JP2006254287A - 異常検出装置 - Google Patents
異常検出装置 Download PDFInfo
- Publication number
- JP2006254287A JP2006254287A JP2005070670A JP2005070670A JP2006254287A JP 2006254287 A JP2006254287 A JP 2006254287A JP 2005070670 A JP2005070670 A JP 2005070670A JP 2005070670 A JP2005070670 A JP 2005070670A JP 2006254287 A JP2006254287 A JP 2006254287A
- Authority
- JP
- Japan
- Prior art keywords
- application
- threshold value
- state
- abnormality detection
- parameter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
【課題】あらかじめ用途がある程度特定できる機器、システムに主として適用する、小さい処理負荷で不正アクセスや、ウィルス感染などに起因するシステムの異常状態を検出する異常検出装置を提供することを目的とする。
【解決手段】システムにおける単数または複数のアプリケーションの運用状態と前記アプリケーション毎に規定されたパラメータを管理する運用アプリ・パラメータ管理手段110と、運用中であるアプリケーションについての前記パラメータをもとに、システムが送信または受信するパケット数異常判断の閾値を決定する閾値決定手段111と、システムが送信または受信するパケット数を計測して前記閾値決定手段で決定した閾値と、計測したパケット数を比較して異常を検出する異常検出処理手段112を保持する。
【選択図】図1
【解決手段】システムにおける単数または複数のアプリケーションの運用状態と前記アプリケーション毎に規定されたパラメータを管理する運用アプリ・パラメータ管理手段110と、運用中であるアプリケーションについての前記パラメータをもとに、システムが送信または受信するパケット数異常判断の閾値を決定する閾値決定手段111と、システムが送信または受信するパケット数を計測して前記閾値決定手段で決定した閾値と、計測したパケット数を比較して異常を検出する異常検出処理手段112を保持する。
【選択図】図1
Description
本発明は、不正アクセスや、ウィルス感染などに起因するシステムの異常状態を検出する異常検出装置に関するものである。
インターネットの普及に伴い、Webアクセスや、電子メールをはじめとした、ネットワークを利用したサービスがますます増加しつつある。しかしながら、その一方で、ネットワークを介した不正アクセスやウィルス感染により、サービスの正常運用が妨げられる危険も頻繁に生じており、その対策が必要となってきている。
ファイアウォールや侵入検知システム(IDS:Instruction Detection System)をネットワークに設置するなどといった対策がその代表的なものである。IDSでは、一般に、攻撃検出対象の攻撃パターンを記述した「シグネチャ」とよばれるルールに照らし合わせて攻撃を検出する方法や、ネットワーク上のパケット流の振る舞いを統計監視し、通常と異なる振る舞いを示すと攻撃とみなす方法が用いられる。
ネットワーク上において、不正アクセスや、ウィルス感染などの異常状態をひきおこすトラヒックを検出し、その防御を行うための先行技術としては、次のような技術が開示されている。
例えば、通信トラヒックが、あらかじめ管理した特定のワードリストを含む場合を異常と判断する方式が開示されている(特許文献1参照)。また、ネットワークにおける転送パケットを単数又は複数のパケット監視装置で観測し、その統計情報を収集して攻撃を検出し、攻撃防御サーバで攻撃防御するシステムが開示されている(特許文献2参照)。また、ネットワークに対するユーザのイベントをログデータとして収集し、収集されたログデータからユーザ毎に通常のネットワーク使用状況を表すプロファイルを作成し、新たに収集したログデータとプロファイルを照合することによって、不正侵入の恐れを検知する方法が開示されている(特許文献3参照)。
特開2002−189643号公報
特開2004−328307号公報
特開2002−135248号公報
従来の技術における、特許文献1による方法では、様々な異常を検出するためには、異常と判断されるワードリストの種類を多くする必要があり、異常判断の処理負荷が増大するため、高性能なハードウェアが必須となる。また、ワードリストに含まれない異常については検出できない。特許文献2では、異常判断の方法として、トラヒックの観測値の統計情報による方式が開示されているが、具体的な攻撃検出の方法は特定していない。
特許文献3では、異常判断の方法として、通常観測されるトラヒックから外れるものを異常と判断しているが、システムの運用状況によってトラヒックそのものが変動する場合には、異常の判断が容易ではない。
本発明では、ネット家電など、あらかじめ用途がある程度特定できる機器、システムに主として適用する、小さい処理負荷で異常状態を検出する異常検出装置を提供することを目的とする。
前記従来の課題を解決するために、本発明の異常検出装置は、システムにおける単数または複数のアプリケーションの運用状態と前記アプリケーション毎に規定されたパラメータを管理する運用アプリ・パラメータ管理手段と、運用中であるアプリケーションについての前記パラメータをもとに、システムが送信または受信するパケット数異常判断の閾値を決定する閾値決定手段と、システムが送信または受信するパケット数を計測して前記閾値決定手段で決定した閾値と、計測したパケット数を比較して異常を検出する異常検出処理手段を保持する。
本発明の異常検出装置によれば、システムにおける単数または複数のアプリケーションの運用状態と前記アプリケーション毎に規定されたパラメータを管理する運用アプリ・パラメータ管理手段と、運用中であるアプリケーションについての前記パラメータをもとに、システムが送信または受信するパケット数異常判断の閾値を決定する閾値決定手段と、システムが送信または受信するパケット数を計測して前記閾値決定手段で決定した閾値と、計測したパケット数を比較して異常を検出する異常検出処理手段を保持することにより、システムの正常動作範囲を管理し、これを異常判断の閾値に反映させることが可能となる。
たとえば、ネット家電など、あらかじめ用途がある程度特定できる機器やシステムにおいて、小さい処理負荷で異常状態を検出する異常検出装置を提供することが可能となる。また、アプリケーションの運用状態に応じて閾値を設定することができ、異常トラヒックの検出効率を運用状況に合わせて最適化することが可能となる。
以下本発明の実施の形態について、図面を参照しながら説明する。
(実施の形態1)
図1は、本発明の実施の形態1における異常検出装置を有するシステムの構成例である。
図1は、本発明の実施の形態1における異常検出装置を有するシステムの構成例である。
101、102、103はシステムにおいて運用されているアプリケーションである。アプリケーション101〜アプリケーション103は通信処理手段104を介し、通信ネットワーク108に接続されており、相手先アプリ105、106、107と通信を行う。109は、本発明の実施の形態1における異常検出装置である。異常検出装置109は、アプリケーションの運用状態と、アプリケーション101〜103それぞれに規定されているパラメータを管理する運用アプリ・パラメータ管理手段110、異常検出のための閾値を決定する閾値決定手段111、通信処理手段を介して送受信されるパケットについての異常を検出する異常検出手段112で構成されている。
図2は、運用アプリ・パラメータ管理手段110で管理しているアプリケーションの運用状態を管理する管理データの例である。システムに存在するアプリケーションとしては、A、B、C、D、E、F、Gがあり、そのうちA〜Eが運用されている状態にあることを示している。F、Gは運用されていないアプリケーションである。図3は、運用アプリ・パラメータ管理手段110で管理しているパラメータの例である。アプリケーションA、B、C、D、E、F、Gそれぞれについて、パラメータa、b、c、d、e、f、gを管理している。閾値決定手段111では、運用アプリ・パラメータ管理手段110の情報をもとに、運用されているアプリケーションを把握する。そして、運用状態のアプリケーションA〜Eについてのパラメータを運用アプリ・パラメータ管理手段110より得る。この場合、パラメータa、b、c、d、eがこれに該当する。そして、あらかじめ決められた計算式にしたがって、閾値を決定する(式1)。最も簡単な例としては、パラメータa、b、c、d、eは、あらかじめ決められた時間あたりの送信または受信パケット数の最大値であり、(式2)の様に該当パラメータを加算して閾値を求める場合が考えられる。
閾値=f(a、b、c、d、e)・・・ 式1
閾値=a+b+c+d+e・・・ 式2
以上の様にして決定した閾値を用いて、異常検出処理手段112では、通信処理手段を介して送受信されるパケットについての異常を検出する。図4は、異常検出処理手段112で行う処理の内容を示すフロー図である。異常検出処理手段112では、あらかじめ決められた時間に送信または受信されるパケット数を計測する(ステップS401)。そして、計測したパケット数を閾値と比較して異常判断を行う(ステップS402)。たとえば、ウィルス感染や、不正アクセスなどにより、図1の不正アプリ113に示したような不正アプリが動作し、通信ネットワーク108に送出する通信トラヒックが増加した場合や、逆に、攻撃者114が通信ネットワーク108を介して通信処理手段に対してパケットを送信してきた場合などは、パケット数の計測値が閾値を上回ることとなり、異常と判断される。
閾値=a+b+c+d+e・・・ 式2
以上の様にして決定した閾値を用いて、異常検出処理手段112では、通信処理手段を介して送受信されるパケットについての異常を検出する。図4は、異常検出処理手段112で行う処理の内容を示すフロー図である。異常検出処理手段112では、あらかじめ決められた時間に送信または受信されるパケット数を計測する(ステップS401)。そして、計測したパケット数を閾値と比較して異常判断を行う(ステップS402)。たとえば、ウィルス感染や、不正アクセスなどにより、図1の不正アプリ113に示したような不正アプリが動作し、通信ネットワーク108に送出する通信トラヒックが増加した場合や、逆に、攻撃者114が通信ネットワーク108を介して通信処理手段に対してパケットを送信してきた場合などは、パケット数の計測値が閾値を上回ることとなり、異常と判断される。
次に、パラメータと閾値のより具体的な例を用いて、閾値の決定方法を説明する。図5は、運用アプリ・パラメータ管理手段110で管理しているパラメータのより具体的な例である。それぞれのアプリケーションについて、自アプリから他へ送信されるパケット数または接続されるセッション数、逆に、他から自アプリへ送信されるパケット数または接続されるセッション数について、あらかじめ決められた「時間」あたりの「数」の最大値をパラメータとして、種類毎に管理する。この「時間」と「数」は、それぞれのアプリケーションの仕様として規定されているものである。たとえば、アプリケーションAでは、自アプリから他に接続するセッション数の最大値は10秒あたり50が最大となっていることを管理する。また、TCPデータパケットについては、10秒あたり最大20パケット送信されることを管理する。図5のように管理されたパラメータを用いて、閾値決定手段111は閾値を決定する。図6は、閾値決定手段111が決定した閾値のより具体的な例である。たとえば、自アプリから他方向のTCP SYN not ACKパケットの最大値は、アプリAの自アプリから他への接続セッション数10と、アプリBの接続セッション数30と、アプリCの接続セッション数20を加算した値60に、あらかじめ決められた再送見込み分10%を考慮し、1秒あたり66と定める。他の項目についても、同様にして、閾値を算出し、パケットの種類毎に閾値を設ける。
(実施の形態2)
図7は、本発明の実施の形態2における異常検出装置を有するシステムの構成例である。
図7は、本発明の実施の形態2における異常検出装置を有するシステムの構成例である。
701、702、703はシステムにおいて運用されているアプリケーションである。アプリケーション701〜アプリケーション703は通信処理手段704を介し、通信ネットワーク708に接続されており、相手先アプリ705、706、707と通信を行う。709は、本発明の実施の形態1における異常検出装置である。異常検出装置709は、アプリケーションの運用状態と、アプリケーション701〜703それぞれについて規定されているパラメータを管理する運用アプリ・パラメータ管理手段710、たとえば、起動中、運用中、メンテナンス中といったシステム全体の状態を管理する状態管理手段711、異常検出のための閾値を決定する閾値決定手段712、通信処理手段を介して送受信されるパケットについての異常を検出する異常検出処理手段713、パラメータを決定するためのアプリケーションの試験動作を実行する試験動作手段714で構成されている。
図8は、運用アプリ・パラメータ管理手段710で管理している管理データの例である。システムに存在するアプリケーションとしては、A、B、C、D、E、Fがある。状態毎に運用されるアプリケーションは異なり、パラメータ値が0以外のアプリケーションが運用されている。状態1では、アプリケーションA、B、C、D、Eが運用されており、それぞれのパラメータはa、b、c、d、eである。また、状態2ではアプリケーションA、Fが運用されており、それぞれのパラメータはa’、f’である。状態1、状態2は、システムであらかじめ決められているものであり、たとえば状態1として運用中状態、状態2として電源投入後の起動中状態といった状態である。
閾値決定手段712では、状態管理手段711で管理しているシステムの状態情報と、運用アプリ・パラメータ管理手段710の情報をもとに、運用されているアプリケーションを把握する。そして、運用状態のアプリケーションについてのパラメータを運用アプリ・パラメータ管理手段710より得る。システムの状態が状態1の場合、パラメータa、b、c、d、eがこれに該当する。そして、あらかじめ決められた計算式にしたがって、閾値を決定する(式1)。最も簡単な例としては、パラメータa、b、c、d、eは、あらかじめ決められた時間あたりの送信または受信パケット数の最大値であり、(式2)の様に該当パラメータを加算して閾値を求める場合が考えられる。
状態2の場合には、パラメータa’、f’がこれに該当する。
状態2のときの閾値は、(式3)の様になる。
閾値=a’+f’・・・ 式3
電源投入時の、システムの状態が状態2のときには、閾値は(式3)で求めた値となっている。システムの状態が状態2から状態1へ遷移すると、状態管理手段711は、閾値決定手段712に状態が遷移したことを通知する。そして、閾値決定手段712は、閾値を(式2)で求めた値に変更する。
電源投入時の、システムの状態が状態2のときには、閾値は(式3)で求めた値となっている。システムの状態が状態2から状態1へ遷移すると、状態管理手段711は、閾値決定手段712に状態が遷移したことを通知する。そして、閾値決定手段712は、閾値を(式2)で求めた値に変更する。
以上の様にして決定した閾値を用いて、異常検出処理手段713では、通信処理手段を介して送受信されるパケットについての異常を検出する。異常検出動作は、図1の異常検出処理手段113の動作と同様である。
次に、パラメータと閾値のより具体的な例を用いて、閾値の決定方法を説明する。運用アプリ・パラメータ管理手段710では、先の実施の形態1で説明した図5のようなパラメータを状態1のパラメータとして管理している。また、状態2のパラメータについても別途管理している。図9は、運用アプリ・パラメータ管理手段710で管理している状態2のパラメータのより具体的な例である。それぞれのアプリケーションについて、自アプリから他へ送信されるパケット数または接続されるセッション数、逆に、他から自アプリへ送信されるパケット数または接続されるセッション数について、あらかじめ決められた「時間」あたりの「数」の最大値を種類毎に管理する。この「時間」と「数」は、試験動作手段714により、あらかじめ決められた条件でアプリケーションを動作させ、決定する。試験動作の条件は、アプリケーションが送受信するパケット数が最も多くなる条件が選択される。試験動作手段714による動作によって得たパラメータ値、たとえば、アプリケーションAでは、自アプリから他に接続するセッション数の最大値は10秒あたり5が最大となっていることを管理する。また、TCPデータパケットについては、10秒あたり最大10パケット送信されることを管理する。
図9のように管理されたパラメータを用いて、閾値決定手段712は、状態2での閾値を決定する。図10は、閾値決定手段712が決定した閾値のより具体的な例である。たとえば、自アプリから他方向のTCP SYN not ACKパケットの最大値は、アプリAの自アプリから他への接続セッション数5と、アプリFの接続セッション数3を加算した値8に、あらかじめ決められた再送見込み分10%を考慮し、1秒あたり9と定める。他の項目についても、同様にして、閾値を算出し、パケットの種類毎に閾値を設ける。
状態1の場合にも、先に説明した図5のようなパラメータを用いて、状態1での閾値を算出する。
以上、本発明の異常検出装置について図面を用いて説明したが、パラメータの管理項目は一例であり、これに限定されない。たとえば、プロトコル番号や、宛先、送信元といった種別毎のパラメータをもつという方法もある。このときには、指定された種別にたいして、異常判断の閾値が設けられる。1つのアプリケーションが複数のプロセスを構成する場合には、プロセスの個数の関数として、パラメータが定義づけられる場合もある。実施例では、送信パケット、受信パケット両方について異常検出する例をしめしたが、どちらか一方でも構わない。
また、再送マージンや、パラメータから閾値の算出式についても、これに限定されない。
実施の形態2では、システムの状態として定義されている状態1、状態2それぞれで運用されているアプリケーションの種類があらかじめ決まっているとしたが、同じシステムの状態でも、運用アプリの種類が変動する場合もある。この場合には、各アプリの運用状態をシステムの状態毎に管理し、運用状態に応じて閾値を変動させる。
以上、本発明の異常検出装置によれば、運用アプリ・パラメータ管理手段110、710と、運用中であるアプリケーションについてのパラメータをもとに、システムが送信または受信するパケット数異常判断の閾値を決定する閾値決定手段111、710を保持することにより、システムの正常動作範囲を管理し、これを異常判断の閾値に反映させることが可能となる。
たとえば、ネット家電など、あらかじめ用途がある程度特定できる機器やシステムにおいて、小さい処理負荷で異常状態を検出する異常検出装置を提供することが可能となる。また、アプリケーションの運用状態に応じて閾値を設定することができ、異常トラヒックの検出効率を運用状況に合わせて最適化することが可能となる。
本発明にかかる異常検出装置は、アプリケーションの運用状態に応じて異常判断の閾値を設定することができ、あらかじめ用途がある程度特定できる機器やシステムにおいて、小さい処理負荷で異常状態を検出する異常検出装置を提供することが可能となる。
101〜103 アプリケーション
104 通信処理手段
105〜107 相手先アプリ
108 通信ネットワーク
109 異常検出装置
110 運用アプリ・パラメータ管理手段
111 閾値決定手段
112 異常検出処理手段
113 不正アプリ
114 攻撃者
701〜703 アプリケーション
704 通信処理手段
705〜707 相手先アプリ
708 通信ネットワーク
709 異常検出装置
710 運用アプリ・パラメータ管理手段
711 状態管理手段
712 閾値決定手段
713 異常検出処理手段
714 試験動作手段
104 通信処理手段
105〜107 相手先アプリ
108 通信ネットワーク
109 異常検出装置
110 運用アプリ・パラメータ管理手段
111 閾値決定手段
112 異常検出処理手段
113 不正アプリ
114 攻撃者
701〜703 アプリケーション
704 通信処理手段
705〜707 相手先アプリ
708 通信ネットワーク
709 異常検出装置
710 運用アプリ・パラメータ管理手段
711 状態管理手段
712 閾値決定手段
713 異常検出処理手段
714 試験動作手段
Claims (6)
- システムにおける単数または複数のアプリケーションの運用状態と前記アプリケーション毎に規定されたパラメータを管理する運用アプリ・パラメータ管理手段と、運用中であるアプリケーションについての前記パラメータをもとに、システムが送信または受信するパケット数異常判断の閾値を決定する閾値決定手段と、システムが送信または受信するパケット数を計測して前記閾値決定手段で決定した閾値と、計測したパケット数を比較して異常を検出する異常検出処理手段を保持することを特徴とする異常検出装置。
- 前記パラメータは、前記アプリケーションが送信または受信する、あらかじめ決められた条件のパケット数に関連するパラメータであることを特徴とする請求項1記載の異常検出装置。
- システムで規定された単数または複数の状態の遷移を管理する状態管理手段を保持し、前記運用アプリ・パラメータ管理手段は、前記状態毎に、運用中であるアプリケーションを管理し、前記閾値決定手段は、前記状態に応じて前記異常判断の閾値を変動させることを特徴とする請求項1記載の異常検出装置。
- 前記パラメータは、あらかじめ決められた時間あたりの接続セッション数または、切断セッション数を含むことを特徴とする請求項2記載の異常検出装置。
- 前記パラメータは、同時設定セッション数または、同時待ち受けセッション数を含むことを特徴とする請求項2記載の異常検出装置。
- あらかじめ決められた条件で、前記アプリケーションを試験動作させて前記パラメータを決定する試験動作手段を保持することを特徴とした請求項1記載の異常検出装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005070670A JP2006254287A (ja) | 2005-03-14 | 2005-03-14 | 異常検出装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005070670A JP2006254287A (ja) | 2005-03-14 | 2005-03-14 | 異常検出装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006254287A true JP2006254287A (ja) | 2006-09-21 |
Family
ID=37094262
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005070670A Pending JP2006254287A (ja) | 2005-03-14 | 2005-03-14 | 異常検出装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006254287A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009041686A1 (ja) * | 2007-09-28 | 2009-04-02 | Nippon Telegraph And Telephone Corporation | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム |
| WO2022137916A1 (ja) * | 2020-12-24 | 2022-06-30 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 閾値算出装置、異常検知装置、閾値算出方法および異常検知方法 |
-
2005
- 2005-03-14 JP JP2005070670A patent/JP2006254287A/ja active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009041686A1 (ja) * | 2007-09-28 | 2009-04-02 | Nippon Telegraph And Telephone Corporation | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム |
| JP4827972B2 (ja) * | 2007-09-28 | 2011-11-30 | 日本電信電話株式会社 | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム |
| US8347383B2 (en) | 2007-09-28 | 2013-01-01 | Nippon Telegraph And Telephone Corporation | Network monitoring apparatus, network monitoring method, and network monitoring program |
| WO2022137916A1 (ja) * | 2020-12-24 | 2022-06-30 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 閾値算出装置、異常検知装置、閾値算出方法および異常検知方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100777752B1 (ko) | 서비스 불능 공격 검지 시스템 및 서비스 불능 공격 검지방법 | |
| JP6258562B2 (ja) | 中継装置、ネットワーク監視システム及びプログラム | |
| US8584237B2 (en) | Improper communication detection system | |
| US7814224B2 (en) | Information processor deactivates communication processing function without passing interrupt request for processing when detecting traffic inbound is in over-traffic state | |
| US20080072289A1 (en) | Unauthorized Connection Detection System and Unauthorized Connection Detection Method | |
| US20060037075A1 (en) | Dynamic network detection system and method | |
| KR20140118494A (ko) | 제어 시스템의 이상 징후 탐지 장치 및 방법 | |
| US20070150955A1 (en) | Event detection system, management terminal and program, and event detection method | |
| JP2006243878A (ja) | 不正アクセス検知システム | |
| JP2008085819A (ja) | ネットワーク異常検出システム、ネットワーク異常検出方法及びネットワーク異常検出プログラム | |
| JP2004164553A (ja) | サーバ計算機保護装置、サーバ計算機保護方法、サーバ計算機保護プログラム及びサーバ計算機 | |
| JP2007180891A (ja) | 通信装置及びそれに用いるパケット送信制御方法並びにそのプログラム | |
| JP2007288246A (ja) | 攻撃検出装置 | |
| JP4437797B2 (ja) | ネットワークへの不正接続防止システム及び方法並びにそのプログラム | |
| JP2007267151A (ja) | 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム | |
| JP2007074383A (ja) | 情報システム | |
| JP2008022498A (ja) | ネットワーク異常検知装置、ネットワーク異常検知方法及びネットワーク異常検知システム | |
| US20070140121A1 (en) | Method of preventing denial of service attacks in a network | |
| JP2006254287A (ja) | 異常検出装置 | |
| CN115174189A (zh) | 异常检测方法、装置、电子设备及存储介质 | |
| JP5028202B2 (ja) | 制御ネットワークシステム | |
| JP2008011008A (ja) | 不正アクセス防止システム | |
| JP4002276B2 (ja) | 不正接続検知システム | |
| CN106453358A (zh) | 一种监控qq发送文件数据的方法 | |
| JP2006050442A (ja) | トラヒック監視方法及びシステム |