JP6317685B2 - 通信監視システム、通信監視方法およびプログラム - Google Patents
通信監視システム、通信監視方法およびプログラム Download PDFInfo
- Publication number
- JP6317685B2 JP6317685B2 JP2015023271A JP2015023271A JP6317685B2 JP 6317685 B2 JP6317685 B2 JP 6317685B2 JP 2015023271 A JP2015023271 A JP 2015023271A JP 2015023271 A JP2015023271 A JP 2015023271A JP 6317685 B2 JP6317685 B2 JP 6317685B2
- Authority
- JP
- Japan
- Prior art keywords
- graph
- shape
- result
- aggregation
- abnormality
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
この発明は上述した事情に鑑みてなされたものであり、ネットワークサービスに対する攻撃に基づく異常状態を高確率で検出できる通信監視システム、通信監視方法およびプログラムを提供することを目的とする。
請求項1記載の通信監視システムにあっては、一群のIPパケットに対する情報であるフロー情報を受信すると、該フロー情報の識別子毎に集計対象量を集計し、前記集計対象量の集計結果を該集計結果に基づいてソートし、ソート後の前記集計結果のグラフ形状を求める計算手段と、所定の基準グラフの形状と、前記計算手段によって求められたグラフ形状とを比較するグラフ形状比較手段と、前記グラフ形状比較手段における比較結果に基づいて、前記集計対象量の異常の有無を判定する異常判定手段と、を有することを特徴とする。
<フロー情報>
まず、本実施形態の原理を説明する。ある送信元IPアドレスからある送信先IPアドレスに伝送される一連のIPパケットの集合をフローと呼び、フローの様々なパラメータをフロー情報と呼ぶ。本実施形態においては、ネットワークの状態を監視するため、フロー情報を利用する。
ネットワーク上のサーバ機に対して攻撃が仕掛けられた際、フロー情報において様々な変化が生じる。その変化は、一定時間内に伝送される通信データ量(例えば、doctets:フローのバイト数の集計値)として現れる場合がある。ある送信元IPアドレス(サーバ機のアドレス)からある時間帯に送信された通信データ量を送信先IPアドレスdstIP_1〜dstIP_10(クライアント機のアドレス)毎に集計し、グラフにした結果を図1(a)に示す。図1(a)における通信データ量の分布が正常時のものであるとする。また、他の時間帯において同一の送信元IPアドレスから同一の送信先IPアドレスdstIP_1〜dstIP_10に送信された通信データ量を集計し、グラフにした結果を図1(b)に示す。
集計対象とするフロー(以下、集計対象フローという)は、特定のサービスのフローのみに限定することが望ましい場合がある。その場合は、特定のサービスに対応するポート番号(srcport:送信元ポート番号、またはdstport:送信先ポート番号)を有するフローのみを切り出し、送信元、送信先毎に集計対象量(例えば通信データ量)を取得するとよい。「集計対象量」として上述の例では「通信データ量(バイト数)」を採用したが、集計対象量として「フロー数」等を採用してもよい。これは、DDoS攻撃(Distributed Denial of Service attack)等が行われる場合は、「バイト数」がさほど増加しなかったとしても、「フロー数」等が顕著に増加する場合があるためである。
図1に示した例においてグラフの横軸は、送信先IPアドレスdstIP_1〜dstIP_10を単に番号順に配列したものであったが、縦軸すなわち集計対象量の集計結果(例えば通信データ量)で横軸をソートすることが望ましい場合がある。これは、例えば、識別子である送信先IPアドレスが動的IPアドレスである場合等、識別子と統計単位との関連性が一意ではない場合である。
(1)データ切り出し条件(例えばsrcIP,srcPort)を用いて、集計対象フローの切り出しを行うこと(フィルタリング)、
(2)集計対象フローに対して、識別子(例えば送信先IPアドレスdstIP)によって区別される統計単位(例えばクライアント機)ごとに集計対象量(例えば通信データ量)の集計を行うこと
(3)集計対象量の集計結果でソートした後のグラフ形状を比較すること(正常時は類似したグラフ形状になると想定する)
という段階を経ることにより、異常の有無を判別できる。
あるグラフ形状を「正常」であるとみなし、他のグラフ形状の異常の有無を判別する基準とするとき、その「正常」とみなしたグラフを「基準グラフ」と呼ぶ。基準グラフは、ある特定の時刻(図2の例では時刻t1)のグラフとすることができる。また、ある特定の期間のグラフ形状の平均を基準グラフにすることもできる。また、刻々と変化するグラフ形状の移動平均を基準グラフにしてもよい。
次に、グラフ形状の比較方法について説明する。比較方法として、グラフをディスプレイ等に表示し人間の目視により比較する方法も考えられるが、ここではコンピュータ等を用いて自動的に比較する方法について説明する。
グラフ上の監視する範囲を決めて、それぞれのデータの識別子(図2の例においては送信先IPアドレスdstIP)を1,2,3,・・・nのように振り直す。そして、ある時刻t0のデータを正常時のデータ(すなわち基準グラフ)とし、その配列を
Xn(t0)=(x1(t0),x2(t0),・・・xn(t0))
とする。比較対象とする時刻tのデータ配列も同様に
Xn(t)=(x1(t),x2(t),・・・xn(t) )
とする。
K=Xn(t0)・Xn(t)/(|Xn(t0)||Xn(t)|)
によって得られる。従って、コサイン類似度Kを随時求めてゆき、コサイン類似度Kが所定の閾値Kth未満になった場合に、異常が発生したと判断することができる。図3(a)〜(c)は、それぞれ時刻t0,t1,t2における通信データ量をソートしたグラフであり、図3(a)の時刻t0におけるグラフが基準グラフ206であるとする。図3(b)のグラフは、基準グラフ206に近似しているため、コサイン類似度Kが大きくなり、時刻t1の状態は正常であると考えられる。一方、図3(c)のグラフは、基準グラフ206とは大きく相違し、コサイン類似度Kが小さくなるので、異常が生じたものと判断される。
コサイン類似度を用いる場合と同様に、ある時刻tのデータ配列を
Xn(t)=(x1(t),x2(t),・・・xn(t) )
とする。忘却係数をrとすると、配列Xn(t)の平均値(指数移動平均)μ(t)および分散行列Cij(t)は、
μ(t)=(1−r)μ(t−1)+rXn (t)
Cij(t)=(1−r)Cij(t−1)+r(Xi(t)−μi(t))(Xj(t)−μj(t))
によって得られる。
次に、図5に示すブロック図を参照し、本実施形態によるデータ通信システムの構成を説明する。
図5において、n台のクライアント機2−1〜2−nは、インターネット等のWAN(広域ネットワーク、Wide Area Network)4に接続されている。また、m台のサーバ機8−1〜8−mはデータセンタ等に配置され、ネットワークスイッチ6を介してWAN4に接続されている。ネットワークスイッチ6は、クライアント機2−1〜2−nおよびサーバ機8−1〜8−m間のIPパケットを仲介するとともに、これらIPパケットの各種トラフィック情報を収集し、その結果をフロー情報として外部に出力する。
<非ソートモード>
次に、本実施形態の動作を説明する。
本実施形態の動作モードには、集計対象量の集計結果のソートを行うソートモードと、ソートを行わない非ソートモードとがある。まず、図6のフローチャートを参照し、非ソートモードにおける動作を説明する。なお、図6は、非ソートモードにおいて所定時間毎に実行されるプログラムである非ソートモード処理ルーチンのフローチャートである。
次に、図7を参照し、集計対象量の集計結果のソートを行うソートモードにおける動作を説明する。なお、図7は、ソートモードにおいて所定時間毎に実行されるプログラムであるソートモード処理ルーチンのフローチャートである。
本発明は上述した実施形態に限定されるものではなく、種々の変形が可能である。上述した実施形態は本発明を理解しやすく説明するために例示したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施形態の構成の一部を他の実施形態の構成に置き換えることが可能であり、また、ある実施形態の構成に他の実施形態の構成を加えることも可能である。また、各実施形態の構成の一部について削除し、若しくは他の構成の追加・置換をすることが可能である。上記実施形態に対して可能な変形は、例えば以下のようなものである。
(2)上記実施形態におけるフロー監視装置100のハードウエアは一般的なコンピュータによって実現できるため、図6、図7に示したプログラムのみを記憶媒体に格納し、または伝送路を介して頒布してもよい。
4 WAN
6 ネットワークスイッチ
8−1〜8−m サーバ機
100 フロー監視装置
110 情報保存部
111 ソートルール保存部
112 データ範囲保存部
113 忘却係数保存部
114 閾値保存部
115 データ保存部
116 異常判定結果保存部
120 演算部
121 データソート計算手段(計算手段)
122 グラフ形状比較手段
123 異常判定手段
130 入出力部
131 設定入力部
132 データ入力部
133 異常判定結果出力部
Claims (7)
- 一群のIPパケットに対する情報であるフロー情報を受信すると、該フロー情報の識別子毎に集計対象量を集計し、前記集計対象量の集計結果を該集計結果に基づいてソートし、ソート後の前記集計結果のグラフ形状を求める計算手段と、
所定の基準グラフの形状と、前記計算手段によって求められたグラフ形状とを比較するグラフ形状比較手段と、
前記グラフ形状比較手段における比較結果に基づいて、前記集計対象量の異常の有無を判定する異常判定手段と、
を有することを特徴とする通信監視システム。 - 前記グラフ形状比較手段は、前記基準グラフの形状と、前記計算手段によって求められたグラフ形状との類似度を計算するものであり、
前記異常判定手段は、前記類似度と、所定の閾値との大小関係を比較することによって前記集計対象量の異常の有無を判定するものである
ことを特徴とする請求項1に記載の通信監視システム。 - 前記計算手段は、特定の送信元IPアドレスと特定の送信元ポート番号とを有するIPパケットに係るフロー情報に対して、前記識別子を送信先IPアドレスとして、集計を行うものである
ことを特徴とする請求項1または2に記載の通信監視システム。 - 前記集計対象量は、前記フロー情報に示されたフローのバイト数、前記フローのパケット数、または前記フローの流れた時間のうち何れかである
ことを特徴とする請求項1ないし3の何れか一項に記載の通信監視システム。 - 前記グラフ形状比較手段は、前記類似度として、コサイン類似度またはマハラノビス距離を計算するものである
ことを特徴とする請求項2に記載の通信監視システム。 - 一群のIPパケットに対する情報であるフロー情報を受信する過程と、
該フロー情報の識別子毎に集計対象量を集計し、前記集計対象量の集計結果を該集計結果に基づいてソートし、ソート後の前記集計結果のグラフ形状を求める過程と、
所定の基準グラフの形状と、前記集計結果のグラフ形状とを比較する過程と、
前記基準グラフの形状と前記集計結果のグラフ形状との比較結果に基づいて、前記集計対象量の異常の有無を判定する過程と
を有することを特徴とする通信監視方法。 - コンピュータを、
一群のIPパケットに対する情報であるフロー情報を受信すると、該フロー情報の識別子毎に集計対象量を集計し、前記集計対象量の集計結果を該集計結果に基づいてソートし、ソート後の前記集計結果のグラフ形状を求める計算手段、
所定の基準グラフの形状と、前記計算手段によって求められたグラフ形状とを比較するグラフ形状比較手段、
前記グラフ形状比較手段における比較結果に基づいて、前記集計対象量の異常の有無を判定する異常判定手段、
として機能させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015023271A JP6317685B2 (ja) | 2015-02-09 | 2015-02-09 | 通信監視システム、通信監視方法およびプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015023271A JP6317685B2 (ja) | 2015-02-09 | 2015-02-09 | 通信監視システム、通信監視方法およびプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016146580A JP2016146580A (ja) | 2016-08-12 |
JP6317685B2 true JP6317685B2 (ja) | 2018-04-25 |
Family
ID=56686522
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015023271A Active JP6317685B2 (ja) | 2015-02-09 | 2015-02-09 | 通信監視システム、通信監視方法およびプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6317685B2 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6352990B2 (ja) | 2016-07-26 | 2018-07-04 | 株式会社Subaru | 動力伝達装置 |
JP6718398B2 (ja) * | 2017-02-15 | 2020-07-08 | 日本電信電話株式会社 | サービス復旧装置およびサービス復旧方法 |
JP6708575B2 (ja) * | 2017-03-01 | 2020-06-10 | 日本電信電話株式会社 | 分類装置、分類方法および分類プログラム |
JP7377637B2 (ja) | 2019-06-28 | 2023-11-10 | 三菱重工業株式会社 | 異常検出装置、異常検出方法、及びプログラム |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4551316B2 (ja) * | 2005-11-22 | 2010-09-29 | 日本電信電話株式会社 | 中継装置および中継装置用プログラム |
JP2008048311A (ja) * | 2006-08-21 | 2008-02-28 | Oki Electric Ind Co Ltd | ネットワーク監視システム |
JP5298293B2 (ja) * | 2007-03-30 | 2013-09-25 | 国立大学法人九州大学 | 検出装置、検出方法、通信制御方法、履歴空間データ生産方法、及びこれらの方法をコンピュータに実行させることが可能なプログラム |
US9065728B2 (en) * | 2011-03-03 | 2015-06-23 | Hitachi, Ltd. | Failure analysis device, and system and method for same |
-
2015
- 2015-02-09 JP JP2015023271A patent/JP6317685B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2016146580A (ja) | 2016-08-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2017163352A1 (ja) | 異常検出装置、異常検出システム、及び、異常検出方法 | |
Jose et al. | Online measurement of large traffic aggregates on commodity switches | |
CN112544059B (zh) | 用于网络流量分析的方法、设备和系统 | |
US20170295196A1 (en) | Network anomaly detection | |
JP6317685B2 (ja) | 通信監視システム、通信監視方法およびプログラム | |
US20130340079A1 (en) | System and method for real-time reporting of anomalous internet protocol attacks | |
JP4232828B2 (ja) | アプリケーション分類方法、ネットワーク異常検知方法、アプリケーション分類プログラム、ネットワーク異常検知プログラム、アプリケーション分類装置、ネットワーク異常検知装置 | |
CA2649047A1 (en) | Method and apparatus for large-scale automated distributed denial of service attack detection | |
JP2007179131A (ja) | イベント検出システム、管理端末及びプログラムと、イベント検出方法 | |
CN106534068B (zh) | 一种ddos防御系统中清洗伪造源ip的方法和装置 | |
US20150264071A1 (en) | Analysis system and analysis apparatus | |
US9992081B2 (en) | Scalable generation of inter-autonomous system traffic relations | |
WO2015168611A1 (en) | Method and system for confident anomaly detection in computer network traffic | |
JP5963974B2 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
KR102055363B1 (ko) | 트래픽 분류를 이용하여 이상 탐지를 수행하기 위한 시스템 | |
WO2016125630A1 (ja) | 評価装置、評価方法、及び記録媒体 | |
JP2008118242A (ja) | 異常トラヒック検出方法およびその装置およびプログラム | |
JP4422176B2 (ja) | トラフィック量変化原因特定方法、システム、プログラム、及び記録媒体 | |
JP4985435B2 (ja) | 監視分析装置、方法、及び、プログラム | |
TWI704782B (zh) | 骨幹網路異常流量偵測方法和系統 | |
US11895146B2 (en) | Infection-spreading attack detection system and method, and program | |
JP4559462B2 (ja) | 通信関係構造変化による異常検出方法、装置、プログラム、および記録媒体 | |
US20120110665A1 (en) | Intrusion Detection Within a Distributed Processing System | |
WO2017206499A1 (zh) | 网络攻击检测方法以及攻击检测装置 | |
CN106817268B (zh) | 一种ddos攻击的检测方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170224 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171220 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180116 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180305 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180327 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180330 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6317685 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |