JP6904307B2 - 特定装置、特定方法及び特定プログラム - Google Patents

特定装置、特定方法及び特定プログラム Download PDF

Info

Publication number
JP6904307B2
JP6904307B2 JP2018100848A JP2018100848A JP6904307B2 JP 6904307 B2 JP6904307 B2 JP 6904307B2 JP 2018100848 A JP2018100848 A JP 2018100848A JP 2018100848 A JP2018100848 A JP 2018100848A JP 6904307 B2 JP6904307 B2 JP 6904307B2
Authority
JP
Japan
Prior art keywords
communication connection
connection pattern
communication
traffic data
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018100848A
Other languages
English (en)
Other versions
JP2019205136A (ja
Inventor
弘樹 長山
弘樹 長山
博 胡
博 胡
和憲 神谷
和憲 神谷
永渕 幸雄
幸雄 永渕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2018100848A priority Critical patent/JP6904307B2/ja
Priority to US17/057,514 priority patent/US11870794B2/en
Priority to PCT/JP2019/020526 priority patent/WO2019225710A1/ja
Publication of JP2019205136A publication Critical patent/JP2019205136A/ja
Application granted granted Critical
Publication of JP6904307B2 publication Critical patent/JP6904307B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/04Arrangements for maintaining operational condition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/08Testing, supervising or monitoring using real traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、特定装置、特定方法及び特定プログラムに関する。
ネットワークの異常検知技術として、ニューラルネットやSupport Vector Machineなど機械学習を用いた方法がある。一般的に、機械学習を用いた異常検知では、異常が発生した際の要因を特定することが難しい。
そこで、従来技術として、結果の解釈性が高い機械学習手法である決定木を用いて、異常検知時の要因となった特徴量の組み合わせ及び異常判定への分岐条件を特定する手法が提案されている(非特許文献1参照)。
、渡辺健志他, 「決定木とブースティングに基づく異常値発見」,人口知能学会全国大会論文集, vol. 16, no. 1, pp. 1A3.04.1-1A3.04.4, 2002年5月.
しかしながら、判定対象をグラフ特徴量として用いてネットワークトラフィックの異常を検知する場合、異常要因となったグラフ特徴量を特定できたとしても、特徴量自身の解釈が複雑であることが多く、要因となったグラフ特徴量から実ネットワーク上での異常原因通信を導出することが難しい。このため、グラフ特徴量を用いたネットワークトラフィックの異常検知時において、異常原因となる通信の特定の容易化が求められていた。
本発明は、上記に鑑みてなされたものであって、異常原因となる通信を容易に特定できる特定装置、特定方法及び特定プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するために、本発明に係る特定装置は、トラフィックデータを取得し、該取得したトラフィックデータから、通信元のホストを識別する通信元識別子と、通信先のホストを識別する通信先識別子との組からなる通信接続パターンを抽出する前処理部と、正常通信であるトラフィックデータの通信接続パターンを含むホワイトリストと、前処理部によって抽出された通信接続パターン群とを照合し、通信接続パターン群の中にホワイトリストにない新規の通信接続パターンがある場合、該新規の通信接続パターンを含む通信接続パターン群にIDを付与する照合部と、照合部においてIDが付与された通信接続パターン群を基にグラフ特徴量を生成し、生成したグラフ特徴量に、通信接続パターン群に付与されたIDと同IDを付与する生成部と、通信接続パターンに基づくグラフ特徴量を学習したモデルを用いて、生成部が生成したグラフ特徴量が正常であるか否かを判定する判定部と、判定部において異常と判定されたグラフ特徴量のIDと対応する新規の通信接続パターンを、新規の通信接続パターンを含む通信接続パターン群の中から検索し、異常原因となる通信として特定する特定部と、を有することを特徴とする。
本発明によれば、異常原因となる通信を容易に特定できる。
図1は、実施の形態に係る特定装置の構成の一例を示す図である。 図2は、図1に示す特定装置による異常原因となる通信の特定処理の処理手順を示すフローチャートである。 図3は、図2に示す学習処理の処理手順を示すフローチャートである。 図4は、図2に示す特定処理の処理手順を示すフローチャートである。 図5は、図1に示す特定装置の処理の流れを説明する図である。 図6は、図1に示す特定装置の処理の流れを説明する図である。 図7は、プログラムが実行されることにより、特定装置が実現されるコンピュータの一例を示す図である。
以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施の形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。
[実施の形態]
まず、本発明の実施の形態について説明する。図1は、実施の形態に係る特定装置の構成の一例を示す図である。
図1に示すように、実施の形態に係る特定装置10は、前処理部11、ホワイトリスト生成部12、異常通信特定部13、グラフ特徴量生成部14(生成部)、学習部15及び異常判定部16(判定部)を有する。特定装置10は、例えば、ROM(Read Only Memory)、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)、CPU(Central Processing Unit)等を含むコンピュータ等に所定のプログラムが読み込まれて、CPUが所定のプログラムを実行することで実現される。
前処理部11は、トラフィックデータを取得し、該取得したトラフィックデータから、通信元のホストを識別する通信元識別子と、通信先のホストを識別する通信先識別子と、の組からなる通信接続パターンを抽出する。前処理部11は、学習時には、正常通信である学習用トラフィックデータを取得し、該取得した学習用トラフィックデータから、通信接続パターンを抽出する。前処理部11は、通信異常の特定時に、特定対象となるトラフィックデータを取得し、該取得したトラフィックデータから通信接続パターンを抽出する。
ホワイトリスト生成部12は、正常通信である学習用トラフィックデータの通信接続パターン群を含むホワイトリストを生成する。ホワイトリスト生成部12は、学習時において、前処理部11が学習用トラフィックデータから抽出した通信接続パターン群を基に、ホワイトリストを生成する。ホワイトリスト生成部12は、生成したホワイトリストを、異常通信特定部13に出力する。
異常通信特定部13は、特定対象となるトラフィックデータから、異常原因となる通信を特定する。異常通信特定部13は、照合部131及び特定部132を有する。
照合部131は、ホワイトリストと、前処理部11によって抽出された通信接続パターン群とを照合し、通信接続パターン群の中にホワイトリストにない新規の通信接続パターンがあるか否かを判定する。照合部131は、通信接続パターン群の中にホワイトリストにない新規の通信接続パターンがある場合、該新規の通信接続パターンを含む通信接続パターン群にID(identification)を付与して、グラフ特徴量生成部14に出力する。なお、照合部131は、少なくとも、特定対象となるトラフィックデータに対する処理が終了するまで、IDと、このトラフィックデータの通信接続パターン群との対応関係を保持する。
特定部132は、新規の通信接続パターンを含む通信接続パターン群の中から、異常判定部16において異常と判定されたグラフ特徴量のIDと対応する新規の通信接続パターンを検索する。そして、特定部132は、検索した新規の通信接続パターンに対応する通信を、異常原因となる通信として特定する。特定部132は、特定結果を、対処装置に出力する。
グラフ特徴量生成部14は、入力された通信接続パターン群を基にグラフ特徴量を生成する。グラフ特徴量生成部14は、学習時には、前処理部11において学習用トラフィックデータから抽出された通信接続パターン群を基にグラフ特徴量を生成する。グラフ特徴量生成部14は、通信異常の特定時には、照合部131においてIDが付与された通信接続パターン群を基にグラフ特徴量を生成し、生成したグラフ特徴量に、この通信接続パターン群に付与されたIDと同IDを付与する。
例えば、グラフ特徴量生成部14は、前処理部11によって抽出された通信元のホストの識別子と通信先のホストの識別子との組からなる通信接続パターンを用いて、ホストの識別子を頂点とするとともに、ホスト識別子間の通信を辺とする通信履歴グラフを生成する。続いて、グラフ特徴量生成部14は、通信履歴グラフから、ある頂点について、一次隣接頂点または二次隣接頂点までのグラフ構造に着目して算出される局所的なグラフ特徴量を生成する。そして、グラフ特徴量生成部14は、通信履歴グラフから、上記の頂点について、グラフ全体の構造に着目して算出される大域的なグラフ特徴量を生成する。続いて、グラフ特徴量生成部14は、局所的なグラフ特徴量と、大域的なグラフ特徴量とを併用して、ホスト識別子毎に特徴ベクトルを生成する。
学習部15は、学習時に、グラフ特徴量生成部14において学習用トラフィックデータの通信接続パターン群を基に生成されたグラフ特徴量を、モデルに学習させて、モデル161を生成する。学習部15は、生成したモデル161を、異常判定部16に出力する。
異常判定部16は、モデル161を用いて、グラフ特徴量生成部14が生成したグラフ特徴量が正常であるか否かを判定する。モデル161は、グラフ特徴量が入力されると、このグラフ特徴量が正常であるか、または、異常であるかを判定する。異常判定部16は、異常と判定されたグラフ特徴量のIDを、異常通信特定部13に出力する。
[特定装置の処理]
次に、特定装置10による異常原因となる通信の特定処理について説明する。図2は、図1に示す特定装置10による異常原因となる通信の特定処理の処理手順を示すフローチャートである。
図2に示すように、特定装置10は、まず、正常通信である学習用トラフィックデータを学習する学習処理を行う(ステップS1)。特定装置10は、学習処理において、学習用トラフィックデータの通信接続パターン群を含むホワイトリストを生成するとともに、学習用トラフィックデータの通信接続パターン群のグラフ特徴量を学習したモデルを生成する学習処理を実行する。
続いて、特定装置10は、学習処理において生成したホワイトリストとモデルとを用いて、取得したネットワークトラフィックデータから異常原因となる通信を特定する特定処理を行う(ステップS2)。
[学習処理]
次に、図2に示す学習処理(ステップS1)について説明する。図3は、図2に示す学習処理の処理手順を示すフローチャートである。
図3に示すように、前処理部11は、学習時には、正常通信である学習用トラフィックデータを取得し(ステップS11)、該取得した学習用トラフィックデータから、通信接続パターンを抽出する(ステップS12)。前処理部11は、抽出した通信接続パターン群を、ホワイトリスト生成部12及びグラフ特徴量生成部14に出力する。前処理部11は、学習用トラフィックデータから、単位時間ごとにトラフィックデータを抽出し、該抽出したトラフィックデータに含まれる通信接続パターン群を、グラフ特徴量生成部14に出力する。以降の学習処理では、単位時間で抽出されたトラフィックデータに含まれる通信接続パターン群を一塊として、照合やグラフ特徴量の生成を行う。
ホワイトリスト生成部12は、前処理部11が学習用トラフィックデータから抽出した通信接続パターン群を基にホワイトリストを生成し(ステップS13)、生成したホワイトリストを、異常通信特定部13に出力する。
グラフ特徴量生成部14は、単位時間毎のトラフィックデータに含まれる通信接続パターン群を基に、グラフ特徴量を生成する(ステップS14)。グラフ特徴量生成部14は、単位時間毎のトラフィックデータに含まれる通信接続パターン群のグラフ特徴量を、単位時間毎に生成する。続いて、学習部15は、学習時に、グラフ特徴量生成部14において学習用トラフィックデータの通信接続パターン群を基に生成されたグラフ特徴量を、モデルに学習させて(ステップS15)、学習済みのモデル161を生成する(ステップS16)。学習部15は、このモデル161を、異常判定部16に出力する。
[特定処理]
次に、図2に示す特定処理(ステップS2)について説明する。図4は、図2に示す特定処理の処理手順を示すフローチャートである。
図4に示すように、特定処理では、前処理部11が、通信異常の特定対象となるトラフィックデータを取得し(ステップS21)、該取得したトラフィックデータから通信接続パターンを抽出する(ステップS22)。前処理部11は、特定対象となるトラフィックデータから、単位時間ごとにトラフィックデータを抽出し、該単位時間毎に抽出したトラフィックデータに含まれる通信接続パターン群を、異常通信特定部13に出力する。以降の特定処理では、単位時間で抽出されたトラフィックデータに含まれる通信接続パターン群を一塊として、照合やグラフ特徴量の生成を行う。
続いて、照合部131は、単位時間毎のトラフィックデータに含まれる通信接続パターン群と、ホワイトリストとを照合し(ステップS23)、通信接続パターン群の中にホワイトリストにない新規の通信接続パターンがあるか否かを判定する(ステップS24)。
照合部131は、通信接続パターン群の中にホワイトリストにない新規の通信接続パターンがないと判断した場合(ステップS24:No)、特定対象のトラフィックデータは、正常であると判定し(ステップS25)、特定処理を終了する。
これに対し、照合部131は、通信接続パターン群の中にホワイトリストにない新規の通信接続パターンがある場合(ステップS24:Yes)、該新規の通信接続パターンを含む通信接続パターン群にIDを付与して(ステップS26)、グラフ特徴量生成部14に出力する。
グラフ特徴量生成部14は、照合部131においてIDが付与された通信接続パターン群を基にグラフ特徴量を生成し(ステップS27)、生成したグラフ特徴量に、この通信接続パターン群に付与されたIDと同IDを付与する。
異常判定部16は、モデル161を用いて、グラフ特徴量生成部14が生成したグラフ特徴量が正常であるか否かを判定する(ステップS28)。異常判定部16が、グラフ特徴量生成部14が生成したグラフ特徴量が正常であると判定した場合(ステップS28:正常)、特定処理を終了する。
これに対し、異常判定部16が、グラフ特徴量生成部14が生成したグラフ特徴量が異常であると判定した場合(ステップS28:異常)、このグラフ特徴量に付与されたIDを異常通信特定部13に出力する(ステップS29)。
そして、特定部132は、新規の通信接続パターンを含む通信接続パターン群の中から、異常判定部16において異常と判定されたグラフ特徴量のIDと対応する新規の通信接続パターンを検索し、検索した新規の通信接続パターンに対応する通信を、異常原因となる通信として特定する(ステップS30)。
[特定装置の処理の流れ]
次に、図5及び図6を参照して、上述した処理の流れについて、学習期間と異常検知期間とに分けて、より具体的に説明する。図5及び図6は、図1に示す特定装置の処理の流れを説明する図である。
ここで、以下の説明では、次の条件を想定する。まず、LAN(Local Area Network)内に感染端末が存在し、感染端末内の悪性プログラムは、侵入拡大のため通信を発生させる。この悪性プログラムは、脆弱性のある端末を発見するため、自感染端末の所属するサブネットのIP(Internet Protocol)に対しランダムにポートスキャンを行う。この悪性プログラムによるポートスキャンは、5分間隔以上の間隔を空けて実施される。次に、LAN環境に関し、/24の一般的な大きさのサブネットを想定する。また、学習時には、LAN内にポートスキャン等の攻撃は発生していないとする。
[学習期間における処理の流れ]
まず、前処理部11は、正常通信である学習時のトラフィックデータを取得し(図5の(1)参照)、取得したトラフィックデータから、正常通信の通信接続パターンを抽出して(図5の(2)参照)、抽出した通信接続パターン群をホワイトリスト生成部12に出力する(図5の(3)参照)。
例えば、前処理部11は、学習期間(例えば4週間)において、特定サブネット内のARP(Address Resolution Protocol)リクエストを収集し、各ARPリクエストのSrcIPアドレスとDstIPアドレスとの組からなる通信接続パターンを抽出する。ここで、DstIPアドレスは、MAC(Media Access Control address)アドレス解決の対象となるIPアドレスを指す。また、IP通信を利用する場合には、前処理部11は、学習期間(例えば4週間)において、LAN内端末間における全IP通信を収集し、各IP通信のSrcIPアドレスとDstIPアドレスとの組からなる通信接続パターン、宛先ポート番号、プロトコル番号を抽出する。
続いて、ホワイトリスト生成部12は、学習時に抽出した通信接続パターン群を記録したホワイトリストを生成し(図5の(4)参照)、異常通信特定部13に出力する(図5の(5)参照)。
また、前処理部11は、単位時間毎のトラフィックデータに含まれる通信接続パターン群をグラフ特徴量生成部14に出力する(図5の(6)参照)。例えば、前処理部11は、学習時に抽出した通信接続パターン群を5分毎に分割する。
グラフ特徴量生成部14は、入力された通信接続パターン群を基に、グラフ特徴量を生成し(図5の(7)参照)、学習部15に出力する(図5の(8)参照)。学習部15は、このグラフ特徴量を用いてIP毎にモデル161を生成または更新する(図5の(9)参照)。学習部15は、モデル161を異常判定部16に出力し(図5の(10)参照)、学習処理を終了する。
[異常検知期間における処理の流れ]
次に、異常検知期間における特定装置10の処理の流れについて説明する。特定装置10は、各端末について学習モデルを生成し、端末毎に異常判定を行う。特定装置10では、各端末が、学習期間において通信していない宛先に対し通信を行った場合にのみ、異常判定の対象とする。これは、特定装置10では、学習期間と同じ宛先に対して通信しているにも関わらず異常として判定された場合、異常原因はその他の端末から発生した通信によりグラフ構造が崩れたことである可能性が高いためである。
まず、図6に示すように、異常検知期間においては、前処理部11は、特定対象のトラフィックデータを取得し(図6の(1)参照)、取得したトラフィックデータから、通信接続パターンを抽出し(図6の(2)参照)、単位時間毎のトラフィックデータに含まれる通信接続パターン群を異常通信特定部13に出力する(図6の(3)参照)。
例えば、前処理部11は、特定対象のARPリクエストを収集し、収集されたARPリクエストから5分毎に通信接続パターンを抽出する。また、IP通信を利用する場合には、LAN内の全IP通信を収集し、収集されたIP通信から5分毎に通信接続パターン、宛先ポート番号、プロトコル番号を抽出する。
照合部131は、単位時間毎のトラフィックデータに含まれる通信接続パターン群とホワイトリストとを照合し(図6の(4)参照)、通信接続パターン群の中にホワイトリストにない新規の通信接続パターン群にIDを付与して(図6の(5)参照)、グラフ特徴量生成部14に出力する(図6の(6)参照)。
例えば、ARPリクエストの場合には、照合部131は、5分間毎に抽出された通信接続パターン群と学習期間に生成されたホワイトリストとを照合する。照合部131は、ホワイトリストに含まれない新規の通信接続パターンについては、この新規の通信接続パターン及び新規通信接続パターンが含まれる通信接続パターン群を一つの組としてIDを付与し、IDを付与した通信接続パターン群をグラフ特徴量生成部14に出力する。
また、IP通信の場合には、照合部131は、5分間毎に抽出された通信接続パターン群と学習期間に生成したホワイトリストとを照合する。照合部131は、ホワイトリストに含まれない新規の通信接続パターンについては、この新規通信接続パターン及び新規通信接続パターンが含まれる通信接続パターン群、さらに宛先ポート番号及びプロトコル番号を一つの組としてIDを付与し、IDを付与した通信接続パターン群をグラフ特徴量生成部に出力する。
グラフ特徴量生成部14は、IDが付与された通信接続パターン群から、同IDが付与されたグラフ特徴量を生成し(図6の(7)参照)、異常判定部16に出力する(図6の(8)参照)。
異常判定部16は、モデル161を用いてグラフ特徴量が異常であるか否かを判定し(図6の(9)参照)、グラフ特徴量を異常と判定した場合には、異常判定されたグラフ特徴量のIDを異常通信特定部13に出力する(図6の(10)参照)。
特定部132は、異常判定部16から入力されたIDに対応する新規の通信接続パターンを検索し、該当した新規通信接続パターンを異常原因通信(スキャン通信)として特定する(図6の(11)参照)。さらに、IP通信の場合には、特定部132は、異常判定部16から入力されたIDに対応する新規通信接続パターンを検索し、該当した新規通信接続パターンを異常原因通信(スキャン通信)として特定する。さらに、特定部132は、同じくIDから異常原因通信の宛先ポート番号とプロトコル番号とを特定することによって、スキャンに用いられたサービスやアプリケーションの特定に利用することができる。
[実施の形態の効果]
このように、実施の形態に係る特定装置10は、異常原因となる通信を特定する場合には、取得したトラフィックデータから、通信元のホストを識別する通信元識別子と、通信先のホストを識別する通信先識別子との組からなる通信接続パターンを抽出する。
そして、特定装置10は、ホワイトリストと、抽出された通信接続パターン群とを照合し、通信接続パターン群の中にホワイトリストにない新規の通信接続パターンがある場合、該新規の通信接続パターンを含む通信接続パターン群にIDを付与する。このように、実施の形態に係る特定装置10は、ホワイトリストにない新規の通信接続パターン群が識別可能となるように、IDを付与する。
そして、特定装置10は、この新規の通信接続パターン群から生成したグラフ特徴量に、通信接続パターン群に付与されたIDと同IDを付与した後に、モデルを用いて、前記生成部が生成したグラフ特徴量が正常であるか否かを判定する。このように、実施の形態に係る特定装置10は、ホワイトリストにない新規の通信接続パターンを含む通信接続パターン群に対してのみ、グラフ特徴量生成及び判定を行うため、全ての通信接続パターンに対して処理を行う場合よりも、処理時間を短縮することができる。
続いて、特定装置10は、IDを付与した全新規の通信接続パターンの中から、異常と判定したグラフ特徴量のIDと対応する新規の通信接続パターンを検索する。このように、実施の形態に係る特定装置10は、ホワイトリストにない新規の通信接続パターンが識別可能となるように、新規の通信接続パターンを含む通信接続パターン群にIDを付与しておくことによって、異常と判定したグラフ特徴量に対応する通信接続パターンを特定することができる。特定装置10は、検索した新規の通信接続パターンに対応する通信を、異常原因となる通信として特定し、特定結果を、対処装置に出力する。
したがって、特定装置10では、ホワイトリストに含まれていない通信接続パターン群に対してIDを付与後に、グラフ特徴量生成及び判定を行い、異常と判定したグラフ特徴量に対応する通信接続パターン群を、IDを用いて、異常原因となる通信として特定する。このため、特定装置10では、グラフ特徴量を用いたネットワークトラフィックの異常検知時において、異常原因となる通信の特定の容易異常原因となる通信を容易に特定することができる。さらに、特定装置10によれば、異常原因となる通信を特定できることにより、異常通信を発生させたサービス或いはアプリケーションの特定や、感染拡大の可能性があるスキャン先ホストの特定も可能になる。
また、特定装置10では、学習期間において、正常通信であるトラフィックデータの通信接続パターンを含むホワイトリストを生成するとともに、正常通信であるトラフィックデータの通信接続パターン群のグラフ特徴量をモデル161に学習させて、モデルを生成する。この結果、特定装置10では、正常通信であるトラフィックデータの通信接続パターンを学習することによって、適切なホワイトリストと、異常判定を精度よく行えるようなモデル161とを得ることができる。そして、特定装置10では、このように得られたホワイトリストとモデル161とを用いて、異常原因である通信を精度よく特定することができる。
[システム構成等]
図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。本実施の形態に係る特定装置10は、コンピュータとプログラムによっても実現でき、プログラムを記録媒体に記録することも、ネットワークを通して提供することも可能である。
また、本実施の形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的におこなうこともでき、あるいは、手動的に行なわれるものとして説明した処理の全部又は一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
図7は、プログラムが実行されることにより、特定装置10が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、特定装置10の各処理を規定するプログラムは、コンピュータ1000により実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、特定装置10における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述及び図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例及び運用技術等は全て本発明の範疇に含まれる。
10 特定装置
11 前処理部
12 ホワイトリスト生成部
13 異常通信特定部
14 グラフ特徴量生成部
15 学習部
16 異常判定部
131 照合部
132 特定部
161 モデル

Claims (6)

  1. トラフィックデータを取得し、該取得したトラフィックデータから、通信元のホストを識別する通信元識別子と、通信先のホストを識別する通信先識別子との組からなる通信接続パターンを抽出する前処理部と、
    正常通信であるトラフィックデータの通信接続パターンを含むホワイトリストと、前記前処理部によって抽出された通信接続パターン群とを照合し、前記通信接続パターン群の中に前記ホワイトリストにない新規の通信接続パターンがある場合、該新規の通信接続パターンを含む通信接続パターン群にIDを付与する照合部と、
    前記照合部において前記IDが付与された通信接続パターン群を基にグラフ特徴量を生成し、生成したグラフ特徴量に、前記通信接続パターン群に付与されたIDと同IDを付与する生成部と、
    通信接続パターンに基づくグラフ特徴量を学習したモデルを用いて、前記生成部が生成したグラフ特徴量が正常であるか否かを判定する判定部と、
    前記判定部において異常と判定されたグラフ特徴量のIDと対応する新規の通信接続パターンを、前記新規の通信接続パターンを含む通信接続パターン群の中から検索し、異常原因となる通信として特定する特定部と、
    を有することを特徴とする特定装置。
  2. 前記前処理部は、単位時間毎にトラフィックデータを抽出することを特徴とする請求項1に記載の特定装置。
  3. 正常通信であるトラフィックデータの通信接続パターンを含むホワイトリストを生成するホワイトリスト生成部と、
    前記正常通信であるトラフィックデータの通信接続パターン群のグラフ特徴量を前記モデルに学習させて、モデルを生成する学習部と、
    をさらに有し、
    前記前処理部は、前記正常通信であるトラフィックデータを取得し、該取得したトラフィックデータから前記通信接続パターンを抽出し、
    前記生成部は、前記前処理部において前記正常通信であるトラフィックデータから抽出された通信接続パターン群を基にグラフ特徴量を生成することを特徴とする請求項1または2に記載の特定装置。
  4. 前記トラフィックデータは、特定サブネット内のARP(Address Resolution Protocol)リクエスト、または、端末間におけるIP(Internet Protocol)通信であることを特徴とする請求項1〜3のいずれか一つに記載の特定装置。
  5. 特定装置が実行する特定方法であって、
    トラフィックデータを取得し、該取得したトラフィックデータから、通信元のホストを識別する通信元識別子と、通信先のホストを識別する通信先識別子との組からなる通信接続パターンを抽出する前処理工程と、
    正常通信であるトラフィックデータの通信接続パターンを含むホワイトリストと、前記前処理工程において抽出された通信接続パターン群とを照合し、前記通信接続パターン群の中に前記ホワイトリストにない新規の通信接続パターンがある場合、該新規の通信接続パターンを含む通信接続パターン群にIDを付与する照合工程と、
    前記IDが付与された通信接続パターン群を基にグラフ特徴量を生成し、生成したグラフ特徴量に、前記通信接続パターン群に付与されたIDと同IDを付与する生成工程と、
    前記通信接続パターンに基づくグラフ特徴量を学習したモデルを用いて、前記生成工程において生成されたグラフ特徴量が正常であるか否かを判定する判定工程と、
    前記判定工程において異常と判定されたグラフ特徴量のIDと対応する新規の通信接続パターンを、前記新規の通信接続パターンを含む通信接続パターン群の中から検索し、異常原因となる通信として特定する特定工程と、
    を含んだことを特徴とする特定方法。
  6. トラフィックデータを取得し、該取得したトラフィックデータから、通信元のホストを識別する通信元識別子と、通信先のホストを識別する通信先識別子との組からなる通信接続パターンを抽出する前処理ステップと、
    正常通信であるトラフィックデータの通信接続パターンを含むホワイトリストと、前記前処理ステップにおいて抽出された通信接続パターン群とを照合し、前記通信接続パターン群の中に前記ホワイトリストにない新規の通信接続パターンがある場合、該新規の通信接続パターンを含む通信接続パターン群にIDを付与する照合ステップと、
    前記IDが付与された通信接続パターン群を基にグラフ特徴量を生成し、生成したグラフ特徴量に、前記通信接続パターン群に付与されたIDと同IDを付与する生成ステップと、
    前記通信接続パターンに基づくグラフ特徴量を学習したモデルを用いて、前記生成ステップにおいて生成されたグラフ特徴量が正常であるか否かを判定する判定ステップと、
    前記判定ステップにおいて異常と判定されたグラフ特徴量のIDと対応する新規の通信接続パターンを、前記新規の通信接続パターンを含む通信接続パターン群の中から検索し、異常原因となる通信として特定する特定ステップと、
    をコンピュータに実行させるための特定プログラム。
JP2018100848A 2018-05-25 2018-05-25 特定装置、特定方法及び特定プログラム Active JP6904307B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2018100848A JP6904307B2 (ja) 2018-05-25 2018-05-25 特定装置、特定方法及び特定プログラム
US17/057,514 US11870794B2 (en) 2018-05-25 2019-05-23 Specifying device, specifying method, and specifying program
PCT/JP2019/020526 WO2019225710A1 (ja) 2018-05-25 2019-05-23 特定装置、特定方法及び特定プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018100848A JP6904307B2 (ja) 2018-05-25 2018-05-25 特定装置、特定方法及び特定プログラム

Publications (2)

Publication Number Publication Date
JP2019205136A JP2019205136A (ja) 2019-11-28
JP6904307B2 true JP6904307B2 (ja) 2021-07-14

Family

ID=68617085

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018100848A Active JP6904307B2 (ja) 2018-05-25 2018-05-25 特定装置、特定方法及び特定プログラム

Country Status (3)

Country Link
US (1) US11870794B2 (ja)
JP (1) JP6904307B2 (ja)
WO (1) WO2019225710A1 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7006805B2 (ja) * 2018-10-02 2022-01-24 日本電信電話株式会社 算出装置、算出方法及び算出プログラム
WO2021053966A1 (ja) * 2019-09-17 2021-03-25 日本電気株式会社 情報処理装置、パケット生成方法、システム、及びプログラム
DE112020006533T5 (de) * 2020-01-15 2022-11-17 Mitsubishi Electric Corporation Relais-einheit und relais-verfahren
WO2022014422A1 (ja) * 2020-07-15 2022-01-20 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 通信監視方法、及び、通信監視システム
WO2022118427A1 (ja) * 2020-12-03 2022-06-09 日本電信電話株式会社 異常検知支援装置、異常検知支援方法及びプログラム
CN118077181A (zh) * 2021-09-16 2024-05-24 松下电器(美国)知识产权公司 通信分析系统、分析方法以及程序
WO2024003995A1 (ja) * 2022-06-27 2024-01-04 日本電信電話株式会社 異常検出装置、異常検出方法および異常検出プログラム

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120137367A1 (en) * 2009-11-06 2012-05-31 Cataphora, Inc. Continuous anomaly detection based on behavior modeling and heterogeneous information analysis
JP6252254B2 (ja) * 2014-02-28 2017-12-27 富士通株式会社 監視プログラム、監視方法および監視装置
US10757121B2 (en) * 2016-03-25 2020-08-25 Cisco Technology, Inc. Distributed anomaly detection management
JP6592196B2 (ja) * 2016-06-16 2019-10-16 日本電信電話株式会社 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム

Also Published As

Publication number Publication date
US20210203660A1 (en) 2021-07-01
JP2019205136A (ja) 2019-11-28
US11870794B2 (en) 2024-01-09
WO2019225710A1 (ja) 2019-11-28

Similar Documents

Publication Publication Date Title
JP6904307B2 (ja) 特定装置、特定方法及び特定プログラム
US10785252B2 (en) Apparatus for enhancing network security and method for the same
US9715588B2 (en) Method of detecting a malware based on a white list
CN110401662B (zh) 一种工控设备指纹识别方法、存储介质
CN108471420B (zh) 基于网络模式识别和匹配的容器安全防御方法与装置
US9191398B2 (en) Method and system for alert classification in a computer network
US11263266B2 (en) Traffic anomaly sensing device, traffic anomaly sensing method, and traffic anomaly sensing program
CN112685682B (zh) 一种攻击事件的封禁对象识别方法、装置、设备及介质
JP2013545196A (ja) 通信ネットワークのノードで動作するオペレーティングシステムをフィンガープリント処理する方法及びシステム
CN107800709B (zh) 一种生成网络攻击检测策略的方法及装置
US10839074B2 (en) System and method of adapting patterns of dangerous behavior of programs to the computer systems of users
CN109766694A (zh) 一种工控主机的程序协议白名单联动方法及装置
CN103428212A (zh) 一种恶意代码检测及防御的方法
US10389823B2 (en) Method and apparatus for detecting network service
US11003772B2 (en) System and method for adapting patterns of malicious program behavior from groups of computer systems
CN114024761B (zh) 网络威胁数据的检测方法、装置、存储介质及电子设备
CN106487633B (zh) 一种虚拟机异常的监测方法和装置
US20190156024A1 (en) Method and apparatus for automatically classifying malignant code on basis of malignant behavior information
CN110661799B (zh) 一种arp欺骗行为的检测方法及系统
RU2665909C1 (ru) Способ избирательного использования шаблонов опасного поведения программ
KR20200066003A (ko) 엔드포인트의 비정상 행위를 분석하는 시스템
CN114021146B (zh) 一种基于值集分析的非结构化差异补丁分析方法
JP7176630B2 (ja) 検知装置、検知方法および検知プログラム
KR102467156B1 (ko) 시그니처 기반의 트래픽 분석을 통한 SaaS 트래픽 탐지 방법 및 이를 위한 서버
US20230140706A1 (en) Pipelined Malware Infrastructure Identification

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200821

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210525

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210607

R150 Certificate of patent or registration of utility model

Ref document number: 6904307

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150