JP2007243459A - トラヒック状態抽出装置及び方法ならびにコンピュータプログラム - Google Patents

トラヒック状態抽出装置及び方法ならびにコンピュータプログラム Download PDF

Info

Publication number
JP2007243459A
JP2007243459A JP2006061556A JP2006061556A JP2007243459A JP 2007243459 A JP2007243459 A JP 2007243459A JP 2006061556 A JP2006061556 A JP 2006061556A JP 2006061556 A JP2006061556 A JP 2006061556A JP 2007243459 A JP2007243459 A JP 2007243459A
Authority
JP
Japan
Prior art keywords
traffic
vector
clusters
multidimensional vector
protocol type
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006061556A
Other languages
English (en)
Inventor
Takao Omori
孝雄 大森
Shinichi Tanaka
真一 田中
Yoshiaki Nemoto
義章 根元
Yasushi Kato
寧 加藤
Yuji Izumi
勇治 和泉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tohoku University NUC
Nippon Telegraph and Telephone Corp
Nippon Telegraph and Telephone East Corp
Original Assignee
Tohoku University NUC
Nippon Telegraph and Telephone Corp
Nippon Telegraph and Telephone East Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tohoku University NUC, Nippon Telegraph and Telephone Corp, Nippon Telegraph and Telephone East Corp filed Critical Tohoku University NUC
Priority to JP2006061556A priority Critical patent/JP2007243459A/ja
Publication of JP2007243459A publication Critical patent/JP2007243459A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】特性の異なるトラヒックが混在している場合でも、その特性に応じて通常状態のトラヒックの特徴を抽出し、この特徴を基準としてトラヒックを検査することでトラヒック異常を高精度で検出する。
【解決手段】ネットワーク回線から受信したパケットを各タイムスロットについてプロトコル種別毎にカウントし、これを同じタイムスロットについて所定のプロトコル種別順に並べて多次元ベクトルを生成する。次に、多次元ベクトルそれぞれを標準化して標準化ベクトルを生成し、多次元の特徴空間にマッピングした後、クラスタ数を順に増加させながらクラスタ分割する。そして、クラスタの数が適切であると判断されたときのそれぞれのクラスタに属する標準化ベクトルの統計情報を通常状態トラヒックの特徴情報として記憶手段に書き込む。トラヒック検査を行う場合は、検査トラヒックの標準化ベクトルと、特徴情報で示される複数のクラスタの分布位置とを比較する。
【選択図】図1

Description

本発明は、トラヒック状態抽出装置及び方法ならびにコンピュータプログラムに関する。
ネットワークの運用管理において、不正アクセスや機器障害などによる異常発生を検出することは、ネットワークの安定性を確保する点からも重要であり、異常検出の自動化を実現するための技術がこれまでにも提案されてきた。
従来、過去に観測された通常時のトラヒック特性を統計的に分析し、トラヒックの通常状態を定量化して算出しておき、検査対象のトラヒックが、この算出しておいた通常状態の基準から逸脱している程度を評価してトラヒック異常を検出する方式がある(例えば、非特許文献1〜3参照)。
大下 裕一、阿多信吾、村田 正幸,"観測トラヒックの統計的性質を利用したDDoS Attackの検出方法",電子情報通信学会技術研究報告(IN2003−201),pp.23−28,February,2004. 與那原 亨、田中 真一、和泉 勇治、加藤 寧、根元 義章、"多変量解析を用いたネットワークトラヒック通常状態の抽出",電子情報通信学会2005年総合大会、B−7−32,March,2005. 及川 達也、和泉 勇治、太田 耕平、加藤 寧、根元 義章,"統計的クラスタリング手法によるネットワーク異常状態の検出",電子情報通信学会技術研究報告(NS2002−143,IN2002−87,CS2002−98),pp.83−88,October,2002.
上記の特許文献1〜3の技術においては、通常時のネットワークトラヒック状態を抽出する際に、観測した全トラヒックから1つの通常状態のみを抽出するモデルを用いている。しかしながら、月日や時間帯による通信の変動や、大容量通信アプリケーションなどによるトラヒック状態の変動があると、1つの通常状態のみを抽出するモデルでは、特性の異なるトラヒック状態を適切に表現できない。また、全体に占める割合が少ない特性の通信は、正常トラヒックであっても通常状態には反映されない。そのため、通常状態を1つとするモデルを基準にしてトラヒックの異常検出を行うと、正常トラヒックを異常であると判定する誤検出を引き起こしてしまうという問題がある。
本発明は、上記問題を解決すべくなされたもので、その目的は、特性の異なるトラヒックが混在している場合でも、その特性に応じて通常状態のトラヒックの特徴を抽出することができるとともに、この抽出した複数の通常状態トラヒックの特徴を基準にしてトラヒックの異常検出を行うことにより、トラヒックの異常を高精度で検出することができるトラヒック状態抽出装置及び方法ならびにコンピュータプログラムを提供することにある。
上述した課題を解決するために、本発明は、プロトコル種別の異なるパケットが送信されるネットワーク回線に接続され、前記ネットワーク回線から前記パケットを受信し、受信した前記パケットを前記プロトコル種別毎に分離する第1のトラヒック分離手段と、一定の時間間隔毎に、その時間間隔内において前記第1のトラヒック分離手段により分離された前記パケットを前記プロトコル種別毎にカウントする第1のパケット数カウント手段と、同一の前記時間間隔内において前記第1のパケット数カウント手段によりカウントされたプロトコル種別毎のカウント数を、予め定められた前記プロトコル種別の順に並べ、当該時間間隔毎の多次元ベクトルを生成する第1の多次元ベクトル生成手段と、前記第1の多次元ベクトル生成手段により生成された多次元ベクトルそれぞれを標準化して前記時間間隔毎の標準化ベクトルを生成する第1の多次元ベクトル標準化手段と、前記第1の多次元ベクトル標準化手段により生成された複数の前記時間間隔毎の標準化ベクトルを、クラスタ数を変化させながら複数のクラスタに分割するクラスタ生成手段と、前記クラスタ生成手段により分割されたクラスタの数が適切であるか否かを判断するクラスタ分類判断手段と、前記クラスタ生成手段が、前記クラスタ分類判断手段により適切であると判断されたクラスタ数にクラスタ分割したときの複数のクラスタそれぞれに含まれる複数の前記標準化ベクトルの統計情報からなるトラヒック状態の特徴情報を記憶手段に書き込むトラヒック状態情報抽出手段と、を備えることを特徴とするトラヒック状態抽出装置である。
また、本発明は、上述するトラヒック状態抽出装置において、プロトコル種別の異なるパケットが送信されるネットワーク回線に接続され、前記ネットワーク回線から検査対象の前記パケットを受信し、受信した前記検査対象のパケットを前記プロトコル種別毎に分離する第2のトラヒック分離手段と、一定の時間間隔内において前記第2のトラヒック分離手段により分離された前記検査対象のパケットを前記プロトコル種別毎にカウントする第2のパケット数カウント手段と、前記時間間隔内において前記第2のパケット数カウント手段によりカウントされたプロトコル種別毎のカウント数を、予め定められた前記プロトコル種別の順に並べ、多次元ベクトルを生成する第2の多次元ベクトル生成手段と、前記第2の多次元ベクトル生成手段により生成された多次元ベクトルを標準化して標準化ベクトルを生成する第2の多次元ベクトル標準化手段と、前記第2の多次元ベクトル標準化手段により生成された前記標準化ベクトルと、前記記憶手段内から読み出される特徴情報により示され、前記複数のクラスタに対応して多次元空間上に展開される特徴ベクトルの分布位置それぞれとの距離を算出し、算出したそれぞれの距離のうち最小値を選択する距離算出手段と、前記距離算出手段により選択された距離の最小値と、予め決められた閾値とを比較してトラヒック異常を検出する異常検出手段と、をさらに備えることを特徴とする。
また、本発明は、上述するトラヒック状態抽出装置において、前記クラスタ生成手段は、k−means法によりクラスタ分割を行い、前記クラスタ分類判断手段は、前記クラスタ生成手段により分割された各クラスタに含まれる標準化ベクトルに外接する立方体の体積を求め、その体積の総和と、クラスタ数が1のときに当該クラスタに含まれる標準化ベクトルに外接する立方体の体積との比率を算出し、この算出した比率と所定の閾値とを比較することにより、クラスタ数が適切であるか否かを判断する、ことを特徴とする。
本発明は、プロトコル種別の異なるパケットが送信されるネットワーク回線に接続されるトラヒック状態抽出装置におけるトラヒック状態抽出方法であって、前記ネットワーク回線から前記パケットを受信し、受信した前記パケットを前記プロトコル種別毎に分離する第1のトラヒック分離ステップと、一定の時間間隔毎に、その時間間隔内において前記第1のトラヒック分離ステップにより分離された前記パケットを前記プロトコル種別毎にカウントする第1のパケット数カウントステップと、同一の前記時間間隔内において前記第1のパケット数カウントステップによりカウントされたプロトコル種別毎のカウント数を、予め定められた前記プロトコル種別の順に並べ、当該時間間隔毎の多次元ベクトルを生成する第1の多次元ベクトル生成ステップと、前記第1の多次元ベクトル生成ステップにより生成された多次元ベクトルそれぞれを標準化して前記時間間隔毎の標準化ベクトルを生成する第1の多次元ベクトル標準化ステップと、前記第1の多次元ベクトル標準化ステップにより生成された複数の前記時間間隔毎の標準化ベクトルを、クラスタ数を変化させながら複数のクラスタに分割するクラスタ生成ステップと、前記クラスタ生成ステップにより分割されたクラスタの数が適切であるか否かを判断するクラスタ分類判断ステップと、前記クラスタ生成ステップにおいて、前記クラスタ分類判断ステップにより適切であると判断されたクラスタ数にクラスタ分割したときの複数のクラスタそれぞれに含まれる複数の前記標準化ベクトルの統計情報からなるトラヒック状態の特徴情報を記憶手段に書き込むトラヒック状態情報抽出ステップと、を有することを特徴とするトラヒック状態抽出方法である。
また、本発明は、上述するトラヒック状態抽出方法において、前記ネットワーク回線から検査対象の前記パケットを受信し、受信した前記検査対象のパケットを前記プロトコル種別毎に分離する第2のトラヒック分離ステップと、一定の時間間隔内において前記第2のトラヒック分離ステップにより分離された前記検査対象のパケットを前記プロトコル種別毎にカウントする第2のパケット数カウントステップと、前記時間間隔内において前記第2のパケット数カウントステップによりカウントされたプロトコル種別毎のカウント数を、予め定められた前記プロトコル種別の順に並べ、多次元ベクトルを生成する第2の多次元ベクトル生成ステップと、前記第2の多次元ベクトル生成ステップによって生成された多次元ベクトルを標準化して標準化ベクトルを生成する第2の多次元ベクトル標準化ステップと、前記第2の多次元ベクトル標準化ステップにより生成された前記標準化ベクトルと、前記記憶手段内から読み出される特徴情報により示され、前記複数のクラスタに対応して多次元空間上に展開される特徴ベクトルの分布位置それぞれとの距離を算出し、算出したそれぞれの距離のうち最小値を選択する距離算出ステップと、前記距離算出ステップにより選択された距離の最小値と、予め決められた閾値とを比較してトラヒック異常を検出する異常検出ステップと、をさらに有することを特徴とする。
また、本発明は、プロトコル種別の異なるパケットが送信されるネットワーク回線に接続されるトラヒック状態抽出装置としてのコンピュータを、前記ネットワーク回線から前記パケットを受信し、受信した前記パケットを前記プロトコル種別毎に分離する第1のトラヒック分離手段、一定の時間間隔毎に、その時間間隔内において前記第1のトラヒック分離手段により分離された前記パケットを前記プロトコル種別毎にカウントする第1のパケット数カウント手段、同一の前記時間間隔内において前記第1のパケット数カウント手段によりカウントされたプロトコル種別毎のカウント数を、予め定められた前記プロトコル種別の順に並べ、当該時間間隔毎の多次元ベクトルを生成する第1の多次元ベクトル生成手段、前記第1の多次元ベクトル生成手段により生成された多次元ベクトルそれぞれを標準化して前記時間間隔毎の標準化ベクトルを生成する第1の多次元ベクトル標準化手段、前記第1の多次元ベクトル標準化手段により生成された複数の前記時間間隔毎の標準化ベクトルを、クラスタ数を変化させながら複数のクラスタに分割するクラスタ生成手段、前記クラスタ生成手段により分割されたクラスタの数が適切であるか否かを判断するクラスタ分類判断手段、前記クラスタ生成手段が、前記クラスタ分類判断手段により適切であると判断されたクラスタ数にクラスタ分割したときの複数のクラスタそれぞれに含まれる複数の前記標準化ベクトルの統計情報からなるトラヒック状態の特徴情報を記憶手段に書き込むトラヒック状態情報抽出手段、として機能させることを特徴とするコンピュータプログラムである。
また、本発明は、上述するコンピュータプログラムであって、トラヒック状態抽出装置としての前記コンピュータを、前記ネットワーク回線から検査対象の前記パケットを受信し、受信した前記検査対象のパケットを前記プロトコル種別毎に分離する第2のトラヒック分離手段、一定の時間間隔内において前記第2のトラヒック分離手段により分離された前記検査対象のパケットを前記プロトコル種別毎にカウントする第2のパケット数カウント手段、前記時間間隔内において前記第2のパケット数カウント手段によりカウントされたプロトコル種別毎のカウント数を、予め定められた前記プロトコル種別の順に並べ、多次元ベクトルを生成する第2の多次元ベクトル生成手段、前記第2の多次元ベクトル生成手段により生成された多次元ベクトルを標準化して標準化ベクトルを生成する第2の多次元ベクトル標準化手段、前記第2の多次元ベクトル標準化手段により生成された前記標準化ベクトルと、前記記憶手段内から読み出される特徴情報により示され、前記複数のクラスタに対応して多次元空間上に展開される特徴ベクトルの分布位置それぞれとの距離を算出し、算出したそれぞれの距離のうち最小値を選択する距離算出手段、前記距離算出手段により選択された距離の最小値と、予め決められた閾値とを比較してトラヒック異常を検出する異常検出手段、としてさらに機能させることを特徴とする。
本発明によれば、通常状態のトラヒックを分析し、そのトラヒックの多様性を複数の特徴情報として抽出することができる。従って、時間帯やアプリケーション等でトラヒック特性の変化が生じる場合であっても、それらを分析してそれぞれのトラヒック特性に対応した特徴情報を抽出することが可能となる。また、このとき、トラヒック内のアプリケーションの種類を事前に把握していなくても、観測トラヒックの内容によりこの特性の分類数を自動で決定することができる。
このように、特性の異なるトラヒック状態を有する通常時のトラヒック状態の基準を高精度に定義できるため、通常時のトラヒック状態を基準にして逸脱の程度を評価し、ネットワーク回線状態の異常判断を行う装置において、トラヒック異常検知の精度向上が見込める。さらに、ネットワーク運用管理において、抽出した高度な通常トラヒック状態からネットワーク回線利用状況等を分析して設備設計を行うことで、効率的な設備投資が可能となる。
以下、本発明の一実施形態によるトラヒック状態抽出装置を図面を参照して説明する。
図1及び図2は、本発明の一実施形態によるトラヒック状態抽出装置1の動作原理を説明するための図である。
まず、図1に示す通常状態トラヒックの特徴抽出段階において、トラヒック状態抽出装置1は、各プロトコル種別毎のトラヒック量を観測する(a−1)。プロトコル種別は、例えば、UDP(User Datagram protocol)、SYNフラグ有りTCP(Transmission Control Protocol)、FINフラグ有りTCP、SYNフラグ/FINフラグ無しTCP、HTTP(Hypertext Transfer Protocol)等とすることができる。
次に、トラヒック状態抽出装置1は、タイムスロット(時間帯)毎に、そのタイムスロットにおける各プロトコルのトラヒック量を成分とする多次元ベクトルを生成し(a−2)、プロトコル種別に対応する座標軸からなる多次元空間にマッピングする(a−3)。具体的には、トラヒック状態抽出装置1は、各タイムスロットの多次元ベクトルを標準化し、標準化したベクトルを構成する各プロトコルに対応した成分の値が、当該プロトコルに対応する座標軸上の値となるよう特徴空間にマッピングする。図1では簡単のため、特徴空間を、プロトコルAに対応する第1成分軸と、プロトコルBに対応する第2成分軸からなる2次元空間として表しているが、実際にはプロトコル種別数に対応する次元数を有する多次元空間となる。
トラヒック状態抽出装置1は、各タイムスロットの標準化ベクトルを特徴空間にマッピングしたマッピングデータを生成すると、これらの標準化ベクトルを複数のクラスタに分類する(a−4)。クラスタとは、トラヒックデータの分布を分類したものであり、トラヒックの特性を示す。複数のクラスタに分類するときには、クラスタ数が1の場合、2の場合、・・・というように順にクラスタ数を増やしていき、クラスタ領域の大きさが収束することを判断して最も妥当なクラスタ数を決定する。
トラヒック状態抽出装置1は、もっとも妥当なクラスタ数に分類されたときのクラスタに含まれる複数の前記標準化ベクトルの統計情報を、トラヒックの高度な「通常状態の特徴情報」として抽出する(a−5)。分類されたクラスタは、例えば、ブロードバンド通信、ウェブ通信など、通信サービスの種類に対応させることができる。
図2に示す未知攻撃の検査段階において、トラヒック状態抽出装置1は、検査ネットワークのトラヒックを観測する(b−1)。次に、トラヒック状態抽出装置1は、タイムスロット毎に、当該タイムスロットにおける各プロトコルのトラヒック量を成分とする多次元ベクトルを生成し、この多次元ベクトルを特徴空間にマッピングする(b−2)。同図においては、タイムスロットT1、及び、T2におけるトラヒック量から生成した多次元ベクトルを標準化したベクトルが特徴空間にマッピングされている。
トラヒック状態抽出装置1は、図1の通常状態トラヒックの特徴抽出段階(a−5)において抽出した「通常状態の特徴情報」と、特徴空間にマッピングした検査対象の標準化ベクトルとを比較して検査を行い、未知攻撃を検知する(b−3)。すなわち、マッピングした検査対象トラヒックの標準化ベクトルと、「通常状態の特徴情報」により特徴空間上に展開される通常状態の特徴ベクトルの分布位置との距離のうち最小のものを求め、その求めた距離が予め決められた閾値以上であれば異常トラヒックであると判断する。これにより、未知攻撃の通信データを検出することができる。なお、閾値は、ネットワーク管理者が任意にトラヒック状態抽出装置1へ設定することができる。ここで、閾値を小さくするほど検出の感度が高くなるが、感度を高くし過ぎると正常なトラヒックを異常であると誤検出してしまうので、適切な閾値の設定を行う。
図3は、本実施形態によるトラヒック状態抽出装置1の通常状態トラヒックの特徴抽出機能にかかわる部分の機能ブロック図である。
トラヒック状態抽出装置1において、トラヒック分離部21は、ネットワーク回線11とネットワーク回線12とに接続されており、ネットワーク回線11からネットワーク回線12方向へ流れるパケットを受信し、受信したパケットを読み出した後に当該パケットをネットワーク回線12に送出する。また、トラヒック分離部21は、受信したパケットを読み出した後に、読み出したパケットが、パケット数のカウント対象として予め決められたプロトコル種別であるか否かを判断し、予め決められたプロトコル種別であると判断した場合にパケット数カウント部22にパケットのコピーを送出する。
パケット数カウント部22は、トラヒック分離部21によってパケット数カウント対象であると判断されたパケットを受信し、予め設定されている一定の時間期間でプロトコル種別毎にパケットの総数をカウントする。パケット数データ収集部23は、一定の時間間隔毎に割り当てられるタイムスロット番号と、プロトコル種別とに対応付けてパケットの総数の情報をトラヒック記憶部31に記録する。
多次元ベクトル生成部24は、トラヒック記憶部31からタイムスロット番号毎に各プロトコル種別のパケットの総数を読み出し、同一のタイムスロット番号の各プロトコル種別のパケット総数を要素とする多次元ベクトルを生成する。多次元ベクトル標準化処理部25は、多次元ベクトル生成部24の生成した多次元ベクトルから標準化ベクトルを生成し、タイムスロット番号とプロトコル種別とに対応付けて、生成した標準化ベクトルの情報を標準化ベクトル記憶部32に記録する。
クラスタ生成部26は、多次元ベクトル標準化処理部25によって生成され、標準化ベクトル記憶部32に一定の期間蓄積された複数の標準化ベクトルを読み出し、クラスタに分類する。クラスタ分類判断部27は、クラスタの数が妥当であるか否かを判断する。トラヒック状態情報抽出部28は、クラスタ分類判断部27によりクラスタ数が妥当であると判断されたときの各クラスタのトラヒック状態、すなわち、各クラスタに含まれる複数の標準化ベクトルの情報を標準化ベクトル記憶部32から読み出し、それらの統計情報を通常状態トラヒックの特徴情報として学習データ記憶部33に書き込む。
図4は、トラヒック状態抽出装置1の未知攻撃検出機能にかかわる部分の概略ブロック図である。
トラヒック状態抽出装置1において、トラヒック分離部41は、ネットワーク回線11とネットワーク回線12とに接続されており、ネットワーク回線11からネットワーク回線12方向へに流れる検査対象トラヒックのパケットを受信し、受信したパケットを読み出した後に、当該パケットをネットワーク回線12に送出する。また、トラヒック分離部41は、受信したパケットを読み出した後に、読み出したパケットが予め決められたパケットカウント対象のプロトコル種別であるか否かを判断し、予め決められたプロトコル種別であると判断した場合にパケット数カウント部42にパケットのコピーを送出する。
パケット数カウント部42は、トラヒック分離部41によってパケット数カウント対象であると判断されたパケットを受信し、予め設定されている一定の時間期間でプロトコル種別毎にパケットの総数をカウントする。パケット数データ収集部43は、一定の時間間隔毎に割り当てられるタイムスロット番号と、プロトコル種別とに対応付けてパケットの総数の情報を検査トラヒック記憶部34に記録する。
多次元ベクトル生成部44は、検査トラヒック記憶部34からタイムスロット番号毎の各プロトコル種別のパケットの総数を読み出し、同一のタイムスロット番号の各プロトコル種別のパケット総数を要素とする多次元ベクトルを生成する。多次元ベクトル標準化処理部45は、多次元ベクトル生成部44の生成した検査対象トラヒックの多次元ベクトルを標準化して検査データを生成する。
多次元空間マッピング部46は、多次元ベクトル標準化処理部45により生成された検査データを多次元空間にマッピングする。距離算出部47は、学習データ記憶部33から読み出した通常状態トラヒックの特徴情報により多次元空間上に展開される、複数の各クラスタそれぞれに対応する通常状態の特徴ベクトルの分布位置と、多次元空間マッピング部46によりマッピングされた検査データとの距離を距離算出部47にてそれぞれ算出し、それぞれの距離のうち最小のものを通常状態からの逸脱度とする。
異常検出部48は、距離算出部47が選択した最小の距離が閾値以上である場合に異常トラヒックであると判断する。検査結果出力部49は、距離算出部47が異常トラヒックであると判断したときの検査データを異常トラヒック記憶部35に書き込み、正常であると判断したときの検査データを正常トラヒック記憶部36に書き込む。
図5は、トラヒック記憶部31のデータ構成を示した図である。同図に示すように、パケット数カウント部22によってカウントされた各プロトコル種別毎のパケットの総数は、日時情報を示すタイムスロット番号とプロトコル種別とに対応付けられて記録される。タイムスロット番号毎、プロトコル種別順にパケットの総数が記憶されているため、多次元ベクトル生成部24によって生成される多次元ベクトルは、タイムスロット番号毎の総数を読み出すことで生成することができる。
図6は、トラヒック状態抽出装置1における通常状態トラヒックの特徴抽出処理を示したフローチャートである。
まず、最初に、トラヒック分離部21が、ネットワーク回線11からトラヒックを受信して読み出し、読み出したパケットが予め決められたカウント対象のプロトコル種別であるか否かを判断する。トラヒック分離部21は、予め決められたプロトコル種別であると判断した場合にパケット数カウント部22に当該パケットのコピーを出力する(ステップS110)。パケット数カウント部22は一定の時間間隔において受信した各プロトコル種別毎のパケットの総数をカウントし(ステップS120)、パケット数データ収集部23は、カウントされた各プロトコル種別毎のパケットの総数をトラヒック記憶部31に記録する(ステップS130)。
次に、多次元ベクトル生成部24は、トラヒック記憶部31からタイムスロット毎の各プロトコル種別のパケットの総数であるトラヒック量を要素とする多次元ベクトルを生成する(ステップS140)。プロトコル種別がn個ある場合、タイムスロットtにおけるプロトコル種別1(プロトコルA)のパケット数をxt,1、プロトコル種別2(プロトコルB)のパケット数をxt,2、・・・とすると、タイムスロットtにおけるトラヒック観測量は、以下の多次元ベクトルで表される。
Figure 2007243459
次に、タイムスロット毎の各プロトコル種別パケット数の相対関係に着目するために、多次元ベクトル標準化処理部25は、多次元ベクトル生成部24の生成したトラヒック観測量(多次元ベクトル)から以下の標準化ベクトルを生成し、タイムスロット番号とプロトコル種別とに対応付けて、生成した標準化ベクトルの情報を標準化ベクトル記憶部32に記録する(ステップS150)。
Figure 2007243459
この標準化ベクトルの各成分st,i(i=1〜n)は、以下により算出される。
Figure 2007243459
ここで、
Figure 2007243459
 である。
続いて、クラスタ生成部26は、各タイムスロットのトラヒック観測量から生成され、標準化ベクトル記憶部32に一定の期間蓄積された複数の標準化ベクトルを、プロトコル種別数に対応する次元数を有する多次元空間にマッピングする。そして、クラスタ生成部26は、まず、クラスタ数を2として、マッピングした標準化ベクトルのクラスタリングを行い(ステップS160)、クラスタ分類判断部27は、そのクラスタ分類が適切であるか否かを判断する(ステップS170)。クラスタ分類判断部27によりクラスタ分類が適切ではないと判断された場合(ステップS170:NO)、クラスタ生成部26は、クラスタ数を1つ増やして、標準化ベクトルのクラスタリングを行い、クラスタ分類判断部27が、そのクラスタ数による分類が適切であるか否かを判断するステップS160〜S170を繰り返す。
そして、クラスタ分類判断部27によりクラスタ分類が適切であると判断された場合(ステップS170:YES)、トラヒック状態情報抽出部28は、そのときのトラヒック状態を示す基準情報を学習データ記憶部33に書き込む(ステップS180)。具体的には、適切なクラスタ数がkであった場合、そのときの各クラスタj(j=1〜k)に属する標準化ベクトルについて、各プロトコル種別i毎の平均と標準偏差を、以下により算出し、通常状態を示す基準情報とする。
Figure 2007243459
これは、すなわち、多次元空間上のクラスタの分布位置を、そのクラスタに属する標準化ベクトルの平均を中心として、各プロトコル種別に対応する座標軸の方向にどれくらい分布しているかを、そのプロトコルに対応する標準偏差で示すものである。
図7は、トラヒック状態情報抽出部28が学習データ記憶部33に書き込む基準情報の例を示す図である。同図に示すトラヒック状態の分類は、各クラスタに相当する。これは、各クラスタが、ブロードバンド通信、ウェブ通信などの通信サービスの種別毎の標準的なトラヒック状態と対応することによる。基準情報は、各クラスタにおける各プロトコル種別毎の標準化パケット数、各クラスタに含まれる標準化ベクトルの平均、及び、標準偏差の情報からなる。
図8は、図6のステップS160におけるクラスタ生成処理を示すフローチャートを示す。
クラスタ生成部26は、プロトコル種別の数を次元数とする多次元ベクトルの特徴空間を生成する(ステップS210)。クラスタ生成部26は、ステップS210において生成した特徴空間上に、図6のステップS150において生成され、標準化ベクトル記憶部32に一定の期間蓄積された各タイムスロットの複数の標準化ベクトルを読み出してマッピングする(ステップS220)。クラスタ生成部26は、標準化ベクトルを特徴空間にマッピングしたデータに対してクラスタ数を設定する(ステップS230)。クラスタ数は、最初は2であるが、クラスタ生成処理が実行される度に1づつ増加する。クラスタ生成部26は、設定したクラスタ数に従い、k−means法を用いて、特徴空間上の標準化ベクトルのマッピングデータをクラスタリングし(ステップS240)、クラスタリングされたマッピングデータの集合をクラスタとして生成する(ステップS250)。
なお、k−means法によるクラスタリングは、以下のように行う。(1)予め固定されたk個のクラスタの中心を適当に設定し、(2)全ての標準化ベクトルを最も近い中心に割り当て、(3)クラスタ毎に中心(平均値)を再計算する。(4)すべてのクラスタの中心(平均値)が変化しなければ終了し、変化する場合には、(3)で算出されたクラスタの中心を新たなクラスタ中心として(2)からの処理を繰り返す。このように中心(平均値)の算出と標準化ベクトルの割り当てを収束するまで繰り返すことで、適切な平均値の推定と標準化ベクトルの分割が行われる。
図6のステップS170におけるクラスタ数が適切かどうかの判断の具体的な処理について以下に示す。
図8に示すように、クラスタ生成部26は、複数収集された標準化ベクトルから通常状態を分析するために、k−means法を利用し、クラスタ数を変化させながらクラスタリングを行う。クラスタ分類判断部27は、クラスタj(j=1〜k)に属する標準化ベクトルの各プロトコル種別i(i=1〜n)の最大値と最小値の差から得られるクラスタ分布幅wi,jの全プロトコル種別分を総積し、クラスタjに属するベクトルの分布に外接する立方体の体積を求め、その総和V(k)を算出する。
Figure 2007243459
クラスタ数kに比例して、これら立方体とベクトルの分布との誤差が減少し、ベクトルの分布が疎となる空間を立方体が包含する確率が低下するため、kの増加に対してV(k)が収束する傾向になる。V(k)が収束するということは、クラスタ数が必要十分な数になったと言え、クラスタ生成部26は、その収束を、下記の式により定義されるR(k)がある閾値以下になった場合として検出する。R(k)は、クラスタ数1を基準にしたV(k)の比率を示す。
Figure 2007243459
図9は、クラスタ数によるR(k)の変化を示す図である。同図において、クラスタ数kを変化させてR(k)を求めたとき、クラスタ分類判断部27は、閾値0.01を最初に下回ったk=4を適切なクラスタ数であると判断している。
図10は、トラヒック状態抽出装置1における未知攻撃検査処理を示したフローチャートである。
まず、最初に、トラヒック分離部41が、ネットワーク回線11からトラヒックを受信して読み出し、読み出したパケットが予め決められた検査対象のプロトコル種別であるか否かを判断し、予め決められたプロトコル種別であると判断した場合にパケット数カウント部42にパケットのコピーを出力する(ステップS310)。パケット数カウント部42は一定の時間間隔において受信した各プロトコル種別毎のパケットの総数をカウントし(ステップS320)、パケット数データ収集部43は、カウントされた各プロトコル種別毎のパケットの総数を検査トラヒック記憶部34に記録する(ステップS330)。
次に、多次元ベクトル生成部44は、検査トラヒック記憶部34からタイムスロット毎の各プロトコル種別のパケットの総数を要素とする多次元ベクトルを生成する(ステップS340)。プロトコル種別がn個ある場合、タイムスロットtにおいて、プロトコル種別1(プロトコルA)のトラヒック量をx’t,1、プロトコル種別2(プロトコルB)のトラヒック量をx’t,2、・・・とすると、タイムスロットtにおける検査対象トラヒックの観測量は、以下の多次元ベクトルで表される。
Figure 2007243459
次に、多次元ベクトル標準化処理部45は、多次元ベクトル生成部44の生成した検査対象トラヒック観測量(多次元ベクトル)を標準化して、検査データである標準化検査対象ベクトルを生成する(ステップS350)。標準化検査対象ベクトルは、以下のように表される。
Figure 2007243459
この標準化検査対象ベクトルの各成分s’t,i(i=1〜n)は、以下により算出される。
Figure 2007243459
ここで、
Figure 2007243459
 である。
続いて、多次元空間マッピング部46は、プロトコル種別数に対応する次元数を有する多次元空間に、学習データ記憶部33から読み出した基準情報で示される通常状態トラヒックの特徴情報により多次元空間上に展開される、複数のクラスタそれぞれに対応する多次元空間上の特徴ベクトルの通常状態の分布位置をマッピングするとともに、多次元ベクトル標準化処理部45により生成された標準化検査対象ベクトルをマッピングする(ステップS360)。
距離算出部47は、標準化検査対象ベクトルと、各通常状態トラヒック特徴の分布位置との距離を算出し(ステップS370)、その最小の距離である逸脱度Dev(k)を選択する(ステップS380)。具体的には、距離算出部47は、プロトコル種別i(i=1〜n)毎に、‘標準化検査対象ベクトルの各成分’と‘通常状態トラヒック特徴情報の各成分の平均’との差を、‘通常状態トラヒック特徴情報の各成分の標準偏差’で正規化した値の平方和をとって平方根を求めることにより、標準化検査対象ベクトルとj番目(j=1〜k)のクラスタの分布位置との重みつきユークリッド距離を求める(ステップS170)。そして、この求めた重みつきユークリッド距離のうち、最小の距離を選択することで、標準化検査対象ベクトルと最も近いクラスタ分布位置との隔たりである通常状態からの逸脱度Dev(k)を求める。ただし、iはプロトコル種別、kはクラスタ数である。
Figure 2007243459
異常検出部48は、距離算出部47が算出した逸脱度Dev(k)が予め設定された閾値以上であるか否かを判断する(ステップS390)。異常検出部48により閾値以上であると判断された場合(ステップS390:YES)、検査結果出力部49は異常トラヒックのデータとして、そのときのタイムスロット番号、検査対象トラヒック観測量、標準化検査対象ベクトル、逸脱度などを異常トラヒック記憶部35に書き込むとともに、これらのデータをディスプレイなどに出力する(ステップS400)。一方、異常検出部48により閾値未満であると判断された場合(ステップS390:NO)、検査結果出力部49は、正常トラヒックのデータとして、そのときのタイムスロット番号、検査対象トラヒック観測量、標準化検査対象ベクトルなどを正常トラヒック記憶部36に書き込む(ステップS410)。
図11は、図10のステップS360において、多次元空間マッピング部46が、学習データ記憶部33から読み出した基準情報で示される通常状態トラヒックの特徴情報により多次元空間上に展開される、複数の各クラスタそれぞれに対応する通常状態の標準化ベクトルの分布位置と、多次元ベクトル標準化処理部45により生成された標準化検査対象ベクトルである検査データを多次元空間にマッピングした状態の図である。同図においては、プロトコル種別がUDP,TCP−synの2次元空間に、通常状態の4つのクラスタ1〜4と、複数の検査データのマッピングが示されており、異常検出部48により逸脱度が閾値を超えていると判断された1つの検査データが異常データとして検出されている。
上述する実施の形態によれば、トラヒック状態抽出装置1は、通常状態のトラヒックを分析し、そのトラヒックの多様性を複数の特徴情報として抽出することができる。従って、時間帯やアプリケーション等でトラヒック特性の変化が生じる場合であっても、それらを分析してそれぞれのトラヒック特性に対応した特徴情報を抽出することが可能となる。また、このとき、トラヒック内のアプリケーションの種類を事前に把握していなくても、観測トラヒックの内容によりこの特性の分類数を自動で決定することができる。
このように、特性の異なるトラヒック状態を有する通常時のトラヒック状態の基準を高精度に定義できるため、通常時のトラヒック状態を基準にして逸脱の程度を評価し、ネットワーク回線状態の異常判断を行う装置において、トラヒック異常検知の精度向上が見込める。さらに、ネットワーク運用管理において、抽出した高度な通常トラヒック状態からネットワーク回線利用状況等を分析して設備設計を行うことで、効率的な設備投資が可能となる。
なお、トラヒック状態抽出装置1は、内部にコンピュータシステムを有している。そして、上述したトラヒック状態抽出装置1のトラヒック分離部21、パケット数カウント部22、パケット数データ収集部23、多次元ベクトル生成部24、多次元ベクトル標準化処理部25、クラスタ生成部26、クラスタ分類判断部27、トラヒック状態情報抽出部28、トラヒック分離部41、パケット数カウント部42、パケット数データ収集部43、多次元ベクトル生成部44、多次元ベクトル標準化処理部45、多次元空間マッピング部46、距離算出部47、異常検出部48、及び、検査結果出力部49の動作の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータシステムが読み出して実行することによって、上記処理が行われる。ここでいうコンピュータシステムとは、CPUや各種メモリ、OSや周辺機器等のハードウェアを含むものである。
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間の間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含むものとする。また上記プログラムは、前述した機能の一部を実現するためのものであっても良く、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであっても良い。
本実施形態によるトラヒック状態抽出装置を用いた通常状態トラヒックの特徴抽出方法の原理を説明するための図である。 同実施形態によるトラヒック状態抽出装置を用いた未知攻撃検出方法の原理を説明するための図である。 同実施形態によるトラヒック状態抽出装置における通常状態トラヒックの特徴抽出機能にかかわる機能ブロック図である。 同実施形態によるトラヒック状態抽出装置における未知攻撃検出機能にかかわる機能ブロック図である。 同実施形態によるトラヒック状態抽出装置のトラヒック記憶部のデータ構成を示す図である。 同実施形態によるトラヒック状態抽出装置における通常状態トラヒックの特徴抽出処理のフローチャートである。 同実施形態によるトラヒック状態抽出装置の学習データ記憶部のデータ構成を示す図である。 同実施形態によるトラヒック状態抽出装置におけるクラスタ生成処理のフローチャートである。 同実施形態によるトラヒック状態抽出装置の算出するR(k)の変化を示すグラフである。 同実施形態によるトラヒック状態抽出装置における未知攻撃検査処理のフローチャートである。 同実施形態によるトラヒック状態抽出装置における多次元空間への標準化検査対象ベクトルのマッピングイメージを示す図である。
符号の説明
1…トラヒック状態抽出装置
11、12…ネットワーク回線
21…トラヒック分離部(第1のトラヒック分離手段)
22…パケット数カウント部(第1のパケット数カウント手段)
23…パケット数データ収集部
24…多次元ベクトル生成部(第1の多次元ベクトル生成手段)
25…多次元ベクトル標準化処理部(第1の多次元ベクトル標準化処理手段)
26…クラスタ生成部(クラスタ生成手段)
27…クラスタ分類判断部(クラスタ分類判定手段)
28…トラヒック状態情報抽出部(トラヒック状態情報抽出手段)
31…トラヒック記憶部
32…標準化ベクトル記憶部
33…学習データ記憶部(記憶手段)
34…検査トラヒック記憶部
35…異常トラヒック記憶部
36…正常トラヒック記憶部
41…トラヒック分離部(第2のトラヒック分離手段)
42…パケット数カウント部(第2のパケット数カウント手段)
43…パケット数データ収集部
44…多次元ベクトル生成部(第2の多次元ベクトル生成手段)
45…多次元ベクトル標準化処理部(第2の多次元ベクトル標準化処理手段)
46…多次元空間マッピング部
47…距離算出部(距離算出手段)
48…異常検出部(異常検出手段)
49…検査結果出力部

Claims (7)

  1. プロトコル種別の異なるパケットが送信されるネットワーク回線に接続され、前記ネットワーク回線から前記パケットを受信し、受信した前記パケットを前記プロトコル種別毎に分離する第1のトラヒック分離手段と、
    一定の時間間隔毎に、その時間間隔内において前記第1のトラヒック分離手段により分離された前記パケットを前記プロトコル種別毎にカウントする第1のパケット数カウント手段と、
    同一の前記時間間隔内において前記第1のパケット数カウント手段によりカウントされたプロトコル種別毎のカウント数を、予め定められた前記プロトコル種別の順に並べ、当該時間間隔毎の多次元ベクトルを生成する第1の多次元ベクトル生成手段と、
    前記第1の多次元ベクトル生成手段により生成された多次元ベクトルそれぞれを標準化して前記時間間隔毎の標準化ベクトルを生成する第1の多次元ベクトル標準化手段と、
    前記第1の多次元ベクトル標準化手段により生成された複数の前記時間間隔毎の標準化ベクトルを、クラスタ数を変化させながら複数のクラスタに分割するクラスタ生成手段と、
    前記クラスタ生成手段により分割されたクラスタの数が適切であるか否かを判断するクラスタ分類判断手段と、
    前記クラスタ生成手段が、前記クラスタ分類判断手段により適切であると判断されたクラスタ数にクラスタ分割したときの複数のクラスタそれぞれに含まれる複数の前記標準化ベクトルの統計情報からなるトラヒック状態の特徴情報を記憶手段に書き込むトラヒック状態情報抽出手段と、
    を備えることを特徴とするトラヒック状態抽出装置。
  2. プロトコル種別の異なるパケットが送信されるネットワーク回線に接続され、前記ネットワーク回線から検査対象の前記パケットを受信し、受信した前記検査対象のパケットを前記プロトコル種別毎に分離する第2のトラヒック分離手段と、
    一定の時間間隔内において前記第2のトラヒック分離手段により分離された前記検査対象のパケットを前記プロトコル種別毎にカウントする第2のパケット数カウント手段と、
    前記時間間隔内において前記第2のパケット数カウント手段によりカウントされたプロトコル種別毎のカウント数を、予め定められた前記プロトコル種別の順に並べ、多次元ベクトルを生成する第2の多次元ベクトル生成手段と、
    前記第2の多次元ベクトル生成手段により生成された多次元ベクトルを標準化して標準化ベクトルを生成する第2の多次元ベクトル標準化手段と、
    前記第2の多次元ベクトル標準化手段により生成された前記標準化ベクトルと、前記記憶手段内から読み出される特徴情報により示され、前記複数のクラスタに対応して多次元空間上に展開される特徴ベクトルの分布位置それぞれとの距離を算出し、算出したそれぞれの距離のうち最小値を選択する距離算出手段と、
    前記距離算出手段により選択された距離の最小値と、予め決められた閾値とを比較してトラヒック異常を検出する異常検出手段と、
    をさらに備えることを特徴とする請求項1に記載のトラヒック状態抽出装置。
  3. 前記クラスタ生成手段は、k−means法によりクラスタ分割を行い、
    前記クラスタ分類判断手段は、前記クラスタ生成手段により分割された各クラスタに含まれる標準化ベクトルに外接する立方体の体積を求め、その体積の総和と、クラスタ数が1のときに当該クラスタに含まれる標準化ベクトルに外接する立方体の体積との比率を算出し、この算出した比率と所定の閾値とを比較することにより、クラスタ数が適切であるか否かを判断する、
    ことを特徴とする請求項1または請求項2に記載のトラヒック状態抽出装置。
  4. プロトコル種別の異なるパケットが送信されるネットワーク回線に接続されるトラヒック状態抽出装置におけるトラヒック状態抽出方法であって、
    前記ネットワーク回線から前記パケットを受信し、受信した前記パケットを前記プロトコル種別毎に分離する第1のトラヒック分離ステップと、
    一定の時間間隔毎に、その時間間隔内において前記第1のトラヒック分離ステップにより分離された前記パケットを前記プロトコル種別毎にカウントする第1のパケット数カウントステップと、
    同一の前記時間間隔内において前記第1のパケット数カウントステップによりカウントされたプロトコル種別毎のカウント数を、予め定められた前記プロトコル種別の順に並べ、当該時間間隔毎の多次元ベクトルを生成する第1の多次元ベクトル生成ステップと、
    前記第1の多次元ベクトル生成ステップにより生成された多次元ベクトルそれぞれを標準化して前記時間間隔毎の標準化ベクトルを生成する第1の多次元ベクトル標準化ステップと、
    前記第1の多次元ベクトル標準化ステップにより生成された複数の前記時間間隔毎の標準化ベクトルを、クラスタ数を変化させながら複数のクラスタに分割するクラスタ生成ステップと、
    前記クラスタ生成ステップにより分割されたクラスタの数が適切であるか否かを判断するクラスタ分類判断ステップと、
    前記クラスタ生成ステップにおいて、前記クラスタ分類判断ステップにより適切であると判断されたクラスタ数にクラスタ分割したときの複数のクラスタそれぞれに含まれる複数の前記標準化ベクトルの統計情報からなるトラヒック状態の特徴情報を記憶手段に書き込むトラヒック状態情報抽出ステップと、
    を有することを特徴とするトラヒック状態抽出方法。
  5. 前記ネットワーク回線から検査対象の前記パケットを受信し、受信した前記検査対象のパケットを前記プロトコル種別毎に分離する第2のトラヒック分離ステップと、
    一定の時間間隔内において前記第2のトラヒック分離ステップにより分離された前記検査対象のパケットを前記プロトコル種別毎にカウントする第2のパケット数カウントステップと、
    前記時間間隔内において前記第2のパケット数カウントステップによりカウントされたプロトコル種別毎のカウント数を、予め定められた前記プロトコル種別の順に並べ、多次元ベクトルを生成する第2の多次元ベクトル生成ステップと、
    前記第2の多次元ベクトル生成ステップによって生成された多次元ベクトルを標準化して標準化ベクトルを生成する第2の多次元ベクトル標準化ステップと、
    前記第2の多次元ベクトル標準化ステップにより生成された前記標準化ベクトルと、前記記憶手段内から読み出される特徴情報により示され、前記複数のクラスタに対応して多次元空間上に展開される特徴ベクトルの分布位置それぞれとの距離を算出し、算出したそれぞれの距離のうち最小値を選択する距離算出ステップと、
    前記距離算出ステップにより選択された距離の最小値と、予め決められた閾値とを比較してトラヒック異常を検出する異常検出ステップと、
    をさらに有することを特徴とする請求項4に記載のトラヒック状態抽出方法。
  6. プロトコル種別の異なるパケットが送信されるネットワーク回線に接続されるトラヒック状態抽出装置としてのコンピュータを、
    前記ネットワーク回線から前記パケットを受信し、受信した前記パケットを前記プロトコル種別毎に分離する第1のトラヒック分離手段、
    一定の時間間隔毎に、その時間間隔内において前記第1のトラヒック分離手段により分離された前記パケットを前記プロトコル種別毎にカウントする第1のパケット数カウント手段、
    同一の前記時間間隔内において前記第1のパケット数カウント手段によりカウントされたプロトコル種別毎のカウント数を、予め定められた前記プロトコル種別の順に並べ、当該時間間隔毎の多次元ベクトルを生成する第1の多次元ベクトル生成手段、
    前記第1の多次元ベクトル生成手段により生成された多次元ベクトルそれぞれを標準化して前記時間間隔毎の標準化ベクトルを生成する第1の多次元ベクトル標準化手段、
    前記第1の多次元ベクトル標準化手段により生成された複数の前記時間間隔毎の標準化ベクトルを、クラスタ数を変化させながら複数のクラスタに分割するクラスタ生成手段、
    前記クラスタ生成手段により分割されたクラスタの数が適切であるか否かを判断するクラスタ分類判断手段、
    前記クラスタ生成手段が、前記クラスタ分類判断手段により適切であると判断されたクラスタ数にクラスタ分割したときの複数のクラスタそれぞれに含まれる複数の前記標準化ベクトルの統計情報からなるトラヒック状態の特徴情報を記憶手段に書き込むトラヒック状態情報抽出手段、
    として機能させることを特徴とするコンピュータプログラム。
  7. トラヒック状態抽出装置としての前記コンピュータを、
    前記ネットワーク回線から検査対象の前記パケットを受信し、受信した前記検査対象のパケットを前記プロトコル種別毎に分離する第2のトラヒック分離手段、
    一定の時間間隔内において前記第2のトラヒック分離手段により分離された前記検査対象のパケットを前記プロトコル種別毎にカウントする第2のパケット数カウント手段、
    前記時間間隔内において前記第2のパケット数カウント手段によりカウントされたプロトコル種別毎のカウント数を、予め定められた前記プロトコル種別の順に並べ、多次元ベクトルを生成する第2の多次元ベクトル生成手段、
    前記第2の多次元ベクトル生成手段により生成された多次元ベクトルを標準化して標準化ベクトルを生成する第2の多次元ベクトル標準化手段、
    前記第2の多次元ベクトル標準化手段により生成された前記標準化ベクトルと、前記記憶手段内から読み出される特徴情報により示され、前記複数のクラスタに対応して多次元空間上に展開される特徴ベクトルの分布位置それぞれとの距離を算出し、算出したそれぞれの距離のうち最小値を選択する距離算出手段、
    前記距離算出手段により選択された距離の最小値と、予め決められた閾値とを比較してトラヒック異常を検出する異常検出手段、
    としてさらに機能させることを特徴とする請求項6に記載のコンピュータプログラム。
JP2006061556A 2006-03-07 2006-03-07 トラヒック状態抽出装置及び方法ならびにコンピュータプログラム Pending JP2007243459A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006061556A JP2007243459A (ja) 2006-03-07 2006-03-07 トラヒック状態抽出装置及び方法ならびにコンピュータプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006061556A JP2007243459A (ja) 2006-03-07 2006-03-07 トラヒック状態抽出装置及び方法ならびにコンピュータプログラム

Publications (1)

Publication Number Publication Date
JP2007243459A true JP2007243459A (ja) 2007-09-20

Family

ID=38588568

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006061556A Pending JP2007243459A (ja) 2006-03-07 2006-03-07 トラヒック状態抽出装置及び方法ならびにコンピュータプログラム

Country Status (1)

Country Link
JP (1) JP2007243459A (ja)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007295056A (ja) * 2006-04-21 2007-11-08 Mitsubishi Electric Corp ネットワーク状態判定装置及びネットワーク状態判定方法及びネットワーク状態判定プログラム
JP2010050939A (ja) * 2008-08-25 2010-03-04 Hitachi Information Systems Ltd 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム
JP2012186747A (ja) * 2011-03-08 2012-09-27 Hitachi Ltd コレクタ装置、ネットワーク管理システム及びネットワーク管理方法
JP2014064216A (ja) * 2012-09-21 2014-04-10 Kddi R & D Laboratories Inc 攻撃ホストの挙動解析装置、方法及びプログラム
JP2016057875A (ja) * 2014-09-10 2016-04-21 日本電気株式会社 イベント推定装置、イベント推定方法、及び、イベント推定プログラム
JP2017143583A (ja) * 2014-06-18 2017-08-17 日本電信電話株式会社 ネットワークシステム
WO2021059632A1 (ja) * 2019-09-24 2021-04-01 株式会社日立製作所 通信制御装置およびシステム
JP2021522566A (ja) * 2018-04-17 2021-08-30 ルノー エス.ア.エス.Renault S.A.S. 接続性モジュールを標的にする攻撃ストリームをフィルタリングする方法

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007295056A (ja) * 2006-04-21 2007-11-08 Mitsubishi Electric Corp ネットワーク状態判定装置及びネットワーク状態判定方法及びネットワーク状態判定プログラム
JP4745881B2 (ja) * 2006-04-21 2011-08-10 三菱電機株式会社 ネットワーク状態判定装置及びネットワーク状態判定方法及びネットワーク状態判定プログラム
JP2010050939A (ja) * 2008-08-25 2010-03-04 Hitachi Information Systems Ltd 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム
JP2012186747A (ja) * 2011-03-08 2012-09-27 Hitachi Ltd コレクタ装置、ネットワーク管理システム及びネットワーク管理方法
JP2014064216A (ja) * 2012-09-21 2014-04-10 Kddi R & D Laboratories Inc 攻撃ホストの挙動解析装置、方法及びプログラム
US10476901B2 (en) 2014-06-18 2019-11-12 Nippon Telegraph And Telephone Corporation Network system, control apparatus, communication apparatus, communication control method, and communication control program
JP2017143583A (ja) * 2014-06-18 2017-08-17 日本電信電話株式会社 ネットワークシステム
US10397260B2 (en) 2014-06-18 2019-08-27 Nippon Telegraph And Telephone Corporation Network system
JP2016057875A (ja) * 2014-09-10 2016-04-21 日本電気株式会社 イベント推定装置、イベント推定方法、及び、イベント推定プログラム
JP2021522566A (ja) * 2018-04-17 2021-08-30 ルノー エス.ア.エス.Renault S.A.S. 接続性モジュールを標的にする攻撃ストリームをフィルタリングする方法
JP7339276B2 (ja) 2018-04-17 2023-09-05 ルノー エス.ア.エス. 接続性モジュールを標的にする攻撃ストリームをフィルタリングする方法
WO2021059632A1 (ja) * 2019-09-24 2021-04-01 株式会社日立製作所 通信制御装置およびシステム
JP2021052256A (ja) * 2019-09-24 2021-04-01 株式会社日立製作所 通信制御装置およびシステム
CN114342321A (zh) * 2019-09-24 2022-04-12 株式会社日立制作所 通信控制装置以及***
JP7337627B2 (ja) 2019-09-24 2023-09-04 株式会社日立製作所 通信制御装置およびシステム
CN114342321B (zh) * 2019-09-24 2024-03-22 株式会社日立制作所 通信控制装置以及***

Similar Documents

Publication Publication Date Title
CN108322347B (zh) 数据检测方法、装置、检测服务器及存储介质
EP4242878A1 (en) Method and apparatus for training isolation forest, and method and apparatus for recognizing web crawler
JP2007243459A (ja) トラヒック状態抽出装置及び方法ならびにコンピュータプログラム
CN103795612B (zh) 即时通讯中的垃圾和违法信息检测方法
US20160212163A1 (en) Method and Apparatus to Identify the Source of Information or Misinformation in Large-Scale Social Media Networks
JP2019061565A (ja) 異常診断方法および異常診断装置
WO2014132612A1 (ja) システム分析装置、及び、システム分析方法
US20080267083A1 (en) Automatic Discovery Of Service/Host Dependencies In Computer Networks
CN108683564B (zh) 一种基于多维决策属性的网络仿真***可信度评估方法
JP2011015253A (ja) 通信トラヒック分類方法、装置、およびプログラム
CN115643035A (zh) 基于多源日志的网络安全态势评估方法
Zhang et al. Topology inference with network tomography based on t-test
WO2018033052A1 (zh) 一种评估用户画像数据的方法及***
CN116662817A (zh) 物联网设备的资产识别方法及***
CN118094118A (zh) 数据集质量评估方法、***、电子设备及存储介质
CN114584377A (zh) 流量异常检测方法、模型的训练方法、装置、设备及介质
JP7033262B2 (ja) 情報処理装置、情報処理方法及びプログラム
US20120284381A1 (en) Systems, methods and devices for extracting and visualizing user-centric communities from emails
JP7274162B2 (ja) 異常操作検知装置、異常操作検知方法、およびプログラム
JP2020204800A (ja) 学習用データセット生成システム、学習サーバ、及び学習用データセット生成プログラム
JP6858798B2 (ja) 特徴量生成装置、特徴量生成方法及びプログラム
CN111368128A (zh) 目标图片的识别方法、装置和计算机可读存储介质
JP6223897B2 (ja) 異常検知装置及び異常検知システム
CN109547236A (zh) 电子数据上传存储方法、可读存储介质和终端
CN102098346A (zh) 一种在未知流量中识别p2p流媒体流量的方法