JP6973227B2 - 異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム - Google Patents

異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム Download PDF

Info

Publication number
JP6973227B2
JP6973227B2 JP2018057081A JP2018057081A JP6973227B2 JP 6973227 B2 JP6973227 B2 JP 6973227B2 JP 2018057081 A JP2018057081 A JP 2018057081A JP 2018057081 A JP2018057081 A JP 2018057081A JP 6973227 B2 JP6973227 B2 JP 6973227B2
Authority
JP
Japan
Prior art keywords
traffic
analysis
communication
determining
analysis method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018057081A
Other languages
English (en)
Other versions
JP2019169880A (ja
Inventor
貴史 原田
玄武 諸橋
宏樹 伊藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2018057081A priority Critical patent/JP6973227B2/ja
Priority to PCT/JP2019/009248 priority patent/WO2019181550A1/ja
Priority to US16/982,223 priority patent/US11870792B2/en
Publication of JP2019169880A publication Critical patent/JP2019169880A/ja
Application granted granted Critical
Publication of JP6973227B2 publication Critical patent/JP6973227B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/14Multichannel or multilink protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/40Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/04Arrangements for maintaining operational condition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/08Testing, supervising or monitoring using real traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/18Service support devices; Network management devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は、SIEM(Security Information and Event Management)、セキュリティエンジン、ヘテロジーニアスネットワーク等に適用可能な異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラムに関する。
近年、IoT(Internet of Things)機器の普及により、多数のIoT機器がネットワークに接続され、大量のトラヒックが発生するようになっている。また、IoT機器は、制御などの用途から、IT機器と比べ低遅延が要求される場合がある。このような傾向から、ネットワークや情報処理にかかわるアーキテクチャの変更が必要であり、その選択肢として、複数の通信方法(通信経路)を使い分けることにより、より効率的にネットワークトラヒックを捌くことが提案されている。
一方、ネットワークを介して提供される各種サービスや、インフラなどに対して攻撃する不正な通信(サイバー攻撃)は、多種多様な手法を用いたものへと変化し、ますます脅威が増大している。従来では、このような不正な通信に対する対策として、不正な通信(異常トラヒック)を検出する装置がネットワークに設けられている。
特許第5844938号公報 特願2017−012558
従来では、1つの対象とするIoT機器からのトラヒックは、例えばLTE(Long Term Evolution)など特定の1つの通信方式を用いて送信することを想定している。このため、不正な通信(異常トラヒック)を検出する装置は、トラヒックの送信に用いられる特定の通信方式に最適化された分析アルゴリズムを用いてトラヒックを分析している。
従って、ネットワークに大量のトラヒックが発生することに対して、1つのIoT機器からトラヒックを送信する際に、アプリケーション側で通信方式を選択し、発生するトラヒック内容が変更されてしまうと、トラヒックに対して適切な分析ができない状況が発生する可能性がある。
本発明は上記課題を解決するためになされたものであり、本発明の目的は、機器からトラヒックが送信される通信経路に関係なく適切な分析をすることが可能な異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラムを提供することにある。
本発明は、課題を解決するために、以下のような手段を講じている。
本発明の第1の態様は、異常トラヒック分析装置は、1つの機器から異なる通信方式を用いた複数の通信経路を介してトラヒックを受信する受信手段と、前記トラヒックが送信された通信経路を特定する複数通信管理手段と、前記複数通信管理手段により特定された通信経路に対応する、不正な通信による前記トラヒックの脅威のレベルを判定するための分析アルゴリズムを決定する分析方法決定手段と、前記分析方法決定手段により決定された分析アルゴリズムを用いて、前記トラヒックの脅威のレベルを判定する分析手段と、前記分析手段による分析結果を記録させる分析結果記録手段とを有する。
本発明によれば、特定された通信経路に応じた適切な分析アルゴリズムを用いてトラヒックに対して分析を実施するので、異常トラフィックの検知率の向上が可能となる。
本実施形態の通信システムの一例を示す図。 本実施形態の通信システムの一例を示す図。 本実施形態における異常トラフィック分析装置の構成を示すブロック図。 本実施形態における異常トラフィック検知エンジンの機能構成を示すブロック図。 本実施形態における監視対象情報管理サーバの動作を示すフローチャート。 監視対象情報管理サーバにおいて管理される管理テーブルの一例を示す図。 異常トラフィック分析装置の処理の流れを示す図。
以下、本実施形態について、図面を参照しながら説明する。
図1及び図2は、本実施形態の通信システムの一例を示す図である。図1及び図2に示す通信システムは、例えば自動車等を自動走行させるための自律型モビリティシステムを実現するシステムである。自律型モビリティシステムは、例えば自動車等に設けられた各種のセンサや機器等により検出された各種のデータ(プローブデータ)を、例えば、自動車に搭載されたIoT機器40からサーバに送信する。自律型モビリティシステムは、多数の自動車等のIoT機器から受信されたプローブデータをリアルタイムでダイナミックマップに反映させ、このダイナミックマップのデータを自動車のIoT機器に送信する。自動車は、ダイナミックマップのデータをもとに自動走行の制御を実行する。
本実施形態における通信システムでは、ネットワークに大量に発生するトラヒックを効率的に送受信するため、自動車等に搭載されたIoT機器とサーバとのデータ(トラヒック)の送受信を、異なる通信方式を用いた複数の通信経路の何れかを用いて行う。本実施形態では、複数の通信方法として、例えばモバイルネットワーク(移動網33)を使用するLTE(Long Term Evolution)通信と、インターネット16を用いたWi−Fi通信の何れかを選択して用いることができるものとする。
なお、LTE通信とWi−Fi通信に限るものではなく、他の通信方法を用いることもできる。さらに、2つの通信方法に限らず、3つ以上の通信方法を選択して用いることができるようにしても良い。
図1に示す通信システムでは、インターネット16上にコアネットワーク10(10−1,…,10−m)が設けられる。コアネットワーク10には、例えばクラウドサーバ12、ダイナミックマップサーバ14、監視対象情報管理サーバ15が設けられる。クラウドサーバ12は、各種サービスに対応するサーバである。クラウドサーバ12には、Wi−Fi通信方式による通信経路を介してインターネット16に接続されたIoT機器を識別する認証サーバを含む。
監視対象情報管理サーバ15は、自動車等に搭載された端末(UE:User Equipment)など、監視対象とするIoT機器40に関する情報を管理するサーバである。監視対象情報管理サーバ15は、例えば端末が利用するサービス、端末がデータを送受信するエッジ(ローカルネットワーク20)、端末の現在位置に対応するセル(基地局32)の対応関係等を管理する。監視対象情報管理サーバ15は、自動車の走行に伴って端末(IoT機器)が、異なるローカルネットワーク20に対応するセル(基地局32)の範囲に移動したことが検出された場合、複数のローカルネットワーク20(20−1,…,20−n)のそれぞれに含まれる異常トラフィック分析装置28(28−1,…,28−n)に対して、対象とするIoT機器が移動したことを通知するメッセージを同報配信する。
また、監視対象情報管理サーバ15は、監視対象とするIoT機器について、認証サーバ及び移動網33内に設けられた移動網の管理サーバ(図示せず)からのメッセージを受信して、IoT機器を特定する一意の識別子(IoT識別子)と対応づけて、監視対象とするIoT機器のWi−Fi通信方式による通信とLTE通信方式による通信の状況を統合的に管理する。
ダイナミックマップサーバ14は、複数のIoT機器から受信されるデータ(プローブデータ)をもとにダイナミックマップを作成して、ダイナミックマップデータを端末(IoT機器)に配信する。ダイナミックマップサーバ14は、例えば、ローカルネットワーク20(20−1,…,20−n)のダイナミックマップサーバ24(24−1,…,24−n)が管理するダイナミックマップより上位のダイナミックマップを対象とする。
ローカルネットワーク20(20−1,…,20−n)は、通信システム(自律型モビリティシステム)をエッジコンピューティング方式により実現するためのネットワークである。すなわち、コアネットワーク10よりもIoT機器(端末)に近い位置に、自律型モビリティシステムのサービスを提供するネットワークスライスを構成している。これにより、IoT機器とサーバとの間の低遅延通信を実現している。エッジコンピューティング方式による通信システムでは、サービスを提供するエッジサーバ22(22−1.…,22−n)が、複数のローカルネットワーク20−1,…,20−nに分散して配置される。
図2には、1つのローカルネットワーク20と、例えば自動車に搭載されたIoT機器40との関係を示している。
ローカルネットワーク20には、自律型モビリティシステムのサービスを提供するために、ダイナミックマップサーバ24、プローブ収集サーバ26、ゲートウェイ27、異常トラフィック分析装置28が配置される。なお、ローカルネットワーク20−1,…,20−nは、それぞれ同様に構成されるものとして、個々について詳細な説明を省略する。
ダイナミックマップサーバ24は、プローブ収集サーバ26により収集される複数のIoT機器40からのデータ(プローブデータPD)をもとにダイナミックマップを作成して、ゲートウェイ27を通じて、ダイナミックマップデータDMDをIoT機器40に配信する。ダイナミックマップサーバ24は、コアネットワーク10に設けられたダイナミックマップサーバ14よりもローカルな範囲のダイナミックマップを管理する。
プローブ収集サーバ26は、複数のIoT機器40から送信されるデータ(プローブデータPD)を、ゲートウェイ27を通じて受信して記録する。プローブ収集サーバ26は、IoT機器40から収集したプローブデータをダイナミックマップサーバ24に提供する。プローブデータには、自動車の走行位置、車速、ブレーキング、燃費など、様々なデータを含む。
ゲートウェイ27は、ローカルネットワーク20(ネットワークスライス)と他のネットワークとを接続する。ゲートウェイ27は、例えば、Wi−Fiアクセスポイント30と接続されたIoT機器40からのデータを、インターネット16を通じて受信する。また、ゲートウェイ27は、基地局32と接続されたIoT機器40からのデータを、移動網33を通じて受信する。ゲートウェイ27は、異常トラフィック分析装置28と連携し、異常トラフィック分析装置28による分析によって異常と判断された、例えば悪意のあるIoT機器42から送信される異常トラヒックを遮断する機能を有する。
異常トラフィック分析装置28は、ゲートウェイ27と連携して動作し、異常トラヒックを検出するための異常トラフィック検知エンジンとして動作する。異常トラフィック分析装置28は、ゲートウェイ27を通じて送受信されるトラヒック(ミラーリングトラヒック)を入力して分析し、例えば悪意のあるIoT機器42から送信される異常トラフィックの検知・判断を実行する。
図3は、本実施形態における異常トラフィック分析装置28の構成を示すブロック図である。
異常トラフィック分析装置28は、プログラムを実行するコンピュータを備えており、プロセッサ28A、メモリ28B、通信インタフェース28C、記憶装置28Dを有する。
プロセッサ28Aは、例えばCPU(Central Processing Unit)であり、メモリ28Bに記憶されたプログラムを実行することで、異常トラフィック分析装置28の各部を制御する。プロセッサ28Aは、異常トラフィック分析プログラムPを実行することで、ゲートウェイ27を通じて送受信される異常トラヒックを検出するための異常トラフィック検知エンジン(図4に示す)を実現する。異常トラフィック検知エンジンには、機能モジュール及びデータベースを含む。
メモリ28Bは、プロセッサ28Aによる処理の作業エリアとして使用され、プログラムやデータが記憶される。
通信インタフェース28Cは、プロセッサ28Aのもとで通信を制御する。
記憶装置28Dは、例えばHDD(Hard Disk Drive)またはSSD(Solid State Drive)であり、プロセッサ28Aにより実行されるプログラム、各種データが記憶される。記憶装置28Dに記憶されるプログラムには、異常トラヒック分析プログラムPを含む。また、異常トラヒック分析プログラムPの実行に伴い、トラヒックデータデータベースDB1、UE別脅威レベルデータベースDB2、分析結果ログDB3等が記憶される。
図4は、本実施形態における異常トラフィック検知エンジン50の機能構成を示すブロック図である。異常トラフィック検知エンジン50は、プロセッサ28Aにより異常トラフィック分析プログラムPを実行することにより実現される。
異常トラフィック検知エンジン50の機能モジュール52には、トラヒック受信解析部M1、分析方法決定部M2、分析部M3、分析結果取得部M4、複数通信管理部M5が含まれる。また、機能モジュール52により処理されるデータを記憶するデータベース54として、トラヒックデータデータベースDB1、UE別脅威レベルデータベースDB2、分析結果ログDB3が設けられる。
トラヒック受信解析部M1は、ゲートウェイ27に送受信されるトラヒックと同じトラヒック(ミラーリングトラヒック)を受信する。トラヒック受信解析部M1により受信されるトラヒックは、1つのIoT機器40から異なる通信方式(LTE通信、Wi−Fi通信)を用いた複数の通信経路を介して受信されたトラヒックを含む。トラヒック受信解析部M1は、トラヒックデータの記録、トラヒック(ヘッダ部及びペイロード部)についての解析、複数通信管理部M5に対するパケットの通信経路の問い合わせ、通信経路を示すデータを含むエントリデータの生成等を実行する。
分析方法決定部M2は、複数通信管理部M5により特定された通信経路に応じて、トラヒックの異常を検出するための分析アルゴリズム、及び分析アルゴリズムに従う分析に使用されるパラメータを決定する。
分析部M3は、トラヒックデータに対する分析を実行する。分析部M3は、トラヒックが送信される複数の通信経路(通信方法)のそれぞれに対応する複数の分析アルゴリズムを有し、分析方法決定部M2によって決定された分析アルゴリズム及びパラメータに応じてトラヒックに対する分析を実行する。
分析結果取得部M4は、分析部M3による分析結果を取得して記録させる。
複数通信管理部M5は、トラヒック受信解析部M1により受信されるトラヒックの通信経路を管理し、トラヒック受信解析部M1からの問い合わせに応じて通信経路を特定する。
次に、本実施形態の通信システムにおける異常トラフィックの検出のための動作について説明する。
まず、監視対象情報管理サーバ15によるIoT機器40のWi−Fi通信方式による通信とLTE通信方式による通信の状況を統合的に管理する処理について説明する。
図5は、本実施形態における監視対象情報管理サーバ15の動作を示すフローチャートである。ここでは、図5に示すUE情報管理処理(ステップS2)について説明する。図6は、監視対象情報管理サーバ15において管理される管理テーブルの一例を示す図である。
IoT機器40は、例えば自機器の動作状況や自動車の位置などに応じて通信経路(通信方法)を切り替えて、例えばプローブデータの送信を継続する。
監視対象情報管理サーバ15は、IoT機器40の動作状況を監視するため、IoT機器40がLTE通信を利用する場合には、移動網33の管理サーバからのメッセージを受信する。管理サーバからのメッセージでは、UE識別情報が通知される(ステップS21)。
監視対象情報管理サーバ15は、UE識別情報の通知に応じて、管理テーブルにIoT機器40に固有のIoT識別子(UE情報)と通信回線に対応する識別子や属性情報を対応させて保持する。通信回線に関する識別子は、例えばIMSI(International Mobile Subscriber Identity)と対応づけた端末識別子(UE識別子)とする。また、メッセージ中のIPアドレス/UE状態の値で、LTE IPアドレス/接続状態を示す属性情報となるデータを更新する(ステップS22)。Wi−Fiについては、認証サーバによって認証され、Wi−Fi識別子とIPアドレスの対応が特定されてメッセージにより通知される。IoT識別子に対応するIMSI及びWi−Fi識別子が示すIoT機器では、予め使用できる通信経路(ここでは、LTE通信、Wi−Fi通信)が特定されている。従って、管理テーブルでは、LTE通信とWi−Fi通信のそれぞれの使用状況を示すデータを、IoT識別子により紐付けて管理する。前述の図6に示す管理テーブルを保持しているため、IMSIやWi−Fi識別子が逐次、更新されることにより、IoT機器40が複数の通信経路の何れかに切り替えて用いた際に、トラヒックがどの通信方式による通信経路を通じて送信されたか特定することが可能になる。図6に示す管理テーブルの情報が更新されるたびに逐次的に異常トラフィック分析装置28(本実施形態におけるセキュリティエンジン)の複数通信管理部M5に対して送付することにより、トラヒックを分析する際にどのIPアドレスのトラヒックがどの通信方式かを検索することができる。
監視対象情報管理サーバ15は、IoT機器40の動作状況を監視するため、IoT機器40がWi−Fi通信を利用する場合には、クラウドの認証サーバからのメッセージを受信する。認証サーバ(Wi−Fi認証機能)からのメッセージでは、Wi−Fi識別子とWi−Fi IPアドレスが通知される(ステップS21)。
監視対象情報管理サーバ15は、メッセージにより通知されたWi−Fi識別子とWi−Fi IPアドレスをもとに、IoT識別子(UE情報)に対応するWi−Fi識別子やWi−Fi IPアドレスを更新する(ステップS23)。
こうして、管理テーブルでは、IoT識別子により特定されるIoT機器が使用する通信経路の状況が管理される。従って、異常トラフィック分析装置28において受信されるトラヒックに含まれるIoT機器に固有の識別子をもとに、管理テーブルを参照することにより、トラヒックが送信された通信経路(通信方法)を特定することができる。
次に、本実施形態における異常トラフィック分析装置28の動作について、図4及び図7を参照しながら説明する。図7は、異常トラフィック分析装置28(異常トラフィック検知エンジン50)の処理の流れを示す図である。
(1)まず、トラヒック受信解析部M1は、トラヒックを受信すると、トラヒックデータD2を生成してトラヒックデータベースDB1へ書き出す。
(2)トラヒック受信解析部M1は、トラヒックに対して構文解析して、ヘッダ部に付加された送信元とするIoT機器に固有の識別子の抽出の他、分析対象のパケットの選別、IP(internet protocol)パケットヘッダにある5tupple情報(送信元アドレス、宛先アドレス、送信元ポート番号、宛先ポート番号、プロトコル情報)等の共通情報と、ペイロード情報等を取得する。IoT機器に固有の識別子は、例えばIPアドレスあるいはIoT機器の端末識別子(UE識別子)である。
トラヒック受信解析部M1は、IoT機器に固有の識別子をもとに、複数通信管理部M5にトラヒックの通信経路を問い合わせる。複数通信管理部M5は、トラヒック受信解析部M1からの問い合わせに応じて、監視対象情報管理サーバ15に通信経路を問い合わせる。
監視対象情報管理サーバ15は、複数通信管理部M5からのIoT機器に固有の識別子をもとにした問い合わせを受信し(ステップS1)、IoT機器に固有の識別子に応じた問い合わせ種別を判別する(ステップS12)。
複数通信管理部M5から受信した識別子が端末識別子(UE識別子)の場合、監視対象情報管理サーバ15は、管理テーブルを参照して、UE識別子に対応するLTE IPアドレスとWi−Fi IPアドレスをもとに通信経路を特定する(ステップS13)。
一方、複数通信管理部M5から受信した識別子がIPアドレスの場合、監視対象情報管理サーバ15は、管理テーブルを参照して、受信したIPアドレスに対応するUE識別子と通信経路を特定する(ステップS14)。
監視対象情報管理サーバ15は、特定した通信経路を示すデータを複数通信管理部M5に返却する。
異常トラフィック分析装置28の複数通信管理部M5は、監視対象情報管理サーバ15から通知された通信経路(通信方法)をトラヒック受信解析部M1に通知する。トラヒック受信解析部M1は、複数通信管理部M5から取得された通信方式(通信経路)を示すデータをエントリデータD1に加える。
なお、前述した説明では、複数通信管理部M5は、トラヒック受信解析部M1からの要求に応じて、監視対象情報管理サーバ15に対して問い合わせするとしているが、監視対象情報管理サーバ15から管理テーブルを取得しておき、この管理テーブルを参照して通信経路(通信方法)を特定するようにしても良い。管理テーブルのデータは、特定の範囲にあるIoT機器について、状況の変化があった場合に監視対象情報管理サーバ15から取得することができる。
(3)トラヒック受信解析部M1は、さらに、構文解析により得られた各情報、複数通信管理部M5により特定された通信経路を示すデータとを含むエントリデータD1を生成して、分析方法決定部M2へ引渡す。
(4)分析方法決定部M2は、受け取ったエントリデータD1をもとに、分析部M3における分析で用いる分析アルゴリズム及びパラメータを決定し、これらの分析方法を示すデータをエントリデータD1に付加して分析部M3へ引渡す。すなわち、トラヒックが送信された通信経路(通信方法)に応じた、最適な分析アルゴリズムとパラメータが決定され、分析部M3に指示される。
(5)分析部M3は、受け取ったエントリデータD1に対応するトラヒックデータD2を、トラヒックデータベースDB)から取得する。
(6)分析部M3は、分析方法決定部M2において決定された分析方法(分析アルゴリズム、パラメータ)を用いて、エントリデータD1について分析し、その分析結果D3及びエントリデータD1を分析結果取得部M4へ引渡す。分析部M3は、例えば攻撃検知の詳細度(次数)の再設定を繰り返しながら分析して、対象エントリ別の脅威レベルを判定する分析を実行する。分析の具体例については後述する。
(7)分析結果取得部M4は、受け取った分析結果D3から対象エントリ別脅威レベルD4(後述する)を取得して、監視対象のIoT機器の脅威レベルを決定するためのルールに適用してUE別脅威レベルを決定し、UE別脅威レベルデータベースDB2を更新する。
(8)分析結果取得部M4は、更に、受け取った分析結果D3を分析結果ログDB3へ保存する。
(9)分析結果取得部M4は、分析結果D3から対象エントリ別脅威レベルD4を取得し、次の分析が必要な該当エントリデータD1および対象エントリ別脅威レベルD4を分析方法決定部M2へ引渡す。
なお、(3)分析方法決定部M1は、1つ前の分析次数および対象エントリ別脅威レベルと該当エントリデータD1を、分析次数決定ルールにより分析方法を決定して分析方法が付加されたエントリデータを分析部M3へ引渡す。
ここで、分析部M3による分析の具体例について説明する。
UE別脅威レベルデータベースDB2には、過去の通信を対象として、発信元を特定する情報(例えばIPアドレスや端末ID)に紐づけて、一次検知(分析A)の検知結果、二次検知(分析B)の検知結果、…といった具合に、攻撃検知の詳細度(以下、次数ともいう)ごとに、攻撃検知の結果が記憶されている。これに加え、UE別脅威レベルデータベースDB2には、詳細度ごとの攻撃検知結果から導き出される脅威レベルが対応付けられて記憶されている。
脅威レベルは、0または1の2値としてもよいし、3値以上の数値を設定してもよい。例えば脅威レベルに10種類の数字0,1,…,9を設定し、数字が大きければ大きいほど悪性度が強いことを意味するものとし、脅威レベルカラムの数字が9であれば明らかな悪性としてもよい。
UE別脅威レベルデータベースDB2には、少なくとも、過去に受信した情報の発信元(例えばIPアドレスや端末ID)と過去に受信した情報の脅威レベルとが対応付けられてエントリデータとして予め記憶されているものとする。
分析部M3は、UE別脅威レベルデータベースDB2の各エントリと特定された発信元とを照合し、受信した情報に対する攻撃検知の詳細度を決定する。より具体的には、分析部M3は、発信元が特定されたトラヒックに対し、これと同一の発信元に該当するエントリがUE別脅威レベルデータベースDB2に存在するか否かを確認する。分析部M3は、例えば以下のような分数次数決定ルール(1)(2)で、受信した情報に対する攻撃検知の詳細度を決定してもよい。
(1)具体例
UE別脅威レベルデータベースDB2に対応するエントリがなかった場合、詳細度(次数)を1次と設定する。一方、UE別脅威レベルデータベースDB2に対応するエントリがあった場合、詳細度(次数)をエントリが示す脅威レベルの一つ上の次数に設定する。
(2)具体例
UE別脅威レベルデータベースDB2に対応するエントリがなかった場合、詳細度(次数)を1次と設定する。一方、UE別脅威レベルデータベースDB2に対応するエントリがあった場合、詳細度(次数)をエントリが示す脅威レベルと等しい次数に設定する。
本実施形態の異常トラフィック分析装置28では、トラヒックが送信された通信経路(通信方法)に応じて、攻撃検知アルゴリズムと詳細度(次数)が決定されるものとする。本実施例で用いることができる攻撃検知アルゴリズムとしては、例えばルールベース攻撃検知、ポートスキャニングの検知、利用ポートの変化検知、トラヒック流量の変化検知、パケット受信タイミングの変化検知、DPI、時系列データとして取得されたデータを用いて予測されたデータと、実測されたデータとのはずれ具合で異常を検知する攻撃検知などが挙げられる。攻撃検知アルゴリズムが詳細かつ高コストであるほど、詳細度(次数)が高く設定される。
次に、分析部M3は、受信したトラヒックに対して、決定された詳細度(次数)(分析パラメータ)に基づく攻撃検知を実行する。
攻撃検知の結果が正常であった場合、分析部M3は、分析結果D3を分析結果取得部M4に渡す。分析結果取得部M4は、発信元を特定する情報と検知結果(対象エントリ別脅威レベルD4)を分析結果ログDB3およびUE別脅威レベルデータベースDB2に保存する。分析結果ログDB3には、アノマリ識別子、タイムスタンプ、発信元を特定する情報(IPアドレスや端末ID)、詳細度ごとの検知結果、詳細度ごとの検知回数、最終検知結果、対処済フラグなどが保存される。
一方、攻撃検知の結果が正常でない場合(懸念有、または異常有であった場合)、分析部M3は、受信したトラヒックに対する高次な攻撃検知の必要性を判断する。高次な攻撃検知の必要性があると判断されなかった場合、分析結果取得部M4は、分析部M3による分析結果として、発信元を特定する情報と、検知結果を分析結果ログDB3およびUE別脅威レベルデータベースDB2に保存する。
攻撃検知の結果が正常でない場合として、具体的には以下のようなケース(1)(2)が考えられる。(1)該当の通信が異常(不正)であることが明白であるため、さらに高次な攻撃検知を実行する必要性が乏しい。例えば、前述の脅威レベルカラムの数字が9である場合などには、該当の通信が悪性であることが明白であるため、さらに高次な攻撃検知を省略することができ、計算リソースを効果的に用いることができる。(2)すでに最高次の攻撃検知が実行されており、これよりも高次な攻撃検知が実行できない。
一方、高次な攻撃検知の必要性があると判断された場合、分析部M3は、攻撃検知の結果に基づいて、受信した情報に対する攻撃検知の詳細度を再度決定する。分析部M3は、再度決定された詳細度(次数)に基づく攻撃検知を再度実行する。攻撃検知の結果が正常でないと判断される場合、分析部M3は、さらに高次な攻撃検知の必要性を判断する。このように、攻撃検知の結果が正常でないと判断される限りにおいて、繰り返し実行される。分析部M3の詳細度(次数)の再決定方法として以下の具体的方法(1)〜(4)が考えられる。
(1)具体例
対象の攻撃検知の詳細度(次数)を常に1増やす。
(2)具体例2
攻撃検知アルゴリズムの出力が、正常/懸念有り/異常有りの3段階で表現される場合、
出力=懸念有り→判断結果=Yes(次数を1増やす)
出力=異常有り→判断結果=Yes(次数を2増やす)
(3)具体例
攻撃検知アルゴリズムの出力が、正常/懸念有り/異常有りの3段階で表現される場合、
出力=懸念有り→判断結果=No(次数を増やさない→S15aN→エンド)
出力=異常有り→判断結果=Yes(次数を1増やす)
(4)具体例
攻撃検知アルゴリズムの出力が、異常の有無を数値で表現する場合。例えば、攻撃検知アルゴリズムの出力が0.0〜1.0であって、値が1.0に近づくほど異常性が高く、異常有無判断の閾値が0.5だった場合。
出力=0.5以上0.6未満→判断結果=Yes(次数を1増やす)
出力=0.6以上0.7未満→判断結果=Yes(次数を2増やす)
出力=0.7以上0.8未満→判断結果=Yes(次数を3増やす)
出力=0.8以上0.9未満→判断結果=Yes(次数を4増やす)
出力=0.9以上→判断結果=Yes(次数を5増やす)
本実施例の異常トラフィック分析装置28によれば、危険性の低いIoT機器(機器)については、早々に攻撃検知を打ち切るため、計算リソースが無駄にならない。
また、明らかに不正なIoT機器についても同様に、早々に攻撃検知を打ち切るため、計算リソースが無駄にならない。
また、該当のIoT機器の危険性がグレーゾーンにある場合は、処理を繰り返し実行することにより、攻撃検知の信頼性が担保される。
また、UE別脅威レベルデータベースDB2にエントリとして登録されているIoT機器については、登録済みの脅威レベルに応じた詳細度が最初に設定されるため、詳細度の低い攻撃検知が適宜スキップされ、計算リソースが無駄にならない。
このように、本実施例の異常トラフィック分析装置28によれば、計算リソースを効果的に用いることができる。
なお、前述したトラヒックに対する分析は一例であって、他の分析を対象とすることができる。その場合、前述と同様にして、トラヒックの通信経路を特定し、それにあわせて、分析アルゴリズムおよび分析パラメータを選択する。例えば、DOS(Denial of Service attack)攻撃検知のための分析をする場合において、閾値を通信方式に応じて変更する。
このようにして、本実施形態における異常トラフィック分析装置28では、トラヒックが送信された通信経路(通信方法)を特定し、通信経路(通信方法)に応じた分析アルゴリズム及び分析パラメータを用いてトラヒックに対する分析を実行する。従って、IoT機器40のアプリケーションにより通信経路が変更されたとしても、通信経路に関係なく適切な分析をすることが可能となり、異常トラフィックの検知率の向上が可能となる。
また、各実施形態に記載した手法は、計算機(コンピュータ)に実行させることができるプログラム(ソフトウエア手段)として、例えば磁気ディスク(フレキシブルディスク、ハードディスク等)、光ディスク(CD−ROM、DVD、MO等)、半導体メモリ(ROM、RAM、フラッシュメモリ等)等の記録媒体に格納し、また通信媒体により伝送して頒布することもできる。なお、媒体側に格納されるプログラムには、計算機に実行させるソフトウエア手段(実行プログラムのみならずテーブルやデータ構造も含む)を計算機内に構成させる設定プログラムをも含む。本装置を実現する計算機は、記録媒体に記録されたプログラムを読み込み、また場合により設定プログラムによりソフトウエア手段を構築し、このソフトウエア手段によって動作が制御されることにより上述した処理を実行する。なお、本明細書でいう記録媒体は、頒布用に限らず、計算機内部あるいはネットワークを介して接続される機器に設けられた磁気ディスクや半導体メモリ等の記憶媒体を含むものである。
また、本発明は、前述した実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、前述した実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。
10(10−1,…,10−m)…コアネットワーク、12…クラウドサーバ、14…ダイナミックマップサーバ、16…インターネット、20(20−1,…,20−n)…ローカルネットワーク、22(22−1.…,22−n)…エッジサーバ、24(24−1,…,24−n)…ダイナミックマップサーバ、26(26−1,…,26−n)…プローブ収集サーバ、27(27−1,…,27−n)…ゲートウェイ、28(28−1,…,28−n)…異常トラフィック分析装置、28A…プロセッサ、28B…メモリ、28C…通信インタフェース、28D…記憶装置、30…Wi−Fiアクセスポイント、32…基地局、M1…トラヒック受信解析部、M2…分析方法決定部、M3…分析部、M4…分析結果取得部、M5…複数通信管理部、DB1…トラヒックデータデータベース、DB2…UE別脅威レベルデータベース、DB3…分析結果ログ。

Claims (5)

  1. 1つの機器から異なる通信方式を用いた複数の通信経路を介してトラヒックを受信する受信手段と、
    前記トラヒックが送信された通信経路を特定する複数通信管理手段と、
    前記複数通信管理手段により特定された通信経路に対応する、不正な通信による前記トラヒックの脅威のレベルを判定するための分析アルゴリズムを決定する分析方法決定手段と、
    前記分析方法決定手段により決定された分析アルゴリズムを用いて、前記トラヒックの脅威のレベルを判定する分析手段と、
    前記分析手段による分析結果を記録させる分析結果記録手段と
    を有する異常トラヒック分析装置。
  2. 前記複数通信管理手段は、前記トラヒックに含まれる識別子をもとに、前記機器による通信の状況を管理する外部サーバに問い合わせて、前記トラヒックが送信された通信経路を示すデータを取得する請求項1記載の異常トラヒック分析装置。
  3. 前記分析方法決定手段は、前記複数通信管理手段により特定された通信経路に応じた分析アルゴリズムで使用する分析パラメータを、前記通信経路に応じて変更する請求項1記載の異常トラヒック分析装置。
  4. 1つの機器から異なる通信方式を用いた複数の通信経路を介してトラヒックを受信する受信工程と、
    前記トラヒックが送信された通信経路を特定する複数通信管理工程と、
    前記複数通信管理工程により特定された通信経路に対応する、不正な通信による前記トラヒックの脅威のレベルを判定するための分析アルゴリズムを決定する分析方法決定工程と、
    前記分析方法決定工程により決定された分析アルゴリズムを用いて、前記トラヒックの脅威のレベルを判定する分析工程と、
    前記分析工程による分析結果を記録させる分析結果記録工程とを有する異常トラヒック分析方法。
  5. 請求項1乃至3の何れかに記載の異常トラヒック分析装置が具備する各手段が行う処理を、当該異常トラヒック分析装置が備えるコンピュータに実行させる異常トラヒック分析プログラム。
JP2018057081A 2018-03-23 2018-03-23 異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム Active JP6973227B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2018057081A JP6973227B2 (ja) 2018-03-23 2018-03-23 異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム
PCT/JP2019/009248 WO2019181550A1 (ja) 2018-03-23 2019-03-08 異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム
US16/982,223 US11870792B2 (en) 2018-03-23 2019-03-08 Abnormal traffic analysis apparatus, abnormal traffic analysis method, and abnormal traffic analysis program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018057081A JP6973227B2 (ja) 2018-03-23 2018-03-23 異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム

Publications (2)

Publication Number Publication Date
JP2019169880A JP2019169880A (ja) 2019-10-03
JP6973227B2 true JP6973227B2 (ja) 2021-11-24

Family

ID=67986141

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018057081A Active JP6973227B2 (ja) 2018-03-23 2018-03-23 異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム

Country Status (3)

Country Link
US (1) US11870792B2 (ja)
JP (1) JP6973227B2 (ja)
WO (1) WO2019181550A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020206620A1 (en) * 2019-04-09 2020-10-15 Orange Methods and apparatus to discriminate authentic wireless internet-of-things devices
US11343273B2 (en) * 2020-03-20 2022-05-24 Amrita Vishwa Vidyapeetham Method of reducing DoS attacks using voice response in IoT systems
TWI791322B (zh) * 2021-11-10 2023-02-01 財團法人資訊工業策進會 流量控制伺服器及流量控制方法
CN115955334B (zh) * 2022-12-02 2023-11-10 深圳市铭励扬科技有限公司 一种基于边缘计算的网络攻击流量处理方法及系统

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7937761B1 (en) * 2004-12-17 2011-05-03 Symantec Corporation Differential threat detection processing
JP4241677B2 (ja) * 2005-06-27 2009-03-18 日本電気株式会社 通信管理装置、不正通信端末装置の識別システムと方法、及びプログラム
JP2011259014A (ja) * 2010-06-04 2011-12-22 Nippon Telegr & Teleph Corp <Ntt> トラフィック分析システムおよびトラフィック分析方法
EP2737404A4 (en) * 2011-07-26 2015-04-29 Light Cyber Ltd METHOD FOR DETECTING AN ANALYSIS ACTION WITHIN A COMPUTER NETWORK
EP2961111B1 (en) 2013-02-21 2018-01-31 Nippon Telegraph and Telephone Corporation Network monitoring device, network monitoring method, and network monitoring program
WO2016031384A1 (ja) * 2014-08-27 2016-03-03 日本電気株式会社 通信システム、管理装置、通信装置、方法、およびプログラム
US9609517B2 (en) * 2014-12-19 2017-03-28 Intel Corporation Cooperative security in wireless sensor networks
WO2017053806A1 (en) * 2015-09-25 2017-03-30 Acalvio Technologies, Inc. Dynamic security mechanisms
US10200277B2 (en) * 2015-12-08 2019-02-05 Nicira, Inc. Influencing path selection during a multipath connection
WO2017131963A1 (en) * 2016-01-29 2017-08-03 Acalvio Technologies, Inc. Using high-interaction networks for targeted threat intelligence
JP6602799B2 (ja) 2017-01-26 2019-11-06 日本電信電話株式会社 セキュリティ監視サーバ、セキュリティ監視方法、プログラム

Also Published As

Publication number Publication date
WO2019181550A1 (ja) 2019-09-26
US20210029149A1 (en) 2021-01-28
US11870792B2 (en) 2024-01-09
JP2019169880A (ja) 2019-10-03

Similar Documents

Publication Publication Date Title
JP6973227B2 (ja) 異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム
US10721243B2 (en) Apparatus, system and method for identifying and mitigating malicious network threats
US9444821B2 (en) Management server, communication cutoff device and information processing system
US10581880B2 (en) System and method for generating rules for attack detection feedback system
US11032311B2 (en) Methods for detecting and mitigating malicious network activity based on dynamic application context and devices thereof
US10798061B2 (en) Automated learning of externally defined network assets by a network security device
JP6669138B2 (ja) 攻撃監視システムおよび攻撃監視方法
US20030084321A1 (en) Node and mobile device for a mobile telecommunications network providing intrusion detection
US11956279B2 (en) Cyber-security in heterogeneous networks
KR102324361B1 (ko) 집단 지능 기반 악의적 기기 탐지 장치 및 방법
CN112469044B (zh) 一种异构终端的边缘接入管控方法及控制器
KR20230004222A (ko) Dns 메시지를 사용하여 컴퓨터 포렌식 데이터를 선택적으로 수집하는 시스템 및 방법
CN114363091B (zh) 一种基于apisix实现平台应用统一登录的方法及系统
US11553347B2 (en) Abnormal traffic analysis apparatus, abnormal traffic analysis method, and abnormal traffic analysis program
US10187414B2 (en) Differential malware detection using network and endpoint sensors
Song et al. Smart collaborative contract for endogenous access control in massive machine communications
JP2009278293A (ja) パケット送信元特定システム、パケット送信元特定方法、およびパケット送信元特定プログラム
US20240007341A1 (en) System, method, and computer program product for detecting an anomaly in network activity
RU2776349C1 (ru) Системы и способы использования сообщений dns для селективного сбора компьютерных криминалистических данных
US20220311747A1 (en) Method and system for securing connections to iot devices
JP4361570B2 (ja) パケット制御命令管理方法
Gong et al. Construction of Trusted Routing Based on Trust Computation
JP4710889B2 (ja) 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191216

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210202

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210405

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211005

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211018

R150 Certificate of patent or registration of utility model

Ref document number: 6973227

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150