JP2010233147A - フローサンプリング方法およびフローサンプリングシステム - Google Patents
フローサンプリング方法およびフローサンプリングシステム Download PDFInfo
- Publication number
- JP2010233147A JP2010233147A JP2009080942A JP2009080942A JP2010233147A JP 2010233147 A JP2010233147 A JP 2010233147A JP 2009080942 A JP2009080942 A JP 2009080942A JP 2009080942 A JP2009080942 A JP 2009080942A JP 2010233147 A JP2010233147 A JP 2010233147A
- Authority
- JP
- Japan
- Prior art keywords
- sampling
- flow
- router
- flow sampling
- analysis device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】コストを抑えると共に、偏りの少ないフローサンプリングを実現する。
【解決手段】アクセスリスト機能を有するルータ1と、フローの統計的な解析を行なう解析装置2とから構成されるフローサンプリングシステムであって、解析装置2は、サンプリングレートを含むサンプリングパラメータを設定し、フローサンプリングのビット数に対応し各ビット間で重複しない複数のランダムビットマスクを生成し、生成した複数のランダムビットマスクをアクセスリストに変換してルータ1に適用し、ルータ1は、アクセスリストに基づいてフローサンプリングを行ない、解析装置2は、ルータ1でフローサンプリングされたフローの統計的な解析を行なう。
【選択図】図1
【解決手段】アクセスリスト機能を有するルータ1と、フローの統計的な解析を行なう解析装置2とから構成されるフローサンプリングシステムであって、解析装置2は、サンプリングレートを含むサンプリングパラメータを設定し、フローサンプリングのビット数に対応し各ビット間で重複しない複数のランダムビットマスクを生成し、生成した複数のランダムビットマスクをアクセスリストに変換してルータ1に適用し、ルータ1は、アクセスリストに基づいてフローサンプリングを行ない、解析装置2は、ルータ1でフローサンプリングされたフローの統計的な解析を行なう。
【選択図】図1
Description
本発明は、アクセスリスト機能を有するルータおよびフローの統計的な解析を行なう解析装置を用いるフローサンプリング方法およびフローサンプリングシステムに関する。
従来から、観測した膨大な量のトラヒックデータをリアルタイムで処理するためのサンプリング技術が提案されている。サンプリング方法には、パケットサンプリングとフローサンプリングの2種類が存在する。パケットサンプリングは、ハードウェア実装が容易であるという利点があり、非特許文献1を中心として数多くの製品が存在する。一方、フローサンプリングは、フロー統計量の推定精度が高いという利点がある。このフローサンプリングについては、非特許文献3や非特許文献4に具体的な技術が開示されている。
Sampled NetFlow, http://www.cisco.com/en/US/docs/ios/12_0s/feature/guide/12s_sanf.html
P.Tune and D.Veitch, "Towards Optimal Sampling for Flow Size Estimation," ACM SIGCOMM IMC, Oct. 2008.
NetFlow Input Filters, http://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gtnfinpf.html
小林,西野,木村,石橋,"フロー計測技術による大規模VoIPトラヒック品質計測システムの提案," 信学技法,NS2008-89,Nov. 2008.
C.Estan, K.Keys, D.Moore and G.Varghese, "Building a better NetFlow," ACM SIGCOMM IMC, Sep. 2003.
しかしながら、パケットサンプリングは、フロー統計量(例えば、フロー当たりのパケット数)の推定精度が悪いという欠点を有している。この欠点を克服するために、パケットの特定のフィールド情報を利用する手法が提案されている。非特許文献2は、2種類のパケットサンプリング、すなわち、TCPのSYNパケットのサンプリングと、SYN以外のパケットのサンプリングを行うDual Samplingを提案している。しかし、TCPに特化しているため、TCP以外のプロトコル(例えば、UDP)には適用することができない。
一方、フローサンプリングは、フロー単位でサンプリングを行うため、基本的に、全パケットのヘッダ情報を参照してフローを判断しなければならない。非特許文献3や非特許文献4に開示されている手法では、基本的に専用のハードウェアを必要とするため、コストが高い。また、特定のプロトコルフィールドのような単純なアクセスリストでは、フロー統計量の推定結果に偏りが生じる恐れがある。この偏りを解消するために、非特許文献5に開示されているように、フローを定義するパラメータ(例えば、5-tuple情報)をハッシュ関数にかけ、その値から決定する手法が考えられる。しかし、任意のプロトコルフィールドをハッシュ関数にかけるハードウェアが必要となり、現状では簡易に実現することはできない。
本発明は、このような事情に鑑みてなされたものであり、実現のためのコストを抑えると共に、偏りの少ないフローサンプリングを実現することができるフローサンプリング方法およびフローサンプリングシステムを提供することを目的とする。
(1)上記の目的を達成するために、本発明は、以下のような手段を講じた。すなわち、本発明のフローサンプリング方法は、アクセスリスト機能を有するルータおよびフローの統計的な解析を行なう解析装置を用いるフローサンプリング方法であって、前記解析装置において、サンプリングレートを含むサンプリングパラメータを設定するステップと、フローサンプリングのビット数に対応し各ビット間で重複しない複数のランダムビットマスクを生成するステップと、前記生成された複数のランダムビットマスクをアクセスリストに変換して前記ルータに適用するステップと、前記ルータにおいて、フローサンプリングを行なうステップと、前記解析装置において、前記ルータでフローサンプリングされたフローの統計的な解析を行なうステップと、を少なくとも含むことを特徴としている。
このように、フローサンプリングのサンプリングレートに対応し、相互に完全一致しない複数のランダムビットマスクを生成し、その複数のランダムビットマスクをアクセスリストに変換してルータに適用し、ルータにおいて、フローサンプリングを行なうので、安価な機器のみでフローサンプリングを行なうことが可能となる。また、複数のランダムビットマスクを用いるため、偏りの少ないフローサンプリングを実現することが可能となる。
(2)また、本発明のフローサンプリング方法は、前記ルータにおけるフローサンプリングが開始してから第1の所定時間が経過したかどうかを判定するステップと、前記判定の結果、前記ルータにおけるフローサンプリングが開始してから第1の所定時間が経過したときに、再度複数のランダムビットマスクを生成するステップと、をさらに含むことを特徴としている。
このように、ルータにおけるフローサンプリングが開始してから第1の所定時間が経過したかどうかを判定し、判定の結果、ルータにおけるフローサンプリングが開始してから第1の所定時間が経過したときに、再度複数のランダムビットマスクを生成するので、設定したサンプリングレートに近づけることが可能となり、より精度の高いフローサンプリングを実施することが可能となる。
(3)また、本発明のフローサンプリング方法は、前記ルータにおけるフローサンプリングが開始してから第2の所定時間が経過したかどうかを判定するステップと、前記判定の結果、前記ルータにおけるフローサンプリングが開始してから第2の所定時間が経過したときに、前記解析装置においてビット毎のエントロピーを計算するステップと、前記エントロピーが大きいビットから順に前記ランダムビットマスクの生成に使用することを特徴としている。
このように、ルータにおけるフローサンプリングが開始してから第2の所定時間が経過したかどうかを判定し、判定の結果、ルータにおけるフローサンプリングが開始してから第2の所定時間が経過したときに、解析装置においてビット毎のエントロピーを計算し、エントロピーが大きいビットから順にランダムビットマスクの生成に使用するので、例えば、IPアドレスを構成するビットが、高いエントロピーである場合、偏りの少ないフローサンプリングを実現することが可能となる。
(4)また、本発明のフローサンプリングシステムは、アクセスリスト機能を有するルータと、フローの統計的な解析を行なう解析装置とから構成されるフローサンプリングシステムであって、前記解析装置は、サンプリングレートを含むサンプリングパラメータを設定し、フローサンプリングのサンプリングレートに対応し、相互に完全一致しない複数のランダムビットマスクを生成し、前記生成した複数のランダムビットマスクをアクセスリストに変換して前記ルータに適用し、前記ルータは、前記アクセスリストに基づいてフローサンプリングを行ない、前記解析装置は、前記ルータでフローサンプリングされたフローの統計的な解析を行なうことを特徴としている。
このように、フローサンプリングのビット数に対応し各ビット間で重複しない複数のランダムビットマスクを生成し、その複数のランダムビットマスクをアクセスリストに変換してルータに適用し、ルータにおいて、フローサンプリングを行なうので、安価な機器のみでフローサンプリングを行なうことが可能となる。また、複数のランダムビットマスクを用いるため、偏りの少ないフローサンプリングを実現することが可能となる。
本発明によれば、フローサンプリングのサンプリングレートに対応し、相互に完全一致しない複数のランダムビットマスクを生成し、その複数のランダムビットマスクをアクセスリストに変換してルータに適用し、ルータにおいて、フローサンプリングを行なうので、安価な機器のみでフローサンプリングを行なうことが可能となる。また、複数のランダムビットマスクを用いるため、偏りの少ないフローサンプリングを実現することが可能となる。
図1は、本実施形態に係るフローサンプリングシステムの概略構成を示す図である。このフローサンプリングシステムは、ルータ1、解析装置2から構成されている。ルータ100は、網1と網2とを中継し、ルータ1にフローを提供する。ルータ1は、アクセスリストフィルタリング機能を有している。解析装置2は、例えば、汎用PCで構成され、ルータ1でサンプリングされたフローを解析する機能を有し、エントロピー計算用の0/1カウントバッファを備えている。なお、アクセスリスト(access control list)とは、一般的に、受信したフロー(パケット)が正規のものであるか、不正なものであるか判断するために用いるリストで、「ACL(アクル)」とも呼称されるものである。そして、アクセスリストフィルタリングとは、送信元と送信先のIPアドレス、ポート番号、プロトコルなどを指定してフィルタリングする機能である。
解析装置2は、後述するように、サンプリングレートを含むサンプリングパラメータを設定し、フローサンプリングのサンプリングレートに対応し、相互に完全一致しない複数のランダムビットマスクを生成する。そして、生成した複数のランダムビットマスクをアクセスリストに変換してルータ1に適用する。ルータ1は、アクセスリストに基づいてフローサンプリングを行なう。解析装置2は、ルータ1でフローサンプリングされたフローの統計的な解析を行なう。以下、本実施形態に係るフローサンプリングシステムの動作手順について説明する。
[第1の実施形態]
図2は、第1の実施形態に係る動作手順を示すフローチャートである。手順1として、解析装置2は、サンプリングレート1/R、サンプリングインターバルT、インターバル閾値S、フローサンプリングに利用可能なプロトコルフィールドのビット数A(但し、Aは一般的にはIPアドレスが該当し、IPv4では、送信元と宛先IPアドレスの両方を使用する場合64となる。)、サンプリングレートの精度1/εを決定する(ステップS1)。
図2は、第1の実施形態に係る動作手順を示すフローチャートである。手順1として、解析装置2は、サンプリングレート1/R、サンプリングインターバルT、インターバル閾値S、フローサンプリングに利用可能なプロトコルフィールドのビット数A(但し、Aは一般的にはIPアドレスが該当し、IPv4では、送信元と宛先IPアドレスの両方を使用する場合64となる。)、サンプリングレートの精度1/εを決定する(ステップS1)。
次に、手順2として、解析装置2は、次式を満たすように、Niを定める(ステップS2)。
ただし、Ni(i=1,2,・・・,B)、N1<N2<・・・<NB、α<1/εである。
次に、手順3として、AビットからNiビット分をランダムに選択して、ランダムビットマスクを生成する(ステップS3)。この際、Ni<=A/2ならば、ビットマスクに使用するビットを、Ni>A/2ならばビットマスクにしないビットを選択する。これにより、ビットマスク生成のために選択すべきビット数は高々“A/2”となる。さらに値{0,1}をランダムに割り当てる。
このとき、決定したNiビットに対するビットマスクの重複チェックを行う(ステップS4)。Nj(j=1,2,・・・,i−1)に対するビットマスクが、Niビットに対するビットマスクの一部に完全一致する場合、ステップS3へ遷移して、再度ランダムな割り当てを行なう。一方、ステップS4において、Nj(j=1,2,・・・,i−1)に対するビットマスクが、Niビットに対するビットマスクの一部と完全一致しなくなったら、ステップS5へ遷移する。このようにして、各Niビット間で重複のないB個のビットマスクを生成する。
手順4として、解析装置2は、ビットマスクをルータ1に適用して、フローサンプリングを実施する(ステップS5)。すなわち、解析装置2は、生成されたNi(i=1,2,・・・,B)それぞれに対するビットマスクを、アクセスリストに変換し、ルータ1へ適用し、フローサンプリングを行う。
以上説明したように、第1の実施形態によれば、ランダムビットマスクを生成し、その複数のランダムビットマスクをアクセスリストに変換してルータ1に適用し、ルータ1において、フローサンプリングを行なうので、安価な機器のみでフローサンプリングを行なうことが可能となる。また、複数のランダムに生成されたビットマスクを用いるため、偏りの少ないフローサンプリングを実現することが可能となる。
[第2の実施形態]
図3は、第2の実施形態に係る動作手順を示すフローチャートである。ステップS1からステップS5までは、図2に示した第1の実施形態と同様である。第2の実施形態では、フローサンプリング開始から時間T(第1の所定時間)が経過したかどうかを判断する(ステップS6)。フローサンプリング開始から時間Tが経過していない場合は、ステップS5へ遷移してフローサンプリングを継続する。一方、ステップS6において、フローサンプリング開始から時間Tが経過した場合は、ステップS3へ遷移し、解析装置2において、各Aビットの0/1カウントバッファを更新する。更新は、フローが終了した時点でも良い。
図3は、第2の実施形態に係る動作手順を示すフローチャートである。ステップS1からステップS5までは、図2に示した第1の実施形態と同様である。第2の実施形態では、フローサンプリング開始から時間T(第1の所定時間)が経過したかどうかを判断する(ステップS6)。フローサンプリング開始から時間Tが経過していない場合は、ステップS5へ遷移してフローサンプリングを継続する。一方、ステップS6において、フローサンプリング開始から時間Tが経過した場合は、ステップS3へ遷移し、解析装置2において、各Aビットの0/1カウントバッファを更新する。更新は、フローが終了した時点でも良い。
以上説明したように、第2の実施形態によれば、ルータ1におけるフローサンプリングが開始してから時間T(第1の所定時間)が経過したかどうかを判定し、判定の結果、ルータ1におけるフローサンプリングが開始してから時間Tが経過したときに、再度複数のランダムビットマスクを生成するので、生成されたビットマスクが所望のサンプリングレートとならない場合でも、定期的に更新することで、この影響を和らげることが可能となる。
[第3の実施形態]
図4は、第3の実施形態に係る動作手順を示すフローチャートである。解析装置2は、サンプリングレート1/R、サンプリングインターバルT、インターバル閾値S、フローサンプリングに利用可能なプロトコルフィールドのビット数A(但し、Aは一般的にはIPアドレスが該当し、IPv4では、送信元と宛先IPアドレスの両方を使用する場合64となる。)、サンプリングレートの精度1/εを決定する(ステップS1)。
図4は、第3の実施形態に係る動作手順を示すフローチャートである。解析装置2は、サンプリングレート1/R、サンプリングインターバルT、インターバル閾値S、フローサンプリングに利用可能なプロトコルフィールドのビット数A(但し、Aは一般的にはIPアドレスが該当し、IPv4では、送信元と宛先IPアドレスの両方を使用する場合64となる。)、サンプリングレートの精度1/εを決定する(ステップS1)。
次に、解析装置2は、第1の実施形態で示した数式を満たすように、Niを定める(ステップS2)。ただし、Ni(i=1,2,・・・,B)、N1<N2<・・・<NB、α<1/εである。
次に、手順5として、最初のフローサンプリング開始から、時間nT(n<S)が経過したかどうかを判断し(ステップ7)、時間nTが経過していないならば、AビットからNiビット分をランダムに選択して、ランダムビットマスクを生成する(ステップS3)。この際、Ni<=A/2ならば、ビットマスクに使用するビットを、Ni>A/2ならばビットマスクにしないビットを選択する。これにより、ビットマスク生成のために選択すべきビット数は高々“A/2”となる。さらに値{0,1}をランダムに割り当てる。
このとき、決定したNiビットに対するビットマスクの重複チェックを行う(ステップS4)。Nj(j=1,2,・・・,i−1)に対するビットマスクが、Niビットに対するビットマスクの一部に完全一致する場合、ステップS3へ遷移して、再度ランダムな割り当てを行なう。一方、ステップS4において、Nj(j=1,2,・・・,i−1)に対するビットマスクが、Niビットに対するビットマスクの一部と完全一致しなくなったら、ステップS5へ遷移する。このようにして、各Niビット間で重複のないビットマスクを生成する。
一方、ステップS7において、最初のフローサンプリング開始から時間nT(n>=S)が経過した場合は、手順6として、解析装置2は、エントロピーベースのランダムビットマスクを生成する(ステップS8)。すなわち、解析装置2は、0/1個数カウンタを用い、ビット毎のエントロピーEi(i=1,2,・・・,A)を計算する。i番目のビットの0の個数をMi0、1の個数をMi1、i番目のビットが0である確率をpi0、1である確率をpi1とすると、エントロピーは、以下のように計算される。
Ei=-pi0log(pi0)-pi1log(pi1)
pi0=Mi0/(Mi0+Mi1)
pi1=Mi1/(Mi0+Mi1)
Ei=-pi0log(pi0)-pi1log(pi1)
pi0=Mi0/(Mi0+Mi1)
pi1=Mi1/(Mi0+Mi1)
このように求められたA個のエントロピーの大きなものから順番にNiビットのビットマスクに使用する。更に、値{0,1}をランダムに割り当ててビットマスクを生成し、ステップS5へ遷移する。
解析装置2は、ビットマスクをルータ1に適用して、フローサンプリングを実施する(ステップS5)。すなわち、解析装置2は、生成されたNi(i=1,2,・・・,B)それぞれに対するビットマスクを、アクセスリストに変換し、ルータ1へ適用し、フローサンプリングを行う。
次に、フローサンプリング開始から時間T(第1の所定時間)が経過したかどうかを判断する(ステップS6)。フローサンプリング開始から時間Tが経過していない場合は、ステップS5へ遷移してフローサンプリングを継続する。一方、ステップS6において、フローサンプリング開始から時間Tが経過した場合は、ステップS7へ遷移して、同様の処理を実行する。
以上説明したように、ルータ1におけるフローサンプリングが開始してから時間nT(n>=S)(第2の所定時間)経過後に、解析装置2においてビット毎のエントロピーを計算し、エントロピーが大きいビットから順にランダムビットマスクの生成に使用するので、例えば、IPアドレスを構成するビットが、高いエントロピーである場合、偏りの少ないフローサンプリングを実現することが可能となる。
[第4の実施形態]
最初のフローサンプリング開始から時間nT(n>=S)が経過している場合は、解析装置2で計算する0/1個数カウンタを使って実際のフローサンプリングレートR’を計算することができる。
最初のフローサンプリング開始から時間nT(n>=S)が経過している場合は、解析装置2で計算する0/1個数カウンタを使って実際のフローサンプリングレートR’を計算することができる。
フローサンプリング後のトラヒックにおけるフロー数(F)と、R’とから、全フロー数(AF)を次式のように推定することができる。
AF=R’×F
AF=R’×F
本実施形態によれば、観測したフロー(パケット群)に対して、アクセスリストを適用することによって、IPアドレスを構成するビットのエントロピーが高い場合、偏りの少ないフローサンプリングが実現することができる。
1 ルータ
2 解析装置
100 ルータ
2 解析装置
100 ルータ
Claims (4)
- アクセスリスト機能を有するルータおよびフローの統計的な解析を行なう解析装置を用いるフローサンプリング方法であって、
前記解析装置において、
サンプリングレートを含むサンプリングパラメータを設定するステップと、
フローサンプリングのサンプリングレートに対応し、相互に完全一致しない複数のランダムビットマスクを生成するステップと、
前記生成された複数のランダムビットマスクをアクセスリストに変換して前記ルータに適用するステップと、
前記ルータにおいて、フローサンプリングを行なうステップと、
前記解析装置において、前記ルータでフローサンプリングされたフローの統計的な解析を行なうステップと、を少なくとも含むことを特徴とするフローサンプリング方法。 - 前記ルータにおけるフローサンプリングが開始してから第1の所定時間が経過したかどうかを判定するステップと、
前記判定の結果、前記ルータにおけるフローサンプリングが開始してから第1の所定時間が経過したときに、再度複数のランダムビットマスクを生成するステップと、をさらに含むことを特徴とする請求項1記載のフローサンプリング方法。 - 前記ルータにおけるフローサンプリングが開始してから第2の所定時間が経過したかどうかを判定するステップと、
前記判定の結果、前記ルータにおけるフローサンプリングが開始してから第2の所定時間が経過したときに、前記解析装置においてビット毎のエントロピーを計算するステップと、
前記エントロピーが大きいビットから順に前記ランダムビットマスクの生成に使用することを特徴とする請求項1または請求項2記載のフローサンプリング方法。 - アクセスリスト機能を有するルータと、フローの統計的な解析を行なう解析装置とから構成されるフローサンプリングシステムであって、
前記解析装置は、
サンプリングレートを含むサンプリングパラメータを設定し、フローサンプリングのサンプリングレートに対応しサンプリングレートに対応し、相互に完全一致しない複数のランダムビットマスクを生成し、前記生成した複数のランダムビットマスクをアクセスリストに変換して前記ルータに適用し、
前記ルータは、前記アクセスリストに基づいてフローサンプリングを行ない、
前記解析装置は、前記ルータでフローサンプリングされたフローの統計的な解析を行なうことを特徴とするフローサンプリングシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009080942A JP5108816B2 (ja) | 2009-03-30 | 2009-03-30 | フローサンプリング方法およびフローサンプリングシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009080942A JP5108816B2 (ja) | 2009-03-30 | 2009-03-30 | フローサンプリング方法およびフローサンプリングシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010233147A true JP2010233147A (ja) | 2010-10-14 |
| JP5108816B2 JP5108816B2 (ja) | 2012-12-26 |
Family
ID=43048504
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009080942A Expired - Fee Related JP5108816B2 (ja) | 2009-03-30 | 2009-03-30 | フローサンプリング方法およびフローサンプリングシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5108816B2 (ja) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001268131A (ja) * | 2000-03-01 | 2001-09-28 | Tektronix Inc | エンド・ツー・エンド特性の測定方法及び装置 |
| JP2008219685A (ja) * | 2007-03-07 | 2008-09-18 | Nippon Telegr & Teleph Corp <Ntt> | 経路情報・mib情報をもとにしたトラフィック監視方法 |
-
2009
- 2009-03-30 JP JP2009080942A patent/JP5108816B2/ja not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001268131A (ja) * | 2000-03-01 | 2001-09-28 | Tektronix Inc | エンド・ツー・エンド特性の測定方法及び装置 |
| JP2008219685A (ja) * | 2007-03-07 | 2008-09-18 | Nippon Telegr & Teleph Corp <Ntt> | 経路情報・mib情報をもとにしたトラフィック監視方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5108816B2 (ja) | 2012-12-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10673877B2 (en) | Method and apparatus for detecting port scans in a network | |
| Mehdi et al. | Revisiting traffic anomaly detection using software defined networking | |
| Phan et al. | OpenFlowSIA: An optimized protection scheme for software-defined networks from flooding attacks | |
| US10757136B2 (en) | Botnet beaconing detection and mitigation | |
| Tammaro et al. | Exploiting packet‐sampling measurements for traffic characterization and classification | |
| US20160036836A1 (en) | Detecting DGA-Based Malicious Software Using Network Flow Information | |
| US10326736B2 (en) | Feature-based classification of individual domain queries | |
| TW202019127A (zh) | 異常流量偵測裝置及其異常流量偵測方法 | |
| Kumano et al. | Towards real-time processing for application identification of encrypted traffic | |
| Ghita et al. | Network tomography on correlated links | |
| François et al. | Network security through software defined networking: a survey | |
| Chen et al. | Spectral analysis of TCP flows for defense against reduction-of-quality attacks | |
| Mori et al. | Identifying heavy-hitter flows from sampled flow statistics | |
| Alcorn et al. | A framework for large-scale modeling and simulation of attacks on an OpenFlow network | |
| Zhang et al. | Towards verifiable performance measurement over in-the-cloud middleboxes | |
| JP5108816B2 (ja) | フローサンプリング方法およびフローサンプリングシステム | |
| JP5180247B2 (ja) | パケットサンプリング装置と方法およびプログラム | |
| DE602007014032D1 (de) | Verfahren und vorrichtung zur netzwerkverknüpfung über eine mehrfachmeldung mittels eines tdma-steuerungsschlitz-verfahrens | |
| Qiao et al. | Fine-Grained Active Queue Management in the Data Plane with P4 | |
| Fei et al. | Accurate and effective inference of network link loss from unicast end-to-end measurements | |
| JP2018029303A (ja) | 通知システムおよび通知方法 | |
| Tian et al. | TADOOP: Mining network traffic anomalies with Hadoop | |
| Din et al. | Anomaly free on demand stateful software defined firewalling | |
| Yao et al. | Downscaling network scenarios with denial of service (DoS) attacks | |
| Gu et al. | Fast traffic classification in high speed networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110826 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120709 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120717 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120911 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121002 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121005 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151012 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |