JP2019004419A - Network monitoring device, and system and method therefor - Google Patents
Network monitoring device, and system and method therefor Download PDFInfo
- Publication number
- JP2019004419A JP2019004419A JP2017119715A JP2017119715A JP2019004419A JP 2019004419 A JP2019004419 A JP 2019004419A JP 2017119715 A JP2017119715 A JP 2017119715A JP 2017119715 A JP2017119715 A JP 2017119715A JP 2019004419 A JP2019004419 A JP 2019004419A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- monitoring
- network
- model
- feature amount
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、機器同士がネットワークに接続されたシステムにおいて、ネットワーク上を流れるパケットの解析に基づき通信の特徴量を抽出し、その変化を監視する技術に関する。 The present invention relates to a technique for extracting a feature amount of communication based on analysis of a packet flowing on a network and monitoring the change in a system in which devices are connected to the network.
従来、特許文献1に示すように、機器の認証に関わるパケットを解析し、1または複数の認証に関わる不審挙動の条件を満たすかどうかを監視するネットワーク監視技術が知られている。本先行技術は、複数の前記不審挙動の条件を監視することで、不正アクセスが発生しているか否かの判定精度を向上させる技術である。
Conventionally, as shown in
従来技術では、(1)モデルの監視観点を増やすほどモデルから外れた通信挙動の有無を監視するための処理量が増加することと、(2)どの監視観点がモデルとして適切か、つまりモデル化される通常時の通信と、監視対象となる異常発生時の通信に違いが出るか、がモデル作成時点で不明な場合があるという課題がある。 In the prior art, (1) the more monitoring viewpoints of the model, the greater the amount of processing for monitoring the presence or absence of communication behavior that deviates from the model, and (2) which monitoring viewpoint is appropriate as a model, that is, modeling There is a problem that it may be unknown at the time of model creation whether there is a difference between the normal communication and the communication at the time of occurrence of an abnormality to be monitored.
本発明の目的は、機器同士がネットワークに接続されたシステムにおいて、不正アクセス等に基づくネットワーク上の不審な通信を早期に検出することにある。 An object of the present invention is to early detect suspicious communication on a network based on unauthorized access or the like in a system in which devices are connected to a network.
上記課題を解決するため、本発明は、好ましい一例として、ネットワークを流れるパケットを監視するネットワーク監視装置であって、処理部と、インターフェースとを有し、インターフェースは、前記ネットワークのパケットをキャプチャするパケットキャプチャ部を有し、前記処理部は、学習期間及び監視期間において、キャプチャしたパケットからパケット特徴量を複数の監視観点で抽出し、前記学習期間において、複数の監視観点で抽出した前記パケット特徴量に対して定常性の判定をし、定常性があると判定した前記監視観点についてのモデルの作成をし、前記学習期間に定常性があるとした前記監視観点について、前記監視期間において抽出した前記パケット特徴量と、前記モデルとを比較して異常通信有無を判定する。 In order to solve the above problems, the present invention is a network monitoring apparatus that monitors a packet flowing through a network as a preferred example, and includes a processing unit and an interface, and the interface captures a packet of the network. A capture unit, wherein the processing unit extracts a packet feature amount from the captured packet in a plurality of monitoring viewpoints in a learning period and a monitoring period, and extracts the packet feature amount in a plurality of monitoring viewpoints in the learning period For the monitoring viewpoint that is determined to be stationary, the model is created for the monitoring viewpoint that is determined to be stationary, and the monitoring viewpoint that is assumed to be stationary in the learning period is extracted in the monitoring period The presence / absence of abnormal communication is determined by comparing the packet feature quantity with the model.
本発明によれば、機器同士がネットワークに接続されたシステムにおいて、不正アクセス等に基づくネットワーク上の不審な通信を早期に検出できる。 According to the present invention, in a system in which devices are connected to a network, suspicious communication on the network based on unauthorized access or the like can be detected at an early stage.
図1は、一実施例であるシステム構成を示す図である。本実施例では、ネットワーク監視装置104と、104の監視対象となる通信機能を有する機器101−1および101−2があり、機器101−1および機器101−2の間でシステム動作に必要な通信が為されている。機器間の通信を媒介するのは、ネットワークスイッチ103である。各監視対象の機器101及び本実施例によるネットワーク監視装置104は、ネットワークスイッチ103のインターフェースである入出力ポート102−1、102−2、102−3にそれぞれ通信ケーブルを通して接続されている。
FIG. 1 is a diagram illustrating a system configuration according to an embodiment. In the present embodiment, there are the
ネットワーク監視装置104は、システム内のパケットをパッシブに監視するため、ネットワークスイッチ103の入出力ポート102−3に対し、入出力ポート102−1および入出力ポート102−2で送受信されるパケットをミラーリングすることが望ましい。
The
図2は、一実施例であるネットワーク監視装置104を示す図である。このネットワーク監視装置104でモデル作成と通信監視を行うため、装置全体としてモデル作成モードと、通信監視モードの2つのモードを有する。
FIG. 2 is a diagram illustrating the
111はパケットキャプチャ部である。図1の入出力ポート102−3を介してミラーリング出力されたネットワーク上のパケットをキャプチャし、次のブロックが処理するまで一時的にバッファに蓄積するブロックである。111でキャプチャしたパケットを基に、モデルの作成や通信監視に活用するため、モデル作成モードと通信監視モードの両モードで動作する。
112はパケット分類部である。パケットキャプチャ部111に一時的に蓄積されたパケットを、IPアドレスとポート番号の組合せ(Source IPアドレス、Destination IPアドレス、Source Port番号、Destination Port番号)で分類し、分類毎にパケットキューに蓄積する。この分類は、通信する機器(ハードウェア)および機器上で動作するアプリケーション(ソフトウェア)の組合せの分類に相当し、その組合せ毎に通信の特徴が異なると考えられるため、本実施例ではモデル作成や通信監視を、この組合せ単位で実施することを想定する。モデル作成時と通信監視時で、パケット分類法を揃えるため、モデル作成時に適用したパケット分類法を分類法蓄積部121に記憶しておき、通信監視時に参照し、モデル作成時と同じ分類法でパケットを分類する。
113−1および113−2は、それぞれモデル作成時、通信監視時に使用するパケット特徴量抽出部である。特徴量抽出は、パケットの長さや通信継続時間など様々な監視観点に基づき実施される。接続先の機能ブロック(114と115)を明確に区別するため、パケット特徴量抽出部113−1と113−2を別の機能ブロックとして記載しているが、パケット分類部112がキューに蓄積した結果を入力し、パケット通信の特徴量を計算するという観点で、論理的には同一なものである。ただし、通信監視時は、定常性を有さない監視観点に関しては、特徴量の計算をスキップする。どのパケット分類、およびどの監視観点について特徴量の計算を行う、または計算をスキップするかの判断は、後述する監視観点選択蓄積部122に蓄積されたテーブルを参照して行う。
Reference numerals 113-1 and 113-2 denote packet feature amount extraction units used for model creation and communication monitoring, respectively. The feature amount extraction is performed based on various monitoring viewpoints such as a packet length and a communication duration time. In order to clearly distinguish the functional blocks (114 and 115) at the connection destination, the packet feature quantity extraction units 113-1 and 113-2 are described as separate functional blocks, but the
114は、モデル作成時に使用するパケット特徴量選択学習部である。パケット特徴量抽出部113−1で抽出された様々な監視観点に基づき得られたパケット特徴量を入力とし、各監視観点で定常性を有するかどうかの判断を行い、定常性を有する場合は通信監視時に特徴量計算やモデルとの照合を行い、定常性を有さない場合は通信監視時に特徴量計算やモデルとの照合を行わない、という制御を行うため、監視観点毎に通信監視等を行うか行わないかを示すイネーブラ1403を生成し、結果を監視観点選択蓄積部122に蓄積する。監視観点選択蓄積部122へ蓄積されたイネーブラ1403は、通信監視時のパケット特徴量抽出部113−2において特徴量の計算を行うかスキップするかどうかの判断、ならびに115においてモデルとの照合をスキップするかどうかの判断に使用される。
また、パケット特徴量選択学習部114は定常性を有すると判断された監視観点に関するモデルを作成し、モデル蓄積部123へ蓄積する。
Further, the packet feature quantity
115は、特徴量抽出部113−2による特徴量抽出結果とモデル蓄積部123に蓄積したモデルとの比較に基づき通信異常の発生有無を判断するパケット特徴量検証部115である。通信異常の発生を検出した場合、パケット特徴量検証部115は異常が発生したことを通知部116へ出力する。ここで、モデルとの比較を行うのは、モデル蓄積部123にてイネーブラ1403が立っているパケット分類と監視観点の組合せである。
116は異常通信検出時に、検出したことをシステム利用者に通知するための通知部であり、画面への標準出力やプリンタへの出力など、システム利用者に通知できれば何でもよい。
図3は、一実施例であるモデル作成時の動作シーケンスである。
パケットキャプチャ部111にパケットが到着する度にパケット分類部112が起動される。パケット分類部112はキャプチャしたパケットのヘッダを参照しながら、各パケットをIPアドレスとポート番号の組合せのいずれかに分類し、分類毎のパケットキューに蓄積する。パケット分類部112はモデル作成に使用するパケットのキャプチャ時間を管理しており、キャプチャ開始時間から必要時間経過後にパケットキャプチャを終了し、パケット特徴量抽出部113−1を起動する。この段階では、パケット分類毎のキュー各々に対し、1または複数のパケットが格納されている状態である。なお、パケット分類方法を蓄積する分類法蓄積部121は、パケットキャプチャ開始前は空であり、未知のIPアドレスとポート番号の組合せのパケットが検出されるたびに、当該IPアドレスとポート番号の組合せが追加される形で蓄積される。S1001は、以上の通りパケットの分類およびキューへの蓄積、キャプチャ時間の管理、および分類法蓄積部121のアップデートを担当する。
FIG. 3 is an operation sequence at the time of creating a model according to one embodiment.
Each time a packet arrives at the
パケット特徴量抽出部113−1は、パケット分類部112によってモデル作成に必要な期間のパケットキャプチャ完了後に起動され、全てのパケット分類および全ての監視観点に関して、パケットキュー内の全パケットに関する特徴量の計算が完了すると、パケット特徴量選択学習部114を起動する。S1002は、上記の特徴量計算を担当する。
The packet feature quantity extraction unit 113-1 is activated after the packet capture of the period necessary for model creation by the
パケット特徴量選択学習部114は、パケット特徴量抽出部113−1により特徴量計算が完了すると起動され、全てのパケット分類および全ての監視観点に関する特徴量が定常性を有するかどうかの判定を行い、その判定結果をイネーブラ1403として監視観点選択蓄積部122へ蓄積することと、上記判定結果が定常性ありの場合に、当該パケット分類および監視観点に関する特徴量からモデルを作成し、モデル蓄積部123へ蓄積する。S1003は、上記の定常性有無判定と、判定結果の蓄積、定常性を有するパケット分類および監視観点に関するモデルの作成および結果の蓄積を担当する。
The packet feature quantity
図4は、一実施例である通信監視時の動作シーケンスである。
パケットキャプチャ部111にパケットが到着する度にパケット分類部112が起動され、パケット分類部112はキャプチャしたパケットのヘッダを参照しながら、各パケットをIPアドレスとポート番号の組合せのいずれかに分類し、分類毎のパケットキューに蓄積する。パケットの分類方法は、分類法蓄積部121に蓄積されているモデル作成時の結果を参照する。ここで、モデル作成時と異なり、未知のIPアドレスとポート番号の組合せのパケットが検出されると、パケット分類部112はモデルとの照合を待たずに異常通信発生と見なし、通知部116へ通知を行う。パケット分類部112はモデル作成に使用するパケットのキャプチャ時間を管理しており、例えば1秒毎など定期的にパケット特徴量抽出部113−2を起動する。
FIG. 4 is an operation sequence during communication monitoring according to an embodiment.
Each time a packet arrives at the
短い時間間隔で定期的に起動することで、パケット解析のリアルタイム性を確保する。S1011は、パケットの分類およびキューへの蓄積、未知のIPアドレスとポート番号組合せ検出時の異常通信検知通知の発行、定期的な113−2の起動を担当する。 Real-time performance of packet analysis is ensured by starting periodically at short time intervals. S1011 is in charge of packet classification and storage in a queue, issuance of an abnormal communication detection notification upon detection of an unknown IP address and port number combination, and periodic startup of 113-2.
パケット特徴量抽出部113−2は、パケット分類部112によって定期的に起動され、パケット分類部112によって区切られた時間毎のパケット分類結果をパケットキューから取得する。取得した時間区切りごとのパケットを対象に、監視観点選択蓄積部122にてイネーブラ1403が立っているパケット分類および監視観点の組合せに関する特徴量計算を行い、該当する全ての特徴量計算が完了するとパケット特徴量検証部115を起動する。S1012は、特徴量計算がイネーブルされているパケット分類および監視観点の組合せに関する特徴量計算と、計算完了後のパケット特徴量検証部115起動を担当する。
The packet feature amount extraction unit 113-2 is periodically activated by the
パケット特徴量検証部115は、特徴量計算およびモデルとの照合がイネーブルされているパケット分類および監視観点の組合せに関して、計算された特徴量と、モデル蓄積部123に蓄積されているモデルとの照合を行い、前者がモデルから外れているか否かの判定を行い、モデルから外れていると判断された場合に異常通信発生と見なし、通知部116へ通知を行う。S1013は、計算された特徴量と作成されたモデルとの照合、特徴量がモデルから外れているかどうかの判定、外れている場合の異常通信発生通知を担当する。
The packet feature
通知部116は、パケット分類部112またはパケット特徴量検証部115から異常通信発生通知を受けると起動し、システム利用者に対して異常通信発生を知らせる。異常通信発生を知らせる手段として、画面への文字出力や、プリンタへの出力が挙げられる。S1014は、上記の画面への文字出力や、プリンタへの出力など、システム利用者に対する通知を担当する。
The
図5は、一実施例であるパケット分類部112の動作フローを示す図である。
S2001にて電源投入と共にパケット分類部112が起動すると、S2002にてパケット特徴量抽出部113−1または113−2を起動する条件を満たしているかどうかを確認する。モデル作成時は全てのパケット分類が完了した後、通信監視時は1秒毎など定期的な起動周期に達しているかどうかを確認する。起動条件を満たしている場合は、S2008にてパケット特徴量抽出部113−1または113−2に対して起動トリガを発行する。どちらを起動するかは、モデル作成モードか通信監視モードかの状態に依存する。
FIG. 5 is a diagram illustrating an operation flow of the
When the
S2003は、パケットキャプチャ部111からのパケット入力があるかどうかを見ており、パケット入力が無い場合はS2002へ戻り、パケット入力がある場合はS2004へ進む。
S2003 checks whether there is a packet input from the
S2004は、入力されたパケットのヘッダから、パケット分類に必要なIPアドレスとポート番号の組合せを抽出する。抽出した組合せが何番目の組合せか、インデックスをサーチするのがS2005である。パケットの分類法は図6のような形式で蓄積され、IPアドレスとポート番号の組合せからインデックスをテーブル引きする。このテーブル、ならびに後述するパケットキューは、S2001の起動段階で空の状態で初期化される。 In step S2004, a combination of an IP address and a port number necessary for packet classification is extracted from the header of the input packet. In step S2005, the index is searched for which combination is the extracted combination. The packet classification method is stored in the format shown in FIG. 6, and an index is looked up from the combination of the IP address and the port number. This table and a packet queue to be described later are initialized in an empty state at the starting stage of S2001.
S2006では、S2005にてインデックスをテーブル引きできたかどうかを判断している。テーブル引きできた場合はS2007に進み、インデックスに対応するパケットキューに入力パケットを格納する。パケットキューは図7のような形でインデックス毎に管理される。テーブル引きできなかった場合、モデル作成時はS2009に進み図6テーブルへのインデックス追加と、併せてパケットキューの追加を行ったあと、S2007にて新規作成したインデックスに対応するパケットキューに入力パケットを格納する。通信監視時はS2010に進み、通知部116に対して異常通信検知を通知する。S2007やS2010の処理が終わった後は、S2002に戻りパケット特徴量抽出部の起動条件確認処理を行う。
In S2006, it is determined whether or not the index has been tabled in S2005. If the table can be looked up, the process proceeds to S2007, and the input packet is stored in the packet queue corresponding to the index. The packet queue is managed for each index in the form shown in FIG. If the table cannot be retrieved, the process proceeds to S2009 when creating the model, and after adding an index to the table in FIG. 6 and adding a packet queue, the input packet is sent to the packet queue corresponding to the newly created index in S2007. Store. When the communication is monitored, the process proceeds to S2010, and notification of abnormal communication is notified to the
図6は、一実施例である分類法蓄積部121を示す図である。2つの装置に関する情報602(Host1およびHost2)および各装置で動作するアプリケーションに関する情報603(Port1、Port2、Protocol)のユニークな組合せ毎にパケット分類インデックス601を割り当てている。Host1、Host2の実施例としてはIPアドレス、Port1、Port2の実施例としては、TCPやUDPで使用されるポート番号、ProtocolはIPヘッダに格納されているプロトコル番号に相当するTCPやUDPなどを記録する。Host1およびPort1がSource側、Host2およびPort2がDestination側とする。
FIG. 6 is a diagram illustrating the classification
図7は、一実施例であるパケット分類毎のパケットキューを示す図である。パケット本体はヘッダとペイロードで構成され、パケット分類部112がヘッダからパケット分類、すなわち図6の表作成に必要なIPアドレスやポート番号などを抽出する。抽出したIPアドレスやポート番号の情報が、図6の表のインデックスの何番目に相当するかをサーチし、当該インデックに相当するパケットキューに対しパケット本体を格納する。モデル作成時に新規のIPアドレスやポート番号の組合せが検出されると、当該組合せに対応するインデックスを新規に発行し、パケットキューもインデックス生成に合わせて追加で生成する。
FIG. 7 is a diagram illustrating a packet queue for each packet classification according to an embodiment. The packet body is composed of a header and a payload, and the
図8は、一実施例であるモデル作成時におけるパケット特徴量抽出部を説明する図である。
S2101で電源投入と共にパケット特徴量抽出部113−1または113−2が起動すると、S2102にてパケット分類部112における処理S2008が発行する起動トリガを待つ。トリガが来るまでS2102にて無限ループで待ち、トリガが来るとS2103に進む。
FIG. 8 is a diagram illustrating a packet feature amount extraction unit at the time of model creation according to an embodiment.
When the packet feature quantity extraction unit 113-1 or 113-2 is activated when the power is turned on in S 2101, the process waits for an activation trigger issued by the process S 2008 in the
S2103はパケットキュー(すなわちパケット分類)のパケット分類インデックスに関するfor文の先頭、S2104は特徴量項目のインデックスに関するfor文の先頭である。特徴量項目のインデックスについては、図10の説明として後述する。それぞれのfor文の終端は、S2103−2およびS2104−2である。 S2103 is the beginning of the for sentence relating to the packet classification index of the packet queue (that is, packet classification), and S2104 is the beginning of the for sentence relating to the feature quantity item index. The index of the feature quantity item will be described later with reference to FIG. The end of each for statement is S2103-2 and S2104-2.
S2105では、パケット分類インデックス、ならびに特徴量項目のインデックスに関し、パケットキューに格納されているパケットを対象に特徴量計算を行う。特徴量計算に関しては、図10の説明として後述する。 In step S <b> 2105, the feature amount calculation is performed on the packet stored in the packet queue with respect to the packet classification index and the feature amount item index. The feature amount calculation will be described later with reference to FIG.
2重のfor文が完了すると、S2106にてパケット特徴量選択学習部114を起動する。起動完了後は、S2102に戻り、パケット分類部112からの起動トリガを再度待つ。
When the double for sentence is completed, the packet feature amount
図9は、一実施例である通信監視時におけるパケット特徴量抽出部を説明する図である。ほぼ図8と同じであるが、S2104の後にS2107の条件分岐が追加されている点と、S2106がS2108に差し替えられている点が異なる。 FIG. 9 is a diagram illustrating a packet feature amount extraction unit during communication monitoring according to an embodiment. 8 is almost the same as FIG. 8, except that a conditional branch of S2107 is added after S2104 and that S2106 is replaced with S2108.
S2107では、パケット分類インデックス、ならびに特徴量項目のインデックスに関し、イネーブラ1403のチェックを行う。イネーブラ1403が立っている場合はS2015にて特徴量計算を行い、イネーブラ1403が立っていない場合は特徴量計算をスキップする。
In step S2107, the
S2108では、パケット特徴量検証部115を起動する。起動完了後は、S2102に戻り、パケット分類部112からの起動トリガを再度待つ。通信監視時におけるパケット特徴量抽出部が起動している期間を監視期間とする。
In step S2108, the packet feature
図10は、一実施例である特徴量項目のインデックスを説明する図である。
第一列に特徴量項目のインデックス1001、第二列に特徴量項目の名称1002、第三列に特徴量のデータフォーマット1003が記載されている。図9のfor文で参照するインデックスは、本図の第一列のインデックスに相当する。
FIG. 10 is a diagram for explaining an index of a feature amount item according to an embodiment.
A feature
ここで、特徴量の計算方法について説明する。第三列にリスト型、レンジ型、ベクトル型というタイプを定義しているため、そのタイプごとに説明する。IntegerやFloatは、それぞれ特徴量の値が整数か浮動小数点かを表す。 Here, a feature amount calculation method will be described. Since the third column defines types such as a list type, a range type, and a vector type, each type will be described. Integer and Float indicate whether the feature value is an integer or floating point.
リスト型とは、パケット毎またはパケット群毎に1つの特徴量が抽出され、複数の特徴量が抽出された際に、特徴量の重複排除を行い、ユニークな特徴量がリスト化されるようにモデル化する方法を指す。例えば、パケット長はパケット毎に長さという特徴量を有する。パケットキューに3パケット存在し、それぞれの長さが60バイト、90バイト、60バイトだった場合、60バイトが重複するため、モデルとしては重複排除した60バイト、90バイトの2値で構成されるリストとする。 The list type is such that one feature value is extracted for each packet or packet group, and when a plurality of feature values are extracted, deduplication of the feature values is performed and unique feature values are listed. Refers to the method of modeling. For example, the packet length has a feature quantity of length for each packet. If there are 3 packets in the packet queue, and each length is 60 bytes, 90 bytes, and 60 bytes, the 60 bytes are duplicated, so the model is composed of binary values of 60 bytes and 90 bytes that are deduplicated. A list.
レンジ型とは、パケット毎またはパケット群毎に1つの特徴量が抽出され、複数の特徴量が抽出された際に、その最大値と最小値を抽出し、それぞれの値に対し任意のスケーリングファクタ(異常検出感度を調整する任意のパラメータ)を作用させたうえで、正常範囲と見なす特徴量の上限値と下限値を求める。その上限値と下限値をモデルとする。 In the range type, one feature value is extracted for each packet or packet group, and when a plurality of feature values are extracted, the maximum value and the minimum value are extracted, and an arbitrary scaling factor for each value is extracted. (Upper limit value and lower limit value of the feature amount regarded as the normal range are obtained after acting (an arbitrary parameter for adjusting the abnormality detection sensitivity). The upper and lower limits are used as models.
ベクトル型とは、パケット毎に複数の特徴量が抽出される。ペイロードのバイト列の類似性を評価する場合、ペイロードの1バイト目、2バイト目などを要素とするベクトルが特徴量として抽出される。パケット毎にベクトルが生成されるが、モデルとしてはパケットキュー内の全パケットのベクトルに対し、2つの代表ベクトルをモデルとする。 In the vector type, a plurality of feature amounts are extracted for each packet. When evaluating the similarity between the byte sequences of the payload, a vector whose elements are the first byte, the second byte, and the like of the payload is extracted as a feature amount. A vector is generated for each packet. As a model, two representative vectors are used as models for all packet vectors in the packet queue.
具体的には、例えばシーケンス番号など、パケット毎にインクリメントされるバイト位置が0、パケットキュー内の全パケット間で完全同一な値となるバイト位置が1となるベクトル(すなわち、バイト毎のマスクを行うマスクベクトル)と、当該マスクベクトルと各パケットのベクトルを、要素ごとに掛け算した結果のベクトル、つまり合計2つのベクトルをモデルとする。なお、後者のベクトルは、パケットキュー内のベクトル全てについて計算可能であるが、上記マスクベクトルの定義により、パケット間で値が異なる要素はマスクベクトルで0化されるため、マスクベクトル作用後のベクトルが全パケットにつき完全同一となる。 Specifically, for example, a sequence number or the like, where the byte position incremented for each packet is 0, and the byte position that is the same value for all packets in the packet queue is 1 (that is, the mask for each byte is set). A mask vector to be performed) and a vector obtained by multiplying the mask vector and the vector of each packet for each element, that is, a total of two vectors. Note that the latter vector can be calculated for all vectors in the packet queue. However, because of the mask vector definition, elements whose values differ between packets are zeroed by the mask vector. Are completely the same for all packets.
また、上で述べたパケット毎またはパケット群毎に1つの特徴量が抽出されるという点について、前者の例はパケットの長さである。後者の例は通信継続時間である。通信継続時間は、TCPパケットのSYNフラグが立ったパケットのタイムスタンプから、同じくFINフラグ(またはRSTフラグ)が立ったパケットのタイムスタンプの間の時間であり、その区間の間に複数のパケットがやりとりされる。その複数のパケットをパケット群と呼んでいる。 Further, with respect to the point that one feature amount is extracted for each packet or each packet group described above, the former example is the length of the packet. The latter example is communication duration. The communication duration is the time between the time stamp of the packet in which the SYN flag of the TCP packet is set and the time stamp of the packet in which the FIN flag (or RST flag) is also set. Exchanged. The plurality of packets are called a packet group.
このように、モデルの型としてはリスト型、レンジ型、ベクトル型があり、特徴量抽出の単位としてはパケット毎、パケット群毎がある。 As described above, the model type includes a list type, a range type, and a vector type, and the feature amount extraction unit includes each packet and each packet group.
図11は、一実施例である特徴量計算結果を示す図である。第一列はパケット分類インデックス1101、第ニ列は特徴量項目インデックス1102、第三列以降は特徴量1103−1106を示す。
FIG. 11 is a diagram illustrating a feature amount calculation result according to an embodiment. The first column indicates the
図8および図10の説明で述べた通り、パケット分類インデックスおよび特徴量項目のインデックス毎(図10参照)に特徴量を計算する。パケットキューに格納されている全パケットを対象として特徴量計算を行うため、特徴量が複数出る場合がある。 As described with reference to FIGS. 8 and 10, the feature amount is calculated for each packet classification index and feature amount item index (see FIG. 10). Since the feature amount calculation is performed on all packets stored in the packet queue, a plurality of feature amounts may appear.
図11の1段目は、一つ目のパケットキューに関し、パケット長の特徴量を抽出した結果である。パケットキュー内の最初の3パケットは、全てパケット長が368バイトであることを示している。実際は4パケット目以降も同様にテーブル化する。 The first row in FIG. 11 shows the result of extracting the feature quantity of the packet length for the first packet queue. The first three packets in the packet queue all indicate that the packet length is 368 bytes. Actually, the fourth and subsequent packets are similarly tabulated.
同じく2段目は、一つ目のパケットキューに関し、通信継続時間の特徴量を抽出した結果である。SYNフラグの立ったパケットからFINフラグの立ったパケットまでの経過時間がテーブル化されており、同図の例では第1パケット群が1.2秒、第2パケット群が1.1秒、第3パケット群が0.3秒であることを示す。実際は、第4パケット群以降も同様にテーブル化する。 Similarly, the second row shows the result of extracting the feature amount of the communication duration for the first packet queue. The elapsed time from the packet with the SYN flag to the packet with the FIN flag is tabulated, and in the example of the figure, the first packet group is 1.2 seconds, the second packet group is 1.1 seconds, It shows that 3 packet groups are 0.3 seconds. Actually, the fourth and subsequent packet groups are similarly tabulated.
同じく3段目は、一つ目のパケットキューに関し、ペイロードのバイト列を特徴量として抽出した結果である。ここでは例として、ペイロードの先頭4バイトを特徴量のベクトルとして抽出しているが、抽出するバイト位置や長さはコンフィグ可能とする。パケットキュー内の最初の3パケットに関し、一つ目のパケットの先頭4バイトが0x5A, 0xA5, 0x5A, 0xA5、二つ目のパケットは0x5A, 0xA5, 0x5A, 0xA6、三つ目のパケットは0x5A, 0xA5, 0x5A, 0xA7であることを示す。実際は、第4パケット以降も同様にテーブル化する。 Similarly, the third row shows the result of extracting the byte sequence of the payload as the feature amount for the first packet queue. Here, as an example, the first 4 bytes of the payload are extracted as a feature vector, but the extracted byte position and length can be configured. For the first 3 packets in the packet queue, the first 4 bytes of the first packet are 0x5A, 0xA5, 0x5A, 0xA5, the second packet is 0x5A, 0xA5, 0x5A, 0xA6, the third packet is 0x5A, Indicates 0xA5, 0x5A, 0xA7. Actually, the fourth and subsequent packets are similarly tabulated.
同じく4段目は、二つ目のパケットキューに関し、パケット長を特徴量として抽出した結果である。1段目と異なり、パケット毎に長さが異なる例である。 Similarly, the fourth row shows the result of extracting the packet length as a feature amount for the second packet queue. Unlike the first stage, this is an example in which each packet has a different length.
図12は、一実施例であるパケット特徴量選択学習部を説明する図である。
S2201で電源投入と共にパケット特徴量選択学習部が起動すると、S2202にてパケット特徴量抽出部113−1における処理S2106が発行する起動トリガを待つ。トリガが来るまでS2202にて無限ループで待ち、トリガが来るとS2103に進む。
FIG. 12 is a diagram illustrating a packet feature amount selection learning unit according to an embodiment.
When the packet feature quantity selection learning unit is activated when the power is turned on in S2201, the process waits for an activation trigger issued by the process S2106 in the packet feature quantity extraction unit 113-1 in S2202. The process waits in an infinite loop in S2202 until the trigger comes, and proceeds to S2103 when the trigger comes.
S2103およびS2104に関わるパケット分類インデックスに関するループ、ならびに特徴量項目インデックスに関するループは、図8と同様である。 The loop related to the packet classification index related to S2103 and S2104 and the loop related to the feature amount item index are the same as those in FIG.
S2203では、パケット分類インデックスおよび特徴量項目インデックス毎に、パケット特徴量抽出部113−1で抽出した特徴量(図11参照)が、定常性を有するかどうかの判定を行い、定常性を有する場合はモデルを作成した上でイネーブラ1403をEnableとし、定常性を有さない場合はイネーブラ1403をDisableとする。イネーブラ1403は監視観点選択蓄積部122に蓄積され、作成したモデルはモデル蓄積部123に蓄積される。二つのfor文完結後、S2202に戻りパケット特徴量抽出部113−1からの起動トリガを待つ。パケット特徴量選択学習部が起動している期間を学習期間とする。
In S2203, for each packet classification index and feature quantity item index, it is determined whether the feature quantity (see FIG. 11) extracted by the packet feature quantity extraction unit 113-1 has continuity. After creating the model, the
特徴量が定常性を有するか否かの判定については図13、監視観点選択蓄積部122の実施例は図14、モデル蓄積部123の実施例は図15にそれぞれ示す。
FIG. 13 shows the determination as to whether or not the feature quantity has continuity, FIG. 14 shows an example of the monitoring viewpoint
図13は、一実施例である特徴量の定常性有無判定を説明する図である。第一列はパケット分類インデックス1301、第二列は特徴量項目インデックス1302、第三列は定常性評価1303を示す。 定常性評価対象となる特徴量は図11に準ずる。なお、ここでは説明を簡単にするため、図11に省略せず表示されている3つの特徴量の値を対象に定常性評価を行う例を示すが、実際は全ての特徴量を対象に同様の定常性評価を行う。
FIG. 13 is a diagram illustrating determination of the presence / absence of feature amount continuity according to an embodiment. The first column shows the
表の1段目は、一つ目のパケットキューの、パケット長の特徴量に関する定常性評価の例を示す。図11によると、3つの特徴量は全て368バイトであり、重複排除した結果ユニークなパケット長のリストは368バイトのみで構成される。つまり、パケット長のバリエーションが1種類のみであることを示す。本例では、ユニークなパケット長のバリエーションが2種類までの場合を定常性ありと見なし、それを超える場合を定常性なしと見なす。結果、一つ目のパケットキューのパケット長については、定常性ありと判定されている。ここで、2種類という閾値はコンフィグ可能なシステムパラメータであり、図12のS2201の段階で初期設定をする。 The first row of the table shows an example of continuity evaluation regarding the feature amount of the packet length of the first packet queue. According to FIG. 11, the three feature quantities are all 368 bytes, and the list of unique packet lengths as a result of deduplication is composed of only 368 bytes. That is, it indicates that there is only one type of packet length variation. In this example, the case where there are up to two unique packet length variations is considered to be stationary, and the case where it exceeds the variation is considered not stationary. As a result, the packet length of the first packet queue is determined to be stationary. Here, the two types of threshold values are configurable system parameters, and are initially set in step S2201 of FIG.
対して、表の4段目は、二つ目のパケットキューの、パケット長の特徴量に関する定常性評価の例だが、図11に従うと、重複排除した結果のユニークなパケット長のリストが168、1514、392バイトの3値で構成され、上記のパケット長のバリエーションの閾値条件を満たさないため、定常性なしと判定している。 On the other hand, the fourth row of the table is an example of the continuity evaluation regarding the feature quantity of the packet length of the second packet queue. According to FIG. 11, a list of unique packet lengths as a result of deduplication is 168, Since it is composed of three values of 1514 and 392 bytes and does not satisfy the above threshold condition for variation of the packet length, it is determined that there is no continuity.
表の2段目は、一つ目のパケットキューの、通信継続時間の特徴量に関する定常性評価の例である。図11によると、3つの特徴量は1.1、1.2、0.3[秒]である。通信継続時間は処理時間や伝送速度に依存するため、定常性判定するにあたってリスト型のようなユニーク値のバリエーション数は適さない。ここでは、特徴量の平均値と標準偏差の比を評価指標とし、平均÷標準偏差が10を超える場合は定常性あり、10を超えない場合は定常性なしと判断する。同図の例では、平均と標準偏差の比が10を超えていないため定常性なしと判断している。ここで、平均対標準偏差の比=10という閾値はコンフィグ可能なシステムパラメータであり、図12のS2201の段階で初期設定する。 The second row of the table is an example of continuity evaluation regarding the feature amount of the communication continuation time of the first packet queue. According to FIG. 11, the three feature amounts are 1.1, 1.2, and 0.3 [seconds]. Since the communication continuation time depends on the processing time and transmission speed, the number of unique value variations such as a list type is not suitable for determining continuity. Here, the ratio between the average value of the feature values and the standard deviation is used as an evaluation index, and when the average / standard deviation exceeds 10, the stationarity is determined. In the example of the figure, since the ratio of the average and the standard deviation does not exceed 10, it is determined that there is no continuity. Here, the threshold value of the ratio of average to standard deviation = 10 is a configurable system parameter, and is initially set in step S2201 in FIG.
表の3段目は、一つ目のパケットキューの、ペイロードの特徴量に関する定常性評価の例である。図11によると、3つの特徴量にわたって先頭3バイト分の値は完全一致しており、4バイト目の値のみパケット間で異なっている。ここでは、パケット間で完全一致しているバイト数が3以上の場合に定常性あり、2以下の場合に定常性なしと判断する。この例では3バイトが完全一致しているため、定常性ありと判断している。ここで、完全一致しているバイト数に関する閾値は、はコンフィグ可能なシステムパラメータであり、図12のS2201の段階で初期設定する。 The third row of the table is an example of continuity evaluation regarding the feature amount of the payload of the first packet queue. According to FIG. 11, the values for the first 3 bytes are completely identical over the three feature values, and only the value of the fourth byte is different between packets. Here, it is determined that the stationarity is present when the number of bytes completely matching between packets is 3 or more, and that the stationarity is absent when the number of bytes is 2 or less. In this example, since 3 bytes are completely matched, it is determined that there is continuity. Here, the threshold regarding the number of completely matching bytes is a configurable system parameter, and is initially set in step S2201 of FIG.
以上の結果得られるモデルは、1段目に関してはパケット長リスト=[368]、2段目と4段目は定常性なしのためモデルなし、3段目に関してはペイロードの代表ベクトル[0x5A,0xA5,0x5A,0x00]およびマスクベクトル[1,1,1,0]がモデルとなる。 The model obtained as a result of the above is the packet length list for the first stage = [368], the second stage and the fourth stage have no model because there is no continuity, and the third stage has a payload representative vector [0x5A, 0xA5 , 0x5A, 0x00] and the mask vector [1,1,1,0] are models.
図14は、一実施例である監視観点選択蓄積部を説明する図である。第一列はパケット分類インデックス1401、第二列は特徴量項目インデックス1402、第三列はイネーブラ1403を示す。
FIG. 14 is a diagram illustrating a monitoring viewpoint selection accumulation unit according to an embodiment. The first column shows the
図13にて、パケット分類インデックス毎、および特徴量項目インデックス毎の定常性評価を行ったが、その評価結果が定常性あり(Stable)と判断されたインデックスの組合せに対してはEnable、定常性なし(Unstable)と判断された場合はDisableと記録される。 In FIG. 13, the continuity evaluation is performed for each packet classification index and for each feature amount item index. For the combination of indexes for which the evaluation result is determined to be stable (stable), “Enable” and “stationarity” are performed. When it is determined that there is none (Unstable), “Disable” is recorded.
図15は、一実施例であるモデル蓄積部を説明する図である。第一列はパケット分類インデックス1501、第二列は特徴量項目インデックス1502、第三列はモデル1503を示す。
FIG. 15 is a diagram illustrating a model storage unit according to an embodiment. The first column shows the
図13の説明にて、パケット分類インデックス毎、および特徴量項目インデックス毎の定常性評価を行い、定常性があるインデックの組合せに関して生成されるモデルを説明した。定常性がない項目、すなわち図15の表中の2段目と4段目はモデルなしのためN/A(Not Applicable)としており、定常性がある項目については、1段目がパケット長のユニーク値のリスト、すなわち[368]、3段目がペイロードの代表ベクトル[0x5A,0xA5,0x5A,0x00]およびマスクベクトル[1,1,1,0]がモデルとして記録される。 In the description of FIG. 13, the continuity evaluation is performed for each packet classification index and for each feature amount item index, and the model generated for the combination of indexes having continuity has been described. Items that do not have stationarity, that is, the second and fourth levels in the table of FIG. 15 are N / A (Not Applicable) because there is no model. For items that have stationarity, the first level is the packet length. A list of unique values, that is, [368], the third stage is recorded with payload representative vectors [0x5A, 0xA5, 0x5A, 0x00] and mask vectors [1,1,1,0] as models.
図16は、一実施例であるパケット特徴量検証部を説明する図である。
S2301で電源投入と共にパケット特徴量検証部が起動すると、S2302にてパケット特徴量抽出部113−2における処理S2108が発行する起動トリガを待つ。トリガが来るまでS2302にて無限ループで待ち、トリガが来るとS2103に進む。
FIG. 16 is a diagram illustrating a packet feature amount verification unit according to an embodiment.
When the packet feature amount verification unit is activated when the power is turned on in step S2301, a start trigger issued by the process S2108 in the packet feature amount extraction unit 113-2 is waited in step S2302. The process waits in an infinite loop in S2302 until the trigger comes, and proceeds to S2103 when the trigger comes.
S2103およびS2104に関わるパケット分類インデックスに関するループ、ならびに特徴量項目インデックスに関するループは、図8と同様である。 The loop related to the packet classification index related to S2103 and S2104 and the loop related to the feature amount item index are the same as those in FIG.
S2303は、パケット分類インデックスおよび特徴項目インデックスに関するイネーブラ1403を監視観点選択蓄積部122のテーブル(図14)からチェックを行う。Disableの場合はS2104−2までスキップし、次のインデックスの組合せの処理を行う。Enableの場合は、S2304の処理に進む。
In S2303, the
S2304では、パケット特徴量抽出部113−2が抽出した特徴量(図11)と、モデル(図15)との比較を行う。当該パケット分類インデックスおよび特徴項目インデックスの組合せにおいて、図11に示すように複数の特徴量が出力されるが、その特徴量それぞれとモデルとの比較を行い、少なくとも1つの特徴量がモデルから外れた場合、異常通信として検出する。 In S2304, the feature amount (FIG. 11) extracted by the packet feature amount extraction unit 113-2 is compared with the model (FIG. 15). In the combination of the packet classification index and the feature item index, a plurality of feature amounts are output as shown in FIG. 11, but each of the feature amounts is compared with the model, and at least one feature amount is out of the model. If it is detected as abnormal communication.
例えば、リスト型のモデルの場合、特徴量の値がモデルのリスト内に存在しない場合、異常通信と見なす。レンジ型のモデルの場合、特徴量の値がモデルの正常値上限および下限の範囲から外れている場合、異常通信と見なす。ベクトル型のモデル(ペイロード)の場合、モデルであるペイロードの代表ベクトル(要素数4の例)を[p1, p2, p3, p4]、同じくマスクベクトルを[m1, m2, m3, m4]、観測された特徴量のベクトルを[o1, o2, o3, o4]とすると、m1×o1=p1, m2×o2=p2, m3×o3=p3, m4×o4=p4のいずれかが満たされない場合、異常通信と見なす。 For example, in the case of a list type model, when the feature value does not exist in the model list, it is regarded as abnormal communication. In the case of the range type model, if the feature value is out of the normal value upper and lower limits of the model, it is regarded as abnormal communication. In the case of a vector type model (payload), the representative vector of the payload that is the model (example of 4 elements) is [p1, p2, p3, p4], and the mask vector is [m1, m2, m3, m4], observation Assuming that the feature vector is [o1, o2, o3, o4], if either m1 × o1 = p1, m2 × o2 = p2, m3 × o3 = p3, m4 × o4 = p4 is not satisfied, Regarded as abnormal communication.
S2305では、S2304にて異常通信と判断したか否かの条件分岐を行う。異常通信と判断した場合はS2306の処理に進み、異常通信でないと判断した場合はS2306の処理をスキップする。 In S2305, a conditional branch is made as to whether or not the abnormal communication is determined in S2304. If it is determined that the communication is abnormal, the process proceeds to S2306. If it is determined that the communication is not abnormal, the process of S2306 is skipped.
S2306では、図5のS2010と同様、通知部116に対して異常通信検知を通知する。
In S2306, similar to S2010 in FIG. 5, the
図17は、一実施例による異常通知を説明する図である。第一列はエラーインデックス1701、第二列は装置情報1702、第三列はアプリケーションに関する情報1703、第四列は異常検知内容1704を示す。
FIG. 17 is a diagram for explaining abnormality notification according to an embodiment. The first column shows the error index 1701, the second column shows the
異常通知は、図5のS2010または図16のS2306から発行される。具体的な形式の一例は、図6に基づく異常通知に関するHost、Port、Protocol情報に加えて、具体的な異常内容を通知する。 The abnormality notification is issued from S2010 of FIG. 5 or S2306 of FIG. As an example of a specific format, in addition to Host, Port, and Protocol information related to the abnormality notification based on FIG. 6, specific abnormality contents are notified.
図16のS2306から異常通知が来る場合、作成したモデルに対し特徴量が外れているため、どの特徴量項目(図10)についてどのような特徴量が検出されたかの情報を含める。具体例としては、図17の1段目の通り、通信監視時に検出されたパケット長の特徴量(ここでは456バイト)が、モデルから外れたことを通知する内容となる。図4の通信監視シーケンスで説明したように、モデル作成時と異なり、未知のIPアドレスとポート番号の組合せのパケットが検出されると、パケット分類部112はモデルとの照合を待たずに異常通信発生と見なし、通知部116へ通知を行う。二段目は、その例を示す。
When an abnormality notification is received from S2306 in FIG. 16, since the feature quantity is out of the created model, information on what feature quantity has been detected for which feature quantity item (FIG. 10) is included. As a specific example, as shown in the first row of FIG. 17, the packet length feature amount (here, 456 bytes) detected at the time of communication monitoring is the content for notifying that it is out of the model. As described in the communication monitoring sequence of FIG. 4, when a packet having a combination of an unknown IP address and port number is detected, unlike the model creation, the
図5のS2010から異常通知が来る場合、作成したモデルにない通信(IPアドレスとポート番号の組合せ)が検出されたため、モデル外の通信が検出されたことを通知する内容となる。 When an abnormality notification is received from S2010 in FIG. 5, since the communication (combination of IP address and port number) not found in the created model has been detected, the content is a notification that communication outside the model has been detected.
以上の内容は、異常通知に関するデータ構造であり、このデータ構造に基づき適宜表示方法を定めたうえで画面出力やプリンタ出力する。 The above content is a data structure related to an abnormality notification, and a screen display or printer output is performed after a display method is appropriately determined based on this data structure.
図18は、一実施例であるネットワーク監視装置を示す図である。
201は、デバイス間の通信を行うためのバスである。202は、プログラムを格納するメモリである。202には、パケット分類部112、パケット特徴量抽出部113、パケット特徴量選択学習部114、パケット特徴量検証部115が含まれる。203は、プログラムを動作させるCPUなどの演算処理デバイスである。204は、プログラムが使用するメモリであり、分類法蓄積部121、監視観点選択蓄積部122、モデル蓄積部123、および各プログラムの作業領域として使用される。205は、パケットを取込むためのネットワークインターフェースデバイスである。これは、パケットキャプチャ部111に相当する。206は画面やプリンタなどの出力デバイスで、図17に基づく異常検知結果が出力される。
FIG. 18 is a diagram illustrating a network monitoring apparatus according to an embodiment.
Reference numeral 201 denotes a bus for performing communication between devices.
本発明の実施例によれば、モデルの監視観点を増やすほど不正アクセス等の判定精度が増加する一方、モデルから外れた通信挙動の有無を監視するための処理量が増加するという課題に対し、モデル作成時点で定常性を有する監視観点のみ選択してモデル作成およびパケットの監視を行う手段を採ることで、判定精度向上に伴う処理量増加を抑えることができる。また、システム内のネットワーク上に流れるパケット群に対してモデル作成時点で監視観点の候補を複数準備し、複数ある監視観点各々に対して上記パケット群が定常性を有するかどうかの判定を行う過程で、どの監視観点がモデルとして適切か不明、という課題を解決する。 According to the embodiment of the present invention, as the monitoring viewpoint of the model increases, the determination accuracy of unauthorized access or the like increases, while the problem that the processing amount for monitoring the presence or absence of communication behavior deviating from the model increases. By selecting only monitoring viewpoints that have continuity at the time of model creation and adopting means for model creation and packet monitoring, it is possible to suppress an increase in processing amount due to improvement in determination accuracy. Also, a process of preparing a plurality of monitoring viewpoint candidates at the time of model creation for a packet group flowing on the network in the system, and determining whether the packet group has continuity for each of the plurality of monitoring viewpoints Thus, the problem of uncertain which monitoring viewpoint is appropriate as a model is solved.
101…通信機能を有する機器
102…ネットワークスイッチ103の入出力ポート
103…ネットワークスイッチ
104…ネットワーク監視装置
111…パケットキャプチャ部
112…パケット分類部
113…パケット特徴量抽出部
114…パケット特徴量選択学習部
115…パケット特徴量検証部
116…通知部
121…分類法蓄積部
122…監視観点選択蓄積部
123…モデル蓄積部
201…バス
202…プログラム格納メモリ
203…演算処理デバイス
204…プログラムから参照するデータの格納メモリ
205…ネットワークインターフェースデバイス
206…出力デバイス
DESCRIPTION OF SYMBOLS 101 ... Device 102 with a communication function ... Input /
Claims (7)
処理部と、インターフェースとを有し、
前記インターフェースは、
前記ネットワークのパケットをキャプチャするパケットキャプチャ部を有し、
前記処理部は、
学習期間及び監視期間において、キャプチャしたパケットからパケット特徴量を、複数の監視観点で抽出し、
前記学習期間において、複数の監視観点で抽出した前記パケット特徴量に対して定常性の判定をし、定常性があると判定した前記監視観点についてのモデルの作成をし、
前記学習期間に定常性があるとした前記監視観点について、前記監視期間において抽出した前記パケット特徴量と、前記モデルとを比較して異常通信有無を判定することを特徴とするネットワーク監視装置。 A network monitoring device for monitoring packets flowing through a network,
A processing unit and an interface;
The interface is
A packet capture unit for capturing packets of the network;
The processor is
In the learning period and the monitoring period, packet feature values are extracted from the captured packets from a plurality of monitoring viewpoints.
In the learning period, determination of continuity is performed on the packet feature values extracted from a plurality of monitoring viewpoints, and a model is created for the monitoring viewpoint that is determined to have continuity,
A network monitoring apparatus characterized in that, for the monitoring viewpoint that the learning period is stationary, the presence or absence of abnormal communication is determined by comparing the packet feature amount extracted in the monitoring period with the model.
前記処理部は、
前記キャプチャしたパケットから、パケット特徴量を複数の監視観点で抽出し、
複数の監視観点で抽出した前記パケット特徴量に対して、学習期間において定常性の判定をし、定常性があると判定した監視観点についてモデルを作成し、
前記学習期間に定常性があるとした監視観点について、監視期間において抽出したパケット特徴量と、前記モデルとを比較して異常通信有無を判定することを特徴とするネットワーク監視システム。 A device to be monitored is connected via a network, and is a network monitoring system that monitors a packet flowing through the network, and performs an arithmetic process based on the interface that captures the packet and the captured packet A processing unit,
The processor is
Extracting packet feature values from the captured packet from a plurality of monitoring viewpoints,
With respect to the packet feature values extracted from a plurality of monitoring viewpoints, determination of continuity is made during the learning period, and a model is created for the monitoring viewpoint determined to have continuity,
A network monitoring system characterized in that, from the monitoring viewpoint that the learning period is stationary, the presence or absence of abnormal communication is determined by comparing the packet feature amount extracted in the monitoring period with the model.
前記ネットワーク監視装置は、前記ネットワークからのパケットをキャプチャし、
学習期間及び監視期間において、キャプチャしたパケットからパケット特徴量を、
複数の監視観点で抽出し、
学習期間において、複数の監視観点で抽出した前記パケット特徴量に対して定常性の判定をし、定常性があると判定した監視観点についてモデルを作成し、
前記学習期間に定常性があるとした監視観点について、監視期間において抽出した前記パケット特徴量と、前記モデルとを比較して異常通信有無を判定することを特徴とするネットワーク監視方法。 A network monitoring method using a network monitoring device for monitoring packets flowing through a network,
The network monitoring device captures packets from the network;
In the learning period and the monitoring period, the packet feature amount from the captured packet,
Extract from multiple monitoring perspectives,
In the learning period, the packet feature quantity extracted from a plurality of monitoring viewpoints is determined to be stationary, and a model is created for the monitoring viewpoint that is determined to be stationary,
A network monitoring method characterized by determining whether or not there is abnormal communication by comparing the packet feature amount extracted in a monitoring period and the model with respect to a monitoring viewpoint that the learning period is stationary.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017119715A JP6955912B2 (en) | 2017-06-19 | 2017-06-19 | Network monitoring device, its system, and its method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017119715A JP6955912B2 (en) | 2017-06-19 | 2017-06-19 | Network monitoring device, its system, and its method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019004419A true JP2019004419A (en) | 2019-01-10 |
JP6955912B2 JP6955912B2 (en) | 2021-10-27 |
Family
ID=65006980
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017119715A Active JP6955912B2 (en) | 2017-06-19 | 2017-06-19 | Network monitoring device, its system, and its method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6955912B2 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022190198A1 (en) * | 2021-03-09 | 2022-09-15 | 日本電信電話株式会社 | Estimation device, estimation method and program |
WO2022259330A1 (en) * | 2021-06-07 | 2022-12-15 | 日本電信電話株式会社 | Estimation device, estimation method, and estimation program |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008193221A (en) * | 2007-02-01 | 2008-08-21 | Oki Electric Ind Co Ltd | Application classification method, network abnormality detection method, application classification program, network abnormality detection program, application classification apparatus, and network abnormality detection apparatus |
JP2010177733A (en) * | 2009-01-27 | 2010-08-12 | Mitsubishi Electric Corp | Communication monitoring device, communication monitoring method of communication monitoring device, and communication monitoring program |
US20160261465A1 (en) * | 2015-03-04 | 2016-09-08 | Qualcomm Incorporated | Behavioral analysis to automate direct and indirect local monitoring of internet of things device health |
JP6008070B1 (en) * | 2014-12-22 | 2016-10-19 | 日本電気株式会社 | Operation management apparatus, operation management method, and recording medium on which operation management program is recorded |
-
2017
- 2017-06-19 JP JP2017119715A patent/JP6955912B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008193221A (en) * | 2007-02-01 | 2008-08-21 | Oki Electric Ind Co Ltd | Application classification method, network abnormality detection method, application classification program, network abnormality detection program, application classification apparatus, and network abnormality detection apparatus |
JP2010177733A (en) * | 2009-01-27 | 2010-08-12 | Mitsubishi Electric Corp | Communication monitoring device, communication monitoring method of communication monitoring device, and communication monitoring program |
JP6008070B1 (en) * | 2014-12-22 | 2016-10-19 | 日本電気株式会社 | Operation management apparatus, operation management method, and recording medium on which operation management program is recorded |
US20160261465A1 (en) * | 2015-03-04 | 2016-09-08 | Qualcomm Incorporated | Behavioral analysis to automate direct and indirect local monitoring of internet of things device health |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022190198A1 (en) * | 2021-03-09 | 2022-09-15 | 日本電信電話株式会社 | Estimation device, estimation method and program |
WO2022259330A1 (en) * | 2021-06-07 | 2022-12-15 | 日本電信電話株式会社 | Estimation device, estimation method, and estimation program |
Also Published As
Publication number | Publication date |
---|---|
JP6955912B2 (en) | 2021-10-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109510737B (en) | Protocol interface testing method and device, computer equipment and storage medium | |
KR100759798B1 (en) | Apparatus for blocking harmful multimedia in PC through intelligent screen monitoring and method thereof | |
JP6183450B2 (en) | System analysis apparatus and system analysis method | |
US10860962B2 (en) | System for fully integrated capture, and analysis of business information resulting in predictive decision making and simulation | |
WO2017083148A1 (en) | Periodicity analysis on heterogeneous logs | |
JP4940220B2 (en) | Abnormal operation detection device and program | |
RU2722692C1 (en) | Method and system for detecting malicious files in a non-isolated medium | |
JP2019004419A (en) | Network monitoring device, and system and method therefor | |
JP6196196B2 (en) | Inter-log causal estimation device, system abnormality detection device, log analysis system, and log analysis method | |
EP3440569A1 (en) | System for fully integrated capture, and analysis of business information resulting in predictive decision making and simulation | |
JP4504346B2 (en) | Trouble factor detection program, trouble factor detection method, and trouble factor detection device | |
CN111010387A (en) | Illegal replacement detection method, device, equipment and medium for Internet of things equipment | |
Thanthrige et al. | Intrusion alert prediction using a hidden Markov model | |
CN109670153A (en) | A kind of determination method, apparatus, storage medium and the terminal of similar model | |
JP5973935B2 (en) | Browsing behavior prediction device, browsing behavior prediction method, and program | |
CN110022343B (en) | Adaptive event aggregation | |
CN109257384B (en) | Application layer DDoS attack identification method based on access rhythm matrix | |
JP6813451B2 (en) | Anomaly detection system and anomaly detection method | |
CN108073803A (en) | For detecting the method and device of malicious application | |
CN108141372A (en) | For the system and method based on network flow detection to the attack of mobile ad hoc networks | |
CN107682388B (en) | Information push suggestion generation method and device, computer equipment and storage medium | |
KR102269652B1 (en) | Machine learning-based learning vector generation device and method for analyzing security logs | |
CN113806204B (en) | Method, device, system and storage medium for evaluating message segment correlation | |
CN108133012B (en) | Label setting method and device | |
Yang et al. | Agile: A general approach to detect transitions in evolving data streams |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200213 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201211 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210202 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210402 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210914 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211004 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6955912 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |