JP4089719B2 - 異常検出システム,異常管理装置,異常管理方法,プローブおよびそのプログラム - Google Patents

異常検出システム,異常管理装置,異常管理方法,プローブおよびそのプログラム Download PDF

Info

Publication number
JP4089719B2
JP4089719B2 JP2005262678A JP2005262678A JP4089719B2 JP 4089719 B2 JP4089719 B2 JP 4089719B2 JP 2005262678 A JP2005262678 A JP 2005262678A JP 2005262678 A JP2005262678 A JP 2005262678A JP 4089719 B2 JP4089719 B2 JP 4089719B2
Authority
JP
Japan
Prior art keywords
abnormality
parameter
probes
network
probe
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2005262678A
Other languages
English (en)
Other versions
JP2007081454A (ja
Inventor
信之 中村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2005262678A priority Critical patent/JP4089719B2/ja
Priority to US11/498,809 priority patent/US7594014B2/en
Publication of JP2007081454A publication Critical patent/JP2007081454A/ja
Application granted granted Critical
Publication of JP4089719B2 publication Critical patent/JP4089719B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/24Testing correct operation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は,ネットワークの異常を管理する異常検出システム,異常管理装置,異常管理方法,プローブおよびそのプログラムに関する。
インターネット等のネットワークにおける情報の流通が頻繁に行われるようになった今日において,かかるネットワークのトラブルや切断は回避すべき重要な事項である。このようなネットワークのトラブルは,ネットワーク自身やそれに接続された電子機器間の不具合によっても生じ得るが,ワーム(Worm)等の人為的行為によって起こる場合もある。
このようなネットワークの異常を検出するため,各ネットワーク機器で取得した,自己の状態を外部に知らせるために公開する情報であるMIB(Management Information Base)を,上記ネットワーク機器を管理する管理装置に集め,MIBのそれぞれの平均値や最大値・最小値を用いて特性値を算出し,その差分が大きい場合に管理者に通知する技術が開示されている(例えば,特許文献1)。
また,ネットワークの任意の地点におけるトラフィックのフローを解析し,どのアプリケーションを,誰が,どの程度の頻度で利用しているか等を監視し,ネットワークまたはサイトに生じた問題を警告する技術も開示されている(例えば,特許文献2)。
特開2002−171259号公報 特表2003−524317号公報
しかし,上記MIBによる異常検出においては,MIBにより取得されたデータが全て管理装置に集められ,それぞれの値にフォーカスを当てて平均値を算出し,この平均値を用いた曖昧な分析が行われている。例えば,インターネットのトラフィックに関しては,通常のサンプリング方法を用いた場合であっても,常時同情報量のデータが処理されるのは希なので,誤検出が多くなり,実際の利用には課題が残る。
また,ネットワークのトラフィックを監視する上記の方法においては,トラフィック中に含まれるパケットをフローレベルで解析した後,アプリケーションを特定したり,利用ユーザとの対応付けをしたりするため,データを含むパケットのペイロード部の解析が必要となり,計算機の負荷が非常に高くなるという問題が生じる。また,ペイロード部の解析手法を実装したプログラムのバグを突く不正なパケットにより,異常検出に関する処理が誤動作する恐れがある。
本発明は,従来の異常検出が有する上記問題点に鑑みてなされたものであり,本発明の目的は,ネットワークにおける異常の発生規模を的確に把握し,その原因の早期の検出によって異常に対する迅速な対応が可能な,新規かつ改良された異常検出システム,異常管理装置,異常管理方法,プローブおよびそのプログラムを提供することである。
本発明は,ネットワークの任意の位置に配された複数のプローブと,該プローブにネットワークを介して接続された異常管理装置と,を含んでなる異常検出システムに関するものであり:上記プローブは,監視対象であるネットワークのトラフィックをモニタリングし,該トラフィックの異常度を算出する異常度算出部と;算出された上記異常度を上記異常管理装置に送信する異常度送信部と;を備え,上記異常管理装置は,上記複数のプローブで算出された異常度を受信する異常度受信部と;上記複数のプローブの異常度の平均値および平均値に対する偏差に基づいて,ネットワークにおける異常の規模を判断する異常解析部と;上記異常解析部で得られた結果を出力する結果出力部と;を備えることを特徴とする,異常検出システムに関するものである。
上記異常検出システムは,ネットワークに分散して配置され,トラフィックをモニタリングするプローブからの異常度に応じて,異常の発生規模を的確に把握できる異常検出システムである。かかる異常検出システムでは,ネットワークの局地的な異常と全体的な異常とを区別して,例えば,全体的な異常に対する対策を講じるなど,ネットワークの保全を目的としている。
また,上記異常検出システムは,各プローブにおける異常度そのものに加え,他のプローブの異常度に対する偏差,即ち,異常度の平均に対するバラツキを考慮することを特徴としている。
上記異常検出システムは,複数の装置の集合体で表されるが,各構成要素,機能モジュールがどの装置に属するかを限定しないとしても良く,また,それ自体が単体で存在するとしても良い。
また本発明は,ネットワークの異常を管理する異常管理装置にネットワークを介して接続され,ネットワークの任意の位置に配されるプローブにも関するものであり、:監視対象であるネットワークのトラフィックをモニタリングし,該トラフィックの所定のパラメータの値を検出するパラメータ検出部と;上記パラメータを利用して異常度を算出する異常度算出部と;算出された上記異常度およびパラメータの値を上記異常管理装置に送信する異常度送信部と;を備えることを特徴とする,プローブに関するものである
ネットワークに分散されたプローブの上記の構成により,ネットワークのトラフィックに関する異常度および各パラメータのパラメータ値(パラメータ異常値)を検出することが可能となる。
上記課題を解決するために,本発明のある観点によれば,ネットワークの任意の位置に配された複数のプローブにネットワークを介して接続された異常管理装置であって:上記複数のプローブで算出された異常度を受信する異常度受信部と;上記複数のプローブの異常度の平均値および平均値に対する偏差に基づいて,ネットワークにおける異常の規模を判断する異常解析部と;上記異常解析部で得られた結果を出力する結果出力部と;を備えることを特徴とする,異常管理装置が提供される。
通常,プローブに監視されるネットワークの情報量は一定ではなく,かかる情報量に応じてトラフィックも変化する。従って,各プローブにおけるトラフィックから計算された異常度に,固定された評価基準を設けるのは困難である。本発明は,(1)複数のプローブにおける異常度の平均値と偏差によってネットワーク全体の異常の度合い(規模)を判断し,(2)1または2以上のどのパラメータが異常を示し,その異常の影響を受けているプローブがどの程度あるかを判断している。
上記異常度受信部に受信された異常度を記憶する異常度記憶部をさらに備えるとしても良い。かかる構成により,複数のプローブからそれぞれランダムなタイミングで受信される異常度を一旦保持し,異常解析部の所望するタイミングで異常を判断することができる。
上記異常度受信部は,上記プローブで算出された上記異常度と共に,上記プローブにおける複数のパラメータの値も受信しており,ネットワークに異常が発生したことを検知したとき,上記パラメータ毎のパラメータ値を,上記プローブを跨いで抜出して生成されたパラメータ毎の正規分布の任意の区間に,1または2以上の任意のパラメータ(パラメータ群)のパラメータ値が含まれるプローブの数をカウントし,(カウントされたプローブ数)/(全プローブ数)が所定の閾値以上のとき,上記パラメータ群に基づいた同じ原因による異常であると判断する原因解析部をさらに備えるとしても良い。
複数のプローブでは,異常度と複数のパラメータの値が検出されている。かかる構成では,プローブの任意のパラメータもしくは任意の組合せによるパラメータが,他のプローブのパラメータと比較して,パラメータ毎の任意の区間(信頼区間)に含まれているかどうかを計算する。そしてネットワークに異常が発生したと検知されたとき,上記のパラメータ群が正規分布の任意の区間に含まれているプローブが多いと,上記パラメータ群を原因とする異常であると判断できる。
上記異常度受信部は,上記異常度と共に,上記プローブにおける複数のパラメータの値も受信し,上記ネットワークに異常が発生したことを検知したとき,上記パラメータ毎のパラメータ値を,上記プローブを跨いで抜出して生成されたパラメータ毎の正規分布の任意の区間に,該パラメータに対応するパラメータ値が含まれる割合をプローブ毎に算出して,(該割合が所定の閾値以上であるプローブの数)/(全プローブ数)が所定の閾値以上のとき,同じ原因による異常であると判断する原因解析部をさらに備えるとしても良い。
ここでは,プローブの何割のパラメータが,他のプローブのパラメータと比較して,パラメータ毎の任意の区間(信頼区間)に含まれているかを計算する。そしてネットワークに異常を検知したとき,全パラメータのうち何割が正規分布の信頼区間に含まれているかによって,同じ原因による異常であるか相違する原因に依るものかを判断できる。
推測される攻撃パターンを記憶した攻撃パターン記憶部と;上記異常解析部で解析された,異常プローブ,異常パラメータ,および異常パラメータの値から導き出される攻撃パターンおよびその可能性を,上記攻撃パターン記憶部から抽出する攻撃パターン抽出部と;をさらに備えるとしても良い。
対策パターンを記憶した対策パターン記憶部と;上記攻撃パターン抽出部において抽出された攻撃パターンに対する対策パターンを,上記対策パターン記憶部から抽出する対策パターン抽出部と;をさらに備えるとしても良い。
上記課題を解決するために,本発明のある観点によれば,ネットワークの任意の位置に配された複数のプローブにネットワークを介して接続されたコンピュータ上で動作し,上記異常管理装置として機能するプログラムが提供される。
また,ネットワークの任意の位置に配された複数のプローブにネットワークを介して接続された異常管理装置において異常を管理する異常管理方法も提供される。
かかる異常管理装置は,プローブと一体に形成されるとしても良い。このとき異常管理装置は,他のプローブからの異常度の受信と自己のプローブの異常度の検出を行う。
以上説明したように本発明によれば,ネットワークにおける異常の発生規模を的確に把握することができ,その原因の早期の検出によって異常に対する迅速な対応が可能となる。また,その異常検出処理を容易にすることにより,処理負荷,処理能力,コストを軽減することができる。
以下に添付図面を参照しながら,本発明の好適な実施の形態について詳細に説明する。なお,本明細書及び図面において,実質的に同一の機能構成を有する構成要素については,同一の符号を付することにより重複説明を省略する。
(第1の実施形態:異常検出システム)
図1は,異常検出システムの概略的な構成を示したブロック図である。かかる異常検出システムは,ネットワーク100の任意の位置に配された複数のプローブ110と,該プローブ110にネットワーク100を介して接続された異常管理装置120とを含んで構成される。
上記ネットワーク100は,インターネットやLAN等の通信網からなり,プローブ110と異常管理装置120との間の通信の経路にもなり得る。
上記プローブ110は,ネットワーク100に接続され,該ネットワーク100を流れるパケットを監視可能なネットワーク装置の総称であり,ルータ,ハブ,スイッチ等のネットワーク100の分岐ポイントに配置することができる。また,プローブ110は,かかる場合に限られず,スイッチのミラーポートなどを用いて,パーソナルコンピュータで監視する等,様々な電子機器で実施することが可能である。プローブ110は,自己が配置された地点のネットワーク100のトラフィックの異常度を算出する。また,その異常度の算出にも利用される各パラメータの値も検出できる。ここで,トラフィックとは,ネットワーク100上を移動する音声や文書,画像などのデジタルデータや,ネットワーク100上を移動する上記データの情報量のことを示す。
上記異常管理装置120は,ネットワーク100を通じて受信した各プローブ110の異常度とパラメータから,各プローブ110が異常であるかどうか,および,複数のプローブ110で形成されるネットワーク100が異常であるかどうかを判断する。また,ネットワーク100全体が異常であると判断された場合,その原因がプローブ毎に相違するのか同じなのかをさらに判断する。かかる異常管理装置120は,サーバ,パーソナルコンピュータ,PDA(Personal Digital Assistant),携帯電話,携帯型音声プレーヤ,家庭ゲーム機,情報家電で構成されるとしても良い。
このように,本実施形態による異常管理システムは,ネットワークに分散して配置され,トラフィックをモニタリングするプローブからの異常度に応じて,異常の発生規模を的確に把握できる。かかる異常検出システムでは,ネットワークの局地的な異常や全体的な異常を検知して,その異常に対する対策を講じるなど,ネットワークの保全を目的としている。
以下に,異常管理システムの構成要素であるプローブ110と異常管理装置120を詳述する。
(第2の実施形態:プローブ110)
図2は,プローブ110の概略的な構成を示したブロック図である。かかるプローブ110は,プローブ制御部210と,パラメータ検出部212と,異常度算出部214と,異常度送信部216とを含んで構成される。
上記プローブ制御部210は,中央処理装置(CPU)を含む半導体集積回路によりプローブ110全体を管理および制御する。
上記パラメータ検出部212は,監視対象であるネットワーク100のトラフィックをモニタリングし,該トラフィックの所定のパラメータの値を検出する。
上記異常度算出部214は,パラメータ検出部212で検出されたパラメータを利用して異常度を算出する。かかる異常度の算出は,パラメータ検出部212で検出されたパラメータの値の和をとったり,かかるパラメータの値に重み付けしたものの和をとったり等,既存の様々な方法を取り入れることができる。
上記異常度送信部216は,異常度算出部214で算出された異常度,もしくは,パラメータ検出部212で検出されるパラメータの値を異常管理装置120に送信する。
ネットワーク100に分散されたプローブ110の上記の構成により,後述する異常管理装置120は,ネットワーク100のトラフィックに関する異常度および各パラメータのパラメータ値(パラメータ異常値)を取得することが可能となる。
また,コンピュータを上記プローブとして機能させるプログラムやそのプログラムを記憶した記憶媒体も提供される。
(第3の実施形態:異常管理装置120)
図3は,異常管理装置120の概略的な構成を示したブロック図である。かかる異常管理装置120は,管理制御部310と,異常度受信部312と,異常度記憶部314,異常解析部316と,結果出力部318とを含んで構成される。
上記管理制御部310は,中央処理装置(CPU)を含む半導体集積回路により異常管理装置120全体を管理および制御する。
上記異常度受信部312は,複数のプローブ110で算出された異常度を受信する。また,異常度と共に,複数のプローブ110で検出された複数のパラメータの値も受信できる。かかる異常度またはパラメータ値は,正確に言うと,異常度やパラメータ値の数値が記載されたデータもしくはファイルである。
また,かかる異常度の受信は,プローブ110と異常管理装置120のいずれかの装置が主体となって行われる。即ち,プローブ110から能動的に異常度を送信し,異常管理装置120において割り込み処理する場合と,異常管理装置120から定期的に異常度を取得する場合が考えられる。
異常度記憶部314は,異常度受信部312が受信した異常度やパラメータ値を記憶する。例えば,図3に示すように,プローブ110毎に異常度を記したデータを蓄積する。ここではプローブ1からnまでのデータ320が記憶されている。かかる構成により,複数のプローブ110からそれぞれランダムなタイミングで受信される異常度を一旦保持し,後述する異常解析部316の所望するタイミングで異常判断ができる。本実施形態では,プローブの情報として異常度のみ利用するため,図3において,パラメータ値の記載を省略している。
異常解析部316は,複数のプローブ100の異常度の平均値,異常度記憶部314に記憶されている全プローブの最新の異常度を抽出し,その平均値と,平均値に対する偏差(バラツキ)に基づいて,ネットワークにおける異常の規模を判断する。異常解析部316は,ネットワーク全体が異常であるか,もしくは局所的な異常であるかを判断することができる。例えば,異常解析部316は,異常度の平均値によってネットワーク全体の異常を判断する。このときの判断基準は,単に平均値と所定の閾値とを比較して行われるとしても良い。また,上記の異常に対して異常を修復する何らかの対応が必要であるかどうかも判断することができる。
また,判断基準は,複数のプローブ110それぞれにおける異常度を集めて生成される正規分布の任意の区間,例えば95%区間に含まれるかどうかによって行われるとしても良い。
上記では,例えば,最新の異常度を抽出しているが,かかる場合に限られず,ある程度の時間範囲内において取得された異常度であれば,過去の異常度や,過去の異常度を含める最新の異常度によって異常判断するとしても良い。また,異常解析部316は,定期的に異常度記憶部314に問い合わせ,判断すべき異常度が揃ったときに解析を始めるとしても良いし,異常度記憶部314が異常度の集まり具合に応じて,異常解析部316に割り込みを発生させるとしても良い。
上記結果出力部318は,ディスプレイ等の表示部,プリンタ,電子メール,ブザーやLED等のアラート(警告,警報)で表され,このように異常解析部316で得られた異常判断の結果を出力する。
以下,上記の構成による異常判断を詳細に説明する。先ず,異常度受信部312に受信されたプローブ110の異常度は,異常度記憶部314に格納される。
図4は,各プローブ110の異常度の履歴をまとめたデータを示した説明図である。かかる説明図における縦の項目には各プローブ110が記載され(プローブ1〜プローブn),横の項目には,異常度を取得した所定日時が記載されている。
例えば,プローブ1に関するA月B日xa:ya:zcに取得した異常度のサンプル値は,35.1562であり,A月B日xa:ya:zdに取得した異常度のサンプル値は,38.4125である。他のプローブ110に関しても同様に考えることができる。図4では,図面右方向に向かって時系列にデータが並べられる。
異常解析部316は,このような複数のプローブ110(プローブ1〜プローブn)それぞれの最新の異常度の平均値,図4においては,A月B日xa:ya:zdにおける各プローブ1〜nの異常度である38.4125,20.4862,…,30.1215の平均値29.6734を計算する。
かかる平均値から,ネットワーク全体が異常であるかどうか判断することができる。また,異常度の平均値が高かったとしても,すぐにネットワーク全体の異常であると判断できない。これは,特定のプローブのみが局所的に異常である場合,そのプローブの異常度によって平均値が大きくなるからである。従って,ネットワーク全体が異常であると判断するために平均値からの偏差も考慮する必要がある。
図5は,上記のような異常の発生規模の判断基準を説明するための説明図である。ここではプローブ毎の異常度の偏差とプローブ全体の異常度の平均値が参照され,各対象と所定の閾値とが比較される。
ここで,ネットワーク全体が異常であるかどうかを判断するための所定の閾値を25.0000とした場合,上記異常度の平均値は,29.6734であるため図5における異常度の平均値は「異常」となる。また,各々のプローブの異常度を参照して異常度の偏差を計算すると,あまり偏差が大きくない「正常」の結果が導かれる。従って,図5に照らし合わせると「ネットワーク全体が異常」という結果が得られる。
上記の構成により,異常度のバラツキ,即ち,異常度の偏差によって各プローブの異常値のバラツキを判断し,異常度の平均値からネットワーク全体の異常の大きさを判断することが可能となり,ネットワークにおける異常の発生規模を的確に把握することができる。さらには,このような原因の早期の検出によって,異常に対する迅速な対応が可能となる。
また,コンピュータを上記異常管理装置として機能させるプログラムやそのプログラムを記憶した記憶媒体も提供される。
(第4の実施形態:異常管理装置)
図6は,異常管理装置120の他の実施形態における概略的な構成を示したブロック図である。かかる異常管理装置120は,管理制御部310と,異常度受信部312と,異常度記憶部314,異常解析部316と,結果出力部318と,原因解析部350とを含んで構成される。
第3の実施形態における構成要素として既に述べた管理制御部310と,異常度受信部312と,異常度記憶部314,異常解析部316と,結果出力部318とは実質的に機能が同一なので重複説明を省略し,ここでは,新たな機能を有する原因解析部350を主に説明する。
まず,異常度受信部312は,プローブ110で算出された異常度と共に,異常検出に関する複数のパラメータの値も受信し,異常度記憶部314は,プローブ110毎に異常度と複数のパラメータの値を保持する。
上記異常解析部316により各プローブ110の異常の大きさと,ネットワーク100全体の異常の大きさが判断される。ここで,ネットワーク全体が異常であることが検出された場合,その異常の原因を解析するため原因解析部350が動作する。
上記原因解析部350は,異常度記憶部314に記憶されている複数のプローブ110それぞれにおける任意のパラメータの値を集め,その集めたパラメータ値毎に正規分布を生成する。こうして,パラメータ毎の分散を求めることができる。続いて,生成されたパラメータ毎の正規分布の任意の区間に,1または2以上の任意のパラメータ(パラメータ群)のパラメータ値が含まれるプローブの数をカウントし,(カウントされたプローブ数)/(全プローブ数)が所定の閾値以上のとき,上記1または2以上の任意のパラメータ群に基づく同じ原因による異常であると判断する。ここで,パラメータ群はプローブ内の全パラメータとすることもできる。
上述したように,複数のプローブでは,異常度と複数のパラメータの値が検出されている。かかる構成では,プローブ110の任意のパラメータもしくは任意の組合せによるパラメータが,他のプローブのパラメータと比較して,パラメータ毎の信頼区間に含まれているかどうかを計算する。ここでは,プローブ全体における任意のパラメータ値とそのパラメータにおける信頼区間(正規分布の任意の区間)との合致度を求めている。そしてネットワークに異常が発生したと検知したとき,任意のパラメータ群が正規分布の任意の区間に含まれているプローブが多いと,上記任意のパラメータ群を原因とした異常であると判断できる。
このようにして,プローブ全体が大きな異常値を示す原因となっていると考えられるいくつかのパラメータ(パラメータ群)を挙げ,そのパラメータ群を中心に各プローブ110のそれぞれのパラメータ値がパラメータ毎の信頼区間に含まれるかどうかを確認し,どれだけのプローブ110で,上記パラメータ群の組合せが同様に観測されているかにより,該当するパラメータ群を原因とする異常であると判断できる。こうして該異常の波及割合も判断できる。
以下,上記の構成による異常判断を詳細に説明する。先ず,異常度受信部312に受信されたプローブ110の異常度は,異常度記憶部314に格納される。そして,異常解析部316により,プローブ110全体に関する異常の規模が推定される。
かかる異常解析部316の判断で,ネットワーク全体が異常であると判断された場合,原因解析部350によって,異常の原因が何であるのか,どのパラメータに偏って異常が生じているのか,例えば,同ワームを原因とした異常ではないのか,が判断される。
図7は,各プローブ110の異常度およびパラメータ値の履歴をまとめたデータを示した説明図である。かかる説明図における縦の項目には各プローブ110が記載され(プローブ1〜プローブn),横の項目には,異常度(ここでは単にトラフィックを参照している。)とパラメータ1〜mが記載され,過去の同データが時間軸方向に重ねられて表現されている。
例えば,プローブ1に関しては,異常度が15.4655,パラメータ1が1.4655,パラメータ2が0.4651となる。他のプローブ110に関しても同様に考えることができる。
異常解析部316は,このような複数のプローブ110(プローブ1〜プローブn)それぞれの最新の異常度の平均値,図7においては,異常度15.4655,5.04652,…,10.4566の平均値10.3229を計算する。
そして,プローブ1〜n各々の,平均値10.3229からの偏差を算出する。例えば,プローブ1の偏差は,15.4655−10.3229=5.1426となる。ここで,全プローブ110の偏差の閾値を3.0000,平均値の閾値を15.0000とすると,偏差は「異常」,平均値は「正常」と判断され,図5を参照して,局地的な異常が発生していることが導出される。図7に示される範囲で,かかる異常を検証すると,プローブ1の異常度は他のプローブより突出して大きい。プローブ1の各パラメータは,例えば,パラメータ1は,プローブnとほぼ等しいが,パラメータ2に関しては,プローブ2や3のほぼ2倍の値を示している。この場合,プローブ1においてパラメータ2に関連した異常が発生していると示唆される。
図8は,図7と相違する状況における,各プローブ110の異常度およびパラメータ値の履歴をまとめたデータを示した説明図である。
例えば,プローブ1に関しては,異常度が204,1341,パラメータ1が26.3412,パラメータ2が1.5123となる。他のプローブ110に関しても同様に考えることができる。
異常解析部316は,このような複数のプローブ110(プローブ1〜プローブn)それぞれの最新の異常度の平均値,図8においては,異常度204.1341,190.5139,…,222.4145,の平均値205.6875を計算する。
そして,プローブ1〜n各々の,平均値205.6875からの偏差を算出する。例えば,プローブ1の偏差は,204.1341−205.6875=−1.5534となる。ここで,全プローブ110の偏差の閾値を30.0000,平均値の閾値を150.0000とすると,偏差は「正常」,平均値は「異常」と判断され,図5を参照して,ネットワーク全体で異常が発生していることが導出される。図8に示される範囲で,かかる異常を検証すると,全プローブにおいて異常度が高くなっている。ここで,プローブ毎に詳細に見てみると,パラメータ2のパラメータ値は全体的に低いが,パラメータ1に関しては,数値こそばらけていないものの,全体的に大きな値となっている。この場合,ネットワーク全体が異常を示し,さらにパラメータ1がその原因であると示唆される。
上記のようにネットワーク全体が異常であると判断された場合,異常管理装置120は,その原因を調査する。その準備として,原因解析部350は,異常度記憶部314に記憶されている複数のプローブ110それぞれにおける任意のパラメータの値を集め,その集めたパラメータ値毎に正規分布を生成する。例えば,任意のパラメータとしてパラメータ1を挙げた場合,そのパラメータ1に関するパラメータ値26.3412,24.1241,…,30.4124の集合から分散を計算し,正規分布を求める。
続いて,生成されたパラメータ毎の正規分布の任意の区間に,該パラメータに対応する1つのプローブ110内の1または2以上の任意のパラメータのパラメータ値が含まれるかどうか判断する。例えば,任意のパラメータ,ここでは,パラメータ1のみに着目すると,原因解析部350は,プローブ1のパラメータ値26.3412が,このパラメータに関して既に生成されている正規分布の任意の区間,例えば95%に含まれているかどうかを判断する。そして,パラメータ1のパラメータ値が,そのパラメータの正規分布の任意の区間(信頼区間)に含まれているとき,そのプローブの数をカウントする。対象とするパラメータは,1または2以上の組合せによるパラメータでも良いし,全パラメータとすることもできる。
図9は,このような正規分布の任意の区間を説明するための模式図である。ここでは,パラメータ1の母集団が無限のサンプル値を含むとした場合の理想的な分散が表されている。この標準的な正規分布では,パラメータ1の平均値26.9592は0として,標準偏差は1,全面積は1として見なすことができる。ここで,上記任意の区間95%とは,平均値から左右対称となる領域の面積が0.95になる区間を言い,図9では,偏差を変換した値が±1.96内である範囲400を言う。
例えば,図9において正規分布に変換した場合,「0.8」を指すパラメータ値402は95%に含まれるとなり,「2.2」を示すパラメータ値404は含まれないとなる。
最後に,カウントされたプローブ数,例えば,10を全プローブ数であるnで除算して,所定の閾値と比較する。このとき,閾値が80%で,nが11であった場合,10/11>0.8であることから,ネットワークは,そのパラメータ群による同じ原因による異常が生じていると判断できる。また,上記では,プローブの任意のパラメータ群を対象としたが,任意のパラメータや全パラメータによる異常原因を判断することも可能である。
(他の実施形態)
上述した原因解析部350は,平均値に対して近い値か遠い値かの2種に分けることのみを目的としていた。以下,判断要素をさらに細分化した他の実施形態を説明する。
他の実施形態における原因解析部350は,ネットワーク100に異常が発生したことを検知したとき,パラメータ毎のパラメータ値を,プローブ110を跨いで抜出して正規分布を生成し,その後,生成されたパラメータ毎の正規分布の任意の区間に,該パラメータに対応するパラメータ値が含まれる割合をプローブ毎に算出する。そして,(該割合が所定の閾値以上であるプローブの数)/(全プローブ数)が所定の閾値以上のとき,同じ原因による異常であると判断する。
例えば,1つのプローブ110の各パラメータについて,先に生成されたパラメータ毎の正規分布と比較し,その正規分布の任意の区間に含まれるパラメータの数をカウントして,全パラメータ数で割る。かかる割合が大きいほど他のプローブと,多数のパラメータに関して異常の原因が等しい可能性が高くなる。従って,上記割合が所定の閾値以上であるプローブの数が所定数以上あれば,異常原因が等しいと判断できる。
上記各パラメータの比較を,プローブ全体が異常と判断したパラメータのみで行うことによって原因の切り分けができる。
以下,上記の構成による異常判断を詳細に説明する。上記異常解析部316において,ネットワーク全体が異常であると判断された場合,原因解析部350によって,異常の原因が何であるのか,どのパラメータに偏って異常が生じているのか,例えば,同ワームを原因とした異常ではないのか,が判断される。
まず,上述した原因解析部350同様に,図7のデータを参照して,パラメータ毎の正規分布を求める。その後,例えばプローブ1に着目して,プローブ1に属する全てのパラメータ値を抽出する。
図10は,上記プローブ1の全パラメータ値をグラフ化した説明図である。図10においてパラメータ数mは7である。このとき,パラメータ1の値410は1.4655,パラメータ2の値412は0.4651とする。このようなパラメータ値に上記で求めた正規分布の95%範囲を重ねる。
図11は,図10のパラメータ値に各パラメータの正規分布95%範囲を重畳した説明図である。このような95%の範囲は,図11上,両方向矢印で表される。例えば,プローブ1の場合,パラメータ1に関するパラメータ値410およびパラメータ2に関するパラメータ値412は,各々のパラメータに関する95%範囲416に含まれている。同様に他のパラメータに関しても95%の信頼区間に含まれており,プローブ1は,全てのパラメータが信頼区間中にあることとなる。
かかるパラメータ値が任意の区間に含まれるパラメータの全パラメータに対する割合(ここでは一致率という。)を計算する。例えば,任意のプローブにおいて信頼区間に含まれるパラメータの数が3,全パラメータ数が7となると,一致率は3/7=43%となる。このような一致率をプローブ1〜n全てについて計算し,その一致率の分布をテーブルで表す。
また,上記図10および図11は,上述した,パラメータ毎の正規分布の任意の区間に,該パラメータに対応する1つのプローブ110内の全てのパラメータ値が含まれるかどうかを判断する場合にも適用される。かかる判断では,全てのパラメータが任意の区間に含まれる,即ち,一致率100%のプローブのみがカウントされる点が特徴である。
図12は,全てのプローブの一致率をテーブルで表した説明図である。ここでは,プローブ全てに対して上記のように一致率が計算され,その一致率に基づいて各プローブの割合を求めている。例えば,上記任意のプローブの一致率は43%であり,図12においては40−49%の領域430に対応する。図12を参照すると,かかる40−49%の範囲に属するプローブが全プローブの3%であることが理解できる。
例えば,プローブの全数を100,パラメータ数を10とすると,ネットワークに異常が起こった際,プローブ全体のパラメータ値と各プローブ110を比較して,10のパラメータ全てが信頼区間に収まるプローブ110は50個であり,同様に9のパラメータが信頼区間に収まる,即ち,1のパラメータのみが信頼区間に収まらなかったプローブ110は5つであることが分かる。
次に,このようなテーブルを参照し,一致率が所定の閾値,例えば図12においては80%以上(図12では太線432で表している。)であるプローブの数を全プローブ数で除算すると,60%のプローブ割合であることが分かる。ネットワーク全体が異常であると判断され,上記のように60%以上のプローブ110に被害が出ている場合をネットワーク全体の被害であるとすると,図12から,60%のプローブ110に被害を与えるパラメータはプローブ110中の80%以上の一致が見られる点となる。従って,10のパラメータのうち,8のパラメータが原因となり,ネットワーク全体(60%)に被害を与えていると判断できる。
また,他の高度なクラスタリング手法を用いて,クラスタリングを行うことも可能である。かかる高度なクラスタリングによると,例えば,「A原因による異常がx%」,「B原因による異常がy%」,「C原因による異常がz%」といったような出力が得られる。
図13は,図12と相違する状況における,全てのプローブの一致率をテーブルで表した説明図である。図13は,一致率100%と一致率30−39%のプローブ割合に関して図12と相違する。
ここでは,10のパラメータのうち3のパラメータのみで異常が確認されているとする。このとき,図13を参照すると,10のパラメータのうち,3のパラメータのみが信頼区間に合致する確率が非常に高くなっており,3つのパラメータがプローブ全体の信頼区間と一致するプローブの割合,即ち図13における太線434以上の積算値は79%になる。よって,この3つのパラメータが異常値を示したために,79%のプローブが影響を受けていると判断できる。
そして,原因となるパラメータ数が決まれば,プローブ110をサンプリングしてパラメータ値を診ることで,原因を推測できる。また,パラメータの組合せに関する一致率を用いることにより,異常発生の原因となるパラメータの組合せを検出することも可能である。ここで,パラメータの組合せを全て考慮すると,パラメータの数に応じて膨大な組合せが考えられるので,一般的に考えられる組合せのみ用いるとしても良い。また,パラメータ毎に一致率を求め,一致率の高いパラメータを列挙する方法も考えられる。
上述したように,各プローブ110の一致率を参照することにより,個々のパラメータに関して詳細に原因追及することなく,異常発生の原因がおおよそ等しいかどうか,また,どのぐらいのパラメータを原因として以上が発生しているかを判断することができる。かかる簡略化の構成により,負荷やコストの軽減が図れる。
このように,ネットワーク上のプローブ110が,全く相違する原因で異常が起こっているのか,同一の原因で異常が起こっているのかを把握することによって,その異常に対する,なすべき適切な対応方法を選択することができる。
(第5の実施形態:異常管理装置)
図14は,異常管理装置120の他の実施形態における概略的な構成を示したブロック図である。かかる異常管理装置120は,管理制御部310と,異常度受信部312と,異常度記憶部314,異常解析部316と,結果出力部318と,原因解析部350と,攻撃パターン記憶部452と,攻撃パターン抽出部454と,対策パターン記憶部456と,対策パターン抽出部458とを含んで構成される。
第4の実施形態における構成要素として既に述べた管理制御部310と,異常度受信部312と,異常度記憶部314,異常解析部316と,結果出力部318と,原因解析部350とは実質的に機能が同一なので重複説明を省略し,ここでは,新たな機能を有する攻撃パターン記憶部452と,攻撃パターン抽出部454と,対策パターン記憶部456と,対策パターン抽出部458を主に説明する。
第4の実施形態で説明したように,異常管理装置120は,ネットワークの異常規模を判断し,さらにその原因を抽出する。第5の実施形態ではさらにその異常に対して対策が講じられていることで第4の実施形態と相違する。ここで説明される攻撃パターン抽出部454,対策パターン抽出部458は,異常解析部316が異常を検出した場合にのみ動作するとして,負荷を軽減することも可能である。
上記攻撃パターン記憶部452は,推測される攻撃パターンを記憶し,上記攻撃パターン抽出部454は,異常解析部316で解析された,異常プローブ,異常パラメータ,および異常パラメータの値等から導き出される攻撃パターンおよびその可能性を,攻撃パターン記憶部452から抽出する。
上記対策パターン記憶部456は,このような攻撃パターンに対する対策パターンを記憶し,上記対策パターン抽出部458は,攻撃パターン抽出部454において抽出された攻撃パターンに対する対策パターンを,対策パターン記憶部456から抽出する。
上記攻撃パターンとして,例えば,TCP139番ポートというパラメータのパラメータ値が大きくなり異常管理装置120が異常を検知し,さらに,ICMPのホストエラーまたはサービスエラーなどのパラメータ値が大きくなり異常管理装置120が異常を検知した場合,TCP139ポートを対象にしてスキャンをかけ,同ポートで提供されるプログラムの脆弱性を用いて増殖するワームプログラムが急増していると推測できる。このときの上記対策パターンとしてはTCP139番ポートを閉じる等が考えられる。このような攻撃パターンや対策パターンは既存のデータを利用でき,また,事後的に発生する攻撃等の解析により,さらに蓄積され得る。
かかる攻撃パターン抽出部454や対策パターン抽出部458によって,オペレータは,検出された異常に対する的確な対応をとることができる。また,単に異常のあるパラメータを出力する場合と比較して,インターネットプロトコルに関する詳しい知識を有していない場合においても,適切な指示が出力されるので,オペレータは,簡単なネットワーク機器の設定変更等の対応が可能となる。
(第6の実施形態:異常管理装置の具体的回路)
図15は,第3,4,5の実施形態による異常管理装置120の概略的な構成を示した回路ブロック図である。ここでは,上述した異常管理装置120をさらに具体的な回路で表している。
上記異常管理装置120は,通信ドライバ460と,CPU462と,ROM464と,RAM466と,HDD468と,表示部470と,入力部472とを含んで構成される。
上記通信ドライバ460は,ネットワーク100を通じて入力されるプローブ110からの異常度やパラメータ値を受信する。
上記CPU462は,信号処理を行う半導体集積回路であって,異常管理装置120全体を管理および制御する。上記ROM464は,CPU462に読み込まれた異常管理装置120を制御するプログラムが予め記憶されている。上記RAM466は,CPU462が異常管理装置120として機能するための所定データを一時記憶したり,変数を格納したりする場所として利用される。上記HDD468は,ROM464同様に異常管理装置120を制御するプログラムや他のアプリケーションが記憶されている。
上記表示部470は,モノクロもしくはカラーのディスプレイで表され,結果出力部318として,異常判断の結果を表示する。上記入力部472は,キーボード,テンキー等のキー入力部(図示せず)で形成され,表示部470の表示機能を支援する。
(第7の実施形態:異常管理方法)
次に,ネットワーク100の任意の位置に配された複数のプローブ110と,プローブ110にネットワーク100を介して接続された異常管理装置120とによって,異常を管理する異常管理方法を説明する。
図16は,プローブ110における異常検出方法の流れを示したフローチャートである。先ず,プローブ110は,監視対象であるネットワークのトラフィックをモニタリングし,該トラフィックの所定のパラメータの値を検出する(S510),そして,かかるパラメータを利用し,例えば,パラメータ値の和をとるなどして異常度を算出する(S512)。最後に,算出された異常度およびパラメータの値を異常管理装置120に送信する(S514)。
図17は,異常管理装置120における異常管理方法の流れを示したフローチャートである。先ず,異常管理装置120は,複数のプローブ110で算出された異常度を受信し(S550),その受信された異常度を記憶する(S552)。このとき,異常度と共に,異常度の算出根拠となったパラメータ値を受信,記憶することもできる。
続いて,異常管理装置120は,複数のプローブ110の異常度の平均値および平均値に対する偏差に基づいて,ネットワークにおける異常の規模を判断する(S554)。このようにして,抽出された異常が局所的なものかネットワーク全体のものかが判断される。
次に,異常管理装置120は,パラメータ毎のパラメータ値を,プローブ110を跨いで抜出して生成されたパラメータ毎の正規分布の任意の区間に,1または2以上の任意のパラメータのパラメータ値が含まれるプローブの数をカウントし,(カウントされたプローブ数)/(全プローブ数)と所定の閾値とを比較する(S556)。かかる(カウントされたプローブ数)/(全プローブ数)が所定の閾値以上であれば,上記1または2以上の任意のパラメータ群による異常であると判断することができる。
また,この様な原因解析ステップ(S556)として,パラメータ毎のパラメータ値を,プローブ110を跨いで抜出して生成されたパラメータ毎の正規分布の任意の区間に,該パラメータに対応するパラメータ値が含まれる割合をプローブ110毎に算出して,(該割合が所定の閾値以上であるプローブの数)/(全プローブ数)と所定の閾値とを比較するとしても良い。かかる(該割合が所定の閾値以上であるプローブの数)/(全プローブ数)が所定の閾値以上のとき,同じ原因による異常であると判断する。
そして,異常管理装置120は,異常解析ステップ(S554)および原因解析ステップ(S556)で解析された,異常プローブ,異常パラメータ,および異常パラメータの値から導き出される攻撃パターンおよびその可能性を,データベースとしての攻撃パターン記憶部452から抽出する(S558)。また,抽出された攻撃パターンに対する対策パターンを,データベースとしての対策パターン記憶部456から抽出する(S560)。最後に,異常解析ステップ(S554),原因解析ステップ(S556),攻撃パターン抽出ステップ(S558),対策パターン抽出ステップ(S560)等で得られた結果を表示部やプリンタ等の出力部に出力する(S562)。
図18,図19は,上記原因解析ステップ(S556)の詳細な流れを表したフローチャートである。ここで,異常管理装置120に収集され,蓄積されているプローブをn個,パラメータをm個とする。異常管理装置120の原因解析部350は,先ず,異常度記憶部314に記憶されている複数のプローブ110それぞれにおける任意のパラメータの値を参照して,内側ループで,プローブ1〜n,パラメータ値jをサンプル値として抽出し,任意のパラメータjにおける正規分布を求める。この処理を外側ループにて,パラメータ1〜jの分だけ繰り返す(S600)。
各パラメータ1〜jの正規分布が生成されると,同様のループにより,プローブiパラメータjの値が上記パラメータjの正規分布の95%に含まれるかどうか算出される(S602)。ここでは,全パラメータを対象として異常解析が行われている。かかる算出値が閾値以上である場合,ネットワーク全体の異常原因が同じであると判断される。
続いて,図19に示すように,iとjの順番を変更した同様のループにより,プローブiパラメータjの値が上記パラメータjの正規分布の95%に含まれるかどうか算出され,プローブi毎の一致率からテーブルが生成される(S604)。こうして,プローブ毎の異常評価(例えば,一致率80%以上のプローブ割合60%)がなされる。
以上,添付図面を参照しながら本発明の好適な実施形態について説明したが,本発明は係る例に限定されないことは言うまでもない。当業者であれば,特許請求の範囲に記載された範疇内において,各種の変更例または修正例に想到し得ることは明らかであり,それらについても当然に本発明の技術的範囲に属するものと了解される。
例えば,上記実施形態においては,異常度もしくはパラメータ値を参照する上で,現在または過去におけるほぼ同時点のプローブのデータを参照し正規分布を生成しているが,かかる場合に限られず,同プローブの異常度もしくは特定のパラメータの過去から現在までの値を積算して正規分布を生成することもできる。かかる構成により,過去から一定して高い異常度は,異常と見なさず,その異常度の偏差が定常値からかけ離れたとき異常と判断することができる。
なお,本明細書の異常管理方法における各工程は,必ずしもフローチャートとして記載された順序に沿って時系列に処理する必要はなく,並列的あるいは個別に実行される処理(例えば,並列処理あるいはオブジェクトによる処理)も含むとしても良い。
本発明は,ネットワークの異常を管理する異常検出システム,異常管理装置,異常管理方法,プローブおよびそのプログラムに適用可能である。
異常検出システムの概略的な構成を示したブロック図である。 プローブの概略的な構成を示したブロック図である。 異常管理装置の概略的な構成を示したブロック図である。 各プローブの異常度の履歴をまとめたデータを示した説明図である。 異常の発生規模の判断基準を説明するための説明図である。 異常管理装置の他の実施形態における概略的な構成を示したブロック図である。 各プローブの異常度およびパラメータ値の履歴をまとめたデータを示した説明図である。 各プローブの異常度およびパラメータ値の履歴をまとめたデータを示した説明図である。 正規分布の任意の区間を説明するための模式図である。 プローブの全パラメータ値をグラフ化した説明図である。 図10のパラメータ値に各パラメータの正規分布95%範囲を重畳した説明図である。 全てのプローブの一致率をテーブルで表した説明図である。 全てのプローブの一致率をテーブルで表した説明図である。 異常管理装置の他の実施形態における概略的な構成を示したブロック図である。 異常管理装置の概略的な構成を示した回路ブロック図である。 プローブにおける異常検出方法の流れを示したフローチャートである。 異常管理装置における異常管理方法の流れを示したフローチャートである。 原因解析ステップの詳細な流れを表したフローチャートである。 原因解析ステップの詳細な流れを表したフローチャートである。
符号の説明
100 ネットワーク
110 プローブ
120 異常管理装置
212 パラメータ検出部
214 異常度算出部
216 異常度送信部
312 異常度受信部
314 異常度記憶部
316 異常解析部
318 結果出力部
350 原因解析部
452 攻撃パターン記憶部
454 攻撃パターン抽出部
456 対策パターン記憶部
458 対策パターン抽出部

Claims (9)

  1. ネットワークの任意の位置に配された複数のプローブにネットワークを介して接続された異常管理装置であって:
    前記複数のプローブで算出された異常度および複数のパラメータの値を受信する異常度受信部と;
    前記複数のプローブの異常度の平均値および平均値に対する偏差に基づいて,ネットワークにおける異常の規模を判断する異常解析部と;
    前記ネットワークに異常が発生したことを検知したとき,前記パラメータ毎のパラメータ値を,前記プローブを跨いで抜出して生成されたパラメータ毎の正規分布の任意の区間に,1または2以上の任意のパラメータのパラメータ値が含まれるプローブの数をカウントし,(カウントされたプローブ数)/(全プローブ数)が所定の閾値以上のとき,前記1または2以上の任意のパラメータを原因とする異常であると判断する原因解析部と;
    前記異常解析部および前記原因解析部で得られた結果を出力する結果出力部と;
    を備えることを特徴とする,異常管理装置。
  2. ネットワークの任意の位置に配された複数のプローブにネットワークを介して接続された異常管理装置であって:
    前記複数のプローブで算出された異常度および複数のパラメータの値を受信する異常度受信部と;
    前記複数のプローブの異常度の平均値および平均値に対する偏差に基づいて,ネットワークにおける異常の規模を判断する異常解析部と;
    前記ネットワークに異常が発生したことを検知したとき,前記パラメータ毎のパラメータ値を,前記プローブを跨いで抜出して生成されたパラメータ毎の正規分布の任意の区間に,該パラメータに対応するパラメータ値が含まれる割合をプローブ毎に算出して,(該割合が所定の閾値以上であるプローブの数)/(全プローブ数)が所定の閾値以上のとき,同じ原因による異常であると判断する原因解析部と;
    前記異常解析部および前記原因解析部で得られた結果を出力する結果出力部と;
    をさらに備えることを特徴とする,異常管理装置。
  3. 推測される攻撃パターンを記憶した攻撃パターン記憶部と;
    前記異常解析部および前記原因解析部で解析された,異常プローブ,異常パラメータ,および異常パラメータの値から導き出される攻撃パターンおよびその可能性を,前記攻撃パターン記憶部から抽出する攻撃パターン抽出部と;
    をさらに備えることを特徴とする,請求項1または2のいずれかに記載の異常管理装置。
  4. 対策パターンを記憶した対策パターン記憶部と;
    前記攻撃パターン抽出部において抽出された攻撃パターンに対する対策パターンを,前記対策パターン記憶部から抽出する対策パターン抽出部と;
    をさらに備えることを特徴とする,請求項3に記載の異常管理装置。
  5. 前記異常度受信部に受信された異常度およびパラメータ値を記憶する異常度記憶部をさらに備えることを特徴とする,請求項1または2のいずれかに記載の異常管理装置。
  6. ネットワークの任意の位置に配された複数のプローブにネットワークを介して接続されたコンピュータ上で動作するプログラムであって:
    前記コンピュータが,
    前記複数のプローブで算出された異常度および複数のパラメータを受信する異常度受信部と;
    前記複数のプローブの異常度の平均値および平均値に対する偏差に基づいて,ネットワークにおける異常の規模を判断する異常解析部と;
    前記ネットワークに異常が発生したことを検知したとき,前記パラメータ毎のパラメータ値を,前記プローブを跨いで抜出して生成されたパラメータ毎の正規分布の任意の区間に,1または2以上の任意のパラメータのパラメータ値が含まれるプローブの数をカウントし,(カウントされたプローブ数)/(全プローブ数)が所定の閾値以上のとき,前記1または2以上の任意のパラメータを原因とする異常であると判断する原因解析部と;
    前記異常解析部および前記原因解析部で得られた結果を出力する結果出力部と;
    として機能することを特徴とする、プログラム。
  7. ネットワークの任意の位置に配された複数のプローブにネットワークを介して接続されたコンピュータ上で動作するプログラムであって:
    前記コンピュータが,
    前記複数のプローブで算出された異常度および複数のパラメータを受信する異常度受信部と;
    前記複数のプローブの異常度の平均値および平均値に対する偏差に基づいて,ネットワークにおける異常の規模を判断する異常解析部と;
    前記ネットワークに異常が発生したことを検知したとき,前記パラメータ毎のパラメータ値を,前記プローブを跨いで抜出して生成されたパラメータ毎の正規分布の任意の区間に,該パラメータに対応するパラメータ値が含まれる割合をプローブ毎に算出して,(該割合が所定の閾値以上であるプローブの数)/(全プローブ数)が所定の閾値以上のとき,同じ原因による異常であると判断する原因解析部と;
    前記異常解析部および前記原因解析部で得られた結果を出力する結果出力部と;
    とし機能することを特徴とする,プログラム。
  8. ネットワークの任意の位置に配された複数のプローブにネットワークを介して接続された異常管理装置において異常を管理する異常管理方法であって:
    前記複数のプローブで算出された異常度および複数のパラメータを受信する異常度受信ステップと;
    前記複数のプローブの異常度の平均値および平均値に対する偏差に基づいて,ネットワークにおける異常の規模を判断する異常解析ステップと;
    前記ネットワークに異常が発生したことを検知したとき,前記パラメータ毎のパラメータ値を,前記プローブを跨いで抜出して生成されたパラメータ毎の正規分布の任意の区間に,1または2以上の任意のパラメータのパラメータ値が含まれるプローブの数をカウントし,(カウントされたプローブ数)/(全プローブ数)が所定の閾値以上のとき,前記1または2以上の任意のパラメータを原因とする異常であると判断する原因解析ステップと;
    前記異常解析ステップおよび前記原因解析ステップで得られた結果を出力する結果出力ステップと;
    を含むことを特徴とする,異常管理方法。
  9. ネットワークの任意の位置に配された複数のプローブにネットワークを介して接続された異常管理装置において異常を管理する異常管理方法であって:
    前記複数のプローブで算出された異常度および複数のパラメータを受信する異常度受信ステップと;
    前記複数のプローブの異常度の平均値および平均値に対する偏差に基づいて,ネットワークにおける異常の規模を判断する異常解析ステップと;
    前記ネットワークに異常が発生したことを検知したとき,前記パラメータ毎のパラメータ値を,前記プローブを跨いで抜出して生成されたパラメータ毎の正規分布の任意の区間に,該パラメータに対応するパラメータ値が含まれる割合をプローブ毎に算出して,(該割合が所定の閾値以上であるプローブの数)/(全プローブ数)が所定の閾値以上のとき,同じ原因による異常であると判断する原因解析ステップと;
    前記異常解析ステップおよび前記原因解析ステップで得られた結果を出力する結果出力ステップと;
    を含むことを特徴とする,異常管理方法。
JP2005262678A 2005-09-09 2005-09-09 異常検出システム,異常管理装置,異常管理方法,プローブおよびそのプログラム Active JP4089719B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2005262678A JP4089719B2 (ja) 2005-09-09 2005-09-09 異常検出システム,異常管理装置,異常管理方法,プローブおよびそのプログラム
US11/498,809 US7594014B2 (en) 2005-09-09 2006-08-04 Abnormality detection system, abnormality management apparatus, abnormality management method, probe and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005262678A JP4089719B2 (ja) 2005-09-09 2005-09-09 異常検出システム,異常管理装置,異常管理方法,プローブおよびそのプログラム

Publications (2)

Publication Number Publication Date
JP2007081454A JP2007081454A (ja) 2007-03-29
JP4089719B2 true JP4089719B2 (ja) 2008-05-28

Family

ID=37856704

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005262678A Active JP4089719B2 (ja) 2005-09-09 2005-09-09 異常検出システム,異常管理装置,異常管理方法,プローブおよびそのプログラム

Country Status (2)

Country Link
US (1) US7594014B2 (ja)
JP (1) JP4089719B2 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008113409A (ja) * 2006-10-04 2008-05-15 Alaxala Networks Corp トラフィック制御システム及び管理サーバ
US20090207741A1 (en) * 2008-02-19 2009-08-20 Shusaku Takahashi Network Subscriber Baseline Analyzer and Generator
US7962611B2 (en) * 2008-03-27 2011-06-14 International Business Machines Corporation Methods, systems and computer program products for detecting flow-level network traffic anomalies via abstraction levels
WO2011119137A1 (en) 2010-03-22 2011-09-29 Lrdc Systems, Llc A method of identifying and protecting the integrity of a set of source data
JP5454355B2 (ja) * 2010-05-24 2014-03-26 日本電気株式会社 ログデータ欠落検知用のネットワーク管理システム、管理方法、及び管理プログラム
JP5666685B2 (ja) * 2011-03-03 2015-02-12 株式会社日立製作所 障害解析装置、そのシステム、およびその方法
JP5928976B2 (ja) * 2011-11-10 2016-06-01 新日鉄住金ソリューションズ株式会社 生存監視システム
JP5901551B2 (ja) * 2013-02-14 2016-04-13 アラクサラネットワークス株式会社 通信装置及びフレーム処理方法
JP2014232923A (ja) * 2013-05-28 2014-12-11 日本電気株式会社 通信装置、サイバー攻撃検出方法、及びプログラム
JP2017034449A (ja) * 2015-07-31 2017-02-09 国立研究開発法人情報通信研究機構 ネットワーク監視システム
JP7007632B2 (ja) * 2017-08-03 2022-01-24 住友電気工業株式会社 検知装置、検知方法および検知プログラム
CN109951499B (zh) * 2019-04-25 2021-09-17 北京计算机技术及应用研究所 一种基于网络结构特征的异常检测方法

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6108782A (en) * 1996-12-13 2000-08-22 3Com Corporation Distributed remote monitoring (dRMON) for networks
US6771646B1 (en) * 1999-06-30 2004-08-03 Hi/Fn, Inc. Associative cache structure for lookups and updates of flow records in a network monitor
CN1293502C (zh) 1999-06-30 2007-01-03 倾向探测公司 用于监控网络流量的方法和设备
US20080281963A1 (en) * 2000-03-02 2008-11-13 Rick Fletcher Distributed remote management (drmon) for networks
JP2002171259A (ja) 2000-11-30 2002-06-14 Matsushita Electric Works Ltd ネットワーク管理装置及び管理プログラム
WO2002046928A1 (en) * 2000-12-04 2002-06-13 Rensselaer Polytechnic Institute Fault detection and prediction for management of computer networks
US20030235280A1 (en) * 2002-06-25 2003-12-25 Reza Shafie-Khorasani Method and apparatus for network voice and data traffic monitoring and congestion management for diverse and converged networks
US7774839B2 (en) * 2002-11-04 2010-08-10 Riverbed Technology, Inc. Feedback mechanism to minimize false assertions of a network intrusion
CA2499938C (en) * 2002-12-13 2007-07-24 Cetacea Networks Corporation Network bandwidth anomaly detector apparatus and method for detecting network attacks using correlation function
GB0406401D0 (en) * 2004-03-22 2004-04-21 British Telecomm Anomaly management scheme for a multi-agent system
JP2006013737A (ja) * 2004-06-24 2006-01-12 Fujitsu Ltd 異常トラヒック除去装置
US7478429B2 (en) * 2004-10-01 2009-01-13 Prolexic Technologies, Inc. Network overload detection and mitigation system and method

Also Published As

Publication number Publication date
US7594014B2 (en) 2009-09-22
JP2007081454A (ja) 2007-03-29
US20070061610A1 (en) 2007-03-15

Similar Documents

Publication Publication Date Title
JP4089719B2 (ja) 異常検出システム,異常管理装置,異常管理方法,プローブおよびそのプログラム
CN111669375B (zh) 一种电力工控终端在线安全态势评估方法及系统
US7752663B2 (en) Log analysis system, method and apparatus
JP5767617B2 (ja) ネットワーク障害検出システムおよびネットワーク障害検出装置
EP2517437B1 (en) Intrusion detection in communication networks
US8539580B2 (en) Method, system and program product for detecting intrusion of a wireless network
KR20200033092A (ko) 엣지 컴퓨팅 기반 네트워크 모니터링 방법, 장치 및 시스템
US20070226803A1 (en) System and method for detecting internet worm traffics through classification of traffic characteristics by types
US7903657B2 (en) Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor
CN111935172A (zh) 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质
WO2006020882A1 (en) Anomaly-based intrusion detection
CN105049291A (zh) 一种检测网络流量异常的方法
JP2010152773A (ja) 攻撃判定装置及び攻撃判定方法及びプログラム
EP2593896B1 (en) Supervision of the security in a computer system
CN110224970B (zh) 一种工业控制系统的安全监视方法和装置
JP2007179131A (ja) イベント検出システム、管理端末及びプログラムと、イベント検出方法
GB2532630A (en) Network intrusion alarm method and system for nuclear power station
CN109951345A (zh) 一种告警处理方法及装置
CN113671909A (zh) 一种钢铁工控设备安全监测系统和方法
JP4324189B2 (ja) 異常トラヒック検出方法およびその装置およびプログラム
Almgren et al. A multi-sensor model to improve automated attack detection
KR101976395B1 (ko) 네트워크의 비정상행위 시각화 방법 및 장치
JP2004336130A (ja) ネットワーク状態監視システム及びプログラム
JP2017211806A (ja) 通信の監視方法、セキュリティ管理システム及びプログラム
CN114189361B (zh) 防御威胁的态势感知方法、装置及系统

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20071114

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071120

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080110

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080205

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080218

R150 Certificate of patent or registration of utility model

Ref document number: 4089719

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110307

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110307

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120307

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130307

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140307

Year of fee payment: 6