JP7319872B2 - ネットワークセキュリティ装置及び学習優先度決定方法 - Google Patents

ネットワークセキュリティ装置及び学習優先度決定方法 Download PDF

Info

Publication number
JP7319872B2
JP7319872B2 JP2019162869A JP2019162869A JP7319872B2 JP 7319872 B2 JP7319872 B2 JP 7319872B2 JP 2019162869 A JP2019162869 A JP 2019162869A JP 2019162869 A JP2019162869 A JP 2019162869A JP 7319872 B2 JP7319872 B2 JP 7319872B2
Authority
JP
Japan
Prior art keywords
priority
communication
information
learning
communications
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019162869A
Other languages
English (en)
Other versions
JP2021044608A (ja
Inventor
直樹 下間
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2019162869A priority Critical patent/JP7319872B2/ja
Publication of JP2021044608A publication Critical patent/JP2021044608A/ja
Application granted granted Critical
Publication of JP7319872B2 publication Critical patent/JP7319872B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワークセキュリティ装置及び学習優先度決定方法に関する。
通常業務の通信に紛れるような、高度な標的型サイバー攻撃が増加してきている。変更が困難な顧客システムでは、既設システムに影響を与えずに導入可能な異常検知の装置が求められている。このような要求に対応するセキュリティ対策として、当該システムのネットワーク上を流れる正常状態の通信情報を学習し、アノマリ検知する学習型ネットワークセキュリティ装置がある。
このような、学習型ネットワークセキュリティ装置における学習期間を短縮するための背景技術として、特開2007-096735号公報(特許文献1)がある。この公報には、「外部ネットワーク16およびLAN12と、情報処理装置15との間に介在し、情報処理装置15を不正な侵入から保護する学習型のネットワークセキュリティ装置1000において、情報処理装置15とLAN12との間で授受される現行パケットP1を取り込むネットワークサービスポートPSの他に、学習ポートPLを設けた。現行パケットP1の監視処理および学習と並行して、過去にLAN12から捕捉されてパケット蓄積装置2000に蓄積された蓄積パケットP2を学習ポートPLを介してネットワークセキュリティ装置1000に取り込んで学習することで、サービス開始までの学習期間を短縮する。」と記載されている(要約参照)。
特開2007-096735号公報
しかし、特許文献1に記載の技術では、過去の通信情報の学習結果が得てからでないと、学習期間を短縮ができない。そこで本発明の一態様は、過去の通信情報の学習結果が得られていないときであっても、学習に要する期間を短縮することを目的とする。
上記課題を解決するため本発明の一態様は、以下の構成を有する。監視対象システム内の通信の異常を検知するためのモデルの生成時における通信の学習優先度を決定する、ネットワークセキュリティ装置であって、プロセッサとメモリとを有し、前記メモリは、前記監視対象システム内の通信の組み合わせの統計値を示す統計情報と、前記監視対象システム内の通信の組み合わせの統計値に対応する優先度を示す優先度情報と、を保持し、前記プロセッサは、前記統計情報が示す統計値に対応する、前記優先度情報が示す第1優先度を取得し、前記第1優先度に基づいて、前記学習優先度を決定する、ネットワークセキュリティ装置。
本発明の一態様によれば、過去の通信情報の学習結果が得られていないときであっても、学習に要する期間を短縮することができる。
上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。
実施例1におけるネットワークセキュリティシステムの構成例を示すブロック図である。 実施例1におけるネットワークセキュリティ装置101のハードウェ構成例を示すブロック図である。 実施例1における通信統計解析情報テーブルの一例である。 実施例1における通信組合せ相関情報テーブルの一例である。 実施例1における機器情報テーブルの一例である。 実施例1における通信区分情報テーブルの一例である。 実施例1における業務通信関連情報テーブルの一例である。 実施例1における参照情報優先度ポリシーテーブルの一例である。 実施例1における通信頻度優先度ポリシーテーブルの一例である。 実施例1における通信組合せ相関優先度ポリシーテーブルの一例である。 実施例1におけるネットワークセキュリティ装置による全体の処理の一例を示すフローチャートである。
以下、本発明の実施形態を図面に基づいて詳細に説明する。本実施形態において、同一の構成には原則として同一の符号を付け、繰り返しの説明は省略する。なお、本実施形態は本発明を実現するための一例に過ぎず、本発明の技術的範囲を限定するものではないことに注意すべきである。
図1は、本実施例のネットワークセキュリティシステムの構成例を示すブロック図である。ネットワークセキュリティシステムは、ネットワークセキュリティ装置101、学習装置107、検知装置108、及び複数の監視対象端末109を含む。当該複数の監視対象端末109をまとめて監視対象システムとも呼ぶ。
ネットワークセキュリティ装置101は、複数の監視対象端末109に接続され、監視対象端末109間の異常通信を検知するための学習モデルを生成するための情報を生成する。ネットワークセキュリティ装置101は、例えば、学習対象優先度付け機能102、及び通信情報統計解析機能103を有する。
学習対象優先度付け機能102は、監視対象端末109間の異常通信を検知するための学習モデルを生成する際の通信の組合せの優先度を計算する。通信情報統計解析機能103は、監視対象端末109間の通信情報(例えばパケットヘッダ)を取得して、統計解析する。
また、ネットワークセキュリティ装置101は、例えば、統計解析情報DB104、システム特性情報DB105、及び優先度付けポリシーDB106を有する。
統計解析情報DB104は、監視対象端末109間の通信を統計解析した結果に関する情報を保持する。システム特性情報DB105は、監視対象システムを構成する機器、通信区分、業務通信関連情報などの学習の優先度に関する情報を保持する。
優先度付けポリシーDB106は、ネットワークセキュリティ装置101が学習対象の優先度を計算する際に基準とする各種ポリシーに関する情報を保持する。なお学習装置107が有する学習機能及び検知装置108が有する検知機能を、ネットワークセキュリティ装置101が有していれば、ネットワークセキュリティシステムは、学習装置107及び検知装置108を含まなくてもよい。
図2は、ネットワークセキュリティ装置101のハードウェ構成例を示すブロック図である。具体的には、ネットワークセキュリティ装置101は、例えば、CPU(Central Processing Unit)201、メモリ202、補助記憶装置203、入力装置204、出力装置205、及び通信制御装置206、並びにこれらを相互に接続するバス207を有する計算機によって構成される。
CPU201は、プロセッサを含み、メモリ202にロードされた各種プログラムを実行し、ネットワークセキュリティ装置101の各種機能を実現する。メモリ202は、不揮発性の記憶素子であるROM及び揮発性の記憶素子であるRAMを含む。ROMは、不変のプログラム(例えば、BIOS)などを格納する。RAMは、DRAM(Dynamic Random Access Memory)のような高速かつ揮発性の記憶素子であり、CPU201が実行するプログラム及びプログラムの実行時に使用されるデータを一時的に格納する。
補助記憶装置203は、例えば、磁気記憶装置(HDD)、フラッシュメモリ(SSD)等の大容量かつ不揮発性の記憶装置であり、CPU201が実行するプログラム及びプログラムの実行時に使用されるデータを格納する。
すなわち、プログラムは、補助記憶装置203から読み出されて、メモリ202にロードされて、CPU201によって実行される。なお、メモリ202に格納されているデータの一部又は全部が補助記憶装置203に格納されていてもよいし、補助記憶装置203に格納されているデータの一部又は全部がメモリ202に格納されていてもよい。
入力装置204は、ユーザからの入力を受ける装置であり、例えば、キーボード、マウス等である。出力装置205、プログラムの実行結果をユーザが視認可能な形式で出力する装置であり、例えば、ディスプレイ等である。なお、入力装置204及び出力装置205は、ネットワークセキュリティ装置101を構成する計算機に含まれずに、ネットワークセキュリティ装置101に接続されていてもよい。通信制御装置206は、所定のプロトコルに従って、他の装置との通信を制御するネットワークインターフェース装置である。
なお、CPU201は、メモリ202にロードされた学習対象優先度付けプログラムに従って動作することで、学習対象優先度付け機能102として機能し、メモリ202にロードされた通信情報統計解析プログラムに従って動作することで、通信情報統計解析機能103として機能する。ネットワークセキュリティ装置101が有する他の機能についても、プログラムと機能の関係は同様である。
なお、ネットワークセキュリティ装置101が有する機能の一部又は全部が、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field-Programmable Gate Array)等のハードウェアによって実現されてもよい。
なお、本実施形態において、ネットワークセキュリティ装置101が使用する情報は、データ構造に依存せずどのようなデータ構造で表現されていてもよい。本実施形態ではテーブル形式で情報が表現されている例を説明するが、例えば、リスト、データベース又はキューから適切に選択したデータ構造体が、情報を格納することができる。
なお、ネットワークセキュリティ装置101は、物理的に一つの計算機上で、又は、論理的又は物理的に構成された複数の計算機上で構成される計算機システムであり、同一の計算機上で別個のスレッドで動作してもよく、複数の物理的計算機資源上に構築された仮想計算機上で動作してもよい。
なお、なお、優先度付けポリシーDB106は、後述する図6の処理が開始する前に予めインプット情報として補助記憶装置203に格納されている。またシステム特性情報DB105は、監視対象システムに関する特性情報が取得可能な場合には、後述する図6の処理が開始する前に予めインプット情報として補助記憶装置203に格納されている。
図3Aは、通信統計解析情報テーブルの一例であり、図3Bは、通信組合せ相関情報テーブルの一例である。通信統計解析情報テーブル及び通信組合せ相関情報テーブルは、いずれも統計解析情報DB104に格納されている。
まず、通信統計解析情報テーブル311について説明する。通信統計解析情報テーブル311は、機器間の通信に関する統計解析の結果を示す情報を保持する。具体的には、通信統計解析情報テーブル311は、例えば、通信ID欄312、通信プロトコル欄313、通信元欄314、通信先欄315、データサイズ欄316、通信頻度欄317、通信時間帯欄318、及び通信時間欄319を含む。
通信ID欄312は、通信を識別するIDを示す情報を保持する。通信プロトコル欄313は、通信において利用されたプロトコルを示す情報を保持する。通信元欄314は、通信の通信元を示す情報を保持する。通信先欄315は、通信の通信先を示す情報を保持する。
データサイズ欄316は、通信におけるデータサイズを示す情報を保持する。通信頻度欄317は、通信が行われる頻度を示す情報を保持する。通信時間帯欄318は、通信が行われた時間帯を示す情報を保持する。通信時間欄319は、通信が行われた時間の長さを示す情報を保持する。
図3Aの通信統計解析情報テーブル311の1行目によれば、通信IDが「T1」である通信情報について、以下のことがわかる。通信IDが「T1」である通信情報について、当該通信の通信プロトコルは「TCP」で、通信元のIPアドレスが「10.0.0.1」、通信元のポートが「15005」、通信先のIPアドレスが「10.0.0.3」、通信先のポートが「30000」である。
通信IDが「T1」である通信情報について、単位時間あたりの合計のデータサイズは「1MB」であり、平均のデータサイズは「15KB」である。ここで、単位時間については任意の時間(例えば1秒)で設定可能であるものとする。
また、通信IDが「T1」である通信情報における、通信頻度については、単位時間内あたりの通信の回数の平均値が「600回/秒」である。また、通信IDが「T1」である通信情報における、通信時間帯欄318については、通信情報の観測が開始できた時刻である「9:00」から、24時間以内の単位において通信情報の観測が終了した最長の時刻である「15:00」まで、が最長の通信時間帯である。
また、通信IDが「T1」である通信情報における、通信時間については、24時間以内の単位において当該通信情報について観測した通信のセッション時間の平均値である「3秒」である。
通信組合せ相関情報テーブル321について説明する。通信組合せ相関情報テーブル321は、複数通信からなる組合せの相関の度合いに関する情報を保持する。具体的には、通信組合せ相関情報テーブル321は、例えば、通信組合せ欄322、相関度合い欄323、及び通信頻度欄324を含む。
通信組合せ欄322は、通信組合せを構成する通信の通信IDを示す情報を保持する。相関度合い欄323は、通信組み合わせを構成する相関の度合い(強さ)を示す情報を保持する。通信組合せ相関情報テーブル321における通信頻度欄324は、通信組合せを構成するX通信とY通信のうち、同じタイムスロット内で発生した通信のみの通信頻度を示す情報を保持する。
図3Bの通信組合せ相関情報テーブル321の1行目によれば、通信組合せが「T1-T2」である通信組合せ情報について、以下のことがわかる。通信組合せ「T1-T2」は通信IDの値が「T1」と「T2」である各通信情報の組合せである。また、通信組合せ「T1-T2」を構成する「T1」と「T2」の通信が単位時間内に同時に発生する等のように、所定の関係基準による相関の度合いの値が「0.85」である。また、通信組合せ「T1-T2」の単位時間あたりの通信頻度の平均値は450回/秒である。
図4Aは、機器情報テーブルの一例である。図4Bは、通信区分情報テーブルの一例である。図4Cは、業務通信関連情報テーブルの一例である。機器情報テーブル、通信区分情報テーブル、及び業務通信関連情報テーブルは、いずれものシステム特性情報DB105に格納されている。
まず、機器情報テーブル411について説明する。機器情報テーブル411は、監視対象システムの各機器を特定する情報や、当該機器の学習の優先度に関する情報を保持する。具体的には、例えば、機器情報テーブル411は、機器ID欄412、IPアドレス欄413、及び優先度欄414を含む。
機器ID欄412は、監視対象システムに含まれる各機器を識別するIDを示す情報を保持する。IPアドレス欄413は、機器のIPアドレスを示す情報を保持する。優先度欄414は、機器の学習の優先度を示す値を保持する。
図4Aの機器情報テーブル411の1行目によれば、機器IDの値が「M1」である機器について、当該機器のIPアドレスは「10.0.0.3」であり、当該機器に関する学習の優先度は「2」であることがわかる。
このように機器情報テーブル411は機器ごとに優先度を定義しているため、重要な通信を行う機器の優先度を高く設定することができる。つまり重要な通信を行う機器についてより精緻な学習を行うための優先度付けをすることができる。
次に、通信区分情報テーブル421について説明する。通信区分情報テーブル421は、監視対象システムの各通信区分を特定する情報、各通信区分に属する機器、及び当該通信区分の学習の優先度情報を保持する。具体的には、例えば、通信区分情報テーブル421は、通信区分ID欄422、優先度欄423、通信区分内機器欄424を含む。
通信区分ID欄422は、通信の区分を識別するIDを示す情報を保持する。優先度欄433は、当該通信区分に含まれる学習の優先度を示す値を保持する。通信区分内機器欄424は、当該通信区分に含まれる通信を行う機器を示す情報を保持する。
図4Bの通信区分情報テーブル421の1行目によれば、通信区分IDの値が「S1」である通信区分について、当該通信区分に関する学習の優先度は「2」であり、当該通信区分に属する機器、機器IDが「M1,M2,…,M5」の機器である。
このように通信区分情報テーブル421は通信区分ごとに優先度を定義しているため、重要な通信を行う機器のセグメントの優先度を高く設定することができる。つまり重要な通信を行うセグメントについてより精緻な学習を行うための優先度付けをすることができる。
次に、業務通信関連情報テーブル431について説明する。業務通信関連情報テーブル431は、監視対象システムの各業務を特定する情報、当該業務に関する各種情報、及び当該業務の学習の優先度に関する情報を保持する。具体的には、例えば、業務通信関連情報テーブル431は業務ID欄432、優先度欄433、データサイズ欄434、頻度欄435、通信時間帯欄436、通信時間欄437、及び関連機器欄438を含む。
業務ID欄432は、監視対象システムに含まれる機器が実行する業務を識別するIDを示す情報を保持する。優先度欄433は、業務の学習の優先度を示す値を保持する。データサイズ欄434は、業務の通信におけるデータサイズを示す情報を保持する。頻度欄435は、業務の通信の発生頻度を示す情報を保持する。
通信時間帯欄436は、業務の通信が行われる時間帯を示す情報を保持する。通信時間欄437は、業務の通信が行われた時間の長さを示す情報を保持する。関連機器欄438は、業務の通信に関連する機器を示す情報を保持する。
図4Cの業務通信関連情報テーブル431の1行目によれば、業務IDの値が「G1」である業務について、以下のことがわかる。業務IDの値が「G1」である業務について、当該業務の学習優先度は「4」であり、当該業務においてやり取りされる単位時間あたりの通信のデータサイズの合計は最小で「1KB」、最大で「2KB」である。また、業務IDの値が「G1」である業務について、当該業務に関する単位時間あたりの通信頻度は「10回/秒」であることが分かる。
また、業務IDの値が「G1」である業務の通信時間帯は、当該業務に関する通信の観測が開始できた時刻である「9:00」から、24時間以内の単位において観測が終了した最長の時刻である「11:00」までが最長の通信時間帯である。
また、業務IDの値が「G1」である業務の通信時間は、24時間以内の単位において当該業務に関する通信を観測した通信のセッション時間の平均値が「3分」である。また、業務IDの値が「G1」である業務の関連機器は、機器IDが「M1,M3,…,M7」の機器である。
このように業務通信関連情報テーブル431は業務ごとに優先度を定義しているため、重要な通信を行う業務のセグメントの優先度を高く設定することができる。つまり重要な通信を行う業務についてより精緻な学習を行うための優先度付けをすることができる。
図5Aは、参照情報優先度ポリシーテーブルの一例である。図5Bは、通信頻度優先度ポリシーテーブルの一例である。図5Cは、通信組合せ相関優先度ポリシーテーブルの一例である。参照情報優先度ポリシーテーブル511、通信頻度優先度ポリシーテーブル521、及び通信組合せ相関優先度ポリシーテーブル531は、いずれも優先度付けポリシーDB106に格納されている。
まず、参照情報優先度ポリシーテーブル511について説明する。参照情報優先度ポリシーテーブル511は、監視対象システムの通信情報を学習する際にどの参照情報を優先するかに関する情報を保持する。
具体的には、例えば、参照情報優先度ポリシーテーブル511は、優先度フラグ欄512、及び参照情報欄513を含む。例えば「システム特性情報」と「統計解析情報」の優先度フラグが同じ値であれば、学習対象優先度付け機能102は、両者の情報、即ち「統計解析情報」である統計解析情報DB104が保持する優先度情報、及び「システム特性情報」であるシステム特性情報DB105が保持する優先度情報を参照して優先度を計算する。
また、優先度フラグの値が異なる場合、学習対象優先度付け機能102は、優先度フラグが大きい値の情報のみを参照して、優先度を計算してもよいし、優先度フラグの値を重みとして重みづけして優先度を算出してもよい。
このように、参照情報優先度ポリシーテーブル511において、システム特性情報と統計解析情報それぞれについて優先度フラグを設定可能である。これにより、学習モデルの生成において、監視対象システムの所定のシステム情報を重視するか、監視対象システム内の通信の情報のどちらかを重視するかを、ユーザが自由に決定することができる。
次に、通信頻度優先度ポリシーテーブル521について説明する。通信頻度優先度ポリシーテーブル521は、監視対象システムの通信情報を学習する際にどの程度の通信頻度の通信情報を優先するかに関する情報を保持する。具体的には、例えば、通信頻度優先度ポリシーテーブル521は通信頻度欄522、及び優先度欄523を含む。
図5Bの通信頻度優先度ポリシーテーブル521の1行目によれば、通信頻度が「500回/秒 以上」である通信の優先度は「8」である。
通信頻度優先度ポリシーテーブル521が、通信頻度の区分ごとに優先度を定義していることにより、例えば、通信頻度が高い通信を重要通信として、優先度を高く設定することができる。
次に、通信組合せ相関優先度ポリシーテーブル531について説明する。通信組合せ相関優先度ポリシーテーブル531は、監視対象システムの通信情報を学習する際にどの程度の相関を持つ通信組合せを優先するかに関する情報を保持する。具体的には、例えば、通信組合せ相関優先度ポリシーテーブル531は、相関度合い欄532、及び優先度欄533を有する。
例えば、図3Bの通信組合せ相関情報テーブル321の1行目によれば、通信組合せ「T1-T2」の相関度合いの値が「0.85」であることから、図5Cの通信組合せ相関優先度ポリシーテーブル531によれば、相関度合い値が「0.85以上」である通信組合せに関する通信の学習優先度が「7」であることが分かる。
通信組合せ相関優先度ポリシーテーブル531が、通信間の相関度合いの区分ごとに優先度を定義していることにより、例えば、相関度合いが高い通信を重要通信として、優先度を高く設定することができる。
図6は、本実施例のネットワークセキュリティ装置101による全体の処理の一例を示すフローチャートである。まず、通信情報統計解析機能103は、監視対象システムのネットワークを流れる通信情報(例えばパケットのヘッダ)を取得して統計解析し、統計解析した結果を統計解析情報DB104へ書き込む(S601)。
具体的には、通信情報統計解析機能103は、所定期間、監視対象システムの通信情報を統計解析し、通信統計解析情報テーブル311及び通信組合せ相関情報テーブル321の各セルに書き込む。
つまり、通信情報統計解析機能103は、通信情報が示す通信に通信IDを付与する。また、通信情報統計解析機能103は、通信情報から通信プロトコル、通信元、通信先、データサイズ、及び通信時間帯を取得して、通信統計解析情報テーブル311に書き込む。また、通信情報統計解析機能103は、監視対象システムにおける各通信の通信頻度と通信時間を算出して通信組合せ相関情報テーブル321に書き込む。
また、通信情報統計解析機能103は、監視対象システムにおける通信の組み合わせ全てについて、相関度合いと組合せの通信頻度とを算出して、通信組合せ相関情報テーブル321に書き込む。通信組合せを構成するX通信とY通信の双方が発生したタイムスロットにおけるX通信の通信数の合計と、Y通信の双方が発生したタイムスロットにおけるX通信の通信数の合計と、の相関係数は、相関度合いの一例である。
なお、通信情報統計解析機能103は、上述のように全ての通信組み合わせの相関度合い及び組合せの通信頻度を通信組合せ相関情報テーブル321に格納してもよいし、相関度合いが所定値以上である通信組み合わせについてのみ相関度合い及び組合せの通信頻度を通信組合せ相関情報テーブル321に格納してもよいし、ユーザ等によって予め選択された通信組み合わせについてのみ相関度合い及び組合せの通信頻度を通信組合せ相関情報テーブル321に格納してもよい。
次に、学習対象優先度付け機能102は、システム特性情報DB105を参照して、システム特性情報の有無を確認する(S602)。学習対象優先度付け機能102は、システム特性情報があると判定した場合(S602:Yes)、優先度ポリシーと通信統計解析情報とシステム特性情報を基に学習対象の優先度付け処理を行う(S603)。
具体的には、例えば、図5Aの参照情報優先度ポリシーテーブル511の例では、参照情報が「システム特性情報」であっても、「統計解析情報」であっても、優先度フラグとして値「1」が設定されているため、学習対象優先度付け機能102「システム特性情報」及び「統計解析情報」の双方に基づいて優先度付け処理を行う。以下では、ある単位時間あたりの各通信組合せについて、一例として通信組合せ「T1-T2」が、どのように優先度付けされるかについて説明する。
まず、学習対象優先度付け機能102は、通信組合せ「T1-T2」を、通信ID「T1」と「T2」に分解する。学習対象優先度付け機能102は、統計解析情報DB104の通信統計解析情報テーブル311を参照して「統計解析情報」を取得する。
通信統計解析情報テーブル311によれば、通信ID「T1」の通信は、通信プロトコルが「TCP」、通信元のIPとポートがそれぞれ「10.0.0.1」と「15005」、通信先のIPとポートがそれぞれ「10.0.0.3」と「30000」である。
さらに、通信ID「T1」の通信は、データサイズの合計と平均がそれぞれ「1MB」と「15KB」、通信頻度が「600回/秒」、通信時間帯の開始と終了がそれぞれ「9:00」から「15:00」で、通信時間の平均時間は「3秒」である。
学習対象優先度付け機能102は、これらの参照した情報をもとに、通信ID「T1」について、システム特性情報DB105の機器情報テーブル411を参照して、「システム特性情報」を取得する。図4Aの機器情報テーブル411によれば、通信元IP、通信先IPがそれぞれ「10.0.0.1」、「10.0.0.3」であるため、機器は「M1」と「M2」であり、それぞれ優先度が「2」と「3」であり、優先度の合計は「5」である。
次に、学習対象優先度付け機能102は、通信区分情報テーブル421を参照して、通信区分内機器欄424から、特定した通信ID「T1」に関連する機器ID「M1」及び「M2」(機器ID「M1」及び「M2」の少なくとも一方、としてもよい)が通信区分内機器に含まれる通信区分を検索する。図4Bの例では、通信区分IDが「S1」に機器ID「M1」及び「M2」が含まれ、「S1」の優先度が「2」であることがわかる。
なお、複数の通信区分が検索結果として出現した場合には、学習対象優先度付け機能102は、例えば、当該複数の通信区分の優先度の合計を算出する。また、検索結果として該当する通信区分がない場合には、例えば、通信区分の優先度としてデフォルトの優先度(例えば「0」)を用いる。
次に、学習対象優先度付け機能102は、業務通信関連情報テーブル431を参照して、関連機器欄438から、特定した通信ID「T1」に関連する機器ID「M1」及び「M2」の少なくとも一方(機器ID「M1」及び「M2」の両方とも、としてもよい)が含まれる関連機器を検索する。図4Cの例では、業務IDが「G1」の関連機器に機器ID「M1」が含まれ、業務IDが「G2」の関連機器に機器ID「M2」が含まれる。これらの業務IDに対応する優先度はそれぞれ「4」と「2」であり、優先度の合計は「6」である。
なお、例えば、業務IDを一意に特定できる情報がある場合には、当該業務IDに対応する優先度が一意に定まるが、上述した例では複数の業務IDが特定されたため、当該複数の優先度の合計値が算出されている。
以上から、システム特性情報DB105を用いて通信ID「T1」の優先度付けしたときの優先度の値は、機器情報テーブル411から算出された「5」と、通信区分情報テーブル421から算出された「2」と、業務通信関連情報テーブル431から算出された「6」と、の合計値「13」である。学習対象優先度付け機能102は、通信ID「T2」についても同様の方法で優先度を計算し、その優先度の値は「10」である。
続いて、学習対象優先度付け機能102は、通信組合せ「T1-T2」について、統計解析情報DB104の通信統計解析情報テーブル311と通信組合せ相関情報テーブル321を参照して、優先度の値を計算する。
まず、学習対象優先度付け機能102は、通信ID「T1」及び「T2」それぞれについて、通信統計解析情報テーブル311の通信頻度欄317の値を参照する。通信ID「T1」及び「T2」の通信頻度は、それぞれ「600回/秒」と「500回/秒」である。
また、学習対象優先度付け機能102は、通信組合せ相関情報テーブル321を参照して、通信組合せ「T1-T2」の相関度合いが「0.85」、通信頻度が「450回/秒」であることがわかる。
学習対象優先度付け機能102は、これらの値を優先度付けポリシーDB106の通信頻度優先度ポリシーテーブル521と突き合せ、通信頻度が「600回/秒」である通信ID「T1」の優先度が「8」であり、通信頻度が「500回/秒」である通信ID「T2」の優先度「5」であり、通信頻度が「450/秒である」通信組合せID「T1-T2」の優先度が「5」あることがわかる。従って、学習対象優先度付け機能102は、通信組合せ「T1-T2」の優先度として、これらの合計値である「18」を算出する。
次に、通信組合せ「T1-T2」の相関度合いは0.85であるため、学習対象優先度付け機能102は、通信組合せ相関優先度ポリシーテーブル531を参照すると、通信組合せ「T1-T2」の優先度の値が「7」であることがわかる。
以上により、通信組合せ「T1-T2」について、システム特性情報から算出された通信ID「T1」の優先度が「13」であり、システム特性情報から算出された通信ID「T2」の優先度が「10」であり、通信組合せ「T1-T2」の通信頻度から算出された優先度が「18」であり、通信組合せ「T1-T2」の相関度合いから算出された優先度が「7」である。学習対象優先度付け機能102は、通信組合せ「T1-T2」の最終的な優先度を、その合計値である「48」として算出する。
学習対象優先度付け機能102は、他の通信組合せについても同様の方法で最終的な優先度を計算し、優先度の値が高い順に学習対象の通信組合せに決定する。なおこのとき、優先度の値の上位いくつまでを学習対象とするかについては、当該学習システムのマシンスペックや、学習に要する希望期間に応じて自動的に調整可能であってもよいし、ユーザによって調整可能であってもよい。
また、ステップS602において、学習対象優先度付け機能102は、システム特性情報がないと判定した場合(S602:No)、優先度ポリシーと通信統計解析情報を基に学習対象の優先度付け処理を行う(S604)。
つまり、ステップS604の処理は、通信組合せの通信頻度に基づく優先度と、通信組合せの相関度合いに基づく優先度と、から優先度付け処理を行う。通信組合せの通信頻度に基づく優先度と、通信組合せの相関度合いに基づく優先度の算出方法は、ステップSS603で説明された算出方法と同様である。なお、ステップS604で優先度の合計値を算出している処理があるが、合計値の代わりに平均値等の別の統計量を算出してもよい。
ステップS604の処理によって、ネットワークセキュリティ装置101は、監視対象システムの機器情報が不明であっても、学習対象の優先度を算出することができる。
次に、学習装置107は、統計解析情報DB104の情報と、ステップS603又はステップS604のいずれかで生成された優先度付け情報と、に基づいて、監視対象システムの通常時のネットワーク通信を学習して学習情報を生成する(ステップ605)。
具体的には、例えば、学習装置107は、ステップS604で算出された最終的な優先度が所定値以上の通信についてのみ学習を行ってもよいし、当該優先度が高い順に所定数の通信についてのみ学習を行ってもよい。また、学習に要する処理負荷が通信ごとに予め定められていてもよく、優先度が高い順に学習対象の通信を、学習に要する処理負荷が所定の閾値を超えるまで選択して、当該選択した学習対象の通信についてのみ学習を行ってもよい。
最後に、検知装置108は、ステップS605で生成された学習情報に基づいて、監視対象システムにおける通信の異常検知のための監視を実行する(ステップ606)。
なお、上記ステップS601~ステップS604により、監視対象システムのネットワーク通信の学習の優先度を計算し、通信情報の学習対象を優先度付けすることで、学習に要する期間を短縮することができる。
なお、上記した例ではシステム特性情報と統計解析情報を用いて優先度が算出されたが、例えば、学習に要する時間(学習に要する処理負荷の一例)をさらに用いて優先度が算出されてもよい。具体的には、例えば、監視対象システム内の通信の組合せごとに予め定められた学習時間に対して、学習時間が長いほど優先度が低くなるように定められているポリシー情報を補助記憶装置203が保持し、当該ポリシー情報の優先度が、さらに加算対象とされてもよい。
また、上記した例では、統計解析情報を必ず用いて優先度が算出されたが、ネットワークセキュリティ装置101がシステム特性情報のみを有している場合に、統計解析情報を用いることなくシステム特性情報から優先度を算出してもよい。
なお、本実施形態において、ネットワークセキュリティ装置101は、2つの通信からなる通信組合せを用いて優先度を算出していたが、3つ以上の通信からなる通信グループを用いて、優先度を算出してもよい。
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることも可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。
また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に置くことができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。
101 ネットワークセキュリティ装置、102 学習対象優先度付け機能、103 通信情報統計解析機能、104 統計解析情報DB、105 システム特性情報DB、106 優先度付けポリシーDB、201 CPU、202 メモリ、203 補助記憶装置、311 通信統計解析情報テーブル、321 通信組合せ相関情報テーブル、411 機器情報テーブル、421 通信区分情報テーブル、431 業務通信関連情報テーブル、511 参照情報優先度ポリシーテーブル、521 通信頻度優先度ポリシーテーブル、531 通信組合せ相関優先度ポリシーテーブル

Claims (9)

  1. 監視対象システム内の通信の異常を検知するためのモデルの生成時における通信の学習優先度を決定する、ネットワークセキュリティ装置であって、
    プロセッサとメモリとを有し、
    前記メモリは、
    前記監視対象システム内の通信の組み合わせの統計値を示す統計情報と、
    前記監視対象システム内の通信の組み合わせの統計値に対応する優先度を示す優先度情報と、を保持し、
    前記プロセッサは、
    前記統計情報が示す統計値に対応する、前記優先度情報が示す第1優先度を取得し、
    前記第1優先度に基づいて、前記学習優先度を決定
    前記統計情報は、前記監視対象システム内の通信の組み合わせに含まれる全ての通信が同じ時間帯に発生した通信頻度を示し、
    前記優先度情報において、前記通信頻度が高いほど対応する優先度が高い、ネットワークセキュリティ装置。
  2. 請求項1に記載のネットワークセキュリティ装置であって、
    前記統計情報は、前記監視対象システム内の通信の組み合わせに含まれる全ての通信の発生の相関度合いを、さらに示し、
    前記優先度情報において、前記相関度合いが高いほど対応する優先度が高い、ネットワークセキュリティ装置。
  3. 請求項1に記載のネットワークセキュリティ装置であって、
    前記プロセッサは、
    前記学習優先度に基づいて、前記監視対象システム内の通信から学習対象の通信を決定し、
    前記決定した学習対象の通信を学習して、前記モデルを生成する、ネットワークセキュリティ装置。
  4. 監視対象システム内の通信の異常を検知するためのモデルの生成時における通信の学習優先度を決定する、ネットワークセキュリティ装置であって、
    プロセッサとメモリとを有し、
    前記メモリは、
    前記監視対象システム内の通信の組み合わせの統計値を示す統計情報と、
    前記監視対象システム内の通信の組み合わせの統計値に対応する優先度を示す優先度情報と、を保持し、
    前記プロセッサは、
    前記統計情報が示す統計値に対応する、前記優先度情報が示す第1優先度を取得し、
    前記第1優先度に基づいて、前記学習優先度を決定し、
    前記メモリは、前記監視対象システムのシステム特性と、前記システム特性の値に対応する優先度と、を示すシステム特性情報を保持し
    前記プロセッサは、
    前記システム特性情報が示すシステム特性の値に対応する第2優先度を取得し、
    前記第1優先度及び前記第2優先度に基づいて、前記学習優先度を決定する、ネットワークセキュリティ装置。
  5. 請求項4に記載のネットワークセキュリティ装置であって、
    前記システム特性情報が示すシステム特性は、前記監視対象システムを構成する機器の識別子を含む、ネットワークセキュリティ装置。
  6. 請求項4に記載のネットワークセキュリティ装置であって、
    前記システム特性情報が示すシステム特性は、前記監視対象システム内の通信のうち同一の通信区分に含まれる通信を行う機器を含む、ネットワークセキュリティ装置。
  7. 請求項4に記載のネットワークセキュリティ装置であって、
    前記システム特性情報が示すシステム特性は、前記監視対象システム内の通信のうち、業務通信に該当する通信を行う機器を含む、ネットワークセキュリティ装置。
  8. 監視対象システム内の通信の異常を検知するためのモデルの生成時における通信の学習優先度を決定する、ネットワークセキュリティ装置であって、
    プロセッサとメモリとを有し、
    前記メモリは、
    前記監視対象システム内の通信の組み合わせの統計値を示す統計情報と、
    前記監視対象システム内の通信の組み合わせの統計値に対応する優先度を示す優先度情報と、を保持し、
    前記プロセッサは、
    前記統計情報が示す統計値に対応する、前記優先度情報が示す第1優先度を取得し、
    前記第1優先度に基づいて、前記学習優先度を決定し、
    前記学習優先度に基づいて、前記監視対象システム内の通信から学習対象の通信を決定し、
    前記決定した学習対象の通信を学習して、前記モデルを生成し、
    前記メモリは、前記監視対象システム内の通信ごとの学習に要する処理負荷を示す処理負荷情報を保持し、
    前記優先度情報において、前記処理負荷が高いほど対応する優先度が低い、ネットワークセキュリティ装置。
  9. ネットワークセキュリティ装置が、監視対象システム内の通信の異常を検知するためのモデルの生成時における通信の学習優先度を決定する、方法であって、
    前記ネットワークセキュリティ装置は、プロセッサとメモリとを有し、
    前記メモリは、
    前記監視対象システム内の通信の組み合わせの統計値を示す統計情報と、
    前記監視対象システム内の通信の組み合わせの統計値に対応する優先度を示す優先度情報と、を保持し、
    前記方法は、
    前記プロセッサが、前記統計情報が示す統計値に対応する、前記優先度情報が示す第1優先度を取得し、
    前記プロセッサが前記第1優先度に基づいて、前記学習優先度を決定し、
    前記統計情報は、前記監視対象システム内の通信の組み合わせに含まれる全ての通信が同じ時間帯に発生した通信頻度を示し、
    前記優先度情報において、前記通信頻度が高いほど対応する優先度が高い、方法。
JP2019162869A 2019-09-06 2019-09-06 ネットワークセキュリティ装置及び学習優先度決定方法 Active JP7319872B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019162869A JP7319872B2 (ja) 2019-09-06 2019-09-06 ネットワークセキュリティ装置及び学習優先度決定方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019162869A JP7319872B2 (ja) 2019-09-06 2019-09-06 ネットワークセキュリティ装置及び学習優先度決定方法

Publications (2)

Publication Number Publication Date
JP2021044608A JP2021044608A (ja) 2021-03-18
JP7319872B2 true JP7319872B2 (ja) 2023-08-02

Family

ID=74861763

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019162869A Active JP7319872B2 (ja) 2019-09-06 2019-09-06 ネットワークセキュリティ装置及び学習優先度決定方法

Country Status (1)

Country Link
JP (1) JP7319872B2 (ja)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015194604A1 (ja) 2014-06-18 2015-12-23 日本電信電話株式会社 ネットワークシステム、制御装置、通信装置、通信制御方法および通信制御プログラム
US20160028762A1 (en) 2014-07-23 2016-01-28 Cisco Technology, Inc. Distributed supervised architecture for traffic segregation under attack
JP2018101926A (ja) 2016-12-21 2018-06-28 アラクサラネットワークス株式会社 ネットワーク装置および異常検知システム
JP2019029961A (ja) 2017-08-03 2019-02-21 住友電気工業株式会社 検知装置、検知方法および検知プログラム
JP2021027472A (ja) 2019-08-06 2021-02-22 株式会社日立製作所 通信監視装置及び通信監視方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015194604A1 (ja) 2014-06-18 2015-12-23 日本電信電話株式会社 ネットワークシステム、制御装置、通信装置、通信制御方法および通信制御プログラム
US20160028762A1 (en) 2014-07-23 2016-01-28 Cisco Technology, Inc. Distributed supervised architecture for traffic segregation under attack
JP2018101926A (ja) 2016-12-21 2018-06-28 アラクサラネットワークス株式会社 ネットワーク装置および異常検知システム
JP2019029961A (ja) 2017-08-03 2019-02-21 住友電気工業株式会社 検知装置、検知方法および検知プログラム
JP2021027472A (ja) 2019-08-06 2021-02-22 株式会社日立製作所 通信監視装置及び通信監視方法

Also Published As

Publication number Publication date
JP2021044608A (ja) 2021-03-18

Similar Documents

Publication Publication Date Title
US10659498B2 (en) Systems and methods for security configuration
Mahmood et al. Intrusion detection system based on K-star classifier and feature set reduction
JP6656211B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
JP7369706B2 (ja) 自動データベースクエリ負荷評価および適応処理
US11888867B2 (en) Priority based deep packet inspection
US11507484B2 (en) Ethod and computer storage node of shared storage system for abnormal behavior detection/analysis
US11385996B1 (en) Monitoring execution of software using online path signatures
WO2022231770A1 (en) Automatic triaging of diagnostics failures
CN111183620B (zh) 入侵调查
JP2021027505A (ja) 監視装置、監視方法、および監視プログラム
US12111912B2 (en) Malicious database request identification
JP7378089B2 (ja) 不正通信検知装置、不正通信検知方法及び製造システム
JP6060969B2 (ja) イベント相関検出システム
US11775654B2 (en) Anomaly detection with impact assessment
JP7319872B2 (ja) ネットワークセキュリティ装置及び学習優先度決定方法
KR20200073824A (ko) 악성코드 프로파일링 방법 및 그 장치
EP4333377A1 (en) Analysis device, analysis method, and analysis program
US20210092159A1 (en) System for the prioritization and dynamic presentation of digital content
JP7409866B2 (ja) 通信監視装置及び通信監視方法
JP7146023B1 (ja) 匿名化装置、分析システム、匿名化方法及び匿名化プログラム
JP7302668B2 (ja) レベル推定装置、レベル推定方法、および、レベル推定プログラム
JP7152657B2 (ja) 監視装置、監視方法及び監視プログラム
US11843626B2 (en) Connected component-based collaborative filtering in recommendation intrusion detection systems
US20240054213A1 (en) Attack information generation apparatus, control method, and non-transitory computer readable medium
JP2024537345A (ja) バックドア検知装置、バックドア検知方法、およびバックドア検知プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220308

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20221215

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230131

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230316

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230704

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230721

R150 Certificate of patent or registration of utility model

Ref document number: 7319872

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150