JP2006115129A - ネットワーク異常検出システム - Google Patents
ネットワーク異常検出システム Download PDFInfo
- Publication number
- JP2006115129A JP2006115129A JP2004299359A JP2004299359A JP2006115129A JP 2006115129 A JP2006115129 A JP 2006115129A JP 2004299359 A JP2004299359 A JP 2004299359A JP 2004299359 A JP2004299359 A JP 2004299359A JP 2006115129 A JP2006115129 A JP 2006115129A
- Authority
- JP
- Japan
- Prior art keywords
- detection
- abnormality
- unauthorized access
- network
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】ネットワークに対するセキュリティ侵害を行う不正アクセスを検出するネットワーク異常検出システムにおいて、不正アクセスを高精度に検出する。
【解決手段】不正アクセスによって引き起こされる異常を、トラヒック量や通信範囲の異常、通信手順の異常、送受信データの異常の3種類として定義した複数グループに分類し、グループ毎の検出に特化した特徴量を用いた検出モジュールを備えたシステムを構成して不正アクセスの検出を行う。タイムスロット型、フロー・カウント型、フロー・ペイロード型の各グループの検出に特化した特徴量を用いた検出モジュールを備え、各検出モジュールの検出結果の論理和を最終的な出力結果とするシステムを構成し、いずれかの検出モジュールが異常と判断するとシステムがアラートを警告することにより不正アクセスの検出を行う。
【選択図】図1
【解決手段】不正アクセスによって引き起こされる異常を、トラヒック量や通信範囲の異常、通信手順の異常、送受信データの異常の3種類として定義した複数グループに分類し、グループ毎の検出に特化した特徴量を用いた検出モジュールを備えたシステムを構成して不正アクセスの検出を行う。タイムスロット型、フロー・カウント型、フロー・ペイロード型の各グループの検出に特化した特徴量を用いた検出モジュールを備え、各検出モジュールの検出結果の論理和を最終的な出力結果とするシステムを構成し、いずれかの検出モジュールが異常と判断するとシステムがアラートを警告することにより不正アクセスの検出を行う。
【選択図】図1
Description
本発明は、ネットワーク異常検出装置に関するものである。
Matthew V.Mahoney and Philip K.Chan,"Learning Non-stationary Models of Normal Network Traffic for Detecting Novel Attacks",Proc,Eighth Intl.Conf.Knowledge Discovery and Data Mining,pp376-385,2002.
及川達也 和泉勇治、太田耕平、加藤寧、根元義章、"統計的クラスタリング手法によるネットワーク異常状態の検出"電子情報通信学会技術研究報告信学技報、NS2002−143,NS2002−87,CS2002−98,pp83−88,Oct,2002
近年、インターネットは重要な社会基盤となり、WWWやE-Mail等の様々な形で多くの人々に利用されている。
その一方で、ネットワークを介して流行するコンピュータウイルスの蔓延、不正侵入等インターネットには多くの脅威が発生しており,ネットワークの安定した運用を行うために、セキュリティ技術が重要視されている。
この際、セキュリティを保ちつつネットワークを運用するために最も注意を払わなければならないのは、ネットワークに対するセキュリティ侵害を行う不正アクセスである。不正アクセスが行われた場合、非常に大きな損害が発生する可能性がある。そのため、発生する不正アクセスの被害を最小限にするために、不正アクセスを高精度に検出する必要性が高まっている。ネットワークを介した不正アクセスの検出を行うシステムとして、ネットワーク観測により得られる情報から検出を行う、ネットワークベースの侵入検知システム(Intrusion Detection System,IDS)が多数研究開発されている。
ここで、IDSで用いられている検出アルゴリズムは、大別すると不正検出と異常検出の2種類に分類することができる。
その一方で、ネットワークを介して流行するコンピュータウイルスの蔓延、不正侵入等インターネットには多くの脅威が発生しており,ネットワークの安定した運用を行うために、セキュリティ技術が重要視されている。
この際、セキュリティを保ちつつネットワークを運用するために最も注意を払わなければならないのは、ネットワークに対するセキュリティ侵害を行う不正アクセスである。不正アクセスが行われた場合、非常に大きな損害が発生する可能性がある。そのため、発生する不正アクセスの被害を最小限にするために、不正アクセスを高精度に検出する必要性が高まっている。ネットワークを介した不正アクセスの検出を行うシステムとして、ネットワーク観測により得られる情報から検出を行う、ネットワークベースの侵入検知システム(Intrusion Detection System,IDS)が多数研究開発されている。
ここで、IDSで用いられている検出アルゴリズムは、大別すると不正検出と異常検出の2種類に分類することができる。
不正検出とは、あらかじめ不正アクセスを特定するパターンをデータベースとして保持し、その保持しているパターンと実際のネットワークから収集したパターンとを照合することによって不正アクセスを検出する手法である。
しかしながら、このような不正検出方法では、データベースに存在しない未知の不正アクセスを検出することができず、日々出現する新種や亜種の不正アクセスに対応することが困難であるという問題を生じていた。
これに対し、異常検出とは、ネットワークの通常状態をプロファイルとして定量的に定義し、その通常状態から逸脱したデータを異常であるとして判別を行う手法である。
しかしながら、このような異常検出方法では、原理上では未知の異常にも対応可能であるが、一般的に検出精度が低いという問題を生じていた。
しかしながら、このような不正検出方法では、データベースに存在しない未知の不正アクセスを検出することができず、日々出現する新種や亜種の不正アクセスに対応することが困難であるという問題を生じていた。
これに対し、異常検出とは、ネットワークの通常状態をプロファイルとして定量的に定義し、その通常状態から逸脱したデータを異常であるとして判別を行う手法である。
しかしながら、このような異常検出方法では、原理上では未知の異常にも対応可能であるが、一般的に検出精度が低いという問題を生じていた。
ところで、不正アクセスは、被害者側ホストの停止、被害者側の情報の取得、被害者ホストの乗っ取り等を発生させるため、トラヒック量や各々の通信の手順及び送受信データ等に異常が現れることは周知である。
また、不正アクセスの検出手法として、パケット毎、TCPコネクション毎のIPアドレスやフラグ等の発生頻度から異常検出を行う手法(非特許文献1参照)や、一定時間毎のトラヒック量を用いて主成分の分析を行い、異常検出を行う手法(非特許文献2参照)等が報告されている。
また、不正アクセスの検出手法として、パケット毎、TCPコネクション毎のIPアドレスやフラグ等の発生頻度から異常検出を行う手法(非特許文献1参照)や、一定時間毎のトラヒック量を用いて主成分の分析を行い、異常検出を行う手法(非特許文献2参照)等が報告されている。
しかしながら、上記の手法では、トラヒック量に関する観測量(特微量)のみを用いるなど、異常として現れる一部分のみ観測しているため、検出可能な不正アクセスが限られてしまうという問題があった。
また、様々な特性を持つ異常を検出するために多数の特微量の種類を用いる手法も考えられるが、この場合には、ある特性の異常が発生した際、その異常を検出するために必要の無い特微量の悪影響により、発生した異常を適切に評価が行えず検出精度が低下してしまうという問題がある。
また、様々な特性を持つ異常を検出するために多数の特微量の種類を用いる手法も考えられるが、この場合には、ある特性の異常が発生した際、その異常を検出するために必要の無い特微量の悪影響により、発生した異常を適切に評価が行えず検出精度が低下してしまうという問題がある。
本発明は、上記問題を解決するため、不正アクセスの特性を反映した複数の特徴量を独立して扱う検出手法を提案する。不正アクセスにより生じる異常は、その特性に応じて異なる特微量に現れると考えられるため、それぞれの検出に特化した特微量を用いる複数のモジュールを組み合わせ検出することにより、各検出モジュールで対象とする不正アクセスを高精度に検出することができ、結果的に、それらの組み合わせにより全体として高精度に不正アクセスを検出することができるネットワーク異常検出装置を提供することを目的とする。
具体的には、これまでの検知技術では、「通常状態」を学習しておき、それに対して異常を検知するのが基本であったが、このような場合では「通常状態」を学習する際には、検知率が著しく低下してしまうことから、異常データが含まれていないということが前提であった。
これに対し、本発明のネットワーク異常検出装置を用いた場合、異常データを含む状態での学習を行っても検知率が下がらないという観点でネットワークベースの異常検出の高精度化を実現することができる。
その目的を達成するため、請求項1に記載のネットワーク異常検出装置は、不正アクセスの特性に基づいて複数グループに分類されたグループ毎の検出に特化した特微量を用いた複数の検出モジュール備え、この複数の検出モジュールを組み合わせることによってネットワーク異常検出を行うことを特徴とする。
請求項2に記載のネットワーク異常検出装置は、前記複数グループを、トラヒック量,通信範囲の異常、通信手順の異常、通信内容の異常を不正アクセスとし、トラヒック量,通信範囲の異常を検出するためのタイムスロット型、プロトコルの異常を検出するためのフロー・カウント型、送受信データの異常を検出するためのフロー・ペイロード型の特微量セットとしてそれぞれ前記複数の検出モジュールにて異常検出を行うことを特徴とする。
本発明のネットワーク異常検出装置によれば、不正アクセスはその特性に応じた特定の特徴量の変化として現れることに着目し、特性の異なる不正アクセスに対応する特徴量の組を用いる複数のモジュ―ルを用い、それらの検出モジュールを組み合わせてネットワーク異常検出をすることにより、ネットワークベースの異常検出の高精度化を実現することができる。
次に、本発明のネットワーク異常検出装置を図面に基づいて説明する。
一般的に評価されている不正アクセスの内容は、以下の様になっている。
・DoS(被害者側ホストの停止)
― 大量トラヒック生成、異常なデータの送受信
・Probe(相手側の調査)
― 広範囲への通信試行、異常な通信手順での情報取得
Remote to Local(R2L),User to Root(U2R)
・DoS(被害者側ホストの停止)
― 大量トラヒック生成、異常なデータの送受信
・Probe(相手側の調査)
― 広範囲への通信試行、異常な通信手順での情報取得
Remote to Local(R2L),User to Root(U2R)
(許可されない権限の取得)
― 異常なデータの送受信
上記の分類を不正アクセスによって引き起こされる異常に着目して再度分類したものを以下に示す。
トラヒック量、通信範囲の異常(DoS, Probe)
通信手順の異常 (Probe)
・通信内容の異常(DoS, R2L,U2R)
そこで、提案するIDSでは上記3種の異常の現れる部分に対応させた、複数の特微量をまとめた特徴量セットを作成する。それぞれトラヒック量、通信範囲の異常を検出するためのタイムスロット型、プロトコルの異常を検出するためのフロー・カウント型、送受信データの異常を検出するためのフロー・ぺイロード型の特微量セットを提案する。これにより、不正アクセスの大部分に対応する。
― 異常なデータの送受信
上記の分類を不正アクセスによって引き起こされる異常に着目して再度分類したものを以下に示す。
トラヒック量、通信範囲の異常(DoS, Probe)
通信手順の異常 (Probe)
・通信内容の異常(DoS, R2L,U2R)
そこで、提案するIDSでは上記3種の異常の現れる部分に対応させた、複数の特微量をまとめた特徴量セットを作成する。それぞれトラヒック量、通信範囲の異常を検出するためのタイムスロット型、プロトコルの異常を検出するためのフロー・カウント型、送受信データの異常を検出するためのフロー・ぺイロード型の特微量セットを提案する。これにより、不正アクセスの大部分に対応する。
ここで、観測単位の一つとして、下記の条件でパケットを集約したものをフローと定義する。
・以下の3要素が同一
― プロトコル
― 送信元IPアドレス、ポート番号
― 宛先IPアドレス、ポート番号
・ フラグピットによるフローの開始、終了の決定(TCP)
タイムアウトTu による終了の決定(UDP)
UDPトラヒックでは開始、終了が厳密に規定されていないため、フローの終了をタイムアウトTu の設定により決定する。フローの最初のパケットを送信したホストをクライアントとし、もう一方をサーバーとする。
・以下の3要素が同一
― プロトコル
― 送信元IPアドレス、ポート番号
― 宛先IPアドレス、ポート番号
・ フラグピットによるフローの開始、終了の決定(TCP)
タイムアウトTu による終了の決定(UDP)
UDPトラヒックでは開始、終了が厳密に規定されていないため、フローの終了をタイムアウトTu の設定により決定する。フローの最初のパケットを送信したホストをクライアントとし、もう一方をサーバーとする。
タイムスロット型ではタイムスロットi毎に、フローカウント型とフロー・ペイロード型ではフローi毎に、ネットワーク状態Xiを(式1)のように、κ次元ベクトルで表す。
Xi =(xi1 , xi2 ,xi3 ...xiκ) ・・・・(式1)
Xi =(xi1 , xi2 ,xi3 ...xiκ) ・・・・(式1)
(タイムスロット型)
タイムスロット型は、一定時間毎のトラヒック量、通信範囲を数値化した特徴量セットである。タイムスロット型特長量は、大量のパケットを送受信するFlood型のサービス拒否攻撃、特定のポートへの大規模なスキャン等、ネットワークの資源を浪費する不正アクセスや、通常では考えられない広範囲に渡る不正アクセスの検出に適する、タイムスロット型では以下に示す項目を一定時間Tt 毎にカウントし、34次元のベクトルでネットワーク状態を表現する。
・ トラヒック全体について
―プロトコル毎(TCP,UDP,ICMP)パケット数(3種)
―TCPでの送受信バイト数
―TCPのポート番号の種類数
―TCPの各フラグの出現回数(5種)
―DNSパケット数(UDPポート53番のパケット数)
―フラグメントされたパケット数
―観測されたIPアドレス数(バイト毎にカウント、4種)
・TCPのポート21、22、23、25、80、110番について
―フラグの出現回数(3種)
タイムスロット型は、一定時間毎のトラヒック量、通信範囲を数値化した特徴量セットである。タイムスロット型特長量は、大量のパケットを送受信するFlood型のサービス拒否攻撃、特定のポートへの大規模なスキャン等、ネットワークの資源を浪費する不正アクセスや、通常では考えられない広範囲に渡る不正アクセスの検出に適する、タイムスロット型では以下に示す項目を一定時間Tt 毎にカウントし、34次元のベクトルでネットワーク状態を表現する。
・ トラヒック全体について
―プロトコル毎(TCP,UDP,ICMP)パケット数(3種)
―TCPでの送受信バイト数
―TCPのポート番号の種類数
―TCPの各フラグの出現回数(5種)
―DNSパケット数(UDPポート53番のパケット数)
―フラグメントされたパケット数
―観測されたIPアドレス数(バイト毎にカウント、4種)
・TCPのポート21、22、23、25、80、110番について
―フラグの出現回数(3種)
(フロー・カウント型)
フロー・カウント型では、フロー毎のフラグの出現回数等を数値化することによりプロトコル異常を表す。そのため、複数のフラグのパターンを試行し、相手側のホストの情報を得るためのスキャン、通常使用されないバックドアが用いるポートに対するアクセス等、含まれるフラグに異常があるフローや通常ではアクセスされないポートに対するアクセスが発生する不正アクセスの検出に適する。TCP、UDPフローのカウント項目を以下に示す。TCPフロー19次元、UDPフロー7次元のベクトルでネットワーク状態を表現する。
・TCPフロー、UDPフローについて共通
― パケット数
― 同―ポート番号のフロー出現回数の逆数
― フラグメントされたパケット数
・TCPフローについて(クライアントからの送信パケット)
― TCP各フラグの出現回数(8種)
― 一つのみフラグが立っているパケットの出現回数(8種)
・UDPフローについて
― クライアントの送信、受信パケット数(2種)
― クライアントの送信、受信バイト数(2種)
フロー・カウント型では、フロー毎のフラグの出現回数等を数値化することによりプロトコル異常を表す。そのため、複数のフラグのパターンを試行し、相手側のホストの情報を得るためのスキャン、通常使用されないバックドアが用いるポートに対するアクセス等、含まれるフラグに異常があるフローや通常ではアクセスされないポートに対するアクセスが発生する不正アクセスの検出に適する。TCP、UDPフローのカウント項目を以下に示す。TCPフロー19次元、UDPフロー7次元のベクトルでネットワーク状態を表現する。
・TCPフロー、UDPフローについて共通
― パケット数
― 同―ポート番号のフロー出現回数の逆数
― フラグメントされたパケット数
・TCPフローについて(クライアントからの送信パケット)
― TCP各フラグの出現回数(8種)
― 一つのみフラグが立っているパケットの出現回数(8種)
・UDPフローについて
― クライアントの送信、受信パケット数(2種)
― クライアントの送信、受信バイト数(2種)
同一ポート番号のフロー出現回数は多くなればなるほど正常なフローであると考えられるため、出現回数の逆数を特徴量とし、出現回数が増加する程出現回数の変化に対する特徴量の値の変化を抑える。NETADの様にIPアドレスの出現頻度を用いて検出することも可能だが、IPアドレスはプロトコルに依存せずに決定され、また、通常のアクセス(Web閲覧等)を行った後に不正アクセスを行うなど、検出を回避する方法が存在するため、提案手法ではポート番号のみを考慮する。
TCPフローでクライアントからサーバ方向へのパケットにのみ着目するのは、スキャン等に対するサーバ側のクライアントへの応答のばらつきを無視するためである。
TCPフローでクライアントからサーバ方向へのパケットにのみ着目するのは、スキャン等に対するサーバ側のクライアントへの応答のばらつきを無視するためである。
(フロー・ペイロード型)
フロー・ペイロード型では、フローに属するパケットのペイロードに現れるパターンの傾向を数値化し送受信データの異常を表す。そのため、バッファオーバーフローを起こすためにペイロードに通常とは異なるコードを大量に挿入するワームやソフトウェアの脆弱性を利用したDoSの様に、ペイロードに異常なデータを含む不正アクセスの検出に適する。
フロー・ペイロード型では、フローに属するパケットのペイロードに現れるパターンの傾向を数値化し送受信データの異常を表す。そのため、バッファオーバーフローを起こすためにペイロードに通常とは異なるコードを大量に挿入するワームやソフトウェアの脆弱性を利用したDoSの様に、ペイロードに異常なデータを含む不正アクセスの検出に適する。
全てのTCPフローとポート20、21、23、25、80番各々のTCPフローを対象として、フローで送受信されるパケットのペイロードは1バイトずつ256種類のコードで表されているとみなし、各コードの出現割合を特微量とする。また、クライアントが送信するコンテンツ要求命令とサーバが送信するコンテンツのペイロードを分けて考えるために、クライアントからサーバへの通信とサーバからクライアントへの通信で別々にコードの出現割合を算出する。
次に、複数のモジュールを用いた不正アクセス検出を説明する。
ここでは、上述した定義でそれぞれの特微量セットを使用する不正アクセス検出モジュールの結果を統合し、不正アクセス検出を行う。
次に、複数のモジュールを用いた不正アクセス検出を説明する。
ここでは、上述した定義でそれぞれの特微量セットを使用する不正アクセス検出モジュールの結果を統合し、不正アクセス検出を行う。
図1は、検出システム全体の構成を示す。本検出システムではこれらのモジュ―ルの検出結果の論理和を最終的な出力結果とする。つまり、いずれかのモジュールが異常と判断したら、システムはアラートを発生する。
この際、プロトコル間の相関を考慮し、異常検出を行う非特許文献2で開示された手法を不正アクセス検出手法としてそれぞれのモジュールで用いる。この手法では、通常のネットワーク状態の変動を相関として考慮した不正アクセスの検出が可能となる。
この際、プロトコル間の相関を考慮し、異常検出を行う非特許文献2で開示された手法を不正アクセス検出手法としてそれぞれのモジュールで用いる。この手法では、通常のネットワーク状態の変動を相関として考慮した不正アクセスの検出が可能となる。
非特許文献2に開示の手法では、主成分の分析を行い、第一主成分軸を求める。この第一主成分軸はデータの分布に沿った軸となり、トラヒックの特性を表す。そこで、データの主成分軸からの距離(投影距離)をそのデータの異常らしさ(異常度)と定義する。そして、閾値以上の異常度を示すデータをトラヒックの通常の特性から外れたデータと判断し、不正アクセスとして検出する。また、学習用データからそのトラヒックの特性を表す第一主成分軸を求めることをモジュールの学習とする。
フロー・カウント型のモジュールでは非特許文献2に開示された手法に加え、フロー・カウント型がスキャンを検出するための特微量であることを考慮し、フローのクライアント、サーバIPアドレスと観測時間を基に異常度の加算とアラートの抑制を行う。この操作は算出順に全ての異常度で行う。
あるフロー(fa)から算出した異常度(aa)を基準とした時の異常度の加算とアラートの抑制の手順を図2に示す。まず、フローの両端のIPアドレスがfa と同一で、fa の終了時点を基準としたフロー有効期間(Tf)内の最新N フローの集合(FADD )を求める。次にFADDの全フローの異常度とfa の異常度の総和aaを求め、アラート発生の判断を行う。この時アラートが発生した場合、両端のIPアドレスがfa と同一でfa の終了時点からTf 内のフローは、同一IPアドレスに対するスキャンであると考えアラートを抑制する。
スキャンは異常なフラグの組合せを持った複数の異常なフローを生成するため、それらのフローから算出される異常度を加算することにより、スキャンに関連するフローの異常度を高くできる。また、アラートの抑制により、一回のスキャンから複数回アラートが発生することを回避できる。
このような構成のネットワーク異常検出装置を用いて検出性能を評価した結果を以下に示す。
尚、評価実験では、不正アクセスについて下記のデータセットを用いた。
・ 不正アクセスが行われた時刻
・ 攻撃側ホストのIPアドレス及びポート番号
・ 被害者側ホストのIPアドレス及びポート番号
・ 不正アクセスの種類
このデータセットでは、一週間(5日間)単位で、不正アクセスの存在するデータと存在しないことが保証されているデータとがそれぞれ与えられている。不正アクセスの存在しないweek1,3で学習を行い、不正アクセスを含むweek4,5に対して検出を行う場合と、week4,5を用いた異常トラヒックを含むデータで学習し、検出を行う場合の結果を示し、他手法と比較する。
尚、評価実験では、不正アクセスについて下記のデータセットを用いた。
・ 不正アクセスが行われた時刻
・ 攻撃側ホストのIPアドレス及びポート番号
・ 被害者側ホストのIPアドレス及びポート番号
・ 不正アクセスの種類
このデータセットでは、一週間(5日間)単位で、不正アクセスの存在するデータと存在しないことが保証されているデータとがそれぞれ与えられている。不正アクセスの存在しないweek1,3で学習を行い、不正アクセスを含むweek4,5に対して検出を行う場合と、week4,5を用いた異常トラヒックを含むデータで学習し、検出を行う場合の結果を示し、他手法と比較する。
実験を行った際のパラメータ設定は、以下の通りである。
・ 許容検出数:10個/日
・ タイムスロット型の1スロットの時間間隔T:60秒
・ UDPのフロー生成時のタイムアウトT:600秒
・ フローの有効期間: Tf:600秒
・ フローの集合FADD の最大フロー数N:10フロー
学習データの特微量は平均0、標準偏差1となるように正規化を行った。 week1,3を学習する場合はweek1,3を―括で学習し、week4,5に対して検出を行った。Week4,5を学習する場合は、1日毎にデータを学習し、学習に用いた同一のデータに対して検出を行った。全体の誤検出数が100個以内になるように、投影距離の閾値をモジュール毎、日毎に予備実験より決定した。
・ 許容検出数:10個/日
・ タイムスロット型の1スロットの時間間隔T:60秒
・ UDPのフロー生成時のタイムアウトT:600秒
・ フローの有効期間: Tf:600秒
・ フローの集合FADD の最大フロー数N:10フロー
学習データの特微量は平均0、標準偏差1となるように正規化を行った。 week1,3を学習する場合はweek1,3を―括で学習し、week4,5に対して検出を行った。Week4,5を学習する場合は、1日毎にデータを学習し、学習に用いた同一のデータに対して検出を行った。全体の誤検出数が100個以内になるように、投影距離の閾値をモジュール毎、日毎に予備実験より決定した。
本発明の検出方法と既存の手法とを比較した結果、本発明のシステムでweek1,3で学習を行い、week4,5に対して検出を行った結果と、既存のシステムでの検出結果との比較を図3に示す。
本発明の手法は不正アクセスを学習せずに不正アクセスの検出を行うことにより、全ての不正アクセスを未知なものとして検出しているが、検出数、検出率ともに既存の手法より優位な結果を示している。
次に、week4,5のみを用いて学習、検出を行った場合の結果を図4に示す。多くの異常検出方式IDSでは通常状態を定義する際、不正アクセスを含まないデータを用いているが、現実的には不正アクセスを含まないデータを得るのは困難で、学習用データへの不正アクセスの混入が発生すると考えられ、そのため、不正アクセス検出能力が低下する可能性がある。そこで、この実験により、より実ネットワークでの運用を考慮した条件での性能を評価できる。図4より、正常なデータのみで学習を行い検出を行う場合に最高性能を示したNETADの検出数、検出率は大幅に低下しているが、提案手法ではほぼ低下せず、高精度な検出を行えていることがわかる。
以上より、提案手法は通常状態の学習用データとして正常なデータのみが得られた時において高精度な検出が行えた。また、より実ネットワークでの運用に近い環境である、学習用データに不正アクセスが混在している場合においても性能が低下せず高精度な検出が可能であることが確認できた。
Claims (2)
- 不正アクセスの特性に基づいて複数グループに分類されたグループ毎の検出に特化した特微量を用いた複数の検出モジュール備え、この複数の検出モジュールを組み合わせることによってネットワーク異常検出を行うことを特徴とするネットワーク異常検出装置。
- 前記複数グループを、トラヒック量,通信範囲の異常、通信手順の異常、通信内容の異常を不正アクセスとし、トラヒック量,通信範囲の異常を検出するためのタイムスロット型、プロトコルの異常を検出するためのフロー・カウント型、送受信データの異常を検出するためのフロー・ペイロード型の特微量セットとしてそれぞれ前記複数の検出モジュールにて異常検出を行うことを特徴とする請求項1に記載のネットワーク異常検出装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004299359A JP2006115129A (ja) | 2004-10-13 | 2004-10-13 | ネットワーク異常検出システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004299359A JP2006115129A (ja) | 2004-10-13 | 2004-10-13 | ネットワーク異常検出システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006115129A true JP2006115129A (ja) | 2006-04-27 |
Family
ID=36383280
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004299359A Pending JP2006115129A (ja) | 2004-10-13 | 2004-10-13 | ネットワーク異常検出システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006115129A (ja) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007306186A (ja) * | 2006-05-10 | 2007-11-22 | Nec Corp | ホームネットワーク監視方法、ホームネットワーク監視システム |
JP2009296036A (ja) * | 2008-06-02 | 2009-12-17 | Hitachi Ltd | P2p通信制御システム及び制御方法 |
JP2010511359A (ja) * | 2006-11-29 | 2010-04-08 | ウイスコンシン アラムナイ リサーチ フオンデーシヨン | ネットワーク異常検出のための方法と装置 |
WO2017163352A1 (ja) * | 2016-03-24 | 2017-09-28 | 株式会社日立製作所 | 異常検出装置、異常検出システム、及び、異常検出方法 |
JP2018538737A (ja) * | 2015-11-25 | 2018-12-27 | シマンテック コーポレーションSymantec Corporation | 産業制御システム内の危殆化されたデバイスを識別するためのシステム及び方法 |
WO2020203352A1 (ja) * | 2019-03-29 | 2020-10-08 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常検知方法及び異常検知装置 |
WO2023073821A1 (ja) * | 2021-10-27 | 2023-05-04 | 日本電気株式会社 | バックドア検知装置、バックドア検知方法、及び記録媒体 |
-
2004
- 2004-10-13 JP JP2004299359A patent/JP2006115129A/ja active Pending
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007306186A (ja) * | 2006-05-10 | 2007-11-22 | Nec Corp | ホームネットワーク監視方法、ホームネットワーク監視システム |
JP2010511359A (ja) * | 2006-11-29 | 2010-04-08 | ウイスコンシン アラムナイ リサーチ フオンデーシヨン | ネットワーク異常検出のための方法と装置 |
JP2009296036A (ja) * | 2008-06-02 | 2009-12-17 | Hitachi Ltd | P2p通信制御システム及び制御方法 |
JP2018538737A (ja) * | 2015-11-25 | 2018-12-27 | シマンテック コーポレーションSymantec Corporation | 産業制御システム内の危殆化されたデバイスを識別するためのシステム及び方法 |
WO2017163352A1 (ja) * | 2016-03-24 | 2017-09-28 | 株式会社日立製作所 | 異常検出装置、異常検出システム、及び、異常検出方法 |
WO2020203352A1 (ja) * | 2019-03-29 | 2020-10-08 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常検知方法及び異常検知装置 |
CN112840282A (zh) * | 2019-03-29 | 2021-05-25 | 松下电器(美国)知识产权公司 | 异常检测方法以及异常检测装置 |
WO2023073821A1 (ja) * | 2021-10-27 | 2023-05-04 | 日本電気株式会社 | バックドア検知装置、バックドア検知方法、及び記録媒体 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7752665B1 (en) | Detecting probes and scans over high-bandwidth, long-term, incomplete network traffic information using limited memory | |
US9654485B1 (en) | Analytics-based security monitoring system and method | |
Yu et al. | Discriminating DDoS flows from flash crowds using information distance | |
US20170257339A1 (en) | Logical / physical address state lifecycle management | |
US8006306B2 (en) | Exploit-based worm propagation mitigation | |
JP5242775B2 (ja) | 低速および/または分散型のスキャニングマルウェアに感染した企業ネットワークホストを識別するための方法およびシステム | |
Bhuyan et al. | E‐LDAT: a lightweight system for DDoS flooding attack detection and IP traceback using extended entropy metric | |
US20050182950A1 (en) | Network security system and method | |
US20130333036A1 (en) | System, method and program for identifying and preventing malicious intrusions | |
US7672283B1 (en) | Detecting unauthorized wireless devices in a network | |
CN104135474B (zh) | 基于主机出入度的网络异常行为检测方法 | |
US7917957B2 (en) | Method and system for counting new destination addresses | |
KR100684602B1 (ko) | 세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및그 방법 | |
Mangino et al. | Internet-scale insecurity of consumer internet of things: An empirical measurements perspective | |
Sun et al. | Detection and classification of malicious patterns in network traffic using Benford's law | |
CN110581850A (zh) | 一种基于网络流量基因检测方法 | |
JP2008118242A (ja) | 異常トラヒック検出方法およびその装置およびプログラム | |
JP2006115129A (ja) | ネットワーク異常検出システム | |
US8095981B2 (en) | Worm detection by trending fan out | |
CN109729084B (zh) | 一种基于区块链技术的网络安全事件检测方法 | |
JP2008219525A (ja) | ネットワーク異常検知方法およびネットワーク異常検知システム | |
Kitisriworapan et al. | Evil-twin detection on client-side | |
CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
Gupta et al. | FVBA: A combined statistical approach for low rate degrading and high bandwidth disruptive DDoS attacks detection in ISP domain | |
US11184369B2 (en) | Malicious relay and jump-system detection using behavioral indicators of actors |