JP7025098B2 - 異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム - Google Patents
異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム Download PDFInfo
- Publication number
- JP7025098B2 JP7025098B2 JP2018057087A JP2018057087A JP7025098B2 JP 7025098 B2 JP7025098 B2 JP 7025098B2 JP 2018057087 A JP2018057087 A JP 2018057087A JP 2018057087 A JP2018057087 A JP 2018057087A JP 7025098 B2 JP7025098 B2 JP 7025098B2
- Authority
- JP
- Japan
- Prior art keywords
- analysis
- traffic
- information
- data
- threat level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M3/00—Automatic or semi-automatic exchanges
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/08—Testing, supervising or monitoring using real traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/02—Traffic management, e.g. flow control or congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/02—Buffering or recovering information during reselection ; Modification of the traffic flow during hand-off
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/18—Service support devices; Network management devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Description
本発明は上記課題を解決するためになされたものであり、本発明の目的は、IoT機器がエッジ間を移動したとしても適切に情報連携してシームレスな分析が可能な異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラムを提供することにある。
本発明の第1の態様は、異常トラヒック分析装置は、機器からのトラヒックを受信する受信手段と、前記機器からのトラヒックが異常トラヒックであるかを、異常の詳細度の再設定を繰り返しながら分析して、脅威レベルを判定する分析手段と、前記分析手段による分析結果を記録させる分析結果記録手段と、前記機器のエッジ間の移動を管理する機器管理手段とを有し、前記機器管理手段により前記分析手段により分析の対象としている機器が他のエッジへ移動することが判定される場合に、前記受信手段は、前記機器からのトラヒックについて、前記機器からのトラヒックに応じたトラヒックデータ、過去に受信した情報の発信元と過去に受信した情報の脅威レベルとが対応付けられたエントリデータ、及び前記機器に対応する脅威レベルを示すデータの何れかをもとに分析を継続するための情報を生成して、前記機器に対応する脅威レベルをもとに、分析を継続するための情報を送信するか否かを判断し、この判断結果に基づいて、前記機器の移動先とするエッジに含まれる、トラヒックを分析する装置に、分析を継続するための情報を送信する。
図1は、本実施形態の通信システムの一例を示す図である。図1に示す通信システムは、例えば自動車等の車両を自動走行させるための自律型モビリティシステムを実現するシステムである。自律型モビリティシステムは、例えば自動車等に設けられた各種のセンサや機器等により検出された各種のデータ(プローブデータ)を、例えば、自動車に搭載されたIoT機器40からサーバに送信する。自律型モビリティシステムは、多数の自動車等のIoT機器から受信されたプローブデータをリアルタイムでダイナミックマップに反映させ、このダイナミックマップのデータを自動車のIoT機器に送信する。自動車は、ダイナミックマップのデータをもとに自動走行の制御を実行する。
図2に示すように、監視対象情報管理サーバ15は、監視対象情報15Jとして、IoT機器毎の統一的IDをもとに監視対象とするIoT機器について、サービス、エッジ、セル(基地局)などの在圏状況の対応関係を管理している。監視対象情報管理サーバ15は、対応関係等を含む監視対象情報を、各エッジA,Bの異常トラフィック分析装置28-A,28-B(異常トラヒック分析エンジン)に対して同報配信する。基地局間を監視対象車両(IoT機器40)が移動した際には、移動網33の移動体ネットワーク管理システムにより提示された識別情報および移動先情報(ハンドオーバ情報)を用いて、IoT機器40の移動を検知する。例えば、基地局A範囲から基地局Bの範囲へのIoT機器40の移動を検知したエッジAの異常トラフィック分析装置(本実施形態においてはセキュリティエンジン)28-Aは、エッジBの異常トラフィック分析装置(本実施例形態においてはセキュリティエンジン)28-Bに対して、異常トラヒック分析に必要な情報をエッジBへ送付する。従って、異常トラフィック分析装置28-Bは、基地局B範囲に移動してきたIoT機器40からのトラヒックに対して、異常トラフィック分析装置28-Aから受信した情報を用いて高精度の異常トラフィックの検知を実行できるようになる。
セルとエッジとサービスの関係を示すデータは、IoT機器40の移動に伴うハンドオーバにより在圏するセルが変わるとき、エッジが変わるかどうかを判断するために使用される。
(1)ハンドオーバ情報通知(後述する)により、IoT機器40に搭載されたLTE通信回線の固有の識別子であるIMSI(International Mobile Subscriber Identity)および切り替え先セル識別子(c2)を取得する。
異常トラフィック分析装置28は、プログラムを実行するコンピュータを備えており、プロセッサ28A、メモリ28B、通信インタフェース28C、記憶装置28Dを有する。
図9は、異常トラフィック分析装置28(異常トラフィック検知エンジン50)の処理の流れを示す図である。
UE別脅威レベルデータベースDB2には、過去の通信を対象として、発信元を特定する情報(例えばIPアドレスや端末ID)に紐づけて、一次検知(分析A)の検知結果、二次検知(分析B)の検知結果、…といった具合に、攻撃検知の詳細度(以下、次数ともいう)ごとに、攻撃検知の結果が記憶されている。これに加え、UE別脅威レベルデータベースDB2には、詳細度毎の攻撃検知結果から導き出される脅威レベルが対応付けられて記憶されている。
UE別脅威レベルデータベースDB2に対応するエントリがなかった場合、詳細度(次数)を1次と設定する。一方、UE別脅威レベルデータベースDB2に対応するエントリがあった場合、詳細度(次数)をエントリが示す脅威レベルの一つ上の次数に設定する。
UE別脅威レベルデータベースDB2に対応するエントリがなかった場合、詳細度(次数)を1次と設定する。一方、UE別脅威レベルデータベースDB2に対応するエントリがあった場合、詳細度(次数)をエントリが示す脅威レベルと等しい次数に設定する。
対象の攻撃検知の詳細度(次数)を常に1増やす。
攻撃検知アルゴリズムの出力が、正常/懸念有り/異常有りの3段階で表現される場合、
出力=懸念有り→判断結果=Yes(次数を1増やす)
出力=異常有り→判断結果=Yes(次数を2増やす)
(3)具体例
攻撃検知アルゴリズムの出力が、正常/懸念有り/異常有りの3段階で表現される場合、
出力=懸念有り→判断結果=No(次数を増やさない→S15aN→エンド)
出力=異常有り→判断結果=Yes(次数を1増やす)
(4)具体例
攻撃検知アルゴリズムの出力が、異常の有無を数値で表現する場合。例えば、攻撃検知アルゴリズムの出力が0.0~1.0であって、値が1.0に近づくほど異常性が高く、異常有無判断の閾値が0.5だった場合。
出力=0.6以上0.7未満→判断結果=Yes(次数を2増やす)
出力=0.7以上0.8未満→判断結果=Yes(次数を3増やす)
出力=0.8以上0.9未満→判断結果=Yes(次数を4増やす)
出力=0.9以上→判断結果=Yes(次数を5増やす)
本実施例の異常トラフィック分析装置28によれば、危険性の低いIoT機器(機器)については、早々に攻撃検知を打ち切るため、計算リソースが無駄にならない。
図10(A)は、ハンドオーバ情報通知メッセージ受信時の移動元側の異常トラフィック分析装置28(異常トラフィック検知エンジン50)の処理、図10(B)は、移動先側の異常トラフィック分析装置28(異常トラフィック検知エンジン50)の処理の流れをそれぞれ示す図である。
Claims (5)
- 機器からのトラヒックを受信する受信手段と、
前記機器からのトラヒックが異常トラヒックであるかを、異常の詳細度の再設定を繰り返しながら分析して、脅威レベルを判定する分析手段と、
前記分析手段による分析結果を記録させる分析結果記録手段と、
前記機器のエッジ間の移動を管理する機器管理手段とを有し、
前記機器管理手段により前記分析手段により分析の対象としている機器が他のエッジへ移動することが判定される場合に、
前記受信手段は、前記機器からのトラヒックについて、前記機器からのトラヒックに応じたトラヒックデータ、過去に受信した情報の発信元と過去に受信した情報の脅威レベルとが対応付けられたエントリデータ、及び前記機器に対応する脅威レベルを示すデータの何れかをもとに分析を継続するための情報を生成して、
前記機器に対応する脅威レベルをもとに、分析を継続するための情報を送信するか否かを判断し、
この判断結果に基づいて、前記機器の移動先とするエッジに含まれる、トラヒックを分析する装置に、分析を継続するための情報を送信する異常トラヒック分析装置。 - 前記受信手段は、予め設定された条件で定めたデータ範囲分に限定したデータを抽出して、この限定したデータをもとに、分析を継続するための情報を生成する請求項1記載の異常トラヒック分析装置。
- 前記機器管理手段は、外部サーバにおいて管理された監視対象とする機器の在圏状況の対応関係が記録された監視対象情報を受信し、前記監視対象情報をもとに前記機器のエッジ間の移動を管理する請求項1記載の異常トラヒック分析装置。
- 機器からのトラヒックを受信する受信工程と、
前記機器からのトラヒックが異常トラヒックであるかを、異常の詳細度の再設定を繰り返しながら分析して、脅威レベルを判定する分析工程と、
前記分析工程による分析結果を記録させる分析結果記録工程と、
前記機器のエッジ間の移動を管理する機器管理工程と、
前記機器管理工程により前記分析工程により分析の対象としている機器が他のエッジへ移動することが判定される場合に、
前記機器からのトラヒックについて、前記機器からのトラヒックに応じたトラヒックデータ、過去に受信した情報の発信元と過去に受信した情報の脅威レベルとが対応付けられたエントリデータ、及び前記機器に対応する脅威レベルを示すデータの何れかをもとに分析を継続するための情報を生成して、
前記機器に対応する脅威レベルをもとに、分析を継続するための情報を送信するか否かを判断し、
この判断結果に基づいて、前記機器の移動先とするエッジに含まれる、トラヒックを分析する装置に、分析を継続するための情報を送信する工程とを有する異常トラヒック分析方法。 - 請求項1乃至3の何れかに記載の異常トラヒック分析装置が具備する各手段が行う処理を、当該異常トラヒック分析装置が備えるコンピュータに実行させる異常トラヒック分析プログラム。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018057087A JP7025098B2 (ja) | 2018-03-23 | 2018-03-23 | 異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム |
PCT/JP2019/009249 WO2019181551A1 (ja) | 2018-03-23 | 2019-03-08 | 異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム |
US16/982,266 US11553347B2 (en) | 2018-03-23 | 2019-03-08 | Abnormal traffic analysis apparatus, abnormal traffic analysis method, and abnormal traffic analysis program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018057087A JP7025098B2 (ja) | 2018-03-23 | 2018-03-23 | 異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019169881A JP2019169881A (ja) | 2019-10-03 |
JP7025098B2 true JP7025098B2 (ja) | 2022-02-24 |
Family
ID=67987078
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018057087A Active JP7025098B2 (ja) | 2018-03-23 | 2018-03-23 | 異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US11553347B2 (ja) |
JP (1) | JP7025098B2 (ja) |
WO (1) | WO2019181551A1 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP4008159A4 (en) * | 2019-08-02 | 2022-08-03 | NEC Corporation | CONNECTIVITY-BASED SIMULTANEOUS TRANSFER METHODS, DEVICES AND COMPUTER-READY MEDIA |
CN115955334B (zh) * | 2022-12-02 | 2023-11-10 | 深圳市铭励扬科技有限公司 | 一种基于边缘计算的网络攻击流量处理方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011259014A (ja) | 2010-06-04 | 2011-12-22 | Nippon Telegr & Teleph Corp <Ntt> | トラフィック分析システムおよびトラフィック分析方法 |
WO2012124207A1 (ja) | 2011-03-17 | 2012-09-20 | 日本電気株式会社 | 通信システム、基地局、サイバー攻撃対処方法 |
WO2018034201A1 (ja) | 2016-08-18 | 2018-02-22 | 株式会社Nttドコモ | 通信方法 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3250129B2 (ja) * | 1994-07-29 | 2002-01-28 | 日本電信電話株式会社 | パケットサービス無中断ハンドオーバ方法 |
US20040047356A1 (en) * | 2002-09-06 | 2004-03-11 | Bauer Blaine D. | Network traffic monitoring |
US8910275B2 (en) * | 2007-02-14 | 2014-12-09 | Hewlett-Packard Development Company, L.P. | Network monitoring |
CN102487539B (zh) * | 2010-12-02 | 2014-12-10 | 感知技术无锡有限公司 | 一种单频无线接入网的切换方法、装置和系统 |
US10447733B2 (en) * | 2014-06-11 | 2019-10-15 | Accenture Global Services Limited | Deception network system |
WO2016032491A1 (en) * | 2014-08-28 | 2016-03-03 | Hewlett Packard Enterprise Development Lp | Distributed detection of malicious cloud actors |
-
2018
- 2018-03-23 JP JP2018057087A patent/JP7025098B2/ja active Active
-
2019
- 2019-03-08 WO PCT/JP2019/009249 patent/WO2019181551A1/ja active Application Filing
- 2019-03-08 US US16/982,266 patent/US11553347B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011259014A (ja) | 2010-06-04 | 2011-12-22 | Nippon Telegr & Teleph Corp <Ntt> | トラフィック分析システムおよびトラフィック分析方法 |
WO2012124207A1 (ja) | 2011-03-17 | 2012-09-20 | 日本電気株式会社 | 通信システム、基地局、サイバー攻撃対処方法 |
WO2018034201A1 (ja) | 2016-08-18 | 2018-02-22 | 株式会社Nttドコモ | 通信方法 |
Also Published As
Publication number | Publication date |
---|---|
US11553347B2 (en) | 2023-01-10 |
US20210058794A1 (en) | 2021-02-25 |
JP2019169881A (ja) | 2019-10-03 |
WO2019181551A1 (ja) | 2019-09-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108306893B (zh) | 一种自组网络的分布式入侵检测方法和系统 | |
CN110830422B (zh) | 一种终端行为数据处理方法及设备 | |
US20190379664A1 (en) | Blockchain-based nb-iot devices | |
WO2018032936A1 (zh) | 一种对算法生成域名进行检测的方法及装置 | |
US10812314B2 (en) | Methods and apparatuses for pushing a message | |
JP6973227B2 (ja) | 異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム | |
CN107623754B (zh) | 基于真伪MAC识别的WiFi采集系统及其方法 | |
CN111586032A (zh) | 一种堡垒机 | |
US10057834B2 (en) | Relay device and communication system | |
US20200195508A1 (en) | Systems and methods for network device management using device clustering | |
CN112469044B (zh) | 一种异构终端的边缘接入管控方法及控制器 | |
US11184773B2 (en) | Security auditing system and method | |
JP7025098B2 (ja) | 異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム | |
JP2018156606A (ja) | 通信制御装置、通信制御方法およびコンピュータプログラム | |
US20170078436A1 (en) | Wireless communication device, communication device, and wireless communication system | |
CN108965054B (zh) | 一种客户端与服务端数据快速交互方法 | |
US20220239748A1 (en) | Control method and device | |
CN112434304A (zh) | 防御网络攻击的方法、服务器及计算机可读存储介质 | |
CN115499230A (zh) | 网络攻击检测方法和装置、设备及存储介质 | |
Zhang et al. | On effective data aggregation techniques in host–based intrusion detection in manet | |
Guo et al. | Blockchain-assisted caching optimization and data storage methods in edge environment | |
CN111600929B (zh) | 传输线路探测方法、路由策略生成方法及代理服务器 | |
CN105893150B (zh) | 接口调用频度控制、接口调用请求处理方法及装置 | |
CN110290124B (zh) | 一种交换机入端口阻断方法及装置 | |
CN111010362B (zh) | 一种异常主机的监控方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200220 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210330 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210531 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210706 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210906 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220111 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20220121 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220208 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7025098 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |