JP2009200993A - Failure detecting apparatus, failure detection method, and computer program - Google Patents
Failure detecting apparatus, failure detection method, and computer program Download PDFInfo
- Publication number
- JP2009200993A JP2009200993A JP2008042401A JP2008042401A JP2009200993A JP 2009200993 A JP2009200993 A JP 2009200993A JP 2008042401 A JP2008042401 A JP 2008042401A JP 2008042401 A JP2008042401 A JP 2008042401A JP 2009200993 A JP2009200993 A JP 2009200993A
- Authority
- JP
- Japan
- Prior art keywords
- value
- unit
- data
- abnormality detection
- values
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
本発明は、異常検知装置、異常検知方法、及びコンピュータプログラムに関する。 The present invention relates to an abnormality detection device, an abnormality detection method, and a computer program.
従来、データ通信路を流れるデータを監視し異常を検知する異常検知装置が提案されている。異常検知装置としては、パケット毎に異常を検知する装置(特許文献1参照)や、TCP(Transmission Control Protocol)フロー毎に異常を検知する装置(特許文献2参照)が提案されている。このような異常検知装置は、予め定められたルール(シグネチャ)や、通信に関する統計値(平均や標準偏差など)を利用することによって、データ通信路における異常を検知していた。 Conventionally, an anomaly detection device that monitors data flowing through a data communication path and detects an anomaly has been proposed. As an abnormality detection device, a device that detects an abnormality for each packet (see Patent Document 1) and a device that detects an abnormality for each TCP (Transmission Control Protocol) flow (see Patent Document 2) have been proposed. Such an anomaly detection device detects an anomaly in the data communication path by using a predetermined rule (signature) and statistical values (average, standard deviation, etc.) relating to communication.
このような異常検知装置の処理に要する時間は、監視対象となるデータ通信路における通信量に依存する。そのため、近年の通信量の大幅な増加に伴い、検知の処理に要する時間が増大するという問題が生じている。例えば、通信量が10倍になった場合、その処理対象となるデータの量も10倍になる。極端な場合には、実時間で処理を完了できないこともある。このような問題に対し、複数の異常検知装置を用いることによってデータの異常検知処理を分散させて実施し、システム全体で性能向上を図る技術が提案されている(特許文献3参照)。 The time required for the processing of such an abnormality detection device depends on the traffic on the data communication path to be monitored. For this reason, there has been a problem that the time required for the detection process increases with a significant increase in communication volume in recent years. For example, when the communication amount becomes 10 times, the amount of data to be processed becomes 10 times. In extreme cases, processing may not be completed in real time. To solve such a problem, a technique has been proposed in which a plurality of abnormality detection devices are used to perform distributed data abnormality detection processing to improve the performance of the entire system (see Patent Document 3).
しかしながら、上述したシステムは、複数台の異常検知装置を用いるため、コストの増加を招いてしまう。
上記事情に鑑み、本発明は、異常検知に要する処理時間の短縮を可能とする異常検知装置、異常検知方法及びコンピュータプログラムを提供することを目的とする。
However, since the system described above uses a plurality of abnormality detection devices, the cost increases.
In view of the above circumstances, an object of the present invention is to provide an abnormality detection device, an abnormality detection method, and a computer program that can shorten the processing time required for abnormality detection.
本発明の第一の態様は、異常検知装置であって、監視対象となる通信路を流れるデータを受信する受信部と、記受信部によって受信されたデータから、監視項目の値を抽出する抽出部と、監視項目の値の中から、頻出している値を判断する判断部と、頻出していると判断された監視項目の値が抽出されたデータに基づいて異常検知判断を行う検知部と、を備える。
このように構成された本発明の第一の態様では、判断部が監視項目の値について頻出していると判断した値に係るデータに基づいて、検知部が異常検知判断を行う。そのため、検知部が異常検知判断の処理対象とするデータ量は、通信路を通る全てのデータ量に比べて減少する。したがって、異常検知装置は、検知部が異常検知判断の処理に要する処理時間を短縮することを可能とする。
1st aspect of this invention is an abnormality detection apparatus, Comprising: The receiving part which receives the data which flow through the communication channel used as monitoring object, and extraction which extracts the value of a monitoring item from the data received by the recording part , A determination unit that determines a frequently occurring value from among the values of the monitoring item, and a detection unit that performs abnormality detection determination based on data obtained by extracting the value of the monitoring item determined to be frequent And comprising.
In the first aspect of the present invention configured as described above, the detection unit performs the abnormality detection determination based on the data related to the value determined by the determination unit as frequently appearing about the value of the monitoring item. For this reason, the amount of data to be processed by the detection unit for abnormality detection determination is reduced compared to the total amount of data passing through the communication path. Therefore, the abnormality detection device enables the detection unit to shorten the processing time required for the abnormality detection determination process.
本発明の第一の態様は、その抽出部は、受信部によって受信されたデータから、検知部が異常検知判断に用いる検知用情報をさらに抽出し、その検知部は、頻出していると判断された監視項目の値が抽出されたデータから抽出された検知用情報に基づいて異常検知判断を行う、ように構成されても良い。 In the first aspect of the present invention, the extraction unit further extracts detection information used by the detection unit for abnormality detection determination from the data received by the reception unit, and determines that the detection unit is frequently appearing. An abnormality detection determination may be made based on detection information extracted from data obtained by extracting the values of the monitored items.
本発明の第一の態様は、監視項目の値毎に、その監視項目の値が抽出されたデータから抽出された検知用情報に関する統計値を算出する統計値算出部と、監視項目の値毎に、統計値を対応付けて記憶する記憶部と、をさらに備え、検知部は、頻出していると判断された監視項目の値に対応付けて記憶部に記憶される統計値に基づいて異常検知判断を行う、ように構成されても良い。 According to a first aspect of the present invention, for each value of a monitoring item, a statistical value calculation unit that calculates a statistical value related to detection information extracted from the data from which the value of the monitoring item is extracted; And a storage unit that stores the statistical values in association with each other, and the detection unit is abnormal based on the statistical values stored in the storage unit in association with the values of the monitoring items determined to be frequently appearing. It may be configured to perform detection determination.
本発明の第一の態様における判断部は、データの先入れ先出しを行うキューを有し、抽出部によって抽出される監視項目の値を順次キューに入力し、所定のタイミングにおいてキューに格納されている監視項目の値を、頻出している値と判断するように構成されても良い。 The determination unit according to the first aspect of the present invention has a queue for performing first-in first-out of data, sequentially inputs values of monitoring items extracted by the extraction unit to the queue, and stores the monitoring items stored in the queue at a predetermined timing The value of the item may be determined as a frequently appearing value.
本発明の第一の態様における判断部は、データの先入れ先出しを行うキューを有し、抽出部によって抽出される監視項目の値を順次キューに入力し、所定のタイミングにおいてキューに格納されている各監視項目の値の数を取得し、この数に基づいて頻出している値を判断するように構成されても良い。
本発明は、コンピュータを、上述した異常検知装置として動作させるためのコンピュータプログラムとして特定されても良い。また、本発明は、上述した異常検知装置として機能するコンピュータが行う異常検知方法として特定されても良い。
The determination unit according to the first aspect of the present invention has a queue for performing first-in first-out of data, sequentially inputs values of monitoring items extracted by the extraction unit to the queue, and stores each value stored in the queue at a predetermined timing. It may be configured to acquire the number of values of the monitoring item and determine a frequently occurring value based on this number.
The present invention may be specified as a computer program for operating a computer as the above-described abnormality detection device. The present invention may also be specified as an abnormality detection method performed by a computer that functions as the above-described abnormality detection device.
本発明により、異常検知に要する処理時間を短縮することが可能となる。 According to the present invention, it is possible to shorten the processing time required for abnormality detection.
図1は、異常検知装置1の機能構成を示す概略ブロック図である。異常検知装置1は、受信部11、抽出部12、判断部13、記憶部14、検知部15、及び出力部16を備える。異常検知装置1は、演算装置や記憶装置がバスによって接続され、記憶装置に記憶されているプログラムに基づいて動作する情報処理装置を用いて構成することができる。異常検知装置1の各機能部やその一部は、専用のハードウェアを用いて構成されても良い。以下、図1を用いて、異常検知装置1が備える各機能部について説明する。
FIG. 1 is a schematic block diagram illustrating a functional configuration of the
受信部11は、監視対象となるデータ通信路から、この通信路を流れるデータ(例えばIPパケット)を受信する。受信部11は、監視対象となるデータの通信路のプロトコルに応じた構成を有する。例えば、監視対象となるデータの通信路がLAN(Local Area Network)であれば、受信部11は、このLANに接続可能な構成(例えばLANケーブルを接続し信号をデータに変換するためのネットワークインタフェースなど)を有する。また、監視対象となるデータの通信路がWAN(Wide Area Network)であれば、受信部11は、このWANに接続可能な構成(例えば光ファイバーケーブルを接続し信号をデータに変換するためのネットワークインタフェースなど)を有する。このように、受信部11の構成は、異常検知装置1が監視対象となるデータの通信路に応じて適宜変更される。受信部11は、受信されたデータを抽出部12へ転送する。
The receiving unit 11 receives data (for example, IP packets) flowing through this communication path from the data communication path to be monitored. The receiving unit 11 has a configuration according to the protocol of the communication path of data to be monitored. For example, if the data communication path to be monitored is a LAN (Local Area Network), the receiving unit 11 can be connected to the LAN (for example, a network interface for connecting a LAN cable and converting a signal into data). Etc.). If the data communication path to be monitored is a WAN (Wide Area Network), the receiving unit 11 can be connected to the WAN (for example, a network interface for connecting a fiber optic cable and converting a signal into data). Etc.). As described above, the configuration of the reception unit 11 is appropriately changed according to the communication path of the data to be monitored by the
抽出部12は、監視項目の値及び検知用情報を、受信されたデータから抽出する。また、抽出部12は、抽出した監視項目の値及び検知用情報の値を、判断部13へ転送する。
The
監視項目は、監視対象となる通信路から受信されるデータに含まれる項目である。監視項目は、監視対象となる通信路や、検知したい異常の種類などに応じて適宜設定される。
監視項目は、例えば、IPパケットの送信先IPアドレス(送信先のホスト識別情報)、IPパケットの送信元IPアドレス(送信元のホスト識別情報)、使用プロトコル、TCP/IPポート番号などである。
A monitoring item is an item included in data received from a communication path to be monitored. The monitoring items are set as appropriate according to the communication path to be monitored and the type of abnormality to be detected.
The monitoring items include, for example, a transmission destination IP address of the IP packet (transmission destination host identification information), a transmission source IP address of the IP packet (transmission source host identification information), a used protocol, a TCP / IP port number, and the like.
検知用情報は、監視対象となる通信路から受信されるデータに関する情報である。検知用情報は、監視対象となる通信路や、検知したい異常の種類や、検知部15に実装される異常検知技術に応じて適宜設定される。
例えば、監視対象となる通信路がDNSサーバに接続された通信路であって、このDNSサーバに生じる異常を検知する場合、検知用情報は、クエリであるかレスポンスであるかを示す値、クエリのタイプ(例えばA、PTR、MX、NS等)、レスポンスのタイプ(例えばA、PTR、MX、NS等)、レスポンスコード(0、1、2、3、4、5、その他)などである。
The detection information is information relating to data received from the communication path to be monitored. The detection information is appropriately set according to the communication path to be monitored, the type of abnormality to be detected, and the abnormality detection technology installed in the
For example, when a communication path to be monitored is a communication path connected to a DNS server and an abnormality occurring in the DNS server is detected, the detection information is a value indicating whether it is a query or a response, a query Type (eg, A, PTR, MX, NS, etc.), response type (eg, A, PTR, MX, NS, etc.), response code (0, 1, 2, 3, 4, 5, etc.).
また、例えば、監視対象となる通信路がWEBサーバに接続された通信路であって、このWEBサーバに生じる異常を検知する場合、検知用情報は、リクエストであるかレスポンスであるかを示す値、メソッド(GET、HEAD、POSTなど)、リクエストラインの長さ、ステイタスコード、ヘッダのfield−name、ヘッダのfield−nameの長さ、ヘッダのfield−valueの長さ、ヘッダのfield−contentの長さなどである。 In addition, for example, when a communication path to be monitored is a communication path connected to a WEB server and an abnormality occurring in the WEB server is detected, the detection information is a value indicating whether it is a request or a response. , Method (GET, HEAD, POST, etc.), request line length, status code, header field-name, header field-name length, header field-value length, header field-content Such as length.
判断部13は、抽出された監視項目の値の中から、頻出している値を判断する。判断部13は、FIFO(First In First Out)のキューを用いることによって、頻出している値を判断する。この場合、判断部13は、所定の長さのキュー(例えば1万、10万などの長さのキュー)を有し、抽出部12から転送されてきた値を随時このキューへ入力する。そして、判断部13は、この入力を繰り返した後に所定のタイミングにおいて、その時点でキュー内に存在する値を、頻出している値として判断する。そして、判断部13は、頻出していると判断した値(監視項目の値)を、検知部15に通知する。
所定のタイミングとは、所定時間が経過した時点であっても良いし、上述した入力を所定の回数繰り返し実行した時点であっても良い。この所定のタイミングは、設計者によって適宜設定される。
The
The predetermined timing may be a time point when a predetermined time has elapsed, or may be a time point when the above-described input is repeatedly executed a predetermined number of times. This predetermined timing is appropriately set by the designer.
図2(a)〜(e)は、判断部13の処理の具体例を示す図である。以下、図2を用いて、判断部13の処理を詳細に説明する。判断部13は、キューと、カウンタを有する。キューは、長さがnである。即ち、キューは、n個のボックス(ボックス1〜ボックスn)を有し、キューに入力された値をボックス1から順に収める。キューは、新たな値を入力すると、新たに入力された値をボックス1に収め、各ボックスに収められていた値をボックス番号が1つ大きいボックスへ収める。このとき、キューは、ボックスnに収められている値については破棄する。
2A to 2E are diagrams illustrating specific examples of processing of the
カウンタは、キュー内に存在する各値の個数をカウントする。カウンタは、キューがボックス1に新たな値を入力すると、この値のカウンタ値を1つ増加させる。また、カウンタは、キューがボックスnに収められていた値を破棄すると、この値のカウンタ値を1つ減少させる。カウンタがこのように動作することにより、カウンタが有する各カウンタ値は、キュー内に存在する各値の個数を示す。
The counter counts the number of each value present in the queue. When the queue enters a new value in
図2(a)では、キューは、最初の値A1を入力し、ボックス1に収める。このとき、カウンタは、A1のカウンタ値として“1”をカウントする。次に、図2(b)では、キューは次の値A2を入力し、この値をボックス1に収める。このとき、キューは、ボックス1に収められていた値A1を、ボックス2に収める。また、このとき、カウンタは、A1のカウンタ値は変更せず、A2のカウンタ値として“1”をカウントする。次に図2(c)では、キューは次の値A1を入力し、この値をボックス1に収める。このとき、キューは、ボックス1及びボックス2に収められていた値A2及びA1を、それぞれボックス2及びボックス3に収める。また、このとき、カウンタは、A1のカウンタ値を1つ増加させて“2”とし、A2のカウンタ値は変更しない。
In FIG. 2 (a), the queue inputs the
図2(d)は、その後キューが入力処理を繰り返した結果、ボックスnまで値が入っている状態を示す。このとき、キューは、ボックスnに値A1を収めている。また、カウンタは、A1のカウンタ値として“x”を、A2のカウンタ値として“y”を有している。
次に、図2(e)では、図2(d)の状態から新たな値A2をキューが入力する。即ち、キューは、次の値A2を入力し、この値をボックス1に収める。このため、カウンタは、A2のカウンタ値を1つ増加させて、“y+1”とする。また、キューは、ボックスnに収められていた値A1を破棄し、それまでボックスnー1に収められていた値A2をボックスnに収める。そして、カウンタは、破棄された値A1のカウンタ値を1つ減少させて“x−1”とする。このようなカウンタの動作により、判断部13は、キュー内に収められている各値の個数を取得する。そして、判断部13は、キュー内に収められている個数が1以上の値を、頻出している値として判断する。
FIG. 2D shows a state in which values are entered up to box n as a result of the queue repeating the input process thereafter. At this time, the queue stores the value A1 in the box n. The counter has “x” as the counter value of A1 and “y” as the counter value of A2.
Next, in FIG. 2E, the queue receives a new value A2 from the state of FIG. That is, the queue inputs the next value A2 and puts this value in
また、判断部13は、監視項目の値毎に、検知用情報の統計値を算出する。そして、判断部13は、監視項目の値毎に、算出された統計値を対応付けて記憶部14に書き込む。検知情報の統計値とは、検知部15の異常検知処理に用いられる値である。判断部13が算出する統計値は、検知部15に実装される異常検知技術に応じて適宜設定される。
この統計値とは、例えば、同一情報の総数や、所定時間毎に得られた同一情報の総数の平均や、所定時間毎に得られた同一情報の総数の標準偏差や、所定のデータ受信数毎に得られた同一情報の総数の平均や、所定のデータ受信数毎に得られた同一情報の総数の標準偏差、などである。また、検知用情報がデータ長である場合には、統計値は、検知用情報の平均や標準偏差であっても良い。なお、統計値を算出する際の「所定時間」や「所定のデータ受信数」は、判断部13における「所定のタイミング」よりも短いサイクルである。
Further, the
This statistical value is, for example, the total number of the same information, the average of the total number of the same information obtained every predetermined time, the standard deviation of the total number of the same information obtained every predetermined time, or the predetermined number of received data The average of the total number of identical information obtained every time, the standard deviation of the total number of identical information obtained every predetermined number of data receptions, and the like. When the detection information has a data length, the statistical value may be an average or standard deviation of the detection information. The “predetermined time” and the “predetermined number of received data” when calculating the statistical value are shorter than the “predetermined timing” in the
記憶部14は、揮発性記憶装置や不揮発性記憶装置を用いて構成される。図3は、記憶部14の記憶内容を示す図である。記憶部14は、判断部13の指示に従い、監視項目の値毎に、各検知用情報の値の統計値を記憶する。
The
検知部15は、判断部13から、頻出していると判断された監視項目の値について通知を受ける。そして、検知部15は、この監視項目の値が抽出されたデータに基づいて異常検知判断を行う。具体的には、検知部15は、この監視項目の値が抽出されたデータにおいて抽出された検知用情報に基づいて異常検知判断を行う。
検知部15は、頻出していると判断された監視項目の値が抽出されたデータにおいて抽出された検知用情報を、この監視項目の値と対応付けて記憶部14に記憶される統計値を読み出すことによって取得する。そして、検知部15は、この統計値に基づいて異常検知判断を行う。検知部15は、公知のネットワーク監視技術や公知のサーバ監視技術に基づいて異常検知処理を実行する。例えば、検知部15は、各統計値について閾値を有し、監視項目の値と対応付けて記憶部14に記憶される各統計値と閾値とを比較する。そして、検知部15は、閾値を超える統計値があった場合、異常が発生していると判断する。検知部15は、異常が発生していると判断すると、その判断処理に用いた統計値や、この統計値に対応する監視項目の値などの情報を、出力部16へ転送する。
The
The
出力部16は、検知部15の検知結果を出力する。具体的には、出力部16は、検知結果として、検知部15によって異常が発生していると判断された監視項目の値、検知用情報、検知用情報の統計値などを出力する。出力部16は、例えば、検知結果を画像表示装置に表示することによって出力を行う。また、出力部16は、例えば、検知結果をシートに印刷することによって出力を行っても良い。また、出力部16は、例えば、検知結果を記憶装置へ書き出すことによって出力を行っても良い。
The
次に、判断部13の動作について説明する。図4は、判断部13の動作を示すフローチャートである。まず、判断部13は、キュー及びカウンタをリセットし(S01)、計時をスタートする(S02)。次に、判断部13は、計時スタートから所定時間が経過したか否か判断する(S03)。所定時間がまだ経過していなければ(S03−NO)、判断部13は、キューのボックスnが空であるか否か判断する(S04)。ボックスnが空でない場合(S04−NO)、判断部13は、ボックスnの値に係るカウンタ値から1を減算する(S09)。次に、判断部13は、ボックスnに収められている値を破棄する(S10)。次に、判断部13は、抽出部12によって新たに抽出された監視項目の値をキューに入力する(S05)。なお、ボックスnが空である場合(S04−YES)、判断部13は、S09及びS10の処理を行うことなく、S05以降の処理を行なう。
Next, the operation of the
次に、判断部13は、新たに入力された監視項目の値(即ち、ボックス1に収められている値)のカウンタ値に“1”を加算する(S06)。そして、判断部13は、新たに入力された監視項目の値に対応する検知用情報の値の統計値を更新する(S07)。判断部13は、処理終了の指示があったか否か判断する(S08)。処理終了の指示がなければ(S08−NO)、判断部13は、S03の処理に戻り、S03以降の処理を行う。一方、処理終了の指示があった場合は(S08−YES)、判断部13は、処理を終了する。
Next, the
S03の分岐において、所定時間が経過していた場合(S03−YES)、判断部13は、カウンタ値が1以上である監視項目の値を、頻出している値であると判断する(S11)。次に、判断部13は、計時をリセットする(S12)。そして、判断部13は、S01以降の処理を実行する。
When the predetermined time has passed in the branch of S03 (S03-YES), the
異常検知装置1では、判断部13が監視項目の値について頻出していると判断した値に係るデータについてのみ、検知部15が異常検知判断を行う。そのため、検知部15が異常検知判断の処理対象とするデータ量は、通信路を通る全てのデータ量に比べて減少する。したがって、異常検知装置1は、検知部15が異常検知判断の処理に要する処理時間を短縮することを可能とする。
In the
また、従来の異常検知装置は、正常な状態を誤って異常として検知してしまう誤検知の発生という問題も抱えていた。このような問題に対し、異常検知装置1では、上述したように、判断部13が監視項目の値について頻出していると判断した値に係るデータについてのみ、検知部15が異常検知判断を行う。一般的に、頻出する値に係るデータが、重大な影響を及ぼすことが多い。逆に、頻出しない値(言い換えれば、稀にしか出現しない値)に係るデータは、異常を生じさせないことが多い。そのため、異常検知装置1は、頻出しない値に係るデータについて異常検知判断を行わないことによって、誤検知の発生を抑止することを可能とする。
Also, the conventional abnormality detection device has a problem of occurrence of erroneous detection that erroneously detects a normal state as an abnormality. In order to deal with such a problem, in the
また、異常検知装置は、異常検知判断の処理量に応じて出力するデータの量も増加する。このため、従来は不必要な検知結果(言い換えれば、重大な影響を及ぼすことのない軽微な異常についての検知結果)を含むことにより、出力データが増大していた。したがって、通信路や装置の管理者は、膨大な出力データを監視しなければならず、十分に対応することができないという問題が生じていた。このような問題に対し、異常検知装置1は、上述したように頻出しない値に係るデータについて異常検知判断を行わないことによって、不必要な検知結果を出力せず、管理者が監視すべき出力データを軽減することを可能とする。
In addition, the amount of data output from the abnormality detection apparatus increases in accordance with the amount of processing for abnormality detection determination. For this reason, conventionally, output data has been increased by including unnecessary detection results (in other words, detection results for minor abnormalities that do not have a significant influence). Therefore, the administrator of the communication path and device has to monitor a huge amount of output data, and there has been a problem that it cannot cope with it. In response to such a problem, the
<変形例>
抽出部12は、パケット毎ではなく、TCPフロー毎など、監視項目の値を抽出する対象の単位をパケット毎とは異なる単位として動作を行っても良い。
判断部13は、FIFOとは異なるアルゴリズムを用いることによって、頻出している値を判断しても良い。例えば、判断部13は、抽出部12から転送されてきた各値の個数を、所定の回数分カウントする。そして、判断部13は、このカウント値が多いものから順に所定数の値を頻出している値として判断しても良い。また、例えば、判断部13は、このカウント値が閾値を超えたものを、頻出している値として判断しても良い。また、例えば、判断部13は、LRU(Least Recently Used)を用いることによって、頻出している値を判断しても良い。具体的には、判断部13は、複数のボックスを用意し、抽出部12から転送されてきた値(新たに入力する値)を空いているボックスに収め、この時点でこの値を参照したことを記録する。判断部13は、新たに入力する値について、既にいずれかのボックスに同じ値を収めている場合は、その値をその時点で参照したことを記録し、その値を新たにボックスに収めることはしない。また、判断部13は、全てのボックスが値を収めている状態で、どのボックスにも収められていない新たな値を入力した場合、最も長い間参照されていない値を破棄する。そして、判断部13は、この破棄によって空いたボックスに、新たな値を収め、この時点で参照したことを記録する。判断部13は、このような入力を所定の回数繰り返した後に、その時点でボックスに収められている各値を、頻出している値として判断する。
<Modification>
The
The
また、判断部13は、検知用情報の統計値の更新を、新たに抽出された監視項目の値をキューに入力する度に行うのではなく、統計値が得られる所定のタイミングで行っても良い。
また、判断部13は、キューへの入力を繰り返した後に所定のタイミングにおいて、その時点でキュー内に存在する各値のカウント値に基づいて、頻出している値を判断しても良い。例えば、判断部13は、このカウント値が閾値以上である場合に、その値を頻出している値として判断しても良い。また、例えば、判断部13は、このカウント値が大きい順に上位から所定の数の値を、頻出している値として判断しても良い。
Further, the
Further, the
また、判断部13は検知用情報の統計値を取得せず、必要に応じて検知部15が検知用情報の統計値を取得しても良い。この場合、記憶部14は、検知用情報の統計値を記憶せず、検知用情報のみを記憶しても良い。
また、検知用情報は、監視項目と重複しても良い。即ち、検知用情報は、パケットの送信先のIPアドレス、送信先のホスト名、送信元のIPアドレス、送信元のホスト名、使用プロトコル、ポート番号などを含んでも良い。
The
Further, the detection information may overlap with the monitoring item. That is, the detection information may include a packet transmission destination IP address, a transmission destination host name, a transmission source IP address, a transmission source host name, a protocol used, a port number, and the like.
また、監視項目は、複数の項目の組み合わせであっても良い。例えば、監視項目は、パケットの送信先のIPアドレス及びその使用プロトコルの組み合わせであっても良い。この場合、抽出部12は、この組み合わせを抽出する。また、判断部13は、この組み合わせについて頻出する組み合わせを判断する。
Further, the monitoring item may be a combination of a plurality of items. For example, the monitoring item may be a combination of a packet transmission destination IP address and a protocol used. In this case, the
また、判断部13は、検知用情報の統計値である平均値や標準偏差を更新する際、式1〜式3を用いてこれらの新たな値を算出しても良い。式1〜式3において、A(n)は、新たな平均値、Q(n)は新たな二乗平均値、S(n)は新たな標準偏差を示す。また、A(n−1)は、更新前における最新の平均値、Q(n−1)は更新前における最新の二乗平均値、S(n−1)は更新前における最新の標準偏差を示す。また、x(n)は、新たな検知用情報を示す。また、nは、統計値の算出に用いられる検知用情報の数を示す。判断部13は、式1を用いることにより、計算量を削減し、より高速に処理を実行することが可能となる。
The
なお、上述した実施形態における異常検知装置1の一部、例えば、判断部13や検知部15の機能をコンピュータで実現するようにしても良い。その場合、この情報管理機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによって実現しても良い。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時刻の間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時刻プログラムを保持しているものも含んでも良い。また上記プログラムは、前述した機能の一部を実現するためのものであっても良く、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであっても良い。
以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
In addition, you may make it implement | achieve the function of a part of
The embodiment of the present invention has been described in detail with reference to the drawings. However, the specific configuration is not limited to this embodiment, and includes designs and the like that do not depart from the gist of the present invention.
1…異常検知装置, 11…受信部, 12…抽出部, 13…判断部, 14…記憶部, 15…検知部, 16…出力部
DESCRIPTION OF
Claims (7)
前記受信部によって受信されたデータから、監視項目の値を抽出する抽出部と、
前記監視項目の値の中から、頻出している値を判断する判断部と、
頻出していると判断された前記監視項目の値が抽出されたデータに基づいて異常検知判断を行う検知部と、
を備える異常検知装置。 A receiver that receives data flowing through the communication path to be monitored;
An extraction unit for extracting the value of the monitoring item from the data received by the reception unit;
A determination unit for determining a frequently appearing value from the values of the monitoring items;
A detection unit that performs abnormality detection determination based on data extracted from the value of the monitoring item determined to be frequent;
An abnormality detection device comprising:
前記検知部は、頻出していると判断された前記監視項目の値が抽出されたデータから抽出された前記検知用情報に基づいて異常検知判断を行う、
請求項1に記載の異常検知装置。 The extraction unit further extracts detection information used by the detection unit for abnormality detection determination from the data received by the reception unit,
The detection unit performs an abnormality detection determination based on the detection information extracted from data obtained by extracting the value of the monitoring item determined to be frequent.
The abnormality detection device according to claim 1.
前記監視項目の値毎に、前記統計値を対応付けて記憶する記憶部と、をさらに備え、
前記検知部は、頻出していると判断された前記監視項目の値に対応付けて前記記憶部に記憶される前記統計値に基づいて異常検知判断を行う、
請求項2に記載の異常検知装置。 For each monitoring item value, a statistical value calculation unit that calculates a statistical value related to the detection information extracted from the data from which the monitoring item value is extracted;
A storage unit that associates and stores the statistical value for each value of the monitoring item;
The detection unit performs an abnormality detection determination based on the statistical value stored in the storage unit in association with the value of the monitoring item determined to be frequent.
The abnormality detection device according to claim 2.
前記コンピュータが、受信されたデータから、監視項目の値を抽出するステップと、
前記コンピュータが、前記監視項目の値の中から、頻出している値を判断するステップと、
前記コンピュータが、頻出していると判断された前記監視項目の値が抽出されたデータに基づいて異常検知判断を行うステップと、
を備える異常検知方法。 A computer receiving data flowing through a communication path to be monitored;
The computer extracting the value of the monitoring item from the received data;
The computer determining a frequently occurring value from the values of the monitoring items;
The computer performs an abnormality detection determination based on data from which the value of the monitoring item determined to be frequently generated is extracted;
An abnormality detection method comprising:
監視対象となる通信路を流れるデータを受信するステップと、
受信されたデータから、監視項目の値を抽出するステップと、
前記監視項目の値の中から、頻出している値を判断するステップと、
頻出していると判断された前記監視項目の値が抽出されたデータに基づいて異常検知判断を行うステップと、
を実行させるためのコンピュータプログラム。 Against the computer
Receiving data flowing through the communication path to be monitored;
Extracting the value of the monitoring item from the received data;
Determining a frequently occurring value from the values of the monitoring items;
Performing an abnormality detection determination based on data extracted from the value of the monitoring item that is determined to be frequent;
A computer program for running.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008042401A JP2009200993A (en) | 2008-02-25 | 2008-02-25 | Failure detecting apparatus, failure detection method, and computer program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008042401A JP2009200993A (en) | 2008-02-25 | 2008-02-25 | Failure detecting apparatus, failure detection method, and computer program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009200993A true JP2009200993A (en) | 2009-09-03 |
Family
ID=41143983
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008042401A Pending JP2009200993A (en) | 2008-02-25 | 2008-02-25 | Failure detecting apparatus, failure detection method, and computer program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2009200993A (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011113239A1 (en) * | 2010-03-19 | 2011-09-22 | 中国科学院计算机网络信息中心 | Flow detection method for domain name system and domain name server thereof |
CN104363251A (en) * | 2014-12-12 | 2015-02-18 | 北京奇虎科技有限公司 | Website security detecting method and device |
CN104363252A (en) * | 2014-12-12 | 2015-02-18 | 北京奇虎科技有限公司 | Website security detecting method and device |
CN104378389A (en) * | 2014-12-12 | 2015-02-25 | 北京奇虎科技有限公司 | Website security detecting method and device |
-
2008
- 2008-02-25 JP JP2008042401A patent/JP2009200993A/en active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011113239A1 (en) * | 2010-03-19 | 2011-09-22 | 中国科学院计算机网络信息中心 | Flow detection method for domain name system and domain name server thereof |
CN104363251A (en) * | 2014-12-12 | 2015-02-18 | 北京奇虎科技有限公司 | Website security detecting method and device |
CN104363252A (en) * | 2014-12-12 | 2015-02-18 | 北京奇虎科技有限公司 | Website security detecting method and device |
CN104378389A (en) * | 2014-12-12 | 2015-02-25 | 北京奇虎科技有限公司 | Website security detecting method and device |
CN104363252B (en) * | 2014-12-12 | 2016-09-28 | 北京奇虎科技有限公司 | Website security detection method and device |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11902096B2 (en) | Collection of error packet information for network policy enforcement | |
US7609629B2 (en) | Network controller and control method with flow analysis and control function | |
US10097464B1 (en) | Sampling based on large flow detection for network visibility monitoring | |
JP5050781B2 (en) | Malware detection device, monitoring device, malware detection program, and malware detection method | |
US9979624B1 (en) | Large flow detection for network visibility monitoring | |
US9961000B2 (en) | Estimation of network path segment delays | |
US10536360B1 (en) | Counters for large flow detection | |
US20110066896A1 (en) | Attack packet detecting apparatus, attack packet detecting method, video receiving apparatus, content recording apparatus, and ip communication apparatus | |
JP3957712B2 (en) | Communication monitoring system | |
CN106921665B (en) | Message processing method and network equipment | |
JP2015173406A (en) | Analysis system, analysis device, and analysis program | |
US20190068502A1 (en) | Information processing apparatus, method and non-transitory computer-readable storage medium | |
CN112511517A (en) | Mail detection method, device, equipment and medium | |
JP5963974B2 (en) | Information processing apparatus, information processing method, and program | |
JP2009200993A (en) | Failure detecting apparatus, failure detection method, and computer program | |
US9485166B2 (en) | Network abnormality detection system, measurement apparatus, and analysis apparatus | |
US9413627B2 (en) | Data unit counter | |
JP7003467B2 (en) | Packet classification program, packet classification method and packet classification device | |
US20160065617A1 (en) | Image monitoring framework | |
JP2005321910A (en) | Log data management system, method and program | |
US11265237B2 (en) | System and method for detecting dropped aggregated traffic metadata packets | |
US20190166043A1 (en) | Information processing apparatus and method thereof | |
US10305754B2 (en) | Apparatus and method to collect packets related to abnormal connection | |
US9306854B2 (en) | Method and apparatus for diagnosing interface oversubscription and microbursts | |
JP2003264593A (en) | Service quality measuring system and service quality measuring method to be used for the same |