COMMUNICATION MONITORING DEVICE, COMMUNICATION MONITORING METHOD, AND COMMUNICATION MONITORING PROGRAM

• Main Authors: YAMADA AKIRA, KUBOTA AYUMI, URAKAWA JUMPEI
• Format: Patent
• Language: English; Japanese
• Published: 14.06.2018
• Subjects: ELECTRIC COMMUNICATION TECHNIQUE; ELECTRICITY; TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHICCOMMUNICATION

PROBLEM TO BE SOLVED: To provide a communication monitoring device, a communication monitoring method, and a communication monitoring program that can detect an attack by tons of communication quickly with high accuracy.SOLUTION: A communication monitoring device 1 includes: a first filter unit 11 that extracts a destination address as a suffering host candidate when traffic per unit time by the destination address reaches a preset threshold value at a sliding window in a first time on the basis of flow information on communication packets and extracts the destination address as a suffering end host candidate when the traffic falls below the threshold value; a second filter unit 12 determines a destination address as a suffering end host and removes it from the suffering host candidate if after the destination address was extracted as the suffering end host candidate, a second time passes in the state in which the first filter unit 11 does not extract the destination address as a suffering host candidate again; and a storage unit 13 for storing flow information of which a destination is a suffering host candidate.SELECTED DRAWING: Figure 1 【課題】大量通信による攻撃を迅速に、かつ、高精度に検知できる通信監視装置、通信監視方法及び通信監視プログラムを提供すること。【解決手段】通信監視装置１は、通信パケットのフロー情報に基づいて、第１時間のスライディングウィンドウにおける、宛先アドレス毎の単位時間当たりの通信量が予め設定された閾値に達した時に、当該宛先アドレスを被害ホスト候補として抽出し、通信量が閾値を下回った時に、当該宛先アドレスを被害終了ホスト候補として抽出する第１フィルタ部１１と、宛先アドレスが被害終了ホスト候補として抽出された後、第１フィルタ部１１により再度、被害ホスト候補として抽出されないまま第２時間が経過した場合、当該宛先アドレスを被害終了ホストと判定し、被害ホスト候補から削除する第２フィルタ部１２と、被害ホスト候補を宛先とするフロー情報を蓄積する蓄積部１３と、を備える。【選択図】図１