JP2010233147A - フローサンプリング方法およびフローサンプリングシステム - Google Patents
フローサンプリング方法およびフローサンプリングシステム Download PDFInfo
- Publication number
- JP2010233147A JP2010233147A JP2009080942A JP2009080942A JP2010233147A JP 2010233147 A JP2010233147 A JP 2010233147A JP 2009080942 A JP2009080942 A JP 2009080942A JP 2009080942 A JP2009080942 A JP 2009080942A JP 2010233147 A JP2010233147 A JP 2010233147A
- Authority
- JP
- Japan
- Prior art keywords
- sampling
- flow
- router
- flow sampling
- analysis device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】アクセスリスト機能を有するルータ1と、フローの統計的な解析を行なう解析装置2とから構成されるフローサンプリングシステムであって、解析装置2は、サンプリングレートを含むサンプリングパラメータを設定し、フローサンプリングのビット数に対応し各ビット間で重複しない複数のランダムビットマスクを生成し、生成した複数のランダムビットマスクをアクセスリストに変換してルータ1に適用し、ルータ1は、アクセスリストに基づいてフローサンプリングを行ない、解析装置2は、ルータ1でフローサンプリングされたフローの統計的な解析を行なう。
【選択図】図1
Description
図2は、第1の実施形態に係る動作手順を示すフローチャートである。手順1として、解析装置2は、サンプリングレート1/R、サンプリングインターバルT、インターバル閾値S、フローサンプリングに利用可能なプロトコルフィールドのビット数A(但し、Aは一般的にはIPアドレスが該当し、IPv4では、送信元と宛先IPアドレスの両方を使用する場合64となる。)、サンプリングレートの精度1/εを決定する(ステップS1)。
図3は、第2の実施形態に係る動作手順を示すフローチャートである。ステップS1からステップS5までは、図2に示した第1の実施形態と同様である。第2の実施形態では、フローサンプリング開始から時間T(第1の所定時間)が経過したかどうかを判断する(ステップS6)。フローサンプリング開始から時間Tが経過していない場合は、ステップS5へ遷移してフローサンプリングを継続する。一方、ステップS6において、フローサンプリング開始から時間Tが経過した場合は、ステップS3へ遷移し、解析装置2において、各Aビットの0/1カウントバッファを更新する。更新は、フローが終了した時点でも良い。
図4は、第3の実施形態に係る動作手順を示すフローチャートである。解析装置2は、サンプリングレート1/R、サンプリングインターバルT、インターバル閾値S、フローサンプリングに利用可能なプロトコルフィールドのビット数A(但し、Aは一般的にはIPアドレスが該当し、IPv4では、送信元と宛先IPアドレスの両方を使用する場合64となる。)、サンプリングレートの精度1/εを決定する(ステップS1)。
Ei=-pi0log(pi0)-pi1log(pi1)
pi0=Mi0/(Mi0+Mi1)
pi1=Mi1/(Mi0+Mi1)
最初のフローサンプリング開始から時間nT(n>=S)が経過している場合は、解析装置2で計算する0/1個数カウンタを使って実際のフローサンプリングレートR’を計算することができる。
AF=R’×F
2 解析装置
100 ルータ
Claims (4)
- アクセスリスト機能を有するルータおよびフローの統計的な解析を行なう解析装置を用いるフローサンプリング方法であって、
前記解析装置において、
サンプリングレートを含むサンプリングパラメータを設定するステップと、
フローサンプリングのサンプリングレートに対応し、相互に完全一致しない複数のランダムビットマスクを生成するステップと、
前記生成された複数のランダムビットマスクをアクセスリストに変換して前記ルータに適用するステップと、
前記ルータにおいて、フローサンプリングを行なうステップと、
前記解析装置において、前記ルータでフローサンプリングされたフローの統計的な解析を行なうステップと、を少なくとも含むことを特徴とするフローサンプリング方法。 - 前記ルータにおけるフローサンプリングが開始してから第1の所定時間が経過したかどうかを判定するステップと、
前記判定の結果、前記ルータにおけるフローサンプリングが開始してから第1の所定時間が経過したときに、再度複数のランダムビットマスクを生成するステップと、をさらに含むことを特徴とする請求項1記載のフローサンプリング方法。 - 前記ルータにおけるフローサンプリングが開始してから第2の所定時間が経過したかどうかを判定するステップと、
前記判定の結果、前記ルータにおけるフローサンプリングが開始してから第2の所定時間が経過したときに、前記解析装置においてビット毎のエントロピーを計算するステップと、
前記エントロピーが大きいビットから順に前記ランダムビットマスクの生成に使用することを特徴とする請求項1または請求項2記載のフローサンプリング方法。 - アクセスリスト機能を有するルータと、フローの統計的な解析を行なう解析装置とから構成されるフローサンプリングシステムであって、
前記解析装置は、
サンプリングレートを含むサンプリングパラメータを設定し、フローサンプリングのサンプリングレートに対応しサンプリングレートに対応し、相互に完全一致しない複数のランダムビットマスクを生成し、前記生成した複数のランダムビットマスクをアクセスリストに変換して前記ルータに適用し、
前記ルータは、前記アクセスリストに基づいてフローサンプリングを行ない、
前記解析装置は、前記ルータでフローサンプリングされたフローの統計的な解析を行なうことを特徴とするフローサンプリングシステム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009080942A JP5108816B2 (ja) | 2009-03-30 | 2009-03-30 | フローサンプリング方法およびフローサンプリングシステム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009080942A JP5108816B2 (ja) | 2009-03-30 | 2009-03-30 | フローサンプリング方法およびフローサンプリングシステム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010233147A true JP2010233147A (ja) | 2010-10-14 |
JP5108816B2 JP5108816B2 (ja) | 2012-12-26 |
Family
ID=43048504
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009080942A Expired - Fee Related JP5108816B2 (ja) | 2009-03-30 | 2009-03-30 | フローサンプリング方法およびフローサンプリングシステム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5108816B2 (ja) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001268131A (ja) * | 2000-03-01 | 2001-09-28 | Tektronix Inc | エンド・ツー・エンド特性の測定方法及び装置 |
JP2008219685A (ja) * | 2007-03-07 | 2008-09-18 | Nippon Telegr & Teleph Corp <Ntt> | 経路情報・mib情報をもとにしたトラフィック監視方法 |
-
2009
- 2009-03-30 JP JP2009080942A patent/JP5108816B2/ja not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001268131A (ja) * | 2000-03-01 | 2001-09-28 | Tektronix Inc | エンド・ツー・エンド特性の測定方法及び装置 |
JP2008219685A (ja) * | 2007-03-07 | 2008-09-18 | Nippon Telegr & Teleph Corp <Ntt> | 経路情報・mib情報をもとにしたトラフィック監視方法 |
Also Published As
Publication number | Publication date |
---|---|
JP5108816B2 (ja) | 2012-12-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10673877B2 (en) | Method and apparatus for detecting port scans in a network | |
Mehdi et al. | Revisiting traffic anomaly detection using software defined networking | |
Phan et al. | OpenFlowSIA: An optimized protection scheme for software-defined networks from flooding attacks | |
US10757136B2 (en) | Botnet beaconing detection and mitigation | |
Tammaro et al. | Exploiting packet‐sampling measurements for traffic characterization and classification | |
US20160036836A1 (en) | Detecting DGA-Based Malicious Software Using Network Flow Information | |
US10326736B2 (en) | Feature-based classification of individual domain queries | |
TW202019127A (zh) | 異常流量偵測裝置及其異常流量偵測方法 | |
Kumano et al. | Towards real-time processing for application identification of encrypted traffic | |
Ghita et al. | Network tomography on correlated links | |
François et al. | Network security through software defined networking: a survey | |
Chen et al. | Spectral analysis of TCP flows for defense against reduction-of-quality attacks | |
Mori et al. | Identifying heavy-hitter flows from sampled flow statistics | |
Alcorn et al. | A framework for large-scale modeling and simulation of attacks on an OpenFlow network | |
Zhang et al. | Towards verifiable performance measurement over in-the-cloud middleboxes | |
JP5108816B2 (ja) | フローサンプリング方法およびフローサンプリングシステム | |
JP5180247B2 (ja) | パケットサンプリング装置と方法およびプログラム | |
DE602007014032D1 (de) | Verfahren und vorrichtung zur netzwerkverknüpfung über eine mehrfachmeldung mittels eines tdma-steuerungsschlitz-verfahrens | |
Qiao et al. | Fine-Grained Active Queue Management in the Data Plane with P4 | |
Fei et al. | Accurate and effective inference of network link loss from unicast end-to-end measurements | |
JP2018029303A (ja) | 通知システムおよび通知方法 | |
Tian et al. | TADOOP: Mining network traffic anomalies with Hadoop | |
Din et al. | Anomaly free on demand stateful software defined firewalling | |
Yao et al. | Downscaling network scenarios with denial of service (DoS) attacks | |
Gu et al. | Fast traffic classification in high speed networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110826 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120709 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120717 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120911 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121002 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121005 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151012 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |