JP5287898B2 - Flow monitoring apparatus, flow monitoring method and program - Google Patents
Flow monitoring apparatus, flow monitoring method and program Download PDFInfo
- Publication number
- JP5287898B2 JP5287898B2 JP2011034588A JP2011034588A JP5287898B2 JP 5287898 B2 JP5287898 B2 JP 5287898B2 JP 2011034588 A JP2011034588 A JP 2011034588A JP 2011034588 A JP2011034588 A JP 2011034588A JP 5287898 B2 JP5287898 B2 JP 5287898B2
- Authority
- JP
- Japan
- Prior art keywords
- flow information
- flow
- address
- port number
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、ネットワークにおいてトラフィック管理に用いられるフロー監視装置、フロー監視方法およびプログラムに関する。 The present invention relates to a flow monitoring apparatus, a flow monitoring method, and a program used for traffic management in a network.
通信ネットワーク上で、あるノードから別のノードへと送信されるデータを、トラフィックという。ここで、データは、例えば文字、画像、または音声などのデジタルデータであり、ノードは、例えばサーバやクライアントとして機能するネットワーク上の機器でありうる。ネットワーク全体のパフォーマンスを維持するためには、このトラフィックを管理することが重要である。トラフィックの管理には、例えば、どのようなデータが、どのノードからどのノードへ、どれだけ送信されたかを把握することが含まれる。 Data transmitted from one node to another on a communication network is called traffic. Here, the data is digital data such as characters, images, or sounds, for example, and the node can be a device on the network that functions as a server or a client, for example. It is important to manage this traffic in order to maintain overall network performance. The traffic management includes, for example, grasping how much data is transmitted from which node to which node.
このようなトラフィックの管理の一手法として、トラフィックに含まれるフローを単位とするトラフィックの管理が提案されている。ここで、フローは、通信プロトコル、送信元および送信先などの特徴が共通するパケットの集合である。例えば、特許文献1では、通信ネットワーク内のリンクを経由するフローのうち、分類(クラス)が既知であるフローについて、クラスとフローの特徴との関係を学習し、クラスが未知であるフローについて学習結果からクラスを推定する技術が開示されている。フローのクラスが推定されることによって、例えば、新たに検出されたフローが正常であるか異常であるかを識別することが可能になる。 As one method of traffic management, traffic management in units of flows included in traffic has been proposed. Here, a flow is a set of packets having common characteristics such as a communication protocol, a transmission source, and a transmission destination. For example, in Japanese Patent Application Laid-Open No. H10-228707, among flows that flow through a link in a communication network, a relationship between a class and a flow characteristic is learned for a flow whose classification (class) is known, and a flow whose class is unknown is learned. A technique for estimating a class from a result is disclosed. By estimating the flow class, for example, it is possible to identify whether the newly detected flow is normal or abnormal.
しかし、近年、トラフィックに含まれる動的フローが増加していることによって、上記の手法によるフローのクラスの識別が難しくなってきている。動的フローは、例えば、Webページの取得におけるAjax(Asynchronous JavaScript + XML)などを用いた動的なWebページの取得において発生しうる。動的なWebページの取得では、例えば差分データの取得のために複数のセッションが非同期的に発生し、これらの複数のセッションのそれぞれが別個のフローを形成することによって動的フローが発生しうる。また、動的なWebページの取得では、例えばKeep−Aliveと呼ばれる接続の継続のための制御メッセージが送信されるため、それ自体が特に意味を持たないフローが多く発生することによっても動的フローが発生しうる。このように、ユーザ体験の観点からすれば同じWebページの取得にかかわる一連のフローであるが、実態としては別個のフローであるようなフローを、ここでは動的フローという。 However, in recent years, as dynamic flows included in traffic have increased, it has become difficult to identify a flow class by the above-described method. The dynamic flow can occur in acquisition of a dynamic Web page using, for example, Ajax (Asynchronous JavaScript + XML) in acquisition of a Web page. In dynamic Web page acquisition, for example, a plurality of sessions are generated asynchronously to acquire differential data, and a dynamic flow can be generated by forming a separate flow for each of the plurality of sessions. . In dynamic Web page acquisition, for example, a control message for continuation of connection called “Keep-Alive” is transmitted, so that a dynamic flow is generated even when a lot of flows that do not have any particular meaning occur. Can occur. As described above, from the viewpoint of user experience, the flow is a series of flows related to acquisition of the same Web page, but in reality, a flow that is a separate flow is referred to as a dynamic flow.
このような動的フローに対して、例えば特許文献1の技術のように個々のフローを単位とするクラスとフローの特徴との関係を学習した場合、個々のフローの関連性は学習結果に反映されない。それゆえ、例えばユーザの1つの動作に対応する動的フローが、相異なる複数のクラスに分類されてしまうといった状態が生じうる。結果として、例えば、ユーザがどのようなWebページを閲覧しているかといった、ユーザ体験の観点から有意な情報を得ることが困難になる。 For such a dynamic flow, for example, when learning the relationship between the class of each flow and the characteristics of the flow as in the technique of Patent Document 1, the relevance of each flow is reflected in the learning result. Not. Therefore, for example, a state may occur in which dynamic flows corresponding to one user operation are classified into different classes. As a result, it becomes difficult to obtain significant information from the viewpoint of the user experience, for example, what Web page the user is browsing.
そこで、本発明は、上記問題に鑑みてなされたものであり、本発明の目的とするところは、動的フローに対応してトラフィックを管理することを可能にする、新規かつ改良されたフロー監視装置、フロー監視方法およびプログラムを提供することにある。 Accordingly, the present invention has been made in view of the above problems, and an object of the present invention is to provide a new and improved flow monitoring that enables traffic management in response to a dynamic flow. To provide an apparatus, a flow monitoring method, and a program.
上記課題を解決するために、本発明のある観点によれば、通信ネットワーク内のリンクを経由するフローについて、送信元のIPアドレスおよびポート番号、送信先のIPアドレスおよびポート番号、ならびに通信プロトコルの情報を含むフロー情報を取得する取得部と、送信元および送信先のうち一方をサーバ、他方をクライアントとして識別し、サーバのIPアドレスおよびポート番号、クライアントのIPアドレス、ならびに通信プロトコルが共通する類似フロー情報群をフロー情報から抽出する抽出部と、クライアントのポート番号が所定の条件を満たす類似フロー情報群を動的フロー情報群として識別する識別部とを含むことを特徴とするフロー監視装置が提供される。 In order to solve the above-described problem, according to an aspect of the present invention, for a flow passing through a link in a communication network, a transmission source IP address and port number, a transmission destination IP address and port number, and a communication protocol An acquisition unit that acquires flow information including information, and a similar one in which one of a transmission source and a transmission destination is identified as a server and the other as a client, and the server IP address and port number, the client IP address, and the communication protocol are common A flow monitoring apparatus comprising: an extraction unit that extracts a flow information group from flow information; and an identification unit that identifies a similar flow information group in which a client port number satisfies a predetermined condition as a dynamic flow information group Provided.
かかる構成によれば、各フローに関するフロー情報から、同じ動的フローに含まれる動的フロー情報群を特定することができ、特定された動的フロー情報群をひとまとまりのフロー情報として扱うことによって、例えば、より適切なトラフィック管理のための情報を得ることができる。 According to such a configuration, it is possible to specify a dynamic flow information group included in the same dynamic flow from the flow information regarding each flow, and by treating the specified dynamic flow information group as a group of flow information. For example, information for more appropriate traffic management can be obtained.
上記フロー監視装置において、所定の条件は、クライアントのポート番号が所定数以上ほぼ連続することを含んでもよい。 In the above flow monitoring apparatus, the predetermined condition may include that the port number of the client is substantially continuous for a predetermined number or more.
上記フロー監視装置において、フロー情報は、通信状態情報を含み、所定の条件は、クライアントのポート番号がより小さいフロー情報では通信状態情報が通信の終了を示し、クライアントのポート番号がより大きいフロー情報では通信状態情報が通信の継続を示すことを含んでもよい。 In the above flow monitoring apparatus, the flow information includes communication state information, and the predetermined condition is flow information in which the communication state information indicates the end of communication in the flow information having a smaller client port number, and the client port number is larger. Then, the communication state information may include indicating that the communication is continued.
上記フロー監視装置において、通信の終了を示す通信状態情報は、通信の正常終了を示す情報であってもよい。 In the above flow monitoring apparatus, the communication status information indicating the end of communication may be information indicating the normal end of communication.
上記フロー監視装置において、取得部は、時系列でフロー情報を取得し、抽出部は、複数の時刻に取得されたフロー情報から類似フロー情報群を抽出してもよい。 In the flow monitoring apparatus, the acquisition unit may acquire flow information in time series, and the extraction unit may extract a similar flow information group from flow information acquired at a plurality of times.
上記フロー監視装置において、識別部は、複数の時刻から、動的フロー情報群に対応する動的フローの開始および終了の一方または両方を識別してもよい。 In the flow monitoring apparatus, the identification unit may identify one or both of the start and end of the dynamic flow corresponding to the dynamic flow information group from a plurality of times.
上記フロー監視装置において、抽出部は、一の時刻に取得されたフロー情報から抽出された類似フロー情報群が動的フロー情報群として識別されない場合に、別の時刻に取得されたフロー情報から類似フロー情報群を抽出してもよい。 In the flow monitoring apparatus, the extraction unit is similar to the flow information acquired at another time when the similar flow information group extracted from the flow information acquired at one time is not identified as the dynamic flow information group. A flow information group may be extracted.
上記フロー監視装置において、抽出部は、サーバのIPアドレスが共通するという条件に代えて、サーバのIPアドレスが所定のIPアドレス群に属するという条件を用いてもよい。 In the flow monitoring apparatus, the extraction unit may use a condition that the server IP address belongs to a predetermined IP address group instead of the condition that the server IP address is common.
上記フロー監視装置は、動的フロー情報群の属性の特徴についての学習データを生成する学習部と、学習データに基づいて、新たに取得されたフロー情報を分類する分類部とをさらに含んでもよい。 The flow monitoring apparatus may further include a learning unit that generates learning data on the attribute features of the dynamic flow information group, and a classification unit that classifies newly acquired flow information based on the learning data. .
また、上記課題を解決するために、本発明の別の観点によれば、通信ネットワーク内のリンクを経由するフローについて、送信元のIPアドレスおよびポート番号、送信先のIPアドレスおよびポート番号、ならびに通信プロトコルの情報を含むフロー情報を取得するステップと、送信元および送信先のうち一方をサーバ、他方をクライアントとして識別し、サーバのIPアドレスおよびポート番号、クライアントのIPアドレス、ならびに通信プロトコルが共通する類似フロー情報群をフロー情報から抽出するステップと、クライアントのポート番号が所定の条件を満たす類似フロー情報群を動的フロー情報群として識別するステップとを含むことを特徴とするフロー監視方法が提供される。 In order to solve the above problem, according to another aspect of the present invention, for a flow passing through a link in a communication network, a source IP address and port number, a destination IP address and port number, and The flow information including communication protocol information is acquired, and one of the transmission source and the transmission destination is identified as a server and the other as a client. The server IP address and port number, the client IP address, and the communication protocol are common. A flow monitoring method comprising: extracting a similar flow information group from the flow information; and identifying a similar flow information group in which a client port number satisfies a predetermined condition as a dynamic flow information group. Provided.
また、上記課題を解決するために、本発明のさらに別の観点によれば、通信ネットワーク内のリンクを経由するフローについて、送信元のIPアドレスおよびポート番号、送信先のIPアドレスおよびポート番号、ならびに通信プロトコルの情報を含むフロー情報を取得する処理と、送信元および送信先のうち一方をサーバ、他方をクライアントとして識別し、サーバのIPアドレスおよびポート番号、クライアントのIPアドレス、ならびに通信プロトコルが共通する類似フロー情報群をフロー情報から抽出する処理と、クライアントのポート番号が所定の条件を満たす類似フロー情報群を動的フロー情報群として識別する処理とをコンピュータに実行させることを特徴とするプログラムが提供される。 In order to solve the above problem, according to still another aspect of the present invention, for a flow passing through a link in a communication network, a source IP address and port number, a destination IP address and port number, A flow information including communication protocol information, one of a transmission source and a transmission destination is identified as a server, and the other as a client. The server IP address and port number, the client IP address, and the communication protocol are A process for causing a computer to execute a process of extracting a common similar flow information group from flow information and a process of identifying a similar flow information group in which a client port number satisfies a predetermined condition as a dynamic flow information group A program is provided.
以上説明したように本発明によれば、動的フローに対応してトラフィックを管理することが可能になる。 As described above, according to the present invention, it is possible to manage traffic corresponding to a dynamic flow.
以下に添付図面を参照しながら、本発明の好適な実施の形態について詳細に説明する。なお、本明細書および図面において、実質的に同一の機能構成を有する構成要素については、同一の符号を付することにより重複説明を省略する。 Exemplary embodiments of the present invention will be described below in detail with reference to the accompanying drawings. In the present specification and drawings, components having substantially the same functional configuration are denoted by the same reference numerals, and redundant description is omitted.
(第1の実施形態)
まず、図1〜図4を参照して、本発明の第1の実施形態について説明する。
(First embodiment)
First, a first embodiment of the present invention will be described with reference to FIGS.
(フロー監視装置の配置)
図1は、本発明の第1の実施形態に係るフロー監視装置100の配置を示す図である。図1を参照すると、本実施形態において、フロー監視装置100は、通信ネットワークのリンク10上のルータ20に接続される。
(Arrangement of flow monitoring device)
FIG. 1 is a diagram showing an arrangement of a
リンク10は、通信ネットワーク内のリンクである。ネットワーク上のノード間のトラフィックのうちの少なくとも一部がリンク10を経由する。例えば、リンク10は、比較的多くのトラフィックがそこを経由する、ネットワーク内の主要なリンクであってもよい。後述するように、リンク10を経由するトラフィックは、フロー監視装置100を用いて解析される。
The
ルータ20は、リンク10上に設けられるルータである。ルータ20は、例えばポートミラーリングの機能を有し、リンク10を経由するパケットをコピーしてフロー監視装置100に提供する。なお、ルータ20に代えて、光カプラまたはタップなどの装置がリンク10上に設けられ、リンク10を経由するパケットをフロー監視装置100に向けて分岐させてもよい。これらの装置はフロー監視装置100に含まれてもよく、その場合、フロー監視装置100は、図示されているようなリンク10から分岐した経路上ではなく、リンク10上に設けられてもよい。
The
フロー監視装置100は、リンク10を経由するトラフィックに含まれるフローを監視する装置である。上述のように、フローは、通信プロトコル、送信元および送信先などの特徴が共通するパケットの集合である。フロー監視装置100は、ルータ20から提供されたパケットを解析して取得されたフロー情報のうち、動的フローに対応する動的フロー情報群を識別する。フロー監視装置100は、この動的フロー情報群を単位として、例えば、トラフィックに関する情報を出力したり、フロー情報群の特徴を学習することによって新たに取得されたフローを分類したりしてもよい。フロー監視装置100では、このように動的フローのフロー情報が動的フロー情報群としてまとめて扱われることによって、個々のフローを単位としてフローを監視する場合に比べて、例えばユーザ体験の観点からより有意な情報を取得することが可能になる。なお、フロー監視装置100は、動的フロー以外のフローのために、個々のフローを単位とするフロー監視の機能をあわせて有していてもよい。
The
(フロー監視装置の構成)
図2は、本発明の第1の実施形態に係るフロー監視装置100の機能構成を示すブロック図である。図2を参照すると、フロー監視装置100は、取得部110、記憶部120、抽出部130、および識別部140を含む。
(Configuration of flow monitoring device)
FIG. 2 is a block diagram showing a functional configuration of the
なお、取得部110、抽出部130、および識別部140の機能は、例えば、CPU(Central Processing Unit)が記憶部120に格納されたプログラムに従って動作することによって実現されうる。このプログラムは、記憶媒体に格納して提供され、図示しないドライバを介して記憶部120に読み込まれるものであってもよく、また、図示しないネットワークからダウンロードされて記憶部120に格納されるものであってもよい。また、上記各部の機能を実現するために、CPUに代えてDSP(Digital Signal Processor)が用いられてもよい。記憶部120は、例えば半導体メモリ、磁気ディスク、または光学ディスクなどを用いるRAM(Random Access Memory)またはROM(Read Only Memory)として実現されうる。
Note that the functions of the
(取得部)
取得部110は、リンク10を経由するフローについて、送信元のIP(Internet Protocol)アドレスおよびポート番号、送信先のIPアドレスおよびポート番号、ならびに通信プロトコルの情報を含むフロー情報を取得する。例えば、取得部110は、ルータ20から提供されたパケットのヘッダ情報を読み取ることによって、リンク10を経由する各フローの送信元のIPアドレスおよびポート番号、送信先のIPアドレスおよびポート番号、通信プロトコル、通信状態情報などの情報を取得する。取得部110は、これらの情報を含むフロー情報を、例えば所定の時間ごと、または一のフローが終了したタイミングなどに、記憶部120に格納しうる。
(Acquisition Department)
The
(フロー情報の例)
ここで、図3を参照して、取得部110によって取得され、記憶部120に格納されるフロー情報の例について説明する。
(Example of flow information)
Here, an example of the flow information acquired by the
図3は、本発明の第1の実施形態に係るフロー情報の一例を示す図である。図3を参照すると、フロー情報は、送信元のIPアドレス(Source)、送信先のIPアドレス(Destination)、送信元のポート番号(Source Port)、送信先のポート番号(Dest Port)、通信プロトコル(Protocol)、および通信状態情報であるTCPフラグ(TCP)の情報を含む。図示された例のフロー情報は、この他に、アプリケーション層プロトコル(Application)、DSCP(Differentiated Services Code Point)、ネクストホップ(NextHop)、パケットサイズ(Traffic in bytes)、およびパケット数(No. of packets)の情報を含む。 FIG. 3 is a diagram illustrating an example of flow information according to the first embodiment of the present invention. Referring to FIG. 3, the flow information includes a source IP address (Source), a destination IP address (Destination), a source port number (Source Port), a destination port number (Dest Port), and a communication protocol. (Protocol) and information of TCP flag (TCP) which is communication state information. In addition to this, the flow information in the illustrated example includes application layer protocol (Application), DSCP (Differentiated Services Code Point), next hop (NextHop), packet size (Traffic in bytes), and number of packets (No. of packets). ) Information.
図示されている例では、トランスポート層の通信プロトコル(例えばTCP(Transmission Control Protocol)、UDP(User Datagram Protocol)など)、送信元のIPアドレスおよびポート番号、ならびに送信先のIPアドレスおよびポート番号がそれぞれ共通するパケットの集合が1つのフローであり、フロー情報の各レコードはそれぞれ1つのフローに対応する。 In the illustrated example, the transport layer communication protocol (for example, TCP (Transmission Control Protocol), UDP (User Datagram Protocol), etc.), the source IP address and port number, and the destination IP address and port number are A set of common packets is one flow, and each record of the flow information corresponds to one flow.
また、図3の(a)および(b)は、取得部110が時系列でフロー情報を取得する場合に、相異なる複数の時刻に取得されたフロー情報をそれぞれ示す。例えば、図3の(a)は時刻tに取得されたフロー情報であり、(b)は時刻t+Δtに取得されたフロー情報でありうる。なお、時間Δtは、取得部110が時系列でフロー情報を取得する間隔である。
3A and 3B respectively show flow information acquired at a plurality of different times when the
図示されたフロー情報では、送信元のIPアドレス、送信先のポート番号、および通信プロトコルが各レコード間で共通するのに対し、送信元のポート番号はそれぞれ異なる。また、送信先のIPアドレスは、一部のレコードでは共通するが、他のレコードでは異なる。送信元のポート番号や送信先のIPレコードが異なるパケットの集合は、互いに異なるフローとみなされるため、フロー情報の複数のレコードが取得される。 In the illustrated flow information, the source IP address, the destination port number, and the communication protocol are common among the records, but the source port number is different. Further, the IP address of the transmission destination is common in some records, but is different in other records. A set of packets having different source port numbers and different destination IP records are regarded as different flows, and thus a plurality of records of flow information are acquired.
しかし、例えば、Ajaxなどを用いた動的Webページの取得では、1つのWebページの取得のために、サーバのIPアドレスおよびポート番号、クライアントのIPアドレス、および通信プロトコルが共通で、クライアントのポート番号が異なる動的フローが発生しうる。このような動的フローを考慮すると、図示されたフロー情報によって示される複数のフローのうち、送信元のIPアドレス、送信先のIPアドレスおよびポート番号、ならびに通信プロトコルが共通するフローは、同一の動的フローに含まれるフローである可能性がある。フロー監視装置100は、このようなフローが動的フローに含まれるか否かを識別することによって、動的フローに対応したトラフィックのより適切な管理を実現する。
However, for example, when acquiring a dynamic Web page using Ajax or the like, the server IP address and port number, the client IP address, and the communication protocol are common to acquire one Web page, and the client port Dynamic flows with different numbers can occur. Considering such a dynamic flow, among a plurality of flows indicated by the flow information shown in the figure, the flows having the same source IP address, destination IP address and port number, and communication protocol are the same. It may be a flow included in a dynamic flow. The
(記憶部)
再び図2を参照して、記憶部120は、トラフィック監視装置100の処理で用いられる各種データを格納する。例えば、記憶部120には、上述のように、取得部110によって取得されたフロー情報が格納される。また、上述のように、記憶部120には、CPUによって実行されて取得部110、抽出部130、および識別部140の機能を実現するプログラムが格納されてもよい。
(Memory part)
Referring back to FIG. 2, the
(抽出部)
抽出部130は、取得部110によって取得されて記憶部120に格納されたフロー情報において、送信元および送信先のうち一方をサーバ、他方をクライアントとして識別する。さらに、抽出部130は、サーバのIPアドレスおよびポート番号、クライアントのIPアドレス、ならびに通信プロトコルが共通する類似フロー情報群をフロー情報から抽出する。
(Extractor)
In the flow information acquired by the
ここで、抽出部130によって抽出条件として用いられる4つのキー(サーバのIPアドレスおよびポート番号、クライアントのIPアドレス、ならびに通信プロトコル)は、例えばIPQoS(IP Quality of Service)で用いられる5タプル(5-tuples:サーバのIPアドレスおよびポート番号、クライアントのIPアドレスおよびポート番号、ならびに通信プロトコル)から、クライアントのポート番号を除いたものにあたる。本明細書では、以下、この4つのキーを4タプル(4-tuples)と呼ぶ場合がある。上述のように、動的フローには、サーバのIPアドレスおよびポート番号、クライアントのIPアドレス、および通信プロトコルが共通で、クライアントのポート番号が異なる複数のフローが含まれうる。このような複数のフローは、上記のように、4タプルをキーにした類似フロー情報群の抽出によって抽出されうる。従って、類似フロー情報群は、同じ動的フローに含まれるフローに対応するフロー情報群の候補ともいえる。
Here, four keys (server IP address and port number, client IP address, and communication protocol) used as extraction conditions by the
(サーバとクライアントの識別)
ここで、フロー情報に含まれる送信元および送信先の情報から、送信元および送信先のうちどちらがサーバで、どちらがクライアントであるかを識別する方法の例について説明する。
(Server and client identification)
Here, an example of a method for identifying which of the transmission source and the transmission destination is the server and which is the client from the transmission source and transmission destination information included in the flow information will be described.
第1の方法の例として、送信元または送信先のうち、特定のポート番号で通信している方をサーバとして識別する方法がある。特定のポートは、例えば、特定のアプリケーションについて予め割り当てられたポート番号でありうる。例えば、TCPやUDPでは、http(hypertext transfer protocol)にはポート番号「80」が、https(http over secure socket layer)にはポート番号「443」が、それぞれ割り当てられている。この方法によれば、図3の例では、フロー情報の各レコードの送信先のポート番号(Dest Port)が「80」であるため、送信先がサーバとして識別されうる。 As an example of the first method, there is a method of identifying, as a server, one that is communicating with a specific port number from a transmission source or a transmission destination. The specific port may be, for example, a port number assigned in advance for a specific application. For example, in TCP and UDP, port number “80” is assigned to http (hypertext transfer protocol), and port number “443” is assigned to https (http over secure socket layer). According to this method, in the example of FIG. 3, the transmission destination port number (Dest Port) of each record of the flow information is “80”, so that the transmission destination can be identified as a server.
第2の方法の例として、送信元または送信先のうち、ポート番号が不定である方をクライアントとして識別する方法がある。上述のように、動的フローに含まれる各フローの間では、サーバのポート番号が共通で、クライアントのポート番号が異なる場合がある。それゆえ、例えば、フロー情報で、送信元のIPアドレスおよびポート番号、送信先のIPアドレス、ならびに通信プロトコルが共通で、送信先のポート番号が異なる複数のレコードがあれば、送信先がクライアントとして識別されうる。また、逆に、送信元のIPアドレス、送信先のIPアドレスおよびポート番号、ならびに通信プロトコルが共通で、送信元のポート番号が異なる複数のレコードがあれば、送信元がクライアントとして識別されうる。この方法によれば、図3の例では、送信元のIPアドレス、送信先のIPアドレスおよびポート番号、ならびに通信プロトコルが共通で、送信元のポート番号が異なる複数のレコードがあるため、送信元がクライアントとして識別されうる。 As an example of the second method, there is a method of identifying, as a client, a transmission source or a transmission destination whose port number is indefinite. As described above, the server port number may be common and the client port number may be different among the flows included in the dynamic flow. Therefore, for example, if there are a plurality of records having the same IP address and port number of the transmission source, the IP address of the transmission destination, and the communication protocol and different port numbers of the transmission destination in the flow information, the transmission destination becomes the client. Can be identified. On the other hand, if there are a plurality of records having the same source IP address, destination IP address and port number, and communication protocol but different source port numbers, the source can be identified as a client. According to this method, in the example of FIG. 3, since there are a plurality of records having the same source IP address, destination IP address and port number, and communication protocol and different source port numbers, Can be identified as a client.
抽出部130は、例えば、上記の第1および第2の方法の一方または両方を用いて、送信元および送信先のうち一方をサーバ、他方をクライアントとして識別する。例えば、抽出部130は、まず第1の方法を用い、識別できなければ第2の方法を用いてもよく、その逆でもよい。また、抽出部130は、第1の方法と第2の方法とを両方用いて、結果が一致するか確かめてもよい。いずれの場合でも、図3の例では、送信元がクライアント、送信先がサーバとしてそれぞれ識別されうる。
For example, the
(識別部)
識別部140は、抽出部130によって抽出された類似フロー情報群のうち、クライアントのポート番号が所定の条件を満たすフロー情報群を動的フロー情報群として識別する。例えば、識別部140は、類似フロー情報群、すなわち4タプルが共通するフロー情報群について、クライアントのポート番号が所定数以上ほぼ連続する場合に、これらのフロー情報群を動的フロー情報群として識別しうる。
(Identification part)
The
ここでいう「ポート番号がほぼ連続する」場合には、ポート番号が間断なく連続している場合に加えて、ポート番号の連続の一部が欠落している場合も含まれうる。例えば、図3の例では、4タプル(サーバのIPアドレス(Destination)/サーバのポート番号(Dest Port)/クライアントのIPアドレス(Source)/プロトコルの順で表記。以下同様。)が(yyy.233.183.9/80/192.168.4.100/TCP)で共通するフロー情報の中で、クライアントのポート番号が1904,1905,・・・1909,1912,1913,1915のように変化している。この場合、クライアントのポート番号は、1904〜1909の間では間断なく連続しているが、1909〜1915の間では1910,1911,1914が欠落している。本実施形態では、このようにポート番号の連続の一部が欠落している場合も、「ポート番号がほぼ連続する」場合に含まれる。どの程度の欠落までを「ポート番号がほぼ連続する」に含めるかは、例えば、欠落したポート番号の数(上記の例では欠落したポート番号は最大で2)、連続に対する欠落の割合(上記の例では1904〜1915の間の12のポート番号のうち3つが欠落しており、割合は3/12=0.25)などについて、許容されうる値の範囲を予め設定することによって定義されうる。 In this case, “port numbers are almost continuous” may include not only a case where the port numbers are continuous without interruption, but also a case where a part of the port numbers are missing. For example, in the example of FIG. 3, a 4-tuple (server IP address (Destination) / server port number (Dest Port) / client IP address (Source) / protocol in this order). 233.183.9 / 80 / 192.168.8.4.100 / TCP), the client port number changes as 1904, 1905, ... 1909, 1912, 1913, 1915 doing. In this case, the client port numbers are continuous between 1904 and 1909, but 1910, 1911, and 1914 are missing between 1909 and 1915. In the present embodiment, such a case where a part of the port number sequence is missing is also included in the case of “the port numbers are almost continuous”. How many omissions are included in “the port numbers are almost consecutive” includes, for example, the number of missing port numbers (in the above example, the maximum number of missing port numbers is 2), the ratio of omissions to continuity (above In the example, 3 out of 12 port numbers between 1904 and 1915 are missing, and the ratio can be defined by presetting a range of acceptable values, such as 3/12 = 0.25).
また、ここでいう「所定数」は、フロー監視装置100に予め設定された値でありうる。例えば、上記の例では、クライアントのポート番号が1904,1905,・・・1909,1912,1913,1915が「クライアントのポート番号が所定数以上ほぼ連続する」フロー情報群であると判定されているが、この場合、所定数は9以下の数である。
The “predetermined number” here may be a value preset in the
また、識別部140は、類似フロー情報群のうち、クライアントのポート番号が所定の条件を満たし、さらに、通信状態情報が所定の条件を満たすフロー情報群を動的フロー情報群として識別してもよい。例えば、識別部140は、類似フロー情報群のうち、クライアントのポート番号がより小さいフロー情報では通信状態情報が通信の終了を示し、クライアントのポート番号がより大きいフロー情報では通信状態情報が通信の継続を示す場合に、これらのフロー情報群を動的フロー情報群として識別してもよい。
The identifying
ここで、本実施形態において、フロー情報に含まれる通信状態情報は、TCPフラグである。TCPフラグは、TCPのコネクションを制御するためのフラグであり、URG(Urgent)、ACK(Acknowledgement)、PSH(Push)、RST(Reset)、SYN(Synchronize)、およびFIN(Fin)の6種類がある。通信が継続している場合、TCPフラグは、例えば(ACK,PSH)または(ACK,PSH,SYN)のようになる。また、通信が正常終了した場合、TCPフラグは、例えば(ACK,PSH,FIN)または(ACK,PSH,SYN,FIN)のようになる。通信が強制終了された場合、TCPフラグは、例えば(ACK,RST)のようになる。 Here, in the present embodiment, the communication state information included in the flow information is a TCP flag. The TCP flag is a flag for controlling a TCP connection, and there are six types of URG (Urgent), ACK (Acknowledgement), PSH (Push), RST (Reset), SYN (Synchronize), and FIN (Fin). is there. When communication is continued, the TCP flag is, for example, (ACK, PSH) or (ACK, PSH, SYN). When the communication is normally completed, the TCP flag is, for example, (ACK, PSH, FIN) or (ACK, PSH, SYN, FIN). When the communication is forcibly terminated, the TCP flag is, for example, (ACK, RST).
それゆえ、識別部140は、各フロー情報について、ポート番号と、TCPフラグによって示される通信の状態との関係に基づいて、動的フロー情報群を識別する。例えば、図3の(a)の例で、4タプルが(yyy.233.183.9/80/192.168.4.100/TCP)で共通するフロー情報のTCPフラグ(TCP)は、いずれも(A(ACK),P(PSH))または(A,P,S(SYN))であり、通信が継続していることが示されている。この場合、各フロー情報のうち、クライアントのポート番号がより小さいフロー情報でも、通信状態情報によって通信の終了が示されていない。従って、識別部140は、これらのフロー情報を動的フロー情報群として識別しない。
Therefore, the identifying
一方、図3の(b)の例で、4タプルが(yyy.233.183.9/80/192.168.4.100/TCP)で共通するフロー情報のTCPフラグ(TCP)は、クライアントのポート番号が1904〜1909のフロー情報では(A,P,F(FIN))または(A,P,S,F)であり、通信が終了したことが示されている。また、クライアントのポート番号が1912,1913,1915のフロー情報ではTCPフラグが(A,P,S)であり、通信が継続していることが示されている。この場合、各フロー情報のうちクライアントのポート番号がより小さいフロー情報では通信状態情報によって通信の終了が示され、クライアントのポート番号がより大きいフロー情報では通信状態情報によって通信の継続が示されているといえるため、識別部140は、これらのフロー情報群を動的フロー情報群として識別しうる。
On the other hand, in the example of FIG. 3B, the TCP flag (TCP) of the flow information common to the 4 tuples (yyy.233.183.9 / 80 / 192.168.8.4.100 / TCP) is the client (A, P, F (FIN)) or (A, P, S, F) in the flow information of
さらに、識別部140は、動的フローについての情報を記憶部120に格納してもよい。例えば、識別部140は、識別された動的フロー情報群から、動的フローのサーバのIPアドレス、開始から終了までの継続時間、パケット数、およびパケットサイズなどの情報を取得し、これらの情報を記憶部120に格納してもよい。
Further, the
(フロー監視装置の動作)
図4は、本発明の第1の実施形態に係るフロー監視装置100の動作を示すフローチャートである。
(Operation of flow monitoring device)
FIG. 4 is a flowchart showing the operation of the
まず、取得部110が、フロー情報を取得し、取得したフロー情報を記憶部120に格納する(ステップS101)。取得部110は、フロー情報を、例えば一定時間ごと、または一のフローが終了したタイミングなどに取得し、記憶部120に格納してもよい。続くステップS103以降のステップは、例えばフロー情報の1回の取得ごとに実行されてもよいし、またはフロー情報の複数回の取得ごと、もしくは所定の時間ごとに実行されてもよい。
First, the
次に、抽出部130が、取得および格納されたフロー情報から類似フロー情報群を抽出する(ステップS103)。抽出部130は、フロー情報に含まれる送信元および送信先のうち一方をサーバ、他方をクライアントとして識別し、サーバおよびクライアントの情報を含む4タプルをキーにして、フロー情報から類似フロー情報群を抽出する。本実施形態において、抽出部130による抽出の対象になるフロー情報は、取得部110がある時刻tに取得したフロー情報でありうる。つまり、本実施形態では、時系列でフロー情報を取得する取得部110が一の時刻tに取得したフロー情報について、類似フロー情報群が抽出され、動的フロー情報群が識別されうる。
Next, the
次に、識別部140が、抽出された類似フロー情報群について、クライアントのポート番号が所定数以上ほぼ連続するか否かを判定する(ステップS105)。上述のように、「ポート番号がほぼ連続する」場合には、ポート番号の連続の一部が欠落している場合も含まれうる。ここで、類似フロー情報群に含まれるクライアントのポート番号が所定数以上ほぼ連続していると判定された場合、続くステップS107が実行される。一方、類似フロー情報群に含まれるクライアントのポート番号が所定数以上ほぼ連続していないと判定された場合、識別部140は、動的フロー情報群に該当するフロー情報群はなかったとして処理を終了する。
Next, the
次に、識別部140が、類似フロー情報群について、通信状態情報であるTCPフラグが所定の条件を満たすか否かを判定する(ステップS107)。上述のように、TCPフラグの所定の条件は、「クライアントのポート番号がより小さいフロー情報では通信の終了が示され、クライアントのポート番号がより大きいフロー情報では通信の継続が示される」ことでありうる。ここで、類似フロー情報群のTCPフラグが所定の条件を満たすと判定された場合、続くステップS109が実行される。一方、類似フロー情報群のTCPフラグが所定の条件を満たさないと判定された場合、識別部140は、動的フロー情報群に該当するフロー情報群はなかったとして処理を終了する。
Next, the
次に、識別部140が、類似フロー情報群を動的フロー情報群として識別する(ステップS109)。識別部140は、さらに、識別された動的フロー情報群の情報を記憶部120に格納してもよい。
Next, the
(第1の実施形態の変形例−1)
以上で説明した本発明の第1の実施形態において、抽出部130は、フロー情報から類似フロー情報群を抽出するときに、サーバのIPアドレスが共通するという条件に代えて、サーバのIPアドレスが所定のIPアドレス群に属するという条件を用いてもよい。
(Modification 1 of the first embodiment)
In the first embodiment of the present invention described above, when the
例えば、仮想ネットワークやクラウドコンピューティングが利用される場合には、サーバのIPアドレスも、動的フローに含まれる各フローの間で異なりうる。抽出部130が、4タプルのうちサーバのIPアドレスについて、共通するという条件に代えて、IPアドレスが所定のIPアドレス群に属するという条件を用いることによって、上記のような動的フローをより適切に検出することが可能になる。
For example, when a virtual network or cloud computing is used, the IP address of the server may be different among the flows included in the dynamic flow. The
所定のIPアドレス群は、例えば、例えば同じアドレス空間に含まれるIPアドレス群でありうる。例として、図3にある送信先のIPアドレス(Destination)のうち、「yyy.233.183.1」と「yyy.233.183.9」とは、/24(255.255.255.0)のセグメントで考えれば、同じアドレス空間に含まれるIPアドレス群である。また、所定のIPアドレス群は、例えば、サービスについて予め登録されたIPアドレス群であってもよい。例として、図3にある送信先のIPアドレス(Destination)のうち、「zzz.125.19.10」と「yyy.233.183.1」と「yyy.233.183.9」とが、いずれもあるサービスに用いられる仮想的なサーバのIPアドレスであることが知られていれば、これらのIPアドレスを含むIPアドレス群を予め登録して記憶部120などに格納し、抽出部130による抽出の条件として用いてもよい。
For example, the predetermined IP address group may be an IP address group included in the same address space. As an example, “yyy.233.183.1” and “yyy.233.183.9” of the destination IP address (Destination) in FIG. 3 are / 24 (255.255.255.0). ) Segment, it is an IP address group included in the same address space. The predetermined IP address group may be, for example, an IP address group registered in advance for the service. As an example, “zzz.125.19.10”, “yyy.233.183.1”, and “yyy.233.183.9” among the destination IP addresses (Destination) in FIG. If any of them is known to be an IP address of a virtual server used for a certain service, an IP address group including these IP addresses is registered in advance and stored in the
(第1の実施形態の変形例−2)
以上で説明した本発明の第1の実施形態において、識別部140は、類似フロー情報群に含まれるフロー情報の通信状態情報であるTCPフラグが所定の条件を満たすかを判定するときに、クライアントのポート番号がより小さいフロー情報ではTCPフラグが通信の正常終了を示すことを条件にしてもよい。
(Modification-2 of the first embodiment)
In the first embodiment of the present invention described above, the
上述のように、通信が終了したことを示すTCPフラグには、(ACK,PSH,FIN)または(ACK,PSH,SYN,FIN)などの他に、(ACK,RST)などもある。ここで、FINによって通信の終了が示されるTCPフラグは、通信の正常終了を示し、RSTによって通信の終了が示されるTCPフラグは、通信の強制終了を示すものでありうる。本変形例において、識別部140は、これらのTCPフラグのうち、FINによって通信の終了が示されるTCPフラグを、「通信の終了を示す通信状態情報」として動的フロー群の識別に用いる。
As described above, the TCP flag indicating the end of communication includes (ACK, PSH, FIN) or (ACK, PSH, SYN, FIN) and the like (ACK, RST). Here, the TCP flag that indicates the end of communication by FIN indicates the normal end of communication, and the TCP flag that indicates the end of communication by RST may indicate the forced end of communication. In the present modification, the identifying
上記の構成は、例えば、動的フロー群として識別されるフロー情報から、ポートスキャンのための通信によって発生するフロー情報を除外するために有効な構成である。ポートスキャンのための通信は、複数のフローについて、フロー情報の4タプルが共通し、クライアント側のポート番号が連続的に変化するという点で動的フロー群と類似している。しかし、ポートスキャンのための通信における複数のフローのフロー情報におけるTCPフラグでは、SYNに対してRSTが多数であったり、FINによる通信の終了が見られなかったり、特定のフラグが連続し続けたりするという特徴がある。本変形例では、動的フロー情報群で「通信の終了を示す通信状態情報」を、通信の正常終了を示すFINを含むTCPフラグに限定することによって、連続フロー情報群とポートスキャンのための通信によって発生する情報とが識別されうる。 The above configuration is effective for excluding flow information generated by communication for port scanning from flow information identified as a dynamic flow group, for example. The communication for port scanning is similar to the dynamic flow group in that four tuples of flow information are common for a plurality of flows, and the port number on the client side changes continuously. However, in the TCP flag in the flow information of a plurality of flows in communication for port scan, there are a large number of RSTs with respect to SYN, the end of communication by FIN is not seen, or a specific flag continues. There is a feature to do. In this modification, by limiting the “communication status information indicating the end of communication” in the dynamic flow information group to the TCP flag including FIN indicating the normal end of communication, the continuous flow information group and the port scan Information generated by communication can be identified.
(第2の実施形態)
次に、図5を参照して、本発明の第2の実施形態について説明する。なお、本発明の第2の実施形態は、上述した第1の実施形態に比べて、フロー監視装置の動作について相違するが、その他の構成については、上述した第1の実施形態(変形例を含む)と略同一であるため、ここでは詳細説明を省略する。
(Second Embodiment)
Next, a second embodiment of the present invention will be described with reference to FIG. The second embodiment of the present invention differs from the first embodiment described above in terms of the operation of the flow monitoring apparatus, but the other configurations are the same as those in the first embodiment described above (modified example). The detailed description is omitted here.
(フロー監視装置の動作)
図5は、本発明の第2の実施形態に係るフロー監視装置100の動作を示すフローチャートである。
(Operation of flow monitoring device)
FIG. 5 is a flowchart showing the operation of the
まず、取得部110が、フロー情報を取得し、取得したフロー情報を記憶部120に格納する(ステップS201)。取得部110は、フロー情報を、例えば一定時間ごと、または一のフローが終了したタイミングなどに取得し、記憶部120に格納しうる。続くステップS203以降のステップは、例えばフロー情報の1回の取得ごとに実行されてもよいし、またはフロー情報の複数回の取得ごと、もしくは所定の時間ごとに実行されてもよい。
First, the
次に、抽出部130が、取得および格納されたフロー情報のうち、時刻tに取得されたフロー情報から、類似フロー情報群を抽出する(ステップS203)。抽出部130は、フロー情報に含まれる送信元および送信先のうち一方をサーバ、他方をクライアントとして識別し、サーバおよびクライアントの情報を含む4タプルをキーにして、フロー情報から類似フロー情報群を抽出する。
Next, the
次に、識別部140が、抽出された類似フロー情報群について、クライアントのポート番号が所定数以上ほぼ連続するか否かを判定する(ステップS205)。上述のように、「ポート番号がほぼ連続する」場合には、ポート番号の連続の一部が欠落している場合も含まれうる。ここで、類似フロー情報群に含まれるクライアントのポート番号が所定数以上ほぼ連続していると判定された場合、続くステップS207が実行される。一方、類似フロー情報群に含まれるクライアントのポート番号が所定数以上ほぼ連続していないと判定された場合、識別部140は、動的フロー情報群に該当するフロー情報群はなかったとして処理を終了する。
Next, the
次に、識別部140が、類似フロー情報群について、通信状態情報であるTCPフラグが所定の条件を満たすか否かを判定する(ステップS207)。上述のように、TCPフラグの所定の条件は、「クライアントのポート番号がより小さいフロー情報では通信の終了が示され、クライアントのポート番号がより大きいフロー情報では通信の継続が示される」ことでありうる。
Next, the
ステップS207において、類似フロー情報群のTCPフラグが所定の条件を満たすと判定された場合、次に、識別部140は、類似フロー情報群を動的フロー情報群として識別する(ステップS209)。識別部140は、さらに、識別された動的フロー情報群の情報を記憶部120に格納してもよい。
If it is determined in step S207 that the TCP flag of the similar flow information group satisfies a predetermined condition, the
一方、ステップS207において、類似フロー情報群のTCPフラグが所定の条件を満たさないと判定された場合、次に、識別部140は、時刻tを更新する(ステップS211)。更新された時刻tは、例えば時刻tから時間Δt後の時刻t+Δtでありうる。なお、時間Δtは、取得部110が時系列でフロー情報を取得する間隔でありうる。続いて、更新された時刻tを用いて、上述のステップS203以降の処理が繰り返し実行される。
On the other hand, when it is determined in step S207 that the TCP flag of the similar flow information group does not satisfy the predetermined condition, the
上記のようなフロー監視装置100の動作によって、例えば、ある時刻tに取得されたフロー情報から抽出された類似フロー情報群が動的フロー情報群として識別されない場合に、別の時刻(例えば時刻t+Δt)に取得されたフロー情報からフロー情報から類似フロー情報群が抽出される。動的フローでは、例えば、あるタイミングでは複数のフローのほとんどで通信が継続していて、その後、クライアントのポート番号がより小さいフローから通信が終了していくような場合がある。本実施形態の構成によれば、このような場合に、一の時刻だけではなく他の時刻でも類似フロー情報群の抽出と動的フロー情報群の識別とが実行されることによって、動的フローをより確実に検出することが可能になる。
For example, when the similar flow information group extracted from the flow information acquired at a certain time t is not identified as the dynamic flow information group by the operation of the
例えば、図3の例で、時刻tに(a)のフロー情報が取得され、時刻t+Δtに(b)のフロー情報が取得されたとする。この場合、時刻tに取得された(a)のフロー情報では、4タプルが(yyy.233.183.9/80/192.168.4.100/TCP)で共通する類似フロー情報群について、TCPフラグが通信の終了を示しているフロー情報がないため、識別部140はこれらのフロー情報群を動的フロー情報群として識別しない。本実施形態では、ここで、類似フロー情報群の抽出対象になる時刻tが更新され、例えば時刻t+Δtに取得された(b)のフロー情報が次の処理対象になる。時刻t+Δtに取得された(b)のフロー情報では、4タプルが(yyy.233.183.9/80/192.168.4.100/TCP)で共通する類似フロー情報群について、クライアントのポート番号が1904〜1909のフロー情報で、TCPフラグが(A,P,S,F)または(A,P,F)となり、通信の終了を示している。そこで、識別部140はこれらのフロー情報群を動的フロー情報群として識別する。
For example, in the example of FIG. 3, it is assumed that the flow information (a) is acquired at time t and the flow information (b) is acquired at time t + Δt. In this case, in the flow information of (a) acquired at time t, the similar flow information group in which the 4 tuples are common in (yyy.233.183.9 / 80 / 192.168.8.4.100 / TCP), Since there is no flow information whose TCP flag indicates the end of communication, the
また、上記のようなフロー監視装置100の動作によって、例えば、動的フローの開始または終了を識別することも可能になる。例えば、4タプルがある値で共通するフロー情報群について、最初のフロー情報群が検出された時点が動的フローの開始として識別されうる。また、例えば、クライアントのポート番号がより小さいフロー情報から順に通信が終了していき、ポート番号が最大のフロー情報まで通信が終了した時点が、動的フローの終了として識別されうる。動的フローの終了を識別する場合、図5のステップS209の後に、例えば「動的フローが終了した?」という判定処理が追加され、動的フローが終了したと判定されるまでステップS211およびステップS203〜S209の処理が繰り返されてもよい。
Further, by the operation of the
(第3の実施形態)
次に、図6を参照して、本発明の第3の実施形態について説明する。なお、本発明の第3の実施形態は、上述した第1および第2の実施形態に比べて、フロー監視装置に追加される機能構成について相違するが、その他の構成については、上述した第1および第2の実施形態(変形例を含む)と略同一であるため、ここでは詳細説明を省略する。
(Third embodiment)
Next, a third embodiment of the present invention will be described with reference to FIG. The third embodiment of the present invention differs from the first and second embodiments described above in terms of the functional configuration added to the flow monitoring apparatus, but the other configurations are the same as those described in the first embodiment. Since it is substantially the same as the second embodiment (including the modification), detailed description thereof is omitted here.
(フロー監視装置の構成)
図6は、本発明の第3の実施形態に係るフロー監視装置200の機能構成を示すブロック図である。図6を参照すると、フロー監視装置200は、取得部110、記憶部120、抽出部130、識別部140、学習部250、および分類部260を含む。
(Configuration of flow monitoring device)
FIG. 6 is a block diagram showing a functional configuration of a
なお、学習部250、および分類部260の機能は、例えば、CPUが記憶部120に格納されたプログラムに従って動作することによって実現されうる。このプログラムは、図示しない記憶媒体に格納して提供されたものであってもよく、また同じく図示しないネットワークからダウンロードされたものであってもよい。また、上記各部の機能を実現するために、CPUに代えてDSPが用いられてもよい。
Note that the functions of the
また、取得部110、記憶部120、抽出部130、および識別部140は、上述した第1の実施形態に係るフロー監視装置100における同様の部分と略同一の機能構成を有するため、ここでは詳細説明を省略する。
Further, since the
(学習部)
学習部250は、識別部140によって識別された動的フロー情報群の属性の特徴についての学習データを生成する。学習部250は、生成した学習データを記憶部120に格納してもよい。例えば、学習部250は、識別部140によって識別された動的フロー情報群から取得される動的フローのサーバのIPアドレス、開始から終了までの継続時間、パケット数、およびパケットサイズなどの特徴についての学習データを生成してもよい。
(Learning Department)
The
(分類部)
分類部260は、学習部250が生成した学習データに基づいて、例えば取得部110によって新たに取得されたフロー情報を分類する。例えば、分類部260は、フロー情報の分類に単純ベイズ分類器などの分類器を用いてもよい。この場合、分類部260は、学習部250によって生成された学習データを分類器の教師あり学習に用いてもよい。例えば、学習データが、サーバのIPアドレス、開始から終了までの持続時間、パケット数、およびパケットサイズを含む場合、分類部260は、新たに取得されたフロー情報について、サーバのIPアドレス、開始から終了までの持続時間、パケット数、およびパケットサイズが学習データと共通の特徴を示す場合に、これらのフロー情報を以前に取得された動的フロー情報群と同様の動的フローに対応するフロー情報として分類しうる。
(Classification part)
The
上記のようなフロー監視装置200の構成によって、例えば、フローの継続時間が長かったり、暗号化通信されたりして異常の検出が困難な動的フローについても、例えば分類部260によってどこにも分類されないなどの基準に基づいて異常を検出することが可能になる。
With the configuration of the
(補足)
以上、添付図面を参照しながら本発明の好適な実施形態について詳細に説明したが、本発明はかかる例に限定されない。本発明の属する技術の分野における通常の知識を有する者であれば、特許請求の範囲に記載された技術的思想の範疇内において、各種の変更例または修正例に想到しうることは明らかであり、これらについても、当然に本発明の技術的範囲に属するものと了解される。
(Supplement)
The preferred embodiments of the present invention have been described in detail above with reference to the accompanying drawings, but the present invention is not limited to such examples. It is obvious that a person having ordinary knowledge in the technical field to which the present invention pertains can come up with various changes or modifications within the scope of the technical idea described in the claims. Of course, it is understood that these also belong to the technical scope of the present invention.
10 リンク
20 ルータ
100,200 フロー監視装置
110 取得部
120 記憶部
130 抽出部
140 識別部
250 学習部
260 分類部
10
Claims (11)
前記送信元および前記送信先のうち一方をサーバ、他方をクライアントとして識別し、前記サーバのIPアドレスおよびポート番号、クライアントのIPアドレス、ならびに通信プロトコルが共通する類似フロー情報群を前記フロー情報から抽出する抽出部と、
前記クライアントのポート番号が所定の条件を満たす前記類似フロー情報群を動的フロー情報群として識別する識別部と、
を備えることを特徴とするフロー監視装置。 An acquisition unit that acquires flow information including information on a source IP address and port number, a destination IP address and port number, and a communication protocol for a flow that passes through a link in the communication network;
One of the transmission source and the transmission destination is identified as a server and the other as a client, and a similar flow information group having the same IP address and port number of the server, a client IP address, and a communication protocol is extracted from the flow information. An extractor to perform,
An identification unit that identifies the similar flow information group in which the port number of the client satisfies a predetermined condition as a dynamic flow information group;
A flow monitoring apparatus comprising:
前記所定の条件は、前記クライアントのポート番号がより小さい前記フロー情報では前記通信状態情報が通信の終了を示し、前記クライアントのポート番号がより大きい前記フロー情報では前記通信状態情報が通信の継続を示すことを含むことを特徴とする、請求項2に記載のフロー監視装置。 The flow information includes communication state information,
The predetermined condition is that the communication status information indicates the end of communication in the flow information having a smaller port number of the client, and the communication status information indicates that communication is continued in the flow information having a larger port number of the client. The flow monitoring apparatus according to claim 2, comprising: indicating.
前記抽出部は、複数の時刻に取得された前記フロー情報から前記類似フロー情報群を抽出することを特徴とする、請求項1〜4のいずれか1項に記載のフロー監視装置。 The acquisition unit acquires the flow information in time series,
The flow monitoring apparatus according to claim 1, wherein the extraction unit extracts the similar flow information group from the flow information acquired at a plurality of times.
前記学習データに基づいて、新たに取得されたフロー情報を分類する分類部と、
をさらに備えることを特徴とする、請求項1〜8のいずれか1項に記載のフロー監視装置。 A learning unit that generates learning data about the characteristics of the attributes of the dynamic flow information group;
A classifying unit for classifying newly acquired flow information based on the learning data;
The flow monitoring apparatus according to claim 1, further comprising:
前記送信元および前記送信先のうち一方をサーバ、他方をクライアントとして識別し、前記サーバのIPアドレスおよびポート番号、クライアントのIPアドレス、ならびに通信プロトコルが共通する類似フロー情報群を前記フロー情報から抽出するステップと、
前記クライアントのポート番号が所定の条件を満たす前記類似フロー情報群を動的フロー情報群として識別するステップと、
を含むことを特徴とするフロー監視方法。 Obtaining flow information including information on a source IP address and port number, a destination IP address and port number, and a communication protocol for a flow passing through a link in the communication network;
One of the transmission source and the transmission destination is identified as a server and the other as a client, and a similar flow information group having the same IP address and port number of the server, a client IP address, and a communication protocol is extracted from the flow information. And steps to
Identifying the similar flow information group in which the port number of the client satisfies a predetermined condition as a dynamic flow information group;
The flow monitoring method characterized by including.
前記送信元および前記送信先のうち一方をサーバ、他方をクライアントとして識別し、前記サーバのIPアドレスおよびポート番号、クライアントのIPアドレス、ならびに通信プロトコルが共通する類似フロー情報群を前記フロー情報から抽出する処理と、
前記クライアントのポート番号が所定の条件を満たす前記類似フロー情報群を動的フロー情報群として識別する処理と、
をコンピュータに実行させることを特徴とするプログラム。
Processing for obtaining flow information including information on a source IP address and port number, a destination IP address and port number, and a communication protocol for a flow passing through a link in the communication network;
One of the transmission source and the transmission destination is identified as a server and the other as a client, and a similar flow information group having the same IP address and port number of the server, a client IP address, and a communication protocol is extracted from the flow information. Processing to
Processing for identifying the similar flow information group in which the port number of the client satisfies a predetermined condition as a dynamic flow information group;
A program that causes a computer to execute.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011034588A JP5287898B2 (en) | 2011-02-21 | 2011-02-21 | Flow monitoring apparatus, flow monitoring method and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011034588A JP5287898B2 (en) | 2011-02-21 | 2011-02-21 | Flow monitoring apparatus, flow monitoring method and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012175338A JP2012175338A (en) | 2012-09-10 |
JP5287898B2 true JP5287898B2 (en) | 2013-09-11 |
Family
ID=46977819
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011034588A Expired - Fee Related JP5287898B2 (en) | 2011-02-21 | 2011-02-21 | Flow monitoring apparatus, flow monitoring method and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5287898B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015171128A (en) * | 2014-03-11 | 2015-09-28 | 富士通株式会社 | Packet acquisition method, packet acquisition device, and packet acquisition program |
WO2022100707A1 (en) * | 2020-11-13 | 2022-05-19 | 华为技术有限公司 | Method, apparatus and system for determining data flow information |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006203609A (en) * | 2005-01-21 | 2006-08-03 | Matsushita Electric Ind Co Ltd | Information processor, server device, and information processing method |
JP4547342B2 (en) * | 2005-04-06 | 2010-09-22 | アラクサラネットワークス株式会社 | Network control apparatus, control system, and control method |
JP4126707B2 (en) * | 2006-07-28 | 2008-07-30 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Technology for analyzing the state of information systems |
-
2011
- 2011-02-21 JP JP2011034588A patent/JP5287898B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2012175338A (en) | 2012-09-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8180916B1 (en) | System and method for identifying network applications based on packet content signatures | |
Este et al. | Support vector machines for TCP traffic classification | |
US20140059216A1 (en) | Methods and systems for network flow analysis | |
KR101295708B1 (en) | Apparatus for capturing traffic and apparatus, system and method for analyzing traffic | |
Qin et al. | Robust application identification methods for P2P and VoIP traffic classification in backbone networks | |
US11909606B2 (en) | Systems and methods for determining flow and path analytics of an application of a network using sampled packet inspection | |
US9686173B1 (en) | Unsupervised methodology to unveil content delivery network structures | |
JP4232828B2 (en) | Application classification method, network abnormality detection method, application classification program, network abnormality detection program, application classification apparatus, network abnormality detection apparatus | |
JP2009238065A (en) | Communication detection device, communication detection method, and communication detection program | |
US10097510B2 (en) | Identifying network flows under network address translation | |
CN113206860B (en) | DRDoS attack detection method based on machine learning and feature selection | |
US8965968B2 (en) | Computer-readable medium storing system visualization processing program, method and device | |
CN108667921B (en) | Bank business recommendation information generation method and system based on network bypass | |
US20190356564A1 (en) | Mode determining apparatus, method, network system, and program | |
US20170134413A1 (en) | System and method for connection fingerprint generation and stepping-stone traceback based on netflow | |
US10298653B1 (en) | Methods for monitoring streaming video content quality of experience (QOE) and devices thereof | |
Amaral et al. | Application aware SDN architecture using semi-supervised traffic classification | |
JP5287898B2 (en) | Flow monitoring apparatus, flow monitoring method and program | |
CN113849820A (en) | Vulnerability detection method and device | |
EP3718284B1 (en) | Extending encrypted traffic analytics with traffic flow data | |
Koay | Detecting high and low intensity distributed denial of service (ddos) attacks | |
JP2006311048A (en) | Band control device | |
Yoon et al. | Header signature maintenance for Internet traffic identification | |
KR20100133646A (en) | Application signature generation method | |
Ghiëtte et al. | Scaling website fingerprinting |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130115 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130129 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130507 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130520 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5287898 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |