JP2016144153A - サービス監視装置、および、サービス監視方法 - Google Patents
サービス監視装置、および、サービス監視方法 Download PDFInfo
- Publication number
- JP2016144153A JP2016144153A JP2015020632A JP2015020632A JP2016144153A JP 2016144153 A JP2016144153 A JP 2016144153A JP 2015020632 A JP2015020632 A JP 2015020632A JP 2015020632 A JP2015020632 A JP 2015020632A JP 2016144153 A JP2016144153 A JP 2016144153A
- Authority
- JP
- Japan
- Prior art keywords
- service
- traffic
- response
- request
- stationarity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】複数のサービスが提供されているネットワークに対して、提供中のサービスの監視を行うことができるようにする。
【解決手段】複数のネットワーク装置2から収集したフローデータを用いて、サービスを監視するサービス監視装置1であって、収集したフローデータから、サービスに対する、要求トラフィックおよび応答トラフィックを抽出するトラフィック抽出部11と、抽出された、要求トラフィックおよび応答トラフィックに基づいて、要求トラフィックおよび応答トラフィックとの間の定常性を算出する定常性算出部12と、特定期間内での要求トラフィックおよび応答トラフィックとの間の関係性が、算出された定常性からどれだけ逸脱しているかによって、サービスの品質を判定するサービス品質判定部13と、を備える、ことを特徴とする。
【選択図】図2
【解決手段】複数のネットワーク装置2から収集したフローデータを用いて、サービスを監視するサービス監視装置1であって、収集したフローデータから、サービスに対する、要求トラフィックおよび応答トラフィックを抽出するトラフィック抽出部11と、抽出された、要求トラフィックおよび応答トラフィックに基づいて、要求トラフィックおよび応答トラフィックとの間の定常性を算出する定常性算出部12と、特定期間内での要求トラフィックおよび応答トラフィックとの間の関係性が、算出された定常性からどれだけ逸脱しているかによって、サービスの品質を判定するサービス品質判定部13と、を備える、ことを特徴とする。
【選択図】図2
Description
本発明は、ネットワーク上で提供されているサービスを監視する技術に関する。
ネットワークの運用管理において、現在提供中のサービスを監視することが非常に重要であり、ネットワーク上の異常を検出するさまざまな異常検出方法が従来から知られている(例えば、特許文献1,2参照)。従来技術によれば、異常な挙動を示すネットワーク装置を特定することができる(装置監視)。
従来のサービスは、例えば、音声通話サービスのように、1つのネットワーク上に1つのサービスが提供される形態をとっていたので、ネットワーク装置の死活状態や異常状態がサービスと1対1に対応していた。このため、従来技術であっても、サービスの監視を適切に行うことができた。
しかし、近年のIP(Internet Protocol)ネットワークに関しては、1つのネットワーク上に複数のサービスが提供される形態が一般化しているので、従来技術の装置監視では、提供される複数のサービスを監視することは困難である。現状では、図8に示すように、DNSサーバ3a(3)、Webサーバ3b(3)、DBサーバ3c(3)などのサービスを提供するサーバ3に対する1call試験やポートの死活監視などにより、オペレータが操作するHMI(Human Machine Interface)装置5にてサービス監視を行っている。
しかし、図8に示すように、複数のサービスが提供されているネットワークに対して、1call試験などの従来のサービス監視は、ネットワーク装置群Gの一部しか対象にしない限定的なものとなってしまう(符号Zで示される矢印参照)。特定のネットワーク装置2がDoS攻撃(Denial of Service attack)などに晒されているために提供中のサービス(符号Xで示される矢印参照)を一部のユーザ(端末4)が利用できないこと、特定のネットワーク装置2が輻輳しているため提供中のサービス(符号Yで示される矢印)の品質が一部のユーザ(端末4)に対して低下していること、などに対しては、1コール試験などの従来のサービス監視が及ばない。
このような背景を鑑みて本発明がなされたのであり、本発明は、複数のサービスが提供されているネットワークに対して、提供中のサービスの監視を行うことができるようにすることを課題とする。
前記した課題を解決するため、請求項1に記載の発明は、複数のネットワーク装置から収集したフローデータを用いて、サービスを監視するサービス監視装置であって、前記収集したフローデータから、前記サービスに対する、要求トラフィックおよび応答トラフィックを抽出する抽出部と、前記抽出された、要求トラフィックおよび応答トラフィックに基づいて、前記要求トラフィックおよび前記応答トラフィックとの間の定常性を算出する定常性算出部と、特定期間内での前記要求トラフィックおよび前記応答トラフィックとの間の関係性が、前記算出された定常性からどれだけ逸脱しているかによって、前記サービスの品質を判定する判定部と、を備える、ことを特徴とする。
また、請求項2に記載の発明は、複数のネットワーク装置から収集したフローデータを用いて、サービスを監視するサービス監視装置におけるサービス監視方法であって、前記収集したフローデータから、前記サービスに対する、要求トラフィックおよび応答トラフィックを抽出する抽出ステップと、前記抽出された、要求トラフィックおよび応答トラフィックに基づいて、前記要求トラフィックおよび前記応答トラフィックとの間の定常性を算出する定常性算出ステップと、特定期間内での前記要求トラフィックおよび前記応答トラフィックとの間の関係性が、前記算出された定常性からどれだけ逸脱しているかによって、前記サービスの品質を判定する判定ステップと、を備える、ことを特徴とする。
請求項1,2に記載の発明によれば、ネットワークデータから収集したフローデータを用いることで、提供中である複数のサービスを特定するとともに、特定したサービスに対して、要求トラフィックと応答トラフィックとの間の定常性を見つけ出すことができる。このため、サービス品質を定常性からの逸脱度合いとして定量的に評価することができる。その結果、複数のサービスが提供されているネットワークに対して、提供中のサービスの監視を行うことができるようにすることができる。
本発明によれば、複数のサービスが提供されているネットワークに対して、提供中のサービスの監視を行うことができるようにすることができる。
<構成>
図1に示すように、本実施形態のサービス監視装置1は、ネットワーク装置群Gのネットワーク装置2の各々からフローデータを収集し、収集したフローデータを用いて、サーバ3から端末4へ提供中のサービス(図1中の符号X,Yを付した矢印で表現)を監視する。フローデータの収集方法は、NetFlow,sFlowなどといった周知の方法である(例えば、参考文献1:B. Claise, "Cisco Systems NetFlow Services Export Version9," IETF RFC3954, October 2004. http://www.ietf.org/rfc/rfc3954や、参考文献2:P. Phaal, S. Panchen, and N. McKee, "InMon Corporation's sFlow:A Method for Monitoring Traffic in Switched and Routed Networks," IETF RFC3176, September 2001. http://www.ietf.org/rfc/rfc3176、などを参照)。
図1に示すように、本実施形態のサービス監視装置1は、ネットワーク装置群Gのネットワーク装置2の各々からフローデータを収集し、収集したフローデータを用いて、サーバ3から端末4へ提供中のサービス(図1中の符号X,Yを付した矢印で表現)を監視する。フローデータの収集方法は、NetFlow,sFlowなどといった周知の方法である(例えば、参考文献1:B. Claise, "Cisco Systems NetFlow Services Export Version9," IETF RFC3954, October 2004. http://www.ietf.org/rfc/rfc3954や、参考文献2:P. Phaal, S. Panchen, and N. McKee, "InMon Corporation's sFlow:A Method for Monitoring Traffic in Switched and Routed Networks," IETF RFC3176, September 2001. http://www.ietf.org/rfc/rfc3176、などを参照)。
フローデータは、送信元IPアドレス、宛先IPアドレス(または、送信先IPアドレス)、送信元ポート番号、宛先ポート番号(または、送信先ポート番号)、プロトコルの種類、パケット数、バイト数などの情報を一部または全部含む。フローデータの収集は、所定の時間単位で行われ、収集時刻をフローデータに含めることもできる。なお、フローデータの送信元ポート番号または宛先ポート番号を特定することで、サービス品質を判定したい提供中のサービスを特定することができる。
本実施形態のサービス監視装置1は、例えば、IPFIX(Internet Protocol Flow Information Export)のフローコレクタとして機能し、ネットワーク装置2の各々からフローデータを収集することができる。
ネットワーク装置2は、例えば、ルータ、ブリッジ、リピータ、ゲートウェイである。ネットワーク装置2は、例えば、IPFIXのフローエクスポータとして機能する。なお、ネットワーク装置群Gにおいて、フローエクスポータとして機能しないネットワーク装置2が含まれていてもよい。このようなネットワーク装置2でのトラフィック状態は、フローエクスポータとして機能するネットワーク装置2が提供するフローデータを周知の方法で解析することで間接的に特定することができる。
ネットワーク装置2は、例えば、ルータ、ブリッジ、リピータ、ゲートウェイである。ネットワーク装置2は、例えば、IPFIXのフローエクスポータとして機能する。なお、ネットワーク装置群Gにおいて、フローエクスポータとして機能しないネットワーク装置2が含まれていてもよい。このようなネットワーク装置2でのトラフィック状態は、フローエクスポータとして機能するネットワーク装置2が提供するフローデータを周知の方法で解析することで間接的に特定することができる。
サーバ3は、例えば、DNSサーバ3a、Webサーバ3b、DBサーバ3cであり、端末4に所定のサービスを提供する。なお、サーバ3にフローエクスポータの機能を持たせてもよい。
端末4は、ユーザがサービスを利用するために操作する装置である。なお、端末4にフローエクスポータの機能を持たせてもよい。
HMI装置5は、オペレータがサービス監視装置1を制御するための管理コンソールである。サービス監視装置1は、ネットワーク装置2から収集したフローデータに基づいて必要に応じてサービス警報などをHMI装置5に出力する。
端末4は、ユーザがサービスを利用するために操作する装置である。なお、端末4にフローエクスポータの機能を持たせてもよい。
HMI装置5は、オペレータがサービス監視装置1を制御するための管理コンソールである。サービス監視装置1は、ネットワーク装置2から収集したフローデータに基づいて必要に応じてサービス警報などをHMI装置5に出力する。
図2に示すように、本実施形態のサービス監視装置1は、処理部10、入出力部20、および記憶部30を備える。
処理部10は、サービス監視装置1の処理を司る。処理部10は、トラフィック抽出部11(抽出部)、定常性算出部12、サービス品質判定部13(判定部)、および、結果出力部14、といった機能部を備える。これらの機能部については後記する。
入出力部20は、サービス監視装置1の入出力インターフェースを構成する。入出力部20は、入力部21および出力部22を備える。入力部21は、HMI装置5からの入力やネットワーク装置2からのフローデータなどの取得を行う。出力部22は、処理部10による処理結果をファイルf等で出力する。
記憶部30は、所定のデータを所定の形式で記憶する。記憶部30は、フローデータ保存部31、定常性データ保存部32、および、詳細データ保存部33、といった機能部を備える。これらの機能部については後記する。
処理部10は、サービス監視装置1の処理を司る。処理部10は、トラフィック抽出部11(抽出部)、定常性算出部12、サービス品質判定部13(判定部)、および、結果出力部14、といった機能部を備える。これらの機能部については後記する。
入出力部20は、サービス監視装置1の入出力インターフェースを構成する。入出力部20は、入力部21および出力部22を備える。入力部21は、HMI装置5からの入力やネットワーク装置2からのフローデータなどの取得を行う。出力部22は、処理部10による処理結果をファイルf等で出力する。
記憶部30は、所定のデータを所定の形式で記憶する。記憶部30は、フローデータ保存部31、定常性データ保存部32、および、詳細データ保存部33、といった機能部を備える。これらの機能部については後記する。
トラフィック抽出部11は、ネットワーク装置2から収集したフローデータから、提供中の所定のサービスに対する要求トラフィックおよび応答トラフィックを抽出する。
「要求トラフィック」とは、サービスを利用する端末4からサービスを提供するサーバ3へ向けられた、サービス実現に必要な情報である。要求トラフィックを送信する端末4は、フローデータの送信元IPアドレスから識別できる。要求トラフィックを受信するするサーバ3は、フローデータの宛先IPアドレスから識別できる。
「応答トラフィック」とは、サービスを提供するサーバ3からサービスを利用する端末4へ向けられた、サービス実現に必要な情報である。応答トラフィックを送信するサーバ3は、フローデータの送信元IPアドレスから識別できる。応答トラフィックを受信するする端末4は、フローデータの宛先IPアドレスから識別できる。
定常性算出部12は、トラフィック抽出部11が抽出した、要求トラフィックおよび応答トラフィックに基づいて、要求トラフィックおよび応答トラフィックとの間の定常性を算出する。サーバ3から端末4へのサービスの提供が正常に行われている場合、要求トラフィックおよび応答トラフィックの間には一定の傾向が発生し、所定の定常状態が形成されると考えられる。定常性算出部12が算出する定常性は、この定常状態を定量的に表現したものである。もし、DoS攻撃などによりサーバ3がサービスを提供できない場合には、要求トラフィックに対して、応答トラフィックが極端に少なくなり定常性が破綻しているといえる。
なお、定常性算出部12による定常性の算出は、所定の単位時間ごとに行われる。また、定常性の算出方法はさまざまであり、詳細は後記する。
なお、定常性算出部12による定常性の算出は、所定の単位時間ごとに行われる。また、定常性の算出方法はさまざまであり、詳細は後記する。
サービス品質判定部13は、特定期間内での要求トラフィックおよび応答トラフィックとの間の関係性が、定常性算出部12が算出した定常性からどれだけ逸脱しているかによって、サービスの品質を判定する。「特定期間」とは、例えば、定常性算出部12が定常性を算出する際に対象とした期間よりも後の期間とすることができる。「要求トラフィックおよび応答トラフィックとの間の関係性」は、定常性算出部12が算出した定常性と同じ物理量で表現される。サービス品質判定部13が用いる関係性と、定常性算出部12が算出した定常性との逸脱度合いが大きいほどサービスの品質が低下しているとする。例えば、DoS攻撃などが発生している場合、サービス品質判定部13が用いる関係性が、定常性算出部12が算出した定常性よりも大きく逸脱するため、対象とするサービスの品質は低下していると判定することができる。
結果出力部14は、サービス品質判定部13によって、サービス品質が低下していると判定されたサービスに関する詳細データを出力する。詳細データには、例えば、対象とするサービスを提供しているサーバ3のホスト名、そのサービスを利用する端末4の数などさまざまなデータが含まれる。HMI装置5は、サービス監視装置1を制御して、オペレータが所望する詳細データを取得することができる。また、出力部22は、取得した詳細データを処理部10による処理結果としてファイルf等で出力する。
フローデータ保存部31は、サービス監視装置1が収集したフローデータを所定の形式で保存する。トラフィック抽出部11は、フローデータ保存部31にアクセスして要求トラフィックおよび応答トラフィックの抽出を行う。
定常性データ保存部32は、定常性算出部12が算出した定常性を所定の形式で保存する。
詳細データ保存部33は、例えば、サービス品質判定部13によってサービス品質が低下していると判定されたサービスに関する詳細データを所定の形式で保存する。
詳細データ保存部33は、例えば、サービス品質判定部13によってサービス品質が低下していると判定されたサービスに関する詳細データを所定の形式で保存する。
<処理>
図3に示すように、本実施形態のサービス監視装置1は、本実施形態のサービス監視装置1の処理は以下の通りである。この処理は、ステップS1から開始する。
図3に示すように、本実施形態のサービス監視装置1は、本実施形態のサービス監視装置1の処理は以下の通りである。この処理は、ステップS1から開始する。
ステップS1にて、トラフィック抽出部11は、収集したフローデータから、要求トラフィックおよび応答トラフィックを抽出する。ステップS1の後、ステップS2に進む。
ステップS2にて、定常性算出部12は、抽出された、要求トラフィックおよび応答トラフィックの間の定常性を算出する。ステップS2の後、ステップS3に進む。
ステップS3にて、サービス品質判定部13は、特定期間内での要求トラフィックおよび応答トラフィックとの間の関係性が、定常性算出部12が算出した定常性からどれだけ逸脱しているかによって、サービスの品質を判定する。なお、サービス品質判定部13は、サービス品質判定部13が用いる関係性と、定常性算出部12が算出した定常性との逸脱度合いに関する閾値となる許容誤差(詳細は後記)を用いてサービスの品質を判定することができる。ステップS3の後、ステップS4に進む。
に進む。
に進む。
ステップS4にて、結果出力部14は、許容誤差より大きくサービス品質が変動しているネットワーク装置2について詳細データを収集し、結果を出力する。
図3に示す処理によれば、許容誤差を用いて、要求トラフィックおよび応答トラフィックの間の定常性の破綻を判定することができるので、提供中のサービスの監視を確実に行うことができる。
本実施形態によれば、ネットワークデータから収集したフローデータを用いることで、提供中である複数のサービスを特定するとともに、特定したサービスに対して、要求トラフィックと応答トラフィックとの間の定常性を見つけ出すことができる。このため、サービス品質を定常性からの逸脱度合いとして定量的に評価することができる。その結果、複数のサービスが提供されているネットワークに対して、提供中のサービスの監視を行うことができるようにすることができる。
次に、実施例1〜3に亘って、サービス品質の判定方法の具体例を説明する。
[実施例1]
定常性算出部12が算出する定常性として、要求トラフィックおよび応答トラフィックとの間の相関係数を採用することができる。サーバ3をDNS(Domain Name System)サーバ3aとし、1または複数のDNSサーバ3aが提供するサービスを例に採り上げて説明する。
定常性算出部12が算出する定常性として、要求トラフィックおよび応答トラフィックとの間の相関係数を採用することができる。サーバ3をDNS(Domain Name System)サーバ3aとし、1または複数のDNSサーバ3aが提供するサービスを例に採り上げて説明する。
DNSに関する通信は、53番ポートで行われる。よって、トラフィック抽出部11は、複数のネットワーク装置2の各々から収集したフローデータから、宛先ポート番号が53番となるフローデータを要求トラフィックとして抽出し、送信元ポート番号が53番となるフローデータを応答トラフィックとして抽出する。
定常性算出部12は、抽出された要求トラフィックの量となる要求フロー数(フローデータの数)を、ネットワーク装置2ごとに、かつ、所定期間ごとに求めるとともに、抽出された応答トラフィックの量となる応答フロー数を、ネットワーク装置2ごとに、かつ、所定期間ごとに求める。よって、各ネットワーク装置2から、時刻t(k−1)〜時刻t(k)(k=1,2,・・・)の期間に得られた、要求フロー数および応答フロー数が求まる。定常性算出部12は、ネットワーク装置2の数からなる成分を有する要求フロー数の変量と、ネットワーク装置2の数からなる成分を有する応答フロー数の変量とを用いて相関係数を求める。相関係数は、2変量の共分散を、各変量の標準偏差の積で除算したものである。
時刻t(k−1)〜t(k)(k=1,2,・・・,7)の期間に得られた相関係数は以下の通りであったとする。
t(0)〜t(1)の相関係数=0.95
t(1)〜t(2)の相関係数=0.93
t(2)〜t(3)の相関係数=0.97
t(3)〜t(4)の相関係数=0.99
t(4)〜t(5)の相関係数=0.91
t(5)〜t(6)の相関係数=0.75
t(6)〜t(7)の相関係数=0.85
t(0)〜t(1)の相関係数=0.95
t(1)〜t(2)の相関係数=0.93
t(2)〜t(3)の相関係数=0.97
t(3)〜t(4)の相関係数=0.99
t(4)〜t(5)の相関係数=0.91
t(5)〜t(6)の相関係数=0.75
t(6)〜t(7)の相関係数=0.85
上記によれば、t(k−1)〜t(k)(k=1,2,3,4,5)の相関係数の平均値は0.95である。定常性算出部12は、例えば、この平均値0.95を定常性として採用することができる。
なお、図4には、ある期間において、ネットワーク装置2ごとにプロットした、DNSサーバ3aのサービスに関する要求フロー数および応答フロー数の散布図が示されている。散布図の横軸には応答フロー数(src53番のフロー数(DNS応答フロー数)。「src」は送信元を表す)をとり、散布図の縦軸には要求フロー数(dst53番のフロー数(DNS要求フロー数)。「dst」は宛先を表す)をとる。なお、散布図中のプロットは、1つの期間(例:期間t(0)〜t(1))を対象としたプロットであるとするが、2以上の期間をまとめて対象としたプロットとしてもよい。
定常性算出部12は、散布図中のプロットを対象にして相関係数を求める。相関係数が大きな値を示す場合、図4中の直線L(二点鎖線)の近傍にプロットが集まるといった、要求フロー数と応答フロー数との間に一定の傾向がある。一方、フローデータはサンプリングデータであるため、相当量の誤差が含まれており、サービス品質が安定していてもプロットは直線Lからある程度は離れてしまう。よって、直線Lに対してある程度の幅を有するエリアA1を定め、エリアA1の範囲内にあるプロットから定常性を定義することが好ましい。
サービス品質判定部13は、t(5)〜t(6)の相関係数0.75(関係性)が、定常性を示す相関係数の平均値0.95からどれだけ逸脱しているかを評価する。HMI装置5から指定された許容誤差σ(図3のステップS4参照)が0.15であるとした場合、
t(5)〜t(6)の逸脱度合い = |0.95-0.75| = 0.20 > σ
となり、t(5)〜t(6)における要求フロー数および応答フロー数の間の関係性が定常性から大きく逸脱しているといえる。よって、サービス品質判定部13は、t(5)〜t(6)におけるDNSサーバ3aのサービスの品質が低下していると判定する。
t(5)〜t(6)の逸脱度合い = |0.95-0.75| = 0.20 > σ
となり、t(5)〜t(6)における要求フロー数および応答フロー数の間の関係性が定常性から大きく逸脱しているといえる。よって、サービス品質判定部13は、t(5)〜t(6)におけるDNSサーバ3aのサービスの品質が低下していると判定する。
図4の散布図には、t(5)〜t(6)における要求フロー数および応答フロー数の間の関係性を示すプロットとして、エリアA2に含まれるプロットが示されている。このプロットは、DoS攻撃等によってDNS応答フロー数に対して、DNS要求フロー数が極端に増大しているため、エリアA1から大きく逸脱している。その結果、エリアA2に含まれるプロットに該当するネットワーク装置2について何らかの対処を施す必要があると判断することができる。
また、サービス品質判定部13は、t(6)〜t(7)の相関係数0.85が、定常性を示す相関係数の平均値0.95からどれだけ逸脱しているかを評価する。この場合、
t(6)〜t(7)の逸脱度合い = |0.95-0.85| = 0.10 < σ
となり、t(6)〜t(7)における要求フロー数および応答フロー数の間の関係性が定常性から逸脱しているといえない。よって、サービス品質判定部13は、t(6)〜t(7)におけるDNSサーバ3aのサービスの品質が低下しておらず安定していると判定する。
t(6)〜t(7)の逸脱度合い = |0.95-0.85| = 0.10 < σ
となり、t(6)〜t(7)における要求フロー数および応答フロー数の間の関係性が定常性から逸脱しているといえない。よって、サービス品質判定部13は、t(6)〜t(7)におけるDNSサーバ3aのサービスの品質が低下しておらず安定していると判定する。
図4の散布図によれば、には、t(6)〜t(7)における要求フロー数および応答フロー数の間の関係性を示すプロットは、エリアA1に含まれる。その結果、t(6)〜t(7)において、DNSサーバ3aによるサービスの品質は安定しているといえる。
結果出力部14は、期間t(5)〜t(6)についてサービス品質が低下していると判定された、DNSサーバ3aが提供するサービスについて詳細データを作成する。例えば、サービス品質の低下を示したフローデータから、
(1)DNSサーバのIPアドレス(宛先ポート番号が53番であるフローデータの宛先IPアドレス、送信元ポート番号が53番であるフローデータの送信元IPアドレス)
(2)サービスを利用しているユーザの端末のIPアドレス(宛先ポート番号が53番であるフローデータの送信元IPアドレス、送信元ポート番号が53番であるフローデータの宛先IPアドレス)
(3)ポート番号(本例では、53番)
(4)定常性からの逸脱度合い
(5)DNSサーバのホスト名
(6)サービスを利用しているユーザの端末の数
(7)要求フロー数(または応答フロー数)が想定外に大きくなったネットワーク装置の識別子
などを詳細データとして出力する。出力された詳細データは、HMI装置5に送信され、オペレータによる分析に寄与する。
(1)DNSサーバのIPアドレス(宛先ポート番号が53番であるフローデータの宛先IPアドレス、送信元ポート番号が53番であるフローデータの送信元IPアドレス)
(2)サービスを利用しているユーザの端末のIPアドレス(宛先ポート番号が53番であるフローデータの送信元IPアドレス、送信元ポート番号が53番であるフローデータの宛先IPアドレス)
(3)ポート番号(本例では、53番)
(4)定常性からの逸脱度合い
(5)DNSサーバのホスト名
(6)サービスを利用しているユーザの端末の数
(7)要求フロー数(または応答フロー数)が想定外に大きくなったネットワーク装置の識別子
などを詳細データとして出力する。出力された詳細データは、HMI装置5に送信され、オペレータによる分析に寄与する。
実施例1によれば、要求フロー数と応答フロー数との間の相関係数を、要求トラフィックと応答トラフィックとの間の定常性として採用することで、サービス品質の低下を招く要因を容易に特定することができる。このため、複数のサービスが提供されているネットワークに対して、提供中のサービスの監視を行うことができるようにすることができる。
[実施例2]
あるサービスに対する、要求トラフィックおよび応答トラフィックについてk-means法等によるクラスタリングを採用し、定常性算出部12が算出する定常性として、クラスタの数、クラスタの重心の座標を採用することができる。サーバ3をDNSサーバ3aとし、1または複数のDNSサーバ3aが提供するサービスを例に採り上げて説明する。
あるサービスに対する、要求トラフィックおよび応答トラフィックについてk-means法等によるクラスタリングを採用し、定常性算出部12が算出する定常性として、クラスタの数、クラスタの重心の座標を採用することができる。サーバ3をDNSサーバ3aとし、1または複数のDNSサーバ3aが提供するサービスを例に採り上げて説明する。
サービス品質安定時において、ネットワーク装置2ごとにプロットした、DNSサーバ3aのサービスに関する要求フロー数および応答フロー数の散布図は、図5(a)に示すようになったとする。この場合、クラスタリングを行うと、定常性を示す2個のクラスタB1,B2が形成され、クラスタB1,B2の各々の重心を求めることができる。
ここで、サービス品質低下時において、ネットワーク装置2ごとにプロットしたときの散布図が図5(b)に示すようになったとする。この場合、クラスタリングを行うと、クラスタB1,B2の他に、応答フロー数に対して要求フロー数が極端に多いエリアにプロットされるクラスタB3が形成される。よって、サービス品質判定部13は、サービス品質安定時と比較して、クラスタの数が1増えたこと(関係性)、クラスタB3の重心の座標が、クラスタB1,B2の座標から相当量乖離していること(関係性)を理由にして、サービス品質が低下していると判定する。
実施例2によれば、要求フロー数および応答フロー数に対してクラスタリングを行い、クラスタの数および重心を、要求トラフィックと応答トラフィックとの間の定常性として採用することで、サービス品質の低下を招く要因を容易に特定することができる。このため、複数のサービスが提供されているネットワークに対して、提供中のサービスの監視を行うことができるようにすることができる。
[実施例3]
あるサービスに対する、要求トラフィックおよび応答トラフィックの各々について、ネットワーク装置2から収集したフローデータに関するヒストグラムを採用し、定常性算出部12が算出する定常性として、要求トラフィックのヒストグラムと、応答トラフィックのヒストグラムとの間の類似度を採用することができる。サーバ3をDNSサーバ3aとし、1または複数のDNSサーバ3aが提供するサービスを例に採り上げて説明する。
あるサービスに対する、要求トラフィックおよび応答トラフィックの各々について、ネットワーク装置2から収集したフローデータに関するヒストグラムを採用し、定常性算出部12が算出する定常性として、要求トラフィックのヒストグラムと、応答トラフィックのヒストグラムとの間の類似度を採用することができる。サーバ3をDNSサーバ3aとし、1または複数のDNSサーバ3aが提供するサービスを例に採り上げて説明する。
ある期間における、DNSサーバ3aのサービスに関する要求フロー数のヒストグラムは、図6(a)に示すようになったとする。ここで、図6(a)のヒストグラムの横軸には、フローデータをサービス監視装置1にエクスポートしたネットワーク装置2の識別子を「データ区間」としてとり、縦軸には、各ネットワーク装置2からエクスポートされたフローデータのうち要求ポート番号が53番となるフローデータの数(DNS要求フロー数)を「頻度」としてとる。図6(a)では、縦軸の頻度は、例えば、10個のネットワーク装置2からエクスポートされたときのDNS要求フロー数の合計値を示しているが、これに限定されない。
なお、必要に応じて、DNS要求フロー数は、DNSサーバ3aごとにとってもよい。
なお、必要に応じて、DNS要求フロー数は、DNSサーバ3aごとにとってもよい。
また、同じ期間における、DNSサーバ3aのサービスに関する応答フロー数のヒストグラムは、図6(b)に示すようになったとする。図6(b)のヒストグラムの横軸および縦軸のとり方は図6(a)と同じである。
例えば、DNS要求フロー数ヒストグラムと、DNS応答フロー数ヒストグラムとの間の類似度は、データ区間の各値に対する頻度を成分としたベクトル同士のコサイン類似度として算出することができる。コサイン類似度は、(「DNS要求フロー数ヒストグラムから得られるベクトル」と「DNS応答フロー数ヒストグラムから得られるベクトル」との内積)を(「DNS要求フロー数ヒストグラムから得られるベクトルの大きさ」と「DNS応答フロー数ヒストグラムから得られるベクトルの大きさ」との積)で除算した値として計算される。コサイン類似度が大きい(1に近い)ほど、両ベクトルはより類似していることになる。
定常性算出部12は、DNS要求フロー数ヒストグラム(図6(a))から得られるベクトルと、DNS応答フロー数ヒストグラム(図6(b))から得られるベクトルと、を用いてコサイン類似度を、所定の期間ごと(例:t(k−1)〜t(k)(k=1,2,3,4,5))に計算する。そして、定常性算出部12は、例えば、所定の期間ごとに計算したコサイン類似度の平均値を定常性として採用する。
サービス品質判定部13は、特定期間(例:t(5)〜t(6))について、コサイン類似度(関係性)を算出する。算出したコサイン類似度と、定常性となるコサイン類似度の平均値との差分が、HMI装置5から入力された許容誤差を超えた場合、サービス品質判定部13は、特定期間におけるDNSサーバ3aのサービスの品質が低下していると判定する。
また、例えば、DNS要求フロー数ヒストグラムと、DNS応答フロー数ヒストグラムとの間の類似度は、データ区間の各値に対する頻度から得られる要素からなる集合同士のJaccard係数として算出することができる。「データ区間の各値に対する頻度から得られる要素」は、データ区間の各値に対する頻度が微小値以上であれば「1」となり、微小値未満であれば「0」となる。これにより、DNS要求フロー数ヒストグラムおよびDNS応答フロー数ヒストグラムが示す分布は、01集合で表現することができる。
Jaccard係数は、DNS要求フロー数ヒストグラムから得られる01集合、および、DNSおよびフロー数ヒストグラムから得られる01集合について、各データ区間における要素の値がいずれも「1」となる要素の数を、各データ区間における要素の値がいずれか一方が「1」となる要素の数で除算した値として計算される。Jaccard係数が大きい(1に近い)ほど、両集合はより類似していることになる。
定常性算出部12は、DNS要求フロー数ヒストグラム(図6(a))から得られる01集合と、DNS応答フロー数ヒストグラム(図6(b))から得られる01集合と、を用いてJaccard係数を、所定の期間ごと(例:t(k−1)〜t(k)(k=1,2,3,4,5))に計算する。そして、定常性算出部12は、例えば、所定の期間ごとに計算したJaccard係数の平均値を定常性として採用する。
サービス品質判定部13は、特定期間(例:t(5)〜t(6))について、Jaccard係数(関係性)を算出する。算出したJaccard係数と、定常性となるJaccard係数の平均値との差分が、HMI装置5から入力された許容誤差を超えた場合、サービス品質判定部13は、特定期間におけるDNSサーバ3aのサービスの品質が低下していると判定する。
実施例3によれば、要求フロー数および応答フロー数をヒストグラムで表現し、要求フロー数ヒストグラムおよび応答フロー数ヒストグラムの類似度を、要求トラフィックと応答トラフィックとの間の定常性として採用することで、サービス品質の低下を招く要因を容易に特定することができる。このため、複数のサービスが提供されているネットワークに対して、提供中のサービスの監視を行うことができるようにすることができる。
(プログラム)
また、上記実施形態に係るサービス監視装置1が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、サービス監視装置1と同様の機能を実現する監視プログラムを実行するコンピュータの一例を説明する。
また、上記実施形態に係るサービス監視装置1が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、サービス監視装置1と同様の機能を実現する監視プログラムを実行するコンピュータの一例を説明する。
図7は、監視プログラムを実行するコンピュータを示す図である。図7に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
ここで、図7に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各テーブルは、例えばハードディスクドライブ1090やメモリ1010に記憶される。
また、監視プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、ハードディスクドライブ1090に記憶される。具体的には、上記実施形態で説明した監視プログラムが実行する各処理が記述されたプログラムモジュールが、ハードディスクドライブ1090に記憶される。
また、監視プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えば、ハードディスクドライブ1090に記憶される。そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、監視プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、監視プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
≪その他≫
(1):実施例1において、要求フロー数と応答フロー数との間の相関係数を定常性として採用した。しかし、要求フロー数および応答フロー数として用いたフロー数の代替手段として、1フローあたりのパケット数や、1パケットあたりのバイト数(つまり、平均パケット長)を用いることもできる。
(1):実施例1において、要求フロー数と応答フロー数との間の相関係数を定常性として採用した。しかし、要求フロー数および応答フロー数として用いたフロー数の代替手段として、1フローあたりのパケット数や、1パケットあたりのバイト数(つまり、平均パケット長)を用いることもできる。
(2):1つのサービスを提供するサーバ3が複数存在する場合、定常性算出部12が算出した定常性があまり良好でない場合(例えば、定常性に用いようとする相関係数が小さすぎて図4の散布図のプロットが散在してしまう場合)、対象にするサーバ3の数を減らす(場合によっては1つのサーバ3に絞る)ことで相関係数を大きくすることができる。
(3):実施例2において、要求フロー数および応答フロー数に対してクラスタリングをし、定常性算出部12が算出する定常性として、クラスタの数、クラスタの重心の座標を採用した。しかし、要求フロー数および応答フロー数として用いたフロー数の代替手段として、送受信IPアドレスの数、送受信IPアドレスの種類を用いることもできる。
(4):実施例3において、要求フロー数および応答フロー数をヒストグラムで表現し、定常性算出部12が算出する定常性として、コサイン類似度やJaccard係数を採用した。しかし、要求フロー数および応答フロー数として用いたフロー数の代替手段として、送受信IPアドレスの数、送受信IPアドレスの種類を用いることもできる。
また、本実施形態で説明した種々の技術を適宜組み合わせた技術を実現することもできる。
また、本実施形態で説明したソフトウェアをハードウェアとして実現することもでき、ハードウェアをソフトウェアとして実現することもできる。
その他、ハードウェア、ソフトウェア、フローチャートなどについて、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。
また、本実施形態で説明したソフトウェアをハードウェアとして実現することもでき、ハードウェアをソフトウェアとして実現することもできる。
その他、ハードウェア、ソフトウェア、フローチャートなどについて、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。
1 サービス監視装置
2 ネットワーク装置
3 サーバ
4 端末
5 HMI装置
10 処理部
11 トラフィック抽出部(抽出部)
12 定常性算出部
13 サービス品質判定部(判定部)
14 結果出力部
20 入出力部
21 入力部
22 出力部
30 記憶部
31 フローデータ保存部
32 定常性データ保存部
33 詳細データ保存部
2 ネットワーク装置
3 サーバ
4 端末
5 HMI装置
10 処理部
11 トラフィック抽出部(抽出部)
12 定常性算出部
13 サービス品質判定部(判定部)
14 結果出力部
20 入出力部
21 入力部
22 出力部
30 記憶部
31 フローデータ保存部
32 定常性データ保存部
33 詳細データ保存部
Claims (2)
- 複数のネットワーク装置から収集したフローデータを用いて、サービスを監視するサービス監視装置であって、
前記収集したフローデータから、前記サービスに対する、要求トラフィックおよび応答トラフィックを抽出する抽出部と、
前記抽出された、要求トラフィックおよび応答トラフィックに基づいて、前記要求トラフィックおよび前記応答トラフィックとの間の定常性を算出する定常性算出部と、
特定期間内での前記要求トラフィックおよび前記応答トラフィックとの間の関係性が、前記算出された定常性からどれだけ逸脱しているかによって、前記サービスの品質を判定する判定部と、を備える、
ことを特徴とするサービス監視装置。 - 複数のネットワーク装置から収集したフローデータを用いて、サービスを監視するサービス監視装置におけるサービス監視方法であって、
前記収集したフローデータから、前記サービスに対する、要求トラフィックおよび応答トラフィックを抽出する抽出ステップと、
前記抽出された、要求トラフィックおよび応答トラフィックに基づいて、前記要求トラフィックおよび前記応答トラフィックとの間の定常性を算出する定常性算出ステップと、
特定期間内での前記要求トラフィックおよび前記応答トラフィックとの間の関係性が、前記算出された定常性からどれだけ逸脱しているかによって、前記サービスの品質を判定する判定ステップと、を備える、
ことを特徴とするサービス監視方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015020632A JP6325993B2 (ja) | 2015-02-04 | 2015-02-04 | サービス監視装置、および、サービス監視方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015020632A JP6325993B2 (ja) | 2015-02-04 | 2015-02-04 | サービス監視装置、および、サービス監視方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016144153A true JP2016144153A (ja) | 2016-08-08 |
| JP6325993B2 JP6325993B2 (ja) | 2018-05-16 |
Family
ID=56570960
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015020632A Active JP6325993B2 (ja) | 2015-02-04 | 2015-02-04 | サービス監視装置、および、サービス監視方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6325993B2 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018133688A (ja) * | 2017-02-15 | 2018-08-23 | 日本電信電話株式会社 | サービス復旧装置およびサービス復旧方法 |
| JP2020092332A (ja) * | 2018-12-05 | 2020-06-11 | アラクサラネットワークス株式会社 | ネットワーク異常検知装置、ネットワーク異常検知システム及びネットワーク異常検知方法 |
| JP2020521383A (ja) * | 2017-05-18 | 2020-07-16 | エクスパンス, インク. | 相関関係駆動型脅威の評価と修復 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005033391A (ja) * | 2003-07-10 | 2005-02-03 | Hitachi Ltd | 要求とその応答の相関を利用したネットワーク監視装置 |
| JP2007288246A (ja) * | 2006-04-12 | 2007-11-01 | Yokogawa Electric Corp | 攻撃検出装置 |
| JP2008219525A (ja) * | 2007-03-05 | 2008-09-18 | Tohoku Univ | ネットワーク異常検知方法およびネットワーク異常検知システム |
| JP2012105043A (ja) * | 2010-11-10 | 2012-05-31 | Nippon Telegr & Teleph Corp <Ntt> | フロー分類方法、システム、およびプログラム |
-
2015
- 2015-02-04 JP JP2015020632A patent/JP6325993B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005033391A (ja) * | 2003-07-10 | 2005-02-03 | Hitachi Ltd | 要求とその応答の相関を利用したネットワーク監視装置 |
| JP2007288246A (ja) * | 2006-04-12 | 2007-11-01 | Yokogawa Electric Corp | 攻撃検出装置 |
| JP2008219525A (ja) * | 2007-03-05 | 2008-09-18 | Tohoku Univ | ネットワーク異常検知方法およびネットワーク異常検知システム |
| JP2012105043A (ja) * | 2010-11-10 | 2012-05-31 | Nippon Telegr & Teleph Corp <Ntt> | フロー分類方法、システム、およびプログラム |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018133688A (ja) * | 2017-02-15 | 2018-08-23 | 日本電信電話株式会社 | サービス復旧装置およびサービス復旧方法 |
| JP2020521383A (ja) * | 2017-05-18 | 2020-07-16 | エクスパンス, インク. | 相関関係駆動型脅威の評価と修復 |
| JP7250703B2 (ja) | 2017-05-18 | 2023-04-03 | パロ アルト ネットワークス,インコーポレイテッド | 相関関係駆動型脅威の評価と修復 |
| JP2020092332A (ja) * | 2018-12-05 | 2020-06-11 | アラクサラネットワークス株式会社 | ネットワーク異常検知装置、ネットワーク異常検知システム及びネットワーク異常検知方法 |
| JP7079721B2 (ja) | 2018-12-05 | 2022-06-02 | アラクサラネットワークス株式会社 | ネットワーク異常検知装置、ネットワーク異常検知システム及びネットワーク異常検知方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6325993B2 (ja) | 2018-05-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10637771B2 (en) | System and method for real-time load balancing of network packets | |
| EP1742416B1 (en) | Method, computer readable medium and system for analyzing and management of application traffic on networks | |
| CN108429651B (zh) | 流量数据检测方法、装置、电子设备及计算机可读介质 | |
| US9577906B2 (en) | Scalable performance monitoring using dynamic flow sampling | |
| CN109962903B (zh) | 一种家庭网关安全监控方法、装置、系统和介质 | |
| US9794272B2 (en) | Method and apparatus for monitoring malicious traffic in communication networks | |
| US7752307B2 (en) | Technique of analyzing an information system state | |
| US10104124B2 (en) | Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program | |
| Sundaresan et al. | Home network or access link? locating last-mile downstream throughput bottlenecks | |
| JP2013150134A (ja) | 計算機システム、仮想サーバ配置方法及び配置制御装置 | |
| JP2011154483A (ja) | 異常検出装置、プログラム、及び異常検出方法 | |
| US20080186876A1 (en) | Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor | |
| JP2016508353A (ja) | ネットワークメタデータを処理する改良されたストリーミング方法およびシステム | |
| JP2008283621A (ja) | ネットワーク輻輳状況監視装置、ネットワーク輻輳状況監視方法及びプログラム | |
| JP6691268B2 (ja) | 監視装置、監視方法および監視プログラム | |
| JP6325993B2 (ja) | サービス監視装置、および、サービス監視方法 | |
| US10122599B2 (en) | Method and apparatus for dynamically scaling application performance analysis completeness based on available system resources | |
| JP2013179491A (ja) | ネットワーク品質監視装置及びネットワーク品質監視方法 | |
| JP5925287B1 (ja) | 情報処理装置、方法およびプログラム | |
| KR20190055534A (ko) | 심층 패킷 분석을 이용한 기계학습용 네트워크 데이터 생성 장치 및 그 동작방법 | |
| JP6476853B2 (ja) | ネットワーク監視システム及び方法 | |
| JP2013243534A (ja) | 遅延時間評価装置および遅延時間評価方法 | |
| JP6629174B2 (ja) | 通信監視装置、通信監視方法及び通信監視プログラム | |
| JP6683673B2 (ja) | 異常検知システム、異常検知方法、および、異常検知プログラム | |
| JP2009296158A (ja) | 通信データ統計装置および通信データ統計方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20161226 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171027 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171121 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180115 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180410 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180413 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6325993 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |