JP2006148686A - 通信監視システム - Google Patents
通信監視システム Download PDFInfo
- Publication number
- JP2006148686A JP2006148686A JP2004337676A JP2004337676A JP2006148686A JP 2006148686 A JP2006148686 A JP 2006148686A JP 2004337676 A JP2004337676 A JP 2004337676A JP 2004337676 A JP2004337676 A JP 2004337676A JP 2006148686 A JP2006148686 A JP 2006148686A
- Authority
- JP
- Japan
- Prior art keywords
- unit
- feature information
- feature
- monitoring system
- communication monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Abstract
【解決手段】トラフィック測定部120は、解析区切指定部140が定めた測定周期で、ネットワークインタフェース部110のトラフィックを測定する。統計計算部150は、パケット解析部130が解析したヘッダ情報を測定周期毎に統計処理する。特徴情報保持部160は、トラフィック測定部120および統計計算部150の出力データを特徴項目として含む特徴情報を、測定周期毎に作成・保持する。データベース部170は、古い特徴情報を順次蓄積する。異常検出部180は、新しい特徴情報が作成されるたびに、所定の特徴項目が当該新しい特徴情報と同一性の範囲内にある特徴情報をデータベース部170から読み出し、読み出された特徴情報の他の特徴項目についての正常範囲を統計的に算出し、新しい特徴情報の当該他の特徴項目と比較することによって、異常を検出する。
【選択図】図1
Description
宮本貴朗、他3名、「SVMを用いたネットワークトラヒックからの異常検出」、電子情報通信学会論文誌、電子通信情報学会、2004年4月、Vol.J87-B No.4、p593-598
(1)非特許文献1の技術では、ネットワークの正常/異常を検出することはできるものの、システム管理者が異常の原因を判別することはできないという欠点がある。このため、非特許文献1の技術を採用したシステムでは、異常の原因を解明するためには人手で解析する必要があり、このため、多大なコストや時間等を要することになる。
(2)非特許文献1の技術では、ネットワークに異常が発生したことを検出できても、かかる異常がネットワーク全体の異常であるのか或いは局地的な異常であるのかを判断することはできない。このため、異常の発生が検出されたときに、正常状態を回復するための迅速な対策を取ることが困難である。
(3)非特許文献1の技術では、ネットワーク装置(例えばプローブ装置)毎にトラフィックデータを集積し続けるため、各ネットワーク装置は膨大なディスク資源を必要となる。さらには、ディスク資源へのデータ書き込み等に計算機資源を奪われることになるので、通信パケットの取りこぼし等の不都合が発生するおそれもある。
(4)非特許文献1の技術では、学習機能を用いるので、ネットワーク装置を設置する場所でのトラフィックの傾向を予め学習させる必要があり、したがって運用開始までの作業負担が大きい。
(5)非特許文献1の技術ではネットワーク装置毎に学習データを保存するが、この学習データは一般に秘密情報として扱われるため、ネットワーク装置毎に漏洩対策を施す必要があり、コスト増の原因になる。
(6)非特許文献1の技術では、学習機能を用いるので、小規模システム等で学習データが少ない場合には、誤報率を低く抑えることが困難になる。
以下、この発明に係る通信監視システムの一実施形態について、この発明をプローブ装置に適用した場合を例に採り、図1および図2を用いて説明する。プローブ装置とは、通信トラフィックを監視する装置であり、ネットワークどうしを接続するインタフェース部分に設置される。
次に、この発明に係る通信監視システムの第2の実施形態について、図3〜図5を用いて説明する。
次に、この発明に係る通信監視システムの第3の実施形態について、図6〜図8を用いて説明する。
次に、この発明に係る通信監視システムの第4の実施形態について、図9および図10を用いて説明する。
次に、この発明に係る通信監視システムの第5の実施形態について、図11を用いて説明する。
110,810 ネットワークインタフェース部
120 トラフィック測定部
130 パケット解析部
140 解析区切指定部
150 統計計算部
160,401 特徴情報保持部
170,830 データベース部
180,403,703,1002 異常検出部
191,192,311,312,313,314 ネットワーク
193 伝送路
402 分散データベース制御部
621,1000 通信監視サーバ装置
701,901 データ送信部
702 統計情報問い合わせ部
820,1001 データ受信部
840 統計情報返答部
850 統計情報解析部
Claims (12)
- 予め定められた測定周期で、ネットワーク装置を通過する通信パケットのトラフィックを測定するトラフィック測定部と、
前記通信パケットから読み出された一種類または複数種類のヘッダ情報を、前記測定周期毎に統計処理する統計計算部と、
前記トラフィック測定部の測定結果および前記統計計算部の計算結果を含む複数の特徴項目を有する特徴情報を、前記測定周期毎に作成・保持する特徴情報保持部と、
当該特徴情報保持部が新しい前記特徴情報を作成するたびに、当該特徴情報保持部から古い当該特徴情報を読み出して蓄積するデータベース部と、
当該特徴情報保持部が新しい前記特徴情報を作成するたびに、所定の1または複数の前記特徴項目が当該新しい特徴情報と同一性の範囲内にある特徴情報を前記データベース部から読み出し、読み出された特徴情報の他の前記特徴項目についての正常範囲を統計的に算出し、前記新しい特徴情報の当該他の特徴項目と当該正常範囲とを比較することによって異常の発生を判断する異常検出部と、
を備えることを特徴とする通信監視システム。 - 前記トラフィック測定部、前記統計計算部、前記特徴情報保持部、前記データベース部および前記異常検出部が、侵入検知を行う前記ネットワーク装置内に設けられたことを特徴とする請求項1に記載の通信監視システム。
- 前記ネットワーク装置が、自己の前記データベース部から読み出した前記特徴情報を他のネットワーク装置に送信し、且つ、当該他のネットワーク装置から受信した前記特徴情報を前記自己の前記データベース部に格納する、分散データベース制御部をさらに備えることを特徴とする請求項2に記載の通信監視システム。
- 前記トラフィック測定部、前記統計計算部、前記特徴情報保持部および前記異常検出部が、侵入検知を行う複数の前記ネットワーク装置内にそれぞれ設けられ、
前記データベース部が、前記複数のネットワーク装置と通信接続されたサーバ装置内に設けられ、
当該サーバ装置が、前記ネットワーク装置から受信した前記特徴情報を前記データベース部に蓄積し、該ネットワーク装置からの要求に応じて前記特徴項目が同一性の範囲内にある特徴情報を当該ネットワーク装置に送信する、
ことを特徴とする請求項1に記載の通信監視システム。 - 前記トラフィック測定部、前記統計計算部および前記特徴情報保持部が、侵入検知を行う複数の前記ネットワーク装置内にそれぞれ設けられ、
前記データベース部および前記異常検出部が、前記複数のネットワーク装置と通信接続されたサーバ装置内に設けられ、
当該サーバ装置が、前記ネットワーク装置から受信した前記特徴情報を前記データベース部に蓄積し、当該データベース部内の前記特徴情報を用いて前記異常検出部に異常の発生の有無を判断させる、
ことを特徴とする請求項1に記載の通信監視システム。 - 前記統計処理が、前記所定のヘッダ情報の値を出現数が多い順に所定数個リストアップする処理であることを特徴とする請求項1〜5のいずれかに記載の通信監視システム。
- リストアップされた所定数の前記ヘッダ情報値のうち、出現率が他の前記ヘッダ情報値の出現率と比較して所定しきい値よりも小さいヘッダ情報値を、前記統計処理の結果から削除することを特徴とする請求項6に記載の通信監視システム。
- 前記特徴項目が、総パケット数、所定プロトコルのパケット数、総パケット数に対する所定プロトコルのパケット数の比のいずれか1つ以上をさらに含むことを特徴とする請求項1〜7のいずれかに記載の通信監視システム。
- 通信パケットがフラグメントパケットである場合に、当該フラグメントパケットの先頭の通信パケットのみを計数することを特徴とする請求項1〜8のいずれかに記載の通信監視システム。
- 前記同一性の範囲が、当該新しい特徴情報に含まれる当該他の特徴項目の値と、判断対象となる当該特徴情報の当該他の特徴項目の値との比で規定されることを特徴とする請求項1〜9のいずれかに記載の通信監視システム。
- 前記正常範囲が、当該他の特徴項目の標準偏差で規定されることを特徴とする請求項1〜9のいずれかに記載の通信監視システム。
- 前記新しい特徴情報のトラフィック測定結果と前記データベース部から読み出された前記特徴情報のトラフィック測定結果との比を、当該読み出された特徴情報の所定の前記特徴項目に乗じ、当該乗算後の当該他の特徴項目を用いて前記異常検出部による正常範囲の算出を行うことを特徴とする請求項1〜11のいずれかに記載の通信監視システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004337676A JP3957712B2 (ja) | 2004-11-22 | 2004-11-22 | 通信監視システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004337676A JP3957712B2 (ja) | 2004-11-22 | 2004-11-22 | 通信監視システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006148686A true JP2006148686A (ja) | 2006-06-08 |
JP3957712B2 JP3957712B2 (ja) | 2007-08-15 |
Family
ID=36627837
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004337676A Expired - Fee Related JP3957712B2 (ja) | 2004-11-22 | 2004-11-22 | 通信監視システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3957712B2 (ja) |
Cited By (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008252427A (ja) * | 2007-03-30 | 2008-10-16 | Kyushu Univ | 検出装置、検出方法、通信制御方法、履歴空間データ生産方法、及びこれらの方法をコンピュータに実行させることが可能なプログラム |
WO2009021122A2 (en) * | 2007-08-07 | 2009-02-12 | Net Optics, Inc. | Methods and arrangement for utilization rate display |
JP2009212770A (ja) * | 2008-03-04 | 2009-09-17 | Oki Electric Ind Co Ltd | 統計処理方法及び装置並びに統計処理方法のプログラム |
US7760859B2 (en) | 2005-03-07 | 2010-07-20 | Net Optics, Inc. | Intelligent communications network tap port aggregator |
US7773529B2 (en) | 2007-12-27 | 2010-08-10 | Net Optic, Inc. | Director device and methods thereof |
US7898984B2 (en) | 2007-08-07 | 2011-03-01 | Net Optics, Inc. | Enhanced communication network tap port aggregator arrangement and methods thereof |
US7903657B2 (en) | 2007-02-01 | 2011-03-08 | Oki Electric Industry Co., Ltd. | Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor |
US8094576B2 (en) | 2007-08-07 | 2012-01-10 | Net Optic, Inc. | Integrated switch tap arrangement with visual display arrangement and methods thereof |
US8320242B2 (en) | 2004-12-24 | 2012-11-27 | Net Optics, Inc. | Active response communications network tap |
US8320399B2 (en) | 2010-02-26 | 2012-11-27 | Net Optics, Inc. | Add-on module and methods thereof |
JP2012531146A (ja) * | 2009-06-25 | 2012-12-06 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | ユーザ感覚でのtcpスループットの推定 |
JP2013073266A (ja) * | 2011-09-26 | 2013-04-22 | Oki Electric Ind Co Ltd | 情報処理装置及びプログラム |
US8737197B2 (en) | 2010-02-26 | 2014-05-27 | Net Optic, Inc. | Sequential heartbeat packet arrangement and methods thereof |
US8902735B2 (en) | 2010-02-28 | 2014-12-02 | Net Optics, Inc. | Gigabits zero-delay tap and methods thereof |
US9019863B2 (en) | 2010-02-26 | 2015-04-28 | Net Optics, Inc. | Ibypass high density device and methods thereof |
US9419882B2 (en) | 2011-07-27 | 2016-08-16 | Oki Electric Industry Co., Ltd. | Network analyzing system, as well as network analyzing apparatus and network analyzing program, as well as data processing module and data processing program |
JP2016154396A (ja) * | 2016-06-03 | 2016-08-25 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム |
US9749261B2 (en) | 2010-02-28 | 2017-08-29 | Ixia | Arrangements and methods for minimizing delay in high-speed taps |
US9813448B2 (en) | 2010-02-26 | 2017-11-07 | Ixia | Secured network arrangement and methods thereof |
US9998213B2 (en) | 2016-07-29 | 2018-06-12 | Keysight Technologies Singapore (Holdings) Pte. Ltd. | Network tap with battery-assisted and programmable failover |
CN115102884A (zh) * | 2022-06-23 | 2022-09-23 | 青岛联众芯云科技有限公司 | 一种用于工控机应用程序的远程数据流量统计方法及装置 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
IL251683B (en) | 2017-04-09 | 2019-08-29 | Yoseph Koren | A system and method for dynamic management of private data |
-
2004
- 2004-11-22 JP JP2004337676A patent/JP3957712B2/ja not_active Expired - Fee Related
Cited By (31)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8320242B2 (en) | 2004-12-24 | 2012-11-27 | Net Optics, Inc. | Active response communications network tap |
US7760859B2 (en) | 2005-03-07 | 2010-07-20 | Net Optics, Inc. | Intelligent communications network tap port aggregator |
US8654932B2 (en) | 2005-03-07 | 2014-02-18 | Net Optics, Inc. | Intelligent communications network tap port aggregator and methods thereof |
US7903657B2 (en) | 2007-02-01 | 2011-03-08 | Oki Electric Industry Co., Ltd. | Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor |
JP2008252427A (ja) * | 2007-03-30 | 2008-10-16 | Kyushu Univ | 検出装置、検出方法、通信制御方法、履歴空間データ生産方法、及びこれらの方法をコンピュータに実行させることが可能なプログラム |
US7898984B2 (en) | 2007-08-07 | 2011-03-01 | Net Optics, Inc. | Enhanced communication network tap port aggregator arrangement and methods thereof |
WO2009021122A3 (en) * | 2007-08-07 | 2009-04-16 | Net Optics Inc | Methods and arrangement for utilization rate display |
US7903576B2 (en) | 2007-08-07 | 2011-03-08 | Net Optics, Inc. | Methods and arrangement for utilization rate display |
US8094576B2 (en) | 2007-08-07 | 2012-01-10 | Net Optic, Inc. | Integrated switch tap arrangement with visual display arrangement and methods thereof |
WO2009021122A2 (en) * | 2007-08-07 | 2009-02-12 | Net Optics, Inc. | Methods and arrangement for utilization rate display |
US9712419B2 (en) | 2007-08-07 | 2017-07-18 | Ixia | Integrated switch tap arrangement and methods thereof |
US8582472B2 (en) | 2007-08-07 | 2013-11-12 | Net Optics, Inc. | Arrangement for an enhanced communication network tap port aggregator and methods thereof |
US8432827B2 (en) | 2007-08-07 | 2013-04-30 | Net Optics, Inc. | Arrangement for utilization rate display and methods thereof |
US7773529B2 (en) | 2007-12-27 | 2010-08-10 | Net Optic, Inc. | Director device and methods thereof |
US8018856B2 (en) | 2007-12-27 | 2011-09-13 | Net Optic, Inc. | Director device with visual display arrangement and methods thereof |
JP4513878B2 (ja) * | 2008-03-04 | 2010-07-28 | 沖電気工業株式会社 | 統計処理方法及び装置並びに統計処理方法のプログラム |
JP2009212770A (ja) * | 2008-03-04 | 2009-09-17 | Oki Electric Ind Co Ltd | 統計処理方法及び装置並びに統計処理方法のプログラム |
JP2012531146A (ja) * | 2009-06-25 | 2012-12-06 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | ユーザ感覚でのtcpスループットの推定 |
US9813448B2 (en) | 2010-02-26 | 2017-11-07 | Ixia | Secured network arrangement and methods thereof |
US8737197B2 (en) | 2010-02-26 | 2014-05-27 | Net Optic, Inc. | Sequential heartbeat packet arrangement and methods thereof |
US9019863B2 (en) | 2010-02-26 | 2015-04-28 | Net Optics, Inc. | Ibypass high density device and methods thereof |
US9306959B2 (en) | 2010-02-26 | 2016-04-05 | Ixia | Dual bypass module and methods thereof |
US8320399B2 (en) | 2010-02-26 | 2012-11-27 | Net Optics, Inc. | Add-on module and methods thereof |
US8902735B2 (en) | 2010-02-28 | 2014-12-02 | Net Optics, Inc. | Gigabits zero-delay tap and methods thereof |
US9749261B2 (en) | 2010-02-28 | 2017-08-29 | Ixia | Arrangements and methods for minimizing delay in high-speed taps |
US9419882B2 (en) | 2011-07-27 | 2016-08-16 | Oki Electric Industry Co., Ltd. | Network analyzing system, as well as network analyzing apparatus and network analyzing program, as well as data processing module and data processing program |
JP2013073266A (ja) * | 2011-09-26 | 2013-04-22 | Oki Electric Ind Co Ltd | 情報処理装置及びプログラム |
JP2016154396A (ja) * | 2016-06-03 | 2016-08-25 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム |
US9998213B2 (en) | 2016-07-29 | 2018-06-12 | Keysight Technologies Singapore (Holdings) Pte. Ltd. | Network tap with battery-assisted and programmable failover |
CN115102884A (zh) * | 2022-06-23 | 2022-09-23 | 青岛联众芯云科技有限公司 | 一种用于工控机应用程序的远程数据流量统计方法及装置 |
CN115102884B (zh) * | 2022-06-23 | 2023-07-21 | 青岛联众芯云科技有限公司 | 一种用于工控机应用程序的远程数据流量统计方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
JP3957712B2 (ja) | 2007-08-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3957712B2 (ja) | 通信監視システム | |
US10164839B2 (en) | Log analysis system | |
US9848004B2 (en) | Methods and systems for internet protocol (IP) packet header collection and storage | |
JP2006279930A (ja) | 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置 | |
US10104108B2 (en) | Log analysis system | |
US7903566B2 (en) | Methods and systems for anomaly detection using internet protocol (IP) traffic conversation data | |
US7804787B2 (en) | Methods and apparatus for analyzing and management of application traffic on networks | |
US8726382B2 (en) | Methods and systems for automated detection and tracking of network attacks | |
US7672283B1 (en) | Detecting unauthorized wireless devices in a network | |
US7995496B2 (en) | Methods and systems for internet protocol (IP) traffic conversation detection and storage | |
US7903657B2 (en) | Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor | |
US8762515B2 (en) | Methods and systems for collection, tracking, and display of near real time multicast data | |
CN107968791B (zh) | 一种攻击报文的检测方法及装置 | |
JP2018533897A5 (ja) | ||
EP2337266A2 (en) | Detecting and classifying anomalies in communication networks | |
CN111052704A (zh) | 网络分析工作流程加速 | |
US20200195672A1 (en) | Analyzing user behavior patterns to detect compromised nodes in an enterprise network | |
US20060262789A1 (en) | Method and corresponding device for packets classification | |
CN109361673B (zh) | 基于流量数据样本统计和平衡信息熵估计的网络异常检测方法 | |
CN112953971A (zh) | 一种网络安全流量入侵检测方法和*** | |
JP4985435B2 (ja) | 監視分析装置、方法、及び、プログラム | |
JP7045949B2 (ja) | 情報処理装置、通信検査方法及びプログラム | |
US11895146B2 (en) | Infection-spreading attack detection system and method, and program | |
CN111865951A (zh) | 一种基于数据包特征提取的网络数据流异常检测方法 | |
CN100505648C (zh) | 用于检测和阻止越权访问的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070313 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070508 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070508 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 3957712 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100518 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110518 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120518 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130518 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140518 Year of fee payment: 7 |
|
LAPS | Cancellation because of no payment of annual fees |