知財求人 - 知財ポータルサイト「IP Force」
▶ エヌエスフォーカス インフォメーション テクノロジー カンパニー,リミテッドの特許一覧 ▶ エヌエスフォーカス テクノロジーズ インクの特許一覧
特許6850902ネットワークにおけるトラフィックの異常を検出するための方法および装置
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6850902
(24)【登録日】2021年3月10日
(45)【発行日】2021年3月31日
(54)【発明の名称】ネットワークにおけるトラフィックの異常を検出するための方法および装置
(51)【国際特許分類】
H04L 12/70 20130101AFI20210322BHJP
【FI】
H04L12/70 100Z
【請求項の数】17
【全頁数】23
(21)【出願番号】特願2019-552323(P2019-552323)
(86)(22)【出願日】2017年11月27日
(65)【公表番号】特表2020-501476(P2020-501476A)
(43)【公表日】2020年1月16日
(86)【国際出願番号】CN2017113217
(87)【国際公開番号】WO2018121157
(87)【国際公開日】20180705
【審査請求日】2019年6月12日
(31)【優先権主張番号】201611246751.7
(32)【優先日】2016年12月29日
(33)【優先権主張国】CN
(73)【特許権者】
【識別番号】511273078
【氏名又は名称】エヌエスフォーカス インフォメーション テクノロジー カンパニー,リミテッド
【氏名又は名称原語表記】NSFOCUS INFORMATION TECHNOLOGY CO.,LTD
(73)【特許権者】
【識別番号】515056130
【氏名又は名称】エヌエスフォーカス テクノロジーズ インク
【氏名又は名称原語表記】NSFOCUS TECHNOLOGIES,INC.
(74)【代理人】
【識別番号】110000671
【氏名又は名称】八田国際特許業務法人
(72)【発明者】
【氏名】ウー,ヅジェン
【審査官】
大石 博見
(56)【参考文献】
【文献】
国際公開第2017/163352(WO,A1)
【文献】
米国特許出願公開第2011/0267964(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/70
(57)【特許請求の範囲】
【請求項1】
所定期間内にネットワーク監視ノードによって生成されたNetflowを取得するステップと、
前記Netflowのうちのいずれかの属性に対して、前記いずれかの属性に基づいて、前記Netflowを所定の時間間隔で集約し、前記いずれかの属性に関するN個の時系列を生成するステップと、
それぞれの属性に対応するそれぞれのN個の時系列に基づいて、前記Netflowに対応するN個の検知しようとするサンプルを確定するステップと、
第1検知しようとするサンプルの第1属性に対応する第1時系列に対して、前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれの角度の非類似度を計算し、前記第1時系列に対応するN−1個の角度の非類似度に基づいて、前記第1時系列に関する第1検知結果を確定するステップと、
それぞれの検知しようとするサンプルのそれぞれの時系列の検知結果に基づいて、前記それぞれの検知しようとするサンプルが異常データフローであるかどうかを確定するステップとを備え、
前記それぞれの検知しようとするサンプルは同じ集約期間内のそれぞれの属性に対応する時系列を含み、
前記第1検知しようとするサンプルはN個の検知しようとするサンプルのうちのいずれかであり、前記第1属性は前記Netflowの属性のうちのいずれかであり、それぞれの角度の非類似度は第1時系列ベクトルと第2時系列ベクトルとの間の夾角の正弦であることを特徴とする、ネットワークにおけるトラフィックの異常を検出するための方法。
前記Netflowのうちのいずれかの属性に対して、前記いずれかの属性に基づいて、前記Netflowを所定の時間間隔で集約し、前記いずれかの属性に関するN個の時系列を生成するステップと、
それぞれの属性に対応するそれぞれのN個の時系列に基づいて、前記Netflowに対応するN個の検知しようとするサンプルを確定するステップと、
第1検知しようとするサンプルの第1属性に対応する第1時系列に対して、前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれの角度の非類似度を計算し、前記第1時系列に対応するN−1個の角度の非類似度に基づいて、前記第1時系列に関する第1検知結果を確定するステップと、
それぞれの検知しようとするサンプルのそれぞれの時系列の検知結果に基づいて、前記それぞれの検知しようとするサンプルが異常データフローであるかどうかを確定するステップとを備え、
前記それぞれの検知しようとするサンプルは同じ集約期間内のそれぞれの属性に対応する時系列を含み、
前記第1検知しようとするサンプルはN個の検知しようとするサンプルのうちのいずれかであり、前記第1属性は前記Netflowの属性のうちのいずれかであり、それぞれの角度の非類似度は第1時系列ベクトルと第2時系列ベクトルとの間の夾角の正弦であることを特徴とする、ネットワークにおけるトラフィックの異常を検出するための方法。
【請求項2】
前記第1時系列に対応するN−1個の角度の非類似度に基づいて、前記第1時系列に関する第1検知結果を確定するステップでは、
前記第1時系列に対応するN−1個の角度の非類似度の総計が設定した閾値より大きいかどうかを判断して、大きければ、前記第1時系列が異常時系列である第1検知結果を生成し、そうでなければ、前記第1時系列が正常時系列である第1検知結果を生成し、
前記それぞれの検知しようとするサンプルのそれぞれの時系列の検知結果に基づいて、前記検知しようとするサンプルが異常データフローであるかどうかを確定するステップでは、
それぞれの検知しようとするサンプルの異常時系列の数量が前記検知しようとするサンプルの正常時系列の数量より多いかどうかを確定し、多ければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローであることを含むことを特徴とする、請求項1に記載のネットワークにおけるトラフィックの異常を検出するための方法。
前記第1時系列に対応するN−1個の角度の非類似度の総計が設定した閾値より大きいかどうかを判断して、大きければ、前記第1時系列が異常時系列である第1検知結果を生成し、そうでなければ、前記第1時系列が正常時系列である第1検知結果を生成し、
前記それぞれの検知しようとするサンプルのそれぞれの時系列の検知結果に基づいて、前記検知しようとするサンプルが異常データフローであるかどうかを確定するステップでは、
それぞれの検知しようとするサンプルの異常時系列の数量が前記検知しようとするサンプルの正常時系列の数量より多いかどうかを確定し、多ければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローであることを含むことを特徴とする、請求項1に記載のネットワークにおけるトラフィックの異常を検出するための方法。
【請求項3】
前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれの角度の非類似度を計算するステップでは、
式1に基づいて前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれのN−1個の角度の非類似度を計算し、
前記式1は
であり、
ここで、xは第1時系列ベクトルであり、yは第2時系列ベクトルであり、θxyは時系列ベクトル間の角度であり、前記sinθxyは角度の非類似度であることを特徴とする、請求項1に記載のネットワークにおけるトラフィックの異常を検出するための方法。
式1に基づいて前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれのN−1個の角度の非類似度を計算し、
前記式1は
【数1】
であり、
ここで、xは第1時系列ベクトルであり、yは第2時系列ベクトルであり、θxyは時系列ベクトル間の角度であり、前記sinθxyは角度の非類似度であることを特徴とする、請求項1に記載のネットワークにおけるトラフィックの異常を検出するための方法。
【請求項4】
第1検知しようとするサンプルの第1属性に対応する第1時系列を、所定の前記第1属性に対応する1クラスSVM分類器を用いて分類し、
分類結果に基づいて、前記第1時系列に関する第2検知結果を確定し、ここで、分類結果が同類であれば、前記第2検知結果が正常な時系列であり、分類結果が同類でなければ、前記第2検知結果が異常時系列であり、
前記第1検知結果と前記第2検知結果の加重和を求め、前記第1時系列の目標検知結果を得て、
前記それぞれの検知しようとするサンプルのそれぞれの時系列の検知結果に基づいて、前記検知しようとするサンプルが異常データフローであるかどうかを確定するステップでは、
それぞれの検知しようとするサンプルのそれぞれの時系列に対応する目標検知結果の異常時系列が正常時系列より大きいかどうかを確定し、大きければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローであることを特徴とする、請求項1に記載のネットワークにおけるトラフィックの異常を検出するための方法。
分類結果に基づいて、前記第1時系列に関する第2検知結果を確定し、ここで、分類結果が同類であれば、前記第2検知結果が正常な時系列であり、分類結果が同類でなければ、前記第2検知結果が異常時系列であり、
前記第1検知結果と前記第2検知結果の加重和を求め、前記第1時系列の目標検知結果を得て、
前記それぞれの検知しようとするサンプルのそれぞれの時系列の検知結果に基づいて、前記検知しようとするサンプルが異常データフローであるかどうかを確定するステップでは、
それぞれの検知しようとするサンプルのそれぞれの時系列に対応する目標検知結果の異常時系列が正常時系列より大きいかどうかを確定し、大きければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローであることを特徴とする、請求項1に記載のネットワークにおけるトラフィックの異常を検出するための方法。
【請求項5】
前記所定の第1属性に対応する1クラスSVM分類器は次の方法に基づいて生成したものであり、
前記所定期間前の過去のNetflowを取得し、
前記過去のNetflowの第1属性に対して、前記第1属性に基づいて、前記過去のNetflowを所定の時間間隔で集約し、前記第1属性に関するN個の時系列を生成し、前記第1属性は前記Netflowの属性のうちのいずれかであり、
第1属性に対応するN個の時系列をトレーニングデータとして、前記第1属性に関する1クラスSVM分類器を生成することを特徴とする、請求項1に記載のネットワークにおけるトラフィックの異常を検出するための方法。
前記所定期間前の過去のNetflowを取得し、
前記過去のNetflowの第1属性に対して、前記第1属性に基づいて、前記過去のNetflowを所定の時間間隔で集約し、前記第1属性に関するN個の時系列を生成し、前記第1属性は前記Netflowの属性のうちのいずれかであり、
第1属性に対応するN個の時系列をトレーニングデータとして、前記第1属性に関する1クラスSVM分類器を生成することを特徴とする、請求項1に記載のネットワークにおけるトラフィックの異常を検出するための方法。
【請求項6】
所定期間内にネットワーク監視ノードによって生成されたNetflowを取得するための取得ユニットと、
前記Netflowのうちのいずれかの属性に対して、前記いずれかの属性に基づいて、前記Netflowを所定の時間間隔で集約し、前記いずれかの属性に関するN個の時系列を生成するための処理ユニットと、
それぞれの属性に対応するそれぞれのN個の時系列に基づいて、前記Netflowに対応するN個の検知しようとするサンプルを確定するための確定ユニットであって、前記それぞれの検知しようとするサンプルは同じ集約期間内のそれぞれの属性に対応する時系列を含む前記確定ユニットと、
第1検知しようとするサンプルの第1属性に対応する第1時系列に対して、前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれの角度の非類似度を計算するための計算ユニットであって、前記第1検知しようとするサンプルはN個の検知しようとするサンプルのうちのいずれかであり、前記第1属性は前記Netflowの属性のうちのいずれかであり、それぞれの角度の非類似度は第1時系列ベクトルと第2時系列ベクトルとの間の夾角の正弦である前記計算ユニットと、
前記第1時系列に対応するN−1個の角度の非類似度に基づいて、前記第1時系列に関する第1検知結果を確定し、それぞれの検知しようとするサンプルのそれぞれの時系列の検知結果に基づいて、前記それぞれの検知しようとするサンプルが異常データフローであるかどうかを確定するための検知ユニットとを備えることを特徴とする、ネットワークにおけるトラフィックの異常を検出するための装置。
前記Netflowのうちのいずれかの属性に対して、前記いずれかの属性に基づいて、前記Netflowを所定の時間間隔で集約し、前記いずれかの属性に関するN個の時系列を生成するための処理ユニットと、
それぞれの属性に対応するそれぞれのN個の時系列に基づいて、前記Netflowに対応するN個の検知しようとするサンプルを確定するための確定ユニットであって、前記それぞれの検知しようとするサンプルは同じ集約期間内のそれぞれの属性に対応する時系列を含む前記確定ユニットと、
第1検知しようとするサンプルの第1属性に対応する第1時系列に対して、前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれの角度の非類似度を計算するための計算ユニットであって、前記第1検知しようとするサンプルはN個の検知しようとするサンプルのうちのいずれかであり、前記第1属性は前記Netflowの属性のうちのいずれかであり、それぞれの角度の非類似度は第1時系列ベクトルと第2時系列ベクトルとの間の夾角の正弦である前記計算ユニットと、
前記第1時系列に対応するN−1個の角度の非類似度に基づいて、前記第1時系列に関する第1検知結果を確定し、それぞれの検知しようとするサンプルのそれぞれの時系列の検知結果に基づいて、前記それぞれの検知しようとするサンプルが異常データフローであるかどうかを確定するための検知ユニットとを備えることを特徴とする、ネットワークにおけるトラフィックの異常を検出するための装置。
【請求項7】
前記検知ユニットは、
前記第1時系列に対応するN−1個の角度の非類似度の総計が設定した閾値より大きいかどうかを判断して、大きければ、前記第1時系列が異常時系列である第1検知結果を生成し、そうでなければ、前記第1時系列が正常時系列である第1検知結果を生成し、
それぞれの検知しようとするサンプルの異常時系列の数量が前記検知しようとするサンプルの正常時系列の数量より多いかどうかを確定し、多ければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローであることを特徴とする、請求項6に記載のネットワークにおけるトラフィックの異常を検出するための装置。
前記第1時系列に対応するN−1個の角度の非類似度の総計が設定した閾値より大きいかどうかを判断して、大きければ、前記第1時系列が異常時系列である第1検知結果を生成し、そうでなければ、前記第1時系列が正常時系列である第1検知結果を生成し、
それぞれの検知しようとするサンプルの異常時系列の数量が前記検知しようとするサンプルの正常時系列の数量より多いかどうかを確定し、多ければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローであることを特徴とする、請求項6に記載のネットワークにおけるトラフィックの異常を検出するための装置。
【請求項8】
前記計算ユニットは、
式1に基づいて、前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性がそれぞれ対応しているN−1個の第2時系列との間のN−1個の角度の非類似度を計算するのに用い、
前記式1は
であり、
ここで、xは第1時系列ベクトルであり、yは第2時系列ベクトルであり、θxyは時系列ベクトル間の角度であり、前記sinθxyは角度の非類似度であることを特徴とする、請求項6に記載のネットワークにおけるトラフィックの異常を検出するための装置。
式1に基づいて、前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性がそれぞれ対応しているN−1個の第2時系列との間のN−1個の角度の非類似度を計算するのに用い、
前記式1は
【数2】
であり、
ここで、xは第1時系列ベクトルであり、yは第2時系列ベクトルであり、θxyは時系列ベクトル間の角度であり、前記sinθxyは角度の非類似度であることを特徴とする、請求項6に記載のネットワークにおけるトラフィックの異常を検出するための装置。
【請求項9】
第1検知しようとするサンプルの第1属性に対応する第1時系列を、所定の前記第1属性に対応する1クラスSVM分類器を用いて分類するための分類ユニットをさらに備え、
前記検知ユニットは、分類結果に基づいて前記第1時系列に関する第2検知結果を確定するに用い、ここで、分類結果が同類であれば、前記第2検知結果が正常な時系列であり、分類結果が同類でなければ、前記第2検知結果が異常時系列であり、前記第1検知結果と前記第2検知結果の加重和を求め、前記第1時系列の目標検知結果を得て、それぞれの検知しようとするサンプルのそれぞれの時系列に対応する目標検知結果の異常時系列が正常な時系列より大きいかどうかを確定し、大きければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローであることを特徴とする、請求項6に記載のネットワークにおけるトラフィックの異常を検出するための装置。
前記検知ユニットは、分類結果に基づいて前記第1時系列に関する第2検知結果を確定するに用い、ここで、分類結果が同類であれば、前記第2検知結果が正常な時系列であり、分類結果が同類でなければ、前記第2検知結果が異常時系列であり、前記第1検知結果と前記第2検知結果の加重和を求め、前記第1時系列の目標検知結果を得て、それぞれの検知しようとするサンプルのそれぞれの時系列に対応する目標検知結果の異常時系列が正常な時系列より大きいかどうかを確定し、大きければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローであることを特徴とする、請求項6に記載のネットワークにおけるトラフィックの異常を検出するための装置。
【請求項10】
次の方法で前記所定の前記第1属性に対応する1クラスSVM分類器を生成するのに用いる1クラスSVM分類器生成ユニットをさらに備え、
前記所定期間前の過去のNetflowを取得し、
前記過去のNetflowの第1属性に対して、前記第1属性に基づいて、前記過去のNetflowを所定の時間間隔で集約し、前記第1属性に関するN個の時系列を生成し、前記第1属性は前記Netflowの属性のうちのいずれかであり、
第1属性に対応するN個の時系列をトレーニングデータとして、前記第1属性に関する1クラスSVM分類器を生成することを特徴とする、請求項6に記載のネットワークにおけるトラフィックの異常を検出するための装置。
前記所定期間前の過去のNetflowを取得し、
前記過去のNetflowの第1属性に対して、前記第1属性に基づいて、前記過去のNetflowを所定の時間間隔で集約し、前記第1属性に関するN個の時系列を生成し、前記第1属性は前記Netflowの属性のうちのいずれかであり、
第1属性に対応するN個の時系列をトレーニングデータとして、前記第1属性に関する1クラスSVM分類器を生成することを特徴とする、請求項6に記載のネットワークにおけるトラフィックの異常を検出するための装置。
【請求項11】
通信用インタフェース、プロセッサーおよびメモリを含み、
前記プロセッサーはメモリに格納された命令を読み出し、前記通信用インタフェースを通じて所定期間内にネットワーク監視ノードによって生成されたたNetflowを取得し、
前記Netflowのうちのいずれかの属性に対して、前記いずれかの属性に基づいて、前記Netflowを所定の時間間隔で集約し、前記いずれかの属性に関するN個の時系列を生成し、
それぞれの属性に対応するそれぞれのN個の時系列に基づいて、前記Netflowに対応するN個の検知しようとするサンプルを確定し、ここで、前記それぞれの検知しようとするサンプルは同じ集約期間内のそれぞれの属性に対応する時系列を含み、
第1検知しようとするサンプルの第1属性に対応する第1時系列に対して、前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれの角度の非類似度を計算し、前記第1検知しようとするサンプルはN個の検知しようとするサンプルのうちのいずれかであり、前記第1属性は前記Netflowの属性のうちのいずれかであり、それぞれの角度の非類似度は第1時系列ベクトルと第2時系列ベクトルとの間の夾角の正弦であり、前記第1時系列に対応するN−1個の角度の非類似度に基づいて、前記第1時系列に関する第1検知結果を確定し、
それぞれの検知しようとするサンプルのそれぞれの時系列の検知結果に基づいて、前記それぞれの検知しようとするサンプルが異常データフローであるかどうかを確定することを特徴とする、電子装置。
前記プロセッサーはメモリに格納された命令を読み出し、前記通信用インタフェースを通じて所定期間内にネットワーク監視ノードによって生成されたたNetflowを取得し、
前記Netflowのうちのいずれかの属性に対して、前記いずれかの属性に基づいて、前記Netflowを所定の時間間隔で集約し、前記いずれかの属性に関するN個の時系列を生成し、
それぞれの属性に対応するそれぞれのN個の時系列に基づいて、前記Netflowに対応するN個の検知しようとするサンプルを確定し、ここで、前記それぞれの検知しようとするサンプルは同じ集約期間内のそれぞれの属性に対応する時系列を含み、
第1検知しようとするサンプルの第1属性に対応する第1時系列に対して、前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれの角度の非類似度を計算し、前記第1検知しようとするサンプルはN個の検知しようとするサンプルのうちのいずれかであり、前記第1属性は前記Netflowの属性のうちのいずれかであり、それぞれの角度の非類似度は第1時系列ベクトルと第2時系列ベクトルとの間の夾角の正弦であり、前記第1時系列に対応するN−1個の角度の非類似度に基づいて、前記第1時系列に関する第1検知結果を確定し、
それぞれの検知しようとするサンプルのそれぞれの時系列の検知結果に基づいて、前記それぞれの検知しようとするサンプルが異常データフローであるかどうかを確定することを特徴とする、電子装置。
【請求項12】
前記プロセッサーは、
前記第1時系列に対応するN−1個の角度の非類似度の総計が設定した閾値より大きいかどうかを判断して、大きければ、前記第1時系列が異常時系列である第1検知結果を生成し、そうでなければ、前記第1時系列が正常時系列である第1検知結果を生成し、
それぞれの検知しようとするサンプルの異常時系列の数量が前記検知しようとするサンプルの正常時系列の数量より多いかどうかを確定し、多ければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローであるように用いることを特徴とする、請求項11に記載の電子装置。
前記第1時系列に対応するN−1個の角度の非類似度の総計が設定した閾値より大きいかどうかを判断して、大きければ、前記第1時系列が異常時系列である第1検知結果を生成し、そうでなければ、前記第1時系列が正常時系列である第1検知結果を生成し、
それぞれの検知しようとするサンプルの異常時系列の数量が前記検知しようとするサンプルの正常時系列の数量より多いかどうかを確定し、多ければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローであるように用いることを特徴とする、請求項11に記載の電子装置。
【請求項13】
前記プロセッサーは、
式1に基づいて前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれのN−1個の角度の非類似度を計算し、
前記式1は
であり、
ここで、xは第1時系列ベクトルであり、yは第2時系列ベクトルであり、θxyは時系列ベクトル間の角度であり、前記sinθxyは角度の非類似度であることを特徴とする、請求項11に記載の電子装置。
式1に基づいて前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれのN−1個の角度の非類似度を計算し、
前記式1は
【数3】
であり、
ここで、xは第1時系列ベクトルであり、yは第2時系列ベクトルであり、θxyは時系列ベクトル間の角度であり、前記sinθxyは角度の非類似度であることを特徴とする、請求項11に記載の電子装置。
【請求項14】
前記プロセッサーは、
第1検知しようとするサンプルの第1属性に対応する第1時系列を、所定の前記第1属性に対応する1クラスSVM分類器を用いて分類し、
分類結果に基づいて、前記第1時系列に関する第2検知結果を確定し、ここで、分類結果が同類であれば、前記第2検知結果が正常な時系列であり、分類結果が同類でなければ、前記第2検知結果が異常時系列であり、
前記第1検知結果と前記第2検知結果の加重和を求め、前記第1時系列の目標検知結果を得て、
それぞれの検知しようとするサンプルのそれぞれの時系列に対応する目標検知結果の異常時系列が正常時系列より大きいかどうかを確定し、大きければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローであることを特徴とする、請求項11に記載した電子装置。
第1検知しようとするサンプルの第1属性に対応する第1時系列を、所定の前記第1属性に対応する1クラスSVM分類器を用いて分類し、
分類結果に基づいて、前記第1時系列に関する第2検知結果を確定し、ここで、分類結果が同類であれば、前記第2検知結果が正常な時系列であり、分類結果が同類でなければ、前記第2検知結果が異常時系列であり、
前記第1検知結果と前記第2検知結果の加重和を求め、前記第1時系列の目標検知結果を得て、
それぞれの検知しようとするサンプルのそれぞれの時系列に対応する目標検知結果の異常時系列が正常時系列より大きいかどうかを確定し、大きければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローであることを特徴とする、請求項11に記載した電子装置。
【請求項15】
前記プロセッサーは、
次の方法に基づいて前記所定の前記第1属性に対応する1クラスSVM分類器を生成し、
前記通信用インタフェースを通じて前記所定期間前の過去のNetflowを取得し、
前記過去のNetflowの第1属性に対して、前記第1属性に基づいて、前記過去のNetflowを所定の時間間隔で集約し、前記第1属性に関するN個の時系列を生成し、前記第1属性は前記Netflowの属性のうちのいずれかであり、
第1属性に対応するN個の時系列をトレーニングデータとして、前記第1属性に関する1クラスSVM分類器を生成することを特徴とする、請求項11に記載した電子装置。
次の方法に基づいて前記所定の前記第1属性に対応する1クラスSVM分類器を生成し、
前記通信用インタフェースを通じて前記所定期間前の過去のNetflowを取得し、
前記過去のNetflowの第1属性に対して、前記第1属性に基づいて、前記過去のNetflowを所定の時間間隔で集約し、前記第1属性に関するN個の時系列を生成し、前記第1属性は前記Netflowの属性のうちのいずれかであり、
第1属性に対応するN個の時系列をトレーニングデータとして、前記第1属性に関する1クラスSVM分類器を生成することを特徴とする、請求項11に記載した電子装置。
【請求項16】
非一過性コンピュータが読み取り可能な記憶媒体にコンピュータによって実行可能な命令を格納し、前記コンピュータによって実行可能な命令は前記コンピュータに請求項1ないし請求項5のいずれかに記載の前記方法を実行させることを特徴とする、非一過性コンピュータ記憶媒体。
【請求項17】
非一過性コンピュータが読み取り可能な記憶媒体に格納したコンピュータプログラムを含み、前記コンピュータプログラムは前記コンピュータによって実行可能な命令を含み、前記コンピュータによって実行可能な命令がコンピュータによって実行された場合、前記コンピュータに請求項1ないし請求項5のいずれかに記載の前記方法を実行させることを特徴とする、コンピュータプログラム製品。
【発明の詳細な説明】
【技術分野】
【0001】
本出願は、2016年12月29日に中国特許庁に提出し、出願番号が201611246751.7であり、発明の名称「ネットワークにおけるトラフィックの異常を検出するための方法および装置」との中国特許出願を基礎とする優先権を主張し、その開示の総てをここに取り込む。
【0002】
本発明はネットワークセキュリティ領域、特にネットワークにおけるトラフィックの異常を検出するための方法および装置に関する。
【背景技術】
【0003】
不正侵入検知システム(IDS)などの安全装置で構成する防御システムの大部分がネットワークの入口に配置され、入口でイントラネットの環境を防護することで、ネットワーク外部からの安全脅威を大きく減らしているものの、イントラネットの安全は軽視されがちである。多くのイントラネットの防護能力が比較的脆弱なため、内部人員による越権アクセス、不正アクセス、情報漏洩などの安全事故が頻発している。そのほか、ハッカーがエクストラネットのファイアウォールを突き破ってイントラネットに侵入すると、完全にオープンしているネットワーク環境に入ったようなもので、イントラネットのすべての資源がハッカーの攻撃と窃取のターゲットになっている。
【0004】
イントラネットを防護するために、既存の技術の多くは規則に則った防御方法を取り入れている。既存の時系列を基本とする異常検知において、ヨーロッパ式ディスタンスで時系列の非類似度を量ることが多い。しかしながら、このような異常検知方法が平行移動変換や拡張変換に敏感なので、これらの変換を消去してしまうことがある。例えば、多くの場合装置のクロックが完全にシンクロナイズしているわけではなく、記録したデータが時間軸上である程度平行移動することがある。例えばバイトの数量において、異なる桁で記録する可能性があるため、時系列に拡張変換が生じる可能性がある。これらの変換が一旦取り消されてしまうと、記録したデータは類似な変化が表れる傾向があるため、データフローの検知結果に偏差が生じる結果を招いてしまう。
【0005】
上述したように、既存の方法はネットワークの異常フローを正確に検知することが難しく、検知結果の正確性を保つことができない。
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明の実施例はネットワークにおけるトラフィックの異常を検出するための方法および装置を提供し、より精確なネットワークにおけるトラフィックの異常を検出するための方法を提供することによって、検知結果の正確性を高めることが目的である。
【課題を解決するための手段】
【0007】
第1態様によれば、本発明に係るネットワークにおけるトラフィックの異常を検出するための方法は、所定期間内にネットワーク監視ノードによって生成されたネットワークデータフロー(Netflow)を取得し、前記Netflowのうちのいずれかの属性に対して、前記いずれかの属性に基づいて、前記Netflowを所定の時間間隔で集約し、前記いずれかの属性に関するN個の時系列を生成するステップと、
それぞれの属性に対応するそれぞれのN個の時系列に基づいて、前記Netflowに対応するN個の検知しようとするサンプルを確定するステップと、
第1検知しようとするサンプルの第1属性に対応する第1時系列に対して、前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれの角度の非類似度を計算し、前記第1時系列に対応するN−1個の角度の非類似度に基づいて、前記第1時系列に関する第1検知結果を確定するステップと、
それぞれの検知しようとするサンプルのそれぞれの時系列の検知結果に基づいて、前記それぞれの検知しようとするサンプルが異常データフローであるかどうかを確定するステップとを備え、
前記それぞれの検知しようとするサンプルは同じ集約期間内のそれぞれの属性に対応する時系列を含み、
前記第1検知しようとするサンプルはN個の検知しようとするサンプルのうちのいずれかであり、前記第1属性は前記Netflowの属性のうちのいずれかであり、それぞれの角度の非類似度は前記第1時系列ベクトルと前記第2時系列ベクトルとの間の夾角の正弦である。
【0008】
好ましくは、検知結果の確定方法として前記第1時系列に対応するN−1個の角度の非類似度の総計が設定した閾値より大きいかどうかを判断し、大きければ、前記第1時系列が異常時系列である第1検知結果を生成し、そうでなければ、前記第1時系列が正常時系列である第1検知結果を生成する。それから、それぞれの検知しようとするサンプルの異常時系列の数量が前記検知しようとするサンプルの正常時系列の数量より多いかどうかを確定し、多ければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローである。
【0009】
好ましくは、式1に基づいて前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれのN−1個の角度の非類似度を計算し、前記式1
【0010】
【数1】
【0011】
であり、ここで、xは第1時系列ベクトルであり、yは第2時系列ベクトルであり、θxyは時系列ベクトル間の角度であり、前記sinθxyは角度の非類似度である。
【0012】
さらに、第1検知しようとするサンプルの第1属性に対応する第1時系列を、所定の前記第1属性に対応する1クラスSVM分類器を用いて分類し、分類結果に基づいて、前記第1時系列に関する第2検知結果を確定し、ここで、分類結果が同類であれば、前記第2検知結果が正常な時系列であり、分類結果が同類でなければ、前記第2検知結果が異常時系列であり、
前記第1検知結果と前記第2検知結果の加重和を求め、第1時系列の目標検知結果を得て、
さらに、それぞれの検知しようとするサンプルのそれぞれの時系列に対応する目標検知結果の異常時系列が正常な時系列より大きいかどうかを確定し、大きければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローである。
【0013】
ここで、好ましくは、前記所定の前記第1属性に対応する1クラスSVM分類器は次の方法で生成し、前記所定期間前の過去のNetflowを取得し、
前記過去のNetflowの第1属性に対して、前記第1属性に基づいて、前記過去のNetflowを所定の時間間隔で集約し、前記第1属性に関するN個の時系列を生成し、前記第1属性は前記Netflowの属性のうちのいずれかであり、
第1属性に対応するN個の時系列をトレーニングデータとして、前記第1属性に関する1クラスSVM分類器を生成する。
【0014】
第2の態様によれば、同様な発想に基づいて、本発明の実施例はさらにネットワークにおけるトラフィックの異常を検出するための装置を提供し、当該設置は、所定期間内にネットワーク監視ノードによって生成されたNetflowを取得するための取得ユニットと、
前記Netflowのうちのいずれかの属性に対して、前記いずれかの属性に基づいて、前記Netflowを所定の時間間隔で集約し、前記いずれかの属性に関するN個の時系列を生成するための処理ユニットと、
それぞれの属性に対応するそれぞれのN個の時系列に基づいて、前記Netflowに対応するN個の検知しようとするサンプルを確定するための確定ユニットであって、前記それぞれの検知しようとするサンプルは同じ集約期間内のそれぞれの属性に対応する時系列を含む前記確定ユニットと、
第1検知しようとするサンプルの第1属性に対応する第1時系列に対して、前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれの角度の非類似度を計算するための計算ユニットであって、前記第1検知しようとするサンプルはN個の検知しようとするサンプルのうちのいずれかで、前記第1属性は前記Netflowの属性のうちのいずれかで、それぞれの角度の非類似度は前記第1時系列ベクトルと前記第2時系列ベクトルの間の夾角の正弦である計算ユニットと、
前記第1時系列に対応するN−1個の角度の非類似度に基づいて、前記第1時系列に関する第1検知結果を確定し、それぞれの検知しようとするサンプルのそれぞれの時系列の検知結果に基づいて、前記それぞれの検知しようとするサンプルが異常データフローであるかどうかを確定するための検知ユニットとを備える。
【0015】
さらに、前記検知ユニットは、前記第1時系列に対応するN−1個の角度の非類似度の総計が設定した閾値より大きいかどうかを判断して、大きければ、前記第1時系列が異常時系列である第1検知結果を生成し、そうでなければ、前記第1時系列が正常時系列である第1検知結果を生成し、
それぞれの検知しようとするサンプルの異常時系列の数量が前記検知しようとするサンプルの正常時系列の数量より多いかどうかを確定し、多ければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローである。
【0016】
さらに、前記計算ユニットは、式1に基づいて、前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性がそれぞれ対応しているN−1個の第2時系列との間のN−1個の角度の非類似度を計算し、
前記式1
【0017】
【数2】
【0018】
であり、ここで、xは第1時系列ベクトルであり、yは第2時系列ベクトルであり、θxyは時系列ベクトル間の角度であり、前記sinθxyは角度の非類似度である。
【0019】
さらに、当該設置は分類ユニットをさらに備え、分類ユニットは第1検知しようとするサンプルの第1属性に対応する第1時系列を、所定の前記第1属性に対応する1クラスSVM分類器を用いて分類するのに用い、前記検知ユニットは、また、分類結果に基づいて前記第1時系列に関する第2検知結果を確定するに用い、ここで、分類結果が同類であれば、前記第2検知結果が正常な時系列であり、分類結果が同類でなければ、前記第2検知結果が異常時系列であり、前記第1検知結果と前記第2検知結果の加重和を求め、前記第1時系列の目標検知結果を得て、それぞれの検知しようとするサンプルのそれぞれの時系列に対応する目標検知結果の異常時系列が正常な時系列より大きいかどうかを確定し、大きければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローである。
【0020】
当該設置は1クラスSVM分類器生成ユニットをさらに備え、次の方法に基づいて前記所定の前記第1属性に対応する1クラスSVM分類器を生成するのに用い、前記所定期間前の過去のNetflowを取得し、
前記過去のNetflowの第1属性に対して、前記第1属性に基づいて、前記過去のNetflowを所定の時間間隔で集約し、前記第1属性に関するN個の時系列を生成し、前記第1属性は前記Netflowの属性のうちのいずれかであり、
第1属性に対応するN個の時系列をトレーニングデータとして、前記第1属性に関する1クラスSVM分類器を生成する。
【0021】
第3の態様によれば、本願の実施例は電子装置を提供し、当該電子装置は、通信用インタフェース、プロセッサーおよびメモリを含み、前記プロセッサーはメモリに格納された命令を読み出し、
前記通信用インタフェースを通じて所定期間内にネットワーク監視ノードによって生成されたNetflowを取得し、
前記Netflowのうちのいずれかの属性に対して、前記いずれかの属性に基づいて、前記Netflowを所定の時間間隔で集約し、前記いずれかの属性に関するN個の時系列を生成し、
それぞれの属性に対応するそれぞれのN個の時系列に基づいて、前記Netflowに対応するN個の検知しようとするサンプルを確定し、ここで、前記それぞれの検知しようとするサンプルは同じ集約期間内のそれぞれの属性に対応する時系列を含み、
第1検知しようとするサンプルの第1属性に対応する第1時系列に対して、前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれの角度の非類似度を計算し、ここで、前記第1検知しようとするサンプルはN個の検知しようとするサンプルのうちのいずれかで、前記第1属性は前記Netflowの属性のうちのいずれかであり、それぞれの角度の非類似度は前記第1時系列ベクトルと前記第2時系列ベクトルとの間の夾角の正弦で、前記第1時系列に対応するN−1個の角度の非類似度に基づいて、前記第1時系列に関する第1検知結果を確定し、
それぞれの検知しようとするサンプルのそれぞれの時系列の検知結果に基づいて、前記それぞれの検知しようとするサンプルが異常データフローであるかどうかを確定する。
【0022】
好ましくは、前記プロセッサーは、前記第1時系列に対応するN−1個の角度の非類似度の総計が設定した閾値より大きいかどうかを判断して、大きければ、前記第1時系列が異常時系列である第1検知結果を生成し、そうでなければ、前記第1時系列が正常時系列である第1検知結果を生成し、
それぞれの検知しようとするサンプルのそれぞれの時系列の検知結果に基づいて、前記検知しようとするサンプルが異常データフローであるかどうかを確定する場合、
それぞれの検知しようとするサンプルの異常時系列の数量が前記検知しようとするサンプルの正常時系列の数量より多いかどうかを確定し、多ければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローである。
【0023】
好ましくは、前記プロセッサーは、式1に基づいて前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれのN−1個の角度の非類似度を計算する。
【0024】
さらに、前記プロセッサーは、第1検知しようとするサンプルの第1属性に対応する第1時系列を、所定の前記第1属性に対応する1クラスSVM分類器を用いて分類し、分類結果に基づいて、前記第1時系列に関する第2検知結果を確定し、ここで、分類結果が同類であれば、前記第2検知結果が正常な時系列であり、分類結果が同類でなければ、前記第2検知結果が異常時系列であり、
前記第1検知結果と前記第2検知結果の加重和を求め、第1時系列の目標検知結果を得て、
それぞれの検知しようとするサンプルのそれぞれの時系列に対応する目標検知結果の異常時系列が正常時系列より大きいかどうかを確定し、大きければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローである。
【0025】
さらに、前記プロセッサーは、次の方法に基づいて前記所定の前記第1属性に対応する1クラスSVM分類器を生成し、前記通信用インタフェースを通じて前記所定期間前の過去のNetflowを取得し、
前記過去のNetflowの第1属性に対して、前記第1属性に基づいて、前記過去のNetflowを所定の時間間隔で集約し、前記第1属性に関するN個の時系列を生成し、前記第1属性は前記Netflowの属性のうちのいずれかであり、
第1属性に対応するN個の時系列をトレーニングデータとして、前記第1属性に関する1クラスSVM分類器を生成する。
【0026】
第4の態様によれば、本発明の実施例は非一過性コンピュータが読み取り可能な記憶媒体を提供し、前記非一過性コンピュータが読み取り可能な記憶媒体にはコンピュータ命令が格納されており、前記コンピュータ命令は前記コンピュータに上述態様1に記載したネットワークにおけるトラフィックの異常を検出するための方法を実行させるのに用いる。
【0027】
第5の態様によれば、本発明の実施例はコンピュータプログラム製品を提供し、前記コンピュータプログラム製品は非一過性コンピュータが読み取り可能な記憶媒体に格納したコンピュータプログラムを含み、前記コンピュータプログラムはプログラム命令を含み、前記プログラム命令がコンピュータによって実行される場合、前記コンピュータは上述態様1に記載した前記ネットワークにおけるトラフィックの異常を検出するための方法を実行する。
【発明の効果】
【0028】
本発明の実施例は多次元時系列に対する異常検知を行うものであり、次元とはNetflowのそれぞれの属性を指しており、例えばソースIPアドレス、ソースポート番号、宛先IPアドレス、宛先ポート番号など、角度の非類似度の方法を利用して、Netflowの同一属性の時系列の相似性分析を通じて異常系列を探し出し、角度の非類似度は時系列ベクトル間の夾角の正弦であるため、装置のクロックが完全にシンクロナイズしなくても、検知結果の偏差を招くことはないため、本発明の実施例に係るネットワーク異常データフローの検知方法で得られた検知結果がより正確になり、こうすればタイムリー的かつ迅速的にネットワークの異常行為を発見し、効果的にネットワーク攻撃を予防することができる。
【0029】
本発明実施例の技術手段をさらに説明するために、次に実施例を説明するのに必要な図面を簡潔に紹介するが、次に陳述する図面は本発明のいくつかの実施例に過ぎず、当領域の普通の技術者にとって、創造的工夫をしなくても、これらの図面をもとにその他の図面を容易に取得できることが明白である。
【図面の簡単な説明】
【0030】
【図1】は本発明の実施例に係るネットワークにおけるトラフィックの異常を検出するための方法のフローチャートである。
【図2a】本発明の実施例に係るネットワークにおけるトラフィックの異常を検出するための結果の概略図である。
【図2b】本発明の実施例に係るネットワークにおけるトラフィックの異常を検出するための結果の概略図である。
【図2c】本発明の実施例に係るネットワークにおけるトラフィックの異常を検出するための結果の概略図である。
【図3】本発明の実施例に係るネットワークにおけるトラフィックの異常を検出するための装置の構造図である。
【図4】本発明の実施例に係る電子装置の構造図である。
【発明を実施するための形態】
【0031】
本発明の目的、技術手段と長所をさらに明確にするために、次に図面に合わせて本発明をさらに詳しく説明するが、描述している実施例は本発明の実施例の一部に過ぎず、全部の実施例でないことが明白である。本発明の実施例に基づいて、当領域の普通の技術者が創造的工夫をしなくて取得したその他のすべての実施例は、すべて本発明の保護する範囲に属するものである。
【0032】
図1に示したように、本発明の実施例はネットワークにおけるトラフィックの異常を検出するための方法のフローチャートを提供し、具体的な実現方法は次のステップを備える。
【0033】
ステップS101において、所定期間内にネットワーク監視ノードによって生成されたNetflowを取得する。
【0034】
ステップS102において、前記Netflowのうちのいずれかの属性に対して、前記いずれかの属性に基づいて、前記Netflowを所定の時間間隔で集約し、前記いずれかの属性に関するN個の時系列を生成する。
【0035】
ステップS103において、それぞれの属性に対応するそれぞれのN個の時系列に基づいて、前記Netflowに対応するN個の検知しようとするサンプルを確定する。ここで、前記それぞれの検知しようとするサンプルは同じ集約期間内のそれぞれの属性に対応する時系列を含む。
【0036】
ステップS104において、第1検知しようとするサンプルの第1属性に対応する第1時系列に対して、前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれの角度の非類似度を計算するここで、前記第1検知しようとするサンプルはN個の検知しようとするサンプルのうちのいずれかであり、前記第1属性は前記Netflowの属性のうちのいずれかであり、それぞれの角度の非類似度は前記第1時系列ベクトルと前記第2時系列ベクトルとの間の夾角の正弦である。前記第1時系列に対応するN−1個の角度の非類似度に基づいて、前記第1時系列に関する第1検知結果を確定する。
【0037】
ステップS105において、それぞれの検知しようとするサンプルのそれぞれの時系列の検知結果に基づいて、前記それぞれの検知しようとするサンプルが異常データフローであるかどうかを確定する。
【0038】
上述のステップは通常、ネットワークデータフロー(NetFlow)の診断ツールによって実行され、ここで、ネットワーク監視ノードは通常それぞれのルータあるいは交換機を指しており、ステップS101において、一般的にはコレクターを利用してそれぞれのルータあるいは交換機のNetFlow(ネットワークにおけるデータフロー)のデータを採集し、それから採集したデータフローをサーバーに格納して、種々のNetFlowデータ診断ツールを利用してNetflowに対する更なる処理を行う。
【0039】
Netflow自身は主に1式のネットワークにおけるトラフィック統計プロトコルで、ルータはソースIPアドレス、ソースポート番号、宛先IPアドレス、宛先ポート番号、プロトコルのタイプ、サーバーのタイプおよび入力インタフェースなどの制御情報を通じてNetflowを区分する。あらゆる時間においてルータが新しいデータパケットを受けた時、ルータはデータフロー中のこれらの制御情報を精査して当該データパケットがあらゆる登録済みのNetflowに属しているかどうかを判断し、属している場合、新しく収集したデータパケットの関連情報を相応のNetflow記録に統合し、属していない場合、新しい記録を作成する。
【0040】
ステップS102において、Netflowの属性は一般的にソースIPアドレス、ソースポート、宛先IPアドレス、宛先ポートおよびトランスポートプロトコルの5つの属性を指しており、この5つの属性を含むデータパケットがフローを生成し、例えば(192.168.1.1、10000、121.14.88.76、80)は、IPアドレス192.168.1.1の端末がポート10000を通して、TCPプロトコルを利用して、IPアドレス121.14.88.76、ポート80の端末と接続して、以上の5つの属性によって唯一の会話を確定することができることを表す。
【0041】
上述のステップにおいて、時系列自身がベクトルの形式で表され、時系列ベクトルは一連のデータ要素からなる順序集合であり、これらのデータ要素自身は記録時刻と記録値によって構成されており、
【0042】
【数3】
【0043】
と記し、ここで、要素
【0044】
【数4】
【0045】
はti時刻で取得した記録値がviであることを表し、ここの記録時刻tiは厳格に単調で増加するものであり、すなわち時間の前進につれて、それぞれのデータを絶えずに累積し、|X|は時系列ベクトルXのノルムと称し、時系列の長さを表す。広義の時系列にとっては、記録値viは離散記号、構造化データ、マルチメディアデータなどであってもよく、狭義の時系列にとっては、記録値viは実数型である。
【0046】
例えば、NetFlowデータ収集ソフトウェアは1時間内のフローを採集し、それからサーバーに格納して、さらにNetFlowデータ診断ツールはサーバーから連続して格納した10時間のNetflowを取得して、得られたNetflowに対して1時間をタイムスパンとして集約し、10個の集約期間のNetflowを得て、それからそれぞれのNetflowの3つの属性(ソースIPアドレス、ソースポート、トランスポート層のプロトコル)の3つの時系列を生成し、このようにして、属性元IPアドレスにとっては、10セグメントのNetflowには10本の時系列があり、同一期間のソースIPアドレスに対応する時系列、ソースポートに対応する時系列、トランスポート層のプロトコルに対応する時系列を1つの検知しようとするサンプルに構成すると、10個の検知しようとするサンプルを形成し、そしてそれぞれの検知しようとするサンプルの時系列に対する検知を行えば、異常なサンプルを検出することができる。
【0047】
さらに、それぞれの検知しようとするサンプルの時系列の検知方法は次の通りである。第1検知しようとするサンプルの第1時系列に対して、式1に基づいて前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれのN−1個の角度の非類似度を計算し、前記式1は
【0048】
【数5】
【0049】
である。
【0050】
ここで、xは第1時系列ベクトルであり、yは第2時系列ベクトルであり、θxyは時系列ベクトル間の角度であり、前記sinθxyは角度の非類似度である。
【0051】
上例に引き続いて、属性元IPアドレスにとっては、10セグメントのNetflowには10個の時系列があり、仮に第1セグメント検知しようとするサンプルの属性元IPアドレスに関する第1時系列ベクトルをX1、第2セグメント検知しようとするサンプルの属性元IPアドレスに関する時系列ベクトルをX2とした場合、順次に類推すると、第10セグメント検知しようとするサンプルの属性元IPアドレスに関する時系列ベクトルがX10となり、式1を利用して順次にX1とX2、X3…X10の間の角度の非類似度を計算することが可能で、例えば、X1とX2の間の角度の非類似度は
【0052】
【数6】
【0053】
である。
【0054】
類推すれば、第1時系列ベクトルとその他の9つの時系列との間のベクトル間の角度の非類似度
【0055】
【数7】
【0056】
を計算することができ、同様に、第1検知しようとするサンプルの残余の属性の時系列ベクトルも上述の方法に基づいて順次に角度の非類似度を計算することができ、当然のことながら、その他の9つの検知しようとするサンプルのそれぞれの時系列ベクトルの角度の非類似度は第1検知しようとするサンプルの計算方法と同じなので、ここでその詳細を省略する。
【0057】
さらに、それぞれの検知しようとするサンプルのそれぞれの時系列の角度の非類似度を得た後、前記第1時系列に対応するN−1個の角度の非類似度の総計が設定した閾値より大きいかどうかを判断して、大きければ、前記第1時系列が異常時系列である第1検知結果を生成し、そうでなければ、前記第1時系列が正常時系列である第1検知結果を生成する。
【0058】
すなわち、上述の第1時系列で計算して得られたこの9つの角度の非類似度
【0059】
【数8】
【0060】
を足して、その和を設定した閾値と比較して、設定した閾値より大きければ、第1時系列が異常時系列で、そうでなければ、正常な時系列である。
【0061】
さらに、それぞれの検知しようとするサンプルの異常時系列の数量が前記検知しようとするサンプルの正常時系列の数量より多いかどうかを確定し、多ければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローである。
【0062】
例えば、上述の検知方法に基づいて次の検知結果を得たとする場合、第1検知しようとするサンプルの属性がソースIPアドレスの第1時系列ベクトルであれば異常時系列であり、第1検知しようとするサンプルの属性がソースポートの時系列ベクトルであれば異常時系列であり、第1検知しようとするサンプルの属性がトランスポート層のプロトコルの時系列ベクトルであれば正常な時系列であり、前記第1検知しようとするサンプルの異常時系列の数量が正常な時系列の数量より大きければ、第1検知しようとするサンプルに対応する当該時系列は異常時系列である。
【0063】
さらに、角度の非類似度を利用して検知するほか、また1クラスSVM分類器に合わせてそれぞれの検知しようとするサンプルの時系列に対する検知を行うことも可能で、検知方法は次の通りである。
【0064】
第1検知しようとするサンプルの第1属性に対応する第1時系列を、所定の前記第1属性に対応するOCSVM(1クラスサポートベクターマシン)の分類器を利用して分類する。
【0065】
分類結果に基づいて、前記第1時系列に関する第2検知結果を確定する。ここで、分類結果が同類であれば、前記第2検知結果が正常な時系列で、分類結果が同類でなければ、前記第2検知結果が異常時系列である。
【0066】
前記第1検知結果と前記第2検知結果の加重和を求め、第1時系列の目標検知結果を得る。
【0067】
それからそれぞれの検知しようとするサンプルのそれぞれの時系列に対応する目標検知結果の異常時系列が正常時系列より大きいかどうかを確定し、大きければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローである。
【0068】
ここで、データ分類とは既に分類されたトレーニングデータをもとに、ある種の原理に基づいて、トレーニングを経て1つの分類器を形成し、それから分類器を使って分類されていないデータの類別を判断することを指す。注意すべきなのは、データがすべてベクトルの形式で現れることである。OCSVMの基本的原理とは、与えられたデータサンプルに対して、カーネル関数Φを通じてそれを高次元特異空間に投影することである。高次元特異空間で1つの最適超平面を求めて目標データと座標原点の最大の分離を実現させる。ここで、座標原点を唯一の異常サンプルとする仮説を立てている。単一類別のデータを用いて1クラスSVM分類器をトレーニングして、それからトレーニング済みの分類器を用いて新しいデータに対する検知を行い、新しいデータがトレーニングデータと同一の類別に属するかどうかを判断する。OCSVMに基づく1分類方法はトレーニング、決定速度が速く、分類の正確率が高いなどの特徴があり、高次元、ノイズの多い環境および限られたサンプルの1分類問題の処理に適合している。OCSVMの1分類区別方法は取得した目標データに基づいてそのエッジを予想して、正しい分類を行うことができる。
【0069】
本発明の実施例において、前もってM個の過去の同期のサンプルを選んで1つの1クラスSVM分類器をトレーニングして、それからトレーニング済みの分類器を用いて検知しようとするサンプルが異常であるかどうかを判断する。具体的には、前記所定の前記第1属性に対応するSVM分類器は次の方法で生成したものである。
【0070】
前記所定期間前の過去のNetflowを取得し、前記過去のNetflowの第1属性に対して、前記第1属性に基づいて、前記過去のNetflowを所定の時間間隔で集約し、前記第1属性に関するN個の時系列を生成し、前記第1属性は前記Netflowの属性のうちのいずれかである。
【0071】
第1属性に対応するN個の時系列をトレーニングデータとして、第1属性に関するSVM分類器を生成する。
【0072】
すなわち、過去のNetflowのそれぞれの属性の時系列を用いて、それぞれの属性に対応するSVM分類器をトレーニングして、このようにして、トレーニング済みのそれぞれの属性のSVM分類器を用いて取得した新しいNetflowに対する検知を行うことができる。ここで、検知方法はまたオンライン検知とオフライン検知に分けられており、オンライン検知は主にリアルタイムでルータなどのネットワーク監視ノードのNetflowを取得して、それからリアルタイムに検知結果を提供し、当然なことながら、このような検知方法のリアルタイム性が比較的強く、もう1つのオフライン検知は主にサーバーに格納された一定時間のNetflowに対する検知を行い、この検知方法は明らかにリアルタイム性が欠けるが、異なる時間の長さの検知を行うことができるため、検知の正確率を高めることができる。
【0073】
具体的に言えば、場面1、オンライン検知の目的はリアルタイムにシステムの異常フローを発見し、直ちに異常警報を提供することである。オンライン検知はリアルタイム性に対する要求が高いため、オンライン検知中に多種長さと多種粒度の時系列に対する検知を同時に行うことはできない。検知の過程において、まずNetflowデータに基づいて現在の時刻より先T時間窓の時系列を生成し、当該系列に対する異常検知分析を行うが、検知方法は上述の通りである。場面2、オフライン検知はオンライン検知に対する補充である。オンライン検知にリアルタイム性の要求があるため、検知の過程において検査漏れの情況があり得る。そのため、過去のデータに対するオフライン検知を行う必要がある。オフライン検知の過程において、多種長さと多種粒子の時系列を生成することが可能で、かつより多くの過去の同期の時系列を用いて非類似度を計算したり分類器をトレーニングしたりすることもできる。
【0074】
次の異常検知事例は、イントラネット環境のNetflowデータに対する検知を行ったものである。本発明の実施例において、ネットワークの1つのキーノードに対して、それをソースIPのアクセス回数、各フローの持続時間、伝送したデータパケットの数量の3つのフィルードとすることを考慮して、それぞれの検知しようとするサンプルは3つの時系列を含む。与えられた時刻にとっては、上述の方法に基づいて時系列を生成し、ここで、T=24時間、Δt=1時間、M=10である。すべての10本の時系列において、第8本目の系列は異常系列で、残りは正常な系列である。角度異常の検知方法において、上述の角度の非類似度の計算方法に基づいて時系列の角度の非類似度を計算する。計算結果は図2a、図2b、図2cに示した通りである。図2a、図2b、図2cから、第8グループの3本の時系列の非類似度の和はその他の系列よりはるかに高いため、第8グループの時系列に対応するNetflowには異常な情況があることがわかる。1クラスSVM方法において、正常な系列で分類器をトレーニングし、そして異常系列に対する検知を行い、その検知結果は実際とも合致している。
【0075】
同様な発明思想に基づいて、本発明の実施例はまたネットワークにおけるトラフィックの異常を検出するための装置を提供し、当該装置は上述の方法の実施例を実行することができる。本発明実施例が提供した装置は図3示した通りで、取得ユニット301、処理ユニット302、確定ユニット303、計算ユニット304、および検知ユニット305を備える。
【0076】
前記取得ユニット301は、所定期間内にネットワーク監視ノードによって生成されたNetflowを取得するのに用いる。
【0077】
前記処理ユニット302は、前記Netflowのうちのいずれかの属性に対して、前記いずれかの属性に基づいて、前記Netflowを所定の時間間隔で集約し、前記いずれかの属性に関するN個の時系列を生成するのに用いる。
【0078】
前記確定ユニット303は、それぞれの属性に対応するそれぞれのN個の時系列に基づいて、前記Netflowに対応するN個の検知しようとするサンプルを確定するのに用い、ここで、前記それぞれの検知しようとするサンプルは同じ集約期間内のそれぞれの属性に対応する時系列を含む。
【0079】
前記計算ユニット304は、第1検知しようとするサンプルの第1属性に対応する第1時系列に対して、前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれの角度の非類似度を計算するのに用い、ここで、前記第1検知しようとするサンプルはN個の検知しようとするサンプルのうちのいずれかで、前記第1属性は前記Netflowの属性のうちのいずれかで、それぞれの角度の非類似度は前記第1時系列ベクトルと前記第2時系列ベクトルの間の夾角の正弦である。
【0080】
前記検知ユニット305は、前記第1時系列に対応するN−1個の角度の非類似度に基づいて、前記第1時系列に関する第1検知結果を確定し、それぞれの検知しようとするサンプルのそれぞれの時系列の検知結果に基づいて、前記それぞれの検知しようとするサンプルが異常データフローであるかどうかを確定するのに用いる。
【0081】
さらに、前記検知ユニット305は、前記第1時系列に対応するN−1個の角度の非類似度の総計が設定した閾値より大きいかどうかを判断して、大きければ、前記第1時系列が異常時系列である第1検知結果を生成し、そうでなければ、前記第1時系列が正常時系列である第1検知結果を生成し、
それぞれの検知しようとするサンプルの異常時系列は検知しようとするサンプルの正常な時系列より大きいかどうかを確定し、大きければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローである。
【0082】
さらに、前記計算ユニット304は、式1に基づいて前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれのN−1個の角度の非類似度を計算するのに用いる。
【0083】
前記式1は
【0084】
【数9】
【0085】
である。
【0086】
ここで、xは第1時系列ベクトルであり、yは第2時系列ベクトルであり、θxyは時系列ベクトル間の角度であり、前記sinθxyは角度の非類似度である。
【0087】
さらに、それはまた第1検知しようとするサンプルの第1属性に対応する第1時系列を、所定の前記第1属性に対応する1クラスSVM分類器を用いて分類するための分類ユニット306を備える。
【0088】
前記検知ユニット305は、また分類結果に基づいて、前記第1時系列に関する第2検知結果を確定するのに用い、ここで、分類結果が同類であれば、前記第2検知結果が正常な時系列であり、分類結果が同類でなければ、前記第2検知結果が異常時系列であり、前記第1検知結果と前記第2検知結果の加重和を求め、前記第1時系列の目標検知結果を得る。それぞれの検知しようとするサンプルのそれぞれの時系列に対応する目標検知結果の異常時系列が正常な時系列より大きいかどうかを確定し、大きければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローである。
【0089】
さらに、それはまた次の方法に基づいて前記所定の前記第1属性に対応する1クラスSVM分類器を生成するのに用いる1クラスSVM分類器生成ユニット307を備える。
【0090】
前記1クラスSVM分類器生成ユニット307は、前記所定期間前の過去のNetflowを取得する。
【0091】
前記過去のNetflowの第1属性に対して、前記第1属性に基づいて、前記過去のNetflowを所定の時間間隔で集約し、前記第1属性に関するN個の時系列を生成し、前記第1属性は前記Netflowの属性のうちのいずれかである。
【0092】
第1属性に対応するN個の時系列をトレーニングデータとして、前記第1属性に関する1クラスSVM分類器を生成する。
【0093】
上述したように、本発明の実施例が採用しているのは多次元時系列に対する異常検知を行うもので、次元とはNetflowのそれぞれの属性を指し、例えばソースIPアドレス、ソースポート番号、宛先IPアドレス、宛先ポート番号など、角度の非類似度の方法を利用して各セグメントのNetflowの同一属性の時系列の類似性の分析を通じて、そのなかの異常系列を探し出し、角度の非類似度が時系列ベクトル間の夾角の正弦であるため、装置のクロックが完全にシンクロナイズしなくても、検知結果の偏差を招くことはなく、そのため本発明の実施例に係るネットワーク異常データフローの検知方法で得られた検知結果がさらに正確となり、このようにすれば、タイムリーで、迅速にネットワークの異常行為を発見し、ネットワーク攻撃に対する効果的な検知を行うことができる。
【0094】
本願は本発明実施例の手段、装置(システム)およびコンピュータプログラム製品のフローチャートと/あるいはブロック図を参照して描述したものである。コンピュータプログラム命令でフローチャートと/あるいはブロック図のなかのそれぞれのチャートと/あるいはブロック、ならびにフローチャートと/あるいはブロック図のなかのチャートと/あるいはブロックの組み合わせを実現することができると理解すべきである。これらのコンピュータプログラム命令を汎用コンピュータ、専用コンピュータ、組み込み式処理機あるいはその他のプログラミングできるデータ処理装置のプロセッサーに提供することによって一つの機器を生成させ、コンピュータあるいはその他のプログラミングできるデータ処理装置のプロセッサーが実行する命令を通じてフローチャート1つあるいは複数のチャートと/あるいはブロック図1つあるいは複数のブロックに指定された機能に用いる装置を形成させる。
【0095】
これらのコンピュータプログラム命令はコンピュータあるいはその他のプログラミングできるデータ処理装置を誘導して特定の方式で働くコンピュータが読み取り可能なメモリのなかに格納することも可能で、当該コンピュータが読み取り可能なメモリのなかに格納された命令にコマンド装置を含む製造品を形成させ、当該コマンド装置はフローチャート1つあるいは複数のチャートと/あるいはブロック図1つあるいは複数のブロックに指定された機能を実現する。
【0096】
これらのコンピュータプログラム命令はコンピュータあるいはその他のプログラミングできる処理装置に搭載することも可能で、コンピュータあるいはその他のプログラミングできる装置の上で一連の操作ステップを実行させてコンピュータで実現する処理を形成させることによって、コンピュータあるいはその他のプログラミングできる装置の上で実行する命令にフローチャート1つあるいは複数のチャートと/あるいはブロック図1つあるいは複数のブロックに指定された機能を実現するのに用いるステップを提供させる。
【0097】
同様な発明思想に基づいて、本願の実施例はもう一種の電子装置を提供する。図4は本発明が提供した電子装置の構造概略図で、当該電子装置400は、通信用インタフェース401、プロセッサー402、メモリ403とバスシステム404を含む。
【0098】
ここで、メモリ403は、プログラムを格納するのに用いる。具体的には、プログラムはプログラムコードを含んでもよく、プログラムコードはコンピュータの操作命令を含む。メモリ403はランダムアクセス記憶媒体(random access memory、略称RAM)であってもよく、不揮発性メモリ(non−volatile memory)であってもよいが、少なくとも1つのディスクのようなメモリである。図の中に1つのメモリしか示していないが、当然なことながら、メモリは必要に応じて、複数個を設けることもできる。メモリ403はプロセッサー402の中のメモリであってもよい。
【0099】
メモリ403は次の要素を格納しており、モジュールあるいはデータ構造、あるいはそれらの部分集合、あるいはそれらの上位集合を実行することができる、操作命令は、各種の操作命令を含み、各種の操作を実現するのに用いる。
【0100】
操作システムは、各種のシステムプログラムを含み、各種の基礎的業務の実現およびハードウエアに基づく任務を処理するのに用いる。
【0101】
上述した本願の実施例が掲示した方法はプロセッサー402に応用するか、あるいはプロセッサー402で実現することができる。プロセッサー402はICチップであってもよく、信号の処理能力がある。実現の過程において、前記方法の各ステップはプロセッサー402のハードウエアの集積論理回路あるいはソフトウェア形式の命令を通じて完成することができる。上述のプロセッサー402は汎用プロセッサー、デジタル・シグナル・プロセッサー(DSP)、エーシック(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)あるいはその他プログラマブルロジック装置、ディスクリートゲートあるいはトランジスターロジック装置、ディスクリートハードウエアモジュールであってもよい。本願の実施例が公開した各種の方法、ステップおよびロジックブロックダイアグラムを実現または実行することができる。汎用プロセッサーはマイクロ・プロセッサであってもよく、あるいは当該プロセッサーはあらゆる常用プロセッサーなどであってもよい。本願の実施例が公開した方法のステップに合わせて直接ハードウエアディコーディングプロセッサーに体現して実行するか、あるいはディコーディングプロセッサーの中のハードウエアとソフトウェアモジュールの組み合わせで実行して完成することができる。ソフトウェアモジュールはランダムアクセス記憶媒体、フラッシュ記憶媒体、読み出し専用メモリ、プログラマブル読み出し専用メモリあるいはイーイープロム、レジスターなど当該領域の成熟した記憶媒体の中にあってもよい。当該記憶媒体のメモリ403、プロセッサー402、読み出し専用メモリ403の中にある情報は、そのハードウエアと合わせて以下のステップを実行する。
【0102】
プロセッサー402は通信用インタフェース401を通じて、ネットワーク監視ノードの期間内で生成したNetflowを取得し、前記Netflowのうちのいずれかの属性に対して、前記いずれかの属性に基づいて、プロセッサー402は前記Netflowを所定の時間間隔で集約し、前記いずれかの属性に関するN個の時系列を生成する。
【0103】
プロセッサー402はそれぞれの属性に対応するそれぞれのN個の時系列に基づいて、前記Netflowに対応するN個の検知しようとするサンプルを確定し、ここで、前記それぞれの検知しようとするサンプルは同じ集約期間内のそれぞれの属性に対応する時系列を含み、第1検知しようとするサンプルの第1属性に対応する第1時系列に対応して、プロセッサー402は前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれの角度の非類似度を計算し、ここで、前記第1検知しようとするサンプルはN個の検知しようとするサンプルのうちのいずれかで、前記第1属性は前記Netflowの属性のうちのいずれかで、それぞれの角度の非類似度は前記第1時系列ベクトルと前記第2時系列ベクトルとの間の夾角の正弦で、前記第1時系列に対応するN−1個の角度の非類似度に基づいて、前記第1時系列に関する第1検知結果を確定し、
それぞれの検知しようとするサンプルのそれぞれの時系列の検知結果に基づいて、前記それぞれの検知しようとするサンプルが異常データフローであるかどうかを確定する。
【0104】
好ましくは、前記プロセッサー402は具体的に次のように用いる。
【0105】
前記第1時系列に対応するN−1個の角度の非類似度の総計が設定した閾値より大きいかどうかを判断して、大きければ、前記第1時系列が異常時系列である第1検知結果を生成し、そうでなければ、前記第1時系列が正常時系列である第1検知結果を生成し、それぞれの検知しようとするサンプルの異常時系列の数量が前記検知しようとするサンプルの正常時系列の数量より多いかどうかを確定し、多ければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローである。
【0106】
好ましくは、前記プロセッサー402は具体的には、式1に基づいて前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれのN−1個の角度の非類似度を計算するのに用いる。
【0107】
さらに、前記プロセッサー402は具体的に次のように用いる。第1検知しようとするサンプルの第1属性に対応する第1時系列を、所定の前記第1属性に対応する1クラスSVM分類器を用いて分類し、分類結果に基づいて、前記第1時系列に関する第2検知結果を確定し、ここで、分類結果が同類であれば、前記第2検知結果が正常な時系列であり、分類結果が同類でなければ、前記第2検知結果が異常時系列であり、
前記第1検知結果と前記第2検知結果の加重和を求め、第1時系列の目標検知結果を得て、
それぞれの検知しようとするサンプルのそれぞれの時系列に対応する目標検知結果の異常時系列が正常時系列より大きいかどうかを確定し、大きければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローである。
【0108】
好ましくは、前記プロセッサー402は具体的に次のように用いる。
【0109】
次の方法に基づいて前記所定の前記第1属性に対応する1クラスSVM分類器を生成し、前記通信用インタフェースを通じて前記所定期間前の過去のNetflowを取得し、
前記過去のNetflowの第1属性に対して、前記第1属性に基づいて、前記過去のNetflowを所定の時間間隔で集約し、前記第1属性に関するN個の時系列を生成し、前記第1属性は前記Netflowの属性のうちのいずれかで、
第1属性に対応するN個の時系列をトレーニングデータとして、前記第1属性に関する1クラスSVM分類器を生成する。
【0110】
本発明の実施例の電子装置は多様な形式で存在しており、次を含むが、それに限るものではない。
【0111】
(1)移動通信装置:これらの装置の特徴は移動通信機能を備えており、かつ音声、データ通信を提供することを主な目標としている。これらの装置にはスマートフォン(例えばiPhone(登録商標))、マルチメディア携帯電話、機能性携帯電話および低価携帯などが含まれる。
【0112】
(2)ウルトラモバイルパソコン装置:これらの装置はパソコンの範疇に属し、計算と処理機能のほか、一般的にはインターネットに接続する機能も備えている。これらの端末にはPDA、MIDおよびUMPCなどが含まれ、例えばiPad(登録商標)。
【0113】
(3)ポータブルレクリエーション装置:これらの装置はマルチメディアの内容を表示したり、放映したりすることができる。これらの装置はオーディオ、ビデオプレーヤー(例えばiPod(登録商標))、携帯ゲーム機、電子書籍および知能玩具とポータブルカーナビゲーション装置を含む。
【0114】
(4)サーバー:計算サービスを提供する装置で、サーバーの構成としてはプロセッサー、ハードディスク、メモリ、システムバスなどを含み、サーバーと通用コンピュータアーキーテクチャと類似しているが、高い信頼性のサービスを提供しなければならないため、処理能力、安定性、信頼性、安全性、拡張性能、管理の易さなどの面において高い性能が求められる。
【0115】
(5)その他のデータ交換機能を有する電子装置。
【0116】
当該領域の技術者は上述の実施例の方法の全部あるいは一部分のステップを実現するにはプログラムを通じて関連のハードウエアに命令して完成させることができると理解してもよく、当該プログラムは1つの記憶媒体に格納しており、いくつかの命令を含んで1つの装置(マイクロコントローラ、あるいはチップなどでもよい)あるいはプロセッサー(processor)に本願のそれぞれの実施例の方法の全部あるいは一部分のステップを実行させるのに用いる。上述の記憶媒体はUSB記憶媒体、ポータブルハードディスク、読み出し専用メモリ(ROM、Read−Only Memory)、ランダムアクセス記憶媒体(RAM、Random Access Memory)、ディスクあるいは光ディスクなど各種プログラムコードを格納できる媒質を含む。
【0117】
そのほか、本発明は非一過性コンピュータの記憶媒体を提供し、前記非一過性コンピュータが読み取り可能な記憶媒体にはコンピュータ命令が格納されており、前記コンピュータ命令は前記コンピュータに上述任一つの意項目のネットワークにおけるトラフィックの異常を検出するための方法を実行させるのに用いる。
【0118】
そのほか、本発明はコンピュータプログラム製品を提供し、前記コンピュータプログラム製品は非一過性コンピュータが読み取り可能な記憶媒体に格納されたコンピュータプログラムを含み、前記コンピュータプログラムはプログラム命令を含み、前記プログラム命令がコンピュータによって実行される場合、前記コンピュータが上述の任意一つの項目の前記ネットワークにおけるトラフィックの異常を検出するための方法を実行する。
【0119】
本発明の好ましい実施例について描述してきたが、当該領域の技術者は一旦基本的創造理念を知っておけば、これらの実施例を変更したり修正したりすることが可能である。そのため、本願の権利請求は好ましい実施例および本願の請求範囲に羅列された如何なる変更と修正をも含むことと解釈すべきである。
【0120】
当然なことながら、当該領域の技術者は本願の精神と範囲を逸脱しない限り本願に対する種々の補正と変更を行うことができる。このように、本願のこれらの補正と変更は本願の権利請求および同等の技術範囲内に属するものであれば、本願はこれらの変更と変更をも含むことを意図する。