JP5757579B2 - 非通常通信検知装置および非通常通信検知方法 - Google Patents
非通常通信検知装置および非通常通信検知方法 Download PDFInfo
- Publication number
- JP5757579B2 JP5757579B2 JP2012179282A JP2012179282A JP5757579B2 JP 5757579 B2 JP5757579 B2 JP 5757579B2 JP 2012179282 A JP2012179282 A JP 2012179282A JP 2012179282 A JP2012179282 A JP 2012179282A JP 5757579 B2 JP5757579 B2 JP 5757579B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- user
- community
- normal
- communication device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Monitoring And Testing Of Exchanges (AREA)
Description
[第1の実施の形態に係る通信システムの構成]
図1を用いて、第1の実施の形態に係る通信システム1の構成を説明する。図1は、第1の実施の形態に係る通信システム1の構成の一例を示す図である。本実施形態に係る通信システム1は、ネットワーク2と通信履歴保持サーバ10と非通常通信検知装置100とを有する。なお、通信システム1が有するネットワーク2の数は、図1に示す数に限定されるものではない。
図2は、第1の実施の形態に係る非通常通信検知装置100の機能構成を示す機能ブロック図である。図2に示すように、非通常通信検知装置100は、記憶部110と、制御部120とを有する。
次に、図3A〜3Cを用いて、記憶部110が記憶する情報のデータ構造を説明する。ここでは、図3Aを用いて、通信履歴111のデータ構造を説明し、図3Bを用いて、通信マトリクス112のデータ構造を説明し、図3Cを用いて、コミュニティ情報113のデータ構造を説明する。
次に、図4Aおよび図4Bを用いて、非通常通信検知装置100による処理動作を説明する。図4Aは、通信マトリクスの一例を示す図であり、図4Bは、非通常通信推定部123による非通常通信を判定する動作の一例を示す図である。
次に図5を用いて、第1の実施の形態に係る非通常通信検知装置100による処理の処理手順を説明する。図5は、第1の実施の形態に係る非通常通信検知装置100による処理の処理手順を示すフローチャートである。
上述してきたように、第1の実施の形態に係る非通常通信検知装置100は、利用者のコミュニティ情報を用いることで、過去に通信したことのないノード間の通信が通常通信であるか否かを推定することが可能となる。
第1の実施の形態では、非通常通信検知装置において、非通常通信推定部123が、予め設定される閾値を用いて通信元および通信先の通信装置3の利用者間の通信が非通常通信であるか否かを判定する例を説明した。また、この所定の閾値は、各コミュニティ間で一定であるものとして説明した。ところで、非通常通信検知装置100において、所定の閾値は、コミュニティ間における通信量などに基づいて設定されてもよいものである。そこで、第2の実施の形態では、非通常通信検知装置において、非通常通信推定部123が、通信マトリクス112を参照して、所定の閾値を設定する例を示す。
また、第2の実施の形態に係る非通常通信検知装置200の構成は、非通常通信推定部が有する一部の機能が異なる点を除いて、図2に示した第1の実施の形態に係る非通常通信検知装置100の構成と同様である。このため、図2に示した、非通常通信推定部123を非通常通信推定部223に置き換えて、第2の実施の形態に係る非通常通信検知装置200の構成を説明する。
次に、図6A〜図8Bを用いて、第2の実施の形態に係る非通常通信検知装置200による閾値設定処理の動作を説明する。ここでは、図6Aおよび図6Bを用いて、コミュニティ間を流れる通信量の総量に基づいて所定の閾値を設定する動作を説明し、図7Aおよび図7Bを用いて、隣接するコミュニティの数に基づいて、所定の閾値を設定する動作を説明する。また、図8Aおよび図8Bを用いて、通信元の通信装置3の利用者の媒介中心性に基づいて、所定の閾値を設定する動作を説明する。
図6Aおよび図6Bは、第2の実施の形態に係る非通常通信検知装置200において、コミュニティ間通信の量に基づいて、閾値を設定する一例を示す図である。図6Aに示す例では、通信量をリンクの重みとしたグラフの形で通信マトリクス112を示す。また、図6A中の点線は、コミュニティを示す。図6Aは、コミュニティAとコミュニティBとの間の通信量は50、コミュニティBとコミュニティCとの間の通信量は100、コミュニティCとコミュニティDとの間の通信量は30である場合を示す。
図7Aおよび図7Bは、第2の実施の形態に係る非通常通信検知装置200において、コミュニティ間の通信量を表現したネットワークにおけるリンクの生成されやすさに基づき閾値を設定する一例を示す図である。
図8Aおよび図8Bは、第2の実施の形態に係る非通常通信検知装置200において、利用者のコミュニティ間通信のしやすさを推定するスコアに基づき、利用者ごとに閾値を設定する一例を示す図である。
次に図9を用いて、本実施形態に係る非通常通信検知装置200による処理の処理手順を説明する。図9は、本実施形態に係る非通常通信検知装置200による処理の処理手順を示すフローチャートである。なお、図9に示すフローチャートと、図5に示すフローチャートとは、ステップS204の処理が相違する点を除いて同様である。このため、図9では、図5に示したフローチャートと同様の処理については、同一の符号を付与し、説明を省略する。
第2の実施の形態に係る非通常通信検知装置200は、コミュニティ間の過去の通信量を用いることで、目的に応じて、精度の高い非通常通信の検知を可能とする。
ところで、本願の開示する非通常通信検知装置100は、上述した実施の形態以外にも、種々の異なる形態にて実施されてよい。そこで、第3の実施の形態に係る非通常通信検知装置として、本願の開示する非通常通信検知装置100の他の実施の形態について説明する。
本実施例において説明した各処理のうち自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともできる。あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文章中や図面中で示した処理手順、制御手順、具体的名称については、特記する場合を除いて任意に変更することができる。また、図示した記憶部が格納する情報は一例に過ぎず、必ずしも図示のごとく情報が格納される必要はない。
図10は、開示の技術に係る非通常通信検知プログラムによる情報処理がコンピュータを用いて具体的に実現されることを示す図である。図10に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
2 ネットワーク
3 通信装置
4 ルータ
10 通信履歴保持サーバ
100、200 非通常通信検知装置
110 記憶部
111 通信履歴
112 通信マトリクス
113 コミュニティ情報
120、220 制御部
121 通信マトリクス情報生成部
122 コミュニティ情報生成部
123、223 非通常通信推定部
Claims (7)
- 通信装置の利用者と該通信装置の利用者が属するコミュニティとを対応付けたコミュニティ情報を生成する生成部と、
前記コミュニティ情報を参照し、通信元の通信装置の利用者と通信先の通信装置の利用者とが同一のコミュニティに属さない場合であって、通信元および通信先の通信装置の利用者間の通信量が所定の閾値を超える場合に、該利用者間の通信が非通常通信であると判定する判定部と、
を有することを特徴とする非通常通信検知装置。 - 前記生成部は、
通信元の通信装置の利用者と通信先の通信装置の利用者との間の通信量をグラフ化した情報であって、通信装置の利用者をコミュニティに分類するための通信マトリクスを、通信元の通信装置の利用者と、通信先の通信装置の利用者とを対応付けた通信情報に基づいて生成する通信マトリクス情報生成部と、
前記通信マトリクスに基づいて、前記コミュニティ情報を生成するコミュニティ情報生成部と、
を有することを特徴とする請求項1に記載の非通常通信検知装置。 - 前記判定部は、更に、前記通信マトリクスを参照して、前記所定の閾値を設定することを特徴とする請求項2に記載の非通常通信検知装置。
- 前記判定部は、通信元の通信装置の利用者が属するコミュニティと、通信先の通信装置の利用者が属するコミュニティとの間を流れる通信量の総量を算出し、算出した通信量の総量に基づいて、前記所定の閾値を設定することを特徴とする請求項3に記載の非通常通信検知装置。
- 前記判定部は、通信元の通信装置の利用者が属するコミュニティと、通信先の通信装置の利用者が属するコミュニティとに共通して隣接するコミュニティに関する属性情報に基づいて、前記所定の閾値を設定することを特徴とする請求項3または4に記載の非通常通信検知装置。
- 前記判定部は、通信元の通信装置の利用者が属するコミュニティと、通信先の通信装置の利用者が属するコミュニティとの間の通信のしやすさを推定するスコアを、予め設定された通信元の通信装置の利用者の媒介中心性に基づいて算出し、算出したスコアに基づいて、通信装置の利用者ごとに前記所定の閾値を設定することを特徴とする請求項3〜5のいずれか一つに記載の非通常通信検知装置。
- 非通常通信検知装置で実行される非通常通信検知方法であって、
通信装置の利用者と該通信装置の利用者が属するコミュニティとを対応付けたコミュニティ情報を生成する生成工程と、
前記コミュニティ情報を参照し、通信元の通信装置の利用者と通信先の通信装置の利用者とが同一のコミュニティに属さない場合であって、通信元および通信先の通信装置の利用者間の通信量が所定の閾値を超える場合に、該利用者間の通信が非通常通信であると判定する判定工程と、
を含んだことを特徴とする非通常通信検知方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012179282A JP5757579B2 (ja) | 2012-08-13 | 2012-08-13 | 非通常通信検知装置および非通常通信検知方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012179282A JP5757579B2 (ja) | 2012-08-13 | 2012-08-13 | 非通常通信検知装置および非通常通信検知方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014038405A JP2014038405A (ja) | 2014-02-27 |
JP5757579B2 true JP5757579B2 (ja) | 2015-07-29 |
Family
ID=50286517
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012179282A Expired - Fee Related JP5757579B2 (ja) | 2012-08-13 | 2012-08-13 | 非通常通信検知装置および非通常通信検知方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5757579B2 (ja) |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008092069A (ja) * | 2006-09-29 | 2008-04-17 | Oki Electric Ind Co Ltd | 観測設定管理システム、観測設定管理方法及び観測設定プログラム |
US8438267B2 (en) * | 2006-12-28 | 2013-05-07 | At&T Intellectual Property Ii, L.P. | Internet-wide scheduling of transactions |
JP5233504B2 (ja) * | 2008-08-25 | 2013-07-10 | 富士通株式会社 | 経路制御装置およびパケット廃棄方法 |
JP5526723B2 (ja) * | 2009-11-16 | 2014-06-18 | 富士通株式会社 | 狭帯域ネットワークの大容量データ配信システム |
JP2011114423A (ja) * | 2009-11-25 | 2011-06-09 | Hitachi Ltd | ネットワークシステムの省エネ制御方法 |
JP5221594B2 (ja) * | 2010-05-27 | 2013-06-26 | 日本電信電話株式会社 | ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム |
JP5552938B2 (ja) * | 2010-07-23 | 2014-07-16 | 富士通株式会社 | 禁止ターン決定プログラムおよび禁止ターン決定装置 |
-
2012
- 2012-08-13 JP JP2012179282A patent/JP5757579B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2014038405A (ja) | 2014-02-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11070569B2 (en) | Detecting outlier pairs of scanned ports | |
US10104124B2 (en) | Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program | |
JP5050781B2 (ja) | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 | |
US11711389B2 (en) | Scanner probe detection | |
US20200244684A1 (en) | Malicious port scan detection using source profiles | |
US11770396B2 (en) | Port scan detection using destination profiles | |
US11316872B2 (en) | Malicious port scan detection using port profiles | |
CN109983735B (zh) | 用于监测网络拓扑的方法、设备和存储设备 | |
US20230018908A1 (en) | Feedback-based control system for software defined networks | |
US9417949B1 (en) | Generic alarm correlation by means of normalized alarm codes | |
WO2020123030A1 (en) | Discovering a computer network topology for an executing application | |
JP2012186667A (ja) | ネットワーク障害検出装置、ネットワーク障害検出装置のネットワーク障害検出方法およびネットワーク障害検出プログラム | |
JP2020102671A (ja) | 検知装置、検知方法、および、検知プログラム | |
CN113678419B (zh) | 端口扫描检测 | |
JP5757579B2 (ja) | 非通常通信検知装置および非通常通信検知方法 | |
JP2017211806A (ja) | 通信の監視方法、セキュリティ管理システム及びプログラム | |
KR101928822B1 (ko) | 사물 인터넷 환경에서 낯선 기기에 대한 사용자 신뢰도 계산 시스템 및 방법 | |
JP2009111537A (ja) | 通信関係構造変化による異常検出方法、装置、プログラム、および記録媒体 | |
JP2007334589A (ja) | 決定木構築方法および装置および状態判定装置 | |
JP2006311048A (ja) | 帯域制御装置 | |
Nguyen et al. | A decentralized Bayesian attack detection algorithm for network security | |
US11314573B2 (en) | Detection of event storms | |
EP3756310B1 (en) | Method and first node for managing transmission of probe messages | |
JP4980396B2 (ja) | トラヒック特性計測方法および装置 | |
JP5300642B2 (ja) | 通信網における頻出フロー検出方法と装置およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140617 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20140617 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150324 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150511 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150526 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150528 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5757579 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |