JP6927155B2 - 異常検出装置、異常検出方法および異常検出プログラム - Google Patents
異常検出装置、異常検出方法および異常検出プログラム Download PDFInfo
- Publication number
- JP6927155B2 JP6927155B2 JP2018103876A JP2018103876A JP6927155B2 JP 6927155 B2 JP6927155 B2 JP 6927155B2 JP 2018103876 A JP2018103876 A JP 2018103876A JP 2018103876 A JP2018103876 A JP 2018103876A JP 6927155 B2 JP6927155 B2 JP 6927155B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- communication device
- mac address
- unit
- source mac
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/062—Generation of reports related to network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/065—Generation of reports related to network devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Pure & Applied Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Algebra (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
以下の実施の形態では、第一の実施の形態に係る異常検出システムの構成、異常検出装置の構成、異常検出装置における処理の流れを順に説明し、最後に第一の実施の形態による効果を説明する。
まず、図1を用いて、第一の実施の形態に係る異常検出システム100について説明する。図1は、第一の実施の形態に係る異常検出システムの構成の一例を示す図である。第一の実施の形態に係る異常検出システム100は、例えば、図1に示すように、複数の通信機器10A〜10Iと、複数のゲートウェイ装置20A、20Bと、異常検出装置30と、サーバ40と、複数のレイヤ2スイッチ50A〜50Eと、複数のルータ60A、60Bとを備える。
次に、図3を用いて、図1に示した異常検出装置30の構成を説明する。図3は、第一の実施の形態に係る異常検出装置の構成例を示すブロック図である。図3に示すように、この異常検出装置30は、学習部311、異常検出部312、取得部313、算出部314、判定部315、計数部316、入力部317、表示部318、保存データ検索部319、通信部320、OS321、学習データ保存部322、通信特徴量保存部323、リスト保存部324および構成情報保存部325を備える。以下に異常検出装置30が有する各部の処理を説明する。
次に、図8〜図10を用いて、第一の実施の形態に係る異常検出装置30の処理の流れを説明する。図8および図9は、第一の実施の形態に係る異常検出装置による接続処理を説明するフローチャートである。図10は、第一の実施の形態に係る異常検出装置による切断交換判定処理を説明するフローチャートである。
今回の処理対象の送信元MACアドレスを有する通信機器が、移動して切断されたとして、構成情報を更新する(ステップS114)。そして、判定部315は、判定したレイヤ2スイッチ50に、今回の処理対象の送信元MACアドレスを有する通信機器10が、移動して接続されたとして、構成情報を更新し(ステップS115)、ステップS108の処理に戻る。
このように、第一の実施の形態に係る異常検出装置30は、各通信機器10の通信特徴量を取得し、通信特徴量に含まれる送信元MACアドレスごとに、当該通信機器10と接続するレイヤ2スイッチ50単位の発着パケット数の合計値またはバイト数の合計値を算出し、各送信元MACアドレスについて、発着パケット数の合計値またはバイト数の合計値が最も多いレイヤ2スイッチ50に、送信元MACアドレスに対応する通信機器10が接続されたものとして判定する。このため、通信機器10の接続状況を適切かつ容易に把握することが可能である。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、上記の実施形態で述べた異常検出装置30の機能を実現するプログラムを所望の情報処理装置(コンピュータ)にインストールすることによって実装できる。例えば、パッケージソフトウェアやオンラインソフトウェアとして提供される上記のプログラムを情報処理装置に実行させることにより、情報処理装置を異常検出装置30として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータ、ラック搭載型のサーバコンピュータ等が含まれる。また、その他にも、情報処理装置にはゲートウェイ装置、スマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistants)等がその範疇に含まれる。また、異常検出装置30を、クラウドサーバに実装してもよい。
20A、20B ゲートウェイ装置
30 異常検出装置
40 サーバ
50A〜50C レイヤ2スイッチ
60A、60B ルータ
100 異常検出システム
311 学習部
312 異常検出部
313 取得部
314 算出部
315 判定部
316 計数部
317 入力部
318 表示部
319 保存データ検索部
320 通信部
321 OS
322 学習データ保存部
323 通信特徴量保存部
324 リスト保存部
325 構成情報保存部
Claims (6)
- 各通信機器の通信特徴量を取得する取得部と、
前記取得部によって取得された通信特徴量に含まれる送信元MACアドレスごとに、当該通信機器と接続するレイヤ2スイッチ単位の発着パケット数の合計値またはバイト数の合計値を算出する算出部と、
各送信元MACアドレスについて、前記算出部によって算出された発着パケット数の合計値またはバイト数の合計値が最も多いレイヤ2スイッチに、前記送信元MACアドレスに対応する通信機器が接続されたものとして判定する判定部と、
前記取得部によって取得された通信特徴量に存在しないが、前記通信機器の接続状態に関する情報を含む構成情報に存在する送信元MACアドレスがある場合には、当該送信元MACアドレスについて、未通信時間を計数する計数部と
を備え、
前記判定部は、通信が発生していないと判定した通信機器に接続されていたレイヤ2スイッチにおいて、前記計数部によって計数された未通信時間が所定時間を経過する前に、新規に接続された通信機器があり、通信が発生していないと判定した通信機器の数と新規に接続された通信機器の数とが一致する場合には、通信機器が交換されたと判定することを特徴とする異常検出装置。 - 前記判定部は、前記計数部によって計数された未通信時間が所定時間を経過した場合には、前記通信機器は通信の接続断があったと判定することを特徴とする請求項1に記載の異常検出装置。
- 前記判定部は、判定結果に応じて、前記通信機器の接続状態に関する情報を含む構成情報を更新することを特徴とする請求項1または2に記載の異常検出装置。
- 前記各通信機器の正常動作時における通信特徴量に基づき、前記通信機器の異常を検出する異常検出部と、
前記異常検出部によって前記通信機器の異常を検出した場合には、当該通信機器が接続するレイヤ2スイッチに対応するネットワークを、前記異常を検出した通信機器が属するネットワークとして表示する表示部とをさらに備えることを特徴とする請求項1から3のいずれか一つに記載の異常検出装置。 - 異常検出装置によって実行される異常検出方法であって、
各通信機器の通信特徴量を取得する取得工程と、
前記取得工程によって取得された通信特徴量に含まれる送信元MACアドレスごとに、当該通信機器と接続するレイヤ2スイッチ単位の発着パケット数の合計値またはバイト数の合計値を算出する算出工程と、
各送信元MACアドレスについて、前記算出工程によって算出された発着パケット数の合計値またはバイト数の合計値が最も多いレイヤ2スイッチに、前記送信元MACアドレスに対応する通信機器が接続されたものとして判定する判定工程と、
前記取得工程によって取得された通信特徴量に存在しないが、前記通信機器の接続状態に関する情報を含む構成情報に存在する送信元MACアドレスがある場合には、当該送信元MACアドレスについて、未通信時間を計数する計数工程と
を含み、
前記判定工程は、通信が発生していないと判定した通信機器に接続されていたレイヤ2スイッチにおいて、前記計数工程によって計数された未通信時間が所定時間を経過する前に、新規に接続された通信機器があり、通信が発生していないと判定した通信機器の数と新規に接続された通信機器の数とが一致する場合には、通信機器が交換されたと判定することを特徴とする異常検出方法。 - 各通信機器の通信特徴量を取得する取得ステップと、
前記取得ステップによって取得された通信特徴量に含まれる送信元MACアドレスごとに、当該通信機器と接続するレイヤ2スイッチ単位の発着パケット数の合計値またはバイト数の合計値を算出する算出ステップと、
各送信元MACアドレスについて、前記算出ステップによって算出された発着パケット数の合計値またはバイト数の合計値が最も多いレイヤ2スイッチに、前記送信元MACアドレスに対応する通信機器が接続されたものとして判定する判定ステップと、
前記取得ステップによって取得された通信特徴量に存在しないが、前記通信機器の接続状態に関する情報を含む構成情報に存在する送信元MACアドレスがある場合には、当該送信元MACアドレスについて、未通信時間を計数する計数ステップと
をコンピュータに実行させ、
前記判定ステップは、通信が発生していないと判定した通信機器に接続されていたレイヤ2スイッチにおいて、前記計数ステップによって計数された未通信時間が所定時間を経過する前に、新規に接続された通信機器があり、通信が発生していないと判定した通信機器の数と新規に接続された通信機器の数とが一致する場合には、通信機器が交換されたと判定することを特徴とする異常検出プログラム。
Priority Applications (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018103876A JP6927155B2 (ja) | 2018-05-30 | 2018-05-30 | 異常検出装置、異常検出方法および異常検出プログラム |
CN201980035133.3A CN112204928B (zh) | 2018-05-30 | 2019-05-28 | 异常检测装置、异常检测方法及记录介质 |
EP19812367.1A EP3787240B1 (en) | 2018-05-30 | 2019-05-28 | Device for anomaly detection, method and program for anomaly detection |
US17/059,186 US11316770B2 (en) | 2018-05-30 | 2019-05-28 | Abnormality detection apparatus, abnormality detection method, and abnormality detection program |
PCT/JP2019/021163 WO2019230739A1 (ja) | 2018-05-30 | 2019-05-28 | 異常検出装置、異常検出方法および異常検出プログラム |
AU2019277439A AU2019277439B2 (en) | 2018-05-30 | 2019-05-28 | Abnormality detection apparatus, abnormality detection method, and abnormality detection program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018103876A JP6927155B2 (ja) | 2018-05-30 | 2018-05-30 | 異常検出装置、異常検出方法および異常検出プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019208180A JP2019208180A (ja) | 2019-12-05 |
JP6927155B2 true JP6927155B2 (ja) | 2021-08-25 |
Family
ID=68698813
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018103876A Active JP6927155B2 (ja) | 2018-05-30 | 2018-05-30 | 異常検出装置、異常検出方法および異常検出プログラム |
Country Status (6)
Country | Link |
---|---|
US (1) | US11316770B2 (ja) |
EP (1) | EP3787240B1 (ja) |
JP (1) | JP6927155B2 (ja) |
CN (1) | CN112204928B (ja) |
AU (1) | AU2019277439B2 (ja) |
WO (1) | WO2019230739A1 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
AU2019455635B2 (en) * | 2019-06-24 | 2023-04-20 | Nippon Telegraph And Telephone Corporation | Information processing device, control method, and control program |
DE102019220249A1 (de) * | 2019-12-19 | 2021-06-24 | Siemens Mobility GmbH | Übertragungsvorrichtung zum Übertragen von Daten |
JP7298646B2 (ja) * | 2021-05-19 | 2023-06-27 | 横河電機株式会社 | ネットワークシミュレータ、ネットワークシミュレーション方法およびネットワークシミュレーションプログラム |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH08237249A (ja) | 1995-02-28 | 1996-09-13 | Oki Electric Ind Co Ltd | ネットワーク管理システム |
JP3964907B2 (ja) * | 2002-10-11 | 2007-08-22 | ノキア コーポレイション | 性能最適化を伴う動的なトンネルピアリング |
US8005009B2 (en) * | 2004-06-25 | 2011-08-23 | InMon Corp. | Methods and computer programs for generating data traffic matrices |
JP4420218B2 (ja) * | 2004-09-13 | 2010-02-24 | 日本電気株式会社 | 中継ノード設置ポイント選択方法/プログラム/記録媒体/装置、基地局、マルチホップネットワークシステム |
JP2006352831A (ja) * | 2005-05-20 | 2006-12-28 | Alaxala Networks Corp | ネットワーク制御装置およびその制御方法 |
JP4774357B2 (ja) | 2006-05-18 | 2011-09-14 | アラクサラネットワークス株式会社 | 統計情報収集システム及び統計情報収集装置 |
CN100591049C (zh) * | 2007-05-11 | 2010-02-17 | 华为技术有限公司 | 网络中邻接关系的建立方法及装置 |
JP4667437B2 (ja) * | 2007-10-02 | 2011-04-13 | 日本電信電話株式会社 | 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム |
JP5264966B2 (ja) * | 2011-07-26 | 2013-08-14 | 株式会社日立製作所 | 通信装置 |
JP5718198B2 (ja) * | 2011-09-15 | 2015-05-13 | アラクサラネットワークス株式会社 | ネットワーク管理システム、及び装置 |
JP5786733B2 (ja) * | 2012-01-27 | 2015-09-30 | 富士通株式会社 | 監視装置、プログラム及び監視方法 |
JP6357793B2 (ja) * | 2014-02-17 | 2018-07-18 | 日本電気株式会社 | ネットワーク監視装置、システム、方法及びプログラム |
US10389606B2 (en) * | 2016-03-25 | 2019-08-20 | Cisco Technology, Inc. | Merging of scored records into consistent aggregated anomaly messages |
-
2018
- 2018-05-30 JP JP2018103876A patent/JP6927155B2/ja active Active
-
2019
- 2019-05-28 WO PCT/JP2019/021163 patent/WO2019230739A1/ja unknown
- 2019-05-28 CN CN201980035133.3A patent/CN112204928B/zh active Active
- 2019-05-28 US US17/059,186 patent/US11316770B2/en active Active
- 2019-05-28 EP EP19812367.1A patent/EP3787240B1/en active Active
- 2019-05-28 AU AU2019277439A patent/AU2019277439B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
EP3787240B1 (en) | 2024-01-03 |
US20210218659A1 (en) | 2021-07-15 |
US11316770B2 (en) | 2022-04-26 |
CN112204928A (zh) | 2021-01-08 |
EP3787240A4 (en) | 2022-01-19 |
WO2019230739A1 (ja) | 2019-12-05 |
EP3787240A1 (en) | 2021-03-03 |
JP2019208180A (ja) | 2019-12-05 |
AU2019277439B2 (en) | 2022-06-30 |
CN112204928B (zh) | 2022-07-15 |
AU2019277439A1 (en) | 2020-12-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10356106B2 (en) | Detecting anomaly action within a computer network | |
US9130983B2 (en) | Apparatus and method for detecting abnormality sign in control system | |
CN108429651B (zh) | 流量数据检测方法、装置、电子设备及计算机可读介质 | |
JP6927155B2 (ja) | 異常検出装置、異常検出方法および異常検出プログラム | |
US8584237B2 (en) | Improper communication detection system | |
EP3223495B1 (en) | Detecting an anomalous activity within a computer network | |
CN111600863B (zh) | 网络入侵检测方法、装置、系统和存储介质 | |
WO2011010823A2 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
KR20140088340A (ko) | 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법 | |
US20070234425A1 (en) | Multistep integrated security management system and method using intrusion detection log collection engine and traffic statistic generation engine | |
CN112422554B (zh) | 一种检测异常流量外连的方法、装置、设备及存储介质 | |
JP2017219947A (ja) | 異常検出装置、異常検出方法及び異常検出プログラム | |
CN111786986B (zh) | 一种数控系统网络入侵防范系统及方法 | |
KR20160002269A (ko) | Sdn 기반의 arp 스푸핑 탐지장치 및 그 방법 | |
CN110247893B (zh) | 一种数据传输方法和sdn控制器 | |
US20190166139A1 (en) | Network protection device and network protection system | |
WO2007029396A1 (ja) | 情報システム | |
CN111010362B (zh) | 一种异常主机的监控方法及装置 | |
US11595419B2 (en) | Communication monitoring system, communication monitoring apparatus, and communication monitoring method | |
JP2020053928A (ja) | 不正アクセス監視装置および方法 | |
JP2019213029A (ja) | 感染拡大攻撃検知システム及び方法、並びに、プログラム | |
TWI642285B (zh) | 網路交換機的主機狀態偵測方法與系統 | |
CN107659445B (zh) | 实时检测网络中设备类型的方法和网络拓扑链路计算方法 | |
KR20100119039A (ko) | 6LoWPAN에서 봇넷 공격을 탐지하는 방법 | |
JP6581053B2 (ja) | フロー解析装置、トラフィック解析システム、及びフロー解析方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191107 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201020 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201221 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210427 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210625 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210706 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210719 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6927155 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |