Nothing Special   »   [go: up one dir, main page]

JP2006033039A - Passing route detector, detecting method and detecting program - Google Patents

Passing route detector, detecting method and detecting program Download PDF

Info

Publication number
JP2006033039A
JP2006033039A JP2004204492A JP2004204492A JP2006033039A JP 2006033039 A JP2006033039 A JP 2006033039A JP 2004204492 A JP2004204492 A JP 2004204492A JP 2004204492 A JP2004204492 A JP 2004204492A JP 2006033039 A JP2006033039 A JP 2006033039A
Authority
JP
Japan
Prior art keywords
packet group
branch
value
specific packet
branches
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004204492A
Other languages
Japanese (ja)
Inventor
Yuji Izumi
勇治 和泉
Yasushi Kato
寧 加藤
Yoshiaki Nemoto
義章 根元
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intelligent Cosmos Research Institute
Original Assignee
Intelligent Cosmos Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intelligent Cosmos Research Institute filed Critical Intelligent Cosmos Research Institute
Priority to JP2004204492A priority Critical patent/JP2006033039A/en
Publication of JP2006033039A publication Critical patent/JP2006033039A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To specify the passing route of a specific packet group of tracking object when it is transmitted from a plurality of sources. <P>SOLUTION: The passing route detector 1 comprises a section 3 for observing packet groups passing through the branches 2a-2d of a router 2, respectively, a section 4 for performing independent component analysis of packet groups observed at the packet observing section 3, a section 5 for storing information pertaining to packet groups passed through the branches 2a-2d in the past, a section 6 for specifying the passing route of a specific packet group based on the results of independent component analysis derived at the analyzing section 4, and a section 7 for outputting specification results from the route specifying section 6. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、ネットワーク上に配置されると共に前記ネットワーク上の他の構成要素と接続するための複数の枝を備え、該複数の枝を介してパケットの入出力が行われる分岐手段における特定パケット群の通過経路を検出する技術に関するものである。   The present invention provides a specific packet group in a branching unit that is arranged on a network and includes a plurality of branches for connecting to other components on the network, and packets are input and output through the plurality of branches. The present invention relates to a technique for detecting the passage route of the.

従来、インターネット等のネットワークの発達に伴い、DoS(Denial of Service)攻撃等のように大量のパケットを特定サーバに対して送付する攻撃が知られている。かかる攻撃がなされた場合にはパケットの送信元を追跡する必要があるが、通常、DoS攻撃等に用いられるパケットは送信元に関する情報等が改竄されている。従って、DoS攻撃等が行われた際には、通常の追跡手段によってパケットの送信元を特定することは困難である。   2. Description of the Related Art Conventionally, with the development of networks such as the Internet, attacks that send a large number of packets to a specific server, such as a DoS (Denial of Service) attack, are known. When such an attack is made, it is necessary to trace the source of the packet. Usually, information about the source of the packet used for the DoS attack or the like is falsified. Therefore, when a DoS attack or the like is performed, it is difficult to specify a packet transmission source by a normal tracking unit.

このため、近年、特定のパケット群の通過パターンの類似性に基づき、ルータ等を経由するパケット群の通過経路を追跡し、送信元を特定する手法が提案されている。具体的には、DoS攻撃等に用いられるパケットの時間変化量である通過パターンと類似する通過パターンを有するパケット群の通過経路を追跡することによって、特定パケット群の送信元を特定することを可能としている(例えば、非特許文献1参照。)。   For this reason, in recent years, a method has been proposed in which a transmission source is identified by tracking the passage route of a packet group passing through a router or the like based on the similarity of the passage pattern of a specific packet group. Specifically, it is possible to identify the source of a specific packet group by tracking the passage route of a packet group having a passage pattern similar to the passage pattern that is the amount of time change of packets used for DoS attacks, etc. (For example, see Non-Patent Document 1).

坂口薫、太田耕平、和泉勇治、加藤寧、根元義章、「2次計画法に基づいたトラヒックパターンの比較によるDDoSの追跡」、電子情報通信学会論文誌、電子情報通信学会、2002年8月、Vol.j85-B、第8号、p1295−1303Jun Sakaguchi, Kohei Ota, Yuji Izumi, Nei Kato, Yoshiaki Nemoto, “Tracking DDoS by comparing traffic patterns based on quadratic programming”, IEICE Transactions, IEICE, August 2002, Vol.j85-B, No.8, p1295-1303

しかしながら、従来のパケット追跡の手法は、DDoS攻撃のように複数のサーバ等を用いて特定のサーバ等に対して攻撃が行われた場合に、送信元の特定精度が低下するという問題を有する。すなわち、複数のサーバ等を用いたDDoS攻撃が行われた場合には、複数のサーバ等から送信されたパケット群が合成された状態で攻撃対象のサーバ等に到達する。このため、攻撃対象のサーバ等に到達するパケット群の通過パターンと、個々の送信元から送信されるパケット群の通過パターンとは異なるものとなり、類似する通過パターンを追跡する従来の手法では、送信元を特定することが困難となる。   However, the conventional packet tracking method has a problem that the accuracy of specifying the transmission source is lowered when an attack is performed on a specific server or the like using a plurality of servers or the like like a DDoS attack. That is, when a DDoS attack using a plurality of servers or the like is performed, the server arrives at the attack target server or the like in a state where packets transmitted from the plurality of servers or the like are combined. For this reason, the passage pattern of the packet group that reaches the attack target server, etc. is different from the passage pattern of the packet group that is transmitted from the individual transmission source. It becomes difficult to specify the origin.

本発明は、上記に鑑みてなされたものであって、追跡対象の特定パケット群が複数の送信元から送信された場合に、かかる特定パケット群の通過経路を特定することが可能な通過経路検出装置、通過経路検出方法および通過経路検出プログラムを実現することを目的とする。   The present invention has been made in view of the above, and when a specific packet group to be tracked is transmitted from a plurality of transmission sources, it is possible to specify a passage route detection of the specific packet group An object of the present invention is to realize a device, a passage route detection method, and a passage route detection program.

ネットワーク上に配置されると共に前記ネットワーク上の他の構成要素と接続するための複数の枝を備え、該複数の枝を介してパケットの入出力が行われる分岐手段における特定パケット群の通過経路を検出する通過経路検出装置であって、所定の枝を介して前記分岐手段から出力された特定パケット群、前記所定の枝以外の枝の中から選択した枝を介して前記分岐手段に入力された比較パケット群、および選択した枝を介して過去に前記分岐手段に入力された過去パケット群の観測結果から抽出された独立成分を構成要素とした、前記特定パケット群の独立成分分析結果と前記比較パケット群の独立成分分析結果との比較に基づき、前記特定パケット群の入力に用いられた1以上の枝を特定する経路特定手段を備えたことを特徴とする。   A plurality of branches arranged on the network and connected to other components on the network, and a path for passing a specific packet group in a branching means for inputting and outputting packets via the plurality of branches A path detection device for detecting a specific packet group output from the branching unit via a predetermined branch and input to the branching unit via a branch selected from branches other than the predetermined branch The comparison packet group and the independent component analysis result of the specific packet group and the comparison using the independent component extracted from the observation result of the past packet group input to the branching unit through the selected branch in the past The present invention is characterized in that route specifying means for specifying one or more branches used for input of the specific packet group based on the comparison with the independent component analysis result of the packet group is provided.

この請求項1の発明によれば、枝を通過するパケット群に関する情報から導出される独立成分分析結果に基づき特定パケット群の入力に用いられた枝を特定する通過経路特定手段を備えることとしたため、複数の枝を介して特定パケット群が分岐手段に入力するような場合であっても、通過パターンの変動にかかわらず正確な経路検出を行うことが可能である。   According to the first aspect of the present invention, there is provided a passage route specifying means for specifying the branch used for inputting the specific packet group based on the independent component analysis result derived from the information regarding the packet group passing through the branch. Even when a specific packet group is input to the branching means via a plurality of branches, accurate path detection can be performed regardless of variations in the passage pattern.

また、請求項2にかかる通過経路検出装置は、上記の発明において、前記経路特定手段は、前記所定の枝を介して出力された前記特定パケット群の独立成分分析結果における混合比と、前記所定の枝以外の枝のそれぞれを介して入力されたパケット群の独立成分分析結果における混合比との間の類似性に基づき、前記特定パケット群の入力に用いられた1以上の枝を特定することを特徴とする。   According to a second aspect of the present invention, there is provided the passage detection device according to the above invention, wherein the route specifying unit includes a mixture ratio in an independent component analysis result of the specific packet group output via the predetermined branch, and the predetermined Identifying one or more branches used for input of the specific packet group based on the similarity between the mixture ratio in the independent component analysis result of the packet group input via each of the branches other than the branch It is characterized by.

また、請求項3にかかる通過経路検出装置は、上記の発明において、前記経路特定手段は、前記特定パケット群の混合比との間のユークリッド距離が比較対象の枝ごとに設定された所定の許容範囲外の値となる混合比に対応する比較パケット群が通過した枝を、前記特定パケット群の入力に用いられた枝として特定することを特徴とする。   According to a third aspect of the present invention, there is provided the passage detection apparatus according to the above-described invention, wherein the route specifying unit has a predetermined tolerance in which the Euclidean distance between the specific packet group and the mixing ratio is set for each branch to be compared. The branch through which the comparison packet group corresponding to the mixture ratio having a value outside the range passes is specified as the branch used for input of the specific packet group.

また、請求項4にかかる通過経路検出装置は、上記の発明において、前記許容範囲は、前記特定パケット群の混合比と比較対象の枝を過去に通過したパケット群に関する独立成分分析結果の混合比との間で導出される複数のユークリッド距離の分散値の2倍の値と該ユークリッド距離の平均値との加算値以上の値であって、前記ユークリッド距離の平均値と前記ユークリッド距離の分散値の2倍の値との差分値以下の値であることを特徴とする。   According to a fourth aspect of the present invention, in the above-described invention, the permissible range includes the mixture ratio of the specific packet group and the mixture ratio of the independent component analysis result regarding the packet group that has passed through the branch to be compared in the past. Between the average value of the Euclidean distances and the average value of the Euclidean distances, and a variance value of the Euclidean distances. It is the value below the difference value with the value of 2 times.

また、請求項5にかかる通過経路検出装置は、上記の発明において、比較対象の枝を介して前記分岐手段に入力する比較パケット群および前記特定パケット群を観測するパケット観測手段と、前記比較パケット群、前記過去パケット群および前記特定パケット群に関する観測結果を独立成分分析する分析手段と、経路特定に先立って観測された前記過去パケット群の観測結果を記憶する記憶手段とをさらに備えたことを特徴とする。   According to a fifth aspect of the present invention, in the above-described invention, the passage detection device includes a packet observation unit that observes the comparison packet group and the specific packet group that are input to the branch unit via the branch to be compared, and the comparison packet. Group, an analysis unit that performs independent component analysis of observation results regarding the past packet group and the specific packet group, and a storage unit that stores observation results of the past packet group observed prior to route specification. Features.

また、請求項6にかかる通過経路検出方法は、ネットワーク上に配置されると共に前記ネットワーク上の他の構成要素と接続するための複数の枝を備え、該複数の枝を介してパケットの入出力が行われる分岐手段における特定パケット群の通過経路を検出する通過経路検出方法であって、所定の枝を介して前記分岐手段から出力された特定パケット群、前記所定の枝以外の枝の中から選択した枝を介して前記分岐手段に入力された比較パケット群、および選択した枝を介して過去に前記分岐手段に入力された過去パケット群の観測結果から抽出された独立成分を構成要素とした、前記特定パケット群の独立成分分析結果と前記比較パケット群の独立成分分析結果との比較に基づき、前記特定パケット群の入力に用いられた1以上の枝を特定する経路特定工程を含むことを特徴とする。   According to a sixth aspect of the present invention, there is provided a passing route detection method including a plurality of branches arranged on a network and connected to other components on the network, and input / output of packets via the plurality of branches. A path detection method for detecting a path of a specific packet group in a branching unit in which a branching unit is performed, wherein the specific packet group output from the branching unit via a predetermined branch, from among branches other than the predetermined branch The independent packet extracted from the observation result of the comparison packet group input to the branching unit through the selected branch and the past packet group input to the branching unit through the selected branch in the past is used as a component. And identifying one or more branches used for input of the specific packet group based on a comparison between the independent component analysis result of the specific packet group and the independent component analysis result of the comparison packet group. Characterized in that it comprises a path specifying process.

また、請求項7にかかる通過経路検出方法は、上記の発明において、前記経路特定工程において、前記特定パケット群の混合比との間のユークリッド距離が比較対象の枝ごとに設定された所定の許容範囲外の値となる混合比に対応する比較パケット群が通過した枝を、前記特定パケット群の入力に用いられた枝として特定することを特徴とする。   According to a seventh aspect of the present invention, there is provided the passage detection method according to the above invention, wherein the Euclidean distance between the specific packet group and the mixing ratio is set for each branch to be compared in the route specifying step. The branch through which the comparison packet group corresponding to the mixture ratio having a value outside the range passes is specified as the branch used for input of the specific packet group.

また、請求項8にかかる通過経路検出方法は、上記の発明において、前記許容範囲は、前記特定パケット群の混合比と比較対象の枝を過去に通過したパケット群に関する独立成分分析結果の混合比との間で導出される複数のユークリッド距離の分散値の2倍の値と該ユークリッド距離の平均値との加算値以上の値であって、前記ユークリッド距離の平均値と前記ユークリッド距離の分散値の2倍の値との差分値以下の値であることを特徴とする。   In addition, in the above-described invention, the permissible range includes the mixture ratio of the specific packet group and the mixture ratio of the independent component analysis result regarding the packet group that has passed through the branch to be compared in the past. Between the average value of the Euclidean distances and the average value of the Euclidean distances, and a variance value of the Euclidean distances. It is the value below the difference value with the value of 2 times.

また、請求項9にかかる通過経路検出プログラムは、請求項7または8に記載の方法を計算機に実行させることを特徴とする。   A passage route detection program according to claim 9 causes a computer to execute the method according to claim 7 or 8.

本発明にかかる通過経路検出装置、通過経路検出方法および通過経路検出プログラムは、枝を通過するパケット群に関する情報から導出される独立成分分析結果に基づき特定パケット群の入力に用いられた枝を特定する通過経路特定手段を備える構成としたため、複数の枝を介して特定パケット群が分岐手段に入力するような場合であっても、通過パターンの変動にかかわらず正確な経路検出を行うことが可能であるという効果を奏する。   A passage detection device, a passage detection method, and a passage detection program according to the present invention specify a branch used for input of a specific packet group based on an independent component analysis result derived from information on a packet group passing through a branch. Because it is configured to include a passing route specifying means, it is possible to accurately detect a route regardless of changes in the passing pattern even when a specific packet group is input to the branching means via a plurality of branches. The effect that it is.

以下に、本発明にかかる通過経路検出装置、通過経路検出方法および通過経路検出プログラムを実施するための最良の形態(以下、単に「実施の形態」と称する)について説明する。なお、以下の説明において参照する図面は模式的なものであり、現実のものと必ずしも一致しないことに留意が必要である。   The best mode (hereinafter simply referred to as “embodiment”) for carrying out the passage route detection device, the passage route detection method, and the passage route detection program according to the present invention will be described below. It should be noted that the drawings referred to in the following description are schematic and do not necessarily match the actual ones.

まず、実施の形態にかかる通過経路検出装置について説明する。本実施の形態にかかる通過経路検出装置は、パケットの入出力のための枝を複数備えたルータ等の分岐手段を通過する特定のパケット群に関して、分岐手段を通過する際に、分岐手段に備わるどの枝を介して分岐手段に入力されたかを検出することによって、当該分岐手段における特定パケット群の通過経路を検出するためのものである。   First, a passage detection apparatus according to an embodiment will be described. The passage detection apparatus according to the present embodiment is provided in the branching unit when passing through the branching unit with respect to a specific packet group passing through the branching unit such as a router having a plurality of branches for inputting and outputting packets. By detecting which branch is input to the branching unit, the passage route of the specific packet group in the branching unit is detected.

図1は、本実施の形態にかかる通過経路検出装置の全体構成を示す模式図である。図1に示すように、本実施の形態にかかる通過経路検出装置1は、ルータ2に備わる枝2a〜2dのそれぞれを通過するパケット群を観察するパケット観測部3と、パケット観測部3によって観察されたパケット群に対して独立成分分析を行うための分析部4と、枝2a〜2dのそれぞれに関する過去の通過パケット群に関する情報を記憶する記憶部5と、分析部4によって導出される独立成分分析結果に基づき特定パケット群の通過経路を特定する経路特定部6と、経路特定部6による特定結果を出力する出力部7とを備える。   FIG. 1 is a schematic diagram showing the overall configuration of the passage detection apparatus according to the present embodiment. As shown in FIG. 1, the passage detection device 1 according to the present embodiment is observed by a packet observation unit 3 that observes a packet group that passes through each of the branches 2 a to 2 d of the router 2, and is observed by the packet observation unit 3. An analysis unit 4 for performing independent component analysis on the received packet group, a storage unit 5 for storing information on past passing packet groups for each of the branches 2a to 2d, and an independent component derived by the analysis unit 4 A path specifying unit 6 that specifies the passage route of the specific packet group based on the analysis result and an output unit 7 that outputs the specifying result by the path specifying unit 6 are provided.

パケット観測部3は、ルータ2に備わる枝2a〜2dを通過するパケット群を観測し、パケット群に関する情報を取得するためのものである。具体的には、パケット観測部3は、例えば枝2a〜2dのそれぞれを通過するパケットの数をカウントする機能を有し、パケット群に関する情報として通過パケット数の時間変化パターンを取得する。また、パケット観測部3は、パケット群に関する情報に関して、将来の通過経路の特定の際における許容範囲の導出に用いるために記憶部5に出力すると共に、現在の通過経路の特定に用いるために経路特定部6に対して出力する機能を有する。   The packet observation unit 3 is for observing a packet group passing through the branches 2a to 2d provided in the router 2 and acquiring information on the packet group. Specifically, the packet observation unit 3 has a function of counting the number of packets passing through each of the branches 2a to 2d, for example, and acquires a time change pattern of the number of passing packets as information on the packet group. In addition, the packet observation unit 3 outputs information on the packet group to the storage unit 5 for use in derivation of an allowable range when specifying a future passage route, and for use in specifying the current passage route. It has a function of outputting to the specifying unit 6.

分析部4は、ルータ2に備わる枝2a〜2dを通過するパケット群に関して独立成分分析を行うためのものである。ここで、独立成分分析とは、複数の情報源信号の線形和によって形成された観測信号を独立な複数の信号に分解する際に用いる手法の一つであり、本実施の形態では、分析部4は、後述する特定データ群、比較データ群および過去データ群に関する観測結果に基づいて独立成分を抽出し、特定データ群、比較データ群および過去データ群に関して抽出した独立成分を構成要素とした独立成分分析結果を得るものとする。   The analysis unit 4 is for performing independent component analysis on a packet group that passes through the branches 2 a to 2 d provided in the router 2. Here, independent component analysis is one of the methods used when decomposing an observation signal formed by linear summation of a plurality of information source signals into a plurality of independent signals. In this embodiment, an analysis unit 4 extracts independent components based on observation results relating to a specific data group, a comparison data group, and a past data group, which will be described later, and an independent component extracted from the specific data group, the comparison data group, and the past data group as a component. Component analysis results shall be obtained.

また、分析部4は、具体的には、経路特定部6の指示に基づき、パケット観測部3によって観測されたパケット群もしくは記憶部5に記憶されたパケット群に対して独立成分分析を行い、分析結果を経路特定部6に対して出力する機能を有する。分析部4によって導出される独立成分分析の結果yは、それぞれのパケット群に関して、混合比a1〜an(nは2以上の自然数)および独立成分i1〜inを用いて、

y=a11+a22+・・・+ann ・・・(1)

の形式で定義されることとする。 Further, the analysis unit 4 specifically performs independent component analysis on the packet group observed by the packet observation unit 3 or the packet group stored in the storage unit 5 based on the instruction of the route specifying unit 6, It has a function of outputting the analysis result to the path specifying unit 6. Result y of the independent component analysis that is derived by the analysis unit 4, for each packet group, (the n 2 or greater natural number) mixing ratio a 1 ~a n with and independent component i 1 through i n,

y = a 1 i 1 + a 2 i 2 +... + a n i n (1)

It shall be defined in the form of

なお、分析部4によって導出される独立成分分析の対象となるパケット群としては、正確な経路特定を行う観点から特定パケット群の時間長と等しい時間長を有するパケット群を用いることが好ましく、特に、後述する比較パケット群に関しては、ルータ2から特定パケット群が出力される時間帯と同一の時間帯におけるパケット群を用いることが好ましい。   In addition, it is preferable to use a packet group having a time length equal to the time length of the specific packet group from the viewpoint of performing accurate path identification, as the packet group to be subjected to independent component analysis derived by the analysis unit 4. For the comparison packet group described later, it is preferable to use a packet group in the same time zone as the time zone in which the specific packet group is output from the router 2.

記憶部5は、パケット観測部3によって観測されたパケットに関する情報等を記憶するためのものである。また、記憶部5は、経路特定部6の指示に基づいて、必要な情報を経路特定部6に対して出力する機能を有する。記憶部5に記憶されるパケット群に関する情報は、例えば、経路特定部6による通過経路の特定に用いられる許容範囲の導出に利用される。   The storage unit 5 is for storing information on the packet observed by the packet observation unit 3. The storage unit 5 has a function of outputting necessary information to the route specifying unit 6 based on an instruction from the route specifying unit 6. The information regarding the packet group stored in the storage unit 5 is used, for example, for deriving an allowable range used for specifying a passing route by the route specifying unit 6.

出力部7は、経路特定部6による特定パケット群の通過経路の特定結果を出力するためのものである。出力部7の出力形態は、例えばディスプレイ等によって視覚的に特定結果を示すものでも良いし、プリンタ等のように別媒体に対して特定結果を出力するものでも良い。さらに、出力部7は、経路特定部6による特定結果を、必要に応じて特定のデータ形式に変換して電子データとして出力する機能を有することとしても良い。   The output unit 7 is for outputting the result of specifying the passage route of the specific packet group by the route specifying unit 6. The output form of the output unit 7 may be such that the specific result is visually displayed on a display or the like, or the specific result may be output to another medium such as a printer. Further, the output unit 7 may have a function of converting the identification result obtained by the path identifying unit 6 into a specific data format as necessary and outputting the result as electronic data.

経路特定部6は、ルータ2から枝2a〜2dのいずれかを介して特定のパケット群が出力された際に、かかる特定パケット群がルータ2に入力する際に通過した枝を特定するためのものである。具体的には、経路特定部6は、パケット観測部3によって取得されたパケット群に関する情報および記憶部5に記憶された情報を分析部4に出力する機能と、かかる情報に基づいて分析部4によって導出された独立成分分析結果を用いることによって、ルータ2における特定パケット群の通過経路の特定を行う機能とを有する。   When the specific packet group is output from the router 2 via any one of the branches 2a to 2d, the path specifying unit 6 is configured to specify the branch that has passed when the specific packet group is input to the router 2. Is. Specifically, the path specifying unit 6 outputs the information regarding the packet group acquired by the packet observation unit 3 and the information stored in the storage unit 5 to the analysis unit 4, and the analysis unit 4 based on the information. The router 2 has a function of specifying a passage route of a specific packet group in the router 2 by using the independent component analysis result derived by the above.

経路特定部6は、特定データ群、比較データ群および過去データ群に関して抽出した独立成分を構成要素とした独立成分分析に基づき、特定データ群に関する独立成分分析結果と比較データ群に関する独立成分結果を比較することによって、ルータ2における特定パケット群の通過経路を特定する機能を有する。具体的には、経路特定部6は、各パケット群に関する独立成分分析結果における混合比を比較し、特定パケット群における混合比と類似する混合比のパケット群が通過した枝を、特定パケット群の入力に使用された枝として特定する機能を有する。また、本実施の形態において、経路特定部6は、各パケット群に関する混合比の間のユークリッド距離を用いて混合比の類似性の判断を行う機能を有する。   The route specifying unit 6 performs the independent component analysis on the specific data group and the independent component result on the comparative data group based on the independent component analysis using the independent components extracted regarding the specific data group, the comparison data group, and the past data group as constituent elements. By comparing, the router 2 has a function of specifying the passage route of the specific packet group. Specifically, the path specifying unit 6 compares the mixing ratios in the independent component analysis results for each packet group, and determines the branch through which the packet group having a mixing ratio similar to the mixing ratio in the specific packet group has passed. It has a function to specify as a branch used for input. In the present embodiment, the path specifying unit 6 has a function of determining the similarity of the mixture ratio using the Euclidean distance between the mixture ratios for each packet group.

ここで、ユークリッド距離とは、複数のパケット群においてそれぞれ導出される独立成分分析結果において、対応する混合比間の差分値の自乗和を(1/2)乗した値のことをいい、具体的には以下の通りに定義される。すなわち、複数のパケット群に関してそれぞれ導出された独立成分分析結果y1、y2が、

1=a1'i1+a2'i2+・・・+an'in ・・・(2)
2=a1''i1+a2''i2+・・・+an''in ・・・(3)

として表される場合に、ユークリッド距離dは、

d={(a1'−a1'')2+(a1'−a1'')2+・・・+(a1'−a1'')21/2・・・(4)

として定義される。(4)式に示したユークリッド距離は、複数の独立成分分析結果の間における類似性の指標として用いることが可能であり、本実施の形態では、詳しくは後述するように、ユークリッド距離を用いて類似性の判断を行うこととしている。 Here, the Euclidean distance refers to a value obtained by multiplying the square sum of the difference values between the corresponding mixing ratios by the (½) power in the independent component analysis results respectively derived from a plurality of packet groups. Is defined as follows. That is, independent component analysis results y 1 and y 2 respectively derived for a plurality of packet groups are

y 1 = a 1 'i 1 + a 2' i 2 + ··· + a n 'i n ··· (2)
y 2 = a 1 '' i 1 + a 2 '' i 2 + ··· + a n '' i n ··· (3)

Euclidean distance d is expressed as

d = {(a 1 '-a 1'') 2 + (a 1' -a 1 '') 2 + ··· + (a 1 '-a 1'') 2} 1/2 ··· ( 4)

Is defined as The Euclidean distance shown in the equation (4) can be used as an index of similarity between a plurality of independent component analysis results. In this embodiment, as will be described in detail later, the Euclidean distance is used. Judgment of similarity is made.

次に、本実施の形態にかかる通過経路検出装置の経路検出動作について説明する。図2は、通過経路検出装置1に備わる経路特定部6の動作を説明するためのフローチャートである。なお、以下の説明では、特定パケット群が枝2dを介してルータ2から出力された場合において、枝2dから出力された特定パケット群が枝2a〜2cのいずれを介してルータ2に入力されたかを特定する場合を例として説明する。   Next, a route detection operation of the passage route detection apparatus according to this exemplary embodiment will be described. FIG. 2 is a flowchart for explaining the operation of the route specifying unit 6 provided in the passage route detection apparatus 1. In the following description, when a specific packet group is output from the router 2 via the branch 2d, the specific packet group output from the branch 2d is input to the router 2 via any of the branches 2a to 2c. A case where the above is specified will be described as an example.

まず、経路特定部6は、枝2a〜2cの中から比較対象となる枝を選択し(ステップS101)、選択した枝を介してルータ2に入力されるパケット群(以下、「比較パケット群」と称する)および枝2dを介して出力された特定パケット群に関する独立成分分析結果を取得する(ステップS102)。具体的には、経路特定部6は、パケット観測部3から特定パケット群および比較パケット群に関する情報を取得すると共に記憶部5に記憶された過去の複数の時間帯に通過したパケット群(以下、「過去パケット群」と称する)に関する情報を取得し、取得した情報に基づき分析部4に独立成分分析結果を導出させることによって、独立成分分析結果を取得する。その後、経路特定部6は、取得された独立成分分析結果の比較に基づく経路特定処理、より具体的には独立成分分析結果における混合比の比較に基づく経路特定処理を行い、ステップS101において選択された枝がルータ2に対する特定パケット群の入力経路として用いられたものであるか否かを判定する(ステップS103)。   First, the path specifying unit 6 selects a branch to be compared from the branches 2a to 2c (step S101), and a packet group (hereinafter referred to as “comparison packet group”) input to the router 2 through the selected branch. And an independent component analysis result regarding the specific packet group output via the branch 2d is acquired (step S102). Specifically, the path identification unit 6 acquires information on the specific packet group and the comparison packet group from the packet observation unit 3 and passes through a plurality of past time zones stored in the storage unit 5 (hereinafter, referred to as “packet group”). Independent component analysis results are acquired by acquiring information related to a “past packet group” and causing the analysis unit 4 to derive independent component analysis results based on the acquired information. Thereafter, the path specifying unit 6 performs a path specifying process based on the comparison of the acquired independent component analysis results, more specifically, a path specifying process based on the comparison of the mixing ratio in the independent component analysis results, and is selected in step S101. It is determined whether or not the branch is used as an input path for the specific packet group to the router 2 (step S103).

そして、経路特定部6は、枝2a〜2cのすべてに関して経路特定処理が行われたか否かを判定する(ステップS104)。すべての枝について完了していない場合には(ステップS104,No)、再びステップS101に戻って残りの枝を選択し、ステップS102、S103に示す処理を繰り返す。一方、すべての枝について経路特定処理が完了した場合(ステップS104,Yes)には、ステップS103において通過経路として特定した枝に関する情報を、出力部7を介して出力し(ステップS105)、経路特定部6の動作は完了する。   Then, the route specifying unit 6 determines whether route specifying processing has been performed for all of the branches 2a to 2c (step S104). If all the branches have not been completed (step S104, No), the process returns to step S101 again to select the remaining branches, and the processes shown in steps S102 and S103 are repeated. On the other hand, when the route specifying process has been completed for all branches (Yes in step S104), information about the branch specified as the passing route in step S103 is output via the output unit 7 (step S105), and the route specifying is performed. The operation of unit 6 is complete.

このように、経路特定部6は、ステップS103において、選択した枝を介して入力されるパケット群(比較パケット群)および特定パケット群の独立成分分析結果の間の比較の際に、それぞれにおける混合比を比較することとしている。混合比の比較態様としては様々なものを用いることが可能であるが、本実施の形態においては、一例として特定パケット群における混合比と比較パケット群における混合比との間のユークリッド距離を導出し、導出したユークリッド距離の値に応じて混合比の類似性の判断を行うこととしている。以下、ステップS103における経路特定処理について詳細に説明する。   As described above, in step S103, the path specifying unit 6 mixes the packet group (comparison packet group) input via the selected branch and the independent packet analysis result of the specific packet group at each comparison. The ratio is to be compared. Although various types of mixing ratio comparison modes can be used, in this embodiment, as an example, the Euclidean distance between the mixing ratio in the specific packet group and the mixing ratio in the comparison packet group is derived. The similarity of the mixture ratio is determined according to the derived Euclidean distance value. Hereinafter, the route specifying process in step S103 will be described in detail.

図3は、ステップS103における経路特定処理について示すサブルーチンである。図3に示すように、経路特定部6は、最初に特定パケット群に関して取得された混合比と、比較パケット群に関して取得された混合比との間のユークリッド距離d0を導出する(ステップS201)。そして、経路特定部6は、複数の過去パケット群に関する混合比を取得する(ステップS202)。 FIG. 3 is a subroutine showing the route specifying process in step S103. As shown in FIG. 3, the path identification unit 6 derives a by mixing ratio obtained for the first specific packet group, the Euclidean distance d 0 between the obtained mixing ratio with respect to Comparative packet group (step S201) . And the path | route specific | specification part 6 acquires the mixing ratio regarding several past packet groups (step S202).

そして、経路特定部6は、複数の過去パケット群に対応した混合比のそれぞれと特定パケット群に対応した混合比との間におけるユークリッド距離を導出すると共に、導出した複数のユークリッド距離の平均値daveおよび分散値dstdを導出する(ステップS203)。その後、経路特定部6は、比較パケット群と特定パケット群との間におけるユークリッド距離d0が所定の許容範囲外の値であるか否かを判定する(ステップS204)。具体的な許容範囲は、例えば(dave−2dstd)以上、(dave+2dstd)以下とし、経路特定部6は、かかる許容範囲外の値であるか否かの判定を行うこととする。 The path specifying unit 6 derives the Euclidean distance between each of the mixing ratios corresponding to the plurality of past packet groups and the mixing ratio corresponding to the specific packet group, and the average value d of the plurality of derived Euclidean distances. ave and the variance value d std are derived (step S203). Thereafter, the path specifying unit 6 determines whether or not the Euclidean distance d 0 between the comparison packet group and the specific packet group is a value outside a predetermined allowable range (step S204). The specific allowable range is, for example, not less than (d ave −2d std ) and not more than (d ave + 2d std ), and the path specifying unit 6 determines whether the value is outside the allowable range. .

そして、許容範囲外の値である場合(ステップS204,Yes)には、経路特定部6は、比較パケット群が通過した枝(すなわち、ステップS101にて選択した枝)を特定パケット群の通過経路として特定する(ステップS205)。一方で、許容範囲内の値である場合(ステップS204,No)には、比較パケット群が通過した枝は通過経路ではないとの判断がなされる(ステップS206)。以上で、経路特定処理のサブルーチンは終了し、ステップS104以下の処理が行われる。   If the value is outside the allowable range (step S204, Yes), the path specifying unit 6 selects the branch through which the comparison packet group has passed (that is, the branch selected in step S101). (Step S205). On the other hand, when the value is within the allowable range (No in step S204), it is determined that the branch through which the comparison packet group has passed is not a passage route (step S206). Thus, the route specifying process subroutine is completed, and the processes in and after step S104 are performed.

次に、本実施の形態にかかる通過経路検出装置の利点について説明する。まず、本実施の形態にかかる通過経路検出装置は、独立成分分析の結果に基づき通過経路の特定を行うこととしている。このため、特定パケット群が複数の枝を介してルータ2に入力されることによって特定パケット群の通過パターンとそれぞれの枝を通過した入力パケット群の通過パターンとが一致しないような場合であっても、通過経路の特定を精度良く行うことが可能である。   Next, advantages of the passage detection device according to the present embodiment will be described. First, the passage detection apparatus according to the present embodiment specifies a passage based on the result of independent component analysis. For this reason, when the specific packet group is input to the router 2 via a plurality of branches, the passage pattern of the specific packet group does not match the passage pattern of the input packet group that has passed through each branch. However, it is possible to specify the passage route with high accuracy.

経路検出の対象となる特定パケット群は、通常、ある一定の規則性を有することが推測される。従って、特定パケット群の有する規則性に対応した独立成分を適切に定義し、かかる定義に基づき特定パケット群および比較パケット群に対して独立成分分析を行うことによって、パケット群の同一性の有無を判定することが可能である。そして、かかる同一性は、パケット群の通過パターンとは無関係に成立するものであることから、本実施の形態にかかる通過経路検出装置は、ルータ2から出力されるパケット群がルータ2に対して複数の枝を介して入力され、それぞれにおける通過パターンが互いに異なる場合であっても、高精度の経路検出を行うことが可能である。   It is assumed that the specific packet group that is the target of route detection usually has a certain regularity. Therefore, by appropriately defining the independent components corresponding to the regularity of the specific packet group and performing independent component analysis on the specific packet group and the comparison packet group based on such definition, the presence or absence of the identity of the packet group is determined. It is possible to determine. Since this identity is established irrespective of the passage pattern of the packet group, the passage route detection apparatus according to the present embodiment allows the packet group output from the router 2 to be transmitted to the router 2. Even when input is made via a plurality of branches and the passing patterns are different from each other, highly accurate route detection can be performed.

かかる利点は、特定パケット群としてDDoS攻撃に用いられたパケット群を選択した場合に特に顕著なものとなる。一般に、DDoS攻撃のパターンは、複数の攻撃パターンの線形和によって構成されていることが知られている。このため、DDoS攻撃における複数の攻撃パターンのそれぞれに対応した独立成分を有する独立成分分析結果を得ることが可能であり、各独立成分に対応した混合比を比較することによってパケット群の同一性の判別を容易かつ正確に行うことが可能である。従って、本実施の形態にかかる通過経路検出装置は、DDoS攻撃に用いられたパケット群を特定パケット群として経路検出の対象とした場合に特に高い精度で経路検出を行うことが可能であるという利点を有することとなる。   Such an advantage becomes particularly remarkable when a packet group used for the DDoS attack is selected as the specific packet group. In general, it is known that a DDoS attack pattern is constituted by a linear sum of a plurality of attack patterns. For this reason, it is possible to obtain an independent component analysis result having independent components corresponding to each of a plurality of attack patterns in a DDoS attack, and by comparing the mixing ratio corresponding to each independent component, the identity of the packet group can be obtained. The discrimination can be performed easily and accurately. Therefore, the passage detection device according to the present embodiment has an advantage that it can perform route detection with particularly high accuracy when the packet group used for the DDoS attack is set as the target of route detection as the specific packet group. It will have.

また、本実施の形態にかかる通過経路検出装置は、ルータ2に備わる枝2a〜2dのそれぞれにおける通過パケット群の特性の相違に対応した経路検出を行うことが可能であるという利点を有する。一般に、ルータ2に備わる枝2a〜2dを通過するパケット群は、接続されるサーバ等の相違に応じてそれぞれ異なる特性を有するのが通常である。これに対して、一定の判断基準を用いて特定パケット群の通過経路を特定した場合には、例えば定常状態において、他の枝と比較して特定パケット群と類似した独立成分結果が得られるパケット群が通過する枝が常に通過経路として検出される等の問題が生じるおそれがある。   In addition, the passage detection device according to the present embodiment has an advantage that it is possible to perform route detection corresponding to the difference in the characteristics of the passage packets in each of the branches 2a to 2d provided in the router 2. In general, a group of packets passing through the branches 2a to 2d provided in the router 2 usually has different characteristics depending on differences in connected servers and the like. On the other hand, when the passage of a specific packet group is specified using a certain criterion, for example, a packet in which an independent component result similar to the specific packet group is obtained compared with other branches in a steady state. There is a risk that a branch through which a group passes is always detected as a passage route.

一方、本実施の形態では、ステップS204にて説明したように、通過経路の特定に用いる判定基準として、選択した枝ごとに定めた許容範囲を用いることとしている。従って、ルータ2に備わる枝2a〜2dのそれぞれにおける通過パケット群の特性に合わせた判定基準の設定が可能となり、さらに正確な経路検出が可能であるという利点を有する。   On the other hand, in the present embodiment, as described in step S204, an allowable range determined for each selected branch is used as a determination criterion used for specifying a passage route. Therefore, it is possible to set a determination criterion according to the characteristics of the passing packet group in each of the branches 2a to 2d provided in the router 2, and there is an advantage that more accurate path detection is possible.

さらに、本実施の形態にかかる通過経路検出装置は、ステップS204において用いる許容範囲を(dave−2dstd)以上、(dave+2dstd)以下と設定している。かかる許容範囲を用いることによって、通過経路の特定の際に定常状態からの逸脱程度も考慮した正確な判定を行うことが可能である。 Furthermore, the passage detection apparatus according to the present embodiment sets the allowable range used in step S204 to be (d ave −2d std ) or more and (d ave + 2d std ) or less. By using such an allowable range, it is possible to perform an accurate determination in consideration of the degree of deviation from the steady state when specifying the passage route.

図4は、選択された枝において過去に通過したパケット群から導出された混合比と特定パケット群から導出された混合比との間のユークリッド距離の分布状態を示すグラフである。図4において、横軸はユークリッド距離を示し、縦軸は出現頻度を示している。本実施の形態では、このような分布状態を示す過去のパケット群に関する複数のユークリッド距離の値の平均値および分散値に基づき許容範囲を定めており、具体的には、図4において斜線で示す領域を許容範囲として定めている。   FIG. 4 is a graph showing a distribution state of the Euclidean distance between the mixing ratio derived from the packet group that has passed in the past in the selected branch and the mixing ratio derived from the specific packet group. In FIG. 4, the horizontal axis indicates the Euclidean distance, and the vertical axis indicates the appearance frequency. In the present embodiment, an allowable range is determined based on an average value and a variance value of a plurality of Euclidean distance values related to past packet groups indicating such a distribution state. Specifically, the allowable range is indicated by hatching in FIG. The area is defined as an allowable range.

図4に示す斜線領域を見れば明らかなように、上述した許容範囲は、過去の定常状態時に対応したパケット群の出現頻度のほとんどを含んでいる。従って、かかる斜線領域外の値を有するユークリッド距離d0に対応した比較パケット群が通過した枝のみを特定パケット群の通過経路として特定することによって、パケットの通過態様が定常状態となる枝を誤って通過経路として特定することを回避することが可能となり、高い精度の経路検出が可能であるという利点を有することとなる。 As is clear from the hatched area shown in FIG. 4, the above-described allowable range includes most of the appearance frequencies of packet groups corresponding to the past steady state. Therefore, by specifying only the branch through which the comparison packet group corresponding to the Euclidean distance d 0 having a value outside the shaded area has passed as the passage route of the specific packet group, the branch in which the packet passage mode is in a steady state is erroneously determined. Therefore, it is possible to avoid specifying as a passage route, and there is an advantage that route detection with high accuracy is possible.

次に、本実施の形態にかかる通過経路検出装置を用いた経路検出に関する検出精度について説明する。図5および図6は、それぞれ本実施の形態にかかる通過経路検出装置を用いてシミュレーションを行った場合の検出精度を示すグラフである。なお、シミュレーションの条件としては、特定パケット群としてDDoS攻撃に用いられるパケット群を使用し、特定パケット群の規模としては、定常状態のパケット群におけるパケット数の約10倍程度のパケット数を有するものを用いている。また、図5および図6に示した検出精度の具体的な値は、正確を期すため、同一条件下で10回ほど繰り返し行われたシミュレーションによって得られた値の平均値を用いている。   Next, the detection accuracy regarding the route detection using the passage detection device according to the present embodiment will be described. FIG. 5 and FIG. 6 are graphs showing detection accuracy when a simulation is performed using the passage detection apparatus according to the present embodiment. In addition, as a condition of simulation, a packet group used for a DDoS attack is used as a specific packet group, and the size of the specific packet group has about 10 times the number of packets in the steady state packet group. Is used. Moreover, the specific value of the detection accuracy shown in FIG. 5 and FIG. 6 uses the average value of the values obtained by the simulation repeated about 10 times under the same conditions for the sake of accuracy.

図5に示すグラフは、上記したシミュレーションにおいて、単一の枝を介して特定パケット群を入力させるという条件の下でルータ2に備わる枝の数を変化させた場合の検出精度について示したものである。図5において、横軸はルータ2の枝の数を示し、縦軸は検出精度、すなわち特定パケット群の通過経路として正しい枝を選択した確率を示している。   The graph shown in FIG. 5 shows the detection accuracy when the number of branches provided in the router 2 is changed under the condition that a specific packet group is input through a single branch in the above-described simulation. is there. In FIG. 5, the horizontal axis indicates the number of branches of the router 2, and the vertical axis indicates the detection accuracy, that is, the probability that a correct branch is selected as the passage route of the specific packet group.

図5のグラフに示すように、本実施の形態にかかる通過経路検出装置を用いた場合には、ルータ2に備わる枝の本数の変化にもかかわらず、高い検出精度を維持している。具体的には、若干の変動はあるものの、検出精度の値はほぼ90%弱の値を維持すると共に、枝の数が増加した場合であっても、ほぼ同等の検出精度を維持することが示されている。   As shown in the graph of FIG. 5, when the passage detection device according to the present embodiment is used, high detection accuracy is maintained despite the change in the number of branches provided in the router 2. Specifically, although there is a slight fluctuation, the detection accuracy value is maintained at a value of almost 90%, and even when the number of branches is increased, substantially the same detection accuracy can be maintained. It is shown.

また、図6に示すグラフは、上記したシミュレーションにおいて、ルータ2に対する特定パケット群の入力に用いられる枝の数(すなわち、経路検出において特定されるべき枝の数)を変化させた場合の検出精度について示したものである。図6において、横軸は特定パケット群の入力に用いられる枝の数を示し、縦軸は検出精度について示している。   Further, the graph shown in FIG. 6 shows the detection accuracy when the number of branches used for inputting the specific packet group to the router 2 (that is, the number of branches to be specified in the route detection) is changed in the simulation described above. Is shown. In FIG. 6, the horizontal axis indicates the number of branches used for inputting a specific packet group, and the vertical axis indicates the detection accuracy.

図6に示すように、特定パケット群の入力に用いられる枝の数の増加に対して検出精度が低下することはなく、ほぼ95%の高い検出精度を維持している。一方で、パケットの通過パターンに基づいて経路特定を行う従来の通過経路検出装置を用いて同様のシミュレーションを行った場合には、特定パケット群の入力に用いられる枝の数の増加に応じて検出精度は徐々に低下し、枝の数を10本とした際における検出精度は80%程度にまで低下することが明らかになっている。このため、本実施の形態にかかる通過経路検出装置は、従来のものと比較して、DDoS攻撃等のように、複数のサーバ等から出力されたパケット群が特定パケット群を構成するような場合であっても高精度の経路検出が可能であることがシミュレーションの結果からも明らかとなる。   As shown in FIG. 6, the detection accuracy does not decrease with an increase in the number of branches used for inputting a specific packet group, and a high detection accuracy of approximately 95% is maintained. On the other hand, when a similar simulation is performed using a conventional passage detection device that performs route identification based on packet passage patterns, detection is performed according to an increase in the number of branches used to input a specific packet group. It has been clarified that the accuracy gradually decreases, and the detection accuracy is reduced to about 80% when the number of branches is 10. For this reason, the passage detection device according to the present exemplary embodiment has a case where a packet group output from a plurality of servers or the like constitutes a specific packet group, such as a DDoS attack, as compared with the conventional one. Even so, it becomes clear from the simulation results that highly accurate path detection is possible.

以上、実施の形態を用いて本発明について説明を行ったが、本発明は上記した実施の形態に限定して解釈する必要がないことはもちろんであり、当業者であれば、様々な実施例、変形例等に想到することが可能である。例えば、独立成分分析の対象となるパケット群の情報として、通過パケット数の時間変化に関する情報以外の情報を用いることとしても良い。   Although the present invention has been described above by using the embodiment, it is needless to say that the present invention is not limited to the above-described embodiment, and those skilled in the art will recognize various examples. It is possible to conceive variations and the like. For example, information other than information related to the temporal change in the number of passing packets may be used as the information on the packet group to be subjected to independent component analysis.

また、実施の形態にかかる通過経路検出装置1は、ハードウェア的な構造によって実現することとしても良いが、必要な機能をパーソナルコンピュータ等の計算機上で実行可能なプログラムによって実現する構成としても良い。一般的なパーソナルコンピュータはCPU等の演算機構を備え、ハードディスク等の記憶部を備えることから、必要な処理を記述したプログラムを用いることによって通過経路検出装置1を実現することとしても良い。また、通過経路検出装置1をルータ2に内蔵した構成としても良い。   Moreover, although the passage route detection apparatus 1 according to the embodiment may be realized by a hardware structure, a necessary function may be realized by a program that can be executed on a computer such as a personal computer. . Since a general personal computer includes an arithmetic mechanism such as a CPU and a storage unit such as a hard disk, the passage detection apparatus 1 may be realized by using a program describing necessary processing. The passage path detection device 1 may be built in the router 2.

また、ステップS203において、経路特定部6によって過去パケット群の混合比と特定パケット群の混合比との間におけるユークリッド距離の平均値および分散値を導出することとしたが、あらかじめ導出した値を記憶部5に記憶する構成としても良いし、より簡易な構成としては、実測値に基づいて平均値を導出するのではなく、平均値および分散値に対応した所定の数値をあらかじめ設定しておくこととしても良い。   In step S203, the route specifying unit 6 derives the average value and the variance value of the Euclidean distance between the mixture ratio of the past packet group and the mixture ratio of the specific packet group. It is good also as a structure memorize | stored in the part 5, and as a simpler structure, instead of deriving an average value based on an actual measurement value, a predetermined numerical value corresponding to the average value and the variance value is set in advance. It is also good.

実施の形態にかかる通過経路検出装置の構成を示す模式図である。It is a schematic diagram which shows the structure of the passage detection apparatus concerning embodiment. 通過経路検出装置に備わる経路特定部の動作を説明するためのフローチャートである。It is a flowchart for demonstrating operation | movement of the path | route specific | specification part with which a passage route detection apparatus is equipped. 経路特定部の動作のうち、経路特定処理に関して示すサブルーチンである。Of the operations of the route specifying unit, it is a subroutine shown for route specifying processing. 経路特定の判断基準となる許容範囲について模式的に示すグラフである。It is a graph which shows typically about the permissible range used as a judgment standard of route specification. 実施の形態にかかる通過経路検出装置の効果を示すグラフである。It is a graph which shows the effect of the passage detection device concerning an embodiment. 実施の形態にかかる通過経路検出装置の効果を示すグラフである。It is a graph which shows the effect of the passage detection device concerning an embodiment.

符号の説明Explanation of symbols

1 通過経路検出装置
2 ルータ
2a〜2d 枝
3 パケット観測部
4 分析部
5 記憶部
6 経路特定部
7 出力部 DESCRIPTION OF SYMBOLS 1 Passing path detection apparatus 2 Router 2a-2d Branch 3 Packet observation part 4 Analysis part 5 Memory | storage part 6 Path | route identification part 7 Output part

Claims (9)

ネットワーク上に配置されると共に前記ネットワーク上の他の構成要素と接続するための複数の枝を備え、該複数の枝を介してパケットの入出力が行われる分岐手段における特定パケット群の通過経路を検出する通過経路検出装置であって、
所定の枝を介して前記分岐手段から出力された特定パケット群、前記所定の枝以外の枝の中から選択した枝を介して前記分岐手段に入力された比較パケット群、および選択した枝を介して過去に前記分岐手段に入力された過去パケット群の観測結果から抽出された独立成分を構成要素とした、前記特定パケット群の独立成分分析結果と前記比較パケット群の独立成分分析結果との比較に基づき、前記特定パケット群の入力に用いられた1以上の枝を特定する経路特定手段を備えたことを特徴とする通過経路検出装置。 A plurality of branches arranged on the network and connected to other components on the network, and a path for passing a specific packet group in a branching means for inputting and outputting packets via the plurality of branches A passage detection device for detecting,
A specific packet group output from the branch means via a predetermined branch, a comparison packet group input to the branch means via a branch selected from branches other than the predetermined branch, and a selected branch Comparison between the independent component analysis result of the specific packet group and the independent component analysis result of the comparison packet group, with the independent component extracted from the observation result of the past packet group input to the branch means in the past as a constituent element And a route specifying means for specifying one or more branches used for the input of the specific packet group. 前記経路特定手段は、前記所定の枝を介して出力された前記特定パケット群の独立成分分析結果における混合比と、前記所定の枝以外の枝のそれぞれを介して入力されたパケット群の独立成分分析結果における混合比との間の類似性に基づき、前記特定パケット群の入力に用いられた1以上の枝を特定することを特徴とする請求項1に記載の通過経路検出装置。   The route specifying means includes a mixing ratio in an independent component analysis result of the specific packet group output via the predetermined branch and an independent component of the packet group input via each of the branches other than the predetermined branch. 2. The passage detection apparatus according to claim 1, wherein one or more branches used for input of the specific packet group are specified based on similarity between the mixture ratios in the analysis result. 前記経路特定手段は、前記特定パケット群の混合比との間のユークリッド距離が比較対象の枝ごとに設定された所定の許容範囲外の値となる混合比に対応する比較パケット群が通過した枝を、前記特定パケット群の入力に用いられた枝として特定することを特徴とする請求項1または2に記載の通過経路検出装置。   The path specifying means includes a branch through which a comparison packet group corresponding to a mixing ratio in which a Euclidean distance between the specific packet group and a mixing ratio of the specific packet group is a value outside a predetermined allowable range set for each branch to be compared is passed. The path detection device according to claim 1, wherein the branch path is specified as a branch used for inputting the specific packet group. 前記許容範囲は、前記特定パケット群の混合比と前記過去パケット群の独立成分分析結果の混合比との間で導出される複数のユークリッド距離の分散値の2倍の値と該ユークリッド距離の平均値との加算値以上の値であって、前記ユークリッド距離の平均値と前記ユークリッド距離の分散値の2倍の値との差分値以下の値であることを特徴とする請求項3に記載の通過経路検出装置。   The allowable range is a value that is twice the variance value of a plurality of Euclidean distances derived between the mixing ratio of the specific packet group and the independent component analysis result of the past packet group, and an average of the Euclidean distance 4. The value according to claim 3, wherein the value is equal to or greater than an addition value of the value and is equal to or less than a difference value between an average value of the Euclidean distance and a value twice as large as a variance value of the Euclidean distance. Passage path detection device. 比較対象の枝を介して前記分岐手段に入力する比較パケット群および前記特定パケット群を観測するパケット観測手段と、
前記比較パケット群、前記過去パケット群および前記特定パケット群に関する観測結果を独立成分分析する分析手段と、
経路特定に先立って観測された前記過去パケット群の観測結果を記憶する記憶手段と、
をさらに備えたことを特徴とする請求項1〜4のいずれか一つに記載の通過経路検出装置。 A packet observation means for observing the comparison packet group and the specific packet group that are input to the branch means via the branch to be compared;
Analyzing means for analyzing independent components of observation results regarding the comparison packet group, the past packet group, and the specific packet group;
Storage means for storing observation results of the past packet group observed prior to route identification;
The passage detection apparatus according to claim 1, further comprising: ネットワーク上に配置されると共に前記ネットワーク上の他の構成要素と接続するための複数の枝を備え、該複数の枝を介してパケットの入出力が行われる分岐手段における特定パケット群の通過経路を検出する通過経路検出方法であって、
所定の枝を介して前記分岐手段から出力された特定パケット群、前記所定の枝以外の枝の中から選択した枝を介して前記分岐手段に入力された比較パケット群、および選択した枝を介して過去に前記分岐手段に入力された過去パケット群の観測結果から抽出された独立成分を構成要素とした、前記特定パケット群の独立成分分析結果と前記比較パケット群の独立成分分析結果との比較に基づき、前記特定パケット群の入力に用いられた1以上の枝を特定する経路特定工程を含むことを特徴とする通過経路検出方法。 A plurality of branches arranged on the network and connected to other components on the network, and a path for passing a specific packet group in a branching means for inputting and outputting packets via the plurality of branches A method for detecting a passage route to detect,
A specific packet group output from the branch means via a predetermined branch, a comparison packet group input to the branch means via a branch selected from branches other than the predetermined branch, and a selected branch Comparison between the independent component analysis result of the specific packet group and the independent component analysis result of the comparison packet group, with the independent component extracted from the observation result of the past packet group input to the branch means in the past as a constituent element And a route specifying step of specifying one or more branches used for input of the specific packet group. 前記経路特定工程において、前記特定パケット群の混合比との間のユークリッド距離が比較対象の枝ごとに設定された所定の許容範囲外の値となる混合比に対応する比較パケット群が通過した枝を、前記特定パケット群の入力に用いられた枝として特定することを特徴とする請求項6に記載の通過経路検出方法。   In the path specifying step, the branch through which the comparison packet group corresponding to the mixing ratio in which the Euclidean distance between the specific packet group and the mixing ratio is a value outside a predetermined allowable range set for each branch to be compared has passed. The path detection method according to claim 6, wherein the branch is specified as a branch used to input the specific packet group. 前記許容範囲は、前記特定パケット群の混合比と比較対象の枝を過去に通過したパケット群に関する独立成分分析結果の混合比との間で導出される複数のユークリッド距離の分散値の2倍の値と該ユークリッド距離の平均値との加算値以上の値であって、前記ユークリッド距離の平均値と前記ユークリッド距離の分散値の2倍の値との差分値以下の値であることを特徴とする請求項7に記載の通過経路検出方法。   The allowable range is twice the variance value of a plurality of Euclidean distances derived between the mixing ratio of the specific packet group and the mixing ratio of the independent component analysis result regarding the packet group that has passed through the comparison target in the past. A value equal to or greater than an addition value of the value and the average value of the Euclidean distance, and a value equal to or less than a difference value between the average value of the Euclidean distance and a value twice the variance value of the Euclidean distance The passing route detection method according to claim 7. 請求項7または8に記載の方法を計算機に実行させることを特徴とする通過経路検出プログラム。   A passage detection program for causing a computer to execute the method according to claim 7 or 8.
JP2004204492A 2004-07-12 2004-07-12 Passing route detector, detecting method and detecting program Pending JP2006033039A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004204492A JP2006033039A (en) 2004-07-12 2004-07-12 Passing route detector, detecting method and detecting program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004204492A JP2006033039A (en) 2004-07-12 2004-07-12 Passing route detector, detecting method and detecting program

Publications (1)

Publication Number Publication Date
JP2006033039A true JP2006033039A (en) 2006-02-02

Family

ID=35898919

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004204492A Pending JP2006033039A (en) 2004-07-12 2004-07-12 Passing route detector, detecting method and detecting program

Country Status (1)

Country Link
JP (1) JP2006033039A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009177658A (en) * 2008-01-28 2009-08-06 Nippon Telegr & Teleph Corp <Ntt> Route identification system

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009177658A (en) * 2008-01-28 2009-08-06 Nippon Telegr & Teleph Corp <Ntt> Route identification system
JP4579995B2 (en) * 2008-01-28 2010-11-10 日本電信電話株式会社 Route identification system

Similar Documents

Publication Publication Date Title
Ding et al. Towards sound and optimal leakage detection procedure
CN110019074B (en) Access path analysis method, device, equipment and medium
US7716329B2 (en) Apparatus and method for detecting anomalous traffic
US10205734B2 (en) Network sampling based path decomposition and anomaly detection
JP4553315B2 (en) Congestion path classification method, management apparatus, and program for classifying congestion path from packet delay
JP2007243368A5 (en)
JP6247627B2 (en) Abnormal value detection apparatus and operation method thereof
CN111508588B (en) Training device, training method, and computer-readable recording medium
US10404524B2 (en) Resource and metric ranking by differential analysis
JP2019020124A (en) Abnormality detection program, abnormality detection method, and information processing apparatus
CN107808100B (en) Steganalysis method for specific test sample
CN109844779B (en) Method and system for analyzing measurement-yield correlation
JP2012186667A (en) Network fault detection apparatus, network fault detection method of network fault detection apparatus, and network fault detection program
JP7274162B2 (en) ABNORMAL OPERATION DETECTION DEVICE, ABNORMAL OPERATION DETECTION METHOD, AND PROGRAM
KR20180060616A (en) RBA based integrated weak point diagnosis method
US20130227642A1 (en) Apparatus and method for detecting illegal user
Saputra et al. Hough transform-based clock skew measurement over network
EP3940626A1 (en) Information processing method and information processing system
JP2006033039A (en) Passing route detector, detecting method and detecting program
JP6733656B2 (en) Information processing apparatus, information processing system, plant system, information processing method, and program
JP2018190281A (en) Data processing apparatus, data processing method, and program
CN111835541B (en) Method, device, equipment and system for detecting aging of flow identification model
Fernandes et al. Digital signature to help network management using principal component analysis and K-means clustering
Bai et al. Cost-effective synchrophasor data source authentication based on multiscale adaptive coupling correlation detrended analysis
CN111913856A (en) Fault positioning method, device, equipment and computer storage medium

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Effective date: 20060915

Free format text: JAPANESE INTERMEDIATE CODE: A711

A521 Written amendment

Effective date: 20060915

Free format text: JAPANESE INTERMEDIATE CODE: A821

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070712

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090703

A131 Notification of reasons for refusal

Effective date: 20090805

Free format text: JAPANESE INTERMEDIATE CODE: A131

A02 Decision of refusal

Effective date: 20091202

Free format text: JAPANESE INTERMEDIATE CODE: A02