Nothing Special   »   [go: up one dir, main page]

JP7311402B2 - Threshold output device, threshold output method and threshold output program - Google Patents

Threshold output device, threshold output method and threshold output program Download PDF

Info

Publication number
JP7311402B2
JP7311402B2 JP2019208999A JP2019208999A JP7311402B2 JP 7311402 B2 JP7311402 B2 JP 7311402B2 JP 2019208999 A JP2019208999 A JP 2019208999A JP 2019208999 A JP2019208999 A JP 2019208999A JP 7311402 B2 JP7311402 B2 JP 7311402B2
Authority
JP
Japan
Prior art keywords
network
threshold
unit
traffic data
statistical model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019208999A
Other languages
Japanese (ja)
Other versions
JP2021082948A (en
Inventor
優 大屋
秀平 浅野
大樹 久保田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
Original Assignee
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp filed Critical NTT Communications Corp
Priority to JP2019208999A priority Critical patent/JP7311402B2/en
Publication of JP2021082948A publication Critical patent/JP2021082948A/en
Priority to JP2023110901A priority patent/JP2023118898A/en
Application granted granted Critical
Publication of JP7311402B2 publication Critical patent/JP7311402B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、閾値出力装置、閾値出力方法および閾値出力プログラムに関する。 The present invention relates to a threshold output device, a threshold output method, and a threshold output program.

近年、インターネット上では、DDоS(Distributed Denial of Service)攻撃と呼ばれる大量の通信を発生させることで、攻撃先のサーバや回線に負荷を与えてサービスの提供を不可能にする攻撃が発生している。 In recent years, there have been attacks on the Internet called DDоS (Distributed Denial of Service) attacks, which generate a large amount of communication and overload the target servers and lines, making it impossible to provide services. .

従来、異常なネットワークトラフィックを検知するためには、流れている通信の大きさについて監視システムに適当な閾値を設定し、その閾値を超えた場合に異常なトラフィックがあるか判断していた。 Conventionally, in order to detect abnormal network traffic, an appropriate threshold was set in the monitoring system for the volume of traffic flowing, and if the threshold was exceeded, it was determined whether there was abnormal traffic.

このような閾値の設定は、事前に対象となるネットワーク回線の通信に関するデータを長期的に収集し、その傾向から統計やオペレータの経験則に基づいて行われていた。または、実際の運用の中で、試行錯誤によって閾値の大きさの調整を手動で行っていた。 The setting of such a threshold has been performed in advance by collecting long-term data on the communication of the target network line, and based on statistics and operator's empirical rules based on the trends. Alternatively, in actual operation, the size of the threshold is manually adjusted by trial and error.

特開2007-173907号公報JP 2007-173907 A

しかしながら、従来の手法では、異常なトラフィックを検知するための閾値を簡易かつ精度よく設定することができない場合があるという課題があった。例えば、統計に基づいて閾値を設定する場合には、対象のネットワーク回線の通信に関する長期的なデータの収集が必要である。このため、例えば、新規に異常検知を行いたいネットワーク回線がある場合に、簡易に閾値を設定することができなかった。 However, the conventional method has a problem that it may not be possible to easily and accurately set a threshold value for detecting abnormal traffic. For example, when setting thresholds based on statistics, it is necessary to collect long-term data on communications on the target network line. For this reason, for example, when there is a new network line for which anomaly detection is desired, the threshold cannot be easily set.

また、例えば、オペレータの経験則や試行錯誤による手動での閾値の設定では、オペレータの育成が必要であり、簡易に閾値を設定することができなかった。また、オペレータごとに精度のバラつきが生じるため、精度良く閾値を設定することができない場合があるという課題があった。 In addition, for example, manual threshold setting based on operator's empirical rule or trial and error requires training of the operator, and the threshold cannot be easily set. In addition, there is a problem that the threshold cannot be set with high accuracy because the accuracy varies from operator to operator.

上述した課題を解決し、目的を達成するために、本発明の閾値出力装置は、異常検知対象の第一のネットワークを含む第二のネットワークのトラフィックデータを取得する第一の取得部と、前記第一の取得部によって取得されたトラフィックデータを用いて、統計モデルを生成する生成部と、前記第一のネットワークのトラフィックデータを取得する第二の取得部と、前記第二の取得部によって取得されたトラフィックデータを用いて、前記生成部によって生成された前記統計モデルを更新する更新部と、前記更新部によって更新された前記統計モデルを用いて、前記第一のネットワークにおける通信の異常を検知するための閾値を出力する閾値出力部とを有することを特徴とする。 In order to solve the above-described problems and achieve the object, the threshold value output device of the present invention includes: a first acquisition unit for acquiring traffic data of a second network including a first network for anomaly detection; a generation unit that generates a statistical model using the traffic data acquired by the first acquisition unit; a second acquisition unit that acquires the traffic data of the first network; and acquisition by the second acquisition unit. an updating unit for updating the statistical model generated by the generating unit using the generated traffic data; and detecting a communication abnormality in the first network using the statistical model updated by the updating unit. and a threshold value output unit for outputting a threshold value for the threshold value.

また、本発明の閾値出力方法は、閾値出力装置によって実行される閾値出力方法であって、異常検知対象の第一のネットワークを含む第二のネットワークのトラフィックデータを取得する第一の取得工程と、前記第一の取得工程によって取得されたトラフィックデータを用いて、統計モデルを生成する生成工程と、前記第一のネットワークのトラフィックデータを取得する第二の取得工程と、前記第二の取得工程によって取得されたトラフィックデータを用いて、前記生成工程によって生成された前記統計モデルを更新する更新工程と、前記更新工程によって更新された前記統計モデルを用いて、前記第一のネットワークにおける通信の異常を検知するための閾値を出力する閾値出力工程とを含むことを特徴とする。 Further, a threshold output method of the present invention is a threshold output method executed by a threshold output device, comprising: a first acquisition step of acquiring traffic data of a second network including a first network for anomaly detection; , a generating step of generating a statistical model using the traffic data obtained by the first obtaining step; a second obtaining step of obtaining traffic data of the first network; and a second obtaining step. an updating step of updating the statistical model generated by the generating step using the traffic data acquired by; and a threshold output step of outputting a threshold for detecting.

また、本発明の閾値出力プログラムは、異常検知対象の第一のネットワークを含む第二のネットワークのトラフィックデータを取得する第一の取得ステップと、前記第一の取得ステップによって取得されたトラフィックデータを用いて、統計モデルを生成する生成ステップと、前記第一のネットワークのトラフィックデータを取得する第二の取得ステップと、前記第二の取得ステップによって取得されたトラフィックデータを用いて、前記生成ステップによって生成された前記統計モデルを更新する更新ステップと、前記更新ステップによって更新された前記統計モデルを用いて、前記第一のネットワークにおける通信の異常を検知するための閾値を出力する閾値出力ステップとをコンピュータに実行させることを特徴とする。 Further, the threshold output program of the present invention includes: a first acquisition step of acquiring traffic data of a second network including the first network for anomaly detection; a generating step of generating a statistical model using a generating step; a second obtaining step of obtaining traffic data of the first network; and using the traffic data obtained by the second obtaining step, by the generating step an updating step of updating the generated statistical model; and a threshold output step of outputting a threshold value for detecting communication anomalies in the first network using the statistical model updated by the updating step. It is characterized by being executed by a computer.

本発明によれば、異常なトラフィックを検知するための閾値を簡易かつ精度よく設定することができるという効果を奏する。 ADVANTAGE OF THE INVENTION According to this invention, it is effective in the ability to set the threshold value for detecting abnormal traffic simply and accurately.

図1は、第1の実施形態に係る閾値出力装置の構成例を示すブロック図である。FIG. 1 is a block diagram showing a configuration example of a threshold value output device according to the first embodiment. 図2は、トラフィックデータの一例を示す図である。FIG. 2 is a diagram showing an example of traffic data. 図3は、異常検知対象のネットワーク回線を含む広範なネットワーク回線について説明する図である。FIG. 3 is a diagram for explaining a wide range of network lines including network lines for which abnormality detection is to be performed. 図4は、第1の実施形態に係る閾値出力装置による閾値出力処理の概要を説明する図である。FIG. 4 is a diagram for explaining an overview of threshold output processing by the threshold output device according to the first embodiment. 図5は、第1の実施形態に係る閾値出力装置における閾値出力処理の流れの一例を示すフローチャートである。FIG. 5 is a flowchart showing an example of the flow of threshold output processing in the threshold output device according to the first embodiment. 図6は、閾値出力プログラムを実行するコンピュータを示す図である。FIG. 6 is a diagram showing a computer that executes a threshold output program.

以下に、本願に係る閾値出力装置、閾値出力方法および閾値出力プログラムの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態により本願に係る閾値出力装置、閾値出力方法および閾値出力プログラムが限定されるものではない。 Embodiments of a threshold output device, a threshold output method, and a threshold output program according to the present application will be described below in detail with reference to the drawings. Note that the threshold output device, the threshold output method, and the threshold output program according to the present application are not limited by this embodiment.

[第1の実施形態]
以下の実施の形態では、第1の実施形態に係る閾値出力装置10の構成、閾値出力装置10の処理の流れを順に説明し、最後に第1の実施形態による効果を説明する。
[First embodiment]
In the following embodiments, the configuration of the threshold value output device 10 according to the first embodiment and the processing flow of the threshold value output device 10 will be described in order, and finally the effects of the first embodiment will be described.

[閾値出力装置の構成]
まず、図1を用いて、閾値出力装置10の構成を説明する。図1は、第1の実施形態に係る閾値出力装置の構成例を示すブロック図である。図1に示すように、閾値出力装置10は、ユーザ端末20とネットワーク30を介して接続されている。
[Configuration of threshold output device]
First, the configuration of the threshold value output device 10 will be described with reference to FIG. FIG. 1 is a block diagram showing a configuration example of a threshold value output device according to the first embodiment. As shown in FIG. 1, the threshold value output device 10 is connected to a user terminal 20 via a network 30 .

ここでユーザ端末20は、例えば、デスクトップ型PC、タブレット型PC、ノート型PC、携帯電話機、スマートフォン、PDA(Personal Digital Assistant)等の情報処理装置である。 Here, the user terminal 20 is, for example, an information processing device such as a desktop PC, tablet PC, notebook PC, mobile phone, smart phone, PDA (Personal Digital Assistant).

また、図1に示すように、この閾値出力装置10は、通信処理部11、制御部12および記憶部13を有する。以下に閾値出力装置10が有する各部の処理を説明する。 Moreover, as shown in FIG. Processing of each unit of the threshold value output device 10 will be described below.

通信処理部11は、各種情報に関する通信を制御する。例えば、通信処理部11は異常検知対象のネットワークに異常が発生した場合には、異常アラームを送信する。なお、本実施形態では、閾値出力装置10とユーザ端末20とがネットワーク30を介して通信を行う場合を例に説明しているが、これに限定されるものではなく、ユーザ端末20と接続することなく閾値出力装置10がローカルな環境で動作してもよい。 The communication processing unit 11 controls communication regarding various information. For example, the communication processing unit 11 transmits an anomaly alarm when an anomaly occurs in the network targeted for anomaly detection. In this embodiment, the case where the threshold value output device 10 and the user terminal 20 communicate via the network 30 is described as an example. However, the threshold output device 10 may operate in a local environment.

記憶部13は、制御部12による各種処理に必要なデータおよびプログラムを格納し、統計モデル記憶部13aを有する。例えば、記憶部13は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。統計モデル記憶部13aは、生成部12bによって生成された統計モデルと、更新部12dによって更新された統計モデルとを記憶する。 The storage unit 13 stores data and programs required for various processes by the control unit 12, and has a statistical model storage unit 13a. For example, the storage unit 13 is a semiconductor memory device such as a RAM (Random Access Memory) or a flash memory, or a storage device such as a hard disk or an optical disk. The statistical model storage unit 13a stores the statistical model generated by the generating unit 12b and the statistical model updated by the updating unit 12d.

制御部12は、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行するが、特に本発明に密接に関連するものとしては、第一の取得部12a、生成部12b、第二の取得部12c、更新部12d、閾値出力部12eおよび検知部12fを有する。ここで、制御部12は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路やASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路である。 The control unit 12 has an internal memory for storing programs defining various processing procedures and required data, and executes various processing using these. It has a first acquisition unit 12a, a generation unit 12b, a second acquisition unit 12c, an update unit 12d, a threshold output unit 12e, and a detection unit 12f. Here, the control unit 12 is an electronic circuit such as a CPU (Central Processing Unit) or MPU (Micro Processing Unit) or an integrated circuit such as an ASIC (Application Specific Integrated Circuit) or FPGA (Field Programmable Gate Array).

制御部12の各機能部によって実行される処理は、統計モデルを生成して更新(再学習)し、該統計モデルを用いて閾値を出力する閾値出力フェーズと、閾値出力フェーズにおいて出力された閾値を用いて異常検知対象のネットワーク回線の異常を検知する異常検知フェーズとに大別される。制御部12における第一の取得部12a、生成部12b、第二の取得部12c、更新部12d、閾値出力部12eは、閾値出力フェーズにおける処理を行う機能部であり、制御部12における検知部12fは、異常検知フェーズにおける処理を行う機能部である。 The processing executed by each functional unit of the control unit 12 includes a threshold output phase in which a statistical model is generated and updated (re-learning), a threshold is output using the statistical model, and the threshold output in the threshold output phase It is roughly divided into an anomaly detection phase in which an anomaly in the network line to be anomaly detected is detected using The first acquisition unit 12a, the generation unit 12b, the second acquisition unit 12c, the update unit 12d, and the threshold output unit 12e in the control unit 12 are functional units that perform processing in the threshold output phase. A functional unit 12f performs processing in the anomaly detection phase.

なお、第1の実施形態に係る閾値出力装置10は、閾値出力フェーズにおける閾値出力処理および異常検知フェーズにおける異常検知処理の両方を行う装置として説明するが、これに限定されるものではなく、閾値出力フェーズにおける閾値出力処理のみを行うようにしてもよい。この場合には、閾値出力装置10が出力した閾値を用いて、他の装置が異常検知対象のネットワーク回線の異常を検知する。以下では、制御部12における各機能部について説明する。 The threshold value output device 10 according to the first embodiment will be described as a device that performs both the threshold value output process in the threshold value output phase and the abnormality detection process in the abnormality detection phase. Only threshold output processing in the output phase may be performed. In this case, using the threshold output by the threshold output device 10, another device detects an abnormality in the network line to be detected. Each functional unit in the control unit 12 will be described below.

第一の取得部12aは、異常検知対象のネットワーク回線を含むネットワーク回線のトラフィックデータを取得する。例えば、第一の取得部12aは、異常検知対象のネットワークよりも広範なネットワークの通信機器からリアルタイムにトラフィックデータを取得してもよいし、所定のタイミングで自動または手動で入力されたトラフィックデータを取得するようにしてもよい。第一の取得部12aは、通信機器からリアルタイムにトラフィックデータを取得する場合には、予め設定された期間、トラフィックデータを継続して収集する。また、第一の取得部12aは、取得したトラフィックデータに対して、空値補完処理や正規化処理等の既存のデータ前処理を行うようにしてもよい。 The first acquisition unit 12a acquires traffic data of network lines including the network line for which anomaly detection is to be performed. For example, the first acquisition unit 12a may acquire traffic data in real time from communication devices in a network wider than the network for anomaly detection, or may acquire traffic data automatically or manually input at a predetermined timing. It may be acquired. When acquiring traffic data from a communication device in real time, the first acquisition unit 12a continuously collects traffic data for a preset period. Further, the first acquisition unit 12a may perform existing data preprocessing such as null value interpolation processing and normalization processing on the acquired traffic data.

ここで、図2を用いて、第一の取得部12aが取得するトラフィックデータの具体例について説明する。図2は、トラフィックデータの一例を示す図である。図2に例示するように、例えば、第一の取得部12aは、トラフィックデータとして、送信元IPアドレスを示す「Src IP」、送信先IPアドレスを示す「Dst IP」、送信元IPアドレスを示す「Src Port」、送信先IPアドレスを示す「Dst Port」、パケットに関する情報(例えば、パケットのバイト数等)を示す「packet」、パケットの送信または受信時刻を示す「Time」等を取得する。 Here, a specific example of traffic data acquired by the first acquisition unit 12a will be described with reference to FIG. FIG. 2 is a diagram showing an example of traffic data. As illustrated in FIG. 2, for example, the first acquisition unit 12a uses "Src IP" indicating a source IP address, "Dst IP" indicating a destination IP address, and "Dst IP" indicating a source IP address as traffic data. "Src Port", "Dst Port" indicating the destination IP address, "packet" indicating information about the packet (for example, the number of bytes of the packet), "Time" indicating the packet transmission or reception time, etc. are acquired.

また、上述した広範なネットワーク回線とは、図3に例示するように、異常を検知する対象のネットワーク回線を含むものであってもよい。図3は、異常検知対象のネットワーク回線を含む広範なネットワーク回線について説明する図である。広範なネットワーク回線について具体例を挙げて説明すると、例えば、異常検知対象のネットワークが、所定の拠点のLAN(Local Area Network)である場合には、第一の取得部12aは、その拠点のLANと他の拠点のLANを含む広範なネットワーク回線からトラフィックデータを取得するようにしてもよい。また、例えば、所定のWebサーバについての通信異常を検知したい場合には、第一の取得部12aは、該Webサーバを含む広範なネットワーク回線からトラフィックデータを取得するようにしてもよい。 Further, the wide network line described above may include the network line whose abnormality is to be detected, as illustrated in FIG. 3 . FIG. 3 is a diagram for explaining a wide range of network lines including network lines for which abnormality detection is to be performed. A specific example of a wide network line will be described. For example, when the network targeted for anomaly detection is a LAN (Local Area Network) at a predetermined location, the first acquisition unit 12a acquires the LAN at that location. and traffic data from a wide range of network lines including LANs at other sites. Further, for example, when it is desired to detect a communication abnormality with respect to a predetermined web server, the first acquisition unit 12a may acquire traffic data from a wide range of network lines including the web server.

生成部12bは、第一の取得部12aによって取得されたトラフィックデータを用いて、統計モデルを生成する。具体的には、生成部12bは、第一の取得部12aによって取得されたトラフィックデータに対して統計的なモデリングを行い、統計モデルを得る。 The generation unit 12b generates a statistical model using the traffic data acquired by the first acquisition unit 12a. Specifically, the generation unit 12b performs statistical modeling on the traffic data acquired by the first acquisition unit 12a to obtain a statistical model.

例えば、生成部12bは、統計モデルとして、極値統計を用いた極値分布の統計モデルを生成するようにしてもよい。つまり、DDоS攻撃等の大量の通信を発生させることで、攻撃先のサーバや回線に負荷を与えてサービスの提供を不可能にする攻撃を検知するために、通信量が異常に大きい通信に対する閾値を設定する場合には、極値統計を用いた極値分布へのデータの当てはめが考えられる。 For example, the generation unit 12b may generate a statistical model of extreme value distribution using extreme value statistics as the statistical model. In other words, by generating a large amount of communication such as a DDOS attack, in order to detect attacks that impose a load on the attacked server or line and make it impossible to provide services, a threshold for communication with an abnormally large amount of communication , one might consider fitting the data to an extreme value distribution using extreme value statistics.

第二の取得部12cは、異常検知対象のネットワークのトラフィックデータを取得する。例えば、第二の取得部12cは、異常検知対象のネットワークにおける通信機器からリアルタイムにトラフィックデータを取得してもよいし、所定のタイミングで自動または手動で入力されたトラフィックデータを取得するようにしてもよい。第二の取得部12cは、通信機器からリアルタイムにトラフィックデータを取得する場合には、予め設定された期間、トラフィックデータを継続して収集する。また、第二の取得部12cは、取得したトラフィックデータに対して、空値補完処理や正規化処理等の既存のデータ前処理を行うようにしてもよい。 The second acquisition unit 12c acquires traffic data of a network targeted for anomaly detection. For example, the second acquisition unit 12c may acquire traffic data in real time from a communication device in the network targeted for anomaly detection, or may acquire traffic data automatically or manually input at a predetermined timing. good too. When acquiring traffic data from a communication device in real time, the second acquisition unit 12c continuously collects traffic data for a preset period. Further, the second acquisition unit 12c may perform existing data preprocessing such as null value interpolation processing and normalization processing on the acquired traffic data.

例えば、第二の取得部12cは、所定の拠点のLANが異常検知対象のネットワークである場合には、該LANのエッジルータ等の通信機器からトラフィックデータを取得する。また、例えば、第二の取得部12cは、所定のWebサーバへの通信の異常を検知したい場合には、該Webサーバに接続されたネットワークからWebサーバを宛先とする通信のトラフィックデータを取得するようにしてもよい。 For example, when a LAN at a predetermined base is a network for abnormality detection, the second acquisition unit 12c acquires traffic data from a communication device such as an edge router of the LAN. Further, for example, when the second acquisition unit 12c wants to detect an abnormality in communication to a predetermined web server, the second acquisition unit 12c acquires traffic data of communication destined for the web server from the network connected to the web server. You may do so.

更新部12dは、第二の取得部12cによって取得されたトラフィックデータを用いて、生成部12bによって生成された統計モデルを更新する。つまり、更新部12dは、異常検知対象のネットワーク回線から収集したトラフィックデータによって、生成された統計モデルを再学習する。なお、再学習の手法については、既存の手法のうち、どのような手法を適用してもよい。 The update unit 12d uses the traffic data acquired by the second acquisition unit 12c to update the statistical model generated by the generation unit 12b. That is, the updating unit 12d re-learns the generated statistical model using the traffic data collected from the network line for which anomaly detection is to be performed. As for the re-learning method, any existing method may be applied.

閾値出力部12eは、更新部12dによって更新された統計モデルを用いて、異常検知対象のネットワークにおける通信の異常を検知するための閾値を出力する。ここで、閾値出力部12eは、異常検知対象のネットワークにおける通信の異常を検知するための閾値を自装置における他の機能部に出力してもよいし、外部の装置(システム)に出力してもよい。本実施形態では、閾値出力部12eは、閾値を後述する検知部12fに閾値を出力して設定する場合を例に説明する。例えば、閾値出力部12eは、DDoS攻撃を検知するために、更新部12dによって更新された統計モデルを用いて、同一送信元または同一送信先の所定期間における通信量の閾値を検知部12fに設定する。つまり、閾値出力部12eは、短期間において、同一送信元または同一送信先で大量の通信が発生した場合に、当該通信の異常を検知することができるように、閾値を設定する。なお、統計モデルから閾値を決定する手法については、既存の手法のうち、どのような手法を適用してもよい。例えば、閾値出力部12eは、極値分布の面積が全体の1%となる通信量を特定し、特定した通信量を閾値と設定してもよい。また、例えば、閾値出力部12eは、1年に1度の頻度で発生する程度の異常な大きさの通信量を特定し、特定した通信量を閾値と設定してもよい。 The threshold output unit 12e uses the statistical model updated by the update unit 12d to output a threshold for detecting communication anomalies in the anomaly detection target network. Here, the threshold value output unit 12e may output the threshold value for detecting an abnormality in communication in the network targeted for abnormality detection to another functional unit in the own device, or may output the threshold value to an external device (system). good too. In the present embodiment, a case where the threshold output unit 12e outputs and sets a threshold to a detection unit 12f, which will be described later, will be described as an example. For example, in order to detect a DDoS attack, the threshold output unit 12e uses the statistical model updated by the update unit 12d to set the threshold for the amount of traffic for the same source or destination during a predetermined period in the detection unit 12f. do. In other words, the threshold output unit 12e sets the threshold so that an abnormality in the communication can be detected when a large amount of communication occurs with the same transmission source or the same transmission destination in a short period of time. As for the method of determining the threshold value from the statistical model, any existing method may be applied. For example, the threshold output unit 12e may specify the communication traffic for which the area of the extreme value distribution is 1% of the total, and set the specified communication traffic as the threshold. Further, for example, the threshold output unit 12e may specify an abnormal amount of traffic that occurs once a year, and set the specified traffic as a threshold.

このように、閾値出力装置10は、異常検知対象のネットワークだけでなく、広範なネットワークからトラフィックデータを収集することで、統計的なモデリングに十分な量のデータに基づいて統計モデリングを行うことができる。また、閾値出力装置10は、異常検知対象のネットワークから収集した比較的少ないデータであっても、統計モデルを再学習することで、異常検知対象のネットワークに適した閾値を設定することができる。 In this way, the threshold output device 10 collects traffic data not only from the network for anomaly detection but also from a wide range of networks, so that statistical modeling can be performed based on a sufficient amount of data for statistical modeling. can. In addition, the threshold value output device 10 can set a threshold suitable for the network to be detected as an anomaly by re-learning the statistical model even with a relatively small amount of data collected from the network as an anomaly detected.

ここで、図4を用いて、閾値出力装置10による閾値出力処理の概要を説明する。図4は、第1の実施形態に係る閾値出力装置による閾値出力処理の概要を説明する図である。図4に例示するように、閾値出力装置10の第一の取得部12aは、異常検知対象のネットワーク回線より広いネットワーク回線からトラフィックデータを収集する。 Here, an overview of threshold output processing by the threshold output device 10 will be described with reference to FIG. FIG. 4 is a diagram for explaining an overview of threshold output processing by the threshold output device according to the first embodiment. As illustrated in FIG. 4, the first acquisition unit 12a of the threshold value output device 10 collects traffic data from network lines wider than the network line for which anomaly detection is to be performed.

そして、生成部12bは、第一の取得部12aによって取得されたトラフィックデータに対して統計的なモデリングを行って統計モデルを得る。続いて、第二の取得部12cは、異常検知対象のネットワークのトラフィックデータを取得する。 The generation unit 12b then performs statistical modeling on the traffic data acquired by the first acquisition unit 12a to obtain a statistical model. Subsequently, the second acquisition unit 12c acquires traffic data of the network targeted for anomaly detection.

そして、更新部12dは、第二の取得部12cによって取得されたトラフィックデータを用いて、生成部12bによって生成された統計モデルを更新する。その後、閾値出力部12eは、更新部12dによって更新された統計モデルを用いて、異常検知対象のネットワークにおける通信の異常を検知するための閾値を出力する。 Then, the update unit 12d updates the statistical model generated by the generation unit 12b using the traffic data acquired by the second acquisition unit 12c. After that, the threshold output unit 12e uses the statistical model updated by the update unit 12d to output a threshold for detecting communication anomalies in the network targeted for anomaly detection.

図1の説明に戻って、検知部12fは、閾値出力部12eによって出力された閾値を超える通信が発生した場合には、異常検知対象のネットワークの異常を検知する。また、検知部12fは、異常検知対象のネットワークの異常を検知した場合には、異常検知対象のネットワークの通信に異常が発生したことを知らせるアラームをユーザ端末20に出力してもよい。例えば、検知部12fは、アラームとして、異常検知対象のネットワークがDDoS攻撃を受けている旨の警告メッセージを出力してもよいし、警告を報知する音を出力するようにしてもよい。 Returning to the description of FIG. 1, the detection unit 12f detects an abnormality in the network targeted for abnormality detection when communication exceeding the threshold output by the threshold output unit 12e occurs. Further, when detecting an anomaly in an anomaly detection target network, the detection unit 12f may output an alarm to the user terminal 20 to notify that an anomaly has occurred in the communication of the anomaly detection target network. For example, the detection unit 12f may output, as an alarm, a warning message indicating that the network targeted for anomaly detection is under DDoS attack, or may output a sound to notify the warning.

また、例えば、検知部12fは、異常検知対象のネットワークの異常を検知した場合には、異常検知対象のネットワークの通信機器へ指示を出して、異常な通信に対する対策を講じるようにしてもよい。例えば、検知部12fは、異常検知対象のネットワークの異常を検知した場合には、異常検知対象のネットワークの通信を解析装置へ迂回したり、大量の通信を発生させている送信元を特定し、特定した送信元の通信を遮断したりしてもよい。 Further, for example, when the detection unit 12f detects an abnormality in the network targeted for abnormality detection, the detection unit 12f may issue an instruction to the communication device of the network targeted for abnormality detection to take measures against the abnormal communication. For example, when the detection unit 12f detects an anomaly in the network targeted for anomaly detection, the detection unit 12f bypasses communication of the network targeted for anomaly detection to an analysis device, identifies a source generating a large amount of communication, Communication from the specified source may be blocked.

このように、閾値出力装置10では、最適な閾値を用いて、異常検知対象のネットワークの異常を検知することができる。また、閾値出力装置10では、異常検知対象のネットワークの異常を検知した場合には、ユーザ端末20にアラームを出力したり、通信機器へ指示を出したりすることで、異常な通信に対して適切な対策を講じることが可能である。 In this manner, the threshold value output device 10 can detect anomalies in the network targeted for anomaly detection using an optimum threshold value. Further, when the threshold output device 10 detects an anomaly in the network to be anomaly detection target, it outputs an alarm to the user terminal 20 or issues an instruction to the communication device, thereby appropriately responding to the anomalous communication. measures can be taken.

[閾値出力装置の処理手順]
次に、図5を用いて、第1の実施形態に係る閾値出力装置10による処理手順の例を説明する。図5は、第1の実施形態に係る閾値出力装置における閾値出力処理の流れの一例を示すフローチャートである。
[Processing Procedure of Threshold Output Device]
Next, an example of a processing procedure by the threshold value output device 10 according to the first embodiment will be described with reference to FIG. FIG. 5 is a flowchart showing an example of the flow of threshold output processing in the threshold output device according to the first embodiment.

まず、図5を用いて、閾値出力装置10における閾値出力処理の流れを説明する。図5に例示するように、第一の取得部12aは、異常検知対象のネットワーク回線よりも広範なネットワーク回線のトラフィックデータを取得すると(ステップS101肯定)、取得したトラフィックデータに対して、空値補完処理や正規化処理等のデータ前処理を行う(ステップS102)。 First, the flow of threshold output processing in the threshold output device 10 will be described with reference to FIG. As exemplified in FIG. 5, when the first acquisition unit 12a acquires traffic data of network lines wider than the network line for which anomaly detection is to be performed (Yes at step S101), the first acquisition unit 12a adds null values to the acquired traffic data. Data pre-processing such as complementary processing and normalization processing is performed (step S102).

続いて、生成部12bは、第一の取得部12aによって取得されたトラフィックデータを用いて、統計モデルを生成する(ステップS103)。具体的には、生成部12bは、第一の取得部12aによって取得されたトラフィックデータに対して統計的なモデリングを行い、統計モデルを得る。 Subsequently, the generation unit 12b generates a statistical model using the traffic data acquired by the first acquisition unit 12a (step S103). Specifically, the generation unit 12b performs statistical modeling on the traffic data acquired by the first acquisition unit 12a to obtain a statistical model.

そして、第二の取得部12cは、異常検知対象のネットワークのトラフィックデータを取得する(ステップS104)。なお、第二の取得部12cは、S102と同様に、取得したトラフィックデータに対して、空値補完処理や正規化処理等のデータ前処理を行うようにしてもよい。 Then, the second acquisition unit 12c acquires traffic data of the network targeted for abnormality detection (step S104). Note that the second acquisition unit 12c may perform data preprocessing such as null value interpolation processing and normalization processing on the acquired traffic data, as in S102.

続いて、更新部12dは、第二の取得部12cによって取得されたトラフィックデータを用いて、生成部12bによって生成された統計モデルを更新する(ステップS105)。そして、閾値出力部12eは、更新部12dによって更新された統計モデルを用いて、異常検知対象のネットワークにおける通信の異常を検知するための閾値を出力する(ステップS106)。 Subsequently, the updating unit 12d uses the traffic data acquired by the second acquiring unit 12c to update the statistical model generated by the generating unit 12b (step S105). Then, the threshold output unit 12e uses the statistical model updated by the update unit 12d to output a threshold for detecting communication anomalies in the anomaly detection target network (step S106).

(第1の実施形態の効果)
第1の実施形態に係る閾値出力装置10は、異常検知対象の第一のネットワークを含む第二のネットワークのトラフィックデータを取得し、取得したトラフィックデータを用いて、統計モデルを生成する。続いて、閾値出力装置10は、第一のネットワークのトラフィックデータを取得し、取得したトラフィックデータを用いて、生成した統計モデルを更新する。そして、閾値出力装置10は、更新した統計モデルを用いて、第一のネットワークにおける通信の異常を検知するための閾値を出力する。これにより、閾値出力装置10は、異常なトラフィックを検知するための閾値を簡易かつ精度よく設定することができることが可能である。
(Effect of the first embodiment)
The threshold value output device 10 according to the first embodiment acquires traffic data of the second network including the first network for anomaly detection, and uses the acquired traffic data to generate a statistical model. Subsequently, the threshold output device 10 acquires traffic data of the first network and uses the acquired traffic data to update the generated statistical model. Then, the threshold output device 10 uses the updated statistical model to output a threshold for detecting communication anomalies in the first network. As a result, the threshold output device 10 can easily and accurately set a threshold for detecting abnormal traffic.

つまり、閾値出力装置10は、異常検知対象のネットワークだけでなく、広範なネットワークからトラフィックデータを収集することで、長期的なデータの収集を行うことなく、統計的なモデリングに十分な量のデータを得ることが可能である。また、閾値出力装置10は、統計的なモデリングに十分な量のデータに基づいて統計モデリングを行うことができる。さらに、閾値出力装置10は、異常検知対象のネットワークから収集した比較的少ないデータであっても、統計モデルを再学習することで、異常検知対象のネットワークに適した閾値を設定することができる。このため、閾値出力装置10は、異常なトラフィックを検知するための閾値を簡易かつ精度よく設定することができることが可能である。 In other words, the threshold output device 10 collects traffic data from a wide range of networks in addition to the network targeted for anomaly detection, thereby obtaining a sufficient amount of data for statistical modeling without collecting long-term data. It is possible to obtain Also, the threshold output device 10 can perform statistical modeling based on a sufficient amount of data for statistical modeling. Furthermore, the threshold output device 10 can set a threshold suitable for the network to be anomaly detected by re-learning the statistical model even with a relatively small amount of data collected from the network to be anomaly detected. Therefore, the threshold output device 10 can easily and accurately set a threshold for detecting abnormal traffic.

(システム構成等)
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUやGPUおよび当該CPUやGPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
(system configuration, etc.)
Also, each component of each device illustrated is functionally conceptual, and does not necessarily need to be physically configured as illustrated. In other words, the specific form of distribution and integration of each device is not limited to the one shown in the figure, and all or part of them can be functionally or physically distributed and integrated in arbitrary units according to various loads and usage conditions. Can be integrated and configured. Furthermore, all or any part of each processing function performed by each device is realized by a CPU or GPU and a program analyzed and executed by the CPU or GPU, or as hardware by wired logic can be realized.

また、本実施の形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。 In addition, among the processes described in the present embodiment, all or part of the processes described as being performed automatically can be performed manually, or the processes described as being performed manually can be performed manually. can also be performed automatically by known methods. In addition, information including processing procedures, control procedures, specific names, and various data and parameters shown in the above documents and drawings can be arbitrarily changed unless otherwise specified.

(プログラム)
また、上記実施形態において説明した閾値出力装置が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、実施形態に係る閾値出力装置10が実行する処理をコンピュータが実行可能な言語で記述した閾値出力プログラムを作成することもできる。この場合、コンピュータが閾値出力プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかる閾値出力プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録された閾値出力プログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。
(program)
It is also possible to create a program in which the processing executed by the threshold value output device described in the above embodiment is described in a computer-executable language. For example, it is also possible to create a threshold output program in which the processing executed by the threshold output device 10 according to the embodiment is described in a computer-executable language. In this case, the same effects as those of the above embodiment can be obtained by executing the threshold output program by the computer. Furthermore, by recording such a threshold output program in a computer-readable recording medium and causing a computer to read and execute the threshold output program recorded in this recording medium, the same processing as in the above embodiment may be realized. good.

図6は、閾値出力プログラムを実行するコンピュータを示す図である。図6に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。 FIG. 6 is a diagram showing a computer that executes a threshold output program. As illustrated in FIG. 6, computer 1000 includes, for example, memory 1010, CPU 1020, hard disk drive interface 1030, disk drive interface 1040, serial port interface 1050, video adapter 1060, and network interface 1070. , and these units are connected by a bus 1080 .

メモリ1010は、図6に例示するように、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図6に例示するように、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、図6に例示するように、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、図6に例示するように、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、図6に例示するように、例えばディスプレイ1130に接続される。 The memory 1010 includes a ROM (Read Only Memory) 1011 and a RAM 1012 as illustrated in FIG. The ROM 1011 stores a boot program such as BIOS (Basic Input Output System). Hard disk drive interface 1030 is connected to hard disk drive 1090 as illustrated in FIG. Disk drive interface 1040 is connected to disk drive 1100 as illustrated in FIG. A removable storage medium such as a magnetic disk or optical disk is inserted into the disk drive 1100 . The serial port interface 1050 is connected to, for example, a mouse 1110 and a keyboard 1120 as illustrated in FIG. Video adapter 1060 is connected to display 1130, for example, as illustrated in FIG.

ここで、図6に例示するように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記の、閾値出力プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1090に記憶される。 Here, as illustrated in FIG. 6, the hard disk drive 1090 stores an OS 1091, application programs 1092, program modules 1093, and program data 1094, for example. That is, the threshold output program described above is stored, for example, in the hard disk drive 1090 as a program module in which instructions to be executed by the computer 1000 are described.

また、上記実施形態で説明した各種データは、プログラムデータとして、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、各種処理手順を実行する。 Various data described in the above embodiments are stored as program data in the memory 1010 or the hard disk drive 1090, for example. Then, the CPU 1020 reads the program modules 1093 and program data 1094 stored in the memory 1010 and the hard disk drive 1090 to the RAM 1012 as necessary, and executes various processing procedures.

なお、閾値出力プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU1020によって読み出されてもよい。あるいは、閾値出力プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。 Note that the program module 1093 and the program data 1094 related to the threshold output program are not limited to being stored in the hard disk drive 1090. For example, they are stored in a detachable storage medium and read by the CPU 1020 via a disk drive or the like. good too. Alternatively, the program module 1093 and program data 1094 related to the threshold output program are stored in another computer connected via a network (LAN (Local Area Network), WAN (Wide Area Network), etc.), and the network interface 1070 may be read by CPU 1020 via

上記の実施形態やその変形は、本願が開示する技術に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。 The above-described embodiments and modifications thereof are included in the scope of the invention described in the claims and their equivalents, as well as in the technology disclosed in the present application.

10 閾値出力装置
11 通信処理部
12 制御部
12a 第一の取得部
12b 生成部
12c 第二の取得部
12d 更新部
12e 閾値出力部
12f 検知部
13 記憶部
13a 統計モデル記憶部
20 ユーザ端末
30 ネットワーク
10 threshold output device 11 communication processing unit 12 control unit 12a first acquisition unit 12b generation unit 12c second acquisition unit 12d update unit 12e threshold output unit 12f detection unit 13 storage unit 13a statistical model storage unit 20 user terminal 30 network

Claims (6)

異常検知対象の第一のネットワークを含む第二のネットワークのトラフィックデータを取得する第一の取得部と、
前記第一の取得部によって取得されたトラフィックデータを用いて、統計モデルを生成する生成部と、
前記第一のネットワークのトラフィックデータを取得する第二の取得部と、
前記第二の取得部によって取得されたトラフィックデータを用いて、前記生成部によって生成された前記統計モデルを更新する更新部と、
前記更新部によって更新された前記統計モデルを用いて、前記第一のネットワークにおける通信の異常を検知するための閾値を出力する閾値出力部と
を有することを特徴とする閾値出力装置。
a first acquisition unit that acquires traffic data of a second network including the first network for anomaly detection;
a generation unit that generates a statistical model using the traffic data acquired by the first acquisition unit;
a second acquisition unit that acquires traffic data of the first network;
an updating unit that updates the statistical model generated by the generating unit using the traffic data obtained by the second obtaining unit;
and a threshold value output unit that outputs a threshold value for detecting a communication abnormality in the first network using the statistical model updated by the update unit.
前記生成部は、前記統計モデルとして、極値統計を用いた極値分布の統計モデルを生成することを特徴とする請求項1に記載の閾値出力装置。 2. The threshold value output apparatus according to claim 1, wherein the generating unit generates, as the statistical model, a statistical model of extreme value distribution using extreme value statistics. 前記閾値出力部によって出力された閾値を超える通信が前記第一のネットワークにおいて発生した場合には、前記第一のネットワークの異常を検知する検知部をさらに有することを特徴とする請求項1に記載の閾値出力装置。 2. The apparatus according to claim 1, further comprising a detection unit that detects an abnormality in said first network when communication exceeding the threshold output by said threshold output unit occurs in said first network. threshold output device. 前記検知部は、前記第一のネットワークの異常を検知した場合には、前記第一のネットワークの通信に異常が発生したことを知らせるアラームを出力することを特徴とする請求項3に記載の閾値出力装置。 4. The threshold according to claim 3, wherein, when detecting an abnormality in the first network, the detection unit outputs an alarm notifying that an abnormality has occurred in communication of the first network. output device. 閾値出力装置によって実行される閾値出力方法であって、
異常検知対象の第一のネットワークを含む第二のネットワークのトラフィックデータを取得する第一の取得工程と、
前記第一の取得工程によって取得されたトラフィックデータを用いて、統計モデルを生成する生成工程と、
前記第一のネットワークのトラフィックデータを取得する第二の取得工程と、
前記第二の取得工程によって取得されたトラフィックデータを用いて、前記生成工程によって生成された前記統計モデルを更新する更新工程と、
前記更新工程によって更新された前記統計モデルを用いて、前記第一のネットワークにおける通信の異常を検知するための閾値を出力する閾値出力工程と
を含むことを特徴とする閾値出力方法。
A threshold output method performed by a threshold output device, comprising:
a first acquisition step of acquiring traffic data of a second network including the first network for anomaly detection;
a generating step of generating a statistical model using the traffic data obtained by the first obtaining step;
a second acquiring step of acquiring traffic data of the first network;
an updating step of updating the statistical model generated by the generating step using the traffic data obtained by the second obtaining step;
and a threshold value output step of outputting a threshold value for detecting a communication abnormality in the first network, using the statistical model updated by the update step.
異常検知対象の第一のネットワークを含む第二のネットワークのトラフィックデータを取得する第一の取得ステップと、
前記第一の取得ステップによって取得されたトラフィックデータを用いて、統計モデルを生成する生成ステップと、
前記第一のネットワークのトラフィックデータを取得する第二の取得ステップと、
前記第二の取得ステップによって取得されたトラフィックデータを用いて、前記生成ステップによって生成された前記統計モデルを更新する更新ステップと、
前記更新ステップによって更新された前記統計モデルを用いて、前記第一のネットワークにおける通信の異常を検知するための閾値を出力する閾値出力ステップと
をコンピュータに実行させることを特徴とする閾値出力プログラム。
a first acquisition step of acquiring traffic data of a second network including the first network for anomaly detection;
a generating step of generating a statistical model using the traffic data obtained by the first obtaining step;
a second acquiring step of acquiring traffic data for the first network;
an updating step of updating the statistical model generated by the generating step using the traffic data obtained by the second obtaining step;
and a threshold output step of outputting a threshold for detecting an abnormality in communication in the first network using the statistical model updated by the update step.
JP2019208999A 2019-11-19 2019-11-19 Threshold output device, threshold output method and threshold output program Active JP7311402B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2019208999A JP7311402B2 (en) 2019-11-19 2019-11-19 Threshold output device, threshold output method and threshold output program
JP2023110901A JP2023118898A (en) 2019-11-19 2023-07-05 Threshold value output device, threshold value output method, and threshold value output program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019208999A JP7311402B2 (en) 2019-11-19 2019-11-19 Threshold output device, threshold output method and threshold output program

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2023110901A Division JP2023118898A (en) 2019-11-19 2023-07-05 Threshold value output device, threshold value output method, and threshold value output program

Publications (2)

Publication Number Publication Date
JP2021082948A JP2021082948A (en) 2021-05-27
JP7311402B2 true JP7311402B2 (en) 2023-07-19

Family

ID=75963364

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2019208999A Active JP7311402B2 (en) 2019-11-19 2019-11-19 Threshold output device, threshold output method and threshold output program
JP2023110901A Pending JP2023118898A (en) 2019-11-19 2023-07-05 Threshold value output device, threshold value output method, and threshold value output program

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2023110901A Pending JP2023118898A (en) 2019-11-19 2023-07-05 Threshold value output device, threshold value output method, and threshold value output program

Country Status (1)

Country Link
JP (2) JP7311402B2 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060067240A1 (en) 2004-09-25 2006-03-30 Kim Hyun J Apparatus and method for detecting network traffic abnormality
JP2009086896A (en) 2007-09-28 2009-04-23 Toshiba Corp Failure prediction system and failure prediction method for computer
JP2019128934A (en) 2018-01-22 2019-08-01 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America Abnormality determination device, abnormality detection model creation server, and program
JP2019185183A (en) 2018-04-03 2019-10-24 積水ハウス株式会社 Communication device protection management server and communication device protection system
JP2020052747A (en) 2018-09-27 2020-04-02 Kddi株式会社 Information generation device, information generation system, and program
JP2021022759A (en) 2019-07-24 2021-02-18 富士通株式会社 Network analysis program, network analysis apparatus, and network analysis method

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060067240A1 (en) 2004-09-25 2006-03-30 Kim Hyun J Apparatus and method for detecting network traffic abnormality
JP2009086896A (en) 2007-09-28 2009-04-23 Toshiba Corp Failure prediction system and failure prediction method for computer
JP2019128934A (en) 2018-01-22 2019-08-01 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America Abnormality determination device, abnormality detection model creation server, and program
JP2019185183A (en) 2018-04-03 2019-10-24 積水ハウス株式会社 Communication device protection management server and communication device protection system
JP2020052747A (en) 2018-09-27 2020-04-02 Kddi株式会社 Information generation device, information generation system, and program
JP2021022759A (en) 2019-07-24 2021-02-18 富士通株式会社 Network analysis program, network analysis apparatus, and network analysis method

Also Published As

Publication number Publication date
JP2021082948A (en) 2021-05-27
JP2023118898A (en) 2023-08-25

Similar Documents

Publication Publication Date Title
US10057296B2 (en) Detecting and managing abnormal data behavior
JP2017041886A (en) Method for reducing cyber attack in industrial control system
US10135862B1 (en) Testing security incident response through automated injection of known indicators of compromise
US20190028508A1 (en) Gateway apparatus, detecting method of malicious domain and hacked host thereof, and non-transitory computer readable medium
JP6711710B2 (en) Monitoring device, monitoring method, and monitoring program
JP6691268B2 (en) Monitoring device, monitoring method, and monitoring program
JP5739034B1 (en) Attack detection system, attack detection device, attack detection method, and attack detection program
CN112912877B (en) Log output device, log output method, and log output system
CN112262387B (en) Detection device and detection method
CN108696486B (en) Abnormal operation behavior detection processing method and device
JP2018026747A (en) Aggression detection device, aggression detection system and aggression detection method
Naik et al. D-FRI-WinFirewall: Dynamic fuzzy rule interpolation for windows firewall
US11665075B2 (en) Techniques for detecting changes to circuit delays in telecommunications networks
US20160065444A1 (en) Anomaly detection based on combinations of cause value, message type, response time (gtp-c)
JP7311402B2 (en) Threshold output device, threshold output method and threshold output program
JP2020102671A (en) Detection device, detection method and detection program
CN113645215A (en) Method, device, equipment and storage medium for detecting abnormal network traffic data
CN113454956B (en) Communication terminal device, communication control method, and medium
CN114268446A (en) Data asset security assessment method, device and storage medium
Bolanowski et al. The use of statistical signatures to detect anomalies in computer network
JP2015210737A (en) Monitoring method, monitoring device, and monitoring control program
EP3826242B1 (en) Cyber attack information analyzing program, cyber attack information analyzing method, and information processing device
JP7052575B2 (en) Judgment device, judgment method and judgment program
JP2005203992A (en) Network abnormality detecting device, network abnormality detection method, and network abnormality detection program
TW201928747A (en) Server and monitoring method thereof

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220805

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230529

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230606

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230706

R150 Certificate of patent or registration of utility model

Ref document number: 7311402

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150