JP7409866B2 - 通信監視装置及び通信監視方法 - Google Patents
通信監視装置及び通信監視方法 Download PDFInfo
- Publication number
- JP7409866B2 JP7409866B2 JP2019234060A JP2019234060A JP7409866B2 JP 7409866 B2 JP7409866 B2 JP 7409866B2 JP 2019234060 A JP2019234060 A JP 2019234060A JP 2019234060 A JP2019234060 A JP 2019234060A JP 7409866 B2 JP7409866 B2 JP 7409866B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- communications
- period
- pair
- model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 645
- 238000012806 monitoring device Methods 0.000 title claims description 56
- 238000000034 method Methods 0.000 title claims description 37
- 238000012544 monitoring process Methods 0.000 title claims description 22
- 230000005856 abnormality Effects 0.000 claims description 13
- 238000012545 processing Methods 0.000 description 104
- 238000012937 correction Methods 0.000 description 38
- 238000001514 detection method Methods 0.000 description 33
- 230000008569 process Effects 0.000 description 27
- 238000010586 diagram Methods 0.000 description 16
- 238000007781 pre-processing Methods 0.000 description 14
- 230000006870 function Effects 0.000 description 10
- 238000004364 calculation method Methods 0.000 description 6
- 238000009499 grossing Methods 0.000 description 6
- 239000006185 dispersion Substances 0.000 description 5
- 239000000284 extract Substances 0.000 description 4
- 238000012417 linear regression Methods 0.000 description 4
- 230000002776 aggregation Effects 0.000 description 3
- 238000004220 aggregation Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000000513 principal component analysis Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/067—Generation of reports using time frame reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2218/00—Aspects of pattern recognition specially adapted for signal processing
- G06F2218/12—Classification; Matching
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Data Mining & Analysis (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Software Systems (AREA)
- Databases & Information Systems (AREA)
- Artificial Intelligence (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、通信監視装置及び通信監視方法に関する。
本技術分野の背景技術として、特開2008-154010号公報(特許文献1)がある。この公報には、「データ入力・処理部420が、入力データ410を単位時間ごとに集計し、特徴量分析部430が、集計後のデータを所定の領域に区分し、領域ごとに主成分分析を行って特徴量を算出し、突出点判定部440が、各領域の特徴量を2次元平面に配列し、特徴量の分布から突出率を判定し、平滑化係数算出部450が、データ入力・処理部420からの集計後の各データに対して対応する領域の突出率を付与し、各データの領域内の相対評価値を算出し、各データの相対評価値及び各データの領域の突出率と、平滑化部460による移動平均計算の対象とするデータ数とが比例関係となる平滑化係数を算出し、平滑化部460が、平滑化係数に基づいて移動平均の対象データ数を求めて、移動平均計算によりデータ入力・処理部420からの集計後の各データの平滑化を行う。」と記載されている(要約参照)。
特許文献1には、学習データとして用いる時系列データに対して、他のデータから乖離しているデータ値に対して平滑化の度合いを強くするため、ノイズを除去することができ、異常検知の精度を向上することができることが記載されているが、入力データが集計単位期間を跨いだことに起因する誤検知については考慮されていない。そこで本発明の一態様は、集計単位期間を跨いで通信が行われたことを考慮して、正常通信を悪用通信と判定する誤検知を抑制することを目的とする。
上記課題を解決するために、本発明の一態様は以下の構成を採用する。監視対象システムの通信を監視する通信監視装置は、プロセッサとメモリとを備え、前記メモリは、前記監視対象システム内の通信ペアの通信数の関係を示し、かつ前記通信ペアの通信が同じ時間帯に発生した通信数に基づいて生成された、通信ペアモデルと、判定対象期間及び前記判定対象期間の前又は後ろの所定数個の期間において、発生した前記通信ペアの通信それぞれの通信数を示す通信情報と、を保持し、前記プロセッサは、前記通信情報から前記判定対象期間における前記通信ペアの通信それぞれの通信数を取得し、前記通信ペアモデルと、前記判定対象期間における前記通信ペアの一方の通信数と、から前記判定対象期間における前記通信ペアの他方のモデル通信数を算出し、前記判定対象期間における前記他方の通信数と、前記モデル通信数と、の差分である第1差分に基づく値を、前記通信ペアモデルの残差に基づく閾値と比較した比較結果に基づいて、前記判定対象期間における前記通信ペアの通信に異常が発生した疑いがあると判定した場合、前記通信情報から、前記判定対象期間の前又は後ろの少なくとも1つの期間における前記通信ペアの通信数を、前記通信情報から取得し、前記判定対象期間と前記少なくとも1つの期間とを合わせた期間における、前記通信ペアの通信数と、前記通信ペアモデルと、に基づいて、前記通信ペアの通信に異常が発生したかを判定する、通信監視装置。
本発明の一態様によれば、正常通信を悪用通信と判定する誤検知を抑制することができる。
上記した以外の課題、構成、及び効果は、以下の実施形態の説明により明らかにされる。
本実施形態は、NEDOが推進する総合科学技術・イノベーション会議の戦略的イノベーション創造プログラム(SIP)「重要インフラ等におけるサイバーセキュリティの確保」に関する。
以下、添付図面を参照して本発明の実施形態を説明する。本実施形態は本発明を実現するための一例に過ぎず、本発明の技術的範囲を限定するものではないことに注意すべきである。各図において共通の構成については同一の参照符号が付されている。
本実施例では、タイムスロットで区切って集計した入力通信数をモデルと比較して悪用を検知する方式において、通信シーケンスがタイムスロットを跨ったことに起因して、正常な業務通信を悪用通信と判断する誤検知を抑制する通信監視システムについて説明する。
図1は、本実施例の通信システムの構成例を示すブロック図である。通信システムは、例えば、監視対象システム1及び通信監視装置20を含む。通信監視装置20は、監視対象システム1の通信データを収集して(本実施形態では通信データの一例としてパケットを収集する)、定常時の監視対象システム1の通信の特徴量を抽出する。また、通信監視装置20は、抽出した特徴量から定常状態をモデル化する。また、通信監視装置20は、モデルと監視時の通信との差分から正規通信の悪用を検知する。
監視対象システム1は、例えば、複数のネットワーク(図1の例ではネットワーク110及びネットワーク120)を備える。各ネットワークには、各種役割を備えた複数の機器(図1の例では、機器10a~10m、機器12a~12n、及び機器13a~13k)が接続される。
例えば、監視対象システム1が産業制御システム(ICS)である場合、ネットワーク110は情報・制御ネットワークであり、ネットワーク120はコントロールネットワークである。情報・制御ネットワーク(ネットワーク110)に接続された機器10a~10mは、例えば、システム全体の動作を監視するシステム監視サーバ、システムの運行計画を管理するサーバ、又は保守用サーバなどである。
情報・制御ネットワーク(ネットワーク110)とコントロールネットワーク(ネットワーク120)に接続された機器12a~12nは、例えば、システム監視サーバからの命令に従って、コントロールネットワーク(ネットワーク120)に接続された機器に制御命令を送信したり、ログ情報を収集したりする制御サーバ等である。
コントロールネットワーク(ネットワーク120)に接続された機器13a~13kは、例えば、制御サーバの命令にしたがってモータの回転数を設定したり、設定情報を収集したりする、プログラマブルコントローラ(PLC)等である。
監視対象システム1は、通信監視装置20に接続された複数のミラーポート(図1の例ではミラーポート111及びミラーポート112)を有する。各ミラーポートは、監視対象システム1の各ネットワークに流れる通信のコピーを通信監視装置20に送信する。
図2は、通信監視装置20による検知対象の正規通信の一例を示す説明図である。機器10aから機器12aへの通信K1、機器12aから機器12bへの通信K2、機器12aから機器10bへの通信K3、及び機器10bから機器10aへの通信K4は、いずれも監視対象システム1が正常に動作しているときに発生する正規通信を示す。通信K1と通信K2からなるKP1、及び通信K3と通信K4からなるKP2は業務的に関係の強い正規通信のペア(以下、業務通信ペアとも呼ぶ)を示している。業務的に関係が強いとは、例えば、正規通信K1によって正規通信K2が発生する等の関係がみられる通信のペアのことである。
例えば、(1)2つの機器間で相互に通信を行うタイプの業務の生存確認又は業務実行要求の通信と応答の通信等、(2)1つの機器からの通信を受け他の機器に通信を行う業務の上位機器からの業務実行要求の受信を契機に実行される、配下の機器への命令やデータやログの送信等、(3)1つの機器から複数の機器へ通信を行う業務の上位機器から複数の下位機器へ同じタイミング行われるデータ配信、又は堅牢化のため冗長構成をとる2つの機器へのデータ送信等、(4)1つの機器へ複数の機器から通信を行う業務の下位機器から上位機器への命令実行結果の通知等は、いずれも業務通信ペアを構成する可能性がある。
図3は、通信監視装置20が監視する入力通信の時系列の一例を示す説明図である。図3における縦下向きの矢印は時間経過を示す。t0、t1、t2、t3は入力通信が行われた時間帯を示すタイムスロットであり、横向きの破線はタイムスロットの区切りを示す。ここで、正規通信K1及び正規通信K2は、通信監視装置20による監視対象の入力通信である。図3の例では、1つの処理シーケンスで交わされる複数の通信を各々矢印で表している。
図4は、図3に示した通信監視装置20が監視する入力通信数のタイムスロットごとの集計データの一例である。列401はタイムスロットを示し、列402は対応するタイムスロットにおける正規通信K1の通信数を示し、列403は対応するタイムスロットにおける正規通信K2の通信数を示す。
図3及び図4の例では、タイムスロットt1とt2において正規通信K1と正規通信K2との組み合わせによる業務の処理シーケンスがタイムスロットを跨いでいる状態(以下、タイムスロット跨りとも呼ぶ)が発生している。
図5は、図4の集計データの時間軸グラフである。横軸はタイムスロット、縦軸はタイムスロットで区切って集計された通信数を示す。図5では正規通信K1の通信数が実線のグラフ、正規通信K2の通信数が点線のグラフで示されている。t0、t1、t2、及びt3は、図3及び図4で示したタイムスロットt0、t1、t2、及びt3である。
図6は、正規通信K1及び正規通信K2の通信数を分散図で示したものである。横軸が正規通信K1の通信数を示し、縦軸が正規通信K2の通信を示す。図中の黒三角形の記号で描かれた点611及び点612は、それぞれ、タイムスロット跨りが発生したt1及びt2における正規通信K1及び正規通信K2の通信数を示す。図中の一点鎖線は、正規通信K1及び正規通信K2から、予め学習して求めた正規通信K1及び正規通信K2の通信数の関連を示すモデルである。
このように、タイムスロット跨りが発生したタイムスロットt1及びタイムスロットt2においては、正規通信K1及び正規通信K2の通信数がモデルから大きく乖離しているため、当該モデルのみに従って悪用通信を検知すると実際には正常な業務通信が行われているのに悪用通信が行われていると誤検知される。以下、通信監視装置20が、業務の処理シーケンスがタイムスロットを跨った箇所を適切に検知し、補正することでタイムスロット跨りに起因する誤検知を抑制する例について説明する。
図7は、通信監視装置20のハードウェア構成例を示すブロック図である。通信監視装置20は、例えば、互いにバス216等の内部通信線で接続された、CPU(Central Processing Unit)211、メモリ212、補助記憶装置213、及び複数のIF(インタフェース)214、入出力装置215、及びバス216を有する計算機によって構成される。
CPU211は、プロセッサを含み、メモリ212にロードされた各種プログラムを実行し、通信監視装置20の各種機能を実現する。メモリ212は、不揮発性の記憶素子であるROM及び揮発性の記憶素子であるRAMを含む。ROMは、不変のプログラム(例えば、BIOS)などを格納する。RAMは、DRAM(Dynamic Random Access Memory)のような高速かつ揮発性の記憶素子であり、CPU211が実行するプログラム及びプログラムの実行時に使用されるデータを一時的に格納する。
補助記憶装置213は、例えば、磁気記憶装置(HDD)、フラッシュメモリ(SSD)等の大容量かつ不揮発性の記憶装置であり、CPU211が実行するプログラム213a及びプログラム213aの実行時に使用されるデータ(例えばテーブル213b)を格納する。
すなわち、プログラム213aは、補助記憶装置213から読み出されて、メモリ212にロードされて、CPU211によって実行される。なお、メモリ212に格納されているデータの一部又は全部が補助記憶装置213に格納されていてもよいし、補助記憶装置213に格納されているデータの一部又は全部がメモリ212に格納されていてもよい。
IF214は、所定のプロトコルに従って、他の装置との通信を制御するネットワークインターフェース装置であり、通信監視装置20を監視対象システム1のネットワークに接続するために用いられる。複数のIF214によって、複数のネットワークで構成される監視対象システム1の通信パケットが収集される。
入出力装置215は、ユーザからの入力を受け、プログラム213aの実行結果をユーザが視認可能な形式で出力する装置であり、例えば、キーボード、マウス、及び/又はディスプレイなどである。なお、入出力装置215は、通信監視装置20を構成する計算機に含まれずに接続されていてもよい。
図8は、通信監視装置20の機能構成例を示すブロック図である。通信監視装置20は、監視対象システム1のネットワークに流れる通信パケットを収集、分析、及び学習することで、正規通信を使った悪用を検知する。
通信監視装置20は、パケット収集処理部21、業務通信ペア推定処理部22、業務通信ペア特徴量算出処理部23、業務通信ペアモデル生成処理部24、悪用通信検知処理部25、及び跨り補正処理部26を有し、これらの処理部の機能を実現するためのプログラムがプログラム213aとして補助記憶装置213に格納されている。
例えば、CPU211は、メモリ212にロードされたパケット収集処理プログラムに従って動作することで、パケット収集処理部21として機能し、メモリ212にロードされた業務通信ペア推定処理プログラムに従って動作することで、業務通信ペア推定処理部22として機能する。通信監視装置20が有する他の処理部についても、プログラムと処理部の関係は同様である。
なお、通信監視装置20が有する処理部による機能の一部又は全部が、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field-Programmable Gate Array)等のハードウェアによって実現されてもよい。
また、通信監視装置20は、業務通信識別子テーブル201、業務通信ペアモデルテーブル204、及び業務通信テーブル205を保持する。これらのテーブルはテーブル213bとして補助記憶装置213に格納され、処理に利用される際にはメモリ212に展開される。
なお、本実施形態において、通信監視装置20が使用する情報は、データ構造に依存せずどのようなデータ構造で表現されていてもよい。本実施形態ではテーブル形式で情報が表現されている例を説明するが、例えば、リスト、データベース又はキューから適切に選択したデータ構造体が、情報を格納することができる。
パケット収集処理部21はIF214を介して、監視対象システム1のネットワークに流れる通信パケットを収集する。パケット収集処理部21は収集した通信パケットのメタ情報に紐付く識別子を通信パケットに割り当て、その紐付を管理する業務通信識別子テーブル201を生成する。なお、「単位時間当たり」と「タイムスロットで区切られた」は同義である。以下、このデータを単に集計データとも呼ぶ。なお、メタ情報とは、例えば、通信元機器及び通信先機器のIPアドレス、通信プロトコル、及びポート番号等を含む。
業務通信識別子テーブル201に登録された通信が、監視対象システム1の正規の業務を行う通信(正規通信)とみなされる。また、パケット収集処理部21は、識別子毎に単位時間当たりの通信パケット数などが格納される業務通信テーブル205を生成する。
業務通信ペア推定処理部22は、業務通信テーブル205の情報を用いて、業務通信識別子テーブル201に登録された全ての正規通信の組合せについて業務的な関係の強さを業務関連度として算出する。
業務通信ペア特徴量算出処理部23は、業務通信ペア推定テーブル202が示す業務的な関係の強い業務通信ペアについて、業務通信テーブル205の情報を用いて、業務通信ペアの関係を示す特徴量を算出する。業務通信ペアモデル生成処理部24は、業務通信識別子テーブル201に登録された全正規通信の組合せについて、業務通信テーブル205に登録された情報を用いて、業務的な関係の強さと業務通信ペアの定常状態とを示すモデルを算出し、業務通信ペアモデルテーブル204へ登録する。
悪用通信検知処理部25は、新規に入力された業務通信テーブル205のデータが業務通信ペアである場合、当該業務通信ペアのモデルから算出した推定値から外れ度を算出し、算出した外れ度が所定の基準を超えていた場合に正規通信の悪用(異常)であると判定する。
跨り補正処理部26は、悪用通信検知処理部25が悪用通信であると判定した業務通信がタイムスロット跨りに起因するものか判定し、タイムスロット跨りに起因すると判定した場合には複数のタイムスロットの通信数に基づいて、悪用通信が行われているか否かを再判定する。
なお通信監視装置20は、物理的に一つの計算機上で、又は、論理的又は物理的に構成された複数の計算機上で構成される計算機システムであり、同一の計算機上で別個のスレッドで動作してもよく、複数の物理的計算機資源上に構築された仮想計算機上で動作してもよい。また、例えば、通信監視装置20は、業務通信ペアモデルを生成する装置と、業務通信ペアモデルを用いて通信を監視する装置と、に分離可能であってもよい。
図9は業務通信識別子テーブル201の一例である。業務通信識別子テーブル201には、定常時の監視対象システム1で観測された通信パケットが正規通信として登録される。業務通信識別子テーブル201は、例えば、メタ情報に紐付く識別子を示す業務通信識別子(ID-1)を示す業務通信識別子列501、通信の送信元機器を示す送信元機器列502、通信の宛先機器を示す宛先機器列503、及び通信ポートを示す通信ポート列504を含む。
図10は業務通信ペアモデルテーブル204の一例である。業務通信ペアモデルテーブル204は、例えば、業務通信ペア識別子(ID-2)を示す業務通信ペア識別子列801、業務通信ペアを構成する正規通信Xの業務通信識別子列802と正規通信Yの業務通信識別子列803列、業務通信ペアの通信の特徴量から算出したモデルのパラメータである傾き列804と切片列805、及び異常検知の判定基準となる閾値基準を示す閾値基準列806を含む。
なお、傾き列804が示す傾きと切片列805が示す切片は、それぞれ、直線回帰モデルの回帰式Y=aX+bの傾きと切片である。なお、本実施形態では最小二乗法を用いた直線回帰モデルが生成される例を説明するが、モデルはこれに限らず回帰曲線モデル等の他の任意のモデルであってもよい。
図11は業務通信テーブル205の一例である。業務通信テーブル205は、業務通信識別子が付与された正規通信について、所定の時間単位で、正規通信の通信数を集計したデータを格納する。業務通信テーブル205は、例えば、通信パケットの発生時刻を所定時間単位のタイムスロットで示す時刻列901、及び各業務識別子のタイムスロット内で発生した正規通信の通信数を示す通信数列902を含む。
図12は、監視対象システム1の定常状態を学習する学習処理の一例を示すフローチャートである。学習処理では、監視対象システム1が正常稼働しているときの通信パケットが収集され、業務通信ペアの定常時の通信数の関係をモデル化した直線回帰モデルが生成される。なお、学習処理は安全なネットワーク環境で実施されることが望ましい。
収集パケット前処理(S1001)では、パケット収集処理部21が監視対象システム1のネットワークに流れる通信パケットを収集しメタ情報に紐付く識別子を通信パケットに割り当て、通信ごと及びタイムスロットごとに通信数を業務通信識別子テーブル201に登録する。ステップS1001の詳細については後述する。
業務通信ペア推定処理(S1002)では、業務通信ペア推定処理部22が、ステップS1001で登録された業務通信テーブル205を参照して、業務通信識別子テーブル201に登録された正規通信のペアを生成する。
業務通信ペアモデル生成処理(S1003)では、業務通信ペアモデル生成処理部24が、少なくとも、後述する業務関連度が高い正規通信のペアについては、業務通信ペアの定常状態を表すモデルを算出し、業務通信ペアモデルテーブル204へ登録する。ステップS1003の詳細については後述する。
図13は、ステップS1001における収集パケット前処理の一例を示すフローチャートである。収集パケット前処理は、通信監視装置20がパケットを受信する度に実行される。まず、パケット収集処理部21はIF214を介して、監視対象システム1のネットワークに流れる通信パケットを収集する(S1101)。
次に、パケット収集処理部21は、収集した通信パケットからメタ情報を抽出する(S1102)。例えば、通信パケットの時刻情報(YYYY/MM/DD hh:mm:ss)、送信元機器のIPアドレス、宛先機器のIPアドレス、通信プロトコル、及びポート番号等が、抽出対象のメタ情報である。メタ情報のうち通信パケットの送信時刻情報以外の情報は、業務通信の識別に用いられるため、以下、この情報を業務通信メタ情報とも呼ぶ。なお、通信パケットを送信した機器が当該通信パケットに付加した時刻や、通信パケットを受信したミラーポート111又はミラーポート112が当該通信パケットに付加した時刻は、いずれも上述の時刻情報が示す時刻の一例である。
次に、パケット収集処理部21は、業務通信識別子テーブル201を参照して(S1103)、抽出した業務通信メタ情報を有する業務通信、即ち送信機器、宛先機器、及びポートが等しい業務通信(正規通信)、が業務通信識別子テーブル201に登録されているかを確認する(S1104)。
パケット収集処理部21は、抽出した業務通信メタ情報を有する業務通信が、業務通信識別子テーブル201に登録されていないと判定した場合(S1104:NO)、当該業務通信メタ情報が抽出された通信に対して新しい正規通信としての新規の業務通信識別子を生成する(S1105)。そして、パケット収集処理部21は、生成した業務通信識別子と抽出した業務通信メタ情報とを紐付けて、業務通信識別子テーブル201に登録する(S1106)。
次に、パケット収集処理部21は、ステップS1105で付与された業務通信識別子を業務通信テーブル205に登録する(S1107)。具体的には、パケット収集処理部21は、当該通信パケットの時刻情報に該当する時刻(タイムスロット)の行の、当該通信パケットの業務通信識別子の通信数を1増やす。パケット収集処理部21は、時刻の行が無い場合は当該時刻が属するタイムスロットの行を追加して、当該通信パケットの業務通信識別子の通信数を1とする。なお、タイムスロットの時刻間隔は予め設定されている(例えば10秒)。
パケット収集処理部21は、抽出した業務通信メタ情報を有する業務通信が、業務通信識別子テーブル201登録済みであると判定した場合(S1104:YES)、当該通信パケットの時刻情報を元に、該当する時刻セル行の業務通信識別子の通信数データを1増やす(S1108)。該当する時刻セルが無い場合の処理はS1107の同様処理と同じである。
図14は、ステップS1003における、業務通信ペアの定常通信の特徴量を算出し、モデルを生成する業務通信ペアモデル生成処理の一例を示すフローチャートである。業務通信ペア特徴量算出処理部23は、業務通信テーブル205を参照し、各業務通信ペアについて通信の特徴量を計算する(S1401)。
X通信数、Y通信数、通信発生数、X通信数の二乗の総和、Y通信数の二乗の総和、X通信数とY通信数の積の総和等はいずれも当該特徴量の一例である。X通信数とは、学習期間中にX通信とY通信の双方が発生したタイムスロットにおけるX通信の通信数の合計である。Y通信数とは、学習期間中にX通信(通信ペアの一方の通信)とY通信(通信ペアの他方の通信)の双方が発生したタイムスロットにおけるY通信の通信数の合計である。
通信発生数は、学習期間中にX通信とY通信の双方が発生したタイムスロットの数である。X通信数の総和とは、学習期間においてX通信数を加算したものである。Y通信数の総和とは、学習期間においてY通信数を加算したものである。通信発生数の総和とは、学習期間において通信発生数を加算したものである。X通信数の二乗の総和とは、学習期間におけるX通信数の二乗を加算したものである。Y通信数の二乗の総和とは、学習期間におけるY通信数の二乗を加算したものである。X通信数とY通信数の積の総和とは、学習期間におけるX通信数とY通信数の積を加算したものである。
業務通信ペアモデル生成処理部24は、ステップS1002で推定された業務通信ペアから業務関連度の値が予め定められた関連度閾値(例えば0.8)より業務通信ペアを抽出し、関連の強い業務通信ペアのリスト(関連業務通信ペアリスト)を生成する(S1402)。
なお、業務通信ペアモデル生成処理部24は、業務関連度として、例えば、X通信数とY通信数の相関係数の絶対値(相関係数そのものでもよい)を算出する。なお、業務通信ペアに対する相関係数は、学習期間における通信発生数の総和、X通信数の和、Y通信数の和、X通信数の二乗和、Y通信数の二乗和、及びX通信数とY通信数の積の総和から算出することができる。
次に、業務通信ペアモデル生成処理部24は、ステップS1401で算出された特徴量に基づいて、業務通信ペアの定常状態を表すモデルを計算し、業務通信ペアモデルテーブル204へ格納する(S1403)。
業務通信ペアの定常状態を表すモデルが直線回帰モデルの場合、回帰式Y=a(傾き)X+b(切片)のパラメータである傾きと切片、及び閾値基準が算出される。閾値基準とは、回帰直線におけるY通信の残差の標準偏差である。なお、図8の例では、関連業務通信ペアリストに含まれない業務通信ペアについては、傾き列804、切片列805、及び閾値基準列806の値として0が格納されている。
図15は、通信監視処理の一例を示すフローチャートである。通信監視処理は、業務通信ペアモデルが生成された後に、例えば、ユーザの通信監視処理開始指示に従って、実行される。通信監視処理では、入力された通信に該当する業務通信ペアのモデルから定常時の通信数を算出し、算出した通信数と、入力された通信数と、を比較して正規通信の悪用か否かを判定する。
まず、パケット収集処理部21は、監視対象の通信パケットについて収集パケット前処理(S1401)を行う。ステップS1401におけるパケット前処理は、ステップS1001におけるパケット前処理と同様であるため説明を省略する。なお、パケット前処理における、通信監視対象期間(悪用通信検知対象期間)として少なくとも1タイムスロットが必要である。
続いて、悪用通信検知処理部25は、入力された通信と該当する業務通信ペアのモデルを比較して、正規通信の悪用か否かを判定する悪用通信検知処理を実行する(S1402)。悪用通信検知処理の詳細については、は図15を用いて後述する。
図15は、通信監視処理の一例を示すフローチャートである。通信監視処理は、業務通信ペアモデルが生成された後に、例えば、ユーザの通信監視処理開始指示に従って、実行される。通信監視処理では、入力された通信に該当する業務通信ペアのモデルから定常時の通信数を算出し、算出した通信数と、入力された通信数と、を比較して正規通信の悪用か否かを判定する。
まず、パケット収集処理部21は、監視対象の通信パケットについて監視パケット前処理を行う(S1501)。ステップS1501における監視パケット前処理は、ステップS1001におけるパケット前処理と同様であるため説明を省略するが、跨り補正処理が行われる場合には、少なくとも3タイムスロット(悪用通信検知対象期間であるt(n)と、t(n)の1つ前のタイムスロットであるt(n-1)と、t(n)の1つ後のタイムスロットであるt(n+1))における通信数が必要である。
続いて、悪用通信検知処理部25は、入力された通信(3タイムスロットの通信)と、該当する業務通信ペアのモデルと、を比較して、悪用通信が行われているか否かを判定する悪用通信検知処理を実行する(S1502)。悪用通信検知処理の詳細については、図16を用いて後述する。
なお、詳細は後述するが悪用通信検知処理部25は、正規通信が行われている(悪用通信が行われていない)と判定した場合は、ステップS1501に戻る。悪用通信検知処理部25は、悪用通信が行われていると判定した場合には、跨り補正処理部26は、後述する跨り補正処理を実行する。跨り補正処理部26は、跨り補正処理において、例えば直近の3タイムスロット(t(nー1)、t(n)、t(n+1))の通信数を用いてタイムスロット跨りが発生しているかを判断し、補正する。
図16は、ステップS1502における、入力された通信数と業務通信ペアモデルとの比較によって正規通信の悪用を検知する悪用通信検知処理の一例を示すフローチャートである。この処理は、S1501で通信ペアの通信数が生成される度に、3タイムスロット(t(nー1)、t(n)、t(n+1))の通信数に対して、実行される。
まず、悪用通信検知処理部25は、業務通信ペアモデルテーブル204を参照して(S1601)、悪用通信検知対象期間であるタイムスロットt(n)(例えば現在時刻が属するタイムスロット)で発生した通信からなるペアのモデル情報が格納されているか判定する(S1602)。
悪用通信検知処理部25は、タイムスロットt(n)で発生した全ての通信ペアについて、モデル情報が業務通信ペアモデルテーブル204に格納されていないと判定した場合(S1602:NO)、処理を終了する。
悪用通信検知処理部25は、タイムスロットt(n)で発生した全ての通信ペアのいずれかのモデル情報が業務通信ペアモデルテーブル204に格納されていると判定した場合(S1602:YES)、当該業務通信ペアそれぞれに対して、モデルから定常時の通信数を算出し、算出したモデルの定常時の通信数と入力された通信数との差分から外れ度を算出する(S1603)。具体的には、例えば、悪用通信検知処理部25は、モデルが示す定常時の通信数と入力された通信数との差分の絶対値を閾値基準で割った値を、外れ度として算出する。
次に、悪用通信検知処理部25は、当該業務通信ペアそれぞれに対して、算出した外れ度を、予め定められた外れ閾値(例えば閾値基準の4倍)と比較する(S1604)。悪用通信検知処理部25は、算出した外れ度が外れ閾値より大きい業務津通信ペアがあると判定した場合(S1604:YES)、悪用通信が行われている疑いあるため悪用通信検知処理を終了して、跨り補正処理部26が跨り補正処理を実行した上で(S1605)、処理を終了する、即ちステップS1501の監視パケット前処理へと戻る。跨り補正処理の詳細については図17~図20で説明する。悪用通信検知処理部25は、算出した外れ度が外れ閾値より大きい業務通信ペアがないと判定した場合(S1604:NO)、処理を終了する、即ちステップS1501の監視パケット前処理へと戻る。
図17は、跨り補正処理部26が実行する跨り補正処理の一例を示すフローチャートである。跨り補正処理において、まず跨り補正処理部26は、悪用通信が行われていると判定されたタイムスロットt(n)の業務通信ペアの、当該タイムスロットt(n)の直近及び直後のタイムスロット(t(n-1)及びt(n+1))の通信数を取得する(S1701)。
跨り補正処理部26は、業務通信ペアモデルテーブル204から、当該業務通信のモデルを取得して、タイムスロットt(n-1)とタイムスロットt(n)とにおける合算差分と、タイムスロットt(n)とタイムスロットt(n-1)とにおける合算差分と、を取得したモデルに基づいて、それぞれ算出する(S1702)。
具体的には、例えば、跨り補正処理部26は、タイムスロットt(n-1)とタイムスロットt(n)それぞれについて、業務通信ペアの一方の通信数を取得したモデルに代入して、他方の通信数の期待値を算出する。さらに、跨り補正処理部26は、タイムスロットt(n-1)とタイムスロットt(n)における、業務通信ペアの当該他方の通信数の和と、当該一方の通信数の和を当該取得したモデルに代入して算出した当該他方の通信数の期待値と、の差の絶対値を、タイムスロットt(n-1)とタイムスロットt(n)における合算差分として算出する。また、跨り補正処理部26は、タイムスロットt(n)とタイムスロットt(n+1)における業務通信ペアの当該他方の通信数の和と、タイムスロットt(n)とタイムスロットt(n+1)における当該一方の通信数の和を当該取得したモデルに代入して算出した当該他方の通信数の期待値と、の差の絶対値を、タイムスロットt(n)とタイムスロットt(n+1)における合算差分として算出する。
続いて、跨り補正処理部26は、タイムスロットt(n)における当該他方の通信数と、モデルを用いて算出された当該他方の通信数と、の差分の絶対値を判定用差分として算出し、合算差分それぞれが、判定用差分より小さいかを判定する(S1703)。跨り補正処理部26は、合算差分の少なくとも一方が、判定用差分より小さいと判定した場合(S1703:YES)、タイムスロットの跨りが発生していると判定し、跨り方向を特定する(S1704)。跨り補正処理部26は、合算差分の双方が、判定用差分以上であると判定した場合(S1703:NO)、悪用通信が行われたと判定し、当該業務通信ペアについてアラートを入出力装置215に出力する等の対処処理を実行する(S1707)。
ステップS1704において、跨り補正処理部26は、2つの合算差分のうち、小さい合算差分に対応するタイムスロット間でタイムスロット跨りが発生していると判定する。ステップS1704に続いて、跨り補正処理部26は、タイムスロットt(n)と跨り方向のタイムスロット(t(n-1)又はt(n+1))における外れ度を算出する(S1705)。具体的には、例えば、跨り補正処理部26は、ステップS1603と同様に、タイムスロットt(n)と跨り方向のタイムスロット(t(n-1)又はt(n+1))における、当該他方の通信数の和と、当該一方の通信数の和をモデルに代入して得られた当該他方の通信数の期待値と、の差分の絶対値を当該モデルが示す閾値基準で割った値を、外れ度として算出する。
2つの合算差分が同じ値の場合は、跨り補正処理部26は、タイムスロットt(n)の前後のタイムスロット、すなわち、3タイムスロットに渡って跨りが発生していると判定する。跨り補正処理部26は、t(n-1)とt(n)とt(n+1)の期間について、業務通信ペアの当該他方の通信数の和と、当該一方の通信数の和を当該取得したモデルに代入して算出した当該他方の通信数の期待値と、の差の絶対値を、当該モデルが示す閾値基準で割った値を、外れ度として算出する。
続いて、跨り補正処理部26は、算出した外れ度が外れ閾値より大きいかを判定する(S1706)。跨り補正処理部26は、算出した外れ度が外れ閾値より大きいと判定した場合(S1706:YES)、悪用通信が行われたと判定し、ステップS1707の対処処理を実行する。跨り補正処理部26は、算出した外れ度が外れ閾値以下であると判定した場合(S1707:NO)、タイムスロット跨りによる誤検知であるため、処理を終了する、即ちステップS1501の監視パケット前処理へと戻る。
なお、図17の例では、跨り補正処理部26は、t(n)の直近及び直後それぞれ1つのタイムスロット(t(n-1)及びt(n+1))についてモデルによる合算期待値や合算差分を算出して、跨り方向の特定や悪用通信判定をしたが、3つ以上のタイムスロットに跨りが発生している可能性もあるため、t(n)の直近及び直後それぞれ2つ以上のタイムスロットについて、同様の方法で合算期待値や合算差分を算出して、跨り方向の特定や悪用通信判定をしてもよい。
また、跨り補正処理部26は、t(n)の直近又は直後の一方のみのタイムスロットについて、モデルによる合算期待値や合算差分を算出して、跨り方向を選択することなく(即ちステップS1704の処理を行うことなく)、当該一方の跨り方向についてのみ悪用通信判定をしてもよい。
図18は、図17で説明した跨り補正処理において算出される値の具体例を示すテーブルである。図18の例では、タイムスロットt1で通信KP1と通信KP2とからなる業務通信ペアについて、ステップS1604において外れ度が外れ閾値より大きいと判定された(即ち悪用通信が行われた疑いがあると判定された)ものとする。従って通信KP1と通信KP2の、タイムスロットt1の通信数に加えて、タイムスロットt1の直近及び直後のタイムスロットである、タイムスロットt0の通信数と、タイムスロットt2の通信数と、が取得されている。
列1801と列1802には、それぞれ、通信KP1の通信数とKP2の通信数とが、タイムスロットごとに格納されている。列1803には、タイムスロットt0とタイムスロットt1とにおける、当該業務通信ペアに対応するモデルに通信KP1の通信数を代入して得られた通信KP2の通信数の期待値が格納されている。列1804には、タイムスロットt0とタイムスロットt1とにおける、通信KP2の通信数の期待値と、通信KP数の通信数と、の差分の絶対値が格納されている。
列1811には、タイムスロットt0及びタイムスロットt1の組み合わせと、タイムスロットt1及びタイムスロットt2の組み合わせと、のそれぞれについて、通信KP1の通信数の和が格納されている。列1812には、タイムスロットt1及びタイムスロットt1の組み合わせと、タイムスロットt1及びタイムスロットt2の組み合わせと、のそれぞれについて、通信KP2の通信数の和が格納されている。
列1813には、タイムスロットt0とタイムスロットt2におけるKP2の通信数の期待値の和が格納されている。具体的には、列1813のタイムスロットt0に対応するセルには、タイムスロットt0とタイムスロットt1のKP1の通信数の和をモデルに代入して得られたKP2の通信数の期待値が格納され、列1813のタイムスロットt2に対応するセルには、タイムスロットt1とタイムスロットt2のKP1の通信数の和をモデルに代入して得られたKP2の通信数の期待値が格納されている。なお、タイムスロットt2におけるKP2の通信数の期待値が算出されている場合には、タイムスロットt2に対応するレコードの列1813のセルにタイムスロットt1とタイムスロットt2におけるKP2の通信数の期待値の和が格納されていてもよい。
列1814には、合算差分が格納されている。図18の例では、タイムスロットt0とタイムスロットt1の合算差分が43であり、タイムスロットt1とタイムスロットt2の合算差分が5であるため(5<43であるため)、タイムスロットt1とタイムスロットt2との間でタイムスロット跨りが発生している(即ち跨り方向はt2方向である)。
図19は、図5の時間軸グラフを跨り方向に補正したグラフである。図19のタイムスロットt0及びタイムスロットt3は、それぞれ図5のタイムスロットt1及びタイムスロットt3に相当する。図19のタイムスロットt1+t2は、タイムスロットt1とタイムスロットt1との間でタイムスロット跨りが発生し、その跨りが補正された状態である。
図20は、図6の分散図を跨り方向に補正した分散図である。点2001は、タイムスロットt1とタイムスロットt2との間でタイムスロット跨りが発生し、その跨りが補正された状態における通信K1の通信数と、通信K2の通信数と、を示す。
以上、本実施例に係る通信監視装置20は、業務通信ペアの関係を示す特徴量から業務通信が規定通りに実行されているかどうかを判断することができ、正規通信の悪用を検知することができる。さらに、通信監視装置20は、悪用通信が行われた疑いがあると判定した際に、前後のタイムスロットの通信数からタイムスロット跨りが発生しているかを判断することができ、タイムスロット跨りを補正することでタイムスロット跨りに起因する誤検知を抑制することができる。
また、通信監視装置20は、ステップS1706において、タイムスロット跨りが発生した2つのタイムスロットを合算した期間における跨り補正外れ度と外れ閾値とを比較するため、真の異常を見落とす頻度を低減せずに、上記誤検知抑制することができる。
なお、本実施形態において、通信監視装置20は、2つの通信からなる業務通信ペアを特定していたが、上記した方法と同様の方法で、2つ以上の通信からなる業務通信グループを特定し、業務通信グループの関連を示すモデルを生成し、検知時の通信と当該モデルとの差分に基づいて、悪用通信を検知してもよい。
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることも可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。
また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に置くことができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。
1 監視対象システム、20 通信監視装置、21 パケット収集処理部、22 業務通信ペア推定処理部、23 業務通信ペア特徴量算出処理部、24 業務通信ペアモデル生成処理部、25 悪用通信検知処理部、26 跨り補正処理部、201 業務通信識別子テーブル、204 業務通信ペアモデルテーブル、205 業務通信テーブル、206 業務通信ペア2段目上側特徴量テーブル、207 業務通信ペア2段目下側特徴量テーブル、208 業務通信ペア2段モデルテーブル、211 CPU、212 メモリ、213 記憶装置、214 IF(インタフェース)、215 入出力装置
Claims (9)
- 監視対象システムの通信を監視する通信監視装置であって、
プロセッサとメモリとを備え、
前記メモリは、
前記監視対象システム内の通信ペアの通信数の関係を示し、かつ前記通信ペアの通信が同じ時間帯に発生した通信数に基づいて生成された、通信ペアモデルと、
判定対象期間並びに前記判定対象期間の前及び後ろの所定数個の期間において、発生した前記通信ペアの通信それぞれの通信数を示す通信情報と、を保持し、
前記プロセッサは、
前記通信情報から前記判定対象期間における前記通信ペアの通信それぞれの通信数を取得し、
前記通信ペアモデルと、前記判定対象期間における前記通信ペアの一方の通信数と、から前記判定対象期間における前記通信ペアの他方のモデル通信数を算出し、
前記判定対象期間における前記他方の通信数と、前記モデル通信数と、の差分である第1差分に基づく値を、前記通信ペアモデルの残差に基づく閾値と比較した比較結果に基づいて、前記判定対象期間における前記通信ペアの通信に異常が発生した疑いがあると判定した場合、
前記通信情報から、前記判定対象期間の直前の1つ以上の期間及び直後の1つ以上の期間における前記通信ペアの通信数を取得し、
前記判定対象期間と前記直前の1つ以上の期間とを合わせた前合算期間、及び前記判定対象期間と前記直後の1つ以上の期間とを合わせた後合算期間における、前記通信ペアの通信数と、前記通信ペアモデルと、に基づいて、前記通信ペアの通信に異常が発生したかを判定する、通信監視装置。 - 請求項1に記載の通信監視装置であって、
前記プロセッサは、
前記異常が発生した疑いがあると判定した場合、
前記前合算期間における、前記他方の通信数の合計を算出し、
前記後合算期間における、前記他方の通信数の合計を算出し、
前記通信ペアモデルと、前記前合算期間及び前記後合算期間における前記通信ペアの一方の通信数と、に基づいて、前記前合算期間における前記他方の前合算モデル通信数及び前記後合算期間における前記他方の後合算モデル通信数を算出し、
前記前合算期間における前記他方の通信数の合計と前記前合算モデル通信数との差分である第2差分と、前記後合算期間における前記他方の通信数の合計と前記後合算モデル通信数との差分である第3差分と、前記通信ペアモデルの残差に基づく閾値と、に基づいて、前記判定対象期間における前記通信ペアの通信に異常が発生したかを判定する、通信監視装置。 - 請求項2に記載の通信監視装置であって、
前記プロセッサは、
前記第2差分と、前記第3差分と、に基づいて、前記直前の1つ以上の期間と前記直後の1つ以上の期間とから前記通信ペアの通信が跨がった期間を特定し、
前記特定した期間と前記判定対象期間とを合算した跨り発生期間における前記他方の通信数と、前記通信ペアモデルと前記跨り発生期間における前記通信ペアの一方の通信数とに基づく前記跨り期間の合算モデル通信数と、の第4差分に基づく値を、前記通信ペアモデルの残差に基づく閾値と比較した比較結果に基づいて、前記判定対象期間における前記通信ペアの通信に異常が発生したかを判定する、通信監視装置。 - 請求項3に記載の通信監視装置であって、
前記プロセッサは、前記第4差分を前記残差の標準偏差である閾値基準で割った商である外れ度が、前記閾値を超えた場合に、前記異常が発生したと判定する、通信監視装置。 - 請求項1に記載の通信監視装置であって、
前記プロセッサは、
学習期間において前記監視対象システムから観測された通信から、同じ時間帯において発生した通信数に基づいて、前記通信ペアを推定し、
前記通信ペアの前記学習期間における同じ時間帯に発生した通信数から算出される特徴量に基づいて、前記通信ペアモデルを生成し、
前記生成した通信ペアモデルを前記メモリに格納する、通信監視装置。 - 請求項5に記載の通信監視装置であって、
前記プロセッサは、前記学習期間において前記監視対象システムから観測された通信のうち、前記同じ時間帯における通信数の相関係数が所定値以上である通信を、前記通信ペアとして推定する、通信監視装置。 - 請求項6に記載の通信監視装置であって、
前記プロセッサは、前記特徴量に基づいて、前記通信ペアの通信の通信数の関係を示す回帰直線を、前記通信ペアモデルとして生成する、通信監視装置。 - 請求項1に記載の通信監視装置であって、
前記プロセッサは、前記第1差分の絶対値を前記残差の標準偏差である閾値基準で割った商である外れ度が、前記閾値を超えた場合に、前記異常が発生した疑いがあると判定する、通信監視装置。 - 通信監視装置が監視対象システムの通信を監視する方法であって、
前記通信監視装置は、プロセッサとメモリとを備え、
前記メモリは、
前記監視対象システム内の通信ペアの通信数の関係を示し、かつ前記通信ペアの通信が同じ時間帯に発生した通信数に基づいて生成された、通信ペアモデルと、
判定対象期間並びに前記判定対象期間の前及び後ろの所定数個の期間において、発生した前記通信ペアの通信それぞれの通信数を示す通信情報と、を保持し、
前記方法は、
前記プロセッサが、前記通信情報から前記判定対象期間における前記通信ペアの通信それぞれの通信数を取得し、
前記プロセッサが、前記通信ペアモデルと、前記判定対象期間における前記通信ペアの一方の通信数と、から前記判定対象期間における前記通信ペアの他方のモデル通信数を算出し、
前記プロセッサが、前記判定対象期間における前記他方の通信数と、前記モデル通信数と、の差分である第1差分に基づく値を、前記通信ペアモデルの残差に基づく閾値と比較した比較結果に基づいて、前記判定対象期間における前記通信ペアの通信に異常が発生した疑いがあると判定した場合、
前記プロセッサが、前記通信情報から、前記判定対象期間の直前の1つ以上の期間及び直後の1つ以上の期間における前記通信ペアの通信数を取得し、
前記プロセッサが、前記判定対象期間と前記直前の1つ以上の期間とを合わせた前合算期間、及び前記判定対象期間と前記直後の1つ以上の期間とを合わせた後合算期間における、前記通信ペアの通信数と、前記通信ペアモデルと、に基づいて、前記通信ペアの通信に異常が発生したかを判定する、方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019234060A JP7409866B2 (ja) | 2019-12-25 | 2019-12-25 | 通信監視装置及び通信監視方法 |
| US17/127,145 US11271832B2 (en) | 2019-12-25 | 2020-12-18 | Communication monitoring apparatus and communication monitoring method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019234060A JP7409866B2 (ja) | 2019-12-25 | 2019-12-25 | 通信監視装置及び通信監視方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021103838A JP2021103838A (ja) | 2021-07-15 |
| JP7409866B2 true JP7409866B2 (ja) | 2024-01-09 |
Family
ID=76546874
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019234060A Active JP7409866B2 (ja) | 2019-12-25 | 2019-12-25 | 通信監視装置及び通信監視方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US11271832B2 (ja) |
| JP (1) | JP7409866B2 (ja) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014099777A (ja) | 2012-11-15 | 2014-05-29 | Hitachi Ltd | ネットワーク異常検知システム、および、計測装置、分析装置 |
| WO2018163352A1 (en) | 2017-03-09 | 2018-09-13 | Nec Corporation | Pattern recognition apparatus, method, and program |
| JP2018142197A (ja) | 2017-02-28 | 2018-09-13 | 沖電気工業株式会社 | 情報処理装置、方法およびプログラム |
| JP2018207241A (ja) | 2017-05-31 | 2018-12-27 | 富士通株式会社 | 管理装置、管理方法及び管理プログラム |
| JP2019126003A (ja) | 2018-01-19 | 2019-07-25 | 富士通株式会社 | 攻撃検知装置および攻撃検知方法 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6668282B1 (en) * | 2000-08-02 | 2003-12-23 | International Business Machines Corporation | System and method to monitor and determine if an active IPSec tunnel has become disabled |
| JP3723980B2 (ja) * | 2003-12-22 | 2005-12-07 | 横河電機株式会社 | 通信制御システム |
| JP4723466B2 (ja) | 2006-12-19 | 2011-07-13 | 三菱電機株式会社 | データ処理装置及びデータ処理方法及びプログラム |
| AR082117A1 (es) * | 2010-07-06 | 2012-11-14 | Telefonica Sa | Sistema para monitorizar interaccion en linea |
| US10536357B2 (en) * | 2015-06-05 | 2020-01-14 | Cisco Technology, Inc. | Late data detection in data center |
| US10673881B2 (en) * | 2016-08-11 | 2020-06-02 | Hopzero, Inc. | Method and system for limiting the range of data transmissions |
| US10469311B2 (en) * | 2017-07-13 | 2019-11-05 | Cisco Technology, Inc. | Handling network failures in networks with redundant servers |
| CN111201755B (zh) * | 2017-10-13 | 2022-11-15 | 埃克森美孚上游研究公司 | 使用通信执行操作的方法和*** |
| WO2019134749A1 (en) * | 2018-01-04 | 2019-07-11 | Huawei Technologies Co., Ltd. | Handling failure of a subset of serving beam pair links |
-
2019
- 2019-12-25 JP JP2019234060A patent/JP7409866B2/ja active Active
-
2020
- 2020-12-18 US US17/127,145 patent/US11271832B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014099777A (ja) | 2012-11-15 | 2014-05-29 | Hitachi Ltd | ネットワーク異常検知システム、および、計測装置、分析装置 |
| JP2018142197A (ja) | 2017-02-28 | 2018-09-13 | 沖電気工業株式会社 | 情報処理装置、方法およびプログラム |
| WO2018163352A1 (en) | 2017-03-09 | 2018-09-13 | Nec Corporation | Pattern recognition apparatus, method, and program |
| JP2018207241A (ja) | 2017-05-31 | 2018-12-27 | 富士通株式会社 | 管理装置、管理方法及び管理プログラム |
| JP2019126003A (ja) | 2018-01-19 | 2019-07-25 | 富士通株式会社 | 攻撃検知装置および攻撃検知方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20210203572A1 (en) | 2021-07-01 |
| US11271832B2 (en) | 2022-03-08 |
| JP2021103838A (ja) | 2021-07-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10318366B2 (en) | System and method for relationship based root cause recommendation | |
| US10270668B1 (en) | Identifying correlated events in a distributed system according to operational metrics | |
| US10462027B2 (en) | Cloud network stability | |
| US10592328B1 (en) | Using cluster processing to identify sets of similarly failing hosts | |
| JP5874936B2 (ja) | 運用管理装置、運用管理方法、及びプログラム | |
| US9355007B1 (en) | Identifying abnormal hosts using cluster processing | |
| US20220263860A1 (en) | Advanced cybersecurity threat hunting using behavioral and deep analytics | |
| WO2014184934A1 (ja) | 障害分析方法、障害分析システム及び記憶媒体 | |
| US11074652B2 (en) | System and method for model-based prediction using a distributed computational graph workflow | |
| EP3956771B1 (en) | Timeout mode for storage devices | |
| JP7235967B2 (ja) | ネットワーク分析プログラム、ネットワーク分析装置及びネットワーク分析方法 | |
| JP2019028891A (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| US7711518B2 (en) | Methods, systems and computer program products for providing system operational status information | |
| JP4504346B2 (ja) | トラブル要因検出プログラム、トラブル要因検出方法およびトラブル要因検出装置 | |
| WO2019018829A1 (en) | MITIGATING IMPROVED CYBERSECURITY THREATS USING DEEP AND BEHAVIORAL ANALYTICS | |
| JP6252309B2 (ja) | 監視漏れ特定処理プログラム,監視漏れ特定処理方法及び監視漏れ特定処理装置 | |
| JP2019049802A (ja) | 障害解析支援装置、インシデント管理システム、障害解析支援方法及びプログラム | |
| JP7409866B2 (ja) | 通信監視装置及び通信監視方法 | |
| CN110493218B (zh) | 一种态势感知虚拟化的方法和装置 | |
| JP7269822B2 (ja) | 通信監視装置及び通信監視方法 | |
| Lee et al. | Detecting anomaly teletraffic using stochastic self-similarity based on Hadoop | |
| EP3679506A2 (en) | Advanced cybersecurity threat mitigation for inter-bank financial transactions | |
| WO2015019488A1 (ja) | 管理システム及びその管理システムによるイベント解析方法 | |
| JP6163751B2 (ja) | 判定プログラム、判定方法および判定システム | |
| JP5679347B2 (ja) | 障害検知装置、障害検知方法、及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220624 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230706 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230808 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231004 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231212 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231221 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7409866 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |