関連文献

連 絡 先

どんな研究 めざす未来 どこが凄い

綱川 光明 (Mitsuoka Tsunakawa) NTT セキュアプラットフォーム研究所 セキュリティマネジメント推進プロジェクト

ビッグデータ分析によるネットワーク異常対策

ネットワーク機器やサーバ機器から

のログ情報や、SNSやニュース記事

などの社会情報といった膨大、不統

一、かつ非定型なデータから、機械

学習等の高度分析技術を用いて、従

来検出できなかったネットワーク故

障やセキュリティインシデント(サイ

バー攻撃等)を早期に検出します。

ネットワーク情報を時間共起性や通

信先共起性を用いてグルーピング化

し、故障イベントの可視化や未知の

悪性ホスト検出を行います。また社

会情報から、セキュリティや故障に

関連する情報を抽出し、リアルタイ

ムに分析し、攻撃予兆や故障発生を

早期に検出します。

ネットワーク故障、サイバー攻撃検

出技術により、それぞれNTTグルー

プのネットワークオペレーション、

セキュリティオペレーションを高度

化し、今までより一歩進んだ安心・

安全なネットワーク環境の実現に寄

与します。

Analyzing network failure/cyber attacks and their root causes 4 ～ ネットワーク故障、サイバー攻撃などのNW異常を早期に検出～

[1] K. Sato, K. Ishibashi, H. Hasegawa, and H. Yoshino, “Extending Black Domain Name List by Using Co-occurrence Relation between DNS Queries,” IEICE Trans. Commun., 2012. [2] 針生剛男, 秋山満昭, 青木一史, 八木毅, 岩村誠, 倉上弘, “進化するマルウェア等によるサイバー攻撃の検知・解析・対策技術,” NTT技術

ジャーナル, 2012. [3] 木村達明, 森達哉, 石橋圭介, 塩本公平, “大規模ネットワーク監視情報における重要イベント抽出法,” 信学技報 NS2011-225, 2012.

インターネット上の社会情報

ネットワークオペレーション セキュリティオペレーション

ネットワーク機器・サーバ機器から生成される情報

ネットワーク

スパース制約付き 非負値行列因子分解

• V: ログ生起行列 • W, H: 特徴行列

故障要因候補提示

要因候補（1）： 故障発生 XX：XX 要因個所 スイッチA

SVMによる識別モデル

正例側

負例側

故障発生：XX:XX 影響範囲：数万人 影響地域：Y県 影響サービス： ●●●●

故障状況の要約 ポータル／ダッシュボード

お客さま SOC*2オペレータ

SIEM*1基盤

ログストレージ

基本分析 エンジン

Trove （機械ログ高度分

析エンジン）

ログ正規化処理

セキュリティ インテリジェン

ス

ニュース 記事など

twitter

Sagacitas （社会ログ 高度分析 エンジン）

ログ収集処理 共起するログメッセージをイベントとして捕捉

故障に関連するツイート検出

セキュリティアプライアンス サーバ／クライアント *1 SIEM: Security Information & Event Management *2 SOC: Security Operation Center

石橋 圭介 (Keisuke Ishibashi) NTT ネットワーク基盤技術研究所 通信トラヒック品質プロジェクト