JP2018133004A - 異常検知システム及び異常検知方法 - Google Patents
異常検知システム及び異常検知方法 Download PDFInfo
- Publication number
- JP2018133004A JP2018133004A JP2017027335A JP2017027335A JP2018133004A JP 2018133004 A JP2018133004 A JP 2018133004A JP 2017027335 A JP2017027335 A JP 2017027335A JP 2017027335 A JP2017027335 A JP 2017027335A JP 2018133004 A JP2018133004 A JP 2018133004A
- Authority
- JP
- Japan
- Prior art keywords
- cluster
- abnormality detection
- terminals
- detection model
- traffic information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
Description
まず、本発明の実施の形態におけるシステムの全体構成例について、図1を参照しながら説明する。図1は、本発明の実施の形態におけるシステムの全体構成の一例を示す図である。
次に、トラヒック情報収集装置20、学習装置31、異常検知装置32、及び異常検知用ストレージ装置33等を実現するコンピュータ100のハードウェア構成について、図2を参照しながら説明する。図2は、コンピュータ100のハードウェア構成の一例を示す図である。
次に、異常検知システム30に含まれる学習装置31、異常検知装置32、及び異常検知用ストレージ装置33の機能構成について説明する。
まず、学習装置31の機能構成について、図3を参照しながら説明する。図3は、本発明の実施の形態における学習装置31の機能構成の一例を示す図である。
次に、異常検知装置32の機能構成について、図4を参照しながら説明する。図4は、本発明の実施の形態における異常検知装置32の機能構成の一例を示す図である。
次に、異常検知用ストレージ装置33の機能構成について、図5を参照しながら説明する。図5は、本発明の実施の形態における異常検知用ストレージ装置33の機能構成の一例を示す図である。
次に、本発明の実施の形態におけるシステムの処理の詳細について説明する。
まず、各IoT端末70を複数のクラスタに分類(クラスタリング)する処理について、図11を参照しながら説明する。図11は、本発明の実施の形態におけるクラスタリング処理の一例を示すシーケンス図である。図11に示すクラスタリング処理は、例えば、システム環境Eのシステム管理者等の操作に応じて実行されても良いし、予め決められた所定の時間に実行されても良い。また、図11に示すクラスタリング処理が実行されて各IoT端末70がクラスタリングされた場合であっても、例えば、IoT端末70の増減等に応じて再度実行されても良い。
次に、クラスタ毎に検知モデルを作成する処理について、図12を参照しながら説明する。図12は、本発明の実施の形態における検知モデルの作成処理の一例を示すシーケンス図である。図12に示す検知モデルの作成処理は、設定情報に含まれる「検知モデルの更新間隔」に設定された時間毎に実行される。
次に、検知モデルに基づいて異常クラスタを特定(検知)した後に、当該異常クラスタに属する異常端末70を特定する処理について、図13を参照しながら説明する。図13は、本発明の実施の形態における異常検知処理の一例を示すシーケンス図である。
20 トラヒック情報収集装置
30 異常検知システム
31 学習装置
32 異常検知装置
33 異常検知用ストレージ装置
40 DNSサーバ
50 DHCPサーバ
60 セキュリティ装置
70 IoT端末
311 通信部
312 特徴量生成部
313 クラスタリング部
314 検知モデル作成部
321 通信部
322 特徴量生成部
323 異常検知部
331 通信部
332 情報管理部
333 アドレス情報テーブル記憶部
334 クラスタ情報テーブル記憶部
335 学習情報テーブル記憶部
336 検知モデル情報テーブル記憶部
337 設定情報テーブル記憶部
Claims (4)
- 複数の端末と接続される異常検知システムであって、
前記複数の端末を1以上のクラスタに分類するクラスタリング部と、
前記クラスタリング部により分類されたクラスタ毎に、異常な端末が前記クラスタに属することを検知するための検知モデルを作成する検知モデル作成部と、
前記複数の端末のうち、前記クラスタに属する各端末のトラヒック情報に基づいて、該クラスタの特徴量を示すクラスタ特徴量を生成する第1の特徴量生成部と、
前記検知モデル作成部により作成された前記検知モデルと、前記第1の特徴量生成部により生成された前記クラスタ特徴量とに基づいて、異常な端末が前記クラスタに属することを検知する異常検知部と、
を有する異常検知システム。 - 前記第1の特徴量生成部は、
前記クラスタに属する各端末のトラヒック情報に含まれる所定の通信特性の平均値又は中央値を前記クラスタ特徴量として生成する、請求項1に記載の異常検知システム。 - 前記複数の端末それぞれの所定の通信特性を示す端末特徴量を生成する第2の特徴量生成部を有し、
前記クラスタリング部は、
前記複数の端末それぞれの前記端末特徴量に基づいて、前記複数の端末を1以上のクラスタに分類する、請求項1又は2に記載の異常検知システム。 - 複数の端末と接続される異常検知システムに用いられる異常検知方法であって、
前記複数の端末を1以上のクラスタに分類するクラスタリング手順と、
前記クラスタリング手順により分類されたクラスタ毎に、異常な端末が前記クラスタに属することを検知するための検知モデルを作成する検知モデル作成手順と、
前記複数の端末のうち、前記クラスタに属する各端末のトラヒック情報に基づいて、該クラスタの特徴量を示すクラスタ特徴量を生成する特徴量生成手順と、
前記検知モデル作成手順により作成された前記検知モデルと、前記特徴量生成手順により生成された前記クラスタ特徴量とに基づいて、異常な端末が前記クラスタに属することを検知する異常検知手順と、
を有する異常検知方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017027335A JP6770454B2 (ja) | 2017-02-16 | 2017-02-16 | 異常検知システム及び異常検知方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017027335A JP6770454B2 (ja) | 2017-02-16 | 2017-02-16 | 異常検知システム及び異常検知方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018133004A true JP2018133004A (ja) | 2018-08-23 |
JP6770454B2 JP6770454B2 (ja) | 2020-10-14 |
Family
ID=63248491
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017027335A Active JP6770454B2 (ja) | 2017-02-16 | 2017-02-16 | 異常検知システム及び異常検知方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6770454B2 (ja) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110113207A (zh) * | 2019-05-08 | 2019-08-09 | 广州创想云科技有限公司 | 一种基于物联网的协议更新方法、装置、设备和存储介质 |
CN113612657A (zh) * | 2021-07-31 | 2021-11-05 | 南京云利来软件科技有限公司 | 一种异常http连接的检测方法 |
JP2021185449A (ja) * | 2020-05-25 | 2021-12-09 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及び情報処理プログラム |
JP2021189658A (ja) * | 2020-05-28 | 2021-12-13 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及び情報処理プログラム |
US11245712B2 (en) | 2018-11-28 | 2022-02-08 | Korea Internet & Security Agency | Method and apparatus for generating virtual malicious traffic template for terminal group including device infected with malicious code |
KR20220154510A (ko) * | 2021-05-13 | 2022-11-22 | 서울대학교산학협력단 | 비정상 단말을 포함하는 무선 분산 학습 시스템 및 그의 동작 방법 |
US11729135B2 (en) | 2020-05-29 | 2023-08-15 | Fujifilm Business Innovation Corp. | Information processing apparatus and non-transitory computer readable medium for detecting unauthorized access |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007334402A (ja) * | 2006-06-12 | 2007-12-27 | Hitachi Ltd | クラスタリングされたベクトルデータを検索するサーバ、システム及び方法 |
JP5009244B2 (ja) * | 2008-07-07 | 2012-08-22 | 日本電信電話株式会社 | マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム |
US20120304288A1 (en) * | 2011-05-26 | 2012-11-29 | Jeremy Wright | Modeling and Outlier Detection in Threat Management System Data |
JP2013127504A (ja) * | 2011-12-16 | 2013-06-27 | Osaka City Univ | トラヒック監視装置 |
JP2013182340A (ja) * | 2012-02-29 | 2013-09-12 | Sogo Keibi Hosho Co Ltd | 特異データ検出装置および特異データ検出方法 |
JP2015069227A (ja) * | 2013-09-26 | 2015-04-13 | 株式会社Kddi研究所 | 認証サーバ、認証方法及び認証プログラム |
WO2015141560A1 (ja) * | 2014-03-19 | 2015-09-24 | 日本電信電話株式会社 | トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム |
US20160078347A1 (en) * | 2014-09-11 | 2016-03-17 | Qualcomm Incorporated | Methods and Systems for Aggregated Multi-Application Behavioral Analysis of Mobile Device Behaviors |
JP2016091549A (ja) * | 2014-10-31 | 2016-05-23 | ベリサイン・インコーポレイテッド | マルウェアイベントとバックグラウンドイベントとを分離するためのシステム、デバイス、および方法 |
JP2017037382A (ja) * | 2015-08-07 | 2017-02-16 | 三菱電機インフォメーションシステムズ株式会社 | 異常ベクトル検出装置および異常ベクトル検出プログラム |
-
2017
- 2017-02-16 JP JP2017027335A patent/JP6770454B2/ja active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007334402A (ja) * | 2006-06-12 | 2007-12-27 | Hitachi Ltd | クラスタリングされたベクトルデータを検索するサーバ、システム及び方法 |
JP5009244B2 (ja) * | 2008-07-07 | 2012-08-22 | 日本電信電話株式会社 | マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム |
US20120304288A1 (en) * | 2011-05-26 | 2012-11-29 | Jeremy Wright | Modeling and Outlier Detection in Threat Management System Data |
JP2013127504A (ja) * | 2011-12-16 | 2013-06-27 | Osaka City Univ | トラヒック監視装置 |
JP2013182340A (ja) * | 2012-02-29 | 2013-09-12 | Sogo Keibi Hosho Co Ltd | 特異データ検出装置および特異データ検出方法 |
JP2015069227A (ja) * | 2013-09-26 | 2015-04-13 | 株式会社Kddi研究所 | 認証サーバ、認証方法及び認証プログラム |
WO2015141560A1 (ja) * | 2014-03-19 | 2015-09-24 | 日本電信電話株式会社 | トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム |
US20160078347A1 (en) * | 2014-09-11 | 2016-03-17 | Qualcomm Incorporated | Methods and Systems for Aggregated Multi-Application Behavioral Analysis of Mobile Device Behaviors |
JP2017536594A (ja) * | 2014-09-11 | 2017-12-07 | クアルコム,インコーポレイテッド | モバイルデバイス挙動のアグリゲートマルチアプリケーション挙動分析のための方法およびシステム |
JP2016091549A (ja) * | 2014-10-31 | 2016-05-23 | ベリサイン・インコーポレイテッド | マルウェアイベントとバックグラウンドイベントとを分離するためのシステム、デバイス、および方法 |
JP2017037382A (ja) * | 2015-08-07 | 2017-02-16 | 三菱電機インフォメーションシステムズ株式会社 | 異常ベクトル検出装置および異常ベクトル検出プログラム |
Non-Patent Citations (1)
Title |
---|
高原尚志: "Random ForestsとK-Means法によるハイブリッド式アノマリ検知方式", COMPUTER SECURITY SYMPOSIUM 2016 論文集, JPN6020006231, 4 October 2016 (2016-10-04), JP, pages 1019 - 1026, ISSN: 0004217404 * |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11245712B2 (en) | 2018-11-28 | 2022-02-08 | Korea Internet & Security Agency | Method and apparatus for generating virtual malicious traffic template for terminal group including device infected with malicious code |
CN110113207A (zh) * | 2019-05-08 | 2019-08-09 | 广州创想云科技有限公司 | 一种基于物联网的协议更新方法、装置、设备和存储介质 |
JP2021185449A (ja) * | 2020-05-25 | 2021-12-09 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及び情報処理プログラム |
JP7413924B2 (ja) | 2020-05-25 | 2024-01-16 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及び情報処理プログラム |
JP2021189658A (ja) * | 2020-05-28 | 2021-12-13 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及び情報処理プログラム |
US11729135B2 (en) | 2020-05-29 | 2023-08-15 | Fujifilm Business Innovation Corp. | Information processing apparatus and non-transitory computer readable medium for detecting unauthorized access |
KR20220154510A (ko) * | 2021-05-13 | 2022-11-22 | 서울대학교산학협력단 | 비정상 단말을 포함하는 무선 분산 학습 시스템 및 그의 동작 방법 |
KR102476700B1 (ko) | 2021-05-13 | 2022-12-12 | 서울대학교산학협력단 | 비정상 단말을 포함하는 무선 분산 학습 시스템 및 그의 동작 방법 |
US11659437B2 (en) | 2021-05-13 | 2023-05-23 | Seoul National University R&Db Foundation | Wireless distributed learning system including abnormal terminal and method of operation thereof |
CN113612657A (zh) * | 2021-07-31 | 2021-11-05 | 南京云利来软件科技有限公司 | 一种异常http连接的检测方法 |
Also Published As
Publication number | Publication date |
---|---|
JP6770454B2 (ja) | 2020-10-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6770454B2 (ja) | 異常検知システム及び異常検知方法 | |
Perdisci et al. | Iotfinder: Efficient large-scale identification of iot devices via passive dns traffic analysis | |
US10574695B2 (en) | Gateway apparatus, detecting method of malicious domain and hacked host thereof, and non-transitory computer readable medium | |
CN108886483B (zh) | 用于自动装置检测的系统及方法 | |
US10713586B2 (en) | System and method for high speed threat intelligence management using unsupervised machine learning and prioritization algorithms | |
US10581880B2 (en) | System and method for generating rules for attack detection feedback system | |
US20190089725A1 (en) | Deep Architecture for Learning Threat Characterization | |
US20200403991A1 (en) | Security for network environment using trust scoring based on power consumption of devices within network | |
US11258812B2 (en) | Automatic characterization of malicious data flows | |
US20190238576A1 (en) | Identification of malicious domain campaigns using unsupervised clustering | |
US20180004958A1 (en) | Computer attack model management | |
US10623289B1 (en) | Systems and methods for detecting nonfunctional endpoint devices | |
US20210288976A1 (en) | Methods and apparatus to analyze network traffic for malicious activity | |
US11496394B2 (en) | Internet of things (IoT) device identification on corporate networks via adaptive feature set to balance computational complexity and model bias | |
Chhabra et al. | Hadoop‐based analytic framework for cyber forensics | |
EP3647982B1 (en) | Cyber attack evaluation method and cyber attack evaluation device | |
WO2021018440A1 (en) | METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF | |
US11870693B2 (en) | Kernel space based capture using intelligent packet selection paradigm and event output storage determination methodology | |
JPWO2020031822A1 (ja) | 通信装置、通信方法、及び、通信プログラム | |
WO2020170911A1 (ja) | 推定装置、推定方法及びプログラム | |
EP3848822B1 (en) | Data classification device, data classification method, and data classification program | |
JP6813451B2 (ja) | 異常検知システム及び異常検知方法 | |
JP6930663B2 (ja) | デバイス識別装置およびデバイス識別方法 | |
JP2018516398A (ja) | 通信におけるデータ検出の最適化 | |
JP7176630B2 (ja) | 検知装置、検知方法および検知プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190304 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200129 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200225 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200427 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200923 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200925 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6770454 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |