JP6476143B2 - Anomaly detection device, anomaly detection system, anomaly detection method, and program - Google Patents
Anomaly detection device, anomaly detection system, anomaly detection method, and program Download PDFInfo
- Publication number
- JP6476143B2 JP6476143B2 JP2016017960A JP2016017960A JP6476143B2 JP 6476143 B2 JP6476143 B2 JP 6476143B2 JP 2016017960 A JP2016017960 A JP 2016017960A JP 2016017960 A JP2016017960 A JP 2016017960A JP 6476143 B2 JP6476143 B2 JP 6476143B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- distribution model
- communication
- unit
- characteristic value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、異常検知装置、異常検知システム、異常検知方法、及びプログラムに関する。 The present invention relates to an abnormality detection device, an abnormality detection system, an abnormality detection method, and a program.
ネットワークに接続する端末は近年多様化しており、例えば、いわゆるM2M(Machine-to-Machine)端末と呼ばれるひずみセンサやロボットアーム等のアクチュエータ等、これまでネットワークに繋がっていなかったものがネットワークに接続されるようになっている。我々が普段利用するコンピュータやスマートフォン等と比較したM2M端末の特徴として、(1)ネットワークを介して遠隔で操作/情報取得を行うこと、(2)端末自身にヒューマンインタフェース(ディスプレイ、キーボード等)が具備されていないこと、(3)サービス実現のために同一端末が大量に設置される場合があること、の3点が挙げられる。 Terminals connected to the network have been diversified in recent years. For example, so-called M2M (Machine-to-Machine) terminals called strain sensors and actuators such as robot arms have been connected to the network until now. It has become so. The features of the M2M terminal compared to the computers and smartphones we normally use are as follows: (1) Remote operation / information acquisition via the network, (2) Human interface (display, keyboard, etc.) on the terminal itself There are three points, that it is not provided, and (3) that a large number of the same terminals may be installed for realizing the service.
M2M端末は、利用者の目の届かない所に設置されることが考えられるため、端末の持ち去り、故障等の発生を遠隔で検知する仕組みが必要となる。また、正規の端末になりすました端末の接続検知も同様に必要となる。 Since it is conceivable that the M2M terminal is installed in a place out of the eyes of the user, a mechanism for remotely detecting the removal of the terminal, the occurrence of a failure or the like is necessary. In addition, connection detection of a terminal impersonating a regular terminal is also required.
なお、従来において、電子メールクライアントの多くには、送られてきた電子メールが受信者に無関係な迷惑メールであるかどうかを判定する、スパムメールフィルタリング技術が実装されている(例えば、非特許文献1)。 Conventionally, many e-mail clients have implemented a spam mail filtering technique for determining whether a sent e-mail is a junk mail unrelated to the recipient (for example, non-patent literature). 1).
このようなフィルタリングにおいては、受信者宛の電子メールの内容を解析し、メール本文に含まれる単語等の出現頻度をもとに、本当に受信者宛のものかどうか判断し、判断結果をもとに、「迷惑メール」ラベルを付与するなどの処理が実施されている。 In such filtering, the contents of the e-mail addressed to the recipient are analyzed, and whether or not the e-mail is actually destined for the recipient is determined based on the appearance frequency of the word or the like included in the mail body. In addition, a process of giving a “spam mail” label is performed.
受信者は、そのメールが迷惑メールかどうかを判断し、メールクライアントの判断が誤っていれば、「迷惑メール」ラベルの削除、あるいは付与等を行う。 The recipient determines whether the email is spam or not, and if the email client makes a mistake, deletes or adds the “spam email” label.
この方式の特徴として、受信者の判断結果をもとにフィルタが更新されていくことが挙げられる。メール受信の度にフィルタによる判定と受信者によるフィードバックが行われるため、はじめは誤判定が多くとも、回数を重ねるうちに判定精度の向上が期待できる。 A feature of this method is that the filter is updated based on the determination result of the recipient. Since the determination by the filter and the feedback by the recipient are performed each time the mail is received, at the beginning, even if there are many erroneous determinations, improvement in determination accuracy can be expected as the number of times is increased.
事前設定された閾値による判定のみではなく、このような学習を行う理由は、受信者が受け取るメールの内容は、受信者や利用方法により大きく異なることが想定されるためである。はじめは受信者についての知識が無くとも、学習により、受信者にとって適切な判別を行えるようになる。 The reason for performing such learning as well as the determination based on the preset threshold value is that the content of the mail received by the recipient is assumed to vary greatly depending on the recipient and the usage method. At first, even if there is no knowledge about the receiver, the learning makes it possible to make an appropriate determination for the receiver.
また、リスクベース認証は、サービスへのアクセスが通常とは異なる環境から行われた場合、追加認証(ワンタイムパスワード、秘密の質問等)を実施するものである(例えば、非特許文献2)。 Further, risk-based authentication performs additional authentication (one-time password, secret question, etc.) when access to a service is performed from an environment different from normal (for example, Non-Patent Document 2).
これは、主にWebサービスのログインに用いられている技術であり、ユーザのログイン時にサービス提供事業者が取得できるユーザ情報、例えば、接続元のIPアドレスや接続時間帯、ブラウザのUser−Agent情報、接続元デバイスなどの履歴をサービス提供事業者側で蓄積しておき、この過去のユーザ情報と照らし合わせ、ログイン時にこれまでの接続環境と異なる場合(例えば、普段は日本からアクセスしているユーザが海外からアクセスしてくるなど)は、不正なログインを疑い、より強力な認証(ユーザに対して、使い捨てのワンタイムパスワードを記載したメールを別途送信し、このワンタイムパスワードを用いた認証を行う等)を実施するものである。 This is a technique mainly used for login of a Web service, and user information that can be acquired by a service provider when a user logs in, for example, a connection source IP address and a connection time zone, and a browser User-Agent information. If the connection provider device's history is accumulated on the service provider side and compared with the past user information, it may differ from the previous connection environment when logging in (for example, users who normally access from Japan) Suspected fraudulent login, stronger authentication (send a one-time password with a disposable one-time password to the user, and authenticate using this one-time password) Etc.).
本技術により、普段の利用環境では単純なID/パスワード認証のみ実施し、不正ログインのリスクが高いと推定されるログインに対してはより強力な(手間のかかる)認証を実施することができる。これによりユーザの利便性を損なわずにセキュリティを高めることができる。 With this technology, only simple ID / password authentication can be performed in a normal usage environment, and stronger (and time-consuming) authentication can be performed for a login that is estimated to have a high risk of unauthorized login. Thereby, security can be improved without impairing user convenience.
M2M端末の異常検知を行うために、端末を収容するGW(Gateway)装置が端末の通信特性値(データ量、通信間隔等)を取得し、その値が予め設定された閾値を超えた場合に異常と判定することが考えられる。 In order to detect an abnormality of the M2M terminal, when a GW (Gateway) device that accommodates the terminal acquires a communication characteristic value (data amount, communication interval, etc.) of the terminal and the value exceeds a preset threshold value It is conceivable to determine that it is abnormal.
このとき、閾値の設定は、端末を利用してサービスを提供するサービス提供事業者により行われる。これは、端末の通信特性がサービスによりある程度規定されるため、サービス提供事業者であれば適切な閾値を設定可能であると考えられるためである。 At this time, the threshold is set by a service provider that provides a service using a terminal. This is because the communication characteristics of the terminal are prescribed to some extent by the service, and it is considered that an appropriate threshold can be set by a service provider.
しかしながら、実際には、サービス毎の適切な閾値を求めることは難しく、特に高精度な異常検知を実現しようとする場合、サービス提供事業者にとっては、閾値の設定が負担になると考えられる。 However, in practice, it is difficult to obtain an appropriate threshold value for each service, and it is considered that the setting of the threshold value is a burden for the service provider particularly when trying to realize highly accurate abnormality detection.
サービス提供事業者による閾値設定の負担を軽減する方法として、学習による閾値の自動更新の導入が挙げられる。これは、過去の端末の通信をもとに、端末が取りうる通信特性の分布モデル(通信モデル)を作成し、そのモデルから大きくはずれるものについては異常とみなすものである。学習による方法の利点として、先述の適切な閾値設定が自動的に行われるため、サービス提供事業者の負担を減らせる事が挙げられる。その一方、課題として、実際に閾値設定を適切に行うためには、十分な量の正規端末の通信情報をもとにしたモデルの精緻化が必要となり、加えて、ネットワーク内の装置における学習のための処理量増加が負担となる。例えば、端末の全ての通信を逐次1か所に集約し、学習を行い、判別を行う方式は、大量の端末の接続が想定されるM2Mサービスにとって、スケーラビリティの観点から問題となる。 As a method of reducing the burden of threshold setting by the service provider, introduction of automatic threshold updating by learning can be mentioned. This creates a distribution model (communication model) of communication characteristics that can be taken by a terminal based on past communication with the terminal, and regards anything that deviates greatly from the model as abnormal. The advantage of the learning method is that the above-mentioned appropriate threshold setting is automatically performed, so that the burden on the service provider can be reduced. On the other hand, as a problem, in order to actually set the threshold appropriately, it is necessary to refine the model based on a sufficient amount of communication information of regular terminals, and in addition, learning of devices in the network Therefore, an increase in the processing amount is a burden. For example, a method in which all communication of terminals is sequentially gathered in one place, learning, and determination is a problem from the viewpoint of scalability for an M2M service in which a large number of terminals are assumed to be connected.
以上のように、同様な通信特性を持つ大量のM2M端末が接続されるようなネットワークにおいて、閾値による異常検知を用いる際、サービス提供事業者の負担軽減の観点で、学習による閾値の自動更新の導入が考えられるが、精度の高い閾値決定のためには、端末の通信モデルの学習によるネットワーク内装置の処理負荷が大きく、スケーラビリティの観点で課題があった。 As described above, when using anomaly detection based on a threshold in a network in which a large number of M2M terminals having similar communication characteristics are connected, automatic updating of the threshold by learning is performed from the viewpoint of reducing the burden on the service provider. Although introduction is conceivable, in order to determine a threshold with high accuracy, the processing load on the devices in the network due to learning of the communication model of the terminal is large, and there is a problem in terms of scalability.
本発明は、上記の点に鑑みてなされたものであって、ネットワークに接続される端末の異常検知の効率性を向上させることを目的とする。 The present invention has been made in view of the above points, and an object thereof is to improve the efficiency of detecting an abnormality of a terminal connected to a network.
そこで上記課題を解決するため、ネットワークを介して接続される端末の異常を検知する異常検知装置は、端末との通信に関する特性値を取得する取得部と、前記取得部によって前記特性値が取得されるたびに、複数のタイミングでの端末との通信に関して取得された特性値の履歴に基づいて、前記特性値の分布モデルを生成する生成部と、所定の間隔ごとに、前記生成部が生成した分布モデルを、ネットワークを介して接続される集約装置に送信する送信部と、前記送信部によって送信された分布モデルと、当該異常検知装置には接続されていない端末に関する前記分布モデルとに基づいて前記集約装置が生成した前記特性値の分布モデルを受信する受信部と、前記受信部によって受信された分布モデルと、当該分布モデルが受信された後の端末との通信に関する特性値との比較に基づいて、ネットワークを介して接続される端末の異常を検知する検知部と、を有し、前記所定の間隔は、前記集約装置が生成する前記分布モデルの収束に応じて長くなる。
In order to solve the above problem, an abnormality detection device that detects an abnormality of a terminal connected via a network has an acquisition unit that acquires a characteristic value related to communication with the terminal, and the acquisition unit acquires the characteristic value. Each time, based on the history of characteristic values acquired with respect to communication with the terminal at a plurality of timings, a generation unit that generates the distribution model of the characteristic values, and the generation unit generated at every predetermined interval the distribution model, a transmission unit for transmitting to the aggregation device connected via a network, said a the distribution model transmitted by the transmitting unit, the abnormality detection before Symbol distribution model about the terminal that is not connected to the device A receiving unit that receives the distribution model of the characteristic value generated by the aggregation device based on the distribution model, a distribution model received by the receiving unit, and after the distribution model is received Based on the comparison between the characteristic value for communication with the terminal, the distribution model possess a detection unit for detecting an abnormality of the terminal via a network, wherein the predetermined interval is said aggregation device generates Lengthens with convergence .
ネットワークに接続される端末の異常検知の効率性を向上させることができる。 It is possible to improve the efficiency of detecting an abnormality of a terminal connected to the network.
以下、図面に基づいて本発明の実施の形態を説明する。図1は、本発明の実施の形態における異常検知システムの構成例を示す図である。図1において、異常検知システム1は、集約エンティティ(以下、「PF(Platform)20」という。)と、分散配備された複数の端末収容装置(以下、「GW10(Gateway)」という。)とを含む。PF20は、複数のGW10とネットワークを介して接続される。また、各GW10は、それぞれ複数の端末とネットワーク(例えば、無線回線)を介して接続される。
Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a diagram illustrating a configuration example of an abnormality detection system according to an embodiment of the present invention. In FIG. 1, the
端末は、例えば、M2M(Machine-to-Machine)端末である。各端末は、地理的に分散されて配置され、いずれかのサービスに利用されるデータ(例えば、計測値等)を、当該端末を収容するGWに送信する。なお、各端末は、いずれか一つのGW10に収容される。換言すれば、各GW10は、それぞれ相互に異なる端末に接続される。また、図1に示される全部の端末が、同じサービスに利用されてもよいし、異なるサービスに利用される端末が混在していてもよい。但し、同じサービスに利用される端末が、複数のGW10に接続されるのが望ましい。なお、サービスとは、端末を利用して提供されるサービスをいう。
The terminal is, for example, an M2M (Machine-to-Machine) terminal. Each terminal is geographically distributed and transmits data (for example, measurement values) used for any service to a GW that accommodates the terminal. Each terminal is accommodated in any one
各GW10は、ネットワークを介して複数の端末を収容する装置(例えば、コンピュータ)である。図1において、GW10は、端末収容部11、通信特性取得部12、分散学習部13、分散情報送信部14、集約情報受信部15、及び通信制御部16等を有する。これら各部は、GW10にインストールされた1以上のプログラムが、GW10のCPUに実行させる処理により実現される。GW10は、また、分散情報記憶部17及び比較情報記憶部18等を利用する。これら各記憶部は、例えば、GW10の補助記憶装置等を用いて実現可能である。
Each GW 10 is a device (for example, a computer) that accommodates a plurality of terminals via a network. In FIG. 1, the GW 10 includes a
端末収容部11は、端末との通信(例えば、無線通信)を終端する。通信特性取得部12は、各端末収容部11による端末との通信を監視して、各端末のデータ通信における通信特性を示す情報(以下、「通信特性値」という。)を取得する。通信特性取得部12は、取得した通信特性値を、サービスごとに分散情報記憶部17に記憶する。例えば、サービスが共通する複数の端末から取得された通信特性値の履歴は、共通のテーブルに記憶される。通信特性値は、例えば、トラヒックパターン(通信間隔)、平均パケット長、通信頻度、通信量等である。または、送信されるデータの中身(計測値等)が、通信特性値とされてもよい。なお、本実施の形態では、少なくとも同じサービスに利用される端末の通信特性値は、同様のものであるとする。
The
分散学習部13は、通信特性取得部12によって複数のタイミングにおいて取得された通信特性値に基づいて、通信特性値の分布モデルを示す情報(以下、「通信モデル情報」という。)をサービスごとに生成する。サービスごとに生成された通信モデル情報は、分散情報記憶部17に記憶される。本実施の形態において、通信モデル情報は、通信特性値の分布を特徴付ける(特定又は規定する)パラメータである。例えば、当該分布が正規分布N(μ,σ2)に従うのであれば、平均μ、分散σ2、及び当該分布を形成する通信特性値の数n等が、通信モデル情報に相当する。
Based on the communication characteristic values acquired at a plurality of timings by the communication
分散情報送信部14は、分散情報記憶部17に記憶されている情報(以下、「分散情報」という。)を、例えば、一定周期ごとに、PF20に送信する。
The shared
集約情報受信部15は、PF20が、各GW10から送信された分散情報に含まれている通信特性値又は通信モデル情報を、サービスごとに統合することでPF20が生成した通信モデル情報を、PF20から受信する。集約情報受信部15は、受信した通信モデル情報を、比較情報記憶部18に記憶する。比較情報記憶部18には、端末の異常検知に利用される通信モデル情報が記憶される。
The aggregate
通信制御部16は、比較情報記憶部18に記憶された通信モデル情報と、当該通信モデル情報の受信の後に取得される通信特性値とを比較することで、異常な端末を検知し、当該端末について通信遮断等を行う。異常な端末とは、例えば、故障等が発生している端末、又は不正な端末(例えば、正規に成りすました端末)である。
一方、PF20は、分散情報受信部21、集約学習部22、集約情報送信部23、及び端末情報管理部24等を有する。これら各部は、PF20にインストールされた1以上のプログラムが、PF20のCPUに実行させる処理により実現される。PF20は、また、集約情報記憶部25及び端末情報記憶部26を利用する。これら各記憶部は、例えば、PF20の補助記憶装置等を用いて実現可能である。
The
On the other hand, the
分散情報受信部21は、各GW10から送信される分散情報を受信する。集約学習部22は、分散情報受信部21によって受信された分散情報に含まれている通信特性値が、GW10を跨いでサービス単位で集約又は統合された、サービス毎の通信特性値に基づいて、複数のGW10に跨いだサービス毎の通信モデル情報を生成する。生成された通信モデル情報は、集約情報記憶部25に記憶される。
The shared
集約情報送信部23は、集約学習部22によって生成されたサービス毎の通信モデル情報を、各GW10に送信する。端末情報管理部24は、各端末の属性情報を記憶した端末情報記憶部26に記憶されている端末情報を管理する。端末情報は、例えば、端末を利用したサービスを提供するサービス提供事業者によって登録される。
The aggregate
図2は、本発明の実施の形態におけるGWのハードウェア構成例を示す図である。図2のGW10は、それぞれバスBで相互に接続されているドライブ装置100、補助記憶装置102、メモリ装置103、CPU104、及びインタフェース装置105等を有する。
FIG. 2 is a diagram illustrating a hardware configuration example of the GW according to the embodiment of the present invention. The
GW10での処理を実現するプログラムは、CD−ROM等の記録媒体101によって提供される。プログラムを記憶した記録媒体101がドライブ装置100にセットされると、プログラムが記録媒体101からドライブ装置100を介して補助記憶装置102にインストールされる。但し、プログラムのインストールは必ずしも記録媒体101より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置102は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。 メモリ装置103は、プログラムの起動指示があった場合に、補助記憶装置102からプログラムを読み出して格納する。CPU104は、メモリ装置103に格納されたプログラムに従ってGW10に係る機能を実行する。インタフェース装置105は、ネットワークに接続するためのインタフェースとして用いられる。100〜105の各装置は、それぞれ複数個有してもよい。
A program that realizes processing in the
なお、PF20も図2に示されるようなハードウェア構成を有していてもよい。
The
以下、異常検知システム1において実行される処理手順について説明する。当該処理手順は、学習フェーズと異常検知フェーズとの2段階のフェーズに分類される。学習フェーズは、通知特定値に基づいて通信モデル情報を学習するフェーズである。異常検知フェーズは、学習された通信モデル情報に基づいて、異常検知を行うフェーズである。
Hereinafter, a processing procedure executed in the
図3は、学習フェーズにおける処理手順の一例を説明するためのシーケンス図である。ステップS101〜S103は、端末ごとに、設置後の通信の開始時等に実行される。 FIG. 3 is a sequence diagram for explaining an example of a processing procedure in the learning phase. Steps S101 to S103 are executed for each terminal at the start of communication after installation.
或る端末(以下、「対象端末」という。)が、GW10の端末収容部11に接続して通信を開始すると(S101)、GW10の集約情報受信部15は、PF20の端末情報管理部24に対して、サービスの解決要求を送信する(S102)。サービスの解決とは、対象端末が対応するサービスを明確にすることをいう。サービスの解決要求には、対象端末の識別子(以下、「端末ID」という。)が含まれる。なお、端末IDは、例えば、ステップS101において対象端末から送信されるメッセージに含まれている。端末IDの一例として、端末の物理アドレスが挙げられる。
When a certain terminal (hereinafter referred to as “target terminal”) connects to the
PF20の端末情報管理部24は、当該解決要求を受信すると、当該解決要求に含まれている端末IDに対応付けられて端末情報記憶部26に記憶されているサービスIDを取得する。すなわち、端末情報記憶部26には、各端末IDに対して、それぞれの端末が対応するサービスのサービスIDが対応付けられて記憶されている。サービスIDは、サービスごとの識別情報である。
When receiving the resolution request, the terminal information management unit 24 of the
続いて、端末情報管理部24は、取得されたサービスIDに対応する通信モデル情報及び送信周期が集約情報記憶部25に記憶されているか否かを判定する。該当する通信モデル情報及び送信周期が集約情報記憶部25に記憶されている場合、当該通信モデル情報及び当該送信周期が取得される。なお、送信周期は、後述されるステップS116においてGW10に送信される送信周期と同義である。
Subsequently, the terminal information management unit 24 determines whether or not the communication model information and the transmission cycle corresponding to the acquired service ID are stored in the aggregate
続いて、端末情報管理部24は、サービスの解決結果(対象端末が対応するサービス(以下、「対象サービス」という。)のサービスID)を含む応答を、GW10に送信する(S103)。当該サービスIDに対応する通信モデル情報及び送信周期が集約情報記憶部25に記憶されていれば、サービスの解決結果に加え、当該通信モデル情報及び当該送信周期も当該応答に含まれる。
Subsequently, the terminal information management unit 24 transmits a response including a service resolution result (a service ID of a service corresponding to the target terminal (hereinafter referred to as “target service”)) to the GW 10 (S103). If the communication model information and the transmission cycle corresponding to the service ID are stored in the aggregate
GW10の集約情報受信部15は、PF20から送信された応答に通信モデル情報及び送信間隔が含まれている場合、当該通信モデル情報及び当該送信間隔を、当該応答に含まれているサービスIDに対応付けて、比較情報記憶部18に記憶する(S104)。既に当該サービスIDに対応付けられて比較情報記憶部18に記憶されている通信モデル情報等が有る場合、当該通信モデル情報等は、新たに受信された通信モデル情報等によって上書きされる。集約情報受信部15は、また、対象端末の端末IDを、対象サービスのサービスIDに対応付けて、例えば、補助記憶装置102に記憶する。
When the communication model information and the transmission interval are included in the response transmitted from the
続いて、GW10は、対象サービスに関して、処理フェーズを異常検知フェーズに移行する(S200)。すなわち、各GW10における処理フェーズは、サービスごとに区別される。
Subsequently, the
一方、PF20から送信された応答に通信モデル情報等が含まれていない場合、ステップS111〜S117の実行後に、異常検知フェーズ(S200)が実行される。
On the other hand, when the communication model information or the like is not included in the response transmitted from the
ステップS111において、対象端末が、データ(例えば、計測値等)をGW10に送信すると(S105)、通信特性取得部12は、当該通信に関して通信特性値を取得する(S106)。通信特性取得部12は、対象サービスのサービスIDに関連付けて、当該通信情報を分散情報記憶部17に記憶する。
In step S111, when the target terminal transmits data (for example, a measured value or the like) to the GW 10 (S105), the communication
続いて、分散学習部13は、当該サービスIDに関連付けられて分散情報記憶部17に記憶されている通信特性値の履歴に基づいて、通信モデル情報を生成し、当該通信モデル情報を、当該サービスIDに関連付けて分散情報記憶部17に記憶する。なお、通信モデル情報は、複数種類の通信特性値のうちのいずれか一種類の通信特性値に関して生成されてもよいし、2種類以上の通信特性値に関して生成されてもよい。後者の場合、各通信特性値に相関が無いのであれば、通信特性値ごとに通信モデル情報が生成されてもよいし、相関を有する複数の通信特性値に関しては、複数の通信特性値に関して一つの通信モデル情報が生成されてもよい。通信モデル情報の生成に用いる通信特性値及び学習のためのアルゴリズムについては、予め固定的に設定されていてもよいし、サービス提供事業者による事前の選択が可能とされてもよい。サービス提供事業者による事前の選択が可能とされる場合、例えば、選択された内容を示す情報が、PF20の端末情報管理部24に保存され、当該情報が各GW10にダウンロードされてもよい。
Subsequently, the distributed learning
ステップS111〜S113が、対象サービスに関してm回実行されると(すなわち、分散情報記憶部17において対象サービスのサービスIDに関連付けられて記憶されている通信特性値の履歴の数がm個に到達すると)、GW10の分散情報送信部14は、当該サービスIDに関連付けられて記憶されている通信特性値の履歴と、当該サービスIDに関して最後に生成された通信モデル情報と、当該サービスIDとを含む分散情報をPF20に送信する(S114)。なお、ステップS111〜S113のm回の実行は、サービスごとにカウントされる。すなわち、同じサービスに対応する端末が複数有る場合、これら複数の端末に関するステップS111〜S113の実行階数が、m回に到達すればよい。また、mの初期値は、例えば、予め設定される。また、送信対象とされる通信特性値の履歴数は、直近のm個でよい。この場合、過去にGW10からPF20に送信された通信特性値の履歴は、PF20において記憶されるようにすればよい。
When steps S111 to S113 are executed m times with respect to the target service (that is, when the number of communication characteristic value histories stored in association with the service ID of the target service in the distributed
PF20の分散情報受信部21は、当該分散情報を受信すると、当該分散情報に含まれている通信特性値の履歴を、当該サービスIDに関連付けて集約情報記憶部25に記憶する。また、PF20の集約学習部22は、当該サービスIDに関連付けられて集約情報記憶部25に記憶されている通信モデル情報と、受信された分散情報に含まれている通信モデル情報とに基づいて、新たな通信モデル情報を生成し、生成された通信モデル情報によって、当該サービスIDに関連付けられて集約情報記憶部25に記憶されている通信モデル情報を上書きする(S115)。なお、通信モデルによっては、通信モデル情報同士を統合するのが困難な場合が有る。このような場合、集約学習部22は、当該サービスIDに関連付けられて集約情報記憶部25に記憶されている通信特性値の履歴に基づいて、新たな通信モデル情報を生成してもよい。集約学習部22は、また、通信モデル情報の収束状況に応じて送信周期を計算する。送信周期とは、上記におけるmの値である。例えば、通信モデル情報の収束状況に応じて、動的に通信モデル情報の送信周期が変更されてもよい。集約学習部22は、計算された送信周期を、当該サービスIDに関連付けて集約情報記憶部25に記憶する。
When receiving the shared information, the shared
続いて、PF20の集約情報送信部23は、ステップS115において生成された通信モデル情報と、ステップS115において計算された送信周期と、対象サービスのサービスIDとを、GW10に送信する(S116)。GW10の集約情報受信部15は、当該通信モデル情報及び当該送信周期等を受信すると、当該通信モデル情報及び当該送信周期を、受信されたサービスIDに関連付けて比較情報記憶部18に記憶する(S117)。当該サービスIDに関連付けられている学習モデル情報又は送信周期が既に比較情報記憶部18に記憶されている場合、既に記憶されている情報は、新たに受信された情報によって上書きされる。
Subsequently, the aggregate
ステップS111〜S117は、ステップS115において生成される通信モデル情報が収束するまで繰り返される。繰り返しの過程において、ステップ111〜S113の繰り返し回数(送信周期)は、ステップS116において受信される送信周期によって更新される。例えば、後述される収束度が所定値以下となるまで、ステップS112〜S117が繰り返されてもよい。また、繰り返しの回数に上限が設けられてもよい。通信モデル情報が収束したか否かの判定は、PF20において行われてもよいし、GW10において行われてもよい。PF20において収束の有無が判定される場合、例えば、ステップS115において、通信モデル情報の生成後に通信モデル情報の収束の有無が判定され、当該収束の有無を示す情報がステップS116においてGW10に送信されてもよい。GW10において収束の有無が判定される場合、GW10は、ステップS116において受信された通信モデル情報を含む、PF20から過去に受信した通信モデル情報の履歴に基づいて、当該通信モデル情報の収束の有無を判定してもよい。ステップS115において生成される通信モデル情報が収束すると、GW10は、対象サービスに関して異常検知フェーズに移行する(S200)。
Steps S111 to S117 are repeated until the communication model information generated in step S115 converges. In the repetition process, the number of repetitions (transmission cycle) of
なお、ステップS103においても、対象サービスのサービスIDに関して記憶されている通信モデル情報が収束していると判定される場合に限って、当該通信モデル情報がGW10に送信されるようにしてもよい。
In step S103, the communication model information may be transmitted to the
続いて、異常検知フェーズについて説明する。図4は、異常検知フェーズにおける処理手順の一例を説明するためのシーケンス図である。 Next, the abnormality detection phase will be described. FIG. 4 is a sequence diagram for explaining an example of a processing procedure in the abnormality detection phase.
ステップS201、S202、及びS204は、図3のステップS111、S112、及びS113と同様である。異常検知フェーズの場合(ステップS201において受信されたデータが、異常検知フェーズに移行したサービスに関するデータである場合)、ステップS202とステップS204との間において、ステップS203が実行される。 Steps S201, S202, and S204 are the same as steps S111, S112, and S113 in FIG. In the case of the abnormality detection phase (when the data received in step S201 is data related to the service that has shifted to the abnormality detection phase), step S203 is executed between step S202 and step S204.
ステップS203において、GW10の通信制御部16は、ステップS202において取得された通信特性値を、ステップS202において受信されたデータの送信元の端末(以下、「対象端末」という。)が対応するサービス(以下、「対象サービス」という。)のサービスIDに関連付けられて比較情報記憶部18に記憶されている通信モデル情報(以下、「対象通信モデル情報」という。)と比較することで、対象端末の異常の有無を判定する例えば、対象通信モデル情報から導出される閾値βと、当該通信特性値とが比較されて異常の有無が判定されてもよい。より詳しくは、対象サービスに関して取得される通信特性値の分布が何らかの確率分布に従う場合、このモデルから大きく外れた通信特性値が取得されたときに、対象端末は異常であると判定してもよい。
In step S203, the
対象端末に異常が有ることが判定された場合(異常が検知された場合)、通信制御部16は、対象端末の通信を即時遮断してもよい。又は、通信制御部16は、異常の発生を示す情報をPF20の、端末情報管理部24に送信してもよい。この場合、端末情報管理部24は、予め設定されたサービス提供事業者の連絡先にメール又はその他の通信手段により異常の発生を通知してもよい。この際、サービス提供事業者は、対象端末の通信遮断の要否を選択でき、通信遮断が必要であることが選択された場合に、端末情報管理部24が、GW10の通信制御部16に対して通信遮断の指示を行い、通信制御部16が、対象端末の通信を遮断してもよい。異常検知時のアクションについては、サービス提供事業者が事前にサービスごとに選択でき、当該アクションを示す情報はPF20の端末情報管理部24によって保持されてもよい。この場合、当該情報は、図3のステップS103においてGW10に送信されてもよいし、異常検知時に、GW10が当該情報をPF20に問いあわせてもよい。
When it is determined that there is an abnormality in the target terminal (when an abnormality is detected), the
なお、対象端末の異常が検知された場合、ステップS202において取得された通信特性値は破棄され、ステップS204は実行されない。異常な値に基づく学習が行われないようにするためのである。一方、対象端末の異常が検知されない場合、ステップS204は実行される。 If an abnormality of the target terminal is detected, the communication characteristic value acquired in step S202 is discarded and step S204 is not executed. This is to prevent learning based on an abnormal value. On the other hand, when no abnormality of the target terminal is detected, step S204 is executed.
ステップS201〜S204が、対象サービスに関してm回繰り返されると、ステップS205〜S208が実行される。図4において、mの初期値は、対象サービスに関して、図3ステップS103又はS116において受信された送信周期である。なお、異常が検知されたケースは、m回にカウントされない。すなわち、ステップS204が実行された回数(学習が行われた回数)が、m回にカウントされる。 When Steps S201 to S204 are repeated m times for the target service, Steps S205 to S208 are executed. In FIG. 4, the initial value of m is the transmission cycle received in step S103 or S116 in FIG. 3 for the target service. A case where an abnormality is detected is not counted m times. That is, the number of times step S204 has been executed (the number of times learning has been performed) is counted m times.
ステップS205〜S208は、図3におけるステップS114〜S117と同じである。ステップS208の実行後、ステップS201以降が繰り返される。この際、mの値は、ステップS207において受信された送信周期によって更新される。 Steps S205 to S208 are the same as steps S114 to S117 in FIG. After step S208 is executed, step S201 and subsequent steps are repeated. At this time, the value of m is updated by the transmission cycle received in step S207.
なお、ステップS202において取得された通信特性値を逐次PF20に集約し、PF20が通信モデル情報を逐次学習することも考えられる。しかし、この方法ではPF20における処理負荷及びPF20とGW10との通信回数が増大することで、特にスケーラビリティについて課題が存在する。
Note that it is also conceivable that the communication characteristic values acquired in step S202 are sequentially collected in the
そこで、本実施の形態では、GW10が通信モデル情報を学習し、当該通信モデル情報を周期的にPF20に送信することで、GW10とPF20の間で発生する通信回数とPF20の処理負荷とを低減している。
Therefore, in the present embodiment, the
また、PF20とGW10と端末の台数関係は、一般的に、1:M:N(かつ1<<M<<N)であり、複数のGW10からPF20に対して、各GW10において取得・学習された通信特性値及び通信モデル情報が送信され、PF20において集約される。
Further, the number relationship between the
そのため、PF20では、複数のGW10を跨いで同一サービスに紐づく全ての端末の通信特性値に基づいて、精度の高い通信モデル情報が生成される。 Therefore, in PF20, highly accurate communication model information is produced | generated based on the communication characteristic value of all the terminals linked with the same service across several GW10.
GW10からPF20に対して通信が行われる際に、PF20が、最新の通信モデル情報をGW10に返送することで、GW10は、高精度な通信モデルを用いた異常検知を行うことができる。
When communication is performed from the
GW10がPF20へ通信特性値を逐次送信し、PF20が異常判定を行い、PF20が通信モデル情報を逐次更新する場合と比較して、本実施の形態では、通信モデル情報の最新化には周期的な更新タイミングを迎えるまでの間にタイムラグが生じるため、適切な送信間隔を設定する必要がある。送信間隔が小さいと、PF20への通信回数ならびにPF20での処理発生回数は増加するが、通信モデル情報の更新遅れは発生しにくくなる。一方、送信間隔が大きいと、PF20の負荷が減る一方で、PF20が保有する通信モデル情報と各GW10が保有する通信モデル情報とが乖離する可能性がある。
Compared with the case where the
GW10が通信モデル情報等を送信するタイミングのバリエーションとしては、上記において説明したように、予め決められた周期でGW10が送信を行ってもよいし、PF20の負荷平滑化の観点から、PF20がスケジューリングを行い、順番にGW10に対して通信モデル情報の送信を要求してもよい。
As a variation of the timing at which the
なお、GW10において処理能力に制約が存在し、学習の実施が困難な場合、GW10が通信モデル情報の学習を全く行わずに通信特性値をPF20に周期的に送信してもよい。この場合であっても、通信回数の低減の効果を得ることができる。
Note that when there is a limitation in processing capability in the
また、PF20が有する分散情報受信部21、集約学習部22、集約情報送信部23、端末情報管理部24等は、必ずしも一つのコンピュータによって実現されなくてもよい。スケーラビリティの観点から、負荷の大きな特定のサービス、あるいは全てのサービスに関する各機能部を、別々の物理サーバ又は仮想マシン上に分離して配置してもよい。この場合、図1に示すPF20において、分離したサーバの識別子(IPアドレス/ドメイン名など)とサービス提供事業者の識別子の紐付けが管理され、これを利用して各サーバとの通信の振り分けが行われてもよい。
Further, the distributed
次に、端末から得られる通信特性値の分布が正規分布N(μ,σ2)に従う場合について、本実施の形態を具体的に説明する。 Next, this embodiment will be specifically described in the case where the distribution of communication characteristic values obtained from the terminal follows the normal distribution N (μ, σ 2 ).
GW10の分散情報記憶部17には、サービス毎に、通信モデル情報として、μ及びσ2に加え、これまでに取得された通信特性値の数nが、通信モデル情報として記憶される。GW10の分散学習部13は、新たな通信特性値datan+1が通信特性取得部12によって取得される度に、逐次、以下の式を用いて新たな通信モデル情報μn+1、σ2 n+1を求める。なお、以下の式において、α=1/(n+1)である。
In the distributed
或るサービスに関して送信周期が到来すると、GW10の分散情報送信部14は、当該サービスに関する通信モデル情報n、μ、及びσ2をPF20に送信する。なお、通信モデル情報が正規分布に従う場合は、GW10がこれまでに取得し通信特性値の履歴を送信する必要はなく、GW10が学習した通信モデル情報のみを送信してもよい。一方、通信モデル情報を統合又は集約するのが困難な通信モデルに従う場合には、通信特性値の履歴の送信が必要である。この場合、通信モデル情報は送信されなくてもよく、GW10において通信モデル情報が学習されなくてもよい。
When the transmission cycle for a certain service arrives, the distributed
PF20において、GW10からの通信モデル情報が受信されると、PF20の集約学習部22は、以下の式を用いて通信モデル情報を更新する(いずれの式も平均、分散の公式より導出可能である。この式はGW10側で取得した通信特性値に基づく通信モデル情報と、PF20側が保持する通信モデル情報とが同じ母集団(=同じサービス)から抽出された標本の特徴量であるときに成り立つ。)。
When the communication model information from the
続いて、PF20の集約情報送信部23は、更新した通信モデル情報(n=nGW10+nPF,μGW+PF,σ2 GW+PF)と、当該通信モデル情報に係るサービスのサービスIDとを、GW10に返送する。GW10の集約情報受信部15は、当該通信モデル情報及びサービスIDを受信すると、比較情報記憶部18において当該サービスIDに対応付けられて記憶されている通信モデル情報を、受信された通信モデル情報によって上書きする。その結果、当該サービスIDに係るサービスに関する端末との以降の通信(端末からのデータの送信)に関する通信特性値は、新たに比較情報記憶部18に記憶された通信モデル情報と比較されて、当該端末の異常の有無が判定される。
Subsequently, the aggregate
ここで、通信モデル情報は、通信特性値が取りうる値の正規分布N(μ,σ2)を表すものであり、この正規分布に従った場合の出現確率が一定値以下の値を外れ値と判定することができる。これは、単純に信頼区間を求める問題とみなすことができる。例えば、95%信頼区間は、以下の式で表すことができる。 Here, the communication model information represents a normal distribution N (μ, σ 2 ) of values that can be taken by the communication characteristic value, and an appearance probability in the case of following this normal distribution is an outlier value. Can be determined. This can be regarded as a problem of simply obtaining a confidence interval. For example, the 95% confidence interval can be expressed by the following equation.
続いて、送信周期(m)の動的な変更方法について説明する。 Next, a method for dynamically changing the transmission cycle (m) will be described.
通信モデル情報が、正規分布に従う場合、学習した通信モデル情報のばらつき(=精度の低さ)は、通信モデルの標準誤差σ/√nで表すことができる。 When the communication model information follows a normal distribution, the variation (= low accuracy) of the learned communication model information can be expressed by the standard error σ / √n of the communication model.
この式から分かるように、十分な量の通信特性値を取得すれば、標準誤差は小さな値に収束する。この場合、PF20とGW10との間で通信モデル情報の頻繁な交換は不要である。一方、通信特性値の取得数が少ない場合、PF20とGW10との間で通信モデル情報は頻繁に交換する必要がある(図5参照)。
As can be seen from this equation, if a sufficient amount of communication characteristic value is acquired, the standard error converges to a small value. In this case, frequent exchange of communication model information between the
そこで、通信モデルの収束度を定義し、収束度に応じて動的に送信周期(PF20とGW10で通信モデル情報をやり取りするまでに、GW10において通信モデル情報を更新する回数)を変更する。
Therefore, the degree of convergence of the communication model is defined, and the transmission cycle (the number of times the communication model information is updated in the
一例として、下記のような式が考えられる。 As an example, the following equation can be considered.
直近のk個の通信モデル情報の標準誤差の変化の大きさを収束度と定義する。収束度が0に近いほど収束しており、収束度が大きいほど収束していない状態を表す。この計算は、例えば、PF20の集約学習部22により行われ、GW10から受信した通信モデル情報に基づいて、新たな通信モデル情報を学習するたびに、当該通信モデル情報と共に、当該送信間隔がGW10に送信される。
The magnitude of change in the standard error of the latest k pieces of communication model information is defined as the degree of convergence. As the convergence degree is closer to 0, the convergence is achieved, and as the convergence degree is larger, the convergence is not achieved. This calculation is performed by, for example, the
収束度が閾値γより大きい(収束していない)場合、送信間隔は1、すなわち、GW10側で通信モデル情報を学習するたびに、逐次、PF20とGW10の間で通信モデル情報のやり取りが行われる。収束度が0に近い場合、送信間隔は長くなる。
When the convergence degree is larger than the threshold γ (not converged), the transmission interval is 1, that is, the communication model information is sequentially exchanged between the
上述したように、本実施の形態によれば、GW10は、端末からデータが受信されるたびに逐次、通信特性値又は通信モデル情報をPF20に送信するのではなく、周期的に通信特性値又は通信モデル情報をPF20に送信する。その結果、GW10及びPF20間の通信頻度を低減することができる。また、端末の異常の検知は、分散された複数のGW10において取得された通信特性値に基づく学習結果である通信モデル情報が利用されて行われる。したがって、ネットワークにおけるスケーラビリティの確保と、通信モデル情報を利用した高精度な端末の異常検知とを両立することができる。すなわち、ネットワークに接続される端末の異常検知の効率性を向上させることができる。
As described above, according to the present embodiment, the
また、通信モデル情報が各GW10において学習される場合、PF20における処理負荷を低減することもできる。
Moreover, when communication model information is learned in each
なお、本実施の形態において、GW10は、異常検知装置の一例である。通信特性取得部12は、取得部の一例である。分散情報送信部14は、送信部の一例である。集約情報受信部15は、受信部の一例である。通信制御部16は、検知部の一例である。分散学習部13は、請求項2の生成部の一例である。PF20は、集約装置の一例である。集約学習部22は、請求項4の生成部の一例である。
In the present embodiment, the
以上、本発明の実施例について詳述したが、本発明は斯かる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。 As mentioned above, although the Example of this invention was explained in full detail, this invention is not limited to such specific embodiment, In the range of the summary of this invention described in the claim, various deformation | transformation・ Change is possible.
1 異常検知システム
10 GW
11 端末収容部
12 通信特性取得部
13 分散学習部
14 分散情報送信部
15 集約情報受信部
16 通信制御部
17 分散情報記憶部
18 比較情報記憶部
20 PF
21 分散情報受信部
22 集約学習部
23 集約情報送信部
24 端末情報管理部
25 集約情報記憶部
26 端末情報記憶部
100 ドライブ装置
101 記録媒体
102 補助記憶装置
103 メモリ装置
104 CPU
105 インタフェース装置
B バス
1
11
21 Distributed
105 Interface device B bus
Claims (6)
端末との通信に関する特性値を取得する取得部と、
前記取得部によって前記特性値が取得されるたびに、複数のタイミングでの端末との通信に関して取得された特性値の履歴に基づいて、前記特性値の分布モデルを生成する生成部と、
所定の間隔ごとに、前記生成部が生成した分布モデルを、ネットワークを介して接続される集約装置に送信する送信部と、
前記送信部によって送信された分布モデルと、当該異常検知装置には接続されていない端末に関する前記分布モデルとに基づいて前記集約装置が生成した前記特性値の分布モデルを受信する受信部と、
前記受信部によって受信された分布モデルと、当該分布モデルが受信された後の端末との通信に関する特性値との比較に基づいて、ネットワークを介して接続される端末の異常を検知する検知部と、
を有し、
前記所定の間隔は、前記集約装置が生成する前記分布モデルの収束に応じて長くなる、
ことを特徴とする異常検知装置。 An anomaly detection device for detecting an anomaly of a terminal connected via a network,
An acquisition unit for acquiring characteristic values related to communication with the terminal;
Each time the characteristic value is acquired by the acquisition unit, a generation unit that generates a distribution model of the characteristic value based on a history of characteristic values acquired regarding communication with a terminal at a plurality of timings ;
For each predetermined interval, a transmission unit that transmits the distribution model generated by the generation unit to an aggregation device connected via a network;
Receiving for receiving and the distribution model transmitted by the transmitting unit, the abnormality detection distribution model of the characteristic values were the aggregation device is generated based on the previous SL distribution model about the terminal that is not connected to the device And
A detection unit that detects an abnormality of a terminal connected via a network based on a comparison between a distribution model received by the reception unit and a characteristic value related to communication with the terminal after the distribution model is received; ,
I have a,
The predetermined interval becomes longer according to the convergence of the distribution model generated by the aggregation device.
An abnormality detection device characterized by that.
ことを特徴とする請求項1記載の異常検知装置。 The transmission unit, each time the acquisition of the characteristic value by the acquisition unit reaches the number of times calculated based on the convergence status of the distribution model, the history of the acquired characteristic value, or the history based on the history Transmitting a distribution model of characteristic values to the aggregation device;
The abnormality detection device according to claim 1 .
前記異常検知装置は、
端末との通信に関する特性値を取得する取得部と、
前記取得部によって前記特性値が取得されるたびに、複数のタイミングでの端末との通信に関して取得された特性値の履歴に基づいて、前記特性値の分布モデルを生成する第1の生成部と、
所定の間隔ごとに、前記第1の生成部が生成した分布モデルを、前記集約装置に送信する送信部と、
前記集約装置が生成した前記特性値の分布モデルを受信する受信部と、
前記受信部によって受信された分布モデルと、当該分布モデルが受信された後の端末との通信に関する特性値との比較に基づいて、ネットワークを介して接続される端末の異常を検知する検知部とを有し、
前記集約装置は、
前記複数の異常検知装置から送信される前記分布モデルに基づいて前記特性値の分布モデルを生成する第2の生成部を有し、
前記所定の間隔は、前記集約装置が生成する前記分布モデルの収束に応じて長くなる、
ことを特徴とする異常検知システム。 An abnormality detection system including a plurality of abnormality detection devices that detect an abnormality of a terminal connected via a network, and an aggregation device connected to the plurality of abnormality detection devices via a network,
The abnormality detection device is:
An acquisition unit for acquiring characteristic values related to communication with the terminal;
A first generation unit that generates a distribution model of the characteristic value based on a history of characteristic values acquired for communication with a terminal at a plurality of timings each time the characteristic value is acquired by the acquisition unit; ,
A transmission unit that transmits the distribution model generated by the first generation unit to the aggregation device at predetermined intervals ;
A receiving unit that receives the distribution model of the characteristic value generated by the aggregation device;
A detection unit that detects an abnormality of a terminal connected via a network based on a comparison between a distribution model received by the reception unit and a characteristic value related to communication with the terminal after the distribution model is received; Have
The aggregation device is
Have a second generation unit for generating a distribution model of said characteristic values based on the previous SL distribution model that will be transmitted from the plurality of abnormality detection device,
The predetermined interval becomes longer according to the convergence of the distribution model generated by the aggregation device.
An abnormality detection system characterized by that.
端末との通信に関する特性値を取得する取得手順と、
前記取得手順において前記特性値が取得されるたびに、複数のタイミングでの端末との通信に関して取得された特性値の履歴に基づいて、前記特性値の分布モデルを生成する生成手順と、
所定の間隔ごとに、前記生成手順が生成した分布モデルを、ネットワークを介して接続される集約装置に送信する送信手順と、
前記送信手順において送信された分布モデルと、当該異常検知装置には接続されていない端末に関する前記分布モデルとに基づいて前記集約装置が生成した前記特性値の分布モデルを受信する受信手順と、
前記受信手順において受信された分布モデルと、当該分布モデルが受信された後の端末との通信に関する特性値との比較に基づいて、ネットワークを介して接続される端末の異常を検知する検知手順と、
を実行し、
前記所定の間隔は、前記集約装置が生成する前記分布モデルの収束に応じて長くなる、
ことを特徴とする異常検知方法。 An anomaly detection device that detects an anomaly in a terminal connected via a network
An acquisition procedure for acquiring characteristic values related to communication with the terminal,
Each time the characteristic value is acquired in the acquisition procedure, a generation procedure for generating a distribution model of the characteristic value based on a history of characteristic values acquired regarding communication with a terminal at a plurality of timings ;
A transmission procedure for transmitting the distribution model generated by the generation procedure to a concentrator connected via a network at predetermined intervals ;
Receiving for receiving and the distribution models that are sent, the distribution model of the abnormality detection the characteristic value the aggregation device is generated based on the previous SL distribution model about the terminal that is not connected to the device in the transmission procedure Procedure and
A detection procedure for detecting an abnormality of a terminal connected via a network based on a comparison between the distribution model received in the reception procedure and a characteristic value related to communication with the terminal after the distribution model is received; ,
The execution,
The predetermined interval becomes longer according to the convergence of the distribution model generated by the aggregation device.
An abnormality detection method characterized by that.
前記異常検知装置が、
端末との通信に関する特性値を取得する取得手順と、
前記取得手順において前記特性値が取得されるたびに、複数のタイミングでの端末との通信に関して取得された特性値の履歴に基づいて、前記特性値の分布モデルを生成する第1の生成手順と、
所定の間隔ごとに、前記第1の生成手順が生成した分布モデルを、ネットワークを介して接続される集約装置に送信する送信手順と、
前記集約装置が生成した前記特性値の分布モデルを受信する受信手順と、
前記受信手順において受信された分布モデルと、当該分布モデルが受信された後の端末との通信に関する特性値との比較に基づいて、ネットワークを介して接続される端末の異常を検知する検知手順とを実行し、
前記集約装置が、
前記複数の異常検知装置から送信される前記分布モデルに基づいて前記特性値の分布モデルを生成する第2の生成手順を実行し、
前記所定の間隔は、前記集約装置が生成する前記分布モデルの収束に応じて長くなる、
ことを特徴とする異常検知方法。 An abnormality detection method executed by a plurality of abnormality detection devices that detect an abnormality of a terminal connected via a network, and an aggregation device connected to the plurality of abnormality detection devices via a network,
The abnormality detection device is
An acquisition procedure for acquiring characteristic values related to communication with the terminal,
A first generation procedure for generating a distribution model of the characteristic value based on a history of characteristic values acquired for communication with a terminal at a plurality of timings each time the characteristic value is acquired in the acquisition procedure; ,
A transmission procedure for transmitting the distribution model generated by the first generation procedure to a concentrator connected via a network at predetermined intervals ;
A reception procedure for receiving a distribution model of the characteristic value generated by the aggregation device;
A detection procedure for detecting an abnormality of a terminal connected via a network based on a comparison between the distribution model received in the reception procedure and a characteristic value related to communication with the terminal after the distribution model is received; Run
The aggregation device is
Run the second generation procedure for generating a distribution model of said characteristic values based on the previous SL distribution model that will be transmitted from the plurality of abnormality detection device,
The predetermined interval becomes longer according to the convergence of the distribution model generated by the aggregation device.
An abnormality detection method characterized by that.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016017960A JP6476143B2 (en) | 2016-02-02 | 2016-02-02 | Anomaly detection device, anomaly detection system, anomaly detection method, and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016017960A JP6476143B2 (en) | 2016-02-02 | 2016-02-02 | Anomaly detection device, anomaly detection system, anomaly detection method, and program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017139558A JP2017139558A (en) | 2017-08-10 |
| JP6476143B2 true JP6476143B2 (en) | 2019-02-27 |
Family
ID=59566484
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016017960A Active JP6476143B2 (en) | 2016-02-02 | 2016-02-02 | Anomaly detection device, anomaly detection system, anomaly detection method, and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6476143B2 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7127525B2 (en) * | 2018-12-19 | 2022-08-30 | 日本電信電話株式会社 | DETECTION DEVICE, DETECTION METHOD, AND DETECTION PROGRAM |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3697249B2 (en) * | 2003-04-30 | 2005-09-21 | 株式会社エヌ・ティ・ティ・データ | Network status monitoring system and program |
-
2016
- 2016-02-02 JP JP2016017960A patent/JP6476143B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017139558A (en) | 2017-08-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110121876B (en) | System and method for detecting malicious devices by using behavioral analysis | |
| CN108183950B (en) | Method and device for establishing connection of network equipment | |
| US11144667B2 (en) | Machine-driven crowd-disambiguation of data resources | |
| US9268956B2 (en) | Online-monitoring agent, system, and method for improved detection and monitoring of online accounts | |
| CN102571932B (en) | For application on site, user provides status service | |
| US9225731B2 (en) | System for detecting the presence of rogue domain name service providers through passive monitoring | |
| US9602499B2 (en) | Authenticating a node in a communication network | |
| TR201816182T4 (en) | NETWORK DIAGNOSIS AS A SERVICE | |
| CN105100032A (en) | Method and apparatus for preventing resource steal | |
| KR102156891B1 (en) | System and method for detecting and blocking web attack through web protocol behavior analysis based on ai machine learning | |
| AU2012260619B2 (en) | Supervised data transfer | |
| US20120272319A1 (en) | Apparatus, and system for determining and cautioning users of Internet connected clients of potentially malicious software and method for operating such | |
| CN109964469A (en) | Method and system for updating a whitelist at a network node | |
| CN104967632B (en) | Webpage abnormal data processing method, data server and system | |
| WO2025162388A1 (en) | Continuous authentication method and apparatus based on hierarchical fingerprints | |
| JP6476143B2 (en) | Anomaly detection device, anomaly detection system, anomaly detection method, and program | |
| CN114257451B (en) | Verification interface replacement methods, devices, storage media and computer equipment | |
| CN114978637A (en) | Message processing method and device | |
| EP3236633A1 (en) | Method and apparatus for processing resource operation request | |
| CN107634969B (en) | Data interaction method and device | |
| CN101494654A (en) | Method and apparatus for determining server accessibility | |
| EP4120659A1 (en) | Network device identification | |
| JP6263452B2 (en) | BAND CONTROL SYSTEM, BAND CONTROL METHOD, AND PROGRAM | |
| JP7646682B2 (en) | System and method for network monitoring, reporting, and risk mitigation - Patents.com | |
| US11611556B2 (en) | Network connection request method and apparatus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20171213 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180829 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180911 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181018 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190129 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190204 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6476143 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |