JP5086382B2 - 異常トラヒック分析システム、方法、および装置 - Google Patents
異常トラヒック分析システム、方法、および装置 Download PDFInfo
- Publication number
- JP5086382B2 JP5086382B2 JP2010037454A JP2010037454A JP5086382B2 JP 5086382 B2 JP5086382 B2 JP 5086382B2 JP 2010037454 A JP2010037454 A JP 2010037454A JP 2010037454 A JP2010037454 A JP 2010037454A JP 5086382 B2 JP5086382 B2 JP 5086382B2
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- abnormal
- analysis
- statistical information
- traffic analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
束縛条件:送信元アドレスプレフィクス=10.32.0.0/11
を付加して、フロー情報蓄積機能202からフローを取得するフィルタとして、フロー情報を入手し、特許文献1にあるような分析方法を用いて再分析し、特徴的なフローグループを抽出した結果を分析情報蓄積機能205に保存する。その結果、図6のような、より細かいプレフィクスの分析結果をGUI(結果出力、束縛条件入力)機能206により監視者用端末103に、再分析結果として出力する。結果的に監視者104は、ネットワーク装置が分かれた分析結果を得ることができる。
束縛条件:送信元アドレスプレフィクス=10.32.0.0/12
を付加して、フロー情報蓄積機能202からフローを取得するフィルタとして、フロー情報を入手し、特許文献1にあるような分析方法を用いて再分析し、特徴的なフローグループを抽出した結果を分析情報蓄積機能205に保存する。その結果、図7のような、より細かいプレフィクスの分析結果をGUI(結果出力、束縛条件入力)機能206により監視者用端末103に、再分析結果として出力する。結果的に監視者104は、ネットワーク装置#3配下のより細かいプレフィクスの分析結果を得ることができる。
束縛条件:送信先ポート番号=80
を付加して、フロー情報蓄積機能202からフローを取得するフィルタとして、フロー情報を入手し、特許文献1にあるような分析方法を用いて再分析し、特徴的なフローグループを抽出した結果を分析情報蓄積機能205に保存する。その結果、図8のような、より細かいプレフィクスの分析結果をGUI(結果出力、束縛条件入力)機能206により監視者用端末103に、再分析結果として出力する。結果的に監視者104は、送信先ポート番号80(HTTP)だけの分析結果を得ることができる。
束縛条件:送信元アドレスプレフィクス=10.96.0.0/14
を付加して、フロー情報蓄積機能202からフローを取得するフィルタとして、フロー情報を入手し、特許文献1にあるような分析方法を用いて再分析し、特徴的なフローグループを抽出した結果を分析情報蓄積機能205に保存する。その結果、図9のような、より細かいプレフィクスの分析結果をGUI(結果出力、束縛条件入力)機能206により監視者用端末103に、再分析結果として出力し、監視者104は、分析結果を得ることができる。さらにこの結果から、ほかのフローグループと同様に、プロトコルがtcpであるもののみを選択したい場合、プロトコルの列のTcpをクリックしたとする。このクリックを契機に、GUI(結果出力、束縛条件入力)機能206は、クリックされた値を束縛条件として扱い、分析ID=5とともに、異常トラヒック分析機能204に処理を渡す。異常トラヒック分析機能204は、分析ID=6を払い出し、分析ID=5の束縛条件として、束縛条件のマージ、つまりは分析ID=5の
束縛条件:送信元アドレスプレフィクス=10.96.0.0/14
とマージした
束縛条件:送信元アドレスプレフィクス=10.96.0.0/14 and プロトコル=tcp
を付加して、フロー情報蓄積機能202からフローを取得するフィルタとして、フロー情報を入手し、特許文献1にあるような分析方法を用いて再分析し、特徴的なフローグループを抽出した結果を分析情報蓄積機能205に保存する。その結果、図10のような、より細かいプレフィクスの分析結果をGUI(結果出力、束縛条件入力)機能206により監視者用端末に再分析結果として出力し、監視者は、最終的に期待した結果を得ることができる。
Claims (6)
- トラヒックの統計情報をネットワーク装置から受信する受信手段と、
前記受信手段が受信したトラヒックの統計情報からトラヒックの異常状態を検出する異常トラヒック検出手段と、
前記異常トラヒック検出手段による異常状態の検出を契機として、束縛条件はなしで前記トラヒックの統計情報を分析し、異常状態のトラヒックの統計情報を抽出した後、当該抽出結果の任意の値を束縛条件としてそれまでの束縛条件に追加し、該束縛条件をフィルタとして前記トラヒックの統計情報を再帰的に分析する異常トラヒック分析手段と、
を備える異常トラヒック分析システムであって、
前記異常トラヒック分析手段が、前記束縛条件として、当該抽出結果のうち、送信元アドレスプレフィクスまたは送信先アドレスプレフィクスの情報を用いて再帰的に分析することを特徴とする異常トラヒック分析システム。 - 請求項1に記載の異常トラヒック分析システムであって、
前記異常トラヒック分析手段が、前記束縛条件として、当該抽出結果のうち、送信元ポートアドレス、送信先ポートアドレス、プロトコル番号、またはネットワーク装置のうちいずれかの単一結果を用いて、再帰的に分析することを特徴とする異常トラヒック分析システム。 - 請求項1または2に記載の異常トラヒック分析システムであって、
前記異常トラヒック分析手段が、前記束縛条件として、当該抽出結果の過程において抽出された送信元アドレスプレフィクスまたは、送信先アドレスプレフィクスを用いて、再帰的に分析することを特徴とする異常トラヒック分析システム。 - 請求項1ないし3のうちいずれか1項に記載の異常トラヒック分析システムであって、
監視者に対して、GUIによりトラヒックの統計情報の表および/または抽出結果の過程におけるアドレスプレフィクスツリーを表示し、前記表および/またはアドレスプレフィクスツリーの各値をクリックすることでその値を監視者からの入力とするGUI手段を備えることを特徴とする異常トラヒック分析システム。 - 受信手段が、トラヒックの統計情報をネットワーク装置から受信し、
異常トラヒック検出手段が、前記受信手段が受信したトラヒックの統計情報からトラヒックの異常状態を検出し、
異常トラヒック分析手段が、前記異常トラヒック検出手段による異常状態の検出を契機として、束縛条件はなしで前記トラヒックの統計情報を分析し、異常状態のトラヒックの統計情報を抽出した後、当該抽出結果の任意の値を束縛条件としてそれまでの束縛条件に追加し、該束縛条件をフィルタとして前記トラヒックの統計情報を再帰的に分析する異常トラヒック分析方法であって、
前記異常トラヒック分析手段が、前記束縛条件として、当該抽出結果のうち、送信元アドレスプレフィクスまたは送信先アドレスプレフィクスの情報を用いて再帰的に分析する
することを特徴とする異常トラヒック分析方法。 - トラヒックの統計情報をネットワーク装置から受信する受信手段と、
前記受信手段が受信したトラヒックの統計情報からトラヒックの異常状態を検出する異常トラヒック検出手段と、
前記異常トラヒック検出手段による異常状態の検出を契機として、束縛条件はなしで前記トラヒックの統計情報を分析し、異常状態のトラヒックの統計情報を抽出した後、当該抽出結果の任意の値を束縛条件としてそれまでの束縛条件に追加し、該束縛条件をフィルタとして前記トラヒックの統計情報を再帰的に分析する異常トラヒック分析手段と、
を備える異常トラヒック分析装置であって、
前記異常トラヒック分析手段が、前記束縛条件として、当該抽出結果のうち、送信元アドレスプレフィクスまたは送信先アドレスプレフィクスの情報を用いて再帰的に分析することを特徴とする異常トラヒック分析装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010037454A JP5086382B2 (ja) | 2010-02-23 | 2010-02-23 | 異常トラヒック分析システム、方法、および装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010037454A JP5086382B2 (ja) | 2010-02-23 | 2010-02-23 | 異常トラヒック分析システム、方法、および装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011176441A JP2011176441A (ja) | 2011-09-08 |
JP5086382B2 true JP5086382B2 (ja) | 2012-11-28 |
Family
ID=44688925
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010037454A Active JP5086382B2 (ja) | 2010-02-23 | 2010-02-23 | 異常トラヒック分析システム、方法、および装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5086382B2 (ja) |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4558668B2 (ja) * | 2006-03-06 | 2010-10-06 | 株式会社Kddi研究所 | ログ分析装置、ログ分析プログラム、および記録媒体 |
JP4422176B2 (ja) * | 2007-08-09 | 2010-02-24 | 日本電信電話株式会社 | トラフィック量変化原因特定方法、システム、プログラム、及び記録媒体 |
-
2010
- 2010-02-23 JP JP2010037454A patent/JP5086382B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2011176441A (ja) | 2011-09-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10397260B2 (en) | Network system | |
US7804787B2 (en) | Methods and apparatus for analyzing and management of application traffic on networks | |
US9584533B2 (en) | Performance enhancements for finding top traffic patterns | |
US20140075557A1 (en) | Streaming Method and System for Processing Network Metadata | |
EP3215955B1 (en) | Identifying a potential ddos attack using statistical analysis | |
JP2015076863A (ja) | ログ分析装置、方法およびプログラム | |
EP3378208B1 (en) | Handling network threats | |
JP2016508353A (ja) | ネットワークメタデータを処理する改良されたストリーミング方法およびシステム | |
US20150264071A1 (en) | Analysis system and analysis apparatus | |
JP2016184358A (ja) | データ分析システム | |
US11863584B2 (en) | Infection spread attack detection device, attack origin specification method, and program | |
KR102044181B1 (ko) | 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치 및 그 방법 | |
KR102040371B1 (ko) | 네트워크 공격 패턴 분석 및 방법 | |
KR101940512B1 (ko) | 공격특성 dna 분석 장치 및 그 방법 | |
Hurley et al. | ITACA: Flexible, scalable network analysis | |
CN115664833B (zh) | 基于局域网安全设备的网络劫持检测方法 | |
JP2013121008A (ja) | 攻撃対策装置、攻撃対策方法及び攻撃対策プログラム | |
KR20140117217A (ko) | 빅데이터 분석을 이용한 유해 정보 수집 방법 및 장치 | |
KR101384618B1 (ko) | 노드 분석 기법을 이용한 위험요소 추출 시스템 | |
JP5086382B2 (ja) | 異常トラヒック分析システム、方法、および装置 | |
CN106817268B (zh) | 一种ddos攻击的检测方法及*** | |
JP5926413B1 (ja) | 情報処理装置、情報処理方法及びプログラム | |
JP6145588B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
JP5992643B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
KR101695461B1 (ko) | 보안 위험 감지 장치 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120208 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120327 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120516 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120904 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120906 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5086382 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150914 Year of fee payment: 3 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |