JP4559974B2 - 管理装置及び管理方法及びプログラム - Google Patents
管理装置及び管理方法及びプログラム Download PDFInfo
- Publication number
- JP4559974B2 JP4559974B2 JP2006007898A JP2006007898A JP4559974B2 JP 4559974 B2 JP4559974 B2 JP 4559974B2 JP 2006007898 A JP2006007898 A JP 2006007898A JP 2006007898 A JP2006007898 A JP 2006007898A JP 4559974 B2 JP4559974 B2 JP 4559974B2
- Authority
- JP
- Japan
- Prior art keywords
- state
- abnormality
- state vector
- classification label
- assumed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、ネットワークシステムに障害が発生した際に、障害の発生箇所及び障害理由を判別する技術に関する。
情報技術の発展にともない、規模の大小をとわず、様々な分野でネットワークシステムが構築され、運用されている。各システムは、それぞれの業務目的に沿って運用されているため、仮に利用しているシステムで障害が発生し、正常な動作が行えなくなってしまった場合には、業務が停止するといった被害が発生してしまう。したがって、システムを運用する上で、システムが正常動作しているかどうかを監視する作業が重要となる。特に、近年では、不正アクセスやワームの発生といったセキュリティインシデントに起因する障害による被害が増加傾向にあり、監視の重要性が増している。
運用システムの監視は、運用システムの管理者によって行われる。管理者は、運用システムで何らかの障害が発生した場合には、それを検出し、システムを正常動作へ復旧する必要がある。しかしながら、運用システムが大規模であったり、複雑な構成をしている場合には、システム上の障害箇所の特定に手間取り、復旧に時間がかかってしまうといった問題点がある。このような問題を解決するために、障害解析技術がある。
運用システムの監視は、運用システムの管理者によって行われる。管理者は、運用システムで何らかの障害が発生した場合には、それを検出し、システムを正常動作へ復旧する必要がある。しかしながら、運用システムが大規模であったり、複雑な構成をしている場合には、システム上の障害箇所の特定に手間取り、復旧に時間がかかってしまうといった問題点がある。このような問題を解決するために、障害解析技術がある。
障害解析技術としては、例えば、図9に示すような、従来技術1(特許文献1)がある。従来技術1では、ニューロコンピュータによって構成された異常判定手段により、あらかじめ複数種類の異常に応じた比較用異常状態組み合わせパターンを教師データとして、異常発生時には、それらとの障害パターンを比較することによって、異常発生箇所を判定している。
また、例えば、図10に示すような、従来技術2(特許文献2)では、あらかじめ、ネットワークシステム上で障害として想定される事象と、その発生箇所についての対応テーブルを作成しておき、障害が発生した場合には、対応テーブルを参照して、障害発生箇所を特定している。
また、例えば、図11に示すような、従来技術3(特許文献3)では、システムで発生する異常現象とそれを引き起こす原因候補を対応付けた推定原因テーブルを作成しておき、異常が検出された場合には、推定原因テーブルを参照して、検出された異常現象の原因として発生頻度の高い原因候補から順にシミュレーションを行い、実際に検出された異常状態と類似するシミュレーション結果が得られた原因を異常発生の原因として特定している。
特開平7−21055号公報
特開2005−167347号公報
特開平9−205429号公報
また、例えば、図10に示すような、従来技術2(特許文献2)では、あらかじめ、ネットワークシステム上で障害として想定される事象と、その発生箇所についての対応テーブルを作成しておき、障害が発生した場合には、対応テーブルを参照して、障害発生箇所を特定している。
また、例えば、図11に示すような、従来技術3(特許文献3)では、システムで発生する異常現象とそれを引き起こす原因候補を対応付けた推定原因テーブルを作成しておき、異常が検出された場合には、推定原因テーブルを参照して、検出された異常現象の原因として発生頻度の高い原因候補から順にシミュレーションを行い、実際に検出された異常状態と類似するシミュレーション結果が得られた原因を異常発生の原因として特定している。
しかしながら、従来技術1および従来技術2では、システム上で異常を発生している箇所(機器、ソフトウェア)の特定を目的としているため、なぜ異常を発生する事態に陥ったのかという、異常発生原因を特定できない。この場合、管理者は、異常発生箇所を調査して、異常を発生させた原因を特定する必要がある。特に、セキュリティインシデントによって障害が発生していた場合には、原因を特定する作業を行っている間にも被害範囲が拡大してしまう。加えて、従来技術1および従来技術2では、異常検出によって、誤検出が発生した場合には、誤った異常発生箇所を特定してしまう恐れもある。
また、従来技術3では、異常の発生箇所に加え、異常を発生させた原因まで特定可能ではあるが、異常を発生させた原因の特定を発生頻度の高い順におこなっており、発生頻度が低い原因で異常が発生していた場合、想定される原因の数が多ければ多いほど、シミュレーションによる解析回数が増え、効率的ではない。加えて、未知の不正アクセスやワームによって、障害が発生している場合には、シミュレーションを行うためのパラメータが定まらず、シミュレーションが行えない。
本発明は、例えば、上記のような問題点を解決するためになされたもので、システム上で異常を検出した場合に、異常を発生させている箇所に加え、異常を発生させている原因を特定することを主な目的とする。
本発明に係る管理装置は、
コンピュータ装置に異常を発生させる複数の異常発生原因のそれぞれについて異常発生時のコンピュータ装置に想定される状態が表された想定状態ベクトルを取得し、共通性のある想定状態ベクトルを共通の分類ラベルに分類するとともに、共通の分類ラベルに分類された想定状態ベクトルに基づきそれぞれの分類ラベルの境界を示す境界値を設定する境界値設定部と、
複数のコンピュータ装置の状態に関する情報を状態情報として収集する状態情報収集部と、
前記状態情報収集部により収集された状態情報を用いて、前記複数のコンピュータ装置のうちのいずれかのコンピュータ装置の状態を表す状態ベクトルを生成する状態ベクトル生成部と、
前記状態ベクトル生成部により生成された状態ベクトルとそれぞれの分類ラベルの境界値とに基づき、前記状態ベクトル生成部により生成された状態ベクトルがいずれの分類ラベルに分類されるかを判別する状態判別部とを有することを特徴とする。
コンピュータ装置に異常を発生させる複数の異常発生原因のそれぞれについて異常発生時のコンピュータ装置に想定される状態が表された想定状態ベクトルを取得し、共通性のある想定状態ベクトルを共通の分類ラベルに分類するとともに、共通の分類ラベルに分類された想定状態ベクトルに基づきそれぞれの分類ラベルの境界を示す境界値を設定する境界値設定部と、
複数のコンピュータ装置の状態に関する情報を状態情報として収集する状態情報収集部と、
前記状態情報収集部により収集された状態情報を用いて、前記複数のコンピュータ装置のうちのいずれかのコンピュータ装置の状態を表す状態ベクトルを生成する状態ベクトル生成部と、
前記状態ベクトル生成部により生成された状態ベクトルとそれぞれの分類ラベルの境界値とに基づき、前記状態ベクトル生成部により生成された状態ベクトルがいずれの分類ラベルに分類されるかを判別する状態判別部とを有することを特徴とする。
本発明によれば、状態ベクトルがいずれの分類ラベルに分類されるかを判断することにより、異常を発生させている原因を早期に特定することができ、特定された異常発生原因に対して的確な対応を早期にとることができ、異常発生原因に対する最善の対策を早期にとることが可能となる。
実施の形態1.
図1は、本実施の形態に係るシステム構成例を示す図である。
図1において、110−112は監視対象ネットワークである。これらは内部ネットワークである。100は外部ネットワークである。120−123は監視対象ネットワークに接続している接続端末である(以下、単に端末ともいう)。これら接続端末は、コンピュータ装置の例である。130は、監視対象ネットワーク内のトラフィックを監視し、異常を検出する異常検出装置である。500は、異常検出装置130により検出された異常の発生原因を特定する異常発生原因特定装置である。異常発生原因特定装置500は、管理装置の例である。
図1は、本実施の形態に係るシステム構成例を示す図である。
図1において、110−112は監視対象ネットワークである。これらは内部ネットワークである。100は外部ネットワークである。120−123は監視対象ネットワークに接続している接続端末である(以下、単に端末ともいう)。これら接続端末は、コンピュータ装置の例である。130は、監視対象ネットワーク内のトラフィックを監視し、異常を検出する異常検出装置である。500は、異常検出装置130により検出された異常の発生原因を特定する異常発生原因特定装置である。異常発生原因特定装置500は、管理装置の例である。
図1において、監視対象ネットワーク110−112は、外部ネットワーク100と接続している。異常検出装置130は、監視対象ネットワーク110−112を流れるトラフィックを監視し、異常なトラフィックが観測された場合には、異常検出ログを生成する。異常検出ログには、異常なトラフィックを発生した疑いのある端末のIPアドレス、異常なトラフィックのあて先に関する情報(あて先IPアドレス、あて先ポート番号)、異常検出のパラメータ(観測値、閾値、異常度合い)が含まれる。
異常発生原因特定装置500は、異常検出装置130で異常が検出された場合に、異常検出ログに含まれている、異常なトラフィックを発生した疑いのある端末が、どのような原因によって異常なトラフィックを生成したのかを判定する。
異常発生原因特定装置500は、異常検出装置130で異常が検出された場合に、異常検出ログに含まれている、異常なトラフィックを発生した疑いのある端末が、どのような原因によって異常なトラフィックを生成したのかを判定する。
ネットワークのトラフィックを監視している異常検出装置130で、なんらかの異常を検出した場合に、その異常を発生させている監視対象ネットワーク上の端末やネットワーク機器は、通常とは異なる状態へ遷移している(異常が発生している)と考えられる。また、遷移する状態は、端末や機器上で異常を発生させた原因が同一であれば、類似の状態へ遷移すると考えられる。
そこで、本実施の形態に係る異常発生原因特定装置500は、異常の発生原因として複数の原因を想定し、想定した原因によって引き起こされる端末の状態をあらかじめ学習しておき、異常発生時の端末の状態が学習済みの状態のうち、どの状態に最も近いのかを統計学に基づく判別分析によって推定し、その状態が属する原因を、異常が発生した原因として特定する。
そこで、本実施の形態に係る異常発生原因特定装置500は、異常の発生原因として複数の原因を想定し、想定した原因によって引き起こされる端末の状態をあらかじめ学習しておき、異常発生時の端末の状態が学習済みの状態のうち、どの状態に最も近いのかを統計学に基づく判別分析によって推定し、その状態が属する原因を、異常が発生した原因として特定する。
このように、本実施の形態に係る異常発生原因特定装置500は、異常検出装置130で異常が検出される原因をあらかじめ想定しておき、異常検出が発生した際に、想定した原因のどれが発生しているかを判定するものである。
本実施の形態では、異常発生の原因として、監視対象ネットワークに接続された端末がネットワーク感染型ワームに感染している場合と、メール感染型ワームに感染している場合の2つを想定する。これは、既存のワームが、上記の2つに大別できることに基づいている。
本実施の形態では、端末状態を、状態ベクトル(複数の要素を持つ数値モデル)によって表現する。図6は、状態ベクトルの例を表したものである。図6において、600は状態ベクトル表であり、601、602、603は、それぞれ、状態ベクトル1、状態ベクトル2、状態ベクトル3を表している。
状態ベクトルを構成する要素は、想定した複数の異常発生原因を、精度よく分類することができるもので構成する。本実施の形態では、ワームの挙動の違いによりネットワーク感染型ワームの感染状態と、メール感染型ワームの感染状態に分類するため、端末が通信で使用しているプロトコルの割合、データ送信量、データ受信量、パケット送受信数、特定箇所変更イベント数、特定ファイル変更イベント数、アクセス先ホスト数、メール送受信数、エラーパケットの受信数、CPU使用率、メモリ使用率など、ワーム感染時の端末状態への影響を観測可能な特徴量とする。ただし、上記の特徴量に限らず、測定可能な様々な要素の組み合わせを試し、最良の組み合わせを選択するものとする。観測は、端末上でしか行えないものと、ネットワーク上でリモートからでも行えるものがある。それぞれの要素は、単位時間当たりの数を測定して、数値化したものとする。
異常発生原因特定装置500は、異常検出装置130で異常が検出される原因を状態ベクトルの形であらかじめ想定しておき、異常が検出された際に、異常に関係のある端末の状態を表す状態ベクトルを得て、異常に関係のある端末の状態ベクトルが、予め想定した原因のどの状態ベクトルに近似しているかを判断して、異常発生原因を判定するものである。
本実施の形態では、異常発生の原因として、監視対象ネットワークに接続された端末がネットワーク感染型ワームに感染している場合と、メール感染型ワームに感染している場合の2つを想定する。これは、既存のワームが、上記の2つに大別できることに基づいている。
本実施の形態では、端末状態を、状態ベクトル(複数の要素を持つ数値モデル)によって表現する。図6は、状態ベクトルの例を表したものである。図6において、600は状態ベクトル表であり、601、602、603は、それぞれ、状態ベクトル1、状態ベクトル2、状態ベクトル3を表している。
状態ベクトルを構成する要素は、想定した複数の異常発生原因を、精度よく分類することができるもので構成する。本実施の形態では、ワームの挙動の違いによりネットワーク感染型ワームの感染状態と、メール感染型ワームの感染状態に分類するため、端末が通信で使用しているプロトコルの割合、データ送信量、データ受信量、パケット送受信数、特定箇所変更イベント数、特定ファイル変更イベント数、アクセス先ホスト数、メール送受信数、エラーパケットの受信数、CPU使用率、メモリ使用率など、ワーム感染時の端末状態への影響を観測可能な特徴量とする。ただし、上記の特徴量に限らず、測定可能な様々な要素の組み合わせを試し、最良の組み合わせを選択するものとする。観測は、端末上でしか行えないものと、ネットワーク上でリモートからでも行えるものがある。それぞれの要素は、単位時間当たりの数を測定して、数値化したものとする。
異常発生原因特定装置500は、異常検出装置130で異常が検出される原因を状態ベクトルの形であらかじめ想定しておき、異常が検出された際に、異常に関係のある端末の状態を表す状態ベクトルを得て、異常に関係のある端末の状態ベクトルが、予め想定した原因のどの状態ベクトルに近似しているかを判断して、異常発生原因を判定するものである。
図2は、本実施の形態に係る異常発生原因特定装置500内の各機能を表したものである。
501は境界値学習指示部である。502は境界値学習部である。503は端末情報収集部である。504はデータ記憶部である。505は状態判別指示部である。506は状態判別部である。507は状態ベクトル生成部である。508は状態判別結果表示部である。120、121は接続端末である。124は接続端末の端末情報取得部である。130は異常検出装置である。240は内部ネットワークである。
501は境界値学習指示部である。502は境界値学習部である。503は端末情報収集部である。504はデータ記憶部である。505は状態判別指示部である。506は状態判別部である。507は状態ベクトル生成部である。508は状態判別結果表示部である。120、121は接続端末である。124は接続端末の端末情報取得部である。130は異常検出装置である。240は内部ネットワークである。
境界値学習指示部501は、ユーザもしくは外部プログラムからの境界値学習指示を受けて、境界値学習部502を動作させる。学習する状態ベクトルは、データ記憶部504によって、異常発生原因特定装置500内に保存されているものを読み込む。学習する状態ベクトルは、実験により端末を実際にワームに感染させた際の端末の状態を示す状態ベクトル又はシミュレーションにより端末がワームに感染した際に想定される端末の状態を示す状態ベクトルである。これら実験により、又はシミュレーションにより得られた状態ベクトルを想定状態ベクトルと呼ぶ。
また、読み込んだ想定状態ベクトルをどの分類ラベルとして境界値を学習するのかについては、ユーザもしくは外部プログラムによって与えられる。
また、読み込んだ想定状態ベクトルをどの分類ラベルとして境界値を学習するのかについては、ユーザもしくは外部プログラムによって与えられる。
ここで分類ラベルとは、共通性のある想定状態ベクトルをグループ化して分類するためのラベルである。例えば、異常発生原因として、ネットワーク感染型ワームとメール感染型ワームとが想定されている場合に、ネットワーク感染型ワームの分類ラベルとメール感染型ワームの分類ラベルを設け、想定状態ベクトルの共通性から、実験又はシミュレーションにより得られた想定状態ベクトルをネットワーク感染型ワームの分類ラベル又はメール感染型ワームの分類ラベルに分類する。また、例えば、ネットワーク感染型ワームが感染時の状態の特性から、ネットワーク感染型ワームA、ネットワーク感染型ワームB、ネットワーク感染型ワームCというように細分類できる場合には、ネットワーク感染型ワームAの分類ラベル、ネットワーク感染型ワームBの分類ラベル、ネットワーク感染型ワームCの分類ラベルを設けるようにしてもよい。
また、学習とは、概念的には、得られた想定状態ベクトルを状態空間にプロットし、プロットされた点と、それにラベルづけされた分類ラベルごとの領域に切り分けるための境界値(面)を推定することである。推定された境界値(面)は、判別分析の判別式のパラメータとして反映される。
境界値学習部502は、与えられた想定状態ベクトルをこれまでに学習した想定状態ベクトルに加えて、境界値を再計算する。境界値学習部502は、境界値学習指示部501からデータ記憶部504に記憶されていた想定状態ベクトルを取得し、共通性のある想定状態ベクトルを共通の分類ラベルに分類するとともに、共通の分類ラベルに分類された想定状態ベクトルに基づきそれぞれの分類ラベルの境界を示す境界値を設定する。また、新たな実験又はシミュレーションにより得られた新たな想定状態ベクトルがある場合には、境界値学習指示部501からの指示に基づき、新たな想定状態ベクトルを反映させて境界値を再計算する。境界値学習部502は、境界値設定部の例である。
なお、境界値学習部502が計算した境界値情報は、データ記憶部504によって記録しておく。
なお、境界値学習部502が計算した境界値情報は、データ記憶部504によって記録しておく。
端末情報収集部503は、監視対象ネットワーク上の接続端末120、121内の端末情報取得部124から送られてくる端末情報(状態情報)を受け取り、データ記憶部504に記憶しておく。
データ記憶部504は、異常発生原因特定装置500内の各部で用いる情報を記憶するための機能である。また、記憶した情報は、必要に応じてデータ記憶部504から取り出すことができる。
状態判別指示部505は、異常検出装置130で異常が検出された場合に、ユーザもしくはプログラムの状態判別指示を受けて、状態判別部506を動作させる。状態を判別する対象となる端末の識別子(IPアドレスなど)は、ユーザもしくは外部プログラムによって与えられる。
状態判別部506では、状態判別指示部505によって与えられた状態判別を行う端末の識別子によって特定される端末の状態ベクトルを、状態ベクトル生成部507を用いて生成し、得られた状態ベクトルを判別式によって分析し、端末の状態ベクトルが、あらかじめ想定したどの分類ラベル(原因)に属するのかを判定する。このとき、どの程度分類ラベルと類似しているのかを数値的に求めて確信度とする。確信度が高いほど、判定した分類ラベルに属する確率が高いことを意味する。判定した結果(分類ラベル、確信度)は、生成した状態ベクトルおよび端末の識別子とともに、データ記憶部504によって、装置内に記憶される。
状態判別結果表示部508は、状態判別部によって判別された結果をデータ記憶部504から読み込んで画面へ表示もしくは、状態判別指示部を呼び出したプログラムへ渡す。
図3は、実施の形態1における異常発生原因特定装置500のハードウェア資源の一例を示す図である。
図3において、異常発生原因特定装置500は、プログラムを実行するCPU911(Central Processing Unit、中央処理装置、処理装置、演算装置ともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、通信ボード915、表示装置901、キーボード902、マウス903、FDD904、CDD905、プリンタ装置906、スキャナ装置907、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。また、これら全てのハードウェア装置が接続されていなくてもよく、例えば、プリンタ装置906、スキャナ装置907はなくてもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。異常発生原因特定装置500におけるデータ記憶部504は、これらの記憶媒体により実現される。
図3において、異常発生原因特定装置500は、プログラムを実行するCPU911(Central Processing Unit、中央処理装置、処理装置、演算装置ともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、通信ボード915、表示装置901、キーボード902、マウス903、FDD904、CDD905、プリンタ装置906、スキャナ装置907、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。また、これら全てのハードウェア装置が接続されていなくてもよく、例えば、プリンタ装置906、スキャナ装置907はなくてもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。異常発生原因特定装置500におけるデータ記憶部504は、これらの記憶媒体により実現される。
通信ボード915は、内部ネットワークに接続され、異常検出装置130及び接続端末120、121と通信を行う。通信ボード915は、内部ネットワークに限らず、インターネット、ISDN等のWAN(ワイドエリアネットワーク)などに接続されていても構わない。通信ボード915は、端末情報収集部503及び状態判別指示部505の一部を構成する。
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
上記プログラム群923には、本実施の形態及び以下に述べる実施の形態の説明において「〜部」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
ファイル群924には、本実施の形態及び以下に述べる実施の形態の説明において、「〜の判定結果」、「〜の計算結果」、「〜の処理結果」として説明するデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。
また、本実施の形態及び以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital Versatile Disk)等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
ファイル群924には、本実施の形態及び以下に述べる実施の形態の説明において、「〜の判定結果」、「〜の計算結果」、「〜の処理結果」として説明するデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。
また、本実施の形態及び以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital Versatile Disk)等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
また、本実施の形態及び以下に述べる実施の形態の説明において「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、ハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、本実施の形態及び以下に述べる実施の形態に記述されている「〜部」としてコンピュータを機能させるものである。あるいは、本実施の形態及び以下に述べる実施の形態に記述されている「〜部」の手順をコンピュータに実行させるものである。
次に、異常発生原因特定装置500の動作ついて説明する。
異常発生原因特定装置500では、学習フェーズと運用フェーズの2つの動作があるため、それぞれについて概説する。
異常発生原因特定装置500では、学習フェーズと運用フェーズの2つの動作があるため、それぞれについて概説する。
学習フェーズでは、分類ラベルごとの端末の状態ベクトルを学習する。学習手順としては、まず、実験もしくはシミュレーションによって、分類ラベルごとの想定状態ベクトルを作成して、データ記憶部504によって異常発生原因特定装置500上に保存する。次に、境界値学習指示部501によって学習する想定状態ベクトルを読み出し、その分類ラベルを指定して、境界値学習部502に学習を指示する。境界値学習部502では、既存の境界値(以下、学習データともいう)と学習を指示された想定状態ベクトルと分類ラベルを元に、新規の学習データを生成する。新規の学習データは、データ記憶部504によって、異常発生原因特定装置500上に保存される。以上の処理を、学習するべきデータが無くなるまで繰り返す。
以上の説明では、状態ベクトルと分類ラベルを1つずつ学習しているが、複数の学習データが与えられた場合には、それらをまとめて学習することも可能である。加えて、状態ベクトルの要素が、監視対象ネットワークの環境に依存しない限りにおいては、異なる監視対象ネットワークであっても、共通の学習データを使用可能である。
以上の説明では、状態ベクトルと分類ラベルを1つずつ学習しているが、複数の学習データが与えられた場合には、それらをまとめて学習することも可能である。加えて、状態ベクトルの要素が、監視対象ネットワークの環境に依存しない限りにおいては、異なる監視対象ネットワークであっても、共通の学習データを使用可能である。
次に、運用フェーズについて説明する。運用フェーズでは、通常時、監視対象ネットワーク上の各接続端末上の端末情報取得部124によって、取得された端末情報を端末情報収集部503によって収集し、データ記憶部504によって異常発生原因特定装置500内に保存している。
異常検出装置130によって、監視対象ネットワークを流れるトラフィックに異常が発生した場合に、状態判別指示部505は、異常検出装置130から異常検出ログを受信して、状態判別部506を呼び出す。状態判別部506は、状態を判別する対象となる端末の状態ベクトルを状態ベクトル生成部507によって生成し、生成した状態ベクトルの分類ラベルを判別分析によって、分類ラベルを判別する。分類ラベルの判別結果は、データ記憶部504を用いて異常発生原因特定装置500内に保存される。保存された分類ラベルの判別結果は、状態判別結果表示部508で読み込まれ、ユーザに表示、もしくは他のプログラムに通知される。
運用フェーズ中に、誤った判別結果が得られた場合には、学習フェーズと同様の手順により、再学習を行う。この際、学習する状態ベクトルは、ユーザが作成するのではなく、誤った判別結果が得られたものを使用する。
異常検出装置130によって、監視対象ネットワークを流れるトラフィックに異常が発生した場合に、状態判別指示部505は、異常検出装置130から異常検出ログを受信して、状態判別部506を呼び出す。状態判別部506は、状態を判別する対象となる端末の状態ベクトルを状態ベクトル生成部507によって生成し、生成した状態ベクトルの分類ラベルを判別分析によって、分類ラベルを判別する。分類ラベルの判別結果は、データ記憶部504を用いて異常発生原因特定装置500内に保存される。保存された分類ラベルの判別結果は、状態判別結果表示部508で読み込まれ、ユーザに表示、もしくは他のプログラムに通知される。
運用フェーズ中に、誤った判別結果が得られた場合には、学習フェーズと同様の手順により、再学習を行う。この際、学習する状態ベクトルは、ユーザが作成するのではなく、誤った判別結果が得られたものを使用する。
次に、学習フェーズにおける異常発生原因特定装置500の動作例を図4のフローチャートを用いて説明する。
先ず、境界値学習部502が、境界値学習指示部501がデータ記憶部504から読み出した想定状態ベクトルを取得する(S401)(境界値設定ステップ)。この想定状態ベクトルは、前述したように、端末がワームに感染した場合に遷移すると想定される状態の状態ベクトルである。想定状態ベクトルの作成は、端末を実際に既知のワームに感染させて、状態ベクトルの要素となる項目について観測したデータを用いて行う。もしくは、実際に端末をワームに感染させるのではなく、想定したワームに感染した場合に端末がどのような挙動を示すのかをシミュレーションにより解析し、理論的な数値として想定状態ベクトルを作成してもよい。端末をワームに感染させての実験又はシミュレーション、及び想定状態ベクトルの生成は、異常発生原因特定装置500の外部で行ってもよいし、異常発生原因特定装置500内部で行ってもよい。上記のようにして得られた端末の想定状態ベクトルは、データ記憶部504において記憶され、また、境界値学習指示部501により読み出され、境界値学習部502に渡される。
先ず、境界値学習部502が、境界値学習指示部501がデータ記憶部504から読み出した想定状態ベクトルを取得する(S401)(境界値設定ステップ)。この想定状態ベクトルは、前述したように、端末がワームに感染した場合に遷移すると想定される状態の状態ベクトルである。想定状態ベクトルの作成は、端末を実際に既知のワームに感染させて、状態ベクトルの要素となる項目について観測したデータを用いて行う。もしくは、実際に端末をワームに感染させるのではなく、想定したワームに感染した場合に端末がどのような挙動を示すのかをシミュレーションにより解析し、理論的な数値として想定状態ベクトルを作成してもよい。端末をワームに感染させての実験又はシミュレーション、及び想定状態ベクトルの生成は、異常発生原因特定装置500の外部で行ってもよいし、異常発生原因特定装置500内部で行ってもよい。上記のようにして得られた端末の想定状態ベクトルは、データ記憶部504において記憶され、また、境界値学習指示部501により読み出され、境界値学習部502に渡される。
次に、境界値学習部502は、取得した想定状態ベクトルについて、共通性のある想定状態ベクトルを共通の異常発生原因の分類ラベル(本実施の形態では、ネットワーク感染型ワームに感染、メール感染型ワームに感染)でラベル付け(分類)する(S402、境界値設定ステップ)。
次に、境界値学習部502は、それぞれの分類ラベルの境界値を設定する(S403)(境界値設定ステップ)。つまり、境界値学習部502は、得られた想定状態ベクトルを状態空間にプロットし、プロットされた点と、それにラベルづけされた分類ラベルごとの領域に切り分けるための境界値(面)、すなわち、各分類ラベルの境界を示す境界値を設定する。境界値の設定は、従来からの統計的手法により実現可能である。但し、後述するように、状態判別部506による状態判別手法には、線形判別関数による方式と、マハラノビス距離による方式とがあり、状態判別部506が用いる判別方式に対応する境界値(面)を設定する必要がある。
次に、データ記憶部504が、各分類ラベルの境界値を記憶する(S404)。
次に、境界値学習部502は、それぞれの分類ラベルの境界値を設定する(S403)(境界値設定ステップ)。つまり、境界値学習部502は、得られた想定状態ベクトルを状態空間にプロットし、プロットされた点と、それにラベルづけされた分類ラベルごとの領域に切り分けるための境界値(面)、すなわち、各分類ラベルの境界を示す境界値を設定する。境界値の設定は、従来からの統計的手法により実現可能である。但し、後述するように、状態判別部506による状態判別手法には、線形判別関数による方式と、マハラノビス距離による方式とがあり、状態判別部506が用いる判別方式に対応する境界値(面)を設定する必要がある。
次に、データ記憶部504が、各分類ラベルの境界値を記憶する(S404)。
次に、運用フェーズにおける異常発生原因特定装置500の動作例を図5のフローチャートを用いて説明する。
端末情報収集部503は、各接続端末の端末情報取得部124から端末情報を定期的に収集し(S501)(状態情報収集ステップ)、データ記憶部504が収集された端末情報を記憶する(S502)。端末情報収集部503が収集する端末情報には、状態ベクトルが生成可能な数値が示されている。具体的には、前述したように、端末が通信で使用しているプロトコルの割合、データ送信量、データ受信量、パケット送受信数、特定箇所変更イベント数、特定ファイル変更イベント数、アクセス先ホスト数、メール送受信数、エラーパケットの受信数、CPU使用率、メモリ使用率など、ワーム感染時の端末状態への影響を観測可能な特徴量が端末情報として通知される。
端末情報収集部503は、各接続端末の端末情報取得部124から端末情報を定期的に収集し(S501)(状態情報収集ステップ)、データ記憶部504が収集された端末情報を記憶する(S502)。端末情報収集部503が収集する端末情報には、状態ベクトルが生成可能な数値が示されている。具体的には、前述したように、端末が通信で使用しているプロトコルの割合、データ送信量、データ受信量、パケット送受信数、特定箇所変更イベント数、特定ファイル変更イベント数、アクセス先ホスト数、メール送受信数、エラーパケットの受信数、CPU使用率、メモリ使用率など、ワーム感染時の端末状態への影響を観測可能な特徴量が端末情報として通知される。
次に、状態判別指示部505が異常検出装置130から異常検出ログを受信し、異常の発生を検知した場合(S503でYes)は、状態判別部506を呼び出し、S504に進み、異常検出ログを受信していない場合(S503でNo)は、S501に戻る。
異常の発生が検出された場合は、状態判別部506は、状態判別指示部505から異常検出ログの内容を通知され、異常に関係する端末を特定する(S504)。異常検出ログは、前述したように、異常なトラフィックを発生させた疑いのある端末のIPアドレス等が含まれるため、状態判別部506は、異常検出ログから異常なトラフィックを発生させた疑いのある端末を特定できる。
次に、状態ベクトル生成部507が、異常に関係した端末の状態ベクトルを生成する(S505)(状態ベクトル生成ステップ)。状態判別部506により異常を発生させた疑いのある端末が特定されたので、状態ベクトル生成部507は当該端末の端末情報をデータ記憶部504から読み出し、読み出した当該端末の端末情報の各パラメータから、当該端末の状態を表す状態ベクトルを生成する。
異常の発生が検出された場合は、状態判別部506は、状態判別指示部505から異常検出ログの内容を通知され、異常に関係する端末を特定する(S504)。異常検出ログは、前述したように、異常なトラフィックを発生させた疑いのある端末のIPアドレス等が含まれるため、状態判別部506は、異常検出ログから異常なトラフィックを発生させた疑いのある端末を特定できる。
次に、状態ベクトル生成部507が、異常に関係した端末の状態ベクトルを生成する(S505)(状態ベクトル生成ステップ)。状態判別部506により異常を発生させた疑いのある端末が特定されたので、状態ベクトル生成部507は当該端末の端末情報をデータ記憶部504から読み出し、読み出した当該端末の端末情報の各パラメータから、当該端末の状態を表す状態ベクトルを生成する。
次に、状態判別部506が、データ記憶部504から各分類ラベルの境界値を読み出すとともに、状態ベクトル生成部507により生成された異常に関係のある端末の状態ベクトルと読み出した各分類ラベルの境界値とに基づき、異常に関係のある端末の状態ベクトルがどの分類ラベルに分類されるかを判別する(S506)(状態判別ステップ)。
状態判別部506が、端末の状態を判定する際には、与えられた状態ベクトルがどの分類ラベルに属するのか(どの原因によって引き起こされる状態に類似しているのか)を統計的分析手法の一つである、判別分析を用いて特定する。概念的には、判定対象となる端末の状態ベクトルが与えられたときに、それが状態空間上のどの分類ラベルの領域に属するのかを判定する。これにより、与えられた状態を引き起こしている原因が特定される。ただし、与えられた端末の状態が、状態空間上のどの分類ラベルの領域にも属さない場合は、想定外の原因によって引き起こされているか、もしくは、正常状態であると判定する。また、複数の分類ラベルに属すると判定された場合は、複数の原因が同時発生していると判断する。
統計的な判別分析の方式には、大きく分けて、線形判別関数による方式と、マハラノビス距離による方式がある。前者は、分類ラベルごとの領域を直線(平面面)で分ける方式であり、分散共分散行列が等しい場合に用いられる。この場合、各ベクトル要素の係数(重みに相当)が判別式のパラメータとなる。後者は、判別したいデータと、分類ラベルの重心との距離を導出し、最も距離が短いグループに所属するものとする方式である。この場合、境界は曲線(曲面)で表される。判別式のパラメータは、マハラノビス距離を計算するのに必要な、各分類ラベルに属する状態ベクトルの平均ベクトルと分散共分散行列となる。本実施の形態では、判別分析手法として、どちらの方式を用いてもよく、分類するデータの特徴によって、適宜選択する。
状態判別部506が、端末の状態を判定する際には、与えられた状態ベクトルがどの分類ラベルに属するのか(どの原因によって引き起こされる状態に類似しているのか)を統計的分析手法の一つである、判別分析を用いて特定する。概念的には、判定対象となる端末の状態ベクトルが与えられたときに、それが状態空間上のどの分類ラベルの領域に属するのかを判定する。これにより、与えられた状態を引き起こしている原因が特定される。ただし、与えられた端末の状態が、状態空間上のどの分類ラベルの領域にも属さない場合は、想定外の原因によって引き起こされているか、もしくは、正常状態であると判定する。また、複数の分類ラベルに属すると判定された場合は、複数の原因が同時発生していると判断する。
統計的な判別分析の方式には、大きく分けて、線形判別関数による方式と、マハラノビス距離による方式がある。前者は、分類ラベルごとの領域を直線(平面面)で分ける方式であり、分散共分散行列が等しい場合に用いられる。この場合、各ベクトル要素の係数(重みに相当)が判別式のパラメータとなる。後者は、判別したいデータと、分類ラベルの重心との距離を導出し、最も距離が短いグループに所属するものとする方式である。この場合、境界は曲線(曲面)で表される。判別式のパラメータは、マハラノビス距離を計算するのに必要な、各分類ラベルに属する状態ベクトルの平均ベクトルと分散共分散行列となる。本実施の形態では、判別分析手法として、どちらの方式を用いてもよく、分類するデータの特徴によって、適宜選択する。
次に、データ記憶部504が、状態判別部506の判別結果を記憶し(S507)、状態判別結果表示部508が状態判別部506の判別結果をデータ記憶部504から読み込んで画面へ表示し、又は、状態判別指示部505を呼び出したプログラムへ判別結果を渡す(S508)。
このように、本実施の形態に係る異常発生原因特定装置は、以下の機能を備えている。
端末の状態を表す状態ベクトルと、その分類ラベルを学習するための、境界値学習指示機能および境界値学習機能、
状態ベクトルを生成するための端末情報を各接続端末から収集する端末情報収集機能、
異常検出装置の検出結果を元に、ユーザもしくはプログラムから端末状態判別の指示を受けるための状態判別指示機能、
状態判別指示機能からの指示を受けた端末の状態ベクトルの分類ラベルを判別する状態判別機能、
各接続端末から収集した情報から状態ベクトルを生成する状態ベクトル生成機能、
状態判別機能で判別した結果を表示するための状態判別結果表示機能、
各接続端末から収集した情報、状態判別結果、判別のためのパラメータを装置内に記憶するためのデータ記憶機能。
端末の状態を表す状態ベクトルと、その分類ラベルを学習するための、境界値学習指示機能および境界値学習機能、
状態ベクトルを生成するための端末情報を各接続端末から収集する端末情報収集機能、
異常検出装置の検出結果を元に、ユーザもしくはプログラムから端末状態判別の指示を受けるための状態判別指示機能、
状態判別指示機能からの指示を受けた端末の状態ベクトルの分類ラベルを判別する状態判別機能、
各接続端末から収集した情報から状態ベクトルを生成する状態ベクトル生成機能、
状態判別機能で判別した結果を表示するための状態判別結果表示機能、
各接続端末から収集した情報、状態判別結果、判別のためのパラメータを装置内に記憶するためのデータ記憶機能。
以上のように、本実施の形態によれば、端末の状態をモデル化して、異常の発生原因として想定される複数の項目ごとに遷移する状態の特徴をあらかじめ学習しておき、異常発生時の端末の状態が学習済みの項目のうち、どの項目に最も近いのかを統計学に基づく判別分析を行うことによって、異常が発生した原因を特定する。また、異常検出装置で検出された異常なトラフィックを発生した疑いのある端末から、実際に異常を発生させている状態にある端末を抽出できる。
これらの情報を元に、ユーザは、検出された異常に対して的確な対応を早期にとることができる。本実施の形態のように、ネットワーク感染型ワームに感染、メール感染型ワームに感染、という2つの分類ラベルを異常発生原因として想定した場合は、どの端末が、どのようなワームに感染したことが原因で、異常が発生したのかが特定できるため、それぞれのワームに対して、最善の対策を早期にとることが可能となる。
また、新種のワームに感染したことにより異常が発生した場合でも、新種のワームに感染した端末の状態ベクトルと、各分類ラベルの境界値とを比較することにより新種のワームがネットワーク感染型ワーム、メール感染型ワームのいずれに近いのかを判別することができ、新種のワームに対しても適切な処理を早期にとることが可能になる。
また、本実施の形態による異常発生原因の特定は、ハードウェア資源を増加させることなく実現可能であり、ハードウェア資源を増加させることなく、セキュリティ強度を高めることができる。
これらの情報を元に、ユーザは、検出された異常に対して的確な対応を早期にとることができる。本実施の形態のように、ネットワーク感染型ワームに感染、メール感染型ワームに感染、という2つの分類ラベルを異常発生原因として想定した場合は、どの端末が、どのようなワームに感染したことが原因で、異常が発生したのかが特定できるため、それぞれのワームに対して、最善の対策を早期にとることが可能となる。
また、新種のワームに感染したことにより異常が発生した場合でも、新種のワームに感染した端末の状態ベクトルと、各分類ラベルの境界値とを比較することにより新種のワームがネットワーク感染型ワーム、メール感染型ワームのいずれに近いのかを判別することができ、新種のワームに対しても適切な処理を早期にとることが可能になる。
また、本実施の形態による異常発生原因の特定は、ハードウェア資源を増加させることなく実現可能であり、ハードウェア資源を増加させることなく、セキュリティ強度を高めることができる。
実施の形態2.
以上の実施の形態1では、異常検出装置130で異常を検出した場合に、異常を発生させている疑いのある個々の端末の状態を判定し、実際に異常を発生させている端末と、異常を発生させている原因(ネットワーク感染型ワームに感染、メール感染型ワームに感染)を特定するものであるが、異常発生原因特定装置500単体で、端末の異常を検出することも可能である。なぜなら、端末の状態を判定した際に、端末の状態が異常を発生している状態であると判定されれば、判定された異常状態を引き起こす原因が発生しているといえるからである。この場合、監視対象ネットワーク上の全ての接続端末の状態を、定期的、もしくは、接続端末から状態ベクトルの要素に変更が加わるようなイベントの発生を異常発生原因特定装置500が受信したときに、その端末の状態を判定する。
以上の実施の形態1では、異常検出装置130で異常を検出した場合に、異常を発生させている疑いのある個々の端末の状態を判定し、実際に異常を発生させている端末と、異常を発生させている原因(ネットワーク感染型ワームに感染、メール感染型ワームに感染)を特定するものであるが、異常発生原因特定装置500単体で、端末の異常を検出することも可能である。なぜなら、端末の状態を判定した際に、端末の状態が異常を発生している状態であると判定されれば、判定された異常状態を引き起こす原因が発生しているといえるからである。この場合、監視対象ネットワーク上の全ての接続端末の状態を、定期的、もしくは、接続端末から状態ベクトルの要素に変更が加わるようなイベントの発生を異常発生原因特定装置500が受信したときに、その端末の状態を判定する。
本実施の形態に係る異常発生原因特定装置500の運用フェーズにおける動作は、具体的には、図7及び図8のフローチャートに示すとおりである。
図7は、定期的に状態ベクトルを生成する場合の異常発生原因特定装置500の動作例を示している。
図7において、図5と同様に、端末情報収集部503は、各接続端末の端末情報取得部124から端末情報を定期的に収集し(S701)(状態情報収集ステップ)、データ記憶部504が収集された端末情報を記憶する(S702)。
そして、定期的な状態ベクトルの生成タイミングである場合(S703でYes)は、状態ベクトル生成部507が全接続端末の状態ベクトルを生成する(S704)(状態ベクトル生成ステップ)。
その後は、図5のS505からS507と同様であり、全接続端末の状態ベクトルと各分類ラベルの境界値とに基づき、それぞれの端末の状態ベクトルがどの分類ラベルに分類されるかを判別し(S705)(状態判別ステップ)、データ記憶部504が判別結果を記憶し(S706)、状態判別結果表示部508が判別結果を通知する(S707)。
図7において、図5と同様に、端末情報収集部503は、各接続端末の端末情報取得部124から端末情報を定期的に収集し(S701)(状態情報収集ステップ)、データ記憶部504が収集された端末情報を記憶する(S702)。
そして、定期的な状態ベクトルの生成タイミングである場合(S703でYes)は、状態ベクトル生成部507が全接続端末の状態ベクトルを生成する(S704)(状態ベクトル生成ステップ)。
その後は、図5のS505からS507と同様であり、全接続端末の状態ベクトルと各分類ラベルの境界値とに基づき、それぞれの端末の状態ベクトルがどの分類ラベルに分類されるかを判別し(S705)(状態判別ステップ)、データ記憶部504が判別結果を記憶し(S706)、状態判別結果表示部508が判別結果を通知する(S707)。
図8は、状態ベクトルの要素に変更が加わるようなイベントが発生したときに状態ベクトルを生成する場合の異常発生原因特定装置500の動作例を示している。
図8において、図5と同様に、端末情報収集部503は、各接続端末の端末情報取得部124から端末情報を定期的に収集し(S801)(状態情報収集ステップ)、データ記憶部504が収集された端末情報を記憶する(S802)。
そして、以前の端末情報と比較して一定レベル以上の状態の変化が新たな状態情報に示されている端末が存在している場合、すなわち状態ベクトルの要素に変更が加わるようなイベントがいずれかの端末に発生している場合(S803でYes)は、状態ベクトル生成部507が、このようなイベントが発生した端末の状態ベクトルを生成する(S804)(状態ベクトル生成ステップ)。この状態ベクトル発生のトリガとなるイベントの内容(状態の変化の内容)は予め異常発生原因特定装置500に設定しておく。
その後は、図5のS505からS507と同様であり、状態判別の対象となる端末の状態ベクトルと各分類ラベルの境界値とに基づき、それぞれの端末の状態ベクトルがどの分類ラベルに分類されるかを判別し(S805)(状態判別ステップ)、データ記憶部504が判別結果を記憶し(S806)、状態判別結果表示部508が判別結果を通知する(S807)。
図8において、図5と同様に、端末情報収集部503は、各接続端末の端末情報取得部124から端末情報を定期的に収集し(S801)(状態情報収集ステップ)、データ記憶部504が収集された端末情報を記憶する(S802)。
そして、以前の端末情報と比較して一定レベル以上の状態の変化が新たな状態情報に示されている端末が存在している場合、すなわち状態ベクトルの要素に変更が加わるようなイベントがいずれかの端末に発生している場合(S803でYes)は、状態ベクトル生成部507が、このようなイベントが発生した端末の状態ベクトルを生成する(S804)(状態ベクトル生成ステップ)。この状態ベクトル発生のトリガとなるイベントの内容(状態の変化の内容)は予め異常発生原因特定装置500に設定しておく。
その後は、図5のS505からS507と同様であり、状態判別の対象となる端末の状態ベクトルと各分類ラベルの境界値とに基づき、それぞれの端末の状態ベクトルがどの分類ラベルに分類されるかを判別し(S805)(状態判別ステップ)、データ記憶部504が判別結果を記憶し(S806)、状態判別結果表示部508が判別結果を通知する(S807)。
また、実施の形態1のような異常検出装置130での異常検出をトリガとした異常原因特定と、本実施の形態のような各端末での状態ベクトル変化イベントをトリガとした異常原因特定の2つの処理を同時に実現することも可能である。
このように、本実施の形態に係る異常発生原因特定装置は、以下の機能を備えている。
端末の状態を表す状態ベクトルと、その分類ラベルを学習するための、境界値学習指示機能および境界値学習機能、
状態ベクトルを生成するための端末情報を各接続端末から収集する端末情報収集機能、
接続端末から収集された端末情報の内容を元に、ユーザもしくはプログラムから端末状態判別の指示を受けるための状態判別指示機能、
状態判別指示機能からの指示を受けた端末の状態ベクトルの分類ラベルを判別する状態判別機能、
各接続端末から収集した情報から状態ベクトルを生成する状態ベクトル生成機能、
状態判別機能で判別した結果を表示するための状態判別結果表示機能。
端末の状態を表す状態ベクトルと、その分類ラベルを学習するための、境界値学習指示機能および境界値学習機能、
状態ベクトルを生成するための端末情報を各接続端末から収集する端末情報収集機能、
接続端末から収集された端末情報の内容を元に、ユーザもしくはプログラムから端末状態判別の指示を受けるための状態判別指示機能、
状態判別指示機能からの指示を受けた端末の状態ベクトルの分類ラベルを判別する状態判別機能、
各接続端末から収集した情報から状態ベクトルを生成する状態ベクトル生成機能、
状態判別機能で判別した結果を表示するための状態判別結果表示機能。
以上の実施の形態2では、異常検出装置の検出結果によらず、異常発生原因特定装置のみで、異常を発生させる可能性がある端末を検出できる。これにより、異常検出装置で異常が検出される前段階において、異常を発生させる可能性のある端末とその原因を特定できるため、早期対策が可能となる。
実施の形態3.
以上の実施の形態2では、異常検出装置130の異常検出結果によらず、異常発生原因特定装置500のみで、異常を発生させる可能性がある端末を検出している。しかしながら、異常検出装置130によって、異常が検出されている場合と検出されていない場合では、仮に端末の状態が同じ場合であっても、異なる原因によって引き起こされていることが考えられる。
そこで、実施の形態2で用いる状態ベクトルに加え、異常検出装置130での異常検出の有無も考慮して、原因の判定を行う。これは、状態空間の次元を1つ増やすことに相当するため、例え端末の状態が同一であっても、それが、異常検出装置130で異常が検出されているときに発生している状態か否かで、異なる判定を行うことができる。
このように、本実施の形態では、状態ベクトルがいずれの分類ラベルに分類されるかを判別する際に、内部ネットワーク内で異常が検出されている否か(異常検出装置で異常が検出されているか否か)を判定要素の一つとして利用して、分類ラベルを判別する。
以上の実施の形態2では、異常検出装置130の異常検出結果によらず、異常発生原因特定装置500のみで、異常を発生させる可能性がある端末を検出している。しかしながら、異常検出装置130によって、異常が検出されている場合と検出されていない場合では、仮に端末の状態が同じ場合であっても、異なる原因によって引き起こされていることが考えられる。
そこで、実施の形態2で用いる状態ベクトルに加え、異常検出装置130での異常検出の有無も考慮して、原因の判定を行う。これは、状態空間の次元を1つ増やすことに相当するため、例え端末の状態が同一であっても、それが、異常検出装置130で異常が検出されているときに発生している状態か否かで、異なる判定を行うことができる。
このように、本実施の形態では、状態ベクトルがいずれの分類ラベルに分類されるかを判別する際に、内部ネットワーク内で異常が検出されている否か(異常検出装置で異常が検出されているか否か)を判定要素の一つとして利用して、分類ラベルを判別する。
このように、本実施の形態に係る異常発生原因特定装置は、以下の機能を備えている。
端末の状態を表す状態ベクトルと、その分類ラベルを学習するための、境界値学習指示機能および境界値学習機能、
状態ベクトルを生成するための端末情報を各接続端末から収集する端末情報収集機能、
接続端末から収集された端末情報の内容を元に、ユーザもしくはプログラムから端末状態判別の指示を受けるための状態判別指示機能、
状態判別指示機能からの指示を受けた端末の状態ベクトルに加えて、異常検出装置での検出結果の有無も、判別の要素として、分類ラベルを判別する状態判別機能、
各接続端末から収集した情報から状態ベクトルを生成する状態ベクトル生成機能、
状態判別機能で判別した結果を表示するための状態判別結果表示機能、
各接続端末から収集した情報、状態判別結果、判別のためのパラメータを装置内に記憶するためのデータ記憶機能。
端末の状態を表す状態ベクトルと、その分類ラベルを学習するための、境界値学習指示機能および境界値学習機能、
状態ベクトルを生成するための端末情報を各接続端末から収集する端末情報収集機能、
接続端末から収集された端末情報の内容を元に、ユーザもしくはプログラムから端末状態判別の指示を受けるための状態判別指示機能、
状態判別指示機能からの指示を受けた端末の状態ベクトルに加えて、異常検出装置での検出結果の有無も、判別の要素として、分類ラベルを判別する状態判別機能、
各接続端末から収集した情報から状態ベクトルを生成する状態ベクトル生成機能、
状態判別機能で判別した結果を表示するための状態判別結果表示機能、
各接続端末から収集した情報、状態判別結果、判別のためのパラメータを装置内に記憶するためのデータ記憶機能。
以上の実施の形態3では、実施の形態2で用いる状態ベクトルに加え、異常検出装置での異常検出の有無も考慮して、原因の判定を行うため、より正確な判定を行うことができる。
なお、以上の実施の形態1−3では、異常発生原因をネットワーク感染型ワームとメール感染型ワームとする例を説明したが、これら以外のコンピュータウィルスや不正アクセスを異常発生原因としてもよい。
また、以上の実施の形態1−3では、状態ベクトルがいずれの分類ラベルに属するかを判定するための判定手法として、線形判別関数による方式と、マハラノビス距離による方式を例として説明したが、他の統計手法を用いてもよい。
100 外部ネットワーク、110 監視対象ネットワーク、111 監視対象ネットワーク、112 監視対象ネットワーク、120 接続端末、121 接続端末、122 接続端末、123 接続端末、124 端末情報取得部、130 異常検出装置、240 内部ネットワーク、500 異常発生原因特定装置、501 境界値学習指示部、502 境界値学習部、503 端末情報収集部、504 データ記憶部、505 状態判別指示部、506 状態判別部、507 状態ベクトル生成部、508 状態判別結果表示部。
Claims (7)
- コンピュータ装置に異常を発生させる複数の異常発生原因のそれぞれについて異常発生時のコンピュータ装置に想定される状態が表された想定状態ベクトルを取得し、共通性のある想定状態ベクトルを共通の分類ラベルに分類するとともに、共通の分類ラベルに分類された想定状態ベクトルに基づきそれぞれの分類ラベルの境界を示す境界値を設定する境界値設定部と、
所定の内部ネットワーク内にある複数のコンピュータ装置の状態に関する情報を状態情報として定期的に収集する状態情報収集部と、
前記内部ネットワーク内で異常が検出された場合に、前記状態情報収集部により定期的に収集された状態情報のうち前記異常に関係のあるコンピュータ装置から収集された状態情報を選択し、選択した状態情報を用いて、前記異常に関係のあるコンピュータ装置の状態を表す状態ベクトルを生成する状態ベクトル生成部と、
前記状態ベクトル生成部により生成された状態ベクトルとそれぞれの分類ラベルの境界値とに基づき、前記状態ベクトル生成部により生成された状態ベクトルがいずれの分類ラベルに分類されるかを判別する状態判別部とを有することを特徴とする管理装置。 - 前記状態ベクトル生成部は、
以前の状態情報と比較して一定レベル以上の状態の変化が新たな状態情報に示されているコンピュータ装置の状態ベクトルを生成することを特徴とする請求項1に記載の管理装置。 - 前記状態ベクトル生成部は、
前記状態情報収集部により定期的に収集された状態情報を用いて、前記複数のコンピュータ装置の状態ベクトルを定期的に生成することを特徴とする請求項1に記載の管理装置。 - 前記状態判別部は、
前記内部ネットワーク内で異常が検出されている否かを判定要素の一つとして、前記状態ベクトル生成部により生成された状態ベクトルがいずれの分類ラベルに分類されるかを判別することを特徴とする請求項1に記載の管理装置。 - 前記境界値設定部は、
コンピュータウィルス感染時のコンピュータ装置に想定される状態が表された想定状態ベクトルを複数のコンピュータウィルスのそれぞれについて取得することを特徴とする請求項1に記載の管理装置。 - コンピュータ装置に異常を発生させる複数の異常発生原因のそれぞれについて異常発生時のコンピュータ装置に想定される状態が表された想定状態ベクトルを取得し、共通性のある想定状態ベクトルを共通の分類ラベルに分類するとともに、共通の分類ラベルに分類された想定状態ベクトルに基づきそれぞれの分類ラベルの境界を示す境界値を設定する境界値設定ステップと、
所定の内部ネットワーク内にある複数のコンピュータ装置の状態に関する情報を状態情報として定期的に収集する状態情報収集ステップと、
前記内部ネットワーク内で異常が検出された場合に、前記状態情報収集ステップにより定期的に収集された状態情報のうち前記異常に関係のあるコンピュータ装置から収集された状態情報を選択し、選択した状態情報を用いて、前記異常に関係のあるコンピュータ装置の状態を表す状態ベクトルを生成する状態ベクトル生成ステップと、
前記状態ベクトル生成ステップにより生成された状態ベクトルとそれぞれの分類ラベルの境界値とに基づき、前記状態ベクトル生成ステップにより生成された状態ベクトルがいずれの分類ラベルに分類されるかを判別する状態判別ステップとを有することを特徴とする管理方法。 - コンピュータ装置に異常を発生させる複数の異常発生原因のそれぞれについて異常発生時のコンピュータ装置に想定される状態が表された想定状態ベクトルを取得し、共通性のある想定状態ベクトルを共通の分類ラベルに分類するとともに、共通の分類ラベルに分類された想定状態ベクトルに基づきそれぞれの分類ラベルの境界を示す境界値を設定する境界値設定処理と、
所定の内部ネットワーク内にある複数のコンピュータ装置の状態に関する情報を状態情報として定期的に収集する状態情報収集処理と、
前記内部ネットワーク内で異常が検出された場合に、前記状態情報収集処理により定期的に収集された状態情報のうち前記異常に関係のあるコンピュータ装置から収集された状態情報を選択し、選択した状態情報を用いて、前記異常に関係のあるコンピュータ装置の状態を表す状態ベクトルを生成する状態ベクトル生成処理と、
前記状態ベクトル生成処理により生成された状態ベクトルとそれぞれの分類ラベルの境界値とに基づき、前記状態ベクトル生成処理により生成された状態ベクトルがいずれの分類ラベルに分類されるかを判別する状態判別処理とを計算機に実行させることを特徴とするプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006007898A JP4559974B2 (ja) | 2006-01-16 | 2006-01-16 | 管理装置及び管理方法及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006007898A JP4559974B2 (ja) | 2006-01-16 | 2006-01-16 | 管理装置及び管理方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007189644A JP2007189644A (ja) | 2007-07-26 |
| JP4559974B2 true JP4559974B2 (ja) | 2010-10-13 |
Family
ID=38344490
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006007898A Expired - Fee Related JP4559974B2 (ja) | 2006-01-16 | 2006-01-16 | 管理装置及び管理方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4559974B2 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5264470B2 (ja) * | 2008-12-26 | 2013-08-14 | 三菱電機株式会社 | 攻撃判定装置及びプログラム |
| JP6623453B2 (ja) * | 2016-01-05 | 2019-12-25 | Kddi株式会社 | 障害原因特定装置、及びプログラム |
| JP7009907B2 (ja) * | 2017-10-25 | 2022-01-26 | 沖電気工業株式会社 | 通信解析装置、通信解析プログラム、及び通信解析方法 |
| JPWO2019116418A1 (ja) | 2017-12-11 | 2020-12-17 | 日本電気株式会社 | 障害分析装置、障害分析方法および障害分析プログラム |
| JP7126256B2 (ja) | 2018-10-30 | 2022-08-26 | 国立研究開発法人宇宙航空研究開発機構 | 異常診断装置、異常診断方法、及びプログラム |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09205429A (ja) * | 1996-01-29 | 1997-08-05 | Toshiba Corp | ネットワーク故障診断装置及び故障予測装置並びにその診断及び予測方法 |
| JP2004312064A (ja) * | 2003-02-21 | 2004-11-04 | Intelligent Cosmos Research Institute | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム |
| JP2005167347A (ja) * | 2003-11-28 | 2005-06-23 | Fujitsu Ltd | ネットワーク監視プログラム、ネットワーク監視方法、およびネットワーク監視装置 |
| JP2005236863A (ja) * | 2004-02-23 | 2005-09-02 | Kddi Corp | ログ分析装置、ログ分析プログラムおよび記録媒体 |
| JP2005250802A (ja) * | 2004-03-03 | 2005-09-15 | Toshiba Solutions Corp | 不正アクセス検出装置及び不正アクセス検出プログラム |
-
2006
- 2006-01-16 JP JP2006007898A patent/JP4559974B2/ja not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09205429A (ja) * | 1996-01-29 | 1997-08-05 | Toshiba Corp | ネットワーク故障診断装置及び故障予測装置並びにその診断及び予測方法 |
| JP2004312064A (ja) * | 2003-02-21 | 2004-11-04 | Intelligent Cosmos Research Institute | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム |
| JP2005167347A (ja) * | 2003-11-28 | 2005-06-23 | Fujitsu Ltd | ネットワーク監視プログラム、ネットワーク監視方法、およびネットワーク監視装置 |
| JP2005236863A (ja) * | 2004-02-23 | 2005-09-02 | Kddi Corp | ログ分析装置、ログ分析プログラムおよび記録媒体 |
| JP2005250802A (ja) * | 2004-03-03 | 2005-09-15 | Toshiba Solutions Corp | 不正アクセス検出装置及び不正アクセス検出プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007189644A (ja) | 2007-07-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10585774B2 (en) | Detection of misbehaving components for large scale distributed systems | |
| WO2016132717A1 (ja) | ログ分析システム、ログ分析方法およびプログラム記録媒体 | |
| JP6183450B2 (ja) | システム分析装置、及び、システム分析方法 | |
| JP7044117B2 (ja) | モデル学習装置、モデル学習方法、及びプログラム | |
| JP6183449B2 (ja) | システム分析装置、及び、システム分析方法 | |
| JP2007242002A (ja) | ネットワーク管理装置及びネットワーク管理方法及びプログラム | |
| JP4559974B2 (ja) | 管理装置及び管理方法及びプログラム | |
| US11640459B2 (en) | Abnormality detection device | |
| US11797668B2 (en) | Sample data generation apparatus, sample data generation method, and computer readable medium | |
| JP2022533552A (ja) | システムレベルセキュリティのための階層的挙動行動のモデル化および検出システムおよび方法 | |
| WO2015072085A1 (ja) | ログ分析システム、ログ分析方法、および、記憶媒体 | |
| JP2015028700A (ja) | 障害検知装置、障害検知方法、障害検知プログラム及び記録媒体 | |
| JP2019028891A (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| CN114584377A (zh) | 流量异常检测方法、模型的训练方法、装置、设备及介质 | |
| JP2014120001A (ja) | 監視装置、監視対象ホストの監視方法、監視プログラム及び記録媒体 | |
| CN114944957A (zh) | 一种异常数据检测方法、装置、计算机设备及存储介质 | |
| US9865158B2 (en) | Method for detecting false alarm | |
| CN111555899B (zh) | 告警规则配置方法、设备状态监测方法、装置和存储介质 | |
| JP7065744B2 (ja) | ネットワーク装置、パケットを処理する方法、及びプログラム | |
| JP4745881B2 (ja) | ネットワーク状態判定装置及びネットワーク状態判定方法及びネットワーク状態判定プログラム | |
| KR102275635B1 (ko) | 함수 호출 패턴 분석을 통한 이상 검출 장치 및 방법 | |
| JP2020038525A (ja) | 異常検知装置 | |
| US11526162B2 (en) | Method for detecting abnormal event and apparatus implementing the same method | |
| JP7359206B2 (ja) | 学習装置、学習方法、及びプログラム | |
| JP2012222371A (ja) | ネットワーク管理装置及びネットワーク管理方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080610 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100430 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100601 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100702 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100720 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100723 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130730 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |