JP4952437B2 - ネットワーク監視装置、ネットワーク監視システム - Google Patents
ネットワーク監視装置、ネットワーク監視システム Download PDFInfo
- Publication number
- JP4952437B2 JP4952437B2 JP2007211208A JP2007211208A JP4952437B2 JP 4952437 B2 JP4952437 B2 JP 4952437B2 JP 2007211208 A JP2007211208 A JP 2007211208A JP 2007211208 A JP2007211208 A JP 2007211208A JP 4952437 B2 JP4952437 B2 JP 4952437B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- network
- unit
- period
- network monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000012806 monitoring device Methods 0.000 title claims description 26
- 238000012544 monitoring process Methods 0.000 title claims description 12
- 230000005856 abnormality Effects 0.000 claims description 48
- 230000004927 fusion Effects 0.000 claims description 38
- 238000013480 data collection Methods 0.000 claims description 28
- 238000001514 detection method Methods 0.000 claims description 18
- 230000002776 aggregation Effects 0.000 claims description 8
- 238000004220 aggregation Methods 0.000 claims description 8
- 230000001684 chronic effect Effects 0.000 claims description 4
- 239000000523 sample Substances 0.000 description 78
- 238000000034 method Methods 0.000 description 24
- 230000005540 biological transmission Effects 0.000 description 22
- 238000013500 data storage Methods 0.000 description 14
- 238000004364 calculation method Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 238000012935 Averaging Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 2
- 230000002354 daily effect Effects 0.000 description 2
- 230000003203 everyday effect Effects 0.000 description 2
- 238000009499 grossing Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Landscapes
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
また、統計的に有意な量のトラフィックデータが蓄積されるまでには、長時間を要するため、異常の検知までに時間がかかり過ぎる。
図1は、本発明の実施の形態1に係る自網プローブ装置100の機能ブロック図を示すものである。なお、本実施の形態1における「ネットワーク監視装置」は、自網プローブ装置100がこれに相当するものである。
他網プローブ装置200は、自網プローブ装置100と同様の構成を備え、インターネット300を介して自網プローブ装置100と接続されている。
なお、トラフィックデータの正確を期すため、自網データ送信部130、期間データ送信部170、他端末探索部181、期間データ受信部182、類似端末情報交換部185が、他網プローブ装置200との間で送受信するデータは、収集の対象から除外する。
統計処理の取り方は、例えば以下のようにする。
(2)さらに、曜日、または平日・休日によりトラフィックデータを区別し、それぞれ異なる期間集計データとして格納する。これにより、きめ細かなトラフィック分析を行うことができる。
ここでいう妥当な期間は、例えば以下のように定めたものである。
(1)その期間で平均することで日々の変動が平滑されるに十分である、と経験的に判断される期間。
(2)任意の時間帯のトラフィック量の総計があらかじめ定められた一定量以上になる、すなわち統計的に意味があると経験的に判断されるトラフィック量が蓄積されるまでの期間。
探索範囲は、既知の他網プローブ装置200をあらかじめ記憶しておくことで設定する。もしくは、後述の類似端末情報交換部185により、他網プローブ装置200が知っている他のネットワーク監視装置の情報を取得し、探索範囲をさらに広げてもよい。
類似度が所定の基準値以上である場合は、その期間集計データを送信した他網プローブ装置200を類似端末と判定し、その他網プローブ装置200のアドレス等の識別子を類似端末記憶部184に格納する。
他端末探索部181は、類似端末情報交換部185が他網プローブ装置200より取得した上記データに基づき、探索範囲をさらに広げることができる。即ち、類似端末が重なる範囲を広げていくことで、「類似端末が知っている別の類似端末」といったように、期間集計データが類似する他網プローブ装置200の範囲を広げていくことができるのである。
受信したトラフィックデータは、データ融合部150に出力する。
融合データの作成は、例えば以下のようにすることができる。なお、融合データのイメージについて、後述の図6〜図8で補足説明する。
(2)自網トラフィックデータと他網トラフィックデータの間に重み付けをして加算することで作成する。
(3)他網トラフィックデータについては、類似度により重み付けをして加算する。
乖離の判定は、あらかじめ定められたパラメータと比較するか、もしくは普段の乖離の平均値を測定しておき、その平均値から一定割合以上の乖離が生じた場合に異常と判定する、などの手法を用いることができる。
自網データ送信部130は、他網プローブ装置200から要求された場合に、自網データ収集部110が収集した自網のトラフィックデータを送信する。
自網データ収集部110は、自網のトラフィックデータを収集する。
(2)トラフィックデータの集計
期間データ集計部121は、自網データ収集部110が収集した自網のトラフィックデータを集計して期間集計データを作成する。
(3)期間集計データの蓄積
期間データ集計部121は、期間集計データを期間データ記憶部122に格納する。
他端末探索部181は、他網に設置されている他網プローブ装置200のアドレス等を期間データ受信部182に出力し、他網プローブ装置200の期間集計データを受信するよう指示する。これにより、他網プローブ装置200の探索が開始される。
(5)期間集計データの受信
期間データ受信部182は、指定されたアドレス等に基づき、他網プローブ装置200から期間集計データを受信する。
(6)類似度算出
類似度算出部183は、期間データ受信部182が受信した期間集計データと、期間データ記憶部122に蓄積されているデータとの類似度を算出する。
(7)類似端末の蓄積
類似度算出部183は、類似度が所定の基準値以上である場合は、その他網プローブ装置200のアドレス等を類似端末記憶部184に格納する。
(8)類似端末情報の交換
以上のステップに加えて、類似端末記憶部184に蓄積されている情報を他網プローブ装置200と交換することにより、探索範囲をさらに広げてもよい。
他網データ受信部140は、類似端末記憶部184に蓄積されているアドレス等に基づき、期間集計データが類似する他網プローブ装置200より、トラフィックデータを受信する。該当する他網プローブ装置200が複数ある場合は、全ての他網プローブ装置200から受信する。
(10)トラフィックデータの融合
データ融合部150は、自網データ収集部110が収集した自網トラフィックデータと、他網データ受信部140が受信した他網プローブ装置200のトラフィックデータとを融合した融合データを作成する。
(11)異常判定
検知部160は、データ融合部150が作成した融合データと、自網データ収集部110が収集した自網トラフィックデータとに基づき、自網の異常判定を行う。判定結果は出力部190より出力される。
図4のステップ(9)〜(10)と同様であるため、説明を省略する。ステップ(9)〜(10)で受信ないし作成したデータを流用してもよい。
(14)比較部161は、期間データ記憶部122に格納された期間集計データと、データ融合部150が作成した融合データとを比較することにより、異常判定を行う。
期間データ集計部121は、自網データ収集部110が収集したトラフィックデータを、例えば1ヶ月間毎日、同じ時刻に収集されたものを加算して日数で平均化する。この平均化されたトラフィックデータを、期間集計データとして期間データ記憶部122に格納する。例えば、12時30分の期間集計データは、過去1か月分の12時30分に得られたトラフィックデータを平均化したものとなる。
そこで、トラフィック傾向が類似する他網プローブ装置200のトラフィックデータを取得して、自網の異常判定に用いることを考える。
このように、ある一定期間の集計トラフィックを比較することにより、短期的なトラフィック傾向が異なる場合でも、ネットワークのトラフィック傾向が類似する他網プローブ装置200を安定的に探索することができる。特に、個々の網が小さく、短期的なトラフィックが大きく変動する場合に、効果が大きい。
ここでは、図7(a)のようなトラフィックデータを取得したものとする。
しかし、各網のトラフィックデータを足し合わせることにより、個々の変動が平均化され、期間集計データのような平滑化されたデータが得られる。そこで、データ融合部150は、他網プローブ装置200より受信した他網のトラフィックデータと、自網データ収集部110が収集した自網のトラフィックデータとを融合し、融合データを作成する。
このように、他網のトラフィックデータを足し合わせることにより個々の変動が平滑化されるのは、複数の網のトラフィックデータを足し合わせることにより、大規模網でトラフィックデータを収集したのと実質的に同様のデータが得られるからである。
(2)一方、自網の期間集計データが示すトラフィックの方が正常である場合は、他網も含めた広域に渡り、短期的な異常トラフィックが発生している可能性がある。
そのため、小規模網の特徴であるトラフィックの短期的な変動を平滑化し、大規模網と同様の異常判定手法を用いて、自網の異常判定を行うことができる。
即ち、自網における統計的データである期間集計データと、他網も含めた短期的な広域統計データである融合データとを用いることにより、小規模網においても、大規模網と同様の統計的な手法による異常判定を行うことができるのである。
したがって、自網のトラフィックデータとの乖離がある場合に、自網に異常が発生しているものと判定する基準として用いるのに適している。これにより、小規模網のように取得できるデータが少ない網においても、異常判定の精度を向上させることができる。
特に、P2P(Peer to Peer)ネットワークのようなアドホックネットワークにおいて、類似端末を探索する際に、このような互いの情報を交換する手法が効果的である。
実施の形態1では、他端末探索部181が他網プローブ装置200を探索する際に、既知の他網プローブ装置200を探索するか、もしくは類似端末情報交換部185が類似端末記憶部184に蓄積されている情報を交換することにより、探索範囲を広げることとした。
本発明の実施の形態2では、他網プローブ装置200の情報を、中央のサーバで一括して管理する構成について説明する。
図9において、サーバ400は、自網プローブ装置100および他網プローブ装置200の所在を一括して管理する中央サーバである。
端末情報送信部188は、自網プローブ装置100のアドレス等の所在情報を、サーバ400に送信する。
期間データ送信部170は、期間データ記憶部122に蓄積されている期間集計データを、サーバ400に送信する。
期間データ収集部403は、自網プローブ装置100や他網プローブ装置200が送信した、それぞれの期間集計データを受信し、クラスタリング部404に出力する。
クラスタリング部404は、期間データ収集部403が収集した期間集計データを、類似したもの同士で分類する。分類手法は、例えば公知のデータマイニング手法を用いることができる。
類似端末情報送信部405は、互いに似ているものとして分類された端末の情報を、各端末に送信する。
また、一括管理により、探索漏れ等の可能性が少なくなり、より多くの端末のトラフィックデータを収集することができるので、平滑化の効果を向上させ、異常判定の精度を向上させることができる。
本発明は、小規模網において、網内のトラフィックを測定して異常を検知するものである。そのため、網内のトラフィックや、網外に出るトラフィックの多くが通る位置に設置される、モデムや網終端装置、あるいはルータのようなネットワーク機器のファームウェアとして実装すると効果的である。
また、家庭内ネットワーク機器を管理するセットトップボックスや、主要な機器がPCであれば各PCのソフトウェアとして実装しても同様の効果が得られる。
Claims (10)
- ネットワークのトラフィックに基づき当該ネットワークの異常を検知するネットワーク監視装置であって、
ネットワークのトラフィックデータを収集するデータ収集部と、
当該ネットワークの異常を検知する検知部と、
を備え、
前記検知部は、
トラフィックデータを一定期間分集計した期間集計データが当該ネットワークにおける期間集計データと類似する他のネットワークにおいて収集されたトラフィックデータと、
当該ネットワークにおいて前記データ収集部が収集したトラフィックデータと、
に基づき当該ネットワークの異常を検知する
ことを特徴とするネットワーク監視装置。 - 前記データ収集部が収集したトラフィックデータを一定期間分集計して期間集計データを求める期間データ集計部と、
前記期間集計データが類似している1ないし複数の他のネットワーク監視装置を探索する類似端末探索部と、
前記類似端末探索部が探索した1ないし複数の他のネットワーク監視装置が自己の属するネットワークで収集したトラフィックデータを受信する他網データ受信部と、
前記データ収集部が収集したトラフィックデータと前記他網データ受信部が受信したトラフィックデータとを集計するデータ融合部と、
を備え、
前記検知部は、
前記データ融合部が集計したトラフィックデータに基づき当該ネットワークの異常を検知する
ことを特徴とする請求項1に記載のネットワーク監視装置。 - 前記検知部は、
前記期間データ集計部が集計した期間集計データと、前記データ融合部が集計したデータとの乖離を判定し、
両者が乖離しているものと判定した場合は、
当該ネットワークに慢性的異常が存在するか、もしくは他のネットワークも含めた広域的異常が発生しているものと判定する
ことを特徴とする請求項2に記載のネットワーク監視装置。 - 他のネットワークにおけるトラフィックデータを一定期間分集計した期間集計データをそのネットワークに設置されたネットワーク監視装置から受信する期間データ受信部を備え、
前記類似端末探索部は、
前記期間データ受信部が受信した他のネットワークにおける期間集計データと、
前記期間データ集計部が集計した当該ネットワークにおける期間集計データと、
の類似度を算出し、
その類似度があらかじめ定められた基準値以上である場合に、両者が類似しているものと判定する
ことを特徴とする請求項2または請求項3に記載のネットワーク監視装置。 - 前記類似端末探索部は、
前記探索結果を他のネットワーク監視装置と交換し、その交換結果に基づき、前記期間集計データが類似しているものと判定される端末の探索範囲を拡大する
ことを特徴とする請求項4に記載のネットワーク監視装置。 - 前記期間データ集計部は、
前記データ収集部が収集したトラフィックデータを時間帯毎に集計し、
集計した各時間帯毎に前記期間集計データを作成する
ことを特徴とする請求項2ないし請求項5のいずれかに記載のネットワーク監視装置。 - 前記期間データ集計部は、
前記期間集計データを曜日または平日・休日の別に基づき分類する
ことを特徴とする請求項6に記載のネットワーク監視装置。 - 前記データ収集部は、
他のネットワーク監視装置との間で送受信するデータをトラフィックデータ収集の対象から除外する
ことを特徴とする請求項1ないし請求項7のいずれかに記載のネットワーク監視装置。 - 請求項1ないし請求項8のいずれかに記載の1ないし複数のネットワーク監視装置と、
各前記ネットワーク監視装置と接続されたサーバと、
を有し、
前記サーバは、
各前記ネットワーク監視装置の情報を格納する記憶部を備え、
前記ネットワーク監視装置は、
前記サーバより、他のネットワーク監視装置の情報を取得する
ことを特徴とするネットワーク監視システム。 - 前記サーバは、
各前記ネットワーク監視装置がそのネットワークにおけるトラフィックデータを一定期間分集計した期間集計データを、類似するもの毎に分類するクラスタリング部を備え、
前記ネットワーク監視装置は、
前記クラスタリング部の分類結果に基づき、前記サーバより、当該ネットワーク監視装置と期間集計データが類似する他のネットワーク監視装置の情報を取得する
ことを特徴とする請求項9に記載のネットワーク監視システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007211208A JP4952437B2 (ja) | 2007-08-14 | 2007-08-14 | ネットワーク監視装置、ネットワーク監視システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007211208A JP4952437B2 (ja) | 2007-08-14 | 2007-08-14 | ネットワーク監視装置、ネットワーク監視システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009049490A JP2009049490A (ja) | 2009-03-05 |
JP4952437B2 true JP4952437B2 (ja) | 2012-06-13 |
Family
ID=40501332
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007211208A Expired - Fee Related JP4952437B2 (ja) | 2007-08-14 | 2007-08-14 | ネットワーク監視装置、ネットワーク監視システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4952437B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015196892A1 (zh) * | 2014-06-25 | 2015-12-30 | 中兴通讯股份有限公司 | 工业自动化数据的采集方法及装置、*** |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5792654B2 (ja) | 2012-02-15 | 2015-10-14 | 株式会社日立製作所 | セキュリティ監視システムおよびセキュリティ監視方法 |
JP5933469B2 (ja) * | 2013-03-04 | 2016-06-08 | エヌ・ティ・ティ・コムウェア株式会社 | 再配置支援装置、再配置支援方法、及び再配置支援プログラム |
JP6417343B2 (ja) * | 2016-02-10 | 2018-11-07 | 日本電信電話株式会社 | 時系列データ異常監視装置及び時系列データ異常監視方法 |
CN110784458B (zh) * | 2019-10-21 | 2023-04-18 | 新华三信息安全技术有限公司 | 流量异常检测方法、装置及网络设备 |
CN115834439A (zh) * | 2021-09-17 | 2023-03-21 | 深圳市中兴微电子技术有限公司 | 时延波动检测方法和时延波动检测电路 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005236813A (ja) * | 2004-02-20 | 2005-09-02 | Ntt Docomo Inc | ネットワーク装置の制御装置及び通信システム並びに異常検出方法 |
JP2006050442A (ja) * | 2004-08-06 | 2006-02-16 | Nippon Telegr & Teleph Corp <Ntt> | トラヒック監視方法及びシステム |
JP4997992B2 (ja) * | 2007-01-26 | 2012-08-15 | 日本電気株式会社 | ネットワーク品質監視装置及びネットワーク品質監視方法 |
-
2007
- 2007-08-14 JP JP2007211208A patent/JP4952437B2/ja not_active Expired - Fee Related
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015196892A1 (zh) * | 2014-06-25 | 2015-12-30 | 中兴通讯股份有限公司 | 工业自动化数据的采集方法及装置、*** |
Also Published As
Publication number | Publication date |
---|---|
JP2009049490A (ja) | 2009-03-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4952437B2 (ja) | ネットワーク監視装置、ネットワーク監視システム | |
US9952921B2 (en) | System and method for detecting and predicting anomalies based on analysis of time-series data | |
Huang et al. | In-network PCA and anomaly detection | |
US9509706B2 (en) | Service performance monitoring method | |
JP4490307B2 (ja) | ネットワーク異常検出装置及びコンピュータプログラム及びネットワーク異常検出方法 | |
JP5418250B2 (ja) | 異常検出装置、プログラム、及び異常検出方法 | |
JP2022500963A (ja) | ネットワークのセキュリティモニタリング方法、ネットワークのセキュリティモニタリング装置及びシステム | |
JP6692178B2 (ja) | 通信システム | |
CN108418710B (zh) | 一种分布式监控***、方法及装置 | |
US7903657B2 (en) | Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor | |
US9253029B2 (en) | Communication monitor, occurrence prediction method, and recording medium | |
JP2010152773A (ja) | 攻撃判定装置及び攻撃判定方法及びプログラム | |
JP5659108B2 (ja) | 運用監視装置、運用監視プログラム及び記録媒体 | |
US20150264071A1 (en) | Analysis system and analysis apparatus | |
JP2007013590A (ja) | ネットワーク監視システム、ネットワーク監視装置及びプログラム | |
JP2018148350A (ja) | 閾値決定装置、閾値決定方法及びプログラム | |
KR101377462B1 (ko) | CPU 및 메모리 상태를 이용한 DDoS 공격 차단 정책의 자동화된 제어 방법 및 장치 | |
WO2015087404A1 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
EP3647982B1 (en) | Cyber attack evaluation method and cyber attack evaluation device | |
WO2020129610A1 (ja) | 検知装置、検知方法、および、検知プログラム | |
JP2018182594A (ja) | パケット解析プログラム、パケット解析装置およびパケット解析方法 | |
JP3697249B2 (ja) | ネットワーク状態監視システム及びプログラム | |
EP3460769B1 (en) | System and method for managing alerts using a state machine | |
US20160254979A1 (en) | Communication system, common service control apparatus, data transmission method, and non-transitory computer readable medium | |
US11265237B2 (en) | System and method for detecting dropped aggregated traffic metadata packets |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100512 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120127 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120214 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120227 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4952437 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150323 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |