JP2009182573A - 監視分析装置、方法、及び、プログラム - Google Patents

監視分析装置、方法、及び、プログラム Download PDF

Info

Publication number
JP2009182573A
JP2009182573A JP2008018798A JP2008018798A JP2009182573A JP 2009182573 A JP2009182573 A JP 2009182573A JP 2008018798 A JP2008018798 A JP 2008018798A JP 2008018798 A JP2008018798 A JP 2008018798A JP 2009182573 A JP2009182573 A JP 2009182573A
Authority
JP
Japan
Prior art keywords
status code
classification
reception rate
server
category
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008018798A
Other languages
English (en)
Other versions
JP4985435B2 (ja
Inventor
Takahide Sugita
貴英 杉田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2008018798A priority Critical patent/JP4985435B2/ja
Priority to US12/320,586 priority patent/US20090193115A1/en
Publication of JP2009182573A publication Critical patent/JP2009182573A/ja
Application granted granted Critical
Publication of JP4985435B2 publication Critical patent/JP4985435B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/163Interprocessor communication
    • G06F15/173Interprocessor communication using an interconnection network, e.g. matrix, shuffle, pyramid, star, snowflake

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】事象を検出した際に、その発生要因を推定することができる監視分析装置を提供する。
【解決手段】
受信部11は、サーバからクライアントに送信される所定プロトコルのデータを受信する。抽出部12は、受信データからステータスコードを抽出する。分類部13は、抽出されたステータスコードを、種別に応じて第1の分類及び第2の分類に分類する。判定部14は、第1の分類のステータスコードの受信率と第2の分類のステータスコードの受信率とを求め、第1の分類のステータスコードの受信率と第1の分類のステータスコード受信率のしきい値、及び、第2の分類のステータスコードの受信率と第2の分類のステータスコード受信率のしきい値をそれぞれ比較する。判定部14は、比較結果に基づいて、サーバの負荷上昇が正常トラヒックによるものであるか異常トラヒックによるものであるかを判定する。
【選択図】図1

Description

本発明は、監視分析装置、方法、及び、プログラムに関し、更に詳しくは、サーバからクライアントに送信される所定プロトコルのデータを受信し解析する監視分析装置、方法、及び、プログラムに関する。また、本発明は、そのような監視分析装置を含む通信システムに関する。
VoIP(Voice over Internet Protocol)の呼処理プロトコルの1つとして、SIP(Session Initiation Protocol,RFC3261)が利用されている。通常、呼処理にはSIPサーバを利用する。SIPサーバは、広域からのリクエストを受け付ける必要があるため、攻撃のターゲットになりやすいことが予想される。また、SIPは、HTTP(Hyper Text Transport Protocol)やSMTP(Simple Mail Transfer Protocol)を参考に設計されており、SMTPに関連して発生している脅威が、SIPにおいても同様に起こる可能性があると考えられる。例えば、SIPでは、悪意のある者がサーバからSIP URI(Uniform Resource Identifier)を収集し、VoIPを使って迷惑電話をかける行為であるSPIT(SPam over Internet Telephony)を行う場合があると言われている。これは、SMTPにおける、ハーベスティングによりアドレスを収集しSpamを送信する行為に似ている。
ITU−T Y.1530では、特定のプロトコルに限定しない呼処理品質が示されており、VoIP推進協議会では、ITU−T Y.1530をSIP等へ適用する議論が行われている。SIPに対応した呼処理品質の指標の1つとして、SIPの各ステータスコードの受信率が提案されている(非特許文献1参照)。品質指標には、400番台のステータスコード(以下、4xx)を受信した率、500番台と600番台のステータスコード(以下、5xx、6xx)を受信した率を用いられる。4xxは、リクエストに誤りが含まれているためにサーバでリクエストの処理を実行できなかった場合に発行される。5xxや6xxは、例えばサーバの負荷が高いためリクエストの処理に失敗した場合に発行される。
ここで、DoS(Denial of Services)攻撃を検出する技術としては、特許文献1に記載の技術がある。特許文献1では、まず、パケットを、プロトコル種別やフラグ等に基づいてk通り(k:自然数)に分類し、分類ごとに一定時間ごとのパケット数を測定する。次いで、測定したパケット数に基づいて、k通りの分類を要素とするk次元ベクトルを生成する。続いて、主成分軸と生成したk次元ベクトルとの間の距離を測定する。主成分軸とは、ネットワークが正常な状態におけるk次元特徴空間を形成する各成分間の相関関係を示すものである。その後、測定した距離に基づいて、異常の有無、すなわち、DoS攻撃の有無を判定する。
http://www.telesa.or.jp/committee/voip/pdf/0507_IPCall_protocol_ver1.pdf 特開2007−60233号公報
5xxや6xxを多く発行するサーバは、高負荷状態であることが考えられる。しかし、5xxや6xxの受信率を参照しても、負荷上昇が、正常トラヒックに起因するのか、異常トラヒックに起因するのかを判断することは困難である。ここでの異常トラヒックとは、SPITやDoSなどによるトラヒックを指す。負荷上昇の要因が不明であると、サーバ管理者は、サーバ増強が必要であるのか、セキュリティ施策の検討が必要であるかを判断することができず、有効な手立てを打つことができない。特許文献1では、TCP(Transmission Control Protocol)、UDP(User Data Protocol)、ICMP(Internet Control Message Protocol)のプロトコルレベル、又は、TCPのフラグレベルの情報に基づいてパケットを分類している。特許文献1では、レイヤ3、レイヤ4に注目しているに過ぎないため、レイヤ3、レイヤ4で異常が見られないもののアプリケーションレベルで異常があるケースについては、異常を検出することはできない。
本発明は、事象を検出した際に、その発生要因を推定することができる監視分析装置、方法、及び、プログラムを提供することを目的とする。
上記目的を達成するために、本発明の監視分析装置は、サーバからクライアントに送信される所定プロトコルのデータを受信する受信部と、前記受信したデータからステータスコードを抽出する抽出部と、前記抽出されたステータスコードを、ステータスコードの種別に応じて第1の分類及び第2の分類に分類する分類部と、前記第1の分類のステータスコードの受信率と前記第2の分類のステータスコードの受信率とを求め、前記第1の分類のステータスコードの受信率と前記第1の分類のステータスコード受信率のしきい値、及び、前記第2の分類のステータスコードの受信率と前記第2の分類のステータスコード受信率のしきい値をそれぞれ比較し、該比較結果に基づいて、サーバの負荷上昇が正常トラヒックによるものであるか異常トラヒックによるものであるかを判定する判定部とを備えることを特徴とする。
本発明の通信システムは、ネットワークを介して相互に接続され、所定プロトコルに従って通信を行うサーバ及びクライアントと、前記ネットワークに接続され、前記サーバからクライアントに送信される所定プロトコルのデータを受信する受信部と、前記受信したデータからステータスコードを抽出する抽出部と、前記抽出されたステータスコードを、ステータスコードの種別に応じて第1の分類及び第2の分類に分類する分類部と、前記第1の分類のステータスコードの受信率と前記第2の分類のステータスコードの受信率とを求め、前記第1の分類のステータスコードの受信率と前記第1の分類のステータスコード受信率のしきい値、及び、前記第2の分類のステータスコードの受信率と前記第2の分類のステータスコード受信率のしきい値をそれぞれ比較し、該比較結果に基づいて、サーバの負荷上昇が正常トラヒックによるものであるか異常トラヒックによるものであるかを判定する判定部とを有する監視分析装置を備えることを特徴とする。
本発明の監視分析方法は、サーバからクライアントに送信される所定プロトコルのデータを受信し解析する監視分析装置における監視分析方法であって、前記監視分析装置が、前記受信したデータからステータスコードを抽出する抽出ステップと、前記監視分析装置が、前記抽出されたステータスコードを、ステータスコードの種別に応じて第1の分類及び第2の分類に分類する分類ステップと、前記監視分析装置が、前記第1の分類のステータスコードの受信率と前記第2の分類のステータスコードの受信率とを求める受信率演算ステップと、前記監視分析装置が、前記第1の分類のステータスコードの受信率と前記第1の分類のステータスコード受信率のしきい値、及び、前記第2の分類のステータスコードの受信率と前記第2の分類のステータスコード受信率のしきい値をそれぞれ比較する比較ステップと、前記監視分析装置が、前記比較結果に基づいて、サーバの負荷上昇が正常トラヒックによるものであるか異常トラヒックによるものであるかを判定する判定ステップとを有することを特徴とする。
本発明のプログラムは、情報処理装置に、サーバからクライアントに送信される所定プロトコルのデータを受信し解析する処理を実行させるプログラムであって、前記情報処理装置に、前記受信したデータからステータスコードを抽出する処理と、前記抽出されたステータスコードを、ステータスコードの種別に応じて第1の分類及び第2の分類に分類する処理と、前記第1の分類のステータスコードの受信率と前記第2の分類のステータスコードの受信率とを求める処理と、前記第1の分類のステータスコードの受信率と前記第1の分類のステータスコード受信率のしきい値、及び、前記第2の分類のステータスコードの受信率と前記第2の分類のステータスコード受信率のしきい値をそれぞれ比較する処理と、前記比較結果に基づいて、サーバの負荷上昇が正常トラヒックによるものであるか異常トラヒックによるものであるかを判定する処理とを実行させることを特徴とする。
本発明の監視分析装置、方法、及び、プログラムでは、事象を検出した際に、その発生要因を推定することができる。
はじめに、本発明の概要を説明する。図1に、本発明の監視分析装置を示す。監視分析装置は、受信部11、抽出部12、分類部13、及び、判定部14を有する。受信部11は、サーバからクライアントに送信される所定プロトコルのデータを受信する。抽出部12は、受信部11が受信したデータからステータスコードを抽出する。分類部13は、抽出部12が抽出したステータスコードを、ステータスコードの種別に応じて第1の分類及び第2の分類に分類する。
判定部14は、第1の分類のステータスコードの受信率を求め、求めた第1の分類のステータスコードの受信率としきい値とを比較する。また、第2の分類のステータスコードの受信率を求め、求めた第2の分類のステータスコードの受信率としきい値を比較する。判定部14は、比較後、比較結果に基づいて、サーバの負荷上昇が正常トラヒックによるものであるか異常トラヒックによるものであるかを判定する。
本発明では、ステータスコードを、種別に応じて、第1及び第2の分類に分類する。第1及び第2の分類のステータスコードの受信率を求め、これらをそれぞれしきい値と比較し、第1の分類に対応する事象と第2の分類に対応する事象とがそれぞれ正常範囲であるか否かを判断する。一方の事象が正常範囲から外れた際に、他方の事象の状況を調べることで、その一方の事象が正常範囲から外れた要因を推定することができる。
特に、分類部13にて、クライアントからのリクエストに問題があることに起因してサーバでリクエストが実行できない旨を示すステータスコードを第1の分類に分類し、リクエストは正常であるもののサーバ側の原因でサーバがリクエストを実行できなかった旨を示すステータスコードを第2の分類に分類した場合、第2の分類のステータスコードの受信率によってサーバ負荷を把握でき、第1の分類のステータスコードの受信率によって不正リクエストの発生状況を把握できる。従って、両者を用いることで、サーバの負荷が上昇した際に、それが正常トラヒックによるものであるか異常トラヒックによるものであるかを判定することが可能となる。
以下、図面を参照し、本発明の実施の形態を詳細に説明する。図2は、本発明の第1実施形態の開始分析装置を含む通信システムを示している。監視分析装置50は、複数のクライアント(51〜53)及びサーバ54と、ネットワークを介して接続されている。監視分析装置50は、同一セグメント上に流れているSIPパケットを受信する。これは、一般的なネットワークインタフェースカードでは、プロミスカスモードと呼ばれる設定で実現できる。監視分析装置50は、クライアント51〜53、サーバ54のレイヤ7(OSIモデル第7層:以下「L7」)を監視分析する。監視分析装置50は、監視分析結果をログへ記録する。
図3に、監視分析装置50の構成を示す。監視分析装置50は、L2,L3,L4終端処理部110、プロトコル識別部111、SIPセッション管理部112、ステータスコード行抽出部113、ステータスコード検索部114、計数部115、判定部116、SIPセッション管理テーブル210、サーバリスト211、ステータスコードリスト212、計数テーブル213、及び、しきい値テーブル214を有する。監視分析装置50では、情報処理装置に所定のプログラムを実行させることで、各部の機能を実現してもよい。L2,L3,L4終端処理部110、プロトコル識別部111、及び、SIPセッション管理部112は、図1における受信部11に相当する。ステータスコード行抽出部113は、抽出部12に相当し、ステータスコード検索部114は、分類部13に相当する。計数部115及び判定部116は、判定部14に相当する。
L2,L3,L4終端処理部110は、レイヤ2(L2)、レイヤ3(L3)、レイヤ4(L4)の終端処理を行う。SIPは、TCP、UDP、SCTP(Stream Control Transmission Protocol,RFC2960)を利用できる。L2,L3,L4終端処理部110は、TCPやSCTPパケットが入力された場合は、ストリーム再構築を行う。プロトコル識別部111は、SIPパケットを識別し、SIPパケットを、後段のSIPセッション管理部112に渡す。SIPパケットであるか否かは、ポート番号(5060)により識別できる。SIP以外のパケットは、廃棄する。
SIPセッション管理部112は、監視分析装置50に入力されたSIPセッションを管理する。SIPセッション管理部112は、入力されたSIPパケットから、SIPセッション管理テーブル210に登録すべき情報を抽出し、抽出した情報を、SIPセッション管理テーブル210に登録する。SIPセッション管理テーブル210の一例を図4に示す。SIPセッション管理テーブル210は、送信元IPアドレス、送信先IPアドレス、Call ID、送信元SIP URI、送信先SIP URIなどの項目を有する。
サーバリスト211には、監視分析装置50が監視分析対象とするサーバのIPアドレスが記録されている。図5に、サーバリスト211の記録内容の一例を示す。SIPセッション管理部112は、サーバリスト211を参照して、送信元IPアドレスがサーバリスト211のIPアドレスと一致するSIPパケットを、後段のステータスコード行抽出部113に渡す。ステータスコード行抽出部113は、SIPセッション管理部112からSIPパケットを受け取ると、SIPパケットの1行目に含まれるステータスコードを抽出し、ステータスコード検索部114に渡す。
ステータスコードリスト212には、計数対象となるステータスコードが格納されている。ステータスコード検索部114は、ステータスコード行抽出部113が抽出したステータスコードをステータスコードリスト212と比較し、一致するステータスコードがあるか否かを調べる。ある場合は、どのステータスコードが受信されたかを示す情報を、計数部115に通知する。具体的には、ステータスコード検索部114は、400番台(4xx)、500番台(5xx)、600番台(6xx)のステータスコードを検索し、どのステータスコードが受信されたかを計数部115に通知する。計数部115は、各ステータスコードが受信された回数をカウントする。
図6に、ステータスコードリスト212に格納されたステータスコードリストの一例を示す。この例では、ステータスコードリスト212は、4xxのステータスコードのリスト、5xxのステータスコードのリスト、及び、6xxのステータスコードのリストを有する。例えば、ステータスコード行抽出部113から受け取ったステータスコードが「401」であるときは、このステータスコードは4xxのステータスコードのリストに記述されているので、ステータスコード検索部114は、計数部115に、4xxのステータスコードが受信された旨を通知する。また、ステータスコード行抽出部113から受け取ったステータスコードが「501」のときは、計数部115に、5xxのステータスコードが受信された旨を通知する。
なお、4xxのステータスコードは、クライアント・エラー応答を意味しており、リクエストに誤りが含まれている、或いは、指定したサーバではリクエストを実行できないことを表すステータスコードである。つまり、4xxは、クライアントからのリクエストに起因してサーバでリクエストが実行できない旨を表すステータスコードである。また、5xxのステータスコードは、サーバ・エラー応答を意味しており、サーバがリクエストの実行に失敗したことを表すステータスコードである。6xxのステータスコードは、グローバル・エラー応答を意味しており、リクエストがどのサーバでも実行できなかったことを表すステータスコードである。つまり、5xx及び6xxは、リクエスト自体は正常であるものの、サーバ側の原因でサーバがリクエストを実行できなかったことを表すステータスコードである。
上記では、ステータスコードリスト212が、400番台、500番台、600番台の3つのステータスコードのリストを有するとしたが、ステータスコードが何百番台かを調べるだけであれば、ステータスコードの百の位の値を調べれば済むので、ステータスコードリスト212を用意しておく必要はない。ステータスコードリスト212を用意しておく理由は、エラーを示すステータスコードの要因規定の捉え方が開発者によって異なり、意図した通りにステータスコードが発行されないことも想定されるためである。例えば、INVITEリクエスト数が一定値を超えたときに“480”のステータスコードを応答するサーバがあるとする。監視分析装置では、その事象の発生を、サーバ・エラー応答(5xx)として検出したいとする。その場合には、ステータスコードリスト212を用意しておき、5xxのリストへ“480”を記述しておくことで、ステータスコード“480”を5xxとして検出できる。
計数部115は、ステータスコード検索部114からステータスコードが検出された旨の通知を受けると、ステータスコードを送信したサーバのIPアドレスごとに、ステータスコードの受信数をカウントする。また、このとき、計数部115は、ステータスコードを受信するクライアントのIPアドレスごとにも、ステータスコードの受信数をカウントする。計数テーブル213は、サーバ及びクライアントごとに、各ステータスコードのカウント値を保持する。
図7に、計数テーブル213の一例を示す。計数テーブル213は、種別、IPアドレス、総数、4xx、5xx、6xxの列(項目)を有する。種別は、サーバとクライアントとを区別するための情報であり、“1”がサーバを、“0”がクライアントを表している。例えば、図7の1行目を参照すると、IPアドレス「10.10.10.1」で識別されるサーバが受信するステータスコードの総数は「500」であり、4xxの数は「50」、5xxの数は「20」、6xxの数は「0」であることがわかる。2行目以降は、IPアドレス「10.10.10.1」のサーバと通信しているクライアントごとのカウント値を表している。計数テーブル213のカウント値は、周期的に更新される。
判定部116は、計数テーブル213を参照して、各サーバの5xxのカウント値と6xxのカウント値との和を求め、その和を受信ステータスコードの総数で除した値を求める。これを5xx、6xxの受信率と呼ぶ。また、4xxのカウント値を、受信ステータスコードの総数で除した値を求める。これを、4xxの受信率と呼ぶ。判定部116は、4xxの受信率を求めると、所定の観測時間における受信率の最大値を求め、その最大値を図示しない記憶装置内に保持する。図8に、観測時間に4xxの受信率の最大値の一例を示す。
判定部116は、求めた各ステータスコードの受信率と、しきい値テーブル214に格納された各ステータスコードの受信率のしきい値とに基づいて、サーバ負荷が上昇しているか否かや、サーバ負荷上昇が異常トラヒックによるものか正常トラヒックによるものかを判定する。判定部116は、5xx、6xxの受信率がしきい値テーブル214に格納されたしきい値以上であり、かつ、観測時間内における4xxの受信率の最大値がしきい値テーブル214に格納されたしきい値以上であると判断すると、異常トラヒックによりサーバ負荷が上昇していると判定する。また、5xx、6xxの受信率がしきい値以上であり、かつ、観測時間内における4xxの受信率の最大値がしきい値よりも小さいときは、正常トラヒックによりサーバ負荷が上昇していると判定する。
図9に、しきい値テーブル214の一例を示す。しきい値テーブル214は、「種別」、「IPアドレス」、「5xx、6xxのしきい値」、「4xxのしきい値」、「観測時間」の列(項目)を有する。5xx、6xxのしきい値は、5xx、6xxの受信率と比較されるしきい値である。4xxのしきい値は、観測時間における4xxの受信率の最大値と比較されるしきい値である。観測時間は、4xxの受信率の最大値を求める際に、過去どれだけの時間分の最大値とするかを定める。例えば、観測時間を1分とするときは、判定部116は、過去1分間の4xxの受信率のうちの最大値を保持する(図8)。
悪意のある者は、異常トラヒックを送信する場合、その準備として、SIP URIの情報等を取得するため、サーバに対してスキャンをかける。スキャンを受けたサーバは、クライアント・エラー応答である4xxをクライアントに対して送信する。次に、悪意のある者が、得た情報を使ってサーバへ異常トラヒックを送信すると、サーバは、サーバ・エラー応答である5xxをクライアントに対して送信する。このとき、ネットワークを監視すると、サーバから大量の4xxが送信された後に、大量の5xxが送信されるように見える。判定部116は、この振る舞いを検出し、サーバ負荷上昇の要因判定を行う。また、このとき、サーバ負荷上昇要因となったトラヒックを発生したクライアントは、サーバから4xx、5xx、6xxを受信していると考えられるので、これらの受信率が大きいクライアントを調べることで、負荷上昇要因となるクライアントを特定することができる。
なお、上記では、ステータスコード検索部114にてステータスコードが4xx、5xx、6xxの3つの何れであるかを検出し、計数部115にてそれらの受信数をカウントしたが、判定部116は、5xxと6xxとを合算した後に受信率を計算するので、これらの受信数を個別に求める必要はない。従って、ステータスコード検索部114にて検出するステータスコードの分類は、4xx(第1の分類)と、5xx及び6xx(第2の分類)との2つでよい。この場合は、ステータスコードリスト212(図6)には、5xxのリストと6xxのリストとを1つにまとめて、5xx及び6xxのリストを用意しておけばよい。
図10に、監視分析装置の処理手順を示す。監視分析装置50は、ネットワーク上を流れるパケットを受信する。L2,L3,L4終端処理部110は、監視分析装置50が受信したパケットについて終端処理を行う(ステップS1)。終端処理では、TCPやSCTPパケットの場合は、ストリーム再構築を行う。プロトコル識別部111は、ポート番号を参照して、ポート番号が5060であるパケットを、SIPセッション管理部112に渡す(ステップS2)。プロトコル識別部111は、ポート番号が5060以外のパケットについては破棄する。ポート番号5060は、SIPパケットを表しているので、プロトコル識別部111は、SIPパケットのみを、SIPセッション管理部112に処理対象として渡す。
SIPセッション管理部112は、SIPパケットを受け取ると、SIPパケットのIPヘッダの送信元IP、送信先IP、SIP URI等を参照し、SIPセッション管理テーブル210(図4)を用いて、セッション管理を行う(ステップS3)。また、このとき、サーバリスト211(図5)を参照して、送信元IPアドレスがサーバリスト211のIPアドレスと一致するパケットを、ステータスコード行抽出部113に渡す。ステータスコード行抽出部113は、送信元IPアドレスがサーバリスト211のIPアドレスと一致するSIPパケットを受け取ると、SIPパケットのステータスコードを抜き出し、ステータスコード検索部114へ渡す(ステップS4)。
ステータスコード検索部114は、ステータスコードリスト212(図6)を参照し、各リストに一致するステータスコードがあるときは、どのリストに一致したかを示す情報を、計数部115に通知する(ステップS5)。計数部115は、ステータスコード検索部114からの通知にしたがって、対応するステータスコードの受信数をサーバごとにカウントし、計数テーブル213(図7)を更新する(ステップS6)。また、ステップS6では、サーバが送信したSIPパケットを受信するクライアントについても、対応するステータスコードの受信数をカウントする。
判定部116は、所定の周期で、計数テーブル213を参照し、5xxのカウント値と6xxのカウント値とから、5xx、6xxの受信率を求める。また、4xxのカウント値から、4xxの受信率を求め、しきい値テーブル214(図9)に格納された観測時間における4xxの受信率の最大値(図8)を更新する。判定部116は、各サーバについて、求めた5xx、6xxの受信率と、しきい値テーブル214に格納された5xx、6xxの受信率のしきい値とを比較し、求めた受信率がしきい値以上であるか否かを判断する(ステップS7)。つまり、サーバ負荷が高い状態であるか否かを判断する。しきい値よりも小さいときは、処理を終了する。
判定部116は、ステップS7でしきい値以上であると判断したときは、観測時間における4xxの受信率の最大値と、しきい値テーブル214に格納された4xxの受信率のしきい値とを比較し、観測時間における受信率の最大値がしきい値以上であるか否かを判断する(ステップS8)。判定部116は、しきい値以上の場合は、異常トラヒックによるサーバ負荷上昇と判定する(ステップS9)。しきい値をよりも小さい場合は、正常トラヒックによるサーバ負荷上昇と判定する(ステップS10)。
図11(a)及び(b)に、それぞれ5xx、6xxの受信率及び4xxの受信率の変化の様子を示す。サーバとしては、IPアドレス「10.10.10.1」のサーバを考える。図9を参照すると、このサーバについての5xx、6xxの受信率のしきい値は「0.3」、4xxの受信率のしきい値は「0.3」であり、観測時間は「1分」である。判定部116は、ステップS7で、5xx、6xxの受信率と、しきい値「0.3」とを比較する。比較の結果、時刻tで、5xx、6xxの受信率がしきい値「0.3」を超えたとする(図11(a))。
判定部116は、5xx、6xxの受信率がしきい値「0.3」以上であると判断すると、ステップS8で、観測時間における4xxの受信率の最大値と4xxの受信率のしきい値「0.3」とを比較する。観測時間は1分であるので、ステップS8では、時刻tより1分前の時刻から、時刻tまでの間における4xxの受信率の最大値と、しきい値「0.3」とを比較する。図11(b)では、時刻tにおける4xxの受信率はしきい値「0.3」よりも小さいが、時刻tより1分前の時刻から時刻tまでの間にしきい値「0.3」以上となる時点があるので、ステップS8では、観測時間における4xxの受信率の最大値はしきい値以上であると判断される。その結果、ステップS9で、異常トラヒックによりサーバ負荷が上昇したと判断される。
図12に、4xxと5xx、6xxとの関係を示す。同図では、5xx、6xxの受信率がしきい値以上となる状態を第一象限及び第四象限に割り当て、しきい値よりも小さい状態を第二象限及び第三象限に割り当てている。また、観測時間における4xxの受信率の最大値がしきい値以上となる状態を第一象限及び第二象限に割り当て、しきい値よりも小さい状態を第三象限及び第四象限に割り当てている。
5xx、6xxの受信率がしきい値以上となる場合の例としては、SPITなど大量トラヒックの発生により、サーバが処理用スレッドに割り当てるメモリ確保に失敗した結果として、5xxを発行している状態が考えられる。また、観測時間における4xxの受信率の最大値がしきい値以上となる場合の例としては、悪意のある者が、SPIT実行準備としてSIP−URIを取得することを目的としてSIPのOPTIONSリクエストを送信し、サーバが、該当するSIP−URIがないために4xx(404 Not Foundなど)を発行している状態が考えられる。
第一象限は、過去に不正なリクエストが発生し、かつ、大量トラヒックが発生した状況であり、異常トラヒックによりサーバ負荷が上昇したと判定できる。第四象限は、大量トラヒックが発生しているが、過去に不正なリクエストは発生していない状況であり、正常トラヒックによりサーバ負荷が上昇した状況であると判定できる。第二象限は、過去に不正なリクエストが発生したが、大量トラヒックはまだ発生していない状況である。不正なリクエストにより収集した情報を利用し、大量トラヒックがこれから発生する可能性があると考えることができる。第三象限は、4xxや5xx,6xxの何れもしきい値以上ではないので、正常トラヒックが発生していると思われる。
図10に戻り、判定部116は、計数テーブル213(図7)を参照して、該当サーバに接続するクライアントの4xxの受信率、5xx、6xxの受信率を求める(ステップS11)。該当サーバに接続するクライアントの受信率は、計数テーブル213における種別“0”の行の各項目の値を参照することで計算できる。受信率が大きいクライアントは、サーバ負荷上昇の要因となるトラヒックを多く発生していると考えることができる。
本実施形態では、サーバが送信するSIPパケットからステータスコードを抽出し、ステータスコードを、4xx(第1の分類)と、5xx、6xx(第2の分類)とに分類して、それぞれの受信率を求める。その後、5xx、6xxの受信率と5xx、6xxのしきい値とを比較することで、サーバの負荷が高い状態であるか否かを判断し、サーバ負荷が高いと判断されたときは、観測期間における4xxの受信率の最大値と4xxの受信率のしきい値とを比較して、サーバ負荷が上昇する前に、不正なリクエストが多数発行されたか否かを判断する。このようにすることで、サーバ負荷上昇が、異常トラヒックによって上昇したのか、正常トラヒックによって上昇したのかを推定することができ、負荷上昇の要因の切り分けが可能となる。
負荷上昇の要因の切り分けに関して、例えば、不正トラヒックの特徴を持つパターンを使った検知と、サーバのCPU、ディスク、メモリ使用率とを組み合わせて切り分けを実現する手法も考えられる。しかし、その場合は、ネットワークの状態とサーバ内部との2点を観測する必要があり、各情報の突合せも簡単ではない。また、不正トラヒックの特徴を持つ多くのパターンを事前に用意しておかなければならないという問題もある。本実施形態では、2つの種別のステータスコードの受信率に基づいて要因の切り分けを行うので、そのような問題はなく、簡易に、切り分けを実現できる。
続いて、本発明の第2実施形態について説明する。本実施形態の監視分析装置の構成は、図3に示す第1実施形態の監視分析装置50の構成と同様である。本実施形態では、4xxの受信率、及び、5xxと6xxの受信率に加えて、2xxの受信率を用いて、サーバ負荷上昇の要因が異常トラヒックによるものか、正常トラヒックによるものかを判定する。つまり、本実施形態では、ステータスコードの分類を1つ増やし、4xx(第1の分類)のステータスコードの受信率、5xx、6xx(第2の分類)のステータスコードの受信率、及び、2xx(第3の分類)のステータスコードの受信率に基づいて、サーバ負荷上昇の要因が異常トラヒックによるものか、正常トラヒックによるものであるかを判定する。なお、2xxは、成功応答を示すステータスコードである。
図13に、2xxのステータスコードのリストを示す。ステータスコードリスト212には、図6に示す4xxのリスト、5xxのリスト、6xxのリストに加えて、図13に示す2xxのリストが格納される。ステータスコード検索部114は、ステータスコード行抽出部113が抽出したステータスコードが、2xxのリストに存在するときは、2xxが検出された旨を計数部115に通知する。図14に、本実施形態における計数テーブル213の一例を示す。図7に示す第1実施形態における計数テーブル213との相違点は、2xxの項目が追加されている点である。計数部115は、ステータスコード検索部114が2xxを検出すると、2xxの項目のカウント値をカウントアップする。判定部116は、計数テーブル213を参照して、2xxのカウント値から2xxの受信率を求める。
図15に、本実施形態におけるしきい値テーブル214の一例を示す。図9に示す第1実施形態におけるしきい値テーブル214との相違点は、2xxの受信率のしきい値が追加されている点である。判定部116は、5xx、6xxの受信率がしきい値以上であるときは、4xxの受信率と4xxの受信率のしきい値、及び、2xxの受信率と2xxの受信率のしきい値とを比較し、比較結果に基づいて、負荷上昇が異常トラヒックによるものであるか、正常トラヒックによるものであるかを判定する。図16に、判定表を示す。判定部116は、4xxの受信率がしきい値以上で、かつ、2xxの受信率がしきい値以下のときは、異常トラヒックによる負荷上昇と判定する。一方、4xxの受信率がしきい値よりも小さく、かつ、2xxの受信率がしきい値よりも大きいときは、正常トラヒックによる負荷上昇と判定する。
図17に、本実施形態における監視分析装置の動作手順を示す。ステップS1〜ステップS6までは、図10に示す第1実施形態における動作手順と同様である。判定部116は、しきい値テーブル214を参照して、5xx、6xxの受信率と、5xx、6xxの受信率ののしきい値とを比較し、5xx、6xxの受信率がしきい値以上であるか否かを判断する(ステップS7)。しきい値よりも小さいときは、処理を終了する。
判定部116は、ステップS7で5xx、6xxの受信率がしきい値以上と判断したときは、しきい値テーブル214を参照して、4xxの受信率と4xxの受信率のしきい値、及び、2xxの受信率と2xxの受信率のしきい値をそれぞれ比較し、4xxの受信率がしきい値以上で、かつ、2xxの受信率がしきい値以下であるか否かを判断する(ステップS101)。4xxの受信率がしきい値以上で、かつ、2xxの受信率がしきい値以下のときは、異常トラヒックによる負荷上昇と判定する(ステップS9)。その後、計数テーブル213を参照して、該当サーバに接続しているクライアント(種別“0”)について、4xxの受信率、5xx、6xxの受信率、2xxの受信率を求める(ステップS103)。受信率が大きいクライアントは、サーバ負荷上昇要因となるトラヒックを多く発生していると考えられる。
判定部116は、ステップS101で、4xxの受信率がしきい値以上で、かつ、2xxの受信率がしきい値以下でないと判断したときは、4xxの受信率がしきい値よりも小さく、かつ、2xxの受信率がしきい値を超えるか否かを判断する(ステップS102)。4xxの受信率がしきい値よりも小さく、かつ、2xxの受信率がしきい値を超えるときは、正常トラヒックによる負荷上昇と判定する(ステップS10)。その後、ステップS103へ移行し、4xxの受信率、5xx、6xxの受信率、2xxの受信率を求める。ステップS102で、4xxの受信率がしきい値以上である、又は、2xxの受信率がしきい値以下であると判断したときは、処理を終了する。
本実施形態では、ステータスコードの分類を1つ追加し、ステータスコードを、4xx(第1の分類)と、5xx、6xx(第2の分類)と、2xx(第3の分類)とに分類する。2xxの受信率を求めて、これを用いて負荷上昇の要因を判定することで、第1実施形態に比して、負荷上昇要因の推定の精度を上げることができる。
なお、上記各実施形態では、用いるプロトコルがSIPの場合について説明したが、プロトコルは、SIPには限定されない。例えば、HTTPでもよい。SIPに適用した場合と、HTTPに適用した場合とで異なる点は、SIPでは600番台のステータスコードがあるのに対して、HTTPでは600番台のステータスコードがないことである。HTTPの場合は、500番台のステータスコードを第2の分類に分類して、処理を行えばよい。HTTPに適用する場合、リクエストの構文が間違った場合はサーバは「400 Bad Request」を発行し、サーバ負荷があがった場合は「503 Service Unavailable」を発行するので、ステータスコード「503」が大量に発生した際に、その前に「400」が大量に発生したか否かを調べることで、サーバの負荷上昇が正常トラヒックによるものであるか、異常トラヒックによるものであるかを識別ができると考えられる。
以上、本発明をその好適な実施形態に基づいて説明したが、本発明の監視分析装置、方法、及び、プログラムは、上記実施形態にのみ限定されるものではなく、上記実施形態の構成から種々の修正及び変更を施したものも、本発明の範囲に含まれる。
本発明の監視分析装置の構成を示すブロック図。 監視分析装置を含む通信システムを示すブロック図。 本発明の第1実施形態の監視分析装置を示すブロック図。 SIPセッション管理テーブルの一例を示す図。 サーバリストの一例を示す図。 ステータスコードリストの一例を示す図。 計数テーブルの一例を示す図。 4xx受信率最大値の一例を示す図。 しきい値テーブルの一例を示す図。 動作手順を示すフローチャート。 (a)は、5xx、6xx受信率の時間変化を示すグラフ、(b)は、4xx受信率の時間変化を示すグラフ。 5xx、6xx受信率と4xx受信率との関係を示す図。 本発明の第2実施形態で用いるステータスコードリストの一例を示す図。 第2実施形態における計数テーブルの一例を示す図。 第2実施形態におけるしきい値テーブルの一例を示す図。 判定表を示す図。 第2実施形態における動作手順を示すフローチャート。
符号の説明
11:受信部
12:抽出部
13:分類部
14:判定部
50 監視分析装置
51〜53:クライアント
54:サーバ
110:L2,L3,L4終端処理部
111:プロトコル識別部
112:SIPセッション管理部
113:ステータスコード行抽出部
114:ステータスコード検索部
115:計数部
116:判定部
210:SIPセッション管理テーブル
211:サーバリスト
212:ステータスコードリスト
213:計数テーブル
214:しきい値テーブル

Claims (22)

  1. サーバからクライアントに送信される所定プロトコルのデータを受信する受信部と、
    前記受信したデータからステータスコードを抽出する抽出部と、
    前記抽出されたステータスコードを、ステータスコードの種別に応じて第1の分類及び第2の分類に分類する分類部と、
    前記第1の分類のステータスコードの受信率と前記第2の分類のステータスコードの受信率とを求め、前記第1の分類のステータスコードの受信率と前記第1の分類のステータスコード受信率のしきい値、及び、前記第2の分類のステータスコードの受信率と前記第2の分類のステータスコード受信率のしきい値をそれぞれ比較し、該比較結果に基づいて、サーバの負荷上昇が正常トラヒックによるものであるか異常トラヒックによるものであるかを判定する判定部とを備える監視分析装置。
  2. 前記分類部は、クライアントからのリクエストに問題があることに起因してサーバでリクエストが実行できない旨を示すステータスコードを前記第1の分類に分類し、リクエストは正常であるもののサーバ側の原因でサーバがリクエストを実行できなかった旨を示すステータスコードを前記第2の分類に分類する、請求項1に記載の監視分析装置。
  3. 前記判定部は、サーバごとに各分類のステータスコードの受信率のしきい値を記憶するしきい値テーブルを参照して、各分類のステータスコードの受信率と前記受信率のしきい値とを比較する、請求項1又は2に記載の監視分析装置。
  4. 前記分類部は、各分類に分類されるべきステータスコードのリストを記憶するステータスコードリストを参照して、前記抽出されたステータスコードを分類する、請求項1乃至3の何れか一に記載の監視分析装置。
  5. 前記判定部は、前記第2の分類のステータスコードの受信率が前記第2の分類のステータスコード受信率のしきい値以上で、かつ、所定の観測時間における前記第1の分類のステータスコードの受信率の最大値が前記第1の分類のステータスコード受信率のしきい値以上のとき、サーバ負荷が異常トラヒックにより上昇したと判定する、請求項1乃至4の何れか一に記載の監視分析装置。
  6. 前記判定部は、前記第2の分類のステータスコードの受信率が前記第2の分類のステータスコード受信率のしきい値以上で、かつ、所定の観測時間における前記第1の分類のステータスコードの受信率の最大値が前記第1の分類のステータスコード受信率のしきい値よりも小さいとき、サーバ負荷が正常トラヒックにより上昇したと判定する、請求項1乃至4の何れか一に記載の監視分析装置。
  7. 前記分類部は、前記抽出されたステータスコードを、ステータスコードの種別に応じて第1〜第3の分類に分類し、前記判定部は、前記第1〜第3の分類のステータスコードの受信率をそれぞれ求め、前記第1の分類のステータスコードの受信率と前記第1の分類のステータスコード受信率のしきい値、前記第2の分類のステータスコードの受信率と前記第2の分類のステータスコード受信率のしきい値、及び、前記第3の分類のステータスコードの受信率と前記第3の分類のステータスコード受信率のしきい値をそれぞれ比較し、該比較結果に基づいて、サーバの負荷上昇が正常トラヒックによるものであるか異常トラヒックによるものであるかを判定する、請求項1乃至4の何れか一記載の監視分析装置。
  8. 前記分類部は、サーバがクライアントからのリクエストに成功した旨を示すステータスコードを前記第3の分類に分類する、請求項7に記載の監視分析装置。
  9. 前記判定部は、前記第2の分類のステータスコードの受信率が前記第2の分類のステータスコード受信率のしきい値以上であり、かつ、所定の観測時間における前記第1の分類のステータスコードの受信率の最大値が前記第1の分類のステータスコード受信率のしきい値以上で、前記第3の分類のステータスコードの受信率が前記第3の分類のステータスコード受信率のしきい値以下のとき、サーバ負荷が異常トラヒックにより上昇したと判定する、請求項7又は8に記載の監視分析装置。
  10. 前記判定部は、前記第2の分類のステータスコードの受信率が前記第2の分類のステータスコード受信率のしきい値以上であり、かつ、所定の観測時間における前記第1の分類のステータスコードの受信率の最大値が前記第1の分類のステータスコード受信率のしきい値よりも小さく、前記第3の分類のステータスコードの受信率が前記第3の分類のステータスコード受信率のしきい値よりも大きいとき、サーバ負荷が正常トラヒックにより上昇したと判定する、請求項7乃至9の何れか一に記載の監視分析装置。
  11. 前記所定プロトコルはSIP(Session Initiation Protocol)であり、前記分類部は、400番台のステータスコードを前記第1の分類に分類し、500番台及び600番台のステータスコードを前記第2の分類に分類する、請求項1乃至10の何れか一に監視分析装置。
  12. 前記所定プロトコルはSIP(Session Initiation Protocol)であり、前記分類部は、400番台のステータスコードを前記第1の分類に分類し、500番台及び600番台のステータスコードを前記第2の分類に分類し、200番台のステータスコードを前記第3の分類に分類する、請求項7乃至10の何れか一に記載の監視分析装置。
  13. ネットワークを介して相互に接続され、所定プロトコルに従って通信を行うサーバ及びクライアントと、
    前記ネットワークに接続され、前記サーバからクライアントに送信される所定プロトコルのデータを受信する受信部と、前記受信したデータからステータスコードを抽出する抽出部と、前記抽出されたステータスコードを、ステータスコードの種別に応じて第1の分類及び第2の分類に分類する分類部と、前記第1の分類のステータスコードの受信率と前記第2の分類のステータスコードの受信率とを求め、前記第1の分類のステータスコードの受信率と前記第1の分類のステータスコード受信率のしきい値、及び、前記第2の分類のステータスコードの受信率と前記第2の分類のステータスコード受信率のしきい値をそれぞれ比較し、該比較結果に基づいて、サーバの負荷上昇が正常トラヒックによるものであるか異常トラヒックによるものであるかを判定する判定部とを有する監視分析装置を備える通信システム。
  14. サーバからクライアントに送信される所定プロトコルのデータを受信し解析する監視分析装置における監視分析方法であって、
    前記監視分析装置が、前記受信したデータからステータスコードを抽出する抽出ステップと、
    前記監視分析装置が、前記抽出されたステータスコードを、ステータスコードの種別に応じて第1の分類及び第2の分類に分類する分類ステップと、
    前記監視分析装置が、前記第1の分類のステータスコードの受信率と前記第2の分類のステータスコードの受信率とを求める受信率演算ステップと、
    前記監視分析装置が、前記第1の分類のステータスコードの受信率と前記第1の分類のステータスコード受信率のしきい値、及び、前記第2の分類のステータスコードの受信率と前記第2の分類のステータスコード受信率のしきい値をそれぞれ比較する比較ステップと、
    前記監視分析装置が、前記比較結果に基づいて、サーバの負荷上昇が正常トラヒックによるものであるか異常トラヒックによるものであるかを判定する判定ステップとを有する監視分析方法。
  15. 前記監視分析装置は、前記分類ステップでは、クライアントからのリクエストに問題があることに起因してサーバでリクエストが実行できない旨を示すステータスコードを前記第1の分類に分類し、リクエストは正常であるもののサーバ側の原因でサーバがリクエストを実行できなかった旨を示すステータスコードを前記第2の分類に分類する、請求項14に記載の監視分析方法。
  16. 前記監視分析装置は、前記比較ステップでは、サーバごとに各分類のステータスコードの受信率のしきい値を記憶するしきい値テーブルを参照して、各分類のステータスコードの受信率と前記受信率のしきい値とを比較する、請求項14又は15に記載の監視分析方法。
  17. 前記監視分析装置は、前記分類ステップでは、各分類に分類されるステータスコードのリストを記憶するステータスコードリストを参照して、前記抽出されたステータスコードを分類する、請求項14乃至16の何れか一に記載の監視分析方法。
  18. 前記監視分析装置は、前記判定ステップでは、前記第2の分類のステータスコードの受信率が前記第2の分類のステータスコード受信率のしきい値以上で、かつ、所定の観測時間における前記第1の分類のステータスコードの受信率の最大値が前記第1の分類のステータスコード受信率のしきい値以上のとき、サーバ負荷が異常トラヒックにより上昇したと判定する、請求項14乃至17の何れか一に記載の監視分析方法。
  19. 前記監視分析装置は、前記分類ステップでは、前記抽出されたステータスコードを、ステータスコードの種別に応じて第1〜第3の分類に分類し、前記受信率演算ステップでは、前記第1〜第3の分類のステータスコードの受信率を求め、前記比較ステップでは、前記第1の分類のステータスコードの受信率と前記第1の分類のステータスコード受信率のしきい値、前記第2の分類のステータスコードの受信率と前記第2の分類のステータスコード受信率のしきい値、及び、前記第3の分類のステータスコードの受信率と前記第3の分類のステータスコード受信率のしきい値をそれぞれ比較し、前記判定ステップでは、前記比較結果に基づいて、サーバの負荷上昇が正常トラヒックによるものであるか異常トラヒックによるものであるかを判定する、請求項14乃至17の何れか一記載の監視分析方法。
  20. 前記監視分析装置は、前記分類ステップでは、サーバがクライアントからのリクエストに成功した旨を示すステータスコードを前記第3の分類に分類する、請求項19に記載の監視分析方法。
  21. 前記監視分析装置は、前記判定ステップでは、前記第2の分類のステータスコードの受信率が前記第2の分類のステータスコード受信率のしきい値以上であり、かつ、所定の観測時間における前記第1の分類のステータスコードの受信率の最大値が前記第1の分類のステータスコード受信率のしきい値以上で、前記第3の分類のステータスコードの受信率が前記第3の分類のステータスコード受信率のしきい値以下のとき、サーバ負荷が異常トラヒックにより上昇したと判定する、請求項19又は20に記載の監視分析方法。
  22. 情報処理装置に、サーバからクライアントに送信される所定プロトコルのデータを受信し解析する処理を実行させるプログラムであって、前記情報処理装置に、
    前記受信したデータからステータスコードを抽出する処理と、
    前記抽出されたステータスコードを、ステータスコードの種別に応じて第1の分類及び第2の分類に分類する処理と、
    前記第1の分類のステータスコードの受信率と前記第2の分類のステータスコードの受信率とを求める処理と、
    前記第1の分類のステータスコードの受信率と前記第1の分類のステータスコード受信率のしきい値、及び、前記第2の分類のステータスコードの受信率と前記第2の分類のステータスコード受信率のしきい値をそれぞれ比較する処理と、
    前記比較結果に基づいて、サーバの負荷上昇が正常トラヒックによるものであるか異常トラヒックによるものであるかを判定する処理とを実行させるプログラム。
JP2008018798A 2008-01-30 2008-01-30 監視分析装置、方法、及び、プログラム Expired - Fee Related JP4985435B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2008018798A JP4985435B2 (ja) 2008-01-30 2008-01-30 監視分析装置、方法、及び、プログラム
US12/320,586 US20090193115A1 (en) 2008-01-30 2009-01-29 Monitoring/analyzing apparatus, monitoring/analyzing method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008018798A JP4985435B2 (ja) 2008-01-30 2008-01-30 監視分析装置、方法、及び、プログラム

Publications (2)

Publication Number Publication Date
JP2009182573A true JP2009182573A (ja) 2009-08-13
JP4985435B2 JP4985435B2 (ja) 2012-07-25

Family

ID=40900337

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008018798A Expired - Fee Related JP4985435B2 (ja) 2008-01-30 2008-01-30 監視分析装置、方法、及び、プログラム

Country Status (2)

Country Link
US (1) US20090193115A1 (ja)
JP (1) JP4985435B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011076483A (ja) * 2009-09-30 2011-04-14 Fujitsu Ltd データ管理装置およびデータ管理プログラム

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8626900B2 (en) * 2010-07-02 2014-01-07 At&T Intellectual Property I, L.P. Method and system to proactively identify degraded network performance
KR20120060655A (ko) * 2010-12-02 2012-06-12 한국전자통신연구원 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크
US8704672B2 (en) * 2011-06-20 2014-04-22 Honeywell International Inc. Filter change alert system for an HVAC system
US9635045B2 (en) * 2015-04-23 2017-04-25 Dell Software, Inc. Detecting unauthorized, risky, or inefficient usage of privileged credentials through analysis of remote shell protocol bandwidth
US10797888B1 (en) 2016-01-20 2020-10-06 F5 Networks, Inc. Methods for secured SCEP enrollment for client devices and devices thereof

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004304646A (ja) * 2003-03-31 2004-10-28 Ntt Comware Corp トラフィック制御装置、トラフィック制御プログラム、プログラム記録媒体及びトラフィック制御方法
JP2007267151A (ja) * 2006-03-29 2007-10-11 Nippon Telegr & Teleph Corp <Ntt> 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7599351B2 (en) * 2001-03-20 2009-10-06 Verizon Business Global Llc Recursive query for communications network data
US7480723B2 (en) * 2003-04-08 2009-01-20 3Com Corporation Method and system for providing directory based services
KR100544195B1 (ko) * 2003-08-12 2006-01-23 삼성전자주식회사 모바일 IPv6 상에서의 세션 설정 프로토콜을 이용한세션 설정 방법 및 시스템
EP1619854A1 (en) * 2004-07-21 2006-01-25 Siemens Mobile Communications S.p.A. SIP message extension for push to watch service
WO2006056239A1 (en) * 2004-11-29 2006-06-01 Telecom Italia S.P.A. Method and system for managing denial of service situations
US7684323B2 (en) * 2005-06-29 2010-03-23 Nokia Corporation Service error handling in a communications network
US7613113B1 (en) * 2005-09-30 2009-11-03 At&T Corp. Method and apparatus for introducing a delay during a call setup in a communication network
US20070150773A1 (en) * 2005-12-19 2007-06-28 Nortel Networks Limited Extensions to SIP signaling to indicate SPAM
JP4715521B2 (ja) * 2006-01-10 2011-07-06 株式会社日立製作所 通信システム,及び呼制御サーバ
JP2007207173A (ja) * 2006-02-06 2007-08-16 Fujitsu Ltd 性能分析プログラム、性能分析方法、および性能分析装置
US9054909B2 (en) * 2006-06-30 2015-06-09 Microsoft Technology Licensing, Llc Forwarding calls in real time communications
WO2008009197A1 (fr) * 2006-07-14 2008-01-24 Huawei Technologies Co., Ltd. Réseau par paquets et procédé permettant de réaliser ce réseau
US8270588B2 (en) * 2006-10-04 2012-09-18 Ronald Schwartz Method and system for incoming call management
FR2909823B1 (fr) * 2006-12-06 2012-12-14 Soc Fr Du Radiotelephone Sfr Procede et systeme de gestion de sessions multimedia, permettant de controler l'etablissement de canaux de communication
US20080228926A1 (en) * 2007-03-13 2008-09-18 Asher Shiratzky Methods, media, and systems for balancing session initiation protocol server load
US7936683B2 (en) * 2007-06-20 2011-05-03 At&T Intellectual Property I, L.P. System and method of monitoring network performance
US8447855B2 (en) * 2007-08-08 2013-05-21 Radware, Ltd. Method, system and computer program product for preventing SIP attacks
US8606901B2 (en) * 2008-01-30 2013-12-10 At&T Intellectual Property I, L. P. Facilitating deployment of new application services in a next generation network

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004304646A (ja) * 2003-03-31 2004-10-28 Ntt Comware Corp トラフィック制御装置、トラフィック制御プログラム、プログラム記録媒体及びトラフィック制御方法
JP2007267151A (ja) * 2006-03-29 2007-10-11 Nippon Telegr & Teleph Corp <Ntt> 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011076483A (ja) * 2009-09-30 2011-04-14 Fujitsu Ltd データ管理装置およびデータ管理プログラム

Also Published As

Publication number Publication date
JP4985435B2 (ja) 2012-07-25
US20090193115A1 (en) 2009-07-30

Similar Documents

Publication Publication Date Title
JP4667437B2 (ja) 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム
US10104124B2 (en) Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program
CN113315682B (zh) 生成信息传输性能警告的方法、系统和装置
US9860278B2 (en) Log analyzing device, information processing method, and program
US8959643B1 (en) Detecting malware infestations in large-scale networks
US7804787B2 (en) Methods and apparatus for analyzing and management of application traffic on networks
TW201703465A (zh) 網路異常偵測技術
US9203848B2 (en) Method for detecting unauthorized access and network monitoring apparatus
JP4985435B2 (ja) 監視分析装置、方法、及び、プログラム
JP3957712B2 (ja) 通信監視システム
US9577898B1 (en) Identifying IP traffic from multiple hosts behind a network address translation device
JP4412031B2 (ja) ネットワーク監視システム及びその方法、プログラム
JP2008306706A (ja) シグナリングフローの異常を検知する方法及び装置
JP2007179131A (ja) イベント検出システム、管理端末及びプログラムと、イベント検出方法
JPWO2015141640A1 (ja) 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム
US10348751B2 (en) Device, system and method for extraction of malicious communication pattern to detect traffic caused by malware using traffic logs
EP3718260A1 (en) Systems and methods for determining flow and path analytics of an application of a network using sampled packet inspection
JP5593944B2 (ja) 判定装置、判定方法及びコンピュータプログラム
JP5963974B2 (ja) 情報処理装置及び情報処理方法及びプログラム
US20060272019A1 (en) Intelligent database selection for intrusion detection &amp; prevention systems
JP5531064B2 (ja) 通信装置、通信システム、通信方法、および、通信プログラム
US11895146B2 (en) Infection-spreading attack detection system and method, and program
US20130346602A1 (en) System, method, and computer program product for selecting a wireless network based on security information
KR101587845B1 (ko) 디도스 공격을 탐지하는 방법 및 장치
CN108347447B (zh) 基于周期性通讯行为分析的p2p僵尸网络检测方法、系统

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20100224

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20101202

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111221

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120104

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120305

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120403

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120416

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150511

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees