知財求人 - 知財ポータルサイト「IP Force」
特開2024-115136端末利用形態予測装置、端末利用形態予測方法及び端末利用形態予測プログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024115136
(43)【公開日】2024-08-26
(54)【発明の名称】端末利用形態予測装置、端末利用形態予測方法及び端末利用形態予測プログラム
(51)【国際特許分類】
H04L 41/147 20220101AFI20240819BHJP
H04L 43/0876 20220101ALI20240819BHJP
H04L 43/04 20220101ALI20240819BHJP
【FI】
H04L41/147
H04L43/0876
H04L43/04
【審査請求】未請求
【請求項の数】7
【出願形態】OL
(21)【出願番号】P 2023020642
(22)【出願日】2023-02-14
(71)【出願人】
【識別番号】000000295
【氏名又は名称】沖電気工業株式会社
(74)【代理人】
【識別番号】100180275
【弁理士】
【氏名又は名称】吉田 倫太郎
(74)【代理人】
【識別番号】100161861
【弁理士】
【氏名又は名称】若林 裕介
(72)【発明者】
【氏名】藤田 幸愛
(57)【要約】
【課題】監視対象のネットワーク内の端末の利用形態を、ネットワーク上を流れる通信データの特徴量に基づいて予測することができるようにする。
【解決手段】本発明の端末利用形態予測装置は、ネットワーク上を流れる通信データを取得する通信データ取得手段と、通信データ取得手段からの通信データに基づいて特徴量を作成する特徴量作成手段と、特徴量作成手段による特徴量に基づいて、日時毎に、ネットワーク内に存在する各端末が通信する利用形態を予測する利用形態予測手段とを備えることを特徴とする。
【選択図】 図1
【解決手段】本発明の端末利用形態予測装置は、ネットワーク上を流れる通信データを取得する通信データ取得手段と、通信データ取得手段からの通信データに基づいて特徴量を作成する特徴量作成手段と、特徴量作成手段による特徴量に基づいて、日時毎に、ネットワーク内に存在する各端末が通信する利用形態を予測する利用形態予測手段とを備えることを特徴とする。
【選択図】 図1
【特許請求の範囲】
【請求項1】
ネットワーク上を流れる通信データを取得する通信データ取得手段と、
前記通信データ取得手段からの前記通信データに基づいて特徴量を作成する特徴量作成手段と、
前記特徴量作成手段による前記特徴量に基づいて、日時毎に、ネットワーク内に存在する各端末が通信する利用形態を予測する利用形態予測手段と
を備えることを特徴とする端末利用形態予測装置。
前記通信データ取得手段からの前記通信データに基づいて特徴量を作成する特徴量作成手段と、
前記特徴量作成手段による前記特徴量に基づいて、日時毎に、ネットワーク内に存在する各端末が通信する利用形態を予測する利用形態予測手段と
を備えることを特徴とする端末利用形態予測装置。
【請求項2】
前記特徴量作成手段が、前記通信データに基づき、所定時間毎に、ネットワーク内に存在する前記端末に関連するフロー数を含むフロー数テーブルを作成し、
前記利用形態予測手段が、前記フロー数テーブルを参照して、前記端末毎の利用時間帯における利用形態を予測する利用形態予測テーブルを作成する
ことを特徴とする請求項1に記載の端末利用形態予測装置。
前記利用形態予測手段が、前記フロー数テーブルを参照して、前記端末毎の利用時間帯における利用形態を予測する利用形態予測テーブルを作成する
ことを特徴とする請求項1に記載の端末利用形態予測装置。
【請求項3】
前記利用形態予測手段が、
前記フロー数テーブルを参照して、対象とする前記端末に関連するフローの発生特性から、前記端末の利用形態の予測結果を導き、
事前に定義した端末の利用態様と、利用態様識別情報とを対応付けた利用態様テーブルと、前記端末の利用形態の予測結果とに基づいて、当該端末の利用形態の予測結果に対応する利用態様識別情報を、前記利用形態予測テーブルに保存する
ことを特徴とする請求項2に記載の端末利用形態予測装置。
前記フロー数テーブルを参照して、対象とする前記端末に関連するフローの発生特性から、前記端末の利用形態の予測結果を導き、
事前に定義した端末の利用態様と、利用態様識別情報とを対応付けた利用態様テーブルと、前記端末の利用形態の予測結果とに基づいて、当該端末の利用形態の予測結果に対応する利用態様識別情報を、前記利用形態予測テーブルに保存する
ことを特徴とする請求項2に記載の端末利用形態予測装置。
【請求項4】
前記端末に関連するフローの発生特性が、単位時間当たりのフロー発生数、フローが発生した日数の割合、夜間フロー発生数を含むものとし、
前記利用形態予測手段が、予測対象の日時の前記端末毎に、前記利用形態の予測結果を導く
ことを特徴とする請求項3に記載の端末利用形態予測装置。
前記利用形態予測手段が、予測対象の日時の前記端末毎に、前記利用形態の予測結果を導く
ことを特徴とする請求項3に記載の端末利用形態予測装置。
【請求項5】
前記利用形態予測手段により予測された前記各端末の利用形態と、ネットワーク監視時の前記通信データに基づく前記端末の利用態様とに基づいて、異常を検知する異常検知手段を備えることを特徴とする請求項1に記載の端末利用形態予測装置。
【請求項6】
通信データ取得手段が、ネットワーク上を流れる通信データを取得し、
特徴量作成手段が、前記通信データ取得手段からの前記通信データに基づいて特徴量を作成し、
利用形態予測手段が、前記特徴量作成手段による前記特徴量に基づいて、日時毎に、ネットワーク内に存在する各端末が通信する利用形態を予測する
ことを特徴とする端末利用形態予測方法。
特徴量作成手段が、前記通信データ取得手段からの前記通信データに基づいて特徴量を作成し、
利用形態予測手段が、前記特徴量作成手段による前記特徴量に基づいて、日時毎に、ネットワーク内に存在する各端末が通信する利用形態を予測する
ことを特徴とする端末利用形態予測方法。
【請求項7】
コンピュータを、
ネットワーク上を流れる通信データを取得する通信データ取得手段と、
前記通信データ取得手段からの前記通信データに基づいて特徴量を作成する特徴量作成手段と、
前記特徴量作成手段による前記特徴量に基づいて、日時毎に、ネットワーク内に存在する各端末が通信する利用形態を予測する利用形態予測手段と
して機能させることを特徴とする端末利用形態予測プログラム。
ネットワーク上を流れる通信データを取得する通信データ取得手段と、
前記通信データ取得手段からの前記通信データに基づいて特徴量を作成する特徴量作成手段と、
前記特徴量作成手段による前記特徴量に基づいて、日時毎に、ネットワーク内に存在する各端末が通信する利用形態を予測する利用形態予測手段と
して機能させることを特徴とする端末利用形態予測プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、端末利用形態予測装置、端末利用形態予測方法及び端末利用形態予測プログラムに関し、例えば、企業等の組織内ネットワーク等の通信ネットワークに接続する端末の通常時の利用形態を予測する端末利用形態予測装置に適用し得るものである。
【背景技術】
【0002】
例えば、組織内ネットワーク等において、利用する権限が与えられていないコンピュータに対して不正に接続しようとする不正アクセスが問題となっている。不正アクセスにより、組織内ネットワークへの不正侵入、情報漏洩、データ改ざん等の被害も増えており、企業等の組織においては、各拠点のネットワークにおける通信機器の挙動を把握し、それらの徹底した管理が課題となっている。
【0003】
特許文献1に記載されている技術は、ネットワーク(NW)を効率的に利用するために、トラフィックの空き状況を監視し、あらかじめ送信タイミングと利用帯域をスケジューリングしておくものである。通信制御装置は、情報の収集周期の遅いデータを、トラフィックの空き時間帯に通信するようにしている。つまり、通信制御装置は、トラフィックが平準化するように、空き時間を検索して、送信タイミングを予約する利用時間の許可式を取っている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2017-212494号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1の記載技術は、トラフィックの空き情報の監視方法について具体的に提案しておらず、特に、各端末の利用状態を推定することを目的に監視するものでない。また、特許文献1の記載技術は、端末が稼働する可能性が高い時間帯をあらかじめ算出しておく必要があるが、端末の利用時間帯を予測することは難しい。
【0006】
さらに、従来、監視対象とするネットワーク上に存在する端末の稼働状況を取得するためには専用のソフトウェアなどが導入することが一般的であるが、費用がかさむという課題もある。
【0007】
そのため、本発明は、上述した課題に鑑み、例えば組織内ネットワーク等のような監視対象ネットワークに接続する可能性のある端末の利用形態を、ネットワーク上を流れる通信データの特徴量に基づいて予測することができる端末利用形態予測装置、端末利用形態予測方法及び端末利用形態予測プログラムを提供しようとするものである。
【課題を解決するための手段】
【0008】
かかる課題を解決するために、第1の本発明の端末利用形態予測装置は、ネットワーク上を流れる通信データを取得する通信データ取得手段と、通信データ取得手段からの通信データに基づいて特徴量を作成する特徴量作成手段と、特徴量作成手段による特徴量に基づいて、日時毎に、ネットワーク内に存在する各端末が通信する利用形態を予測する利用形態予測手段とを備えることを特徴とする。
【0009】
第2の本発明の端末利用形態予測方法は、通信データ取得手段が、ネットワーク上を流れる通信データを取得し、特徴量作成手段が、通信データ取得手段からの通信データに基づいて特徴量を作成し、利用形態予測手段が、特徴量作成手段による特徴量に基づいて、日時毎に、ネットワーク内に存在する各端末が通信する利用形態を予測することを特徴とする。
【0010】
第3の本発明の端末利用形態予測プログラムは、コンピュータを、ネットワーク上を流れる通信データを取得する通信データ取得手段と、通信データ取得手段からの通信データに基づいて特徴量を作成する特徴量作成手段と、特徴量作成手段による特徴量に基づいて、日時毎に、ネットワーク内に存在する各端末が通信する利用形態を予測する利用形態予測手段として機能させることを特徴とする。
【発明の効果】
【0011】
本発明によれば、監視端末の稼働状況を取得するための専用のソフトウェアなどを導入することなく、監視対象ネットワーク上を流れる通信データのみからネットワークに接続可能な端末の利用形態を端末毎に予測することができる。
【図面の簡単な説明】
【0012】
【図1】実施形態に係る通信システムの全体構成と、異常検知装置の内部構成とを示す構成図である。
【図2】実施形態に係る利用形態予測テーブルと利用形態テーブルの構成例を示す構成図である。
【図3】実施形態のフロー数テーブルの構成を示す構成図である。
【図4】実施形態のフロー数テーブルの作成処理を示すフローチャートである。
【図5】実施形態の利用形態予測テーブルの作成処理を示すフローチャートである。
【図6】実施形態における利用形態予測処理の一例を示すフローチャートである。
【図7】実施形態に係る利用形態の適用時の処理を示すフローチャートである。
【図8】実施形態に係る異常検知処理を示すフローチャートと、実施形態に係るネットワーク監視時のデータの流れを示す図である。
【発明を実施するための形態】
【0013】
(A)実施形態
以下では、本発明に係る異常検知装置、異常検知方法及び異常検知プログラムの実施形態を、図面を参照しながら詳細に説明する。
以下では、本発明に係る異常検知装置、異常検知方法及び異常検知プログラムの実施形態を、図面を参照しながら詳細に説明する。
【0014】
(A-1)実施形態の構成
図1は、実施形態に係る通信システムの全体構成と、異常検知装置の内部構成とを示す構成図である。
図1は、実施形態に係る通信システムの全体構成と、異常検知装置の内部構成とを示す構成図である。
【0015】
図1において、実施形態に係る通信システム5は、ネットワークNTに接続可能な、端末利用形態予測装置1と、複数の端末3とを備える。
【0016】
端末3は、組織内ネットワークに接続している通信端末である。この実施形態では、企業内ネットワークに接続可能な通信端末であり、例えばパーソナルコンピュータ等を想定して説明する。なお、端末3は、これに限らず、スマートフォン、タブレット端末、ウェラブル端末、プリンタ、カメラ、スピーカー、複合機、サービスロボット、産業用ロボット、無人機等としてもよい。
【0017】
端末利用形態予測装置1は、組織内ネットワークの各端末3と、ネットワークNTとの間に介在しており、組織内ネットワーク上のトラフィックを監視するものである。
【0018】
端末利用形態予測装置1は、通信インタフェース部25、通信データキャプチャ部11、特徴量作成部12、利用形態予測部13、異常検知部14、利用形態適用部15、データベース2を有する。また、データベース2は、特徴量データ21、フロー数テーブル22、利用形態予測テーブル23、利用形態テーブル24を有する。
【0019】
なお、端末利用形態予測装置1は、全ての構成要素をハードウェアとして構成するようにしても良いし、構成要素の一部又は全部をソフトウェア(プログラム)として構成するようにしてもよい。端末利用形態予測装置1は、例えば、プロセッサ及びメモリを有するコンピュータにプログラム(例えば異常検知プログラム等)をインストールして構築するようにしてもよい。
【0020】
通信インタフェース部25は、ネットワークNTと端末3との間を流れるパケットの入出力を行なうものである。
【0021】
通信データキャプチャ部11は、通信インタフェース部25により受信されたパケットを取り込み、受信したパケットに含まれる情報に基づいて通信データを作成して特徴量作成部12に与える。
【0022】
特徴量作成部12は、キャプチャしたパケットに関する通信データを通信データキャプチャ部11から取得し、トラフィックの特徴量としてフロー数を計測してフロー数テーブル22を作成する。特徴量作成部12は、トラフィックの特徴量データ21としてのフロー数テーブル22を、データベース2に保存する。
【0023】
利用形態予測部13は、データベース2に保存されている特徴量データ21内のフロー数テーブル22を参照して、端末3のアドレス情報(例えば、クライアントIPアドレス)毎の利用形態の予測結果を示す利用形態予測テーブル23を作成する。また、利用形態予測部13は、利用形態予測テーブル23をデータベース2に保存する。
【0024】
利用形態適用部15は、データベース2に保存されている利用形態予測テーブル23を参照して、利用形態予測テーブル23に存在していないクライアントIPアドレスに対し、所定のデフォルトの利用形態を適用するものである。
【0025】
異常検知部14は、ネットワークNTを監視して、現在時刻の利用形態予測テーブル23と、異なる時間帯でネットワークデータが発生したクライアントIPアドレスがあるときには異常の疑いを検知する。
【0026】
データベース2は、上述したように、特徴量データ21、利用形態予測テーブル23、利用形態テーブル24を保存する。また、特徴量データ21としてフロー数テーブル22が存在している。
【0027】
図2(A)は、実施形態に係る利用形態予測テーブル23の構成例を示す構成図である。
【0028】
利用形態予測テーブル23は、監視対象とするネットワークにおいて、端末3のクライアントIPアドレス毎に、未来時間の端末3の利用形態を予測してクラス分類したものである。図2(A)において、利用形態予測テーブル23は、「クライアントIPアドレス」、「利用時刻」、「日付属性」、「クラスID」等を項目とする。なお、項目名は、上述したものに限定されない。
【0029】
「クライアントIPアドレス」は、予測対象とする端末3のアドレス情報である。ここでは、アドレス情報の一例としてIPアドレスとしている。「利用時刻」は、端末3(クライアントIPアドレス)の利用形態を予測した時刻情報としている。「日付属性」は、例えば、「平日」、「土日祝」等のように利用形態の曜日属性とする。「クラスID」は、利用形態テーブル24で利用形態の種類を定義した、利用形態毎の識別番号である。
【0030】
図2(B)は、実施形態に係る利用形態テーブル24の構成例を示す構成図である。
【0031】
利用形態テーブル24は、端末3(クライアントIPアドレス)の利用形態のクラス分類を定義したものである。図2(B)において、利用形態テーブル24は、「クラスID」、「曜日属性」、「利用時刻」、「利用形態」等を項目とする。なお、項目名は、上述したものに限定されない。
【0032】
図3は、実施形態に係るフロー数テーブル22の構成例を示す構成図である。
【0033】
フロー数テーブル22は、特徴量データ21に含まれる情報である。特徴量データ21は、通信データに基づいてトラフィックの特徴を区分するためのデータである。フロー数テーブル22は、フロー数に注目してトラフィックを区分したものである。図3において、フロー数テーブル22は、「日付時刻」、「クライアントIPアドレス」、「サーバーIPアドレス」、「フロー数」等を項目とする。
【0034】
フロー数テーブル22は、キャプチャしたパケットの通信データに含まれる情報に基づいて、所定時間(例えば、1分毎など)毎に、トラフィックフロー数を集計したものである。また、所定時間(例えば、1分毎など)内でも、送信元IPアドレスと送信先IPアドレスとの組み合わせが異なる場合には、送信元IPアドレスと送信先IPアドレスとの組み合わせ毎のトラフィックフロー数の合計を所定時間毎に集計する。なお、項目名は、上述したものに限らない。
【0035】
(A-2)実施形態の動作
次に、実施形態に係るネットワークの監視方法及び異常検知方法について図面を参照しながら説明する。
次に、実施形態に係るネットワークの監視方法及び異常検知方法について図面を参照しながら説明する。
【0036】
(A-2-1)フロー数テーブル22の作成
図4は、実施形態のフロー数テーブルの作成処理を示すフローチャートである。
図4は、実施形態のフロー数テーブルの作成処理を示すフローチャートである。
【0037】
図4において、監視対象とするネットワーク上を通過するパケットを通信データキャプチャ部11がキャプチャし(ステップS101)、キャプチャしたパケットに含まれている情報に基づいて、通信データキャプチャ部11が通信データを作成する(ステップS102)。例えば、通信データは、送信元IPアドレス、送信先IPアドレス、通信時刻などを含むものとすることができる。しかし、通信データは、これに限らず、MACアドレス、パケット長、ポートスキャンなどによりOS(Operating System)、ポート番号、プロトコル、ステータスなどを含むようにしてもよい。
【0038】
通信データキャプチャ部11から通信データを取得すると、特徴量作成部12は、所定時間毎にフロー数テーブル22を作成し(ステップS103)、特徴量作成部12は、特徴量データ21内のデータとしてフロー数テーブル22を、データベース2に保存する(ステップS104)。
【0039】
例えば、図3に例示するように、特徴量作成部12は、1分毎に、ネットワーク上を流れたトラフィックフロー数を集計したものをフロー数テーブル22とする。このとき、特徴量作成部12は、同じ通信毎(すなわちクライアントとサーバー間通信毎)のトラフィックフロー数を集計するため、通信データから送信元IPアドレス及び送信先IPアドレスを確認して、クライアント/サーバー間のフロー数を集計する。
【0040】
例えば、図3において、「日付時刻:2023/1/31_11:00」からの1分間に、「クライアントIP:A」と「サーバーIP:B」とのフロー数が「フロー数:10」あり、「クライアントIP:A」と「サーバーIP:C」とのフロー数が「フロー数:9」あり、これらを区別してフロー数テーブル22に記録している。また、次の「日付時刻:2023/1/31_11:01」1分間に、「クライアントIP:A」と「サーバーIP:B」とのフロー数が「フロー数:20」あることを記録している。
【0041】
(A-2-2)利用形態予測テーブル23の作成
図5は、実施形態の利用形態予測テーブルの作成処理を示すフローチャートである。
図5は、実施形態の利用形態予測テーブルの作成処理を示すフローチャートである。
【0042】
図5において、利用形態予測部13は、特徴量データ21内のフロー数テーブル22を、データベース2から取得する(ステップS201)。
【0043】
利用形態予測部13は、特徴量データ21内のフロー数テーブル22から、指定の過去日数分のデータを取得する(ステップS202)。利用形態予測部13は、取得したデータの中から、予測対象の日付と同じ属性の日付のデータを抽出する(ステップS203)。そして、利用形態予測部13は、指定した過去の日数分のデータについて、利用時刻毎に、クライアントIPアドレス毎の利用形態の予測を実施する(ステップS204)。
【0044】
【0045】
【0046】
ここで、日付属性とは日付の特徴である。この実施形態では、監視対象のネットワークで通信している端末3の利用形態を日付属性の観点から捉えるため日付属性を用いることとしている。例えば、企業ネットワークを監視対象とする場合、企業の営業日である「平日」と、休日である「土日祝」とでは端末3の利用形態は異なると考えられるので、ここでは「平日」と「土日祝」を日付属性の一例として挙げている。日付属性は「平日」、「土日祝」に限らず、例えば、「曜日」、「季節」等のような企業等の業務に応じた特徴で分類するようにしてもよい。例えば、企業の場合、決算期末の時期の端末の利用形態を得るなどの目的で日付属性を定義してもよい。
【0047】
例えば、過去の数日分の特徴データをフロー数テーブル22から読み出す。予測対象の日付を「2023/1/31」とすると、日付「2023/1/31」の属性は「平日」なので、指定した過去の日数分のデータのうち、日付属性が「日付属性:平日」となっているデータを抽出する。そして、利用形態予測部13は、クライアントIPアドレス毎の利用形態を予測する。なお、図2(A)に例示する利用形態予測テーブル23では、1時間毎の端末3の利用形態を予測する場合を例示しているが、監視しようとする時間(項目「利用時刻」の時間)は限定されない。
【0048】
利用形態予測部13は、利用形態の予測処理を行う(ステップS205)。そして、利用形態予測部13は、クライアントIPアドレス毎に、予測対象の日時情報の利用形態の予測結果を出力し(ステップS206)、今回の予測結果を、データベース2上の利用形態予測テーブル23に更新する(ステップS207)。
【0049】
例えば、図2(A)において、「クライアントIPアドレス:A」の「利用時刻:2023/1/31_11」、「日付属性:平日」の利用形態を予測したところ、その結果が「業務時間帯に利用される端末」であったとする。この例の場合、利用形態テーブル24を参照すると、利用形態予測結果「業務時間帯に利用される端末」は「クラスID:1」なので、利用形態予測部13は、利用形態予測テーブル23の「クラスID」の欄に「1」を追加する。
【0050】
(A-2-3)利用形態予測処理例
図6は、実施形態における利用形態予測処理の一例を示すフローチャートである。
図6は、実施形態における利用形態予測処理の一例を示すフローチャートである。
【0051】
利用形態予測部13は、フロー数テーブル22を取得し、指定した過去の日数分のデータから、あるクライアントIPアドレスを含むトラフィックフローを抽出する(ステップS301)。
【0052】
利用形態予測部13は、単位時間(例えば1時間)毎に当該クライアントIPアドレスのフロー発生数を求め、単位時間当たりのフロー発生平均値を求める。そして、利用形態予測部13は、単位時間当たりのフロー発生平均値と閾値とを比較し(ステップS302)、フロー発生平均値が閾値以下の場合、ステップS303に処理は移行し(ステップS302/閾値以下)、フロー発生平均値が閾値を超えている場合、ステップS304に処理は移行する(ステップS302/閾値超)。
【0053】
ステップS302で、単位時間当たりのフロー発生平均値が閾値以下の場合、利用形態予測部13は、指定された過去の日数とフローが発生した日数とに基づいて、フローが発生した日数の割合を求めて閾値と比較する(ステップS303)。そして、フローが発生した日数の割合の値が閾値を超えている場合には、ステップS305に処理は移行し(ステップS303/閾値超)、フローが発生した日数の割合の値が閾値以下の場合、ステップS306に処理は移行する(ステップS303/閾値以下)。
【0054】
また、ステップS302で、単位時間当たりのフロー発生平均値が閾値を超えている場合、利用形態予測部13は、業務時間外の時間帯での端末3の利用を捉えるため、例えば18:00~9:00の時間帯を夜間と定義し、その夜間のフロー発生数を求めて閾値と比較する(ステップS304)。そして、夜間のフロー発生数の値が閾値を超えている場合、ステップS307に処理は移行し(ステップS304/閾値超)、夜間のフロー発生数の値が閾値以下の場合、ステップS308に処理は移行する(ステップS304/閾値以下)。
【0055】
上述したフローにより、ステップS305の場合、単位時間当たりのフロー発生数は多くないが、常時フローが発生しているので、「常時機械的な通信をしている端末」と予測できる。
【0056】
また、ステップS306の場合、単位時間当たりのフロー発生数は多くなく、フローの発生日数も少ないので、「ほとんど利用されていない端末」と予測できる。
【0057】
更に、ステップS307の場合、単位時間当たりのフロー発生数は多く、夜間のフロー発生数も多いため、「定常的に操作されているが、利用時間帯の定義が困難な端末」と予測できる。
【0058】
また更に、ステップS308の場合、単位時間当たりのフロー発生数は多く、夜間のフロー発生数は少ないので、「定常的に操作されていて、利用時間帯が日中業務時間内の端末」と予測できる。
【0059】
利用形態予測部13は、上述したフローで端末3の利用形態を予測すると、その利用形態の予測結果を出力する(ステップS309)。
【0060】
なお、複数のクライアントIPアドレスが存在している場合には、全てのクライアントIPアドレスについてステップS301~S309の処理を行なう。
【0061】
(A-2-4)利用形態の適用時の処理
この実施形態では、監視対象のネットワークに接続可能な全ての端末3の利用形態を監視することができるものとする。換言すると、全ての端末3のクライアントIPアドレスを、監視対象として認識しているものとする。他方、利用形態予測テーブル23では、予測対象とする日時等によっては、必ずしも全てのクライアントIPアドレスの利用形態を捉えることができないことが生じ得る。そこで、利用形態適用部15は、利用形態予測テーブル23に存在していないクライアントIPアドレスについてデフォルトの利用形態を適用しようとするものである。
この実施形態では、監視対象のネットワークに接続可能な全ての端末3の利用形態を監視することができるものとする。換言すると、全ての端末3のクライアントIPアドレスを、監視対象として認識しているものとする。他方、利用形態予測テーブル23では、予測対象とする日時等によっては、必ずしも全てのクライアントIPアドレスの利用形態を捉えることができないことが生じ得る。そこで、利用形態適用部15は、利用形態予測テーブル23に存在していないクライアントIPアドレスについてデフォルトの利用形態を適用しようとするものである。
【0062】
図7は、実施形態に係る利用形態の適用時の処理を示すフローチャートである。
【0063】
利用形態適用部15は、データベース2から利用形態予測テーブル23を取得する(ステップS401)。利用形態適用部15は、取得した利用形態予測テーブル23から、現在時刻の次の時刻のデータを参照する(ステップS402)。すなわち、利用形態予測テーブル23に記録されているデータのうち、現在時刻の次の時刻のデータを読み出すようにしている。
【0064】
そして、利用形態適用部15は、事前に認識している監視対象の全てのクライアントIPアドレスについて利用形態の予測ができているかを確認するため、全てのクライアントIPアドレス毎に利用形態を取得する(ステップS403)。
【0065】
利用形態適用部15は、利用形態予測テーブル23に存在しないクライアントIPアドレスがある場合、そのクライアントIPアドレスに対しては、パラメーターで設定したデフォルトの利用形態を関連付ける(ステップS404)。なお、ステップS401に戻り、利用形態予測テーブル23に存在しないクライアントIPアドレスが複数存在しているときには、残りのクライアントIPアドレスに対してもデフォルトの利用形態を関連付ける。
【0066】
利用形態適用部15は、利用形態を異常検知部14に与える(ステップS405)。
【0067】
【0068】
ネットワーク監視の際、データベース2に保存されている利用形態予測テーブル23が異常検知部14に入力される(ステップS501)。
【0069】
異常検知部14へは利用形態予測テーブル23は定期的に最新ものが入力される(図8(B)参照)。すなわち、現在行なうネットワーク監視の利用時刻、日付属性が含まれている利用形態予測テーブル23が、異常検知部14に入力される。これにより、利用形態予測テーブル23に記録されている各クライアントIPアドレスの利用形態と、現在実際に行なうネット監視で得られる各クライアントIPアドレスの利用形態との違いを捉えることができる。
【0070】
そして、通信データキャプチャ部11によるネットワーク監視が行なわれる(ステップS502)。
【0071】
すなわち、監視対象のネットワーク上を流れるパケットは、通信データキャプチャ部11にキャプチャされ、通信データキャプチャ部11により通信データが作成され、所定時間毎に、通信データが異常検知部14に与えられる。
【0072】
図8(B)の例では、例えば1秒間隔で通信データが異常検知部14に通知される場合を例示しているが、これに限らず、通知データがネットワーク監視の運用に合わせて設定することができる。
【0073】
次に、異常検知部14は、取得した通信データと利用形態予測テーブル23とを用いて、利用形態予測テーブル23と異なる時間帯でネットワークデータを発生したクライアントIPアドレスがあるか否かを確認する(ステップS503)。つまり、異常検知部14は、通知データのみに基づいて異常検知ができる。
【0074】
利用形態予測テーブル23と異なる時間帯でネットワークデータを発生したクライアントIPアドレスがある場合(ステップS503/YES)、異常検知部14は「異常」を検知し(ステップS504)、そうでない場合(ステップS503/NO)、異常は検知されず、ステップS502に処理は戻り、引き続きネットワーク監視が行なわれる。
【0075】
(A-3)実施形態の効果
以上のように、この実施形態によれば、ネットワーク上に設置した異常検知装置内の通信データキャプチャ部でネットワーク上を流れる通信データを取得し、特徴量作成部で特徴量に加工し、利用形態予測部で利用形態予測テーブルを作成して、データベースに保存する。これによって、ネットワークから取得した通信データのみから、ネットワーク内に存在する端末について、端末毎の利用形態を定義できる。端末が存在するネットワーク内の通信データのみを利用するため、対象の端末に対して稼働状況を取得するためのソフトウェアなどを導入する必要がない。
以上のように、この実施形態によれば、ネットワーク上に設置した異常検知装置内の通信データキャプチャ部でネットワーク上を流れる通信データを取得し、特徴量作成部で特徴量に加工し、利用形態予測部で利用形態予測テーブルを作成して、データベースに保存する。これによって、ネットワークから取得した通信データのみから、ネットワーク内に存在する端末について、端末毎の利用形態を定義できる。端末が存在するネットワーク内の通信データのみを利用するため、対象の端末に対して稼働状況を取得するためのソフトウェアなどを導入する必要がない。
【0076】
(B)他の実施形態
上述した実施形態においても種々の変形実施形態を言及したが、本発明は以下の変形実施形態にも適用できる。
上述した実施形態においても種々の変形実施形態を言及したが、本発明は以下の変形実施形態にも適用できる。
【0077】
(B-1)上述した実施形態では、通信データから得られる特徴量としてフロー生成量(フロー発生数)を用いたが、通信量など異なる観点を用いてもよい。つまり、ネットワークを流れる通信データの特徴量の一例として、上述した実施形態ではフロー発生数を用いて、端末の利用形態を予測したが、通信データの特徴量の別の一例としてネットワーク上を流れる通信データのデータ通信量を用いて、端末の利用形態を予測してもよい。
【0078】
例えば、利用形態予測部13が、ネットワーク上からキャプチャした通信データに基づいて、利用時刻毎に、クライアントIPアドレス毎の単位時間当たりの平均データ通信量を求めて、当該端末の利用形態を捉えることができる。そうすることで、例えば、平日の業務時間内で、定常的に、所定のデータ通信量の通信を行なっている端末があるとする。そのような端末が、土日祝などの業務時間外に、大きなデータ通信量の通信を行なったときには、異常検知部14が異常検知することができる。
【0079】
(B-2)図2(A)に例示した利用形態予測テーブル23の項目に限らず、別の項目を備えるようにしてもよい。利用形態を予測する判定項目として、フロー発生数/時、フローが発生した日数の割合、夜間フロー発生数を用いたが、異なる観点を利用してもよい。
【0080】
また、図6には、端末の利用形態の予測処理の一例を例示したがこれに限らない。例えば、フロー発生数/時、フローが発生した日数の割合、夜間フロー発生数などの判定項目について、1個の閾値を設ける場合を例示したが、2個以上の閾値を設けて範囲をもつものもよい。
【0081】
(B-3)通信データキャプチャ部11と、特徴量作成部12と、利用形態予測部13と、異常検知部14と、利用形態適用部15を、データベース2、物理的に同一の利用形態予測装置1上に備える場合を例示したが、上述した実施形態で説明した各処理が機能的に実施されるのであれば、サーバーやエッジ端末などに分散して設置してもよい。また、利用形態の判定方式として、ルールベースによる閾値判別を用いたが、機械学習など他の方式を用いてもよい。
【符号の説明】
【0082】
1…端末利用形態予測装置、11…通信データキャプチャ部、12…特徴量作成部、13…利用形態予測部、14…異常検知部、15…利用形態適用部、2…データベース、21…特徴量データ、22…フロー数テーブル、23…利用形態予測テーブル、24…利用形態テーブル、25…通信インタフェース部、3…端末、5…通信システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】