JP4112584B2 - 異常トラヒック検出方法及び装置 - Google Patents
異常トラヒック検出方法及び装置 Download PDFInfo
- Publication number
- JP4112584B2 JP4112584B2 JP2005364484A JP2005364484A JP4112584B2 JP 4112584 B2 JP4112584 B2 JP 4112584B2 JP 2005364484 A JP2005364484 A JP 2005364484A JP 2005364484 A JP2005364484 A JP 2005364484A JP 4112584 B2 JP4112584 B2 JP 4112584B2
- Authority
- JP
- Japan
- Prior art keywords
- field
- value
- counter
- similarity
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、異常トラヒック検出方法及び装置に係り、特に、コンピュータネットワークのトラヒックの異常を検出する方法および装置に関するものである。
インターネットにおける特定サーバに対する攻撃などの異常トラヒックの増加に伴い、異常トラヒックの検出手法に対する要求が高まっている。
現状の異常トラヒック検出手法は、シグネチャに基づくものと、統計情報に基づくものに大別される。
前者は、予め異常と判断されたトラヒックパターンをシグネチャとして用意しておき、観測トラヒックと同シグネチャを比較することによって観測トラヒックが異常か否かを判断するものである。
同手法は、観測トラヒックが異常か否かを確実に判断できる半面、すべての異常トラヒックパターンを用意することが困難であること、特に、シグネチャが得られていない新規の異常トラヒックを検知することが出来ないという問題がある。
現状の異常トラヒック検出手法は、シグネチャに基づくものと、統計情報に基づくものに大別される。
前者は、予め異常と判断されたトラヒックパターンをシグネチャとして用意しておき、観測トラヒックと同シグネチャを比較することによって観測トラヒックが異常か否かを判断するものである。
同手法は、観測トラヒックが異常か否かを確実に判断できる半面、すべての異常トラヒックパターンを用意することが困難であること、特に、シグネチャが得られていない新規の異常トラヒックを検知することが出来ないという問題がある。
統計情報に基づく手法は、過去の観測トラヒック履歴から統計情報を作成しておき、新規に観測したトラヒックが異常か否かを、過去のトラヒックから統計的に逸脱しているか否かで判断するものである。観測対象としては、パケット数などの総トラヒック量に基づくものが一般的である。
しかしながら、総トラヒック量観測に基づく統計的異常検出では、総トラヒックの変化として現れないようなトラヒックデータ中の一部の変化による異常検出が困難、また、異常検出した後の異常原因特定が困難という問題がある。
一方、総トラヒック量監視ではなく、指定フィールド(例えば、送信IPアドレスフィールド)のフィールド値毎の指定カウンタ(例えば、送信IPアドレス毎のパケット数もしくは送信IPアドレス毎のバイト数)を保持し、このカウンタ値の統計情報から異常検出する手法では、このような問題はなく、一部の送信IPアドレスのパケット数の変化の検出、また、変化を起こした送信IPアドレスの特定が可能である。
しかしながら、この方式では観測されるフィールド値の数と同じ数のカウンタを必要とし、多数のフィールド値が発生するトラヒックに、この方式を適用するためには、膨大なメモリを必要とするため、実現が困難である。
しかしながら、総トラヒック量観測に基づく統計的異常検出では、総トラヒックの変化として現れないようなトラヒックデータ中の一部の変化による異常検出が困難、また、異常検出した後の異常原因特定が困難という問題がある。
一方、総トラヒック量監視ではなく、指定フィールド(例えば、送信IPアドレスフィールド)のフィールド値毎の指定カウンタ(例えば、送信IPアドレス毎のパケット数もしくは送信IPアドレス毎のバイト数)を保持し、このカウンタ値の統計情報から異常検出する手法では、このような問題はなく、一部の送信IPアドレスのパケット数の変化の検出、また、変化を起こした送信IPアドレスの特定が可能である。
しかしながら、この方式では観測されるフィールド値の数と同じ数のカウンタを必要とし、多数のフィールド値が発生するトラヒックに、この方式を適用するためには、膨大なメモリを必要とするため、実現が困難である。
なお、本願発明に関連する先行技術文献としては以下のものがある。
特開2005-65294号公報
Robert Schweller,Ashish Gupta,Elliot Parsons,Yan Chen,"Reversible Sketches for Efficient and Accurate Change Detection over Network Data Streams,"Proceedings of the ACM SIGCOMM Internet Measurrment Conference;(IMC),Octber2004.
C.Estan and G.Varghese,"New directions in traffic measurement and accounting,"in Proc.ACM SIGCOMM,August 2002.
G.Cormode and S.Muthukrishnan. WHat's hot and what's not: Tracking most frequent items dynamically. In Proceeding of ACM Principles of Database sSystems,June 2003.
RFC 3577-Introduction to the Remote Monitoring(RMON)Family of MIB Modules
Benoit Claise,"NetFlow features update,"Proceedings of Sampling 2005,July 2005
前述した課題を解決するために、前述の特許文献1では、フィールド値毎のカウンタではなく、スケッチと呼ばれる、フィールド値をハッシュ関数等で固定領域の数値に変換した値毎のカウンタを持つことにより、多数のフィールド値のカウンタを固定サイズのメモリ容量で監視する方式を提案している。
しかしながら、この方式では、フィールド値がハッシュ関数によって変換されているため、異常検出した後に、異常原因となったフィールド値を特定するのが困難という問題がある。前述の非特許文献1において、この困難さを緩和する方法が提案されているものの、異常原因特定のために繰り返し演算が必要であり、計算量の面での課題が残る。
一方、トラヒック監視に重要な、カウンタ値が大きいフィールド値のみを、限られたメモリ容量で抽出する手法が、前述の非特許文献2、3で提案されている。
また、ネットワーク機器によっては、前述の非特許文献4、5に記載されているように、カウンタ値の大きい順の上位N個のフィールド値、およびそのカウンタ値を出力する方式を実装しているものもある。
しかしながら、この方式では、フィールド値がハッシュ関数によって変換されているため、異常検出した後に、異常原因となったフィールド値を特定するのが困難という問題がある。前述の非特許文献1において、この困難さを緩和する方法が提案されているものの、異常原因特定のために繰り返し演算が必要であり、計算量の面での課題が残る。
一方、トラヒック監視に重要な、カウンタ値が大きいフィールド値のみを、限られたメモリ容量で抽出する手法が、前述の非特許文献2、3で提案されている。
また、ネットワーク機器によっては、前述の非特許文献4、5に記載されているように、カウンタ値の大きい順の上位N個のフィールド値、およびそのカウンタ値を出力する方式を実装しているものもある。
しかし、これら上位Nフィールド値およびカウンタ値を抽出する手法では、ある時点における上位Nフィールド値およびカウンタ値データのスナップショットを提供するのみであり、時系列上の上位Nフィールド値データの異常を検出するものではない。
本発明は、前記従来技術の問題点を解決するためになされたものであり、本発明の目的は、少ないメモリ容量で監視可能であり、かつ、監視対象として重要な上位N個のフィールド値とカウンタ値のデータを監視し、その時系列上の異常を検出する異常トラヒック検出方法および装置を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
本発明は、前記従来技術の問題点を解決するためになされたものであり、本発明の目的は、少ないメモリ容量で監視可能であり、かつ、監視対象として重要な上位N個のフィールド値とカウンタ値のデータを監視し、その時系列上の異常を検出する異常トラヒック検出方法および装置を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、下記の通りである。
前述の目的を達成するために、本発明は、時系列トラヒックデータ中の異常を検出する異常トラヒック検出方法であって、トラヒックデータを取得する第1のステップと、監視対象となる少なくとも1つのフィールド、およびそのフィールドに対するカウンタの種類を指定する第2のステップと、取得したトラヒックデータから、予め定められた時間間隔で、指定されたフィールドの指定カウンタに対する上位N(N≧2)個のフィールド値、およびそのカウンタ値を算出する第3のステップと、算出した上位N個のフィールド値と、そのカウンタ値データを蓄積し、新規に算出されたデータと過去のデータとの類似度を計算する第4のステップと、計算された類似度が、予め定められた閾値を下回っていれば異常として警報を発し、かつ類似度が低下した原因と推定されるフィールド値を抽出する第5のステップとを含むことを特徴とする。
また、本発明では、前記第4のステップにおいて算出する類似度が、新規に算出された上位Nフィールド値のカウンタ値と、当該フィールド値の過去のカウンタ値との相関係数に基づくものである。
前述の目的を達成するために、本発明は、時系列トラヒックデータ中の異常を検出する異常トラヒック検出方法であって、トラヒックデータを取得する第1のステップと、監視対象となる少なくとも1つのフィールド、およびそのフィールドに対するカウンタの種類を指定する第2のステップと、取得したトラヒックデータから、予め定められた時間間隔で、指定されたフィールドの指定カウンタに対する上位N(N≧2)個のフィールド値、およびそのカウンタ値を算出する第3のステップと、算出した上位N個のフィールド値と、そのカウンタ値データを蓄積し、新規に算出されたデータと過去のデータとの類似度を計算する第4のステップと、計算された類似度が、予め定められた閾値を下回っていれば異常として警報を発し、かつ類似度が低下した原因と推定されるフィールド値を抽出する第5のステップとを含むことを特徴とする。
また、本発明では、前記第4のステップにおいて算出する類似度が、新規に算出された上位Nフィールド値のカウンタ値と、当該フィールド値の過去のカウンタ値との相関係数に基づくものである。
また、本発明では、前記第4のステップにおいて算出する類似度が、ある過去の監視期間における上位Nフィールド値のカウンタ値と、該フィールド値の新規算出されたカウンタ値との相関係数に基づくものである。
また、本発明では、前記第4のステップにおいて算出する類似度が、新規に算出された上位Nフィールド値のカウンタ値と、過去に算出された上位Nフィールド値の同一順位のカウンタ値との相関係数に基づくものである。
また、本発明では、前述の各方法において、前記の前記第4のステップにおいて算出する類似度として、前記相関係数に代えて、カウンタ値間の距離の和に基づくものを使用する。
また、本発明では、前記第4のステップにおいて算出する類似度が、新規に算出された上位Nフィールド値の順位と、当該フィールド値の過去の順位との相関係数に基づくものである。
また、本発明では、前記第4のステップにおいて算出する類似度が、ある過去の監視期間における上位Nフィールド値の順位と、該フィールド値の新規算出されたカウンタ値における順位との相関係数に基づくものである。
また、本発明では、前記第4のステップにおいて算出する類似度が、過去に算出されたデータから算出されたフィールド値毎のカウンタ値の時系列予測と、新規に算出された上位Nフィールド値のカウンタ値との誤差に基づくものである。
また、本発明では、前記第4のステップにおいて算出する類似度が、新規に算出された上位Nフィールド値のカウンタ値と、過去に算出された上位Nフィールド値の同一順位のカウンタ値との相関係数に基づくものである。
また、本発明では、前述の各方法において、前記の前記第4のステップにおいて算出する類似度として、前記相関係数に代えて、カウンタ値間の距離の和に基づくものを使用する。
また、本発明では、前記第4のステップにおいて算出する類似度が、新規に算出された上位Nフィールド値の順位と、当該フィールド値の過去の順位との相関係数に基づくものである。
また、本発明では、前記第4のステップにおいて算出する類似度が、ある過去の監視期間における上位Nフィールド値の順位と、該フィールド値の新規算出されたカウンタ値における順位との相関係数に基づくものである。
また、本発明では、前記第4のステップにおいて算出する類似度が、過去に算出されたデータから算出されたフィールド値毎のカウンタ値の時系列予測と、新規に算出された上位Nフィールド値のカウンタ値との誤差に基づくものである。
また、本発明では、前記第5のステップにおいて、上位Nフィールド値をカウンタ値間の距離に関して降順に並べた際に、上位のものから当該フィールド値のカウンタ値を類似度の算出から省いた場合に閾値を下回らなくなるフィールド値を、前記類似度が低下した原因のフィールド値として推定する。
また、本発明では、前記第5のステップにおいて、上位Nフィールド値を順位の距離に関して降順に並べた際に、上位のものから当該フィールド値の順位を類似度の算出から省いた場合に閾値を下回らなくなるフィールド値を、前記類似度が低下した原因のフィールド値として推定する。
また、本発明では、前記第5のステップにおいて、上位Nフィールド値毎のカウンタ値の時系列予測と、新規に算出された上位Nフィールド値のカウンタ値の誤差の距離に関して降順に並べた際に、上位のものから該フィールド値のカウンタ値を類似度の算出から省いた場合に閾値を下回らなくなるフィールド値を、前記類似度が低下した原因のフィールド値として推定する。
また、本発明は、前述の各異常トラヒック検出方法を実行する異常トラヒック検出装置である。
また、本発明では、前記第5のステップにおいて、上位Nフィールド値を順位の距離に関して降順に並べた際に、上位のものから当該フィールド値の順位を類似度の算出から省いた場合に閾値を下回らなくなるフィールド値を、前記類似度が低下した原因のフィールド値として推定する。
また、本発明では、前記第5のステップにおいて、上位Nフィールド値毎のカウンタ値の時系列予測と、新規に算出された上位Nフィールド値のカウンタ値の誤差の距離に関して降順に並べた際に、上位のものから該フィールド値のカウンタ値を類似度の算出から省いた場合に閾値を下回らなくなるフィールド値を、前記類似度が低下した原因のフィールド値として推定する。
また、本発明は、前述の各異常トラヒック検出方法を実行する異常トラヒック検出装置である。
本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば、下記の通りである。
本発明によれば、少ない容量のメモリで監視可能な上位N個のフィールド値およびそのカウンタ値データのみを監視することにより、それらデータの異常を検出し、かつ異常の原因となるフィールド値を検出することが可能となる。
本発明によれば、少ない容量のメモリで監視可能な上位N個のフィールド値およびそのカウンタ値データのみを監視することにより、それらデータの異常を検出し、かつ異常の原因となるフィールド値を検出することが可能となる。
以下、図面を参照して本発明の実施例を詳細に説明する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
図1は、本発明の実施例の異常トラヒック検出装置の基本構成を示すブロック図である。本実施例の異常トラヒック検出方法装置は、IPネットワーク中に配置される。
トラヒック取得部10は、ネットワーク内のリンク上、およびネットワーク内部のノード内で転送されるトラヒック情報を取得し、取得トラヒック情報を上位Nフィールド値算出部12に転送する。
フィールド、カウンタ種類指定部11は、上位Nフィールド値算出部12に対して、フィールド、カウンタ種類を指定する。ここで、フィールドの指定例としては、ヘッダ情報である発信IPアドレス、受信IPアドレス、{発信IPナドレス、受信IPアドレス、プロトコル、発信ポート番号、受信ポート番号}の組(通常フローと呼ばれる)や、ペイロード情報であるURI、DNSドメイン名が挙げられる。
カウンタ種類の指定例としては、パケット数、バイト数、発信・受信IPアドレスのフィールド値に対しては、フロー数、URI、DNSドメイン名等のフィールド値に対しては、発信IPアドレス数などが挙げられる。
上位Nフィールド値算出部12は、トラヒック取得部10からのトラヒック情報を受け、フィールド、カウンタ種類指定部11から指示された、指定フィールドの指定カウンタに関する上位N個のフィールド値、カウンタ値の組を算出する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
図1は、本発明の実施例の異常トラヒック検出装置の基本構成を示すブロック図である。本実施例の異常トラヒック検出方法装置は、IPネットワーク中に配置される。
トラヒック取得部10は、ネットワーク内のリンク上、およびネットワーク内部のノード内で転送されるトラヒック情報を取得し、取得トラヒック情報を上位Nフィールド値算出部12に転送する。
フィールド、カウンタ種類指定部11は、上位Nフィールド値算出部12に対して、フィールド、カウンタ種類を指定する。ここで、フィールドの指定例としては、ヘッダ情報である発信IPアドレス、受信IPアドレス、{発信IPナドレス、受信IPアドレス、プロトコル、発信ポート番号、受信ポート番号}の組(通常フローと呼ばれる)や、ペイロード情報であるURI、DNSドメイン名が挙げられる。
カウンタ種類の指定例としては、パケット数、バイト数、発信・受信IPアドレスのフィールド値に対しては、フロー数、URI、DNSドメイン名等のフィールド値に対しては、発信IPアドレス数などが挙げられる。
上位Nフィールド値算出部12は、トラヒック取得部10からのトラヒック情報を受け、フィールド、カウンタ種類指定部11から指示された、指定フィールドの指定カウンタに関する上位N個のフィールド値、カウンタ値の組を算出する。
図2に、指定フィールドとして、発信IPアドレス、カウンタ値としてパケット数を指定した場合の上位Nフィールド値算出部12の出力の一例を示す。ここでは、N=5、出力間隔5分間としている。
類似度算出部13は、出力された上位N個のフィールド値とそのカウンタ値のデータを過去のデータと比較し、最新のデータが過去データとどの程度類似しているかを算出する。
類似度の算出方法は様々な方法が考えられるが、本実施例では、過去データとの相関係数を用いている。
以下、類似度の算出方法の一例について説明する。
時間スロット(t)におけるランキングi位のフィールド値をf(i,t)とし、時間スロット(t)におけるフィールド値fのカウンタ値をc(f,t)とする。
したがって、図2の例では、f(1,1)=192.168.0.1,f(1,2)=192.168.0.2であり、c(f(1,1),1)=5000,c(f(1,1),2)=6000となる。
このとき、本実施例の第2の方法(本願の請求項1に記載の方法)では、時間スロット(t)の上位N(Nは自然数で、N≧2)個のフィールド値のそのカウンタ値データと、直近データである時間スロット(t−1)のデータとの相関係数r(t,t−1)を、下記(1)式を用いて計算する。
前述の(1)式で示されるように、相関係数は、「−1」から「1」の値をとり、時刻スロット(t,t−1)において、上位N個のフィールド値およびそのカウンタ値が同一であれば、相関係数r(t,t−1)は「1」である。したがって、相関係数が「1」に近いほど類似していることを示す。
なお、例えば、図2における時刻スロット3の1位のフィールド値”10.0.0.1”に対する時刻スロット2におけるカウンタ値のように、時刻スロット(t)には上位N個に現れたフィールド値が、時刻スロット(t−1)には上位N個以内には存在せず、対応するカウンタ値データが存在しないことも考えられる。その場合は、例えば、そのようなカウンタ値を「0」として相関係数を計算する方法が考えられる。
図3は、図2の例における時刻スロット2と、時刻スロット3のカウンタ値を図示したものである。
通常のトラヒックでは、一定間隔で算出した上位N個のフィールド値とそのカウンタ値データは、その他のフィールド値とそのカウンタ値データと比較して、大数の法則により変化が少なく、互いに類似していることが予想される。
図4は、ある24時間のトラヒックデータの上位100フィールド値のデータについて、隣り合う時刻スロット間の相関係数r(t,t−1)の時系列を示したものである。
殆どの時刻で予想される通り、上位100個のデータは類似しており、相関係数は、(0.95〜1)の間であるが、3時および20時付近に相関係数の急激な落ち込みが見られる。
これは、この時間帯に他の時間帯では下位に存在したフィールド値が、急激に上位に現れたためである。
なお、例えば、図2における時刻スロット3の1位のフィールド値”10.0.0.1”に対する時刻スロット2におけるカウンタ値のように、時刻スロット(t)には上位N個に現れたフィールド値が、時刻スロット(t−1)には上位N個以内には存在せず、対応するカウンタ値データが存在しないことも考えられる。その場合は、例えば、そのようなカウンタ値を「0」として相関係数を計算する方法が考えられる。
図3は、図2の例における時刻スロット2と、時刻スロット3のカウンタ値を図示したものである。
通常のトラヒックでは、一定間隔で算出した上位N個のフィールド値とそのカウンタ値データは、その他のフィールド値とそのカウンタ値データと比較して、大数の法則により変化が少なく、互いに類似していることが予想される。
図4は、ある24時間のトラヒックデータの上位100フィールド値のデータについて、隣り合う時刻スロット間の相関係数r(t,t−1)の時系列を示したものである。
殆どの時刻で予想される通り、上位100個のデータは類似しており、相関係数は、(0.95〜1)の間であるが、3時および20時付近に相関係数の急激な落ち込みが見られる。
これは、この時間帯に他の時間帯では下位に存在したフィールド値が、急激に上位に現れたためである。
一方、過去データに現れた上位N個のフィールド値が新規データになかった場合の異常を検出するためには、過去の上位Nフィールド値に基づくカウンタ値の相関係数を計算する必要がある。本実施例の第3の方法はそのような相関係数を計算する手法である。
また、短時間で発生終了するフローなどのフィールドの場合、上位Nフィールド値の変動は大きいが、対応するカウンタ値は比較的変動が小さいことが予想される。
この場合は、フィールド値を固定して、対応する過去と新規のカウンタ値の相関係数を比較するより、それぞれ順位を固定して、対応する過去と新規のカウンタ値の相関係数を比較する方法が有効な場合も考えられる。
本実施例の第4の方法においては、このような場合において各順位の対応するカウンタ値の相関係数を用いる。
本実施例の第5の方法(本願の請求項2に記載の方法)においては、前述の第2,3,4の方法において、相関係数でなく、過去と新規データにおけるカウンタ値間の差の絶対値の和の逆数を用いるものである。本方法は、相関係数のように、「−1」から「1」に正規化した類似度ではなく、カウンタ値の差の絶対値を重視した異常検出を実施したい場合に有用である。
また、短時間で発生終了するフローなどのフィールドの場合、上位Nフィールド値の変動は大きいが、対応するカウンタ値は比較的変動が小さいことが予想される。
この場合は、フィールド値を固定して、対応する過去と新規のカウンタ値の相関係数を比較するより、それぞれ順位を固定して、対応する過去と新規のカウンタ値の相関係数を比較する方法が有効な場合も考えられる。
本実施例の第4の方法においては、このような場合において各順位の対応するカウンタ値の相関係数を用いる。
本実施例の第5の方法(本願の請求項2に記載の方法)においては、前述の第2,3,4の方法において、相関係数でなく、過去と新規データにおけるカウンタ値間の差の絶対値の和の逆数を用いるものである。本方法は、相関係数のように、「−1」から「1」に正規化した類似度ではなく、カウンタ値の差の絶対値を重視した異常検出を実施したい場合に有用である。
また、上位Nフィールド値は得られるが、そのカウンタ値が得られない場合、得られるが変動が大きい場合等はカウンタ値ではなく、順位の変動を用いる方法も考えられる。
本実施例の第6の方法は、このような場合において、カウンタ値を利用せずに順位に基づく異常検出を行うものである。
ここで、時間スロット(t)におけるランキングi位のフィールド値をf(i,t)とし、時間スロット(t)の上位N(Nは自然数で、N≧2)個のフィールド値の順位をr(f、t)とするとき、順位の相関係数rc(t,t−1)は、下記(4)式で計算される。
さらに、過去データに現れた上位N個のフィールド値が新規データになかった場合の異常を検出するためには、過去の上位Nフィールド値に基づく順位の相関係数を計算する必要がある。本実施例の第7の方法は、そのような順位の相関係数を計算する方法である。
本実施例の第6の方法は、このような場合において、カウンタ値を利用せずに順位に基づく異常検出を行うものである。
ここで、時間スロット(t)におけるランキングi位のフィールド値をf(i,t)とし、時間スロット(t)の上位N(Nは自然数で、N≧2)個のフィールド値の順位をr(f、t)とするとき、順位の相関係数rc(t,t−1)は、下記(4)式で計算される。
さらに、過去データに現れた上位N個のフィールド値が新規データになかった場合の異常を検出するためには、過去の上位Nフィールド値に基づく順位の相関係数を計算する必要がある。本実施例の第7の方法は、そのような順位の相関係数を計算する方法である。
本実施例の第8の方法においては、過去の上位フィールド値のカウンタ値の観測データに基づき、上位Nフィールド値毎の時系列予測を、例えば、ARIMAモデルなどの線形予測モデルなどで生成し、新規の上位Nフィールド値のカウンタ値と予測値との差の絶対値の和の逆数を類似度として計算する。
本方法は、線形予測モデルを生成するために計算量が多くなる反面、トレンド、周期変動等を異常検出の対象から除くことが出来ると期待される。
異常判定、異常原因特定部14では、類似度算出部13が出力した類似度が、予め定められた閾値を下回っていないかを比較し、下回っている場合は警報を発する。
閾値の定め方の一例としては、過去の類似度のデータから統計分布を生成し、その99%値を閾値とする方法が考えられる。さらに、閾値を下回っている場合は、その原因と推定されるフィールド値を抽出する。
抽出方法の一例として、本実施例の第9の方法(本願の請求項3に記載の方法)では、過去と新規のカウンタ値の差の絶対値に関して降順に並べた際に、上位のものから当該フィールド値のカウンタ値を類似度の算出から省いた場合に閾値を下回らなくなるフィールド値を、類似度が低下した原因のフィールド値として推定する。
図3の例では、傾き1の直線から最も離れているフィールド値から類似度低下原因のフィールド値かどうかを計算することになり、まずフィールド値”10.0.0.1”が類似度低下原因となっているかどうかを計算することになる。
また、本実施例の第10の方法では、上位Nフィールド値を順位の距離に関して降順に並べた際に、上位のものから当該フィールド値の順位を類似度の算出から省いた場合に閾値を下回らなくなるフィールド値を、前記類似度が低下した原因のフィールド値として推定する。
閾値の定め方の一例としては、過去の類似度のデータから統計分布を生成し、その99%値を閾値とする方法が考えられる。さらに、閾値を下回っている場合は、その原因と推定されるフィールド値を抽出する。
抽出方法の一例として、本実施例の第9の方法(本願の請求項3に記載の方法)では、過去と新規のカウンタ値の差の絶対値に関して降順に並べた際に、上位のものから当該フィールド値のカウンタ値を類似度の算出から省いた場合に閾値を下回らなくなるフィールド値を、類似度が低下した原因のフィールド値として推定する。
図3の例では、傾き1の直線から最も離れているフィールド値から類似度低下原因のフィールド値かどうかを計算することになり、まずフィールド値”10.0.0.1”が類似度低下原因となっているかどうかを計算することになる。
また、本実施例の第10の方法では、上位Nフィールド値を順位の距離に関して降順に並べた際に、上位のものから当該フィールド値の順位を類似度の算出から省いた場合に閾値を下回らなくなるフィールド値を、前記類似度が低下した原因のフィールド値として推定する。
さらに、本実施例の第11の方法では、上位Nフィールド値毎のカウンタ値の時系列予測と、新規に算出された上位Nフィールド値のカウンタ値の誤差の距離に関して降順に並べた際に、上位のものから該フィールド値のカウンタ値を類似度の算出から省いた場合に閾値を下回らなくなるフィールド値を、前記類似度が低下した原因のフィールド値として推定する。
通常のトラヒックでは、一定間隔で算出した上位N個のフィールド値とそのカウンタ値データは、その他のフィールド値とそのカウンタ値データと比較して、大数の法則により変化が少なく、互いに類似していることが予想される。
従って、本実施例によれば、過去のデータとの類似度を監視することにより、上位N個のフィールド値とそのカウンタ値データに異常があった場合、類似度の低下をもって比較的容易に統計的異常度を検出でき、かつその要因となるフィールド値の検出も容易という利点がある。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
通常のトラヒックでは、一定間隔で算出した上位N個のフィールド値とそのカウンタ値データは、その他のフィールド値とそのカウンタ値データと比較して、大数の法則により変化が少なく、互いに類似していることが予想される。
従って、本実施例によれば、過去のデータとの類似度を監視することにより、上位N個のフィールド値とそのカウンタ値データに異常があった場合、類似度の低下をもって比較的容易に統計的異常度を検出でき、かつその要因となるフィールド値の検出も容易という利点がある。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
10 トラヒック取得部
11 フィールド、カウンタ種類指定部
12 上位Nフィールド値算出部
13 類似度算出部
14 異常判定、異常原因特定部
11 フィールド、カウンタ種類指定部
12 上位Nフィールド値算出部
13 類似度算出部
14 異常判定、異常原因特定部
Claims (4)
- 時系列トラヒックデータ中の異常を検出する異常トラヒック検出方法であって、
トラヒックデータを取得する第1のステップと、
監視対象となる少なくとも1つのフィールド、およびそのフィールドに対するカウンタの種類を指定する第2のステップと、
取得したトラヒックデータから、予め定められた時間間隔で、指定されたフィールドの指定カウンタに対する上位N(N≧2)個のフィールド値、およびそのカウンタ値を算出する第3のステップと、
算出した上位N個のフィールド値と、そのカウンタ値データを蓄積し、新規に算出されたデータと過去のデータとの類似度を、新規に算出された上位Nフィールド値のカウンタ値と、当該フィールド値の過去のカウンタ値との相関係数に基づいて計算する第4のステップと、
計算された類似度が、予め定められた閾値を下回っていれば異常として警報を発し、かつ類似度が低下した原因と推定されるフィールド値を抽出する第5のステップとを含むことを特徴とする異常トラヒック検出方法。 - 前記第4のステップにおいて算出する類似度として、前記相関係数に代えて、カウンタ値間の距離の和に基づくものを使用することを特徴とする請求項1に記載の異常トラヒック検出方法。
- 前記第5のステップにおいて、上位Nフィールド値をカウンタ値間の距離に関して降順に並べた際に、上位のものから当該フィールド値のカウンタ値を類似度の算出から省いた場合に閾値を下回らなくなるフィールド値を、前記類似度が低下した原因のフィールド値として推定することを特徴とする請求項1または請求項2のいずれか1項に記載の異常トラヒック検出方法。
- 時系列トラヒックデータ中の異常を検出する異常トラヒック検出装置であって、
トラヒックデータを取得する手段と、
監視対象となる少なくとも1つのフィールド、およびそのフィールドに対するカウンタの種類を指定する手段と、
取得したトラヒックデータから、予め定められた時間間隔で、指定されたフィールドの指定カウンタに対する上位(N≧2)個のフィールド値、およびそのカウンタ値を算出する手段と、
算出した上位N個のフィールド値とそのカウンタ値データを蓄積し、新規に算出されたデータと過去のデータとの類似度を、新規に算出された上位Nフィールド値のカウンタ値と、当該フィールド値の過去のカウンタ値との相関係数に基づいて計算する手段と、
計算された類似度が、予め定められた閾値を下回っていれば異常として警報を発し、かつ類似度が低下した原因と推定されるフィールド値を抽出する手段とを含むことを特徴とする異常トラヒック検出装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005364484A JP4112584B2 (ja) | 2005-12-19 | 2005-12-19 | 異常トラヒック検出方法及び装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005364484A JP4112584B2 (ja) | 2005-12-19 | 2005-12-19 | 異常トラヒック検出方法及び装置 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008063596A Division JP4559500B2 (ja) | 2008-03-13 | 2008-03-13 | 異常トラヒック検出方法及び装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007173907A JP2007173907A (ja) | 2007-07-05 |
| JP4112584B2 true JP4112584B2 (ja) | 2008-07-02 |
Family
ID=38299946
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005364484A Expired - Fee Related JP4112584B2 (ja) | 2005-12-19 | 2005-12-19 | 異常トラヒック検出方法及び装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4112584B2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008167484A (ja) * | 2008-03-13 | 2008-07-17 | Nippon Telegr & Teleph Corp <Ntt> | 異常トラヒック検出方法及び装置 |
| WO2017163352A1 (ja) * | 2016-03-24 | 2017-09-28 | 株式会社日立製作所 | 異常検出装置、異常検出システム、及び、異常検出方法 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4948359B2 (ja) * | 2007-10-26 | 2012-06-06 | 三菱電機株式会社 | 不正アクセス検知装置及び不正アクセス検知方法及びプログラム |
| JP4559462B2 (ja) * | 2007-10-29 | 2010-10-06 | 日本電信電話株式会社 | 通信関係構造変化による異常検出方法、装置、プログラム、および記録媒体 |
| JP5828539B2 (ja) * | 2011-02-02 | 2015-12-09 | 国立大学法人金沢大学 | ロボットの運動方法決定装置、ロボットの運動方法決定方法、及び、そのプログラム |
| JP7084271B2 (ja) * | 2018-09-28 | 2022-06-14 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 異常検知装置、異常検知方法および異常検知プログラム |
| CN113282876B (zh) * | 2021-07-20 | 2021-10-01 | 中国人民解放军国防科技大学 | 异常检测中一维时间序列数据生成方法、装置和设备 |
| CN114297264B (zh) * | 2021-12-30 | 2024-06-21 | 中冶赛迪信息技术(重庆)有限公司 | 一种时序信号异常片段检测方法及*** |
| CN117873838B (zh) * | 2024-03-12 | 2024-05-24 | 武汉众诚华鑫科技有限公司 | 一种电信设备环境温度监控方法及*** |
-
2005
- 2005-12-19 JP JP2005364484A patent/JP4112584B2/ja not_active Expired - Fee Related
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008167484A (ja) * | 2008-03-13 | 2008-07-17 | Nippon Telegr & Teleph Corp <Ntt> | 異常トラヒック検出方法及び装置 |
| JP4559500B2 (ja) * | 2008-03-13 | 2010-10-06 | 日本電信電話株式会社 | 異常トラヒック検出方法及び装置 |
| WO2017163352A1 (ja) * | 2016-03-24 | 2017-09-28 | 株式会社日立製作所 | 異常検出装置、異常検出システム、及び、異常検出方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007173907A (ja) | 2007-07-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4112584B2 (ja) | 異常トラヒック検出方法及び装置 | |
| Hamza et al. | Detecting volumetric attacks on lot devices via sdn-based monitoring of mud activity | |
| US11256596B2 (en) | Systems and techniques for adaptive identification and prediction of data anomalies, and forecasting data trends across high-scale network infrastructures | |
| Huang et al. | Communication-efficient online detection of network-wide anomalies | |
| US7716011B2 (en) | Strategies for identifying anomalies in time-series data | |
| CN101286897B (zh) | 一种基于超统计理论的网络流量异常检测方法 | |
| US8472328B2 (en) | Impact scoring and reducing false positives | |
| Kumar et al. | Sketch Guided Sampling-Using On-Line Estimates of Flow Size for Adaptive Data Collection. | |
| JP2005065294A (ja) | ネットワーク・トラフィックにおける変更のスケッチベースの検出方法および装置 | |
| US7962611B2 (en) | Methods, systems and computer program products for detecting flow-level network traffic anomalies via abstraction levels | |
| US9203857B2 (en) | Method and system for detecting anomaly of user behavior in a network | |
| US20190149440A1 (en) | Traffic analytics service for telemetry routers and monitoring systems | |
| JP4232828B2 (ja) | アプリケーション分類方法、ネットワーク異常検知方法、アプリケーション分類プログラム、ネットワーク異常検知プログラム、アプリケーション分類装置、ネットワーク異常検知装置 | |
| Coluccia et al. | Distribution-based anomaly detection via generalized likelihood ratio test: A general maximum entropy approach | |
| Casas et al. | Optimal volume anomaly detection and isolation in large-scale IP networks using coarse-grained measurements | |
| CN105808368B (zh) | 一种基于随机概率分布的信息安全异常检测的方法及*** | |
| JP4559500B2 (ja) | 異常トラヒック検出方法及び装置 | |
| Popa et al. | Using traffic self-similarity for network anomalies detection | |
| Callegari et al. | When randomness improves the anomaly detection performance | |
| JP5310094B2 (ja) | 異常検出システム、異常検出方法および異常検出用プログラム | |
| Jung et al. | A prediction method of network traffic using time series models | |
| Jirsik et al. | Host behavior in computer network: One-year study | |
| JP4814270B2 (ja) | トラヒック変動量推定方法およびその装置とプログラム | |
| JP6781776B2 (ja) | 特徴量生成装置、特徴量生成方法及びプログラム | |
| KR20100075292A (ko) | 공정 제어 네트워크에서의 장애 예측 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20051219 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071030 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080115 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080313 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20080324 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080408 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080409 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110418 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120418 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130418 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140418 Year of fee payment: 6 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |