JP2008167484A - 異常トラヒック検出方法及び装置 - Google Patents
異常トラヒック検出方法及び装置 Download PDFInfo
- Publication number
- JP2008167484A JP2008167484A JP2008063596A JP2008063596A JP2008167484A JP 2008167484 A JP2008167484 A JP 2008167484A JP 2008063596 A JP2008063596 A JP 2008063596A JP 2008063596 A JP2008063596 A JP 2008063596A JP 2008167484 A JP2008167484 A JP 2008167484A
- Authority
- JP
- Japan
- Prior art keywords
- field
- value
- similarity
- counter
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】少ないメモリ容量で監視可能であり、かつ、監視対象として重要な上位N個のフィールド値とカウンタ値のデータを監視し、その時系列上の異常を検出する異常トラヒック検出方法を提供する。
【解決手段】トラヒックデータを取得するステップと、監視対象となる少なくとも1つのフィールド、およびそのフィールドに対するカウンタの種類を指定するステップと、取得したトラヒックデータから、予め定められた時間間隔で、指定されたフィールドの指定カウンタに対する上位N(N≧2)個のフィールド値、およびそのカウンタ値を算出するステップと、算出した上位N個のフィールド値と、そのカウンタ値データを蓄積し、新規に算出されたデータと過去のデータとの類似度を計算するステップと、計算された類似度が、予め定められた閾値を下回っていれば異常として警報を発し、かつ類似度が低下した原因と推定されるフィールド値を抽出する第5のステップとを含む。
【選択図】図1
【解決手段】トラヒックデータを取得するステップと、監視対象となる少なくとも1つのフィールド、およびそのフィールドに対するカウンタの種類を指定するステップと、取得したトラヒックデータから、予め定められた時間間隔で、指定されたフィールドの指定カウンタに対する上位N(N≧2)個のフィールド値、およびそのカウンタ値を算出するステップと、算出した上位N個のフィールド値と、そのカウンタ値データを蓄積し、新規に算出されたデータと過去のデータとの類似度を計算するステップと、計算された類似度が、予め定められた閾値を下回っていれば異常として警報を発し、かつ類似度が低下した原因と推定されるフィールド値を抽出する第5のステップとを含む。
【選択図】図1
Description
本発明は、異常トラヒック検出方法及び装置に係り、特に、コンピュータネットワークのトラヒックの異常を検出する方法および装置に関するものである。
インターネットにおける特定サーバに対する攻撃などの異常トラヒックの増加に伴い、異常トラヒックの検出手法に対する要求が高まっている。
現状の異常トラヒック検出手法は、シグネチャに基づくものと、統計情報に基づくものに大別される。
前者は、予め異常と判断されたトラヒックパターンをシグネチャとして用意しておき、観測トラヒックと同シグネチャを比較することによって観測トラヒックが異常か否かを判断するものである。
同手法は、観測トラヒックが異常か否かを確実に判断できる半面、すべての異常トラヒックパターンを用意することが困難であること、特に、シグネチャが得られていない新規の異常トラヒックを検知することが出来ないという問題がある。
現状の異常トラヒック検出手法は、シグネチャに基づくものと、統計情報に基づくものに大別される。
前者は、予め異常と判断されたトラヒックパターンをシグネチャとして用意しておき、観測トラヒックと同シグネチャを比較することによって観測トラヒックが異常か否かを判断するものである。
同手法は、観測トラヒックが異常か否かを確実に判断できる半面、すべての異常トラヒックパターンを用意することが困難であること、特に、シグネチャが得られていない新規の異常トラヒックを検知することが出来ないという問題がある。
統計情報に基づく手法は、過去の観測トラヒック履歴から統計情報を作成しておき、新規に観測したトラヒックが異常か否かを、過去のトラヒックから統計的に逸脱しているか否かで判断するものである。観測対象としては、パケット数などの総トラヒック量に基づくものが一般的である。
しかしながら、総トラヒック量観測に基づく統計的異常検出では、総トラヒックの変化として現れないようなトラヒックデータ中の一部の変化による異常検出が困難、また、異常検出した後の異常原因特定が困難という問題がある。
一方、総トラヒック量監視ではなく、指定フィールド(例えば、送信IPアドレスフィールド)のフィールド値毎の指定カウンタ(例えば、送信IPアドレス毎のパケット数もしくは送信IPアドレス毎のバイト数)を保持し、このカウンタ値の統計情報から異常検出する手法では、このような問題はなく、一部の送信IPアドレスのパケット数の変化の検出、また、変化を起こした送信IPアドレスの特定が可能である。
しかしながら、この方式では観測されるフィールド値の数と同じ数のカウンタを必要とし、多数のフィールド値が発生するトラヒックに、この方式を適用するためには、膨大な
メモリを必要とするため、実現が困難である。
しかしながら、総トラヒック量観測に基づく統計的異常検出では、総トラヒックの変化として現れないようなトラヒックデータ中の一部の変化による異常検出が困難、また、異常検出した後の異常原因特定が困難という問題がある。
一方、総トラヒック量監視ではなく、指定フィールド(例えば、送信IPアドレスフィールド)のフィールド値毎の指定カウンタ(例えば、送信IPアドレス毎のパケット数もしくは送信IPアドレス毎のバイト数)を保持し、このカウンタ値の統計情報から異常検出する手法では、このような問題はなく、一部の送信IPアドレスのパケット数の変化の検出、また、変化を起こした送信IPアドレスの特定が可能である。
しかしながら、この方式では観測されるフィールド値の数と同じ数のカウンタを必要とし、多数のフィールド値が発生するトラヒックに、この方式を適用するためには、膨大な
メモリを必要とするため、実現が困難である。
なお、本願発明に関連する先行技術文献としては以下のものがある。
特開2005-65294号公報
Robert Schweller,Ashish Gupta,Elliot Parsons,Yan Chen,"Reversible Sketches for Efficient and Accurate Change Detection over Network Data Streams,"Proceedings of the ACM SIGCOMM Internet Measurrment Conference;(IMC),Octber2004.
C.Estan and G.Varghese,"New directions in traffic measurement and accounting,"in Proc.ACM SIGCOMM,August 2002.
G.Cormode and S.Muthukrishnan. WHat's hot and what's not: Tracking most frequent items dynamically. In Proceeding of ACM Principles of Database sSystems,June 2003.
RFC 3577-Introduction to the Remote Monitoring(RMON)Family of MIB Modules
Benoit Claise,"NetFlow features update,"Proceedings of Sampling 2005,July 2005
前述した課題を解決するために、前述の特許文献1では、フィールド値毎のカウンタではなく、スケッチと呼ばれる、フィールド値をハッシュ関数等で固定領域の数値に変換した値毎のカウンタを持つことにより、多数のフィールド値のカウンタを固定サイズのメモリ容量で監視する方式を提案している。
しかしながら、この方式では、フィールド値がハッシュ関数によって変換されているため、異常検出した後に、異常原因となったフィールド値を特定するのが困難という問題がある。前述の非特許文献1において、この困難さを緩和する方法が提案されているものの、異常原因特定のために繰り返し演算が必要であり、計算量の面での課題が残る。
一方、トラヒック監視に重要な、カウンタ値が大きいフィールド値のみを、限られたメモリ容量で抽出する手法が、前述の非特許文献2、3で提案されている。
また、ネットワーク機器によっては、前述の非特許文献4、5に記載されているように、カウンタ値の大きい順の上位N個のフィールド値、およびそのカウンタ値を出力する方式を実装しているものもある。
しかしながら、この方式では、フィールド値がハッシュ関数によって変換されているため、異常検出した後に、異常原因となったフィールド値を特定するのが困難という問題がある。前述の非特許文献1において、この困難さを緩和する方法が提案されているものの、異常原因特定のために繰り返し演算が必要であり、計算量の面での課題が残る。
一方、トラヒック監視に重要な、カウンタ値が大きいフィールド値のみを、限られたメモリ容量で抽出する手法が、前述の非特許文献2、3で提案されている。
また、ネットワーク機器によっては、前述の非特許文献4、5に記載されているように、カウンタ値の大きい順の上位N個のフィールド値、およびそのカウンタ値を出力する方式を実装しているものもある。
しかし、これら上位Nフィールド値およびカウンタ値を抽出する手法では、ある時点における上位Nフィールド値およびカウンタ値データのスナップショットを提供するのみであり、時系列上の上位Nフィールド値データの異常を検出するものではない。
本発明は、前記従来技術の問題点を解決するためになされたものであり、本発明の目的は、少ないメモリ容量で監視可能であり、かつ、監視対象として重要な上位N個のフィールド値とカウンタ値のデータを監視し、その時系列上の異常を検出する異常トラヒック検出方法および装置を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
本発明は、前記従来技術の問題点を解決するためになされたものであり、本発明の目的は、少ないメモリ容量で監視可能であり、かつ、監視対象として重要な上位N個のフィールド値とカウンタ値のデータを監視し、その時系列上の異常を検出する異常トラヒック検出方法および装置を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、下記の通りである。
前述の目的を達成するために、本発明は、時系列トラヒックデータ中の異常を検出する異常トラヒック検出方法であって、トラヒックデータを取得する第1のステップと、監視対象となる少なくとも1つのフィールド、およびそのフィールドに対するカウンタの種類を指定する第2のステップと、取得したトラヒックデータから、予め定められた時間間隔で、指定されたフィールドの指定カウンタに対する上位N(N≧2)個のフィールド値、およびそのカウンタ値を算出する第3のステップと、算出した上位N個のフィールド値と、そのカウンタ値データを蓄積し、新規に算出されたデータと過去のデータとの類似度を
計算する第4のステップと、計算された類似度が、予め定められた閾値を下回っていれば異常として警報を発し、かつ類似度が低下した原因と推定されるフィールド値を抽出する第5のステップとを含むことを特徴とする。
また、本発明では、前記第4のステップにおいて算出する類似度が、新規に算出された上位Nフィールド値のカウンタ値と、当該フィールド値の過去のカウンタ値との相関係数に基づくものである。
前述の目的を達成するために、本発明は、時系列トラヒックデータ中の異常を検出する異常トラヒック検出方法であって、トラヒックデータを取得する第1のステップと、監視対象となる少なくとも1つのフィールド、およびそのフィールドに対するカウンタの種類を指定する第2のステップと、取得したトラヒックデータから、予め定められた時間間隔で、指定されたフィールドの指定カウンタに対する上位N(N≧2)個のフィールド値、およびそのカウンタ値を算出する第3のステップと、算出した上位N個のフィールド値と、そのカウンタ値データを蓄積し、新規に算出されたデータと過去のデータとの類似度を
計算する第4のステップと、計算された類似度が、予め定められた閾値を下回っていれば異常として警報を発し、かつ類似度が低下した原因と推定されるフィールド値を抽出する第5のステップとを含むことを特徴とする。
また、本発明では、前記第4のステップにおいて算出する類似度が、新規に算出された上位Nフィールド値のカウンタ値と、当該フィールド値の過去のカウンタ値との相関係数に基づくものである。
また、本発明では、前記第4のステップにおいて算出する類似度が、ある過去の監視期間における上位Nフィールド値のカウンタ値と、該フィールド値の新規算出されたカウンタ値との相関係数に基づくものである。
また、本発明では、前記第4のステップにおいて算出する類似度が、新規に算出された上位Nフィールド値のカウンタ値と、過去に算出された上位Nフィールド値の同一順位のカウンタ値との相関係数に基づくものである。
また、本発明では、前述の各方法において、前記の前記第4のステップにおいて算出する類似度として、前記相関係数に代えて、カウンタ値間の距離の和に基づくものを使用する。
また、本発明では、前記第4のステップにおいて算出する類似度が、新規に算出された上位Nフィールド値の順位と、当該フィールド値の過去の順位との相関係数に基づくものである。
また、本発明では、前記第4のステップにおいて算出する類似度が、ある過去の監視期間における上位Nフィールド値の順位と、該フィールド値の新規算出されたカウンタ値における順位との相関係数に基づくものである。
また、本発明では、前記第4のステップにおいて算出する類似度が、過去に算出されたデータから算出されたフィールド値毎のカウンタ値の時系列予測と、新規に算出された上位Nフィールド値のカウンタ値との誤差に基づくものである。
また、本発明では、前記第4のステップにおいて算出する類似度が、新規に算出された上位Nフィールド値のカウンタ値と、過去に算出された上位Nフィールド値の同一順位のカウンタ値との相関係数に基づくものである。
また、本発明では、前述の各方法において、前記の前記第4のステップにおいて算出する類似度として、前記相関係数に代えて、カウンタ値間の距離の和に基づくものを使用する。
また、本発明では、前記第4のステップにおいて算出する類似度が、新規に算出された上位Nフィールド値の順位と、当該フィールド値の過去の順位との相関係数に基づくものである。
また、本発明では、前記第4のステップにおいて算出する類似度が、ある過去の監視期間における上位Nフィールド値の順位と、該フィールド値の新規算出されたカウンタ値における順位との相関係数に基づくものである。
また、本発明では、前記第4のステップにおいて算出する類似度が、過去に算出されたデータから算出されたフィールド値毎のカウンタ値の時系列予測と、新規に算出された上位Nフィールド値のカウンタ値との誤差に基づくものである。
また、本発明では、前記第5のステップにおいて、上位Nフィールド値をカウンタ値間の距離に関して降順に並べた際に、上位のものから当該フィールド値のカウンタ値を類似度の算出から省いた場合に閾値を下回らなくなるフィールド値を、前記類似度が低下した原因のフィールド値として推定する。
また、本発明では、前記第5のステップにおいて、上位Nフィールド値を順位の距離に関して降順に並べた際に、上位のものから当該フィールド値の順位を類似度の算出から省いた場合に閾値を下回らなくなるフィールド値を、前記類似度が低下した原因のフィールド値として推定する。
また、本発明では、前記第5のステップにおいて、上位Nフィールド値毎のカウンタ値の時系列予測と、新規に算出された上位Nフィールド値のカウンタ値の誤差の距離に関して降順に並べた際に、上位のものから該フィールド値のカウンタ値を類似度の算出から省いた場合に閾値を下回らなくなるフィールド値を、前記類似度が低下した原因のフィールド値として推定する。
また、本発明は、前述の各異常トラヒック検出方法を実行する異常トラヒック検出装置である。
また、本発明では、前記第5のステップにおいて、上位Nフィールド値を順位の距離に関して降順に並べた際に、上位のものから当該フィールド値の順位を類似度の算出から省いた場合に閾値を下回らなくなるフィールド値を、前記類似度が低下した原因のフィールド値として推定する。
また、本発明では、前記第5のステップにおいて、上位Nフィールド値毎のカウンタ値の時系列予測と、新規に算出された上位Nフィールド値のカウンタ値の誤差の距離に関して降順に並べた際に、上位のものから該フィールド値のカウンタ値を類似度の算出から省いた場合に閾値を下回らなくなるフィールド値を、前記類似度が低下した原因のフィールド値として推定する。
また、本発明は、前述の各異常トラヒック検出方法を実行する異常トラヒック検出装置である。
本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば、下記の通りである。
本発明によれば、少ない容量のメモリで監視可能な上位N個のフィールド値およびそのカウンタ値データのみを監視することにより、それらデータの異常を検出し、かつ異常の原因となるフィールド値を検出することが可能となる。
本発明によれば、少ない容量のメモリで監視可能な上位N個のフィールド値およびそのカウンタ値データのみを監視することにより、それらデータの異常を検出し、かつ異常の原因となるフィールド値を検出することが可能となる。
以下、図面を参照して本発明の実施例を詳細に説明する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
図1は、本発明の実施例の異常トラヒック検出装置の基本構成を示すブロック図である。本実施例の異常トラヒック検出方法装置は、IPネットワーク中に配置される。
トラヒック取得部10は、ネットワーク内のリンク上、およびネットワーク内部のノード内で転送されるトラヒック情報を取得し、取得トラヒック情報を上位Nフィールド値算出部12に転送する。
フィールド、カウンタ種類指定部11は、上位Nフィールド値算出部12に対して、フィールド、カウンタ種類を指定する。ここで、フィールドの指定例としては、ヘッダ情報である発信IPアドレス、受信IPアドレス、{発信IPナドレス、受信IPアドレス、プロトコル、発信ポート番号、受信ポート番号}の組(通常フローと呼ばれる)や、ペイロード情報であるURI、DNSドメイン名が挙げられる。
カウンタ種類の指定例としては、パケット数、バイト数、発信・受信IPアドレスのフィールド値に対しては、フロー数、URI、DNSドメイン名等のフィールド値に対しては、発信IPアドレス数などが挙げられる。
上位Nフィールド値算出部12は、トラヒック取得部10からのトラヒック情報を受け、フィールド、カウンタ種類指定部11から指示された、指定フィールドの指定カウンタ
に関する上位N個のフィールド値、カウンタ値の組を算出する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
図1は、本発明の実施例の異常トラヒック検出装置の基本構成を示すブロック図である。本実施例の異常トラヒック検出方法装置は、IPネットワーク中に配置される。
トラヒック取得部10は、ネットワーク内のリンク上、およびネットワーク内部のノード内で転送されるトラヒック情報を取得し、取得トラヒック情報を上位Nフィールド値算出部12に転送する。
フィールド、カウンタ種類指定部11は、上位Nフィールド値算出部12に対して、フィールド、カウンタ種類を指定する。ここで、フィールドの指定例としては、ヘッダ情報である発信IPアドレス、受信IPアドレス、{発信IPナドレス、受信IPアドレス、プロトコル、発信ポート番号、受信ポート番号}の組(通常フローと呼ばれる)や、ペイロード情報であるURI、DNSドメイン名が挙げられる。
カウンタ種類の指定例としては、パケット数、バイト数、発信・受信IPアドレスのフィールド値に対しては、フロー数、URI、DNSドメイン名等のフィールド値に対しては、発信IPアドレス数などが挙げられる。
上位Nフィールド値算出部12は、トラヒック取得部10からのトラヒック情報を受け、フィールド、カウンタ種類指定部11から指示された、指定フィールドの指定カウンタ
に関する上位N個のフィールド値、カウンタ値の組を算出する。
図2に、指定フィールドとして、発信IPアドレス、カウンタ値としてパケット数を指定した場合の上位Nフィールド値算出部12の出力の一例を示す。ここでは、N=5、出力間隔5分間としている。
類似度算出部13は、出力された上位N個のフィールド値とそのカウンタ値のデータを過去のデータと比較し、最新のデータが過去データとどの程度類似しているかを算出する。 類似度の算出方法は様々な方法が考えられるが、本実施例では、過去データとの相関係数を用いている。
以下、類似度の算出方法の一例について説明する。
時間スロット(t)におけるランキングi位のフィールド値をf(i,t)とし、時間スロット(t)におけるフィールド値fのカウンタ値をc(f,t)とする。
したがって、図2の例では、f(1,1)=192.168.0.1,f(1,2)=192.168.0.2であり、c(f(1,1),1)=5000,c(f(1,1),2)=6000となる。
このとき、本実施例の第2の方法では、時間スロット(t)の上位N(Nは自然数で、N≧2)個のフィールド値のそのカウンタ値データと、直近データである時間スロット(t−1)のデータとの相関係数r(t,t−1)を、下記(1)式を用いて計算する。
類似度算出部13は、出力された上位N個のフィールド値とそのカウンタ値のデータを過去のデータと比較し、最新のデータが過去データとどの程度類似しているかを算出する。 類似度の算出方法は様々な方法が考えられるが、本実施例では、過去データとの相関係数を用いている。
以下、類似度の算出方法の一例について説明する。
時間スロット(t)におけるランキングi位のフィールド値をf(i,t)とし、時間スロット(t)におけるフィールド値fのカウンタ値をc(f,t)とする。
したがって、図2の例では、f(1,1)=192.168.0.1,f(1,2)=192.168.0.2であり、c(f(1,1),1)=5000,c(f(1,1),2)=6000となる。
このとき、本実施例の第2の方法では、時間スロット(t)の上位N(Nは自然数で、N≧2)個のフィールド値のそのカウンタ値データと、直近データである時間スロット(t−1)のデータとの相関係数r(t,t−1)を、下記(1)式を用いて計算する。
前述の(1)式で示されるように、相関係数は、「−1」から「1」の値をとり、時刻スロット(t,t−1)において、上位N個のフィールド値およびそのカウンタ値が同一であれば、相関係数r(t,t−1)は「1」である。したがって、相関係数が「1」に近いほど類似していることを示す。
なお、例えば、図2における時刻スロット3の1位のフィールド値”10.0.0.1”に対する時刻スロット2におけるカウンタ値のように、時刻スロット(t)には上位N個に現れたフィールド値が、時刻スロット(t−1)には上位N個以内には存在せず、対応するカウンタ値データが存在しないことも考えられる。その場合は、例えば、そのようなカウンタ値を「0」として相関係数を計算する方法が考えられる。
図3は、図2の例における時刻スロット2と、時刻スロット3のカウンタ値を図示したものである。
通常のトラヒックでは、一定間隔で算出した上位N個のフィールド値とそのカウンタ値データは、その他のフィールド値とそのカウンタ値データと比較して、大数の法則により変化が少なく、互いに類似していることが予想される。
図4は、ある24時間のトラヒックデータの上位100フィールド値のデータについて、隣り合う時刻スロット間の相関係数r(t,t−1)の時系列を示したものである。
殆どの時刻で予想される通り、上位100個のデータは類似しており、相関係数は、(0.95〜1)の間であるが、3時および20時付近に相関係数の急激な落ち込みが見られる。 これは、この時間帯に他の時間帯では下位に存在したフィールド値が、急激に上位に現れたためである。
なお、例えば、図2における時刻スロット3の1位のフィールド値”10.0.0.1”に対する時刻スロット2におけるカウンタ値のように、時刻スロット(t)には上位N個に現れたフィールド値が、時刻スロット(t−1)には上位N個以内には存在せず、対応するカウンタ値データが存在しないことも考えられる。その場合は、例えば、そのようなカウンタ値を「0」として相関係数を計算する方法が考えられる。
図3は、図2の例における時刻スロット2と、時刻スロット3のカウンタ値を図示したものである。
通常のトラヒックでは、一定間隔で算出した上位N個のフィールド値とそのカウンタ値データは、その他のフィールド値とそのカウンタ値データと比較して、大数の法則により変化が少なく、互いに類似していることが予想される。
図4は、ある24時間のトラヒックデータの上位100フィールド値のデータについて、隣り合う時刻スロット間の相関係数r(t,t−1)の時系列を示したものである。
殆どの時刻で予想される通り、上位100個のデータは類似しており、相関係数は、(0.95〜1)の間であるが、3時および20時付近に相関係数の急激な落ち込みが見られる。 これは、この時間帯に他の時間帯では下位に存在したフィールド値が、急激に上位に現れたためである。
一方、過去データに現れた上位N個のフィールド値が新規データになかった場合の異常を検出するためには、過去の上位Nフィールド値に基づくカウンタ値の相関係数を計算する必要がある。本実施例の第3の方法(本願の請求項1に記載の方法)はそのような相関係数を計算する手法である。
また、短時間で発生終了するフローなどのフィールドの場合、上位Nフィールド値の変動は大きいが、対応するカウンタ値は比較的変動が小さいことが予想される。この場合は、フィールド値を固定して、対応する過去と新規のカウンタ値の相関係数を比較するより、それぞれ順位を固定して、対応する過去と新規のカウンタ値の相関係数を比較する方法が有効な場合も考えられる。
本実施例の第4の方法(本願の請求項2に記載の方法)においては、このような場合において各順位の対応するカウンタ値の相関係数を用いる。
本実施例の第5の方法(本願の請求項3に記載の方法)においては、前述の第2,3,4の方法において、相関係数でなく、過去と新規データにおけるカウンタ値間の差の絶対値の和の逆数を用いるものである。本方法は、相関係数のように、「−1」から「1」に正規化した類似度ではなく、カウンタ値の差の絶対値を重視した異常検出を実施したい場合に有用である。
また、短時間で発生終了するフローなどのフィールドの場合、上位Nフィールド値の変動は大きいが、対応するカウンタ値は比較的変動が小さいことが予想される。この場合は、フィールド値を固定して、対応する過去と新規のカウンタ値の相関係数を比較するより、それぞれ順位を固定して、対応する過去と新規のカウンタ値の相関係数を比較する方法が有効な場合も考えられる。
本実施例の第4の方法(本願の請求項2に記載の方法)においては、このような場合において各順位の対応するカウンタ値の相関係数を用いる。
本実施例の第5の方法(本願の請求項3に記載の方法)においては、前述の第2,3,4の方法において、相関係数でなく、過去と新規データにおけるカウンタ値間の差の絶対値の和の逆数を用いるものである。本方法は、相関係数のように、「−1」から「1」に正規化した類似度ではなく、カウンタ値の差の絶対値を重視した異常検出を実施したい場合に有用である。
また、上位Nフィールド値は得られるが、そのカウンタ値が得られない場合、得られるが変動が大きい場合等はカウンタ値ではなく、順位の変動を用いる方法も考えられる。
本実施例の第6の方法(本願の請求項4に記載の方法)は、このような場合において、カウンタ値を利用せずに順位に基づく異常検出を行うものである。
ここで、時間スロット(t)におけるランキングi位のフィールド値をf(i,t)とし、時間スロット(t)の上位N(Nは自然数で、N≧2)個のフィールド値の順位をr(f、t)とするとき、順位の相関係数rc(t,t−1)は、下記(4)式で計算される。 さらに、過去データに現れた上位N個のフィールド値が新規データになかった場合の異常を検出するためには、過去の上位Nフィールド値に基づく順位の相関係数を計算する必要がある。本実施例の第7の方法(本願の請求項5に記載の方法)は、そのような順位の
相関係数を計算する方法である。
本実施例の第6の方法(本願の請求項4に記載の方法)は、このような場合において、カウンタ値を利用せずに順位に基づく異常検出を行うものである。
ここで、時間スロット(t)におけるランキングi位のフィールド値をf(i,t)とし、時間スロット(t)の上位N(Nは自然数で、N≧2)個のフィールド値の順位をr(f、t)とするとき、順位の相関係数rc(t,t−1)は、下記(4)式で計算される。 さらに、過去データに現れた上位N個のフィールド値が新規データになかった場合の異常を検出するためには、過去の上位Nフィールド値に基づく順位の相関係数を計算する必要がある。本実施例の第7の方法(本願の請求項5に記載の方法)は、そのような順位の
相関係数を計算する方法である。
本方法は、線形予測モデルを生成するために計算量が多くなる反面、トレンド、周期変動等を異常検出の対象から除くことが出来ると期待される。
異常判定、異常原因特定部14では、類似度算出部13が出力した類似度が、予め定められた閾値を下回っていないかを比較し、下回っている場合は警報を発する。
閾値の定め方の一例としては、過去の類似度のデータから統計分布を生成し、その99%値を閾値とする方法が考えられる。さらに、閾値を下回っている場合は、その原因と推定されるフィールド値を抽出する。
抽出方法の一例として、本実施例の第9の方法(本願の請求項7に記載の方法)では、過去と新規のカウンタ値の差の絶対値に関して降順に並べた際に、上位のものから当該フィールド値のカウンタ値を類似度の算出から省いた場合に閾値を下回らなくなるフィールド値を、類似度が低下した原因のフィールド値として推定する。
図3の例では、傾き1の直線から最も離れているフィールド値から類似度低下原因のフィールド値かどうかを計算することになり、まずフィールド値”10.0.0.1”が類似度低下原因となっているかどうかを計算することになる。
また、本実施例の第10の方法(本願の請求項8に記載の方法)では、上位Nフィールド値を順位の距離に関して降順に並べた際に、上位のものから当該フィールド値の順位を類似度の算出から省いた場合に閾値を下回らなくなるフィールド値を、前記類似度が低下した原因のフィールド値として推定する。
閾値の定め方の一例としては、過去の類似度のデータから統計分布を生成し、その99%値を閾値とする方法が考えられる。さらに、閾値を下回っている場合は、その原因と推定されるフィールド値を抽出する。
抽出方法の一例として、本実施例の第9の方法(本願の請求項7に記載の方法)では、過去と新規のカウンタ値の差の絶対値に関して降順に並べた際に、上位のものから当該フィールド値のカウンタ値を類似度の算出から省いた場合に閾値を下回らなくなるフィールド値を、類似度が低下した原因のフィールド値として推定する。
図3の例では、傾き1の直線から最も離れているフィールド値から類似度低下原因のフィールド値かどうかを計算することになり、まずフィールド値”10.0.0.1”が類似度低下原因となっているかどうかを計算することになる。
また、本実施例の第10の方法(本願の請求項8に記載の方法)では、上位Nフィールド値を順位の距離に関して降順に並べた際に、上位のものから当該フィールド値の順位を類似度の算出から省いた場合に閾値を下回らなくなるフィールド値を、前記類似度が低下した原因のフィールド値として推定する。
さらに、本実施例の第11の方法(本願の請求項9に記載の方法)では、上位Nフィールド値毎のカウンタ値の時系列予測と、新規に算出された上位Nフィールド値のカウンタ値の誤差の距離に関して降順に並べた際に、上位のものから該フィールド値のカウンタ値を類似度の算出から省いた場合に閾値を下回らなくなるフィールド値を、前記類似度が低下した原因のフィールド値として推定する。
通常のトラヒックでは、一定間隔で算出した上位N個のフィールド値とそのカウンタ値データは、その他のフィールド値とそのカウンタ値データと比較して、大数の法則により変化が少なく、互いに類似していることが予想される。
従って、本実施例によれば、過去のデータとの類似度を監視することにより、上位N個のフィールド値とそのカウンタ値データに異常があった場合、類似度の低下をもって比較的容易に統計的異常度を検出でき、かつその要因となるフィールド値の検出も容易という利点がある。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
通常のトラヒックでは、一定間隔で算出した上位N個のフィールド値とそのカウンタ値データは、その他のフィールド値とそのカウンタ値データと比較して、大数の法則により変化が少なく、互いに類似していることが予想される。
従って、本実施例によれば、過去のデータとの類似度を監視することにより、上位N個のフィールド値とそのカウンタ値データに異常があった場合、類似度の低下をもって比較的容易に統計的異常度を検出でき、かつその要因となるフィールド値の検出も容易という利点がある。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
10 トラヒック取得部
11 フィールド、カウンタ種類指定部
12 上位Nフィールド値算出部
13 類似度算出部
14 異常判定、異常原因特定部
11 フィールド、カウンタ種類指定部
12 上位Nフィールド値算出部
13 類似度算出部
14 異常判定、異常原因特定部
Claims (18)
- 時系列トラヒックデータ中の異常を検出する異常トラヒック検出方法であって、
トラヒックデータを取得する第1のステップと、
監視対象となる少なくとも1つのフィールド、およびそのフィールドに対するカウンタの種類を指定する第2のステップと、
取得したトラヒックデータから、予め定められた時間間隔で、指定されたフィールドの指定カウンタに対する上位N(N≧2)個のフィールド値、およびそのカウンタ値を算出する第3のステップと、
算出した上位N個のフィールド値と、そのカウンタ値データを蓄積し、新規に算出されたデータと過去のデータとの類似度を、ある過去の監視期間における上位Nフィールド値のカウンタ値と、該フィールド値の新規算出されたカウンタ値との相関係数に基づいて計算する第4のステップと、
計算された類似度が、予め定められた閾値を下回っていれば異常として警報を発し、かつ類似度が低下した原因と推定されるフィールド値を抽出する第5のステップとを含むことを特徴とする異常トラヒック検出方法。 - 時系列トラヒックデータ中の異常を検出する異常トラヒック検出方法であって、
トラヒックデータを取得する第1のステップと、
監視対象となる少なくとも1つのフィールド、およびそのフィールドに対するカウンタの種類を指定する第2のステップと、
取得したトラヒックデータから、予め定められた時間間隔で、指定されたフィールドの指定カウンタに対する上位N(N≧2)個のフィールド値、およびそのカウンタ値を算出する第3のステップと、
算出した上位N個のフィールド値と、そのカウンタ値データを蓄積し、新規に算出されたデータと過去のデータとの類似度を、新規に算出された上位Nフィールド値のカウンタ値と、過去に算出された上位Nフィールド値の同一順位のカウンタ値との相関係数に基づいて計算する第4のステップと、
計算された類似度が、予め定められた閾値を下回っていれば異常として警報を発し、かつ類似度が低下した原因と推定されるフィールド値を抽出する第5のステップとを含むことを特徴とする異常トラヒック検出方法。 - 前記第4のステップにおいて算出する類似度として、前記相関係数に代えて、カウンタ値間の距離の和に基づくものを使用することを特徴とする請求項1または請求項2に記載の異常トラヒック検出方法。
- 時系列トラヒックデータ中の異常を検出する異常トラヒック検出方法であって、
トラヒックデータを取得する第1のステップと、
監視対象となる少なくとも1つのフィールド、およびそのフィールドに対するカウンタの種類を指定する第2のステップと、
取得したトラヒックデータから、予め定められた時間間隔で、指定されたフィールドの指定カウンタに対する上位N(N≧2)個のフィールド値、およびそのカウンタ値を算出する第3のステップと、
算出した上位N個のフィールド値と、そのカウンタ値データを蓄積し、新規に算出されたデータと過去のデータとの類似度を、新規に算出された上位Nフィールド値の順位と、当該フィールド値の過去の順位との相関係数に基づいて計算する第4のステップと、
計算された類似度が、予め定められた閾値を下回っていれば異常として警報を発し、かつ類似度が低下した原因と推定されるフィールド値を抽出する第5のステップとを含むことを特徴とする異常トラヒック検出方法。 - 時系列トラヒックデータ中の異常を検出する異常トラヒック検出方法であって、
トラヒックデータを取得する第1のステップと、
監視対象となる少なくとも1つのフィールド、およびそのフィールドに対するカウンタの種類を指定する第2のステップと、
取得したトラヒックデータから、予め定められた時間間隔で、指定されたフィールドの指定カウンタに対する上位N(N≧2)個のフィールド値、およびそのカウンタ値を算出する第3のステップと、
算出した上位N個のフィールド値と、そのカウンタ値データを蓄積し、新規に算出されたデータと過去のデータとの類似度を、ある過去の監視期間における上位Nフィールド値の順位と、該フィールド値の新規算出されたカウンタ値における順位との相関係数に基づいて計算する第4のステップと、
計算された類似度が、予め定められた閾値を下回っていれば異常として警報を発し、かつ類似度が低下した原因と推定されるフィールド値を抽出する第5のステップとを含むことを特徴とする異常トラヒック検出方法。 - 時系列トラヒックデータ中の異常を検出する異常トラヒック検出方法であって、
トラヒックデータを取得する第1のステップと、
監視対象となる少なくとも1つのフィールド、およびそのフィールドに対するカウンタの種類を指定する第2のステップと、
取得したトラヒックデータから、予め定められた時間間隔で、指定されたフィールドの指定カウンタに対する上位N(N≧2)個のフィールド値、およびそのカウンタ値を算出する第3のステップと、
算出した上位N個のフィールド値と、そのカウンタ値データを蓄積し、新規に算出されたデータと過去のデータとの類似度を、過去に算出されたデータから算出されたフィールド値毎のカウンタ値の時系列予測と、新規に算出された上位Nフィールド値のカウンタ値との誤差に基づいて計算する第4のステップと、
計算された類似度が、予め定められた閾値を下回っていれば異常として警報を発し、かつ類似度が低下した原因と推定されるフィールド値を抽出する第5のステップとを含むことを特徴とする異常トラヒック検出方法。 - 前記第5のステップにおいて、上位Nフィールド値をカウンタ値間の距離に関して降順に並べた際に、上位のものから当該フィールド値のカウンタ値を類似度の算出から省いた場合に閾値を下回らなくなるフィールド値を、前記類似度が低下した原因のフィールド値として推定することを特徴とする請求項1ないし請求項3のいずれか1項に記載の異常トラヒック検出方法。
- 前記第5のステップにおいて、上位Nフィールド値を順位の距離に関して降順に並べた際に、上位のものから当該フィールド値の順位を類似度の算出から省いた場合に閾値を下回らなくなるフィールド値を、前記類似度が低下した原因のフィールド値として推定することを特徴とする請求項4または請求項5に記載の異常トラヒック検出方法。
- 前記第5のステップにおいて、上位Nフィールド値毎のカウンタ値の時系列予測と、新規に算出された上位Nフィールド値のカウンタ値の誤差の距離に関して降順に並べた際に、上位のものから該フィールド値のカウンタ値を類似度の算出から省いた場合に閾値を下回らなくなるフィールド値を、前記類似度が低下した原因のフィールド値として推定することを特徴とする請求項6に記載の異常トラヒック検出方法。
- 時系列トラヒックデータ中の異常を検出する異常トラヒック検出装置であって、
トラヒックデータを取得する手段と、
監視対象となる少なくとも1つのフィールド、およびそのフィールドに対するカウンタの種類を指定する手段と、
取得したトラヒックデータから、予め定められた時間間隔で、指定されたフィールドの指定カウンタに対する上位(N≧2)個のフィールド値、およびそのカウンタ値を算出する手段と、
算出した上位N個のフィールド値とそのカウンタ値データを蓄積し、新規に算出されたデータと過去のデータとの類似度を、ある過去の監視期間における上位Nフィールド値のカウンタ値と、該フィールド値の新規算出されたカウンタ値との相関係数に基づいて計算する手段と、
計算された類似度が、予め定められた閾値を下回っていれば異常として警報を発し、かつ類似度が低下した原因と推定されるフィールド値を抽出する手段とを含むことを特徴とする異常トラヒック検出装置。 - 時系列トラヒックデータ中の異常を検出する異常トラヒック検出装置であって、
トラヒックデータを取得する手段と、
監視対象となる少なくとも1つのフィールド、およびそのフィールドに対するカウンタの種類を指定する手段と、
取得したトラヒックデータから、予め定められた時間間隔で、指定されたフィールドの指定カウンタに対する上位(N≧2)個のフィールド値、およびそのカウンタ値を算出する手段と、
算出した上位N個のフィールド値とそのカウンタ値データを蓄積し、新規に算出されたデータと過去のデータとの類似度を、新規に算出された上位Nフィールド値のカウンタ値と、過去に算出された上位Nフィールド値の同一順位のカウンタ値との相関係数に基づいて計算する手段と、
計算された類似度が、予め定められた閾値を下回っていれば異常として警報を発し、かつ類似度が低下した原因と推定されるフィールド値を抽出する手段とを含むことを特徴とする異常トラヒック検出装置。 - 前記類似度を算出する手段は、前記相関係数に代えて、カウンタ値間の距離の和に基づくものを使用することを特徴とする請求項10または請求項11に記載の異常トラヒック検出装置。
- 時系列トラヒックデータ中の異常を検出する異常トラヒック検出装置であって、
トラヒックデータを取得する手段と、
監視対象となる少なくとも1つのフィールド、およびそのフィールドに対するカウンタの種類を指定する手段と、
取得したトラヒックデータから、予め定められた時間間隔で、指定されたフィールドの指定カウンタに対する上位(N≧2)個のフィールド値、およびそのカウンタ値を算出する手段と、
算出した上位N個のフィールド値とそのカウンタ値データを蓄積し、新規に算出されたデータと過去のデータとの類似度を、新規に算出された上位Nフィールド値の順位と、当該フィールド値の過去の順位との相関係数に基づいて計算する手段と、
計算された類似度が、予め定められた閾値を下回っていれば異常として警報を発し、かつ類似度が低下した原因と推定されるフィールド値を抽出する手段とを含むことを特徴とする異常トラヒック検出装置。 - 時系列トラヒックデータ中の異常を検出する異常トラヒック検出装置であって、
トラヒックデータを取得する手段と、
監視対象となる少なくとも1つのフィールド、およびそのフィールドに対するカウンタの種類を指定する手段と、
取得したトラヒックデータから、予め定められた時間間隔で、指定されたフィールドの指定カウンタに対する上位(N≧2)個のフィールド値、およびそのカウンタ値を算出する手段と、
算出した上位N個のフィールド値とそのカウンタ値データを蓄積し、新規に算出されたデータと過去のデータとの類似度を、ある過去の監視期間における上位Nフィールド値の順位と、該フィールド値の新規算出されたカウンタ値における順位との相関係数に基づいて計算する手段と、
計算された類似度が、予め定められた閾値を下回っていれば異常として警報を発し、かつ類似度が低下した原因と推定されるフィールド値を抽出する手段とを含むことを特徴とする異常トラヒック検出装置。 - 時系列トラヒックデータ中の異常を検出する異常トラヒック検出装置であって、
トラヒックデータを取得する手段と、
監視対象となる少なくとも1つのフィールド、およびそのフィールドに対するカウンタの種類を指定する手段と、
取得したトラヒックデータから、予め定められた時間間隔で、指定されたフィールドの指定カウンタに対する上位(N≧2)個のフィールド値、およびそのカウンタ値を算出する手段と、
算出した上位N個のフィールド値とそのカウンタ値データを蓄積し、新規に算出されたデータと過去のデータとの類似度を、過去に算出されたデータから算出されたフィールド値毎のカウンタ値の時系列予測と、新規に算出された上位Nフィールド値のカウンタ値との誤差に基づいて計算する手段と、
計算された類似度が、予め定められた閾値を下回っていれば異常として警報を発し、かつ類似度が低下した原因と推定されるフィールド値を抽出する手段とを含むことを特徴とする異常トラヒック検出装置。 - 前記類似度が低下した原因と推定されるフィールド値を抽出する手段は、上位Nフィールド値をカウンタ値間の距離に関して降順に並べた際に、上位のものから当該フィールド値のカウンタ値を類似度の算出から省いた場合に閾値を下回らなくなるフィールド値を、前記類似度が低下した原因のフィールド値として推定することを特徴とする請求項10ないし請求項12のいずれか1項に記載の異常トラヒック検出装置。
- 前記類似度が低下した原因と推定されるフィールド値を抽出する手段は、上位Nフィールド値を順位の距離に関して降順に並べた際に、上位のものから当該フィールド値の順位を類似度の算出から省いた場合に閾値を下回らなくなるフィールド値を、前記類似度が低下した原因のフィールド値として推定することを特徴とする請求項13または請求項14に記載の異常トラヒック検出装置。
- 前記類似度が低下した原因と推定されるフィールド値を抽出する手段は、上位Nフィールド値毎のカウンタ値の時系列予測と、新規に算出された上位Nフィールド値のカウンタ値の誤差の距離に関して降順に並べた際に、上位のものから該フィールド値のカウンタ値を類似度の算出から省いた場合に閾値を下回らなくなるフィールド値を、前記類似度が低下した原因のフィールド値として推定することを特徴とする請求項15に記載の異常トラヒック検出装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008063596A JP4559500B2 (ja) | 2008-03-13 | 2008-03-13 | 異常トラヒック検出方法及び装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008063596A JP4559500B2 (ja) | 2008-03-13 | 2008-03-13 | 異常トラヒック検出方法及び装置 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005364484A Division JP4112584B2 (ja) | 2005-12-19 | 2005-12-19 | 異常トラヒック検出方法及び装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008167484A true JP2008167484A (ja) | 2008-07-17 |
| JP4559500B2 JP4559500B2 (ja) | 2010-10-06 |
Family
ID=39696206
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008063596A Expired - Lifetime JP4559500B2 (ja) | 2008-03-13 | 2008-03-13 | 異常トラヒック検出方法及び装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4559500B2 (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010103673A (ja) * | 2008-10-22 | 2010-05-06 | Kddi Corp | 情報処理装置およびプログラム |
| JP2011172105A (ja) * | 2010-02-19 | 2011-09-01 | Nippon Telegr & Teleph Corp <Ntt> | トラヒック変動監視装置、トラヒック変動監視方法、およびトラヒック変動監視システム |
| JP2014099777A (ja) * | 2012-11-15 | 2014-05-29 | Hitachi Ltd | ネットワーク異常検知システム、および、計測装置、分析装置 |
| JP2014138271A (ja) * | 2013-01-16 | 2014-07-28 | Fujitsu Ltd | 通信監視装置、発生予測方法及び発生予測プログラム |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11177549A (ja) * | 1997-12-09 | 1999-07-02 | Fujitsu Ltd | トラフィック監視装置及びトラフィック監視方法 |
| JP2002084278A (ja) * | 2000-09-06 | 2002-03-22 | Kddi Corp | 経路別トラヒック解析方法 |
| JP2007173907A (ja) * | 2005-12-19 | 2007-07-05 | Nippon Telegr & Teleph Corp <Ntt> | 異常トラヒック検出方法及び装置 |
-
2008
- 2008-03-13 JP JP2008063596A patent/JP4559500B2/ja not_active Expired - Lifetime
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11177549A (ja) * | 1997-12-09 | 1999-07-02 | Fujitsu Ltd | トラフィック監視装置及びトラフィック監視方法 |
| JP2002084278A (ja) * | 2000-09-06 | 2002-03-22 | Kddi Corp | 経路別トラヒック解析方法 |
| JP2007173907A (ja) * | 2005-12-19 | 2007-07-05 | Nippon Telegr & Teleph Corp <Ntt> | 異常トラヒック検出方法及び装置 |
| JP4112584B2 (ja) * | 2005-12-19 | 2008-07-02 | 日本電信電話株式会社 | 異常トラヒック検出方法及び装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010103673A (ja) * | 2008-10-22 | 2010-05-06 | Kddi Corp | 情報処理装置およびプログラム |
| JP2011172105A (ja) * | 2010-02-19 | 2011-09-01 | Nippon Telegr & Teleph Corp <Ntt> | トラヒック変動監視装置、トラヒック変動監視方法、およびトラヒック変動監視システム |
| JP2014099777A (ja) * | 2012-11-15 | 2014-05-29 | Hitachi Ltd | ネットワーク異常検知システム、および、計測装置、分析装置 |
| JP2014138271A (ja) * | 2013-01-16 | 2014-07-28 | Fujitsu Ltd | 通信監視装置、発生予測方法及び発生予測プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4559500B2 (ja) | 2010-10-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Hamza et al. | Detecting volumetric attacks on lot devices via sdn-based monitoring of mud activity | |
| Pena et al. | Anomaly detection using forecasting methods arima and hwds | |
| Huang et al. | Communication-efficient online detection of network-wide anomalies | |
| JP6184270B2 (ja) | 将来のネットワーク攻撃を検知及び予測するために、様々な指標と過去の攻撃事例を相関させ、攻撃に関する指標のプロファイルを作成するシステム及び方法 | |
| Teixeira et al. | Traffic matrix reloaded: Impact of routing changes | |
| US7716011B2 (en) | Strategies for identifying anomalies in time-series data | |
| JP2005065294A (ja) | ネットワーク・トラフィックにおける変更のスケッチベースの検出方法および装置 | |
| JP4112584B2 (ja) | 異常トラヒック検出方法及び装置 | |
| US10637756B2 (en) | Traffic analytics service for telemetry routers and monitoring systems | |
| JP2004348740A (ja) | 異常検出のための自己学習方法及びシステム | |
| KR101187023B1 (ko) | 네트워크 비정상 트래픽 분석시스템 | |
| JP4232828B2 (ja) | アプリケーション分類方法、ネットワーク異常検知方法、アプリケーション分類プログラム、ネットワーク異常検知プログラム、アプリケーション分類装置、ネットワーク異常検知装置 | |
| CN101485145A (zh) | 利用滤波和改变检测进行数据传送路径评估 | |
| De Oca et al. | A cusum change-point detection algorithm for non-stationary sequences with application to data network surveillance | |
| JP4559500B2 (ja) | 異常トラヒック検出方法及び装置 | |
| Popa et al. | Using traffic self-similarity for network anomalies detection | |
| Gong et al. | Zoom2net: Constrained network telemetry imputation | |
| JP5310094B2 (ja) | 異常検出システム、異常検出方法および異常検出用プログラム | |
| JP2005223847A (ja) | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム | |
| JP6781776B2 (ja) | 特徴量生成装置、特徴量生成方法及びプログラム | |
| Liang et al. | Study on the Characteristics of Network Traffic based on STFT | |
| JP5511562B2 (ja) | トラヒック変動量推定装置、トラヒック管理装置、トラヒック分配装置、及び方法 | |
| James et al. | Decoupling non-stationary and stationary components in long range network time series in the context of anomaly detection | |
| Lee et al. | Fast traffic anomalies detection using SNMP MIB correlation analysis | |
| JP6577893B2 (ja) | 同期判定装置及び同期判定プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20090709 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20090909 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100205 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A132 Effective date: 20100308 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100506 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100714 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100722 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4559500 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130730 Year of fee payment: 3 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |