WO2018186242A1

WO2018186242A1 - 監視装置、監視方法および監視プログラム

Info

Publication number: WO2018186242A1
Application number: PCT/JP2018/012566
Authority: WO
Inventors: 弘倉上
Original assignee: 日本電信電話株式会社
Priority date: 2017-04-04
Filing date: 2018-03-27
Publication date: 2018-10-11
Also published as: EP3591910A4; EP3591910A1; JPWO2018186242A1; JP6691268B2; US20200028866A1; US11115427B2; EP3591910B1

Abstract

フロー情報を用いて迅速かつ高精度にトラフィックの異常を検知するため、取得部（１５ａ）が、ネットワーク機器が所定のサンプリングレートで出力するフロー情報を示すパケットを取得し、判定部（１５ｂ）が、所定のトラフィックパターンごとに、サンプリング誤差率が所定の上限値以下であり、かつ、現在から遡った所定のカウント期間に取得されるパケットの数またはパケットの数の単位時間当たりの平均値が所定の検出閾値以上である場合に、異常と判定する。

Description

監視装置、監視方法および監視プログラム

　本発明は、監視装置、監視方法および監視プログラムに関する。

　近年、ＩＰネットワークに対して、ＤＤｏＳ（Distributed　Denial　of　Service）攻撃に代表される攻撃が大規模化かつ巧妙化している。そのため、トラフィック監視の重要性が増している。

　従来、パケットキャプチャ、ＭＩＢ（Management　Information　Base）等のトラフィック解析の技術が知られている。パケットキャプチャは、パケットの内容を詳細に解析できるものの、データ量が多くなることから、ＩＳＰ（Internet　Service　Provider）全体のトラフィック監視には適切ではない。一方、ＭＩＢは、ルータ等のネットワーク機器インタフェースを経由するトラフィック量がわかるため、ＩＳＰ全体のトラフィック監視に好適であるものの、プロトコル等のパケットの内容を解析することができない。

　近年では、ネットワーク機器が出力するフロー情報をトラフィック解析に利用する、ＮｅｔＦｌｏｗ、ｓＦｌｏｗ、ＩＰＦＩＸ（Internet　Protocol　Flow　Information　eXport）等と呼ばれる技術が知られている。これらの技術では、フロー情報を利用することにより、送受信ＩＰアドレス、プロトコル、あるいはポート番号等の詳細なパケットの内容毎にトラフィックを解析することができる。

　ここで、フロー情報は、例えば、ｎｆｄｕｍｐと呼ばれる技術（非特許文献１参照）やｆａｓｔｎｅｔｍｏｎと呼ばれる技術（非特許文献２参照）を用いて収集される。ｎｆｄｕｍｐでは、収集されたフロー情報が１分毎に出力される。また、ｆａｓｔｎｅｔｍｏｎでは、受信したトラフィック量を予め設定された検出必要期間で除して算出された単位時間当たりのトラフィック量が、所定の検出閾値を超過した場合に、異常なトラフィックと判定される。なお、非特許文献３には、パケットサンプリングにおけるサンプリング誤差が開示されている。

ＮＦＤＵＭＰ、[online]、２０１４年、［２０１７年２月２７日検索]、インターネット＜URL:http://nfdump.sourceforge.net/＞ "FASTNETMON　DDOS　DETECTION　TOOL"、[online]、［２０１７年２月２７日検索]、インターネット＜URL:https://fastnetmon.com/＞ "Packet　Sampling　Basics"、[online]、［２０１７年３月３日検索]、インターネット＜URL:http://www.sflow.org/packetSamplingBasics/index.htm＞

　しかしながら、従来知られているｎｆｄｕｍｐを用いた場合には、フロー情報の入力が１分毎であるため、フロー情報を用いたトラフィックの解析に分単位の時間がかかってしまうという問題があった。また、ｆａｓｔｎｅｔｍｏｎを用いた場合には、数秒から数十秒程度の短時間で異常を検出できるものの、多大なサンプリング誤差が生じて異常の誤検出が多くなるという問題があった。例えば、検出閾値を１０ｋｐｐｓ、サンプリングレートを１／１００００とした場合に、検出必要期間を１秒とすると、１パケットを受信しただけで異常と判定してしまっていた。また、この場合に、検出必要期間を３０秒とすると、３０パケットを受信しただけで異常と判定してしまっていた。

　本発明は、上記に鑑みてなされたものであって、フロー情報を用いて迅速かつ高精度にトラフィックの異常を検知することを目的とする。

　上述した課題を解決し、目的を達成するために、本発明に係る監視装置は、ネットワーク機器が所定のサンプリングレートで出力するフロー情報を示すパケットを取得する取得部と、所定のトラフィックパターンごとに、サンプリング誤差率が所定の上限値以下であり、かつ、現在から遡った所定の期間に取得される前記パケットの数または前記パケットの数の単位時間当たりの平均値が所定の検出閾値以上である場合に、異常と判定する判定部と、を備えることを特徴とする。

　本発明によれば、フロー情報を用いて迅速かつ高精度にトラフィックの異常を検知することが可能となる。

図１は、本発明の一実施形態に係る監視装置の処理概要を説明するための説明図である。図２は、本実施形態の監視装置の概略構成を例示する模式図である。図３は、判定部の処理を説明するための説明図である。図４は、判定部の処理を説明するための説明図である。図５は、本実施形態の監視処理手順を示すフローチャートである。図６は、監視プログラムを実行するコンピュータを例示する図である。

　以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。

［監視装置の処理概要］
　まず、図１を参照して、本実施形態に係る監視装置の処理概要を説明する。本実施形態において、監視装置は、ＩＰネットワーク内のトラフィックを監視処理の対象とする。図１に示すように、ＩＰネットワーク１は、ルータ２等のネットワーク機器で構成されるネットワークに、Ｗｅｂサーバ３やＶＬＡＮ等のユーザネットワーク４が接続される。

　ＩＰネットワーク１内で、例えば、ユーザネットワーク４内の端末４１が、ルータ２を介してＷｅｂサーバ３にアクセスし、Ｗｅｂサーバ３が提供するサービスを利用する際に、トラフィックが発生する。各ルータ２は、他の装置とのインタフェース２０が受信したトラフィックのパケットから、送信元ＩＰアドレス、宛先ＩＰアドレス、プロトコル、送信元ポート番号、宛先ポート番号等の情報を含むフロー情報を生成している。

　図１に示す例では、ルータ２ａ、ルータ２ｂおよびルータ２ｃの３台のルータ２がそれぞれに備わるインタフェース２０（２０ａ、２０ｂ、２０ｃ）を介して互いに通信可能に接続されている。すなわち、ルータ２ａは、Ｗｅｂサーバ３との間のインタフェース２１ａ、ルータ２ｂとの間のインタフェース２２ａ、およびルータ２ｃとの間のインタフェース２３ａを含むインタフェース２０ａを備える。また、ルータ２ｂは、ユーザネットワーク４との間のインタフェース２１ｂ、およびルータ２ａとの間のインタフェース２２ｂを含むインタフェース２０ｂを備える。また、ルータ２ｃは、ユーザネットワーク４との間のインタフェース２１ｃ、およびルータ２ａとの間のインタフェース２２ｃを含むインタフェース２０ｃを備える。また、各ルータ２は、監視装置１０とインタフェースを介して通信可能に接続されている。

　各ルータ２は、自身が備える各インタフェース２０が受信したトラフィックのフロー情報を、所定のサンプリングレートでサンプリングして、監視装置１０に送信している。監視装置１０は、受信したフロー情報を用いて後述する監視処理を行って、トラフィックの異常を検出する。

［監視装置の構成］
　次に、図２を参照して、本実施形態に係る監視装置の概略構成を説明する。図２に示すように、本実施形態に係る監視装置１０は、ワークステーションやパソコン等の汎用コンピュータで実現され、入力部１１と出力部１２と通信制御部１３と、記憶部１４と、制御部１５とを備える。

　入力部１１は、キーボードやマウス等の入力デバイスを用いて実現され、操作者による入力操作に対応して、制御部１５に対して各種指示情報を入力する。出力部１２は、液晶ディスプレイなどの表示装置、プリンター等の印刷装置、情報通信装置等によって実現され、後述する監視処理の結果等を操作者に対して出力する。

　通信制御部１３は、ＮＩＣ（Network　Interface　Card）等で実現され、ＬＡＮ（Local　Area　Network）やインターネットなどの電気通信回線を介したルータ２やサーバ等の外部の装置と制御部１５との通信を制御する。

　記憶部１４は、ＲＡＭ（Random　Access　Memory）、フラッシュメモリ（Flash　Memory）等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。記憶部１４には、監視装置１０を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが予め記憶され、あるいは処理の都度一時的に記憶される。記憶部１４は、通信制御部１３を介して制御部１５と通信する構成でもよい。

　本実施形態の監視装置１０において、記憶部１４には、後述する監視処理に用いられる各設定値が保存されている。例えば、記憶部１４には、監視処理の対象とする各ルータ２から出力されるフロー情報から異常なトラフィックを検出するための既知の攻撃のトラフィックのパターン等の複数の監視対象のトラフィックパターンと、トラフィックパターンごとの検出閾値Ｔｔとが保存されている。また、記憶部１４には、インタフェース２０ごとのサンプリングレートＲ、カウント期間Ｗ、許容されるサンプリング誤差率の上限値Ｅ₀、およびアラート送出先の情報等が保存されている。

　制御部１５は、ＣＰＵ（Central　Processing　Unit）等の演算処理装置がメモリに記憶された処理プログラムを実行することにより、図２に例示するように、取得部１５ａ、判定部１５ｂおよびアラート送出部１５ｃとして機能する。なお、これらの機能部は、それぞれ、あるいは一部が異なるハードウェアに実装されてもよい。

　取得部１５ａは、ルータ２が所定のサンプリングレートで出力するフロー情報を示すパケットを取得する。

　ここで、各ルータ２は、ＮｅｔＦｌｏｗ、ｓＦｌｏｗ、ＩＰＦＩＸ等の技術を用いて、各インタフェース２０で受信したパケットの属性をもとにフロー情報を生成している。フロー情報は、送信元ＩＰアドレス、宛先ＩＰアドレス、プロトコル、送信元ポート番号、宛先ポート番号、レイヤ３プロトコル、およびインタフェース等の情報を含む。

　各ルータ２は、各インタフェース２０で受信したトラフィックを所定のサンプリングレートでサンプリングして、フロー情報として監視装置１０に出力する。なお、各ルータ２のインタフェース２０間で同一のトラフィックのフロー情報を重複して監視装置１０に出力することはないものとする。例えば、ユーザネットワーク４に対して監視装置１０に送信されるフロー情報はルータ２ｃのインタフェース２１ｃおよびルータ２ｂのインタフェース２１ｂのみにする。取得部１５ａは、各ルータ２が出力するフロー情報を取得する。

　各ルータ２には、インタフェース２０ごとに異なるサンプリングレートが設定されてもよい。監視装置１０が取得したフロー情報にサンプリングレートが含まれていない場合には、監視装置１０は、後述する処理において、記憶部１４に記憶されているインタフェース２０ごとのサンプリングレートを適用する。

　判定部１５ｂは、所定のトラフィックパターンごとに、サンプリング誤差率が所定の上限値Ｅ₀以下であり、かつ、現在から遡った所定のカウント期間Ｗに取得されるパケットの数またはパケットの数の単位時間当たりの平均値が所定の検出閾値Ｔｔ以上である場合に、異常と判定する。

　具体的に、図３を参照して、判定部１５ｂの処理を説明する。図３に示すように、判定部１５ｂは、まず、取得部１５ａが時々刻々スライドする現在までの所定のカウント期間（トラフィックカウントウィンドウ）Ｗ内に取得したフロー情報から、記憶部１４に記憶されているトラフィックパターンごとに、該当するパケットの数Ｃｒを、インタフェース２０ごとに計数する。

　ここで、サンプリングされたサンプル数Ｃ［個］とサンプリング誤差率Ｅ［％］との関係は、次式（１）で表されることが知られている（非特許文献３参照）。

　この場合に、サンプル数Ｃは、次式（２）で表される。

　次に、判定部１５ｂは、サンプリング誤差率Ｅが許容されるサンプリング誤差率の上限値Ｅ₀以下であり、かつ、図３に示すように、現在までのカウント期間Ｗ内に計数されるパケット数または平均ｐｐｓが所定の検出閾値Ｔｔ以上になった時点で、異常検出と判定する。ここで、平均ｐｐｓとは、単位時間当たりのパケット数の平均値を意味する。以下、平均ｐｐｓを平均パケット数とも記す。所定のカウント期間Ｗ［秒］に計数される平均パケット数Ｔ［個／秒］は、サンプリングレートＲを用いて、次式（３）で表される。

　上記式（１）によれば、判定部１５ｂがカウント期間Ｗに計数するパケット数Ｃｒが多くなるほど、サンプリング誤差率Ｅが小さくなることがわかる。したがって、次式（４）が成立すれば、サンプリング誤差率Ｅが上限値Ｅ₀以下ということができる。

　次に、取得部１５ａが、ルータ１のインタフェース１について取得するパケット数をＣｒ１１、ルータ２のインタフェース２について取得するパケット数をＣｒ２１等と記すことにする。その場合に、監視対象のトラフィックパターンのフロー情報のうち、サンプリングされて取得部１５ａが取得したパケット数について、上記式（４）と同様に、次式（５）が成立すれば、サンプリング誤差率Ｅが上限値Ｅ₀以下ということができる。

　また、カウント期間Ｗに計数される監視対象のトラフィックパターンの平均パケット数Ｔが、各パターンに対応する検出閾値Ｔｔ以上となる場合に、上記式（３）により、次式（６）が成立する。なお、監視対象のトラフィックパターンおよびトラフィックパターンごとの検出閾値Ｔｔは、予め設定され、記憶部１４に記憶されている。

　ここで、上記のとおり、サンプリングレートＲはインタフェースごとに異なる値が設定され得る。そこで、ルータ１のインタフェース１のサンプリングレートをＲ１１、ルータ２のインタフェース１のサンプリングレートをＲ２１等と記すことにする。その場合に、上記式（６）と同様に、各インタフェースのパケット数とサンプリングレートの逆数との積を足し合わせて導出された次式（７）が成立すれば、監視対象のトラフィックパターンの平均パケット数が検出閾値Ｔｔ以上ということができる。

　従って、上記式（５）および式（７）を同時に満たす場合、すなわち、次式（８）が成立する場合に、許容されるサンプリング誤差率の範囲で、カウント期間Ｗに取得される監視対象のトラフィックパターンの平均パケット数が検出閾値Ｔｔ以上になったということができる。

　そこで、判定部１５ｂは、上記式（８）が成立する場合に、トラフィックに異常が発生したものと判定する。なお、判定部１５ｂは、上記式（８）の算出の際、インタフェース２０ごとのサンプリングレートＲの値がフロー情報に含まれていない場合には、記憶部１４に記憶されている値を用いる。

　また、判定部１５ｂは、上記式（８）の算出による異常の判定を、フロー情報を取得する度に、あるいは、１秒程度の短時間ごとに行う。これにより、サンプリング誤差を許容される範囲に抑止して迅速に異常を検出することが可能となる。また、判定部１５ｂは、計数されたパケット数等の情報を含む判定結果をアラート送出部１５ｃに出力する。

　また、判定部１５ｂは、異常なトラフィックを検出した場合に、予め設定され記憶部１４に記憶された所定の終了閾値と終了判定継続時間とを用いて、異常なトラフィックの終了を判定する。ここで、図４を参照して、判定部１５ｂによる異常終了の判定処理を説明する。判定部１５ｂは、上記のように、所定のトラフィックパターンごとに、異常と判定した後、図４に示すように、カウント期間（トラフィックカウントウィンドウ）内のパケット数または平均パケット数が終了閾値を下回った時刻から、終了判定継続時間が経過した時点で異常終了を判定する。

　なお、終了閾値および終了判定継続時間は、検出閾値Ｔｔと同様に、トラフィックパターンごとに予め設定され、記憶部１４に記憶される。終了閾値は、検出閾値と同一の値でもよいし、検出閾値より小さい値にすることにより異常の判定が繰り返されることを抑止してもよい。また、異常終了の判定の頻度は、異常の判定と同程度としてもよいし、異常の判定より緊急性が低いことから１分程度のより長い時間ごとにしてもよい。

　アラート送出部１５ｃは、通知部として機能し、判定部１５ｂによる判定結果を所定の通知先に通知する。具体的に、アラート送出部１５ｃは、判定部１５ｂが異常と判定した場合に、所定のアラート送出先に通信制御部１３を介して異常を検出した旨を通知する。その際に、アラート送出部１５ｃは、判定部１５ｂが出力した計数されたパケット数等の情報を併せて通知してもよい。また、アラート送出部１５ｃは、出力部１２に異常の検出を示すメッセージやアラート等を出力してもよい。また、アラート送出部５ｃは、判定部１５ｂが異常終了と判定した場合にも、異常と判定した場合と同様に、所定のアラート送出先に異常終了の旨を通知する。

［監視処理］
　次に、図５を参照して、監視装置１０の監視処理について説明する。図５は、監視処理手順を例示するフローチャートである。図５のフローチャートは、例えば、監視処理の開始を指示する操作入力があったタイミングで開始される。

　取得部１５ａが、ルータ２が所定のサンプリングレートで出力するフロー情報を示すパケットを取得する（ステップＳ１）。

　次に、判定部１５ｂが、記憶部１４に記憶されているトラフィックパターンごとに、サンプリング誤差率が所定の上限値Ｅ₀以下であり、かつ、現在から遡った所定のカウント期間Ｗに取得されるパケットの数またはパケットの数の単位時間当たりの平均値が所定の検出閾値Ｔｔ以上であるか否かを確認する（ステップＳ２）。すなわち、判定部１５ｂは、上記式（８）を満たすか否かを確認する。

　上記式（８）を満たさない場合に（ステップＳ２，Ｎｏ）、判定部１５ｂは処理をステップＳ１に処理を戻す。一方、上記式（８）を満たす場合に（ステップＳ２，Ｙｅｓ）、判定部１５ｂは、トラフィックに異常が発生したものと判定する（ステップＳ３）。また、アラート送出部１５ｃが、所定のアラート送出先に異常を検出した旨を通知する。これにより、一連の監視処理が終了する。

　以上、説明したように、本実施形態の監視装置１０では、取得部１５ａが、ルータ２が所定のサンプリングレートで出力するフロー情報を示すパケットを取得する。また、判定部１５ｂが、記憶部１４に記憶されているトラフィックパターンごとに、サンプリング誤差率が所定の上限値Ｅ₀以下であり、かつ、現在から遡った所定のカウント期間Ｗに取得されるパケットの数またはパケットの数の単位時間当たりの平均値が所定の検出閾値Ｔｔ以上である場合に、異常と判定する。

　これにより、本実施形態の監視装置１０の監視処理によれば、サンプリング誤差を許容される範囲に抑止して、高精度かつ迅速に異常を検出することが可能となる。

　また、判定部１５ｂは、記憶部１４に記憶されているトラフィックパターンごとに、異常と判定した後に、カウント期間Ｗに取得されるパケット数または平均パケット数が所定の終了閾値を下回った時点から、所定の継続時間が経過した場合に、異常の終了と判定する。これにより、監視装置１０による異常検知の結果をより有効に活用できるようになる。

　また、アラート送出部１５ｃが、判定部１５ｂによる判定結果を所定のアラート送出先に通知する。これにより、監視装置１０による異常検知の結果をより有効に活用できるようになる。

［プログラム］
　上記実施形態に係る監視装置１０が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、監視装置１０は、パッケージソフトウェアやオンラインソフトウェアとして上記の監視処理を実行する監視プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の監視プログラムを情報処理装置に実行させることにより、情報処理装置を監視装置１０として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やＰＨＳ（Personal　Handyphone　System）などの移動体通信端末、さらには、ＰＤＡ（Personal　Digital　Assistants）などのスレート端末などがその範疇に含まれる。また、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の監視処理に関するサービスを提供するサーバ装置として実装することもできる。例えば、監視装置１０は、ルータ２が出力するフロー情報を入力とし、異常なトラフィックの検知結果を出力する監視処理サービスを提供するサーバ装置として実装される。この場合、監視装置１０は、Ｗｅｂサーバとして実装することとしてもよいし、アウトソーシングによって上記の監視処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。以下に、監視装置１０と同様の機能を実現する監視プログラムを実行するコンピュータの一例を説明する。

　図６に示すように、監視プログラムを実行するコンピュータ１０００は、例えば、メモリ１０１０と、ＣＰＵ１０２０と、ハードディスクドライブインタフェース１０３０と、ディスクドライブインタフェース１０４０と、シリアルポートインタフェース１０５０と、ビデオアダプタ１０６０と、ネットワークインタフェース１０７０とを有する。これらの各部は、バス１０８０によって接続される。

　メモリ１０１０は、ＲＯＭ（Read　Only　Memory）１０１１およびＲＡＭ１０１２を含む。ＲＯＭ１０１１は、例えば、ＢＩＯＳ（Basic　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、ハードディスクドライブ１０３１に接続される。ディスクドライブインタフェース１０４０は、ディスクドライブ１０４１に接続される。ディスクドライブ１０４１には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース１０５０には、例えば、マウス１０５１およびキーボード１０５２が接続される。ビデオアダプタ１０６０には、例えば、ディスプレイ１０６１が接続される。

　ここで、図６に示すように、ハードディスクドライブ１０３１は、例えば、ＯＳ１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３およびプログラムデータ１０９４を記憶する。上記実施形態で説明した各テーブルは、例えばハードディスクドライブ１０３１やメモリ１０１０に記憶される。

　また、監視プログラムは、例えば、コンピュータ１０００によって実行される指令が記述されたプログラムモジュール１０９３として、ハードディスクドライブ１０３１に記憶される。具体的には、上記実施形態で説明した監視装置１０が実行する各処理が記述されたプログラムモジュール１０９３が、ハードディスクドライブ１０３１に記憶される。

　また、監視プログラムによる情報処理に用いられるデータは、プログラムデータ１０９４として、例えば、ハードディスクドライブ１０３１に記憶される。そして、ＣＰＵ１０２０が、ハードディスクドライブ１０３１に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてＲＡＭ１０１２に読み出して、上述した各手順を実行する。

　なお、監視プログラムに係るプログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０３１に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ１０４１等を介してＣＰＵ１０２０によって読み出されてもよい。あるいは、監視プログラムに係るプログラムモジュール１０９３やプログラムデータ１０９４は、ＬＡＮやＷＡＮ（Wide　Area　Network）等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース１０７０を介してＣＰＵ１０２０によって読み出されてもよい。

　以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。

　１　ＩＰネットワーク
　２　ルータ
　２０　インタフェース
　３　Ｗｅｂサーバ
　４　ユーザネットワーク
　４１　端末
　１０　監視装置
　１１　入力部
　１２　出力部
　１３　通信制御部
　１４　記憶部
　１５　制御部
　１５ａ　取得部
　１５ｂ　判定部
　１５ｃ　アラート送出部

Claims

　ネットワーク機器が所定のサンプリングレートで出力するフロー情報を示すパケットを取得する取得部と、
　所定のトラフィックパターンごとに、サンプリング誤差率が所定の上限値以下であり、かつ、現在から遡った所定の期間に取得される前記パケットの数または前記パケットの数の単位時間当たりの平均値が所定の検出閾値以上である場合に、異常と判定する判定部と、
　を備えることを特徴とする監視装置。
　前記判定部は、所定のトラフィックパターンごとに、異常と判定した後に、前記期間に取得される前記パケットの数または前記パケットの数の単位時間当たりの平均値が所定の終了閾値を下回った時点から、所定の継続時間が経過した場合に、異常の終了と判定することを特徴とする請求項１に記載の監視装置。
　さらに、前記判定部による判定結果を所定の通知先に通知する通知部を備えることを特徴とする請求項１または２に記載の監視装置。
　監視装置で実行される監視方法であって、
　ネットワーク機器が所定のサンプリングレートで出力するフロー情報を示すパケットを取得する取得工程と、
　所定のトラフィックパターンごとに、サンプリング誤差率が所定の上限値以下であり、かつ、現在から遡った所定の期間に取得される前記パケットの数または前記パケットの数の単位時間当たりの平均値が所定の検出閾値以上である場合に、異常と判定する判定工程と、
　を含んだことを特徴とする監視方法。
　ネットワーク機器が所定のサンプリングレートで出力するフロー情報を示すパケットを取得する取得ステップと、
　所定のトラフィックパターンごとに、サンプリング誤差率が所定の上限値以下であり、かつ、現在から遡った所定の期間に取得される前記パケットの数または前記パケットの数の単位時間当たりの平均値が所定の検出閾値以上である場合に、異常と判定する判定ステップと、
　をコンピュータに実行させることを特徴とする監視プログラム。