JP2019029798A - 異常検知システム及び異常検知方法 - Google Patents
異常検知システム及び異常検知方法 Download PDFInfo
- Publication number
- JP2019029798A JP2019029798A JP2017146769A JP2017146769A JP2019029798A JP 2019029798 A JP2019029798 A JP 2019029798A JP 2017146769 A JP2017146769 A JP 2017146769A JP 2017146769 A JP2017146769 A JP 2017146769A JP 2019029798 A JP2019029798 A JP 2019029798A
- Authority
- JP
- Japan
- Prior art keywords
- feature amount
- unit
- address space
- packets
- abnormality detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
前記特徴量生成部が生成した特徴量と、予め生成された異常検知モデルとに基づいて、前記異常の発生を検知する検知部と、を有することを特徴とする。
<全体構成>
まず、本実施形態に係るシステムの全体構成について、図1を参照しながら説明する。図1は、本実施形態に係るシステムの全体構成の一例を示す図である。
次に、本実施形態に係るパケット転送装置10、トラヒック情報収集装置20、異常検知用ストレージ装置31、特徴量生成装置32、及び検知用演算装置33等を実現するコンピュータ100のハードウェア構成について、図2を参照しながら説明する。図2は、コンピュータ100のハードウェア構成の一例を示す図である。
次に、パケット転送装置10と、異常検知用ストレージ装置31と、特徴量生成装置32と、検知用演算装置33との機能構成について説明する。
まず、本実施形態に係るパケット転送装置10の機能構成について、図3を参照しながら説明する。図3は、本実施形態に係るパケット転送装置10の機能構成の一例を示す図である。
次に、本実施形態に係る異常検知用ストレージ装置31の機能構成について、図4を参照しながら説明する。図4は、本実施形態に係る異常検知用ストレージ装置31の機能構成の一例を示す図である。
次に、本実施形態に係る特徴量生成装置32の機能構成について、図6を参照しながら説明する。図6は、本実施形態に係る特徴量生成装置32の機能構成の一例を示す図である。
次に、本実施形態に係る検知用演算装置33の機能構成について、図7を参照しながら説明する。図7は、本実施形態に係る検知用演算装置33の機能構成の一例を示す図である。
次に、本実施形態に係るシステムの処理の詳細について説明する。
ただし、Fj(t−1)=0のとき、Rj(t)=1とする。
ここで、上記では、/8のアドレス空間毎のパケット数の増減率を特徴量に用いたが、ACKパケット数とSYNパケット数との比率を特徴量に用いることもできる。すなわち、例えば、マルウェア等に感染した端末40がTelnet等のアプリケーションにより宛先ホストに感染拡大攻撃等を行う場合、図12に示すように、宛先ホストとの間にFW(ファイアウォール)等があると、正常なトラヒックと異なり、SYNパケットに対するACKパケットが返ってこないことがある。
これにより、時刻tにおける特徴量を示す比率APS(t)が算出される。
次に、第二の実施形態について説明する。第一の実施形態では、/8のアドレス空間(すなわち、上位8ビットがネットワーク部であるアドレス空間)毎に、フォワーディングされたパケット数をカウントして、特徴量を算出する場合について説明した。第二の実施形態では、容易に定義可能なアドレス空間(サブ空間)の一例として、/16のアドレス空間(すなわち、上位16ビットがネットワーク部であるアドレス空間)毎に、フォワーディングされたパケット数をカウントして、特徴量を算出する場合について説明する。
以降では、異常検知用ストレージ装置31及び検知用演算装置33の機能構成について説明する。
まず、本実施形態に係る異常検知用ストレージ装置31の機能構成について、図14を参照しながら説明する。図14は、本実施形態に係る異常検知用ストレージ装置31の機能構成の一例を示す図である。
次に、本実施形態に係る検知用演算装置33の機能構成について、図17を参照しながら説明する。図17は、本実施形態に係る検知用演算装置33の機能構成の一例を示す図である。
次に、本実施形態に係るシステムの処理の詳細について説明する。
20 トラヒック情報収集装置
30 異常検知システム
31 異常検知用ストレージ装置
32 特徴量生成装置
33 検知用演算装置
40 端末
101 通信部
102 ルーティング部
103 情報収集部
311 通信部
312 情報管理部
313 検知アルゴリズム情報記憶部
314 パラメータ情報テーブル記憶部
321 通信部
322 特徴量演算部
323 特徴量生成部
331 通信部
332 情報管理部
333 検知モデル生成部
334 検知演算部
335 特徴量情報テーブル記憶部
Claims (6)
- ネットワーク機器が複数の端末から収集したトラヒック情報を取得する取得部と、
前記取得部が取得したトラヒック情報から、前記複数の端末による異常なトラヒックの発生を検知するための特徴量を生成する特徴量生成部と、
前記特徴量生成部が生成した特徴量と、予め生成された異常検知モデルとに基づいて、前記異常の発生を検知する検知部と、
を有することを特徴とする異常検知システム。 - 前記トラヒック情報は、所定の時間Δの間において、ネットワーク部が8ビットである各アドレス空間にそれぞれフォワーディングされたパケット数であり、
前記特徴量生成部は、
前記パケット数の前記所定の時間Δ毎の変化率を特徴量として生成する、ことを特徴とする請求項1に記載の異常検知システム。 - 前記トラヒック情報は、所定の時間δの間において、ネットワーク部が16ビットである各アドレス空間にそれぞれフォワーディングされたパケット数であり、
前記パケット数に基づいて、前記各アドレス空間を所定の個数のクラスタに分類するクラスタリング部を有し、
前記特徴量生成部は、
前記クラスタリング部により分類された各クラスタに含まれるアドレス空間にそれぞれフォワーディングされたパケット数の所定の時間Δ毎の変化率を特徴量として生成する、ことを特徴とする請求項1に記載の異常検知システム。 - 前記トラヒック情報は、所定の時間Δの間におけるSYNパケット数及びACKパケット数であり、
前記特徴量生成部は、
前記所定の時間Δ毎に、前記SYNパケット数と前記ACKパケット数との比率を特徴量として生成する、ことを特徴とする請求項1に記載の異常検知システム。 - 前記検知部は、
前記特徴量と、ベクトル自己回帰モデルの手法により生成された異常検知モデル又は教師あり学習の手法により生成された異常検知モデルとに基づいて、前記異常の発生を検知する、ことを特徴とする請求項1乃至4の何れか一項に記載の異常検知システム。 - ネットワーク機器が複数の端末から収集したトラヒック情報を取得する取得手順と、
前記取得手順が取得したトラヒック情報から、前記複数の端末による異常なトラヒックの発生を検知するための特徴量を生成する特徴量生成手順と、
前記特徴量生成手順が生成した特徴量と、予め生成された異常検知モデルとに基づいて、前記異常の発生を検知する検知手順と、
をコンピュータが実行することを特徴とする異常検知方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017146769A JP6813451B2 (ja) | 2017-07-28 | 2017-07-28 | 異常検知システム及び異常検知方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017146769A JP6813451B2 (ja) | 2017-07-28 | 2017-07-28 | 異常検知システム及び異常検知方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019029798A true JP2019029798A (ja) | 2019-02-21 |
JP6813451B2 JP6813451B2 (ja) | 2021-01-13 |
Family
ID=65476800
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017146769A Active JP6813451B2 (ja) | 2017-07-28 | 2017-07-28 | 異常検知システム及び異常検知方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6813451B2 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021044791A (ja) * | 2019-09-11 | 2021-03-18 | 財団法人 資訊工業策進会Institute For Information Industry | 攻撃経路の検出方法、攻撃経路の検出システム及び非一時的なコンピュータ読み取り可能な記録媒体 |
WO2023286173A1 (ja) * | 2021-07-13 | 2023-01-19 | 日本電信電話株式会社 | トラヒック分析装置、トラヒック分析方法、および、トラヒック分析プログラム |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005210601A (ja) * | 2004-01-26 | 2005-08-04 | Nippon Telegr & Teleph Corp <Ntt> | 不正侵入検知装置 |
JP2007300263A (ja) * | 2006-04-28 | 2007-11-15 | Yokogawa Electric Corp | ネットワーク異常検出装置およびネットワーク異常検出方法 |
JP2009218825A (ja) * | 2008-03-10 | 2009-09-24 | Kddi Corp | ネットワーク攻撃検出装置及び防御装置 |
JP2013127504A (ja) * | 2011-12-16 | 2013-06-27 | Osaka City Univ | トラヒック監視装置 |
WO2015069572A1 (en) * | 2013-11-07 | 2015-05-14 | Cyberpoint International Llc | Methods and systems for malware detection |
WO2015194604A1 (ja) * | 2014-06-18 | 2015-12-23 | 日本電信電話株式会社 | ネットワークシステム、制御装置、通信装置、通信制御方法および通信制御プログラム |
JP2016010089A (ja) * | 2014-06-26 | 2016-01-18 | 株式会社日立製作所 | トラフィック監視システム |
JP2016189062A (ja) * | 2015-03-30 | 2016-11-04 | 有限責任監査法人トーマツ | 異常検出装置、異常検出方法及びネットワーク異常検出システム |
-
2017
- 2017-07-28 JP JP2017146769A patent/JP6813451B2/ja active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005210601A (ja) * | 2004-01-26 | 2005-08-04 | Nippon Telegr & Teleph Corp <Ntt> | 不正侵入検知装置 |
JP2007300263A (ja) * | 2006-04-28 | 2007-11-15 | Yokogawa Electric Corp | ネットワーク異常検出装置およびネットワーク異常検出方法 |
JP2009218825A (ja) * | 2008-03-10 | 2009-09-24 | Kddi Corp | ネットワーク攻撃検出装置及び防御装置 |
JP2013127504A (ja) * | 2011-12-16 | 2013-06-27 | Osaka City Univ | トラヒック監視装置 |
WO2015069572A1 (en) * | 2013-11-07 | 2015-05-14 | Cyberpoint International Llc | Methods and systems for malware detection |
WO2015194604A1 (ja) * | 2014-06-18 | 2015-12-23 | 日本電信電話株式会社 | ネットワークシステム、制御装置、通信装置、通信制御方法および通信制御プログラム |
JP2016010089A (ja) * | 2014-06-26 | 2016-01-18 | 株式会社日立製作所 | トラフィック監視システム |
JP2016189062A (ja) * | 2015-03-30 | 2016-11-04 | 有限責任監査法人トーマツ | 異常検出装置、異常検出方法及びネットワーク異常検出システム |
Non-Patent Citations (1)
Title |
---|
鋒幸洋 ほか: "通信事業者網における感染拡大攻撃検知についての一検討", 電子情報通信学会 2017年通信ソサイエティ大会 講演論文集2, JPN6020047909, 29 August 2017 (2017-08-29), pages 73, ISSN: 0004406242 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021044791A (ja) * | 2019-09-11 | 2021-03-18 | 財団法人 資訊工業策進会Institute For Information Industry | 攻撃経路の検出方法、攻撃経路の検出システム及び非一時的なコンピュータ読み取り可能な記録媒体 |
US11689558B2 (en) | 2019-09-11 | 2023-06-27 | Institute For Information Industry | Attack path detection method, attack path detection system and non-transitory computer-readable medium |
WO2023286173A1 (ja) * | 2021-07-13 | 2023-01-19 | 日本電信電話株式会社 | トラヒック分析装置、トラヒック分析方法、および、トラヒック分析プログラム |
Also Published As
Publication number | Publication date |
---|---|
JP6813451B2 (ja) | 2021-01-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Perdisci et al. | Iotfinder: Efficient large-scale identification of iot devices via passive dns traffic analysis | |
US11575693B1 (en) | Composite relationship graph for network security | |
Moustafa et al. | Big data analytics for intrusion detection system: Statistical decision-making using finite dirichlet mixture models | |
Rafique et al. | Firma: Malware clustering and network signature generation with mixed network behaviors | |
JP6770454B2 (ja) | 異常検知システム及び異常検知方法 | |
Rahbarinia et al. | Peerrush: Mining for unwanted p2p traffic | |
CN109583194B (zh) | 用于基于事件的卷积的普及度检测异常事件的系统和方法 | |
US11647037B2 (en) | Penetration tests of systems under test | |
JP6491356B2 (ja) | 分類方法、分類装置および分類プログラム | |
CN112565308B (zh) | 基于网络流量的恶意应用检测方法、装置、设备及介质 | |
Chhabra et al. | Hadoop‐based analytic framework for cyber forensics | |
KR102280845B1 (ko) | 네트워크 내의 비정상 행위 탐지 방법 및 그 장치 | |
CN111183620B (zh) | 入侵调查 | |
CN112839054A (zh) | 一种网络攻击检测方法、装置、设备及介质 | |
JP6813451B2 (ja) | 異常検知システム及び異常検知方法 | |
CN111030978B (zh) | 一种基于区块链的恶意数据获取方法、装置及存储设备 | |
CN111382435A (zh) | 检测计算机系统中的恶意活动的来源的系统和方法 | |
JP6866258B2 (ja) | 端末識別装置、端末識別方法及びプログラム | |
Dias et al. | Outgene: Detecting undefined network attacks with time stretching and genetic zooms | |
Heard et al. | Data science for cyber-security | |
EP3799367B1 (en) | Generation device, generation method, and generation program | |
CN116155519A (zh) | 威胁告警信息处理方法、装置、计算机设备和存储介质 | |
WO2020170911A1 (ja) | 推定装置、推定方法及びプログラム | |
US20210385235A1 (en) | Security analysis assistance apparatus, security analysis assistance method, and computer-readable recording medium | |
JP7176630B2 (ja) | 検知装置、検知方法および検知プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190826 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200625 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200929 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201113 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20201215 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20201217 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6813451 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |