JP4028532B2 - Communication network traffic analysis apparatus, system, and analysis method - Google Patents
Communication network traffic analysis apparatus, system, and analysis method Download PDFInfo
- Publication number
- JP4028532B2 JP4028532B2 JP2004234497A JP2004234497A JP4028532B2 JP 4028532 B2 JP4028532 B2 JP 4028532B2 JP 2004234497 A JP2004234497 A JP 2004234497A JP 2004234497 A JP2004234497 A JP 2004234497A JP 4028532 B2 JP4028532 B2 JP 4028532B2
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- packet identifier
- information
- packet
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、通信ネットワークにおける輻輳や攻撃などの異常トラヒックを検出するのに有用な、通信ネットワークトラヒック分析システムならびに分析方法に関するものである。 The present invention relates to a communication network traffic analysis system and an analysis method useful for detecting abnormal traffic such as congestion and attacks in a communication network.
通信ネットワークにおける攻撃などの異常トラヒックを検出するために、ルータ、ゲートウェイ、通信装置、またはトラヒック情報測定装置で取得したトラヒック情報をトラヒック分析装置に転送し、該トラヒック分析装置が、受信したトラヒック情報を分析して異常トラヒック判定を行う方式が用いられている。 In order to detect anomalous traffic such as attacks in a communication network, the traffic information acquired by a router, gateway, communication device, or traffic information measuring device is transferred to the traffic analyzer, and the traffic analyzer receives the received traffic information. A method of analyzing and performing abnormal traffic determination is used.
ルータ、ゲートウェイ、通信装置またはトラヒック情報測定装置が保持するRMON MIBをトラヒック情報として利用するトラヒック分析装置は、前記RMON MIB情報を周期的に収集し、時間経過に伴うトラヒック量変化を分析する。前記RMON MIB情報として、指定された回線を流れるパケット数やトラヒック量、指定されたアドレスの発/着パケット数やトラヒック量などが用いられる。この方式のトラヒック分析装置の例として、非特許文献1や非特許文献2がある。
A traffic analysis device that uses RMON MIB held by a router, gateway, communication device, or traffic information measurement device as traffic information periodically collects the RMON MIB information and analyzes changes in traffic volume over time. As the RMON MIB information, the number of packets flowing through the designated line and the traffic volume, the number of outgoing / incoming packets at the designated address, the traffic volume, and the like are used. Non-patent
ルータ、ゲートウェイ、通信装置またはトラヒック情報測定装置のパケットロギング機能あるいはパケットサンプリング機能により得られるパケット情報をトラヒック情報として利用するトラヒック分析装置は、前記ルータ、ゲートウェイ、通信装置、またはトラヒック情報測定装置に対し、該装置が保持するパケット情報をトラヒック分析装置に転送するようあらかじめ設定しておくことにより、該トラヒック分析装置は、通信ネットワークを流れるパケットの情報を収集し、時間経過に伴うトラヒックパターンの変化を分析する。前記パケット情報として、送信元IPアドレス、宛先IPアドレス、プロトコルなどが用いられる。この方式のトラヒック分析装置の例として、非特許文献3がある。
トラヒック分析システムに求められる機能として、複数通信ホスト間の通信トラヒックが多重される通信回線において、サービス拒否(DoS,Distributed Denial Service)攻撃や分散型サービス拒否(DDoS,Distributed Denial Service)攻撃のように、特定通信ホスト宛てまたは特定通信ホスト発のトラヒックが前記通信回線帯域の大部分を占有する状況のリアルタイム検出機能があげられる。 As a function required for a traffic analysis system, in a communication line where communication traffic between multiple communication hosts is multiplexed, a service denial (DoS, Distributed Denial Service) attack or a distributed service denial (DDoS, Distributed Denial Service) attack is performed. There is a real-time detection function for a situation where traffic addressed to a specific communication host or originated from a specific communication host occupies most of the communication line bandwidth.
前記従来方法のうち、RMON MIBを利用したトラヒック分析装置を用いて前記攻撃検出を行う場合、前記ルータ、ゲートウェイ、通信装置またはトラヒック情報測定装置および前記トラヒック分析装置に対し、あらかじめ監視対象通信ホストのネットワークアドレスを登録しておく必要がある。このため、不特定多数の通信ホスト間トラヒックが多重されるバックボーン通信回線の分析を行う際、登録するネットワークアドレス数が非常に多くなり、その処理にボトルネックが生じる。 In the conventional method, when the attack detection is performed using a traffic analysis device using RMON MIB, the router, gateway, communication device or traffic information measurement device and the traffic analysis device are preliminarily inspected for the communication host to be monitored. It is necessary to register the network address. For this reason, when analyzing a backbone communication line in which traffic between an unspecified number of communication hosts is multiplexed, the number of network addresses to be registered becomes very large, resulting in a bottleneck in the processing.
また、前記従来方法のうち、パケットロギング機能またはパケットサンプリング機能を利用したトラヒック分析装置を用いて前記攻撃検出を行う場合、受信するパケット情報を分析することにより通信回線帯域の大部分を占有している通信ホストを特定する必要がある。このため、不特定多数の通信ホスト間トラヒックが多重されるバックボーン通信回線のトラヒック分析を行う際、該装置が受信する送信元IPアドレスと宛先IPアドレスの情報が非常に多いため、受信するパケット情報を分析する処理にボトルネックが生じる。 In addition, among the conventional methods, when the attack detection is performed using a traffic analysis device using a packet logging function or a packet sampling function, a large part of the communication line bandwidth is occupied by analyzing received packet information. It is necessary to identify the communication host that is present. For this reason, when performing a traffic analysis of a backbone communication line in which traffic between a large number of unspecified communication hosts is multiplexed, since there is a great deal of information on the source IP address and destination IP address received by the device, the received packet information A bottleneck occurs in the process of analyzing the above.
本発明の目的は、従来方法における、ボトルネックを解消することをねらった通信ネットワークトラヒック分析装置、システムおよび分析方法を提供することにある。 An object of the present invention is to provide a communication network traffic analysis device, system, and analysis method aiming at eliminating bottlenecks in the conventional method.
上記目的を達成するため本発明のトラヒック分析装置は、通信ネットワークを流れるトラヒックを監視して異常トラヒックを検出する通信ネットワークトラヒック分析システムにおけるトラヒック分析装置であって、
パケット情報、パケット識別子毎のトラヒック量情報、回線単位のトラヒック量情報を収集するトラヒック情報収集手段と、
前記トラヒック情報収集手段により収集されたパケット情報を、パケット識別子毎に分析し、異常トラヒックを送受信している被疑がある通信ホストとして、送受信トラヒック量が多い順に、指定された個数の通信ホストのパケット識別子の値を抽出する異常トラヒック被疑パケット識別子値抽出手段と、
前記異常トラヒック被疑パケット識別子値抽出手段により得られたパケット識別子の値を持つパケットを監視対象としてトラヒック量測定を実施するように、ルータ、ゲートウェイ、通信装置、またはトラヒック情報測定装置に対して指示するトラヒック量測定対象パケット識別子値指示手段と、
前記トラヒック量測定対象パケット識別子値指示手段にて指示されたパケット識別子に限定して前記トラヒック情報収集手段により収集されたパケット識別子毎のトラヒック量情報に対し、パケット識別子毎に異常トラヒックを送受信しているかどうかを判定するパケット識別子毎異常トラヒック判定手段と、
前記パケット識別子毎異常トラヒック判定手段により得られたパケット識別子の値を出力する異常トラヒックパケット識別子値出力手段と、
前記トラヒック量測定対象パケット識別子値指示手段にて指示されたパケット識別子に限定して前記トラヒック情報収集手段により収集されたパケット識別子値毎のトラヒック量情報を累算した結果のトラヒック量情報と、前記トラヒック情報収集手段により収集された回線単位のトラヒック量情報とを比較するトラヒック量情報比較手段と、
前記トラヒック量情報比較手段による比較結果に基づき、前記トラヒック情報収集手段により収集されたパケット情報を、パケット識別子毎に分析して、異常トラヒックを送受信している被疑がある通信ホストのパケット識別子の値を再抽出するかどうかを判定する異常トラヒック被疑パケット識別子値再抽出判定手段と、
を有する。
また、本発明の通信ネットワークトラヒック分析システムは、通信ネットワークを流れるトラヒックを監視して異常トラヒックを検出する通信ネットワークトラヒック分析システムであって、
監視対象の通信回線単位、および、監視対象のパケット識別子値単位にトラヒック量を測定して蓄積するトラヒック量測定手段と、監視対象の通信回線を流れるすべてあるいはサンプリングされたパケット情報を取得して蓄積するパケットロギング手段と、前記トラヒック量測定手段および前記パケットロギング手段により蓄積されたトラヒック情報を別装置に転送するトラヒック情報転送手段とを含むルータ、ゲートウェイ、通信装置、またはトラヒック情報測定装置と、
パケット情報、パケット識別子毎のトラヒック量情報、回線単位のトラヒック量情報を収集するトラヒック情報収集手段と、前記トラヒック情報収集手段により収集されたパケット情報を、パケット識別子毎に分析して、異常トラヒックを送受信している被疑がある通信ホストとして、送受信トラヒック量が多い順に、指定された個数の通信ホストのパケット識別子の値を抽出する異常トラヒック被疑パケット識別子値抽出手段と、前記異常トラヒック被疑パケット識別子値抽出手段により得られたパケット識別子の値を持つパケットを監視対象としてトラヒック量測定を実施するように、ルータ、ゲートウェイ、通信装置、またはトラヒック情報測定装置に対して指示するトラヒック量測定対象パケット識別子値指示手段と、前記トラヒック量測定対象パケット識別子値指示手段にて指示されたパケット識別子に限定して前記トラヒック情報収集手段により収集されたパケット識別子毎のトラヒック量情報に対し、パケット識別子毎に異常トラヒックを送受信しているかどうかを判定するパケット識別子毎異常トラヒック判定手段と、前記パケット識別子毎異常トラヒック判定手段により得られたパケット識別子の値を出力する異常トラヒックパケット識別子値出力手段と、前記トラヒック量測定対象パケット識別子値指示手段にて指示されたパケット識別子に限定して前記トラヒック情報収集手段により収集されたパケット識別子値毎のトラヒック量情報を累算した結果のトラヒック量情報と、前記トラヒック情報収集手段により収集された回線単位のトラヒック量情報とを比較するトラヒック量情報比較手段と、前記トラヒック量情報比較手段による比較結果に基づき、前記トラヒック情報収集手段により収集されたパケット情報を、パケット識別子毎に分析して、異常トラヒックを送受信している被疑がある通信ホストのパケット識別子の値を再抽出するかどうかを判定する異常トラヒック被疑パケット識別子値再抽出判定手段とを含むトラヒック分析装置と、
を有する。
In order to achieve the above object, a traffic analysis apparatus of the present invention is a traffic analysis apparatus in a communication network traffic analysis system that monitors traffic flowing through a communication network and detects abnormal traffic,
Traffic information collection means for collecting packet information, traffic volume information for each packet identifier, and traffic volume information for each line;
The packet information collected by the traffic information collecting means is analyzed for each packet identifier, and the packets of the specified number of communication hosts are ordered in descending order of the amount of transmitted / received traffic as suspected communication hosts transmitting / receiving abnormal traffic. Anomalous traffic suspected packet identifier value extracting means for extracting an identifier value;
Instructs a router, a gateway, a communication device, or a traffic information measurement device to perform traffic volume measurement on a packet having a packet identifier value obtained by the abnormal traffic suspected packet identifier value extraction means. A traffic amount measurement target packet identifier value indicating means;
In response to the traffic amount information for each packet identifier collected by the traffic information collecting means limited to the packet identifier instructed by the traffic amount measurement target packet identifier value instructing means, abnormal traffic is transmitted and received for each packet identifier. Each packet identifier abnormal traffic determining means for determining whether or not,
Abnormal traffic packet identifier value output means for outputting the value of the packet identifier obtained by the abnormal traffic determination means for each packet identifier;
The traffic amount information as a result of accumulating the traffic amount information for each packet identifier value collected by the traffic information collecting means limited to the packet identifier instructed by the traffic amount measurement target packet identifier value instructing means, Traffic volume information comparing means for comparing the traffic volume information collected by the traffic information collecting means for each line;
Based on the comparison result by the traffic volume information comparison unit, the packet information collected by the traffic information collection unit is analyzed for each packet identifier, and the packet identifier value of the suspected communication host that is sending and receiving abnormal traffic An abnormal traffic suspicious packet identifier value re-extraction determination means for determining whether to re-extract
Have
Further, the communication network traffic analysis system of the present invention is a communication network traffic analysis system for monitoring traffic flowing through a communication network and detecting abnormal traffic,
Traffic volume measuring means that measures and accumulates traffic volume for each monitored communication line and monitored packet identifier value, and acquires and stores all or sampled packet information that flows through the monitored communication line A router, a gateway, a communication device, or a traffic information measuring device, including: a packet logging unit that performs the traffic amount measurement unit and a traffic information transfer unit that transfers the traffic information accumulated by the packet logging unit to another device;
Packet information, traffic information for each packet identifier, traffic information collecting means for collecting traffic information for each line, and packet information collected by the traffic information collecting means is analyzed for each packet identifier to detect abnormal traffic. Abnormal traffic suspected packet identifier value extracting means for extracting packet identifier values of a specified number of communication hosts in descending order of the amount of transmitted / received traffic as suspected communication hosts that are transmitting and receiving, and the abnormal traffic suspected packet identifier value Traffic amount measurement target packet identifier value instructing the router, gateway, communication device, or traffic information measurement device to perform traffic amount measurement with a packet having the packet identifier value obtained by the extraction means as a monitoring target and instruction means, said Torahi' To traffic information of the amount measured packet identifier value is limited to the indicated packet identifier with an instruction means each packet identifier collected by the traffic information collecting unit, whether the sending and receiving abnormal traffic for each packet identifier Anomaly traffic determination means for each packet identifier for judging, an anomaly traffic packet identifier value output means for outputting the value of the packet identifier obtained by the anomaly traffic judgment means for each packet identifier, and a packet identifier value indicating means for measuring traffic amount The traffic amount information obtained as a result of accumulating the traffic amount information for each packet identifier value collected by the traffic information collecting means limited to the packet identifier instructed in the above, and the line unit collected by the traffic information collecting means Traffic volume information Based on the comparison result by the traffic volume information comparison means and the traffic volume information comparison means, the packet information collected by the traffic information collection means is analyzed for each packet identifier, and there is a suspicion that abnormal traffic is transmitted / received. A traffic analysis apparatus including abnormal traffic suspected packet identifier value re-extraction determination means for determining whether or not to re-extract a packet identifier value of a certain communication host;
Have
本発明の通信ネットワークトラヒック分析方法は、トラヒック分析装置と、ルータ、ゲートウェイ、通信装置、またはトラヒック情報測定装置とを有する通信ネットワークトラヒック分析システムにおいて、
前記ルータ、ゲートウェイ、通信装置、またはトラヒック情報測定装置に対し、監視対象の通信回線を流れるすべてあるいはサンプリングされたパケット情報を取得して蓄積するパケットロギング機能を起動するステップと、
前記トラヒック分析装置において、受信したパケット情報をパケット識別子毎に分析して、異常トラヒックを送受信している被疑がある通信ホストとして、送受信トラヒック量が多い順に、指定された個数の通信ホストのパケット識別子の値を抽出するステップと、
得られたパケット識別子の値を持つパケットを監視対象としてトラヒック量測定を実施するように、前記ルータ、ゲートウェイ、通信装置、またはトラヒック情報測定装置に対して指示するステップと、
前記ルータ、ゲートウェイ、通信装置、またはトラヒック情報測定装置に対して、得られたパケット識別子の値を持つパケットを監視対象としてトラヒック量測定を実施するように指示するステップにて指示されたパケット識別子に限定して、受信したパケット識別子値毎のトラヒック量情報を累算した結果のトラヒック量情報と、受信した回線単位のトラヒック量情報とを比較する処理を定期的に行うステップと、
該比較結果に基づき、受信したパケット情報をパケット識別子毎に分析して、異常トラヒックを送受信している被疑がある通信ホストのパケット識別子の値を再抽出するかどうかを判定するステップと、
再抽出すると判定した場合に、前記パケット識別子の値を抽出するステップ、および、前記ルータ、ゲートウェイ、通信装置、またはトラヒック情報測定装置に対して、得られたパケット識別子の値を持つパケットを監視対象としてトラヒック量測定を実施するように指示するステップを再実行するステップと、
再抽出しないと判定した場合に、受信したパケット識別子毎のトラヒック量情報に対し、パケット識別子毎に異常トラヒックを送受信しているかどうかを判定するステップ、および、異常トラヒックを送受信していると判定した通信ホストのパケット識別子の値を出力するステップと、
を有する。
Communication network traffic analysis methods of the present invention, a traffic analyzer, routers, gateways, the communication device or communication network traffic analysis system and a traffic information measuring device,
The router, gateway, to the communication device, or the traffic information measuring apparatus, comprising the steps of starting a packet logging function to store to get all through a communication line to be monitored or sampled packet information,
In the traffic analysis device, the received packet information is analyzed for each packet identifier, and the packet identifiers of a specified number of communication hosts are listed in descending order of the amount of traffic to be transmitted / received as suspected communication hosts transmitting / receiving abnormal traffic. Extracting the value of
Instructing the router, gateway, communication device, or traffic information measuring device to perform traffic volume measurement with a packet having a value of the obtained packet identifier as a monitoring target;
The packet identifier specified in the step of instructing the router, gateway, communication device, or traffic information measuring device to perform the traffic amount measurement using the packet having the obtained packet identifier value as a monitoring target. limited to, a traffic information as a result of accumulating traffic information for each received packet identifier value, and performing regular processing for comparing the traffic information of the line units received,
Analyzing the received packet information for each packet identifier based on the comparison result and determining whether to re-extract the value of the packet identifier of the communication host suspected of transmitting / receiving abnormal traffic;
A step of extracting the value of the packet identifier when it is determined to be re-extracted, and a packet having the value of the obtained packet identifier for the router, gateway, communication device, or traffic information measuring device to be monitored Re-executing the step of instructing to perform traffic volume measurement as
If it is determined not to re-extract, the step of determining whether or not abnormal traffic is transmitted / received for each packet identifier with respect to the traffic amount information for each received packet identifier, and determining that abnormal traffic is being transmitted / received Outputting a packet identifier value of the communication host;
Have
本発明は、パケット情報を分析して、DoSやDDoS攻撃のような異常トラヒックを送受信している被疑がある通信ホストを特定し、ルータ、ゲートウェイ、通信装置、またはトラヒック情報測定装置およびトラヒック分析装置に対し、該通信ホストのネットワークアドレスなどのパケット識別子を監視対象通信ホストとして登録し、該監視対象通信ホストのトラヒック量情報の累積値と、回線全体のトラヒック量情報との比較によって監視対象通信ホストの再登録が必要かどうか判定を行い、再登録が必要と判定した場合にのみ、再びパケット情報を分析して監視対象通信ホストを再登録するようにしたものである。 The present invention analyzes packet information to identify a suspected communication host that is sending and receiving abnormal traffic such as DoS and DDoS attacks, and provides a router, gateway, communication device, or traffic information measuring device and traffic analysis device. On the other hand, a packet identifier such as a network address of the communication host is registered as a monitoring target communication host, and the monitoring target communication host is compared by comparing the accumulated traffic amount information of the monitoring target communication host with the traffic amount information of the entire line. It is determined whether or not re-registration is necessary, and only when it is determined that re-registration is necessary, the packet information is analyzed again and the monitored communication host is re-registered.
このため、ルータ、ゲートウェイ、通信装置、またはトラヒック情報測定装置に対して、いったん監視対象となるパケット識別子を設定した後、監視対象通信ホストの再登録を不要と判定している間は、再度受信したパケット情報を分析して、異常トラヒック量を送受信している被疑がある通信ホストを特定する処理をする必要はない。したがって、監視対象の回線を流れるパケットのネットワークアドレス値などのパケット識別子の値の種類が非常に多い場合でも、リアルタイムに異常トラヒック判定を行うことができる。 For this reason, once a packet identifier to be monitored is set for a router, gateway, communication device, or traffic information measurement device, it is received again while it is determined that re-registration of the monitored communication host is unnecessary. There is no need to analyze the packet information and identify a suspect communication host that is sending or receiving abnormal traffic. Therefore, even when there are very many types of packet identifier values such as network address values of packets flowing through the monitored line, abnormal traffic determination can be performed in real time.
本発明は、以下に述べる効果がある。 The present invention has the following effects.
1)トラヒック情報測定装置とトラヒック分析装置間の通信量を減らすことにより、トラヒック分析装置およびトラヒック情報測定装置の処理負荷を軽減することができる。 1) By reducing the amount of communication between the traffic information measuring device and the traffic analyzing device, the processing load on the traffic analyzing device and the traffic information measuring device can be reduced.
2)トラヒック情報測定装置を、ルータ、ゲートウェイまたは通信装置の既存機能を用いて実施することにより、通信ネットワークトラヒック分析システムを経済的に実現できる。 2) By implementing the traffic information measuring device using the existing function of the router, gateway or communication device, a communication network traffic analysis system can be realized economically.
次に、本発明の実施の形態について図面を参照して詳細に説明する。 Next, embodiments of the present invention will be described in detail with reference to the drawings.
図1を参照すると、本発明の一実施形態の通信ネットワークトラヒック分析システムは、トラヒック情報測定装置1、2、3と、トラヒック分析装置4と、IPネットワークN1と、ユーザLAN11、N12、N13で構成されている。
Referring to FIG. 1, a communication network traffic analysis system according to an embodiment of the present invention includes traffic
トラヒック情報測定装置1、2、3は、それぞれユーザLAN1、2、3とIPネットワークN1を接続する通信路に配備される。トラヒック分析装置4は、IPネットワークN1に接続する。
The traffic
図2は、図1のシステムによる異常トラヒック検出処理手順を示すフローチャートである。 FIG. 2 is a flowchart showing an abnormal traffic detection processing procedure by the system of FIG.
異常トラヒックの判定として、単一ホスト宛て/発トラヒックが一例として全体の回線帯域の70%以上を占めるかどうかを判定する処理を行う。 As a determination of abnormal traffic, a process for determining whether or not the traffic destined for a single host occupies 70% or more of the entire line bandwidth is performed as an example.
トラヒック分析装置4は、トラヒック情報測定装置1、2、3に対してパケットロギングの実行を指示する(ステップ101)。トラヒック情報測定装置1、2、3はパケットロギングの実行指示を受信し(ステップ102)、パケットロギングを実行する(ステップ103)。トラヒック情報測定装置1、2、3は、パケットロギングにより蓄積されたパケット情報をトラヒック分析装置4に転送する(ステップ104)。トラヒック分析装置4は、パケット情報を受信し(ステップ105)、あらかじめ決められた時間、例えば1秒間待ち(ステップ106)、トラヒック情報測定装置1、2、3に対してパケットロギングの実行停止を指示する(ステップ107)。トラヒック情報測定装置1、2、3は、パケットロギングの実行停止指示を受信し(ステップ108)、パケットロギングの実行を停止する(ステップ109)。トラヒック分析装置4は、受信したパケット情報をパケット識別子毎に分析して、異常トラヒックを送受信している被疑がある通信ホストとして、送受信トラヒック量が多い順に、指定された個数の通信ホストのパケット識別子の値を抽出し(ステップ110)、トラヒック情報測定装置1、2、3に対して、監視対象の通信回線単位、および、得られたパケット識別子値を監視対象としたトラヒック量測定の実行を指示する(ステップ111)。トラヒック情報測定装置1、2、3は、監視対象の通信回線単位、および、得られたパケット識別子値を監視対象としたトラヒック量測定の実行指示を受信し(ステップ112)、監視対象の通信回線単位、および受信したパケット識別子値単位のトラヒック情報測定を実行する(ステップ113)。トラヒック分析装置4は、ステップ111の後あらかじめ決められた時間、例えば1秒間待ち(ステップ114)、トラヒック情報測定装置1、2、3に対してトラヒック量情報の転送を指示する(ステップ115)。トラヒック情報測定装置1、2、3はトラヒック量情報の転送指示を受信し(ステップ116)、トラヒック情報測定により蓄積したトラヒック量情報をトラヒック分析装置4に転送する(ステップ117)。トラヒック分析装置4は、トラヒック情報を受信し(ステップ118)、受信したパケット識別子値毎のトラヒック量情報を累算した結果のトラヒック量情報を、回線単位のトラヒック量情報と比較し(ステップ119)、累算したトラヒック情報量が受信した回線単位のトラヒック量情報の7割以上かどうか判定を行い(ステップ120)、判定結果が7割以上でない場合は、ステップ101以降を繰り返し、判定結果が7割以上の場合は、トラヒック分析装置4は、異常トラヒックを送受信しているかどうかをパケット識別子毎に判定する処理として、パケット識別子毎のトラヒック情報量が回線単位のトラヒック量情報の7割以上となるパケット識別子が存在するかどうかを判定する処理を行い(ステップ121)、該当するパケット識別子が1つもなかった場合(ステップ122)、ステップ114から繰り返し、該当するパケット識別子が見つかった場合、パケット識別子毎のトラヒック情報量が回線単位のトラヒック量情報の7割以上となるパケット識別子値を出力し(ステップ123)、ステップ114から繰り返す。
The traffic analysis device 4 instructs the traffic
図3を参照すると、トラヒック情報測定装置1〜3は、通信ポート1001、1002と、パケット送受信・コピー部1003と、トラヒック量測定部1004と、パケットロギング処理部1005と、トラヒック情報転送部1006と、パケット識別子値登録テーブル1007と、トラヒック情報データベース1008とから構成されている。
Referring to FIG. 3, traffic
通信ポート1001は、図1のユーザLAN N11、N12、N13のいずれかと接続している通信ポートである。通信ポート1002は、図1のIPネットワークN1と接続している通信ポートである。
The communication port 1001 is a communication port connected to any of the user LANs N11, N12, and N13 in FIG. The
パケット送受信・コピー部1003は、通信ポート1001から受信したパケットに対し、該パケットの宛先を解決し、宛先解決の結果通信ポート1002から送信すべきパケットであれば、通信ポート1002から送信するとともに、パケットコピーを行い、コピーしたパケットをトラヒック量測定部1004とパケットロギング部1005に渡し、宛先解決の結果パケット識別子値設定部1007で処理すべきパケットであれば、該パケットをパケット識別子値設定部1007に渡し、通信ポート1002から受信したパケットに対し、該パケットの宛先を解決し、宛先解決の結果通信ポート1001から送信すべきパケットであれば、通信ポート1001から送信するとともに、パケットコピーを行い、コピーしたパケットをトラヒック量測定部1004とパケットロギング部1005に渡し、宛先解決の結果パケット識別子値設定部1007で処理すべきパケットであれば、該パケットをパケット識別子値設定部1007に渡し、トラヒック情報転送部1006から受信したパケットに対し、該パケットの宛先を解決し、宛先解決の結果通信ポート1001から送信すべきパケットであれば、通信ポート1001から送信し、宛先解決の結果通信ポート1002から送信すべきパケットであれば、通信ポート1002から送信する。
The packet transmission / reception /
トラヒック量測定部1004は、パケット識別子値登録テーブル1008に登録されているパケット識別子値単位、および、通信ポート1001から受信したのか、通信ポート1002から受信したのかの通信回線単位にトラヒック量を測定し、該測定結果をトラヒック情報データベース1009に格納する。
The traffic
パケットロギング部1005は、通信ポート1001および通信ポート1002から受信したパケット情報を取得し、該取得結果をトラヒック情報データベース1009に格納する。
The packet logging unit 1005 acquires packet information received from the communication port 1001 and the
トラヒック情報転送部1006は、トラヒック情報データベース1009に格納されたトラヒック情報を定期的にパケット送受信・コピー部1003に渡す。
The traffic
パケット識別子値設定部1007は、受信したパケットのデータに基づき、パケット識別子値登録テーブル1008に対し、パケット識別子値の追加および変更および削除を行う。
The packet identifier
図4を参照すると、トラヒック分析装置4は、通信ポート2001と、パケット送受信部2002、トラヒック情報収集部2003、異常トラヒック被疑パケット識別子値抽出部2004、トラヒック量測定対象パケット識別子値指示部2005、トラヒック量情報比較部2006、パケット識別子毎異常トラヒック判定部2007、異常トラヒックパケット識別子値出力部2008、異常トラヒック被疑パケット識別子値再抽出判定部2009、パケット識別子値登録テーブル2010、トラヒック情報データベース2011とから構成されている。
Referring to FIG. 4, the traffic analysis device 4 includes a communication port 2001, a packet transmission / reception unit 2002, a traffic information collection unit 2003, an abnormal traffic suspected packet identifier
通信ポート2001は、図1のIPネットワークN1と接続している通信ポートである。 A communication port 2001 is a communication port connected to the IP network N1 of FIG.
パケット送受信部2002は、通信ポート2001から受信したパケットをトラヒック情報収集部2003に渡し、トラヒック量測定対象パケット識別子値指示部2005から受信したパケットを通信ポート2001から送信する。
The packet transmitting / receiving unit 2002 passes the packet received from the communication port 2001 to the traffic information collecting unit 2003, and transmits the packet received from the traffic amount measurement target packet identifier
トラヒック情報収集部2003は、パケット送受信部2002から受信したトラヒック情報を収集してトラヒック情報データベース2011に蓄積する。
The traffic information collection unit 2003 collects the traffic information received from the packet transmission / reception unit 2002 and stores it in the
異常トラヒック被疑パケット識別子値抽出部2004は、トラヒック情報データベース2011に蓄積されたパケット情報をパケット識別子毎に分析して、異常トラヒックを送受信している被疑がある通信ホストとして、送受信トラヒック量が多い順に、指定された個数の通信ホストのパケット識別子の値を抽出し、パケット識別子値登録テーブル2010に登録する。
The abnormal traffic suspected packet identifier
トラヒック量測定対象パケット識別子値指示部2005は、異常トラヒック被疑パケット識別子値抽出部2004からの指示があった場合に、パケット識別子値登録テーブル2010に登録された、パケット識別子の値を持つパケットを監視対象としてトラヒック量測定を実施するように、ルータ、ゲートウェイ、通信装置またはトラヒック情報測定装置に対して指示する指示パケットを、パケット送受信部2002に渡す。
The traffic amount measurement target packet identifier
パケット識別子毎異常トラヒック判定部2007はトラヒック情報データベース2011に蓄積されたパケット識別子毎のトラヒック量情報に対し、パケット識別子毎のトラヒック情報量が回線単位のトラヒック量情報の7割以上となるパケット識別子が存在するかどうかを判定する。
The abnormal
異常トラヒックパケット識別子値出力部2008はパケット識別子毎異常トラヒック判定部2007により得られたパケット識別子の値を外部の出力装置などに出力する。
トラヒック量情報比較部2006は、トラヒック情報データベース2011に蓄積されたパケット識別子値単位のトラヒック量情報を累算した結果のトラヒック量情報と、トラヒック情報データベース2009に蓄積された回線単位のトラヒック量情報とを比較する。
The abnormal traffic packet identifier
The traffic volume information comparison unit 2006 includes the traffic volume information obtained as a result of accumulating the traffic volume information stored in the
異常トラヒック被疑パケット識別子値再抽出判定部2009はトラヒック量情報比較部2006による比較結果として、前記累算したトラヒック情報量が前記回線単位のトラヒック情報量の7割以上かどうかにより、トラヒック情報データベース2011に蓄積されたパケット情報を、パケット識別子毎に分析して、異常トラヒックを送受信している被疑がある通信ホストのパケット識別子の値を抽出するかどうかを判定する。前記比較結果が7割以上でなかった場合、異常トラヒック被疑パケット識別子値抽出部2004に対し、指示を行う。
The abnormal traffic suspected packet identifier value
なお、トラヒック情報測定装置、トラヒック分析装置は専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムを、コンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するものであってもよい。コンピュータ読み取り可能な記録媒体とは、フロッピーディスク、光磁気ディスク、CD−ROM等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータ読み取り可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間の間、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含む。 The traffic information measuring device and the traffic analyzing device are recorded on a computer-readable recording medium, and the program for realizing the function is recorded on the recording medium in addition to those realized by dedicated hardware. The program may be read by a computer system and executed. The computer-readable recording medium refers to a recording medium such as a floppy disk, a magneto-optical disk, a CD-ROM, or a storage device such as a hard disk device built in the computer system. Furthermore, a computer-readable recording medium is a server that dynamically holds a program (transmission medium or transmission wave) for a short period of time, as in the case of transmitting a program via the Internet, and a server in that case. Some of them hold programs for a certain period of time, such as volatile memory inside computer systems.
1、2、3 トラヒック情報測定装置
4 トラヒック分析装置
N1 IPネットワーク
N11、N12、N13 ユーザLAN
101〜122 ステップ
1001、1002 通信ポート
1003 パケット送受信・コピー部
1004 トラヒック量測定部
1005 パケットロギング部
1006 トラヒック情報転送部
1007 パケット識別子値設定部
1008 パケット識別子値登録テーブル
1009 トラヒック情報データベース
2001 通信ポート
2002 パケット送受信部
2003 トラヒック情報収集部
2004 異常トラヒック被疑パケット識別子値抽出部
2005 トラヒック量測定対象パケット識別子値指示部
2006 トラヒック量情報比較部
2007 パケット識別子毎異常トラヒック判定部
2008 異常トラヒックパケット識別子値出力部
2009 異常トラヒック被疑パケット識別子値再抽出判定部
2010 パケット識別子値登録テーブル
2011 トラヒック情報データベース
1, 2, 3 Traffic information measurement device 4 Traffic analysis device N1 IP network N11, N12, N13 User LAN
101 to 122
Claims (3)
パケット情報、パケット識別子毎のトラヒック量情報、回線単位のトラヒック量情報を収集するトラヒック情報収集手段と、
前記トラヒック情報収集手段により収集されたパケット情報を、パケット識別子毎に分析し、異常トラヒックを送受信している被疑がある通信ホストとして、送受信トラヒック量が多い順に、指定された個数の通信ホストのパケット識別子の値を抽出する異常トラヒック被疑パケット識別子値抽出手段と、
前記異常トラヒック被疑パケット識別子値抽出手段により得られたパケット識別子の値を持つパケットを監視対象としてトラヒック量測定を実施するように、ルータ、ゲートウェイ、通信装置、またはトラヒック情報測定装置に対して指示するトラヒック量測定対象パケット識別子値指示手段と、
前記トラヒック量測定対象パケット識別子値指示手段にて指示されたパケット識別子に限定して前記トラヒック情報収集手段により収集されたパケット識別子毎のトラヒック量情報に対し、パケット識別子毎に異常トラヒックを送受信しているかどうかを判定するパケット識別子毎異常トラヒック判定手段と、
前記パケット識別子毎異常トラヒック判定手段により得られたパケット識別子の値を出力する異常トラヒックパケット識別子値出力手段と、
前記トラヒック量測定対象パケット識別子値指示手段にて指示されたパケット識別子に限定して前記トラヒック情報収集手段により収集されたパケット識別子値毎のトラヒック量情報を累算した結果のトラヒック量情報と、前記トラヒック情報収集手段により収集された回線単位のトラヒック量情報とを比較するトラヒック量情報比較手段と、
前記トラヒック量情報比較手段による比較結果に基づき、前記トラヒック情報収集手段により収集されたパケット情報を、パケット識別子毎に分析して、異常トラヒックを送受信している被疑がある通信ホストのパケット識別子の値を再抽出するかどうかを判定する異常トラヒック被疑パケット識別子値再抽出判定手段と、
を有するトラヒック分析装置。 A traffic analysis device in a communication network traffic analysis system that monitors traffic flowing through a communication network and detects abnormal traffic,
Traffic information collection means for collecting packet information, traffic volume information for each packet identifier, and traffic volume information for each line;
The packet information collected by the traffic information collecting means is analyzed for each packet identifier, and the packets of the specified number of communication hosts are ordered in descending order of the amount of transmitted / received traffic as suspected communication hosts transmitting / receiving abnormal traffic. Anomaly traffic suspected packet identifier value extracting means for extracting an identifier value;
Instructs a router, a gateway, a communication device, or a traffic information measurement device to perform traffic volume measurement on a packet having a packet identifier value obtained by the abnormal traffic suspected packet identifier value extraction means. A traffic volume measurement target packet identifier value indicating means;
In response to the traffic amount information for each packet identifier collected by the traffic information collecting means limited to the packet identifier instructed by the traffic amount measurement target packet identifier value instructing means , abnormal traffic is transmitted and received for each packet identifier. An abnormal traffic determination means for each packet identifier for determining whether or not,
Abnormal traffic packet identifier value output means for outputting the value of the packet identifier obtained by the abnormal traffic determination means for each packet identifier;
The traffic amount information as a result of accumulating the traffic amount information for each packet identifier value collected by the traffic information collecting means limited to the packet identifier instructed by the traffic amount measurement target packet identifier value instructing means , Traffic volume information comparing means for comparing the traffic volume information collected by the traffic information collecting means for each line;
Based on the comparison result by the traffic volume information comparison unit, the packet information collected by the traffic information collection unit is analyzed for each packet identifier, and the packet identifier value of the suspected communication host that is sending and receiving abnormal traffic An abnormal traffic suspected packet identifier value re-extraction determining means for determining whether to re-extract
A traffic analyzer.
監視対象の通信回線単位、および、監視対象のパケット識別子値単位にトラヒック量を測定して蓄積するトラヒック量測定手段と、監視対象の通信回線を流れるすべてあるいはサンプリングされたパケット情報を取得して蓄積するパケットロギング手段と、前記トラヒック量測定手段および前記パケットロギング手段により蓄積されたトラヒック情報を別装置に転送するトラヒック情報転送手段とを含むルータ、ゲートウェイ、通信装置、またはトラヒック情報測定装置と、
パケット情報、パケット識別子毎のトラヒック量情報、回線単位のトラヒック量情報を収集するトラヒック情報収集手段と、前記トラヒック情報収集手段により収集されたパケット情報を、パケット識別子毎に分析し、異常トラヒックを送受信している被疑がある通信ホストとして、送受信トラヒック量が多い順に、指定された個数の通信ホストのパケット識別子の値を抽出する異常トラヒック被疑パケット識別子値抽出手段と、前記異常トラヒック被疑パケット識別子値抽出手段により得られたパケット識別子の値を持つパケットを監視対象としてトラヒック量測定を実施するように、ルータ、ゲートウェイ、通信装置、またはトラヒック情報測定装置に対して指示するトラヒック量測定対象パケット識別子値指示手段と、前記トラヒック量測定対象パケット識別子値指示手段にて指示されたパケット識別子に限定して前記トラヒック情報収集手段により収集されたパケット識別子毎のトラヒック量情報に対し、パケット識別子毎に異常トラヒックを送受信しているかどうかを判定するパケット識別子毎異常トラヒック判定手段と、前記パケット識別子毎異常トラヒック判定手段により得られたパケット識別子の値を出力する異常トラヒックパケット識別子値出力手段と、前記トラヒック量測定対象パケット識別子値指示手段にて指示されたパケット識別子に限定して前記トラヒック情報収集手段により収集されたパケット識別子値毎のトラヒック量情報を累算した結果のトラヒック量情報と、前記トラヒック情報収集手段により収集された回線単位のトラヒック量情報とを比較するトラヒック量情報比較手段と、前記トラヒック量情報比較手段による比較結果に基づき、前記トラヒック情報収集手段により収集されたパケット情報を、パケット識別子毎に分析して、異常トラヒックを送受信している被疑がある通信ホストのパケット識別子の値を再抽出するかどうかを判定する異常トラヒック被疑パケット識別子値再抽出判定手段とを含むトラヒック分析装置と、
を有する通信ネットワークトラヒック分析システム。 A communication network traffic analysis system that monitors traffic flowing through a communication network and detects abnormal traffic,
Traffic volume measuring means that measures and accumulates traffic volume for each monitored communication line and monitored packet identifier value, and acquires and stores all or sampled packet information that flows through the monitored communication line A router, a gateway, a communication device, or a traffic information measuring device, including: a packet logging unit that performs the traffic amount measurement unit and a traffic information transfer unit that transfers the traffic information accumulated by the packet logging unit to another device;
Packet information, traffic information for each packet identifier, traffic information collecting means for collecting traffic information for each line, packet information collected by the traffic information collecting means is analyzed for each packet identifier , and abnormal traffic is transmitted and received An abnormal traffic suspected packet identifier value extracting means for extracting packet identifier values of a specified number of communication hosts in descending order of the amount of transmission / reception traffic as the suspected communication host , and the abnormal traffic suspected packet identifier value extraction The traffic amount measurement target packet identifier value instruction that instructs the router, gateway, communication device, or traffic information measurement device to perform the traffic amount measurement by monitoring the packet having the packet identifier value obtained by the means. and means, said traffic To traffic volume information of the measurement target packet identifier value is limited to the indicated packet identifier with an instruction means each packet identifier collected by the traffic information collecting unit, whether the sending and receiving abnormal traffic for each packet identifier An abnormal traffic determination unit for each packet identifier to be determined, an abnormal traffic packet identifier value output unit for outputting a value of the packet identifier obtained by the abnormal traffic determination unit for each packet identifier, and a packet identifier value indicating unit for measuring traffic amount Traffic amount information as a result of accumulating the traffic amount information for each packet identifier value collected by the traffic information collecting means limited to the packet identifier specified in the above, and the unit of line collected by the traffic information collecting means Compare with traffic volume information Based on the comparison result by the traffic amount information comparing means and the traffic amount information comparing means, the packet information collected by the traffic information collecting means is analyzed for each packet identifier, and there is a suspicion that abnormal traffic is transmitted / received. A traffic analysis apparatus including abnormal traffic suspected packet identifier value re-extraction determining means for determining whether or not to re-extract a packet identifier value of a certain communication host;
A communication network traffic analysis system.
前記ルータ、ゲートウェイ、通信装置、またはトラヒック情報測定装置に対し、監視対象の通信回線を流れるすべてあるいはサンプリングされたパケット情報を取得して蓄積するパケットロギング機能を起動するステップと、
前記トラヒック分析装置において、受信したパケット情報をパケット識別子毎に分析し、異常トラヒックを送受信している被疑がある通信ホストとして、送受信トラヒック量が多い順に、指定された個数の通信ホストのパケット識別子の値を抽出するステップと、
得られたパケット識別子の値を持つパケットを監視対象としてトラヒック量測定を実施するように、前記ルータ、ゲートウェイ、通信装置、またはトラヒック情報測定装置に対して指示するステップと、
前記ルータ、ゲートウェイ、通信装置、またはトラヒック情報測定装置に対して、得られたパケット識別子の値を持つパケットを監視対象としてトラヒック量測定を実施するように指示するステップにて指示されたパケット識別子に限定して、受信したパケット識別子値毎のトラヒック量情報を累算した結果のトラヒック量情報と、受信した回線単位のトラヒック量情報とを比較する処理を定期的に行うステップと、
該比較結果に基づき、受信したパケット情報をパケット識別子毎に分析して、異常トラヒックを送受信している被疑がある通信ホストのパケット識別子の値を再抽出するかどうかを判定するステップと、
再抽出すると判定した場合に、前記パケット識別子の値を抽出するステップ、および、前記ルータ、ゲートウェイ、通信装置、またはトラヒック情報測定装置に対して、得られたパケット識別子の値を持つパケットを監視対象としてトラヒック量測定を実施するように指示するステップを再実行するステップと、
再抽出しないと判定した場合に、受信したパケット識別子毎のトラヒック量情報に対し、パケット識別子毎に異常トラヒックを送受信しているかどうかを判定するステップ、および、異常トラヒックを送受信していると判定した通信ホストのパケット識別子の値を出力するステップと、
を有する通信ネットワークトラヒック分析方法。 In a communication network traffic analysis system having a traffic analysis device and a router, gateway, communication device, or traffic information measurement device,
Activating a packet logging function for acquiring and accumulating all or sampled packet information flowing through a monitored communication line for the router, gateway, communication device, or traffic information measuring device;
In the traffic analysis device, the received packet information is analyzed for each packet identifier, and as the communication host suspected of transmitting / receiving abnormal traffic, the packet identifiers of the specified number of communication hosts in descending order of the amount of transmitted / received traffic Extracting a value ;
Instructing the router, gateway, communication device, or traffic information measuring device to perform traffic volume measurement with a packet having a value of the obtained packet identifier as a monitoring target;
The packet identifier specified in the step of instructing the router, gateway, communication device, or traffic information measuring device to perform traffic volume measurement with a packet having the obtained packet identifier value as a monitoring target. limited to, a traffic information as a result of accumulating traffic information for each received packet identifier value, and performing regular processing for comparing the traffic information of the line units received,
Analyzing the received packet information for each packet identifier based on the comparison result and determining whether to re-extract the value of the packet identifier of the communication host suspected of transmitting / receiving abnormal traffic;
A step of extracting the value of the packet identifier when it is determined to be re-extracted, and a packet having the obtained value of the packet identifier for the router, gateway, communication device, or traffic information measuring device to be monitored Re-executing the step of instructing to perform traffic volume measurement as
If it is determined not to re-extract, the step of determining whether or not abnormal traffic is transmitted / received for each packet identifier with respect to the traffic amount information for each received packet identifier, and determining that abnormal traffic is being transmitted / received Outputting a packet identifier value of the communication host;
A communication network traffic analysis method comprising:
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004234497A JP4028532B2 (en) | 2004-08-11 | 2004-08-11 | Communication network traffic analysis apparatus, system, and analysis method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004234497A JP4028532B2 (en) | 2004-08-11 | 2004-08-11 | Communication network traffic analysis apparatus, system, and analysis method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006054652A JP2006054652A (en) | 2006-02-23 |
| JP4028532B2 true JP4028532B2 (en) | 2007-12-26 |
Family
ID=36031838
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004234497A Expired - Fee Related JP4028532B2 (en) | 2004-08-11 | 2004-08-11 | Communication network traffic analysis apparatus, system, and analysis method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4028532B2 (en) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4659907B2 (en) * | 2007-07-19 | 2011-03-30 | 富士通株式会社 | Communication message classification program, communication message classification method, and communication message classification apparatus |
| US7697444B2 (en) * | 2007-09-07 | 2010-04-13 | Fujitsu Limited | Testing a circuit using a shared bandwidth test bus |
| US8149699B2 (en) | 2008-12-02 | 2012-04-03 | Electronics And Telecommunications Research Institute | Method and apparatus for controlling traffic according to user |
| CN102656911A (en) * | 2009-12-18 | 2012-09-05 | 日本电气株式会社 | Mobile communication system, constituent apparatuses thereof, traffic leveling method and program |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08116334A (en) * | 1994-10-14 | 1996-05-07 | Fujitsu Ltd | Method and device for monitoring/fault analysis in network constituted of plural lans |
| JP3652661B2 (en) * | 2002-03-20 | 2005-05-25 | 日本電信電話株式会社 | Method and apparatus for preventing denial of service attack and computer program therefor |
| JP2004140524A (en) * | 2002-10-16 | 2004-05-13 | Sony Corp | Method and apparatus for detecting dos attack, and program |
| JP2004145687A (en) * | 2002-10-25 | 2004-05-20 | Oki Electric Ind Co Ltd | Attack detection system and attack detection method |
| JP2004164107A (en) * | 2002-11-11 | 2004-06-10 | Kddi Corp | Unauthorized access monitoring system |
-
2004
- 2004-08-11 JP JP2004234497A patent/JP4028532B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006054652A (en) | 2006-02-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2187577B1 (en) | Abnormal traffic detection device, abnormal traffic detection method, and abnormal traffic detection program | |
| JP5228936B2 (en) | Overlay traffic detection system and traffic monitoring / control system | |
| US9413616B2 (en) | Detection of network address spoofing and false positive avoidance | |
| JP4512196B2 (en) | Abnormal traffic detection method and packet relay apparatus | |
| US8634717B2 (en) | DDoS attack detection and defense apparatus and method using packet data | |
| US8917616B2 (en) | Methods and apparatus for detection of a NAT device | |
| US20090282478A1 (en) | Method and apparatus for processing network attack | |
| JP4556981B2 (en) | Network monitoring apparatus and network monitoring method | |
| KR101295708B1 (en) | Apparatus for capturing traffic and apparatus, system and method for analyzing traffic | |
| US20190260663A1 (en) | Deriving test profiles based on security and network telemetry information extracted from the target network environment | |
| KR102088299B1 (en) | Apparatus and method for detecting drdos | |
| Gao et al. | A dos resilient flow-level intrusion detection approach for high-speed networks | |
| CN109361673B (en) | Network anomaly detection method based on flow data sample statistics and balance information entropy estimation | |
| EP2659647A1 (en) | Method for detecting and mitigating denial of service attacks | |
| KR20140088340A (en) | APPARATUS AND METHOD FOR PROCESSING DDoS IN A OPENFLOW SWITCH | |
| JP6502902B2 (en) | Attack detection device, attack detection system and attack detection method | |
| WO2019159833A1 (en) | Threat information extraction device and threat information extraction system | |
| Kaushik et al. | Network forensic system for ICMP attacks | |
| JP4028532B2 (en) | Communication network traffic analysis apparatus, system, and analysis method | |
| KR101469285B1 (en) | System and method for analyzing alternative internet traffic using routing based on policy | |
| JP2006164038A (en) | Method for coping with dos attack or ddos attack, network device and analysis device | |
| Yang et al. | Disambiguation of residential wired and wireless access in a forensic setting | |
| US9742699B2 (en) | Network apparatus and selective information monitoring method using the same | |
| Kamiya et al. | The method of detecting malware-infected hosts analyzing firewall and proxy logs | |
| JP2009049592A (en) | Ip flow measuring circuit and ip flow measuring method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060727 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070711 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070903 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20071003 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20071011 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101019 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4028532 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101019 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111019 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111019 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121019 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121019 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131019 Year of fee payment: 6 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |