JP2013243558A - Traffic data monitoring device, traffic data monitoring method, traffic data monitoring program, and traffic database per area characteristic - Google Patents
Traffic data monitoring device, traffic data monitoring method, traffic data monitoring program, and traffic database per area characteristic Download PDFInfo
- Publication number
- JP2013243558A JP2013243558A JP2012115966A JP2012115966A JP2013243558A JP 2013243558 A JP2013243558 A JP 2013243558A JP 2012115966 A JP2012115966 A JP 2012115966A JP 2012115966 A JP2012115966 A JP 2012115966A JP 2013243558 A JP2013243558 A JP 2013243558A
- Authority
- JP
- Japan
- Prior art keywords
- traffic data
- area
- traffic
- data
- characteristic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明はトラヒックデータ監視装置、トラヒックデータ監視方法、トラヒックデータ監視プログラム、エリア特性毎トラヒックデータベースに関し、特にネットワークを流れるデータ量であるトラヒックデータを監視するトラヒックデータ監視装置、トラヒックデータ監視方法、トラヒックデータ監視プログラム、エリア特性毎トラヒックデータベースに関する。 The present invention relates to a traffic data monitoring device, a traffic data monitoring method, a traffic data monitoring program, and a traffic database for each area characteristic, and in particular, a traffic data monitoring device, a traffic data monitoring method, and traffic data for monitoring traffic data that is the amount of data flowing through a network. The present invention relates to a monitoring program and a traffic database for each area characteristic.
監視対象のネットワークにプローブを設置することにより、ネットワークを流れるデータに関する情報であるトラヒックデータを取得する場合がある。プローブは、その機能や性能により、設置されたネットワークに流れるデータ量など、各種のトラヒックデータを取得することができる。このプローブによって取得したトラヒック情報を分析処理することによって、ネットワークの異常を検出することができる。 By installing a probe in a network to be monitored, traffic data that is information about data flowing through the network may be acquired. The probe can acquire various types of traffic data such as the amount of data flowing in the installed network depending on the function and performance. By analyzing the traffic information acquired by this probe, it is possible to detect a network abnormality.
例えば、特許文献1には、エージェントによってトラヒックデータを収集するエージェント型情報収集アプリケーションが記載されている。特許文献1には、既定の時刻及び周期でネットワークエレメントのデータ収集を行う技術が記載されている。
ここで、ネットワークの異常を検出するための分析ロジックとしては、一般的には以下がある。
(1)ある閾値を上回った、または下回った場合に異常であると判定する方法(以下、単純閾値判定と記す)
(2)過去の類似傾向を示す時間帯との比較を行い、その差分が大きい場合に異常であると判定する方法(以下、過去比較判定と記す)
For example,
Here, the analysis logic for detecting a network abnormality generally includes the following.
(1) A method for determining an abnormality when a threshold value is exceeded or below a certain threshold value (hereinafter referred to as simple threshold value determination)
(2) A method of comparing with a time zone that shows a past similar tendency and determining that the difference is large (hereinafter referred to as past comparison determination).
上記(1)の単純閾値判定を行う場合について、図14(A)を参照して説明する。図14(A)に示すように、プローブによって生成される、監視対象のエリアAのトラヒックデータを分析する場合、時間の推移に伴ってトラヒックデータの値が変化する。そして、トラヒックデータの値が、予め定められた閾値を下回ると、異常であると判定する。
上記(2)の過去比較判定を行う場合について、図14(B)を参照して説明する。図14(B)に示すように、時間の推移に伴って監視対象のエリアBのトラヒックデータの値が変化し、現在のトラヒックデータの変化が過去のトラヒックデータの変化の傾向と異なる場合に、異常であると判定する。
The case of performing the simple threshold determination (1) will be described with reference to FIG. As shown in FIG. 14A, when analyzing the traffic data of the area A to be monitored, which is generated by the probe, the value of the traffic data changes with time. Then, when the value of the traffic data falls below a predetermined threshold value, it is determined that there is an abnormality.
The case where the past comparison determination of (2) is performed will be described with reference to FIG. As shown in FIG. 14B, when the traffic data value of the monitored area B changes with time, and the current traffic data changes differently from the past traffic data change trend, Judged to be abnormal.
上記(1)の単純閾値判定では、測定エリア固有のトラヒック特性を考慮し閾値を設定しなれければ、異常の誤検出が発生する。しかし監視対象のエリアの数が膨大になるとエリア毎に個別に閾値を設定することは現実的ではない。
上記(2)の過去比較判定では、同一監視エリアの過去の類似傾向を示す時間帯との比較を行うことにより、誤検出を減らすことができる。
In the simple threshold determination of (1) above, erroneous detection of an abnormality occurs if the threshold cannot be set in consideration of the traffic characteristics unique to the measurement area. However, when the number of areas to be monitored becomes enormous, it is not realistic to set a threshold value for each area individually.
In the past comparison determination of (2) above, it is possible to reduce false detections by comparing with a time zone showing a past similar tendency in the same monitoring area.
しかしながら、エリア内の環境変化によって、トラヒックの時間傾向が大きく変化する場合がある。例えば、ショッピングセンターが新規に建ったエリアCに、多くのユーザが集まるようになった場合である。このような場合には、エリアCの在圏するユーザ数(以下、在圏数と記す)が増加する。この場合、図15(A)のように、在圏数が増加し、トラヒック量が増加するため、現在のトラヒックデータの変化傾向が過去のトラヒックデータの変化の傾向と異なる。したがって、このような場合、トラヒックの時間変化の傾向が大きく変化するので、本来は正常であるにもかかわらず、単純閾値判定および過去比較判定では、正しい異常検出ができない。 However, the traffic time trend may change significantly due to environmental changes in the area. For example, it is a case where many users come to gather in the area C where a shopping center was newly built. In such a case, the number of users in area C (hereinafter referred to as the number of visited areas) increases. In this case, as shown in FIG. 15A, since the number of service areas increases and the traffic volume increases, the current traffic data change tendency is different from the past traffic data change tendency. Accordingly, in such a case, the tendency of the traffic to change with time changes greatly, so that correct abnormality detection cannot be performed by simple threshold determination and past comparison determination, although it is normally normal.
また、図15(B)のように、新規なエリアDの監視を開始した場合など、過去データが存在しない場合(あるいは過去データを使用できない場合)、異常であるにもかかわらず、異常であると判定することができない。
本発明は上述した従来技術の問題点を解決するためになされたものであり、その目的はトラヒック分析による異常判定の精度を向上させることのできるトラヒックデータ監視装置、トラヒックデータ監視方法、トラヒックデータ監視プログラム、エリア特性毎トラヒックデータベースを提供することである。
Also, as shown in FIG. 15B, when past data does not exist (or when past data cannot be used), such as when monitoring of a new area D is started, it is abnormal although it is abnormal. Cannot be determined.
The present invention has been made to solve the above-described problems of the prior art, and its object is to improve the accuracy of abnormality determination by traffic analysis, a traffic data monitoring device, a traffic data monitoring method, and traffic data monitoring. It is to provide a traffic database for each program and area characteristics.
本発明の一態様によるトラヒックデータ監視装置は、ネットワークを構成する複数のエリアそれぞれに流れるデータに関する情報であるトラヒックデータについて、前記エリアのトラヒックデータに影響を与える要素の値で決められる特性の分類を定義するエリア分類定義(例えば、図1のエリア特性分類定義15に対応)に基づいて前記特性毎に分類するトラヒックデータ分類部(例えば、図1のエリア特性毎トラヒックデータ分類機能部14に対応)と、前記トラヒックデータ分類部によって前記特性毎に分類された、トラヒックデータを記憶するエリア特性毎トラヒックデータベース(例えば、図1のエリア特性毎トラヒックデータベース13に対応)と、監視対象のエリアのトラヒックデータと、前記エリア特性毎トラヒックデータベースに記憶されている、該エリアの特性と類似する特性を有する他のエリアのトラヒックデータとを抽出する抽出部(例えば、図1の異常判定機能部16に対応)と、を含むことを特徴とする。このような構成によれば、エリア特性が類似する他のエリアのトラヒックデータと比較することにより、トラヒック分析による異常判定の精度が向上し、異常判定の誤検出を減らすことができる。
A traffic data monitoring apparatus according to an aspect of the present invention classifies characteristics of traffic data, which is information related to data flowing in each of a plurality of areas constituting a network, by a value of an element that affects the traffic data of the area. A traffic data classifying unit for classifying each characteristic based on the area class definition to be defined (for example, corresponding to the area
前記抽出部によって抽出された、監視対象のエリアのトラヒックデータと、前記抽出部によって抽出された、前記他のエリアのトラヒックデータと、を比較することによって、前記監視対象のエリアのトラヒックデータの異常を判定する異常判定部(例えば、図1の異常判定機能部16に対応)を、さらに含んでもよい。このような構成によれば、作業員によらず、自動で、トラヒック分析による異常判定を行うことができる。
By comparing the traffic data of the monitoring target area extracted by the extraction unit with the traffic data of the other area extracted by the extraction unit, the traffic data of the monitoring target area is abnormal. An abnormality determination unit (for example, corresponding to the abnormality
また、前記ネットワークを構成する複数のエリアそれぞれに流れるデータに関する情報であるトラヒックデータを取得するトラヒックデータ取得部(例えば、図1の収集機能部11に対応)と、前記トラヒックデータ取得部が取得したトラヒックデータを記憶するトラヒックデータベース(例えば、図1のトラヒックデータベース12に対応)とをさらに含み、前記トラヒックデータ分類部が、前記トラヒックデータベースに記憶されているトラヒックデータについて、前記エリア分類定義に基づいて前記特性毎に分類してもよい。このように構成すれば、本装置によって、トラヒックデータの収集および記憶自動的に行い、トラヒック分析による異常判定を行うことができる。
In addition, a traffic data acquisition unit (for example, corresponding to the
前記異常判定部は、監視対象のエリアのトラヒックデータを、そのエリアの特性と類似する特性を有する他のエリアの直近のトラヒックデータと比較することによって、前記監視対象のエリアのトラヒックデータの異常を判定するようにしてもよい。こうすることにより、ショッピングセンターなどの建物が新規に建った場合など、多くのユーザが集まるようになったエリアについて、正しく異常判定を行うことができる。 The abnormality determination unit compares the traffic data of the monitored area with the latest traffic data of another area having characteristics similar to the characteristics of the area, thereby detecting an abnormality in the traffic data of the monitored area. You may make it determine. By doing so, it is possible to correctly determine an abnormality in an area where many users gather, such as when a building such as a shopping center is newly built.
また、前記異常判定部は、監視対象のエリアに過去のトラヒックデータが存在しない場合に、該監視対象のエリアのトラヒックデータを、そのエリアの特性と類似する特性を有する他のエリアの過去のトラヒックデータと比較することによって、前記監視対象のエリアのトラヒックデータの異常を判定するようにしてもよい。こうすることにより、新規な監視対象エリアについて、正しく異常判定を行うことができる。 In addition, when there is no past traffic data in the monitored area, the abnormality determination unit converts the traffic data of the monitored area into the past traffic of another area having characteristics similar to the characteristics of the area. By comparing with data, an abnormality in the traffic data of the monitored area may be determined. By doing so, it is possible to correctly determine the abnormality of the new monitoring target area.
さらに、前記異常判定部は、監視対象のエリアに過去のトラヒックデータが存在する場合に、該監視対象のエリアのトラヒックデータを、そのエリアの過去のトラヒックデータと比較することによって、前記監視対象のエリアのトラヒックデータの異常を判定し、異常であると判定された場合には、さらに、該監視対象のエリアのトラヒックデータを、そのエリアの特性と類似する特性を有する他のエリアの過去のトラヒックデータと比較することによって、前記監視対象のエリアのトラヒックデータの異常を判定するようにしてもよい。こうすることにより、過去比較判定の結果、異常を検出した場合に、さらに類似特性エリア比較判定を行い、監視対象エリアについて、正しく異常判定を行うことができる。 Furthermore, when there is past traffic data in the monitored area, the abnormality determination unit compares the traffic data of the monitored area with the past traffic data of the area, thereby comparing the monitoring target area. When it is determined that the traffic data of the area is abnormal, and it is determined that the traffic data is abnormal, the traffic data of the monitored area is further changed to the past traffic of other areas having characteristics similar to the characteristics of the area. By comparing with data, an abnormality in the traffic data of the monitored area may be determined. In this way, when an abnormality is detected as a result of the past comparison determination, the similar characteristic area comparison determination can be further performed, and the abnormality determination can be correctly performed for the monitoring target area.
本発明の一態様によるトラヒックデータ監視方法は、ネットワークを構成する複数のエリアそれぞれに流れるデータに関する情報であるトラヒックデータについて、前記エリアのトラヒックデータに影響を与える要素の値で決められる特性の分類を定義するエリア分類定義に基づいて前記特性毎に分類するトラヒックデータ分類ステップと、
前記トラヒックデータ分類ステップにおいて前記特性毎に分類された、トラヒックデータをエリア特性毎トラヒックデータベースに記憶するステップと、
監視対象のエリアのトラヒックデータを、前記エリア特性毎トラヒックデータベースに記憶されている、該エリアの特性と類似する特性を有する他のエリアのトラヒックデータと比較することによって、前記監視対象のエリアのトラヒックデータの異常を判定する異常判定ステップと、
を含むことを特徴とする。このような方法によれば、エリア特性が類似する他のエリアのトラヒックデータと比較することにより、トラヒック分析による異常判定の精度が向上し、異常判定の誤検出を減らすことができる。
The traffic data monitoring method according to an aspect of the present invention is configured to classify characteristics of traffic data, which is information related to data flowing in each of a plurality of areas constituting a network, by a value of an element that affects the traffic data of the area. A traffic data classification step for classifying each characteristic based on an area classification definition to be defined;
Storing the traffic data classified for each characteristic in the traffic data classification step in a traffic database for each area characteristic;
The traffic data of the monitored area is compared by comparing the traffic data of the monitored area with the traffic data of other areas having characteristics similar to the characteristics of the area stored in the traffic database for each area characteristic. An abnormality determination step for determining data abnormality;
It is characterized by including. According to such a method, by comparing with traffic data of other areas having similar area characteristics, the accuracy of abnormality determination by traffic analysis can be improved, and erroneous detection of abnormality determination can be reduced.
本発明の一態様によるトラヒックデータ監視プログラムは、コンピュータに、ネットワークを構成する複数のエリアそれぞれに流れるデータに関する情報であるトラヒックデータについて、前記エリアのトラヒックデータに影響を与える要素の値で決められる特性の分類を定義するエリア分類定義に基づいて前記特性毎に分類するトラヒックデータ分類ステップと、前記トラヒックデータ分類ステップにおいて前記特性毎に分類された、トラヒックデータをエリア特性毎トラヒックデータベースに記憶するステップと、監視対象のエリアのトラヒックデータを、前記エリア特性毎トラヒックデータベースに記憶されている、該エリアの特性と類似する特性を有する他のエリアのトラヒックデータと比較することによって、前記監視対象のエリアのトラヒックデータの異常を判定する異常判定ステップと、を実行させることを特徴とする。このようなプログラムをコンピュータに実行させれば、エリア特性が類似する他のエリアのトラヒックデータと比較することにより、トラヒック分析による異常判定の精度が向上し、異常判定の誤検出を減らすことができる。 A traffic data monitoring program according to an aspect of the present invention is characterized in that, for traffic data, which is information related to data flowing in each of a plurality of areas constituting a network, a computer is determined by the value of an element that affects the traffic data of the area. A traffic data classification step for classifying each characteristic on the basis of an area classification definition that defines a classification of the data; a step of storing traffic data classified for each characteristic in the traffic data classification step in a traffic database for each area characteristic; The traffic data of the monitored area is compared with the traffic data of other areas having characteristics similar to the characteristics of the area stored in the traffic database for each area characteristic. , An abnormality determination step of determining an abnormality of the traffic data, characterized in that to the execution. If such a program is executed by a computer, the accuracy of abnormality determination by traffic analysis can be improved by comparing with traffic data of other areas with similar area characteristics, and erroneous detection of abnormality determination can be reduced. .
本発明の一態様によるトラヒックデータベースは、ネットワークを構成する複数のエリアそれぞれに流れるデータに関する情報であるトラヒックデータを記憶するトラヒックデータベースであって、前記エリアのトラヒックデータに影響を与える要素の値で決められる特性の分類を定義するエリア分類定義に基づいて前記特性毎に分類された、トラヒックデータを記憶しており、監視対象のエリアの特性と類似する特性を有する他のエリアのトラヒックデータを抽出できる構造を有することを特徴とする。このようなトラヒックデータベースを用いれば、エリア特性が類似する他のエリアのトラヒックデータと比較することにより、トラヒック分析による異常判定の精度が向上し、異常判定の誤検出を減らすことができる。 A traffic database according to an aspect of the present invention is a traffic database that stores traffic data that is information related to data flowing in each of a plurality of areas constituting a network, and is determined by a value of an element that affects the traffic data of the area. The traffic data classified for each of the characteristics based on the area classification definition that defines the classification of the characteristics to be stored is stored, and the traffic data of other areas having characteristics similar to the characteristics of the monitored area can be extracted It has a structure. By using such a traffic database, the accuracy of abnormality determination by traffic analysis can be improved by comparing with traffic data of other areas with similar area characteristics, and erroneous detection of abnormality determination can be reduced.
本発明によれば、エリア特性が類似する他のエリアのトラヒックデータと比較することにより、トラヒック分析による異常判定の精度が向上し、異常判定の誤検出を減らすことができる。 According to the present invention, by comparing with traffic data of other areas with similar area characteristics, the accuracy of abnormality determination by traffic analysis can be improved, and erroneous detection of abnormality determination can be reduced.
以下、本発明の実施の形態を、図面を参照して説明する。なお、以下の説明において参照する各図では、他の図と同等部分は同一符号によって示されている。
(トラヒックデータ監視装置の構成例)
図1は、本発明の実施形態によるトラヒックデータ監視装置の構成例を示すブロック図である。同図を参照すると、本実施形態によるトラヒックデータ監視装置10は、プローブPから、トラヒックデータを取得する。プローブPは、後述するように、監視対象のネットワークに設けられている。プローブPは、監視対象のネットワークを流れるデータ量に関する情報であるトラヒックデータを生成する。
Hereinafter, embodiments of the present invention will be described with reference to the drawings. In the drawings referred to in the following description, the same parts as those in the other drawings are denoted by the same reference numerals.
(Configuration example of traffic data monitoring device)
FIG. 1 is a block diagram showing a configuration example of a traffic data monitoring apparatus according to an embodiment of the present invention. Referring to the figure, the traffic
本例のトラヒックデータ監視装置10は、プローブPからのトラヒック情報を収集し、トラヒックデータベース12に蓄積する収集機能部11と、トラヒックデータベース12に記憶されているトラヒックデータについて、エリア特性分類定義15に基づいてエリア特性毎の分類を行い、分類したトラヒックデータをエリア特性毎トラヒックデータベース13に記憶させるエリア特性毎トラヒックデータ分類機能部14と、過去時間比較および類似特性エリア比較判定を行う異常判定機能部16とを備えている。エリア特性分類定義15は、例えば、図示せぬエリア特性分類定義記憶部に記憶しておいてもよい。
The traffic
エリア特性毎トラヒックデータ分類機能部14は、ネットワークを構成する複数のエリアそれぞれのトラヒックデータに影響を与える要素の値で決められる特性の分類を定義するエリア分類定義に基づいて前記特性毎に分類する。例えば、そのエリアの在圏数、在圏数の時間変動率、在圏ユーザの通信頻度特性、回線接続サービスの呼数、パケット接続サービスの呼数、位置登録数などが、ネットワークを構成する複数のエリアそれぞれのトラヒックデータに影響を与える要素であり、エリア特性毎トラヒックデータ分類機能部14は、その要素の値で決められる特性によって、トラヒックデータを分類する。
The traffic data
異常判定機能部16は、監視対象のエリアのトラヒックデータと、他のエリアのトラヒックデータと、を比較することによって、監視対象のエリアのトラヒックデータの異常を判定する。異常を判定する際、データ同士の値に一致していない部分があった場合でも、予め定められた値の範囲内での相違であれば、異常と判定しない、という処理を行ってもよい。
The abnormality
収集機能部11、エリア特性毎トラヒックデータ分類機能部14、異常判定機能部16については、図示しないCPUが、予め記憶されているプログラムを実行することによってこれらの機能部を実現することができる。
なお、収集機能部11と、トラヒックデータベース12とは、トラヒックデータ監視装置10の外部に設けてもよい。
プローブPによって取得できるトラヒックデータは、トラヒックデータ監視装置10に送信される。プローブPから出力されるトラヒックデータは、そのプローブが設けられたエリア毎のトラヒックデータである。
Regarding the
The
The traffic data that can be acquired by the probe P is transmitted to the traffic
(プローブ)
監視対象のネットワークにプローブを挿入する位置について、図2を参照して説明する。図2は、監視対象のネットワークの構成例を示す図である。図2を参照すると、本例の監視対象のネットワークにおいては、エリアの境界部分などにプローブPが設けられている。トラヒックデータ監視装置10は、このプローブPが生成するトラヒックデータを取得し、分析する。なお、エリアには、地理的なエリアのみならず、論理的なネットワークのエリアも含まれる。
(probe)
The position where the probe is inserted into the network to be monitored will be described with reference to FIG. FIG. 2 is a diagram illustrating a configuration example of a network to be monitored. Referring to FIG. 2, in the monitoring target network of this example, a probe P is provided at an area boundary or the like. The traffic
本例における監視対象のネットワークは、3G(3rd Generation)の移動通信網の構成要素である無線基地局(nodeB)21と、nodeB21を制御するRNC(Radio Network Controller)22と、SGSN(Serving GPRS(General Packet Radio Service) Support Node)23とを備え、これらによるカバーエリア21a、22a、23aを実現している。本例では、カバーエリア21a、22a、23aに、プローブPが設けられており、カバーエリア21a、22a、23aからトラヒックデータを取得することができる。
The network to be monitored in this example includes a radio base station (nodeB) 21 that is a component of a 3G (3rd Generation) mobile communication network, an RNC (Radio Network Controller) 22 that controls the node B21, and an SGSN (Serving GPRS ( General Packet Radio Service (Support Node) 23, and the
また、本例の監視対象のネットワークは、LTE(Long Term Evolution)の移動通信網の構成要素である基地局(eNB)31と、eNB31を収容するモバイルマネージメント装置であるMME(Mobility Management Entity)32と、パケット交換機であるS−GW(Serving−Gateway)33とを備え、これらによるカバーエリア31a、32a、33aを実現している。本例では、カバーエリア31a、32a、33aに、プローブPが設けられており、カバーエリア21a、22a、23aからトラヒックデータを取得することができる。
In addition, the monitoring target network in this example includes a base station (eNB) 31 that is a component of a mobile communication network of LTE (Long Term Evolution), and an MME (Mobility Management Entity) 32 that is a mobile management device that accommodates the
本例において、3Gの移動通信網は、GGSN(Gateway GPRS(General Packet Radio Service) Support Node)24を介して他事業者パケット交換機40に接続されている。また、本例において、LTEの移動通信網は、P−GW(Packet Data Network−Gateway)34を介して他事業者パケット交換機40、PDN(Public Data Network)50、IMS(IP Multimedia Subsystem)60に接続されている。
In this example, a 3G mobile communication network is connected to another
他事業者パケット交換機40は、例えば、国際ローミング事業者や、MVNO(Mobile Virtual Network Operator)事業者(仮想移動体通信事業者)など、であり、他事業者パケット交換機40との境界部分に設けられたプローブPによって、この境界部分のトラヒックデータを取得することができる。
PDN50は、例えば、ISP(Internet Services Provider)や、MVNO事業者など、であり、PDN50との境界部分に設けられたプローブPによって、この境界部分のトラヒックデータを取得することができる。
The other
The
さらに、IMS60は、相互接続契約に基づき相互に接続されている事業者である相互接続事業者の交換機すなわち他事業者交換機70に接続されている。IMS60と他事業者交換機70との境界部分に設けられたプローブPによって、この境界部分のトラヒックデータを取得することができる。
なお、ネットワークを構成する各装置からトラヒックデータを取得できるのであれば、プローブを設けなくてもよい。
Further, the
Note that a probe need not be provided as long as traffic data can be acquired from each device constituting the network.
(トラヒックデータ監視装置の動作例)
次に、トラヒックデータ監視装置の動作例について説明する。
図3は、トラヒックデータ監視装置の第1動作例を示すフローチャートである。本例では、類似特性エリア判定のみを行う。
図3において、異常判定機能部16は、類似特性エリア比較判定を行う(ステップS101)。類似特性エリア比較判定の結果、異常を検出した場合(ステップS102:YES)、判定結果を「異常」とし、トラヒックデータ監視装置による処理は終了となる(ステップS103、S105)。一方、ステップS102による判定の結果、異常を検出しなかった場合、判定結果を「正常」とし、トラヒックデータ監視装置による処理は終了となる(ステップS104、S105)。
(Operation example of traffic data monitoring device)
Next, an operation example of the traffic data monitoring apparatus will be described.
FIG. 3 is a flowchart showing a first operation example of the traffic data monitoring apparatus. In this example, only the similar characteristic area determination is performed.
In FIG. 3, the abnormality
図4は、トラヒックデータ監視装置の第2動作例を示すフローチャートである。本例では、過去比較データがある場合に過去比較判定を行い、異常が検出された場合には第1動作例と同様に類似特性エリア判定を行う。
最初に、異常判定機能部16は、過去比較データがあるか判定する(ステップS201)。過去比較データがある場合(ステップS201:YES)、過去比較判定を行う(ステップS202)。
FIG. 4 is a flowchart showing a second operation example of the traffic data monitoring apparatus. In this example, when there is past comparison data, past comparison determination is performed, and when an abnormality is detected, similar characteristic area determination is performed as in the first operation example.
First, the abnormality
ステップS202による過去比較判定の結果、異常を検出した場合(ステップS203:YES)、図3のステップS101と同様に類似特性エリア比較判定を行う(ステップS204)。ステップS201において過去比較データが存在しない場合(ステップS201:NO)、すなわち新規な監視対象エリアについての異常を判定する場合も同様である(ステップS204)。 If an abnormality is detected as a result of the past comparison determination in step S202 (step S203: YES), similar characteristic area comparison determination is performed in the same manner as in step S101 of FIG. 3 (step S204). The same applies to the case where past comparison data does not exist in step S201 (step S201: NO), that is, the determination of an abnormality regarding a new monitoring target area (step S204).
類似特性エリア比較判定の結果、異常を検出した場合(ステップS205:YES)、判定結果を「異常」とし、トラヒックデータ監視装置による処理は終了となる(ステップS206、S208)。
類似特性エリア比較判定の結果、異常を検出しなかった場合(ステップS205:NO)、判定結果を「正常」とし、トラヒックデータ監視装置による処理は終了となる(ステップS208)。
なお、ステップS202による過去比較判定の結果、異常を検出しなかった場合(ステップS203:NO)、判定結果を「正常」とし、トラヒックデータ監視装置による処理は終了となる(ステップS208)。
If an abnormality is detected as a result of the similar characteristic area comparison determination (step S205: YES), the determination result is “abnormal”, and the processing by the traffic data monitoring apparatus ends (steps S206 and S208).
As a result of the similar characteristic area comparison determination, when no abnormality is detected (step S205: NO), the determination result is “normal”, and the processing by the traffic data monitoring apparatus is ended (step S208).
If no abnormality is detected as a result of the past comparison determination in step S202 (step S203: NO), the determination result is “normal”, and the processing by the traffic data monitoring apparatus ends (step S208).
(トラヒックデータ監視装置の内部処理例)
次に、トラヒックデータ監視装置の内部処理の例について説明する。
図5は、トラヒックデータ監視装置を構成する各部間のデータ授受の一例を示すシーケンス図である。図5は、図3を参照して説明した第1動作例の場合のデータ授受の一例を示すシーケンス図である。
図5において、プローブPは、監視対象のネットワークに設けられており、収集機能部11は、このプローブPから通知されるトラヒックデータを受信し、トラヒックデータを取得する(S11)。収集機能部11は、取得したトラヒックデータをトラヒックデータベース12に記憶させる(S12)。トラヒックデータベース12には、プローブPから取得したデータがそのまま収録される。
(Internal processing example of traffic data monitoring device)
Next, an example of internal processing of the traffic data monitoring apparatus will be described.
FIG. 5 is a sequence diagram showing an example of data exchange between the respective parts constituting the traffic data monitoring apparatus. FIG. 5 is a sequence diagram showing an example of data exchange in the case of the first operation example described with reference to FIG.
In FIG. 5, the probe P is provided in the network to be monitored, and the
次に、エリア特性毎トラヒックデータ分類機能部14は、トラヒックデータベース12に記憶されているトラヒックデータについて、エリア特性毎に検索する(S13)。そして、エリア特性毎トラヒックデータ分類機能部14は、エリア特性毎に検索した結果をエリア特性毎トラヒックデータベース13に記憶させる(S14)。エリア特性毎トラヒックデータベース13には、エリア特性毎に分類されたエリア特性毎トラヒックデータが収録される。
Next, the traffic data
異常判定を行う場合、異常判定機能部16は、トラヒックデータベース12に記憶されているトラヒックデータを検索し、監視対象エリアの直近時刻のデータを抽出する(S15)。次に、異常判定機能部16は、エリア特性毎トラヒックデータベース13に記憶されている、エリア特性毎に分類されたトラヒックデータを検索し、上記監視対象エリアと類似する特性を示す他のエリアの直近時刻のデータを抽出する(S16)。そして、異常判定機能部16は、監視対象エリアの直近時刻のデータと、そのエリアと類似する特性を示す他のエリアの直近時刻のデータとを比較する(S17)。
When performing abnormality determination, the abnormality
このように、類似特性エリアの直近時刻のデータとの比較判定を行うことにより、図15(A)の場合のように、在圏数が増加し、トラヒック量が増加した場合でも正しく異常判定を行うことができる。すなわち、在圏数が増加し、トラヒック量が増加して、現在のトラヒックデータ(直近データ)の変化傾向が過去のトラヒックデータ(過去データ)の変化の傾向と異なる場合でも、類似する特性を示す他のエリアの直近時刻のデータと比較するので、正しく異常判定を行うことができる。 In this way, by performing comparison determination with the data at the latest time in the similar characteristic area, as in the case of FIG. 15A, the abnormality determination is correctly performed even when the number of located areas increases and the traffic amount increases. It can be carried out. In other words, even if the number of service areas increases, the amount of traffic increases, and the change tendency of the current traffic data (latest data) is different from the change tendency of the past traffic data (past data), it shows similar characteristics. Since it is compared with the data of the latest time in other areas, it is possible to correctly determine the abnormality.
また、類似特性エリアの直近時刻のデータとの比較判定を行うことにより、図15(B)の場合のように、過去データが存在しない場合でも正しく異常判定を行うことができる。すなわち、存在しない過去データの代わりに、監視対象エリアと類似する特性を示す他のエリアの直近時刻のデータと比較するので、正しく異常判定を行うことができる。
図6は、トラヒックデータ監視装置を構成する各部間のデータ授受の他の例を示すシーケンス図である。図6は、図4を参照して説明した第2動作例の場合のデータ授受の一例を示すシーケンス図である。
Further, by performing comparison determination with data at the latest time in the similar characteristic area, it is possible to correctly perform abnormality determination even when past data does not exist as in the case of FIG. That is, since the past data that does not exist is compared with the data at the latest time in another area that exhibits similar characteristics to the monitored area, it is possible to correctly determine the abnormality.
FIG. 6 is a sequence diagram showing another example of data exchange between the units constituting the traffic data monitoring apparatus. FIG. 6 is a sequence diagram showing an example of data exchange in the case of the second operation example described with reference to FIG.
図6において、図5の場合と同様に、トラヒックデータ監視装置では、プローブPから通知されるトラヒックデータを受信し、プローブPから取得したデータをトラヒックデータベース12に記憶させる(S11、S12)。また、図5の場合と同様に、トラヒックデータベース12に記憶されているトラヒックデータについて検索し、エリア特性毎に分類されたエリア特性毎トラヒックデータをエリア特性毎トラヒックデータベース13に記憶させる(S13、S14)。
In FIG. 6, similarly to the case of FIG. 5, the traffic data monitoring apparatus receives the traffic data notified from the probe P and stores the data acquired from the probe P in the traffic database 12 (S11, S12). Similarly to the case of FIG. 5, the traffic data stored in the
異常判定を行う場合、図5の場合と同様に、異常判定機能部16は、トラヒックデータベース12に記憶されているトラヒックデータを検索し、監視対象エリアの直近時刻のデータと、そのエリアの過去時刻のデータとを抽出する(S15、S16’)。過去時刻は、例えば、1週間前の同じ曜日の同一時刻、である。そして、異常判定機能部16は、監視対象エリアの直近時刻のデータと、そのエリアの過去時刻のデータとを比較する(S17’)。このように、最初に同じエリアの過去時刻のデータとの比較判定を行うことにより、図4を参照して説明したように、異常判定を行うことができる。
When performing abnormality determination, as in the case of FIG. 5, the abnormality
ところで、図15(B)の場合のように、新規なエリアDの監視を開始した場合など、過去データが存在しない場合や、図15(A)のように同一エリアでトラヒック特性が変化したため、同一エリアの過去データを使用できない場合には、トラヒックデータ監視装置は、図7のような処理を行う。
図7において、図5および図6の場合と同様に、トラヒックデータ監視装置では、プローブPから通知されるトラヒックデータを受信し、プローブPから取得したデータをトラヒックデータベース12に記憶させる(S11、S12)。また、図5および図6の場合と同様に、トラヒックデータベース12に記憶されているトラヒックデータについて検索し、エリア特性毎に分類されたエリア特性毎トラヒックデータをエリア特性毎トラヒックデータベース13に記憶させる(S13、S14)。
By the way, when past data does not exist, such as when monitoring of a new area D is started as in the case of FIG. 15B, or because the traffic characteristics have changed in the same area as in FIG. When past data in the same area cannot be used, the traffic data monitoring apparatus performs processing as shown in FIG.
7, the traffic data monitoring apparatus receives the traffic data notified from the probe P and stores the data acquired from the probe P in the traffic database 12 (S11, S12). ). Similarly to the case of FIG. 5 and FIG. 6, the traffic data stored in the
異常判定を行う場合、図5および図6の場合と同様に、異常判定機能部16は、トラヒックデータベース12に記憶されているトラヒックデータを検索し、監視対象エリアの直近時刻のデータと、そのエリアの過去時刻のデータとを抽出する(S15、S16’)。過去時刻は、例えば、1週間前の同じ曜日の同一時刻、である。そして、異常判定機能部16は、監視対象エリアの直近時刻のデータと、そのエリアの過去時刻のデータとを比較する(S17’)。
When performing abnormality determination, as in the case of FIGS. 5 and 6, the abnormality
ここで、過去データが存在しない場合(あるいは過去データを使用できない場合)、異常判定機能部16は、エリア特性毎トラヒックデータベース13に記憶されている、エリア特性毎に分類されたトラヒックデータを検索し、上記監視対象エリアと類似する特性を示す他のエリアの直近時刻のデータを抽出する(S16)。そして、異常判定機能部16は、監視対象エリアの直近時刻のデータと、そのエリアと類似する特性を示す他のエリアの直近時刻のデータとを比較する(S17)。
Here, when past data does not exist (or when past data cannot be used), the abnormality
このように、類似特性エリアの過去時刻のデータとの比較判定を行うことにより、図15(B)の場合のように、新規なエリアDの監視を開始した場合など、過去データが存在しない場合(あるいは過去データを使用できない場合)でも、類似する特性を示す他のエリアの過去時刻のデータと比較するので、正しく異常判定を行うことができる。 Thus, when past data does not exist, such as when monitoring of a new area D is started, as in the case of FIG. Even when the past data cannot be used, since it is compared with the data of the past time in other areas showing similar characteristics, the abnormality can be correctly determined.
(データベースの構造の例)
次に、トラヒックデータベース12に記憶されているトラヒックデータをエリア特性毎に分類したエリア特性毎トラヒックデータの例について説明する。
図8は、トラヒックデータベース12に記憶されているデータの例を示す図である。図8は、エリア1からエリアNまでの、N個(Nは自然数、以下同じ)のエリアが監視対象である場合について、トラヒックデータベース12に記憶されているトラヒックデータの例を示している。本例では、エリア1からエリアNまでの各エリアについて、時刻t1、t2、t3と、各時刻におけるそのエリアの在圏数(在圏ユーザの数)と、各時刻におけるそのエリアから他のエリアへ送信される(または、そのエリアからエリア内宛てに送信される)トラヒックデータを示している。
(Example of database structure)
Next, an example of traffic data for each area characteristic obtained by classifying the traffic data stored in the
FIG. 8 is a diagram illustrating an example of data stored in the
トラヒックX11(t1)、…、X1n(t1)は、時刻t1におけるエリア1でのトラヒックデータを示す値である。トラヒックX11(t2)、…、X1n(t2)は、時刻t2におけるエリア1でのトラヒックデータを示す値である。トラヒックX11(t3)、…、X1n(t3)は、時刻t3におけるエリア1でのトラヒックデータを示す値である。
Traffic X11 (t1),..., X1n (t1) is a value indicating traffic data in
トラヒックデータは、例えば、あるエリアから他のエリアへ送信されるパケットによるデータ量である。例えば、「トラヒックX12(t1)」は、時刻t1における、エリア1からエリア2へ送信されるパケットによるデータ量である。また、「トラヒックX11(t1)」は、時刻t1における、エリア1内で同じエリア1宛てに送信されるパケットによるデータ量である。
なお、図示されているトラヒックデータは、一例にすぎない。本例のトラヒックデータ監視装置において処理対象となるトラヒックデータは、プローブによって取得したトラヒックデータである。つまり、どのようなトラヒックデータが本装置の処理対象になるか、については、プローブの機能や性能に依存する。
The traffic data is, for example, a data amount by a packet transmitted from one area to another area. For example, “traffic X12 (t1)” is a data amount of a packet transmitted from
The traffic data shown is only an example. The traffic data to be processed in the traffic data monitoring apparatus of this example is traffic data acquired by a probe. In other words, what kind of traffic data is to be processed by this apparatus depends on the function and performance of the probe.
(トラヒックデータの分類の例)
図9は、トラヒックデータベース12に記憶されているデータをエリア特性毎に分類したエリア特性毎トラヒックデータの例を示す図である。まず、本例では、図9(A)に示すように、在圏数による分類、および、時間変動率の大きさによる分類を行う。本例での分類には、以下のように、予め定めた閾値を用いる。
本例において、在圏数については、時刻t1、t2、および、t3における在圏数の合計が「100」より多い場合を「在圏数多」とし、時刻t1、t2、および、t3における在圏数の合計が「100」以下の場合を「在圏数少」とする分類を行う。
(Example of traffic data classification)
FIG. 9 is a diagram illustrating an example of traffic data for each area characteristic obtained by classifying data stored in the
In this example, for the number of located areas, when the total number of located areas at times t1, t2, and t3 is greater than “100”, it is defined as “large number of located areas”, and the existing areas at times t1, t2, and t3. When the total number of service areas is “100” or less, the classification is made so that “the number of service areas is small”.
また、本例において、時間変動率については、時間変動率が「10」より大きい場合を「時間変動率大」とし、時間変動率が「10」以下の場合を「時間変動率小」とする分類を行う。時間変動率は、本例では、時刻t1、t2、および、t3における在圏数のうち、在圏数の最大値を、在圏数の最小値で除算した値、とする。
なお、上記のように分類するための閾値は、装置を運用した結果を反映して適切な値に設定する。
In this example, regarding the time variation rate, when the time variation rate is greater than “10”, the time variation rate is “large”, and when the time variation rate is “10” or less, the “time variation rate is small”. Perform classification. In this example, the time variation rate is a value obtained by dividing the maximum value of the number of areas out of the number of areas at times t1, t2, and t3 by the minimum value of the number of areas.
The threshold for classification as described above is set to an appropriate value reflecting the result of operating the apparatus.
図9(A)に示す閾値にしたがって図8の各エリアを分類した場合の例を、図9(B)に示す。図9(B)の例では、エリア1およびエリア2が在圏数「多」で、かつ、時間変動「大」である。エリア3およびエリア4は在圏数「少」で、かつ、時間変動「大」である。エリア5およびエリア6は在圏数「少」で、かつ、時間変動「小」である。エリア7およびエリアNは在圏数「多」で、かつ、時間変動「小」である。
FIG. 9B shows an example in which each area of FIG. 8 is classified according to the threshold shown in FIG. In the example of FIG. 9B,
(エリア特性分類定義の例)
図10は、エリア特性分類定義の例を示す図である。
プローブによって、在圏数、通信中ユーザ数を取得できる場合、図10(A)のように、在圏ユーザの通信頻度特性によってエリアを分類してもよい。すなわち、在圏数(在圏ユーザ数)のうち、通信中のユーザ数はそのエリアのトラヒックデータに影響を与える要素であるため、在圏数のうち、通信中のユーザ数の割合によってエリアを分類してもよい。例えば、時刻t1、t2、t3それぞれにおける通信中ユーザ数の合計値を、時刻t1、t2、t3それぞれにおける在圏数の合計値で除算した値を閾値としてエリアを分類してもよい。
(Example of area characteristic classification definition)
FIG. 10 is a diagram illustrating an example of area characteristic classification definition.
When the number of in-service areas and the number of users in communication can be acquired by the probe, the area may be classified according to the communication frequency characteristics of the in-service users as shown in FIG. That is, out of the number of areas (the number of users in the area), the number of users in communication is an element that affects the traffic data of the area. You may classify. For example, the areas may be classified using a value obtained by dividing the total number of users in communication at each of times t1, t2, and t3 by the total value of the number of users at each of times t1, t2, and t3 as a threshold value.
また、プローブによって、CS呼数、PS呼数を取得できる場合、図10(B)のように、在圏ユーザのサービス利用特性によってエリアを分類してもよい。すなわち、在圏ユーザが利用できるサービスには、回線接続サービス(CS;Circuit Switchng)と、パケット接続サービス(PS;Packet Switchng)と、があり、これらはそのエリアのトラヒックデータに影響を与える要素である。このため、CS呼数、PS呼数によってエリアを分類してもよい。例えば、時刻t1、t2、t3それぞれにおけるCS呼数の合計値を、時刻t1、t2、t3それぞれにおけるCS呼数の合計値とPS呼数の合計値との和で除算した値をCS呼数の割合とし、時刻t1、t2、t3それぞれにおけるPS呼数の合計値を、時刻t1、t2、t3それぞれにおけるCS呼数の合計値とPS呼数の合計値との和で除算した値をPS呼数の割合とし、これらCS呼数およびPS呼数を閾値としてエリアを分類してもよい。 Further, when the number of CS calls and the number of PS calls can be acquired by the probe, the area may be classified according to the service usage characteristics of the in-zone users as shown in FIG. In other words, services available to users in the area include a circuit connection service (CS; Circuit Switchng) and a packet connection service (PS; Packet Switchng), which are factors that affect the traffic data of the area. is there. For this reason, the areas may be classified according to the number of CS calls and the number of PS calls. For example, the number of CS calls is obtained by dividing the total number of CS calls at each of times t1, t2, and t3 by the sum of the total number of CS calls and the total number of PS calls at each of times t1, t2, and t3. The value obtained by dividing the total number of PS calls at each of times t1, t2, and t3 by the sum of the total number of CS calls and the total number of PS calls at each of times t1, t2, and t3 is PS. The area may be classified using the ratio of the number of calls and the number of CS calls and the number of PS calls as threshold values.
プローブによって、位置登録数を取得できる場合、図10(C)のように、エリア境界などで位置登録数が一定以上あるエリアを分類してもよい。すなわち、エリア同士の境界においては、位置登録を行う移動端末の数が多くなるので、位置登録数はそのエリアのトラヒックデータに影響を与える要素である。そのため、位置登録数によってエリアを分類してもよい。例えば、時刻t1、t2、t3それぞれにおける位置登録数のうち、最小値である位置登録数を閾値としてエリアを分類してもよい。 When the number of position registrations can be acquired by a probe, an area where the number of position registrations exceeds a certain value at an area boundary or the like may be classified as shown in FIG. That is, since the number of mobile terminals that perform location registration increases at the boundary between areas, the number of location registrations is an element that affects the traffic data of the area. For this reason, the areas may be classified according to the number of registered positions. For example, the areas may be classified using the minimum number of registered positions among the number of registered positions at times t1, t2, and t3 as threshold values.
(分類されたエリア特性毎トラヒックデータの例)
図11は、エリア特性分類定義に基づいて分類されたエリア特性毎トラヒックデータの例を示す図である。本例では、在圏数、および、時間変動をエリア特性とし、このエリア特性によって、トラヒックデータを分類している。また、本例では、時刻t1、t2、t3の各トラヒックデータの平均値が、エリア特性によって分類されている。
(Example of classified area-specific traffic data)
FIG. 11 is a diagram illustrating an example of traffic data for each area characteristic classified based on the area characteristic classification definition. In this example, the number of locations and time variation are used as area characteristics, and traffic data is classified based on the area characteristics. In this example, the average values of the traffic data at times t1, t2, and t3 are classified according to area characteristics.
このように分類されているエリア特性毎トラヒックデータは、上述したように、監視対象のエリアの異常を判定する場合に用いられる。例えば、監視対象であるエリアM(Mは自然数かつM≦N)について異常を判定する場合には、以下のようになる。本例では、在圏数および時間変動をエリア特性とし、このエリア特性によってエリア特性毎トラヒックデータが分類されている。このため、同じように在圏数および時間変動によって、エリアMの特性を判定する。本例では、エリアMの特性は、在圏数が「少」かつ時間変動が「小」である。このエリア特性を検索条件としてエリア特性毎トラヒックデータベースを検索すると、本例では、分類されたエリア特性毎トラヒックデータのうち、図中の太枠部分のトラヒックデータが比較対象として抽出される。この抽出された、太枠部分のトラヒックデータと、監視対象であるエリアMのトラヒックデータとを比較すれば、類似特性エリア比較を実現できる。 The traffic data for each area characteristic classified as described above is used when determining an abnormality in the monitoring target area as described above. For example, when an abnormality is determined for the area M to be monitored (M is a natural number and M ≦ N), it is as follows. In this example, the number of locations and time variation are used as area characteristics, and the traffic data for each area characteristic is classified according to the area characteristics. For this reason, the characteristics of the area M are determined in the same manner based on the number of locations and the time variation. In this example, the characteristics of the area M are “small” in the number of service areas and “small” in the time variation. When a traffic database for each area characteristic is searched using this area characteristic as a search condition, traffic data in a thick frame portion in the figure is extracted as a comparison target in the classified traffic data for each area characteristic in this example. By comparing the extracted traffic data of the thick frame portion with the traffic data of the area M to be monitored, a similar characteristic area comparison can be realized.
なお、上記は一例にすぎず、エリア特性毎トラヒックデータベースを構築する場合に用いたエリア特性に基づいて、監視対象であるエリアのトラヒックデータのエリア特性を判定すればよい。そして、監視対象であるエリアのエリア特性を判定し、そのエリア特性を有するトラヒックデータをエリア特性毎トラヒックデータベースから抽出し、監視対象であるエリアのトラヒックデータと比較すれば、類似特性エリア比較を実現できる。
このように、監視対象のエリアと類似特性を示す別エリアとの比較により、過去比較のためのデータが存在しない場合に、異常判定を行うことが可能となる。また、監視対象のエリアと類似特性を示す別エリアとの比較により、トラヒックの時間傾向が変化した場合に、異常判定の誤検出を防止できる。
The above is only an example, and the area characteristics of the traffic data of the area to be monitored may be determined based on the area characteristics used when the traffic database for each area characteristic is constructed. Then, the area characteristics of the area to be monitored is determined, the traffic data having the area characteristics is extracted from the traffic database for each area characteristic, and compared with the traffic data of the area to be monitored, a similar characteristic area comparison is realized. it can.
As described above, when there is no data for past comparison by comparing the monitored area with another area having similar characteristics, it is possible to perform abnormality determination. Further, it is possible to prevent erroneous detection of abnormality determination when the traffic time tendency changes by comparing the monitored area with another area having similar characteristics.
(類似特性エリア比較の例)
図12(A)は、図15(A)の場合と同様に、例えば、ショッピングセンターなどの建物が新規に建ったエリアCに、多くのユーザが集まるようになった場合である。このような場合、在圏数が増加し、トラヒック量が増加するため、現在のトラヒックデータ(直近データ)の変化傾向が過去のトラヒックデータ(過去データ)の変化の傾向と異なる。この場合において、図12(B)のように、エリアCの直近データを、エリア特性が類似する他のエリアC’のトラヒックデータ(他のプローブによって取得したトラヒックデータ)と比較する。こうすることにより、トラヒックデータの変化が同じような振る舞いであることが分かり、正常であると判定することができる。
(Example of comparison of similar characteristic areas)
FIG. 12A shows a case where many users are gathered in an area C where a building such as a shopping center is newly constructed, as in the case of FIG. 15A. In such a case, since the number of located areas increases and the traffic volume increases, the change tendency of the current traffic data (most recent data) is different from the change tendency of the past traffic data (past data). In this case, as shown in FIG. 12B, the latest data of area C is compared with the traffic data of other area C ′ having similar area characteristics (traffic data acquired by other probes). By doing this, it can be seen that the change in the traffic data is the same behavior, and it can be determined that it is normal.
つまり、過去比較データが存在する場合、まずそのデータとの比較を行い(図4のステップS202)、閾値から逸脱していれば異常候補として、次に類似特性エリアとの比較を行う(図4のステップS203:YES、S204)。このように2段階で判定することにより、異常であると誤って判定することを防止できる。 That is, when past comparison data exists, the comparison is first made with the data (step S202 in FIG. 4), and if it deviates from the threshold, it is compared with a similar characteristic area as an abnormal candidate (FIG. 4). Step S203: YES, S204). Thus, by determining in two steps, it can prevent erroneously determining that it is abnormal.
図13(A)は、図15(B)の場合と同様に、新規なエリアDの監視を開始した場合など、過去データが存在しない場合(あるいは過去データを使用できない場合)である。このような場合、同じエリアについては比較する過去データが存在しないので、直近データは異常であるにもかかわらず、異常であると判定することができない。この場合において、図13(B)のように、エリアDの直近データを、エリア特性が類似する他のエリアD’のトラヒックデータ(他のプローブによって取得した他のエリアのトラヒックデータ)と比較する。こうすることにより、トラヒックデータの変化傾向が異なることが分かり、異常であると判定することができる。 FIG. 13A shows a case where past data does not exist (or past data cannot be used), such as when monitoring of a new area D is started, as in the case of FIG. 15B. In such a case, since there is no past data to compare for the same area, it cannot be determined that the latest data is abnormal although the latest data is abnormal. In this case, as shown in FIG. 13B, the latest data of the area D is compared with traffic data of another area D ′ having similar area characteristics (traffic data of other areas acquired by other probes). . By doing this, it can be seen that the change tendency of the traffic data is different, and it can be determined that it is abnormal.
なお、いずれの場合においても、トラヒックデータ同士を比較する際、トラヒックデータの平均値を算出して平均値同士を比較してもよいし、トラヒックデータ変化の直線の傾きを算出して傾きの値同士を比較してもよい。
また、異常判定機能部16によって、トラヒックデータ同士を比較して異常を判定するのではなく、トラヒックデータの抽出を行っておき、データ同士の比較および異常判定は作業員が行ってもよい。この場合、監視対象のエリアのトラヒックデータと、エリア特性毎トラヒックデータベース13に記憶されている、そのエリアの特性と類似する特性を有する他のエリアのトラヒックデータとを抽出し、モニタ画面などに表示する。そして、表示されているトラヒックデータについて、例えば、作業員が目視によってデータ同士の比較および異常判定を行ってもよい。
In any case, when comparing the traffic data, the average value of the traffic data may be calculated and the average values may be compared, or the slope of the straight line of the traffic data change may be calculated to obtain the value of the slope. You may compare each other.
In addition, instead of comparing the traffic data with each other and determining the abnormality by the abnormality
(トラヒックデータ監視方法)
以上説明したトラヒックデータ監視装置では、以下のようなトラヒックデータ監視方法が実現されている。すなわち、ネットワークを構成する複数のエリアそれぞれに流れるデータに関する情報であるトラヒックデータについて、前記エリアのトラヒックデータに影響を与える要素の値で決められる特性の分類を定義するエリア分類定義に基づいて前記特性毎に分類するトラヒックデータ分類ステップと、前記トラヒックデータ分類ステップにおいて前記特性毎に分類された、トラヒックデータをエリア特性毎トラヒックデータベースに記憶するステップと、監視対象のエリアのトラヒックデータを、前記エリア特性毎トラヒックデータベースに記憶されている、該エリアの特性と類似する特性を有する他のエリアのトラヒックデータと比較することによって、前記監視対象のエリアのトラヒックデータの異常を判定する異常判定ステップと、を含むトラヒックデータ監視方法が実現されている。このような方法によれば、エリア特性が類似する他のエリアのトラヒックデータと比較することにより、トラヒック分析による異常判定の精度が向上し、異常判定の誤検出を減らすことができる。
(Traffic data monitoring method)
In the traffic data monitoring apparatus described above, the following traffic data monitoring method is realized. That is, for the traffic data that is information related to data flowing in each of a plurality of areas constituting the network, the characteristics based on the area classification definition that defines the classification of characteristics determined by the values of elements that affect the traffic data of the area A traffic data classification step for classifying each of the traffic data, a step of storing the traffic data classified for each of the characteristics in the traffic data classification step in a traffic database for each area characteristic, and traffic data of an area to be monitored for the area characteristics An abnormality determination step for determining an abnormality in the traffic data of the monitored area by comparing with the traffic data of another area having characteristics similar to the characteristics of the area stored in each traffic database; Including Traffic data monitoring method is implemented. According to such a method, by comparing with traffic data of other areas having similar area characteristics, the accuracy of abnormality determination by traffic analysis can be improved, and erroneous detection of abnormality determination can be reduced.
(トラヒックデータ監視プログラム)
以上説明したトラヒックデータ監視装置では、以下のようなトラヒックデータ監視プログラムが用いられている。すなわち、コンピュータに、ネットワークを構成する複数のエリアそれぞれに流れるデータに関する情報であるトラヒックデータについて、前記エリアのトラヒックデータに影響を与える要素の値で決められる特性の分類を定義するエリア分類定義に基づいて前記特性毎に分類するトラヒックデータ分類ステップと、前記トラヒックデータ分類ステップにおいて前記特性毎に分類された、トラヒックデータをエリア特性毎トラヒックデータベースに記憶するステップと、監視対象のエリアのトラヒックデータを、前記エリア特性毎トラヒックデータベースに記憶されている、該エリアの特性と類似する特性を有する他のエリアのトラヒックデータと比較することによって、前記監視対象のエリアのトラヒックデータの異常を判定する異常判定ステップと、を実行させるトラヒックデータ監視プログラムが用いられている。このようなプログラムをコンピュータに実行させれば、エリア特性が類似する他のエリアのトラヒックデータと比較することにより、トラヒック分析による異常判定の精度が向上し、異常判定の誤検出を減らすことができる。
(Traffic data monitoring program)
In the traffic data monitoring apparatus described above, the following traffic data monitoring program is used. That is, based on the area classification definition that defines the classification of characteristics determined by the values of elements that affect the traffic data of the area for traffic data that is information related to data flowing in each of a plurality of areas constituting the network. A traffic data classification step for classifying each characteristic, a step for storing the traffic data classified for each characteristic in the traffic data classification step in a traffic database for each area characteristic, and traffic data for the area to be monitored. An abnormality determination for determining an abnormality in the traffic data of the monitored area by comparing with the traffic data of another area having characteristics similar to the characteristics of the area stored in the traffic database for each area characteristic Traffic data monitoring program to be executed and step, a is used. If such a program is executed by a computer, the accuracy of abnormality determination by traffic analysis can be improved by comparing with traffic data of other areas with similar area characteristics, and erroneous detection of abnormality determination can be reduced. .
(エリア特性毎トラヒックデータベース)
以上説明したトラヒックデータ監視装置では、以下のようなエリア特性毎トラヒックデータベース13が用いられている。すなわち、ネットワークを構成する複数のエリアそれぞれに流れるデータに関する情報であるトラヒックデータを記憶するトラヒックデータベースであって、前記エリアのトラヒックデータに影響を与える要素の値で決められる特性の分類を定義するエリア分類定義に基づいて前記特性毎に分類された、トラヒックデータを記憶しており、監視対象のエリアの特性と類似する特性を有する他のエリアのトラヒックデータを抽出できる構造を有することを特徴とするエリア特性毎トラヒックデータベース13が用いられている。このようなトラヒックデータベースを用いれば、エリア特性が類似する他のエリアのトラヒックデータと比較することにより、トラヒック分析による異常判定の精度が向上し、異常判定の誤検出を減らすことができる。
(Traffic database for each area characteristic)
In the traffic data monitoring apparatus described above, the following
(まとめ)
以上説明したように、本発明では、次のような手順により、エリア特性が類似する他のエリア(別プローブ)の計測結果と比較することにより、異常判定の誤検出を減らすことができる。すなわち、まず、通信中ユーザ数や在圏数などのトラヒック情報により、同一傾向を示すエリアをグルーピング(すなわち分類)する。そして、同一傾向を示すエリア内における平均値・傾きなどを算出し、当該エリアで測定されたトラヒック情報と比較する。同一傾向を示さない場合は異常であると判断する。このように、エリア特性が類似する他のエリアのトラヒックデータと比較することにより、トラヒック分析による異常判定の精度が向上し、異常判定の誤検出を減らすことができる。
(Summary)
As described above, according to the present invention, erroneous detection of abnormality determination can be reduced by comparing with measurement results of other areas (separate probes) having similar area characteristics by the following procedure. That is, first, the areas having the same tendency are grouped (ie, classified) based on the traffic information such as the number of users in communication and the number of visited areas. Then, an average value, an inclination, etc. in an area showing the same tendency are calculated and compared with the traffic information measured in the area. If the same tendency is not shown, it is judged as abnormal. Thus, by comparing with traffic data of other areas with similar area characteristics, the accuracy of abnormality determination by traffic analysis can be improved, and erroneous detection of abnormality determination can be reduced.
なお、本発明の範囲は、図示され記載された例示的な実施形態に限定されるものではなく、本発明が目的とするものと均等な効果をもたらすすべての実施形態をも含む。さらに、本発明の範囲は、請求項により画される発明の特徴の組み合わせに限定されるものではなく、すべての開示されたそれぞれの特徴のうち特定の特徴のあらゆる所望する組み合わせによって画されうる。 It should be noted that the scope of the present invention is not limited to the illustrated and described exemplary embodiments, but includes all embodiments that provide the same effects as those intended by the present invention. Furthermore, the scope of the invention is not limited to the combinations of features of the invention defined by the claims, but can be defined by any desired combination of particular features among all the disclosed features.
10 トラヒックデータ監視装置
11 収集機能部
12 トラヒックデータベース
13 エリア特性毎トラヒックデータベース
14 エリア特性毎トラヒックデータ分類機能部
15 エリア特性分類定義
16 異常判定機能部
P プローブ
DESCRIPTION OF
Claims (9)
前記トラヒックデータ分類部によって前記特性毎に分類された、トラヒックデータを記憶するエリア特性毎トラヒックデータベースと、
監視対象のエリアのトラヒックデータと、前記エリア特性毎トラヒックデータベースに記憶されている、該エリアの特性と類似する特性を有する他のエリアのトラヒックデータとを抽出する抽出部と、
を含むことを特徴とするトラヒックデータ監視装置。 For traffic data, which is information related to data flowing in each of a plurality of areas constituting a network, for each of the characteristics based on an area classification definition that defines a classification of characteristics determined by values of elements that affect the traffic data of the area A traffic data classification unit for classification;
A traffic database for each area characteristic that stores traffic data classified by the traffic data classification unit for each characteristic;
An extraction unit that extracts the traffic data of the area to be monitored and the traffic data of another area having characteristics similar to the characteristics of the area stored in the traffic database for each area characteristic;
A traffic data monitoring apparatus comprising:
前記抽出部によって抽出された、監視対象のエリアのトラヒックデータと、前記抽出部によって抽出された、前記他のエリアのトラヒックデータと、を比較することによって、前記監視対象のエリアのトラヒックデータの異常を判定する異常判定部を、さらに含むことを特徴とするトラヒックデータ監視装置。 In claim 1,
By comparing the traffic data of the monitoring target area extracted by the extraction unit with the traffic data of the other area extracted by the extraction unit, the traffic data of the monitoring target area is abnormal. A traffic data monitoring apparatus further comprising an abnormality determination unit for determining
前記ネットワークを構成する複数のエリアそれぞれに流れるデータに関する情報であるトラヒックデータを取得するトラヒックデータ取得部と、前記トラヒックデータ取得部が取得したトラヒックデータを記憶するトラヒックデータベースとをさらに含み、
前記トラヒックデータ分類部は、前記トラヒックデータベースに記憶されているトラヒックデータについて、前記エリア分類定義に基づいて前記特性毎に分類することを特徴とするトラヒックデータ監視装置。 In claim 1 or 2,
A traffic data acquisition unit that acquires traffic data that is information about data flowing in each of a plurality of areas constituting the network; and a traffic database that stores the traffic data acquired by the traffic data acquisition unit,
The traffic data classifying unit classifies the traffic data stored in the traffic database for each of the characteristics based on the area classification definition.
前記異常判定部は、監視対象のエリアのトラヒックデータを、そのエリアの特性と類似する特性を有する他のエリアの直近のトラヒックデータと比較することによって、前記監視対象のエリアのトラヒックデータの異常を判定することを特徴とするトラヒックデータ監視装置。 In any one of Claim 1 to Claim 3,
The abnormality determination unit compares the traffic data of the monitored area with the latest traffic data of another area having characteristics similar to the characteristics of the area, thereby detecting an abnormality in the traffic data of the monitored area. A traffic data monitoring apparatus characterized by determining.
前記異常判定部は、監視対象のエリアに過去のトラヒックデータが存在しない場合に、該監視対象のエリアのトラヒックデータを、そのエリアの特性と類似する特性を有する他のエリアの過去のトラヒックデータと比較することによって、前記監視対象のエリアのトラヒックデータの異常を判定することを特徴とするトラヒックデータ監視装置。 In any one of Claim 1 to Claim 3,
When there is no past traffic data in the monitored area, the abnormality determination unit is configured to change the traffic data of the monitored area to past traffic data of another area having characteristics similar to the characteristics of the area. A traffic data monitoring apparatus characterized by determining an abnormality in traffic data in the monitored area by comparing.
前記異常判定部は、監視対象のエリアに過去のトラヒックデータが存在する場合に、該監視対象のエリアのトラヒックデータを、そのエリアの過去のトラヒックデータと比較することによって、前記監視対象のエリアのトラヒックデータの異常を判定し、異常であると判定された場合には、さらに、該監視対象のエリアのトラヒックデータを、そのエリアの特性と類似する特性を有する他のエリアの過去のトラヒックデータと比較することによって、前記監視対象のエリアのトラヒックデータの異常を判定することを特徴とするトラヒックデータ監視装置。 In any one of Claim 1 to Claim 3,
When there is past traffic data in the monitoring target area, the abnormality determination unit compares the traffic data of the monitored target area with the past traffic data of the area, thereby comparing the monitoring target area. When it is determined that the traffic data is abnormal, and it is determined that the traffic data is abnormal, the traffic data of the monitored area is further compared with the past traffic data of other areas having characteristics similar to the characteristics of the area. A traffic data monitoring apparatus characterized by determining an abnormality in traffic data in the monitored area by comparing.
前記トラヒックデータ分類部ステップにおいて前記特性毎に分類された、トラヒックデータをエリア特性毎トラヒックデータベースに記憶するステップと、
監視対象のエリアのトラヒックデータを、前記エリア特性毎トラヒックデータベースに記憶されている、該エリアの特性と類似する特性を有する他のエリアのトラヒックデータと比較することによって、前記監視対象のエリアのトラヒックデータの異常を判定する異常判定ステップと、
を含むことを特徴とするトラヒックデータ監視方法。 For traffic data, which is information related to data flowing in each of a plurality of areas constituting a network, for each of the characteristics based on an area classification definition that defines a classification of characteristics determined by values of elements that affect the traffic data of the area A traffic data classification step to classify,
Storing the traffic data classified for each characteristic in the traffic data classifying unit step in a traffic database for each area characteristic;
The traffic data of the monitored area is compared by comparing the traffic data of the monitored area with the traffic data of other areas having characteristics similar to the characteristics of the area stored in the traffic database for each area characteristic. An abnormality determination step for determining data abnormality;
A traffic data monitoring method comprising:
ネットワークを構成する複数のエリアそれぞれに流れるデータに関する情報であるトラヒックデータについて、前記エリアのトラヒックデータに影響を与える要素の値で決められる特性の分類を定義するエリア分類定義に基づいて前記特性毎に分類するトラヒックデータ分類ステップと、
前記トラヒックデータ分類ステップにおいて前記特性毎に分類された、トラヒックデータをエリア特性毎トラヒックデータベースに記憶するステップと、
監視対象のエリアのトラヒックデータを、前記エリア特性毎トラヒックデータベースに記憶されている、該エリアの特性と類似する特性を有する他のエリアのトラヒックデータと比較することによって、前記監視対象のエリアのトラヒックデータの異常を判定する異常判定ステップと、
を実行させることを特徴とするトラヒックデータ監視プログラム。 On the computer,
For traffic data, which is information related to data flowing in each of a plurality of areas constituting a network, for each of the characteristics based on an area classification definition that defines a classification of characteristics determined by values of elements that affect the traffic data of the area A traffic data classification step to classify,
Storing the traffic data classified for each characteristic in the traffic data classification step in a traffic database for each area characteristic;
The traffic data of the monitored area is compared by comparing the traffic data of the monitored area with the traffic data of other areas having characteristics similar to the characteristics of the area stored in the traffic database for each area characteristic. An abnormality determination step for determining data abnormality;
A traffic data monitoring program characterized in that
前記エリアのトラヒックデータに影響を与える要素の値で決められる特性の分類を定義するエリア分類定義に基づいて前記特性毎に分類された、トラヒックデータを記憶しており、
監視対象のエリアの特性と類似する特性を有する他のエリアのトラヒックデータを抽出できる構造を有することを特徴とするエリア特性毎トラヒックデータベース。 A traffic database that stores traffic data that is information about data flowing in each of a plurality of areas constituting a network,
Storing traffic data classified for each of the characteristics based on an area classification definition that defines a classification of characteristics determined by the values of elements that affect the traffic data of the area;
A traffic database for each area characteristic having a structure capable of extracting traffic data of another area having characteristics similar to the characteristics of the monitored area.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012115966A JP2013243558A (en) | 2012-05-21 | 2012-05-21 | Traffic data monitoring device, traffic data monitoring method, traffic data monitoring program, and traffic database per area characteristic |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012115966A JP2013243558A (en) | 2012-05-21 | 2012-05-21 | Traffic data monitoring device, traffic data monitoring method, traffic data monitoring program, and traffic database per area characteristic |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2013243558A true JP2013243558A (en) | 2013-12-05 |
Family
ID=49844028
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012115966A Pending JP2013243558A (en) | 2012-05-21 | 2012-05-21 | Traffic data monitoring device, traffic data monitoring method, traffic data monitoring program, and traffic database per area characteristic |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2013243558A (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016038869A1 (en) * | 2014-09-10 | 2016-03-17 | 日本電気株式会社 | Event estimation device, event estimation method, and recording medium whereupon event estimation program is stored |
| JP2019176269A (en) * | 2018-03-27 | 2019-10-10 | パナソニックIpマネジメント株式会社 | Monitoring system, monitoring method, and program |
-
2012
- 2012-05-21 JP JP2012115966A patent/JP2013243558A/en active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016038869A1 (en) * | 2014-09-10 | 2016-03-17 | 日本電気株式会社 | Event estimation device, event estimation method, and recording medium whereupon event estimation program is stored |
| JP2016057875A (en) * | 2014-09-10 | 2016-04-21 | 日本電気株式会社 | Event inferring device, event inferring method, and event inferring program |
| US20170264498A1 (en) * | 2014-09-10 | 2017-09-14 | Nec Corporation | Event estimation device, event estimation method, and recording medium whereupon event estimation program is stored |
| JP2019176269A (en) * | 2018-03-27 | 2019-10-10 | パナソニックIpマネジメント株式会社 | Monitoring system, monitoring method, and program |
| JP7065429B2 (en) | 2018-03-27 | 2022-05-12 | パナソニックIpマネジメント株式会社 | Monitoring systems, monitoring methods, and programs |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110505196B (en) | Internet of things network card abnormality detection method and device | |
| US10397810B2 (en) | Fingerprinting root cause analysis in cellular systems | |
| US9071998B2 (en) | Optimizing performance information collection | |
| CN110147387B (en) | Root cause analysis method, root cause analysis device, root cause analysis equipment and storage medium | |
| US20170222901A1 (en) | Network selection using current and historical measurements | |
| JP2018519586A5 (en) | ||
| CN104391979A (en) | Malicious web crawler recognition method and device | |
| WO2016169616A1 (en) | Fault diagnosis in networks | |
| CA2651529A1 (en) | Root cause problem detection in network traffic information | |
| CN105677572B (en) | Based on self organizing maps model cloud software performance exception error diagnostic method and system | |
| CN106688257B (en) | Optimizing capacity expansion in mobile networks | |
| JP6049186B2 (en) | Apparatus, program, and method for estimating staying place of user having portable terminal | |
| CN110856188A (en) | Communication method, apparatus, system, and computer-readable storage medium | |
| CN110958599A (en) | One-machine multi-card user distinguishing method based on track similarity | |
| JP2013243558A (en) | Traffic data monitoring device, traffic data monitoring method, traffic data monitoring program, and traffic database per area characteristic | |
| CN110809238B (en) | Error detection method and device for position information and computer readable storage medium | |
| CN108063764B (en) | Network traffic processing method and device | |
| JP6378836B2 (en) | Communication speed limited user extraction device, throughput estimation device, communication speed limited user extraction method, throughput estimation method, communication speed limited user extraction program, and throughput estimation program | |
| KR101535716B1 (en) | Apparatus and method for detecting attacks using data mining | |
| CN108090089B (en) | Method, device and system for detecting hot point data in website | |
| KR101883314B1 (en) | Apparatus and Method for Analyzing Data using R Association Rule and collaborative filtering | |
| CN110958600A (en) | Method for judging number of one-machine multi-card users in regional population based on track similarity | |
| EP4145290A1 (en) | Transactions impact analysis | |
| CN110120883A (en) | A kind of method, apparatus and computer readable storage medium for assessing network performance | |
| WO2021008393A1 (en) | Method and system for identifying coverage black hole of wireless cell |