JP6890498B2 - ネットワーク装置、パケットを処理する方法、及びプログラム - Google Patents
ネットワーク装置、パケットを処理する方法、及びプログラム Download PDFInfo
- Publication number
- JP6890498B2 JP6890498B2 JP2017151552A JP2017151552A JP6890498B2 JP 6890498 B2 JP6890498 B2 JP 6890498B2 JP 2017151552 A JP2017151552 A JP 2017151552A JP 2017151552 A JP2017151552 A JP 2017151552A JP 6890498 B2 JP6890498 B2 JP 6890498B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- value
- packets
- unit
- vector value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
- H04L43/045—Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Software Systems (AREA)
- Medical Informatics (AREA)
- Evolutionary Computation (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Artificial Intelligence (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
実施例1では、本発明の基本的な一例について説明する。図1は、実施例1のネットワークシステムの構成の一例を示す図である。
実施例1では、正常な業務による通信の学習と、通信が正常な業務に含まれるか否かの監視とを同一の分析装置100に実装する。実施例2では、学習と監視を異なる装置に実装する例を示す。
実施例1では、正常な業務による通信の学習と、通信が正常な業務に含まれるか否かの監視とを同一の分析装置100に実装する。実施例3では、学習機能も監視機能も有さず、ベクトル値化したパケットのデータを画像で表示する装置の例を示す。
101 転送装置
203 NIF
204 出力装置
205 入力装置
211 受信処理部
212 通信状態管理部
213 グループ化部
214 ベクトル化部
215 機械学習部
216 学習結果記憶部
217 画像化部
218 監視部
219 ベクトル化ルール
410 ポートミラーリング機能部
1410 学習装置
1420 監視装置
Claims (14)
- パケットを処理するネットワーク装置であって、
所定の手順で処理を実行することによって以下の各機能部を実現する演算デバイスと、前記演算デバイスに接続された記憶デバイスと、パケットを送受信するパケット転送装置と接続されるインターフェースとを備え、
前記パケット転送装置からパケットを受信する受信処理部と、
前記受信したパケットの各バイトの値であるスカラ値を、所定のベクトル化アルゴリズムによってベクトル値に変換するベクトル化部と、
前記受信したパケットが所定のパケットであるかに基づいて、一連の業務のパケットであるかを判定して、前記受信したパケットを分類するグループ化部と、
前記一連の業務のパケットの変化によって、正常業務でない通信が発生したことを判定する監視部と、
前記ベクトル化部によってベクトル値に変換されたデータを画像として表示するための表示データを生成する画像化部とを備え、
前記画像化部は、
前記変換されたベクトル値が3次元ベクトル値である場合、当該3次元ベクトルの値が画像のRGB値を示すように画像データに変換し、
前記変換されたベクトル値が3次元ベクトル値でない場合、当該ベクトル値を3次元ベクトル値に変換し、前記変換された3次元ベクトルの値が画像のRGB値を示すように画像データに変換し、
パケットの先頭からのバイト数を横軸にして、1パケットを縦軸の1行として表示する画像データを生成することを特徴とするネットワーク装置。 - 請求項1に記載のネットワーク装置であって、
前記一連の業務のパケットは、制御システムの運用において意味を成す一連のデータのやりとりのパケットであることを特徴とするネットワーク装置。 - 請求項1に記載のネットワーク装置であって、
前記ベクトル値に変換されたパケットのデータを所定の学習アルゴリズムによって学習し、前記パケットが正常であることを判定するためのパラメータを生成する学習部を備え、
前記監視部は、前記学習部が生成したパラメータを用いて、前記ベクトル値への変換元であるパケットが正常であるか否かを判定することを特徴とするネットワーク装置。 - 請求項1に記載のネットワーク装置であって、
前記ベクトル値に変換されたパケットのデータを、前記分類されたグループに従って格納する状態管理部とを備えることを特徴とするネットワーク装置。 - 請求項4に記載のネットワーク装置であって、
前記グループ化部は、前記所定のパケットとしてSYNパケットを用いてパケットを分類することを特徴とするネットワーク装置。 - 請求項4に記載のネットワーク装置であって、
前記グループ化部は、前記所定のパケットとして前記受信したパケットのタイムスタンプの間隔が所定のデルタ時間であるパケットを用いてパケットを分類することを特徴とするネットワーク装置。 - 請求項4に記載のネットワーク装置であって、
前記グループ化部は、前記所定のパケットとして所定のフィールドの値が所定の値であるパケットを用いてパケットを分類することを特徴とするネットワーク装置。 - 請求項1に記載のネットワーク装置であって、
前記ベクトル化部は、前記受信したパケットの第1のフィールドの値が所定の条件を満たす場合に、当該条件に対応する所定のルールを適用してスカラ値をベクトル値に変換することを特徴とするネットワーク装置。 - 請求項8に記載のネットワーク装置であって、
前記ベクトル化部は、前記第1のフィールドの値が所定の条件を満たす場合に、当該条件に対応する所定のルールを適用して前記第1のフィールドと異なる第2のフィールドのスカラ値をベクトル値に変換することを特徴とするネットワーク装置。 - 請求項9に記載のネットワーク装置であって、
前記第1のフィールドはパケットヘッダに含まれ、前記第2のフィールドはペイロードに含まれることを特徴とするネットワーク装置。 - ネットワーク装置がパケットを処理する方法であって、
前記ネットワーク装置は、所定の手順で処理を実行する演算デバイスと、前記演算デバイスに接続された記憶デバイスと、パケットを送受信するパケット転送装置と接続されるインターフェースとを有し、
前記方法は、
前記演算デバイスが、前記パケット転送装置からパケットを受信し、
前記演算デバイスが、前記受信したパケットの各バイトの値であるスカラ値を、所定のベクトル化アルゴリズムによってベクトル値に変換し、
前記受信したパケットが所定のパケットであるかに基づいて、一連の業務のパケットであるかを判定して、前記受信したパケットを分類し、
一連の業務のパケットの変化によって、正常業務でない通信が発生したことを判定し、
前記変換されたベクトル値が3次元ベクトル値である場合、当該3次元ベクトルの値が画像のRGB値を示すように画像データに変換し、
前記変換されたベクトル値が3次元ベクトル値でない場合、当該ベクトル値を3次元ベクトル値に変換し、前記変換された3次元ベクトルの値が画像のRGB値を示すように画像データに変換し、
パケットの先頭からのバイト数を横軸にして、1パケットを縦軸の1行として表示する画像データを生成することを特徴とする方法。 - 請求項11に記載の方法であって、
前記一連の業務のパケットは、制御システムの運用において意味を成す一連のデータのやりとりのパケットであることを特徴とする方法。 - ネットワーク装置がパケットを処理するためのプログラムであって、
前記ネットワーク装置は、所定の手順で処理を実行する演算デバイスと、前記演算デバイスに接続された記憶デバイスと、パケットを送受信するパケット転送装置と接続されるインターフェースとを有し、
前記プログラムは、
前記パケット転送装置からパケットを受信する手順と、
前記受信したパケットの各バイトの値であるスカラ値を、所定のベクトル化アルゴリズムによってベクトル値に変換する手順と、
前記受信したパケットが所定のパケットであるかに基づいて、一連の業務のパケットであるかを判定して、前記受信したパケットを分類する手順と、
一連の業務のパケットの変化によって、正常業務でない通信が発生したことを判定する手順と、
前記変換されたベクトル値が3次元ベクトル値である場合、当該3次元ベクトルの値が画像のRGB値を示すように画像データに変換する手順と、
前記変換されたベクトル値が3次元ベクトル値でない場合、当該ベクトル値を3次元ベクトル値に変換し、前記変換された3次元ベクトルの値が画像のRGB値を示すように画像データに変換する手順と、
パケットの先頭からのバイト数を横軸にして、1パケットを縦軸の1行として表示する画像データを生成する手順とを、前記演算デバイスに実行させるためのプログラム。 - 請求項13に記載のプログラムであって、
前記一連の業務のパケットは、制御システムの運用において意味を成す一連のデータのやりとりのパケットであることを特徴とするプログラム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017151552A JP6890498B2 (ja) | 2017-08-04 | 2017-08-04 | ネットワーク装置、パケットを処理する方法、及びプログラム |
US15/919,249 US20190044913A1 (en) | 2017-08-04 | 2018-03-13 | Network apparatus, method of processing packets, and storage medium having program stored thereon |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017151552A JP6890498B2 (ja) | 2017-08-04 | 2017-08-04 | ネットワーク装置、パケットを処理する方法、及びプログラム |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2019033312A JP2019033312A (ja) | 2019-02-28 |
JP2019033312A5 JP2019033312A5 (ja) | 2020-02-27 |
JP6890498B2 true JP6890498B2 (ja) | 2021-06-18 |
Family
ID=65230062
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017151552A Active JP6890498B2 (ja) | 2017-08-04 | 2017-08-04 | ネットワーク装置、パケットを処理する方法、及びプログラム |
Country Status (2)
Country | Link |
---|---|
US (1) | US20190044913A1 (ja) |
JP (1) | JP6890498B2 (ja) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11621970B2 (en) * | 2019-09-13 | 2023-04-04 | Is5 Communications, Inc. | Machine learning based intrusion detection system for mission critical systems |
KR102291869B1 (ko) | 2019-12-31 | 2021-08-19 | 아주대학교산학협력단 | 비정상 트래픽 패턴의 탐지 방법 및 장치 |
US11558255B2 (en) | 2020-01-15 | 2023-01-17 | Vmware, Inc. | Logical network health check in software-defined networking (SDN) environments |
US11909653B2 (en) * | 2020-01-15 | 2024-02-20 | Vmware, Inc. | Self-learning packet flow monitoring in software-defined networking environments |
JP7444287B2 (ja) * | 2020-11-19 | 2024-03-06 | 日本電信電話株式会社 | 推定装置、推定方法、および、推定プログラム |
EP4307637A1 (en) * | 2021-03-09 | 2024-01-17 | Nippon Telegraph And Telephone Corporation | Estimation device, estimation method and program |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6691168B1 (en) * | 1998-12-31 | 2004-02-10 | Pmc-Sierra | Method and apparatus for high-speed network rule processing |
JP2004312064A (ja) * | 2003-02-21 | 2004-11-04 | Intelligent Cosmos Research Institute | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム |
TWI350679B (en) * | 2006-04-03 | 2011-10-11 | Realtek Semiconductor Corp | Frequency offset correction for an ultrawideband communication system |
US8792491B2 (en) * | 2010-08-12 | 2014-07-29 | Citrix Systems, Inc. | Systems and methods for multi-level quality of service classification in an intermediary device |
JP5502703B2 (ja) * | 2010-11-10 | 2014-05-28 | 日本電信電話株式会社 | フロー分類方法、システム、およびプログラム |
US8997227B1 (en) * | 2012-02-27 | 2015-03-31 | Amazon Technologies, Inc. | Attack traffic signature generation using statistical pattern recognition |
US9386030B2 (en) * | 2012-09-18 | 2016-07-05 | Vencore Labs, Inc. | System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks |
US9406016B2 (en) * | 2012-10-23 | 2016-08-02 | Icf International | Method and apparatus for monitoring network traffic |
US9699064B2 (en) * | 2015-07-20 | 2017-07-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and an apparatus for network state re-construction in software defined networking |
US10341241B2 (en) * | 2016-11-10 | 2019-07-02 | Hughes Network Systems, Llc | History-based classification of traffic into QoS class with self-update |
-
2017
- 2017-08-04 JP JP2017151552A patent/JP6890498B2/ja active Active
-
2018
- 2018-03-13 US US15/919,249 patent/US20190044913A1/en not_active Abandoned
Also Published As
Publication number | Publication date |
---|---|
JP2019033312A (ja) | 2019-02-28 |
US20190044913A1 (en) | 2019-02-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6890498B2 (ja) | ネットワーク装置、パケットを処理する方法、及びプログラム | |
US10523540B2 (en) | Display method of exchanging messages among users in a group | |
US7827531B2 (en) | Software testing techniques for stack-based environments | |
US8270306B2 (en) | Fault management apparatus and method for identifying cause of fault in communication network | |
US20080181136A1 (en) | Medium having recorded therein network configuration verification program, network configuration verification method, and network configuration verification apparatus | |
KR102199054B1 (ko) | 직렬 포트 기반 사이버 보안 취약점 점검 장치 및 그 방법 | |
US20200169476A1 (en) | System and method for generating a network diagram | |
JP6835703B2 (ja) | サイバー攻撃検知システム、特徴量選定システム、サイバー攻撃検知方法、及びプログラム | |
Vollmer et al. | Autonomic intelligent cyber-sensor to support industrial control network awareness | |
JP2019033312A5 (ja) | ||
JP2019149681A (ja) | トラフィック異常検知装置、トラフィック異常検知方法、及びトラフィック異常検知プログラム | |
CN114330544A (zh) | 一种业务流量异常检测模型建立方法及异常检测方法 | |
US20220191113A1 (en) | Method and apparatus for monitoring abnormal iot device | |
JP7065744B2 (ja) | ネットワーク装置、パケットを処理する方法、及びプログラム | |
JP7086230B2 (ja) | プロトコルに依存しない異常検出 | |
CN114363212B (zh) | 一种设备检测方法、装置、设备和存储介质 | |
Sestito et al. | A general optimization-based approach to the detection of real-time Ethernet traffic events | |
Guo et al. | FullSight: A feasible intelligent and collaborative framework for service function chains failure detection | |
CN113507398B (zh) | 网络拓扑状态检测方法、装置、计算设备及存储介质 | |
JP6801673B2 (ja) | 表示制御装置、表示制御方法、及び、表示制御プログラム | |
JP5645738B2 (ja) | ネットワーク管理装置及びネットワーク管理方法及びプログラム | |
JP7298701B2 (ja) | 分析システム、方法およびプログラム | |
CN114741699A (zh) | 结合自注意力机制的模糊测试漏洞挖掘系统 | |
JP6866271B2 (ja) | 異常検知装置、異常検知方法、及びプログラム | |
Mukund et al. | Improving false alarm rate in intrusion detection systems using Hadoop |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200117 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200117 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201116 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210112 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210305 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210330 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210507 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210518 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210525 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6890498 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |