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
【解決手段】受信したアクセスデータ5を解析し、異常データの特徴を示す特徴量データ12を算出するアクセス解析手段22と、特徴量データ22を特徴量蓄積データ23に挿入する学習手段24と、特徴量蓄積データ13から正常アクセスとみなされる値域と異常アクセスとみなされる値域を区分する統計モデルを構成し、統計モデルデータ14を記憶する統計モデル構成手段14と、統計モデルデータ14とアクセスデータ5に関する特徴量データ12を読み出すとともに、特徴量データ12が統計モデルの異常アクセスとみなされる値域に属するか否かを判定する未知異常データ検出手段23と、所定の制御規則に基づいて統計モデル構成手段に統計モデルを再構成させる統計モデル再構成制御手段26とを備える。
【選択図】 図1
Description
図1を参照して、本発明の第1の実施の形態に係る不正アクセス検出装置1を説明する。不正アクセス検出装置1は、既知の異常データを検出するとともに、未知の異常データを検出する装置である。本発明の第1の実施の形態に係る不正アクセス検出装置1は、例えば、インターネットやイントラネットなどの第1のネットワークセグメント2から受信したアクセスデータ5が正常データの場合、アクセスデータ5を第2のネットワークセグメント3に通過させ、アクセスデータ5が異常データの場合、アクセスデータ5を第2のネットワークセグメント3に通過させることなく破棄するか、不正アクセスの可能性ありと付加情報を添付して第2のネットワークセグメント3へ通過させる。ここで、アクセスデータ5は、例えばHTTPリクエスト、SMTPリクエストなどの通信プロトコルに基づく情報である。不正アクセス検出装置1は、例えば一般的なコンピュータに不正アクセス検出プログラムなどのソフトウェアプログラムがインストールされ、そのソフトウェアプログラムが中央処理制御装置において実行されることにより実現される。
・誤差因子N2:現行条件で品質特性が良かったウェブサイト
図10に誤検出数及び検出数のL18実験結果を示す。図10(a)の表の誤検出数は、N1、N2の各ウェブサイトについて、実際のウェブアクセスから採取したHTTPリクエストの正常パターンの試験データの中で、未知攻撃検出システムによって誤って攻撃と判断されたパターン数である。一方、図10(b)の表の検出数は、N1、N2の各ウェブサイトについて、(仮想的に)流した攻撃パターンの試験データの中で、未知攻撃検出システムによって攻撃と判断されたパターン数である。誤検出数と検出数は、実験No.が異なると、判断基準となる閾値係数Amnの設定値が異なっているので、異なる結果となっている。
次に、図17を参照して本発明の第2の実施の形態に係る不正アクセス検出装置1を説明する。
上記のように、本発明の最良の実施の形態によって記載したが、この開示の一部をなす論述及び図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例及び運用技術が明らかとなる。
2、3…ネットワークセグメント
3…第2のネットワークセグメント
5…アクセスデータ
11…既知攻撃パターン
12…特徴量データ
13…特徴量蓄積データ
14…統計モデルデータ
15…アクセス頻度データ
21…既知異常データ検出手段
22…アクセス解析手段
23…未知異常データ検出手段
24…学習手段
25…統計モデル構成手段
26…統計モデル再構成制御手段
31…トリガ信号
101…中央処理制御装置
102…ROM
103…RAM
104…入力装置
105…表示装置
106…通信制御装置
107…記憶装置
108…リムーバブルディスク
109…入出力インタフェース
110…バス
Claims (10)
- ネットワークセグメントから受信したアクセスデータを解析し、異常データの特徴を示す特徴量データを算出して記憶装置に記憶するアクセス解析手段と、
前記特徴量データを特徴量蓄積データに挿入して前記記憶装置に記憶する学習手段と、
前記特徴量蓄積データを前記記憶装置から読み出し、正常アクセスとみなされる値域と異常アクセスとみなされる値域を区分する統計モデルを構成し、統計モデルデータとして前記記憶装置に記憶する統計モデル構成手段と、
前記記憶装置から統計モデルデータと前記アクセスデータに関する特徴量データを読み出すとともに、前記特徴量データが前記統計モデルの異常アクセスとみなされる値域に属するか否かを判定する未知異常データ検出手段と、
所定の制御規則に基づいて前記統計モデル構成手段に前記統計モデルを再構成させる統計モデル再構成制御手段
とを備えることを特徴とする不正アクセス検出装置。 - 前記特徴量蓄積データは所定のメモリ容量を備える領域に格納されており、新たな前記特徴量データを前記特徴量蓄積データに挿入すると前記メモリ容量を超える場合、前記特徴量蓄積データを前記記憶装置から読み出し、前記特徴量蓄積データから最も古い特徴量データを検索して前記特徴量蓄積データから消去し、前記新たな特徴量データを前記特徴量蓄積データに挿入することを特徴とする請求項1に記載の不正アクセス検出装置。
- 前記アクセス解析手段は、更に前記アクセスデータを受信する頻度を算出し、アクセス頻度データとして前記記憶装置に記憶し、
前記統計モデル再構成制御手段は、前記アクセス頻度データを前記記憶装置から読み出して、前記アクセス頻度データが前記所定の量より少ない場合のみ、前記統計モデル構成手段に前記統計モデルを再構成させる
ことを特徴とする請求項1又は2に記載の不正アクセス検出装置。 - 前記統計モデル構成手段は、前記特徴量蓄積データを前記記憶装置から読み出し、閾値係数を制御因子として異常アクセスの検出率及び正常アクセスの誤検出率の算出に基づいて前記閾値係数を評価して最適な閾値係数を決定することにより、前記正常アクセスとみなされる値域と前記異常アクセスとみなされる値域を区分する統計モデルを構成し、統計モデルデータとして前記記憶装置に記憶する
ことを特徴とする請求項1乃至3のいずれか1項に記載の不正アクセス検出装置。 - 前記統計モデル構成手段において、前記検出率と前記誤検出率とを統合した評価指標に基づいて前記最適な閾値係数を決定する
ことを特徴とする請求項4に記載の不正アクセス検出装置。 - ネットワークセグメントから受信したアクセスデータを解析し、異常データの特徴を示す特徴量データを算出して記憶装置に記憶するステップと、
前記特徴量データを特徴量蓄積データに挿入して前記記憶装置に記憶するステップと、
前記特徴量蓄積データを前記記憶装置から読み出し、正常アクセスとみなされる値域と異常アクセスとみなされる値域を区分する統計モデルを構成し、統計モデルデータとして前記記憶装置に記憶するステップと、
前記記憶装置から統計モデルデータと前記アクセスデータに関する特徴量データを読み出すとともに、前記特徴量データが前記統計モデルの異常アクセスとみなされる値域に属するか否かを判定するステップと、
所定の制御規則に基づいて前記統計モデルを再構成させるステップ
とを備えることを特徴とする不正アクセス検出プログラム。 - 前記特徴量蓄積データは所定のメモリ容量を備える領域に格納されており、新たな前記特徴量データを前記特徴量蓄積データに挿入すると前記メモリ容量を超える場合、前記特徴量蓄積データを前記記憶装置から読み出し、前記特徴量蓄積データから最も古い特徴量データを検索して前記特徴量蓄積データから消去し、前記新たな特徴量データを前記特徴量蓄積データに挿入することを特徴とする請求項6に記載の不正アクセス検出プログラム。
- 前記特徴量データを算出して記憶装置に記憶するステップは、更に前記アクセスデータを受信する頻度を算出し、アクセス頻度データとして前記記憶装置に記憶し、
前記統計モデルを再構成させるステップは、前記アクセス頻度データを前記記憶装置から読み出して、前記アクセス頻度データが前記所定の量より少ない場合のみ、前記統計モデルを再構成させる
ことを特徴とする請求項6又は7に記載の不正アクセス検出プログラム。 - 前記統計モデルデータとして前記記憶装置に記憶するステップは、前記特徴量蓄積データを前記記憶装置から読み出し、閾値係数を制御因子として異常アクセスの検出率及び正常アクセスの誤検出率の算出に基づいて前記閾値係数を評価して最適な閾値係数を決定することにより、前記正常アクセスとみなされる値域と前記異常アクセスとみなされる値域を区分する統計モデルを構成し、統計モデルデータとして前記記憶装置に記憶する
ことを特徴とする請求項6乃至8のいずれか1項に記載の不正アクセス検出プログラム。 - 前記統計モデルデータとして前記記憶装置に記憶するステップにおいて、前記検出率と前記誤検出率とを統合した評価指標に基づいて前記最適な閾値係数を決定する
ことを特徴とする請求項9に記載の不正アクセス検出プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004059725A JP4261389B2 (ja) | 2004-03-03 | 2004-03-03 | 不正アクセス検出装置及び不正アクセス検出プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004059725A JP4261389B2 (ja) | 2004-03-03 | 2004-03-03 | 不正アクセス検出装置及び不正アクセス検出プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005250802A true JP2005250802A (ja) | 2005-09-15 |
JP4261389B2 JP4261389B2 (ja) | 2009-04-30 |
Family
ID=35031232
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004059725A Expired - Fee Related JP4261389B2 (ja) | 2004-03-03 | 2004-03-03 | 不正アクセス検出装置及び不正アクセス検出プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4261389B2 (ja) |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007189644A (ja) * | 2006-01-16 | 2007-07-26 | Mitsubishi Electric Corp | 管理装置及び管理方法及びプログラム |
JP2007235879A (ja) * | 2006-03-03 | 2007-09-13 | Mitsubishi Electric Corp | 学習能力評価装置、学習能力評価方法及び学習能力評価プログラム |
JP2007264760A (ja) * | 2006-03-27 | 2007-10-11 | Nec Corp | ログ解析システム、ログ解析ツール設定方法およびプログラム |
JP2008003862A (ja) * | 2006-06-22 | 2008-01-10 | Fuji Xerox Co Ltd | 監査ログ生成装置、監査事象記録プログラムおよび画像処理装置 |
JP2008084306A (ja) * | 2006-08-28 | 2008-04-10 | Nagaoka Univ Of Technology | 工業製品の生産支援方法およびプログラム |
JP2008146157A (ja) * | 2006-12-06 | 2008-06-26 | Mitsubishi Electric Corp | ネットワーク異常判定装置 |
JP2008154010A (ja) * | 2006-12-19 | 2008-07-03 | Mitsubishi Electric Corp | データ処理装置及びデータ処理方法及びプログラム |
JP2008165292A (ja) * | 2006-12-27 | 2008-07-17 | Kddi Corp | ウェブページの改竄検知装置、プログラム、および記録媒体 |
JP2010157151A (ja) * | 2008-12-29 | 2010-07-15 | Kan:Kk | アクセス解析システム及びアクセス解析方法 |
JP2011154483A (ja) * | 2010-01-26 | 2011-08-11 | Fujitsu Ltd | 異常検出装置、プログラム、及び異常検出方法 |
JP2011192097A (ja) * | 2010-03-16 | 2011-09-29 | Hitachi Ltd | 異常検知方法およびそれを用いた情報処理システム |
US8726085B2 (en) | 2011-02-14 | 2014-05-13 | International Business Machines Corporation | Anomaly detection to implement security protection of a control system |
US9075410B2 (en) | 2011-02-15 | 2015-07-07 | International Business Machines Corporation | Abnormality detection for isolating a control system |
JP2016217942A (ja) * | 2015-05-22 | 2016-12-22 | 株式会社東芝 | スクリーニング方法 |
US10091225B2 (en) | 2015-05-13 | 2018-10-02 | Fujitsu Limited | Network monitoring method and network monitoring device |
US10678911B2 (en) | 2011-02-04 | 2020-06-09 | International Business Machines Corporation | Increasing availability of an industrial control system |
JP2020516979A (ja) * | 2017-04-13 | 2020-06-11 | オラクル・インターナショナル・コーポレイション | 電力不正使用検出のための新しい非パラメトリック統計的挙動識別エコシステム |
KR102206296B1 (ko) * | 2020-05-06 | 2021-01-25 | 주식회사 이글루시큐리티 | 보안관제 학습데이터 레이블링시스템 및 그 방법 |
-
2004
- 2004-03-03 JP JP2004059725A patent/JP4261389B2/ja not_active Expired - Fee Related
Cited By (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007189644A (ja) * | 2006-01-16 | 2007-07-26 | Mitsubishi Electric Corp | 管理装置及び管理方法及びプログラム |
JP4559974B2 (ja) * | 2006-01-16 | 2010-10-13 | 三菱電機株式会社 | 管理装置及び管理方法及びプログラム |
JP2007235879A (ja) * | 2006-03-03 | 2007-09-13 | Mitsubishi Electric Corp | 学習能力評価装置、学習能力評価方法及び学習能力評価プログラム |
JP4668092B2 (ja) * | 2006-03-03 | 2011-04-13 | 三菱電機株式会社 | 学習能力評価装置、学習能力評価方法及び学習能力評価プログラム |
JP2007264760A (ja) * | 2006-03-27 | 2007-10-11 | Nec Corp | ログ解析システム、ログ解析ツール設定方法およびプログラム |
JP4600327B2 (ja) * | 2006-03-27 | 2010-12-15 | 日本電気株式会社 | ログ解析システム、ログ解析ツール設定方法およびプログラム |
JP2008003862A (ja) * | 2006-06-22 | 2008-01-10 | Fuji Xerox Co Ltd | 監査ログ生成装置、監査事象記録プログラムおよび画像処理装置 |
JP2008084306A (ja) * | 2006-08-28 | 2008-04-10 | Nagaoka Univ Of Technology | 工業製品の生産支援方法およびプログラム |
JP2008146157A (ja) * | 2006-12-06 | 2008-06-26 | Mitsubishi Electric Corp | ネットワーク異常判定装置 |
JP2008154010A (ja) * | 2006-12-19 | 2008-07-03 | Mitsubishi Electric Corp | データ処理装置及びデータ処理方法及びプログラム |
JP2008165292A (ja) * | 2006-12-27 | 2008-07-17 | Kddi Corp | ウェブページの改竄検知装置、プログラム、および記録媒体 |
JP2010157151A (ja) * | 2008-12-29 | 2010-07-15 | Kan:Kk | アクセス解析システム及びアクセス解析方法 |
JP2011154483A (ja) * | 2010-01-26 | 2011-08-11 | Fujitsu Ltd | 異常検出装置、プログラム、及び異常検出方法 |
JP2011192097A (ja) * | 2010-03-16 | 2011-09-29 | Hitachi Ltd | 異常検知方法およびそれを用いた情報処理システム |
US10678911B2 (en) | 2011-02-04 | 2020-06-09 | International Business Machines Corporation | Increasing availability of an industrial control system |
US8726085B2 (en) | 2011-02-14 | 2014-05-13 | International Business Machines Corporation | Anomaly detection to implement security protection of a control system |
US9064110B2 (en) | 2011-02-14 | 2015-06-23 | International Business Machines Corporation | Anomaly detection to implement security protection of a control system |
US9075410B2 (en) | 2011-02-15 | 2015-07-07 | International Business Machines Corporation | Abnormality detection for isolating a control system |
US9354625B2 (en) | 2011-02-15 | 2016-05-31 | International Business Machines Corporation | Abnormality detection for isolating a control system |
US10091225B2 (en) | 2015-05-13 | 2018-10-02 | Fujitsu Limited | Network monitoring method and network monitoring device |
JP2016217942A (ja) * | 2015-05-22 | 2016-12-22 | 株式会社東芝 | スクリーニング方法 |
JP2020516979A (ja) * | 2017-04-13 | 2020-06-11 | オラクル・インターナショナル・コーポレイション | 電力不正使用検出のための新しい非パラメトリック統計的挙動識別エコシステム |
JP7191837B2 (ja) | 2017-04-13 | 2022-12-19 | オラクル・インターナショナル・コーポレイション | 電力不正使用検出のための新しい非パラメトリック統計的挙動識別エコシステム |
JP7465939B2 (ja) | 2017-04-13 | 2024-04-11 | オラクル・インターナショナル・コーポレイション | 電力不正使用検出のための新しい非パラメトリック統計的挙動識別エコシステム |
KR102206296B1 (ko) * | 2020-05-06 | 2021-01-25 | 주식회사 이글루시큐리티 | 보안관제 학습데이터 레이블링시스템 및 그 방법 |
Also Published As
Publication number | Publication date |
---|---|
JP4261389B2 (ja) | 2009-04-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4261389B2 (ja) | 不正アクセス検出装置及び不正アクセス検出プログラム | |
CN109831465B (zh) | 一种基于大数据日志分析的网站入侵检测方法 | |
US10581885B1 (en) | Reinforcement learning method in which discount factor is automatically adjusted | |
US9588821B2 (en) | Automatic determination of required resource allocation of virtual machines | |
EP2566130B1 (en) | Automatic analysis of security related incidents in computer networks | |
US7801985B1 (en) | Data transfer for network interaction fraudulence detection | |
US8959571B2 (en) | Automated policy builder | |
EP3704837B1 (en) | Dynamic socket qos settings for web service (http) connections | |
US7941538B2 (en) | Dynamic management of resource utilization | |
US20110078291A1 (en) | Distributed performance monitoring in soft real-time distributed systems | |
US20130343213A1 (en) | Methods and Computer Program Products for Correlation Analysis of Network Traffic in a Network Device | |
US10193908B2 (en) | Data transfer for network interaction fraudulence detection | |
US20220191230A1 (en) | Diagnosing and managing network vulnerabilities | |
US20230018908A1 (en) | Feedback-based control system for software defined networks | |
US8472332B2 (en) | Apparatus for detecting quality deterioration of a telecommunications network by discriminating periodic faults | |
US20230146912A1 (en) | Method, Apparatus, and Computing Device for Constructing Prediction Model, and Storage Medium | |
JP2013500668A (ja) | 遊休ネットワーク・デバイスの識別 | |
CN113992544B (zh) | 端口流量分配的优化方法、装置 | |
CN117336228A (zh) | 一种基于机器学习的igp仿真推荐方法、装置及介质 | |
US8627472B2 (en) | Determining heavy distinct hitters in a data stream | |
CN107566187B (zh) | 一种sla违例监测方法、装置和系统 | |
EP3432544B1 (en) | System and method of determining ddos attacks | |
JP4852124B2 (ja) | 異常データ検出装置、異常データ検出方法及び異常データ検出プログラム | |
JP5974905B2 (ja) | 応答時間監視プログラム、方法および応答時間監視装置 | |
CN116720023B (zh) | 浏览器运行数据的处理方法、装置及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20071019 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071106 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071226 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20081014 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081113 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20090108 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090127 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090205 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120220 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |