WO2019230739A1 - 異常検出装置、異常検出方法および異常検出プログラム - Google Patents
異常検出装置、異常検出方法および異常検出プログラム Download PDFInfo
- Publication number
- WO2019230739A1 WO2019230739A1 PCT/JP2019/021163 JP2019021163W WO2019230739A1 WO 2019230739 A1 WO2019230739 A1 WO 2019230739A1 JP 2019021163 W JP2019021163 W JP 2019021163W WO 2019230739 A1 WO2019230739 A1 WO 2019230739A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- communication
- communication device
- abnormality detection
- mac address
- source mac
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/062—Generation of reports related to network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/065—Generation of reports related to network devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Pure & Applied Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Algebra (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
異常検出装置(30)は、各通信機器(10)の通信特徴量を取得し、通信特徴量に含まれる送信元MACアドレスごとに、当該通信機器(10)と接続するレイヤ2スイッチ(50)単位の発着パケット数の合計値またはバイト数の合計値を算出し、各送信元MACアドレスについて、発着パケット数の合計値またはバイト数の合計値が最も多いレイヤ2スイッチ(50)に、送信元MACアドレスに対応する通信機器(10)が接続されたものとして判定する。さらに、異常検出装置(30)は、発着パケット数の合計値またはバイト数の合計値を用いて、接続断になったか、交換されたかを判定する。
Description
本発明は、異常検出装置、異常検出方法および異常検出プログラムに関する。
近年、IoT機器等の通信機器が接続されるネットワークにおいて、ネットワークを流れるトラフィックを監視し、不正アクセスやウイルス感染等のセキュリティ異常の検出が重要となっている。従来、ネットワークを流れるトラフィックを監視する装置が様々提案されており、例えば、ネットワークを流れる通信パケットを取得して、取得したパケットに対して、統計処理や解析を行う技術が知られている。また、解析対象のパケットが通過する機器において、パケットをミラーリングして取得し、通信特徴量を生成して、異常を検出する技術が知られている。
また、従来より、サーバとネットワークがどのようにつながっているかを管理する構成管理は、外部に監視装置を配置し、監視対象の状態に関わらず、監視装置から定周期で監視対象へポーリングし、監視対象内に配置されたエージェントが定期的にその状態を要求した上位システムへ伝達する技術が知られている。
しかしながら、従来の技術では、通信機器の接続状況を適切かつ容易に把握することが難しいという課題があった。例えば、IoT機器等の通信機器は、ネットワークの接続箇所を変更したり、故障等により別の機器に交換したりするケースが想定され、台数が多い場合は構成を適切かつ容易に把握することが困難であった。このため、通信機器がどこにつながったか、移動したか、廃棄されたか、機器が交換されたか、を自動的に識別することが難しかった。
なお、エージェントを導入して、通信機器の構成情報を管理する手法も考えられるが、IoT機器のような通信機器は、リソースが少なく、エージェントを導入することが難しかった。
上述した課題を解決し、目的を達成するために、本発明の異常検出装置は、各通信機器の通信特徴量を取得する取得部と、前記取得部によって取得された通信特徴量に含まれる送信元MACアドレスごとに、当該通信機器と接続するレイヤ2スイッチ単位の発着パケット数の合計値またはバイト数の合計値を算出する算出部と、各送信元MACアドレスについて、前記算出部によって算出された発着パケット数の合計値またはバイト数の合計値が最も多いレイヤ2スイッチに、前記送信元MACアドレスに対応する通信機器が接続されたものとして判定する判定部とを備えることを特徴とする。
また、本発明の異常検出方法は、異常検出装置によって実行される異常検出方法であって、各通信機器の通信特徴量を取得する取得工程と、前記取得工程によって取得された通信特徴量に含まれる送信元MACアドレスごとに、当該通信機器と接続するレイヤ2スイッチ単位の発着パケット数の合計値またはバイト数の合計値を算出する算出工程と、各送信元MACアドレスについて、前記算出工程によって算出された発着パケット数の合計値またはバイト数の合計値が最も多いレイヤ2スイッチに、前記送信元MACアドレスに対応する通信機器が接続されたものとして判定する判定工程とを含んだことを特徴とする。
また、本発明の異常検出プログラムは、各通信機器の通信特徴量を取得する取得ステップと、前記取得ステップによって取得された通信特徴量に含まれる送信元MACアドレスごとに、当該通信機器と接続するレイヤ2スイッチ単位の発着パケット数の合計値またはバイト数の合計値を算出する算出ステップと、各送信元MACアドレスについて、前記算出ステップによって算出された発着パケット数の合計値またはバイト数の合計値が最も多いレイヤ2スイッチに、前記送信元MACアドレスに対応する通信機器が接続されたものとして判定する判定ステップとをコンピュータに実行させることを特徴とする。
通信機器の接続状況を適切かつ容易に把握することができるという効果を奏する。
以下に、本願に係る異常検出装置、異常検出方法および異常検出プログラムの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態により本願に係る異常検出装置、異常検出方法および異常検出プログラムが限定されるものではない。
[第一の実施の形態]
以下の実施の形態では、第一の実施の形態に係る異常検出システムの構成、異常検出装置の構成、異常検出装置における処理の流れを順に説明し、最後に第一の実施の形態による効果を説明する。
以下の実施の形態では、第一の実施の形態に係る異常検出システムの構成、異常検出装置の構成、異常検出装置における処理の流れを順に説明し、最後に第一の実施の形態による効果を説明する。
[異常検出システムの構成]
まず、図1を用いて、第一の実施の形態に係る異常検出システム100について説明する。図1は、第一の実施の形態に係る異常検出システムの構成の一例を示す図である。第一の実施の形態に係る異常検出システム100は、例えば、図1に示すように、複数の通信機器10A~10Iと、複数のゲートウェイ装置20A、20Bと、異常検出装置30と、サーバ40と、複数のレイヤ2スイッチ50A~50Eと、複数のルータ60A、60Bとを備える。
まず、図1を用いて、第一の実施の形態に係る異常検出システム100について説明する。図1は、第一の実施の形態に係る異常検出システムの構成の一例を示す図である。第一の実施の形態に係る異常検出システム100は、例えば、図1に示すように、複数の通信機器10A~10Iと、複数のゲートウェイ装置20A、20Bと、異常検出装置30と、サーバ40と、複数のレイヤ2スイッチ50A~50Eと、複数のルータ60A、60Bとを備える。
また、サーバ40と複数のルータ60A、60Bは、インターネット等のネットワークにより接続される。また、異常検出装置30と複数のゲートウェイ装置20A、20Bは、監視ネットワークにより接続される。なお、通信機器10A~10I、ゲートウェイ装置20A、20Bと、レイヤ2スイッチ50A~50Eと、ルータ60A、60Bについて、特に区別なく説明する場合には、通信機器10、ゲートウェイ装置20、レイヤ2スイッチ50、ルータ60とそれぞれ記載する。
通信機器10は、異常検出システムにおける異常の検出対象となる通信装置である。例えば、通信機器10は、工場、プラント、ビル、データセンタ等の様々な環境におけるIoT機器であり、設備や機械に設置されたセンサのセンサ情報をサーバ40に通知することで、社会インフラシステムの効率化やファクトリーオートメーションを実現している。
ゲートウェイ装置20は、レイヤ2スイッチ50のミラーポートに接続し、各通信機器10のパケットデータを収集して通信特徴量や動作ログを生成して、監視ネットワークを経由して異常検出装置30に送信する装置である。ルータ60は、通信機器10をインターネット等のネットワーク経由で外部装置(例えば、サーバ40)に接続したり、異なるLANの他の通信機器10に接続したりする装置である。
異常検出装置30は、レイヤ2スイッチ50、通信機器10の正常動作時の通信特徴量や動作ログから正常動作の振る舞いを学習し、学習結果を保存し、通信特徴量から通信機器の不正アクセスやウイルス感染などの異常の検出を行なうととともに、通信特徴量を用いて通信機器10の接続状況を分析したり監視したりする。
例えば、異常検出装置30は、分析対象の通信機器10の通信特徴量や動作ログに対して、異常の度合いを示すアノマリスコアを算出し、あらかじめ設定済みの判定閾値と比較して、アノマリスコアが判定閾値より小さい場合は正常、大きい場合は異常と判定する。
また、異常検出装置30は、通信特徴量の統計処理により、異常通信の監視対象になっている通信機器10が、どのゲートウェイ装置20のどのポートに接続されているか(どのレイヤ2スイッチ50に接続されているか)を自動的に識別し、切断されたこと、再接続されたこと、別のゲートウェイ装置に接続されたことを自動的に検出し、構成を管理する。なお、ミラーポートはネットワーク上に存在する全てのレイヤ2スイッチ50に設定する構成とする。
サーバ40は、ネットワークに接続される装置であり、例えば、通信機器10の通信相手となる装置である。例えば、サーバ40は、センサ情報を通信機器10から受信する。レイヤ2スイッチ50は、通信機器10とルータ60と接続され、レイヤ2におけるパケット転送を行うとともに、通信機器10のパケットキャプチャを行い、ミラーポートによりゲートウェイ装置20に通信データを出力する。
例えば、図2に例示するように、レイヤ2スイッチ50C~50Eは、パケットキャプチャデータをゲートウェイ装置20Bに出力する。また、図2に例示するように、通信機器10Fと通信機器Gとが通信を行う場合には、レイヤ2スイッチ50Dを介して通信データの送受信が行われる。この場合には、レイヤ2スイッチ50Dは、パケットキャプチャを行い、ミラーポートによりゲートウェイ装置20Bに通信データを出力する。
また、図2に例示するように、通信機器10Gがサーバ40と通信を行う場合には、レイヤ2スイッチ50C、レイヤ2スイッチ50Dおよびルータ60Bを介して通信データの送受信が行われる。この場合には、レイヤ2スイッチ50Cおよびレイヤ2スイッチ50Dは、パケットキャプチャをそれぞれ行い、ミラーポートによりゲートウェイ装置20Bに通信データをそれぞれ出力する。
[異常検出装置の構成]
次に、図3を用いて、図1に示した異常検出装置30の構成を説明する。図3は、第一の実施の形態に係る異常検出装置の構成例を示すブロック図である。図3に示すように、この異常検出装置30は、学習部311、異常検出部312、取得部313、算出部314、判定部315、計数部316、入力部317、表示部318、保存データ検索部319、通信部320、OS321、学習データ保存部322、通信特徴量保存部323、リスト保存部324および構成情報保存部325を備える。以下に異常検出装置30が有する各部の処理を説明する。
次に、図3を用いて、図1に示した異常検出装置30の構成を説明する。図3は、第一の実施の形態に係る異常検出装置の構成例を示すブロック図である。図3に示すように、この異常検出装置30は、学習部311、異常検出部312、取得部313、算出部314、判定部315、計数部316、入力部317、表示部318、保存データ検索部319、通信部320、OS321、学習データ保存部322、通信特徴量保存部323、リスト保存部324および構成情報保存部325を備える。以下に異常検出装置30が有する各部の処理を説明する。
学習部311は、機械学習により、通信機器10の正常動作時における通信特徴量を学習する。例えば、学習部311は、通信特徴量保存部323に保存された通信機器10の通信特徴量を用いた機械学習により、通信機器10の正常動作時における通信特徴量を学習し、学習の結果として、正常動作時における通信特徴量を学習データ保存部322に格納する。
異常検出部312は、各通信機器10の正常動作時における通信特徴量に基づき、通信機器10の異常を検出する。例えば、異常検出部312は、通信特徴量保存部323から、分析対象の各通信機器10の通信特徴量を取得する。そして、異常検出部312は、取得した通信特徴量に対し、学習部311による学習結果を用いて、各通信機器10の通信特徴量に対するアノマリスコアを算出する。その後、異常検出部312は、算出したアノマリスコア値が、予め設定された判定閾値以上の場合、通信機器10に異常が発生していると判定し、予め設定された判定閾値未満の場合、通信機器10は正常に動作していると判定する。
取得部313は、各通信機器10の通信特徴量を取得する。具体的には、取得部313は、各通信機器の通信特徴量をゲートウェイ装置20から所定の時間間隔で取得し、前回の取得時から追加された通信特徴量を取得し、通信特徴量保存部323に格納するとともに、送信元MACアドレスのリストを作成する。なお、各通信機器10の通信特徴量(例えば、図4に示す各特徴量項目の値)は、ゲートウェイ装置20から通信機器10に対する発着信の通信特徴量を直接取得して、通信特徴量保存部323に保存する構成でもよいし、ゲートウェイ装置20からは通信機器10に対する所定時間あたりの発着信の通信統計データを取得して、異常検出装置30において通信特徴量に変換して、通信特徴量保存部323に保存する構成でもよい。
ここで、通信特徴量の例を図4に示す。図4は、通信特徴量の一例を示す図である。図4に例示するように、通信特徴量の項目には、送信元MACアドレス、送信先MACアドレス、5タプル情報(送信元IPアドレス、送信元ポート番号、送信先IPアドレス、送信先ポート番号、プロトコル)、上り平均パケットサイズ、上り最大パケットサイズ、上り最少パケットサイズ、上り平均フローレート、下り平均パケットサイズ、下り最大パケットサイズ、下り最少パケットサイズ、下り平均フローレートが含まれる。
算出部314は、取得部313によって取得された通信特徴量に含まれる送信元MACアドレスごとに、当該通信機器10と接続するレイヤ2スイッチ50単位の発着パケット数の合計値またはバイト数の合計値を算出する。なお、以下の説明では、算出部314は、発着パケット数の合計値およびバイト数の合計値の両方を算出するものとして説明する。
判定部315は、各送信元MACアドレスについて、算出部314によって算出された発着パケット数の合計値またはバイト数の合計値が最も多いレイヤ2スイッチ50に、送信元MACアドレスに対応する通信機器10が接続されたものとして判定する。
例えば、図2の例を用いて説明すると、算出部314は、通信機器10Gの送信元MACアドレスについて、レイヤ2スイッチ50Cの発着パケット数の合計値およびバイト数の合計値と、レイヤ2スイッチ50Dの発着パケット数の合計値およびバイト数の合計値とを算出する。図2の例の場合、通信機器10Gの通信について、レイヤ2スイッチ50Dは、通信機器10Fおよびサーバ40との通信データを転送するが、レイヤ2スイッチ50Cは、通信機器10Gの通信について、サーバ40との通信データのみを転送するため、レイヤ2スイッチ50Dの発着パケット数の合計値およびバイト数の合計値の方が、レイヤ2スイッチ50Cの発着パケット数の合計値およびバイト数の合計値よりも大きくなる。つまり、図2の例では、判定部315は、レイヤ2スイッチ50Dに、通信機器10Gが直接接続されたものとして判定することとなる。
このように、異常検出装置30は、通信機器10Gが直接接続されたレイヤ2スイッチ50Dと判定することで、通信機器10Gの観測点を識別することが可能である。つまり、異常検出装置30では、レイヤ2スイッチ50Cとレイヤ2スイッチ50Dの両方から通信機器10Gの通信データを一部重複して受け取ることになるが、通信機器10Gが直接接続されたレイヤ2スイッチ50Dと判定することで、レイヤ2スイッチ50Dからの通信機器10Gの通信データを観測すれば、通信機器10Gの通信データを漏れなく、かつ、重複せずに監視することが判明する。
また、判定部315は、後述する計数部316によって計数された未通信時間が所定時間を経過した場合には、未通信時間が所定時間を経過した送信元MACアドレスの通信機器10は通信の接続断があったと判定する。そして、判定部315は、通信が発生していないと判定した通信機器10に接続されていたレイヤ2スイッチ50において、計数部316によって計数された未通信時間が所定時間を経過する前に、新規に接続された通信機器があり、通信が発生していないと判定した通信機器の数と新規に接続された通信機器の数とが一致する場合には、通信機器が交換されたと判定する。
また、判定部315は、判定結果に応じて、通信機器10の接続状態に関する情報を含む構成情報を更新する。具体的には、判定部315は、構成情報保存部325に記憶されている構成情報を、判定結果に応じて更新する。
計数部316は、取得部313によって取得された通信特徴量に存在しないが、通信機器10の接続状態に関する情報を含む構成情報に存在する送信元MACアドレスがある場合には、当該送信元MACアドレスについて、未通信時間を計数する。
入力部317は、各保存部322~325に記憶される各種データの入力や、各保存部322~325に記憶されるデータの検索要求等を受け付ける。例えば、入力部317は、異常検出結果や構成情報等の検索要求を受け付ける。
表示部318は、各保存部322~325に記憶された各種データを表示装置(図示省略)に表示する。例えば、表示部318は、保存データ検索部319により検索された異常検出結果や構成情報を表示装置(図示省略)に表示する。また、表示部318は、異常検出部312によって通信機器10の異常を検出した場合には、当該通信機器10が接続するレイヤ2スイッチ50に対応するネットワークを、異常を検出した通信機器10が属するネットワークとして表示する。このため、ネットワークに接続された通信機器10の異常を検出することができ、通信機器10が接続されているネットワークを識別することができる。
保存データ検索部319は、各保存部322~325に記憶されたデータを検索する。例えば、保存データ検索部319は、入力部317により構成情報の検索要求を受け付けると、検索要求にマッチする構成情報を構成情報保存部325から検索する。
通信部320は、外部装置との通信インタフェースを司る。例えば、通信部320は、ゲートウェイ装置20経由で取得された各通信機器10の通信特徴量や通信統計データやパケットデータの入力を受け付ける。
OS321は、学習部311、異常検出部312、取得部313、算出部314、判定部315、計数部316、入力部317、表示部318、保存データ検索部319、通信部320、OS321、学習データ保存部322、通信特徴量保存部323、リスト保存部324および構成情報保存部325の管理、制御を行う。
学習データ保存部322は、学習部311により学習された通信機器10の通信特徴量を正常動作時における通信特徴量として保存する。通信特徴量保存部323は、各通信機器10の通信特徴量を保存する。この通信特徴量は、学習部311による学習や、異常検出部312による異常検出に用いられる。
リスト保存部324は、接続判定処理(図8、9参照)における判定対象として、新たにレイヤ2スイッチ50に接続された送信元MACアドレスを示す接続判定用リストを記憶する。例えば、接続判定用リストでは、図5に例示するように、「送信元MACアドレス」とレイヤ2スイッチ50のIDである「スイッチID」とに対応付けて、発着の「パケット数」および「バイト数」を記憶する。図5は、接続判定用リストの一例を示す図である。
また、リスト保存部324は、切断交換判定処理(図10参照)における判定対象として、取得した通信特徴量に含まれる送信元MACアドレスを示す処理用リストを記憶する。例えば、処理用リストでは、図6に例示するように、レイヤ2スイッチ50のIDである「スイッチID」と、「送信元MACアドレス」とが対応付けられて記憶されている。図6は、処理用リストの一例を示す図である。
また、リスト保存部324は、通信が発生していない通信機器10のMACアドレスである未通信MACアドレスを示す未通信MACアドレスリストを記憶する。例えば、未通信MACアドレスリストでは、送信元MACアドレスに対応付けて未通信時間を記憶する。図7は、未通信MACアドレスリストの一例を示す図である。
構成情報保存部325は、通信機器10の接続状態に関する情報を少なくとも含む構成情報を記憶する。この構成情報は、例えば、各通信機器10が直接接続するレイヤ2スイッチ50や、レイヤ2スイッチ50が属するネットワーク名等のネットワーク構成に関する種々の情報を含むものとする。
[異常検出装置の処理の流れ]
次に、図8~図10を用いて、第一の実施の形態に係る異常検出装置30の処理の流れを説明する。図8および図9は、第一の実施の形態に係る異常検出装置による接続処理を説明するフローチャートである。図10は、第一の実施の形態に係る異常検出装置による切断交換判定処理を説明するフローチャートである。
次に、図8~図10を用いて、第一の実施の形態に係る異常検出装置30の処理の流れを説明する。図8および図9は、第一の実施の形態に係る異常検出装置による接続処理を説明するフローチャートである。図10は、第一の実施の形態に係る異常検出装置による切断交換判定処理を説明するフローチャートである。
まず、図8および図9を用いて、異常検出装置30による接続処理を説明する。なお、異常検出装置30による接続処理は、所定時間(例えば、1分)間隔で定期的に実行される処理である。図8および図9に示すように、異常検出装置30の取得部313は、前回の取得時から追加された通信特徴量を取得し(ステップS101)、送信元MACアドレスのリストを作成する(ステップS102)。
そして、取得部313は、レイヤ2スイッチ単位ではじめて登場する送信元MACアドレスがあるか判定し(ステップS103)、はじめて登場する送信元MACアドレスが無い場合には(ステップS103否定)、処理を終了する。また、取得部313は、はじめて登場する送信元MACアドレスがある場合には(ステップS103肯定)、送信元MACアドレスのリストをはじめて登場した送信元MACアドレスだけのリストに更新する(ステップS104)。
続いて、取得部313は、新たに接続された送信元MACアドレスとして、送信MACアドレスの接続用判定リストを作成する(ステップS105)。そして、算出部314は、送信元MACアドレス単位に、かつ、レイヤ2スイッチ50単位に、発着のパケット数、バイト数の合計値を算出し(ステップS106)、送信元MACアドレスをキーとして、レイヤ2スイッチ50単位に発着のパケット数、バイト数の合計値を接続判定用リストとして保存する(ステップS107)。
そして、判定部315は、接続判定用リストにおいて未処理の送信元MACアドレスがあるか判定し(ステップS108)、未処理の送信元MACアドレスがなければ(ステップS108否定)、そのまま処理を終了する。また、判定部315は、未処理の送信元MACアドレスがある場合には(ステップS108肯定)、接続判定用リストから、未処理の送信元MACアドレスを1つ取得する(ステップS109)。
続いて、判定部315は、処理対象の送信元MACアドレスにおいて、レイヤ2スイッチ50別に発着のパケット数、バイト数の合計値を接続判定用リストから取得する(ステップS110)。そして、判定部315は、パケット数、バイト数の両方が最も多い値となっているレイヤ2スイッチ50を接続しているレイヤ2スイッチ50と判定し、一時保存する(ステップS111)。なお、判定部315は、パケット数が最も多い値となっているレイヤ2スイッチ50と、バイト数の最も多い値となっているレイヤ2スイッチ50とが異なる場合には、例えば、どちらを接続しているレイヤ2スイッチ50と判定するか所定の条件で自動で決定してもよいし、ユーザに判断させるようにしてもよい。
続いて、判定部315は、処理対象の送信元MACアドレスは、過去に別のレイヤ2スイッチ50に接続していたか判定する(ステップS112)。この結果、判定部315は、過去に別のレイヤ2スイッチ50に接続していなかった場合には(ステップS112否定)、判定したレイヤ2スイッチ50に、今回の処理対象の送信元MACアドレスを有する通信機器10が、新たに接続されたとして、構成情報を更新し(ステップS113)、ステップS108の処理に戻る。
また、判定部315は、過去に別のレイヤ2スイッチ50に接続していた場合には(ステップS112肯定)、過去に接続していたレイヤ2スイッチ50の構成情報に対して、今回の処理対象の送信元MACアドレスを有する通信機器が、移動して切断されたとして、構成情報を更新する(ステップS114)。そして、判定部315は、判定したレイヤ2スイッチ50に、今回の処理対象の送信元MACアドレスを有する通信機器10が、移動して接続されたとして、構成情報を更新し(ステップS115)、ステップS108の処理に戻る。
続いて、図10を用いて、異常検出装置30による切断交換判定処理を説明する。なお、異常検出装置30による切断交換処理は、所定時間(例えば、1分)間隔で定期的に実行される処理である。図10に示すように、異常検出装置30の取得部313は、前回の取得時から追加された通信特徴量を取得し(ステップS201)、送信元MACアドレスのリストを処理用リストとして作成する(ステップS202)。
そして、計数部316は、構成情報にレイヤ2スイッチ単位で処理用リストに存在しない送信元MACアドレスがあるか判定する(ステップS203)。この結果、計数部316は、構成情報にレイヤ2スイッチ単位で処理用リストに存在しない送信元MACアドレスがないと判定した場合には(ステップS203否定)、処理を終了する。
また、計数部316は、構成情報にレイヤ2スイッチ単位で処理用リストに存在しない送信元MACアドレスがあると判定した場合には(ステップS203肯定)、リストに存在しない送信元MACアドレスに対して、通信が発生していない通信機器10として、前回の通信特徴量取得時からの経過時間を未通信時間として加算し、未通信MACアドレスリストとして保存する(ステップS204)。
そして、判定部315は、未通信MACアドレスリストにおいて、処理用リストに存在する送信元MACアドレスがあるか判定し(ステップS205)、処理用リストに存在する送信元MACアドレスがない場合は(ステップS205否定)、ステップS207の処理に進む。また、判定部315は、処理用リストに存在する送信元MACアドレスがある場合は(ステップS205肯定)、処理対象の送信元MACアドレスを有する通信機器10に通信が発生したとして、未通信MACアドレスリストから削除する(ステップS206)。
そして、判定部315は、未通信MACアドレスリストにある通信機器の中で、一定時間経過したものがあるか判定し(ステップS207)、一定時間経過したものが無い場合には(ステップS207否定)、処理を終了する。また、判定部315は、未通信MACアドレスリストにある通信機器の中で、一定時間経過したものがある場合には(ステップS207肯定)、該当する送信元MACアドレスを有する通信機器10については、通信が発生していない通信機器10であるとして、構成情報から削除する(ステップS208)。
そして、判定部315は、該当する送信元MACアドレスが接続されていたレイヤ2スイッチ50において、一定時間経過する前に、新規に接続された通信機器10があり、数が一致するか判定する(ステップS209)。この結果、判定部315は、一定時間経過する前に、新規に接続された通信機器10があり、数が一致すると判定した場合には(ステップS209肯定)、通信機器10が交換されたとして、運用者に情報を提示し、運用者の交換有無判断により、構成情報を更新し(ステップS210)、処理を終了する。また、判定部315は、一定時間経過する前に、新規に接続された通信機器10がない、もしくは、数が一致しないと判定した場合には(ステップS209否定)、そのまま処理を終了する。
なお、通信機器10が交換されたことを判定する方法として、前述した数が一致すること以外に、あらかじめ通信機器10の正常通信のパターンを識別しておき、接続されていると判定したレイヤ2スイッチ50において、送信元MACアドレスが異なるが、発着のIPアドレス、ポート番号、プロトコル、流量パターンに変更がない場合に、交換されたと判定する方法がある。さらに、レイヤ2スイッチ50に接続しているポート位置を識別しておき、既に接続していたポート位置に、新たに機器が接続された場合に、交換されたと判定する方法がある。さらにこれらの判定方法を組合せて用いる方法がある。
[第一の実施の形態の効果]
このように、第一の実施の形態に係る異常検出装置30は、各通信機器10の通信特徴量を取得し、通信特徴量に含まれる送信元MACアドレスごとに、当該通信機器10と接続するレイヤ2スイッチ50単位の発着パケット数の合計値またはバイト数の合計値を算出し、各送信元MACアドレスについて、発着パケット数の合計値またはバイト数の合計値が最も多いレイヤ2スイッチ50に、送信元MACアドレスに対応する通信機器10が接続されたものとして判定する。このため、通信機器10の接続状況を適切かつ容易に把握することが可能である。
このように、第一の実施の形態に係る異常検出装置30は、各通信機器10の通信特徴量を取得し、通信特徴量に含まれる送信元MACアドレスごとに、当該通信機器10と接続するレイヤ2スイッチ50単位の発着パケット数の合計値またはバイト数の合計値を算出し、各送信元MACアドレスについて、発着パケット数の合計値またはバイト数の合計値が最も多いレイヤ2スイッチ50に、送信元MACアドレスに対応する通信機器10が接続されたものとして判定する。このため、通信機器10の接続状況を適切かつ容易に把握することが可能である。
つまり、異常検出装置30は、送信元MACアドレス単位かつレイヤ2スイッチ50単位の発着のパケット数、バイト数の合計値を算出し、レイヤ2スイッチ別に合計値を比較し、最も多い値を示したレイヤ2スイッチを、該当の通信機器10の接続しているレイヤ2スイッチと判定するので、これにより通信機器10の接続状態を判定可能とする。また、異常検出装置30では、通信機器10が接続されたか、他のネットワークに移動されたか、切断されたか、交換されたかを識別することができる。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施の形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
また、上記の実施形態で述べた異常検出装置30の機能を実現するプログラムを所望の情報処理装置(コンピュータ)にインストールすることによって実装できる。例えば、パッケージソフトウェアやオンラインソフトウェアとして提供される上記のプログラムを情報処理装置に実行させることにより、情報処理装置を異常検出装置30として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータ、ラック搭載型のサーバコンピュータ等が含まれる。また、その他にも、情報処理装置にはゲートウェイ装置、スマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistants)等がその範疇に含まれる。また、異常検出装置30を、クラウドサーバに実装してもよい。
また、上記の実施形態で述べた異常検出装置30の機能を実現するプログラムを所望の情報処理装置(コンピュータ)にインストールすることによって実装できる。例えば、パッケージソフトウェアやオンラインソフトウェアとして提供される上記のプログラムを情報処理装置に実行させることにより、情報処理装置を異常検出装置30として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータ、ラック搭載型のサーバコンピュータ等が含まれる。また、その他にも、情報処理装置にはゲートウェイ装置、スマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistants)等がその範疇に含まれる。また、異常検出装置30を、クラウドサーバに実装してもよい。
図11を用いて、上記のプログラム(異常検出プログラム)を実行するコンピュータの一例を説明する。図11に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
ここで、図11に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。前記した実施形態で説明した各種データや情報は、例えばハードディスクドライブ1090やメモリ1010に記憶される。
そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、上記の異常検出プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、上記のプログラムに係るプログラムモジュール1093やプログラムデータ1094は、LANやWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10、10A~10I 通信機器
20A、20B ゲートウェイ装置
30 異常検出装置
40 サーバ
50A~50C レイヤ2スイッチ
60A、60B ルータ
100 異常検出システム
311 学習部
312 異常検出部
313 取得部
314 算出部
315 判定部
316 計数部
317 入力部
318 表示部
319 保存データ検索部
320 通信部
321 OS
322 学習データ保存部
323 通信特徴量保存部
324 リスト保存部
325 構成情報保存部
20A、20B ゲートウェイ装置
30 異常検出装置
40 サーバ
50A~50C レイヤ2スイッチ
60A、60B ルータ
100 異常検出システム
311 学習部
312 異常検出部
313 取得部
314 算出部
315 判定部
316 計数部
317 入力部
318 表示部
319 保存データ検索部
320 通信部
321 OS
322 学習データ保存部
323 通信特徴量保存部
324 リスト保存部
325 構成情報保存部
Claims (7)
- 各通信機器の通信特徴量を取得する取得部と、
前記取得部によって取得された通信特徴量に含まれる送信元MACアドレスごとに、当該通信機器と接続するレイヤ2スイッチ単位の発着パケット数の合計値またはバイト数の合計値を算出する算出部と、
各送信元MACアドレスについて、前記算出部によって算出された発着パケット数の合計値またはバイト数の合計値が最も多いレイヤ2スイッチに、前記送信元MACアドレスに対応する通信機器が接続されたものとして判定する判定部と
を備えることを特徴とする異常検出装置。 - 前記取得部によって取得された通信特徴量に存在しないが、前記通信機器の接続状態に関する情報を含む構成情報に存在する送信元MACアドレスがある場合には、当該送信元MACアドレスについて、未通信時間を計数する計数部をさらに備え、
前記判定部は、前記計数部によって計数された未通信時間が所定時間を経過した場合には、前記通信機器は通信の接続断があったと判定することを特徴とする請求項1に記載の異常検出装置。 - 前記判定部は、通信が発生していないと判定した通信機器に接続されていたレイヤ2スイッチにおいて、前記計数部によって計数された未通信時間が所定時間を経過する前に、新規に接続された通信機器があり、通信が発生していないと判定した通信機器の数と新規に接続された通信機器の数とが一致する場合には、通信機器が交換されたと判定することを特徴とする請求項2に記載の異常検出装置。
- 前記判定部は、判定結果に応じて、前記通信機器の接続状態に関する情報を含む構成情報を更新することを特徴とする請求項1から3のいずれか一つに記載の異常検出装置。
- 前記各通信機器の正常動作時における通信特徴量に基づき、前記通信機器の異常を検出する異常検出部と、
前記異常検出部によって前記通信機器の異常を検出した場合には、当該通信機器が接続するレイヤ2スイッチに対応するネットワークを、前記異常を検出した通信機器が属するネットワークとして表示する表示部とをさらに備えることを特徴とする請求項1から4のいずれか一つに記載の異常検出装置。 - 異常検出装置によって実行される異常検出方法であって、
各通信機器の通信特徴量を取得する取得工程と、
前記取得工程によって取得された通信特徴量に含まれる送信元MACアドレスごとに、当該通信機器と接続するレイヤ2スイッチ単位の発着パケット数の合計値またはバイト数の合計値を算出する算出工程と、
各送信元MACアドレスについて、前記算出工程によって算出された発着パケット数の合計値またはバイト数の合計値が最も多いレイヤ2スイッチに、前記送信元MACアドレスに対応する通信機器が接続されたものとして判定する判定工程と
を含んだことを特徴とする異常検出方法。 - 各通信機器の通信特徴量を取得する取得ステップと、
前記取得ステップによって取得された通信特徴量に含まれる送信元MACアドレスごとに、当該通信機器と接続するレイヤ2スイッチ単位の発着パケット数の合計値またはバイト数の合計値を算出する算出ステップと、
各送信元MACアドレスについて、前記算出ステップによって算出された発着パケット数の合計値またはバイト数の合計値が最も多いレイヤ2スイッチに、前記送信元MACアドレスに対応する通信機器が接続されたものとして判定する判定ステップと
をコンピュータに実行させることを特徴とする異常検出プログラム。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| AU2019277439A AU2019277439B2 (en) | 2018-05-30 | 2019-05-28 | Abnormality detection apparatus, abnormality detection method, and abnormality detection program |
| US17/059,186 US11316770B2 (en) | 2018-05-30 | 2019-05-28 | Abnormality detection apparatus, abnormality detection method, and abnormality detection program |
| CN201980035133.3A CN112204928B (zh) | 2018-05-30 | 2019-05-28 | 异常检测装置、异常检测方法及记录介质 |
| EP19812367.1A EP3787240B1 (en) | 2018-05-30 | 2019-05-28 | Device for anomaly detection, method and program for anomaly detection |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018103876A JP6927155B2 (ja) | 2018-05-30 | 2018-05-30 | 異常検出装置、異常検出方法および異常検出プログラム |
| JP2018-103876 | 2018-05-30 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2019230739A1 true WO2019230739A1 (ja) | 2019-12-05 |
Family
ID=68698813
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/JP2019/021163 WO2019230739A1 (ja) | 2018-05-30 | 2019-05-28 | 異常検出装置、異常検出方法および異常検出プログラム |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US11316770B2 (ja) |
| EP (1) | EP3787240B1 (ja) |
| JP (1) | JP6927155B2 (ja) |
| CN (1) | CN112204928B (ja) |
| AU (1) | AU2019277439B2 (ja) |
| WO (1) | WO2019230739A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115378819A (zh) * | 2021-05-19 | 2022-11-22 | 横河电机株式会社 | 网络模拟器、网络模拟方法和计算机可读记录介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08237249A (ja) | 1995-02-28 | 1996-09-13 | Oki Electric Ind Co Ltd | ネットワーク管理システム |
| JP2007336512A (ja) * | 2006-05-18 | 2007-12-27 | Alaxala Networks Corp | 統計情報収集システム及び統計情報収集装置 |
| US8005009B2 (en) * | 2004-06-25 | 2011-08-23 | InMon Corp. | Methods and computer programs for generating data traffic matrices |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1322722C (zh) * | 2002-10-11 | 2007-06-20 | 诺基亚公司 | 用于配置多个网络节点之间的连接的方法和网络系统 |
| JP4420218B2 (ja) * | 2004-09-13 | 2010-02-24 | 日本電気株式会社 | 中継ノード設置ポイント選択方法/プログラム/記録媒体/装置、基地局、マルチホップネットワークシステム |
| JP2006352831A (ja) * | 2005-05-20 | 2006-12-28 | Alaxala Networks Corp | ネットワーク制御装置およびその制御方法 |
| CN100591049C (zh) * | 2007-05-11 | 2010-02-17 | 华为技术有限公司 | 网络中邻接关系的建立方法及装置 |
| JP4667437B2 (ja) * | 2007-10-02 | 2011-04-13 | 日本電信電話株式会社 | 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム |
| JP5264966B2 (ja) * | 2011-07-26 | 2013-08-14 | 株式会社日立製作所 | 通信装置 |
| JP5718198B2 (ja) * | 2011-09-15 | 2015-05-13 | アラクサラネットワークス株式会社 | ネットワーク管理システム、及び装置 |
| JP5786733B2 (ja) * | 2012-01-27 | 2015-09-30 | 富士通株式会社 | 監視装置、プログラム及び監視方法 |
| JP6357793B2 (ja) * | 2014-02-17 | 2018-07-18 | 日本電気株式会社 | ネットワーク監視装置、システム、方法及びプログラム |
| US10389606B2 (en) * | 2016-03-25 | 2019-08-20 | Cisco Technology, Inc. | Merging of scored records into consistent aggregated anomaly messages |
-
2018
- 2018-05-30 JP JP2018103876A patent/JP6927155B2/ja active Active
-
2019
- 2019-05-28 US US17/059,186 patent/US11316770B2/en active Active
- 2019-05-28 EP EP19812367.1A patent/EP3787240B1/en active Active
- 2019-05-28 CN CN201980035133.3A patent/CN112204928B/zh active Active
- 2019-05-28 AU AU2019277439A patent/AU2019277439B2/en active Active
- 2019-05-28 WO PCT/JP2019/021163 patent/WO2019230739A1/ja unknown
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08237249A (ja) | 1995-02-28 | 1996-09-13 | Oki Electric Ind Co Ltd | ネットワーク管理システム |
| US8005009B2 (en) * | 2004-06-25 | 2011-08-23 | InMon Corp. | Methods and computer programs for generating data traffic matrices |
| JP2007336512A (ja) * | 2006-05-18 | 2007-12-27 | Alaxala Networks Corp | 統計情報収集システム及び統計情報収集装置 |
Non-Patent Citations (3)
| Title |
|---|
| ANONYMOUS: "Ethernet Switching Protocols - Filtering Database Conformance Test Suite", THE UNIVERSITY OF NEW HAMPSHIRE INTEROPERABILITY LABORATORY(UNH-IOL, 2012 - 13 June 2016 (2016-06-13), pages 1 - 43, XP055662207 * |
| ANONYMOUS: "Traffic Monitoring using sFlow", SFLOW.ORG, 2003, pages 1 - 5, XP055124220, Retrieved from the Internet <URL:https://sflow.org/sFlowOverview.pdf> [retrieved on 20190618] * |
| SATOSHI SUZUKI; TOMIKO YUASA: "Mac Adress finder and layer2 switch tracer by SNMP", IPSJ SIG TECHNICAL REPORTS INTERNET AND OPERATION TECHNOLOGY, no. -83(2005-DSM-038), 5 August 2005 (2005-08-05), pages 51 - 54, XP009524438 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115378819A (zh) * | 2021-05-19 | 2022-11-22 | 横河电机株式会社 | 网络模拟器、网络模拟方法和计算机可读记录介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019208180A (ja) | 2019-12-05 |
| CN112204928A (zh) | 2021-01-08 |
| US11316770B2 (en) | 2022-04-26 |
| AU2019277439A1 (en) | 2020-12-24 |
| JP6927155B2 (ja) | 2021-08-25 |
| EP3787240A1 (en) | 2021-03-03 |
| CN112204928B (zh) | 2022-07-15 |
| EP3787240A4 (en) | 2022-01-19 |
| AU2019277439B2 (en) | 2022-06-30 |
| EP3787240B1 (en) | 2024-01-03 |
| US20210218659A1 (en) | 2021-07-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10673874B2 (en) | Method, apparatus, and device for detecting e-mail attack | |
| US10356106B2 (en) | Detecting anomaly action within a computer network | |
| WO2011010823A2 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
| EP3223495B1 (en) | Detecting an anomalous activity within a computer network | |
| CN111600863B (zh) | 网络入侵检测方法、装置、系统和存储介质 | |
| KR20140088340A (ko) | 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법 | |
| WO2016101870A1 (zh) | 网络攻击分析方法和装置 | |
| CN111092900A (zh) | 服务器异常连接和扫描行为的监控方法和装置 | |
| KR20160002269A (ko) | Sdn 기반의 arp 스푸핑 탐지장치 및 그 방법 | |
| CN110247893B (zh) | 一种数据传输方法和sdn控制器 | |
| JP6324026B2 (ja) | 通信装置、制御装置、ネットワークシステムおよびネットワーク監視制御方法 | |
| WO2019230739A1 (ja) | 異常検出装置、異常検出方法および異常検出プログラム | |
| CN113014602B (zh) | 一种基于最优通信路径的工业网络防御方法和系统 | |
| WO2007029396A1 (ja) | 情報システム | |
| CN106453367B (zh) | 一种基于sdn的防地址扫描攻击的方法及系统 | |
| KR20110067871A (ko) | Ip 망에서 oam 패킷을 이용한 트래픽 감시 및 제어를 위한 네트워크 액세스 장치 및 방법 | |
| JP7060800B2 (ja) | 感染拡大攻撃検知システム及び方法、並びに、プログラム | |
| JP2014036408A (ja) | 通信装置、通信システム、通信方法、および、通信プログラム | |
| JP6476853B2 (ja) | ネットワーク監視システム及び方法 | |
| JP2009278293A (ja) | パケット送信元特定システム、パケット送信元特定方法、およびパケット送信元特定プログラム | |
| US20100157806A1 (en) | Method for processing data packet load balancing and network equipment thereof | |
| JP2018101926A (ja) | ネットワーク装置および異常検知システム | |
| CN115543724A (zh) | 一种故障检测方法、服务器、设备及存储介质 | |
| CN117375962A (zh) | 一种基于Modbus协议的工业控制系统资产及威胁识别方法 | |
| CN114079575A (zh) | 一种基于随机镜像端口的分布式云防御系统及防御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 19812367 Country of ref document: EP Kind code of ref document: A1 |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| ENP | Entry into the national phase |
Ref document number: 2019812367 Country of ref document: EP Effective date: 20201126 |
|
| ENP | Entry into the national phase |
Ref document number: 2019277439 Country of ref document: AU Date of ref document: 20190528 Kind code of ref document: A |