WO2017068771A1 - Switch abnormality detection device, switch abnormality detection method, and program storage medium - Google Patents

Switch abnormality detection device, switch abnormality detection method, and program storage medium Download PDF

Info

Publication number
WO2017068771A1
WO2017068771A1 PCT/JP2016/004597 JP2016004597W WO2017068771A1 WO 2017068771 A1 WO2017068771 A1 WO 2017068771A1 JP 2016004597 W JP2016004597 W JP 2016004597W WO 2017068771 A1 WO2017068771 A1 WO 2017068771A1
Authority
WO
WIPO (PCT)
Prior art keywords
switch
abnormality detection
feature amount
switches
computer
Prior art date
Application number
PCT/JP2016/004597
Other languages
French (fr)
Japanese (ja)
Inventor
安仁 高宮
Original Assignee
日本電気株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本電気株式会社 filed Critical 日本電気株式会社
Publication of WO2017068771A1 publication Critical patent/WO2017068771A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

In order to enable a system for detecting a switch abnormality in a network including a plurality of switches to be promptly introduced, a switch abnormality detection device 1 is provided with an information collection unit 7, a characteristic amount calculation unit 4, and an abnormality determination unit 5. The information collection unit 7 collects information indicating internal states of a plurality of switches included in a network. The characteristic amount calculation unit 4 compares the internal state of an object switch that is one of the plurality of switches with the internal states of the other switches using the collected information, and calculates a characteristic amount that characterizes the object switch on the basis of the result of the comparison. The abnormality determination unit 5 diagnoses the object switch on the basis of the calculated characteristic amount.

Description

スイッチ異常検知装置、スイッチ異常検知方法、および、プログラム記憶媒体Switch abnormality detection device, switch abnormality detection method, and program storage medium
 本発明は、ネットワークに含まれるスイッチの異常を検知する技術に関する。 The present invention relates to a technique for detecting an abnormality of a switch included in a network.
 複数のスイッチを含むネットワークの異常を検知する方法が提案されている。 A method has been proposed for detecting network abnormalities involving multiple switches.
 非特許文献1に開示されているネットワークモニタリングツールにおいては、期待するネットワークの正常動作を表す情報がチェック項目リストとして入力されている。このモニタリングツールは、ネットワーク内のスイッチとホストをリモート監視した結果と、チェック項目リストとを比較することによって、異常を発見することを可能にしている。 In the network monitoring tool disclosed in Non-Patent Document 1, information indicating the expected normal operation of the network is input as a check item list. This monitoring tool makes it possible to find anomalies by comparing the results of remote monitoring of switches and hosts in a network with a check item list.
 非特許文献1の全開示内容は、本書に引用をもって繰り込み記載されているものとする。以下の分析は、本発明者によってなされたものである。 The entire disclosure of Non-Patent Document 1 is incorporated herein by reference. The following analysis was made by the present inventors.
 非特許文献1に記載されているモニタリングツールは、期待するネットワークの動作の情報を予めチェック項目として保持しておくことにより、ネットワークの異常を検知できる。 The monitoring tool described in Non-Patent Document 1 can detect network abnormality by holding information on expected network operation as a check item in advance.
 このモニタリングツールを採用する場合、例えばデータセンターなどの大規模なネットワークでは、大量のチェック項目リストを予め準備する必要がある。このとき、正しい設定を行うためには、監視対象となるネットワークに固有の高度な知識が必要とされる。また、モニタリングツールを導入するために、長い準備期間が必要とされる。 When adopting this monitoring tool, it is necessary to prepare a large list of check items in advance in a large-scale network such as a data center. At this time, in order to perform correct setting, advanced knowledge specific to the network to be monitored is required. In addition, a long preparation period is required to introduce the monitoring tool.
 本発明は上記課題を解決するために考え出された。すなわち、本発明の主な目的は、複数のスイッチを含むネットワークのスイッチの異常を検知するシステムを迅速に導入できる技術を提供することにある。 The present invention has been devised to solve the above problems. That is, a main object of the present invention is to provide a technique capable of quickly introducing a system for detecting an abnormality of a switch of a network including a plurality of switches.
 本発明の第1の態様に係るスイッチ異常検知装置は、
 ネットワークに含まれる複数のスイッチの内部状態を示す情報を収集する情報収集部と、
 前記収集された情報を用いて、前記複数のスイッチのうちの一つのスイッチである対象スイッチの内部状態を他の前記スイッチの内部状態と比較し、当該比較の結果に基づいて、前記対象スイッチを特徴付ける特徴量を算出する特徴量算出部と、
 前記算出された特徴量に基づいて前記対象スイッチを診断する異常判定部と、
を備えている。 The switch abnormality detection device according to the first aspect of the present invention includes:
An information collection unit that collects information indicating internal states of a plurality of switches included in the network;
Using the collected information, the internal state of the target switch that is one of the plurality of switches is compared with the internal state of the other switches, and the target switch is determined based on the result of the comparison. A feature quantity calculation unit for calculating a feature quantity to be characterized;
An abnormality determination unit that diagnoses the target switch based on the calculated feature amount;
It has.
 本発明の第2の態様に係るスイッチ異常検知方法は、
 コンピュータが、
 ネットワークに含まれる複数のスイッチの内部状態を示す情報を収集し、
 前記収集された情報を用いて、前記複数のスイッチのうちの一つのスイッチである対象スイッチの内部状態を他の前記スイッチの内部状態と比較し、当該比較の結果に基づいて、前記対象スイッチを特徴付ける特徴量を算出し、
 前記算出された特徴量に基づいて前記対象スイッチを診断する。 The switch abnormality detection method according to the second aspect of the present invention includes:
Computer
Collect information indicating the internal state of multiple switches in the network,
Using the collected information, the internal state of the target switch that is one of the plurality of switches is compared with the internal state of the other switches, and the target switch is determined based on the result of the comparison. Calculate the feature value to characterize,
The target switch is diagnosed based on the calculated feature amount.
 本発明の第3の態様に係るプログラム記憶媒体は、
 ネットワークに含まれる複数のスイッチの内部状態を示す情報を収集する処理と、
 前記収集された情報を用いて、前記複数のスイッチのうちの一つのスイッチである対象スイッチの内部状態を他の前記スイッチの内部状態と比較し、当該比較の結果に基づいて、前記対象スイッチを特徴付ける特徴量を算出する処理と、
 前記算出された特徴量に基づいて前記対象スイッチを診断する処理と、
をコンピュータに実行させるコンピュータプログラムを記憶する。 A program storage medium according to the third aspect of the present invention provides:
A process of collecting information indicating internal states of a plurality of switches included in the network;
Using the collected information, the internal state of the target switch that is one of the plurality of switches is compared with the internal state of the other switches, and the target switch is determined based on the result of the comparison. A process for calculating a characteristic amount to be characterized;
A process of diagnosing the target switch based on the calculated feature amount;
Is stored in the computer program.
 なお、プログラム記憶媒体は、例えば、非一時的なコンピュータ可読記録媒体(non-transitory computer-readable storage medium)である。 The program storage medium is, for example, a non-transitory computer-readable storage medium.
 本発明に係るスイッチ異常検知装置、スイッチ異常検知方法、および、プログラム記憶媒体は、複数のスイッチを含むネットワークのスイッチの異常を検知するシステムを迅速に導入することを可能にする。 The switch abnormality detection device, the switch abnormality detection method, and the program storage medium according to the present invention make it possible to quickly introduce a system that detects a network switch abnormality including a plurality of switches.
本発明の一実施形態に係るスイッチ異常検知装置の構成を例示するブロック図である。It is a block diagram which illustrates the composition of the switch abnormality detection device concerning one embodiment of the present invention. 本発明に係る第1実施形態のスイッチ異常検知装置の構成を例示するブロック図である。It is a block diagram which illustrates the composition of the switch abnormality detection device of a 1st embodiment concerning the present invention. 転送ルールを例示する図である。It is a figure which illustrates a transfer rule. 転送ルールの正規化動作を説明する図である。It is a figure explaining the normalization operation | movement of a transfer rule. 第1実施形態のスイッチ異常検知装置の動作の一例を例示するフローチャートである。It is a flowchart which illustrates an example of operation of a switch abnormality detection device of a 1st embodiment.
 はじめに、一実施形態の概要について説明する。なお、この概要に付記する図面参照符号は、専ら理解を助けるための例示であり、本発明を図示の態様に限定することを意図するものではない。 First, an outline of one embodiment will be described. Note that the reference numerals of the drawings attached to this summary are merely examples for facilitating understanding, and are not intended to limit the present invention to the illustrated embodiment.
 図1は、一実施形態に係るスイッチ異常検知装置1の構成を例示するブロック図である。図1を参照すると、スイッチ異常検知装置1は、情報収集部7と、特徴量算出部4と、異常判定部5とを備えている。情報収集部7は、ネットワークに含まれる複数のスイッチの内部状態を示す情報(例えば、パケットを転送する場合に用いられる転送ルール)を収集する機能を備える。特徴量算出部4は、収集された情報を用いて、ネットワークに含まれる複数のスイッチのうちの一つのスイッチ(以下、対象スイッチとも記載する)の内部状態を他のスイッチの内部状態と比較する。また、特徴量算出部4は、その比較結果に基づいて、対象スイッチを特徴付ける特徴量を算出する機能を備える。異常判定部5は、算出された特徴量に基づいて対象スイッチを診断する機能を備える。 FIG. 1 is a block diagram illustrating the configuration of a switch abnormality detection device 1 according to an embodiment. Referring to FIG. 1, the switch abnormality detection device 1 includes an information collection unit 7, a feature amount calculation unit 4, and an abnormality determination unit 5. The information collection unit 7 has a function of collecting information (for example, transfer rules used when transferring packets) indicating internal states of a plurality of switches included in the network. The feature amount calculation unit 4 uses the collected information to compare the internal state of one switch (hereinafter also referred to as a target switch) among a plurality of switches included in the network with the internal state of other switches. . The feature amount calculation unit 4 has a function of calculating a feature amount that characterizes the target switch based on the comparison result. The abnormality determination unit 5 has a function of diagnosing the target switch based on the calculated feature value.
 スイッチ異常検知装置1は、複数のスイッチを含むネットワークにおいてスイッチの異常を検知するシステムを迅速に導入することを可能にする。なぜなら、スイッチ異常検知装置1は、スイッチから収集した内部状態を示す情報に基づいて特徴量を算出し、算出した特徴量に応じてスイッチを診断できるから、異常検知のためのチェック項目リストを予め用意する必要がなくなるからである。 The switch abnormality detection device 1 makes it possible to quickly introduce a system for detecting a switch abnormality in a network including a plurality of switches. This is because the switch abnormality detection device 1 calculates the feature amount based on the information indicating the internal state collected from the switch, and can diagnose the switch according to the calculated feature amount. This is because it is not necessary to prepare.
 なお、特徴量算出部4は、収集された情報を正規化した情報を用いて、対象スイッチの特徴量を算出してもよい。その正規化した情報は、例えば、転送ルールに含まれるマッチおよびアクションにおける物理ポート番号をワイルドカードに置換し、転送ルールに含まれる統計情報を削除する処理を行うことにより得られる。 Note that the feature quantity calculation unit 4 may calculate the feature quantity of the target switch using information obtained by normalizing the collected information. The normalized information is obtained, for example, by performing processing for replacing the physical port number in the match and action included in the transfer rule with a wild card and deleting the statistical information included in the transfer rule.
 また、特徴量算出部4は、正規化された転送ルールに含まれるエントリの出現回数に応じてエントリの重みを算出してもよい。 Also, the feature amount calculation unit 4 may calculate the entry weight according to the number of appearances of the entry included in the normalized transfer rule.
 例えば、特徴量算出部4は、下式(1)を用いて、エントリiの重みg(i)を求めることができる。
Figure JPOXMLDOC01-appb-I000001
For example, the feature amount calculation unit 4 can obtain the weight g (i) of the entry i using the following equation (1).
Figure JPOXMLDOC01-appb-I000001
 なお、式(1)における"n"はスイッチの総数を表している。"Pij"は下式(2)により求まる。
Figure JPOXMLDOC01-appb-I000002
Note that “n” in equation (1) represents the total number of switches. “P ij ” is obtained by the following equation (2).
Figure JPOXMLDOC01-appb-I000002
 式(2)における"x(i,j)"はスイッチjの転送ルールにおける正規化されたエントリiの出現回数を表している。 また、特徴量算出部4は、求めた重みg(i)およびエントリiの出現回数を用いて算出されたスイッチの特徴量(例えば、下式(3)に表されるスイッチjの特徴量|xj|)に応じた重みを挙げることができる。
Figure JPOXMLDOC01-appb-I000003
“X (i, j)” in Expression (2) represents the number of appearances of the normalized entry i in the transfer rule of the switch j. In addition, the feature quantity calculation unit 4 calculates the switch feature quantity calculated using the obtained weight g (i) and the number of appearances of the entry i (for example, the feature quantity of the switch j represented by the following expression (3) | xj |).
Figure JPOXMLDOC01-appb-I000003
 式(3)中における"m"は、スイッチの転送ルール内にある正規化したエントリの総数を表している。 “M” in Equation (3) represents the total number of normalized entries in the forwarding rule of the switch.
 また、異常判定部5は、対象スイッチの特徴量が閾値より大きい場合、対象スイッチが異常であると判定してもよい。 Further, the abnormality determination unit 5 may determine that the target switch is abnormal when the feature amount of the target switch is larger than the threshold value.
 このような構成を持つスイッチ異常検知装置1のさらなる展開は、例えば、データセンターのコアスイッチなどの同等の設定を持つ複数のスイッチを有するネットワークにおけるスイッチ異常検知に適用することである。 Further development of the switch abnormality detection device 1 having such a configuration is, for example, to be applied to switch abnormality detection in a network having a plurality of switches having equivalent settings such as a data center core switch.
 すなわち、図2を参照すると、展開形態に係るスイッチ異常検知装置1は、収集部2と、前処理部3と、特徴量算出部4と、異常判定部5とを備える。収集部2は、ネットワークを構成するスイッチ6の内部状態として転送ルールを収集する機能を備える。前処理部3は、その収集された転送ルールを正規化する機能を備える。特徴量算出部4は、スイッチ6ごとの特徴量を正規化された転送ルールに基づき算出する機能を備える。異常判定部5は、算出された特徴量に基づき異常なスイッチを判定する機能を備える。 That is, referring to FIG. 2, the switch abnormality detection device 1 according to the expanded form includes a collection unit 2, a preprocessing unit 3, a feature amount calculation unit 4, and an abnormality determination unit 5. The collection unit 2 has a function of collecting transfer rules as the internal state of the switch 6 constituting the network. The preprocessing unit 3 has a function of normalizing the collected transfer rules. The feature amount calculation unit 4 has a function of calculating the feature amount for each switch 6 based on the normalized transfer rule. The abnormality determination unit 5 has a function of determining an abnormal switch based on the calculated feature amount.
 このようなスイッチ異常検知装置1は、スイッチごとに算出した特徴量を算出することにより、異常検知のためのチェック項目リストを用意することなく、特徴量の比較だけで異常なスイッチを検出することができる。また、スイッチ異常検知装置1は、複数のスイッチ6から、設定情報が誤っているスイッチ6を検出することも可能となる。 Such a switch abnormality detection device 1 detects an abnormal switch only by comparing feature amounts without preparing a check item list for abnormality detection by calculating feature amounts calculated for each switch. Can do. In addition, the switch abnormality detection device 1 can also detect the switch 6 with incorrect setting information from the plurality of switches 6.
 <第1実施形態>
 次に、本発明に係る第1実施形態のスイッチ異常検知装置について、図面を参照して詳細に説明する。 <First Embodiment>
Next, the switch abnormality detection device according to the first embodiment of the present invention will be described in detail with reference to the drawings.
 [構成]
 図2は、第1実施形態のスイッチ異常検知装置1の構成を例示するブロック図である。図2を参照すると、スイッチ異常検知装置1は、収集部2、前処理部3、特徴量算出部4、および、異常判定部5を備えている。 [Constitution]
FIG. 2 is a block diagram illustrating the configuration of the switch abnormality detection device 1 according to the first embodiment. Referring to FIG. 2, the switch abnormality detection device 1 includes a collection unit 2, a preprocessing unit 3, a feature amount calculation unit 4, and an abnormality determination unit 5.
 収集部2は、ネットワークを構成するスイッチ6が持つ転送ルールを定期的に収集する。また、収集部2は、収集した転送ルールを前処理部3へ出力する。 The collection unit 2 periodically collects transfer rules held by the switches 6 constituting the network. Further, the collection unit 2 outputs the collected transfer rules to the preprocessing unit 3.
 図3は、収集部2が収集する転送ルールを例示する。転送ルールは、スイッチ6ごとに複数のエントリを持ち、それぞれのエントリは、属性としてマッチ、アクション、プライオリティ、および、統計情報を持つ。 FIG. 3 illustrates transfer rules collected by the collection unit 2. The transfer rule has a plurality of entries for each switch 6, and each entry has a match, an action, a priority, and statistical information as attributes.
 マッチには、スイッチ6に入るパケットを処理するか否かを判定する判定条件が含まれる。例えば"VLANID (Virtual LAN (Local Area Network) IDentification) = 10"というマッチには、パケットのVLANIDフィールドが"10"である場合に、アクション属性で示す処理をパケットに行うという情報が含まれる。アクション属性には、マッチの判定条件に該当するパケットに行う処理の情報が含まれる。例えば、"FWD (forward) port = 5"は、スイッチの5番ポートにパケットを転送する動作(アクション)が表されている。プライオリティはエントリごとの優先順位を表す。優先順位の高いエントリから順にマッチ判定が行われる。統計情報は、エントリに従って処理されたパケット転送量を表す。 The match includes a determination condition for determining whether or not to process a packet entering the switch 6. For example, the match “VLANID (Virtual LAN (Local Area Network) IDentification)” = “10” includes information that the process indicated by the action attribute is performed on the packet when the VLAN ID field of the packet is “10”. The action attribute includes information on processing performed on a packet corresponding to the match determination condition. For example, “FWD (forward) port = 5” represents an action (action) for forwarding a packet to the fifth port of the switch. The priority represents the priority for each entry. Match determination is performed in descending order of priority. The statistical information represents the packet transfer amount processed according to the entry.
 前処理部3は、収集された転送ルールについて、マッチおよびアクションに含まれる物理ポート番号の部分をワイルドカードに置換し、また、統計情報を削除することによって、転送ルールエントリを正規化する。転送ルールを正規化することにより、物理ポート番号のみが異なる類似の転送ルールエントリは、同一のエントリとみなされるようになる。また、前処理部3は、正規化した転送ルールを特徴量算出部4へ出力する。 The pre-processing unit 3 normalizes the transfer rule entry by replacing the physical port number part included in the match and action with the wild card and deleting the statistical information for the collected transfer rule. By normalizing the transfer rules, similar transfer rule entries that differ only in physical port numbers are regarded as the same entry. In addition, the preprocessing unit 3 outputs the normalized transfer rule to the feature amount calculation unit 4.
 図4は、前処理部3による転送ルール正規化の動作例を説明する図である。前処理部3は、マッチにおける"InPort = 5"の物理ポート番号を表す部分を、ワイルドカードを表す記号"*"に変更し、"InPort = *"とする。また、前処理部3は、アクションにおける"FWD port = 5"、"FWD port = 4"の物理ポート番号を表す部分を、それぞれ同様にワイルドカードを表す記号"*"に変更し、"FWD port = *"とする。さらに、前処理部3は、統計情報を削除する。 FIG. 4 is a diagram for explaining an operation example of transfer rule normalization by the preprocessing unit 3. The pre-processing unit 3 changes the part representing the physical port number of “InPort = 5” in the match to the symbol “*” representing the wild card, and makes “InPortIn = *”. Also, the pre-processing unit 3 changes the physical port number portions of “FWD port = 5” and “FWD port = 4” in the action to the symbol “*” representing the wild card in the same manner. = * ". Further, the preprocessing unit 3 deletes the statistical information.
 特徴量算出部4は、正規化された転送ルールに基づきスイッチ6ごとの特徴量を算出する。例えば、まず、特徴量算出部4は、転送ルール内の各エントリiについて、前述した式(1)を利用してlog-entropyを用いた重みg(i)を求め、求めた重みg(i)に基づいて0から1までの間の重みをエントリiに付与する。特徴量算出部4は、例えば、すべてのネットワークに含まれるエントリiに重み"0" (g(i) = 0)を付与し、特定のスイッチ1台のみに含まれるエントリiに重み"1" (g(i) = 1)を付与する。ここで、例えば、各スイッチの設定が同等であると仮定する。この場合には、log-entropyによる重みg(i)が大きいエントリiは設定ミスや故障などの何らかの異常があることを示している。 The feature amount calculation unit 4 calculates a feature amount for each switch 6 based on the normalized transfer rule. For example, first, the feature amount calculation unit 4 obtains a weight g (i) using log-entropy for each entry i in the transfer rule using the above-described equation (1), and obtains the obtained weight g (i ) To give the entry i a weight between 0 and 1. For example, the feature quantity calculation unit 4 assigns the weight “0” (g (i) = 0) to the entry i included in all networks, and the weight “1” to the entry i included in only one specific switch. (G (i) = 1) is given. Here, for example, it is assumed that the setting of each switch is equivalent. In this case, an entry i having a large weight g (i) by log-entropy indicates that there is some abnormality such as a setting error or failure.
 なお、式(1)に基づいた重みg(i)は例示にすぎず、エントリiを重み付けする重みは式(1)に示す具体的な関数により得られる重みg(i)に限定されない。 Note that the weight g (i) based on the formula (1) is merely an example, and the weight for weighting the entry i is not limited to the weight g (i) obtained by the specific function shown in the formula (1).
 さらに、特徴量算出部4は、スイッチ6ごとに、エントリiの重みg(i)と出現回数x(i, j)に基づき、式(3)を用いて、j番目のスイッチ6における特徴量|xj|を算出する。ここで、式(3)における"x(i, j)"はj番目のスイッチjの転送ルールにおける正規化されたエントリiが出現する回数を表す。特徴量算出部4は、特徴量|xj|の大きいスイッチ6ほど他のスイッチと比較して何らかの異常が発生している可能性が高いと推測する。 Further, for each switch 6, the feature amount calculation unit 4 uses the expression (3) based on the weight g (i) of the entry i and the number of appearances x (i, 特 徴 j), and the feature amount in the jth switch 6. | xj | is calculated. Here, “x (i, j)” in the expression (3) represents the number of times the normalized entry i appears in the transfer rule of the j-th switch j. The feature amount calculation unit 4 estimates that the switch 6 having a larger feature amount | xj | is more likely to have some abnormality than the other switches.
 なお、式(3)に示すj番目のスイッチ6についての特徴量|xj|は例示にすぎない。スイッチ6を特徴付ける特徴量は、式(3)に示す具体的な関数により得られる特徴量|xj|に限定されず、g(i)とx(i,j)のそれぞれの単調に増加する関数であればよい。 Note that the feature quantity | xj | for the j-th switch 6 shown in Expression (3) is merely an example. The feature quantity that characterizes the switch 6 is not limited to the feature quantity | xj | obtained by the specific function shown in Expression (3), and each of the monotonically increasing functions of g (i) and x (i, j). If it is.
 異常判定部5は、予め設定した閾値よりも大きい特徴量|xj|を持つスイッチ6の一覧を管理者に提示する。 The abnormality determination unit 5 presents a list of switches 6 having a feature quantity | xj | that is larger than a preset threshold value to the administrator.
 [動作]
 次に、図5のフローチャートを参照して、第1実施形態のスイッチ異常検知装置1の動作例について説明する。 [Operation]
Next, an operation example of the switch abnormality detection device 1 of the first embodiment will be described with reference to the flowchart of FIG.
 ステップS1において、収集部2は、ネットワークを構成するスイッチ6が持つ転送ルールを収集する。 In step S1, the collection unit 2 collects transfer rules possessed by the switch 6 constituting the network.
 ステップS2において、前処理部3は、収集された転送ルールについて、マッチおよびアクションに含まれる物理ポート番号の部分をワイルドカードに変更し、また、統計情報を削除することによって、転送ルールエントリを正規化する。 In step S2, the preprocessing unit 3 changes the part of the physical port number included in the match and action to a wild card for the collected transfer rule, and deletes the statistical information, thereby normalizing the transfer rule entry. Turn into.
 ステップS3において、特徴量算出部4は、スイッチごとに、正規化された転送ルールに基づいて特徴量を算出する。 In step S3, the feature quantity calculation unit 4 calculates a feature quantity for each switch based on the normalized transfer rule.
 ステップS4において、異常判定部5は、予め設定した閾値よりも大きい特徴量を持つスイッチ6があるか否かを判定する。 In step S4, the abnormality determination unit 5 determines whether there is a switch 6 having a feature amount larger than a preset threshold value.
 異常判定部5は、閾値よりも大きい特徴量を持つスイッチ6が存在する場合(ステップS4のYes)、ステップS5において、閾値よりも大きい特徴量を持つスイッチ6の一覧を異常スイッチの候補として管理者に提示する。 When there is a switch 6 having a feature quantity larger than the threshold (Yes in step S4), the abnormality determination unit 5 manages a list of the switches 6 having a feature quantity larger than the threshold as candidates for an abnormal switch in step S5. Present to the person.
 次に、第1実施形態の効果について説明する。第1実施形態のスイッチ異常検知装置1は、スイッチ6の内部状態から算出できる特徴量を他のスイッチ6の特徴量と比較し、この比較結果に基づいて異常なスイッチ6を検出する。このため、第1実施形態のスイッチ異常検知装置1は、データセンターのコアスイッチなど同等の設定を持つ大量のスイッチを含むネットワーク等について、異常検知のためのチェック項目リストを用意することなく、異常なスイッチ6を推測できる。 Next, the effect of the first embodiment will be described. The switch abnormality detection device 1 according to the first embodiment compares the feature amount that can be calculated from the internal state of the switch 6 with the feature amount of the other switch 6, and detects the abnormal switch 6 based on the comparison result. For this reason, the switch abnormality detection device 1 according to the first embodiment does not prepare a check item list for abnormality detection for a network including a large number of switches having the same setting such as a core switch of a data center without preparing a check item list. Can be guessed.
 第1実施形態のスイッチ異常検知装置1は、一例として同等の設定を持つスイッチを含むネットワークの管理に適用することができる。 The switch abnormality detection device 1 of the first embodiment can be applied to management of a network including switches having equivalent settings as an example.
 上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
[付記1]
 ネットワークに含まれる複数のスイッチの内部状態を示す情報を収集する情報収集部と、
 前記複数のスイッチの一のスイッチの内部状態を他のスイッチの内部状態と比較して特徴付ける特徴量を、前記収集された情報を用いて算出する特徴量算出部と、
 前記算出された特徴量に基づいて前記一のスイッチを診断する異常判定部と、を備える、
 ことを特徴とするスイッチ異常検知装置。
[付記2]
 前記収集された情報を正規化する前処理部を備え、
 前記特徴量算出部は、前記正規化された情報を用いて前記一のスイッチの特徴量を算出する、
 付記1に記載のスイッチ異常検知装置。
[付記3]
 前記情報収集部は、前記複数のスイッチが保持する転送ルールを、前記内部状態を示す情報として収集する、
 付記2に記載のスイッチ異常検知装置。
[付記4]
 前記特徴量算出部は、正規化された転送ルールに含まれるエントリの出現回数に応じて前記エントリの重みを求め、求めた重みと前記出現回数を用いて前記一のスイッチの特徴量を算出する、
 付記3に記載のスイッチ異常検知装置。
[付記5]
 前記前処理部は、前記転送ルールに含まれるマッチおよびアクションにおける物理ポート番号をワイルドカードに置換する、
 付記3または付記4に記載のスイッチ異常検知装置。
[付記6]
 前記前処理部は、前記転送ルールに含まれる統計情報を削除する、
 付記3ないし付記5のいずれか一つに記載のスイッチ異常検知装置。
[付記7]
 前記異常判定部は、前記一のスイッチの特徴量が所定の閾値より大きい場合、前記一のスイッチが異常であると判定する、
 付記1ないし付記6のいずれか一つに記載のスイッチ異常検知装置。
[付記8]
 コンピュータが、ネットワークに含まれる複数のスイッチの内部状態を示す情報を収集するステップと、
 前記複数のスイッチの一のスイッチの内部状態を他のスイッチの内部状態と比較して特徴付ける特徴量を、前記収集された情報を用いて算出するステップと、
 前記算出された特徴量に基づいて前記一のスイッチを診断するステップと、を含む、
 ことを特徴とするスイッチ異常検知方法。
[付記9]
 前記コンピュータが、前記収集された情報を正規化するステップと、
 前記正規化された情報を用いて前記一のスイッチの特徴量を算出するステップと、を含む、
 付記8に記載のスイッチ異常検知方法。
[付記10]
 前記コンピュータは、前記複数のスイッチが保持する転送ルールを、前記内部状態を示す情報として収集する、
 付記9に記載のスイッチ異常検知方法。
[付記11]
 前記コンピュータが、正規化された転送ルールに含まれるエントリの出現回数に応じて前記エントリの重みを求めるステップと、
 求めた重みと前記出現回数を用いて前記一のスイッチの特徴量を算出するステップと、を含む、
 付記10に記載のスイッチ異常検知方法。
[付記12]
 前記コンピュータが、前記転送ルールに含まれるマッチおよびアクションにおける物理ポート番号をワイルドカードに置換するステップを含む、
 付記10または付記11に記載のスイッチ異常検知方法。
[付記13]
 前記コンピュータが、前記転送ルールに含まれる統計情報を削除するステップを含む、 付記10ないし付記12のいずれか一つに記載のスイッチ異常検知方法。
[付記14]
 前記コンピュータが、前記一のスイッチの特徴量が所定の閾値より大きい場合、前記一のスイッチが異常であると判定するステップを含む、
 付記8ないし付記13のいずれか一つに記載のスイッチ異常検知方法。
[付記15]
 ネットワークに含まれる複数のスイッチの内部状態を示す情報を収集する処理と、
 前記複数のスイッチの一のスイッチの内部状態を他のスイッチの内部状態と比較して特徴付ける特徴量を、前記収集された情報を用いて算出する処理と、
 前記算出された特徴量に基づいて前記一のスイッチを診断する処理と、をコンピュータに実行させる、
 ことを特徴とするプログラム。
[付記16]
 前記収集された情報を正規化する処理と、
 前記正規化された情報を用いて前記一のスイッチの特徴量を算出する処理と、を前記コンピュータに実行させる、
 付記15に記載のプログラム。
[付記17]
 前記複数のスイッチが保持する転送ルールを、前記内部状態を示す情報として収集する処理を前記コンピュータに実行させる、
 付記16に記載のプログラム。
[付記18]
 正規化された転送ルールに含まれるエントリの出現回数に応じて前記エントリの重みを求める処理と、
 求めた重みと前記出現回数を用いて前記一のスイッチの特徴量を算出する処理と、を前記コンピュータに実行させる、
 付記17に記載のプログラム。
[付記19]
 前記転送ルールに含まれるマッチおよびアクションにおける物理ポート番号をワイルドカードに置換する処理を前記コンピュータに実行させる、
 付記17または付記18に記載のプログラム。
[付記20]
 前記転送ルールに含まれる統計情報を削除する処理を前記コンピュータに実行させる、 付記17ないし付記19のいずれか一つに記載のプログラム。
[付記21]
 前記一のスイッチの特徴量が所定の閾値より大きい場合、前記一のスイッチが異常であると判定する処理を前記コンピュータに実行させる、
 付記15ないし付記20のいずれか一つに記載のプログラム。 A part or all of the above-described embodiment can be described as in the following supplementary notes, but is not limited thereto.
[Appendix 1]
An information collection unit that collects information indicating internal states of a plurality of switches included in the network;
A feature amount calculating unit that calculates a feature amount characterized by comparing an internal state of one of the plurality of switches with an internal state of another switch, using the collected information;
An abnormality determination unit that diagnoses the one switch based on the calculated feature amount,
A switch abnormality detection device characterized by that.
[Appendix 2]
A pre-processing unit that normalizes the collected information;
The feature amount calculation unit calculates a feature amount of the one switch using the normalized information;
The switch abnormality detection device according to appendix 1.
[Appendix 3]
The information collection unit collects transfer rules held by the plurality of switches as information indicating the internal state;
The switch abnormality detection device according to attachment 2.
[Appendix 4]
The feature amount calculation unit calculates the weight of the entry according to the number of appearances of the entry included in the normalized transfer rule, and calculates the feature amount of the one switch using the calculated weight and the number of appearances ,
The switch abnormality detection device according to attachment 3.
[Appendix 5]
The preprocessing unit replaces the physical port number in the match and action included in the forwarding rule with a wildcard;
The switch abnormality detection device according to appendix 3 or appendix 4.
[Appendix 6]
The preprocessing unit deletes statistical information included in the transfer rule;
The switch abnormality detection device according to any one of attachments 3 to 5.
[Appendix 7]
The abnormality determining unit determines that the one switch is abnormal when the feature amount of the one switch is larger than a predetermined threshold.
The switch abnormality detection device according to any one of supplementary notes 1 to 6.
[Appendix 8]
A computer collecting information indicating an internal state of a plurality of switches included in the network;
Calculating, using the collected information, a characteristic amount that characterizes the internal state of one of the plurality of switches by comparing it with the internal state of another switch;
Diagnosing the one switch based on the calculated feature amount,
A switch abnormality detection method characterized by the above.
[Appendix 9]
The computer normalizing the collected information;
Calculating a feature amount of the one switch using the normalized information.
The switch abnormality detection method according to appendix 8.
[Appendix 10]
The computer collects transfer rules held by the plurality of switches as information indicating the internal state;
The switch abnormality detection method according to appendix 9.
[Appendix 11]
The computer determines the weight of the entry according to the number of appearances of the entry included in the normalized transfer rule;
Calculating the feature amount of the one switch using the obtained weight and the number of appearances,
The switch abnormality detection method according to appendix 10.
[Appendix 12]
The computer includes replacing a physical port number in a match and action included in the forwarding rule with a wildcard;
The switch abnormality detection method according to appendix 10 or appendix 11.
[Appendix 13]
The switch abnormality detection method according to any one of appendix 10 to appendix 12, wherein the computer includes a step of deleting statistical information included in the transfer rule.
[Appendix 14]
The computer includes a step of determining that the one switch is abnormal when a feature amount of the one switch is larger than a predetermined threshold.
The switch abnormality detection method according to any one of supplementary notes 8 to 13.
[Appendix 15]
A process of collecting information indicating internal states of a plurality of switches included in the network;
A process for calculating a characteristic amount characterized by comparing an internal state of one of the plurality of switches with an internal state of another switch using the collected information;
Causing the computer to execute a process of diagnosing the one switch based on the calculated feature amount,
A program characterized by that.
[Appendix 16]
Normalizing the collected information;
Causing the computer to execute a process of calculating a feature amount of the one switch using the normalized information.
The program according to appendix 15.
[Appendix 17]
Causing the computer to execute a process of collecting transfer rules held by the plurality of switches as information indicating the internal state;
The program according to appendix 16.
[Appendix 18]
A process for obtaining the weight of the entry according to the number of appearances of the entry included in the normalized transfer rule;
Causing the computer to execute a process of calculating a feature amount of the one switch using the obtained weight and the number of appearances;
The program according to appendix 17.
[Appendix 19]
Causing the computer to execute processing for replacing physical port numbers in matches and actions included in the forwarding rule with wildcards;
The program according to appendix 17 or appendix 18.
[Appendix 20]
The program according to any one of appendix 17 to appendix 19, which causes the computer to execute a process of deleting statistical information included in the transfer rule.
[Appendix 21]
When the feature amount of the one switch is greater than a predetermined threshold, the computer is caused to execute a process of determining that the one switch is abnormal.
The program according to any one of Supplementary Note 15 to Supplementary Note 20.
 なお、非特許文献1の全開示内容は、本書に引用をもって繰り込み記載されているものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態の変更・調整が可能である。また、本発明の全開示の枠内において種々の開示要素(各請求項の各要素、各実施形態の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし、選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得る各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。 It should be noted that the entire disclosure of Non-Patent Document 1 is incorporated herein by reference. Within the scope of the entire disclosure (including claims) of the present invention, the embodiment can be changed and adjusted based on the basic technical concept. Further, various combinations or selections of various disclosed elements (including each element of each claim, each element of each embodiment, each element of each drawing, etc.) are possible within the framework of the entire disclosure of the present invention. is there. That is, the present invention of course includes various variations and modifications that can be made by those skilled in the art according to the entire disclosure including the claims and the technical idea. In particular, with respect to the numerical ranges described in this document, any numerical value or small range included in the range should be construed as being specifically described even if there is no specific description.
 この出願は、2015年10月22日に出願された日本出願特願2015-208272を基礎とする優先権を主張し、その開示の全てをここに取り込む。 This application claims priority based on Japanese Patent Application No. 2015-208272 filed on October 22, 2015, the entire disclosure of which is incorporated herein.
1  スイッチ異常検知装置
2  収集部
3  前処理部
4  特徴量算出部
5  異常判定部
6  スイッチ
7  情報収集部 DESCRIPTION OF SYMBOLS 1 Switch abnormality detection apparatus 2 Collection part 3 Preprocessing part 4 Feature-value calculation part 5 Abnormality determination part 6 Switch 7 Information collection part

Claims (21)

  1.  ネットワークに含まれる複数のスイッチの内部状態を示す情報を収集する情報収集手段と、
     前記収集された情報を用いて、前記複数のスイッチのうちの一つのスイッチである対象スイッチの内部状態を他の前記スイッチの内部状態と比較し、当該比較の結果に基づいて、前記対象スイッチを特徴付ける特徴量を算出する特徴量算出手段と、
     前記算出された特徴量に基づいて前記対象スイッチを診断する異常判定手段と、
    を備えるスイッチ異常検知装置。     Information collecting means for collecting information indicating internal states of a plurality of switches included in the network;
    Using the collected information, the internal state of the target switch that is one of the plurality of switches is compared with the internal state of the other switches, and the target switch is determined based on the result of the comparison. A feature amount calculating means for calculating a feature amount to be characterized;
    An abnormality determining means for diagnosing the target switch based on the calculated feature amount;
    A switch abnormality detection device comprising:
  2.  前記収集された情報を正規化する前処理手段を備え、
     前記特徴量算出手段は、前記正規化された情報を用いて前記対象スイッチの特徴量を算出する、
     請求項1に記載のスイッチ異常検知装置。     Comprising pre-processing means for normalizing the collected information;
    The feature amount calculating means calculates the feature amount of the target switch using the normalized information;
    The switch abnormality detection device according to claim 1.
  3.  前記情報収集手段は、前記複数のスイッチが保持する転送ルールを、前記内部状態を示す情報として収集する、
     請求項2に記載のスイッチ異常検知装置。     The information collecting means collects transfer rules held by the plurality of switches as information indicating the internal state;
    The switch abnormality detection device according to claim 2.
  4.  前記特徴量算出手段は、正規化された前記転送ルールに含まれるエントリの出現回数に応じて前記エントリの重みを求め、求めた重みと前記出現回数を用いて前記対象スイッチの特徴量を算出する、
     請求項3に記載のスイッチ異常検知装置。     The feature amount calculating means calculates the weight of the entry according to the number of appearances of the entry included in the normalized transfer rule, and calculates the feature amount of the target switch using the calculated weight and the number of appearances. ,
    The switch abnormality detection device according to claim 3.
  5.  前記前処理手段は、前記転送ルールに含まれるマッチおよびアクションにおける物理ポート番号をワイルドカードに置換する、
     請求項3または請求項4に記載のスイッチ異常検知装置。     The preprocessing means replaces a physical port number in a match and action included in the forwarding rule with a wildcard;
    The switch abnormality detection device according to claim 3 or 4.
  6.  前記前処理手段は、前記転送ルールに含まれる統計情報を削除する、
     請求項3ないし請求項5のいずれか1項に記載のスイッチ異常検知装置。     The preprocessing means deletes statistical information included in the transfer rule;
    The switch abnormality detection device according to any one of claims 3 to 5.
  7.  前記異常判定手段は、前記対象スイッチの特徴量が閾値より大きい場合、前記対象スイッチが異常であると判定する、
     請求項1ないし請求項6のいずれか1項に記載のスイッチ異常検知装置。     The abnormality determining means determines that the target switch is abnormal when the feature amount of the target switch is greater than a threshold value.
    The switch abnormality detection device according to any one of claims 1 to 6.
  8.  コンピュータが、
     ネットワークに含まれる複数のスイッチの内部状態を示す情報を収集し、
     前記収集された情報を用いて、前記複数のスイッチのうちの一つのスイッチである対象スイッチの内部状態を他の前記スイッチの内部状態と比較し、当該比較の結果に基づいて、前記対象スイッチを特徴付ける特徴量を算出し、
     前記算出された特徴量に基づいて前記対象スイッチを診断するスイッチ異常検知方法。     Computer
    Collect information indicating the internal state of multiple switches in the network,
    Using the collected information, the internal state of the target switch that is one of the plurality of switches is compared with the internal state of the other switches, and the target switch is determined based on the result of the comparison. Calculate the feature value to characterize,
    A switch abnormality detection method for diagnosing the target switch based on the calculated feature amount.
  9.  前記コンピュータが、
     前記収集された情報を正規化し、
     前記正規化された情報を用いて前記対象スイッチの特徴量を算出する請求項8に記載のスイッチ異常検知方法。     The computer is
    Normalizing the collected information;
    The switch abnormality detection method according to claim 8, wherein the feature amount of the target switch is calculated using the normalized information.
  10.  前記コンピュータは、
     前記複数のスイッチが保持する転送ルールを、前記内部状態を示す情報として収集する、
     請求項9に記載のスイッチ異常検知方法。     The computer
    Collecting forwarding rules held by the plurality of switches as information indicating the internal state;
    The switch abnormality detection method according to claim 9.
  11.  前記コンピュータは、
     正規化された前記転送ルールに含まれるエントリの出現回数に応じて前記エントリの重みを求め、
     求めた重みと前記出現回数を用いて前記対象スイッチの特徴量を算出する、
     請求項10に記載のスイッチ異常検知方法。     The computer
    Obtaining the weight of the entry according to the number of appearances of the entry included in the normalized transfer rule;
    Calculating the feature amount of the target switch using the obtained weight and the number of appearances;
    The switch abnormality detection method according to claim 10.
  12.  前記前コンピュータは、
     前記転送ルールに含まれるマッチおよびアクションにおける物理ポート番号をワイルドカードに置換する、
     請求項10または請求項11に記載のスイッチ異常検知方法。     The previous computer is
    Replace the physical port number in the match and action included in the forwarding rule with a wildcard.
    The switch abnormality detection method according to claim 10 or 11.
  13.  前記コンピュータは、
     前記転送ルールに含まれる統計情報を削除する、
     請求項10ないし請求項12のいずれか1項に記載のスイッチ異常検知装置。     The computer
    Deleting statistical information contained in the forwarding rule;
    The switch abnormality detection device according to any one of claims 10 to 12.
  14.  前記コンピュータは、
     前記対象スイッチの特徴量が閾値より大きい場合、前記対象スイッチが異常であると判定する、
     請求項8ないし請求項13のいずれか1項に記載のスイッチ異常検知方法。     The computer
    When the feature amount of the target switch is larger than a threshold, it is determined that the target switch is abnormal.
    The switch abnormality detection method according to any one of claims 8 to 13.
  15.  ネットワークに含まれる複数のスイッチの内部状態を示す情報を収集する処理と、
     前記収集された情報を用いて、前記複数のスイッチのうちの一つのスイッチである対象スイッチの内部状態を他の前記スイッチの内部状態と比較し、当該比較の結果に基づいて、前記対象スイッチを特徴付ける特徴量を算出する処理と、
     前記算出された特徴量に基づいて前記対象スイッチを診断する処理と、
    をコンピュータに実行させるコンピュータプログラムを記憶するプログラム記憶媒体。     A process of collecting information indicating internal states of a plurality of switches included in the network;
    Using the collected information, the internal state of the target switch that is one of the plurality of switches is compared with the internal state of the other switches, and the target switch is determined based on the result of the comparison. A process for calculating a characteristic amount to be characterized;
    A process of diagnosing the target switch based on the calculated feature amount;
    A program storage medium for storing a computer program for causing a computer to execute.
  16.  前記収集された情報を正規化する処理、
     前記正規化された情報を用いて前記対象スイッチの特徴量を算出する処理と
    をコンピュータに実行させる請求項15に記載のプログラム記憶媒体。     Processing to normalize the collected information;
    The program storage medium according to claim 15, which causes a computer to execute a process of calculating a feature amount of the target switch using the normalized information.
  17.  前記複数のスイッチが保持する転送ルールを、前記内部状態を示す情報として収集する処理をコンピュータに実行させる請求項16に記載のプログラム記憶媒体。 17. The program storage medium according to claim 16, which causes a computer to execute a process of collecting transfer rules held by the plurality of switches as information indicating the internal state.
  18.  正規化された前記転送ルールに含まれるエントリの出現回数に応じて前記エントリの重みを求める処理と、
     求めた重みと前記出現回数を用いて前記対象スイッチの特徴量を算出する処理と
    をコンピュータに実行させる請求項17に記載のプログラム記憶媒体。     A process of calculating the weight of the entry according to the number of appearances of the entry included in the normalized transfer rule;
    18. The program storage medium according to claim 17, which causes a computer to execute a process of calculating a feature amount of the target switch using the obtained weight and the number of appearances.
  19.  前記転送ルールに含まれるマッチおよびアクションにおける物理ポート番号をワイルドカードに置換する処理をコンピュータに実行させる請求項17または請求項18に記載のプログラム記憶媒体。 The program storage medium according to claim 17 or 18, which causes a computer to execute processing for replacing a physical port number in a match and action included in the transfer rule with a wild card.
  20.  前記転送ルールに含まれる統計情報を削除する処理をコンピュータに実行させる請求項17ないし請求項19のいずれか1項に記載のプログラム記憶媒体。 The program storage medium according to any one of claims 17 to 19, which causes a computer to execute a process of deleting statistical information included in the transfer rule.
  21.  前記対象スイッチの特徴量が閾値より大きい場合、前記対象スイッチが異常であると判定する処理をコンピュータに実行させる請求項15ないし請求項20のいずれか1項に記載のプログラム記憶媒体。 The program storage medium according to any one of claims 15 to 20, which causes a computer to execute a process of determining that the target switch is abnormal when a feature amount of the target switch is larger than a threshold value.
PCT/JP2016/004597 2015-10-22 2016-10-17 Switch abnormality detection device, switch abnormality detection method, and program storage medium WO2017068771A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2015208272A JP2019024146A (en) 2015-10-22 2015-10-22 Switch abnormality detector, switch abnormality detection method, and program
JP2015-208272 2015-10-22

Publications (1)

Publication Number Publication Date
WO2017068771A1 true WO2017068771A1 (en) 2017-04-27

Family

ID=58556949

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2016/004597 WO2017068771A1 (en) 2015-10-22 2016-10-17 Switch abnormality detection device, switch abnormality detection method, and program storage medium

Country Status (2)

Country Link
JP (1) JP2019024146A (en)
WO (1) WO2017068771A1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005341050A (en) * 2004-05-25 2005-12-08 Ntt Communications Kk Network reliability evaluating method, apparatus, and program
JP2006166083A (en) * 2004-12-08 2006-06-22 Mitsubishi Electric Corp Network system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005341050A (en) * 2004-05-25 2005-12-08 Ntt Communications Kk Network reliability evaluating method, apparatus, and program
JP2006166083A (en) * 2004-12-08 2006-06-22 Mitsubishi Electric Corp Network system

Also Published As

Publication number Publication date
JP2019024146A (en) 2019-02-14

Similar Documents

Publication Publication Date Title
US10104124B2 (en) Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program
JP5851648B2 (en) Network virtual user risk control method and system
JP6564799B2 (en) Threshold determination device, threshold determination method and program
US8443080B2 (en) System and method for determining application dependency paths in a data center
US11057403B2 (en) Suspicious packet detection device and suspicious packet detection method thereof
US20090245109A1 (en) Methods, systems and computer program products for detecting flow-level network traffic anomalies via abstraction levels
JP6751168B2 (en) Abnormal factor estimation device, abnormal factor estimation method and program
JP6823501B2 (en) Anomaly detection device, anomaly detection method and program
Mahmood et al. Intrusion detection system based on K-star classifier and feature set reduction
Deokar et al. Intrusion detection system using log files and reinforcement learning
CN107210927B (en) Anomaly detection in protocol processing
WO2018159337A1 (en) Profile generation device, attack detection apparatus, profile generation method, and profile generation program
GB2478066A (en) Identifying errors in a computer system using the relationships between the sources of log messages
JP4412031B2 (en) Network monitoring system and method, and program
JP2020013532A5 (en)
CN107231383B (en) CC attack detection method and device
JP5310094B2 (en) Anomaly detection system, anomaly detection method and anomaly detection program
WO2017068771A1 (en) Switch abnormality detection device, switch abnormality detection method, and program storage medium
JP4559462B2 (en) Anomaly detection method, apparatus, program, and recording medium due to communication related structure change
JP6325993B2 (en) Service monitoring apparatus and service monitoring method
JP6049136B2 (en) Network management system and method
CN105897503B (en) Hadoop cluster bottleneck detection method based on resource information gain
Wang et al. Flowrank: Ranking netflow records
CN112417446A (en) Software defined network anomaly detection architecture
JP6508202B2 (en) INFORMATION PROCESSING APPARATUS, INFORMATION PROCESSING METHOD, AND PROGRAM

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 16857094

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 16857094

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: JP