JP7318711B2 - 異常検知装置、異常検知方法、及びプログラム - Google Patents
異常検知装置、異常検知方法、及びプログラム Download PDFInfo
- Publication number
- JP7318711B2 JP7318711B2 JP2021539730A JP2021539730A JP7318711B2 JP 7318711 B2 JP7318711 B2 JP 7318711B2 JP 2021539730 A JP2021539730 A JP 2021539730A JP 2021539730 A JP2021539730 A JP 2021539730A JP 7318711 B2 JP7318711 B2 JP 7318711B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- period
- sequence
- learning
- packets
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
学習において、学習用パケットを種別し、パケット種別ごとに算出したパケット間隔と、前記パケット間隔の発生頻度を表す度数とを用いて、前記パケット種別の周期を特定する、周期特定部と、
前記周期に基づいて、前記パケット種別の順序を表すシーケンス情報と、当該シーケンス情報が有する前記パケット間の時間分布情報とを有するシーケンス特徴量を抽出する、特徴抽出部と、
を有することを特徴とする。
(a)学習において、学習用パケットを種別し、パケット種別ごとに算出したパケット間隔と、前記パケット間隔の発生頻度を表す度数とを用いて、前記パケット種別の周期を特定する、ステップと、
(b)前記周期に基づいて、前記パケット種別の順序を表すシーケンス情報と、当該シーケンス情報が有する前記パケット間の時間分布情報とを有するシーケンス特徴量を抽出する、ステップと、
を有することを特徴とする。
コンピュータに、
(a)学習において、受信した学習用パケットを種別し、パケット種別ごとに算出したパケット間隔と、前記パケット間隔の発生頻度を表す度数とを用いて、前記パケット種別の周期を特定する、ステップと、
(b)前記周期に基づいて、前記パケット種別の順序を表すシーケンス情報と、当該シーケンス情報が有する前記パケット間の時間分布情報とを有するシーケンス特徴量を抽出する、ステップと、
を実行させることを特徴とする。
以下、本発明の実施の形態について、図1から図11を参照しながら説明する。
最初に、図1を用いて、本実施の形態における異常検知装置1の構成について説明する。図1は、異常検知装置の一例を説明するための図である。
続いて、図2を用いて、本実施の形態における異常検知装置1の構成をより具体的に説明する。図2は、異常検知装置を有する制御システムの一例を説明するための図である。図2に示す異常検知装置1は、制御システム20とネットワークを介して接続されている。ただし、異常検知装置1は、ネットワークを介さずに制御システム20に接続してもよい。
異常検知装置1は、学習フェーズにおいて、周期特定部2と、特徴抽出部3とを用いて、シーケンス特徴量を抽出し、不図示の記憶部に記憶する。なお、記憶部は、異常検知装置1内に設けてもよいし、異常検知装置1の外部に設けてもよい。
異常検知装置1は、運用フェーズにおいて、検知部21を用いて、制御システム20の異常を検知する。その後、異常検知装置1の出力情報生成部22は、制御システム20の異常を検知したことを出力装置23に出力するための出力情報を生成し、生成した出力情報を出力装置23へ送信する。
次に、本発明の実施の形態における異常検知装置1の動作について説明する。学習フェーズの動作については、図9を用いて説明する。また、運用フェーズの動作については、図10を用いて説明する。図9は、学習フェーズにおける異常検知装置の動作の一例を説明するため図である。図10は、運用フェーズにおける異常検知装置の動作の一例を説明するためのフロー図である。以下の説明においては、適宜図2から図8を参照する。また、本実施の形態では、異常検知装置1を動作させることによって、異常検知方法が実施される。よって、本実施の形態における異常検知方法の説明は、以下の異常検知装置1の動作説明に代える。
図9に示すように、最初に、周期特定部2は、学習用パケットを取得する(ステップA1)。具体的には、ステップA1において、周期特定部2は、学習フェーズにおいて、制御システム20が正常に運用されている場合、制御システム20から時系列に学習用パケットを受信する。又は、周期特定部2は、あらかじめ記憶部に記憶した学習用パケットを取得してもよい。
検知部21は、まず、制御システム20からパケットを取得する(ステップB1)。続いて、検知部21は、シーケンス異常(パケット種別の順序)の判定及びパケット間時間分布の判定をし(ステップB2)、異常がない場合(ステップB3:No)、この処理を終了する。異常がある場合(ステップB3:Yes)、ステップB4に移行する。
以上のように本実施の形態によれば、学習フェーズにおいて、抽出したシーケンス特徴量を用いることで、運用フェーズにおいて、制御システムに発生した異常を検知する精度を向上させることができる。
本発明の実施の形態におけるプログラムは、コンピュータに、図9に示すステップA1からA7、図10に示すステップB1からB5を実行させるプログラムであればよい。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における異常検知装置と異常検知方法とを実現することができる。この場合、コンピュータのプロセッサは、周期特定部2、特徴抽出部3、検知部21、出力情報生成部22として機能し、処理を行なう。
ここで、実施の形態におけるプログラムを実行することによって、異常検知装置を実現するコンピュータについて図11を用いて説明する。図11は、異常検知装置を実現するコンピュータの一例を示すブロック図である。
以上の実施の形態に関し、更に以下の付記を開示する。上述した実施の形態の一部又は全部は、以下に記載する(付記1)から(付記12)により表現することができるが、以下の記載に限定されるものではない。
学習において、学習用パケットを種別し、パケット種別ごとに算出したパケット間隔と、前記パケット間隔の発生頻度を表す度数とを用いて、前記パケット種別の周期を特定する、周期特定部と、
前記周期をもとに、前記パケット種別の順序を表すシーケンス情報と、当該シーケンス情報が有するパケット間の時間分布情報とを有するシーケンス特徴量を抽出する、特徴抽出部と、
を有することを特徴とする異常検知装置。
付記1に記載の異常検知装置であって、
運用において、制御システムから受信したパケットを用いて、学習において抽出した前記シーケンス特徴量を参照して、異常を検知する、検知部
を有することを特徴とする異常検知装置。
付記1又は2に記載の異常検知装置であって、
前記周期特定部は、前記度数が最大となる前記パケット間隔のうち最小となるパケット間隔を選択し、選択したパケット間隔に基づいて周期を決定する
ことを特徴とする異常検知装置。
付記1から3のいずれか一つに記載の異常検知装置であって、
前記特徴抽出部は、前記周期と同じ周期又は倍数の周期を用いて、シーケンス特徴量を抽出する
ことを特徴とする異常検知装置。
(a)学習において、学習用パケットを種別し、パケット種別ごとに算出したパケット間隔と、前記パケット間隔の発生頻度を表す度数とを用いて、前記パケット種別の周期を特定する、ステップと、
(b)前記周期に基づいて、前記パケット種別の順序を表すシーケンス情報と、当該シーケンス情報が有するパケット間の時間分布情報とを有するシーケンス特徴量を抽出する、ステップと、
を有することを特徴とする異常検知方法。
付記5に記載の異常検知方法であって、
(c)運用において、制御システムから受信したパケットを用いて、学習において抽出した前記シーケンス特徴量を参照して、異常を検知する、ステップと
を有することを特徴とする異常検知方法。
付記5又は6に記載の異常検知方法であって、
前記(a)のステップにおいて、前記度数が最大となる前記パケット間隔のうち最小となるパケット間隔を選択し、選択したパケット間隔に基づいて周期を決定する
ことを特徴とする異常検知方法。
付記5から7のいずれか一つに記載の異常検知方法であって、
前記(b)のステップにおいて、前記周期と同じ周期又は倍数の周期を用いて、シーケンス特徴量を抽出する
ことを特徴とする異常検知方法。
コンピュータに、
(a)学習において、受信した学習用パケットを種別し、パケット種別ごとに算出したパケット間隔と、前記パケット間隔の発生頻度を表す度数とを用いて、前記パケット種別の周期を特定する、ステップと、
(b)前記周期に基づいて、前記パケット種別の順序を表すシーケンス情報と、当該シーケンス情報が有するパケット間の時間分布情報とを有するシーケンス特徴量を抽出する、ステップと、
を実行させる命令を含むプログラム。
付記9に記載のプログラムであって、
前記プログラムが、前記コンピュータに、
(c)運用において、制御システムから受信したパケットを用いて、学習において抽出した前記シーケンス特徴量を参照して、異常を検知する、ステップ
を実行させる命令を更に含むプログラム。
付記9又は10に記載のプログラムであって、
前記(a)のステップにおいて、前記度数が最大となる前記パケット間隔のうち最小となるパケット間隔を選択し、選択したパケット間隔に基づいて周期を決定する
ことを特徴とするプログラム。
付記9から11のいずれか一つに記載のプログラムであって、
前記(b)のステップにおいて、前記周期と同じ周期又は倍数の周期を用いて、シーケンス特徴量を抽出する
ことを特徴とするプログラム。
2 周期特定部
3 特徴抽出部
20 制御システム
21 検知部
22 出力情報生成部
23 出力装置
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス
Claims (9)
- 学習において、学習用パケットを種別し、パケット種別ごとに算出したパケット間隔と、前記パケット間隔の発生頻度を表す度数とを用いて、前記パケット種別の周期を特定する、周期特定手段と、
前記周期に基づいて、前記パケット種別の順序を表すシーケンス情報と、当該シーケンス情報が有するパケット間の時間分布情報とを有するシーケンス特徴量を抽出する、特徴抽出手段と、を有し、
前記周期特定手段は、前記度数が最大となる前記パケット間隔のうち最小となるパケット間隔を選択し、選択したパケット間隔に基づいて周期を決定する、
ことを特徴とする異常検知装置。 - 請求項1に記載の異常検知装置であって、
運用において、制御システムから受信したパケットを用いて、学習において抽出した前記シーケンス特徴量を参照して、異常を検知する、検知手段
を有することを特徴とする異常検知装置。 - 請求項1又は2に記載の異常検知装置であって、
前記特徴抽出手段は、前記周期と同じ周期又は倍数の周期を用いて、前記シーケンス情報を抽出する
ことを特徴とする異常検知装置。 - (a)学習において、学習用パケットを種別し、パケット種別ごとに算出したパケット間隔と、前記パケット間隔の発生頻度を表す度数とを用いて、前記パケット種別の周期を特定する、ステップと、
(b)前記周期に基づいて、前記パケット種別の順序を表すシーケンス情報と、当該シーケンス情報が有するパケット間の時間分布情報とを有するシーケンス特徴量を抽出する、ステップと、を有し、
前記(a)のステップにおいて、前記度数が最大となる前記パケット間隔のうち最小となるパケット間隔を選択し、選択したパケット間隔に基づいて周期を決定する、
ことを特徴とする異常検知方法。 - 請求項4に記載の異常検知方法であって、
(c)運用において、制御システムから受信したパケットを用いて、学習において抽出した前記シーケンス特徴量を参照して、異常を検知する、ステップと
を有することを特徴とする異常検知方法。 - 請求項4又は5に記載の異常検知方法であって、
前記(b)のステップにおいて、前記周期と同じ周期又は倍数の周期を用いて、前記シーケンス情報を抽出する
ことを特徴とする異常検知方法。 - コンピュータに、
(a)学習において、受信した学習用パケットを種別し、パケット種別ごとに算出したパケット間隔と、前記パケット間隔の発生頻度を表す度数とを用いて、前記パケット種別の周期を特定する、ステップと、
(b)前記周期に基づいて、前記パケット種別の順序を表すシーケンス情報と、当該シーケンス情報が有するパケット間の時間分布情報とを有するシーケンス特徴量を抽出する、ステップと、を実行させる命令を含み、
前記(a)のステップにおいて、前記度数が最大となる前記パケット間隔のうち最小となるパケット間隔を選択し、選択したパケット間隔に基づいて周期を決定させる、
プログラム。 - 請求項7に記載のプログラムであって、
前記プログラムが、前記コンピュータに、
(c)運用において、制御システムから受信したパケットを用いて、学習において抽出した前記シーケンス特徴量を参照して、異常を検知する、ステップ
を実行させる命令を更に含むプログラム。 - 請求項7又は8に記載のプログラムであって、
前記(b)のステップにおいて、前記周期と同じ周期又は倍数の周期を用いて、前記シーケンス情報を抽出する
ことを特徴とするプログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2019/031765 WO2021028997A1 (ja) | 2019-08-09 | 2019-08-09 | 異常検知装置、異常検知方法、及びコンピュータ読み取り可能な記録媒体 |
Publications (3)
Publication Number | Publication Date |
---|---|
JPWO2021028997A1 JPWO2021028997A1 (ja) | 2021-02-18 |
JPWO2021028997A5 JPWO2021028997A5 (ja) | 2022-04-06 |
JP7318711B2 true JP7318711B2 (ja) | 2023-08-01 |
Family
ID=74570979
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021539730A Active JP7318711B2 (ja) | 2019-08-09 | 2019-08-09 | 異常検知装置、異常検知方法、及びプログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US20220279003A1 (ja) |
JP (1) | JP7318711B2 (ja) |
WO (1) | WO2021028997A1 (ja) |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102028093B1 (ko) * | 2017-10-25 | 2019-10-02 | 한국전자통신연구원 | 네트워크에 대한 이상행위 탐지 방법 및 이를 이용한 장치 |
-
2019
- 2019-08-09 US US17/631,748 patent/US20220279003A1/en active Pending
- 2019-08-09 WO PCT/JP2019/031765 patent/WO2021028997A1/ja active Application Filing
- 2019-08-09 JP JP2021539730A patent/JP7318711B2/ja active Active
Non-Patent Citations (1)
Title |
---|
栗田 萌 MOYURU KURITA,ログの順序パターンに基づく異常検知手法の提案とCANのログへの適用,情報処理学会 研究報告 コンピュータセキュリティ(CSEC) 2017-CSEC-076 [online] ,日本,情報処理学会,2017年03月17日,pp.1-7 |
Also Published As
Publication number | Publication date |
---|---|
US20220279003A1 (en) | 2022-09-01 |
WO2021028997A1 (ja) | 2021-02-18 |
JPWO2021028997A1 (ja) | 2021-02-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8401982B1 (en) | Using sequencing and timing information of behavior events in machine learning to detect malware | |
US8621624B2 (en) | Apparatus and method for preventing anomaly of application program | |
EP3258409B1 (en) | Device for detecting terminal infected by malware, system for detecting terminal infected by malware, method for detecting terminal infected by malware, and program for detecting terminal infected by malware | |
US11797668B2 (en) | Sample data generation apparatus, sample data generation method, and computer readable medium | |
US20090245109A1 (en) | Methods, systems and computer program products for detecting flow-level network traffic anomalies via abstraction levels | |
JP5692414B2 (ja) | 検知装置、検知プログラムおよび検知方法 | |
WO2016208159A1 (ja) | 情報処理装置、情報処理システム、情報処理方法、及び、記憶媒体 | |
JP2018526728A (ja) | プロセストレースを用いたグラフベースの侵入検知 | |
JP2007242002A (ja) | ネットワーク管理装置及びネットワーク管理方法及びプログラム | |
US10931706B2 (en) | System and method for detecting and identifying a cyber-attack on a network | |
US20150074808A1 (en) | Rootkit Detection in a Computer Network | |
US11805142B2 (en) | Communication system and communication method | |
US11163875B1 (en) | Discovery of computer system incidents to be remediated based on correlation between support interaction data and computer system telemetry data | |
US20210367958A1 (en) | Autonomic incident response system | |
WO2020246227A1 (ja) | ルール生成装置、ルール生成方法、及びコンピュータ読み取り可能な記録媒体 | |
JP7318711B2 (ja) | 異常検知装置、異常検知方法、及びプログラム | |
US11436323B2 (en) | Detecting anomalies in software service usage activity | |
CN111104670A (zh) | 一种apt攻击的识别和防护方法 | |
EP4341838A1 (en) | Malware protection | |
EP3799367B1 (en) | Generation device, generation method, and generation program | |
JP2018132787A (ja) | ログ分析支援装置およびログ分析支援方法 | |
JP2023523079A (ja) | 行動予測モデルを用いたエンドポイントセキュリティ | |
JP7176630B2 (ja) | 検知装置、検知方法および検知プログラム | |
US11954199B1 (en) | Scanning and detecting threats in machine learning models | |
JP7509243B2 (ja) | 改竄検知装置、改竄検知方法および改竄検知プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220118 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220118 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220906 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221031 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20230228 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230523 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20230531 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230620 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230703 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7318711 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |