異常検知を目的として、wiresharkなどのパケットキャプチャソフトウエアでキャプチャすることがある。しかし、パケットキャプチャのプロセスは停止したり、フリーズ、バーストなどによる書き込み遅延が発生することがある。そこで、パケットキャプチャしているコンピュータの書き込み状況を監視し、以下を満たした場合に異常と判定する。本発表ではその具体的手法を紹介する。
* キャプチャデータの時刻が進んでいない、または取得できない: プロセスがダウンしているか、フリーズしていると判定する
* キャプチャデータの時刻が少しずつ進んでいて、かつ大量のデータが届いている: バーストが発生していると判断する