JP6571131B2 - パケット監視装置、パケット監視システム、パケット監視方法、及びパケット監視プログラム - Google Patents
パケット監視装置、パケット監視システム、パケット監視方法、及びパケット監視プログラム Download PDFInfo
- Publication number
- JP6571131B2 JP6571131B2 JP2017117047A JP2017117047A JP6571131B2 JP 6571131 B2 JP6571131 B2 JP 6571131B2 JP 2017117047 A JP2017117047 A JP 2017117047A JP 2017117047 A JP2017117047 A JP 2017117047A JP 6571131 B2 JP6571131 B2 JP 6571131B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- data
- normal
- map
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
パケットデータを受信する通信部と、
受信したパケットデータのヘッダに含まれるヘッダ情報を抽出し、抽出したヘッダ情報を次元に有するベクトルデータを作成し、判定対象データとして出力するリアルタイム処理用ベクトルデータ作成部と、
正常なパケットデータの分布する正常エリア及び正常でないパケットデータの分布する異常エリアが定められている参照マップを参照し、参照マップに用いられている各ベクトルデータと前記判定対象データとのベクトル間距離を用いて前記判定対象データの前記参照マップ上の位置を求め、前記判定対象データの前記参照マップ上の位置が前記参照マップの定める正常エリア又は異常エリアのいずれかに属するかを判定するパケット判定部と、
を備える。
ここで、正常エリアおよび異常エリアは複数あっても良い。また、いずれの正常エリアあるいは異常エリアに属するかを判定してもよい。
前記通信部の受信したパケットデータのヘッダに含まれるヘッダ情報を蓄積する記憶部と、
前記記憶部に蓄積されたヘッダ情報から作成されたベクトルデータのベクトル間距離に基づいて、各ベクトルデータが面上にプロットされているマップを作成するマップ作成部と、
前記マップ上における正常なパケットデータの分布範囲を前記正常エリアと定義し、前記マップ上における正常でないパケットデータの分布範囲を前記異常エリアと定義するエリア定義部と、
前記マップにおける前記正常エリア及び前記異常エリアを定める参照マップを作成する参照マップ作成部と、
をさらに備えていてもよい。
ここで、正常エリアおよび異常エリアは複数あっても良い。
前記パケット監視装置は、前記リアルタイム処理用パケット判定部において異常パケットであると判定された場合、前記通信部が警報情報を前記管理装置に送信する。
通信部がパケットデータを受信すると、リアルタイム処理用ベクトルデータ作成部が、前記パケットデータのヘッダに含まれるヘッダ情報を抽出し、抽出したヘッダ情報を次元に有するベクトルデータを作成し、判定対象データとして出力するリアルタイム処理用ベクトルデータ作成手順と、
パケット判定部が、正常なパケットデータの分布する正常エリア及び正常でないパケットデータの分布する異常エリアが定められている参照マップを参照し、参照マップに用いられている各ベクトルデータと前記判定対象データとのベクトル間距離を用いて前記判定対象データの前記参照マップ上の位置を求め、前記判定対象データの前記参照マップ上の位置が前記参照マップの定める正常エリア又は異常エリアのいずれかに属するかを判定するパケット判定手順と、
を実行する。
記憶部が、前記通信部の受信したパケットデータのヘッダに含まれるヘッダ情報を蓄積する記憶手順と、
マップ作成部が、前記記憶部に蓄積されたヘッダ情報から作成されたベクトルデータのベクトル間距離に基づいて、各ベクトルデータが面上にプロットされているマップを作成するマップ作成手順と、
エリア定義部が、前記マップ上における正常なパケットデータの分布範囲を前記正常エリアと定義し、前記マップ上における正常でないパケットデータの分布範囲を前記異常エリアと定義するエリア定義手順と、
参照マップ作成部が、前記マップにおける前記正常エリア及び前記異常エリアを定める参照マップを作成する参照マップ作成手順と、
をさらに実行してもよい。
(数1)
|Ps−Px|:|Ps−Py|:|Ps−Pz|=Sx:Sy:Sz (1)
あるいは、対象データに最も類似した参照マップ上のデータの位置としてもよい。
11:通信部
12:ヘッダ情報読取部
13:記憶部
14:バッチ処理部
15:リアルタイム処理部
41、51:ベクトルデータ作成部
42:マップ作成部
43:エリア定義部
44:参照マップ作成部
52:パケット判定部
53:解析部
20:端末群
30:通信ネットワーク
31:ゲートウェイ(GW)
40:中央サーバ
50:管理装置
Claims (9)
- パケットデータを受信する通信部と、
受信したパケットデータのヘッダに含まれるヘッダ情報を抽出し、抽出したヘッダ情報を次元に有するベクトルデータを作成し、判定対象データとして出力するリアルタイム処理用ベクトルデータ作成部と、
正常なパケットデータの分布する正常エリア及び正常でないパケットデータの分布する異常エリアが定められている参照マップを参照し、参照マップに用いられている各ベクトルデータと前記判定対象データとのベクトル間距離を用いて前記判定対象データの前記参照マップ上の位置を求め、前記判定対象データの前記参照マップ上の位置が前記参照マップの定める正常エリア又は異常エリアのいずれかに属するかを判定するパケット判定部と、
を備えるパケット監視装置。 - 前記通信部の受信したパケットデータのヘッダに含まれるヘッダ情報を蓄積する記憶部と、
前記記憶部に蓄積されたヘッダ情報から作成されたベクトルデータのベクトル間距離に基づいて、各ベクトルデータが面上にプロットされているマップを作成するマップ作成部と、
前記マップ上における正常なパケットデータの分布範囲を前記正常エリアと定義し、前記マップ上における正常でないパケットデータの分布範囲を前記異常エリアと定義するエリア定義部と、
前記マップにおける前記正常エリア及び前記異常エリアを定める参照マップを作成する参照マップ作成部と、
をさらに備える請求項1に記載のパケット監視装置。 - 前記ベクトルデータは、2以上のパケットデータから抽出したヘッダ情報を用いて算出される情報を次元に含む、
請求項1又は2に記載のパケット監視装置。 - 前記ベクトルデータは、パケット数又は総パケットサイズを次元に含む、
請求項1から3のいずれかに記載のパケット監視装置。 - 請求項1から4のいずれかに記載のパケット監視装置と、
前記パケット監視装置からの警報情報を受信する管理装置と、
を備えるパケット監視システムであって、
前記パケット監視装置は、前記パケット判定部において異常パケットであると判定された場合、前記通信部が警報情報を前記管理装置に送信する、
パケット監視システム。 - 前記パケット監視装置は、前記パケット判定部が正常エリア及び異常エリアのいずれにも属さないと判定したパケットデータについて、パケットデータが正常パケット又は異常パケットのいずれであるかを判定する解析部をさらに備え、
前記解析部において異常パケットであると判定された場合、前記通信部は、警報情報を、前記管理装置に送信する、
請求項5に記載のパケット監視システム。 - 通信部がパケットデータを受信すると、リアルタイム処理用ベクトルデータ作成部が、前記パケットデータのヘッダに含まれるヘッダ情報を抽出し、抽出したヘッダ情報を次元に有するベクトルデータを作成し、判定対象データとして出力するリアルタイム処理用ベクトルデータ作成手順と、
パケット判定部が、正常なパケットデータの分布する正常エリア及び正常でないパケットデータの分布する異常エリアが定められている参照マップを参照し、参照マップに用いられている各ベクトルデータと前記判定対象データとのベクトル間距離を用いて前記判定対象データの前記参照マップ上の位置を求め、前記判定対象データの前記参照マップ上の位置が前記参照マップの定める正常エリア又は異常エリアのいずれかに属するかを判定するパケット判定手順と、
を実行するパケット監視方法。 - 記憶部が、前記通信部の受信したパケットデータのヘッダに含まれるヘッダ情報を蓄積する記憶手順と、
マップ作成部が、前記記憶部に蓄積されたヘッダ情報から作成されたベクトルデータのベクトル間距離に基づいて、各ベクトルデータが面上にプロットされているマップを作成するマップ作成手順と、
エリア定義部が、前記マップ上における正常なパケットデータの分布範囲を前記正常エリアと定義し、前記マップ上における正常でないパケットデータの分布範囲を前記異常エリアと定義するエリア定義手順と、
参照マップ作成部が、前記マップにおける前記正常エリア及び前記異常エリアを定める参照マップを作成する参照マップ作成手順と、
をさらに実行する請求項7に記載のパケット監視方法。 - 請求項1から4のいずれかに記載のパケット監視装置に備わる各機能部をコンピュータに実現させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017117047A JP6571131B2 (ja) | 2017-06-14 | 2017-06-14 | パケット監視装置、パケット監視システム、パケット監視方法、及びパケット監視プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017117047A JP6571131B2 (ja) | 2017-06-14 | 2017-06-14 | パケット監視装置、パケット監視システム、パケット監視方法、及びパケット監視プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019004291A JP2019004291A (ja) | 2019-01-10 |
JP6571131B2 true JP6571131B2 (ja) | 2019-09-04 |
Family
ID=65006982
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017117047A Active JP6571131B2 (ja) | 2017-06-14 | 2017-06-14 | パケット監視装置、パケット監視システム、パケット監視方法、及びパケット監視プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6571131B2 (ja) |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4626852B2 (ja) * | 2005-07-11 | 2011-02-09 | 日本電気株式会社 | 通信網の障害検出システム、通信網の障害検出方法及び障害検出プログラム |
JP2007060233A (ja) * | 2005-08-24 | 2007-03-08 | Tohoku Univ | 異常パケット種別特定方法および異常パケット種別特定システム |
JP5792654B2 (ja) * | 2012-02-15 | 2015-10-14 | 株式会社日立製作所 | セキュリティ監視システムおよびセキュリティ監視方法 |
-
2017
- 2017-06-14 JP JP2017117047A patent/JP6571131B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2019004291A (ja) | 2019-01-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
US11038906B1 (en) | Network threat validation and monitoring | |
CN109474575B (zh) | 一种dns隧道的检测方法及装置 | |
CN113098878B (zh) | 一种基于支持向量机的工业互联网入侵检测方法及实现*** | |
JP2006279930A (ja) | 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置 | |
JP6783261B2 (ja) | 脅威情報抽出装置及び脅威情報抽出システム | |
US20220263846A1 (en) | METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF | |
US20240146753A1 (en) | Automated identification of false positives in dns tunneling detectors | |
US11050771B2 (en) | Information processing apparatus, communication inspecting method and medium | |
US10187414B2 (en) | Differential malware detection using network and endpoint sensors | |
CN110430199B (zh) | 识别物联网僵尸网络攻击源的方法与*** | |
JP6571131B2 (ja) | パケット監視装置、パケット監視システム、パケット監視方法、及びパケット監視プログラム | |
JP5568344B2 (ja) | 攻撃検出装置、攻撃検出方法、及びプログラム | |
CN108650274B (zh) | 一种网络入侵检测方法及*** | |
CN113168460A (zh) | 用于数据分析的方法、设备和*** | |
KR101084681B1 (ko) | 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템과 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 방법 | |
JP7050042B2 (ja) | 情報処理システムおよび情報処理方法 | |
CN113904843A (zh) | 一种终端异常dns行为的分析方法和装置 | |
CN108347447B (zh) | 基于周期性通讯行为分析的p2p僵尸网络检测方法、*** | |
JP7343137B2 (ja) | 状態判定装置及び状態判定方法 | |
US20180278645A1 (en) | Software evaluation method and software evaluation device | |
CN101548269B (zh) | 用于网络侦查流识别的方法、计算机程序产品和设备 | |
Kim et al. | Ddos analysis using correlation coefficient based on kolmogorov complexity | |
KR20140006408A (ko) | 비정상 호스트의 비정상도 정량화 장치 및 그 방법 | |
US11184369B2 (en) | Malicious relay and jump-system detection using behavioral indicators of actors |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180323 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190208 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190219 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190416 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190716 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190807 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6571131 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |