JP2019215757A - 検知装置及び検知方法 - Google Patents
検知装置及び検知方法 Download PDFInfo
- Publication number
- JP2019215757A JP2019215757A JP2018113154A JP2018113154A JP2019215757A JP 2019215757 A JP2019215757 A JP 2019215757A JP 2018113154 A JP2018113154 A JP 2018113154A JP 2018113154 A JP2018113154 A JP 2018113154A JP 2019215757 A JP2019215757 A JP 2019215757A
- Authority
- JP
- Japan
- Prior art keywords
- log
- host
- generation model
- data
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y30/00—IoT infrastructure
- G16Y30/10—Security thereof
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y40/00—IoT characterised by the purpose of the information processing
- G16Y40/10—Detection; Monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
Description
まず、図1を用いて、第1の実施形態に係る検知システムの構成について説明する。図1は、第1の実施形態に係る検知システムの構成の一例を示す図である。図1に示すように、検知システム1は、検知装置10、ゲートウェイ20、機器30を有し、ゲートウェイ20は外部ネットワーク40と接続されている。
・upとdownそれぞれのバイト数
・upとdownそれぞれのパケット数
・upとdownそれぞれのフロー数
・upとdownそれぞれの平均パケットサイズ
・upとdownそれぞれの最大パケットサイズ
・upとdownそれぞれの最小パケットサイズ
・upとdownそれぞれの平均パケットサイズの平均
・upとdownそれぞれの変動係数(平均パケットサイズの標準偏差を平均パケットサイズの平均で割ったもの)
・upとdownそれぞれの平均フローレート(フロー数を時間で割る)
・upとdownそれぞれの平均パケットレート(パケット数を時間で割る)
・ipアドレス、macアドレス、プロトコルのk−hotベクトル
・SectorsRead
・TimeSpentReading
・SectorsWritten
・TimeSpentWriting
・TimeSpentDoing_I_Os
・WeightedTimeSpentDoing_I_Os
・Cpu_user
・Cpu_Nine
・Cpu_system
・Cpu_Idle
・Cpu_Iowait
・Cpu_Irq
・Cpu_Softirq
図7を用いて検知装置10の処理について説明する。図7は、第1の実施形態に係る検知装置の処理の流れを示すフローチャートである。図7に示すように、まず、検知装置10は、機器30のネットワークログ及びホストログを取得する(ステップS101)。
第1の実施形態において、検知装置10は、機器30のネットワークログ及びホストログを取得する。また、検知装置10は、ネットワークログを、確率変数で表される複数の潜在変数を基に出力データを生成する生成モデルであって、マルチモーダルな生成モデルに入力可能な形式のネットワーク特徴量に変換する。また、検知装置10は、ホストログを、生成モデルに入力可能な形式のホスト特徴量に変換する。また、検知装置10は、ネットワーク特徴量及びホスト特徴量のうちの少なくとも一方を生成モデルに入力し、出力データを計算する。また、検知装置10は、出力データを基に計算したアノマリスコアを用いて、機器30の異常の検知を行う。このように、検知装置10は、ネットワークログ及びホストログの両方から変換した特徴量を使って異常の検知を行うため、IoT機器の異常を高い精度で検知することができる。例えば、検知装置10は、DoS攻撃やArp spoofingによる異常、及びランサムウェアによる異常の両方を検知することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
一実施形態として、検知装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の検知を実行する検知プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の検知プログラムを情報処理装置に実行させることにより、情報処理装置を検知装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
11 入出力部
12 通信部
13 記憶部
14 制御部
20 ゲートウェイ
30 機器
40 外部ネットワーク
141 取得部
142 第1の変換部
143 第2の変換部
144 計算部
145 学習部
146 検知部
Claims (6)
- 機器のネットワークログ及びホストログを取得する取得部と、
前記ネットワークログを、確率変数で表される複数の潜在変数を基に出力データを生成する生成モデルであって、マルチモーダルな生成モデルに入力可能な形式の第1の特徴量に変換する第1の変換部と、
前記ホストログを、前記生成モデルに入力可能な形式の第2の特徴量に変換する第2の変換部と、
前記第1の特徴量及び前記第2の特徴量のうちの少なくとも一方を前記生成モデルに入力し、前記出力データを計算する計算部と、
前記出力データを基に計算したアノマリスコアを用いて、前記機器の異常の検知を行う検知部と、
を有することを特徴とする検知装置。 - 前記出力データと前記生成モデルに入力した各特徴量との差分が小さくなるように前記生成モデルの学習を行う学習部をさらに有することを特徴とする請求項1に記載の検知装置。
- 前記第1の変換部は、前記ネットワークログに含まれる量的データを前記量的データの所定の統計量に変換し、前記ネットワークログに含まれる質的データをk−hot(ただし、kは1以上の整数)ベクトルに変換することを特徴とする請求項1に記載の検知装置。
- 前記第2の変換部は、前記ホストログに含まれる時系列の累積データを単位時間ごとのデータに変換し、さらに、リソースの使用量に関するデータを全リソース量で割ることで正規化することを特徴とする請求項1に記載の検知装置。
- 前記第2の変換部は、
1つのネットワークログに複数のホストログが対応している場合、前記複数のホストログの各要素の最大、最小、平均及び分散のうちの少なくともいずれかを計算することで、前記複数のホストログを1つの前記第2の特徴量に変換することを特徴とする請求項1に記載の検知装置。 - コンピュータによって実行される検知方法であって、
機器からネットワークログ及びホストログを取得する取得工程と、
前記ネットワークログを、確率変数で表される複数の潜在変数を基に出力データを生成するマルチモーダルな生成モデルに入力可能な形式の第1の特徴量に変換する第1の変換工程と、
前記ホストログを、前記生成モデルに入力可能な形式の第2の特徴量に変換する第2の変換工程と、
を含むことを特徴とする検知方法。
Priority Applications (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018113154A JP7014054B2 (ja) | 2018-06-13 | 2018-06-13 | 検知装置及び検知方法 |
CN201980038762.1A CN112262387A (zh) | 2018-06-13 | 2019-06-07 | 检测装置和检测方法 |
AU2019287212A AU2019287212B2 (en) | 2018-06-13 | 2019-06-07 | Detection device and detection method |
US16/973,433 US11563654B2 (en) | 2018-06-13 | 2019-06-07 | Detection device and detection method |
EP19820281.4A EP3816829B1 (en) | 2018-06-13 | 2019-06-07 | Detection device and detection method |
PCT/JP2019/022738 WO2019240038A1 (ja) | 2018-06-13 | 2019-06-07 | 検知装置及び検知方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018113154A JP7014054B2 (ja) | 2018-06-13 | 2018-06-13 | 検知装置及び検知方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019215757A true JP2019215757A (ja) | 2019-12-19 |
JP7014054B2 JP7014054B2 (ja) | 2022-02-01 |
Family
ID=68842801
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018113154A Active JP7014054B2 (ja) | 2018-06-13 | 2018-06-13 | 検知装置及び検知方法 |
Country Status (6)
Country | Link |
---|---|
US (1) | US11563654B2 (ja) |
EP (1) | EP3816829B1 (ja) |
JP (1) | JP7014054B2 (ja) |
CN (1) | CN112262387A (ja) |
AU (1) | AU2019287212B2 (ja) |
WO (1) | WO2019240038A1 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021141481A (ja) * | 2020-03-06 | 2021-09-16 | Kddi株式会社 | モデル学習装置、モデル学習方法及びコンピュータプログラム |
WO2021192191A1 (ja) * | 2020-03-27 | 2021-09-30 | 日本電気株式会社 | 異常アクセス予測システム、異常アクセス予測方法およびプログラム記録媒体 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7006805B2 (ja) * | 2018-10-02 | 2022-01-24 | 日本電信電話株式会社 | 算出装置、算出方法及び算出プログラム |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018025936A (ja) * | 2016-08-09 | 2018-02-15 | オークマ株式会社 | 工作機械 |
JP2018073258A (ja) * | 2016-11-02 | 2018-05-10 | 日本電信電話株式会社 | 検知装置、検知方法および検知プログラム |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100434205B1 (ko) * | 2001-07-26 | 2004-06-04 | 펜타시큐리티시스템 주식회사 | 다단계 침입 탐지 엔진 |
KR20160095856A (ko) * | 2015-02-04 | 2016-08-12 | 한국전자통신연구원 | 새로운 공격 유형의 자동 탐지 및 공격 유형 모델 갱신을 통한 지능형 침입 탐지 시스템 및 방법 |
US9876813B2 (en) * | 2015-02-11 | 2018-01-23 | Qualys, Inc. | System and method for web-based log analysis |
CN106302350B (zh) * | 2015-06-01 | 2019-09-03 | 阿里巴巴集团控股有限公司 | Url监测方法、装置及设备 |
US10154053B2 (en) * | 2015-06-04 | 2018-12-11 | Cisco Technology, Inc. | Method and apparatus for grouping features into bins with selected bin boundaries for use in anomaly detection |
CN105468995A (zh) * | 2015-12-15 | 2016-04-06 | 吉林大学 | 以Oracle为核心的基于数据挖掘入侵检测系统 |
WO2017221711A1 (ja) | 2016-06-23 | 2017-12-28 | 日本電信電話株式会社 | ログ分析装置、ログ分析方法およびログ分析プログラム |
US10885165B2 (en) * | 2017-05-17 | 2021-01-05 | Forescout Technologies, Inc. | Account monitoring |
CN107798235B (zh) * | 2017-10-30 | 2020-01-10 | 清华大学 | 基于one-hot编码机制的无监督异常访问检测方法及装置 |
-
2018
- 2018-06-13 JP JP2018113154A patent/JP7014054B2/ja active Active
-
2019
- 2019-06-07 CN CN201980038762.1A patent/CN112262387A/zh active Pending
- 2019-06-07 WO PCT/JP2019/022738 patent/WO2019240038A1/ja unknown
- 2019-06-07 AU AU2019287212A patent/AU2019287212B2/en active Active
- 2019-06-07 EP EP19820281.4A patent/EP3816829B1/en active Active
- 2019-06-07 US US16/973,433 patent/US11563654B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018025936A (ja) * | 2016-08-09 | 2018-02-15 | オークマ株式会社 | 工作機械 |
JP2018073258A (ja) * | 2016-11-02 | 2018-05-10 | 日本電信電話株式会社 | 検知装置、検知方法および検知プログラム |
Non-Patent Citations (1)
Title |
---|
菊地 啓太, ほか2名: "IoT家電の故障検知を目的とした外れ値検知モデルの構築", 電気学会研究会資料, JPN6019031993, 22 March 2018 (2018-03-22), JP, pages 61 - 65, ISSN: 0004607523 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021141481A (ja) * | 2020-03-06 | 2021-09-16 | Kddi株式会社 | モデル学習装置、モデル学習方法及びコンピュータプログラム |
JP7234173B2 (ja) | 2020-03-06 | 2023-03-07 | Kddi株式会社 | モデル学習装置、モデル学習方法及びコンピュータプログラム |
WO2021192191A1 (ja) * | 2020-03-27 | 2021-09-30 | 日本電気株式会社 | 異常アクセス予測システム、異常アクセス予測方法およびプログラム記録媒体 |
Also Published As
Publication number | Publication date |
---|---|
WO2019240038A1 (ja) | 2019-12-19 |
US11563654B2 (en) | 2023-01-24 |
CN112262387A (zh) | 2021-01-22 |
US20210250260A1 (en) | 2021-08-12 |
AU2019287212A1 (en) | 2021-01-07 |
EP3816829A4 (en) | 2022-01-19 |
JP7014054B2 (ja) | 2022-02-01 |
AU2019287212B2 (en) | 2022-07-14 |
EP3816829A1 (en) | 2021-05-05 |
EP3816829B1 (en) | 2023-04-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11902316B2 (en) | Real-time cybersecurity status system with event ticker | |
WO2019240038A1 (ja) | 検知装置及び検知方法 | |
CN113364752B (zh) | 一种流量异常检测方法、检测设备及计算机可读存储介质 | |
WO2019245006A1 (ja) | 検知装置及び検知方法 | |
JP6691094B2 (ja) | 学習装置、検知システム、学習方法及び学習プログラム | |
JP6491356B2 (ja) | 分類方法、分類装置および分類プログラム | |
JP6767312B2 (ja) | 検知システム、検知方法及び検知プログラム | |
JP6864610B2 (ja) | 特定システム、特定方法及び特定プログラム | |
Lee et al. | ATMSim: An anomaly teletraffic detection measurement analysis simulator | |
JP2019220866A (ja) | 評価装置及び評価方法 | |
US10938783B2 (en) | Cluster-based determination of signatures for detection of anomalous data traffic | |
US20230319099A1 (en) | Fuzz testing of machine learning models to detect malicious activity on a computer | |
JP7444270B2 (ja) | 判定装置、判定方法及び判定プログラム | |
Barrameda et al. | A novel application model and an offloading mechanism for efficient mobile computing | |
JP7444271B2 (ja) | 学習装置、学習方法及び学習プログラム | |
US20220405572A1 (en) | Methods for converting hierarchical data | |
WO2023067666A1 (ja) | 算出装置、算出方法及び算出プログラム | |
WO2022059108A1 (ja) | 検知装置、検知方法及び検知プログラム | |
JP6652525B2 (ja) | ブラックリスト設定装置、ブラックリスト設定方法及びブラックリスト設定プログラム | |
US20220311785A1 (en) | Detection device, detection method, and detection program | |
Alatkar | Detecting Smart Home Activity Through Network Traffic Signatures | |
TW202119242A (zh) | 異常流量偵測方法與異常流量偵測裝置 | |
JP2018169907A (ja) | 検知装置、検知方法及び検知プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200924 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211005 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211201 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211221 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220103 |