JP6571131B2 - パケット監視装置、パケット監視システム、パケット監視方法、及びパケット監視プログラム - Google Patents
パケット監視装置、パケット監視システム、パケット監視方法、及びパケット監視プログラム Download PDFInfo
- Publication number
- JP6571131B2 JP6571131B2 JP2017117047A JP2017117047A JP6571131B2 JP 6571131 B2 JP6571131 B2 JP 6571131B2 JP 2017117047 A JP2017117047 A JP 2017117047A JP 2017117047 A JP2017117047 A JP 2017117047A JP 6571131 B2 JP6571131 B2 JP 6571131B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- data
- normal
- map
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本開示は、パケット監視装置、パケット監視システム、パケット監視方法、及びパケット監視プログラムに関する。
不正なネットワーク接続を検出する装置が提案されている(例えば、特許文献1参照。)。特許文献1の装置は、相互に認証を行うことで、不正な装置のネットワーク接続を検出する。特許文献1の装置は、不正な装置のネットワーク接続を検出するため、正規の装置が遠隔操作ウィルスに感染しているか否かを検出することはできない問題があった。
また、遠隔操作による異常動作を検知する装置が提案されている(例えば、特許文献2参照。)。特許文献2の装置は、複数桁のビットで構成される制御信号データを収集し、各ビット位置の変化頻度を用いて異常動作を検知する。特許文献2の装置は、監視対象の全ての装置から制御信号データを送信しなければならない問題があった。
カメラ、家電製品、自動車、センサー機器等の信号処理機能を持つ装置に通信機能が搭載され、多種多様な装置からのパケットが通信ネットワークに流入するようになっている。このため、正規の装置の登録や各装置からの予め定められた制御信号データの送信を行うことは困難になっている。
そこで、本開示は、任意の装置から送信されたパケットに対し、正常であるか否かの判定を可能にすることを目的とする。
本開示に係るパケット監視装置は、
パケットデータを受信する通信部と、
受信したパケットデータのヘッダに含まれるヘッダ情報を抽出し、抽出したヘッダ情報を次元に有するベクトルデータを作成し、判定対象データとして出力するリアルタイム処理用ベクトルデータ作成部と、
正常なパケットデータの分布する正常エリア及び正常でないパケットデータの分布する異常エリアが定められている参照マップを参照し、参照マップに用いられている各ベクトルデータと前記判定対象データとのベクトル間距離を用いて前記判定対象データの前記参照マップ上の位置を求め、前記判定対象データの前記参照マップ上の位置が前記参照マップの定める正常エリア又は異常エリアのいずれかに属するかを判定するパケット判定部と、
を備える。
ここで、正常エリアおよび異常エリアは複数あっても良い。また、いずれの正常エリアあるいは異常エリアに属するかを判定してもよい。
パケットデータを受信する通信部と、
受信したパケットデータのヘッダに含まれるヘッダ情報を抽出し、抽出したヘッダ情報を次元に有するベクトルデータを作成し、判定対象データとして出力するリアルタイム処理用ベクトルデータ作成部と、
正常なパケットデータの分布する正常エリア及び正常でないパケットデータの分布する異常エリアが定められている参照マップを参照し、参照マップに用いられている各ベクトルデータと前記判定対象データとのベクトル間距離を用いて前記判定対象データの前記参照マップ上の位置を求め、前記判定対象データの前記参照マップ上の位置が前記参照マップの定める正常エリア又は異常エリアのいずれかに属するかを判定するパケット判定部と、
を備える。
ここで、正常エリアおよび異常エリアは複数あっても良い。また、いずれの正常エリアあるいは異常エリアに属するかを判定してもよい。
本開示に係るパケット監視装置では、
前記通信部の受信したパケットデータのヘッダに含まれるヘッダ情報を蓄積する記憶部と、
前記記憶部に蓄積されたヘッダ情報から作成されたベクトルデータのベクトル間距離に基づいて、各ベクトルデータが面上にプロットされているマップを作成するマップ作成部と、
前記マップ上における正常なパケットデータの分布範囲を前記正常エリアと定義し、前記マップ上における正常でないパケットデータの分布範囲を前記異常エリアと定義するエリア定義部と、
前記マップにおける前記正常エリア及び前記異常エリアを定める参照マップを作成する参照マップ作成部と、
をさらに備えていてもよい。
ここで、正常エリアおよび異常エリアは複数あっても良い。
前記通信部の受信したパケットデータのヘッダに含まれるヘッダ情報を蓄積する記憶部と、
前記記憶部に蓄積されたヘッダ情報から作成されたベクトルデータのベクトル間距離に基づいて、各ベクトルデータが面上にプロットされているマップを作成するマップ作成部と、
前記マップ上における正常なパケットデータの分布範囲を前記正常エリアと定義し、前記マップ上における正常でないパケットデータの分布範囲を前記異常エリアと定義するエリア定義部と、
前記マップにおける前記正常エリア及び前記異常エリアを定める参照マップを作成する参照マップ作成部と、
をさらに備えていてもよい。
ここで、正常エリアおよび異常エリアは複数あっても良い。
本開示に係るパケット監視システムは、本開示に係るパケット監視装置と、前記パケット監視装置からの警報情報を受信する管理装置と、を備え、
前記パケット監視装置は、前記リアルタイム処理用パケット判定部において異常パケットであると判定された場合、前記通信部が警報情報を前記管理装置に送信する。
前記パケット監視装置は、前記リアルタイム処理用パケット判定部において異常パケットであると判定された場合、前記通信部が警報情報を前記管理装置に送信する。
本開示に係るパケット監視方法は、
通信部がパケットデータを受信すると、リアルタイム処理用ベクトルデータ作成部が、前記パケットデータのヘッダに含まれるヘッダ情報を抽出し、抽出したヘッダ情報を次元に有するベクトルデータを作成し、判定対象データとして出力するリアルタイム処理用ベクトルデータ作成手順と、
パケット判定部が、正常なパケットデータの分布する正常エリア及び正常でないパケットデータの分布する異常エリアが定められている参照マップを参照し、参照マップに用いられている各ベクトルデータと前記判定対象データとのベクトル間距離を用いて前記判定対象データの前記参照マップ上の位置を求め、前記判定対象データの前記参照マップ上の位置が前記参照マップの定める正常エリア又は異常エリアのいずれかに属するかを判定するパケット判定手順と、
を実行する。
通信部がパケットデータを受信すると、リアルタイム処理用ベクトルデータ作成部が、前記パケットデータのヘッダに含まれるヘッダ情報を抽出し、抽出したヘッダ情報を次元に有するベクトルデータを作成し、判定対象データとして出力するリアルタイム処理用ベクトルデータ作成手順と、
パケット判定部が、正常なパケットデータの分布する正常エリア及び正常でないパケットデータの分布する異常エリアが定められている参照マップを参照し、参照マップに用いられている各ベクトルデータと前記判定対象データとのベクトル間距離を用いて前記判定対象データの前記参照マップ上の位置を求め、前記判定対象データの前記参照マップ上の位置が前記参照マップの定める正常エリア又は異常エリアのいずれかに属するかを判定するパケット判定手順と、
を実行する。
本開示に係るパケット監視方法では、
記憶部が、前記通信部の受信したパケットデータのヘッダに含まれるヘッダ情報を蓄積する記憶手順と、
マップ作成部が、前記記憶部に蓄積されたヘッダ情報から作成されたベクトルデータのベクトル間距離に基づいて、各ベクトルデータが面上にプロットされているマップを作成するマップ作成手順と、
エリア定義部が、前記マップ上における正常なパケットデータの分布範囲を前記正常エリアと定義し、前記マップ上における正常でないパケットデータの分布範囲を前記異常エリアと定義するエリア定義手順と、
参照マップ作成部が、前記マップにおける前記正常エリア及び前記異常エリアを定める参照マップを作成する参照マップ作成手順と、
をさらに実行してもよい。
記憶部が、前記通信部の受信したパケットデータのヘッダに含まれるヘッダ情報を蓄積する記憶手順と、
マップ作成部が、前記記憶部に蓄積されたヘッダ情報から作成されたベクトルデータのベクトル間距離に基づいて、各ベクトルデータが面上にプロットされているマップを作成するマップ作成手順と、
エリア定義部が、前記マップ上における正常なパケットデータの分布範囲を前記正常エリアと定義し、前記マップ上における正常でないパケットデータの分布範囲を前記異常エリアと定義するエリア定義手順と、
参照マップ作成部が、前記マップにおける前記正常エリア及び前記異常エリアを定める参照マップを作成する参照マップ作成手順と、
をさらに実行してもよい。
本開示に係るパケット監視プログラムは、本開示に係るパケット監視装置に備わる各機能部をコンピュータに実現させるか、或いは、本開示に係るパケット監視方法に備わる各手順をコンピュータに実行させるための、プログラムである。本開示に係るパケット監視プログラムは、記録媒体に記録されていてもよいし、通信ネットワークなどの情報伝送媒体を介して流通可能であってもよい。
本開示によれば、任意の装置から送信されたパケットに対し、正常であるか否かの判定を可能にすることができる。
以下、本開示の実施形態について、図面を参照しながら詳細に説明する。なお、本開示は、以下に示す実施形態に限定されるものではない。これらの実施の例は例示に過ぎず、本開示は当業者の知識に基づいて種々の変更、改良を施した形態で実施することができる。なお、本明細書及び図面において符号が同じ構成要素は、相互に同一のものを示すものとする。
図1に、本開示に係るパケット監視システムの構成例を示す。本開示に係るパケット監視システムは、本開示に係るパケット監視装置10、端末群20、中央サーバ40、管理装置50を備える。パケット監視装置10は、コンピュータにプログラムを実行させることで、パケット監視装置10に備わる各機能部を実現させたものであってもよい。
端末群20は、通信機能を有する任意の装置群であり、例えば、PCなどの任意のコンピュータのほか、各種サーバ、カメラ、家電製品、自動車、センサー機器等を含む。管理装置50は、端末群20におけるセキュリティを管理する装置である。図1では、理解が容易になるよう、端末群20、管理装置50及び中央サーバ40などの通信ネットワーク30に備わる構成の数や機能を簡略化した例を示すが、通信ネットワーク30における構成や機能はこれに限定されない。
本開示では、各端末群20から送信されたパケットデータは、パケット監視装置10を経由し、最終的に中央サーバ40に送られる。パケット監視装置10が複数備わる場合、各端末群20から送信されたパケットデータは、複数のパケット監視装置10のうちのいずれかを経由する。
パケット監視装置10を経由させる方法は任意である。例えば、端末群20が中央サーバ40にパケットデータを送信する場合、送信先のアドレスはパケット監視装置10に設定され、その後の転送先に中央サーバ40が設定される。パケット監視装置10を経由させる方法はこれに限らず、任意の手法を用いることができる。例えばパケット監視装置10はGW31などに実装される場合もある。以下、本開示の一形態として、端末群20が中央サーバ40にパケットデータを送信する場合について説明する。
パケット監視装置10は、通信部11、ヘッダ情報読取部12、記憶部13、バッチ処理部14、リアルタイム処理部15を備える。通信部11は、端末群20から送信されたパケットデータを受信し、中央サーバ40に転送する。また、後段で述べる警報情報を管理装置50に転送する。
ヘッダ情報読取部12は、通信部11が受信したパケットデータのヘッダ情報を読み取り、記憶部13及びリアルタイム処理部15に転送する。記憶部13は、通信部11の受信したパケットデータのヘッダ情報をパケットデータの受信時刻と共に蓄積する。バッチ処理部14は、記憶部13に記憶されたヘッダ情報から生成されたベクトルデータの相互の類似性に基づいて、参照マップを作成する。リアルタイム処理部15は、通信部11におけるパケットデータの受信時に、バッチ処理部14の作成した参照マップを用いて、パケットデータが正常であるか否かをリアルタイムで判定する。
図2に、バッチ処理部14の構成の一例を示す。バッチ処理部14は、ベクトルデータ作成部41、マップ作成部42、エリア定義部43、参照マップ作成部44を備える。
図3に、リアルタイム処理部15の構成の一例を示す。リアルタイム処理部15は、ベクトルデータ作成部51、パケット判定部52、解析部53を備える。ベクトルデータ作成部51はリアルタイム処理用ベクトルデータ作成部として機能する。
本開示に係るパケット監視方法は、パケット監視装置10が、記憶手順と、バッチ処理手順と、リアルタイム処理手順と、を実行する。記憶手順では、パケット監視装置10が、通信部11の受信したパケットデータのヘッダ情報をパケットデータの受信時刻と共に蓄積する。バッチ処理手順では、パケット監視装置10がバッチ処理部14を機能させる。すなわち、バッチ処理手順では、バッチ処理部14が、参照マップ作成用ベクトルデータ作成手順と、マップ作成手順と、エリア定義手順と、参照マップ作成手順と、を実行する。リアルタイム処理手順では、パケット監視装置10がリアルタイム処理部15を機能させる。すなわち、リアルタイム処理手順では、リアルタイム処理部15が、リアルタイム処理用ベクトルデータ作成手順と、パケット判定手順と、を実行する。
ベクトルデータ作成部41は、設定されたタイミングに、予め定められたデータ量のヘッダ情報を、記憶部13から読み出す。そして、ベクトルデータ作成部41は、読み出したヘッダ情報をベクトルデータに変換する。ベクトルデータへの変換は、パケット単位であってもよいし、複数のパケットデータを組み合わせてもよい。変換後のベクトルデータは、マップ作成部42に出力される。変換後のベクトルデータは、記憶部13に記憶されてもよい。
ベクトルデータ作成部51は、通信部11が受信したパケットのヘッダ情報を、リアルタイムでベクトルデータに変換する。ベクトルデータへの変換は、パケット単位であってもよいし、複数のパケットデータを組み合わせてもよい。変換されたベクトルデータが、異常パケットであるか否かの判定対象となる判定対象データである。
ここで、バッチ処理部14においてベクトルデータ作成部41がベクトルデータに変換するタイミングは、任意であり、例えばデータ量若しくは時間又はこれらの両方によって定められる。例えば、ベクトルデータ作成部41は、記憶部13に一定数ΔMのパケットデータが新たに記憶されると、新たに記憶された一定数ΔMのパケットデータのヘッダ情報を記憶部13から読み出す。また、ベクトルデータ作成部41は、前回のヘッダ情報の読み出しから一定時間ΔTを経過すると、当該一定時間ΔTの間に記憶部13に記憶されたヘッダ情報を読み出してもよい。
ここで、ヘッダ情報は、例えば、時刻、発信元情報、送信先情報、プロトコル、パケットサイズ(正整数)、付随情報(テキスト)が例示できる。発信元情報及び送信先情報は、IP(Internet Protocol)アドレス、MAC(Media Access Control)アドレス、ドメイン、ドメインにおけるゾーンの情報を含む。プロトコルとしては、例えば、HTTP(Hypertext Transfer Protocol)、TCP(Transmission Control Protocol)、TLS(Transport Layer Security)、DNS(Domain Name System)、MQTT(Message Queue Telemetry Transport)などが例示できる。
送信先IPアドレスをベクトルデータに変換する方法としては、例えば、パケット監視装置10を通過する全体のパケットデータの送信先を次元として、個別のパケットデータの送信先IPアドレスに該当する次元値を1とする方法が考えられる。プロトコルをベクトルデータに変換する方法としては、例えばプロトコルを次元として、個別のパケットデータのプロトコルに該当する次元値を1とする方法が考えられる。
ヘッダ情報は、プロトコルを含むことが好ましい。ウィルスによって送信されたパケットデータは、正常なパケットデータとは異なるプロトコルを用いていることがある。そのため、プロトコルをベクトルデータに変換することで、ウィルスによって送信された可能性のあるパケットデータを検出できる確率が向上する。
ベクトルデータに変換する情報は、ヘッダ情報を用いて算出される統計情報であってもよい。統計情報は、ヘッダに記載されている情報に依らない単位時間に通過するパケット数又はパケットサイズ、及び、特定の特性を有するパケットデータについてのパケット数又はパケットサイズを含む。単位時間は、任意に設定しても良い。
例えば、DDoS(Distributed Denial of Service attack)攻撃が発生する場合、同じ送信先に多量のパケットデータが送信される。そのため、送信先ごとの単位時間あたりのパケット数又は総パケットサイズをベクトルデータに変換することで、任意の送信先に対するDDoS攻撃の特徴を捕捉できる確率が向上する。この場合、ベクトルデータ作成部41及び51は、単位時間あたりのパケット数又は総パケットサイズを送信先ごとに求める。そして、ベクトルデータ作成部41及び51は、単位時間あたりのパケット数又は総パケットサイズをベクトルデータに変換する。
マップ作成部42は、ベクトルデータの相互の類似性をベースにマップを作成する。マップの作成は、類似性に応じて、ベクトルデータを面上にプロットすることで行う。ベクトルデータの相互の類似性は、例えば2つのベクトルの内角の大きさで定量化できる。ベクトルデータのマップ上への配置は、図4に示すように平面に配置してもよいが、球面に配置してもよい。
マップ作成部42の用いるベクトルデータは、ベクトルデータ作成部41で変換されたベクトルデータを用いてもよいし、ベクトルデータ作成部51によって生成された記憶部13に記憶されているベクトルデータを用いてもよい。記憶部13に記憶されているベクトルデータを用いることができれば、ベクトルデータ作成部41を省略することができる。
図4に、ベクトルデータを平面に配置したマップの一例を示す。マップ上には、各パケットデータを示す点が、パケットデータの類似性に応じた間隔で配置されている。例えば、類似しているパケットP11及びパケットP12は近くに配置され、類似性の少ないパケットP21とパケットP31及びP32とは遠くに配置される。マップ化は、より近いデータ同士はより正確な距離になるように配置することが好ましい。
正常なパケットデータである正常パケットの場合、ベクトルデータは互いに類似する。このため、正常パケットは互いに近傍に分布する。一方、正常でないパケットデータである異常パケットは正常パケットと類似度が低いため、正常パケット群と離れた位置に分布する。さらに、異常パケット同士でも、互いに類似しているパケット同士は近傍に配置され、異なる種類の異常パケット群は互いに分離する。一般にほとんどのパケットは正常パケットであるため、マップ上で正常パケットの占める領域が大きくなる。正常パケット領域以外の領域は何らかの異常パケットの領域である。
そこで、エリア定義部43は、マップ上における正常なパケットデータの分布範囲を正常エリアと定義し、マップ上における正常でないパケットデータの分布範囲を異常エリアと定義する。参照マップ作成部44は、マップにおける正常エリア及び異常エリアを定める参照マップを作成する。正常エリアおよび異常エリアは、複数定義してもよい。
ここで、異常エリアの定義方法としては、複数の方法が考えられる。ひとつは、エリア毎にパケットデータの内容を分析して、そのエリアの「性質」を定義する方法である。他には、過去に発生した「異常時」のパケットデータに対して参照マップ上の類似データの位置から、その類似データを含むエリアを異常エリアと定義する方法もある。
異常パケットのヘッダ情報を識別用データとして記憶部13に記憶させておくことで、既知の異常パケットに対応する異常エリアを識別することができる。新たな種類の異常パケットが発生した場合は、それらのヘッダ情報を識別用データに追加して蓄積しておくことが有効である。
図5に、参照マップの作成例を示す。正常エリアNZは正常パケットの分布する範囲を示し、AZ−1及びAZ−2は異常パケットの分布する範囲を示す。ここで言う異常エリアは、必ずしも「有害」なパケットを意味するものではない。端末群の特殊機能や動作異常なども含まれる。
パケット判定部52は、参照マップ上の判定対象データの位置を求め、これによって判定対象データが正常パケットか否かを判定する。例えば、パケット判定部52は、参照マップに用いられているベクトルデータのなかから判定対象データと内容の近いベクトルデータを特定する。この特定は、参照マップに用いられている各ベクトルデータと判定対象データとの演算を用いて求めることができる。
さらに、パケット判定部52は、特定したベクトルデータの位置を用いて判定対象データの位置を求める。参照マップには、正常エリアNZと異常エリアAZ−1及びAZ−2が定められている。AZ−1およびAZ−2は、一般には異なる異常状態に対応している。そこで、図7に示すように、判定対象データの位置NDが正常エリアNZ内の場合、パケット判定部52は、判定対象データが正常パケットであると判定する。一方、判定対象データの位置が異常エリアAZ−1又はAZ−2内であれば、パケット判定部52は、判定対象データがそれぞれの異常状態に対応した異常パケットであると判定する。これにより、パケット判定部52は、判定対象データが正常パケットか否かを判定することができる。
ここで、判定対象データの位置の導出方法は任意である。例えば、図6に示すようなベクトル空間において、最新ベクトルSと内容的に近い3つの類似ベクトルPx、Py、Pzを選び、これらの座標dx、dy、dzを特定する。最新ベクトルとの内容の近さを表す指標をSx、Sy、Szとすると、最新ベクトルSの座標Psは、次式の関係を用いて求めることができる。
(数1)
|Ps−Px|:|Ps−Py|:|Ps−Pz|=Sx:Sy:Sz (1)
あるいは、対象データに最も類似した参照マップ上のデータの位置としてもよい。
(数1)
|Ps−Px|:|Ps−Py|:|Ps−Pz|=Sx:Sy:Sz (1)
あるいは、対象データに最も類似した参照マップ上のデータの位置としてもよい。
過去に発生していない新たな種類の異常パケットが発生すると、該当パケットは、正常エリアNZ及び異常エリアAZ−1,AZ−2とは異なる空白エリアにプロットされる。その場合、解析部53が該当パケットのヘッダ情報を用いて、パケットデータが正常パケット又は異常パケットのいずれであるかを判定する。また、いずれの正常エリアあるいは異常エリアに属するかを判定してもよい。
該当パケットが異常パケットである場合、解析部53は該当パケットのヘッダ情報を識別用データとして記憶部13に記憶する。これにより、これまで空白エリアであった位置を異常エリアとして参照マップに反映させることができる。このような過程を繰り返すことで、多様な異常データを判別できるよう参照マップを改良していくことができる。
本実施形態では、異常パケット同士でも、互いに類似しているパケット同士は近傍に配置され、異なる種類の異常パケット群は互いに分離する。このため、判定対象データが参照マップ上のどこに位置するかに基づいて、どのような性質の異常パケットを判定することができる。
通信部11は、パケット判定部52又は解析部53において異常パケットであると判定された場合、警報と判定対象パケットのヘッダ情報を、警報情報として管理装置50に送信する。管理装置50は、各パケット監視装置10から送信された警報情報を受信し、異常パケットに関連する端末群20を特定する。例えば、ヘッダの発信元情報から発信元MACアドレスを識別し、識別したMACアドレスを有する端末群20を特定する。これにより、端末群20が正常でない場合、端末群20の管理者は、端末群20を正常に戻すことができる。
ここで、解析部53又は管理装置50は、どのような性質の異常パケットであるかを解析することが好ましい。例えば、異常パケットに関連する端末群20のログを解析することで、どのような性質の異常パケットであるかを特定することができる。
なお、解析部53はパケット監視装置10外に備わっていてもよい。例えば、管理装置50が解析部53を備えていてもよい。この場合、管理装置50は、各パケット監視装置10から送信された警報情報を受信し、ヘッダ情報を解析する。管理装置50は、受信したヘッダ情報を用いて、どのような性質の異常パケットであるかを解析する。管理装置50は、その解析結果であるパケットの性質データを、識別用データとして、各パケット監視装置10に送信する。
識別用データを受信した各パケット監視装置10は、識別用データを用いて参照マップを作成することが好ましい。例えば、ベクトルデータ作成部41は、通信部11が識別用データを受信した時間から予め定められた一定時間ΔTをさかのぼった時間までの間に記憶部13に記憶されたヘッダ情報を読み出し、ベクトルデータに変換する。これにより、パケット監視装置10は、識別用データを受信した時点における最新の参照マップを用いることができる。
以上説明したように、本開示は、判定対象データが参照マップ上のどこに位置するかに基づいて、正常パケットであるか、あるいはどのような性質の異常パケットであるか、を判定することができる。さらに、本開示は、解析部53を備えるため、これまで空白エリアであった位置を異常エリアとして参照マップに反映させることができる。このため、本開示は、新たな異常パケットが発生した場合であっても、自動で異常パケットを判別することができる。
本開示は情報通信産業に適用することができる。
10:パケット監視装置
11:通信部
12:ヘッダ情報読取部
13:記憶部
14:バッチ処理部
15:リアルタイム処理部
41、51:ベクトルデータ作成部
42:マップ作成部
43:エリア定義部
44:参照マップ作成部
52:パケット判定部
53:解析部
20:端末群
30:通信ネットワーク
31:ゲートウェイ(GW)
40:中央サーバ
50:管理装置
11:通信部
12:ヘッダ情報読取部
13:記憶部
14:バッチ処理部
15:リアルタイム処理部
41、51:ベクトルデータ作成部
42:マップ作成部
43:エリア定義部
44:参照マップ作成部
52:パケット判定部
53:解析部
20:端末群
30:通信ネットワーク
31:ゲートウェイ(GW)
40:中央サーバ
50:管理装置
Claims (9)
- パケットデータを受信する通信部と、
受信したパケットデータのヘッダに含まれるヘッダ情報を抽出し、抽出したヘッダ情報を次元に有するベクトルデータを作成し、判定対象データとして出力するリアルタイム処理用ベクトルデータ作成部と、
正常なパケットデータの分布する正常エリア及び正常でないパケットデータの分布する異常エリアが定められている参照マップを参照し、参照マップに用いられている各ベクトルデータと前記判定対象データとのベクトル間距離を用いて前記判定対象データの前記参照マップ上の位置を求め、前記判定対象データの前記参照マップ上の位置が前記参照マップの定める正常エリア又は異常エリアのいずれかに属するかを判定するパケット判定部と、
を備えるパケット監視装置。 - 前記通信部の受信したパケットデータのヘッダに含まれるヘッダ情報を蓄積する記憶部と、
前記記憶部に蓄積されたヘッダ情報から作成されたベクトルデータのベクトル間距離に基づいて、各ベクトルデータが面上にプロットされているマップを作成するマップ作成部と、
前記マップ上における正常なパケットデータの分布範囲を前記正常エリアと定義し、前記マップ上における正常でないパケットデータの分布範囲を前記異常エリアと定義するエリア定義部と、
前記マップにおける前記正常エリア及び前記異常エリアを定める参照マップを作成する参照マップ作成部と、
をさらに備える請求項1に記載のパケット監視装置。 - 前記ベクトルデータは、2以上のパケットデータから抽出したヘッダ情報を用いて算出される情報を次元に含む、
請求項1又は2に記載のパケット監視装置。 - 前記ベクトルデータは、パケット数又は総パケットサイズを次元に含む、
請求項1から3のいずれかに記載のパケット監視装置。 - 請求項1から4のいずれかに記載のパケット監視装置と、
前記パケット監視装置からの警報情報を受信する管理装置と、
を備えるパケット監視システムであって、
前記パケット監視装置は、前記パケット判定部において異常パケットであると判定された場合、前記通信部が警報情報を前記管理装置に送信する、
パケット監視システム。 - 前記パケット監視装置は、前記パケット判定部が正常エリア及び異常エリアのいずれにも属さないと判定したパケットデータについて、パケットデータが正常パケット又は異常パケットのいずれであるかを判定する解析部をさらに備え、
前記解析部において異常パケットであると判定された場合、前記通信部は、警報情報を、前記管理装置に送信する、
請求項5に記載のパケット監視システム。 - 通信部がパケットデータを受信すると、リアルタイム処理用ベクトルデータ作成部が、前記パケットデータのヘッダに含まれるヘッダ情報を抽出し、抽出したヘッダ情報を次元に有するベクトルデータを作成し、判定対象データとして出力するリアルタイム処理用ベクトルデータ作成手順と、
パケット判定部が、正常なパケットデータの分布する正常エリア及び正常でないパケットデータの分布する異常エリアが定められている参照マップを参照し、参照マップに用いられている各ベクトルデータと前記判定対象データとのベクトル間距離を用いて前記判定対象データの前記参照マップ上の位置を求め、前記判定対象データの前記参照マップ上の位置が前記参照マップの定める正常エリア又は異常エリアのいずれかに属するかを判定するパケット判定手順と、
を実行するパケット監視方法。 - 記憶部が、前記通信部の受信したパケットデータのヘッダに含まれるヘッダ情報を蓄積する記憶手順と、
マップ作成部が、前記記憶部に蓄積されたヘッダ情報から作成されたベクトルデータのベクトル間距離に基づいて、各ベクトルデータが面上にプロットされているマップを作成するマップ作成手順と、
エリア定義部が、前記マップ上における正常なパケットデータの分布範囲を前記正常エリアと定義し、前記マップ上における正常でないパケットデータの分布範囲を前記異常エリアと定義するエリア定義手順と、
参照マップ作成部が、前記マップにおける前記正常エリア及び前記異常エリアを定める参照マップを作成する参照マップ作成手順と、
をさらに実行する請求項7に記載のパケット監視方法。 - 請求項1から4のいずれかに記載のパケット監視装置に備わる各機能部をコンピュータに実現させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017117047A JP6571131B2 (ja) | 2017-06-14 | 2017-06-14 | パケット監視装置、パケット監視システム、パケット監視方法、及びパケット監視プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017117047A JP6571131B2 (ja) | 2017-06-14 | 2017-06-14 | パケット監視装置、パケット監視システム、パケット監視方法、及びパケット監視プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019004291A JP2019004291A (ja) | 2019-01-10 |
| JP6571131B2 true JP6571131B2 (ja) | 2019-09-04 |
Family
ID=65006982
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017117047A Active JP6571131B2 (ja) | 2017-06-14 | 2017-06-14 | パケット監視装置、パケット監視システム、パケット監視方法、及びパケット監視プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6571131B2 (ja) |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4626852B2 (ja) * | 2005-07-11 | 2011-02-09 | 日本電気株式会社 | 通信網の障害検出システム、通信網の障害検出方法及び障害検出プログラム |
| JP2007060233A (ja) * | 2005-08-24 | 2007-03-08 | Tohoku Univ | 異常パケット種別特定方法および異常パケット種別特定システム |
| JP5792654B2 (ja) * | 2012-02-15 | 2015-10-14 | 株式会社日立製作所 | セキュリティ監視システムおよびセキュリティ監視方法 |
-
2017
- 2017-06-14 JP JP2017117047A patent/JP6571131B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019004291A (ja) | 2019-01-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
| US11038906B1 (en) | Network threat validation and monitoring | |
| CN109474575B (zh) | 一种dns隧道的检测方法及装置 | |
| CN113098878B (zh) | 一种基于支持向量机的工业互联网入侵检测方法及实现系统 | |
| JP2006279930A (ja) | 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置 | |
| CN107733581B (zh) | 基于全网环境下的快速互联网资产特征探测方法及装置 | |
| JP6783261B2 (ja) | 脅威情報抽出装置及び脅威情報抽出システム | |
| US20220263846A1 (en) | METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF | |
| US20240146753A1 (en) | Automated identification of false positives in dns tunneling detectors | |
| US20200021608A1 (en) | Information processing apparatus, communication inspecting method and medium | |
| US10187414B2 (en) | Differential malware detection using network and endpoint sensors | |
| CN110430199B (zh) | 识别物联网僵尸网络攻击源的方法与系统 | |
| JP6571131B2 (ja) | パケット監視装置、パケット監視システム、パケット監視方法、及びパケット監視プログラム | |
| JP5568344B2 (ja) | 攻撃検出装置、攻撃検出方法、及びプログラム | |
| CN108650274B (zh) | 一种网络入侵检测方法及系统 | |
| CN113168460A (zh) | 用于数据分析的方法、设备和系统 | |
| KR101084681B1 (ko) | 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템과 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 방법 | |
| JP7050042B2 (ja) | 情報処理システムおよび情報処理方法 | |
| CN113904843A (zh) | 一种终端异常dns行为的分析方法和装置 | |
| CN108347447B (zh) | 基于周期性通讯行为分析的p2p僵尸网络检测方法、系统 | |
| JP7343137B2 (ja) | 状態判定装置及び状態判定方法 | |
| US11184369B2 (en) | Malicious relay and jump-system detection using behavioral indicators of actors | |
| US20180278645A1 (en) | Software evaluation method and software evaluation device | |
| CN101548269B (zh) | 用于网络侦查流识别的方法、计算机程序产品和设备 | |
| Kim et al. | Ddos analysis using correlation coefficient based on kolmogorov complexity |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180323 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190208 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190219 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190416 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190716 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190807 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6571131 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |