JP7409866B2 - 通信監視装置及び通信監視方法 - Google Patents
通信監視装置及び通信監視方法 Download PDFInfo
- Publication number
- JP7409866B2 JP7409866B2 JP2019234060A JP2019234060A JP7409866B2 JP 7409866 B2 JP7409866 B2 JP 7409866B2 JP 2019234060 A JP2019234060 A JP 2019234060A JP 2019234060 A JP2019234060 A JP 2019234060A JP 7409866 B2 JP7409866 B2 JP 7409866B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- communications
- period
- pair
- model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 645
- 238000012806 monitoring device Methods 0.000 title claims description 56
- 238000000034 method Methods 0.000 title claims description 37
- 238000012544 monitoring process Methods 0.000 title claims description 22
- 230000005856 abnormality Effects 0.000 claims description 13
- 238000012545 processing Methods 0.000 description 104
- 238000012937 correction Methods 0.000 description 38
- 238000001514 detection method Methods 0.000 description 33
- 230000008569 process Effects 0.000 description 27
- 238000010586 diagram Methods 0.000 description 16
- 238000007781 pre-processing Methods 0.000 description 14
- 230000006870 function Effects 0.000 description 10
- 238000004364 calculation method Methods 0.000 description 6
- 238000009499 grossing Methods 0.000 description 6
- 239000006185 dispersion Substances 0.000 description 5
- 239000000284 extract Substances 0.000 description 4
- 238000012417 linear regression Methods 0.000 description 4
- 230000002776 aggregation Effects 0.000 description 3
- 238000004220 aggregation Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000000513 principal component analysis Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/067—Generation of reports using time frame reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2218/00—Aspects of pattern recognition specially adapted for signal processing
- G06F2218/12—Classification; Matching
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Data Mining & Analysis (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Software Systems (AREA)
- Databases & Information Systems (AREA)
- Artificial Intelligence (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
Claims (9)
- 監視対象システムの通信を監視する通信監視装置であって、
プロセッサとメモリとを備え、
前記メモリは、
前記監視対象システム内の通信ペアの通信数の関係を示し、かつ前記通信ペアの通信が同じ時間帯に発生した通信数に基づいて生成された、通信ペアモデルと、
判定対象期間並びに前記判定対象期間の前及び後ろの所定数個の期間において、発生した前記通信ペアの通信それぞれの通信数を示す通信情報と、を保持し、
前記プロセッサは、
前記通信情報から前記判定対象期間における前記通信ペアの通信それぞれの通信数を取得し、
前記通信ペアモデルと、前記判定対象期間における前記通信ペアの一方の通信数と、から前記判定対象期間における前記通信ペアの他方のモデル通信数を算出し、
前記判定対象期間における前記他方の通信数と、前記モデル通信数と、の差分である第1差分に基づく値を、前記通信ペアモデルの残差に基づく閾値と比較した比較結果に基づいて、前記判定対象期間における前記通信ペアの通信に異常が発生した疑いがあると判定した場合、
前記通信情報から、前記判定対象期間の直前の1つ以上の期間及び直後の1つ以上の期間における前記通信ペアの通信数を取得し、
前記判定対象期間と前記直前の1つ以上の期間とを合わせた前合算期間、及び前記判定対象期間と前記直後の1つ以上の期間とを合わせた後合算期間における、前記通信ペアの通信数と、前記通信ペアモデルと、に基づいて、前記通信ペアの通信に異常が発生したかを判定する、通信監視装置。 - 請求項1に記載の通信監視装置であって、
前記プロセッサは、
前記異常が発生した疑いがあると判定した場合、
前記前合算期間における、前記他方の通信数の合計を算出し、
前記後合算期間における、前記他方の通信数の合計を算出し、
前記通信ペアモデルと、前記前合算期間及び前記後合算期間における前記通信ペアの一方の通信数と、に基づいて、前記前合算期間における前記他方の前合算モデル通信数及び前記後合算期間における前記他方の後合算モデル通信数を算出し、
前記前合算期間における前記他方の通信数の合計と前記前合算モデル通信数との差分である第2差分と、前記後合算期間における前記他方の通信数の合計と前記後合算モデル通信数との差分である第3差分と、前記通信ペアモデルの残差に基づく閾値と、に基づいて、前記判定対象期間における前記通信ペアの通信に異常が発生したかを判定する、通信監視装置。 - 請求項2に記載の通信監視装置であって、
前記プロセッサは、
前記第2差分と、前記第3差分と、に基づいて、前記直前の1つ以上の期間と前記直後の1つ以上の期間とから前記通信ペアの通信が跨がった期間を特定し、
前記特定した期間と前記判定対象期間とを合算した跨り発生期間における前記他方の通信数と、前記通信ペアモデルと前記跨り発生期間における前記通信ペアの一方の通信数とに基づく前記跨り期間の合算モデル通信数と、の第4差分に基づく値を、前記通信ペアモデルの残差に基づく閾値と比較した比較結果に基づいて、前記判定対象期間における前記通信ペアの通信に異常が発生したかを判定する、通信監視装置。 - 請求項3に記載の通信監視装置であって、
前記プロセッサは、前記第4差分を前記残差の標準偏差である閾値基準で割った商である外れ度が、前記閾値を超えた場合に、前記異常が発生したと判定する、通信監視装置。 - 請求項1に記載の通信監視装置であって、
前記プロセッサは、
学習期間において前記監視対象システムから観測された通信から、同じ時間帯において発生した通信数に基づいて、前記通信ペアを推定し、
前記通信ペアの前記学習期間における同じ時間帯に発生した通信数から算出される特徴量に基づいて、前記通信ペアモデルを生成し、
前記生成した通信ペアモデルを前記メモリに格納する、通信監視装置。 - 請求項5に記載の通信監視装置であって、
前記プロセッサは、前記学習期間において前記監視対象システムから観測された通信のうち、前記同じ時間帯における通信数の相関係数が所定値以上である通信を、前記通信ペアとして推定する、通信監視装置。 - 請求項6に記載の通信監視装置であって、
前記プロセッサは、前記特徴量に基づいて、前記通信ペアの通信の通信数の関係を示す回帰直線を、前記通信ペアモデルとして生成する、通信監視装置。 - 請求項1に記載の通信監視装置であって、
前記プロセッサは、前記第1差分の絶対値を前記残差の標準偏差である閾値基準で割った商である外れ度が、前記閾値を超えた場合に、前記異常が発生した疑いがあると判定する、通信監視装置。 - 通信監視装置が監視対象システムの通信を監視する方法であって、
前記通信監視装置は、プロセッサとメモリとを備え、
前記メモリは、
前記監視対象システム内の通信ペアの通信数の関係を示し、かつ前記通信ペアの通信が同じ時間帯に発生した通信数に基づいて生成された、通信ペアモデルと、
判定対象期間並びに前記判定対象期間の前及び後ろの所定数個の期間において、発生した前記通信ペアの通信それぞれの通信数を示す通信情報と、を保持し、
前記方法は、
前記プロセッサが、前記通信情報から前記判定対象期間における前記通信ペアの通信それぞれの通信数を取得し、
前記プロセッサが、前記通信ペアモデルと、前記判定対象期間における前記通信ペアの一方の通信数と、から前記判定対象期間における前記通信ペアの他方のモデル通信数を算出し、
前記プロセッサが、前記判定対象期間における前記他方の通信数と、前記モデル通信数と、の差分である第1差分に基づく値を、前記通信ペアモデルの残差に基づく閾値と比較した比較結果に基づいて、前記判定対象期間における前記通信ペアの通信に異常が発生した疑いがあると判定した場合、
前記プロセッサが、前記通信情報から、前記判定対象期間の直前の1つ以上の期間及び直後の1つ以上の期間における前記通信ペアの通信数を取得し、
前記プロセッサが、前記判定対象期間と前記直前の1つ以上の期間とを合わせた前合算期間、及び前記判定対象期間と前記直後の1つ以上の期間とを合わせた後合算期間における、前記通信ペアの通信数と、前記通信ペアモデルと、に基づいて、前記通信ペアの通信に異常が発生したかを判定する、方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019234060A JP7409866B2 (ja) | 2019-12-25 | 2019-12-25 | 通信監視装置及び通信監視方法 |
US17/127,145 US11271832B2 (en) | 2019-12-25 | 2020-12-18 | Communication monitoring apparatus and communication monitoring method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019234060A JP7409866B2 (ja) | 2019-12-25 | 2019-12-25 | 通信監視装置及び通信監視方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021103838A JP2021103838A (ja) | 2021-07-15 |
JP7409866B2 true JP7409866B2 (ja) | 2024-01-09 |
Family
ID=76546874
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019234060A Active JP7409866B2 (ja) | 2019-12-25 | 2019-12-25 | 通信監視装置及び通信監視方法 |
Country Status (2)
Country | Link |
---|---|
US (1) | US11271832B2 (ja) |
JP (1) | JP7409866B2 (ja) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014099777A (ja) | 2012-11-15 | 2014-05-29 | Hitachi Ltd | ネットワーク異常検知システム、および、計測装置、分析装置 |
WO2018163352A1 (en) | 2017-03-09 | 2018-09-13 | Nec Corporation | Pattern recognition apparatus, method, and program |
JP2018142197A (ja) | 2017-02-28 | 2018-09-13 | 沖電気工業株式会社 | 情報処理装置、方法およびプログラム |
JP2018207241A (ja) | 2017-05-31 | 2018-12-27 | 富士通株式会社 | 管理装置、管理方法及び管理プログラム |
JP2019126003A (ja) | 2018-01-19 | 2019-07-25 | 富士通株式会社 | 攻撃検知装置および攻撃検知方法 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6668282B1 (en) * | 2000-08-02 | 2003-12-23 | International Business Machines Corporation | System and method to monitor and determine if an active IPSec tunnel has become disabled |
JP3723980B2 (ja) * | 2003-12-22 | 2005-12-07 | 横河電機株式会社 | 通信制御システム |
JP4723466B2 (ja) | 2006-12-19 | 2011-07-13 | 三菱電機株式会社 | データ処理装置及びデータ処理方法及びプログラム |
AR082117A1 (es) * | 2010-07-06 | 2012-11-14 | Telefonica Sa | Sistema para monitorizar interaccion en linea |
US10536357B2 (en) * | 2015-06-05 | 2020-01-14 | Cisco Technology, Inc. | Late data detection in data center |
US10673881B2 (en) * | 2016-08-11 | 2020-06-02 | Hopzero, Inc. | Method and system for limiting the range of data transmissions |
US10469311B2 (en) * | 2017-07-13 | 2019-11-05 | Cisco Technology, Inc. | Handling network failures in networks with redundant servers |
CN111201755B (zh) * | 2017-10-13 | 2022-11-15 | 埃克森美孚上游研究公司 | 使用通信执行操作的方法和*** |
WO2019134749A1 (en) * | 2018-01-04 | 2019-07-11 | Huawei Technologies Co., Ltd. | Handling failure of a subset of serving beam pair links |
-
2019
- 2019-12-25 JP JP2019234060A patent/JP7409866B2/ja active Active
-
2020
- 2020-12-18 US US17/127,145 patent/US11271832B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014099777A (ja) | 2012-11-15 | 2014-05-29 | Hitachi Ltd | ネットワーク異常検知システム、および、計測装置、分析装置 |
JP2018142197A (ja) | 2017-02-28 | 2018-09-13 | 沖電気工業株式会社 | 情報処理装置、方法およびプログラム |
WO2018163352A1 (en) | 2017-03-09 | 2018-09-13 | Nec Corporation | Pattern recognition apparatus, method, and program |
JP2018207241A (ja) | 2017-05-31 | 2018-12-27 | 富士通株式会社 | 管理装置、管理方法及び管理プログラム |
JP2019126003A (ja) | 2018-01-19 | 2019-07-25 | 富士通株式会社 | 攻撃検知装置および攻撃検知方法 |
Also Published As
Publication number | Publication date |
---|---|
US20210203572A1 (en) | 2021-07-01 |
US11271832B2 (en) | 2022-03-08 |
JP2021103838A (ja) | 2021-07-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10318366B2 (en) | System and method for relationship based root cause recommendation | |
US10270668B1 (en) | Identifying correlated events in a distributed system according to operational metrics | |
US10462027B2 (en) | Cloud network stability | |
US10592328B1 (en) | Using cluster processing to identify sets of similarly failing hosts | |
JP5874936B2 (ja) | 運用管理装置、運用管理方法、及びプログラム | |
US9355007B1 (en) | Identifying abnormal hosts using cluster processing | |
US20220263860A1 (en) | Advanced cybersecurity threat hunting using behavioral and deep analytics | |
WO2014184934A1 (ja) | 障害分析方法、障害分析システム及び記憶媒体 | |
US11074652B2 (en) | System and method for model-based prediction using a distributed computational graph workflow | |
EP3956771B1 (en) | Timeout mode for storage devices | |
JP7235967B2 (ja) | ネットワーク分析プログラム、ネットワーク分析装置及びネットワーク分析方法 | |
JP2019028891A (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
US7711518B2 (en) | Methods, systems and computer program products for providing system operational status information | |
JP4504346B2 (ja) | トラブル要因検出プログラム、トラブル要因検出方法およびトラブル要因検出装置 | |
WO2019018829A1 (en) | MITIGATING IMPROVED CYBERSECURITY THREATS USING DEEP AND BEHAVIORAL ANALYTICS | |
JP6252309B2 (ja) | 監視漏れ特定処理プログラム,監視漏れ特定処理方法及び監視漏れ特定処理装置 | |
JP2019049802A (ja) | 障害解析支援装置、インシデント管理システム、障害解析支援方法及びプログラム | |
JP7409866B2 (ja) | 通信監視装置及び通信監視方法 | |
CN110493218B (zh) | 一种态势感知虚拟化的方法和装置 | |
JP7269822B2 (ja) | 通信監視装置及び通信監視方法 | |
Lee et al. | Detecting anomaly teletraffic using stochastic self-similarity based on Hadoop | |
EP3679506A2 (en) | Advanced cybersecurity threat mitigation for inter-bank financial transactions | |
WO2015019488A1 (ja) | 管理システム及びその管理システムによるイベント解析方法 | |
JP6163751B2 (ja) | 判定プログラム、判定方法および判定システム | |
JP5679347B2 (ja) | 障害検知装置、障害検知方法、及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220624 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230706 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230808 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231004 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231212 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231221 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7409866 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |