JP2009111537A - 通信関係構造変化による異常検出方法、装置、プログラム、および記録媒体 - Google Patents

通信関係構造変化による異常検出方法、装置、プログラム、および記録媒体 Download PDF

Info

Publication number
JP2009111537A
JP2009111537A JP2007279742A JP2007279742A JP2009111537A JP 2009111537 A JP2009111537 A JP 2009111537A JP 2007279742 A JP2007279742 A JP 2007279742A JP 2007279742 A JP2007279742 A JP 2007279742A JP 2009111537 A JP2009111537 A JP 2009111537A
Authority
JP
Japan
Prior art keywords
communication
traffic
end point
start point
abnormality
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007279742A
Other languages
English (en)
Other versions
JP4559462B2 (ja
Inventor
Keisuke Ishibashi
圭介 石橋
Shigeaki Harada
薫明 原田
Ryoichi Kawahara
亮一 川原
Takeshi Kondo
毅 近藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2007279742A priority Critical patent/JP4559462B2/ja
Publication of JP2009111537A publication Critical patent/JP2009111537A/ja
Application granted granted Critical
Publication of JP4559462B2 publication Critical patent/JP4559462B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】トラフィックの始点と終点間の接続関係構造の時系列上の変化を検出する。
【解決手段】トラフィックデータ取得部111が、一定期間毎のトラフィックの始点と終点の情報を取得する。通信関係構造抽出部112が、トラフィックデータ取得部111が取得した一定期間毎のトラフィックの始点と終点の情報から通信関係構造を生成する。通信関係構造間距離計算部113が、通信関係構造抽出部112が生成した通信関係構造間の距離を計算する。通信関係構造異常検出部114が、通信関係構造間距離計算部113が計算した距離を用いて、ある期間の通信関係構造と参照通信関係構造との距離の乖離に基づき異常を検出する。通信関係構造異常原因特定部115が、通信関係構造異常検出部114が異常を検出した通信関係構造について、異常原因となる始点および/または終点を特定する。
【選択図】図1

Description

本発明はインターネット等のコンピュータネットワーク上を転送されるトラフィック等大容量データの分析技術に関する。
インターネットにおける特定サーバに対する攻撃などの異常トラフィックの増加に伴い、異常トラフィックの検出に対する要求が高まっている。パケット数、バイト数などのトラフィック量に関する異常検出については、特許文献1を始め、種々の手法が提案されている。
一方、近年OS、アプリケーション等の脆弱性を攻撃するために、脆弱性の有無を検査する目的で、多数のホストに対して少数のパケットを送信するスキャン活動が報告されている。これらの活動はトラフィック量的には少ないものの、インターネットにあたえる脅威は大きい。これらの異常トラフィックについても近年盛んに研究されており、例えば特許文献2では、ホスト毎の通年フロー数や通信相手先数のランキングの変化によって、このようなトラフィック量としては現れない異常検出手法を提案している。
また非特許文献1では、ホスト毎の通信フロー数等の特定ホストへの集中度をトラフィックのエントロピーとして計算し、そのエントロピー値の時系列上の異常の検出手法を提案している。
特開2005−223847号公報 特開2007−173907号公報 Aunkool Lakhina,Mark Crovella and Christophe Diot(2005). Mining Anomalies Using Traffic Feature Distributinons, In: Proceedings of ACM SIGCOMM2005. pp.217-228. H. Kashima,K. Tsuda and A. Inokuchi:Marginalized Kernels Between Labeled Graphs,In Proc. 20th International Conference on Machine Learning(ICML),2003 T Gaertner, "A survey of kernels for structured date," SIGKDD Explorations,vol.5,no.1,pp.S268-S275,2003.
しかしながら、これら手法で検出できる異常は、個別ホストの挙動の異常である。近年の異常トラフィックは、複数のホストが共同で攻撃を実施するケースも多い。個別ホストの挙動監視のみでは、それらホスト間通信関係構造を考慮しないために、ホスト群の挙動異常は検出できない可能性が高い。従って、これらホスト群の挙動異常を検出するためには、ホスト群の間の通信関係構造を監視し、その時系列上の異常として検出する必要がある。しかしながら、一般的に用いられる時系列解析による異常検出手法は、スカラー値、ベクトル値の時系列データを対象とするものであるが、通信関係構造はスカラー値、べクトル値でないため、これらの手法は適用できない。
また非特許文献2、3ではグラフ構造をもつデータ間の内積値(距離)計算手法を提案している。しかしながら同手法は、ラベル付グラフの分類を目的として提案されているため、そのままでは通信関係構造の異常検出に適用することは出来ない。
本発明の目的は、上記の課題を鑑みてなされたもので、トラフィックの始点と終点間の接続関係構造の時系列上の変化を検出することである。
本明細書において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。
第1の発明は、コンピュータネットワーク上を転送されるトラフィックの始点と終点間の接続関係構造の時系列上の変化を検出する通信関係構造異常検出装置における通信関係構造異常検出方法であって、前記通信関係構造異常検出装置は、トラフィックデータ取得部と通信関係構造抽出部と通信関係構造間距離計算部と通信関係構造異常検出部と通信関係構造異常原因特定部とを備え、前記トラフィックデータ取得部が、一定期間毎のトラフィックの始点と終点の情報を取得する第1のステップと、前記通信関係構造抽出部が、前記一定期間毎のトラフィックの始点と終点の情報から通信関係構造を生成する第2のステップと、前記通信関係構造間距離計算部が、前記通信関係構造間の距離を計算する第3のステップと、前記通信関係構造異常検出部が、ある期間の通信関係構造と参照通信関係構造との前記距離の乖離に基づき異常を検出する第4のステップと、前記通信関係構造異常原因特定部が、異常を検出した通信関係構造について、異常原因となる始点および/または終点を特定する第5のステップとを含むことを特徴とする。
第2の発明は、第1の発明において、前記始点と終点の情報としてトラフィックの送信IPアドレスと宛先IPアドレスを用いることを特徴とする。
第3の発明は、第1の発明において、前記始点と終点の情報としてトラフィックの送信元経路と宛先経路を用いることを特徴とする。
第4の発明は、第1の発明において、前記始点と終点の情報としてトラフィックの送信元ASと宛先ASを用いることを特徴とする。
第5の発明は、第1の発明において、前記始点と終点の情報としてアプリケーションレイヤメッセージの送信元と宛先を用いることを特徴とする。
第6の発明は、第1の発明において、前記第1のステップにおいて、パケットヘッダ情報および/またはパケットペイロード情報によりフィルタリングすることによって、検出対象トラフィックを限定することを特徴とする。
第7の発明は、第1の発明において、前記第1のステップにおいて、単一または複数のハッシュ関数を用いて通信関係の始点情報と終点情報の単一または複数のハッシュ値を用いることを特徴とする。
第8の発明は、第1の発明において、前記第2のステップにおいて、通信関係構造として、一定期間毎のトラフィックに出現する始点と終点をノードとし、トラフィックが存在した始点と終点間をエッジとするグラフを用いることを特徴とする。
第9の発明は、第8の発明において、前記エッジに対してトラフィック量に応じた重みを与えることを特徴とする。
第10の発明は、第1の発明において、前記第1のステップにおいて、単一または複数のハッシュ関数を用いて通信関係の始点情報と終点情報の単一または複数のハッシュ値を用い、前記第2のステップにおいて、通信関係構造として、一定期間毎のトラフィックに出現する始点と終点をノードとし、トラフィックが存在した始点と終点間をエッジとするグラフを用い、ある始点と終点のハッシュ値間のエッジに対して、ハッシュ前の始点情報と終点情報のペア数に応じた重みを与えることを特徴とする。
第11の発明は、第1の発明において、前記第2のステップにおいて、通信関係構造として、一定期間毎のトラフィックに出現する始点をノードとし、同一の終点に共通してトラフィックが存在した2始点間をエッジとするグラフを用いることを特徴とする。
第12の発明は、第1の発明において、前記第2のステップにおいて、通信関係構造として、一定期間毎のトラフィックに出現する終点をノードとし、同一の始点に共通してトラフィックが存在した2終点間をエッジとするグラフを用いることを特徴とする。
第13の発明は、第1の発明において、前記第3のステップにおいて、通信関係構造間の距離の計算において、グラフの隣接行列の最大固有値に属する固有ベクトルの内積を用いることを特徴とする。
第14の発明は、第1の発明において、前記第4のステップにおいて、参照通信関係構造として直前期間の通信関係構造を用いることを特徴とする。
第15の発明は、第13の発明において、前記第4のステップにおいて、参照通信関係構造として、前記最大固有値に属する固有ベクトルに関する、時系列モデルによる予測ベクトルを用いることを特徴とする。
第16の発明は、第13の発明において、前記第5のステップにおいて、前記固有ベクトルの内積値の差が基準値以上となるノードに対応する始点または終点を異常原因の始点または終点として特定することを特徴とする。
本発明によれば従来困難であった通信関係構造の異常を検出することが出来る。
以下、図面を用いて本発明の実施例を説明する。
図1は、コンピュータネットワーク(例えばインターネット)のトラフィックデータを対象とする本発明の実施例の通信関係構造異常検出装置の基本構成の一例を示す図である。図1において、101はコンピュータネットワーク(監視対象網)である。102はトラフィック送信端末であり、103はトラフィック受信端末である。104はトラフィック送信端末102からトラフィック受信端末103へ向かうトラフィックである。105−1〜105−4はトラフィック104が経由するルータである。110は本発明の実施例の通信関係構造異常検出装置である。
通信関係構造異常検出装置110は、一定期間毎のトラフィックの始点と終点の情報を取得するトラフィックデータ取得部111と、トラフィックデータ取得部111が取得した一定期間毎のトラフィックの始点と終点の情報から通信関係構造を生成する通信関係構造抽出部112と、通信関係構造抽出部112が生成した通信関係構造間の距離を計算する通信関係構造間距離計算部113と、通信関係構造間距離計算部113が計算した距離を用いて、ある期間の通信関係構造と参照通信関係構造との距離の乖離に基づき異常を検出する通信関係構造異常検出部114と、通信関係構造異常検出部114が異常を検出した通信関係構造について、異常原因となる始点および/または終点を特定する通信関係構造異常原因特定部115と、を備える。
トラフィックデータ取得部111では、リンク上に転送されるパケットデータもしくはルータから出力されるトラフィックフローデータから、一定期間毎のトラフィックの始点と終点の情報を抽出する。始点の情報、終点の情報として、送信端末IPアドレス、受信端末IPアドレスを抽出してもよいし、送信元経路、宛先経路を抽出してもよいし、送信元AS、宛先ASを抽出してもよい。また、アプリケーションレイヤメッセージの送信元と宛先を抽出してもよい。これは例えばEメールアプリケーションにおける送信元メールアドレス、宛先メールアドレスや、P2Pファイル共有アプリケーションにおけるファイルの供給元、配信先などが含まれる。また、異常検出対象の通信関係の始点、終点間トラフィックが監視対象トラフィックの一部である場合は、パケットヘッダおよび/またはペイロード情報によりフィルタリングしたトラフィック情報を対象に始点と終点情報を抽出してもよい。また大規模トラフィックデータを対象とする場合、始点数、終点数が膨大となり、対象通信関係構造が大きくなり、実時間処理が困難になる可能性がある。このような場合に対しては、単一または複数のハッシュ関数を用いて少数の始点数、終点数に集約する。
通信関係構造抽出部112では、トラフィック情報取得部111から、事前に定められた一定時間間隔内に観測された始点、終点間の通信関係構造を生成する。始点、終点をノードとし、通信が存在する始点、終点間をエッジとする無向二部グラフを通信関係構造とすることができる。また、始点(終点)をノードとし、二つの始点(終点)が共通する終点(始点)と通信が存在する場合にそれら二始点(終点)をエッジとする通信関係構造とすることもできる。エッジには始点終点間のトラフィック量に応じた重みを与えてもよい。またハッシュ関数を用いて始点、終点を集約した場合は、エッジに対して集約前の始点・終点ペア数に応じた重みを与えても良い。また、始点・終点ペア数として、始点・終点ペア情報のハッシュ値に基づくBloomFilterを用いたペア数推定値を用いてもよい。
通信関係構造間距離計算部113では、二つの上記通信関係構造間の距離を計算する。距離の計算は非特許文献2に記載されている方法を用いてもよいし、グラフの隣接行列の最大固有値に属する固有ベクトルの内積を用いてもよい。後者の場合では、上記通信関係構造グラフを隣接行列表現し、その隣接行列の最大固有値に属する固有ベクトルをもとめ、この固有ベクトルの内積値を用いて距離を計算する。内積値を用いた固有ベクトル間の距離としては、固有ベクトル間の角度のコサイン値V・V’/(|V||V’|)の逆数を用いてもよいし、ベクトル間のユークリッド距離(V・V+V’・V−2V・V’)^(1/2)を用いてもよい。なお、この固有ベクトルの物理的意味は、隣接行列をマルコフ遷移行列とみなした際に、定常状態における存在確率ベクトルである。グラフの隣接行列表現に当たっては、エッジが存在するノード間に対応する行列要素を定数にしてもよい。通信関係構造として、一定期間毎のトラフィックに出現する始点(終点)をノードとし、同一の終点(始点)に共通してトラフィックが存在した2始点間(2終点間)をエッジとするグラフを用いる場合は、ノード間の距離として、共通する始点数(終点数)に応じた距離を計算し、この距離に応じた数値を行列要素としてもよい。また固有ベクトルの一意性を担保するためには、グラフが強連結でなくてはならないが、このためには任意の二ノード間に一定値を足す、もしくは当該ノードの次数に比例した数を当該ノードに対応する行に足す等の手法が考えられる。
通信関係構造異常検出部114では、時々刻々生成される通信関係構造データに対して、通信関係構造間距離計算部113で計算される距離を用いて異常を検出する。すなわち、通信関係構造異常検出部114では、通信関係構造間距離計算部113が計算した距離を用いて、ある期間の通信関係構造と参照通信関係構造との距離の乖離に基づき異常を検出する。参照通信関係構造として直前期間の通信関係構造を用いることができる。この方法では、ある時刻の通信関係構造が異常か否かを、直近通信関係構造(これは正常と判定されたものとする)との距離を計算し、この距離が予め定められた閾値、もしくは移動平均等によって動的に生成された閾値を超過した際に異常と判定する。また、通信関係構造間距離計算部113が、通信関係構造間の距離の計算において、グラフの隣接行列の最大固有値に属する固有ベクトルの内積を用いる場合は、時々刻々生成される通信関係構造から生成される固有ベクトルに関して、時系列モデルから予測ベクトルを生成し、この予測ベクトルとの対象時間の通信関係構造から生成される固有ベクトルとの距離を用いて、この距離が予め定められた閾値、もしくは移動平均等によって動的に生成された閾値を超過した際に異常と判定することができる。
通信関係構造異常原因特定部115では、検出した通信関係構造異常に対して原因を特定する。すなわち、通信関係構造異常原因特定部115は、通信関係構造異常検出部114が異常を検出した通信関係構造について、異常原因となる始点および/または終点を特定する。一般的には通信関係構造の異常を検出した場合異常原因を追究し、その原因を排除する等の対処が必要になるが、通信関係構造間距離計算部113が、通信関係構造間の距離の計算において、グラフの隣接行列の最大固有値に属する固有ベクトルの内積を用いる場合は、異常と判定された通信関係構造において、固有ベクトル内積値の数値の差が基準値以上となるノードに対応する始点、もしくは終点を異常原因の始点、もしくは終点として特定する。
図2は、本実施例の通信関係構造異常検出方法の概要を示すフローチャートである。第1のステップ(S1)では、トラフィックデータ取得部111が、一定期間毎のトラフィックの始点と終点の情報を取得する。第2のステップ(S2)では、通信関係構造抽出部112が、トラフィックデータ取得部111が取得した一定期間毎のトラフィックの始点と終点の情報から通信関係構造を生成する。第3のステップ(S3)では、通信関係構造間距離計算部113が、通信関係構造抽出部112が生成した通信関係構造間の距離を計算する。第4のステップ(S4)では、通信関係構造異常検出部114が、通信関係構造間距離計算部113が計算した距離を用いて、ある期間の通信関係構造と参照通信関係構造との距離の乖離に基づき異常を検出する。第5のステップ(S5)では、通信関係構造異常原因特定部115が、通信関係構造異常検出部114が異常を検出した通信関係構造について、異常原因となる始点および/または終点を特定する。
第1のステップ(S1)において、取得する始点と終点の情報として、トラフィックの送信IPアドレスと宛先IPアドレスを用いてもよいし、トラフィックの送信元経路と宛先経路を用いてよいし、トラフィックの送信元ASと宛先ASを用いてもよいし、アプリケーションレイヤメッセージの送信元と宛先を用いてもよい。また、第1のステップ(S1)において、パケットヘッダ情報および/またはパケットペイロード情報によりフィルタリングすることによって、検出対象トラフィックを限定することができる。また、第1のステップ(S1)において、単一または複数のハッシュ関数を用いて通信関係の始点情報と終点情報の単一または複数のハッシュ値を用いることもできる。
第2のステップ(S2)において、生成する通信関係構造として、一定期間毎のトラフィックに出現する始点と終点をノードとし、トラフィックが存在した始点と終点間をエッジとするグラフを用いてもよい。また、生成する通信関係構造として、一定期間毎のトラフィックに出現する始点をノードとし、同一の終点に共通してトラフィックが存在した2始点間をエッジとするグラフを用いてもよい。また、生成する通信関係構造として、一定期間毎のトラフィックに出現する終点をノードとし、同一の始点に共通してトラフィックが存在した2終点間をエッジとするグラフを用いてもよい。
第3のステップ(S3)において、通信関係構造間の距離の計算において、グラフの隣接行列の最大固有値に属する固有ベクトルの内積を用いてもよい。
第4のステップ(S4)において、参照通信関係構造として直前期間の通信関係構造を用いてもよい。また、第4のステップ(S4)において、第3のステップ(S3)においてグラフの隣接行列の最大固有値に属する固有ベクトルの内積を用いた場合、参照通信関係構造として、最大固有値に属する固有ベクトルに関する、時系列モデルによる予測ベクトルを用いてもよい。
第5のステップ(S5)において、第3のステップ(S3)においてグラフの隣接行列の最大固有値に属する固有ベクトルの内積を用いた場合、固有ベクトルの内積値の差が基準値以上となるノードに対応する始点または終点を異常原因の始点または終点として特定してもよい。
以上説明した通信関係構造異常検出装置は、1または複数のコンピュータとプログラムを用いて構成することができる。また、そのプログラムの一部または全部の代わりにハードウェアを用いて構成してもよい。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
本発明の実施例における通信関係構造異常検出装置の構成例を示すブロック図である。 本発明の実施例の通信関係構造異常検出方法の概要を示すフローチャートである。
符号の説明
101…コンピュータネットワーク(監視対象網)、102…トラフィック送信端末、103…トラフィック受信端末、104…トラフィック、105−1〜105−4…ルータ、110…通信関係構造異常検出装置、111…トラフィックデータ取得部、112…通信関係構造抽出部、113…通信関係構造間距離計算部、114…通信関係構造異常検出部、115…通信関係構造異常原因特定部

Claims (19)

  1. コンピュータネットワーク上を転送されるトラフィックの始点と終点間の接続関係構造の時系列上の変化を検出する通信関係構造異常検出装置における通信関係構造異常検出方法であって、
    前記通信関係構造異常検出装置は、トラフィックデータ取得部と通信関係構造抽出部と通信関係構造間距離計算部と通信関係構造異常検出部と通信関係構造異常原因特定部とを備え、
    前記トラフィックデータ取得部が、一定期間毎のトラフィックの始点と終点の情報を取得する第1のステップと、
    前記通信関係構造抽出部が、前記一定期間毎のトラフィックの始点と終点の情報から通信関係構造を生成する第2のステップと、
    前記通信関係構造間距離計算部が、前記通信関係構造間の距離を計算する第3のステップと、
    前記通信関係構造異常検出部が、ある期間の通信関係構造と参照通信関係構造との前記距離の乖離に基づき異常を検出する第4のステップと、
    前記通信関係構造異常原因特定部が、異常を検出した通信関係構造について、異常原因となる始点および/または終点を特定する第5のステップとを
    含むことを特徴とする通信関係構造異常検出方法。
  2. 前記始点と終点の情報としてトラフィックの送信IPアドレスと宛先IPアドレスを用いることを特徴とする請求項1記載の通信関係構造異常検出方法。
  3. 前記始点と終点の情報としてトラフィックの送信元経路と宛先経路を用いることを特徴とする請求項1記載の通信関係構造異常検出方法。
  4. 前記始点と終点の情報としてトラフィックの送信元ASと宛先ASを用いることを特徴とする請求項1記載の通信関係構造異常検出方法。
  5. 前記始点と終点の情報としてアプリケーションレイヤメッセージの送信元と宛先を用いることを特徴とする請求項1記載の通信関係構造異常検出方法。
  6. 前記第1のステップにおいて、パケットヘッダ情報および/またはパケットペイロード情報によりフィルタリングすることによって、検出対象トラフィックを限定することを特徴とする請求項1記載の通信関係構造異常検出方法。
  7. 前記第1のステップにおいて、単一または複数のハッシュ関数を用いて通信関係の始点情報と終点情報の単一または複数のハッシュ値を用いることを特徴とする請求項1に記載の通信関係構造異常検出方法。
  8. 前記第2のステップにおいて、通信関係構造として、一定期間毎のトラフィックに出現する始点と終点をノードとし、トラフィックが存在した始点と終点間をエッジとするグラフを用いることを特徴とする請求項1記載の通信関係構造異常検出方法。
  9. 前記エッジに対してトラフィック量に応じた重みを与えることを特徴とする請求項8記載の通信関係構造異常検出方法。
  10. 前記第1のステップにおいて、単一または複数のハッシュ関数を用いて通信関係の始点情報と終点情報の単一または複数のハッシュ値を用い、
    前記第2のステップにおいて、通信関係構造として、一定期間毎のトラフィックに出現する始点と終点をノードとし、トラフィックが存在した始点と終点間をエッジとするグラフを用い、
    ある始点と終点のハッシュ値間のエッジに対して、ハッシュ前の始点情報と終点情報のペア数に応じた重みを与えることを特徴とする請求項1記載の通信関係構造異常検出方法。
  11. 前記第2のステップにおいて、通信関係構造として、一定期間毎のトラフィックに出現する始点をノードとし、同一の終点に共通してトラフィックが存在した2始点間をエッジとするグラフを用いることを特徴とする請求項1に記載の通信関係構造異常検出方法。
  12. 前記第2のステップにおいて、通信関係構造として、一定期間毎のトラフィックに出現する終点をノードとし、同一の始点に共通してトラフィックが存在した2終点間をエッジとするグラフを用いることを特徴とする請求項1記載の通信関係構造異常検出方法。
  13. 前記第3のステップにおいて、通信関係構造間の距離の計算において、グラフの隣接行列の最大固有値に属する固有ベクトルの内積を用いることを特徴とする請求項1記載の通信関係構造異常検出方法。
  14. 前記第4のステップにおいて、参照通信関係構造として直前期間の通信関係構造を用いることを特徴とする請求項1記載の通信関係構造異常検出方法。
  15. 前記第4のステップにおいて、参照通信関係構造として、前記最大固有値に属する固有ベクトルに関する、時系列モデルによる予測ベクトルを用いることを特徴とする請求項13記載の通信関係構造異常検出方法。
  16. 前記第5のステップにおいて、前記固有ベクトルの内積値の差が基準値以上となるノードに対応する始点または終点を異常原因の始点または終点として特定することを特徴とする請求項13記載の通信関係構造異常検出方法。
  17. コンピュータネットワーク上を転送されるトラフィックの始点と終点間の接続関係構造の時系列上の変化を検出する通信関係構造異常検出装置であって、
    一定期間毎のトラフィックの始点と終点の情報を取得するトラフィックデータ取得部と、
    前記一定期間毎のトラフィックの始点と終点の情報から通信関係構造を生成する通信関係構造抽出部と、
    前記通信関係構造間の距離を計算する通信関係構造間距離計算部と、
    ある期間の通信関係構造と参照通信関係構造との前記距離の乖離に基づき異常を検出する通信関係構造異常検出部と、
    異常を検出した通信関係構造について、異常原因となる始点および/または終点を特定する通信関係構造異常原因特定部とを
    備えることを特徴とする通信関係構造異常検出装置。
  18. コンピュータネットワーク上を転送されるトラフィックの始点と終点間の接続関係構造の時系列上の変化を検出する通信関係構造異常検出装置のための通信関係構造異常検出プログラムであって、
    コンピュータを、
    一定期間毎のトラフィックの始点と終点の情報を取得するトラフィックデータ取得部、
    前記一定期間毎のトラフィックの始点と終点の情報から通信関係構造を生成する通信関係構造抽出部、
    前記通信関係構造間の距離を計算する通信関係構造間距離計算部、
    ある期間の通信関係構造と参照通信関係構造との前記距離の乖離に基づき異常を検出する通信関係構造異常検出部、および
    異常を検出した通信関係構造について、異常原因となる始点および/または終点を特定する通信関係構造異常原因特定部、
    として機能させるための通信関係構造異常検出プログラム。
  19. 請求項18記載の通信関係構造異常検出プログラムを記録したコンピュータ読み取り可能な記録媒体。
JP2007279742A 2007-10-29 2007-10-29 通信関係構造変化による異常検出方法、装置、プログラム、および記録媒体 Active JP4559462B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007279742A JP4559462B2 (ja) 2007-10-29 2007-10-29 通信関係構造変化による異常検出方法、装置、プログラム、および記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007279742A JP4559462B2 (ja) 2007-10-29 2007-10-29 通信関係構造変化による異常検出方法、装置、プログラム、および記録媒体

Publications (2)

Publication Number Publication Date
JP2009111537A true JP2009111537A (ja) 2009-05-21
JP4559462B2 JP4559462B2 (ja) 2010-10-06

Family

ID=40779589

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007279742A Active JP4559462B2 (ja) 2007-10-29 2007-10-29 通信関係構造変化による異常検出方法、装置、プログラム、および記録媒体

Country Status (1)

Country Link
JP (1) JP4559462B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011015047A (ja) * 2009-06-30 2011-01-20 Nippon Telegr & Teleph Corp <Ntt> トラヒック特性計測方法および装置
JP2013500668A (ja) * 2009-07-29 2013-01-07 インターナショナル・ビジネス・マシーンズ・コーポレーション 遊休ネットワーク・デバイスの識別
JP2018032906A (ja) * 2016-08-22 2018-03-01 日本電信電話株式会社 DDoS連携対処装置、DDoS連携対処方法及びプログラム
WO2021024351A1 (ja) * 2019-08-05 2021-02-11 日本電信電話株式会社 異常推定装置、異常検出装置、異常検出方法、異常検出プログラム

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005223847A (ja) * 2004-02-09 2005-08-18 Intelligent Cosmos Research Institute ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム
JP2006135652A (ja) * 2004-11-05 2006-05-25 Hitachi Ltd ネットワーク管理装置
JP2007173907A (ja) * 2005-12-19 2007-07-05 Nippon Telegr & Teleph Corp <Ntt> 異常トラヒック検出方法及び装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005223847A (ja) * 2004-02-09 2005-08-18 Intelligent Cosmos Research Institute ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム
JP2006135652A (ja) * 2004-11-05 2006-05-25 Hitachi Ltd ネットワーク管理装置
JP2007173907A (ja) * 2005-12-19 2007-07-05 Nippon Telegr & Teleph Corp <Ntt> 異常トラヒック検出方法及び装置

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011015047A (ja) * 2009-06-30 2011-01-20 Nippon Telegr & Teleph Corp <Ntt> トラヒック特性計測方法および装置
JP2013500668A (ja) * 2009-07-29 2013-01-07 インターナショナル・ビジネス・マシーンズ・コーポレーション 遊休ネットワーク・デバイスの識別
JP2018032906A (ja) * 2016-08-22 2018-03-01 日本電信電話株式会社 DDoS連携対処装置、DDoS連携対処方法及びプログラム
WO2021024351A1 (ja) * 2019-08-05 2021-02-11 日本電信電話株式会社 異常推定装置、異常検出装置、異常検出方法、異常検出プログラム
JPWO2021024351A1 (ja) * 2019-08-05 2021-02-11
JP7248127B2 (ja) 2019-08-05 2023-03-29 日本電信電話株式会社 異常推定装置、異常検出装置、異常検出方法、異常検出プログラム

Also Published As

Publication number Publication date
JP4559462B2 (ja) 2010-10-06

Similar Documents

Publication Publication Date Title
US10091218B2 (en) System and method to detect attacks on mobile wireless networks based on network controllability analysis
US11070569B2 (en) Detecting outlier pairs of scanned ports
EP3849154A1 (en) Network traffic monitoring system
US11184377B2 (en) Malicious port scan detection using source profiles
US11711389B2 (en) Scanner probe detection
US7903657B2 (en) Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor
US11316872B2 (en) Malicious port scan detection using port profiles
US11184376B2 (en) Port scan detection using destination profiles
JP4559462B2 (ja) 通信関係構造変化による異常検出方法、装置、プログラム、および記録媒体
WO2018142703A1 (ja) 異常要因推定装置、異常要因推定方法及びプログラム
Zhang et al. A hadoop based analysis and detection model for ip spoofing typed ddos attack
Asai et al. Network application profiling with traffic causality graphs
JP5310094B2 (ja) 異常検出システム、異常検出方法および異常検出用プログラム
JP2013150083A (ja) ネットワーク異常検出装置およびネットワーク異常検出方法
JP6317685B2 (ja) 通信監視システム、通信監視方法およびプログラム
US10187414B2 (en) Differential malware detection using network and endpoint sensors
US20120110665A1 (en) Intrusion Detection Within a Distributed Processing System
CN108366053B (zh) 一种基于朴素贝叶斯的mqtt异常流量检测方法
JP6806249B2 (ja) 情報処理装置、情報処理システム、情報処理方法、及びプログラム
CN107251519B (zh) 用于检测通信网络上的假信息的攻击的系统、方法和介质
Wang et al. Flowrank: Ranking netflow records
Lu et al. Ccs: Collaborative malware clustering and signature generation using malware behavioral analysis
JP7366690B2 (ja) 機器種別推定システム
JP2009124382A (ja) P2p通信検出装置、及びその方法とプログラム
JP5757579B2 (ja) 非通常通信検知装置および非通常通信検知方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20091209

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091222

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100217

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100720

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100722

R150 Certificate of patent or registration of utility model

Ref document number: 4559462

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130730

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350