JP7269822B2 - 通信監視装置及び通信監視方法 - Google Patents
通信監視装置及び通信監視方法 Download PDFInfo
- Publication number
- JP7269822B2 JP7269822B2 JP2019144337A JP2019144337A JP7269822B2 JP 7269822 B2 JP7269822 B2 JP 7269822B2 JP 2019144337 A JP2019144337 A JP 2019144337A JP 2019144337 A JP2019144337 A JP 2019144337A JP 7269822 B2 JP7269822 B2 JP 7269822B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- communication pair
- communications
- pair
- model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
Claims (14)
- 監視対象システムの通信を監視する通信監視装置であって、
プロセッサとメモリとを備え、
前記メモリは、前記監視対象システム内の通信ペアを構成する通信数の関係を示し、かつ前記通信ペアを構成する通信が同じ時間帯に発生した通信数に基づいて生成された、通信ペアモデルを保持し、
前記プロセッサは、前記通信ペアモデルと、検知期間における前記通信ペアに含まれる通信の通信数と、の差分に基づく値を、前記通信ペアモデルの残差に基づく閾値と比較した比較結果に基づいて、前記検知期間における前記通信ペアを構成する通信の異常を検知する、通信監視装置。 - 請求項1に記載の通信監視装置であって、
前記プロセッサは、
学習期間において前記監視対象システムから観測された通信から、同じ時間帯において発生した通信数に基づいて、前記通信ペアを推定し、
前記通信ペアの前記学習期間における同じ時間帯に発生した通信数から算出される特徴量に基づいて、前記通信ペアモデルを生成し、
前記生成した通信ペアモデルを前記メモリに格納する、通信監視装置。 - 請求項2に記載の通信監視装置であって、
前記プロセッサは、前記学習期間において前記監視対象システムから観測された通信のうち、前記同じ時間帯における通信数の相関係数が所定値以上である通信を、前記通信ペアとして推定する、通信監視装置。 - 請求項2に記載の通信監視装置であって、
前記プロセッサは、前記特徴量に基づいて、前記通信ペアを構成する通信の通信数の関係を示す回帰直線を、前記通信ペアモデルとして生成する、通信監視装置。 - 請求項1に記載の通信監視装置であって、
前記プロセッサは、前記差分の絶対値を前記残差の標準偏差である閾値基準で割った商である外れ度が、前記閾値を超えた場合に、前記異常を検知する、通信監視装置。 - 請求項1に記載の通信監視装置であって、
前記メモリは、上側通信ペアモデルと、下側通信ペアモデルと、を保持し、
前記上側通信ペアモデルは、学習期間において前記監視対象システムから観測された前記通信ペアに含まれる上側通信ペアの通信数の関係を示し、
前記通信ペアモデルと、前記学習期間における前記上側通信ペアに含まれる通信の通信数と、の差分に基づく値を、前記閾値と比較した比較結果は、前記異常と判定される比較結果であり、
前記上側通信ペアが示す通信数は、前記通信ペアモデルが示す関数のグラフの上側に位置し、
前記下側通信ペアモデルは、前記学習期間において前記監視対象システムから観測された前記通信ペアに含まれる下側通信ペアの通信数の関係を示し、
前記通信ペアモデルと、前記学習期間における前記下側通信ペアに含まれる通信の通信数と、の差分に基づく値を、前記閾値と比較した比較結果は、前記異常と判定される比較結果であり、
前記下側通信ペアが示す通信数は、前記通信ペアモデルが示す関数のグラフの下側に位置し、
前記プロセッサは、
前記通信ペアモデルと、検知期間における前記通信ペアに含まれる通信の通信数と、の差分に基づく値が、前記通信ペアモデルの残差に基づく閾値を超えたと判定した場合、
前記検知期間における通信ペアが前記上側通信ペアであれば、前記上側通信ペアモデルと、前記検知期間における前記上側通信ペアに含まれる通信の通信数と、の差分に基づく値を、前記上側通信ペアモデルの残差に基づく閾値と比較した比較結果に基づいて、前記検知期間における前記上側通信ペアを構成する通信の異常を検知し、
前記検知期間における通信ペアが前記下側通信ペアであれば、前記下側通信ペアモデルと、前記検知期間における前記下側通信ペアに含まれる通信の通信数と、の差分に基づく値を、前記下側通信ペアモデルの残差に基づく閾値と比較した比較結果に基づいて、前記検知期間における前記下側通信ペアを構成する通信の異常を検知する、通信監視装置。 - 請求項6の通信監視装置であって、
前記プロセッサは、
前記学習期間において前記監視対象システムから観測された通信から、同じ時間帯において発生した通信数に基づいて、前記通信ペアを推定し、
前記通信ペアの前記学習期間における同じ時間帯に発生した通信数から算出される特徴量に基づいて、前記通信ペアモデルを生成し、
前記生成した通信ペアモデルを前記メモリに格納し、
前記通信ペアモデルと、前記学習期間における前記通信ペアに含まれる通信の通信数と、の差分に基づく値を、前記通信ペアモデルの残差に基づく閾値と比較した比較結果に基づいて、前記上側通信ペアと前記下側通信ペアを推定し、
前記上側通信ペアの前記学習期間における同じ時間帯に発生した通信数から算出される特徴量に基づいて、前記上側通信ペアモデルを生成し、
前記下側通信ペアの前記学習期間における同じ時間帯に発生した通信数から算出される特徴量に基づいて、前記下側通信ペアモデルを生成し、
前記生成した上側通信ペアモデル及び前記生成した下側通信ペアモデルを前記メモリに格納する、通信監視装置。 - 通信監視装置が監視対象システムの通信を監視する通信監視方法であって、
前記通信監視装置は、プロセッサとメモリとを備え、
前記メモリは、前記監視対象システム内の通信ペアを構成する通信数の関係を示し、かつ前記通信ペアを構成する通信が同じ時間帯に発生した通信数に基づいて生成された、通信ペアモデルを保持し、
前記通信監視方法は、
前記プロセッサが、前記通信ペアモデルと、検知期間における前記通信ペアに含まれる通信の通信数と、の差分に基づく値を、前記通信ペアモデルの残差に基づく閾値と比較した比較結果に基づいて、前記検知期間における前記通信ペアを構成する通信の異常を検知する、通信監視方法。 - 請求項8に記載の通信監視方法であって、
前記プロセッサが、学習期間において前記監視対象システムから観測された通信から、同じ時間帯において発生した通信数に基づいて、前記通信ペアを推定し、
前記プロセッサが、前記通信ペアの前記学習期間における同じ時間帯に発生した通信数から算出される特徴量に基づいて、前記通信ペアモデルを生成し、
前記プロセッサが、前記生成した通信ペアモデルを前記メモリに格納する、通信監視方法。 - 請求項9に記載の通信監視方法であって、
前記プロセッサが、前記学習期間において前記監視対象システムから観測された通信のうち、前記同じ時間帯における通信数の相関係数が所定値以上である通信を、前記通信ペアとして推定する、通信監視方法。 - 請求項9に記載の通信監視方法であって、
前記プロセッサが、前記特徴量に基づいて、前記通信ペアを構成する通信の通信数の関係を示す回帰直線を、前記通信ペアモデルとして生成する、通信監視方法。 - 請求項8に記載の通信監視方法であって、
前記プロセッサが、前記差分の絶対値を前記残差の標準偏差である閾値基準で割った商である外れ度が、前記閾値を超えた場合に、前記異常を検知する、通信監視方法。 - 請求項8に記載の通信監視方法であって、
前記メモリは、上側通信ペアモデルと、下側通信ペアモデルと、を保持し、
前記上側通信ペアモデルは、学習期間において前記監視対象システムから観測された前記通信ペアに含まれる上側通信ペアの通信数の関係を示し、
前記通信ペアモデルと、前記学習期間における前記上側通信ペアに含まれる通信の通信数と、の差分に基づく値を、前記閾値と比較した比較結果は、前記異常と判定される比較結果であり、
前記上側通信ペアが示す通信数は、前記通信ペアモデルが示す関数のグラフの上側に位置し、
前記下側通信ペアモデルは、前記学習期間において前記監視対象システムから観測された前記通信ペアに含まれる下側通信ペアの通信数の関係を示し、
前記通信ペアモデルと、前記学習期間における前記下側通信ペアに含まれる通信の通信数と、の差分に基づく値を、前記閾値と比較した比較結果は、前記異常と判定される比較結果であり、
前記下側通信ペアが示す通信数は、前記通信ペアモデルが示す関数のグラフの下側に位置し、
前記通信監視方法は、
前記プロセッサが、前記通信ペアモデルと、検知期間における前記通信ペアに含まれる通信の通信数と、の差分に基づく値が、前記通信ペアモデルの残差に基づく閾値を超えたと判定した場合、
前記プロセッサが、前記検知期間における通信ペアが前記上側通信ペアであれば、前記上側通信ペアモデルと、前記検知期間における前記上側通信ペアに含まれる通信の通信数と、の差分に基づく値を、前記上側通信ペアモデルの残差に基づく閾値と比較した比較結果に基づいて、前記検知期間における前記上側通信ペアを構成する通信の異常を検知し、
前記プロセッサが、前記検知期間における通信ペアが前記下側通信ペアであれば、前記下側通信ペアモデルと、前記検知期間における前記下側通信ペアに含まれる通信の通信数と、の差分に基づく値を、前記下側通信ペアモデルの残差に基づく閾値と比較した比較結果に基づいて、前記検知期間における前記下側通信ペアを構成する通信の異常を検知する、通信監視方法。 - 請求項13の通信監視方法であって、
前記プロセッサが、前記学習期間において前記監視対象システムから観測された通信から、同じ時間帯において発生した通信数に基づいて、前記通信ペアを推定し、
前記プロセッサが、前記通信ペアの前記学習期間における同じ時間帯に発生した通信数から算出される特徴量に基づいて、前記通信ペアモデルを生成し、
前記プロセッサが、前記生成した通信ペアモデルを前記メモリに格納し、
前記プロセッサが、前記通信ペアモデルと、前記学習期間における前記通信ペアに含まれる通信の通信数と、の差分に基づく値を、前記通信ペアモデルの残差に基づく閾値と比較した比較結果に基づいて、前記上側通信ペアと前記下側通信ペアを推定し、
前記プロセッサが、前記上側通信ペアの前記学習期間における同じ時間帯に発生した通信数から算出される特徴量に基づいて、前記上側通信ペアモデルを生成し、
前記プロセッサが、前記下側通信ペアの前記学習期間における同じ時間帯に発生した通信数から算出される特徴量に基づいて、前記下側通信ペアモデルを生成し、
前記プロセッサが、前記生成した上側通信ペアモデル及び前記生成した下側通信ペアモデルを前記メモリに格納する、通信監視方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019144337A JP7269822B2 (ja) | 2019-08-06 | 2019-08-06 | 通信監視装置及び通信監視方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019144337A JP7269822B2 (ja) | 2019-08-06 | 2019-08-06 | 通信監視装置及び通信監視方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021027472A JP2021027472A (ja) | 2021-02-22 |
JP7269822B2 true JP7269822B2 (ja) | 2023-05-09 |
Family
ID=74662551
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019144337A Active JP7269822B2 (ja) | 2019-08-06 | 2019-08-06 | 通信監視装置及び通信監視方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7269822B2 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7319872B2 (ja) * | 2019-09-06 | 2023-08-02 | 株式会社日立製作所 | ネットワークセキュリティ装置及び学習優先度決定方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130226877A1 (en) | 2012-02-24 | 2013-08-29 | Hitachi, Ltd. | Computer program and management computer |
JP2019018755A (ja) | 2017-07-19 | 2019-02-07 | 株式会社東芝 | 異常検知装置、異常検知方法およびコンピュータプログラム |
JP2019121811A (ja) | 2017-12-28 | 2019-07-22 | 株式会社日立製作所 | 通信監視システム、通信監視装置および通信監視方法 |
-
2019
- 2019-08-06 JP JP2019144337A patent/JP7269822B2/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130226877A1 (en) | 2012-02-24 | 2013-08-29 | Hitachi, Ltd. | Computer program and management computer |
WO2013125037A1 (ja) | 2012-02-24 | 2013-08-29 | 株式会社日立製作所 | コンピュータプログラムおよび管理計算機 |
JP2019018755A (ja) | 2017-07-19 | 2019-02-07 | 株式会社東芝 | 異常検知装置、異常検知方法およびコンピュータプログラム |
JP2019121811A (ja) | 2017-12-28 | 2019-07-22 | 株式会社日立製作所 | 通信監視システム、通信監視装置および通信監視方法 |
Also Published As
Publication number | Publication date |
---|---|
JP2021027472A (ja) | 2021-02-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11269718B1 (en) | Root cause detection and corrective action diagnosis system | |
US10693711B1 (en) | Real-time event correlation in information networks | |
US10462027B2 (en) | Cloud network stability | |
US11985040B2 (en) | Multi-baseline unsupervised security-incident and network behavioral anomaly detection in cloud-based compute environments | |
US10732873B1 (en) | Timeout mode for storage devices | |
CN104618304A (zh) | 数据处理方法及数据处理系统 | |
CN111355696A (zh) | 一种报文识别方法、装置、dpi设备及存储介质 | |
JP7269822B2 (ja) | 通信監視装置及び通信監視方法 | |
Solaimani et al. | Online anomaly detection for multi‐source VMware using a distributed streaming framework | |
EP2958023B1 (en) | System analysis device and system analysis method | |
JP6252309B2 (ja) | 監視漏れ特定処理プログラム,監視漏れ特定処理方法及び監視漏れ特定処理装置 | |
Liu | A survey on fault-tolerance in distributed optimization and machine learning | |
Ma et al. | A parallel heuristic reduction based approach for distribution network fault diagnosis | |
Hyttinen et al. | Causal discovery of linear cyclic models from multiple experimental data sets with overlapping variables | |
CN107682173B (zh) | 基于交易模型的自动故障定位方法和系统 | |
JP7409866B2 (ja) | 通信監視装置及び通信監視方法 | |
Kriaa et al. | Better safe than sorry: modeling reliability and security in replicated SDN controllers | |
WO2018138793A1 (ja) | 攻撃・異常検知装置、攻撃・異常検知方法、および攻撃・異常検知プログラム | |
RU2718215C2 (ru) | Система обработки данных и способ обнаружения затора в системе обработки данных | |
JP2019502969A (ja) | スーパーコンピュータの保守および最適化を支援するための方法およびシステム | |
Sun et al. | High availability analysis and evaluation of heterogeneous dual computer fault-tolerant system | |
CN112596867A (zh) | 一种悬挂事务处理方法及一种分布式数据库系统 | |
CN112671649A (zh) | 基于物联网传输故障检测的路径选择方法及装置 | |
Lee et al. | Analysis of repairable Geo/G/1 queues with negative customers | |
CN105450751B (zh) | 一种提高云计算环境稳定性的系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220228 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20221107 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20221122 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221209 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230328 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230424 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7269822 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |