JP2010283668A - Traffic classification system and method, and program, and abnormal traffic detection system and method - Google Patents
Traffic classification system and method, and program, and abnormal traffic detection system and method Download PDFInfo
- Publication number
- JP2010283668A JP2010283668A JP2009136342A JP2009136342A JP2010283668A JP 2010283668 A JP2010283668 A JP 2010283668A JP 2009136342 A JP2009136342 A JP 2009136342A JP 2009136342 A JP2009136342 A JP 2009136342A JP 2010283668 A JP2010283668 A JP 2010283668A
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- time series
- fourier transform
- input
- periodicity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、ネットワーク上において時々刻々と観測されるトラヒック時系列データの解析技術に係り、特に、観測されるトラヒックの日変動や週変動といった周期性の強さを判定し、その結果を、ネットワークにおける異常トラヒックの高精度な分析に用いるのに好適な技術に関するものである。 The present invention relates to a technique for analyzing traffic time-series data observed every moment on a network, and in particular, determines the strength of periodicity such as daily fluctuation and weekly fluctuation of observed traffic, The present invention relates to a technique suitable for use in high-precision analysis of abnormal traffic.
日々増大するネットワーク需要を背景に、DDoS(Distributed Denial of Service)攻撃にあげられるようなネットワークトラヒック資源を大量消費する不正行為が増えてきた。このような不正行為でネットワーク帯域が浪費されてしまえば、ネットワークを利用する一般ユーザの通信品質を著しく劣化させることにつながる。 Against the background of ever-increasing network demand, fraudulent acts that consume a large amount of network traffic resources, such as DDoS (Distributed Denial of Service) attacks, have increased. If the network bandwidth is wasted due to such an illegal act, the communication quality of a general user who uses the network is significantly deteriorated.
そのため、このDDoS攻撃のような異常トラヒックが発生したことを一刻も早く検知し、対策をとることがネットワークの管理に求められている。 For this reason, network management is required to detect the occurrence of abnormal traffic such as this DDoS attack as soon as possible and take countermeasures.
このような要求に対し、例えば、非特許文献1に記載のように、ネットワーク全体を対象とした異常トラヒックの監視制御技術が検討されている。この技術では、図1に示すように、ネットワークの観測地点から統計情報(Netflowデータ)を収集し、パケット数や転送バイト数といったトラヒックのボリューム変化から異常を検出している。
In response to such demands, for example, as described in
異常トラヒック検知技術としては、例えば非特許文献2や特許文献1のように、時系列解析モデルや統計的手法を用いて、トラヒック値の急変を検知するものがある。
As an anomalous traffic detection technique, for example, as in
また、バックボーンネットワークで観測されるトラヒックのように、人の生活サイクルに依存してトラヒック量が変動する、周期性を持つトラヒックに対しては、非特許文献3のように、このようなトラヒック量の周期性を利用することで、異常検出の精度を向上させる技術も提案されている。
For traffic with periodicity, such as traffic observed in a backbone network, where the traffic volume varies depending on the life cycle of a person, such traffic volume as in Non-Patent
異常トラヒックを精度良く検出するためには、観測トラヒックの時系列の特徴に合わせた異常検知手法の適用が効果的である。例えば、図2に示すようなトラヒックの発生のしかたに統計的な規則性が見られないものには、利用可能帯域の50%と言った固定的な閾値を設定する方法が適当である。 In order to detect anomalous traffic with high accuracy, it is effective to apply an anomaly detection method that matches the characteristics of time series of observed traffic. For example, a method of setting a fixed threshold value of 50% of the available bandwidth is appropriate for the case where statistical regularity is not seen in the manner of occurrence of traffic as shown in FIG.
また、図3に示すように、トラヒック量の多い観測地点では、過去数時間のトラヒック量の平均値と分散といった統計的手法を用いて閾値を設定することで、統計的に正常とみなせる変動は検出せず、過去数時間には見られなかった大きな変動のみを検出することが可能となる。 In addition, as shown in FIG. 3, at an observation point with a large amount of traffic, by setting a threshold value using a statistical method such as an average value and a variance of the traffic amount over the past several hours, fluctuations that can be considered statistically normal are Only large fluctuations that have not been detected in the past several hours can be detected without detection.
さらに、図4に示すようなトラヒックの変動に周期的な傾向が見られる場合には、急激なトラヒック変動であっても、一日周期や一週間周期で見られる周期的な変動は検出せず、その他の、突発的な急変動のみを検出することが可能となる。すなわち、誤報を少なく抑えることができる。 Furthermore, when a periodic trend is seen in the traffic fluctuation as shown in FIG. 4, even if it is a sudden traffic fluctuation, the periodic fluctuation seen in the daily cycle or the weekly cycle is not detected. Only other sudden fluctuations can be detected. That is, misinformation can be suppressed to a minimum.
このような周期的なトラヒック変動は、例えば、企業のネットワークにおける昼休み時間のトラヒック増などが挙げられる。 Such periodic traffic fluctuations include, for example, an increase in traffic during lunch breaks in a corporate network.
以上のように、トラヒックの周期性といった時系列の特徴に応じた異常検知手法を適用することで、より精度良くより正確に異常トラヒックの検出が行えるようになる。しかし、従来は周期性の判定を目視によって行っていた。 As described above, by applying an abnormality detection method according to time-series characteristics such as the periodicity of traffic, it becomes possible to detect abnormal traffic with higher accuracy and accuracy. However, in the past, periodicity was determined visually.
このような目視による周期性の判定では、大規模化するネットワークにおいては、監視地点やパケット数、バイト数といった監視項目も膨大となるため、全てを人手により実施することは困難となる。 In such a visual periodicity determination, in a large-scale network, monitoring items such as monitoring points, the number of packets, and the number of bytes are enormous, and it is difficult to implement all of them manually.
解決しようとする問題点は、従来の技術では、膨大な監視トラヒックを、周期性といった時系列の特徴によって効率的に分類することができない点である。 The problem to be solved is that the conventional technology cannot efficiently classify a large amount of monitoring traffic based on time-series characteristics such as periodicity.
本発明の目的は、これら従来技術の課題を解決し、トラヒックデータの変動の周期性を自動的に判断し、ネットワークにおける異常トラヒックの検出を高精度に行うことを可能とすることである。 An object of the present invention is to solve these problems of the prior art, to automatically determine the periodicity of fluctuations in traffic data, and to detect abnormal traffic in a network with high accuracy.
上記目的を達成するため、本発明では、ネットワーク上で収集した時系列のトラヒックデータを高速フーリエ変換し、高速フーリエ変換した、1日、1週間、1ヶ月、1年などの予め定められた期間における結果データ(周波数成分)に対して逆フーリエ変換を行い、逆フーリエ変換結果データと高速フーリエ変換結果データとの相関値を計算し、計算した相関値と予め設定された閾値とを比較して周期性の有無を判断する。そして、周期性有りと判別したトラヒックデータを対象に、当該トラヒックデータの変動の差分を抽出し、抽出した差分が予め定められた値以上の場合に、当該ネットワークに対するサービス不能攻撃等があったものと判別し、異常トラヒックを検出する。 In order to achieve the above object, in the present invention, a predetermined period such as one day, one week, one month, one year, etc., in which time-series traffic data collected on a network is subjected to fast Fourier transform and fast Fourier transform. Inverse Fourier transform is performed on the result data (frequency component) in, the correlation value between the inverse Fourier transform result data and the fast Fourier transform result data is calculated, and the calculated correlation value is compared with a preset threshold value. Determine the presence or absence of periodicity. Then, for traffic data determined to have periodicity, a difference in fluctuation of the traffic data is extracted, and when the extracted difference is equal to or greater than a predetermined value, there is a denial of service attack on the network And abnormal traffic is detected.
本発明によれば、入力時系列と抽出時系列を比較した際のスコアが高いものは周期的な性質が強く、スコアが低いものは周期的な性質が弱いと自動的に判定でき、これにより、周期的な性質が強いトラヒックには周期性を利用した異常トラヒック検知技術の適用が適当であると判断でき、周期的な性質が弱いトラヒックには周期性を利用しない統計手法を用いた異常トラヒック検知技術の適用ないしは固定的な閾値設定を適用すべきと判断でき、当該ネットワークに対するサービス不能攻撃等の異常トラヒックの検出を高精度に行うことが可能となる。 According to the present invention, a high score when comparing the input time series and the extracted time series has a strong periodic property, and a low score can automatically determine that the periodic property is weak. Therefore, it can be judged that the application of abnormal traffic detection technology using periodicity is appropriate for traffic with strong periodic properties, and abnormal traffic using statistical methods that do not use periodicity for traffic with weak periodic properties. It can be determined that application of the detection technique or fixed threshold setting should be applied, and it is possible to detect abnormal traffic such as a denial of service attack on the network with high accuracy.
以下、図を用いて本発明を実施するための形態例を説明する。図5においては、本発明に係るトラヒック分類システムの構成例を示しており、本例のトラヒック分類システムは、CPU(Central Processing Unit)や主メモリを具備したコンピュータ装置からなり、プログラムされたコンピュータ処理を実行する手段として、入力待機装置51、入力時系列/スペクトル分解装置52、特定スペクトル抽出装置53、スペクトル/抽出時系列変換装置54、入力時系列/抽出時系列比較装置55、入力時系列分類装置56を具備している。
Hereinafter, embodiments for carrying out the present invention will be described with reference to the drawings. FIG. 5 shows a configuration example of a traffic classification system according to the present invention. The traffic classification system of this example is composed of a computer device having a CPU (Central Processing Unit) and a main memory, and is programmed with computer processing. As the means for executing, the
すなわち、本例のパケット転送遅延測定周期決定システムを構成するコンピュータ装置は、CPUと主メモリの他に、表示装置、入力装置、外部記憶装置を具備し、光ディスク駆動装置等を介してCD−ROM等の記憶媒体に記録されたプログラムやデータを外部記憶装置内にインストールした後、この外部記憶装置から主メモリに読み込みCPUで処理することにより、各入力待機装置51、入力時系列/スペクトル分解装置52、特定スペクトル抽出装置53、スペクトル/抽出時系列変換装置54、入力時系列/抽出時系列比較装置55、入力時系列分類装置56の機能を実行する。このような構成により、本例のトラヒック分類システムでは、プログラムされたコンピュータ処理によって、ネットワークにおけるトラヒックデータを収集し、トラヒックデータの変動の周期性の有無の自動的に判別を行う。
That is, the computer device constituting the packet transfer delay measurement cycle determination system of this example includes a display device, an input device, an external storage device in addition to the CPU and the main memory, and a CD-ROM via an optical disk drive device or the like. After installing the program and data recorded in the storage medium such as the external storage device, the program is read into the main memory from the external storage device and processed by the CPU, whereby each
すなわち、入力待機装置51により、収集したトラヒックデータを時系列で記憶装置に格納し、入力時系列/スペクトル分解装置52により、記憶装置に格納した時系列のトラヒックデータを読み出して高速フーリエ変換し、特定スペクトル抽出装置53により、高速フーリエ変換結果データから、予め定められた(1日、1週間、1ヶ月、1年など)周波数成分のみを抽出し、スペクトル/抽出時系列変換装置54により、抽出した周波数成分を対象にして逆フーリエ変換し、入力時系列/抽出時系列比較装置55により、逆フーリエ変換結果と高速フーリエ変換結果との相関値を算出し、入力時系列分類装置56により、算出した相関値と予め定められた閾値とを比較して、収集したトラヒックデータの周期性の有無を判別する。
That is, the collected traffic data is stored in the storage device in time series by the
尚、入力待機装置51においては、SNMP(Sinple Network Management Protocol)などで取得されるMIB(Management Information Base)情報を、監視対象となるネットワークの各装置から収集する。また、入力時系列/スペクトル分解装置52では、時系列のトラヒックデータを離散フーリエ変換し、スペクトル/抽出時系列変換装置54では、入力時系列/スペクトル分解装置52の出力値を逆離散フーリエ変換する。
The
以下、このような構成からなる本例のトラヒック分類システムの動作の詳細および構成の詳細等について説明する。 Details of the operation and configuration of the traffic classification system of this example having such a configuration will be described below.
図5に示す構成により、本例のトラヒック分類システムでは、図1に示すようなネットワークにおける複数の観測地点から計測された膨大な監視トラヒックを、周期性の強度や平均トラヒック量により分類し、トラヒックの時系列の特徴に合わせた異常検出手法に振り分けられる状態にする。 With the configuration shown in FIG. 5, the traffic classification system of this example classifies the enormous amount of monitoring traffic measured from a plurality of observation points in the network as shown in FIG. 1 according to the intensity of periodicity and the average traffic volume. To a state that can be distributed to an anomaly detection method that matches the characteristics of the time series.
本トラヒック分類システムへの入力は、監視項目名ないしは識別番号と、該当項目の監視トラヒック量時系列の組み合わせからなる時系列データである。以降、前述の組み合わせからなる時系列データを1本、2本、…と数える。また、本例においては、1本以上の時系列データを同時に入力可能である。 The input to the traffic classification system is time series data composed of a combination of the monitoring item name or identification number and the monitoring traffic amount time series of the corresponding item. Hereinafter, the time series data composed of the above-mentioned combinations are counted as one, two,. In this example, one or more time series data can be input simultaneously.
具体的には、以下の手順によって入力時系列の特長を分類し、判定結果を入力時系列の識別番号に付与する。本例では分類方法として周期性の強弱を判定するため、まず周期性の強度をスコア化する。 Specifically, the features of the input time series are classified according to the following procedure, and the determination result is given to the identification number of the input time series. In this example, in order to determine the strength of periodicity as a classification method, first, the strength of periodicity is scored.
前述の非特許文献3に挙げられる高速フーリエ変換を利用することで、入力波形を周波成分のスペクトルに分解する。分解した周波成分の中から、多重トラヒックに特徴的な周波成分を抽出する。抽出した周波成分のみを用いて逆高速フーリエ変換を実施し、入力波形の中の周期波形を得る。
By utilizing the fast Fourier transform described in
そして最後に、抽出された周期波形と入力波形の比較により、一致度の高さを、相関係数に基づく計算により、0〜1の実数値でスコア化、すなわち周期性の強度を定量化する。さらに、予め指定される閾値を用い、時系列の周期性の強さに応じたラベルを時系列の識別番号と対にして出力する。 Finally, by comparing the extracted periodic waveform with the input waveform, the degree of coincidence is scored with a real value of 0 to 1 by calculation based on the correlation coefficient, that is, the intensity of periodicity is quantified. . Further, a label corresponding to the strength of the time-series periodicity is paired with the time-series identification number and output using a predetermined threshold value.
例えば、周期性の強さを5段階に表す場合、スコアが0以上0.2未満の時系列にはラベルとして「1」を付与して(該当時系列の識別番号,1)と出力し、スコアが0.2以上0.4未満の時系列にはラベルとして「2」を付与して(該当時系列の識別番号,2)と出力するといったように、予め指定される閾値とスコアの比較により判定を行っていく。これにより、入力時系列の周期性の強度が判定される。 For example, when the strength of periodicity is expressed in five stages, a time series having a score of 0 or more and less than 0.2 is output with “1” as a label (identification number of the corresponding time series, 1), A comparison between a threshold specified in advance and a score, such as outputting “2” as a label to a time series with a score of 0.2 or more and less than 0.4 (output corresponding time series identification number, 2). Judgment is performed by Thereby, the intensity | strength of the periodicity of an input time series is determined.
本例においては、SNMP(Sinple Network Management Protocol)などで取得されるMIB(Management Information Base)情報が監視対象となるネットワークの各装置から収集されていることを前提とする。 In this example, it is assumed that MIB (Management Information Base) information acquired by SNMP (Simple Network Management Protocol) or the like is collected from each device of the network to be monitored.
収集された各MIB情報は、パケット数やバイト数といった監視項目ごとの時系列へと変換が可能で、本例においては、この各時系列が入力となる。出力は、周期性の強さを表すスコアであり、入力された時系列ごとに算出される。 Each collected MIB information can be converted into a time series for each monitoring item such as the number of packets and the number of bytes. In this example, each time series is input. The output is a score representing the strength of periodicity, and is calculated for each input time series.
本例のトラヒック分類システムでは、図5に示したように、入力待機装置51が、複数の入力時系列を受け付け、一旦保持した後に、一つ一つの時系列を順次以降の装置へと送り出す。
In the traffic classification system of this example, as shown in FIG. 5, the
入力時系列/スペクトル分解装置52は、入力待機装置51から送られてきた一本の入力時系列を周波成分に分解し、スペクトル抽出装置53は、入力時系列/スペクトル分解装置52によって分解された周波成分から、予め指定される周期の周波成分を抽出し、スペクトル/抽出時系列変換装置54は、スペクトル抽出装置53で抽出された周波成分からなるスペクトルを時系列へと再変換し、入力時系列/抽出時系列比較装置55は、スペクトル/抽出時系列変換装置54によって出力された抽出時系列と元々の入力時系列とを予め定められる関数によってスコア化し、入力時系列分類装置56は、スコアの大きさに応じて入力時系列の識別番号に判定結果を付与する。
The input time series /
尚、ここに付加される装置として、スペクトル抽出装置53に入力する設定値(抽出すべき周期)を計算する周期特定装置があり、これを組み合わせると図6に示した構成となる。
As an apparatus added here, there is a period specifying apparatus that calculates a set value (period to be extracted) input to the
図5の例においては、入力時系列/スペクトル分解装置52として高速フーリエ変換(FFT:Fast Fourier Transform)、スペクトル/抽出時系列変換装置54として逆高速フーリエ変換(IFFT:Inverse FFT)を用いる。
In the example of FIG. 5, fast Fourier transform (FFT) is used as the input time series /
スペクトル抽出装置53は、予め設定される周期の周波成分のみを残し、それ以外の周波成分のスペクトル強度を0にセットする。入力時系列/抽出時系列比較装置55では、二つの時系列の相関係数を計算し周期性の強さを表すスコアとする。
The
このような構成により、具体的には以下の動作に従う。 With such a configuration, the following operation is specifically performed.
まず、MIB情報から変換された時系列を{x_0,x_1,…,x_{n−1}}とあらわす。この時系列は、1分毎や5分毎に集計される平均パケット数や平均バイト数の時間変動を表す。例えば、2時間分のデータを観測したとき、集計が1分毎であればn=120の時系列となり、5分毎であればn=24の時系列となる。 First, a time series converted from MIB information is represented as {x — 0, x — 1,..., X — {n−1}}. This time series represents the time variation of the average number of packets and the average number of bytes that are aggregated every minute or every five minutes. For example, when data for 2 hours is observed, if the total is every minute, the time series is n = 120, and if every 5 minutes, the time series is n = 24.
この時系列を、同時に一本ないしは複数本を入力として受け付け、入力待機装置51にて記憶装置に一時保持する。以降の処理は、入力待機装置51から一本一本出力される時系列に対し、それぞれ行われる。
This time series is simultaneously received as one or a plurality of inputs as input, and is temporarily held in the storage device by the
入力待機装置51から出力された時系列を、入力時系列/スペクトル分解装置52におけるFFTによってスペクトルに分解する。
The time series output from the
この処理を図7を用いて説明する。 This process will be described with reference to FIG.
まず、FFTを適用する際に、入力時系列の長さは2のべき乗とするため、FFTに使用するデータは、入力時系列の長さ以下で、かつ、最大で2のべき乗長までの区間{x_0,x_1,…,x_{(2^k)−1}}(2^k≦n)を切り出して使用する(S701:入力時系列成型)。 First, when applying FFT, since the length of the input time series is a power of 2, the data used for the FFT is an interval that is less than the length of the input time series and has a maximum power of 2 {X — 0, x — 1,..., X — {(2 ^ k) −1}} (2 ^ k ≦ n) are cut out and used (S701: input time series shaping).
切り出した入力波形をFFTに入力して周波成分に分解する(S702:高速フーリエ変換(FFT))。 The cut input waveform is input to the FFT and decomposed into frequency components (S702: Fast Fourier Transform (FFT)).
以降では、FFTにてスペクトル分解された周波成分を{f_0,f_1,…,f_{(2^k)−1}}と表す。尚、{f_0,f_1,…,f_{(2^k)−1}}の添え字は入力時系列{x_0,x_1,…,x_{(2^k)−1}}上に現れる周波成分の周波数に対応する。 Hereinafter, the frequency components spectrally decomposed by FFT are represented as {f_0, f_1,..., F _ {(2 ^ k) -1}}. The subscripts of {f_0, f_1, ..., f _ {(2 ^ k) -1}} are frequency components appearing on the input time series {x_0, x_1, ..., x _ {(2 ^ k) -1}}. Corresponds to the frequency of.
具体的には、f_0は周波数なし、すなわち、定常成分で、f_1は周波数1、すなわち周期2^kで、f_2は周波数2、すなわち周期2^(k−1)である。以降、同様の対応で、j番目の項目f_jは周期(2^k)/jとなる。また、それぞれの周波成分は、その周波数の波の強度と位相の情報を持っている。
Specifically, f_0 has no frequency, that is, a stationary component, f_1 has a
このように、入力時系列/スペクトル分解装置52において、FFTでスペクトルに分解した後、特定スペクトル抽出装置53によって、スペクトルを抽出する。処理の内容を図8を用いて説明する。
As described above, in the input time series /
ここで抽出するスペクトルは、設定値として予め指定する周波成分とする(設定周期)。 The spectrum extracted here is a frequency component specified in advance as a set value (set cycle).
ネットワークトラヒックのように、人間の生活サイクルに強く依存する周期を持つ時系列であれば、ここで抽出する周波成分は、周期に換算して1週間や1日に相当するスペクトルとなる。 If the time series has a period that strongly depends on the human life cycle, such as network traffic, the frequency component extracted here is a spectrum corresponding to one week or one day in terms of the period.
例えば、入力時系列となるMIB情報が5分毎の集計データであり、その長さがn=4096点であるとする。このとき、周波成分として分解される周期は、5分×4096点の約2週間(f_1として取り出される)を最大として、f_2が約1週間、f_3が約5日となる。従って、1週間と1日の周波成分を取り出す場合は、f_2とf_14を指定すればよい。 For example, it is assumed that the MIB information as an input time series is total data every 5 minutes, and the length thereof is n = 4096 points. At this time, the period to be decomposed as the frequency component is about 2 weeks of 5 minutes × 4096 points (taken out as f_1), f_2 is about 1 week, and f_3 is about 5 days. Therefore, in order to extract the frequency components for one week and one day, it is only necessary to specify f_2 and f_14.
ここで指定された周波成分以外は、波の強度が「0」として{f_0,f_1,…,f_{(2^k)−1}}を書き換える(S801:スペクトル抽出)。これを改めて{f’_0,f’_1,…,f’_{(2^k)−1}}と表す。 Except for the frequency component specified here, {f_0, f_1,..., F _ {(2 ^ k) −1}} is rewritten with the wave intensity set to “0” (S801: spectrum extraction). This is again expressed as {f'_0, f'_1, ..., f '_ {(2 ^ k) -1}}.
この図8の処理により特定スペクトル抽出装置53においてスペクトルを抽出した後、スペクトル/抽出時系列変換装置54におけるIFFTにより、時系列へと逆変換を行う。この処理を図9を用いて説明する。
After the spectrum is extracted by the specific
ここでは、特定周波成分以外の強度が0に書き換えられたスペクトル、すなわち{f’_0,f’_1,…,f’_{(2^k)−1}}が入力となる。この抽出スペクトルをIFFTに入力して、時系列に変換する(S901:逆高速フーリエ変換(IFFT))。 Here, the spectrum in which the intensity other than the specific frequency component is rewritten to 0, that is, {f′_0, f′_1,..., F ′ _ {(2 ^ k) −1}} is input. This extracted spectrum is input to IFFT and converted into time series (S901: Inverse Fast Fourier Transform (IFFT)).
以降では、IFFTによりスペクトルから変換された時系列を{y_0,y_1,…,y_{(2^k)−1}}とあらわし、「抽出時系列」と呼ぶ。 Hereinafter, a time series converted from a spectrum by IFFT is represented as {y_0, y_1,..., Y _ {(2 ^ k) −1}} and is referred to as an “extraction time series”.
そして、入力時系列/抽出時系列比較装置55によって、両者の類似度をスコアにする。この入力時系列/抽出時系列比較装置55による処理内容を図10を用いて説明する。
Then, the input time series / extraction time
ここでは、入力時系列/スペクトル分解装置52が出力した入力時系列{x_0,x_1,…,x_{(2^k)−1}}と、スペクトル/抽出時系列変換装置54が出力した抽出時系列{y_0,y_1,…,y_{(2^k)−1}}の相関係数をスコアとする(S1001:相関係数計算)。
Here, the input time series {x_0, x_1,..., X _ {(2 ^ k) −1}} output from the input time series /
抽出時系列は、入力時系列の中の1週間や1日と言った、特定スペクトル抽出装置53においてスペクトル抽出時に指定した周期波からなり、入力時系列の周期性が強い場合は抽出時系列との相関が高くなる。
The extraction time series is composed of periodic waves, such as one week or one day in the input time series, specified at the time of spectrum extraction by the specific
この入力時系列/抽出時系列比較装置55によって出力されたスコアを用いて、最後に、入力時系列分類装置56において、スコアと予め定められた閾値とを比較し、入力トラヒックの識別番号に判定結果を付与する。この入力時系列分類装置56による処理内容を図11を用いて説明する。
Using the score output by the input time series / extraction time
閾値は、網設計ポリシーに基づいて予め設定される数値であり、入力時系列分類装置56は、入力時系列/抽出時系列比較装置55から出力されるスコアと閾値を比較し、スコアが閾値を下回る場合は周期性が弱いと判定し、スコアが閾値を上回る場合は周期性が強いと判定する(S1101:スコア/閾値比較装置)。
The threshold value is a numerical value set in advance based on the network design policy, and the input time
この閾値は、スコアの算出が相関係数に基づく処理である場合、0.7程度の数値を用いればよい。また、複数の閾値を用いて、複数通りに分類しても良い。さらに、スコアが閾値を下回るトラヒックに対して、時系列の値が0になるものとならないもの、ないしは時系列の平均値が別に定める閾値以上か閾値未満かでさらに振り分けてもよい。この別に定める閾値も網設計ポリシーに基づいて予め設定される数値とする。 As the threshold value, a numerical value of about 0.7 may be used when the score calculation is processing based on a correlation coefficient. Moreover, you may classify | categorize into multiple types using a some threshold value. Further, the traffic whose score is below the threshold may be further sorted according to whether the time-series value does not become zero, or whether the average value of the time-series is greater than or less than a threshold value determined separately. This separately determined threshold value is also a numerical value set in advance based on the network design policy.
この入力時系列分類装置56による判定結果は、入力トラヒックの識別番号と、予め定められる設定により判定結果に対応付けられる文字列の組み合わせで出力される。
The determination result by the input
このようなトラヒック分類システムにおいては、図6に示す構成のように、入力待機装置61、入力時系列/スペクトル分解装置62、特定スペクトル抽出装置63、スペクトル/抽出時系列変換装置64、入力時系列/抽出時系列比較装置65、入力時系列分類装置66と共に、特定スペクトル抽出装置63に入力する設定値を算出する周期特定装置67を組み合わせることができる。
In such a traffic classification system, as shown in FIG. 6, an
周期特定装置67の構成を図12に示す。具体的には、入力時系列和算装置71により、分類対象となる全ての時系列を入力とし、全てを時刻ごとに足し合わせて一つの時系列を作る。
The configuration of the
その後、周期特定装置67における入力時系列/スペクトル分解装置72へ入力時系列として入力し、入力時系列/スペクトル分解装置72において、周波成分へと分解する。
Thereafter, the input time series /
そして、スペクトル強度上位選別装置73により、分解した周波成分のスペクトル強度の高いものから、予め指定される個数分の周波成分f_jを指定するjの集合、ないしは周波成分のスペクトル強度の高いものから選び出して行き、スペクトル強度の和が予め指定される数値以上となる周波成分f_jを指定するjの集合を、図6における特定スペクトル抽出装置63に入力するための設定値として出力する。
Then, the spectral intensity
これにより、多重されたトラヒックに顕著な周波成分を自動的に判別することができ、手動で設定すべき項目の入力を省略できる。 As a result, it is possible to automatically discriminate frequency components that are prominent in the multiplexed traffic, and the input of items to be manually set can be omitted.
さらに、本例のトラヒック分類システムにおいては、入力時系列/スペクトル分解装置52,62として離散フーリエ変換(DFT)を用い、スペクトル/抽出時系列変換装置54,64として逆離散フーリエ変換(IDFT)を用いる。
Furthermore, in the traffic classification system of this example, discrete Fourier transform (DFT) is used as the input time series /
これにより、入力長を2のべき乗に調整する必要がなくなる。この結果、丁度1週間ないしは1ヶ月といった長さの時系列を入力として周波成分に分解でき、出力される周期を1週間ないしは1ヶ月の1/j倍とすることができる。 This eliminates the need to adjust the input length to a power of 2. As a result, a time series of exactly one week or one month can be input and decomposed into frequency components, and the output cycle can be 1 / j times one week or one month.
このように、本例のトラヒック分類システムによれば、入力時系列と抽出時系列を比較した際のスコアが高いものは周期的な性質が強く、スコアが低いものは周期的な性質が弱いと判定できる。これにより、周期的な性質が強いトラヒックには、周期性を利用した異常検知手法の適用が適当であると判断することができ、周期的な性質が弱いトラヒックには、周期性を利用しない統計手法を用いた異常検知手法の適用ないしは固定的な閾値設定を適用すべきと判断することが可能となる。 As described above, according to the traffic classification system of this example, when the input time series and the extracted time series are compared, a high score has a strong periodic property, and a low score has a low periodic property. Can be judged. As a result, it can be judged that the application of the anomaly detection method using periodicity is appropriate for traffic with strong periodic properties, and statistics that do not use periodicity for traffic with weak periodic properties. It is possible to determine that an anomaly detection method using the method should be applied or that a fixed threshold setting should be applied.
以下、さらに、数式等を用いて、より具体的に、本例のトラヒック分類システムの詳細を説明する。 Hereinafter, further details of the traffic classification system of this example will be described more specifically using mathematical formulas and the like.
図5に示すトラヒック分類システムにおける入力時系列は、SNMPで取得されたMIB情報などを、予め観測項目ごと(パケット数やバイト数)の時系列に成型したものである。 The input time series in the traffic classification system shown in FIG. 5 is obtained by shaping MIB information acquired by SNMP into a time series for each observation item (number of packets and number of bytes) in advance.
ここでは、z個の監視先から5分毎に収集された20日分のバイト数時系列を例として取り上げる。以降では、この時系列を添え字m=1〜zで識別して、{xm_0,xm_1,…,xm_{n−1}}と標記する。ここで、nは「12点(一時間当たりの時系列数)×24時間×20日=5760点」である。 Here, a 20-day byte count time series collected every 5 minutes from z monitoring destinations is taken as an example. In the following, this time series is identified by subscripts m = 1 to z and denoted as {xm — 0, xm — 1,..., Xm — {n−1}}. Here, n is “12 points (number of time series per hour) × 24 hours × 20 days = 5760 points”.
まず、第1の実施例として以下説明する。 First, the first embodiment will be described below.
最初に、入力時系列の分類を行う場合を説明する。なお、抽出するスペクトルの設定値は、「f_0、f_2、f_4、f_14、f_28」とする。これは、入力時系列が4096点の場合の定常成分(f_0)、1週間周期成分(f_2)、半週間周期成分(f_4)、一日周期成分(f_14)、半日周期成分(f_28)を取り出す設定に相当する。 First, a case where input time series is classified will be described. Note that the set values of the extracted spectrum are “f_0, f_2, f_4, f_14, f_28”. This is to extract a stationary component (f_0), a one-week periodic component (f_2), a half-week periodic component (f_4), a daily periodic component (f_14), and a half-daily periodic component (f_28) when the input time series is 4096 points. Corresponds to the setting.
本例のトラヒック分類システムでは、z本の入力時系列を入力待機装置51に保持し、順次1本ずつ処理を行う。ここでは、m番目の時系列の処理を説明する。
In the traffic classification system of this example, z input time series are held in the
m番目の入力時系列を、入力時系列/スペクトル分解装置52に入力する。入力時系列/スペクトル分解装置52では、図7に示すように、入力時系列を高速フーリエ変換で処理するために、まず入力時系列の長さが入力点数nを超えない最大の2^k個となるように成型する(S701)。
The m-th input time series is input to the input time series /
すなわち、n=5760であれば、2^12=4096であり、フーリエ変換を行う入力時系列は{xm_0,xm_1,…,xm_4095}となる。 That is, if n = 5760, 2 ^ 12 = 4096, and the input time series for performing the Fourier transform is {xm — 0, xm — 1,..., Xm — 4095}.
また、高速フーリエ変換は、以下の数1に示す式で定義される。ここで、iは虚数単位を表す。 The fast Fourier transform is defined by the following equation (1). Here, i represents an imaginary unit.
以降、上述のフーリエ変換によって算出されたスペクトルを{f_0,f_1,…,f_{(2^k)−1}}で表す。 Hereinafter, the spectrum calculated by the above-described Fourier transform is represented by {f_0, f_1,..., F _ {(2 ^ k) −1}}.
特定スペクトル抽出装置53では、予め設定された周波成分以外をf_j=0と置き換える。また、置き換えたスペクトルを{f’_0,f’_1,…,f’_{(2^k)−1}}と表す。これにより、設定値の周波成分のみが抽出される。
In the specific
抽出されたスペクトルを、スペクトル/抽出時系列変換装置54において、図9に示す逆高速フーリエ変換を行うことにより、特定の周波成分のみからなる抽出時系列を得る。ここで、逆高速フーリエ変換は以下の数2に示す式で定義される。
The spectrum / extraction
以降、抽出スペクトル{f’_0,f’_1,…,f’_{(2^k)−1}}から上述の逆フーリエ変換によって算出された抽出時系列を{ym_0,ym_1,…,ym_{(2^k)−1}}で表す。 Thereafter, the extraction time series calculated by the inverse Fourier transform described above from the extracted spectra {f′_0, f′_1,..., F ′ _ {(2 ^ k) −1}} is expressed as {ym — 0, ym — 1,. {(2 ^ k) -1}}.
抽出時系列が得られた後、入力時系列/抽出時系列比較装置55において、入力時系列と比較して類似度合いをスコア化する。ここでは、以下の数3で定義される相関係数をスコアとして用いる。
After the extraction time series is obtained, the input time series / extraction time
本例のトラヒック分類システムにおける入力時系列/抽出時系列比較装置55によるスコア化の結果を図13に示す。なお、スコアは0〜1の間の実数値を取るように必要に応じて正規化する。
FIG. 13 shows the result of scoring by the input time series / extraction time
この相関係数により算出されるスコアは、入力時系列と抽出時系列の類似性が強いと1に近い数値となり、類似性が弱いと0に近い数値となる。すなわち、抽出時系列は周期的な特徴を強く持った時系列になっているため、スコアが高いと元々の入力時系列も周期的な特徴が強いと判定できる。 The score calculated by this correlation coefficient is a numerical value close to 1 when the similarity between the input time series and the extracted time series is strong, and is close to 0 when the similarity is weak. That is, since the extracted time series is a time series having strong periodic characteristics, it can be determined that the original input time series also has strong periodic characteristics if the score is high.
入力時系列分類装置56においては、以上で算出されたスコアを予め設定される閾値と比較し、スコアが閾値を上回れば周期性が強いと分類し、そうでなければ周期性が弱いと分類する。
In the input time
本例のトラヒック分類システムの処理による効果の一例として、算出されたスコアと入力時系列の周期性の関係を図14に示す。なお、相関係数をスコアとして用いる場合、閾値は0.6〜0.7の間に設定すると良い。 As an example of the effect of the processing of the traffic classification system of this example, the relationship between the calculated score and the periodicity of the input time series is shown in FIG. In addition, when using a correlation coefficient as a score, it is good to set a threshold value between 0.6-0.7.
次に、第2の実施例を以下説明する。 Next, a second embodiment will be described below.
本第2の実施例では、図6に示すように、特定スペクトル抽出装置63に入力する設定値を、周期特定装置67で算出する。
In the second embodiment, as shown in FIG. 6, the set value input to the specific
この周期特定装置67では、z個の入力時系列を、図12に示す入力時系列和算装置71に入力する。入力時系列和算装置71では、下記の数4に示す式のとおりに、時刻ごとの値を和算し、一つの時系列を出力する。
In the
そして、上述の処理で得られた時系列{x_0,x_1,…,x_{n−1}}を入力時系列/スペクトル分解装置72に入力する。入力時系列/スペクトル分解装置72における処理で得られたスペクトル{f_0,f_1,…,f_{n−1}}のうち、定常成分であるf_0の強度を0に置き換え、残りのf_1,f_2,…,f_{n−1}の強度の和が1となるように正規化を行う。
Then, the time series {x — 0, x — 1,..., X — {n−1}} obtained by the above-described processing is input to the input time series /
その後、スペクトル強度上位選択装置73において、f_1,f_2,…,f_{n−1}の強度が大きい順に周波成分を足して行き、和が予め指定された設定強度を上回ったら、足し込んだ周期成分を示す周期(定常成分の0を含んだ1〜n−1の値の集合)を、図6における特定スペクトル抽出装置63用の設定値として書き出す。
After that, in the spectrum intensity
これにより、多重されたトラヒックにおいて特徴的な周期の自動抽出が可能となり、抽出したい周期を手動で設定する必要がなくなる。 This makes it possible to automatically extract a characteristic period in multiplexed traffic, and eliminates the need to manually set a period to be extracted.
次に、第3の実施例について以下に説明する。 Next, a third embodiment will be described below.
本実施例では、本例のトラヒック分類システムを、図1に示した異常トラヒック監視制御システムにおける異常検知システムの一部として動作させる場合を説明する。構成例を図15に示す。この図15における異常検知システムは、プログラムされたコンピュータ処理を実行する手段として、トラヒック情報計測装置(以下および図中「計測ポイント(1)〜(4)」と記載)(1)150a〜(4)150d、トラヒック記憶装置151、トラヒック分類装置152、トラヒック振分装置153、異常検知装置(1)154〜(3)156を具備している。尚、計測ポイント(1)150a〜(4)150d、トラヒック記憶装置151、トラヒック分類装置152、トラヒック振分装置153、異常検知装置(1)154〜(3)156のそれぞれは、CPUと主メモリ等を具備したコンピュータ装置からなり、例えば、具備した光ディスク駆動装置等を介してCD−ROM等の記憶媒体に記録されたプログラムやデータを外部記憶装置内にインストールした後、この外部記憶装置から主メモリに読み込みCPUで処理することにより、各装置の機能を実行する。
In the present embodiment, a case will be described in which the traffic classification system of this example is operated as a part of the abnormality detection system in the abnormal traffic monitoring control system shown in FIG. A configuration example is shown in FIG. The abnormality detection system in FIG. 15 is a traffic information measuring device (hereinafter referred to as “measurement points (1) to (4)” in the figure) (1) 150a to (4) as means for executing programmed computer processing. ) 150d, a
ここで、ネットワークの各計測ポイント(1)150a〜(4)150dから取得されるトラヒック情報は、パケット数やバイト数、同時接続セッション数などとする。 Here, the traffic information acquired from each measurement point (1) 150a to (4) 150d of the network is the number of packets, the number of bytes, the number of simultaneous connection sessions, and the like.
これらトラヒック情報は、予め指定される期間(例えば1分毎や5分毎)により定期的に取得され、別に用意されるトラヒック記憶装置151において、監視項目ごとに蓄えられ、時系列へと成型される。
The traffic information is periodically acquired for a predetermined period (for example, every 1 minute or every 5 minutes), stored in the
時系列の長さは、トラヒック記憶装置151の記憶容量にも依存するが、各監視項目につき予め設定される期間(1ヶ月など)分を記憶し、古いデータから順次消去されていく。
The length of the time series depends on the storage capacity of the
なお、各時系列には、各計測ポイント(1)150a〜(4)150dの監視項目に対応する識別番号が付与されているとする。 It is assumed that each time series is assigned an identification number corresponding to the monitoring item of each measurement point (1) 150a to (4) 150d.
本例の異常検知システムは、2つ以上の異常検知装置を有しているとする。図15においては、3つの異常検知装置(1)154〜(3)156を有しているものとする。例えば、前述の非特許文献3に挙げられる周期性を利用した異常検知アルゴリズムに基づく装置や、特許文献2に挙げられる周期性を利用しない統計情報に基づく異常検知アルゴリズムに基づく装置である。本例では、各計測ポイントをどの異常検知装置で監視するかの判定に利用される。
It is assumed that the abnormality detection system of this example has two or more abnormality detection devices. In FIG. 15, it is assumed that three abnormality detection devices (1) 154 to (3) 156 are provided. For example, a device based on the abnormality detection algorithm using the periodicity mentioned in
予め指定される更新期間(例えば1週間毎や1ヵ月毎)が経過すると、トラヒック記憶装置151中の各時系列を、図5,6に示した本例のトラヒック分類システムとしてのトラヒック分類装置152に入力する。このとき、各時系列にはどの計測ポイントのどんなデータ(パケット数やバイト数)かが識別できるように番号がつけられている。
When a predetermined update period (for example, every week or every month) elapses, each time series in the
トラヒック分類装置152では、入力された時系列を分析し、予め指定される閾値に基づいて周期性の強度によって時系列の分類を行う。その後、該当時系列に対応する識別番号と周期性の強度のラベルを対にして出力する。
The
トラヒック分類装置152から出力された識別番号とラベルの対は、トラヒック振分装置153に入力され、トラヒック振分装置153は、識別番号に相当する計測ポイントで取得されるトラヒックを、ラベルに対応する異常検知装置(1)154〜(3)156に入力するように切り替え操作を行う。
The pair of the identification number and the label output from the
ただし、実際には、ラベルが変化した識別番号のみ、監視装置の変更処理を行う。また、本装置により付与されるラベルと異常検知装置の対応付けは予め設定として指定しておく。 However, in practice, the monitoring device is changed only for the identification number whose label has changed. In addition, the association between the label provided by the present apparatus and the abnormality detection apparatus is designated in advance as a setting.
これにより、各時系列の周期性の強弱に合わせた異常検知方法の見直しが定期的に実施され、異常検知システム全体として精度の向上が可能となる。 As a result, the abnormality detection method is periodically reviewed in accordance with the strength of the periodicity of each time series, and the accuracy of the entire abnormality detection system can be improved.
例えば、図5,6におけるトラヒック分類システムが入力時系列分類装置56,66により周期性有りと判別したトラヒックデータを対象に、当該トラヒックデータの変動の差分を抽出し、抽出した差分が予め定められた値以上の場合には、ネットワークに対するサービス不能攻撃等があり、異常トラヒックとなったものと判別する。
For example, for the traffic data that the traffic classification system in FIGS. 5 and 6 has determined as having periodicity by the input time-
以上、図1および図5〜図15を用いて説明したように、本例では、ネットワーク上で収集した時系列のトラヒックデータを高速フーリエ変換し、高速フーリエ変換した、1日、1週間、1ヶ月、1年などの予め定められた期間における結果データ(周波数成分)に対して逆フーリエ変換を行い、逆フーリエ変換結果データと高速フーリエ変換結果データとの相関値を計算し、計算した相関値と予め設定された閾値とを比較して周期性の有無を判断する。 As described above with reference to FIG. 1 and FIG. 5 to FIG. 15, in this example, the time series traffic data collected on the network is subjected to fast Fourier transform and fast Fourier transform. Inverse Fourier transform is performed on the result data (frequency component) in a predetermined period such as one month, one year, etc., the correlation value between the inverse Fourier transform result data and the fast Fourier transform result data is calculated, and the calculated correlation value Is compared with a preset threshold value to determine the presence or absence of periodicity.
すなわち、入力である監視情報の時系列データを高速フーリエ変換するし、この出力値を逆フーリエ変換し、入力値と逆フーリエ変換の出力値において、予め設定された周波数成分における相関を計算し、この計算値と予め設定された閾値とを比較して周期性の有無を判断する。 That is, the time series data of the monitoring information that is the input is subjected to fast Fourier transform, the output value is inverse Fourier transformed, and the correlation between the input value and the output value of the inverse Fourier transform in a preset frequency component is calculated, The calculated value is compared with a preset threshold value to determine the presence or absence of periodicity.
特に、高速フーリエ変換の処理では、入力である監視情報の時系列データを離散フーリエ変換し、逆フーリエ変換の処理では、出力値を逆離散フーリエ変換する。 In particular, in the fast Fourier transform process, the time series data of the monitoring information as input is subjected to discrete Fourier transform, and in the inverse Fourier transform process, the output value is subjected to inverse discrete Fourier transform.
そして、周期性の有無の判断結果を用いて、監視トラヒックからのサービス不能攻撃の検知を行う。すなわち、上述の処理により、周期性を有すトラヒック変動を抽出すると、周期性有りと判別したトラヒックデータを対象に、当該トラヒックデータの変動の差分を抽出し、抽出した差分が予め定められた値以上の場合に、当該ネットワークに対するサービス不能攻撃等があったものと判別し、異常トラヒックを検出する。 Then, a denial of service attack is detected from the monitoring traffic using the determination result of the presence or absence of periodicity. That is, when traffic fluctuation having periodicity is extracted by the above-described processing, a difference in fluctuation of the traffic data is extracted for traffic data determined to have periodicity, and the extracted difference is a predetermined value. In the above case, it is determined that there has been a denial of service attack on the network, and abnormal traffic is detected.
このように、本例の技術によれば、入力時系列と抽出時系列を比較した際のスコアが高いものは周期的な性質が強く、スコアが低いものは周期的な性質が弱いと自動的に判定でき、これにより、周期的な性質が強いトラヒックには周期性を利用した異常トラヒック検知技術の適用が適当であると判断でき、周期的な性質が弱いトラヒックには周期性を利用しない統計手法を用いた異常トラヒック検知技術の適用ないしは固定的な閾値設定を適用すべきと判断でき、当該ネットワークに対するサービス不能攻撃等の異常トラヒックの検出を高精度に行うことが可能となる。 As described above, according to the technique of this example, when the input time series and the extracted time series are compared, the one with a high score has a strong periodic property, and the one with a low score automatically has a low periodic property. This makes it possible to determine that the application of abnormal traffic detection technology using periodicity is appropriate for traffic with strong periodic characteristics, and statistics that do not use periodicity for traffic with weak periodic characteristics. It can be determined that the application of abnormal traffic detection technology using a method or a fixed threshold setting should be applied, and it is possible to detect abnormal traffic such as a denial of service attack on the network with high accuracy.
尚、本発明は、図1および図5〜図15を用いて説明した例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能である。例えば、本例では図1に示すようにインターネットを対象として説明したが、イントラネット等の他のネットワークにおけるトラヒック測定および異常トラヒック検知にも適用することができる。 In addition, this invention is not limited to the example demonstrated using FIG. 1 and FIGS. 5-15, In the range which does not deviate from the summary, various changes are possible. For example, in this example, the Internet has been described as shown in FIG. 1, but the present invention can also be applied to traffic measurement and abnormal traffic detection in other networks such as an intranet.
また、図5におけるトラヒック分類システムおよび図15における異常検知システムを構成する各装置へのプログラムのインストールに用いる記録媒体としてはFD(Flexible Disk)を用いることでも良いし、通信装置を介してネットワーク経由でプログラムをダウンロードしてインストールすることでも良い。 Further, as a recording medium used for installing a program in each device constituting the traffic classification system in FIG. 5 and the abnormality detection system in FIG. 15, an FD (Flexible Disk) may be used, or via a network via a communication device. You can also download and install the program.
51,61:入力待機装置、52,62:入力時系列/スペクトル分解装置、53,63:特定スペクトル抽出装置、54,64:スペクトル/抽出時系列変換装置、55,65:入力時系列/抽出時系列比較装置、56,66:入力時系列分類装置、67:周期特定装置、71:入力時系列和算装置、72:入力時系列/スペクトル分解装置、73:スペクトル強度上位選別装置、150a〜150d:ネットワークの各計測ポイント(1)〜(4)、151:トラヒック記憶装置、152:トラヒック分類装置、153:トラヒック振分装置、154〜156:異常検知装置(1)〜(3)。 51, 61: input standby device, 52, 62: input time series / spectrum decomposition device, 53, 63: specific spectrum extraction device, 54, 64: spectrum / extraction time series conversion device, 55, 65: input time series / extraction Time series comparison device, 56, 66: Input time series classification device, 67: Period specifying device, 71: Input time series summing device, 72: Input time series / spectrum decomposition device, 73: Spectral intensity upper sorting device, 150a˜ 150d: Network measurement points (1) to (4), 151: Traffic storage device, 152: Traffic classification device, 153: Traffic distribution device, 154 to 156: Abnormality detection devices (1) to (3).
Claims (7)
プログラムされたコンピュータ処理を実行する手段として、
上記収集したトラヒックデータを時系列で記憶装置に格納する第1の手段と、
上記記憶装置に格納した時系列のトラヒックデータを読み出して高速フーリエ変換する第2の手段と、
該第2の手段による高速フーリエ変換結果データから、予め定められた周波数成分のみを抽出する第3の手段と、
該第3の手段が抽出した周波数成分を対象にして逆フーリエ変換する第4の手段と、
該第4の手段による逆フーリエ変換結果と上記第2の手段による高速フーリエ変換結果との相関値を算出する第5の手段と、
該第5の手段が算出した相関値と予め定められた閾値とを比較して、上記トラヒックの周期性の有無を判別する第6の手段と
を有することを特徴とするトラヒック分類システム。 A traffic classification system that collects traffic data in a network by programmed computer processing and determines the presence or absence of periodicity of traffic fluctuations,
As a means of performing programmed computer processing,
A first means for storing the collected traffic data in a storage device in time series;
Second means for reading out the time-series traffic data stored in the storage device and performing a fast Fourier transform;
Third means for extracting only predetermined frequency components from the fast Fourier transform result data by the second means;
A fourth means for performing an inverse Fourier transform on the frequency component extracted by the third means;
Fifth means for calculating a correlation value between the inverse Fourier transform result by the fourth means and the fast Fourier transform result by the second means;
A traffic classification system comprising: a sixth means for comparing the correlation value calculated by the fifth means with a predetermined threshold value to determine the presence or absence of the periodicity of the traffic.
上記第2の手段は、
上記時系列のトラヒックデータを離散フーリエ変換し、
上記第4の手段は、
該第2の手段の出力値を逆離散フーリエ変換する
ことを特徴とするトラヒック分類システム。 The traffic classification system according to claim 1,
The second means is:
Discrete Fourier transform the above time-series traffic data,
The fourth means is
A traffic classification system, wherein an output value of the second means is subjected to inverse discrete Fourier transform.
コンピュータ装置のプログラムされたコンピュータ処理実行手順として、
請求項1もしくは請求項2のいずれかに記載のトラヒック分類システムにおける各手段が実行する処理手順を含むことを特徴とするトラヒック分類方法。 A traffic classification method by a computer device that collects traffic data in a network by programmed computer processing and determines the presence or absence of periodicity of traffic fluctuations,
As a programmed computer processing execution procedure of a computer device,
3. A traffic classification method comprising a processing procedure executed by each means in the traffic classification system according to claim 1.
プログラムされたコンピュータ処理を実行する手段として、
請求項1もしくは請求項2のいずれかに記載のトラヒック分類システムにおける第1から第6の各手段と、
該第6の手段で周期性有りと判別したトラヒックを対象に、当該トラヒックの変動の差分を抽出する手段と、
該手段で抽出した差分が予め定められた値以上の場合に上記ネットワークに異常があったものと判別する手段と
を有することを特徴とする異常トラヒック検知システム。 An anomaly traffic detection system for detecting anomalies in the network using traffic data collected from the network by programmed computer processing,
As a means of performing programmed computer processing,
Each of the first to sixth means in the traffic classification system according to claim 1 or 2,
Means for extracting the difference in fluctuation of the traffic for traffic determined to have periodicity by the sixth means;
An abnormal traffic detection system comprising: means for determining that there is an abnormality in the network when the difference extracted by the means is equal to or greater than a predetermined value.
コンピュータ装置のプログラムされたコンピュータ処理実行手順として、
請求項5に記載のサービス不能攻撃検知システムにおける各手段が実行する処理手順を含むことを特徴とする異常トラヒック検知方法。 An abnormal traffic detection method by a computer device for detecting an abnormality of the network using traffic data collected from the network by programmed computer processing,
As a programmed computer processing execution procedure of a computer device,
6. An abnormal traffic detection method comprising a processing procedure executed by each means in the denial-of-service attack detection system according to claim 5.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009136342A JP2010283668A (en) | 2009-06-05 | 2009-06-05 | Traffic classification system and method, and program, and abnormal traffic detection system and method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009136342A JP2010283668A (en) | 2009-06-05 | 2009-06-05 | Traffic classification system and method, and program, and abnormal traffic detection system and method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2010283668A true JP2010283668A (en) | 2010-12-16 |
Family
ID=43540011
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009136342A Pending JP2010283668A (en) | 2009-06-05 | 2009-06-05 | Traffic classification system and method, and program, and abnormal traffic detection system and method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2010283668A (en) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014032292A1 (en) * | 2012-08-31 | 2014-03-06 | 华为技术有限公司 | Method and device for defending bearer attack |
WO2014132547A1 (en) * | 2013-02-28 | 2014-09-04 | 日本電気株式会社 | Periodicity detection method, periodicity detection device, and periodicity detection program |
JP2018074465A (en) * | 2016-11-01 | 2018-05-10 | 株式会社日立製作所 | Log analysis system and method thereof |
US10204214B2 (en) | 2016-09-14 | 2019-02-12 | Microsoft Technology Licensing, Llc | Periodicity detection of network traffic |
CN110750429A (en) * | 2019-09-06 | 2020-02-04 | 平安科技(深圳)有限公司 | Abnormity detection method, device, equipment and storage medium of operation and maintenance management system |
CN112685273A (en) * | 2020-12-29 | 2021-04-20 | 京东数字科技控股股份有限公司 | Anomaly detection method and device, computer equipment and storage medium |
WO2022038880A1 (en) * | 2020-08-18 | 2022-02-24 | 株式会社日立製作所 | Communication relay device and communication relay method |
CN114866308A (en) * | 2022-04-28 | 2022-08-05 | 潍柴动力股份有限公司 | Vehicle-mounted network intrusion detection method, device, equipment and storage medium based on fast Fourier transform |
-
2009
- 2009-06-05 JP JP2009136342A patent/JP2010283668A/en active Pending
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103828301A (en) * | 2012-08-31 | 2014-05-28 | 华为技术有限公司 | Method and device for defending bearer attack |
WO2014032292A1 (en) * | 2012-08-31 | 2014-03-06 | 华为技术有限公司 | Method and device for defending bearer attack |
WO2014132547A1 (en) * | 2013-02-28 | 2014-09-04 | 日本電気株式会社 | Periodicity detection method, periodicity detection device, and periodicity detection program |
JP5751396B2 (en) * | 2013-02-28 | 2015-07-22 | 日本電気株式会社 | Periodicity detection method, periodicity detection apparatus, and periodicity detection program |
JPWO2014132547A1 (en) * | 2013-02-28 | 2017-02-02 | 日本電気株式会社 | Periodicity detection method, periodicity detection apparatus, and periodicity detection program |
US9729412B2 (en) | 2013-02-28 | 2017-08-08 | Nec Corporation | Periodicity detection method, periodicity detection device, and periodicity detection program |
US10204214B2 (en) | 2016-09-14 | 2019-02-12 | Microsoft Technology Licensing, Llc | Periodicity detection of network traffic |
JP2018074465A (en) * | 2016-11-01 | 2018-05-10 | 株式会社日立製作所 | Log analysis system and method thereof |
CN110750429A (en) * | 2019-09-06 | 2020-02-04 | 平安科技(深圳)有限公司 | Abnormity detection method, device, equipment and storage medium of operation and maintenance management system |
WO2022038880A1 (en) * | 2020-08-18 | 2022-02-24 | 株式会社日立製作所 | Communication relay device and communication relay method |
CN115836509A (en) * | 2020-08-18 | 2023-03-21 | 株式会社日立制作所 | Communication relay device and communication relay method |
CN112685273A (en) * | 2020-12-29 | 2021-04-20 | 京东数字科技控股股份有限公司 | Anomaly detection method and device, computer equipment and storage medium |
CN114866308A (en) * | 2022-04-28 | 2022-08-05 | 潍柴动力股份有限公司 | Vehicle-mounted network intrusion detection method, device, equipment and storage medium based on fast Fourier transform |
CN114866308B (en) * | 2022-04-28 | 2024-05-17 | 潍柴动力股份有限公司 | Vehicle-mounted network intrusion detection method, device, equipment and storage medium based on fast Fourier transform |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2010283668A (en) | Traffic classification system and method, and program, and abnormal traffic detection system and method | |
Zaman et al. | Evaluation of machine learning techniques for network intrusion detection | |
Ektefa et al. | Intrusion detection using data mining techniques | |
US7962611B2 (en) | Methods, systems and computer program products for detecting flow-level network traffic anomalies via abstraction levels | |
Jongsuebsuk et al. | Network intrusion detection with fuzzy genetic algorithm for unknown attacks | |
CN107528832A (en) | Baseline structure and the unknown anomaly detection method of a kind of system-oriented daily record | |
Jongsuebsuk et al. | Real-time intrusion detection with fuzzy genetic algorithm | |
Dartigue et al. | A new data-mining based approach for network intrusion detection | |
Zhang et al. | Pca-svm-based approach of detecting low-rate dos attack | |
Song et al. | Unsupervised anomaly detection based on clustering and multiple one-class SVM | |
Khoei et al. | Boosting-based models with tree-structured parzen estimator optimization to detect intrusion attacks on smart grid | |
CN111600878A (en) | Low-rate denial of service attack detection method based on MAF-ADM | |
CN110351303B (en) | DDoS feature extraction method and device | |
Purnama et al. | Features extraction on IoT intrusion detection system using principal components analysis (PCA) | |
Chen et al. | An efficient network intrusion detection model based on temporal convolutional networks | |
Shraya Taruna et al. | Enhanced naive bayes algorithm for intrusion detection in data mining | |
Stefanova et al. | Network attribute selection, classification and accuracy (NASCA) procedure for intrusion detection systems | |
CN115150248A (en) | Network flow abnormity detection method and device, electronic equipment and storage medium | |
Abdalla et al. | Impact of packet inter-arrival time features for online peer-to-peer (P2P) classification | |
CN109768995B (en) | Network flow abnormity detection method based on cyclic prediction and learning | |
Farid et al. | Learning intrusion detection based on adaptive bayesian algorithm | |
CN114785617B (en) | 5G network application layer anomaly detection method and system | |
Alsumaidaie et al. | An Assessment of Ensemble Voting Approaches, Random Forest, and Decision Tree Techniques in Detecting Distributed Denial of Service (DDoS) Attacks | |
CN116155581A (en) | Network intrusion detection method and device based on graph neural network | |
Choudhury et al. | Network traffic classification using supervised learning algorithms |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20110608 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20110608 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20110616 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20110704 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20110719 |