JP6317685B2 - 通信監視システム、通信監視方法およびプログラム - Google Patents
通信監視システム、通信監視方法およびプログラム Download PDFInfo
- Publication number
- JP6317685B2 JP6317685B2 JP2015023271A JP2015023271A JP6317685B2 JP 6317685 B2 JP6317685 B2 JP 6317685B2 JP 2015023271 A JP2015023271 A JP 2015023271A JP 2015023271 A JP2015023271 A JP 2015023271A JP 6317685 B2 JP6317685 B2 JP 6317685B2
- Authority
- JP
- Japan
- Prior art keywords
- graph
- shape
- result
- aggregation
- abnormality
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ネットワークの監視に用いて好適な通信監視システム、通信監視方法およびプログラムに関する。
ネットワークサービスに対しては、サービスの機能を低下させることを目的とした様々な攻撃が加えられることがある。この種の攻撃を検出するために、トラフィック量を時系列で監視し、トラフィックが想定以上に増加した場合に「攻撃を受けている可能性が高い」と判断する技術が知られている。
しかし、トラフィック量の総量の変化を発見するだけでは、如何なる原因でその変化が生じているのか判別し難く、現状把握・対策を行うことが難しくなる。トラフィック量の変化に対する対策を実行するには、トラフィック量の変化を起こした原因トラフィックを特定することが望ましい。このため、特許文献1では、送信元IPアドレス毎、あるいは一群の送信元IPアドレスからなる送信元IPアドレス範囲毎にトラフィック量を監視することにより、トラフィック量の総量の変化の原因となったトラフィックを特定する技術が開示されている。
しかし、ネットワークサービスに対する攻撃の手口は巧妙化しつつあり、単純に送信元IPアドレス単位でトラフィック量の変化を監視するだけでは、異常を検出することは困難になりつつある。
この発明は上述した事情に鑑みてなされたものであり、ネットワークサービスに対する攻撃に基づく異常状態を高確率で検出できる通信監視システム、通信監視方法およびプログラムを提供することを目的とする。
この発明は上述した事情に鑑みてなされたものであり、ネットワークサービスに対する攻撃に基づく異常状態を高確率で検出できる通信監視システム、通信監視方法およびプログラムを提供することを目的とする。
上記課題を解決するため本発明にあっては、下記構成を有することを特徴とする。
請求項1記載の通信監視システムにあっては、一群のIPパケットに対する情報であるフロー情報を受信すると、該フロー情報の識別子毎に集計対象量を集計し、前記集計対象量の集計結果を該集計結果に基づいてソートし、ソート後の前記集計結果のグラフ形状を求める計算手段と、所定の基準グラフの形状と、前記計算手段によって求められたグラフ形状とを比較するグラフ形状比較手段と、前記グラフ形状比較手段における比較結果に基づいて、前記集計対象量の異常の有無を判定する異常判定手段と、を有することを特徴とする。
請求項1記載の通信監視システムにあっては、一群のIPパケットに対する情報であるフロー情報を受信すると、該フロー情報の識別子毎に集計対象量を集計し、前記集計対象量の集計結果を該集計結果に基づいてソートし、ソート後の前記集計結果のグラフ形状を求める計算手段と、所定の基準グラフの形状と、前記計算手段によって求められたグラフ形状とを比較するグラフ形状比較手段と、前記グラフ形状比較手段における比較結果に基づいて、前記集計対象量の異常の有無を判定する異常判定手段と、を有することを特徴とする。
この構成によれば、基準グラフの形状と、計算手段によって求められたグラフ形状との比較結果に基づいて異常の有無を判定できるので、攻撃に基づく異常状態を高確率で検出することができる。さらに、例えば識別子が動的IPアドレスである場合等、識別子と統計単位との関連性が一意でない場合においても、グラフ形状の全体的傾向に基づいて、集計対象量の異常の有無を検出することができる。
さらに、請求項2記載の構成にあっては、請求項1に記載の通信監視システムにおいて、前記グラフ形状比較手段は、前記基準グラフの形状と、前記計算手段によって求められたグラフ形状との類似度を計算するものであり、前記異常判定手段は、前記類似度と、所定の閾値との大小関係を比較することによって前記集計対象量の異常の有無を判定するものであることを特徴とする。
この構成によれば、グラフ形状比較手段は類似度を計算し、異常判定手段は、類似度と所定の閾値との大小関係を比較することによって集計対象量の異常の有無を判定することができる。
さらに、請求項3記載の構成にあっては、請求項1または2に記載の通信監視システムにおいて、前記計算手段は、特定の送信元IPアドレスと特定の送信元ポート番号とを有するIPパケットに係るフロー情報に対して、前記識別子を送信先IPアドレスとして、集計を行うものであることを特徴とする。
この構成によれば、特定の送信元IPアドレスと特定の送信元ポート番号とを有するIPパケットのうち、送信先IPアドレスを識別子とするグラフ形状に基づいて、異常状態を検出するので、集計対象量の異常の有無を一層精密に判定することができる。
さらに、請求項4記載の構成にあっては、請求項1ないし3の何れか一項に記載の通信監視システムにおいて、前記集計対象量は、前記フロー情報に示されたフローのバイト数、前記フローのパケット数、または前記フローの流れた時間のうち何れかであることを特徴とする。
この構成によれば、フローのバイト数、フローのパケット数、またはフローの流れた時間のうち何れかに起因してグラフ形状が変化するので、フローのバイト数、フローのパケット数、またはフローの流れた時間に基づいて、集計対象量の異常の有無を検出することができる。
さらに、請求項5記載の構成にあっては、請求項2に記載の通信監視システムにおいて、前記グラフ形状比較手段は、前記類似度として、コサイン類似度またはマハラノビス距離を計算するものであることを特徴とする。
この構成によれば、コサイン類似度またはマハラノビス距離に基づいて、集計対象量の異常の有無を検出することができる。
また、請求項6記載の通信監視方法にあっては、一群のIPパケットに対する情報であるフロー情報を受信する過程と、該フロー情報の識別子毎に集計対象量を集計し、前記集計対象量の集計結果を該集計結果に基づいてソートし、ソート後の前記集計結果のグラフ形状を求める過程と、所定の基準グラフの形状と、前記集計結果のグラフ形状とを比較する過程と、前記基準グラフの形状と前記集計結果のグラフ形状との比較結果に基づいて、前記集計対象量の異常の有無を判定する過程とを有することを特徴とする。
また、請求項7記載のプログラムにあっては、コンピュータを、一群のIPパケットに対する情報であるフロー情報を受信すると、該フロー情報の識別子毎に集計対象量を集計し、前記集計対象量の集計結果を該集計結果に基づいてソートし、ソート後の前記集計結果のグラフ形状を求める計算手段、所定の基準グラフの形状と、前記計算手段によって求められたグラフ形状とを比較するグラフ形状比較手段、前記グラフ形状比較手段における比較結果に基づいて、前記集計対象量の異常の有無を判定する異常判定手段、として機能させるためのものであることを特徴とする。
請求項6に係る方法および請求項7に係るプログラムによれば、請求項1と同様に、基準グラフの形状と、計算手段によって求められたグラフ形状との比較結果に基づいて異常の有無を判定できるので、攻撃に基づく異常状態を高確率で検出することができる。さらに、例えば識別子が動的IPアドレスである場合等、識別子と統計単位との関連性が一意でない場合においても、グラフ形状の全体的傾向に基づいて、集計対象量の異常の有無を検出することができる。
このように、本発明によれば、ネットワークサービスに対する攻撃に基づく異常状態を高確率で検出することができる。
[実施形態の原理]
<フロー情報>
まず、本実施形態の原理を説明する。ある送信元IPアドレスからある送信先IPアドレスに伝送される一連のIPパケットの集合をフローと呼び、フローの様々なパラメータをフロー情報と呼ぶ。本実施形態においては、ネットワークの状態を監視するため、フロー情報を利用する。
<フロー情報>
まず、本実施形態の原理を説明する。ある送信元IPアドレスからある送信先IPアドレスに伝送される一連のIPパケットの集合をフローと呼び、フローの様々なパラメータをフロー情報と呼ぶ。本実施形態においては、ネットワークの状態を監視するため、フロー情報を利用する。
フロー情報には、例えば、unix_secs:フローが届いた時間、sysUpTime:エクスポータ(フロー情報を送信する装置)が起動してから経過した時間、exaddr:エクスポータのIPアドレス、dpkts:フローのパケット数、doctets:フローのバイト数、first:フローの開始時刻、last:フローの終了時刻、srcaddr:送信元IPアドレス、dstaddr:送信先IPアドレス、nexthop:ネクストホップ、input:エクスポータの受信IF、output:エクスポータの送信IF、srcport:送信元ポート番号、dstport:送信先ポート番号、prot:プロトコル種別、tos:通信サービスの種別、tcp_flags:TCP通信に含まれるTCP FLAG制御情報、src_mask:送信元IPのネットマスク、dst_mask:送信先IPのネットマスク、src_as:送信元AS(自律システム)番号、dst_as:送信先AS(自律システム)番号等が含まれる。
なお、上述したフロー情報は一例であり、これら以外に、NetFlow(登録商標)、sFlow(登録商標)、AppFlow(登録商標)、NetStream (登録商標)、RFC3954等に規定されているフロー情報を適用してもよい。
<異常検出の原理>
ネットワーク上のサーバ機に対して攻撃が仕掛けられた際、フロー情報において様々な変化が生じる。その変化は、一定時間内に伝送される通信データ量(例えば、doctets:フローのバイト数の集計値)として現れる場合がある。ある送信元IPアドレス(サーバ機のアドレス)からある時間帯に送信された通信データ量を送信先IPアドレスdstIP_1〜dstIP_10(クライアント機のアドレス)毎に集計し、グラフにした結果を図1(a)に示す。図1(a)における通信データ量の分布が正常時のものであるとする。また、他の時間帯において同一の送信元IPアドレスから同一の送信先IPアドレスdstIP_1〜dstIP_10に送信された通信データ量を集計し、グラフにした結果を図1(b)に示す。
ネットワーク上のサーバ機に対して攻撃が仕掛けられた際、フロー情報において様々な変化が生じる。その変化は、一定時間内に伝送される通信データ量(例えば、doctets:フローのバイト数の集計値)として現れる場合がある。ある送信元IPアドレス(サーバ機のアドレス)からある時間帯に送信された通信データ量を送信先IPアドレスdstIP_1〜dstIP_10(クライアント機のアドレス)毎に集計し、グラフにした結果を図1(a)に示す。図1(a)における通信データ量の分布が正常時のものであるとする。また、他の時間帯において同一の送信元IPアドレスから同一の送信先IPアドレスdstIP_1〜dstIP_10に送信された通信データ量を集計し、グラフにした結果を図1(b)に示す。
図1(a),(b)のグラフ形状を比較すると、同図(b)のものは同図(a)のものと比較して、送信先IPアドレスdstIP_2に対する通信データ量が際立って高いことが解る。この場合、送信先IPアドレスdstIP_2に対応するクライアント機からサーバ機に対して、なんらかの攻撃が仕掛けられている可能性が高いと考えられる。このように、通信データ量等、フロー情報に基づいて得られる値(以下、集計対象量という)を集計するとともにグラフ化し、時間帯毎にグラフ形状を比較することにより、フロー情報の異常を検出することが可能になる。
<集計対象フロー、集計対象量の選択>
集計対象とするフロー(以下、集計対象フローという)は、特定のサービスのフローのみに限定することが望ましい場合がある。その場合は、特定のサービスに対応するポート番号(srcport:送信元ポート番号、またはdstport:送信先ポート番号)を有するフローのみを切り出し、送信元、送信先毎に集計対象量(例えば通信データ量)を取得するとよい。「集計対象量」として上述の例では「通信データ量(バイト数)」を採用したが、集計対象量として「フロー数」等を採用してもよい。これは、DDoS攻撃(Distributed Denial of Service attack)等が行われる場合は、「バイト数」がさほど増加しなかったとしても、「フロー数」等が顕著に増加する場合があるためである。
集計対象とするフロー(以下、集計対象フローという)は、特定のサービスのフローのみに限定することが望ましい場合がある。その場合は、特定のサービスに対応するポート番号(srcport:送信元ポート番号、またはdstport:送信先ポート番号)を有するフローのみを切り出し、送信元、送信先毎に集計対象量(例えば通信データ量)を取得するとよい。「集計対象量」として上述の例では「通信データ量(バイト数)」を採用したが、集計対象量として「フロー数」等を採用してもよい。これは、DDoS攻撃(Distributed Denial of Service attack)等が行われる場合は、「バイト数」がさほど増加しなかったとしても、「フロー数」等が顕著に増加する場合があるためである。
また、同様の理由により、集計対象量として「dpkts:フローのパケット数」を採用してもよく、フローの流れた時間(「first:フローの開始時刻」と「last:フローの終了時刻」との差)を採用してもよい。集計対象量は「統計単位」毎に分類され集計される。ここで統計単位とは例えば「クライアント機」である。そして、統計単位は、「識別子」によって区別される。識別子とは、図1に示した例では、ユーザのIPアドレス(送信先IPアドレスdstIP)である。しかし、統計単位を識別できる他の情報(例えばクライアント機の端末ID)を「識別子」として採用することもできる。
<ソート後の形状比較>
図1に示した例においてグラフの横軸は、送信先IPアドレスdstIP_1〜dstIP_10を単に番号順に配列したものであったが、縦軸すなわち集計対象量の集計結果(例えば通信データ量)で横軸をソートすることが望ましい場合がある。これは、例えば、識別子である送信先IPアドレスが動的IPアドレスである場合等、識別子と統計単位との関連性が一意ではない場合である。
図1に示した例においてグラフの横軸は、送信先IPアドレスdstIP_1〜dstIP_10を単に番号順に配列したものであったが、縦軸すなわち集計対象量の集計結果(例えば通信データ量)で横軸をソートすることが望ましい場合がある。これは、例えば、識別子である送信先IPアドレスが動的IPアドレスである場合等、識別子と統計単位との関連性が一意ではない場合である。
クライアント機の個々の利用状況および稼働状況を考察すると、いわゆるヘビーユーザであれば通信データ量は多く、いわゆるライトユーザであれば少ないといった定常性があると考えられる。そして、ヘビーユーザとライトユーザの人数割合は急激には変わらず、ほぼ一定であると考えられる。すると、通信データ量の大きい順(または小さい順)にグラフの横軸をソートし、グラフ形状を求めておくと、正常状態において送信先IPアドレスが変動したとしても、グラフ形状の全体的傾向は大きく変わらないものと考えられる。
換言すると、縦軸を通信データ量とし横軸を動的IPアドレスとしたグラフを、縦軸の通信データ量の降順でソートしたときのグラフ形状は、クライアントの個々の通信データ量とヘビーユーザ:ライトユーザの割合で決まるため、定常性があると考えられる。このように、識別子と統計単位との関連性が一意ではない場合には、ソート後のグラフ形状について監視を行うことが望ましい。
図2(a)は、ある時刻t1から所定時間が経過するまでの間に、所定の送信元IPアドレスsrcIPから所定の送信元ポート番号srcPortを介して送信された通信データ量を、送信先IPアドレスdstIP_11〜dstIP_20毎に集計し、グラフにした一例である。送信元IPアドレスはコンテンツを提供するサーバ機のIPアドレスであり、コンテンツの大きさには、大小様々なものがあるため、送信先IPアドレスdstIP_11〜dstIP_20毎に通信データ量はばらついている。図2(a)のグラフを通信データ量で降順にソートした結果を図2(b)に示す。同図において、ソート後のグラフのなす形状は、曲線202によって近似することができる。
また、図2(c)は、他の時刻t2から所定時間が経過するまでの間に、同一の送信元IPアドレスsrcIPから同一の送信元ポート番号srcPortを介して送信された通信データ量を、送信先IPアドレスdstIP_21〜dstIP_30毎に集計し、グラフにした一例である。なお、図2(a),(b)に示した送信先IPアドレスdstIP_11〜dstIP_20と、図2(c)に示した送信先IPアドレスdstIP_21〜dstIP_30とは、全く同一の場合もあれば、全て異なる場合や一部が重複する場合もある。また、図2(c)のグラフを通信データ量で降順にソートした結果を図2(d)に示す。同図において、ソート後のグラフのなす形状は、曲線204によって近似することができる。
図2(b),(d)の曲線202,204を比較すると、曲線202は横軸に対してなだらかに変化しているのに対して、曲線204は横軸に対して略クランク状に変化していることが解る。後者のケースは、特にデータ量の大きいコンテンツに対して、比較的多数のクライアント機が集中してアクセスした結果であり、これは何らかの異常が生じている(攻撃が仕掛けられている)可能性が高いと判断することができる。
このように、個々の送信先IPアドレスが動的に変動する場合であったとしても、
(1)データ切り出し条件(例えばsrcIP,srcPort)を用いて、集計対象フローの切り出しを行うこと(フィルタリング)、
(2)集計対象フローに対して、識別子(例えば送信先IPアドレスdstIP)によって区別される統計単位(例えばクライアント機)ごとに集計対象量(例えば通信データ量)の集計を行うこと
(3)集計対象量の集計結果でソートした後のグラフ形状を比較すること(正常時は類似したグラフ形状になると想定する)
という段階を経ることにより、異常の有無を判別できる。
(1)データ切り出し条件(例えばsrcIP,srcPort)を用いて、集計対象フローの切り出しを行うこと(フィルタリング)、
(2)集計対象フローに対して、識別子(例えば送信先IPアドレスdstIP)によって区別される統計単位(例えばクライアント機)ごとに集計対象量(例えば通信データ量)の集計を行うこと
(3)集計対象量の集計結果でソートした後のグラフ形状を比較すること(正常時は類似したグラフ形状になると想定する)
という段階を経ることにより、異常の有無を判別できる。
<基準グラフの選択方法>
あるグラフ形状を「正常」であるとみなし、他のグラフ形状の異常の有無を判別する基準とするとき、その「正常」とみなしたグラフを「基準グラフ」と呼ぶ。基準グラフは、ある特定の時刻(図2の例では時刻t1)のグラフとすることができる。また、ある特定の期間のグラフ形状の平均を基準グラフにすることもできる。また、刻々と変化するグラフ形状の移動平均を基準グラフにしてもよい。
あるグラフ形状を「正常」であるとみなし、他のグラフ形状の異常の有無を判別する基準とするとき、その「正常」とみなしたグラフを「基準グラフ」と呼ぶ。基準グラフは、ある特定の時刻(図2の例では時刻t1)のグラフとすることができる。また、ある特定の期間のグラフ形状の平均を基準グラフにすることもできる。また、刻々と変化するグラフ形状の移動平均を基準グラフにしてもよい。
<グラフ形状の比較方法>
次に、グラフ形状の比較方法について説明する。比較方法として、グラフをディスプレイ等に表示し人間の目視により比較する方法も考えられるが、ここではコンピュータ等を用いて自動的に比較する方法について説明する。
次に、グラフ形状の比較方法について説明する。比較方法として、グラフをディスプレイ等に表示し人間の目視により比較する方法も考えられるが、ここではコンピュータ等を用いて自動的に比較する方法について説明する。
まず、コサイン類似度を用いた比較方法を説明する。
グラフ上の監視する範囲を決めて、それぞれのデータの識別子(図2の例においては送信先IPアドレスdstIP)を1,2,3,・・・nのように振り直す。そして、ある時刻t0のデータを正常時のデータ(すなわち基準グラフ)とし、その配列を
Xn(t0)=(x1(t0),x2(t0),・・・xn(t0))
とする。比較対象とする時刻tのデータ配列も同様に
Xn(t)=(x1(t),x2(t),・・・xn(t) )
とする。
グラフ上の監視する範囲を決めて、それぞれのデータの識別子(図2の例においては送信先IPアドレスdstIP)を1,2,3,・・・nのように振り直す。そして、ある時刻t0のデータを正常時のデータ(すなわち基準グラフ)とし、その配列を
Xn(t0)=(x1(t0),x2(t0),・・・xn(t0))
とする。比較対象とする時刻tのデータ配列も同様に
Xn(t)=(x1(t),x2(t),・・・xn(t) )
とする。
配列Xn(t0)と配列Xn(t)とのコサイン類似度Kは、
K=Xn(t0)・Xn(t)/(|Xn(t0)||Xn(t)|)
によって得られる。従って、コサイン類似度Kを随時求めてゆき、コサイン類似度Kが所定の閾値Kth未満になった場合に、異常が発生したと判断することができる。図3(a)〜(c)は、それぞれ時刻t0,t1,t2における通信データ量をソートしたグラフであり、図3(a)の時刻t0におけるグラフが基準グラフ206であるとする。図3(b)のグラフは、基準グラフ206に近似しているため、コサイン類似度Kが大きくなり、時刻t1の状態は正常であると考えられる。一方、図3(c)のグラフは、基準グラフ206とは大きく相違し、コサイン類似度Kが小さくなるので、異常が生じたものと判断される。
K=Xn(t0)・Xn(t)/(|Xn(t0)||Xn(t)|)
によって得られる。従って、コサイン類似度Kを随時求めてゆき、コサイン類似度Kが所定の閾値Kth未満になった場合に、異常が発生したと判断することができる。図3(a)〜(c)は、それぞれ時刻t0,t1,t2における通信データ量をソートしたグラフであり、図3(a)の時刻t0におけるグラフが基準グラフ206であるとする。図3(b)のグラフは、基準グラフ206に近似しているため、コサイン類似度Kが大きくなり、時刻t1の状態は正常であると考えられる。一方、図3(c)のグラフは、基準グラフ206とは大きく相違し、コサイン類似度Kが小さくなるので、異常が生じたものと判断される。
また、比較方法の他の例として、多変量正規分布を推定すること、すなわちマハラノビス距離を求める方法を説明する。
コサイン類似度を用いる場合と同様に、ある時刻tのデータ配列を
Xn(t)=(x1(t),x2(t),・・・xn(t) )
とする。忘却係数をrとすると、配列Xn(t)の平均値(指数移動平均)μ(t)および分散行列Cij(t)は、
μ(t)=(1−r)μ(t−1)+rXn (t)
Cij(t)=(1−r)Cij(t−1)+r(Xi(t)−μi(t))(Xj(t)−μj(t))
によって得られる。
コサイン類似度を用いる場合と同様に、ある時刻tのデータ配列を
Xn(t)=(x1(t),x2(t),・・・xn(t) )
とする。忘却係数をrとすると、配列Xn(t)の平均値(指数移動平均)μ(t)および分散行列Cij(t)は、
μ(t)=(1−r)μ(t−1)+rXn (t)
Cij(t)=(1−r)Cij(t−1)+r(Xi(t)−μi(t))(Xj(t)−μj(t))
によって得られる。
これら平均値μ(t)と分散行列Cij(t)とから、マハラノビス距離Pを計算するとよい。マハラノビス距離Pは、小さいほど類似度が高いため、大きいほど異常度が高くなると言える。従って、得られたマハラノビス距離Pを閾値Pthと比較し、マハラノビス距離Pが閾値Pth以上になった場合に、異常が発生したと判断することができる。
図4(a),(b)は、それぞれ過去の時刻t1,t2における通信データ量をソートしたグラフであり、基準グラフは、これら過去のグラフ形状の移動平均によって求められるものとする。図4(c)は、現在時刻tにおける通信データ量をソートしたグラフであり、そのグラフ形状は、図4(a),(b)に示した過去のグラフ形状からは大きく相違するため、基準グラフに対するマハラノビス距離Pも大きくなるため、異常が生じたものと判断される。
[実施形態の構成]
次に、図5に示すブロック図を参照し、本実施形態によるデータ通信システムの構成を説明する。
図5において、n台のクライアント機2−1〜2−nは、インターネット等のWAN(広域ネットワーク、Wide Area Network)4に接続されている。また、m台のサーバ機8−1〜8−mはデータセンタ等に配置され、ネットワークスイッチ6を介してWAN4に接続されている。ネットワークスイッチ6は、クライアント機2−1〜2−nおよびサーバ機8−1〜8−m間のIPパケットを仲介するとともに、これらIPパケットの各種トラフィック情報を収集し、その結果をフロー情報として外部に出力する。
次に、図5に示すブロック図を参照し、本実施形態によるデータ通信システムの構成を説明する。
図5において、n台のクライアント機2−1〜2−nは、インターネット等のWAN(広域ネットワーク、Wide Area Network)4に接続されている。また、m台のサーバ機8−1〜8−mはデータセンタ等に配置され、ネットワークスイッチ6を介してWAN4に接続されている。ネットワークスイッチ6は、クライアント機2−1〜2−nおよびサーバ機8−1〜8−m間のIPパケットを仲介するとともに、これらIPパケットの各種トラフィック情報を収集し、その結果をフロー情報として外部に出力する。
フロー監視装置100は、ネットワークスイッチ6から出力されるフロー情報に基づいて、異常なトラフィックを検出するものであり、情報保存部110と、演算部120と、入出力部130とを有している。情報保存部110は、ソートルール保存部111、データ範囲保存部112、忘却係数保存部113、閾値保存部114、データ保存部115および異常判定結果保存部116を有している。
また、演算部120は、データソート計算手段121と、グラフ形状比較手段122と、異常判定手段123とを有している。また、入出力部130は、設定入力部131と、データ入力部132と、異常判定結果出力部133とを有している。なお、フロー監視装置100は、実際には汎用コンピュータによって構成され、演算部120は、CPU(Central Processing Unit)と、該CPUにて実行されるプログラム(詳細は後述する)とによって実現される。情報保存部110は、該コンピュータに備わった、ハードディスク、半導体メモリ等によって構成され、入出力部130は該コンピュータに備わった入出力インタフェース等によって構成されている。
情報保存部110内に設けられたソートルール保存部111は、ソートルールを保存する。ここで、ソートルールとは、集計対象量の集計結果のソートを行う場合のソートの仕方を規定するものである。また、データ範囲保存部112は、処理対象とするフロー情報の範囲を示すデータを記憶する。また、忘却係数保存部113は、移動平均を算出する場合に用いられる忘却係数rを記憶する。また、閾値保存部114は、処理に用いられる閾値(上述したコサイン類似度Kに対する閾値Kth、マハラノビス距離Pに対する閾値Pth等)を記憶する。設定入力部131は、ユーザの操作に基づいて、上述した保存部111〜114に対応するデータを記憶させる。
データ入力部132は、ネットワークスイッチ6からフロー情報を受信し、受信したフロー情報を識別子(例えば送信先IPアドレスdstIP)によって区別される統計単位(クライアント機2−1〜2−n)毎に分類し、所定時間毎にデータソート計算手段121に供給する。データソート計算手段121は、保存部111〜114に記憶されたデータに基づいて、必要に応じてフロー情報をソートした後にグラフを生成し、そのグラフ形状をデータ保存部115に記憶させる。これにより、データ保存部115には、上記所定時間毎の複数のグラフ形状が記憶される。また、データ保存部115には、基準グラフの形状も記憶される。上述したように、基準グラフは、ある特定の時刻におけるグラフ、ある特定の期間のグラフ形状の平均、またはグラフ形状の移動平均のうち何れであってもよい。
グラフ形状比較手段122は、基準グラフの形状と最新のグラフ形状との類似度(例えば上述したコサイン類似度K、マハラノビス距離P)を計算する。異常判定手段123は、計算した類似度に基づいて、異常が発生したか否かを判定し、異常が発生した場合には、その内容を異常判定結果保存部116に記憶させるとともに、異常判定結果出力部133を介して出力する。
[実施形態の動作]
<非ソートモード>
次に、本実施形態の動作を説明する。
本実施形態の動作モードには、集計対象量の集計結果のソートを行うソートモードと、ソートを行わない非ソートモードとがある。まず、図6のフローチャートを参照し、非ソートモードにおける動作を説明する。なお、図6は、非ソートモードにおいて所定時間毎に実行されるプログラムである非ソートモード処理ルーチンのフローチャートである。
<非ソートモード>
次に、本実施形態の動作を説明する。
本実施形態の動作モードには、集計対象量の集計結果のソートを行うソートモードと、ソートを行わない非ソートモードとがある。まず、図6のフローチャートを参照し、非ソートモードにおける動作を説明する。なお、図6は、非ソートモードにおいて所定時間毎に実行されるプログラムである非ソートモード処理ルーチンのフローチャートである。
図6において処理がステップS2に進むと、データ入力部132によって、ネットワークスイッチ6から集計対象フローのフロー情報が取得される。次に、処理がステップS4に進むと、データ入力部132は、集計対象フローの全てのフロー情報を取得したか否かを判定する。ここで「No」と判定されると、処理はステップS2に戻り、フロー情報の取得が続行される。
集計対象フローの全てのフロー情報が取得されると、ステップS4において「Yes」と判定され、処理はステップS6に進む。ここでは、設定された範囲(例えば、特定の送信元IPアドレスsrcIPと特定の送信元ポート番号srcPortとを有する範囲)の集計対象量(例えばデータ量)が、識別子(例えば送信先IPアドレスdstIP)毎にデータソート計算手段121によって集計され、集計結果がグラフ化されるとともに、そのグラフ形状がデータ保存部115に記憶される。次に、処理がステップS8に進むと、グラフ形状比較手段122によって、データ保存部115から、過去に取得した基準グラフが読み出される。次に、処理がステップS10に進むと、ステップS6にて新たに作成されたグラフと、基準グラフとの類似度がグラフ形状比較手段122によって、算出される。
次に、処理がステップS12に進むと、計算した類似度と閾値との比較結果に基づいて、異常の有無が検出され、異常が検出された場合は、異常判定手段123によって、異常判定結果出力部133を介して警報が出力されるとともに、その旨が異常判定結果保存部116に記憶される。以上により、図6の処理が終了する。
<ソートモード>
次に、図7を参照し、集計対象量の集計結果のソートを行うソートモードにおける動作を説明する。なお、図7は、ソートモードにおいて所定時間毎に実行されるプログラムであるソートモード処理ルーチンのフローチャートである。
次に、図7を参照し、集計対象量の集計結果のソートを行うソートモードにおける動作を説明する。なお、図7は、ソートモードにおいて所定時間毎に実行されるプログラムであるソートモード処理ルーチンのフローチャートである。
図7において処理がステップS22に進むと、データ入力部132によって、ネットワークスイッチ6から集計対象フローのフロー情報が取得される。次に、処理がステップS24に進むと、データ入力部132は、集計対象フローの全てのフロー情報を取得したか否かを判定する。ここで「No」と判定されると、処理はステップS22に戻り、フロー情報の取得が続行される。
集計対象フローの全てのフロー情報が取得されると、ステップS24において「Yes」と判定され、処理はステップS26に進む。ここでは、データソート計算手段121によって、ソートルール保存部111からソートルールが読み出される。そして、データソート計算手段121においては、設定された範囲(例えば、特定の送信元IPアドレスsrcIPと特定の送信元ポート番号srcPortとを有する範囲)の集計対象量(例えばデータ量)が、識別子(例えば送信先IPアドレスdstIP)毎にデータソート計算手段121によって集計され、その集計結果がソートルールに従ってソートされる。次に、処理がステップS28に進むと、ソートが完了したか否かが判定される。ここで「No」と判定されると、処理はステップS24に戻る。
一方、ステップS28において「Yes」と判定されると、処理はステップS30に進む。ここでは、ソートされた集計結果がデータソート計算手段121によってグラフ化され、データ保存部115に記憶される。次に、次に、処理がステップS34に進むと、グラフ形状比較手段122によって、データ保存部115から、過去に取得した基準グラフが読み出される。さらに、ステップS34においては、ステップS30にて新たに作成されたグラフと基準グラフとの類似度が、グラフ形状比較手段122によって算出される。
次に、処理がステップS36に進むと、計算した類似度と閾値との比較結果に基づいて、異常の有無が検出され、異常が検出された場合は、異常判定手段123によって、異常判定結果出力部133を介して警報が出力されるとともに、その旨が異常判定結果保存部116に記憶される。以上により、図7の処理が終了する。
以上のように、本実施形態によれば、集計対象量(例えばデータ量)が、識別子(例えば送信先IPアドレスdstIP)毎にデータソート計算手段121によって集計され、集計結果または集計結果をソートした結果に基づくグラフ形状と、基準グラフの形状とが比較され、比較結果に応じて異常の有無が判定されるので、ネットワークサービスに対する攻撃に基づく異常状態を高確率で検出することができる。
[変形例]
本発明は上述した実施形態に限定されるものではなく、種々の変形が可能である。上述した実施形態は本発明を理解しやすく説明するために例示したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施形態の構成の一部を他の実施形態の構成に置き換えることが可能であり、また、ある実施形態の構成に他の実施形態の構成を加えることも可能である。また、各実施形態の構成の一部について削除し、若しくは他の構成の追加・置換をすることが可能である。上記実施形態に対して可能な変形は、例えば以下のようなものである。
本発明は上述した実施形態に限定されるものではなく、種々の変形が可能である。上述した実施形態は本発明を理解しやすく説明するために例示したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施形態の構成の一部を他の実施形態の構成に置き換えることが可能であり、また、ある実施形態の構成に他の実施形態の構成を加えることも可能である。また、各実施形態の構成の一部について削除し、若しくは他の構成の追加・置換をすることが可能である。上記実施形態に対して可能な変形は、例えば以下のようなものである。
(1)上記実施形態においては、「類似度」の例としてコサイン類似度とマハラノビス距離とを例示したが、「類似度」はこれらに限られるものではなく、グラフ形状の違いを表すことができる種々の値を採用することができる。
(2)上記実施形態におけるフロー監視装置100のハードウエアは一般的なコンピュータによって実現できるため、図6、図7に示したプログラムのみを記憶媒体に格納し、または伝送路を介して頒布してもよい。
(2)上記実施形態におけるフロー監視装置100のハードウエアは一般的なコンピュータによって実現できるため、図6、図7に示したプログラムのみを記憶媒体に格納し、または伝送路を介して頒布してもよい。
(3)図6、図7に示した処理は、上記実施形態ではプログラムを用いたソフトウエア的な処理として説明したが、その一部または全部をASIC(Application Specific Integrated Circuit;特定用途向けIC)、あるいはFPGA(field-programmable gate array)等を用いたハードウエア的な処理に置き換えても良い。
2−1〜2−n クライアント機
4 WAN
6 ネットワークスイッチ
8−1〜8−m サーバ機
100 フロー監視装置
110 情報保存部
111 ソートルール保存部
112 データ範囲保存部
113 忘却係数保存部
114 閾値保存部
115 データ保存部
116 異常判定結果保存部
120 演算部
121 データソート計算手段(計算手段)
122 グラフ形状比較手段
123 異常判定手段
130 入出力部
131 設定入力部
132 データ入力部
133 異常判定結果出力部
4 WAN
6 ネットワークスイッチ
8−1〜8−m サーバ機
100 フロー監視装置
110 情報保存部
111 ソートルール保存部
112 データ範囲保存部
113 忘却係数保存部
114 閾値保存部
115 データ保存部
116 異常判定結果保存部
120 演算部
121 データソート計算手段(計算手段)
122 グラフ形状比較手段
123 異常判定手段
130 入出力部
131 設定入力部
132 データ入力部
133 異常判定結果出力部
Claims (7)
- 一群のIPパケットに対する情報であるフロー情報を受信すると、該フロー情報の識別子毎に集計対象量を集計し、前記集計対象量の集計結果を該集計結果に基づいてソートし、ソート後の前記集計結果のグラフ形状を求める計算手段と、
所定の基準グラフの形状と、前記計算手段によって求められたグラフ形状とを比較するグラフ形状比較手段と、
前記グラフ形状比較手段における比較結果に基づいて、前記集計対象量の異常の有無を判定する異常判定手段と、
を有することを特徴とする通信監視システム。 - 前記グラフ形状比較手段は、前記基準グラフの形状と、前記計算手段によって求められたグラフ形状との類似度を計算するものであり、
前記異常判定手段は、前記類似度と、所定の閾値との大小関係を比較することによって前記集計対象量の異常の有無を判定するものである
ことを特徴とする請求項1に記載の通信監視システム。 - 前記計算手段は、特定の送信元IPアドレスと特定の送信元ポート番号とを有するIPパケットに係るフロー情報に対して、前記識別子を送信先IPアドレスとして、集計を行うものである
ことを特徴とする請求項1または2に記載の通信監視システム。 - 前記集計対象量は、前記フロー情報に示されたフローのバイト数、前記フローのパケット数、または前記フローの流れた時間のうち何れかである
ことを特徴とする請求項1ないし3の何れか一項に記載の通信監視システム。 - 前記グラフ形状比較手段は、前記類似度として、コサイン類似度またはマハラノビス距離を計算するものである
ことを特徴とする請求項2に記載の通信監視システム。 - 一群のIPパケットに対する情報であるフロー情報を受信する過程と、
該フロー情報の識別子毎に集計対象量を集計し、前記集計対象量の集計結果を該集計結果に基づいてソートし、ソート後の前記集計結果のグラフ形状を求める過程と、
所定の基準グラフの形状と、前記集計結果のグラフ形状とを比較する過程と、
前記基準グラフの形状と前記集計結果のグラフ形状との比較結果に基づいて、前記集計対象量の異常の有無を判定する過程と
を有することを特徴とする通信監視方法。 - コンピュータを、
一群のIPパケットに対する情報であるフロー情報を受信すると、該フロー情報の識別子毎に集計対象量を集計し、前記集計対象量の集計結果を該集計結果に基づいてソートし、ソート後の前記集計結果のグラフ形状を求める計算手段、
所定の基準グラフの形状と、前記計算手段によって求められたグラフ形状とを比較するグラフ形状比較手段、
前記グラフ形状比較手段における比較結果に基づいて、前記集計対象量の異常の有無を判定する異常判定手段、
として機能させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015023271A JP6317685B2 (ja) | 2015-02-09 | 2015-02-09 | 通信監視システム、通信監視方法およびプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015023271A JP6317685B2 (ja) | 2015-02-09 | 2015-02-09 | 通信監視システム、通信監視方法およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016146580A JP2016146580A (ja) | 2016-08-12 |
| JP6317685B2 true JP6317685B2 (ja) | 2018-04-25 |
Family
ID=56686522
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015023271A Active JP6317685B2 (ja) | 2015-02-09 | 2015-02-09 | 通信監視システム、通信監視方法およびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6317685B2 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6352990B2 (ja) | 2016-07-26 | 2018-07-04 | 株式会社Subaru | 動力伝達装置 |
| JP6718398B2 (ja) * | 2017-02-15 | 2020-07-08 | 日本電信電話株式会社 | サービス復旧装置およびサービス復旧方法 |
| JP6708575B2 (ja) * | 2017-03-01 | 2020-06-10 | 日本電信電話株式会社 | 分類装置、分類方法および分類プログラム |
| JP7377637B2 (ja) | 2019-06-28 | 2023-11-10 | 三菱重工業株式会社 | 異常検出装置、異常検出方法、及びプログラム |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4551316B2 (ja) * | 2005-11-22 | 2010-09-29 | 日本電信電話株式会社 | 中継装置および中継装置用プログラム |
| JP2008048311A (ja) * | 2006-08-21 | 2008-02-28 | Oki Electric Ind Co Ltd | ネットワーク監視システム |
| JP5298293B2 (ja) * | 2007-03-30 | 2013-09-25 | 国立大学法人九州大学 | 検出装置、検出方法、通信制御方法、履歴空間データ生産方法、及びこれらの方法をコンピュータに実行させることが可能なプログラム |
| US9065728B2 (en) * | 2011-03-03 | 2015-06-23 | Hitachi, Ltd. | Failure analysis device, and system and method for same |
-
2015
- 2015-02-09 JP JP2015023271A patent/JP6317685B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2016146580A (ja) | 2016-08-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2017163352A1 (ja) | 異常検出装置、異常検出システム、及び、異常検出方法 | |
| Jose et al. | Online measurement of large traffic aggregates on commodity switches | |
| CN112544059B (zh) | 用于网络流量分析的方法、设备和系统 | |
| US20170295196A1 (en) | Network anomaly detection | |
| JP6317685B2 (ja) | 通信監視システム、通信監視方法およびプログラム | |
| US20130340079A1 (en) | System and method for real-time reporting of anomalous internet protocol attacks | |
| JP4232828B2 (ja) | アプリケーション分類方法、ネットワーク異常検知方法、アプリケーション分類プログラム、ネットワーク異常検知プログラム、アプリケーション分類装置、ネットワーク異常検知装置 | |
| CA2649047A1 (en) | Method and apparatus for large-scale automated distributed denial of service attack detection | |
| JP2007179131A (ja) | イベント検出システム、管理端末及びプログラムと、イベント検出方法 | |
| CN106534068B (zh) | 一种ddos防御系统中清洗伪造源ip的方法和装置 | |
| US20150264071A1 (en) | Analysis system and analysis apparatus | |
| US9992081B2 (en) | Scalable generation of inter-autonomous system traffic relations | |
| WO2015168611A1 (en) | Method and system for confident anomaly detection in computer network traffic | |
| JP5963974B2 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
| KR102055363B1 (ko) | 트래픽 분류를 이용하여 이상 탐지를 수행하기 위한 시스템 | |
| WO2016125630A1 (ja) | 評価装置、評価方法、及び記録媒体 | |
| JP2008118242A (ja) | 異常トラヒック検出方法およびその装置およびプログラム | |
| JP4422176B2 (ja) | トラフィック量変化原因特定方法、システム、プログラム、及び記録媒体 | |
| JP4985435B2 (ja) | 監視分析装置、方法、及び、プログラム | |
| TWI704782B (zh) | 骨幹網路異常流量偵測方法和系統 | |
| US11895146B2 (en) | Infection-spreading attack detection system and method, and program | |
| JP4559462B2 (ja) | 通信関係構造変化による異常検出方法、装置、プログラム、および記録媒体 | |
| US20120110665A1 (en) | Intrusion Detection Within a Distributed Processing System | |
| WO2017206499A1 (zh) | 网络攻击检测方法以及攻击检测装置 | |
| CN106817268B (zh) | 一种ddos攻击的检测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170224 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171220 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180116 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180305 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180327 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180330 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6317685 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |