JP4490307B2 - ネットワーク異常検出装置及びコンピュータプログラム及びネットワーク異常検出方法 - Google Patents
ネットワーク異常検出装置及びコンピュータプログラム及びネットワーク異常検出方法 Download PDFInfo
- Publication number
- JP4490307B2 JP4490307B2 JP2005049461A JP2005049461A JP4490307B2 JP 4490307 B2 JP4490307 B2 JP 4490307B2 JP 2005049461 A JP2005049461 A JP 2005049461A JP 2005049461 A JP2005049461 A JP 2005049461A JP 4490307 B2 JP4490307 B2 JP 4490307B2
- Authority
- JP
- Japan
- Prior art keywords
- relay
- unit
- abnormality
- predicted
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
通信を中継する中継装置を有するネットワークシステムにおける異常を検出するネットワーク異常検出装置において、
上記中継装置が中継した通信を単位時間ごとに集計した数を中継通信数として記憶する中継通信数記憶部と、
上記中継通信数記憶部が記憶した中継通信数を時系列分析により分析し、中継通信数の上限値を予測して、予測通信数上限値とする予測通信数上限値算出部と、
上記予測通信数上限値算出部が算出した予測通信数上限値に基づいて、異常を判別する異常判別部と、
を有することを特徴とする。
実施の形態1を図1〜図7を用いて説明する。
図1において、分析サーバ500は、システムユニット910、CRT(Cathode Ray Tube)表示装置901、キーボード(K/B)902、マウス903、コンパクトディスク装置(CDD)905、プリンタ装置906、スキャナ装置907を備え、これらはケーブルで接続されている。
さらに、分析サーバ500は、FAX機932、電話器931とケーブルで接続され、また、ローカルエリアネットワーク(LAN)942、ゲートウェイ941を介してインターネット940に接続されている。
図2において、分析サーバ500は、プログラムを実行するCPU(Central Processing Unit)911を備えている。CPU911は、バス912を介してROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、CRT表示装置901、K/B902、マウス903、FDD(Flexible Disk Drive)904、磁気ディスク装置920、CDD905、プリンタ装置906、スキャナ装置907と接続されている。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。
通信ボード915は、FAX機932、電話器931、LAN942等に接続されている。
例えば、通信ボード915、K/B902、スキャナ装置907、FDD904などは、入力部の一例である。
また、例えば、通信ボード915、CRT表示装置901などは、出力部の一例である。
磁気ディスク装置920には、オペレーティングシステム(OS)921、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923は、CPU911、OS921、ウィンドウシステム922により実行される。
ファイル群924には、以下に述べる実施の形態の説明において、「〜の判定結果」、「〜の計算結果」、「〜の処理結果」として説明するものが、「〜ファイル」として記憶されている。
また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータの入出力を示し、そのデータの入出力のためにデータは、磁気ディスク装置920、FD(Flexible Disk)、光ディスク、CD(コンパクトディスク)、MD(ミニディスク)、DVD(Digital Versatile Disk)等のその他の記録媒体に記録される。あるいは、信号線やその他の伝送媒体により伝送される。
図3において、111はインターネットなどの広域網、121〜126は、ネットワークに接続された端末(接続端末)、131〜134は、ネットワークを中継する中継装置、141は中継装置上で集計されたネットワークのトラフィック統計情報(時系列データ)、500はトラフィック統計情報を分析する分析サーバ(ネットワーク異常検出装置の一例)である。
図4は、この実施の形態における中継装置131〜134の内部構成の一例を示す。
図4において、421は中継処理部、431は統計情報生成部(中継通信数集計部の一例)、432は統計情報送信部、441〜443はネットワーク接続インタフェース、451〜453は、各ネットワーク接続インタフェースに接続されているネットワークケーブルを表している。ここで、図4では、ネットワーク接続インタフェースを作図の都合上3つ記載しているが、これは、実際の中継装置の仕様を制限するものではなく、任意の数のネットワーク接続インタフェースを備えていてもよい。
図5は、トラフィック統計情報(中継通信数)の一例を示す。図5において、横軸は時刻、縦軸は中継通信数を示す。トラフィック統計情報は、このような時系列データをなしている。
611は監視対象としているネットワーク、131〜134はトラフィック統計情報を生成している中継装置、500は分析サーバ、641はトラフィック統計情報収集部、642は収集したトラフィック統計情報を記憶しておくトラフィック統計情報記憶部(中継通信数記憶部の一例)、643は時系列分析を行う分析処理部(予測通信数上限値算出部の一例)、644は分析処理部が分析した結果と実際の観測値から異常が発生しているかどうかを判定する異常判別部、645は異常判別部が異常を判別した場合に、それをユーザに通知するためのアラートを生成するアラート生成部、646はアラート生成部が生成したアラートを表示するためのアラート表示部、651は時系列分析による予測の信頼度を記憶する予測信頼度記憶部、652は異常判別部644が異常を判別した場合にその信頼度を求める異常判別信頼度算出部である。
ここで、予測値とは、将来のタイムスロットにおける中継通信数を確率的に予測した場合の平均値である。また、予測誤差とは、その予測における分布の標準偏差である。
図7において、711はタイムスロット、721は各タイムスロットにおける観測値(中継通信数)、731〜737は矢印で示されたタイムスロットの観測値を分析して得られた予測上限値(予測通信数上限値)、741は分析を開始した時点を表している。
1単位時間が経過すると、新しい観測値721が1つ(タイムスロット4)得られる。
分析処理部643は、直前の3つの観測値721(タイムスロット2〜4)に基づいて、将来の2つのタイムスロット(タイムスロット5〜6)について、予測上限値を求める。(732)
ただし、分析を開始した時点からn−1個先のタイムスロットまでは、予測上限値はn個より少ない(図7のタイムスロット4)場合があるが、これらは、例外として扱い、以後の説明では、観測値が得られた時点ではn個の予測上限値が得られているものとする。
比較の順番は、最新の予測上限値(観測されたタイムスロットのひとつ前のタイムスロットからm個分の観測値を用いた分析結果)から順に行う。
すなわち、予測信頼度記憶部651は、その予測上限値が新しいほど信頼度が高いとする予測信頼度を記憶している。異常判別信頼度算出部652は、異常と判断した根拠となった予測上限値に対応する予測信頼度を、予測信頼度記憶部651から得て、異常判別の信頼度とする。
分析処理部643は、トラフィック統計情報記憶部642が記憶したトラフィック統計情報を時系列分析する際、異常判別フラグが付加されたトラフィック統計情報を無視し、他のトラフィック統計情報のみを用いて分析を行う。
あるいは、異常判別部644が異常を判別した場合、トラフィック統計情報記憶部642は、異常が判別されたトラフィック統計情報を削除して、記憶しないという構成でもよい。
単発的に検出された異常の場合には、異常が収まれば、その後の観測値は正常な値に戻ることが予想され、その後の観測値に影響を及ぼさないと考えられるのに対し、連続的に検出された異常は、実は異常ではなく、傾向の変化であって、その後の観測値は、その傾向にしたがうものと考えられるからである。
分析処理部643は、トラフィック統計情報記憶部642が記憶したトラフィック統計情報を時系列分析する際、分析対象のトラフィック統計情報のうち、異常判別を示すフラグが付加されたトラフィック統計情報の数(異常を判別した頻度)を数える。そして、それが特定の頻度以下である場合には、異常判別フラグが付加されたトラフィック統計情報を無視し、他のトラフィック統計情報のみを用いて分析を行う。
しかし、この頻度が特定の頻度を超える場合には、異常判別フラグが付加されたトラフィック統計情報も、通常のトラフィック統計情報と同等に扱って、分析を行う。
その場合、トラフィック統計情報記憶部642が、トラフィック統計情報に付加された異常判別フラグを削除して記憶することにより、以後の分析の際には、通常のトラフィック統計情報として扱うこととしてもよい。
実施の形態2を図1、図2、図4、図5及び図7〜図9を用いて説明する。
この実施の形態における分析サーバ500〜503(ネットワーク異常検出装置の一例)のハードウェア構成は、実施の形態1と共通なので、ここでは説明を省略する。
図8において、111はインターネットなどの広域網、121〜126は、ネットワークに接続された端末(接続端末)、131〜134はネットワークを中継する中継装置、500〜503はトラフィック統計情報(中継通信数)を分析する分析サーバ(ネットワーク異常検出装置の一例)、142は分析サーバ500〜503が生成したアラート情報、152はアラート情報142を集中管理する管理サーバである。
例えば、分析サーバ500は中継装置131を担当し、中継装置131が中継したパケットについてのトラフィック統計情報を分析する。
中継通信情報収集部661は、ネットワークハブなどのネットワーク接続点において中継されるパケットを複製して、複製されたパケットを読み込むことによって、中継パケットの情報(中継通信情報)を収集する。
中継通信情報記憶部662は、中継通信情報収集部661が収集した中継通信情報を記憶する。
統計情報生成部431(中継通信数集計部の一例)は、中継通信情報記憶部662が記憶した中継通信情報に基づいて、トラフィック統計情報(中継通信数)を集計する。
トラフィック統計情報記憶部642(中継通信数記憶部の一例)は、統計情報生成部431が生成したトラフィック統計情報を記憶する。
管理サーバ152では、分析サーバ500〜503より受信したアラート情報142に基づいて、ネットワーク全体の状況を判断し、適切な措置を行う。
また、分析サーバを各中継装置ごとに設けず、1つの分析サーバが複数の中継装置を担当することとしてもよい。
あるいは、管理サーバにも分析サーバとしての機能を設け、担当する分析サーバのない中継装置については、管理サーバが分析を行う構成としてもよい。
実施の形態3を図1、図2、図4、図5、図7、図8、図10及び図11を用いて説明する。
この実施の形態における分析サーバ500(ネットワーク異常検出装置の一例)のハードウェア構成及びネットワークシステムの構成は、実施の形態2と共通なので、ここでは説明を省略する。
時計491は、現在時刻を示す。
集計開始判別部492は、時計491を読み出し、集計を開始すべき時刻になったら、集計開始を判別する。
経過時間計測部493は、集計開始判別部492が集計開始を判別してからの経過時間を、時計491により計測する。
集計終了判別部494は、経過時間計測部493が計測した経過時間が、集計の単位時間に達したら、集計終了を判別する。
中継通信数積算部495は、内部にカウンタを有し、集計開始判別部492が集計開始を判別すると、内部のカウンタをリセットする。
その後、条件に合うパケットを中継するたびに、カウンタの値を1ずつ増やしていく。
集計終了判別部が集計終了を判別すると、中継通信数積算部495はカウントを止めて、そのときの内部カウンタの値を読み出し、中継通信数を得る。
また、予測上限値もタイムスロットごとにしか求めていないので、実際に異常が発生した場合にそれを検出できるのは、単位時間の終了後となってしまい、遅延が生じる。
そこで、単位時間を短くとることで、異常を判別するまでにかかる遅延を短くする方法が考えられる。しかし、単位時間を短く取った場合、ノイズの影響を受けるようになり、精度の高い予測が難しくなる。
分析処理部643は、途中通信数が予測上限値を上回った場合に、異常を判別する。
図11において、T2〜T6はそれぞれ中継通信数を集計するタイムスロットである。現在は、T5の途中であり、T2〜T4については、観測値811〜813が確定している。
また、時系列分析により、T5〜T6について、予測上限値821、822が求められている。
途中通信数は、集計の途中で減少することはない。したがって、途中通信数が予測上限値821を上回った801の時点で、最終的な中継通信数831が予測上限値821を上回ることは確実である。
分析処理部643は、途中予測中継数が予測上限値を上回った場合に、異常を判別する。
特に、単位時間の開始からの経過時間が短い場合には、ノイズの影響が大きい。
これに対し、単位時間の開始からの経過時間が、単位時間に近くなればなるほど、信頼度は増していく。
実施の形態4を図1、図2、図4、図5、図7、図8、図11及び図12を用いて説明する。
この実施の形態における分析サーバ500(ネットワーク異常検出装置の一例)のハードウェア構成及びネットワークシステムの全体構成は、実施の形態2と共通なので、ここでは説明を省略する。
異常判別部644は、信頼度合計部671及び合計信頼度比較部672を有する。
信頼度合計部671は、予測信頼度記憶部651が記憶した予測信頼度のうち、実際の観測値が上回った予測上限値に対応する予測信頼度のみを合計し、合計信頼度とする。
合計信頼度比較部672は、信頼度合計部671が合計した合計信頼度が特定の閾値を上回る場合に、異常を判別する。
すなわち、1つの条件から見ると、異常が発生しているか不確実な場合でも、他の条件でも異常が発生していれば、それらを総合して考えると、確実に異常が発生していると判別できる。
信頼度合計部671は、集計の条件が異なる複数の観測値について、それぞれについて分析処理部643が予測した予測上限値と比較する。観測値が予測上限値を上回る場合には、それに対応する予測信頼度を合計する。
次に、合計信頼度比較部672が、この合計値と閾値を比較して、閾値を上回った場合に、異常を判別する。
また、予測の信頼度が高い条件で集計した観測値が予測上限値を上回った場合には、それだけで閾値を超え、異常を判別するように設定することもできる。
例えば、予測の基礎とした観測値のばらつきが大きい場合には、そこから予測した予測上限値は信頼度が低いものである。したがって、観測値のばらつきが大きい場合には予測信頼度を低くし、逆にばらつきが小さい場合に予測信頼度を高くする機能を設けてもよい。
あるいは、異常を判別した場合に、それが本当に異常だったかを入力させることにより、フィードバックを受けて、予測信頼度を変化させることもできる。
すなわち、本当に異常だった場合には、その異常判別に貢献した条件についての予測信頼度を高くし、誤検出だった場合には、その異常判別に関与した条件についての予測信頼度を低くする機能を設けることも考えられる。
実施の形態5を図1、図2、図4、図5、図7、図8、図11及び図12を用いて説明する。
この実施の形態における分析サーバ500(ネットワーク異常検出装置の一例)のハードウェア構成及びネットワークシステムの全体構成は、実施の形態4と共通なので、ここでは説明を省略する。
中継通信情報収集部661は、中継装置が中継した通信についての情報(中継通信情報)を収集し、中継通信情報記憶部662が記憶する。
統計情報生成部431は、このなかから、特定の集計条件に当てはまる通信の数を数え、トラフィック統計情報(中継通信数)として、トラフィック統計情報記憶部642が記憶する。
分析処理部643は、このトラフィック統計情報を時系列分析し、予測上限値を算出する。予測上限値は、低めの値を算出するように設定しておく。
分析処理部643は、別の条件で集計したトラフィック統計情報を時系列分析して、別の予測上限値を算出する。
異常判別部644は、予測上限値と実際の観測地とを比較して、実際の観測値が上回る場合に異常を判別する。2回目のプロセスでも異常が判別された場合には、アラート情報の信頼度は増し、逆に2回目は異常が判別されなかった場合には、アラート情報の信頼度は低いままである。
分析サーバ500では、中継装置131〜134から送られてきた、中継したパケットデータそのものの情報を収集し、記憶することとなる。
以上説明した実施の形態では、ネットワーク異常検出装置の機能が1つの装置の中で実現されていた。
しかし、このような機能は、物理的に1つの装置内で実現する必要はない。ネットワークに接続されたサーバに各機能を分散させることにより、ネットワークシステム全体が、ネットワーク異常検出装置として機能するよう構成してもよい。
すなわち、ここでいう「ネットワーク異常検出装置」とは、必ずしも物理的に1つの装置であることを意味するものではない。ネットワークシステム全体を1つの装置として捉えて、上述した機能がそのネットワークシステム内で実現されていれば、ネットワークシステム全体としてネットワーク異常検出装置である。
すなわち、中継装置は、設定された条件に沿って単位時間当たりに中継パケット数を集計したトラフィック統計情報(時系列データ)を生成し、生成したトラフィック統計情報をネットワーク上の分析サーバへ送信することができるものであり、分析サーバは、ネットワーク上の中継装置からトラフィック統計情報を受信し、得られたトラフィック統計情報を、時系列分析を用いて分析し、分析結果から、単位時間後の異常の発生を検出した場合には、アラートメッセージを生成してユーザに通知する機能を持つものであり、その両者を有するネットワークシステム。
Claims (15)
- パケット通信を中継する中継装置を有するネットワークシステムにおける異常を検出するネットワーク異常検出装置において、
上記中継装置が中継したパケットを単位時間ごとに集計してパケットの中継通信数を算出する中継通信数集計部と、
上記中継通信数集計部が集計した中継通信数を記憶する中継通信数記憶部と、
自己回帰移動平均モデルを用いた時系列分析により、上記中継通信数記憶部が記憶した中継通信数を分析して、過去m個分(mは自然数。)の中継通信数に基づいて未来n個分(nは2以上の自然数。)の中継通信数の平均値と標準偏差とを予測するパラメータを推定し、推定したパラメータを用いて、単位時間ごとに、上記中継通信数記憶部が記憶した過去m個の単位時間についての中継通信数に基づいて、未来n個の単位時間についての中継通信数の平均値と標準偏差とを予測し、予測した標準偏差と所定の定数との積と、予測した平均値とを合計して、未来n個の単位時間についての予測通信数上限値を算出する予測通信数上限値算出部と、
上記予測通信数上限値算出部が単位時間ごとに算出した未来n個の単位時間のうち現在の単位時間についてのn個の予測通信数上限値に基づいて、異常を判別する異常判別部とを有することを特徴とするネットワーク異常検出装置。 - 上記異常判別部は、上記中継通信数記憶部が現在の単位時間について記憶した中継通信数が、上記予測通信数上限値算出部が算出した現在の単位時間についてのn個の予測通信数上限値の少なくともいずれかを上回る場合に、異常が発生していると判定することを特徴とする請求項1に記載のネットワーク異常検出装置。
- 上記異常判別部は、上記中継通信数集計部が現在の単位時間について集計している途中の中継通信数が、上記予測通信数上限値算出部が算出した現在の単位時間についてのn個の予測通信数上限値の少なくともいずれかを上回る場合に、異常が発生していると判定することを特徴とする請求項1または請求項2に記載のネットワーク異常検出装置。
- 上記ネットワーク異常検出装置は、更に、
上記中継通信数集計部が現在の単位時間について集計している途中の中継通信数に基づいて、集計の終了の時点における中継通信数を予測して途中予測中継数を算出する途中予測中継数予測部を有し、
上記異常判別部は、上記途中予測中継数予測部が予測して途中予測中継数が、上記予測通信数上限値算出部が算出した現在の単位時間についてのn個の予測通信数上限値の少なくともいずれかを上回る場合に、異常が発生していると判定することを特徴とする請求項1乃至請求項3のいずれかに記載のネットワーク異常検出装置。 - 上記中継通信数集計部は、上記中継装置が中継したパケットのうち、複数の条件それぞれについて、上記条件に当てはまるパケットの数を単位時間ごとに集計して複数の中継通信数を算出し、
上記予測通信数上限値算出部は、上記複数の条件それぞれについて、予測通信数上限値を算出し、
上記異常判別部は、上記複数の条件それぞれについて異常を判別し、異常が発生していると判定した条件の信頼度を合計し、合計した信頼度が所定の信頼度を上回る場合に、全体として異常が発生していると判定することを特徴とする請求項1乃至請求項4のいずれかに記載のネットワーク異常検出装置。 - 上記予測通信数上限値算出部は、上記中継通信数記憶部が記憶した中継通信数のうち、上記異常判別部が異常を判別した上記中継通信数を除外して、時系列分析を行うことを特徴とする請求項1乃至請求項5のいずれかに記載のネットワーク異常検出装置。
- 上記予測通信数上限値算出部は、上記中継通信数記憶部が記憶した中継通信数のうち、上記異常判別部が異常を判別した頻度が特定の頻度を下回る場合に、上記異常判別部が異常を判別した上記中継通信数を除外して、時系列分析を行うことを特徴とする請求項1乃至請求項6のいずれかに記載のネットワーク異常検出装置。
- コンピュータが実行することにより、上記コンピュータが請求項1乃至請求項7のいずれかに記載のネットワーク異常検出装置として機能することを特徴とするコンピュータプログラム。
- ネットワーク異常検出装置が、パケット通信を中継する中継装置を有するネットワークシステムにおける異常を検出するネットワーク異常検出方法において、
中継通信数集計部が、上記中継装置が中継したパケットを単位時間ごとに集計してパケットの中継通信数を算出し、
中継通信数記憶部が、上記中継通信数集計部が集計した中継通信数を記憶し、
予測通信数上限値算出部が、自己回帰移動平均モデルを用いた時系列分析により、上記中継通信数記憶部が記憶した中継通信数を分析して、過去m個分(mは自然数。)の中継通信数に基づいて未来n個分(nは2以上の自然数。)の中継通信数の平均値と標準偏差とを予測するパラメータを推定し、
予測通信数上限値算出部が、推定したパラメータを用いて、単位時間ごとに、上記中継通信数記憶部が記憶した過去m個の単位時間についての中継通信数に基づいて、未来n個の単位時間についての中継通信数の平均値と標準偏差とを予測し、予測した標準偏差と所定の定数との積と、予測した平均値とを合計して、未来n個の単位時間についての予測通信数上限値を算出し、
異常判別部が、上記予測通信数上限値算出部が単位時間ごとに算出した未来n個の単位時間のうち現在の単位時間についてのn個の予測通信数上限値に基づいて、異常を判別することを特徴とするネットワーク異常検出方法。 - 上記異常判別部が、上記中継通信数記憶部が現在の単位時間について記憶した中継通信数が、上記予測通信数上限値算出部が算出した現在の単位時間についてのn個の予測通信数上限値の少なくともいずれかを上回る場合に、異常が発生していると判定することを特徴とする請求項9に記載のネットワーク異常検出方法。
- 上記異常判別部が、上記中継通信数集計部が現在の単位時間について集計している途中の中継通信数が、上記予測通信数上限値算出部が算出した現在の単位時間についてのn個の予測通信数上限値の少なくともいずれかを上回る場合に、異常が発生していると判定することを特徴とする請求項9または請求項10に記載のネットワーク異常検出方法。
- 途中予測中継数予測部が、上記中継通信数集計部が現在の単位時間について集計している途中の中継通信数に基づいて、集計の終了の時点における中継通信数を予測して途中予測中継数を算出し、
上記異常判別部が、上記途中予測中継数予測部が予測して途中予測中継数が、上記予測通信数上限値算出部が算出した現在の単位時間についてのn個の予測通信数上限値の少なくともいずれかを上回る場合に、異常が発生していると判定することを特徴とする請求項9乃至請求項11のいずれかに記載のネットワーク異常検出方法。 - 上記中継通信数集計部が、上記中継装置が中継したパケットのうち、複数の条件それぞれについて、上記条件に当てはまるパケットの数を単位時間ごとに集計して複数の中継通信数を算出し、
上記予測通信数上限値算出部が、上記複数の条件それぞれについて、予測通信数上限値を算出し、
上記異常判別部が、上記複数の条件それぞれについて異常を判別し、異常が発生していると判定した条件の信頼度を合計し、合計した信頼度が所定の信頼度を上回る場合に、全体として異常が発生していると判定することを特徴とする請求項9乃至請求項12のいずれかに記載のネットワーク異常検出方法。 - 上記予測通信数上限値算出部が、上記中継通信数記憶部が記憶した中継通信数のうち、上記異常判別部が異常を判別した上記中継通信数を除外して、時系列分析を行うことを特徴とする請求項9乃至請求項13のいずれかに記載のネットワーク異常検出方法。
- 上記予測通信数上限値算出部が、上記中継通信数記憶部が記憶した中継通信数のうち、上記異常判別部が異常を判別した頻度が特定の頻度を下回る場合に、上記異常判別部が異常を判別した上記中継通信数を除外して、時系列分析を行うことを特徴とする請求項9乃至請求項14のいずれかに記載のネットワーク異常検出方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005049461A JP4490307B2 (ja) | 2005-02-24 | 2005-02-24 | ネットワーク異常検出装置及びコンピュータプログラム及びネットワーク異常検出方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005049461A JP4490307B2 (ja) | 2005-02-24 | 2005-02-24 | ネットワーク異常検出装置及びコンピュータプログラム及びネットワーク異常検出方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006238043A JP2006238043A (ja) | 2006-09-07 |
JP4490307B2 true JP4490307B2 (ja) | 2010-06-23 |
Family
ID=37045212
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005049461A Expired - Fee Related JP4490307B2 (ja) | 2005-02-24 | 2005-02-24 | ネットワーク異常検出装置及びコンピュータプログラム及びネットワーク異常検出方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4490307B2 (ja) |
Families Citing this family (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008227578A (ja) * | 2007-03-08 | 2008-09-25 | Kochi Univ | ネットワークシステム管理システム及びネットワーク管理運用方法 |
KR100935861B1 (ko) | 2007-11-12 | 2010-01-07 | 한국전자통신연구원 | 네트워크 보안 위험도 예측 방법 및 장치 |
JP2011130330A (ja) * | 2009-12-21 | 2011-06-30 | Nippon Telegr & Teleph Corp <Ntt> | 通信帯域算出方法、設備設計計画装置、およびプログラム |
JP5418250B2 (ja) | 2010-01-26 | 2014-02-19 | 富士通株式会社 | 異常検出装置、プログラム、及び異常検出方法 |
JP5518594B2 (ja) * | 2010-06-30 | 2014-06-11 | 三菱電機株式会社 | 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム |
JP5569339B2 (ja) * | 2010-11-02 | 2014-08-13 | 富士通株式会社 | 基地局、検出装置、通信システムおよび検出方法 |
WO2012114215A1 (en) | 2011-02-24 | 2012-08-30 | International Business Machines Corporation | Network event management |
JP5846014B2 (ja) * | 2012-03-30 | 2016-01-20 | アイシン・エィ・ダブリュ株式会社 | プローブ情報統計システム、プローブ情報統計方法およびプローブ情報統計プログラム |
JP2014232923A (ja) * | 2013-05-28 | 2014-12-11 | 日本電気株式会社 | 通信装置、サイバー攻撃検出方法、及びプログラム |
JP6168977B2 (ja) * | 2013-12-06 | 2017-07-26 | Kddi株式会社 | 異常なインターネットプロトコル攻撃のリアルタイム報告を行うシステム及び方法 |
JP6641819B2 (ja) * | 2015-09-15 | 2020-02-05 | 富士通株式会社 | ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム |
JP6993559B2 (ja) * | 2017-05-16 | 2022-01-13 | 富士通株式会社 | トラフィック管理装置、トラフィック管理方法およびプログラム |
JP6999936B2 (ja) * | 2018-03-22 | 2022-01-19 | 株式会社国際電気通信基礎技術研究所 | 無線状況予測装置、無線状況予測方法、および、プログラム |
JP7085429B2 (ja) * | 2018-07-11 | 2022-06-16 | Phcホールディングス株式会社 | ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム |
WO2020079788A1 (ja) * | 2018-10-17 | 2020-04-23 | サスメド株式会社 | 不正検知システムおよび不正検知装置 |
JP7034885B2 (ja) * | 2018-10-22 | 2022-03-14 | 株式会社東芝 | 異常要因判定装置およびその表示装置 |
JP7235967B2 (ja) * | 2019-07-24 | 2023-03-09 | 富士通株式会社 | ネットワーク分析プログラム、ネットワーク分析装置及びネットワーク分析方法 |
CN112566307B (zh) * | 2019-09-10 | 2022-11-04 | 酷矽半导体科技(上海)有限公司 | 安全显示系统及安全显示方法 |
CN115412431A (zh) * | 2021-05-10 | 2022-11-29 | 瑞昱半导体股份有限公司 | 网络交换器以及异常检测方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH08139722A (ja) * | 1994-11-15 | 1996-05-31 | Toshiba Corp | ネットワーク障害予測装置 |
JPH08316958A (ja) * | 1995-05-22 | 1996-11-29 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク管理装置及びその方法 |
JP2003289337A (ja) * | 2002-03-28 | 2003-10-10 | Nippon Telegr & Teleph Corp <Ntt> | 通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法 |
-
2005
- 2005-02-24 JP JP2005049461A patent/JP4490307B2/ja not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH08139722A (ja) * | 1994-11-15 | 1996-05-31 | Toshiba Corp | ネットワーク障害予測装置 |
JPH08316958A (ja) * | 1995-05-22 | 1996-11-29 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク管理装置及びその方法 |
JP2003289337A (ja) * | 2002-03-28 | 2003-10-10 | Nippon Telegr & Teleph Corp <Ntt> | 通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法 |
Also Published As
Publication number | Publication date |
---|---|
JP2006238043A (ja) | 2006-09-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4490307B2 (ja) | ネットワーク異常検出装置及びコンピュータプログラム及びネットワーク異常検出方法 | |
JP5264470B2 (ja) | 攻撃判定装置及びプログラム | |
Radoglou-Grammatikis et al. | Spear siem: A security information and event management system for the smart grid | |
US9680693B2 (en) | Method and apparatus for network anomaly detection | |
KR100561628B1 (ko) | 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽감지 방법 | |
US7962611B2 (en) | Methods, systems and computer program products for detecting flow-level network traffic anomalies via abstraction levels | |
US20070283436A1 (en) | Method and apparatus for large-scale automated distributed denial of service attack detection | |
US20150229661A1 (en) | Method and system for confident anomaly detection in computer network traffic | |
US20080295172A1 (en) | Method, system and computer-readable media for reducing undesired intrusion alarms in electronic communications systems and networks | |
JP6097889B2 (ja) | 監視システム、監視装置、および検査装置 | |
Chhabra et al. | Distributed spatial anomaly detection | |
US20070226803A1 (en) | System and method for detecting internet worm traffics through classification of traffic characteristics by types | |
WO2016194123A1 (ja) | 中継装置、ネットワーク監視システム及びプログラム | |
US20080186876A1 (en) | Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor | |
JP2007013343A (ja) | ワーム検出パラメータ設定プログラム及びワーム検出パラメータ設定装置 | |
US20070150955A1 (en) | Event detection system, management terminal and program, and event detection method | |
CN110191004B (zh) | 一种端口检测方法及系统 | |
KR100950582B1 (ko) | 서포트 벡터 데이터 명세를 이용한 트래픽 폭주 공격 탐지방법, 그 장치 및 이를 기록한 기록 매체 | |
JP2020014061A (ja) | 情報処理装置、通信検査方法及びプログラム | |
Celenk et al. | Anomaly prediction in network traffic using adaptive Wiener filtering and ARMA modeling | |
JP2009049490A (ja) | ネットワーク監視装置、ネットワーク監視システム | |
CN114785617B (zh) | 一种5g网络应用层异常检测方法及系统 | |
JP2008219525A (ja) | ネットワーク異常検知方法およびネットワーク異常検知システム | |
CN114499917B (zh) | Cc攻击检测方法及cc攻击检测装置 | |
JP4328679B2 (ja) | コンピュータネットワークの運用監視方法及び装置並びにプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20071107 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20091203 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091215 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100115 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100330 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100401 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130409 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130409 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140409 Year of fee payment: 4 |
|
LAPS | Cancellation because of no payment of annual fees |