Powered by Zoomin Software. For more details please contactZoomin

Flowmon ADS User Guide

Table of Contents

ANOMALY - 異常な振る舞い

Save PDF
Save selected topicSave selected topic and subtopicsSave all topics
Share
Share to emailCopy topic URL
Print
  • Last Updated: April 5, 2026
  • 5 minute read
    • Flowmon Products
    • Flowmon Anomaly Detection System
    • Documentation

メソッドの説明

Flowmon ADSアプリケーションが備えるAnomaly Detection Systemは、短期の履歴データに基づく予測の原則に基づいて動作します。ネットワーク全体に対して、ネットワークの振る舞いの統計が予測されます。予測値と現在値の間に外れ値が発生した場合、その原因と考えられるデバイスが特定され、イベントが生成されます。

イベントの詳細には必ず、次の関連する統計の予測値が含まれています。

  • 現在値

  • 原因となるデバイスに対してのみ計算された現在値

  • 最後の5分間隔以降におけるこのデバイスのFlowデータの増加率

Anomaly Detection Systemでは、以下の統計が評価されます。

  • 転送されたデータ

  • 転送されたパケット

  • 確立された接続

  • 通信ピア

  • 監視対象ネットワークに接続されているデバイス

  • 要求の数

  • 応答の数

  • 失敗した要求の数

  • TCPトラフィックの量

  • UDPトラフィックの量

  • その他のプロトコル経由のトラフィックの量

  • サービスの合計数

  • 提供されたサービスの数

  • 使用されたサービスの数

  • 失敗した接続とトラフィック全体の比

自動異常検知に使用されるANOMALYメソッドには、監視対象セグメントを定義するフィルタが割り当てられている必要があります。分類器の敏感度を定義する2つのパラメータを設定できます。

最初のパラメータは移動ウィンドウの長さです(WindowLengthNet)。これは、現在値の予測に使用されるデータの最大経過時間を定義します。一般に、長い期間が使用されるほど分類器の適合性は低くなります(したがって、敏感度が上がります)。

2番目のパラメータは、イベント検知の閾値です(NetworkThreshold)。この値は、現在値が予測値よりもどのくらい大きければイベントが生成されるかを定義します。例: 予測値が100で、このパラメータの値が2である場合、現在値が300 (= 100 + (2 × 100))を超えるとイベントが生成されます。このパラメータは小数点以下2桁まで設定できます。対応する値が小さいほど、分類器の敏感度が上がります。

このメソッドは、以下のサブメソッドで構成されます。

  • SentPackets: 監視対象のネットワークのセグメント内でデバイスによって送信されたパケット数の増加をレポートします。

  • ReceivedPackets: 監視対象のネットワークのセグメント内でデバイスによって受信されたパケット数の増加をレポートします。

  • SentBytes: 監視対象のネットワークのセグメント内でデバイスによって送信されたデータ量の増加をレポートします。

  • ReceivedBytes: 監視対象のネットワークのセグメント内でデバイスによって受信されたデータ量の増加をレポートします。

  • SentFlows: 監視対象のネットワーク内でのクライアントまたはサーバからの通信を表す送信フロー数の増加をレポートします。

  • ReceivedFlows: 監視対象のネットワーク内でクライアントまたはサーバによって受信された通信を表す受信フロー数の増加をレポートします。

  • Peers: 監視対象のネットワーク内でデバイスが通信する通信パートナ数の過剰な増加をレポートします。

  • ActiveDevices: 監視対象のネットワークセグメント内でアクティブに通信しているデバイスの数の過剰な増加をレポートします。

  • Requests: 監視対象のネットワーク内でクライアントによって初期化された通信を表す送信フロー数の増加をレポートします。

  • Responses: 監視対象のネットワーク内でサーバによって受信された通信を表す受信フロー数の増加をレポートします。

  • CountUnpaired: 監視対象のネットワークセグメント内の応答のないフローの数の増加をレポートします。

  • TCPFlow: 監視対象のネットワークのセグメント内でTCPフロー数の増加によって表されるTCPプロトコルの使用増をレポートします。

  • UDPFlow: 監視対象のネットワークのセグメント内でUDPフロー数の増加によって表されるUDPプロトコルの使用増をレポートします。

  • OtherFlow: 監視対象のネットワークのセグメント内で、他のプロトコル(TCPやUDPとは異なる。一般にはICMP、ARP、SCTPなど)の使用増(これらのプロトコルのフロー数の増加によって表される)をレポートします。

  • PercentUnpaired: ネットワークトラフィック内の応答のないフローの割合を監視し、この割合が極端に増加した場合にレポートします。

  • ProvidedServices: 監視対象のネットワーク内でデバイスが提供するサービスの数を監視し、その数が極端に増加した場合にレポートします。

  • UsedServices: 監視対象のネットワーク内でデバイスが使用するサービスの数を監視し、その数が極端に増加した場合にレポートします。

メソッドパラメータ

  • WindowLengthNet: 監視対象トラフィックの統計を収集する時間数(移動タイムウィンドウの長さ)。

  • NetworkThreshold: 動的な閾値を計算するための係数。閾値は、予測値の合計と係数の積として計算されます。予測値の計算は、保存されている統計に基づきます。

  • IgnoreInternal: このパラメータをyesに設定すると、検知メソッドの統計は、割り当てられているフィルタの1つのIPアドレス(送信元または宛先IP)との通信のみに基づきます。

TitleResults for “How to create a CRG?”Also Available inAlert