JP2009049490A - ネットワーク監視装置、ネットワーク監視システム - Google Patents
ネットワーク監視装置、ネットワーク監視システム Download PDFInfo
- Publication number
- JP2009049490A JP2009049490A JP2007211208A JP2007211208A JP2009049490A JP 2009049490 A JP2009049490 A JP 2009049490A JP 2007211208 A JP2007211208 A JP 2007211208A JP 2007211208 A JP2007211208 A JP 2007211208A JP 2009049490 A JP2009049490 A JP 2009049490A
- Authority
- JP
- Japan
- Prior art keywords
- data
- network
- period
- unit
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012806 monitoring device Methods 0.000 title claims abstract description 28
- 238000012544 monitoring process Methods 0.000 title claims description 12
- 230000005856 abnormality Effects 0.000 claims abstract description 52
- 230000004927 fusion Effects 0.000 claims description 38
- 238000013480 data collection Methods 0.000 claims description 28
- 238000001514 detection method Methods 0.000 claims description 18
- 230000002776 aggregation Effects 0.000 claims description 8
- 238000004220 aggregation Methods 0.000 claims description 8
- 230000001684 chronic effect Effects 0.000 claims description 4
- 238000007619 statistical method Methods 0.000 abstract description 2
- 239000000523 sample Substances 0.000 description 78
- 238000000034 method Methods 0.000 description 24
- 230000005540 biological transmission Effects 0.000 description 22
- 238000013500 data storage Methods 0.000 description 14
- 238000004364 calculation method Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 238000012935 Averaging Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 2
- 230000002354 daily effect Effects 0.000 description 2
- 230000003203 everyday effect Effects 0.000 description 2
- 238000009499 grossing Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
【課題】家庭内網や小規模オフィス網のような小さなネットワークにおいて、トラフィックデータの統計的な解析に基づきネットワークの異常を検知することのできるネットワーク監視装置を得る。
【解決手段】ネットワークのトラフィックに基づき当該ネットワークの異常を検知するネットワーク監視装置であって、ネットワークのトラフィックデータを収集するデータ収集部110と、当該ネットワークの異常を検知する検知部160と、を備え、検知部160は、トラフィックデータを一定期間分集計した期間集計データが当該ネットワークにおける期間集計データと類似する他のネットワークにおいて収集されたトラフィックデータと、当該ネットワークにおいてデータ収集部110が収集したトラフィックデータと、に基づき当該ネットワークの異常を検知する。
【選択図】図1
【解決手段】ネットワークのトラフィックに基づき当該ネットワークの異常を検知するネットワーク監視装置であって、ネットワークのトラフィックデータを収集するデータ収集部110と、当該ネットワークの異常を検知する検知部160と、を備え、検知部160は、トラフィックデータを一定期間分集計した期間集計データが当該ネットワークにおける期間集計データと類似する他のネットワークにおいて収集されたトラフィックデータと、当該ネットワークにおいてデータ収集部110が収集したトラフィックデータと、に基づき当該ネットワークの異常を検知する。
【選択図】図1
Description
本発明は、ネットワークのトラフィックに基づき当該ネットワークの異常を検知するネットワーク監視装置、およびそのネットワーク監視装置を有するネットワーク監視システムに関するものである。
従来、ネットワークの異常検知に関し、トラフィックなどの時系列データが平常状態から急激に変化する際などの変化点を検出することで、そのネットワークの異常を検知する手法が提案されている(非特許文献1)。
また、トラフィック傾向が類似するか否かの判定に関し、利用アプリケーションの構成による、TCPフラグ(SYN、SYN−ACKなど)の構成比率や帯域幅の違いに着目し、このような特徴量の一致度に基づき、トラフィック傾向の類似度を判定する手法が提案されている(非特許文献2)。
"変化点検出エンジンを利用したインシデント検知システムの構築"、2006年 暗号と情報セキュリティシンポジウム(SCIS2006)、2E2−2
"アプリケーション特性によるトラフィック分類を用いたトラフィック異常検知システム"、電子情報通信学会 信学技報、NS2006−234、2007年3月
上記非特許文献1に記載の手法は、統計や学習に基づく検知手法の1つと見ることができる。このような手法は、事業者網やイントラネット等のある程度大きなネットワークでは、多くのネットワーク機器の挙動を統計的に扱うことが可能となり、有効に機能する。
しかし、家庭内網や小規模オフィス網のような小さなネットワークでは、接続されているネットワーク機器、即ちトラフィックの発生源が少なく、また網外部から流入するトラフィックも限定的である。このため、統計的に安定した処理が行えるほどのトラフィックデータが得られない。
また、統計的に有意な量のトラフィックデータが蓄積されるまでには、長時間を要するため、異常の検知までに時間がかかり過ぎる。
また、統計的に有意な量のトラフィックデータが蓄積されるまでには、長時間を要するため、異常の検知までに時間がかかり過ぎる。
そのため、家庭内網や小規模オフィス網のような小さなネットワークにおいて、トラフィックデータの統計的な解析に基づきネットワークの異常を検知することのできるネットワーク監視装置が望まれていた。
本発明に係るネットワーク監視装置は、ネットワークのトラフィックに基づき当該ネットワークの異常を検知するネットワーク監視装置であって、ネットワークのトラフィックデータを収集するデータ収集部と、当該ネットワークの異常を検知する検知部と、を備え、前記検知部は、トラフィックデータを一定期間分集計した期間集計データが当該ネットワークにおける期間集計データと類似する他のネットワークにおいて収集されたトラフィックデータと、当該ネットワークにおいて前記データ収集部が収集したトラフィックデータと、に基づき当該ネットワークの異常を検知するものである。
本発明に係るネットワーク監視装置によれば、他のネットワークにおいて収集されたトラフィックデータを用いて異常を検知するので、検知対象のネットワークの規模が小さい場合でも、大きなネットワークにおける異常検知と同様の手法を用いることができる。
実施の形態1.
図1は、本発明の実施の形態1に係る自網プローブ装置100の機能ブロック図を示すものである。なお、本実施の形態1における「ネットワーク監視装置」は、自網プローブ装置100がこれに相当するものである。
図1は、本発明の実施の形態1に係る自網プローブ装置100の機能ブロック図を示すものである。なお、本実施の形態1における「ネットワーク監視装置」は、自網プローブ装置100がこれに相当するものである。
自網プローブ装置100は、家庭網や小規模オフィス網のような小規模網(以下、自網と呼ぶ)に設置され、自網のトラフィック状況から自網の異常を検知するものである。
他網プローブ装置200は、自網プローブ装置100と同様の構成を備え、インターネット300を介して自網プローブ装置100と接続されている。
他網プローブ装置200は、自網プローブ装置100と同様の構成を備え、インターネット300を介して自網プローブ装置100と接続されている。
自網プローブ装置100は、自網データ収集部110、期間データ集計部121、期間データ記憶部122、自網データ送信部130、他網データ受信部140、データ融合部150、検知部160、比較部161、期間データ送信部170、他端末探索部181、期間データ受信部182、類似度算出部183、類似端末記憶部184、類似端末情報交換部185、出力部190を備える。
まず、自網内のトラフィックデータの収集とその集計等に係る構成について説明する。
自網データ収集部110は、自網内のトラフィックデータあるいはその統計量・特徴量を収集する。自網データ収集部110が、自網の入口等、自網のトラフィックの多くが通る場所からトラフィックデータを収集できるよう、自網プローブ装置100の設置場所を工夫することが望ましい。
なお、トラフィックデータの正確を期すため、自網データ送信部130、期間データ送信部170、他端末探索部181、期間データ受信部182、類似端末情報交換部185が、他網プローブ装置200との間で送受信するデータは、収集の対象から除外する。
なお、トラフィックデータの正確を期すため、自網データ送信部130、期間データ送信部170、他端末探索部181、期間データ受信部182、類似端末情報交換部185が、他網プローブ装置200との間で送受信するデータは、収集の対象から除外する。
期間データ集計部121は、自網データ収集部110が収集したトラフィックデータに、一定期間にわたって平均をとるなどの統計処理を施し、処理後のデータを期間データ記憶部122に格納する。格納したデータを、期間集計データと呼ぶ。
統計処理の取り方は、例えば以下のようにする。
統計処理の取り方は、例えば以下のようにする。
(1)各日の同じ時刻のトラフィックデータを重ね合わせ、時間帯毎に平均化する。これにより、1日24時間のトラフィックの経時的な変動を平均化した期間集計データが生成される。
(2)さらに、曜日、または平日・休日によりトラフィックデータを区別し、それぞれ異なる期間集計データとして格納する。これにより、きめ細かなトラフィック分析を行うことができる。
(2)さらに、曜日、または平日・休日によりトラフィックデータを区別し、それぞれ異なる期間集計データとして格納する。これにより、きめ細かなトラフィック分析を行うことができる。
なお、期間データ集計部121は、期間データ記憶部122に格納される期間集計データが、妥当な期間の集計となるよう、随時期間集計データの更新を行う。
ここでいう妥当な期間は、例えば以下のように定めたものである。
(1)その期間で平均することで日々の変動が平滑されるに十分である、と経験的に判断される期間。
(2)任意の時間帯のトラフィック量の総計があらかじめ定められた一定量以上になる、すなわち統計的に意味があると経験的に判断されるトラフィック量が蓄積されるまでの期間。
ここでいう妥当な期間は、例えば以下のように定めたものである。
(1)その期間で平均することで日々の変動が平滑されるに十分である、と経験的に判断される期間。
(2)任意の時間帯のトラフィック量の総計があらかじめ定められた一定量以上になる、すなわち統計的に意味があると経験的に判断されるトラフィック量が蓄積されるまでの期間。
次に、期間集計データの傾向が類似する他網プローブ装置200を探索する構成について説明する。
他端末探索部181は、自網以外のネットワーク(以下、他網と呼ぶ)に設置されたネットワーク監視装置、即ち図1の他網プローブ装置200を探索する。
探索範囲は、既知の他網プローブ装置200をあらかじめ記憶しておくことで設定する。もしくは、後述の類似端末情報交換部185により、他網プローブ装置200が知っている他のネットワーク監視装置の情報を取得し、探索範囲をさらに広げてもよい。
探索範囲は、既知の他網プローブ装置200をあらかじめ記憶しておくことで設定する。もしくは、後述の類似端末情報交換部185により、他網プローブ装置200が知っている他のネットワーク監視装置の情報を取得し、探索範囲をさらに広げてもよい。
期間データ受信部182は、他網プローブ200に期間集計データを要求し、送信されてきた期間集計データを受信する。要求する対象となる他網プローブ200は、他端末探索部181が探索した他網プローブ装置200である。
類似度算出部183は、期間データ受信部182が受信した他網プローブ装置200の期間集計データと、期間データ記憶部122に格納されている期間集計データとの類似度を算出する。
類似度が所定の基準値以上である場合は、その期間集計データを送信した他網プローブ装置200を類似端末と判定し、その他網プローブ装置200のアドレス等の識別子を類似端末記憶部184に格納する。
類似度が所定の基準値以上である場合は、その期間集計データを送信した他網プローブ装置200を類似端末と判定し、その他網プローブ装置200のアドレス等の識別子を類似端末記憶部184に格納する。
ここで、類似度の算出には、例えば上記非特許文献2に記載のような技術を用いることができる。その他、公知の一般的な類似度算出手法を用いてもよい。
類似端末情報交換部185は、類似端末記憶部184に格納されている他網プローブ装置200と互いに、類似端末記憶部184に格納されているデータを交換する。
他端末探索部181は、類似端末情報交換部185が他網プローブ装置200より取得した上記データに基づき、探索範囲をさらに広げることができる。即ち、類似端末が重なる範囲を広げていくことで、「類似端末が知っている別の類似端末」といったように、期間集計データが類似する他網プローブ装置200の範囲を広げていくことができるのである。
他端末探索部181は、類似端末情報交換部185が他網プローブ装置200より取得した上記データに基づき、探索範囲をさらに広げることができる。即ち、類似端末が重なる範囲を広げていくことで、「類似端末が知っている別の類似端末」といったように、期間集計データが類似する他網プローブ装置200の範囲を広げていくことができるのである。
次に、他端末探索部181が探索した他網プローブ装置200が、そのネットワーク内で収集したトラフィックデータを取得する構成について説明する。
他網データ受信部140は、類似端末記憶部184に格納されている他網プローブ装置200のデータに基づき、その他網プローブ装置200がネットワーク内で収集したトラフィックデータの送信を要求する。
受信したトラフィックデータは、データ融合部150に出力する。
受信したトラフィックデータは、データ融合部150に出力する。
次に、他網プローブ装置200から取得したトラフィックデータに基づき、自網の異常検知を行う構成について説明する。
データ融合部150は、自網データ収集部110が収集したトラフィックデータと、他網データ受信部140が受信した他網プローブ装置200のトラフィックデータとを融合し、解析するための融合データを作成する。
融合データの作成は、例えば以下のようにすることができる。なお、融合データのイメージについて、後述の図6〜図8で補足説明する。
融合データの作成は、例えば以下のようにすることができる。なお、融合データのイメージについて、後述の図6〜図8で補足説明する。
(1)自網トラフィックデータと他網トラフィックデータを単に加算して作成する。
(2)自網トラフィックデータと他網トラフィックデータの間に重み付けをして加算することで作成する。
(3)他網トラフィックデータについては、類似度により重み付けをして加算する。
(2)自網トラフィックデータと他網トラフィックデータの間に重み付けをして加算することで作成する。
(3)他網トラフィックデータについては、類似度により重み付けをして加算する。
検知部160は、データ融合部150が作成した融合データに基づき、例えば上記特許文献1に記載のようなトラフィック傾向の変化の検知などの手法により、自網の異常検知を行う。
比較部161は、期間データ記憶部122に格納された期間集計データと、データ融合部150が作成した融合データとを比較する。その結果、両者の間に乖離があった場合は、自網に慢性的異常が存在するか、もしくは他のネットワークも含めた突発的な広域異常が発生しているものと判定する。
乖離の判定は、あらかじめ定められたパラメータと比較するか、もしくは普段の乖離の平均値を測定しておき、その平均値から一定割合以上の乖離が生じた場合に異常と判定する、などの手法を用いることができる。
乖離の判定は、あらかじめ定められたパラメータと比較するか、もしくは普段の乖離の平均値を測定しておき、その平均値から一定割合以上の乖離が生じた場合に異常と判定する、などの手法を用いることができる。
出力部190は、検知部160および比較部161の判定結果を出力する。出力手段は画面表示のような視覚的なものでもよいし、判定結果のデータを出力する、あるいは警報音のような報知手段によるものでもよい。
期間データ送信部170は、他網プローブ装置200から要求された場合に、期間データ記憶部122に格納されている期間集計データを送信する。
自網データ送信部130は、他網プローブ装置200から要求された場合に、自網データ収集部110が収集した自網のトラフィックデータを送信する。
自網データ送信部130は、他網プローブ装置200から要求された場合に、自網データ収集部110が収集した自網のトラフィックデータを送信する。
次に、以上説明した構成の動作手順について、以下の図2〜図5を用いて説明する。
図2は、自網のトラフィックデータを集計するまでの動作手順を説明するものである。以下、各ステップについて簡単に説明する。
(1)トラフィックデータの収集
自網データ収集部110は、自網のトラフィックデータを収集する。
(2)トラフィックデータの集計
期間データ集計部121は、自網データ収集部110が収集した自網のトラフィックデータを集計して期間集計データを作成する。
(3)期間集計データの蓄積
期間データ集計部121は、期間集計データを期間データ記憶部122に格納する。
自網データ収集部110は、自網のトラフィックデータを収集する。
(2)トラフィックデータの集計
期間データ集計部121は、自網データ収集部110が収集した自網のトラフィックデータを集計して期間集計データを作成する。
(3)期間集計データの蓄積
期間データ集計部121は、期間集計データを期間データ記憶部122に格納する。
図3は、期間集計データの傾向が類似する他網プローブ装置200を探索する動作手順を説明するものである。以下、各ステップについて簡単に説明する。
(4)他端末の探索指示
他端末探索部181は、他網に設置されている他網プローブ装置200のアドレス等を期間データ受信部182に出力し、他網プローブ装置200の期間集計データを受信するよう指示する。これにより、他網プローブ装置200の探索が開始される。
(5)期間集計データの受信
期間データ受信部182は、指定されたアドレス等に基づき、他網プローブ装置200から期間集計データを受信する。
(6)類似度算出
類似度算出部183は、期間データ受信部182が受信した期間集計データと、期間データ記憶部122に蓄積されているデータとの類似度を算出する。
(7)類似端末の蓄積
類似度算出部183は、類似度が所定の基準値以上である場合は、その他網プローブ装置200のアドレス等を類似端末記憶部184に格納する。
(8)類似端末情報の交換
以上のステップに加えて、類似端末記憶部184に蓄積されている情報を他網プローブ装置200と交換することにより、探索範囲をさらに広げてもよい。
他端末探索部181は、他網に設置されている他網プローブ装置200のアドレス等を期間データ受信部182に出力し、他網プローブ装置200の期間集計データを受信するよう指示する。これにより、他網プローブ装置200の探索が開始される。
(5)期間集計データの受信
期間データ受信部182は、指定されたアドレス等に基づき、他網プローブ装置200から期間集計データを受信する。
(6)類似度算出
類似度算出部183は、期間データ受信部182が受信した期間集計データと、期間データ記憶部122に蓄積されているデータとの類似度を算出する。
(7)類似端末の蓄積
類似度算出部183は、類似度が所定の基準値以上である場合は、その他網プローブ装置200のアドレス等を類似端末記憶部184に格納する。
(8)類似端末情報の交換
以上のステップに加えて、類似端末記憶部184に蓄積されている情報を他網プローブ装置200と交換することにより、探索範囲をさらに広げてもよい。
図4は、自網トラフィックデータと他網トラフィックデータを融合して異常判定を行うまでの動作手順を説明するものである。以下、各ステップについて説明する。
(9)他網トラフィックの受信
他網データ受信部140は、類似端末記憶部184に蓄積されているアドレス等に基づき、期間集計データが類似する他網プローブ装置200より、トラフィックデータを受信する。該当する他網プローブ装置200が複数ある場合は、全ての他網プローブ装置200から受信する。
(10)トラフィックデータの融合
データ融合部150は、自網データ収集部110が収集した自網トラフィックデータと、他網データ受信部140が受信した他網プローブ装置200のトラフィックデータとを融合した融合データを作成する。
(11)異常判定
検知部160は、データ融合部150が作成した融合データと、自網データ収集部110が収集した自網トラフィックデータとに基づき、自網の異常判定を行う。判定結果は出力部190より出力される。
他網データ受信部140は、類似端末記憶部184に蓄積されているアドレス等に基づき、期間集計データが類似する他網プローブ装置200より、トラフィックデータを受信する。該当する他網プローブ装置200が複数ある場合は、全ての他網プローブ装置200から受信する。
(10)トラフィックデータの融合
データ融合部150は、自網データ収集部110が収集した自網トラフィックデータと、他網データ受信部140が受信した他網プローブ装置200のトラフィックデータとを融合した融合データを作成する。
(11)異常判定
検知部160は、データ融合部150が作成した融合データと、自網データ収集部110が収集した自網トラフィックデータとに基づき、自網の異常判定を行う。判定結果は出力部190より出力される。
図5は、自網トラフィックデータと他網トラフィックデータを融合し、自網の期間集計データと比較することで異常判定を行うまでの動作手順を説明するものである。以下、各ステップについて説明する。
(12)他網トラフィックの受信〜(13)トラフィックデータの融合
図4のステップ(9)〜(10)と同様であるため、説明を省略する。ステップ(9)〜(10)で受信ないし作成したデータを流用してもよい。
(14)比較部161は、期間データ記憶部122に格納された期間集計データと、データ融合部150が作成した融合データとを比較することにより、異常判定を行う。
図4のステップ(9)〜(10)と同様であるため、説明を省略する。ステップ(9)〜(10)で受信ないし作成したデータを流用してもよい。
(14)比較部161は、期間データ記憶部122に格納された期間集計データと、データ融合部150が作成した融合データとを比較することにより、異常判定を行う。
次に、トラフィックデータの具体例について、他網トラフィックデータや期間集計データとの比較の観点から、実際のデータ例を交えて説明する。また、上記図2〜図5で説明した動作について、トラフィックデータの具体例を交えて補足する。
図6は、自網のトラフィックデータの時間変化例を示すものである。ここではトラフィックの特徴量として、トラフィック量そのものをグラフ表示したが、その他の複数の特徴量を組み合わせてもよい。
図6(a)は、自網データ収集部110が収集したトラフィックデータを示すものである。ここでは1日のトラフィック量の変化をグラフ表示した。
図6(b)は、図6(a)のトラフィックデータを期間集計して平均したものである。
期間データ集計部121は、自網データ収集部110が収集したトラフィックデータを、例えば1ヶ月間毎日、同じ時刻に収集されたものを加算して日数で平均化する。この平均化されたトラフィックデータを、期間集計データとして期間データ記憶部122に格納する。例えば、12時30分の期間集計データは、過去1か月分の12時30分に得られたトラフィックデータを平均化したものとなる。
期間データ集計部121は、自網データ収集部110が収集したトラフィックデータを、例えば1ヶ月間毎日、同じ時刻に収集されたものを加算して日数で平均化する。この平均化されたトラフィックデータを、期間集計データとして期間データ記憶部122に格納する。例えば、12時30分の期間集計データは、過去1か月分の12時30分に得られたトラフィックデータを平均化したものとなる。
図6(b)のように、ある一定期間の平均値をとることにより、日々の自網の利用の仕方が違うことによるトラフィックデータのバラツキが平滑化され、1日の間の平均的な利用サイクルを示す期間集計データが得られる。
図7は、他網プローブ装置200が他網内で収集したトラフィックデータを示すものである。ここでは図6と同様に、1日のトラフィック量の変化をグラフ表示した。図7(a)が1日のトラフィックデータ、図7(b)がその期間集計データである。
他網に設置されたそれぞれの他網プローブ装置200も、自網プローブ装置100と同様に期間集計データの作成を行っている。期間集計データが類似している他網プローブ装置200が設置されているネットワークのトラフィック傾向は、自網と類似しているものと思われる。
そこで、トラフィック傾向が類似する他網プローブ装置200のトラフィックデータを取得して、自網の異常判定に用いることを考える。
そこで、トラフィック傾向が類似する他網プローブ装置200のトラフィックデータを取得して、自網の異常判定に用いることを考える。
そこで、自網プローブ装置100は、他網プローブ装置200の期間集計データを期間データ受信部182で受信した後、類似度算出部183で自網の期間集計データとの類似度を算出し、期間集計データが類似している他網プローブ装置200を特定する。
このように、ある一定期間の集計トラフィックを比較することにより、短期的なトラフィック傾向が異なる場合でも、ネットワークのトラフィック傾向が類似する他網プローブ装置200を安定的に探索することができる。特に、個々の網が小さく、短期的なトラフィックが大きく変動する場合に、効果が大きい。
このように、ある一定期間の集計トラフィックを比較することにより、短期的なトラフィック傾向が異なる場合でも、ネットワークのトラフィック傾向が類似する他網プローブ装置200を安定的に探索することができる。特に、個々の網が小さく、短期的なトラフィックが大きく変動する場合に、効果が大きい。
以上説明したような手法で期間集計データの類似する他網プローブ装置200を特定した後、その他網プローブ装置200の(短期的な)トラフィックデータを、他網データ受信部140で取得する。このとき取得するデータは、自網データ収集部110で収集する、集計前のトラフィックデータに相当する。
ここでは、図7(a)のようなトラフィックデータを取得したものとする。
ここでは、図7(a)のようなトラフィックデータを取得したものとする。
図6(a)に示す自網トラフィックデータ、図7(a)に示す他網トラフィックデータは、特に個々の網が小規模な場合、個々の網内のネットワークの利用状況によって大きく変化する。
しかし、各網のトラフィックデータを足し合わせることにより、個々の変動が平均化され、期間集計データのような平滑化されたデータが得られる。そこで、データ融合部150は、他網プローブ装置200より受信した他網のトラフィックデータと、自網データ収集部110が収集した自網のトラフィックデータとを融合し、融合データを作成する。
しかし、各網のトラフィックデータを足し合わせることにより、個々の変動が平均化され、期間集計データのような平滑化されたデータが得られる。そこで、データ融合部150は、他網プローブ装置200より受信した他網のトラフィックデータと、自網データ収集部110が収集した自網のトラフィックデータとを融合し、融合データを作成する。
図8は、データ融合部150が作成した融合データの例である。図6(b)や図7(b)で示した期間集計データと同様に、個々の変動が平滑化されているのが分かる。
このように、他網のトラフィックデータを足し合わせることにより個々の変動が平滑化されるのは、複数の網のトラフィックデータを足し合わせることにより、大規模網でトラフィックデータを収集したのと実質的に同様のデータが得られるからである。
このように、他網のトラフィックデータを足し合わせることにより個々の変動が平滑化されるのは、複数の網のトラフィックデータを足し合わせることにより、大規模網でトラフィックデータを収集したのと実質的に同様のデータが得られるからである。
図8のような融合データが得られた後は、図4で説明したように、検知部160で融合データに対して変化点の検出等を行うなど、従来の異常検知手法により融合データの異常を検知することにより、自網を含めた類似網に発生した短期的な異常を検知することができる。
また、図5で説明したように、比較部161は、図6(b)に示す自網の期間集計データと、図8に示す融合データとを比較し、両者の乖離を判定することにより、以下の異常判定を行うことができる。
(1)融合データが示す短期的なトラフィックデータは、他網を含めた短期的なトラフィックの傾向を示している。したがって、この融合データと、自網の期間集計データとの間に乖離がある場合は、自網に期間慢性的な異常が発生している可能性がある。
(2)一方、自網の期間集計データが示すトラフィックの方が正常である場合は、他網も含めた広域に渡り、短期的な異常トラフィックが発生している可能性がある。
(2)一方、自網の期間集計データが示すトラフィックの方が正常である場合は、他網も含めた広域に渡り、短期的な異常トラフィックが発生している可能性がある。
なお、本実施の形態1における「類似端末探索部」は、他端末探索部181、期間データ受信部182、類似度算出部183、類似端末情報交換部185がこれに相当する。
自網データ収集部110、自網データ送信部130、他網データ受信部140、期間データ送信部170、期間データ受信部182、および類似端末情報交換部185は、データの送受信に必要なインターフェースを適宜備えるか、もしくは自網プローブ装置100が備える図示しないインターフェースを利用してデータの送受信を行う。
期間データ集計部121、データ融合部150、検知部160、比較部161、他端末探索部181、および類似度算出部183は、これらの機能を実現する回路デバイス等のハードウェアを用いて構成することもできるし、CPUやマイコンなどの演算装置上で実行されるソフトウェアとして構成することもできる。
期間データ記憶部122、類似端末記憶部184は、HDD(Hard Disk Drive)やフラッシュメモリのような、書き込み可能な記憶装置で構成することができる。
出力部190は、異常判定結果の出力に必要なインターフェースを適宜備える。
以上のように、本実施の形態1に係る自網プローブ装置100は、期間集計データが自網と類似する他網プローブ装置200を特定し、その他網プローブ装置200からトラフィックデータを取得し、自網のトラフィックデータと融合して融合データを作成する。そして、この融合データに基づき自網の異常判定を行う。
そのため、小規模網の特徴であるトラフィックの短期的な変動を平滑化し、大規模網と同様の異常判定手法を用いて、自網の異常判定を行うことができる。
そのため、小規模網の特徴であるトラフィックの短期的な変動を平滑化し、大規模網と同様の異常判定手法を用いて、自網の異常判定を行うことができる。
特に、コンピュータウイルスが家庭網や小規模オフィス内で蔓延した際に、ウイルス検知ソフトでは既知のパターンしか検知できないため新種のウイルスの出現に対処できないが、これに代えて、ネットワーク機器が異常なトラフィックを発生し始めた変化点を、大規模網と同様の手法により検知することで、これらを検知することが期待される。
また、比較部161が、自網の期間集計データと融合データとを比較することにより、自網に慢性的異常が存在していること、もしくは他のネットワークも含めた広域的異常が発生していることを検知することができる。
即ち、自網における統計的データである期間集計データと、他網も含めた短期的な広域統計データである融合データとを用いることにより、小規模網においても、大規模網と同様の統計的な手法による異常判定を行うことができるのである。
即ち、自網における統計的データである期間集計データと、他網も含めた短期的な広域統計データである融合データとを用いることにより、小規模網においても、大規模網と同様の統計的な手法による異常判定を行うことができるのである。
特に、同じような利用状況であると推定される他網のデータを加算して融合データを作成しているため、特定の環境に対してネットワーク攻撃が発生した場合に、これを重畳して強い異常として検出することができるので、異常の見逃しが少なくなるという効果がある。
また、トラフィックデータを取得する対象となる他網プローブ装置200は、期間集計データが自網と類似しているものであるため、ネットワークの利用状況も自網と類似しているものであると予測される。
したがって、自網のトラフィックデータとの乖離がある場合に、自網に異常が発生しているものと判定する基準として用いるのに適している。これにより、小規模網のように取得できるデータが少ない網においても、異常判定の精度を向上させることができる。
したがって、自網のトラフィックデータとの乖離がある場合に、自網に異常が発生しているものと判定する基準として用いるのに適している。これにより、小規模網のように取得できるデータが少ない網においても、異常判定の精度を向上させることができる。
また、類似端末情報交換部185は、類似端末記憶部184に蓄積されている類似端末情報を交換し、その交換結果に基づき探索範囲を拡大するので、より広範な類似端末からトラフィックデータを得ることができ、平滑化効果の向上が期待できる。
特に、P2P(Peer to Peer)ネットワークのようなアドホックネットワークにおいて、類似端末を探索する際に、このような互いの情報を交換する手法が効果的である。
特に、P2P(Peer to Peer)ネットワークのようなアドホックネットワークにおいて、類似端末を探索する際に、このような互いの情報を交換する手法が効果的である。
また、期間データ集計部121は、自網データ収集部110が収集したトラフィックデータを、時間帯毎、曜日毎、平日・休日の区別毎に集計し、それぞれ異なる期間集計データとして、期間データ記憶部122に格納するので、分析を詳細に行うことができる。
実施の形態2.
実施の形態1では、他端末探索部181が他網プローブ装置200を探索する際に、既知の他網プローブ装置200を探索するか、もしくは類似端末情報交換部185が類似端末記憶部184に蓄積されている情報を交換することにより、探索範囲を広げることとした。
本発明の実施の形態2では、他網プローブ装置200の情報を、中央のサーバで一括して管理する構成について説明する。
実施の形態1では、他端末探索部181が他網プローブ装置200を探索する際に、既知の他網プローブ装置200を探索するか、もしくは類似端末情報交換部185が類似端末記憶部184に蓄積されている情報を交換することにより、探索範囲を広げることとした。
本発明の実施の形態2では、他網プローブ装置200の情報を、中央のサーバで一括して管理する構成について説明する。
図9は、本実施の形態2に係るネットワーク監視システムの構成図である。なお、記載の都合上、ネットワーク300は省略している。
図9において、サーバ400は、自網プローブ装置100および他網プローブ装置200の所在を一括して管理する中央サーバである。
図9において、サーバ400は、自網プローブ装置100および他網プローブ装置200の所在を一括して管理する中央サーバである。
本実施の形態2において、自網プローブ装置100は、図1の他端末探索部181、期間データ受信部182、類似度算出部183、および類似端末情報交換部185に代えて、類似端末情報受信部187を備える。また、端末情報送信部188を備える。
類似端末情報受信部187は、サーバ400に、期間集計データが自網プローブ装置100と類似している他網プローブ装置200の所在を問合せ、その結果を類似端末記憶部184に格納する。
端末情報送信部188は、自網プローブ装置100のアドレス等の所在情報を、サーバ400に送信する。
期間データ送信部170は、期間データ記憶部122に蓄積されている期間集計データを、サーバ400に送信する。
端末情報送信部188は、自網プローブ装置100のアドレス等の所在情報を、サーバ400に送信する。
期間データ送信部170は、期間データ記憶部122に蓄積されている期間集計データを、サーバ400に送信する。
サーバ400は、端末登録部401、端末記憶部402、期間データ収集部403、クラスタリング部404、類似端末情報送信部405を備える。
端末登録部401は、自網プローブ装置100や他網プローブ装置200が送信した、自己のアドレス等の所在情報を受信し、端末記憶部402に格納する。
期間データ収集部403は、自網プローブ装置100や他網プローブ装置200が送信した、それぞれの期間集計データを受信し、クラスタリング部404に出力する。
クラスタリング部404は、期間データ収集部403が収集した期間集計データを、類似したもの同士で分類する。分類手法は、例えば公知のデータマイニング手法を用いることができる。
類似端末情報送信部405は、互いに似ているものとして分類された端末の情報を、各端末に送信する。
期間データ収集部403は、自網プローブ装置100や他網プローブ装置200が送信した、それぞれの期間集計データを受信し、クラスタリング部404に出力する。
クラスタリング部404は、期間データ収集部403が収集した期間集計データを、類似したもの同士で分類する。分類手法は、例えば公知のデータマイニング手法を用いることができる。
類似端末情報送信部405は、互いに似ているものとして分類された端末の情報を、各端末に送信する。
類似端末情報受信部187、端末情報送信部188は、データの送受信に必要なインターフェースを適宜備えるか、もしくは自網プローブ装置100が備える図示しないインターフェースを利用してデータの送受信を行う。
端末登録部401、期間データ収集部403は、データの送受信に必要なインターフェースを適宜備えるか、もしくはサーバ400が備える図示しないインターフェースを利用してデータの送受信を行う。
端末記憶部402は、HDD(Hard Disk Drive)やフラッシュメモリのような、書き込み可能な記憶装置で構成することができる。
クラスタリング部404は、その機能を実現する回路デバイス等のハードウェアを用いて構成することもできるし、CPUやマイコンなどの演算装置上で実行されるソフトウェアとして構成することもできる。
以上のように、本実施の形態2によれば、類似度の判定や類似端末情報の管理をサーバ400で一括して行うことができるので、自網プローブ装置100の負担が減少する。
また、一括管理により、探索漏れ等の可能性が少なくなり、より多くの端末のトラフィックデータを収集することができるので、平滑化の効果を向上させ、異常判定の精度を向上させることができる。
また、一括管理により、探索漏れ等の可能性が少なくなり、より多くの端末のトラフィックデータを収集することができるので、平滑化の効果を向上させ、異常判定の精度を向上させることができる。
なお、実施の形態1で説明した他端末探索部181、期間データ受信部182、類似度算出部183、および類似端末情報交換部185と、実施の形態2で説明した類似端末情報受信部187、端末情報送信部188とを、1つの自網プローブ装置100が兼ね備えていてもよい。
実施の形態3.
本発明は、小規模網において、網内のトラフィックを測定して異常を検知するものである。そのため、網内のトラフィックや、網外に出るトラフィックの多くが通る位置に設置される、モデムや網終端装置、あるいはルータのようなネットワーク機器のファームウェアとして実装すると効果的である。
また、家庭内ネットワーク機器を管理するセットトップボックスや、主要な機器がPCであれば各PCのソフトウェアとして実装しても同様の効果が得られる。
本発明は、小規模網において、網内のトラフィックを測定して異常を検知するものである。そのため、網内のトラフィックや、網外に出るトラフィックの多くが通る位置に設置される、モデムや網終端装置、あるいはルータのようなネットワーク機器のファームウェアとして実装すると効果的である。
また、家庭内ネットワーク機器を管理するセットトップボックスや、主要な機器がPCであれば各PCのソフトウェアとして実装しても同様の効果が得られる。
100 自網プローブ装置、110 自網データ収集部、121 期間データ集計部、122 期間データ記憶部、130 自網データ送信部、140 他網データ受信部、150 データ融合部、160 検知部、161 比較部、170 期間データ送信部、181 他端末探索部、182 期間データ受信部、183 類似度算出部、184 類似端末記憶部、185 類似端末情報交換部、187 類似端末情報受信部、188 端末情報送信部、190 出力部、200 他網プローブ装置、400 サーバ、401 端末登録部、402 端末機億部、403 期間データ収集部、404 クラスタリング部、405 類似端末情報送信部。
Claims (10)
- ネットワークのトラフィックに基づき当該ネットワークの異常を検知するネットワーク監視装置であって、
ネットワークのトラフィックデータを収集するデータ収集部と、
当該ネットワークの異常を検知する検知部と、
を備え、
前記検知部は、
トラフィックデータを一定期間分集計した期間集計データが当該ネットワークにおける期間集計データと類似する他のネットワークにおいて収集されたトラフィックデータと、
当該ネットワークにおいて前記データ収集部が収集したトラフィックデータと、
に基づき当該ネットワークの異常を検知する
ことを特徴とするネットワーク監視装置。 - 前記データ収集部が収集したトラフィックデータを一定期間分集計して期間集計データを求める期間データ集計部と、
前記期間集計データが類似している1ないし複数の他のネットワーク監視装置を探索する類似端末探索部と、
前記類似端末探索部が探索した1ないし複数の他のネットワーク監視装置が自己の属するネットワークで収集したトラフィックデータを受信する他網データ受信部と、
前記データ収集部が収集したトラフィックデータと前記他網データ受信部が受信したトラフィックデータとを集計するデータ融合部と、
を備え、
前記検知部は、
前記データ融合部が集計したトラフィックデータに基づき当該ネットワークの異常を検知する
ことを特徴とする請求項1に記載のネットワーク監視装置。 - 前記検知部は、
前記期間データ集計部が集計した期間集計データと、前記データ融合部が集計したデータとの乖離を判定し、
両者が乖離しているものと判定した場合は、
当該ネットワークに慢性的異常が存在するか、もしくは他のネットワークも含めた広域的異常が発生しているものと判定する
ことを特徴とする請求項2に記載のネットワーク監視装置。 - 他のネットワークにおけるトラフィックデータを一定期間分集計した期間集計データをそのネットワークに設置されたネットワーク監視装置から受信する期間データ受信部を備え、
前記類似端末探索部は、
前記期間データ受信部が受信した他のネットワークにおける期間集計データと、
前記期間データ集計部が集計した当該ネットワークにおける期間集計データと、
の類似度を算出し、
その類似度があらかじめ定められた基準値以上である場合に、両者が類似しているものと判定する
ことを特徴とする請求項2または請求項3に記載のネットワーク監視装置。 - 前記類似端末探索部は、
前記探索結果を他のネットワーク監視装置と交換し、その交換結果に基づき、前記期間集計データが類似しているものと判定される端末の探索範囲を拡大する
ことを特徴とする請求項4に記載のネットワーク監視装置。 - 前記期間データ集計部は、
前記データ収集部が収集したトラフィックデータを時間帯毎に集計し、
集計した各時間帯毎に前記期間集計データを作成する
ことを特徴とする請求項2ないし請求項5のいずれかに記載のネットワーク監視装置。 - 前記期間データ集計部は、
前記期間集計データを曜日または平日・休日の別に基づき分類する
ことを特徴とする請求項6に記載のネットワーク監視装置。 - 前記データ収集部は、
他のネットワーク監視装置との間で送受信するデータをトラフィックデータ収集の対象から除外する
ことを特徴とする請求項1ないし請求項7のいずれかに記載のネットワーク監視装置。 - 請求項1ないし請求項8のいずれかに記載の1ないし複数のネットワーク監視装置と、
各前記ネットワーク監視装置と接続されたサーバと、
を有し、
前記サーバは、
各前記ネットワーク監視装置の情報を格納する記憶部を備え、
前記ネットワーク監視装置は、
前記サーバより、他のネットワーク監視装置の情報を取得する
ことを特徴とするネットワーク監視システム。 - 前記サーバは、
各前記ネットワーク監視装置がそのネットワークにおけるトラフィックデータを一定期間分集計した期間集計データを、類似するもの毎に分類するクラスタリング部を備え、
前記ネットワーク監視装置は、
前記クラスタリング部の分類結果に基づき、前記サーバより、当該ネットワーク監視装置と期間集計データが類似する他のネットワーク監視装置の情報を取得する
ことを特徴とする請求項9に記載のネットワーク監視システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007211208A JP4952437B2 (ja) | 2007-08-14 | 2007-08-14 | ネットワーク監視装置、ネットワーク監視システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007211208A JP4952437B2 (ja) | 2007-08-14 | 2007-08-14 | ネットワーク監視装置、ネットワーク監視システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009049490A true JP2009049490A (ja) | 2009-03-05 |
| JP4952437B2 JP4952437B2 (ja) | 2012-06-13 |
Family
ID=40501332
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007211208A Expired - Fee Related JP4952437B2 (ja) | 2007-08-14 | 2007-08-14 | ネットワーク監視装置、ネットワーク監視システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4952437B2 (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102013002593A1 (de) | 2012-02-15 | 2013-08-29 | Hitachi, Ltd. | Sicherheitsüberwachungssystem und Sicherheitsüberwachungsverfahren |
| JP2014170372A (ja) * | 2013-03-04 | 2014-09-18 | Ntt Comware Corp | 再配置支援装置、再配置支援方法、及び再配置支援プログラム |
| JP2017143399A (ja) * | 2016-02-10 | 2017-08-17 | 日本電信電話株式会社 | 時系列データ異常監視装置及び時系列データ異常監視方法 |
| CN110784458A (zh) * | 2019-10-21 | 2020-02-11 | 新华三信息安全技术有限公司 | 流量异常检测方法、装置及网络设备 |
| WO2023040763A1 (zh) * | 2021-09-17 | 2023-03-23 | 中兴通讯股份有限公司 | 时延波动检测方法和时延波动检测电路 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105320085B (zh) * | 2014-06-25 | 2019-10-25 | 南京中兴软件有限责任公司 | 工业自动化数据的采集方法及装置、系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005236813A (ja) * | 2004-02-20 | 2005-09-02 | Ntt Docomo Inc | ネットワーク装置の制御装置及び通信システム並びに異常検出方法 |
| JP2006050442A (ja) * | 2004-08-06 | 2006-02-16 | Nippon Telegr & Teleph Corp <Ntt> | トラヒック監視方法及びシステム |
| JP2008187229A (ja) * | 2007-01-26 | 2008-08-14 | Nec Corp | ネットワーク品質監視装置及びネットワーク品質監視方法 |
-
2007
- 2007-08-14 JP JP2007211208A patent/JP4952437B2/ja not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005236813A (ja) * | 2004-02-20 | 2005-09-02 | Ntt Docomo Inc | ネットワーク装置の制御装置及び通信システム並びに異常検出方法 |
| JP2006050442A (ja) * | 2004-08-06 | 2006-02-16 | Nippon Telegr & Teleph Corp <Ntt> | トラヒック監視方法及びシステム |
| JP2008187229A (ja) * | 2007-01-26 | 2008-08-14 | Nec Corp | ネットワーク品質監視装置及びネットワーク品質監視方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102013002593A1 (de) | 2012-02-15 | 2013-08-29 | Hitachi, Ltd. | Sicherheitsüberwachungssystem und Sicherheitsüberwachungsverfahren |
| US8850582B2 (en) | 2012-02-15 | 2014-09-30 | Hitachi, Ltd. | Security monitoring system and security monitoring method |
| JP2014170372A (ja) * | 2013-03-04 | 2014-09-18 | Ntt Comware Corp | 再配置支援装置、再配置支援方法、及び再配置支援プログラム |
| JP2017143399A (ja) * | 2016-02-10 | 2017-08-17 | 日本電信電話株式会社 | 時系列データ異常監視装置及び時系列データ異常監視方法 |
| CN110784458A (zh) * | 2019-10-21 | 2020-02-11 | 新华三信息安全技术有限公司 | 流量异常检测方法、装置及网络设备 |
| WO2023040763A1 (zh) * | 2021-09-17 | 2023-03-23 | 中兴通讯股份有限公司 | 时延波动检测方法和时延波动检测电路 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4952437B2 (ja) | 2012-06-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9952921B2 (en) | System and method for detecting and predicting anomalies based on analysis of time-series data | |
| CN108429651B (zh) | 流量数据检测方法、装置、电子设备及计算机可读介质 | |
| CN110784458B (zh) | 流量异常检测方法、装置及网络设备 | |
| JP4952437B2 (ja) | ネットワーク監視装置、ネットワーク監視システム | |
| JP5418250B2 (ja) | 異常検出装置、プログラム、及び異常検出方法 | |
| JP2022500963A (ja) | ネットワークのセキュリティモニタリング方法、ネットワークのセキュリティモニタリング装置及びシステム | |
| JP4490307B2 (ja) | ネットワーク異常検出装置及びコンピュータプログラム及びネットワーク異常検出方法 | |
| US20150135312A1 (en) | Service performance monitoring method | |
| CN108418710B (zh) | 一种分布式监控系统、方法及装置 | |
| US7903657B2 (en) | Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor | |
| JP6692178B2 (ja) | 通信システム | |
| JP2010152773A (ja) | 攻撃判定装置及び攻撃判定方法及びプログラム | |
| US9253029B2 (en) | Communication monitor, occurrence prediction method, and recording medium | |
| US20150264071A1 (en) | Analysis system and analysis apparatus | |
| JP2007013590A (ja) | ネットワーク監視システム、ネットワーク監視装置及びプログラム | |
| JP6413537B2 (ja) | 障害予兆通報装置および予兆通報方法、予兆通報プログラム | |
| CN105591816A (zh) | It运维服务器的运行状态检测方法 | |
| JP2018148350A (ja) | 閾値決定装置、閾値決定方法及びプログラム | |
| KR101377462B1 (ko) | CPU 및 메모리 상태를 이용한 DDoS 공격 차단 정책의 자동화된 제어 방법 및 장치 | |
| EP3647982B1 (en) | Cyber attack evaluation method and cyber attack evaluation device | |
| WO2020129610A1 (ja) | 検知装置、検知方法、および、検知プログラム | |
| WO2015087404A1 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
| EP3460769A1 (en) | System and method for managing alerts using a state machine | |
| JP2018182594A (ja) | パケット解析プログラム、パケット解析装置およびパケット解析方法 | |
| JP3697249B2 (ja) | ネットワーク状態監視システム及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100512 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120127 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120214 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120227 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4952437 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150323 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |