JP2008193221A - アプリケーション分類方法、ネットワーク異常検知方法、アプリケーション分類プログラム、ネットワーク異常検知プログラム、アプリケーション分類装置、ネットワーク異常検知装置 - Google Patents
アプリケーション分類方法、ネットワーク異常検知方法、アプリケーション分類プログラム、ネットワーク異常検知プログラム、アプリケーション分類装置、ネットワーク異常検知装置 Download PDFInfo
- Publication number
- JP2008193221A JP2008193221A JP2007023069A JP2007023069A JP2008193221A JP 2008193221 A JP2008193221 A JP 2008193221A JP 2007023069 A JP2007023069 A JP 2007023069A JP 2007023069 A JP2007023069 A JP 2007023069A JP 2008193221 A JP2008193221 A JP 2008193221A
- Authority
- JP
- Japan
- Prior art keywords
- classification
- network
- application
- abnormality detection
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 230000005856 abnormality Effects 0.000 title claims description 68
- 238000001514 detection method Methods 0.000 title claims description 54
- 238000013480 data collection Methods 0.000 claims abstract description 18
- 238000012545 processing Methods 0.000 claims description 7
- 238000012544 monitoring process Methods 0.000 claims description 3
- 238000009825 accumulation Methods 0.000 claims 1
- 238000004364 calculation method Methods 0.000 abstract description 8
- 230000006870 function Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 238000012546 transfer Methods 0.000 description 7
- 238000004458 analytical method Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 238000005070 sampling Methods 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 4
- 238000010801 machine learning Methods 0.000 description 4
- 238000005259 measurement Methods 0.000 description 4
- 238000001914 filtration Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000005641 tunneling Effects 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 230000003292 diminished effect Effects 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】ネットワークの実際のトラフィックの状態を十分に反映しつつ、少ない計算量でネットワーク上で使用されているアプリケーションの種類を分類する。
【解決手段】IPネットワークを流れるパケットを受信する受信ステップと、受信ステップで受信したパケットの、少なくともTCPフラグとTCPパケットサイズに関する統計情報を記憶手段に蓄積するデータ収集ステップと、記憶手段に蓄積されたTCPフラグの統計情報に基づき、所定の演算式を用いて、ネットワーク上で使用されているアプリケーションを2種類に分類する第1分類ステップと、記憶手段に蓄積されたTCPパケットサイズの統計情報に基づき、所定の演算式を用いて、ネットワーク上で使用されているアプリケーションを2種類に分類する第2分類ステップと、を有する。
【選択図】図1
【解決手段】IPネットワークを流れるパケットを受信する受信ステップと、受信ステップで受信したパケットの、少なくともTCPフラグとTCPパケットサイズに関する統計情報を記憶手段に蓄積するデータ収集ステップと、記憶手段に蓄積されたTCPフラグの統計情報に基づき、所定の演算式を用いて、ネットワーク上で使用されているアプリケーションを2種類に分類する第1分類ステップと、記憶手段に蓄積されたTCPパケットサイズの統計情報に基づき、所定の演算式を用いて、ネットワーク上で使用されているアプリケーションを2種類に分類する第2分類ステップと、を有する。
【選択図】図1
Description
本発明は、IPネットワーク上で使用されているアプリケーションの種類を分類してその構成割合を求め、さらにはその分類結果に基づきネットワークの異常を検知する技術に関するものである。
従来、『ネットワーク異常検出の信頼性が高いプローブ装置を安価に提供する。』ことを目的とした技術として、『トラフィック測定部120は、解析区切指定部140が定めた測定周期で、ネットワークインタフェース部110のトラフィックを測定する。統計計算部150は、パケット解析部130が解析したヘッダ情報を測定周期毎に統計処理する。特徴情報保持部160は、トラフィック測定部120および統計計算部150の出力データを特徴項目として含む特徴情報を、測定周期毎に作成・保持する。データベース部170は、古い特徴情報を順次蓄積する。異常検出部180は、新しい特徴情報が作成されるたびに、所定の特徴項目が当該新しい特徴情報と同一性の範囲内にある特徴情報をデータベース部170から読み出し、読み出された特徴情報の他の特徴項目についての正常範囲を統計的に算出し、新しい特徴情報の当該他の特徴項目と比較することによって、異常を検出する。』というものが提案されている(特許文献1)。
また、通信のフロー毎の特徴を見てアプリケーションを識別する技術が提案されている(非特許文献1)。
また、通信のフロー毎の特徴を見てアプリケーションを識別する技術が提案されている(非特許文献1)。
上記特許文献1に記載の技術のように、Layer4(TCP:Transmission Control Protocolに相当)以下のヘッダ情報を用いてトラフィック異常を検知する場合には、TCPやUDP(User Datagram Protocol)のPort番号を利用していた。これは、従来はPort番号毎に特定のアプリケーションが紐付けされていたからである。例えば、TCP80番PortにはHTTPプロトコルが割り当てられているため、当該Port番号を使用するのがWebアプリケーションが多いであろうことは、容易に推測できる。
一方、昨今では、パケットフィルタリングルールを回避するためなどの理由により、正しいPort番号が利用されないことがある。また、特定のアプリケーションが紐付けされていない空きPort番号を用いて、P2P(Point To Point)アプリケーション等の比較的新しいタイプのアプリケーションが利用される機会が増えてきている。
そのため、昨今においては、Port番号を用いてアプリケーションを分類し、又はその分類結果を利用するシステムは、実際のトラフィックの状態を十分に反映できなくなっているという課題がある。
一方、昨今では、パケットフィルタリングルールを回避するためなどの理由により、正しいPort番号が利用されないことがある。また、特定のアプリケーションが紐付けされていない空きPort番号を用いて、P2P(Point To Point)アプリケーション等の比較的新しいタイプのアプリケーションが利用される機会が増えてきている。
そのため、昨今においては、Port番号を用いてアプリケーションを分類し、又はその分類結果を利用するシステムは、実際のトラフィックの状態を十分に反映できなくなっているという課題がある。
また、上記非特許文献1に記載の技術のように、フロー毎にアプリケーションを分類する方法では、アプリケーションの種類を大まかに判別したいような場合には計算負荷が大きすぎる。さらには、全てのアプリケーションの種類を網羅することはできないという課題もある。
また、仮にアプリケーションを正しく特定することができたとしても、例えばトンネリング通信のように、そのプロトコルが従来想定していた利用方法に則った利用がなされていないことがある。
このような場合には、アプリケーションを特定できたとしても、結局のところ、実質的な利用のされ方までは特定できていないことになり、アプリケーションを特定する意義が薄らいでしまうという課題もある。
このような場合には、アプリケーションを特定できたとしても、結局のところ、実質的な利用のされ方までは特定できていないことになり、アプリケーションを特定する意義が薄らいでしまうという課題もある。
そのため、ネットワークの実際のトラフィックの状態を十分に反映しつつ、少ない計算量で、ネットワーク上で使用されているアプリケーションの種類を分類することのできる、アプリケーション分類方法、アプリケーション分類プログラム、アプリケーション分類装置、及びこれらを用いたネットワーク異常検知方法、ネットワーク異常検知プログラム、ネットワーク異常検知装置が望まれていた。
本発明に係るアプリケーション分類方法は、
IPネットワークを流れるパケットに基づきそのネットワーク上で使用されているアプリケーションの種類を分類してその構成割合を得る方法であって、
前記パケットの統計情報を蓄積する記憶手段を設け、
前記IPネットワークを流れるパケットを受信する受信ステップと、
前記受信ステップで受信したパケットの、少なくともTCPフラグとTCPパケットサイズに関する統計情報を前記記憶手段に蓄積するデータ収集ステップと、
前記記憶手段に蓄積されたTCPフラグの統計情報に基づき、所定の演算式を用いて、前記ネットワーク上で使用されているアプリケーションを2種類に分類する第1分類ステップと、
前記記憶手段に蓄積されたTCPパケットサイズの統計情報に基づき、所定の演算式を用いて、前記ネットワーク上で使用されているアプリケーションを2種類に分類する第2分類ステップと、
前記第1分類ステップ及び前記第2分類ステップの結果に基づき、前記ネットワーク上で使用されているアプリケーションを4種類に分類する第3分類ステップと、
を有することを特徴とするものである。
IPネットワークを流れるパケットに基づきそのネットワーク上で使用されているアプリケーションの種類を分類してその構成割合を得る方法であって、
前記パケットの統計情報を蓄積する記憶手段を設け、
前記IPネットワークを流れるパケットを受信する受信ステップと、
前記受信ステップで受信したパケットの、少なくともTCPフラグとTCPパケットサイズに関する統計情報を前記記憶手段に蓄積するデータ収集ステップと、
前記記憶手段に蓄積されたTCPフラグの統計情報に基づき、所定の演算式を用いて、前記ネットワーク上で使用されているアプリケーションを2種類に分類する第1分類ステップと、
前記記憶手段に蓄積されたTCPパケットサイズの統計情報に基づき、所定の演算式を用いて、前記ネットワーク上で使用されているアプリケーションを2種類に分類する第2分類ステップと、
前記第1分類ステップ及び前記第2分類ステップの結果に基づき、前記ネットワーク上で使用されているアプリケーションを4種類に分類する第3分類ステップと、
を有することを特徴とするものである。
本発明に係るアプリケーション分類方法によれば、ネットワークの実際のトラフィックの状態を十分に反映しつつ、少ない計算量で、ネットワーク上で使用されているアプリケーションの種類を、少ない計算量で容易に分類することができる。
実施の形態1.
図1は、本発明の実施の形態1に係るアプリケーション分類装置100の機能ブロック図である。
アプリケーション分類装置100は、インタフェース部101、トラフィックデータ収集部102、アプリケーション分類部103、記憶手段104を備える。
インタフェース部101は、ネットワークを流れるIPパケットを受信し、トラフィックデータ収集部102に出力する。
トラフィックデータ収集部102は、インタフェース部101より受け取ったIPパケットの、少なくともTCPフラグとTCPパケットサイズに関する統計情報を生成し、記憶手段104に蓄積する。統計情報の詳細は後述する。
アプリケーション分類部103は、記憶手段104に蓄積された統計情報に基づき、ネットワーク上で使用されているアプリケーションの種類を分類する。分類処理の詳細は後述する。
記憶手段104は、上述の統計情報を格納する。
図1において、アプリケーション分類装置100は、インタフェース部101を介して第1ネットワーク200と第2ネットワーク300に接続されている。これらのネットワークはIP(Internet Protocol)ネットワークであるものとする。
図1は、本発明の実施の形態1に係るアプリケーション分類装置100の機能ブロック図である。
アプリケーション分類装置100は、インタフェース部101、トラフィックデータ収集部102、アプリケーション分類部103、記憶手段104を備える。
インタフェース部101は、ネットワークを流れるIPパケットを受信し、トラフィックデータ収集部102に出力する。
トラフィックデータ収集部102は、インタフェース部101より受け取ったIPパケットの、少なくともTCPフラグとTCPパケットサイズに関する統計情報を生成し、記憶手段104に蓄積する。統計情報の詳細は後述する。
アプリケーション分類部103は、記憶手段104に蓄積された統計情報に基づき、ネットワーク上で使用されているアプリケーションの種類を分類する。分類処理の詳細は後述する。
記憶手段104は、上述の統計情報を格納する。
図1において、アプリケーション分類装置100は、インタフェース部101を介して第1ネットワーク200と第2ネットワーク300に接続されている。これらのネットワークはIP(Internet Protocol)ネットワークであるものとする。
インタフェース部101は、LANインターフェース等のネットワークインターフェースにより構成することができる。
トラフィックデータ収集部102、アプリケーション分類部103は、これらの機能を実現する回路デバイス等のハードウェアで実現することもできるし、マイコンやCPU等の演算装置上で実行されるソフトウェアとして実現することもできる。
記憶手段104は、RAM(Random Access Memory)やHDD(Hard Disk Drive)のような書込み可能な記憶装置で構成することができる。
トラフィックデータ収集部102、アプリケーション分類部103は、これらの機能を実現する回路デバイス等のハードウェアで実現することもできるし、マイコンやCPU等の演算装置上で実行されるソフトウェアとして実現することもできる。
記憶手段104は、RAM(Random Access Memory)やHDD(Hard Disk Drive)のような書込み可能な記憶装置で構成することができる。
本実施の形態1における「受信部」は、インタフェース部101がこれに相当する。
また、「データ収集部」はトラフィックデータ収集部102がこれに相当する。
また、「第1分類部」「第2分類部」「第3分類部」は、アプリケーション分類部103がこれに相当する。
また、「データ収集部」はトラフィックデータ収集部102がこれに相当する。
また、「第1分類部」「第2分類部」「第3分類部」は、アプリケーション分類部103がこれに相当する。
図2は、本実施の形態1におけるアプリケーションの分類を示すものである。分類方法は後述するとして、まずは図2に示すアプリケーションの各分類について説明する。
本実施の形態1においては、ネットワーク上で使用されるアプリケーションを、通信量と通信モデルの2つの視点から分類している。
本実施の形態1においては、ネットワーク上で使用されるアプリケーションを、通信量と通信モデルの2つの視点から分類している。
(1)通信量による分類
通信量に関しては、「Broad Band Traffic」型(以下、「ブロードバンド型」)のアプリケーションと「Narrow Band Traffic」型(以下、「ナローバンド型」)のアプリケーションに分類した。これは、データ転送量の面からの分類である。
動画像配信アプリケーションやファイル転送アプリケーション等が前者に該当し、制御パケットやテキスト・静止画像の配信アプリケーションが後者に該当する。
通信量に関しては、「Broad Band Traffic」型(以下、「ブロードバンド型」)のアプリケーションと「Narrow Band Traffic」型(以下、「ナローバンド型」)のアプリケーションに分類した。これは、データ転送量の面からの分類である。
動画像配信アプリケーションやファイル転送アプリケーション等が前者に該当し、制御パケットやテキスト・静止画像の配信アプリケーションが後者に該当する。
(2)通信モデルによる分類
通信モデルに関しては、「P2P(Peer To Peer)」型のアプリケーションと「Client/Server(C/S)」型のアプリケーションに分類した。
通信モデルに関しては、「P2P(Peer To Peer)」型のアプリケーションと「Client/Server(C/S)」型のアプリケーションに分類した。
上記(1)(2)の分類により、2×2のマトリクスでアプリケーションを4分類することができる。
図2のA型には、例えばP2Pファイル交換アプリケーション等が該当する。
B型には、例えばP2P音声アプリケーション等が該当する。
C型には、例えばマルチメディアコンテンツ配信アプリケーションが該当する。
D型には、シグナリングプロトコルや、従来のテキストベースアプリケーション等、様々なアプリケーションが該当する。
アプリケーション分類部103は、ネットワーク上で使用されているアプリケーションを、上述の4分類のいずれかに分類する。分類方法は後述する。
図2のA型には、例えばP2Pファイル交換アプリケーション等が該当する。
B型には、例えばP2P音声アプリケーション等が該当する。
C型には、例えばマルチメディアコンテンツ配信アプリケーションが該当する。
D型には、シグナリングプロトコルや、従来のテキストベースアプリケーション等、様々なアプリケーションが該当する。
アプリケーション分類部103は、ネットワーク上で使用されているアプリケーションを、上述の4分類のいずれかに分類する。分類方法は後述する。
図3は、トラフィックデータ収集部102が収集する統計情報のデータ例を示すものである。
トラフィックデータ収集部102は、インタフェース部101から受け取ったパケットのヘッダ部を解析し、TCPパラメータを収集して、記憶手段104にその統計情報を格納する。パラメータを収集する時間(サンプリング期間)は、あらかじめ定めておくこととする。
記憶手段104に格納する統計情報は、例えば以下のようなものである。
(1)TCPパケットの総サイズ
(2)TCPパケットの総数
(3)TCP synフラグの立ったパケットの総数
(4)TCP synフラグとackフラグの双方が立ったパケットの総数
トラフィックデータ収集部102は、インタフェース部101から受け取ったパケットのヘッダ部を解析し、TCPパラメータを収集して、記憶手段104にその統計情報を格納する。パラメータを収集する時間(サンプリング期間)は、あらかじめ定めておくこととする。
記憶手段104に格納する統計情報は、例えば以下のようなものである。
(1)TCPパケットの総サイズ
(2)TCPパケットの総数
(3)TCP synフラグの立ったパケットの総数
(4)TCP synフラグとackフラグの双方が立ったパケットの総数
次に、アプリケーション分類部103の動作について説明する。
アプリケーション分類部103は、記憶手段104に格納されている上述の統計情報を読み取り、以下の処理を行う。
アプリケーション分類部103は、記憶手段104に格納されている上述の統計情報を読み取り、以下の処理を行う。
(1)TCP synフラグとackフラグの双方が立ったパケットの総数を、そのサンプリング期間において成立したセッション総数(以下、「SA」と略す)とみなす。
(2)TCP synフラグとackフラグの双方が立ったパケットの総数(SA)をTCP synフラグの立ったパケットの総数(以下「S」)で割った数値を求め、そのサンプリング期間におけるセッションの成立割合、即ち接続の安定度合いとする。
(3)アプリケーションの種類全体に対するP2Pアプリケーションの割合を「P」、C/Sアプリケーションの割合を「C」とすると、次式(1)が成り立つ。
P+C=1.0 ・・・(1)
(4)P2Pアプリケーションにおけるセッションの成立割合を0.8、C/Sアプリケーションにおけるセッションの成立割合を0.2と定義する。これにより、次式(2)が成り立つ。
SA/S=0.8P+0.2C ・・・(2)
(5)式(1)と式(2)より、PとCの値を求めることができる。
(2)TCP synフラグとackフラグの双方が立ったパケットの総数(SA)をTCP synフラグの立ったパケットの総数(以下「S」)で割った数値を求め、そのサンプリング期間におけるセッションの成立割合、即ち接続の安定度合いとする。
(3)アプリケーションの種類全体に対するP2Pアプリケーションの割合を「P」、C/Sアプリケーションの割合を「C」とすると、次式(1)が成り立つ。
P+C=1.0 ・・・(1)
(4)P2Pアプリケーションにおけるセッションの成立割合を0.8、C/Sアプリケーションにおけるセッションの成立割合を0.2と定義する。これにより、次式(2)が成り立つ。
SA/S=0.8P+0.2C ・・・(2)
(5)式(1)と式(2)より、PとCの値を求めることができる。
なお、SA/Sの値が0.8より大きい場合は、P=1.0、C=0.0とし、
SA/Sの値が0.2より小さい場合は、P=0.0、C=1.0とする。
また、これらの係数「0.8」「0.2」は、事前のシミュレーション結果により定義したものであり、必ずしもこの値に限る必要はないことを付言しておく。
SA/Sの値が0.2より小さい場合は、P=0.0、C=1.0とする。
また、これらの係数「0.8」「0.2」は、事前のシミュレーション結果により定義したものであり、必ずしもこの値に限る必要はないことを付言しておく。
以上の処理により、アプリケーションの種類をP2P型とC/S型の2種類に分類することができた。次は、ブロードバンド型とナローバンド型の2種類に分類する手順を説明する。
(6)アプリケーションの種類全体に対するブロードバンド型アプリケーションの割合を「BB」、ナローバンド型アプリケーションの割合を「NB」とすると、次式(3)が成り立つ。
BB+NB=1.0 ・・・(3)
(7)ブロードバンド型アプリケーションの平均的なデータ転送レートを300kbps、ナローバンド型アプリケーションの平均的なデータ転送レートを3kbpsとする。
TCP sizeの総数(以下、「TS」と略す)との関係から、次式(4)が成り立つ。
SA×BB×300(kbps)+SA×NB×3(kbps)
=TS×8/サンプリング期間 ・・・(4)
なお、式(4)の右辺は、TSに8を乗じて単位をバイトからビットに変換し、サンプリング期間で割ることにより、単位を転送レート(kbps)に揃える処理を行っているものである。
また、これらの転送レート「300kbps」「3kbps」は、現在のインターネットトラフィックを鑑みたものであり、必ずしもこの値に限る必要はなく、また検知対象によって変更することもあるということを付言しておく。
(8)式(3)と式(4)より、BBとNBの値を求めることができる。
BB+NB=1.0 ・・・(3)
(7)ブロードバンド型アプリケーションの平均的なデータ転送レートを300kbps、ナローバンド型アプリケーションの平均的なデータ転送レートを3kbpsとする。
TCP sizeの総数(以下、「TS」と略す)との関係から、次式(4)が成り立つ。
SA×BB×300(kbps)+SA×NB×3(kbps)
=TS×8/サンプリング期間 ・・・(4)
なお、式(4)の右辺は、TSに8を乗じて単位をバイトからビットに変換し、サンプリング期間で割ることにより、単位を転送レート(kbps)に揃える処理を行っているものである。
また、これらの転送レート「300kbps」「3kbps」は、現在のインターネットトラフィックを鑑みたものであり、必ずしもこの値に限る必要はなく、また検知対象によって変更することもあるということを付言しておく。
(8)式(3)と式(4)より、BBとNBの値を求めることができる。
なお、当該ネットワークにおける平均的なTCPデータ転送レートが300kbps以上である場合には、BB=1.0、NB=0.0とする。
以上の処理により、アプリケーションの種類をブロードバンド型とナローバンド型の2種類に分類することができた。
アプリケーション分類部103は、以上の分類結果に基づき、ネットワーク上で使用されているアプリケーションを、図2のA型〜D型の4種類に分類する。各型の割合は、次式で求められる。
A型の割合=P×BB
B型の割合=P×NB
C型の割合=C×BB
D型の割合=1.0−(A+B+C)
A型の割合=P×BB
B型の割合=P×NB
C型の割合=C×BB
D型の割合=1.0−(A+B+C)
以上のように、本実施の形態1によれば、Layer5以上の上位層のプロトコル解析のような計算量の多い処理をすることなく、ネットワーク上で使用されているアプリケーションを4種類に分類することができる。
これにより、どのような特性を持つアプリケーションがネットワーク上で用いられているかを容易に把握できるので、ネットワーク状況の概括的な把握がしやすいという効果がある。
これにより、どのような特性を持つアプリケーションがネットワーク上で用いられているかを容易に把握できるので、ネットワーク状況の概括的な把握がしやすいという効果がある。
実施の形態2.
実施の形態1では、上述の式(2)や(4)において、収集したTCPフラグとTCPパケットサイズに基づき、あらかじめ設定された係数を用いて、アプリケーションの構成割合を算出することとした。
本発明の実施の形態2では、アプリケーション分類部103に機械学習機能を持たせ、あらかじめ教師データを与えて正解データを学習させておくことにより、より複雑なパケット構成についても分類可能とする構成について説明する。
実施の形態1では、上述の式(2)や(4)において、収集したTCPフラグとTCPパケットサイズに基づき、あらかじめ設定された係数を用いて、アプリケーションの構成割合を算出することとした。
本発明の実施の形態2では、アプリケーション分類部103に機械学習機能を持たせ、あらかじめ教師データを与えて正解データを学習させておくことにより、より複雑なパケット構成についても分類可能とする構成について説明する。
本実施の形態2においては、図2の4種類のアプリケーションそれぞれに該当する典型的なアプリケーション若しくはプロトコルのパケットを擬似的に生成してトラフィックデータを作り、あらかじめアプリケーション分類部103に学習させておく。
例えば、A型:P2Pファイル交換アプリケーション、B型:P2P音声アプリケーション、C型:FTP−data、D型:http、とし、擬似トラフィックを発生させてTCPフラグやTCPパケットサイズ等についての統計情報を収集する。
例えば、A型:P2Pファイル交換アプリケーション、B型:P2P音声アプリケーション、C型:FTP−data、D型:http、とし、擬似トラフィックを発生させてTCPフラグやTCPパケットサイズ等についての統計情報を収集する。
図4は、本実施の形態2において、トラフィックデータ収集部102が統計情報を生成するTCPパラメータの一覧(統計処理済み)である。
同図に示すように、実施の形態1で説明したTCPパラメータと比較して、多くのパラメータを収集して統計情報を生成していることが分かる。パラメータが増えているため、実施の形態1で説明した式(1)〜(4)のような簡易な式ではアプリケーションの構成割合を求めることができないが、これに代えて機械学習器の学習結果によりアプリケーションを分類することを図る。
同図に示すように、実施の形態1で説明したTCPパラメータと比較して、多くのパラメータを収集して統計情報を生成していることが分かる。パラメータが増えているため、実施の形態1で説明した式(1)〜(4)のような簡易な式ではアプリケーションの構成割合を求めることができないが、これに代えて機械学習器の学習結果によりアプリケーションを分類することを図る。
図5は、本実施の形態2におけるアプリケーション分類部103の動作フローである。以下、各ステップについて説明する。
(S501)
アプリケーション分類部103は、トラフィックデータ収集部102が生成した統計情報を、記憶手段104より読み取る。
(S502)
ステップS501と同時に教師データを受け取り、もしくは別に入力された場合にはステップS503へ進み、それ以外の場合はステップS504へ進む。
なお、ここでいう教師データとは、擬似トラフィックを生成した際のアプリケーション構成割合(A型〜D型)のことである。擬似トラフィックを生成する際に、各型のアプリケーションの構成割合は判明しているため、その数値を教師データとして与えればよい。
(S503)
アプリケーション分類部103は、読み取った統計情報と教師データを用いて機械学習を行い、その学習結果を記憶手段104に格納する。機械学習により、アプリケーション分類を実施する際の計算式の各係数などの閾値が決定される。
(S504)
アプリケーション分類部103は、記憶手段104が格納している学習結果データを用いて、読み取った統計情報に基づき、ネットワーク上で使用されているアプリケーションの構成割合を求める。
アプリケーション分類部103は、トラフィックデータ収集部102が生成した統計情報を、記憶手段104より読み取る。
(S502)
ステップS501と同時に教師データを受け取り、もしくは別に入力された場合にはステップS503へ進み、それ以外の場合はステップS504へ進む。
なお、ここでいう教師データとは、擬似トラフィックを生成した際のアプリケーション構成割合(A型〜D型)のことである。擬似トラフィックを生成する際に、各型のアプリケーションの構成割合は判明しているため、その数値を教師データとして与えればよい。
(S503)
アプリケーション分類部103は、読み取った統計情報と教師データを用いて機械学習を行い、その学習結果を記憶手段104に格納する。機械学習により、アプリケーション分類を実施する際の計算式の各係数などの閾値が決定される。
(S504)
アプリケーション分類部103は、記憶手段104が格納している学習結果データを用いて、読み取った統計情報に基づき、ネットワーク上で使用されているアプリケーションの構成割合を求める。
なお、本実施の形態2において、アプリケーションを4分類する方法を説明したが、分類数は4つに限られるものではない。特に、本実施の形態2においてアプリケーション分類部103は機械学習機能を備えるため、複雑な分類であっても、教師データが適切であれば学習することが可能である。
以上のように、本実施の形態2によれば、実施の形態1と異なり多くのTCPフラグを利用してアプリケーション分類を行うため、暗号化プロトコル、独自プロトコル等の特殊プロトコル、トンネリングプロトコルなど、ネットワーク管理者にとってどのようなアプリケーションが用いられているかの把握が困難であったプロトコルに関しても、4分類のトラフィック量を求めることが可能となる。
実施の形態3.
図6は、本発明の実施の形態3に係るネットワーク異常検知装置400の機能ブロック図である。
ネットワーク異常検知装置400は、実施の形態1〜2で説明したインタフェース部101、トラフィックデータ収集部102、アプリケーション分類部103、記憶手段104に加えて、新たに異常検知部105を備える。また、記憶手段104は、後述の図7で説明する分類データを格納する。
異常検知部105は、記憶手段104に蓄積されている後述の図7に示す分類データのうち、異常検知対象とするものを決定し、その他の分類データと比較することにより、その分類データに異常があるか否かを判断する。詳細は後述する。
図6は、本発明の実施の形態3に係るネットワーク異常検知装置400の機能ブロック図である。
ネットワーク異常検知装置400は、実施の形態1〜2で説明したインタフェース部101、トラフィックデータ収集部102、アプリケーション分類部103、記憶手段104に加えて、新たに異常検知部105を備える。また、記憶手段104は、後述の図7で説明する分類データを格納する。
異常検知部105は、記憶手段104に蓄積されている後述の図7に示す分類データのうち、異常検知対象とするものを決定し、その他の分類データと比較することにより、その分類データに異常があるか否かを判断する。詳細は後述する。
なお、図6の機能ブロック図では、実施の形態1〜2で説明したアプリケーション分類装置100の構成がネットワーク異常検知装置400と一体化して構成されているが、これらを分離して、システムとして構成してもよい。
また、異常検知部105は、その機能を実現する回路デバイス等のハードウェアで実現することもできるし、マイコンやCPU等の演算装置上で実行されるソフトウェアとして実現することもできる。
また、異常検知部105は、その機能を実現する回路デバイス等のハードウェアで実現することもできるし、マイコンやCPU等の演算装置上で実行されるソフトウェアとして実現することもできる。
図7は、記憶手段104が格納する分類データの構成とデータ例を示すものである。
アプリケーション分類部103は、分類結果を時系列に沿って記憶手段104に格納する。図7のデータ例は1分毎に分類結果を格納した例である。
例えば、1行目のデータには、「2007年xx月xx日 00時00分」から1分間の間に収集したTCPフラグ等のデータに基づく分類結果が格納されている。
アプリケーション分類部103は、分類結果を時系列に沿って記憶手段104に格納する。図7のデータ例は1分毎に分類結果を格納した例である。
例えば、1行目のデータには、「2007年xx月xx日 00時00分」から1分間の間に収集したTCPフラグ等のデータに基づく分類結果が格納されている。
次に、異常検知部105の動作について説明する。
異常検知部105は、記憶手段104に新たな分類データが格納された際や、外部より指示コマンドを受け付けた際などに、これをトリガーとして以下の手順により異常検知処理を実施する。
異常検知部105は、記憶手段104に新たな分類データが格納された際や、外部より指示コマンドを受け付けた際などに、これをトリガーとして以下の手順により異常検知処理を実施する。
(1)異常検知部105は、記憶手段104に格納されている分類データのうち、異常検知の対象とする分類データを決定する。
例えば、記憶手段104に新たな分類データが格納されたことをトリガーとして異常検知を行う場合には、その新たな分類データを異常検知の対象として以下の解析を行う。また、異常検知指示を受け付けたことをトリガーとする場合には、指示された期間の分類データを異常検知の対象として以下の解析を行う。
例えば、記憶手段104に新たな分類データが格納されたことをトリガーとして異常検知を行う場合には、その新たな分類データを異常検知の対象として以下の解析を行う。また、異常検知指示を受け付けたことをトリガーとする場合には、指示された期間の分類データを異常検知の対象として以下の解析を行う。
(2)異常検知部105は、ステップ(1)で決定した異常検知対象の分類データと比較するための分類データを決定する。比較対象とする分類データは、異常検知対象の分類データよりも過去に格納された分類データとする。
図7のデータ例に即して説明すると、4行目の分類データを異常検知対象とする場合には、1行目〜3行目のいずれかの分類データと、4行目の分類データとを比較する。比較対象の分類データの範囲は、例えば過去5件分の分類データ、などとしてもよいし、過去24時間以内の分類データ全てを比較対象とする、などとしてもよい。
図7のデータ例に即して説明すると、4行目の分類データを異常検知対象とする場合には、1行目〜3行目のいずれかの分類データと、4行目の分類データとを比較する。比較対象の分類データの範囲は、例えば過去5件分の分類データ、などとしてもよいし、過去24時間以内の分類データ全てを比較対象とする、などとしてもよい。
(3)異常検知部105は、ステップ(2)で決定した比較対象の分類データと、ステップ(2)で決定した比較対象の分類データを、記憶手段104より読み取る。
(4)異常検知部105は、ステップ(1)で決定した異常検知対象の分類データと、ステップ(2)で決定した比較対象の分類データとを比較し、両者の乖離度を計算する。乖離度が所定の閾値以上であれば、その異常検知対象の分類データには異常があるものと判断することができる。
乖離の度合いは、例えば分類した各比率に関して比較対象の分類データの中で平均値や分散値を計算し、一定値以上異常検知対象の分類データが乖離していることを計算して足し合わせたものとしてもよい。
即ち、その異常検知対象の分類データを取得した際に、ネットワークにおいて何らかの理由により異常パケットが発生していることが分かる。
また、単純に乖離の度合いを計算するだけでなく、忘却型学習器などのストリームマイニング技術を用いて比較対象の分類データを学習し、学習結果を元に異常検知対象の分類データの異常判定をするとしても良い。
乖離の度合いは、例えば分類した各比率に関して比較対象の分類データの中で平均値や分散値を計算し、一定値以上異常検知対象の分類データが乖離していることを計算して足し合わせたものとしてもよい。
即ち、その異常検知対象の分類データを取得した際に、ネットワークにおいて何らかの理由により異常パケットが発生していることが分かる。
また、単純に乖離の度合いを計算するだけでなく、忘却型学習器などのストリームマイニング技術を用いて比較対象の分類データを学習し、学習結果を元に異常検知対象の分類データの異常判定をするとしても良い。
以上のように、本実施の形態3によれば、実施の形態1〜2で説明した方法によりアプリケーションの構成割合を求めておき、その割合の変化を検知することによりネットワークトラフィックの異常を検知するので、いち早く異常発生を検知することができるという効果がある。
また、A型〜D型のいずれのアプリケーション分類のトラフィックが異常であるかも即座に判断できるため、状況や対処方法が推定しやすいという効果もある。
また、A型〜D型のいずれのアプリケーション分類のトラフィックが異常であるかも即座に判断できるため、状況や対処方法が推定しやすいという効果もある。
実施の形態4.
図8は、本発明の実施の形態4に係るネットワークシステムの構成図である。
図8において、501はインターネットで、ルータ502と接続されている。
ルータ502は、背後のネットワークとインターネット501の境界に位置し、これらを接続するとともに、パケットルーティング機能を提供する。
503はファイアウォールで、所定のパケットフィルタリングルールにより、ルータ502を通過してきたパケットをフィルタリングする機能を有する。ファイアウォール503を通過したパケットは、その背後のネットワークに到達する。
504はPC等のクライアント端末、505はサーバで、業務機能を提供する。
400は実施の形態3で説明したネットワーク異常検知装置で、ファイアウォール503の背後に接続され、これを通過してきたパケットを収集して、先に説明したようなアプリケーション分類と異常検知処理を実施する。
図8は、本発明の実施の形態4に係るネットワークシステムの構成図である。
図8において、501はインターネットで、ルータ502と接続されている。
ルータ502は、背後のネットワークとインターネット501の境界に位置し、これらを接続するとともに、パケットルーティング機能を提供する。
503はファイアウォールで、所定のパケットフィルタリングルールにより、ルータ502を通過してきたパケットをフィルタリングする機能を有する。ファイアウォール503を通過したパケットは、その背後のネットワークに到達する。
504はPC等のクライアント端末、505はサーバで、業務機能を提供する。
400は実施の形態3で説明したネットワーク異常検知装置で、ファイアウォール503の背後に接続され、これを通過してきたパケットを収集して、先に説明したようなアプリケーション分類と異常検知処理を実施する。
図8において、ネットワーク異常検知装置400は、一種のIDS(Intrusion Detection System)として機能する。
即ち、ファイアウォール503を通過してきたパケットを監視し、Port番号偽装などによりファイアウォール503を不正に通過したパケット等による異常なトラフィックが発生している場合には、その旨を検知して、ネットワーク攻撃の被害が拡大する前にこれを未然に防ぐことができる。
即ち、ファイアウォール503を通過してきたパケットを監視し、Port番号偽装などによりファイアウォール503を不正に通過したパケット等による異常なトラフィックが発生している場合には、その旨を検知して、ネットワーク攻撃の被害が拡大する前にこれを未然に防ぐことができる。
また、異常検知部105が異常を検知した際には、例えば以下のいずれかの方法でシステム管理者等に通知することにより、速やかな対応が可能となる。
(1)異常検知部105よりシステム管理者へ宛てて、電子メール等の方法により異常発生の旨を通知する。
(2)アラーム等を発する警報装置を異常検知部105と接続し、異常発生時に音声・光等による物理的な手段でその旨を通知する。
(3)異常検知部105よりSNTP(Simple Network Management Protocol)トラップを発し、別の監視システムに異常発生の旨を通知する。
(1)異常検知部105よりシステム管理者へ宛てて、電子メール等の方法により異常発生の旨を通知する。
(2)アラーム等を発する警報装置を異常検知部105と接続し、異常発生時に音声・光等による物理的な手段でその旨を通知する。
(3)異常検知部105よりSNTP(Simple Network Management Protocol)トラップを発し、別の監視システムに異常発生の旨を通知する。
100 アプリケーション分類装置、101 インタフェース部、102 トラフィックデータ収集部、103 アプリケーション分類部、104 記憶手段、105 異常検知部、200 第1ネットワーク、300 第2ネットワーク、400 ネットワーク異常検知装置、501 インターネット、502 ルータ、503 ファイアウォール、504 クライアント端末、505 サーバ。
Claims (12)
- IPネットワークを流れるパケットに基づきそのネットワーク上で使用されているアプリケーションの種類を分類してその構成割合を得る方法であって、
前記パケットの統計情報を蓄積する記憶手段を設け、
前記IPネットワークを流れるパケットを受信する受信ステップと、
前記受信ステップで受信したパケットの、少なくともTCPフラグとTCPパケットサイズに関する統計情報を前記記憶手段に蓄積するデータ収集ステップと、
前記記憶手段に蓄積されたTCPフラグの統計情報に基づき、所定の演算式を用いて、前記ネットワーク上で使用されているアプリケーションを2種類に分類する第1分類ステップと、
前記記憶手段に蓄積されたTCPパケットサイズの統計情報に基づき、所定の演算式を用いて、前記ネットワーク上で使用されているアプリケーションを2種類に分類する第2分類ステップと、
前記第1分類ステップ及び前記第2分類ステップの結果に基づき、前記ネットワーク上で使用されているアプリケーションを4種類に分類する第3分類ステップと、
を有することを特徴とするアプリケーション分類方法。 - 前記第1分類ステップでは、
前記記憶手段に蓄積されたTCPフラグの統計情報に基づき、所定の演算式を用いて、前記ネットワーク上で使用されているアプリケーションをP2P型とC/S型の2種類に分類する
ことを特徴とする請求項1に記載のアプリケーション分類方法。 - 前記第2分類ステップでは、
前記記憶手段に蓄積されたTCPパケットサイズの統計情報に基づき、所定の演算式を用いて、前記ネットワーク上で使用されているアプリケーションをブロードバンド型とナローバンド型の2種類に分類する
ことを特徴とする請求項1又は請求項2に記載のアプリケーション分類方法。 - 前記IPネットワークを流れるパケットの、少なくともTCPフラグとTCPパケットサイズをあらかじめモニタリングし、その結果を学習データとして前記記憶手段に格納しておき、
前記第1分類ステップ若しくは前記第2分類ステップ、又はその双方において、
前記記憶手段に格納された学習データと、
前記記憶手段に蓄積された統計情報とを比較し、
その結果に基づき、前記ネットワーク上で使用されているアプリケーションを分類する
ことを特徴とする請求項1ないし請求項3のいずれかに記載のアプリケーション分類方法。 - 請求項1ないし請求項4のいずれかに記載のアプリケーション分類方法を実行してその分類結果を前記記憶手段に蓄積する分類結果蓄積ステップと、
前記記憶手段に蓄積されている分類結果のうち、異常検知対象とするものを決定し、その他の分類結果と比較する異常検知ステップと、
を有し、
前記異常検知ステップでは、
異常検知対象とする前記分類結果と、その他の前記分類結果とを比較し、両者の乖離度が所定の閾値を上回っていた際に、前記IPネットワークにおいて異常が発生したものと判断する
ことを特徴とするネットワーク異常検知方法。 - 請求項1ないし請求項4のいずれかに記載のアプリケーション分類方法をコンピュータに実行させることを特徴とするアプリケーション分類プログラム。
- 請求項5に記載のネットワーク異常検知方法をコンピュータに実行させることを特徴とするネットワーク異常検知プログラム。
- IPネットワークを流れるパケットに基づきそのネットワーク上で使用されているアプリケーションの種類を分類してその構成割合を得る装置であって、
前記パケットの統計情報を蓄積する記憶手段と、
前記IPネットワークを流れるパケットを受信する受信部と、
前記受信部が受信したパケットの、少なくともTCPフラグとTCPパケットサイズに関する統計情報を前記記憶手段に蓄積するデータ収集部と、
前記記憶手段に蓄積されたTCPフラグの統計情報に基づき、所定の演算式を用いて、前記ネットワーク上で使用されているアプリケーションを2種類に分類する第1分類部と、
前記記憶手段に蓄積されたTCPパケットサイズの統計情報に基づき、所定の演算式を用いて、前記ネットワーク上で使用されているアプリケーションを2種類に分類する第2分類部と、
前記第1分類部及び前記第2分類部の処理結果に基づき、前記ネットワーク上で使用されているアプリケーションを4種類に分類する第3分類部と、
を備えることを特徴とするアプリケーション分類装置。 - 前記第1分類部は、
前記記憶手段に蓄積されたTCPフラグの統計情報に基づき、所定の演算式を用いて、前記ネットワーク上で使用されているアプリケーションをP2P型とC/S型の2種類に分類する
ことを特徴とする請求項8に記載のアプリケーション分類装置。 - 前記第2分類部は、
前記記憶手段に蓄積されたTCPパケットサイズの統計情報に基づき、所定の演算式を用いて、前記ネットワーク上で使用されているアプリケーションをブロードバンド型とナローバンド型の2種類に分類する
ことを特徴とする請求項8又は請求項9に記載のアプリケーション分類装置。 - 前記記憶手段は、
前記IPネットワークを流れるパケットの、少なくともTCPフラグとパケットサイズをあらかじめモニタリングした結果を学習データとして格納しており、
前記第1分類部若しくは前記第2分類部、又はその双方は、
前記記憶手段に格納された学習データと、
前記記憶手段に蓄積された統計情報とを比較し、
その結果に基づき、前記ネットワーク上で使用されているアプリケーションを分類する
ことを特徴とする請求項8ないし請求項10のいずれかに記載のアプリケーション分類装置。 - 請求項8ないし請求項11のいずれかに記載のアプリケーション分類装置と、
前記アプリケーション分類装置の分類結果を前記記憶手段に蓄積する分類結果蓄積部と、
前記記憶手段に蓄積されている分類結果のうち、異常検知対象とするものを決定し、その他の分類結果と比較する異常検知部と、
を備え、
前記異常検知部は、
異常検知対象とする前記分類結果と、その他の前記分類結果とを比較し、両者の乖離度が所定の閾値を上回っていた際に、前記IPネットワークにおいて異常が発生したものと判断する
ことを特徴とするネットワーク異常検知装置。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007023069A JP4232828B2 (ja) | 2007-02-01 | 2007-02-01 | アプリケーション分類方法、ネットワーク異常検知方法、アプリケーション分類プログラム、ネットワーク異常検知プログラム、アプリケーション分類装置、ネットワーク異常検知装置 |
| US12/010,607 US7903657B2 (en) | 2007-02-01 | 2008-01-28 | Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007023069A JP4232828B2 (ja) | 2007-02-01 | 2007-02-01 | アプリケーション分類方法、ネットワーク異常検知方法、アプリケーション分類プログラム、ネットワーク異常検知プログラム、アプリケーション分類装置、ネットワーク異常検知装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008193221A true JP2008193221A (ja) | 2008-08-21 |
| JP4232828B2 JP4232828B2 (ja) | 2009-03-04 |
Family
ID=39676066
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007023069A Expired - Fee Related JP4232828B2 (ja) | 2007-02-01 | 2007-02-01 | アプリケーション分類方法、ネットワーク異常検知方法、アプリケーション分類プログラム、ネットワーク異常検知プログラム、アプリケーション分類装置、ネットワーク異常検知装置 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US7903657B2 (ja) |
| JP (1) | JP4232828B2 (ja) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010095588A1 (ja) * | 2009-02-18 | 2010-08-26 | 日本電気株式会社 | 分散監視システム、分散監視方法、及びプログラム |
| WO2010148897A1 (zh) * | 2009-06-23 | 2010-12-29 | 腾讯科技(深圳)有限公司 | 一种传输视频数据的方法、系统和装置 |
| JP2011124777A (ja) * | 2009-12-10 | 2011-06-23 | Nippon Telegr & Teleph Corp <Ntt> | 通信分類装置および通信分類方法、ならびにそのためのプログラム |
| JP2013171347A (ja) * | 2012-02-17 | 2013-09-02 | Fujitsu Frontech Ltd | 情報処理装置、サーバ検出方法、及びプログラム |
| JP2015511047A (ja) * | 2012-03-19 | 2015-04-13 | クアルコム,インコーポレイテッド | マルウェアを検出するコンピューティングデバイス |
| JP2016528630A (ja) * | 2013-08-12 | 2016-09-15 | ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. | アプリケーションアウェアネットワーク管理 |
| JP2019004419A (ja) * | 2017-06-19 | 2019-01-10 | 株式会社日立製作所 | ネットワーク監視装置、そのシステム、およびその方法 |
| KR102338425B1 (ko) * | 2021-09-28 | 2021-12-10 | (주)제너럴데이타 | 인공지능 기반 모니터링 대상 서버의 어플리케이션 자동 설정 및 모니터링 방법, 장치 및 시스템 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015075808A (ja) * | 2013-10-07 | 2015-04-20 | 富士通株式会社 | ネットワークフィルタリング装置及びネットワークフィルタリング方法 |
| US9686312B2 (en) * | 2014-07-23 | 2017-06-20 | Cisco Technology, Inc. | Verifying network attack detector effectiveness |
| US10911362B2 (en) * | 2018-12-05 | 2021-02-02 | Citrix Systems, Inc. | System and methods to filter out noisy application signatures to improve precision of first packet classification |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE69939401D1 (de) * | 1999-04-12 | 2008-10-02 | Nokia Corp | Paketlängenklassifizierung |
| US6757738B1 (en) * | 2000-05-18 | 2004-06-29 | Nortel Networks Limited | Method and apparatus for improving channel utilization |
| US7290283B2 (en) * | 2001-01-31 | 2007-10-30 | Lancope, Inc. | Network port profiling |
| US7154888B1 (en) * | 2002-02-08 | 2006-12-26 | Cisco Technology, Inc. | Method for classifying packets using multi-class structures |
| US7424744B1 (en) * | 2002-03-05 | 2008-09-09 | Mcafee, Inc. | Signature based network intrusion detection system and method |
| US7373663B2 (en) * | 2002-05-31 | 2008-05-13 | Alcatel Canada Inc. | Secret hashing for TCP SYN/FIN correspondence |
| US7464181B2 (en) * | 2003-09-11 | 2008-12-09 | International Business Machines Corporation | Method for caching lookups based upon TCP traffic flow characteristics |
| JP4490743B2 (ja) * | 2004-06-24 | 2010-06-30 | 株式会社日立製作所 | ファイル共有システム、ファイル共有用管理サーバおよびクライアント装置 |
| CA2552153C (en) * | 2004-10-29 | 2013-01-29 | Nippon Telegraph And Telephone Corporation | Packet communication network and packet communication method |
| JP3957712B2 (ja) | 2004-11-22 | 2007-08-15 | 沖電気工業株式会社 | 通信監視システム |
| JP4126707B2 (ja) * | 2006-07-28 | 2008-07-30 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 情報システムの状態を解析する技術 |
-
2007
- 2007-02-01 JP JP2007023069A patent/JP4232828B2/ja not_active Expired - Fee Related
-
2008
- 2008-01-28 US US12/010,607 patent/US7903657B2/en not_active Expired - Fee Related
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010095588A1 (ja) * | 2009-02-18 | 2010-08-26 | 日本電気株式会社 | 分散監視システム、分散監視方法、及びプログラム |
| JPWO2010095588A1 (ja) * | 2009-02-18 | 2012-08-23 | 日本電気株式会社 | 分散監視システム、分散監視方法、及びプログラム |
| US8560682B2 (en) | 2009-02-18 | 2013-10-15 | Nec Corporation | Distribution monitoring system, distribution monitoring method, and program |
| JP5578445B2 (ja) * | 2009-02-18 | 2014-08-27 | 日本電気株式会社 | 分散監視システム、分散監視方法、及びプログラム |
| WO2010148897A1 (zh) * | 2009-06-23 | 2010-12-29 | 腾讯科技(深圳)有限公司 | 一种传输视频数据的方法、系统和装置 |
| JP2011124777A (ja) * | 2009-12-10 | 2011-06-23 | Nippon Telegr & Teleph Corp <Ntt> | 通信分類装置および通信分類方法、ならびにそのためのプログラム |
| JP2013171347A (ja) * | 2012-02-17 | 2013-09-02 | Fujitsu Frontech Ltd | 情報処理装置、サーバ検出方法、及びプログラム |
| JP2015511047A (ja) * | 2012-03-19 | 2015-04-13 | クアルコム,インコーポレイテッド | マルウェアを検出するコンピューティングデバイス |
| JP2016528630A (ja) * | 2013-08-12 | 2016-09-15 | ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. | アプリケーションアウェアネットワーク管理 |
| US9954743B2 (en) | 2013-08-12 | 2018-04-24 | Hewlett Packard Enterprise Development Lp | Application-aware network management |
| JP2019004419A (ja) * | 2017-06-19 | 2019-01-10 | 株式会社日立製作所 | ネットワーク監視装置、そのシステム、およびその方法 |
| KR102338425B1 (ko) * | 2021-09-28 | 2021-12-10 | (주)제너럴데이타 | 인공지능 기반 모니터링 대상 서버의 어플리케이션 자동 설정 및 모니터링 방법, 장치 및 시스템 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20080186876A1 (en) | 2008-08-07 |
| JP4232828B2 (ja) | 2009-03-04 |
| US7903657B2 (en) | 2011-03-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4232828B2 (ja) | アプリケーション分類方法、ネットワーク異常検知方法、アプリケーション分類プログラム、ネットワーク異常検知プログラム、アプリケーション分類装置、ネットワーク異常検知装置 | |
| Cui et al. | SD-Anti-DDoS: Fast and efficient DDoS defense in software-defined networks | |
| US20060109793A1 (en) | Network simulation apparatus and method for analyzing abnormal network | |
| CN110225037B (zh) | 一种DDoS攻击检测方法和装置 | |
| US20190007292A1 (en) | Apparatus and method for monitoring network performance of virtualized resources | |
| US10867036B2 (en) | Multiple pairwise feature histograms for representing network traffic | |
| TW202019127A (zh) | 異常流量偵測裝置及其異常流量偵測方法 | |
| JP2018148350A (ja) | 閾値決定装置、閾値決定方法及びプログラム | |
| CN117395076B (zh) | 基于大数据的网络感知异常检测系统与方法 | |
| Aksoy et al. | Operating system classification performance of tcp/ip protocol headers | |
| Spiekermann et al. | Unsupervised packet-based anomaly detection in virtual networks | |
| JP6317685B2 (ja) | 通信監視システム、通信監視方法およびプログラム | |
| Dong et al. | Research on network traffic identification based on improved BP neural network | |
| CN107454052A (zh) | 网络攻击检测方法以及攻击检测装置 | |
| JP2005203992A (ja) | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム | |
| JP2006311048A (ja) | 帯域制御装置 | |
| KR101326804B1 (ko) | 분산서비스거부 공격 탐지 방법 및 시스템 | |
| JP2009206717A (ja) | トラヒック変動量推定方法およびその装置とプログラム | |
| Chen et al. | The monitoring system of Business support system with emergency prediction based on machine learning approach | |
| Celenk et al. | Anomaly detection and visualization using Fisher discriminant clustering of network entropy | |
| JP5287898B2 (ja) | フロー監視装置、フロー監視方法およびプログラム | |
| JP2009267892A (ja) | 巨大フロー特定方法とシステムおよびプログラムとフロー制御システム | |
| JP6629174B2 (ja) | 通信監視装置、通信監視方法及び通信監視プログラム | |
| Tseung et al. | Forensic-Aware Anti-DDoS Device | |
| CN116506225A (zh) | 协作式DDoS攻击检测方法、系统、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081007 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081029 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20081118 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20081201 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111219 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4232828 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111219 Year of fee payment: 3 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111219 Year of fee payment: 3 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111219 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121219 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131219 Year of fee payment: 5 |
|
| LAPS | Cancellation because of no payment of annual fees |