JP2011146808A - Traffic analyzer, traffic analyzing method, and traffic analysis program - Google Patents
Traffic analyzer, traffic analyzing method, and traffic analysis program Download PDFInfo
- Publication number
- JP2011146808A JP2011146808A JP2010004294A JP2010004294A JP2011146808A JP 2011146808 A JP2011146808 A JP 2011146808A JP 2010004294 A JP2010004294 A JP 2010004294A JP 2010004294 A JP2010004294 A JP 2010004294A JP 2011146808 A JP2011146808 A JP 2011146808A
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- analysis
- unit
- ratio
- threshold
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、トラフィック分析装置、トラフィック分析方法およびトラフィック分析プログラムに関する。 The present invention relates to a traffic analysis device, a traffic analysis method, and a traffic analysis program.
従来より、ネットワークのトラフィックを分析して、通信品質の改善等に利用するための分析データを生成する技術が知られている。トラフィックを分析することにより、例えば、時間帯毎の利用者数の推移、メッセージの種別の割合、エラー率のような様々な情報を分析データとして得ることができる。 2. Description of the Related Art Conventionally, a technique for analyzing network traffic and generating analysis data for use in improving communication quality is known. By analyzing the traffic, for example, various information such as the transition of the number of users in each time zone, the message type ratio, and the error rate can be obtained as analysis data.
また、ネットワークのトラフィックを分析するに当たって、分析の精度向上を目的として、異常トラフィックを分析対象から除外する技術も知られている。例えば、特許文献1では、マルウェア等の影響を除外するため、トラフィック量に基づいて度数分布表を作成し、トラフィック量の多い順に上位から一定割合のデータを削除する技術が開示されている。
Also, a technique for excluding abnormal traffic from the analysis target is known for the purpose of improving the accuracy of analysis in analyzing network traffic. For example,
ところで、トラフィックの量や内容は、曜日や時間帯によって変化するのに加えて、何らかのイベントやキャンペーンのような突発的な事由によって大きく変化することもある。このため、上述した従来技術のように、異常トラフィックを一定の基準に基づいて常に除外することとすると、正常なトラフィックまでが分析対象から除外され、分析の精度が低下してしまうことがあった。 By the way, in addition to changing according to the day of the week and the time zone, the amount and content of traffic may change greatly due to an unexpected event such as an event or a campaign. For this reason, as in the conventional technology described above, if abnormal traffic is always excluded based on a certain standard, even normal traffic is excluded from the analysis target, and the accuracy of the analysis may be reduced. .
本発明は、上記に鑑みてなされたものであって、正常なトラフィックを異常トラフィックとして誤って分析対象から除外することを抑止できるトラフィック分析装置、トラフィック分析方法およびトラフィック分析プログラムを提供することを目的とする。 The present invention has been made in view of the above, and an object of the present invention is to provide a traffic analysis device, a traffic analysis method, and a traffic analysis program that can prevent normal traffic from being erroneously excluded from analysis as abnormal traffic. And
上述した課題を解決し、目的を達成するために、本発明に係るトラフィック分析装置は、トラフィックデータに基づいてトラフィックを分析する分析部と、前記トラフィックデータに含まれるトラフィックを送信元単位で集計した集計値が第1の閾値以下である送信元の数が全送信元数に占める比率と、前記集計値が第1の閾値以下である送信元のトラフィックの合計が全トラフィックに占める比率との差を算出する比率差算出部と、前記比率差算出部によって算出された差が第2の閾値よりも大きい場合に、前記集計値が第1の閾値よりも多い送信元のトラフィックを前記分析部による分析の対象外とする除外部とを備えることを特徴とする。 In order to solve the above-described problems and achieve the object, a traffic analysis apparatus according to the present invention includes an analysis unit that analyzes traffic based on traffic data, and aggregates traffic included in the traffic data in units of transmission sources. The difference between the ratio of the number of transmission sources whose total value is equal to or less than the first threshold to the total number of transmission sources and the ratio of the total traffic of the transmission sources whose total value is equal to or less than the first threshold to the total traffic When the difference calculated by the ratio difference calculation unit and the ratio difference calculation unit is larger than a second threshold, the analysis unit determines the traffic of the transmission source whose aggregate value is greater than the first threshold. And an exclusion unit that is not subject to analysis.
また、本発明に係るトラフィック分析方法は、トラフィックデータに基づいてトラフィックを分析する分析工程と、前記トラフィックデータに含まれるトラフィックを送信元単位で集計した集計値が第1の閾値以下である送信元の数が全送信元数に占める比率と、前記集計値が第1の閾値以下である送信元のトラフィックの合計が全トラフィックに占める比率との差を算出する比率差算出工程と、前記比率差算出工程によって算出された差が第2の閾値よりも大きい場合に、前記集計値が第1の閾値よりも多い送信元のトラフィックを前記分析工程における分析の対象外とする除外工程とを含むことを特徴とする。 In addition, the traffic analysis method according to the present invention includes an analysis step of analyzing traffic based on traffic data, and a transmission source in which a total value obtained by totaling traffic included in the traffic data for each transmission source is equal to or less than a first threshold value A ratio difference calculating step for calculating a difference between the ratio of the total number of transmission sources to the total number of transmission sources and the ratio of the total traffic of the transmission sources whose total value is equal to or less than a first threshold to the total traffic, and the ratio difference And an exclusion step of excluding the traffic of the transmission source whose aggregate value is larger than the first threshold value from being analyzed in the analysis step when the difference calculated by the calculation step is larger than the second threshold value. It is characterized by.
また、本発明に係るトラフィック分析プログラムは、コンピュータを上記のトラフィック分析装置として機能させることを特徴とする。 A traffic analysis program according to the present invention causes a computer to function as the traffic analysis device.
本発明に係るトラフィック分析装置、トラフィック分析方法およびトラフィック分析プログラムは、正常なトラフィックを異常トラフィックとして誤って分析対象から除外することを抑止できるという効果を奏する。 The traffic analysis apparatus, the traffic analysis method, and the traffic analysis program according to the present invention have an effect that normal traffic can be prevented from being erroneously excluded from the analysis target as abnormal traffic.
以下に、本発明に係るトラフィック分析装置、トラフィック分析方法およびトラフィック分析プログラムの実施例を図面に基づいて詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。 Embodiments of a traffic analysis apparatus, a traffic analysis method, and a traffic analysis program according to the present invention will be described below in detail with reference to the drawings. Note that the present invention is not limited to the embodiments.
図1〜3を参照しながら、本実施例に係るトラフィック分析装置およびトラフィック分析方法について説明する。図1は、本実施例に係るトラフィック分析装置10の構成を示すブロック図である。図1に示すように、トラフィック分析装置10は、記憶部11と、制御部12とを有する。記憶部11は、例えば、ハードディスク装置や半導体記憶装置であり、異常閾値(第1の閾値)111、トラフィックデータ112、比率差閾値(第2の閾値)113等を記憶する。
A traffic analysis apparatus and a traffic analysis method according to this embodiment will be described with reference to FIGS. FIG. 1 is a block diagram illustrating a configuration of a
トラフィックデータ112は、ネットワーク上を流れるメッセージ(パケットやフレームともいう)に関する情報が記録されたデータである。トラフィックデータ112には、例えば、ネットワーク上を流れるメッセージ毎に、送信元アドレス、送信先アドレス、メッセージの種別、メッセージ長、送信時刻を示すタイムスタンプ等の情報が記録される。なお、トラフィックデータ112は、トラフィック分析装置10がネットワークを経由してアクセス可能な他の装置に記憶されていてもよい。
The traffic data 112 is data in which information about messages (also referred to as packets or frames) flowing on the network is recorded. For example, information such as a transmission source address, a transmission destination address, a message type, a message length, and a time stamp indicating a transmission time is recorded in the traffic data 112 for each message flowing on the network. The traffic data 112 may be stored in another device that the
トラフィックデータ112の取得の仕方の一例を図12に示す。図12に示すネットワーク環境では、SIP(Session Initiation Protocol)クライアント2a〜2nとSIPサーバ3とがインターネット1を介して接続されている。SIPクライアント2a〜2nは、IP電話の発呼者または着呼者となる端末である。SIPサーバ3は、IP電話の発呼者と着呼者との間にセッションを確立させるとともに、発呼者と着呼者との間でやりとりされる通話用のメッセージを中継する。
An example of how to obtain the traffic data 112 is shown in FIG. In the network environment shown in FIG. 12, SIP (Session Initiation Protocol)
タップ4は、SIPクライアント2a〜2nとSIPサーバ3とを接続する経路上に設けられており、通過するメッセージに含まれる項目のうち分析に必要な項目または通過するメッセージそのものをトラフィックデータ112として記録する。トラフィックデータ112には、セッションの確立/切断や通話のためのメッセージに関する情報がメッセージ毎に記録される。トラフィックデータ112は、ネットワークや記録媒体等を介してトラフィック分析装置10に転送される。
The tap 4 is provided on a path connecting the
図1の説明に戻って、異常閾値111と比率差閾値113は、異常トラフィックの除外を制御するためのパラメータであり、トラフィック分析装置10の利用者によって設定される。異常閾値111は、送信元単位で集計したトラフィックが正常トラフィックであるか異常トラフィックであるかを判別するために用いられる。比率差閾値113は、異常閾値111に基づいて異常トラフィックを除外することが適切であるか否かを判定するために用いられる。
Returning to the description of FIG. 1, the
ここで、異常トラフィックとは、悪意者やマルウェアによる攻撃、機器の障害やプログラムのバグ、利用者の操作ミス等によって生じる多大なトラッフィックであり、トラフィックの分析の精度を低下させるものをいう。また、送信元とは、送信元アドレス等によって識別される個別の装置であってもよいし、送信元アドレスの所定部分等によって識別されるサブネットワークであってもよい。 Here, the abnormal traffic is a large amount of traffic generated by an attack by a Service-to-Self or malware, a device failure or a program bug, a user's operation mistake, and the like, and refers to traffic that reduces the accuracy of traffic analysis. The transmission source may be an individual device identified by a transmission source address or the like, or may be a subnetwork identified by a predetermined part of the transmission source address or the like.
なお、異常閾値111と比率差閾値113は、必ずしも記憶部11に記憶させておく必要はなく、必要となる度に図示しないユーザインターフェースを用いて利用者が入力することとしてもよいし、何らかのパラメータを用いて動的に算出することとしてもよい。
Note that the
制御部12は、トラフィック分析装置10を全体制御する制御部であり、比率差算出部121と、異常トラフィック除外部122と、トラフィック分析部123とを有する。比率差算出部121は、トラフィックデータ112に記録されているメッセージ数やメッセージのデータ量等のトラフィックを送信元単位で集計し、集計されたトラフィックが異常閾値111以下の送信元数が全送信元数に占める比率と、集計されたトラフィックが異常閾値111以下の送信元のトラフィックの合計が全トラフィックに占める比率との差を算出する。
The
異常トラフィック除外部122は、比率差算出部121によって算出された比率の差と比率差閾値113を比較し、比率差算出部121によって算出された比率の差の方が大きい場合に、トラフィックデータ112に含まれる異常トラフィックを分析対象外とする。比率差算出部121によって算出された比率の差の方が大きい場合に分析対象外とされるトラフィックは、集計されたトラフィックが異常閾値111よりも多い送信元のトラフィックである。
The abnormal
トラフィック分析部123は、トラフィックデータ112に記録されているトラフィックのうち、異常トラフィック除外部122によって分析対象外とされたトラフィック以外のトラフィックに基づいて所定の分析を行う。トラフィック分析部123の分析の結果として、例えば、時間帯毎の利用者数の推移、メッセージの種別の割合、エラー率のような様々な情報や、他の分析装置が用いるトラフィックモデルデータが生成される。
The
トラフィック分析装置10における異常トラフィックの除外について図2を参照しながらさらに詳しく説明する。図2に示すグラフは、トラフィックデータ112に記録されているトラフィックを送信元単位で集計した結果に基づいて、1送信元当たりのトラフィックと送信元数の累積比率の関係と、1送信元当たりのトラフィックとトラフィックの累積比率の関係とを表したものである。
The exclusion of abnormal traffic in the
図2に示すグラフにおいて、ρは、適切に設定された異常閾値111である。また、R1は、集計されたトラフィックがρ以下の送信元数が全送信元数に占める比率を表しており、R2は、集計されたトラフィックがρ以下の送信元のトラフィックの合計が全トラフィックに占める比率を表している。一般に、ネットワーク環境では、全トラフィックのかなり多くの部分が比較的少数の送信元のトラフィックによって占められる傾向があるため、R1はR2よりも大きな値となる。
In the graph shown in FIG. 2, ρ is an appropriately set
そして、異常トラフィックは少数の送信元による多大なトラフィックであるため、トラフィックデータ112に異常トラフィックが含まれる場合は、全トラフィックのより多くの部分がより少数の送信元のトラフィックによって占められる傾向が強くなり、R1とR2の差が平常時よりも大きくなる。一方、特定の曜日や時間帯または特定のイベントがあった際に多くの送信者のトラフィックがρを超えた場合は、全トラフィックのより多くの部分がより少数の送信元のトラフィックによって占められる傾向はあまり強くならないため、R1とR2の差はそれほど変化しない。 Since abnormal traffic is a large amount of traffic from a small number of sources, when traffic data 112 includes abnormal traffic, a larger portion of the total traffic tends to be occupied by traffic from a smaller number of sources. Thus, the difference between R1 and R2 becomes larger than in normal times. On the other hand, if the traffic of many senders exceeds ρ when there is a specific day of the week, time of day, or a specific event, a larger part of the total traffic tends to be occupied by fewer traffic from the source Is not so strong, the difference between R1 and R2 does not change much.
したがって、R1とR2の差を、適切に設定された比率差閾値113と比較することにより、トラフィックデータ112に異常トラフィックが含まれるか否かを判定できる。すなわち、R1とR2の差が比率差閾値113よりも小さければ、送信元単位で集計したトラフィックが異常閾値111を超える送信元があっても、それらの送信元のトラフィックは正常であると判定できる。一方、R1とR2の差が比率差閾値113よりも大きければ、送信元単位で集計したトラフィックが異常閾値111を超える送信元のトラフィックは異常トラフィックであると判定できる。
Therefore, by comparing the difference between R1 and R2 with the appropriately set
次に、図1に示したトラフィック分析装置10による分析処理の処理手順について図3を参照しながら説明する。比率差算出部121は、トラフィックデータ112に基づいて、トラフィックが異常閾値111以下の送信元数が全送信元数に占める比率を取得するとともに(ステップS101)、トラフィックが異常閾値111以下の送信元のトラフィックの合計が全トラフィックに占める比率を取得し(ステップS102)、それらの比率の差を算出する(ステップS103)。
Next, a processing procedure of analysis processing by the
比率の差が比率差閾値113よりも大きければ(ステップS104肯定)、異常トラフィック除外部122は、トラフィックが異常閾値111よりも多い送信元のトラフィックを異常トラフィックとして分析対象から除外し(ステップS105)、トラフィック分析部123は、異常トラフィックが分析対象から除外されたトラフィックデータ112に基づいて分析を行う(ステップS106)。一方、比率の差が比率差閾値113よりも大きくなければ(ステップS104否定)、トラフィック分析部123は、異常トラフィックの除外が行われていないトラフィックデータ112に基づいて分析を行う(ステップS106)。
If the ratio difference is larger than the ratio difference threshold 113 (Yes in Step S104), the abnormal
このように、本実施例に係るトラフィック分析装置およびトラフィック分析方法では、トラフィックが異常閾値111以下の送信元数が全送信元数に占める比率と、トラフィックが異常閾値111以下の送信元のトラフィックの合計が全トラフィックに占める比率との差とに基づいて異常トラフィックの除外の要否を判定することとしたので、正常なトラフィックを異常トラフィックと誤って分析対象から除外することを抑止できる。
As described above, in the traffic analysis apparatus and the traffic analysis method according to the present embodiment, the ratio of the number of transmission sources whose traffic is the
本発明の他の実施例について説明する。なお、本実施例では、メッセージ数に基づいてトラフィックの大きさを評価することとし、また、IP電話において発呼者側から発生するSIPメッセージであるINVITE、REGISTER、ACK、BYE、CANCEL、OPTIONSという6つの種別のメッセージのみを分析対象とすることとする。このため、本実施例では、実施例1において「トラフィック」と記載されている事項を「メッセージ数」と記載することがあり、実施例1において「送信元」と記載されている事項を「発呼者」と記載することがある。 Another embodiment of the present invention will be described. In this embodiment, the size of traffic is evaluated based on the number of messages. In addition, INVITE, REGISTER, ACK, BYE, CANCEL, and OPTIONS, which are SIP messages generated from the caller side in an IP phone, are called. Only six types of messages are to be analyzed. Therefore, in the present embodiment, the item described as “traffic” in the first embodiment may be described as “number of messages”, and the item described as “transmission source” in the first embodiment may be described as “source”. May be described as "caller".
図4は、本実施例に係るトラフィック分析装置20の構成を示すブロック図である。図4に示すように、トラフィック分析装置20は、記憶部21と、制御部22とを有する。記憶部21は、例えば、ハードディスク装置や半導体記憶装置であり、ウィンドウサイズ211、異常閾値決定パラメータ212、トラフィックデータ213、比率差閾値214、重み215、分析結果データ216等を記憶する。
FIG. 4 is a block diagram illustrating a configuration of the
トラフィックデータ213は、ネットワーク上を流れるIP電話関連のメッセージに関する情報が記録されたデータである。トラフィックデータ213には、例えば、メッセージ毎に、発呼者を識別するためのID、着呼者を識別するためのID、セッションを識別するためのID、メッセージの種別、メッセージ長、送信時刻を示すタイムスタンプ等の情報が記録される。なお、トラフィックデータ213は、トラフィック分析装置20がネットワークを経由してアクセス可能な他の装置に記憶されていてもよい。
The
分析結果データ216は、分析結果として生成されるデータである。ウィンドウサイズ211、異常閾値決定パラメータ212、トラフィックデータ213、比率差閾値214および重み215は、トラフィック分析装置20の動作を制御するためのパラメータであり、トラフィック分析装置20の利用者によって設定される。トラフィック分析装置20の利用者は、これらのパラメータを変更することで、処理時間および確率的正確度を調整することができる。
The
ウィンドウサイズ211は、トラフィックデータ213を分類する時間帯の単位を示す。異常閾値決定パラメータ212は、図1に示した異常閾値111に相当する閾値を決定するために用いられる。比率差閾値214は、図1に示した比率差閾値113に相当する。重み215は、分類によって得られた各サブデータによる分析結果を調整するために用いられる。
The
制御部22は、トラフィック分析装置20を全体制御する制御部であり、分類部221と、集計部222と、異常閾値決定部223と、比率差算出部224と、異常トラフィック除外部225と、トラフィック分析部226と、分析結果調整部227とを有する。
The control unit 22 is a control unit that totally controls the
分類部221は、トラフィックデータ213に含まれる各メッセージに関する情報を、メッセージの種別とタイムスタンプに基づいて、複数のサブデータのいずれかへ分類する。例えば、情報を30分の時間帯毎に分類すべき旨がウィンドウサイズ211に設定されており、トラフィックデータ213が6時間分の情報を含んでいる場合、分類部221は、トラフィックデータ213に含まれる各メッセージに関する情報のうち上記の種別に該当するものを、各メッセージの種別とタイムスタンプに基づいて、72個(12個の時間帯×6個の種別)のサブデータのいずれかに分類する。
The
トラフィックデータ213は、膨大な量の情報を含むことがあるため、全体を一括して処理しようとすると、集計や分析に要する処理時間が非常に長くなったり、処理負荷が非常に高くなったりするおそれがある。このようにトラフィックデータ213に含まれる各メッセージに関する情報を分類し、分類後のサブデータ単位で集計や分析を行うことにより、全体の処理時間の短縮や、処理負荷の軽減が可能になる。
Since the
なお、ウィンドウサイズ211に設定される時間帯の単位は、短期間に大量の異常トラフィックが発生する場合には短いことが好ましく、持続的に異常トラフィックが発生する場合には長いことが好ましい。
The unit of the time zone set in the
集計部222は、分類部221による分類後のサブデータ単位で集計処理を実行し、図5に示すような集計データをサブデータ毎に作成する。図5に示す集計データは、セット(1)〜セット(n)というn個のセットを含んでおり、各セットは、メッセージ数、発呼者数、メッセージ数の累積比率、発呼者数の累積比率という項目を有する。セット(1)〜セット(n)は、メッセージ数の値に基づいて昇順にソートされている。
The
メッセージ数は、発呼者単位でメッセージの数を集計した値である。発呼者数は、発呼者単位で集計したメッセージの数がメッセージ数の項目の値と同一の発呼者の数である。メッセージ数の累積比率は、発呼者単位で集計したメッセージの数がメッセージ数の項目の値以下である発呼者数のメッセージの数の合計が全メッセージ数に占める比率である。発呼者数の累積比率は、発呼者単位で集計したメッセージの数がメッセージ数の項目の値以下である発呼者数が全発呼者数に占める比率である。 The number of messages is a value obtained by summing up the number of messages for each caller. The number of callers is the number of callers in which the number of messages aggregated for each caller is the same as the value of the message number item. The cumulative ratio of the number of messages is a ratio of the total number of messages of the number of callers whose number of messages aggregated per caller is equal to or less than the value of the number of messages item to the total number of messages. The cumulative ratio of the number of callers is the ratio of the total number of callers to the number of callers in which the number of messages aggregated per caller is equal to or less than the value of the message number item.
例えば、図5に示す集計データのセット(2)では、メッセージ数として「Nm2」が設定され、発呼者数として「Nc2」が設定され、メッセージ数の累積比率として「Rm2」が設定され、発呼者数の累積比率として「Rc2」が設定されている。これは、発呼者単位で集計したメッセージの数が「Nm2」である発呼者の数が「Nc2」であり、発呼者単位で集計したメッセージの数が「Nm2」以下である発呼者数のメッセージの数の合計が全メッセージ数に占める比率が「Rm2」であり、発呼者単位で集計したメッセージの数が「Nm2」以下である発呼者数が全発呼者数に占める比率が「Rc2」であることを示している。 For example, in the aggregated data set (2) shown in FIG. 5, “Nm 2 ” is set as the number of messages, “Nc 2 ” is set as the number of callers, and “Rm 2 ” is set as the cumulative ratio of the number of messages. “Rc 2 ” is set as the cumulative ratio of the number of callers. This is because the number of callers for which the number of messages aggregated for each caller is “Nm 2 ” is “Nc 2 ”, and the number of messages for each caller is “Nm 2 ” or less. The ratio of the total number of messages of a certain number of callers to the total number of messages is “Rm 2 ”, and the total number of callers whose total number of messages per caller is “Nm 2 ” or less. It shows that the ratio of the number of callers to “Rc 2 ”.
なお、セット毎に値のばらつきが生じたり、セットの数が増大して必要な記憶容量や処理負荷が増大したりすることを回避するため、発呼者単位で集計したメッセージの数については、100未満を切り下げまたは四捨五入する等して値を丸めて扱うこととしてもよい。 In order to avoid variation in values for each set or an increase in the number of sets to increase the required storage capacity and processing load, the number of messages aggregated per caller is: The value may be rounded or handled by rounding down to the nearest 100 or rounding off.
異常閾値決定部223は、異常閾値決定パラメータ212と、集計部222によって作成された集計データとに基づいて、送信元単位で集計した各メッセージ数に対応するトラフィックが正常トラフィックであるか異常トラフィックであるかを判別するための異常閾値を決定する。
Based on the abnormal
異常閾値決定部223による異常閾値の決定について、図6を参照しながら、さらに詳細に説明する。異常閾値決定部223は、下記の式(1)を用いて、異常閾値ρを決定する。
The determination of the abnormal threshold by the abnormal
ここで、μは、1発呼者当たりのメッセージ数の平均であり、δは、1発呼者当たりのメッセージ数の標準偏差である。μとδは、それぞれ、下記の式(2)と式(3)を用いて算出される。 Where μ is the average number of messages per caller, and δ is the standard deviation of the number of messages per caller. μ and δ are calculated using the following equations (2) and (3), respectively.
ωは、異常閾値決定パラメータ212の値であり、例えば、1、2、3のいずれかの値をとる。
ω is the value of the abnormal
比率差算出部224は、メッセージ数が異常閾値ρ以下の発呼者数が全発呼者数に占める比率と、メッセージ数が異常閾値ρ以下の発呼者のメッセージ数の合計が全メッセージ数に占める比率との差を算出する。
The ratio
比率差算出部224による比率の差の算出について、図7を参照しながら、さらに詳細に説明する。メッセージ数の項目の値が異常閾値ρと同一または最も近似するセットがセット(t)である場合、比率差算出部224は、集計部222により作成された集計データからセット(t)の発呼者数の累計比率の値であるRctと、メッセージ数の累計比率の値であるRmtとを取得し、これらの差を算出する。
The ratio difference calculation by the ratio
なお、集計部222が作成する集計データに発呼者数の累計比率とメッセージ数の累計比率を含めないこととし、比率差算出部224が以下の式(4)を用いて比率の差を算出することとしてもよい。
Note that the total data created by the totaling
異常トラフィック除外部225は、比率差算出部224によって算出された比率の差と比率差閾値214を比較し、比率差算出部224によって算出された比率の差の方が大きい場合に、処理対象となっている集計データに対応するサブデータに含まれる異常トラフィックを分析対象外とする。比率差算出部224によって算出された比率の差の方が大きい場合に分析対象外とされるトラフィックは、発呼者単位で集計されたメッセージ数が異常閾値ρよりも多い発呼者のトラフィックである。
The abnormal
トラフィック分析部226は、処理対象となっている集計データに対応するサブデータに含まれるトラフィックのうち、異常トラフィック除外部225によって分析対象外とされたトラフィック以外のトラフィックに基づいて所定の分析を行う。
The
分析結果調整部227は、トラフィック分析部226による分析結果を以前の時間帯における同一種別のサブデータについてのトラフィック分析部226の分析結果と所定の割で混合することにより、分析結果を調整する。分析結果調整部227による調整は、例えば、下記の式(5)を用いて行われる。
The analysis
ここで、wは、重み215の値であり、0〜1の範囲で設定される。Vpreviousは、トラフィック分析部226による今回の分析結果であり、Vcurrentは、トラフィック分析部226による以前の時間帯における同一種別のサブデータについての分析結果であり、Vは、調整後の分析結果である。このように分析結果を混合することにより、時間帯毎の分析結果のばらつきを抑制することができる。
Here, w is the value of the
次に、図4に示したトラフィック分析装置20による分析処理の処理手順について図8および図9を参照しながら説明する。分類部221は、トラフィックデータ213に含まれる各メッセージに関する情報をウィンドウサイズ211に基づいて時間帯毎に分類するとともに(ステップS201)、種別毎に分類して時間帯毎かつ種別毎のサブデータを作成する(ステップS202)。
Next, a processing procedure of analysis processing by the
集計部222は、未選択の種別を選択するとともに(ステップS203)、最初の時間帯を選択する(ステップS204)。そして、集計部222は、選択した種別と時間帯に対応するサブデータを選択して(ステップS205)、集計データを作成する(ステップS206)。
The
続いて、異常閾値決定部223は、集計部222によって生成された集計データから算出した平均および標準偏差と、異常閾値決定パラメータ212とに基づいて、異常閾値を決定する(ステップS207)。そして、集計部222によって生成された集計データと、異常閾値決定部223によって決定された異常閾値と、比率差閾値214とに基づいて、後述するトラフィック分析処理が実行され、選択されている時間帯と種別に対応する分析結果が得られる(ステップS208)。
Subsequently, the abnormal
そして、分析結果調整部227は、今回得られた分析結果を、重み215に基づく比率で、同一種別で以前の時間帯に対応する分析結果と混合して調整する(ステップS209)。ここで、選択されている時間帯が最後の時間帯でなければ(ステップS210否定)、次の時間帯が選択され(ステップS211)、ステップS205から処理手順が再開される。一方、選択されている時間帯が最後の時間帯である場合は(ステップS210肯定)、全ての種別を選択済みでなければ(ステップS212否定)、ステップS203から処理手順が再開され、全ての種別を選択済みであれば(ステップS212肯定)、分析処理が完了となる。
Then, the analysis
図9に示すように、図8に示したトラフィック分析処理では、比率差算出部224は、集計データに基づいて、メッセージ数が異常閾値以下の発呼者数が全発呼者数に占める比率を取得するとともに(ステップS301)、メッセージ数が異常閾値以下の発呼者のメッセージ数の合計が全メッセージ数に占める比率を取得し(ステップS302)、それらの比率の差を算出する(ステップS303)。
As shown in FIG. 9, in the traffic analysis processing shown in FIG. 8, the ratio
比率の差が比率差閾値214よりも大きければ(ステップS304肯定)、異常トラフィック除外部225は、メッセージ数が異常閾値よりも多い発呼者のトラフィックを異常トラフィックとして分析対象から除外し(ステップS305)、トラフィック分析部226は、異常トラフィックが分析対象から除外されたサブデータに基づいて分析を行う(ステップS306)。一方、比率の差が比率差閾値214よりも大きくなければ(ステップS304否定)、トラフィック分析部226は、異常トラフィックの除外が行われていないサブデータに基づいて分析を行う(ステップS306)。
If the ratio difference is larger than the ratio difference threshold 214 (Yes at Step S304), the abnormal
図10に示すように、本実施例に係るトラフィック分析装置およびトラフィック分析方法では、異常トラフィックであるか否かを判定するための閾値ρが動的に算出される。そして、この閾値ρに基づいて異常トラフィックを除外することが適切であると判定された場合は、メッセージ数が閾値ρよりも多い発呼者のトラフィックが異常トラフィックとして除外される。そして、異常トラフィックを除外した残りの正常トラフィックを用いて分析が行われ、分析結果は重みwを用いて調整される。 As shown in FIG. 10, in the traffic analysis apparatus and the traffic analysis method according to the present embodiment, a threshold value ρ for determining whether or not the traffic is abnormal is dynamically calculated. When it is determined that it is appropriate to exclude abnormal traffic based on the threshold value ρ, the traffic of the caller having the number of messages larger than the threshold value ρ is excluded as abnormal traffic. Then, the analysis is performed using the remaining normal traffic excluding the abnormal traffic, and the analysis result is adjusted using the weight w.
上述したトラフィック分析装置10または20の制御部12または22の機能をソフトウェアとして実装し、これをコンピュータで実行することにより、トラフィック分析装置10または20と同等の機能を実現することもできる。以下に、制御部12の機能をソフトウェアとして実装したトラフィック分析プログラム1071を実行するコンピュータの一例を示す。
By implementing the function of the
図11は、トラフィック分析プログラム1071を実行するコンピュータ1000を示す機能ブロック図である。このコンピュータ1000は、各種演算処理を実行するCPU(Central Processing Unit)1010と、ユーザからのデータの入力を受け付ける入力装置1020と、各種情報を表示するモニタ1030と、記録媒体からプログラム等を読み取る媒体読取り装置1040と、ネットワークを介して他のコンピュータとの間でデータの授受を行うネットワークインターフェース装置1050と、各種情報を一時記憶するRAM(Random Access Memory)1060と、ハードディスク装置1070とをバス1080で接続して構成される。
FIG. 11 is a functional block diagram showing a
そして、ハードディスク装置1070には、図1に示した制御部12と同様の機能を有するトラフィック分析プログラム1071と、図1に示した記憶部11に記憶される各種データに対応するトラフィック分析用データ1072とが記憶される。なお、トラフィック分析用データ1072を、適宜分散させ、ネットワークを介して接続された他のコンピュータに記憶させておくこともできる。
The hard disk device 1070 includes a
そして、CPU1010がトラフィック分析プログラム1071をハードディスク装置1070から読み出してRAM1060に展開することにより、トラフィック分析プログラム1071は、トラフィック分析プロセス1061として機能するようになる。そして、トラフィック分析プロセス1061は、トラフィック分析用データ1072から読み出した情報等を適宜RAM1060上の自身に割り当てられた領域に展開し、この展開したデータ等に基づいて各種データ処理を実行する。
Then, the
なお、上記のトラフィック分析プログラム1071は、必ずしもハードディスク装置1070に格納されている必要はなく、CD−ROM等の記憶媒体に記憶されたこのプログラムを、コンピュータ1000が読み出して実行するようにしてもよい。また、公衆回線、インターネット、LAN(Local Area Network)、WAN(Wide Area Network)等を介してコンピュータ1000に接続される他のコンピュータ(またはサーバ)等にこのプログラムを記憶させておき、コンピュータ1000がこれらからプログラムを読み出して実行するようにしてもよい。
The
1 インターネット
2a〜2n SIPクライアント
3 SIPサーバ
4 タップ
10、20 トラフィック分析装置
11、21 記憶部
111 異常閾値
112、213 トラフィックデータ
113、214 比率差閾値
12、22 制御部
121、224 比率差算出部
122、225 異常トラフィック除外部
123、226 トラフィック分析部
211 ウィンドウサイズ
212 異常閾値決定パラメータ
215 重み
216 分析結果データ
221 分類部
222 集計部
223 異常閾値決定部
227 分析結果調整部
1000 コンピュータ
1010 CPU
1020 入力装置
1030 モニタ
1040 媒体読取り装置
1050 ネットワークインターフェース装置
1060 RAM
1061 トラフィック分析プロセス
1070 ハードディスク装置
1071 トラフィック分析プログラム
1072 トラフィック分析用データ
1080 バス
DESCRIPTION OF
1020
1061 Traffic analysis process 1070
Claims (7)
前記トラフィックデータに含まれるトラフィックを送信元単位で集計した集計値が第1の閾値以下である送信元の数が全送信元数に占める比率と、前記集計値が第1の閾値以下である送信元のトラフィックの合計が全トラフィックに占める比率との差を算出する比率差算出部と、
前記比率差算出部によって算出された差が第2の閾値よりも大きい場合に、前記集計値が第1の閾値よりも多い送信元のトラフィックを前記分析部による分析の対象外とする除外部と
を備えることを特徴とするトラフィック分析装置。 An analysis unit that analyzes traffic based on traffic data;
The ratio of the total number of transmission sources in which the total value of traffic included in the traffic data is aggregated for each transmission source is less than or equal to the first threshold to the total number of transmission sources, and transmission in which the aggregation value is less than or equal to the first threshold A ratio difference calculator that calculates the difference between the total of the original traffic and the total traffic,
When the difference calculated by the ratio difference calculation unit is larger than a second threshold value, an exclusion unit that excludes the traffic of the transmission source whose aggregate value is larger than the first threshold value from the analysis by the analysis unit; A traffic analysis apparatus comprising:
前記分析部、前記比率差算出部および前記除外部は、前記分類部による分類毎に処理を実行することを特徴とする請求項1に記載のトラフィック分析装置。 A classification unit that classifies the traffic data for each time period;
The traffic analysis apparatus according to claim 1, wherein the analysis unit, the ratio difference calculation unit, and the exclusion unit execute processing for each classification performed by the classification unit.
前記トラフィックデータに含まれるトラフィックを送信元単位で集計した集計値が第1の閾値以下である送信元の数が全送信元数に占める比率と、前記集計値が第1の閾値以下である送信元のトラフィックの合計が全トラフィックに占める比率との差を算出する比率差算出工程と、
前記比率差算出工程によって算出された差が第2の閾値よりも大きい場合に、前記集計値が第1の閾値よりも多い送信元のトラフィックを前記分析工程における分析の対象外とする除外工程と
を含むことを特徴とするトラフィック分析方法。 An analysis process that analyzes traffic based on traffic data;
The ratio of the total number of transmission sources in which the total value of traffic included in the traffic data is aggregated for each transmission source is less than or equal to the first threshold to the total number of transmission sources, and transmission in which the aggregation value is less than or equal to the first threshold A ratio difference calculation step that calculates the difference between the total of the original traffic and the total traffic,
When the difference calculated by the ratio difference calculating step is larger than a second threshold value, an excluding step of excluding the traffic of the transmission source whose aggregate value is larger than the first threshold value from the analysis in the analyzing step; The traffic analysis method characterized by including.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010004294A JP2011146808A (en) | 2010-01-12 | 2010-01-12 | Traffic analyzer, traffic analyzing method, and traffic analysis program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010004294A JP2011146808A (en) | 2010-01-12 | 2010-01-12 | Traffic analyzer, traffic analyzing method, and traffic analysis program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2011146808A true JP2011146808A (en) | 2011-07-28 |
Family
ID=44461297
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010004294A Pending JP2011146808A (en) | 2010-01-12 | 2010-01-12 | Traffic analyzer, traffic analyzing method, and traffic analysis program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2011146808A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016038869A1 (en) * | 2014-09-10 | 2016-03-17 | 日本電気株式会社 | Event estimation device, event estimation method, and recording medium whereupon event estimation program is stored |
-
2010
- 2010-01-12 JP JP2010004294A patent/JP2011146808A/en active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016038869A1 (en) * | 2014-09-10 | 2016-03-17 | 日本電気株式会社 | Event estimation device, event estimation method, and recording medium whereupon event estimation program is stored |
JP2016057875A (en) * | 2014-09-10 | 2016-04-21 | 日本電気株式会社 | Event inferring device, event inferring method, and event inferring program |
US20170264498A1 (en) * | 2014-09-10 | 2017-09-14 | Nec Corporation | Event estimation device, event estimation method, and recording medium whereupon event estimation program is stored |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11226989B2 (en) | Dynamic interest-based notifications | |
US20170163817A1 (en) | Method and system for preventing illicit use of a telephony platform | |
CN107040494B (en) | User account abnormity prevention method and system | |
US9325596B2 (en) | Adaptive signaling for network performance measurement, access, and control | |
US20170005954A1 (en) | System and method for communication management through analysis of recipient behavior and/or contact relationships | |
US8611224B2 (en) | Method and apparatus for providing retry-after-timer overload control | |
US11057436B1 (en) | System and method for monitoring computing servers for possible unauthorized access | |
US11936602B2 (en) | Enhanced instant message handling and delivery | |
US20180048725A1 (en) | Determination of user reputation regarding data object exposure in cloud computing environments | |
US10701562B2 (en) | Blocking undesirable communications in voice over internet protocol systems | |
US9313631B2 (en) | Method and system for intelligent call termination | |
US20150181023A1 (en) | Method and system for intelligent call termination | |
US7916646B2 (en) | Method and apparatus for providing queue delay internal overload control | |
US20100149978A1 (en) | Method and apparatus for providing queue delay overload control | |
US10033612B2 (en) | Adaptive signaling for network performance measurement, access, and control | |
JP2011146808A (en) | Traffic analyzer, traffic analyzing method, and traffic analysis program | |
US11882194B2 (en) | Adaptive signaling for network performance measurement, access, and control | |
JP4208703B2 (en) | Congestion control method, apparatus, program, and aggregation apparatus | |
Montagna et al. | Comparison between two approaches to overload control in a Real Server:“local” or “hybrid” solutions? | |
CN112994934A (en) | Data interaction method, device and system | |
US11876930B2 (en) | System and method for enhanced call progress assessment and call routing | |
JP2009182394A (en) | Crank call detection method, device, system, and program | |
WO2016053874A1 (en) | Method and system for intelligent call termination | |
WO2023161905A1 (en) | System, method, and computer program for a smart user alert messaging | |
JP2000222302A (en) | Electronic mail incoming communication system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20110520 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20110520 |