JP2007104682A - ネットワーク内部の異常の、ネットワーク外部のトラフィックからの検出 - Google Patents

ネットワーク内部の異常の、ネットワーク外部のトラフィックからの検出 Download PDF

Info

Publication number
JP2007104682A
JP2007104682A JP2006273143A JP2006273143A JP2007104682A JP 2007104682 A JP2007104682 A JP 2007104682A JP 2006273143 A JP2006273143 A JP 2006273143A JP 2006273143 A JP2006273143 A JP 2006273143A JP 2007104682 A JP2007104682 A JP 2007104682A
Authority
JP
Japan
Prior art keywords
anomalies
network
monitoring
traffic
monitored
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2006273143A
Other languages
English (en)
Inventor
Antonio Magnaghi
マグナギ アントニオ
Takeo Hamada
健生 浜田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Publication of JP2007104682A publication Critical patent/JP2007104682A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】異常検出のための従来技術に関する欠点及び問題を軽減または解消することを目的とする。
【解決手段】異常検出は、あるネットワーク当事者に関連付けられたネットワークから許容トラフィックを受信することを含む。該許容トラフィックは当該ネットワークの外部にある、監視当事者に関連付けられた異常検出器において受信される。許容トラフィックは異常を有する異常トラフィックとの影響的相互作用によって影響されている。影響的相互作用は、許容トラフィックにある効果を与え、その効果が異常の存在を示す。許容トラフィックにおいて前記効果を検出するよう運用可能な特徴が監視される。その監視に反応して異常が検出される。
【選択図】図1

Description

本発明は、一般には通信分野に、より詳細にはネットワーク内部の異常の、ネットワーク外部のトラフィックからの検出に関する。
通信ネットワークは情報をパケットで通信しうる。ある種の状況では、異常がパケットの伝送に望ましくない効果を引き起こすことがある。異常の検出には既知の異常検出を使ってもよいが、既知の異常検出技法は条件によっては満足いくものでないことがある。ある種の状況において望ましい異常検出技法を有することが一般に望ましい。
本発明に従い、異常検出のための従来技術に関連する欠点および問題が軽減または解消されうる。
本発明のある実施形態では、異常検出は、あるネットワーク当事者に関連付けられたネットワークから許容トラフィックを受信することを含む。該許容トラフィックは当該ネットワークの外部にある、監視当事者に関連付けられた異常検出器において受信される。許容トラフィックは異常を有する異常トラフィックとの影響的相互作用によって影響されている。影響的相互作用は、許容トラフィックにある効果を与え、その効果が異常の存在を示す。許容トラフィックにおいて前記効果を検出するよう運用可能な特徴が監視される。その監視に反応して異常が検出される。
本発明のある種の実施形態は、一つまたは複数の技術的効果を提供しうる。ある実施形態の技術的効果は、異常を含むトラフィックへのアクセスなしで異常を検出しうるということでありうる。その代わり、異常は、その異常をもつトラフィックによって影響を受けた他のトラフィックから検出されうるのである。ある実施形態のもう一つの技術的効果は、さまざまな異なるタイプの異常が検出および識別されうるということでありうる。さまざまな異なるタイプの異常が検出および識別されうるのは、トラフィックのさまざまな異なる特徴を監視することによる。ある実施形態のもう一つの技術的効果は、ネットワーク内で生じる異常を検出するための異常検出器をネットワークの外部に置くことができるということでありうる。
本発明のある種の実施形態は、上記の技術的効果を一つも含まないこともあれば、一部を含むこともあれば、全部を含むこともある。一つまたは複数の他の技術的効果は、ここに含まれる図面、記述および請求項から、当業者には容易に明らかなこととなろう。
本発明およびその特徴および効果のより完全な理解のため、ここで以下の記述を付属の図面とともに参照する。
本発明の実施形態およびその効果については、図面の図1から図7を参照することによって最もよく理解される。同様な符号がさまざまな図の同様な部分および対応する部分に使われている。
図1は、異常検出器14を含むネットワークシステム10のある実施形態のブロック図である。この実施形態によれば、許容トラフィックは、異常をもつ異常トラフィックによって影響されうる。異常検出器14は、許容トラフィックの諸特徴を監視して、該諸特徴の実際の値を得ることができる。異常検出器14は次いでその実際の値を期待される値と比較し、双方の値の間に違いがあれば異常を検出できる。
図示した実施形態によれば、ネットワークシステム10は、クライアント20のような端点に、通信セッションのようなサービスを提供するよう動作する。通信セッションとは、端点から端点まで測った、端点間のアクティブな通信のことを指しうる。通信セッションの間に情報が通信される。情報とは、声、データ、テキスト、オーディオ、ビデオ、マルチメディア、制御、信号伝達、その他の情報または上記の任意の組み合わせのことを指しうる。ネットワークシステム10は情報をパケットで通信しうる。パケットは、伝送のために特定の仕方で編成されたデータの束でありうる。フレームは、伝送のために特定の仕方で編成された一つまたは複数のパケットのペイロードでありうる。パケットを通信するためには、インターネット・プロトコル(IP: Internet Protocol)のようなパケットベースの通信プロトコルが使われうる。
ネットワークシステム10は、通信セッションを提供するために通信プロトコルおよび通信技術を利用しうる。通信プロトコルおよび通信技術の例には、米国電気電子通信学会(IEEE: Institute of Electrical and Electronics Engineers, Inc.)、国際電気通信連合(ITU-T: International Telecommunications Union)、欧州電気通信標準化機関(ETSI: European Telecommunications Standards Institute)、インターネット技術特別調査委員会(IETF: Internet Engineering Task Force)またはその他の組織によって定められたものが含まれる。
ネットワークシステム10は、デバイスのような構成要素を含んでいる。一般に、デバイスとは、その動作を実行するよう動作しうる諸構成要素のいかなる好適な構成をも含みうるものであり、論理、インターフェース、メモリ、その他の構成要素または上記のいかなる好適な組み合わせであってもよい。「論理」とは、ハードウェア、ソフトウェア、その他の論理または上記のいかなる好適な組み合わせをも指しうる。ある種の論理は、デバイスの動作を管理するものでありえ、たとえばプロセッサでありうる。「プロセッサ」とは、動作を実行するために命令を実行し、データを操作するよう動作しうるいかなる好適なデバイスをも指しうる。
「インターフェース」とは、当該デバイスのための入力を受け取り、当該デバイスから出力を送り出し、前記入力もしくは出力またはその両方の好適な処理を実行し、あるいは上記の任意の組み合わせを行うよう動作しうるデバイスの論理のことを指しうるものであり、一つまたは複数のポート、変換ソフトウェアまたはその両方を有しうる。「メモリ」とは、情報を保存し、その取得を容易にするよう動作しうる論理のことを指しうるものであり、ランダムアクセスメモリ(RAM: Random Access Memory)、読み出し専用メモリ(ROM: Read Only Memory)、磁気ドライブ、ディスクドライブ、コンパクトディスク(CD)ドライブ、デジタルビデオディスク(DVD)ドライブ、リムーバブルメディア記憶、その他任意の好適なデータ記憶媒体、または上記の任意のものの組み合わせでありうる。
図示した実施形態によれば、ネットワークシステム10は一つまたは複数のクライアント20a〜d、一つまたは複数のネットワーク24a〜eおよび監視ポイント14を、図のように結合された形で含む。動作のある実施例によれば、クライアント20aが、許容パケット32を含む許容トラフィックを通信する。トラフィックとは、試行、呼び出し、メッセージ、その他の型のパケットまたは上記の任意の組み合わせのパケットの流れのことを指しうる。許容トラフィックとは、通信のために良好と考えられるトラフィックのことを指しうる。たとえば、該トラフィックは、サービス契約、プロトコルまたは規格によって定められるトラフィック要件のような要件を満足するものでありうる。
クライアント20bおよびクライアント20cはクライアント20dと通信する。異常イベント36は、クライアント20b、20cとクライアント20dとの間の通信に影響する。異常イベントとは、一つまたは複数の異常を起こすイベントのことを指しうる。異常とは、許容トラフィックを許容できないものにする問題のことを指しうる。異常イベント36の結果として、クライアント20bは、異常バケット40aを含む異常トラフィックを送信し、クライアント20cは異常パケット40bを含む異常トラフィックを送信する。異常トラフィックとは、一つまたは複数の異常を含むトラフィックのことを指しうる。
異常トラフィックは許容トラフィックに影響的相互作用38において影響する。影響的相互作用38とは、異常トラフィックが許容トラフィックに影響して該許容トラフィックのうちに異常の存在を示す効果を生じる相互作用のことを指しうる。該効果は異常検出器14によって検出されうる。影響的相互作用38の間、許容パケット32および許容パケット40は共有バッファ44でバッファリングされる。影響的相互作用38ののち、許容パケット32は異常検出器14へと進む。異常検出器14はイベント36によって引き起こされた異常を、許容パケット32と異常パケット40との間の影響的相互作用38から帰結する効果を検出することによって検出する。
図示した実施形態によれば、クライアント20a〜20dは、通信システムにより情報を通信するよう動作しうるいかなる好適なデバイスを表していてもよい。クライアント20はたとえば、ラップトップ、サーバー、データベース、無線デバイス、電話のような音声通信デバイスまたはネットワークシステム10により通信するよう動作しうる他のいかなるデバイスであってもよい。
ネットワーク24a〜24eは、クライアント20のようなデバイスが他のデバイスと通信できるようにする通信ネットワークを表している。通信ネットワークは、公衆電話交換網(PSTN: public switched telephone network)、公衆または私設データネットワーク、構内ネットワーク(LAN: local area network)、都市圏ネットワーク(MAN: metropolitan area network)、広域ネットワーク(WAN: wide area network)、ローカルもしくは地域的もしくはインターネットのようなグローバルな通信もしくはコンピュータネットワーク、有線もしくは無線ネットワーク、企業イントラネット、その他の好適な通信リンクまたは上記のいかなる組み合わせであってもよい。
ある実施形態によれば、ネットワーク24aは、パケットベースの通信をサポートする、デバイスおよび伝送媒体の任意の好適な組み合わせおよび構成を表している。たとえば、ネットワーク24aは、イーサネット(登録商標)サブネットを形成するよう相互接続された任意の数のゲートウェイ、ルーター、スイッチ、ハブまたはリピーターを含んでいてもよい。
本実施形態によれば、異常検出器14は、許容トラフィックの諸特徴を監視して、該諸特徴の実際の値を取得し、実際の値に従って異常を検出する。異常検出器については図2を参照しつつより詳細に述べる。
任意の好適な異常が検出されうる。異常の例としては、経路制御ループ(routing loop)異常、二重性ミスマッチ(duplexity mismatch)異常およびフィルタ構成不良(filtering misconfiguration)異常が含まれる。経路制御ループ異常は、パケットがループから抜けられなくなってしまい、その意図された宛先に到達できない状況を指しうる。経路制御ループ異常はパケット損失、スループット低下、端点間遅延、再送信時間切れ(RTO: retransmission time-out)、その他の問題または上記の任意の組み合わせを引き起こしうる。
二重性ミスマッチ異常は、同じ物理的通信媒体に結合されている隣り合うネットワーク装置どうしが互換性のない媒体アクセス制御(media access control)方式に従って動作する状況のことを指しうる。たとえば、デバイスの一方が半二重モードで動作し、他方が全二重モードで動作するようなことがありうる。半二重モードとは、IEEE-802.3規格によって定義されているような、衝突検出付きキャリアセンス多重アクセス(CSMA/CD: carrier sense multiple access with collision detection)プロトコルによって定義される通信を指しうる。全二重モードとは、IEEE-802.3x規格によって定義されているような、専用のポイント・ツー・ポイント回線通信のことを指しうる。二重性ミスマッチはパケット損失、スループット低下、その他の問題または上記の任意の組み合わせを引き起こしうる。さらに、トラフィックの破壊は、より高レベルの諸ネットワーク層に影響する波及効果を引き起こしうる。
フィルタ構成不良異常は、破棄すべきでないパケットを誤って破棄するフィルタ処理を指しうる。フィルタ構成不良は、パケット損失、スループット低下、端点間遅延、その他の問題または上記の任意の組み合わせを引き起こしうる。
ある実施形態によれば、ネットワーク24aの内部の異常を検出するための異常検出器14は、ネットワーク24aの外部に置くことができる。ネットワーク24aの外部に置かれた検出器とは、ネットワーク24aからは監視目的のための特定のトラフィックしか受け取らないような検出器を指しうる。ネットワーク24a内部の異常とは、ネットワーク24a内の異常イベントに起源をもつ異常を指しうる。
本実施形態によれば、あるネットワーク当事者がネットワーク24aを運営し、監視当事者が異常検出器14を運営するなどする。当事者とは、会社、企業、政府機関、研究機関またはその他の組織のことを指しうる。ネットワーク当事者は、監視当事者に対して、ネットワーク24aからの特定のトラフィックのみに監視目的のためにアクセスを提供しうる。監視当事者は異常検出器14を使って、異常トラフィックにアクセスを有することなく該異常トラフィックの異常を検出しうる。
監視当事者は、ネットワーク当事者から該監視当事者に支払われる補償の見返りとして、ネットワーク当事者に監視サービスを提供しうる。監視当事者はそのサービスについていかなる好適な仕方で課金してもよい。たとえば、サービスはネットワーク24aが監視される時間の長さに基づいて、あるいは監視されるパケットの量に基づいて課金されてもよい。もう一つの例としては、前記サービスは、検出される異常の型および監視される前記諸特徴に基づいて課金されてもよい。
ネットワークシステム10の一つまたは複数の構成要素は、一つまたは複数のコンピュータ上で動作しうるもので、適切な入力デバイス、出力デバイス、大容量記憶媒体、プロセッサ、メモリまたはネットワークシステム10の動作に従って情報を受け取り、処理し、保存し、通信するためのその他の構成要素を含みうる。本稿で使うところでは、「コンピュータ」の用語は、入力を受け付け、所定の規則に従って該入力を処理し、出力を生成するよう動作しうるいかなる好適なデバイスをも指す。
ネットワークシステム10には本発明の範囲から外れることなく修正、追加または省略を施すことができる。ネットワークシステム10の構成要素は、特定の必要性に応じて統合したり分離したりしてもよい。さらに、ネットワークシステム10の動作は、より多数の、より少数の、あるいは別のモジュールによって実行されてもよい。追加的に、ネットワークシステム10の動作は任意の好適な論理を使って実行されうる。本稿で使うところでは、「おのおの」は集合のおのおのの要素または集合の部分集合のおのおのの要素を指す。
図2は、図1のネットワークシステム10とともに使われうる異常検出器50の一つの実施形態のブロック図である。異常検出器14は、許容トラフィックの諸特徴を監視して、該諸特徴の実際の値を取得し、実際の値に基づいて異常を検出しうる。本実施形態によれば、異常検出器14は、実際の値を期待される値と比較して、双方の値の間に違いがあれば異常を検出しうる。
図示した実施形態によれば、異常検出器50はインターフェース(IF)52、プロセッサ54、メモリ56、一つまたは複数のモニタ60および解析器を図のように結合された形で含む。ある実施形態によれば、異常検出器50は伝送制御プロトコル(TCP: transmission control protocol)の監視ポイントでありうる。インターフェース(IF)52、プロセッサ54およびメモリ56は図1を参照して述べたとおりでありうる。
モニタ60とは、監視される特徴を監視して実際の値を与えるよう動作するデバイスのことでありうる。監視される特徴とは、異常の検出、識別または検出および識別の両方をするのに使われうる特徴のことを指しうる。監視されるのはいかなる好適な特徴でもよく、たとえば周波数変調効果、転送スループット、パケット損失、アドレス利用、その他の特徴、あるいは上記の任意の組み合わせでありうる。
図示した実施形態では、モニタ60は周波数変調モニタ70、転送スループットモニタ74、パケット損失モニタ78およびアドレス利用モニタ82を含む。周波数変調モニタ70とは、トラフィックの周波数変調効果を監視するモニタのことを指しうる。周波数変調は、経路制御ループトラフィックの待ち行列プロセスによって起こりうる。ある実施形態によれば、周波数変調モニタ70はTCPトラフィック信号を抽出し、該信号を高速フーリエ変換によりスペクトル領域で表現し、次いで該信号の周波数変調効果を監視しうる。
ある例によれば、周波数変調効果についての期待される値が許容トラフィックを監視することから生成されうる。期待される周波数変調値の例については、図3を参照しつつより詳細に述べる。
図3は、周波数変調効果についての期待される値の例を示すグラフ150である。この例によれば、期待される周波数変調値は図のようにピーク152および154を示す。周波数変調効果について期待される値の例としてグラフ150が呈示されているが、他の期待される周波数変調値を使ってもよい。
図2の参照に戻ると、周波数変調効果についての実際の値は期待される値から乖離しうる。実際の周波数変調値の例は図4を参照してより詳細に述べる。
図4は、周波数変調効果についての実際の値の例を示すグラフ170である。この例によれば、実際の周波数変調値は、図3に示したようなピーク152および154は示していない。周波数変調効果について実際の値の例としてグラフ170が呈示されているが、他の値が得られることもある。
図2の参照に戻ると、転送スループットモニタ74がトラフィックの転送スループットを監視する。ある実施形態によれば、転送スループットモニタ74は、TCPトラフィックを抽出して、トラフィックの平均転送スループットを計算しうる。ある例によれば、転送スループットについての期待される値が許容トラフィックを監視することから生成されうる。実際の転送スループット値は期待される値から乖離しうる。転送スループットが低すぎることは、経路制御ループ異常または二重性ミスマッチ異常を示しうる。転送スループットが高すぎることは、フィルタ構成不良異常を示しうる。
パケット損失モニタ78とは、パケット損失を監視するモニタのことを指しうる。パケット損失を使って、時間につれてのパケット損失を記述するパケット損失パターンが生成されうる。例として、パケット損失パターンは、時間につれてのパケット損失の確率分布を記述しうる。ある実施形態によれば、パケット損失モニタ78は、TCPトラフィックを抽出して、トラフィックの損失イベント間のタイミングを監視しうる。
ある例によれば、パケット損失パターンの期待される値が、輻輳などに起因する許容パケット損失を有する許容トラフィックを監視することから生成されうる。この例によれば、期待されるパケット損失パターン値はポワソン分布に従いうる。実際のパケット損失値は期待される値から乖離しうる。実際のパケット損失値の例は、図5および図6を参照しつつより詳細に述べる。
図5は、経路制御ループ異常を示しうるパケット損失についての実際の値の例を示すグラフ200である。図示した例によれば、グラフ200は、監視された損失間時間の累積分布関数(CDF: cumulative distribution function)を、時間に対するパケット損失の分布の確率によって示している。パケット損失についての実際の値の例としてグラフ200が呈示されているが、他の値が得られることもある。
図6は、二重性ミスマッチ異常を示しうるパケット損失についての実際の値の例を示すグラフ250である。図示した例によれば、グラフ250は、監視された損失間時間の累積分布関数(CDF: cumulative distribution function)を、時間に対するパケット損失の分布の確率によって示している。パケット損失についての実際の値の例としてグラフ250が呈示されているが、他の値が得られることもある。
図2の参照に戻ると、アドレス利用モニタ82が発信元アドレスおよび宛先アドレスのようなアドレスの利用を監視する。ある例によれば、アドレス利用についての期待される値が許容トラフィックを監視することから生成されうる。期待される分布から乖離するアドレス利用は、フィルタ構成不良のような異常を示しうる。
解析器62は諸モニタ60から実際の値を受け取り、その実際の値を期待される値と比較する。期待される値とは、許容トラフィックについての監視される特徴についての値のことを指しうる。期待される値は、個別の値として、あるいは値の範囲としてなどといったいかなる好適な仕方で表されてもよい。
実際の値と期待される値との間の差は異常の存在を示しうる。差が異常を示すためには、ある閾値を満たすことが必要であるとしてもよい。閾値は、実際の値が異常を示しているという十分な信頼レベルを取り入れうる。さらに、第一の監視される特徴についての閾値は、第二の監視される特徴の実際の値に依存しうる。たとえば、第一の監視される特徴についての実際の値がより厳しい閾値を満たしている場合、第二の監視される特徴の実際の値はより弱い閾値を満たすことしか要求されなくてもよい。
一つまたは複数の型の異常を検出および識別するために一つまたは複数の監視される特徴を使ってもよい。ある実施形態によれば、周波数変調効果、転送スループットおよび損失パターンの諸特徴は、経路制御ループ異常を検出するために使われうる。転送スループットおよび損失パターンの諸特徴は、二重性ミスマッチ異常を検出するために使われうる。転送スループットおよびアドレス利用の諸特徴がフィルタ構成不良異常を検出するために使われうる。
修正検出器50には、本発明の範囲から外れることなく、修正、追加または省略を施しうる。インターフェース52、プロセッサ54、メモリ56、諸モニタ60および解析器62は、特定の必要性に応じて統合されても分離されてもよい。たとえば、本発明はプロセッサ54およびメモリ56の両方の機能が単一のデバイスを使って提供されることを考えている。プロセッサ54およびメモリ56が分離される場合、インターフェース20はバスまたはその他の好適なリンクを使ってプロセッサ54に結合されうる。
さらに、異常検出器50の動作は、より多数の、より少数の、あるいは別のモジュールによって実行されてもよい。たとえば、転送スループットモニタ74およびパケット損失モニタ78の動作が一つのモジュールによって実行されてもよいし、あるいは解析器62の動作が二つ以上のモジュールによって実行されてもよい。追加的に、異常検出器50の動作は、ソフトウェア、ハードウェア、その他の論理または上記の任意の好適な組み合わせを使って実行されうる。
図7は、異常を検出するための方法の一つの実施形態のフローチャートである。当該方法はステップ100で、信号が受け取られることで始まる。信号は転送制御プロトコル(TCP)トレースを使って収集されうる。ステップ104で信号が分解される。信号は、特定の諸特徴について監視ができる信号のグループに分解される。ある例によれば、信号は損失イベントの諸信号と無損失の諸信号とに分解されうる。損失イベントの諸信号とは、パケット損失イベントを含む信号のことを指し、無損失の信号とはパケット損失イベントを含まない信号を含みうる。しかし、信号は、容易に解析されうるいかなる好適なグループを与えるよう分解されてもよい。
ステップ108で信号が監視され、監視される特徴について実際の値を与える。監視される特徴とは、異常の検出、識別または検出および識別の両方をするのに使われうる特徴のことを指しうる。ステップ112で、実際の値が監視される諸特徴について期待される値と比較される。期待される値とは、許容トラフィックについての監視される特徴の値を指しうる。
ステップ116で異常が検出されうる。実際の値と期待される値との間に差があれば異常が検出できる。異常が検出されない場合、当該方法はステップ108に戻って信号が監視される。異常が検出された場合には、当該方法はステップ120に進み、異常が識別される。異常は監視された特徴に従って識別されうる。異常を示す警告がステップ124で生成される。たとえば、警告は、識別された異常のことをシステム運営者に通知してもよい。別の例としては、警告は、識別された異常に反応して、サービス契約の義務を果たすためにサービスプロバイダーによって実行されるべきメンテナンス動作のような、取るべき特定の諸動作を作動させてもよい。警告を生成したのち、当該方法は終了する。
本発明の範囲から外れることなく、当該方法に修正、追加または省略を施すことができる。当該方法は、より多数の、より少数の、あるいは別のステップを含んでいてもよい。追加的に、諸ステップは本発明の範囲から外れることなくいかなる好適な順序で実行されてもよい。
本発明のある種の実施形態は、一つまたは複数の技術的効果を提供しうる。ある実施形態の技術的効果は、異常を含むトラフィックへのアクセスなしで異常を検出しうるということでありうる。その代わり、異常は、その異常をもつトラフィックによって影響を受けた他のトラフィックから検出されうるのである。ある実施形態のもう一つの技術的効果は、さまざまな異なるタイプの異常が検出および識別されうるということでありうる。さまざまな異なるタイプの異常が検出および識別されうるのは、トラフィックのさまざまな異なる特徴を監視することによる。ある実施形態のもう一つの技術的効果は、ネットワーク内で生じる異常を検出するための異常検出器をネットワークの外部に置くことができるということでありうる。
本開示はある種の実施形態および一般的に関連する諸方法を用いて記載されてきたが、該実施形態および方法の変更および並べ替えは当業者には明らかであろう。したがって、上記の実施例の記述は本開示を制限するものではない。その他の変更、代替および改変も、請求項によって定義される本開示の精神および範囲から外れることなく可能である。

本願は具体的にはさまざまな形が考えられる。以下の付記はその一例である。
(付記1)
一つまたは複数の異常を検出する方法であって、
あるネットワーク当事者に関連付けられたネットワークから許容トラフィックを受信し、該許容トラフィックは当該ネットワークの外部にある、監視当事者に関連付けられた異常検出器において受信され、該許容トラフィックは一つまたは複数の異常を有する異常トラフィックとの影響的相互作用によって影響されており、影響的相互作用は該許容トラフィックにある効果を与え、その効果が前記一つまたは複数の異常の存在を示すものであり、
前記許容トラフィックにおいて前記効果を検出するよう運用可能な一つまたは複数の監視される特徴を監視し、
その監視に反応して前記一つまたは複数の異常を検出する、
ことを含むことを特徴とする方法。
(付記2)
前記ネットワーク当事者が前記監視当事者に対して前記許容トラフィックのみへのアクセスを提供することを特徴とする、付記1記載の方法。
(付記3)
前記ネットワーク当事者が前記監視当事者に対して前記一つまたは複数の異常を検出することへの見返りとして代価を提供することを特徴とする、付記1記載の方法。
(付記4)
前記一つまたは複数の異常が当該ネットワーク内の異常イベントから帰結することを特徴とする、付記1記載の方法。
(付記5)
付記1記載の方法であって、
前記許容トラフィックの前記一つまたは複数の監視される特徴を監視することがさらに、
一つまたは複数の実際の値を与えるための前記一つまたは複数の監視される特徴のそれぞれについて実際の値を生成することを含み、
前記監視に反応して前記一つまたは複数の異常を検出することがさらに、
前記一つまたは複数の実際の値を一つまたは複数の対応する期待される値と比較し、実際の値は前記監視される特徴に関連する期待される値に対応する監視される特徴について生成されるものであり、
前記一つまたは複数の実際の値のうちの少なくとも一つと前記一つまたは複数の対応する期待される値のうちの少なくとも一つとの間の少なくとも一つの相違を判別し、
前記少なくとも一つの相違に反応して前記一つまたは複数の異常を検出する、ことを含む、
ことを特徴とする方法。
(付記6)
付記1記載の方法であって、前記一つまたは複数の異常がさらに、
経路制御ループ異常、
二重性ミスマッチ異常、
フィルタ構成不良異常、
のうちの少なくとも一つを含んでいることを特徴とする方法。
(付記7)
付記1記載の方法であって、前記一つまたは複数の監視される特徴がさらに、
周波数変調分布特徴、
転送スループット特徴、
損失パターン特徴、
アドレス利用特徴、
のうちの少なくとも一つを含んでいることを特徴とする方法。
(付記8)
一つまたは複数の異常を検出するよう動作しうる異常検出器であって、
一つまたは複数の異常を有する異常トラフィックとの影響的相互作用により影響された、複数のパケットを有する許容トラフィックを、ネットワーク当事者に関連付けられたネットワークから、当該ネットワークの外部にある、監視当事者に関連付けられた異常検出器において受信するように動作しうるインターフェースであって、前記影響的相互作用が前記許容トラフィックにある効果を与え、その効果が前記一つまたは複数の異常の存在を示すものであるようなインターフェースと、
前記インターフェースに結合された一つまたは複数のモニタであって、前記許容トラフィックにおいて前記効果を検出するよう運用可能な一つまたは複数の監視される特徴を監視するよう動作しうるモニタと、
その監視に反応して前記一つまたは複数の異常を検出するよう動作しうる、前記一つまたは複数のモニタに結合された解析器、
とを有することを特徴とする異常検出器。
(付記9)
前記ネットワーク当事者が前記監視当事者に対して前記許容トラフィックのみへのアクセスを提供することを特徴とする、付記8記載の異常検出器。
(付記10)
前記ネットワーク当事者が前記監視当事者に対して前記一つまたは複数の異常を検出することへの見返りとして代価を提供することを特徴とする、付記8記載の異常検出器。
(付記11)
前記一つまたは複数の異常が当該ネットワーク内の異常イベントから帰結することを特徴とする、付記8記載の異常検出器。
(付記12)
付記8記載の異常検出器であって、
前記一つまたは複数のモニタがさらに、
一つまたは複数の実際の値を与えるための前記一つまたは複数の監視される特徴のそれぞれについて実際の値を生成することによって前記許容トラフィックの前記一つまたは複数の監視される特徴を監視するよう動作でき、
前記解析器がさらに、
前記一つまたは複数の実際の値を一つまたは複数の対応する期待される値と比較し、実際の値は前記監視される特徴に関連する期待される値に対応する監視される特徴について生成されるものであり、
前記一つまたは複数の実際の値のうちの少なくとも一つと前記一つまたは複数の対応する期待される値のうちの少なくとも一つとの間の少なくとも一つの相違を判別し、
前記少なくとも一つの相違に反応して前記一つまたは複数の異常を検出する、
ことによって、前記監視に反応して前記一つまたは複数の異常を検出するよう動作できる、
ことを特徴とする異常検出器。
(付記13)
付記8記載の異常検出器であって、前記一つまたは複数の異常がさらに、
経路制御ループ異常、
二重性ミスマッチ異常、
フィルタ構成不良異常、
のうちの少なくとも一つを含んでいることを特徴とする異常検出器。
(付記14)
付記8記載の異常検出器であって、前記一つまたは複数の監視される特徴がさらに、
周波数変調分布特徴、
転送スループット特徴、
損失パターン特徴、
アドレス利用特徴、
のうちの少なくとも一つを含んでいることを特徴とする異常検出器。
(付記15)
一つまたは複数の異常を検出する、媒体中にエンコードされた論理であって、
一つまたは複数の異常を有する異常トラフィックとの影響的相互作用により影響された、複数のパケットを有する許容トラフィックを、ネットワーク当事者に関連付けられたネットワークから、当該ネットワークの外部にある、監視当事者に関連付けられた異常検出器において受信し、該影響的相互作用は前記許容トラフィックにある効果を与え、その効果が前記一つまたは複数の異常の存在を示すものであり、
前記許容トラフィックにおいて前記効果を検出するよう運用可能な一つまたは複数の監視される特徴を監視し、
その監視に反応して前記一つまたは複数の異常を検出する、
よう動作しうることを特徴とする論理。
(付記16)
前記ネットワーク当事者が前記監視当事者に対して前記許容トラフィックのみへのアクセスを提供することを特徴とする、付記15記載の論理。
(付記17)
前記ネットワーク当事者が前記監視当事者に対して前記一つまたは複数の異常を検出することへの見返りとして代価を提供することを特徴とする、付記15記載の論理。
(付記18)
前記一つまたは複数の異常が当該ネットワーク内の異常イベントから帰結することを特徴とする、付記15記載の論理。
(付記19)
付記15記載の論理であって、さらに、
前記許容トラフィックの前記一つまたは複数の監視される特徴を監視することを、
一つまたは複数の実際の値を与えるための前記一つまたは複数の監視される特徴のそれぞれについて実際の値を生成することによって行い、
前記監視に反応して前記一つまたは複数の異常を検出することを、
前記一つまたは複数の実際の値を一つまたは複数の対応する期待される値と比較し、実際の値は前記監視される特徴に関連する期待される値に対応する監視される特徴について生成されるものであり、
前記一つまたは複数の実際の値のうちの少なくとも一つと前記一つまたは複数の対応する期待される値のうちの少なくとも一つとの間の少なくとも一つの相違を判別し、
前記少なくとも一つの相違に反応して前記一つまたは複数の異常を検出する、
ことによって行う、ことを特徴とする論理。
(付記20)
付記15記載の論理であって、前記一つまたは複数の異常がさらに、
経路制御ループ異常、
二重性ミスマッチ異常、
フィルタ構成不良異常、
のうちの少なくとも一つを含んでいることを特徴とする論理。
(付記21)
付記15記載の論理であって、前記一つまたは複数の監視される特徴がさらに、
周波数変調分布特徴、
転送スループット特徴、
損失パターン特徴、
アドレス利用特徴、
のうちの少なくとも一つを含んでいることを特徴とする論理。
(付記22)
一つまたは複数の異常を検出するシステムであって、
一つまたは複数の異常を有する異常トラフィックとの影響的相互作用により影響された、複数のパケットを有する許容トラフィックを、ネットワーク当事者に関連付けられたネットワークから、当該ネットワークの外部にある、監視当事者に関連付けられた異常検出器において受信する手段であって、該影響的相互作用は前記許容トラフィックにある効果を与え、その効果が前記一つまたは複数の異常の存在を示すものであるような手段と、
前記許容トラフィックにおいて前記効果を検出するよう運用可能な一つまたは複数の監視される特徴を監視する手段と、
その監視に反応して前記一つまたは複数の異常を検出する手段、
とを有することを特徴とするシステム。
(付記23)
一つまたは複数の異常を検出する方法であって、
当該方法は、一つまたは複数の異常を有する異常トラフィックとの影響的相互作用により影響された、複数のパケットを有する許容トラフィックを、ネットワーク当事者に関連付けられたネットワークから、当該ネットワークの外部にある、監視当事者に関連付けられた異常検出器において受信することを含んでおり、該影響的相互作用は前記許容トラフィックにある効果を与え、その効果は前記一つまたは複数の異常の存在を示すものであり、前記一つまたは複数の異常はさらに、
経路制御ループ異常、
二重性ミスマッチ異常、
フィルタ構成不良異常、
のうちの少なくとも一つを含んでおり、
当該方法は、前記許容トラフィックにおいて前記効果を検出するよう運用可能な一つまたは複数の監視される特徴を監視することを含んでおり、前記許容トラフィックの前記一つまたは複数の監視される特徴を監視することがさらに、
一つまたは複数の実際の値を与えるための前記一つまたは複数の監視される特徴のそれぞれについて実際の値を生成することを含み、前記一つまたは複数の監視される特徴がさらに、
周波数変調分布特徴、
転送スループット特徴、および
損失パターン特徴、
アドレス利用特徴、
のうちの少なくとも一つを含んでおり、
前記監視に反応して前記一つまたは複数の異常を検出するに際し、前記ネットワーク当事者が前記監視当事者に対して前記一つまたは複数の異常を検出することへの見返りとして代価を提供し、前記監視に反応して前記一つまたは複数の異常を検出することがさらに、
前記一つまたは複数の実際の値を一つまたは複数の対応する期待される値と比較し、実際の値は前記監視される特徴に関連する期待される値に対応する監視される特徴について生成されるものであり、
前記一つまたは複数の実際の値のうちの少なくとも一つと前記一つまたは複数の対応する期待される値のうちの少なくとも一つとの間の少なくとも一つの相違を判別し、
前記少なくとも一つの相違に反応して前記一つまたは複数の異常を検出する、
ことを含んでいる、
ことを特徴とする方法。
異常を検出するよう動作しうる異常検出器を含むネットワークシステムの一つの実施形態のブロック図である。 図1のネットワークシステムとともに使われうる異常検出器の一つの実施形態のブロック図である。 周波数変調効果についての期待される値の例を示すグラフである。 周波数変調効果についての実際の値の例を示すグラフである。 経路制御ループ異常を示しうるパケット損失についての実際の値の例を示すグラフである。 二重性ミスマッチ異常を示しうるパケット損失についての実際の値の例を示すグラフである。 異常検出法の一つの実施形態のフローチャートである。
符号の説明
54 プロセッサ
56 メモリ
62 解析器
70 周波数変調
74 転送スループット
78 パケット損失
82 アドレス利用
100 信号を受信
104 信号を分解
108 実際の値を与えるために信号を監視
112 実際の値を期待される値と比較
116 異常検出?
120 異常を識別
124 警告を生成

Claims (20)

  1. 一つまたは複数の異常を検出する方法であって、
    あるネットワーク当事者に関連付けられたネットワークから許容トラフィックを受信し、該許容トラフィックは当該ネットワークの外部にある、監視当事者に関連付けられた異常検出器において受信され、該許容トラフィックは一つまたは複数の異常を有する異常トラフィックとの影響的相互作用によって影響されており、影響的相互作用は該許容トラフィックにある効果を与え、その効果が前記一つまたは複数の異常の存在を示すものであり、
    前記許容トラフィックにおいて前記効果を検出するよう運用可能な一つまたは複数の監視される特徴を監視し、
    その監視に反応して前記一つまたは複数の異常を検出する、
    ことを含むことを特徴とする方法。
  2. 請求項1記載の方法であって、
    前記許容トラフィックの前記一つまたは複数の監視される特徴を監視することがさらに、
    一つまたは複数の実際の値を与えるための前記一つまたは複数の監視される特徴のそれぞれについて実際の値を生成することを含み、
    前記監視に反応して前記一つまたは複数の異常を検出することがさらに、
    前記一つまたは複数の実際の値を一つまたは複数の対応する期待される値と比較し、実際の値は前記監視される特徴に関連する期待される値に対応する監視される特徴について生成されるものであり、
    前記一つまたは複数の実際の値のうちの少なくとも一つと前記一つまたは複数の対応する期待される値のうちの少なくとも一つとの間の少なくとも一つの相違を判別し、
    前記少なくとも一つの相違に反応して前記一つまたは複数の異常を検出する、ことを含む、
    ことを特徴とする方法。
  3. 請求項1記載の方法であって、前記一つまたは複数の異常がさらに、
    経路制御ループ異常、
    二重性ミスマッチ異常、
    フィルタ構成不良異常、
    のうちの少なくとも一つを含んでいることを特徴とする方法。
  4. 請求項1記載の方法であって、前記一つまたは複数の監視される特徴がさらに、
    周波数変調分布特徴、
    転送スループット特徴、
    損失パターン特徴、
    アドレス利用特徴、
    のうちの少なくとも一つを含んでいることを特徴とする方法。
  5. 一つまたは複数の異常を検出するよう動作しうる異常検出器であって、
    一つまたは複数の異常を有する異常トラフィックとの影響的相互作用により影響された、複数のパケットを有する許容トラフィックを、ネットワーク当事者に関連付けられたネットワークから、当該ネットワークの外部にある、監視当事者に関連付けられた異常検出器において受信するように動作しうるインターフェースであって、前記影響的相互作用が前記許容トラフィックにある効果を与え、その効果が前記一つまたは複数の異常の存在を示すものであるようなインターフェースと、
    前記インターフェースに結合された一つまたは複数のモニタであって、前記許容トラフィックにおいて前記効果を検出するよう運用可能な一つまたは複数の監視される特徴を監視するよう動作しうるモニタと、
    その監視に反応して前記一つまたは複数の異常を検出するよう動作しうる、前記一つまたは複数のモニタに結合された解析器、
    とを有することを特徴とする異常検出器。
  6. 前記ネットワーク当事者が前記監視当事者に対して前記許容トラフィックのみへのアクセスを提供することを特徴とする、請求項5記載の異常検出器。
  7. 前記ネットワーク当事者が前記監視当事者に対して前記一つまたは複数の異常を検出することへの見返りとして代価を提供することを特徴とする、請求項5記載の異常検出器。
  8. 前記一つまたは複数の異常が当該ネットワーク内の異常イベントから帰結することを特徴とする、請求項5記載の異常検出器。
  9. 請求項5記載の異常検出器であって、
    前記一つまたは複数のモニタがさらに、
    一つまたは複数の実際の値を与えるための前記一つまたは複数の監視される特徴のそれぞれについて実際の値を生成することによって前記許容トラフィックの前記一つまたは複数の監視される特徴を監視するよう動作でき、
    前記解析器がさらに、
    前記一つまたは複数の実際の値を一つまたは複数の対応する期待される値と比較し、実際の値は前記監視される特徴に関連する期待される値に対応する監視される特徴について生成されるものであり、
    前記一つまたは複数の実際の値のうちの少なくとも一つと前記一つまたは複数の対応する期待される値のうちの少なくとも一つとの間の少なくとも一つの相違を判別し、
    前記少なくとも一つの相違に反応して前記一つまたは複数の異常を検出する、
    ことによって、前記監視に反応して前記一つまたは複数の異常を検出するよう動作できる、
    ことを特徴とする異常検出器。
  10. 請求項5記載の異常検出器であって、前記一つまたは複数の異常がさらに、
    経路制御ループ異常、
    二重性ミスマッチ異常、
    フィルタ構成不良異常、
    のうちの少なくとも一つを含んでいることを特徴とする異常検出器。
  11. 請求項5記載の異常検出器であって、前記一つまたは複数の監視される特徴がさらに、
    周波数変調分布特徴、
    転送スループット特徴、
    損失パターン特徴、
    アドレス利用特徴、
    のうちの少なくとも一つを含んでいることを特徴とする異常検出器。
  12. 一つまたは複数の異常を検出する、媒体中にエンコードされた論理であって、
    一つまたは複数の異常を有する異常トラフィックとの影響的相互作用により影響された、複数のパケットを有する許容トラフィックを、ネットワーク当事者に関連付けられたネットワークから、当該ネットワークの外部にある、監視当事者に関連付けられた異常検出器において受信し、該影響的相互作用は前記許容トラフィックにある効果を与え、その効果が前記一つまたは複数の異常の存在を示すものであり、
    前記許容トラフィックにおいて前記効果を検出するよう運用可能な一つまたは複数の監視される特徴を監視し、
    その監視に反応して前記一つまたは複数の異常を検出する、
    よう動作しうることを特徴とする論理。
  13. 前記ネットワーク当事者が前記監視当事者に対して前記許容トラフィックのみへのアクセスを提供することを特徴とする、請求項12記載の論理。
  14. 前記ネットワーク当事者が前記監視当事者に対して前記一つまたは複数の異常を検出することへの見返りとして代価を提供することを特徴とする、請求項12記載の論理。
  15. 前記一つまたは複数の異常が当該ネットワーク内の異常イベントから帰結することを特徴とする、請求項12記載の論理。
  16. 請求項12記載の論理であって、さらに、
    前記許容トラフィックの前記一つまたは複数の監視される特徴を監視することを、
    一つまたは複数の実際の値を与えるための前記一つまたは複数の監視される特徴のそれぞれについて実際の値を生成することによって行い、
    前記監視に反応して前記一つまたは複数の異常を検出することを、
    前記一つまたは複数の実際の値を一つまたは複数の対応する期待される値と比較し、実際の値は前記監視される特徴に関連する期待される値に対応する監視される特徴について生成されるものであり、
    前記一つまたは複数の実際の値のうちの少なくとも一つと前記一つまたは複数の対応する期待される値のうちの少なくとも一つとの間の少なくとも一つの相違を判別し、
    前記少なくとも一つの相違に反応して前記一つまたは複数の異常を検出する、
    ことによって行う、ことを特徴とする論理。
  17. 請求項12記載の論理であって、前記一つまたは複数の異常がさらに、
    経路制御ループ異常、
    二重性ミスマッチ異常、
    フィルタ構成不良異常、
    のうちの少なくとも一つを含んでいることを特徴とする論理。
  18. 請求項12記載の論理であって、前記一つまたは複数の監視される特徴がさらに、
    周波数変調分布特徴、
    転送スループット特徴、
    損失パターン特徴、
    アドレス利用特徴、
    のうちの少なくとも一つを含んでいることを特徴とする論理。
  19. 一つまたは複数の異常を検出するシステムであって、
    一つまたは複数の異常を有する異常トラフィックとの影響的相互作用により影響された、複数のパケットを有する許容トラフィックを、ネットワーク当事者に関連付けられたネットワークから、当該ネットワークの外部にある、監視当事者に関連付けられた異常検出器において受信する手段であって、該影響的相互作用は前記許容トラフィックにある効果を与え、その効果が前記一つまたは複数の異常の存在を示すものであるような手段と、
    前記許容トラフィックにおいて前記効果を検出するよう運用可能な一つまたは複数の監視される特徴を監視する手段と、
    その監視に反応して前記一つまたは複数の異常を検出する手段、
    とを有することを特徴とするシステム。
  20. 一つまたは複数の異常を検出する方法であって、
    当該方法は、一つまたは複数の異常を有する異常トラフィックとの影響的相互作用により影響された、複数のパケットを有する許容トラフィックを、ネットワーク当事者に関連付けられたネットワークから、当該ネットワークの外部にある、監視当事者に関連付けられた異常検出器において受信することを含んでおり、該影響的相互作用は前記許容トラフィックにある効果を与え、その効果は前記一つまたは複数の異常の存在を示すものであり、前記一つまたは複数の異常はさらに、
    経路制御ループ異常、
    二重性ミスマッチ異常、
    フィルタ構成不良異常、
    のうちの少なくとも一つを含んでおり、
    当該方法は、前記許容トラフィックにおいて前記効果を検出するよう運用可能な一つまたは複数の監視される特徴を監視することを含んでおり、前記許容トラフィックの前記一つまたは複数の監視される特徴を監視することがさらに、
    一つまたは複数の実際の値を与えるための前記一つまたは複数の監視される特徴のそれぞれについて実際の値を生成することを含み、前記一つまたは複数の監視される特徴がさらに、
    周波数変調分布特徴、
    転送スループット特徴、および
    損失パターン特徴、
    アドレス利用特徴、
    のうちの少なくとも一つを含んでおり、
    前記監視に反応して前記一つまたは複数の異常を検出するに際し、前記ネットワーク当事者が前記監視当事者に対して前記一つまたは複数の異常を検出することへの見返りとして代価を提供し、前記監視に反応して前記一つまたは複数の異常を検出することがさらに、
    前記一つまたは複数の実際の値を一つまたは複数の対応する期待される値と比較し、実際の値は前記監視される特徴に関連する期待される値に対応する監視される特徴について生成されるものであり、
    前記一つまたは複数の実際の値のうちの少なくとも一つと前記一つまたは複数の対応する期待される値のうちの少なくとも一つとの間の少なくとも一つの相違を判別し、
    前記少なくとも一つの相違に反応して前記一つまたは複数の異常を検出する、
    ことを含んでいる、
    ことを特徴とする方法。
JP2006273143A 2005-10-05 2006-10-04 ネットワーク内部の異常の、ネットワーク外部のトラフィックからの検出 Withdrawn JP2007104682A (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US11/244,674 US20070078589A1 (en) 2005-10-05 2005-10-05 Detecting anomalies internal to a network from traffic external to the network

Publications (1)

Publication Number Publication Date
JP2007104682A true JP2007104682A (ja) 2007-04-19

Family

ID=37682814

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006273143A Withdrawn JP2007104682A (ja) 2005-10-05 2006-10-04 ネットワーク内部の異常の、ネットワーク外部のトラフィックからの検出

Country Status (3)

Country Link
US (1) US20070078589A1 (ja)
EP (1) EP1772993A1 (ja)
JP (1) JP2007104682A (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI510109B (zh) * 2013-09-25 2015-11-21 Chunghwa Telecom Co Ltd 遞迴式異常網路流量偵測方法
US10776191B2 (en) 2017-11-30 2020-09-15 International Business Machines Corporation Anomaly detection in a sensor network
CN114826750B (zh) * 2022-04-29 2024-02-06 阿里巴巴(中国)有限公司 一种网络异常检测方法、服务器、服务器集群及存储介质

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6597777B1 (en) * 1999-06-29 2003-07-22 Lucent Technologies Inc. Method and apparatus for detecting service anomalies in transaction-oriented networks
AU2002230541B2 (en) * 2000-11-30 2007-08-23 Cisco Technology, Inc. Flow-based detection of network intrusions
US7370357B2 (en) * 2002-11-18 2008-05-06 Research Foundation Of The State University Of New York Specification-based anomaly detection
US7533166B2 (en) * 2002-12-05 2009-05-12 Siemens Communications, Inc. Method and system for router misconfiguration autodetection
US7463590B2 (en) * 2003-07-25 2008-12-09 Reflex Security, Inc. System and method for threat detection and response
US7385931B2 (en) * 2003-08-22 2008-06-10 Fujitsu Limited Detection of network misconfigurations
US7725545B2 (en) * 2004-02-20 2010-05-25 Sybase 365, Inc. Dual use counters for routing loops and spam detection
US7540025B2 (en) * 2004-11-18 2009-05-26 Cisco Technology, Inc. Mitigating network attacks using automatic signature generation
US20060294588A1 (en) * 2005-06-24 2006-12-28 International Business Machines Corporation System, method and program for identifying and preventing malicious intrusions
US9467462B2 (en) * 2005-09-15 2016-10-11 Hewlett Packard Enterprise Development Lp Traffic anomaly analysis for the detection of aberrant network code

Also Published As

Publication number Publication date
US20070078589A1 (en) 2007-04-05
EP1772993A1 (en) 2007-04-11

Similar Documents

Publication Publication Date Title
US7587762B2 (en) Intrusion detection system and network flow director method
EP1999890B1 (en) Automated network congestion and trouble locator and corrector
CN103314557B (zh) 网络系统、控制器、交换机和业务监控方法
US8130767B2 (en) Method and apparatus for aggregating network traffic flows
CN113132342B (zh) 方法、网络装置、隧道入口点装置及存储介质
US8284675B2 (en) Method and system for automated call troubleshooting and resolution
US8477648B2 (en) Systems, apparatus, and methods for monitoring network capacity
US20100037318A1 (en) Network Intrusion Detection
US20140149572A1 (en) Monitoring and diagnostics in computer networks
US11070440B2 (en) Efficient detection and prediction of data pattern changes in a cloud-based application acceleration as a service environment
US20170141989A1 (en) In-line tool performance monitoring and adaptive packet routing
US8797883B2 (en) Method and apparatus for detecting and reporting timeout events
EP2171952B1 (en) Methods and apparatus for dual-tone multi-frequency signal conversion within a media over internet protocol network
JP2009016987A (ja) リモートトラフィック監視方法
US8724454B2 (en) System and method for summarizing alarm indications in a network environment
US8553539B2 (en) Method and system for packet traffic congestion management
US20160248652A1 (en) System and method for classifying and managing applications over compressed or encrypted traffic
JP2007104682A (ja) ネットワーク内部の異常の、ネットワーク外部のトラフィックからの検出
JP2007104681A (ja) 異常トラフィックに影響された許容トラフィックからの異常の検出
US7327733B2 (en) Flushing method with separated sets for type 5 link state advertisement in open shortest path first protocol
US8174983B2 (en) Method and apparatus for flexible application-aware monitoring in high bandwidth networks
US7881210B2 (en) Method and apparatus for identifying label distribution protocol flapping events
US8265089B2 (en) Network gateway with enhanced requesting
US20100097947A1 (en) VoIP Network Element Performance Detection for IP NSEP Special Service
Held Windows Networking Tools: The Complete Guide to Management, Troubleshooting, and Security

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20100105