JP2009044501A - Traffic amount change factor specifying method, system, program, and recording medium - Google Patents
Traffic amount change factor specifying method, system, program, and recording medium Download PDFInfo
- Publication number
- JP2009044501A JP2009044501A JP2007207769A JP2007207769A JP2009044501A JP 2009044501 A JP2009044501 A JP 2009044501A JP 2007207769 A JP2007207769 A JP 2007207769A JP 2007207769 A JP2007207769 A JP 2007207769A JP 2009044501 A JP2009044501 A JP 2009044501A
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- attribute
- change
- flow identifier
- attribute type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、トラフィック量変化が外部装置によって検知、もしくは手動で指定された際に、ネットワーク上を流れるトラフィックから得るトラフィック情報、もしくは、蓄積されたトラフィック情報をもとに、そのトラフィック量変化の原因となったトラフィックを特定する技術に関するものである。 The present invention is based on the traffic information obtained from the traffic flowing on the network or the accumulated traffic information when the traffic volume change is detected by an external device or manually designated. It relates to the technology that identifies the traffic that became.
ISP(Internet Service Provider)などのネットワークのオペレータは、通常、ネットワークトラフィック状況をトラフィック量(秒間バイト数・秒間パケット数)の時系列で監視しており、DDoS(Distributed Denial of Service)攻撃、トラフィック集中、装置故障などの異常を時系列上の変化によって検出している。 Network operators such as ISP (Internet Service Provider) usually monitor the network traffic situation in time series of traffic volume (bytes per second / packets per second), DDoS (Distributed Denial of Service) attacks, traffic concentration Anomalies such as device failures are detected by changes over time.
しかし、トラフィック量の変化を発見するだけでは、どのような原因でその変化が生じているのか分からず、現状把握・対処・対策を行うことができない。トラフィック変化に対する対策を実行するためには、トラフィック量変化を引き起こした原因トラフィックを特定する手法が必要である。 However, simply discovering the change in traffic volume does not reveal the cause of the change, and it is impossible to grasp, deal with, or take countermeasures for the current situation. In order to implement countermeasures against traffic changes, a method for identifying the cause traffic that caused the traffic change is necessary.
これに対する取り組みは、特にDDoS攻撃の検知・分析の分野において従来数多くの提案がなされている。 There have been many proposals for this approach, particularly in the field of DDoS attack detection and analysis.
この中でも、特許文献1は、トラフィック量変化の原因となったトラフィックを、複数の属性種別における属性値としてとらえることで、トラフィック量変化の原因を、多次元フロー識別子として特定する方法を提案している。
Among these,
一方で、この手法は、トラフィックの宛先アドレスや送信元アドレスの単位でトラフィック量の変化を監視するため、DDoS攻撃などで生じる攻撃元が分散したトラフィックによりトラフィック量変化が生じる場合には、単一の送信元アドレスあたりのトラフィック量が少なく、攻撃元を正確に特定することができないという問題がある。 On the other hand, since this method monitors changes in traffic volume in units of traffic destination addresses and transmission source addresses, if the traffic volume changes due to traffic that is distributed by attack sources that occur in DDoS attacks, etc. There is a problem that the amount of traffic per source address is small and the attack source cannot be accurately identified.
この分散した攻撃元への対策として、特許文献2においては、送信元、宛先アドレスの属性種別に対して、プレフィックスを用いて属性値を範囲指定したクラスタとして扱うクラスタリングを行い、各クラスタのトラフィック量変化を観測する手法を提案している。
As a countermeasure against this distributed attack source, in
ただし、特許文献2において行われるトラフィック量変化原因の特定は、送信元アドレス属性、宛先アドレス属性それぞれに対して独立にのみ行われ、結果として送信元アドレス情報のみを持つフロー識別子、及び宛先アドレス情報のみを持つフロー識別子が独立して出力され、送信元アドレス、宛先アドレスの組としてフロー識別子を特定することが出来ない。このため、複数の属性種別の総合である多次元フロー識別子に比べて、変化原因トラフィック特定精度が低いという問題がある。
However, the cause of the traffic amount change performed in
また、非特許文献1においては、上記2つの手法の長所を併せ持つ提案として、属性値に範囲を用いた多次元のトラフィック量変化原因特定手法が提案されている。この手法では、多次元フロー識別子としてトラフィック変化に寄与したトラフィックが特定される。
In
しかしながら、先に述べた提案のいずれも、変化原因トラフィック特定時において、特定したフロー識別子のトラフィックが、どの程度変化発生以前から存在し続けているトラフィックかを勘案していない。この、フロー識別子で識別されるトラフィックが、トラフィック量変化以前にどれだけ存在していたかを、変化以前からの存在度と呼ぶ。フロー識別子で識別されるトラフィックが、変化以前からの存在度が大きい場合には、該当フロー識別子に対してフィルタリングなどの制御を行った際に正常トラフィックもフィルタリングする可能性が高いという問題がある。 However, none of the proposals described above takes into account how much traffic of the identified flow identifier has existed before the occurrence of the change when the change cause traffic is specified. The amount of traffic identified by the flow identifier before the change in traffic volume is referred to as the degree of presence before the change. When the traffic identified by the flow identifier has a large presence before the change, there is a problem that there is a high possibility that normal traffic is also filtered when control such as filtering is performed on the corresponding flow identifier.
加えて、非特許文献1の手法は、正常区間のトラフィック、異常区間のトラフィックそれぞれをクラスタリングした上で、クラスタ同士のトラフィック量の差分を抽出することで、変化原因トラフィックを特定するため、クラスタリング及び差分抽出における計算量が大きく、加えて特定結果にクラスタリングに伴う誤差が含まれるという問題がある。
In addition, the method of Non-Patent
一方、非特許文献2において、変化以前からの存在度を低減することができる変化原因特定の手法が提案されている。しかしながら、この提案による変化原因特定は、送信元アドレス属性に限ったもので、その他の属性種別をも総合したトラフィック識別情報を得ることができない。このため、複数の属性種別の総合である多次元フロー識別子に比べて、変化原因トラフィック特定精度が低いという問題がある。
On the other hand, Non-Patent
本発明は、これらの問題を解決するためになされたもので、本発明の目的は、トラフィックのクラスタリングに先行して分析対象トラフィックの差分を抽出することで、トラフィックのクラスタリングを実施する範囲を、変化に寄与したトラフィックが含まれる範囲に限定することで計算量を削減することである。 The present invention has been made to solve these problems, and the object of the present invention is to extract the difference of the traffic to be analyzed prior to the traffic clustering, so that the range in which the traffic clustering is performed, The amount of calculation is reduced by limiting the range to include the traffic that contributed to the change.
また、本発明の第2の目的は、変化原因トラフィック特定に際し、正常区間のトラフィック分布を考慮することで変化以前からの存在度を低減しつつ、異常区間のトラフィック量変化への寄与度を最大化し、かつフロー識別子数を低減することである。 The second object of the present invention is to maximize the contribution to the change in traffic volume in the abnormal section while reducing the presence before the change by considering the traffic distribution in the normal section when identifying the cause of change traffic. And reducing the number of flow identifiers.
ここで、第2の目的の存在度、寄与度、フロー識別子数の間には下記のトレードオフ関係がある。
・変化以前からの存在度を減らすために複数の狭い範囲のフロー識別子を用いて寄与度一定以上のフロー識別子を出力する場合、フロー識別子数が増える。
・逆に、範囲を広くすると少ないフロー識別子数で高いカバー率を実現できるが、変化以前からの存在度が増える。
Here, the following trade-off relationship exists between the presence degree, the contribution degree, and the number of flow identifiers of the second object.
In order to reduce the presence before the change, when a flow identifier with a certain contribution level or more is output using a plurality of narrow range flow identifiers, the number of flow identifiers increases.
-Conversely, if the range is widened, a high coverage can be realized with a small number of flow identifiers, but the presence before the change increases.
本発明の第2の目的は、このトレードオフを最適化しながらトラフィック量変化の原因トラフィックを特定するものである。 The second object of the present invention is to identify the traffic causing the change in traffic volume while optimizing this trade-off.
本明細書において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。 Of the inventions disclosed in this specification, the outline of typical ones will be briefly described as follows.
第1の発明は、単数もしくは複数のフロー識別子を用いて、トラフィック量変化の原因トラフィックを特定するトラフィック量変化原因特定システムにおけるトラフィック量変化原因特定方法であって、前記トラフィック量変化原因特定システムは、属性種別独立の差分取得手段と属性種別独立のクラスタリング手段と複数属性クラスタリング手段とを備え、前記属性種別独立の差分取得手段が、正常区間のトラフィックデータと異常区間のトラフィックデータの各属性種別それぞれにおいて、独立して正常区間・異常区間の属性値毎の、正常区間のトラフィック量と、正常区間と異常区間のトラフィック量の差分である差分トラフィック量を求める属性種別独立の差分取得ステップと、前記属性種別独立のクラスタリング手段が、前記正常区間のトラフィック量と、前記差分トラフィック量から、各属性種別毎に該属性種別の一次元フロー識別子を求める属性種別独立クラスタリングステップと、前記複数属性クラスタリング手段が、各属性種別毎に求められた前記一次元フロー識別子を総合して、多属性種別の多次元フロー識別子を作成する複数属性クラスタリングステップと、を有することを特徴とする。 A first invention is a traffic volume change cause identifying method in a traffic volume change cause identifying system for identifying cause traffic of a traffic volume change by using one or a plurality of flow identifiers, wherein the traffic volume change cause identifying system includes: , Attribute type independent difference acquisition means, attribute type independent clustering means and multiple attribute clustering means, the attribute type independent difference acquisition means, each attribute type of the traffic data of the normal section and the traffic data of the abnormal section, respectively In each of the attribute values of the normal section and abnormal section independently, the normal section traffic volume and the attribute type independent difference acquisition step for obtaining the differential traffic volume that is the difference between the normal section and the abnormal section traffic volume, The clustering means independent of attribute type is the normal An attribute type independent clustering step for obtaining a one-dimensional flow identifier of the attribute type for each attribute type from the traffic amount between and the difference traffic amount, and the multiple attribute clustering means And a multi-attribute clustering step of creating a multi-dimensional flow identifier of a multi-attribute type by combining the one-dimensional flow identifiers.
第2の発明は、前記第1の発明において、前記多次元フロー識別子が、送信元アドレス、宛先アドレス、プロトコル、送信元ポート、宛先ポートに加えて、TTL(Time To Live)、送信元AS番号、宛先AS番号、転送に用いられるルータインタフェース番号、経由ルータ、の内、単一または複数の属性種別における属性値の組み合わせであることを特徴とする。 According to a second aspect, in the first aspect, the multidimensional flow identifier includes a source address, a destination address, a protocol, a source port, a destination port, a TTL (Time To Live), a source AS number. , A destination AS number, a router interface number used for transfer, and a transit router, and a combination of attribute values in a single or a plurality of attribute types.
第3の発明は、前記第1の発明において、前記フロー識別子を構成する属性値として属性値範囲を用いることを特徴とする。 According to a third invention, in the first invention, an attribute value range is used as an attribute value constituting the flow identifier.
第4の発明は、前記第1の発明において、前記属性種別独立クラスタリングステップ及び/又は前記複数属性クラスタリングステップにおいて、フロー識別子を決定する際に、フロー識別子に該当するトラフィックによるトラフィック量変化への寄与度と、フロー識別子に該当するトラフィックの変化以前からの存在度と、フロー識別子数の3つの要素のトレードオフ関係を考慮し、最小のフロー識別子数で、トラフィック量変化への寄与度を最大化し、変化以前からの存在度を最小化するようにフロー識別子を決定することを特徴とする。 According to a fourth aspect, in the first aspect, when determining the flow identifier in the attribute type independent clustering step and / or the multiple attribute clustering step, a contribution to a change in traffic volume due to traffic corresponding to the flow identifier Considering the trade-off relationship between the three factors, the degree of traffic, the presence before the change of traffic corresponding to the flow identifier, and the number of flow identifiers, the contribution to the change in traffic volume is maximized with the minimum number of flow identifiers. The flow identifier is determined so as to minimize the presence before the change.
第5の発明は、前記第1の発明において、前記単数もしくは複数のフロー識別子それぞれが、各フロー識別子それぞれに該当するトラフィックの変化量への寄与度と変化以前からの存在度の情報を持つことを特徴とする。 In a fifth aspect based on the first aspect, each of the one or more flow identifiers has information on a degree of contribution to the amount of change in traffic corresponding to each flow identifier and an existing degree before the change. It is characterized by.
第6の発明は、単数もしくは複数のフロー識別子を用いて、トラフィック量変化の原因トラフィックを特定するトラフィック量変化原因特定システムであって、正常区間のトラフィックデータと異常区間のトラフィックデータの各属性種別それぞれにおいて、独立して正常区間・異常区間の属性値毎の、正常区間のトラフィック量と、正常区間と異常区間のトラフィック量の差分である差分トラフィック量を求める属性種別独立の差分取得手段と、前記正常区間のトラフィック量と、前記差分トラフィック量から、各属性種別毎に該属性種別の一次元フロー識別子を求める属性種別独立のクラスタリング手段と、各属性種別毎に求められた前記一次元フロー識別子を総合して、多属性種別の多次元フロー識別子を作成する複数属性クラスタリング手段と、を備えることを特徴とする。 A sixth aspect of the present invention is a traffic volume change cause identifying system for identifying a cause traffic of a traffic volume change by using one or a plurality of flow identifiers, and each attribute type of traffic data in a normal section and traffic data in an abnormal section In each, independently for each attribute value of the normal section / abnormal section, the traffic amount of the normal section and the attribute type independent difference acquisition means for obtaining the difference traffic amount that is the difference between the traffic amount of the normal section and the abnormal section; An attribute type-independent clustering means for obtaining a one-dimensional flow identifier of the attribute type for each attribute type from the traffic volume of the normal section and the difference traffic amount, and the one-dimensional flow identifier obtained for each attribute type To create a multi-attribute type multi-dimensional flow identifier. Characterized in that it comprises a grayed means.
第7の発明は、前記第1の発明のステップをコンピュータに実行させるためのプログラムである。 A seventh invention is a program for causing a computer to execute the steps of the first invention.
第8の発明は、前記第1の発明のステップをコンピュータに実行させるためのプログラムを記録したコンピュータ読み取り可能な記録媒体である。 An eighth invention is a computer-readable recording medium recording a program for causing a computer to execute the steps of the first invention.
本発明によれば、
・トラフィックのクラスタリングに先行して分析対象トラフィックの差分を抽出することで、トラフィックのクラスタリングを実施する範囲を、変化に寄与したトラフィックが含まれる範囲に限定することで計算量を削減でき、
・クラスタリング時に正常区間のトラフィック分布を考慮することで、変化以前からの存在度を低減した変化原因トラフィック特定を行うことが可能になる。
・加えて、トラフィック量変化以前からの存在度と、フロー識別子で特定されるトラフィックによるトラフィック量変化への寄与度とフロー識別子数とのトレードオフに対して、評価式を用いて評価することで、最適化したフロー識別子の組を出力することができる。
According to the present invention,
-By extracting the difference of the traffic to be analyzed prior to traffic clustering, the amount of calculation can be reduced by limiting the range of traffic clustering to the range that includes the traffic that contributed to the change,
-By considering the traffic distribution in the normal section at the time of clustering, it becomes possible to identify the cause of change traffic with a reduced presence before the change.
・ In addition, by using the evaluation formula to evaluate the trade-off between the degree of presence before the change in traffic volume, the degree of contribution to the traffic volume change by the traffic specified by the flow identifier, and the number of flow identifiers A set of optimized flow identifiers can be output.
次に、本発明の実施形態について、図面を参照しながら説明する。
図1に本発明の実施形態の方法を含むトラフィック量変化原因特定システムのブロック図を示す。101は属性種別独立の差分取得手段であり、102は属性種別独立のクラスタリング手段であり、103は複数属性クラスタリング手段である。本実施形態のトラフィック量変化原因特定システムは、属性種別独立の差分取得手段101と属性種別独立のクラスタリング手段102と複数属性クラスタリング手段103とを備える装置である。本実施形態のトラフィック量変化原因特定システムは、1または複数のコンピュータとプログラムによって構成することができる。また、前記プログラムの一部または全部の代わりにハードウェアを用いて構成してもよい。
Next, embodiments of the present invention will be described with reference to the drawings.
FIG. 1 shows a block diagram of a traffic volume change cause identifying system including a method according to an embodiment of the present invention. 101 is attribute type independent difference acquisition means, 102 is attribute type independent clustering means, and 103 is a multi-attribute clustering means. The traffic amount change cause identifying system of this embodiment is an apparatus including an attribute type independent
111は正常区間のトラフィックデータであり、112は異常区間のトラフィックデータである。正常区間のトラフィックデータ111と異常区間のトラフィックデータ112は、属性種別独立の差分取得手段101への入力情報である。121〜125、131〜135は属性種別独立の差分取得手段101が出力する内部的な中間情報であり、これらは属性種別独立のクラスタリング手段102に入力される。141〜145は属性種別独立のクラスタリング手段102が出力する内部的な中間情報であり、これらは複数属性クラスタリング手段103に入力される。151は複数属性クラスタリング手段103が出力する多属性フロー識別子(多次元フロー識別子)である。多属性フロー識別子151が本実施形態のトラフィック量変化原因特定システムの最終出力情報である。
111 is the traffic data of the normal section, and 112 is the traffic data of the abnormal section. The
本実施形態のトラフィック量変化原因特定システムの動作の概略は次のとおりである。まず、属性種別独立の差分取得手段101が、正常区間のトラフィックデータ111と異常区間のトラフィックデータ112の各属性種別それぞれにおいて、独立して正常区間・異常区間の属性値毎の、正常区間のトラフィック量121〜125と、正常区間と異常区間のトラフィック量の差分である差分トラフィック量131〜135を求める。次に、属性種別独立のクラスタリング手段102が、正常区間のトラフィック量121〜125と、差分トラフィック量131〜135から、各属性種別毎に該属性種別の一次元フロー識別子141〜145を求める。次に、複数属性クラスタリング手段103が、各属性種別毎に求められた一次元フロー識別子141〜145を総合して、多属性種別の多属性フロー識別子(多次元フロー識別子)151を作成し、出力する。
The outline of the operation of the traffic amount change cause identifying system of this embodiment is as follows. First, the attribute type-independent difference acquisition means 101 performs normal section traffic for each attribute value of the normal section / abnormal section independently for each attribute type of the
トラフィック量変化原因特定システムの入力は、(1)分析対象であるトラフィック量変化を指定する正常区間・異常区間の区間指定情報(それぞれの開始終了時刻情報)と、(2)上記正常区間・異常区間のトラフィックを含む分析対象のトラフィックデータの2つである。 The input of the traffic volume change cause identification system is (1) normal section / abnormal section specification information (each start / end time information) specifying the traffic volume change to be analyzed, and (2) normal section / abnormal It is two of the traffic data of the analysis object containing the traffic of an area.
図1に示す正常区間のトラフィックデータ111と異常区間のトラフィックデータ112は、上記(1)の正常区間・異常区間の区間指定情報を用いて、上記(2)の正常区間・異常区間のトラフィックを含む分析対象のトラフィックデータから作成した、正常区間のトラフィックデータと異常区間異常区間のトラフィックデータである。正常区間のトラフィックデータは変化発生以前のトラフィックデータであり、異常区間のトラフィックデータは変化発生中のトラフィックデータである。
The
これらの入力を受けて、属性種別独立の差分取得手段101は、正常区間のトラフィックデータ111と異常区間のトラフィックデータ112それぞれを、各属性種別毎に、出現する属性値に該当するトラフィック量としてカウントする。これを、属性種別毎の正常区間トラフィック、異常区間トラフィックと呼ぶ。
Upon receiving these inputs, the attribute type independent
前記の属性種別とは、最終的に求めたい複数属性種別フロー情報の構成要素である、送信元アドレス、宛先アドレス、プロトコル、送信元ポート、宛先ポートに加えて、送信元AS番号、宛先AS番号、転送に用いられるルータインタフェース番号、経由ルータ、である。これら属性種別のうち、経由ルータ以外の情報はルータの出力するトラフィックデータである、NetFlow/sFlowで取得できる。経由ルータ情報は、送信元アドレス、宛先アドレスから、経路情報を用いて、計算可能である。 The attribute type is a source address, a destination address, a protocol, a source port, a destination port, a source AS number, a destination AS number, which are constituent elements of the multiple attribute type flow information to be finally obtained. , Router interface number used for transfer, via router. Among these attribute types, information other than the relay router can be acquired by NetFlow / sFlow, which is traffic data output from the router. The route router information can be calculated from the source address and the destination address using the route information.
出現する属性値とは、例えば送信元アドレス属性であれば、各送信元ホストアドレスが該当する。 The attribute value that appears is, for example, each source host address if it is a source address attribute.
また、属性種別独立の差分取得手段101では同時に正常区間・異常区間の総トラフィック量も計算する。
In addition, the attribute type independent
次に属性種別独立の差分取得手段101は、上記属性種別毎の異常区間トラフィックから正常区間トラフィックを、各属性値毎にトラフィック量の引き算を行う。この引き算の結果を、各属性種別毎の差分トラフィック量と呼ぶ。
Next, the attribute type independent
また、上記正常区間・異常区間の総トラフィック量間の差を求め、これらを総差分トラフィック量と呼ぶ。 Further, a difference between the total traffic volume in the normal section and the abnormal section is obtained, and these are referred to as a total differential traffic volume.
属性種別独立の差分取得手段101は、以上のようにして作成した情報を出力する。図1には、これらのうち、送信元アドレス属性値毎の正常区間のトラフィック量121、送信元アドレス属性値毎の差分トラフィック量131、宛先アドレス属性値毎の正常区間のトラフィック量122、宛先アドレス属性値毎の差分トラフィック量132、プロトコル属性値毎の正常区間のトラフィック量123、プロトコル属性値毎の差分トラフィック量133、送信元ポート属性値毎の正常区間のトラフィック量124、送信元ポート属性値毎の差分トラフィック量134、宛先ポート属性値毎の正常区間のトラフィック量125、宛先ポート属性値毎の差分トラフィック量135を示す。
The attribute type independent
属性種別独立のクラスタリング手段102は属性種別毎に、上記差分トラフィック量と、正常区間のトラフィック量を入力として、総差分トラフィック量に相当する変化原因トラフィックを各属性毎の一次元フロー識別子として決定する。 For each attribute type, the attribute type independent clustering means 102 receives the difference traffic volume and the traffic volume in the normal section as input, and determines the change cause traffic corresponding to the total difference traffic volume as a one-dimensional flow identifier for each attribute. .
属性種別独立のクラスタリング手段102は、このようにして決定した各属性毎の一次元フロー識別子を出力する。図1には、これらのうち、送信元アドレス属性のフロー識別子141、宛先アドレス属性のフロー識別子142、プロトコル属性のフロー識別子143、送信元ポート属性のフロー識別子144、宛先ポート属性のフロー識別子145を示す。
The attribute type independent clustering means 102 outputs a one-dimensional flow identifier for each attribute determined in this way. FIG. 1 shows a flow identifier 141 of a source address attribute, a
この際、各属性種別のもつ、生来の階層構造に従ってtreeを作成し、出力ノード決定としてフロー識別子を決定する。 At this time, a tree is created according to the inherent hierarchical structure of each attribute type, and a flow identifier is determined as output node determination.
送信元アドレス属性において、このtreeを用いたフロー識別子決定の動作を示す。図2は本実施形態の動作において使用するIP addressの階層構造に従ったtreeの例を示した図である。送信元アドレス属性におけるtreeとは、図2に示すIP addressの階層構造に従った、“0.0.0.0/0”を頂点とする深さ最大32のグラフあり、treeの各ノードはアドレス範囲、変化量への寄与度、変化以前からの存在度の情報をもつ。 In the transmission source address attribute, the flow identifier determination operation using this tree is shown. FIG. 2 is a diagram showing an example of a tree according to the hierarchical structure of the IP address used in the operation of the present embodiment. The tree in the source address attribute is a graph having a depth of 32 at the maximum with “0.0.0.0/0” as a vertex according to the hierarchical structure of the IP address shown in FIG. It has information on address range, degree of change contribution, and presence before change.
図2において、201はdepth=0(頂点)のノードである。図2の左上のノードの凡例に示すように、上段はアドレス範囲であり、下段左側は寄与度(寄与率)であり、下段右側は変化以前からの存在度(存在率)である。ノード201はアドレス範囲が“0.0.0.0/0”であるから、32ビットのIPアドレスの全範囲を表すノードである。
In FIG. 2, 201 is a node with depth = 0 (vertex). As shown in the legend of the upper left node in FIG. 2, the upper row is the address range, the lower left portion is the contribution (contribution rate), and the lower right portion is the abundance (presence rate) from before the change. Since the address range of the
211と212はdepth=1のノードである。ノード211はアドレス範囲が“0.0.0.0/1”であるから、32ビットのIPアドレスの上位1ビットが“0”のアドレス範囲を表すノードである。ノード212はアドレス範囲が“128.0.0.0/1”であるから、32ビットのIPアドレスの上位1ビットが“1”のアドレス範囲を表すノードである。
211 and 212 are nodes with depth = 1. Since the
221〜224はdepth=2のノードである。ノード221はアドレス範囲が“0.0.0.0/2”であるから、32ビットのIPアドレスの上位2ビットが“00”のアドレス範囲を表すノードである。ノード222はアドレス範囲が“64.0.0.0/2”であるから、32ビットのIPアドレスの上位2ビットが“01”のアドレス範囲を表すノードである。ノード223はアドレス範囲が“128.0.0.0/2”であるから、32ビットのIPアドレスの上位2ビットが“10”のアドレス範囲を表すノードである。ノード224はアドレス範囲が“192.0.0.0/2”であるから、32ビットのIPアドレスの上位2ビットが“11”のアドレス範囲を表すノードである。
221 to 224 are nodes with depth = 2. Since the address range of the
261、…はdepth=31のノードである。ノード261はアドレス範囲が“0.0.0.0/31”であるから、32ビットのIPアドレスの上位31ビットが全て“0”であるアドレス範囲を表すノードである。
261,... Are nodes with depth = 31. Since the address range of the
271、272、…はdepth=32(最下位)のノードである。ノード271は、アドレス範囲が“0.0.0.0/32”であるから、32ビットのIPアドレスの全てのビットが“0”であるアドレスを表すノードである。ノード272は、アドレス範囲が“0.0.0.1/32”であるから、32ビットのIPアドレスの上位31ビットが全て“0”であり、最下位のビットが“1”であるアドレスを表すノードである。
271, 272,... Are nodes with depth = 32 (the lowest order). Since the address range is “0.0.0.0/32”, the
寄与度とは、上記アドレス範囲に該当する差分トラフィック量が、総差分トラフィック量に対して占める割合である。 The contribution degree is a ratio of the difference traffic volume corresponding to the address range to the total difference traffic volume.
変化以前からの存在度とは、上記アドレス範囲に該当する正常区間トラフィック量が、総正常区間トラフィック量に占める割合である。 The presence before the change is the ratio of the normal section traffic volume corresponding to the address range to the total normal section traffic volume.
送信元アドレス属性におけるtreeは、まず、既に求めた、送信元アドレス属性値毎の、差分トラフィック量と正常トラフィック量から寄与度と存在度を求めて、treeにおける最下位(図2の例ではdepth=32)のノードとして配置する。 The tree in the transmission source address attribute is obtained by calculating the contribution and presence from the differential traffic volume and the normal traffic volume for each transmission source address attribute value that has already been obtained, and the lowest in the tree (depth in the example of FIG. 2). = 32) as a node.
図2の例では、ノード271(32ビット全てが“0”のアドレス)は寄与度10/存在度3であり、ノード272(上位31ビット全てが“0”であり、最下位の1ビットが“1”のアドレス)は寄与度0/存在度0である。
In the example of FIG. 2, the node 271 (address where all 32 bits are “0”) has a
次に、depth=32のノード同士の和を求めることでdepth=31のノードを求める。この動作を繰り返すことで、depth=0までのノードを計算し、treeを完成させる。 Next, the node of depth = 31 is obtained by obtaining the sum of the nodes of depth = 32. By repeating this operation, nodes up to depth = 0 are calculated and the tree is completed.
図2の例では、ノード261の寄与度/存在度は、ノード271の寄与度10/存在度3とノード272の寄与度0/存在度0を加算した寄与度10/存在度3である。ノード211の寄与度/存在度は、ノード221の寄与度20/存在度20とノード222の寄与度10/存在度30を加算した寄与度30/存在度50である。ノード212の寄与度/存在度は、ノード223の寄与度20/存在度30とノード224の寄与度50/存在度20を加算した寄与度70/存在度50である。ノード201の寄与度/存在度は、ノード211の寄与度30/存在度50とノード212の寄与度70/存在度50を加算した寄与度100/存在度100である。
In the example of FIG. 2, the contribution / presence of the
次に、完成したtreeを用いて、送信元属性におけるフロー識別子を決定する。これは、treeからアドレス範囲が重ならない任意のノード組を選択し、ノード組のカバー率が一定以上で、かつ、式1に示す評価式において評価値が最大であるノード組をフロー識別子の組として出力することによって実現する。
Next, the flow identifier in the transmission source attribute is determined using the completed tree. This is because an arbitrary node set whose address ranges do not overlap from tree is selected, and the node set whose coverage rate of the node set is not less than a certain level and whose evaluation value is the maximum in the evaluation formula shown in
本実施形態においては、式1を用いて一次元フロー識別子を決定しているが、一般的には、フロー識別子を決定する際に、フロー識別子に該当するトラフィックによるトラフィック量変化への寄与度と、フロー識別子に該当するトラフィックの変化以前からの存在度と、フロー識別子数の3つの要素のトレードオフ関係を考慮し、このトレードオフを適切な評価式に従って、最小のフロー識別子数で、トラフィック量変化への寄与度を最大化し、変化以前からの存在度を最小化するようにフロー識別子を決定すればよい。なお、この点は後述する多属性フロー識別子(多次元フロー識別子)の決定においても同様である。
In the present embodiment, the one-dimensional flow identifier is determined using
上記の送信元アドレス属性における動作と同様の動作により宛先アドレス属性におけるフロー識別子の決定が行われる。 The flow identifier in the destination address attribute is determined by the same operation as that in the transmission source address attribute.
プロトコル属性においては、treeは頂点(depth=0)“*”(無指定)とleaef node(depth=1)=各属性値の2階層のtreeを用い、他は送信元アドレス属性と同様の動作によりフロー識別子の決定を行う。また、プロトコル属性の出力するフロー識別子は1に制限する。 In the protocol attribute, “ tree” is a vertex (depth = 0) “*” (unspecified) and leaf node (depth = 1) = two levels of tree of each attribute value, and the other operations are the same as the source address attribute To determine the flow identifier. The flow identifier output by the protocol attribute is limited to 1.
なお、“*”は無指定を表す。無指定とは当該属性の属性値を指定しないことであり、各属性における無指定のノードは当該属性の全ての属性値を含むノードである。 “*” Indicates no designation. Unspecified means not to specify an attribute value of the attribute, and an unspecified node in each attribute is a node including all attribute values of the attribute.
送信元ポート属性、宛先ポート属性においては、それぞれtreeを頂点(depth=0)=“*”(無指定)とし、depth=1はlow_port、high_portとし、depth=2は各出力情報要素とする3階層のtreeとして、その他は送信元アドレス属性と同様の動作によりフロー識別子の決定を行う。この際、送信元ポート属性、宛先ポート属性の出力するフロー識別子数はそれぞれ1に制限する。 In the transmission source port attribute and the destination port attribute, the tree is apex (depth = 0) = “*” (unspecified), depth = 1 is low_port, high_port, and depth = 2 is each output information element 3 As the tree of the hierarchy, the flow identifier is determined by the same operation as that of the transmission source address attribute. At this time, the number of flow identifiers output by the transmission source port attribute and the destination port attribute is limited to 1, respectively.
この他、送信元AS番号属性、宛先AS番号属性、転送に用いられるルータインタフェース番号属性、経由ルータにおけるフロー識別子の決定は、上記プロトコル属性と同様に行う。 In addition, the source AS number attribute, the destination AS number attribute, the router interface number attribute used for transfer, and the flow identifier in the transit router are determined in the same manner as the protocol attribute.
以上の動作により、各属性種別毎の一次元フロー識別子が決定される。 With the above operation, a one-dimensional flow identifier for each attribute type is determined.
次に、複数属性クラスタリング手段103は、上記各属性種別毎の一次元識別子を元に、多属性種別の多次元フロー識別子を作成し、再度、正常区間・異常区間のトラフィックを使用して、作成した多次元フロー識別子毎の寄与度と存在度を計算する。 Next, the multi-attribute clustering means 103 creates a multi-attribute type multi-dimensional flow identifier based on the above-described one-dimensional identifier for each attribute type, and again creates the traffic using normal and abnormal sections. The degree of contribution and the degree of presence for each multi-dimensional flow identifier calculated are calculated.
上記の多次元フロー識別子作成の例を図3に示す。図3において、310は各属性毎の一次元フロー識別子の例であり、320は各属性毎の一次元フロー識別子310から作成された多次元フロー識別子(多属性フロー識別子)の例である。
An example of the creation of the above multidimensional flow identifier is shown in FIG. 3, 310 is an example of a one-dimensional flow identifier for each attribute, and 320 is an example of a multi-dimensional flow identifier (multi-attribute flow identifier) created from the one-
図3の各属性毎の一次元フロー識別子310では、送信元アドレス属性の一次元フロー識別子は符号311で示す“10.2.0.0/16”と符号312で示す“201.10.0.0/20”であり、宛先アドレス属性の一次元フロー識別子は符号313で示す“128.0.0.0/14”と符号314で示す“210.0.0.0/16”であり、プロトコル属性の一次元フロー識別子は符号315で示す“17”であり、送信元ポート属性の一次元フロー識別子は符号316で示す“high”であり、宛先ポート属性の一次元フロー識別子は符号317で示す“80”である。
In the one-
多次元フロー識別子作成の動作は、各属性種別の一次元フロー識別子同士の論理積を求めるものである。加えて、送信元アドレス属性、宛先アドレス属性のように、単一属性種別で複数のフロー識別子を出力する場合、結果として複数の多次元フロー識別子が作成される。 The operation of creating a multi-dimensional flow identifier is to obtain a logical product of one-dimensional flow identifiers of each attribute type. In addition, when a plurality of flow identifiers are output with a single attribute type, such as a transmission source address attribute and a destination address attribute, a plurality of multidimensional flow identifiers are created as a result.
図3の例では、送信元アドレス属性の一次元フロー識別子は311と312の2個であり、宛先アドレス属性の一次元フロー識別子は313と314の2個であるから、多次元フロー識別子320としては、符号321、322、323、324で示す4個の多次元フロー識別子が作成される。
In the example of FIG. 3, there are two one-
多次元フロー識別子321は、送信元アドレス“10.2.0.0/2”、宛先アドレス“128.0.0.0/14”、プロトコル“17”、送信元ポート“high”、宛先ポート“80”のフローを示す識別子である。 The multidimensional flow identifier 321 includes a source address “10.2.0.0.0 / 2”, a destination address “128.0.0.0/14”, a protocol “17”, a source port “high”, and a destination port. This is an identifier indicating a flow of “80”.
多次元フロー識別子322は、送信元アドレス“10.2.0.0/16”、宛先アドレス“210.0.0.0/16”、プロトコル“17”、送信元ポート“high”、宛先ポート“80”のフローを示す識別子である。 The multi-dimensional flow identifier 322 includes a source address “10.2.0.0/16”, a destination address “210.0.0.0/16”, a protocol “17”, a source port “high”, and a destination port. This is an identifier indicating a flow of “80”.
多次元フロー識別子323は、送信元アドレス“201.10.0.0/20”、宛先アドレス“128.0.0.0/14”、プロトコル“17”、送信元ポート“high”、宛先ポート“80”のフローを示す識別子である。 The multi-dimensional flow identifier 323 includes a source address “201.10.0.0/20”, a destination address “128.0.0.0/14”, a protocol “17”, a source port “high”, and a destination port. This is an identifier indicating a flow of “80”.
多次元フロー識別子324は、送信元アドレス“201.10.0.0/20”、宛先アドレス“210.0.0.0/16”、プロトコル“17”、送信元ポート“high”、宛先ポート“80”のフローを示す識別子である。 The multi-dimensional flow identifier 324 includes a source address “201.10.0.0/20”, a destination address “210.0.0.0/16”, a protocol “17”, a source port “high”, and a destination port. This is an identifier indicating a flow of “80”.
次に、上記で作成した多次元フロー識別子それぞれに適合する、正常区間・異常区間のトラフィック量を計算し、多次元フロー識別子それぞれの寄与度と存在度を計算する。計算結果の例を図4に示す。図4の例では、多次元フロー識別子421の寄与度は35%、存在度は0%であり、多次元フロー識別子422の寄与度は0%、存在度は0%であり、多次元フロー識別子423の寄与度は5%、存在度は20%であり、多次元フロー識別子424の寄与度は50%、存在度は10%である。
Next, the traffic volume of the normal section / abnormal section that matches each of the multidimensional flow identifiers created above is calculated, and the contribution and presence of each multidimensional flow identifier are calculated. An example of the calculation result is shown in FIG. In the example of FIG. 4, the contribution of the
最後に、上記の寄与度と存在度が付属する多次元フロー識別子421〜424に対し、再度、式1の評価式を用いて最終的に出力する多次元フロー識別子を決定する。
Finally, the multidimensional flow identifier to be finally output is determined again using the evaluation formula of
これは、先に求めた多次元フロー識別子の中から、任意個の多次元フロー識別子を選択し、合計寄与度が一定以上で、かつ、式1に示す評価式において評価値が最大である多属性フロー識別情報の組を最終出力として採用することで実現する。この動作により決定した、最終的に出力する多次元フロー識別子の例501、502を図5に示す。
This is because an arbitrary number of multi-dimensional flow identifiers are selected from the previously obtained multi-dimensional flow identifiers, the total contribution is a certain level or more, and the evaluation value shown in
以上の動作により、最終的に、
・トラフィック量変化の原因トラフィックが適切な単数もしくは複数のフロー識別子として特定され、
・さらに、各フロー識別子それぞれに、変化量への寄与度と変化以前からの存在度の情報が付加されるため、特定結果を用いた制御を実施する際の効果と影響を、実際の制御に先立って見積もることができる。
With the above operation, finally,
・ The cause of the traffic change The traffic is identified as one or more appropriate flow identifiers,
・ Furthermore, since each flow identifier is added with information on the degree of contribution to the amount of change and the degree of presence from before the change, the effects and impacts of implementing control using specific results will be reflected in actual control. An estimate can be made in advance.
なお、図3、4、5に示す多次元フロー識別子321〜324、421〜424、501〜502は、送信元アドレス、宛先アドレス、プロトコル、送信元ポート、宛先ポートにおける属性値の組み合わせで構成されているが、これに加えて、TTL、送信元AS番号、宛先AS番号、転送に用いられるルータインタフェース番号、経由ルータ、の内、単一または複数の属性種別における属性値の組み合わせで多次元フロー識別子を構成してもよい。 The multi-dimensional flow identifiers 321 to 324, 421 to 424, and 501 to 502 shown in FIGS. 3, 4, and 5 are composed of combinations of attribute values in the transmission source address, the destination address, the protocol, the transmission source port, and the destination port. In addition to this, a multi-dimensional flow is made by combining attribute values in one or a plurality of attribute types among TTL, source AS number, destination AS number, router interface number used for transfer, and transit router. An identifier may be configured.
また、図3に示すように、送信元アドレス属性の一次元フロー識別子311、312と宛先アドレス属性の一次元フロー識別子313、314においては、一次元フロー識別子を構成する属性値としてアドレス範囲(属性値範囲)が用いられており、同様に、図3、4、5に示す多次元フロー識別子321〜324、421〜424、501〜502においても、送信元アドレスと宛先アドレスに関する属性値としてアドレス範囲(属性値範囲)が用いられている。
Further, as shown in FIG. 3, in the one-
以下、上記実施形態を具体的なトラフィック量変化の特定に適用する際の例を示す。(1)はDDoS攻撃によるトラフィック量増加の場合であり、(2)は装置故障など障害によるトラフィック量減少の場合であり、(3)は人気webサーバなどへの急激なトラフィック集中によるトラフィック増加等の場合である。 Hereinafter, an example in which the above embodiment is applied to specific change in traffic volume will be described. (1) is the case of traffic volume increase due to DDoS attack, (2) is the case of traffic volume decrease due to failure such as equipment failure, and (3) is traffic increase due to rapid traffic concentration to popular web server etc. This is the case.
(1)トラフィック量急増がDDoS攻撃である場合
DDoS攻撃によって生じたトラフィック量増加を、本実施形態により分析する場合、トラフィック量変化の原因特定結果として、
・被攻撃ホストである単一もしくは少数の送信先アドレスと、
・該当攻撃先アドレスに対して攻撃トラフィックを送信している攻撃元アドレスの範囲と、
・攻撃トラフィックを構成する上記以外のトラフィック属性値
の情報をフロー識別子として得ることができる。
(1) When the traffic volume sudden increase is a DDoS attack When analyzing the traffic volume increase caused by the DDoS attack according to the present embodiment, as a result of specifying the cause of the traffic volume change,
A single or small number of destination addresses that are the attacked host, and
-The range of attack source addresses that are sending attack traffic to the target attack address,
-Information on traffic attribute values other than the above that constitute attack traffic can be obtained as flow identifiers.
加えて、この場合の送信元アドレス範囲は、評価式を用いて、攻撃発生前のトラフィックを除外するように決定されたものである。 In addition, the source address range in this case is determined to exclude the traffic before the occurrence of the attack using the evaluation formula.
このため、本実施形態による特定結果を用いて、ルータにおけるフィルタや流量制限を行った場合、正常な通信を阻害する確率が低く、本実施形態によるフロー識別子は理想的なDDoS攻撃フィルタ条件である。 For this reason, when a filter or flow rate restriction is performed in the router using the specific result according to the present embodiment, the probability of hindering normal communication is low, and the flow identifier according to the present embodiment is an ideal DDoS attack filter condition. .
さらに、特定結果に付属する変量に対する寄与度、変化以前の存在度情報によって、制御実施前に制御による攻撃トラフィック抑制効果、正常トラフィックへの影響を見積もることができる。 Furthermore, the attack traffic suppression effect by control and the influence on normal traffic can be estimated before the execution of control based on the contribution to the variable attached to the specific result and the presence information before the change.
(2)トラフィック量減少が装置故障など障害が原因である場合
装置故障などよって発生したトラフィック量減少を、本実施形態により分析した場合、トラフィック量変化の原因特定結果として、変化以前には存在していたにもかかわらず、変化後に存在しなくなったトラフィックをフロー識別子として特定することが出来る。
(2) When the decrease in traffic volume is caused by a failure such as a device failure When this embodiment analyzes a decrease in traffic volume caused by a device failure or the like, the result of specifying the cause of the change in traffic volume exists before the change. However, traffic that does not exist after the change can be specified as a flow identifier.
この際、フロー識別子として、ルータのインタフェース属性や経由ルータ属性を使用していれば、変化原因となった属性値がトラフィック量減少の原因であり、故障個所の発見を行うことができる。 At this time, if the router interface attribute or the transit router attribute is used as the flow identifier, the attribute value that caused the change is the cause of the decrease in the traffic volume, and the fault location can be found.
商用ネットワークにおいては、装置の死活監視システムが導入されている場合が多いが、それらのシステムにおいても障害発生時に警報を発しないサイレント故障への対応が商用ネットワーク運用における課題となっている。これに対し、本実施形態により、サイレント故障であってもその故障個所の特定を行うことができる。 In commercial networks, apparatus alive monitoring systems are often introduced, but in these systems, dealing with silent failures that do not issue an alarm when a failure occurs is an issue in commercial network operation. On the other hand, according to the present embodiment, it is possible to specify the failure location even in the case of a silent failure.
(3)トラフィック量急増が、トラフィック量の確率的変動やトラフィック集中である場合
トラフィック量急増が、人気webサイトなどの発生による正常なトラフィック集中やトラフィック量の確率的変動である場合、トラフィック量変化の特定結果として、トラフィック量増加の原因となった宛先アドレス及び送信元アドレスの範囲を得ることができる。
(3) When traffic volume sudden increase is stochastic fluctuation of traffic volume or traffic concentration Traffic volume change when traffic volume rapid increase is normal traffic concentration or traffic volume stochastic fluctuation due to the occurrence of popular web site etc. As a result of the identification, it is possible to obtain a range of destination addresses and source addresses that cause an increase in traffic volume.
しかし、付随する変化以前からの存在度が大きく、トラフィック量増加は変化以前から存在したトラフィックと類似したトラフィックによるものであることが特定でき、正常なトラフィック集中や、トラフィック量の確率的変動であることが判明する。 However, there is a large presence before the accompanying change, and it can be determined that the increase in traffic volume is due to traffic similar to the traffic that existed before the change, which is normal traffic concentration and stochastic fluctuation of traffic volume It turns out.
これにより、トラフィック量を用いた異常トラフィック検知システムにおいて避けることのできない、トラフィック変動を誤って異常の発生と認識してしまい発生する誤アラート(False Positive)を、誤アラートとして特定することができる。 Thereby, a false alert (False Positive) that cannot be avoided in the abnormal traffic detection system using the traffic volume and erroneously recognizes that the traffic fluctuation is the occurrence of the abnormality can be identified as a false alert.
本実施形態により、誤アラートであることが特定でき、オペレータへの誤アラートの送信を排除する場合、ネットワークオペレータが直接誤アラートを手動により再度分析する必要が無くなり、オペレーションコストを低減することができる。 According to the present embodiment, it is possible to identify a false alert and eliminate the need to manually re-analyze the false alert when the false alert is not sent to the operator, thereby reducing the operation cost. .
以上、本発明者によってなされた発明を、前記実施形態に基づき具体的に説明したが、本発明は、前記実施形態に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。 As mentioned above, the invention made by the present inventor has been specifically described based on the embodiment. However, the invention is not limited to the embodiment, and various modifications can be made without departing from the scope of the invention. Of course.
101…属性種別独立の差分取得手段、102…属性種別独立のクラスタリング手段、103…複数属性クラスタリング手段、111…正常区間のトラフィックデータ、112…異常区間のトラフィックデータ、121…送信元アドレス属性値毎の正常区間のトラフィック量、122…宛先アドレス属性値毎の正常区間のトラフィック量、123…プロトコル属性値毎の正常区間のトラフィック量、124…送信元ポート属性値毎の正常区間のトラフィック量、125…宛先ポート属性値毎の正常区間のトラフィック量、131…送信元アドレス属性値毎の差分トラフィック量、132…宛先アドレス属性値毎の差分トラフィック量、133…プロトコル属性値毎の差分トラフィック量、134…送信元ポート属性値毎の差分トラフィック量、135…宛先ポート属性値毎の差分トラフィック量、141…送信元アドレス属性のフロー識別子、142…宛先アドレス属性のフロー識別子、143…プロトコル属性のフロー識別子、144…送信元ポート属性のフロー識別子、145…宛先ポート属性のフロー識別子、151…多属性フロー識別子(多次元フロー識別子)、201〜272…IP addressの階層構造に従ったtreeにおけるノード、310…各属性毎の一次元フロー識別子、311、312…送信元アドレス属性の一次元フロー識別子の例、313、314…宛先アドレス属性の一次元フロー識別子の例、315…プロトコル属性の一次元フロー識別子の例、316…送信元ポート属性の一次元フロー識別子の例、317…宛先ポート属性の一次元フロー識別子の例、320…多次元フロー識別子、321〜324…多次元フロー識別子の例、421〜424…寄与度と存在度が付属する多次元フロー識別子の例、501、502…最終的に出力する多次元フロー識別子の例
101 ... Attribute type independent difference acquisition means, 102 ... Attribute type independent clustering means, 103 ... Multi-attribute clustering means, 111 ... Normal section traffic data, 112 ... Abnormal section traffic data, 121 ... Source address attribute value , Traffic volume in the normal section for each destination address attribute value, 123, traffic volume in the normal section for each protocol attribute value, 124, traffic volume in the normal section for each source port attribute value, 125 ... traffic volume in normal section for each destination port attribute value, 131 ... differential traffic volume for each source address attribute value, 132 ... differential traffic volume for each destination address attribute value, 133 ... differential traffic volume for each protocol attribute value, 134 ... Differential traffic volume for each source port attribute value 135: Differential traffic volume for each destination port attribute value 141: Flow identifier of source address attribute 142: Flow identifier of destination address attribute 143: Flow identifier of protocol attribute 144: Flow identifier of
Claims (8)
前記トラフィック量変化原因特定システムは、属性種別独立の差分取得手段と属性種別独立のクラスタリング手段と複数属性クラスタリング手段とを備え、
前記属性種別独立の差分取得手段が、正常区間のトラフィックデータと異常区間のトラフィックデータの各属性種別それぞれにおいて、独立して正常区間・異常区間の属性値毎の、正常区間のトラフィック量と、正常区間と異常区間のトラフィック量の差分である差分トラフィック量を求める属性種別独立の差分取得ステップと、
前記属性種別独立のクラスタリング手段が、前記正常区間のトラフィック量と、前記差分トラフィック量から、各属性種別毎に該属性種別の一次元フロー識別子を求める属性種別独立クラスタリングステップと、
前記複数属性クラスタリング手段が、各属性種別毎に求められた前記一次元フロー識別子を総合して、多属性種別の多次元フロー識別子を作成する複数属性クラスタリングステップと、
を有することを特徴とするトラフィック量変化原因特定方法。 A traffic volume change cause identifying method in a traffic volume change cause identifying system for identifying a cause traffic of a traffic volume change using one or a plurality of flow identifiers,
The traffic amount change cause identifying system includes an attribute type independent difference acquisition unit, an attribute type independent clustering unit, and a multiple attribute clustering unit.
The attribute type-independent difference acquisition means is configured so that, for each attribute type of traffic data in the normal section and traffic data in the abnormal section, the traffic volume in the normal section and the normal section for each attribute value in the normal section / abnormal section An attribute type independent difference acquisition step for obtaining a difference traffic amount that is a difference between the traffic amount of the section and the abnormal section;
The attribute type independent clustering means, an attribute type independent clustering step for obtaining a one-dimensional flow identifier of the attribute type for each attribute type from the traffic volume of the normal section and the difference traffic volume;
A multi-attribute clustering step in which the multi-attribute clustering means creates a multi-dimensional flow identifier of a multi-attribute type by combining the one-dimensional flow identifier obtained for each attribute type;
A method for identifying a cause of a change in traffic volume, comprising:
送信元アドレス、宛先アドレス、プロトコル、送信元ポート、宛先ポートに加えて、
TTL(Time To Live)、送信元AS番号、宛先AS番号、転送に用いられるルータインタフェース番号、経由ルータ、の内、単一または複数の属性種別における属性値の組み合わせである
ことを特徴とする請求項1のトラフィック量変化原因特定方法。 The multidimensional flow identifier is
In addition to source address, destination address, protocol, source port, destination port,
A combination of attribute values in one or a plurality of attribute types among a TTL (Time To Live), a transmission source AS number, a destination AS number, a router interface number used for transfer, and a transit router. Item 1. The method for identifying the cause of traffic change in Item 1.
フロー識別子を決定する際に、フロー識別子に該当するトラフィックによるトラフィック量変化への寄与度と、フロー識別子に該当するトラフィックの変化以前からの存在度と、フロー識別子数の3つの要素のトレードオフ関係を考慮し、最小のフロー識別子数で、トラフィック量変化への寄与度を最大化し、変化以前からの存在度を最小化するようにフロー識別子を決定することを特徴とする請求項1のトラフィック量変化原因特定方法。 In the attribute type independent clustering step and / or the multiple attribute clustering step,
When determining the flow identifier, a trade-off relationship between the contribution to the traffic volume change by the traffic corresponding to the flow identifier, the presence before the change of the traffic corresponding to the flow identifier, and the number of flow identifiers. 2. The traffic volume according to claim 1, wherein the flow identifier is determined so as to maximize the contribution to the traffic volume change with the minimum number of flow identifiers and to minimize the presence before the change. Change cause identification method.
正常区間のトラフィックデータと異常区間のトラフィックデータの各属性種別それぞれにおいて、独立して正常区間・異常区間の属性値毎の、正常区間のトラフィック量と、正常区間と異常区間のトラフィック量の差分である差分トラフィック量を求める属性種別独立の差分取得手段と、
前記正常区間のトラフィック量と、前記差分トラフィック量から、各属性種別毎に該属性種別の一次元フロー識別子を求める属性種別独立のクラスタリング手段と、
各属性種別毎に求められた前記一次元フロー識別子を総合して、多属性種別の多次元フロー識別子を作成する複数属性クラスタリング手段と、
を備えることを特徴とするトラフィック量変化原因特定システム。 A traffic volume change cause identification system that identifies the cause traffic of a traffic volume change using one or more flow identifiers,
For each attribute type of traffic data of normal section and traffic data of abnormal section, the difference between the traffic volume of normal section and the traffic volume of normal section and abnormal section for each attribute value of normal section / abnormal section independently. An attribute type independent difference obtaining means for obtaining a certain amount of difference traffic;
An attribute type independent clustering means for obtaining a one-dimensional flow identifier of the attribute type for each attribute type from the traffic amount of the normal section and the difference traffic amount;
Multi-attribute clustering means for creating a multi-dimensional flow identifier of a multi-attribute type by combining the one-dimensional flow identifier obtained for each attribute type;
A traffic volume change cause identifying system characterized by comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007207769A JP4422176B2 (en) | 2007-08-09 | 2007-08-09 | Traffic amount change cause identification method, system, program, and recording medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007207769A JP4422176B2 (en) | 2007-08-09 | 2007-08-09 | Traffic amount change cause identification method, system, program, and recording medium |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009044501A true JP2009044501A (en) | 2009-02-26 |
JP4422176B2 JP4422176B2 (en) | 2010-02-24 |
Family
ID=40444750
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007207769A Active JP4422176B2 (en) | 2007-08-09 | 2007-08-09 | Traffic amount change cause identification method, system, program, and recording medium |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4422176B2 (en) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011109587A (en) * | 2009-11-20 | 2011-06-02 | Nippon Telegr & Teleph Corp <Ntt> | Device, method, and system for monitoring bgp traffic variation |
JP2011114743A (en) * | 2009-11-30 | 2011-06-09 | Nippon Telegr & Teleph Corp <Ntt> | Method and apparatus for monitoring network |
JP2011176387A (en) * | 2010-02-23 | 2011-09-08 | Nippon Telegr & Teleph Corp <Ntt> | Method and system for specifying traffic change factor aggregating flow attribute value |
JP2011176434A (en) * | 2010-02-23 | 2011-09-08 | Nippon Telegr & Teleph Corp <Ntt> | System, method, and apparatus for cause specification cooperating with detection of change in traffic amount, and program |
JP2011176441A (en) * | 2010-02-23 | 2011-09-08 | Nippon Telegr & Teleph Corp <Ntt> | System, method, and device for abnormal traffic analysis |
JP2018026709A (en) * | 2016-08-10 | 2018-02-15 | 日本電信電話株式会社 | Fault recovery system and method |
-
2007
- 2007-08-09 JP JP2007207769A patent/JP4422176B2/en active Active
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011109587A (en) * | 2009-11-20 | 2011-06-02 | Nippon Telegr & Teleph Corp <Ntt> | Device, method, and system for monitoring bgp traffic variation |
JP2011114743A (en) * | 2009-11-30 | 2011-06-09 | Nippon Telegr & Teleph Corp <Ntt> | Method and apparatus for monitoring network |
JP2011176387A (en) * | 2010-02-23 | 2011-09-08 | Nippon Telegr & Teleph Corp <Ntt> | Method and system for specifying traffic change factor aggregating flow attribute value |
JP2011176434A (en) * | 2010-02-23 | 2011-09-08 | Nippon Telegr & Teleph Corp <Ntt> | System, method, and apparatus for cause specification cooperating with detection of change in traffic amount, and program |
JP2011176441A (en) * | 2010-02-23 | 2011-09-08 | Nippon Telegr & Teleph Corp <Ntt> | System, method, and device for abnormal traffic analysis |
JP2018026709A (en) * | 2016-08-10 | 2018-02-15 | 日本電信電話株式会社 | Fault recovery system and method |
Also Published As
Publication number | Publication date |
---|---|
JP4422176B2 (en) | 2010-02-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6453976B2 (en) | Network system, control apparatus, communication control method, and communication control program | |
US7379426B2 (en) | Routing loop detection program and routing loop detection method | |
EP2767056B1 (en) | A method and a system to detect malicious software | |
US10404728B2 (en) | Learning internal ranges from network traffic data to augment anomaly detection systems | |
US8341740B2 (en) | Method and system for identifying enterprise network hosts infected with slow and/or distributed scanning malware | |
KR101574193B1 (en) | Apparatus and method for defending DDoS attack | |
JP4422176B2 (en) | Traffic amount change cause identification method, system, program, and recording medium | |
JP6168977B2 (en) | System and method for real-time reporting of abnormal internet protocol attacks | |
CN106534068B (en) | Method and device for cleaning counterfeit source IP in DDOS defense system | |
EP3242240B1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program | |
US11863584B2 (en) | Infection spread attack detection device, attack origin specification method, and program | |
JP4161989B2 (en) | Network monitoring system | |
Singh et al. | Threshold-based distributed DDoS attack detection in ISP networks | |
JP5015279B2 (en) | Cause identification system, method, apparatus, and program linked with traffic volume change detection | |
KR20190027122A (en) | Apparatus and method for analyzing network attack pattern | |
KR20210018802A (en) | How to filter attack flows targeting the access module | |
CN114172881B (en) | Network security verification method, device and system based on prediction | |
KR20110107880A (en) | Ddos detection method using fast information entropy and adaptive moving average window detector | |
Marhas et al. | Anomaly detection in network traffic: A statistical approach | |
US8307445B2 (en) | Anti-worm program, anti-worm apparatus, and anti-worm method | |
KR20160087448A (en) | Outlier sensing based ddos attacker distinction method and apparatus using statistical information of flow | |
Song et al. | Collaborative defense mechanism using statistical detection method against DDoS attacks | |
EP4105800A1 (en) | Method for detection of lateral movement of malware | |
JP2005159551A (en) | Network attack countermeasuring method, network apparatus thereof, and program thereof | |
CN117714326A (en) | VPN flow identification method, VPN identification model training method and equipment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20091023 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20091124 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20091203 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121211 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4422176 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121211 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131211 Year of fee payment: 4 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |