JP2006238043A - ネットワーク異常検出装置 - Google Patents
ネットワーク異常検出装置 Download PDFInfo
- Publication number
- JP2006238043A JP2006238043A JP2005049461A JP2005049461A JP2006238043A JP 2006238043 A JP2006238043 A JP 2006238043A JP 2005049461 A JP2005049461 A JP 2005049461A JP 2005049461 A JP2005049461 A JP 2005049461A JP 2006238043 A JP2006238043 A JP 2006238043A
- Authority
- JP
- Japan
- Prior art keywords
- relay
- unit
- predicted
- upper limit
- communication number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
【課題】シグネチャの更新などの運用コストをかけずに、精度よくネットワーク感染型ウィルスを検出する。
【解決手段】分析サーバ500(ネットワーク異常検出装置)は、中継装置131〜134からトラフィック統計情報141(中継通信数)を取得し、時系列分析することによって、将来の中継通信数を予測する。実際に観測した中継通信数が、予測値を大きく上回った場合に、異常を判別する。また、観測途中の中継通信数から、観測結果を予測することで、異常を早期に判別する。
【選択図】 図3
【解決手段】分析サーバ500(ネットワーク異常検出装置)は、中継装置131〜134からトラフィック統計情報141(中継通信数)を取得し、時系列分析することによって、将来の中継通信数を予測する。実際に観測した中継通信数が、予測値を大きく上回った場合に、異常を判別する。また、観測途中の中継通信数から、観測結果を予測することで、異常を早期に判別する。
【選択図】 図3
Description
本発明は、通信を中継する中継装置を有するネットワークシステムにおける異常検出技術に関する。
現在のネットワーク不正アクセス検出技術としては、誤使用検出(Miss Used Detection)に基づく方式が一般的である。誤使用検出では、既存の不正アクセスの特徴(シグネチャ)を抽出しておき、そのシグネチャと一致するビットパターンが監視対象ネットワーク上を流れた場合に、不正アクセスとして検出する。誤使用検出は、誤検知が少なく、かつ、処理が単純であるため高速処理可能であるという利点がある。しかしながら、抽出した特徴から少しでも外れた不正アクセスを検知できない点や、特徴が抽出されていない攻撃(未知の攻撃)を検出できない点が問題視されている。特に、近年のネットワーク不正アクセスでは、ベンダーやセキュリティコミュニティからセキュリティ脆弱性情報が公表されてから、実際にそのセキュリティ脆弱性に対する不正アクセス被害が発生するまでの時間差は短くなる傾向にあるため、誤使用検出に基づくネットワーク不正検出では、新規の不正アクセスを検出するためのシグネチャ開発期間の短縮や、それらを各機器へ適用する際の時間差の短縮が大きな課題となっている。
これらの課題に対応するため、異常検出(Anomaly Detection)が注目されている。異常検出では、不正アクセスが発生した場合には、それを原因とする何らかの異常がシステム上で発生することを前提とし、その何らかの異常を検出することによって、不正アクセスを検出する。異常検出は、誤使用検出と比べて、既存の攻撃の特徴を抽出する必要がないため、これまで知られていない全く新しい手法によって不正アクセスが行われた場合であっても検知可能である。特に、ネットワーク感染型ウイルス(ワーム)は、日々新種や亜種が誕生しており、これらを検知するために異常検出技術の応用が期待されている。
異常検出技術としては、例えば、特許文献1の技術がある。この技術では、通信網における複数のボーダルータがTCP−SYN(コネクション確立要求)パケットを監視し、あて先ごとにTCP−SYNパケットを計数および集計し、この集計結果を複数のボーダルータ相互間で交換することにより、これらのボーダルータを経由して当該通信網に流入するTCP−SYNパケットを監視し、同一あて先に対して異常な個数で流入する(時間当たりの変化量が閾値を超えた場合)TCP−SYNパケットについてはこれを分散型サービス拒絶攻撃(DDoS:Distributed Deny of Service)と判断して、この流入を抑制する方式が提案されている。
また、例えば、特許文献2の技術がある。この技術では、検出対象となるネットワーク中を一定時間の間に通過するパケットについて、k個(k:自然数)の分類ごとにパケット数をカウントすることで、k次元ベクトルを生成し、それらを用いてk次元特徴空間における各次元間の相関関係に基づいて定められた主成分軸を導出し、主成分軸−k次元ベクトル間の距離が定められた閾値(第2主成分軸の係数倍)を越えるか否かで異常を検出する方式が提案されている。
また、例えば、非特許文献1の技術がある。この技術では、ネットワーク上の各観測点において観測したパケット数(TCP−SYNパケットを集計)と自己回帰モデルによって予測したパケット数との差異からDoS(Deny of Service)攻撃を検知する手法が提案されている。
特開2003−289337号公報
特開2004−312064号公報
"自己回帰予測を用いたトラヒック解析によるDoS検知方法の提案"、内山 勇一, 和泉 勇治、加藤 寧、根元 義章、電子情報通信学会技術研究報告、NS2003−98、IN2003−64、CS2003−73、PP.55−60、Sep.2003
特許文献1の技術では、TCP−SYNパケットの時間当たりの変化量についての異常を判定する基準となる閾値は、ボーダルータが設置されているネットワークの環境(ネットワーク帯域幅の大きさ、利用頻度、時間による流量の変化など)によって異なる。したがって、環境に合わせるための調整を行い、環境に変化があった場合には、再調整も必要となる。これは、管理するボーダルータの台数が増えれば増えるほど、利用者の負担が増えてしまい、運用コストがかかるという課題がある。
特許文献2の技術では、時間による監視ネットワークの状態変化を考慮していないため、ある時間帯では異常であるが、他の時間帯では正常であるような場合を本質的に区別することができないという課題がある。
非特許文献1の技術では、DoS攻撃の追跡を目的として、自己回帰モデルを用いて、観測点におけるDoS攻撃を検出している。しかしながら、SYNフラッド攻撃(DoS攻撃の一種)の検知に特化し、観測点におけるトラフィックのうち、TCP−SYNパケットの増減のみに着目しているため、様々な方式で通信を行うネットワーク感染型ウイルスの検出には適用できないという課題がある。
本発明は、例えば上記のような課題を解決するためになされたもので、ネットワーク感染型ウイルスをリアルタイムに検出することを目的とする。
本発明に係るネットワーク異常検出装置は、
通信を中継する中継装置を有するネットワークシステムにおける異常を検出するネットワーク異常検出装置において、
上記中継装置が中継した通信を単位時間ごとに集計した数を中継通信数として記憶する中継通信数記憶部と、
上記中継通信数記憶部が記憶した中継通信数を時系列分析により分析し、中継通信数の上限値を予測して、予測通信数上限値とする予測通信数上限値算出部と、
上記予測通信数上限値算出部が算出した予測通信数上限値に基づいて、異常を判別する異常判別部と、
を有することを特徴とする。
通信を中継する中継装置を有するネットワークシステムにおける異常を検出するネットワーク異常検出装置において、
上記中継装置が中継した通信を単位時間ごとに集計した数を中継通信数として記憶する中継通信数記憶部と、
上記中継通信数記憶部が記憶した中継通信数を時系列分析により分析し、中継通信数の上限値を予測して、予測通信数上限値とする予測通信数上限値算出部と、
上記予測通信数上限値算出部が算出した予測通信数上限値に基づいて、異常を判別する異常判別部と、
を有することを特徴とする。
本発明によれば、時系列分析に基づいて異常を判別するので、時間的推移によるトラフィックの変化にも対応した異常の検出が行えるとの効果を奏する。
実施の形態1.
実施の形態1を図1〜図7を用いて説明する。
実施の形態1を図1〜図7を用いて説明する。
図1は、この実施の形態における分析サーバ500(ネットワーク異常検出装置の一例)の外観の一例を示す図である。
図1において、分析サーバ500は、システムユニット910、CRT(Cathode Ray Tube)表示装置901、キーボード(K/B)902、マウス903、コンパクトディスク装置(CDD)905、プリンタ装置906、スキャナ装置907を備え、これらはケーブルで接続されている。
さらに、分析サーバ500は、FAX機932、電話器931とケーブルで接続され、また、ローカルエリアネットワーク(LAN)942、ゲートウェイ941を介してインターネット940に接続されている。
図1において、分析サーバ500は、システムユニット910、CRT(Cathode Ray Tube)表示装置901、キーボード(K/B)902、マウス903、コンパクトディスク装置(CDD)905、プリンタ装置906、スキャナ装置907を備え、これらはケーブルで接続されている。
さらに、分析サーバ500は、FAX機932、電話器931とケーブルで接続され、また、ローカルエリアネットワーク(LAN)942、ゲートウェイ941を介してインターネット940に接続されている。
図2は、この実施の形態における分析サーバ500(ネットワーク異常検出装置の一例)のハードウェア構成の一例を示す図である。
図2において、分析サーバ500は、プログラムを実行するCPU(Central Processing Unit)911を備えている。CPU911は、バス912を介してROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、CRT表示装置901、K/B902、マウス903、FDD(Flexible Disk Drive)904、磁気ディスク装置920、CDD905、プリンタ装置906、スキャナ装置907と接続されている。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。
通信ボード915は、FAX機932、電話器931、LAN942等に接続されている。
例えば、通信ボード915、K/B902、スキャナ装置907、FDD904などは、入力部の一例である。
また、例えば、通信ボード915、CRT表示装置901などは、出力部の一例である。
図2において、分析サーバ500は、プログラムを実行するCPU(Central Processing Unit)911を備えている。CPU911は、バス912を介してROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、CRT表示装置901、K/B902、マウス903、FDD(Flexible Disk Drive)904、磁気ディスク装置920、CDD905、プリンタ装置906、スキャナ装置907と接続されている。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。
通信ボード915は、FAX機932、電話器931、LAN942等に接続されている。
例えば、通信ボード915、K/B902、スキャナ装置907、FDD904などは、入力部の一例である。
また、例えば、通信ボード915、CRT表示装置901などは、出力部の一例である。
ここで、通信ボード915は、LAN942に限らず、直接、インターネット940、或いはISDN等のWAN(ワイドエリアネットワーク)に接続されていても構わない。直接、インターネット940、或いはISDN等のWANに接続されている場合、分析サーバ500は、インターネット940、或いはISDN等のWANに接続され、ゲートウェイ941は不用となる。
磁気ディスク装置920には、オペレーティングシステム(OS)921、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923は、CPU911、OS921、ウィンドウシステム922により実行される。
磁気ディスク装置920には、オペレーティングシステム(OS)921、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923は、CPU911、OS921、ウィンドウシステム922により実行される。
上記プログラム群923には、以下に述べる実施の形態の説明において「〜部」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
ファイル群924には、以下に述べる実施の形態の説明において、「〜の判定結果」、「〜の計算結果」、「〜の処理結果」として説明するものが、「〜ファイル」として記憶されている。
また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータの入出力を示し、そのデータの入出力のためにデータは、磁気ディスク装置920、FD(Flexible Disk)、光ディスク、CD(コンパクトディスク)、MD(ミニディスク)、DVD(Digital Versatile Disk)等のその他の記録媒体に記録される。あるいは、信号線やその他の伝送媒体により伝送される。
ファイル群924には、以下に述べる実施の形態の説明において、「〜の判定結果」、「〜の計算結果」、「〜の処理結果」として説明するものが、「〜ファイル」として記憶されている。
また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータの入出力を示し、そのデータの入出力のためにデータは、磁気ディスク装置920、FD(Flexible Disk)、光ディスク、CD(コンパクトディスク)、MD(ミニディスク)、DVD(Digital Versatile Disk)等のその他の記録媒体に記録される。あるいは、信号線やその他の伝送媒体により伝送される。
また、以下に述べる実施の形態の説明において「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、ハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。
また、以下に述べる実施の形態を実施するプログラムは、また、磁気ディスク装置920、FD(Flexible Disk)、光ディスク、CD(コンパクトディスク)、MD(ミニディスク)、DVD(Digital Versatile Disk)等のその他の記録媒体による記録装置を用いて記憶されても構わない。
図3は、この実施の形態におけるネットワークシステムの全体構成の一例を示す。
図3において、111はインターネットなどの広域網、121〜126は、ネットワークに接続された端末(接続端末)、131〜134は、ネットワークを中継する中継装置、141は中継装置上で集計されたネットワークのトラフィック統計情報(時系列データ)、500はトラフィック統計情報を分析する分析サーバ(ネットワーク異常検出装置の一例)である。
図3において、111はインターネットなどの広域網、121〜126は、ネットワークに接続された端末(接続端末)、131〜134は、ネットワークを中継する中継装置、141は中継装置上で集計されたネットワークのトラフィック統計情報(時系列データ)、500はトラフィック統計情報を分析する分析サーバ(ネットワーク異常検出装置の一例)である。
この実施の形態において、接続端末121〜126の間、あるいは接続端末121〜126が外部ネットワーク111を介して外部の端末との間では、パケット通信による通信が行われている。直接接続されていない端末間でのパケット通信は、中継装置131〜134によって中継される。
図3において、中継装置131〜134は、中継したパケットを集計してトラフィック統計情報(中継通信数)を生成し、ネットワークを介して分析サーバに送信する。分析サーバ500では、各中継装置から送信されてきたトラフィック統計情報(中継通信数)を、時系列分析によって分析して異常の検出を行い、ネットワーク感染型ウイルスの発生の有無を検査する。分析サーバでは、分析によってネットワーク感染型ウイルスの発生が検出された場合は、アラートメッセージを生成して、ユーザに通知する。
次に、各装置の詳細について説明する。
図4は、この実施の形態における中継装置131〜134の内部構成の一例を示す。
図4において、421は中継処理部、431は統計情報生成部(中継通信数集計部の一例)、432は統計情報送信部、441〜443はネットワーク接続インタフェース、451〜453は、各ネットワーク接続インタフェースに接続されているネットワークケーブルを表している。ここで、図4では、ネットワーク接続インタフェースを作図の都合上3つ記載しているが、これは、実際の中継装置の仕様を制限するものではなく、任意の数のネットワーク接続インタフェースを備えていてもよい。
図4は、この実施の形態における中継装置131〜134の内部構成の一例を示す。
図4において、421は中継処理部、431は統計情報生成部(中継通信数集計部の一例)、432は統計情報送信部、441〜443はネットワーク接続インタフェース、451〜453は、各ネットワーク接続インタフェースに接続されているネットワークケーブルを表している。ここで、図4では、ネットワーク接続インタフェースを作図の都合上3つ記載しているが、これは、実際の中継装置の仕様を制限するものではなく、任意の数のネットワーク接続インタフェースを備えていてもよい。
統計情報生成部431は、中継処理部421が中継したパケットのうち、設定された条件に当てはまるパケットの数を単位時間ごとに集計してトラフィック統計情報(中継通信数)を生成する。
図5は、トラフィック統計情報(中継通信数)の一例を示す。図5において、横軸は時刻、縦軸は中継通信数を示す。トラフィック統計情報は、このような時系列データをなしている。
図5は、トラフィック統計情報(中継通信数)の一例を示す。図5において、横軸は時刻、縦軸は中継通信数を示す。トラフィック統計情報は、このような時系列データをなしている。
集計の条件は、例えば、パケットの流れる方向や、パケットヘッダに含まれる情報(プロトコル番号、発信元IP(Internet Protocol )アドレス、あて先IPアドレス、発信元ポート番号、あて先ポート番号、TCP(Transmission Control Protocol)のフラグ、ICMP(Internet Control Message Protocol)タイプ、ICMPコードなど)を設定する。また、条件を設定せず、単に中継したパケットの総数としてもよい。
中継装置131〜134で生成されたトラフィック統計情報(中継通信数)は、統計情報送信部432が、分析サーバ500(ネットワーク異常検出装置の一例)に送信する。送信の方法は、中継装置131〜134から分析サーバ500へ送信する(プッシュ型)方式でもよいし、分析サーバ500から定期的に各中継装置131〜134へデータ取得命令を出して取得する(プル型)方式でもよい。
図6は、この実施の形態における分析サーバ500(ネットワーク異常検出装置の一例)の内部構成の一例を示す。
611は監視対象としているネットワーク、131〜134はトラフィック統計情報を生成している中継装置、500は分析サーバ、641はトラフィック統計情報収集部、642は収集したトラフィック統計情報を記憶しておくトラフィック統計情報記憶部(中継通信数記憶部の一例)、643は時系列分析を行う分析処理部(予測通信数上限値算出部の一例)、644は分析処理部が分析した結果と実際の観測値から異常が発生しているかどうかを判定する異常判別部、645は異常判別部が異常を判別した場合に、それをユーザに通知するためのアラートを生成するアラート生成部、646はアラート生成部が生成したアラートを表示するためのアラート表示部、651は時系列分析による予測の信頼度を記憶する予測信頼度記憶部、652は異常判別部644が異常を判別した場合にその信頼度を求める異常判別信頼度算出部である。
611は監視対象としているネットワーク、131〜134はトラフィック統計情報を生成している中継装置、500は分析サーバ、641はトラフィック統計情報収集部、642は収集したトラフィック統計情報を記憶しておくトラフィック統計情報記憶部(中継通信数記憶部の一例)、643は時系列分析を行う分析処理部(予測通信数上限値算出部の一例)、644は分析処理部が分析した結果と実際の観測値から異常が発生しているかどうかを判定する異常判別部、645は異常判別部が異常を判別した場合に、それをユーザに通知するためのアラートを生成するアラート生成部、646はアラート生成部が生成したアラートを表示するためのアラート表示部、651は時系列分析による予測の信頼度を記憶する予測信頼度記憶部、652は異常判別部644が異常を判別した場合にその信頼度を求める異常判別信頼度算出部である。
ネットワーク感染型ウイルスは、感染先端末を探索する際に、感染先として想定するIPアドレス空間に含まれるIPアドレスに対して、スキャンパケットを送出して、その応答により、感染が可能かどうか(攻撃対象とするサービスが動作しているかどうか)を判断する。ネットワーク感染型ウイルスは機械的に感染と増殖を繰り返すため、ネットワーク感染型ウイルスが発生していた場合には、感染のためのスキャン動作により、ネットワークを流れるパケットのトラフィック量が、平常時とは異なる増加傾向を示す。
そこで、このスキャン動作を全てのネットワーク感染型ウイルスに共通する動作とし、ネットワークを流れるパケットのトラフィックを監視して、通常とは異なる(異常である)変化を検出することにより、ネットワーク感染型ウイルスの発生を検知する。
そのため、時系列分析モデルを用いてネットワーク上で観測されたトラフィック統計情報の過去の観測値から、今後観測される値の範囲を予測し、実際の観測値が異常に大きい場合に、異常として検出する。
分析処理部643は、データ分析の手段として、時系列分析を用いる。時系列分析とは、時間の流れとともに順番に観測されたデータ(時系列データ)から、その確率過程の数学モデルを構成し、構成したモデル上で、今後、観測値として取り得る範囲を予測するための分析手法であり、株価動向などの予測では、一般的に用いられている手法である。時系列分析で用いられるモデルは複数考案されており、分析対象となるデータの特徴によって使い分ける。
なお、本発明を行うにあたり、あるネットワーク境界ルータにおけるトラフィック統計情報を入手し、それがどのような数学モデルに従うのかについて調査した。トラフィック統計情報としては、外部ネットワークから内部ネットワークへのトラフィックを、プロトコル、あて先ポート番号別(ICMPはタイプ別)に、1時間単位で集計した時系列データを生成して用いた。その結果、得られた時系列データの確率過程は、自己回帰移動平均モデル(以下、ARMAモデルと呼ぶ)で分析可能であった。そこで、これより先は、時系列分析の数学モデルとして、ARMAモデルを例として取り上げ、ARMAモデル上で分析を行う場合について、説明を行う。
次に、分析サーバ内部の処理について説明する。分析サーバでは、トラフィック統計情報収集部641が、中継装置131〜134から送られてくるトラフィック統計情報を収集し、トラフィック統計情報記憶部642が記憶する。
分析処理部643は、トラフィック統計情報の収集と並行して、トラフィック統計情報記憶部642が記憶したトラフィック統計情報を分析する。分析処理機能では、ARMAモデルのパラメータ推定に過去m個分(mは自然数)のタイムスロット(単位時間ごとに区切られた時間の幅の単位)の時系列データを用いて、モデル内で使用しているパラメータを推定し、未来のn個分のタイムスロット(nは自然数)における予測値と予測誤差を求める。
ここで、予測値とは、将来のタイムスロットにおける中継通信数を確率的に予測した場合の平均値である。また、予測誤差とは、その予測における分布の標準偏差である。
ここで、予測値とは、将来のタイムスロットにおける中継通信数を確率的に予測した場合の平均値である。また、予測誤差とは、その予測における分布の標準偏差である。
分析処理部643は、予測値と予測誤差から、中継通信数の上限値(予測通信数上限値)を求める。予測通信数上限値は、予測誤差に定数を乗じ、予測値を加えることで求められる。この定数が小さい場合には、実際に発生した異常を検出できる可能性が増すが、誤検出する可能性も高くなる。逆に、この定数が大きい場合には、誤検出する可能性は低くなるが、実際に異常が発生していても、検出できない可能性が増す。したがって、適切な値を選択する必要がある。
図7は、分析過程の一例を概念的に示したものである。横軸は時間である。ここでは、m=3、n=2としている。
図7において、711はタイムスロット、721は各タイムスロットにおける観測値(中継通信数)、731〜737は矢印で示されたタイムスロットの観測値を分析して得られた予測上限値(予測通信数上限値)、741は分析を開始した時点を表している。
図7において、711はタイムスロット、721は各タイムスロットにおける観測値(中継通信数)、731〜737は矢印で示されたタイムスロットの観測値を分析して得られた予測上限値(予測通信数上限値)、741は分析を開始した時点を表している。
分析処理部643は、741の時点において、直前の3つの観測値721(タイムスロット1〜3)に基づいて、将来の2つのタイムスロット(タイムスロット4〜5)について、予測上限値を求める。(731)
1単位時間が経過すると、新しい観測値721が1つ(タイムスロット4)得られる。
分析処理部643は、直前の3つの観測値721(タイムスロット2〜4)に基づいて、将来の2つのタイムスロット(タイムスロット5〜6)について、予測上限値を求める。(732)
1単位時間が経過すると、新しい観測値721が1つ(タイムスロット4)得られる。
分析処理部643は、直前の3つの観測値721(タイムスロット2〜4)に基づいて、将来の2つのタイムスロット(タイムスロット5〜6)について、予測上限値を求める。(732)
図7に示すように、実際の観測値が得られるまでにはn個の予測上限値(n単位時間前に予測した値から、直前に予測した値まで)が得られる。例えば、タイムスロット5の実際の観測値721が得られる時点においては、タイムスロット5についての予測上限値は、2つ得られている。
ただし、分析を開始した時点からn−1個先のタイムスロットまでは、予測上限値はn個より少ない(図7のタイムスロット4)場合があるが、これらは、例外として扱い、以後の説明では、観測値が得られた時点ではn個の予測上限値が得られているものとする。
ただし、分析を開始した時点からn−1個先のタイムスロットまでは、予測上限値はn個より少ない(図7のタイムスロット4)場合があるが、これらは、例外として扱い、以後の説明では、観測値が得られた時点ではn個の予測上限値が得られているものとする。
異常判別部644は、トラフィック統計情報記憶部642が記憶した最新の観測値を読み込んで、観測値と予測上限値の大小比較を行う。予測上限値が複数得られているので、観測値と、それぞれの予測上限値とを比較する。
比較の順番は、最新の予測上限値(観測されたタイムスロットのひとつ前のタイムスロットからm個分の観測値を用いた分析結果)から順に行う。
比較の順番は、最新の予測上限値(観測されたタイムスロットのひとつ前のタイムスロットからm個分の観測値を用いた分析結果)から順に行う。
ARMAモデルで予測した場合、予測値は予測で使用した過去の観測値のうち、最も新しい観測値による影響を最も受け、古くなるにつれて影響を及ぼさなくなる。例えば、図7におけるタイムスロット5の「タイムスロット1〜3の観測値からの予測上限値」(731で得られた予測上限値)は、タイムスロット3、2、1の順に影響を受けており、「タイムスロット2〜4の観測値からの予測上限値」(732で得られた予測上限値)は、タイムスロット4、3、2の順に影響を受けている。したがって、タイムスロット4(値を予測するタイムスロット5の直前のタイムスロット)の影響を最も受けている「タイムスロット2〜4の観測値からの予測上限値」(732で得られた予測上限値)の方が、「タイムスロット1〜3の観測値からの予測上限値」(731で得られた予測上限値)よりも、信頼度が高いといえる。
だからといって、最新の予測上限値との比較だけ行えばよいということにはならない。直前の観測値が異常と判別されるところまではいかないが、ぎりぎりの高い値だった場合などは、その観測値を含めて予測した予測上限値は、通常よりも高くなる。したがって、前のタイムスロットから異常が始まっていた場合には、最新の予測上限値との比較では、異常が検出できない可能性があるからである。
上記、ARMAモデルの性質を踏まえて、最新の予測上限値から比較を行っていき、観測値が予測上限値を超えていた場合を異常と判断する。
このように、時系列分析を用いて過去の観測値から将来の観測値を予測し、実際の観測値と比較することにより、時間的推移によるトラフィックの変化にも対応できる異常検出が可能となる。
このとき、どの時点で予測した値を越えていたのかによってアラートの重み(信頼度)とする。
すなわち、予測信頼度記憶部651は、その予測上限値が新しいほど信頼度が高いとする予測信頼度を記憶している。異常判別信頼度算出部652は、異常と判断した根拠となった予測上限値に対応する予測信頼度を、予測信頼度記憶部651から得て、異常判別の信頼度とする。
すなわち、予測信頼度記憶部651は、その予測上限値が新しいほど信頼度が高いとする予測信頼度を記憶している。異常判別信頼度算出部652は、異常と判断した根拠となった予測上限値に対応する予測信頼度を、予測信頼度記憶部651から得て、異常判別の信頼度とする。
これにより、アラートを受けた管理者は、信頼度の低いアラートはあくまで参考とするにとどめるといった柔軟な対応ができるようになる。
また、分析で異常と判定された観測値は、本来の正常な値ではないため、その値に基づいて予測を行うと、正常な予測が行えない可能性がある。そこで、異常と判定された観測値は除いて、以後の予測を行うこととする。
そこで、異常判別部644が異常を判別した場合、トラフィック統計情報記憶部642は、トラフィック統計情報に異常判別を示すフラグを付加して、記憶する。
分析処理部643は、トラフィック統計情報記憶部642が記憶したトラフィック統計情報を時系列分析する際、異常判別フラグが付加されたトラフィック統計情報を無視し、他のトラフィック統計情報のみを用いて分析を行う。
あるいは、異常判別部644が異常を判別した場合、トラフィック統計情報記憶部642は、異常が判別されたトラフィック統計情報を削除して、記憶しないという構成でもよい。
分析処理部643は、トラフィック統計情報記憶部642が記憶したトラフィック統計情報を時系列分析する際、異常判別フラグが付加されたトラフィック統計情報を無視し、他のトラフィック統計情報のみを用いて分析を行う。
あるいは、異常判別部644が異常を判別した場合、トラフィック統計情報記憶部642は、異常が判別されたトラフィック統計情報を削除して、記憶しないという構成でもよい。
これにより、より精度の高い予測が可能となるので、異常検出の精度も高まる。
異常が単発的に検出された場合は、その後の予測には用いず、連続的に異常が検出された場合は、正常な場合と同様に扱うこととしてもよい。
単発的に検出された異常の場合には、異常が収まれば、その後の観測値は正常な値に戻ることが予想され、その後の観測値に影響を及ぼさないと考えられるのに対し、連続的に検出された異常は、実は異常ではなく、傾向の変化であって、その後の観測値は、その傾向にしたがうものと考えられるからである。
単発的に検出された異常の場合には、異常が収まれば、その後の観測値は正常な値に戻ることが予想され、その後の観測値に影響を及ぼさないと考えられるのに対し、連続的に検出された異常は、実は異常ではなく、傾向の変化であって、その後の観測値は、その傾向にしたがうものと考えられるからである。
そこで、異常判別部644が異常を判別した場合、トラフィック統計情報記憶部642は、トラフィック統計情報に異常判別を示すフラグを付加して、記憶する。
分析処理部643は、トラフィック統計情報記憶部642が記憶したトラフィック統計情報を時系列分析する際、分析対象のトラフィック統計情報のうち、異常判別を示すフラグが付加されたトラフィック統計情報の数(異常を判別した頻度)を数える。そして、それが特定の頻度以下である場合には、異常判別フラグが付加されたトラフィック統計情報を無視し、他のトラフィック統計情報のみを用いて分析を行う。
しかし、この頻度が特定の頻度を超える場合には、異常判別フラグが付加されたトラフィック統計情報も、通常のトラフィック統計情報と同等に扱って、分析を行う。
その場合、トラフィック統計情報記憶部642が、トラフィック統計情報に付加された異常判別フラグを削除して記憶することにより、以後の分析の際には、通常のトラフィック統計情報として扱うこととしてもよい。
分析処理部643は、トラフィック統計情報記憶部642が記憶したトラフィック統計情報を時系列分析する際、分析対象のトラフィック統計情報のうち、異常判別を示すフラグが付加されたトラフィック統計情報の数(異常を判別した頻度)を数える。そして、それが特定の頻度以下である場合には、異常判別フラグが付加されたトラフィック統計情報を無視し、他のトラフィック統計情報のみを用いて分析を行う。
しかし、この頻度が特定の頻度を超える場合には、異常判別フラグが付加されたトラフィック統計情報も、通常のトラフィック統計情報と同等に扱って、分析を行う。
その場合、トラフィック統計情報記憶部642が、トラフィック統計情報に付加された異常判別フラグを削除して記憶することにより、以後の分析の際には、通常のトラフィック統計情報として扱うこととしてもよい。
これにより、トラフィックの傾向が変化した場合にも柔軟に対応して、精度の高い予測をすることができ、異常検出の精度も高まる。
あるいは、単に異常判別の頻度を数えるのではなく、連続して異常を判別した場合のみを数えて、無視するかどうかを決定することとしてもよい。
更に、異常判別フラグの付加されたトラフィック統計情報を無視した分析と、それを無視せずにした分析の両方を行って、実際の観測値がどちらの分析によりよく合致するかを判断することによって、以降の分析に際して無視するかどうかを決定することとしてもよい。
これにより、トラフィックの傾向の変化があったのかどうかを判別できるので、予測の精度が更に高まり、異常検出の精度も更に高まる。
アラート生成部645は、異常判別部644が異常を判別した場合に、ユーザに通知するためのアラートを生成する。アラートには、検出時刻、異常と判定された観測値を収集した中継装置名、トラフィック統計情報の条件(発信元IPアドレス、あて先IPアドレス、プロトコル番号、発信元ポート番号、あて先ポート番号、ICMPタイプなど)、タイムスロット、観測値、予測時刻、予測上限値、有意水準、異常判別信頼度算出部652が算出したアラートの信頼度などの情報が含まれる。
アラート表示部646では、生成したアラートを、端末のディスプレイへ表示する。あるいは、電子メールなどの通信手段によってユーザに通知してもよい。さらに、他の端末や中継装置に対して、アラートを通知してもよい。通知を受けた端末等は、アラートを表示して、ユーザに通知してもよいし、自動化された対策を実施してもよい。
これにより、アラートを受けた管理者が必要な対策を講じることができるようになる。
以上のように、時系列分析を用いて、過去の観測値から、今後観測される値の範囲を予測して、実際の観測値がその予測値を上回る場合に、ネットワーク型感染ウイルスとして検出するため、時間的推移によるトラフィックの変化にも対応した、分析を可能としている。また、ネットワーク型感染ウイルスの感染手法に関する情報(感染に使われるプロトコルやあて先ポート番号など)を含むアラートを生成するため、ユーザは、これらの情報を元に、ネットワークフィルタの設定やウイルスの駆除といった対策が可能となる。
実施の形態2.
実施の形態2を図1、図2、図4、図5及び図7〜図9を用いて説明する。
この実施の形態における分析サーバ500〜503(ネットワーク異常検出装置の一例)のハードウェア構成は、実施の形態1と共通なので、ここでは説明を省略する。
実施の形態2を図1、図2、図4、図5及び図7〜図9を用いて説明する。
この実施の形態における分析サーバ500〜503(ネットワーク異常検出装置の一例)のハードウェア構成は、実施の形態1と共通なので、ここでは説明を省略する。
図8は、この実施の形態におけるネットワークシステムの全体構成の一例を示す。
図8において、111はインターネットなどの広域網、121〜126は、ネットワークに接続された端末(接続端末)、131〜134はネットワークを中継する中継装置、500〜503はトラフィック統計情報(中継通信数)を分析する分析サーバ(ネットワーク異常検出装置の一例)、142は分析サーバ500〜503が生成したアラート情報、152はアラート情報142を集中管理する管理サーバである。
図8において、111はインターネットなどの広域網、121〜126は、ネットワークに接続された端末(接続端末)、131〜134はネットワークを中継する中継装置、500〜503はトラフィック統計情報(中継通信数)を分析する分析サーバ(ネットワーク異常検出装置の一例)、142は分析サーバ500〜503が生成したアラート情報、152はアラート情報142を集中管理する管理サーバである。
実施の形態1においては、各中継装置から送られてくる情報を元に、分析サーバが常時分析処理を行う。この場合、ネットワーク上の中継装置の数が増えれば増えるほど、分析サーバでのデータ分析の負荷は増加していく。また、各中継装置上で収集された情報を分析サーバへ送るためにも、通信パケットを使用するので、中継装置の数に比例してネットワークリソースの消費も増加する。
そこで、この実施の形態では、分析サーバを各中継装置ごとに設け、それぞれの分析サーバが、担当する中継装置のトラフィック統計情報を分析する。
例えば、分析サーバ500は中継装置131を担当し、中継装置131が中継したパケットについてのトラフィック統計情報を分析する。
例えば、分析サーバ500は中継装置131を担当し、中継装置131が中継したパケットについてのトラフィック統計情報を分析する。
図9は、この実施の形態における分析サーバ500(ネットワーク異常検出装置の一例)の内部構成の一例を示す。実施の形態1と共通する部分については、説明を省略する。
分析サーバ500は、実施の形態1で説明したほかに、中継通信情報収集部661、中継通信情報記憶部662、統計情報生成部431を有する。
中継通信情報収集部661は、ネットワークハブなどのネットワーク接続点において中継されるパケットを複製して、複製されたパケットを読み込むことによって、中継パケットの情報(中継通信情報)を収集する。
中継通信情報記憶部662は、中継通信情報収集部661が収集した中継通信情報を記憶する。
統計情報生成部431(中継通信数集計部の一例)は、中継通信情報記憶部662が記憶した中継通信情報に基づいて、トラフィック統計情報(中継通信数)を集計する。
トラフィック統計情報記憶部642(中継通信数記憶部の一例)は、統計情報生成部431が生成したトラフィック統計情報を記憶する。
中継通信情報収集部661は、ネットワークハブなどのネットワーク接続点において中継されるパケットを複製して、複製されたパケットを読み込むことによって、中継パケットの情報(中継通信情報)を収集する。
中継通信情報記憶部662は、中継通信情報収集部661が収集した中継通信情報を記憶する。
統計情報生成部431(中継通信数集計部の一例)は、中継通信情報記憶部662が記憶した中継通信情報に基づいて、トラフィック統計情報(中継通信数)を集計する。
トラフィック統計情報記憶部642(中継通信数記憶部の一例)は、統計情報生成部431が生成したトラフィック統計情報を記憶する。
異常判別部644が異常を判別した場合には、アラート表示部646がアラートを表示し、更に、管理サーバ152に対してアラート情報142を送信する。
管理サーバ152では、分析サーバ500〜503より受信したアラート情報142に基づいて、ネットワーク全体の状況を判断し、適切な措置を行う。
管理サーバ152では、分析サーバ500〜503より受信したアラート情報142に基づいて、ネットワーク全体の状況を判断し、適切な措置を行う。
このように、アラート情報のみを管理サーバ152へ送るようにすることで、ネットワークの規模によらず、分析が可能となる。また、運用コストの低減を計ることができる。
この実施の形態では、分析サーバを中継装置とは別に設けている。これにより、既存のネットワーク構成を変更することなく導入することが可能となるため、導入コストを抑えることができる。
しかし、中継装置が分析サーバとしての機能を有している構成としてもよい。
また、分析サーバを各中継装置ごとに設けず、1つの分析サーバが複数の中継装置を担当することとしてもよい。
あるいは、管理サーバにも分析サーバとしての機能を設け、担当する分析サーバのない中継装置については、管理サーバが分析を行う構成としてもよい。
また、分析サーバを各中継装置ごとに設けず、1つの分析サーバが複数の中継装置を担当することとしてもよい。
あるいは、管理サーバにも分析サーバとしての機能を設け、担当する分析サーバのない中継装置については、管理サーバが分析を行う構成としてもよい。
これにより、ネットワーク回線の帯域などを考慮して、回線の帯域が狭い箇所の監視では、分析サーバとしての機能をもつ中継機器を使用し、中程度の帯域がある個所では、少数の中継装置を担当する分析サーバを設け、回線の帯域が広い箇所では、多数のサーバを担当する分析サーバを設けるといった柔軟な設計が可能となる。
実施の形態3.
実施の形態3を図1、図2、図4、図5、図7、図8、図10及び図11を用いて説明する。
この実施の形態における分析サーバ500(ネットワーク異常検出装置の一例)のハードウェア構成及びネットワークシステムの構成は、実施の形態2と共通なので、ここでは説明を省略する。
実施の形態3を図1、図2、図4、図5、図7、図8、図10及び図11を用いて説明する。
この実施の形態における分析サーバ500(ネットワーク異常検出装置の一例)のハードウェア構成及びネットワークシステムの構成は、実施の形態2と共通なので、ここでは説明を省略する。
図10は、この実施の形態における分析サーバ500(ネットワーク異常検出装置の一例)の内部構成の一例を示す。
時計491は、現在時刻を示す。
集計開始判別部492は、時計491を読み出し、集計を開始すべき時刻になったら、集計開始を判別する。
経過時間計測部493は、集計開始判別部492が集計開始を判別してからの経過時間を、時計491により計測する。
集計終了判別部494は、経過時間計測部493が計測した経過時間が、集計の単位時間に達したら、集計終了を判別する。
中継通信数積算部495は、内部にカウンタを有し、集計開始判別部492が集計開始を判別すると、内部のカウンタをリセットする。
その後、条件に合うパケットを中継するたびに、カウンタの値を1ずつ増やしていく。
集計終了判別部が集計終了を判別すると、中継通信数積算部495はカウントを止めて、そのときの内部カウンタの値を読み出し、中継通信数を得る。
時計491は、現在時刻を示す。
集計開始判別部492は、時計491を読み出し、集計を開始すべき時刻になったら、集計開始を判別する。
経過時間計測部493は、集計開始判別部492が集計開始を判別してからの経過時間を、時計491により計測する。
集計終了判別部494は、経過時間計測部493が計測した経過時間が、集計の単位時間に達したら、集計終了を判別する。
中継通信数積算部495は、内部にカウンタを有し、集計開始判別部492が集計開始を判別すると、内部のカウンタをリセットする。
その後、条件に合うパケットを中継するたびに、カウンタの値を1ずつ増やしていく。
集計終了判別部が集計終了を判別すると、中継通信数積算部495はカウントを止めて、そのときの内部カウンタの値を読み出し、中継通信数を得る。
なお、中継通信数は、連続的な時系列データとして得る必要があるので、集計終了は、すなわち、次の集計の開始を意味する。したがって、集計終了判別部494が集計終了を判別すると、集計開始判別部492は集計開始を判別し、連続的に中継通信数をカウントしていく。
この実施の形態では、このように随時リアルタイムで中継通信数をカウントしていくが、集計すべき単位時間の終了後、中継通信情報記憶部662が記憶した中継通信情報に基づいて、中継通信数を数える構成としてもよい。
しかし、このようにリアルタイムでカウントしていく構成をとったとしても、実際の観測値が得られるのは、単位時間の終了後である。
また、予測上限値もタイムスロットごとにしか求めていないので、実際に異常が発生した場合にそれを検出できるのは、単位時間の終了後となってしまい、遅延が生じる。
そこで、単位時間を短くとることで、異常を判別するまでにかかる遅延を短くする方法が考えられる。しかし、単位時間を短く取った場合、ノイズの影響を受けるようになり、精度の高い予測が難しくなる。
また、予測上限値もタイムスロットごとにしか求めていないので、実際に異常が発生した場合にそれを検出できるのは、単位時間の終了後となってしまい、遅延が生じる。
そこで、単位時間を短くとることで、異常を判別するまでにかかる遅延を短くする方法が考えられる。しかし、単位時間を短く取った場合、ノイズの影響を受けるようになり、精度の高い予測が難しくなる。
そこで、この実施の形態では、単位時間の終了より前に、集計途中の中継通信数(途中通信数)を用いて、異常が発生しているかどうかを判断する。
すなわち、途中通信数取得部681が、中継通信数積算部495の内部のカウンタの値(途中通信数)を取得する。
分析処理部643は、途中通信数が予測上限値を上回った場合に、異常を判別する。
分析処理部643は、途中通信数が予測上限値を上回った場合に、異常を判別する。
図11は、途中通信数の時間変化の一例を示す。横軸は時間、縦軸は途中通信数である。
図11において、T2〜T6はそれぞれ中継通信数を集計するタイムスロットである。現在は、T5の途中であり、T2〜T4については、観測値811〜813が確定している。
また、時系列分析により、T5〜T6について、予測上限値821、822が求められている。
途中通信数は、集計の途中で減少することはない。したがって、途中通信数が予測上限値821を上回った801の時点で、最終的な中継通信数831が予測上限値821を上回ることは確実である。
図11において、T2〜T6はそれぞれ中継通信数を集計するタイムスロットである。現在は、T5の途中であり、T2〜T4については、観測値811〜813が確定している。
また、時系列分析により、T5〜T6について、予測上限値821、822が求められている。
途中通信数は、集計の途中で減少することはない。したがって、途中通信数が予測上限値821を上回った801の時点で、最終的な中継通信数831が予測上限値821を上回ることは確実である。
このように、タイムスロットの集計途中のデータを用いて比較を行えば、タイムスロットの観測値が確定する前に異常の検出が可能となるため、発生した異常(ネットワーク感染型ウイルスの発生)に対して、より早期の警戒および対策が可能となる。
更に、この実施の形態では、途中通信数に基づいて、単位時間の終了後の実際の観測値を予測する。
例えば、単位時間をTとする。802の時点で、単位時間の開始からの経過時間がt、ここまでの途中通信数がnであり、途中通信数は図11に示すように時間の経過とともに直線的に増加するものと考えると、最終的な中継通信数831(途中予測中継数)は、n×T/tであると予測できる。
そこで、途中予測中継数予測部682は、途中通信数と経過時間に基づいて途中予測中継数を求める。
分析処理部643は、途中予測中継数が予測上限値を上回った場合に、異常を判別する。
分析処理部643は、途中予測中継数が予測上限値を上回った場合に、異常を判別する。
このように、タイムスロットの集計途中のデータによって、最終的な集計結果を予測して比較を行えば、途中通信数が予測上限値を上回る前に異常の検出が可能となるため、発生した異常(ネットワーク感染型ウイルスの発生)に対して、更に早期の警戒および対策が可能となる。
なお、実際には、途中通信数が直線的に増加するとは限らないので、このようにして行う異常の判別は、信頼度が低い。
特に、単位時間の開始からの経過時間が短い場合には、ノイズの影響が大きい。
これに対し、単位時間の開始からの経過時間が、単位時間に近くなればなるほど、信頼度は増していく。
特に、単位時間の開始からの経過時間が短い場合には、ノイズの影響が大きい。
これに対し、単位時間の開始からの経過時間が、単位時間に近くなればなるほど、信頼度は増していく。
そこで、この実施の形態では、異常判別部644が異常を判別した場合に、異常判別信頼度算出部652は、単位時間の開始からの経過時間に基づいて、異常判別の信頼度を算出する。異常判別信頼度算出部652が算出した異常判別の信頼度は、アラート生成部645が生成するアラート情報に含まれ、アラート表示部646が表示する。
これにより、早期の警戒および対策が可能になるだけでなく、アラートを受けた管理者は、信頼度の低いアラートはあくまで参考とするにとどめるといった柔軟な対応ができるようになる。
なお、ここでは、分析サーバが各中継装置ごとに設置されている場合について説明したが、実施の形態1で説明したように、1つの分析サーバがネットワークシステム全体を監視する構成としてもよい。
その場合には、中継装置131〜134は、タイムスロットごとの集計結果であるトラフィック統計情報(中継通信数)だけでなく、集計の途中経過(途中通信数)についても、随時、分析サーバに送信することになる。
これにより、分析サーバが中継装置と離れて設置されている場合でも、集計の途中経過に基づいて、早期の警戒および対策が可能になる。
実施の形態4.
実施の形態4を図1、図2、図4、図5、図7、図8、図11及び図12を用いて説明する。
この実施の形態における分析サーバ500(ネットワーク異常検出装置の一例)のハードウェア構成及びネットワークシステムの全体構成は、実施の形態2と共通なので、ここでは説明を省略する。
実施の形態4を図1、図2、図4、図5、図7、図8、図11及び図12を用いて説明する。
この実施の形態における分析サーバ500(ネットワーク異常検出装置の一例)のハードウェア構成及びネットワークシステムの全体構成は、実施の形態2と共通なので、ここでは説明を省略する。
なお、ここでは、分析サーバが各中継装置ごとに設置されている場合について説明するが、実施の形態1で説明したように、1つの分析サーバがネットワークシステム全体を監視する構成としてもよい。
図12は、この実施の形態における分析サーバ500(ネットワーク異常検出装置の一例)の内部構成の一例を示す。
異常判別部644は、信頼度合計部671及び合計信頼度比較部672を有する。
信頼度合計部671は、予測信頼度記憶部651が記憶した予測信頼度のうち、実際の観測値が上回った予測上限値に対応する予測信頼度のみを合計し、合計信頼度とする。
合計信頼度比較部672は、信頼度合計部671が合計した合計信頼度が特定の閾値を上回る場合に、異常を判別する。
異常判別部644は、信頼度合計部671及び合計信頼度比較部672を有する。
信頼度合計部671は、予測信頼度記憶部651が記憶した予測信頼度のうち、実際の観測値が上回った予測上限値に対応する予測信頼度のみを合計し、合計信頼度とする。
合計信頼度比較部672は、信頼度合計部671が合計した合計信頼度が特定の閾値を上回る場合に、異常を判別する。
中継した通信のうち、特定の条件を満たす通信のみを集計する場合、1つの条件で集計した結果のみを分析するのではなく、複数の条件で集計を行い、それぞれを分析したほうが、異常判別の確実性が高くなる。
すなわち、1つの条件から見ると、異常が発生しているか不確実な場合でも、他の条件でも異常が発生していれば、それらを総合して考えると、確実に異常が発生していると判別できる。
すなわち、1つの条件から見ると、異常が発生しているか不確実な場合でも、他の条件でも異常が発生していれば、それらを総合して考えると、確実に異常が発生していると判別できる。
そこで、この実施の形態では、予測信頼度記憶部651が、集計の条件にしたがって、予測上限値に対応する予測信頼度を記憶する。
信頼度合計部671は、集計の条件が異なる複数の観測値について、それぞれについて分析処理部643が予測した予測上限値と比較する。観測値が予測上限値を上回る場合には、それに対応する予測信頼度を合計する。
次に、合計信頼度比較部672が、この合計値と閾値を比較して、閾値を上回った場合に、異常を判別する。
信頼度合計部671は、集計の条件が異なる複数の観測値について、それぞれについて分析処理部643が予測した予測上限値と比較する。観測値が予測上限値を上回る場合には、それに対応する予測信頼度を合計する。
次に、合計信頼度比較部672が、この合計値と閾値を比較して、閾値を上回った場合に、異常を判別する。
したがって、1つの条件で集計した観測値が予測上限値を上回っただけでは、合計信頼度は閾値を超えないので、予測上限値を比較的低めに設定することができる。
また、予測の信頼度が高い条件で集計した観測値が予測上限値を上回った場合には、それだけで閾値を超え、異常を判別するように設定することもできる。
また、予測の信頼度が高い条件で集計した観測値が予測上限値を上回った場合には、それだけで閾値を超え、異常を判別するように設定することもできる。
このように、いくつかの条件で異常が見つかった場合に、異常を判別するので、ひとつの条件だけに偏らない総合的な判断が可能である。
なお、予測信頼度は、あらかじめ決まった値が定められていてもよいし、状況に応じて変化させてもよい。
例えば、予測の基礎とした観測値のばらつきが大きい場合には、そこから予測した予測上限値は信頼度が低いものである。したがって、観測値のばらつきが大きい場合には予測信頼度を低くし、逆にばらつきが小さい場合に予測信頼度を高くする機能を設けてもよい。
あるいは、異常を判別した場合に、それが本当に異常だったかを入力させることにより、フィードバックを受けて、予測信頼度を変化させることもできる。
すなわち、本当に異常だった場合には、その異常判別に貢献した条件についての予測信頼度を高くし、誤検出だった場合には、その異常判別に関与した条件についての予測信頼度を低くする機能を設けることも考えられる。
例えば、予測の基礎とした観測値のばらつきが大きい場合には、そこから予測した予測上限値は信頼度が低いものである。したがって、観測値のばらつきが大きい場合には予測信頼度を低くし、逆にばらつきが小さい場合に予測信頼度を高くする機能を設けてもよい。
あるいは、異常を判別した場合に、それが本当に異常だったかを入力させることにより、フィードバックを受けて、予測信頼度を変化させることもできる。
すなわち、本当に異常だった場合には、その異常判別に貢献した条件についての予測信頼度を高くし、誤検出だった場合には、その異常判別に関与した条件についての予測信頼度を低くする機能を設けることも考えられる。
これにより、異常判別の精度を更に高めることができる。
また、1つの条件ごとに独立して予測上限値と比較するのではなく、複数の条件で集計した観測値をベクトルとして時系列分析し、比較を行うことで、総合的に異常を判断する構成とすることも考えられる。
これにより、1つの条件単独では異常と認められない場合であっても、全体的に見れば異常である場合にも、異常を判別できる。
異常判別信頼度算出部652は、このようにして求められた合計信頼度に基づいて、異常判別の信頼度を算出する。合計信頼度をそのまま異常判別の信頼度としてもよいし、何らかの関数にしたがって変換してもよい。異常判別信頼度算出部652が算出した異常判別の信頼度は、アラート生成部645が生成するアラート情報に含まれ、アラート表示部646が表示する。
これにより、アラートを受けた管理者は、信頼度の低いアラートはあくまで参考とするにとどめておくといった柔軟な対応ができるようになる。
実施の形態5.
実施の形態5を図1、図2、図4、図5、図7、図8、図11及び図12を用いて説明する。
この実施の形態における分析サーバ500(ネットワーク異常検出装置の一例)のハードウェア構成及びネットワークシステムの全体構成は、実施の形態4と共通なので、ここでは説明を省略する。
実施の形態5を図1、図2、図4、図5、図7、図8、図11及び図12を用いて説明する。
この実施の形態における分析サーバ500(ネットワーク異常検出装置の一例)のハードウェア構成及びネットワークシステムの全体構成は、実施の形態4と共通なので、ここでは説明を省略する。
実施の形態4で説明したように、複数の条件で集計を行い、それを分析して総合的に判断するほうが、異常判別の精度が高くなり好ましい。
しかし、多数の条件について常に集計を行い、常にそれを分析することとすると、計算量が増えるのでシステムの負担が大きくなる可能性がある。
そこで、この実施の形態では、信頼度の高い条件についての集計・分析をリアルタイムで行い、それに基づいて、異常判別部644が異常を判別した場合、あるいは異常判別には至らないがそれに近い場合に、別の条件で集計し直して、分析を行うことにより、さらに精度の高い異常判別を行う。
図12は、この実施の形態における分析サーバ500(ネットワーク異常検出装置の一例)の内部構成の一例を示す。
中継通信情報収集部661は、中継装置が中継した通信についての情報(中継通信情報)を収集し、中継通信情報記憶部662が記憶する。
統計情報生成部431は、このなかから、特定の集計条件に当てはまる通信の数を数え、トラフィック統計情報(中継通信数)として、トラフィック統計情報記憶部642が記憶する。
分析処理部643は、このトラフィック統計情報を時系列分析し、予測上限値を算出する。予測上限値は、低めの値を算出するように設定しておく。
中継通信情報収集部661は、中継装置が中継した通信についての情報(中継通信情報)を収集し、中継通信情報記憶部662が記憶する。
統計情報生成部431は、このなかから、特定の集計条件に当てはまる通信の数を数え、トラフィック統計情報(中継通信数)として、トラフィック統計情報記憶部642が記憶する。
分析処理部643は、このトラフィック統計情報を時系列分析し、予測上限値を算出する。予測上限値は、低めの値を算出するように設定しておく。
異常判別部644は、予測上限値と実際の観測値とを比較して、実際の観測値が上回る場合に異常を判別する。しかし、この段階での異常判別は、信頼度の低いものである。よって、この段階でアラート生成部645が生成するアラート情報は、アラート表示部646が信頼度の低いものとして表示する。
異常判別部644が異常を判別した場合、統計情報生成部431は、別の条件で集計をやり直す。あるいは、集計だけは先にしておき、トラフィック統計情報記憶部642が記憶しておいてもよい。
分析処理部643は、別の条件で集計したトラフィック統計情報を時系列分析して、別の予測上限値を算出する。
異常判別部644は、予測上限値と実際の観測地とを比較して、実際の観測値が上回る場合に異常を判別する。2回目のプロセスでも異常が判別された場合には、アラート情報の信頼度は増し、逆に2回目は異常が判別されなかった場合には、アラート情報の信頼度は低いままである。
分析処理部643は、別の条件で集計したトラフィック統計情報を時系列分析して、別の予測上限値を算出する。
異常判別部644は、予測上限値と実際の観測地とを比較して、実際の観測値が上回る場合に異常を判別する。2回目のプロセスでも異常が判別された場合には、アラート情報の信頼度は増し、逆に2回目は異常が判別されなかった場合には、アラート情報の信頼度は低いままである。
必要なら、このプロセスを更に繰り返すことによって、アラート情報の信頼度を上げることができる。
このように、条件を変えながら様々な種類のトラフィック統計情報を生成して、分析すれば、平常時の計算量は低く抑えながら、異常発生時には精度の高い異常判別をすることが可能になる。さらに、アラート情報の記載内容についても、より有用な情報(スキャンの形式や、発信元IPアドレスなど)を、収集したパケットデータから抽出して詳細化を行うことができる。
なお、ここでは、分析サーバが各中継装置ごとに設置されている場合について説明したが、実施の形態1で説明したように、1つの分析サーバがネットワークシステム全体を監視する構成としてもよい。
その場合には、中継装置131〜134で中継通信数を集計するのではなく、中継通信情報そのものを分析サーバ500に送信することになる。集計結果の中継通信数だけでは、集計に用いた条件以外の詳細情報は、切り捨てられてしまっているからである。
分析サーバ500では、中継装置131〜134から送られてきた、中継したパケットデータそのものの情報を収集し、記憶することとなる。
分析サーバ500では、中継装置131〜134から送られてきた、中継したパケットデータそのものの情報を収集し、記憶することとなる。
これにより、得られたデータを様々な条件を用いて分析することが可能となる。また、より詳細な情報をアラートへ含めることができるため、管理者がアラートを受け取った際に、よりきめの細かい対応をとることができる。
実施の形態6.
以上説明した実施の形態では、ネットワーク異常検出装置の機能が1つの装置の中で実現されていた。
しかし、このような機能は、物理的に1つの装置内で実現する必要はない。ネットワークに接続されたサーバに各機能を分散させることにより、ネットワークシステム全体が、ネットワーク異常検出装置として機能するよう構成してもよい。
すなわち、ここでいう「ネットワーク異常検出装置」とは、必ずしも物理的に1つの装置であることを意味するものではない。ネットワークシステム全体を1つの装置として捉えて、上述した機能がそのネットワークシステム内で実現されていれば、ネットワークシステム全体としてネットワーク異常検出装置である。
以上説明した実施の形態では、ネットワーク異常検出装置の機能が1つの装置の中で実現されていた。
しかし、このような機能は、物理的に1つの装置内で実現する必要はない。ネットワークに接続されたサーバに各機能を分散させることにより、ネットワークシステム全体が、ネットワーク異常検出装置として機能するよう構成してもよい。
すなわち、ここでいう「ネットワーク異常検出装置」とは、必ずしも物理的に1つの装置であることを意味するものではない。ネットワークシステム全体を1つの装置として捉えて、上述した機能がそのネットワークシステム内で実現されていれば、ネットワークシステム全体としてネットワーク異常検出装置である。
したがって、以下のような形態が考えられる。
すなわち、中継装置は、設定された条件に沿って単位時間当たりに中継パケット数を集計したトラフィック統計情報(時系列データ)を生成し、生成したトラフィック統計情報をネットワーク上の分析サーバへ送信することができるものであり、分析サーバは、ネットワーク上の中継装置からトラフィック統計情報を受信し、得られたトラフィック統計情報を、時系列分析を用いて分析し、分析結果から、単位時間後の異常の発生を検出した場合には、アラートメッセージを生成してユーザに通知する機能を持つものであり、その両者を有するネットワークシステム。
すなわち、中継装置は、設定された条件に沿って単位時間当たりに中継パケット数を集計したトラフィック統計情報(時系列データ)を生成し、生成したトラフィック統計情報をネットワーク上の分析サーバへ送信することができるものであり、分析サーバは、ネットワーク上の中継装置からトラフィック統計情報を受信し、得られたトラフィック統計情報を、時系列分析を用いて分析し、分析結果から、単位時間後の異常の発生を検出した場合には、アラートメッセージを生成してユーザに通知する機能を持つものであり、その両者を有するネットワークシステム。
あるいは、中継装置は、設定された条件に沿って単位時間当たりに中継パケット数を集計したトラフィック統計情報(時系列データ)を生成し、生成したトラフィック統計情報をネットワーク上の分析サーバへ送信することができるものであり、分析サーバは、ネットワーク上の中継装置からトラフィック統計情報を受信し、得られたトラフィック統計情報を、時系列分析を用いて分析し、分析結果から、異常検出の間隔をトラフィック統計情報の集計途中のデータを用いて、最終的に観測値が予測値を超えるか否かを判断し、異常の発生を検出した場合には、アラートメッセージを生成してユーザに通知するものであり、その両者を有するネットワークシステム。
あるいは、中継装置は、トラフィック統計情報として集計する前の収集したログ情報そのものを分析サーバに送るものであり、分析サーバは、中継装置から送られてきたログ情報から、時系列データを生成する機能を有するものであり、その両者を有するネットワークシステム。
あるいは、中継装置は、上記分析機能、異常検出機能、アラート生成機能及びアラート送信機能を持つものであり、管理サーバは、各中継装置から送られてくるアラートを集積するものであり、分析サーバを必要としないネットワークシステム。
上記以外にも、様々な形で機能を分散させることが可能である。
これにより、導入するネットワークの構成によって、柔軟な設計が可能となる。
111 外部ネットワーク、121〜126 接続端末、131〜134 中継装置、141 トラフィック統計情報、500〜503 分析サーバ、611 内部ネットワーク、421 中継処理部、431 統計情報生成部、432 統計情報送信部、441〜443 ネットワーク接続インタフェース、451〜453 ネットワークケーブル、491 時計、492 集計開始判別部、493 経過時間計測部、494 集計終了判別部、495 中継通信数積算部、681 途中通信数取得部、682 途中予測中継数予測部、641 トラフィック統計情報収集部、642 トラフィック統計情報記憶部、643 分析処理部、644 異常判別部、645 アラート生成部、646 アラート表示部、651 予測信頼度記憶部、652 異常判別信頼度算出部、671 信頼度合計部、672 合計信頼度比較部、711 タイムスロット、721 観測値、731〜737 予測上限値、741 分析を開始した時点、801〜802 途中中継数、811〜813 観測値、821〜822 予測上限値、831 途中予測中継数、661 中継通信情報収集部、662 中継通信情報記憶部、152 管理サーバ、142 アラート情報、901 CRT表示装置、902 K/B、903 マウス、904 FDD、905 CDD、906 プリンタ装置、907 スキャナ装置、910 システムユニット、911 CPU、912 バス、913 ROM、914 RAM、915 通信ボード、920 磁気ディスク装置、921 OS、922 ウィンドウシステム、923 プログラム群、924 ファイル群、931 電話器、932 FAX機、940 インターネット、941 ゲートウェイ、942 LAN。
Claims (17)
- 通信を中継する中継装置を有するネットワークシステムにおける異常を検出するネットワーク異常検出装置において、
上記中継装置が中継した通信を単位時間ごとに集計した数を中継通信数として記憶する中継通信数記憶部と、
上記中継通信数記憶部が記憶した中継通信数を時系列分析により分析し、予測される中継通信数の上限値を算出して、予測通信数上限値とする予測通信数上限値算出部と、
上記予測通信数上限値算出部が算出した予測通信数上限値に基づいて、異常を判別する異常判別部と、
を有することを特徴とするネットワーク異常検出装置。 - 上記ネットワーク異常検出装置は、更に、
上記中継装置が中継した通信の数を単位時間ごとに集計し、上記中継通信数とする中継通信数集計部
を有し、
上記中継通信数記憶部は、
上記中継通信数集計部が集計した中継通信数を記憶する
ことを特徴とする請求項1に記載のネットワーク異常検出装置。 - 上記中継通信数集計部は、
上記中継装置が中継した通信のうち、特定の条件に当てはまる通信の数を集計し、単位時間ごとの上記中継通信数を求める
ことを特徴とする請求項2に記載のネットワーク異常検出装置。 - 上記ネットワーク異常検出装置は、更に、
上記中継装置が中継した通信についての情報を中継通信情報として記憶する中継通信情報記憶部
を有し、
上記中継通信数集計部は、
上記中継通信情報記憶部が記憶した中継通信情報に基づいて、上記中継通信数を集計する
ことを特徴とする請求項2に記載のネットワーク異常検出装置。 - 上記中継通信数集計部は、
集計の開始を判別する集計開始判別部と、
上記集計開始判別部が集計の開始を判別してからの経過時間を計測する経過時間計測部と、
上記経過時間計測部が計測した経過時間が、上記単位時間に達した場合に、集計の終了を判別する集計終了判別部と、
上記集計開始判別部が集計の開始を判別してから、上記集計終了判別部が集計の終了を判別するまでの間、上記中継装置が中継した通信の数を積算し、積算通信数とする中継通信数積算部と、
を有し、
上記中継通信数記憶部は、
上記集計終了判別部が集計の終了を判別した場合に、上記中継通信数積算部が積算した積算通信数を、上記中継通信数として記憶する
ことを特徴とする請求項2に記載のネットワーク異常検出装置。 - 上記予測通信数上限値算出部は、
自己回帰移動平均モデルを用いて予測通信数上限値を算出する
ことを特徴とする請求項1に記載のネットワーク異常検出装置。 - 上記予測通信数上限値算出部は、
上記中継通信数記憶部が記憶した中継通信数のうち、上記異常判別部が異常を判別した上記中継通信数を除外して、時系列分析を行う
ことを特徴とする請求項1に記載のネットワーク異常検出装置。 - 上記予測通信数上限値算出部は、
上記中継通信数記憶部が記憶した中継通信数のうち、上記異常判別部が異常を判別した頻度が特定の頻度を下回る場合に、上記異常判別部が異常を判別した上記中継通信数を除外して、時系列分析を行う
ことを特徴とする請求項1に記載のネットワーク異常検出装置。 - 上記異常判別部は、
上記予測通信数上限値算出部が算出した予測通信数上限値と、上記中継通信数記憶部が記憶した中継通信数とを比較して、異常を判別する
ことを特徴とする請求項1に記載のネットワーク異常検出装置。 - 上記ネットワーク異常検出装置は、更に、
集計の途中の時点において、上記中継通信数積算部が積算した積算通信数を取得し、途中通信数とする途中通信数取得部
を有し、
上記異常判別部は、
上記予測通信数上限値算出部が算出した予測通信数上限値と、上記途中通信数取得部が取得した途中通信数とを比較して、異常を判別する
ことを特徴とする請求項5に記載のネットワーク異常検出装置。 - 上記ネットワーク異常検出装置は、更に、
上記途中通信数取得部が取得した途中通信数と、上記経過時間計測部が計測した経過時間とに基づいて、集計の終了の時点における上記積算通信数を予測し、途中予測中継数とする途中予測中継数予測部
を有し、
上記異常判別部は、
上記予測通信数上限値算出部が算出した予測通信数上限値と、上記途中予測中継数予測部が予測した途中予測中継数とを比較して、異常を判別する
ことを特徴とする請求項10に記載のネットワーク異常検出装置。 - 上記異常判別部は、
上記中継通信数記憶部が記憶した中継通信数が、上記予測通信数上限値算出部が算出した予測通信数上限値を上回る場合に、異常を判別する
ことを特徴とする請求項9に記載のネットワーク異常検出装置。 - 上記予測通信数上限値算出部は、
複数の上記予測通信数上限値を算出し、
上記異常判別部は、
上記予測通信数上限値算出部が算出した複数の予測通信数上限値と、上記中継通信数記憶部が記憶した中継通信数とを比較し、上記複数の予測通信数上限値のうち、上記中継通信数が上回るものが1以上ある場合に、異常を判別する
ことを特徴とする請求項9に記載のネットワーク異常検出装置。 - 上記ネットワーク異常検出装置は、更に、
上記予測通信数上限値算出部が算出した予測通信数上限値についての予測の信頼度を、予測信頼度として記憶する予測信頼度記憶部
を有し、
上記予測通信数上限値算出部は、
複数の上記予測通信数上限値を算出し、
上記異常判別部は、
上記予測通信数上限値算出部が算出した複数の予測通信数上限値と、上記中継通信数記憶部が記憶した中継通信数とを比較し、上記複数の予測通信数上限値のうち、上記中継通信数が上回るものに対応する上記予測信頼度記憶部が記憶した予測信頼度を合計し、合計信頼度とする信頼度合計部と、
上記信頼度合計部が合計した合計信頼度が特定の閾値を上回る場合に、異常を判別する合計信頼度比較部と、
ことを特徴とする請求項9に記載のネットワーク異常検出装置。 - 上記ネットワーク異常検出装置は、更に、
上記予測通信数上限値算出部が算出した予測通信数上限値についての予測の信頼度を、予測信頼度として記憶する予測信頼度記憶部と、
上記異常判別部が異常を判別した場合に、上記予測信頼度記憶部が記憶した予測信頼度のうち、上記中継通信数が上回った上記予測通信数上限値に対応する予測信頼度に基づいて、異常判別の信頼度を算出する異常判別信頼度算出部と、
を有することを特徴とする請求項13に記載のネットワーク異常検出装置。 - 上記ネットワーク異常検出装置は、更に、
上記異常判別部が異常を判別した場合に、上記信頼度合計部が合計した合計信頼度に基づいて、異常判別の信頼度を算出する異常判別信頼度算出部
を有することを特徴とする請求項14に記載のネットワーク異常検出装置。 - 上記ネットワーク異常検出装置は、更に、
上記異常判別部が異常を判別した場合に、上記経過時間計測部が計測した経過時間に基づいて、異常判別の信頼度を算出する異常判別信頼度算出部
を有することを特徴とする請求項11に記載のネットワーク異常検出装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005049461A JP4490307B2 (ja) | 2005-02-24 | 2005-02-24 | ネットワーク異常検出装置及びコンピュータプログラム及びネットワーク異常検出方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005049461A JP4490307B2 (ja) | 2005-02-24 | 2005-02-24 | ネットワーク異常検出装置及びコンピュータプログラム及びネットワーク異常検出方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006238043A true JP2006238043A (ja) | 2006-09-07 |
| JP4490307B2 JP4490307B2 (ja) | 2010-06-23 |
Family
ID=37045212
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005049461A Expired - Fee Related JP4490307B2 (ja) | 2005-02-24 | 2005-02-24 | ネットワーク異常検出装置及びコンピュータプログラム及びネットワーク異常検出方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4490307B2 (ja) |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008227578A (ja) * | 2007-03-08 | 2008-09-25 | Kochi Univ | ネットワークシステム管理システム及びネットワーク管理運用方法 |
| KR100935861B1 (ko) * | 2007-11-12 | 2010-01-07 | 한국전자통신연구원 | 네트워크 보안 위험도 예측 방법 및 장치 |
| JP2011130330A (ja) * | 2009-12-21 | 2011-06-30 | Nippon Telegr & Teleph Corp <Ntt> | 通信帯域算出方法、設備設計計画装置、およびプログラム |
| JP2012015684A (ja) * | 2010-06-30 | 2012-01-19 | Mitsubishi Electric Corp | 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム |
| JP2012100091A (ja) * | 2010-11-02 | 2012-05-24 | Fujitsu Ltd | 基地局、検出装置、通信システムおよび検出方法 |
| JP2013210905A (ja) * | 2012-03-30 | 2013-10-10 | Aisin Aw Co Ltd | プローブ情報統計システム、プローブ情報統計方法およびプローブ情報統計プログラム |
| US8560894B2 (en) | 2010-01-26 | 2013-10-15 | Fujitsu Limited | Apparatus and method for status decision |
| JP2014509015A (ja) * | 2011-02-24 | 2014-04-10 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ネットワーク・イベント管理のための装置、方法、およびコンピュータ・プログラム |
| JP2014232923A (ja) * | 2013-05-28 | 2014-12-11 | 日本電気株式会社 | 通信装置、サイバー攻撃検出方法、及びプログラム |
| JP2015111770A (ja) * | 2013-12-06 | 2015-06-18 | Kddi株式会社 | 異常なインターネットプロトコル攻撃のリアルタイム報告を行うシステム及び方法 |
| JP2017059964A (ja) * | 2015-09-15 | 2017-03-23 | 富士通株式会社 | ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム |
| JP2018195929A (ja) * | 2017-05-16 | 2018-12-06 | 富士通株式会社 | トラフィック管理装置、トラフィック管理方法およびプログラム |
| JP2019169801A (ja) * | 2018-03-22 | 2019-10-03 | 株式会社国際電気通信基礎技術研究所 | 無線状況予測装置、無線状況予測方法、および、プログラム |
| JP2020010261A (ja) * | 2018-07-11 | 2020-01-16 | Phcホールディングス株式会社 | ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム |
| WO2020079788A1 (ja) * | 2018-10-17 | 2020-04-23 | サスメド株式会社 | 不正検知システムおよび不正検知装置 |
| JP2020068401A (ja) * | 2018-10-22 | 2020-04-30 | 株式会社東芝 | 異常要因判定装置およびその表示装置 |
| CN112291107A (zh) * | 2019-07-24 | 2021-01-29 | 富士通株式会社 | 网络分析程序、网络分析装置以及网络分析方法 |
| CN112566307A (zh) * | 2019-09-10 | 2021-03-26 | 酷矽半导体科技(上海)有限公司 | 安全显示系统及安全显示方法 |
| CN115412431A (zh) * | 2021-05-10 | 2022-11-29 | 瑞昱半导体股份有限公司 | 网络交换器以及异常检测方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08139722A (ja) * | 1994-11-15 | 1996-05-31 | Toshiba Corp | ネットワーク障害予測装置 |
| JPH08316958A (ja) * | 1995-05-22 | 1996-11-29 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク管理装置及びその方法 |
| JP2003289337A (ja) * | 2002-03-28 | 2003-10-10 | Nippon Telegr & Teleph Corp <Ntt> | 通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法 |
-
2005
- 2005-02-24 JP JP2005049461A patent/JP4490307B2/ja not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08139722A (ja) * | 1994-11-15 | 1996-05-31 | Toshiba Corp | ネットワーク障害予測装置 |
| JPH08316958A (ja) * | 1995-05-22 | 1996-11-29 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク管理装置及びその方法 |
| JP2003289337A (ja) * | 2002-03-28 | 2003-10-10 | Nippon Telegr & Teleph Corp <Ntt> | 通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法 |
Cited By (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008227578A (ja) * | 2007-03-08 | 2008-09-25 | Kochi Univ | ネットワークシステム管理システム及びネットワーク管理運用方法 |
| KR100935861B1 (ko) * | 2007-11-12 | 2010-01-07 | 한국전자통신연구원 | 네트워크 보안 위험도 예측 방법 및 장치 |
| US8839440B2 (en) | 2007-11-12 | 2014-09-16 | Electronics And Telecommunications Research Institute | Apparatus and method for forecasting security threat level of network |
| JP2011130330A (ja) * | 2009-12-21 | 2011-06-30 | Nippon Telegr & Teleph Corp <Ntt> | 通信帯域算出方法、設備設計計画装置、およびプログラム |
| US8560894B2 (en) | 2010-01-26 | 2013-10-15 | Fujitsu Limited | Apparatus and method for status decision |
| JP2012015684A (ja) * | 2010-06-30 | 2012-01-19 | Mitsubishi Electric Corp | 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム |
| JP2012100091A (ja) * | 2010-11-02 | 2012-05-24 | Fujitsu Ltd | 基地局、検出装置、通信システムおよび検出方法 |
| JP2014509015A (ja) * | 2011-02-24 | 2014-04-10 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ネットワーク・イベント管理のための装置、方法、およびコンピュータ・プログラム |
| US9191296B2 (en) | 2011-02-24 | 2015-11-17 | International Business Machines Corporation | Network event management |
| US9239988B2 (en) | 2011-02-24 | 2016-01-19 | International Business Machines Corporation | Network event management |
| JP2013210905A (ja) * | 2012-03-30 | 2013-10-10 | Aisin Aw Co Ltd | プローブ情報統計システム、プローブ情報統計方法およびプローブ情報統計プログラム |
| JP2014232923A (ja) * | 2013-05-28 | 2014-12-11 | 日本電気株式会社 | 通信装置、サイバー攻撃検出方法、及びプログラム |
| JP2015111770A (ja) * | 2013-12-06 | 2015-06-18 | Kddi株式会社 | 異常なインターネットプロトコル攻撃のリアルタイム報告を行うシステム及び方法 |
| JP2017059964A (ja) * | 2015-09-15 | 2017-03-23 | 富士通株式会社 | ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム |
| JP2018195929A (ja) * | 2017-05-16 | 2018-12-06 | 富士通株式会社 | トラフィック管理装置、トラフィック管理方法およびプログラム |
| JP6993559B2 (ja) | 2017-05-16 | 2022-01-13 | 富士通株式会社 | トラフィック管理装置、トラフィック管理方法およびプログラム |
| JP2019169801A (ja) * | 2018-03-22 | 2019-10-03 | 株式会社国際電気通信基礎技術研究所 | 無線状況予測装置、無線状況予測方法、および、プログラム |
| JP6999936B2 (ja) | 2018-03-22 | 2022-01-19 | 株式会社国際電気通信基礎技術研究所 | 無線状況予測装置、無線状況予測方法、および、プログラム |
| JP7085429B2 (ja) | 2018-07-11 | 2022-06-16 | Phcホールディングス株式会社 | ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム |
| JP2020010261A (ja) * | 2018-07-11 | 2020-01-16 | Phcホールディングス株式会社 | ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム |
| WO2020079788A1 (ja) * | 2018-10-17 | 2020-04-23 | サスメド株式会社 | 不正検知システムおよび不正検知装置 |
| JP2020068401A (ja) * | 2018-10-22 | 2020-04-30 | 株式会社東芝 | 異常要因判定装置およびその表示装置 |
| JP7034885B2 (ja) | 2018-10-22 | 2022-03-14 | 株式会社東芝 | 異常要因判定装置およびその表示装置 |
| CN112291107A (zh) * | 2019-07-24 | 2021-01-29 | 富士通株式会社 | 网络分析程序、网络分析装置以及网络分析方法 |
| CN112291107B (zh) * | 2019-07-24 | 2023-06-23 | 富士通株式会社 | 网络分析程序、网络分析装置以及网络分析方法 |
| CN112566307A (zh) * | 2019-09-10 | 2021-03-26 | 酷矽半导体科技(上海)有限公司 | 安全显示系统及安全显示方法 |
| CN112566307B (zh) * | 2019-09-10 | 2022-11-04 | 酷矽半导体科技(上海)有限公司 | 安全显示系统及安全显示方法 |
| CN115412431A (zh) * | 2021-05-10 | 2022-11-29 | 瑞昱半导体股份有限公司 | 网络交换器以及异常检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4490307B2 (ja) | 2010-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4490307B2 (ja) | ネットワーク異常検出装置及びコンピュータプログラム及びネットワーク異常検出方法 | |
| JP5264470B2 (ja) | 攻撃判定装置及びプログラム | |
| US8001601B2 (en) | Method and apparatus for large-scale automated distributed denial of service attack detection | |
| US9680693B2 (en) | Method and apparatus for network anomaly detection | |
| KR100561628B1 (ko) | 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽감지 방법 | |
| US20150229661A1 (en) | Method and system for confident anomaly detection in computer network traffic | |
| JP2014060722A (ja) | 将来のネットワーク攻撃を検知及び予測するために、様々な指標と過去の攻撃事例を相関させ、攻撃に関する指標のプロファイルを作成するシステム及び方法 | |
| US20080186876A1 (en) | Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor | |
| JPWO2016017208A1 (ja) | 監視システム、監視装置、および検査装置 | |
| JP2007013343A (ja) | ワーム検出パラメータ設定プログラム及びワーム検出パラメータ設定装置 | |
| US20070150955A1 (en) | Event detection system, management terminal and program, and event detection method | |
| JPWO2016194123A1 (ja) | 中継装置、ネットワーク監視システム及びプログラム | |
| CN110191004B (zh) | 一种端口检测方法及系统 | |
| CN106663040A (zh) | 用于计算机网络业务中的信任异常检测的方法及系统 | |
| KR101187023B1 (ko) | 네트워크 비정상 트래픽 분석시스템 | |
| JP2007208328A (ja) | 通信状況判定方法、通信状況判定システム及び判定装置 | |
| JP6470201B2 (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
| JP7045949B2 (ja) | 情報処理装置、通信検査方法及びプログラム | |
| JP2009044501A (ja) | トラフィック量変化原因特定方法、システム、プログラム、及び記録媒体 | |
| JP2009049490A (ja) | ネットワーク監視装置、ネットワーク監視システム | |
| JP5180247B2 (ja) | パケットサンプリング装置と方法およびプログラム | |
| JP2008219525A (ja) | ネットワーク異常検知方法およびネットワーク異常検知システム | |
| CN114499917B (zh) | Cc攻击检测方法及cc攻击检测装置 | |
| JP2005203992A (ja) | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム | |
| Barbhuiya et al. | Linear Regression Based DDoS Attack Detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20071107 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20091203 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091215 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100115 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100330 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100401 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130409 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130409 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140409 Year of fee payment: 4 |
|
| LAPS | Cancellation because of no payment of annual fees |