特許 6571131 パケット監視装置、パケット監視システム、パケット監視方法、及びパケット監視プログラム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6571131

(24)【登録日】2019年8月16日

(45)【発行日】2019年9月4日

(54)【発明の名称】パケット監視装置、パケット監視システム、パケット監視方法、及びパケット監視プログラム

(51)【国際特許分類】

   H04L 12/70 20130101AFI20190826BHJP

【ＦＩ】

   H04L12/70 100Z

【請求項の数】9

【全頁数】12

(21)【出願番号】特願2017-117047(P2017-117047)

(22)【出願日】2017年6月14日

(65)【公開番号】特開2019-4291(P2019-4291A)

(43)【公開日】2019年1月10日

【審査請求日】2018年3月23日

(73)【特許権者】

【識別番号】313016554

【氏名又は名称】株式会社ｔｏｏｒ

(74)【代理人】

【識別番号】100119677

【弁理士】

【氏名又は名称】岡田 賢治

(74)【代理人】

【識別番号】100115794

【弁理士】

【氏名又は名称】今下 勝博

(72)【発明者】

【氏名】高枝 佳男

(72)【発明者】

【氏名】金田 哲也

【審査官】 鈴木 肇

(56)【参考文献】

【文献】 特開２０１３−１６８７６３（ＪＰ，Ａ）

【文献】 特開２００７−０６０２３３（ＪＰ，Ａ）

【文献】 特開２００７−０２０１１５（ＪＰ，Ａ）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｈ０４Ｌ １２／００−１２／９５５

Ｈ０４Ｌ １３／００−１３／１８

Ｈ０４Ｌ ２９／００−２９／１４

(57)【特許請求の範囲】

【請求項1】

パケットデータを受信する通信部と、
受信したパケットデータのヘッダに含まれるヘッダ情報を抽出し、抽出したヘッダ情報を次元に有するベクトルデータを作成し、判定対象データとして出力するリアルタイム処理用ベクトルデータ作成部と、
正常なパケットデータの分布する正常エリア及び正常でないパケットデータの分布する異常エリアが定められている参照マップを参照し、参照マップに用いられている各ベクトルデータと前記判定対象データとのベクトル間距離を用いて前記判定対象データの前記参照マップ上の位置を求め、前記判定対象データの前記参照マップ上の位置が前記参照マップの定める正常エリア又は異常エリアのいずれかに属するかを判定するパケット判定部と、
を備えるパケット監視装置。

【請求項2】

前記通信部の受信したパケットデータのヘッダに含まれるヘッダ情報を蓄積する記憶部と、
前記記憶部に蓄積されたヘッダ情報から作成されたベクトルデータのベクトル間距離に基づいて、各ベクトルデータが面上にプロットされているマップを作成するマップ作成部と、
前記マップ上における正常なパケットデータの分布範囲を前記正常エリアと定義し、前記マップ上における正常でないパケットデータの分布範囲を前記異常エリアと定義するエリア定義部と、
前記マップにおける前記正常エリア及び前記異常エリアを定める参照マップを作成する参照マップ作成部と、
をさらに備える請求項１に記載のパケット監視装置。

【請求項3】

前記ベクトルデータは、２以上のパケットデータから抽出したヘッダ情報を用いて算出される情報を次元に含む、
請求項１又は２に記載のパケット監視装置。

【請求項4】

前記ベクトルデータは、パケット数又は総パケットサイズを次元に含む、
請求項１から３のいずれかに記載のパケット監視装置。

【請求項5】

請求項１から４のいずれかに記載のパケット監視装置と、
前記パケット監視装置からの警報情報を受信する管理装置と、
を備えるパケット監視システムであって、
前記パケット監視装置は、前記パケット判定部において異常パケットであると判定された場合、前記通信部が警報情報を前記管理装置に送信する、
パケット監視システム。

【請求項6】

前記パケット監視装置は、前記パケット判定部が正常エリア及び異常エリアのいずれにも属さないと判定したパケットデータについて、パケットデータが正常パケット又は異常パケットのいずれであるかを判定する解析部をさらに備え、
前記解析部において異常パケットであると判定された場合、前記通信部は、警報情報を、前記管理装置に送信する、
請求項５に記載のパケット監視システム。

【請求項7】

通信部がパケットデータを受信すると、リアルタイム処理用ベクトルデータ作成部が、前記パケットデータのヘッダに含まれるヘッダ情報を抽出し、抽出したヘッダ情報を次元に有するベクトルデータを作成し、判定対象データとして出力するリアルタイム処理用ベクトルデータ作成手順と、
パケット判定部が、正常なパケットデータの分布する正常エリア及び正常でないパケットデータの分布する異常エリアが定められている参照マップを参照し、参照マップに用いられている各ベクトルデータと前記判定対象データとのベクトル間距離を用いて前記判定対象データの前記参照マップ上の位置を求め、前記判定対象データの前記参照マップ上の位置が前記参照マップの定める正常エリア又は異常エリアのいずれかに属するかを判定するパケット判定手順と、
を実行するパケット監視方法。

【請求項8】

記憶部が、前記通信部の受信したパケットデータのヘッダに含まれるヘッダ情報を蓄積する記憶手順と、
マップ作成部が、前記記憶部に蓄積されたヘッダ情報から作成されたベクトルデータのベクトル間距離に基づいて、各ベクトルデータが面上にプロットされているマップを作成するマップ作成手順と、
エリア定義部が、前記マップ上における正常なパケットデータの分布範囲を前記正常エリアと定義し、前記マップ上における正常でないパケットデータの分布範囲を前記異常エリアと定義するエリア定義手順と、
参照マップ作成部が、前記マップにおける前記正常エリア及び前記異常エリアを定める参照マップを作成する参照マップ作成手順と、
をさらに実行する請求項７に記載のパケット監視方法。

【請求項9】

請求項１から４のいずれかに記載のパケット監視装置に備わる各機能部をコンピュータに実現させるためのプログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本開示は、パケット監視装置、パケット監視システム、パケット監視方法、及びパケット監視プログラムに関する。

【背景技術】

【0002】

不正なネットワーク接続を検出する装置が提案されている（例えば、特許文献１参照。）。特許文献１の装置は、相互に認証を行うことで、不正な装置のネットワーク接続を検出する。特許文献１の装置は、不正な装置のネットワーク接続を検出するため、正規の装置が遠隔操作ウィルスに感染しているか否かを検出することはできない問題があった。

【0003】

また、遠隔操作による異常動作を検知する装置が提案されている（例えば、特許文献２参照。）。特許文献２の装置は、複数桁のビットで構成される制御信号データを収集し、各ビット位置の変化頻度を用いて異常動作を検知する。特許文献２の装置は、監視対象の全ての装置から制御信号データを送信しなければならない問題があった。

【0004】

カメラ、家電製品、自動車、センサー機器等の信号処理機能を持つ装置に通信機能が搭載され、多種多様な装置からのパケットが通信ネットワークに流入するようになっている。このため、正規の装置の登録や各装置からの予め定められた制御信号データの送信を行うことは困難になっている。

【先行技術文献】

【特許文献】

【0005】

【特許文献1】特開２０１５−０３５７２４号公報

【特許文献2】特開２０１３−２４６５３１号公報

【発明の概要】

【発明が解決しようとする課題】

【0006】

そこで、本開示は、任意の装置から送信されたパケットに対し、正常であるか否かの判定を可能にすることを目的とする。

【課題を解決するための手段】

【0007】

本開示に係るパケット監視装置は、
パケットデータを受信する通信部と、
受信したパケットデータのヘッダに含まれるヘッダ情報を抽出し、抽出したヘッダ情報を次元に有するベクトルデータを作成し、判定対象データとして出力するリアルタイム処理用ベクトルデータ作成部と、
正常なパケットデータの分布する正常エリア及び正常でないパケットデータの分布する異常エリアが定められている参照マップを参照し、参照マップに用いられている各ベクトルデータと前記判定対象データとのベクトル間距離を用いて前記判定対象データの前記参照マップ上の位置を求め、前記判定対象データの前記参照マップ上の位置が前記参照マップの定める正常エリア又は異常エリアのいずれかに属するかを判定するパケット判定部と、
を備える。
ここで、正常エリアおよび異常エリアは複数あっても良い。また、いずれの正常エリアあるいは異常エリアに属するかを判定してもよい。

【0008】

本開示に係るパケット監視装置では、
前記通信部の受信したパケットデータのヘッダに含まれるヘッダ情報を蓄積する記憶部と、
前記記憶部に蓄積されたヘッダ情報から作成されたベクトルデータのベクトル間距離に基づいて、各ベクトルデータが面上にプロットされているマップを作成するマップ作成部と、
前記マップ上における正常なパケットデータの分布範囲を前記正常エリアと定義し、前記マップ上における正常でないパケットデータの分布範囲を前記異常エリアと定義するエリア定義部と、
前記マップにおける前記正常エリア及び前記異常エリアを定める参照マップを作成する参照マップ作成部と、
をさらに備えていてもよい。
ここで、正常エリアおよび異常エリアは複数あっても良い。

【0009】

本開示に係るパケット監視システムは、本開示に係るパケット監視装置と、前記パケット監視装置からの警報情報を受信する管理装置と、を備え、
前記パケット監視装置は、前記リアルタイム処理用パケット判定部において異常パケットであると判定された場合、前記通信部が警報情報を前記管理装置に送信する。

【0010】

本開示に係るパケット監視方法は、
通信部がパケットデータを受信すると、リアルタイム処理用ベクトルデータ作成部が、前記パケットデータのヘッダに含まれるヘッダ情報を抽出し、抽出したヘッダ情報を次元に有するベクトルデータを作成し、判定対象データとして出力するリアルタイム処理用ベクトルデータ作成手順と、
パケット判定部が、正常なパケットデータの分布する正常エリア及び正常でないパケットデータの分布する異常エリアが定められている参照マップを参照し、参照マップに用いられている各ベクトルデータと前記判定対象データとのベクトル間距離を用いて前記判定対象データの前記参照マップ上の位置を求め、前記判定対象データの前記参照マップ上の位置が前記参照マップの定める正常エリア又は異常エリアのいずれかに属するかを判定するパケット判定手順と、
を実行する。

【0011】

本開示に係るパケット監視方法では、
記憶部が、前記通信部の受信したパケットデータのヘッダに含まれるヘッダ情報を蓄積する記憶手順と、
マップ作成部が、前記記憶部に蓄積されたヘッダ情報から作成されたベクトルデータのベクトル間距離に基づいて、各ベクトルデータが面上にプロットされているマップを作成するマップ作成手順と、
エリア定義部が、前記マップ上における正常なパケットデータの分布範囲を前記正常エリアと定義し、前記マップ上における正常でないパケットデータの分布範囲を前記異常エリアと定義するエリア定義手順と、
参照マップ作成部が、前記マップにおける前記正常エリア及び前記異常エリアを定める参照マップを作成する参照マップ作成手順と、
をさらに実行してもよい。

【0012】

本開示に係るパケット監視プログラムは、本開示に係るパケット監視装置に備わる各機能部をコンピュータに実現させるか、或いは、本開示に係るパケット監視方法に備わる各手順をコンピュータに実行させるための、プログラムである。本開示に係るパケット監視プログラムは、記録媒体に記録されていてもよいし、通信ネットワークなどの情報伝送媒体を介して流通可能であってもよい。

【発明の効果】

【0013】

本開示によれば、任意の装置から送信されたパケットに対し、正常であるか否かの判定を可能にすることができる。

【図面の簡単な説明】

【0014】

【図1】本開示に係るパケット監視システムの構成の一例である。

【図2】バッチ処理部の構成の一例を示す。

【図3】リアルタイム処理部の構成の一例を示す。

【図4】バッチ処理部にて作成されるマップの一例を示す。

【図5】参照マップの一例を示す。

【図6】新たなパケットのベクトルデータの参照マップ上での位置の決定例である。

【図7】参照マップを使った判定対象データの正常／異常の判定例である。

【発明を実施するための形態】

【0015】

以下、本開示の実施形態について、図面を参照しながら詳細に説明する。なお、本開示は、以下に示す実施形態に限定されるものではない。これらの実施の例は例示に過ぎず、本開示は当業者の知識に基づいて種々の変更、改良を施した形態で実施することができる。なお、本明細書及び図面において符号が同じ構成要素は、相互に同一のものを示すものとする。

【0016】

図１に、本開示に係るパケット監視システムの構成例を示す。本開示に係るパケット監視システムは、本開示に係るパケット監視装置１０、端末群２０、中央サーバ４０、管理装置５０を備える。パケット監視装置１０は、コンピュータにプログラムを実行させることで、パケット監視装置１０に備わる各機能部を実現させたものであってもよい。

【0017】

端末群２０は、通信機能を有する任意の装置群であり、例えば、ＰＣなどの任意のコンピュータのほか、各種サーバ、カメラ、家電製品、自動車、センサー機器等を含む。管理装置５０は、端末群２０におけるセキュリティを管理する装置である。図１では、理解が容易になるよう、端末群２０、管理装置５０及び中央サーバ４０などの通信ネットワーク３０に備わる構成の数や機能を簡略化した例を示すが、通信ネットワーク３０における構成や機能はこれに限定されない。

【0018】

本開示では、各端末群２０から送信されたパケットデータは、パケット監視装置１０を経由し、最終的に中央サーバ４０に送られる。パケット監視装置１０が複数備わる場合、各端末群２０から送信されたパケットデータは、複数のパケット監視装置１０のうちのいずれかを経由する。

【0019】

パケット監視装置１０を経由させる方法は任意である。例えば、端末群２０が中央サーバ４０にパケットデータを送信する場合、送信先のアドレスはパケット監視装置１０に設定され、その後の転送先に中央サーバ４０が設定される。パケット監視装置１０を経由させる方法はこれに限らず、任意の手法を用いることができる。例えばパケット監視装置１０はＧＷ３１などに実装される場合もある。以下、本開示の一形態として、端末群２０が中央サーバ４０にパケットデータを送信する場合について説明する。

【0020】

パケット監視装置１０は、通信部１１、ヘッダ情報読取部１２、記憶部１３、バッチ処理部１４、リアルタイム処理部１５を備える。通信部１１は、端末群２０から送信されたパケットデータを受信し、中央サーバ４０に転送する。また、後段で述べる警報情報を管理装置５０に転送する。

【0021】

ヘッダ情報読取部１２は、通信部１１が受信したパケットデータのヘッダ情報を読み取り、記憶部１３及びリアルタイム処理部１５に転送する。記憶部１３は、通信部１１の受信したパケットデータのヘッダ情報をパケットデータの受信時刻と共に蓄積する。バッチ処理部１４は、記憶部１３に記憶されたヘッダ情報から生成されたベクトルデータの相互の類似性に基づいて、参照マップを作成する。リアルタイム処理部１５は、通信部１１におけるパケットデータの受信時に、バッチ処理部１４の作成した参照マップを用いて、パケットデータが正常であるか否かをリアルタイムで判定する。

【0022】

図２に、バッチ処理部１４の構成の一例を示す。バッチ処理部１４は、ベクトルデータ作成部４１、マップ作成部４２、エリア定義部４３、参照マップ作成部４４を備える。

【0023】

図３に、リアルタイム処理部１５の構成の一例を示す。リアルタイム処理部１５は、ベクトルデータ作成部５１、パケット判定部５２、解析部５３を備える。ベクトルデータ作成部５１はリアルタイム処理用ベクトルデータ作成部として機能する。

【0024】

本開示に係るパケット監視方法は、パケット監視装置１０が、記憶手順と、バッチ処理手順と、リアルタイム処理手順と、を実行する。記憶手順では、パケット監視装置１０が、通信部１１の受信したパケットデータのヘッダ情報をパケットデータの受信時刻と共に蓄積する。バッチ処理手順では、パケット監視装置１０がバッチ処理部１４を機能させる。すなわち、バッチ処理手順では、バッチ処理部１４が、参照マップ作成用ベクトルデータ作成手順と、マップ作成手順と、エリア定義手順と、参照マップ作成手順と、を実行する。リアルタイム処理手順では、パケット監視装置１０がリアルタイム処理部１５を機能させる。すなわち、リアルタイム処理手順では、リアルタイム処理部１５が、リアルタイム処理用ベクトルデータ作成手順と、パケット判定手順と、を実行する。

【0025】

ベクトルデータ作成部４１は、設定されたタイミングに、予め定められたデータ量のヘッダ情報を、記憶部１３から読み出す。そして、ベクトルデータ作成部４１は、読み出したヘッダ情報をベクトルデータに変換する。ベクトルデータへの変換は、パケット単位であってもよいし、複数のパケットデータを組み合わせてもよい。変換後のベクトルデータは、マップ作成部４２に出力される。変換後のベクトルデータは、記憶部１３に記憶されてもよい。

【0026】

ベクトルデータ作成部５１は、通信部１１が受信したパケットのヘッダ情報を、リアルタイムでベクトルデータに変換する。ベクトルデータへの変換は、パケット単位であってもよいし、複数のパケットデータを組み合わせてもよい。変換されたベクトルデータが、異常パケットであるか否かの判定対象となる判定対象データである。

【0027】

ここで、バッチ処理部１４においてベクトルデータ作成部４１がベクトルデータに変換するタイミングは、任意であり、例えばデータ量若しくは時間又はこれらの両方によって定められる。例えば、ベクトルデータ作成部４１は、記憶部１３に一定数ΔＭのパケットデータが新たに記憶されると、新たに記憶された一定数ΔＭのパケットデータのヘッダ情報を記憶部１３から読み出す。また、ベクトルデータ作成部４１は、前回のヘッダ情報の読み出しから一定時間ΔＴを経過すると、当該一定時間ΔＴの間に記憶部１３に記憶されたヘッダ情報を読み出してもよい。

【0028】

ここで、ヘッダ情報は、例えば、時刻、発信元情報、送信先情報、プロトコル、パケットサイズ（正整数）、付随情報（テキスト）が例示できる。発信元情報及び送信先情報は、ＩＰ（Ｉｎｔｅｒｎｅｔ Ｐｒｏｔｏｃｏｌ）アドレス、ＭＡＣ（Ｍｅｄｉａ Ａｃｃｅｓｓ Ｃｏｎｔｒｏｌ）アドレス、ドメイン、ドメインにおけるゾーンの情報を含む。プロトコルとしては、例えば、ＨＴＴＰ（Ｈｙｐｅｒｔｅｘｔ Ｔｒａｎｓｆｅｒ Ｐｒｏｔｏｃｏｌ）、ＴＣＰ（Ｔｒａｎｓｍｉｓｓｉｏｎ Ｃｏｎｔｒｏｌ Ｐｒｏｔｏｃｏｌ）、ＴＬＳ（Ｔｒａｎｓｐｏｒｔ Ｌａｙｅｒ Ｓｅｃｕｒｉｔｙ）、ＤＮＳ（Ｄｏｍａｉｎ Ｎａｍｅ Ｓｙｓｔｅｍ）、ＭＱＴＴ（Ｍｅｓｓａｇｅ Ｑｕｅｕｅ Ｔｅｌｅｍｅｔｒｙ Ｔｒａｎｓｐｏｒｔ）などが例示できる。

【0029】

送信先ＩＰアドレスをベクトルデータに変換する方法としては、例えば、パケット監視装置１０を通過する全体のパケットデータの送信先を次元として、個別のパケットデータの送信先ＩＰアドレスに該当する次元値を１とする方法が考えられる。プロトコルをベクトルデータに変換する方法としては、例えばプロトコルを次元として、個別のパケットデータのプロトコルに該当する次元値を１とする方法が考えられる。

【0030】

ヘッダ情報は、プロトコルを含むことが好ましい。ウィルスによって送信されたパケットデータは、正常なパケットデータとは異なるプロトコルを用いていることがある。そのため、プロトコルをベクトルデータに変換することで、ウィルスによって送信された可能性のあるパケットデータを検出できる確率が向上する。

【0031】

ベクトルデータに変換する情報は、ヘッダ情報を用いて算出される統計情報であってもよい。統計情報は、ヘッダに記載されている情報に依らない単位時間に通過するパケット数又はパケットサイズ、及び、特定の特性を有するパケットデータについてのパケット数又はパケットサイズを含む。単位時間は、任意に設定しても良い。

【0032】

例えば、ＤＤｏＳ（Ｄｉｓｔｒｉｂｕｔｅｄ Ｄｅｎｉａｌ ｏｆ Ｓｅｒｖｉｃｅ ａｔｔａｃｋ）攻撃が発生する場合、同じ送信先に多量のパケットデータが送信される。そのため、送信先ごとの単位時間あたりのパケット数又は総パケットサイズをベクトルデータに変換することで、任意の送信先に対するＤＤｏＳ攻撃の特徴を捕捉できる確率が向上する。この場合、ベクトルデータ作成部４１及び５１は、単位時間あたりのパケット数又は総パケットサイズを送信先ごとに求める。そして、ベクトルデータ作成部４１及び５１は、単位時間あたりのパケット数又は総パケットサイズをベクトルデータに変換する。

【0033】

マップ作成部４２は、ベクトルデータの相互の類似性をベースにマップを作成する。マップの作成は、類似性に応じて、ベクトルデータを面上にプロットすることで行う。ベクトルデータの相互の類似性は、例えば２つのベクトルの内角の大きさで定量化できる。ベクトルデータのマップ上への配置は、図４に示すように平面に配置してもよいが、球面に配置してもよい。

【0034】

マップ作成部４２の用いるベクトルデータは、ベクトルデータ作成部４１で変換されたベクトルデータを用いてもよいし、ベクトルデータ作成部５１によって生成された記憶部１３に記憶されているベクトルデータを用いてもよい。記憶部１３に記憶されているベクトルデータを用いることができれば、ベクトルデータ作成部４１を省略することができる。

【0035】

図４に、ベクトルデータを平面に配置したマップの一例を示す。マップ上には、各パケットデータを示す点が、パケットデータの類似性に応じた間隔で配置されている。例えば、類似しているパケットＰ１１及びパケットＰ１２は近くに配置され、類似性の少ないパケットＰ２１とパケットＰ３１及びＰ３２とは遠くに配置される。マップ化は、より近いデータ同士はより正確な距離になるように配置することが好ましい。

【0036】

正常なパケットデータである正常パケットの場合、ベクトルデータは互いに類似する。このため、正常パケットは互いに近傍に分布する。一方、正常でないパケットデータである異常パケットは正常パケットと類似度が低いため、正常パケット群と離れた位置に分布する。さらに、異常パケット同士でも、互いに類似しているパケット同士は近傍に配置され、異なる種類の異常パケット群は互いに分離する。一般にほとんどのパケットは正常パケットであるため、マップ上で正常パケットの占める領域が大きくなる。正常パケット領域以外の領域は何らかの異常パケットの領域である。

【0037】

そこで、エリア定義部４３は、マップ上における正常なパケットデータの分布範囲を正常エリアと定義し、マップ上における正常でないパケットデータの分布範囲を異常エリアと定義する。参照マップ作成部４４は、マップにおける正常エリア及び異常エリアを定める参照マップを作成する。正常エリアおよび異常エリアは、複数定義してもよい。

【0038】

ここで、異常エリアの定義方法としては、複数の方法が考えられる。ひとつは、エリア毎にパケットデータの内容を分析して、そのエリアの「性質」を定義する方法である。他には、過去に発生した「異常時」のパケットデータに対して参照マップ上の類似データの位置から、その類似データを含むエリアを異常エリアと定義する方法もある。

【0039】

異常パケットのヘッダ情報を識別用データとして記憶部１３に記憶させておくことで、既知の異常パケットに対応する異常エリアを識別することができる。新たな種類の異常パケットが発生した場合は、それらのヘッダ情報を識別用データに追加して蓄積しておくことが有効である。

【0040】

図５に、参照マップの作成例を示す。正常エリアＮＺは正常パケットの分布する範囲を示し、ＡＺ−１及びＡＺ−２は異常パケットの分布する範囲を示す。ここで言う異常エリアは、必ずしも「有害」なパケットを意味するものではない。端末群の特殊機能や動作異常なども含まれる。

【0041】

パケット判定部５２は、参照マップ上の判定対象データの位置を求め、これによって判定対象データが正常パケットか否かを判定する。例えば、パケット判定部５２は、参照マップに用いられているベクトルデータのなかから判定対象データと内容の近いベクトルデータを特定する。この特定は、参照マップに用いられている各ベクトルデータと判定対象データとの演算を用いて求めることができる。

【0042】

さらに、パケット判定部５２は、特定したベクトルデータの位置を用いて判定対象データの位置を求める。参照マップには、正常エリアＮＺと異常エリアＡＺ−１及びＡＺ−２が定められている。ＡＺ−１およびＡＺ−２は、一般には異なる異常状態に対応している。そこで、図７に示すように、判定対象データの位置ＮＤが正常エリアＮＺ内の場合、パケット判定部５２は、判定対象データが正常パケットであると判定する。一方、判定対象データの位置が異常エリアＡＺ−１又はＡＺ−２内であれば、パケット判定部５２は、判定対象データがそれぞれの異常状態に対応した異常パケットであると判定する。これにより、パケット判定部５２は、判定対象データが正常パケットか否かを判定することができる。

【0043】

ここで、判定対象データの位置の導出方法は任意である。例えば、図６に示すようなベクトル空間において、最新ベクトルＳと内容的に近い３つの類似ベクトルＰｘ、Ｐｙ、Ｐｚを選び、これらの座標ｄｘ、ｄｙ、ｄｚを特定する。最新ベクトルとの内容の近さを表す指標をＳｘ、Ｓｙ、Ｓｚとすると、最新ベクトルＳの座標Ｐｓは、次式の関係を用いて求めることができる。
（数１）
｜Ｐｓ−Ｐｘ｜：｜Ｐｓ−Ｐｙ｜：｜Ｐｓ−Ｐｚ｜＝Ｓｘ：Ｓｙ：Ｓｚ （１）
あるいは、対象データに最も類似した参照マップ上のデータの位置としてもよい。

【0044】

過去に発生していない新たな種類の異常パケットが発生すると、該当パケットは、正常エリアＮＺ及び異常エリアＡＺ−１，ＡＺ−２とは異なる空白エリアにプロットされる。その場合、解析部５３が該当パケットのヘッダ情報を用いて、パケットデータが正常パケット又は異常パケットのいずれであるかを判定する。また、いずれの正常エリアあるいは異常エリアに属するかを判定してもよい。

【0045】

該当パケットが異常パケットである場合、解析部５３は該当パケットのヘッダ情報を識別用データとして記憶部１３に記憶する。これにより、これまで空白エリアであった位置を異常エリアとして参照マップに反映させることができる。このような過程を繰り返すことで、多様な異常データを判別できるよう参照マップを改良していくことができる。

【0046】

本実施形態では、異常パケット同士でも、互いに類似しているパケット同士は近傍に配置され、異なる種類の異常パケット群は互いに分離する。このため、判定対象データが参照マップ上のどこに位置するかに基づいて、どのような性質の異常パケットを判定することができる。

【0047】

通信部１１は、パケット判定部５２又は解析部５３において異常パケットであると判定された場合、警報と判定対象パケットのヘッダ情報を、警報情報として管理装置５０に送信する。管理装置５０は、各パケット監視装置１０から送信された警報情報を受信し、異常パケットに関連する端末群２０を特定する。例えば、ヘッダの発信元情報から発信元ＭＡＣアドレスを識別し、識別したＭＡＣアドレスを有する端末群２０を特定する。これにより、端末群２０が正常でない場合、端末群２０の管理者は、端末群２０を正常に戻すことができる。

【0048】

ここで、解析部５３又は管理装置５０は、どのような性質の異常パケットであるかを解析することが好ましい。例えば、異常パケットに関連する端末群２０のログを解析することで、どのような性質の異常パケットであるかを特定することができる。

【0049】

なお、解析部５３はパケット監視装置１０外に備わっていてもよい。例えば、管理装置５０が解析部５３を備えていてもよい。この場合、管理装置５０は、各パケット監視装置１０から送信された警報情報を受信し、ヘッダ情報を解析する。管理装置５０は、受信したヘッダ情報を用いて、どのような性質の異常パケットであるかを解析する。管理装置５０は、その解析結果であるパケットの性質データを、識別用データとして、各パケット監視装置１０に送信する。

【0050】

識別用データを受信した各パケット監視装置１０は、識別用データを用いて参照マップを作成することが好ましい。例えば、ベクトルデータ作成部４１は、通信部１１が識別用データを受信した時間から予め定められた一定時間ΔＴをさかのぼった時間までの間に記憶部１３に記憶されたヘッダ情報を読み出し、ベクトルデータに変換する。これにより、パケット監視装置１０は、識別用データを受信した時点における最新の参照マップを用いることができる。

【0051】

以上説明したように、本開示は、判定対象データが参照マップ上のどこに位置するかに基づいて、正常パケットであるか、あるいはどのような性質の異常パケットであるか、を判定することができる。さらに、本開示は、解析部５３を備えるため、これまで空白エリアであった位置を異常エリアとして参照マップに反映させることができる。このため、本開示は、新たな異常パケットが発生した場合であっても、自動で異常パケットを判別することができる。

【産業上の利用可能性】

【0052】

本開示は情報通信産業に適用することができる。

【符号の説明】

【0053】

１０：パケット監視装置
１１：通信部
１２：ヘッダ情報読取部
１３：記憶部
１４：バッチ処理部
１５：リアルタイム処理部
４１、５１：ベクトルデータ作成部
４２：マップ作成部
４３：エリア定義部
４４：参照マップ作成部
５２：パケット判定部
５３：解析部
２０：端末群
３０：通信ネットワーク
３１：ゲートウェイ（ＧＷ）
４０：中央サーバ
５０：管理装置

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】

【図7】