JP2017034605A - ネットワークシステム、通信の分析方法、及び分析装置 - Google Patents

ネットワークシステム、通信の分析方法、及び分析装置 Download PDF

Info

Publication number
JP2017034605A
JP2017034605A JP2015155363A JP2015155363A JP2017034605A JP 2017034605 A JP2017034605 A JP 2017034605A JP 2015155363 A JP2015155363 A JP 2015155363A JP 2015155363 A JP2015155363 A JP 2015155363A JP 2017034605 A JP2017034605 A JP 2017034605A
Authority
JP
Japan
Prior art keywords
cluster
communication
information
clusters
history
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015155363A
Other languages
English (en)
Inventor
隆史 磯部
Takashi Isobe
隆史 磯部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2015155363A priority Critical patent/JP2017034605A/ja
Priority to US15/205,699 priority patent/US20170041242A1/en
Publication of JP2017034605A publication Critical patent/JP2017034605A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/29Flow control; Congestion control using a combination of thresholds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】通信フロー(セッション)の特徴量のゆらぎ又は統計的な誤差等に影響を受けることなく、通信の種別毎に通信フローを分類する。【解決手段】ネットワークを介して接続される端末間の通信を制御する複数の通信装置を備えるネットワークシステムであって、ネットワークシステムは、前記端末間の通信の制御単位である通信フローを分析し、通信の種類毎に複数の通信フローを分類する分析部を備え、分析部は、通信フロー毎に、複数の特徴量を含む通信フローの管理情報を取得する特徴量取得部と、通信フローの管理情報を解析して、複数の通信フローから構成されるクラスタを複数生成するクラスタ分析部と、複数のクラスタに含まれる複数の通信フローの少なくとも一つの特徴量を用いた解析結果に基づいて、通信の種類毎に複数のクラスタを分類するクラスタ分類部と、を含む。【選択図】図7

Description

本発明は、通信フロー毎の特徴量を用いて、通信の種別毎に通信フローを分類するネットワークシステム、分類方法、及び装置に関する。
通信装置は、一つの通信フローを流れるパケットの分析処理によって通信フローにおける通信品質又は通信速度を測定し、測定結果に基づいて通信の種別毎に通信フローを分類し、分類結果に基づいて様々な通信サービスを動的に適用する。通信フローを分類する技術として特許文献1に記載される技術が知られている。
特許文献1には、「通信データ記憶手段から連続する二つの通信データXn,Xn+1を取得して、該通信データXn,Xn+1の時間間隔が所定の閾値Tc以上場合は、該二つの通信データはそれぞれ別の通信クラスタであるとし、該通信データXn+1を代表的通信とし、該閾値Tcより小さい場合は、同一通信クラスタであり、該Xn+1は従属的通信と判定し、代表的通信となった通信データXn+1の次の通信データXn+2を通信データ記憶手段から取得して、該通信データXn+2と該通信データXn+1の差が所定の代表的通信識別閾値Tfより小さい場合は、該通信データXn+1を従属的通信とし、分類結果を、該通信データを一意に示す通信識別子と共に分類結果記憶手段に格納する」ことが記載されている。
特開2014−154888号公報
通信フロー毎に、スループット、遅延時間、パケット廃棄率、及び通信継続時間等の特徴量を抽出して、特徴量と閾値とを比較して通信フローを分類する場合、通信フローの分類結果は、特徴量のゆらぎ及び変動、又は統計分布及び統計誤差の影響を受ける。すなわち、一貫した通信の制御を行うために必要な通信フローの分類が困難である。さらに、従来は、予め設定された閾値のみを用いて通信フローの分類が行われていたため、未知の特徴量を持つ通信フローを分類することができないという問題もある。
例えば、二つの拠点間の通信フローを分析した結果、ある通信フローではパケット廃棄率又は通信遅延が一時的に高くなり、一方、他の通信フローではパケット廃棄率又は通信遅延が一時的に低くなるケースがある。このようなケースでは、通信の分類結果が、一意に定まらず頻繁に代わるため、WANアクセラレータのような通信品質を向上させる通信サービスを適用すべきか否かを正確に決定できない。
本発明は、通信フローの特徴量のゆらぎ及び変動、又は統計分布及び統計誤差の影響を受けることなく、通信フローを分類するシステム及び方法を提供する。
本願において開示される発明の代表的な一例を示せば以下の通りである。すなわち、ネットワークを介して接続される端末間の通信を制御する複数の通信装置を備えるネットワークシステムであって、前記複数の通信装置の各々は、演算装置及び前記演算装置に接続される記憶装置を有し、前記ネットワークシステムは、前記端末間の通信の制御単位である通信フローを分析し、通信の種類毎に複数の通信フローを分類する分析部を備え、前記分析部は、少なくとも一つの前記通信装置の前記演算装置が前記記憶装置に格納されるプログラムを実行することによって実現され、前記分析部は、前記通信フロー毎に、複数の特徴量を含む通信フローの管理情報を取得する特徴量取得部と、前記通信フローの管理情報を解析して、前記複数の通信フローから構成されるクラスタを複数生成するクラスタ分析部と、前記複数のクラスタに含まれる前記複数の通信フローの少なくとも一つの前記特徴量を用いた解析結果に基づいて、通信の種類毎に前記複数のクラスタを分類するクラスタ分類部と、を含むことを特徴とする。
本発明によれば、通信フローの特徴量のゆらぎ及び変動、又は統計分布及び統計誤差の影響を受けることなく、通信フローを分類することができる。前述した以外の課題、構成及び効果は、以下の実施例の説明によって明らかにされる。
実施例1のネットワークシステムの構成例を示す説明図である。 実施例1の通信装置が送受信するパケットのフォーマットの一例を示す説明図である。 実施例1の分析装置のハードウェア構成及びソフトウェア構成の一例を示すブロック図である。 実施例1の分析装置が管理するクラスタ分類定義情報の一例を示す説明図である。 実施例1の分析装置が管理するクラスタ履歴情報の一例を示す説明図である。 実施例1の解析装置が管理する特徴量管理情報の一例を示す説明図である。 実施例1の蓄積装置が管理する特徴量履歴管理情報の一例を示す説明図である。 実施例1の分析装置が実行する処理を説明するフローチャートである。 実施例1の出力部によって出力されるクラスタの表示例を示す説明図である。 実施例1の出力部によって出力されるクラスタの表示例を示す説明図である。 実施例1の出力部によって出力されるクラスタの表示例を示す説明図である。 実施例2の分析装置が実行する処理を説明するフローチャートである。 実施例3の分析装置がDDoS攻撃を検出する場合に実行する処理の一例を説明するフローチャートである。 実施例3の特徴量履歴管理情報の一例を示す説明図である。 実施例3のクラスタ分析の処理結果の一例を示す図である。 実施例4の分析装置が異常通信を検出する場合に実行する処理の一例を説明するフローチャートである。 実施例4の異常通信の検出例を示す説明図である。 実施例5の分析装置が通信品質の劣化を検出する場合に実行する処理の一例を説明するフローチャートである。 実施例5の通信品質の劣化の検出例を示す説明図である。 実施例6の分析装置がユーザ毎の嗜好を検出する場合に実行する処理の一例を説明するフローチャートである。 実施例6のユーザ毎の嗜好の検出例を示す説明図である。
以下、添付図面を参照して本発明の実施例について説明する。各図において共通の構成については同一の参照符号を付している。
実施例1では、本発明の基本的なシステムの形態を説明する。変形例、具体例については別の実施例にて説明する。
図1は、実施例1のネットワークシステムの構成例を示す説明図である。
実施例1のネットワークシステムは、分析装置100、複数の通信装置101、転送装置102、解析装置103、蓄積装置104、出力装置105、設定用端末106、及び複数の端末110から構成される。
図1に示すネットワークシステムは、二つの通信装置1(101−1)及び通信装置2(101−2)を含み、また、四つの端末1(110−1)、端末2(110−2)、端末3(110−3)、及び端末4(110−4)を含む。以下の説明では、通信装置1(101−1)及び通信装置2(101−2)を区別しない場合、通信装置101と記載し、端末1(110−1)、端末2(110−2)、端末3(110−3)、及び端末4(110−4)を区別しない場合、端末110と記載する。
端末1(110−1)及び端末2(110−2)はネットワーク1(120−1)を介して通信装置1(101−1)と接続し、また、端末3(110−3)及び端末4(110−4)は、ネットワーク2(120−2)を介して通信装置2(101−2)と接続する。また、通信装置1(101−1)及び通信装置2(101−2)は、転送装置102を介して互いに接続される。なお、ネットワーク1(120−1)及びネットワーク2(120−2)は、WAN(Wide Area Network)及びLAN(Local Area Network)等が考えられる。なお、ネットワーク1(120−1)及びネットワーク2(120−2)の種別に限定されない。以下の説明では、ネットワーク1(120−1)及びネットワーク2(120−2)を区別しない場合、ネットワーク120と記載する。
各端末110は、ネットワーク120、通信装置101、及び転送装置102を介して異なるネットワークに接続される端末110と通信する。なお、各端末110は、同一のネットワーク120に接続する他の端末110と通信してもよい。
通信装置101は、複数の端末110間の通信をセッション単位で制御する。本実施例では、セッションはTCPセッションであるものとする。通信装置101は、パケットの受信処理及びパケットの送信処理を実行する。また、通信装置101は、特定のセッションを流れるパケットに対する制御を行う。通信装置101は、分析装置100からの指示にしたがって、セッション単位の通信に対する制御を行う。通信装置101が送受信するパケットのフォーマットについては図2を用いて説明する。
転送装置102は、端末110から送信されるパケットを中継する。本実施例の転送装置102は、ミラーリング及びタップの少なくともいずれかの機能を有する。転送装置102がミラーリングの機能を有する場合、転送装置102は、通信装置101から受信したパケットからミラーパケットを生成し、生成されたミラーパケットを解析装置103に出力する。転送装置102がタップの機能を有する場合、転送装置102は、通信装置101から受信したパケット(信号)を二つに分岐し、一つのパケットを通信装置101に送信し、もう一つのパケットを解析装置103に出力する。
解析装置103は、転送装置102から取得したパケット又はミラーパケットに基づいて、各セッションの特徴量を抽出し、特徴量管理情報500(図5参照)として抽出された特徴量を管理する。特徴量管理情報500(図5参照)はリアルタイムに更新される。解析装置103は、周期的に、特徴量管理情報500(図5参照)を蓄積装置104に送信する。
例えば、端末1(110−1)及び端末3(110−3)の間のセッションの場合、端末1(110−1)及び端末3(110−3)のそれぞれについて、IPアドレス、ポート番号、送信シーケンス番号、受信シーケンス番号、往復通信遅延時間、パケット数、ビット数、直近帯域、平均帯域、及びパケット廃棄率等が特徴量として抽出される。
なお、前述した特徴量と、図1に示す記号とは以下のような対応関係であるものとする。すなわち、「IP」はIPアドレスに対応し、「port」はポート番号に対応し、「seq」は送信シーケンス番号に対応し、「ack」は受信シーケンス番号に対応する。また、「rtt」は往復通信遅延時間に対応し、「pkt」はパケット数に対応し、「bit」はビット数に対応する。また、「BW」は直近帯域に対応し、「ave」は平均帯域に対応し、「loss」はパケット廃棄率に対応する。
蓄積装置104は、解析装置103から特徴量管理情報500(図5参照)を取得し、各セッションの特徴量を特徴量履歴管理情報600(図6参照)として管理する。なお、蓄積装置104は、必要に応じて、抽出された特徴量に基づいて新たな特徴量を算出し、抽出された特徴量と算出された新たな特徴量とを対応づけて管理してもよい。
分析装置100は、セッションの特徴量に基づいて、クラスタ分析を行う。クラスタ分析では、分析装置100は、各セッションの特徴量に基づいて複数のセッションから構成されるクラスタを複数生成する。より具体的には、分析装置100は、複数の特徴量間の相関関係に基づく教師無学習の分析を行い、複数のクラスタを生成する。なお、一つのクラスタには二つ以上のセッションが含まれるため、クラスタ分析には、少なくとも四つのセッションの特徴量が入力される。
さらに、分析装置100は、各クラスタに含まれる複数のセッションの少なくとも一つの特徴量を用いてクラスタ単位の通信の分析を行う。分析装置100は、分析の結果に基づいて、通信の種別毎に複数のクラスタを分類する。本実施例ではクラスタ単位に分類が行われるため、各通信セッションの特徴量の変動又は統計分布の影響を受けることない。
分析装置100は、クラスタ分析及び分類の結果を出力装置105に出力する。また、分析装置100は、クラスタの分類の結果に基づいて、クラスタに対する通信の制御内容を決定し、通信装置101に決定された制御内容を通知する。
通信装置101は、分析装置100から通知された制御内容に基づいて、対象となるセッションに対する制御を行う。これによって、クラスタ単位で一貫した通信の制御が可能となる。
出力装置105は、ディスプレイ、印刷機、及び記憶媒体に対応する装置である。出力装置105は、クラスタ分析及び分類の結果に基づいてアラートを上げ、また、クラスタ分析及び分類の結果を印刷し、又は記憶装置に蓄積する。また、出力装置105は、クラスタ分析及び分類の結果を画像として表示する。図1では、出力装置105が、クラスタ分析及び分類の結果を画像130として表示する例を示す。当該画像130には、相関グラフに使用する指標、クラスタの分類に使用する指標及び定義式、並びに分類されたクラスタの種別等が表示される。クラスタの分類に使用する指標は、例えば、相関グラフにおけるクラスタの重心等が考えられる。
画像130では、通信品質毎にクラスタを分類した分類結果、及びユーザ嗜好毎にクラスタを分類した分類結果を表示する。
設定用端末106は、分析装置100の各種設定を行うための端末である。本実施例では、設定用端末106を用いてクラスタを分類するための情報、及びクラスタに含まれるセッションに対する制御内容等を含む設定情報が分析装置100に入力される。
図2は、実施例1の通信装置101が送受信するパケットのフォーマットの一例を示す説明図である。
パケットは、MACヘッダ200、IPヘッダ210、TCPヘッダ220、TCPオプションヘッダ230、及びペイロード250を含む。
MACヘッダ200は、DMAC201、SMAC202、TPID203、PCP204、CFI205、VID206、及びType207を含む。
DMAC201は宛先MACアドレスを表す。SMAC202は送信元MACアドレスを表す。Type207はMACフレームタイプを表す。TPID203はフレームタイプがVLANであることを示す。PCP204はVLANの優先度を表す。CFI205は、MACアドレスが正規フォーマットであるかを表す。VID206はVLANのID番号を表す。
IPヘッダ210は、IP length211、protocol212、SIP213、及びDIP214を含む。
IP length211はMACヘッダを除くパケット長を表す。protocol212はプロトコル番号を表す。SIP213は送信元IPアドレスを表す。DIP214は宛先IPアドレスを現す。
TCPヘッダ220は、src.port221、dst.port222、SEQ223、ACK224、flag225、及びtcp hlen226を含む。
src.port221は送信元ポート番号を表す。dst.port222は宛先ポート番号を表す。SEQ223は送信シーケンス番号を表す。ACK224は受信シーケンス番号を表す。flag225はTCPフラグ番号を表す。tcp hlen226はTCPのヘッダ長を表す。
TCPオプションヘッダ230は、option kind 1(231)、option length 1(232)、left_edge_1〜4(233、235、237、239)、及びright_edge_1〜4(234、236、238、240)を含む。
option kind 1(231)はオプション種別を表す。option length 1(232)はオプション長を表す。left_edge_1〜4(233、235、237、239)、及びright_edge_1〜4(234、236、238、240)は、一つの通信データが複数のデータに分割されて送信される場合に、部分的に受信したデータの位置を送信先の端末110に通知するために用いられる。
なお、left_edge_1〜4(233、235、237、239)、right_edge_1〜4(234、236、238、240)は、部分的に受信できなかったデータの位置を通知するために用いられる場合もある。
図3は、実施例1の分析装置100のハードウェア構成及びソフトウェア構成の一例を示すブロック図である。
分析装置100は、ハードウェア構成として、演算装置300、主記憶装置301、及びNIC303を有する。演算装置300、主記憶装置301、及びNIC303はシステムバス等を介して互いに接続される。なお、通信装置101、転送装置102、解析装置103、及び蓄積装置104は、分析装置100と同様のハードウェア構成であるものとする。
演算装置300は、主記憶装置301に格納されるプログラムを実行する。演算装置300は、例えば、CPU、GPU等が考えられる。演算装置300がプログラムを実行することによって分析装置100が有する機能を実現する。以下では、機能部を主語に処理を説明する場合、演算装置300が当該機能部を実現するプログラムを実行していることを示す。
主記憶装置301は、演算装置300が実行するプログラム及び当該プログラムの実行に必要な情報を格納する記憶装置である。また、主記憶装置301は、各プログラムが使用するワークエリア及びバッファ等の記憶領域を有する。主記憶装置301に格納されるプログラム及び情報の詳細については後述する。
NIC303は、他の装置と接続するためのインタフェースである。図3に示す分析装置100は一つのNIC303のみを保持するが、通信装置101、蓄積装置104、出力装置105、及び設定用端末106のそれぞれに接続するNIC303を備えてもよい。
本実施例の主記憶装置301は、特徴量取得部310、クラスタ分析部311、クラスタ分類部312、アクション実行部313、出力部314、及びクラスタ定義更新部315を実現するプログラムを格納する。また、主記憶装置301はクラスタ分類定義情報320、及びクラスタ履歴情報321を格納する。
特徴量取得部310は、蓄積装置104が保持する特徴量履歴管理情報600から各セッションの特徴量を管理するエントリ601を取得し、取得されたエントリ601に含まれる特徴量の正規化を行う。特徴量取得部310は、正規化された特徴量をクラスタ分析部311に出力する。なお、必ずしも正規化が行われる必要はない。
クラスタ分析部311は、正規化された特徴量を用いて複数の特徴量の相関関係を算出し、当該相関関係に基づいて複数のセッションから複数のクラスタを生成する。また、クラスタ分析部311は、生成されたクラスタの情報をクラスタ分類部312に出力する。
例えば、複数の特徴量からなる特徴量ベクトルを考えた場合、クラスタ分析部311は、特徴量ベクトル間の距離が所定の閾値以下である複数のセッションを一つの集合として扱うことによって、一つのクラスタを生成する。二つの特徴量ベクトル間の距離に基づいて複数のセッションが分類されるため、一つのクラスタには少なくとも二つのセッションが含まれる。
クラスタ分類部312は、複数のクラスタを分類するための値を算出し、当該値に基づいてクラスタ分類定義情報320を参照して、生成されたクラスタを分類できるか否かを判定する。クラスタ分類部312は、分類できないクラスタが存在する場合、クラスタ履歴情報321を参照して、一致するクラスタが存在するか否かを判定する。クラスタ履歴情報321に一致するクラスタが存在しない場合、クラスタ分類部312は、クラスタ履歴情報321に未知のクラスタとして登録する。
また、クラスタ分類部312は、クラスタ分類定義情報320に基づいてクラスタを分類できる場合、又は、クラスタ履歴情報321に一致するクラスタが存在する場合、クラスタに対して設定された制御内容(アクション)をアクション実行部313に出力する。
アクション実行部313は、クラスタ分類部312から出力された制御内容に基づいて、所定の制御を行う。本実施例では、特徴量の変動及び統計分布等の影響を受けることなく、一貫した制御ポリシを設定できる。
出力部314は、実行されたアクションの結果、及び生成されたクラスタの分類の結果等を出力装置105等に出力する。
クラスタ定義更新部315は、設定用端末106等の外部からの入力に基づいて、クラスタ分類定義情報320及びクラスタ履歴情報321を更新する。
なお、複数の機能ブロックが有する機能を一つの機能ブロックに集約し、また、一つの機能ブロックを複数の機能ブロックに分割してもよい。例えば、クラスタ分類部312が、特徴量取得部310、クラスタ分析部311、及びアクション実行部313が有する機能を有してもよい。
図4Aは、実施例1の分析装置100が管理するクラスタ分類定義情報320の一例を示す説明図である。図4Bは、実施例1の分析装置100が管理するクラスタ履歴情報321の一例を示す説明図である。
本実施例では、分析装置100は、相関関係が異なる複数のアルゴリズムに基づいて複数のクラスタを生成し、また、通信の種別毎に複数のクラスタを分類する。クラスタ分類定義情報320は、クラスタ分析及びクラスタの分類方法に関する情報である。クラスタ分類定義情報320は、クラスタ分析方法及びクラスタの分類方法の一つの組合せに対して一つのエントリを含む。また、各エントリは、分類ID401、相関指標402、分類指標403、定義式404、及びアクション405を含む。
分類ID401は、クラスタ分析及び分類方法の組合せを一意に識別するための識別子である。相関指標402は、クラスタ分析に使用される情報である。具体的には、複数のセッションから複数のクラスタを生成するための特徴量の組合せに関する情報である。例えば、相関指標402に「スループット、RTT、クラスタを区切る距離」が格納される場合、分析装置100は、スループット及びRTTの相関関係に基づいて複数のセッションを分類することによって複数のクラスタを生成する。この場合、スループット及びRTTの相関グラフにおいてクラスタを区切る距離よりも距離が近い複数のセッションから一つのクラスタが生成される。
分類指標403及び定義式404は、複数のクラスタの各々を分類するための情報である。すなわち、分類方法に関連する情報である。分類指標403は、生成されたクラスタを通信の種別毎に分類するために用いる指標の種別である。分類指標403には、平均値、頻出度、最大値、及び最小値等が格納される。定義式404は、複数のクラスタを分類指標403に基づいて分類するための定義式である。定義式404には、図1の画像130に含まれる定義式のような分類指標403に関する数式等が格納される。以下の説明では、定義式404を用いて分類するために算出される値を分類値とも記載する。
アクション405は、分類された各クラスタに対する制御内容を定義する制御ポリシである。アクション405には、少なくとも一つのクラスタに対する制御内容(アクション)が定義されている。クラスタに含まれる複数のセッションに対して、当該クラスタに対応する制御内容が適用される。以下の説明では、クラスタに対する制御内容、すなわち、操作をアクションとも記載する。実施例1では、定義式404に基づいて分類された全てのクラスタに対して適用するアクションが存在するものとする。
クラスタ履歴情報321は、クラスタ分類定義情報320に基づいて分類できなかったクラスタを管理する情報である。以下の説明では、クラスタ履歴情報321によって管理されるクラスタを履歴クラスタとも記載する。クラスタ履歴情報321は、クラスタID411、分類ID412、分類値413、及びアクション414を含む。
クラスタID411は、履歴クラスタを一意に識別するための識別子である。分類ID412は、分類ID401と同一のものである。分類ID412は、履歴クラスタがどの分類方法を用いて分類できなかったクラスタであるか示す情報である。分類値413は、分類ID401が分類ID412に一致するエントリの定義式404に基づいて算出された分類値である。アクション414は、アクション405と同一のものである。実施例1では、クラスタ履歴情報321への履歴クラスタの登録時に、分析装置100が自動的にアクション414に情報を設定する。なお、アクション414は、クラスタ定義更新部315を介して設定してもよい。
図5は、実施例1の解析装置103が管理する特徴量管理情報500の一例を示す説明図である。
特徴量管理情報500は、セッションの複数の特徴量から構成されるエントリ501を複数含む。実施例1のエントリ501は、セッションの特徴量として、ID505、IP1(510)、port1(511)、seq1(512)、ack1(513)、rrt1(514)、pkt1(515)、bit1(516)、BW1(517)、aveBW1(518)、loss1(519)、time1(520)、IP2(521)、port2(522)、seq2(523)、ack2(524)、rrt2(525)、pkt2(526)、bit2(527)、BW2(528)、aveBW2(529)、loss2(530)、time2(531)、len1(532)、len2(533)、syn1(534)、syn2(535)、fin1(536)、fin2(537)、及びvlan538を含む。なお、エントリ501は、前述した特徴量以外の特徴量を含んでいてもよい。
ID505は、セッションの識別情報である。IP1(510)及びIP2(521)は、セッションを介して接続され二つの端末110のそれぞれのIPアドレスである。port1(511)及びport2(522)は、セッションを介して接続され二つの端末110のそれぞれのポート番号である。
seq1(512)及びseq2(523)は、セッションを介して接続され二つの端末110のそれぞれの送信シーケンス番号である。ack1(513)及びack2(524)は、セッションを介して接続され二つの端末110のそれぞれの受信シーケンス番号である。
pkt1(515)及びpkt2(526)は、セッションを介して接続され二つの端末110のそれぞれの送信パケット数である。bit1(516)及びbit2(527)は、セッションを介して接続され二つの端末110のそれぞれの送信ビット数である。len1(532)及びlen2(533)は、セッションを介して接続され二つの端末110のそれぞれの送信パケット長である。
BW1(517)及びBW2(528)は、セッションを介して接続され二つの端末110のそれぞれの直近送信帯域である。aveBW1(518)及びaveBW2(529)は、セッションを介して接続され二つの端末110の平均送信帯域である。
syn1(534)及びsyn2(535)は、セッションを介して接続され二つの端末110のそれぞれのSYNパケットの送信数である。fin1(536)及びfin2(537)は、セッションを介して接続され二つの端末110のそれぞれのFINパケットの送信数である。
rrt1(514)及びrrt2(525)は、セッションを介して接続され二つの端末110のそれぞれの往復通信遅延時間である。loss1(519)及びloss2(530)は、セッションを介して接続され二つの端末110のパケット廃棄率である。time1(520)及びtime2(531)は、セッションを介して接続され二つの端末110のそれぞれの通信継続時間である。
vlan538は、セッションを介して接続され二つの端末110が使用するVLAN番号である。
図6は、実施例1の蓄積装置104が管理する特徴量履歴管理情報600の一例を示す説明図である。
特徴量履歴管理情報600は、セッションの複数の特徴量から構成されるエントリ601を複数含む。実施例1のエントリ601は、セッションの特徴量として、ID605、IP1(610)、port1(611)、seq1(612)、ack1(613)、rrt1(614)、pkt1(615)、bit1(616)、BW1(617)、aveBW1(618)、loss1(619)、time1(620)、IP2(621)、port2(622)、seq2(623)、ack2(624)、rrt2(625)、pkt2(626)、bit2(627)、BW2(628)、aveBW2(629)、loss2(630)、time2(631)、len1(632)、len2(633)、syn1(634)、syn2(635)、fin1(636)、fin2(637)、vlan638、freq1(639)、freq2(640)、及びrec_time641を含む。なお、エントリ601は、前述した特徴量以外の特徴量を含んでいてもよい。
ID605からvlan638までのカラムは、特徴量管理情報500のエントリ501に含まれるものと同一である。freq1(639)及びfreq2(640)は、セッションを介して接続され二つの端末110のそれぞれの送信スループットの周期性である。rec_time641は、記録時間である。
図7は、実施例1の分析装置100が実行する処理を説明するフローチャートである。
分析装置100は、周期的に、又は管理者からの指示を受け付けた場合に、以下で説明する処理を実行する。なお、処理の実行タイミングは前述したものに限定されない。例えば、蓄積装置104が新たなエントリ601を生成したとき、又は、エントリ601を更新した場合に処理の開始要求が分析装置100に入力されてもよい。
分析装置100は、まず、蓄積装置104から全てのセッションの各々の特徴量を取得し(ステップS701)、特徴量の正規化処理を実行する(ステップS702)。
具体的には、特徴量取得部310が、蓄積装置104が管理する特徴量履歴管理情報600に格納される全てのエントリ601を取得する。また、特徴量取得部310は、所定の特徴量に対して正規化処理を実行する。例えば、特徴量取得部310は、送信パケット数の最大値又は平均値を用いて正規化処理を実行する。
なお、正規化処理の対象となる特徴量は、予め設定されているものとする。例えば、分析装置100は、クラスタ分類定義情報320の定義式404に基づいて、正規化処理の対象となる特徴量を決定できる。正規化処理は、公知のものであるため詳細な説明は省略する。なお、正規化処理は省略してもよい。
次に、分析装置100は、分類方法のループ処理を開始する(ステップS703)。具体的には、クラスタ分析部311が、クラスタ分類定義情報320からエントリを一つ選択する。
次に、分析装置100は、クラスタ分類定義情報320から選択されたエントリに基づいてクラスタ分析を行う(ステップS704)。これによって複数のセッションから複数のクラスタが生成される。例えば、以下のような処理が考えられる。
クラスタ分析部311は、クラスタ分類定義情報320から選択されたエントリの相関指標402に基づいて一つのエントリ601に含まれる複数の特徴量から対象となる特徴量を選択し、特徴量ベクトルを生成する。クラスタ分析部311は、二つのセッションの各々の特徴量ベクトル間の距離を算出する。クラスタ分析部311は、算出された距離が所定の閾値より小さい場合、二つのセッションを一つの集合として扱う。クラスタ分析部311は、前述した処理を全てのセッションの組合せに対して実行する。これによって、複数のセッションから複数のクラスタが生成される。
次に、分析装置100は、複数のクラスタの各々の分類値を算出する(ステップS705)。
具体的には、クラスタ分類部312は、クラスタ分類定義情報320から選択されたエントリの分類指標403に基づいて、各クラスタの分類値を算出する。例えば、図4Aの一番上のエントリが選択された場合、クラスタ分類部312は、各クラスタに含まれる複数のセッションの特徴量を用いてスループットの平均値を分類値として算出する。
次に、分析装置100は、クラスタのループ処理を開始する(ステップS706)。具体的には、クラスタ分類部312は、生成された複数のクラスタの中から処理対象のクラスタを一つ選択する。分析装置100は、処理対象のクラスタを分類できるか否かを判定する(ステップS707)。
具体的には、クラスタ分類部312は、クラスタ分類定義情報320から選択されたエントリの定義式404、及び処理対象のクラスタの分類値に基づいて、当該クラスタを分類できるか否かを判定する。
処理対象のクラスタを分類できると判定された場合、分析装置100は、処理対象のクラスタに適用するアクションを特定し(ステップS708)、その後、ステップS712に進む。
具体的には、クラスタ分類部312は、クラスタ分類定義情報320から選択されたエントリのアクション405に基づいて処理対象のクラスタに適用するアクションを特定する。
ステップS707において、処理対象のクラスタを分類できないと判定された場合、分析装置100は、クラスタ履歴情報321を参照し(ステップS709)、処理対象のクラスタに一致する履歴クラスタが存在するか否かを判定する(ステップS710)。具体的には、以下のような処理が実行される。
クラスタ分類部312は、分類ID412がクラスタ分類定義情報320から選択されたエントリの分類ID401と一致するエントリを検索する。前述した条件を満たすエントリが存在しない場合、クラスタ分類部312は、処理対象のクラスタに一致する履歴クラスタが存在しないと判定する。
前述した条件を満たすエントリが存在すると判定された場合、クラスタ分類部312は、検索されたエントリの分類値413と、ステップS705において算出されたクラスタの分類値とを比較する。ステップS705において算出されたクラスタの分類値が検索されたエントリの分類値413と一致する場合、又は、二つの分類値の差が所定の閾値より小さい場合、クラスタ分類部312は、処理対象のクラスタに一致する履歴クラスタが存在すると判定する。以上がステップS710の処理の説明である。
処理対象のクラスタに一致する履歴クラスタが存在すると判定された場合、分析装置100は、選択されたクラスタのアクションを特定し(ステップS708)、その後、ステップS712に進む。
具体的には、クラスタ分類部312は、ステップS710において検索されたエントリのアクション414に基づいて処理対象のクラスタに適用するアクションを特定する。
処理対象のクラスタに一致する履歴クラスタが存在しないと判定された場合、分析装置100は、クラスタ履歴情報321に当該クラスタを新たな履歴クラスタとして登録する(ステップS711)。具体的には、以下のような処理が実行される。
クラスタ分類部312は、クラスタ履歴情報321にエントリを追加し、追加されたエントリのクラスタID411に識別子を設定する。クラスタ分類部312は、生成されたエントリの分類ID412にステップS703において選択されたエントリの分類ID401を設定する。また、クラスタ分類部312は、生成されたエントリの分類値413にステップS705において算出された分類値を設定する。さらに、クラスタ分類部312は、生成されたエントリのアクション414に所定のアクションの情報を設定する。
本実施例では、未知のクラスタがクラスタ履歴情報321に登録される場合、予め定義されたアクションの情報が自動的にアクション414に設定されるものとする。例えば、アラームを鳴らすための情報がアクション414に設定される。
なお、分析装置100が自動的にアクションの情報を設定しなくてもよい。例えば、出力部314が管理者が操作する設定用端末106に対してアクション414を設定するための画面を表示してもよい。
なお、分析装置100は、必ずしもアクション414を設定する必要はない。この場合、分析装置100は、ステップS710の処理の後、ステップS712に進む。以上がステップS711の処理の説明である。
分析装置100は、クラスタ履歴情報321に新たな履歴クラスタの情報を登録した後、当該クラスタのアクションを特定し(ステップS708)、その後、ステップS712に進む。
具体的には、クラスタ分類部312は、新たにクラスタ履歴情報321に追加されたエントリのアクション414に基づいて処理対象のクラスタに適用するアクションを特定する。
分析装置100は、処理対象のクラスタのアクションを特定した後、生成された全てのクラスタについて処理が完了したか否かを判定する(ステップS712)。
生成された全てのクラスタについて処理が完了していないと判定された場合、分析装置100は、ステップS706に戻り同様の処理を実行する。
生成された全てのクラスタについて処理が完了したと判定された場合、分析装置100は、全ての分析方法について処理が完了したか否かを判定する(ステップS713)。
全ての分析方法について処理が完了していないと判定された場合、分析装置100は、ステップS703に戻り、同様の処理を実行する。
全ての分析方法について処理が完了したと判定された場合、分析装置100は、処理を終了する。なお、分析装置100は、クラスタを分類した後、分類の結果を出力装置105等の他の装置に出力してもよい。この場合、他の装置が、分類の結果に基づいて複数のクラスタの各々に適用するアクションを特定する。
図8A、図8B、及び図8Cは、実施例1の出力部314によって出力されるクラスタの表示例を示す説明図である。
図8AはN次元表示を用いたクラスタの表示例である。図8Bはデンドログラムを用いたクラスタの表示例である。図8Cはツリー表示を用いたクラスタの表示例である。クラスタに含まれる点は、クラスタ毎に例えば赤、青、緑等と色分けされていてもよい。さらに、クラスタを区切る距離が表示されてもよい。本実施例は、クラスタの表示例に限定されない。
実施例1の分析装置100は、複数のセッションから複数のクラスタを生成し、各クラスタに含まれる複数のセッションの少なくとも一つの特徴量を用いた分析を行う。さらに、分析装置100は、分析の結果に基づいて、複数のクラスタを通信の種別毎に分類する。クラスタ単位で分析を行うことによって、個々のセッションにおける特徴量の変化又は統計分布等の影響を受けることなく、通信の分類が可能となる。
また、分析装置100は、分類された各クラスタに含まれるセッションを制御するための制御ポリシ(アクション)を決定する。すなわち、分析装置100は、相関関係に基づく教師無学習を実行することによって、特徴量の傾向が類似する複数のセッションからクラスタを生成し、通信の種別毎に複数のクラスタを分類し、さらに、分類結果に基づいてクラスタ単位の制御ポリシを設定する。これによって、個々のセッションにおける特徴量の変化又は統計分布等の影響を受けることなくセッションの制御ポリシを決定できる。すなわち、クラスタ単位でセッションを制御することによって、個々のセッションに対して一貫した制御ポリシを設定できる。
また、分析装置100は、分類できないクラスタを履歴クラスタとして管理することによって、未知の特徴量を有する通信の検出及び履歴クラスタに基づく通信の分類が可能となる。
なお、実施例1では、TCPのセッションを例に説明したが本発明はこれに限定されない。アルゴリズムに対応した特徴量を用いることによって様々な通信フローを同様に分類でき、また、分類の結果に基づいて通信フローの制御が可能となる。
なお、実施例1では分析装置100を一つの装置として実現しているがこれに限定されない。例えば、通信装置101、転送装置102、解析装置103、又は蓄積装置104が分析装置100と同様の機能を実現する分析部を有してもよい。通信装置101等が備える演算装置が、主記憶装置に格納される所定のプログラムを実現することによって分析部が実現される。
実施例2では、クラスタ分類定義情報320及びクラスタ履歴情報321において、アクションが設定されていないクラスタが存在する点が実施例1と異なる。また、実施例2では、分析装置100が特定されたアクションを実行する点が実施例1と異なる。以下、実施例1との差異を中心に実施例2について説明する。
実施例2のネットワークシステム、及び分析装置100の構成は実施例1と同一である。また、実施例2のパケット、クラスタ分類定義情報320、クラスタ履歴情報321の構成も実施例1と同一である。ただし、アクション405及びアクション414が実施例1とは異なる。
例えば、実施例2のクラスタ分類定義情報320の少なくとも一つのエントリのアクション405には一部のクラスタに対してのみアクションの情報が設定され、又は、アクション405が空欄となっている。また、実施例2のクラスタ履歴情報321の少なくとも一つのエントリのアクション414は、空欄となっている。
実施例2の特徴量管理情報500及び特徴量履歴管理情報600は実施例1のものと同一である。
実施例2では、分析装置100が実行する処理の一部が異なる。図9は、実施例2の分析装置100が実行する処理を説明するフローチャートである。
ステップS701からステップS711の処理は、実施例1の処理と同一である。
ステップS707の判定結果がYESであり、かつ、ステップS708の処理が実行された後、分析装置100は、処理対象のクラスタに適用可能なアクションが存在するか否かを判定する(ステップS901)。
具体的には、クラスタ分類部312は、選択されたエントリのアクション405を参照して、処理対象のクラスタに適用するアクションがアクション405に設定されているか否かを判定する。
ステップS710の判定結果がYESであり、かつ、ステップS708の処理が実行された後、分析装置100は、処理対象のクラスタに適用可能なアクションが存在するか否かを判定する(ステップS901)。
具体的には、クラスタ分類部312は、検索されたエントリのアクション414を参照して、処理対象のクラスタに適用するアクションがアクション414に設定されているか否かを判定する。
ステップS711及びステップS708の処理が実行された後、分析装置100は、処理対象のクラスタに適用可能なアクションが存在するか否かを判定する(ステップS901)。
具体的には、クラスタ分類部312は、クラスタ履歴情報321に新たに追加されたエントリのアクション414を参照して、処理対象のクラスタに適用するアクションがアクション414に設定されているか否かを判定する。
ステップS901において、処理対象のクラスタに適用可能なアクションが存在すると判定された場合、分析装置100は、当該アクションを実行する(ステップS902)。その後、分析装置100は、ステップS712に進む。
具体的には、クラスタ分類部312は、ステップS707において特定されたアクションの情報をアクション実行部313に出力する。アクション実行部313は、出力されたアクションの情報に基づいて所定のアクションを実行する。アクション実行部313は、実行されるアクションに応じて必要な情報を出力部314に出力する。
ステップS901において、処理対象のクラスタに適用可能なアクションが存在しないと判定された場合、分析装置100は、ステップS712に進む。
実施例2の分析装置100は、複数のセッションから複数のクラスタを生成し、各クラスタに含まれるセッションを制御するための制御ポリシ(アクション)を決定できる。さらに、分析装置100は、決定された制御ポリシに基づいて、クラスタ単位に複数のセッションを制御する。
これによって、個々のセッションにおける特徴量の変化又は統計分布等の影響を受けることなくセッションの制御が可能となる。すなわち、クラスタ単位でセッションを制御することによって、個々のセッションに対して一貫した制御が可能となる。
実施例3では、DDoS攻撃の検出を例に分析装置100の具体的な処理内容について説明する。なお、実施例3のネットワークシステム及び分析装置100の構成は実施例1と同一のものであり、また、実施例3の分析装置100、解析装置103、及び蓄積装置104が保持する情報も実施例1と同一のものである。
図10は、実施例3の分析装置100がDDoS攻撃を検出する場合に実行する処理の一例を説明するフローチャートである。図11は、実施例3の特徴量履歴管理情報600の一例を示す説明図である。なお、実施例3では、説明の簡単のため特徴量履歴管理情報600の一部のカラムのみを表示する。図12は、実施例3のクラスタ分析の処理結果の一例を示す図である。
ステップS701、ステップS702、ステップS706、ステップS708、及びステップS712の処理は実施例1の処理と同一であり、ステップS901及びステップS902の処理は実施例2の処理と同一である。なお、DDoS攻撃に対応するクラスタのアクションとしてIDS又はIPS等の機能を有効化する制御が考えられる。
実施例3のステップS703では、分析装置100は、パケットの送受信数、送信ビット数、受信ビット数、送信元IPアドレス、及び宛先IPアドレスを用いる分析方法を選択する。また、実施例3のステップS704では、分析装置100は、各クラスタにおけるパケットの送受信数の平均値、送信ビット数の平均値、受信ビット数の平均値、送信元IPアドレスの分散値、及び宛先IPアドレスの分散値を算出する。
ステップS706において処理対象のクラスタが選択された後、分析装置100は、処理対象のクラスタに含まれるセッションの通信がDDoS攻撃に該当する通信であるか否かを判定する(ステップS1001)。
具体的には、クラスタ分類部312が、処理対象のクラスタのパケットの送受信数の平均値が「1」、送信ビット数及び受信ビット数の平均値が「512」、送信元IPの分散値が所定の閾値以上、かつ、宛先IPの分散値が所定の閾値以下であるか否かを判定する。これによって、DDoS攻撃に対応する通信グループ(クラスタ)を特定できる。
図11に示すように、従来の装置は、特徴量履歴管理情報600から生成されたIPアドレス毎の特徴量情報1100を生成し、エントリを参照して、通信相手の数が多く、かつ送信ビット数及び受信ビット数が少ないIPアドレスを抽出することによって、DDoS攻撃に該当する通信を検出していた。なお、特徴量情報1100の太枠のエントリがDDoS攻撃に該当する。
一方、分析装置100は、特徴量履歴管理情報600を用いてクラスタ分析を行うことによって、図12に示すようなデンドログラム1101から点線1200に含まれる複数のセッションを一つのクラスタとして生成する。また、分析装置100は、当該クラスタのpkt1(615)及びpkt1(626)の平均値が「1」、bit1(616)及びbit2(627)の平均値が「512」、IP2(621)の分散値が所定の閾値以下、かつ、IP1(610)の分散値が所定の閾値以上のクラスタをDDoS攻撃に該当するクラスタとして特定する。
実施例3によれば、分析装置100は、DDoS攻撃に関連するセッションのグループを直接抽出し、当該グループに対する一貫した制御を行うことができる。
実施例4では、異常通信の検出を例に分析装置100の具体的な処理内容について説明する。なお、実施例4のネットワークシステム及び分析装置100の構成は実施例1と同一のものであり、また、実施例4の分析装置100、解析装置103、及び蓄積装置104が保持する情報も実施例1と同一のものである。
図13は、実施例4の分析装置100が異常通信を検出する場合に実行する処理の一例を説明するフローチャートである。
分析装置100は、所定の時間範囲に含まれる複数のセッションに対してクラスタ分析を実行することによって複数のクラスタを生成し、複数のクラスタの各々と、履歴クラスタとを比較することによって異常通信を検出する。この場合、クラスタ分類定義情報320の定義式には、履歴クラスタとの比較を指示する情報が格納される。履歴クラスタと一致又は類似しないクラスタが検出された場合、分析装置100は、当該クラスタを異常通信に対応するセッションのグループとして検出する。
また、実施例4のクラスタ履歴情報321の分類値413には、セッションのrec_time641から決定される時刻情報が含まれる。
ステップS701、ステップS702、ステップS706、ステップS708、及びステップS712の処理は実施例1の処理と同一であり、ステップS901及びステップS902の処理は実施例2の処理と同一である。なお、異常通信に対応するクラスタのアクションとしてアラートを上げる等のアクションが考えられる。
実施例4のステップS703では、分析装置100は、RTT及びスループットを用いる分析方法を選択する。また、実施例4のステップS704では、分析装置100は、rec_time641を一時間単位で区切り、一時間分の複数のセッションに対してクラスタ分析を実行することによって複数のクラスタを生成する。例えば、分析装置100は、rec_time641が午前8時から午前9時に含まれるセッションの特徴量情報に基づいてクラスタ分析を実行する。また、ステップS705では、分析装置100は、各クラスタのRTTの平均値及びスループットの平均値を算出する。このとき、分析装置100は、各クラスタに時刻情報を付与する。
実施例4では、定義式404に履歴クラスタとの比較を指示する情報が含まれるため、ステップS707及びステップS710が同じ処理内容となる。そのため、ステップS706の処理の後、分析装置100は、クラスタ履歴情報321を参照し(ステップS709)、類似する履歴クラスタが存在するか否かを判定する(ステップS1301)。具体的には、以下のような処理が実行される。
クラスタ分類部312は、分類ID412がクラスタ分類定義情報320から選択されたエントリの分類ID401と一致するエントリを検索する。前述した条件を満たすエントリが存在しない場合、クラスタ分類部312は、類似する履歴クラスタが存在しないと判定する。
前述した条件を満たすエントリが存在すると判定された場合、クラスタ分類部312は、検索されたエントリの分類値413に含まれる時刻情報と、ステップS706において選択されたクラスタの時刻情報とが一致するか否かを判定する。分類値413に含まれる時刻情報と、選択されたクラスタの時刻情報とが一致しない場合、クラスタ分類部312は、他のエントリを検索する。エントリが存在しない場合、クラスタ分類部312は、類似する履歴クラスタが存在しないと判定する。
分類値413に含まれる時刻情報と、選択されたクラスタの時刻情報とが一致する場合、クラスタ分類部312は、ステップS705において算出されたRTTの平均値及びスループットの平均値の組合せと、分類値413に含まれる値とを比較する。ここでは、クラスタ分類部312は、RTT及びスループットの2つの特徴量から構成される平面上の距離を算出する。
RTTの平均値及びスループットの平均値の組合せと、分類値413に含まれる値との距離が所定の閾値以下である場合、クラスタ分類部312は、類似する履歴クラスタが存在すると判定する。以上がステップS709及びステップS1301の処理の説明である。
類似する履歴クラスタが存在すると判定された場合、分析装置100は、ステップS708に進む。一方、類似する履歴クラスタが存在しないと判定された場合、分析装置100は、クラスタ履歴情報321に選択されたクラスタを登録する(ステップS711)。このとき、分類値413には、ステップS705において算出された分類値ともに、処理対象のクラスタの時刻情報が設定される。
クラスタ履歴情報321に処理対象のクラスタが登録された後、ステップS708において、分析装置100は、当該クラスタを異常通信に対応するクラスタとして特定し、当該クラスタのアクションを特定する。
図14は、実施例4の異常通信の検出例を示す説明図である。
図14の左枠はクラスタ分析の結果を示し、図14の右枠はクラスタ履歴情報321に登録される履歴クラスタを示す。
ステップS704において、分析装置100は、rec_time641が午前8時から午前9時に含まれるエントリ601を用いてクラスタ分析を実行し、結果1410を出力する。
ステップS709において、分析装置100は、分類値413に「午前8時から午前9時」が設定される履歴クラスタ群1440を参照し、結果1410及び履歴クラスタ群1440を比較する。この場合、分析装置100は、クラスタ1411に類似する履歴クラスタ1441が存在し、また、クラスタ1412に類似する履歴クラスタ1442が存在すると判定する。
ステップS704において、分析装置100は、rec_time641が午前9時から午前10時に含まれるエントリ601を用いてクラスタ分析を実行し、結果1420を出力する。
ステップS709において、分析装置100は、分類値413に「午前9時から午前10時」が設定される履歴クラスタ群1450を参照し、結果1420及び履歴クラスタ群1450を比較する。この場合、分析装置100は、クラスタ1421に類似する履歴クラスタ1451が存在し、クラスタ1422に類似する履歴クラスタ1452が存在し、また、クラスタ1423に類似する履歴クラスタ1453が存在すると判定する。
ステップS704において、分析装置100は、rec_time641が午前10時から午前11時に含まれるエントリ601を用いてクラスタ分析を実行し、結果1430を出力する。
ステップS709において、分析装置100は、分類値413に「午前10時から午前11時」が設定される履歴クラスタ群1460を参照し、結果1430及び履歴クラスタ群1460を比較する。この場合、分析装置100は、クラスタ1431に類似する履歴クラスタ1461が存在し、また、クラスタ1432に類似する履歴クラスタ1462が存在すると判定する。一方、分析装置100は、クラスタ1433に類似する履歴クラスタは存在しないと判定し、当該クラスタ1433を履歴クラスタとしてクラスタ履歴情報321に登録する。
実施例4によれば、分析装置100は、履歴クラスタに基づいて、異常通信に該当する通信グループ(クラスタ)を直接抽出し、当該クラスタに含まれるセッションに対して一貫した制御ができる。
実施例5では、通信品質の劣化の検出を例に分析装置100の具体的な処理内容について説明する。なお、実施例5のネットワークシステム及び分析装置100の構成は実施例1と同一のものであり、また、実施例5の分析装置100、解析装置103、及び蓄積装置104が保持する情報も実施例1と同一のものである。
図15は、実施例5の分析装置100が通信品質の劣化を検出する場合に実行する処理の一例を説明するフローチャートである。
ステップS701、ステップS702、ステップS706、ステップS708、ステップS712、及びステップS713の処理は実施例1の処理と同一であり、ステップS901及びステップS902の処理は実施例2の処理と同一である。なお、通信品質が低いクラスタに含まれるセッションに対するアクションとしては、通信高速化サービスの適用が考えられる。
実施例5のステップS703では、分析装置100は、相関指標402がRTT及びパケット廃棄率、分類指標403が各通信拠点のパケットの廃棄率の平均値、RTTの平均値、及びスループットの平均値を用いる分析方法を選択する。また、実施例5のステップS704では、分析装置100は、パケット廃棄率及びRTTに基づいてクラスタ分析を実行することによって複数のクラスタを生成する。実施例5では一つの拠点に対して一つのクラスタが生成される。また、ステップS705では、分析装置100は、各クラスタのパケット廃棄率の平均値及びRTTの平均値を算出し、また、各クラスタのスループットを算出する。
ステップS706において処理対象のクラスタが選択された後、分析装置100は、処理対象のクラスタが通信品質の低いクラスタであるか否かを判定する(ステップS1501)。
具体的には、クラスタ分類部312が、パケット廃棄率の平均値が所定の閾値より大きく、RTTの平均値が所定の閾値より大きく、かつ、スループットが閾値より小さいクラスタであるか否かを判定する。分析装置100は、前述した条件を満たすクラスタを、通信品質が低いクラスタとして検出する。
図16は、実施例5の通信品質の劣化の検出例を示す説明図である。RTTが異なる3つの拠点A、B、Cにおいて行われている通信を解析しているケースを示す。
(1)は従来の通信品質の劣化の検出例を示す。(2)は実施例5の通信品質の劣化の検出例を示す。
(1)に示すように、従来は、装置が、各セッション(各点)についてRTT及びパケットの廃棄率(PLR)のそれぞれについて閾値を比較する。RTT及びPLRの各々の値が閾値より大きい場合、装置は、セッションの通信品質が劣化している、すなわち、通信品質が低いと判定する。例えば、(1)の範囲1600に含まれるセッションは通信品質が低い。同一の拠点の通信であっても、個々のセッションのPLRの変化は大きいため頻繁に通信高速化サービスのON及びOFFの切替が行われる。そのため通信が不安定になるという問題がある。
一方、実施例5の分析装置100は、(2)に示すように拠点のRTT毎にクラスタ1610、1620、1630が生成される。また、分析装置100は、拠点Aの通信を含むクラスタ1610のPLR及びRTTの平均値の組合せである重心1611、拠点Bの通信を含むクラスタ1620のPLR及びRTTの平均値の組合せである重心1621、並びに、拠点Cの通信を含むクラスタ1630のPLR及びRTTの平均値の組合せである重心1631を算出する。分析装置100は、重心1611、1621、1631から算出される理論スループットに基づいて通信高速化サービスの要否を判定する。なお、曲線1640はRTT及びPLRを変数とする定義式である。
実施例5によれば、RTTの値が同一又は類似、すなわち、同一の拠点におけるセッションであれば、PLRの値の変動にかかわらず通信高速化サービスの要否の一貫した判定が可能となる。したがって、通信が安定する。
実施例6では、ユーザ毎の嗜好の検出を例に分析装置100の具体的な処理内容について説明する。なお、実施例6のネットワークシステム及び分析装置100の構成は実施例1と同一のものであり、また、実施例6の分析装置100、解析装置103、及び蓄積装置104が保持する情報も実施例1と同一のものである。
図17は、実施例6の分析装置100がユーザ毎の嗜好を検出する場合に実行する処理の一例を説明するフローチャートである。
ステップS701、ステップS702、ステップS706、ステップS708、ステップS712、及びステップS713の処理は実施例1の処理と同一であり、ステップS901及びステップS902の処理は実施例2の処理と同一である。なお、適用するアクションは、クラスタが属する通信の種類に応じて様々な制御が考えられる。
ステップS703では、分析装置100は、相関指標402に送信元のIPアドレスと、宛先のIPアドレス、分類指標403に送信元のIPアドレス及び宛先のIPアドレスの組合せ毎のダウンロード回数及びアップロード回数を用いる分析方法を選択する。また、実施例6のステップS704では、分析装置100は、送信元のIPアドレスに基づいてクラスタ分析を実行することによって複数のクラスタを生成する。また、ステップS705では、分析装置100は、各クラスタについて宛先のIPアドレスに対するダウンロード回数及びアップロード回数等を算出する。
ステップS706において処理対象のクラスタが選択された後、分析装置100は、処理対象のクラスタが所定のユーザ嗜好に関連する通信に属するクラスタであるか否かを判定する(ステップS1701)。
例えば、特定の宛先のIPアドレスからのダウンロード回数が多いクラスタであるか、又は、特定の宛先のIPアドレスへのアップロード回数が多いクラスタであるか否かが判定される。また、特定の宛先のIPアドレスへの通信回数が多いクラスタであるか否かが判定される。
特定の宛先のIPアドレスからのダウンロード回数が多い場合、クラスタに対応するIPアドレスを持つユーザは特定のWebサイトへの関心が高いユーザであることを示す。また、特定の宛先のIPアドレスへのアップロード回数が多い場合、クラスタに対応するIPアドレスを持つユーザは特定のSNSサイトへのプッシュが多いユーザであることを示す。
図18は、実施例6のユーザ毎の嗜好の検出例を示す説明図である。
(1)は従来のユーザの嗜好の検出例を示す。(2)は実施例6のユーザの嗜好の検出例を示す。
(1)に示すように、従来は、装置が、各セッション(各点)について宛先のどのIPアドレス(商用IPアドレス)に対する通信であるか否かを判定する。送信元のIPアドレスが同一であっても、宛先のIPアドレスが異なる場合、各セッションを用いて通信を行うユーザの嗜好は異なる。そのため、ユーザに対して一貫した制御が行えなかった。
一方、実施例6の分析装置100は、(2)に示すようにユーザ使用IP毎にクラスタ1810、1820、1830、1840が生成される。また、分析装置100は、各クラスタにおける宛先のIPアドレスの頻出回数に基づいてユーザの嗜好を検出する。例えば、クラスタ1810に対応するユーザAは、音楽サイト、洋服サイト、車サイト、及び食事サイトの全てにアクセスし、全アクセスの中で音楽サイトへのアクセス回数が最も多い。そのため、クラスタ1810の特性は音楽、すなわち、ユーザAの嗜好が音楽であると判定できる。
実施例6によれば、ユーザの嗜好を特定し、特定された嗜好に対応する一貫した制御が可能となる。なお、実施例6ではIPアドレスを用いてクラスタを分類したが、MACアドレス等を用いてもよい。
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。また、例えば、上記した実施例は本発明を分かりやすく説明するために構成を詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、各実施例の構成の一部について、他の構成に追加、削除、置換することが可能である。
また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、本発明は、実施例の機能を実現するソフトウェアのプログラムコードによっても実現できる。この場合、プログラムコードを記録した記憶媒体をコンピュータに提供し、そのコンピュータが備えるCPUが記憶媒体に格納されたプログラムコードを読み出す。この場合、記憶媒体から読み出されたプログラムコード自体が前述した実施例の機能を実現することになり、そのプログラムコード自体、及びそれを記憶した記憶媒体は本発明を構成することになる。このようなプログラムコードを供給するための記憶媒体としては、例えば、フレキシブルディスク、CD−ROM、DVD−ROM、ハードディスク、SSD(Solid State Drive)、光ディスク、光磁気ディスク、CD−R、磁気テープ、不揮発性のメモリカード、ROMなどが用いられる。
また、本実施例に記載の機能を実現するプログラムコードは、例えば、アセンブラ、C/C++、perl、Shell、PHP、Java(登録商標)等の広範囲のプログラム又はスクリプト言語で実装できる。
さらに、実施例の機能を実現するソフトウェアのプログラムコードを、ネットワークを介して配信することによって、それをコンピュータのハードディスクやメモリ等の記憶手段又はCD−RW、CD−R等の記憶媒体に格納し、コンピュータが備えるCPUが当該記憶手段や当該記憶媒体に格納されたプログラムコードを読み出して実行するようにしてもよい。
上述の実施例において、制御線や情報線は、説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。全ての構成が相互に接続されていてもよい。
100 分析装置
101 通信装置
102 転送装置
103 解析装置
104 蓄積装置
105 出力装置
106 設定用端末
110 端末
120 ネットワーク
300 演算装置
301 主記憶装置
303 NIC
310 特徴量取得部
311 クラスタ分析部
312 クラスタ分類部
313 アクション実行部
314 出力部
315 クラスタ定義更新部
320 クラスタ分類定義情報
321 クラスタ履歴情報
500 特徴量管理情報
600 特徴量履歴管理情報

Claims (18)

  1. ネットワークを介して接続される端末間の通信を制御する複数の通信装置を備えるネットワークシステムであって、
    前記複数の通信装置の各々は、演算装置及び前記演算装置に接続される記憶装置を有し、
    前記ネットワークシステムは、前記端末間の通信の制御単位である通信フローを分析し、通信の種類毎に複数の通信フローを分類する分析部を備え、
    前記分析部は、少なくとも一つの前記通信装置の前記演算装置が前記記憶装置に格納されるプログラムを実行することによって実現され、
    前記分析部は、
    前記通信フロー毎に、複数の特徴量を含む通信フローの管理情報を取得する特徴量取得部と、
    前記通信フローの管理情報を解析して、前記複数の通信フローから構成されるクラスタを複数生成するクラスタ分析部と、
    前記複数のクラスタに含まれる前記複数の通信フローの少なくとも一つの前記特徴量を用いた解析結果に基づいて、通信の種類毎に前記複数のクラスタを分類するクラスタ分類部と、を含むことを特徴とするネットワークシステム。
  2. 請求項1に記載のネットワークシステムであって、
    前記分析部は、前記クラスタの生成方法を示す第1の情報、及び前記複数のクラスタの分類方法を示す第2の情報を含むエントリを複数含むクラスタ分類定義情報を管理し、
    前記クラスタ分析部は、
    前記クラスタ分類定義情報から一つの前記エントリを選択し、
    前記選択されたエントリの前記第1の情報に基づいて、前記複数の通信フローから前記複数のクラスタを生成し、
    前記クラスタ分類部は、
    前記選択されたエントリの前記第2の情報に基づいて前記複数のクラスタを解析することによって、前記複数のクラスタの各々の分類値を算出し、
    前記算出された分類値に基づいて、前記複数のクラスタを分類することを特徴とするネットワークシステム。
  3. 請求項2に記載のネットワークシステムであって、
    前記クラスタ分類定義情報に含まれるエントリは、さらに、前記クラスタに対する制御内容を定義する制御ポリシを示す第3の情報を含み、
    前記クラスタ分類部は、前記選択されたエントリの前記第3の情報に基づいて、前記分類された複数のクラスタに対する制御内容を決定することを特徴とするネットワークシステム。
  4. 請求項3に記載のネットワークシステムであって、
    前記分析部は、
    前記選択されたエントリの前記第3の情報に基づいて、前記分類された複数のクラスタの各々について適用可能な制御内容が存在するか否かを判定し、前記適用可能な制御内容が存在すると判定された場合、前記分類されたクラスタに対して前記制御内容を適用する実行部を含むことを特徴とするネットワークシステム。
  5. 請求項2に記載のネットワークシステムであって、
    前記分析部は、前記クラスタ分類定義情報に基づいて分類できなかったクラスタである履歴クラスタに関する情報を格納するクラスタ履歴情報を管理し、
    前記クラスタ履歴情報は、前記履歴クラスタの識別情報、前記履歴クラスタの分類時に選択された前記クラスタ分類定義情報のエントリの識別情報、前記履歴クラスタの前記分類値、及び前記履歴クラスタに対する制御内容を定義する制御ポリシを含むエントリを複数含み、
    前記クラスタ分類部は、
    前記複数のクラスタの各々の前記分類値が算出された後、前記生成された複数のクラスタの中から処理対象のクラスタを選択し、
    前記処理対象のクラスタの前記分類値に基づいて、前記処理対象のクラスタを分類できるか否かを判定し、
    前記処理対象のクラスタを分類できないと判定された場合、前記クラスタ履歴情報を参照し、前記処理対象のクラスタに一致する前記履歴クラスタが存在するか否かを判定し、
    前記処理対象のクラスタに一致する前記履歴クラスタが存在すると判定された場合、当該履歴クラスタに対応付けられる前記制御ポリシに基づいて、前記処理対象のクラスタに対する制御内容を決定することを特徴とするネットワークシステム。
  6. 請求項5に記載のネットワークシステムであって、
    前記クラスタ分類部は、前記処理対象のクラスタに一致する前記履歴クラスタが存在しないと判定された場合、前記処理対象のクラスタを新たな履歴クラスタとして前記クラスタ履歴情報に登録することを特徴とするネットワークシステム。
  7. ネットワークを介して接続される端末間の通信を制御する複数の通信装置を備えるネットワークシステムにおける通信の分析方法であって、
    前記複数の通信装置の各々は、演算装置及び前記演算装置に接続される記憶装置を有し、
    前記ネットワークシステムは、前記端末間の通信の制御単位である通信フローを分析し、通信の種類毎に複数の通信フローを分類する分析部を備え、
    前記分析部は、少なくとも一つの前記通信装置の前記演算装置が前記記憶装置に格納されるプログラムを実行することによって実現され、
    前記通信の分析方法は、
    前記分析部が、前記通信フロー毎に、複数の特徴量を含む通信フローの管理情報を取得する第1のステップと、
    前記分析部が、前記通信フローの管理情報を解析して、前記複数の通信フローから構成されるクラスタを複数生成する第2のステップと、
    前記分析部が、前記複数のクラスタに含まれる前記複数の通信フローの少なくとも一つの前記特徴量を用いた解析結果に基づいて、通信の種類毎に前記複数のクラスタを分類する第3のステップと、を含むことを特徴とする通信の分析方法。
  8. 請求項7に記載の通信の分析方法であって、
    前記分析部は、前記クラスタの生成方法を示す第1の情報、及び前記複数のクラスタの分類方法を示す第2の情報を含むエントリを複数含むクラスタ分類定義情報を管理し、
    前記第1のステップは、
    前記分析部が、前記クラスタ分類定義情報から一つの前記エントリを選択するステップと、
    前記分析部が、前記選択されたエントリの前記第1の情報に基づいて、前記複数の通信フローから前記複数のクラスタを生成するステップと、を含み、
    前記第3のステップは、
    前記分析部が、前記選択されたエントリの前記第2の情報に基づいて前記複数のクラスタを解析することによって、前記複数のクラスタの各々の分類値を算出するステップと、
    前記分析部が、前記算出された分類値に基づいて、前記複数のクラスタを分類するステップと、を含むことを特徴とする通信の分析方法。
  9. 請求項8に記載の通信の分析方法であって、
    前記クラスタ分類定義情報に含まれるエントリは、さらに、前記クラスタに対する制御内容を定義する制御ポリシを示す第3の情報を含み、
    前記第3のステップは、前記分析部が、前記選択されたエントリの前記第3の情報に基づいて、前記分類された複数のクラスタに対する制御内容を決定するステップを含むことを特徴とする通信の分析方法。
  10. 請求項9に記載の通信の分析方法であって、
    前記分析部が、前記選択されたエントリの前記第3の情報に基づいて、前記分類された複数のクラスタの各々について適用可能な制御内容が存在するか否かを判定するステップと、
    前記分析部が、前記適用可能な制御内容が存在すると判定された場合、前記分類されたクラスタに対して前記制御内容を適用するステップと、を含むことを特徴とする通信の分析方法。
  11. 請求項8に記載の通信の分析方法であって、
    前記分析部は、前記クラスタ分類定義情報に基づいて分類できなかったクラスタである履歴クラスタに関する情報を格納するクラスタ履歴情報を管理し、
    前記クラスタ履歴情報は、前記履歴クラスタの識別情報、前記履歴クラスタの分類時に選択された前記クラスタ分類定義情報のエントリの識別情報、前記履歴クラスタの前記分類値、及び前記履歴クラスタに対する制御内容を定義する制御ポリシを含むエントリを複数含み、
    前記第3のステップは、
    前記分析部が、前記複数のクラスタの各々の前記分類値が算出された後、前記生成された複数のクラスタの中から処理対象のクラスタを選択するステップと、
    前記分析部が、前記処理対象のクラスタの前記分類値に基づいて、前記処理対象のクラスタを分類できるか否かを判定するステップと、
    前記分析部が、前記処理対象のクラスタを分類できないと判定された場合、前記クラスタ履歴情報を参照し、前記処理対象のクラスタに一致する前記履歴クラスタが存在するか否かを判定するステップと、
    前記分析部が、前記処理対象のクラスタに一致する前記履歴クラスタが存在すると判定された場合、当該履歴クラスタに対応付けられる前記制御ポリシに基づいて、前記処理対象のクラスタに対する制御内容を決定するステップと、を含むことを特徴とする通信の分析方法。
  12. 請求項11に記載の通信の分析方法であって、
    前記分析部が、前記処理対象のクラスタに一致する前記履歴クラスタが存在しないと判定された場合、前記処理対象のクラスタを新たな履歴クラスタとして前記クラスタ履歴情報に登録するステップを、含むことを特徴とする通信の分析方法。
  13. ネットワークを介して接続される端末間の通信の制御単位である通信フローを分析する分析装置であって、
    演算装置及び前記演算装置に接続される記憶装置を備え、さらに、
    複数の通信フローの各々について、複数の特徴量を含む通信フローの管理情報を取得する特徴量取得部と、
    前記通信フローの管理情報を解析して、前記複数の通信フローから構成されるクラスタを複数生成するクラスタ分析部と、
    前記複数のクラスタに含まれる前記複数の通信フローの少なくとも一つの前記特徴量を用いた解析結果に基づいて、通信の種類毎に前記複数のクラスタを分類するクラスタ分類部と、を備えることを特徴とする分析装置。
  14. 請求項13に記載の分析装置であって、
    前記分析装置は、前記クラスタの生成方法を示す第1の情報、及び前記複数のクラスタの分類方法を示す第2の情報を含むエントリを複数含むクラスタ分類定義情報を管理し、
    前記クラスタ分析部は、
    前記クラスタ分類定義情報から一つの前記エントリを選択し、
    前記選択されたエントリの前記第1の情報に基づいて、前記複数の通信フローから前記複数のクラスタを生成し、
    前記クラスタ分類部は、
    前記選択されたエントリの前記第2の情報に基づいて前記複数のクラスタを解析することによって、前記複数のクラスタの各々の分類値を算出し、
    前記算出された分類値に基づいて、前記複数のクラスタを分類することを特徴とする分析装置。
  15. 請求項14に記載の分析装置であって、
    前記クラスタ分類定義情報に含まれるエントリは、さらに、前記クラスタに対する制御内容を定義する制御ポリシを示す第3の情報を含み、
    前記クラスタ分類部は、前記選択されたエントリの前記第3の情報に基づいて、前記分類された複数のクラスタに対する制御内容を決定することを特徴とする分析装置。
  16. 請求項15に記載の分析装置であって、
    前記選択されたエントリの前記第3の情報に基づいて、前記分類された複数のクラスタの各々について適用可能な制御内容が存在するか否かを判定し、前記適用可能な制御内容が存在すると判定された場合、前記分類されたクラスタに対して前記制御内容を適用する実行部を備えることを特徴とする分析装置。
  17. 請求項14に記載の分析装置であって、
    前記分析装置は、前記クラスタ分類定義情報に基づいて分類できなかったクラスタである履歴クラスタに関する情報を格納するクラスタ履歴情報を管理し、
    前記クラスタ履歴情報は、前記履歴クラスタの識別情報、前記履歴クラスタの分類時に選択された前記クラスタ分類定義情報のエントリの識別情報、前記履歴クラスタの前記分類値、及び前記履歴クラスタに対する制御内容を定義する制御ポリシを含むエントリを複数含み、
    前記クラスタ分類部は、
    前記複数のクラスタの各々の前記分類値が算出された後、前記生成された複数のクラスタの中から処理対象のクラスタを選択し、
    前記処理対象のクラスタの前記分類値に基づいて、前記処理対象のクラスタを分類できるか否かを判定し、
    前記処理対象のクラスタを分類できないと判定された場合、前記クラスタ履歴情報を参照し、前記処理対象のクラスタに一致する前記履歴クラスタが存在するか否かを判定し、
    前記処理対象のクラスタに一致する前記履歴クラスタが存在すると判定された場合、当該履歴クラスタに対応付けられる前記制御ポリシに基づいて、前記処理対象のクラスタに対する制御内容を決定することを特徴とする分析装置。
  18. 請求項17に記載の分析装置であって、
    前記クラスタ分類部は、前記処理対象のクラスタに一致する前記履歴クラスタが存在しないと判定された場合、前記処理対象のクラスタを新たな履歴クラスタとして前記クラスタ履歴情報に登録することを特徴とする分析装置。
JP2015155363A 2015-08-05 2015-08-05 ネットワークシステム、通信の分析方法、及び分析装置 Pending JP2017034605A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2015155363A JP2017034605A (ja) 2015-08-05 2015-08-05 ネットワークシステム、通信の分析方法、及び分析装置
US15/205,699 US20170041242A1 (en) 2015-08-05 2016-07-08 Network system, communication analysis method and analysis apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015155363A JP2017034605A (ja) 2015-08-05 2015-08-05 ネットワークシステム、通信の分析方法、及び分析装置

Publications (1)

Publication Number Publication Date
JP2017034605A true JP2017034605A (ja) 2017-02-09

Family

ID=57989026

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015155363A Pending JP2017034605A (ja) 2015-08-05 2015-08-05 ネットワークシステム、通信の分析方法、及び分析装置

Country Status (2)

Country Link
US (1) US20170041242A1 (ja)
JP (1) JP2017034605A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019009549A (ja) * 2017-06-22 2019-01-17 株式会社日立製作所 攻撃検知分析装置及び攻撃検知方法
WO2022024282A1 (ja) * 2020-07-29 2022-02-03 日本電信電話株式会社 差分計算装置、差分計算方法及び差分計算プログラム

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10972358B2 (en) 2017-08-30 2021-04-06 Citrix Systems, Inc. Inferring congestion and signal quality
WO2019133989A1 (en) * 2017-12-29 2019-07-04 DataVisor, Inc. Detecting network attacks
CN111064635B (zh) * 2019-12-10 2021-07-27 中盈优创资讯科技有限公司 一种异常流量的监视方法及系统
US11871263B2 (en) * 2020-12-14 2024-01-09 Sandvine Corporation System and method for 5G mobile network management
CN117278445B (zh) * 2023-11-17 2024-04-16 江苏信而泰智能装备有限公司 一种网络测试仪

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019009549A (ja) * 2017-06-22 2019-01-17 株式会社日立製作所 攻撃検知分析装置及び攻撃検知方法
WO2022024282A1 (ja) * 2020-07-29 2022-02-03 日本電信電話株式会社 差分計算装置、差分計算方法及び差分計算プログラム

Also Published As

Publication number Publication date
US20170041242A1 (en) 2017-02-09

Similar Documents

Publication Publication Date Title
JP2017034605A (ja) ネットワークシステム、通信の分析方法、及び分析装置
US11057420B2 (en) Detection of malware and malicious applications
US20230327964A1 (en) Distributed packet deduplication
EP3691218A1 (en) Method and device for identifying encrypted data stream
US10084690B2 (en) Using a firewall filter to select a member link of a link aggregation group
JP4774357B2 (ja) 統計情報収集システム及び統計情報収集装置
Da Silva et al. Identification and selection of flow features for accurate traffic classification in SDN
US10237192B2 (en) Apparatus and system for optimizing communication networks
US8239565B2 (en) Flow record restriction apparatus and the method
US20080294770A1 (en) System and method for managing computer networks
CN111953552B (zh) 数据流的分类方法和报文转发设备
CN116545936B (zh) 拥塞控制方法、系统、装置、通信设备及存储介质
JP5862811B1 (ja) 評価装置、評価方法、及びプログラム
KR20220029142A (ko) Sdn 컨트롤러 서버 및 이의 sdn 기반 네트워크 트래픽 사용량 분석 방법
US20210336960A1 (en) A System and a Method for Monitoring Traffic Flows in a Communications Network
WO2018167092A1 (en) Communications network performance
JP2007228217A (ja) トラフィック判定装置、トラフィック判定方法、及びそのプログラム
EP4404527A1 (en) Service scheduling method and apparatus, device and computer readable storage medium
US20150304200A1 (en) Traffic information collection system and collection control node
US20130191552A1 (en) Methods and systems for mapping flow paths in computer networks
JP2009296158A (ja) 通信データ統計装置および通信データ統計方法
US11831524B2 (en) Network monitoring device and connection counting method
JP2019161509A (ja) 通信制御システム、通信制御方法及びコンピュータープログラム
JP2018170639A (ja) 通信解析装置、通信解析方法およびプログラム
JP2017183959A (ja) 通信システム、コントローラ、方法およびプログラム