特許

J-GLOBAL ID：201103043187247866

異常トラヒック検出方法およびその装置およびプログラム

発明者： 川原 亮一 ,  森 達哉 ,  上山 憲昭 ,  原田 薫明 ,  石橋 圭介
出願人/特許権者： 日本電信電話株式会社
代理人 (3件)： 秋田 収喜 ,  近野 恵一 ,  井上 雅夫
公報種別：特許公報
出願番号（国際出願番号）：特願2006-297383
公開番号（公開出願番号）：特開2008-118242
特許番号：特許第4324189号
出願日： 2006年11月01日
公開日（公表日）： 2008年05月22日
請求項（抜粋）：

【請求項1】 フローに関する情報を収集分析し、予め定めた監視単位毎に、予め定めた時間間隔t0毎の発生トラヒック量を測定し、観測するトラヒック量として、発生バイト数、発生パケット数、発生フロー数のいずれかをN_tとして、t番目の測定区間におけるトラヒック量をN_tとおき、N_tの時間変化をみて異常トラヒックを検出する異常トラヒック検出装置における異常トラヒック検出方法において、 前記異常トラヒック検出装置はグループ分類手段と時系列解析手段と分割グループ数決定手段を備え、 前記グループ分類手段が、観測されたトラヒック量N_tを予め定めた規則にしたがってM個にグループ分けし、j番目のグループにおけるトラヒック量をN_t(j)(このとき、Σj=1〜MN_t(j)=N_t)とし、N_t(j)を前記時系列解析手段に通知するステップと、 前記時系列解析手段が、各グループjにおけるN_t(j)に関する時系列を解析し、N_t(j)の時間的変化を検出したら、該グループに異常トラヒックが発生したとして検出するステップと、 前記分割グループ数決定手段が、分割グループ数Mを決定する際に、フロー数を監視する場合、 正常フローに関して、パケットサンプリングを行う前のフロー数の平均mと分散σ^2を実データ分析により事前に定めておき、 正常フロー数Yが平均m、分散σ^2の正規分布N(m,σ^2)に従うとし、F(y,m,σ^2)=P[Y<y]とし(つまりYがy以下となる確率を正規分布N(m、σ^2)を用いて計算する)、検出すべき異常フロー数dをd=argmin{d|F(m-d+α×σ,m,σ^2)<ε}とし(εは異常トラヒック非検知率に対する予め定めた目標値である(0<ε<1))、 サンプリング確率pでパケットサンプリングを行ったときの平均フロー数m(p)と分散σ(p)^2を測定し、これをM個のグループに分割したときのグループjでのフロー数m(p,j)をm(p,j)=m(p)/Mとし、分散σ(p,j)^2をσ(p,j)^2=σ(p)^2/Mにより計算するステップと、 前記ステップの準備の下、分割グループ数Mを、M=argmin{M|F(m(p,j)+α×σ(p,j),m(p,j)+d×p,σ(p,j)^2+d×p×(1-p))<ε}と設定するステップと、 を有することを特徴とする異常トラヒック検出方法。

IPC (1件)：

H04L 12/56 ( 200 6.01)

FI (1件)：

H04L 12/56 400 Z

引用特許：

審査官引用 (2件)

• ネットワーク異常検出装置
  公報種別：公開公報   出願番号：特願2005-049461   出願人：三菱電機株式会社
• ネットワークのボトルネック特定方法と装置およびプログラム
  公報種別：公開公報   出願番号：特願2005-000060   出願人：日本電信電話株式会社