特許ウォッチ

公開番号2025029863
公報種別公開特許公報(A)
公開日2025-03-07
出願番号2023134735
出願日2023-08-22
発明の名称分析装置、分析プログラム及び分析方法
出願人沖電気工業株式会社
代理人個人,個人
主分類H04L 41/06 20220101AFI20250228BHJP(電気通信技術)
要約【課題】より効率的にネットワークのトラフィックデータを分析して異常検知する。
【解決手段】本発明は、ネットワーク上で発生したトラフィックデータを分析してネットワークの異常を検知する分析装置に関する。そして、本発明の分析装置は、トラフィックデータを構成する特徴量ごとに含まれる情報量を評価した情報量評価値を算出する情報量評価手段と、情報量評価手段が算出した情報量評価値に基づいて、トラフィックデータに含まれる特徴量に基づいてネットワークの異常を検知する1又は複数の検知エンジンに対して配布する特徴量を選択する選択処理を行い、選択処理の結果選択された特徴量をトラフィックデータから取得して検知エンジンに対して配布する特徴量配布手段とを有することを特徴とする。
【選択図】図1
特許請求の範囲【請求項１】
ネットワーク上で発生したトラフィックデータを分析して前記ネットワークの異常を検知する分析装置において、
前記トラフィックデータを構成する特徴量ごとに含まれる情報量を評価した情報量評価値を算出する情報量評価手段と、
前記情報量評価手段が算出した前記情報量評価値に基づいて、前記トラフィックデータに含まれる特徴量に基づいて前記ネットワークの異常を検知する１又は複数の検知エンジンに対して配布する特徴量を選択する選択処理を行い、前記選択処理の結果選択された前記特徴量を前記トラフィックデータから取得して前記検知エンジンに対して配布する特徴量配布手段と
を有することを特徴とする分析装置。
続きを表示（約 940 文字）【請求項２】
前記特徴量配布手段は、前記選択処理において、前記情報量評価値の高い前記特徴量について優先的に選択することを特徴とする請求項１に記載の分析装置。
【請求項３】
前記特徴量配布手段は、それぞれの前記検知エンジンに配布する前記特徴量の選択方法が記述されたプロファイルデータを保持し、前記プロファイルデータに従って、前記選択処理を行うことを特徴とする請求項２に記載の分析装置。
【請求項４】
１又は複数の前記検知エンジンを備える検知処理手段をさらに有することを特徴とする請求項１に記載の分析装置。
【請求項５】
ネットワーク上で発生したトラフィックデータを分析して前記ネットワークの異常を検知する分析装置に搭載されたコンピュータを、
前記特徴量ごとに含まれる情報量を評価した情報量評価値を算出する情報量評価手段と、
前記情報量評価手段が算出した前記情報量評価値に基づいて、前記トラフィックデータに含まれる特徴量に基づいて前記ネットワークの異常を検知する１又は複数の検知エンジンに対して配布する特徴量を選択する選択処理を行い、前記選択処理の結果選択された前記特徴量を前記トラフィックデータから取得して前記検知エンジンに対して配布する特徴量配布手段と
して機能させることを特徴とする分析プログラム。
【請求項６】
ネットワーク上で発生したトラフィックデータを分析して前記ネットワークの異常を検知する分析装置が行う分析方法において、
前記分析装置は、情報量評価手段及び特徴量配布手段を備え、
前記情報量評価手段は、前記特徴量ごとに含まれる情報量を評価した情報量評価値を算出し、
前記特徴量配布手段は、前記情報量評価手段が算出した前記情報量評価値に基づいて、前記トラフィックデータに含まれる特徴量に基づいて前記ネットワークの異常を検知する１又は複数の検知エンジンに対して配布する特徴量を選択する選択処理を行い、前記選択処理の結果選択された前記特徴量を前記トラフィックデータから取得して前記検知エンジンに対して配布する
ことを特徴とする分析方法。

発明の詳細な説明【技術分野】
【０００１】
この発明は分析装置、分析プログラム及び分析方法に関し、例えば、ネットワークのトラフィックデータを分析してネットワーク上の異常を検知するシステムに適用し得る。
続きを表示（約 1,600 文字）【背景技術】
【０００２】
現在、サイバー攻撃の脅威は増大し、その手口は高度化・巧妙化している。近年は、携帯回線網の普及により、インターネットと直接通信可能な通信機器を踏み台にした組織内ネットワークへの不正侵入や情報漏洩の被害も増えており、企業等の組織においては、各拠点のネットワークにつながる通信機器の実態把握とそれらの管理徹底が課題となっている。
【０００３】
そのため、通信トラフィックを監視することでネットワークの実態を把握し、異常と思われるイベントを観測することが重要になる。しかし、通信トラフィックから時々刻々と発生/変化する（異常と思われる）膨大なイベント情報を網羅的に観測することは、異常イベントを検知するための時間を要する。ここで、イベントとは、例えば攻撃によって発生した単位時間あたりの通信フロー発生数の閾値越えなどの異常な通信パターンであるものとする。
【０００４】
イベント情報を用いて通信トラフィックを分析する従来技術としては、特許文献１に記載されたシステムが存在する。特許文献１に記載されたシステムでは、取得した通信トラフィックの分析結果とあらかじめ取得したイベント情報とを照合し、分析結果に対応するイベント情報が存在した場合には異常として検知する構成となっている。特許文献１で記載されたシステムでは、観測されるイベントと、イベント前段階、イベント後段階の段階情報を複数のイベントに対して記憶する。また、特許文献１に記載されたシステムでは、観測されたイベント情報が記憶している中に存在しない場合、新しいイベントパターンとして記憶する。
【先行技術文献】
【特許文献】
【０００５】
国際公開ＷＯ２０１５／１２８８９６Ａ１
【発明の概要】
【発明が解決しようとする課題】
【０００６】
ところで、特許文献１に記載されたシステムにおいては、以下の２つの課題が存在する。
【０００７】
特許文献１に記載されたシステムにおける第１の課題は、新しい脅威への対応が困難であるという点である。例えば、特許文献１に記載されたシステムでは、未知のネットワークイベントが発生したとき、そのイベントを記憶する必要があるため、記憶していないイベントへの対応は困難となる。
【０００８】
また、特許文献１に記載されたシステムにおける第２の課題は、探索時間の増加である。例えば、特許文献１に記載されたシステムでは、記憶されたイベントの数が増えるほど探索に時間を要する。そして、特許文献１に記載されたシステムにおいて、短時間で異常検知を行うためには、必要な情報を限定する必要がある。
【０００９】
以上のような課題等に鑑みて、より効率的にネットワークのトラフィックデータを分析して異常検知することができる分析装置、分析プログラム及び分析方法が望まれている。
【課題を解決するための手段】
【００１０】
第１の本発明は、ネットワーク上で発生したトラフィックデータを分析して前記ネットワークの異常を検知する分析装置において、前記トラフィックデータを構成する特徴量ごとに含まれる情報量を評価した情報量評価値を算出する情報量評価手段と、前記情報量評価手段が算出した前記情報量評価値に基づいて、前記トラフィックデータに含まれる特徴量に基づいて前記ネットワークの異常を検知する１又は複数の検知エンジンに対して配布する特徴量を選択する選択処理を行い、前記選択処理の結果選択された前記特徴量を前記トラフィックデータから取得して前記検知エンジンに対して配布する特徴量配布手段を有することを特徴とする。
（【００１１】以降は省略されています）

関連特許