JP7311402B2 - Threshold output device, threshold output method and threshold output program - Google Patents
Threshold output device, threshold output method and threshold output program Download PDFInfo
- Publication number
- JP7311402B2 JP7311402B2 JP2019208999A JP2019208999A JP7311402B2 JP 7311402 B2 JP7311402 B2 JP 7311402B2 JP 2019208999 A JP2019208999 A JP 2019208999A JP 2019208999 A JP2019208999 A JP 2019208999A JP 7311402 B2 JP7311402 B2 JP 7311402B2
- Authority
- JP
- Japan
- Prior art keywords
- network
- threshold
- unit
- traffic data
- statistical model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
本発明は、閾値出力装置、閾値出力方法および閾値出力プログラムに関する。 The present invention relates to a threshold output device, a threshold output method, and a threshold output program.
近年、インターネット上では、DDоS(Distributed Denial of Service)攻撃と呼ばれる大量の通信を発生させることで、攻撃先のサーバや回線に負荷を与えてサービスの提供を不可能にする攻撃が発生している。 In recent years, there have been attacks on the Internet called DDоS (Distributed Denial of Service) attacks, which generate a large amount of communication and overload the target servers and lines, making it impossible to provide services. .
従来、異常なネットワークトラフィックを検知するためには、流れている通信の大きさについて監視システムに適当な閾値を設定し、その閾値を超えた場合に異常なトラフィックがあるか判断していた。 Conventionally, in order to detect abnormal network traffic, an appropriate threshold was set in the monitoring system for the volume of traffic flowing, and if the threshold was exceeded, it was determined whether there was abnormal traffic.
このような閾値の設定は、事前に対象となるネットワーク回線の通信に関するデータを長期的に収集し、その傾向から統計やオペレータの経験則に基づいて行われていた。または、実際の運用の中で、試行錯誤によって閾値の大きさの調整を手動で行っていた。 The setting of such a threshold has been performed in advance by collecting long-term data on the communication of the target network line, and based on statistics and operator's empirical rules based on the trends. Alternatively, in actual operation, the size of the threshold is manually adjusted by trial and error.
しかしながら、従来の手法では、異常なトラフィックを検知するための閾値を簡易かつ精度よく設定することができない場合があるという課題があった。例えば、統計に基づいて閾値を設定する場合には、対象のネットワーク回線の通信に関する長期的なデータの収集が必要である。このため、例えば、新規に異常検知を行いたいネットワーク回線がある場合に、簡易に閾値を設定することができなかった。 However, the conventional method has a problem that it may not be possible to easily and accurately set a threshold value for detecting abnormal traffic. For example, when setting thresholds based on statistics, it is necessary to collect long-term data on communications on the target network line. For this reason, for example, when there is a new network line for which anomaly detection is desired, the threshold cannot be easily set.
また、例えば、オペレータの経験則や試行錯誤による手動での閾値の設定では、オペレータの育成が必要であり、簡易に閾値を設定することができなかった。また、オペレータごとに精度のバラつきが生じるため、精度良く閾値を設定することができない場合があるという課題があった。 In addition, for example, manual threshold setting based on operator's empirical rule or trial and error requires training of the operator, and the threshold cannot be easily set. In addition, there is a problem that the threshold cannot be set with high accuracy because the accuracy varies from operator to operator.
上述した課題を解決し、目的を達成するために、本発明の閾値出力装置は、異常検知対象の第一のネットワークを含む第二のネットワークのトラフィックデータを取得する第一の取得部と、前記第一の取得部によって取得されたトラフィックデータを用いて、統計モデルを生成する生成部と、前記第一のネットワークのトラフィックデータを取得する第二の取得部と、前記第二の取得部によって取得されたトラフィックデータを用いて、前記生成部によって生成された前記統計モデルを更新する更新部と、前記更新部によって更新された前記統計モデルを用いて、前記第一のネットワークにおける通信の異常を検知するための閾値を出力する閾値出力部とを有することを特徴とする。 In order to solve the above-described problems and achieve the object, the threshold value output device of the present invention includes: a first acquisition unit for acquiring traffic data of a second network including a first network for anomaly detection; a generation unit that generates a statistical model using the traffic data acquired by the first acquisition unit; a second acquisition unit that acquires the traffic data of the first network; and acquisition by the second acquisition unit. an updating unit for updating the statistical model generated by the generating unit using the generated traffic data; and detecting a communication abnormality in the first network using the statistical model updated by the updating unit. and a threshold value output unit for outputting a threshold value for the threshold value.
また、本発明の閾値出力方法は、閾値出力装置によって実行される閾値出力方法であって、異常検知対象の第一のネットワークを含む第二のネットワークのトラフィックデータを取得する第一の取得工程と、前記第一の取得工程によって取得されたトラフィックデータを用いて、統計モデルを生成する生成工程と、前記第一のネットワークのトラフィックデータを取得する第二の取得工程と、前記第二の取得工程によって取得されたトラフィックデータを用いて、前記生成工程によって生成された前記統計モデルを更新する更新工程と、前記更新工程によって更新された前記統計モデルを用いて、前記第一のネットワークにおける通信の異常を検知するための閾値を出力する閾値出力工程とを含むことを特徴とする。 Further, a threshold output method of the present invention is a threshold output method executed by a threshold output device, comprising: a first acquisition step of acquiring traffic data of a second network including a first network for anomaly detection; , a generating step of generating a statistical model using the traffic data obtained by the first obtaining step; a second obtaining step of obtaining traffic data of the first network; and a second obtaining step. an updating step of updating the statistical model generated by the generating step using the traffic data acquired by; and a threshold output step of outputting a threshold for detecting.
また、本発明の閾値出力プログラムは、異常検知対象の第一のネットワークを含む第二のネットワークのトラフィックデータを取得する第一の取得ステップと、前記第一の取得ステップによって取得されたトラフィックデータを用いて、統計モデルを生成する生成ステップと、前記第一のネットワークのトラフィックデータを取得する第二の取得ステップと、前記第二の取得ステップによって取得されたトラフィックデータを用いて、前記生成ステップによって生成された前記統計モデルを更新する更新ステップと、前記更新ステップによって更新された前記統計モデルを用いて、前記第一のネットワークにおける通信の異常を検知するための閾値を出力する閾値出力ステップとをコンピュータに実行させることを特徴とする。 Further, the threshold output program of the present invention includes: a first acquisition step of acquiring traffic data of a second network including the first network for anomaly detection; a generating step of generating a statistical model using a generating step; a second obtaining step of obtaining traffic data of the first network; and using the traffic data obtained by the second obtaining step, by the generating step an updating step of updating the generated statistical model; and a threshold output step of outputting a threshold value for detecting communication anomalies in the first network using the statistical model updated by the updating step. It is characterized by being executed by a computer.
本発明によれば、異常なトラフィックを検知するための閾値を簡易かつ精度よく設定することができるという効果を奏する。 ADVANTAGE OF THE INVENTION According to this invention, it is effective in the ability to set the threshold value for detecting abnormal traffic simply and accurately.
以下に、本願に係る閾値出力装置、閾値出力方法および閾値出力プログラムの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態により本願に係る閾値出力装置、閾値出力方法および閾値出力プログラムが限定されるものではない。 Embodiments of a threshold output device, a threshold output method, and a threshold output program according to the present application will be described below in detail with reference to the drawings. Note that the threshold output device, the threshold output method, and the threshold output program according to the present application are not limited by this embodiment.
[第1の実施形態]
以下の実施の形態では、第1の実施形態に係る閾値出力装置10の構成、閾値出力装置10の処理の流れを順に説明し、最後に第1の実施形態による効果を説明する。
[First embodiment]
In the following embodiments, the configuration of the threshold
[閾値出力装置の構成]
まず、図1を用いて、閾値出力装置10の構成を説明する。図1は、第1の実施形態に係る閾値出力装置の構成例を示すブロック図である。図1に示すように、閾値出力装置10は、ユーザ端末20とネットワーク30を介して接続されている。
[Configuration of threshold output device]
First, the configuration of the threshold
ここでユーザ端末20は、例えば、デスクトップ型PC、タブレット型PC、ノート型PC、携帯電話機、スマートフォン、PDA(Personal Digital Assistant)等の情報処理装置である。 Here, the user terminal 20 is, for example, an information processing device such as a desktop PC, tablet PC, notebook PC, mobile phone, smart phone, PDA (Personal Digital Assistant).
また、図1に示すように、この閾値出力装置10は、通信処理部11、制御部12および記憶部13を有する。以下に閾値出力装置10が有する各部の処理を説明する。
Moreover, as shown in FIG. Processing of each unit of the threshold
通信処理部11は、各種情報に関する通信を制御する。例えば、通信処理部11は異常検知対象のネットワークに異常が発生した場合には、異常アラームを送信する。なお、本実施形態では、閾値出力装置10とユーザ端末20とがネットワーク30を介して通信を行う場合を例に説明しているが、これに限定されるものではなく、ユーザ端末20と接続することなく閾値出力装置10がローカルな環境で動作してもよい。
The communication processing unit 11 controls communication regarding various information. For example, the communication processing unit 11 transmits an anomaly alarm when an anomaly occurs in the network targeted for anomaly detection. In this embodiment, the case where the threshold
記憶部13は、制御部12による各種処理に必要なデータおよびプログラムを格納し、統計モデル記憶部13aを有する。例えば、記憶部13は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。統計モデル記憶部13aは、生成部12bによって生成された統計モデルと、更新部12dによって更新された統計モデルとを記憶する。
The
制御部12は、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行するが、特に本発明に密接に関連するものとしては、第一の取得部12a、生成部12b、第二の取得部12c、更新部12d、閾値出力部12eおよび検知部12fを有する。ここで、制御部12は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路やASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路である。
The
制御部12の各機能部によって実行される処理は、統計モデルを生成して更新(再学習)し、該統計モデルを用いて閾値を出力する閾値出力フェーズと、閾値出力フェーズにおいて出力された閾値を用いて異常検知対象のネットワーク回線の異常を検知する異常検知フェーズとに大別される。制御部12における第一の取得部12a、生成部12b、第二の取得部12c、更新部12d、閾値出力部12eは、閾値出力フェーズにおける処理を行う機能部であり、制御部12における検知部12fは、異常検知フェーズにおける処理を行う機能部である。
The processing executed by each functional unit of the
なお、第1の実施形態に係る閾値出力装置10は、閾値出力フェーズにおける閾値出力処理および異常検知フェーズにおける異常検知処理の両方を行う装置として説明するが、これに限定されるものではなく、閾値出力フェーズにおける閾値出力処理のみを行うようにしてもよい。この場合には、閾値出力装置10が出力した閾値を用いて、他の装置が異常検知対象のネットワーク回線の異常を検知する。以下では、制御部12における各機能部について説明する。
The threshold
第一の取得部12aは、異常検知対象のネットワーク回線を含むネットワーク回線のトラフィックデータを取得する。例えば、第一の取得部12aは、異常検知対象のネットワークよりも広範なネットワークの通信機器からリアルタイムにトラフィックデータを取得してもよいし、所定のタイミングで自動または手動で入力されたトラフィックデータを取得するようにしてもよい。第一の取得部12aは、通信機器からリアルタイムにトラフィックデータを取得する場合には、予め設定された期間、トラフィックデータを継続して収集する。また、第一の取得部12aは、取得したトラフィックデータに対して、空値補完処理や正規化処理等の既存のデータ前処理を行うようにしてもよい。
The
ここで、図2を用いて、第一の取得部12aが取得するトラフィックデータの具体例について説明する。図2は、トラフィックデータの一例を示す図である。図2に例示するように、例えば、第一の取得部12aは、トラフィックデータとして、送信元IPアドレスを示す「Src IP」、送信先IPアドレスを示す「Dst IP」、送信元IPアドレスを示す「Src Port」、送信先IPアドレスを示す「Dst Port」、パケットに関する情報(例えば、パケットのバイト数等)を示す「packet」、パケットの送信または受信時刻を示す「Time」等を取得する。
Here, a specific example of traffic data acquired by the
また、上述した広範なネットワーク回線とは、図3に例示するように、異常を検知する対象のネットワーク回線を含むものであってもよい。図3は、異常検知対象のネットワーク回線を含む広範なネットワーク回線について説明する図である。広範なネットワーク回線について具体例を挙げて説明すると、例えば、異常検知対象のネットワークが、所定の拠点のLAN(Local Area Network)である場合には、第一の取得部12aは、その拠点のLANと他の拠点のLANを含む広範なネットワーク回線からトラフィックデータを取得するようにしてもよい。また、例えば、所定のWebサーバについての通信異常を検知したい場合には、第一の取得部12aは、該Webサーバを含む広範なネットワーク回線からトラフィックデータを取得するようにしてもよい。
Further, the wide network line described above may include the network line whose abnormality is to be detected, as illustrated in FIG. 3 . FIG. 3 is a diagram for explaining a wide range of network lines including network lines for which abnormality detection is to be performed. A specific example of a wide network line will be described. For example, when the network targeted for anomaly detection is a LAN (Local Area Network) at a predetermined location, the
生成部12bは、第一の取得部12aによって取得されたトラフィックデータを用いて、統計モデルを生成する。具体的には、生成部12bは、第一の取得部12aによって取得されたトラフィックデータに対して統計的なモデリングを行い、統計モデルを得る。
The generation unit 12b generates a statistical model using the traffic data acquired by the
例えば、生成部12bは、統計モデルとして、極値統計を用いた極値分布の統計モデルを生成するようにしてもよい。つまり、DDоS攻撃等の大量の通信を発生させることで、攻撃先のサーバや回線に負荷を与えてサービスの提供を不可能にする攻撃を検知するために、通信量が異常に大きい通信に対する閾値を設定する場合には、極値統計を用いた極値分布へのデータの当てはめが考えられる。 For example, the generation unit 12b may generate a statistical model of extreme value distribution using extreme value statistics as the statistical model. In other words, by generating a large amount of communication such as a DDOS attack, in order to detect attacks that impose a load on the attacked server or line and make it impossible to provide services, a threshold for communication with an abnormally large amount of communication , one might consider fitting the data to an extreme value distribution using extreme value statistics.
第二の取得部12cは、異常検知対象のネットワークのトラフィックデータを取得する。例えば、第二の取得部12cは、異常検知対象のネットワークにおける通信機器からリアルタイムにトラフィックデータを取得してもよいし、所定のタイミングで自動または手動で入力されたトラフィックデータを取得するようにしてもよい。第二の取得部12cは、通信機器からリアルタイムにトラフィックデータを取得する場合には、予め設定された期間、トラフィックデータを継続して収集する。また、第二の取得部12cは、取得したトラフィックデータに対して、空値補完処理や正規化処理等の既存のデータ前処理を行うようにしてもよい。 The second acquisition unit 12c acquires traffic data of a network targeted for anomaly detection. For example, the second acquisition unit 12c may acquire traffic data in real time from a communication device in the network targeted for anomaly detection, or may acquire traffic data automatically or manually input at a predetermined timing. good too. When acquiring traffic data from a communication device in real time, the second acquisition unit 12c continuously collects traffic data for a preset period. Further, the second acquisition unit 12c may perform existing data preprocessing such as null value interpolation processing and normalization processing on the acquired traffic data.
例えば、第二の取得部12cは、所定の拠点のLANが異常検知対象のネットワークである場合には、該LANのエッジルータ等の通信機器からトラフィックデータを取得する。また、例えば、第二の取得部12cは、所定のWebサーバへの通信の異常を検知したい場合には、該Webサーバに接続されたネットワークからWebサーバを宛先とする通信のトラフィックデータを取得するようにしてもよい。 For example, when a LAN at a predetermined base is a network for abnormality detection, the second acquisition unit 12c acquires traffic data from a communication device such as an edge router of the LAN. Further, for example, when the second acquisition unit 12c wants to detect an abnormality in communication to a predetermined web server, the second acquisition unit 12c acquires traffic data of communication destined for the web server from the network connected to the web server. You may do so.
更新部12dは、第二の取得部12cによって取得されたトラフィックデータを用いて、生成部12bによって生成された統計モデルを更新する。つまり、更新部12dは、異常検知対象のネットワーク回線から収集したトラフィックデータによって、生成された統計モデルを再学習する。なお、再学習の手法については、既存の手法のうち、どのような手法を適用してもよい。 The update unit 12d uses the traffic data acquired by the second acquisition unit 12c to update the statistical model generated by the generation unit 12b. That is, the updating unit 12d re-learns the generated statistical model using the traffic data collected from the network line for which anomaly detection is to be performed. As for the re-learning method, any existing method may be applied.
閾値出力部12eは、更新部12dによって更新された統計モデルを用いて、異常検知対象のネットワークにおける通信の異常を検知するための閾値を出力する。ここで、閾値出力部12eは、異常検知対象のネットワークにおける通信の異常を検知するための閾値を自装置における他の機能部に出力してもよいし、外部の装置(システム)に出力してもよい。本実施形態では、閾値出力部12eは、閾値を後述する検知部12fに閾値を出力して設定する場合を例に説明する。例えば、閾値出力部12eは、DDoS攻撃を検知するために、更新部12dによって更新された統計モデルを用いて、同一送信元または同一送信先の所定期間における通信量の閾値を検知部12fに設定する。つまり、閾値出力部12eは、短期間において、同一送信元または同一送信先で大量の通信が発生した場合に、当該通信の異常を検知することができるように、閾値を設定する。なお、統計モデルから閾値を決定する手法については、既存の手法のうち、どのような手法を適用してもよい。例えば、閾値出力部12eは、極値分布の面積が全体の1%となる通信量を特定し、特定した通信量を閾値と設定してもよい。また、例えば、閾値出力部12eは、1年に1度の頻度で発生する程度の異常な大きさの通信量を特定し、特定した通信量を閾値と設定してもよい。 The threshold output unit 12e uses the statistical model updated by the update unit 12d to output a threshold for detecting communication anomalies in the anomaly detection target network. Here, the threshold value output unit 12e may output the threshold value for detecting an abnormality in communication in the network targeted for abnormality detection to another functional unit in the own device, or may output the threshold value to an external device (system). good too. In the present embodiment, a case where the threshold output unit 12e outputs and sets a threshold to a detection unit 12f, which will be described later, will be described as an example. For example, in order to detect a DDoS attack, the threshold output unit 12e uses the statistical model updated by the update unit 12d to set the threshold for the amount of traffic for the same source or destination during a predetermined period in the detection unit 12f. do. In other words, the threshold output unit 12e sets the threshold so that an abnormality in the communication can be detected when a large amount of communication occurs with the same transmission source or the same transmission destination in a short period of time. As for the method of determining the threshold value from the statistical model, any existing method may be applied. For example, the threshold output unit 12e may specify the communication traffic for which the area of the extreme value distribution is 1% of the total, and set the specified communication traffic as the threshold. Further, for example, the threshold output unit 12e may specify an abnormal amount of traffic that occurs once a year, and set the specified traffic as a threshold.
このように、閾値出力装置10は、異常検知対象のネットワークだけでなく、広範なネットワークからトラフィックデータを収集することで、統計的なモデリングに十分な量のデータに基づいて統計モデリングを行うことができる。また、閾値出力装置10は、異常検知対象のネットワークから収集した比較的少ないデータであっても、統計モデルを再学習することで、異常検知対象のネットワークに適した閾値を設定することができる。
In this way, the
ここで、図4を用いて、閾値出力装置10による閾値出力処理の概要を説明する。図4は、第1の実施形態に係る閾値出力装置による閾値出力処理の概要を説明する図である。図4に例示するように、閾値出力装置10の第一の取得部12aは、異常検知対象のネットワーク回線より広いネットワーク回線からトラフィックデータを収集する。
Here, an overview of threshold output processing by the
そして、生成部12bは、第一の取得部12aによって取得されたトラフィックデータに対して統計的なモデリングを行って統計モデルを得る。続いて、第二の取得部12cは、異常検知対象のネットワークのトラフィックデータを取得する。
The generation unit 12b then performs statistical modeling on the traffic data acquired by the
そして、更新部12dは、第二の取得部12cによって取得されたトラフィックデータを用いて、生成部12bによって生成された統計モデルを更新する。その後、閾値出力部12eは、更新部12dによって更新された統計モデルを用いて、異常検知対象のネットワークにおける通信の異常を検知するための閾値を出力する。 Then, the update unit 12d updates the statistical model generated by the generation unit 12b using the traffic data acquired by the second acquisition unit 12c. After that, the threshold output unit 12e uses the statistical model updated by the update unit 12d to output a threshold for detecting communication anomalies in the network targeted for anomaly detection.
図1の説明に戻って、検知部12fは、閾値出力部12eによって出力された閾値を超える通信が発生した場合には、異常検知対象のネットワークの異常を検知する。また、検知部12fは、異常検知対象のネットワークの異常を検知した場合には、異常検知対象のネットワークの通信に異常が発生したことを知らせるアラームをユーザ端末20に出力してもよい。例えば、検知部12fは、アラームとして、異常検知対象のネットワークがDDoS攻撃を受けている旨の警告メッセージを出力してもよいし、警告を報知する音を出力するようにしてもよい。 Returning to the description of FIG. 1, the detection unit 12f detects an abnormality in the network targeted for abnormality detection when communication exceeding the threshold output by the threshold output unit 12e occurs. Further, when detecting an anomaly in an anomaly detection target network, the detection unit 12f may output an alarm to the user terminal 20 to notify that an anomaly has occurred in the communication of the anomaly detection target network. For example, the detection unit 12f may output, as an alarm, a warning message indicating that the network targeted for anomaly detection is under DDoS attack, or may output a sound to notify the warning.
また、例えば、検知部12fは、異常検知対象のネットワークの異常を検知した場合には、異常検知対象のネットワークの通信機器へ指示を出して、異常な通信に対する対策を講じるようにしてもよい。例えば、検知部12fは、異常検知対象のネットワークの異常を検知した場合には、異常検知対象のネットワークの通信を解析装置へ迂回したり、大量の通信を発生させている送信元を特定し、特定した送信元の通信を遮断したりしてもよい。 Further, for example, when the detection unit 12f detects an abnormality in the network targeted for abnormality detection, the detection unit 12f may issue an instruction to the communication device of the network targeted for abnormality detection to take measures against the abnormal communication. For example, when the detection unit 12f detects an anomaly in the network targeted for anomaly detection, the detection unit 12f bypasses communication of the network targeted for anomaly detection to an analysis device, identifies a source generating a large amount of communication, Communication from the specified source may be blocked.
このように、閾値出力装置10では、最適な閾値を用いて、異常検知対象のネットワークの異常を検知することができる。また、閾値出力装置10では、異常検知対象のネットワークの異常を検知した場合には、ユーザ端末20にアラームを出力したり、通信機器へ指示を出したりすることで、異常な通信に対して適切な対策を講じることが可能である。
In this manner, the threshold
[閾値出力装置の処理手順]
次に、図5を用いて、第1の実施形態に係る閾値出力装置10による処理手順の例を説明する。図5は、第1の実施形態に係る閾値出力装置における閾値出力処理の流れの一例を示すフローチャートである。
[Processing Procedure of Threshold Output Device]
Next, an example of a processing procedure by the threshold
まず、図5を用いて、閾値出力装置10における閾値出力処理の流れを説明する。図5に例示するように、第一の取得部12aは、異常検知対象のネットワーク回線よりも広範なネットワーク回線のトラフィックデータを取得すると(ステップS101肯定)、取得したトラフィックデータに対して、空値補完処理や正規化処理等のデータ前処理を行う(ステップS102)。
First, the flow of threshold output processing in the
続いて、生成部12bは、第一の取得部12aによって取得されたトラフィックデータを用いて、統計モデルを生成する(ステップS103)。具体的には、生成部12bは、第一の取得部12aによって取得されたトラフィックデータに対して統計的なモデリングを行い、統計モデルを得る。
Subsequently, the generation unit 12b generates a statistical model using the traffic data acquired by the
そして、第二の取得部12cは、異常検知対象のネットワークのトラフィックデータを取得する(ステップS104)。なお、第二の取得部12cは、S102と同様に、取得したトラフィックデータに対して、空値補完処理や正規化処理等のデータ前処理を行うようにしてもよい。 Then, the second acquisition unit 12c acquires traffic data of the network targeted for abnormality detection (step S104). Note that the second acquisition unit 12c may perform data preprocessing such as null value interpolation processing and normalization processing on the acquired traffic data, as in S102.
続いて、更新部12dは、第二の取得部12cによって取得されたトラフィックデータを用いて、生成部12bによって生成された統計モデルを更新する(ステップS105)。そして、閾値出力部12eは、更新部12dによって更新された統計モデルを用いて、異常検知対象のネットワークにおける通信の異常を検知するための閾値を出力する(ステップS106)。 Subsequently, the updating unit 12d uses the traffic data acquired by the second acquiring unit 12c to update the statistical model generated by the generating unit 12b (step S105). Then, the threshold output unit 12e uses the statistical model updated by the update unit 12d to output a threshold for detecting communication anomalies in the anomaly detection target network (step S106).
(第1の実施形態の効果)
第1の実施形態に係る閾値出力装置10は、異常検知対象の第一のネットワークを含む第二のネットワークのトラフィックデータを取得し、取得したトラフィックデータを用いて、統計モデルを生成する。続いて、閾値出力装置10は、第一のネットワークのトラフィックデータを取得し、取得したトラフィックデータを用いて、生成した統計モデルを更新する。そして、閾値出力装置10は、更新した統計モデルを用いて、第一のネットワークにおける通信の異常を検知するための閾値を出力する。これにより、閾値出力装置10は、異常なトラフィックを検知するための閾値を簡易かつ精度よく設定することができることが可能である。
(Effect of the first embodiment)
The threshold
つまり、閾値出力装置10は、異常検知対象のネットワークだけでなく、広範なネットワークからトラフィックデータを収集することで、長期的なデータの収集を行うことなく、統計的なモデリングに十分な量のデータを得ることが可能である。また、閾値出力装置10は、統計的なモデリングに十分な量のデータに基づいて統計モデリングを行うことができる。さらに、閾値出力装置10は、異常検知対象のネットワークから収集した比較的少ないデータであっても、統計モデルを再学習することで、異常検知対象のネットワークに適した閾値を設定することができる。このため、閾値出力装置10は、異常なトラフィックを検知するための閾値を簡易かつ精度よく設定することができることが可能である。
In other words, the
(システム構成等)
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUやGPUおよび当該CPUやGPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
(system configuration, etc.)
Also, each component of each device illustrated is functionally conceptual, and does not necessarily need to be physically configured as illustrated. In other words, the specific form of distribution and integration of each device is not limited to the one shown in the figure, and all or part of them can be functionally or physically distributed and integrated in arbitrary units according to various loads and usage conditions. Can be integrated and configured. Furthermore, all or any part of each processing function performed by each device is realized by a CPU or GPU and a program analyzed and executed by the CPU or GPU, or as hardware by wired logic can be realized.
また、本実施の形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。 In addition, among the processes described in the present embodiment, all or part of the processes described as being performed automatically can be performed manually, or the processes described as being performed manually can be performed manually. can also be performed automatically by known methods. In addition, information including processing procedures, control procedures, specific names, and various data and parameters shown in the above documents and drawings can be arbitrarily changed unless otherwise specified.
(プログラム)
また、上記実施形態において説明した閾値出力装置が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、実施形態に係る閾値出力装置10が実行する処理をコンピュータが実行可能な言語で記述した閾値出力プログラムを作成することもできる。この場合、コンピュータが閾値出力プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかる閾値出力プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録された閾値出力プログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。
(program)
It is also possible to create a program in which the processing executed by the threshold value output device described in the above embodiment is described in a computer-executable language. For example, it is also possible to create a threshold output program in which the processing executed by the
図6は、閾値出力プログラムを実行するコンピュータを示す図である。図6に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
FIG. 6 is a diagram showing a computer that executes a threshold output program. As illustrated in FIG. 6,
メモリ1010は、図6に例示するように、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図6に例示するように、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、図6に例示するように、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、図6に例示するように、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、図6に例示するように、例えばディスプレイ1130に接続される。
The
ここで、図6に例示するように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記の、閾値出力プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1090に記憶される。
Here, as illustrated in FIG. 6, the
また、上記実施形態で説明した各種データは、プログラムデータとして、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、各種処理手順を実行する。
Various data described in the above embodiments are stored as program data in the
なお、閾値出力プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU1020によって読み出されてもよい。あるいは、閾値出力プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
Note that the
上記の実施形態やその変形は、本願が開示する技術に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。 The above-described embodiments and modifications thereof are included in the scope of the invention described in the claims and their equivalents, as well as in the technology disclosed in the present application.
10 閾値出力装置
11 通信処理部
12 制御部
12a 第一の取得部
12b 生成部
12c 第二の取得部
12d 更新部
12e 閾値出力部
12f 検知部
13 記憶部
13a 統計モデル記憶部
20 ユーザ端末
30 ネットワーク
10 threshold output device 11
Claims (6)
前記第一の取得部によって取得されたトラフィックデータを用いて、統計モデルを生成する生成部と、
前記第一のネットワークのトラフィックデータを取得する第二の取得部と、
前記第二の取得部によって取得されたトラフィックデータを用いて、前記生成部によって生成された前記統計モデルを更新する更新部と、
前記更新部によって更新された前記統計モデルを用いて、前記第一のネットワークにおける通信の異常を検知するための閾値を出力する閾値出力部と
を有することを特徴とする閾値出力装置。 a first acquisition unit that acquires traffic data of a second network including the first network for anomaly detection;
a generation unit that generates a statistical model using the traffic data acquired by the first acquisition unit;
a second acquisition unit that acquires traffic data of the first network;
an updating unit that updates the statistical model generated by the generating unit using the traffic data obtained by the second obtaining unit;
and a threshold value output unit that outputs a threshold value for detecting a communication abnormality in the first network using the statistical model updated by the update unit.
異常検知対象の第一のネットワークを含む第二のネットワークのトラフィックデータを取得する第一の取得工程と、
前記第一の取得工程によって取得されたトラフィックデータを用いて、統計モデルを生成する生成工程と、
前記第一のネットワークのトラフィックデータを取得する第二の取得工程と、
前記第二の取得工程によって取得されたトラフィックデータを用いて、前記生成工程によって生成された前記統計モデルを更新する更新工程と、
前記更新工程によって更新された前記統計モデルを用いて、前記第一のネットワークにおける通信の異常を検知するための閾値を出力する閾値出力工程と
を含むことを特徴とする閾値出力方法。 A threshold output method performed by a threshold output device, comprising:
a first acquisition step of acquiring traffic data of a second network including the first network for anomaly detection;
a generating step of generating a statistical model using the traffic data obtained by the first obtaining step;
a second acquiring step of acquiring traffic data of the first network;
an updating step of updating the statistical model generated by the generating step using the traffic data obtained by the second obtaining step;
and a threshold value output step of outputting a threshold value for detecting a communication abnormality in the first network, using the statistical model updated by the update step.
前記第一の取得ステップによって取得されたトラフィックデータを用いて、統計モデルを生成する生成ステップと、
前記第一のネットワークのトラフィックデータを取得する第二の取得ステップと、
前記第二の取得ステップによって取得されたトラフィックデータを用いて、前記生成ステップによって生成された前記統計モデルを更新する更新ステップと、
前記更新ステップによって更新された前記統計モデルを用いて、前記第一のネットワークにおける通信の異常を検知するための閾値を出力する閾値出力ステップと
をコンピュータに実行させることを特徴とする閾値出力プログラム。 a first acquisition step of acquiring traffic data of a second network including the first network for anomaly detection;
a generating step of generating a statistical model using the traffic data obtained by the first obtaining step;
a second acquiring step of acquiring traffic data for the first network;
an updating step of updating the statistical model generated by the generating step using the traffic data obtained by the second obtaining step;
and a threshold output step of outputting a threshold for detecting an abnormality in communication in the first network using the statistical model updated by the update step.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019208999A JP7311402B2 (en) | 2019-11-19 | 2019-11-19 | Threshold output device, threshold output method and threshold output program |
JP2023110901A JP2023118898A (en) | 2019-11-19 | 2023-07-05 | Threshold value output device, threshold value output method, and threshold value output program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019208999A JP7311402B2 (en) | 2019-11-19 | 2019-11-19 | Threshold output device, threshold output method and threshold output program |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2023110901A Division JP2023118898A (en) | 2019-11-19 | 2023-07-05 | Threshold value output device, threshold value output method, and threshold value output program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021082948A JP2021082948A (en) | 2021-05-27 |
JP7311402B2 true JP7311402B2 (en) | 2023-07-19 |
Family
ID=75963364
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019208999A Active JP7311402B2 (en) | 2019-11-19 | 2019-11-19 | Threshold output device, threshold output method and threshold output program |
JP2023110901A Pending JP2023118898A (en) | 2019-11-19 | 2023-07-05 | Threshold value output device, threshold value output method, and threshold value output program |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2023110901A Pending JP2023118898A (en) | 2019-11-19 | 2023-07-05 | Threshold value output device, threshold value output method, and threshold value output program |
Country Status (1)
Country | Link |
---|---|
JP (2) | JP7311402B2 (en) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060067240A1 (en) | 2004-09-25 | 2006-03-30 | Kim Hyun J | Apparatus and method for detecting network traffic abnormality |
JP2009086896A (en) | 2007-09-28 | 2009-04-23 | Toshiba Corp | Failure prediction system and failure prediction method for computer |
JP2019128934A (en) | 2018-01-22 | 2019-08-01 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | Abnormality determination device, abnormality detection model creation server, and program |
JP2019185183A (en) | 2018-04-03 | 2019-10-24 | 積水ハウス株式会社 | Communication device protection management server and communication device protection system |
JP2020052747A (en) | 2018-09-27 | 2020-04-02 | Kddi株式会社 | Information generation device, information generation system, and program |
JP2021022759A (en) | 2019-07-24 | 2021-02-18 | 富士通株式会社 | Network analysis program, network analysis apparatus, and network analysis method |
-
2019
- 2019-11-19 JP JP2019208999A patent/JP7311402B2/en active Active
-
2023
- 2023-07-05 JP JP2023110901A patent/JP2023118898A/en active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060067240A1 (en) | 2004-09-25 | 2006-03-30 | Kim Hyun J | Apparatus and method for detecting network traffic abnormality |
JP2009086896A (en) | 2007-09-28 | 2009-04-23 | Toshiba Corp | Failure prediction system and failure prediction method for computer |
JP2019128934A (en) | 2018-01-22 | 2019-08-01 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | Abnormality determination device, abnormality detection model creation server, and program |
JP2019185183A (en) | 2018-04-03 | 2019-10-24 | 積水ハウス株式会社 | Communication device protection management server and communication device protection system |
JP2020052747A (en) | 2018-09-27 | 2020-04-02 | Kddi株式会社 | Information generation device, information generation system, and program |
JP2021022759A (en) | 2019-07-24 | 2021-02-18 | 富士通株式会社 | Network analysis program, network analysis apparatus, and network analysis method |
Also Published As
Publication number | Publication date |
---|---|
JP2021082948A (en) | 2021-05-27 |
JP2023118898A (en) | 2023-08-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10057296B2 (en) | Detecting and managing abnormal data behavior | |
JP2017041886A (en) | Method for reducing cyber attack in industrial control system | |
US10135862B1 (en) | Testing security incident response through automated injection of known indicators of compromise | |
US20190028508A1 (en) | Gateway apparatus, detecting method of malicious domain and hacked host thereof, and non-transitory computer readable medium | |
JP6711710B2 (en) | Monitoring device, monitoring method, and monitoring program | |
JP6691268B2 (en) | Monitoring device, monitoring method, and monitoring program | |
JP5739034B1 (en) | Attack detection system, attack detection device, attack detection method, and attack detection program | |
CN112912877B (en) | Log output device, log output method, and log output system | |
CN112262387B (en) | Detection device and detection method | |
CN108696486B (en) | Abnormal operation behavior detection processing method and device | |
JP2018026747A (en) | Aggression detection device, aggression detection system and aggression detection method | |
Naik et al. | D-FRI-WinFirewall: Dynamic fuzzy rule interpolation for windows firewall | |
US11665075B2 (en) | Techniques for detecting changes to circuit delays in telecommunications networks | |
US20160065444A1 (en) | Anomaly detection based on combinations of cause value, message type, response time (gtp-c) | |
JP7311402B2 (en) | Threshold output device, threshold output method and threshold output program | |
JP2020102671A (en) | Detection device, detection method and detection program | |
CN113645215A (en) | Method, device, equipment and storage medium for detecting abnormal network traffic data | |
CN113454956B (en) | Communication terminal device, communication control method, and medium | |
CN114268446A (en) | Data asset security assessment method, device and storage medium | |
Bolanowski et al. | The use of statistical signatures to detect anomalies in computer network | |
JP2015210737A (en) | Monitoring method, monitoring device, and monitoring control program | |
EP3826242B1 (en) | Cyber attack information analyzing program, cyber attack information analyzing method, and information processing device | |
JP7052575B2 (en) | Judgment device, judgment method and judgment program | |
JP2005203992A (en) | Network abnormality detecting device, network abnormality detection method, and network abnormality detection program | |
TW201928747A (en) | Server and monitoring method thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220805 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230529 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230606 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230706 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7311402 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |