JP7269822B2 - 通信監視装置及び通信監視方法 - Google Patents

通信監視装置及び通信監視方法 Download PDF

Info

Publication number
JP7269822B2
JP7269822B2 JP2019144337A JP2019144337A JP7269822B2 JP 7269822 B2 JP7269822 B2 JP 7269822B2 JP 2019144337 A JP2019144337 A JP 2019144337A JP 2019144337 A JP2019144337 A JP 2019144337A JP 7269822 B2 JP7269822 B2 JP 7269822B2
Authority
JP
Japan
Prior art keywords
communication
communication pair
communications
pair
model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019144337A
Other languages
English (en)
Other versions
JP2021027472A (ja
Inventor
真愉子 田中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2019144337A priority Critical patent/JP7269822B2/ja
Publication of JP2021027472A publication Critical patent/JP2021027472A/ja
Application granted granted Critical
Publication of JP7269822B2 publication Critical patent/JP7269822B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、通信監視装置及び通信監視方法に関する。
インダストリアルネットワークにおけるサイバー攻撃の潜在的な感染を検知するための背景技術として、特開2017-41886号公報(特許文献1)がある。この公報には、「システムは、ネットワークステートのリストおよび遷移確率を含むサイトアクセプタブルなネットワーク挙動のベースラインを設定するためのハードウェアとソフトウェアの要素を含む。遷移確率は、正常なネットワーク稼働中に、第一のネットワークステートが第二のネットワークステートに一時的に追従される推定確率を示すものである。さらに、確率を表す閾値を設定する。その閾値を下回ると、ネットワークステートのシーケンスが変則的であることおよびサイトアクセプタブルなネットワーク挙動のベースラインに基づいて、特定の一連のパケットから得たネットワークステートのシーケンスが発生する確率を特定し、特定された確率が設定された閾値を下回るか否かにより防御措置を実行する。」と記載されている(要約参照)。
特開2017-41886公報
しかしながら、特許文献1に記載の技術は、定常時に発生した通信のシーケンスの発生確率から、定常時に発生する確率の低いシーケンスの発生を検知するものの、定常時に発生する確率が低くないシーケンスを利用したサイバー攻撃(以下、正規通信の悪用とも呼ぶ)を検知することはできなかった。そこで、本発明の一態様は、正規通信の異常を検知することを目的とする。
上記課題を解決するために、本発明の一態様は以下の構成を採用する。監視対象システムの通信を監視する通信監視装置は、プロセッサとメモリとを備え、前記メモリは、前記監視対象システム内の通信ペアを構成する通信数の関係を示し、かつ前記通信ペアを構成する通信が同じ時間帯に発生した通信数に基づいて生成された、通信ペアモデルを保持し、前記プロセッサは、前記通信ペアモデルと、検知期間における前記通信ペアに含まれる通信の通信数と、の差分に基づく値を、前記通信ペアモデルの残差に基づく閾値と比較した比較結果に基づいて、前記検知期間における前記通信ペアを構成する通信の異常を検知する。
本発明の一態様によれば、正規通信の異常を検知することができる。
上記した以外の課題、構成、及び効果は、以下の実施形態の説明により明らかにされる。
実施例1における通信システムの構成例を示すブロック図である。 実施例1における通信監視装置による検知対象の正規通信の一例を示す説明図である。 実施例1における通信監視装置のハードウェア構成例を示すブロック図である。 実施例1における通信監視装置の機能構成例を示すブロック図である。 実施例1における業務通信識別子テーブルの一例である。 実施例1における業務通信ペア推定テーブルの一例である。 実施例1における業務通信ペア特徴量テーブルの一例である。 実施例1における業務通信ペアモデルテーブルの一例である。 実施例1における業務通信テーブルの一例である。 実施例1における監視対象システムの定常状態を学習する学習処理の一例を示すフローチャートである。 実施例1における収集パケット前処理の一例を示すフローチャートである。 実施例1における監視対象システムの通信群から業務通信ペアを推定する業務通信ペア推定処理の一例を示すフローチャートである。 実施例1における業務通信ペアの定常通信の特徴量からモデルを生成する業務通信ペアモデル生成処理の一例を示すフローチャートである。 実施例1における通信監視処理の一例を示すフローチャートである。 実施例1における正規通信の悪用を検知する悪用通信検知処理の一例を示すフローチャートである。 実施例2における通信監視装置の機能構成の一例を示すブロック図である。 実施例2における業務通信ペアの定常通信の特徴量からモデルを生成する業務通信ペアモデル生成処理の一例を示すフローチャートである。 実施例2における業務通信ペア2段モデルテーブルの一例である。 実施例2における正規通信の悪用を検知する悪用通信検知処理の一例を示すフローチャートである。
本実施形態は、NEDOが推進する総合科学技術・イノベーション会議の戦略的イノベーション創造プログラム(SIP)「重要インフラ等におけるサイバーセキュリティの確保」に関する。
以下、添付図面を参照して本発明の実施形態を説明する。本実施形態は本発明を実現するための一例に過ぎず、本発明の技術的範囲を限定するものではないことに注意すべきである。各図において共通の構成については同一の参照符号が付されている。
本実施例では、監視対象システムの通信群から同じ業務に関わる業務通信の組合せ(業務通信ペアとも呼ぶ)を推定し、業務通信ペアの定常通信の特徴量からモデルを生成し、生成したモデルと監視時の通信との差分から正規通信の悪用(異常)を検知する、方法について説明する。
図1は、本実施例の通信システムの構成例を示すブロック図である。通信システムは、例えば、監視対象システム1及び通信監視装置20を含む。通信監視装置20は、監視対象システム1の通信データを収集して(本実施形態では通信データの一例としてパケットを収集する)、定常時の監視対象システム1の通信の特徴量を抽出する。また、通信監視装置20は、抽出した特徴量から定常状態をモデル化する。また、通信監視装置20は、モデルと監視時の通信との差分から正規通信の悪用を検知する。
監視対象システム1は、例えば、複数のネットワーク(図1の例ではネットワーク110及びネットワーク120)を備える。各ネットワークには、各種役割を備えた複数の機器(図1の例では、機器10a~10m、機器12a~12n、及び機器13a~13k)が接続される。
例えば、監視対象システム1が産業制御システム(ICS)である場合、ネットワーク110は情報・制御ネットワークであり、ネットワーク120はコントロールネットワークである。情報・制御ネットワーク(ネットワーク110)に接続された機器10a~10mは、例えば、システム全体の動作を監視するシステム監視サーバ、システムの運行計画を管理するサーバ、又は保守用サーバなどである。
情報・制御ネットワーク(ネットワーク110)とコントロールネットワーク(ネットワーク120)に接続された機器12a~12nは、例えば、システム監視サーバからの命令に従って、コントロールネットワーク(ネットワーク120)に接続された機器に制御命令を送信したり、ログ情報を収集したりする制御サーバ等である。
コントロールネットワーク(ネットワーク120)に接続された機器13a~13kは、例えば、制御サーバの命令にしたがってモータの回転数を設定したり、設定情報を収集したりする、プログラマブルコントローラ(PLC)等である。
監視対象システム1は、通信監視装置20に接続された複数のミラーポート(図1の例ではミラーポート111及びミラーポート112)を有する各ミラーポートは、監視対象システム1の各ネットワークに流れる通信のコピーを通信監視装置20に送信する。
図2は、通信監視装置20による検知対象の正規通信の一例を示す説明図である。機器10aから機器12aへの通信K1、機器12aから機器12bへの通信K2、機器12aから機器10bへの通信K3、及び機器10bから機器10aへの通信K4は、いずれも監視対象システム1が正常に動作しているときに発生する正規通信を示す。通信K1と通信K2からなるKP1、及び通信K3と通信K4からなるKP2は業務的に関係の強い正規通信のペア(以下、業務通信ペアと呼ぶ)を示している。業務的に関係が強いとは、例えば、正規通信K1によって正規通信K2が発生する等の関係がみられる通信のペアのことである。
例えば、(1)2つの機器間で相互に通信を行うタイプの業務の生存確認又は業務実行要求の通信と応答の通信等、(2)1つの機器からの通信を受け他の機器に通信を行う業務の上位機器からの業務実行要求の受信を契機に実行される、配下の機器への命令やデータやログの送信等、(3)1つの機器から複数の機器へ通信を行う業務の上位機器から複数の下位機器へ同じタイミング行われるデータ配信、又は堅牢化のため冗長構成をとる2つの機器へのデータ送信等、(4)1つの機器へ複数の機器から通信を行う業務の下位機器から上位機器への命令実行結果の通知等は、いずれも業務通信ペアを構成する可能性がある。
図3は、通信監視装置20のハードウェア構成例を示すブロック図である。通信監視装置20は、例えば、互いにバス216等の内部通信線で接続された、CPU(Central Processing Unit)211、メモリ212、補助記憶装置213、及び複数のIF(インタフェース)214、入出力装置215、及びバス216を有する計算機によって構成される。
CPU211は、プロセッサを含み、メモリ212にロードされた各種プログラムを実行し、通信監視装置20の各種機能を実現する。メモリ212は、不揮発性の記憶素子であるROM及び揮発性の記憶素子であるRAMを含む。ROMは、不変のプログラム(例えば、BIOS)などを格納する。RAMは、DRAM(Dynamic Random Access Memory)のような高速かつ揮発性の記憶素子であり、CPU211が実行するプログラム及びプログラムの実行時に使用されるデータを一時的に格納する。
補助記憶装置213は、例えば、磁気記憶装置(HDD)、フラッシュメモリ(SSD)等の大容量かつ不揮発性の記憶装置であり、CPU211が実行するプログラム213a及びプログラム213aの実行時に使用されるデータ(例えばテーブル213b)を格納する。
すなわち、プログラム213aは、補助記憶装置213から読み出されて、メモリ212にロードされて、CPU211によって実行される。なお、メモリ212に格納されているデータの一部又は全部が補助記憶装置213に格納されていてもよいし、補助記憶装置213に格納されているデータの一部又は全部がメモリ212に格納されていてもよい。
IF214は、所定のプロトコルに従って、他の装置との通信を制御するネットワークインターフェース装置であり、通信監視装置20を監視対象システム1のネットワークに接続するために用いられる。複数のIF214によって、複数のネットワークで構成される監視対象システム1の通信パケットが収集される。
入出力装置215は、ユーザからの入力を受け、プログラム213aの実行結果をユーザが視認可能な形式で出力する装置であり、例えば、キーボード、マウス、及び/又はディスプレイなどである。なお、入出力装置215は、通信監視装置20を構成する計算機に含まれずに接続されていてもよい。
図4は、通信監視装置20の機能構成例を示すブロック図である。通信監視装置20は、監視対象システム1のネットワークに流れる通信パケットを収集、分析、及び学習することで、正規通信を使った悪用を検知する。
通信監視装置20は、パケット収集処理部21、業務通信ペア推定処理部22、業務通信ペア特徴量算出処理部23、業務通信ペアモデル生成処理部24、及び悪用通信検知処理部25、を有し、これらの処理部の機能を実現するためのプログラムがプログラム213aとして補助記憶装置213に格納されている。
例えば、CPU211は、メモリ212にロードされたパケット収集処理プログラムに従って動作することで、パケット収集処理部21として機能し、メモリ212にロードされた業務通信ペア推定処理プログラムに従って動作することで、業務通信ペア推定処理部22として機能する。通信監視装置20が有する他の処理部についても、プログラムと処理部の関係は同様である。
なお、通信監視装置20が有する処理部による機能の一部又は全部が、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field-Programmable Gate Array)等のハードウェアによって実現されてもよい。
また、通信監視装置20は、業務通信識別子テーブル201、業務通信ペア推定テーブル202、業務通信ペア特徴量テーブル203、業務通信ペアモデルテーブル204、及び業務通信テーブル205を保持する。これらのテーブルはテーブル213bとして補助記憶装置213に格納され、処理に利用される際にはメモリ212に展開される。
なお、本実施形態において、通信監視装置20が使用する情報は、データ構造に依存せずどのようなデータ構造で表現されていてもよい。本実施形態ではテーブル形式で情報が表現されている例を説明するが、例えば、リスト、データベース又はキューから適切に選択したデータ構造体が、情報を格納することができる。
パケット収集処理部21はIF214を介して、監視対象システム1のネットワークに流れる通信パケットを収集する。パケット収集処理部21は収集した通信パケットのメタ情報に紐付く識別子を通信パケットに割り当て、その紐付を管理する業務通信識別子テーブル201を生成する。なお、メタ情報とは、例えば、通信元機器及び通信先機器のIPアドレス、通信プロトコル、及びポート番号等を含む。
業務通信識別子テーブル201に登録された通信が、監視対象システム1の正規の業務を行う通信(正規通信)とみなされる。また、パケット収集処理部21は、識別子毎に単位時間当たりの通信パケット数などが格納される業務通信テーブル205を生成する。
業務通信ペア推定処理部22は、業務通信テーブル205の情報を用いて、業務通信識別子テーブル201に登録された全ての正規通信の組合せについて業務的な関係の強さを業務関連度として算出し、算出した業務関連度を業務通信ペア推定テーブル202に登録する。
業務通信ペア特徴量算出処理部23は、業務通信ペア推定テーブル202が示す業務的な関係の強い業務通信ペアについて、業務通信テーブル205の情報を用いて、業務通信ペアの関係を示す特徴量を算出し、算出した特徴量を業務通信ペア特徴量テーブル203に登録する。業務通信ペアモデル生成処理部24は、業務通信ペア特徴量テーブル203を参照して、業務通信ペアの定常状態を表すモデルを算出し、算出したモデルを業務通信ペアモデルテーブル204に登録する。
悪用通信検知処理部25は、新規に入力された業務通信テーブル205のデータが業務通信ペアである場合、当該業務通信ペアのモデルから算出した推定値から外れ度を算出し、算出した外れ度が所定の基準を超えていた場合に正規通信の悪用(異常)であると判定する。
なお通信監視装置20は、物理的に一つの計算機上で、又は、論理的又は物理的に構成された複数の計算機上で構成される計算機システムであり、同一の計算機上で別個のスレッドで動作してもよく、複数の物理的計算機資源上に構築された仮想計算機上で動作してもよい。また、例えば、通信監視装置20は、業務通信ペアモデルを生成する装置と、業務通信ペアモデルを用いて通信を監視する装置と、に分離可能であってもよい。
図5は業務通信識別子テーブル201の一例である。業務通信識別子テーブル201には、定常時の監視対象システム1で観測された通信パケットが正規通信として登録される。業務通信識別子テーブル201は、例えば、メタ情報に紐付く識別子を示す業務通信識別子(ID-1)を示す業務通信識別子列501、通信の送信元機器を示す送信元機器列502、通信の宛先機器を示す宛先機器列503、及び通信ポートを示す通信ポート列504を含む。
図6は、業務通信ペア推定テーブル202の一例である。業務通信ペア推定テーブル202は、業務通信識別子テーブル201に登録された正規通信の全組合せについて、業務の関係の強さ即ち業務関連度を格納するテーブルである。
業務通信ペア推定テーブル202は、例えば、2つの正規通信XとYの組(業務通信ペア)を一意に特定する業務通信ペア識別子(ID-2)を示す業務通信ペア識別子列601、正規通信Xの業務通信識別子列602、正規通信Yの業務通信識別子列603、及び業務通信ペアの関係の強さを示す業務関連度列604を含む。
図7は業務通信ペア特徴量テーブル203の一例である。業務通信ペア特徴量テーブル203には、業務関連度の算出及びモデル生成において使用される、特徴情報が格納されている。
業務通信ペア特徴量テーブル203は、例えば、業務通信ペア毎に、業務通信ペア識別子(ID-2)列701、業務通信ペアを構成する正規通信Xの識別子列702と正規通信Yの識別子列703、並びに業務通信ペアの通信の特徴量を示す、通信発生数の総和列704、X通信数の総和列705、Y通信数の総和列706、X通信数の二乗の総和列707、Y通信数の二乗の総和列708、及びX通信数とY通信数の積の総和列709を含む。これらの定義及び算出方法の詳細については後述する。
詳細は後述するが、学習処理における学習期間は、例えば30日程度と長い期間であるが、業務通信ペア特徴量テーブル203は、短い期間(以下、学習期間を短い期間に分割した期間を分割期間とも呼ぶ)ごと、例えば1日ごとに、業務通信テーブル205の情報から生成される。つまり、学習期間が30日であれば、30個の業務通信ペア特徴量テーブル203が生成される。そして30個の業務通信ペア特徴量テーブル203から業務通信ペアモデルが生成される。なお、分割期間は学習期間と同じであってもよい。
図8は業務通信ペアモデルテーブル204の一例である。業務通信ペアモデルテーブル204は、例えば、業務通信ペア識別子(ID-2)を示す業務通信ペア識別子列801、業務通信ペアを構成する正規通信Xの業務通信識別子列802と正規通信Yの業務通信識別子列803列、業務通信ペアの通信の特徴量から算出したモデルのパラメータである傾き列804と切片列805、及び異常検知の判定基準となる閾値基準を示す閾値基準列806を含む。
なお、傾き列804が示す傾きと切片列805が示す切片は、それぞれ、直線回帰モデルの回帰式Y=aX+bの傾きと切片である。なお、本実施形態では最小二乗法を用いた直線回帰モデルが生成される例を説明するが、モデルはこれに限らず回帰曲線モデル等の他の任意のモデルであってもよい。
図9は業務通信テーブル205の一例である。業務通信テーブル205は、業務通信識別子が付与された正規通信について、所定の時間単位で、正規通信の通信数を集計したデータを格納する。業務通信テーブル205は、例えば、通信パケットの発生時刻を所定時間単位のタイムスロットで示す時刻列901、及び各業務識別子のタイムスロット内で発生した正規通信の通信数を示す通信数列902を含む。
図10は、監視対象システム1の定常状態を学習する学習処理の一例を示すフローチャートである。学習処理では、監視対象システム1が正常稼働しているときの通信パケットが収集され、業務通信ペアの定常時の通信数の関係をモデル化した直線回帰モデルが生成される。なお、学習処理は安全なネットワーク環境で実施されることが望ましい。
収集パケット前処理(S1001)では、パケット収集処理部21が監視対象システム1のネットワークに流れる通信パケットを収集しメタ情報に紐付く識別子を通信パケットに割り当て、業務通信識別子テーブル201に登録する。ステップS1001の詳細については図11を用いて後述する。
業務通信ペア推定処理(S1002)では、業務通信ペア推定処理部22が、ステップS1001で登録された業務通信テーブル205を参照して、業務通信識別子テーブル201に登録された正規通信のペアを生成し、生成したペアについて業務関連度を算出して、業務通信ペア推定テーブル202に登録する。ステップS1002の詳細は図12を用いて後述する。
業務通信ペアモデル生成処理(S1003)では、業務通信ペアモデル生成処理部24が、業務通信ペア特徴量テーブル203を参照して、業務通信ペアの定常状態を表すモデルを算出し、業務通信ペアモデルテーブル204へ登録する。ステップS1003の詳細は図13を用いて後述する。
図11は、ステップS1001における収集パケット前処理の一例を示すフローチャートである。収集パケット前処理は、通信監視装置20がパケットを受信する度に実行される。まず、パケット収集処理部21はIF214を介して、監視対象システム1のネットワークに流れる通信パケットを収集する(S1101)。
次に、パケット収集処理部21は、収集した通信パケットからメタ情報を抽出する(S1102)。例えば、通信パケットの時刻情報(YYYY/MM/DD hh:mm:ss)、送信元機器のIPアドレス、宛先機器のIPアドレス、通信プロトコル、及びポート番号等が、抽出対象のメタ情報である。メタ情報のうち通信パケットの送信時刻情報以外の情報は、業務通信の識別に用いられるため、以下、この情報を業務通信メタ情報とも呼ぶ。なお、通信パケットを送信した機器が当該通信パケットに付加した時刻や、通信パケットを受信したミラーポート111又はミラーポート112が当該通信パケットに付加した時刻は、いずれも上述の時刻情報が示す時刻の一例である。
次に、パケット収集処理部21は、業務通信識別子テーブル201を参照して(S1103)、抽出した業務通信メタ情報を有する業務通信、即ち送信機器、宛先機器、及びポートが等しい業務通信(正規通信)、が業務通信識別子テーブル201に登録されているかを確認する(S1104)。
パケット収集処理部21は、抽出した業務通信メタ情報を有する業務通信が、業務通信識別子テーブル201に登録されていないと判定した場合(S1104:NO)、当該業務通信メタ情報が抽出された通信に対して新しい正規通信としての新規の業務通信識別子を生成する(S1105)。そして、パケット収集処理部21は、生成した業務通信識別子と抽出した業務通信メタ情報とを紐付けて、業務通信識別子テーブル201に登録する(S1106)。
次に、パケット収集処理部21は、ステップS1105で付与された業務通信識別子を業務通信テーブル205に登録する(S1107)。具体的には、パケット収集処理部21は、当該通信パケットの時刻情報に該当する時刻(タイムスロット)の行の、当該通信パケットの業務通信識別子の通信数を1増やす。パケット収集処理部21は、時刻の行が無い場合は当該時刻が属するタイムスロットの行を追加して、当該通信パケットの業務通信識別子の通信数を1とする。なお、タイムスロットの時刻間隔は予め設定されている(例えば10秒)。
パケット収集処理部21は、抽出した業務通信メタ情報を有する業務通信が、業務通信識別子テーブル201登録済みであると判定した場合(S1104:YES)、当該通信パケットの時刻情報を元に、該当する時刻セル行の業務通信識別子の通信数データを1増やす(S1108)。該当する時刻セルが無い場合の処理はS1107の同様処理と同じである。
図12は、ステップS1002における、監視対象システム1の通信群から業務通信ペアを推定する業務通信ペア推定処理の一例を示すフローチャートである。業務通信ペア推定処理は、予め定めた学習期間(例えば30日程度)分の業務通信データが業務通信テーブル205に格納されたのちに実施される。
まず、業務通信ペア推定処理部22は、業務通信テーブル205に登録された正規通信を参照し、関連の強さの算出対象となる業務通信ペアのリストを生成する(S1201)。
業務通信ペアリストは、例えば、業務通信テーブル205に登録された正規通信の全組合せを網羅するリストである。このとき、例えば、6種類の業務通信K1~K6が業務通信テーブル205に格納されているとすれば、業務通信ペアリストは[(K1,K2),(K1,K3),(K1,K4),(K2,K3),(K2,K4),(K3,K4)]である。
業務通信ペア推定処理部22は、業務通信ペアリストに含まれる各業務通信ペアを一意に識別する業務通信ペア識別子を付与する。業務通信ペア推定処理部22は、図6の例のように、業務通信ペア識別子と、業務通信ペアを構成する正規通信(業務通信)の業務通信識別子の組と、を紐付けて業務通信ペア推定テーブル202に格納する。
なお、業務通信ペアリストの要素の一部又は全部は予め手動で作成されてもよい。具体的には、例えば、業務通信ペアリストに含まれない業務通信ペアが予め定められていてもよい。
次に、業務通信ペア推定処理部22は、業務通信ペアリストの業務通信ペアの業務通信データを業務通信テーブル205から読み出す(S1202)。そして、業務通信ペア特徴量算出処理部23は、業務通信データを用いて、学習期間を分割した分割期間ごとに、業務通信ペアリストの業務通信ペアそれぞれに対して特徴量(X通信数、Y通信数、及び通信発生数)を計算し、得られた特徴量情報を業務通信ペア特徴量テーブル203に格納する(S1203)。つまり、分割期間ごとに業務通信ペア特徴量テーブル203が生成される。
X通信数とは、学習期間中にX通信とY通信の双方が発生したタイムスロットにおけるX通信の通信数の合計である。Y通信数とは、学習期間中にX通信とY通信の双方が発生したタイムスロットにおけるY通信の通信数の合計である。通信発生数は、学習期間中にX通信とY通信の双方が発生したタイムスロットの数である。X通信数の総和とは、学習期間においてX通信数を加算したものである。Y通信数の総和とは、学習期間においてY通信数を加算したものである。通信発生数の総和とは、学習期間において通信発生数を加算したものである。X通信数の二乗の総和とは、学習期間においてX通信数の二乗を加算したものである。Y通信数の二乗の総和とは、学習期間においてY通信数の二乗を加算したものである。X通信数とY通信数の積の総和和とは、学習期間においてX通信数とY通信数の積を加算したものである。
次に、業務通信ペア特徴量算出処理部23は、ステップS1203で算出した特徴量情報を用いて業務通信ペアそれぞれの業務関連度を計算して、業務通信ペアの識別子と、業務ペア通信ペアを構成するX通信とY通信の通信識別子と、業務関連度と、を業務通信ペア推定テーブル202に格納する(S1204)。
業務通信ペア特徴量算出処理部23は、業務関連度として、例えば、X通信数とY通信数の相関係数の絶対値(相関係数そのものでもよい)を算出する。業務通信ペア推定処理部22は、相関係数を計算するために、業務通信ペアそれぞれに対して、学習期間における通信発生数の総和、X通信数の和、Y通信数の和、X通信数の二乗和、Y通信数の二乗和、及びX通信数とY通信数の積の総和を算出する。
なお、業務通信ペアにおける業務関連度が相関係数の絶対値である場合、絶対値が1に近いほど業務通信ペアを構成する通信の関連が強く0に近いほど、業務通信ペアを構成する通信の関連が弱い。
なお、学習処理における学習期間は、例えば30日程度と長い期間であり、30日分の業務通信の通信数が業務通信テーブル205に記録されると、データ量が大きくなってしまう。従って、業務通信テーブル205は、分割期間の業務通信の情報のみを保持して、分割期間ごとに更新されてもよい。この場合、分割期間ごとにステップS1202及びステップS1203の処理が実行されて特徴量が生成され、学習期間が終了した後にステップS1204の処理が実行される。
また、業務通信ペア特徴量テーブル203が、このように分割期間ごとの特徴量の情報を保持していることにより、ユーザが学習期間を任意に設定することができる。さらに、一度学習が終了してモデルが生成された後に、当該モデルが生成された後の分割期間における特徴量の情報と、当該モデルと、を用いて再学習をすることにより、当該モデルを修正することもできる。
図13は、ステップS1003における、業務通信ペアの定常通信の特徴量からモデルを生成する業務通信ペアモデル生成処理の一例を示すフローチャートである。業務通信ペアモデル生成処理部24は、業務通信ペア推定テーブル202から業務関連度の値が予め定められた関連度閾値(例えば0.8)より業務通信ペアを抽出し、関連の強い業務通信ペアのリスト(関連業務通信ペアリスト)を生成する(S1301)。
次に、業務通信ペアモデル生成処理部24は、関連業務通信ペアリストの特徴量情報を業務通信ペア特徴量テーブル203から読み出し(S1302)。業務通信ペアモデル生成処理部24は、業務通信ペアの定常状態を表すモデルを計算し、業務通信ペアモデルテーブル204へ格納する(S1303)。
業務通信ペアの定常状態を表すモデルが直線回帰モデルの場合、回帰式Y=a(傾き)X+b(切片)のパラメータである傾きと切片、及び閾値基準を算出する。閾値基準とは、回帰直線におけるy通信の残差の標準偏差である。なお、図8の例では、関連業務通信ペアリストに含まれない業務通信ペアについては、傾き列804、切片列805、及び閾値基準列806の値として0が格納されている。
通信監視装置20は、上記した処理によって、業務通信において通信内容に依存しない特徴量を用いた同じ業務に関わる業務通信のペア(業務通信ペア)を推定及び抽出することができる。つまり、通信監視装置20は、具体的な業務通信の内容を知らなくても、関連する業務通信のペアを生成することができる。さらに、通信監視装置20は、上記した処理によって業務通信ペアの通信数の関係の特徴量を算出して、通信が正常である時の関係を定義するモデルを生成することができる。
図14は、通信監視処理の一例を示すフローチャートである。通信監視処理は、業務通信ペアモデルが生成された後に、例えば、ユーザの通信監視処理開始指示に従って、実行される。通信監視処理では、入力された通信に該当する業務通信ペアのモデルから定常時の通信数を算出し、算出した通信数と、入力された通信数と、を比較して正規通信の悪用か否かを判定する。
まず、パケット収集処理部21は、監視対象の通信パケットについて収集パケット前処理(S1401)を行う。ステップS1401におけるパケット前処理は、ステップS1001におけるパケット前処理と同様であるため説明を省略する。なお、パケット前処理における、通信監視対象期間(悪用通信検知対象期間)として少なくとも1タイムスロットが必要である。
続いて、悪用通信検知処理部25は、入力された通信と該当する業務通信ペアのモデルを比較して、正規通信の悪用か否かを判定する悪用通信検知処理を実行する(S1402)。悪用通信検知処理の詳細については、は図15を用いて後述する。
図15は、ステップS1402における、入力された通信数と業務通信ペアモデルとの比較によって正規通信の悪用を検知する悪用通信検知処理の一例を示すフローチャートである。
まず、悪用通信検知処理部25は、悪用通信検知対象期間であるタイムスロット(例えば現在時刻が属するタイムスロット)で発生した通信について、業務通信のペアリストを生成する(S1501)。
次に、悪用通信検知処理部25は、業務通信ペアモデルテーブル204を参照し(S1502)、ステップS1501で生成したペアリストに含まれる業務通信ペアのモデル情報が格納されているか判定するする(S1503)。悪用通信検知処理部25は、ペアリストに含まれる全ての業務通信ペアについて、モデル情報が業務通信ペアモデルテーブル204に格納されていないと判定した場合(S1503:NO)、処理を終了する。
悪用通信検知処理部25は、ペアリストに含まれるいずれかの業務通信ペアのモデル情報が業務通信ペアモデルテーブル204に格納されていると判定した場合(S1503)、当該業務通信ペアそれぞれに対して、モデルから定常時の通信数を算出し、算出したモデルの定常時の通信数と入力された通信数との差分から外れ度を算出する(S1504)。具体的には、例えば、悪用通信検知処理部25は、モデルが示す定常時の通信数と入力された通信数との差分の絶対値を閾値基準で割った値を、外れ度として算出する。
次に、悪用通信検知処理部25は、当該業務通信ペアそれぞれに対して、算出した外れ度を、予め定められた外れ閾値(例えば閾値基準の4倍)と比較する(S1505)。悪用通信検知処理部25は、算出した外れ度が外れ閾値より大きい業務津通信ペアがあると判定した場合(S1505:YES)、当該業務通信ペアに異常があると判断し、当該業務通信ペアについてアラートを入出力装置215に出力する等の対処処理を行い(S1506)、処理を終了する。悪用通信検知処理部25は、算出した外れ度が外れ閾値より大きい業務通信ペアがないと判定した場合(S1505:NO)、処理を終了する。
以上、説明した様に本実施例に係る通信監視装置20は、業務通信ペアの関係を示す特徴量から業務通信が規定通りに実行されているかどうかを判断することができ、正規通信の悪用(異常)を検知することができる。特に、通信監視装置20は、単体の業務通信数は正常な範囲であったとしても、業務通信ペアの関係から正規通信の悪用を検知することができる。
本実施例は、1つの通信が複数の業務に使われている場合においても、正規通信の悪用を検知する方法について説明する。実施例1との相違点について説明する。
図16は、本実施例の通信監視装置20の機能構成の一例を示すブロック図である。本実施例の通信監視装置20は、実施例1の通信監視装置20と機能部については同様であるが、業務通信ペアモデルテーブル204に代えて、業務通信ペア2段目上側特徴量テーブル206、業務通信ペア2段目下側特徴量テーブル207、及び業務通信ペア2段モデルテーブル208を保持する。
業務通信ペア2段目上側特徴量テーブル206と業務通信ペア2段目下側特徴量テーブル207のデータ構成は、業務通信ペア特徴量テーブル203のデータ構成と同じであるため、図示を省略するが、特徴量を算出する対象データが異なる。
業務通信ペア2段目上側特徴量テーブル206と業務通信ペア2段目下側特徴量テーブル207は、実施例1の外れ閾値を超えた業務通信について再度算出された特徴量の情報を保持する。入力値からモデル推定値を引いた値が正の値であれば2段目上側特徴量テーブル206に格納される特徴量となり、負の値であれば2段目下側特徴量テーブル207に格納される特徴量となる。
業務通信ペア2段モデルテーブル208は2段目上側特徴量と2段目下側特徴量からそれぞれ生成した2段目上側モデルと2段目下側モデルを格納するテーブルである。
図17は、業務通信ペアの定常通信の特徴量からモデルを生成する業務通信ペアモデル生成処理の一例を示すフローチャートである。本処理は、図10に示す学習処理が実行された後、即ち業務通信ペアモデルが生成された後、に実行されるものとする。
ステップS1501~ステップS1506の処理が実施される。なお、ステップS1503でモデル情報が業務通信ペアモデルテーブル204に格納されていないと判定された場合(S1503:NO)、処理を終了する。また、ステップS1505において、外れ度が外れ閾値より大きい業務通信ペアがないと判定された場合(S1505:NO)、処理を終了する。
ステップS1506に続いて、悪用通信検知処理部25は振分け処理を実行する(S1701)。具体的には、例えば、悪用通信検知処理部25は、ステップS1505において外れ閾値を超えた業務通信ペアがモデルの回帰直線のグラフの上側(正のy軸方向)又は下側(負のy軸方向)のどちらに外れているか判定する。悪用通信検知処理部25は、入力値―モデル推定値が正の値なら上側と判定してステップS1702に遷移し、負の値なら下側と判定してステップS1704に遷移する。
ステップS1702における上側特徴量テーブル更新処理と、ステップS1703における業務通信ペア2段目上側モデル生成処理は、使用されるデータが異なるものの(ステップS1702及びステップS1703では外れ閾値を超える外れ度を有する業務通信ペアにおける通信数からモデルが算出される)、それぞれステップS1203の処理、及びステップS1204との処理と同様であるため説明を省略する。
同様にステップS1704における下側特徴量テーブル更新処理と、ステップS1705における業務通信ペア2段目下側モデル生成処理は、使用されるデータが異なるものの、それぞれステップS1203の処理、及びステップS1204との処理と同様であるため説明を省略する。
ステップS1703又はステップS1705の処理に続いて、悪用通信検知処理部25は、生成したモデルを業務通信ペア2段モデルテーブル208に格納して(S1706)、処理を終了する。
図18は、業務通信ペア2段モデルテーブル208の一例である。業務通信ペア2段モデルテーブル208は2段目上側特徴量から生成された2段目上側モデルと2段目下側特徴量から生成された2段目下側モデルとを格納する。
図18の例では、実施例1で生成されたモデルと併せて、2段目上側モデルと2段目上側モデルとが、業務通信ペア2段モデルテーブル208に格納されている。
業務通信ペア2段モデルテーブル208は、業務通信ペアモデルテーブル204と同様に、例えば、業務通信ペア識別子(ID-2)を示す業務通信ペア識別子列1801、業務通信ペアを構成する正規通信Xの業務通信識別子列1802と正規通信Yの業務通信識別子列1803列、業務通信ペアの通信の特徴量から算出したモデルのパラメータである傾き列1804と切片列1805、及び異常検知の判定基準となる閾値基準を示す閾値基準列1806を含む。
業務通信ペア2段モデルテーブル208は、さらに、業務通信ペア2段目上側モデルのパラメータである2段目上側傾き列1808と2段目上側切片列1808、異常検知の判定基準となる2段目上側閾値基準列1809、業務通信ペア2段目下側モデルのパラメータである2段目下側傾き列1810と2段目下側切片列1811、及び異常検知の判定基準となる2段目下側閾値基準列1812、を含む。
このように、2段階でモデルが生成されることで、通信傾向の異なる2つの通信が1つの業務通信に混在している場合においても、適切にモデルを生成することができる。
図19は、ステップS1402における業務通信ペアモデルとの差分から正規通信の悪用を検知する悪用通信検知処理の一例を示すフローチャートである。図19の悪用通信検知処理は、ステップS1501~ステップS1505については、図15の悪用通信検知処理と同様である。
悪用通信検知処理部25は、ステップS1504において算出された外れ度が外れ閾値より大きい業務津通信ペアがあると判定した場合(S1505:YES)、業務通信ペア2段モデルテーブル208を参照して、外れていた側(上側または下側)の当該業務通信ペアの2段目モデルがあるか判定する(S1901)。
悪用通信検知処理部25は、外れていた側の2段目モデルがある業務通信ペアに対しては(S1901:YES)、当該2段目モデル定常時の通信数を算出し、モデルと入力された通信の差分から外れ度を算出する(S1902)。具体的には、例えば、悪用通信検知処理部25は、2段目モデルが示す定常時の通信数と入力された通信数との差分の絶対値を外れていた側の(上側又は下側)閾値基準(上側または下側)で割った値を外れ度として算出する。
次に、悪用通信検知処理部25は、ステップS1902で算出した外れ度を、予め定められた外れ閾値(例えば閾値基準の3倍)と比較する(S1903)。悪用通信検知処理部25は、ステップS1902で算出した外れ度が外れ閾値より大きい業務津通信ペアがあると判定した場合(S1903:YES)、ステップS1506へ遷移する。悪用通信検知処理部25は、ステップS1902で算出した外れ度が外れ閾値より大きい業務津通信ペアがないと判定した場合(S1903:NO)、ステップS1501へ戻る。
悪用通信検知処理部25は、外れていた側の2段目モデルがない業務通信ペアに対しては(S1901:NO)、そのまま外れ値としてステップS1506に遷移する。 以上、説明した様に本実施例に係る通信監視装置20は、1つの正規通信が複数の業務に使われている場合においても、業務通信ペアの関係を示す特徴量から業務通信が規定通りに実行されているかを判断することができる。つまり、本実施例に係る通信監視装置20は、悪用通信の誤検知を抑制することができ、ひいては正規通信の悪用をより正確に検知することができる。
なお、本実施形態において、通信監視装置20は、2つの通信からなる業務通信ペアを特定していたが、上記した方法と同様の方法で、2つ以上の通信からなる業務通信グループを特定し、業務通信グループの関連を示すモデルを生成し、検知時の通信と当該モデルとの差分に基づいて、悪用通信を検知してもよい。
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることも可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。
また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に置くことができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。
1 監視対象システム、20 通信監視装置、21 パケット収集処理部、22 業務通信ペア推定処理部、23 業務通信ペア特徴量算出処理部、24 業務通信ペアモデル生成処理部、25 悪用通信検知処理部、201 業務通信識別子テーブル、202 業務通信ペア推定テーブル、203 業務通信ペア特徴量テーブル、204 業務通信ペアモデルテーブル、205 業務通信テーブル、206 業務通信ペア2段目上側特徴量テーブル、207 業務通信ペア2段目下側特徴量テーブル、208 業務通信ペア2段モデルテーブル、211 CPU、212 メモリ、213 記憶装置、214 IF(インタフェース)、215 入出力装置

Claims (14)

  1. 監視対象システムの通信を監視する通信監視装置であって、
    プロセッサとメモリとを備え、
    前記メモリは、前記監視対象システム内の通信ペアを構成する通信数の関係を示し、かつ前記通信ペアを構成する通信が同じ時間帯に発生した通信数に基づいて生成された、通信ペアモデルを保持し、
    前記プロセッサは、前記通信ペアモデルと、検知期間における前記通信ペアに含まれる通信の通信数と、の差分に基づく値を、前記通信ペアモデルの残差に基づく閾値と比較した比較結果に基づいて、前記検知期間における前記通信ペアを構成する通信の異常を検知する、通信監視装置。
  2. 請求項1に記載の通信監視装置であって、
    前記プロセッサは、
    学習期間において前記監視対象システムから観測された通信から、同じ時間帯において発生した通信数に基づいて、前記通信ペアを推定し、
    前記通信ペアの前記学習期間における同じ時間帯に発生した通信数から算出される特徴量に基づいて、前記通信ペアモデルを生成し、
    前記生成した通信ペアモデルを前記メモリに格納する、通信監視装置。
  3. 請求項2に記載の通信監視装置であって、
    前記プロセッサは、前記学習期間において前記監視対象システムから観測された通信のうち、前記同じ時間帯における通信数の相関係数が所定値以上である通信を、前記通信ペアとして推定する、通信監視装置。
  4. 請求項2に記載の通信監視装置であって、
    前記プロセッサは、前記特徴量に基づいて、前記通信ペアを構成する通信の通信数の関係を示す回帰直線を、前記通信ペアモデルとして生成する、通信監視装置。
  5. 請求項1に記載の通信監視装置であって、
    前記プロセッサは、前記差分の絶対値を前記残差の標準偏差である閾値基準で割った商である外れ度が、前記閾値を超えた場合に、前記異常を検知する、通信監視装置。
  6. 請求項1に記載の通信監視装置であって、
    前記メモリは、上側通信ペアモデルと、下側通信ペアモデルと、を保持し、
    前記上側通信ペアモデルは、学習期間において前記監視対象システムから観測された前記通信ペアに含まれる上側通信ペアの通信数の関係を示し、
    前記通信ペアモデルと、前記学習期間における前記上側通信ペアに含まれる通信の通信数と、の差分に基づく値を、前記閾値と比較した比較結果は、前記異常と判定される比較結果であり、
    前記上側通信ペアが示す通信数は、前記通信ペアモデルが示す関数のグラフの上側に位置し、
    前記下側通信ペアモデルは、前記学習期間において前記監視対象システムから観測された前記通信ペアに含まれる下側通信ペアの通信数の関係を示し、
    前記通信ペアモデルと、前記学習期間における前記下側通信ペアに含まれる通信の通信数と、の差分に基づく値を、前記閾値と比較した比較結果は、前記異常と判定される比較結果であり、
    前記下側通信ペアが示す通信数は、前記通信ペアモデルが示す関数のグラフの下側に位置し、
    前記プロセッサは、
    前記通信ペアモデルと、検知期間における前記通信ペアに含まれる通信の通信数と、の差分に基づく値が、前記通信ペアモデルの残差に基づく閾値を超えたと判定した場合、
    前記検知期間における通信ペアが前記上側通信ペアであれば、前記上側通信ペアモデルと、前記検知期間における前記上側通信ペアに含まれる通信の通信数と、の差分に基づく値を、前記上側通信ペアモデルの残差に基づく閾値と比較した比較結果に基づいて、前記検知期間における前記上側通信ペアを構成する通信の異常を検知し、
    前記検知期間における通信ペアが前記下側通信ペアであれば、前記下側通信ペアモデルと、前記検知期間における前記下側通信ペアに含まれる通信の通信数と、の差分に基づく値を、前記下側通信ペアモデルの残差に基づく閾値と比較した比較結果に基づいて、前記検知期間における前記下側通信ペアを構成する通信の異常を検知する、通信監視装置。
  7. 請求項6の通信監視装置であって、
    前記プロセッサは、
    前記学習期間において前記監視対象システムから観測された通信から、同じ時間帯において発生した通信数に基づいて、前記通信ペアを推定し、
    前記通信ペアの前記学習期間における同じ時間帯に発生した通信数から算出される特徴量に基づいて、前記通信ペアモデルを生成し、
    前記生成した通信ペアモデルを前記メモリに格納し、
    前記通信ペアモデルと、前記学習期間における前記通信ペアに含まれる通信の通信数と、の差分に基づく値を、前記通信ペアモデルの残差に基づく閾値と比較した比較結果に基づいて、前記上側通信ペアと前記下側通信ペアを推定し、
    前記上側通信ペアの前記学習期間における同じ時間帯に発生した通信数から算出される特徴量に基づいて、前記上側通信ペアモデルを生成し、
    前記下側通信ペアの前記学習期間における同じ時間帯に発生した通信数から算出される特徴量に基づいて、前記下側通信ペアモデルを生成し、
    前記生成した上側通信ペアモデル及び前記生成した下側通信ペアモデルを前記メモリに格納する、通信監視装置。
  8. 通信監視装置が監視対象システムの通信を監視する通信監視方法であって、
    前記通信監視装置は、プロセッサとメモリとを備え、
    前記メモリは、前記監視対象システム内の通信ペアを構成する通信数の関係を示し、かつ前記通信ペアを構成する通信が同じ時間帯に発生した通信数に基づいて生成された、通信ペアモデルを保持し、
    前記通信監視方法は、
    前記プロセッサが、前記通信ペアモデルと、検知期間における前記通信ペアに含まれる通信の通信数と、の差分に基づく値を、前記通信ペアモデルの残差に基づく閾値と比較した比較結果に基づいて、前記検知期間における前記通信ペアを構成する通信の異常を検知する、通信監視方法。
  9. 請求項8に記載の通信監視方法であって、
    前記プロセッサが、学習期間において前記監視対象システムから観測された通信から、同じ時間帯において発生した通信数に基づいて、前記通信ペアを推定し、
    前記プロセッサが、前記通信ペアの前記学習期間における同じ時間帯に発生した通信数から算出される特徴量に基づいて、前記通信ペアモデルを生成し、
    前記プロセッサが、前記生成した通信ペアモデルを前記メモリに格納する、通信監視方法。
  10. 請求項9に記載の通信監視方法であって、
    前記プロセッサが、前記学習期間において前記監視対象システムから観測された通信のうち、前記同じ時間帯における通信数の相関係数が所定値以上である通信を、前記通信ペアとして推定する、通信監視方法。
  11. 請求項9に記載の通信監視方法であって、
    前記プロセッサが、前記特徴量に基づいて、前記通信ペアを構成する通信の通信数の関係を示す回帰直線を、前記通信ペアモデルとして生成する、通信監視方法。
  12. 請求項8に記載の通信監視方法であって、
    前記プロセッサが、前記差分の絶対値を前記残差の標準偏差である閾値基準で割った商である外れ度が、前記閾値を超えた場合に、前記異常を検知する、通信監視方法。
  13. 請求項8に記載の通信監視方法であって、
    前記メモリは、上側通信ペアモデルと、下側通信ペアモデルと、を保持し、
    前記上側通信ペアモデルは、学習期間において前記監視対象システムから観測された前記通信ペアに含まれる上側通信ペアの通信数の関係を示し、
    前記通信ペアモデルと、前記学習期間における前記上側通信ペアに含まれる通信の通信数と、の差分に基づく値を、前記閾値と比較した比較結果は、前記異常と判定される比較結果であり、
    前記上側通信ペアが示す通信数は、前記通信ペアモデルが示す関数のグラフの上側に位置し、
    前記下側通信ペアモデルは、前記学習期間において前記監視対象システムから観測された前記通信ペアに含まれる下側通信ペアの通信数の関係を示し、
    前記通信ペアモデルと、前記学習期間における前記下側通信ペアに含まれる通信の通信数と、の差分に基づく値を、前記閾値と比較した比較結果は、前記異常と判定される比較結果であり、
    前記下側通信ペアが示す通信数は、前記通信ペアモデルが示す関数のグラフの下側に位置し、
    前記通信監視方法は、
    前記プロセッサが、前記通信ペアモデルと、検知期間における前記通信ペアに含まれる通信の通信数と、の差分に基づく値が、前記通信ペアモデルの残差に基づく閾値を超えたと判定した場合、
    前記プロセッサが、前記検知期間における通信ペアが前記上側通信ペアであれば、前記上側通信ペアモデルと、前記検知期間における前記上側通信ペアに含まれる通信の通信数と、の差分に基づく値を、前記上側通信ペアモデルの残差に基づく閾値と比較した比較結果に基づいて、前記検知期間における前記上側通信ペアを構成する通信の異常を検知し、
    前記プロセッサが、前記検知期間における通信ペアが前記下側通信ペアであれば、前記下側通信ペアモデルと、前記検知期間における前記下側通信ペアに含まれる通信の通信数と、の差分に基づく値を、前記下側通信ペアモデルの残差に基づく閾値と比較した比較結果に基づいて、前記検知期間における前記下側通信ペアを構成する通信の異常を検知する、通信監視方法。
  14. 請求項13の通信監視方法であって、
    前記プロセッサが、前記学習期間において前記監視対象システムから観測された通信から、同じ時間帯において発生した通信数に基づいて、前記通信ペアを推定し、
    前記プロセッサが、前記通信ペアの前記学習期間における同じ時間帯に発生した通信数から算出される特徴量に基づいて、前記通信ペアモデルを生成し、
    前記プロセッサが、前記生成した通信ペアモデルを前記メモリに格納し、
    前記プロセッサが、前記通信ペアモデルと、前記学習期間における前記通信ペアに含まれる通信の通信数と、の差分に基づく値を、前記通信ペアモデルの残差に基づく閾値と比較した比較結果に基づいて、前記上側通信ペアと前記下側通信ペアを推定し、
    前記プロセッサが、前記上側通信ペアの前記学習期間における同じ時間帯に発生した通信数から算出される特徴量に基づいて、前記上側通信ペアモデルを生成し、
    前記プロセッサが、前記下側通信ペアの前記学習期間における同じ時間帯に発生した通信数から算出される特徴量に基づいて、前記下側通信ペアモデルを生成し、
    前記プロセッサが、前記生成した上側通信ペアモデル及び前記生成した下側通信ペアモデルを前記メモリに格納する、通信監視方法。
JP2019144337A 2019-08-06 2019-08-06 通信監視装置及び通信監視方法 Active JP7269822B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019144337A JP7269822B2 (ja) 2019-08-06 2019-08-06 通信監視装置及び通信監視方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019144337A JP7269822B2 (ja) 2019-08-06 2019-08-06 通信監視装置及び通信監視方法

Publications (2)

Publication Number Publication Date
JP2021027472A JP2021027472A (ja) 2021-02-22
JP7269822B2 true JP7269822B2 (ja) 2023-05-09

Family

ID=74662551

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019144337A Active JP7269822B2 (ja) 2019-08-06 2019-08-06 通信監視装置及び通信監視方法

Country Status (1)

Country Link
JP (1) JP7269822B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7319872B2 (ja) * 2019-09-06 2023-08-02 株式会社日立製作所 ネットワークセキュリティ装置及び学習優先度決定方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130226877A1 (en) 2012-02-24 2013-08-29 Hitachi, Ltd. Computer program and management computer
JP2019018755A (ja) 2017-07-19 2019-02-07 株式会社東芝 異常検知装置、異常検知方法およびコンピュータプログラム
JP2019121811A (ja) 2017-12-28 2019-07-22 株式会社日立製作所 通信監視システム、通信監視装置および通信監視方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130226877A1 (en) 2012-02-24 2013-08-29 Hitachi, Ltd. Computer program and management computer
WO2013125037A1 (ja) 2012-02-24 2013-08-29 株式会社日立製作所 コンピュータプログラムおよび管理計算機
JP2019018755A (ja) 2017-07-19 2019-02-07 株式会社東芝 異常検知装置、異常検知方法およびコンピュータプログラム
JP2019121811A (ja) 2017-12-28 2019-07-22 株式会社日立製作所 通信監視システム、通信監視装置および通信監視方法

Also Published As

Publication number Publication date
JP2021027472A (ja) 2021-02-22

Similar Documents

Publication Publication Date Title
US11269718B1 (en) Root cause detection and corrective action diagnosis system
US10693711B1 (en) Real-time event correlation in information networks
US10462027B2 (en) Cloud network stability
US11985040B2 (en) Multi-baseline unsupervised security-incident and network behavioral anomaly detection in cloud-based compute environments
US10732873B1 (en) Timeout mode for storage devices
CN104618304A (zh) 数据处理方法及数据处理系统
CN111355696A (zh) 一种报文识别方法、装置、dpi设备及存储介质
JP7269822B2 (ja) 通信監視装置及び通信監視方法
Solaimani et al. Online anomaly detection for multi‐source VMware using a distributed streaming framework
EP2958023B1 (en) System analysis device and system analysis method
JP6252309B2 (ja) 監視漏れ特定処理プログラム,監視漏れ特定処理方法及び監視漏れ特定処理装置
Liu A survey on fault-tolerance in distributed optimization and machine learning
Ma et al. A parallel heuristic reduction based approach for distribution network fault diagnosis
Hyttinen et al. Causal discovery of linear cyclic models from multiple experimental data sets with overlapping variables
CN107682173B (zh) 基于交易模型的自动故障定位方法和系统
JP7409866B2 (ja) 通信監視装置及び通信監視方法
Kriaa et al. Better safe than sorry: modeling reliability and security in replicated SDN controllers
WO2018138793A1 (ja) 攻撃・異常検知装置、攻撃・異常検知方法、および攻撃・異常検知プログラム
RU2718215C2 (ru) Система обработки данных и способ обнаружения затора в системе обработки данных
JP2019502969A (ja) スーパーコンピュータの保守および最適化を支援するための方法およびシステム
Sun et al. High availability analysis and evaluation of heterogeneous dual computer fault-tolerant system
CN112596867A (zh) 一种悬挂事务处理方法及一种分布式数据库系统
CN112671649A (zh) 基于物联网传输故障检测的路径选择方法及装置
Lee et al. Analysis of repairable Geo/G/1 queues with negative customers
CN105450751B (zh) 一种提高云计算环境稳定性的系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220228

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20221107

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221122

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20221209

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230328

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230424

R150 Certificate of patent or registration of utility model

Ref document number: 7269822

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150