JP2009182573A - 監視分析装置、方法、及び、プログラム - Google Patents
監視分析装置、方法、及び、プログラム Download PDFInfo
- Publication number
- JP2009182573A JP2009182573A JP2008018798A JP2008018798A JP2009182573A JP 2009182573 A JP2009182573 A JP 2009182573A JP 2008018798 A JP2008018798 A JP 2008018798A JP 2008018798 A JP2008018798 A JP 2008018798A JP 2009182573 A JP2009182573 A JP 2009182573A
- Authority
- JP
- Japan
- Prior art keywords
- status code
- classification
- reception rate
- server
- category
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
- G06F15/163—Interprocessor communication
- G06F15/173—Interprocessor communication using an interconnection network, e.g. matrix, shuffle, pyramid, star, snowflake
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
Abstract
【解決手段】
受信部11は、サーバからクライアントに送信される所定プロトコルのデータを受信する。抽出部12は、受信データからステータスコードを抽出する。分類部13は、抽出されたステータスコードを、種別に応じて第1の分類及び第2の分類に分類する。判定部14は、第1の分類のステータスコードの受信率と第2の分類のステータスコードの受信率とを求め、第1の分類のステータスコードの受信率と第1の分類のステータスコード受信率のしきい値、及び、第2の分類のステータスコードの受信率と第2の分類のステータスコード受信率のしきい値をそれぞれ比較する。判定部14は、比較結果に基づいて、サーバの負荷上昇が正常トラヒックによるものであるか異常トラヒックによるものであるかを判定する。
【選択図】図1
Description
http://www.telesa.or.jp/committee/voip/pdf/0507_IPCall_protocol_ver1.pdf
12:抽出部
13:分類部
14:判定部
50 監視分析装置
51〜53:クライアント
54:サーバ
110:L2,L3,L4終端処理部
111:プロトコル識別部
112:SIPセッション管理部
113:ステータスコード行抽出部
114:ステータスコード検索部
115:計数部
116:判定部
210:SIPセッション管理テーブル
211:サーバリスト
212:ステータスコードリスト
213:計数テーブル
214:しきい値テーブル
Claims (22)
- サーバからクライアントに送信される所定プロトコルのデータを受信する受信部と、
前記受信したデータからステータスコードを抽出する抽出部と、
前記抽出されたステータスコードを、ステータスコードの種別に応じて第1の分類及び第2の分類に分類する分類部と、
前記第1の分類のステータスコードの受信率と前記第2の分類のステータスコードの受信率とを求め、前記第1の分類のステータスコードの受信率と前記第1の分類のステータスコード受信率のしきい値、及び、前記第2の分類のステータスコードの受信率と前記第2の分類のステータスコード受信率のしきい値をそれぞれ比較し、該比較結果に基づいて、サーバの負荷上昇が正常トラヒックによるものであるか異常トラヒックによるものであるかを判定する判定部とを備える監視分析装置。 - 前記分類部は、クライアントからのリクエストに問題があることに起因してサーバでリクエストが実行できない旨を示すステータスコードを前記第1の分類に分類し、リクエストは正常であるもののサーバ側の原因でサーバがリクエストを実行できなかった旨を示すステータスコードを前記第2の分類に分類する、請求項1に記載の監視分析装置。
- 前記判定部は、サーバごとに各分類のステータスコードの受信率のしきい値を記憶するしきい値テーブルを参照して、各分類のステータスコードの受信率と前記受信率のしきい値とを比較する、請求項1又は2に記載の監視分析装置。
- 前記分類部は、各分類に分類されるべきステータスコードのリストを記憶するステータスコードリストを参照して、前記抽出されたステータスコードを分類する、請求項1乃至3の何れか一に記載の監視分析装置。
- 前記判定部は、前記第2の分類のステータスコードの受信率が前記第2の分類のステータスコード受信率のしきい値以上で、かつ、所定の観測時間における前記第1の分類のステータスコードの受信率の最大値が前記第1の分類のステータスコード受信率のしきい値以上のとき、サーバ負荷が異常トラヒックにより上昇したと判定する、請求項1乃至4の何れか一に記載の監視分析装置。
- 前記判定部は、前記第2の分類のステータスコードの受信率が前記第2の分類のステータスコード受信率のしきい値以上で、かつ、所定の観測時間における前記第1の分類のステータスコードの受信率の最大値が前記第1の分類のステータスコード受信率のしきい値よりも小さいとき、サーバ負荷が正常トラヒックにより上昇したと判定する、請求項1乃至4の何れか一に記載の監視分析装置。
- 前記分類部は、前記抽出されたステータスコードを、ステータスコードの種別に応じて第1〜第3の分類に分類し、前記判定部は、前記第1〜第3の分類のステータスコードの受信率をそれぞれ求め、前記第1の分類のステータスコードの受信率と前記第1の分類のステータスコード受信率のしきい値、前記第2の分類のステータスコードの受信率と前記第2の分類のステータスコード受信率のしきい値、及び、前記第3の分類のステータスコードの受信率と前記第3の分類のステータスコード受信率のしきい値をそれぞれ比較し、該比較結果に基づいて、サーバの負荷上昇が正常トラヒックによるものであるか異常トラヒックによるものであるかを判定する、請求項1乃至4の何れか一記載の監視分析装置。
- 前記分類部は、サーバがクライアントからのリクエストに成功した旨を示すステータスコードを前記第3の分類に分類する、請求項7に記載の監視分析装置。
- 前記判定部は、前記第2の分類のステータスコードの受信率が前記第2の分類のステータスコード受信率のしきい値以上であり、かつ、所定の観測時間における前記第1の分類のステータスコードの受信率の最大値が前記第1の分類のステータスコード受信率のしきい値以上で、前記第3の分類のステータスコードの受信率が前記第3の分類のステータスコード受信率のしきい値以下のとき、サーバ負荷が異常トラヒックにより上昇したと判定する、請求項7又は8に記載の監視分析装置。
- 前記判定部は、前記第2の分類のステータスコードの受信率が前記第2の分類のステータスコード受信率のしきい値以上であり、かつ、所定の観測時間における前記第1の分類のステータスコードの受信率の最大値が前記第1の分類のステータスコード受信率のしきい値よりも小さく、前記第3の分類のステータスコードの受信率が前記第3の分類のステータスコード受信率のしきい値よりも大きいとき、サーバ負荷が正常トラヒックにより上昇したと判定する、請求項7乃至9の何れか一に記載の監視分析装置。
- 前記所定プロトコルはSIP(Session Initiation Protocol)であり、前記分類部は、400番台のステータスコードを前記第1の分類に分類し、500番台及び600番台のステータスコードを前記第2の分類に分類する、請求項1乃至10の何れか一に監視分析装置。
- 前記所定プロトコルはSIP(Session Initiation Protocol)であり、前記分類部は、400番台のステータスコードを前記第1の分類に分類し、500番台及び600番台のステータスコードを前記第2の分類に分類し、200番台のステータスコードを前記第3の分類に分類する、請求項7乃至10の何れか一に記載の監視分析装置。
- ネットワークを介して相互に接続され、所定プロトコルに従って通信を行うサーバ及びクライアントと、
前記ネットワークに接続され、前記サーバからクライアントに送信される所定プロトコルのデータを受信する受信部と、前記受信したデータからステータスコードを抽出する抽出部と、前記抽出されたステータスコードを、ステータスコードの種別に応じて第1の分類及び第2の分類に分類する分類部と、前記第1の分類のステータスコードの受信率と前記第2の分類のステータスコードの受信率とを求め、前記第1の分類のステータスコードの受信率と前記第1の分類のステータスコード受信率のしきい値、及び、前記第2の分類のステータスコードの受信率と前記第2の分類のステータスコード受信率のしきい値をそれぞれ比較し、該比較結果に基づいて、サーバの負荷上昇が正常トラヒックによるものであるか異常トラヒックによるものであるかを判定する判定部とを有する監視分析装置を備える通信システム。 - サーバからクライアントに送信される所定プロトコルのデータを受信し解析する監視分析装置における監視分析方法であって、
前記監視分析装置が、前記受信したデータからステータスコードを抽出する抽出ステップと、
前記監視分析装置が、前記抽出されたステータスコードを、ステータスコードの種別に応じて第1の分類及び第2の分類に分類する分類ステップと、
前記監視分析装置が、前記第1の分類のステータスコードの受信率と前記第2の分類のステータスコードの受信率とを求める受信率演算ステップと、
前記監視分析装置が、前記第1の分類のステータスコードの受信率と前記第1の分類のステータスコード受信率のしきい値、及び、前記第2の分類のステータスコードの受信率と前記第2の分類のステータスコード受信率のしきい値をそれぞれ比較する比較ステップと、
前記監視分析装置が、前記比較結果に基づいて、サーバの負荷上昇が正常トラヒックによるものであるか異常トラヒックによるものであるかを判定する判定ステップとを有する監視分析方法。 - 前記監視分析装置は、前記分類ステップでは、クライアントからのリクエストに問題があることに起因してサーバでリクエストが実行できない旨を示すステータスコードを前記第1の分類に分類し、リクエストは正常であるもののサーバ側の原因でサーバがリクエストを実行できなかった旨を示すステータスコードを前記第2の分類に分類する、請求項14に記載の監視分析方法。
- 前記監視分析装置は、前記比較ステップでは、サーバごとに各分類のステータスコードの受信率のしきい値を記憶するしきい値テーブルを参照して、各分類のステータスコードの受信率と前記受信率のしきい値とを比較する、請求項14又は15に記載の監視分析方法。
- 前記監視分析装置は、前記分類ステップでは、各分類に分類されるステータスコードのリストを記憶するステータスコードリストを参照して、前記抽出されたステータスコードを分類する、請求項14乃至16の何れか一に記載の監視分析方法。
- 前記監視分析装置は、前記判定ステップでは、前記第2の分類のステータスコードの受信率が前記第2の分類のステータスコード受信率のしきい値以上で、かつ、所定の観測時間における前記第1の分類のステータスコードの受信率の最大値が前記第1の分類のステータスコード受信率のしきい値以上のとき、サーバ負荷が異常トラヒックにより上昇したと判定する、請求項14乃至17の何れか一に記載の監視分析方法。
- 前記監視分析装置は、前記分類ステップでは、前記抽出されたステータスコードを、ステータスコードの種別に応じて第1〜第3の分類に分類し、前記受信率演算ステップでは、前記第1〜第3の分類のステータスコードの受信率を求め、前記比較ステップでは、前記第1の分類のステータスコードの受信率と前記第1の分類のステータスコード受信率のしきい値、前記第2の分類のステータスコードの受信率と前記第2の分類のステータスコード受信率のしきい値、及び、前記第3の分類のステータスコードの受信率と前記第3の分類のステータスコード受信率のしきい値をそれぞれ比較し、前記判定ステップでは、前記比較結果に基づいて、サーバの負荷上昇が正常トラヒックによるものであるか異常トラヒックによるものであるかを判定する、請求項14乃至17の何れか一記載の監視分析方法。
- 前記監視分析装置は、前記分類ステップでは、サーバがクライアントからのリクエストに成功した旨を示すステータスコードを前記第3の分類に分類する、請求項19に記載の監視分析方法。
- 前記監視分析装置は、前記判定ステップでは、前記第2の分類のステータスコードの受信率が前記第2の分類のステータスコード受信率のしきい値以上であり、かつ、所定の観測時間における前記第1の分類のステータスコードの受信率の最大値が前記第1の分類のステータスコード受信率のしきい値以上で、前記第3の分類のステータスコードの受信率が前記第3の分類のステータスコード受信率のしきい値以下のとき、サーバ負荷が異常トラヒックにより上昇したと判定する、請求項19又は20に記載の監視分析方法。
- 情報処理装置に、サーバからクライアントに送信される所定プロトコルのデータを受信し解析する処理を実行させるプログラムであって、前記情報処理装置に、
前記受信したデータからステータスコードを抽出する処理と、
前記抽出されたステータスコードを、ステータスコードの種別に応じて第1の分類及び第2の分類に分類する処理と、
前記第1の分類のステータスコードの受信率と前記第2の分類のステータスコードの受信率とを求める処理と、
前記第1の分類のステータスコードの受信率と前記第1の分類のステータスコード受信率のしきい値、及び、前記第2の分類のステータスコードの受信率と前記第2の分類のステータスコード受信率のしきい値をそれぞれ比較する処理と、
前記比較結果に基づいて、サーバの負荷上昇が正常トラヒックによるものであるか異常トラヒックによるものであるかを判定する処理とを実行させるプログラム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008018798A JP4985435B2 (ja) | 2008-01-30 | 2008-01-30 | 監視分析装置、方法、及び、プログラム |
US12/320,586 US20090193115A1 (en) | 2008-01-30 | 2009-01-29 | Monitoring/analyzing apparatus, monitoring/analyzing method and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008018798A JP4985435B2 (ja) | 2008-01-30 | 2008-01-30 | 監視分析装置、方法、及び、プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009182573A true JP2009182573A (ja) | 2009-08-13 |
JP4985435B2 JP4985435B2 (ja) | 2012-07-25 |
Family
ID=40900337
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008018798A Expired - Fee Related JP4985435B2 (ja) | 2008-01-30 | 2008-01-30 | 監視分析装置、方法、及び、プログラム |
Country Status (2)
Country | Link |
---|---|
US (1) | US20090193115A1 (ja) |
JP (1) | JP4985435B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011076483A (ja) * | 2009-09-30 | 2011-04-14 | Fujitsu Ltd | データ管理装置およびデータ管理プログラム |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8626900B2 (en) * | 2010-07-02 | 2014-01-07 | At&T Intellectual Property I, L.P. | Method and system to proactively identify degraded network performance |
KR20120060655A (ko) * | 2010-12-02 | 2012-06-12 | 한국전자통신연구원 | 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크 |
US8704672B2 (en) * | 2011-06-20 | 2014-04-22 | Honeywell International Inc. | Filter change alert system for an HVAC system |
US9635045B2 (en) * | 2015-04-23 | 2017-04-25 | Dell Software, Inc. | Detecting unauthorized, risky, or inefficient usage of privileged credentials through analysis of remote shell protocol bandwidth |
US10797888B1 (en) | 2016-01-20 | 2020-10-06 | F5 Networks, Inc. | Methods for secured SCEP enrollment for client devices and devices thereof |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004304646A (ja) * | 2003-03-31 | 2004-10-28 | Ntt Comware Corp | トラフィック制御装置、トラフィック制御プログラム、プログラム記録媒体及びトラフィック制御方法 |
JP2007267151A (ja) * | 2006-03-29 | 2007-10-11 | Nippon Telegr & Teleph Corp <Ntt> | 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7599351B2 (en) * | 2001-03-20 | 2009-10-06 | Verizon Business Global Llc | Recursive query for communications network data |
US7480723B2 (en) * | 2003-04-08 | 2009-01-20 | 3Com Corporation | Method and system for providing directory based services |
KR100544195B1 (ko) * | 2003-08-12 | 2006-01-23 | 삼성전자주식회사 | 모바일 IPv6 상에서의 세션 설정 프로토콜을 이용한세션 설정 방법 및 시스템 |
EP1619854A1 (en) * | 2004-07-21 | 2006-01-25 | Siemens Mobile Communications S.p.A. | SIP message extension for push to watch service |
WO2006056239A1 (en) * | 2004-11-29 | 2006-06-01 | Telecom Italia S.P.A. | Method and system for managing denial of service situations |
US7684323B2 (en) * | 2005-06-29 | 2010-03-23 | Nokia Corporation | Service error handling in a communications network |
US7613113B1 (en) * | 2005-09-30 | 2009-11-03 | At&T Corp. | Method and apparatus for introducing a delay during a call setup in a communication network |
US20070150773A1 (en) * | 2005-12-19 | 2007-06-28 | Nortel Networks Limited | Extensions to SIP signaling to indicate SPAM |
JP4715521B2 (ja) * | 2006-01-10 | 2011-07-06 | 株式会社日立製作所 | 通信システム,及び呼制御サーバ |
JP2007207173A (ja) * | 2006-02-06 | 2007-08-16 | Fujitsu Ltd | 性能分析プログラム、性能分析方法、および性能分析装置 |
US9054909B2 (en) * | 2006-06-30 | 2015-06-09 | Microsoft Technology Licensing, Llc | Forwarding calls in real time communications |
WO2008009197A1 (fr) * | 2006-07-14 | 2008-01-24 | Huawei Technologies Co., Ltd. | Réseau par paquets et procédé permettant de réaliser ce réseau |
US8270588B2 (en) * | 2006-10-04 | 2012-09-18 | Ronald Schwartz | Method and system for incoming call management |
FR2909823B1 (fr) * | 2006-12-06 | 2012-12-14 | Soc Fr Du Radiotelephone Sfr | Procede et systeme de gestion de sessions multimedia, permettant de controler l'etablissement de canaux de communication |
US20080228926A1 (en) * | 2007-03-13 | 2008-09-18 | Asher Shiratzky | Methods, media, and systems for balancing session initiation protocol server load |
US7936683B2 (en) * | 2007-06-20 | 2011-05-03 | At&T Intellectual Property I, L.P. | System and method of monitoring network performance |
US8447855B2 (en) * | 2007-08-08 | 2013-05-21 | Radware, Ltd. | Method, system and computer program product for preventing SIP attacks |
US8606901B2 (en) * | 2008-01-30 | 2013-12-10 | At&T Intellectual Property I, L. P. | Facilitating deployment of new application services in a next generation network |
-
2008
- 2008-01-30 JP JP2008018798A patent/JP4985435B2/ja not_active Expired - Fee Related
-
2009
- 2009-01-29 US US12/320,586 patent/US20090193115A1/en not_active Abandoned
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004304646A (ja) * | 2003-03-31 | 2004-10-28 | Ntt Comware Corp | トラフィック制御装置、トラフィック制御プログラム、プログラム記録媒体及びトラフィック制御方法 |
JP2007267151A (ja) * | 2006-03-29 | 2007-10-11 | Nippon Telegr & Teleph Corp <Ntt> | 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011076483A (ja) * | 2009-09-30 | 2011-04-14 | Fujitsu Ltd | データ管理装置およびデータ管理プログラム |
Also Published As
Publication number | Publication date |
---|---|
JP4985435B2 (ja) | 2012-07-25 |
US20090193115A1 (en) | 2009-07-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4667437B2 (ja) | 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム | |
US10104124B2 (en) | Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program | |
CN113315682B (zh) | 生成信息传输性能警告的方法、系统和装置 | |
US9860278B2 (en) | Log analyzing device, information processing method, and program | |
US8959643B1 (en) | Detecting malware infestations in large-scale networks | |
US7804787B2 (en) | Methods and apparatus for analyzing and management of application traffic on networks | |
TW201703465A (zh) | 網路異常偵測技術 | |
US9203848B2 (en) | Method for detecting unauthorized access and network monitoring apparatus | |
JP4985435B2 (ja) | 監視分析装置、方法、及び、プログラム | |
JP3957712B2 (ja) | 通信監視システム | |
US9577898B1 (en) | Identifying IP traffic from multiple hosts behind a network address translation device | |
JP4412031B2 (ja) | ネットワーク監視システム及びその方法、プログラム | |
JP2008306706A (ja) | シグナリングフローの異常を検知する方法及び装置 | |
JP2007179131A (ja) | イベント検出システム、管理端末及びプログラムと、イベント検出方法 | |
JPWO2015141640A1 (ja) | 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム | |
US10348751B2 (en) | Device, system and method for extraction of malicious communication pattern to detect traffic caused by malware using traffic logs | |
EP3718260A1 (en) | Systems and methods for determining flow and path analytics of an application of a network using sampled packet inspection | |
JP5593944B2 (ja) | 判定装置、判定方法及びコンピュータプログラム | |
JP5963974B2 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
US20060272019A1 (en) | Intelligent database selection for intrusion detection & prevention systems | |
JP5531064B2 (ja) | 通信装置、通信システム、通信方法、および、通信プログラム | |
US11895146B2 (en) | Infection-spreading attack detection system and method, and program | |
US20130346602A1 (en) | System, method, and computer program product for selecting a wireless network based on security information | |
KR101587845B1 (ko) | 디도스 공격을 탐지하는 방법 및 장치 | |
CN108347447B (zh) | 基于周期性通讯行为分析的p2p僵尸网络检测方法、系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20100224 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20101202 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111221 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120104 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120305 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120403 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120416 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150511 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |