JP2019004419A - Network monitoring device, and system and method therefor - Google Patents

Network monitoring device, and system and method therefor Download PDF

Info

Publication number
JP2019004419A
JP2019004419A JP2017119715A JP2017119715A JP2019004419A JP 2019004419 A JP2019004419 A JP 2019004419A JP 2017119715 A JP2017119715 A JP 2017119715A JP 2017119715 A JP2017119715 A JP 2017119715A JP 2019004419 A JP2019004419 A JP 2019004419A
Authority
JP
Japan
Prior art keywords
packet
monitoring
network
model
feature amount
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017119715A
Other languages
Japanese (ja)
Other versions
JP6955912B2 (en
Inventor
藤嶋 堅三郎
Kenzaburo Fujishima
堅三郎 藤嶋
直輝 谷田
Naoki Tanida
直輝 谷田
大橋 哲也
Tetsuya Ohashi
哲也 大橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2017119715A priority Critical patent/JP6955912B2/en
Publication of JP2019004419A publication Critical patent/JP2019004419A/en
Application granted granted Critical
Publication of JP6955912B2 publication Critical patent/JP6955912B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

To early detect suspicious communication in a network on the basis of an illegal access etc., in a system having apparatuses mutually connected to the network.SOLUTION: A network monitoring device which monitors a packet which flows in the network includes a processing unit and an interface. The interface includes a packet capture unit which captures a packet in the network. The processing unit performs the processing of: extracting, from the captured packet, a packet feature amount related to communication in a plurality of monitor viewpoints, in a learning period and a monitor period; determining, in the learning period, the constancy of each packet feature amount extracted in the plurality of monitor viewpoints; generating a model related to each monitor viewpoint which is determined to be valid; and comparing, for the monitor viewpoint determined to have constancy in the learning period, the packet feature amount extracted in the monitor period with the model generated in the learning period, to determine the existence or non-existence of abnormal communication.SELECTED DRAWING: Figure 2

Description

本発明は、機器同士がネットワークに接続されたシステムにおいて、ネットワーク上を流れるパケットの解析に基づき通信の特徴量を抽出し、その変化を監視する技術に関する。   The present invention relates to a technique for extracting a feature amount of communication based on analysis of a packet flowing on a network and monitoring the change in a system in which devices are connected to the network.

従来、特許文献1に示すように、機器の認証に関わるパケットを解析し、1または複数の認証に関わる不審挙動の条件を満たすかどうかを監視するネットワーク監視技術が知られている。本先行技術は、複数の前記不審挙動の条件を監視することで、不正アクセスが発生しているか否かの判定精度を向上させる技術である。   Conventionally, as shown in Patent Document 1, a network monitoring technique is known in which a packet related to device authentication is analyzed to monitor whether one or more suspicious behavior conditions related to authentication are satisfied. This prior art is a technique for improving the determination accuracy of whether or not unauthorized access has occurred by monitoring a plurality of suspicious behavior conditions.

特開2014−86822号公報JP 2014-86822 A

従来技術では、(1)モデルの監視観点を増やすほどモデルから外れた通信挙動の有無を監視するための処理量が増加することと、(2)どの監視観点がモデルとして適切か、つまりモデル化される通常時の通信と、監視対象となる異常発生時の通信に違いが出るか、がモデル作成時点で不明な場合があるという課題がある。   In the prior art, (1) the more monitoring viewpoints of the model, the greater the amount of processing for monitoring the presence or absence of communication behavior that deviates from the model, and (2) which monitoring viewpoint is appropriate as a model, that is, modeling There is a problem that it may be unknown at the time of model creation whether there is a difference between the normal communication and the communication at the time of occurrence of an abnormality to be monitored.

本発明の目的は、機器同士がネットワークに接続されたシステムにおいて、不正アクセス等に基づくネットワーク上の不審な通信を早期に検出することにある。   An object of the present invention is to early detect suspicious communication on a network based on unauthorized access or the like in a system in which devices are connected to a network.

上記課題を解決するため、本発明は、好ましい一例として、ネットワークを流れるパケットを監視するネットワーク監視装置であって、処理部と、インターフェースとを有し、インターフェースは、前記ネットワークのパケットをキャプチャするパケットキャプチャ部を有し、前記処理部は、学習期間及び監視期間において、キャプチャしたパケットからパケット特徴量を複数の監視観点で抽出し、前記学習期間において、複数の監視観点で抽出した前記パケット特徴量に対して定常性の判定をし、定常性があると判定した前記監視観点についてのモデルの作成をし、前記学習期間に定常性があるとした前記監視観点について、前記監視期間において抽出した前記パケット特徴量と、前記モデルとを比較して異常通信有無を判定する。   In order to solve the above problems, the present invention is a network monitoring apparatus that monitors a packet flowing through a network as a preferred example, and includes a processing unit and an interface, and the interface captures a packet of the network. A capture unit, wherein the processing unit extracts a packet feature amount from the captured packet in a plurality of monitoring viewpoints in a learning period and a monitoring period, and extracts the packet feature amount in a plurality of monitoring viewpoints in the learning period For the monitoring viewpoint that is determined to be stationary, the model is created for the monitoring viewpoint that is determined to be stationary, and the monitoring viewpoint that is assumed to be stationary in the learning period is extracted in the monitoring period The presence / absence of abnormal communication is determined by comparing the packet feature quantity with the model.

本発明によれば、機器同士がネットワークに接続されたシステムにおいて、不正アクセス等に基づくネットワーク上の不審な通信を早期に検出できる。   According to the present invention, in a system in which devices are connected to a network, suspicious communication on the network based on unauthorized access or the like can be detected at an early stage.

一実施例に関わるシステム構成を示す図。The figure which shows the system configuration | structure in connection with one Example. ネットワーク監視装置を示す図。The figure which shows a network monitoring apparatus. モデル作成時の動作シーケンスを示す図。The figure which shows the operation | movement sequence at the time of model creation. 通信監視時の動作シーケンスを示す図。The figure which shows the operation | movement sequence at the time of communication monitoring. パケット分類部の動作フローを示す図。The figure which shows the operation | movement flow of a packet classification | category part. 分類法蓄積部を示す図。The figure which shows a classification method accumulation | storage part. パケット分類毎のパケットキューを示す図。The figure which shows the packet queue for every packet classification. モデル作成時におけるパケット特徴量抽出部を説明する図。The figure explaining the packet feature-value extraction part at the time of model creation. 通信監視時におけるパケット特徴量抽出部を説明する図。The figure explaining the packet feature-value extraction part at the time of communication monitoring. 特徴量項目のインデックスを説明する図。The figure explaining the index of a feature-value item. 特徴量計算結果を示す図。The figure which shows the feature-value calculation result. パケット特徴量選択学習部を説明する図。The figure explaining a packet feature-value selection learning part. 特徴量の定常性有無判定を説明する図。The figure explaining the continuity presence / absence determination of a feature amount. 監視観点選択蓄積部を説明する図。The figure explaining the monitoring viewpoint selection accumulation | storage part. モデル蓄積部を説明する図。The figure explaining a model storage part. パケット特徴量検証部を説明する図。The figure explaining a packet feature-value verification part. 異常通知を説明する図。The figure explaining abnormality notification. ネットワーク監視装置を説明する図。The figure explaining a network monitoring apparatus.

図1は、一実施例であるシステム構成を示す図である。本実施例では、ネットワーク監視装置104と、104の監視対象となる通信機能を有する機器101−1および101−2があり、機器101−1および機器101−2の間でシステム動作に必要な通信が為されている。機器間の通信を媒介するのは、ネットワークスイッチ103である。各監視対象の機器101及び本実施例によるネットワーク監視装置104は、ネットワークスイッチ103のインターフェースである入出力ポート102−1、102−2、102−3にそれぞれ通信ケーブルを通して接続されている。   FIG. 1 is a diagram illustrating a system configuration according to an embodiment. In the present embodiment, there are the network monitoring device 104 and the devices 101-1 and 101-2 having the communication function to be monitored by 104, and communication necessary for system operation between the devices 101-1 and 101-2. Has been made. The network switch 103 mediates communication between devices. Each monitored device 101 and the network monitoring device 104 according to this embodiment are connected to input / output ports 102-1, 102-2, and 102-3, which are interfaces of the network switch 103, through communication cables.

ネットワーク監視装置104は、システム内のパケットをパッシブに監視するため、ネットワークスイッチ103の入出力ポート102−3に対し、入出力ポート102−1および入出力ポート102−2で送受信されるパケットをミラーリングすることが望ましい。   The network monitoring device 104 mirrors packets transmitted and received at the input / output port 102-1 and the input / output port 102-2 with respect to the input / output port 102-3 of the network switch 103 in order to passively monitor the packets in the system. It is desirable to do.

図2は、一実施例であるネットワーク監視装置104を示す図である。このネットワーク監視装置104でモデル作成と通信監視を行うため、装置全体としてモデル作成モードと、通信監視モードの2つのモードを有する。   FIG. 2 is a diagram illustrating the network monitoring apparatus 104 according to an embodiment. Since the network monitoring device 104 performs model creation and communication monitoring, the entire device has two modes: a model creation mode and a communication monitoring mode.

111はパケットキャプチャ部である。図1の入出力ポート102−3を介してミラーリング出力されたネットワーク上のパケットをキャプチャし、次のブロックが処理するまで一時的にバッファに蓄積するブロックである。111でキャプチャしたパケットを基に、モデルの作成や通信監視に活用するため、モデル作成モードと通信監視モードの両モードで動作する。   Reference numeral 111 denotes a packet capture unit. This is a block that captures a packet on the network output by mirroring via the input / output port 102-3 in FIG. 1 and temporarily stores it in the buffer until the next block processes it. Based on the packet captured in 111, it operates in both the model creation mode and the communication monitoring mode for use in model creation and communication monitoring.

112はパケット分類部である。パケットキャプチャ部111に一時的に蓄積されたパケットを、IPアドレスとポート番号の組合せ(Source IPアドレス、Destination IPアドレス、Source Port番号、Destination Port番号)で分類し、分類毎にパケットキューに蓄積する。この分類は、通信する機器(ハードウェア)および機器上で動作するアプリケーション(ソフトウェア)の組合せの分類に相当し、その組合せ毎に通信の特徴が異なると考えられるため、本実施例ではモデル作成や通信監視を、この組合せ単位で実施することを想定する。モデル作成時と通信監視時で、パケット分類法を揃えるため、モデル作成時に適用したパケット分類法を分類法蓄積部121に記憶しておき、通信監視時に参照し、モデル作成時と同じ分類法でパケットを分類する。   Reference numeral 112 denotes a packet classification unit. Packets temporarily accumulated in the packet capture unit 111 are classified by a combination of an IP address and a port number (Source IP address, Destination IP address, Source Port number, Destination Port number) and accumulated in the packet queue for each classification. . This classification corresponds to the classification of combinations of devices (hardware) that communicate with and applications (software) that operate on the devices, and it is considered that the characteristics of communication differ for each combination. It is assumed that communication monitoring is performed in this combination unit. In order to align the packet classification method at the time of model creation and communication monitoring, the packet classification method applied at the time of model creation is stored in the classification method storage unit 121, referenced at the time of communication monitoring, and the same classification method as at the time of model creation. Classify the packet.

113−1および113−2は、それぞれモデル作成時、通信監視時に使用するパケット特徴量抽出部である。特徴量抽出は、パケットの長さや通信継続時間など様々な監視観点に基づき実施される。接続先の機能ブロック(114と115)を明確に区別するため、パケット特徴量抽出部113−1と113−2を別の機能ブロックとして記載しているが、パケット分類部112がキューに蓄積した結果を入力し、パケット通信の特徴量を計算するという観点で、論理的には同一なものである。ただし、通信監視時は、定常性を有さない監視観点に関しては、特徴量の計算をスキップする。どのパケット分類、およびどの監視観点について特徴量の計算を行う、または計算をスキップするかの判断は、後述する監視観点選択蓄積部122に蓄積されたテーブルを参照して行う。   Reference numerals 113-1 and 113-2 denote packet feature amount extraction units used for model creation and communication monitoring, respectively. The feature amount extraction is performed based on various monitoring viewpoints such as a packet length and a communication duration time. In order to clearly distinguish the functional blocks (114 and 115) at the connection destination, the packet feature quantity extraction units 113-1 and 113-2 are described as separate functional blocks, but the packet classification unit 112 has accumulated in the queue. It is logically the same from the viewpoint of inputting the result and calculating the feature quantity of packet communication. However, at the time of communication monitoring, feature value calculation is skipped for monitoring viewpoints that do not have continuity. The determination of which packet classification and which monitoring viewpoint the feature quantity is calculated for or the calculation is skipped is made with reference to a table stored in a monitoring viewpoint selection accumulation unit 122 described later.

114は、モデル作成時に使用するパケット特徴量選択学習部である。パケット特徴量抽出部113−1で抽出された様々な監視観点に基づき得られたパケット特徴量を入力とし、各監視観点で定常性を有するかどうかの判断を行い、定常性を有する場合は通信監視時に特徴量計算やモデルとの照合を行い、定常性を有さない場合は通信監視時に特徴量計算やモデルとの照合を行わない、という制御を行うため、監視観点毎に通信監視等を行うか行わないかを示すイネーブラ1403を生成し、結果を監視観点選択蓄積部122に蓄積する。監視観点選択蓄積部122へ蓄積されたイネーブラ1403は、通信監視時のパケット特徴量抽出部113−2において特徴量の計算を行うかスキップするかどうかの判断、ならびに115においてモデルとの照合をスキップするかどうかの判断に使用される。   Reference numeral 114 denotes a packet feature quantity selection learning unit used when creating a model. The packet feature quantity extracted based on various monitoring viewpoints extracted by the packet feature quantity extraction unit 113-1 is used as an input, and it is determined whether or not each monitoring viewpoint has continuity. In order to perform control to perform feature amount calculation and model comparison at the time of monitoring, and feature amount calculation and model comparison at the time of communication monitoring when there is no continuity, communication monitoring etc. are performed for each monitoring viewpoint. An enabler 1403 indicating whether to perform or not is generated, and the result is stored in the monitoring viewpoint selection storage unit 122. The enabler 1403 accumulated in the monitoring viewpoint selection accumulation unit 122 determines whether to calculate or skip the feature amount in the packet feature amount extraction unit 113-2 at the time of communication monitoring, and skips collation with the model in 115. Used to determine whether or not to

また、パケット特徴量選択学習部114は定常性を有すると判断された監視観点に関するモデルを作成し、モデル蓄積部123へ蓄積する。   Further, the packet feature quantity selection learning unit 114 creates a model related to the monitoring viewpoint determined to have continuity, and stores the model in the model storage unit 123.

115は、特徴量抽出部113−2による特徴量抽出結果とモデル蓄積部123に蓄積したモデルとの比較に基づき通信異常の発生有無を判断するパケット特徴量検証部115である。通信異常の発生を検出した場合、パケット特徴量検証部115は異常が発生したことを通知部116へ出力する。ここで、モデルとの比較を行うのは、モデル蓄積部123にてイネーブラ1403が立っているパケット分類と監視観点の組合せである。   Reference numeral 115 denotes a packet feature amount verification unit 115 that determines whether or not a communication abnormality has occurred based on a comparison between a feature amount extraction result obtained by the feature amount extraction unit 113-2 and a model stored in the model storage unit 123. When the occurrence of the communication abnormality is detected, the packet feature amount verification unit 115 outputs to the notification unit 116 that the abnormality has occurred. Here, the comparison with the model is a combination of the packet classification and the monitoring viewpoint in which the enabler 1403 stands in the model storage unit 123.

116は異常通信検出時に、検出したことをシステム利用者に通知するための通知部であり、画面への標準出力やプリンタへの出力など、システム利用者に通知できれば何でもよい。   Reference numeral 116 denotes a notification unit for notifying the system user of the detection when abnormal communication is detected, and any unit can be used as long as it can notify the system user, such as standard output to a screen or output to a printer.

図3は、一実施例であるモデル作成時の動作シーケンスである。
パケットキャプチャ部111にパケットが到着する度にパケット分類部112が起動される。パケット分類部112はキャプチャしたパケットのヘッダを参照しながら、各パケットをIPアドレスとポート番号の組合せのいずれかに分類し、分類毎のパケットキューに蓄積する。パケット分類部112はモデル作成に使用するパケットのキャプチャ時間を管理しており、キャプチャ開始時間から必要時間経過後にパケットキャプチャを終了し、パケット特徴量抽出部113−1を起動する。この段階では、パケット分類毎のキュー各々に対し、1または複数のパケットが格納されている状態である。なお、パケット分類方法を蓄積する分類法蓄積部121は、パケットキャプチャ開始前は空であり、未知のIPアドレスとポート番号の組合せのパケットが検出されるたびに、当該IPアドレスとポート番号の組合せが追加される形で蓄積される。S1001は、以上の通りパケットの分類およびキューへの蓄積、キャプチャ時間の管理、および分類法蓄積部121のアップデートを担当する。 FIG. 3 is an operation sequence at the time of creating a model according to one embodiment.
Each time a packet arrives at the packet capture unit 111, the packet classification unit 112 is activated. The packet classification unit 112 classifies each packet into one of a combination of an IP address and a port number while referring to the captured packet header, and stores the packet in a packet queue for each classification. The packet classification unit 112 manages the capture time of a packet used for model creation, ends the packet capture after a lapse of a necessary time from the capture start time, and activates the packet feature amount extraction unit 113-1. At this stage, one or more packets are stored in each queue for each packet classification. The classification method storage unit 121 that stores the packet classification method is empty before the start of packet capture, and each time a packet with an unknown combination of IP address and port number is detected, the combination of the IP address and port number is detected. Is accumulated in the form of addition. S1001 is responsible for packet classification and queue accumulation, capture time management, and classification method storage unit 121 update as described above.

パケット特徴量抽出部113−1は、パケット分類部112によってモデル作成に必要な期間のパケットキャプチャ完了後に起動され、全てのパケット分類および全ての監視観点に関して、パケットキュー内の全パケットに関する特徴量の計算が完了すると、パケット特徴量選択学習部114を起動する。S1002は、上記の特徴量計算を担当する。   The packet feature quantity extraction unit 113-1 is activated after the packet capture of the period necessary for model creation by the packet classification unit 112, and the feature quantity related to all packets in the packet queue is related to all packet classifications and all monitoring viewpoints. When the calculation is completed, the packet feature amount selection learning unit 114 is activated. S1002 is in charge of the above-described feature amount calculation.

パケット特徴量選択学習部114は、パケット特徴量抽出部113−1により特徴量計算が完了すると起動され、全てのパケット分類および全ての監視観点に関する特徴量が定常性を有するかどうかの判定を行い、その判定結果をイネーブラ1403として監視観点選択蓄積部122へ蓄積することと、上記判定結果が定常性ありの場合に、当該パケット分類および監視観点に関する特徴量からモデルを作成し、モデル蓄積部123へ蓄積する。S1003は、上記の定常性有無判定と、判定結果の蓄積、定常性を有するパケット分類および監視観点に関するモデルの作成および結果の蓄積を担当する。   The packet feature quantity selection learning unit 114 is activated when the feature quantity calculation is completed by the packet feature quantity extraction unit 113-1, and determines whether or not the feature quantities related to all packet classifications and all monitoring viewpoints have continuity. The determination result is stored in the monitoring viewpoint selection storage unit 122 as an enabler 1403, and when the determination result is stationary, a model is created from the feature quantity regarding the packet classification and the monitoring viewpoint, and the model storage unit 123 To accumulate. S1003 is in charge of the above-described continuity determination, accumulation of determination results, creation of a model relating to packet classification having continuity and a monitoring viewpoint, and accumulation of results.

図4は、一実施例である通信監視時の動作シーケンスである。
パケットキャプチャ部111にパケットが到着する度にパケット分類部112が起動され、パケット分類部112はキャプチャしたパケットのヘッダを参照しながら、各パケットをIPアドレスとポート番号の組合せのいずれかに分類し、分類毎のパケットキューに蓄積する。パケットの分類方法は、分類法蓄積部121に蓄積されているモデル作成時の結果を参照する。ここで、モデル作成時と異なり、未知のIPアドレスとポート番号の組合せのパケットが検出されると、パケット分類部112はモデルとの照合を待たずに異常通信発生と見なし、通知部116へ通知を行う。パケット分類部112はモデル作成に使用するパケットのキャプチャ時間を管理しており、例えば1秒毎など定期的にパケット特徴量抽出部113−2を起動する。 FIG. 4 is an operation sequence during communication monitoring according to an embodiment.
Each time a packet arrives at the packet capture unit 111, the packet classification unit 112 is activated, and the packet classification unit 112 classifies each packet into one of a combination of an IP address and a port number while referring to the header of the captured packet. Accumulate in the packet queue for each classification. The packet classification method refers to the model creation result stored in the classification method storage unit 121. Here, unlike when creating a model, when a packet with an unknown combination of IP address and port number is detected, the packet classifying unit 112 regards that abnormal communication has occurred without waiting for the matching with the model, and notifies the notification unit 116 of it. I do. The packet classification unit 112 manages the capture time of packets used for model creation, and activates the packet feature amount extraction unit 113-2 periodically, for example, every second.

短い時間間隔で定期的に起動することで、パケット解析のリアルタイム性を確保する。S1011は、パケットの分類およびキューへの蓄積、未知のIPアドレスとポート番号組合せ検出時の異常通信検知通知の発行、定期的な113−2の起動を担当する。   Real-time performance of packet analysis is ensured by starting periodically at short time intervals. S1011 is in charge of packet classification and storage in a queue, issuance of an abnormal communication detection notification upon detection of an unknown IP address and port number combination, and periodic startup of 113-2.

パケット特徴量抽出部113−2は、パケット分類部112によって定期的に起動され、パケット分類部112によって区切られた時間毎のパケット分類結果をパケットキューから取得する。取得した時間区切りごとのパケットを対象に、監視観点選択蓄積部122にてイネーブラ1403が立っているパケット分類および監視観点の組合せに関する特徴量計算を行い、該当する全ての特徴量計算が完了するとパケット特徴量検証部115を起動する。S1012は、特徴量計算がイネーブルされているパケット分類および監視観点の組合せに関する特徴量計算と、計算完了後のパケット特徴量検証部115起動を担当する。   The packet feature amount extraction unit 113-2 is periodically activated by the packet classification unit 112, and acquires the packet classification result for each time segmented by the packet classification unit 112 from the packet queue. For the acquired packet at each time interval, the monitoring viewpoint selection / accumulation unit 122 performs feature quantity calculation regarding the combination of the packet classification and monitoring viewpoint in which the enabler 1403 is set, and the packet is calculated when all the corresponding feature quantity calculations are completed. The feature amount verification unit 115 is activated. S1012 is in charge of the feature amount calculation regarding the combination of the packet classification and the monitoring viewpoint in which the feature amount calculation is enabled, and the activation of the packet feature amount verification unit 115 after the completion of the calculation.

パケット特徴量検証部115は、特徴量計算およびモデルとの照合がイネーブルされているパケット分類および監視観点の組合せに関して、計算された特徴量と、モデル蓄積部123に蓄積されているモデルとの照合を行い、前者がモデルから外れているか否かの判定を行い、モデルから外れていると判断された場合に異常通信発生と見なし、通知部116へ通知を行う。S1013は、計算された特徴量と作成されたモデルとの照合、特徴量がモデルから外れているかどうかの判定、外れている場合の異常通信発生通知を担当する。   The packet feature amount verification unit 115 compares the calculated feature amount with the model stored in the model storage unit 123 with respect to the combination of the packet classification and the monitoring viewpoint in which the feature amount calculation and the model comparison are enabled. It is determined whether or not the former is out of the model, and if it is determined that the former is out of the model, it is considered that abnormal communication has occurred, and the notification unit 116 is notified. S1013 is in charge of collating the calculated feature quantity with the created model, determining whether the feature quantity is out of the model, and notifying occurrence of abnormal communication when the feature quantity is out.

通知部116は、パケット分類部112またはパケット特徴量検証部115から異常通信発生通知を受けると起動し、システム利用者に対して異常通信発生を知らせる。異常通信発生を知らせる手段として、画面への文字出力や、プリンタへの出力が挙げられる。S1014は、上記の画面への文字出力や、プリンタへの出力など、システム利用者に対する通知を担当する。   The notification unit 116 is activated when an abnormal communication occurrence notification is received from the packet classification unit 112 or the packet feature amount verification unit 115 and notifies the system user of the occurrence of abnormal communication. Examples of means for notifying occurrence of abnormal communication include character output on a screen and output to a printer. In step S1014, notification to the system user such as character output on the screen and output to the printer is performed.

図5は、一実施例であるパケット分類部112の動作フローを示す図である。
S2001にて電源投入と共にパケット分類部112が起動すると、S2002にてパケット特徴量抽出部113−1または113−2を起動する条件を満たしているかどうかを確認する。モデル作成時は全てのパケット分類が完了した後、通信監視時は1秒毎など定期的な起動周期に達しているかどうかを確認する。起動条件を満たしている場合は、S2008にてパケット特徴量抽出部113−1または113−2に対して起動トリガを発行する。どちらを起動するかは、モデル作成モードか通信監視モードかの状態に依存する。 FIG. 5 is a diagram illustrating an operation flow of the packet classification unit 112 according to an embodiment.
When the packet classification unit 112 is activated when the power is turned on in S2001, it is confirmed in S2002 whether the condition for activating the packet feature amount extraction unit 113-1 or 113-2 is satisfied. At the time of model creation, after all packet classification is completed, at the time of communication monitoring, it is confirmed whether a regular activation cycle such as every second has been reached. If the activation condition is satisfied, an activation trigger is issued to the packet feature amount extraction unit 113-1 or 113-2 in S2008. Which one is activated depends on the model creation mode or the communication monitoring mode.

S2003は、パケットキャプチャ部111からのパケット入力があるかどうかを見ており、パケット入力が無い場合はS2002へ戻り、パケット入力がある場合はS2004へ進む。   S2003 checks whether there is a packet input from the packet capture unit 111. If there is no packet input, the process returns to S2002, and if there is a packet input, the process proceeds to S2004.

S2004は、入力されたパケットのヘッダから、パケット分類に必要なIPアドレスとポート番号の組合せを抽出する。抽出した組合せが何番目の組合せか、インデックスをサーチするのがS2005である。パケットの分類法は図6のような形式で蓄積され、IPアドレスとポート番号の組合せからインデックスをテーブル引きする。このテーブル、ならびに後述するパケットキューは、S2001の起動段階で空の状態で初期化される。   In step S2004, a combination of an IP address and a port number necessary for packet classification is extracted from the header of the input packet. In step S2005, the index is searched for which combination is the extracted combination. The packet classification method is stored in the format shown in FIG. 6, and an index is looked up from the combination of the IP address and the port number. This table and a packet queue to be described later are initialized in an empty state at the starting stage of S2001.

S2006では、S2005にてインデックスをテーブル引きできたかどうかを判断している。テーブル引きできた場合はS2007に進み、インデックスに対応するパケットキューに入力パケットを格納する。パケットキューは図7のような形でインデックス毎に管理される。テーブル引きできなかった場合、モデル作成時はS2009に進み図6テーブルへのインデックス追加と、併せてパケットキューの追加を行ったあと、S2007にて新規作成したインデックスに対応するパケットキューに入力パケットを格納する。通信監視時はS2010に進み、通知部116に対して異常通信検知を通知する。S2007やS2010の処理が終わった後は、S2002に戻りパケット特徴量抽出部の起動条件確認処理を行う。   In S2006, it is determined whether or not the index has been tabled in S2005. If the table can be looked up, the process proceeds to S2007, and the input packet is stored in the packet queue corresponding to the index. The packet queue is managed for each index in the form shown in FIG. If the table cannot be retrieved, the process proceeds to S2009 when creating the model, and after adding an index to the table in FIG. 6 and adding a packet queue, the input packet is sent to the packet queue corresponding to the newly created index in S2007. Store. When the communication is monitored, the process proceeds to S2010, and notification of abnormal communication is notified to the notification unit 116. After the processing of S2007 and S2010 is completed, the processing returns to S2002 and the activation condition confirmation processing of the packet feature amount extraction unit is performed.

図6は、一実施例である分類法蓄積部121を示す図である。2つの装置に関する情報602(Host1およびHost2)および各装置で動作するアプリケーションに関する情報603(Port1、Port2、Protocol)のユニークな組合せ毎にパケット分類インデックス601を割り当てている。Host1、Host2の実施例としてはIPアドレス、Port1、Port2の実施例としては、TCPやUDPで使用されるポート番号、ProtocolはIPヘッダに格納されているプロトコル番号に相当するTCPやUDPなどを記録する。Host1およびPort1がSource側、Host2およびPort2がDestination側とする。   FIG. 6 is a diagram illustrating the classification method storage unit 121 according to an embodiment. A packet classification index 601 is assigned to each unique combination of information 602 (Host 1 and Host 2) relating to two devices and information 603 (Port 1, Port 2, Protocol) relating to an application operating on each device. Examples of Host1 and Host2 are IP addresses, Port1 and Port2 are examples of port numbers used in TCP and UDP, and Protocol is TCP and UDP corresponding to the protocol number stored in the IP header. To do. Assume that Host1 and Port1 are the Source side, and Host2 and Port2 are the Destination side.

図7は、一実施例であるパケット分類毎のパケットキューを示す図である。パケット本体はヘッダとペイロードで構成され、パケット分類部112がヘッダからパケット分類、すなわち図6の表作成に必要なIPアドレスやポート番号などを抽出する。抽出したIPアドレスやポート番号の情報が、図6の表のインデックスの何番目に相当するかをサーチし、当該インデックに相当するパケットキューに対しパケット本体を格納する。モデル作成時に新規のIPアドレスやポート番号の組合せが検出されると、当該組合せに対応するインデックスを新規に発行し、パケットキューもインデックス生成に合わせて追加で生成する。   FIG. 7 is a diagram illustrating a packet queue for each packet classification according to an embodiment. The packet body is composed of a header and a payload, and the packet classification unit 112 extracts the packet classification from the header, that is, the IP address and port number necessary for creating the table of FIG. The extracted IP address and port number information corresponds to the index number in the table of FIG. 6, and the packet body is stored in the packet queue corresponding to the index. When a new combination of IP address and port number is detected at the time of model creation, an index corresponding to the combination is newly issued, and a packet queue is additionally generated in accordance with the index generation.

図8は、一実施例であるモデル作成時におけるパケット特徴量抽出部を説明する図である。
S2101で電源投入と共にパケット特徴量抽出部113−1または113−2が起動すると、S2102にてパケット分類部112における処理S2008が発行する起動トリガを待つ。トリガが来るまでS2102にて無限ループで待ち、トリガが来るとS2103に進む。 FIG. 8 is a diagram illustrating a packet feature amount extraction unit at the time of model creation according to an embodiment.
When the packet feature quantity extraction unit 113-1 or 113-2 is activated when the power is turned on in S 2101, the process waits for an activation trigger issued by the process S 2008 in the packet classification unit 112 in S 2102. The process waits in an infinite loop in S2102 until the trigger comes, and proceeds to S2103 when the trigger comes.

S2103はパケットキュー(すなわちパケット分類)のパケット分類インデックスに関するfor文の先頭、S2104は特徴量項目のインデックスに関するfor文の先頭である。特徴量項目のインデックスについては、図10の説明として後述する。それぞれのfor文の終端は、S2103−2およびS2104−2である。   S2103 is the beginning of the for sentence relating to the packet classification index of the packet queue (that is, packet classification), and S2104 is the beginning of the for sentence relating to the feature quantity item index. The index of the feature quantity item will be described later with reference to FIG. The end of each for statement is S2103-2 and S2104-2.

S2105では、パケット分類インデックス、ならびに特徴量項目のインデックスに関し、パケットキューに格納されているパケットを対象に特徴量計算を行う。特徴量計算に関しては、図10の説明として後述する。   In step S <b> 2105, the feature amount calculation is performed on the packet stored in the packet queue with respect to the packet classification index and the feature amount item index. The feature amount calculation will be described later with reference to FIG.

2重のfor文が完了すると、S2106にてパケット特徴量選択学習部114を起動する。起動完了後は、S2102に戻り、パケット分類部112からの起動トリガを再度待つ。   When the double for sentence is completed, the packet feature amount selection learning unit 114 is activated in S2106. After completion of activation, the process returns to S2102 and waits for an activation trigger from the packet classification unit 112 again.

図9は、一実施例である通信監視時におけるパケット特徴量抽出部を説明する図である。ほぼ図8と同じであるが、S2104の後にS2107の条件分岐が追加されている点と、S2106がS2108に差し替えられている点が異なる。   FIG. 9 is a diagram illustrating a packet feature amount extraction unit during communication monitoring according to an embodiment. 8 is almost the same as FIG. 8, except that a conditional branch of S2107 is added after S2104 and that S2106 is replaced with S2108.

S2107では、パケット分類インデックス、ならびに特徴量項目のインデックスに関し、イネーブラ1403のチェックを行う。イネーブラ1403が立っている場合はS2015にて特徴量計算を行い、イネーブラ1403が立っていない場合は特徴量計算をスキップする。   In step S2107, the enabler 1403 checks the packet classification index and the feature amount item index. If the enabler 1403 is standing, the feature amount calculation is performed in S2015, and if the enabler 1403 is not standing, the feature amount calculation is skipped.

S2108では、パケット特徴量検証部115を起動する。起動完了後は、S2102に戻り、パケット分類部112からの起動トリガを再度待つ。通信監視時におけるパケット特徴量抽出部が起動している期間を監視期間とする。   In step S2108, the packet feature amount verification unit 115 is activated. After completion of activation, the process returns to S2102 and waits for an activation trigger from the packet classification unit 112 again. A period during which the packet feature quantity extraction unit is activated during communication monitoring is defined as a monitoring period.

図10は、一実施例である特徴量項目のインデックスを説明する図である。
第一列に特徴量項目のインデックス1001、第二列に特徴量項目の名称1002、第三列に特徴量のデータフォーマット1003が記載されている。図9のfor文で参照するインデックスは、本図の第一列のインデックスに相当する。 FIG. 10 is a diagram for explaining an index of a feature amount item according to an embodiment.
A feature amount item index 1001 is described in the first column, a feature amount item name 1002 is described in the second column, and a feature amount data format 1003 is described in the third column. The index referred to in the “for” sentence in FIG. 9 corresponds to the index in the first column in FIG.

ここで、特徴量の計算方法について説明する。第三列にリスト型、レンジ型、ベクトル型というタイプを定義しているため、そのタイプごとに説明する。IntegerやFloatは、それぞれ特徴量の値が整数か浮動小数点かを表す。   Here, a feature amount calculation method will be described. Since the third column defines types such as a list type, a range type, and a vector type, each type will be described. Integer and Float indicate whether the feature value is an integer or floating point.

リスト型とは、パケット毎またはパケット群毎に1つの特徴量が抽出され、複数の特徴量が抽出された際に、特徴量の重複排除を行い、ユニークな特徴量がリスト化されるようにモデル化する方法を指す。例えば、パケット長はパケット毎に長さという特徴量を有する。パケットキューに3パケット存在し、それぞれの長さが60バイト、90バイト、60バイトだった場合、60バイトが重複するため、モデルとしては重複排除した60バイト、90バイトの2値で構成されるリストとする。   The list type is such that one feature value is extracted for each packet or packet group, and when a plurality of feature values are extracted, deduplication of the feature values is performed and unique feature values are listed. Refers to the method of modeling. For example, the packet length has a feature quantity of length for each packet. If there are 3 packets in the packet queue, and each length is 60 bytes, 90 bytes, and 60 bytes, the 60 bytes are duplicated, so the model is composed of binary values of 60 bytes and 90 bytes that are deduplicated. A list.

レンジ型とは、パケット毎またはパケット群毎に1つの特徴量が抽出され、複数の特徴量が抽出された際に、その最大値と最小値を抽出し、それぞれの値に対し任意のスケーリングファクタ(異常検出感度を調整する任意のパラメータ)を作用させたうえで、正常範囲と見なす特徴量の上限値と下限値を求める。その上限値と下限値をモデルとする。   In the range type, one feature value is extracted for each packet or packet group, and when a plurality of feature values are extracted, the maximum value and the minimum value are extracted, and an arbitrary scaling factor for each value is extracted. (Upper limit value and lower limit value of the feature amount regarded as the normal range are obtained after acting (an arbitrary parameter for adjusting the abnormality detection sensitivity). The upper and lower limits are used as models.

ベクトル型とは、パケット毎に複数の特徴量が抽出される。ペイロードのバイト列の類似性を評価する場合、ペイロードの1バイト目、2バイト目などを要素とするベクトルが特徴量として抽出される。パケット毎にベクトルが生成されるが、モデルとしてはパケットキュー内の全パケットのベクトルに対し、2つの代表ベクトルをモデルとする。   In the vector type, a plurality of feature amounts are extracted for each packet. When evaluating the similarity between the byte sequences of the payload, a vector whose elements are the first byte, the second byte, and the like of the payload is extracted as a feature amount. A vector is generated for each packet. As a model, two representative vectors are used as models for all packet vectors in the packet queue.

具体的には、例えばシーケンス番号など、パケット毎にインクリメントされるバイト位置が0、パケットキュー内の全パケット間で完全同一な値となるバイト位置が1となるベクトル(すなわち、バイト毎のマスクを行うマスクベクトル)と、当該マスクベクトルと各パケットのベクトルを、要素ごとに掛け算した結果のベクトル、つまり合計2つのベクトルをモデルとする。なお、後者のベクトルは、パケットキュー内のベクトル全てについて計算可能であるが、上記マスクベクトルの定義により、パケット間で値が異なる要素はマスクベクトルで0化されるため、マスクベクトル作用後のベクトルが全パケットにつき完全同一となる。   Specifically, for example, a sequence number or the like, where the byte position incremented for each packet is 0, and the byte position that is the same value for all packets in the packet queue is 1 (that is, the mask for each byte is set). A mask vector to be performed) and a vector obtained by multiplying the mask vector and the vector of each packet for each element, that is, a total of two vectors. Note that the latter vector can be calculated for all vectors in the packet queue. However, because of the mask vector definition, elements whose values differ between packets are zeroed by the mask vector. Are completely the same for all packets.

また、上で述べたパケット毎またはパケット群毎に1つの特徴量が抽出されるという点について、前者の例はパケットの長さである。後者の例は通信継続時間である。通信継続時間は、TCPパケットのSYNフラグが立ったパケットのタイムスタンプから、同じくFINフラグ(またはRSTフラグ)が立ったパケットのタイムスタンプの間の時間であり、その区間の間に複数のパケットがやりとりされる。その複数のパケットをパケット群と呼んでいる。   Further, with respect to the point that one feature amount is extracted for each packet or each packet group described above, the former example is the length of the packet. The latter example is communication duration. The communication duration is the time between the time stamp of the packet in which the SYN flag of the TCP packet is set and the time stamp of the packet in which the FIN flag (or RST flag) is also set. Exchanged. The plurality of packets are called a packet group.

このように、モデルの型としてはリスト型、レンジ型、ベクトル型があり、特徴量抽出の単位としてはパケット毎、パケット群毎がある。   As described above, the model type includes a list type, a range type, and a vector type, and the feature amount extraction unit includes each packet and each packet group.

図11は、一実施例である特徴量計算結果を示す図である。第一列はパケット分類インデックス1101、第ニ列は特徴量項目インデックス1102、第三列以降は特徴量1103−1106を示す。   FIG. 11 is a diagram illustrating a feature amount calculation result according to an embodiment. The first column indicates the packet classification index 1101, the second column indicates the feature amount item index 1102, and the third and subsequent columns indicate the feature amounts 1103-1106.

図8および図10の説明で述べた通り、パケット分類インデックスおよび特徴量項目のインデックス毎(図10参照)に特徴量を計算する。パケットキューに格納されている全パケットを対象として特徴量計算を行うため、特徴量が複数出る場合がある。   As described with reference to FIGS. 8 and 10, the feature amount is calculated for each packet classification index and feature amount item index (see FIG. 10). Since the feature amount calculation is performed on all packets stored in the packet queue, a plurality of feature amounts may appear.

図11の1段目は、一つ目のパケットキューに関し、パケット長の特徴量を抽出した結果である。パケットキュー内の最初の3パケットは、全てパケット長が368バイトであることを示している。実際は4パケット目以降も同様にテーブル化する。   The first row in FIG. 11 shows the result of extracting the feature quantity of the packet length for the first packet queue. The first three packets in the packet queue all indicate that the packet length is 368 bytes. Actually, the fourth and subsequent packets are similarly tabulated.

同じく2段目は、一つ目のパケットキューに関し、通信継続時間の特徴量を抽出した結果である。SYNフラグの立ったパケットからFINフラグの立ったパケットまでの経過時間がテーブル化されており、同図の例では第1パケット群が1.2秒、第2パケット群が1.1秒、第3パケット群が0.3秒であることを示す。実際は、第4パケット群以降も同様にテーブル化する。   Similarly, the second row shows the result of extracting the feature amount of the communication duration for the first packet queue. The elapsed time from the packet with the SYN flag to the packet with the FIN flag is tabulated, and in the example of the figure, the first packet group is 1.2 seconds, the second packet group is 1.1 seconds, It shows that 3 packet groups are 0.3 seconds. Actually, the fourth and subsequent packet groups are similarly tabulated.

同じく3段目は、一つ目のパケットキューに関し、ペイロードのバイト列を特徴量として抽出した結果である。ここでは例として、ペイロードの先頭4バイトを特徴量のベクトルとして抽出しているが、抽出するバイト位置や長さはコンフィグ可能とする。パケットキュー内の最初の3パケットに関し、一つ目のパケットの先頭4バイトが0x5A, 0xA5, 0x5A, 0xA5、二つ目のパケットは0x5A, 0xA5, 0x5A, 0xA6、三つ目のパケットは0x5A, 0xA5, 0x5A, 0xA7であることを示す。実際は、第4パケット以降も同様にテーブル化する。   Similarly, the third row shows the result of extracting the byte sequence of the payload as the feature amount for the first packet queue. Here, as an example, the first 4 bytes of the payload are extracted as a feature vector, but the extracted byte position and length can be configured. For the first 3 packets in the packet queue, the first 4 bytes of the first packet are 0x5A, 0xA5, 0x5A, 0xA5, the second packet is 0x5A, 0xA5, 0x5A, 0xA6, the third packet is 0x5A, Indicates 0xA5, 0x5A, 0xA7. Actually, the fourth and subsequent packets are similarly tabulated.

同じく4段目は、二つ目のパケットキューに関し、パケット長を特徴量として抽出した結果である。1段目と異なり、パケット毎に長さが異なる例である。   Similarly, the fourth row shows the result of extracting the packet length as a feature amount for the second packet queue. Unlike the first stage, this is an example in which each packet has a different length.

図12は、一実施例であるパケット特徴量選択学習部を説明する図である。
S2201で電源投入と共にパケット特徴量選択学習部が起動すると、S2202にてパケット特徴量抽出部113−1における処理S2106が発行する起動トリガを待つ。トリガが来るまでS2202にて無限ループで待ち、トリガが来るとS2103に進む。 FIG. 12 is a diagram illustrating a packet feature amount selection learning unit according to an embodiment.
When the packet feature quantity selection learning unit is activated when the power is turned on in S2201, the process waits for an activation trigger issued by the process S2106 in the packet feature quantity extraction unit 113-1 in S2202. The process waits in an infinite loop in S2202 until the trigger comes, and proceeds to S2103 when the trigger comes.

S2103およびS2104に関わるパケット分類インデックスに関するループ、ならびに特徴量項目インデックスに関するループは、図8と同様である。   The loop related to the packet classification index related to S2103 and S2104 and the loop related to the feature amount item index are the same as those in FIG.

S2203では、パケット分類インデックスおよび特徴量項目インデックス毎に、パケット特徴量抽出部113−1で抽出した特徴量(図11参照)が、定常性を有するかどうかの判定を行い、定常性を有する場合はモデルを作成した上でイネーブラ1403をEnableとし、定常性を有さない場合はイネーブラ1403をDisableとする。イネーブラ1403は監視観点選択蓄積部122に蓄積され、作成したモデルはモデル蓄積部123に蓄積される。二つのfor文完結後、S2202に戻りパケット特徴量抽出部113−1からの起動トリガを待つ。パケット特徴量選択学習部が起動している期間を学習期間とする。   In S2203, for each packet classification index and feature quantity item index, it is determined whether the feature quantity (see FIG. 11) extracted by the packet feature quantity extraction unit 113-1 has continuity. After creating the model, the enabler 1403 is set to “Enable”, and the enabler 1403 is set to “Disable” when there is no continuity. The enabler 1403 is stored in the monitoring viewpoint selection storage unit 122, and the created model is stored in the model storage unit 123. After the completion of the two for sentences, the process returns to S2202 and waits for an activation trigger from the packet feature amount extraction unit 113-1. A period during which the packet feature selection learning unit is activated is defined as a learning period.

特徴量が定常性を有するか否かの判定については図13、監視観点選択蓄積部122の実施例は図14、モデル蓄積部123の実施例は図15にそれぞれ示す。   FIG. 13 shows the determination as to whether or not the feature quantity has continuity, FIG. 14 shows an example of the monitoring viewpoint selection storage unit 122, and FIG. 15 shows an example of the model storage unit 123.

図13は、一実施例である特徴量の定常性有無判定を説明する図である。第一列はパケット分類インデックス1301、第二列は特徴量項目インデックス1302、第三列は定常性評価1303を示す。 定常性評価対象となる特徴量は図11に準ずる。なお、ここでは説明を簡単にするため、図11に省略せず表示されている3つの特徴量の値を対象に定常性評価を行う例を示すが、実際は全ての特徴量を対象に同様の定常性評価を行う。   FIG. 13 is a diagram illustrating determination of the presence / absence of feature amount continuity according to an embodiment. The first column shows the packet classification index 1301, the second column shows the feature amount item index 1302, and the third column shows the continuity evaluation 1303. The feature quantity to be evaluated for continuity conforms to FIG. Here, for the sake of simplicity, an example in which the continuity evaluation is performed on the three feature value values displayed in FIG. 11 without omission is shown, but in reality, the same applies to all feature values. Perform a stationarity assessment.

表の1段目は、一つ目のパケットキューの、パケット長の特徴量に関する定常性評価の例を示す。図11によると、3つの特徴量は全て368バイトであり、重複排除した結果ユニークなパケット長のリストは368バイトのみで構成される。つまり、パケット長のバリエーションが1種類のみであることを示す。本例では、ユニークなパケット長のバリエーションが2種類までの場合を定常性ありと見なし、それを超える場合を定常性なしと見なす。結果、一つ目のパケットキューのパケット長については、定常性ありと判定されている。ここで、2種類という閾値はコンフィグ可能なシステムパラメータであり、図12のS2201の段階で初期設定をする。   The first row of the table shows an example of continuity evaluation regarding the feature amount of the packet length of the first packet queue. According to FIG. 11, the three feature quantities are all 368 bytes, and the list of unique packet lengths as a result of deduplication is composed of only 368 bytes. That is, it indicates that there is only one type of packet length variation. In this example, the case where there are up to two unique packet length variations is considered to be stationary, and the case where it exceeds the variation is considered not stationary. As a result, the packet length of the first packet queue is determined to be stationary. Here, the two types of threshold values are configurable system parameters, and are initially set in step S2201 of FIG.

対して、表の4段目は、二つ目のパケットキューの、パケット長の特徴量に関する定常性評価の例だが、図11に従うと、重複排除した結果のユニークなパケット長のリストが168、1514、392バイトの3値で構成され、上記のパケット長のバリエーションの閾値条件を満たさないため、定常性なしと判定している。   On the other hand, the fourth row of the table is an example of the continuity evaluation regarding the feature quantity of the packet length of the second packet queue. According to FIG. 11, a list of unique packet lengths as a result of deduplication is 168, Since it is composed of three values of 1514 and 392 bytes and does not satisfy the above threshold condition for variation of the packet length, it is determined that there is no continuity.

表の2段目は、一つ目のパケットキューの、通信継続時間の特徴量に関する定常性評価の例である。図11によると、3つの特徴量は1.1、1.2、0.3[秒]である。通信継続時間は処理時間や伝送速度に依存するため、定常性判定するにあたってリスト型のようなユニーク値のバリエーション数は適さない。ここでは、特徴量の平均値と標準偏差の比を評価指標とし、平均÷標準偏差が10を超える場合は定常性あり、10を超えない場合は定常性なしと判断する。同図の例では、平均と標準偏差の比が10を超えていないため定常性なしと判断している。ここで、平均対標準偏差の比=10という閾値はコンフィグ可能なシステムパラメータであり、図12のS2201の段階で初期設定する。   The second row of the table is an example of continuity evaluation regarding the feature amount of the communication continuation time of the first packet queue. According to FIG. 11, the three feature amounts are 1.1, 1.2, and 0.3 [seconds]. Since the communication continuation time depends on the processing time and transmission speed, the number of unique value variations such as a list type is not suitable for determining continuity. Here, the ratio between the average value of the feature values and the standard deviation is used as an evaluation index, and when the average / standard deviation exceeds 10, the stationarity is determined. In the example of the figure, since the ratio of the average and the standard deviation does not exceed 10, it is determined that there is no continuity. Here, the threshold value of the ratio of average to standard deviation = 10 is a configurable system parameter, and is initially set in step S2201 in FIG.

表の3段目は、一つ目のパケットキューの、ペイロードの特徴量に関する定常性評価の例である。図11によると、3つの特徴量にわたって先頭3バイト分の値は完全一致しており、4バイト目の値のみパケット間で異なっている。ここでは、パケット間で完全一致しているバイト数が3以上の場合に定常性あり、2以下の場合に定常性なしと判断する。この例では3バイトが完全一致しているため、定常性ありと判断している。ここで、完全一致しているバイト数に関する閾値は、はコンフィグ可能なシステムパラメータであり、図12のS2201の段階で初期設定する。   The third row of the table is an example of continuity evaluation regarding the feature amount of the payload of the first packet queue. According to FIG. 11, the values for the first 3 bytes are completely identical over the three feature values, and only the value of the fourth byte is different between packets. Here, it is determined that the stationarity is present when the number of bytes completely matching between packets is 3 or more, and that the stationarity is absent when the number of bytes is 2 or less. In this example, since 3 bytes are completely matched, it is determined that there is continuity. Here, the threshold regarding the number of completely matching bytes is a configurable system parameter, and is initially set in step S2201 of FIG.

以上の結果得られるモデルは、1段目に関してはパケット長リスト=[368]、2段目と4段目は定常性なしのためモデルなし、3段目に関してはペイロードの代表ベクトル[0x5A,0xA5,0x5A,0x00]およびマスクベクトル[1,1,1,0]がモデルとなる。   The model obtained as a result of the above is the packet length list for the first stage = [368], the second stage and the fourth stage have no model because there is no continuity, and the third stage has a payload representative vector [0x5A, 0xA5 , 0x5A, 0x00] and the mask vector [1,1,1,0] are models.

図14は、一実施例である監視観点選択蓄積部を説明する図である。第一列はパケット分類インデックス1401、第二列は特徴量項目インデックス1402、第三列はイネーブラ1403を示す。   FIG. 14 is a diagram illustrating a monitoring viewpoint selection accumulation unit according to an embodiment. The first column shows the packet classification index 1401, the second column shows the feature amount item index 1402, and the third column shows the enabler 1403.

図13にて、パケット分類インデックス毎、および特徴量項目インデックス毎の定常性評価を行ったが、その評価結果が定常性あり(Stable)と判断されたインデックスの組合せに対してはEnable、定常性なし(Unstable)と判断された場合はDisableと記録される。   In FIG. 13, the continuity evaluation is performed for each packet classification index and for each feature amount item index. For the combination of indexes for which the evaluation result is determined to be stable (stable), “Enable” and “stationarity” are performed. When it is determined that there is none (Unstable), “Disable” is recorded.

図15は、一実施例であるモデル蓄積部を説明する図である。第一列はパケット分類インデックス1501、第二列は特徴量項目インデックス1502、第三列はモデル1503を示す。   FIG. 15 is a diagram illustrating a model storage unit according to an embodiment. The first column shows the packet classification index 1501, the second column shows the feature quantity item index 1502, and the third column shows the model 1503.

図13の説明にて、パケット分類インデックス毎、および特徴量項目インデックス毎の定常性評価を行い、定常性があるインデックの組合せに関して生成されるモデルを説明した。定常性がない項目、すなわち図15の表中の2段目と4段目はモデルなしのためN/A(Not Applicable)としており、定常性がある項目については、1段目がパケット長のユニーク値のリスト、すなわち[368]、3段目がペイロードの代表ベクトル[0x5A,0xA5,0x5A,0x00]およびマスクベクトル[1,1,1,0]がモデルとして記録される。   In the description of FIG. 13, the continuity evaluation is performed for each packet classification index and for each feature amount item index, and the model generated for the combination of indexes having continuity has been described. Items that do not have stationarity, that is, the second and fourth levels in the table of FIG. 15 are N / A (Not Applicable) because there is no model. For items that have stationarity, the first level is the packet length. A list of unique values, that is, [368], the third stage is recorded with payload representative vectors [0x5A, 0xA5, 0x5A, 0x00] and mask vectors [1,1,1,0] as models.

図16は、一実施例であるパケット特徴量検証部を説明する図である。
S2301で電源投入と共にパケット特徴量検証部が起動すると、S2302にてパケット特徴量抽出部113−2における処理S2108が発行する起動トリガを待つ。トリガが来るまでS2302にて無限ループで待ち、トリガが来るとS2103に進む。 FIG. 16 is a diagram illustrating a packet feature amount verification unit according to an embodiment.
When the packet feature amount verification unit is activated when the power is turned on in step S2301, a start trigger issued by the process S2108 in the packet feature amount extraction unit 113-2 is waited in step S2302. The process waits in an infinite loop in S2302 until the trigger comes, and proceeds to S2103 when the trigger comes.

S2103およびS2104に関わるパケット分類インデックスに関するループ、ならびに特徴量項目インデックスに関するループは、図8と同様である。   The loop related to the packet classification index related to S2103 and S2104 and the loop related to the feature amount item index are the same as those in FIG.

S2303は、パケット分類インデックスおよび特徴項目インデックスに関するイネーブラ1403を監視観点選択蓄積部122のテーブル(図14)からチェックを行う。Disableの場合はS2104−2までスキップし、次のインデックスの組合せの処理を行う。Enableの場合は、S2304の処理に進む。   In S2303, the enabler 1403 related to the packet classification index and the feature item index is checked from the table (FIG. 14) of the monitoring viewpoint selection accumulation unit 122. In the case of Disable, the process skips to S2104-2 and performs the next index combination process. In the case of Enable, the process proceeds to S2304.

S2304では、パケット特徴量抽出部113−2が抽出した特徴量(図11)と、モデル(図15)との比較を行う。当該パケット分類インデックスおよび特徴項目インデックスの組合せにおいて、図11に示すように複数の特徴量が出力されるが、その特徴量それぞれとモデルとの比較を行い、少なくとも1つの特徴量がモデルから外れた場合、異常通信として検出する。   In S2304, the feature amount (FIG. 11) extracted by the packet feature amount extraction unit 113-2 is compared with the model (FIG. 15). In the combination of the packet classification index and the feature item index, a plurality of feature amounts are output as shown in FIG. 11, but each of the feature amounts is compared with the model, and at least one feature amount is out of the model. If it is detected as abnormal communication.

例えば、リスト型のモデルの場合、特徴量の値がモデルのリスト内に存在しない場合、異常通信と見なす。レンジ型のモデルの場合、特徴量の値がモデルの正常値上限および下限の範囲から外れている場合、異常通信と見なす。ベクトル型のモデル(ペイロード)の場合、モデルであるペイロードの代表ベクトル(要素数4の例)を[p1, p2, p3, p4]、同じくマスクベクトルを[m1, m2, m3, m4]、観測された特徴量のベクトルを[o1, o2, o3, o4]とすると、m1×o1=p1, m2×o2=p2, m3×o3=p3, m4×o4=p4のいずれかが満たされない場合、異常通信と見なす。   For example, in the case of a list type model, when the feature value does not exist in the model list, it is regarded as abnormal communication. In the case of the range type model, if the feature value is out of the normal value upper and lower limits of the model, it is regarded as abnormal communication. In the case of a vector type model (payload), the representative vector of the payload that is the model (example of 4 elements) is [p1, p2, p3, p4], and the mask vector is [m1, m2, m3, m4], observation Assuming that the feature vector is [o1, o2, o3, o4], if either m1 × o1 = p1, m2 × o2 = p2, m3 × o3 = p3, m4 × o4 = p4 is not satisfied, Regarded as abnormal communication.

S2305では、S2304にて異常通信と判断したか否かの条件分岐を行う。異常通信と判断した場合はS2306の処理に進み、異常通信でないと判断した場合はS2306の処理をスキップする。   In S2305, a conditional branch is made as to whether or not the abnormal communication is determined in S2304. If it is determined that the communication is abnormal, the process proceeds to S2306. If it is determined that the communication is not abnormal, the process of S2306 is skipped.

S2306では、図5のS2010と同様、通知部116に対して異常通信検知を通知する。   In S2306, similar to S2010 in FIG. 5, the notification unit 116 is notified of abnormal communication detection.

図17は、一実施例による異常通知を説明する図である。第一列はエラーインデックス1701、第二列は装置情報1702、第三列はアプリケーションに関する情報1703、第四列は異常検知内容1704を示す。   FIG. 17 is a diagram for explaining abnormality notification according to an embodiment. The first column shows the error index 1701, the second column shows the device information 1702, the third column shows the information 1703 related to the application, and the fourth column shows the abnormality detection content 1704.

異常通知は、図5のS2010または図16のS2306から発行される。具体的な形式の一例は、図6に基づく異常通知に関するHost、Port、Protocol情報に加えて、具体的な異常内容を通知する。   The abnormality notification is issued from S2010 of FIG. 5 or S2306 of FIG. As an example of a specific format, in addition to Host, Port, and Protocol information related to the abnormality notification based on FIG. 6, specific abnormality contents are notified.

図16のS2306から異常通知が来る場合、作成したモデルに対し特徴量が外れているため、どの特徴量項目(図10)についてどのような特徴量が検出されたかの情報を含める。具体例としては、図17の1段目の通り、通信監視時に検出されたパケット長の特徴量(ここでは456バイト)が、モデルから外れたことを通知する内容となる。図4の通信監視シーケンスで説明したように、モデル作成時と異なり、未知のIPアドレスとポート番号の組合せのパケットが検出されると、パケット分類部112はモデルとの照合を待たずに異常通信発生と見なし、通知部116へ通知を行う。二段目は、その例を示す。   When an abnormality notification is received from S2306 in FIG. 16, since the feature quantity is out of the created model, information on what feature quantity has been detected for which feature quantity item (FIG. 10) is included. As a specific example, as shown in the first row of FIG. 17, the packet length feature amount (here, 456 bytes) detected at the time of communication monitoring is the content for notifying that it is out of the model. As described in the communication monitoring sequence of FIG. 4, when a packet having a combination of an unknown IP address and port number is detected, unlike the model creation, the packet classification unit 112 does not wait for matching with the model and performs abnormal communication. The notification unit 116 is notified of the occurrence. The second row shows an example.

図5のS2010から異常通知が来る場合、作成したモデルにない通信(IPアドレスとポート番号の組合せ)が検出されたため、モデル外の通信が検出されたことを通知する内容となる。   When an abnormality notification is received from S2010 in FIG. 5, since the communication (combination of IP address and port number) not found in the created model has been detected, the content is a notification that communication outside the model has been detected.

以上の内容は、異常通知に関するデータ構造であり、このデータ構造に基づき適宜表示方法を定めたうえで画面出力やプリンタ出力する。   The above content is a data structure related to an abnormality notification, and a screen display or printer output is performed after a display method is appropriately determined based on this data structure.

図18は、一実施例であるネットワーク監視装置を示す図である。
201は、デバイス間の通信を行うためのバスである。202は、プログラムを格納するメモリである。202には、パケット分類部112、パケット特徴量抽出部113、パケット特徴量選択学習部114、パケット特徴量検証部115が含まれる。203は、プログラムを動作させるCPUなどの演算処理デバイスである。204は、プログラムが使用するメモリであり、分類法蓄積部121、監視観点選択蓄積部122、モデル蓄積部123、および各プログラムの作業領域として使用される。205は、パケットを取込むためのネットワークインターフェースデバイスである。これは、パケットキャプチャ部111に相当する。206は画面やプリンタなどの出力デバイスで、図17に基づく異常検知結果が出力される。 FIG. 18 is a diagram illustrating a network monitoring apparatus according to an embodiment.
Reference numeral 201 denotes a bus for performing communication between devices. Reference numeral 202 denotes a memory for storing a program. 202 includes a packet classification unit 112, a packet feature amount extraction unit 113, a packet feature amount selection learning unit 114, and a packet feature amount verification unit 115. Reference numeral 203 denotes an arithmetic processing device such as a CPU that operates a program. A memory 204 used by the program is used as a classification method storage unit 121, a monitoring viewpoint selection storage unit 122, a model storage unit 123, and a work area of each program. Reference numeral 205 denotes a network interface device for capturing a packet. This corresponds to the packet capture unit 111. An output device 206 such as a screen or a printer outputs an abnormality detection result based on FIG.

本発明の実施例によれば、モデルの監視観点を増やすほど不正アクセス等の判定精度が増加する一方、モデルから外れた通信挙動の有無を監視するための処理量が増加するという課題に対し、モデル作成時点で定常性を有する監視観点のみ選択してモデル作成およびパケットの監視を行う手段を採ることで、判定精度向上に伴う処理量増加を抑えることができる。また、システム内のネットワーク上に流れるパケット群に対してモデル作成時点で監視観点の候補を複数準備し、複数ある監視観点各々に対して上記パケット群が定常性を有するかどうかの判定を行う過程で、どの監視観点がモデルとして適切か不明、という課題を解決する。   According to the embodiment of the present invention, as the monitoring viewpoint of the model increases, the determination accuracy of unauthorized access or the like increases, while the problem that the processing amount for monitoring the presence or absence of communication behavior deviating from the model increases. By selecting only monitoring viewpoints that have continuity at the time of model creation and adopting means for model creation and packet monitoring, it is possible to suppress an increase in processing amount due to improvement in determination accuracy. Also, a process of preparing a plurality of monitoring viewpoint candidates at the time of model creation for a packet group flowing on the network in the system, and determining whether the packet group has continuity for each of the plurality of monitoring viewpoints Thus, the problem of uncertain which monitoring viewpoint is appropriate as a model is solved.

101…通信機能を有する機器
102…ネットワークスイッチ103の入出力ポート
103…ネットワークスイッチ
104…ネットワーク監視装置
111…パケットキャプチャ部
112…パケット分類部
113…パケット特徴量抽出部
114…パケット特徴量選択学習部
115…パケット特徴量検証部
116…通知部
121…分類法蓄積部
122…監視観点選択蓄積部
123…モデル蓄積部
201…バス
202…プログラム格納メモリ
203…演算処理デバイス
204…プログラムから参照するデータの格納メモリ
205…ネットワークインターフェースデバイス
206…出力デバイス DESCRIPTION OF SYMBOLS 101 ... Device 102 with a communication function ... Input / output port 103 of the network switch 103 ... Network switch 104 ... Network monitoring device 111 ... Packet capture unit 112 ... Packet classification unit 113 ... Packet feature amount extraction unit 114 ... Packet feature amount selection learning unit 115: Packet feature amount verification unit 116 ... Notification unit 121 ... Classification method storage unit 122 ... Monitoring viewpoint selection storage unit 123 ... Model storage unit 201 ... Bus 202 ... Program storage memory 203 ... Arithmetic processing device 204 ... Data of reference from program Storage memory 205 ... Network interface device 206 ... Output device

Claims (7)

ネットワークを流れるパケットを監視するネットワーク監視装置であって、
処理部と、インターフェースとを有し、
前記インターフェースは、
前記ネットワークのパケットをキャプチャするパケットキャプチャ部を有し、
前記処理部は、
学習期間及び監視期間において、キャプチャしたパケットからパケット特徴量を、複数の監視観点で抽出し、
前記学習期間において、複数の監視観点で抽出した前記パケット特徴量に対して定常性の判定をし、定常性があると判定した前記監視観点についてのモデルの作成をし、
前記学習期間に定常性があるとした前記監視観点について、前記監視期間において抽出した前記パケット特徴量と、前記モデルとを比較して異常通信有無を判定することを特徴とするネットワーク監視装置。 A network monitoring device for monitoring packets flowing through a network,
A processing unit and an interface;
The interface is
A packet capture unit for capturing packets of the network;
The processor is
In the learning period and the monitoring period, packet feature values are extracted from the captured packets from a plurality of monitoring viewpoints.
In the learning period, determination of continuity is performed on the packet feature values extracted from a plurality of monitoring viewpoints, and a model is created for the monitoring viewpoint that is determined to have continuity,
A network monitoring apparatus characterized in that, for the monitoring viewpoint that the learning period is stationary, the presence or absence of abnormal communication is determined by comparing the packet feature amount extracted in the monitoring period with the model. 請求項1記載のネットワーク監視装置において、前記学習期間に抽出したパケット特徴量が、定常性があるかどうかを、パケット長の特徴量、通信継続時間の特徴量、もしくはペイロードのベクトルの特徴量のそれぞれに定常性を判断する閾値を設け、その閾値に基づいて定常性を判定し、定常性がある場合には、前記パケット長の値、通信継続時間の統計量、もしくは前記ペイロードのベクトルをモデルとして記録することを特徴とするネットワーク監視装置。 2. The network monitoring device according to claim 1, wherein whether or not the packet feature value extracted during the learning period is stationary is determined by a packet length feature value, a communication duration feature value, or a payload vector feature value. Each is provided with a threshold for determining continuity, and continuity is determined based on the threshold. If there is continuity, the packet length value, the communication duration statistic, or the payload vector is modeled. A network monitoring device characterized by recording as: 請求項2記載のネットワーク監視装置において、パケットの送信元に対応する機器、パケットの送信先に対応する機器、パケットの送信元で使用されるアプリケーション、パケットの送信先で使用されるアプリケーションに基づいてパケットを分類し、分類したパケット各々に対して、定常性があるかどうかを判定し、判定結果をイネーブラとして記録することを特徴とするネットワーク監視装置。 3. The network monitoring device according to claim 2, based on a device corresponding to a packet transmission source, a device corresponding to a packet transmission destination, an application used in the packet transmission source, and an application used in the packet transmission destination. A network monitoring apparatus characterized by classifying packets, determining whether each classified packet has continuity, and recording the determination result as an enabler. 請求項3記載のネットワーク監視装置において、前記監視期間において、分類後のパケットに対するイネーブラを参照し、定常性がないと判定したパケットについては、パケット特徴量の抽出をスキップすることを特徴とするネットワーク監視装置。 4. The network monitoring device according to claim 3, wherein, in the monitoring period, referring to an enabler for the classified packet and skipping the extraction of the packet feature amount for a packet determined to be non-stationary. Monitoring device. 請求項1または2記載のネットワーク監視装置において、IPアドレスや、ポートの組み合わせを用いてパケットを分類し、監視するパケットが分類したパケットではない場合は異常として通知をし、前記監視期間において抽出した前記パケット特徴量と前記モデルとを比較した結果、前記パケット特徴量が前記モデルから外れた場合は、前記監視期間の前記パケット特徴量を異常として通知することを特徴とするネットワーク監視装置。 3. The network monitoring device according to claim 1 or 2, wherein the packet is classified using a combination of an IP address and a port, and if the packet to be monitored is not a classified packet, an error is notified and the packet is extracted during the monitoring period. As a result of comparing the packet feature quantity with the model, if the packet feature quantity is out of the model, the network monitoring apparatus notifies the packet feature quantity in the monitoring period as abnormal. 監視対象となる機器間はネットワークを介して接続しており、該ネットワークを流れるパケットを監視するネットワーク監視システムであって、該パケットをキャプチャするインターフェースと、該キャプチャしたパケットに基づいて演算処理をする処理部とを有し、
前記処理部は、
前記キャプチャしたパケットから、パケット特徴量を複数の監視観点で抽出し、
複数の監視観点で抽出した前記パケット特徴量に対して、学習期間において定常性の判定をし、定常性があると判定した監視観点についてモデルを作成し、
前記学習期間に定常性があるとした監視観点について、監視期間において抽出したパケット特徴量と、前記モデルとを比較して異常通信有無を判定することを特徴とするネットワーク監視システム。 A device to be monitored is connected via a network, and is a network monitoring system that monitors a packet flowing through the network, and performs an arithmetic process based on the interface that captures the packet and the captured packet A processing unit,
The processor is
Extracting packet feature values from the captured packet from a plurality of monitoring viewpoints,
With respect to the packet feature values extracted from a plurality of monitoring viewpoints, determination of continuity is made during the learning period, and a model is created for the monitoring viewpoint determined to have continuity,
A network monitoring system characterized in that, from the monitoring viewpoint that the learning period is stationary, the presence or absence of abnormal communication is determined by comparing the packet feature amount extracted in the monitoring period with the model. ネットワークを流れるパケットを監視するネットワーク監視装置を用いたネットワーク監視方法であって、
前記ネットワーク監視装置は、前記ネットワークからのパケットをキャプチャし、
学習期間及び監視期間において、キャプチャしたパケットからパケット特徴量を、
複数の監視観点で抽出し、
学習期間において、複数の監視観点で抽出した前記パケット特徴量に対して定常性の判定をし、定常性があると判定した監視観点についてモデルを作成し、
前記学習期間に定常性があるとした監視観点について、監視期間において抽出した前記パケット特徴量と、前記モデルとを比較して異常通信有無を判定することを特徴とするネットワーク監視方法。 A network monitoring method using a network monitoring device for monitoring packets flowing through a network,
The network monitoring device captures packets from the network;
In the learning period and the monitoring period, the packet feature amount from the captured packet,
Extract from multiple monitoring perspectives,
In the learning period, the packet feature quantity extracted from a plurality of monitoring viewpoints is determined to be stationary, and a model is created for the monitoring viewpoint that is determined to be stationary,
A network monitoring method characterized by determining whether or not there is abnormal communication by comparing the packet feature amount extracted in a monitoring period and the model with respect to a monitoring viewpoint that the learning period is stationary.
JP2017119715A 2017-06-19 2017-06-19 Network monitoring device, its system, and its method Active JP6955912B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017119715A JP6955912B2 (en) 2017-06-19 2017-06-19 Network monitoring device, its system, and its method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017119715A JP6955912B2 (en) 2017-06-19 2017-06-19 Network monitoring device, its system, and its method

Publications (2)

Publication Number Publication Date
JP2019004419A true JP2019004419A (en) 2019-01-10
JP6955912B2 JP6955912B2 (en) 2021-10-27

Family

ID=65006980

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017119715A Active JP6955912B2 (en) 2017-06-19 2017-06-19 Network monitoring device, its system, and its method

Country Status (1)

Country Link
JP (1) JP6955912B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022190198A1 (en) * 2021-03-09 2022-09-15 日本電信電話株式会社 Estimation device, estimation method and program
WO2022259330A1 (en) * 2021-06-07 2022-12-15 日本電信電話株式会社 Estimation device, estimation method, and estimation program

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008193221A (en) * 2007-02-01 2008-08-21 Oki Electric Ind Co Ltd Application classification method, network abnormality detection method, application classification program, network abnormality detection program, application classification apparatus, and network abnormality detection apparatus
JP2010177733A (en) * 2009-01-27 2010-08-12 Mitsubishi Electric Corp Communication monitoring device, communication monitoring method of communication monitoring device, and communication monitoring program
US20160261465A1 (en) * 2015-03-04 2016-09-08 Qualcomm Incorporated Behavioral analysis to automate direct and indirect local monitoring of internet of things device health
JP6008070B1 (en) * 2014-12-22 2016-10-19 日本電気株式会社 Operation management apparatus, operation management method, and recording medium on which operation management program is recorded

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008193221A (en) * 2007-02-01 2008-08-21 Oki Electric Ind Co Ltd Application classification method, network abnormality detection method, application classification program, network abnormality detection program, application classification apparatus, and network abnormality detection apparatus
JP2010177733A (en) * 2009-01-27 2010-08-12 Mitsubishi Electric Corp Communication monitoring device, communication monitoring method of communication monitoring device, and communication monitoring program
JP6008070B1 (en) * 2014-12-22 2016-10-19 日本電気株式会社 Operation management apparatus, operation management method, and recording medium on which operation management program is recorded
US20160261465A1 (en) * 2015-03-04 2016-09-08 Qualcomm Incorporated Behavioral analysis to automate direct and indirect local monitoring of internet of things device health

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022190198A1 (en) * 2021-03-09 2022-09-15 日本電信電話株式会社 Estimation device, estimation method and program
WO2022259330A1 (en) * 2021-06-07 2022-12-15 日本電信電話株式会社 Estimation device, estimation method, and estimation program

Also Published As

Publication number Publication date
JP6955912B2 (en) 2021-10-27

Similar Documents

Publication Publication Date Title
CN109510737B (en) Protocol interface testing method and device, computer equipment and storage medium
KR100759798B1 (en) Apparatus for blocking harmful multimedia in PC through intelligent screen monitoring and method thereof
JP6183450B2 (en) System analysis apparatus and system analysis method
US10860962B2 (en) System for fully integrated capture, and analysis of business information resulting in predictive decision making and simulation
WO2017083148A1 (en) Periodicity analysis on heterogeneous logs
JP4940220B2 (en) Abnormal operation detection device and program
RU2722692C1 (en) Method and system for detecting malicious files in a non-isolated medium
JP2019004419A (en) Network monitoring device, and system and method therefor
JP6196196B2 (en) Inter-log causal estimation device, system abnormality detection device, log analysis system, and log analysis method
EP3440569A1 (en) System for fully integrated capture, and analysis of business information resulting in predictive decision making and simulation
JP4504346B2 (en) Trouble factor detection program, trouble factor detection method, and trouble factor detection device
CN111010387A (en) Illegal replacement detection method, device, equipment and medium for Internet of things equipment
Thanthrige et al. Intrusion alert prediction using a hidden Markov model
CN109670153A (en) A kind of determination method, apparatus, storage medium and the terminal of similar model
JP5973935B2 (en) Browsing behavior prediction device, browsing behavior prediction method, and program
CN110022343B (en) Adaptive event aggregation
CN109257384B (en) Application layer DDoS attack identification method based on access rhythm matrix
JP6813451B2 (en) Anomaly detection system and anomaly detection method
CN108073803A (en) For detecting the method and device of malicious application
CN108141372A (en) For the system and method based on network flow detection to the attack of mobile ad hoc networks
CN107682388B (en) Information push suggestion generation method and device, computer equipment and storage medium
KR102269652B1 (en) Machine learning-based learning vector generation device and method for analyzing security logs
CN113806204B (en) Method, device, system and storage medium for evaluating message segment correlation
CN108133012B (en) Label setting method and device
Yang et al. Agile: A general approach to detect transitions in evolving data streams

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200213

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201211

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210202

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210402

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210914

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211004

R150 Certificate of patent or registration of utility model

Ref document number: 6955912

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150