JP6629174B2 - Communication monitoring device, communication monitoring method, and communication monitoring program - Google Patents
Communication monitoring device, communication monitoring method, and communication monitoring program Download PDFInfo
- Publication number
- JP6629174B2 JP6629174B2 JP2016235842A JP2016235842A JP6629174B2 JP 6629174 B2 JP6629174 B2 JP 6629174B2 JP 2016235842 A JP2016235842 A JP 2016235842A JP 2016235842 A JP2016235842 A JP 2016235842A JP 6629174 B2 JP6629174 B2 JP 6629174B2
- Authority
- JP
- Japan
- Prior art keywords
- router
- communication
- candidate
- network
- victim host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、大量通信による攻撃を検知する通信監視装置、通信監視方法及び通信監視プログラムに関する。 The present invention relates to a communication monitoring device, a communication monitoring method, and a communication monitoring program for detecting an attack by mass communication.
従来、複数の端末から大量の通信パケットを送信してサービスを妨害するDDoS(Distributed Denial of Service)攻撃が課題となっている。このような攻撃を検知し対処するためには、ネットワーク上のルータ等に監視装置を設置し、通信量が著しく大きい場合に攻撃と判定して、問題の原因となっている通信を廃棄するという方法が取られる。 2. Description of the Related Art Conventionally, a DDoS (Distributed Denial of Service) attack in which a large number of communication packets are transmitted from a plurality of terminals to interrupt a service has been an issue. In order to detect and deal with such attacks, a monitoring device is installed on a router or the like on the network, and if the traffic is extremely large, it is determined that the attack is an attack and the communication causing the problem is discarded. The method is taken.
このような監視装置は、IPパケットのヘッダ情報であるNetFlow又はsFlowと呼ばれるフロー情報を監視して、攻撃を判定している(例えば、非特許文献1及び2参照)。
また、攻撃の検知には、以下の判定条件が利用されている。
(条件1)通信量が予め決められた閾値を上回る。
(条件2)通信量が過去の水準を上回る。
(条件3)通信に含まれるプロトコルに異常が見られる。
(条件4)パケットのペイロードを分析した結果、アプリケーションレイヤに異常がある。
(条件5)ダークIPと呼ばれる未使用のIPアドレスが送信元になっている。
(条件6)ウィルス等が悪用していると考えられる所定のIPアドレスが送信元になっている。
Such a monitoring device determines an attack by monitoring flow information called NetFlow or sFlow, which is header information of an IP packet (for example, see Non-Patent Documents 1 and 2).
The following determination conditions are used for detecting an attack.
(Condition 1) The traffic exceeds a predetermined threshold.
(Condition 2) The traffic exceeds the past level.
(Condition 3) An error is found in the protocol included in the communication.
(Condition 4) As a result of analyzing the payload of the packet, there is an abnormality in the application layer.
(Condition 5) An unused IP address called a dark IP is a transmission source.
(Condition 6) A predetermined IP address considered to be abused by a virus or the like is the transmission source.
ネットワーク運用の観点では、大量通信が不正に実施されたか否かという観点での検知精度が求められず、運用に影響を及ぼす又は障害につながる可能性が高いか否かという観点での検知精度が求められる。しかしながら、従来の攻撃検知方法では、不正に発生させた通信か否かという観点に基づいて攻撃検知を行っているため、ネットワーク運用の観点から検知する必要がない攻撃を検知してしまったり、検知すべき攻撃を見逃してしまったりする場合があり、実被害又は実影響に基づいた高い検知精度を得られなかった。 From the viewpoint of network operation, detection accuracy is not required in terms of whether or not a large amount of communication has been illegally performed, and detection accuracy in terms of whether it is likely to affect operation or lead to failure is high. Desired. However, conventional attack detection methods detect attacks based on the viewpoint of whether or not the communication was generated illegally, so that attacks that need not be detected from the viewpoint of network operation may be detected or detected. In some cases, an attack to be missed may be missed, and high detection accuracy based on actual damage or actual effect cannot be obtained.
本発明は、ネットワーク設備に影響を与える可能性が高い攻撃を高精度に検知できる通信監視装置、通信監視方法及び通信監視プログラムを提供することを目的とする。 An object of the present invention is to provide a communication monitoring device, a communication monitoring method, and a communication monitoring program that can accurately detect an attack likely to affect network equipment.
本発明に係る通信監視装置は、通信パケットの情報に基づいて測定した宛先アドレス毎の通信量に基づいて、大量通信による被害ホスト候補を検知する検知部と、監視対象のネットワークから選定された対象ルータに対して、定期的にエコー要求を行い、通常の応答を得られない障害ルータを特定する状態推定部と、前記障害ルータが前記被害ホスト候補の上位のルータである場合、前記被害ホスト候補に対する前記通信パケットを障害の原因と判定する判定部と、を備える。 A communication monitoring device according to the present invention includes: a detection unit configured to detect a candidate host due to a large amount of communication based on a communication amount of each destination address measured based on information of a communication packet; and a target selected from a network to be monitored. A state estimating unit that periodically makes an echo request to the router and identifies a faulty router that cannot obtain a normal response; and, if the faulty router is a router higher than the victim host candidate, the victim host candidate And a determining unit for determining the communication packet corresponding to the cause of the failure as a cause of the failure.
前記通信監視装置は、監視対象のネットワークから通信経路を抽出し、ルータのトポロジを導出する構成推定部を備え、前記状態推定部は、前記トポロジに基づいて、前記対象ルータを選定し、前記判定部は、前記トポロジに基づいて、前記障害ルータが前記被害ホスト候補の上位のルータであることを判定してもよい。 The communication monitoring device includes a configuration estimating unit that extracts a communication path from a network to be monitored and derives a topology of a router, wherein the state estimating unit selects the target router based on the topology, and performs the determination. The unit may determine, based on the topology, that the failed router is a higher-level router of the candidate victim host.
前記検知部は、前記通信パケットのフロー情報に基づいて、宛先アドレス毎の通信量を測定してもよい。 The detection unit may measure a communication amount for each destination address based on flow information of the communication packet.
本発明に係る通信監視方法は、通信パケットの情報に基づいて測定した宛先アドレス毎の通信量に基づいて、大量通信による被害ホスト候補を検知する検知ステップと、監視対象のネットワークから選定された対象ルータに対して、定期的にエコー要求を行い、通常の応答を得られない障害ルータを特定する状態推定ステップと、前記障害ルータが前記被害ホスト候補の上位のルータである場合、前記被害ホスト候補に対する前記通信パケットを障害の原因と判定する判定ステップと、をコンピュータが実行する。 A communication monitoring method according to the present invention includes a detection step of detecting a victim host candidate due to a large amount of communication based on a traffic volume for each destination address measured based on information of a communication packet; and a target selected from a network to be monitored. A state estimation step of periodically making an echo request to the router and identifying a faulty router that cannot obtain a normal response; and, if the faulty router is a router higher than the victim host candidate, the victim host candidate A determination step of determining the communication packet to be the cause of the failure.
本発明に係る通信監視プログラムは、通信パケットの情報に基づいて測定した宛先アドレス毎の通信量に基づいて、大量通信による被害ホスト候補を検知する検知ステップと、監視対象のネットワークから選定された対象ルータに対して、定期的にエコー要求を行い、通常の応答を得られない障害ルータを特定する状態推定ステップと、前記障害ルータが前記被害ホスト候補の上位のルータである場合、前記被害ホスト候補に対する前記通信パケットを障害の原因と判定する判定ステップと、をコンピュータに実行させる。 A communication monitoring program according to the present invention includes a detecting step of detecting a victim host candidate due to a large amount of communication based on a traffic volume of each destination address measured based on information of a communication packet, and a target selected from a network to be monitored. A state estimation step of periodically making an echo request to the router and identifying a faulty router that cannot obtain a normal response; and, if the faulty router is a router higher than the victim host candidate, the victim host candidate And determining the communication packet to be the cause of the failure.
本発明によれば、ネットワーク設備に影響を与える可能性が高い攻撃を高精度に検知できる。 ADVANTAGE OF THE INVENTION According to this invention, the attack which has a high possibility of affecting network equipment can be detected with high precision.
以下、本発明の実施形態の一例について説明する。
図1は、本実施形態に係る通信監視装置1の機能構成を示す図である。
通信監視装置1は、主にネットワーク内の上位階層のルータ(コアルータ)に配置される。通信監視装置1は、大量通信による被害ホスト候補を検知すると共に、この被害ホスト候補を宛先とする通信のうち、実被害のある又は実影響の大きい通信を判定し評価情報を出力する。
Hereinafter, an example of an embodiment of the present invention will be described.
FIG. 1 is a diagram illustrating a functional configuration of a communication monitoring device 1 according to the present embodiment.
The communication monitoring device 1 is mainly arranged in a router (core router) of a higher hierarchy in a network. The communication monitoring device 1 detects a damaged host candidate due to a large amount of communication, and among the communication addressed to the damaged host candidate, determines a communication that is actually damaged or has a large effect and outputs evaluation information.
通信監視装置1は、サーバ装置又はパーソナルコンピュータ等の情報処理装置(コンピュータ)であり、制御部10及び記憶部20の他、各種データの入出力デバイス又は通信デバイス等を備える。
The communication monitoring device 1 is an information processing device (computer) such as a server device or a personal computer, and includes, in addition to the
制御部10は、通信監視装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、本実施形態における各種機能を実現している。制御部10は、CPUであってよい。
The
記憶部20は、ハードウェア群を通信監視装置1として機能させるための各種プログラム、及び各種データ等の記憶領域であり、ROM、RAM、フラッシュメモリ又はハードディスク(HDD)等であってよい。具体的には、記憶部20は、本実施形態の各機能を制御部10に実行させる通信監視プログラムを記憶する。
The
制御部10は、検知部11と、構成推定部12と、状態推定部13と、判定部14とを備える。また、記憶部20は、ネットワーク構成データベース(DB)21と、ネットワーク状態データベース(DB)22とを備える。
The
検知部11は、通信パケット、又は通信パケットのフロー情報に基づいて宛先IPアドレス毎の通信量を測定し、測定した宛先アドレス毎の通信量に基づいて、大量通信を受け取っている可能性が高い被害ホスト候補を検知し、判定部14へ通知する。
検知部11は、検知した被害ホスト候補を所定のデータベースに登録又は更新し、判定部14に参照させてもよい。
The
The
構成推定部12は、保護すべき監視対象のネットワークのIPアドレス群に対して、traceroute等のネットワーク診断を実施し、ルータのパス(通信経路)を抽出することにより、このネットワーク全体のルータのトポロジを導出する。
このトポロジは、ネットワーク内の複数のルータの接続関係と、それぞれのルータに対する配下のIPアドレス群とを含む情報である。トポロジは、ネットワーク構成データベース21に格納され、状態推定部13及び判定部14により利用される。
The configuration estimating
This topology is information including a connection relationship between a plurality of routers in the network and a group of IP addresses under each router. The topology is stored in the network configuration database 21 and is used by the
状態推定部13は、推定されたトポロジに基づいて、監視対象のネットワークから選定された主要な対象ルータに対して、定期的にICMP(Internet Control Message Protocol)のエコー要求を行い、通常の応答を得られない障害ルータを特定する。エコー要求による検診結果は、ネットワーク状態データベース22に格納され、例えば、応答までの時間が長くなった、又は応答頻度が低下したルータは、障害が発生していると推定される。特定された障害ルータは、判定部14に直接、又はネットワーク状態データベース22を介して通知される。
Based on the estimated topology, the state estimating
判定部14は、推定されたトポロジに基づいて、障害ルータの下位のIPアドレスを参照し、これら下位のIPアドレスに被害ホスト候補のIPアドレスが含まれるか否かを判定する。あるいは、判定部14は、推定されたトポロジに基づいて、被害ホスト候補の上位のルータを参照し、これら上位のルータに障害ルータが含まれるか否かを判定する。障害ルータが被害ホスト候補の上位のルータである場合、判定部14は、被害ホスト候補に対する通信パケットを障害の原因と判定し、フロー情報を出力する。
The determining
図2は、本実施形態に係る被害ホスト候補と障害ルータとの関係を示す図である。
計測された通信量に基づいて大量通信の被害ホスト候補として検知されたホストHには、推定されたトポロジから、上位にルータA、B、Cが通信経路として存在することが確認される。
このとき、通信経路上のルータ、例えばルータBが障害ルータとして特定されている場合、同時期に検知された大量通信がこの障害の原因である可能性が高いと判定される。
FIG. 2 is a diagram illustrating a relationship between a damaged host candidate and a failed router according to the present embodiment.
Based on the estimated topology, it is confirmed from the estimated topology that the routers A, B, and C exist as the communication paths in the host H detected as the candidate host for the heavy communication based on the measured traffic.
At this time, if a router on the communication path, for example, the router B is specified as a faulty router, it is determined that there is a high possibility that the mass communication detected at the same time is the cause of the fault.
図3は、本実施形態に係る通信監視装置1によるネットワーク構成推定処理を示すフローチャートである。
本処理は、定期的に、又はネットワーク設備の変更があったとき等の所定のタイミングで実行される。
FIG. 3 is a flowchart illustrating a network configuration estimation process performed by the communication monitoring device 1 according to the present embodiment.
This process is executed periodically or at a predetermined timing such as when there is a change in network equipment.
ステップS1において、制御部10(構成推定部12)は、監視対象のネットワーク内のIPアドレス群に対して、traceroute等のネットワーク診断を実施し、ルータのパスを取得する。 In step S1, the control unit 10 (configuration estimating unit 12) performs network diagnosis such as traceroute on an IP address group in the network to be monitored, and acquires a router path.
ステップS2において、制御部10(構成推定部12)は、ステップS1で取得したルータのパスから、ネットワーク全体のトポロジを導出する。
ステップS3において、制御部10(構成推定部12)は、ステップS2で導出したトポロジを、ネットワーク構成データベース21に格納する。
In step S2, the control unit 10 (configuration estimating unit 12) derives the topology of the entire network from the path of the router obtained in step S1.
In step S3, the control unit 10 (configuration estimating unit 12) stores the topology derived in step S2 in the network configuration database 21.
図4は、本実施形態に係る通信監視装置1によるネットワーク状態推定処理を示すフローチャートである。
本処理は、定期的に繰り返し実行される。
FIG. 4 is a flowchart illustrating a network state estimation process by the communication monitoring device 1 according to the present embodiment.
This process is periodically executed repeatedly.
ステップS11において、制御部10(状態推定部13)は、ネットワーク構成データベース21から監視対象のネットワークのトポロジを読み込む。 In step S11, the control unit 10 (state estimation unit 13) reads the topology of the network to be monitored from the network configuration database 21.
ステップS12において、制御部10(状態推定部13)は、ステップS11で読み込んだトポロジから、所定の規則に従って主要なルータを選択する。例えば、上位階層のルータ、又は配下のIPアドレスの数が多いルータが優先的に選択されてもよい。 In step S12, the control unit 10 (state estimation unit 13) selects a main router from the topology read in step S11 according to a predetermined rule. For example, an upper-layer router or a router having a large number of subordinate IP addresses may be preferentially selected.
ステップS13において、制御部10(状態推定部13)は、ステップS12で選択したルータに対して、ICMPのエコー要求を行う。 In step S13, the control unit 10 (state estimation unit 13) issues an ICMP echo request to the router selected in step S12.
ステップS14において、制御部10(状態推定部13)は、ステップS13の検診結果としてエコー応答の状況(応答の有無、応答までの時間等)を、ネットワーク状態データベース22に格納する。
In step S14, the control unit 10 (state estimating unit 13) stores the state of the echo response (the presence or absence of the response, the time until the response, etc.) in the
ステップS15において、制御部10(状態推定部13)は、選択すべきルータが他にあるか否かを判定する。この判定がYESの場合、処理はステップS12に移り、判定がNOの場合、処理は終了する。 In step S15, the control unit 10 (state estimation unit 13) determines whether there is another router to be selected. If the determination is YES, the process proceeds to step S12, and if the determination is NO, the process ends.
図5は、本実施形態に係る通信監視装置1による通信監視処理を示すフローチャートである。
本処理は、通信の監視を実施している間、繰り返し実行される。
なお、本処理に先立って、構成推定部12により監視対象のネットワークのトポロジが導出され、ネットワーク構成データベース21に格納されているものとする。
FIG. 5 is a flowchart illustrating a communication monitoring process performed by the communication monitoring device 1 according to the present embodiment.
This process is repeatedly executed while monitoring the communication.
Prior to this processing, it is assumed that the topology of the network to be monitored is derived by the
ステップS21において、制御部10(判定部14)は、検知部11により測定された宛先アドレス毎の通信量に基づいて、大量通信を受け取っている可能性が高い被害ホスト候補が検知されたか否かを判定する。この判定がYESの場合、処理はステップS22に移り、判定がNOの場合、処理は終了する。
In step S21, the control unit 10 (the determination unit 14) determines whether or not a damaged host candidate having a high possibility of receiving a large amount of communication is detected based on the communication amount for each destination address measured by the
ステップS22において、制御部10(判定部14)は、ネットワーク状態データベース22を参照し、又は状態推定部13からの通知に基づいて、状態推定部13により障害ルータが検知されているか否かを判定する。この判定がYESの場合、処理はステップS23に移り、判定がNOの場合、処理は終了する。
In step S22, the control unit 10 (determination unit 14) refers to the
ステップS23において、制御部10(判定部14)は、ネットワーク構成データベース21から監視対象のネットワークのトポロジを読み込む。 In step S23, the control unit 10 (judgment unit 14) reads the topology of the network to be monitored from the network configuration database 21.
ステップS24において、制御部10(判定部14)は、ステップS23で読み込んだトポロジを参照し、被害ホスト候補の上位に障害ルータがあるか否かを判定する。この判定がYESの場合、処理はステップS25に移り、判定がNOの場合、処理は終了する。 In step S24, the control unit 10 (the determination unit 14) refers to the topology read in step S23, and determines whether or not there is a failed router above the victim host candidate. If the determination is YES, the process proceeds to step S25, and if the determination is NO, the process ends.
ステップS25において、制御部10(判定部14)は、被害ホスト候補を宛先とする通信パケットを障害の原因と判定し、この通信パケットの情報、例えばフロー情報を出力する。 In step S25, the control unit 10 (determination unit 14) determines that the communication packet addressed to the victim host candidate is the cause of the failure, and outputs information of the communication packet, for example, flow information.
本実施形態によれば、通信監視装置1は、エコー要求に対する応答の状況からネットワーク内の障害ルータを特定し、この障害ルータの配下に大量通信による被害ホスト候補が存在する場合、この被害ホスト候補を宛先とする通信パケットを障害の原因と判定する。
したがって、通信監視装置1は、ルータに障害が発生した同時期に、このルータの配下を宛先とする大量通信が発生していることを検知でき、実際の宛先とは異なるネットワーク設備(ルータ)に影響を与える可能性が高い大量通信による攻撃を高精度に検知できる。
According to the present embodiment, the communication monitoring device 1 specifies a faulty router in the network from the status of the response to the echo request, and if there is a candidate for a host damaged by mass communication under the faulty router, The communication packet addressed to is determined as the cause of the failure.
Accordingly, the communication monitoring device 1 can detect that a large amount of communication with a destination under the router is occurring at the same time when a failure occurs in the router, and to a network facility (router) different from the actual destination. Attacks due to high-volume communications that are likely to affect can be detected with high accuracy.
通信監視装置1は、ネットワーク診断によりルータのトポロジを導出するので、監視対象のネットワークの構成が不明な場合であっても、トポロジを推定し、ネットワーク設備に影響を与える可能性が高い攻撃を高精度に検知できる。 Since the communication monitoring device 1 derives the topology of the router based on the network diagnosis, even if the configuration of the network to be monitored is unknown, the communication monitoring device 1 estimates the topology and raises an attack that is likely to affect network equipment. Can be detected with accuracy.
通信監視装置1は、通信パケットをサンプリングしたフロー情報を用いることにより、大規模なネットワークにおいて大量に観測される通信パケットを効率的に処理し、処理負荷を低減できる。 By using the flow information obtained by sampling the communication packets, the communication monitoring device 1 can efficiently process a large number of communication packets observed in a large-scale network and reduce the processing load.
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、本実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本実施形態に記載されたものに限定されるものではない。 The embodiments of the present invention have been described above, but the present invention is not limited to the above-described embodiments. Further, the effects described in the present embodiment merely enumerate the most preferable effects resulting from the present invention, and the effects according to the present invention are not limited to those described in the present embodiment.
通信監視装置1による通信監視方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。 The communication monitoring method by the communication monitoring device 1 is realized by software. When realized by software, a program constituting the software is installed in an information processing device (computer). These programs may be recorded on a removable medium such as a CD-ROM and distributed to the user, or may be distributed by being downloaded to the user's computer via a network. Further, these programs may be provided to a user's computer as a Web service via a network without being downloaded.
1 通信監視装置
10 制御部
11 検知部
12 構成推定部
13 状態推定部
14 判定部
20 記憶部
21 ネットワーク構成データベース
22 ネットワーク状態データベース
Reference Signs List 1
Claims (5)
監視対象のネットワークから選定された対象ルータに対して、定期的にエコー要求を行い、通常の応答を得られない障害ルータを特定する状態推定部と、
前記障害ルータが前記被害ホスト候補の上位のルータである場合、前記被害ホスト候補に対する前記通信パケットを障害の原因と判定する判定部と、を備える通信監視装置。 A detecting unit that detects a candidate host that has been damaged by a large amount of communication, based on a communication amount of each destination address measured based on information of the communication packet;
A state estimating unit that periodically sends an echo request to a target router selected from the network to be monitored and identifies a failed router that cannot obtain a normal response;
And a determination unit that determines, when the failed router is a higher-level router of the candidate victim host, the communication packet for the candidate victim host as a cause of the failure.
前記状態推定部は、前記トポロジに基づいて、前記対象ルータを選定し、
前記判定部は、前記トポロジに基づいて、前記障害ルータが前記被害ホスト候補の上位のルータであることを判定する請求項1に記載の通信監視装置。 A configuration estimating unit that extracts a communication path from the network to be monitored and derives a topology of the router,
The state estimating unit selects the target router based on the topology,
The communication monitoring device according to claim 1, wherein the determination unit determines that the failed router is a higher-order router of the candidate victim host based on the topology.
監視対象のネットワークから選定された対象ルータに対して、定期的にエコー要求を行い、通常の応答を得られない障害ルータを特定する状態推定ステップと、
前記障害ルータが前記被害ホスト候補の上位のルータである場合、前記被害ホスト候補に対する前記通信パケットを障害の原因と判定する判定ステップと、をコンピュータが実行する通信監視方法。 A detection step of detecting a victim host candidate due to a large amount of communication based on a communication amount of each destination address measured based on information of the communication packet;
A state estimation step of periodically making an echo request to a target router selected from the network to be monitored and identifying a faulty router that cannot obtain a normal response;
And a determining step of, when the faulty router is a higher-order router of the candidate victim host, determining the communication packet for the candidate victim host as a cause of the fault.
監視対象のネットワークから選定された対象ルータに対して、定期的にエコー要求を行い、通常の応答を得られない障害ルータを特定する状態推定ステップと、
前記障害ルータが前記被害ホスト候補の上位のルータである場合、前記被害ホスト候補に対する前記通信パケットを障害の原因と判定する判定ステップと、をコンピュータに実行させるための通信監視プログラム。 Based on the traffic of each destination address measured based on the information of the communication packet, a detection step of detecting a victim host candidate due to a large amount of communication,
A state estimation step of periodically making an echo request to a target router selected from the network to be monitored and identifying a failed router that cannot obtain a normal response;
A determining step of determining, when the faulty router is a higher-ranked router of the candidate victim host, the communication packet for the candidate victim host as a cause of the fault;
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016235842A JP6629174B2 (en) | 2016-12-05 | 2016-12-05 | Communication monitoring device, communication monitoring method, and communication monitoring program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016235842A JP6629174B2 (en) | 2016-12-05 | 2016-12-05 | Communication monitoring device, communication monitoring method, and communication monitoring program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018093383A JP2018093383A (en) | 2018-06-14 |
| JP6629174B2 true JP6629174B2 (en) | 2020-01-15 |
Family
ID=62565759
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016235842A Active JP6629174B2 (en) | 2016-12-05 | 2016-12-05 | Communication monitoring device, communication monitoring method, and communication monitoring program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6629174B2 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115102778B (en) * | 2022-07-11 | 2024-05-24 | 深信服科技股份有限公司 | State determination method, device, equipment and medium |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7636942B2 (en) * | 2004-10-28 | 2009-12-22 | Nippon Telegraph And Telephone Corporation | Method and system for detecting denial-of-service attack |
| JP4464256B2 (en) * | 2004-11-18 | 2010-05-19 | 三菱電機株式会社 | Network host monitoring device |
| JP4313779B2 (en) * | 2005-05-13 | 2009-08-12 | 日本電信電話株式会社 | Congestion control method, congestion control program, and congestion control apparatus |
| JP2016146581A (en) * | 2015-02-09 | 2016-08-12 | 日本電信電話株式会社 | Device and method for collecting traffic information |
-
2016
- 2016-12-05 JP JP2016235842A patent/JP6629174B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018093383A (en) | 2018-06-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5050781B2 (en) | Malware detection device, monitoring device, malware detection program, and malware detection method | |
| US10440049B2 (en) | Network traffic analysis for malware detection and performance reporting | |
| US10027694B1 (en) | Detecting denial of service attacks on communication networks | |
| KR101061375B1 (en) | JR type based DDoS attack detection and response device | |
| JP5207082B2 (en) | Computer system and computer system monitoring method | |
| TW201703465A (en) | Network anomaly detection | |
| EP2629457A1 (en) | Method and System For Network Monitoring Using Signature Packets | |
| US10320648B2 (en) | Analysis of network performance | |
| JP6691268B2 (en) | Monitoring device, monitoring method, and monitoring program | |
| JP4232828B2 (en) | Application classification method, network abnormality detection method, application classification program, network abnormality detection program, application classification apparatus, network abnormality detection apparatus | |
| JP2010088031A (en) | Fault detection method of underlay network, and network system | |
| EP3718260A1 (en) | Systems and methods for determining flow and path analytics of an application of a network using sampled packet inspection | |
| JP2008085819A (en) | Network abnormality detection system, network abnormality detection method, and network abnormality detection program | |
| JP6629174B2 (en) | Communication monitoring device, communication monitoring method, and communication monitoring program | |
| JP5531064B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM | |
| JP6740264B2 (en) | Monitoring system, monitoring method, and monitoring program | |
| JP2016144153A (en) | Service monitoring device and service monitoring method | |
| JP4161989B2 (en) | Network monitoring system | |
| JP4777366B2 (en) | Worm countermeasure program, worm countermeasure device, worm countermeasure method | |
| JP2012169756A (en) | Encrypted communication inspection system | |
| JP4980396B2 (en) | Traffic characteristic measuring method and apparatus | |
| JP4222567B2 (en) | Congestion control method and congestion control apparatus | |
| JP6698507B2 (en) | Communication monitoring device, communication monitoring method, and communication monitoring program | |
| JP6712944B2 (en) | Communication prediction device, communication prediction method, and communication prediction program | |
| Pevný et al. | Identifying suspicious users in corporate networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181221 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191105 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191204 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6629174 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |