JP5961354B2 - 効率的なネットフローデータ解析のための方法及び装置 - Google Patents
効率的なネットフローデータ解析のための方法及び装置 Download PDFInfo
- Publication number
- JP5961354B2 JP5961354B2 JP2011186276A JP2011186276A JP5961354B2 JP 5961354 B2 JP5961354 B2 JP 5961354B2 JP 2011186276 A JP2011186276 A JP 2011186276A JP 2011186276 A JP2011186276 A JP 2011186276A JP 5961354 B2 JP5961354 B2 JP 5961354B2
- Authority
- JP
- Japan
- Prior art keywords
- address
- data structure
- block
- individual elements
- block data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/22—Indexing; Data structures therefor; Storage structures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
フローについての情報を格納し、
特定の送信元IPアドレス及びポートと、宛先IPアドレス及びポートとの間の関連性を、それらの間の伝送量と共に識別するために、フローのそれぞれに特有の情報をソートすること、
次いで、ソートされた情報に基づいて、これらの別個の送信元又は宛先のアドレス及び会話をカウントすること、及び
上位の別個のアドレス又は会話の数によって結果を並べ替えることによって達成される。
送信元IPアドレス
宛先IPアドレス
送信元IPポート
宛先IPポート
IPプロトコル
フロー内のオクテット数
フロー内のパケット数
サービスタイプ
他のフィールド
if tuple(0)!=atuple(0):
emit(),incr addr_count,incr_conv_count
Else if tuple(1)!=atuple(1):
incr_addr_count,incr_conv_count
Else if tuple!=atuple
incr_conv_count
atuple=tuple
諸実施形態について単に例示するために上記に述べられており、この説明を読んだ後、様々な変形形態が当業者には考えられようが、その変形形態は、特許請求の範囲に定義された本発明の範囲内に含まれるものである。
Claims (13)
- ネットフローデータを収集するための装置であって、
一又はそれ以上のプロセスを実行するように適応したプロセッサーと、
該プロセッサーによって実行可能なプロセスを格納するように構成されたメモリとからな
り、
該プロセスが、実行時に、
前記装置を介して、少なくとも一つのネットワーク機器から、複数のフローレコードであって各フローレコードが少なくとも送信元インターネットプロトコル(IP)アドレスと宛先IPアドレスを有するフローレコードを受け取り、
前記装置を介して、該受け取られたフローレコードからデータを抽出して、ブロックデータ構造にするが、該ブロックデータ構造が複数の個別の要素を含み、各要素が、それぞれのフローレコードから抽出された送信元インターネットプロトコル(IP)アドレスと宛先IPアドレスを含むデータと、前記複数の個別の要素のそれぞれのインデックスとを格納しており、
前記装置を介して、前記ブロックデータ構造内の前記個別の要素を、前記複数の個別の要素のそれぞれのインデックスを並べ替えることによってソートするが、ソート順が行われるべき処理の種別によって決められており、
前記装置を介して、前記ソートした個別の要素に従って前記ブロックデータ構造をデータストリームとして処理し、少なくとも同じ送信元IPアドレス又は宛先IPアドレスを示すフローレコードの数に基づいてネットワーク使用のパターンを識別する
ように行われる装置。 - 前記ブロックデータ構造が固定サイズを有し、前記プロセスが、実行時に、前記ブロックデータ構造内の前記個別の要素をソートする前に、いつ前記ブロックデータ構造が一杯になるか決定するように行われる請求項1に記載の装置。
- 前記プロセスが、前記ブロックデータ構造内の前記個別の要素をソートする実行時に、更に前記抽出されたデータのビットパターンに基づいて前記個別の要素をソートするように行われる請求項2に記載の装置。
- 前記プロセスが、前記ブロックデータ構造内の前記個別の要素をソートする実行時に、更に前記ソートされたブロックデータ構造を出力ブロックファイルに追加するように行われる請求項3に記載の装置。
- 前記プロセスが、前記複数のフローレコードの受け取りを実行するときに、所定の時間ウィンドウ内に複数のフローレコードを受け取るように行われる請求項4に記載の装置。
- 前記プロセスが、実行時に更に、繰り返し前記受け取ったフローレコードからデータを抽出してブロックデータ構造にし、前記ブロックデータ構造内の個別の要素をソートしてブロックデータ構造を満たし、該満たされたブロックデータ構造をソートし、前記所定の時間ウィンドウ内に前記複数のフローレコードについて、前記ソートされたブロック構造を前記ブロックファイルに追加するように行われる請求項5に記載の装置。
- 前記プロセスが、実行時に更に、前記ブロックファイル内の前記複数の要素のマージソートを実施し、前記ソートされた要素のデータストリームを出力するように行われる請求項6に記載の装置。
- 前記個別の要素がNタプルであり、ただし、Nがフローレコードから抽出されたデータエンティティの数であり、前記ブロックデータ構造がタプルブロックである請求項1に記
載の装置。 - 前記インデックスが、それぞれが前記タブルブロック内の各々の個別のNタプルの位置を識別するインデックスの配列を備える請求項8に記載の装置。
- 前記プロセスが、実行時に更に、前記フローレコードのネットワークアドレス及びネットワークポート間の関連性を識別し、前記識別された関連性に基づいて、分散型サービス妨害攻撃及び/又はポートスキャン攻撃を示す1つ又は複数のフローレコードを識別するように行われる請求項9に記載の装置。
- 前記プロセスが、実行時に更に、単一の送信元ネットワークアドレスに関連している宛先ネットワークアドレス及びネットワークポートの最大数、及び単一の宛先ネットワークアドレスに関連している送信元ネットワークアドレス及びネットワークポートの最大数に従って、前記決定された結果をランク付けすることによって関連性を識別するように行われる請求項10に記載の装置。
- 前記プロセスが、実行時に更に、ランク付けされた情報を出力するように行われる請求項11に記載の装置。
- コード化されたソフトウェアを記録した有形の非一時的なコンピュータ読み取り可能な記録媒体であって、前記ソフトウェアが、プロセッサーによる実行時に、
少なくとも一つのネットワーク機器から、複数のフローレコードであって各フローレコードが少なくとも送信元インターネットプロトコル(IP)アドレスと宛先IPアドレスを有するフローレコードを受け取ることと、
該受け取られたフローレコードからデータを抽出して、ブロックデータ構造にするが、該ブロックデータ構造が複数の個別の要素を含み、各要素が、それぞれのフローレコードから抽出された送信元インターネットプロトコル(IP)アドレスと宛先IPアドレスとを含むデータと、前記複数の個別の要素のそれぞれのインデックスとを格納することと、
前記ブロックデータ構造内の前記個別の要素を、前記複数の個別の要素のそれぞれのインデックスを並べ替えることによってソートするが、ソート順が行われるべき処理の種別によって決められていることと、
該ソートした個別の要素に従って前記ブロックデータ構造をデータストリームとして処理し、少なくとも同じ送信元IPアドレス又は宛先IPアドレスを示すフローレコードの数に基づいてネットワーク使用のパターンを識別することを、
実行可能であるコンピュータ読み取り可能な記録媒体。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP11168731.5 | 2011-06-03 | ||
EP11168731.5A EP2530874B1 (en) | 2011-06-03 | 2011-06-03 | Method and apparatus for detecting network attacks using a flow based technique |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012253735A JP2012253735A (ja) | 2012-12-20 |
JP5961354B2 true JP5961354B2 (ja) | 2016-08-02 |
Family
ID=44720527
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011186276A Expired - Fee Related JP5961354B2 (ja) | 2011-06-03 | 2011-08-29 | 効率的なネットフローデータ解析のための方法及び装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US8510830B2 (ja) |
EP (1) | EP2530874B1 (ja) |
JP (1) | JP5961354B2 (ja) |
CN (1) | CN102811162B (ja) |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7930748B1 (en) * | 2005-12-29 | 2011-04-19 | At&T Intellectual Property Ii, L.P. | Method and apparatus for detecting scans in real-time |
US9065767B2 (en) * | 2012-04-03 | 2015-06-23 | Cisco Technology, Inc. | System and method for reducing netflow traffic in a network environment |
US9680916B2 (en) * | 2013-08-01 | 2017-06-13 | Flowtraq, Inc. | Methods and systems for distribution and retrieval of network traffic records |
CN103532975B (zh) * | 2013-10-28 | 2016-08-17 | 国家电网公司 | 一种可动态平滑扩展的数据采集系统及方法 |
US9178824B2 (en) | 2013-10-29 | 2015-11-03 | Solana Networks Inc. | Method and system for monitoring and analysis of network traffic flows |
US9191325B2 (en) | 2013-10-29 | 2015-11-17 | Solana Networks Inc. | Method and system for processing network traffic flow data |
CN106470118B (zh) * | 2015-08-21 | 2019-11-08 | 睿石网云(北京)科技有限公司 | 一种应用系统性能异常检测方法和系统 |
JP6906928B2 (ja) * | 2015-11-09 | 2021-07-21 | 韓國電子通信研究院Electronics and Telecommunications Research Institute | ネットフロー基盤の接続フィンガープリントの生成及び経由地逆追跡方法 |
US10609053B2 (en) | 2015-11-24 | 2020-03-31 | Intel Corporation | Suspicious network traffic identification method and apparatus |
CN106022129B (zh) * | 2016-05-17 | 2019-02-15 | 北京江民新科技术有限公司 | 文件的数据特征提取方法、装置及病毒特征检测系统 |
US10148549B2 (en) | 2016-10-31 | 2018-12-04 | Servicenow, Inc. | System and method for identifying components of a computer network based on component connections |
KR102476126B1 (ko) * | 2016-12-30 | 2022-12-12 | 비트디펜더 네덜란드 비.브이. | 고속 분석을 위한 네트워크 트래픽 준비 시스템 |
US10516584B2 (en) | 2017-03-07 | 2019-12-24 | eSentire, Inc. | Systems and methods for efficient network conversation bandwidth statistics gathering |
BR202017019310U2 (pt) * | 2017-09-11 | 2019-03-26 | Zerum Research And Technology Do Brasil Ltda | Aperfeiçoamento introduzido em conjunto de appliances |
CN109768949B (zh) * | 2017-11-09 | 2021-09-03 | 阿里巴巴集团控股有限公司 | 一种端口扫描处理系统、方法及相关装置 |
CN108418835A (zh) * | 2018-04-08 | 2018-08-17 | 北京明朝万达科技股份有限公司 | 一种基于Netflow日志数据的端口扫描攻击检测方法及装置 |
US10999167B2 (en) * | 2018-04-13 | 2021-05-04 | At&T Intellectual Property I, L.P. | Varying data flow aggregation period relative to data value |
US10757117B1 (en) | 2019-05-03 | 2020-08-25 | Greynoise Intelligence Inc. | Contextual analyses of network traffic |
CN110737731B (zh) * | 2019-10-25 | 2023-12-29 | 徐州工程学院 | 一种基于决策树的公积金用户数据细化分析系统及方法 |
JP7396454B2 (ja) * | 2020-02-27 | 2023-12-12 | 日本電信電話株式会社 | 付与装置、付与方法及び付与プログラム |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0648498B2 (ja) * | 1985-11-18 | 1994-06-22 | 株式会社島津製作所 | デ−タ収録装置 |
JP2002187317A (ja) * | 2000-12-22 | 2002-07-02 | Canon Inc | 印刷ジョブ生成装置、印刷データ生成装置、印刷システム、印刷ジョブ生成方法、印刷データ生成方法、及び記憶媒体 |
US7260849B1 (en) * | 2001-07-02 | 2007-08-21 | Ncr Corporation | Providing security in a database system |
US6751627B2 (en) * | 2001-07-23 | 2004-06-15 | Networks Associates Technology, Inc. | Method and apparatus to facilitate accessing data in network management protocol tables |
JP2007104472A (ja) * | 2005-10-06 | 2007-04-19 | Mitsubishi Electric Corp | 統計データ取得装置及び統計データ取得方法 |
US8001601B2 (en) * | 2006-06-02 | 2011-08-16 | At&T Intellectual Property Ii, L.P. | Method and apparatus for large-scale automated distributed denial of service attack detection |
JP4244355B2 (ja) * | 2006-08-29 | 2009-03-25 | 日本電信電話株式会社 | 通過パケット監視装置および方法 |
JP2008099105A (ja) * | 2006-10-13 | 2008-04-24 | Nippon Telegr & Teleph Corp <Ntt> | トラフィックデータ中継システム、およびトラフィックデータの分散配置方法 |
JP4658098B2 (ja) * | 2006-11-21 | 2011-03-23 | 日本電信電話株式会社 | フロー情報制限装置および方法 |
CN101202652B (zh) * | 2006-12-15 | 2011-05-04 | 北京大学 | 网络应用流量分类识别装置及其方法 |
JP4791347B2 (ja) * | 2006-12-29 | 2011-10-12 | 富士通株式会社 | エントリの圧縮伸長方法およびエントリの圧縮伸長を行う装置 |
JP2009077136A (ja) * | 2007-09-20 | 2009-04-09 | Oki Electric Ind Co Ltd | トラヒック情報提供装置、トラヒック情報取得装置、トラヒック情報収集システム、トラヒック情報提供プログラム、トラヒック情報取得プログラム及びトラヒック情報収集方法 |
JP5135163B2 (ja) * | 2008-10-22 | 2013-01-30 | Kddi株式会社 | 情報処理装置およびプログラム |
JP2011015253A (ja) * | 2009-07-03 | 2011-01-20 | Nippon Telegr & Teleph Corp <Ntt> | 通信トラヒック分類方法、装置、およびプログラム |
-
2011
- 2011-06-03 EP EP11168731.5A patent/EP2530874B1/en active Active
- 2011-08-29 JP JP2011186276A patent/JP5961354B2/ja not_active Expired - Fee Related
- 2011-08-30 US US13/221,182 patent/US8510830B2/en active Active
- 2011-09-20 CN CN201110279449.2A patent/CN102811162B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
EP2530874A1 (en) | 2012-12-05 |
JP2012253735A (ja) | 2012-12-20 |
CN102811162B (zh) | 2017-05-03 |
CN102811162A (zh) | 2012-12-05 |
EP2530874B1 (en) | 2020-04-29 |
US8510830B2 (en) | 2013-08-13 |
US20120311704A1 (en) | 2012-12-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5961354B2 (ja) | 効率的なネットフローデータ解析のための方法及び装置 | |
US11757739B2 (en) | Aggregation of select network traffic statistics | |
US7843827B2 (en) | Method and device for configuring a network device | |
US20120182891A1 (en) | Packet analysis system and method using hadoop based parallel computation | |
US7995496B2 (en) | Methods and systems for internet protocol (IP) traffic conversation detection and storage | |
CN108701187A (zh) | 混合硬件软件分布式威胁分析 | |
US10873534B1 (en) | Data plane with flow learning circuit | |
JP5956049B2 (ja) | ストリーミングネットフローデータ解析方法及び装置 | |
US8762515B2 (en) | Methods and systems for collection, tracking, and display of near real time multicast data | |
CN106790170B (zh) | 一种数据包过滤方法及装置 | |
JP7069173B2 (ja) | 高速分析のためにネットワーク・トラフィックを準備するシステム | |
Wang et al. | Honeynet construction based on intrusion detection | |
US8838774B2 (en) | Method, system, and computer program product for identifying common factors associated with network activity with reduced resource utilization | |
CN111835599A (zh) | 一种基于SketchLearn的混合网络测量方法、装置及介质 | |
CN107733721A (zh) | 一种网络异常检测方法及装置 | |
CN115361154A (zh) | 一种会话流量的统计方法及装置 | |
CN104767659B (zh) | 一种预测式的动态高速网络流量检测方法和装置 | |
CN111064637B (zh) | NetFlow数据去重方法及装置 | |
JP4209897B2 (ja) | 大量フロー生成ホスト特定方法およびシステム | |
CN112866243B (zh) | 一种基于单包溯源的DDoS攻击检测方法 | |
Papadogiannakis et al. | RRDtrace: long-term raw network traffic recording using fixed-size storage | |
Chen | Designing Compact Data Structures for Network Measurement and Control | |
Valgenti | Dynamic content generation for the evaluation of network applications | |
CN116938511A (zh) | 流量的处理方法及装置、设备、存储介质 | |
CN115473836A (zh) | 一种基于流图模型的网络流量测量方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140828 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150416 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20150423 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20150427 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20150427 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150616 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20150916 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151016 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20151208 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20160304 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20160408 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160509 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160531 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160627 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5961354 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |