JP2006050442A - トラヒック監視方法及びシステム - Google Patents
トラヒック監視方法及びシステム Download PDFInfo
- Publication number
- JP2006050442A JP2006050442A JP2004231362A JP2004231362A JP2006050442A JP 2006050442 A JP2006050442 A JP 2006050442A JP 2004231362 A JP2004231362 A JP 2004231362A JP 2004231362 A JP2004231362 A JP 2004231362A JP 2006050442 A JP2006050442 A JP 2006050442A
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- aggregated data
- primary
- primary aggregated
- data analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 ネットワークにおいて、DoD攻撃などの異常トラヒックを、輻輳を起こすことなく確実に検出する。
【解決手段】 ネットワークに、一次集約データ分析装置321,322を分散配置するとともに、二次集約データ分析装置300を設ける。一次集約データ分析装置321、322では、各ルータからのトラヒックを集約し、集約されたトラヒックから、異常トラヒックであるとの疑いがある被疑トラヒックを検出し、検出された被疑トラヒックから、多地点間分析で必要なデータを抽出し、抽出されたデータを二次集約データ分析装置300。二次集約データ分析装置300は、一次集約データ分析装置321、322から送信されてきたデータから、異常トラヒックを検出する。
【選択図】 図1
【解決手段】 ネットワークに、一次集約データ分析装置321,322を分散配置するとともに、二次集約データ分析装置300を設ける。一次集約データ分析装置321、322では、各ルータからのトラヒックを集約し、集約されたトラヒックから、異常トラヒックであるとの疑いがある被疑トラヒックを検出し、検出された被疑トラヒックから、多地点間分析で必要なデータを抽出し、抽出されたデータを二次集約データ分析装置300。二次集約データ分析装置300は、一次集約データ分析装置321、322から送信されてきたデータから、異常トラヒックを検出する。
【選択図】 図1
Description
本発明は、インターネットにおける異常なトラヒックを監視するトラヒック監視方法及びシステムに関し、特に、DoS(Denial of Service)やDDoS(Distributed Denial of Service)によるトラヒックのような、特定のユーザに対し過度のトラヒックを送信することによりそのユーザのサービス停止を狙ったトラヒックを、多地点でのトラヒック観測情報を基に監視するトラヒック監視方法及びシステムに関する。
インターネット上では、特定のサイトに対して異常なパケットを大量に送信しそれによってそのサイトにおけるサービスを停止させようとする攻撃が、しばしば行われるようになってきた。そのような攻撃のことをDoS攻撃と呼ぶが、さらに巧妙な攻撃として、異なる複数の場所から同時に同一サイトに対してDoS攻撃を仕掛けてくることもあり、そのような複数の場所からの攻撃をDDoS攻撃と呼んでいる。
DoSあるいはDDoS攻撃による妨害を排除するためには、DoSやDDoSの異常トラヒックを送信する不正アクセスを検出してそのような不正アクセスに対処するだけでなく、そのような異常トラヒックの発信元である攻撃元を特定するトラヒック監視ステムが必要となっている。
このようなトラヒック監視システムとして、ネットワーク内の多地点でトラヒックを監視するシステムが有効である。複数のネットワークがそれぞれルータを介して接続しているネットワーク構成を考えた場合に、このような監視システムとして、抽出データ分析型と集約データ分析型とが知られている。抽出データ分析型の監視システムは、各ルータにおいてそのルータを疎通するトラヒックから必要な情報だけを抽出し、その後、その情報を抽出データ分析装置に送信し、抽出データ分析装置では、集められた抽出データから異常トラヒックを検出するものである。したがって、ルータごとに、トラヒックをモニタしてトラヒックデータを抽出する抽出装置を設ける必要がある。一方、集約データ分析型のシステムは、各ルータでは、トラヒック集約制御装置からの指示に従い、関連するデータを全て集約データ分析装置へ迂回させ、集約データ分析装置では、迂回により集約されたデータから異常トラヒックを検出するものである。
抽出データ分析型のトラヒック監視システムの代表例として、米国アーバー・ネットワーク(ARBOR NETWORKS)社(http://www.arbornetworks.com)のPeakflow Platformと呼ばれる製品(詳細は、URL:http://www.arbornetworks.com/products_sp.php(非特許文献1)を参照)と、米国シスコ(Cisco)社のNet Flow Service(詳細は、URL:http://www.cisco.com/warp/public/cc/pd/iosw/ioft/neflct/tech/napps_wp.htmあるいはこれと同内容のpdf文書であるURL:http://www.cisco.com/warp/public/cc/pd/iosw/ioft/nelflct/tech/napps_wp.pdf(非特許文献2)を参照)を使った製品とがある。一方、集約データ分析型のトラヒック監視システムの代表例として、濱野貴文他、“トラヒック集約処理を用いたネットワークベース攻撃防御方式”、電子情報通信学会 信学技報、NS2003−288、179〜182ページ、2004年(非特許文献3)において報告されている方式や、米国のスプリント(SPRINT)社の技術資料、Sharad Agarwal et al., "DDos Mitigation via Regional Cleaning Centers," SPRINT ATL RESEARCH REPORT RR04-ATL-013177、2004年1月(非特許文献4、URL:http://ipmon.sprint.com/pubs_trs/trs/RR04-ATL-013177.pdfから入手可能)がある。
まず、抽出データ分析型のトラヒック監視システムを説明する。図6は、抽出データ分析型システムの構成を示すブロック図である。
図6に示したものでは、ネットワーク1、2、3が設けられており、ネットワーク1とネットワーク2とがルータ4により接続され、ネットワーク1とネットワーク3とがルータ5により接続されていることにより、これらネットワーク1、2、3が相互に接続されている。ネットワーク2に接続されている攻撃コンピュータ11は、ネットワーク3に接続されている被攻撃コンピュータ12に対し、DoS攻撃などの過大な流量のトラヒックを送信する攻撃を行っているものとする。ネットワーク1には、ルータ4を疎通するトラヒックを収集し、必要なデータを抽出するトラヒックデータ抽出装置6と、ルータ5を疎通するトラヒックを収集し、必要なデータを抽出するトラヒックデータ抽出装置7と、トラヒックデータ抽出装置6とトラヒックデータ抽出装置7とから抽出されたデータを集約し分析する抽出データ分析装置8とが接続されている。
なお、アーバー・ネットワークス社の製品Peakflow Platformでの装置「Collector」は、図6でのトラヒックデータ抽出装置6、7に相当し、装置「Controller」は抽出データ分析装置8に相当する。同様に、シスコ社のNetflow Serviceを使った製品では、装置「NetFlow Flow Collector」は、図6でのトラヒックデータ抽出装置6、7に相当し、装置「NetFlow Flow Serverは抽出データ分析装置8に相当する(厳密には、「NetFlow Flow Server」には、異常トラヒック検出機能を具備しておく必要がある)。
図7は、図6に示した抽出データ分析型システムにおける各装置の詳細を示している。以下、図7を用いて、抽出データ分析型のトラヒック監視システムの動作を説明する。
ネットワーク1とネットワーク2とを相互接続しているルータ4には、トラヒックのルーティングを行うルーティング部41と、ルーティングに際して参照されるルーティングテーブル42と、ルータ4を疎通するトラヒックを監視するトラヒック監視部43とが設けられている。ルーティング部41は、ルーティングテーブル42に格納された情報を使い、ルーティング処理を行う。トラヒックモニタ部43は、ルータ4を疎通するトラヒックの情報をコピーし、そのトラヒック情報を含んだパケット(NetFlow Serviceの用語では、「NetFlow data export packet」と呼ぶ)を作成し、トラヒックデータ抽出装置6に送信する。
トラヒックデータ抽出装置6、7は、各ルータのトラヒックモニタ部から送信されてきたデータから必要なデータだけを抽出し、抽出されたデータを抽出データ分析装置8に送信する。あるいは、抽出データ分析装置8自体がトラヒックデータ抽出装置6、7にアクセスして抽出データを取得するようにしてもよい。なお、装置NetFlow FlowServerの場合は、抽出データ分析装置がトラヒックデータ抽出装置にアクセスして抽出データを取得している。
抽出データ分析装置8は、各トラヒックデータ抽出装置6、7から抽出データを収集する抽出データ収集部81と、抽出データをトラヒックデータ抽出装置6、7ごとにそれぞれ格納する抽出データベース82、83と、抽出データベース82、83に格納されているデータから、異常トラヒック検出アルゴリズムを用いて異常トラヒックを検出する異常トラヒック検出部84と、を備えている。この異常トラヒック検出装置8では、抽出データ収集部81を通して、トラヒックデータ抽出装置6、7から抽出されたデータを収集し、それぞれ抽出データベース82、83に格納される。異常トラヒック検出部84は、抽出データベース82、83に格納されているデータから、異常トラヒック検出アルゴリズムを用いて、異常トラヒックを検出する。異常トラヒック検出部84で用いる異常トラヒック検出アルゴリズムとしては、例えば、技術報告書、J. Mirkovic et al., "A Taxonomy of DDoS Attacks and DDoS Defense Mechanisims", Technical report#020018(非特許文献5、URL:http://www.lasr.cs.ucla.edu/ddos/ucla_tech_report_020018.pdfから入手可能)に概要が記載されたものを使用することができる。この異常トラヒック検出アルゴリズムの詳細については、非特許文献5の参考文献を参照されたい。例えば、ルータ4、ルータ5を経由する被攻撃コンピュータ12宛のトラヒックの流量が規定以上であれば、そのトラヒックは異常と判定する。なお、複数地点からのトラヒック情報をもとに攻撃元を特定する追跡アルゴリズムについては、例えば、武井洋介他、“トラヒックパターンを用いた不正アクセス検出及び追跡方法”、電子情報通信学会論文誌 B−I、第J82−B−I巻、第10号、1−10ページ、1999年10月(非特許文献6)を参照されたい。
次に、集約データ分析型のトラヒック監視システムを説明する。図8は、集約データ分析型システムの構成を示すブロック図である。
図8に示したものでは、ネットワーク101、102、103が設けられており、ネットワーク101とネットワーク102とがルータ104により接続され、ネットワーク101とネットワーク103とがルータ105により接続されていることにより、これらネットワーク101、102、103が相互に接続されている。ネットワーク102に接続されている攻撃コンピュータ111は、ネットワーク3に接続されている被攻撃コンピュータ112に対し、DoS攻撃などの過大な流量のトラヒックを送信する攻撃を行っているものとする。ネットワーク1には、トラヒック集約制御装置106と集約データ分析装置107とが接続しており、ネットワーク101内のルータ104と集約データ分析装置107との間、及び、ルータ105と集約データ分析装置107との間には、それぞれ、トラヒック集約制御装置106により設定されたトンネル108、109が設定されている。
このシステムは、各ルータ104、105は、それぞれ、そのルータを疎通するトラヒックをトンネル108、109を介して、集約データ分析装置107に転送する。転送する方法としては、iBGPルーティングテーブルの書き替え方式や、トンネリング方式などがある。iBGPルーティングテーブルの書き替え方式では、被攻撃コンピュータ112宛のパケットのネットワーク101内の最終ルータ宛先が集約データ分析装置107になるように、ネットワーク101内のすべてのBGP(Border gateway Protocol)スピーカ(Speaker)ルータ内のi(internal)BGPルーティングテーブルを設定する。一方、トンネリング方式では、被攻撃コンピュータ112宛のトラヒックが疎通するルータと集約データ分析装置107との間でトンネルを確立する。そして、被攻撃コンピュータ112宛のパケットがこのトンネルを使用するように、そのルータ内のアクセス制御リストのルールを設定する。なお、トンネルを設定するためのプロトコルとしては、例えば、L2TP(Layer 2 Tunneling Protocol)、GRE(Generic Routing Encapsulation)、MPLS(Multiprotocol Label Switching)などがある。集約データ分析型のトラヒック監視システムで用いる各プロトコルについては、上述の非特許文献4を参照されたい。
なお、非特許文献3に記述されている装置「管理サーバ」は、図8に示したシステムにおけるトラヒック集約制御装置106に相当し、「集約型攻撃防御装置」は、集約データ分析装置107に相当する。一方、非特許文献4において記述されている装置「Cleaning Center」は、集約データ分析装置107に相当する。非特許文献4には、図8に示した構成でのトラヒック集約制御装置106に対応する構成については、明確には記述されていない。
以下、トラヒックの転送方式としてトンネリング方式を用いるものとして仮定して、集約データ分析型のトラヒック監視システムの動作を説明するが、ここで述べる各課題は、トラヒックの転送方式としてトンネリング方式以外のものを使用した場合にも当てはまるものである。図9は、図8に示した抽出データ分析型システムにおける各装置の詳細を示している。
ネットワーク101とネットワーク102を相互接続しているルータ104には、トラヒックのルーティングを行うルーティング部141と、ルーティングに際して参照されるルーティングテーブル142と、同じくルーティングに際して参照されるアクセス制御リスト143と、トンネル108の管理を行うトンネル管理部144とを備えている。ルータ105もルータ104と同じ構成である。トラヒック集約制御装置106にも、トンネル108、109の管理を行うトンネル管理部161が設けられている。集約データ分析装置107には、ルータ104、105から抽出されたトラヒックをそれぞれトンネル108、109を介して収集する実データ収集部171と、収集されたデータをルータ104、105ごとにそれぞれ格納する実データベース172、173と、実データベース172、173に格納されているデータから異常トラヒックを検出する異常トラヒック検出部174と、を備えている。ここでは、トラヒック集約制御装置106のトンネル管理部161が、事前にルータ104内のトンネル管理部144とルータ105内のトンネル管理部とを用いて、ルータ104と集約データ分析装置107との間とルータ105と集約データ分析装置107との間に、それぞれ、トンネル108、トンネル109を設定しているものとする。
このトラヒック監視システムにおいて、ルーティング部141は、ルーティングテーブル142の情報のみならずアクセス制御リスト143の情報を用い、ルーティング処理を行う。トラヒック集約制御装置106からの指示により、アクセス制御リスト143には、ネットワーク103宛のトラヒックはすべてトンネル108を使用するよう明示されている。これにより、ネットワーク103宛のトラヒックは、集約データ分析装置107へと迂回させることができる。
なお、被攻撃コンピュータ112のユーザの指示(非特許文献4を参照)もしくはルータ104による指示(非特許文献3を参照)によりアクセス制御リストを動的に変更することによって、攻撃の発生が疑われもしくは予見し得るときに、トンネル108を使用してネットワーク103宛のトラヒックを集約データ分析装置107へ迂回できるが、ここでは、常時、集約データ分析装置107へ迂回されているとする。
集約データ分析装置107では、実データ収集部171を通して、ルータ104、ルータ105から抽出されたデータを収集し、それぞれ実データベース172、173に格納する。異常トラヒック検出部174は、実データベース172、173に格納されているデータを分析し、異常トラヒックがあるか調べる。例えば、実データベース172内のデータにより、ルータ104、ルータ105を経由する被攻撃コンピュータ112宛のトラヒックの流量が規定以上であると判断されれば、そのトラヒックは異常と判定する。
米国ARBOR NETOWRKS社の資料、[online]、米国ARBOR NETOWRKS社、[2004年7月4日検索]、インターネット〈URL:http://www.arbornetworks.com/products_sp.php〉 "NetFlow Services and Applications"、[online]、米国シスコ社、[2004年7月4日検索]、インターネット〈URL:http://www.cisco.com/warp/public/cc/pd/iosw/ioft/nelflct/tech/napps_wp.pdf〉 濱野貴文他、"トラヒック集約処理を用いたネットワークベース攻撃防御方式"、電子情報通信学会 信学技報、NS2003−288、179−182ページ、2004年 Sharad Agarwal et al., "DDos Mitigation via Regional Cleaning Centers," SPRINT ATL RESEARCH REPORT RR04-ATL-013177、[online]、2004年1月、[2004年7月4日検索]、インターネット〈URL:http://ipmon.sprint.com/pubs_trs/trs/RR04-ATL-013177.pdf〉 J. Mirkovic et al., "A Taxonomy of DDoS Attacks and DDoS Defense Mechanisims", Technical report#020018、[online]、[2004年7月4日検索]、インターネット〈:http://www.lasr.cs.ucla.edu/ddos/ucla_tech_report_020018.pdf〉 武井洋介他、"トラヒックパターンを用いた不正アクセス検出及び追跡方法"、電子情報通信学会論文誌 B−I、第J82−B−I巻、第10号、1−10ページ、1999年10月
米国ARBOR NETOWRKS社の資料、[online]、米国ARBOR NETOWRKS社、[2004年7月4日検索]、インターネット〈URL:http://www.arbornetworks.com/products_sp.php〉 "NetFlow Services and Applications"、[online]、米国シスコ社、[2004年7月4日検索]、インターネット〈URL:http://www.cisco.com/warp/public/cc/pd/iosw/ioft/nelflct/tech/napps_wp.pdf〉 濱野貴文他、"トラヒック集約処理を用いたネットワークベース攻撃防御方式"、電子情報通信学会 信学技報、NS2003−288、179−182ページ、2004年 Sharad Agarwal et al., "DDos Mitigation via Regional Cleaning Centers," SPRINT ATL RESEARCH REPORT RR04-ATL-013177、[online]、2004年1月、[2004年7月4日検索]、インターネット〈URL:http://ipmon.sprint.com/pubs_trs/trs/RR04-ATL-013177.pdf〉 J. Mirkovic et al., "A Taxonomy of DDoS Attacks and DDoS Defense Mechanisims", Technical report#020018、[online]、[2004年7月4日検索]、インターネット〈:http://www.lasr.cs.ucla.edu/ddos/ucla_tech_report_020018.pdf〉 武井洋介他、"トラヒックパターンを用いた不正アクセス検出及び追跡方法"、電子情報通信学会論文誌 B−I、第J82−B−I巻、第10号、1−10ページ、1999年10月
しかしながら、上述した従来のトラヒック監視システムには、以下に述べるような課題がある。
抽出データ分析型のトラヒック監視システムでは、ルータごとに設けられたトラヒックデータ抽出装置において、抽出データ分析装置へ送るデータを実トラヒックから抽出する。例えば、一定時間でサンプリングした値もしくは統計情報のみのデータをトラヒックデータ抽出装置から抽出データ分析装置へ送る。このデータの抽出処理により本来あるべき情報量が減少し、これにより、抽出データ分析装置での異常トラヒック検出率が低下する。図10に、実トラヒックをサンプリングすることによっては異常トラヒックであることを検出できない場合の例を示す。
図10は、トラヒックのレート(流量)の時間変化の一例を示すグラフである。ここでは、レートにおいて異常閾値が設定されており、レートが異常閾値を超えるときに異常と判断する異常検出アルゴリズムを仮定している。DoS攻撃のように、一時的に過度のトラヒックを送信する攻撃の例では、このアルゴリズムは有効である。図10の例では、実トラヒック1000では攻撃攻撃1001、攻撃1002によってレートが異常閾値を超えている期間があるのに対し、一定間隔で平均化するサンプルトラヒック2000ではいずれの時間帯でもレートは異常閾値を下回っている。したがって、このようなサンプルトラヒック2000を用いて異常トラヒックの検出を行った場合には、攻撃1001、1002は検出できないことになる。なお、実トラヒックをもとに分析する集約データ分析型のシステムでは、攻撃201、攻撃202は検出可能である。
さらに、抽出データ分析型のシステムは、すべてのルータに対してルータごとにトラヒックデータ抽出装置を設ける必要があるので、コスト面や実装面での問題点も生じる。
一方、集約データ分析型のトラヒック監視システムでは、集約データ分析装置がルータからの実トラヒックを集約するため、ルータから集約データ分析装置までの間のパスで輻輳が発生する可能性がある。特に、DoS攻撃のような攻撃トラヒックは、過度の流量のトラヒックをもたらすため、ますます、輻輳が発生する確率が高くなる。また、DDoS攻撃のように複数の攻撃コンピュータがひとつの被攻撃コンピュータを攻撃する場合には、輻輳が発生する確率はさらに高くなる。例えば、図11に示すように複数の攻撃コンピュータがひとつの被攻撃コンピュータを攻撃する場合における、集約データ分析型のシステムを考える。
図11に示したものでは、ネットワーク200にルータ231、232、233が収容されており、ルータ231はネットワーク200とネットワーク201を接続し、ルータ232はネットワーク200とネットワーク202を接続し、ルータ233はネットワーク200とネットワーク203を接続している。ネットワーク200には集約データ分析装置240が接続しており、ネットワーク200に接続されたトラヒック集約制御装置(不図示)によって、各ルータ231〜233と集約データ分析装置240と間には、それぞれ、トンネル211〜213が設定されているものとする。被攻撃コンピュータ253はネットワーク203に収容されており、被攻撃コンピュータ253に攻撃を仕掛ける攻撃コンピュータ251、252は、それぞれ、ネットワーク201、202に収容されている。このとき、集約データ分析装置240は、攻撃コンピュータ251、252からの実トラヒックを受信することになり、ネットワーク200での輻輳の発生確率は高くなる。この問題は上述の非特許文献4にも記載されている。
なお、このトラヒックの集中による輻輳の問題は、抽出データ分析型のシステムの場合には、抽出データ分析装置へのトラヒックがトラヒックデータ抽出装置でのデータ抽出により緩和されるため、発生しにくくなっている。
さらに、集約データ分析型のシステムの場合、上述した輻輳のみならず、過度のトラヒックによって集約データ分析装置の処理能力が足りなくなるおそれがあり、また、集約データ分析装置が故障した場合にDoS攻撃やDDoS攻撃に対する防御ができなくなる、という問題点もある。
そこで本発明の目的は、集約データ分析型のシステムの利点を生かしつつ、ネットワークでの輻輳を防止し、さらに、データ分析装置に障害が発生した場合であっても各種の攻撃に対して防御することができる、ネットワーク監視システム方法及びを提供することにある。
本発明では、集約データ分析装置内もしくは集約データ分析装置とルータ間のパスで輻輳が発生しないように、ネットワーク内で一次集約データ分析装置を分散配置させ、各一次集約データ分析装置内で、異常トラヒックと疑われる被疑トラヒックを検出し、さらに、二次集約データ分析装置を設け、この二次集約データ分析装置において、被疑トラヒックに対する分析結果をさらに統合して分析するようにしている。
すなわち、本発明のトラヒック監視方法は、トラヒックを疎通する複数の中継装置を含んでいるネットワークにおいてトラヒックを監視するトラヒック監視方法であって、各中継装置から、その中継装置でのトラヒックを一次集約データ分析装置に集約する段階と、一次集約データ分析装置が、集約されたトラヒックから異常トラヒックであるとの疑いがある被疑トラヒックを検出する段階と、一次集約データ分析装置が、検出された被疑トラヒックから、多地点間分析で必要なデータを抽出し、抽出されたデータを二次集約データ分析装置に送信する段階と、二次集約データ分析装置が、一次集約データ分析装置から送信されてきたデータから異常トラヒックを検出する段階と、を有する。
また本発明のトラヒック監視システムは、トラヒックを疎通する複数の中継装置を含んでいるネットワークにおいてトラヒックを監視するトラヒック監視システムであって、一次集約データ分析装置と、二次集約データ分析装置と、を有し、一次集約データ分析装置は、中継装置からのトラヒックを集約し、集約されたトラヒックから、異常トラヒックであるとの疑いがある被疑トラヒックを検出する手段と、検出された被疑トラヒックから、多地点間分析で必要なデータを抽出し、抽出されたデータを二次集約データ分析装置に送信する手段と、を備え、二次集約データ分析装置は、一次集約データ分析装置から送信されてきたデータから異常トラヒックを検出する手段を備える。
本発明において中継装置は、典型的にはルータである。
さらに本発明では、中継装置と対応する一次集約データ装置との間にトンネルを設定するとともに、一次集約データ分析装置の処理状態に応じてルータと一次集約データ分析装置間のトンネルを統合管理するようにすることが好ましい。
本発明では、一次集約データ分析装置において実トラヒックを分析するため、従来の抽出データ分析型のシステムでの問題点であったトラヒック情報の欠落が起こりにくく、これによって、異常トラヒックを確実に検出できるようになる、という効果が得られる。また、単一の一次集約データ分析装置によってネットワーク内のすべてのルータからの実トラヒックを集約するのではなく、複数の一次集約データ分析装置をネットワーク内に分散配置し、各一次集約データ分析装置がその担当するルータから実トラヒックを集約するようにすることができるので、ネットワーク及び一次集約データ分析装置での輻輳の発生が抑制される効果が得られる。
さらに、一次集約データ分析装置における障害の発生を監視しまた処理量や回線利用率を監視する手段を設けることにより、故障もしくは輻輳などにより運用停止状態となった場合、あるいは高負荷状態となった場合に、他の一次集約データ分析装置に切り替えることが可能となり、信頼性が向上する。
次に、本発明の好ましい実施の形態について、図面を参照して説明する。
《第1の実施形態》
図1は、本発明の第1の実施形態のネットワーク監視システムの構成を示すブロック図である。ここでは、図11に示したものと同様に、ネットワーク200にルータ231、232、233が収容されており、ルータ231はネットワーク200とネットワーク201を接続し、ルータ232はネットワーク200とネットワーク202を接続し、ルータ233はネットワーク200とネットワーク203を接続し、被攻撃コンピュータ253はネットワーク203に収容されており、被攻撃コンピュータ253に攻撃を仕掛ける攻撃コンピュータ251、252は、それぞれ、ネットワーク201、202に収容されているものとする。さらに本実施形態では、図1に示すように、ネットワーク200に対し、一次集約データ分析装置321、322と、二次集約データ分析装置300と、トラヒック集約制御装置340が接続している。ルータ231〜233としては図8、9に示した従来のネットワーク監視システムにおけるルータ104、105と同等のものを使用することができ、同様に、トラヒック集約制御装置340としては、図8、9に示したトラヒック集約制御装置106と同等のものを使用できる。
図1は、本発明の第1の実施形態のネットワーク監視システムの構成を示すブロック図である。ここでは、図11に示したものと同様に、ネットワーク200にルータ231、232、233が収容されており、ルータ231はネットワーク200とネットワーク201を接続し、ルータ232はネットワーク200とネットワーク202を接続し、ルータ233はネットワーク200とネットワーク203を接続し、被攻撃コンピュータ253はネットワーク203に収容されており、被攻撃コンピュータ253に攻撃を仕掛ける攻撃コンピュータ251、252は、それぞれ、ネットワーク201、202に収容されているものとする。さらに本実施形態では、図1に示すように、ネットワーク200に対し、一次集約データ分析装置321、322と、二次集約データ分析装置300と、トラヒック集約制御装置340が接続している。ルータ231〜233としては図8、9に示した従来のネットワーク監視システムにおけるルータ104、105と同等のものを使用することができ、同様に、トラヒック集約制御装置340としては、図8、9に示したトラヒック集約制御装置106と同等のものを使用できる。
一次集約データ分析装置321、322は、各ルータ231〜233からのトラヒックを集約し、集約されたトラヒックの中から被疑トラヒックを検出し、検出した被疑トラックから、必要十分なデータすなわち多地点間分析に必要なトラヒックを抽出して抽出したデータを二次集約データ分析装置300に送信するものである。二次集約データ分析装置300は、各一次集約データ分析装置321、322から送られてきたデータ(すなわち多地点間分析に必要なトラヒック)を蓄積し、これらのデータから異常トラヒックを抽出し、さらに攻撃元を追跡するものである。
各ルータから一次集約データ分析装置にトラヒックを集約する方法としては、従来の集約データ分析型のシステムの場合と同様に各種のものが考えられるが、ここでは、トンネリング方式を用いることとする。図1に示すように、ルータ231、232は、それらのルータを疎通するトラヒックを、それぞれ、トンネル311、312を使って一次集約データ分析装置321に転送する。ルータ233は、そのルータを疎通するトラヒックを、トンネル313を用いて一次集約データ分析装置322に転送する。
図2は、図1に示したネットワーク監視システムにおける各装置の詳細を示している。
ルータ231〜233は同一の構成のものであるから、ここではルータ231により、ルータの構成を説明する。ルータ231は、トラヒックのルーティングを行うルーティング部351と、ルーティングに際して参照されるルーティングテーブル352及びアクセス制御リスト353と、トンネル311の管理を行うトンネル管理部354とを備えている。トラヒック集約制御装置340には、各トンネル311〜313の管理を行うトンネル管理部371が設けられている。
一次集約データ分析装置321、322は同一の構成のものであり一次集約データ分析装置321によってこれらを説明すると、一次集約データ分析装置321は、ルータ231、232から抽出されたトラヒックをそれぞれトンネル311、312を介して収集する実データ収集部361と、収集されたデータをルータ231、232ごとにそれぞれ格納する実データベース362、363と、実データベース362、363に格納されているデータから被疑トラヒックを検出する一次異常トラヒック検出部364と、被疑トラヒックが検出された場合に、そのトラヒックからサンプル値及び/または統計情報を抽出し抽出したデータを二次集約データ分析装置300に送信するトラヒックデータ抽出部365と、を備えている。
二次集約データ分析装置300は、各一次集約データ分析装置321、322から抽出データを収集する抽出データ収集部381と、抽出データを一次集約データ分析装置321、322ごとにそれぞれ格納する抽出データベース382、383と、抽出データベース382、383に格納されているデータから、異常トラヒック検出アルゴリズムを用いて異常トラヒックを検出する二次異常トラヒック検出部384と、を備えている。
次に、このトラヒック監視システムの動作を説明する。
トラヒック集約制御装置340のトンネル管理部371によって、ルータ231、232と一次集約データ分析装置321との間のトンネル311、312と、ルータ233と一次集約データ分析装置322との間のトンネル313とが、事前に設定されているものとする。各ルータ231〜233は、アクセス制御リスト353に記載された条件に基づき、それらのルータを疎通するトラヒックを、トンネルを介して対応する一次集約データ分析装置321、322に迂回させる。
一次集約データ分析装置321では、実データ収集部361により、トンネル311、312を介してルータ231、232から迂回されてきたトラヒックを抽出して実データベース363、363に蓄積される。一次異常トラヒック検出部364は、異常トラヒック検出アルゴリズムを用いて実データベース362、363に格納されているデータを分析し、異常トラヒックではないかと疑われる被疑トラヒックをあるかどうかを調べる。被疑トラヒックが検出された場合には、トラヒックデータ検出部365が起動して、その被疑トラヒックからサンプル値及び/または統計情報が抽出され二次集約データ分析装置300に送信される。もう一台の一次集約データ分析装置322も同様に動作するから、二次集約データ分析装置300には、被疑トラヒックから得られたサンプル値及び/または統計情報が集約されることになる。そこで二次集約データ分析装置では、抽出データ収集部387によってこれらのデータを収集されて抽出データベース382、383に格納される。そして、二次異常トラヒック検出部384が、抽出データベース382、383に格納されている抽出データから、異常トラヒック検出アルゴリズムを用いて、異常トラヒックを検出し、さらに多地点間分析の手法を用いて、攻撃元の追跡を行う。
なお、本実施形態では、一次集約データ分析装置321、322と二次集約データ分析装置300の双方で異常トラヒック検出アルゴリズムを適用しているが、両者において用いられる検出アルゴリズムは、必ずしも同一である必要ない。本実施形態では、一次と二次の二段構えで集約データ分析装置を配置しているので、一次集約データ分析装置321、322では、大量のトラヒックの中から取りこぼしなく被疑トラヒックを検出できることが望ましく、二次集約データ分析装置300では、既に抽出されている被疑トラヒックの中から精度よく確実に異常トラヒックを検出できることが望ましい。そこで、一次集約データ分析装置321、322の一次異常トラヒック検出部364では、精度の低いアノマリ検知アルゴリズムなどを用い、二次集約データ分析装置300の二次異常トラヒック検出部384では、精度の高いシグネチャ検知アルゴリズムなどを用いることが好ましい。
このトラヒック監視システムでは、図1に示されるように、一次集約データ分析装置がネットワーク200内に分散されて配置されているため、従来の集約データ分析型のシステムでの問題点であった集約データ分析装置での輻輳の発生が起こり難くなる。また、トラヒック集約制御装置340のトンネル管理部371により、多数のトンネルが同一パスを通過しないように設定すれば、ネットワーク上での輻輳発生頻度も低減される。さらに、一次集約データ分析装置では実トラヒックの分析を行うため、従来の抽出データ分析型のシステムと比べ、異常トラヒックの検出精度の劣化が防止される。
《第2の実施形態》
次に、本発明の第2の実施形態のトラヒック監視システムについて説明する。
次に、本発明の第2の実施形態のトラヒック監視システムについて説明する。
図3は、本発明の第2の実施形態のトラヒック監視システムの構成を示すブロック図である。このトラヒック監視システムは、図1に示すトラヒック監視システムにおいて、分散配置された各一次集約データ分析装置321、322を監視する一次集約データ分析装置監視装置400がさらに設けられたものである。一次集約データ分析装置監視装置400は、ネットワーク200に接続している。
図4は、一次集約データ分析装置監視装置400の構成を示している。一次集約データ分析装置監視装置400は、一次集約データ分析装置状態監視部401と、一次集約データ分析装置状態テーブル402と、トンネル切り替え指示部403と、を備えている。一次集約データ分析装置状態テーブル402は、一次集約データ分析装置ごとにその装置の状態、すなわちその装置が正常に動作しているかどうかを示すテーブルである。一次集約データ分析装置状態監視部401は、各一次集約データ分析装置321、322に対して、ICMP(Internet Control Message Protocol)のエコー(ECHO)メッセージのような、一次集約データ分析装置からの応答があるメッセージを送信し、そのメッセージに対する応答があるかどうかによってその一次集約データ分析装置が動作中が確認し、確認結果(一次集約データ分析装置の状態)に基づいて一次集約データ分析装置状態テーブル402を更新する。また、トンネル切替え部403は、一次集約データ分析装置状態テーブル402を定期的に確認し、もし運用停止状態の一次集約データ分析装置があれば、ルータからその一次集約データ分析装置宛のトンネルを切断し、運用中の一次集約データ分析装置にトンネルを再設定するよう、トラヒック集約制御装置340に指示する。
このような本実施形態によれば、一次集約データ分析装置監視装置400を設けることにより、いずれかの一次集約データ分析装置が故障などにより運用停止となっても、他の一次集約データ分析装置においてその運用停止となった一次集約データ分析装置の代替をできるため、信頼性が向上する。
《第3の実施形態》
次に、本発明の第3の実施形態のトラヒック監視システムについて説明する。この実施形態は、図3及び図4に示した第2の実施形態において、各ルータに対し、図5に示すように、そのルータ内の処理量を監視し、処理量が一定値を超えたときに、処理量が一定値を超えた旨を通知する信号を一次集約データ分析装置監視装置400に対して送信する処理量監視部355と、そのルータに収容されている回線の利用率を監視し、利用率が一定値を超えたときに、利用率が一定値を超えた旨を通知する信号を一次集約データ分析装置監視装置400に対して送信する回線利用率監視部356とが追加されたものである。
次に、本発明の第3の実施形態のトラヒック監視システムについて説明する。この実施形態は、図3及び図4に示した第2の実施形態において、各ルータに対し、図5に示すように、そのルータ内の処理量を監視し、処理量が一定値を超えたときに、処理量が一定値を超えた旨を通知する信号を一次集約データ分析装置監視装置400に対して送信する処理量監視部355と、そのルータに収容されている回線の利用率を監視し、利用率が一定値を超えたときに、利用率が一定値を超えた旨を通知する信号を一次集約データ分析装置監視装置400に対して送信する回線利用率監視部356とが追加されたものである。
そして、一次集約データ分析装置監視装置400の一次集約データ分析装置状態監視部401は、各ルータからこれらの信号を受信し、ルータと一次集約データ分析装置との対応関係に基づき、一次集約データ分析装置ごとに、一次集約データ分析装置の処理量やその処理に関連した回線の利用率を推定する。ここではトンネリング方式を前提としているので、一次集約データ分析装置の処理に関連した回線の利用率は、実質的に、その一次集約データ分析装置が収容している回線利用率ということになる。そして、一次集約データ分析装置監視装置400は、ある一次集約データ分析装置について処理量あるいは回線使用率が所定の閾値を上回ったときには、トンネル切り替え指示部403によって、その処理量あるいは回線使用率が高いルータからその一次集約データ分析装置あてのトンネルを切断し、処理量もしくは回線利用率が閾値を超えていない一次集約データ分析装置にトンネルを再設定するように、トラヒック集約制御装置340に指示する。
このような本実施形態によれば、一次集約データ分析装置間での負荷の分散化が果たされ、これにより、輻輳がより発生しにくくなるとともに、信頼性が向上する。
1〜3、101〜103、200〜203 ネットワーク
4、5、104、105、231〜233 ルータ
6、7 トラヒックデータ抽出装置
8 抽出データ分析装置
11、111、251、252 攻撃コンピュータ
12、112、253 被攻撃コンピュータ
41、141、351 ルーティング部
42、142、352 ルーティングテーブル
43 トラヒックモニタ部
81、381 抽出データ収集部
82、83、382、383 抽出データベース
84、174 異常トラヒック検出部
106、340 トラヒック集約制御装置
107、240 集約データ分析装置
143、353 アクセス制御リスト
108、109、211〜213、311〜313 トンネル
144、161、354、371 トンネル管理部
171、361 実データ収集部
172、173、362、363 実データベース
300 二次集約データ分析装置
321、322 一次集約データ分析装置
355 処理量監視部
356 回線利用率監視部
364 一次異常トラヒック検出部
365 トラヒックデータ抽出部
384 二次異常トラヒック検出部
400 一次集約データ分析装置監視装置
401 一次集約データ分析装置状態監視部
402 一次集約データ分析装置状態テーブル
403 トンネル切り替え指示部
4、5、104、105、231〜233 ルータ
6、7 トラヒックデータ抽出装置
8 抽出データ分析装置
11、111、251、252 攻撃コンピュータ
12、112、253 被攻撃コンピュータ
41、141、351 ルーティング部
42、142、352 ルーティングテーブル
43 トラヒックモニタ部
81、381 抽出データ収集部
82、83、382、383 抽出データベース
84、174 異常トラヒック検出部
106、340 トラヒック集約制御装置
107、240 集約データ分析装置
143、353 アクセス制御リスト
108、109、211〜213、311〜313 トンネル
144、161、354、371 トンネル管理部
171、361 実データ収集部
172、173、362、363 実データベース
300 二次集約データ分析装置
321、322 一次集約データ分析装置
355 処理量監視部
356 回線利用率監視部
364 一次異常トラヒック検出部
365 トラヒックデータ抽出部
384 二次異常トラヒック検出部
400 一次集約データ分析装置監視装置
401 一次集約データ分析装置状態監視部
402 一次集約データ分析装置状態テーブル
403 トンネル切り替え指示部
Claims (12)
- トラヒックを疎通する複数の中継装置を含んでいるネットワークにおいてトラヒックを監視するトラヒック監視方法であって、
前記各中継装置から、当該中継装置でのトラヒックを一次集約データ分析装置に集約する段階と、
前記一次集約データ分析装置が、集約されたトラヒックから異常トラヒックであるとの疑いがある被疑トラヒックを検出する段階と、
前記一次集約データ分析装置が、検出された被疑トラヒックから、多地点間分析で必要なデータを抽出し、抽出されたデータを二次集約データ分析装置に送信する段階と、
前記二次集約データ分析装置が、前記一次集約データ分析装置から送信されてきたデータから異常トラヒックを検出する段階と、
を有するトラヒック監視方法。 - 前記中継装置と当該中継装置を担当する前記一次集約データ分析装置との間にトンネルを設定する段階を有し、前記中継装置は、当該中継装置を疎通するパケットを対応する前記一次集約データ分析装置に転送する、請求項1に記載のトラヒック監視方法。
- 複数の前記一次集約データ分析装置が設けられている場合に、前記各一次集約データ分析装置の運用状態を監視する段階と、
運用停止状態にある一次集約データ分析装置を検出したときに、前記中継装置からのトラヒックの転送先を当該運用停止状態にある一次集約データ分析装置から運用中の一次集約データ分析装置に切替える段階と、
を有する、請求項1または2に記載のトラヒック監視方法。 - 複数の前記一次集約データ分析装置が設けられている場合に、前記各一次集約データ分析装置の処理状態を監視する手段と、
処理量が所定の閾値を越えている一次集約データ分析装置に関し、前記中継装置からのトラヒックの転送先を、当該一次集約データ分析装置から、処理量が前記閾値を超えていない一次集約データ分析装置に切り替える段階と、
を有する、請求項1または2に記載のトラヒック監視方法。 - 複数の前記一次集約データ分析装置が設けられている場合に、前記各一次集約データ分析装置において収容している回線の利用率を監視する手段と、
利用率が所定の閾値を越えている一次集約データ分析装置に関し、前記中継装置からのトラヒックの転送先を、当該一次集約データ分析装置から、利用率が前記閾値を超えていない一次集約データ分析装置に切り替える段階と、
を有する、請求項1または2に記載のトラヒック監視方法。 - トラヒックを疎通する複数の中継装置を含んでいるネットワークにおいてトラヒックを監視するトラヒック監視システムであって、
一次集約データ分析装置と、
二次集約データ分析装置と、
を有し、
前記一次集約データ分析装置は、前記中継装置からのトラヒックを集約し、集約されたトラヒックから、異常トラヒックであるとの疑いがある被疑トラヒックを検出する手段と、検出された被疑トラヒックから、多地点間分析で必要なデータを抽出し、抽出されたデータを前記二次集約データ分析装置に送信する手段と、を備え、
前記二次集約データ分析装置は、前記一次集約データ分析装置から送信されてきたデータから異常トラヒックを検出する手段を備える、
トラヒック監視システム。 - 複数の前記一次集約データ分析装置を有し、前記複数の一次集約データ分析装置は、前記複数の中継装置を分担して受け持つ、請求項6に記載のトラヒック監視システム。
- 前記中継装置と当該中継装置を担当する前記一次集約データ分析装置との間にトンネルが設定され、前記中継装置は、当該中継装置を疎通するパケットを対応する前記一次集約データ分析装置に転送する、請求項7に記載のトラヒック監視システム。
- 前記トンネルの設定を制御するトラヒック集約制御装置をさらに有する、請求項8に記載のトラヒック監視システム。
- 複数の前記一次集約データ分析装置を有し、
前記各一次集約データ分析装置の運用状態を監視する手段と、
運用停止状態にある一次集約データ分析装置を検出したときに、前記中継装置からのトラヒックの転送先を当該運用停止状態にある一次集約データ分析装置から運用中の一次集約データ分析装置に切替えるように前記トラヒック集約制御装置に指示する手段と、
をさらに有する、請求項9に記載のトラヒック監視システム。 - 複数の前記一次集約データ分析装置を有し、
前記各一次集約データ分析装置の処理状態を監視する手段と、
処理量が所定の閾値を越えている一次集約データ分析装置に関し、前記中継装置からのトラヒックの転送先を、当該一次集約データ分析装置から、処理量が前記閾値を超えていない一次集約データ分析装置に切替えるように前記トラヒック集約制御装置に指示する手段と、
をさらに有する、請求項9に記載のトラヒック監視システム。 - 複数の前記一次集約データ分析装置を有し、
前記各一次集約データ分析装置において収容している回線の利用率を監視する手段と、
利用率が所定の閾値を越えている一次集約データ分析装置に関し、前記中継装置からのトラヒックの転送先を、当該一次集約データ分析装置から、利用率が前記閾値を超えていない一次集約データ分析装置に切替えるように前記トラヒック集約制御装置に指示する手段と、
をさらに有する、請求項9に記載のトラヒック監視システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004231362A JP2006050442A (ja) | 2004-08-06 | 2004-08-06 | トラヒック監視方法及びシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004231362A JP2006050442A (ja) | 2004-08-06 | 2004-08-06 | トラヒック監視方法及びシステム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006050442A true JP2006050442A (ja) | 2006-02-16 |
Family
ID=36028450
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004231362A Pending JP2006050442A (ja) | 2004-08-06 | 2004-08-06 | トラヒック監視方法及びシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006050442A (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008062787A1 (fr) * | 2006-11-21 | 2008-05-29 | Nippon Telegraph And Telephone Corporation | Appareil et procédé de restriction d'informations de flux |
| JP2009049490A (ja) * | 2007-08-14 | 2009-03-05 | Oki Electric Ind Co Ltd | ネットワーク監視装置、ネットワーク監視システム |
| JP2009117929A (ja) * | 2007-11-02 | 2009-05-28 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス監視装置およびその方法 |
| JP2010213183A (ja) * | 2009-03-12 | 2010-09-24 | Panasonic Corp | 経路選択装置、経路選択方法、およびプログラム |
| US8826381B2 (en) | 2011-06-09 | 2014-09-02 | Samsung Electronics Co., Ltd. | Node device and method to prevent overflow of pending interest table in name based network system |
| WO2016076207A1 (ja) * | 2014-11-10 | 2016-05-19 | 日本電信電話株式会社 | 最適化装置、最適化方法および最適化プログラム |
| CN114629694A (zh) * | 2022-02-28 | 2022-06-14 | 天翼安全科技有限公司 | 一种分布式拒绝服务DDoS的检测方法及相关装置 |
-
2004
- 2004-08-06 JP JP2004231362A patent/JP2006050442A/ja active Pending
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4658098B2 (ja) * | 2006-11-21 | 2011-03-23 | 日本電信電話株式会社 | フロー情報制限装置および方法 |
| JP2008154204A (ja) * | 2006-11-21 | 2008-07-03 | Nippon Telegr & Teleph Corp <Ntt> | フロー情報制限装置および方法 |
| WO2008062787A1 (fr) * | 2006-11-21 | 2008-05-29 | Nippon Telegraph And Telephone Corporation | Appareil et procédé de restriction d'informations de flux |
| KR100997182B1 (ko) | 2006-11-21 | 2010-11-29 | 니폰 덴신 덴와 가부시끼가이샤 | 플로우 정보 제한장치 및 방법 |
| US8239565B2 (en) | 2006-11-21 | 2012-08-07 | Nippon Telegraph And Telephone Corporation | Flow record restriction apparatus and the method |
| JP2009049490A (ja) * | 2007-08-14 | 2009-03-05 | Oki Electric Ind Co Ltd | ネットワーク監視装置、ネットワーク監視システム |
| JP2009117929A (ja) * | 2007-11-02 | 2009-05-28 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス監視装置およびその方法 |
| JP4570652B2 (ja) * | 2007-11-02 | 2010-10-27 | 日本電信電話株式会社 | 不正アクセス監視装置およびその方法 |
| JP2010213183A (ja) * | 2009-03-12 | 2010-09-24 | Panasonic Corp | 経路選択装置、経路選択方法、およびプログラム |
| US8213298B2 (en) | 2009-03-12 | 2012-07-03 | Panasonic Corporation | Best path selecting device, best path selecting method, and program |
| JP4592800B2 (ja) * | 2009-03-12 | 2010-12-08 | パナソニック株式会社 | 経路選択装置、経路選択方法、およびプログラム |
| US8826381B2 (en) | 2011-06-09 | 2014-09-02 | Samsung Electronics Co., Ltd. | Node device and method to prevent overflow of pending interest table in name based network system |
| WO2016076207A1 (ja) * | 2014-11-10 | 2016-05-19 | 日本電信電話株式会社 | 最適化装置、最適化方法および最適化プログラム |
| CN107077433B (zh) * | 2014-11-10 | 2020-03-03 | 日本电信电话株式会社 | 优化装置、优化方法 |
| US10616270B2 (en) | 2014-11-10 | 2020-04-07 | Nippon Telegraph And Telephone Corporation | Optimization apparatus, optimization method, and optimization program |
| CN114629694A (zh) * | 2022-02-28 | 2022-06-14 | 天翼安全科技有限公司 | 一种分布式拒绝服务DDoS的检测方法及相关装置 |
| CN114629694B (zh) * | 2022-02-28 | 2024-01-19 | 天翼安全科技有限公司 | 一种分布式拒绝服务DDoS的检测方法及相关装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108063765B (zh) | 适于解决网络安全的sdn系统 | |
| EP1980054B1 (en) | Method and apparatus for monitoring malicious traffic in communication networks | |
| US7624447B1 (en) | Using threshold lists for worm detection | |
| US7832010B2 (en) | Unauthorized access program monitoring method, unauthorized access program detecting apparatus, and unauthorized access program control apparatus | |
| US9813448B2 (en) | Secured network arrangement and methods thereof | |
| Bailey et al. | Data reduction for the scalable automated analysis of distributed darknet traffic | |
| JP6599819B2 (ja) | パケット中継装置 | |
| US9019863B2 (en) | Ibypass high density device and methods thereof | |
| JP2007006054A (ja) | パケット中継装置及びパケット中継システム | |
| JP2006050442A (ja) | トラヒック監視方法及びシステム | |
| KR20140078329A (ko) | 내부망 타겟 공격 대응 장치 및 방법 | |
| Xia et al. | Effective worm detection for various scan techniques | |
| JP4279324B2 (ja) | ネットワーク制御方法 | |
| JP2004328307A (ja) | 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法 | |
| US10999315B2 (en) | Control device, mitigation system, control method, and computer program | |
| KR20060130892A (ko) | 광대역 네트워크에서의 분산 서비스 거부 공격 탐지 및대응 방법 | |
| JP2004164107A (ja) | 不正アクセス監視システム | |
| KR101231966B1 (ko) | 장애 방지 서버 및 방법 | |
| KR101075234B1 (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 컨텐츠 제공 서버 | |
| JP4260848B2 (ja) | ネットワーク制御方法 | |
| CN114172881A (zh) | 基于预测的网络安全验证方法、装置及系统 | |
| JP2006325091A (ja) | ネットワーク攻撃防御システム | |
| JP2016127391A (ja) | ネットワーク監視システム及び方法 | |
| KR101380292B1 (ko) | 링크 절체를 이용한 경제적인 시분할 DDoS 탐지 방법 및 시스템 | |
| JP6441721B2 (ja) | 制御装置、制御方法及びプログラム |