JP7297787B2 - 異常検知方法、及び異常検知装置 - Google Patents

異常検知方法、及び異常検知装置 Download PDF

Info

Publication number
JP7297787B2
JP7297787B2 JP2020558090A JP2020558090A JP7297787B2 JP 7297787 B2 JP7297787 B2 JP 7297787B2 JP 2020558090 A JP2020558090 A JP 2020558090A JP 2020558090 A JP2020558090 A JP 2020558090A JP 7297787 B2 JP7297787 B2 JP 7297787B2
Authority
JP
Japan
Prior art keywords
calculated
distances
packets
detection target
distance
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020558090A
Other languages
English (en)
Other versions
JPWO2020105234A1 (ja
Inventor
達海 大庭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Corp of America
Original Assignee
Panasonic Intellectual Property Corp of America
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Corp of America filed Critical Panasonic Intellectual Property Corp of America
Publication of JPWO2020105234A1 publication Critical patent/JPWO2020105234A1/ja
Application granted granted Critical
Publication of JP7297787B2 publication Critical patent/JP7297787B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/022Capturing of monitoring data by sampling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Algebra (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、パケット列の異常を検知する異常検知方法、及び異常検知装置に関する。
従来、ネットワークシステム等で利用されるデータを対象として行う情報処理技術が知られている(例えば、非特許文献1、非特許文献2参照)。
Ye, N. (2000, June). A markov chain model of temporal behavior for anomaly detection. In Proceedings of the 2000 IEEE Systems, Man, and Cybernetics Information Assurance and Security Workshop (Vol. 166, p. 169). West Point, NY. Otey, M. E., Ghoting, A., & Parthasarathy, S. (2006). Fast distributed outlier detection in mixed-attribute data sets. Data mining and knowledge discovery, 12(2-3), 203-228 Cuturi, M., Vert, J. P., Birkenes, O., & Matsui, T. (2007, April). A kernel for time series based on global alignments. In Acoustics, Speech and Signal Processing, 2007. ICASSP 2007. IEEE International Conference on (Vol. 2, pp. II-413). IEEE.
ネットワークシステム等で利用されるパケット列の異常を検知することが望まれる。
そこで、本発明は、パケット列の異常を検知する異常検知方法、及び異常検知装置を提供することを目的とする。
本開示の一態様に係る異常検知方法は、連続する複数の検知対象パケットからなる検知対象パケット列に対して、当該複数の検知対象パケット間の複数の距離を算出し、算出した前記複数の距離を用いて、前記検知対象パケット列の特徴量を抽出し、抽出した前記特徴量を用いて、前記検知対象パケット列の異常の度合いに係る情報を算出する。
また、本開示の一態様に係る異常検知装置は、連続する複数の検知対象パケットからなる検知対象パケット列に対して、当該複数の検知対象パケット間の複数の距離を算出する検知対象パケットデータ間距離算出部と、算出した前記複数の距離を用いて、前記検知対象パケット列の特徴量を抽出する特徴量抽出部と、抽出した前記特徴量を用いて、前記検知対象パケット列の異常の度合いに係る情報を算出する情報算出部と、を備える。
本開示の一態様に係る異常検知方法、及び異常検知装置によると、パケット列の異常を検知することができる。
図1は、実施の形態1に係る異常検知装置の構成を示すブロック図である。 図2は、プロファイル情報の一例を示す模式図である。 図3は、Modbus/TCPプロトコルのパケットのデータ構造を示す模式図である。 図4は、BACnet/IPプロトコルのパケットのデータ構造を示す模式図である。 図5は、リファレンスパケットデータ列の一例を示す模式図である。 図6は、実施の形態1に係るリファレンスパケットデータ間距離算出部がパケットデータを1バイトずつ切り出す様子の一例を示す模式図である。 図7は、実施の形態1に係るリファレンスパケットデータ間距離算出部が2つの文字列間のレーベンシュタイン距離を算出する様子の一例を示す模式図である。 図8は、実施の形態1に係るリファレンスパケットデータ間距離算出部が2つのバイト列間のレーベンシュタイン距離を算出する様子の一例を示す模式図である。 図9は、実施の形態1に係るリファレンスパケットデータ間距離算出部がリファレンス距離を算出する様子の一例を示す模式図である。 図10は、実施の形態1に係るリファレンス特徴量抽出部がリファレンス特徴量を抽出する様子の一例を示す模式図である。 図11は、実施の形態1に係る検知対象パケットデータ間距離算出部が距離を算出する様子の一例を示す模式図である。 図12は、実施の形態1に係る特徴量抽出部が検知対象パケットデータ列から、特徴量を抽出する様子の一例を示す模式図である。 図13は、実施の形態1に係る情報算出部がアースムーバーズ距離を算出する様子の一例を示す模式図である。 図14は、実施の形態1に係る情報算出部が検知対象パケット列の異常度を算出する様子の一例を示す模式図である。 図15は、第1リファレンス特徴量抽出処理のフローチャートである。 図16は、第1異常検知処理のフローチャートである。 図17は、実施の形態2に係る異常検知装置の構成を示すブロック図である。 図18は、実施の形態2に係る情報算出部がダイナミックタイムワーピング距離を算出する様子の一例を示す模式図である。 図19は、第2リファレンス特徴量抽出処理のフローチャートである。 図20は、第2異常検知処理のフローチャートである。 図21は、実施の形態3に係る異常検知装置の構成を示すブロック図である。 図22は、第3リファレンス特徴量抽出処理のフローチャートである。 図23は、第3異常検知処理のフローチャートである。
(本発明の一態様を得るに至った経緯)
従来、ICS(Industrial Control System)におけるサイバー攻撃の事例が増加傾向にある。ICSでは、機器を制御する正常なフォーマットのコマンド列が深刻な攻撃となり得るため、悪意のある攻撃者によって生成された異常なパケット列であっても、パケット単体で見ると、正常なものとほとんど区別できない。
従来、パケット列の異常を検知する方法として、ルールベース方式とアノマリ方式とが知られている。しかしながら、ルールベース方式には、ルールで記載されていないパケット列の異常を検知することが困難であるという問題があり、アノマリ方式には、極端なデータ量やパケット数の増加や、極端なバイト列の乱れがなければ、パケット列の異常を検知することが困難であるという問題がある。
そこで、発明者は、これら問題を解決すべく、鋭意検討、実験を重ねた。そして、発明者は、機器を制御するコマンドを含む正常なパケット列が、一定のコンテクストを有していることに着目し、一定のコンテクストから逸脱するパケット列を、異常なパケット列として検知できることを見出した。その結果、発明者は、下記異常検知方法、及び異常検知装置に想到した。
本開示の一態様に係る異常検知方法は、連続する複数の検知対象パケットからなる検知対象パケット列に対して、当該複数の検知対象パケット間の複数の距離を算出し、算出した前記複数の距離を用いて、前記検知対象パケット列の特徴量を抽出し、抽出した前記特徴量を用いて、前記検知対象パケット列の異常の度合いに係る情報を算出する。
上記異常検知方法によると、検知対象パケット列のコンテクストの特徴を特徴量として抽出することができる。そして、抽出した特徴量を用いて、検知対象パケット列の異常に係る情報を算出することができる。このように、上記異常検知方法によると、パケット列の異常を検知することができる。
また、前記複数の距離を算出する際に、前記複数の検知対象パケットのペイロード間のレーベンシュタイン距離を利用して前記複数の距離を算出するとしてもよい。
また、前記複数の検知対象パケットのペイロード間のレーベンシュタイン距離は、前記検知対象パケット列におけるN(Nは1以上の整数)個離れた検知対象パケット間のそれぞれに対して算出され、ペイロードを構成するビット列の少なくとも一部を対象として、M(Mは、1以上16以下の整数)ビットを単位として算出され、前記複数の距離を算出する際に、前記検知対象パケット列におけるN個離れた検知対象パケット間のそれぞれに対して距離を算出することで、前記複数の距離を算出するとしてもよい。
また、前記複数の検知対象パケットのペイロード間のレーベンシュタイン距離は、さらに、前記検知対象パケット列におけるL(LはN以外の1以上の整数)個離れた検知対象パケット間のそれぞれに対しても算出され、前記複数の距離を算出する際に、前記検知対象パケット列におけるL個離れた検知対象パケット間のそれぞれに対しても距離を算出することで、前記複数の距離を算出するとしてもよい。
また、前記特徴量を抽出する際に、前記検知対象パケット列において連続するW(Wは2以上の整数)個の検知対象パケットからなる1以上のウインドウ毎に、当該ウインドウに属する検知対象パケット間に対して算出した前記複数の距離の出現分布を算出し、算出した前記出現分布のそれぞれを、前記特徴量として抽出するとしてもよい。
また、前記異常の度合いに係る情報を算出する際に、算出した前記出現分布のそれぞれと、予め記憶する複数のリファレンス出現分布のそれぞれとの間のアースムーバーズ距離のそれぞれを算出し、算出した前記アースムーバーズ距離のそれぞれを利用するK近傍法を利用して、前記異常の度合いに係る情報を算出するとしてもよい。
また、前記特徴量を抽出する際に、前記検知対象パケット列において連続するW(Wは1以上の整数)個の検知対象パケットからなる1以上のウインドウ毎に、当該ウインドウに属する検知対象パケット間に対して算出した前記複数の距離からなる距離列を算出し、算出した前記距離列のそれぞれを前記特徴量として抽出するとしてもよい。
また、前記異常の度合いに係る情報を算出する際に、算出した前記距離列のそれぞれと、予め記憶する複数のリファレンス距離列のそれぞれとの間の、ワーピング法により定められる距離のそれぞれを算出し、算出した前記ワーピング法により定められる距離のそれぞれを利用して、前記異常の度合いに係る情報を算出するとしてもよい。
また、前記異常の度合いに係る情報を算出する際に、算出した前記距離列のそれぞれに対して予め記憶するグローバルアラインメントカーネルを適用することで、前記異常の度合いに係る情報を算出するとしてもよい。
また、前記複数の距離を算出する際に、前記複数の検知対象パケットのうち、同一のコマンド種別の検知対象パケット間に限定して、前記複数の距離を算出するとしてもよい。
また、連続する複数のリファレンスパケットからなる1以上のリファレンスパケット列のそれぞれに対して、当該複数のリファレンスパケット間の複数のリファレンス距離をそれぞれ算出し、算出した前記複数のリファレンス距離のそれぞれを用いて、前記1以上のリファレンスパケット列のリファレンス特徴量をそれぞれ抽出し、前記検知対象パケット列の異常の度合いに係る情報を算出する際に、さらに、抽出した前記リファレンス特徴量のそれぞれをも用いて、前記検知対象パケット列の異常の度合いに係る情報を算出するとしてもよい。
また、前記複数のリファレンス距離をそれぞれ算出する際に、前記複数のリファレンスパケットのペイロード間のレーベンシュタイン距離を利用して前記複数のリファレンス距離をそれぞれ算出するとしてもよい。
また、前記複数のリファレンスパケットのペイロード間のレーベンシュタイン距離は、前記1以上のリファレンスパケット列のそれぞれにおけるN(Nは1以上の整数)個離れたリファレンスパケット間のそれぞれに対して算出され、ペイロードを構成するビット列の少なくとも一部を対象として、M(Mは、1以上16以下の整数)ビットを単位として算出され、前記複数のリファレンス距離をそれぞれ算出する際に、前記1以上のリファレンスパケット列のそれぞれにおけるN個離れたリファレンスパケット間のそれぞれに対してリファレンス距離を算出することで、前記複数のリファレンス距離をそれぞれ算出するとしてもよい。
また、前記複数のリファレンスパケットのペイロード間のレーベンシュタイン距離は、さらに、前記1以上のリファレンスパケット列のそれぞれにおけるL(LはN以外の1以上の整数)個離れた検知対象パケット間のそれぞれに対しても算出され、前記複数のリファレンス距離のそれぞれを算出する際に、さらに、前記1以上のリファレンスパケット列のそれぞれにおけるL個離れたリファレンスパケット間のそれぞれに対してもリファレンス距離を算出することで、前記複数のリファレンス距離をそれぞれ算出するとしてもよい。
また、連続する複数のリファレンスパケットからなる1以上のリファレンスパケット列のそれぞれに対して、当該複数のリファレンスパケット間の複数のリファレンス距離をそれぞれ算出し、算出した前記複数のリファレンス距離のそれぞれを用いて、前記1以上のリファレンスパケット列のリファレンス特徴量をそれぞれ抽出し、前記複数のリファレンス距離をそれぞれ算出する際に、前記複数のリファレンスパケットのペイロード間のレーベンシュタイン距離を利用して前記複数のリファレンス距離をそれぞれ算出し、前記複数のリファレンスパケットのペイロード間のレーベンシュタイン距離は、前記1以上のリファレンスパケット列のそれぞれにおけるN(Nは1以上の整数)個離れたリファレンスパケット間のそれぞれに対して算出され、ペイロードを構成するビット列の少なくとも一部を対象として、M(Mは、1以上16以下の整数)ビットを単位として算出され、前記1以上のリファレンスパケット列のリファレンス特徴量をそれぞれ抽出する際に、前記1以上のリファレンスパケット列のそれぞれにおいて連続するW(Wは2以上の整数)個のリファレンスパケットからなる1以上のウインドウ毎に、当該ウインドウに属するリファレンスパケット間に対して算出した前記複数のリファレンス距離の出現分布を算出し、算出した前記リファレンス距離の出現分布のそれぞれを、前記1以上のリファレンスパケット列のリファレンス特徴量のそれぞれとして抽出し、抽出した前記1以上のリファレンスパケット列のリファレンス特徴量のそれぞれを、前記予め記憶する複数のリファレンス出現分布のそれぞれとして記憶するとしてもよい。
また、連続する複数のリファレンスパケットからなる1以上のリファレンスパケット列のそれぞれに対して、当該複数のリファレンスパケット間の複数のリファレンス距離をそれぞれ算出し、算出した前記複数のリファレンス距離のそれぞれを用いて、前記1以上のリファレンスパケット列のリファレンス特徴量をそれぞれ抽出し、前記複数のリファレンス距離をそれぞれ算出する際に、前記複数のリファレンスパケットのペイロード間のレーベンシュタイン距離を利用して前記複数のリファレンス距離をそれぞれ算出し、前記複数のリファレンスパケットのペイロード間のレーベンシュタイン距離は、前記1以上のリファレンスパケット列のそれぞれにおけるN(Nは1以上の整数)個離れたリファレンスパケット間のそれぞれに対して算出され、ペイロードを構成するビット列の少なくとも一部を対象として、M(Mは、1以上16以下の整数)ビットを単位として算出され、前記1以上のリファレンスパケット列のリファレンス特徴量をそれぞれ抽出する際に、前記1以上のリファレンスパケット列のそれぞれにおいて連続するW(Wは2以上の整数)個のリファレンスパケットからなる1以上のウインドウ毎に、当該ウインドウに属するリファレンスパケット間に対して算出した前記リファレンス距離からなるリファレンス距離列を算出し、算出したリファレンス距離列のそれぞれを、前記1以上のリファレンスパケット列のリファレンス特徴量のそれぞれとして抽出し、抽出した前記1以上のリファレンスパケット列のリファレンス特徴量のそれぞれを、前記予め記憶する複数のリファレンス距離列のそれぞれとして記憶するとしてもよい。
また、連続する複数のリファレンスパケットからなる1以上のリファレンスパケット列のそれぞれに対して、当該複数のリファレンスパケット間の複数のリファレンス距離をそれぞれ算出し、算出した前記複数のリファレンス距離のそれぞれを用いて、前記1以上のリファレンスパケット列のリファレンス特徴量をそれぞれ抽出し、前記複数のリファレンス距離をそれぞれ算出する際に、前記複数のリファレンスパケットのペイロード間のレーベンシュタイン距離を利用して前記複数のリファレンス距離をそれぞれ算出し、前記複数のリファレンスパケットのペイロード間のレーベンシュタイン距離は、前記1以上のリファレンスパケット列のそれぞれにおけるN(Nは1以上の整数)個離れたリファレンスパケット間のそれぞれに対して算出され、ペイロードを構成するビット列の少なくとも一部を対象として、M(Mは、1以上16以下の整数)ビットを単位として算出され、前記1以上のリファレンスパケット列のリファレンス特徴量をそれぞれ抽出する際に、前記1以上のリファレンスパケット列のそれぞれにおいて連続するW(Wは2以上の整数)個のリファレンスパケットからなる1以上のウインドウ毎に、当該ウインドウに属するリファレンスパケット間に対して算出した前記リファレンス距離からなるリファレンス距離列を算出し、算出したリファレンス距離列のそれぞれを、前記1以上のリファレンスパケット列のリファレンス特徴量のそれぞれとして抽出し、抽出した前記1以上のリファレンスパケット列のリファレンス特徴量のそれぞれを用いて、グローバルアラインメントカーネルを算出し、算出した前記グローバルアラインメントカーネルを、前記予め記憶するグローバルアラインメントカーネルとして記憶するとしてもよい。
また、前記複数のリファレンス距離をそれぞれ算出する際に、前記複数のリファレンスパケットのうち、同一のコマンド種別のリファレンスパケット間に限定して、前記リファレンス距離のそれぞれを算出するとしてもよい。
本開示の一態様に係る異常検知装置は、連続する複数の検知対象パケットからなる検知対象パケット列に対して、当該複数の検知対象パケット間の複数の距離を算出する検知対象パケットデータ間距離算出部と、算出した前記複数の距離を用いて、前記検知対象パケット列の特徴量を抽出する特徴量抽出部と、抽出した前記特徴量を用いて、前記検知対象パケット列の異常の度合いに係る情報を算出する情報算出部と、を備える。
上記異常検知装置によると、検知対象パケット列のコンテクストの特徴を特徴量として抽出することができる。そして、抽出した特徴量を用いて、検知対象パケット列の異常に係る情報を算出することができる。このように、上記異常検知装置によると、パケット列の異常を検知することができる。
また、連続する複数のリファレンスパケットからなる1以上のリファレンスパケット列のそれぞれに対して、当該複数のリファレンスパケット間の複数のリファレンス距離をそれぞれ算出するリファレンスパケットデータ間距離算出部と、算出した前記複数のリファレンス距離のそれぞれを用いて、前記1以上のリファレンスパケット列のリファレンス特徴量をそれぞれ抽出するリファレンス特徴量抽出部と、を備え、前記情報算出部は、さらに、抽出した前記リファレンス特徴量のそれぞれをも用いて、前記検知対象パケット列の異常の度合いに係る情報を算出するとしてもよい。
以下、本開示の一態様に係る異常検知方法、及び異常検知装置の具体例について、図面を参照しながら説明する。ここで示す実施の形態は、いずれも本開示の一具体例を示すものである。従って、以下の実施の形態で示される数値、形状、構成要素、構成要素の配置及び接続形態、並びに、ステップ(工程)及びステップの順序等は、一例であって本開示を限定するものではない。以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意に付加可能な構成要素である。また、各図は、模式図であり、必ずしも厳密に図示されたものではない。
(実施の形態1)
以下、実施の形態1に係る異常検知装置について説明する。この異常検知装置は、検知対象パケット列の異常を検知する。
[1-1.構成]
図1は、実施の形態1に係る異常検知装置1の構成を示すブロック図である。
図1に示されるように、異常検知装置1は、第1プロファイル決定部11と、第1抽出部12と、リファレンスパケットデータ列群記憶部13と、リファレンスパケットデータ間距離算出部14と、リファレンス特徴量抽出部15と、リファレンス特徴量記憶部16と、第2プロファイル決定部21と、第2抽出部22と、検知対象パケットデータ列記憶部23と、検知対象パケットデータ間距離算出部24と、特徴量抽出部25と、特徴量記憶部26と、情報算出部27と、判定部28とを含んで構成される。
異常検知装置1は、例えば、メモリと、メモリに記憶されたプログラムを実行するプロセッサとを含むコンピュータ装置によって実現される。この場合、異常検知装置1によって実現される各種機能は、異常検知装置1を構成するメモリに記憶されたプログラムを、異常検知装置1を構成するプロセッサが実行することにより実現される。
第1プロファイル決定部11は、正常なパケット列からなるパケット列群、すなわち、異常なパケット列を含まないパケット列群であるリファレンスパケット列群10を取得する。そして、取得したリファレンスパケット列群10を構成する各リファレンスパケット列に含まれる各パケットに対して、その属性情報(送信元IP、宛先IP、送信元ポート、宛先ポート、プロトコル等。それらの組み合わせも含む。)に基づいて、該当するプロファイルを決定する。第1プロファイル決定部11は、例えば、プロファイル情報を記憶し、記憶するプロファイル情報に基づいて該当するプロファイルを決定するとしてもよい。
図2は、第1プロファイル決定部11が記憶するプロファイル情報の一例を示す模式図である。
第1プロファイル決定部11は、例えば、図2に示されるプロファイル情報を記憶し、各パケットに対して、対象コマンドが一致する行のプロファイルIDで識別されるプロファイルを決定する。
図3は、Modbus/TCPプロトコルのパケットのデータ構造を示す模式図である。
第1プロファイル決定部11は、例えば、パケットがModbus/TCPプロトコルである場合には、図3に示されるDataフィールドに格納されるビット列が、対象コマンドに対応するビット列と一致するパケットを、対象コマンドが一致するパケットであると判定する。
図4は、BACnet/IPプロトコルのパケットのデータ構造を示す模式図である。
第1プロファイル決定部11は、例えば、パケットがBACnet/IPプロトコルである場合には、図4に示されるAPDU Typeフィールドに格納されるビット列、及びService Choiceフィールドに格納されるビット列が、対象コマンドに対応するビット列と一致するパケットを、対象コマンドが一致するパケットであると判定する。
第1プロファイル決定部11は、例えば、プロファイルの決定対象とするパケットが、記憶するプロファイル情報に該当しない場合には、Deep Packet Inspection機能を備えるアプリケーションを実行することで、そのパケットのプロトコルを特定し、特定したプロトコルに基づいて、そのパケットに対してプロファイルを決定するとしてもよい。
再び、図1に戻って、異常検知装置1の説明を続ける。
第1抽出部12は、第1プロファイル決定部11によりプロファイルを決定された各パケットに対して、各パケットのペイロードフィールドに格納されるビット列をパケットデータとして抽出する。
第1抽出部12は、例えば、抽出対象とするパケットが、Modbus/TCPプロトコルである場合には、図3に示されるTCP Payloadフィールドに格納されるビット列をパケットデータとして抽出する。
第1抽出部12は、例えば、抽出対象とするパケットが、BACnet/IPプロトコルである場合には、図4に示されるUDP Payloadに格納されるビット列をパケットデータとして抽出する。
第1抽出部12は、各パケットからパケットデータを抽出すると、第1プロファイル決定部11により取得されたリファレンスパケット列毎に、同一プロファイルのパケットデータからなるリファレンスパケットデータ列を出力する。
図5は、第1抽出部12により出力されるリファレンスパケットデータ列の一例を示す模式図である。
第1抽出部12は、例えば、図5に示される、「ID=1で識別される機器の電源をオンする」旨のwriteコマンドに対応するパケットデータと、「ID=2で識別される機器の電源をオンする」旨のwriteコマンドに対応するパケットデータと、「ID=3で識別される機器の電源をオンする」旨のwriteコマンドに対応するパケットデータと、「ID=4で識別される機器の電源をオンする」旨のwriteコマンドに対応するパケットデータと、「ID=1で識別される機器の温度設定を27.0℃に変更する」旨のwriteコマンドに対応するパケットデータと、「ID=1で識別される機器の風量設定を強に変更する」旨のwriteコマンドに対応するパケットデータと、「ID=2で識別される機器の温度設定を27.0℃に変更する」旨のwriteコマンドに対応するパケットデータと、「ID=2で識別される機器の風量設定を強に変更する」旨のwriteコマンドに対応するパケットデータとが順に並んで構成されるリファレンスパケットデータ列を出力する。
再び、図1に戻って、異常検知装置1の説明を続ける。
リファレンスパケットデータ列群記憶部13は、第1抽出部12から出力された1以上のリファレンスパケットデータ列からなるリファレンスパケットデータ列群を記憶する。
リファレンスパケットデータ間距離算出部14は、リファレンスパケットデータ列群記憶部13に記憶されるリファレンスパケットデータ列のそれぞれに対して、リファレンスパケットデータ列を構成する複数のリファレンスパケットデータ間の複数のリファレンス距離を算出する。
リファレンスパケットデータ間距離算出部14は、パケットデータを、1バイトずつ切り出したバイト列として取り扱い、リファレンスパケットデータ間のリファレンス距離の算出を、リファレンスパケットデータ間におけるバイト列の距離を算出することで行う。
図6は、リファレンスパケットデータ間距離算出部14が、パケットデータを1バイトずつ切り出す様子の一例を示す模式図である。
なお、ここでは、リファレンスパケットデータ間距離算出部14は、パケットデータを、1バイトずつ切り出すとして説明するが、切り出す単位としては、必ずしも1バイトの例に限定される必要はない。切り出す単位は、例えば、1ビット以上16ビット以下の任意の長さのビット列であってもよいし、他の任意の長さのビット列であってもよい。また、リファレンスパケットデータ間距離算出部14は、パケットデータを、連続したビット単位で切り出す例に限定される必要はない。例えば、リファレンスパケットデータ間距離算出部14は、xビット切り出してyビットスキップしてという処理を繰り返すことでビット列を切り出すとしてもよい。
再び図1に戻って、異常検知装置1の説明を続ける。
リファレンスパケットデータ間距離算出部14は、パケットデータ間のレーベンシュタイン距離を利用してリファレンス距離を算出する。
レーベンシュタイン距離は、2つの文字列又はバイト列間に定めることができる距離である。レーベンシュタイン距離は、1文字又は1バイトの挿入、削除、置換によって、一方の文字列又はバイト列を他方の文字列又はバイト列に変形するのに必要な最小回数として定義される。
図7は、リファレンスパケットデータ間距離算出部14が、2つの文字列間(ここでは、一例として、“ELEPHANT”と“RELEVANT”との文字列間)のレーベンシュタイン距離を算出する様子の一例を示す模式図である。
図7に示されるように、“ELEPHANT”を“RELEVANT”に変形するのに必要な、挿入、削除、置換の最小回数は3である。このため、リファレンスパケットデータ間距離算出部14は、“ELEPHANT”と“RELEVANT”とのレーベンシュタイン距離を「3」と算出する。
図8は、リファレンスパケットデータ間距離算出部14が、2つのバイト列間のレーベンシュタイン距離を算出する様子の一例を示す模式図である。
図8に示されるように、一方のバイト列を他方のバイト列に変形するのに必要な、挿入、削除、置換の最小回数は3である。このため、リファレンスパケットデータ間距離算出部14は、図8に図示されるバイト列間のレーベンシュタイン距離を「3」と算出する。
リファレンスパケットデータ間距離算出部14は、リファレンスパケットデータ列を構成する複数のリファレンスパケットデータ間の複数のリファレンス距離を、N(Nは1以上の整数)個離れたリファレンスパケット間のそれぞれに対して算出する。
図9は、Nが1である場合において、リファレンスパケットデータ間距離算出部14が、リファレンスパケットデータ列から複数のリファレンス距離を算出する様子の一例を示す模式図である。ここでは、Nは1であるとして説明するが、必ずしもNが1である場合に限定されない。
図9に示されるように、リファレンスパケットデータ間距離算出部14は、対象とするリファレンスパケットデータ列が8個の連続するリファレンスパケットデータにより構成される場合には、対象とするリファレンスパケットデータ列から、1離れたリファレンスパケットデータ間、すなわち、互いに隣接するリファレンスパケットデータ列間の7個のリファレンス距離を算出する。
なお、リファレンスパケットデータ間距離算出部14は、パケットデータ間のレーベンシュタイン距離として、パケットデータを構成するビット列の少なくとも一部を対象としてレーベンシュタイン距離を算出すればよく、必ずしも、パケットデータを構成するビット列の全てを対象とする場合に限定されない。
再び図1に戻って、異常検知装置1の説明を続ける。
リファレンス特徴量抽出部15は、リファレンスパケットデータ列群記憶部13に記憶されるリファレンスパケットデータ列のそれぞれに対して、リファレンスパケットデータ間距離算出部14により算出された複数のリファレンス距離のそれぞれを用いて、リファレンス特徴量をそれぞれ抽出する。より具体的には、リファレンス特徴量抽出部15は、リファレンスパケットデータ列群記憶部13に記憶されるリファレンスパケットデータ列のそれぞれに対して、連続するW(Wは2以上の整数)個のリファレンスパケットデータからなる1以上のウインドウ毎に、そのウインドウに属するリファレンスパケットデータについて算出された複数のリファレンス距離の出現分布を算出し、算出したリファレンス距離の出現分布のそれぞれを、リファレンス特徴量のそれぞれとして抽出する。
図10は、リファレンス特徴量抽出部15が、1のリファレンスパケットデータ列から、リファレンス特徴量を抽出する様子の一例を示す模式図である。図10は、Wが4であり、リファレンスパケットデータ間距離算出部14が、1のリファレンスパケットデータ列に対して、図9に示される複数のリファレンス距離を算出した場合の模式図となっている。
図10に示されるように、第1のウインドウに属するリファレンスパケットデータについて算出されたリファレンス距離は、「1」、「3」、「2」、「2」である。このため、リファレンス特徴量抽出部15は、第1のウインドウにおける、複数のリファレンス距離の出現分布を、「1」の出現率が「0.25」、「2」の出現率が「0.5」、「3」の出現率が「0.25」、「4」の出現率が「0」となる出現分布A(図10中の「A」参照)として算出する。また、第2のウインドウに属するリファレンスパケットデータについて算出されたリファレンス距離は、「3」、「2」、「2」、「4」である。このため、リファレンス特徴量抽出部15は、第2のウインドウにおける、複数のリファレンス距離の出現分布を、「1」の出現率が「0」、「2」の出現率が「0.5」、「3」の出現率が「0.25」、「4」の出現率が「0.25」となる出現分布B(図10中の「B」参照)として算出する。また、第3のウインドウに属するリファレンスパケットデータについて算出されたリファレンス距離は、「2」、「2」、「4」、「3」である。このため、リファレンス特徴量抽出部15は、第3のウインドウにおける、複数のリファレンス距離の出現分布を、「1」の出現率が「0」、「2」の出現率が「0.25」、「3」の出現率が「0.5」、「4」の出現率が「0.25」となる出現分布C(図10中の「C」参照)として算出する。また、第4のウインドウに属するリファレンスパケットデータについて算出されたリファレンス距離は、「2」、「4」、「3」、「1」である。このため、リファレンス特徴量抽出部15は、第4のウインドウにおける、複数のリファレンス距離の出現分布を、「1」の出現率が「0.25」、「2」の出現率が「0」、「3」の出現率が「0.5」、「4」の出現率が「0.25」となる出現分布D(図10中の「D」参照)として算出する。そして、リファレンス特徴量抽出部15は、算出した出現分布Aと出現分布Bと出現分布Cと出現分布Dとを、リファレンス特徴量として抽出する。
再び図1に戻って、異常検知装置1の説明を続ける。
リファレンス特徴量記憶部16は、リファレンス特徴量抽出部15によって抽出されたリファレンス特徴量を記憶する。
第2プロファイル決定部21は、異常の検知対象となる検知対象パケット列20を取得する。そして、取得した検知対象パケット列20に含まれる各パケットに対して、その属性情報(送信元IP、宛先IP、送信元ポート、宛先ポート、プロトコル等。それらの組み合わせも含む。)に基づいて、該当するプロファイルを決定する。第2プロファイル決定部21は、第1プロファイル決定部11が行うプロファイルの決定と同様のアルゴリズムでプロファイルの決定を行う。
第2抽出部22は、第2プロファイル決定部21によりプロファイルを決定された複数のパケットに対して、各パケットのペイロードフィールドに格納されるビット列をパケットデータとして抽出する。第2抽出部22は、第1抽出部12が行うパケットデータの抽出と同様のアルゴリズムでパケットデータの抽出を行う。
第2抽出部22は、パケットデータを抽出すると、同一プロファイルのパケットデータからなる検知対象パケットデータ列を出力する。
検知対象パケットデータ列記憶部23は、第2抽出部22から出力された検知対象パケットデータ列を記憶する。
検知対象パケットデータ間距離算出部24は、検知対象パケットデータ列記憶部23に記憶される検知対象パケットデータ列に対して、検知対象パケットデータ列を構成する複数の検知対象パケットデータ間の複数の距離を算出する。
検知対象パケットデータ間距離算出部24は、リファレンスパケットデータ間距離算出部14が行うリファレンス距離の算出に対して、リファレンスパケットを検知対象パケットに読み替え、リファレンスパケットデータを検知対象パケットデータに読み替え、リファレンスパケットデータ列を検知対象パケットデータ列に読み替え、リファレンス距離を距離に読み替えたアルゴリズムと同様のアルゴリズムで、距離の算出を行う。
図11は、Nが1である場合において、検知対象パケットデータ間距離算出部24が、検知対象パケットデータ列から複数の距離を算出する様子の一例を示す模式図である。ここでは、Nは1であるとして説明するが、必ずしもNが1である場合に限定されない。
図11に示されるように、検知対象パケットデータ間距離算出部24は、対象とする検知対象パケットデータ列が6個の連続する検知対象パケットデータにより構成される場合には、対象とする検知対象パケットデータ列から、1離れた検知対象パケットデータ間、すなわち、互いに隣接する検知対象パケットデータ列間の5個の距離を算出する。
なお、検知対象パケットデータ間距離算出部24は、パケットデータ間のレーベンシュタイン距離として、パケットデータを構成するビット列の少なくとも一部を対象としてレーベンシュタイン距離を算出すればよく、必ずしも、パケットデータを構成するビット列の全てを対象とする場合に限定されない。
再び図1に戻って、異常検知装置1の説明を続ける。
特徴量抽出部25は、検知対象パケットデータ列記憶部23に記憶される検知対象パケットデータ列に対して、検知対象パケットデータ間距離算出部24により算出された複数の距離を用いて、特徴量を抽出する。より具体的には、特徴量抽出部25は、検知対象パケットデータ列記憶部23に記憶される検知対象パケットデータ列に対して、連続するW(Wは2以上の整数)個の検知対象パケットデータからなる1以上のウインドウ毎に、そのウインドウに属する検知対象パケットについて算出された複数の距離の出現分布を算出し、算出した距離の出現分布を、特徴量として抽出する。
図12は、特徴量抽出部25が、検知対象パケットデータ列から、特徴量を抽出する様子の一例を示す模式図である。図12は、Wが4であり、検知対象パケットデータ間距離算出部24が、検知対象パケットデータ列に対して、図11に示される複数の距離を算出した場合の模式図となっている。
図12に示されるように、第1のウインドウに属する検知対象パケットデータについて算出された距離は、「4」、「2」、「3」、「1」である。このため、特徴量抽出部25は、第1のウインドウにおける、複数の距離の出現分布を、「1」の出現率が「0.25」、「2」の出現率が「0.25」、「3」の出現率が「0.25」、「4」の出現率が「0.25」となる出現分布X(図12中の「X」参照)として算出する。また、第2のウインドウに属する検知対象パケットデータについて算出された距離は、「2」、「3」、「1」、「2」である。このため、特徴量抽出部25は、第2のウインドウにおける、複数の距離の出現分布を、「1」の出現率が「0」、「2」の出現率が「0.5」、「3」の出現率が「0.25」、「4」の出現率が「0」となる出現分布Y(図12中の「Y」参照)として算出する。そして、特徴量抽出部25は、算出した出現分布Xと出現分布Yとを、特徴量として抽出する。
再び図1に戻って、異常検知装置1の説明を続ける。
特徴量記憶部26は、特徴量抽出部25によって抽出された特徴量を記憶する。
情報算出部27は、リファレンス特徴量記憶部16にリファレンス特徴量として記憶されるリファレンス距離の出現分布のそれぞれと、特徴量記憶部26に特徴量として記憶される距離の出現分布のそれぞれとの間のアースムーバーズ距離(Earth Mover’s Distance:以下、アースムーバーズ距離のことを、EMDとも表記する。)を算出し、算出したアースムーバーズ距離のそれぞれを利用するK近傍法を利用して、検知対象パケット列20の異常の度合い示す異常度を算出する。
アースムーバーズ距離は、2つの確率分布間(ここでは、リファレンス距離の出現分布と、距離の出現分布との間)に定めることができる距離である。アースムーバーズ距離は、一方の確率分布(ここでは出現分布)を、確率成分(ここでは出現率成分)の移動によって他方の確率分布(ここでは出現分布)に変形するのに必要な最小コストとして定義される。
図13は、情報算出部27が、4つの出現分布(出現分布K、出現分布L、出現分布M、出現分布N)間のアースムーバーズ距離を算出する様子の一例を示す模式図である。
図13に示されるように、「0」の出現率が「0」、「1」の出現率が「0.5」、「2」の出現率が「0.25」、「3」の出現率が「0.25」となる出現分布K(図13中の「K」参照)を、「0」の出現率が「0」、「1」の出現率が「0.25」、「2」の出現率が「0.25」、「3」の出現率が「0.5」となる出現分布L(図13中の「L」参照)に変換するのに必要な最小コストは、出現分布Kにおける「1」の出現率「0.5」のうちの出現率成分「0.25」を、出現分布Lのおける「3」の出現率へ移動させるコストとなる。このため、情報算出部27は、出現分布Kと出現分布Lとの間のアースムーバーズ距離を、0.25×|1-3|=0.5と算出する。同様にして、情報算出部27は、4つの出現分布間のアースムーバーズ距離のそれぞれを、図13中の表で示される値のそれぞれと算出する。
図14は、情報算出部27が、リファレンス特徴量記憶部16にリファレンス特徴量として記憶されるリファレンス距離の出現分布のそれぞれと、特徴量記憶部26に特徴量として記憶される距離の出現分布のそれぞれとから、検知対象パケット列20の異常度を算出する様子の一例を示す模式図である。図14は、リファレンス特徴量記憶部16に記憶されるリファレンス距離の出現分布が、図10に示される出現分布A、出現分布B、出現分布C、出現分布Dであり、特徴量記憶部26に記憶される距離の出現分布が、図12に示される出現分布X、出現分布Yである場合の模式図となっている。
図14に示されるように、情報算出部27は、出現分布Xと出現分布Aとの間のアースムーバーズ距離(以下、「EMD_XA」とも称する。)を「0.5」と算出し、出現分布Xと出現分布Bとの間のアースムーバーズ距離(以下、「EMD_XB」とも称する。)を「0.25」と算出し、出現分布Xと出現分布Cとの間のアースムーバーズ距離(以下、「EMD_XC」とも称する。)を「0.5」と算出し、出現分布Xと出現分布Dとの間のアースムーバーズ距離(以下、「EMD_XD」とも称する。)を「0.25」と算出する。そして、情報算出部27は、EMD_XA、EMD_XB、EMD_XC、EMD_XDに対してK=1となるK近傍法を適用して、出現分布Xの異常度を、「0.25」と算出する。同様に、情報算出部27は、出現分布Yと出現分布Aとの間のアースムーバーズ距離(以下、「EMD_YA」とも称する。)を0と算出し、出現分布Yと出現分布Bとの間のアースムーバーズ距離(以下、「EMD_YB」とも称する。)を「0.75」と算出し、出現分布Yと出現分布Cとの間のアースムーバーズ距離(以下、「EMD_YC」とも称する。)を「1.0」と算出し、出現分布Yと出現分布Dとの間のアースムーバーズ距離(以下、「EMD_YD」とも称する。)を「0.75」と算出する。そして、情報算出部27は、EMD_YA、EMD_YB、EMD_YC、EMD_YDに対してK=1となるK近傍法を適用して、出現分布Yの異常度を、「0」と算出する。そして、情報算出部27は、出現分布Xの異常度「0.25」と、出現分布Yの異常度「0」とのうちの最も大きい値「0.25」を、検知対象パケット列20の異常度として算出する。
再び図1に戻って、異常検知装置1の説明を続ける。
判定部28は、情報算出部27により算出された、検知対象パケット列20の異常度に基づいて、検知対象パケット列20が異常であるか否かを判定する。そして、判定部28は、判定結果を外部に出力する。判定部28は、例えば、閾値を記憶し、検知対象パケット列20の異常度が閾値以上である場合に、検知対象パケット列20が異常であると判定し、検知対象パケット列20の異常度が閾値未満である場合に、検知対象パケット列20が異常でないと判定してもよい。また、判定部28は、第1プロファイル決定部11及び第2プロファイル決定部21の決定対象となるプロファイル毎に、互いに独立した値となる閾値を記憶し、検知対象パケット列20から抽出された検知対象パケット列のプロファイルに応じて、そのプロファイルに対応する閾値を用いて上記判定を行うとしてもよい。
[1-2.動作]
上記構成の異常検知装置1は、第1リファレンス特徴量抽出処理と、第1異常検知処理とを行う。以下、これらの処理について、図面を用いて順に説明する。
まず、第1リファレンス特徴量抽出処理について説明する。
第1リファレンス特徴量抽出処理は、リファレンスパケット列群10から、リファレンス特徴量を抽出する処理である。第1リファレンス特徴量抽出処理は、例えば、異常検知装置1を利用するユーザが、異常検知装置1に対して、第1リファレンス特徴量抽出処理を開始させる旨の操作を行うことで開始される。
図15は、第1リファレンス特徴量抽出処理のフローチャートである。
第1リファレンス特徴量抽出処理が開始されると、第1プロファイル決定部11は、リファレンスパケット列群10を取得する(ステップS5)。
第1プロファイル決定部11は、リファレンスパケット列群10を取得すると、リファレンスパケット列群10に含まれるリファレンスパケット列の中から、未選択のリファレンスパケット列を1つ選択する(ステップS10)。ここで、未選択のリファレンスパケット列とは、ステップS10の処理~ステップS55:Yesの処理(後述)で形成されるループ処理において、過去のステップS10の処理で選択されたことのないリファレンスパケット列のことをいう。
第1プロファイル決定部11は、未選択のリファレンスパケット列を1つ選択すると、選択したリファレンスパケット列に含まれるパケットの中から、未選択のパケットを1つ選択する(ステップS15)。ここで、未選択のパケットを選択するとは、ステップS15の処理~ステップS35:Yesの処理(後述)で形成されるループ処理において、過去のステップS15の処理で選択されたことのないパケットのことをいう。
第1プロファイル決定部11は、1のパケットを選択すると、記憶するプロファイル情報を用いて、選択したパケットのプロファイルを決定することができるか否かを調べる(ステップS20)。
ステップS20の処理において、記憶するプロファイル情報を用いて、選択したパケットのプロファイルを決定することができる場合に(ステップS20:Yes)、第1プロファイル決定部11は、記憶するプロファイル情報を用いて、選択したパケットのプロファイルを決定する(ステップS30)。
ステップS20の処理において、記憶するプロファイル情報を用いて、選択したパケットのプロファイルを決定することができない場合に(ステップS20:No)、第1プロファイル決定部11は、Deep Packet Inspection機能を備えるアプリケーションを実行することで、選択したパケットのプロトコルを特定する(ステップS25)。そして、第1プロファイル決定部11は、特定したプロトコルに基づいて、選択したパケットのプロファイルを決定する(ステップS30)。
第1プロファイル決定部11は、選択したパケットのプロファイルを決定すると、選択したリファレンスパケット列に含まれるパケットの中に、未選択のパケットがあるか否かを調べる(ステップS35)。
ステップS35の処理において、未選択のパケットがある場合に(ステップS35:Yes)、第1リファレンス特徴量抽出処理は、再びステップS15の処理に進む。
ステップS35の処理において、未選択のパケットがない場合に(ステップS35:No)、第1抽出部12は、第1プロファイル決定部11によりプロファイルを決定された各パケットに対して、各パケットのペイロードフィールドに格納されるビット列をパケットデータとして抽出する。そして第1抽出部12は、同一プロファイルのパケットデータからなるリファレンスパケットデータ列を抽出する(ステップS40)。そして、リファレンスパケットデータ列群記憶部13は、第1抽出部12によって抽出されたリファレンスパケットデータ列を記憶する。
リファレンスパケットデータ列が抽出されると、リファレンスパケットデータ間距離算出部14は、リファレンスパケットデータ列を構成する複数のリファレンスパケットデータ間の複数のリファレンス距離を算出する(ステップS45)。
複数のリファレンス距離が算出されると、リファレンス特徴量抽出部15は、算出された複数のリファレンス距離から、ウインドウ毎に、リファレンス距離の出現分布をリファレンス特徴量として抽出する(ステップS50)。そして、リファレンス特徴量記憶部16は、リファレンス特徴量抽出部15によってリファレンス特徴量として抽出されたリファレンス距離の出現分布を記憶する。
リファレンス距離の出現分布が抽出されると、第1プロファイル決定部11は、取得したリファレンスパケット列群10の中に、未選択のリファレンスパケット列があるか否かを調べる(ステップS55)。
ステップS55の処理において、未選択のリファレンスパケット列がある場合に(ステップS55:Yes)、第1リファレンス特徴量抽出処理は、再びステップS10の処理に進む。
ステップS55の処理において、未選択のリファレンスパケット列がない場合に(ステップS55:No)、第1リファレンス特徴量抽出処理は、その処理を終了する。
次に、第1異常検知処理について説明する。
第1異常検知処理は、検知対象パケット列20の異常を検知する処理である。第1異常検知処理は、例えば、異常検知装置1を利用するユーザが、異常検知装置1に対して、第1異常検知処理を開始する旨の操作を行うことで開始される。
図16は、第1異常検知処理のフローチャートである。
第1異常検知処理が開始されると、第2プロファイル決定部21は、検知対象パケット列20を取得する(ステップS105)。
第2プロファイル決定部21は、検知対象パケット列20を取得すると、取得した検知対象パケット列20に含まれるパケットの中から、未選択のパケットを1つ選択する(ステップS115)。ここで、未選択のパケットを選択するとは、ステップS115の処理~ステップS135:Yesの処理(後述)で形成されるループ処理において、過去のステップS115の処理で選択されたことのないパケットのことをいう。
第2プロファイル決定部21は、1のパケットを選択すると、記憶するプロファイル情報を用いて、選択したパケットのプロファイルを決定することができるか否かを調べる(ステップS120)。
ステップS120の処理において、記憶するプロファイル情報を用いて、選択したパケットのプロファイルを決定することができる場合に(ステップS120:Yes)、第2プロファイル決定部21は、記憶するプロファイル情報を用いて、選択したパケットのプロファイルを決定する(ステップS130)。
ステップS120の処理において、記憶するプロファイル情報を用いて、選択したパケットのプロファイルを決定することができない場合に(ステップS120:No)、第2プロファイル決定部21は、Deep Packet Inspection機能を備えるアプリケーションを実行することで、選択したパケットのプロトコルを特定する(ステップS125)。そして、第2プロファイル決定部21は、特定したプロトコルに基づいて、選択したパケットのプロファイルを決定する(ステップS130)。
第2プロファイル決定部21は、選択したパケットのプロファイルを決定すると、取得した検知対象パケット列20に含まれるパケットの中に、未選択のパケットがあるか否かを調べる(ステップS135)。
ステップS35の処理において、未選択のパケットがある場合に(ステップS135:Yes)、第1異常検知処理は、再びステップS115の処理に進む。
ステップS135の処理において、未選択のパケットがない場合に(ステップS135:No)、第2抽出部22は、第2プロファイル決定部21によりプロファイルを決定された各パケットに対して、各パケットのペイロードフィールドに格納されるビット列をパケットデータとして抽出する。そして第2抽出部22は、同一プロファイルのパケットデータからなる検知対象パケットデータ列を抽出する(ステップS140)。そして、検知対象パケットデータ列記憶部23は、第2抽出部22によって抽出された検知対象パケットデータ列を記憶する。
検知対象パケットデータ列が抽出されると、検知対象パケットデータ間距離算出部24は、検知対象パケットデータ列を構成する複数の検知対象パケットデータ間の複数の距離を算出する(ステップS145)。
複数の距離が算出されると、特徴量抽出部25は、算出された複数の距離から、ウインドウ毎に、距離の出現分布を特徴量として抽出する(ステップS150)。そして、特徴量記憶部26は、特徴量抽出部25によって特徴量として抽出された距離の出現分布を記憶する。
距離の出現分布が抽出されると、情報算出部27は、抽出された距離の出現分布のそれぞれと、リファレンス特徴量記憶部16にリファレンス特徴量として記憶されるリファレンス距離の出現分布のそれぞれとの間のアースムーバーズ距離を算出し(ステップS155)、算出したアースムーバーズ距離のそれぞれを利用するK近傍法を利用して、検知対象パケット列20の異常の度合い示す異常度を算出する(ステップS160)。
異常度が算出されると、判定部28は、算出された異常度が、記憶する閾値以上であるか否かを調べる(ステップS165)。
ステップS165の処理において、算出された異常度が、記憶する閾値以上である場合に(ステップS165:Yes)、判定部28は、検知対象パケット列20が異常であると判定し(ステップS170)、検知対象パケット列20が異常である旨の信号を外部に出力する。
ステップS165の処理において、算出された異常度が、記憶する閾値以上でない場合に(ステップS165:No)、判定部28は、検知対象パケット列20が異常でないと判定し(ステップS175)、検知対象パケット列20が異常でない旨の信号を外部に出力する。
ステップS170の処理が終了した場合、及びステップS175の処理が終了した場合に第1異常検知処理は、その処理を終了する。
[1-3.考察]
上記構成の異常検知装置1は、第1リファレンス特徴量抽出処理を実行することで、正常なパケット列からなるリファレンスパケット列群10から、正常なパケット列のコンテクストの特徴を、レファレンス特徴量として抽出して記憶する。そして、異常検知装置1は、第1異常検知処理を実行することで、検知対象パケット列20から、検知対象パケット列20のコンテクストの特徴を特徴量として抽出し、抽出した特徴量が記憶するレファレンス特徴量から逸脱している度合いを示す異常度を算出し、算出した異常度に基づいて、検知対象パケット列20が異常であるか否かを判定する。このように、異常検知装置1によると、検知対象パケット列20の異常を検知することができる。
(実施の形態2)
以下、実施の形態1に係る異常検知装置1から、その構成の一部が変更された実施の形態2に係る異常検知装置について説明する。
[2-1.構成]
図17は、実施の形態2に係る異常検知装置1Aの構成を示すブロック図である。以下では、異常検知装置1Aについて、実施の形態1に係る異常検知装置1と同様の構成要素については、既に説明済みであるとして同じ符号を振ってその詳細な説明を省略し、異常検知装置1との相違点を中心に説明する。
図17に示されるように、異常検知装置1Aは、異常検知装置1から、リファレンス特徴量抽出部15がリファレンス特徴量抽出部15Aに変更され、リファレンス特徴量記憶部16がリファレンス特徴量記憶部16Aに変更され、特徴量抽出部25が特徴量抽出部25Aに変更され、特徴量記憶部26が特徴量記憶部26Aに変更され、情報算出部27が情報算出部27Aに変更され、判定部28が判定部28Aに変更されて構成される。
リファレンス特徴量抽出部15Aは、リファレンスパケットデータ列群記憶部13に記憶されるリファレンスパケットデータ列のそれぞれに対して、リファレンスパケットデータ間距離算出部14により算出された複数のリファレンス距離のそれぞれを用いて、リファレンス特徴量をそれぞれ抽出する。より具体的には、リファレンス特徴量抽出部15Aは、リファレンスパケットデータ列群記憶部13に記憶されるリファレンスパケットデータ列のそれぞれに対して、連続するW(Wは2以上の整数)個のリファレンスパケットデータからなる1以上のウインドウ毎に、そのウインドウに属するリファレンスパケットデータについて算出された複数のリファレンス距離からなるリファレンス距離列を算出し、算出したリファレンス距離列のそれぞれを、リファレンス特徴量のそれぞれとして抽出する。
リファレンス特徴量記憶部16Aは、リファレンス特徴量抽出部15Aによって抽出されたリファレンス特徴量を記憶する。
特徴量抽出部25Aは、検知対象パケットデータ列記憶部23に記憶される検知対象パケットデータ列に対して、検知対象パケットデータ間距離算出部24により算出された複数の距離を用いて、特徴量を抽出する。より具体的には、特徴量抽出部25Aは、検知対象パケットデータ列記憶部23に記憶される検知対象パケットデータ列に対して、連続するW(Wは2以上の整数)個の検知対象パケットデータからなる1以上のウインドウ毎に、そのウインドウに属する検知対象パケットについて算出された複数の距離からなる距離列を算出し、算出した距離列を、特徴量として抽出する。
特徴量記憶部26Aは、特徴量抽出部25Aによって抽出された特徴量を記憶する。
情報算出部27Aは、リファレンス特徴量記憶部16Aにリファレンス特徴量として記憶されるリファレンス距離列のそれぞれと、特徴量記憶部26Aに特徴量として記憶される距離列のそれぞれとの間の、ワーピング(Dynamic Time Warping)法により定められる距離(以下、「ダイナミックタイムワーピング(Dynamic Time Warping)距離」、又は「DTW距離」とも称する。)のそれぞれを算出し、算出したダイナミックタイムワーピング距離のそれぞれを利用して、検知対象パケット列20の異常の度合い示す異常度を算出する。
ダイナミックタイムワーピング距離は、2つの時系列データ間(ここでは、リファレンス距離列と、距離列との間)に定めることができる距離である。ダイナミックタイムワーピング距離は、2つの時系列データx(xの要素数はn:nは2以上の整数)、y(yの要素数はm:mは2以上の整数)があるとき、(i、j)要素がxiとyj間の距離となる行列において、行要素がn以下、列要素がm以下となる制約を満たすように、(i、j)要素から、(i+1、j)、(i、j+1)又は(i+1、j+1)のいずれかの要素への移動を(n、m)要素に到達するまで繰り返す経路のうち、経路上の要素の和が最小となる経路における距離の和として定義される。
図18は、情報算出部27Aが、「2」、「5」、「4」、「2」の時系列データからなるリファレンス距離列と、「2」、「2」、「5」、「1」の時系列データからなる距離列との間のダイナミックタイムワーピング距離を算出する様子の一例を示す模式図である。
情報算出部27Aは、図18に示される、リファレンス距離列と距離列との各時点の値の距離(差分)からなる距離行列を算出する。そして、情報算出部27Aは、算出した距離行列において、左上端の距離の位置から、順に、「下1マス」、「下1マス」、「右下1マス」、「右1マス」、「右下1マス」移動する経路上の各距離「0」、「0」、「0」、「1」、「1」の和である「2」が、全ての移動経路上の各距離の和のうちで最小になることを算出する。そして、情報算出部27Aは、「2」、「5」、「4」、「2」の時系列データからなるリファレンス距離列と、「2」、「2」、「5」、「1」の時系列データからなる距離列との間のダイナミックタイムワーピング距離を「2」と算出する。
情報算出部27Aは、上記ダイナミックタイムワーピング距離の算出方法を用いて、リファレンス特徴量記憶部16Aに記憶されるリファレンス距離列のそれぞれと、特徴量記憶部26Aに記憶される距離列のそれぞれとの間のダイナミックタイムワーピング距離をそれぞれ算出し、算出したダイナミックタイムワーピング距離のうちの最も大きい値を、検知対象パケット列20の異常度として算出する。
判定部28Aは、情報算出部27Aにより算出された、検知対象パケット列20の異常度に基づいて、検知対象パケット列20が異常であるか否かを判定する。そして、判定部28Aは、判定結果を外部に出力する。判定部28Aは、例えば、閾値を記憶し、検知対象パケット列20の異常度が閾値以上である場合に、検知対象パケット列20が異常であると判定し、検知対象パケット列20の異常度が閾値未満である場合に、検知対象パケット列20が異常でないと判定してもよい。また、判定部28Aは、第1プロファイル決定部11及び第2プロファイル決定部21の決定対象となるプロファイル毎に、互いに独立した値となる閾値を記憶し、検知対象パケット列20から抽出された検知対象パケット列のプロファイルに応じて、そのプロファイルに対応する閾値を用いて上記判定を行うとしてもよい。
[2-2.動作]
上記構成の異常検知装置1Aは、実施の形態1に係る第1リファレンス特徴量抽出処理からその処理の一部が変更された第2リファレンス特徴量抽出処理と、実施の形態1に係る第1異常検知処理からその処理の一部が変更された第2異常検知処理とを行う。以下、これらの処理について、図面を用いて順に説明する。
まず、第2リファレンス特徴量抽出処理について説明する。
図19は、第2リファレンス特徴量抽出処理のフローチャートである。
図19に示される各処理のうち、ステップS205の処理~ステップS245の処理、及びステップS255の処理は、それぞれ、実施の形態1に係る第1リファレンス特徴量抽出処理における、ステップS5の処理~ステップS45の処理、及びステップS55の処理(図15等参照)と同様の処理である。このため、ステップS205の処理~ステップS245の処理、及びステップS255の処理は既に説明であるとしてその詳細な説明を省略し、ステップS250の処理を中心に説明する。
ステップS245の処理において、複数のリファレンス距離が算出されると、リファレンス特徴量抽出部15Aは、ウインドウ毎に、算出された複数のリファレンス距離からなるリファレンス距離列をリファレンス特徴量として抽出する(ステップS250)。そして、リファレンス特徴量記憶部16Aは、リファレンス特徴量抽出部15Aによってリファレンス特徴量として抽出されたリファレンス距離列を記憶する。
ステップS250の処理が終了すると、第2リファレンス特徴量抽出処理は、ステップS255の処理に進む。
次に、第2異常検知処理について説明する。
図20は、第2異常検知処理のフローチャートである。
図20に示される各処理のうち、ステップS305の処理~ステップS345の処理は、それぞれ、実施の形態1に係る第1異常検知処理における、ステップS105の処理~ステップS145の処理と同様の処理である。また、ステップS365の処理~ステップS375の処理は、それぞれ、実施の形態1に係る第1異常検知処理における、ステップS165の処理~ステップS175の処理に対して、判定部28を判定部28Aに読み替えた処理と同様の処理である。このため、ステップS305の処理~ステップS345の処理、及び、ステップS365の処理~ステップS375の処理は既に説明であるとしてその詳細な説明を省略し、ステップS350の処理~ステップS355の処理を中心に説明する。
ステップS345の処理において、複数の距離が算出されると、特徴量抽出部25Aは、ウインドウ毎に、算出された複数の距離からなる距離列を特徴量として抽出する(ステップS350)。そして、特徴量記憶部26Aは、特徴量抽出部25Aによって特徴量として抽出された距離列を記憶する。
距離列が抽出されると、情報算出部27は、抽出された距離列のそれぞれと、リファレンス特徴量記憶部16Aにリファレンス特徴量として記憶されるリファレンス距離列のそれぞれとの間の、ダイナミックタイムワーピング距離のそれぞれを算出し、算出したダイナミックワーピング距離のそれぞれを利用して、検知対象パケット列20の異常の度合い示す異常度を算出する(ステップS355)。
ステップS355の処理が終了すると、第2異常検知処理は、ステップS365の処理に進む。
[2-3.考察]
上記構成の異常検知装置1Aは、第2リファレンス特徴量抽出処理を実行することで、正常なパケット列からなるリファレンスパケット列群10から、正常なパケット列のコンテクストの特徴を、レファレンス特徴量として抽出して記憶する。そして、異常検知装置1Aは、第2異常検知処理を実行することで、検知対象パケット列20から、検知対象パケット列20のコンテクストの特徴を特徴量として抽出し、抽出した特徴量が記憶するレファレンス特徴量から逸脱している度合いを示す異常度を算出し、算出した異常度に基づいて、検知対象パケット列20が異常であるか否かを判定する。このように、異常検知装置1Aによると、実施の形態1に係る異常検知装置1と同様に、検知対象パケット列20の異常を検知することができる。
(実施の形態3)
以下、実施の形態2に係る異常検知装置1Aから、その構成の一部が変更された実施の形態3に係る異常検知装置について説明する。
[3-1.構成]
図21は、実施の形態3に係る異常検知装置1Bの構成を示すブロック図である。以下では、異常検知装置1Bについて、実施の形態2に係る異常検知装置1Aと同様の構成要素については、既に説明済みであるとして同じ符号を振ってその詳細な説明を省略し、異常検知装置1Aとの相違点を中心に説明する。
図20に示されるように、異常検知装置1Bは、異常検知装置1Aから、情報算出部27Aが情報算出部27Bに変更され、判定部28Aが判定部28Bに変更され、カーネル算出部31と、カーネル記憶部32とが追加されて構成される。
カーネル算出部31は、リファレンス特徴量記憶部16Aにリファレンス特徴量として記憶されるリファレンス距離列のそれぞれを用いて、グローバルアラインメントカーネル(Global Alignment Kernel:非特許文献3参照)を算出する。カーネル算出部31は、例えば、リファレンス特徴量記憶部16Aに記憶されるリファレンス距離列のそれぞれを用いて、機械学習モデルであるone-class SVM(Support Vector Machine)に教師なし学習をさせて、グローバルアラインメントカーネルを算出するとしてもよい。
カーネル記憶部32は、カーネル算出部31によって算出されたグローバルアラインメントカーネルを記憶する。
情報算出部27Bは、特徴量記憶部26Aに、特徴量として記憶される距離列のそれぞれに対して、カーネル記憶部32に記憶されるグローバルアラインメントカーネルを適用することで、距離列のそれぞれに対して外れ値を算出し、算出した外れ値のうちの最も大きい値を、検知対象パケット列20の異常度として算出する。
判定部28Bは、情報算出部27Bにより算出された、検知対象パケット列20の異常度に基づいて、検知対象パケット列20が異常であるか否かを判定する。そして、判定部28Aは、判定結果を外部に出力する。判定部28Bは、例えば、閾値を記憶し、検知対象パケット列20の異常度が閾値以上である場合に、検知対象パケット列20が異常であると判定し、検知対象パケット列20の異常度が閾値未満である場合に、検知対象パケット列20が異常でないと判定してもよい。また、判定部28Bは、第1プロファイル決定部11及び第2プロファイル決定部21の決定対象となるプロファイル毎に、互いに独立した値となる閾値を記憶し、検知対象パケット列20から抽出された検知対象パケット列のプロファイルに応じて、そのプロファイルに対応する閾値を用いて上記判定を行うとしてもよい。
[3-2.動作]
上記構成の異常検知装置1Bは、実施の形態2に係る第2リファレンス特徴量抽出処理からその処理の一部が変更された第3リファレンス特徴量抽出処理と、実施の形態2に係る第2異常検知処理からその処理の一部が変更された第3異常検知処理とを行う。以下、これらの処理について、図面を用いて順に説明する。
まず、第3リファレンス特徴量抽出処理について説明する。
図22は、第3リファレンス特徴量抽出処理のフローチャートである。
図22に示される各処理のうち、ステップS405の処理~ステップS455の処理は、それぞれ、実施の形態2に係る第2リファレンス特徴量抽出処理における、ステップS205の処理~ステップS255の処理(図19等参照)と同様の処理である。このため、これらの処理は既に説明であるとしてその詳細な説明を省略し、ステップS460の処理を中心に説明する。
ステップS455の処理において、未選択のリファレンスパケット列がない場合に(ステップS455:No)、カーネル算出部31は、リファレンス特徴量記憶部16Aにリファレンス特徴量として記憶されるリファレンス距離列のそれぞれを用いて、グローバルアラインメントカーネルを算出する(ステップS460)。そして、カーネル記憶部32は、カーネル算出部31によって算出されたグローバルアラインメントカーネルを記憶する。
ステップS460の処理が終了すると、第3リファレンス特徴量抽出処理は、その処理を終了する。
次に、第3異常検知処理について説明する。
図23は、第3異常検知処理のフローチャートである。
図23に示される各処理のうち、ステップS505の処理~ステップS550の処理は、それぞれ、実施の形態2係る第2異常検知処理における、ステップS305の処理~ステップS350の処理と同様の処理である。また、ステップS565の処理~ステップS575の処理は、それぞれ、実施の形態2係る第2異常検知処理における、ステップS365の処理~ステップS375の処理に対して、判定部28Aを判定部28Bに読み替えた処理と同様の処理である。このため、ステップS505の処理~ステップS550の処理、及び、ステップS565の処理~ステップ5375の処理は既に説明であるとしてその詳細な説明を省略し、ステップS555の処理を中心に説明する。
ステップS550の処理において、距離列が特徴量として抽出されると、情報算出部27Bは、抽出された距離列のそれぞれに対して、カーネル記憶部32に記憶されるグローバルアラインメントカーネルを適用することで外れ値を算出し、算出した外れ値のうちの最も大きい値を、検知対象パケット列20の異常度として算出する。
ステップS555の処理が終了すると、第3異常検知処理は、ステップS565の処理に進む。
[3-3.考察]
上記構成の異常検知装置1Bは、第3リファレンス特徴量抽出処理を実行することで、正常なパケット列からなるリファレンスパケット列群10から、正常なパケット列のコンテクストの特徴を、レファレンス特徴量として抽出して記憶する。そして、異常検知装置1Bは、第3異常検知処理を実行することで、検知対象パケット列20から、検知対象パケット列20のコンテクストの特徴を特徴量として抽出し、抽出した特徴量が記憶するレファレンス特徴量から逸脱している度合いを示す異常度を算出し、算出した異常度に基づいて、検知対象パケット列20が異常であるか否かを判定する。このように、異常検知装置1Bによると、実施の形態1に係る異常検知装置1、及び、実施の形態2に係る異常検知装置1Aと同様に、検知対象パケット列20の異常を検知することができる。
(補足)
以上のように、本出願において開示する技術の例示として、実施の形態1~実施の形態3について説明した。しかしながら本開示による技術は、これらに限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。
以下に、本開示における変形例の一例について列記する。
(1)実施の形態1において、リファレンスパケットデータ間距離算出部14は、リファレンスパケットデータ列を構成する複数のリファレンスパケットデータ間の複数のリファレンス距離を、N個離れたリファレンスパケット間のそれぞれに対して算出する構成の例であるとして説明した。これに対して、他の構成の例として、リファレンスパケットデータ間距離算出部14は、さらに、リファレンスパケットデータ列を構成する複数のリファレンスパケットデータ間の複数のリファレンス距離を、L(LはN以外の1以上の整数)個離れたリファレンスパケット間のそれぞれに対しても算出する構成の例も考えらえる。この場合、検知対象パケットデータ間距離算出部24は、上記他の構成の例のリファレンスパケットデータ間距離算出部14と同様のアルゴリズムで距離を算出する構成、すなわち、さらに、検知対象パケットデータ列を構成する複数の検知対象パケットデータ間の複数の距離を、L個離れたリファレンスパケット間のそれぞれに対しても算出する構成となる。
(2)実施の形態1において、異常検知装置1は、判定部29が、検知対象パケット列20が異常であるか否かを判定し、その判定結果を外部に出力する構成の例であった。これに対して、他の構成の例として、異常検知装置1は、情報算出部27が、検知対象パケット列20の異常の度合いを示す異常度を算出し、算出した異常度を外部に出力する構成の例も考えられる。この場合、異常検知装置1は、判定部29を含まない構成であっても構わない。
(3)実施の形態1において、異常検知装置1は、第1リファレンス特徴量抽出処理を実行することで、リファレンス特徴量を抽出し、抽出したリファレンス特徴量を、リファレンス特徴量抽出部15で記憶する構成の例であった。これに対して、他の構成の例として、異常検知装置1は、外部装置等で抽出されたリファレンス特徴量を外部から取得し、取得したリファレンス特徴量を、予めリファレンス特徴量記憶部16で記憶しておく構成の例も考えられる。この場合、異常検知装置1は、第1リファレンス特徴量抽出処理を行う必要はなく、第1プロファイル決定部11と、第1抽出部12と、リファレンスパケットデータ列群記憶部13と、リファレンスパケットデータ間距離算出部14と、リファレンス特徴量抽出部15とを含まない構成であっても構わない。また、他の構成の例として、異常検知装置1は、リファレンス特徴量記憶部16が予めリファレンス特徴量を記憶している状態で製造される構成の例も考えられる。この場合も、異常検知装置1は、第1リファレンス特徴量抽出処理を行う必要はなく、第1プロファイル決定部11と、第1抽出部12と、リファレンスパケットデータ列群記憶部13と、リファレンスパケットデータ間距離算出部14と、リファレンス特徴量抽出部15とを含まない構成であっても構わない。
(4)実施の形態3において、異常検知装置1Bは、第3リファレンス特徴量抽出処理を実行することで、グローバルアラインメントカーネルを算出し、算出したグローバルアラインメントカーネルを、カーネル記憶部32で記憶する構成の例であった。これに対して、他の構成の例として、異常検知装置1Bは、外部装置等で抽出されたグローバルアラインメントカーネルを外部から取得し、取得したグローバルアラインメントカーネルを、予めカーネル記憶部32で記憶しておく構成の例も考えられる。この場合、異常検知装置1Bは、第3リファレンス特徴量抽出処理を行う必要はなく、第1プロファイル決定部11と、第1抽出部12と、リファレンスパケットデータ列群記憶部13と、リファレンスパケットデータ間距離算出部14と、リファレンス特徴量抽出部15Aと、リファレンス特徴量記憶部16Aと、カーネル算出部31とを含まない構成であっても構わない。また、他の構成の例として、異常検知装置1Bは、カーネル記憶部32が予めグローバルアラインメントカーネルを記憶している状態で製造される構成の例も考えられる。この場合も、異常検知装置1Bは、第3リファレンス特徴量抽出処理を行う必要はなく、第1プロファイル決定部11と、第1抽出部12と、リファレンスパケットデータ列群記憶部13と、リファレンスパケットデータ間距離算出部14と、リファレンス特徴量抽出部15Aと、リファレンス特徴量記憶部16Aと、カーネル算出部31とを含まない構成であっても構わない。
(5)実施の形態3において、異常検知装置1Bは、情報算出部27Bが、特徴量として記憶される距離列のそれぞれに対して、カーネル記憶部32に記憶されるグローバルアラインメントカーネルを適用することで、距離列のそれぞれに対して外れ値を算出し、算出した外れ値のうちの最も大きい値を、検知対象パケット列20の異常度として算出する構成の例であった。これに対して、他の構成の例として、異常検知装置1Bは、情報算出部27Bが、距離列のそれぞれに対して、異常であるか否かの2値を示す外れ値を算出し、算出した外れ値の中に1つでも異常である旨の値を示す外れ値が存在する場合に、外部に、検知対象パケット列20が異常である旨の信号を出力する構成の例も考えられる。この場合、異常検知装置1Bは、判定部28Bを含まない構成であっても構わない。
(6)実施の形態1において、異常検知装置1における各構成要素は、IC(Integrated Circuit)、LSI(Large Scale Integration)等の半導体装置により個別に1チップ化されてもよいし、一部又は全部を含むように1チップ化されてもよい。また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用してもよい。更には、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてあり得る。
本開示は、パケットを利用するシステムに広く利用可能である。
1、1A、1B 異常検知装置
10 リファレンスパケットデータ列群
11 第1プロファイル決定部
12 第1抽出部
13 リファレンスパケットデータ列群記憶部
14 リファレンスパケットデータ間距離算出部
15、15A リファレンス特徴量抽出部
16、16A リファレンス特徴量記憶部
20 検知対象パケット列
21 第2プロファイル決定部
22 第2抽出部
23 検知対象パケットデータ列記憶部
24 検知対象パケットデータ間距離算出部
25、25A 特徴量抽出部
26、26A 特徴量記憶部
27、27A、27B 情報算出部
28、28A、28B 判定部

Claims (20)

  1. 連続する複数の検知対象パケットからなる検知対象パケット列に対して、当該複数の検知対象パケット間の複数の距離を算出し、
    算出した前記複数の距離を用いて、前記検知対象パケット列の特徴量を抽出し、
    抽出した前記特徴量を用いて、前記検知対象パケット列の異常の度合いに係る情報を算出する
    異常検知方法。
  2. 前記複数の距離を算出する際に、前記複数の検知対象パケットのペイロード間のレーベンシュタイン距離を利用して前記複数の距離を算出する
    請求項1に記載の異常検知方法。
  3. 前記複数の検知対象パケットのペイロード間のレーベンシュタイン距離は、前記検知対象パケット列におけるN(Nは1以上の整数)個離れた検知対象パケット間のそれぞれに対して算出され、ペイロードを構成するビット列の少なくとも一部を対象として、M(Mは、1以上16以下の整数)ビットを単位として算出され、
    前記複数の距離を算出する際に、前記検知対象パケット列におけるN個離れた検知対象パケット間のそれぞれに対して距離を算出することで、前記複数の距離を算出する
    請求項2に記載の異常検知方法。
  4. 前記複数の検知対象パケットのペイロード間のレーベンシュタイン距離は、さらに、前記検知対象パケット列におけるL(LはN以外の1以上の整数)個離れた検知対象パケット間のそれぞれに対しても算出され、
    前記複数の距離を算出する際に、前記検知対象パケット列におけるL個離れた検知対象パケット間のそれぞれに対しても距離を算出することで、前記複数の距離を算出する
    請求項3に記載の異常検知方法。
  5. 前記特徴量を抽出する際に、前記検知対象パケット列において連続するW(Wは2以上の整数)個の検知対象パケットからなる1以上のウインドウ毎に、当該ウインドウに属する検知対象パケット間に対して算出した前記複数の距離の出現分布を算出し、算出した前記出現分布のそれぞれを、前記特徴量として抽出する
    請求項3又は4に記載の異常検知方法。
  6. 前記異常の度合いに係る情報を算出する際に、算出した前記出現分布のそれぞれと、予め記憶する複数のリファレンス出現分布のそれぞれとの間のアースムーバーズ距離のそれぞれを算出し、算出した前記アースムーバーズ距離のそれぞれを利用するK近傍法を利用して、前記異常の度合いに係る情報を算出する
    請求項5に記載の異常検知方法。
  7. 前記特徴量を抽出する際に、前記検知対象パケット列において連続するW(Wは1以上の整数)個の検知対象パケットからなる1以上のウインドウ毎に、当該ウインドウに属する検知対象パケット間に対して算出した前記複数の距離からなる距離列を算出し、算出した前記距離列のそれぞれを前記特徴量として抽出する
    請求項3又は4に記載の異常検知方法。
  8. 前記異常の度合いに係る情報を算出する際に、算出した前記距離列のそれぞれと、予め記憶する複数のリファレンス距離列のそれぞれとの間の、ワーピング法により定められる距離のそれぞれを算出し、算出した前記ワーピング法により定められる距離のそれぞれを利用して、前記異常の度合いに係る情報を算出する
    請求項7に記載の異常検知方法。
  9. 前記異常の度合いに係る情報を算出する際に、算出した前記距離列のそれぞれに対して予め記憶するグローバルアラインメントカーネルを適用することで、前記異常の度合いに係る情報を算出する
    請求項7に記載の異常検知方法。
  10. 前記複数の距離を算出する際に、前記複数の検知対象パケットのうち、同一のコマンド種別の検知対象パケット間に限定して、前記複数の距離を算出する
    請求項1~9のいずれか1項に記載の異常検知方法。
  11. 連続する複数のリファレンスパケットからなる1以上のリファレンスパケット列のそれぞれに対して、当該複数のリファレンスパケット間の複数のリファレンス距離をそれぞれ算出し、
    算出した前記複数のリファレンス距離のそれぞれを用いて、前記1以上のリファレンスパケット列のリファレンス特徴量をそれぞれ抽出し、
    前記検知対象パケット列の異常の度合いに係る情報を算出する際に、さらに、抽出した前記リファレンス特徴量のそれぞれをも用いて、前記検知対象パケット列の異常の度合いに係る情報を算出する
    請求項1~10のいずれか1項に記載の異常検知方法。
  12. 前記複数のリファレンス距離をそれぞれ算出する際に、前記複数のリファレンスパケットのペイロード間のレーベンシュタイン距離を利用して前記複数のリファレンス距離をそれぞれ算出する
    請求項11に記載の異常検知方法。
  13. 前記複数のリファレンスパケットのペイロード間のレーベンシュタイン距離は、前記1以上のリファレンスパケット列のそれぞれにおけるN(Nは1以上の整数)個離れたリファレンスパケット間のそれぞれに対して算出され、ペイロードを構成するビット列の少なくとも一部を対象として、M(Mは、1以上16以下の整数)ビットを単位として算出され、
    前記複数のリファレンス距離をそれぞれ算出する際に、前記1以上のリファレンスパケット列のそれぞれにおけるN個離れたリファレンスパケット間のそれぞれに対してリファレンス距離を算出することで、前記複数のリファレンス距離をそれぞれ算出する
    請求項12に記載の異常検知方法。
  14. 前記複数のリファレンスパケットのペイロード間のレーベンシュタイン距離は、さらに、前記1以上のリファレンスパケット列のそれぞれにおけるL(LはN以外の1以上の整数)個離れた検知対象パケット間のそれぞれに対しても算出され、
    前記複数のリファレンス距離のそれぞれを算出する際に、さらに、前記1以上のリファレンスパケット列のそれぞれにおけるL個離れたリファレンスパケット間のそれぞれに対してもリファレンス距離を算出することで、前記複数のリファレンス距離をそれぞれ算出する
    請求項13に記載の異常検知方法。
  15. 連続する複数のリファレンスパケットからなる1以上のリファレンスパケット列のそれぞれに対して、当該複数のリファレンスパケット間の複数のリファレンス距離をそれぞれ算出し、
    算出した前記複数のリファレンス距離のそれぞれを用いて、前記1以上のリファレンスパケット列のリファレンス特徴量をそれぞれ抽出し、
    前記複数のリファレンス距離をそれぞれ算出する際に、前記複数のリファレンスパケットのペイロード間のレーベンシュタイン距離を利用して前記複数のリファレンス距離をそれぞれ算出し、
    前記複数のリファレンスパケットのペイロード間のレーベンシュタイン距離は、前記1以上のリファレンスパケット列のそれぞれにおけるN(Nは1以上の整数)個離れたリファレンスパケット間のそれぞれに対して算出され、ペイロードを構成するビット列の少なくとも一部を対象として、M(Mは、1以上16以下の整数)ビットを単位として算出され、
    前記1以上のリファレンスパケット列のリファレンス特徴量をそれぞれ抽出する際に、前記1以上のリファレンスパケット列のそれぞれにおいて連続するW(Wは2以上の整数)個のリファレンスパケットからなる1以上のウインドウ毎に、当該ウインドウに属するリファレンスパケット間に対して算出した前記複数のリファレンス距離の出現分布を算出し、算出した前記リファレンス距離の出現分布のそれぞれを、前記1以上のリファレンスパケット列のリファレンス特徴量のそれぞれとして抽出し、抽出した前記1以上のリファレンスパケット列のリファレンス特徴量のそれぞれを、前記予め記憶する複数のリファレンス出現分布のそれぞれとして記憶する
    請求項6に記載の異常検知方法。
  16. 連続する複数のリファレンスパケットからなる1以上のリファレンスパケット列のそれぞれに対して、当該複数のリファレンスパケット間の複数のリファレンス距離をそれぞれ算出し、
    算出した前記複数のリファレンス距離のそれぞれを用いて、前記1以上のリファレンスパケット列のリファレンス特徴量をそれぞれ抽出し、
    前記複数のリファレンス距離をそれぞれ算出する際に、前記複数のリファレンスパケットのペイロード間のレーベンシュタイン距離を利用して前記複数のリファレンス距離をそれぞれ算出し、
    前記複数のリファレンスパケットのペイロード間のレーベンシュタイン距離は、前記1以上のリファレンスパケット列のそれぞれにおけるN(Nは1以上の整数)個離れたリファレンスパケット間のそれぞれに対して算出され、ペイロードを構成するビット列の少なくとも一部を対象として、M(Mは、1以上16以下の整数)ビットを単位として算出され、
    前記1以上のリファレンスパケット列のリファレンス特徴量をそれぞれ抽出する際に、前記1以上のリファレンスパケット列のそれぞれにおいて連続するW(Wは2以上の整数)個のリファレンスパケットからなる1以上のウインドウ毎に、当該ウインドウに属するリファレンスパケット間に対して算出した前記リファレンス距離からなるリファレンス距離列を算出し、算出したリファレンス距離列のそれぞれを、前記1以上のリファレンスパケット列のリファレンス特徴量のそれぞれとして抽出し、
    抽出した前記1以上のリファレンスパケット列のリファレンス特徴量のそれぞれを、前記予め記憶する複数のリファレンス距離列のそれぞれとして記憶する
    請求項8に記載の異常検知方法。
  17. 連続する複数のリファレンスパケットからなる1以上のリファレンスパケット列のそれぞれに対して、当該複数のリファレンスパケット間の複数のリファレンス距離をそれぞれ算出し、
    算出した前記複数のリファレンス距離のそれぞれを用いて、前記1以上のリファレンスパケット列のリファレンス特徴量をそれぞれ抽出し、
    前記複数のリファレンス距離をそれぞれ算出する際に、前記複数のリファレンスパケットのペイロード間のレーベンシュタイン距離を利用して前記複数のリファレンス距離をそれぞれ算出し、
    前記複数のリファレンスパケットのペイロード間のレーベンシュタイン距離は、前記1以上のリファレンスパケット列のそれぞれにおけるN(Nは1以上の整数)個離れたリファレンスパケット間のそれぞれに対して算出され、ペイロードを構成するビット列の少なくとも一部を対象として、M(Mは、1以上16以下の整数)ビットを単位として算出され、
    前記1以上のリファレンスパケット列のリファレンス特徴量をそれぞれ抽出する際に、前記1以上のリファレンスパケット列のそれぞれにおいて連続するW(Wは2以上の整数)個のリファレンスパケットからなる1以上のウインドウ毎に、当該ウインドウに属するリファレンスパケット間に対して算出した前記リファレンス距離からなるリファレンス距離列を算出し、算出したリファレンス距離列のそれぞれを、前記1以上のリファレンスパケット列のリファレンス特徴量のそれぞれとして抽出し、
    抽出した前記1以上のリファレンスパケット列のリファレンス特徴量のそれぞれを用いて、グローバルアラインメントカーネルを算出し、算出した前記グローバルアラインメントカーネルを、前記予め記憶するグローバルアラインメントカーネルとして記憶する
    請求項9に記載の異常検知方法。
  18. 前記複数のリファレンス距離をそれぞれ算出する際に、前記複数のリファレンスパケットのうち、同一のコマンド種別のリファレンスパケット間に限定して、前記リファレンス距離のそれぞれを算出する
    請求項11~17のいずれか1項に記載の異常検知方法。
  19. 連続する複数の検知対象パケットからなる検知対象パケット列に対して、当該複数の検知対象パケット間の複数の距離を算出する検知対象パケットデータ間距離算出部と、
    算出した前記複数の距離を用いて、前記検知対象パケット列の特徴量を抽出する特徴量抽出部と、
    抽出した前記特徴量を用いて、前記検知対象パケット列の異常の度合いに係る情報を算出する情報算出部と、を備える
    異常検知装置。
  20. 連続する複数のリファレンスパケットからなる1以上のリファレンスパケット列のそれぞれに対して、当該複数のリファレンスパケット間の複数のリファレンス距離をそれぞれ算出するリファレンスパケットデータ間距離算出部と、
    算出した前記複数のリファレンス距離のそれぞれを用いて、前記1以上のリファレンスパケット列のリファレンス特徴量をそれぞれ抽出するリファレンス特徴量抽出部と、を備え、
    前記情報算出部は、さらに、抽出した前記リファレンス特徴量のそれぞれをも用いて、前記検知対象パケット列の異常の度合いに係る情報を算出する
    請求項19に記載の異常検知装置。
JP2020558090A 2018-11-21 2019-08-09 異常検知方法、及び異常検知装置 Active JP7297787B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201862770375P 2018-11-21 2018-11-21
US62/770,375 2018-11-21
JP2019081275 2019-04-22
JP2019081275 2019-04-22
PCT/JP2019/031585 WO2020105234A1 (ja) 2018-11-21 2019-08-09 異常検知方法、及び異常検知装置

Publications (2)

Publication Number Publication Date
JPWO2020105234A1 JPWO2020105234A1 (ja) 2021-10-07
JP7297787B2 true JP7297787B2 (ja) 2023-06-26

Family

ID=70773498

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020558090A Active JP7297787B2 (ja) 2018-11-21 2019-08-09 異常検知方法、及び異常検知装置

Country Status (5)

Country Link
US (1) US11962479B2 (ja)
EP (1) EP3886374B1 (ja)
JP (1) JP7297787B2 (ja)
CN (1) CN112789831B (ja)
WO (1) WO2020105234A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3126832B1 (fr) * 2021-09-07 2024-03-22 Nano Corp Procede et système de surveillance et gestion du trafic de données
CN114095265B (zh) * 2021-11-24 2024-04-05 中国南方电网有限责任公司超高压输电公司昆明局 Icmp隐蔽隧道检测方法、装置及计算机设备
CN114760103B (zh) * 2022-03-21 2023-10-31 广州大学 一种工业控制系统异常检测系统、方法、设备及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017212617A (ja) 2016-05-26 2017-11-30 株式会社日立製作所 ネットワーク装置、キュー制御方法、及び計算機システム

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9800608B2 (en) * 2000-09-25 2017-10-24 Symantec Corporation Processing data flows with a data flow processor
WO2007070838A2 (en) * 2005-12-13 2007-06-21 Crossbeam Systems, Inc. Systems and methods for processing data flows
JP2009075010A (ja) * 2007-09-21 2009-04-09 Denso It Laboratory Inc 経路長算出装置、経路長算出方法、経路長算出プログラム及び車両用空調装置ならびに移動物体搭載機器の制御装置
WO2015186662A1 (ja) * 2014-06-06 2015-12-10 日本電信電話株式会社 ログ分析装置、攻撃検知装置、攻撃検知方法およびプログラム
KR20170060280A (ko) * 2015-11-24 2017-06-01 한국전자통신연구원 탐지 규칙 자동 생성 장치 및 방법
JP6839963B2 (ja) * 2016-01-08 2021-03-10 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 異常検知方法、異常検知装置及び異常検知システム
CN106650440A (zh) * 2016-10-18 2017-05-10 西南科技大学 一种融合多检测结果的恶意程序检测方法
CN107707545B (zh) * 2017-09-29 2021-06-04 深信服科技股份有限公司 一种异常网页访问片段检测方法、装置、设备及存储介质
US10374803B2 (en) * 2017-10-06 2019-08-06 Stealthpath, Inc. Methods for internet communication security
US10630567B1 (en) * 2018-02-05 2020-04-21 Illuminate Technologies, Llc Methods, systems and computer readable media for monitoring communications networks using cross-correlation of packet flows
US10659379B2 (en) * 2018-05-08 2020-05-19 Chicago Mercantile Exchange Inc. Enforcement of latency determinism across a computer network
US11233744B2 (en) * 2019-11-28 2022-01-25 Hewlett Packard Enterprise Development Lp Real-time network application visibility classifier of encrypted traffic based on feature engineering

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017212617A (ja) 2016-05-26 2017-11-30 株式会社日立製作所 ネットワーク装置、キュー制御方法、及び計算機システム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
大内田 克也 Katsuya OOUCHIDA,確率分布モデルに基づく不正パケット系列の誤検出の制御,電子情報通信学会2001年基礎・境界ソサイエティ大会講演論文集 PROCEEDINGS OF THE 2001 ENGINEERING,2001年08月29日,第160頁
田村 研輔 Kensuke Tamura,制御システムにおける通信の規則性を利用した異常検知,2018年 暗号と情報セキュリティシンポジウム(SCIS2018)予稿集 [USB] 2018年 暗号と情報セキュリティシンポジウム概要集,2008年12月26日,第1-8頁

Also Published As

Publication number Publication date
CN112789831A (zh) 2021-05-11
CN112789831B (zh) 2023-05-02
EP3886374B1 (en) 2024-05-22
WO2020105234A1 (ja) 2020-05-28
JPWO2020105234A1 (ja) 2021-10-07
EP3886374A1 (en) 2021-09-29
US11962479B2 (en) 2024-04-16
EP3886374A4 (en) 2021-12-29
US20210226862A1 (en) 2021-07-22

Similar Documents

Publication Publication Date Title
JP7297787B2 (ja) 異常検知方法、及び異常検知装置
JP6746085B2 (ja) 異常検知装置、異常検知方法および異常検知プログラム
US20080109431A1 (en) String Machining System And Program Therefor
US10050987B1 (en) Real-time anomaly detection in a network using state transitions
CN103154884A (zh) 模式检测
JP2019102960A (ja) サイバー攻撃検知システム、特徴量選定システム、サイバー攻撃検知方法、及びプログラム
EP2838032B1 (en) Method, server and terminal device for selectively removing nondeterminism of nondeterministic finite automata
JP2007142767A (ja) パターンマッチング装置、その形成方法、それを用いたネットワーク不正侵入検知装置の動作方法、およびそれを用いた侵入防止システムの動作方法
WO2017111915A1 (en) Identifying signatures for data sets
WO2021153032A1 (ja) 異常検知方法、及び異常検知装置
CN107547378B (zh) 一种vpn路由学习方法和装置
US20230161319A1 (en) Computer-implemented method for recognizing an input pattern in at least one time series of a plurality of time series
JP6541903B2 (ja) 攻撃・異常検知装置、攻撃・異常検知方法、および攻撃・異常検知プログラム
US9235639B2 (en) Filter regular expression
US20210133080A1 (en) Interpretable prediction using extracted temporal and transition rules
JP2019213183A (ja) クラスタリング方法、分類方法、クラスタリング装置、及び、分類装置
JP6263487B2 (ja) プロセス抽出装置、プロセス抽出方法、及びプログラム
JP6096084B2 (ja) トラヒック走査装置及び方法
WO2015173860A1 (ja) 時系列データ処理装置及び時系列データ処理プログラム
Estrada-Vargas et al. Stepwise identification of automated discrete manufacturing systems
US9978451B2 (en) Connection for quick search of regular expressions in data
CN116346509B (zh) 一种硬编码凭证检测方法、系统、设备及可读存储介质
JP5482165B2 (ja) プログラム及び情報抽出装置
CN115718696A (zh) 源码密码学误用检测方法、装置、电子设备和存储介质
CN116208413A (zh) 基于在线学习算法的http白流量过滤方法及过滤系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220517

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230606

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230614

R150 Certificate of patent or registration of utility model

Ref document number: 7297787

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150