JP3957712B2 - 通信監視システム - Google Patents

通信監視システム Download PDF

Info

Publication number
JP3957712B2
JP3957712B2 JP2004337676A JP2004337676A JP3957712B2 JP 3957712 B2 JP3957712 B2 JP 3957712B2 JP 2004337676 A JP2004337676 A JP 2004337676A JP 2004337676 A JP2004337676 A JP 2004337676A JP 3957712 B2 JP3957712 B2 JP 3957712B2
Authority
JP
Japan
Prior art keywords
unit
feature information
feature
monitoring system
communication monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004337676A
Other languages
English (en)
Other versions
JP2006148686A (ja
Inventor
信之 中村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2004337676A priority Critical patent/JP3957712B2/ja
Publication of JP2006148686A publication Critical patent/JP2006148686A/ja
Application granted granted Critical
Publication of JP3957712B2 publication Critical patent/JP3957712B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)

Description

この発明は、ネットワーク上での不正や異常を検出する通信監視システムに関する。
近年、インターネット等の通信ネットワークでは、ハッカー等による不正行為(攻撃や侵入等)の問題が顕著になっている。かかる問題への対処技術の一つとして、ネットワーク侵入検知システム(NIDS;Network Intrusion Detection System) が知られている。ネットワーク侵入検知システムとは、予め定めた判定ルールとネットワーク状態とを比較することによって、不正行為を検知するシステムである。
ネットワーク侵入検知システムの侵入検出アルゴリズムは、不正検出法と異常検出法とに大別される。不正検出法とは、不正行為が行われる際にネットワーク状態に表れる特徴を予め分析・ルール化しておき、ネットワーク状態がこのルールと一致したときに不正行為が行われていると判断する検出技術である。一方、異常検出法とは、正常時(不正行為等が発生していないとき)にネットワーク状態に表れる特徴を予め分析・ルール化しておき、ネットワーク状態がこのルールと一致しなくなったときに不正行為が行われていると判断する検出技術である。
これらの検出方法を比較すると、未知の不正行為等にも対処し得るという点では、異常検出法の方が優れている。しかしながら、異常検出法には、アルゴリズムが複雑であり、誤報率が高いという欠点がある。
これに対して、SVM(Support Vector Machines) と称される学習装置を用いて異常検出ルールを作成する技術が、下記非特許文献1によって提案されている。この技術によれば、ヘッダ情報から得られる情報を統計的に学習して異常検出ルールを作成することにより、アルゴリズムの複雑化を伴わずに誤報率を下げることが可能になる。
宮本貴朗、他3名、「SVMを用いたネットワークトラヒックからの異常検出」、電子情報通信学会論文誌、電子通信情報学会、2004年4月、Vol.J87-B No.4、p593-598
しかしながら、非特許文献1の技術には、以下のような欠点がある。
(1)非特許文献1の技術では、ネットワークの正常/異常を検出することはできるものの、システム管理者が異常の原因を判別することはできないという欠点がある。このため、非特許文献1の技術を採用したシステムでは、異常の原因を解明するためには人手で解析する必要があり、このため、多大なコストや時間等を要することになる。
(2)非特許文献1の技術では、ネットワークに異常が発生したことを検出できても、かかる異常がネットワーク全体の異常であるのか或いは局地的な異常であるのかを判断することはできない。このため、異常の発生が検出されたときに、正常状態を回復するための迅速な対策を取ることが困難である。
(3)非特許文献1の技術では、ネットワーク装置(例えばプローブ装置)毎にトラフィックデータを集積し続けるため、各ネットワーク装置は膨大なディスク資源を必要となる。さらには、ディスク資源へのデータ書き込み等に計算機資源を奪われることになるので、通信パケットの取りこぼし等の不都合が発生するおそれもある。
(4)非特許文献1の技術では、学習機能を用いるので、ネットワーク装置を設置する場所でのトラフィックの傾向を予め学習させる必要があり、したがって運用開始までの作業負担が大きい。
(5)非特許文献1の技術ではネットワーク装置毎に学習データを保存するが、この学習データは一般に秘密情報として扱われるため、ネットワーク装置毎に漏洩対策を施す必要があり、コスト増の原因になる。
(6)非特許文献1の技術では、学習機能を用いるので、小規模システム等で学習データが少ない場合には、誤報率を低く抑えることが困難になる。
この発明の課題は、信頼性が高く且つ低コストで実現できる通信監視システムを提供する点にある。
この発明に係る通信監視システムは、予め定められた測定周期でネットワーク装置を通過する通信パケットのトラフィックを測定するトラフィック測定部と、通信パケットから読み出された一種類または複数種類のヘッダ情報を測定周期毎に統計処理する統計計算部と、トラフィック測定部の測定結果および統計計算部の計算結果を含む複数の特徴項目を有する特徴情報を測定周期毎に作成・保持する特徴情報保持部と、特徴情報保持部が新しい特徴情報を作成するたびに特徴情報保持部から古い特徴情報を読み出して蓄積するデータベース部と、特徴情報保持部が新しい特徴情報を作成するたびに、所定の1または複数の特徴項目が新しい特徴情報と同一性の範囲内にある特徴情報をデータベース部から読み出し、読み出された特徴情報の他の特徴項目についての正常範囲を統計的に算出し、新しい特徴情報の他の特徴項目と正常範囲とを比較することによって異常の発生を判断する異常検出部とを備える。
本発明によれば、複数の特徴項目を含む特徴情報をデータベース部に順次蓄積し、これらの各特徴項目の相関性から異常検出部で正常/異常を判断するので、信頼性の高い通信監視システムを低コストで提供することができる。
以下、この発明の実施の形態について、図面を用いて説明する。なお、図中、各構成成分の大きさ、形状および配置関係は、この発明が理解できる程度に概略的に示してあるにすぎず、また、以下に説明する数値的条件は単なる例示にすぎない。
第1の実施形態
以下、この発明に係る通信監視システムの一実施形態について、この発明をプローブ装置に適用した場合を例に採り、図1および図2を用いて説明する。プローブ装置とは、通信トラフィックを監視する装置であり、ネットワークどうしを接続するインタフェース部分に設置される。
図1は、この実施形態に係るプローブ装置の要部構成を概略的に示すブロック図である。
図1に示したように、この実施形態のプローブ装置100は、ネットワークインタフェース部110と、トラフィック測定部120と、パケット解析部130と、解析区切指定部140と、統計計算部150と、特徴情報保持部160と、データベース部170と、異常検出部180とを備える。
ネットワークインタフェース部110は、2つのネットワーク191,192どうしを接続する伝送路193上に配置され、この伝送路193上を伝送されるIPパケットを中継する。すなわち、これらのネットワーク191,192間を伝送されるIPパケットは、すべてネットワークインタフェース部110を通過する。
トラフィック測定部120は、解析区切指定部140が指定した測定周期毎に、ネットワークインタフェース部110を通過するIPパケット数やスループットを測定する。また、トラフィック測定部120は、解析区切指定部140から受信した測定周期情報に基づいて各測定周期の開始・終了日時を記録し、特徴情報保持部160に送る。
パケット解析部130は、ネットワークインタフェース部110を通過したIPパケットを解析して当該IPパケットの種類やポート番号等(後述)を判別し、統計計算部150に送る。
解析区切指定部140は、トラフィック測定部120およびパケット解析部130の測定周期を制御する。測定周期としては、例えば、時間的な周期や総パケット数の周期等を採用することができる。
統計計算部150は、パケット解析部130から解析結果を受け取り、測定周期毎に統計処理を行う。
特徴情報保持部160は、トラフィック測定部120から測定結果や日時情報を受け取り、統計計算部150から処理結果を受け取る。そして、特徴情報保持部160は、これらの情報(以下、「特徴項目」と記す)を有する特徴情報を、測定周期毎に作成し、保持する(後述の図2参照)。また、特徴情報保持部160は、新しい特徴情報を作成するたびに、その直前に作成された古い特徴情報をデータベース部170に送るとともに、異常検出部180に更新通知信号を送る。
データベース部170は、特徴情報保持部160から受け取った特徴情報を、すべて蓄積する。
異常検出部180は、特徴情報保持部160の特徴情報が更新されるたびに、当該特徴情報とデータベース部170に蓄積された過去の特徴情報とを用いて、正常/異常の判断を行う(後述)。
図2は、特徴情報保持部160が作成した特徴情報の一例を示す表である。
図2に示したように、この実施形態の特徴情報は、特徴項目として、「日時」、「総パケット数」、「スループット」、「TCPパケット数」、「UDPパケット数」、「ICMPパケット数」、「TCPウインドウズサイズ」、「TCPポート番号」、「送信元TCPポート番号」、「宛先TCPポート番号」、「UDPポート番号」、「発信元UDPポート番号」、「宛先UDPポート番号」、「TCPフラグ」、「TCPフラグセット」、「ICMPタイプコード」、「IP−TOS」、「IP−TTL」、「IPプロトコル」を含む。
「日時」とは、当該特徴情報に係る測定周期の開始・終了日時である。図2の例では、2004年9月10日の0時0分から0時5分までの5分間にネットワークインタフェース部110を通過したIPパケットに関する特徴情報であることを示している。この特徴項目は、トラフィック測定部120から取得される。
「総パケット数」は、当該測定周期内にネットワークインタフェース部110を通過したIPパケットの総数である。この特徴項目は、パケット解析部130によって測定される。
「スループット」は、当該プローブ装置100の実効的な通信速度であり、アプリケーション層で単位時間内に処理できる情報量を規定する。この特徴項目は、トラフィック測定部120によって測定される。
「TCPパケット数」は、当該測定周期内にネットワークインタフェース部110を通過したIPパケットのうち、TCPパケット(トランスポート層のプロトコルとしてTCP(Transmission Control Protocol) を使用するパケット)の総数である。TCPパケット数は、パケット解析部130によって、測定周期毎にカウントされる。
「UDPパケット数」は、当該測定周期内にネットワークインタフェース部110を通過したIPパケットのうち、UDPパケット(トランスポート層のプロトコルとしてUDP(User Datagram Protocol)を使用するパケット)の総数である。この特徴項目も、パケット解析部130で、測定周期毎にカウントされる。
「ICMPパケット数」は、当該測定周期内にネットワークインタフェース部110を通過したIPパケットのうち、ICMPパケット(ICMP(Internet Control Message Protocol) を使用するパケット)の総数である。この特徴項目も、パケット解析部130で、測定周期毎にカウントされる。
「TCPウィンドウサイズ」は、TCPヘッダ内に格納された情報の一つであり、通信端末装置が一度に受信できるデータ量を示す値である。TCPウィンドウサイズは、パケット解析部130により、すべての通過TCPパケットから読み出される。そして、統計計算部150が、各ウィンドウサイズ値のTCPパケット数をカウントし、カウント数が多いウィンドウサイズ値の上位3個をリストアップする。
「TCPポート番号」は、TCPヘッダ内に格納された情報の一つであり、TCPで使用されるポート番号(アプリケーションを特定するためにIPアドレスの下位に設けられる補助アドレス)である。TCPヘッダには、送信元ポート番号と宛先ポート番号とが格納されるが、この実施形態では、これらを総称してTCPポート番号と記す。TCPポート番号は、パケット解析部130により、すべての通過TCPパケットから読み出される。そして、統計計算部150が、各TCPポート番号のTCPパケット数をカウントし、カウント数が多いTCPポート番号の上位5個をリストアップする。
「送信元TCPポート番号」は、上述のTCPポート番号のうち、当該TCPパケットを送信したプローブ装置のアプリケーションを特定するためのポート番号である。送信元TCPポート番号は、パケット解析部130により、すべての通過TCPパケットから読み出される。そして、統計計算部150が、当該ポート番号毎のTCPパケット数をカウントアップする。
「宛先TCPポート番号」は、上述のTCPポート番号のうち、当該TCPパケットを受信する通信端末装置のアプリケーションを特定するためのポート番号である。宛先TCPポート番号は、パケット解析部130により、すべての通過TCPパケットから読み出される。そして、統計計算部150が、当該ポート番号毎のTCPパケット数をカウントアップする。
「UDPポート番号」は、UDPヘッダ内に格納された情報の一つであり、UDPで使用されるポート番号である。この実施形態では、送信元ポート番号と宛先ポート番号とを総称してUDPポート番号と記す。UDPポート番号は、パケット解析部130により、すべての通過UDPパケットから読み出される。そして、統計計算部150が、UDPポート番号毎のUDPパケット数をカウントし、カウント数が多いUDPポート番号の上位5個をリストアップする。
「送信元UDPポート番号」は、上述のUDPポート番号のうち、当該UDPパケットを送信したプローブ装置のアプリケーションを特定するためのポート番号である。送信元UDPポート番号は、パケット解析部130により、すべての通過UDPパケットから読み出される。そして、統計計算部150が、当該ポート番号毎のUDPパケット数をカウントアップする。
「宛先UDPポート番号」は、上述のUDPポート番号のうち、当該UDPパケットを受信する通信端末装置のアプリケーションを特定するためのポート番号である。宛先UDPポート番号は、パケット解析部130により、すべての通過UDPパケットから読み出される。そして、統計計算部150が、当該ポート番号毎のUDPパケット数をカウントアップする。
「TCPフラグ」は、TCPヘッダのフラグ領域(1バイト)に格納されたフラグのビット値である。このフラグ領域には、2ビットの予約フラグと、URGフラグと、ACKフラグと、PUSHフラグと、RSTフラグと、SYNフラグと、FINフラグとが格納されている(図2の特徴項目NのU,A,P,R,S,Fに対応)。パケット解析部130は、これらのフラグのうち予約フラグを除く6個について、フラグがセットされている(‘1’になっている)TCPパケット数をカウントする。
「TCPフラグセット」は、上述の6個のTCPフラグのうち、セットされているフラグの組み合わせを示す情報である。パケット解析部130は、すべての通過TCPパケットのヘッダから各TCPフラグの値を読み出し、セットされているフラグの組み合わせ毎にTCPパケット数をカウントする。例えば、ACKフラグおよびSYNフラグの値は‘1’であるが他のフラグの値は‘0’のTCPパケットが1個解析されたとき、‘ACK+SYN’のTCPパケット数が1個増加することになる。統計計算部150は、読み出し回数が多いフラグ値組み合わせの上位3個をリストアップする。
「ICMPタイプコード」は、ICMPパケットのヘッダ内に格納された情報の一つであり、ネットワーク制御のためのメッセージを示すタイプ(大分類)およびコード(小分類)である。例えばタイプ・コードが8・0の場合、エコー要求メッセージを示している。パケット解析部130は、すべての通過ICMPパケットのヘッダからタイプおよびコードを読み出し、タイプコード毎のICMPパケット数をカウントする。そして、統計計算部150が、カウント数が多いタイプ・コードの上位3個をリストアップする。
「IP−TOS」は、IPヘッダのTOS(Type Of Service) 領域に格納された8ビット情報であり、そのIPパケットのルーティング優先度等を示している。パケット解析部130は、すべての通過IPパケットからIP−TOSを読み出して、IP−TOS値毎のIPパケット数をカウントする。そして、統計計算部150が、カウント数が多いIP−TOS値の上位3個をリストアップする。
「IP−TTL」は、IPヘッダのTTL(Time To Live)領域に格納された8ビット情報であり、そのIPパケットの寿命を示している。パケット解析部130は、すべての通過IPパケットからIP−TTLを読み出して、IP−TTL値毎のIPパケット数をカウントする。そして、統計計算部150が、カウント数が多いIP−TTL値の上位3個をリストアップする。
「IPプロトコル」は、IP(ネットワーク層)よりも上位の層に属するプロトコルを示す情報であり、上述のTCP、UDP、ICMP等がある。パケット解析部130は、すべての通過IPパケットのIPプロトコルを判定して、各IPプロトコルの検出回数をカウントする。そして、統計計算部150が、カウント数が多いIPプロトコルの上位3個をリストアップする。
なお、図2の特徴項目は一例にすぎず、これらの特徴項目の一部のみを採用してもよいし、他の特徴項目を使用してもよい。例えば、TCPパケット数、UDPパケット数、ICMPパケット数に代えて、TCPパケット数/総パケット数、UDPパケット数/総パケット数、ICMPパケット数/総パケット数を使用してもよい。
また、IPパケットがフラグメントパケットである場合に、当該フラグメントパケットの先頭のIPパケットのみをカウントすることにしてもよい。
次に、この実施形態のプローブ装置100の全体動作を説明する。
ネットワークインタフェース部110は、ネットワーク(図示せず)のトラフィックを解析するために、IPパケットのヘッダ情報を随時取得する。取得されたIPパケット・ヘッダは、パケット解析部130に送られる。
トラフィック測定部120は、ネットワークインタフェース部110を常に監視することにより、スループットを測定する(図2の特徴項目C参照)。また、トラフィック測定部120は、上述のように、各測定周期の開始・終了日時を記録・保持する(図2の特徴項目A参照)。これらの特徴項目A,Cは、測定周期毎に作成されて、特徴情報保持部160に送られる。
パケット解析部130は、ネットワークインタフェース部110から受け取ったIPパケット・ヘッダを解析することにより、パケットやポートの種類の判断、カウント等を行う。この解析処理の結果は、統計計算部150に送られる。
統計計算部150は、パケット解析部130から受け取った解析結果に基づいて、上述のリストアップ等を行い、特徴項目B,D〜S(図2参照)を作成する。これらの特徴項目B,D〜Sは、特徴情報保持部160に送られる。
特徴情報保持部160は、同じ測定周期に対応する特徴項目A〜Sを一覧表化することにより、特徴情報を作成する。作成された特徴情報は、次の測定周期に対応する特徴情報が作成されるまで、特徴情報保持部160内に保持される。新しい特徴情報(すなわち、次の測定周期に対応する特徴情報)が作成されたとき、特徴情報保持部160は、内部に保持されていた古い特徴情報を、データベース部170に送ったあとで、内部に保持されている特徴情報を、当該新しい特徴情報に更新する。そして、特徴情報保持部160は、特著情報が更新されたことを示す信号を、異常検出部180に送る。
データベース部170は、特徴情報保持部160から受け取った特徴情報を、すべて蓄積する。
異常検出部180は、特徴情報が更新されるたびに、特徴情報保持部160から新しい特徴情報を読み出す。そして、異常検出部180は、当該特徴情報の所定の1種類または複数種類の特徴項目について、同一性の範囲を判断する。例えば、スループットの同一性の範囲を求める場合、このスループット値の±10パーセント以内を、同一性の範囲とすることができる。また、TCPウィンドウサイズの同一性を求める場合に、上位3個のリストのサイズ値および順位が完全に一致する場合のみを同一性の範囲としてもよく、さらには、上位3個のリストの各サイズ値のみが一致していればこれら3個の順位が異なっていても同一性の範囲であるとしてもよい。
続いて、異常検出部180は、当該特徴項目が同一性の範囲内にある特徴情報を、データベース部170から、すべて読み出す。そして、異常検出部180は、読み出された特徴情報から、「同一性の範囲」の判断対象となった特徴項目を除く各特徴項目について、正常範囲を統計的に算出する。例えば、読み出された特徴情報にそれぞれ含まれるTCPパケット数の標準偏差を算出し、かかる標準偏差の3倍以内を正常範囲とすることができる。また、例えば、TCPウィンドウサイズについて、上位3個のリストのうち2個以上が一致する場合を正常範囲とすることができる。正確な異常検出を行うためには、正常範囲の判断方法を、プローブ装置のトラフィック環境等に応じて、特徴項目毎に定めることが望ましい。
異常検出部180は、特徴情報保持部160から読み出された特徴情報の各特徴項目(同一性の範囲の判断対象となった特徴項目を除く)を、対応する正常範囲と比較する。そして、この比較結果に応じて、ネットワークの正常/異常を判断する。例えば、TCPポート135およびICMPのカウント値が非常に大きい場合には(図2の特徴項目H,S参照)、‘MS Blaster’と称される不正攻撃を受けている可能性が高い。この判断では、正常範囲内にない特徴項目が一つでもあれば異常と判断することとしてもよいし、正常範囲内にない特徴項目が所定数個以上である場合にのみ異常と判断することとしてもよい。さらには、特定の特徴項目については正常範囲内にないものが一つでもあれば異常と判断するが、他の特徴項目については正常範囲内にないものが所定数個以上である場合にのみ異常と判断することとしてもよい。
異常検出部180は、正常と判断された場合には、そのまま検出動作を終了して、特徴情報保持部160の次の特徴情報更新まで待機する。一方、異常と判断された場合には、異常検出部180は、ユーザ或いはオペレータに対して、異常の発生と正常範囲内にない特徴項目とを告知する。
以上説明したように、この実施形態に係る通信監視システムによれば、新しく取得した特徴情報の各特徴項目を過去の各特徴項目と統計的に比較して正常/異常を判断するので、簡単な構成で、信頼性の高い通信監視を行うことができる。
また、この実施形態に係る通信監視システムによれば、正常範囲内にない特徴項目を簡単に特定することができるので、異常の原因を容易に解明することができる。
加えて、この実施形態に係る通信監視システムによれば、学習機能を使用する必要がないので、誤検出であった場合にも、誤検出である旨や当該誤検出の原因を容易に特定することができ、このため、正常範囲の判断方法の改善等の対策が容易である。
第2の実施形態
次に、この発明に係る通信監視システムの第2の実施形態について、図3〜図5を用いて説明する。
この実施形態は、複数台のプローブ装置が特徴情報を共用できるように通信監視システムを構築した例である。
図3は、この実施形態に係る通信監視システムの全体構成を概略的に示す概念図である。
図3に示したように、この実施形態に係る通信監視システム300は、ネットワーク311〜314のインタフェース部分の伝送路193上に設置された複数台(図3の例では3台)のプローブ装置321,322,323を備えている。
図4は、プローブ装置321の要部構成を概略的に示すブロック図である。図4において、図1と同じ符号を付した構成要素は、それぞれ図1の場合と同じものである。なお、プローブ装置322,323の内部構成も、それぞれプローブ装置321と同様である。また、図5は、特徴情報保持部421(後述)が作成した特徴情報の一例を示す概念図である。
図4において、特徴情報保持部401は、第1の実施形態と同様にして特徴情報を作成するとともに、この特徴情報に、図5に示したようなプローブIDを付加する。プローブIDとは、プローブ装置321で取得された特徴情報を他のプローブ装置322,323で取得されたものと区別するためのID(Identity Data) である。特徴情報保持部401は、図5のような特徴情報を測定周期毎に作成して保持する。そして、特徴情報保持部401は、新しい特徴情報を作成するたびに、その直前に作成された古い特徴情報をデータベース部170に送るとともに、異常検出部403に更新通知信号を送る。
分散データベース制御部402には、プローブ装置321と特徴情報を共用する他のプローブ装置(この実施形態では、プローブ装置322,323)が登録されている。分散データベース制御部402は、データベース部170に蓄積されていない特徴情報を、他のプローブ装置322,323に要求する。加えて、分散データベース制御部402は、プローブ装置322,323から送信された当該特徴情報を、データベース部170に蓄積する。例えば、特徴情報保持部401に保持された特徴情報からスループットの同一性の範囲を求めたが、該当する特徴情報がデータベース部170に存在しないような場合(或いは所定数に達していないような場合)等に、分散データベース制御部402が他のプローブ装置322,323から特徴情報を取得する。さらに、分散データベース制御部402は、他のプローブ装置322,323からの要求にしたがい、データベース部170に格納された特徴情報を、これらプローブ装置322,323に送る。
異常検出部403は、特徴情報保持部401の特徴情報が更新されるたびに、当該特徴情報とデータベース部170に蓄積された過去の特徴情報とを用いて、正常/異常の判断を行う。このとき、異常検出部403は、上述のプローブIDによって各特徴情報を作成したプローブ装置を判断し、自己のプローブ装置321で作成された特徴情報の重みを他のプローブ装置322,323で作成された特徴情報の重みよりも大きくして、「正常範囲」の統計的計算を行うこととしてもよい。そして、異常検出部403は、第1の実施形態と同様にして、ネットワークの正常/異常を判断する。
また、異常検出部403は、異常が検出された場合に、他のプローブ装置322,323から、正常/異常の判断結果を取得する。そして、異常検出部403は、この取得情報に基づいて、かかる異常が、プローブ装置321周辺のみで発生した局地的な異常であるのか、それともネットワークの広域わたって発生した異常であるのかを、判断する。この判断結果は、異常が発生した旨とともに、ユーザ或いはオペレータに告知される。
他の構成部分の構成および動作は、上述の第1の実施形態と同様であるので、説明を省略する。
この実施形態に係る通信監視システムによれば、第1の実施形態と同様、簡単な構成で信頼性の高いネットワーク侵入検知を行うことができ、異常の原因を容易に解明することができ、且つ、誤検出である旨や当該誤検出の原因を容易に特定することができる。
加えて、この実施形態に係る通信監視システムによれば、複数のプローブ装置間で特徴情報を共用することができるので、データベース部170に蓄積された特徴情報の量が少ない場合にも、信頼性の高い異常検出が期待できる。したがって、通信監視システムの運用を開始する際の作業負担が小さく、また、小規模システム等でも高い信頼性を確保し易くなる。
第3の実施形態
次に、この発明に係る通信監視システムの第3の実施形態について、図6〜図8を用いて説明する。
この実施形態は、複数台のプローブ装置のデータベース部を共通化した通信監視システムの例である。
図6は、この実施形態に係る通信監視システムの全体構成を概略的に示す概念図である。図6において、図3と同じ符号を付した構成要素は、それぞれ図3の場合と同じものである。
図6に示したように、この実施形態に係る通信監視システム600は、プローブ装置611〜613と、通信監視サーバ装置621とを備えている。
図7は、プローブ装置611の要部構成を概略的に示すブロック図である。図7において、図1と同じ符号を付した構成要素は、それぞれ図1の場合と同じものである。なお、プローブ装置612,613の内部構成も、それぞれ、プローブ装置611の内部構成と同様である。
図7に示したように、このプローブ装置611は、データベース部を備えておらず、且つ、データ送信部701と、統計情報問い合わせ部702と、異常検出部703とを備えている。
データ送信部701は、特徴情報保持部401が新しい特徴情報を作成するたびに、その直前に作成された古い特徴情報を受け取り、通信監視サーバ装置621(図6参照)に送る。
統計情報問い合わせ部702は、異常検出部703からの要求にしたがって、通信監視サーバ装置621に情報送信要求を送る。さらに、統計情報問い合わせ部702は、この要求に応じて通信監視サーバ装置621から送られてきた特徴情報を受信し、異常検出部703に提供する。
異常検出部703は、特徴情報保持部401が特徴情報を更新するたびに、同一性の範囲」の算出と、当該「同一性の範囲」の判断対象となった特徴項目を除く各特徴項目について「正常範囲」か否かの判断を行う点で、第1の実施形態の異常検出部180と同様である。但し、「正常範囲」を求めるための統計処理を行わない点で、第1の実施形態の異常検出部180と異なる。後述するように、「正常範囲」の統計処理は、監視サーバ装置621内の統計情報解析部850が行う(図8参照)。
図8は、通信監視サーバ装置621の要部構成を概略的に示すブロック図である。図8に示したように、この通信監視サーバ装置621は、ネットワークインタフェース部810と、データ受信部820と、データベース部830と、統計情報返答部840と、統計情報解析部850とを備えている。
ネットワークインタフェース部810は、ネットワーク311との間で、IPパケットの送受信を行う。
データ受信部820は、プローブ装置611〜613から送信された特徴情報を受信して、データベース部830に書き込む。
データベース部830は、データ受信部820から受け取った特徴情報を、すべて蓄積する。
統計情報返答部840は、プローブ装置611〜613から送信された情報送信要求を受信して、統計情報解析部850に送る。さらに、統計情報返答部840は、統計情報解析部850から受け取った情報(統計処理結果)を、当該情報送信要求を発行したプローブ装置に送信する。
統計解析部850は、統計情報返答部840から受け取った情報送信要求に対応する特徴情報をデータベース部830から読み出して、統計処理を施し(後述)、処理結果を統計情報返答部840に送る。
次に、この実施形態に係る通信監視システムの全体動作について、プローブ装置611の通信監視を例に採って説明する。
第1の実施形態と同様、プローブ装置611のトラフィック測定部120はネットワークインタフェース部110を通過するIPパケットのスループット測定や日時情報の作成を行ない、パケット解析部130は当該IPパケットのヘッダ解析等を行ない、さらに、統計計算部150はパケット解析部130の解析結果に基づいてカウント数のリストアップ等を行う。そして、第1の実施形態と同様にして、このようにして作成された特徴項目A〜Sから、特徴情報保持部401が特徴情報を作成・保持する。
特徴情報が更新されるときに、特徴情報保持部401は、内部に保持されていた古い特徴情報を、データ送信部701に送るとともに、この更新を示す信号を異常検出部703に送る。
データ送信部701は、特徴情報保持部401から受け取った特徴情報を、ネットワークインタフェース部110を介して、通信監視サーバ装置621に送る。
通信監視サーバ装置621のデータ受信部820は、ネットワークインタフェース部810を介して受け取った特徴情報を、データベース部830に書き込む。
一方、プローブ装置611の異常検出部703は、特徴情報保持部401が特徴情報を更新するたびに、この新しい特徴情報を特徴情報保持部401から読み出す。そして、異常検出部703は、第1の実施形態と同様にして、当該特徴情報の所定の特徴項目について、同一性の範囲を判断する。さらに、当該特徴項目が同一性の範囲内にある特徴情報を、統計情報問い合わせ部702に要求する。
統計情報問い合わせ部702は、該当する特徴情報に関する情報送信要求を、通信監視サーバ装置621に送る。
通信監視サーバ装置621内の統計情報返答部840は、この情報送信要求を受信して、統計情報解析部850に送る。
統計情報解析部850は、この情報送信要求に対応する特徴情報のすべてを、データベース部830から読み出す。そして、統計情報解析部850は、第1の実施形態の異常検出部703と同様にして、これらの特徴情報から、「同一性の範囲」の判断対象となった特徴項目を除く各特徴項目について、「正常範囲」を統計的に算出する。そして、統計情報解析部850は、かかる統計処理の結果を、統計情報返答部840に送る。このような統計解析をプローブ装置611内ではなく通信監視サーバ装置621内で行うことにより、プローブ装置611と通信監視サーバ装置621との間の通信データ量を減らすことができる。
統計情報返答部840は、この統計処理結果を、プローブ装置611に送信する。
プローブ装置611の統計情報問い合わせ部702は、かかる統計処理結果を受け取って、異常検出部703に送る。
異常検出部703は、特徴情報保持部401から読み出された特徴情報の各特徴項目(同一性の範囲の判断対象となった特徴項目を除く)を、受信した統計処理結果から得た「正常範囲」と比較する。そして、この比較結果に応じて、ネットワークの正常/異常を判断する。そして、異常検出部703は、正常と判断された場合にはそのまま検出動作を終了し、異常と判断された場合には、異常検出部703はユーザ或いはオペレータに異常の発生と正常範囲内にない特徴項目とを告知する。
この実施形態に係る通信監視システムによれば、第1の実施形態と同様、簡単な構成で信頼性の高いネットワーク侵入検知を行うことができ、異常の原因を容易に解明することができ、且つ、誤検出である旨や当該誤検出の原因を容易に特定することができる。
加えて、この実施形態に係る通信監視システムによれば、第2の実施形態と同様、複数のプローブ装置間で特徴情報を共用することができるので、データベース部830に蓄積された特徴情報の量が少ない場合にも、信頼性の高い異常検出が期待できる。したがって、通信監視システムの運用を開始する際の作業負担が小さく、また、小規模システム等でも高い信頼性を確保し易くなる。
また、プローブ装置毎にハードディスクを設ける必要がないので、装置の小型化、低価格化を図ることができる。
第4の実施形態
次に、この発明に係る通信監視システムの第4の実施形態について、図9および図10を用いて説明する。
この実施形態は、複数台のプローブ装置のデータベース部を共通化した通信監視システムの他の例である。
この実施形態に係る通信監視システムの全体構成は、上述の第3の実施形態の場合(図6参照)と同様であるため、説明を省略する。
図9は、この実施形態に係るプローブ装置900の要部構成を概略的に示すブロック図である。図9において、図7と同じ符号を付した構成要素は、ぞれぞれ図7の場合と同じものである。図9に示したように、この実施形態のプローブ装置900は、異常検出部および情報問い合わせ部を備えていない。
図9において、データ送信部901は、特徴情報保持部401が新しい特徴情報を作成するたびに、その直前に作成された古い特徴情報と更新通知信号とを当該特徴情報保持部160から受け取り、通信監視サーバ装置621に送る。
図10は、この実施形態に係る通信監視サーバ装置1000の要部構成を概略的に示すブロック図である。図10において、図8と同じ符号を付した構成要素は、ぞれぞれ図8の場合と同じものである。図10に示したように、この通信監視サーバ装置1000は、データ受信部1001と、異常検出部1002とを備えている。
データ受信部1001は、プローブ装置から受信した特徴情報をおよび更新通知信号を異常検出部1002に送るとともに、異常検出処理の終了後に、この特徴情報をデータベース部830に書き込む。
異常検出部1002は、特徴情報が更新されるたびに、「同一性の範囲」の演算および「正常範囲」の演算を行い、さらに、異常検出部1002は、この「正常範囲」を用いてネットワークの正常/異常を判断する。
次に、この実施形態に係る通信監視システムの全体動作について説明する。
第3の実施形態と同様、プローブ装置900のトラフィック測定部120はネットワークインタフェース部110を通過するIPパケットのスループット測定や日時情報の作成を行ない、パケット解析部130は当該IPパケットのヘッダ解析等を行ない、さらに、統計計算部150はパケット解析部130の解析結果に基づいてカウント数のリストアップ等を行う。そして、第3の実施形態と同様にして、このようにして作成された特徴項目A〜Sから、特徴情報保持部401が特徴情報を作成・保持する。
特徴情報が更新されるときに、特徴情報保持部401は、内部に保持されていた古い特徴情報および更新通知信号を、データ送信部901に送る。
データ送信部901は、特徴情報保持部401から受け取った特徴情報および更新通知信号を、ネットワークインタフェース部110を介して、通信監視サーバ装置1000に送る。
通信監視サーバ装置1000のデータ受信部1001は、受信した特徴情報および更新通知信号を、異常検出部1002に送る。
異常検出部1002は、新しい特徴情報と更新通知信号とを受け取るたびに、第1の実施形態と同様にして、当該新しい特徴情報の所定の特徴項目について、同一性の範囲を判断する。さらに、当該特徴項目が同一性の範囲内にある特徴情報をすべて、データベース部830から読み出す。そして、異常検出部1002は、これらの特徴情報から、「同一性の範囲」の判断対象となった特徴項目を除く各特徴項目について、「正常範囲」を統計的に算出する。さらに、新しい特徴情報の各特徴項目(同一性の範囲の判断対象となった特徴項目を除く)を「正常範囲」と比較して、ネットワークの正常/異常を判断する。そして、異常検出部1002は、正常と判断された場合にはそのまま検出動作を終了し、異常と判断された場合には、異常検出部1002はユーザ或いはオペレータに異常の発生と正常範囲内にない特徴項目とを告知する。
その後、この特徴情報を、データベース部830に書き込む。
この実施形態に係る通信監視システムによれば、第1〜第3の実施形態と同様、簡単な構成で信頼性の高いネットワーク侵入検知を行うことができ、異常の原因を容易に解明することができ、且つ、誤検出である旨や当該誤検出の原因を容易に特定することができる。また、この実施形態に係る通信監視システムによれば、第2の実施形態と同様、複数のプローブ装置間で特徴情報を共用することができるので、データベース部830に蓄積された特徴情報の量が少ない場合にも、信頼性の高い異常検出が期待できる。したがって、通信監視システムの運用を開始する際の作業負担が小さく、また、小規模システム等でも高い信頼性を確保し易くなる。さらに、この実施形態に係る通信監視システムによれば、第3の実施形態と同様、プローブ装置毎にハードディスクを設ける必要がないので、装置の小型化、低価格化を図ることができる。
加えて、この実施形態では、特徴情報の管理や正常/異常の判断はすべて通信監視サーバ装置1000内で行い、プローブ装置900は新しい特徴情報を作成するだけである。このため、この実施形態では、機密漏洩防止の対策は、通信監視サーバ装置1000だけで行えばよく、セキュリティコストを低減することができる。
さらに、この実施形態では、通信監視サーバ装置1000が複数台のプローブ装置900の正常/異常の判断を行うので、異常の発生状況(当該異常がネットワーク全体の異常であるのか或いは局地的な異常であるのか等)を、監視用のネットワークを使用せずに、即座に判断することができる。したがって、NOC(Network Operatin Center) やSOC(Security Operatin Center)に通信監視サーバ装置1000を設置することとすれば、監視用ネットワークがダウンしたような場合でも、ネットワークの正常状態を回復するための迅速な対策を取ることができる。
第5の実施形態
次に、この発明に係る通信監視システムの第5の実施形態について、図11を用いて説明する。
この実施形態は、データベース部に格納する特徴情報を加工・整形することによって異常の検出精度を向上させた通信監視システムの例である。
図11は、この実施形態に係るプローブ装置1100の要部構成を概略的に示すブロック図である。図11において、図1と同じ符号を付した構成要素は、ぞれぞれ図1の場合と同じものである。図11に示したように、この実施形態のプローブ装置1100は、データフィルタ部1101と、データ適合部1102とを備えている。
データフィルタ部1101は、統計計算部150から特徴項目B,D〜Sを受け取って、特異なデータを有する特徴項目(すなわち、出現率が所定のしきい値より低いデータを含む特徴項目)を加工する。例えば、TCPウインドウサイズの上位3個のリストのうち、1位および2位の値の比率の和が99パーセントを超えており、3位の値の比率が1パーセントにも満たないような場合には、当該3位の値を誤差であるとみなして「不定」に変更する。その後、データフィルタ部1101は、加工後の特徴項目を、統計計算部150に返送する。例えば、上述のように上位3個のリストのうち3位以降の値の比率が1パーセントにも満たない場合には、3位の値を特定することは無意味である場合が多い。このため、このような特異データを削除した方が、異常検出の信頼性を高めることができる。
データ適合部1102は、異常検出部180が出力した「同一性の範囲」条件の一部を削除し、残りの条件と一致する特徴情報をデータベース部170からすべて読み出す。そして、データ適合部1102は、データベース部170から読み出された特徴情報を、削除された「同一性の範囲」の条件を用いて、整形する。例えば、異常検出部180が出力した「同一性の範囲」の条件が、条件A:「スループットが38Mbps±10パーセント」と条件B:「TCPウインドウサイズの上位3個が33304,33298,32148」とであった場合に、データ適合部1102は、条件Aを削除し、条件Bのみを満たす特徴情報をデータベース部170から読み出す。そして、読み出された特徴情報のうち、条件Aにも適合する特徴情報は、そのまま異常検出部180に送る。また、条件Bには適合するが条件Aには適合しない特徴情報については、条件Aに適合するように各特徴項目を整形して、異常検出部180に送る。例えば、条件Bには適合するがスループットは19Mbpsの特徴情報が読み出された場合、データ適合部1102は、当該特徴情報の総パケット数、TCPパケット数、UDPパケット数およびICMPパケット数の値をそれぞれ2倍(=38Mbps/19Mbps)して、異常検出部180に送る。これにより、異常検出に使用する特徴情報の数を増やすことができるので、当該異常検出の信頼性を高めることができる。
他の構成部分の構成および動作は、上述の第1の実施形態と同様であるので、説明を省略する。
この実施形態に係る通信監視システムによれば、第1の実施形態と同様、簡単な構成で信頼性の高いネットワーク侵入検知を行うことができ、異常の原因を容易に解明することができ、且つ、誤検出である旨や当該誤検出の原因を容易に特定することができる。
また、この実施形態に係る通信監視システムによれば、特異なデータを有する特徴項目をデータフィルタ部1101で加工するので、特徴情報の信頼性を高めることができる。
加えて、この実施形態に係る通信監視システムによれば、「同一性の範囲」の一部の条件が一致しない特徴情報を、データ適合部1102で特徴項目を整形して使用するので、データベース部170に蓄積された特徴情報の量が少ない場合でも、信頼性の高い異常検出が期待できる。したがって、通信監視システムの運用を開始する際の作業負担が小さく、また、小規模システム等でも高い信頼性を確保し易くなる。
第1の実施形態に係るプローブ装置の要部構成を概略的に示すブロック図である。 第1の実施形態に係る特徴情報の一例を示す表である。 第2の実施形態に係る通信監視システムの全体構成を概略的に示す概念図である。 第2の実施形態に係るプローブ装置の要部構成を概略的に示すブロック図である。 第2の実施形態に係る特徴情報の一例を示す表である。 第3の実施形態に係る通信監視システムの全体構成を概略的に示す概念図である。 第3の実施形態に係るプローブ装置の要部構成を概略的に示すブロック図である。 第3の実施形態に係る通信監視サーバ装置の要部構成を概略的に示すブロック図である。 第4の実施形態に係るプローブ装置の要部構成を概略的に示すブロック図である。 第4の実施形態に係る通信監視サーバ装置の要部構成を概略的に示すブロック図である。 第5の実施形態に係るプローブ装置の要部構成を概略的に示すブロック図である。
符号の説明
100,321,322,323,611,612,613 プローブ装置
110,810 ネットワークインタフェース部
120 トラフィック測定部
130 パケット解析部
140 解析区切指定部
150 統計計算部
160,401 特徴情報保持部
170,830 データベース部
180,403,703,1002 異常検出部
191,192,311,312,313,314 ネットワーク
193 伝送路
402 分散データベース制御部
621,1000 通信監視サーバ装置
701,901 データ送信部
702 統計情報問い合わせ部
820,1001 データ受信部
840 統計情報返答部
850 統計情報解析部

Claims (12)

  1. 予め定められた測定周期で、ネットワーク装置を通過する通信パケットのトラフィックを測定するトラフィック測定部と、
    前記通信パケットから読み出された一種類または複数種類のヘッダ情報を、前記測定周期毎に統計処理する統計計算部と、
    前記トラフィック測定部の測定結果および前記統計計算部の計算結果を含む複数の特徴項目を有する特徴情報を、前記測定周期毎に作成・保持する特徴情報保持部と、
    当該特徴情報保持部が新しい前記特徴情報を作成するたびに、当該特徴情報保持部から古い当該特徴情報を読み出して蓄積するデータベース部と、
    当該特徴情報保持部が新しい前記特徴情報を作成するたびに、所定の1または複数の前記特徴項目が当該新しい特徴情報と同一性の範囲内にある特徴情報を前記データベース部から読み出し、読み出された特徴情報の他の前記特徴項目についての正常範囲を統計的に算出し、前記新しい特徴情報の当該他の特徴項目と当該正常範囲とを比較することによって異常の発生を判断する異常検出部と、
    を備えることを特徴とする通信監視システム。
  2. 前記トラフィック測定部、前記統計計算部、前記特徴情報保持部、前記データベース部および前記異常検出部が、侵入検知を行う前記ネットワーク装置内に設けられたことを特徴とする請求項1に記載の通信監視システム。
  3. 前記ネットワーク装置が、自己の前記データベース部から読み出した前記特徴情報を他のネットワーク装置に送信し、且つ、当該他のネットワーク装置から受信した前記特徴情報を前記自己の前記データベース部に格納する、分散データベース制御部をさらに備えることを特徴とする請求項2に記載の通信監視システム。
  4. 前記トラフィック測定部、前記統計計算部、前記特徴情報保持部および前記異常検出部が、侵入検知を行う複数の前記ネットワーク装置内にそれぞれ設けられ、
    前記データベース部が、前記複数のネットワーク装置と通信接続されたサーバ装置内に設けられ、
    当該サーバ装置が、前記ネットワーク装置から受信した前記特徴情報を前記データベース部に蓄積し、該ネットワーク装置からの要求に応じて前記特徴項目が同一性の範囲内にある特徴情報を当該ネットワーク装置に送信する、
    ことを特徴とする請求項1に記載の通信監視システム。
  5. 前記トラフィック測定部、前記統計計算部および前記特徴情報保持部が、侵入検知を行う複数の前記ネットワーク装置内にそれぞれ設けられ、
    前記データベース部および前記異常検出部が、前記複数のネットワーク装置と通信接続されたサーバ装置内に設けられ、
    当該サーバ装置が、前記ネットワーク装置から受信した前記特徴情報を前記データベース部に蓄積し、当該データベース部内の前記特徴情報を用いて前記異常検出部に異常の発生の有無を判断させる、
    ことを特徴とする請求項1に記載の通信監視システム。
  6. 前記統計処理が、前記所定のヘッダ情報の値を出現数が多い順に所定数個リストアップする処理であることを特徴とする請求項1〜5のいずれかに記載の通信監視システム。
  7. リストアップされた所定数の前記ヘッダ情報値のうち、出現率が他の前記ヘッダ情報値の出現率と比較して所定しきい値よりも小さいヘッダ情報値を、前記統計処理の結果から削除することを特徴とする請求項6に記載の通信監視システム。
  8. 前記特徴項目が、総パケット数、所定プロトコルのパケット数、総パケット数に対する所定プロトコルのパケット数の比のいずれか1つ以上をさらに含むことを特徴とする請求項1〜7のいずれかに記載の通信監視システム。
  9. 通信パケットがフラグメントパケットである場合に、当該フラグメントパケットの先頭の通信パケットのみを計数することを特徴とする請求項1〜8のいずれかに記載の通信監視システム。
  10. 前記同一性の範囲が、当該新しい特徴情報に含まれる当該他の特徴項目の値と、判断対象となる当該特徴情報の当該他の特徴項目の値との比で規定されることを特徴とする請求項1〜9のいずれかに記載の通信監視システム。
  11. 前記正常範囲が、当該他の特徴項目の標準偏差で規定されることを特徴とする請求項1〜9のいずれかに記載の通信監視システム。
  12. 前記新しい特徴情報のトラフィック測定結果と前記データベース部から読み出された前記特徴情報のトラフィック測定結果との比を、当該読み出された特徴情報の所定の前記特徴項目に乗じ、当該乗算後の当該他の特徴項目を用いて前記異常検出部による正常範囲の算出を行うことを特徴とする請求項1〜11のいずれかに記載の通信監視システム。
JP2004337676A 2004-11-22 2004-11-22 通信監視システム Expired - Fee Related JP3957712B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004337676A JP3957712B2 (ja) 2004-11-22 2004-11-22 通信監視システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004337676A JP3957712B2 (ja) 2004-11-22 2004-11-22 通信監視システム

Publications (2)

Publication Number Publication Date
JP2006148686A JP2006148686A (ja) 2006-06-08
JP3957712B2 true JP3957712B2 (ja) 2007-08-15

Family

ID=36627837

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004337676A Expired - Fee Related JP3957712B2 (ja) 2004-11-22 2004-11-22 通信監視システム

Country Status (1)

Country Link
JP (1) JP3957712B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11816249B2 (en) 2017-04-09 2023-11-14 Privacy Rating Ltd. System and method for dynamic management of private data

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8320242B2 (en) 2004-12-24 2012-11-27 Net Optics, Inc. Active response communications network tap
US7760859B2 (en) 2005-03-07 2010-07-20 Net Optics, Inc. Intelligent communications network tap port aggregator
JP4232828B2 (ja) 2007-02-01 2009-03-04 沖電気工業株式会社 アプリケーション分類方法、ネットワーク異常検知方法、アプリケーション分類プログラム、ネットワーク異常検知プログラム、アプリケーション分類装置、ネットワーク異常検知装置
JP5298293B2 (ja) * 2007-03-30 2013-09-25 国立大学法人九州大学 検出装置、検出方法、通信制御方法、履歴空間データ生産方法、及びこれらの方法をコンピュータに実行させることが可能なプログラム
US7898984B2 (en) 2007-08-07 2011-03-01 Net Optics, Inc. Enhanced communication network tap port aggregator arrangement and methods thereof
US8094576B2 (en) 2007-08-07 2012-01-10 Net Optic, Inc. Integrated switch tap arrangement with visual display arrangement and methods thereof
US7903576B2 (en) * 2007-08-07 2011-03-08 Net Optics, Inc. Methods and arrangement for utilization rate display
US7773529B2 (en) 2007-12-27 2010-08-10 Net Optic, Inc. Director device and methods thereof
JP4513878B2 (ja) * 2008-03-04 2010-07-28 沖電気工業株式会社 統計処理方法及び装置並びに統計処理方法のプログラム
JP5539505B2 (ja) * 2009-06-25 2014-07-02 テレフオンアクチーボラゲット エル エム エリクソン(パブル) ユーザ感覚でのtcpスループットの推定
US8737197B2 (en) 2010-02-26 2014-05-27 Net Optic, Inc. Sequential heartbeat packet arrangement and methods thereof
US8320399B2 (en) 2010-02-26 2012-11-27 Net Optics, Inc. Add-on module and methods thereof
US9813448B2 (en) 2010-02-26 2017-11-07 Ixia Secured network arrangement and methods thereof
US9019863B2 (en) 2010-02-26 2015-04-28 Net Optics, Inc. Ibypass high density device and methods thereof
US9749261B2 (en) 2010-02-28 2017-08-29 Ixia Arrangements and methods for minimizing delay in high-speed taps
EP2540048B1 (en) 2010-02-28 2019-07-17 Keysight Technologies Singapore (Sales) Pte. Ltd. Gigabits zero-delay tap and methods thereof
JP5853465B2 (ja) 2011-07-27 2016-02-09 沖電気工業株式会社 ネットワーク分析システム
JP5782958B2 (ja) * 2011-09-26 2015-09-24 沖電気工業株式会社 情報処理装置及びプログラム
JP6228262B2 (ja) * 2016-06-03 2017-11-08 エヌ・ティ・ティ・コミュニケーションズ株式会社 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム
US9998213B2 (en) 2016-07-29 2018-06-12 Keysight Technologies Singapore (Holdings) Pte. Ltd. Network tap with battery-assisted and programmable failover
CN115102884B (zh) * 2022-06-23 2023-07-21 青岛联众芯云科技有限公司 一种用于工控机应用程序的远程数据流量统计方法及装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11816249B2 (en) 2017-04-09 2023-11-14 Privacy Rating Ltd. System and method for dynamic management of private data

Also Published As

Publication number Publication date
JP2006148686A (ja) 2006-06-08

Similar Documents

Publication Publication Date Title
JP3957712B2 (ja) 通信監視システム
JP6703613B2 (ja) データストリームにおける異常検出
CN108289088B (zh) 基于业务模型的异常流量检测系统及方法
US10164839B2 (en) Log analysis system
US9130978B2 (en) Systems and methods for detecting and preventing flooding attacks in a network environment
US9848004B2 (en) Methods and systems for internet protocol (IP) packet header collection and storage
JP2006279930A (ja) 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置
US10104108B2 (en) Log analysis system
JP5264470B2 (ja) 攻撃判定装置及びプログラム
US7804787B2 (en) Methods and apparatus for analyzing and management of application traffic on networks
JP2018533897A5 (ja)
US7903657B2 (en) Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor
CN111052704A (zh) 网络分析工作流程加速
US20070022468A1 (en) Packet transmission equipment and packet transmission system
CN109361673B (zh) 基于流量数据样本统计和平衡信息熵估计的网络异常检测方法
US20060262789A1 (en) Method and corresponding device for packets classification
US20200195672A1 (en) Analyzing user behavior patterns to detect compromised nodes in an enterprise network
CN110417747B (zh) 一种暴力破解行为的检测方法及装置
CN112953971A (zh) 一种网络安全流量入侵检测方法和系统
JP2007208328A (ja) 通信状況判定方法、通信状況判定システム及び判定装置
JP4985435B2 (ja) 監視分析装置、方法、及び、プログラム
JP7045949B2 (ja) 情報処理装置、通信検査方法及びプログラム
US11895146B2 (en) Infection-spreading attack detection system and method, and program
CN111865951A (zh) 一种基于数据包特征提取的网络数据流异常检测方法
CN109257384B (zh) 基于访问节奏矩阵的应用层DDoS攻击识别方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070313

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070508

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070508

R150 Certificate of patent or registration of utility model

Ref document number: 3957712

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100518

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110518

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120518

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130518

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140518

Year of fee payment: 7

LAPS Cancellation because of no payment of annual fees