WO2019168072A1 - トラフィック異常検知装置、トラフィック異常検知方法、及びトラフィック異常検知プログラム - Google Patents
トラフィック異常検知装置、トラフィック異常検知方法、及びトラフィック異常検知プログラム Download PDFInfo
- Publication number
- WO2019168072A1 WO2019168072A1 PCT/JP2019/007705 JP2019007705W WO2019168072A1 WO 2019168072 A1 WO2019168072 A1 WO 2019168072A1 JP 2019007705 W JP2019007705 W JP 2019007705W WO 2019168072 A1 WO2019168072 A1 WO 2019168072A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- graph
- feature
- vertex
- generated
- local
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 12
- 238000004891 communication Methods 0.000 claims abstract description 81
- 230000005856 abnormality Effects 0.000 claims description 85
- 238000001514 detection method Methods 0.000 claims description 60
- 230000002159 abnormal effect Effects 0.000 claims description 11
- 101000911753 Homo sapiens Protein FAM107B Proteins 0.000 claims description 4
- 102100026983 Protein FAM107B Human genes 0.000 claims description 4
- 238000007781 pre-processing Methods 0.000 abstract description 7
- 230000002547 anomalous effect Effects 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 9
- 238000003066 decision tree Methods 0.000 description 4
- 230000010365 information processing Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000003860 storage Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000003064 k means clustering Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
- G06F16/9024—Graphs; Linked lists
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/213—Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2413—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on distances to training or reference patterns
- G06F18/24147—Distances to closest patterns, e.g. nearest neighbour classification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Definitions
- the present invention relates to a traffic abnormality detection device, a traffic abnormality detection method, and a traffic abnormality detection program.
- Non-Patent Document 1 discloses a technique for detecting abnormalities in network traffic by detecting outliers of statistics, characterized by access to unused IP addresses and communication frequency for each terminal.
- Non-Patent Document 2 describes a technique for detecting network traffic anomalies using K-means and Id3 Decision tree algorithms, characterized by access to unused IP addresses, sequential IP addresses, and communication frequency. Is disclosed.
- the server on the attacker side may perform attacks such as scanning and exploitation at a very small amount and at a low rate in order to avoid abnormality detection.
- the possibility of detecting anomalies increases.
- even when the feature of sequential access is used it is assumed that multiple attacks occur within the detection unit time. Therefore, there is a possibility that an abnormality cannot be observed under a small amount of attacks at a low rate.
- there is a high possibility that access to an unused IP address is avoided.
- the feature of unused IP access is used, there is a disadvantage that the abnormality detection rate greatly depends on the IP utilization rate in the address space.
- the disclosed technology has been made in view of the above, and is capable of detecting an abnormality even with a small amount of attacks at a low rate, a traffic abnormality detection device, a traffic abnormality detection method, and a traffic abnormality detection program
- the purpose is to provide.
- the traffic abnormality detection device disclosed in the present application is, in one aspect, a communication composed of a pair of a communication source host identifier and a communication destination host identifier from traffic data.
- a history generation is performed, a graph generation unit that generates a communication history graph having the host identifier as a vertex and a communication between the host identifiers as an edge, and a primary adjacent vertex for a certain vertex from the generated communication history graph
- a local feature amount generation unit that generates a local graph feature amount calculated by paying attention to a graph structure up to the secondary adjacent vertex, and the generated communication history graph, the vertex is converted into a structure of the entire graph.
- a global feature generating unit that generates a global graph feature calculated by paying attention, and the generated local graph feature
- a learning unit that generates a feature vector for each host identifier using the global graph feature amount in combination, and generates a learned model for each host identifier based on the feature vector, and the generated learned model
- it has a determination unit that determines whether or not the traffic data is abnormal by inputting the graph feature quantity as an abnormality determination target as a feature vector.
- the traffic abnormality detection device extracts a communication history including a pair of a communication source host identifier and a communication destination host identifier from traffic data, A graph generation step of generating a communication history graph having a host identifier as a vertex and communication between the host identifiers as an edge, and from the generated communication history graph to a primary adjacent vertex or a secondary adjacent vertex for a certain vertex From the local feature value generation step for generating a local graph feature value that is calculated by paying attention to the graph structure and the generated communication history graph, the vertex is calculated by paying attention to the structure of the entire graph.
- a global feature generation step for generating a global graph feature, the generated local graph feature, and the generated A feature vector is generated for each of the host identifiers in combination with a global graph feature amount, and a learning process for generating a learned model for each of the host identifiers based on the feature vector, and the generated learned model
- it includes a determination step of determining whether or not the traffic data is abnormal by inputting a graph feature amount as an abnormality determination target as a feature vector.
- the traffic abnormality detection program disclosed in the present application extracts a communication history consisting of a pair of a communication source host identifier and a communication destination host identifier from traffic data, and uses the host identifier as a vertex. And a graph generation step for generating a communication history graph with communication between the host identifiers as an edge, and paying attention to a graph structure from the generated communication history graph to a primary adjacent vertex or a secondary adjacent vertex for a certain vertex.
- a local feature amount generation step for generating a local graph feature amount calculated in the above, and a global graph feature amount calculated from the generated communication history graph by focusing on the structure of the entire graph with respect to the vertex Generating a global feature, generating the generated local graph feature, and generating the generated global
- a learning step for generating a feature vector for each of the host identifiers using a rough feature amount, and generating a learned model for each of the host identifiers based on the feature vector, and an abnormality with respect to the generated learned model
- the traffic abnormality detection device, the traffic abnormality detection method, and the traffic abnormality detection program disclosed in the present application have an effect that an abnormality can be detected even for an attack at a small amount and at a low rate.
- FIG. 1 is a diagram illustrating a configuration of a traffic abnormality detection device according to the present embodiment.
- FIG. 2 is a flowchart for explaining the operation of the traffic abnormality detection device according to the present embodiment.
- FIG. 3 is a diagram illustrating an example of local and global graph feature amounts calculated in the present embodiment.
- FIG. 4 is a diagram for explaining the reason why the local feature is used in addition to the global feature in this embodiment.
- FIG. 5 is a diagram for explaining the reason why the global feature is used in addition to the local feature in this embodiment.
- FIG. 6 is a diagram illustrating that the information processing by the traffic abnormality detection program according to the present embodiment is specifically realized using a computer.
- a traffic abnormality detection device a traffic abnormality detection method, and a traffic abnormality detection program disclosed in the present application will be described in detail with reference to the drawings.
- the traffic abnormality detection device, the traffic abnormality detection method, and the traffic abnormality detection program disclosed in the present application are not limited to the following embodiments.
- FIG. 1 is a diagram illustrating a configuration of a traffic abnormality detection device 10 according to the present embodiment.
- a preprocessing unit 11 a local graph feature value generation unit 12, a global graph feature value generation unit 13, a learning unit 14, and an abnormality determination unit 15 are included.
- Each of these components is connected so that signals and data can be input and output in one direction or in both directions.
- the preprocessing unit 11 extracts a communication history including a pair of a communication source host identifier and a communication destination host identifier from the traffic data, and uses the host identifier as a vertex and communication between the host identifiers as a side. Generate a communication history graph.
- the local graph feature value generation unit 12 generates a local graph feature value that is calculated by paying attention to the graph structure up to the primary adjacent vertex or the secondary adjacent vertex for a certain vertex from the generated communication history graph. To do.
- the global graph feature value generation unit 13 generates a global graph feature value calculated by paying attention to the structure of the entire graph for the vertex from the generated communication history graph.
- the learning unit 14 generates a feature vector for each of the host identifiers by using the generated local graph feature amount and the generated global graph feature amount together, and uses the feature vector to generate the host Generate a learned model for each identifier.
- the abnormality determination unit 15 inputs the graph feature quantity of the abnormality determination target generated from the unknown communication history during the abnormality detection (test) period to the generated learned model as a feature vector. It is determined whether or not the traffic data is abnormal.
- FIG. 2 is a flowchart for explaining the operation of the traffic abnormality detection device 10 according to the present embodiment.
- the traffic abnormality detection device 10 generates a communication history graph from the traffic data by the preprocessing unit 11.
- the traffic abnormality detection device 10 causes the local graph feature value generation unit 12 to generate a local graph feature value for a certain vertex from the communication history graph.
- the traffic anomaly detection device 10 causes the global graph feature value generation unit 13 to generate a global graph feature value for the vertex from the communication history graph.
- the traffic abnormality detection device 10 uses the learning unit 14 to generate a feature vector by using the generated local graph feature value and the generated global graph feature value, for each host identifier. Generate a trained model.
- the traffic abnormality detection device 10 determines and outputs whether or not the traffic data is abnormal by inputting the graph feature amount to the generated learned model by the abnormality determination unit 15.
- an infected terminal exists in a LAN (Local Area Network), and a malicious program in the infected terminal generates communication for intrusion expansion.
- This malicious program performs port scans randomly on the IP (Internet Protocol) of the subnet to which the self-infected terminal belongs in order to find vulnerable terminals.
- the port scan by this malicious program is a slow scan executed at a low rate of 5 minutes or more.
- a subnet having a general size of / 24 is assumed. Further, it is assumed that attacks such as port scanning have not occurred in the LAN during the learning period.
- the traffic abnormality detection device 10 collects an ARP (Address Resolution Protocol) request from an arbitrary port of an arbitrary network device in a subnet in a learning period (for example, 4 weeks), and from each ARP request, an SrcIP address and a DstIP A communication history consisting of a pair with an address is extracted.
- the DstIP address indicates an IP address that is a target of MAC address resolution.
- the traffic abnormality detection device 10 divides the extracted communication history every 5 minutes, and generates a communication history graph representing a communication history between terminals in the subnet for each communication history obtained by the division. This is a normal communication history graph.
- the traffic abnormality detection device 10 copies each generated communication history graph, mixes each copied communication history graph with communication simulating scanning (corresponding to an edge on the communication graph), and Is a communication history graph at the time of abnormality.
- the traffic anomaly detection device 10 calculates local and global graph features for each vertex on the graph from the generated normal and abnormal communication history graphs, and the normal and abnormal graphs The feature value.
- the traffic anomaly detection device 10 inputs the graph feature amount at the time of normality and abnormality to the GBDT (Gradient Boosting Decision Tree) which is a decision tree-based learning model, and determines whether the communication connection relation is normal or abnormal.
- GBDT Gradient Boosting Decision Tree
- a learned model to be classified is generated for each vertex.
- the traffic abnormality detection device 10 inputs the collected communication history in real time, generates a communication history graph by dividing the communication history every 5 minutes, and generates each vertex on the graph from the generated communication history graph.
- Local and global graph features are calculated every time.
- An example of the local and global graph feature amount F calculated at this time is shown in FIG.
- the value of the local graph feature (Local Graph Feature) is calculated as 3
- the value of the feature value regarding the outward adjacent vertex is 12, and the value of the feature value regarding the inward adjacent vertex is calculated as 12. .
- the traffic abnormality detection device 10 inputs the calculated graph feature quantity into the learned model, and determines normality / abnormality of the graph feature quantity at each vertex, whereby the communication of the terminal corresponding to each vertex is normal. The determination result of whether or not is output.
- FIG. 4 is a diagram for explaining the reason why the local feature is used in addition to the global feature in this embodiment.
- the degree centrality of the feature near vertex 10 is It is possible to observe the feature that only the large vertices N2 and N3 (for example, No. 13 and No. 7) are connected. Therefore, in the abnormality detection period, when the vertex 10 is connected to the vertex N4 (for example, 0) having a low degree centrality, it can be determined that there is an abnormality.
- the traffic abnormality detection device 10 uses the local feature together to obtain the detailed feature near the specific vertex. It is possible to determine whether or not there is an abnormality after taking into consideration.
- FIG. 5 is a diagram for explaining the reason why the global feature is used in addition to the local feature in this embodiment.
- proximity centrality as an example of a global feature, for example, focusing on No. 17 corresponding to the vertex N5 surrounded by a broken line, as a feature near the vertex No. 17, from the entire communication history graph
- the characteristic of being connected to the end can be observed. Accordingly, when the vertex N5 is connected to vertices such as vertices N4 and N3 (for example, No. 0 and No. 7) in the abnormality detection period, the distance between the vertex N5 and each vertex on the graph is abruptly reduced. It can be determined that there is an abnormality.
- connection position relationship in the entire graph of the specific vertex cannot be grasped only from the local feature, but the traffic abnormality detection device 10 can use the global feature in combination in the entire graph of the specific vertex. It is possible to determine whether or not there is an abnormality in consideration of the connection position relationship.
- the traffic abnormality detection device 10 acquires network traffic data, and generates a communication history graph representing a communication history between terminals per unit time. Next, for each communication history graph, the traffic anomaly detection device 10 calculates local and global feature values for each node (vertex), and learns the feature values of both of these categories together. Generate a learning model for the node.
- the local feature amount is a feature amount calculated by paying attention to a partial structure of a graph such as a primary adjacent node and a secondary adjacent node of a certain node v.
- the degree centrality It is a feature amount.
- the global feature amount is a feature amount calculated by paying attention to the structure of the entire graph for a certain node v, and is, for example, an intermediary centrality feature amount or a proximity centrality feature amount. .
- the traffic abnormality detection device 10 calculates the graph feature amount for each node for each unit time and inputs it to the learned model sequentially, as in the learning period, thereby normalizing the network traffic data. -Perform abnormality determination.
- the traffic abnormality detection device 10 learns the connection relationship in communication of each terminal and then determines and outputs the presence or absence of abnormality in the traffic data based on the learning result. A small amount of attacks at a low rate can be detected.
- the local graph feature value generation unit 12 uses, for a certain vertex, a graph structure including up to the primary adjacent vertex of the vertex, the degree centrality of the vertex, the outward degree centrality, It is also possible to calculate a graph feature amount composed of each of the orientation degree centrality, the cluster coefficient, and the number of triangular graphs, and to make at least one of the graph feature amounts the local graph feature amount.
- the local graph feature value generation unit 12 uses a graph structure including up to the secondary adjacent vertex of the vertex for a certain vertex, and the degree centrality regarding the outward adjacent vertex of the vertex. , Outward degree centrality, and inward degree centrality, and the graph feature quantity comprising each of the degree centrality, outward degree centrality, inward degree centrality, and square cluster coefficient related to the inward adjacent vertex And at least one of the graph feature values may be the local graph feature value.
- the global graph feature value generation unit 13 uses the structure of the entire graph for a certain vertex, and uses the medial centrality, proximity centrality, clique number, Katz centrality of the vertex, Calculating a graph feature amount including each of a Pagerank score, a hub score calculated from the HITS algorithm, an authority score calculated from the HITS algorithm, and a subgraph centrality, and at least one of the graph feature amounts is It may be a graph feature value.
- FIG. 6 is a diagram illustrating that the information processing by the traffic abnormality detection program according to the present embodiment is specifically realized using the computer 100.
- the computer 100 includes, for example, a memory 101, a CPU (Central Processing Unit) 102, a hard disk drive interface 103, a disk drive interface 104, a serial port interface 105, a video adapter 106, a network, and the like. These units are connected by a bus C.
- a bus C for example, a bus C.
- the memory 101 includes a ROM (Read Only Memory) 101a and a RAM (Random Access Memory) 101b as shown in FIG.
- the ROM 101a stores a boot program such as BIOS (Basic Input Output System).
- BIOS Basic Input Output System
- the hard disk drive interface 103 is connected to the hard disk drive 108 as shown in FIG.
- the disk drive interface 104 is connected to the disk drive 109 as shown in FIG.
- a removable storage medium such as a magnetic disk or an optical disk is inserted into the disk drive 109.
- the serial port interface 105 is connected to, for example, a mouse 110 and a keyboard 111 as shown in FIG.
- the video adapter 106 is connected to a display 112, for example, as shown in FIG.
- the hard disk drive 108 includes, for example, an OS (Operating System) 108a, an application program 108b, a program module 108c, program data 108d, traffic data, a communication history graph, a local graph feature amount, Store global graph features and learned models. That is, the traffic abnormality detection program according to the disclosed technique is stored in, for example, the hard disk drive 108 as the program module 108c in which the command executed by the computer 100 is described. Specifically, the same information processing as each of the preprocessing unit 11, the local graph feature value generation unit 12, the global graph feature value generation unit 13, the learning unit 14, and the abnormality determination unit 15 described in the above embodiment is performed.
- OS Operating System
- a program module 108c describing various procedures to be executed is stored in the hard disk drive 108. Further, data used for information processing by the traffic abnormality detection program is stored as, for example, the hard disk drive 108 as program data 108d. Then, the CPU 102 reads the program module 108c and the program data 108d stored in the hard disk drive 108 to the RAM 101b as necessary, and executes the above various procedures.
- the program module 108c and the program data 108d related to the traffic abnormality detection program are not limited to being stored in the hard disk drive 108, but are stored in, for example, a removable storage medium and read by the CPU 102 via the disk drive 109 or the like. May be.
- the program module 108c and the program data 108d relating to the traffic abnormality detection program are stored in another computer connected via a network (LAN, WAN (Wide Area Network), etc.), and are executed by the CPU 102 via the network interface 107. It may be read out.
- LAN Local Area Network
- WAN Wide Area Network
- each component of the above-described traffic abnormality detection device 10 does not necessarily need to be physically configured as illustrated. That is, the specific mode of distribution / integration of each device is not limited to the illustrated one, and all or a part thereof is functionally or physically distributed in an arbitrary unit according to various loads or usage conditions. -It can also be integrated and configured.
- the local graph feature value generation unit 12 and the global graph feature value generation unit 13, or the learning unit 14 and the abnormality determination unit 15 may be integrated as one component.
- the learning unit 14 may be distributed into a part that generates a feature vector for each host identifier and a part that generates a learned model.
- the hard disk drive 108 storing the traffic data, the communication history graph, the local graph feature value, the global graph feature value, and the learned model is used as an external device of the traffic abnormality detection device 10 via a network or a cable. You may make it connect.
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Computation (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
トラフィック異常検知装置(10)は、前処理部(11)と局所的グラフ特徴量生成部(12)と大域的グラフ特徴量生成部(13)と学習部(14)と異常判定部(15)とを有する。前処理部(11)は、トラフィックデータから、通信履歴グラフを生成する。局所的グラフ特徴量生成部(12)は、上記通信履歴グラフから、ある頂点について、局所的なグラフ特徴量を生成する。大域的グラフ特徴量生成部(13)は、上記通信履歴グラフから、頂点について、大域的なグラフ特徴量を生成する。学習部(14)は、生成された局所的なグラフ特徴量と、生成された大域的なグラフ特徴量とを併用して特徴ベクトルを生成し、ホスト識別子毎の学習済みモデルを生成する。異常判定部(15)は、生成された学習済みモデルに対し、グラフ特徴量を入力することにより、トラフィックデータが異常であるか否かを判定する。
Description
本発明は、トラフィック異常検知装置、トラフィック異常検知方法、及びトラフィック異常検知プログラムに関する。
近年、インターネットの普及に伴い、ネットワークトラフィックの異常を検知する技術の重要性が一層高まりつつある。この様なネットワークトラフィックを用いた異常検知の手法として、従来、未使用のIPアドレスやシーケンシャルなIPアドレスへのアクセス等の機械的なアクセスパターン、あるいは、単位時間あたりの通信回数や通信先IP数の増加等を特徴として、統計や機械学習によって異常検知を行う手法が存在する。
例えば、非特許文献1には、未使用IPアドレスへのアクセス、端末毎の通信頻度を特徴として、統計の外れ値を検知することにより、ネットワークトラフィックの異常を検知する技術が開示されている。また、非特許文献2には、未使用IPアドレスへのアクセス、シーケンシャルなIPアドレスへのアクセス、通信頻度を特徴として、K-means及びId3 Decision treeのアルゴリズムにより、ネットワークトラフィックの異常を検知する技術が開示されている。
D.Whyte,et al:ARP-based Detection of Scanning Worms Within an Enterprise Network, Proc of annual computer security applications conference (ACSAC 2005),Tucson,AZ,59 Dec 2005
Y.Yasami,et al:A novel unsupervised classication approach for network anomaly detection by k-Means clustering and ID3 decision tree learning methods,The Journal of Supercomputing,Volume 53 Issue 1, July 2010 Pages 231-245
しかしながら、上述した従来技術では、以下の様な問題点があった。例えば、攻撃者側のサーバは、異常検知を回避するため、スキャンやエクスプロイト等の攻撃を、非常に少量かつ低レートで行うことが考えられる。この場合、単位時間あたりの通信回数や通信先IP数の増加等、通信ボリュームの変化に着目した特徴を用いると、異常検知が回避される可能性が大きくなる。また、シーケンシャルアクセスの特徴を用いた場合にも、検知単位時間内における複数回の攻撃の発生を前提とするため、少量かつ低レートでの攻撃下では、異常が観測できない可能性がある。更に、上記場合には、未使用IPアドレスへのアクセスが回避される可能性も大きくなる。また、未使用IPアクセスの特徴を用いた場合、アドレス空間内のIP利用率に、異常検知率が大きく依存してしまうという欠点も存在する。
開示の技術は、上記に鑑みてなされたものであって、少量かつ低レートでの攻撃に対しても、異常を検知することができるトラフィック異常検知装置、トラフィック異常検知方法、及びトラフィック異常検知プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するために、本願の開示するトラフィック異常検知装置は、一つの態様において、トラフィックデータから、通信元のホスト識別子と通信先のホスト識別子との組からなる通信履歴を抽出し、前記ホスト識別子を頂点とすると共に前記ホスト識別子間の通信を辺とする通信履歴グラフを生成するグラフ生成部と、生成された前記通信履歴グラフから、ある頂点について、一次隣接頂点または二次隣接頂点までのグラフ構造に着目して算出される局所的なグラフ特徴量を生成する局所特徴量生成部と、生成された前記通信履歴グラフから、前記頂点について、グラフ全体の構造に着目して算出される大域的なグラフ特徴量を生成する大域特徴量生成部と、生成された前記局所的なグラフ特徴量と、生成された前記大域的なグラフ特徴量とを併用して前記ホスト識別子毎に特徴ベクトルを生成し、該特徴ベクトルにより、前記ホスト識別子毎の学習済みモデルを生成する学習部と、生成された前記学習済みモデルに対し、異常判定対象のグラフ特徴量を特徴ベクトルとして入力することにより、前記トラフィックデータが異常であるか否かを判定する判定部とを有する。
また、本願の開示するトラフィック異常検知方法は、一つの態様において、トラフィック異常検知装置が、トラフィックデータから、通信元のホスト識別子と通信先のホスト識別子との組からなる通信履歴を抽出し、前記ホスト識別子を頂点とすると共に前記ホスト識別子間の通信を辺とする通信履歴グラフを生成するグラフ生成工程と、生成された前記通信履歴グラフから、ある頂点について、一次隣接頂点または二次隣接頂点までのグラフ構造に着目して算出される局所的なグラフ特徴量を生成する局所特徴量生成工程と、生成された前記通信履歴グラフから、前記頂点について、グラフ全体の構造に着目して算出される大域的なグラフ特徴量を生成する大域特徴量生成工程と、生成された前記局所的なグラフ特徴量と、生成された前記大域的なグラフ特徴量とを併用して前記ホスト識別子毎に特徴ベクトルを生成し、該特徴ベクトルにより、前記ホスト識別子毎の学習済みモデルを生成する学習工程と、生成された前記学習済みモデルに対し、異常判定対象のグラフ特徴量を特徴ベクトルとして入力することにより、前記トラフィックデータが異常であるか否かを判定する判定工程とを含む。
更に、本願の開示するトラフィック異常検知プログラムは、一つの態様において、トラフィックデータから、通信元のホスト識別子と通信先のホスト識別子との組からなる通信履歴を抽出し、前記ホスト識別子を頂点とすると共に前記ホスト識別子間の通信を辺とする通信履歴グラフを生成するグラフ生成ステップと、生成された前記通信履歴グラフから、ある頂点について、一次隣接頂点または二次隣接頂点までのグラフ構造に着目して算出される局所的なグラフ特徴量を生成する局所特徴量生成ステップと、生成された前記通信履歴グラフから、前記頂点について、グラフ全体の構造に着目して算出される大域的なグラフ特徴量を生成する大域特徴量生成ステップと、生成された前記局所的なグラフ特徴量と、生成された前記大域的なグラフ特徴量とを併用して前記ホスト識別子毎に特徴ベクトルを生成し、該特徴ベクトルにより、前記ホスト識別子毎の学習済みモデルを生成する学習ステップと、生成された前記学習済みモデルに対し、異常判定対象のグラフ特徴量を特徴ベクトルとして入力することにより、前記トラフィックデータが異常であるか否かを判定する判定ステップとをコンピュータに実行させる。
本願の開示するトラフィック異常検知装置、トラフィック異常検知方法、及びトラフィック異常検知プログラムは、少量かつ低レートでの攻撃に対しても、異常を検知することができるという効果を奏する。
以下に、本願の開示するトラフィック異常検知装置、トラフィック異常検知方法、及びトラフィック異常検知プログラムの実施例を、図面を参照しながら詳細に説明する。なお、以下の実施例により本願の開示するトラフィック異常検知装置、トラフィック異常検知方法、及びトラフィック異常検知プログラムが限定されるものではない。
まず、本願の開示する一実施例に係るトラフィック異常検知装置の構成を説明する。図1は、本実施例に係るトラフィック異常検知装置10の構成を示す図である。図1に示す様に、前処理部11と局所的グラフ特徴量生成部12と大域的グラフ特徴量生成部13と学習部14と異常判定部15とを有する。これら各構成部分は、一方向又は双方向に、信号やデータの入出力が可能なように接続されている。
前処理部11は、トラフィックデータから、通信元のホスト識別子と通信先のホスト識別子との組からなる通信履歴を抽出し、上記ホスト識別子を頂点とすると共に上記ホスト識別子間の通信を辺とする通信履歴グラフを生成する。局所的グラフ特徴量生成部12は、生成された上記通信履歴グラフから、ある頂点について、一次隣接頂点または二次隣接頂点までのグラフ構造に着目して算出される局所的なグラフ特徴量を生成する。大域的グラフ特徴量生成部13は、生成された上記通信履歴グラフから、上記頂点について、グラフ全体の構造に着目して算出される大域的なグラフ特徴量を生成する。学習部14は、生成された上記局所的なグラフ特徴量と、生成された上記大域的なグラフ特徴量とを併用して上記ホスト識別子毎に特徴ベクトルを生成し、該特徴ベクトルにより、上記ホスト識別子毎の学習済みモデルを生成する。異常判定部15は、生成された上記学習済みモデルに対し、異常検知(テスト)期間において未知の通信履歴から生成される、異常判定対象のグラフ特徴量を、特徴ベクトルとして入力することにより、上記トラフィックデータが異常であるか否かを判定する。
次に、本願の開示する一実施例に係るトラフィック異常検知装置10の動作を説明する。図2は、本実施例に係るトラフィック異常検知装置10の動作を説明するためのフローチャートである。
まずS1では、トラフィック異常検知装置10は、前処理部11により、トラフィックデータから、通信履歴グラフを生成する。次のS2では、トラフィック異常検知装置10は、局所的グラフ特徴量生成部12により、上記通信履歴グラフから、ある頂点について、局所的なグラフ特徴量を生成する。S3では、トラフィック異常検知装置10は、大域的グラフ特徴量生成部13により、上記通信履歴グラフから、頂点について、大域的なグラフ特徴量を生成する。S4では、トラフィック異常検知装置10は、学習部14により、生成された局所的なグラフ特徴量と、生成された大域的なグラフ特徴量とを併用して特徴ベクトルを生成し、ホスト識別子毎の学習済みモデルを生成する。S5では、トラフィック異常検知装置10は、異常判定部15により、生成された学習済みモデルに対し、グラフ特徴量を入力することにより、トラフィックデータが異常であるか否かを判定及び出力する。
次に、図3~図5を参照しながら、上述した動作の流れについて、学習期間と異常検知期間とに分けて、より具体的に説明する。
以下の説明では、次の条件を想定する。まず、攻撃に関し、LAN(Local Area Network)内に感染端末が存在し、感染端末内の悪性プログラムが、侵入拡大のための通信を発生させる。この悪性プログラムは、脆弱性のある端末を発見するため、自感染端末の所属するサブネットのIP(Internet Protocol)に対し、ランダムにポートスキャンを行う。この悪性プログラムによるポートスキャンは、5分間隔以上の低レートにより実行されるスロースキャンである。次にLAN環境に関し、/24の一般的な大きさのサブネットを想定する。また、学習期間には、LAN内に、ポートスキャン等の攻撃は発生していないものとする。
(学習期間における動作の流れ)
トラフィック異常検知装置10は、学習期間(例えば、4週間)において、サブネット内にある任意のネットワーク機器の任意のポートからARP(Address Resolution Protocol)リクエストを収集し、各ARPリクエストから、SrcIPアドレスとDstIPアドレスとの組からなる通信履歴を抽出する。ここで、DstIPアドレスは、MACアドレス解決の対象となるIPアドレスを指す。
トラフィック異常検知装置10は、学習期間(例えば、4週間)において、サブネット内にある任意のネットワーク機器の任意のポートからARP(Address Resolution Protocol)リクエストを収集し、各ARPリクエストから、SrcIPアドレスとDstIPアドレスとの組からなる通信履歴を抽出する。ここで、DstIPアドレスは、MACアドレス解決の対象となるIPアドレスを指す。
次に、トラフィック異常検知装置10は、抽出された通信履歴を5分毎に分割し、分割により得られた通信履歴毎に、サブネット内の端末間の通信履歴を表す通信履歴グラフを生成し、これを正常時の通信履歴グラフとする。
続いて、トラフィック異常検知装置10は、生成された各通信履歴グラフをコピーし、コピーした各通信履歴グラフに対し、スキャンを模擬した通信(通信グラフ上では、辺に相当)を混入させ、これを異常時の通信履歴グラフとする。
次に、トラフィック異常検知装置10は、生成された正常時及び異常時の通信履歴グラフから、グラフ上の各頂点に関する局所的及び大域的なグラフ特徴量を算出し、正常時及び異常時のグラフ特徴量とする。
そして、トラフィック異常検知装置10は、決定木ベースの学習モデルであるGBDT(Gradient Boosting Decision Tree)に対し、上記正常時及び異常時のグラフ特徴量を入力し、通信の接続関係の正常・異常を分類する学習済みモデルを、各頂点毎に生成する。
(異常検知期間における動作の流れ)
まず、トラフィック異常検知装置10は、収集される通信履歴をリアルタイムに入力し、5分毎に通信履歴を分割して通信履歴グラフを生成し、生成された通信履歴グラフから、グラフ上の各頂点毎に局所的及び大域的グラフ特徴量を算出する。このとき算出される局所的及び大域的グラフ特徴量Fの一例を図3に示す。図3に示す例では、局所的グラフ特徴量(Local Graph Feature)の値は3、外向き隣接頂点に関する特徴量の値は12、内向き隣接頂点に関する特徴量の値は12と算出されている。
まず、トラフィック異常検知装置10は、収集される通信履歴をリアルタイムに入力し、5分毎に通信履歴を分割して通信履歴グラフを生成し、生成された通信履歴グラフから、グラフ上の各頂点毎に局所的及び大域的グラフ特徴量を算出する。このとき算出される局所的及び大域的グラフ特徴量Fの一例を図3に示す。図3に示す例では、局所的グラフ特徴量(Local Graph Feature)の値は3、外向き隣接頂点に関する特徴量の値は12、内向き隣接頂点に関する特徴量の値は12と算出されている。
次に、トラフィック異常検知装置10は、算出されたグラフ特徴量を学習済みモデルに入力し、各頂点のグラフ特徴量の正常・異常を判定することにより、各頂点に対応する端末の通信が正常であるか否かの判定結果を出力する。
図4は、本実施例において、大局的特徴に併せて局所的特徴を用いる理由について説明する図である。図4に示す様に、局所的特徴の一例として隣人次数中心性を用いる場合、例えば、破線で囲んだ頂点N1に対応する10番に着目すると、頂点10番付近の特徴として、次数中心性の大きい頂点N2、N3(例えば、13番、7番)としか接続されないという特徴を観測することができる。従って、異常検知期間において、頂点10番が次数中心性の小さい頂点N4(例えば、0番)と接続されると、異常が有るものと判定することができる。この様に、特定の頂点近傍の詳細な特徴は、大域的特徴のみからは把握できないが、トラフィック異常検知装置10は、局所的特徴を併用することにより、特定の頂点近傍の詳細な特徴までを考慮した上で、異常の有無を判定することが可能となる。
図5は、本実施例において、局所的特徴に併せて大局的特徴を用いる理由について説明する図である。図5に示す様に、大域的特徴の一例として近接中心性を用いる場合、例えば、破線で囲んだ頂点N5に対応する17番に着目すると、頂点17番付近の特徴として、通信履歴グラフ全体から見て末端に接続されているという特徴を観測することができる。従って、異常検知期間において、頂点N5が、頂点N4、N3(例えば、0番、7番)等の頂点に接続されると、頂点N5とグラフ上の各頂点との距離が急激に小さくなるため、異常が有るものと判定することができる。この様に、特定の頂点のグラフ全体での接続位置関係は、局所的特徴のみからは把握できないが、トラフィック異常検知装置10は、大局的特徴を併用することにより、特定の頂点のグラフ全体での接続位置関係までを考慮した上で、異常の有無を判定することが可能となる。
上述した様に、学習期間において、トラフィック異常検知装置10は、ネットワークトラフィックデータを取得し、単位時間毎の端末間の通信履歴を表す通信履歴グラフを生成する。次に、トラフィック異常検知装置10は、各通信履歴グラフについて、ノード(頂点)毎に局所的及び大域的な特徴量を算出し、これら双方のカテゴリの特徴量を併せて学習することにより、各ノードの学習モデルを生成する。ここで、局所的な特徴量とは、あるノードvについて、vの一次隣接ノードや二次隣接ノードといったグラフの部分的な構造に着目して算出される特徴量であり、例えば、次数中心性の特徴量である。これに対し、大域的な特徴量とは、あるノードvについて、グラフ全体の構造に着目して算出される特徴量であり、例えば、媒介中心性の特徴量や近接中心性の特徴量である。
その後、異常検知期間においては、トラフィック異常検知装置10は、学習期間と同様に、単位時間毎にノード毎のグラフ特徴量を算出し、逐次学習済みモデルに入力することにより、ネットワークトラフィックデータの正常・異常判定を行う。
換言すれば、トラフィック異常検知装置10は、各端末の通信における接続関係を学習した上で、該学習の結果に基づき、トラフィックデータにおける異常の有無を判定及び出力するので、従来技術では検知が難しい少量かつ低レートでの攻撃も、検知することが可能となる。
トラフィック異常検知装置10において、局所的グラフ特徴量生成部12は、ある頂点について、上記頂点の一次隣接頂点までを含むグラフ構造を用いて、上記頂点の次数中心性、外向き次数中心性、内向き次数中心性、クラスタ係数、及び三角グラフ数の各々からなるグラフ特徴量を算出し、上記グラフ特徴量の少なくとも1つを、上記局所的なグラフ特徴量とするものとしてもよい。
また、トラフィック異常検知装置10において、局所的グラフ特徴量生成部12は、ある頂点について、上記頂点の二次隣接頂点までを含むグラフ構造を用いて、上記頂点の外向き隣接頂点に関する次数中心性、外向き次数中心性、及び内向き次数中心性、並びに、内向き隣接頂点に関する次数中心性、外向き次数中心性、及び内向き次数中心性、並びに、スクエアクラスタ係数の各々からなるグラフ特徴量を算出し、上記グラフ特徴量の少なくとも1つを、上記局所的なグラフ特徴量とするものとしてもよい。
更に、トラフィック異常検知装置10において、大域的グラフ特徴量生成部13は、ある頂点について、上記グラフ全体の構造を用いて、上記頂点の媒介中心性、近接中心性、クリーク数、Katz中心性、Pagerankスコア、HITSアルゴリズムから計算されるhubスコア、HITSアルゴリズムから計算されるauthorityスコア、及びサブグラフ中心性の各々からなるグラフ特徴量を算出し、上記グラフ特徴量の少なくとも1つを、上記大域的なグラフ特徴量とするものとしてもよい。
(トラフィック異常検知プログラム)
図6は、本実施例に係るトラフィック異常検知プログラムによる情報処理がコンピュータ100を用いて具体的に実現されることを示す図である。図6に示す様に、コンピュータ100は、例えば、メモリ101と、CPU(Central Processing Unit)102と、ハードディスクドライブインタフェース103と、ディスクドライブインタフェース104と、シリアルポートインタフェース105と、ビデオアダプタ106と、ネットワークインタフェース107とを有し、これらの各部はバスCによって接続される。
図6は、本実施例に係るトラフィック異常検知プログラムによる情報処理がコンピュータ100を用いて具体的に実現されることを示す図である。図6に示す様に、コンピュータ100は、例えば、メモリ101と、CPU(Central Processing Unit)102と、ハードディスクドライブインタフェース103と、ディスクドライブインタフェース104と、シリアルポートインタフェース105と、ビデオアダプタ106と、ネットワークインタフェース107とを有し、これらの各部はバスCによって接続される。
メモリ101は、図6に示す様に、ROM(Read Only Memory)101a及びRAM(Random Access Memory)101bを含む。ROM101aは、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース103は、図6に示す様に、ハードディスクドライブ108に接続される。ディスクドライブインタフェース104は、図6に示す様に、ディスクドライブ109に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ109に挿入される。シリアルポートインタフェース105は、図6に示す様に、例えばマウス110、キーボード111に接続される。ビデオアダプタ106は、図6に示す様に、例えばディスプレイ112に接続される。
ここで、図6に示す様に、ハードディスクドライブ108は、例えば、OS(Operating System)108a、アプリケーションプログラム108b、プログラムモジュール108c、プログラムデータ108d、トラフィックデータ、通信履歴グラフ、局所的なグラフ特徴量、大域的なグラフ特徴量、及び学習済みモデルを記憶する。すなわち、開示の技術に係るトラフィック異常検知プログラムは、コンピュータ100によって実行される指令が記述されたプログラムモジュール108cとして、例えばハードディスクドライブ108に記憶される。具体的には、上記実施例で説明した前処理部11、局所的グラフ特徴量生成部12、大域的グラフ特徴量生成部13、学習部14、異常判定部15の各々と同様の情報処理を実行する各種手順が記述されたプログラムモジュール108cが、ハードディスクドライブ108に記憶される。また、トラフィック異常検知プログラムによる情報処理に用いられるデータは、プログラムデータ108dとして、例えばハードディスクドライブ108に記憶される。そして、CPU102が、ハードディスクドライブ108に記憶されたプログラムモジュール108cやプログラムデータ108dを必要に応じてRAM101bに読み出し、上記各種手順を実行する。
なお、トラフィック異常検知プログラムに係るプログラムモジュール108cやプログラムデータ108dは、ハードディスクドライブ108に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ109等を介してCPU102によって読み出されてもよい。あるいは、トラフィック異常検知プログラムに係るプログラムモジュール108cやプログラムデータ108dは、ネットワーク(LAN、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース107を介してCPU102によって読み出されてもよい。
また、上述したトラフィック異常検知装置10の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的態様は、図示のものに限らず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することもできる。例えば、局所的グラフ特徴量生成部12と大域的グラフ特徴量生成部13、あるいは、学習部14と異常判定部15を1つの構成要素として統合してもよい。反対に、学習部14に関し、ホスト識別子毎に特徴ベクトルを生成する部分と、学習済みモデルを生成する部分とに分散してもよい。更に、トラフィックデータ、通信履歴グラフ、局所的なグラフ特徴量、大域的なグラフ特徴量、及び学習済みモデルを格納するハードディスクドライブ108を、トラフィック異常検知装置10の外部装置として、ネットワークやケーブル経由で接続する様にしてもよい。
10 トラフィック異常検知装置
11 前処理部
12 局所的グラフ特徴量生成部
13 大域的グラフ特徴量生成部
14 学習部
15 異常判定部
100 コンピュータ
101 メモリ
101a ROM
101b RAM
102 CPU
103 ハードディスクドライブインタフェース
104 ディスクドライブインタフェース
105 シリアルポートインタフェース
106 ビデオアダプタ
107 ネットワークインタフェース
108 ハードディスクドライブ
108a OS
108b アプリケーションプログラム
108c プログラムモジュール
108d プログラムデータ
109 ディスクドライブ
110 マウス
111 キーボード
112 ディスプレイ
F グラフ特徴量
N1、N2、N3、N4、N5 頂点
11 前処理部
12 局所的グラフ特徴量生成部
13 大域的グラフ特徴量生成部
14 学習部
15 異常判定部
100 コンピュータ
101 メモリ
101a ROM
101b RAM
102 CPU
103 ハードディスクドライブインタフェース
104 ディスクドライブインタフェース
105 シリアルポートインタフェース
106 ビデオアダプタ
107 ネットワークインタフェース
108 ハードディスクドライブ
108a OS
108b アプリケーションプログラム
108c プログラムモジュール
108d プログラムデータ
109 ディスクドライブ
110 マウス
111 キーボード
112 ディスプレイ
F グラフ特徴量
N1、N2、N3、N4、N5 頂点
Claims (6)
- トラフィックデータから、通信元のホスト識別子と通信先のホスト識別子との組からなる通信履歴を抽出し、前記ホスト識別子を頂点とすると共に前記ホスト識別子間の通信を辺とする通信履歴グラフを生成するグラフ生成部と、
生成された前記通信履歴グラフから、ある頂点について、一次隣接頂点または二次隣接頂点までのグラフ構造に着目して算出される局所的なグラフ特徴量を生成する局所特徴量生成部と、
生成された前記通信履歴グラフから、前記頂点について、グラフ全体の構造に着目して算出される大域的なグラフ特徴量を生成する大域特徴量生成部と、
生成された前記局所的なグラフ特徴量と、生成された前記大域的なグラフ特徴量とを併用して前記ホスト識別子毎に特徴ベクトルを生成し、該特徴ベクトルにより、前記ホスト識別子毎の学習済みモデルを生成する学習部と、
生成された前記学習済みモデルに対し、異常判定対象のグラフ特徴量を特徴ベクトルとして入力することにより、前記トラフィックデータが異常であるか否かを判定する判定部と
を有することを特徴とするトラフィック異常検知装置。 - 前記局所特徴量生成部は、ある頂点について、前記頂点の一次隣接頂点までを含むグラフ構造を用いて、前記頂点の次数中心性、外向き次数中心性、内向き次数中心性、クラスタ係数、及び三角グラフ数の各々からなるグラフ特徴量を算出し、前記グラフ特徴量の少なくとも1つを、前記局所的なグラフ特徴量とすることを特徴とする請求項1に記載のトラフィック異常検知装置。
- 前記局所特徴量生成部は、ある頂点について、前記頂点の二次隣接頂点までを含むグラフ構造を用いて、前記頂点の外向き隣接頂点に関する次数中心性、外向き次数中心性、及び内向き次数中心性、並びに、内向き隣接頂点に関する次数中心性、外向き次数中心性、及び内向き次数中心性、並びに、スクエアクラスタ係数の各々からなるグラフ特徴量を算出し、前記グラフ特徴量の少なくとも1つを、前記局所的なグラフ特徴量とすることを特徴とする請求項1に記載のトラフィック異常検知装置。
- 前記大域特徴量生成部は、ある頂点について、前記グラフ全体の構造を用いて、前記頂点の媒介中心性、近接中心性、クリーク数、Katz中心性、Pagerankスコア、HITSアルゴリズムから計算されるhubスコア、HITSアルゴリズムから計算されるauthorityスコア、及びサブグラフ中心性の各々からなるグラフ特徴量を算出し、前記グラフ特徴量の少なくとも1つを、前記大域的なグラフ特徴量とすることを特徴とする請求項1に記載のトラフィック異常検知装置。
- トラフィック異常検知装置が、
トラフィックデータから、通信元のホスト識別子と通信先のホスト識別子との組からなる通信履歴を抽出し、前記ホスト識別子を頂点とすると共に前記ホスト識別子間の通信を辺とする通信履歴グラフを生成するグラフ生成工程と、
生成された前記通信履歴グラフから、ある頂点について、一次隣接頂点または二次隣接頂点までのグラフ構造に着目して算出される局所的なグラフ特徴量を生成する局所特徴量生成工程と、
生成された前記通信履歴グラフから、前記頂点について、グラフ全体の構造に着目して算出される大域的なグラフ特徴量を生成する大域特徴量生成工程と、
生成された前記局所的なグラフ特徴量と、生成された前記大域的なグラフ特徴量とを併用して前記ホスト識別子毎に特徴ベクトルを生成し、該特徴ベクトルにより、前記ホスト識別子毎の学習済みモデルを生成する学習工程と、
生成された前記学習済みモデルに対し、異常判定対象のグラフ特徴量を特徴ベクトルとして入力することにより、前記トラフィックデータが異常であるか否かを判定する判定工程と
を含むことを特徴とするトラフィック異常検知方法。 - トラフィックデータから、通信元のホスト識別子と通信先のホスト識別子との組からなる通信履歴を抽出し、前記ホスト識別子を頂点とすると共に前記ホスト識別子間の通信を辺とする通信履歴グラフを生成するグラフ生成ステップと、
生成された前記通信履歴グラフから、ある頂点について、一次隣接頂点または二次隣接頂点までのグラフ構造に着目して算出される局所的なグラフ特徴量を生成する局所特徴量生成ステップと、
生成された前記通信履歴グラフから、前記頂点について、グラフ全体の構造に着目して算出される大域的なグラフ特徴量を生成する大域特徴量生成ステップと、
生成された前記局所的なグラフ特徴量と、生成された前記大域的なグラフ特徴量とを併用して前記ホスト識別子毎に特徴ベクトルを生成し、該特徴ベクトルにより、前記ホスト識別子毎の学習済みモデルを生成する学習ステップと、
生成された前記学習済みモデルに対し、異常判定対象のグラフ特徴量を特徴ベクトルとして入力することにより、前記トラフィックデータが異常であるか否かを判定する判定ステップと
をコンピュータに実行させるためのトラフィック異常検知プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US16/965,655 US11263266B2 (en) | 2018-02-27 | 2019-02-27 | Traffic anomaly sensing device, traffic anomaly sensing method, and traffic anomaly sensing program |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018033136A JP6795533B2 (ja) | 2018-02-27 | 2018-02-27 | トラフィック異常検知装置、トラフィック異常検知方法、及びトラフィック異常検知プログラム |
JP2018-033136 | 2018-02-27 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2019168072A1 true WO2019168072A1 (ja) | 2019-09-06 |
Family
ID=67806105
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2019/007705 WO2019168072A1 (ja) | 2018-02-27 | 2019-02-27 | トラフィック異常検知装置、トラフィック異常検知方法、及びトラフィック異常検知プログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US11263266B2 (ja) |
JP (1) | JP6795533B2 (ja) |
WO (1) | WO2019168072A1 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022239235A1 (ja) * | 2021-05-14 | 2022-11-17 | 日本電信電話株式会社 | 特徴量算出装置、特徴量算出方法および特徴量算出プログラム |
WO2022254729A1 (ja) * | 2021-06-04 | 2022-12-08 | 日本電信電話株式会社 | 解析装置、解析方法、および、解析プログラム |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11509687B2 (en) * | 2019-08-26 | 2022-11-22 | The Western Union Company | Detection of a malicious entity within a network |
CN111210634B (zh) * | 2020-02-27 | 2020-11-17 | 深圳市智慧城市科技发展集团有限公司 | 智能交通信息处理方法、装置、智能交通系统及服务器 |
CN112396513B (zh) * | 2020-11-27 | 2024-02-20 | 中国银联股份有限公司 | 一种数据处理的方法及装置 |
CN113378976B (zh) * | 2021-07-01 | 2022-06-03 | 深圳市华汉伟业科技有限公司 | 一种基于特征顶点组合的目标检测方法、可读存储介质 |
CN113709120B (zh) * | 2021-08-12 | 2023-06-23 | 重庆步客科技有限公司 | 一种用于智慧金融的网络节点安全系统 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9699205B2 (en) * | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
US20210021616A1 (en) * | 2018-03-14 | 2021-01-21 | Intelici - Cyber Defense System Ltd. | Method and system for classifying data objects based on their network footprint |
US10887337B1 (en) * | 2020-06-17 | 2021-01-05 | Confluera, Inc. | Detecting and trail-continuation for attacks through remote desktop protocol lateral movement |
-
2018
- 2018-02-27 JP JP2018033136A patent/JP6795533B2/ja active Active
-
2019
- 2019-02-27 WO PCT/JP2019/007705 patent/WO2019168072A1/ja active Application Filing
- 2019-02-27 US US16/965,655 patent/US11263266B2/en active Active
Non-Patent Citations (4)
Title |
---|
DAVID WHYTE ET AL.: "ARP-based Detection of Scanning Worms Within an Enterprise Network", PROC OF ANNUAL COMPUTER SECURITY APPLICATIONS CONFERENCE, 2005, XP002412149 * |
NAGAYAMA: "GRAPG BASED DETECTION OF ADVANCED PERSISTENT THREAR ON LAN", IEICE, 6 March 2017 (2017-03-06) * |
Y. YASAMI ET AL.: "An ARP-based Anomaly Detection Algorithm Using Hidden Markov Model in Enterprise networks", SECOND INTERNATIONAL CONFERENCE ON SYSTEMS AND NETWORKS COMMUNICATIONS (ICSNC2007, 2007, XP032250769 * |
YASSER YASAMI ET AL.: "A novel unsupervised classification approach for network anomaly detection by k-Means clustering and ID3 decision tree learning methods", THE JOURNAL OF SUPERCOMPUTING, 2010, XP055635456 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022239235A1 (ja) * | 2021-05-14 | 2022-11-17 | 日本電信電話株式会社 | 特徴量算出装置、特徴量算出方法および特徴量算出プログラム |
WO2022254729A1 (ja) * | 2021-06-04 | 2022-12-08 | 日本電信電話株式会社 | 解析装置、解析方法、および、解析プログラム |
Also Published As
Publication number | Publication date |
---|---|
US11263266B2 (en) | 2022-03-01 |
JP6795533B2 (ja) | 2020-12-02 |
JP2019149681A (ja) | 2019-09-05 |
US20210042359A1 (en) | 2021-02-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2019168072A1 (ja) | トラフィック異常検知装置、トラフィック異常検知方法、及びトラフィック異常検知プログラム | |
Rabbani et al. | A hybrid machine learning approach for malicious behaviour detection and recognition in cloud computing | |
CN112104677B (zh) | 一种基于知识图谱的受控主机检测方法和装置 | |
US11212297B2 (en) | Access classification device, access classification method, and recording medium | |
JP6557774B2 (ja) | プロセストレースを用いたグラフベースの侵入検知 | |
US11240263B2 (en) | Responding to alerts | |
JP6053568B2 (ja) | ネットワークフローデータプロファイルからのスパムメール送信ホストの検知方式とシステム | |
JP6557334B2 (ja) | アクセス分類装置、アクセス分類方法、及びアクセス分類プログラム | |
JP6904307B2 (ja) | 特定装置、特定方法及び特定プログラム | |
TW200900958A (en) | Link spam detection using smooth classification function | |
JP2019102960A (ja) | サイバー攻撃検知システム、特徴量選定システム、サイバー攻撃検知方法、及びプログラム | |
US11388196B2 (en) | System and method for analyzing relationships between clusters of electronic devices to counter cyberattacks | |
WO2023241202A1 (zh) | 一种网络资产的监管引擎 | |
Nguyen et al. | DGA botnet detection using collaborative filtering and density-based clustering | |
Daneshgadeh et al. | An empirical investigation of DDoS and Flash event detection using Shannon entropy, KOAD and SVM combined | |
Li et al. | Searching forward complete attack graph generation algorithm based on hypergraph partitioning | |
CN110598128A (zh) | 一种对抗女巫攻击的用于大规模网络的社团检测方法 | |
CN112016934B (zh) | 用于检测异常数据的方法、设备和计算机可读存储介质 | |
US20100205411A1 (en) | Handling complex regex patterns storage-efficiently using the local result processor | |
Song et al. | A comprehensive approach to detect unknown attacks via intrusion detection alerts | |
JP6683655B2 (ja) | 検知装置および検知方法 | |
Najafi et al. | NLP-based Entity Behavior Analytics for Malware Detection | |
JP7176630B2 (ja) | 検知装置、検知方法および検知プログラム | |
US20210385235A1 (en) | Security analysis assistance apparatus, security analysis assistance method, and computer-readable recording medium | |
US11985154B2 (en) | Comprehensible threat detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 19760108 Country of ref document: EP Kind code of ref document: A1 |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 19760108 Country of ref document: EP Kind code of ref document: A1 |