JP5757579B2 - 非通常通信検知装置および非通常通信検知方法 - Google Patents

非通常通信検知装置および非通常通信検知方法 Download PDF

Info

Publication number
JP5757579B2
JP5757579B2 JP2012179282A JP2012179282A JP5757579B2 JP 5757579 B2 JP5757579 B2 JP 5757579B2 JP 2012179282 A JP2012179282 A JP 2012179282A JP 2012179282 A JP2012179282 A JP 2012179282A JP 5757579 B2 JP5757579 B2 JP 5757579B2
Authority
JP
Japan
Prior art keywords
communication
user
community
normal
communication device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2012179282A
Other languages
English (en)
Other versions
JP2014038405A (ja
Inventor
博 胡
博 胡
村山 純一
純一 村山
邦夫 波戸
邦夫 波戸
毅 近藤
毅 近藤
裕一 首藤
裕一 首藤
真 今瀬
真 今瀬
大崎 博之
博之 大崎
佑揮 小泉
佑揮 小泉
翔 津川
翔 津川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Osaka University NUC
Original Assignee
Nippon Telegraph and Telephone Corp
Osaka University NUC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, Osaka University NUC filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2012179282A priority Critical patent/JP5757579B2/ja
Publication of JP2014038405A publication Critical patent/JP2014038405A/ja
Application granted granted Critical
Publication of JP5757579B2 publication Critical patent/JP5757579B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Monitoring And Testing Of Exchanges (AREA)

Description

本発明の実施形態は、非通常通信検知装置および非通常通信検知方法に関する。
近年、ネットワークリソースの浪費やセキュリティ上の問題を引き起す異常なトラヒックを検知する技術が必要とされている。ネットワーク管理者にとって、効率的にネットワークを運用するためには、異常なトラヒックを早期に検知し、その対策を行うことが重要である。
これまで、トラヒックパターンの時系列変化を用いて、異常なトラヒックを検知する技術が提案されている。この技術は、トラヒックパターンが過去のパターンと比べて大きく変化した場合、異常なトラヒックとして検知する。例えば、この技術は、ウェーブレット変換を用いて、転送バイト量が大きく変化したトラヒックを特定し、非通常トラヒックとして検知する。
Paul Barford 他 "A Signal Analysis of Network Traffic Anomalies", Proceedings of the 2nd ACM SIGCOMM Workshop on Internet Measurement 2002年 11月 Clauset 他"Finding Community Structure in Very Large Networks", Physical Review E. Vol.70, No.6, 2004年 12月 Liben-Nowell 他"The Link-Prediction Problem for Social Networks", Journal of the American society for information science and technology, Vol.58, No.7, 2007年 5月 Freeman 他"Centrality in Social Networks Conceptual Clarification",Social Networks, Vol.1, No.3, 1979年
しかしながら、上述した従来の技術では、過去に通信したことのないノード間を検知対象にすることができないという課題があった。
異常なトラヒックを検知する従来の技術は、2ノード間の通信履歴を用い、転送バイト量が大きく変化したトラヒックを特定する。すなわち、従来の技術は、2ノード間に過去の通信履歴がない場合には、転送バイト量の変化を特定することができない。
このため、従来の技術は、過去の通信履歴がない2ノード間の異常なトラヒックを検知する場合、所定の期間、2ノード間のトラヒックを観測してから、異常なトラヒックであるか否かを判定することになる。
開示の技術は、上記に鑑みてなされたものであって、過去に通信したことのないノードを検知対象にすることができる非通常通信検知装置および非通常通信検知方法を提供することを目的とする。
本願の開示する非通常通信検知装置は、一つの態様において、生成部と、判定部とを備える。生成部は、通信装置の利用者と該通信装置の利用者が属するコミュニティとを対応付けたコミュニティ情報を生成する。判定部は、コミュニティ情報を参照し、通信元の通信装置の利用者と通信先の通信装置の利用者とが同一のコミュニティに属さない場合であって、通信元および通信先の通信装置の利用者間の通信量が所定の閾値を超える場合に、該利用者間の通信が非通常通信であると判定する。
本願の開示する非通常通信検知装置および非通常通信検知方法の一つの態様によれば、過去に通信したことのないノードを検知対象にすることができるという効果を奏する。
図1は、第1の実施の形態に係る通信システムの構成の一例を示す図である。 図2は、第1の実施の形態に係る非通常通信検知装置の機能構成を示す機能ブロック図である。 図3Aは、通信履歴のデータ構造の一例を示す図である。 図3Bは、通信マトリクスのデータ構造の一例を示す図である。 図3Cは、コミュニティ情報のデータ構造の一例を示す図である。 図4Aは、通信マトリクスの一例を示す図である。 図4Bは、非通常通信推定部による非通常通信を判定する動作の一例を示す図である。 図5は、第1の実施の形態に係る非通常通信検知装置による処理の処理手順を示すフローチャートである。 図6Aは、第2の実施の形態に係る非通常通信検知装置において、コミュニティ間通信の量に基づいて、閾値を設定する一例を示す図である。 図6Bは、第2の実施の形態に係る非通常通信検知装置において、コミュニティ間通信の量に基づいて、閾値を設定する一例を示す図である。 図7Aは、第2の実施の形態に係る非通常通信検知装置において、コミュニティ間の通信量を表現したネットワークにおけるリンクの生成されやすさに基づき閾値を設定する一例を示す図である。 図7Bは、第2の実施の形態に係る非通常通信検知装置において、コミュニティ間の通信量を表現したネットワークにおけるリンクの生成されやすさに基づき閾値を設定する一例を示す図である。 図8Aは、第2の実施の形態に係る非通常通信検知装置において、利用者のコミュニティ間通信のしやすさを推定するスコアに基づき、利用者ごとに閾値を設定する一例を示す図である。 図8Bは、第2の実施の形態に係る非通常通信検知装置において、利用者のコミュニティ間通信のしやすさを推定するスコアに基づき、利用者ごとに閾値を設定する一例を示す図である。 図9は、第2の実施の形態に係る非通常通信検知装置による処理の処理手順を示すフローチャートである。 図10は、開示の技術に係る非通常通信検知プログラムによる情報処理がコンピュータを用いて具体的に実現されることを示す図である。
以下に、本願の開示する非通常通信検知装置および非通常通信検知方法の実施例を図面に基づいて詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。
[第1の実施の形態]
[第1の実施の形態に係る通信システムの構成]
図1を用いて、第1の実施の形態に係る通信システム1の構成を説明する。図1は、第1の実施の形態に係る通信システム1の構成の一例を示す図である。本実施形態に係る通信システム1は、ネットワーク2と通信履歴保持サーバ10と非通常通信検知装置100とを有する。なお、通信システム1が有するネットワーク2の数は、図1に示す数に限定されるものではない。
ネットワーク2は、通信装置3と、ルータ4とを有する。各通信装置3は、利用者により操作され、他の通信装置3と通信を行う。ここでいう、「通信」とは、例えば、通信データ量(バイト)、メール数、SNS(Social Networking Service)などにおけるメッセージ数、ブログにおけるトラックバック数、twitter(登録商標)などマイクロブログにおける返信数、などの累積またはレートを意味する。なお、ネットワーク2が有する通信装置3の数、ルータ4の数は、図1に示す数に限定されるものではない。
なお、通信装置3には、携帯電話機、通信機能を有する携帯端末、PC(Personal computer)などの情報処理装置が含まれる。ルータ4は、ネットワーク2間の通信経路を制御する。
通信履歴保持サーバ10は、例えば、アプリケーションサーバであり、各通信装置3による通信の履歴を収集し、通信元の通信装置3の利用者と、通信先の通信装置3の利用者とを対応付けた情報を保持するサーバである。また、通信履歴保持サーバ10は、通信元の通信装置3の利用者と、通信先の通信装置3の利用者との間の通信量を保持する。
非通常通信検知装置100は、通信装置3の利用者間の通信を監視し、非通常通信であるか否かを判定する。なお、ここでいう「非通常通信」には、DDoS(Distributed Denial of Service attack)攻撃などの異常トラヒックを含む。さらに、ここでいう「非通常通信」には、過去に通信が行われていなかった利用者間で新たに生じた通信や、過去に通信が行われていなかったコミュニティ間で新たに生じた通信などを含む。このため、非通常通信検知装置100は、通信の種類によらず同様の方法によって、非通常通信であるか否かを検知できる。
[第1の実施の形態に係る非通常通信検知装置の構成]
図2は、第1の実施の形態に係る非通常通信検知装置100の機能構成を示す機能ブロック図である。図2に示すように、非通常通信検知装置100は、記憶部110と、制御部120とを有する。
記憶部110は、例えば、RAM(Random Access Memory)などの半導体メモリ素子、またはハードディスクなどの記憶装置であり、通信履歴111と通信マトリクス112とコミュニティ情報113とを有する。
通信履歴111は、過去に通信が行われた通信元の通信装置3の利用者と、通信先の通信装置3の利用者とを対応付けた情報を記憶する。なお、この通信履歴111は、通信履歴保持サーバ10から取得される。なお、通信履歴111が記憶するデータ構造については、図3Aを用いて後述する。
通信マトリクス112は、通信履歴111に基づいて、通信元および通信先の通信装置3の利用者間の通信量をグラフ化し、通信装置3の利用者をコミュニティに分類する情報を示す。言い換えると、通信マトリクス112は、通信履歴111に基づいて分類されるコミュニティと、コミュニティ内における通信装置3の利用者間による通信履歴を示す。なお、通信マトリクス112が記憶するデータ構造については、図3Bを用いて後述する。
コミュニティ情報113は、通信装置3の利用者と該通信装置3の利用者が属するコミュニティとを対応付けた情報を記憶する。なお、コミュニティ情報113が記憶するデータ構造については、図3Cを用いて後述する。
制御部120は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路であり、通信マトリクス情報生成部121と、コミュニティ情報生成部122と、非通常通信推定部123とを有する。
通信マトリクス情報生成部121は、外部に存在する通信履歴保持サーバ10から送信元および送信先の通信装置3の利用者間の通信履歴である通信履歴111を取得する。そして、通信マトリクス情報生成部121は、取得した通信履歴111を用いて、ネットワークが密に接続された部分を特定し、利用者のコミュニティを推定して、通信マトリクス112を生成する。
例えば、通信マトリクス情報生成部121は、非特許文献2の手法を用いて、ネットワークが密に接続された部分を特定し、利用者のコミュニティを推定する。なお、通信マトリクス情報生成部121による利用者のコミュニティを推定する方法は、非特許文献2の手法に限定されるものではなく、任意の手法が利用可能である。
なお、通信マトリクス情報生成部121は、コミュニティ情報生成部122および非通常通信推定部123に通信マトリクス112を受け渡す。
コミュニティ情報生成部122は、コミュニティ情報113を生成する。例えば、コミュニティ情報生成部122は、通信マトリクス情報生成部121から受け取った通信マトリクス112において、通信装置3と該通信装置3が属するコミュニティとを対応付けた情報を生成する。なお、コミュニティ情報生成部122は、生成したコミュニティ情報113を非通常通信推定部123に受け渡す。
非通常通信推定部123は、コミュニティ情報生成部122からコミュニティ情報113を受け取る。また、非通常通信推定部123は、通信マトリクス情報生成部121から通信マトリクス112を受け取る。また、非通常通信推定部123は、検知対象の通信量を通信履歴保持サーバ10から受け取る。そして、非通常通信推定部123は、コミュニティ情報113と、通信マトリクス112と、検知対象の通信量とに基づいて、検知対象の通信が非通常通信か否かを判定する。
例えば、非通常通信推定部123は、コミュニティ情報113を参照し、通信元の通信装置3の利用者と通信先の通信装置3の利用者とが同一のコミュニティに属すか否かを判定する。そして、非通常通信推定部123は、通信元の通信装置3の利用者と通信先の通信装置3の利用者とが同一のコミュニティに属さない場合であって、通信元および通信先の通信装置3の利用者間の通信量が所定の閾値を超える場合に、該利用者間の通信が非通常通信であると判定する。また、非通常通信推定部123は、非通常通信であると判定した場合に、ネットワーク2の管理者に対してアラートを発生させる。なお、第1の実施の形態において、所定の閾値は、各コミュニティ間に共通の値が予め設定されるものとする。
なお、この例は非通常通信検知装置100上に全機能が置かれている場合を示すが、本発明の機能を利用者が操作する各通信装置3に備えるようにしてもよい。
このように、第1の実施の形態に係る非通常通信検知装置100は、利用者のコミュニティ情報を用いることで、過去に通信したことのないノード間の通信が通常通信であるか否かを推定することができる。
[記憶部110が有する情報のデータ構造]
次に、図3A〜3Cを用いて、記憶部110が記憶する情報のデータ構造を説明する。ここでは、図3Aを用いて、通信履歴111のデータ構造を説明し、図3Bを用いて、通信マトリクス112のデータ構造を説明し、図3Cを用いて、コミュニティ情報113のデータ構造を説明する。
図3Aは、通信履歴111のデータ構造の一例を示す図である。図3Aに示すように、通信履歴111は、「通信元」と「通信先」とを対応付けた情報を記憶する。
ここで、通信履歴111が記憶する「通信元」は、通信元の通信装置3の利用者を識別する情報を示す。例えば、「通信元」には、「1」、「2」、「4」などが格納される。また、通信履歴111が記憶する「通信先」は、通信先の通信装置3の利用者を識別する情報を示す。例えば、「通信先」には、「2」、「4」、「3」などが格納される。
一例をあげると、図3Aに示す通信履歴111は、利用者「1」を通信元として、利用者「2」を通信先とする通信を示す。また、通信履歴111は、利用者「1」を通信元として、利用者「4」を通信先とする通信を示す。
図3Bは、通信マトリクス112のデータ構造の一例を示す図である。図3Bに示す通信マトリクス112は、利用者「1」は、利用者「2」および利用者「4」と通信することを示す。また、図3Bに示す通信マトリクス112は、利用者「2」は、利用者「1」、利用者「3」および利用者「4」と通信することを示す。また、図3Bに示す通信マトリクス112は、利用者「3」は、利用者「2」および利用者「4」と通信することを示す。また、図3Bに示す通信マトリクス112は、利用者「4」は、利用者「1」、利用者「2」、利用者「3」および利用者「5」と通信することを示す。また、図3Bに示す通信マトリクス112は、利用者「1」、利用者「2」、利用者「3」および利用者「4」が同一のコミュニティに属することを示す。
図3Bに示す通信マトリクス112は、利用者「5」は、利用者「4」、利用者「6」および利用者「7」と通信することを示す。また、図3Bに示す通信マトリクス112は、利用者「6」は、利用者「5」および利用者「7」と通信することを示す。また、図3Bに示す通信マトリクス112は、利用者「7」は、利用者「5」および利用者「6」と通信することを示す。また、図3Bに示す通信マトリクス112は、利用者「5」、利用者「6」および利用者「7」が同一のコミュニティに属することを示す。
なお、図3Bに示す例では、通信の有無をネットワークとして表現しているが、通信量をリンク重みとした重みつきネットワークからコミュニティを推定するようにしてもよい。
図3Cは、コミュニティ情報113のデータ構造の一例を示す図である。図3Cに示すように、コミュニティ情報113は、「コミュニティ」と「利用者」とを対応付けた情報を記憶する。
ここで、コミュニティ情報113が記憶する「コミュニティ」は、コミュニティを識別する情報を示す。例えば、「コミュニティ」には、「A」、「B」などが格納される。また、コミュニティ情報113が記憶する「利用者」は、利用者を識別する情報を示す。例えば、「利用者」には、「1」、「2」などが格納される。
一例をあげると、図3Cに示すコミュニティ情報113は、「A」で識別される「コミュニティ」には、「1」、「2」、「3」、「4」で識別される利用者が属することを示す。「B」で識別される「コミュニティ」には、「5」、「6」、「7」で識別される利用者が属することを示す。
[第1の実施の形態に係る非通常通信検知装置による処理動作]
次に、図4Aおよび図4Bを用いて、非通常通信検知装置100による処理動作を説明する。図4Aは、通信マトリクスの一例を示す図であり、図4Bは、非通常通信推定部123による非通常通信を判定する動作の一例を示す図である。
図4Aに示す通信マトリクス112では、利用者「1」、利用者「2」、利用者「3」、利用者「4」がコミュニティAに所属し、利用者「5」、利用者「6」、利用者「7」、利用者「8」がコミュニティBに所属し、利用者「9」、利用者「10」、利用者「11」がコミュニティCに所属し、利用者「12」、利用者「13」、利用者「14」がコミュニティDに所属する。なお、図4A中の実線は、過去に利用者間に通信が存在したことを示す。
続いて、図4Bを用いて、非通常通信推定部123による非通常通信を判定する動作の一例を説明する。ここでは、図4Aに示す通信マトリクス112が生成された場合の非通常通信推定部123の動作を説明する。なお、図4Bは、異なるコミュニティ間において、非通常通信であると判定する閾値が「50」に設定されている場合を示す。例えば、コミュニティAとコミュニティBとの間の閾値も、コミュニティAとコミュニティCとの間の閾値も同じ値「50」である。
非通常通信推定部123は、利用者「2」と利用者「3」との間に「100(単位:バイト、以下省略)」の通信が流れた場合、利用者「2」と利用者「3」とは過去に通信したことはないが、利用者「2」と利用者「3」とは同一コミュニティであると判定する。そして、非通常通信推定部123は、利用者「2」と利用者「3」とが同一コミュニティであるので、この通信を通常通信であると判定する。
また、非通常通信推定部123は、利用者「2」と利用者「5」との間に「100」の通信が流れた場合、利用者「2」と利用者「5」とは異なるコミュニティに所属していると判定する。そして、非通常通信推定部123は、利用者「2」と利用者「5」とが異なるコミュニティに所属しており、通信量が閾値「50」を超えているので、非通常通信であると判定する。
また、非通常通信推定部123は、利用者「2」と利用者「5」との間に「10」の通信が流れた場合、利用者「2」と利用者「5」とは異なるコミュニティに所属していると判定する。そして、非通常通信推定部123は、利用者「2」と利用者「5」とが異なるコミュニティに所属しているが、通信量が閾値「50」を下回っているので、通常通信であると判定する。
また、非通常通信推定部123は、利用者「2」と利用者「11」との間に「30」の通信が流れた場合、利用者「2」と利用者「11」とは異なるコミュニティに所属していると判定する。そして、非通常通信推定部123は、利用者「2」と利用者「11」とが異なるコミュニティに所属しているが、通信量が閾値「50」を下回っているので、通常通信であると判定する。
[第1の実施の形態に係る非通常通信検知装置による処理の処理手順]
次に図5を用いて、第1の実施の形態に係る非通常通信検知装置100による処理の処理手順を説明する。図5は、第1の実施の形態に係る非通常通信検知装置100による処理の処理手順を示すフローチャートである。
図5に示すように、通信マトリクス情報生成部121は、通信履歴111を通信履歴保持サーバ10から取得し、通信マトリクス112を生成する(ステップS101)。そして、コミュニティ情報生成部122は、コミュニティ情報113を生成する(ステップS102)。また、非通常通信推定部123は、検知対象の通信装置3の利用者間の通信量を取得する(ステップS103)。
非通常通信推定部123は、所定の閾値を取得し(ステップS104)、検知対象が同一のコミュニティに属するか否かを判定する(ステップS105)。ここで、非通常通信推定部123は、検知対象が同一のコミュニティに属すると判定する場合(ステップS105、Yes)、通常の通信であると判定する(ステップS106)。
一方、非通常通信推定部123は、検知対象が同一のコミュニティに属さないと判定する場合(ステップS105、No)、検知対象間の通信量が閾値を超えるか否かを判定する(ステップS107)。ここで、非通常通信推定部123は、検知対象間の通信量が閾値を超えないと判定する場合(ステップS107、No)、通常の通信であると判定する(ステップS106)。
一方、非通常通信推定部123は、検知対象間の通信量が閾値を超えると判定する場合(ステップS107、Yes)、非通常の通信であると判定する(ステップS108)。なお、非通常通信検知装置100は、ステップS106またはステップS108の終了後、処理を終了する。
[第1の実施の形態に係る非通常通信検知装置100による効果]
上述してきたように、第1の実施の形態に係る非通常通信検知装置100は、利用者のコミュニティ情報を用いることで、過去に通信したことのないノード間の通信が通常通信であるか否かを推定することが可能となる。
また、非通常通信検知装置100は、任意のコミュニティ情報を元に非通常通信を検知することが可能となる。また、非通常通信検知装置100は、利用者間の過去の通信履歴111を用いて利用者のコミュニティを推定することにより、利用者のコミュニティ情報が明示的に与えられない場合においても、非通常通信の検知が可能である。
また、ネットワークを効率的に運用するうえで、過去に通信したことのないノード間の通信が非通常通信であるかどうかを早期に検知する技術が望まれる。第1の実施の形態に係る非通常通信検知装置100は、ネットワークにおいて問題を引き起すような異常通信や、通信装置間の新たな通信需要を、早期に検知することが可能となる。
なお、非通常通信検知装置100は、通信履歴保持サーバ10などの外部の装置から、通信装置が属するコミュニティの情報を取得できる場合、外部の装置から取得したコミュニティの情報を用いて、コミュニティ情報113を生成するようにしてもよい。
[第2の実施の形態]
第1の実施の形態では、非通常通信検知装置において、非通常通信推定部123が、予め設定される閾値を用いて通信元および通信先の通信装置3の利用者間の通信が非通常通信であるか否かを判定する例を説明した。また、この所定の閾値は、各コミュニティ間で一定であるものとして説明した。ところで、非通常通信検知装置100において、所定の閾値は、コミュニティ間における通信量などに基づいて設定されてもよいものである。そこで、第2の実施の形態では、非通常通信検知装置において、非通常通信推定部123が、通信マトリクス112を参照して、所定の閾値を設定する例を示す。
[第2の実施の形態に係る非通常通信検知装置の構成]
また、第2の実施の形態に係る非通常通信検知装置200の構成は、非通常通信推定部が有する一部の機能が異なる点を除いて、図2に示した第1の実施の形態に係る非通常通信検知装置100の構成と同様である。このため、図2に示した、非通常通信推定部123を非通常通信推定部223に置き換えて、第2の実施の形態に係る非通常通信検知装置200の構成を説明する。
非通常通信推定部223は、通信マトリクス112を参照して、所定の閾値を設定する。例えば、非通常通信推定部223は、通信元の通信装置3の利用者が属するコミュニティと、通信先の通信装置3の利用者が属するコミュニティとの間を流れる通信量の総量を算出し、算出した通信量の総量に基づいて、所定の閾値を設定する。
また、非通常通信推定部223は、コミュニティ間のリンクの生成されやすさを推定し、推定したコミュニティ間のリンクの生成されやすさに応じて、閾値を設定する。ここで、非通常通信推定部223は、例えば、非特許文献3に記載の手法を用いて、コミュニティ間のリンクの生成されやすさを推定する。
すなわち、非通常通信推定部223は、通信元の通信装置3の利用者が属するコミュニティと、通信先の通信装置3の利用者が属するコミュニティとに共通して隣接するコミュニティの属性に基づいて、所定の閾値を設定する。このような属性として、一例をあげると、上記隣接するコミュニティの数等があげられる。すなわち、非通常通信推定部223は、通信元の通信装置3の利用者が属するコミュニティと、通信先の通信装置3の利用者が属するコミュニティとに共通して隣接するコミュニティの数に基づいて、所定の閾値を設定する。なお、コミュニティ間のリンクの生成されやすさを推定する方法は、隣接するコミュニティの数等の属性を用いるような、非特許文献3に記載の手法に限定されるものではなく、任意の手法を利用可能である。
また、非通常通信推定部223は、通信元の通信装置3の利用者が属するコミュニティと、通信先の通信装置3の利用者が属するコミュニティとの間の通信のしやすさを推定するスコアを通信元の通信装置3の利用者の媒介中心性に基づいて算出する。そして、非通常通信推定部223は、算出したスコアに基づいて、通信装置3の利用者ごとに所定の閾値を設定する。なお。非通常通信推定部223は、非特許文献4に記載の手法を用いて、媒介中心性を算出する。また、媒介中心性を算出する方法は、非特許文献4に記載の手法に限定されるものではなく、任意の手法を利用可能である。また、非通常通信推定部223は、各種の閾値の設定手法を任意に組み合わせて閾値を設定するようにしてもよい。
[閾値設定処理]
次に、図6A〜図8Bを用いて、第2の実施の形態に係る非通常通信検知装置200による閾値設定処理の動作を説明する。ここでは、図6Aおよび図6Bを用いて、コミュニティ間を流れる通信量の総量に基づいて所定の閾値を設定する動作を説明し、図7Aおよび図7Bを用いて、隣接するコミュニティの数に基づいて、所定の閾値を設定する動作を説明する。また、図8Aおよび図8Bを用いて、通信元の通信装置3の利用者の媒介中心性に基づいて、所定の閾値を設定する動作を説明する。
(コミュニティ間を流れる通信量の総量に基づく閾値の設定)
図6Aおよび図6Bは、第2の実施の形態に係る非通常通信検知装置200において、コミュニティ間通信の量に基づいて、閾値を設定する一例を示す図である。図6Aに示す例では、通信量をリンクの重みとしたグラフの形で通信マトリクス112を示す。また、図6A中の点線は、コミュニティを示す。図6Aは、コミュニティAとコミュニティBとの間の通信量は50、コミュニティBとコミュニティCとの間の通信量は100、コミュニティCとコミュニティDとの間の通信量は30である場合を示す。
非通常通信検知装置200において、非通常通信推定部223は、このコミュニティ間の通信量に基づき、閾値を設定する。図6Aに示す例では、非通常通信検知装置200は、コミュニティ間の通信量を閾値として設定する。一例をあげると、非通常通信推定部223は、コミュニティAとコミュニティBとの間の閾値を「50」、コミュニティBとコミュニティCとの間の閾値を「100」、コミュニティCとコミュニティDとの間の閾値を「30」に設定する。なお、非通常通信推定部223は、コミュニティAとコミュニティCとの間の閾値を「0」、コミュニティAとコミュニティDとの間の閾値を「0」に設定する。
ここで、第1の実施の形態に係る非通常通信検知装置100では、図4Bに示したように、コミュニティAとコミュニティBとの間の閾値も、コミュニティAとコミュニティCとの間の閾値も同じ値「50」に設定した。一方、非通常通信検知装置200において、非通常通信推定部223は、図6Aに示す例では、コミュニティAとコミュニティBとの間の閾値と、コミュニティBとコミュニティCとの間の閾値の間に2倍の差が存在するように設定する。
続いて、図6Bを用いて、図6Aのように閾値を設定した場合、非通常通信推定部223による非通常通信であるか否かを判定する動作について説明する。図6Bに示す例では、非通常通信推定部223は、利用者「2」と利用者「5」との間に「40」の通信が流れた場合、利用者「2」と利用者「5」とが異なるコミュニティ「A」とコミュニティ「B」とに所属していると判定する。そして、非通常通信推定部223は、利用者「2」と利用者「5」とが異なるコミュニティに所属しており、通信量が閾値「50」を下回っているので、通常通信であると判定する。
また、非通常通信推定部223は、利用者「5」と利用者「11」との間に「40」の通信が流れた場合、利用者「5」と利用者「11」とが異なるコミュニティ「B」とコミュニティ「C」とに所属していると判定する。そして、非通常通信推定部223は、利用者「5」と利用者「11」とが異なるコミュニティに所属しているが、通信量が閾値「100」を下回っているので、通常通信であると判定する。
また、非通常通信推定部223は、利用者「11」と利用者「13」との間に「40」の通信が流れた場合、利用者「11」と利用者「13」とが異なるコミュニティ「C」とコミュニティ「D」とに所属していると判定する。そして、非通常通信推定部223は、利用者「11」と利用者「13」とが異なるコミュニティに所属しており、通信量が閾値「30」を超えているので、非通常通信であると判定する。
また、非通常通信推定部223は、利用者「2」と利用者「11」との間に「30」の通信が流れた場合、利用者「2」と利用者「11」とが異なるコミュニティ「A」とコミュニティ「C」とに所属していると判定する。そして、非通常通信推定部223は、利用者「2」と利用者「11」とが異なるコミュニティに所属しており、通信量が閾値「0」を超えているので、非通常通信であると判定する。
また、非通常通信推定部223は、利用者「2」と利用者「13」との間に「10」の通信が流れた場合、利用者「2」と利用者「13」とが異なるコミュニティ「A」とコミュニティ「D」とに所属していると判定する。そして、非通常通信推定部223は、利用者「2」と利用者「13」とが異なるコミュニティに所属しており、通信量が閾値「0」を超えているので、非通常通信であると判定する。
なお、図6Aに示す例において、コミュニティBとコミュニティDとの間に「20」の通信量が流れる場合、非通常通信検知装置200は、コミュニティBとコミュニティDとの間の閾値を「20」に設定する。
(隣接するコミュニティの数に基づく閾値の設定)
図7Aおよび図7Bは、第2の実施の形態に係る非通常通信検知装置200において、コミュニティ間の通信量を表現したネットワークにおけるリンクの生成されやすさに基づき閾値を設定する一例を示す図である。
図7Aに示す例では、非通常通信推定部223は、共通の隣接コミュニティ数を用いてリンクの生成されやすさを推定する。コミュニティAに着目すると、コミュニティAとコミュニティB、コミュニティAとコミュニティDとの間に共通の隣接コミュニティは存在しない。一方、コミュニティAとコミュニティCとはどちらもコミュニティBと隣接する。非通常通信推定部223は、コミュニティAのコミュニティ間通信量は50であるため、これを基準とし、隣接コミュニティ数に応じて傾斜をかけて、閾値を設定する。
例えば、非通常通信推定部223は、コミュニティAとコミュニティCとの共通の隣接コミュニティ数は1であるため、コミュニティAとコミュニティCとの間の閾値を50(=50×1)に設定する。また、非通常通信推定部223は、コミュニティAとコミュニティDとの共通の隣接コミュニティ数は0であるため、コミュニティAとコミュニティDとの間の閾値を0(=50×0)に設定する。
また、コミュニティAとコミュニティBとの共通の隣接コミュニティ数は0である。なお、ここでは、非通常通信推定部223は、コミュニティAとコミュニティBとの間に「50」の通信量が過去に流れ、この過去の通信量をコミュニティAとコミュニティBとの間の閾値「50」に設定する場合を示す。また、コミュニティBとコミュニティCとの共通の隣接コミュニティ数は0であり、コミュニティCとコミュニティDとの共通の隣接コミュニティ数は0である。同様に、非通常通信推定部223は、過去の通信量に基づいて、コミュニティBとコミュニティCとの間の閾値「100」、コミュニティCとコミュニティDとの間の閾値「30」に設定する。
ここで、非通常通信推定部223は、コミュニティ間を流れる通信量の総量に基づく閾値の設定では、図6Bに示したように、コミュニティAとコミュニティCとは直接隣接していないため、閾値を0に設定する。一方、非通常通信推定部223は、隣接するコミュニティの数に基づく閾値の設定では、コミュニティAとコミュニティCとに共通の隣接コミュニティが存在するため、閾値を「50」に設定する。
続いて、図7Bを用いて、図7Aのように閾値を設定した場合、非通常通信推定部223による非通常通信であるか否かを判定する動作について説明する。図7Bに示す例では、非通常通信推定部223は、利用者「2」と利用者「5」との間に「40」の通信が流れた場合、利用者「2」と利用者「5」とが異なるコミュニティ「A」とコミュニティ「B」とに所属していると判定する。そして、非通常通信推定部223は、利用者「2」と利用者「5」とが異なるコミュニティに所属しており、通信量が閾値「50」を下回っているので、通常通信であると判定する。
また、非通常通信推定部223は、利用者「2」と利用者「11」との間に「40」の通信が流れた場合、利用者「2」と利用者「11」とが異なるコミュニティ「A」とコミュニティ「C」とに所属していると判定する。そして、非通常通信推定部223は、利用者「2」と利用者「11」とが異なるコミュニティに所属しており、通信量が閾値「50」を下回っているので、通常通信であると判定する。
また、非通常通信推定部223は、利用者「2」と利用者「13」との間に「40」の通信が流れた場合、利用者「2」と利用者「13」とが異なるコミュニティ「A」とコミュニティ「D」とに所属していると判定する。そして、非通常通信推定部223は、利用者「2」と利用者「13」とが異なるコミュニティに所属しており、通信量が閾値「0」を超えているので、非通常通信であると判定する。
(通信元の通信装置3の利用者の媒介中心性に基づく閾値の設定)
図8Aおよび図8Bは、第2の実施の形態に係る非通常通信検知装置200において、利用者のコミュニティ間通信のしやすさを推定するスコアに基づき、利用者ごとに閾値を設定する一例を示す図である。
図8Aは、非通常通信推定部223が、コミュニティAとコミュニティBとの間の閾値を50に設定する場合を示す。また、非通常通信推定部223は、コミュニティAに属する利用者の媒介中心性の高さに応じて、利用者ごとに閾値を設定する。図8Aでは、非通常通信推定部223は、コミュニティAに属する利用者「1」、利用者「2」、利用者「3」、利用者「4」の媒介中心性はそれぞれ、「23」、「0」、「0」、「30」に設定する。この場合、媒介中心性の平均は13.25(=(23+0+0+30)/4)である。非通常通信推定部223は、この平均との比で傾斜をかけて、利用者ごとにコミュニティ間通信の閾値を設定する。
例えば、非通常通信推定部223は、利用者「1」の媒介中心性が「23」であるので、閾値を「86.8(=23/13.25×50)」に設定する。また、非通常通信推定部223は、利用者「4」の媒介中心性が「30」であるので、閾値を「113.2(=30/13.25×50)」に設定する。なお、非通常通信推定部223は、利用者「2」および利用者「3」の閾値を「0」に設定する。
ここで、非通常通信推定部223は、コミュニティ間を流れる通信量の総量に基づく閾値の設定では、図6Bに示したように、コミュニティAに属する利用者と、コミュニティBに属する利用者が通信した場合の閾値は全て同じ閾値を0に設定する。一方、非通常通信推定部223は、通信元の通信装置3の利用者の媒介中心性に基づく閾値の設定では、利用者の媒介中心性の高さに応じて異なる閾値を設定する。
続いて、図8Bを用いて、図8Aのように閾値を設定した場合、非通常通信推定部223による非通常通信であるか否かを判定する動作について説明する。図8Bに示す例では、非通常通信推定部223は、利用者「1」と利用者「5」との間に「50」の通信が流れた場合、利用者「1」と利用者「5」とが異なるコミュニティ「A」とコミュニティ「B」とに所属していると判定する。そして、非通常通信推定部223は、利用者「1」と利用者「5」とが異なるコミュニティに所属しており、通信量が閾値「86.8」を下回っているので、通常通信であると判定する。
同様に、非通常通信推定部223は、利用者「4」と利用者「5」との間に「50」の通信が流れた場合、利用者「4」と利用者「5」とが異なるコミュニティ「A」とコミュニティ「B」とに所属していると判定する。そして、非通常通信推定部223は、利用者「4」と利用者「5」とが異なるコミュニティに所属しており、通信量が閾値「113.2」を下回っているので、通常通信であると判定する。
なお、非通常通信推定部223は、利用者「2」と利用者「5」との間に「50」の通信が流れた場合、および利用者「3」と利用者「5」との間に「50」の通信が流れた場合、通信量が閾値「0」を超えているので、非通常通信であると判定する。
[第2の実施の形態に係る非通常通信検知装置による処理の処理手順]
次に図9を用いて、本実施形態に係る非通常通信検知装置200による処理の処理手順を説明する。図9は、本実施形態に係る非通常通信検知装置200による処理の処理手順を示すフローチャートである。なお、図9に示すフローチャートと、図5に示すフローチャートとは、ステップS204の処理が相違する点を除いて同様である。このため、図9では、図5に示したフローチャートと同様の処理については、同一の符号を付与し、説明を省略する。
図9に示すように、ステップS203(ステップS103)の処理の終了後、非通常通信推定部223は、所定の閾値を設定する(ステップS204)。例えば、非通常通信推定部223は、コミュニティ間を流れる通信量の総量に基づいて、隣接するコミュニティの数に基づいて、あるいは通信元の通信装置3の利用者の媒介中心性に基づいて、所定の閾値を設定する。なお、非通常通信推定部223は、これらの閾値設定手法を組み合わせて用いても良い。ステップS204の終了後、非通常通信推定部223は、ステップS205(ステップS105)の処理を実行する。
[第2の実施の形態に係る非通常通信検知装置による効果]
第2の実施の形態に係る非通常通信検知装置200は、コミュニティ間の過去の通信量を用いることで、目的に応じて、精度の高い非通常通信の検知を可能とする。
また、第2の実施の形態に係る非通常通信検知装置200は、コミュニティ間の通信関係を表現したネットワークから推定したコミュニティ間のリンクの生成されやすさを用いることで、精度の高い非通常通信の検知を可能とする。
また、第2の実施の形態に係る非通常通信検知装置200は、利用者間の通信交流の関係を表現したネットワークから推定した利用者の媒介中心性を用いることで、精度の高い非通常通信の検知を可能とする。
さらに、第2の実施の形態に係る非通常通信検知装置200は、これら各種の閾値設定手法を組合せることで、精度の高い非通常通信の検知を可能とする。
[第3の実施の形態]
ところで、本願の開示する非通常通信検知装置100は、上述した実施の形態以外にも、種々の異なる形態にて実施されてよい。そこで、第3の実施の形態に係る非通常通信検知装置として、本願の開示する非通常通信検知装置100の他の実施の形態について説明する。
[システム構成等]
本実施例において説明した各処理のうち自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともできる。あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文章中や図面中で示した処理手順、制御手順、具体的名称については、特記する場合を除いて任意に変更することができる。また、図示した記憶部が格納する情報は一例に過ぎず、必ずしも図示のごとく情報が格納される必要はない。
また、以上の説明では簡単のため、1人の利用者が1つのコミュニティに属していることを仮定して説明を行ったが、複数のコミュニティに属している場合でも、本発明により、非通常通信を検知することが可能である。例えば、利用者「1」と利用者「2」とがそれぞれ複数のコミュニティに属している場合には、利用者「1」の属するコミュニティと利用者「2」の属するコミュニティの全ての組み合わせについて、閾値を算出し、その平均や中央値、最大値などを利用者「1」と利用者「2」との間の通信が非通常通信であるか否かを判定する閾値として用いることで、非通常通信を検知することが可能である。
また、非通常通信検知装置100(200)は、通信履歴保持サーバ10から通信装置の利用者間の通信量を取得するものとして説明したが、これに限定されるものではない。例えば、非通常通信検知装置100(200)は、ルータ4から通信装置の利用者間の通信量を取得するようにしてもよい。
また、図示した各構成部は、機能概念的なものであり、必ずしも物理的に図示のごとく構成されていることを要しない。例えば、非通常通信検知装置100では、通信マトリクス情報生成部121とコミュニティ情報生成部122とが統合されてもよい。さらに、各装置にて行われる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
[プログラム]
図10は、開示の技術に係る非通常通信検知プログラムによる情報処理がコンピュータを用いて具体的に実現されることを示す図である。図10に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
メモリ1010は、図10に例示するように、ROM(Read Only Memory)1011及びRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図10に例示するように、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、図10に例示するように、ディスクドライブ1041に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブに挿入される。シリアルポートインタフェース1050は、図10に例示するように、例えばマウス1051、キーボード1052に接続される。ビデオアダプタ1060は、図10に例示するように、例えばディスプレイ1061に接続される。
ここで、図10に例示するように、ハードディスクドライブ1031は、例えば、OS(Operating System)1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、開示の技術に係る非通常通信検知プログラムは、コンピュータによって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1031に記憶される。具体的には、上記実施例で説明した通信マトリクス情報生成部121と同様の情報処理を実行する通信マトリクス情報生成手順と、コミュニティ情報生成部122と同様の情報処理を実行するコミュニティ情報生成手順と、非通常通信推定部123と同様の情報処理を実行する非通常通信推定手順とが記述されたプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。また、上記実施例で説明した記憶部110に記憶されるデータのように、非通常通信検知プログラムによる情報処理に用いられるデータは、プログラムデータ1094として、例えばハードディスクドライブ1031に記憶される。そして、CPU1020が、ハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、通信マトリクス情報生成手順、コミュニティ情報生成手順、非通常通信推定手順を実行する。
なお、非通常通信検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、非通常通信検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
1 通信システム
2 ネットワーク
3 通信装置
4 ルータ
10 通信履歴保持サーバ
100、200 非通常通信検知装置
110 記憶部
111 通信履歴
112 通信マトリクス
113 コミュニティ情報
120、220 制御部
121 通信マトリクス情報生成部
122 コミュニティ情報生成部
123、223 非通常通信推定部

Claims (7)

  1. 通信装置の利用者と該通信装置の利用者が属するコミュニティとを対応付けたコミュニティ情報を生成する生成部と、
    前記コミュニティ情報を参照し、通信元の通信装置の利用者と通信先の通信装置の利用者とが同一のコミュニティに属さない場合であって、通信元および通信先の通信装置の利用者間の通信量が所定の閾値を超える場合に、該利用者間の通信が非通常通信であると判定する判定部と、
    を有することを特徴とする非通常通信検知装置。
  2. 前記生成部は、
    通信元の通信装置の利用者と通信先の通信装置の利用者との間の通信量をグラフ化した情報であって、通信装置の利用者をコミュニティに分類するための通信マトリクスを、通信元の通信装置の利用者と、通信先の通信装置の利用者とを対応付けた通信情報に基づいて生成する通信マトリクス情報生成部と、
    前記通信マトリクスに基づいて、前記コミュニティ情報を生成するコミュニティ情報生成部と、
    を有することを特徴とする請求項1に記載の非通常通信検知装置。
  3. 前記判定部は、更に、前記通信マトリクスを参照して、前記所定の閾値を設定することを特徴とする請求項2に記載の非通常通信検知装置。
  4. 前記判定部は、通信元の通信装置の利用者が属するコミュニティと、通信先の通信装置の利用者が属するコミュニティとの間を流れる通信量の総量を算出し、算出した通信量の総量に基づいて、前記所定の閾値を設定することを特徴とする請求項3に記載の非通常通信検知装置。
  5. 前記判定部は、通信元の通信装置の利用者が属するコミュニティと、通信先の通信装置の利用者が属するコミュニティとに共通して隣接するコミュニティに関する属性情報に基づいて、前記所定の閾値を設定することを特徴とする請求項3または4に記載の非通常通信検知装置。
  6. 前記判定部は、通信元の通信装置の利用者が属するコミュニティと、通信先の通信装置の利用者が属するコミュニティとの間の通信のしやすさを推定するスコアを、予め設定された通信元の通信装置の利用者の媒介中心性に基づいて算出し、算出したスコアに基づいて、通信装置の利用者ごとに前記所定の閾値を設定することを特徴とする請求項3〜5のいずれか一つに記載の非通常通信検知装置。
  7. 非通常通信検知装置で実行される非通常通信検知方法であって、
    通信装置の利用者と該通信装置の利用者が属するコミュニティとを対応付けたコミュニティ情報を生成する生成工程と、
    前記コミュニティ情報を参照し、通信元の通信装置の利用者と通信先の通信装置の利用者とが同一のコミュニティに属さない場合であって、通信元および通信先の通信装置の利用者間の通信量が所定の閾値を超える場合に、該利用者間の通信が非通常通信であると判定する判定工程と、
    を含んだことを特徴とする非通常通信検知方法。
JP2012179282A 2012-08-13 2012-08-13 非通常通信検知装置および非通常通信検知方法 Expired - Fee Related JP5757579B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012179282A JP5757579B2 (ja) 2012-08-13 2012-08-13 非通常通信検知装置および非通常通信検知方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012179282A JP5757579B2 (ja) 2012-08-13 2012-08-13 非通常通信検知装置および非通常通信検知方法

Publications (2)

Publication Number Publication Date
JP2014038405A JP2014038405A (ja) 2014-02-27
JP5757579B2 true JP5757579B2 (ja) 2015-07-29

Family

ID=50286517

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012179282A Expired - Fee Related JP5757579B2 (ja) 2012-08-13 2012-08-13 非通常通信検知装置および非通常通信検知方法

Country Status (1)

Country Link
JP (1) JP5757579B2 (ja)

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008092069A (ja) * 2006-09-29 2008-04-17 Oki Electric Ind Co Ltd 観測設定管理システム、観測設定管理方法及び観測設定プログラム
US8438267B2 (en) * 2006-12-28 2013-05-07 At&T Intellectual Property Ii, L.P. Internet-wide scheduling of transactions
JP5233504B2 (ja) * 2008-08-25 2013-07-10 富士通株式会社 経路制御装置およびパケット廃棄方法
JP5526723B2 (ja) * 2009-11-16 2014-06-18 富士通株式会社 狭帯域ネットワークの大容量データ配信システム
JP2011114423A (ja) * 2009-11-25 2011-06-09 Hitachi Ltd ネットワークシステムの省エネ制御方法
JP5221594B2 (ja) * 2010-05-27 2013-06-26 日本電信電話株式会社 ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム
JP5552938B2 (ja) * 2010-07-23 2014-07-16 富士通株式会社 禁止ターン決定プログラムおよび禁止ターン決定装置

Also Published As

Publication number Publication date
JP2014038405A (ja) 2014-02-27

Similar Documents

Publication Publication Date Title
US11070569B2 (en) Detecting outlier pairs of scanned ports
US10104124B2 (en) Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program
JP5050781B2 (ja) マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法
US11711389B2 (en) Scanner probe detection
US20200244684A1 (en) Malicious port scan detection using source profiles
US11770396B2 (en) Port scan detection using destination profiles
US11316872B2 (en) Malicious port scan detection using port profiles
CN109983735B (zh) 用于监测网络拓扑的方法、设备和存储设备
US20230018908A1 (en) Feedback-based control system for software defined networks
US9417949B1 (en) Generic alarm correlation by means of normalized alarm codes
WO2020123030A1 (en) Discovering a computer network topology for an executing application
JP2012186667A (ja) ネットワーク障害検出装置、ネットワーク障害検出装置のネットワーク障害検出方法およびネットワーク障害検出プログラム
JP2020102671A (ja) 検知装置、検知方法、および、検知プログラム
CN113678419B (zh) 端口扫描检测
JP5757579B2 (ja) 非通常通信検知装置および非通常通信検知方法
JP2017211806A (ja) 通信の監視方法、セキュリティ管理システム及びプログラム
KR101928822B1 (ko) 사물 인터넷 환경에서 낯선 기기에 대한 사용자 신뢰도 계산 시스템 및 방법
JP2009111537A (ja) 通信関係構造変化による異常検出方法、装置、プログラム、および記録媒体
JP2007334589A (ja) 決定木構築方法および装置および状態判定装置
JP2006311048A (ja) 帯域制御装置
Nguyen et al. A decentralized Bayesian attack detection algorithm for network security
US11314573B2 (en) Detection of event storms
EP3756310B1 (en) Method and first node for managing transmission of probe messages
JP4980396B2 (ja) トラヒック特性計測方法および装置
JP5300642B2 (ja) 通信網における頻出フロー検出方法と装置およびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140617

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20140617

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150324

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150511

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150526

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150528

R150 Certificate of patent or registration of utility model

Ref document number: 5757579

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees