JP5086382B2 - 異常トラヒック分析システム、方法、および装置 - Google Patents

異常トラヒック分析システム、方法、および装置 Download PDF

Info

Publication number
JP5086382B2
JP5086382B2 JP2010037454A JP2010037454A JP5086382B2 JP 5086382 B2 JP5086382 B2 JP 5086382B2 JP 2010037454 A JP2010037454 A JP 2010037454A JP 2010037454 A JP2010037454 A JP 2010037454A JP 5086382 B2 JP5086382 B2 JP 5086382B2
Authority
JP
Japan
Prior art keywords
traffic
abnormal
analysis
statistical information
traffic analysis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2010037454A
Other languages
English (en)
Other versions
JP2011176441A (ja
Inventor
正樹 南
政博 丸吉
圭介 石橋
健 桑原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2010037454A priority Critical patent/JP5086382B2/ja
Publication of JP2011176441A publication Critical patent/JP2011176441A/ja
Application granted granted Critical
Publication of JP5086382B2 publication Critical patent/JP5086382B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワーク上のトラヒックを監視し、トラヒックの異常状態を検出する異常トラヒック分析技術に関連する。
トラヒック監視において、大量のトラヒックから監視に必要なフロー抽出の技術は、特許文献1にあるようなトラヒックの特徴を抽出しておこなうことが考えられる。
特開2009−44501号公報
トラヒックの異常が発生した場合の監視者の対処は、攻撃が発生したことをいち早く検知し、攻撃元などの攻撃トラヒックを把握した上で、ルータのアクセス制御を設定するなどの異常対策を実施することになる。
トラヒックの特徴によるフロー抽出では、攻撃の発生の検知とネットワーク全体からの攻撃の全体像を知ることができるため、攻撃元などの攻撃トラヒックを把握することには有効な技術である。
しかし、監視者が異常対策を実施するために必要な情報は、アクセス制御を実施するネットワーク装置の制限、異常対策の対応方針、過去の対策からの経験則、ノウハウなどを踏まえるため、攻撃トラヒックのより詳細な情報であり、これは、トラヒックの特徴によるフロー抽出だけでは、攻撃元を特定した情報にすぎず、異常対処に用いるには不十分である課題がある。
本発明の目的は、ネットワーク上のトラヒックを監視し、異常状態を検出する異常トラヒック分析技術において、監視者にとって異常対策を実施するために詳細な情報を提供することである。
本発明は、トラヒックの特徴だけによるフロー抽出から、監視者にとって必要な束縛条件を付加して再抽出し、不要なフローを取り除いた抽出結果とすることで、より詳細なフローが抽出でき、監視者にとって異常対策を実施するために詳細な情報を提供するものである。
具体的には、トラヒックの統計情報をネットワーク装置から受信し、受信したトラヒックの統計情報からトラヒックの異常状態を検出し、異常状態の検出を契機として、トラヒックの統計情報を分析し、異常状態のトラヒックの統計情報を抽出した後、当該抽出結果の任意の値を束縛条件として、トラヒックの統計情報を再帰的に分析する。
束縛条件として、当該抽出結果のうち、送信元アドレスプレフィクスまたは送信先アドレスプレフィクスの情報を用いることができる。
束縛条件として、当該抽出結果のうち、送信元ポートアドレス、送信先ポートアドレス、プロトコル番号、またはネットワーク装置のうちいずれかの単一結果を用いることもできる。
束縛条件として、当該抽出結果の過程において抽出された送信元アドレスプレフィクスまたは、送信先アドレスプレフィクスを用いることもできる。
また、監視者に対して、GUIによりトラヒックの統計情報の表および/または抽出結果の過程におけるアドレスプレフィクスツリーを表示し、前記表および/またはアドレスプレフィクスツリーの各値をクリックすることでその値を監視者からの入力としてもよい。
上記のように本発明では、監視者が期待する結果を促す束縛条件を入力することで、不必要なフローを取り除いたフローグループを得ることができる、もしくは、不必要なフローを取り除きれていない場合でも、さらに束縛条件を入力する再帰的に分析することで、不必要なフローを取り除いたフローグループを得ることが可能になる。
本発明により、ネットワーク上のトラヒックを監視し、異常状態を検出する異常トラヒック分析技術において、監視者にとって異常対策を実施するために詳細な情報を提供することが可能になる。
本発明の実施形態の異常トラヒック分析システムを含む全体のシステムを示す図である。 本発明の実施形態の異常トラヒック分析システムの機能構成を示す図である。 本発明の実施形態のフロー図である。 分析ID=1のフローグループの表を示す図である。 分析ID=1のアドレスプレフィックスツリー示す図である。 分析ID=2のフローグループの表を示す図である。 分析ID=3のフローグループの表を示す図である。 分析ID=4のフローグループの表を示す図である。 分析ID=5のフローグループの表を示す図である。 分析ID=6のフローグループの表を示す図である。
図1は、本発明の実施形態の異常トラヒック分析システムを含む全体のシステムを示す図である。図2は、本発明の実施形態の異常トラヒック分析システムの機能構成を示す図である。また、図3は本発明の実施形態のフロー図である。
図1において、101は異常トラヒック分析システム、102は監視ネットワーク、103は監視者用端末、104は監視者、105は束縛条件、106はフロー情報、111はネットワーク装置#1、112はネットワーク装置#2、113はネットワーク装置#3、114はネットワーク装置#4、121は他社ネットワーク(インターネット)、122はセグメント10.16.0.0/12のネットワーク、123はセグメント10.32.0.0/12のネットワーク、124はセグメント10.192.0.0/12のネットワーク、132は送信元端末A、133は送信元端末B、134は宛先サーバである。なお、監視ネットワーク102内のネットワーク装置の数や監視ネットワーク102に接続されるネットワークの数は任意である。
図2において、201はフロー情報受信機能、202はフロー情報蓄積機能、203は異常トラヒック検出機能、204は異常トラヒック分析機能、206はGUI(結果出力・束縛条件入力)機能である。
異常トラヒック分析システム101は、1つ以上のネットワーク装置111〜114と接続しており、ネットワーク装置111〜114より、NetflowやsFlowなどのプロトコルによってフロー情報106を提供されている。
異常トラヒック分析システム101は、フロー情報受信機能201、フロー情報蓄積機能202、異常トラヒック検出機能203、異常トラヒック分析機能204、分析情報蓄積機能205、および、GUI(結果出力、束縛条件入力)機能206からなる。異常トラヒック分析システム101はこれらの機能を実現する手段を備えている。異常トラヒック分析システム101は、コンピュータとプログラムで構成することができる。そのプログラムの一部または全部に代えてハードウェアで構成してもよい。異常トラヒック分析システム101は一つの装置として構成しても、連携して動作する複数の装置として構成してもよい。
異常トラヒック分析システム101における各機能について説明する。
フロー情報受信機能201は、ネットワーク装置111〜114より提供されたNetflowやsFlowなどのプロトコルによってフロー情報106を受信する機能である。
フロー情報蓄積機能202は、フロー情報受信機能201により受信したフロー情報を蓄積する機能である。また、異常トラヒック検出機能204や、GUI(結果出力、束縛条件入力)機能206により必要に応じて、蓄積されたフロー情報を受け渡す機能も有する。
異常トラヒック検出機能203では、フロー情報蓄積機能202に蓄積されたフロー情報をある単位時間当たり毎に取得し、その単位時間当たりにおける急激なトラヒック変動を検知することで、トラヒックの異常状態を検知し、その時刻を異常トラヒック分析機能204に送信する。
異常トラヒック分析機能204では、異常トラヒック検出機能203からの受信、および、GUI(結果出力、束縛条件入力)機能206からの受信を契機に新たに分析IDを発行する。GUI(結果出力、束縛条件入力)機能206からの受信の場合、元の分析IDにある束縛条件と新たな束縛条件をマージして、新たな分析IDの束縛条件とする。異常トラヒック検出機能204からの場合は束縛条件をなしとする。この束縛条件を、フロー情報蓄積機能202からフローを取得するフィルタとして、フロー情報を入手し、このフロー情報を、特許文献1にあるような分析方法を用いて分析を行う。分析した結果は、発行した分析ID、トラヒックの異常状態を束縛条件とともに保存する。
分析情報蓄積機能205では、分析IDをキーに、束縛条件、分析結果(フローグループID、特徴的なフローグループ(送信元アドレスプレフィクス、送信先アドレスプレフィクス、プロトコル、送信元ポート番号、送信先ポート番号、ネットワーク装置の組み合わせ)、占有率)、抽出結果の経過情報(アドレスプレフィクスツリー)を蓄積しており、異常トラヒック分析機能204、または、GUI(結果出力、束縛条件入力)機能206からの要求により、読み出し、保存を行う。
GUI(結果出力、束縛条件入力)機能206では、直近いくつかの分析結果や監視者の要求する分析結果を表示する。異常トラヒック分析システム101と監視者用端末103はネットワークでつながっており、LAN経由、WAN(インターネット)経由でやりとりされる。分析結果は少なくとも、図4のような特徴的なフローグループおよび、そのフローグループによる占有率(トラヒックの全体から占める割合)を表形式にしたものと、抽出結果の経過情報として、アドレスプレフィクスツリー(図5)が提供される。これは抽出結果の過程で算出される各アドレスプレフィクスとその占有率を示している。最終的に特徴的なフローグループとして採用されたアドレスプレフィクスは監視者に識別できるように色塗りされている。
必要に応じて、フロー情報蓄積機能202に保存してある情報を用いて、時刻、トラヒック量等の表示を追加しても良い。
表形式および、アドレスプレフィクスツリーはクリッカブルになっている。表形式でクリッカブルになっているのは特徴的なフローグループから、送信元アドレスプレフィクス、送信先アドレスプレフィクス、または特定できているプロトコル、送信元ポート番号、送信先ポート番号、ネットワーク装置のいずれかである。アドレスツリーでは、ツリー上の任意の送信元アドレスプレフィクス、送信先アドレスプレフィクスがクリッカブルになっている。この任意の値を監視者がクリックすることで、今出力している分析IDとクリックした値を束縛条件とすることができる。監視者がクリックした後、GUI(結果出力、束縛条件入力)機能206は出力してある分析IDと新たな束縛条件(監視者によってクリックされた値)を引数として、異常トラヒック分析機能204に処理を渡す。
図3のフロー図を用いて、本実施形態の異常トラヒック分析システムの異常トラフィック分析方法について説明する。
フロー情報受信機能201がネットワーク装置111〜114からトラヒックの統計情報を受信する(ステップ301)。異常トラヒック検出機能203がトラヒックの異常状態を検出する(ステップ302)。束縛条件はなしである(ステップ303)。異常トラヒック分析機能204が分析IDを発行する(ステップ304)。異常トラヒック分析機能204が束縛条件をフィルタとしてフロー情報蓄積機能202からフローを取得する(ステップ305)。異常トラヒック分析機能204が特徴的なフローグループを抽出する(ステップ306)。GUI(結果出力・束縛条件入力)機能206が結果を監視者用端末103に表示する(ステップ307)。GUI(結果出力・束縛条件入力)機能206が監視者104が監視者用端末103から入力した束縛条件105を受信する(ステップ308)。束縛条件を追加する(ステップ309)。ステップ304〜309を繰り返し、再帰的に分析を行う。
以上、本実施形態を具体的に説明したが、本実施形態の異常トラヒック分析システムは、一般的には、トラヒックの統計情報をネットワーク装置から受信する受信手段と、前記受信手段が受信したトラヒックの統計情報からトラヒックの異常状態を検出する異常トラヒック検出手段と、前記異常トラヒック検出手段による異常状態の検出を契機として、前記トラヒックの統計情報を分析し、異常状態のトラヒックの統計情報を抽出した後、当該抽出結果の任意の値を束縛条件として、前記トラヒックの統計情報を再帰的に分析する異常トラヒック分析手段と、を備えていればよい。
また、本実施形態の異常トラヒック分析システムは、監視者に対して、GUIによりトラヒックの統計情報の表および/または抽出結果の過程におけるアドレスプレフィクスツリーを表示し、前記表および/またはアドレスプレフィクスツリーの各値をクリックすることでその値を監視者からの入力とするGUI手段を備えることができる。
ある攻撃トラヒックの分析について説明する。
図1のようなネットワークがあるとする。監視ネットワーク102にはネットワーク装置#1〜#4がある。ネットワーク装置#1には他社ネットワーク121がつながっており、不特定数の送信元、送信先のトラヒックが流れている。ネットワーク装置#2〜#4はそれぞれ、10.16.0.0/12、10.32.0.0/12、10.192.0.0/12のネットワークにつながっている。異常トラヒック分析システム101はネットワーク装置#1〜#4からはフロー情報106を受信している。
今、DDOS攻撃がネットワーク装置#1〜#3を経由して、ネットワーク装置#4につながっているネットワーク124の1サーバ(10.200.0.1)に対して行われているとする。
DDOS攻撃が発生したことによるトラヒックの増加を異常トラヒック分析システム101はフロー情報受信機能201で受信し、異常トラヒック検出機能203で検出し、異常トラヒック分析機能204で分析ID=1を払い出し、特許文献1にあるような分析方法を用いて分析し、特徴的なフローグループを抽出した結果を分析情報蓄積機能205に保存する。その結果、GUI(結果出力、束縛条件入力)機能206により監視者用端末103に、直近の分析結果として図4および、図5が出力される。
図4、図5の分析結果(分析ID=1)から再帰的に分析していく例を示す。
フローグループID1では、ネットワーク装置が複数またがっていることを示す「Any」となっている。これを監視者104が、詳細に分析したい場合、各フローグループで最も特徴的な違いを示している送信元アドレスプレフィクスに着目して、送信元アドレスプレフィクスの列の10.32.0.0/11をクリックする。このクリックを契機に、GUI(結果出力、束縛条件入力)機能206は、クリックされた値を束縛条件として扱い、分析ID=1とともに、異常トラヒック分析機能204に処理を渡す。異常トラヒック分析機能204は、分析ID=2を払い出し、分析ID=1の束縛条件として、束縛条件のマージ、つまりは分析ID=1の束縛条件はないので、クリックされた束縛条件そのものである
束縛条件:送信元アドレスプレフィクス=10.32.0.0/11
を付加して、フロー情報蓄積機能202からフローを取得するフィルタとして、フロー情報を入手し、特許文献1にあるような分析方法を用いて再分析し、特徴的なフローグループを抽出した結果を分析情報蓄積機能205に保存する。その結果、図6のような、より細かいプレフィクスの分析結果をGUI(結果出力、束縛条件入力)機能206により監視者用端末103に、再分析結果として出力する。結果的に監視者104は、ネットワーク装置が分かれた分析結果を得ることができる。
また、監視者104が、ネットワーク装置#3に接続されているセグメントが10.32.0.0/12とネットワーク構成を熟知しており、そのセグメントのみを分析したい意図のもと、図5の情報を用いて、送信元アドレスプレフィクスの10.32.0.0/12をクリックした場合の処理を説明する。監視者のクリックを契機に、GUI(結果出力、束縛条件入力)機能は、クリックされた値を束縛条件として扱い、分析ID=1とともに、異常トラヒック分析機能204に処理を渡す。異常トラヒック分析機能204は、分析ID=3を払い出し、分析ID=1の束縛条件として、束縛条件のマージ、つまりは分析ID=1の束縛条件はないので、クリックされた束縛条件そのものである
束縛条件:送信元アドレスプレフィクス=10.32.0.0/12
を付加して、フロー情報蓄積機能202からフローを取得するフィルタとして、フロー情報を入手し、特許文献1にあるような分析方法を用いて再分析し、特徴的なフローグループを抽出した結果を分析情報蓄積機能205に保存する。その結果、図7のような、より細かいプレフィクスの分析結果をGUI(結果出力、束縛条件入力)機能206により監視者用端末103に、再分析結果として出力する。結果的に監視者104は、ネットワーク装置#3配下のより細かいプレフィクスの分析結果を得ることができる。
別のケースとして、監視者104が特定のアプリケーションに特化して分析したいケースについて説明する。
たとえば、図4において、監視者104が送信先ポート番号80(HTTP)に限定した分析をしたい場合、送信先ポート番号の列の80をクリックする(送信先ポート番号の列には80が3か所あるがいずれでもよい)。監視者104のクリックを契機に、GUI(結果出力、束縛条件入力)機能206は、クリックされた値を束縛条件として扱い、分析ID=1とともに、異常トラヒック分析機能204に処理を渡す。異常トラヒック分析機能204は、分析ID=4を払い出し、分析ID=1の束縛条件として、束縛条件のマージ、つまりは分析ID=1の束縛条件はないので、クリックされた束縛条件そのものである
束縛条件:送信先ポート番号=80
を付加して、フロー情報蓄積機能202からフローを取得するフィルタとして、フロー情報を入手し、特許文献1にあるような分析方法を用いて再分析し、特徴的なフローグループを抽出した結果を分析情報蓄積機能205に保存する。その結果、図8のような、より細かいプレフィクスの分析結果をGUI(結果出力、束縛条件入力)機能206により監視者用端末103に、再分析結果として出力する。結果的に監視者104は、送信先ポート番号80(HTTP)だけの分析結果を得ることができる。
最後のケースとして、監視者104が図4において、プレフィクス以外の情報がわかっていないフローグループID5の分析を詳細に行いたい場合を説明する。まず、監視者104はフローグループID5のもっとも特徴的な違いをみせている送信元アドレスブロックに着目し、送信元アドレスプレフィクスの列の10.96.0.0/14をクリックしたとする。このクリックを契機に、GUI(結果出力、束縛条件入力)機能206は、クリックされた値を束縛条件として扱い、分析ID=1とともに、異常トラヒック分析機能204に処理を渡す。異常トラヒック分析機能204は、分析ID=5を払い出し、分析ID=1の束縛条件として、束縛条件のマージ、つまりは分析ID=1の束縛条件はないので、クリックされた束縛条件そのものである
束縛条件:送信元アドレスプレフィクス=10.96.0.0/14
を付加して、フロー情報蓄積機能202からフローを取得するフィルタとして、フロー情報を入手し、特許文献1にあるような分析方法を用いて再分析し、特徴的なフローグループを抽出した結果を分析情報蓄積機能205に保存する。その結果、図9のような、より細かいプレフィクスの分析結果をGUI(結果出力、束縛条件入力)機能206により監視者用端末103に、再分析結果として出力し、監視者104は、分析結果を得ることができる。さらにこの結果から、ほかのフローグループと同様に、プロトコルがtcpであるもののみを選択したい場合、プロトコルの列のTcpをクリックしたとする。このクリックを契機に、GUI(結果出力、束縛条件入力)機能206は、クリックされた値を束縛条件として扱い、分析ID=5とともに、異常トラヒック分析機能204に処理を渡す。異常トラヒック分析機能204は、分析ID=6を払い出し、分析ID=5の束縛条件として、束縛条件のマージ、つまりは分析ID=5の
束縛条件:送信元アドレスプレフィクス=10.96.0.0/14
とマージした
束縛条件:送信元アドレスプレフィクス=10.96.0.0/14 and プロトコル=tcp
を付加して、フロー情報蓄積機能202からフローを取得するフィルタとして、フロー情報を入手し、特許文献1にあるような分析方法を用いて再分析し、特徴的なフローグループを抽出した結果を分析情報蓄積機能205に保存する。その結果、図10のような、より細かいプレフィクスの分析結果をGUI(結果出力、束縛条件入力)機能206により監視者用端末に再分析結果として出力し、監視者は、最終的に期待した結果を得ることができる。
101…異常トラヒック分析システム、102…監視ネットワーク、103…監視者用端末、104…監視者、105…束縛条件、106…フロー情報、111…ネットワーク装置#1、112…ネットワーク装置#2、113…ネットワーク装置#3、114…ネットワーク装置#4、121…他社ネットワーク(インターネット)、122…セグメント10.16.0.0/12のネットワーク、123…セグメント10.32.0.0/12のネットワーク、124…セグメント10.192.0.0/12のネットワーク、132…送信元端末A、133…送信元端末B、134…宛先サーバ、201…フロー情報受信機能、202…フロー情報蓄積機能、203…異常トラヒック検出機能、204…異常トラヒック分析機能、206…GUI(結果出力・束縛条件入力)機能

Claims (6)

  1. トラヒックの統計情報をネットワーク装置から受信する受信手段と、
    前記受信手段が受信したトラヒックの統計情報からトラヒックの異常状態を検出する異常トラヒック検出手段と、
    前記異常トラヒック検出手段による異常状態の検出を契機として、束縛条件はなしで前記トラヒックの統計情報を分析し、異常状態のトラヒックの統計情報を抽出した後、当該抽出結果の任意の値を束縛条件としてそれまでの束縛条件に追加し該束縛条件をフィルタとして前記トラヒックの統計情報を再帰的に分析する異常トラヒック分析手段と、
    を備える異常トラヒック分析システムであって、
    前記異常トラヒック分析手段が、前記束縛条件として、当該抽出結果のうち、送信元アドレスプレフィクスまたは送信先アドレスプレフィクスの情報を用いて再帰的に分析することを特徴とする異常トラヒック分析システム。
  2. 請求項1に記載の異常トラヒック分析システムであって、
    前記異常トラヒック分析手段が、前記束縛条件として、当該抽出結果のうち、送信元ポートアドレス、送信先ポートアドレス、プロトコル番号、またはネットワーク装置のうちいずれかの単一結果を用いて、再帰的に分析することを特徴とする異常トラヒック分析システム。
  3. 請求項1または2に記載の異常トラヒック分析システムであって、
    前記異常トラヒック分析手段が、前記束縛条件として、当該抽出結果の過程において抽出された送信元アドレスプレフィクスまたは、送信先アドレスプレフィクスを用いて、再帰的に分析することを特徴とする異常トラヒック分析システム。
  4. 請求項1ないしのうちいずれか1項に記載の異常トラヒック分析システムであって、
    監視者に対して、GUIによりトラヒックの統計情報の表および/または抽出結果の過程におけるアドレスプレフィクスツリーを表示し、前記表および/またはアドレスプレフィクスツリーの各値をクリックすることでその値を監視者からの入力とするGUI手段を備えることを特徴とする異常トラヒック分析システム。
  5. 受信手段が、トラヒックの統計情報をネットワーク装置から受信し、
    異常トラヒック検出手段が、前記受信手段が受信したトラヒックの統計情報からトラヒックの異常状態を検出し、
    異常トラヒック分析手段が、前記異常トラヒック検出手段による異常状態の検出を契機として、束縛条件はなしで前記トラヒックの統計情報を分析し、異常状態のトラヒックの統計情報を抽出した後、当該抽出結果の任意の値を束縛条件としてそれまでの束縛条件に追加し該束縛条件をフィルタとして前記トラヒックの統計情報を再帰的に分析する異常トラヒック分析方法であって、
    前記異常トラヒック分析手段が、前記束縛条件として、当該抽出結果のうち、送信元アドレスプレフィクスまたは送信先アドレスプレフィクスの情報を用いて再帰的に分析する
    することを特徴とする異常トラヒック分析方法。
  6. トラヒックの統計情報をネットワーク装置から受信する受信手段と、
    前記受信手段が受信したトラヒックの統計情報からトラヒックの異常状態を検出する異常トラヒック検出手段と、
    前記異常トラヒック検出手段による異常状態の検出を契機として、束縛条件はなしで前記トラヒックの統計情報を分析し、異常状態のトラヒックの統計情報を抽出した後、当該抽出結果の任意の値を束縛条件としてそれまでの束縛条件に追加し該束縛条件をフィルタとして前記トラヒックの統計情報を再帰的に分析する異常トラヒック分析手段と、
    を備える異常トラヒック分析装置であって、
    前記異常トラヒック分析手段が、前記束縛条件として、当該抽出結果のうち、送信元アドレスプレフィクスまたは送信先アドレスプレフィクスの情報を用いて再帰的に分析することを特徴とする異常トラヒック分析装置。
JP2010037454A 2010-02-23 2010-02-23 異常トラヒック分析システム、方法、および装置 Active JP5086382B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010037454A JP5086382B2 (ja) 2010-02-23 2010-02-23 異常トラヒック分析システム、方法、および装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010037454A JP5086382B2 (ja) 2010-02-23 2010-02-23 異常トラヒック分析システム、方法、および装置

Publications (2)

Publication Number Publication Date
JP2011176441A JP2011176441A (ja) 2011-09-08
JP5086382B2 true JP5086382B2 (ja) 2012-11-28

Family

ID=44688925

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010037454A Active JP5086382B2 (ja) 2010-02-23 2010-02-23 異常トラヒック分析システム、方法、および装置

Country Status (1)

Country Link
JP (1) JP5086382B2 (ja)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4558668B2 (ja) * 2006-03-06 2010-10-06 株式会社Kddi研究所 ログ分析装置、ログ分析プログラム、および記録媒体
JP4422176B2 (ja) * 2007-08-09 2010-02-24 日本電信電話株式会社 トラフィック量変化原因特定方法、システム、プログラム、及び記録媒体

Also Published As

Publication number Publication date
JP2011176441A (ja) 2011-09-08

Similar Documents

Publication Publication Date Title
US10397260B2 (en) Network system
US7804787B2 (en) Methods and apparatus for analyzing and management of application traffic on networks
US9584533B2 (en) Performance enhancements for finding top traffic patterns
US20140075557A1 (en) Streaming Method and System for Processing Network Metadata
EP3215955B1 (en) Identifying a potential ddos attack using statistical analysis
JP2015076863A (ja) ログ分析装置、方法およびプログラム
EP3378208B1 (en) Handling network threats
JP2016508353A (ja) ネットワークメタデータを処理する改良されたストリーミング方法およびシステム
US20150264071A1 (en) Analysis system and analysis apparatus
JP2016184358A (ja) データ分析システム
US11863584B2 (en) Infection spread attack detection device, attack origin specification method, and program
KR102044181B1 (ko) 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치 및 그 방법
KR102040371B1 (ko) 네트워크 공격 패턴 분석 및 방법
KR101940512B1 (ko) 공격특성 dna 분석 장치 및 그 방법
Hurley et al. ITACA: Flexible, scalable network analysis
CN115664833B (zh) 基于局域网安全设备的网络劫持检测方法
JP2013121008A (ja) 攻撃対策装置、攻撃対策方法及び攻撃対策プログラム
KR20140117217A (ko) 빅데이터 분석을 이용한 유해 정보 수집 방법 및 장치
KR101384618B1 (ko) 노드 분석 기법을 이용한 위험요소 추출 시스템
JP5086382B2 (ja) 異常トラヒック分析システム、方法、および装置
CN106817268B (zh) 一种ddos攻击的检测方法及***
JP5926413B1 (ja) 情報処理装置、情報処理方法及びプログラム
JP6145588B2 (ja) 情報処理装置、情報処理方法及びプログラム
JP5992643B2 (ja) 情報処理装置、情報処理方法及びプログラム
KR101695461B1 (ko) 보안 위험 감지 장치 및 방법

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120208

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120327

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120516

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120904

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120906

R150 Certificate of patent or registration of utility model

Ref document number: 5086382

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150914

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350