JP6820240B2 - 攻撃検知分析装置及び攻撃検知方法 - Google Patents
攻撃検知分析装置及び攻撃検知方法 Download PDFInfo
- Publication number
- JP6820240B2 JP6820240B2 JP2017122184A JP2017122184A JP6820240B2 JP 6820240 B2 JP6820240 B2 JP 6820240B2 JP 2017122184 A JP2017122184 A JP 2017122184A JP 2017122184 A JP2017122184 A JP 2017122184A JP 6820240 B2 JP6820240 B2 JP 6820240B2
- Authority
- JP
- Japan
- Prior art keywords
- flow
- attack
- time zone
- cluster
- central host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
(1)ホスト及びポートが重複するもの
(2)ポートは異なるが、ホスト名が重複するもの
(3)上記(2)が複数存在する場合は、ホスト名の辞書順
時間帯のみに着目して、活発に活動するフロークラスタ314の中心ホストを攻撃元のホスト候補として絞り込みを行う。
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に記載したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加、削除、又は置換のいずれもが、単独で、又は組み合わせても適用可能である。
104 外部ネットワーク
105 データセンター
106 ネットワーク装置
107 攻撃検知分析装置
108 ネットワーク制御装置
301 フローデータ収集部
302 フロークラスタ処理部
303 攻撃時間判定部
304 攻撃フロー特定部
305 記憶部
306 フロークラスタ中心ホスト統計処理
307 攻撃時間クラスタ処理
308 正常フロークラスタ除外処理
309 中心ホストによるフィルタ処理
310 フローデータ
311 フロークラスタ中心ホスト統計
312 攻撃フロークラスタ
313 パケット数テーブル
314 フロークラスタ
315 攻撃時間
316 攻撃フロークラスタフィルタ
401 データ変換部
402 データフィルタ部
501 サービス作成部
502 パケット集計部
503 フロークラスタ生成部
1101 攻撃時間判定装置
1102 攻撃時間情報受信部
1201 ポート番号統計処理
1202 ポート番号によるフィルタ処理
1203 ポート番号データ
1204 ポート番号フィルタデータ
Claims (8)
- プロセッサとメモリを有し、ネットワークに接続された機器の通信のフローを監視する攻撃検知分析装置であって、
前記プロセッサは、前記機器で送受信される通信のフローをフローデータとして収集し、
前記プロセッサは、前記フローデータのうち所定の時間帯毎に相関関係を有するフローデータをクラスタリングしてフロークラスタとして生成し、
前記プロセッサは、前記フロークラスタについて、前記フローデータとフローデータの繋ぎ目である中心ホストにおける相関フローの活動量を複数の時間帯毎に算出した結果を中心ホスト統計とし、
前記プロセッサは、前記中心ホスト統計から中心ホストにおける相関フローの活動量が類似する時間帯をグルーピングして複数のグループを生成し、
前記プロセッサは、前記複数のグループのうち前記グループに含まれる時間帯の数が少ないグループを攻撃時間帯と推定することを特徴とする攻撃検知分析装置。 - 請求項1に記載の攻撃検知分析装置であって、
前記プロセッサは、前記複数のグループのうち前記グループに含まれる時間帯の数が少ないグループを攻撃時間帯と推定し、攻撃時間帯以外のグループに含まれる時間帯を正常時間帯と推定し、
前記プロセッサは、正常時間帯に含まれるフロークラスタを、攻撃時間帯のフロークラスタから除外することを特徴とする攻撃検知分析装置。 - 請求項1に記載の攻撃検知分析装置であって、
前記フロークラスタの中心ホストにおける相関フローの活動量は、前記算出する時間帯毎のフロークラスタの中心ホストにおける相関フローの数であることを特徴とする攻撃検知分析装置。 - 請求項1に記載の攻撃検知分析装置であって、
前記フロークラスタの中心ホストにおける相関フローの活動量は、前記算出する時間帯毎のフロークラスタの中心ホストにおける相関フローの出現数ランキングの順位であることを特徴とする攻撃検知分析装置。 - プロセッサとメモリを有し、ネットワークに接続された機器の通信のフローを監視する攻撃検知分析装置であって、
前記プロセッサは、前記機器で送受信される通信のフローをフローデータとして収集し、
前記プロセッサは、前記フローデータのうち所定の時間帯毎に相関関係を有するフローデータをクラスタリングしたフロークラスタを外部へ送信し、
前記プロセッサは、前記フロークラスタの各時間帯について、攻撃または攻撃の予兆を含む攻撃時間帯と正常時間帯と、前記フローデータとフローデータの繋ぎ目である中心ホストにおける相関フローの活動量を複数の時間帯毎に算出した結果である中心ホスト統計を受信し、
前記プロセッサは、正常時間帯に含まれるフロークラスタを、攻撃時間帯のフロークラスタから除外することを特徴とする攻撃検知分析装置。 - 請求項5に記載の攻撃検知分析装置であって、
前記フロークラスタの中心ホストにおける相関フローの活動量は、前記算出する時間帯毎のフロークラスタの中心ホストにおける相関フローの数であることを特徴とする攻撃検知分析装置。 - 請求項5に記載の攻撃検知分析装置であって、
前記フロークラスタの中心ホストにおける相関フローの活動量は、前記算出する時間帯毎のフロークラスタの中心ホストにおける相関フローの出現数ランキングの順位であることを特徴とする攻撃検知分析装置。 - プロセッサとメモリを有する計算機が、ネットワークに接続された機器の通信のフローを監視して攻撃を検知する攻撃検知方法であって、
前記計算機が、前記機器で送受信される通信のフローをフローデータとして収集する第1のステップと、
前記計算機が、前記フローデータのうち所定の時間帯毎に相関関係を有するフローデータをクラスタリングしてフロークラスタとして生成する第2のステップと、
前記計算機が、前記フロークラスタについて、前記フローデータとフローデータの繋ぎ目である中心ホストにおける相関フローの活動量を複数の時間帯毎に算出した結果を中心ホスト統計とする第3のステップと、
前記計算機が、前記中心ホスト統計から中心ホストにおける相関フローの活動量が類似する時間帯をグルーピングして複数のグループを生成する第4のステップと、
前記計算機が、前記複数のグループのうち前記グループに含まれる時間帯の数が少ないグループを攻撃時間帯と推定する第5のステップと、
を含むことを特徴とする攻撃検知方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017122184A JP6820240B2 (ja) | 2017-06-22 | 2017-06-22 | 攻撃検知分析装置及び攻撃検知方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017122184A JP6820240B2 (ja) | 2017-06-22 | 2017-06-22 | 攻撃検知分析装置及び攻撃検知方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019009549A JP2019009549A (ja) | 2019-01-17 |
JP6820240B2 true JP6820240B2 (ja) | 2021-01-27 |
Family
ID=65029769
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017122184A Active JP6820240B2 (ja) | 2017-06-22 | 2017-06-22 | 攻撃検知分析装置及び攻撃検知方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6820240B2 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111881686A (zh) * | 2020-07-20 | 2020-11-03 | 杭州安恒信息技术股份有限公司 | 新出现实体的检测方法、装置、电子装置和存储介质 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4677569B2 (ja) * | 2005-11-08 | 2011-04-27 | 国立大学法人東北大学 | ネットワーク異常検知方法およびネットワーク異常検知システム |
JP2017034605A (ja) * | 2015-08-05 | 2017-02-09 | 株式会社日立製作所 | ネットワークシステム、通信の分析方法、及び分析装置 |
JP2017211806A (ja) * | 2016-05-25 | 2017-11-30 | 株式会社日立製作所 | 通信の監視方法、セキュリティ管理システム及びプログラム |
-
2017
- 2017-06-22 JP JP2017122184A patent/JP6820240B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2019009549A (ja) | 2019-01-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Moustafa et al. | Big data analytics for intrusion detection system: Statistical decision-making using finite dirichlet mixture models | |
CN108429651B (zh) | 流量数据检测方法、装置、电子设备及计算机可读介质 | |
EP3745272B1 (en) | An application performance analyzer and corresponding method | |
Ravale et al. | Feature selection based hybrid anomaly intrusion detection system using K means and RBF kernel function | |
JP7319370B2 (ja) | 挙動による脅威検出のためのシステムおよび方法 | |
Syarif et al. | Intrusion detection system using hybrid binary PSO and K-nearest neighborhood algorithm | |
Logeswari et al. | An intrusion detection system for sdn using machine learning | |
EP2725512B1 (en) | System and method for malware detection using multi-dimensional feature clustering | |
JP7302019B2 (ja) | システムレベルセキュリティのための階層的挙動行動のモデル化および検出システムおよび方法 | |
US11700269B2 (en) | Analyzing user behavior patterns to detect compromised nodes in an enterprise network | |
CN113168469B (zh) | 用于行为威胁检测的系统及方法 | |
JP2021027505A (ja) | 監視装置、監視方法、および監視プログラム | |
JP6820240B2 (ja) | 攻撃検知分析装置及び攻撃検知方法 | |
KR102311997B1 (ko) | 인공지능 행위분석 기반의 edr 장치 및 방법 | |
JP2017211806A (ja) | 通信の監視方法、セキュリティ管理システム及びプログラム | |
JP2020038525A (ja) | 異常検知装置 | |
Zoppi et al. | An initial investigation on sliding windows for anomaly-based intrusion detection | |
Akomolafe et al. | An improved knn classifier for anomaly intrusion detection system using cluster optimization | |
Putra et al. | Prototyping distributed botnet detection system in computer networks | |
Ullah et al. | Quantifying the Impact of Design Strategies for Big Data Cyber Security Analytics: An Empirical Investigation | |
Chahira | Model for intrusion detection based on hybrid feature selection techniques | |
JP2019175070A (ja) | アラート通知装置およびアラート通知方法 | |
CN113168468B (zh) | 用于行为威胁检测的系统及方法 | |
Solanki et al. | Intrusion detection technique using data mining approach: survey | |
Qin et al. | LMHADC: Lightweight method for host based anomaly detection in cloud using mobile agents |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191227 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201027 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201104 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201124 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20201215 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210104 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6820240 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |