JP2017143434A - 通信監視装置、及び通信監視方法 - Google Patents
通信監視装置、及び通信監視方法 Download PDFInfo
- Publication number
- JP2017143434A JP2017143434A JP2016023962A JP2016023962A JP2017143434A JP 2017143434 A JP2017143434 A JP 2017143434A JP 2016023962 A JP2016023962 A JP 2016023962A JP 2016023962 A JP2016023962 A JP 2016023962A JP 2017143434 A JP2017143434 A JP 2017143434A
- Authority
- JP
- Japan
- Prior art keywords
- capture data
- communication monitoring
- information
- data
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
図2に通信監視装置10が備える主なハードウェアを示している。通信監視装置10は、情報処理装置(コンピュータ)として機能するものであり、プロセッサ11、記憶装置12、計時装置13、入力装置14、出力装置15、及び通信インタフェース16を備える。
キャプチャデータ151(キャプチャファイル)は、一つ以上のパケットの実体を含む。パケットは、例えば、TCPパケット(トランスポート層のプロトコルとしてTCP(Transmission Control Protocol)を使用したパケット)、UDPパケット(トランスポート層のプロトコルとしてUDP(User Datagram Protocol)を使用したパケット)、ICMPパケット(プロトコルとしてICMP(Internet Control Message Protocol)を使用したパケット)、ARPパケット(プロトコルとしてARP(Address Resolution Protocol)を使用したパケット)である。
分析情報152は、例えば、キャプチャデータ151から直接的に取得される情報を含む。また分析情報152は、例えば、キャプチャデータ151に含まれている情報について統計処理等の所定の処理を施すことにより間接的に取得される情報を含む。
判定情報153は、例えば、キャプチャデータ151から直接的に取得される情報を含む。また判定情報153は、例えば、キャプチャデータ151に含まれている情報や分析情報152について統計処理等の所定の処理を施すことにより間接的に取得される情報を含む。
続いて、通信監視装置10が行う処理について説明する。
図6は通信監視装置10が行う処理(以下、メイン処理S600と称する。)を説明するフローチャートである。以下、同図とともにメイン処理S600について説明する。
図7はキャプチャ処理&分析・警告処理S630の概略を説明するフローチャートである。同図に示すように、通信監視装置10は、キャプチャ処理&分析・警告処理S630として、パケットキャプチャ処理S800と分析・警告処理S900を実行する。尚、パケットキャプチャ処理S800と分析・警告処理S900は、例えば、夫々が独立したプロセスとしてオペレーティングシステム111により実行される。
図8はパケットキャプチャ処理S800を説明するフローチャートである。以下、同図とともにパケットキャプチャ処理S800について説明する。
図9は分析・警告処理S900を説明するフローチャートである。以下、同図とともに分析・警告処理S900について説明する。
10 通信監視装置
20 ネットワーク機器
30 通信装置
111 オペレーティングシステム
112 DBMS
113 VPN処理部
114 設定処理部
121 キャプチャ処理部
122 分析情報生成部
123 判定情報生成部
124 キャプチャデータ検索部
125 正常範囲算出部
126 異常有無判定部
151 キャプチャデータ
152 分析情報
153 判定情報
154 カレンダ情報
155 シーズン情報
156 営業日情報
157 設定情報
S600 メイン処理
S630 キャプチャ処理&分析・警告処理
S800 パケットキャプチャ処理
S900 分析&警告処理
Claims (24)
- プロセッサ、記憶装置、及び通信装置と、
通信ネットワークを流れる一つ以上のパケットを予め設定されたデータサイズ分取得する度に、取得した前記データサイズ分の前記パケットを含んだデータであるキャプチャデータを生成して記憶する、キャプチャ処理部と、
複数の前記キャプチャデータの夫々について、夫々を分析することにより夫々の特徴を示す情報である分析情報を生成する、分析情報生成部と、
複数の前記キャプチャデータの夫々について、夫々を分析することにより、夫々の特徴を示す情報である判定情報を生成する、判定情報生成部と、
前記キャプチャデータの一つである判定対象キャプチャデータについて、記憶している他の前記キャプチャデータの中から、当該判定対象キャプチャデータと前記分析情報が同一又は類似のものを検索する、キャプチャデータ検索部と、
検索した前記キャプチャデータの夫々について、前記判定情報に基づき、前記通信ネットワークが正常であるときに前記判定情報が取り得る範囲である正常範囲を求める、正常範囲算出部と、
前記判定対象キャプチャデータを分析することにより前記判定対象キャプチャデータについて前記判定情報を生成し、生成した前記判定情報が当該判定情報の前記正常範囲を逸脱しているか否かを判定し、前記判定の結果に基づき、前記通信ネットワークの異常の有無を判定する、異常有無判定部と、
を備える、通信監視装置。 - 請求項1に記載の通信監視装置であって、
前記分析情報生成部は、前記キャプチャデータに含まれる前記データサイズ分の前記パケットの取得に要した時間であるキャプチャ所要時間を前記分析情報として生成し、
前記キャプチャデータ検索部は、前記判定対象キャプチャデータについて、記憶している他の前記キャプチャデータの中から、当該判定対象キャプチャデータと前記キャプチャ所要時間が同一又は類似のものを検索する、
通信監視装置。 - 請求項1又は2に記載の通信監視装置であって、
前記分析情報生成部は、前記キャプチャデータが生成された時期を示す情報を前記分析情報として生成し、
前記キャプチャデータ検索部は、記憶している他の前記キャプチャデータの中から、前記判定対象キャプチャデータと生成された時期が同一又は類似のものを検索する、
通信監視装置。 - 請求項3に記載の通信監視装置であって、
カレンダ情報を記憶し、
前記キャプチャデータ検索部は、記憶している前記他のキャプチャデータの中から、前記判定対象キャプチャデータと生成された曜日が一致するものを検索する、
通信監視装置。 - 請求項3に記載の通信監視装置であって、
前記通信ネットワークを利用するユーザの営業日を示す情報である営業日情報を記憶し、
前記キャプチャデータ検索部は、前記判定対象キャプチャデータが生成された日が営業日である場合、記憶している前記他のキャプチャデータの中から、生成された日が営業日であるものを検索する、
通信監視装置。 - 請求項3に記載の通信監視装置であって、
暦とシーズンの対応を示す情報であるシーズン情報を記憶し、
前記キャプチャデータ検索部は、記憶している前記他のキャプチャデータの中から、前記判定対象キャプチャデータと生成されたシーズンが一致するものを検索する、
通信監視装置。 - 請求項3に記載の通信監視装置であって、
前記通信ネットワークを利用するユーザの営業日を示す情報である営業日情報、及びカレンダ情報を記憶し、
前記キャプチャデータ検索部は、
前記判定対象キャプチャデータが月末又は月初の所定期間内に生成されたものである場合、記憶している前記他のキャプチャデータの中から、生成された日が営業日であるものを検索し、
前記判定対象キャプチャデータが月末又は月初の前記所定期間内に生成されたものでない場合、記憶している前記他のキャプチャデータの中から、生成された曜日が一致するものを検索する、
通信監視装置。 - 請求項1乃至7のいずれか一項に記載の通信監視装置であって、
前記正常範囲算出部は、複数の前記判定情報の夫々について前記正常範囲を求め、
前記異常有無判定部は、前記複数の判定情報の夫々について、夫々について求めた前記正常範囲を逸脱しているか否かを判定し、前記正常範囲を逸脱している前記判定情報の数が予め設定された閾値を超えているか否かを判定し、前記判定の結果に基づき、前記通信ネットワークの異常の有無を検出する、
通信監視装置。 - 請求項1乃至8のいずれか一項に記載の通信監視装置であって、
前記正常範囲算出部は、検索した前記キャプチャデータに基づき前記判定情報の標準偏差を求め、求めた標準偏差に基づき前記正常範囲を求める、
通信監視装置。 - 請求項1乃至9のいずれか一項に記載の通信監視装置であって、
前記正常範囲算出部が前記正常範囲を求める際に用いるパラメータを設定するためのユーザインタフェースを提供する設定処理部、
をさらに備える、通信監視装置。 - 請求項1乃至10のいずれか一項に記載の通信監視装置であって、
前記分析情報は、パケット数、ファイルサイズ、キャプチャ所要時間、キャプチャ開始時間、キャプチャ終了時間、ビットレート(bits/sec)、パケットレート(in packets/sec)、TCPパケット数、UDPパケット数、SMTPエラー数、RSTパケット数、TCPコネクション数、TCPゼロウィンドウ数、TCPシーケンス異常数、IPv4プライベートアドレス通信におけるTCPシーケンス異常数、DHCPアドレス枯渇検出数、ARPパケットにより検出されたIPアドレス重複数、UDP/TCPレート、P2Pファイル共有ソフトの検出数、ファイル共有ソフトの異常エラー数、DNSエラー数、IPv4プライベートアドレス同士のHTTPエラー数、及びICMPにおける各種Type/Codeのカウンタのうちの少なくともいずれかである、
通信監視装置。 - 請求項1乃至11のいずれか一項に記載の通信監視装置であって、
前記判定情報は、パケット数、UDP/TCPレート、IPv4プライベートアドレス同士のHTTPエラー数、ネットワーク到達不能のパケット数、宛先ホスト到達不能のパケット数DNSエラー数、宛先ネットワーク遮断のパケット数、宛先ホスト遮断のパケット数、送信元抑制のパケット数、TCPコネクション数に対するRSTパケット数、TCPコネクション数に対するTCPシーケンス異常数、TCPコネクション数に対するIPv4プライベートアドレス通信におけるTCPシーケンス異常数、及びトップTCPコネクションの送受信合計データ量のうちの少なくともいずれかである、
通信監視装置。 - プロセッサ、記憶装置、及び通信装置とを備えた通信監視装置を用いた通信監視方法であって、
前記通信監視装置が、
通信ネットワークを流れる一つ以上のパケットを予め設定されたデータサイズ分取得する度に、取得した前記データサイズ分の前記パケットを含んだデータであるキャプチャデータを生成して記憶するステップ、
複数の前記キャプチャデータの夫々について、夫々を分析することにより夫々の特徴を示す情報である分析情報を生成するステップ、
複数の前記キャプチャデータの夫々について、夫々を分析することにより、夫々の特徴を示す情報である判定情報を生成するステップ、
前記キャプチャデータの一つである判定対象キャプチャデータについて、記憶している他の前記キャプチャデータの中から、当該判定対象キャプチャデータと前記分析情報が同一又は類似のものを検索するステップ、
検索した前記キャプチャデータの夫々について、前記判定情報に基づき、前記通信ネットワークが正常であるときに前記判定情報が取り得る範囲である正常範囲を求めるステップ、
前記判定対象キャプチャデータを分析することにより前記判定対象キャプチャデータについて前記判定情報を生成し、生成した前記判定情報が当該判定情報の前記正常範囲を逸脱しているか否かを判定し、前記判定の結果に基づき、前記通信ネットワークの異常の有無を判定するステップ、
を実行する、通信監視方法。 - 請求項13に記載の通信監視方法であって、
前記通信監視装置が、
前記キャプチャデータに含まれる前記データサイズ分の前記パケットの取得に要した時間であるキャプチャ所要時間を前記分析情報として生成するステップ、
前記判定対象キャプチャデータについて、記憶している他の前記キャプチャデータの中から、当該判定対象キャプチャデータと前記キャプチャ所要時間が同一又は類似のものを検索するステップ、
を更に実行する、通信監視方法。 - 請求項13又は14に記載の通信監視方法であって、
前記通信監視装置が、
前記キャプチャデータが生成された時期を示す情報を前記分析情報として生成するステップ、
記憶している他の前記キャプチャデータの中から、前記判定対象キャプチャデータと生成された時期が同一又は類似のものを検索するステップ、
を更に実行する、通信監視方法。 - 請求項15に記載の通信監視方法であって、
前記通信監視装置が、
カレンダ情報を記憶するステップ、
記憶している前記他のキャプチャデータの中から、前記判定対象キャプチャデータと生成された曜日が一致するものを検索するステップ、
を更に実行する、通信監視方法。 - 請求項15に記載の通信監視方法であって、
前記通信監視装置が、
前記通信ネットワークを利用するユーザの営業日を示す情報である営業日情報を記憶するステップ、
前記判定対象キャプチャデータが生成された日が営業日である場合、記憶している前記他のキャプチャデータの中から、生成された日が営業日であるものを検索するステップ、
を更に実行する、通信監視方法。 - 請求項15に記載の通信監視方法であって、
前記通信監視装置が、
暦とシーズンの対応を示す情報であるシーズン情報を記憶するステップ、
記憶している前記他のキャプチャデータの中から、前記判定対象キャプチャデータと生成されたシーズンが一致するものを検索するステップ、
を更に実行する、通信監視方法。 - 請求項15に記載の通信監視方法であって、
前記通信監視装置が、
前記通信ネットワークを利用するユーザの営業日を示す情報である営業日情報、及びカレンダ情報を記憶するステップ、
前記判定対象キャプチャデータが月末又は月初の所定期間内に生成されたものである場合、記憶している前記他のキャプチャデータの中から、生成された日が営業日であるものを検索するステップ、
前記判定対象キャプチャデータが月末又は月初の前記所定期間内に生成されたものでない場合、記憶している前記他のキャプチャデータの中から、生成された曜日が一致するものを検索するステップ、
を更に実行する、通信監視方法。 - 請求項13乃至19のいずれか一項に記載の通信監視方法であって、
前記通信監視装置が、
複数の前記判定情報の夫々について前記正常範囲を求めるステップ、
前記複数の判定情報の夫々について、夫々について求めた前記正常範囲を逸脱しているか否かを判定し、前記正常範囲を逸脱している前記判定情報の数が予め設定された閾値を超えているか否かを判定し、前記判定の結果に基づき、前記通信ネットワークの異常の有無を検出するステップ、
を更に実行する、通信監視方法。 - 請求項13乃至20のいずれか一項に記載の通信監視方法であって、
前記通信監視装置が、
検索した前記キャプチャデータに基づき前記判定情報の標準偏差を求め、求めた標準偏差に基づき前記正常範囲を求めるステップ、
を更に実行する、通信監視方法。 - 請求項13乃至21のいずれか一項に記載の通信監視方法であって、
前記通信監視装置が、
前記正常範囲を求める際に用いるパラメータを設定するためのユーザインタフェースを提供するステップ、
を更に実行する、通信監視方法。 - 請求項13乃至22のいずれか一項に記載の通信監視方法であって、
前記分析情報は、パケット数、ファイルサイズ、キャプチャ所要時間、キャプチャ開始時間、キャプチャ終了時間、ビットレート(bits/sec)、パケットレート(in packets/sec)、TCPパケット数、UDPパケット数、SMTPエラー数、RSTパケット数、TCPコネクション数、TCPゼロウィンドウ数、TCPシーケンス異常数、IPv4プライベートアドレス通信におけるTCPシーケンス異常数、DHCPアドレス枯渇検出数、ARPパケットにより検出されたIPアドレス重複数、UDP/TCPレート、P2Pファイル共有ソフトの検出数、ファイル共有ソフトの異常エラー数、DNSエラー数、IPv4プライベートアドレス同士のHTTPエラー数、及びICMPにおける各種Type/Codeのカウンタのうちの少なくともいずれかである、
通信監視方法。 - 請求項13乃至23のいずれか一項に記載の通信監視方法であって、
前記判定情報は、パケット数、UDP/TCPレート、IPv4プライベートアドレス同士のHTTPエラー数、ネットワーク到達不能のパケット数、宛先ホスト到達不能のパケット数DNSエラー数、宛先ネットワーク遮断のパケット数、宛先ホスト遮断のパケット数、送信元抑制のパケット数、TCPコネクション数に対するRSTパケット数、TCPコネクション数に対するTCPシーケンス異常数、TCPコネクション数に対するIPv4プライベートアドレス通信におけるTCPシーケンス異常数、及びトップTCPコネクションの送受信合計データ量のうちの少なくともいずれかである、
通信監視方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016023962A JP6228616B2 (ja) | 2016-02-10 | 2016-02-10 | 通信監視装置、及び通信監視方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016023962A JP6228616B2 (ja) | 2016-02-10 | 2016-02-10 | 通信監視装置、及び通信監視方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017143434A true JP2017143434A (ja) | 2017-08-17 |
JP6228616B2 JP6228616B2 (ja) | 2017-11-08 |
Family
ID=59628698
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016023962A Active JP6228616B2 (ja) | 2016-02-10 | 2016-02-10 | 通信監視装置、及び通信監視方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6228616B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116170340A (zh) * | 2023-04-24 | 2023-05-26 | 图林科技(深圳)有限公司 | 一种网络安全测试评估方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009238185A (ja) * | 2008-03-28 | 2009-10-15 | Kansai Electric Power Co Inc:The | ネットワークシステムおよび管理サーバ装置 |
JP2011114820A (ja) * | 2009-11-30 | 2011-06-09 | Panasonic Electric Works Co Ltd | 発信源追跡システム、パケット特定情報記録装置、追跡管理装置、通信装置のプログラム及び追跡管理装置のプログラム |
JP2014063424A (ja) * | 2012-09-24 | 2014-04-10 | Mitsubishi Space Software Co Ltd | 不正通信検出装置及びサイバー攻撃検出システム及びコンピュータプログラム及び不正通信検出方法 |
-
2016
- 2016-02-10 JP JP2016023962A patent/JP6228616B2/ja active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009238185A (ja) * | 2008-03-28 | 2009-10-15 | Kansai Electric Power Co Inc:The | ネットワークシステムおよび管理サーバ装置 |
JP2011114820A (ja) * | 2009-11-30 | 2011-06-09 | Panasonic Electric Works Co Ltd | 発信源追跡システム、パケット特定情報記録装置、追跡管理装置、通信装置のプログラム及び追跡管理装置のプログラム |
JP2014063424A (ja) * | 2012-09-24 | 2014-04-10 | Mitsubishi Space Software Co Ltd | 不正通信検出装置及びサイバー攻撃検出システム及びコンピュータプログラム及び不正通信検出方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116170340A (zh) * | 2023-04-24 | 2023-05-26 | 图林科技(深圳)有限公司 | 一种网络安全测试评估方法 |
CN116170340B (zh) * | 2023-04-24 | 2023-07-14 | 图林科技(深圳)有限公司 | 一种网络安全测试评估方法 |
Also Published As
Publication number | Publication date |
---|---|
JP6228616B2 (ja) | 2017-11-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9245121B1 (en) | Detecting suspicious network behaviors based on domain name service failures | |
US9521162B1 (en) | Application-level DDoS detection using service profiling | |
US9660833B2 (en) | Application identification in records of network flows | |
US9917783B2 (en) | Method, system and non-transitory computer readable medium for profiling network traffic of a network | |
US10862781B2 (en) | Identifying network issues using an agentless probe and end-point network locations | |
US10616084B2 (en) | Network packet de-duplication | |
US9686173B1 (en) | Unsupervised methodology to unveil content delivery network structures | |
JPWO2017163352A1 (ja) | 異常検出装置、異常検出システム、及び、異常検出方法 | |
US20190007292A1 (en) | Apparatus and method for monitoring network performance of virtualized resources | |
Gharakheili et al. | iTeleScope: Softwarized network middle-box for real-time video telemetry and classification | |
JP2006148686A (ja) | 通信監視システム | |
US9628503B2 (en) | Systems and methods for network destination based flood attack mitigation | |
Mongkolluksamee et al. | Counting NATted hosts by observing TCP/IP field behaviors | |
JP6691268B2 (ja) | 監視装置、監視方法および監視プログラム | |
WO2015087404A1 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
CN111163114A (zh) | 用于检测网络攻击的方法和设备 | |
WO2020027250A1 (ja) | 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム | |
Li et al. | A case study of ipv6 network performance: Packet delay, loss, and reordering | |
JP6228616B2 (ja) | 通信監視装置、及び通信監視方法 | |
US20200351304A1 (en) | Monitoring system, monitoring method, and monitoring program | |
CN112583774A (zh) | 一种攻击流量检测的方法、装置、存储介质及电子设备 | |
US11218357B1 (en) | Aggregation of incident data for correlated incidents | |
EP4106268B1 (en) | Method for detecting anomalies in ssl and/or tls communications, corresponding device, and computer program product | |
TW201928746A (zh) | 偵測惡意程式的方法和裝置 | |
CN113141376A (zh) | 一种恶意ip扫描检测方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170626 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20171003 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20171013 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6228616 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |