JP2010177733A - Communication monitoring device, communication monitoring method of communication monitoring device, and communication monitoring program - Google Patents
Communication monitoring device, communication monitoring method of communication monitoring device, and communication monitoring program Download PDFInfo
- Publication number
- JP2010177733A JP2010177733A JP2009015058A JP2009015058A JP2010177733A JP 2010177733 A JP2010177733 A JP 2010177733A JP 2009015058 A JP2009015058 A JP 2009015058A JP 2009015058 A JP2009015058 A JP 2009015058A JP 2010177733 A JP2010177733 A JP 2010177733A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- flow
- information group
- communication information
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、例えば、異常な通信を特定する通信監視装置、通信監視装置の通信監視方法および通信監視プログラムに関するものである。 The present invention relates to, for example, a communication monitoring apparatus that identifies abnormal communication, a communication monitoring method for the communication monitoring apparatus, and a communication monitoring program.
従来の異常検出型のネットワーク監視技術として、平常時のネットワークを流れるトラフィックフローの時系列を学習しておき、観測されたフローが統計的に平常時と大きく異なった場合に不正アクセスとみなす技術が提案されている。例えば、特許文献1では、監視対象のネットワーク上を流れるフローを観測し、送信先アドレスや送信元アドレスを基準にしてフローを分類する。さらに、フローに含まれるパケット数あるいはデータサイズを単位時間ごとに集計した時系列情報を生成し、集計量が平常時と異なる場合を閾値法を用いて検出し、集計量が平常時と異なる場合に不正アクセスが発生したとみなす。
As a conventional anomaly detection type network monitoring technology, there is a technology that learns the time series of traffic flows that flow through a normal network and regards it as unauthorized access when the observed flow is statistically significantly different from normal Proposed. For example, in
従来の手法では、異常かどうかを判定したいフロー種別数をNとしたとき、N個の時系列データを生成し、各々について監視する必要があった。例えば、10000台のクライアントPC(パーソナルコンピュータ)から特定のサーバ装置への通信を監視し、サーバ装置へ異常な通信を行っているクライアントPCを検出する場合を考えると次のようになる。この場合には、サーバ装置に向けたフローを送信元アドレス毎に分類して10000個のグループを作成し、10000個各々のグループについて時系列の変化を常時監視しなければならない。従来の手法には、Nに比例して時間/空間計算量が増大する、という課題があった。 In the conventional method, when the number of flow types to be determined as abnormal is N, it is necessary to generate N time-series data and monitor each. For example, when the communication from 10000 client PCs (personal computers) to a specific server device is monitored and a client PC performing abnormal communication with the server device is detected, the following is considered. In this case, the flow toward the server apparatus must be classified for each transmission source address to create 10,000 groups, and time series changes must be constantly monitored for each of the 10,000 groups. The conventional method has a problem that the amount of time / space calculation increases in proportion to N.
特許文献1では、常時監視するグループ数を減らすためにN種類のフローを幾つか(例えば送信元LAN毎)にまとめ、まとめられたグループ単位で時系列の変化を監視することも可能としている。しかし、あるグループで異常を検出した場合、グループ内のどのフローが異常であるかを特定するために、再度グループ内のフローを個別に分析(学習も含む)する必要がある。グループ単位で監視する場合にも、フローの特定に時間がかかる、という課題があった。
In
本発明は、例えば、ネットワーク監視システムにおいて、異常フローを少ない計算量で特定できるようにすることを目的とする。 An object of the present invention is to make it possible to identify an abnormal flow with a small amount of calculation in a network monitoring system, for example.
本発明の通信監視装置は、複数の通信それぞれの通信IDを複数の部分IDに区切り、部分ID毎に当該部分IDが所定の値を示す各通信の通信情報を通信情報グループとしてCPU(Central Proccessing Unit)を用いて出力する通信情報グループ出力部と、前記通信情報グループ出力部により部分ID毎に出力された各通信情報グループが、当該通信情報グループの特徴が所定の特徴を示す正常な通信情報グループと、当該通信情報グループの特徴が所定の特徴を示さない異常な通信情報グループとのいずれであるか通信情報グループ毎にCPUを用いて判定する通信情報グループ判定部と、前記通信情報グループ判定部により判定された各異常な通信情報グループのいずれにも含まれる通信情報に対応する通信であり、前記通信情報グループ判定部により判定された各正常な通信情報グループのいずれにも含まれない通信情報に対応する通信を、異常な通信としてCPUを用いて特定する異常通信特定部とを備える。 The communication monitoring apparatus according to the present invention divides each communication ID of a plurality of communications into a plurality of partial IDs, and sets the communication information of each communication in which the partial ID has a predetermined value for each partial ID as a communication information group as a CPU (Central Processing). Communication information group output unit output using unit), and each communication information group output for each partial ID by the communication information group output unit is normal communication information in which the characteristics of the communication information group exhibit predetermined characteristics A communication information group determination unit for determining, using the CPU for each communication information group, whether the group is an abnormal communication information group in which the characteristic of the communication information group does not exhibit a predetermined characteristic, and the communication information group determination Communication corresponding to the communication information included in each of the abnormal communication information groups determined by the An abnormal communication specifying unit for specifying communication corresponding to communication information not included in any of the normal communication information groups determined by the communication information group determination unit using the CPU as abnormal communication. Prepare.
本発明によれば、例えば、ネットワーク監視システムにおいて、異常フロー(異常な通信)を少ない計算量で特定できる。これにより、異常フローがより早く検出される。また、性能が低い通信監視装置を用いることができるため、ネットワーク監視システムのコストが低くなる。 According to the present invention, for example, in a network monitoring system, an abnormal flow (abnormal communication) can be specified with a small amount of calculation. Thereby, the abnormal flow is detected earlier. Further, since a communication monitoring device with low performance can be used, the cost of the network monitoring system is reduced.
実施の形態1.
異常フローを含んだフローグループを検出すると共に、フローグループ内のいずれのフローが異常であるかをフローグループに含まれる各フローを個別に調べずに特定する形態について説明する。
A description will be given of a mode of detecting a flow group including an abnormal flow and specifying which flow in the flow group is abnormal without individually checking each flow included in the flow group.
図1は、実施の形態1におけるネットワーク監視システム200の構成図である。
実施の形態1におけるネットワーク監視システム200の構成について、図1に基づいて以下に説明する。
FIG. 1 is a configuration diagram of a network monitoring system 200 according to the first embodiment.
The configuration of the network monitoring system 200 in the first embodiment will be described below with reference to FIG.
ネットワーク監視システム200は、監視対象ネットワーク201、フロー情報収集装置210およびネットワーク監視装置100(通信監視装置の一例)を備える。
ネットワーク監視システム200は、監視対象ネットワーク201のトラフィック(監視対象ネットワーク201を介して送受信されるパケット202)に関するフロー情報を収集し、収集したフロー情報を一定時間間隔で集計して時系列データを生成し、時系列データに異常な変動が含まれるか調べ、時系列データに異常な変動を見つけると異常フローのフロー種別を管理者220に通知する。
The network monitoring system 200 includes a
The network monitoring system 200 collects flow information related to the traffic of the monitored network 201 (packets 202 transmitted and received via the monitored network 201), and aggregates the collected flow information at regular time intervals to generate time-series data. Then, it is checked whether or not the time-series data includes abnormal fluctuations. When the abnormal fluctuation is found in the time-series data, the
「フロー」は、特定単位の通信に対応するものであり、通信、通信されたパケット202、パケット202の流れ、パケット202の通信順序、パケット202の通信経路などを意味する。例えば、特定の通信装置間の通信が一つのフローとなる。この場合、通信装置Aと通信装置Bとの通信は通信装置Aと通信装置Cとの通信とは異なるフローである。 “Flow” corresponds to communication in a specific unit, and means communication, the communication packet 202, the flow of the packet 202, the communication order of the packet 202, the communication path of the packet 202, and the like. For example, communication between specific communication devices is one flow. In this case, the communication between the communication device A and the communication device B is a flow different from the communication between the communication device A and the communication device C.
「フロー情報」は、対応する通信に関係した1つ以上のパケット202の情報を集計したものであり、当該パケット202が送受信されたフローを特定する情報である。例えば、フロー情報には、当該フローが発生した時間(「フロー発生時間」)、送信元アドレス、送信先アドレス、プロトコル、データサイズ、パケット数等が含まれる。フロー情報の形式には、Netflowと呼ばれる業界標準の形式がある。フロー情報の形式は、Netflow形式でも、Netflow以外の形式でも構わない。 The “flow information” is a total of information of one or more packets 202 related to the corresponding communication, and is information for specifying a flow in which the packet 202 is transmitted and received. For example, the flow information includes a time when the flow occurs (“flow occurrence time”), a transmission source address, a transmission destination address, a protocol, a data size, the number of packets, and the like. The flow information format includes an industry standard format called Netflow. The format of the flow information may be a Netflow format or a format other than Netflow.
「異常フロー」とは、通信装置への不正なアクセスや通信装置の故障などが発生したフローのことである。 An “abnormal flow” is a flow in which unauthorized access to a communication device or a failure of the communication device has occurred.
「フロー種別」は、フロー情報に対応するフローを識別する情報(例えば、グループ名)である。例えば、10000台のPCからあるサーバ装置への通信を監視し、異常なフローを発生させたPCを特定したいのであれば、フロー種別の数はPCの台数と同じ「10000」である。 “Flow type” is information (for example, group name) for identifying a flow corresponding to the flow information. For example, if it is desired to monitor communication from 10,000 PCs to a server device and identify a PC that has generated an abnormal flow, the number of flow types is “10000”, which is the same as the number of PCs.
監視対象ネットワーク201は、ネットワーク監視装置100により監視される対象のネットワークである。監視対象ネットワーク201には複数の通信装置(例えば、クライアントPC、サーバ装置)が接続され、各通信装置は監視対象ネットワーク201を介してパケット202を送受信する。
The
フロー情報収集装置210は、監視対象ネットワーク201を介して送受信される各パケット202を観測して監視対象ネットワーク201から各パケット202を収集し、収集した各パケット202からフロー情報を抽出し、抽出したフロー情報のうち監視対象となっているフロー情報をネットワーク監視装置100に転送する。
フロー情報収集装置210として、このような機能を持つ市販のトラフィック監視機器を用いることができる。
The flow
As the flow
ネットワーク監視装置100は、フロー情報収集装置210から転送された各フロー情報に基づいて異常フローを特定し、特定した異常フローを管理者220に通知する。
ネットワーク監視装置100は、フロー情報処理部110(通信情報グループ出力部の一例)、異常検出部120(異常通信情報グループ判定部の一例)、異常フロー特定部130(異常通信特定部の一例)、異常フロー通知部140、フロー管理部180およびフロー情報蓄積部190を備える。
The
The
フロー情報蓄積部190は、フロー情報収集装置210から転送されたフロー情報を受信し、受信したフロー情報をフロー情報蓄積テーブル191に設定して蓄積する記憶装置である。フロー情報蓄積部190は、十分な記憶容量を持ち、異常フローを検出する処理を実施する時間間隔(例えば、10分)(以下、「異常検出時間間隔」という)の間にフロー情報収集装置210から到着する複数のフロー情報を蓄積できるものとする。
The flow
フロー管理部180は、フロー管理テーブル181を記憶する記憶装置である。
フロー管理テーブル181には、フローを識別する情報である「フローID」と、フローを識別する名称である「フロー種別名称」と、フローを識別する条件である「フロー条件」とが、フロー毎に予め設定されている。「フローID」は特定のビット数(例えば、数ビット)で表される。
The
The flow management table 181 includes a “flow ID” that is information for identifying a flow, a “flow type name” that is a name that identifies the flow, and a “flow condition” that is a condition that identifies the flow. Is set in advance. The “flow ID” is represented by a specific number of bits (for example, several bits).
フロー情報処理部110は、フロー情報蓄積部190から各フロー情報を取得し、取得した各フロー情報それぞれに対応するフローIDをフロー管理テーブル181に基づいて特定し、特定したフローIDに基づいて各フロー情報を1または複数の特定の異常検出部120に入力する。
フロー情報処理部110は、フロー情報取得部111、フロー情報対応ID特定部112およびフロー情報入力部113(通信情報グループ出力部の一例)を備える。
The flow
The flow
フロー情報取得部111は、フロー情報蓄積部190に蓄積されている各フロー情報を異常検出時間間隔毎に取得する。
The flow
フロー情報対応ID特定部112は、フロー情報取得部111により取得された各フロー情報それぞれに対応するフローIDをフロー管理テーブル181に基づいてCPUを用いて特定する。
The flow information corresponding
フロー情報入力部113は、フロー情報対応ID特定部112により特定されたフローIDに基づいて各フロー情報を1または複数の特定の異常検出部120に入力する。
具体的に、フロー情報入力部113は、フローIDを複数の部分ID(例えば、ビット)に区切り、部分ID毎に当該部分IDが所定の値を示す各フロー情報をフロー情報グループとして特定の異常検出部120に入力する。
The flow
Specifically, the flow
異常検出部120は、部分ID数だけ存在する。例えば、フローIDが3つの部分IDに区切られる場合、異常検出部120は3個存在する。
複数ある異常検出部120は、フロー情報処理部110により部分ID毎に出力された各フロー情報グループが、当該フロー情報グループの特徴が所定の特徴を示す正常なフロー情報グループと、当該フロー情報グループの特徴が所定の特徴を示さない異常なフロー情報グループとのいずれであるかフロー情報グループ毎にCPUを用いて判定する。
There are as many
The plurality of
異常フロー特定部130は、異常検出部120により判定された各異常なフロー情報グループのいずれにも含まれるフロー情報に対応するフローIDであり、異常検出部120により判定された各正常なフロー情報グループのいずれにも含まれないフロー情報に対応するフローIDを、異常フローのフローIDとしてCPUを用いて特定する。
The abnormal
異常フロー通知部140は、異常フロー特定部130により特定されたフローIDに対応するフローのフロー種別名称をフロー管理テーブル181に基づいて特定し、特定したフロー種別名称を異常フローの識別情報として出力装置(例えば、表示装置、スピーカー)に出力する。
The abnormal
図2は、実施の形態1におけるネットワーク監視装置100のハードウェア資源の一例を示す図である。
図2において、ネットワーク監視装置100は、プログラムを実行するCPU911(Central・Processing・Unit)を備えている。CPU911は、バス912を介してROM913、RAM914、通信ボード915、表示装置901、キーボード902、マウス903、FDD904(Flexible・Disk・Drive)、CDD905(コンパクトディスク装置)、プリンタ装置906、スキャナ装置907、マイク908、スピーカー909、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。
FIG. 2 is a diagram illustrating an example of hardware resources of the
2, the
通信ボード915は、有線または無線により、LAN(ローカルエリアネットワーク)、インターネット、電話回線などの通信網に接続されている。
The
磁気ディスク装置920には、OS921(オペレーティングシステム)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、OS921、ウィンドウシステム922により実行される。
The
プログラム群923には、実施の形態において「〜部」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
The
ファイル群924には、実施の形態において、「〜部」の機能を実行した際の「〜の判定結果」、「〜の計算結果」、「〜の処理結果」などの結果データ、「〜部」の機能を実行するプログラム間で受け渡しするデータ、その他の情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。フロー管理テーブル181およびフロー情報蓄積テーブル191はファイル群924に含まれるものの一例である。
「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。これらのCPU911の動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
また、実施の形態において説明するフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disc)等の記録媒体に記録される。また、データや信号値は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
In the
The “˜file” and “˜database” are stored in a recording medium such as a disk or a memory. Information, data, signal values, variable values, and parameters stored in a storage medium such as a disk or memory are read out to the main memory or cache memory by the
In addition, arrows in the flowcharts described in the embodiments mainly indicate input / output of data and signals. The data and signal values are the
また、実施の形態において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、「〜部」としてネットワーク監視装置100(コンピュータの一例)を機能させるものである。あるいは、「〜部」の手順や方法をネットワーク監視装置100に実行させるものである。
In addition, what is described as “˜unit” in the embodiment may be “˜circuit”, “˜device”, “˜device”, and “˜step”, “˜procedure”, “˜”. Processing ". That is, what is described as “˜unit” may be realized by firmware stored in the
図3は、実施の形態1におけるネットワーク監視装置100の異常フロー発生ホストの特定方法を示すフローチャートである。
実施の形態1におけるネットワーク監視装置100の異常フロー発生ホストの特定方法(通信監視方法の一例)について、図3に基づいて以下に説明する。
ネットワーク監視装置100の各「〜部」は、以下に説明する処理をCPUを用いて実行する。
以下に説明する処理は、所定の異常検出時間間隔おきに実行される。
FIG. 3 is a flowchart illustrating a method for identifying an abnormal flow occurrence host of the
A method for identifying an abnormal flow occurrence host (an example of a communication monitoring method) of the
Each “˜unit” of the
The process described below is executed at predetermined abnormality detection time intervals.
<S110(通信情報グループ出力処理の一例)>
フロー情報処理部110は、前回の処理(S110〜S140)以降に収集された各フロー情報をフロー情報蓄積部190から取得し、取得した各フロー情報に対応するフローIDをフロー管理部180に基づいて特定し、特定したフローIDに基づいて各フロー情報を1または複数の特定の異常検出部120に入力する。
以下に、S110の詳細について説明する。
<S110 (an example of communication information group output processing)>
The flow
Details of S110 will be described below.
図4は、実施の形態1におけるフロー情報蓄積テーブル191を示す図である。
フロー情報収集装置210により収集された各フロー情報は、図4に示すようにフロー情報蓄積テーブル191に設定される。フロー情報蓄積テーブル191の1レコード(1行)が1つのフロー情報である。
フロー情報には「フロー発生時刻」「送信元IPアドレス」「送信元ポート番号」「宛先IPアドレス」「宛先ポート番号」「プロトコル」「データサイズ」が含まれる。
フロー情報蓄積テーブル191はフロー情報蓄積部190に記憶されている。
FIG. 4 is a diagram showing the flow information accumulation table 191 in the first embodiment.
Each flow information collected by the flow
The flow information includes “flow occurrence time”, “source IP address”, “source port number”, “destination IP address”, “destination port number”, “protocol”, and “data size”.
The flow information accumulation table 191 is stored in the flow
図5は、実施の形態1におけるフロー管理テーブル181を示す図である。
図5に示すように、フロー管理テーブル181にはフロー毎に「フローID」「フロー種別名称」「フロー条件」が設定されている。フロー管理テーブル181の1レコードが1つのフローに関する情報を示す。
フローIDは、通番の符号なし整数値「1、2、・・・、N(N:フロー数)」で表される。フローIDのデータサイズは、「log2(N+1)ビット」(小数点以下切り上げ)である。つまり、フローIDのデータサイズは、2を底とした(N+1)の対数を下回らない最小の整数値を「m」とした場合、「mビット」である。例えば、フロー数Nが「5」の場合、フローIDのデータサイズは、「3ビット」である。
フロー種別名称は、どのようなフローであるかを人間(管理者220)が理解し易い文字列であることが望ましい。
フロー条件の「送信元ポート」に設定されている「*」は、送信元ポートは何番でも構わないことを意味している。
フロー管理テーブル181は予め生成され、フロー管理部180に予め記憶される。
FIG. 5 is a diagram showing the flow management table 181 in the first embodiment.
As shown in FIG. 5, “flow ID”, “flow type name”, and “flow condition” are set for each flow in the flow management table 181. One record of the flow management table 181 indicates information related to one flow.
The flow ID is represented by an unsigned integer value “1, 2,..., N (N: number of flows)”. The data size of the flow ID is “log 2 (N + 1) bits” (rounded up after the decimal point). That is, the data size of the flow ID is “m bits” where “m” is the minimum integer value that is not less than the logarithm of (N + 1) with 2 as the base. For example, when the number of flows N is “5”, the data size of the flow ID is “3 bits”.
The flow type name is preferably a character string that is easy for a human (administrator 220) to understand what kind of flow it is.
“*” Set in the “transmission source port” of the flow condition means that the transmission source port can be any number.
The flow management table 181 is generated in advance and stored in the
図6は、実施の形態1におけるフロー情報入力処理(S110)を示すフローチャートである。
実施の形態1におけるフロー情報入力処理(S110)について、図6に基づいて以下に説明する。
フロー情報入力処理(S110)では、図6に示すようにS111〜S118が実行される。
FIG. 6 is a flowchart showing the flow information input process (S110) in the first embodiment.
The flow information input process (S110) in the first embodiment will be described below based on FIG.
In the flow information input process (S110), S111 to S118 are executed as shown in FIG.
<S111>
フロー情報取得部111は、前回の処理以降に収集された各フロー情報をフロー情報蓄積部190から取得する。
以下、S111において取得されたフロー情報の数を「n」とし、各フロー情報を「Fx(x:1、2、・・・、n)」と記す。
S111の後、処理はS112に進む。
<S111>
The flow
Hereinafter, the number of pieces of flow information acquired in S111 is referred to as “n”, and each piece of flow information is referred to as “F x (x: 1, 2,..., N)”.
After S111, the process proceeds to S112.
<S112>
フロー情報対応ID特定部112は、第1のループ条件「k=1,n,1」に基づいて、第1のループ処理(S112〜S118)を実行するか、または第1のループ処理を終了するか判定する。
第1のループ条件「k=1,n,1」は、変数「k」の初期値が「1」、ループ終了値が「n」、kの増分値が「1」であることを示している。
以降、第1のループ処理(S112〜S118)が第1のループ条件に基づいてn回繰り返される。
第1のループ処理を実行する場合(k≦n)、処理はS113に進む。
第1のループ処理を終了する場合(k>n[k=n+1])、フロー情報入力処理(S110)は終了する。
<S112>
The flow information corresponding
The first loop condition “k = 1, n, 1” indicates that the initial value of the variable “k” is “1”, the loop end value is “n”, and the increment value of k is “1”. Yes.
Thereafter, the first loop process (S112 to S118) is repeated n times based on the first loop condition.
When the first loop process is executed (k ≦ n), the process proceeds to S113.
When the first loop process ends (k> n [k = n + 1]), the flow information input process (S110) ends.
<S113>
フロー情報対応ID特定部112は、フロー情報Fkに対応するフローIDkをフロー管理テーブル181に基づいて特定する。
例えば、フロー情報Fkが図4に示すフロー情報蓄積テーブル191の1行目のレコード(フロー発生時刻:2008/1/1 10:28:30)であり、フロー管理テーブル181に図5に示すレコードが設定されている場合、フロー情報対応ID特定部112は、フロー管理テーブル181の1行目のレコードに設定されているフローID「1」をフロー情報Fkに対応するフローIDkとして特定する。フロー情報蓄積テーブル191の1行目のレコード(フロー情報Fk)が、フロー管理テーブル181の1行目のレコードのフロー条件に合致しているためである。
S113の後、処理はS114に進む。
<S113>
The flow information corresponding
For example, the flow information F k is a record on the first line of the flow information accumulation table 191 shown in FIG. 4 (flow generation time: 2008/1/1 10:28:30), and the flow management table 181 shows the flow information F k as shown in FIG. When the record is set, the flow information corresponding
After S113, the process proceeds to S114.
<S114>
フロー情報入力部113は、第2のループ条件「i=1,m,1」に基づいて、第2のループ処理(S114〜S117)を実行するか、または第2のループ処理を終了するか判定する。
第2のループ条件「i=1,m,1」は、変数「i」の初期値が「1」、ループ終了値が「m」、iの増分値が「1」であることを示している。
ここで、「m」は、フローIDのビット数を意味する。
以降、第2のループ処理(S114〜S117)が第2のループ条件に基づいてm回繰り返される。
第2のループ処理を実行する場合(i≦m)、処理はS115に進む。
第2のループ処理を終了する場合(i>m[i=m+1])、処理はS118に進む。
<S114>
Whether the flow
The second loop condition “i = 1, m, 1” indicates that the initial value of the variable “i” is “1”, the loop end value is “m”, and the increment value of i is “1”. Yes.
Here, “m” means the number of bits of the flow ID.
Thereafter, the second loop process (S114 to S117) is repeated m times based on the second loop condition.
When the second loop process is executed (i ≦ m), the process proceeds to S115.
When the second loop process is terminated (i> m [i = m + 1]), the process proceeds to S118.
<S115>
フロー情報入力部113は、S113において特定されたフローIDkのi番目のビットが「1」であるか判定する。
例えば、フローIDkが「1」、変数iが「1」、mが「3」である場合、フローIDkを2進数で表したビット列は「001」であり、LSB(Least Significant Bit:最下位ビット、一番右のビット)から数えてi(1)番目のビットが「1」であるため、判定結果は「YES」となる。
フローIDkのi番目のビットが「1」である場合(YES)、処理はS116に進む。
フローIDkのi番目のビットが「1」でなく「0」である場合(NO)、処理はS117に進む。
<S115>
The flow
For example, when the flow ID k is “1”, the variable i is “1”, and m is “3”, the bit string representing the flow ID k in binary number is “001”, and the LSB (Least Significant Bit: highest). Since the i (1) -th bit counted from the least significant bit (the rightmost bit) is “1”, the determination result is “YES”.
If the i-th bit of the flow ID k is “1” (YES), the process proceeds to S116.
When the i-th bit of the flow ID k is not “1” but “0” (NO), the process proceeds to S117.
<S116>
S115においてフローIDkのi番目のビットが「1」の場合(YES)、フロー情報入力部113は、フロー情報Fkをi番目の異常検出部120に入力する。
S116の後、処理はS117に進む。
<S116>
When the i-th bit of the flow ID k is “1” in S115 (YES), the flow
After S116, the process proceeds to S117.
<S117>
処理は、S114に戻る。
S114において、フロー情報入力部113は、変数iに増分値「1」を加算し、「1」加算した変数iとループ終了値mとを大小比較する。「i≦m」の場合に処理はS115に進み、「i>m[i=m+1]」の場合に処理はS118に進む。
<S117>
The process returns to S114.
In step S114, the flow
<S118>
処理は、S112に戻る。
S112において、フロー情報対応ID特定部112は、変数kに増分値「1」を加算し、「1」加算した変数kとループ終了値nとを大小比較する。「k≦n」の場合に処理はS113に進み、「k>n[k=n+1]」の場合にフロー情報入力処理(S110)は終了する。
<S118>
The process returns to S112.
In S112, the flow information correspondence
上記のフロー情報入力処理(S110)により、各フロー情報は1または複数の異常検出部120に入力される。
例えば、フローIDが「1」であるフロー情報は、フローID「1」のビット列「001」に従って、1番目の異常検出部120に入力される。
また、フローIDが「2」であるフロー情報は、フローID「2」のビット列「010」に従って、2番目の異常検出部120に入力される。
また、フローIDが「3」であるフロー情報は、フローID「3」のビット列「011」に従って、1番目の異常検出部120と2番目の異常検出部120とに入力される。
また、フローIDが「7」であるフロー情報は、フローID「7」のビット列「111」に従って、1番目の異常検出部120と2番目の異常検出部120と3番目の異常検出部120とに入力される。
Through the above flow information input processing (S110), each flow information is input to one or a plurality of
For example, the flow information with the flow ID “1” is input to the first
Further, the flow information with the flow ID “2” is input to the second
The flow information with the flow ID “3” is input to the first
In addition, the flow information with the flow ID “7” includes the first
図7は、実施の形態1におけるフロー情報入力処理(S110)の動作原理を示す図である。
図7は、フロー情報処理部110がフロー情報蓄積部190から一つのフロー情報を入力し(S111)、入力したフロー情報に対応するフローID「6」をフロー管理テーブル181に基づいて特定し(S113)、取得したフローID「6」を表すビット列「110」に基づいてフロー情報を第2の異常検出部120と第3の異常検出部120とに入力することを示している(S116)。
FIG. 7 is a diagram showing the operation principle of the flow information input process (S110) in the first embodiment.
In FIG. 7, the flow
図3に戻り、異常フロー発生ホストの特定方法の説明を続ける。
S110の後、処理はS120に進む。
Returning to FIG. 3, the description of the method for identifying the abnormal flow occurrence host will be continued.
After S110, the process proceeds to S120.
<S120(通信情報グループ判定処理の一例)>
各異常検出部120は、S110において入力された各フロー情報(通信情報グループの一例)に異常フローのフロー情報が含まれているか、または異常フローのフロー情報が含まれていないかを判定する。
各異常検出部120は、判定結果を異常フロー特定部130に入力する。
以下、異常フローのフロー情報が含まれているという判定結果を「異常」とし、異常フローのフロー情報が含まれていないという判定結果を「正常」とする。
<S120 (an example of communication information group determination processing)>
Each
Each
Hereinafter, the determination result that the flow information of the abnormal flow is included is “abnormal”, and the determination result that the flow information of the abnormal flow is not included is “normal”.
例えば、各異常検出部120は、入力された各フロー情報に基づいて、フロー情報の個数やフロー情報の項目の一つであるデータサイズの合計値、平均値または分散値を対象の時系列データとして算出する。
各異常検出部120は、対象の時系列データと、平常時の各フロー情報に基づいて予め算出される平常時の時系列データとを比較し、対象の時系列データが平常時の時系列データから乖離しているかどうかを判定する。
各異常検出部120は、対象の時系列データが平常時の時系列データから大きく隔離していた場合、「異常」と判定し、対象の時系列データが平常時の時系列データから大きく隔離していない場合、「正常」と判定する。
各異常検出部120は、判定結果を異常フロー特定部130に出力する。
For example, each
Each
When the target time-series data is largely separated from the normal time-series data, each
Each
対象の時系列データが平常時の時系列データから乖離しているか判定する方法として特許文献1および特許文献2が挙げられる。
特許文献1には、閾値法を用いる方法が開示されている。
特許文献2には、最近一定期間分の時系列データ(平常時の時系列データ)と新たに生成された時系列データ(対象の時系列データ)とを組み合わせて主成分分析を行い、新たに生成された時系列データの主成分得点に基づいて異常か否かを判定する方法が開示されている。
対象の時系列データが平常時の時系列データから乖離しているか判定する方法は、その他の方法であっても構わない。
In
The method for determining whether the target time-series data deviates from the normal time-series data may be other methods.
i番目の異常検出部120が判定結果「異常」を出力した場合、フローIDのi番目のビットが「1」であるフローのうち少なくともいずれかのフローが異常フローであることを意味する。
また、i番目の異常検出部120が判定結果「0(正常)」を出力した場合、フローIDのi番目のビットが「1」である全てのフローが「異常フロー」の候補から外れることを意味する。
When the i-th
In addition, when the i-th
例えば、フローIDのビット数mが「3」、1番目の異常検出部120の判定結果が「異常」、2番目の異常検出部120の判定結果が「異常」、3番目の異常検出部120の判定結果が「正常」である場合、1番目のビットが「1」、2番目のビットが「1」、3番目のビットが「0」であるフローID「3」(ビット列「011」)が、異常フローのフローIDである。
For example, the bit number m of the flow ID is “3”, the determination result of the first
S120の後、処理はS130に進む。 After S120, the process proceeds to S130.
<S130(異常通信特定処理の一例)>
異常フロー特定部130は、S120において入力された判定結果に基づいて異常フローのフローIDを特定し、特定した異常フローのフローIDを異常フロー通知部140に入力する。
このとき、異常フロー特定部130は、各異常検出部120の判定結果を1ビット(正常「0」、異常「1」)で表して順番に並べたビット列を異常フローのフローIDとする。
以下に、S130の詳細について説明する。
<S130 (an example of abnormal communication identification process)>
The abnormal
At this time, the abnormal
Details of S130 will be described below.
図8は、実施の形態1における異常フロー特定処理(S130)を示すフローチャートである。
実施の形態1における異常フロー特定処理(S130)について、図8に基づいて以下に説明する。
FIG. 8 is a flowchart showing the abnormal flow identification process (S130) in the first embodiment.
The abnormal flow identification process (S130) in the first embodiment will be described below with reference to FIG.
<S131>
異常フロー特定部130は、変数detectIDに「0(全ビット「0」)」を設定して変数detectIDを初期化する。変数detectIDは異常フローのフローIDの設定に用いる符号なしの整数値用の変数であり、ビット数がフローIDと同じである。
S131の後、処理はS132に進む。
<S131>
The abnormal
After S131, the process proceeds to S132.
<S132>
異常フロー特定部130は、ループ条件「i=1,m,1」に基づいて、ループ処理(S132〜S136)を実行するか、またはループ処理を終了するか判定する。
ループ条件「i=1,m,1」は、変数「i」の初期値が「1」、ループ終了値が「m」、iの増分値が「1」であることを示している。
ここで、「m」は、フローIDおよび変数detectIDのビット数を意味する。
以降、ループ処理(S132〜S136)がループ条件に基づいてm回繰り返される。
ループ処理を実行する場合(i≦m)、処理はS133に進む。
ループ処理を終了する場合(i>m[i=m+1])、処理はS137に進む。
<S132>
The abnormal
The loop condition “i = 1, m, 1” indicates that the initial value of the variable “i” is “1”, the loop end value is “m”, and the increment value of i is “1”.
Here, “m” means the number of bits of the flow ID and the variable detectID.
Thereafter, the loop process (S132 to S136) is repeated m times based on the loop condition.
When the loop process is executed (i ≦ m), the process proceeds to S133.
When the loop process is to be ended (i> m [i = m + 1]), the process proceeds to S137.
<S133>
異常フロー特定部130は、i番目の異常検出部120の判定結果を変数rに設定する。
S133の後、処理はS134に進む。
<S133>
The abnormal
After S133, the process proceeds to S134.
<S134>
異常フロー特定部130は、変数rが「異常」を示すか判定する。
変数rが「異常」を示す場合(YES)、処理はS135に進み、変数rが「正常」を示す場合(NO)、処理はS136に進む。
<S134>
The abnormal
When the variable r indicates “abnormal” (YES), the process proceeds to S135, and when the variable r indicates “normal” (NO), the process proceeds to S136.
<S135>
異常フロー特定部130は、変数detectIDのLSBから数えてiビット目に「1」を設定する。
S135の後、処理はS136に進む。
<S135>
The abnormal
After S135, the process proceeds to S136.
<S136>
処理は、S132に戻る。
S132において、異常フロー特定部130は、変数iに増分値「1」を加算し、「1」加算した変数iとループ終了値mとを大小比較する。「i≦m」の場合に処理はS133に進み、「i>m[i=m+1]」の場合に処理はS137に進む。
<S136>
The process returns to S132.
In S132, the abnormal
ループ処理(S132〜S136)の終了時、変数detectIDは特定のフローIDを示している。
例えば、「m=3」、1番目の異常検出部120の判定結果「異常」、2番目の異常検出部120の判定結果「異常」、3番目の異常検出部120の判定結果「正常」の場合、変数detectIDのビット列は「011」となり、変数detectIDはフローID「3」を示す。
At the end of the loop processing (S132 to S136), the variable detectID indicates a specific flow ID.
For example, “m = 3”, the determination result “abnormal” of the first
<S137>
ループ処理(S132〜S136)の後、異常フロー特定部130は、変数detectIDが「0」以外か、つまり、変数detectIDの少なくともいずれかのビットが「1」であるか判定する。
変数detectIDが「0」以外、つまり、変数detectIDの少なくともいずれかのビットが「1」の場合(YES)、処理はS138に進む。
変数detectIDが「0」、つまり、変数detectIDの全ビットが「0」の場合(NO)、異常フロー特定処理(S130)は終了する。
<S137>
After the loop processing (S132 to S136), the abnormal
If the variable detectID is other than “0”, that is, if at least one bit of the variable detectID is “1” (YES), the process proceeds to S138.
When the variable detectID is “0”, that is, when all the bits of the variable detectID are “0” (NO), the abnormal flow specifying process (S130) ends.
<S138>
異常フロー特定部130は、変数detectIDに設定されているフローIDを異常フローのフローIDとして異常フロー通知部140に出力する。
S138の後、異常フロー特定処理(S130)は終了する。
<S138>
The abnormal
After S138, the abnormal flow identification process (S130) ends.
上記の異常フロー特定処理(S130)は以下のように実行されてもよい。
各異常検出部120は、「正常」と判定した場合にビット「0」を判定結果として出力し、「異常」と判定した場合にビット「1」を判定結果として出力する。
異常フロー特定部130は、各異常検出部120の判定結果を異常検出部120の順番に並べてビット列を生成し、生成したビット列を異常フローのフローIDを表すビット列として異常フロー通知部140に出力する。
例えば、フローIDのビット数mが「3」、1番目の異常検出部120の出力が「1」、2番目の異常検出部120の出力が「1」、3番目の異常検出部120の出力が「0」である場合、異常フロー特定部130は、異常フローのフローIDを表すビット列として「011」を異常フロー通知部140に出力する。
The abnormal flow specifying process (S130) may be executed as follows.
Each
The abnormal
For example, the number of bits m of the flow ID is “3”, the output of the first
図3に戻り、異常フロー発生ホストの特定方法の説明を続ける。
S130の後、処理はS140に進む。
Returning to FIG. 3, the description of the method for identifying the abnormal flow occurrence host will be continued.
After S130, the process proceeds to S140.
<S140>
異常フロー通知部140は、S130において入力された異常フローのフローIDに対応する異常フローのフロー種別名称をフロー管理テーブル181に基づいて特定し、特定した異常フローのフロー種別名称を管理者220に通知する。
例えば、異常フロー通知部140は、異常フローのフローIDが「3」である場合、図5に示すフロー管理テーブル181を参照し、異常フローのフロー種別名称「192.168.0.3からWebサーバ」を出力装置(例えば、表示装置、スピーカー)に出力して管理者220に通知する。
S140の後、異常フロー発生ホストの特定方法の処理は終了する。
<S140>
The abnormal
For example, when the flow ID of the abnormal flow is “3”, the abnormal
After S140, the processing of the method for identifying the abnormal flow occurrence host ends.
図9は、実施の形態1における異常フロー発生ホストの特定方法の動作原理を示す図である。
異常フロー発生ホストの特定方法(S110〜S140)の動作原理について、図9に基づいて以下に説明する。
FIG. 9 is a diagram illustrating an operation principle of the method for identifying an abnormal flow occurrence host in the first embodiment.
The operation principle of the abnormal flow generation host identification method (S110 to S140) will be described below with reference to FIG.
フローIDのビット数mが「3」である場合、フロー情報処理部110は、1番目の異常検出部120にフローIDの1番目のビットが「1」であるフロー情報を入力する。
また、フロー情報処理部110は、2番目の異常検出部120にフローIDの2番目のビットが「1」であるフロー情報を入力し、3番目の異常検出部120にはフローIDの3番目のビットが「1」であるフロー情報を入力する(S110)。
When the bit number m of the flow ID is “3”, the flow
In addition, the flow
各異常検出部120は、入力された各フロー情報に異常フローのフロー情報が含まれているか判定し、判定結果を異常フロー特定部130に出力する。
ここで、1番目の異常検出部120は判定結果としてビット「1(異常)」を出力し、2番目の異常検出部120は判定結果としてビット「0(正常)」を出力し、3番目の異常検出部120は判定結果としてビット「1(異常)」を出力したものとする(S120)。
Each
Here, the first
異常フロー特定部130は、各異常検出部120の判定結果を並べてビット列「101」を生成し、生成したビット列「101」で表されるフローID「5」を異常フロー通知部140に出力する(S130)。
The abnormal
異常フロー通知部140は、異常フロー特定部130により出力されたフローID「5」に対応するフロー種別名称「srcIP=B、dstIP=Y」をフロー管理テーブル181に基づいて特定し、特定したフロー種別名称を異常フローの名称として管理者220に通知する(S140)。
The abnormal
実施の形態1において、以下のようなネットワーク監視システム200について説明した。
ネットワーク監視システム200は、不正アクセスや装置故障の発生を検出するネットワーク監視装置100を備える。
ネットワーク監視装置100は、フロー種別−ID対応管理手段(フロー管理部180)、フロー入力手段(フロー情報処理部110)、検知結果−ID変換手段(異常フロー特定部130)および通知手段(異常フロー通知部140)を備える。
フロー種別−ID対応管理手段は、フロー情報の内容に従ってあらかじめ定義されたフローIDを返す。
フロー入力手段は、フローIDを2進数表現した時のビット列に従って、選択的に複数の異常検出手段(異常検出部120)にフロー情報を入力する。
検知結果−ID変換手段は、複数の異常検出手段の検知結果から整数値を算出する。
通知手段は、前記整数値をIDとみなし、対応するフロー種別の情報を異常の発生したフローの情報として管理者220に通知する。
In the first embodiment, the following network monitoring system 200 has been described.
The network monitoring system 200 includes a
The
The flow type-ID correspondence management means returns a flow ID defined in advance according to the content of the flow information.
The flow input means selectively inputs flow information to a plurality of abnormality detection means (abnormality detection unit 120) according to the bit string when the flow ID is expressed in binary.
The detection result-ID conversion means calculates an integer value from the detection results of the plurality of abnormality detection means.
The notifying means regards the integer value as an ID, and notifies the
ネットワーク監視装置100の動作原理を補足的に説明する。
フロー入力手段はフロー蓄積手段(フロー情報蓄積部190)からフロー情報を取り出すと、取り出したフロー情報をそのフロー種別に対応するフローIDを2進数で表現した場合に「1」が立っているビットに対応する異常検出手段に入力する。従って、もしあるフローIDで識別されるフロー種別に分類されるフロー上で異常が発生した場合、そのフロー情報が入力された異常検出手段、すなわちフローIDで「1」が立っているビットに対応する異常検出手段のみが「異常」を報告し、残りの異常検出手段は「正常」を報告することになる。そのため、検出結果−ID変換手段は、「異常」を報告した異常検出手段に対応するビットだけが「1」になっているmビットの数値を求めることで、異常の発生したフローIDを再構成することができる。
The operation principle of the
When the flow input unit extracts the flow information from the flow storage unit (flow information storage unit 190), a bit in which “1” is set when the flow ID corresponding to the flow type is expressed by a binary number in the extracted flow information. Is input to the abnormality detection means corresponding to. Therefore, if an abnormality occurs on the flow classified into the flow type identified by a certain flow ID, it corresponds to the abnormality detection means to which the flow information is input, that is, the bit with “1” set in the flow ID. Only the abnormality detecting means that reports “abnormal”, and the remaining abnormality detecting means report “normal”. Therefore, the detection result-ID conversion unit reconstructs the flow ID in which an abnormality has occurred by obtaining an m-bit numerical value in which only the bit corresponding to the abnormality detection unit that has reported “abnormality” is “1”. can do.
以上のように、ネットワーク監視装置100は、識別したいフロー種別にフローIDを割り当て、フロー情報をフローIDのビットパターンに従って選択的に複数の異常検出手段に入力する。これにより、あるフロー上で異常が発生した場合、そのフローIDのビットパターンに対応する異常検出手段から異常が報告される。このため、検知結果−ID変換手段は、どの異常検出手段から異常が報告されたかを集計すれば、異常を発生したフローIDを容易に特定できる。本方式を用いることで、ネットワーク監視システム200は、約log2N個のグループを監視するだけで、異常検出後の個別フロー分析を行うことなくN種類のうちのどのフローで異常が発生したかを特定することが可能となる。ネットワーク監視システム200は、従来技術の課題であった異常検出手段数(=常時行う監視にかかる計算量)と異常発生時のフロー特定にかかる計算量というトレードオフを解決できる、という効果を奏する。
As described above, the
上記では、フローIDとフロー条件とを静的に構成されたテーブル(フロー管理テーブル181)で対応付けてフロー情報に対応するフローIDを判別している。しかし、ID判別条件をプログラム内に直接実装することも可能である。例えば、フロー情報のうち、ソースIPアドレス(送信元IPアドレス)だけでフロー種別を分類するのであれば、IPアドレスを32bit(ビット)のフローIDとみなすような方式を考えることができる。その場合、フロー種別名称もフローIDから動的に作成する必要があるが、与えられたフローIDをIPアドレスを表す文字列に変換するような処理などを行えば実現できる。 In the above description, the flow ID corresponding to the flow information is determined by associating the flow ID and the flow condition with a statically configured table (flow management table 181). However, it is also possible to directly implement the ID determination condition in the program. For example, if the flow type is classified based only on the source IP address (source IP address) in the flow information, a method can be considered in which the IP address is regarded as a 32-bit (bit) flow ID. In this case, the flow type name needs to be dynamically created from the flow ID, but can be realized by performing processing such as converting a given flow ID into a character string representing an IP address.
図4に示した「送信元IPアドレス」「送信元ポート番号」「宛先IPアドレス」「宛先ポート番号」「プロトコル」は、フローの分類に必要な情報(フロー特定情報)の一例である。また、「データサイズ」は、時系列データの生成に必要な量的データの一例である。
例えば、ポート番号まで含めた分類を行わないのであれば、「送信元ポート番号」「宛先ポート番号」をフロー特定情報に含めなくてもよい。また、時系列データの生成に必要な量的データとして「データサイズ」ではなく、「パケット数」を用いる事も考えられる。さらに極端な場合、フロー分類毎に一定時間内に発生したフローの個数を時系列データとして用いる事も考えられる。例えば、フローの個数とは、アプリケーションデータの個数やシーケンス(所定の複数の送受信)の処理回数である。この場合には、時系列データの生成に必要な量的データをフロー情報に含めなくてもよい。
The “source IP address”, “source port number”, “destination IP address”, “destination port number”, and “protocol” shown in FIG. 4 are examples of information (flow specifying information) necessary for flow classification. The “data size” is an example of quantitative data necessary for generating time-series data.
For example, if the classification including the port number is not performed, the “transmission source port number” and the “destination port number” may not be included in the flow specifying information. It is also conceivable to use “number of packets” instead of “data size” as quantitative data necessary for generating time-series data. In an extreme case, the number of flows generated within a certain time for each flow classification may be used as time series data. For example, the number of flows is the number of application data or the number of processing of a sequence (a predetermined plurality of transmission / reception). In this case, quantitative data necessary for generating time-series data may not be included in the flow information.
また、ネットワーク監視装置100の構成として複数の異常検出部120を備える構成を示したが、各異常検出部120は同時に動作する必要は全く無く、順番に動作することももちろん可能である。さらに、ネットワーク監視装置100は、異常検出部120を複数ではなく1つだけ備えてもよい。例えば、フロー情報処理部110は、フローIDのi番目のビットが「1」である各フロー情報(上記でi番目の異常検出部120に入力した各フロー情報)をi番目のフロー情報グループとして纏め、各フロー情報グループを異常検出部120に入力する。異常検出部120は、i番目のフロー情報グループに含まれる各フロー情報に対する判定結果をi番目の判定結果(上記でi番目の異常検出部120が出力した判定結果)として異常フロー特定部130に出力する。各異常検出部120固有の情報、すなわち各監視実行時に入力されたフロー情報と平常時の時系列情報とを分離して管理しておくことで、これらの情報を取り替え、一つの異常検出部120で複数の異常検出部120と同等の処理を行うことが可能である。
Moreover, although the structure provided with the some
さらに、ネットワーク監視システム200は、フロー情報収集装置210を複数備えてもよい。例えば、複数の監視対象ネットワーク201それぞれに一つずつフロー情報収集装置210を設置し、異なる監視対象ネットワーク201のフロー情報を異なるフロー情報収集装置210に収集させてもよい。
Furthermore, the network monitoring system 200 may include a plurality of flow
さらに、ネットワーク監視装置100内の各「〜部」を個別の装置とし、各装置がフロー情報収集装置210を介してデータのやりとりを実施するような形態ももちろん可能である。逆に、フロー情報収集装置210とネットワーク監視装置100とを一つの装置内に集約した形態も可能である。
Furthermore, it is of course possible to adopt a form in which each “˜unit” in the
各異常検出部120は、フローIDを表す各ビットに対応していなくても構わない。例えば、フローIDが「0」または「1」を並べた文字列であり、異常検出部120がフローIDを表す各文字に対応していても構わない。また例えば、フローIDが「a」「b」「c」を3つ組み合わせた文字列(例えば、「aab」)であり、異常検出部120がフローIDを表す各文字(1文字目「a」、1文字目「b」、1文字目「c」、2文字目「a」、・・・、3文字目「c」)に対応して9個有っても構わない。フローIDが「aab」である場合、フロー情報は1文字目「b」に対応する異常検出部120、2文字目「a」に対応する異常検出部120および3文字目「a」に対応する異常検出部120に入力される。
また、異常フローは1つに特定されず、複数の候補に絞られるだけであっても構わない。
Each
Also, the abnormal flow is not specified as one, but may be limited to a plurality of candidates.
実施の形態2.
異常検出処理(S120)において複数の異常検出部120から出力される複数の判定結果の中に誤った判定結果が含まれているか判定し、誤った判定結果を訂正する形態について説明する。
以下、実施の形態1と異なる事項を主に説明する。説明を省略する事項については実施の形態1と同様である。
In the abnormality detection process (S120), a mode in which it is determined whether or not an erroneous determination result is included in a plurality of determination results output from the plurality of
Hereinafter, items different from the first embodiment will be mainly described. Matters whose description is omitted are the same as those in the first embodiment.
図10は、実施の形態2におけるネットワーク監視システム200の構成図である。
図10において、ネットワーク監視システム200が備える異常検出部120の数は、フローIDを符号化した誤り訂正符号(後述するように、符号化のためにフローIDを拡張した拡張部分のビット数を除く。以下同じ)のビット数である。フローIDのビット数を「m」、誤り訂正用ビット(冗長情報)のビット数を「b」とすると、ネットワーク監視システム200は異常検出部120を「m+b」個備える。
例えば、フローIDのビット数mを「4」、符号化方法を「(7,4)ハミング符号」とすると、誤り訂正用ビットのビット数bは「3(=7−4)」であり、誤り訂正符号のビット数は「7」である。この場合、ネットワーク監視システム200は異常検出部120を7個備える。
FIG. 10 is a configuration diagram of the network monitoring system 200 according to the second embodiment.
In FIG. 10, the number of
For example, if the flow ID bit number m is “4” and the encoding method is “(7,4) Hamming code”, the bit number b of error correction bits is “3 (= 7-4)”. The number of bits of the error correction code is “7”. In this case, the network monitoring system 200 includes seven
フロー情報処理部110は誤り訂正符号化機能を有し、異常フロー特定部130(通信情報グループ判定結果訂正部の一例)は誤り訂正復号化機能を有する。
その他の構成は、実施の形態1(図1参照)と同じである。
The flow
Other configurations are the same as those of the first embodiment (see FIG. 1).
異常フローの発生ホストの特定方法は、実施の形態1(図3参照)と同様である。但し、フローIDを誤り訂正符号に変換する誤り訂正符号化処理がフロー情報入力処理(S110)に加わり、誤り訂正符号をフローIDに復号する誤り訂正復号化処理が異常フロー特定処理(S130)に加わる。
以下、フロー情報入力処理(S110)に加わる誤り訂正符号化処理と異常フロー特定処理(S130)に加わる誤り訂正復号化処理とについて説明する。
The method for identifying the abnormal flow generation host is the same as in the first embodiment (see FIG. 3). However, the error correction coding process for converting the flow ID into the error correction code is added to the flow information input process (S110), and the error correction decoding process for decoding the error correction code into the flow ID is changed to the abnormal flow specifying process (S130). Join.
Hereinafter, the error correction coding process added to the flow information input process (S110) and the error correction decoding process added to the abnormal flow identification process (S130) will be described.
図11は、実施の形態2におけるフロー情報入力処理(S110)を示すフローチャートである。
実施の形態2におけるフロー情報入力処理(S110)について、図11に基づいて以下に説明する。
FIG. 11 is a flowchart showing flow information input processing (S110) in the second embodiment.
The flow information input process (S110) in the second embodiment will be described below based on FIG.
図11に示すフローチャートは、実施の形態1(図6参照)で説明したフロー情報入力処理(S110)に誤り訂正符号化処理(S119)を追加し、S114およびS115をS114aおよびS115aに変更したものである。
以下、誤り訂正符号化処理(S119)、S114aおよびS115aについて説明し、他の処理(S111〜S113、S116〜S118)の説明を省略する。
The flowchart shown in FIG. 11 is obtained by adding an error correction coding process (S119) to the flow information input process (S110) described in the first embodiment (see FIG. 6) and changing S114 and S115 to S114a and S115a. It is.
Hereinafter, the error correction coding process (S119), S114a, and S115a will be described, and the description of the other processes (S111 to S113, S116 to S118) will be omitted.
S113においてフロー情報Fkに対応するフローIDkが特定された後、処理はS119に進む。 After the flow ID k corresponding to the flow information F k is specified in S113, the process proceeds to S119.
<S119>
フロー情報対応ID特定部112は、フローIDkを符号化(encode)し、符号化したフローIDk(誤り訂正符号k)を変数vに設定する。
変数vに設定される誤り訂正符号kは、フローIDkに誤り訂正用ビットを付加したものであり、フローIDkのビット数mに誤り訂正用ビットのビット数bを加えた「m+b」をビット数とする。
フローIDkの符号化について後述する。
S119の後、処理はS114aに進む。
<S119>
Flow information corresponding
The error correction code k set in the variable v is obtained by adding an error correction bit to the flow ID k , and “m + b” obtained by adding the bit number b of the error correction bit to the bit number m of the flow ID k. The number of bits.
The encoding of the flow ID k will be described later.
After S119, the process proceeds to S114a.
<S114a>
フロー情報入力部113は、第2のループ条件「i=1,m+b,1」に基づいて、第2のループ処理(S114a〜S117)を実行するか、または第2のループ処理を終了するか判定する。
S114aは、実施の形態1(図6参照)で説明したS114の第2のループ条件を一部変更した処理である。変更点は、ループ終了値が「m」から「m+b」になった点である。
「m+b」は、S119において変数vに設定された誤り訂正符号kのビット数である。
以降、第2のループ処理(S114a〜S117)が第2のループ条件に基づいてm+b回繰り返される。
<S114a>
Whether the flow
S114a is a process in which the second loop condition of S114 described in the first embodiment (see FIG. 6) is partially changed. The change is that the loop end value is changed from “m” to “m + b”.
“M + b” is the number of bits of the error correction code k set in the variable v in S119.
Thereafter, the second loop process (S114a to S117) is repeated m + b times based on the second loop condition.
<S115a>
フロー情報入力部113は、変数vのi番目のビットが「1」であるか判定する。
変数vのi番目のビットが「1」である場合(YES)、処理はS116に進む。
変数vのi番目のビットが「1」でなく「0」である場合(NO)、処理はS117に進む。
<S115a>
The flow
If the i-th bit of the variable v is “1” (YES), the process proceeds to S116.
When the i-th bit of the variable v is “0” instead of “1” (NO), the process proceeds to S117.
図12は、実施の形態2における異常フロー特定処理(S130)を示すフローチャートである。
実施の形態2における異常フロー特定処理(S130)について、図12に基づいて以下に説明する。
FIG. 12 is a flowchart showing the abnormal flow identification process (S130) in the second embodiment.
The abnormal flow identification process (S130) in the second embodiment will be described below with reference to FIG.
図12に示すフローチャートは、実施の形態1(図8参照)で説明した異常フロー特定処理(S130)のS131、S132およびS135をS131a、S132aおよびS135aに変更し、誤り訂正復号化処理(S139)を追加したものである。
以下、S131a、S132a、S135aおよび誤り訂正復号化処理(S139)について説明し、他の処理(S133、S134、S136〜S138)の説明を省略する。
In the flowchart shown in FIG. 12, the error correction decoding process (S139) is performed by changing S131, S132, and S135 of the abnormal flow specifying process (S130) described in the first embodiment (see FIG. 8) to S131a, S132a, and S135a. Is added.
Hereinafter, S131a, S132a, S135a and the error correction decoding process (S139) will be described, and description of other processes (S133, S134, S136 to S138) will be omitted.
<S131a>
異常フロー特定部130は、変数vに「0(全ビット「0」)」を設定して変数vを初期化する。変数vのビット数は、フローIDのビット数mと誤り訂正用ビットのビット数bとの合計値「m+b」以上である。
S131aの後、処理はS132aに進む。
<S131a>
The abnormal
After S131a, the process proceeds to S132a.
<S132a>
異常フロー特定部130は、ループ条件「i=1,m+b,1」に基づいて、ループ処理(S132a〜S136)を実行するか、またはループ処理を終了するか判定する。
S132aは、実施の形態1(図8参照)で説明したS132のループ条件を一部変更した処理である。変更点は、ループ終了値が「m」から「m+b」になった点である。
以降、ループ処理(S132a〜S136)がループ条件に基づいてm+b回繰り返される。
<S132a>
The abnormal
S132a is a process in which the loop condition of S132 described in the first embodiment (see FIG. 8) is partially changed. The change is that the loop end value is changed from “m” to “m + b”.
Thereafter, the loop process (S132a to S136) is repeated m + b times based on the loop condition.
<S135a>
異常フロー特定部130は、変数vのLSBから数えてiビット目に「1」を設定する。
<S135a>
The abnormal
ループ処理(S132a〜S136)において変数vのi番目(i:1〜m+b)のビットにi番目の異常検出部120の判定結果に対応する値(正常「0」、異常「1」)が設定された後、処理はS139に進む。
In the loop processing (S132a to S136), the i-th (i: 1 to m + b) bits of the variable v are set to values (normal “0”, abnormal “1”) corresponding to the determination result of the i-th
<S139>
異常フロー特定部130は、変数vを復号化(decode)し、変数vを復号化した値(フローID)を変数detectIDに設定する。
変数vを復号化した値であり変数detectIDに設定される値は、異常フローのフローIDに相当する。
変数vからフローIDへの復号化について後述する。
S139の後、処理はS137に進む。
<S139>
The abnormal
A value obtained by decoding the variable v and set in the variable detectID corresponds to the flow ID of the abnormal flow.
Decoding from the variable v to the flow ID will be described later.
After S139, the process proceeds to S137.
図13は、実施の形態2におけるフロー情報入力処理(S110)〜異常フロー特定処理(S130)の模式図である。
誤り訂正符号化処理(S119)におけるフローIDの符号化および誤り訂正復号化処理(S139)におけるフローIDへの復号化について、図13に基づいて以下に説明する。
ここで、フローIDのビット数を「6」、符号化方法を「(15,4)ハミング符号」とする。(15,4)ハミング符号とは、4ビットの誤り訂正符号(冗長情報)を付加して15ビットの誤り訂正符号を生成する方法である。
FIG. 13 is a schematic diagram of flow information input processing (S110) to abnormal flow identification processing (S130) in the second embodiment.
The flow ID encoding in the error correction encoding process (S119) and the decoding to the flow ID in the error correction decoding process (S139) will be described below with reference to FIG.
Here, the number of bits of the flow ID is “6” and the encoding method is “(15,4) Hamming code”. The (15, 4) Hamming code is a method of generating a 15-bit error correction code by adding a 4-bit error correction code (redundant information).
誤り訂正符号化処理(S119)において、(15,4)ハミング符号によりフローIDを符号化するために、6ビットのフローIDに5ビットの拡張ビットが付加される。拡張ビットの各ビットの値は「0」である。拡張ビットが付加される理由は、誤り訂正符号を生成する際に、元データ長(ここでは、フローIDのビット数m)に任意のビット長を取れないためである。例えば、ハミング符号においては、元データ長は「4」「11」「26」・・・「2n−n−1」ビットでなければならない(nは正整数とする)。拡張ビットが付加された11ビットのフローIDが(15,4)ハミング符号により符号化され、15ビットの誤り訂正符号が生成される。15ビットの誤り訂正符号は、4ビットの誤り訂正用ビット、6ビットのフローIDおよび5ビットの拡張ビットを含む。誤り訂正用ビットは、フローIDと整合性を有するビット列である。拡張ビットは破棄される。 In the error correction encoding process (S119), in order to encode the flow ID by the (15, 4) Hamming code, 5 extension bits are added to the 6-bit flow ID. The value of each bit of the extension bits is “0”. The reason why the extension bits are added is that an arbitrary bit length cannot be taken as the original data length (here, the number of bits of the flow ID) when generating the error correction code. For example, in the Hamming code, the original data length must be “4” “11” “26”... “2n−n−1” bits (n is a positive integer). The 11-bit flow ID to which the extension bits are added is encoded by the (15, 4) Hamming code, and a 15-bit error correction code is generated. The 15-bit error correction code includes a 4-bit error correction bit, a 6-bit flow ID, and a 5-bit extension bit. The error correction bit is a bit string having consistency with the flow ID. Extension bits are discarded.
S116において、誤り訂正符号(拡張ビットを除く)のi番目のビット(i:1〜10)が「1」である各フロー情報が、i番目の異常検出部120に入力される。
In S116, each flow information in which the i-th bit (i: 1 to 10) of the error correction code (excluding the extension bits) is “1” is input to the i-th
誤り訂正復号化処理(S139)において、各異常検出部120の判定結果に対応する値(正常「0」、異常「1」)を並べた10ビットのビット列に5ビットの拡張ビットが付加されて、15ビットの誤り訂正符号が生成される。そして、15ビットの誤り訂正符号が(15,4)ハミング符号により復号化され、6ビットのフローIDと5ビットの拡張ビットとが生成される。拡張ビットは破棄される。
(15,4)ハミング符号による復号化において、誤り訂正符号に含まれる誤り訂正用ビットとフローIDとの整合性が検査され、検査によりフローIDに含まれる誤り(異常検出部120の誤った判定結果)が検出され、検出されたフローIDの誤りが誤り訂正用ビットに基づいて訂正される。つまり、フローIDに対応する異常検出部120により誤った判定結果が得られてしまった場合、誤り訂正用ビットに対応する異常検出部120の判定結果に基づいてその誤った判定結果が検出され訂正される。
In the error correction decoding process (S139), a 5-bit extension bit is added to a 10-bit bit string in which values (normal “0”, abnormal “1”) corresponding to the determination result of each
In decoding by the (15, 4) Hamming code, the consistency between the error correction bit included in the error correction code and the flow ID is checked, and the error included in the flow ID is checked by the check (incorrect determination of the abnormality detection unit 120). Result) is detected, and the error of the detected flow ID is corrected based on the error correction bits. In other words, when an erroneous determination result is obtained by the
実施の形態2において、以下のようなネットワーク監視システム200について説明した。
ネットワーク監視システム200は実施の形態1の改良である。フロー情報処理部110はフローIDをビット列に変換し、さらに誤り訂正用ビットを付加し、その結果得られるビット列(誤り訂正符号)に従って異常検出手段(異常検出部120)を選択し、選択した異常検出手段にフロー情報を入力する。
In the second embodiment, the following network monitoring system 200 has been described.
The network monitoring system 200 is an improvement of the first embodiment. The flow
これにより、ネットワーク監視システム200は、各異常検出手段における判定誤り、つまり本来正常と判定すべき場合に異常と判定したり、逆に異常と判定すべき場合に正常と判定したりといった事が発生した場合でも、ある程度までは正しいフローIDを算出することができる。そして、ネットワーク監視システム200は、フローIDの特定誤りの発生を抑えることで、誤ったフロー種別を管理者220に通知してしまう可能性を少なくすることができる。
As a result, the network monitoring system 200 may generate a determination error in each abnormality detection unit, that is, determine that the abnormality is normal when it should be determined to be normal, or that it is determined normal when it should be determined that it is abnormal. Even in this case, a correct flow ID can be calculated to some extent. The network monitoring system 200 can reduce the possibility of notifying the
フローIDを符号化する機能(encode関数)および符号化されたフローIDを復号化する機能(decode関数)は、少なくともmビット(m:フローIDのビット数)のビット列に対する誤り訂正符号化関数及び復号化関数であれば本実施の形態を実現することが可能である。誤り訂正機能自体は既に数多く知られており、前述のハミング符号の他にもBCH符号、リードソロモン符号等などがある。ただし、求められる誤り訂正能力によって、利用可能な誤り訂正符号方式は限定され、また誤り訂正用ビットのビット数bも変化する。 The function for encoding the flow ID (encode function) and the function for decoding the encoded flow ID (decode function) include an error correction encoding function for a bit string of at least m bits (m: the number of bits of the flow ID) and The present embodiment can be realized with a decoding function. Many error correction functions are already known, and there are BCH codes, Reed-Solomon codes, etc. in addition to the above-mentioned Hamming codes. However, the error correction code schemes that can be used are limited depending on the required error correction capability, and the number b of error correction bits also changes.
実施の形態3.
異常フローが1つではなく複数存在する場合に、各異常フローのフローIDを組み合わせたフローIDに基づいて正常なフローを異常フローとして管理者220に通知してしまうことを防ぐ形態について説明する。
以下、実施の形態1と異なる事項を主に説明する。説明を省略する事項については実施の形態1と同様である。
An embodiment will be described in which when there are a plurality of abnormal flows instead of one, a normal flow is prevented from being notified to the
Hereinafter, items different from the first embodiment will be mainly described. Matters whose description is omitted are the same as those in the first embodiment.
図14は、実施の形態3におけるネットワーク監視システム200の構成図である。
図14において、ネットワーク監視システム200が備える異常検出部120の数は、フローIDのビット数m’である。「m’」は、フロー種別数を「N」とした場合、「m’Cp≧N」(p:任意の正整数)を満たす最小の正整数である。「xCy」という表記は、x個の要素からy個を選ぶ組み合わせ数を表している。
N個のフローIDそれぞれは、「1」が設定されたビットを必ずp個有する。
FIG. 14 is a configuration diagram of the network monitoring system 200 according to the third embodiment.
In FIG. 14, the number of
Each of the N flow IDs always has p bits in which “1” is set.
図15は、実施の形態3におけるフロー管理テーブル181の一例を示す図である。
例えば、フロー種別数Nを「10」、各フローIDに含めるビット「1」の数pを「2」とした場合、図15に示すように、フローIDのビット数m’は「5」である。
各フローID(3、5、・・・、24)はぞれぞれ、5ビットのうち2(=p)ビットに「1」が設定されている。
以下、上記pを「「1」ビット数p」という。
FIG. 15 is a diagram illustrating an example of the flow management table 181 according to the third embodiment.
For example, if the flow type number N is “10” and the number p of bits “1” included in each flow ID is “2”, the bit number m ′ of the flow ID is “5” as shown in FIG. is there.
Each flow ID (3, 5,..., 24) has “1” set in 2 (= p) bits out of 5 bits.
Hereinafter, the p is referred to as ““ 1 ”bit number p”.
図16は、実施の形態3における異常フロー特定処理(S130)を示すフローチャートである。
実施の形態3における異常フロー特定処理(S130)について、図16に基づいて以下に説明する。
FIG. 16 is a flowchart showing the abnormal flow specifying process (S130) in the third embodiment.
The abnormal flow identification process (S130) in the third embodiment will be described below with reference to FIG.
図16に示すフローチャートは、実施の形態1(図8参照)で説明した異常フロー特定処理(S130)のS131、S132、S135およびS137をS131b、S132b、S135bおよびS137bに変更し、S138bを追加したものである。
以下、S131b、S132b、S135b、S137bおよびS138bについて説明し、他の処理(S132〜S134、S136〜S138)の説明を省略する。
In the flowchart shown in FIG. 16, S131, S132, S135, and S137 in the abnormal flow specifying process (S130) described in the first embodiment (see FIG. 8) are changed to S131b, S132b, S135b, and S137b, and S138b is added. Is.
Hereinafter, S131b, S132b, S135b, S137b, and S138b will be described, and descriptions of other processes (S132 to S134, S136 to S138) will be omitted.
<S131b>
異常フロー特定部130は、変数detectIDを「0」に初期化すると共に、変数Pを「0」に初期化する。変数Pは、変数detectIDに設定されるビット「1」の数のカウントに用いる変数である。
S131bの後、処理はS132に進む。
<S131b>
The abnormal
After S131b, the process proceeds to S132.
<S132b>
異常フロー特定部130は、ループ条件「i=1,m’,1」に基づいて、ループ処理(S132b〜S136)を実行するか、またはループ処理を終了するか判定する。
S132bは、実施の形態1(図8参照)で説明したS132のループ条件を一部変更した処理である。変更点は、ループ終了値が「m」から「m’」になった点である。
以降、ループ処理(S132b〜S136)がループ条件に基づいてm’回繰り返される。
<S132b>
The abnormal
S132b is a process in which the loop condition of S132 described in the first embodiment (see FIG. 8) is partially changed. The change is that the loop end value is changed from “m” to “m ′”.
Thereafter, the loop processing (S132b to S136) is repeated m 'times based on the loop condition.
<S135b>
異常フロー特定部130は、変数detectIDのiビット目に「1」を設定すると共に、変数Pに1加算する。
S135bの後、処理はS136に進む。
<S135b>
The abnormal
After S135b, the process proceeds to S136.
<S137b>
ループ処理(S132〜S136)の後、異常フロー特定部130は、変数Pの設定値を判定する。
変数Pが「0」である場合(P=0)、異常フロー特定処理(S130)は終了する。
変数Pが「p(所定の「1」ビット数)」である場合(P=p)、処理はS138に進む。
変数Pがそれ以外の値である場合(P≠0、p)、処理はS138bに進む。
<S137b>
After the loop processing (S132 to S136), the abnormal
When the variable P is “0” (P = 0), the abnormal flow specifying process (S130) ends.
When the variable P is “p (predetermined“ 1 ”bit number)” (P = p), the process proceeds to S138.
If the variable P is any other value (P ≠ 0, p), the process proceeds to S138b.
<S138b>
異常フロー特定部130は、複数のフローに異常が発生していることを示す所定の情報を異常フロー通知部140に入力する。
そして、異常フロー通知部140は、複数のフローに異常が発生していることを管理者220に通知する(S140)。
S138bの後、異常フロー特定処理(S130)は終了する。
<S138b>
The abnormal
Then, the abnormal
After S138b, the abnormal flow identification process (S130) ends.
実施の形態3において、以下のようなネットワーク監視システム200について説明した。
ネットワーク監視システム200は実施の形態1の改良である。ネットワーク監視システム200は各フロー種別に割り当てるフローIDをビット列で表した場合に、常に同数の「1」を含んでいるようにフローIDを割り当てるようにフロー種別−ID対応管理手段(フロー管理テーブル181)を備える。
In the third embodiment, the following network monitoring system 200 has been described.
The network monitoring system 200 is an improvement of the first embodiment. When the flow ID to be assigned to each flow type is represented by a bit string, the network monitoring system 200 always assigns the flow ID so as to include the same number “1” (flow management table 181). ).
フローIDが全て同じ数だけ「1」を含んでいることにより、複数のフローで異常が発生した場合、検出結果−ID変換手段(異常フロー特定部130)が異常検出手段(異常検出部120)からの出力に基づいて特定するフローIDには必ずp+1ビット以上の「1」が含まれる(異常の発生したフローのフローIDそれぞれのビット和となる)。このため、異常フロー特定部130は、複数のフローに異常が同時に発生したことを容易に検出できる。
When all flow IDs contain the same number of “1” s, when an abnormality occurs in a plurality of flows, the detection result-ID conversion unit (abnormal flow specifying unit 130) detects the abnormality (an abnormality detection unit 120). The flow ID specified based on the output from always includes “1” of p + 1 bits or more (becomes the bit sum of each flow ID of the flow in which an abnormality has occurred). For this reason, the abnormal
実施の形態3のネットワーク監視システム200は、実施の形態2と同様に、異常検出部120の判定結果を検査して訂正する誤り訂正機能を有してもよい。
Similarly to the second embodiment, the network monitoring system 200 according to the third embodiment may have an error correction function that checks and corrects the determination result of the
100 ネットワーク監視装置、110 フロー情報処理部、111 フロー情報取得部、112 フロー情報対応ID特定部、113 フロー情報入力部、120 異常検出部、130 異常フロー特定部、140 異常フロー通知部、180 フロー管理部、181 フロー管理テーブル、190 フロー情報蓄積部、191 フロー情報蓄積テーブル、200 ネットワーク監視システム、201 監視対象ネットワーク、202 パケット、210 フロー情報収集装置、220 管理者、901 表示装置、902 キーボード、903 マウス、904 FDD、905 CDD、906 プリンタ装置、907 スキャナ装置、908 マイク、909 スピーカー、911 CPU、912 バス、913 ROM、914 RAM、915 通信ボード、920 磁気ディスク装置、921 OS、922 ウィンドウシステム、923 プログラム群、924 ファイル群。
DESCRIPTION OF
Claims (10)
前記通信情報グループ出力部により部分ID毎に出力された各通信情報グループが、当該通信情報グループの特徴が所定の特徴を示す正常な通信情報グループと、当該通信情報グループの特徴が所定の特徴を示さない異常な通信情報グループとのいずれであるか通信情報グループ毎にCPUを用いて判定する通信情報グループ判定部と、
前記通信情報グループ判定部により判定された各異常な通信情報グループのいずれにも含まれる通信情報に対応する通信であり、前記通信情報グループ判定部により判定された各正常な通信情報グループのいずれにも含まれない通信情報に対応する通信を、異常な通信としてCPUを用いて特定する異常通信特定部と
を備えたことを特徴とする通信監視装置。 Communication which divides each communication ID of a plurality of communications into a plurality of partial IDs, and outputs communication information of each communication in which the partial ID has a predetermined value for each partial ID as a communication information group using a CPU (Central Processing Unit) An information group output section;
Each communication information group output for each partial ID by the communication information group output unit includes a normal communication information group in which the characteristic of the communication information group indicates a predetermined characteristic, and a characteristic of the communication information group includes a predetermined characteristic. A communication information group determination unit that determines whether the communication information group is an abnormal communication information group that is not shown using the CPU for each communication information group;
Communication corresponding to communication information included in any of the abnormal communication information groups determined by the communication information group determination unit, and to each of the normal communication information groups determined by the communication information group determination unit A communication monitoring device comprising: an abnormal communication specifying unit that specifies communication corresponding to communication information that is not included as abnormal communication using a CPU.
ことを特徴とする請求項1記載の通信監視装置。 The communication monitoring apparatus according to claim 1, wherein the communication information group output unit divides a bit string of communication IDs of a plurality of communications into a plurality of partial IDs, and outputs the communication information group for each partial ID.
ことを特徴とする請求項2記載の通信監視装置。 The communication information group output unit divides each communication ID of a plurality of communications into partial IDs of the specific number of bits based on a bit string of communication IDs expressed by a specific number of bits, and the communication information for each partial ID The communication monitoring apparatus according to claim 2, wherein a group is output.
前記異常通信特定部は、前記通信情報グループ判定部によりi番目の通信情報グループが正常な通信情報グループと判定された場合、i番目のビットの値を「0」とし、前記通信情報グループ判定部によりi番目の通信情報グループが異常な通信情報グループと判定された場合、i番目のビットの値を「1」として特定のビット列を生成し、生成したビット列に基づいて前記異常な通信を特定する
ことを特徴とする請求項3記載の通信監視装置。 The communication information group output unit outputs communication information of each communication in which the i-th bit of the bit string indicates “1” as the predetermined value as an i-th communication information group,
When the communication information group determination unit determines that the i-th communication information group is a normal communication information group, the abnormal communication identification unit sets the value of the i-th bit to “0” and the communication information group determination unit When the i-th communication information group is determined as an abnormal communication information group, a specific bit string is generated with the value of the i-th bit being “1”, and the abnormal communication is specified based on the generated bit string. The communication monitoring apparatus according to claim 3.
ことを特徴とする請求項5記載の通信監視装置。 The abnormal communication identification unit identifies that there are a plurality of abnormal communications instead of identifying the abnormal communication when the generated specific bit string includes a number of “1” different from the specific number. The communication monitoring apparatus according to claim 5, wherein:
ことを特徴とする請求項1〜請求項6いずれかに記載の通信監視装置。 The communication information group output unit generates redundant information corresponding to each communication ID of a plurality of communications, generates an error correction code in which the generated redundant information is added to the communication ID, and generates the generated error correction code The communication monitoring apparatus according to claim 1, wherein the communication information group is divided into partial IDs and the communication information group is output for each partial ID.
前記通信情報グループ判定部の判定結果のうち前記冗長情報の前記部分IDに対応する判定結果に基づいて、前記通信情報グループ判定部の判定結果のうち前記通信IDの前記部分IDに対応する判定結果をCPUを用いて訂正する通信情報グループ判定結果訂正部を備え、
前記異常通信特定部は、前記通信情報グループ判定結果訂正部により訂正された前記通信ID内の前記部分IDに対応する判定結果に基づいて、前記異常な通信を特定する
ことを特徴とする請求項7記載の通信監視装置。 The communication monitoring device further includes:
Based on a determination result corresponding to the partial ID of the redundant information among determination results of the communication information group determination unit, a determination result corresponding to the partial ID of the communication ID among determination results of the communication information group determination unit A communication information group determination result correction unit that corrects the error using a CPU,
The abnormal communication identification unit identifies the abnormal communication based on a determination result corresponding to the partial ID in the communication ID corrected by the communication information group determination result correction unit. 7. The communication monitoring device according to 7.
通信情報グループ判定部が、前記通信情報グループ出力部により部分ID毎に出力された各通信情報グループが、当該通信情報グループの特徴が所定の特徴を示す正常な通信情報グループと、当該通信情報グループの特徴が所定の特徴を示さない異常な通信情報グループとのいずれであるか通信情報グループ毎にCPUを用いて判定する通信情報グループ判定処理を行い、
異常通信特定部が、前記通信情報グループ判定部により判定された各異常な通信情報グループのいずれにも含まれる通信情報に対応する通信であり、前記通信情報グループ判定部により判定された各正常な通信情報グループのいずれにも含まれない通信情報に対応する通信を、異常な通信としてCPUを用いて特定する異常通信特定処理を行う
ことを特徴とする通信監視装置の通信監視方法。 The communication information group output unit divides each communication ID of a plurality of communications into a plurality of partial IDs, and sets the communication information of each communication in which the partial ID has a predetermined value for each partial ID as a communication information group to a CPU (Central Processing Unit). ) Is used to perform communication information group output processing,
Each communication information group output by the communication information group determination unit for each partial ID by the communication information group output unit includes a normal communication information group in which a characteristic of the communication information group indicates a predetermined characteristic, and the communication information group A communication information group determination process is performed to determine, using the CPU for each communication information group, whether the characteristic of the abnormal communication information group does not show a predetermined characteristic,
The abnormal communication identification unit is communication corresponding to communication information included in any of the abnormal communication information groups determined by the communication information group determination unit, and each normal communication determined by the communication information group determination unit A communication monitoring method for a communication monitoring apparatus, comprising: performing abnormal communication specifying processing for specifying communication corresponding to communication information not included in any of the communication information groups using the CPU as abnormal communication.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009015058A JP2010177733A (en) | 2009-01-27 | 2009-01-27 | Communication monitoring device, communication monitoring method of communication monitoring device, and communication monitoring program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009015058A JP2010177733A (en) | 2009-01-27 | 2009-01-27 | Communication monitoring device, communication monitoring method of communication monitoring device, and communication monitoring program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2010177733A true JP2010177733A (en) | 2010-08-12 |
Family
ID=42708295
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009015058A Pending JP2010177733A (en) | 2009-01-27 | 2009-01-27 | Communication monitoring device, communication monitoring method of communication monitoring device, and communication monitoring program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2010177733A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018513428A (en) * | 2015-01-09 | 2018-05-24 | インテル・コーポレーション | Method and apparatus for data partitioning and conversion |
JP2019004419A (en) * | 2017-06-19 | 2019-01-10 | 株式会社日立製作所 | Network monitoring device, and system and method therefor |
-
2009
- 2009-01-27 JP JP2009015058A patent/JP2010177733A/en active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018513428A (en) * | 2015-01-09 | 2018-05-24 | インテル・コーポレーション | Method and apparatus for data partitioning and conversion |
JP2019004419A (en) * | 2017-06-19 | 2019-01-10 | 株式会社日立製作所 | Network monitoring device, and system and method therefor |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10248505B2 (en) | Issue escalation by management unit | |
US6895534B2 (en) | Systems and methods for providing automated diagnostic services for a cluster computer system | |
KR100974888B1 (en) | Device and Method for Detecting Anomalous Traffic | |
CA2689219C (en) | Method and system for state encoding | |
US11593029B1 (en) | Identifying a parent event associated with child error states | |
WO2018224670A1 (en) | Anomaly detection in computer networks | |
CN106559166B (en) | Fingerprint-based state detection method and equipment for distributed processing system | |
Stearley et al. | Bad words: Finding faults in spirit's syslogs | |
JP5316411B2 (en) | Transmitter and receiver | |
JP4089719B2 (en) | Abnormality detection system, abnormality management device, abnormality management method, probe and program thereof | |
JP2012508476A (en) | Network abnormal flow analysis device and method | |
WO2016017208A1 (en) | Monitoring system, monitoring device, and inspection device | |
WO2013029968A1 (en) | Method and system for detecting anomaly of user behavior in a network | |
CN113328872A (en) | Fault repair method, device and storage medium | |
US20140068356A1 (en) | Apparatus for determining message | |
US9658908B2 (en) | Failure symptom report device and method for detecting failure symptom | |
GB2517147A (en) | Performance metrics of a computer system | |
US20230393737A1 (en) | System and method for multiple pass data compaction utilizing delta encoding | |
US11687241B2 (en) | System and method for data compaction utilizing mismatch probability estimation | |
US20210399953A1 (en) | Tail-based span data sampling | |
JP2010177733A (en) | Communication monitoring device, communication monitoring method of communication monitoring device, and communication monitoring program | |
US10599502B2 (en) | Fault detection and recovery in a distributed storage network | |
US8527815B2 (en) | Method for detecting a failure in a SAS/SATA topology | |
US11204836B1 (en) | Using trap slices for anomaly detection in a distributed storage network | |
JP2017211806A (en) | Communication monitoring method, security management system, and program |