Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP4980396B2 - Traffic characteristic measuring method and apparatus - Google Patents
[go: Go Back, main page]

JP4980396B2 - Traffic characteristic measuring method and apparatus - Google Patents

Traffic characteristic measuring method and apparatus Download PDF

Info

Publication number
JP4980396B2
JP4980396B2 JP2009155761A JP2009155761A JP4980396B2 JP 4980396 B2 JP4980396 B2 JP 4980396B2 JP 2009155761 A JP2009155761 A JP 2009155761A JP 2009155761 A JP2009155761 A JP 2009155761A JP 4980396 B2 JP4980396 B2 JP 4980396B2
Authority
JP
Japan
Prior art keywords
traffic
entropy
hierarchy
conditioned
characteristic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009155761A
Other languages
Japanese (ja)
Other versions
JP2011015047A (en
Inventor
圭介 石橋
剛 豊野
一道 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2009155761A priority Critical patent/JP4980396B2/en
Publication of JP2011015047A publication Critical patent/JP2011015047A/en
Application granted granted Critical
Publication of JP4980396B2 publication Critical patent/JP4980396B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、階層的集約エントロピーを用いたトラヒック特性計測方法および装置に係わり、特に、階層的構造を持つトラヒックをその構造に応じて特性付け、その特性量によって異常検出等を行う技術に関する。   The present invention relates to a traffic characteristic measurement method and apparatus using hierarchical aggregated entropy, and more particularly to a technique for characterizing traffic having a hierarchical structure according to the structure and detecting an abnormality based on the characteristic amount.

ワームによるスキャン、大量トラヒックによるサービス不能(DoS)攻撃や故障による異常トラヒックの検出手法として、トラヒックのばらつきを示すエントロピーを特性量とし、その特性量の正常値からの逸脱により異常を検出する手法が提案されている。(下記、非特許文献1、2、3参照)
宛先の集合をDとし、ある宛先d∈Dへのトラヒック量が全体のトラヒック量に占める割合をpとする。このとき宛先に関するトラヒックのエントロピーH(D)は、下記(1)式で与えられる。
As a technique for detecting abnormal traffic due to scans by worms, mass traffic denial of service (DoS) attacks and failures, there is a technique that uses the entropy indicating traffic variation as a characteristic quantity and detects anomalies by deviation from the normal value of the characteristic quantity. Proposed. (See Non-Patent Documents 1, 2, and 3 below)
A set of destination is D, the proportion of the traffic volume of traffic is overall to a certain destination d∈D and p d. At this time, the traffic entropy H (D) relating to the destination is given by the following equation (1).

Figure 0004980396
Figure 0004980396

例えば、多くのワームは、他の脆弱性を持つ端末をスキャンするために宛先IPアドレスを変えながらスキャンパケットを送信するが、このようなスキャントラヒックが発生した場合は、広範囲の宛先へのトラヒックが発生するためにトラヒックの宛先に関するばらつきが増大し、従ってエントロピーH(D)は増大する。
一方で、DoS攻撃の場合は、単一または少数の被害者へのトラヒック集中が発生するためにトラヒックの宛先に関するばらつきが減少し、従ってエントロピーH(D)は減少する。
また、DNSトラヒックに対して、エントロピーを計算し、ワームによるDNSクエリ発生を検出手法も提案されている(下記、非特許文献4参照)。
For example, many worms send scan packets while changing the destination IP address to scan terminals with other vulnerabilities. When such scan traffic occurs, traffic to a wide range of destinations As it occurs, the variability with respect to the traffic destination increases, and thus the entropy H (D) increases.
On the other hand, in the case of a DoS attack, the traffic concentration to a single or a small number of victims occurs, so the variability with respect to the traffic destination is reduced, and thus the entropy H (D) is reduced.
In addition, a method has been proposed in which entropy is calculated for DNS traffic to detect the occurrence of a DNS query by a worm (see Non-Patent Document 4 below).

A. Lakhina, M. Crovella, and C. Diot,“Mining anomalies using traffic feature distributions”,in Proc. ACM SIGCOMM 2005, Philadelphia, PA, USA, August 2005.A. Lakhina, M. Crovella, and C. Diot, “Mining anomalies using traffic feature distributions”, in Proc. ACM SIGCOMM 2005, Philadelphia, PA, USA, August 2005.

Y. Gu, A. McCallum, and D. Towsley,“Detecting anomalies in network traffic using maximum entropy estimation”, in Proc. ACM IMC 2005, Berkeley, CA,USA,October 2005.Y. Gu, A. McCallum, and D. Towsley, “Detecting anomalies in network traffic using maximum entropy estimation”, in Proc. ACM IMC 2005, Berkeley, CA, USA, October 2005.

G. Nychis, V. Sekar, D. G. Anderson, H. Kim, and H. Zhang,“An empirical evaluation of entropy-based traffic anomaly detection,” in Proc. ACM IMC 2008, Vouliagmeni, Greece, October 2008.G. Nychis, V. Sekar, D. G. Anderson, H. Kim, and H. Zhang, “An empirical evaluation of entropy-based traffic anomaly detection,” in Proc. ACM IMC 2008, Vouliagmeni, Greece, October 2008.

D. Arturo, L. Roma, and Y. Musashi, “Entropy based analysis of DNS query traffic in the campus network,” in Proc. CTISA2007, Orlando, FL USA, 2007.D. Arturo, L. Roma, and Y. Musashi, “Entropy based analysis of DNS query traffic in the campus network,” in Proc. CTISA2007, Orlando, FL USA, 2007.

W. K. Ehrlich, K. Futamura, and D. Liu, “An enyropy based method to detect spoofed denial of service (Dos) attacks,” Telecommunicaions Modeling, Policy and Technology (Operations Research/Computer Science Interfaces) Vol. 44, Springer,2008.WK Ehrlich, K. Futamura, and D. Liu, “An enyropy based method to detect spoofed denial of service (Dos) attacks,” Telecommunicaions Modeling, Policy and Technology (Operations Research / Computer Science Interfaces) Vol. 44, Springer, 2008 .

しかしながら、エントロピーによるトラヒック特性計測には、トラヒックの階層的構造を反映できないという問題点がある。前述の(1)式からわかるとおり、エントロピーの計算で用いるのは宛先dに対するトラヒック比率pであり、宛先dが宛先集合Dのどこに位置するかを考慮していない。
例えば、多くのワームは、宛先IPv4アドレスをスキャンする際に、自身のIPアドレスを含む近隣アドレス空間へのスキャンを行うことが知られている。このようなスキャンのエントロピーはアドレス単位で観測した場合にはエントロピーは大きいが、近隣アドレス空間の単位で集約したトラヒックを観測した場合は、その集約トラヒックが単一空間に集中するため、エントロピーが減少すると考えられる。
しかしながら、前述の(1)式で示されるエントロピーはアドレス単位で観測したエントロピーであり、このようなアドレス空間単位で観測した場合に集中しているか否かという情報を得ることはできない。
トラヒックに階層構造がある場合、その階層構造に応じて集約したトラヒックを対象にエントロピーを計算することにより、前述したような詳細なトラヒック特性を得ることができると期待される。
However, the traffic characteristic measurement by entropy has a problem that the hierarchical structure of traffic cannot be reflected. As can be seen from the equation (1), used in the calculation of the entropy is traffic ratio p d to the destination d, destination d does not consider whether the position where the destination set D.
For example, many worms are known to scan a neighboring address space that includes their own IP address when scanning a destination IPv4 address. The entropy of such a scan is large when observed in address units, but when observing traffic aggregated in units of neighboring address space, the entropy decreases because the aggregated traffic is concentrated in a single space. I think that.
However, the entropy expressed by the above-described equation (1) is the entropy observed in units of addresses, and information on whether or not the information is concentrated when observed in units of such address spaces cannot be obtained.
When the traffic has a hierarchical structure, it is expected that detailed traffic characteristics as described above can be obtained by calculating entropy for the traffic aggregated according to the hierarchical structure.

また、前述の非特許文献5では、IPアドレス上位16ビット単位で集約したトラヒックによるエントロピーの時系列から異常検出する手法が提案されているが、同手法で計測できるのは16ビット固定で集約したトラヒックのエントロピーであり、他の粒度で観測したトラヒックのエントロピーを計測することはできない。
また、IPアドレスを対象とし、アドレスをいくつかのブロックに分割し、アドレスブロック毎の発生頻度を計算し、アドレスブロック間のエントロピーを用いて、不正通信か否かを判別する手法も、一般的である。しかし、この手法はブロック毎のエントロピーであり、階層構造を考慮したトラヒック特性量を計測することはできない。
階層構造のそれぞれの階層において、トラヒック特性としてそのばらつきを評価することにより、どの階層においてばらつきが増加しているかが明らかとなり、結果的にそのトラヒック特性の発生原因等が明らかとなる。
本発明は、前記従来技術の問題点を解決するためになされたものであり、本発明の目的は、トラヒック特性計測方法および装置において、トラヒックの階層的構造を反映させた階層的集約エントロピーを用いることにより、より詳細な情報を抽出し、その特性量による異常検出精度を向上させることが可能となる技術を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
Further, in the above-mentioned Non-Patent Document 5, a method for detecting an abnormality from a time series of entropy by traffic aggregated in units of upper 16 bits of an IP address has been proposed, but what can be measured by this method is aggregated at a fixed 16 bits. This is the traffic entropy, and the traffic entropy observed at other granularities cannot be measured.
In addition, it is also common to use IP address as a target, divide the address into several blocks, calculate the frequency of occurrence for each address block, and use entropy between the address blocks to determine whether the communication is unauthorized. It is. However, this method is entropy for each block, and it is not possible to measure a traffic characteristic amount considering a hierarchical structure.
By evaluating the variation as the traffic characteristic in each layer of the hierarchical structure, it becomes clear in which layer the variation is increasing, and as a result, the cause of the occurrence of the traffic characteristic is clarified.
The present invention has been made to solve the problems of the prior art, and an object of the present invention is to use hierarchical aggregated entropy reflecting the hierarchical structure of traffic in a traffic characteristic measuring method and apparatus. Accordingly, it is an object of the present invention to provide a technique capable of extracting more detailed information and improving abnormality detection accuracy based on the characteristic amount.
The above and other objects and novel features of the present invention will become apparent from the description of this specification and the accompanying drawings.

本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、下記の通りである。
(1)トラヒック特性計測方法であって、トラヒックを取得するステップ1と、計測対象トラヒックを抽出するステップ2と、計測対象トラヒックの階層構造に応じてトラヒックを集約するステップ3と、それぞれの階層での集約トラヒックのエントロピーを計算するステップ4と、階層毎のエントロピーを用いて、当該トラヒックの特性付けを行うステップ5とを有し、前記ステップ3において、N個の階層でトラヒックを集約し、Dを最上位階層で集約したトラヒック、DN−1をその一段階下位の階層で集約したトラヒック、Dを集約する前の最下位階層のトラヒックとした時に、前記ステップ4において、DのエントロピーH(D)、DN−1のエントロピーH(DN−1),…, DのエントロピーH(D)を計算し、前記ステップ5において、DのエントロピーH(D)、DN−1のエントロピーH(DN−1),…, DのエントロピーH(D)を用いて、トラヒックの特性付けを行う。
Of the inventions disclosed in this application, the outline of typical ones will be briefly described as follows.
(1) A traffic characteristic measurement method, in which traffic is acquired in Step 1, Step 2 for extracting measurement target traffic, Step 3 in which traffic is aggregated according to the hierarchical structure of measurement target traffic, A step 4 for calculating the entropy of the aggregated traffic, and a step 5 for characterizing the traffic using the entropy for each layer. In step 3, the traffic is aggregated in the N layers, and D traffic where the N aggregated at the highest layer, the traffic that aggregates the D N-1 in the hierarchy of the one step lower, when the traffic in front of the lowest hierarchy aggregating D 0, in step 4, the D N the entropy H (D N), D N -1 of entropy H (D N-1), ..., entropy H (D 0) a total of D 0 And, in step 5, using a D N entropy H (D N), D N-1 of entropy H (D N-1), ..., entropy H (D 0) of D 0, characterization of the traffic I do.

(2)トラヒック特性計測方法であって、トラヒックを取得するステップ1と、計測対象トラヒックを抽出するステップ2と、計測対象トラヒックの階層構造に応じてトラヒックを集約するステップ3と、それぞれの階層での集約トラヒックのエントロピーを計算するステップ4と、階層毎のエントロピーを用いて、当該トラヒックの特性付けを行うステップ5とを有し、前記ステップ3において、N個の階層でトラヒックを集約し、Dを最上位階層で集約したトラヒック、DN−1をその一段階下位の階層で集約したトラヒック、Dを集約する前の最下位階層のトラヒックとした時に、前記ステップ4において、DのエントロピーH(D)、Dで条件付けられたDN−1のエントロピーH(DN−1|D)、DN−1で条件付けられたDN−2のエントロピーH(DN−2|DN−1),…,Dで条件付けられたDのエントロピーH(D|D)を計算し、前記ステップ5において、DのエントロピーH(D)、Dで条件付けられたDN−1のエントロピーH(DN−1|D)、DN−1で条件付けられたDN−2のエントロピーH(DN−2|DN−1),…,Dで条件付けられたDのエントロピーH(D|D)を用いて、トラヒックの特性付けを行う。 (2) A traffic characteristic measurement method, in which traffic is acquired in Step 1, Step 2 for extracting traffic to be measured, Step 3 in which traffic is aggregated according to the hierarchical structure of the traffic to be measured, A step 4 for calculating the entropy of the aggregated traffic, and a step 5 for characterizing the traffic using the entropy for each layer. In step 3, the traffic is aggregated in the N layers, and D traffic where the N aggregated at the highest layer, the traffic that aggregates the D N-1 in the hierarchy of the one step lower, when the traffic in front of the lowest hierarchy aggregating D 0, in step 4, the D N Entropy H (D N ), D N -1 entropy H (D N-1 | D N ), D N-1 conditioned by DN D conditioned with N-2 entropy H (D N-2 | D N-1), ..., entropy H of the D 0 which are conditioned by D 1 | calculates the (D 0 D 1), the step 5 in, D entropy H (D N) of the N, D conditioned in N D N-1 of entropy H (D N-1 | D N), D D conditioned by N-1 N-2 entropy H Using the entropy H (D 0 | D 1 ) of D 0 conditioned by (D N−2 | D N−1 ),..., D 1 , the traffic is characterized.

(3)(1)または(2)において、前記ステップ4において、各階層毎のエントロピーをその最大値で正規化し、前記ステップ5において、正規化した各階層毎のエントロピーを用いて、トラヒックの特性付けを行う。
(4)(1)ないし(3)の何れかにおいて、前記ステップ5において、階層的に集約したトラヒックのエントロピーの時系列を生成し、その時系列の変動によりトラヒックの異常を検出する。
(5)(1)ないし(3)の何れかにおいて、前記計測対象のトラヒックは、ホスト単位のトラヒックであり、当該計測したホスト単位のトラヒック特性を、ホストの異常・正常分類に用いる。
(6)また、本発明は、前述のトラヒック特性計測方法を実行するトラヒック特性計測装置である。
(3) In (1) or (2), in step 4, the entropy for each layer is normalized by the maximum value, and in step 5, the normalized entropy for each layer is used to determine the traffic characteristics. To do.
(4) In any one of (1) to (3), in step 5, a time series of traffic entropy aggregated hierarchically is generated, and a traffic abnormality is detected based on the fluctuation of the time series.
(5) In any one of (1) to (3), the traffic to be measured is traffic in units of hosts, and the measured traffic characteristics in units of hosts are used for classification of host abnormalities / normalities.
(6) Moreover, this invention is a traffic characteristic measuring device which performs the above-mentioned traffic characteristic measuring method.

本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば、下記の通りである。
本発明によれば、トラヒックの階層的構造を反映させた階層的集約エントロピーを用いることにより、より詳細な情報を抽出し、その特性量による異常検出精度を向上させることが可能となる。
The effects obtained by the representative ones of the inventions disclosed in the present application will be briefly described as follows.
According to the present invention, it is possible to extract more detailed information by using the hierarchical aggregate entropy reflecting the hierarchical structure of traffic, and improve the abnormality detection accuracy based on the characteristic amount.

本発明の実施例のトラヒック特性計測装置の概略構成を示すブロック図である。It is a block diagram which shows schematic structure of the traffic characteristic measuring apparatus of the Example of this invention. 階層構造を持つDNSトラヒックにおける集約トラヒックのエントロピーを示す図である。It is a figure which shows the entropy of the aggregate traffic in the DNS traffic with a hierarchical structure. 本発明の実施例のトラヒック特性計測装置の処理手順の一例を示すフローチャートである。It is a flowchart which shows an example of the process sequence of the traffic characteristic measuring device of the Example of this invention.

以下、図面を参照して本発明の実施例を詳細に説明する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
図1は、本発明の実施例のトラヒック特性計測装置の概略構成を示すブロック図である。図1において、10はトラヒック取得部、11は計測対象トラヒック抽出部、12は階層的トラヒック集約部、13はエントロピー計算部、14はトラフヒック特性計算部である。
トラヒック取得部10は、IP網の2台もしくはそれ以上の端末間で転送される通信データである通信トラヒックを一定期間取得する。
取得方法としては、IP網のリンク中に流れるトラヒックをタッピング機器によって取得する方法でもよいし、通信網内のスイッチ・ルータ等ノードにおけるミラーリングによる取得でもよいし、ノードが出力するトラヒックフロー情報の取得でもよいし、端末における通信ログ等の取得であってもよい。
取得されるトラヒックデータは、個別トラヒックの集合となるが、個別トラヒックは取得方法によって異なり、タッピング、ミラーリングの場合はIPパケットであり、フロー情報の場合は一般的には{送信/受信IPアドレス、送信/受信ポート番号、プロトコル}の5組の識別子の値が同一となるフローであり、通信ログの場合は個々のアクセス情報である。
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
In all the drawings for explaining the embodiments, parts having the same functions are given the same reference numerals, and repeated explanation thereof is omitted.
FIG. 1 is a block diagram showing a schematic configuration of a traffic characteristic measuring apparatus according to an embodiment of the present invention. In FIG. 1, 10 is a traffic acquisition unit, 11 is a measurement target traffic extraction unit, 12 is a hierarchical traffic aggregation unit, 13 is an entropy calculation unit, and 14 is a traffic characteristic calculation unit.
The traffic acquisition unit 10 acquires communication traffic that is communication data transferred between two or more terminals of an IP network for a certain period.
The acquisition method may be a method of acquiring traffic flowing in the link of the IP network by a tapping device, acquisition by mirroring in a node such as a switch / router in the communication network, or acquisition of traffic flow information output by the node Alternatively, it may be acquisition of a communication log or the like in the terminal.
The acquired traffic data is a set of individual traffic. The individual traffic differs depending on the acquisition method, and in the case of tapping and mirroring, it is an IP packet. In the case of flow information, generally {transmit / receive IP address, This is a flow in which the values of five sets of identifiers of transmission / reception port number and protocol} are the same, and in the case of a communication log, it is individual access information.

計測対象トラヒック抽出部11は、取得したトラヒックから計測対象のトラヒックを抽出する。計測対象トラヒックは、例えば、IPトラヒック全体、DNSトラヒック、VoIPトラヒックである。
また、計測対象トラヒック抽出部11では、ホスト単位毎のトラヒックに分別するようにしてもよい。この場合は、後述する計測したホスト単位のトラヒック特性により、ホストの異常・正常を分類することたできる。
階層的トラヒック集約部12は、計測対象トラヒックの階層構造に応じて抽出トラヒックを集約する。ここで集約とは、個別トラヒックを区別している識別子の一部を無視することにより、それ以外の識別子が同一となる、一つもしくは複数の個別トラヒックを同一視して新たに個別トラヒックとし、併せてその個別トラヒックに付随するバイト数等のトラヒック量を同一視された個別トラヒックのトラヒック量の合算値とすることを示す。
階層的に集約するとは、無視される識別子の部分が最下位層から最上位層にかけて包含関係となることを示す。
The measurement target traffic extraction unit 11 extracts the measurement target traffic from the acquired traffic. The measurement target traffic is, for example, the entire IP traffic, DNS traffic, or VoIP traffic.
In addition, the measurement target traffic extraction unit 11 may sort the traffic into units of hosts. In this case, the abnormality / normality of the host can be classified based on the measured traffic characteristics of the host unit described later.
The hierarchical traffic aggregating unit 12 aggregates the extracted traffic according to the hierarchical structure of the measurement target traffic. Aggregation here refers to ignoring a part of identifiers that distinguish individual traffic, so that other identifiers are the same, identify one or more individual traffic as new individual traffic, This indicates that the traffic amount such as the number of bytes accompanying the individual traffic is used as the sum of the traffic amounts of the individual traffic identified.
Hierarchical aggregation indicates that the part of the identifier that is ignored is inclusive from the lowest layer to the highest layer.

以下、階層的トラヒック集約部12での集約方法について説明する。
(1)計測対象トラヒックがIPトラヒックの場合には、そのIPアドレスの先頭の単一、もしくは複数ビットを最上位の階層とし、より長いビット列を下位の階層とし、最下位の階層を当該IPアドレスとする階層構造に従いトラヒックを集約する。
(2)計測対象トラヒックがIPトラヒックの場合には、計測箇所のAutonomous System(自律システム;以下、ASという)を最上位の階層とし、最下位の階層となる、当該IPアドレスが属するASまでの経由ASパスで表される階層構造に従い、トラヒックを集約する。
(3)計測対象トラヒックがDomain Name System(DNS)トラヒックの場合には、トップレベルドメインを最上位の階層とし、以下、ドメインツリー構造と同一の階層構造に従い、トラヒックを集約する。
この場合、最上位階層は、(.com)、(.net)、(.jp)などのトップレベルドメイン(TLD)となる。
図2に、階層構造を持つDNSトラヒックにおける集約トラヒックのエントロピーを示す。図2の左半分はDNSドメインツリーを示す。個々の楕円がドメインであり、上位のドメインは集約ドメインとなる。上位階層ほど集約ドメイン数は減る。右半分はそれら集約ドメイン間のトラヒック量分布を示す。
Hereinafter, an aggregation method in the hierarchical traffic aggregation unit 12 will be described.
(1) If the traffic to be measured is IP traffic, the first single or multiple bits of the IP address are the highest hierarchy, the longer bit string is the lower hierarchy, and the lowest hierarchy is the IP address. The traffic is aggregated according to the hierarchical structure
(2) When the traffic to be measured is IP traffic, the Autonomous System (autonomous system; hereinafter referred to as AS) of the measurement location is the highest hierarchy, and the lowest hierarchy, up to the AS to which the IP address belongs. Traffic is aggregated according to the hierarchical structure represented by the via AS path.
(3) When the traffic to be measured is Domain Name System (DNS) traffic, the top-level domain is the highest hierarchy, and traffic is aggregated according to the same hierarchical structure as the domain tree structure.
In this case, the highest hierarchy is a top level domain (TLD) such as (.com), (.net), (.jp).
FIG. 2 shows the entropy of aggregate traffic in DNS traffic having a hierarchical structure. The left half of FIG. 2 shows the DNS domain tree. Each ellipse is a domain, and the upper domain is an aggregate domain. The higher the hierarchy, the less the number of aggregate domains. The right half shows the traffic volume distribution between these aggregate domains.

(4)計測対象トラヒックがDNSトラヒックの場合には、直下にユーザが名前を登録できるドメインを最上位階層とし、以下ドメインツリー構造と同一の階層構造に従い、トラヒックを集約する。
これはトップレベルドメインが、その直下にユーザのドメイン名を登録される(.com)などのgTLDと、その直下はユーザのドメイン名でない場合がある(.jp)などのccTLDの双方があることから、階層構造のレベルを統一するためにpublic suffixと呼ばれる、直下にユーザが名前を登録できるドメインを最上位階層としたものである。
(5)計測対象トラヒックがDNSトラヒックのIPアドレスに対するドメイン名を問い合わせる逆引きクエリの場合には、問い合わせられたIPアドレスに対して、前述の(1)または(2)方法で階層的にトラヒックを集約する。
(4) When the traffic to be measured is DNS traffic, the domain in which the user can register the name is set as the highest hierarchy, and the traffic is aggregated according to the same hierarchical structure as the domain tree structure.
This is because there are both gTLDs in which the top level domain is registered with the user's domain name (.com) directly below it and ccTLDs that are not directly under the user's domain name (.jp). Therefore, in order to unify the level of the hierarchical structure, a domain called a “public suffix” in which a user can register a name immediately below is set as the highest hierarchy.
(5) When the traffic to be measured is a reverse query that inquires the domain name for the IP address of DNS traffic, the traffic is hierarchically transmitted to the inquired IP address by the method (1) or (2) described above. Summarize.

(6)計測対象トラヒックがDNSトラヒックのIPアドレスに対するドメイン名を問い合わせる逆引きクエリの場合には、クエリに対する応答のドメイン名に対して、前述の(3)または(4)方法で階層的にトラヒックを集約する。
(7)計測対象トラヒックがVoice over IP(VoIP)の電話トラヒックの場合には、電話番号はE.164番号と呼ばれる階層構造が定められているため、この階層構造を用いてトラヒックを集約する。
(8)計測対象トラヒックが、World Wide Web(WWW)トラヒックの場合には、Uniform Resource Identifier(URI)の階層構造に従い、トラヒックを集約する。即ち、計測対象が、World Wide Web(WWW)トラヒックの場合、WWWは”/”で区切られる階層構造を持つため、この階層構造を用いてトラヒックを集約する。
(6) When the traffic to be measured is a reverse query that inquires the domain name for the IP address of the DNS traffic, the traffic is hierarchically applied to the domain name of the response to the query by the above method (3) or (4) Aggregate.
(7) When the traffic to be measured is Voice over IP (VoIP) telephone traffic, the telephone number is E.E. Since a hierarchical structure called 164 number is defined, traffic is aggregated using this hierarchical structure.
(8) When the traffic to be measured is World Wide Web (WWW) traffic, the traffic is aggregated according to the hierarchical structure of Uniform Resource Identifier (URI). That is, when the measurement target is World Wide Web (WWW) traffic, since the WWW has a hierarchical structure delimited by “/”, traffic is aggregated using this hierarchical structure.

エントロピー計算部13は、階層的トラヒック集約部12によって、階層毎に集約されたトラヒックに対して、集約単位のトラヒック割合から階層毎にエントロピーを計算する。
条件付きでないエントロピーの場合は、第k階(k=0〜N)の階層で集約された宛先の集合をDとし、ある宛先d∈Dへのトラヒック量が全体のトラヒック量に占める割合をpdkとする。このとき宛先に関するトラヒックのエントロピーH(D)を、下記(2)式で計算する。
The entropy calculation unit 13 calculates entropy for each layer from the traffic ratio of the aggregation unit for the traffic aggregated for each layer by the hierarchical traffic aggregation unit 12.
In the case of unconditional entropy, a set of destinations aggregated in the k-th (k = 0 to N) hierarchy is defined as D k, and the traffic amount to a certain destination d k εD k occupies the total traffic amount. Let p dk be the ratio. At this time, the traffic entropy H (D k ) related to the destination is calculated by the following equation (2).

Figure 0004980396
また、条件付きエントロピーの場合は、最上位階層Nで集約されたトラヒックDのエントロピーは、前述の(2)式で計算し、Dで条件付けられた階層N−1のトラヒックのエントロピーH(DN−1|D)、を、下記(3)式で計算する。
Figure 0004980396
In the case of conditional entropy, entropy of traffic D N aggregated at the highest layer N is calculated by the aforementioned equation (2), the hierarchy conditioned by D N N-1 traffic entropy H ( D N-1 | D N ) is calculated by the following equation (3).

Figure 0004980396
ここで、d’∈Dは、N−1階層の宛先d∈DN−1が属するN階層の宛先である。
以下、同様に、H(DN−2|DN−1),...,H(D|D)を計算する。
Figure 0004980396
Here, d ′ N εD N is the N-layer destination to which the N−1-layer destination dεD N-1 belongs.
Hereinafter, similarly, H (D N−2 | D N−1 ),..., H (D 0 | D 1 ) is calculated.

Figure 0004980396
一般的に、前述の(4)式が成り立つため、階層的に集約したトラヒック毎に条件付きエントロピーを計算することで、集約前のエントロピーH(D)に含まれるトラヒック特性量を全て含み、かつ階層構造に起因するトラヒック特性も計測することができる。
この場合に、エントロピーは集合Dの要素数に依存し、Dの要素数が大きくなるにつれてエントロピーも増大するため、集合Dの要素数に依存しないようにその最大値で正規化する。例えば、条件付きでないエントロピーの場合は最大値がlog(D)であるため、その数で除する。条件付きエントロピーの場合は、最大値は下記(5)式で与えられるので、この数で除算する。
Figure 0004980396
In general, since the above-described equation (4) holds, calculating the conditional entropy for each hierarchically aggregated traffic includes all the traffic characteristic amounts included in the entropy H (D 0 ) before aggregation, In addition, traffic characteristics resulting from the hierarchical structure can also be measured.
In this case, the entropy depends on the number of elements of the set Dk , and the entropy increases as the number of elements of Dk increases. Therefore, normalization is performed with the maximum value so as not to depend on the number of elements of the set Dk . For example, in the case of unconditional entropy, since the maximum value is log (D k ), it is divided by the number. In the case of conditional entropy, since the maximum value is given by the following equation (5), it is divided by this number.

Figure 0004980396
Figure 0004980396

トラヒック特性計算部14では、エントロピー計算部13で計算されたエントロピーを用いてトラヒック特性付けを行う。
このトラヒック特性計算部14では、一定期間毎に取得したトラヒックデータから逐次計算された、一定期間毎のエントロピーの時系列から、その期間のトラヒックの正常・異常判定を行う。ここで、時系列データからの正常・異常判定については、一定期間毎のエントロピー値の集合の確率分布を生成し、その分布の1%点、99%点などの閾値未満、以上の外れ値となる期間を以上と判別してもよい。
あるいは、ある一定期間のトラヒックデータを送信ホスト毎に分割し、ホスト毎に計算されたエントロピー値からそのホストの正常・異常判定を行う。ここで、ホスト毎エントロピー値からの正常・異常判定については、ホスト毎エントロピー値の集合の確率分布を生成し、その分布の1%点、99%点などの閾値未満、以上の外れ値となる期間を以上と判別してもよい。
以上説明したように、本実施例によれば、エントロピーを用いたトラヒックの特性付けにおいて、そのトラヒックが持つ階層構造を考慮することができ、特性量を用いた異常検出において精度向上することが可能となる。
The traffic characteristic calculation unit 14 performs traffic characteristic assignment using the entropy calculated by the entropy calculation unit 13.
The traffic characteristic calculation unit 14 determines normality / abnormality of traffic in a certain period from a time series of entropy for each certain period, which is sequentially calculated from the traffic data acquired every certain period. Here, for normality / abnormality determination from time-series data, a probability distribution of a set of entropy values for a certain period is generated, and an outlier above the threshold value such as 1% point, 99% point, etc. May be determined as above.
Alternatively, traffic data for a certain period is divided for each transmission host, and normal / abnormal determination of the host is performed from the entropy value calculated for each host. Here, for normality / abnormality determination from the entropy value for each host, a probability distribution of a set of entropy values for each host is generated, and the outliers are less than or equal to a threshold such as 1% point and 99% point of the distribution. The period may be determined as above.
As described above, according to the present embodiment, in the traffic characterization using entropy, the hierarchical structure of the traffic can be taken into account, and the accuracy can be improved in the abnormality detection using the characteristic amount. It becomes.

以下、図3を用いて、本実施例のトラヒック特性計測装置の処理手順の一例を説明する。この図3は、計測対象のトラヒックとしてホスト単位のトラヒックを使用し、階層的トラヒック集約部12での集約方法については前述の(3)の方法を用い、さらに、エントロピー計算部13において条件付きエントロピーを計算する場合の処理手順を示すフローチャートである。
(1)ステップ101
IP網を構成するリンクのトラヒックを観測し、トラヒック取得部10において、トラヒック転送されたパケットを取得する。このステップでの出力は、一定期間に当該リンクを経由したパケット群となる。
(2)ステップ102
計測対象トラヒック抽出部11において、宛先ポート番号53番のDNS問い合わせパケットのみを抽出し、送信ホストi毎のパケット集合を生成する。このステップでの出力は、送信ホストi(i=1,...,N)のDNS問い合わせパケット群D(i=1,...,N)となる。
Hereinafter, an example of a processing procedure of the traffic characteristic measuring apparatus according to the present embodiment will be described with reference to FIG. This FIG. 3 uses traffic in units of hosts as the traffic to be measured, uses the above-described method (3) for the aggregation method in the hierarchical traffic aggregation unit 12, and further, the entropy calculation unit 13 performs conditional entropy. It is a flowchart which shows the process sequence in the case of calculating.
(1) Step 101
The traffic of the link constituting the IP network is observed, and the traffic acquisition unit 10 acquires the traffic transferred packet. The output in this step is a group of packets that have passed through the link for a certain period.
(2) Step 102
The measurement target traffic extraction unit 11 extracts only the DNS inquiry packet with the destination port number 53, and generates a packet set for each transmission host i. The output at this step is the DNS inquiry packet group D i (i = 1,..., N) of the transmission host i (i = 1,..., N).

(3)ステップ103
階層的トラヒック集約部12において、送信ホストi(i=1,...,N)のDNS問い合わせパケット群D(i=1,...,N)から、ドメイン名階層k(k=1,...,M)毎に集約トラヒックを生成する。ここで、階層Mが最上位の階層、階層1が最下位の階層とする。このステップでの出力は、送信ホストi(i=1,...,N)、階層k(k=1,...,M)毎の集約DNS問い合わせパケット群D (k)(i=1,...,N)、(k=1,...,M)となる。
(4)ステップ104
エントロピー計算部13において、D (k)に対して条件付きエントロピーH(D (k−1)|D (k))(k=1,...,M) 、およびH(D (k))を計算する。このステップでの出力は、H(D (k−1)|D (k))(k=1,...,M) 、およびH(D (k))となる。
(5)ステップ105
トラヒック特性計算部14において、各送信ホストiに対して、H(D (k−1)|D (k))(k=1,...,M) 、およびH(D (k))の分布を計算、分布を外れ値となる送信ホストiを特定する。このステップでの出力は、異常トラヒック送信ホスト群となる。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
(3) Step 103
In the hierarchical traffic aggregation unit 12, the domain name hierarchy k (k = 1) from the DNS inquiry packet group D i (i = 1,..., N) of the transmission host i (i = 1,..., N). , ..., M) generate aggregate traffic. Here, the hierarchy M is the highest hierarchy and the hierarchy 1 is the lowest hierarchy. The output in this step is the aggregate DNS inquiry packet group D i (k) (i =) for each transmission host i (i = 1,..., N) and layer k (k = 1,..., M). 1, ..., N), (k = 1, ..., M).
(4) Step 104
In the entropy calculation unit 13, D i (k) with respect to the conditional entropy H (D i (k-1 ) | D i (k)) (k = 1, ..., M), and H (D i (K) ) is calculated. The outputs at this step are H (D i (k−1) | D i (k) ) (k = 1,..., M) and H (D i (k) ).
(5) Step 105
In the traffic characteristic calculation unit 14, H (D i (k−1) | D i (k) ) (k = 1,..., M) and H (D i (k ) The distribution of) is calculated, and the transmission host i that is out of the distribution is specified. The output in this step is an abnormal traffic transmission host group.
As mentioned above, the invention made by the present inventor has been specifically described based on the above embodiments. However, the present invention is not limited to the above embodiments, and various modifications can be made without departing from the scope of the invention. Of course.

10 トラヒック取得部
11 計測対象トラヒック抽出部
12 階層的トラヒック集約部
13 エントロピー計算部
14 トラヒック特性計算部
DESCRIPTION OF SYMBOLS 10 Traffic acquisition part 11 Measurement object traffic extraction part 12 Hierarchical traffic aggregation part 13 Entropy calculation part 14 Traffic characteristic calculation part

Claims (9)

トラヒックを取得するステップ1と、
計測対象トラヒックを抽出するステップ2と、
計測対象トラヒックの階層構造に応じてトラヒックを集約するステップ3と、
それぞれの階層での集約トラヒックのエントロピーを計算するステップ4と、
階層毎のエントロピーを用いて、当該トラヒックの特性付けを行うステップ5とを有し、
前記ステップ3において、N個の階層でトラヒックを集約し、
を最上位階層で集約したトラヒック、DN−1をその一段階下位の階層で集約したトラヒック、Dを集約する前の最下位階層のトラヒックとした時に、前記ステップ4において、DのエントロピーH(D)、DN−1のエントロピーH(DN−1),…, DのエントロピーH(D)を計算し、
前記ステップ5において、DのエントロピーH(D)、DN−1のエントロピーH(DN−1),…, DのエントロピーH(D)を用いて、トラヒックの特性付けを行うことを特徴とするトラヒック特性計測方法。
Step 1 to get traffic,
Step 2 for extracting traffic to be measured;
Step 3 for aggregating traffic according to the hierarchical structure of the traffic to be measured;
Step 4 for calculating the entropy of aggregate traffic at each hierarchy;
And step 5 for characterizing the traffic using the entropy for each hierarchy,
In step 3, the traffic is aggregated in N layers,
D N traffic that aggregates at the highest layer, the traffic that aggregates the D N-1 in the hierarchy of the one step lower, when the traffic in front of the lowest hierarchy aggregating D 0, in step 4, D N Entropy H (D N ), D n−1 entropy H (D N−1 ),..., D 0 entropy H (D 0 ),
In Step 5, D N entropy H (D N), D N -1 of entropy H (D N-1), ..., using the entropy H (D 0) of D 0, performing the characterization of the traffic A traffic characteristic measuring method characterized by the above.
トラヒックを取得するステップ1と、
計測対象トラヒックを抽出するステップ2と、
計測対象トラヒックの階層構造に応じてトラヒックを集約するステップ3と、
それぞれの階層での集約トラヒックのエントロピーを計算するステップ4と、
階層毎のエントロピーを用いて、当該トラヒックの特性付けを行うステップ5とを有し、
前記ステップ3において、N個の階層でトラヒックを集約し、
を最上位階層で集約したトラヒック、DN−1をその一段階下位の階層で集約したトラヒック、Dを集約する前の最下位階層のトラヒックとした時に、前記ステップ4において、DのエントロピーH(D)、Dで条件付けられたDN−1のエントロピーH(DN−1|D)、DN−1で条件付けられたDN−2のエントロピーH(DN−2|DN−1),…,Dで条件付けられたDのエントロピーH(D|D)を計算し、
前記ステップ5において、DのエントロピーH(D)、Dで条件付けられたDN−1のエントロピーH(DN−1|D)、DN−1で条件付けられたDN−2のエントロピーH(DN−2|DN−1),…,Dで条件付けられたDのエントロピーH(D|D)を用いて、トラヒックの特性付けを行うことを特徴とするトラヒック特性計測方法。
Step 1 to get traffic,
Step 2 for extracting traffic to be measured;
Step 3 for aggregating traffic according to the hierarchical structure of the traffic to be measured;
Step 4 for calculating the entropy of aggregate traffic at each hierarchy;
And step 5 for characterizing the traffic using the entropy for each hierarchy,
In step 3, the traffic is aggregated in N layers,
D N traffic that aggregates at the highest layer, the traffic that aggregates the D N-1 in the hierarchy of the one step lower, when the traffic in front of the lowest hierarchy aggregating D 0, in step 4, D N entropy H (D N), D D conditioned in N N-1 of entropy H (D N-1 | D N), D N-1 in conditioned and D N-2 entropy H (D N- 2 | computes the D 1), | D N- 1), ..., entropy H of the D 0 which are conditioned by D 1 (D 0
In step 5, the entropy H (D N) of D N, D conditioned in N D N-1 of entropy H (D N-1 | D N), D N-2 , which is conditioned by the D N-1 entropy H (D N-2 | D N-1), ..., entropy H of the D 0 which are conditioned by D 1 | using (D 0 D 1), and performs characterization of the traffic Traffic characteristic measurement method.
前記ステップ4において、各階層毎のエントロピーをその最大値で正規化し、
前記ステップ5において、正規化した各階層毎のエントロピーを用いて、トラヒックの特性付けを行うことを特徴とする請求項1または請求項2に記載のトラヒック特性計測方法。
In step 4, the entropy for each layer is normalized by its maximum value,
3. The traffic characteristic measuring method according to claim 1, wherein in step 5, the traffic is characterized using the normalized entropy for each layer.
前記ステップ5において、階層的に集約したトラヒックのエントロピーの時系列を生成し、その時系列の変動によりトラヒックの異常を検出することを特徴とする請求項1ないし請求項3のいずれか1項に記載のトラヒック特性計測方法。   4. The traffic entropy time series aggregated hierarchically is generated in the step 5, and a traffic abnormality is detected based on the time series fluctuation. 5. Traffic characteristics measurement method. 前記計測対象のトラヒックは、ホスト単位のトラヒックであり、
当該計測したホスト単位のトラヒック特性を、ホストの異常・正常分類に用いることを特徴とする請求項1ないし請求項3のいずれか1項に記載のトラヒック特性計測方法。
The traffic to be measured is host-based traffic,
4. The traffic characteristic measuring method according to claim 1, wherein the measured traffic characteristic of each host is used for abnormal / normal classification of the host.
トラヒックを取得するトラヒック取得部と、
計測対象トラヒックを抽出する計測対象トラヒック抽出部と、
計測対象トラヒックの階層構造に応じてトラヒックを集約する階層的トラヒック集約部と、
それぞれの階層での集約トラヒックのエントロピーを計算するエントロピー計算部と、
階層毎のエントロピーを用いて、当該トラヒックの特性付けを行うトラヒック特性計算部とを有するトラヒック特性計測装置であって、
前記階層的トラヒック集約部は、N個の階層でトラヒックを集約し、
を最上位階層で集約したトラヒック、DN−1をその一段階下位の階層で集約したトラヒック、Dを集約する前の最下位階層のトラヒックとした時に、前記エントロピー計算部は、DのエントロピーH(D)、DN−1のエントロピーH(DN−1),…, DのエントロピーH(D)を計算し、
前記トラヒック特性計算部は、DのエントロピーH(D)、DN−1のエントロピーH(DN−1),…, DのエントロピーH(D)を用いて、トラヒックの特性付けを行うことを特徴とするトラヒック特性計測装置。
A traffic acquisition unit for acquiring traffic;
A measurement target traffic extraction unit for extracting measurement target traffic;
A hierarchical traffic aggregation unit that aggregates traffic according to the hierarchical structure of the traffic to be measured;
An entropy calculator that calculates the entropy of aggregate traffic at each hierarchy;
A traffic characteristic measurement device having a traffic characteristic calculation unit for characterizing the traffic using entropy for each layer,
The hierarchical traffic aggregation unit aggregates traffic in N layers,
D N traffic that aggregates at the highest layer, traffic aggregated at D N-1 a stage lower layer thereof, when the traffic in front of the lowest hierarchy aggregating D 0, the entropy calculator, D N entropy H (D N ), D N−1 entropy H (D N−1 ),..., D 0 entropy H (D 0 ),
The traffic characteristic calculation unit, D N entropy H (D N), D N -1 of entropy H (D N-1), ..., using the entropy H (D 0) of D 0, characterization of the traffic A traffic characteristic measuring apparatus characterized by
トラヒックを取得するトラヒック取得部と、
計測対象トラヒックを抽出する計測対象トラヒック抽出部と、
計測対象トラヒックの階層構造に応じてトラヒックを集約する階層的トラヒック集約部と、
それぞれの階層での集約トラヒックのエントロピーを計算するエントロピー計算部と、
階層毎のエントロピーを用いて、当該トラヒックの特性付けを行うトラヒック特性計算部とを有するトラヒック特性計測装置であって、
前記階層的トラヒック集約部は、N個の階層でトラヒックを集約し、
を最上位階層で集約したトラヒック、DN−1をその一段階下位の階層で集約したトラヒック、Dを集約する前の最下位階層のトラヒックとした時に、前記エントロピー計算部は、DのエントロピーH(D)、Dで条件付けられたDN−1のエントロピーH(DN−1|D)、DN−1で条件付けられたDN−2のエントロピーH(DN−2|DN−1),…,Dで条件付けられたDのエントロピーH(D|D)を計算し、
前記トラヒック特性計算部は、DのエントロピーH(D)、Dで条件付けられたDN−1のエントロピーH(DN−1|D)、DN−1で条件付けられたDN−2のエントロピーH(DN−2|DN−1),…,Dで条件付けられたDのエントロピーH(D|D)を用いて、トラヒックの特性付けを行うことを特徴とするトラヒック特性計測装置。
A traffic acquisition unit for acquiring traffic;
A measurement target traffic extraction unit for extracting measurement target traffic;
A hierarchical traffic aggregation unit that aggregates traffic according to the hierarchical structure of the traffic to be measured;
An entropy calculator that calculates the entropy of aggregate traffic at each hierarchy;
A traffic characteristic measurement device having a traffic characteristic calculation unit for characterizing the traffic using entropy for each layer,
The hierarchical traffic aggregation unit aggregates traffic in N layers,
D N traffic that aggregates at the highest layer, traffic aggregated at D N-1 a stage lower layer thereof, when the traffic in front of the lowest hierarchy aggregating D 0, the entropy calculator, D N entropy H (D N), D conditioned in N D N-1 of entropy H (D N-1 | D N), D D conditioned by N-1 N-2 entropy H (D N -2 | computes the D 1), | D N- 1), ..., entropy H of the D 0 which are conditioned by D 1 (D 0
The traffic characteristic calculation unit includes an entropy H (D N) of D N, D D conditioned in N N-1 of entropy H (D N-1 | D N), D conditioned by D N-1 N −2 entropy H (D N−2 | D N−1 ),..., D 1 , D 0 entropy H (D 0 | D 1 ) is used to characterize the traffic. Traffic characteristic measuring device.
前記エントロピー計算部は、各階層毎のエントロピーをその最大値で正規化し、
前記トラヒック特性計算部は、正規化した各階層毎のエントロピーを用いて、トラヒックの特性付けを行うことを特徴とする請求項6または請求項7に記載のトラヒック特性計測装置。
The entropy calculation unit normalizes the entropy for each layer by its maximum value,
8. The traffic characteristic measuring apparatus according to claim 6, wherein the traffic characteristic calculation unit performs traffic characteristic using the normalized entropy for each layer.
前記トラヒック特性計算部は、階層的に集約したトラヒックのエントロピーの時系列を生成し、その時系列の変動によりトラヒックの異常を検出することを特徴とする請求項6ないし請求項8のいずれか1項に記載のトラヒック特性計測方法。   9. The traffic characteristic calculation unit generates a time series of traffic entropy aggregated in a hierarchical manner, and detects an abnormality in traffic based on a change in the time series. The traffic characteristic measurement method described in 1.
JP2009155761A 2009-06-30 2009-06-30 Traffic characteristic measuring method and apparatus Expired - Fee Related JP4980396B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009155761A JP4980396B2 (en) 2009-06-30 2009-06-30 Traffic characteristic measuring method and apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009155761A JP4980396B2 (en) 2009-06-30 2009-06-30 Traffic characteristic measuring method and apparatus

Publications (2)

Publication Number Publication Date
JP2011015047A JP2011015047A (en) 2011-01-20
JP4980396B2 true JP4980396B2 (en) 2012-07-18

Family

ID=43593538

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009155761A Expired - Fee Related JP4980396B2 (en) 2009-06-30 2009-06-30 Traffic characteristic measuring method and apparatus

Country Status (1)

Country Link
JP (1) JP4980396B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2819458B1 (en) 2012-02-20 2018-08-08 Nec Corporation Vehicle-mounted device and congestion control method
JP7750431B2 (en) * 2022-11-17 2025-10-07 Ntt株式会社 Aggregation device, aggregation method, and program

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080066653A (en) * 2005-06-29 2008-07-16 트러스티스 오브 보스턴 유니버시티 Method for full network anomaly diagnosis and method for detecting and classifying network anomalies using device and traffic feature distribution
JP4559462B2 (en) * 2007-10-29 2010-10-06 日本電信電話株式会社 Anomaly detection method, apparatus, program, and recording medium due to communication related structure change

Also Published As

Publication number Publication date
JP2011015047A (en) 2011-01-20

Similar Documents

Publication Publication Date Title
US10027694B1 (en) Detecting denial of service attacks on communication networks
US8260914B1 (en) Detecting DNS fast-flux anomalies
JP6535809B2 (en) Anomaly detection device, an anomaly detection system, and an anomaly detection method
CN111371735B (en) Botnet detection method, system and storage medium
US10129270B2 (en) Apparatus, system and method for identifying and mitigating malicious network threats
US20160080236A1 (en) Detecting Network Services Based On Network Flow Data
WO2011113239A1 (en) Flow detection method for domain name system and domain name server thereof
Berger et al. Mining agile DNS traffic using graph analysis for cybercrime detection
EP3242240B1 (en) Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program
US11283757B2 (en) Mapping internet routing with anycast and utilizing such maps for deploying and operating anycast points of presence (PoPs)
CN106534068B (en) Method and device for cleaning counterfeit source IP in DDOS defense system
Martinez-Bea et al. Real-time malicious fast-flux detection using DNS and bot related features
Zhao et al. IP Geolocation based on identification routers and local delay distribution similarity
CN107135238A (en) A kind of DNS reflection amplification attacks detection method, apparatus and system
Lee et al. Identifying and aggregating homogeneous ipv4/24 blocks with hobbit
TWI677209B (en) Domain name filtering method
Qin et al. A new connection degree calculation and measurement method for large scale network monitoring
EP3918762B1 (en) Port scan detection
JP4980396B2 (en) Traffic characteristic measuring method and apparatus
Yang et al. BGP anomaly detection-a path-based apporach
JP6393010B2 (en) Analysis method, analysis apparatus, and analysis program
Zhang et al. 6Hound: An efficient IPv6 DNS resolver discovery model based on reinforcement learning
Oudah et al. Using burstiness for network applications classification
Li et al. Detecting saturation attacks in software-defined networks
TWI634769B (en) Method for detecting domain name transformation botnet through proxy server log

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110802

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110802

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120301

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120417

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120418

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150427

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4980396

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees