JP2019149681A - トラフィック異常検知装置、トラフィック異常検知方法、及びトラフィック異常検知プログラム - Google Patents
トラフィック異常検知装置、トラフィック異常検知方法、及びトラフィック異常検知プログラム Download PDFInfo
- Publication number
- JP2019149681A JP2019149681A JP2018033136A JP2018033136A JP2019149681A JP 2019149681 A JP2019149681 A JP 2019149681A JP 2018033136 A JP2018033136 A JP 2018033136A JP 2018033136 A JP2018033136 A JP 2018033136A JP 2019149681 A JP2019149681 A JP 2019149681A
- Authority
- JP
- Japan
- Prior art keywords
- graph
- feature
- vertex
- generated
- local
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000005856 abnormality Effects 0.000 title claims abstract description 94
- 238000000034 method Methods 0.000 title claims description 11
- 238000004891 communication Methods 0.000 claims abstract description 81
- 230000002159 abnormal effect Effects 0.000 claims abstract description 12
- 238000001514 detection method Methods 0.000 claims description 60
- 101000911753 Homo sapiens Protein FAM107B Proteins 0.000 claims description 4
- 102100026983 Protein FAM107B Human genes 0.000 claims description 4
- 238000007781 pre-processing Methods 0.000 abstract description 7
- 238000010586 diagram Methods 0.000 description 9
- 238000003066 decision tree Methods 0.000 description 4
- 230000010365 information processing Effects 0.000 description 4
- 239000000284 extract Substances 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000003860 storage Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000003064 k means clustering Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
- G06F16/9024—Graphs; Linked lists
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/213—Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2413—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on distances to training or reference patterns
- G06F18/24147—Distances to closest patterns, e.g. nearest neighbour classification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Computation (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
【課題】少量かつ低レートでの攻撃に対しても、異常を検知することである。【解決手段】トラフィック異常検知装置10は、前処理部11と局所的グラフ特徴量生成部12と大域的グラフ特徴量生成部13と学習部14と異常判定部15とを有する。前処理部11は、トラフィックデータから、通信履歴グラフを生成する。局所的グラフ特徴量生成部12は、上記通信履歴グラフから、ある頂点について、局所的なグラフ特徴量を生成する。大域的グラフ特徴量生成部13は、上記通信履歴グラフから、頂点について、大域的なグラフ特徴量を生成する。学習部14は、生成された局所的なグラフ特徴量と、生成された大域的なグラフ特徴量とを併用して特徴ベクトルを生成し、ホスト識別子毎の学習済みモデルを生成する。異常判定部15は、生成された学習済みモデルに対し、グラフ特徴量を入力することにより、トラフィックデータが異常であるか否かを判定する。【選択図】図1
Description
本発明は、トラフィック異常検知装置、トラフィック異常検知方法、及びトラフィック異常検知プログラムに関する。
近年、インターネットの普及に伴い、ネットワークトラフィックの異常を検知する技術の重要性が一層高まりつつある。この様なネットワークトラフィックを用いた異常検知の手法として、従来、未使用のIPアドレスやシーケンシャルなIPアドレスへのアクセス等の機械的なアクセスパターン、あるいは、単位時間あたりの通信回数や通信先IP数の増加等を特徴として、統計や機械学習によって異常検知を行う手法が存在する。
例えば、非特許文献1には、未使用IPアドレスへのアクセス、端末毎の通信頻度を特徴として、統計の外れ値を検知することにより、ネットワークトラフィックの異常を検知する技術が開示されている。また、非特許文献2には、未使用IPアドレスへのアクセス、シーケンシャルなIPアドレスへのアクセス、通信頻度を特徴として、K−means及びId3 Decision treeのアルゴリズムにより、ネットワークトラフィックの異常を検知する技術が開示されている。
D.Whyte,et al:ARP-based Detection of Scanning Worms Within an Enterprise Network, Proc of annual computer security applications conference (ACSAC 2005),Tucson,AZ,59 Dec 2005
Y.Yasami,et al:A novel unsupervised classication approach for network anomaly detection by k-Means clustering and ID3 decision tree learning methods,The Journal of Supercomputing,Volume 53 Issue 1, July 2010 Pages 231-245
しかしながら、上述した従来技術では、以下の様な問題点があった。例えば、攻撃者側のサーバは、異常検知を回避するため、スキャンやエクスプロイト等の攻撃を、非常に少量かつ低レートで行うことが考えられる。この場合、単位時間あたりの通信回数や通信先IP数の増加等、通信ボリュームの変化に着目した特徴を用いると、異常検知が回避される可能性が大きくなる。また、シーケンシャルアクセスの特徴を用いた場合にも、検知単位時間内における複数回の攻撃の発生を前提とするため、少量かつ低レートでの攻撃下では、異常が観測できない可能性がある。更に、上記場合には、未使用IPアドレスへのアクセスが回避される可能性も大きくなる。また、未使用IPアクセスの特徴を用いた場合、アドレス空間内のIP利用率に、異常検知率が大きく依存してしまうという欠点も存在する。
開示の技術は、上記に鑑みてなされたものであって、少量かつ低レートでの攻撃に対しても、異常を検知することができるトラフィック異常検知装置、トラフィック異常検知方法、及びトラフィック異常検知プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するために、本願の開示するトラフィック異常検知装置は、一つの態様において、トラフィックデータから、通信元のホスト識別子と通信先のホスト識別子との組からなる通信履歴を抽出し、前記ホスト識別子を頂点とすると共に前記ホスト識別子間の通信を辺とする通信履歴グラフを生成するグラフ生成部と、生成された前記通信履歴グラフから、ある頂点について、一次隣接頂点または二次隣接頂点までのグラフ構造に着目して算出される局所的なグラフ特徴量を生成する局所特徴量生成部と、生成された前記通信履歴グラフから、前記頂点について、グラフ全体の構造に着目して算出される大域的なグラフ特徴量を生成する大域特徴量生成部と、生成された前記局所的なグラフ特徴量と、生成された前記大域的なグラフ特徴量とを併用して前記ホスト識別子毎に特徴ベクトルを生成し、該特徴ベクトルにより、前記ホスト識別子毎の学習済みモデルを生成する学習部と、生成された前記学習済みモデルに対し、異常判定対象のグラフ特徴量を特徴ベクトルとして入力することにより、前記トラフィックデータが異常であるか否かを判定する判定部とを有する。
また、本願の開示するトラフィック異常検知方法は、一つの態様において、トラフィック異常検知装置が、トラフィックデータから、通信元のホスト識別子と通信先のホスト識別子との組からなる通信履歴を抽出し、前記ホスト識別子を頂点とすると共に前記ホスト識別子間の通信を辺とする通信履歴グラフを生成するグラフ生成工程と、生成された前記通信履歴グラフから、ある頂点について、一次隣接頂点または二次隣接頂点までのグラフ構造に着目して算出される局所的なグラフ特徴量を生成する局所特徴量生成工程と、生成された前記通信履歴グラフから、前記頂点について、グラフ全体の構造に着目して算出される大域的なグラフ特徴量を生成する大域特徴量生成工程と、生成された前記局所的なグラフ特徴量と、生成された前記大域的なグラフ特徴量とを併用して前記ホスト識別子毎に特徴ベクトルを生成し、該特徴ベクトルにより、前記ホスト識別子毎の学習済みモデルを生成する学習工程と、生成された前記学習済みモデルに対し、異常判定対象のグラフ特徴量を特徴ベクトルとして入力することにより、前記トラフィックデータが異常であるか否かを判定する判定工程とを含む。
更に、本願の開示するトラフィック異常検知プログラムは、一つの態様において、トラフィックデータから、通信元のホスト識別子と通信先のホスト識別子との組からなる通信履歴を抽出し、前記ホスト識別子を頂点とすると共に前記ホスト識別子間の通信を辺とする通信履歴グラフを生成するグラフ生成ステップと、生成された前記通信履歴グラフから、ある頂点について、一次隣接頂点または二次隣接頂点までのグラフ構造に着目して算出される局所的なグラフ特徴量を生成する局所特徴量生成ステップと、生成された前記通信履歴グラフから、前記頂点について、グラフ全体の構造に着目して算出される大域的なグラフ特徴量を生成する大域特徴量生成ステップと、生成された前記局所的なグラフ特徴量と、生成された前記大域的なグラフ特徴量とを併用して前記ホスト識別子毎に特徴ベクトルを生成し、該特徴ベクトルにより、前記ホスト識別子毎の学習済みモデルを生成する学習ステップと、生成された前記学習済みモデルに対し、異常判定対象のグラフ特徴量を特徴ベクトルとして入力することにより、前記トラフィックデータが異常であるか否かを判定する判定ステップとをコンピュータに実行させる。
本願の開示するトラフィック異常検知装置、トラフィック異常検知方法、及びトラフィック異常検知プログラムは、少量かつ低レートでの攻撃に対しても、異常を検知することができるという効果を奏する。
以下に、本願の開示するトラフィック異常検知装置、トラフィック異常検知方法、及びトラフィック異常検知プログラムの実施例を、図面を参照しながら詳細に説明する。なお、以下の実施例により本願の開示するトラフィック異常検知装置、トラフィック異常検知方法、及びトラフィック異常検知プログラムが限定されるものではない。
まず、本願の開示する一実施例に係るトラフィック異常検知装置の構成を説明する。図1は、本実施例に係るトラフィック異常検知装置10の構成を示す図である。図1に示す様に、前処理部11と局所的グラフ特徴量生成部12と大域的グラフ特徴量生成部13と学習部14と異常判定部15とを有する。これら各構成部分は、一方向又は双方向に、信号やデータの入出力が可能なように接続されている。
前処理部11は、トラフィックデータから、通信元のホスト識別子と通信先のホスト識別子との組からなる通信履歴を抽出し、上記ホスト識別子を頂点とすると共に上記ホスト識別子間の通信を辺とする通信履歴グラフを生成する。局所的グラフ特徴量生成部12は、生成された上記通信履歴グラフから、ある頂点について、一次隣接頂点または二次隣接頂点までのグラフ構造に着目して算出される局所的なグラフ特徴量を生成する。大域的グラフ特徴量生成部13は、生成された上記通信履歴グラフから、上記頂点について、グラフ全体の構造に着目して算出される大域的なグラフ特徴量を生成する。学習部14は、生成された上記局所的なグラフ特徴量と、生成された上記大域的なグラフ特徴量とを併用して上記ホスト識別子毎に特徴ベクトルを生成し、該特徴ベクトルにより、上記ホスト識別子毎の学習済みモデルを生成する。異常判定部15は、生成された上記学習済みモデルに対し、異常検知(テスト)期間において未知の通信履歴から生成される、異常判定対象のグラフ特徴量を、特徴ベクトルとして入力することにより、上記トラフィックデータが異常であるか否かを判定する。
次に、本願の開示する一実施例に係るトラフィック異常検知装置10の動作を説明する。図2は、本実施例に係るトラフィック異常検知装置10の動作を説明するためのフローチャートである。
まずS1では、トラフィック異常検知装置10は、前処理部11により、トラフィックデータから、通信履歴グラフを生成する。次のS2では、トラフィック異常検知装置10は、局所的グラフ特徴量生成部12により、上記通信履歴グラフから、ある頂点について、局所的なグラフ特徴量を生成する。S3では、トラフィック異常検知装置10は、大域的グラフ特徴量生成部13により、上記通信履歴グラフから、頂点について、大域的なグラフ特徴量を生成する。S4では、トラフィック異常検知装置10は、学習部14により、生成された局所的なグラフ特徴量と、生成された大域的なグラフ特徴量とを併用して特徴ベクトルを生成し、ホスト識別子毎の学習済みモデルを生成する。S5では、トラフィック異常検知装置10は、異常判定部15により、生成された学習済みモデルに対し、グラフ特徴量を入力することにより、トラフィックデータが異常であるか否かを判定及び出力する。
次に、図3〜図5を参照しながら、上述した動作の流れについて、学習期間と異常検知期間とに分けて、より具体的に説明する。
以下の説明では、次の条件を想定する。まず、攻撃に関し、LAN(Local Area Network)内に感染端末が存在し、感染端末内の悪性プログラムが、侵入拡大のための通信を発生させる。この悪性プログラムは、脆弱性のある端末を発見するため、自感染端末の所属するサブネットのIP(Internet Protocol)に対し、ランダムにポートスキャンを行う。この悪性プログラムによるポートスキャンは、5分間隔以上の低レートにより実行されるスロースキャンである。次にLAN環境に関し、/24の一般的な大きさのサブネットを想定する。また、学習期間には、LAN内に、ポートスキャン等の攻撃は発生していないものとする。
(学習期間における動作の流れ)
トラフィック異常検知装置10は、学習期間(例えば、4週間)において、サブネット内にある任意のネットワーク機器の任意のポートからARP(Address Resolution Protocol)リクエストを収集し、各ARPリクエストから、SrcIPアドレスとDstIPアドレスとの組からなる通信履歴を抽出する。ここで、DstIPアドレスは、MACアドレス解決の対象となるIPアドレスを指す。
トラフィック異常検知装置10は、学習期間(例えば、4週間)において、サブネット内にある任意のネットワーク機器の任意のポートからARP(Address Resolution Protocol)リクエストを収集し、各ARPリクエストから、SrcIPアドレスとDstIPアドレスとの組からなる通信履歴を抽出する。ここで、DstIPアドレスは、MACアドレス解決の対象となるIPアドレスを指す。
次に、トラフィック異常検知装置10は、抽出された通信履歴を5分毎に分割し、分割により得られた通信履歴毎に、サブネット内の端末間の通信履歴を表す通信履歴グラフを生成し、これを正常時の通信履歴グラフとする。
続いて、トラフィック異常検知装置10は、生成された各通信履歴グラフをコピーし、コピーした各通信履歴グラフに対し、スキャンを模擬した通信(通信グラフ上では、辺に相当)を混入させ、これを異常時の通信履歴グラフとする。
次に、トラフィック異常検知装置10は、生成された正常時及び異常時の通信履歴グラフから、グラフ上の各頂点に関する局所的及び大域的なグラフ特徴量を算出し、正常時及び異常時のグラフ特徴量とする。
そして、トラフィック異常検知装置10は、決定木ベースの学習モデルであるGBDT(Gradient Boosting Decision Tree)に対し、上記正常時及び異常時のグラフ特徴量を入力し、通信の接続関係の正常・異常を分類する学習済みモデルを、各頂点毎に生成する。
(異常検知期間における動作の流れ)
まず、トラフィック異常検知装置10は、収集される通信履歴をリアルタイムに入力し、5分毎に通信履歴を分割して通信履歴グラフを生成し、生成された通信履歴グラフから、グラフ上の各頂点毎に局所的及び大域的グラフ特徴量を算出する。このとき算出される局所的及び大域的グラフ特徴量Fの一例を図3に示す。図3に示す例では、局所的グラフ特徴量(Local Graph Feature)の値は3、外向き隣接頂点に関する特徴量の値は12、内向き隣接頂点に関する特徴量の値は12と算出されている。
まず、トラフィック異常検知装置10は、収集される通信履歴をリアルタイムに入力し、5分毎に通信履歴を分割して通信履歴グラフを生成し、生成された通信履歴グラフから、グラフ上の各頂点毎に局所的及び大域的グラフ特徴量を算出する。このとき算出される局所的及び大域的グラフ特徴量Fの一例を図3に示す。図3に示す例では、局所的グラフ特徴量(Local Graph Feature)の値は3、外向き隣接頂点に関する特徴量の値は12、内向き隣接頂点に関する特徴量の値は12と算出されている。
次に、トラフィック異常検知装置10は、算出されたグラフ特徴量を学習済みモデルに入力し、各頂点のグラフ特徴量の正常・異常を判定することにより、各頂点に対応する端末の通信が正常であるか否かの判定結果を出力する。
図4は、本実施例において、大局的特徴に併せて局所的特徴を用いる理由について説明する図である。図4に示す様に、局所的特徴の一例として隣人次数中心性を用いる場合、例えば、破線で囲んだ頂点N1に対応する10番に着目すると、頂点10番付近の特徴として、次数中心性の大きい頂点N2、N3(例えば、13番、7番)としか接続されないという特徴を観測することができる。従って、異常検知期間において、頂点10番が次数中心性の小さい頂点N4(例えば、0番)と接続されると、異常が有るものと判定することができる。この様に、特定の頂点近傍の詳細な特徴は、大域的特徴のみからは把握できないが、トラフィック異常検知装置10は、局所的特徴を併用することにより、特定の頂点近傍の詳細な特徴までを考慮した上で、異常の有無を判定することが可能となる。
図5は、本実施例において、局所的特徴に併せて大局的特徴を用いる理由について説明する図である。図5に示す様に、大域的特徴の一例として近接中心性を用いる場合、例えば、破線で囲んだ頂点N5に対応する17番に着目すると、頂点17番付近の特徴として、通信履歴グラフ全体から見て末端に接続されているという特徴を観測することができる。従って、異常検知期間において、頂点N5が、頂点N4、N3(例えば、0番、7番)等の頂点に接続されると、頂点N5とグラフ上の各頂点との距離が急激に小さくなるため、異常が有るものと判定することができる。この様に、特定の頂点のグラフ全体での接続位置関係は、局所的特徴のみからは把握できないが、トラフィック異常検知装置10は、大局的特徴を併用することにより、特定の頂点のグラフ全体での接続位置関係までを考慮した上で、異常の有無を判定することが可能となる。
上述した様に、学習期間において、トラフィック異常検知装置10は、ネットワークトラフィックデータを取得し、単位時間毎の端末間の通信履歴を表す通信履歴グラフを生成する。次に、トラフィック異常検知装置10は、各通信履歴グラフについて、ノード(頂点)毎に局所的及び大域的な特徴量を算出し、これら双方のカテゴリの特徴量を併せて学習することにより、各ノードの学習モデルを生成する。ここで、局所的な特徴量とは、あるノードvについて、vの一次隣接ノードや二次隣接ノードといったグラフの部分的な構造に着目して算出される特徴量であり、例えば、次数中心性の特徴量である。これに対し、大域的な特徴量とは、あるノードvについて、グラフ全体の構造に着目して算出される特徴量であり、例えば、媒介中心性の特徴量や近接中心性の特徴量である。
その後、異常検知期間においては、トラフィック異常検知装置10は、学習期間と同様に、単位時間毎にノード毎のグラフ特徴量を算出し、逐次学習済みモデルに入力することにより、ネットワークトラフィックデータの正常・異常判定を行う。
換言すれば、トラフィック異常検知装置10は、各端末の通信における接続関係を学習した上で、該学習の結果に基づき、トラフィックデータにおける異常の有無を判定及び出力するので、従来技術では検知が難しい少量かつ低レートでの攻撃も、検知することが可能となる。
トラフィック異常検知装置10において、局所的グラフ特徴量生成部12は、ある頂点について、上記頂点の一次隣接頂点までを含むグラフ構造を用いて、上記頂点の次数中心性、外向き次数中心性、内向き次数中心性、クラスタ係数、及び三角グラフ数の各々からなるグラフ特徴量を算出し、上記グラフ特徴量の少なくとも1つを、上記局所的なグラフ特徴量とするものとしてもよい。
また、トラフィック異常検知装置10において、局所的グラフ特徴量生成部12は、ある頂点について、上記頂点の二次隣接頂点までを含むグラフ構造を用いて、上記頂点の外向き隣接頂点に関する次数中心性、外向き次数中心性、及び内向き次数中心性、並びに、内向き隣接頂点に関する次数中心性、外向き次数中心性、及び内向き次数中心性、並びに、スクエアクラスタ係数の各々からなるグラフ特徴量を算出し、上記グラフ特徴量の少なくとも1つを、上記局所的なグラフ特徴量とするものとしてもよい。
更に、トラフィック異常検知装置10において、大域的グラフ特徴量生成部13は、ある頂点について、上記グラフ全体の構造を用いて、上記頂点の媒介中心性、近接中心性、クリーク数、Katz中心性、Pagerankスコア、HITSアルゴリズムから計算されるhubスコア、HITSアルゴリズムから計算されるauthorityスコア、及びサブグラフ中心性の各々からなるグラフ特徴量を算出し、上記グラフ特徴量の少なくとも1つを、上記大域的なグラフ特徴量とするものとしてもよい。
(トラフィック異常検知プログラム)
図6は、本実施例に係るトラフィック異常検知プログラムによる情報処理がコンピュータ100を用いて具体的に実現されることを示す図である。図6に示す様に、コンピュータ100は、例えば、メモリ101と、CPU(Central Processing Unit)102と、ハードディスクドライブインタフェース103と、ディスクドライブインタフェース104と、シリアルポートインタフェース105と、ビデオアダプタ106と、ネットワークインタフェース107とを有し、これらの各部はバスCによって接続される。
図6は、本実施例に係るトラフィック異常検知プログラムによる情報処理がコンピュータ100を用いて具体的に実現されることを示す図である。図6に示す様に、コンピュータ100は、例えば、メモリ101と、CPU(Central Processing Unit)102と、ハードディスクドライブインタフェース103と、ディスクドライブインタフェース104と、シリアルポートインタフェース105と、ビデオアダプタ106と、ネットワークインタフェース107とを有し、これらの各部はバスCによって接続される。
メモリ101は、図6に示す様に、ROM(Read Only Memory)101a及びRAM(Random Access Memory)101bを含む。ROM101aは、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース103は、図6に示す様に、ハードディスクドライブ108に接続される。ディスクドライブインタフェース104は、図6に示す様に、ディスクドライブ109に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ109に挿入される。シリアルポートインタフェース105は、図6に示す様に、例えばマウス110、キーボード111に接続される。ビデオアダプタ106は、図6に示す様に、例えばディスプレイ112に接続される。
ここで、図6に示す様に、ハードディスクドライブ108は、例えば、OS(Operating System)108a、アプリケーションプログラム108b、プログラムモジュール108c、プログラムデータ108d、トラフィックデータ、通信履歴グラフ、局所的なグラフ特徴量、大域的なグラフ特徴量、及び学習済みモデルを記憶する。すなわち、開示の技術に係るトラフィック異常検知プログラムは、コンピュータ100によって実行される指令が記述されたプログラムモジュール108cとして、例えばハードディスクドライブ108に記憶される。具体的には、上記実施例で説明した前処理部11、局所的グラフ特徴量生成部12、大域的グラフ特徴量生成部13、学習部14、異常判定部15の各々と同様の情報処理を実行する各種手順が記述されたプログラムモジュール108cが、ハードディスクドライブ108に記憶される。また、トラフィック異常検知プログラムによる情報処理に用いられるデータは、プログラムデータ108dとして、例えばハードディスクドライブ108に記憶される。そして、CPU102が、ハードディスクドライブ108に記憶されたプログラムモジュール108cやプログラムデータ108dを必要に応じてRAM101bに読み出し、上記各種手順を実行する。
なお、トラフィック異常検知プログラムに係るプログラムモジュール108cやプログラムデータ108dは、ハードディスクドライブ108に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ109等を介してCPU102によって読み出されてもよい。あるいは、トラフィック異常検知プログラムに係るプログラムモジュール108cやプログラムデータ108dは、ネットワーク(LAN、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース107を介してCPU102によって読み出されてもよい。
また、上述したトラフィック異常検知装置10の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的態様は、図示のものに限らず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することもできる。例えば、局所的グラフ特徴量生成部12と大域的グラフ特徴量生成部13、あるいは、学習部14と異常判定部15を1つの構成要素として統合してもよい。反対に、学習部14に関し、ホスト識別子毎に特徴ベクトルを生成する部分と、学習済みモデルを生成する部分とに分散してもよい。更に、トラフィックデータ、通信履歴グラフ、局所的なグラフ特徴量、大域的なグラフ特徴量、及び学習済みモデルを格納するハードディスクドライブ108を、トラフィック異常検知装置10の外部装置として、ネットワークやケーブル経由で接続する様にしてもよい。
10 トラフィック異常検知装置
11 前処理部
12 局所的グラフ特徴量生成部
13 大域的グラフ特徴量生成部
14 学習部
15 異常判定部
100 コンピュータ
101 メモリ
101a ROM
101b RAM
102 CPU
103 ハードディスクドライブインタフェース
104 ディスクドライブインタフェース
105 シリアルポートインタフェース
106 ビデオアダプタ
107 ネットワークインタフェース
108 ハードディスクドライブ
108a OS
108b アプリケーションプログラム
108c プログラムモジュール
108d プログラムデータ
109 ディスクドライブ
110 マウス
111 キーボード
112 ディスプレイ
F グラフ特徴量
N1、N2、N3、N4、N5 頂点
11 前処理部
12 局所的グラフ特徴量生成部
13 大域的グラフ特徴量生成部
14 学習部
15 異常判定部
100 コンピュータ
101 メモリ
101a ROM
101b RAM
102 CPU
103 ハードディスクドライブインタフェース
104 ディスクドライブインタフェース
105 シリアルポートインタフェース
106 ビデオアダプタ
107 ネットワークインタフェース
108 ハードディスクドライブ
108a OS
108b アプリケーションプログラム
108c プログラムモジュール
108d プログラムデータ
109 ディスクドライブ
110 マウス
111 キーボード
112 ディスプレイ
F グラフ特徴量
N1、N2、N3、N4、N5 頂点
Claims (6)
- トラフィックデータから、通信元のホスト識別子と通信先のホスト識別子との組からなる通信履歴を抽出し、前記ホスト識別子を頂点とすると共に前記ホスト識別子間の通信を辺とする通信履歴グラフを生成するグラフ生成部と、
生成された前記通信履歴グラフから、ある頂点について、一次隣接頂点または二次隣接頂点までのグラフ構造に着目して算出される局所的なグラフ特徴量を生成する局所特徴量生成部と、
生成された前記通信履歴グラフから、前記頂点について、グラフ全体の構造に着目して算出される大域的なグラフ特徴量を生成する大域特徴量生成部と、
生成された前記局所的なグラフ特徴量と、生成された前記大域的なグラフ特徴量とを併用して前記ホスト識別子毎に特徴ベクトルを生成し、該特徴ベクトルにより、前記ホスト識別子毎の学習済みモデルを生成する学習部と、
生成された前記学習済みモデルに対し、異常判定対象のグラフ特徴量を特徴ベクトルとして入力することにより、前記トラフィックデータが異常であるか否かを判定する判定部と
を有することを特徴とするトラフィック異常検知装置。 - 前記局所特徴量生成部は、ある頂点について、前記頂点の一次隣接頂点までを含むグラフ構造を用いて、前記頂点の次数中心性、外向き次数中心性、内向き次数中心性、クラスタ係数、及び三角グラフ数の各々からなるグラフ特徴量を算出し、前記グラフ特徴量の少なくとも1つを、前記局所的なグラフ特徴量とすることを特徴とする請求項1に記載のトラフィック異常検知装置。
- 前記局所特徴量生成部は、ある頂点について、前記頂点の二次隣接頂点までを含むグラフ構造を用いて、前記頂点の外向き隣接頂点に関する次数中心性、外向き次数中心性、及び内向き次数中心性、並びに、内向き隣接頂点に関する次数中心性、外向き次数中心性、及び内向き次数中心性、並びに、スクエアクラスタ係数の各々からなるグラフ特徴量を算出し、前記グラフ特徴量の少なくとも1つを、前記局所的なグラフ特徴量とすることを特徴とする請求項1に記載のトラフィック異常検知装置。
- 前記大域特徴量生成部は、ある頂点について、前記グラフ全体の構造を用いて、前記頂点の媒介中心性、近接中心性、クリーク数、Katz中心性、Pagerankスコア、HITSアルゴリズムから計算されるhubスコア、HITSアルゴリズムから計算されるauthorityスコア、及びサブグラフ中心性の各々からなるグラフ特徴量を算出し、前記グラフ特徴量の少なくとも1つを、前記大域的なグラフ特徴量とすることを特徴とする請求項1に記載のトラフィック異常検知装置。
- トラフィック異常検知装置が、
トラフィックデータから、通信元のホスト識別子と通信先のホスト識別子との組からなる通信履歴を抽出し、前記ホスト識別子を頂点とすると共に前記ホスト識別子間の通信を辺とする通信履歴グラフを生成するグラフ生成工程と、
生成された前記通信履歴グラフから、ある頂点について、一次隣接頂点または二次隣接頂点までのグラフ構造に着目して算出される局所的なグラフ特徴量を生成する局所特徴量生成工程と、
生成された前記通信履歴グラフから、前記頂点について、グラフ全体の構造に着目して算出される大域的なグラフ特徴量を生成する大域特徴量生成工程と、
生成された前記局所的なグラフ特徴量と、生成された前記大域的なグラフ特徴量とを併用して前記ホスト識別子毎に特徴ベクトルを生成し、該特徴ベクトルにより、前記ホスト識別子毎の学習済みモデルを生成する学習工程と、
生成された前記学習済みモデルに対し、異常判定対象のグラフ特徴量を特徴ベクトルとして入力することにより、前記トラフィックデータが異常であるか否かを判定する判定工程と
を含むことを特徴とするトラフィック異常検知方法。 - トラフィックデータから、通信元のホスト識別子と通信先のホスト識別子との組からなる通信履歴を抽出し、前記ホスト識別子を頂点とすると共に前記ホスト識別子間の通信を辺とする通信履歴グラフを生成するグラフ生成ステップと、
生成された前記通信履歴グラフから、ある頂点について、一次隣接頂点または二次隣接頂点までのグラフ構造に着目して算出される局所的なグラフ特徴量を生成する局所特徴量生成ステップと、
生成された前記通信履歴グラフから、前記頂点について、グラフ全体の構造に着目して算出される大域的なグラフ特徴量を生成する大域特徴量生成ステップと、
生成された前記局所的なグラフ特徴量と、生成された前記大域的なグラフ特徴量とを併用して前記ホスト識別子毎に特徴ベクトルを生成し、該特徴ベクトルにより、前記ホスト識別子毎の学習済みモデルを生成する学習ステップと、
生成された前記学習済みモデルに対し、異常判定対象のグラフ特徴量を特徴ベクトルとして入力することにより、前記トラフィックデータが異常であるか否かを判定する判定ステップと
をコンピュータに実行させるためのトラフィック異常検知プログラム。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018033136A JP6795533B2 (ja) | 2018-02-27 | 2018-02-27 | トラフィック異常検知装置、トラフィック異常検知方法、及びトラフィック異常検知プログラム |
| PCT/JP2019/007705 WO2019168072A1 (ja) | 2018-02-27 | 2019-02-27 | トラフィック異常検知装置、トラフィック異常検知方法、及びトラフィック異常検知プログラム |
| US16/965,655 US11263266B2 (en) | 2018-02-27 | 2019-02-27 | Traffic anomaly sensing device, traffic anomaly sensing method, and traffic anomaly sensing program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018033136A JP6795533B2 (ja) | 2018-02-27 | 2018-02-27 | トラフィック異常検知装置、トラフィック異常検知方法、及びトラフィック異常検知プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019149681A true JP2019149681A (ja) | 2019-09-05 |
| JP6795533B2 JP6795533B2 (ja) | 2020-12-02 |
Family
ID=67806105
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018033136A Active JP6795533B2 (ja) | 2018-02-27 | 2018-02-27 | トラフィック異常検知装置、トラフィック異常検知方法、及びトラフィック異常検知プログラム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11263266B2 (ja) |
| JP (1) | JP6795533B2 (ja) |
| WO (1) | WO2019168072A1 (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111210634A (zh) * | 2020-02-27 | 2020-05-29 | 周国霞 | 智能交通信息处理方法、装置、智能交通系统及服务器 |
| CN112396513A (zh) * | 2020-11-27 | 2021-02-23 | 中国银联股份有限公司 | 一种数据处理的方法及装置 |
| US20210067524A1 (en) * | 2019-08-26 | 2021-03-04 | The Western Union Company | Detection of a malicious entity within a network |
| CN113378976A (zh) * | 2021-07-01 | 2021-09-10 | 深圳市华汉伟业科技有限公司 | 一种基于特征顶点组合的目标检测方法、可读存储介质 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022239235A1 (ja) * | 2021-05-14 | 2022-11-17 | 日本電信電話株式会社 | 特徴量算出装置、特徴量算出方法および特徴量算出プログラム |
| JPWO2022254729A1 (ja) * | 2021-06-04 | 2022-12-08 | ||
| CN113709120B (zh) * | 2021-08-12 | 2023-06-23 | 重庆步客科技有限公司 | 一种用于智慧金融的网络节点安全系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9699205B2 (en) * | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
| US20210021616A1 (en) * | 2018-03-14 | 2021-01-21 | Intelici - Cyber Defense System Ltd. | Method and system for classifying data objects based on their network footprint |
| US10887337B1 (en) * | 2020-06-17 | 2021-01-05 | Confluera, Inc. | Detecting and trail-continuation for attacks through remote desktop protocol lateral movement |
-
2018
- 2018-02-27 JP JP2018033136A patent/JP6795533B2/ja active Active
-
2019
- 2019-02-27 US US16/965,655 patent/US11263266B2/en active Active
- 2019-02-27 WO PCT/JP2019/007705 patent/WO2019168072A1/ja active Application Filing
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20210067524A1 (en) * | 2019-08-26 | 2021-03-04 | The Western Union Company | Detection of a malicious entity within a network |
| US11509687B2 (en) * | 2019-08-26 | 2022-11-22 | The Western Union Company | Detection of a malicious entity within a network |
| US20230071195A1 (en) * | 2019-08-26 | 2023-03-09 | The Western Union Company | Detection of a malicious entity within a network |
| CN111210634A (zh) * | 2020-02-27 | 2020-05-29 | 周国霞 | 智能交通信息处理方法、装置、智能交通系统及服务器 |
| CN112164223A (zh) * | 2020-02-27 | 2021-01-01 | 周国霞 | 基于云平台的智能交通信息处理方法及装置 |
| CN112164223B (zh) * | 2020-02-27 | 2022-04-29 | 浙江恒隆智慧科技集团有限公司 | 基于云平台的智能交通信息处理方法及装置 |
| CN112396513A (zh) * | 2020-11-27 | 2021-02-23 | 中国银联股份有限公司 | 一种数据处理的方法及装置 |
| CN112396513B (zh) * | 2020-11-27 | 2024-02-20 | 中国银联股份有限公司 | 一种数据处理的方法及装置 |
| CN113378976A (zh) * | 2021-07-01 | 2021-09-10 | 深圳市华汉伟业科技有限公司 | 一种基于特征顶点组合的目标检测方法、可读存储介质 |
| CN113378976B (zh) * | 2021-07-01 | 2022-06-03 | 深圳市华汉伟业科技有限公司 | 一种基于特征顶点组合的目标检测方法、可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6795533B2 (ja) | 2020-12-02 |
| WO2019168072A1 (ja) | 2019-09-06 |
| US11263266B2 (en) | 2022-03-01 |
| US20210042359A1 (en) | 2021-02-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2019168072A1 (ja) | トラフィック異常検知装置、トラフィック異常検知方法、及びトラフィック異常検知プログラム | |
| CN112104677B (zh) | 一种基于知识图谱的受控主机检测方法和装置 | |
| US11212297B2 (en) | Access classification device, access classification method, and recording medium | |
| CN112866023B (zh) | 网络检测、模型训练方法、装置、设备及存储介质 | |
| TW200900958A (en) | Link spam detection using smooth classification function | |
| US11240263B2 (en) | Responding to alerts | |
| JP6557334B2 (ja) | アクセス分類装置、アクセス分類方法、及びアクセス分類プログラム | |
| JP6904307B2 (ja) | 特定装置、特定方法及び特定プログラム | |
| JP2018526728A (ja) | プロセストレースを用いたグラフベースの侵入検知 | |
| JP2019102960A (ja) | サイバー攻撃検知システム、特徴量選定システム、サイバー攻撃検知方法、及びプログラム | |
| JP2014023144A (ja) | ネットワークフローデータプロファイルからのスパムメール送信ホストの検知方式とシステム | |
| US11388196B2 (en) | System and method for analyzing relationships between clusters of electronic devices to counter cyberattacks | |
| JPWO2017094377A1 (ja) | 分類方法、分類装置および分類プログラム | |
| Nguyen et al. | DGA botnet detection using collaborative filtering and density-based clustering | |
| Daneshgadeh et al. | An empirical investigation of DDoS and Flash event detection using Shannon entropy, KOAD and SVM combined | |
| JP6915305B2 (ja) | 検知装置、検知方法および検知プログラム | |
| US20100205411A1 (en) | Handling complex regex patterns storage-efficiently using the local result processor | |
| CN112016934B (zh) | 用于检测异常数据的方法、设备和计算机可读存储介质 | |
| JP6749873B2 (ja) | 検知装置、検知方法、および、検知プログラム | |
| JP6683655B2 (ja) | 検知装置および検知方法 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| Najafi et al. | NLP-based Entity Behavior Analytics for Malware Detection | |
| US20210385235A1 (en) | Security analysis assistance apparatus, security analysis assistance method, and computer-readable recording medium | |
| JP7176630B2 (ja) | 検知装置、検知方法および検知プログラム | |
| JP2020135471A (ja) | 推定装置、推定方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200225 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20201110 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20201112 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6795533 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |