异常检测方法以及异常检测装置制造方法及图纸

一种异常检测方法以及异常检测装置，所述异常检测方法包括：对由连续的多个检测对象包构成的检测对象包串，算出多个检测对象包间的多个距离，使用所算出的多个距离，提取检测对象包串的特征量，使用所提取出的特征量，算出检测对象包串的异常的程度相关的信息。

【技术实现步骤摘要】
【国外来华专利技术】异常检测方法以及异常检测装置
本专利技术涉及检测包(packet：报文)串的异常的异常检测方法以及异常检测装置。
技术介绍
以往，已知将在网络系统等中利用的数据作为对象进行的信息处理技术(例如参照非专利文献1、非专利文献2)。现有技术文献非专利文献非专利文献1：Ye,N.(2000,June).Amarkovchainmodeloftemporalbehaviorforanomalydetection.InProceedingsofthe2000IEEESystems,Man,andCyberneticsInformationAssuranceandSecurityWorkshop(Vol.166,p.169).WestPoint,NY.非专利文献2：Otey,M.E.,Ghoting,A.,&Parthasarathy,S.(2006).Fastdistributedoutlierdetectioninmixed-attributedatasets.Dataminingandknowledgediscovery,12(2-3),203-228非专利文献3：Cuturi,M.,Vert,J.P.,Birkenes,O.,&Matsui,T.(2007,April).Akernelfortimeseriesbasedonglobalalignments.InAcoustics,SpeechandSignalProcessing,2007.ICASSP2007.IEEEInternationalConferenceon(Vol.2,pp.II-413).IEEE.
技术实现思路
专利技术要解决的问题期望检测在网络系统等中利用的包串的异常。因此，本专利技术的目的在于，提供一种检测包串的异常的异常检测方法、以及异常检测装置。用于解决问题的手段本公开的一技术方案的异常检测方法中，对由连续的多个检测对象包构成的检测对象包串，算出该多个检测对象包间的多个距离，使用所算出的所述多个距离，提取所述检测对象包串的特征量，使用所提取出的所述特征量，算出所述检测对象包串的异常的程度相关的信息。另外，本公开的一技术方案的异常检测装置具备：检测对象包数据间距离算出部，对由连续的多个检测对象包构成的检测对象包串，算出该多个检测对象包间的多个距离；特征量提取部，使用所算出的所述多个距离，提取所述检测对象包串的特征量；以及信息算出部，使用所提取出的所述特征量，算出所述检测对象包串的异常的程度相关的信息。专利技术效果根据本公开的一技术方案的异常检测方法以及异常检测装置，能够检测包串的异常。附图说明图1是表示实施方式1的异常检测装置的构成的框图。图2是表示配置信息的一例的示意图。图3是表示Modbus/TCP协议的包(packet)的数据结构的示意图。图4是表示BACnet/IP协议的包(packet)的数据结构的示意图。图5是表示参照包(referencepacket)数据串的一例的示意图。图6是表示实施方式1的参照包数据间距离算出部将包数据逐字节(byte)选取出的样子的一例的示意图。图7是表示实施方式1的参照包数据间距离算出部算出2个字符串间的莱文斯坦距离的样子的一例的示意图。图8是表示实施方式1的参照包数据间距离算出部算出2个字节串间的莱文斯坦距离的样子的一例的示意图。图9是表示实施方式1的参照包数据间距离算出部算出参照距离的样子的一例的示意图。图10是表示实施方式1的参照特征量提取部提取参照特征量的样子的一例的示意图。图11是表示实施方式1的检测对象包数据间距离算出部算出距离的样子的一例的示意图。图12是表示实施方式1的特征量提取部从检测对象包数据串中提取特征量的样子的一例的示意图。图13是表示实施方式1的信息算出部算出陆地移动距离(EarthMover'sDistance)的样子的一例的示意图。图14是表示实施方式1的信息算出部算出检测对象包串的异常度的样子的一例的示意图。图15是第1参照特征量提取处理的流程图。图16是第1异常检测处理的流程图。图17是表示实施方式2的异常检测装置的构成的框图。图18是表示实施方式2的信息算出部算出动态时间弯曲(Dynamictimewarping)距离的样子的一例的示意图。图19是第2参照特征量提取处理的流程图。图20是第2异常检测处理的流程图。图21是表示实施方式3的异常检测装置的构成的框图。图22是第3参照特征量提取处理的流程图。图23是第3异常检测处理的流程图。具体实施方式(实现本专利技术的一个技术方案的经过)以往，ICS(IndustrialControlSystem：工业控制系统)中的网络(cyber)攻击的事例有增加的倾向。在ICS中，由于控制设备的正常格式的命令串可能成为深刻的攻击对象，所以即使是由恶意攻击者生成的异常的(数据)包(packet)串，如果以单个包来看，也几乎无法与正常的包串进行区别。以往，作为检测包串的异常的方法，已知基于规则(Rule-base)方式和异常(Anomaly)方式。然而，在基于规则方式中，存在难以检测规则所没有记载的包串的异常这一问题，在异常方式中，存在如果没有极端的数据量和/或包数的增加、极端的字节串的紊乱，则难以检测包串的异常这一问题。因此，专利技术人为了解决这些问题，反复进行了锐意研究、实验。而且，专利技术人着眼于包含控制设备的命令的正常包串具有一定的上下文(context)，发现了能够将脱离一定的上下文的包串检测为异常的包串。其结果，专利技术人想到了以下异常检测方法、以及异常检测装置。本公开的一技术方案的异常检测方法，对由连续的多个检测对象包构成的检测对象包串，算出该多个检测对象包间的多个距离，使用所算出的所述多个距离，提取所述检测对象包串的特征量，使用所提取出的所述特征量，算出所述检测对象包串的异常的程度相关的信息。根据上述异常检测方法，能够提取检测对象包串的上下文的特征来作为特征量。而且，使用所提取出的特征量，能够算出检测对象包串的异常的信息。这样，根据上述异常检测方法，能够检测包串的异常。另外，在算出所述多个距离时，也可以利用所述多个检测对象包的有效载荷间的莱文斯坦距离算出所述多个距离。另外，也可以是，就所述多个检测对象包的有效载荷间的莱文斯坦距离而言，对所述检测对象包串中的N(N是1以上的整数)个分离的检测对象包间的每一个而算出，将构成有效载荷的比特串的至少一部分作为对象，以M(M是1以上且16以下的整数)比特为单位而算出，在算出所述多个距离时，通过对所述检测对象包串中的N个分离的检测对象包间的每一个算出距离，算出所述多个距离。另外，也可以是，就所述多个检测对象包的有效载荷间的莱文斯坦距离而言，进本文档来自技高网...

【技术保护点】
1.一种异常检测方法，/n对由连续的多个检测对象包构成的检测对象包串，算出该多个检测对象包间的多个距离，/n使用所算出的所述多个距离，提取所述检测对象包串的特征量，/n使用所提取出的所述特征量，算出所述检测对象包串的异常的程度相关的信息。/n

【技术特征摘要】
【国外来华专利技术】20190422 JP 2019-081275;20181121 US 62/770,3751.一种异常检测方法，
对由连续的多个检测对象包构成的检测对象包串，算出该多个检测对象包间的多个距离，
使用所算出的所述多个距离，提取所述检测对象包串的特征量，
使用所提取出的所述特征量，算出所述检测对象包串的异常的程度相关的信息。


2.根据权利要求1所述的异常检测方法，
在算出所述多个距离时，利用所述多个检测对象包的有效载荷间的莱文斯坦距离算出所述多个距离。


3.根据权利要求2所述的异常检测方法，
就所述多个检测对象包的有效载荷间的莱文斯坦距离而言，对所述检测对象包串中的N个分离的检测对象包间的每一个而算出，将构成有效载荷的比特串的至少一部分作为对象，以M比特为单位而算出，其中，N是1以上的整数，M是1以上且16以下的整数，
在算出所述多个距离时，通过对所述检测对象包串中的N个分离的检测对象包间的每一个算出距离，算出所述多个距离。


4.根据权利要求3所述的异常检测方法，
就所述多个检测对象包的有效载荷间的莱文斯坦距离而言，进而也对所述检测对象包串中的L个分离的检测对象包间的每一个而算出，其中，L是N以外的1以上的整数，
在算出所述多个距离时，通过也对所述检测对象包串中的L个分离的检测对象包间的每一个算出距离，算出所述多个距离。


5.根据权利要求3或4所述的异常检测方法，
在提取所述特征量时，按在所述检测对象包串中由连续的W个检测对象包构成的1个以上的窗口的每一个，算出对属于该窗口的检测对象包间算出的所述多个距离的出现分布，提取所算出的所述出现分布的每一个来作为所述特征量，其中，W是2以上的整数。


6.根据权利要求5所述的异常检测方法，
在算出所述异常的程度相关的信息时，算出所算出的所述出现分布的每一个、与预先存储的多个参照出现分布的每一个之间的陆地移动距离的每一个，利用对所算出的所述陆地移动距离的每一个进行利用的K近邻算法，算出所述异常的程度相关的信息。


7.根据权利要求3或4所述的异常检测方法，
在提取所述特征量时，按在所述检测对象包串中由连续的W个检测对象包构成的1个以上的窗口的每一个，算出由对属于该窗口的检测对象包间算出的所述多个距离构成的距离串，提取所算出的所述距离串的每一个来作为所述特征量，其中W是1以上的整数。


8.根据权利要求7所述的异常检测方法，
在算出所述异常的程度相关的信息时，算出所算出的所述距离串的每一个、与预先存储的多个参照距离串的每一个之间的、由弯曲法确定的距离的每一个，利用所算出的由所述弯曲法确定的距离的每一个，算出所述异常的程度相关的信息。


9.根据权利要求7所述的异常检测方法，
在算出所述异常的程度相关的信息时，通过对所算出的所述距离串的每一个适用预先存储的全局比对内核，算出所述异常的程度相关的信息。


10.根据权利要求1～9中任一项所述的异常检测方法，
在算出所述多个距离时，限定于所述多个检测对象包之中、同一命令类别的检测对象包间，算出所述多个距离。


11.根据权利要求1～10中任一项所述的异常检测方法，
对由连续的多个参照包构成的1个以上的参照包串的每一个，分别算出该多个参照包间的多个参照距离，
使用所算出的所述多个参照距离的每一个，分别提取所述1个以上的参照包串的参照特征量，
在算出所述检测对象包串的异常的程度相关的信息时，进而也使用所提取出的所述参照特征量的每一个，算出所述检测对象包串的异常的程度相关的信息。


12.根据权利要求11所述的异常检测方法，
在分别算出所述多个参照距离时，利用所述多个参照包的有效载荷间的莱文斯坦距离分别算出所述多个参照距离。


13.根据权利要求12所述的异常检测方法，
就所述多个参照包的有效载荷间的莱文斯坦距离而言，对所述1个以上的参照包串的每一个中的N个分离的参照包间的每一个而算出，将构成有效载荷的比特串的至少一部分作为对象，以M比特为单位而算出，其中，N是1以上的整数，M是1以上且16以下的整数，
在分别算出所述多个参照距离时，通过对所述1个以上的参照包串的每一个中的N个分离的参照包间的每一个算出参照距离，分别算出所述多个参照距离。


14.根据权利要求13所述的异常检测方法，
就所述多个参照包的有效载荷间的莱文斯坦距离而言，进而也对所述1个以上的参照包串的每一个中的L个分离的检测对象包间的每一个而算出，其中，L是N以外的1以上的整数，
在算出所述多...

【专利技术属性】
技术研发人员：大庭达海，
申请(专利权)人：松下电器美国知识产权公司，
类型：发明
国别省市：美国;US