JP6955912B2 - ネットワーク監視装置、そのシステム、およびその方法 - Google Patents
ネットワーク監視装置、そのシステム、およびその方法 Download PDFInfo
- Publication number
- JP6955912B2 JP6955912B2 JP2017119715A JP2017119715A JP6955912B2 JP 6955912 B2 JP6955912 B2 JP 6955912B2 JP 2017119715 A JP2017119715 A JP 2017119715A JP 2017119715 A JP2017119715 A JP 2017119715A JP 6955912 B2 JP6955912 B2 JP 6955912B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- feature amount
- packets
- model
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
パケットキャプチャ部111にパケットが到着する度にパケット分類部112が起動される。パケット分類部112はキャプチャしたパケットのヘッダを参照しながら、各パケットをIPアドレスとポート番号の組合せのいずれかに分類し、分類毎のパケットキューに蓄積する。パケット分類部112はモデル作成に使用するパケットのキャプチャ時間を管理しており、キャプチャ開始時間から必要時間経過後にパケットキャプチャを終了し、パケット特徴量抽出部113−1を起動する。この段階では、パケット分類毎のキュー各々に対し、1または複数のパケットが格納されている状態である。なお、パケット分類方法を蓄積する分類法蓄積部121は、パケットキャプチャ開始前は空であり、未知のIPアドレスとポート番号の組合せのパケットが検出されるたびに、当該IPアドレスとポート番号の組合せが追加される形で蓄積される。S1001は、以上の通りパケットの分類およびキューへの蓄積、キャプチャ時間の管理、および分類法蓄積部121のアップデートを担当する。
パケットキャプチャ部111にパケットが到着する度にパケット分類部112が起動され、パケット分類部112はキャプチャしたパケットのヘッダを参照しながら、各パケットをIPアドレスとポート番号の組合せのいずれかに分類し、分類毎のパケットキューに蓄積する。パケットの分類方法は、分類法蓄積部121に蓄積されているモデル作成時の結果を参照する。ここで、モデル作成時と異なり、未知のIPアドレスとポート番号の組合せのパケットが検出されると、パケット分類部112はモデルとの照合を待たずに異常通信発生と見なし、通知部116へ通知を行う。パケット分類部112はモデル作成に使用するパケットのキャプチャ時間を管理しており、例えば1秒毎など定期的にパケット特徴量抽出部113−2を起動する。
S2001にて電源投入と共にパケット分類部112が起動すると、S2002にてパケット特徴量抽出部113−1または113−2を起動する条件を満たしているかどうかを確認する。モデル作成時は全てのパケット分類が完了した後、通信監視時は1秒毎など定期的な起動周期に達しているかどうかを確認する。起動条件を満たしている場合は、S2008にてパケット特徴量抽出部113−1または113−2に対して起動トリガを発行する。どちらを起動するかは、モデル作成モードか通信監視モードかの状態に依存する。
S2101で電源投入と共にパケット特徴量抽出部113−1または113−2が起動すると、S2102にてパケット分類部112における処理S2008が発行する起動トリガを待つ。トリガが来るまでS2102にて無限ループで待ち、トリガが来るとS2103に進む。
第一列に特徴量項目のインデックス1001、第二列に特徴量項目の名称1002、第三列に特徴量のデータフォーマット1003が記載されている。図9のfor文で参照するインデックスは、本図の第一列のインデックスに相当する。
S2201で電源投入と共にパケット特徴量選択学習部が起動すると、S2202にてパケット特徴量抽出部113−1における処理S2106が発行する起動トリガを待つ。トリガが来るまでS2202にて無限ループで待ち、トリガが来るとS2103に進む。
S2301で電源投入と共にパケット特徴量検証部が起動すると、S2302にてパケット特徴量抽出部113−2における処理S2108が発行する起動トリガを待つ。トリガが来るまでS2302にて無限ループで待ち、トリガが来るとS2103に進む。
201は、デバイス間の通信を行うためのバスである。202は、プログラムを格納するメモリである。202には、パケット分類部112、パケット特徴量抽出部113、パケット特徴量選択学習部114、パケット特徴量検証部115が含まれる。203は、プログラムを動作させるCPUなどの演算処理デバイスである。204は、プログラムが使用するメモリであり、分類法蓄積部121、監視観点選択蓄積部122、モデル蓄積部123、および各プログラムの作業領域として使用される。205は、パケットを取込むためのネットワークインターフェースデバイスである。これは、パケットキャプチャ部111に相当する。206は画面やプリンタなどの出力デバイスで、図17に基づく異常検知結果が出力される。
102…ネットワークスイッチ103の入出力ポート
103…ネットワークスイッチ
104…ネットワーク監視装置
111…パケットキャプチャ部
112…パケット分類部
113…パケット特徴量抽出部
114…パケット特徴量選択学習部
115…パケット特徴量検証部
116…通知部
121…分類法蓄積部
122…監視観点選択蓄積部
123…モデル蓄積部
201…バス
202…プログラム格納メモリ
203…演算処理デバイス
204…プログラムから参照するデータの格納メモリ
205…ネットワークインターフェースデバイス
206…出力デバイス
Claims (7)
- ネットワークを流れるパケットを監視するネットワーク監視装置であって、
処理部と、インターフェースとを有し、
前記インターフェースは、
前記ネットワークのパケットをキャプチャするパケットキャプチャ部を有し、
前記処理部は、
学習期間及び監視期間において、キャプチャしたパケットから、タイムスタンプの間の時間である通信継続時間の特徴量を抽出し、
前記学習期間において、前記通信継続時間の特徴量に対して定常性の判定をし、定常性があると判定した特徴量についてのモデルの作成をし、
前記学習期間に定常性があるとした前記特徴量について、前記監視期間において抽出した前記特徴量と、前記モデルとを比較して異常通信有無を判定することを特徴とするネットワーク監視装置。 - 請求項1記載のネットワーク監視装置において、前記学習期間に抽出した特徴量が、定常性があるかどうかを、パケット長の特徴量、もしくはペイロードのベクトルの特徴量のそれぞれに定常性を判断する閾値を設け、その閾値に基づいて定常性を判定し、定常性がある場合には、前記パケット長の値、および前記ペイロードのベクトルをモデルとして記録することを特徴とするネットワーク監視装置。
- 請求項2記載のネットワーク監視装置において、パケットの送信元に対応する機器、パケットの送信先に対応する機器、パケットの送信元で使用されるアプリケーション、パケットの送信先で使用されるアプリケーションに基づいてパケットを分類し、分類したパケット各々に対して、定常性があるかどうかを判定し、判定結果をイネーブラとして記録することを特徴とするネットワーク監視装置。
- 請求項3記載のネットワーク監視装置において、前記監視期間において、分類後のパケットに対するイネーブラを参照し、定常性がないと判定したパケットについては、パケット特徴量の抽出をスキップすることを特徴とするネットワーク監視装置。
- 請求項1記載のネットワーク監視装置において、前記通信継続時間の前記特徴量に対しての定常性の判定は、複数の当該特徴量の平均と標準偏差に基づいて判定することを特徴とするネットワーク監視装置。
- 監視対象となる機器間はネットワークを介して接続しており、該ネットワークを流れるパケットを監視するネットワーク監視システムであって、該パケットをキャプチャするインターフェースと、該キャプチャしたパケットに基づいて演算処理をする処理部とを有し、
前記処理部は、
前記キャプチャしたパケットから、タイムスタンプの間の時間である通信継続時間の特徴量を抽出し、
前記通信継続時間の特徴量に対して、学習期間において定常性の判定をし、定常性があると判定した特徴量についてモデルを作成し、
前記学習期間に定常性があるとした前記特徴量について、監視期間において抽出した前記特徴量と、前記モデルとを比較して異常通信有無を判定することを特徴とするネットワーク監視システム。 - ネットワークを流れるパケットを監視するネットワーク監視装置を用いたネットワーク監視方法であって、
前記ネットワーク監視装置は、前記ネットワークからのパケットをキャプチャし、
学習期間及び監視期間において、キャプチャしたパケットから、タイムスタンプの間の時間である通信継続時間の特徴量を抽出し、
学習期間において、前記通信継続時間の特徴量に対して定常性の判定をし、定常性があると判定した特徴量についてモデルを作成し、
前記学習期間に定常性があるとした前記特徴量について、監視期間において抽出した前記特徴量と、前記モデルとを比較して異常通信有無を判定することを特徴とするネットワーク監視方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017119715A JP6955912B2 (ja) | 2017-06-19 | 2017-06-19 | ネットワーク監視装置、そのシステム、およびその方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017119715A JP6955912B2 (ja) | 2017-06-19 | 2017-06-19 | ネットワーク監視装置、そのシステム、およびその方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019004419A JP2019004419A (ja) | 2019-01-10 |
JP6955912B2 true JP6955912B2 (ja) | 2021-10-27 |
Family
ID=65006980
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017119715A Active JP6955912B2 (ja) | 2017-06-19 | 2017-06-19 | ネットワーク監視装置、そのシステム、およびその方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6955912B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20240160445A1 (en) * | 2021-03-09 | 2024-05-16 | Nippon Telegraph And Telephone Corporation | Estimation apparatus, estimation method and program |
CN117396868A (zh) * | 2021-06-07 | 2024-01-12 | 日本电信电话株式会社 | 估计装置、估计方法以及估计程序 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4232828B2 (ja) * | 2007-02-01 | 2009-03-04 | 沖電気工業株式会社 | アプリケーション分類方法、ネットワーク異常検知方法、アプリケーション分類プログラム、ネットワーク異常検知プログラム、アプリケーション分類装置、ネットワーク異常検知装置 |
JP2010177733A (ja) * | 2009-01-27 | 2010-08-12 | Mitsubishi Electric Corp | 通信監視装置、通信監視装置の通信監視方法および通信監視プログラム |
US10719380B2 (en) * | 2014-12-22 | 2020-07-21 | Nec Corporation | Operation management apparatus, operation management method, and storage medium |
US9979606B2 (en) * | 2015-03-04 | 2018-05-22 | Qualcomm Incorporated | Behavioral analysis to automate direct and indirect local monitoring of internet of things device health |
-
2017
- 2017-06-19 JP JP2017119715A patent/JP6955912B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2019004419A (ja) | 2019-01-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6183450B2 (ja) | システム分析装置、及び、システム分析方法 | |
JP6955912B2 (ja) | ネットワーク監視装置、そのシステム、およびその方法 | |
KR100759798B1 (ko) | 지능적 화면 감시를 통한 유해 멀티미디어 차단 장치 및 그방법 | |
US20170124481A1 (en) | System for fully integrated capture, and analysis of business information resulting in predictive decision making and simulation | |
CN105183873A (zh) | 恶意点击行为检测方法及装置 | |
JP6183449B2 (ja) | システム分析装置、及び、システム分析方法 | |
Yang et al. | Cost optimization of a repairable M/G/1 queue with a randomized policy and single vacation | |
JP2010097342A (ja) | 異常動作検出装置及びプログラム | |
Xu et al. | Video analytics with zero-streaming cameras | |
TW202115511A (zh) | 缺值補償方法、缺值補償系統及非暫態電腦可讀取媒體 | |
CN103108033A (zh) | 文件上传方法及*** | |
JP2016045556A (ja) | ログ間因果推定装置、システム異常検知装置、ログ分析システム、及びログ分析方法 | |
US10013694B1 (en) | Open data collection for threat intelligence posture assessment | |
JP5973935B2 (ja) | 閲覧行動予測装置、閲覧行動予測方法及びプログラム | |
Song et al. | Design of anomaly detection and visualization tool for IoT blockchain | |
CN103929339A (zh) | 一种web数据采集方法和*** | |
CN109670153A (zh) | 一种相似帖子的确定方法、装置、存储介质及终端 | |
FR3087032B1 (fr) | Procedes d'apprentissage de parametres d'un reseau de neurones a convolution, de detection d'elements d'interet visibles dans une image et d'association d'elements d'interet visibles dans une image | |
CN110022343B (zh) | 自适应事件聚合 | |
JP7052575B2 (ja) | 判定装置、判定方法及び判定プログラム | |
CN109361674A (zh) | 旁路接入的流式数据检测方法、装置以及电子设备 | |
KR20200099361A (ko) | 의류 이미지를 이용한 세탁물 주문 서비스 장치 및 그 동작 방법 | |
KR101200773B1 (ko) | 하둡 맵리듀스에서 네트워크 패킷 분석을 위한 입력포맷 추출방법 | |
CN113806204B (zh) | 一种报文字段相关性的评估方法、装置、***及存储介质 | |
CN103986616A (zh) | 识别代理上网的机器数的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200213 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201211 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210202 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210402 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210914 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211004 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6955912 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |