JP7048555B2 - トラフィックを検出するための方法及び装置 - Google Patents
トラフィックを検出するための方法及び装置 Download PDFInfo
- Publication number
- JP7048555B2 JP7048555B2 JP2019202639A JP2019202639A JP7048555B2 JP 7048555 B2 JP7048555 B2 JP 7048555B2 JP 2019202639 A JP2019202639 A JP 2019202639A JP 2019202639 A JP2019202639 A JP 2019202639A JP 7048555 B2 JP7048555 B2 JP 7048555B2
- Authority
- JP
- Japan
- Prior art keywords
- traffic information
- traffic
- abnormal
- target
- threshold value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/022—Capturing of monitoring data by sampling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/062—Generation of reports related to network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
- H04L43/0888—Throughput
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
- H04L43/0894—Packet rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Environmental & Geological Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
Claims (11)
- トラフィックを検出するための方法であって、
対象IPの少なくとも2つの次元のトラフィック情報を取得するステップと、
取得された前記対象IPの前記少なくとも2つの次元のトラフィック情報から、事前設定された範囲を超えた異常トラフィック情報を削除するステップと、
異常トラフィック情報が削除された後の前記トラフィック情報に基づいて前記対象IPの対応する次元の異常トラフィック閾値を確定するステップと、
異常トラフィック情報が削除された後の前記トラフィック情報のうち、前記異常トラフィック閾値を超えたトラフィック情報が存在するかどうかを判断するステップと、
異常トラフィック情報が削除された後の前記トラフィック情報のうち、前記異常トラフィック閾値を超えたトラフィック情報が存在する場合、前記対象IPのトラフィックが異常であると判定するステップと、
を含み、
前記異常トラフィック情報が削除された後の前記トラフィック情報に基づいて前記対象IPの対応する次元の異常トラフィック閾値を確定するステップは、
現在の周期内に取得された、異常トラフィック情報が削除された後のトラフィック情報の集合を取得するステップと、
前記集合内における事前設定された割合のトラフィック情報の所在の区間範囲を確定し、前記区間範囲の上限を基準閾値とするステップと、
前記基準閾値を所定倍率で増幅して、前記対象IPの前記異常トラフィック閾値を取得するステップであって、前記所定倍率は1を超える整数であるステップと、を含むトラフィックを検出するための方法。 - 前記少なくとも2つの次元のトラフィック情報は、
単位時間あたりに転送されるビット数、単位時間あたりに転送されるデータパケット数、単位時間あたりのリクエスト数、及び単位時間あたりの接続数のうちの少なくとも2種を含む請求項1に記載の方法。 - 前記少なくとも2つの次元のトラフィック情報のうち、前記対象IPの対応する次元の異常トラフィック閾値を超えたトラフィック情報が存在するかどうかを判断する前に、前記方法は、
前記対象IPのトラフィック情報を周期的に収集するステップを更に含む請求項1に記載の方法。 - 前記対象IPのトラフィック情報を周期的に収集するステップは、
事前設定された頻度で前記対象IPに対してトラフィックを収集するステップと、
毎回に収集されたサンプルデータについて、該サンプルデータの所在の区間範囲を確定し、その区間範囲内の事前設定された値を当回に収集されたトラフィック情報として確定するステップと、
を含む請求項3に記載の方法。 - 前記の、取得された前記対象IPの前記少なくとも2つの次元のトラフィック情報から、事前設定された範囲を超えた異常トラフィック情報を削除するステップは、
前記少なくとも2つの次元のトラフィック情報から第1の範囲を超えた異常トラフィック情報を削除して、一次絞込後のトラフィック情報を得るステップと、
一次絞込後のトラフィック情報に基づいて、前記第1の範囲よりも小さい第2の範囲を確定するステップと、
一次絞込後のトラフィック情報から、前記第2の範囲を超えた異常トラフィック情報を削除するステップと、
を含む請求項1に記載の方法。 - 前記異常トラフィック情報が削除された後の前記トラフィック情報に基づいて前記対象IPの対応する次元の異常トラフィック閾値を確定するステップは、
現在の周期と複数の履歴周期が含まれる複数の周期内で取得された、異常トラフィック情報が削除された後のトラフィック情報の集合を取得するステップと、
各周期で取得されたトラフィック情報の集合について、該集合内で事前設定された割合のトラフィック情報の所在の区間範囲を確定し、確定された区間範囲の上限を該周期に対応する基準閾値とするステップと、
前記複数の周期に対応する基準閾値及び対応する重みに基づいて最終閾値を確定するステップと、
前記最終閾値を所定倍率で増幅して、前記対象IPの前記異常トラフィック閾値を取得するステップと、
を含む請求項1に記載の方法。 - 前記複数の周期の重みは、
各周期の重みが同じであること、
現在の周期から近い周期の重みが、現在の周期から遠い周期の重みよりも大きいこと、及び
各周期の重みがトラフィック情報の安定度に基づいて確定されること、
のいずれかに応じて確定される請求項6に記載の方法。 - ネットワークトラフィックを検出するための装置であって、
対象IPの少なくとも2つの次元のトラフィック情報を取得するように構成される情報取得ユニットと、
取得された前記対象IPの前記少なくとも2つの次元のトラフィック情報から、事前設定された範囲を超えた異常トラフィック情報を削除するように構成される異常トラフィック情報削除ユニットと、
異常トラフィック情報が削除された後の前記トラフィック情報に基づいて前記対象IPの対応する次元の異常トラフィック閾値を確定するように構成される異常トラフィック閾値確定ユニットと、
異常トラフィック情報が削除された後の前記トラフィック情報のうち、前記異常トラフィック閾値を超えたトラフィック情報が存在するかどうかを判断するように構成される判断ユニットと、
異常トラフィック情報が削除された後の前記トラフィック情報のうち、前記異常トラフィック閾値を超えたトラフィック情報が存在する場合、前記対象IPのトラフィックが異常であると判定するように構成される異常判定ユニットと、
を含み、
前記異常トラフィック閾値確定ユニットはさらに、
現在の周期内に取得された、異常トラフィック情報が削除された後のトラフィック情報の集合を取得するステップと、
前記集合内における事前設定された割合のトラフィック情報の所在の区間範囲を確定し、前記区間範囲の上限を基準閾値とするステップと、
前記基準閾値を所定倍率で増幅して、前記対象IPの前記異常トラフィック閾値を取得するステップであって、前記所定倍率は1を超える整数であるステップと、
を行うように構成されるネットワークトラフィックを検出するための装置。 - 1つ又は複数のプロセッサと、1つ又は複数のプログラムが格納されている記憶デバイスと、を備える電子機器であって、
前記1つ又は複数のプログラムが前記1つ又は複数のプロセッサによって実行されると、前記1つ又は複数のプロセッサに請求項1~7のいずれか一項に記載の方法を実現させる、電子機器。 - コンピュータプログラムが格納されているコンピュータ可読媒体であって、
該プログラムがプロセッサによって実行されると、請求項1~7のいずれか一項に記載の方法を実現することを特徴とするコンピュータ可読媒体。 - コンピュータプログラムであって、
前記コンピュータプログラムがプロセッサにより実行されると、請求項1~7のいずれか一項に記載の方法を実現する、コンピュータプログラム。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910198336.6 | 2019-03-15 | ||
CN201910198336.6A CN109802973A (zh) | 2019-03-15 | 2019-03-15 | 用于检测流量的方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020150531A JP2020150531A (ja) | 2020-09-17 |
JP7048555B2 true JP7048555B2 (ja) | 2022-04-05 |
Family
ID=66562937
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019202639A Active JP7048555B2 (ja) | 2019-03-15 | 2019-11-07 | トラフィックを検出するための方法及び装置 |
Country Status (5)
Country | Link |
---|---|
US (1) | US11444861B2 (ja) |
JP (1) | JP7048555B2 (ja) |
KR (1) | KR102260417B1 (ja) |
CN (1) | CN109802973A (ja) |
SG (1) | SG10201910430TA (ja) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110399366A (zh) * | 2019-07-29 | 2019-11-01 | 秒针信息技术有限公司 | 数据过滤方法、装置、服务器及计算机可读存储介质 |
CN111277598B (zh) * | 2020-01-21 | 2022-11-04 | 北京天琴合创技术有限公司 | 一种基于流量的应用攻击识别方法及系统 |
CN111625859A (zh) * | 2020-05-20 | 2020-09-04 | 北京百度网讯科技有限公司 | 一种资源的访问控制方法、装置、电子设备和存储介质 |
CN112015995A (zh) * | 2020-09-29 | 2020-12-01 | 北京百度网讯科技有限公司 | 数据分析的方法、装置、设备以及存储介质 |
CN112288359A (zh) * | 2020-10-28 | 2021-01-29 | 北京每日优鲜电子商务有限公司 | 异常物品信息定位方法、装置、电子设备和计算机介质 |
CN112511372B (zh) * | 2020-11-06 | 2022-03-01 | 新华三技术有限公司 | 一种异常检测方法、装置及设备 |
JP7466809B1 (ja) | 2023-06-21 | 2024-04-12 | 三菱電機株式会社 | ストリーム監視方式、中継装置、ネットワークシステム、ストリーム監視プログラム、および監視端末 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005044277A (ja) | 2003-07-25 | 2005-02-17 | Fuji Xerox Co Ltd | 不正通信検出装置 |
JP2007082242A (ja) | 2006-09-28 | 2007-03-29 | Fujitsu Ltd | 通信遮断装置、通信遮断プログラムおよび通信遮断方法 |
JP2008131198A (ja) | 2006-11-17 | 2008-06-05 | Fujitsu Ltd | 検出方法、検出装置、基準値算出装置及びコンピュータプログラム |
KR101187023B1 (ko) | 2012-05-11 | 2012-09-28 | 주식회사 이글루시큐리티 | 네트워크 비정상 트래픽 분석시스템 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7028333B2 (en) * | 2000-04-12 | 2006-04-11 | Corente, Inc. | Methods and systems for partners in virtual networks |
KR20150033820A (ko) | 2013-09-24 | 2015-04-02 | 주식회사 아이디어웨어 | 제어패킷 트래픽 증가 검출방법과 기록매체 |
CN103905451B (zh) * | 2014-04-03 | 2017-04-12 | 国网河南省电力公司电力科学研究院 | 一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法 |
KR101621019B1 (ko) * | 2015-01-28 | 2016-05-13 | 한국인터넷진흥원 | 시계열 통계 기반 공격의심 이상징후를 탐지하기 위한 방법 |
CN107483455B (zh) * | 2017-08-25 | 2020-07-14 | 国家计算机网络与信息安全管理中心 | 一种基于流的网络节点异常检测方法和系统 |
CN107508816A (zh) * | 2017-08-31 | 2017-12-22 | 杭州迪普科技股份有限公司 | 一种攻击流量防护方法及装置 |
CN108234524B (zh) * | 2018-04-02 | 2020-08-21 | 广州广电研究院有限公司 | 网络数据异常检测的方法、装置、设备及存储介质 |
CN109413071B (zh) * | 2018-10-31 | 2021-08-06 | 新华三信息安全技术有限公司 | 一种异常流量检测方法及装置 |
-
2019
- 2019-03-15 CN CN201910198336.6A patent/CN109802973A/zh active Pending
- 2019-11-06 US US16/676,028 patent/US11444861B2/en active Active
- 2019-11-07 JP JP2019202639A patent/JP7048555B2/ja active Active
- 2019-11-07 KR KR1020190142037A patent/KR102260417B1/ko active IP Right Grant
- 2019-11-07 SG SG10201910430TA patent/SG10201910430TA/en unknown
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005044277A (ja) | 2003-07-25 | 2005-02-17 | Fuji Xerox Co Ltd | 不正通信検出装置 |
JP2007082242A (ja) | 2006-09-28 | 2007-03-29 | Fujitsu Ltd | 通信遮断装置、通信遮断プログラムおよび通信遮断方法 |
JP2008131198A (ja) | 2006-11-17 | 2008-06-05 | Fujitsu Ltd | 検出方法、検出装置、基準値算出装置及びコンピュータプログラム |
KR101187023B1 (ko) | 2012-05-11 | 2012-09-28 | 주식회사 이글루시큐리티 | 네트워크 비정상 트래픽 분석시스템 |
Also Published As
Publication number | Publication date |
---|---|
JP2020150531A (ja) | 2020-09-17 |
US11444861B2 (en) | 2022-09-13 |
SG10201910430TA (en) | 2020-10-29 |
CN109802973A (zh) | 2019-05-24 |
KR20200110132A (ko) | 2020-09-23 |
US20200296022A1 (en) | 2020-09-17 |
KR102260417B1 (ko) | 2021-06-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7048555B2 (ja) | トラフィックを検出するための方法及び装置 | |
CN108768943B (zh) | 一种检测异常账号的方法、装置及服务器 | |
CN108429651B (zh) | 流量数据检测方法、装置、电子设备及计算机可读介质 | |
CN110198248B (zh) | 检测ip地址的方法和装置 | |
CN105917632A (zh) | 用于电信中的可扩缩分布式网络业务分析的方法 | |
CN109474603B (zh) | 数据抓包处理方法及终端设备 | |
CN111400357A (zh) | 一种识别异常登录的方法和装置 | |
CN114448830A (zh) | 一种设备检测系统及方法 | |
WO2010015145A1 (zh) | 过滤以及监控程序行为的方法和系统 | |
CN114785567A (zh) | 一种流量识别方法、装置、设备及介质 | |
KR102119636B1 (ko) | 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법 | |
JP6325993B2 (ja) | サービス監視装置、および、サービス監視方法 | |
CN113553370B (zh) | 异常检测方法、装置、电子设备及可读存储介质 | |
CN115314322A (zh) | 基于流量的漏洞检测确认方法、装置、设备以及存储介质 | |
CN110188529B (zh) | 一种异常滑动轨迹的检测方法、装置及电子设备 | |
CN108055276A (zh) | 面向大数据应用平台的入侵检测实时分析系统 | |
CN112541183B (zh) | 数据处理方法及装置、边缘计算设备、存储介质 | |
CN115378746B (zh) | 网络入侵检测规则生成方法、装置、设备以及存储介质 | |
US11985152B1 (en) | Application behavior detection using network traffic | |
CN113572768B (zh) | 一种僵尸网络家族传播源数量变化异常的分析方法 | |
CN112367324B (zh) | Cdn的攻击检测方法、装置、存储介质及电子设备 | |
CN111756708B (zh) | 一种定向威胁攻击的检测方法和装置 | |
CN116074088A (zh) | DDoS扫段攻击检测方法、装置、电子设备及介质 | |
CN118114249A (zh) | 基于自学习的waf可信用户识别方法、装置及可读介质 | |
CN115664726A (zh) | 一种恶意beacon通信的检测方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200107 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200107 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201228 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210112 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210406 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20210928 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220126 |
|
C60 | Trial request (containing other claim documents, opposition documents) |
Free format text: JAPANESE INTERMEDIATE CODE: C60 Effective date: 20220126 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20220207 |
|
C21 | Notice of transfer of a case for reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C21 Effective date: 20220208 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220308 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220324 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7048555 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |