JP2018133004A - 異常検知システム及び異常検知方法 - Google Patents

異常検知システム及び異常検知方法 Download PDF

Info

Publication number
JP2018133004A
JP2018133004A JP2017027335A JP2017027335A JP2018133004A JP 2018133004 A JP2018133004 A JP 2018133004A JP 2017027335 A JP2017027335 A JP 2017027335A JP 2017027335 A JP2017027335 A JP 2017027335A JP 2018133004 A JP2018133004 A JP 2018133004A
Authority
JP
Japan
Prior art keywords
cluster
abnormality detection
terminals
detection model
traffic information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017027335A
Other languages
English (en)
Other versions
JP6770454B2 (ja
Inventor
幸洋 鋒
Yukihiro Hachi
幸洋 鋒
浩明 前田
Hiroaki Maeda
浩明 前田
小島 久史
Hisashi Kojima
久史 小島
正夫 相原
Masao Aihara
正夫 相原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2017027335A priority Critical patent/JP6770454B2/ja
Publication of JP2018133004A publication Critical patent/JP2018133004A/ja
Application granted granted Critical
Publication of JP6770454B2 publication Critical patent/JP6770454B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

【課題】マルウェア感染端末の特定を支援する。【解決手段】複数の端末と接続される異常検知システムであって、前記複数の端末を1以上のクラスタに分類するクラスタリング部と、前記クラスタリング部により分類されたクラスタ毎に、異常な端末が前記クラスタに属することを検知するための検知モデルを作成する検知モデル作成部と、前記複数の端末のうち、前記クラスタに属する各端末のトラヒック情報に基づいて、該クラスタの特徴量を示すクラスタ特徴量を生成する第1の特徴量生成部と、前記検知モデル作成部により作成された前記検知モデルと、前記第1の特徴量生成部により生成された前記クラスタ特徴量とに基づいて、異常な端末が前記クラスタに属することを検知する異常検知部と、を有する。【選択図】図1

Description

本発明は、異常検知システム及び異常検知方法に関する。
近年、マルウェアに感染した多数のIoT(Internet of Things)端末(以下、単に「端末」とも表す。)をDDoS(Distributed Denial of Service attack)攻撃の踏み台にする事件が発生しており、標的となったサービスが利用不能になる等の被害が生じている。
また、IoT端末の台数は、2020年には530億台に上ると言われており、今後も増加が予想される(非特許文献1)。このため、上記のような攻撃の踏み台とされる事件が更に増えると考えられる。したがって、マルウェアに感染したIoT端末を特定(検知)し、上記のような攻撃を防止することが求められている。
しかしながら、IoT端末の中には、例えば価格を抑えるためにIoT端末自体の性能(CPU(Central Processing Unit)やメモリ等)が低いものが多数存在する。したがって、IoT端末自体にセキュリティ機能を具備させるのが困難な場合がある。このため、IoT端末が繋がるネットワーク側(例えば、ISP(Internet Services Provider)や電気通信事業者等のネットワーク)で、マルウェアに感染したIoT端末を特定することができれば好ましい。
ここで、ネットワーク側でマルウェアに感染した端末を特定する技術として、アノマリ型検知が知られている(非特許文献2)。アノマリ型検知では、端末毎の正常な振る舞いを学習することで、異常検知(すなわち、マルウェア感染に感染した端末の検知)に用いるための検知モデルを作成する。このため、アノマリ型検知では、端末数に依存した計算時間を必要する。また、作成した検知モデルを保存するためのストレージ領域の容量も、端末数に応じて必要となる。
また、DNS(Domain Name System)ログを解析することで、マルウェアに感染した端末及びC&C(Command and Control)サーバを特定する技術が知られている(非特許文献3)。この技術では、DNSキャッシュサーバに送信された大量のDNSクエリの挙動を監視し、マルウェアに感染した端末や悪性ドメイン特有の挙動を学習することで、異常検知を行う。マルウェアに感染した端末や悪性ドメイン特有の挙動をDNSクエリから学習するためには、クエリ数に応じた計算時間を必要とする。また、DNSクエリが送信される度に異常検知を行う場合には、短時間で計算可能な検知手法が必要となる。
"平成27年版 情報通信白書", [online], インターネット<URL:http://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h27/html/nc254110.html> "Darktrace", [online], インターネット<URL:http://www.darktrace.jp/> "DNS クエリログのクエリ数に着目した異常端末の検出", 渡辺拳竜, 池部実, and 吉田和幸. マルチメディア, 分散協調とモバイルシンポジウム 2014 論文集 2014 (2014): 205-210.
ここで、機械学習を用いたマルウェア感染端末の特定では、検知対象となる端末数に応じて、検知モデル作成のための計算時間と、ストレージ領域の容量とが必要になる。例えば、端末の台数をN、学習データの数をSとして、異常検知アルゴリズムにSVM(Support Vector Machine)を用いた場合、検知モデル作成のための計算時間はO(NSlogS)、ストレージ領域の容量はO(NS)で表される。
しかしながら、上述したように、IoT端末の台数は今後も増加が予想される。また、通常、機械学習アルゴリズムで検知精度を向上させるためには、大量の学習データが必要なる。
このため、ISPや電気通信事業者等のネットワークのように、多数のIoT端末が接続されたネットワークにおけるマルウェア感染端末の特定では、検知モデル作成のための計算時間やストレージ領域の容量が膨大になり、機械学習のアルゴリズムを用いたマルウェア感染端末の特定が困難な場合があった。
本発明は、上記の点に鑑みてなされたものであって、マルウェア感染端末の特定を支援することを目的とする。
そこで、上記課題を解決するため、複数の端末と接続される異常検知システムであって、前記複数の端末を1以上のクラスタに分類するクラスタリング部と、前記クラスタリング部により分類されたクラスタ毎に、異常な端末が前記クラスタに属することを検知するための検知モデルを作成する検知モデル作成部と、前記複数の端末のうち、前記クラスタに属する各端末のトラヒック情報に基づいて、該クラスタの特徴量を示すクラスタ特徴量を生成する第1の特徴量生成部と、前記検知モデル作成部により作成された前記検知モデルと、前記第1の特徴量生成部により生成された前記クラスタ特徴量とに基づいて、異常な端末が前記クラスタに属することを検知する異常検知部と、を有する。
マルウェア感染端末の特定を支援することができる。
本発明の実施の形態におけるシステムの全体構成の一例を示す図である。 コンピュータのハードウェア構成の一例を示す図である。 本発明の実施の形態における学習装置の機能構成の一例を示す図である。 本発明の実施の形態における異常検知装置の機能構成の一例を示す図である。 本発明の実施の形態における異常検知用ストレージ装置の機能構成の一例を示す図である。 アドレス情報テーブルの一例を示す図である。 クラスタ情報テーブルの一例を示す図である。 学習情報テーブルの一例を示す図である。 検知モデル情報テーブルの一例を示す図である。 設定情報テーブルの一例を示す図である。 本発明の実施の形態におけるクラスタリング処理の一例を示すシーケンス図である。 本発明の実施の形態における検知モデルの作成処理の一例を示すシーケンス図である。 本発明の実施の形態における異常検知処理の一例を示すシーケンス図である。
以下、本発明の実施の形態について、図面を参照しながら説明する。
<全体構成>
まず、本発明の実施の形態におけるシステムの全体構成例について、図1を参照しながら説明する。図1は、本発明の実施の形態におけるシステムの全体構成の一例を示す図である。
図1に示すように、本発明の実施の形態におけるシステムは、例えばISPや電気通信事業者等のコアネットワークであるシステム環境Eと、複数のIoT端末70とを有する。
IoT端末70は、例えば各種センサや監視カメラ、各種家電製品、スマートメータ等の種々の電子機器又は装置である。各IoT端末70は、システム環境Eに接続されており、それぞれが異なる通信特性(例えば、通信発生の頻度、宛先(送信先IPアドレス(Internet Protocol))の種類数、パケットサイズ等)を有している。
システム環境Eは、転送装置10と、トラヒック情報収集装置20と、異常検知システム30と、DNSサーバ40と、DHCP(Dynamic Host Configuration Protocol)50と、セキュリティ装置60とを有する。
転送装置10は、例えばエッジルータ等であり、インターネットと各IoT端末70との間のパケットを中継する機能を有する。転送装置10は、IoT端末70のパケットを中継する際に、当該IoT端末70のIPアドレス等のトラヒック情報を取得する。転送装置10により取得されたトラヒック情報は、トラヒック情報収集装置20に蓄積される。トラヒック情報には、例えば、パケットのヘッダ情報、フロー情報、DNSサーバ40のログ情報、DHCPサーバ50が保持するIPアドレスのリスト情報等が挙げられる。
トラヒック情報収集装置20は、転送装置10やDNSサーバ40、DHCPサーバ50等からトラヒック情報を収集して、収集したトラヒック情報を蓄積(保存)する1以上のコンピュータである。
DNSサーバ40は、DNS機能を有する1以上のコンピュータである。DHCPサーバ50は、DHCP機能を有する1以上のコンピュータである。
異常検知システム30は、マルウェアに感染したIoT端末70を特定するための1以上のコンピュータにより構成されるシステムである。異常検知システム30は、学習装置31と、異常検知装置32と、異常検知用ストレージ装置33とを有する。
学習装置31は、各IoT端末70のトラヒック情報から得られる所定の特徴量に基づいて、これらIoT端末70を複数のクラスタに分類する(すなわち、IoT端末70をクラスタリングする。)。そして、学習装置31は、クラスタ単位で異常を検知するための検知モデルを作成する。クラスタ単位で異常を検知するとは、当該クラスタに属するIoT端末70の中に、マルウェアに感染しているIoT端末70が存在することを検知することである。なお、所定の特徴量とは、IoT端末70のトラヒック情報から得られる情報であり、例えば、上述した通信特性を示す情報等が挙げられる。
異常検知装置32は、クラスタに属する各IoT端末70のトラヒック情報から得られるクラスタ単位の所定の特徴量と、学習装置31により作成された検知モデルとに基づいて、クラスタ単位で異常を検知する。すなわち、異常検知装置32は、マルウェアに感染しているIoT端末70が含まれるクラスタを検知する。
異常検知用ストレージ装置33は、各種の情報を管理する。例えば、異常検知用ストレージ装置33は、学習装置31により作成された検知モデルを保存する。また、異常検知用ストレージ装置33は、異常検知装置32による異常検知に用いられる各種情報を記憶している。
セキュリティ装置60は、異常検知装置32により異常と検知されたクラスタに属する各IoT端末70の中から、マルウェアに感染しているIoT端末70を特定する。セキュリティ装置60は、例えば、IPS(Intrusion Prevention System)やサンドボックス、DPI(Deep Packet Inspection)等により、当該クラスタに属する各IoT端末70の中から、マルウェアに感染しているIoT端末70を特定する。
なお、図1に示すシステム構成は、一例であって、他の構成であっても良い。例えば、システム環境Eは、複数台の転送装置10、複数台のトラヒック情報収集装置20、複数の異常検知システム30、複数台のセキュリティ装置60を有していても良い。また、異常検知システム30において、学習装置31と、異常検知装置32と、異常検知用ストレージ装置33とが1台の装置(コンピュータ)で構成されていても良い。
<ハードウェア構成>
次に、トラヒック情報収集装置20、学習装置31、異常検知装置32、及び異常検知用ストレージ装置33等を実現するコンピュータ100のハードウェア構成について、図2を参照しながら説明する。図2は、コンピュータ100のハードウェア構成の一例を示す図である。
図2に示すように、コンピュータ100は、外部I/F101と、RAM(Random Access Memory)102と、ROM(Read Only Memory)103と、CPU104と、通信I/F105と、補助記憶装置106とを有する。これら各ハードウェアは、それぞれがバスBを介して通信可能に接続されている。
外部I/F101は、外部装置とのインタフェースである。外部装置には、記録媒体101a等がある。コンピュータ100は、外部I/F101を介して記録媒体101a等の読み取りや書き込みを行うことができる。
記録媒体101aには、例えば、フレキシブルディスク、CD(Compact Disc)、DVD(Digital Versatile Disk)、SDメモリカード(Secure Digital memory card)、USB(Universal Serial Bus)メモリカード等がある。
RAM102は、プログラムやデータを一時保持する揮発性の半導体メモリである。ROM103は、電源を切ってもプログラムやデータを保持することができる不揮発性の半導体メモリである。ROM103には、例えば、OS(Operating System)設定やネットワーク設定等が格納されている。
CPU104は、ROM103や補助記憶装置106等からプログラムやデータをRAM102上に読み出して処理を実行する演算装置である。通信I/F105は、コンピュータ100をネットワークに接続するためのインタフェースである。
補助記憶装置106は、例えばHDD(Hard Disk Drive)やSSD(Solid State Drive)等であり、プログラムやデータを格納している不揮発性の記憶装置である。補助記憶装置106に格納されているプログラムやデータには、例えば、OS、当該OS上において各種機能を実現するアプリケーションソフトウェア、本実施形態における各種処理を実現するプログラム等がある。
なお、コンピュータ100は、上記の各ハードウェアに加えて、例えば、ディスプレイ等の表示装置と、キーボードやマウス等の入力装置とを有していても良い。
本実施形態に係るコンピュータ100は、図2に示すハードウェア構成を有することにより、後述する各種処理を実現することができる。
<機能構成>
次に、異常検知システム30に含まれる学習装置31、異常検知装置32、及び異常検知用ストレージ装置33の機能構成について説明する。
≪学習装置31≫
まず、学習装置31の機能構成について、図3を参照しながら説明する。図3は、本発明の実施の形態における学習装置31の機能構成の一例を示す図である。
図3に示すように、学習装置31は、通信部311と、特徴量生成部312と、クラスタリング部313と、検知モデル作成部314とを有する。これら各機能部は、学習装置31にインストールされた1以上のプログラムが、CPUに実行させる処理により実現される。
通信部311は、トラヒック情報収集装置20や異常検知用ストレージ装置33等との間で情報の送受信を行う。例えば、通信部311は、トラヒック情報収集装置20から各IoT端末70のトラヒック情報を受信する。
特徴量生成部312は、通信部311により受信されたトラヒック情報に所定の処理を施す(例えば、所定のIPアドレスが含まれる回数をカウントする等)ことで、機械学習や時系列分析を行う上で必要な所定の特徴量を生成する。
ここで、IoT端末70をクラスタリングする段階では、通信部311は、全てのIoT端末70(又は、ある転送装置10によりパケットが転送される全てのIoT端末70)のトラヒック情報を受信する。したがって、この場合、特徴量生成部312は、これら全てのIoT端末70のトラヒック情報から特徴量を生成する。
一方で、検知モデルを作成する段階では、通信部311は、クラスタ単位のトラヒック情報(すなわち、当該クラスタに属するIoT端末70のトラヒック情報)を受信する。したがって、この場合、特徴量生成部312は、クラスタ毎に、当該クラスタの特徴量を生成する。以降では、クラスタの特徴量(すなわち、クラスタ単位の特徴量)を「クラスタ特徴量」とも表す。
クラスタリング部313は、特徴量生成部312により生成された特徴量に基づいて、各IoT端末70をクラスタリングする。クラスタリング部313は、クラスタリングの結果を示すクラスタ情報を異常検知用ストレージ装置33に送信する。
検知モデル作成部314は、特徴量生成部312により生成されたクラスタ特徴量に基づいて、クラスタ毎の検知モデルを作成するための学習情報を作成して、異常検知用ストレージ装置33に送信する。そして、検知モデル作成部314は、例えば所定の時間の間に作成された学習情報に基づいて、検知モデルを作成する。
ここで、検知モデルとは、異常検知アルゴリズムと、当該異常検知アルゴリズムに用いられるパラメータのパラメータ値とで表される。したがって、異常検知アルゴリズムが予め決められている場合、検知モデルの作成とは、当該異常検知アルゴリズムに用いられるパラメータのパラメータ値を決定することを意味する。
≪異常検知装置32≫
次に、異常検知装置32の機能構成について、図4を参照しながら説明する。図4は、本発明の実施の形態における異常検知装置32の機能構成の一例を示す図である。
図4に示すように、異常検知装置32は、通信部321と、特徴量生成部322と、異常検知部323とを有する。これら各機能部は、異常検知装置32にインストールされた1以上のプログラムが、CPUに実行させる処理により実現される。
通信部321は、トラヒック情報収集装置20や異常検知用ストレージ装置33等との間で情報の送受信を行う。例えば、通信部321は、トラヒック情報収集装置20からクラスタ単位のトラヒック情報(すなわち、当該クラスタに属する各IoT端末70のトラヒック情報)を受信する。
特徴量生成部322は、通信部321により受信したトラヒック情報からクラスタ特徴量を生成する。
異常検知部323は、特徴量生成部322により生成されたクラスタ特徴量と、異常検知用ストレージ装置33から受信した検知モデルとに基づいて、該当のクラスタが異常であるか否かを判定する。すなわち、異常検知部323は、マルウェアに感染しているIoT端末70が含まれるクラスタを検知する。以降では、マルウェアに感染しているIoT端末70を「異常端末70」、異常端末70が含まれるクラスタを「異常クラスタ」とも表す。
異常検知部323は、異常クラスタが検知された場合、当該異常クラスタを識別するクラスタIDをセキュリティ装置60に送信する。
≪異常検知用ストレージ装置33≫
次に、異常検知用ストレージ装置33の機能構成について、図5を参照しながら説明する。図5は、本発明の実施の形態における異常検知用ストレージ装置33の機能構成の一例を示す図である。
図5に示すように、異常検知用ストレージ装置33は、通信部331と、情報管理部332とを有する。これら各機能部は、異常検知用ストレージ装置33にインストールされた1以上のプログラムが、CPUに実行させる処理により実現される。
また、異常検知用ストレージ装置33は、アドレス情報テーブル記憶部333と、クラスタ情報テーブル記憶部334と、学習情報テーブル記憶部335と、検知モデル情報テーブル記憶部336と、設定情報テーブル記憶部337とを有する。これら各記憶部は、例えば補助記憶装置を用いて実現可能である。
通信部331は、トラヒック情報収集装置20や学習装置31、異常検知装置32、セキュリティ装置60等との間で情報の送受信を行う。例えば、通信部331は、学習装置31から学習情報や検知モデル情報を受信する。また、例えば、通信部331は、異常検知装置32から、異常クラスタのクラスタIDを受信する。
情報管理部332は、各種記憶部に記憶されているテーブルから情報を読み出すと共に、各種記憶部に記憶されているテーブルに情報を格納する。
アドレス情報テーブル記憶部333は、アドレス情報テーブル333Tを記憶する。ここで、アドレス情報テーブル333Tについて、図6を参照しながら説明する。図6は、アドレス情報テーブル333Tの一例を示す図である。
図6に示すように、アドレス情報テーブル333Tには、アドレス情報が格納されている。アドレス情報は、転送装置10を識別する転送装置IDと、当該転送装置10によりパケットが中継される各IoT端末70のIPアドレスとが関連付けられている。言い換えれば、アドレス情報は、転送装置ID毎に、当該転送装置IDの転送装置10によりパケットが中継されるIoT端末70のIPアドレスのリストが関連付けられている。このようなIPアドレスは、DHCPサーバ50により、各IoT端末70に対して割り当てられる。
クラスタ情報テーブル記憶部334は、クラスタ情報テーブル334Tを記憶する。ここで、クラスタ情報テーブル334Tについて、図7を参照しながら説明する。図7は、クラスタ情報テーブル334Tの一例を示す図である。
図7に示すように、クラスタ情報テーブル334Tには、クラスタ情報が格納されている。クラスタ情報は、クラスタを識別するクラスタIDと、当該クラスタに属するIoT端末70のIPアドレスとが関連付けられている。
学習情報テーブル記憶部335は、学習情報テーブル335Tを記憶する。ここで、学習情報テーブル335Tについて、図8を参照しながら説明する。図8は、学習情報テーブル335Tの一例を示す図である。
図8に示すように、学習情報テーブル335Tには、学習情報が格納されている。学習情報は、クラスタIDと、学習データとが関連付けられている。学習データは、特徴量生成部312により生成されたクラスタ特徴量(特徴1,特徴2,・・・,特徴m)に対して、教師データ(「正常」又は「異常」)を付与したデータ(言い換えれば、「正常」又は「異常」がラベル付けされたデータ)である。
ただし、異常検知アルゴリズムとして、教師あり学習以外のアルゴリズムを用いる場合には、教師データは不要である。この場合の学習データは、クラスタ特徴量とすれば良い。
検知モデル情報テーブル記憶部336は、検知モデル情報テーブル336Tを記憶する。ここで、検知モデル情報テーブル336Tについて、図9を参照しながら説明する。図9は、検知モデル情報テーブル336Tの一例を示す図である。
図9に示すように、検知モデル情報テーブル336Tには、検知モデル情報が格納されている。検知モデル情報は、クラスタIDと、検知モデルのパラメータ値とが関連付けられている。なお、検知モデルのパラメータ値は、後述する設定情報により設定された異常検知アルゴリズムに用いられるパラメータのパラメータ値である。上述したように、検知モデルは、異常検知アルゴリズムと、当該異常検知アルゴリズムに用いられるパラメータのパラメータ値とで表される。
設定情報テーブル記憶部337は、設定情報テーブル337Tを記憶する。ここで、設定情報テーブル337Tについて、図10を参照しながら説明する。図10は、設定情報テーブル337Tの一例を示す図である。
図10に示すように、設定情報テーブル337Tには、設定情報が格納されている。設定情報は、データ取得の間隔と、検知モデルの更新頻度と、異常検知アルゴリズムの種類とが含まれる。データ取得の間隔には、トラヒック情報収集装置20が転送装置10からトラヒック情報を取得する時間間隔が設定される。検知モデルの更新頻度は、上述した検知モデルのパラメータ値を更新する時間間隔が設定される。これらの情報が設定される設定情報は、例えば、システム環境Eのシステム管理者等により予め作成される。
なお、異常検知アルゴリズムの種類は、機械学習や時系列分析に用いられる種々のアルゴリズムを設定することができる。これらアルゴリズムには、例えば、k−近傍法、SVM(Support Vector Machine)、ニューラルネットワーク等が挙げられる。
<処理の詳細>
次に、本発明の実施の形態におけるシステムの処理の詳細について説明する。
≪クラスタリング処理≫
まず、各IoT端末70を複数のクラスタに分類(クラスタリング)する処理について、図11を参照しながら説明する。図11は、本発明の実施の形態におけるクラスタリング処理の一例を示すシーケンス図である。図11に示すクラスタリング処理は、例えば、システム環境Eのシステム管理者等の操作に応じて実行されても良いし、予め決められた所定の時間に実行されても良い。また、図11に示すクラスタリング処理が実行されて各IoT端末70がクラスタリングされた場合であっても、例えば、IoT端末70の増減等に応じて再度実行されても良い。
まず、トラヒック情報収集装置20は、転送装置10に対して、トラヒック情報のリクエストを送信する(ステップS101)。転送装置10は、当該リクエストに応じて、自身がパケットを転送する各IoT端末70のトラヒック情報をトラヒック情報収集装置20に送信する(ステップS102)。
トラヒック情報収集装置20は、転送装置10からトラヒック情報を受信すると、当該トラヒック情報を学習装置31に送信する(ステップS103)。なお、トラヒック情報収集装置20は、DNSサーバ40やDHCPサーバ50からトラヒック情報を収集して、学習装置31に送信しても良い。
トラヒック情報収集装置20は、例えば、所定の時間の間、設定情報の「データ取得の間隔」で設定された時間毎に転送装置10からトラヒック情報を収集した上で、収集したトラヒック情報を学習装置31に送信しても良い。
学習装置31の特徴量生成部312は、通信部311によりトラヒック情報を受信すると、各IoT端末70の特徴量を生成する(ステップS104)。特徴量生成部312は、例えば、各IoT端末70のトラヒック情報に基づいて、「通信発生の頻度」や「宛先の種類数」を特徴量として生成すれば良い。
「通信発生の頻度」や「宛先の種類数」は、DNSサーバ40のログ情報に基づき生成することができる。具体的には、DNSサーバ40のログ情報のうち、転送装置10に接続されたIoT端末70のIPアドレスが含まれるログ情報を抽出した上で、抽出したログ情報における当該IPアドレスの出現回数をカウントすることで、「通信発生の頻度」を得ることができる。同様に、抽出したログ情報における送信先IPアドレスの種類数をカウントすることで、「宛先の種類数」を得ることができる。
「通信発生の頻度」や「宛先の種類数」を特徴量として用いることで、例えば、通信頻度の増加と、宛先数の増加とによる異常(例えば、C&Cサーバへの通信等)を検知することが可能となる。
なお、特徴量は、上記の「通信発生の頻度」や「宛先の種類数」に限られない。IoT端末70(のIPアドレス)をクラスタに分類可能な特徴量であれば、任意の特徴量を用いることができる。
次に、学習装置31のクラスタリング部313は、特徴量生成部312により生成された各IoT端末70の特徴量に基づいて、これら各IoT端末70をクラスタリングする(ステップS105)。クラスタリング部313は、例えば、K−Means法等を用いて、各IoT端末70をクラスタリングすれば良い。ただし、クラスタリングに用いられるアルゴリズムやパラメータ(例えば、距離の定義等)は、特定のアルゴリズムや特定のパラメータに限定されるものではなく、任意のアルゴリズムや任意のパラメータを用いることができる。
クラスタリング部313によりクラスタリングが行われると、クラスタを識別するクラスタIDと、当該クラスタに属するIoT端末70のIPアドレスとが関連付けられたクラスタ情報が作成される。
次に、学習装置31の通信部311は、クラスタリング部313により作成されたクラスタ情報を異常検知用ストレージ装置33に送信する(ステップS106)。
異常検知用ストレージ装置33の情報管理部332は、通信部331によりクラスタ情報を受信すると、当該クラスタ情報をクラスタ情報テーブル334Tに格納する(ステップS107)。
以上により、各IoT端末70の特徴量に基づいて、これら各IoT端末70がクラスタリングされる。このとき、例えば、特徴量として各IoT端末70の通信特性を用いることで、同一の通信特性を有するIoT端末70(具体的には、同一メーカのIoT端末70や同一メーカの部品を有するIoT端末70等)が同一のクラスタに分類される。
≪検知モデルの作成処理≫
次に、クラスタ毎に検知モデルを作成する処理について、図12を参照しながら説明する。図12は、本発明の実施の形態における検知モデルの作成処理の一例を示すシーケンス図である。図12に示す検知モデルの作成処理は、設定情報に含まれる「検知モデルの更新間隔」に設定された時間毎に実行される。
まず、異常検知用ストレージ装置33の通信部331は、トラヒック情報収集装置20に対して、クラスタ単位のトラヒック情報のリクエストを送信する(ステップS201)。異常検知用ストレージ装置33は、クラスタ情報テーブル334Tを参照することで、クラスタ単位のトラヒック情報のリクエストを送信することができる。
例えば、異常検知用ストレージ装置33は、クラスタ情報テーブル334Tを参照して、クラスタID「クラスタA」に関連付けられたIPアドレスを含むリクエストを送信することで、クラスタA単位のトラヒック情報のリクエストを行うことができる。同様に、例えば、異常検知用ストレージ装置33は、クラスタ情報テーブル334Tを参照して、クラスタID「B」に関連付けられたIPアドレスを含むリクエストを送信することで、クラスタB単位のトラヒック情報のリクエストを行うことができる。
異常検知用ストレージ装置33の通信部331は、クラスタ毎に、クラスタ単位のトラヒック情報のリクエストをトラヒック情報収集装置20に送信する。
以降では、一例として、クラスタAのトラヒック情報のリクエストを送信したものとして説明する。
ここで、以降のステップS202におけるトラヒック情報のリクエストは、設定情報の「データ取得の間隔」で設定された時間毎に実行される。したがって、以降のステップS202〜ステップS208の処理は、例えば所定の時間の間、当該時間毎に繰り返し実行される。ただし、これに限られず、ステップS202〜ステップS208の処理は、例えば、後述するステップS208の処理において、学習情報テーブル335Tに所定の件数の学習情報が格納されるまで実行されるようにしても良い。
トラヒック情報収集装置20は、異常検知用ストレージ装置33からクラスタAのトラヒック情報のリクエストを受信すると、クラスタAに属するIoT端末70のトラヒック情報のリクエストを転送装置10に送信する(ステップS202)。なお、当該リクエストには、クラスタAに属するIoT端末70のIPアドレスが含まれる。
転送装置10は、当該リクエストに応じて、自身がパケットを転送する各IoT端末70のうち、クラスタAに属するIoT端末70のトラヒック情報をトラヒック情報収集装置20に送信する(ステップS203)。
トラヒック情報収集装置20は、転送装置10からクラスタAに属するIoT端末70のトラヒック情報を受信すると、当該トラヒック情報を学習装置31に送信する(ステップS204)。なお、トラヒック情報収集装置20は、DNSサーバ40やDHCPサーバ50からクラスタAに属するIoT端末70のトラヒック情報を収集して、学習装置31に送信しても良い。
学習装置31の特徴量生成部312は、通信部311によりクラスタAに属するIoT端末70のトラヒック情報を受信すると、クラスタAのクラスタ特徴量を生成する(ステップS205)。特徴量生成部312は、クラスタAに属する各IoT端末70の特徴量を生成した上で、これら特徴量の平均値又は中央値を算出して、当該平均値又は中央値をクラスタ特徴量とすれば良い。
特徴量生成部312は、上記のステップS104と同様の特徴量を用いてクラスタ特徴量を生成しても良いし、異なる特徴量を用いてクラスタ特徴量を生成しても良い。なお、上記のステップS104と同様の特徴量を生成する場合、異常時(すなわち、クラスタに異常端末70が含まれる時)に大きく変動する特徴量をクラスタ特徴量とすることが好ましい。
次に、学習装置31の特徴量生成部312は、クラスタ特徴量に対して教師データを付与することで、学習データを生成する(ステップS206)。なお、教師データが「正常」又は「異常」のいずれであるかは、例えば、システム環境Eのシステム管理者等により設定されても良いし、予め決められたアルゴリズムにより設定されても良い。
ただし、異常検知アルゴリズムとして、教師あり学習以外のアルゴリズムを用いる場合(例えば、k−近傍法を用いる場合等)には、教師データは不要であり、特徴量生成部312は、クラスタ特徴量を学習データとすれば良い。
学習データが生成されると、特徴量生成部312により、当該学習データと、クラスタAのクラスタIDとが関連付けられた学習情報が生成される。
次に、学習装置31の通信部311は、学習情報を異常検知用ストレージ装置33に送信する(ステップS207)。
異常検知用ストレージ装置33の情報管理部332は、通信部331により学習情報を受信すると、当該学習情報を学習情報テーブル335Tに格納する(ステップS208)。
異常検知用ストレージ装置33の通信部331は、上記のステップS202〜ステップS208の処理が所定の時間の間繰り返し実行された後、クラスタ単位の学習情報を学習装置31に送信する(ステップS209)。すなわち、通信部331は、情報管理部332により学習情報テーブル335Tから取得されたクラスタAの学習情報を学習装置31に送信する。
学習装置31の検知モデル作成部314は、異常検知用ストレージ装置33から受信した学習情報に基づいて、検知モデルのパラメータ値を生成する(ステップS210)。このとき、検知モデル作成部314は、設定情報の「異常検知アルゴリズムの種類」で設定された異常検知アルゴリズムに用いられるパラメータのパラメータ値を生成する。
検知モデルのパラメータ値が生成されると、検知モデル作成部314により、当該検知モデルのパラメータ値と、クラスタAのクラスタIDとが関連付けられた検知モデル情報が作成される。
学習装置31の通信部311は、検知モデル情報を異常検知用ストレージ装置33に送信する(ステップS211)。
異常検知用ストレージ装置33の情報管理部332は、通信部331により検知モデル情報を受信すると、当該検知モデル情報を検知モデル情報テーブル336Tに格納する(ステップS212)。なお、情報管理部332は、同一のクラスタIDの検知モデル情報が検知モデル情報テーブル336Tに既に格納されている場合、当該検知モデル情報を、通信部331により受信された検知モデル情報で上書き更新すれば良い。
以上により、複数のIoT端末70が属するクラスタ毎に、当該クラスタ単位で異常を検知するための検知モデルが作成及び更新される。このように、クラスタ単位で検知モデルを作成することで、IoT端末70毎に個別で検知モデルを作成する場合と比較して、検知モデル作成のための計算時間やストレージ領域の容量を削減することができる。
≪異常検知処理≫
次に、検知モデルに基づいて異常クラスタを特定(検知)した後に、当該異常クラスタに属する異常端末70を特定する処理について、図13を参照しながら説明する。図13は、本発明の実施の形態における異常検知処理の一例を示すシーケンス図である。
まず、異常検知用ストレージ装置33の通信部331は、トラヒック情報収集装置20に対して、クラスタ単位のトラヒック情報のリクエストを送信する(ステップS301)。異常検知用ストレージ装置33は、クラスタ情報テーブル334Tを参照することで、クラスタ単位のトラヒック情報のリクエストを送信することができる。
以降では、一例として、クラスタAのトラヒック情報のリクエストを送信したものとして説明する。
ここで、以降のステップS302におけるトラヒック情報のリクエストは、設定情報の「データ取得の間隔」で設定された時間毎に実行される。したがって、以降のステップS302〜ステップS313の処理は、当該時間毎に繰り返し実行される。
トラヒック情報収集装置20は、異常検知用ストレージ装置33からクラスタAのトラヒック情報のリクエストを受信すると、クラスタAに属するIoT端末70のトラヒック情報のリクエストを転送装置10に送信する(ステップS302)。なお、当該リクエストには、クラスタAに属するIoT端末70のIPアドレスが含まれる。
転送装置10は、当該リクエストに応じて、自身がパケットを転送する各IoT端末70のうち、クラスタAに属するIoT端末70のトラヒック情報をトラヒック情報収集装置20に送信する(ステップS303)。
トラヒック情報収集装置20は、転送装置10からクラスタAに属するIoT端末70のトラヒック情報を受信すると、当該トラヒック情報を異常検知装置32に送信する(ステップS304)。なお、トラヒック情報収集装置20は、DNSサーバ40やDHCPサーバ50からクラスタAに属するIoT端末70のトラヒック情報を収集して、異常検知装置32に送信しても良い。
異常検知装置32の特徴量生成部322は、通信部321によりクラスタAに属するIoT端末70のトラヒック情報を受信すると、クラスタAのクラスタ特徴量を生成する(ステップS305)。特徴量生成部322は、クラスタAに属するIoT端末70の特徴量を生成した上で、これら特徴量の平均値又は中央値を算出することで、当該平均値又は中央値をクラスタ特徴量とすれば良い。なお、特徴量生成部322は、学習装置31の特徴量生成部312と同様のクラスタ特徴量を生成する。
次に、異常検知装置32の通信部321は、クラスタAの検知モデルのパラメータ値のリクエストを異常検知用ストレージ装置33に送信する(ステップS306)。
異常検知用ストレージ装置33の通信部331は、当該リクエストを受信すると、情報管理部332によりクラスタAの検知モデルのパラメータ値を検知モデル情報テーブル336Tから取得して、異常検知装置32に送信する(ステップS307)。
異常検知装置32の異常検知部323は、上記のステップS305で生成されたクラスタ特徴量と、異常検知用ストレージ装置33から受信した検知モデルのパラメータ値とに基づいて、クラスタAの異常判定を行う(ステップS308)。すなわち、異常検知部323は、クラスタ特徴量と、検知モデルのパラメータとを用いて、異常検知アルゴリズムによりクラスタAが異常クラスタであるか否かを判定する。これにより、異常クラスタが特定(検知)される。
上記のステップS308において、クラスタAが異常クラスタであると判定されなかった場合(すなわち、クラスタAに異常端末70が含まれない場合)、以降のステップS309〜ステップS313の処理は実行されない。一方で、上記のステップS308において、クラスタAが異常クラスタであると判定された場合(すなわち、クラスタAに異常端末70が含まれる場合)、以降のステップS309〜ステップS313の処理が実行される。
異常検知装置32の通信部321は、異常クラスタのクラスタID(本実施形態では、一例として、クラスタA)を異常検知用ストレージ装置33に送信する(ステップS309)。
異常検知用ストレージ装置33の通信部331は、情報管理部332によりクラスタ情報テーブル334Tを参照して、クラスタID「クラスタA」に関連付けられているIPアドレスをセキュリティ装置60に送信する(ステップS310)。すなわち、通信部331は、異常クラスタと判定されたクラスタAに属するIoT端末70のIPアドレスをセキュリティ装置60に送信する。
セキュリティ装置60は、異常クラスタであるクラスタAに属するIoT端末70のトラヒック情報のリクエストを転送装置10に送信する(ステップS311)。なお、当該リクエストには、異常クラスタと判定されたクラスタAに属するIoT端末70のIPアドレスが含まれる。
転送装置10は、当該リクエストに応じて、自身がパケットを転送する各IoT端末70のうち、異常クラスタと判定されたクラスタAに属するIoT端末70のトラヒック情報をセキュリティ装置60に送信する(ステップS312)。
セキュリティ装置60は、クラスタAに属するIoT端末70のトラヒック情報を受信すると、当該トラヒック情報に基づいて詳細な異常判定を行って、これら各IoT端末70のうち、マルウェアに感染しているIoT端末70を特定する(ステップS313)。なお、セキュリティ装置60は、上述したように、例えば、IPSやサンドボックス、DPI等により、異常クラスタに属する各IoT端末70の中から、マルウェアに感染しているIoT端末70を特定する。
以上により、あるクラスタに属するIoT端末70がマルウェアに感染した場合、異常検知装置32は、各クラスタの中から異常クラスタを特定することができる。このように、クラスタ単位で異常検知を行うことで、例えば、ある同一のメーカの商業用センサ(IoT端末70の一例)に脆弱性が存在し、集団感染が行った場合、これら商業用センサが属するクラスタを異常クラスタとして検知することができる。
本発明は、具体的に開示された上記の実施形態に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。
10 転送装置
20 トラヒック情報収集装置
30 異常検知システム
31 学習装置
32 異常検知装置
33 異常検知用ストレージ装置
40 DNSサーバ
50 DHCPサーバ
60 セキュリティ装置
70 IoT端末
311 通信部
312 特徴量生成部
313 クラスタリング部
314 検知モデル作成部
321 通信部
322 特徴量生成部
323 異常検知部
331 通信部
332 情報管理部
333 アドレス情報テーブル記憶部
334 クラスタ情報テーブル記憶部
335 学習情報テーブル記憶部
336 検知モデル情報テーブル記憶部
337 設定情報テーブル記憶部

Claims (4)

  1. 複数の端末と接続される異常検知システムであって、
    前記複数の端末を1以上のクラスタに分類するクラスタリング部と、
    前記クラスタリング部により分類されたクラスタ毎に、異常な端末が前記クラスタに属することを検知するための検知モデルを作成する検知モデル作成部と、
    前記複数の端末のうち、前記クラスタに属する各端末のトラヒック情報に基づいて、該クラスタの特徴量を示すクラスタ特徴量を生成する第1の特徴量生成部と、
    前記検知モデル作成部により作成された前記検知モデルと、前記第1の特徴量生成部により生成された前記クラスタ特徴量とに基づいて、異常な端末が前記クラスタに属することを検知する異常検知部と、
    を有する異常検知システム。
  2. 前記第1の特徴量生成部は、
    前記クラスタに属する各端末のトラヒック情報に含まれる所定の通信特性の平均値又は中央値を前記クラスタ特徴量として生成する、請求項1に記載の異常検知システム。
  3. 前記複数の端末それぞれの所定の通信特性を示す端末特徴量を生成する第2の特徴量生成部を有し、
    前記クラスタリング部は、
    前記複数の端末それぞれの前記端末特徴量に基づいて、前記複数の端末を1以上のクラスタに分類する、請求項1又は2に記載の異常検知システム。
  4. 複数の端末と接続される異常検知システムに用いられる異常検知方法であって、
    前記複数の端末を1以上のクラスタに分類するクラスタリング手順と、
    前記クラスタリング手順により分類されたクラスタ毎に、異常な端末が前記クラスタに属することを検知するための検知モデルを作成する検知モデル作成手順と、
    前記複数の端末のうち、前記クラスタに属する各端末のトラヒック情報に基づいて、該クラスタの特徴量を示すクラスタ特徴量を生成する特徴量生成手順と、
    前記検知モデル作成手順により作成された前記検知モデルと、前記特徴量生成手順により生成された前記クラスタ特徴量とに基づいて、異常な端末が前記クラスタに属することを検知する異常検知手順と、
    を有する異常検知方法。
JP2017027335A 2017-02-16 2017-02-16 異常検知システム及び異常検知方法 Active JP6770454B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017027335A JP6770454B2 (ja) 2017-02-16 2017-02-16 異常検知システム及び異常検知方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017027335A JP6770454B2 (ja) 2017-02-16 2017-02-16 異常検知システム及び異常検知方法

Publications (2)

Publication Number Publication Date
JP2018133004A true JP2018133004A (ja) 2018-08-23
JP6770454B2 JP6770454B2 (ja) 2020-10-14

Family

ID=63248491

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017027335A Active JP6770454B2 (ja) 2017-02-16 2017-02-16 異常検知システム及び異常検知方法

Country Status (1)

Country Link
JP (1) JP6770454B2 (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110113207A (zh) * 2019-05-08 2019-08-09 广州创想云科技有限公司 一种基于物联网的协议更新方法、装置、设备和存储介质
CN113612657A (zh) * 2021-07-31 2021-11-05 南京云利来软件科技有限公司 一种异常http连接的检测方法
JP2021185449A (ja) * 2020-05-25 2021-12-09 富士フイルムビジネスイノベーション株式会社 情報処理装置及び情報処理プログラム
JP2021189658A (ja) * 2020-05-28 2021-12-13 富士フイルムビジネスイノベーション株式会社 情報処理装置及び情報処理プログラム
US11245712B2 (en) 2018-11-28 2022-02-08 Korea Internet & Security Agency Method and apparatus for generating virtual malicious traffic template for terminal group including device infected with malicious code
KR20220154510A (ko) * 2021-05-13 2022-11-22 서울대학교산학협력단 비정상 단말을 포함하는 무선 분산 학습 시스템 및 그의 동작 방법
US11729135B2 (en) 2020-05-29 2023-08-15 Fujifilm Business Innovation Corp. Information processing apparatus and non-transitory computer readable medium for detecting unauthorized access

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007334402A (ja) * 2006-06-12 2007-12-27 Hitachi Ltd クラスタリングされたベクトルデータを検索するサーバ、システム及び方法
JP5009244B2 (ja) * 2008-07-07 2012-08-22 日本電信電話株式会社 マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム
US20120304288A1 (en) * 2011-05-26 2012-11-29 Jeremy Wright Modeling and Outlier Detection in Threat Management System Data
JP2013127504A (ja) * 2011-12-16 2013-06-27 Osaka City Univ トラヒック監視装置
JP2013182340A (ja) * 2012-02-29 2013-09-12 Sogo Keibi Hosho Co Ltd 特異データ検出装置および特異データ検出方法
JP2015069227A (ja) * 2013-09-26 2015-04-13 株式会社Kddi研究所 認証サーバ、認証方法及び認証プログラム
WO2015141560A1 (ja) * 2014-03-19 2015-09-24 日本電信電話株式会社 トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム
US20160078347A1 (en) * 2014-09-11 2016-03-17 Qualcomm Incorporated Methods and Systems for Aggregated Multi-Application Behavioral Analysis of Mobile Device Behaviors
JP2016091549A (ja) * 2014-10-31 2016-05-23 ベリサイン・インコーポレイテッド マルウェアイベントとバックグラウンドイベントとを分離するためのシステム、デバイス、および方法
JP2017037382A (ja) * 2015-08-07 2017-02-16 三菱電機インフォメーションシステムズ株式会社 異常ベクトル検出装置および異常ベクトル検出プログラム

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007334402A (ja) * 2006-06-12 2007-12-27 Hitachi Ltd クラスタリングされたベクトルデータを検索するサーバ、システム及び方法
JP5009244B2 (ja) * 2008-07-07 2012-08-22 日本電信電話株式会社 マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム
US20120304288A1 (en) * 2011-05-26 2012-11-29 Jeremy Wright Modeling and Outlier Detection in Threat Management System Data
JP2013127504A (ja) * 2011-12-16 2013-06-27 Osaka City Univ トラヒック監視装置
JP2013182340A (ja) * 2012-02-29 2013-09-12 Sogo Keibi Hosho Co Ltd 特異データ検出装置および特異データ検出方法
JP2015069227A (ja) * 2013-09-26 2015-04-13 株式会社Kddi研究所 認証サーバ、認証方法及び認証プログラム
WO2015141560A1 (ja) * 2014-03-19 2015-09-24 日本電信電話株式会社 トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム
US20160078347A1 (en) * 2014-09-11 2016-03-17 Qualcomm Incorporated Methods and Systems for Aggregated Multi-Application Behavioral Analysis of Mobile Device Behaviors
JP2017536594A (ja) * 2014-09-11 2017-12-07 クアルコム,インコーポレイテッド モバイルデバイス挙動のアグリゲートマルチアプリケーション挙動分析のための方法およびシステム
JP2016091549A (ja) * 2014-10-31 2016-05-23 ベリサイン・インコーポレイテッド マルウェアイベントとバックグラウンドイベントとを分離するためのシステム、デバイス、および方法
JP2017037382A (ja) * 2015-08-07 2017-02-16 三菱電機インフォメーションシステムズ株式会社 異常ベクトル検出装置および異常ベクトル検出プログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
高原尚志: "Random ForestsとK-Means法によるハイブリッド式アノマリ検知方式", COMPUTER SECURITY SYMPOSIUM 2016 論文集, JPN6020006231, 4 October 2016 (2016-10-04), JP, pages 1019 - 1026, ISSN: 0004217404 *

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11245712B2 (en) 2018-11-28 2022-02-08 Korea Internet & Security Agency Method and apparatus for generating virtual malicious traffic template for terminal group including device infected with malicious code
CN110113207A (zh) * 2019-05-08 2019-08-09 广州创想云科技有限公司 一种基于物联网的协议更新方法、装置、设备和存储介质
JP2021185449A (ja) * 2020-05-25 2021-12-09 富士フイルムビジネスイノベーション株式会社 情報処理装置及び情報処理プログラム
JP7413924B2 (ja) 2020-05-25 2024-01-16 富士フイルムビジネスイノベーション株式会社 情報処理装置及び情報処理プログラム
JP2021189658A (ja) * 2020-05-28 2021-12-13 富士フイルムビジネスイノベーション株式会社 情報処理装置及び情報処理プログラム
US11729135B2 (en) 2020-05-29 2023-08-15 Fujifilm Business Innovation Corp. Information processing apparatus and non-transitory computer readable medium for detecting unauthorized access
KR20220154510A (ko) * 2021-05-13 2022-11-22 서울대학교산학협력단 비정상 단말을 포함하는 무선 분산 학습 시스템 및 그의 동작 방법
KR102476700B1 (ko) 2021-05-13 2022-12-12 서울대학교산학협력단 비정상 단말을 포함하는 무선 분산 학습 시스템 및 그의 동작 방법
US11659437B2 (en) 2021-05-13 2023-05-23 Seoul National University R&Db Foundation Wireless distributed learning system including abnormal terminal and method of operation thereof
CN113612657A (zh) * 2021-07-31 2021-11-05 南京云利来软件科技有限公司 一种异常http连接的检测方法

Also Published As

Publication number Publication date
JP6770454B2 (ja) 2020-10-14

Similar Documents

Publication Publication Date Title
JP6770454B2 (ja) 異常検知システム及び異常検知方法
Perdisci et al. Iotfinder: Efficient large-scale identification of iot devices via passive dns traffic analysis
US10574695B2 (en) Gateway apparatus, detecting method of malicious domain and hacked host thereof, and non-transitory computer readable medium
CN108886483B (zh) 用于自动装置检测的系统及方法
US10713586B2 (en) System and method for high speed threat intelligence management using unsupervised machine learning and prioritization algorithms
US10581880B2 (en) System and method for generating rules for attack detection feedback system
US20190089725A1 (en) Deep Architecture for Learning Threat Characterization
US20200403991A1 (en) Security for network environment using trust scoring based on power consumption of devices within network
US11258812B2 (en) Automatic characterization of malicious data flows
US20190238576A1 (en) Identification of malicious domain campaigns using unsupervised clustering
US20180004958A1 (en) Computer attack model management
US10623289B1 (en) Systems and methods for detecting nonfunctional endpoint devices
US20210288976A1 (en) Methods and apparatus to analyze network traffic for malicious activity
US11496394B2 (en) Internet of things (IoT) device identification on corporate networks via adaptive feature set to balance computational complexity and model bias
Chhabra et al. Hadoop‐based analytic framework for cyber forensics
EP3647982B1 (en) Cyber attack evaluation method and cyber attack evaluation device
WO2021018440A1 (en) METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF
US11870693B2 (en) Kernel space based capture using intelligent packet selection paradigm and event output storage determination methodology
JPWO2020031822A1 (ja) 通信装置、通信方法、及び、通信プログラム
WO2020170911A1 (ja) 推定装置、推定方法及びプログラム
EP3848822B1 (en) Data classification device, data classification method, and data classification program
JP6813451B2 (ja) 異常検知システム及び異常検知方法
JP6930663B2 (ja) デバイス識別装置およびデバイス識別方法
JP2018516398A (ja) 通信におけるデータ検出の最適化
JP7176630B2 (ja) 検知装置、検知方法および検知プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190304

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200129

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200225

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200427

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200923

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200925

R150 Certificate of patent or registration of utility model

Ref document number: 6770454

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150