JP2011015047A - トラヒック特性計測方法および装置 - Google Patents
トラヒック特性計測方法および装置 Download PDFInfo
- Publication number
- JP2011015047A JP2011015047A JP2009155761A JP2009155761A JP2011015047A JP 2011015047 A JP2011015047 A JP 2011015047A JP 2009155761 A JP2009155761 A JP 2009155761A JP 2009155761 A JP2009155761 A JP 2009155761A JP 2011015047 A JP2011015047 A JP 2011015047A
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- entropy
- hierarchy
- characteristic
- conditioned
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】トラヒックの階層的構造を反映させた階層的集約エントロピーを用いることにより、より詳細な情報を抽出し、その特性量による異常検出精度を向上させる。
【解決手段】トラヒックを取得するトラヒック取得部と、計測対象トラヒックを抽出する計測対象トラヒック抽出部と、計測対象トラヒックの階層構造に応じてトラヒックを集約する階層的トラヒック集約部と、それぞれの階層での集約トラヒックのエントロピーを計算するエントロピー計算部と、階層毎のエントロピーを用いて、当該トラヒックの特性付けを行うトラヒック特性計算部とを有する。
【選択図】図1
【解決手段】トラヒックを取得するトラヒック取得部と、計測対象トラヒックを抽出する計測対象トラヒック抽出部と、計測対象トラヒックの階層構造に応じてトラヒックを集約する階層的トラヒック集約部と、それぞれの階層での集約トラヒックのエントロピーを計算するエントロピー計算部と、階層毎のエントロピーを用いて、当該トラヒックの特性付けを行うトラヒック特性計算部とを有する。
【選択図】図1
Description
本発明は、階層的集約エントロピーを用いたトラヒック特性計測方法および装置に係わり、特に、階層的構造を持つトラヒックをその構造に応じて特性付け、その特性量によって異常検出等を行う技術に関する。
ワームによるスキャン、大量トラヒックによるサービス不能(DoS)攻撃や故障による異常トラヒックの検出手法として、トラヒックのばらつきを示すエントロピーを特性量とし、その特性量の正常値からの逸脱により異常を検出する手法が提案されている。(下記、非特許文献1、2、3参照)
宛先の集合をDとし、ある宛先d∈Dへのトラヒック量が全体のトラヒック量に占める割合をpdとする。このとき宛先に関するトラヒックのエントロピーH(D)は、下記(1)式で与えられる。
宛先の集合をDとし、ある宛先d∈Dへのトラヒック量が全体のトラヒック量に占める割合をpdとする。このとき宛先に関するトラヒックのエントロピーH(D)は、下記(1)式で与えられる。
例えば、多くのワームは、他の脆弱性を持つ端末をスキャンするために宛先IPアドレスを変えながらスキャンパケットを送信するが、このようなスキャントラヒックが発生した場合は、広範囲の宛先へのトラヒックが発生するためにトラヒックの宛先に関するばらつきが増大し、従ってエントロピーH(D)は増大する。
一方で、DoS攻撃の場合は、単一または少数の被害者へのトラヒック集中が発生するためにトラヒックの宛先に関するばらつきが減少し、従ってエントロピーH(D)は減少する。
また、DNSトラヒックに対して、エントロピーを計算し、ワームによるDNSクエリ発生を検出手法も提案されている(下記、非特許文献4参照)。
一方で、DoS攻撃の場合は、単一または少数の被害者へのトラヒック集中が発生するためにトラヒックの宛先に関するばらつきが減少し、従ってエントロピーH(D)は減少する。
また、DNSトラヒックに対して、エントロピーを計算し、ワームによるDNSクエリ発生を検出手法も提案されている(下記、非特許文献4参照)。
A. Lakhina, M. Crovella, and C. Diot,"Mining anomalies using traffic feature distributions",in Proc. ACM SIGCOMM 2005, Philadelphia, PA, USA, August 2005.
Y. Gu, A. McCallum, and D. Towsley,"Detecting anomalies in network traffic using maximum entropy estimation", in Proc. ACM IMC 2005, Berkeley, CA,USA,October 2005.
G. Nychis, V. Sekar, D. G. Anderson, H. Kim, and H. Zhang,"An empirical evaluation of entropy-based traffic anomaly detection," in Proc. ACM IMC 2008, Vouliagmeni, Greece, October 2008.
D. Arturo, L. Roma, and Y. Musashi, "Entropy based analysis of DNS query traffic in the campus network," in Proc. CTISA2007, Orlando, FL USA, 2007.
W. K. Ehrlich, K. Futamura, and D. Liu, "An enyropy based method to detect spoofed denial of service (Dos) attacks," Telecommunicaions Modeling, Policy and Technology (Operations Research/Computer Science Interfaces) Vol. 44, Springer,2008.
しかしながら、エントロピーによるトラヒック特性計測には、トラヒックの階層的構造を反映できないという問題点がある。前述の(1)式からわかるとおり、エントロピーの計算で用いるのは宛先dに対するトラヒック比率pdであり、宛先dが宛先集合Dのどこに位置するかを考慮していない。
例えば、多くのワームは、宛先IPv4アドレスをスキャンする際に、自身のIPアドレスを含む近隣アドレス空間へのスキャンを行うことが知られている。このようなスキャンのエントロピーはアドレス単位で観測した場合にはエントロピーは大きいが、近隣アドレス空間の単位で集約したトラヒックを観測した場合は、その集約トラヒックが単一空間に集中するため、エントロピーが減少すると考えられる。
しかしながら、前述の(1)式で示されるエントロピーはアドレス単位で観測したエントロピーであり、このようなアドレス空間単位で観測した場合に集中しているか否かという情報を得ることはできない。
トラヒックに階層構造がある場合、その階層構造に応じて集約したトラヒックを対象にエントロピーを計算することにより、前述したような詳細なトラヒック特性を得ることができると期待される。
例えば、多くのワームは、宛先IPv4アドレスをスキャンする際に、自身のIPアドレスを含む近隣アドレス空間へのスキャンを行うことが知られている。このようなスキャンのエントロピーはアドレス単位で観測した場合にはエントロピーは大きいが、近隣アドレス空間の単位で集約したトラヒックを観測した場合は、その集約トラヒックが単一空間に集中するため、エントロピーが減少すると考えられる。
しかしながら、前述の(1)式で示されるエントロピーはアドレス単位で観測したエントロピーであり、このようなアドレス空間単位で観測した場合に集中しているか否かという情報を得ることはできない。
トラヒックに階層構造がある場合、その階層構造に応じて集約したトラヒックを対象にエントロピーを計算することにより、前述したような詳細なトラヒック特性を得ることができると期待される。
また、前述の非特許文献5では、IPアドレス上位16ビット単位で集約したトラヒックによるエントロピーの時系列から異常検出する手法が提案されているが、同手法で計測できるのは16ビット固定で集約したトラヒックのエントロピーであり、他の粒度で観測したトラヒックのエントロピーを計測することはできない。
また、IPアドレスを対象とし、アドレスをいくつかのブロックに分割し、アドレスブロック毎の発生頻度を計算し、アドレスブロック間のエントロピーを用いて、不正通信か否かを判別する手法も、一般的である。しかし、この手法はブロック毎のエントロピーであり、階層構造を考慮したトラヒック特性量を計測することはできない。
階層構造のそれぞれの階層において、トラヒック特性としてそのばらつきを評価することにより、どの階層においてばらつきが増加しているかが明らかとなり、結果的にそのトラヒック特性の発生原因等が明らかとなる。
本発明は、前記従来技術の問題点を解決するためになされたものであり、本発明の目的は、トラヒック特性計測方法および装置において、トラヒックの階層的構造を反映させた階層的集約エントロピーを用いることにより、より詳細な情報を抽出し、その特性量による異常検出精度を向上させることが可能となる技術を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
また、IPアドレスを対象とし、アドレスをいくつかのブロックに分割し、アドレスブロック毎の発生頻度を計算し、アドレスブロック間のエントロピーを用いて、不正通信か否かを判別する手法も、一般的である。しかし、この手法はブロック毎のエントロピーであり、階層構造を考慮したトラヒック特性量を計測することはできない。
階層構造のそれぞれの階層において、トラヒック特性としてそのばらつきを評価することにより、どの階層においてばらつきが増加しているかが明らかとなり、結果的にそのトラヒック特性の発生原因等が明らかとなる。
本発明は、前記従来技術の問題点を解決するためになされたものであり、本発明の目的は、トラヒック特性計測方法および装置において、トラヒックの階層的構造を反映させた階層的集約エントロピーを用いることにより、より詳細な情報を抽出し、その特性量による異常検出精度を向上させることが可能となる技術を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、下記の通りである。
(1)トラヒック特性計測方法であって、トラヒックを取得するステップ1と、計測対象トラヒックを抽出するステップ2と、計測対象トラヒックの階層構造に応じてトラヒックを集約するステップ3と、それぞれの階層での集約トラヒックのエントロピーを計算するステップ4と、階層毎のエントロピーを用いて、当該トラヒックの特性付けを行うステップ5とを有し、前記ステップ3において、N個の階層でトラヒックを集約し、DNを最上位階層で集約したトラヒック、DN−1をその一段階下位の階層で集約したトラヒック、D0を集約する前の最下位階層のトラヒックとした時に、前記ステップ4において、DNのエントロピーH(DN)、DN−1のエントロピーH(DN−1),…, D0のエントロピーH(D0)を計算し、前記ステップ5において、DNのエントロピーH(DN)、DN−1のエントロピーH(DN−1),…, D0のエントロピーH(D0)を用いて、トラヒックの特性付けを行う。
(1)トラヒック特性計測方法であって、トラヒックを取得するステップ1と、計測対象トラヒックを抽出するステップ2と、計測対象トラヒックの階層構造に応じてトラヒックを集約するステップ3と、それぞれの階層での集約トラヒックのエントロピーを計算するステップ4と、階層毎のエントロピーを用いて、当該トラヒックの特性付けを行うステップ5とを有し、前記ステップ3において、N個の階層でトラヒックを集約し、DNを最上位階層で集約したトラヒック、DN−1をその一段階下位の階層で集約したトラヒック、D0を集約する前の最下位階層のトラヒックとした時に、前記ステップ4において、DNのエントロピーH(DN)、DN−1のエントロピーH(DN−1),…, D0のエントロピーH(D0)を計算し、前記ステップ5において、DNのエントロピーH(DN)、DN−1のエントロピーH(DN−1),…, D0のエントロピーH(D0)を用いて、トラヒックの特性付けを行う。
(2)トラヒック特性計測方法であって、トラヒックを取得するステップ1と、計測対象トラヒックを抽出するステップ2と、計測対象トラヒックの階層構造に応じてトラヒックを集約するステップ3と、それぞれの階層での集約トラヒックのエントロピーを計算するステップ4と、階層毎のエントロピーを用いて、当該トラヒックの特性付けを行うステップ5とを有し、前記ステップ3において、N個の階層でトラヒックを集約し、DNを最上位階層で集約したトラヒック、DN−1をその一段階下位の階層で集約したトラヒック、D0を集約する前の最下位階層のトラヒックとした時に、前記ステップ4において、DNのエントロピーH(DN)、DNで条件付けられたDN−1のエントロピーH(DN−1|DN)、DN−1で条件付けられたDN−2のエントロピーH(DN−2|DN−1),…,D1で条件付けられたD0のエントロピーH(D0|D1)を計算し、前記ステップ5において、DNのエントロピーH(DN)、DNで条件付けられたDN−1のエントロピーH(DN−1|DN)、DN−1で条件付けられたDN−2のエントロピーH(DN−2|DN−1),…,D1で条件付けられたD0のエントロピーH(D0|D1)を用いて、トラヒックの特性付けを行う。
(3)(1)または(2)において、前記ステップ4において、各階層毎のエントロピーをその最大値で正規化し、前記ステップ5において、正規化した各階層毎のエントロピーを用いて、トラヒックの特性付けを行う。
(4)(1)ないし(3)の何れかにおいて、前記ステップ5において、階層的に集約したトラヒックのエントロピーの時系列を生成し、その時系列の変動によりトラヒックの異常を検出する。
(5)(1)ないし(3)の何れかにおいて、前記計測対象のトラヒックは、ホスト単位のトラヒックであり、当該計測したホスト単位のトラヒック特性を、ホストの異常・正常分類に用いる。
(6)また、本発明は、前述のトラヒック特性計測方法を実行するトラヒック特性計測装置である。
(4)(1)ないし(3)の何れかにおいて、前記ステップ5において、階層的に集約したトラヒックのエントロピーの時系列を生成し、その時系列の変動によりトラヒックの異常を検出する。
(5)(1)ないし(3)の何れかにおいて、前記計測対象のトラヒックは、ホスト単位のトラヒックであり、当該計測したホスト単位のトラヒック特性を、ホストの異常・正常分類に用いる。
(6)また、本発明は、前述のトラヒック特性計測方法を実行するトラヒック特性計測装置である。
本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば、下記の通りである。
本発明によれば、トラヒックの階層的構造を反映させた階層的集約エントロピーを用いることにより、より詳細な情報を抽出し、その特性量による異常検出精度を向上させることが可能となる。
本発明によれば、トラヒックの階層的構造を反映させた階層的集約エントロピーを用いることにより、より詳細な情報を抽出し、その特性量による異常検出精度を向上させることが可能となる。
以下、図面を参照して本発明の実施例を詳細に説明する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
図1は、本発明の実施例のトラヒック特性計測装置の概略構成を示すブロック図である。図1において、10はトラヒック取得部、11は計測対象トラヒック抽出部、12は階層的トラヒック集約部、13はエントロピー計算部、14はトラフヒック特性計算部である。
トラヒック取得部10は、IP網の2台もしくはそれ以上の端末間で転送される通信データである通信トラヒックを一定期間取得する。
取得方法としては、IP網のリンク中に流れるトラヒックをタッピング機器によって取得する方法でもよいし、通信網内のスイッチ・ルータ等ノードにおけるミラーリングによる取得でもよいし、ノードが出力するトラヒックフロー情報の取得でもよいし、端末における通信ログ等の取得であってもよい。
取得されるトラヒックデータは、個別トラヒックの集合となるが、個別トラヒックは取得方法によって異なり、タッピング、ミラーリングの場合はIPパケットであり、フロー情報の場合は一般的には{送信/受信IPアドレス、送信/受信ポート番号、プロトコル}の5組の識別子の値が同一となるフローであり、通信ログの場合は個々のアクセス情報である。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
図1は、本発明の実施例のトラヒック特性計測装置の概略構成を示すブロック図である。図1において、10はトラヒック取得部、11は計測対象トラヒック抽出部、12は階層的トラヒック集約部、13はエントロピー計算部、14はトラフヒック特性計算部である。
トラヒック取得部10は、IP網の2台もしくはそれ以上の端末間で転送される通信データである通信トラヒックを一定期間取得する。
取得方法としては、IP網のリンク中に流れるトラヒックをタッピング機器によって取得する方法でもよいし、通信網内のスイッチ・ルータ等ノードにおけるミラーリングによる取得でもよいし、ノードが出力するトラヒックフロー情報の取得でもよいし、端末における通信ログ等の取得であってもよい。
取得されるトラヒックデータは、個別トラヒックの集合となるが、個別トラヒックは取得方法によって異なり、タッピング、ミラーリングの場合はIPパケットであり、フロー情報の場合は一般的には{送信/受信IPアドレス、送信/受信ポート番号、プロトコル}の5組の識別子の値が同一となるフローであり、通信ログの場合は個々のアクセス情報である。
計測対象トラヒック抽出部11は、取得したトラヒックから計測対象のトラヒックを抽出する。計測対象トラヒックは、例えば、IPトラヒック全体、DNSトラヒック、VoIPトラヒックである。
また、計測対象トラヒック抽出部11では、ホスト単位毎のトラヒックに分別するようにしてもよい。この場合は、後述する計測したホスト単位のトラヒック特性により、ホストの異常・正常を分類することたできる。
階層的トラヒック集約部12は、計測対象トラヒックの階層構造に応じて抽出トラヒックを集約する。ここで集約とは、個別トラヒックを区別している識別子の一部を無視することにより、それ以外の識別子が同一となる、一つもしくは複数の個別トラヒックを同一視して新たに個別トラヒックとし、併せてその個別トラヒックに付随するバイト数等のトラヒック量を同一視された個別トラヒックのトラヒック量の合算値とすることを示す。
階層的に集約するとは、無視される識別子の部分が最下位層から最上位層にかけて包含関係となることを示す。
また、計測対象トラヒック抽出部11では、ホスト単位毎のトラヒックに分別するようにしてもよい。この場合は、後述する計測したホスト単位のトラヒック特性により、ホストの異常・正常を分類することたできる。
階層的トラヒック集約部12は、計測対象トラヒックの階層構造に応じて抽出トラヒックを集約する。ここで集約とは、個別トラヒックを区別している識別子の一部を無視することにより、それ以外の識別子が同一となる、一つもしくは複数の個別トラヒックを同一視して新たに個別トラヒックとし、併せてその個別トラヒックに付随するバイト数等のトラヒック量を同一視された個別トラヒックのトラヒック量の合算値とすることを示す。
階層的に集約するとは、無視される識別子の部分が最下位層から最上位層にかけて包含関係となることを示す。
以下、階層的トラヒック集約部12での集約方法について説明する。
(1)計測対象トラヒックがIPトラヒックの場合には、そのIPアドレスの先頭の単一、もしくは複数ビットを最上位の階層とし、より長いビット列を下位の階層とし、最下位の階層を当該IPアドレスとする階層構造に従いトラヒックを集約する。
(2)計測対象トラヒックがIPトラヒックの場合には、計測箇所のAutonomous System(自律システム;以下、ASという)を最上位の階層とし、最下位の階層となる、当該IPアドレスが属するASまでの経由ASパスで表される階層構造に従い、トラヒックを集約する。
(3)計測対象トラヒックがDomain Name System(DNS)トラヒックの場合には、トップレベルドメインを最上位の階層とし、以下、ドメインツリー構造と同一の階層構造に従い、トラヒックを集約する。
この場合、最上位階層は、(.com)、(.net)、(.jp)などのトップレベルドメイン(TLD)となる。
図2に、階層構造を持つDNSトラヒックにおける集約トラヒックのエントロピーを示す。図2の左半分はDNSドメインツリーを示す。個々の楕円がドメインであり、上位のドメインは集約ドメインとなる。上位階層ほど集約ドメイン数は減る。右半分はそれら集約ドメイン間のトラヒック量分布を示す。
(1)計測対象トラヒックがIPトラヒックの場合には、そのIPアドレスの先頭の単一、もしくは複数ビットを最上位の階層とし、より長いビット列を下位の階層とし、最下位の階層を当該IPアドレスとする階層構造に従いトラヒックを集約する。
(2)計測対象トラヒックがIPトラヒックの場合には、計測箇所のAutonomous System(自律システム;以下、ASという)を最上位の階層とし、最下位の階層となる、当該IPアドレスが属するASまでの経由ASパスで表される階層構造に従い、トラヒックを集約する。
(3)計測対象トラヒックがDomain Name System(DNS)トラヒックの場合には、トップレベルドメインを最上位の階層とし、以下、ドメインツリー構造と同一の階層構造に従い、トラヒックを集約する。
この場合、最上位階層は、(.com)、(.net)、(.jp)などのトップレベルドメイン(TLD)となる。
図2に、階層構造を持つDNSトラヒックにおける集約トラヒックのエントロピーを示す。図2の左半分はDNSドメインツリーを示す。個々の楕円がドメインであり、上位のドメインは集約ドメインとなる。上位階層ほど集約ドメイン数は減る。右半分はそれら集約ドメイン間のトラヒック量分布を示す。
(4)計測対象トラヒックがDNSトラヒックの場合には、直下にユーザが名前を登録できるドメインを最上位階層とし、以下ドメインツリー構造と同一の階層構造に従い、トラヒックを集約する。
これはトップレベルドメインが、その直下にユーザのドメイン名を登録される(.com)などのgTLDと、その直下はユーザのドメイン名でない場合がある(.jp)などのccTLDの双方があることから、階層構造のレベルを統一するためにpublic suffixと呼ばれる、直下にユーザが名前を登録できるドメインを最上位階層としたものである。
(5)計測対象トラヒックがDNSトラヒックのIPアドレスに対するドメイン名を問い合わせる逆引きクエリの場合には、問い合わせられたIPアドレスに対して、前述の(1)または(2)方法で階層的にトラヒックを集約する。
これはトップレベルドメインが、その直下にユーザのドメイン名を登録される(.com)などのgTLDと、その直下はユーザのドメイン名でない場合がある(.jp)などのccTLDの双方があることから、階層構造のレベルを統一するためにpublic suffixと呼ばれる、直下にユーザが名前を登録できるドメインを最上位階層としたものである。
(5)計測対象トラヒックがDNSトラヒックのIPアドレスに対するドメイン名を問い合わせる逆引きクエリの場合には、問い合わせられたIPアドレスに対して、前述の(1)または(2)方法で階層的にトラヒックを集約する。
(6)計測対象トラヒックがDNSトラヒックのIPアドレスに対するドメイン名を問い合わせる逆引きクエリの場合には、クエリに対する応答のドメイン名に対して、前述の(3)または(4)方法で階層的にトラヒックを集約する。
(7)計測対象トラヒックがVoice over IP(VoIP)の電話トラヒックの場合には、電話番号はE.164番号と呼ばれる階層構造が定められているため、この階層構造を用いてトラヒックを集約する。
(8)計測対象トラヒックが、World Wide Web(WWW)トラヒックの場合には、Uniform Resource Identifier(URI)の階層構造に従い、トラヒックを集約する。即ち、計測対象が、World Wide Web(WWW)トラヒックの場合、WWWは”/”で区切られる階層構造を持つため、この階層構造を用いてトラヒックを集約する。
(7)計測対象トラヒックがVoice over IP(VoIP)の電話トラヒックの場合には、電話番号はE.164番号と呼ばれる階層構造が定められているため、この階層構造を用いてトラヒックを集約する。
(8)計測対象トラヒックが、World Wide Web(WWW)トラヒックの場合には、Uniform Resource Identifier(URI)の階層構造に従い、トラヒックを集約する。即ち、計測対象が、World Wide Web(WWW)トラヒックの場合、WWWは”/”で区切られる階層構造を持つため、この階層構造を用いてトラヒックを集約する。
エントロピー計算部13は、階層的トラヒック集約部12によって、階層毎に集約されたトラヒックに対して、集約単位のトラヒック割合から階層毎にエントロピーを計算する。
条件付きでないエントロピーの場合は、第k階(k=0〜N)の階層で集約された宛先の集合をDkとし、ある宛先dk∈Dkへのトラヒック量が全体のトラヒック量に占める割合をpdkとする。このとき宛先に関するトラヒックのエントロピーH(Dk)を、下記(2)式で計算する。
条件付きでないエントロピーの場合は、第k階(k=0〜N)の階層で集約された宛先の集合をDkとし、ある宛先dk∈Dkへのトラヒック量が全体のトラヒック量に占める割合をpdkとする。このとき宛先に関するトラヒックのエントロピーH(Dk)を、下記(2)式で計算する。
以下、同様に、H(DN−2|DN−1),...,H(D0|D1)を計算する。
この場合に、エントロピーは集合Dkの要素数に依存し、Dkの要素数が大きくなるにつれてエントロピーも増大するため、集合Dkの要素数に依存しないようにその最大値で正規化する。例えば、条件付きでないエントロピーの場合は最大値がlog(Dk)であるため、その数で除する。条件付きエントロピーの場合は、最大値は下記(5)式で与えられるので、この数で除算する。
トラヒック特性計算部14では、エントロピー計算部13で計算されたエントロピーを用いてトラヒック特性付けを行う。
このトラヒック特性計算部14では、一定期間毎に取得したトラヒックデータから逐次計算された、一定期間毎のエントロピーの時系列から、その期間のトラヒックの正常・異常判定を行う。ここで、時系列データからの正常・異常判定については、一定期間毎のエントロピー値の集合の確率分布を生成し、その分布の1%点、99%点などの閾値未満、以上の外れ値となる期間を以上と判別してもよい。
あるいは、ある一定期間のトラヒックデータを送信ホスト毎に分割し、ホスト毎に計算されたエントロピー値からそのホストの正常・異常判定を行う。ここで、ホスト毎エントロピー値からの正常・異常判定については、ホスト毎エントロピー値の集合の確率分布を生成し、その分布の1%点、99%点などの閾値未満、以上の外れ値となる期間を以上と判別してもよい。
以上説明したように、本実施例によれば、エントロピーを用いたトラヒックの特性付けにおいて、そのトラヒックが持つ階層構造を考慮することができ、特性量を用いた異常検出において精度向上することが可能となる。
このトラヒック特性計算部14では、一定期間毎に取得したトラヒックデータから逐次計算された、一定期間毎のエントロピーの時系列から、その期間のトラヒックの正常・異常判定を行う。ここで、時系列データからの正常・異常判定については、一定期間毎のエントロピー値の集合の確率分布を生成し、その分布の1%点、99%点などの閾値未満、以上の外れ値となる期間を以上と判別してもよい。
あるいは、ある一定期間のトラヒックデータを送信ホスト毎に分割し、ホスト毎に計算されたエントロピー値からそのホストの正常・異常判定を行う。ここで、ホスト毎エントロピー値からの正常・異常判定については、ホスト毎エントロピー値の集合の確率分布を生成し、その分布の1%点、99%点などの閾値未満、以上の外れ値となる期間を以上と判別してもよい。
以上説明したように、本実施例によれば、エントロピーを用いたトラヒックの特性付けにおいて、そのトラヒックが持つ階層構造を考慮することができ、特性量を用いた異常検出において精度向上することが可能となる。
以下、図3を用いて、本実施例のトラヒック特性計測装置の処理手順の一例を説明する。この図3は、計測対象のトラヒックとしてホスト単位のトラヒックを使用し、階層的トラヒック集約部12での集約方法については前述の(3)の方法を用い、さらに、エントロピー計算部13において条件付きエントロピーを計算する場合の処理手順を示すフローチャートである。
(1)ステップ101
IP網を構成するリンクのトラヒックを観測し、トラヒック取得部10において、トラヒック転送されたパケットを取得する。このステップでの出力は、一定期間に当該リンクを経由したパケット群となる。
(2)ステップ102
計測対象トラヒック抽出部11において、宛先ポート番号53番のDNS問い合わせパケットのみを抽出し、送信ホストi毎のパケット集合を生成する。このステップでの出力は、送信ホストi(i=1,...,N)のDNS問い合わせパケット群Di(i=1,...,N)となる。
(1)ステップ101
IP網を構成するリンクのトラヒックを観測し、トラヒック取得部10において、トラヒック転送されたパケットを取得する。このステップでの出力は、一定期間に当該リンクを経由したパケット群となる。
(2)ステップ102
計測対象トラヒック抽出部11において、宛先ポート番号53番のDNS問い合わせパケットのみを抽出し、送信ホストi毎のパケット集合を生成する。このステップでの出力は、送信ホストi(i=1,...,N)のDNS問い合わせパケット群Di(i=1,...,N)となる。
(3)ステップ103
階層的トラヒック集約部12において、送信ホストi(i=1,...,N)のDNS問い合わせパケット群Di(i=1,...,N)から、ドメイン名階層k(k=1,...,M)毎に集約トラヒックを生成する。ここで、階層Mが最上位の階層、階層1が最下位の階層とする。このステップでの出力は、送信ホストi(i=1,...,N)、階層k(k=1,...,M)毎の集約DNS問い合わせパケット群Di (k)(i=1,...,N)、(k=1,...,M)となる。
(4)ステップ104
エントロピー計算部13において、Di (k)に対して条件付きエントロピーH(Di (k−1)|Di (k))(k=1,...,M) 、およびH(Di (k))を計算する。このステップでの出力は、H(Di (k−1)|Di (k))(k=1,...,M) 、およびH(Di (k))となる。
(5)ステップ105
トラヒック特性計算部14において、各送信ホストiに対して、H(Di (k−1)|Di (k))(k=1,...,M) 、およびH(Di (k))の分布を計算、分布を外れ値となる送信ホストiを特定する。このステップでの出力は、異常トラヒック送信ホスト群となる。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
階層的トラヒック集約部12において、送信ホストi(i=1,...,N)のDNS問い合わせパケット群Di(i=1,...,N)から、ドメイン名階層k(k=1,...,M)毎に集約トラヒックを生成する。ここで、階層Mが最上位の階層、階層1が最下位の階層とする。このステップでの出力は、送信ホストi(i=1,...,N)、階層k(k=1,...,M)毎の集約DNS問い合わせパケット群Di (k)(i=1,...,N)、(k=1,...,M)となる。
(4)ステップ104
エントロピー計算部13において、Di (k)に対して条件付きエントロピーH(Di (k−1)|Di (k))(k=1,...,M) 、およびH(Di (k))を計算する。このステップでの出力は、H(Di (k−1)|Di (k))(k=1,...,M) 、およびH(Di (k))となる。
(5)ステップ105
トラヒック特性計算部14において、各送信ホストiに対して、H(Di (k−1)|Di (k))(k=1,...,M) 、およびH(Di (k))の分布を計算、分布を外れ値となる送信ホストiを特定する。このステップでの出力は、異常トラヒック送信ホスト群となる。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
10 トラヒック取得部
11 計測対象トラヒック抽出部
12 階層的トラヒック集約部
13 エントロピー計算部
14 トラヒック特性計算部
11 計測対象トラヒック抽出部
12 階層的トラヒック集約部
13 エントロピー計算部
14 トラヒック特性計算部
Claims (9)
- トラヒックを取得するステップ1と、
計測対象トラヒックを抽出するステップ2と、
計測対象トラヒックの階層構造に応じてトラヒックを集約するステップ3と、
それぞれの階層での集約トラヒックのエントロピーを計算するステップ4と、
階層毎のエントロピーを用いて、当該トラヒックの特性付けを行うステップ5とを有し、
前記ステップ3において、N個の階層でトラヒックを集約し、
DNを最上位階層で集約したトラヒック、DN−1をその一段階下位の階層で集約したトラヒック、D0を集約する前の最下位階層のトラヒックとした時に、前記ステップ4において、DNのエントロピーH(DN)、DN−1のエントロピーH(DN−1),…, D0のエントロピーH(D0)を計算し、
前記ステップ5において、DNのエントロピーH(DN)、DN−1のエントロピーH(DN−1),…, D0のエントロピーH(D0)を用いて、トラヒックの特性付けを行うことを特徴とするトラヒック特性計測方法。 - トラヒックを取得するステップ1と、
計測対象トラヒックを抽出するステップ2と、
計測対象トラヒックの階層構造に応じてトラヒックを集約するステップ3と、
それぞれの階層での集約トラヒックのエントロピーを計算するステップ4と、
階層毎のエントロピーを用いて、当該トラヒックの特性付けを行うステップ5とを有し、
前記ステップ3において、N個の階層でトラヒックを集約し、
DNを最上位階層で集約したトラヒック、DN−1をその一段階下位の階層で集約したトラヒック、D0を集約する前の最下位階層のトラヒックとした時に、前記ステップ4において、DNのエントロピーH(DN)、DNで条件付けられたDN−1のエントロピーH(DN−1|DN)、DN−1で条件付けられたDN−2のエントロピーH(DN−2|DN−1),…,D1で条件付けられたD0のエントロピーH(D0|D1)を計算し、
前記ステップ5において、DNのエントロピーH(DN)、DNで条件付けられたDN−1のエントロピーH(DN−1|DN)、DN−1で条件付けられたDN−2のエントロピーH(DN−2|DN−1),…,D1で条件付けられたD0のエントロピーH(D0|D1)を用いて、トラヒックの特性付けを行うことを特徴とするトラヒック特性計測方法。 - 前記ステップ4において、各階層毎のエントロピーをその最大値で正規化し、
前記ステップ5において、正規化した各階層毎のエントロピーを用いて、トラヒックの特性付けを行うことを特徴とする請求項1または請求項2に記載のトラヒック特性計測方法。 - 前記ステップ5において、階層的に集約したトラヒックのエントロピーの時系列を生成し、その時系列の変動によりトラヒックの異常を検出することを特徴とする請求項1ないし請求項3のいずれか1項に記載のトラヒック特性計測方法。
- 前記計測対象のトラヒックは、ホスト単位のトラヒックであり、
当該計測したホスト単位のトラヒック特性を、ホストの異常・正常分類に用いることを特徴とする請求項1ないし請求項3のいずれか1項に記載のトラヒック特性計測方法。 - トラヒックを取得するトラヒック取得部と、
計測対象トラヒックを抽出する計測対象トラヒック抽出部と、
計測対象トラヒックの階層構造に応じてトラヒックを集約する階層的トラヒック集約部と、
それぞれの階層での集約トラヒックのエントロピーを計算するエントロピー計算部と、
階層毎のエントロピーを用いて、当該トラヒックの特性付けを行うトラヒック特性計算部とを有するトラヒック特性計測装置であって、
前記階層的トラヒック集約部は、N個の階層でトラヒックを集約し、
DNを最上位階層で集約したトラヒック、DN−1をその一段階下位の階層で集約したトラヒック、D0を集約する前の最下位階層のトラヒックとした時に、前記エントロピー計算部は、DNのエントロピーH(DN)、DN−1のエントロピーH(DN−1),…, D0のエントロピーH(D0)を計算し、
前記トラヒック特性計算部は、DNのエントロピーH(DN)、DN−1のエントロピーH(DN−1),…, D0のエントロピーH(D0)を用いて、トラヒックの特性付けを行うことを特徴とするトラヒック特性計測装置。 - トラヒックを取得するトラヒック取得部と、
計測対象トラヒックを抽出する計測対象トラヒック抽出部と、
計測対象トラヒックの階層構造に応じてトラヒックを集約する階層的トラヒック集約部と、
それぞれの階層での集約トラヒックのエントロピーを計算するエントロピー計算部と、
階層毎のエントロピーを用いて、当該トラヒックの特性付けを行うトラヒック特性計算部とを有するトラヒック特性計測装置であって、
前記階層的トラヒック集約部は、N個の階層でトラヒックを集約し、
DNを最上位階層で集約したトラヒック、DN−1をその一段階下位の階層で集約したトラヒック、D0を集約する前の最下位階層のトラヒックとした時に、前記エントロピー計算部は、DNのエントロピーH(DN)、DNで条件付けられたDN−1のエントロピーH(DN−1|DN)、DN−1で条件付けられたDN−2のエントロピーH(DN−2|DN−1),…,D1で条件付けられたD0のエントロピーH(D0|D1)を計算し、
前記トラヒック特性計算部は、DNのエントロピーH(DN)、DNで条件付けられたDN−1のエントロピーH(DN−1|DN)、DN−1で条件付けられたDN−2のエントロピーH(DN−2|DN−1),…,D1で条件付けられたD0のエントロピーH(D0|D1)を用いて、トラヒックの特性付けを行うことを特徴とするトラヒック特性計測装置。 - 前記エントロピー計算部は、各階層毎のエントロピーをその最大値で正規化し、
前記トラヒック特性計算部は、正規化した各階層毎のエントロピーを用いて、トラヒックの特性付けを行うことを特徴とする請求項6または請求項7に記載のトラヒック特性計測装置。 - 前記トラヒック特性計算部は、階層的に集約したトラヒックのエントロピーの時系列を生成し、その時系列の変動によりトラヒックの異常を検出することを特徴とする請求項6ないし請求項8のいずれか1項に記載のトラヒック特性計測方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009155761A JP4980396B2 (ja) | 2009-06-30 | 2009-06-30 | トラヒック特性計測方法および装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009155761A JP4980396B2 (ja) | 2009-06-30 | 2009-06-30 | トラヒック特性計測方法および装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011015047A true JP2011015047A (ja) | 2011-01-20 |
| JP4980396B2 JP4980396B2 (ja) | 2012-07-18 |
Family
ID=43593538
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009155761A Expired - Fee Related JP4980396B2 (ja) | 2009-06-30 | 2009-06-30 | トラヒック特性計測方法および装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4980396B2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9456379B2 (en) | 2012-02-20 | 2016-09-27 | Nec Corporation | Vehicle-mounted device and congestion control method |
| WO2024105843A1 (ja) * | 2022-11-17 | 2024-05-23 | 日本電信電話株式会社 | 集約装置、集約方法、及びプログラム |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008545343A (ja) * | 2005-06-29 | 2008-12-11 | トラスティーズ オブ ボストン ユニバーシティ | 全ネットワークアノマリー診断用の方法及び装置並びにトラフィック特徴分布を使用してネットワークアノマリーを検出及び分類する方法 |
| JP2009111537A (ja) * | 2007-10-29 | 2009-05-21 | Nippon Telegr & Teleph Corp <Ntt> | 通信関係構造変化による異常検出方法、装置、プログラム、および記録媒体 |
-
2009
- 2009-06-30 JP JP2009155761A patent/JP4980396B2/ja not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008545343A (ja) * | 2005-06-29 | 2008-12-11 | トラスティーズ オブ ボストン ユニバーシティ | 全ネットワークアノマリー診断用の方法及び装置並びにトラフィック特徴分布を使用してネットワークアノマリーを検出及び分類する方法 |
| JP2009111537A (ja) * | 2007-10-29 | 2009-05-21 | Nippon Telegr & Teleph Corp <Ntt> | 通信関係構造変化による異常検出方法、装置、プログラム、および記録媒体 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9456379B2 (en) | 2012-02-20 | 2016-09-27 | Nec Corporation | Vehicle-mounted device and congestion control method |
| WO2024105843A1 (ja) * | 2022-11-17 | 2024-05-23 | 日本電信電話株式会社 | 集約装置、集約方法、及びプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4980396B2 (ja) | 2012-07-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10027694B1 (en) | Detecting denial of service attacks on communication networks | |
| JP6535809B2 (ja) | 異常検出装置、異常検出システム、及び、異常検出方法 | |
| US8260914B1 (en) | Detecting DNS fast-flux anomalies | |
| US10129270B2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
| US10027562B2 (en) | Detecting network services based on network flow data | |
| WO2011113239A1 (zh) | 域名系统流量检测方法与域名服务器 | |
| US11283757B2 (en) | Mapping internet routing with anycast and utilizing such maps for deploying and operating anycast points of presence (PoPs) | |
| CN106534068B (zh) | 一种ddos防御系统中清洗伪造源ip的方法和装置 | |
| Martinez-Bea et al. | Real-time malicious fast-flux detection using DNS and bot related features | |
| Suarez-Varela et al. | Flow monitoring in Software-Defined Networks: Finding the accuracy/performance tradeoffs | |
| Xu et al. | ELDA: Towards efficient and lightweight detection of cache pollution attacks in NDN | |
| EP3242240B1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program | |
| Zhao et al. | IP Geolocation based on identification routers and local delay distribution similarity | |
| Lee et al. | Identifying and aggregating homogeneous ipv4/24 blocks with hobbit | |
| Lutu et al. | The BGP visibility toolkit: Detecting anomalous internet routing behavior | |
| TW202008749A (zh) | 網名過濾方法 | |
| Wicherski et al. | IP agnostic real-time traffic filtering and host identification using TCP timestamps | |
| JP4980396B2 (ja) | トラヒック特性計測方法および装置 | |
| JP6393010B2 (ja) | 解析方法、解析装置および解析プログラム | |
| Qin et al. | A new connection degree calculation and measurement method for large scale network monitoring | |
| Li et al. | A case study of ipv6 network performance: Packet delay, loss, and reordering | |
| TWI634769B (zh) | Method for detecting domain name transformation botnet through proxy server log | |
| Oudah et al. | Using burstiness for network applications classification | |
| CN104079681A (zh) | 一种别名解析方法 | |
| Chen et al. | Doctrina: annotated bipartite graph mining for malware-control domain detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110802 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110802 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120301 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120417 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120418 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150427 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4980396 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |