JP6955912B2 - ネットワーク監視装置、そのシステム、およびその方法 - Google Patents

ネットワーク監視装置、そのシステム、およびその方法 Download PDF

Info

Publication number
JP6955912B2
JP6955912B2 JP2017119715A JP2017119715A JP6955912B2 JP 6955912 B2 JP6955912 B2 JP 6955912B2 JP 2017119715 A JP2017119715 A JP 2017119715A JP 2017119715 A JP2017119715 A JP 2017119715A JP 6955912 B2 JP6955912 B2 JP 6955912B2
Authority
JP
Japan
Prior art keywords
packet
feature amount
packets
model
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017119715A
Other languages
English (en)
Other versions
JP2019004419A (ja
Inventor
藤嶋 堅三郎
堅三郎 藤嶋
直輝 谷田
直輝 谷田
大橋 哲也
哲也 大橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2017119715A priority Critical patent/JP6955912B2/ja
Publication of JP2019004419A publication Critical patent/JP2019004419A/ja
Application granted granted Critical
Publication of JP6955912B2 publication Critical patent/JP6955912B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、機器同士がネットワークに接続されたシステムにおいて、ネットワーク上を流れるパケットの解析に基づき通信の特徴量を抽出し、その変化を監視する技術に関する。
従来、特許文献1に示すように、機器の認証に関わるパケットを解析し、1または複数の認証に関わる不審挙動の条件を満たすかどうかを監視するネットワーク監視技術が知られている。本先行技術は、複数の前記不審挙動の条件を監視することで、不正アクセスが発生しているか否かの判定精度を向上させる技術である。
特開2014−86822号公報
従来技術では、(1)モデルの監視観点を増やすほどモデルから外れた通信挙動の有無を監視するための処理量が増加することと、(2)どの監視観点がモデルとして適切か、つまりモデル化される通常時の通信と、監視対象となる異常発生時の通信に違いが出るか、がモデル作成時点で不明な場合があるという課題がある。
本発明の目的は、機器同士がネットワークに接続されたシステムにおいて、不正アクセス等に基づくネットワーク上の不審な通信を早期に検出することにある。
上記課題を解決するため、本発明は、好ましい一例として、ネットワークを流れるパケットを監視するネットワーク監視装置であって、処理部と、インターフェースとを有し、インターフェースは、前記ネットワークのパケットをキャプチャするパケットキャプチャ部を有し、前記処理部は、学習期間及び監視期間において、キャプチャしたパケットからパケット特徴量を複数の監視観点で抽出し、前記学習期間において、複数の監視観点で抽出した前記パケット特徴量に対して定常性の判定をし、定常性があると判定した前記監視観点についてのモデルの作成をし、前記学習期間に定常性があるとした前記監視観点について、前記監視期間において抽出した前記パケット特徴量と、前記モデルとを比較して異常通信有無を判定する。
本発明によれば、機器同士がネットワークに接続されたシステムにおいて、不正アクセス等に基づくネットワーク上の不審な通信を早期に検出できる。
一実施例に関わるシステム構成を示す図。 ネットワーク監視装置を示す図。 モデル作成時の動作シーケンスを示す図。 通信監視時の動作シーケンスを示す図。 パケット分類部の動作フローを示す図。 分類法蓄積部を示す図。 パケット分類毎のパケットキューを示す図。 モデル作成時におけるパケット特徴量抽出部を説明する図。 通信監視時におけるパケット特徴量抽出部を説明する図。 特徴量項目のインデックスを説明する図。 特徴量計算結果を示す図。 パケット特徴量選択学習部を説明する図。 特徴量の定常性有無判定を説明する図。 監視観点選択蓄積部を説明する図。 モデル蓄積部を説明する図。 パケット特徴量検証部を説明する図。 異常通知を説明する図。 ネットワーク監視装置を説明する図。
図1は、一実施例であるシステム構成を示す図である。本実施例では、ネットワーク監視装置104と、104の監視対象となる通信機能を有する機器101−1および101−2があり、機器101−1および機器101−2の間でシステム動作に必要な通信が為されている。機器間の通信を媒介するのは、ネットワークスイッチ103である。各監視対象の機器101及び本実施例によるネットワーク監視装置104は、ネットワークスイッチ103のインターフェースである入出力ポート102−1、102−2、102−3にそれぞれ通信ケーブルを通して接続されている。
ネットワーク監視装置104は、システム内のパケットをパッシブに監視するため、ネットワークスイッチ103の入出力ポート102−3に対し、入出力ポート102−1および入出力ポート102−2で送受信されるパケットをミラーリングすることが望ましい。
図2は、一実施例であるネットワーク監視装置104を示す図である。このネットワーク監視装置104でモデル作成と通信監視を行うため、装置全体としてモデル作成モードと、通信監視モードの2つのモードを有する。
111はパケットキャプチャ部である。図1の入出力ポート102−3を介してミラーリング出力されたネットワーク上のパケットをキャプチャし、次のブロックが処理するまで一時的にバッファに蓄積するブロックである。111でキャプチャしたパケットを基に、モデルの作成や通信監視に活用するため、モデル作成モードと通信監視モードの両モードで動作する。
112はパケット分類部である。パケットキャプチャ部111に一時的に蓄積されたパケットを、IPアドレスとポート番号の組合せ(Source IPアドレス、Destination IPアドレス、Source Port番号、Destination Port番号)で分類し、分類毎にパケットキューに蓄積する。この分類は、通信する機器(ハードウェア)および機器上で動作するアプリケーション(ソフトウェア)の組合せの分類に相当し、その組合せ毎に通信の特徴が異なると考えられるため、本実施例ではモデル作成や通信監視を、この組合せ単位で実施することを想定する。モデル作成時と通信監視時で、パケット分類法を揃えるため、モデル作成時に適用したパケット分類法を分類法蓄積部121に記憶しておき、通信監視時に参照し、モデル作成時と同じ分類法でパケットを分類する。
113−1および113−2は、それぞれモデル作成時、通信監視時に使用するパケット特徴量抽出部である。特徴量抽出は、パケットの長さや通信継続時間など様々な監視観点に基づき実施される。接続先の機能ブロック(114と115)を明確に区別するため、パケット特徴量抽出部113−1と113−2を別の機能ブロックとして記載しているが、パケット分類部112がキューに蓄積した結果を入力し、パケット通信の特徴量を計算するという観点で、論理的には同一なものである。ただし、通信監視時は、定常性を有さない監視観点に関しては、特徴量の計算をスキップする。どのパケット分類、およびどの監視観点について特徴量の計算を行う、または計算をスキップするかの判断は、後述する監視観点選択蓄積部122に蓄積されたテーブルを参照して行う。
114は、モデル作成時に使用するパケット特徴量選択学習部である。パケット特徴量抽出部113−1で抽出された様々な監視観点に基づき得られたパケット特徴量を入力とし、各監視観点で定常性を有するかどうかの判断を行い、定常性を有する場合は通信監視時に特徴量計算やモデルとの照合を行い、定常性を有さない場合は通信監視時に特徴量計算やモデルとの照合を行わない、という制御を行うため、監視観点毎に通信監視等を行うか行わないかを示すイネーブラ1403を生成し、結果を監視観点選択蓄積部122に蓄積する。監視観点選択蓄積部122へ蓄積されたイネーブラ1403は、通信監視時のパケット特徴量抽出部113−2において特徴量の計算を行うかスキップするかどうかの判断、ならびに115においてモデルとの照合をスキップするかどうかの判断に使用される。
また、パケット特徴量選択学習部114は定常性を有すると判断された監視観点に関するモデルを作成し、モデル蓄積部123へ蓄積する。
115は、特徴量抽出部113−2による特徴量抽出結果とモデル蓄積部123に蓄積したモデルとの比較に基づき通信異常の発生有無を判断するパケット特徴量検証部115である。通信異常の発生を検出した場合、パケット特徴量検証部115は異常が発生したことを通知部116へ出力する。ここで、モデルとの比較を行うのは、モデル蓄積部123にてイネーブラ1403が立っているパケット分類と監視観点の組合せである。
116は異常通信検出時に、検出したことをシステム利用者に通知するための通知部であり、画面への標準出力やプリンタへの出力など、システム利用者に通知できれば何でもよい。
図3は、一実施例であるモデル作成時の動作シーケンスである。
パケットキャプチャ部111にパケットが到着する度にパケット分類部112が起動される。パケット分類部112はキャプチャしたパケットのヘッダを参照しながら、各パケットをIPアドレスとポート番号の組合せのいずれかに分類し、分類毎のパケットキューに蓄積する。パケット分類部112はモデル作成に使用するパケットのキャプチャ時間を管理しており、キャプチャ開始時間から必要時間経過後にパケットキャプチャを終了し、パケット特徴量抽出部113−1を起動する。この段階では、パケット分類毎のキュー各々に対し、1または複数のパケットが格納されている状態である。なお、パケット分類方法を蓄積する分類法蓄積部121は、パケットキャプチャ開始前は空であり、未知のIPアドレスとポート番号の組合せのパケットが検出されるたびに、当該IPアドレスとポート番号の組合せが追加される形で蓄積される。S1001は、以上の通りパケットの分類およびキューへの蓄積、キャプチャ時間の管理、および分類法蓄積部121のアップデートを担当する。
パケット特徴量抽出部113−1は、パケット分類部112によってモデル作成に必要な期間のパケットキャプチャ完了後に起動され、全てのパケット分類および全ての監視観点に関して、パケットキュー内の全パケットに関する特徴量の計算が完了すると、パケット特徴量選択学習部114を起動する。S1002は、上記の特徴量計算を担当する。
パケット特徴量選択学習部114は、パケット特徴量抽出部113−1により特徴量計算が完了すると起動され、全てのパケット分類および全ての監視観点に関する特徴量が定常性を有するかどうかの判定を行い、その判定結果をイネーブラ1403として監視観点選択蓄積部122へ蓄積することと、上記判定結果が定常性ありの場合に、当該パケット分類および監視観点に関する特徴量からモデルを作成し、モデル蓄積部123へ蓄積する。S1003は、上記の定常性有無判定と、判定結果の蓄積、定常性を有するパケット分類および監視観点に関するモデルの作成および結果の蓄積を担当する。
図4は、一実施例である通信監視時の動作シーケンスである。
パケットキャプチャ部111にパケットが到着する度にパケット分類部112が起動され、パケット分類部112はキャプチャしたパケットのヘッダを参照しながら、各パケットをIPアドレスとポート番号の組合せのいずれかに分類し、分類毎のパケットキューに蓄積する。パケットの分類方法は、分類法蓄積部121に蓄積されているモデル作成時の結果を参照する。ここで、モデル作成時と異なり、未知のIPアドレスとポート番号の組合せのパケットが検出されると、パケット分類部112はモデルとの照合を待たずに異常通信発生と見なし、通知部116へ通知を行う。パケット分類部112はモデル作成に使用するパケットのキャプチャ時間を管理しており、例えば1秒毎など定期的にパケット特徴量抽出部113−2を起動する。
短い時間間隔で定期的に起動することで、パケット解析のリアルタイム性を確保する。S1011は、パケットの分類およびキューへの蓄積、未知のIPアドレスとポート番号組合せ検出時の異常通信検知通知の発行、定期的な113−2の起動を担当する。
パケット特徴量抽出部113−2は、パケット分類部112によって定期的に起動され、パケット分類部112によって区切られた時間毎のパケット分類結果をパケットキューから取得する。取得した時間区切りごとのパケットを対象に、監視観点選択蓄積部122にてイネーブラ1403が立っているパケット分類および監視観点の組合せに関する特徴量計算を行い、該当する全ての特徴量計算が完了するとパケット特徴量検証部115を起動する。S1012は、特徴量計算がイネーブルされているパケット分類および監視観点の組合せに関する特徴量計算と、計算完了後のパケット特徴量検証部115起動を担当する。
パケット特徴量検証部115は、特徴量計算およびモデルとの照合がイネーブルされているパケット分類および監視観点の組合せに関して、計算された特徴量と、モデル蓄積部123に蓄積されているモデルとの照合を行い、前者がモデルから外れているか否かの判定を行い、モデルから外れていると判断された場合に異常通信発生と見なし、通知部116へ通知を行う。S1013は、計算された特徴量と作成されたモデルとの照合、特徴量がモデルから外れているかどうかの判定、外れている場合の異常通信発生通知を担当する。
通知部116は、パケット分類部112またはパケット特徴量検証部115から異常通信発生通知を受けると起動し、システム利用者に対して異常通信発生を知らせる。異常通信発生を知らせる手段として、画面への文字出力や、プリンタへの出力が挙げられる。S1014は、上記の画面への文字出力や、プリンタへの出力など、システム利用者に対する通知を担当する。
図5は、一実施例であるパケット分類部112の動作フローを示す図である。
S2001にて電源投入と共にパケット分類部112が起動すると、S2002にてパケット特徴量抽出部113−1または113−2を起動する条件を満たしているかどうかを確認する。モデル作成時は全てのパケット分類が完了した後、通信監視時は1秒毎など定期的な起動周期に達しているかどうかを確認する。起動条件を満たしている場合は、S2008にてパケット特徴量抽出部113−1または113−2に対して起動トリガを発行する。どちらを起動するかは、モデル作成モードか通信監視モードかの状態に依存する。
S2003は、パケットキャプチャ部111からのパケット入力があるかどうかを見ており、パケット入力が無い場合はS2002へ戻り、パケット入力がある場合はS2004へ進む。
S2004は、入力されたパケットのヘッダから、パケット分類に必要なIPアドレスとポート番号の組合せを抽出する。抽出した組合せが何番目の組合せか、インデックスをサーチするのがS2005である。パケットの分類法は図6のような形式で蓄積され、IPアドレスとポート番号の組合せからインデックスをテーブル引きする。このテーブル、ならびに後述するパケットキューは、S2001の起動段階で空の状態で初期化される。
S2006では、S2005にてインデックスをテーブル引きできたかどうかを判断している。テーブル引きできた場合はS2007に進み、インデックスに対応するパケットキューに入力パケットを格納する。パケットキューは図7のような形でインデックス毎に管理される。テーブル引きできなかった場合、モデル作成時はS2009に進み図6テーブルへのインデックス追加と、併せてパケットキューの追加を行ったあと、S2007にて新規作成したインデックスに対応するパケットキューに入力パケットを格納する。通信監視時はS2010に進み、通知部116に対して異常通信検知を通知する。S2007やS2010の処理が終わった後は、S2002に戻りパケット特徴量抽出部の起動条件確認処理を行う。
図6は、一実施例である分類法蓄積部121を示す図である。2つの装置に関する情報602(Host1およびHost2)および各装置で動作するアプリケーションに関する情報603(Port1、Port2、Protocol)のユニークな組合せ毎にパケット分類インデックス601を割り当てている。Host1、Host2の実施例としてはIPアドレス、Port1、Port2の実施例としては、TCPやUDPで使用されるポート番号、ProtocolはIPヘッダに格納されているプロトコル番号に相当するTCPやUDPなどを記録する。Host1およびPort1がSource側、Host2およびPort2がDestination側とする。
図7は、一実施例であるパケット分類毎のパケットキューを示す図である。パケット本体はヘッダとペイロードで構成され、パケット分類部112がヘッダからパケット分類、すなわち図6の表作成に必要なIPアドレスやポート番号などを抽出する。抽出したIPアドレスやポート番号の情報が、図6の表のインデックスの何番目に相当するかをサーチし、当該インデックに相当するパケットキューに対しパケット本体を格納する。モデル作成時に新規のIPアドレスやポート番号の組合せが検出されると、当該組合せに対応するインデックスを新規に発行し、パケットキューもインデックス生成に合わせて追加で生成する。
図8は、一実施例であるモデル作成時におけるパケット特徴量抽出部を説明する図である。
S2101で電源投入と共にパケット特徴量抽出部113−1または113−2が起動すると、S2102にてパケット分類部112における処理S2008が発行する起動トリガを待つ。トリガが来るまでS2102にて無限ループで待ち、トリガが来るとS2103に進む。
S2103はパケットキュー(すなわちパケット分類)のパケット分類インデックスに関するfor文の先頭、S2104は特徴量項目のインデックスに関するfor文の先頭である。特徴量項目のインデックスについては、図10の説明として後述する。それぞれのfor文の終端は、S2103−2およびS2104−2である。
S2105では、パケット分類インデックス、ならびに特徴量項目のインデックスに関し、パケットキューに格納されているパケットを対象に特徴量計算を行う。特徴量計算に関しては、図10の説明として後述する。
2重のfor文が完了すると、S2106にてパケット特徴量選択学習部114を起動する。起動完了後は、S2102に戻り、パケット分類部112からの起動トリガを再度待つ。
図9は、一実施例である通信監視時におけるパケット特徴量抽出部を説明する図である。ほぼ図8と同じであるが、S2104の後にS2107の条件分岐が追加されている点と、S2106がS2108に差し替えられている点が異なる。
S2107では、パケット分類インデックス、ならびに特徴量項目のインデックスに関し、イネーブラ1403のチェックを行う。イネーブラ1403が立っている場合はS2015にて特徴量計算を行い、イネーブラ1403が立っていない場合は特徴量計算をスキップする。
S2108では、パケット特徴量検証部115を起動する。起動完了後は、S2102に戻り、パケット分類部112からの起動トリガを再度待つ。通信監視時におけるパケット特徴量抽出部が起動している期間を監視期間とする。
図10は、一実施例である特徴量項目のインデックスを説明する図である。
第一列に特徴量項目のインデックス1001、第二列に特徴量項目の名称1002、第三列に特徴量のデータフォーマット1003が記載されている。図9のfor文で参照するインデックスは、本図の第一列のインデックスに相当する。
ここで、特徴量の計算方法について説明する。第三列にリスト型、レンジ型、ベクトル型というタイプを定義しているため、そのタイプごとに説明する。IntegerやFloatは、それぞれ特徴量の値が整数か浮動小数点かを表す。
リスト型とは、パケット毎またはパケット群毎に1つの特徴量が抽出され、複数の特徴量が抽出された際に、特徴量の重複排除を行い、ユニークな特徴量がリスト化されるようにモデル化する方法を指す。例えば、パケット長はパケット毎に長さという特徴量を有する。パケットキューに3パケット存在し、それぞれの長さが60バイト、90バイト、60バイトだった場合、60バイトが重複するため、モデルとしては重複排除した60バイト、90バイトの2値で構成されるリストとする。
レンジ型とは、パケット毎またはパケット群毎に1つの特徴量が抽出され、複数の特徴量が抽出された際に、その最大値と最小値を抽出し、それぞれの値に対し任意のスケーリングファクタ(異常検出感度を調整する任意のパラメータ)を作用させたうえで、正常範囲と見なす特徴量の上限値と下限値を求める。その上限値と下限値をモデルとする。
ベクトル型とは、パケット毎に複数の特徴量が抽出される。ペイロードのバイト列の類似性を評価する場合、ペイロードの1バイト目、2バイト目などを要素とするベクトルが特徴量として抽出される。パケット毎にベクトルが生成されるが、モデルとしてはパケットキュー内の全パケットのベクトルに対し、2つの代表ベクトルをモデルとする。
具体的には、例えばシーケンス番号など、パケット毎にインクリメントされるバイト位置が0、パケットキュー内の全パケット間で完全同一な値となるバイト位置が1となるベクトル(すなわち、バイト毎のマスクを行うマスクベクトル)と、当該マスクベクトルと各パケットのベクトルを、要素ごとに掛け算した結果のベクトル、つまり合計2つのベクトルをモデルとする。なお、後者のベクトルは、パケットキュー内のベクトル全てについて計算可能であるが、上記マスクベクトルの定義により、パケット間で値が異なる要素はマスクベクトルで0化されるため、マスクベクトル作用後のベクトルが全パケットにつき完全同一となる。
また、上で述べたパケット毎またはパケット群毎に1つの特徴量が抽出されるという点について、前者の例はパケットの長さである。後者の例は通信継続時間である。通信継続時間は、TCPパケットのSYNフラグが立ったパケットのタイムスタンプから、同じくFINフラグ(またはRSTフラグ)が立ったパケットのタイムスタンプの間の時間であり、その区間の間に複数のパケットがやりとりされる。その複数のパケットをパケット群と呼んでいる。
このように、モデルの型としてはリスト型、レンジ型、ベクトル型があり、特徴量抽出の単位としてはパケット毎、パケット群毎がある。
図11は、一実施例である特徴量計算結果を示す図である。第一列はパケット分類インデックス1101、第ニ列は特徴量項目インデックス1102、第三列以降は特徴量1103−1106を示す。
図8および図10の説明で述べた通り、パケット分類インデックスおよび特徴量項目のインデックス毎(図10参照)に特徴量を計算する。パケットキューに格納されている全パケットを対象として特徴量計算を行うため、特徴量が複数出る場合がある。
図11の1段目は、一つ目のパケットキューに関し、パケット長の特徴量を抽出した結果である。パケットキュー内の最初の3パケットは、全てパケット長が368バイトであることを示している。実際は4パケット目以降も同様にテーブル化する。
同じく2段目は、一つ目のパケットキューに関し、通信継続時間の特徴量を抽出した結果である。SYNフラグの立ったパケットからFINフラグの立ったパケットまでの経過時間がテーブル化されており、同図の例では第1パケット群が1.2秒、第2パケット群が1.1秒、第3パケット群が0.3秒であることを示す。実際は、第4パケット群以降も同様にテーブル化する。
同じく3段目は、一つ目のパケットキューに関し、ペイロードのバイト列を特徴量として抽出した結果である。ここでは例として、ペイロードの先頭4バイトを特徴量のベクトルとして抽出しているが、抽出するバイト位置や長さはコンフィグ可能とする。パケットキュー内の最初の3パケットに関し、一つ目のパケットの先頭4バイトが0x5A, 0xA5, 0x5A, 0xA5、二つ目のパケットは0x5A, 0xA5, 0x5A, 0xA6、三つ目のパケットは0x5A, 0xA5, 0x5A, 0xA7であることを示す。実際は、第4パケット以降も同様にテーブル化する。
同じく4段目は、二つ目のパケットキューに関し、パケット長を特徴量として抽出した結果である。1段目と異なり、パケット毎に長さが異なる例である。
図12は、一実施例であるパケット特徴量選択学習部を説明する図である。
S2201で電源投入と共にパケット特徴量選択学習部が起動すると、S2202にてパケット特徴量抽出部113−1における処理S2106が発行する起動トリガを待つ。トリガが来るまでS2202にて無限ループで待ち、トリガが来るとS2103に進む。
S2103およびS2104に関わるパケット分類インデックスに関するループ、ならびに特徴量項目インデックスに関するループは、図8と同様である。
S2203では、パケット分類インデックスおよび特徴量項目インデックス毎に、パケット特徴量抽出部113−1で抽出した特徴量(図11参照)が、定常性を有するかどうかの判定を行い、定常性を有する場合はモデルを作成した上でイネーブラ1403をEnableとし、定常性を有さない場合はイネーブラ1403をDisableとする。イネーブラ1403は監視観点選択蓄積部122に蓄積され、作成したモデルはモデル蓄積部123に蓄積される。二つのfor文完結後、S2202に戻りパケット特徴量抽出部113−1からの起動トリガを待つ。パケット特徴量選択学習部が起動している期間を学習期間とする。
特徴量が定常性を有するか否かの判定については図13、監視観点選択蓄積部122の実施例は図14、モデル蓄積部123の実施例は図15にそれぞれ示す。
図13は、一実施例である特徴量の定常性有無判定を説明する図である。第一列はパケット分類インデックス1301、第二列は特徴量項目インデックス1302、第三列は定常性評価1303を示す。 定常性評価対象となる特徴量は図11に準ずる。なお、ここでは説明を簡単にするため、図11に省略せず表示されている3つの特徴量の値を対象に定常性評価を行う例を示すが、実際は全ての特徴量を対象に同様の定常性評価を行う。
表の1段目は、一つ目のパケットキューの、パケット長の特徴量に関する定常性評価の例を示す。図11によると、3つの特徴量は全て368バイトであり、重複排除した結果ユニークなパケット長のリストは368バイトのみで構成される。つまり、パケット長のバリエーションが1種類のみであることを示す。本例では、ユニークなパケット長のバリエーションが2種類までの場合を定常性ありと見なし、それを超える場合を定常性なしと見なす。結果、一つ目のパケットキューのパケット長については、定常性ありと判定されている。ここで、2種類という閾値はコンフィグ可能なシステムパラメータであり、図12のS2201の段階で初期設定をする。
対して、表の4段目は、二つ目のパケットキューの、パケット長の特徴量に関する定常性評価の例だが、図11に従うと、重複排除した結果のユニークなパケット長のリストが168、1514、392バイトの3値で構成され、上記のパケット長のバリエーションの閾値条件を満たさないため、定常性なしと判定している。
表の2段目は、一つ目のパケットキューの、通信継続時間の特徴量に関する定常性評価の例である。図11によると、3つの特徴量は1.1、1.2、0.3[秒]である。通信継続時間は処理時間や伝送速度に依存するため、定常性判定するにあたってリスト型のようなユニーク値のバリエーション数は適さない。ここでは、特徴量の平均値と標準偏差の比を評価指標とし、平均÷標準偏差が10を超える場合は定常性あり、10を超えない場合は定常性なしと判断する。同図の例では、平均と標準偏差の比が10を超えていないため定常性なしと判断している。ここで、平均対標準偏差の比=10という閾値はコンフィグ可能なシステムパラメータであり、図12のS2201の段階で初期設定する。
表の3段目は、一つ目のパケットキューの、ペイロードの特徴量に関する定常性評価の例である。図11によると、3つの特徴量にわたって先頭3バイト分の値は完全一致しており、4バイト目の値のみパケット間で異なっている。ここでは、パケット間で完全一致しているバイト数が3以上の場合に定常性あり、2以下の場合に定常性なしと判断する。この例では3バイトが完全一致しているため、定常性ありと判断している。ここで、完全一致しているバイト数に関する閾値は、はコンフィグ可能なシステムパラメータであり、図12のS2201の段階で初期設定する。
以上の結果得られるモデルは、1段目に関してはパケット長リスト=[368]、2段目と4段目は定常性なしのためモデルなし、3段目に関してはペイロードの代表ベクトル[0x5A,0xA5,0x5A,0x00]およびマスクベクトル[1,1,1,0]がモデルとなる。
図14は、一実施例である監視観点選択蓄積部を説明する図である。第一列はパケット分類インデックス1401、第二列は特徴量項目インデックス1402、第三列はイネーブラ1403を示す。
図13にて、パケット分類インデックス毎、および特徴量項目インデックス毎の定常性評価を行ったが、その評価結果が定常性あり(Stable)と判断されたインデックスの組合せに対してはEnable、定常性なし(Unstable)と判断された場合はDisableと記録される。
図15は、一実施例であるモデル蓄積部を説明する図である。第一列はパケット分類インデックス1501、第二列は特徴量項目インデックス1502、第三列はモデル1503を示す。
図13の説明にて、パケット分類インデックス毎、および特徴量項目インデックス毎の定常性評価を行い、定常性があるインデックの組合せに関して生成されるモデルを説明した。定常性がない項目、すなわち図15の表中の2段目と4段目はモデルなしのためN/A(Not Applicable)としており、定常性がある項目については、1段目がパケット長のユニーク値のリスト、すなわち[368]、3段目がペイロードの代表ベクトル[0x5A,0xA5,0x5A,0x00]およびマスクベクトル[1,1,1,0]がモデルとして記録される。
図16は、一実施例であるパケット特徴量検証部を説明する図である。
S2301で電源投入と共にパケット特徴量検証部が起動すると、S2302にてパケット特徴量抽出部113−2における処理S2108が発行する起動トリガを待つ。トリガが来るまでS2302にて無限ループで待ち、トリガが来るとS2103に進む。
S2103およびS2104に関わるパケット分類インデックスに関するループ、ならびに特徴量項目インデックスに関するループは、図8と同様である。
S2303は、パケット分類インデックスおよび特徴項目インデックスに関するイネーブラ1403を監視観点選択蓄積部122のテーブル(図14)からチェックを行う。Disableの場合はS2104−2までスキップし、次のインデックスの組合せの処理を行う。Enableの場合は、S2304の処理に進む。
S2304では、パケット特徴量抽出部113−2が抽出した特徴量(図11)と、モデル(図15)との比較を行う。当該パケット分類インデックスおよび特徴項目インデックスの組合せにおいて、図11に示すように複数の特徴量が出力されるが、その特徴量それぞれとモデルとの比較を行い、少なくとも1つの特徴量がモデルから外れた場合、異常通信として検出する。
例えば、リスト型のモデルの場合、特徴量の値がモデルのリスト内に存在しない場合、異常通信と見なす。レンジ型のモデルの場合、特徴量の値がモデルの正常値上限および下限の範囲から外れている場合、異常通信と見なす。ベクトル型のモデル(ペイロード)の場合、モデルであるペイロードの代表ベクトル(要素数4の例)を[p1, p2, p3, p4]、同じくマスクベクトルを[m1, m2, m3, m4]、観測された特徴量のベクトルを[o1, o2, o3, o4]とすると、m1×o1=p1, m2×o2=p2, m3×o3=p3, m4×o4=p4のいずれかが満たされない場合、異常通信と見なす。
S2305では、S2304にて異常通信と判断したか否かの条件分岐を行う。異常通信と判断した場合はS2306の処理に進み、異常通信でないと判断した場合はS2306の処理をスキップする。
S2306では、図5のS2010と同様、通知部116に対して異常通信検知を通知する。
図17は、一実施例による異常通知を説明する図である。第一列はエラーインデックス1701、第二列は装置情報1702、第三列はアプリケーションに関する情報1703、第四列は異常検知内容1704を示す。
異常通知は、図5のS2010または図16のS2306から発行される。具体的な形式の一例は、図6に基づく異常通知に関するHost、Port、Protocol情報に加えて、具体的な異常内容を通知する。
図16のS2306から異常通知が来る場合、作成したモデルに対し特徴量が外れているため、どの特徴量項目(図10)についてどのような特徴量が検出されたかの情報を含める。具体例としては、図17の1段目の通り、通信監視時に検出されたパケット長の特徴量(ここでは456バイト)が、モデルから外れたことを通知する内容となる。図4の通信監視シーケンスで説明したように、モデル作成時と異なり、未知のIPアドレスとポート番号の組合せのパケットが検出されると、パケット分類部112はモデルとの照合を待たずに異常通信発生と見なし、通知部116へ通知を行う。二段目は、その例を示す。
図5のS2010から異常通知が来る場合、作成したモデルにない通信(IPアドレスとポート番号の組合せ)が検出されたため、モデル外の通信が検出されたことを通知する内容となる。
以上の内容は、異常通知に関するデータ構造であり、このデータ構造に基づき適宜表示方法を定めたうえで画面出力やプリンタ出力する。
図18は、一実施例であるネットワーク監視装置を示す図である。
201は、デバイス間の通信を行うためのバスである。202は、プログラムを格納するメモリである。202には、パケット分類部112、パケット特徴量抽出部113、パケット特徴量選択学習部114、パケット特徴量検証部115が含まれる。203は、プログラムを動作させるCPUなどの演算処理デバイスである。204は、プログラムが使用するメモリであり、分類法蓄積部121、監視観点選択蓄積部122、モデル蓄積部123、および各プログラムの作業領域として使用される。205は、パケットを取込むためのネットワークインターフェースデバイスである。これは、パケットキャプチャ部111に相当する。206は画面やプリンタなどの出力デバイスで、図17に基づく異常検知結果が出力される。
本発明の実施例によれば、モデルの監視観点を増やすほど不正アクセス等の判定精度が増加する一方、モデルから外れた通信挙動の有無を監視するための処理量が増加するという課題に対し、モデル作成時点で定常性を有する監視観点のみ選択してモデル作成およびパケットの監視を行う手段を採ることで、判定精度向上に伴う処理量増加を抑えることができる。また、システム内のネットワーク上に流れるパケット群に対してモデル作成時点で監視観点の候補を複数準備し、複数ある監視観点各々に対して上記パケット群が定常性を有するかどうかの判定を行う過程で、どの監視観点がモデルとして適切か不明、という課題を解決する。
101…通信機能を有する機器
102…ネットワークスイッチ103の入出力ポート
103…ネットワークスイッチ
104…ネットワーク監視装置
111…パケットキャプチャ部
112…パケット分類部
113…パケット特徴量抽出部
114…パケット特徴量選択学習部
115…パケット特徴量検証部
116…通知部
121…分類法蓄積部
122…監視観点選択蓄積部
123…モデル蓄積部
201…バス
202…プログラム格納メモリ
203…演算処理デバイス
204…プログラムから参照するデータの格納メモリ
205…ネットワークインターフェースデバイス
206…出力デバイス

Claims (7)

  1. ネットワークを流れるパケットを監視するネットワーク監視装置であって、
    処理部と、インターフェースとを有し、
    前記インターフェースは、
    前記ネットワークのパケットをキャプチャするパケットキャプチャ部を有し、
    前記処理部は、
    学習期間及び監視期間において、キャプチャしたパケットから、タイムスタンプの間の時間である通信継続時間の特徴量を抽出し、
    前記学習期間において、前記通信継続時間の特徴量に対して定常性の判定をし、定常性があると判定した特徴量についてのモデルの作成をし、
    前記学習期間に定常性があるとした前記特徴量について、前記監視期間において抽出した前記特徴量と、前記モデルとを比較して異常通信有無を判定することを特徴とするネットワーク監視装置。
  2. 請求項1記載のネットワーク監視装置において、前記学習期間に抽出した特徴量が、定常性があるかどうかを、パケット長の特徴量、もしくはペイロードのベクトルの特徴量のそれぞれに定常性を判断する閾値を設け、その閾値に基づいて定常性を判定し、定常性がある場合には、前記パケット長の値、および前記ペイロードのベクトルをモデルとして記録することを特徴とするネットワーク監視装置。
  3. 請求項2記載のネットワーク監視装置において、パケットの送信元に対応する機器、パケットの送信先に対応する機器、パケットの送信元で使用されるアプリケーション、パケットの送信先で使用されるアプリケーションに基づいてパケットを分類し、分類したパケット各々に対して、定常性があるかどうかを判定し、判定結果をイネーブラとして記録することを特徴とするネットワーク監視装置。
  4. 請求項3記載のネットワーク監視装置において、前記監視期間において、分類後のパケットに対するイネーブラを参照し、定常性がないと判定したパケットについては、パケット特徴量の抽出をスキップすることを特徴とするネットワーク監視装置。
  5. 請求項1記載のネットワーク監視装置において、前記通信継続時間の前記特徴量に対しての定常性の判定は、複数の当該特徴量の平均と標準偏差に基づいて判定することを特徴とするネットワーク監視装置。
  6. 監視対象となる機器間はネットワークを介して接続しており、該ネットワークを流れるパケットを監視するネットワーク監視システムであって、該パケットをキャプチャするインターフェースと、該キャプチャしたパケットに基づいて演算処理をする処理部とを有し、
    前記処理部は、
    前記キャプチャしたパケットから、タイムスタンプの間の時間である通信継続時間の特徴量を抽出し、
    前記通信継続時間の特徴量に対して、学習期間において定常性の判定をし、定常性があると判定した特徴量についてモデルを作成し、
    前記学習期間に定常性があるとした前記特徴量について、監視期間において抽出した前記特徴量と、前記モデルとを比較して異常通信有無を判定することを特徴とするネットワーク監視システム。
  7. ネットワークを流れるパケットを監視するネットワーク監視装置を用いたネットワーク監視方法であって、
    前記ネットワーク監視装置は、前記ネットワークからのパケットをキャプチャし、
    学習期間及び監視期間において、キャプチャしたパケットから、タイムスタンプの間の時間である通信継続時間の特徴量を抽出し、
    学習期間において、前記通信継続時間の特徴量に対して定常性の判定をし、定常性があると判定した特徴量についてモデルを作成し、
    前記学習期間に定常性があるとした前記特徴量について、監視期間において抽出した前記特徴量と、前記モデルとを比較して異常通信有無を判定することを特徴とするネットワーク監視方法。
JP2017119715A 2017-06-19 2017-06-19 ネットワーク監視装置、そのシステム、およびその方法 Active JP6955912B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017119715A JP6955912B2 (ja) 2017-06-19 2017-06-19 ネットワーク監視装置、そのシステム、およびその方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017119715A JP6955912B2 (ja) 2017-06-19 2017-06-19 ネットワーク監視装置、そのシステム、およびその方法

Publications (2)

Publication Number Publication Date
JP2019004419A JP2019004419A (ja) 2019-01-10
JP6955912B2 true JP6955912B2 (ja) 2021-10-27

Family

ID=65006980

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017119715A Active JP6955912B2 (ja) 2017-06-19 2017-06-19 ネットワーク監視装置、そのシステム、およびその方法

Country Status (1)

Country Link
JP (1) JP6955912B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20240160445A1 (en) * 2021-03-09 2024-05-16 Nippon Telegraph And Telephone Corporation Estimation apparatus, estimation method and program
CN117396868A (zh) * 2021-06-07 2024-01-12 日本电信电话株式会社 估计装置、估计方法以及估计程序

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4232828B2 (ja) * 2007-02-01 2009-03-04 沖電気工業株式会社 アプリケーション分類方法、ネットワーク異常検知方法、アプリケーション分類プログラム、ネットワーク異常検知プログラム、アプリケーション分類装置、ネットワーク異常検知装置
JP2010177733A (ja) * 2009-01-27 2010-08-12 Mitsubishi Electric Corp 通信監視装置、通信監視装置の通信監視方法および通信監視プログラム
EP3239839A4 (en) * 2014-12-22 2018-08-22 Nec Corporation Operation management device, operation management method, and recording medium in which operation management program is recorded
US9979606B2 (en) * 2015-03-04 2018-05-22 Qualcomm Incorporated Behavioral analysis to automate direct and indirect local monitoring of internet of things device health

Also Published As

Publication number Publication date
JP2019004419A (ja) 2019-01-10

Similar Documents

Publication Publication Date Title
US11614990B2 (en) Automatic correlation of dynamic system events within computing devices
JP6183450B2 (ja) システム分析装置、及び、システム分析方法
JP6955912B2 (ja) ネットワーク監視装置、そのシステム、およびその方法
KR100759798B1 (ko) 지능적 화면 감시를 통한 유해 멀티미디어 차단 장치 및 그방법
US20170124481A1 (en) System for fully integrated capture, and analysis of business information resulting in predictive decision making and simulation
US10771358B2 (en) Data acquisition device, data acquisition method and storage medium
CN105183873A (zh) 恶意点击行为检测方法及装置
JP6183449B2 (ja) システム分析装置、及び、システム分析方法
Yang et al. Cost optimization of a repairable M/G/1 queue with a randomized policy and single vacation
JP2010097342A (ja) 異常動作検出装置及びプログラム
Xu et al. Video analytics with zero-streaming cameras
JP6196196B2 (ja) ログ間因果推定装置、システム異常検知装置、ログ分析システム、及びログ分析方法
CN103108033A (zh) 文件上传方法及系统
US10013694B1 (en) Open data collection for threat intelligence posture assessment
JP5973935B2 (ja) 閲覧行動予測装置、閲覧行動予測方法及びプログラム
Song et al. Design of anomaly detection and visualization tool for IoT blockchain
TW202115511A (zh) 缺值補償方法、缺值補償系統及非暫態電腦可讀取媒體
CN103929339A (zh) 一种web数据采集方法和系统
KR20200099361A (ko) 의류 이미지를 이용한 세탁물 주문 서비스 장치 및 그 동작 방법
CN109670153A (zh) 一种相似帖子的确定方法、装置、存储介质及终端
FR3087032B1 (fr) Procedes d'apprentissage de parametres d'un reseau de neurones a convolution, de detection d'elements d'interet visibles dans une image et d'association d'elements d'interet visibles dans une image
CN108141372B (zh) 检测对移动网络的攻击的系统、方法和计算机可读介质
CN110022343B (zh) 自适应事件聚合
JP7052575B2 (ja) 判定装置、判定方法及び判定プログラム
CN109361674A (zh) 旁路接入的流式数据检测方法、装置以及电子设备

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200213

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201211

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210202

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210402

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210914

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211004

R150 Certificate of patent or registration of utility model

Ref document number: 6955912

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150