JP2011176387A - トラヒック変化原因集約フロー属性値特定方法およびシステム - Google Patents

トラヒック変化原因集約フロー属性値特定方法およびシステム Download PDF

Info

Publication number
JP2011176387A
JP2011176387A JP2010036816A JP2010036816A JP2011176387A JP 2011176387 A JP2011176387 A JP 2011176387A JP 2010036816 A JP2010036816 A JP 2010036816A JP 2010036816 A JP2010036816 A JP 2010036816A JP 2011176387 A JP2011176387 A JP 2011176387A
Authority
JP
Japan
Prior art keywords
traffic
node
flow attribute
attribute value
tree
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010036816A
Other languages
English (en)
Other versions
JP4975837B2 (ja
Inventor
Keisuke Ishibashi
圭介 石橋
Masahiro Maruyoshi
政博 丸吉
Masaki Minami
正樹 南
Takeshi Kuwabara
健 桑原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2010036816A priority Critical patent/JP4975837B2/ja
Publication of JP2011176387A publication Critical patent/JP2011176387A/ja
Application granted granted Critical
Publication of JP4975837B2 publication Critical patent/JP4975837B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】ツリーのノード組み合わせを全て列挙することなくトラヒック変化原因として特定すべき集約フロー属性値の組み合わせを特定する。
【解決手段】フロー属性値抽出部303がトラヒック量変化後のトラヒックに観測されるフロー属性値を抽出する。集約フロー属性ツリー生成部304がフロー属性値からフロー属性値を集約したツリーを生成し、ツリーの各ノードに対してトラヒック量変化前後のトラヒックからトラヒック変化原因を表現するパラメータ値を計算する。トラヒック変化原因集約フロー属性値特定部305がツリーからノードの組み合わせを全てのノード組み合わせを生成することなく生成し、当該ノード組み合わせに対してパラメータ値からトラヒック変化原因度合いを表現する予め与えられた評価式によって評価値を計算し、評価値が最大となるノード組み合わせをトラヒック変化原因集約フロー属性値として特定する。
【選択図】図3

Description

本発明は、トラヒック分析方法に係わり、特に、トラヒック量が変化した際にそのトラヒック変化原因を少ない記憶領域を用いて迅速に提示することにより、監視者が迅速に対応策の判断を行うことが可能となる技術に関する。
DDoS攻撃などの特定サーバに対する大量トラヒック送信によるサイバー攻撃対策として、この攻撃トラヒックをネットワークにおいて遮断する手法があるが、このとき当該サーバに対する正常トラヒックを遮断せず、攻撃トラヒックのみを遮断する必要がある。このため、攻撃トラヒックによってトラヒック量が急増した後にのみ特徴的に出現するフロー属性値を特定し、そのフロー属性値に属するトラヒックのみを遮断する必要がある。
従来は攻撃後に発生したトラヒックを監視、分析し、トラヒック量上位N個の送信元IPアドレスを特定する手法が一般的であった。この手法では、それら送信元IPアドレスからのトラヒックが攻撃発生前に存在していたか不明であり、かつ数千台に上る多数の端末から攻撃トラヒックを送信された場合にすべて特定し、かつネットワーク機器にそれら遮断設定を行うことは困難という課題があった。
一方、トラヒックを監視しプロファイリングする手法として、個々のIPアドレスを提示するのではなく、IPアドレスをツリー表現し、ツリーの上位ノードとなる少数のIPアドレスプレフィックスに集約し、提示する手法が提案されている。図1にIPアドレスツリーの例を示す。この場合、例えば対象トラヒック中に10.10.10.1、10.10.10.2、…、10.10.10.240のIPアドレスが出現した場合、個々のIPアドレスを提示するのではなく、IPアドレスプレフィックス10.10.10.0/24に集約し提示することにより、少数の集約フロー属性値で特徴を捉えることが可能となる。非特許文献1では、ある期間のトラヒックに出現するIPアドレスをツリー表現し、かつ少数のIPアドレスプレフィックスに集約、提示する手法において、ツリーのノード数を一定数以下に抑えるためにIPアドレスプレフィックスを自動的に集約する手法を提案している。また、非特許文献2においても、ある期間のトラヒックをツリー表現し、可視化する手法が提案されている。ツリーのサイズを抑えるために、ノードのトラヒックが一定量以上となるよう自動的に集約するほか、IPアドレスのみならずプロトコル番号などのフロー属性についても対象とし、最終的に複数の集約フロー属性値の組を特定する。しかしながらこれらの手法においては、ある期間のトラヒックに含まれる特徴的なトラヒックを特定するのみであり、トラヒック量変化前後の比較を行っていないため、攻撃トラヒックのみを特定することはできない。
非特許文献3は非特許文献2の手法を応用し、DDoS攻撃トラヒックの遮断ルールを生成することを目的に、トラヒック量変化後にのみ出現する送信元IPアドレスプレフィックスを遮断ルールとして特定する手法を提案している。同文献では、遮断ルール数が予め定めた閾値以下、トラヒック量変化後に生成したルールに該当するトラヒック量が予め定めた閾値以上となる二つの制約を満たす範囲内で、トラヒック量変化前に該当するトラヒック量が最小化するようなIPアドレスプレフィックスを特定する。また、特許文献1では、IPアドレスのみならず、送信元IPアドレス、宛先IPアドレス、プロトコル、送信元ポート、宛先ポート、TTL(Time To Live)、送信元AS番号、宛先AS番号、転送に用いられるルータインタフェース番号、経由ルータのフロー属性を対象に、トラヒック量変化後にのみ出現するフロー属性値を集約し、少数の集約フロー属性値として特定、提示する手法を提案している。非特許文献3におけるIPアドレス、IPアドレスプレフィックスが特許文献1のフロー属性値、集約フロー属性値に対応する。同手法では、集約フロー属性値数の最小化、トラヒック量変化前に、集約フロー属性値に該当するトラヒック量の最小化、およびトラヒック量変化後にのみ発生したトラヒック量のうち集約フロー属性値に該当するトラヒック量の最大化の三目的を同時に満たすために、これら三パラメータからなる評価式の最大値をとる集約フロー属性値を特定する。
このとき、集約フロー属性値の特定において、非特許文献3および特許文献1のどちらも、全ての集約フロー属性値の組み合わせを列挙し、その組み合わせに対して、トラヒック量変化前のトラヒック量、もしくは評価値を計算し、その最小値、もしくは最大値をとる組み合わせをトラヒック変化原因集約フロー属性値として特定する。例えば特許文献1においてフロー属性として、トラヒック量変化後のトラヒックに特徴的に含まれるIPアドレスプレフィックスを特定する場合、トラヒック量変化前後の差分トラヒックに出現するIPアドレスをツリー表現したものを図1とすると、特許文献1の手法では、ルートノードである{0.0.0.0/0}から開始し、{0.0.0.0/0}、{0.0.0.0/1}、{128.0.0.0/1}、{0.0.0.0/1,128.0.0.0/1}、{0.0.0.0/2}、{64.0.0.0/2}、{0.0.0.0/2,64.0.0.0/2}、{0.0.0.0/2,128.0.0.0/1}、{64.0.0.0/2,128.0.0.0/1}、{0.0.0.0/2,64.0.0.0/2,128.0.0.0/1}、…とツリーにおいて上下関係の重複のない全てのノード組み合わせを列挙し、そのノード組み合わせに対して評価値を計算し、評価値が最大となるノード組み合わせを特定する。
K. Cho、 R. Kaizaki, and A. Kato, "An Aggregation Technique for Traffic Monitoring," IPSJ/IEEE SAINT2002, Jan. 2002. C. Estan, S. Savage, G. Varghese, "Automatically Inferring Patterns of Resource Consumption in Network Traffic," ACM SIGCOMM’03, Aug. 2003. G. Pack, J. Yoon, E. Collins and C. Estan, "On Filtering of DDoS Attacks Based on Source Address Prefixes," UW CS technical report 1547, December 2005. 近藤毅,石橋圭介,"正常・異常時の差分特定による異常トラフィック特定手法,"電子情報通信学会技術研究報告 IN2007−62,2007年9月.
特開2009−044501号公報「トラフィック量変化原因特定方法、システム、プログラム、及び記録媒体」
しかしながら、この場合、ツリーのノード数が増えるとそのノード組み合わせ数が爆発的に増大するという問題がある。図2にツリーが完全二分木の(親ノードが必ず2個の子ノードを持つ)場合の、末端ノード数に対するノード組み合わせ数を計算したグラフを示す。縦軸は対数であり、指数関数的に増大することがわかる。非特許文献3および特許文献1では、処理可能なノード組み合わせ数に押さえるために、ツリーを集約された上位ノードのみに制限して評価する対処がとられているが、この場合、詳細な特定ができないという問題が発生する。
本発明は上記課題を鑑みてなされたもので、本発明の目的は、トラヒック量変化時においてそのトラヒック変化原因となったトラヒックを集約フロー属性値の形式で提示する際に、指数関数的に増大しうる、フロー属性値から構成されるツリーのノード組み合わせを全て列挙することなく、トラヒック変化原因として特定すべき集約フロー属性値の組み合わせを特定する手段を提供することにある。このため、ノード組み合わせを生成する際に、評価値を計算するためのパラメータ値が閾値を超えており評価値最大ノード組み合わせとなる可能性が非常に小さい組み合わせを生成しない、もしくは、全体ツリーのノード組み合わせでなく、まず部分ツリーのノード組み合わせ中の評価値最大ノード組み合わせを選択し、全体ツリーのノード組み合わせとしては、部分ツリーで評価値最大となったノード組み合わせのみを用いる動的計画法を用いることを特徴とする。
本明細書において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。
第1の発明は、ネットワーク上のトラヒック量が変化した場合に、その変化の原因となった集約フロー属性値の一つまたは複数の組み合わせを特定するトラヒック変化原因集約フロー属性値特定システムにおけるトラヒック変化原因集約フロー属性値特定方法であって、前記トラヒック変化原因集約フロー属性値特定システムは、フロー属性値抽出部と集約フロー属性ツリー生成部とトラヒック変化原因集約フロー属性値特定部とを備え、前記フロー属性値抽出部が、トラヒック量変化後のトラヒックにおいて観測されるフロー属性値を抽出するステップと、前記集約フロー属性ツリー生成部が、前記フロー属性値抽出部により抽出されたフロー属性値から、フロー属性値を集約したツリーを生成し、ツリーの各ノードに対して、トラヒック量変化前後のトラヒックからトラヒック変化原因を表現する一つまたは複数のパラメータ値を計算するステップと、前記トラヒック変化原因集約フロー属性値特定部が、前記集約フロー属性ツリー生成部が生成したツリーからノードの組み合わせを生成し、当該ノード組み合わせに対して、前記一つまたは複数のパラメータ値からトラヒック変化原因度合いを表現する予め与えられた評価式によって、評価値を計算し、最終的にツリーから生成した全てのノード組み合わせのうち、評価値が最大となるノード組み合わせをトラヒック変化原因集約フロー属性値として特定するステップとを含み、前記トラヒック変化原因集約フロー属性値特定部は、ノード組み合わせ生成において、最終的にツリーから生成した全てのノード組み合わせを生成することなく、評価式最大値をとるノード組み合わせを特定することを特徴とする。
第2の発明は、第1の発明において、前記トラヒック変化原因集約フロー属性値特定システムは、変化検出時刻取得部と変化前後トラヒック取得部とを備え、前記変化検出時刻取得部が、トラヒック量変化時刻を取得するステップと、前記変化前後トラヒック取得部が、トラヒック量変化前後のトラヒック情報を取得するステップとを含み、前記変化前後トラヒック取得部が取得したトラヒック情報を前記フロー属性値抽出部と前記集約フロー属性ツリー生成部が用いることを特徴とする。
第3の発明は、第1または第2の発明において、前記一つまたは複数のパラメータは、変化前後のトラヒック量の差のうち、当該ノード組み合わせのトラヒック量変化が占める割合を示す寄与率、変化前のトラヒック量のうち、当該ノード組み合わせのトラヒック量が占める割合を示す巻き添え率、ノード組み合わせに含まれるノード組み合わせ数、ノード組み合わせが属するフロー属性の全属性値数に占める当該ノード組み合わせの属性値数を示す範囲率、の全てまたは一つまたは複数を含むことを特徴とする。
第4の発明は、第1〜3の発明において、前記トラヒック変化原因集約フロー属性値特定部は、ノード組み合わせ生成において、前記一つまたは複数のパラメータに閾値を設け、閾値を超過するノード組み合わせを生成しないことにより、または、部分ツリーのノード組み合わせ中の評価値最大ノード組み合わせを選択し、全体ツリーのノード組み合わせとしては、部分ツリーで評価値最大となったノード組み合わせのみを用いる動的計画法を用いることにより、最終的にツリーから生成した全ノード組み合わせを生成しないことを特徴とする。
第5の発明は、第1〜3の発明において、前記トラヒック変化原因集約フロー属性値特定部は、ノード組み合わせ生成において、ノード組み合わせ数に対して予め閾値を設定し、閾値以上となるノード組み合わせを生成しないことにより、最終的にツリーから生成した全ノード組み合わせを生成しないことを特徴とする。
第6の発明は、第1〜3の発明において、前記トラヒック変化原因集約フロー属性値特定部は、ノード組み合わせ生成において、寄与率に対して予め閾値を設定し、閾値以上となり得ないノード組み合わせを生成しないことにより、最終的にツリーから生成した全ノード組み合わせを生成しないことを特徴とする。
第7の発明は、第1〜第3の発明において、前記トラヒック変化原因集約フロー属性値特定部は、ノード組み合わせ生成において、ノード組み合わせ数および寄与率に対して予め閾値を設定し、ノード組み合わせ数閾値以上となり、かつ寄与率閾値以上となり得ないノード組み合わせを生成しないことにより、最終的にツリーから生成した全ノード組み合わせを生成しないことを特徴とする。
第8の発明は、第1〜第3の発明において、前記トラヒック変化原因集約フロー属性値特定部は、ノード組み合わせ生成において、末端ノードを含む部分ツリー内で評価式最大値をとるノード組み合わせを特定し、当該ノード組み合わせを部分ツリーの代表ノード組み合わせとして、部分ツリーを含むツリーのノード組み合わせ特定時には、代表ノード組み合わせの組み合わせを用いて再帰的に評価式最大値のノード組み合わせを特定する動的計画法を適用することにより、最終的にツリーから生成した全ノード組み合わせを生成しないことを特徴とする。
第9の発明は、ネットワーク上のトラヒック量が変化した場合に、その変化の原因となった集約フロー属性値の一つまたは複数の組み合わせを特定するトラヒック変化原因集約フロー属性値特定システムであって、トラヒック量変化後のトラヒックにおいて観測されるフロー属性値を抽出するフロー属性値抽出部と、前記フロー属性値抽出部により抽出されたフロー属性値から、フロー属性値を集約したツリーを生成し、ツリーの各ノードに対して、トラヒック量変化前後のトラヒックからトラヒック変化原因を表現する一つまたは複数のパラメータ値を計算する集約フロー属性ツリー生成部と、前記集約フロー属性ツリー生成部が生成したツリーからノードの組み合わせを生成し、当該ノード組み合わせに対して、前記一つまたは複数のパラメータ値からトラヒック変化原因度合いを表現する予め与えられた評価式によって、評価値を計算し、最終的にツリーから生成した全てのノード組み合わせのうち、評価値が最大となるノード組み合わせをトラヒック変化原因集約フロー属性値として特定するトラヒック変化原因集約フロー属性値特定部とを備え、前記トラヒック変化原因集約フロー属性値特定部は、ノード組み合わせ生成において、最終的にツリーから生成した全てのノード組み合わせを生成することなく、評価式最大値をとるノード組み合わせを特定することを特徴とする。
本発明により、トラヒック量変化時においてそのトラヒック変化原因となったトラヒックを集約フロー属性値の形式で提示する際に、指数関数的に増大しうる、フロー属性値から構成されるツリーのノード組み合わせを全て列挙することなく、トラヒック変化原因として特定すべき集約フロー属性値の組み合わせを特定することができる。
IPアドレスツリーの例を示す図である。 ツリーが完全二分木の場合の、末端ノード数に対するノード組み合わせ数を計算したグラフである。 本発明の実施例のトラヒック変化原因集約フロー属性値特定システムの構成を示すブロック図である。 変化前後トラヒック取得部のフローチャートである。 フロー属性抽出部のフローチャートである。 抽出後のフロー属性値リストの例を示す図である。 集約フロー属性ツリー生成部のフローチャートである。 フロー属性値が送信元・送信先AS番号の場合の例を示す図である。 フロー属性値が送信元IPアドレス逆引きドメイン名、送信先IPアドレス逆引きドメイン名の場合の例を示す図である。 トラヒック変化原因集約フロー属性値特定部(方式1)のフローチャート(その1)である。 トラヒック変化原因集約フロー属性値特定部(方式1)のフローチャート(その2)である。 ツリーの上下関係の重複のないノード組み合わせ全リストの生成方法の一つを説明するための図である。 子ノード置き換えによる寄与率上昇上限値およびノード置き換え作業停止を説明するための図である。 トラヒック変化原因集約フロー属性値特定部(方式2)のフローチャートである。 動的計画法を用いた評価式最大となるノード組み合わせ特定を説明するための図である。
以下、図面を参照して本発明の実施例を詳細に説明する。
図3は本発明の実施例のトラヒック変化原因集約フロー属性値特定システムの構成を示すブロック図である。
図3において、300はトラヒック変化原因集約フロー属性値特定システム、301は変化検出時刻取得部、302は変化前後トラヒック取得部、303はフロー属性値抽出部、304は集約フロー属性ツリー生成部、305はトラヒック変化原因集約フロー属性値特定部、311はDNS(Domain Name System)サーバ、312は経路情報、313は蓄積トラヒック情報、314はトラヒック量変化検出システム、315、316は監視者である。
トラヒック変化原因集約フロー属性値特定システム300は、変化検出時刻取得部301、変化前後トラヒック取得部302、フロー属性値抽出部303、集約フロー属性ツリー生成部304、およびトラヒック変化原因集約フロー属性値特定部305を備える。トラヒック変化原因集約フロー属性値特定システム300は、コンピュータとプログラムで構成できる。そのプログラムの一部または全部をハードウェアで構成することもできる。経路情報312、蓄積トラヒック情報313は記憶装置に記憶されている。
図3に示す構成において、変化検出時刻取得部301は外部のトラヒック量変化検出システム314から変化時刻を取得する。トラヒック量変化検出システム314が変化検出時にトラヒック変化原因集約フロー属性値特定システム300にアラート情報を送信し、トラヒック変化原因集約フロー属性値特定システム300がアラート受信時刻を変化時刻として使用してもよい。またトラヒック量変化を手動で検出した監視者315が検出時刻を入力する形態でもよい。
変化前後トラヒック取得部302は、変化検出時刻前後のトラヒックを蓄積トラヒック情報313から取得する。図4に変化前後トラヒック取得部302のフローチャートを示す。
図4に示すように、変化前後トラヒック取得部302は、変化前トラヒック取得時間と変化後トラヒック取得時間を取得し(S401)、蓄積トラヒック情報313からトラヒックレコードを取得する(S402)。取得トラヒックレコードが(1)変化前トラヒック取得時間のレコードか、(2)変化後トラヒック取得時間のレコードか、(3)いずれでもないかの判断を行い(S403)、(1)変化前トラヒック取得時間のレコードの場合は変化前トラヒックレコードとして蓄積してS406に進み(S404)、(2)変化後トラヒック取得時間のレコードの場合は変化後トラヒックレコードとして蓄積してS406に進み(S405)、(3)いずれでもない場合はS406に進む。全ての蓄積トラヒック情報の処理を終了していない場合はS402に戻り(S406)、全ての蓄積トラヒック情報の処理を終了した場合は全ての変化前トラヒックレコード、変化後トラヒックレコードを出力する(S407)。
ここで変化検出時刻前後としてトラヒックを取得する時間は予め定めた値でもよいし、監視者が入力した値でもよい。トラヒック情報としては、ネットワーク上転送されているパケットをネットワーク中のリンクでタッピング、もしくはスイッチ等からミラーリングしたパケット情報でもよいし、ネットワーク中のルータ等から出力されるフロー情報でもよい。以下、これら個々のパケット情報、フロー情報をトラヒックレコードと呼ぶ。
フロー属性値抽出部303は、予め指定された一つ、または複数のフロー属性に対し、変化前後トラヒック取得部302において取得されたトラヒックレコードのうち、トラヒック量変化後のトラヒックレコードにおいて観測されるフロー属性値を抽出し、かつ抽出された属性値毎に、トラヒック量変化前後のパケット数、バイト数等のトラヒック量情報を付与し、フロー属性値リストを生成する。図5にフロー属性抽出部303のフローチャートを示す。
図5に示すように、フロー属性値抽出部303は、抽出属性情報を取得し(S501)、変化後トラヒックレコードを取得し(S502)、トラヒックレコードの属性値を抽出し(S503)、抽出属性値が既に属性値リストに存在する場合はS506に進み(S504)、存在しない場合は属性値リストに当該抽出属性値を追加してS506に進み(S505)、当該トラヒックレコードのトラヒック量を属性値のトラヒック量に加算し(S506)、全ての変化トラヒックレコードの処理が終了していない場合はS502に戻り(S507)、全ての変化トラヒックレコードの処理が終了した場合はフロー属性値リストを出力する(S508)。
フロー属性値の例としては、送信元IPアドレス、送信先IPアドレス、プロトコル、送信元ポート番号、送信先ポート番号、送信元AS番号、送信先AS番号、送信元IPアドレス逆引きドメイン名、送信先IPアドレス逆引きドメイン名、経由ネットワーク装置のインターフェースの全てもしくはいずれかの一つ以上の組み合わせとなる。ここで送信元AS番号、送信先AS番号が蓄積トラヒック情報313として蓄積されていない場合には、それぞれ送信元IPアドレス、送信先IPアドレスから外部経路情報を参照し、送信元AS番号、送信先AS番号に変換してもよい。同様に、送信元IPアドレス逆引きドメイン名、送信先IPアドレス逆引きドメイン名が蓄積トラヒック情報として蓄積されていない場合には、外部DNSサーバ311を参照し、送信元IPアドレス、送信先IPアドレスからドメイン名を逆引きしてもよい。図6に抽出後のフロー属性値リストの例を示す。
図6において、601はフロー属性値が送信元IPアドレスの場合のフロー属性値リストの例であり、フロー属性値である送信元IPアドレス毎にトラヒック量変化前後のトラヒック情報(送信前パケット数、変化前バイト数、変化後パケット数、変化後バイト数)が記録されている。602はフロー属性値がポート番号の場合のフロー属性値リスト、603はフロー属性値がプロトコル番号の場合のフロー属性値リスト、604はフロー属性値がドメイン名の場合のフロー属性値リスト、605はフロー属性値が送信元AS番号の場合のフロー属性値リストの例である。
集約フロー属性ツリー生成部304は、フロー属性値抽出部303によって抽出されたフロー属性値を集約した、集約フロー属性値をノードとしたツリーを生成する。図7に集約フロー属性ツリー生成部304のフローチャートを示す。括弧内はフロー属性値が送信元IPv4アドレスの場合の説明である。
図7に示すように、集約フロー属性ツリー生成部304は、フロー属性値リストの全ての属性値(IPアドレス)を、ツリー末端ノードとして登録し、トラヒック変化量パラメータとして、寄与率、巻き添え率、および範囲率を計算し、登録する(S701)。ツリー生成処理対象階層を作成し、ツリーの最下位層とする(ツリー生成処理対象IPアドレスプリフィックス長を32とする)(S702)。対象階層に未処理ノードが存在するかどうかを判断し(S703)、存在する場合は未処理ノード(IPアドレスプリフィックス)を1つ選択し(S704)、当該ノードの(IPアドレスプリフィックス)から、階層が1つ上位の集約ノード(プリフィックス長が1つ短いIPアドレスプリフィックス)を生成する(S705)。集約ノードのトラヒック変化量パラメータとして、当該ノードのトラヒック変化量パラメータを加算し、集約ノードと当該ノードをツリーのエッジで接続し、当該ノードを処理済みとする(S706)。対象階層の未処理ノードに、当該未処理ノードの集約ノードが前ステップで生成した集約ノードと一致するものが存在する場合はS706に戻り、存在しない場合はS703に戻る(S707)。S703の判断で対象階層に未処理ノードが存在しない場合は対象階層を1上昇(処理対象IPアドレスプリフィックス長を1減少)させ(S708)、対象階層がルートノード(プレフィックス長が0)でない場合はS703に戻る(S709)。対象階層がルートノード(プレフィックス長が0)であれば集約フロー属性値ツリーを出力する(S710)。
フロー属性値が送信元IPアドレス、送信先IPアドレス、プロトコル、送信元ポート番号、送信先ポート番号の場合、その集約、およびツリー生成は特許文献1に示される方法と同様である。フロー属性値が送信元・送信先IPアドレスの場合のツリーは、IPv4の例を図1に示したとおり、ルートノードをプレフィックス長が0の0.0.0.0/0(IPv6の場合は::/0)、末端ノードをプレフィックス長が32(IPv6の場合は128)の個々のアドレス、中間ノードはそれらをさらに集約し、プレフィックス長がより短いアドレスプレフィックスとなる。末端ノードは寄与率閾値以上となるように個々のアドレスを集約したアドレスプレフィックスでもよい。
フロー属性値がプロトコルの場合は、ルートノードが全プロトコル、末端ノードがTCPやUDPの個々のプロトコルとなる。中間ノードは存在しなくてもよい。
フロー属性値が送信元・送信先ポート番号の場合は、ルートノードが全ポート番号、末端ノードはSMTP25番、HTTP80番などの個々のポート番号となる。中間ノードは存在しなくてもよい。
フロー属性値が送信元・送信先AS番号の場合は、図8に例示する通り、当該送信元AS番号を末端ノードとし、トラヒックを観測している自AS番号をルートノードとするASパスツリーを生成する。生成にはAS間経路制御プロトコルであるBGP(Boarder Gateway Protocol)の経路情報を用いることができる。BGP経路情報には経路制御単位となるアドレスプレフィックス毎に送信元ASから自ASまでのASパス情報が含まれる。観測トラヒック毎にそのアドレスを含むアドレスプレフィックスのASパス情報を参照することによって、図8のASパスツリーを生成することができる。
フロー属性値が送信元IPアドレス逆引きドメイン名、送信先IPアドレス逆引きドメイン名の場合には図9に例示する、当該ドメイン名を末端ノードとし、通常“.”(ドット)で表記されるルートドメインをルートノードとするドメインツリーを生成する。
さらに集約フロー属性ツリー生成部304は、ツリーの各ノードに対して、トラヒック量変化前後のトラヒックからトラヒック変化原因を表現する一つもしくは複数のパラメータ値を計算する。
以下、「ノード組み合わせ」を「ノード組」、「ノード組み合わせに含まれるノード組み合わせ数」を「ノード組数」と略記することがある。
パラメータの例としては、変化前後のトラヒック量の差のうち当該ノード組のトラヒック量変化が占める割合を示す寄与率、変化前のトラヒック量のうち、当該ノード組のトラヒック量が占める割合を示す巻き添え率、ノード組に含まれるノード組数、ノード組が属するフロー属性の全属性値数に占める当該ノード組の属性値数を示す範囲率、の全てもしくはいずれかの一つ以上の組み合わせとなる。
ここで寄与率、巻き添え率、ノード組数の計算方法は、特許文献1に示される方法と同様である。範囲率については、当該ノードが含む末端ノード数が、出現しうる全末端ノード数に占める割合となり、例えば図1におけるノード、10.10.10.0/24が含む末端ノードであるIPv4アドレス数は2^8であり、出現しうる全末端ノード数は、総IPv4アドレス数の2^32であるため、範囲率は両者の比をとって2^8/2^32=1/2^24と計算される。
トラヒック変化原因集約フロー属性値特定部305は、集約フロー属性ツリー生成部304が生成した集約フロー属性値ツリーの上下関係の重複のない全ノード組み合わせから、前記パラメータ値から計算されるトラヒック変化原因度合いを示す評価式に対して最大値をとるノード組をトラヒック変化原因集約フロー属性値として特定する。
評価式は、あるノード組み合わせの寄与率に対して単調増加、巻き添え率、に対して単調減少である関数をとることによって、当該ノード組み合わせが、トラヒック量変化後にのみ出現している場合に評価値を高くすることができる。また、ノード組数、範囲率に対して単調減少とすることによって、少数の小さいノード組でトラヒック量変化原因を特定することが可能となる。このような評価式として例えば数式1に示される評価式が考えられる。
Figure 2011176387
ここでCov、Coll、r、nはそれぞれ寄与率、巻き添え率、範囲率、ノード数であり、α、β、γ、εはそれぞれパラメータに対する重み付け定数である。
ここで非特許文献3および特許文献1においては、集約フロー属性ツリー生成部304が生成した集約フロー属性値ツリーの上下関係の重複のない全ノード組み合わせを予め生成し、その全組み合わせに対して評価式を適用する。しかしこのような組み合わせの数はノード数に対して爆発的に増加するという問題がある。
本実施例の方式1では、評価式入力パラメータに閾値を設け、閾値を超過するノード組み合わせを評価式が最大値をとり得ないようなノード組み合わせとして生成しないようにすることでこの問題を回避する。すなわち、方式1では、トラヒック変化原因集約フロー属性値特定部305は、ノード組み合わせ生成において、一つまたは複数のパラメータに閾値を設け、閾値を超過するノード組み合わせを生成しないことにより、最終的にツリーから生成した全ノード組み合わせを生成しない。
以下、本実施例の方式1について説明する。図10にフローチャートを図示する。
図10―1、図10−2に示すように、トラヒック変化原因集約フロー属性値特定部305は、集約フロー属性ツリー生成部304が出力した集約フロー属性値ツリーを入力し(S1001)、ノード組み合わせリストを空で初期化する(S1002)。ツリーのルートノードを、単一ノードからなるノード組み合わせとしてノード組み合わせリストに追加し、ノード組み合わせのトラヒック変化量パラメータとしてルートノードのトラヒック量変化パラメータを登録する(S1003)。ルートノードを処理対象ノードとして選択し(S1004)、ノード組み合わせリストからノード組み合わせを一つ選択する(S1005)。当該ノード組み合わせに処理対象ノードが含まれていない場合はS1005に戻り、含まれている場合はS1007に進む(S1006)。対象ノードの子ノードから生成される全ての組み合わせのリストを生成する(S1007)。生成した子ノード組み合わせリストから子ノード組み合わせを一つ選択し(S1008)、ノード組み合わせ中の選択ノードを、生成した子ノード組み合わせと置き換えたノード組み合わせを生成し、ノード組み合わせのトラヒック変化量パラメータとしてノードのノード組み合わせのトラヒック変化量パラメータの和を登録する(S1009)。置き換えて生成したノード組み合わせのトラヒック変化量パラメータ値が閾値を超過している場合はS1008に戻る(S1010)。閾値を超過していない場合は生成したノード組み合わせをノード組み合わせリストに追加する(S1011)。子ノード組み合わせリスト中の子ノード組み合わせを全て処理していない場合はS1008に戻る(S1012)。全て処理している場合は子ノードを一つ対象ノードとして選択する(S1013)。対象ノードに子ノードが存在していない場合はS1005に戻る(S1014)。対象ノードに子ノードが存在している場合は、全ての子ノードを対象ノードとして選択していない場合はS1013に戻る(S1015)。全ての子ノードを対象ノードとして選択している場合は、ノード組み合わせリストの全ての組み合わせを処理していない場合はS1005に戻る(S1016)。ノード組み合わせリストの全ての組み合わせを処理している場合はノード組み合わせリストを出力する(S1017)。評価値最大ノード組を空で初期化する(S1018)。ノード組み合わせリストからノード組み合わせを一つ取得し(S1019)、当該ノード組み合わせの評価値を計算し(S1020)、評価値が評価値最大ノード組の評価値より大きい場合は(S1021)、評価値最大ノード組を当該ノードで置き換え、S1023に進む(S1022)。S1021で大きくない場合はS1023に進む。ノード組み合わせリストが空でない場合はS1019に戻る(S1023)。ノード組み合わせリストが空である場合は評価値最大ノード組を出力する(S1024)。
ツリーの上下関係の重複のないノード組み合わせ全リストの生成方法の一つとして、ルートノードからスタートし、子ノードと置き換えたノード組み合わせをリストに追加する作業を繰り返すことによって、組み合わせを生成する方法がある。例えば図11に示すツリーの場合、Rootからスタートし、Rootを子ノードに置き換えた、{A}、{B}、{C}、{A,B}、{A,C}、{B,C}、{A,B,C}の七つの組み合わせをリストに追加する。さらにこのリスト中のAを含む組み合わせに対して、Aの子ノードである{a1}、{a2}、{a1,a2}で置き換えた、{a1}、{a2}、{a1,a2}、{a1,B}、{a2,B}、{a1,a2,B}、{a1,C}、{a2,C}、{a1,a2,C}、{a1,B,C}、{a2,B,C}、{a1,a2,B,C}をリストに追加する。この作業を再帰的に繰り返すことによって全ノード組み合わせを生成できる。
ノード数が多いノード組み合わせは評価式が低いため、予めノード数に閾値を設けておき、ノード数閾値以上となるノード組み合わせを評価対象外としたとしても、評価式最大値となるノード組み合わせは評価対象外とならない確率が高い。また、ノード組み合わせの子ノード置き換えによってノード組み合わせ内のノード数は減ることはない。
従って、本実施例の方式1−1では、あるノード組み合わせのノード数が閾値以上となった時点で子ノード置き換え作業を停止する。すなわち、方式1―1では、トラヒック変化原因集約フロー属性値特定部305は、ノード組み合わせ生成において、ノード組み合わせ数に対して予め閾値を設定し、閾値以上となるノード組み合わせを生成しないことにより、最終的にツリーから生成した全ノード組み合わせを生成しない。この方式により全ノード組み合わせリストを生成することなく、効率的に評価式最大値となるノード組み合わせを特定することが可能となる。
同様に寄与率が低いノード組み合わせは評価式が低いため、予め寄与率に閾値を設けておき、寄与率閾値未満となるノード組み合わせを評価対象外としたとしても、評価式最大値となるノード組み合わせは評価対象外とならない確率が高い。寄与率についても通常はノード組み合わせの子ノード置き換えによってノード組み合わせの寄与率が上昇することは少なく、かつ寄与率が上昇するとしてもその上限値が計算できる。
従って、本実施例の方式1−2では、あるノード組み合わせの寄与率が子ノード置き換えで閾値以上とならないことが決定した時点で子ノード置き換え作業を停止する。すなわち、方式1−2では、トラヒック変化原因集約フロー属性値特定部305は、ノード組み合わせ生成において、寄与率に対して予め閾値を設定し、閾値以上となり得ないノード組み合わせを生成しないことにより、最終的にツリーから生成した全ノード組み合わせを生成しない。
ここで子ノード置き換えによる寄与率上昇上限値およびノード置き換え作業停止について図12を用いて説明する。観測トラヒック、親ノードP、子ノードC、子ノードC’の変化前トラヒック量をそれぞれTb、Pb、Cb、C’b、変化後のトラヒック量をそれぞれTa、Pa、Ca、C’aとする。このとき親ノードの寄与率Cov(P)=(Pa−Pb)/(Ta−Tb)、巻き添え率Coll(P)=Pb/Tb、子ノードCの寄与率Cov(C)=(Ca−Cb)/(Ta−Tb)と計算される。子ノードCの寄与率Cov(C)が最大値をとるのはC’a=Cb=0のとき(子ノードC’の寄与率Cov(C’)は最小値(負値)をとる)であり、この最大値はPa/(Ta−Tb)=Cov(P)+Pb/(Ta−Tb)=Cov(P)+Coll(P)*Tb/(Ta−Tb)と計算される。従ってあるノードPの置き換え処理において、その寄与率Cov(P)に加え、巻き添え値から計算される値Coll(P)*Tb/(Ta−Tb)を加えたものが寄与率閾値を下回った場合には、子ノード置き換えで閾値を再び上回ることはないので置き換え処理を中断することにより、この方式により全ノード組み合わせリストを生成することなく、効率的に評価式最大値となるノード組み合わせを特定することが可能となる。
本実施例の方式1−3では、方式1−1のノード数閾値と方式1−2の寄与率閾値の双方に対してノード組生成を停止する。すなわち、方式1−3では、トラヒック変化原因集約フロー属性値特定部305は、ノード組み合わせ生成において、ノード組み合わせ数および寄与率に対して予め閾値を設定し、ノード組み合わせ数閾値以上となり、かつ寄与率閾値以上となり得ないノード組み合わせを生成しないことにより、最終的にツリーから生成した全ノード組み合わせを生成しない。
図10のフローチャートの図中、パターンで塗りつぶした処理(S1010)が上記説明した方式1、方式1−1、方式1−2、方式1−3に関係する処理であり、閾値超過ノード組み合わせに対して子ノード置き換えによるノード組み合わせ生成を停止している。
本実施例の方式2では、本実施例の方式1と異なり、評価式を入力パラメータに対して線形とすることによって、動的計画法を用いて全組み合わせを生成することなく評価式最大となるノード組み合わせを特定する。すなわち、方式2では、トラヒック変化原因集約フロー属性値特定部305は、ノード組み合わせ生成において、部分ツリーのノード組み合わせ中の評価値最大ノード組み合わせを選択し、全体ツリーのノード組み合わせとしては、部分ツリーで評価値最大となったノード組み合わせのみを用いる動的計画法を用いることにより、最終的にツリーから生成した全ノード組み合わせを生成しない。図13にフローチャートを図示する。
図13に示すように、トラヒック変化原因集約フロー属性値特定部305は、集約フロー属性ツリー生成部304が出力した集約フロー属性値ツリーを入力し(S1301)、ノード属性値として配下最適ノード組み合わせを設定し、全端末ノードの配下最適ノード組み合わせとして自身のノードで初期化し、他のノードの配下最適ノード組み合わせは空で初期化する(S1302)。ツリーのノード内、子ノードとして末端ノードのみを持つノードが存在するかどうか判断する(S1303)。存在する場合は子ノードとして末端ノードのみを持つノードを一つ選択し(S1304)、当該ノード、および子ノードから生成される全てのノード組み合わせを生成する(S1305)。生成したノード組み合わせ中、評価値最大となるノード組み合わせを選択し、評価に用いるトラヒック変化量パラメータは、子ノードの配下最適ノード組み合わせ、および当該ノードのトラヒック量変化パラメータを利用する(S1306)。当該ノードの配下最適ノード組み合わせを評価値最大となるノード組み合わせと設定し、当該ノードの子ノードへのリンクを切断し、当該ノードを末端ノードとし、S1303に戻る(S1308)。S1303でツリーのノード内、子ノードとして末端ノードのみを持つノードが存在しない場合は末端ノードとして残っているルートノードの配下最適ノード組み合わせを評価最大ノード組として出力する(S1308)。
動的計画法を用いる場合は、評価式としてパラメータの線形式である必要があり、そのような評価式として例えば数式2に示される評価式が考えられる。ここで変数は数式1と同様である。
Figure 2011176387
動的計画法を用いた評価式最大となるノード組み合わせ特定は、末端ノードから出発し、末端ノードおよびその親ノード、当該親ノードの他の子ノードからなるノード組み合わせのうち評価式最大となるノード組み合わせを特定し、そのノード組み合わせを親ノードと置き換え当該親ノードを末端ノードとし、さらに同じ手続きを再帰的に繰り返すことによって実施される。
従って、本実施例の方式2−1では、トラヒック変化原因集約フロー属性値特定部305は、ノード組み合わせ生成において、末端ノードを含む部分ツリー内で評価式最大値をとるノード組み合わせを特定し、当該ノード組み合わせを部分ツリーの代表ノード組み合わせとして、部分ツリーを含むツリーのノード組み合わせ特定時には、代表ノード組み合わせの組み合わせを用いて再帰的に評価式最大値のノード組み合わせを特定する動的計画法を適用することにより、最終的にツリーから生成した全ノード組み合わせを生成しない。
この手続きを図14を用いて例示する。末端ノードhに対し、親ノードd、およびdの他の子ノードiからなる、{d}、{h}、{i}、{h,i}の4つの組に対してそれぞれ評価式を計算する。仮に{h,i}が最大値となったとするとノードdをノード組み合わせ{h,i}と置き換える。さらに再帰的に{h,i}の親ノードb、および他の子ノードcからなる、{b}、{c}、{h,i}、{c,{h,i}}の4つの組に対してそれぞれ評価式を計算する。ここで、{h,i}の一部を用いた{c,h}などのノード組み合わせを評価する必要はない。なぜなら評価式が線形のため、ノード組み合わせ{c,h}の評価値はノード組み合わせ{c}とノード組み合わせ{h}の評価値の和であり、ノード組み合わせ{c,h,i}の評価値はノード組み合わせ{c}とノード組み合わせ{h、i}の評価値の和であるが、ノード組み合わせ{h}よりも{h,i}の方が評価式が高いため、ノード組み合わせ{c,h}の評価値はノード組み合わせ{c,h,i}の評価値より低いからである。この処理を再帰的に繰り返し、最終的にルートノードを親ノードとして評価式最大となるノード組み合わせが、ツリーの全てのノード組み合わせの内、評価式最大となる組み合わせとして得られる。
以上説明したように、本実施例のトラヒック変化原因集約フロー属性値特定システムによれば、ノード組み合わせを生成する際に、評価値を計算するためのパラメータ値が閾値を超えており評価値最大ノード組み合わせとなる可能性が非常に小さい組み合わせを生成しない、もしくは、全体ツリーのノード組み合わせでなく、まず部分ツリーのノード組み合わせ中の評価値最大ノード組み合わせを選択し、全体ツリーのノード組み合わせとしては、部分ツリーで評価値最大となったノード組み合わせのみを用いる動的計画法を用いることにより、指数的に増大するノード組み合わせを全て生成することなく、トラヒック量変化時にその変化をもたらした、IPアドレスプレフィックスなどの集約フロー属性値を少ない記憶容量で高速に特定することができ、監視者による迅速なトラヒック量変化原因特定、対策を容易にすることができる。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
300…トラヒック変化原因集約フロー属性値特定システム、301…変化検出時刻取得部、302…変化前後トラヒック取得部、303…フロー属性値抽出部、304…集約フロー属性ツリー生成部、305…トラヒック変化原因集約フロー属性値特定部、311…DNSサーバ、312…経路情報、313…蓄積トラヒック情報、314…トラヒック量変化検出システム、315、316…監視者

Claims (9)

  1. ネットワーク上のトラヒック量が変化した場合に、その変化の原因となった集約フロー属性値の一つまたは複数の組み合わせを特定するトラヒック変化原因集約フロー属性値特定システムにおけるトラヒック変化原因集約フロー属性値特定方法であって、
    前記トラヒック変化原因集約フロー属性値特定システムは、フロー属性値抽出部と集約フロー属性ツリー生成部とトラヒック変化原因集約フロー属性値特定部とを備え、
    前記フロー属性値抽出部が、トラヒック量変化後のトラヒックにおいて観測されるフロー属性値を抽出するステップと、
    前記集約フロー属性ツリー生成部が、前記フロー属性値抽出部により抽出されたフロー属性値から、フロー属性値を集約したツリーを生成し、ツリーの各ノードに対して、トラヒック量変化前後のトラヒックからトラヒック変化原因を表現する一つまたは複数のパラメータ値を計算するステップと、
    前記トラヒック変化原因集約フロー属性値特定部が、前記集約フロー属性ツリー生成部が生成したツリーからノードの組み合わせを生成し、当該ノード組み合わせに対して、前記一つまたは複数のパラメータ値からトラヒック変化原因度合いを表現する予め与えられた評価式によって、評価値を計算し、最終的にツリーから生成した全てのノード組み合わせのうち、評価値が最大となるノード組み合わせをトラヒック変化原因集約フロー属性値として特定するステップとを含み、
    前記トラヒック変化原因集約フロー属性値特定部は、ノード組み合わせ生成において、最終的にツリーから生成した全てのノード組み合わせを生成することなく、評価式最大値をとるノード組み合わせを特定することを特徴とするトラヒック変化原因集約フロー属性値特定方法。
  2. 請求項1記載のトラヒック変化原因集約フロー属性値特定方法であって、
    前記トラヒック変化原因集約フロー属性値特定システムは、変化検出時刻取得部と変化前後トラヒック取得部とを備え、
    前記変化検出時刻取得部が、トラヒック量変化時刻を取得するステップと、
    前記変化前後トラヒック取得部が、トラヒック量変化前後のトラヒック情報を取得するステップとを含み、
    前記変化前後トラヒック取得部が取得したトラヒック情報を前記フロー属性値抽出部と前記集約フロー属性ツリー生成部が用いることを特徴とするトラヒック変化原因集約フロー属性値特定方法。
  3. 請求項1または2に記載のトラヒック変化原因集約フロー属性値特定方法であって、
    前記一つまたは複数のパラメータは、変化前後のトラヒック量の差のうち、当該ノード組み合わせのトラヒック量変化が占める割合を示す寄与率、変化前のトラヒック量のうち、当該ノード組み合わせのトラヒック量が占める割合を示す巻き添え率、ノード組み合わせに含まれるノード組み合わせ数、ノード組み合わせが属するフロー属性の全属性値数に占める当該ノード組み合わせの属性値数を示す範囲率、の全てまたは一つまたは複数を含むことを特徴とするトラヒック変化原因集約フロー属性値特定方法。
  4. 請求項1ないし3のうちいずれか1項に記載のトラヒック変化原因集約フロー属性値特定方法であって、
    前記トラヒック変化原因集約フロー属性値特定部は、ノード組み合わせ生成において、前記一つまたは複数のパラメータに閾値を設け、閾値を超過するノード組み合わせを生成しないことにより、または、部分ツリーのノード組み合わせ中の評価値最大ノード組み合わせを選択し、全体ツリーのノード組み合わせとしては、部分ツリーで評価値最大となったノード組み合わせのみを用いる動的計画法を用いることにより、最終的にツリーから生成した全ノード組み合わせを生成しないことを特徴とするトラヒック変化原因集約フロー属性値特定方法。
  5. 請求項1ないし3のうちいずれか1項に記載のトラヒック変化原因集約フロー属性値特定方法であって、
    前記トラヒック変化原因集約フロー属性値特定部は、ノード組み合わせ生成において、ノード組み合わせ数に対して予め閾値を設定し、閾値以上となるノード組み合わせを生成しないことにより、最終的にツリーから生成した全ノード組み合わせを生成しないことを特徴とするトラヒック変化原因集約フロー属性値特定方法。
  6. 請求項1ないし3のうちいずれか1項に記載のトラヒック変化原因集約フロー属性値特定方法であって、
    前記トラヒック変化原因集約フロー属性値特定部は、ノード組み合わせ生成において、寄与率に対して予め閾値を設定し、閾値以上となり得ないノード組み合わせを生成しないことにより、最終的にツリーから生成した全ノード組み合わせを生成しないことを特徴とするトラヒック変化原因集約フロー属性値特定方法。
  7. 請求項1ないし3のうちいずれか1項に記載のトラヒック変化原因集約フロー属性値特定方法であって、
    前記トラヒック変化原因集約フロー属性値特定部は、ノード組み合わせ生成において、ノード組み合わせ数および寄与率に対して予め閾値を設定し、ノード組み合わせ数閾値以上となり、かつ寄与率閾値以上となり得ないノード組み合わせを生成しないことにより、最終的にツリーから生成した全ノード組み合わせを生成しないことを特徴とするトラヒック変化原因集約フロー属性値特定方法。
  8. 請求項1ないし3のうちいずれか1項に記載のトラヒック変化原因集約フロー属性値特定方法であって、
    前記トラヒック変化原因集約フロー属性値特定部は、ノード組み合わせ生成において、末端ノードを含む部分ツリー内で評価式最大値をとるノード組み合わせを特定し、当該ノード組み合わせを部分ツリーの代表ノード組み合わせとして、部分ツリーを含むツリーのノード組み合わせ特定時には、代表ノード組み合わせの組み合わせを用いて再帰的に評価式最大値のノード組み合わせを特定する動的計画法を適用することにより、最終的にツリーから生成した全ノード組み合わせを生成しないことを特徴とするトラヒック変化原因集約フロー属性値特定方法。
  9. ネットワーク上のトラヒック量が変化した場合に、その変化の原因となった集約フロー属性値の一つまたは複数の組み合わせを特定するトラヒック変化原因集約フロー属性値特定システムであって、
    トラヒック量変化後のトラヒックにおいて観測されるフロー属性値を抽出するフロー属性値抽出部と、
    前記フロー属性値抽出部により抽出されたフロー属性値から、フロー属性値を集約したツリーを生成し、ツリーの各ノードに対して、トラヒック量変化前後のトラヒックからトラヒック変化原因を表現する一つまたは複数のパラメータ値を計算する集約フロー属性ツリー生成部と、
    前記集約フロー属性ツリー生成部が生成したツリーからノードの組み合わせを生成し、当該ノード組み合わせに対して、前記一つまたは複数のパラメータ値からトラヒック変化原因度合いを表現する予め与えられた評価式によって、評価値を計算し、最終的にツリーから生成した全てのノード組み合わせのうち、評価値が最大となるノード組み合わせをトラヒック変化原因集約フロー属性値として特定するトラヒック変化原因集約フロー属性値特定部とを備え、
    前記トラヒック変化原因集約フロー属性値特定部は、ノード組み合わせ生成において、最終的にツリーから生成した全てのノード組み合わせを生成することなく、評価式最大値をとるノード組み合わせを特定することを特徴とするトラヒック変化原因集約フロー属性値特定システム。
JP2010036816A 2010-02-23 2010-02-23 トラヒック変化原因集約フロー属性値特定方法およびシステム Active JP4975837B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010036816A JP4975837B2 (ja) 2010-02-23 2010-02-23 トラヒック変化原因集約フロー属性値特定方法およびシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010036816A JP4975837B2 (ja) 2010-02-23 2010-02-23 トラヒック変化原因集約フロー属性値特定方法およびシステム

Publications (2)

Publication Number Publication Date
JP2011176387A true JP2011176387A (ja) 2011-09-08
JP4975837B2 JP4975837B2 (ja) 2012-07-11

Family

ID=44688875

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010036816A Active JP4975837B2 (ja) 2010-02-23 2010-02-23 トラヒック変化原因集約フロー属性値特定方法およびシステム

Country Status (1)

Country Link
JP (1) JP4975837B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011249911A (ja) * 2010-05-24 2011-12-08 Nippon Telegr & Teleph Corp <Ntt> ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム
JP5600785B1 (ja) * 2013-08-13 2014-10-01 日本電信電話株式会社 通信量測定装置
JP2018139406A (ja) * 2018-02-19 2018-09-06 株式会社東芝 通信装置、通信方法、プログラムおよび通信システム
JP7473509B2 (ja) 2021-08-25 2024-04-23 Kddi株式会社 情報処理装置及びプログラム

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009044501A (ja) * 2007-08-09 2009-02-26 Nippon Telegr & Teleph Corp <Ntt> トラフィック量変化原因特定方法、システム、プログラム、及び記録媒体

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009044501A (ja) * 2007-08-09 2009-02-26 Nippon Telegr & Teleph Corp <Ntt> トラフィック量変化原因特定方法、システム、プログラム、及び記録媒体

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011249911A (ja) * 2010-05-24 2011-12-08 Nippon Telegr & Teleph Corp <Ntt> ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム
JP5600785B1 (ja) * 2013-08-13 2014-10-01 日本電信電話株式会社 通信量測定装置
JP2018139406A (ja) * 2018-02-19 2018-09-06 株式会社東芝 通信装置、通信方法、プログラムおよび通信システム
JP7473509B2 (ja) 2021-08-25 2024-04-23 Kddi株式会社 情報処理装置及びプログラム

Also Published As

Publication number Publication date
JP4975837B2 (ja) 2012-07-11

Similar Documents

Publication Publication Date Title
Coull et al. Playing Devil's Advocate: Inferring Sensitive Information from Anonymized Network Traces.
Andersen et al. Topology inference from BGP routing dynamics
US7843827B2 (en) Method and device for configuring a network device
CN109644141A (zh) 用于可视化网络的方法和系统
US20140328169A1 (en) Network simulation and analysis using operational forwarding data
US20130064125A1 (en) Flow statistics aggregation
CN107241186A (zh) 应用签名生成和分发
WO2011018736A1 (en) Automatic address range detection for ip networks
CN105791213B (zh) 一种策略优化装置及方法
Tozal et al. Tracenet: an internet topology data collector
EP3499837A1 (en) Ot system monitoring method, apparatus, system, and storage medium
WO2020228527A1 (zh) 数据流的分类方法和报文转发设备
CN111222019B (zh) 特征提取的方法和装置
JP4975837B2 (ja) トラヒック変化原因集約フロー属性値特定方法およびシステム
EP3158687B1 (en) Automated placement of measurement endpoint nodes in a network
JP5862811B1 (ja) 評価装置、評価方法、及びプログラム
JP4422176B2 (ja) トラフィック量変化原因特定方法、システム、プログラム、及び記録媒体
Wijesinghe et al. Botnet detection using software defined networking
CN108494583A (zh) 一种基于sFlow生成网络拓扑的方法及装置
Shavitt et al. Quantifying the importance of vantage point distribution in internet topology mapping (extended version)
US11438237B1 (en) Systems and methods for determining physical links between network devices
Singh et al. The Politics of Routing: Investigating the Relationship between {AS} Connectivity and Internet Freedom
Sriraman et al. Analysis of the ipv4 address space delegation structure
RU181257U1 (ru) Межсетевой экран на основе кластеризации данных
JP2008227878A (ja) ネットワーク管理装置及びネットワーク管理方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120210

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120410

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120411

R150 Certificate of patent or registration of utility model

Ref document number: 4975837

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150420

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350