JP2009111537A - 通信関係構造変化による異常検出方法、装置、プログラム、および記録媒体 - Google Patents
通信関係構造変化による異常検出方法、装置、プログラム、および記録媒体 Download PDFInfo
- Publication number
- JP2009111537A JP2009111537A JP2007279742A JP2007279742A JP2009111537A JP 2009111537 A JP2009111537 A JP 2009111537A JP 2007279742 A JP2007279742 A JP 2007279742A JP 2007279742 A JP2007279742 A JP 2007279742A JP 2009111537 A JP2009111537 A JP 2009111537A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- traffic
- end point
- start point
- abnormality
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】トラフィックデータ取得部111が、一定期間毎のトラフィックの始点と終点の情報を取得する。通信関係構造抽出部112が、トラフィックデータ取得部111が取得した一定期間毎のトラフィックの始点と終点の情報から通信関係構造を生成する。通信関係構造間距離計算部113が、通信関係構造抽出部112が生成した通信関係構造間の距離を計算する。通信関係構造異常検出部114が、通信関係構造間距離計算部113が計算した距離を用いて、ある期間の通信関係構造と参照通信関係構造との距離の乖離に基づき異常を検出する。通信関係構造異常原因特定部115が、通信関係構造異常検出部114が異常を検出した通信関係構造について、異常原因となる始点および/または終点を特定する。
【選択図】図1
Description
Claims (19)
- コンピュータネットワーク上を転送されるトラフィックの始点と終点間の接続関係構造の時系列上の変化を検出する通信関係構造異常検出装置における通信関係構造異常検出方法であって、
前記通信関係構造異常検出装置は、トラフィックデータ取得部と通信関係構造抽出部と通信関係構造間距離計算部と通信関係構造異常検出部と通信関係構造異常原因特定部とを備え、
前記トラフィックデータ取得部が、一定期間毎のトラフィックの始点と終点の情報を取得する第1のステップと、
前記通信関係構造抽出部が、前記一定期間毎のトラフィックの始点と終点の情報から通信関係構造を生成する第2のステップと、
前記通信関係構造間距離計算部が、前記通信関係構造間の距離を計算する第3のステップと、
前記通信関係構造異常検出部が、ある期間の通信関係構造と参照通信関係構造との前記距離の乖離に基づき異常を検出する第4のステップと、
前記通信関係構造異常原因特定部が、異常を検出した通信関係構造について、異常原因となる始点および/または終点を特定する第5のステップとを
含むことを特徴とする通信関係構造異常検出方法。 - 前記始点と終点の情報としてトラフィックの送信IPアドレスと宛先IPアドレスを用いることを特徴とする請求項1記載の通信関係構造異常検出方法。
- 前記始点と終点の情報としてトラフィックの送信元経路と宛先経路を用いることを特徴とする請求項1記載の通信関係構造異常検出方法。
- 前記始点と終点の情報としてトラフィックの送信元ASと宛先ASを用いることを特徴とする請求項1記載の通信関係構造異常検出方法。
- 前記始点と終点の情報としてアプリケーションレイヤメッセージの送信元と宛先を用いることを特徴とする請求項1記載の通信関係構造異常検出方法。
- 前記第1のステップにおいて、パケットヘッダ情報および/またはパケットペイロード情報によりフィルタリングすることによって、検出対象トラフィックを限定することを特徴とする請求項1記載の通信関係構造異常検出方法。
- 前記第1のステップにおいて、単一または複数のハッシュ関数を用いて通信関係の始点情報と終点情報の単一または複数のハッシュ値を用いることを特徴とする請求項1に記載の通信関係構造異常検出方法。
- 前記第2のステップにおいて、通信関係構造として、一定期間毎のトラフィックに出現する始点と終点をノードとし、トラフィックが存在した始点と終点間をエッジとするグラフを用いることを特徴とする請求項1記載の通信関係構造異常検出方法。
- 前記エッジに対してトラフィック量に応じた重みを与えることを特徴とする請求項8記載の通信関係構造異常検出方法。
- 前記第1のステップにおいて、単一または複数のハッシュ関数を用いて通信関係の始点情報と終点情報の単一または複数のハッシュ値を用い、
前記第2のステップにおいて、通信関係構造として、一定期間毎のトラフィックに出現する始点と終点をノードとし、トラフィックが存在した始点と終点間をエッジとするグラフを用い、
ある始点と終点のハッシュ値間のエッジに対して、ハッシュ前の始点情報と終点情報のペア数に応じた重みを与えることを特徴とする請求項1記載の通信関係構造異常検出方法。 - 前記第2のステップにおいて、通信関係構造として、一定期間毎のトラフィックに出現する始点をノードとし、同一の終点に共通してトラフィックが存在した2始点間をエッジとするグラフを用いることを特徴とする請求項1に記載の通信関係構造異常検出方法。
- 前記第2のステップにおいて、通信関係構造として、一定期間毎のトラフィックに出現する終点をノードとし、同一の始点に共通してトラフィックが存在した2終点間をエッジとするグラフを用いることを特徴とする請求項1記載の通信関係構造異常検出方法。
- 前記第3のステップにおいて、通信関係構造間の距離の計算において、グラフの隣接行列の最大固有値に属する固有ベクトルの内積を用いることを特徴とする請求項1記載の通信関係構造異常検出方法。
- 前記第4のステップにおいて、参照通信関係構造として直前期間の通信関係構造を用いることを特徴とする請求項1記載の通信関係構造異常検出方法。
- 前記第4のステップにおいて、参照通信関係構造として、前記最大固有値に属する固有ベクトルに関する、時系列モデルによる予測ベクトルを用いることを特徴とする請求項13記載の通信関係構造異常検出方法。
- 前記第5のステップにおいて、前記固有ベクトルの内積値の差が基準値以上となるノードに対応する始点または終点を異常原因の始点または終点として特定することを特徴とする請求項13記載の通信関係構造異常検出方法。
- コンピュータネットワーク上を転送されるトラフィックの始点と終点間の接続関係構造の時系列上の変化を検出する通信関係構造異常検出装置であって、
一定期間毎のトラフィックの始点と終点の情報を取得するトラフィックデータ取得部と、
前記一定期間毎のトラフィックの始点と終点の情報から通信関係構造を生成する通信関係構造抽出部と、
前記通信関係構造間の距離を計算する通信関係構造間距離計算部と、
ある期間の通信関係構造と参照通信関係構造との前記距離の乖離に基づき異常を検出する通信関係構造異常検出部と、
異常を検出した通信関係構造について、異常原因となる始点および/または終点を特定する通信関係構造異常原因特定部とを
備えることを特徴とする通信関係構造異常検出装置。 - コンピュータネットワーク上を転送されるトラフィックの始点と終点間の接続関係構造の時系列上の変化を検出する通信関係構造異常検出装置のための通信関係構造異常検出プログラムであって、
コンピュータを、
一定期間毎のトラフィックの始点と終点の情報を取得するトラフィックデータ取得部、
前記一定期間毎のトラフィックの始点と終点の情報から通信関係構造を生成する通信関係構造抽出部、
前記通信関係構造間の距離を計算する通信関係構造間距離計算部、
ある期間の通信関係構造と参照通信関係構造との前記距離の乖離に基づき異常を検出する通信関係構造異常検出部、および
異常を検出した通信関係構造について、異常原因となる始点および/または終点を特定する通信関係構造異常原因特定部、
として機能させるための通信関係構造異常検出プログラム。 - 請求項18記載の通信関係構造異常検出プログラムを記録したコンピュータ読み取り可能な記録媒体。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007279742A JP4559462B2 (ja) | 2007-10-29 | 2007-10-29 | 通信関係構造変化による異常検出方法、装置、プログラム、および記録媒体 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007279742A JP4559462B2 (ja) | 2007-10-29 | 2007-10-29 | 通信関係構造変化による異常検出方法、装置、プログラム、および記録媒体 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009111537A true JP2009111537A (ja) | 2009-05-21 |
JP4559462B2 JP4559462B2 (ja) | 2010-10-06 |
Family
ID=40779589
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007279742A Active JP4559462B2 (ja) | 2007-10-29 | 2007-10-29 | 通信関係構造変化による異常検出方法、装置、プログラム、および記録媒体 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4559462B2 (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011015047A (ja) * | 2009-06-30 | 2011-01-20 | Nippon Telegr & Teleph Corp <Ntt> | トラヒック特性計測方法および装置 |
JP2013500668A (ja) * | 2009-07-29 | 2013-01-07 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 遊休ネットワーク・デバイスの識別 |
JP2018032906A (ja) * | 2016-08-22 | 2018-03-01 | 日本電信電話株式会社 | DDoS連携対処装置、DDoS連携対処方法及びプログラム |
WO2021024351A1 (ja) * | 2019-08-05 | 2021-02-11 | 日本電信電話株式会社 | 異常推定装置、異常検出装置、異常検出方法、異常検出プログラム |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005223847A (ja) * | 2004-02-09 | 2005-08-18 | Intelligent Cosmos Research Institute | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム |
JP2006135652A (ja) * | 2004-11-05 | 2006-05-25 | Hitachi Ltd | ネットワーク管理装置 |
JP2007173907A (ja) * | 2005-12-19 | 2007-07-05 | Nippon Telegr & Teleph Corp <Ntt> | 異常トラヒック検出方法及び装置 |
-
2007
- 2007-10-29 JP JP2007279742A patent/JP4559462B2/ja active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005223847A (ja) * | 2004-02-09 | 2005-08-18 | Intelligent Cosmos Research Institute | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム |
JP2006135652A (ja) * | 2004-11-05 | 2006-05-25 | Hitachi Ltd | ネットワーク管理装置 |
JP2007173907A (ja) * | 2005-12-19 | 2007-07-05 | Nippon Telegr & Teleph Corp <Ntt> | 異常トラヒック検出方法及び装置 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011015047A (ja) * | 2009-06-30 | 2011-01-20 | Nippon Telegr & Teleph Corp <Ntt> | トラヒック特性計測方法および装置 |
JP2013500668A (ja) * | 2009-07-29 | 2013-01-07 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 遊休ネットワーク・デバイスの識別 |
JP2018032906A (ja) * | 2016-08-22 | 2018-03-01 | 日本電信電話株式会社 | DDoS連携対処装置、DDoS連携対処方法及びプログラム |
WO2021024351A1 (ja) * | 2019-08-05 | 2021-02-11 | 日本電信電話株式会社 | 異常推定装置、異常検出装置、異常検出方法、異常検出プログラム |
JPWO2021024351A1 (ja) * | 2019-08-05 | 2021-02-11 | ||
JP7248127B2 (ja) | 2019-08-05 | 2023-03-29 | 日本電信電話株式会社 | 異常推定装置、異常検出装置、異常検出方法、異常検出プログラム |
Also Published As
Publication number | Publication date |
---|---|
JP4559462B2 (ja) | 2010-10-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10091218B2 (en) | System and method to detect attacks on mobile wireless networks based on network controllability analysis | |
US11070569B2 (en) | Detecting outlier pairs of scanned ports | |
EP3849154A1 (en) | Network traffic monitoring system | |
US11184377B2 (en) | Malicious port scan detection using source profiles | |
US11711389B2 (en) | Scanner probe detection | |
US7903657B2 (en) | Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor | |
US11316872B2 (en) | Malicious port scan detection using port profiles | |
US11184376B2 (en) | Port scan detection using destination profiles | |
JP4559462B2 (ja) | 通信関係構造変化による異常検出方法、装置、プログラム、および記録媒体 | |
WO2018142703A1 (ja) | 異常要因推定装置、異常要因推定方法及びプログラム | |
Zhang et al. | A hadoop based analysis and detection model for ip spoofing typed ddos attack | |
Asai et al. | Network application profiling with traffic causality graphs | |
JP5310094B2 (ja) | 異常検出システム、異常検出方法および異常検出用プログラム | |
JP2013150083A (ja) | ネットワーク異常検出装置およびネットワーク異常検出方法 | |
JP6317685B2 (ja) | 通信監視システム、通信監視方法およびプログラム | |
US10187414B2 (en) | Differential malware detection using network and endpoint sensors | |
US20120110665A1 (en) | Intrusion Detection Within a Distributed Processing System | |
CN108366053B (zh) | 一种基于朴素贝叶斯的mqtt异常流量检测方法 | |
JP6806249B2 (ja) | 情報処理装置、情報処理システム、情報処理方法、及びプログラム | |
CN107251519B (zh) | 用于检测通信网络上的假信息的攻击的系统、方法和介质 | |
Wang et al. | Flowrank: Ranking netflow records | |
Lu et al. | Ccs: Collaborative malware clustering and signature generation using malware behavioral analysis | |
JP7366690B2 (ja) | 機器種別推定システム | |
JP2009124382A (ja) | P2p通信検出装置、及びその方法とプログラム | |
JP5757579B2 (ja) | 非通常通信検知装置および非通常通信検知方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20091209 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091222 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100217 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100720 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100722 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4559462 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130730 Year of fee payment: 3 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |