Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
関連文献
連 絡 先
どんな研究 めざす未来 どこが凄い
綱川 光明 (Mitsuoka Tsunakawa) NTT セキュアプラットフォーム研究所 セキュリティマネジメント推進プロジェクト
ビッグデータ分析によるネットワーク異常対策
ネットワーク機器やサーバ機器から
のログ情報や、SNSやニュース記事
などの社会情報といった膨大、不統
一、かつ非定型なデータから、機械
学習等の高度分析技術を用いて、従
来検出できなかったネットワーク故
障やセキュリティインシデント(サイ
バー攻撃等)を早期に検出します。
ネットワーク情報を時間共起性や通
信先共起性を用いてグルーピング化
し、故障イベントの可視化や未知の
悪性ホスト検出を行います。また社
会情報から、セキュリティや故障に
関連する情報を抽出し、リアルタイ
ムに分析し、攻撃予兆や故障発生を
早期に検出します。
ネットワーク故障、サイバー攻撃検
出技術により、それぞれNTTグルー
プのネットワークオペレーション、
セキュリティオペレーションを高度
化し、今までより一歩進んだ安心・
安全なネットワーク環境の実現に寄
与します。
Analyzing network failure/cyber attacks and their root causes 4 ~ ネットワーク故障、サイバー攻撃などのNW異常を早期に検出~
[1] K. Sato, K. Ishibashi, H. Hasegawa, and H. Yoshino, “Extending Black Domain Name List by Using Co-occurrence Relation between DNS Queries,” IEICE Trans. Commun., 2012. [2] 針生剛男, 秋山満昭, 青木一史, 八木毅, 岩村誠, 倉上弘, “進化するマルウェア等によるサイバー攻撃の検知・解析・対策技術,” NTT技術
ジャーナル, 2012. [3] 木村達明, 森達哉, 石橋圭介, 塩本公平, “大規模ネットワーク監視情報における重要イベント抽出法,” 信学技報 NS2011-225, 2012.
インターネット上の社会情報
ネットワークオペレーション セキュリティオペレーション
ネットワーク機器・サーバ機器から生成される情報
ネットワーク
スパース制約付き 非負値行列因子分解
• V: ログ生起行列 • W, H: 特徴行列
故障要因候補提示
要因候補(1): 故障発生 XX:XX 要因個所 スイッチA
SVMによる識別モデル
正例側
負例側
故障発生:XX:XX 影響範囲:数万人 影響地域:Y県 影響サービス: ●●●●
故障状況の要約 ポータル/ダッシュボード
お客さま SOC*2オペレータ
SIEM*1基盤
ログストレージ
基本分析 エンジン
Trove (機械ログ高度分
析エンジン)
ログ正規化処理
セキュリティ インテリジェン
ス
ニュース 記事など
Sagacitas (社会ログ 高度分析 エンジン)
ログ収集処理 共起するログメッセージをイベントとして捕捉
故障に関連するツイート検出
セキュリティアプライアンス サーバ/クライアント *1 SIEM: Security Information & Event Management *2 SOC: Security Operation Center
石橋 圭介 (Keisuke Ishibashi) NTT ネットワーク基盤技術研究所 通信トラヒック品質プロジェクト