特許
J-GLOBAL ID:200903046767623904
ネットワーク異常判定装置
発明者:
,
,
出願人/特許権者:
代理人 (2件):
溝井 章司
, 渡辺 敏雄
公報種別:公開公報
出願番号(国際出願番号):特願2006-329574
公開番号(公開出願番号):特開2008-146157
出願日: 2006年12月06日
公開日(公表日): 2008年06月26日
要約:
【課題】不正アクセスを検知する場合に、時系列データの動向を反映した異常の検知を可能とする。【解決手段】ネットワーク異常判定装置100は、ログを取得するデータ取得部101と、ログから時系列データを生成する集計部102と、主成分分析により、前記時系列データから定常状態特徴量を複数抽出し、かつ、定常状態特徴量が複数抽出された時系列データよりも後の時刻の新規データの新規データ特徴量を抽出する分析部103と、定常状態特徴量領域を定義する定常状態定義部107と、定常状態特徴量領域と新規データ特徴量とのマハラノビス距離が閾値を越えるかを判定する異常検知部104と、閾値を越えると判定された場合に、定常状態特徴量領域に対応する時系列データに対して新規データ特徴量に対応する新規データが上昇傾向にあるかどうかを判定して上昇傾向にある場合に異常が発生したと判定する傾向判定部105とを備えた。【選択図】図2
請求項(抜粋):
ネットワークのログを取得するログ取得部と、
前記ログ取得部が取得したログから時系列データを生成する時系列データ生成部と、
特徴量を抽出する主成分分析を用いることにより、前記時系列データ生成部が生成した時系列データから所定期間の定常状態の時系列データに対応する特徴量である定常状態特徴量を複数抽出するとともに定常状態特徴量が複数抽出された所定期間の定常状態の時系列データよりも後の時刻の時系列データである新規データに対応する特徴量である新規データ特徴量を抽出する分析部と、
前記分析部が抽出した複数の定常状態特徴量に基づいて、複数の定常状態特徴量が分布する定常状態特徴量領域を定義する定常状態定義部と、
前記定常状態定義部が定義した定常状態特徴量領域と、新規データ特徴量とのマハラノビス距離が予め設定された閾値を越えるかどうかを判定する距離判定部と、
前記距離判定部が定常状態特徴量領域と新規データ特徴量とのマハラノビス距離が予め設定された閾値を越えると判定した場合に、定常状態特徴量領域に対応する所定期間の定常状態の時系列データに対して新規データ特徴量に対応する新規データが上昇傾向にあるかどうかを判定し、上昇傾向にあると判定した場合に、異常が発生したと判定する傾向判定部と
を備えたことを特徴とするネットワーク異常判定装置。
IPC (3件):
G06F 21/20
, G06F 13/00
, H04L 12/56
G06F15/00 330A
, G06F13/00 351Z
, H04L12/56 400Z
5B089KA17
, 5B089KB13
, 5B089KC47
, 5B089MC03
, 5B285AA01
, 5B285BA01
, 5B285CA32
, 5B285DA05
, 5K030GA15
, 5K030HA08
, 5K030HC01
, 5K030JA10
, 5K030KX30
, 5K030LC13
, 5K030MA04
, 5K030MB09
, 5K030MC08
, 5K030MC09
