WO2019230739A1 - 異常検出装置、異常検出方法および異常検出プログラム - Google Patents
異常検出装置、異常検出方法および異常検出プログラム Download PDFInfo
- Publication number
- WO2019230739A1 WO2019230739A1 PCT/JP2019/021163 JP2019021163W WO2019230739A1 WO 2019230739 A1 WO2019230739 A1 WO 2019230739A1 JP 2019021163 W JP2019021163 W JP 2019021163W WO 2019230739 A1 WO2019230739 A1 WO 2019230739A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- communication
- communication device
- abnormality detection
- mac address
- source mac
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/062—Generation of reports related to network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/065—Generation of reports related to network devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Pure & Applied Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Algebra (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
以下の実施の形態では、第一の実施の形態に係る異常検出システムの構成、異常検出装置の構成、異常検出装置における処理の流れを順に説明し、最後に第一の実施の形態による効果を説明する。
まず、図1を用いて、第一の実施の形態に係る異常検出システム100について説明する。図1は、第一の実施の形態に係る異常検出システムの構成の一例を示す図である。第一の実施の形態に係る異常検出システム100は、例えば、図1に示すように、複数の通信機器10A~10Iと、複数のゲートウェイ装置20A、20Bと、異常検出装置30と、サーバ40と、複数のレイヤ2スイッチ50A~50Eと、複数のルータ60A、60Bとを備える。
次に、図3を用いて、図1に示した異常検出装置30の構成を説明する。図3は、第一の実施の形態に係る異常検出装置の構成例を示すブロック図である。図3に示すように、この異常検出装置30は、学習部311、異常検出部312、取得部313、算出部314、判定部315、計数部316、入力部317、表示部318、保存データ検索部319、通信部320、OS321、学習データ保存部322、通信特徴量保存部323、リスト保存部324および構成情報保存部325を備える。以下に異常検出装置30が有する各部の処理を説明する。
次に、図8~図10を用いて、第一の実施の形態に係る異常検出装置30の処理の流れを説明する。図8および図9は、第一の実施の形態に係る異常検出装置による接続処理を説明するフローチャートである。図10は、第一の実施の形態に係る異常検出装置による切断交換判定処理を説明するフローチャートである。
このように、第一の実施の形態に係る異常検出装置30は、各通信機器10の通信特徴量を取得し、通信特徴量に含まれる送信元MACアドレスごとに、当該通信機器10と接続するレイヤ2スイッチ50単位の発着パケット数の合計値またはバイト数の合計値を算出し、各送信元MACアドレスについて、発着パケット数の合計値またはバイト数の合計値が最も多いレイヤ2スイッチ50に、送信元MACアドレスに対応する通信機器10が接続されたものとして判定する。このため、通信機器10の接続状況を適切かつ容易に把握することが可能である。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、上記の実施形態で述べた異常検出装置30の機能を実現するプログラムを所望の情報処理装置(コンピュータ)にインストールすることによって実装できる。例えば、パッケージソフトウェアやオンラインソフトウェアとして提供される上記のプログラムを情報処理装置に実行させることにより、情報処理装置を異常検出装置30として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータ、ラック搭載型のサーバコンピュータ等が含まれる。また、その他にも、情報処理装置にはゲートウェイ装置、スマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistants)等がその範疇に含まれる。また、異常検出装置30を、クラウドサーバに実装してもよい。
20A、20B ゲートウェイ装置
30 異常検出装置
40 サーバ
50A~50C レイヤ2スイッチ
60A、60B ルータ
100 異常検出システム
311 学習部
312 異常検出部
313 取得部
314 算出部
315 判定部
316 計数部
317 入力部
318 表示部
319 保存データ検索部
320 通信部
321 OS
322 学習データ保存部
323 通信特徴量保存部
324 リスト保存部
325 構成情報保存部
Claims (7)
- 各通信機器の通信特徴量を取得する取得部と、
前記取得部によって取得された通信特徴量に含まれる送信元MACアドレスごとに、当該通信機器と接続するレイヤ2スイッチ単位の発着パケット数の合計値またはバイト数の合計値を算出する算出部と、
各送信元MACアドレスについて、前記算出部によって算出された発着パケット数の合計値またはバイト数の合計値が最も多いレイヤ2スイッチに、前記送信元MACアドレスに対応する通信機器が接続されたものとして判定する判定部と
を備えることを特徴とする異常検出装置。 - 前記取得部によって取得された通信特徴量に存在しないが、前記通信機器の接続状態に関する情報を含む構成情報に存在する送信元MACアドレスがある場合には、当該送信元MACアドレスについて、未通信時間を計数する計数部をさらに備え、
前記判定部は、前記計数部によって計数された未通信時間が所定時間を経過した場合には、前記通信機器は通信の接続断があったと判定することを特徴とする請求項1に記載の異常検出装置。 - 前記判定部は、通信が発生していないと判定した通信機器に接続されていたレイヤ2スイッチにおいて、前記計数部によって計数された未通信時間が所定時間を経過する前に、新規に接続された通信機器があり、通信が発生していないと判定した通信機器の数と新規に接続された通信機器の数とが一致する場合には、通信機器が交換されたと判定することを特徴とする請求項2に記載の異常検出装置。
- 前記判定部は、判定結果に応じて、前記通信機器の接続状態に関する情報を含む構成情報を更新することを特徴とする請求項1から3のいずれか一つに記載の異常検出装置。
- 前記各通信機器の正常動作時における通信特徴量に基づき、前記通信機器の異常を検出する異常検出部と、
前記異常検出部によって前記通信機器の異常を検出した場合には、当該通信機器が接続するレイヤ2スイッチに対応するネットワークを、前記異常を検出した通信機器が属するネットワークとして表示する表示部とをさらに備えることを特徴とする請求項1から4のいずれか一つに記載の異常検出装置。 - 異常検出装置によって実行される異常検出方法であって、
各通信機器の通信特徴量を取得する取得工程と、
前記取得工程によって取得された通信特徴量に含まれる送信元MACアドレスごとに、当該通信機器と接続するレイヤ2スイッチ単位の発着パケット数の合計値またはバイト数の合計値を算出する算出工程と、
各送信元MACアドレスについて、前記算出工程によって算出された発着パケット数の合計値またはバイト数の合計値が最も多いレイヤ2スイッチに、前記送信元MACアドレスに対応する通信機器が接続されたものとして判定する判定工程と
を含んだことを特徴とする異常検出方法。 - 各通信機器の通信特徴量を取得する取得ステップと、
前記取得ステップによって取得された通信特徴量に含まれる送信元MACアドレスごとに、当該通信機器と接続するレイヤ2スイッチ単位の発着パケット数の合計値またはバイト数の合計値を算出する算出ステップと、
各送信元MACアドレスについて、前記算出ステップによって算出された発着パケット数の合計値またはバイト数の合計値が最も多いレイヤ2スイッチに、前記送信元MACアドレスに対応する通信機器が接続されたものとして判定する判定ステップと
をコンピュータに実行させることを特徴とする異常検出プログラム。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
AU2019277439A AU2019277439B2 (en) | 2018-05-30 | 2019-05-28 | Abnormality detection apparatus, abnormality detection method, and abnormality detection program |
US17/059,186 US11316770B2 (en) | 2018-05-30 | 2019-05-28 | Abnormality detection apparatus, abnormality detection method, and abnormality detection program |
CN201980035133.3A CN112204928B (zh) | 2018-05-30 | 2019-05-28 | 异常检测装置、异常检测方法及记录介质 |
EP19812367.1A EP3787240B1 (en) | 2018-05-30 | 2019-05-28 | Device for anomaly detection, method and program for anomaly detection |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018103876A JP6927155B2 (ja) | 2018-05-30 | 2018-05-30 | 異常検出装置、異常検出方法および異常検出プログラム |
JP2018-103876 | 2018-05-30 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2019230739A1 true WO2019230739A1 (ja) | 2019-12-05 |
Family
ID=68698813
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2019/021163 WO2019230739A1 (ja) | 2018-05-30 | 2019-05-28 | 異常検出装置、異常検出方法および異常検出プログラム |
Country Status (6)
Country | Link |
---|---|
US (1) | US11316770B2 (ja) |
EP (1) | EP3787240B1 (ja) |
JP (1) | JP6927155B2 (ja) |
CN (1) | CN112204928B (ja) |
AU (1) | AU2019277439B2 (ja) |
WO (1) | WO2019230739A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115378819A (zh) * | 2021-05-19 | 2022-11-22 | 横河电机株式会社 | 网络模拟器、网络模拟方法和计算机可读记录介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH08237249A (ja) | 1995-02-28 | 1996-09-13 | Oki Electric Ind Co Ltd | ネットワーク管理システム |
JP2007336512A (ja) * | 2006-05-18 | 2007-12-27 | Alaxala Networks Corp | 統計情報収集システム及び統計情報収集装置 |
US8005009B2 (en) * | 2004-06-25 | 2011-08-23 | InMon Corp. | Methods and computer programs for generating data traffic matrices |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1322722C (zh) * | 2002-10-11 | 2007-06-20 | 诺基亚公司 | 用于配置多个网络节点之间的连接的方法和网络系统 |
JP4420218B2 (ja) * | 2004-09-13 | 2010-02-24 | 日本電気株式会社 | 中継ノード設置ポイント選択方法/プログラム/記録媒体/装置、基地局、マルチホップネットワークシステム |
JP2006352831A (ja) * | 2005-05-20 | 2006-12-28 | Alaxala Networks Corp | ネットワーク制御装置およびその制御方法 |
CN100591049C (zh) * | 2007-05-11 | 2010-02-17 | 华为技术有限公司 | 网络中邻接关系的建立方法及装置 |
JP4667437B2 (ja) * | 2007-10-02 | 2011-04-13 | 日本電信電話株式会社 | 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム |
JP5264966B2 (ja) * | 2011-07-26 | 2013-08-14 | 株式会社日立製作所 | 通信装置 |
JP5718198B2 (ja) * | 2011-09-15 | 2015-05-13 | アラクサラネットワークス株式会社 | ネットワーク管理システム、及び装置 |
JP5786733B2 (ja) * | 2012-01-27 | 2015-09-30 | 富士通株式会社 | 監視装置、プログラム及び監視方法 |
JP6357793B2 (ja) * | 2014-02-17 | 2018-07-18 | 日本電気株式会社 | ネットワーク監視装置、システム、方法及びプログラム |
US10389606B2 (en) * | 2016-03-25 | 2019-08-20 | Cisco Technology, Inc. | Merging of scored records into consistent aggregated anomaly messages |
-
2018
- 2018-05-30 JP JP2018103876A patent/JP6927155B2/ja active Active
-
2019
- 2019-05-28 US US17/059,186 patent/US11316770B2/en active Active
- 2019-05-28 EP EP19812367.1A patent/EP3787240B1/en active Active
- 2019-05-28 CN CN201980035133.3A patent/CN112204928B/zh active Active
- 2019-05-28 AU AU2019277439A patent/AU2019277439B2/en active Active
- 2019-05-28 WO PCT/JP2019/021163 patent/WO2019230739A1/ja unknown
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH08237249A (ja) | 1995-02-28 | 1996-09-13 | Oki Electric Ind Co Ltd | ネットワーク管理システム |
US8005009B2 (en) * | 2004-06-25 | 2011-08-23 | InMon Corp. | Methods and computer programs for generating data traffic matrices |
JP2007336512A (ja) * | 2006-05-18 | 2007-12-27 | Alaxala Networks Corp | 統計情報収集システム及び統計情報収集装置 |
Non-Patent Citations (3)
Title |
---|
ANONYMOUS: "Ethernet Switching Protocols - Filtering Database Conformance Test Suite", THE UNIVERSITY OF NEW HAMPSHIRE INTEROPERABILITY LABORATORY(UNH-IOL, 2012 - 13 June 2016 (2016-06-13), pages 1 - 43, XP055662207 * |
ANONYMOUS: "Traffic Monitoring using sFlow", SFLOW.ORG, 2003, pages 1 - 5, XP055124220, Retrieved from the Internet <URL:https://sflow.org/sFlowOverview.pdf> [retrieved on 20190618] * |
SATOSHI SUZUKI; TOMIKO YUASA: "Mac Adress finder and layer2 switch tracer by SNMP", IPSJ SIG TECHNICAL REPORTS INTERNET AND OPERATION TECHNOLOGY, no. -83(2005-DSM-038), 5 August 2005 (2005-08-05), pages 51 - 54, XP009524438 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115378819A (zh) * | 2021-05-19 | 2022-11-22 | 横河电机株式会社 | 网络模拟器、网络模拟方法和计算机可读记录介质 |
Also Published As
Publication number | Publication date |
---|---|
JP2019208180A (ja) | 2019-12-05 |
CN112204928A (zh) | 2021-01-08 |
US11316770B2 (en) | 2022-04-26 |
AU2019277439A1 (en) | 2020-12-24 |
JP6927155B2 (ja) | 2021-08-25 |
EP3787240A1 (en) | 2021-03-03 |
CN112204928B (zh) | 2022-07-15 |
EP3787240A4 (en) | 2022-01-19 |
AU2019277439B2 (en) | 2022-06-30 |
EP3787240B1 (en) | 2024-01-03 |
US20210218659A1 (en) | 2021-07-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10673874B2 (en) | Method, apparatus, and device for detecting e-mail attack | |
US10356106B2 (en) | Detecting anomaly action within a computer network | |
WO2011010823A2 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
EP3223495B1 (en) | Detecting an anomalous activity within a computer network | |
CN111600863B (zh) | 网络入侵检测方法、装置、系统和存储介质 | |
KR20140088340A (ko) | 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법 | |
WO2016101870A1 (zh) | 网络攻击分析方法和装置 | |
CN111092900A (zh) | 服务器异常连接和扫描行为的监控方法和装置 | |
KR20160002269A (ko) | Sdn 기반의 arp 스푸핑 탐지장치 및 그 방법 | |
CN110247893B (zh) | 一种数据传输方法和sdn控制器 | |
JP6324026B2 (ja) | 通信装置、制御装置、ネットワークシステムおよびネットワーク監視制御方法 | |
WO2019230739A1 (ja) | 異常検出装置、異常検出方法および異常検出プログラム | |
CN113014602B (zh) | 一种基于最优通信路径的工业网络防御方法和系统 | |
WO2007029396A1 (ja) | 情報システム | |
CN106453367B (zh) | 一种基于sdn的防地址扫描攻击的方法及系统 | |
KR20110067871A (ko) | Ip 망에서 oam 패킷을 이용한 트래픽 감시 및 제어를 위한 네트워크 액세스 장치 및 방법 | |
JP7060800B2 (ja) | 感染拡大攻撃検知システム及び方法、並びに、プログラム | |
JP2014036408A (ja) | 通信装置、通信システム、通信方法、および、通信プログラム | |
JP6476853B2 (ja) | ネットワーク監視システム及び方法 | |
JP2009278293A (ja) | パケット送信元特定システム、パケット送信元特定方法、およびパケット送信元特定プログラム | |
US20100157806A1 (en) | Method for processing data packet load balancing and network equipment thereof | |
JP2018101926A (ja) | ネットワーク装置および異常検知システム | |
CN115543724A (zh) | 一种故障检测方法、服务器、设备及存储介质 | |
CN117375962A (zh) | 一种基于Modbus协议的工业控制系统资产及威胁识别方法 | |
CN114079575A (zh) | 一种基于随机镜像端口的分布式云防御系统及防御方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 19812367 Country of ref document: EP Kind code of ref document: A1 |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
ENP | Entry into the national phase |
Ref document number: 2019812367 Country of ref document: EP Effective date: 20201126 |
|
ENP | Entry into the national phase |
Ref document number: 2019277439 Country of ref document: AU Date of ref document: 20190528 Kind code of ref document: A |