JP6734228B2 - Abnormality detection device and abnormality detection method - Google Patents
Abnormality detection device and abnormality detection method Download PDFInfo
- Publication number
- JP6734228B2 JP6734228B2 JP2017116853A JP2017116853A JP6734228B2 JP 6734228 B2 JP6734228 B2 JP 6734228B2 JP 2017116853 A JP2017116853 A JP 2017116853A JP 2017116853 A JP2017116853 A JP 2017116853A JP 6734228 B2 JP6734228 B2 JP 6734228B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- communication device
- abnormality
- data
- abnormality detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Description
本発明は、通信機器の異常検出装置、および、異常検出方法に関する。 The present invention relates to an abnormality detection device for a communication device and an abnormality detection method.
ネットワークを流れるトラフィックを監視し、不正アクセスやネットワーク故障等の異常を検出することが重要となっている。不正アクセスを検出する方式として、不正アクセスが行われる際のパケットのパターン(シグネチャ)をあらかじめ登録しておき、ネットワークを流れるパケットと比較し、不正アクセスを検出するシグニチャ型が実用化されている。また、通信情報の統計的な傾向を機械学習により正常動作時の通信情報を基準値情報として保持し、ネットワークを流れる通信情報と比較することで、異常を検出するアノマリ型が一般的になりつつある(特許文献1)。アノマリ型では、通信情報が所定の正常範囲内である場合は正常と判定し、正常範囲外の場合は異常と判定する。このアノマリ型は、通信の正常状態からのズレを異常状態と判定するため、シグニチャ型では必須となるシグネチャファイルの最新化を必要とせずに、未知の不正アクセスの検知が可能となる。 It is important to monitor traffic flowing through the network and detect abnormalities such as unauthorized access and network failure. As a method for detecting unauthorized access, a signature type has been put into practical use, in which a pattern (signature) of a packet at the time of unauthorized access is registered in advance and compared with a packet flowing through a network to detect unauthorized access. In addition, the anomaly type that detects anomalies is becoming common by holding the communication information during normal operation as reference value information by machine learning and comparing the statistical tendency of the communication information with the communication information flowing through the network. There is (Patent Document 1). In the anomaly type, if the communication information is within a predetermined normal range, it is determined to be normal, and if it is outside the normal range, it is determined to be abnormal. Since the anomaly type determines a deviation from the normal state of communication as an abnormal state, it is possible to detect an unknown unauthorized access without the need to update the signature file, which is essential in the signature type.
ここで、ネットワークを流れるトラフィックを監視し、不正アクセスやネットワーク故障等の異常を検出する異常検出装置を用いた監視業務においては、異常を検出した後には、運用者が事象の確認を行う必要がある。例えば、アノマリ型の異常検出装置は、通信の正常状態からのズレをスコア値で表現し、スコア値が閾値を超えた場合に異常と検出する。そして、運用者は、異常検出時の通信情報の中身をみて、正常状態からのズレの程度を目視で確認する必要がある。ところが、従来技術において、通信の異常を検出した後に事象を確認する方法について検討されていない。 Here, in the monitoring work that uses an abnormality detection device that monitors traffic flowing through the network and detects abnormalities such as unauthorized access and network failure, the operator must confirm the event after detecting the abnormality. is there. For example, the anomaly-type abnormality detection device expresses a deviation from the normal state of communication by a score value, and detects an abnormality when the score value exceeds a threshold value. Then, the operator needs to visually check the degree of deviation from the normal state by looking at the contents of the communication information when the abnormality is detected. However, in the related art, a method of confirming an event after detecting a communication abnormality has not been examined.
また、通常のTCP/IPの通信ネットワークにおいては、さまざまなプロトコルによる通信が混在している。よって、異常時はある特定のパケットだけが要因で異常になるケースのみならず、いくつかのパケットの複合要因で異常になるケースもある。よって、運用者は、異常を検出した時間帯の前後所定時間の通信情報(通信機器のパケットキャプチャデータや動作ログ等)を比較して事象を確認する必要があり、このためには多大な労力がかかる。例えば、パケットキャプチャデータが膨大になるとともに、所望のデータを検索するには多大な労力がかかる。また、通信パターンやファームウェアの更新があった場合には、異常検出装置は、新たな通信パターンを追加学習する必要があるが、その際にも追加学習の結果が、確からしいかを実際の通信内容と照らし合わせて確認する必要がある。 Further, in a normal TCP/IP communication network, communication by various protocols is mixed. Therefore, at the time of abnormality, not only the case where an error occurs due to only a specific packet, but there is also the case where the error occurs due to a composite factor of several packets. Therefore, the operator needs to confirm the event by comparing the communication information (packet capture data, operation log, etc. of the communication device) of a predetermined time before and after the time period when the abnormality is detected, and for this purpose, a great deal of labor is required. It takes. For example, as the packet capture data becomes enormous, much effort is required to search for desired data. Also, when there is a communication pattern or firmware update, the abnormality detection device needs to additionally learn a new communication pattern. It needs to be checked against the contents.
そこで、本発明は、前記した問題を解決し、通信機器の異常を検出した際に、運用者が、ネットワークで発生した事象を容易に確認できるようにすることを課題とする。 Therefore, it is an object of the present invention to solve the above-mentioned problems and allow an operator to easily confirm an event that has occurred in a network when an abnormality of a communication device is detected.
前記した課題を解決するため、本発明は、通信機器の正常動作時における通信特徴量に基づき、前記通信機器の異常を検出する異常検出部と、前記通信機器の異常を検出した場合、異常検出時における前記通信機器の通信特徴量と前記通信機器の正常動作時の通信特徴量との比較を行うデータ比較部と、前記異常検出時における前記通信機器の通信特徴量と前記通信機器の正常動作時の通信特徴量との比較結果を示す可視化データと、前記異常検出時から過去所定時間の前記通信機器の通信特徴量およびパケットデータを示す可視化データとを記憶部に保存する保存処理部と、ユーザからの指示に基づき、前記記憶部に保存された、前記異常検出時における前記比較結果を示す可視化データと、前記異常検出時から過去所定時間の前記通信機器の通信特徴量およびパケットデータを示す可視化データとを表示する表示部とを備えることを特徴とする。 In order to solve the above-mentioned problems, the present invention provides an abnormality detection unit that detects an abnormality of the communication device based on a communication feature amount during normal operation of the communication device, and detects an abnormality when the abnormality of the communication device is detected. A data comparison unit that compares the communication feature amount of the communication device with the communication feature amount of the communication device during normal operation, and the communication feature amount of the communication device and normal operation of the communication device during the abnormality detection A storage processing unit that stores visualization data indicating the result of comparison with the communication feature amount at the time, and visualization data indicating the communication feature amount and packet data of the communication device in the past predetermined time from the time of abnormality detection in the storage unit, Based on an instruction from the user, the visualization data showing the comparison result at the time of detecting the abnormality, the communication feature amount and the packet data of the communication device in the past predetermined time from the time of detecting the abnormality, which are stored in the storage unit, are shown. And a display unit for displaying the visualization data.
本発明によれば、通信機器の異常を検出した際に、運用者が、ネットワークで発生した事象を容易に確認できる。 According to the present invention, an operator can easily confirm an event that has occurred in a network when an abnormality in a communication device is detected.
以下、図面を参照しながら、本発明を実施するための形態(実施形態)について説明する。本発明は、本実施形態に限定されない。 Hereinafter, modes (embodiments) for carrying out the present invention will be described with reference to the drawings. The present invention is not limited to this embodiment.
まず、図1を用いてシステムの構成例を説明する。システムは、例えば、図1に示すように、通信機器10と、ゲートウェイ装置20と、異常検出装置30と、通信装置40とを備える。通信機器10とゲートウェイ装置20とはLAN(Local Area Network)等により接続される。また、ゲートウェイ装置20と異常検出装置30と通信装置40とはインターネット等のネットワークにより接続される。
First, a configuration example of the system will be described with reference to FIG. The system includes, for example, as shown in FIG. 1, a
通信機器10は、本システムにおける異常の検出対象となる通信装置である。ゲートウェイ装置20は、通信機器10をインターネット等のネットワーク経由で外部装置(例えば、通信装置40)に接続したり、同一LAN内の他の通信機器10に接続したりする装置である。このゲートウェイ装置20は、各通信機器10の通信特徴量や動作ログを取得する。
The
異常検出装置30は、ゲートウェイ装置20から取得した各通信機器10の通信特徴量等に基づき、各通信機器10への不正アクセスやウィルス感染等の異常の検出を行う。異常検出装置30は、例えば、各通信機器10の正常動作時における通信特徴量等を学習し、その学習結果を用いて、いわゆるアノマリ型の異常検出を行う。通信装置40は、ネットワークに接続される装置であり、例えば、通信機器10の通信相手となる装置である。
The
なお、以下では、異常検出装置30は、通信機器10の異常検出に、通信機器10の通信特徴量を用いる場合を例に説明するが、通信機器10の通信特徴量と動作ログとの組み合わせを用いてももちろんよい。
In the following description, the
異常検出装置30は、通信機器10の異常を検出すると、異常検出時以前の過去所定期間における当該通信機器10の通信特徴量およびパケットデータを保存する。また、異常検出装置30は、異常検出時における当該通信機器10の通信特徴量と、異常検出に用いた学習結果(学習済み通信特徴量)との比較結果を示す可視化データ(比較データ)を保存する。異常検出装置30は、このような処理を、通信機器10の異常を検出するたびに繰り返す。
When the
その後、異常検出装置30は、運用者等の指示に基づき、通信機器10の異常検出時における当該通信機器10の通信特徴量と学習済み通信特徴量との比較結果を示す可視化データ(図4参照)や、異常検出時以前の過去所定期間における当該通信機器10の通信特徴量およびパケットデータを検索し、表示する。これにより、通信機器10の異常が検出された際に、運用者は、ネットワークで発生した事象を容易に確認することができる。
After that, the
次に、図2を用いて、異常検出装置30の構成を詳細に説明する。異常検出装置30は、図2に示すように、学習部311、学習済通信特徴量保存用データ作成部(データ作成部)312、異常検出部313、可視化用データ作成部314、データ比較部315、入力部316、表示部317、データ検索部318、通信部319、OS320、および、記憶部32を備える。記憶部32は、通信特徴量保存部321、学習済通信特徴量保存部322、可視化用通信特徴量保存部323、および、可視化用パケットデータ保存部324を備える。
Next, the configuration of the
学習部311は、機械学習により、通信機器10の正常動作時における通信特徴量を学習する。例えば、学習部311は、通信特徴量保存部321に保存された通信機器10の通信特徴量を用いた機械学習により、通信機器10の正常動作時における通信特徴量を学習する。なお、各通信機器10の通信特徴量(例えば、図3に示す各特徴量項目の値)は、ゲートウェイ装置20から通信機器10に対する発着信の通信特徴量を直接取得して、通信特徴量保存部321に保存する構成でもよいし、ゲートウェイ装置20からは通信機器10に対する所定時間あたりの発着信の通信統計データを取得して、異常検出装置30において通信特徴量に変換して、通信特徴量保存部321に保存する構成でもよい。
The
学習済通信特徴量保存用データ作成部312は、学習部311による学習結果(学習済通信特徴量)の保存用データを作成する。例えば、学習済通信特徴量保存用データ作成部312は、学習結果に含まれる、通信の5タプル情報と、当該通信のパケットサイズや、フローレート等の特徴量項目等を示したデータを保存用データとして作成する。具体例を挙げると、学習済通信特徴量保存用データ作成部312は、学習結果に基づき、Aという5タプル情報の大きな単位の中に、A−1(パケットサイズがX〜Yの値)、A−2(フローレートがS〜Tの値)というように、近い値をグループ化したデータ(代表データ)を保存用データとして作成する。
The learned communication feature amount storage
なお、学習済通信特徴量保存用データ作成部312は、学習部311による学習結果(学習済通信特徴量)に統計処理を行った保存用データを作成してもよい。さらに、学習済通信特徴量保存用データ作成部312は、学習部311による学習結果に基づき、5タプル情報以外の項目の値をそのまま示した保存用データを作成してもよい。
The learned communication feature amount storage
異常検出部313は、通信機器10に対し、アノマリ型の異常検出を行う。例えば、異常検出部313は、通信特徴量保存部321から、分析対象の各通信機器10の通信特徴量を取得する。そして、異常検出部313は、取得した通信特徴量に対し、学習部311による学習結果(学習済通信特徴量)を用いて、各通信機器10の通信特徴量に対するアノマリスコア値を算出する。その後、異常検出部313は、算出したアノマリスコア値が、予め設定された判定閾値以上の場合、通信機器10に異常が発生していると判定し、予め設定された判定閾値未満の場合、通信機器10は正常に動作していると判定する。
The
なお、異常検出部313は、通信機器10の異常を検出した場合、表示部317や通信部319により、通信機器10の異常検出の通知を行ってもよい。
If the
可視化用データ作成部314は、異常検出部313が通信機器10の異常を検出するたび、異常検出時から過去所定時間における当該通信機器10の通信特徴量およびパケットデータを取得し、記憶部32に保存する。
Each time the
例えば、可視化用データ作成部314は、異常検出部313が通信機器10の異常を検出すると、異常検出時から過去所定時間における当該通信機器10の通信特徴量を通信特徴量保存部321から取得する。そして、可視化用データ作成部314は、取得した通信特徴量の5タプル情報を代表値にした可視化データを作成し、可視化用通信特徴量保存部323に保存する。また、可視化用データ作成部314は、異常検出時から過去所定時間における当該通信機器10のパケットデータを取得する。そして、可視化用データ作成部314は、取得したパケットデータの5タプル情報を代表値にした可視化データを作成し、可視化用パケットデータ保存部324に保存する。異常検出装置30が収集する通信機器10のパケットデータは、ゲートウェイ装置20から収集する構成でもよいし、通信機器10が接続されているLAN内に設置されたパケットデータを収集する専用装置から収集する構成でもよい。
For example, when the
また、可視化用データ作成部314は、データ比較部315による、異常検出時における当該通信機器10の通信特徴量と、学習済通信特徴量との比較結果を示す可視化データ(図4参照)を作成し、可視化用通信特徴量保存部323に保存する。
In addition, the visualization
このようにすることで、通信機器10の異常が検出されるたび、記憶部32には、異常検出時における当該通信機器10の通信特徴量と学習済通信特徴量との比較結果を示す可視化データと、異常検出時から過去所定時間における当該通信機器10の通信特徴量およびパケットデータの可視化データとが蓄積される。
By doing so, every time an abnormality of the
データ比較部315は、異常検出部313において通信機器10の異常を検出すると、異常検出時における当該通信機器10の通信特徴量と、学習済通信特徴量との比較を行う。例えば、データ比較部315は、異常検出時における通信特徴量および学習済通信特徴量について、図3に示す各特徴量項目の値を比較する。なお、比較に用いる特徴量項目は、図3に示す5タプル情報(送信元IPアドレス、送信元ポート番号、送信先IPアドレス、送信先ポート番号、プロトコル)を含む。
When the
一例を挙げる。例えば、データ比較部315は、図4に示すように、異常検出時における通信特徴量と、学習済通信特徴量とについて、2−1〜2−5に示す5タプル情報をキー情報として比較対象を決定して、1−1〜3−8に示す項目ごとに比較する。なお、データ比較部315は、図4に示すように、異常検出時における通信特徴量と学習済通信特徴量とを比較した結果、3−1〜3−8に示す項目のように、値の差分が算出できるものについては、差分を算出してもよい(図4の「比較結果」の欄参照)。
Take an example. For example, as shown in FIG. 4, the
入力部316は、記憶部32に記憶される各種データの入力や、記憶部32に記憶される可視化用データの検索要求等を受け付ける。例えば、入力部316は、異常検出日時や5タプル情報等を含む可視化データの検索要求を受け付ける。
The
表示部317は、記憶部32に記憶された各種データを表示装置(図示省略)に表示する。例えば、表示部317は、データ検索部318により検索された可視化データを表示装置(図示省略)に表示する。
The
データ検索部318は、記憶部32に記憶されたデータを検索する。例えば、データ検索部318は、入力部316により可視化データの検索要求を受け付けると、検索要求にマッチする通信特徴量の可視化データを可視化用通信特徴量保存部323から検索する。また、データ検索部318は、検索要求にマッチするパケットデータの可視化データを検索する。
The
通信部319は、外部装置との通信インタフェースを司る。例えば、通信部319は、ゲートウェイ装置20経由で取得された各通信機器10の通信特徴量や通信統計データやパケットデータの入力を受け付ける。
The
OS320は、学習部311、学習済通信特徴量保存用データ作成部312、異常検出部313、可視化用データ作成部314、データ比較部315、入力部316、表示部317、データ検索部318、通信部319、および、記憶部32の管理、制御を行う。
The
通信特徴量保存部321は、各通信機器10の通信特徴量を保存する。この通信特徴量は、学習部311による学習や、異常検出部313による異常検出に用いられる。学習済通信特徴量保存部322は、学習部311により学習された通信機器10の通信特徴量(学習済通信特徴量)を正常動作時における通信特徴量として保存する。
The communication feature
可視化用通信特徴量保存部323は、通信機器10の異常検出時から過去所定時間における当該通信機器10の通信特徴量の可視化データを記憶する。また、可視化用通信特徴量保存部323は、異常検出時における当該通信機器10の通信特徴量と、学習済通信特徴量との比較結果を示す可視化データを保存する。さらに、可視化用パケットデータ保存部324は、通信機器10の異常検出時から過去所定時間の当該通信機器10のパケットデータの可視化データを保存する。
The visualization communication feature
例えば、異常検出時における通信機器10の通信特徴量と、学習済通信特徴量との比較結果を示す可視化データは、図4に示すように、異常検出時の通信特徴量および学習済通信特徴量それぞれの、異常検出日時、通信開始日時、5タプル情報、その他の項目の値、比較結果等が横並びに配置されたものである。
For example, as shown in FIG. 4, the visualization data showing the comparison result of the communication feature amount of the
表示部317が、上記のような情報からなる可視化データを表示することで、運用者は、異常検出時の通信特徴量と学習済通信特徴量との乖離がどの程度かを確認しやすくなる。その結果、運用者は、異常検出装置30による異常検出の確からしさを確認しやすくなる。例えば、図4に示す可視化データにおいて、「比較結果」に示される異常検出時の通信特徴量と学習済通信特徴量との比較において、どの項目の乖離が大きいかを、運用者が目視で点検することができる。また、異常検出時に保存された通信特徴量とパケットデータを用いて、異常の有無を点検することができる。すなわち、点検した結果、実際に異常が発生していた場合は正しい検出結果であったこと、実際には異常が発生しなかった場合は「誤検知」であったこと、を簡易に点検することができる。
Since the
次に、図5を用いて、異常検出装置30の処理手順の例を説明する。まず、異常検出装置30の学習部311は、通信特徴量保存部321から機械学習の学習用として所定期間の通信特徴量を取得し(S1)、学習を実施する(S2)。つまり、学習部311は、通信機器10の正常動作時の通信特徴量の学習を実施する。そして、学習部311による学習が終了し、学習結果に問題がないと判定された場合(S3でNo)、学習済通信特徴量保存用データ作成部312は、学習データから5タプル情報を代表値にして、5タプル情報の異なるデータ単位にまとめた可視化データ(学習済通信特徴量)を作成する(S4)。つまり、学習済通信特徴量保存用データ作成部312は、学習データを、当該学習データの5タプル情報を代表値にして、5タプル情報の異なるデータ単位にまとめた代表データを作成する。また、機械学習の結果として異常検出用の関数を保存する。一方、学習部311による学習結果に問題があると判定された場合(S3でYes)、学習部311は、S1へ戻り、学習用のデータを再設定したり、学習用のパラメータを修正したりして、再度学習を実施する。
Next, an example of the processing procedure of the
S4の後、異常検出部313は、異常検出用の関数を用いて、通信機器10の異常の検出を開始し(S5)、異常を検出すると(S6でYes)、異常通知を行う(S7)。一方、異常をまだ検出しなければ(S6でNo)、S6へ戻る。
After S4, the
S7の後、可視化用データ作成部314は、異常検出時刻から所定時間過去にさかのぼり、当該通信機器10(異常が発生した通信機器10)の通信特徴量を保存するとともに、当該通信特徴量の5タプル情報を代表値にして可視化データとして保存する(S8)。
After S7, the visualization
また、可視化用データ作成部314は、異常検出時刻から所定時間過去にさかのぼり、当該通信機器10のパケットデータを保存するとともに、当該パケットデータの5タプル情報を代表値にして可視化データとして保存する(S9)。
Further, the visualization
さらに、可視化用データ作成部314は、異常検出時刻と、異常検出時刻における当該通信機器10の通信特徴量を保存する(S10)。また、データ比較部315は、異常検出時における当該通信機器10の通信特徴量と、5タプル情報が同一である学習済通信特徴量とを比較する(S11)。そして、可視化用通信特徴量保存部323は、S11における比較結果を可視化データとして保存する(S12)。
Further, the visualization
S12の後、まだ比較していない5タプル情報が同一である学習済通信特徴量があれば(S13でYes)、データ比較部315は、まだ比較していない5タプル情報が同一である学習済通信特徴量に対し、S11の処理を実行する。一方、比較していない5タプル情報が同一である学習済通信特徴量がなければ(S13でNo)、S6へ戻り、異常検出部313において通信機器10の異常を検出すると(S6でYes)、S7以降の処理を実行する。
After S<b>12, if there is a learned communication feature quantity in which the uncompared 5-tuple information is the same (Yes in S<b>13 ), the
異常検出装置30が上記の処理を実行することで、通信機器10に異常が検出されるたび、異常検出時における通信機器10の通信特徴量と学習済通信特徴量との比較結果と、異常検出時から過去所定期間の当該通信機器10の通信特徴量およびパケットデータとが記憶部32に保存される。
When the abnormality is detected in the
次に、図6を用いて、異常検出装置30が可視化データを表示する際の処理手順の例を説明する。
Next, an example of a processing procedure when the
例えば、異常検出装置30の入力部316において、運用者からの異常検出結果の指定(可視化データの検索要求)を受け付けると(S21)、データ検索部318は、指定された異常検出結果に対する可視化データを記憶部32から検索する(S22)。例えば、データ検索部318は、運用者から指定された異常検出日時、5タプル情報等を持つ可視化データを記憶部32から検索する。その後、表示部317は、S22で検索された可視化データを表示する(S23)。また、表示する際には、異常を検出した通信機器10の学習済通信特徴量のすべてを表示してもよい。S23の後、まだほかに指定された異常検出結果があれば(S24でYes)、S22へ戻り、ほかに指定された異常検出結果がなければ(S24でNo)、データ検索部318は、検索された可視化データをまとめ、表示部317は、検索された可視化データを表示する(レポーティングする)(S25)。
For example, when the
このようにすることで異常検出装置30は、運用者の所望する異常検出に関する可視化データを検索し、表示装置(図示省略)等に表示することができる。
By doing so, the
(プログラム)
また、上記の実施形態で述べた異常検出装置30の機能を実現するプログラムを所望の情報処理装置(コンピュータ)にインストールすることによって実装できる。例えば、パッケージソフトウェアやオンラインソフトウェアとして提供される上記のプログラムを情報処理装置に実行させることにより、情報処理装置を異常検出装置30として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータ、ラック搭載型のサーバコンピュータ等が含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistants)等がその範疇に含まれる。また、異常検出装置30を、クラウドサーバに実装してもよい。
(program)
Further, it can be implemented by installing a program that realizes the function of the
図7を用いて、上記のプログラム(異常検出プログラム)を実行するコンピュータの一例を説明する。図7に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
An example of a computer that executes the above program (abnormality detection program) will be described with reference to FIG. 7. As shown in FIG. 7, the
メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
The
ここで、図7に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。前記した実施形態で説明した各種データや情報は、例えばハードディスクドライブ1090やメモリ1010に記憶される。
Here, as shown in FIG. 7, the hard disk drive 1090 stores, for example, an
そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
Then, the
なお、上記の異常検出プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、上記のプログラムに係るプログラムモジュール1093やプログラムデータ1094は、LANやWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
The
10 通信機器
30 異常検出装置
32 記憶部
311 学習部
312 学習済通信特徴量保存用データ作成部
313 異常検出部
314 可視化用データ作成部
315 データ比較部
316 入力部
317 表示部
318 データ検索部
319 通信部
320 OS
321 通信特徴量保存部
322 学習済通信特徴量保存部
323 可視化用通信特徴量保存部
324 可視化用パケットデータ保存部
10
321 Communication feature amount storage unit 322 Learned communication feature
Claims (5)
前記通信機器の正常動作時における通信特徴量から、前記通信特徴量の代表データごとに前記通信特徴量をまとめたデータを作成する第1のデータ作成部と、
前記通信機器の異常を検出した場合、異常検出時から過去所定時間における前記通信機器の通信特徴量について、当該通信特徴量の代表データを作成する第2のデータ作成部と、
前記通信機器の異常を検出した場合、異常検出時から過去所定時間における前記通信機器の通信特徴量と前記代表データが同じである前記通信機器の正常動作時の通信特徴量とを比較するデータ比較部と、
前記異常検出時から過去所定時間における前記通信機器の通信の5タプル情報を含む通信特徴量と前記通信機器の正常動作時の前記通信特徴量との比較結果を示す可視化データと、前記異常検出時から過去所定時間の前記通信機器の前記通信特徴量およびパケットデータを示す可視化データとを記憶部に保存する保存処理部と、
ユーザから指定された異常検出日時および5タプル情報を含む検索要求に基づき、前記記憶部に保存された、前記異常検出日時および前記5タプル情報を持つ前記比較結果を示す可視化データと、前記異常検出日時から過去所定時間における前記5タプル情報を持つ前記通信機器の通信特徴量およびパケットデータを示す可視化データとを検索し、表示する表示部と
を備えることを特徴とする異常検出装置。 An abnormality detection unit that detects an abnormality in the communication device based on the communication feature amount during normal operation of the communication device,
A first data creation unit that creates data summarizing the communication feature quantity for each representative data of the communication feature quantity from the communication feature quantity during normal operation of the communication device;
A second data creating unit that creates representative data of the communication feature quantity of the communication feature quantity of the communication equipment in a past predetermined time from the time of the abnormality detection, when an abnormality of the communication equipment is detected;
When detecting an abnormality of the communication device, data comparison for comparing the from abnormal detection and communication characteristic of the communication device in the past predetermined time representative data is the same communication characteristic of normal operation of the communication device Department,
And visualization data indicating a result of comparison between the communication characteristic of normal operation of the abnormality from said detection time of the communication feature quantity including a 5-tuple information of the communication of the communication device in the past predetermined time communication device, when the abnormality detecting a storage processing unit that stores the visual data in the storage unit indicating the communication features and the packet data of the communication device of the past predetermined time,
Based on the search request including the abnormality detection time, and 5-tuple information specified by the user, the stored in the storage unit, and visualization data indicating the comparison result with the abnormality detection date and during the 5-tuple information, the abnormality searching and visual data indicating the communication features and the packet data of the communication device with the 5-tuple information in the past during a predetermined time after the detection date, the abnormality detection device characterized by comprising a display unit for displaying.
前記異常検出時から過去所定時間における前記通信機器の通信特徴量と、前記通信機器の正常動作時の通信特徴量とを横並びに示したデータである
ことを特徴とする請求項1に記載の異常検出装置。 Visualization data showing the comparison result,
2. The abnormality according to claim 1, wherein the communication characteristic amount of the communication device and a communication characteristic amount during normal operation of the communication device in the past predetermined time from the time of the abnormality detection are side by side data. Detection device.
前記異常検出部は、
前記更新後の前記通信機器の正常動作時における通信特徴量に基づき、前記通信機器の異常を検出し、
前記データ比較部は、
前記更新後の前記通信機器の正常動作時の通信特徴量を用いて前記通信特徴量の比較を行うこと
を特徴とする請求項1に記載の異常検出装置。 When the communication feature amount during normal operation of the communication device is updated,
The abnormality detection unit,
Based on the communication feature amount during normal operation of the communication device after the update, detects an abnormality of the communication device,
The data comparison unit is
The abnormality detection device according to claim 1, wherein the communication feature quantity is compared using the communication feature quantity when the communication device is in a normal operation after the update.
を特徴とする請求項1に記載の異常検出装置。 The abnormality detection device according to claim 1, wherein a communication feature amount and an operation log of the communication device are used instead of the communication feature amount of the communication device.
前記通信機器の正常動作時における通信特徴量から、前記通信特徴量の代表データごとに前記通信特徴量をまとめたデータを作成するステップと、
前記通信機器の異常を検出した場合、異常検出時から過去所定時間における前記通信機器の通信特徴量について、当該通信特徴量の代表データを作成するステップと、
前記通信機器の異常を検出した場合、異常検出時から過去所定時間における前記通信機器の通信特徴量と前記代表データが同じである前記通信機器の正常動作時の通信特徴量とを比較するステップと、
前記異常検出時から過去所定時間における前記通信機器の通信の5タプル情報を含む通信特徴量と前記通信機器の正常動作時の前記通信特徴量との比較結果を示す可視化データと、前記異常検出時から過去所定時間の前記通信機器の前記通信特徴量およびパケットデータを示す可視化データとを記憶部に保存するステップと、
ユーザから指定された異常検出日時および5タプル情報を含む検索要求に基づき、前記記憶部に保存された、前記異常検出日時におけるおよび前記5タプル情報を持つ前記比較結果を示す可視化データと、前記異常検出日時から過去所定時間における前記5タプル情報を持つ前記通信機器の通信特徴量およびパケットデータを示す可視化データとを検索し、表示するステップと
を異常検出装置が実行することを特徴とする異常検出方法。 A step of detecting an abnormality of the communication device based on a communication feature amount during normal operation of the communication device;
A step of creating data summarizing the communication feature amount for each representative data of the communication feature amount from the communication feature amount during normal operation of the communication device;
When an abnormality of the communication device is detected, a step of creating representative data of the communication feature amount for the communication feature amount of the communication device in the past predetermined time from the time of abnormality detection,
When detecting an abnormality of the communication device, a step of comparing a communication feature amount of the communication device in a predetermined time in the past from the time of abnormality detection with a communication feature amount of the communication device in the normal operation when the representative data is the same. ,
And visualization data indicating a result of comparison between the communication characteristic of normal operation of the abnormality from said detection time of the communication feature quantity including a 5-tuple information of the communication of the communication device in the past predetermined time communication device, when the abnormality detecting and storing the visual data in the storage unit indicating the communication features and the packet data of the communication device of the past predetermined time,
Based on the search request including the abnormality detection time, and 5-tuple information specified by the user, stored in the storage unit, and visualization data indicating the comparison result with and the 5-tuple information when the abnormality detection date, the searching and visual data indicating the communication features and the packet data of the communication device with the 5-tuple information in the past predetermined time from the time of abnormality detection date, wherein the abnormality detecting device and the step of runs displayed Anomaly detection method.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017116853A JP6734228B2 (en) | 2017-06-14 | 2017-06-14 | Abnormality detection device and abnormality detection method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017116853A JP6734228B2 (en) | 2017-06-14 | 2017-06-14 | Abnormality detection device and abnormality detection method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019004284A JP2019004284A (en) | 2019-01-10 |
| JP6734228B2 true JP6734228B2 (en) | 2020-08-05 |
Family
ID=65006274
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017116853A Active JP6734228B2 (en) | 2017-06-14 | 2017-06-14 | Abnormality detection device and abnormality detection method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6734228B2 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7184197B2 (en) * | 2019-07-23 | 2022-12-06 | 日本電信電話株式会社 | Abnormality detection device, abnormality detection method and abnormality detection program |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002135248A (en) * | 2000-10-19 | 2002-05-10 | Fumio Mizoguchi | Network-monitoring method, network-monitoring system and storage medium recording its program |
| JP4328679B2 (en) * | 2004-06-30 | 2009-09-09 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Computer network operation monitoring method, apparatus, and program |
| JP4745881B2 (en) * | 2006-04-21 | 2011-08-10 | 三菱電機株式会社 | Network status determination device, network status determination method, and network status determination program |
| JP2011166476A (en) * | 2010-02-10 | 2011-08-25 | Asahi Kasei Corp | Log analyzing apparatus and method |
| JP5530897B2 (en) * | 2010-10-28 | 2014-06-25 | 株式会社日立メディコ | Device failure analysis apparatus, device failure analysis method, and device failure analysis program |
| JP6559402B2 (en) * | 2014-05-12 | 2019-08-14 | 富士通株式会社 | Display method, display device, and display program |
-
2017
- 2017-06-14 JP JP2017116853A patent/JP6734228B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019004284A (en) | 2019-01-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9071535B2 (en) | Comparing node states to detect anomalies | |
| WO2020004315A1 (en) | Abnormality sensing device and abnormality sensing method | |
| KR20160028724A (en) | Similar malicious code retrieval apparatus and method based on malicious code feature information | |
| WO2020244307A1 (en) | Vulnerability detection method and apparatus | |
| US20210297427A1 (en) | Facilitating security orchestration, automation and response (soar) threat investigation using a machine-learning driven mind map approach | |
| JP6058246B2 (en) | Information processing apparatus, information processing method, and program | |
| JP2019028891A (en) | Information processing device, information processing method and information processing program | |
| JP6282217B2 (en) | Anti-malware system and anti-malware method | |
| JPWO2018146757A1 (en) | INFORMATION PROCESSING APPARATUS, INFORMATION PROCESSING METHOD, AND INFORMATION PROCESSING PROGRAM | |
| JP2016099938A (en) | Event analysis system and method | |
| CN112671767A (en) | Security event early warning method and device based on alarm data analysis | |
| JP6734228B2 (en) | Abnormality detection device and abnormality detection method | |
| JP5310094B2 (en) | Anomaly detection system, anomaly detection method and anomaly detection program | |
| CN109145609B (en) | Data processing method and device | |
| CN113791897B (en) | Method and system for displaying server baseline detection report of rural telecommunication system | |
| CN114584391A (en) | Method, device, equipment and storage medium for generating abnormal flow processing strategy | |
| JP6488197B2 (en) | Anomaly detection method, anomaly detection apparatus, and network system | |
| CN110830518B (en) | Traceability analysis method and device, electronic equipment and storage medium | |
| JP6060123B2 (en) | Influence range identification device, influence range identification method, and program | |
| US10754719B2 (en) | Diagnosis device, diagnosis method, and non-volatile recording medium | |
| JP2018148270A (en) | Classification device, classification method, and classification program | |
| JP2006093832A (en) | Intrusion detection system and program, intrusion detection information analyzing device and analysis program | |
| US20190018959A1 (en) | Diagnosis device, diagnosis method, and non-transitory recording medium | |
| JP2009182934A (en) | Fault monitoring apparatus, fault monitoring method, and program therefor | |
| JP2006201890A (en) | Device for taking countermeasures against program abnormality |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190522 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200218 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200331 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200601 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200707 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200709 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6734228 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |