JP2018195929A - トラフィック管理装置、トラフィック管理方法およびプログラム - Google Patents

トラフィック管理装置、トラフィック管理方法およびプログラム Download PDF

Info

Publication number
JP2018195929A
JP2018195929A JP2017096983A JP2017096983A JP2018195929A JP 2018195929 A JP2018195929 A JP 2018195929A JP 2017096983 A JP2017096983 A JP 2017096983A JP 2017096983 A JP2017096983 A JP 2017096983A JP 2018195929 A JP2018195929 A JP 2018195929A
Authority
JP
Japan
Prior art keywords
traffic
abnormality
model
value
degree
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017096983A
Other languages
English (en)
Other versions
JP6993559B2 (ja
Inventor
山下 真司
Shinji Yamashita
真司 山下
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2017096983A priority Critical patent/JP6993559B2/ja
Priority to US15/971,012 priority patent/US10536343B2/en
Publication of JP2018195929A publication Critical patent/JP2018195929A/ja
Application granted granted Critical
Publication of JP6993559B2 publication Critical patent/JP6993559B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】トラフィック異常の検出精度を高める。【解決手段】トラフィック管理装置1は、記憶部1aと制御部1bを含む。記憶部1aは、トラフィックの履歴情報を記憶する。制御部1bは、記憶部1aに記憶されているトラフィックの履歴情報にもとづいてベースモデルを選択してトラフィックモデルm1を生成し、トラフィックモデルm1からトラフィックの予測値pr1を算出する。また、制御部1bは、トラフィックの予測値pr1と、トラフィックの実測値pr2との差分(乖離度)にもとづいてトラフィック異常を算出する。そして、制御部1bは、算出したトラフィック異常と、予め設定した閾値とを比較し、異常判定処理を行う。トラフィック異常が閾値を超過する場合は異常有りと判定される。【選択図】図1

Description

本発明は、トラフィック管理装置、トラフィック管理方法およびプログラムに関する。
近年、仮想ネットワークやIoT(Internet of Things)等の普及に伴い、ネットワークのトラフィックは増加の一途を辿っている。ネットワーク運用者は、管理下にあるネットワークが正常に動作しているかを把握するため、トラフィック情報を定期的に収集し、何らかの異常(トラフィック急増・急減等)が発生した際には、早期に異常を検出することが求められる。
特開2013−150083号公報 特開2011−244098号公報
現在用いられているトラフィック監視技術は、トラフィック流量と、固定的な閾値とを比較し、閾値を超過すると異常有りと検出するものである。しかし、このような固定閾値ベースのトラフィック異常検出では、誤検知することも多い。
例えば、ソフトウェアのアップデートや回線加入者の増加等に伴って生じるトラフィック流量の増加を異常有りと判定してしまう可能性がある。また、トラフィック流量に異常は無くても、トラフィックの変動周期が早いケース等の異常トラフィックを正常と誤判定してしまう可能性がある。
1つの側面では、本発明は、トラフィック異常の検出精度を高めたトラフィック管理装置、トラフィック管理方法およびプログラムを提供することを目的とする。
上記課題を解決するために、トラフィック管理装置が提供される。トラフィック管理装置は、記憶部と制御部を備える。記憶部は、トラフィックの履歴情報を記憶する。制御部は、履歴情報にもとづきベースモデルを選択してトラフィックモデルを生成し、トラフィックモデルからトラフィックの予測値を求め、予測値と、トラフィックの実測値とにもとづいて、トラフィック異常を検出する。
また、上記課題を解決するために、コンピュータが上記トラフィック管理装置と同様の制御を実行するトラフィック管理方法が提供される。
さらに、上記課題を解決するために、コンピュータに上記トラフィック管理装置と同様の制御を実行させるプログラムが提供される。
1側面によれば、トラフィック異常の検出精度を高めることが可能になる。
トラフィック管理装置の構成の一例を示す図である。 ネットワークシステムの構成の一例を示す図である。 フローテーブルの構成の一例を示す図である。 トラフィック管理装置のハードウェア構成の一例を示す図である。 トラフィック管理装置の機能ブロックの一例を示す図である。 急増トラフィックが発生するケースにおける異常度判定の一例を示す図である。 周期が異なるトラフィックが発生するケースにおける異常度判定の一例を示す図である。 周期的に急増トラフィックが発生するケースにおける異常度判定の一例を示す図である。 周期成分とトレンド成分を含むトラフィックに対し、ある周期のトラフィックが少量のケースにおける異常度判定の一例を示す図である。 周期成分とトレンド成分を含むトラフィックに対し、一時的に大量トラフィックが発生するケースにおける異常度判定の一例を示す図である。 トラフィック学習部の動作を示すフローチャートである。 トラフィック学習部の動作を具体例で説明するための図である。 トラフィック学習部の動作を具体例で説明するための図である。 トラフィックモデル更新制御の動作シーケンスの一例を示す図である。 トラフィックモデル更新制御によって異常度検出精度が向上する例を説明するための図である。 トラフィックモデル更新制御によって異常度検出精度が向上する例を説明するための図である。 トラフィックモデル更新制御によって異常度検出精度が向上する例を説明するための図である。 トラフィック管理装置の構成の一例を示す図である。 トラフィックデマンドを事前に受け付けて異常度判定を行う動作の一例を示す図である。
以下、本実施の形態について図面を参照して説明する。
[第1の実施の形態]
第1の実施形態のトラフィック管理装置について図1を用いて説明する。図1はトラフィック管理装置の構成の一例を示す図である。トラフィック管理装置1は、記憶部1aと制御部1bを含み、ネットワーク2を流れるトラフィックの管理制御を行う。
記憶部1aは、トラフィックの履歴情報(以下、トラフィック情報)を記憶する。制御部1bは、トラフィック情報にもとづきベースモデル(時系列モデル)を選択してトラフィックモデルを生成する。そして、制御部1bは、トラフィックモデルからトラフィックの予測値を求め、予測値と、トラフィックの実測値とにもとづいて、トラフィック異常を検出する。
図1に示す例を用いて制御部1bの動作について説明する。グラフG1、G2の横軸は時間である。グラフG1の縦軸はパケット流量、グラフG2の縦軸は異常度である。
〔ステップS1〕制御部1bは、記憶部1aに記憶されているトラフィック情報にもとづいて時系列モデルを選択してトラフィックモデルm1を生成する。
〔ステップS2〕制御部1bは、トラフィックモデルm1からトラフィックの予測値pr1を求める。
〔ステップS3〕制御部1bは、トラフィックの予測値pr1と、トラフィックの実測値pr2との差分(乖離度)にもとづいてトラフィック異常を検出する。
〔ステップS4〕制御部1bは、算出したトラフィック異常の値と、予め設定した閾値とを比較し、異常判定処理を行う。制御部1bは、トラフィック異常の値が閾値を超過する場合は異常有りと判定する。
このように、トラフィック管理装置1は、トラフィック情報に基づきベースモデルを選択してトラフィックモデルを生成し、トラフィックモデルから求めた予測値と、実測値とにもとづいて、トラフィック異常を検出する。これにより、トラフィック管理装置1は、トラフィック異常度の検出精度を高めることが可能になる。
[第2の実施の形態]
次に第2の実施の形態について説明する。まず、ネットワーク構成について説明する。図2はネットワークシステムの構成の一例を示す図である。ネットワークシステム1−1は、ホストh1、・・・、h5、スイッチ(通信ノード)sw1、・・・、sw5およびトラフィック管理装置10を備える。スイッチsw1、・・・、sw5はそれぞれ、フローテーブルf1、・・・、f5を有する。
フローテーブルf1、・・・、f5は、ホスト間を結ぶトラフィックの流れであるフロー単位にもとづく統計情報(トラフィック情報)が登録されるテーブルである。統計情報は例えば、一定期間のパケット流量である。
各構成部の接続関係を記すと、ホストh1(アドレス:10.1.1.1)は、スイッチsw1のインタフェースp2に接続し、ホストh2(アドレス:10.2.2.2)は、スイッチsw1のインタフェースp3に接続する。ホストh3(アドレス:10.3.3.3)は、スイッチsw1のインタフェースp4に接続する。
スイッチsw1のインタフェースp1と、スイッチsw2のインタフェースp1が接続し、スイッチsw2のインタフェースp3と、スイッチsw4のインタフェースp1が接続する。
スイッチsw2のインタフェースp2と、スイッチsw3のインタフェースp1が接続し、スイッチsw3のインタフェースp2と、スイッチsw5のインタフェースp1が接続する。スイッチsw4のインタフェースp2と、スイッチsw5のインタフェースp2が接続する。
ホストh4(アドレス:10.4.4.4)は、スイッチsw5のインタフェースp3に接続し、ホストh5(アドレス:10.5.5.5)は、スイッチsw5のインタフェースp4に接続する。
一方、ホストh1とホストh4は、スイッチsw1、sw2、sw3、sw5を通過するフローfw1で通信が行われている。ホストh2とホストh4は、スイッチsw1、sw2、sw3、sw5を通過するフローfw2で通信が行われている。ホストh3とホストh5は、スイッチsw1、sw2、sw4、sw5を通過するフローfw3で通信が行われている。
トラフィック管理装置10は、スイッチsw1、・・・、sw5の少なくとも1つに接続し、所定のスイッチに統計情報リクエストを送信し、該スイッチから返信される統計情報リプライを受信する。
図3はフローテーブルの構成の一例を示す図である。スイッチsw1に含まれるフローテーブルf1について示す。フローテーブルf1は、項目として、フロー番号、フロー識別子、アクション、統計情報および異常度を有する(その他のスイッチが有するフローテーブルも同様な構成である)。なお、アクションとは、OpenFlowプロトコルにもとづきパケットの処理を記述したフローエントリの1つである。
図3では例えば、フローfw2に対し、フロー識別子はDst IP=10.2.2.2、アクションはOutput=p3、統計情報=500byte、異常度=100(異常)になっている。異常度は、トラフィック管理装置10で判定されて所定のスイッチに通知され、通知を受けたスイッチ内のフローテーブルに登録される。
なお、上記では、スイッチ内のフローテーブルにもとづいて、トラフィック管理装置10が統計情報を取得するとしたが、MIB(Management Information Base)を通じて統計情報を取得してもよい。
<ハードウェア構成>
図4はトラフィック管理装置のハードウェア構成の一例を示す図である。トラフィック管理装置10は、プロセッサ100によって装置全体が制御されている。すなわち、プロセッサ100は、トラフィック管理装置10の制御部として機能する。
プロセッサ100には、バス103を介して、メモリ101および複数の周辺機器が接続されている。プロセッサ100は、マルチプロセッサであってもよい。プロセッサ100は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)、DSP(Digital Signal Processor)、ASIC(Application Specific Integrated Circuit)、またはPLD(Programmable Logic Device)である。またプロセッサ100は、CPU、MPU、DSP、ASIC、PLDのうちの2以上の要素の組み合わせであってもよい。
メモリ101は、トラフィック管理装置10の主記憶装置として使用される。メモリ101には、プロセッサ100に実行させるOS(Operating System)のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。また、メモリ101には、プロセッサ100による処理に要する各種データが格納される。
また、メモリ101は、トラフィック管理装置10の補助記憶装置としても使用され、OSのプログラム、アプリケーションプログラム、および各種データが格納される。メモリ101は、補助記憶装置として、フラッシュメモリやSSD(Solid State Drive)等の半導体記憶装置やHDD(Hard Disk Drive)等の磁気記録媒体を含んでもよい。
バス103に接続されている周辺機器としては、入出力インタフェース102およびネットワークインタフェース104がある。入出力インタフェース102は、プロセッサ100からの命令にしたがってトラフィック管理装置10の状態を表示する表示装置として機能するモニタ(例えば、LED(Light Emitting Diode)やLCD(Liquid Crystal Display)等)が接続されている。
また、入出力インタフェース102は、キーボードやマウス等の情報入力装置を接続可能であって、情報入力装置から送られてくる信号をプロセッサ100に送信する。
さらにまた、入出力インタフェース102は、周辺機器を接続するための通信インタフェースとしても機能する。例えば、入出力インタフェース102は、レーザ光等を利用して、光ディスクに記録されたデータの読み取りを行う光学ドライブ装置を接続することができる。光ディスクは、光の反射によって読み取り可能なようにデータが記録された可搬型の記録媒体である。光ディスクには、DVD(Digital Versatile Disc)、DVD−RAM(Random Access Memory)、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(Rewritable)等がある。
また、入出力インタフェース102は、メモリ装置やメモリリーダライタを接続することができる。メモリ装置は、入出力インタフェース102との通信機能を搭載した記録媒体である。メモリリーダライタは、メモリカードへのデータの書き込み、またはメモリカードからのデータの読み出しを行う装置である。メモリカードは、カード型の記録媒体である。
ネットワークインタフェース104は、図2で上述したスイッチや、その他のネットワーク機器と接続するためのインタフェース処理を行う。ネットワークインタフェース104は、例えば、NIC(Network Interface Card)、無線LAN(Local Area Network)カード等が使用できる。ネットワークインタフェース104で受信されたデータは、メモリ101やプロセッサ100に出力される。
以上のようなハードウェア構成によって、トラフィック管理装置10の処理機能を実現することができる。例えば、トラフィック管理装置10は、プロセッサ100がそれぞれ所定のプログラムを実行することで、本発明のトラフィック管理制御を行うことができる。
トラフィック管理装置10は、例えば、コンピュータで読み取り可能な記録媒体に記録されたプログラムを実行することにより、本発明の処理機能を実現する。トラフィック管理装置10に実行させる処理内容を記述したプログラムは、様々な記録媒体に記録しておくことができる。
例えば、トラフィック管理装置10に実行させるプログラムを補助記憶装置に格納しておくことができる。プロセッサ100は、補助記憶装置内のプログラムの少なくとも一部を主記憶装置にロードし、プログラムを実行する。
また、光ディスク、メモリ装置、メモリカード等の可搬型記録媒体に記録しておくこともできる。可搬型記録媒体に格納されたプログラムは、例えば、プロセッサ100からの制御により、補助記憶装置にインストールされた後、実行可能となる。またプロセッサ100が、可搬型記録媒体から直接プログラムを読み出して実行することもできる。
<機能ブロック>
図5はトラフィック管理装置の機能ブロックの一例を示す図である。トラフィック管理装置10は、統計情報(トラフィック情報)を学習して、トラフィック変動に応じた時系列モデルを選択してトラフィックモデルを生成する。そしてトラフィック管理装置10は、該トラフィックモデルから予測値を求め、予測値と実測値との差分から異常度を算出し、閾値処理で異常度判定を行う。
トラフィック管理装置10は、メッセージ送受信部11、統計情報保持部12、トラフィック学習部13、トラフィック予測部14、異常度算出部15および異常度判定部16を備える。
メッセージ送受信部11は、図2に示したスイッチに接続し、メッセージの送受信として、統計情報リクエストの送信および統計情報リプライの受信を行う。統計情報保持部12は、ネットワーク内の所定のスイッチから取得したトラフィック情報を保持する。
トラフィック学習部13は、統計情報保持部12が蓄積するトラフィック情報から、トラフィックの変動を時系列にモデル化した時系列モデルを自動的に選択する。そして、トラフィック学習部13は、時系列モデルのパラメータ値を設定してトラフィックモデルを生成する。
トラフィックモデルとしては、例えば、AR(Auto Regressive:自己回帰)によるトラフィックモデル、ARIMA(Auto Regressive Integrated Moving Average:自己回帰和分移動平均)によるトラフィックモデル、回帰直線によるトラフィックモデル等がある。
トラフィック予測部14は、トラフィック学習部13が生成したトラフィックモデルを用いて、トラフィック予測値を求める。異常度算出部15は、トラフィックの予測値と実測値とを比較し、両者の差分から異常度を算出する。異常度判定部16は、算出された異常度が所定の閾値を超過した場合に異常有りと判定する(超過しない場合は異常無し(正常)と判定する)。
なお、上記のトラフィック学習部13、トラフィック予測部14、異常度算出部15および異常度判定部16の機能は、図4に示したプロセッサ100によって実行される。また、統計情報保持部12は、図4に示したメモリ101に対応し、メッセージ送受信部11の機能は、ネットワークインタフェース104によって実行される。なお、各構成部を論理回路等によってハードウェア回路で構成することもできる。
また、図1に示した記憶部1aの機能は、統計情報保持部12で実現され、図1に示した制御部1bの機能は、トラフィック学習部13、トラフィック予測部14、異常度算出部15および異常度判定部16で実現される。
<異常度の判定例>
次に異常度の判定処理について、図6から図10を用いて具体例を挙げながら説明する。最初に、異常度の判定例として、急増トラフィックが発生するケースについて説明する。図6は急増トラフィックが発生するケースにおける異常度判定の一例を示す図である。グラフg1、g2の横軸は時間である。グラフg1の縦軸はパケット流量(Mbps)、グラフg2の縦軸は異常度である。
また、波形k1はトラフィックモデルの学習データ、波形k2はトラフィックの予測値、波形k3はトラフィックの実測値、波形k4は異常度である。
〔ステップS11〕トラフィックの学習期間において、トラフィック学習部13は、統計情報保持部12が蓄積するトラフィック情報にもとづいて、時系列モデルとしてARモデルを選択する(定常(平均値が一定)で周期的なデータにはARモデルが選択される)。そして、トラフィック学習部13は、ARモデルの次数と係数を算出して、ARによるトラフィックモデル(波形k1)を生成する。
ARによるトラフィックモデルをx(t)とすると、x(t)=β1(t−1)+β2(t−2)+・・・+βn(t−n)と表せる。トラフィック学習部13は、例えば、ARモデルの次数を7とすると、x(t)=β1(t−1)+β2(t−2)+・・・+β7(t−7)となる。また、トラフィック学習部13は、係数について例えば、β1=−0.025、β2=−0.35、・・・、β7=0.40と算出する。
〔ステップS12〕トラフィックの予測期間において、トラフィック予測部14は、トラフィック学習部13で生成されたARによるトラフィックモデルから、所定時刻(所定サンプリング点)においてトラフィックの予測値(波形k2)を求める。
なお、予測値を求める場合、例えば、学習期間で生成されたトラフィックモデルを、将来の所定期間中のトラフィック量になるものとみなし、該所定期間中に予測しうるトラフィック量の変動にもとづいて適応的に修正する。そして、修正後のモデルに対して所定時刻でサンプリングしたトラフィック量を予測値とする。
〔ステップS13〕異常度算出部15は、トラフィックの予測値(波形k2)と、予測期間において統計情報保持部12で蓄積されたトラフィックの実測値(波形k3)とにもとづいて異常度を算出する。例えば、以下のように定義される式(1)で異常度を算出する。
異常度=((実測値)−(予測値))2・・・(1)
または、異常度算出部15は、以下の式(2)を用いて異常度を算出してもよい。
異常度=(((実測値)−(予測値))/(予測値))2・・・(2)
〔ステップS14〕異常度判定部16は、算出された異常度と、閾値とを比較し、異常度が閾値を超過する場合は異常有りと判定する。例えば、閾値を20とすると、図6の例では、算出された異常度は閾値を超過するため異常有りと判定される。
次に異常度の判定例として、周期が異なる(周期が急変する)トラフィックが発生するケースについて説明する。周期が異なるトラフィックが発生するケースの場合で異常トラフィックのものとしては、例えば、トラフィックの変動周期が早くなる経路フラッピングがある。経路フラッピングとは、ルータ内部の経路選択処理等の負荷が大きくなり、パケット転送に支障をきたす現象である。
図7は周期が異なるトラフィックが発生するケースにおける異常度判定の一例を示す図である。グラフg11、g12の横軸は時間である。グラフg11の縦軸はパケット流量(Mbps)、グラフg12の縦軸は異常度である。また、波形k11はトラフィックモデルの学習データ、波形k12はトラフィックの予測値、波形k13はトラフィックの実測値、波形k14は異常度である。
〔ステップS21〕トラフィックの学習期間において、トラフィック学習部13は、統計情報保持部12が蓄積するトラフィック情報にもとづいて、時系列モデルとしてARモデルを選択し、波形k11のARによるトラフィックモデルを生成する。
〔ステップS22〕トラフィックの予測期間において、トラフィック予測部14は、トラフィック学習部13で生成されたARによるトラフィックモデルからトラフィックの予測値(波形k12)を求める。
〔ステップS23〕異常度算出部15は、トラフィックの予測値(波形k12)と、予測期間において統計情報保持部12で蓄積されたトラフィックの実測値(波形k13)とにもとづいて、上述の式(1)または式(2)により異常度を算出する。
〔ステップS24〕異常度判定部16は、算出された異常度と、閾値とを比較し、異常度が閾値を超過する場合は異常有りと判定する。図7の例では、算出された異常度は、予め設定された閾値(例えば、20)を超過するため異常有りと判定される。
上記のような、周期が異なるトラフィックが発生するケースにおいて、図7の例では、予測される変動周期を外れているため(例えば、経路フラッピングが起きて予測される変動周期が外れる場合)、異常有りと判定されている。
次に異常度の判定例として、周期的に急増トラフィックが発生するケースについて説明する。図8は周期的に急増トラフィックが発生するケースにおける異常度判定の一例を示す図である。例えば、2週間毎にデータバックアップが行われてトラフィックが急増するものとする(図中の1つの山状の波形の時間が1週間とする)。
グラフg21、g22の横軸は時間である。グラフg21の縦軸はパケット流量(Mbps)、グラフg22の縦軸は異常度である。また、波形k21はトラフィックモデルの学習データ、波形k22はトラフィックの予測値、波形k23はトラフィックの実測値、波形k24は異常度である。
〔ステップS31〕トラフィックの学習期間において、トラフィック学習部13は、統計情報保持部12が蓄積するトラフィック情報にもとづいて、時系列モデルとしてARIMAモデルを選択する(非定常(平均値が一定でない)でかつ周期的なデータにはARIMAモデルが選択される)。そして、トラフィック学習部13は、ARIMAモデルの次数と係数を算出して、ARIMAによるトラフィックモデル(波形k21)を生成する。
〔ステップS32〕トラフィックの予測期間において、トラフィック予測部14は、トラフィック学習部13で生成されたARIMAによるトラフィックモデルからトラフィックの予測値(波形k22)を求める。
〔ステップS33〕異常度算出部15は、トラフィックの予測値(波形k22)と、予測期間において統計情報保持部12で蓄積されたトラフィックの実測値(波形k23)とにもとづいて、上述の式(1)または式(2)により異常度を算出する。
〔ステップS34〕異常度判定部16は、算出された異常度と、閾値とを比較し、異常度が閾値を超過する場合は異常有りと判定する。図8の例では、算出された異常度は、予め設定された閾値(例えば、20)を超過しないため異常無しと判定される。
上記のような、周期的に急増トラフィックが発生するケースにおいて、図8の例のように、拠点間のデータバックアップを2週間毎に実施するトラフィックのような、予測可能な急増トラフィックについては異常無しと判定されている。
次に異常度の判定例として、周期成分とトレンド成分を含むトラフィックにて、ある周期のトラフィックが少量のケースについて説明する。なお、トレンド成分とは、一定の増加傾向、または減少傾向のような所定期間に渡ってデータが示す一定の傾向のことである。
図9は周期成分とトレンド成分を含むトラフィックに対し、ある周期のトラフィックが少量のケースにおける異常度判定の一例を示す図である。グラフg31、g32の横軸は時間である。グラフg31の縦軸はパケット流量(Mbps)、グラフg32の縦軸は異常度である。また、波形k31はトラフィックモデルの学習データ、波形k32はトラフィックの予測値、波形k33はトラフィックの実測値、波形k34は異常度である。
〔ステップS41〕トラフィックの学習期間において、トラフィック学習部13は、統計情報保持部12が蓄積するトラフィック情報にもとづいて、時系列モデルとしてARモデルを選択し、波形k31のARによるトラフィックモデルを生成する。
〔ステップS42〕トラフィックの予測期間において、トラフィック予測部14は、トラフィック学習部13で生成されたARによるトラフィックモデルからトラフィックの予測値(波形k32)を求める。
〔ステップS43〕異常度算出部15は、トラフィックの予測値(波形k32)と、予測期間において統計情報保持部12で蓄積されたトラフィックの実測値(波形k33)とにもとづいて、式(1)または式(2)により異常度を算出する。
〔ステップS44〕異常度判定部16は、算出された異常度と、閾値とを比較し、異常度が閾値を超過する場合は異常有りと判定する。図9の例では、算出された異常度は、予め設定された閾値(例えば、20)を超過するため異常有りと判定される。
上記のような、周期成分とトレンド成分を含むトラフィックに対し、ある周期のトラフィックが少量のケースにおいて、図9の例では、ある周期のトラフィックが継続的に異常有りと判定されている。
次に異常度の判定例として、周期成分とトレンド成分を含むトラフィックにて、一時的に大量トラフィックが発生するケースについて説明する。図10は周期成分とトレンド成分を含むトラフィックに対し、一時的に大量トラフィックが発生するケースにおける異常度判定の一例を示す図である。
グラフg41、g42の横軸は時間である。グラフg41の縦軸はパケット流量(Mbps)、グラフg42の縦軸は異常度である。また、波形k41はトラフィックモデルの学習データ、波形k42はトラフィックの予測値、波形k43はトラフィックの実測値、波形k44は異常度である。
〔ステップS51〕トラフィックの学習期間において、トラフィック学習部13は、統計情報保持部12が蓄積するトラフィック情報にもとづいて、時系列モデルとしてARIMAモデルを選択し、波形k41のARIMAによるトラフィックモデルを生成する。
〔ステップS52〕トラフィックの予測期間において、トラフィック予測部14は、トラフィック学習部13で生成されたARIMAによるトラフィックモデルからトラフィックの予測値(波形k42)を求める。
〔ステップS53〕異常度算出部15は、トラフィックの予測値(波形k42)と、予測期間において統計情報保持部12で蓄積されたトラフィックの実測値(波形k43)とにもとづいて、式(1)または式(2)により異常度を算出する。
〔ステップS54〕異常度判定部16は、算出された異常度と、閾値とを比較し、異常度が閾値を超過する場合は異常有りと判定する。図10の例では、算出された異常度は、予め設定された閾値(例えば、20)を超過するため異常有りと判定される。
上記のような、周期成分とトレンド成分を含むトラフィックにて、一時的に大量トラフィックが発生するケースにおいて、図10の例では、異常有りと判定されている。
<トラフィック学習部の動作>
次にトラフィック学習部13の動作について、図11から図13を用いて説明する。図11はトラフィック学習部の動作を示すフローチャートである。
〔ステップS61〕トラフィック学習部13は、統計情報保持部12で蓄積されたトラフィック情報から、一定期間におけるトラフィック量の時系列データを抽出する。
〔ステップS62〕トラフィック学習部13は、時系列データ内の最大トラフィック量で正規化を行う。なお、トラフィック量は、回線の帯域によって変化するので統一して扱うために正規化が行われる。
〔ステップS63〕トラフィック学習部13は、正規化後のトラフィック量の回帰直線の傾きを算出する。
〔ステップS64〕トラフィック学習部13は、回帰直線の傾きは閾値を超過するか否かを判定する。超過する場合はステップS65へ処理が進み、超過しない場合はステップS69へ処理が進む。なお、ステップS64の処理により、回帰直線の傾きが閾値以下と判定された場合、トレンド成分は無視できるため、ARモデルへの適合性がステップS69以降で判定される。
〔ステップS65〕トラフィック学習部13は、正規化したトラフィック量から回帰直線成分を差し引いた時系列データの自己相関度(C1)が最大となるラグ(Tg1)を算出する。なお、ラグとは、元の時系列データに対する時間軸のずれ量である。
〔ステップS66〕トラフィック学習部13は、ラグ(Tg1)における自己相関度(C1)は閾値を超過するか否かを判定する。超過する場合はステップS67へ処理が進み、超過しない場合はステップS68へ処理が進む。
なお、ステップS66の処理では、自己相関度(C1)により周期性の有無を判定しており、自己相関度(C1)が閾値を超過する場合(周期性有りの場合)は、ARIMAによるトラフィックモデルが生成される。
〔ステップS67〕トラフィック学習部13は、ARIMAによるトラフィックモデルを生成する。なお、ARIMAモデルは、自己回帰の次数(p)、差分の次数(q)および移動平均の次数(r)のパラメータを持つ。トラフィック学習部13は、モデルの当てはまり度合いを示す尺度として、例えば、AIC(Akaike's Information Criterion(赤池情報基準))が最小となるように、該パラメータの値を設定する。
〔ステップS68〕トラフィック学習部13は、回帰直線によるトラフィックモデルを生成する。
〔ステップS69〕トラフィック学習部13は、時系列データの自己相関度(C2)が最大となるラグ(Tg2)を算出する。
〔ステップS70〕トラフィック学習部13は、ラグ(Tg2)における自己相関度(C2)は閾値を超過するか否かを判定する。超過する場合はステップS71へ処理が進み、超過しない場合はステップS72へ処理が進む。
なお、ステップS70の処理では、自己相関度(C2)により周期性の有無を判定しており、自己相関度(C2)が閾値を超過する場合(周期性有りの場合)は、ARによるトラフィックモデルが生成されることになる。
〔ステップS71〕トラフィック学習部13は、ARによるトラフィックモデルを生成する。この場合、トラフィック学習部13は、例えば、上記のAICが最小となるような自己回帰の次数(p)を選択する。
〔ステップS72〕トラフィック学習部13は、モデリング不可とし、ランダムノイズと判定する。
図12、図13はトラフィック学習部の動作を具体例で説明するための図である。図11に示したフローチャートのステップS61からステップS67に関連する処理を具体例で示す。グラフg51、g52、g53、g55の横軸は時間、グラフg54の横軸はラグである。グラフg51、g55の縦軸はパケット流量、グラフg52、g53の縦軸は正規化度、グラフg54の縦軸は自己相関度である。
〔グラフg51〕トラフィック学習部13は、統計情報保持部12で蓄積されたトラフィック情報から、一定期間におけるトラフィックの時系列データts1を抽出する。
〔グラフg52〕トラフィック学習部13は、時系列データts1内の最大トラフィック量で正規化を行い、回帰直線の傾きR1を算出する。
〔グラフg53〕トラフィック学習部13は、回帰直線の傾きR1が閾値を超過する場合、正規化したトラフィック量から回帰直線成分を差し引いた時系列データts2を生成する。
〔グラフg54〕トラフィック学習部13は、時系列データts2の自己相関度C1が最大となるラグTg1を検出し、自己相関度C1と閾値とを比較判定する。図の場合、ラグTg1=24において、自己相関度C1は閾値を超過していると判定される。
〔グラフg55〕トラフィック学習部13は、自己相関度C1は閾値を超過しているため、ARIMAによるトラフィックモデルm1aを生成する。
<トラフィックモデルの更新>
次にトラフィックモデル更新制御について、図14から図16を用いて説明する。トラフィックモデル更新制御は、異常度判定部16で異常有りと判定されたトラフィックモデルの異常データがトラフィック学習部13に通知される。そして、トラフィック学習部13では、実測データから異常データが除去された学習データにもとづいて、トラフィックモデルの更新(トラフィック学習の更新)を行うものである。
図14はトラフィックモデル更新制御の動作シーケンスの一例を示す図である。
〔ステップS81〕トラフィック収集周期T0において、トラフィック学習部13は、統計情報保持部12からトラフィック情報を取得し、学習データa0(トラフィックモデル)を生成する。
〔ステップS82〕トラフィック収集周期T1において、トラフィック予測部14は、学習データa0にもとづきトラフィックの予測データb1を求める。また、異常度算出部15は、統計情報保持部12からトラフィック情報(実測データc1)を取得する。
〔ステップS83〕トラフィック収集周期T1において、異常度算出部15は、予測データb1と実測データc1とにもとづいて異常度を算出し、異常度判定部16は、異常度判定処理を行う。
〔ステップS84〕トラフィック収集周期T1において、異常度判定部16は、異常度判定処理を行って異常有りと判定した異常データe1をトラフィック学習部13に通知する。
〔ステップS85〕トラフィック収集周期T1において、トラフィック学習部13は、実測データc1から異常データe1を除去したデータにもとづき、学習データa1(トラフィックモデル)を生成する。
〔ステップS86〕トラフィック収集周期T2において、トラフィック予測部14は、学習データa1にもとづき、トラフィックの予測データb2を求める。また、異常度算出部15は、統計情報保持部12からトラフィック情報(実測データc2)を取得する。
〔ステップS87〕トラフィック収集周期T2において、異常度算出部15は、予測データb2と実測データc2とにもとづいて異常度を算出し、異常度判定部16は、異常度判定処理を行う。
〔ステップS88〕トラフィック収集周期T2において、異常度判定部16は、異常度判定処理を行って異常有りと判定した異常データe2をトラフィック学習部13に通知する。
〔ステップS89〕トラフィック収集周期T2において、トラフィック学習部13は、実測データc2から異常データe2を除去したデータにもとづき、学習データa2(トラフィックモデル)を生成する。
なお、トラフィック学習部13は、実測データから異常データを除去してトラフィックモデルを生成する場合、異常データを除去することにより発生するトラフィックモデル上の欠損値を、異常データの近傍に位置する正常データを用いた近似曲線で補間する。これにより、更新によるトラフィックモデルを効率よく生成することができる。
図15、図16、図17はトラフィックモデル更新制御によって異常度検出精度が向上する例を説明するための図である。図15において、グラフg61、g62は、周期Tnで異常度判定処理が行われたときの状態を示している。グラフg61、g62の横軸は時間、グラフg61の縦軸はパケット流量(Mbps)、グラフg62の縦軸は異常度である。異常度算出部15は、グラフg61の予測値と実測値とにもとづいて異常度を算出し、異常度判定部16は、異常度が閾値を超過するため異常有りと判定している。
図16において、グラフg63、g64は、次周期T(n+1)で異常値を含めてARIMAモデルで予測した場合において、異常度判定処理が行われたときの状態を示している。グラフg63、g64の横軸は時間、グラフg63の縦軸はパケット流量(Mbps)、グラフg64の縦軸は異常度である。
グラフg63に示すように、予測値が異常値に引きずられて急峻なピーク波形が現れている。このため、グラフg64に示すように、予測値と実測値との乖離が大きくなるため、異常度判定部16では、本来は正常である状態を異常有りと誤判定している。
図17において、グラフg65、g66は、次周期T(n+1)で異常値を除去してARIMAモデルで予測した場合において、異常度判定処理が行われたときの状態を示している。グラフg65、g66の横軸は時間、グラフg65の縦軸はパケット流量(Mbps)、グラフg66の縦軸は異常度である。
グラフg65に示すように、予測値が異常値に引きずられることがなく、予測値と実測値との乖離は小さい。このため、グラフg66に示すように、予測値と実測値との乖離が小さくなるため、異常度判定部16では、異常無しとして正しく判定している。
このように、異常データを含めてトラフィックモデルの学習を行うと予測データの精度が低下する可能性がある。このため、トラフィック学習部13では、異常度判定部16で異常有りと判定されたトラフィックモデルの異常データを実測データから除去し、異常データを含まない学習データにもとづいて、トラフィックモデル更新する。これにより、予測データ(予測値)の精度を高めることができる。
なお、上記では、トラフィック学習部13は、異常有りと判定された異常データを実測値から除去したデータにもとづいてトラフィックモデルを更新するとした。これに対し、トラフィック学習部13において、異常データが発生した周期のデータを正常データも含めて除去し、該周期の1つ前の周期のデータにもとづいてトラフィックモデルを更新することもできる。
<トラフィックデマンドの事前受付>
次にトラフィックデマンド(トラフィック需要量)を事前に受け付けて異常度判定を行う場合について、図18、図19を用いて説明する。図18はトラフィック管理装置の構成の一例を示す図である。トラフィック管理装置10aは、メッセージ送受信部11、統計情報保持部12、トラフィック学習部13、トラフィック予測部14a、異常度算出部15、異常度判定部16およびトラフィックデマンド受付部17を備える。
トラフィックデマンド受付部17は、ネットワーク運用者から入力された予定されているトラフィックデマンドを事前に登録する。トラフィック予測部14aは、過去のトラフィック傾向から求められる予測値と、トラフィックデマンド受付部17に登録されたトラフィック量との合計を予測値とする。なお、その他の構成要素は図5と同様である。
図19はトラフィックデマンドを事前に受け付けて異常度判定を行う動作の一例を示す図である。グラフg71、g72の横軸は時間、グラフg71の縦軸はパケット流量、グラフg72の縦軸は異常度である。
〔ステップS91〕トラフィック予測部14aは、トラフィックデマンド受付部17に登録されたトラフィック量を、過去のトラフィック傾向から求められる予測値d1に重畳して、予測値d1aを求める。
〔ステップS92〕異常度算出部15は、実測値d2と、トラフィックデマンドを含めた予測値d1aとにもとづいて異常度を算出し、異常度判定部16は、異常度と閾値とを比較して異常度判定処理を行う。
トラフィックデマンドを受け付けずに異常度判定を行った場合、異常度E1となって閾値を超過する可能性があるが、トラフィック量がソフトウェアアップデート等により一時的に増加するものは異常トラフィックではないため誤判定となる。
一方、トラフィックデマンドを事前に受け付けて異常度判定を行った場合、異常度E2となって閾値を下回る。したがって、トラフィック量がソフトウェアアップデート等により一時的に増加するものは、異常トラフィックとみなさないように正しく判定できる。
このように、トラフィック管理装置10aは、トラフィックデマンドを事前に受け付けて異常度判定を行うことにより、正常な通信状態において生じるトラフィック変動を異常トラフィックとみなさないように判定することが可能になる。
以上説明したように、本発明によれば、トラフィック異常度の検出精度を高めることが可能になる。これにより、例えば、固定閾値ベースでは異常有りと判定してしまう変動トラフィックに対しても、過去のトラフィック傾向から予期される変動であれば正常と判定するので、ネットワーク運用者は誤判定に対応していた従前の作業負担を軽減することができる。
さらに、トラフィック量に異常はなくても、変動周期が早いトラフィックに対し、早期にネットワーク障害を検出することができるので、異常トラフィックの見逃しが無くなり、障害規模の拡大防止が可能になる。
上記で説明した本発明のトラフィック管理装置1、10の処理機能は、コンピュータによって実現することができる。この場合、トラフィック管理装置1、10が有すべき機能の処理内容を記述したプログラムが提供される。そのプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。
処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、磁気記憶装置、光ディスク、光磁気記録媒体、半導体メモリ等がある。磁気記憶装置には、ハードディスク装置(HDD)、フレキシブルディスク(FD)、磁気テープ等がある。光ディスクには、DVD、DVD−RAM、CD−ROM/RW等がある。光磁気記録媒体には、MO(Magneto Optical disk)等がある。
プログラムを流通させる場合、例えば、そのプログラムが記録されたDVD、CD−ROM等の可搬型記録媒体が販売される。また、プログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することもできる。
プログラムを実行するコンピュータは、例えば、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、自己の記憶装置に格納する。そして、コンピュータは、自己の記憶装置からプログラムを読み取り、プログラムに従った処理を実行する。なお、コンピュータは、可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することもできる。
また、コンピュータは、ネットワークを介して接続されたサーバコンピュータからプログラムが転送される毎に、逐次、受け取ったプログラムに従った処理を実行することもできる。また、上記の処理機能の少なくとも一部を、DSP、ASIC、PLD等の電子回路で実現することもできる。
以上、実施の形態を例示したが、実施の形態で示した各部の構成は同様の機能を有する他のものに置換することができる。また、他の任意の構成物や工程が付加されてもよい。さらに、前述した実施の形態のうちの任意の2以上の構成(特徴)を組み合わせたものであってもよい。
1 トラフィック管理装置
1a 記憶部
1b 制御部
2 ネットワーク
G1、G2 グラフ
m1 トラフィックモデル
pr1 予測値
pr2 実測値

Claims (7)

  1. トラフィックの履歴情報を記憶する記憶部と、
    前記履歴情報にもとづきベースモデルを選択してトラフィックモデルを生成し、前記トラフィックモデルから前記トラフィックの予測値を求め、前記予測値と、前記トラフィックの実測値とにもとづいて、トラフィック異常を検出する制御部と、
    を有するトラフィック管理装置。
  2. 前記制御部は、前記履歴情報の所定期間のトラフィック量の回帰直線の傾きにもとづいて、自己回帰モデル、自己回帰和分移動平均モデル、回帰直線モデルのうち1つを、前記ベースモデルとして選択する請求項1記載のトラフィック管理装置。
  3. 前記制御部は、第1の周期で生成した第1のトラフィックモデルにもとづいて前記トラフィック異常の検出により異常値を検出した場合、前記第1の周期の次の第2の周期で取得した第1の履歴情報から前記異常値を除去し、前記異常値が除去された第2の履歴情報にもとづいて、前記第2の周期における第2のトラフィックモデルを生成し、前記第2のトラフィックモデルから前記予測値を求める請求項1記載のトラフィック管理装置。
  4. 前記制御部は、前記第2のトラフィックモデルの生成時、前記異常値を除去することにより発生する欠損値を、前記異常値の近傍に位置する正常値を用いた近似曲線で補間する請求項3記載のトラフィック管理装置。
  5. 前記制御部は、事前に予定されているトラフィック需要量を取得し、前記トラフィック需要量を含めた前記予測値を求める請求項1記載のトラフィック管理装置。
  6. コンピュータが、
    トラフィックの履歴情報をメモリに蓄積し、
    前記履歴情報にもとづきベースモデルを選択してトラフィックモデルを生成し、前記トラフィックモデルから前記トラフィックの予測値を求め、前記予測値と、前記トラフィックの実測値とにもとづいて、トラフィック異常を検出する、
    トラフィック管理方法。
  7. コンピュータに
    トラフィックの履歴情報をメモリに蓄積し、
    前記履歴情報にもとづきベースモデルを選択してトラフィックモデルを生成し、前記トラフィックモデルから前記トラフィックの予測値を求め、前記予測値と、前記トラフィックの実測値とにもとづいて、トラフィック異常を検出する、
    処理を実行させるプログラム。
JP2017096983A 2017-05-16 2017-05-16 トラフィック管理装置、トラフィック管理方法およびプログラム Active JP6993559B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2017096983A JP6993559B2 (ja) 2017-05-16 2017-05-16 トラフィック管理装置、トラフィック管理方法およびプログラム
US15/971,012 US10536343B2 (en) 2017-05-16 2018-05-04 Traffic management apparatus and traffic management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017096983A JP6993559B2 (ja) 2017-05-16 2017-05-16 トラフィック管理装置、トラフィック管理方法およびプログラム

Publications (2)

Publication Number Publication Date
JP2018195929A true JP2018195929A (ja) 2018-12-06
JP6993559B2 JP6993559B2 (ja) 2022-01-13

Family

ID=64272646

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017096983A Active JP6993559B2 (ja) 2017-05-16 2017-05-16 トラフィック管理装置、トラフィック管理方法およびプログラム

Country Status (2)

Country Link
US (1) US10536343B2 (ja)
JP (1) JP6993559B2 (ja)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109768995A (zh) * 2019-03-06 2019-05-17 国网甘肃省电力公司电力科学研究院 一种基于循环预测和学习的网络流量异常检测方法
JP2021033711A (ja) * 2019-08-26 2021-03-01 日本電信電話株式会社 異常検知装置、異常検知方法、及びプログラム
JPWO2021053966A1 (ja) * 2019-09-17 2021-03-25
EP3913885A1 (en) 2020-05-19 2021-11-24 Fujitsu Limited Anomaly detection method and program
EP3934175A1 (en) 2020-07-01 2022-01-05 Fujitsu Limited Anomaly detection method and anomaly detection program
KR102360051B1 (ko) * 2020-08-04 2022-02-08 국방과학연구소 시나리오 저작을 통한 사이버전 훈련 및 검증 시스템에 백그라운드 트래픽을 제공하는 방법 및 장치, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램
EP4057146A1 (en) 2021-03-08 2022-09-14 Fujitsu Limited Information processing method, information processing program, and information processing device
US11546785B2 (en) 2019-09-27 2023-01-03 Nec Corporation Server, radio communication system, and control method

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019187296A1 (ja) * 2018-03-29 2019-10-03 日本電気株式会社 通信トラヒック分析装置、通信トラヒック分析方法、プログラム及び記録媒体
JP6922852B2 (ja) * 2018-06-12 2021-08-18 株式会社デンソー 電子制御装置および電子制御システム
US10958537B2 (en) 2019-01-18 2021-03-23 Juniper Networks, Inc. Method for spatio-temporal monitoring
US11169506B2 (en) * 2019-06-26 2021-11-09 Cisco Technology, Inc. Predictive data capture with adaptive control
CN110460498A (zh) * 2019-08-22 2019-11-15 北京世纪互联宽带数据中心有限公司 一种流量监控方法及系统
CN110784458B (zh) * 2019-10-21 2023-04-18 新华三信息安全技术有限公司 流量异常检测方法、装置及网络设备
JP2023064173A (ja) * 2021-10-26 2023-05-11 富士通株式会社 データ処理装置、データ処理方法、及びデータ処理プログラム

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07131652A (ja) * 1993-10-29 1995-05-19 Canon Inc 画像形成装置
JP2006238043A (ja) * 2005-02-24 2006-09-07 Mitsubishi Electric Corp ネットワーク異常検出装置
JP2008141641A (ja) * 2006-12-05 2008-06-19 Nippon Telegr & Teleph Corp <Ntt> 異常トラヒック検知装置および方法
JP2008147812A (ja) * 2006-12-07 2008-06-26 Kddi Corp トラヒック量変動の上限値を予測するトラヒック量予測装置、プログラム及び方法
JP2011244098A (ja) * 2010-05-14 2011-12-01 Nippon Telegr & Teleph Corp <Ntt> トラフィック分析システム及びトラフィック分析方法
JP5369246B1 (ja) * 2013-07-10 2013-12-18 株式会社日立パワーソリューションズ 異常予兆診断装置及び異常予兆診断方法
US20140222997A1 (en) * 2013-02-05 2014-08-07 Cisco Technology, Inc. Hidden markov model based architecture to monitor network node activities and predict relevant periods
JP2015158861A (ja) * 2014-02-25 2015-09-03 Kddi株式会社 通信トラヒック予測装置およびプログラム
JP2016019197A (ja) * 2014-07-09 2016-02-01 Kddi株式会社 通信トラヒック予測装置およびプログラム
JP2016220060A (ja) * 2015-05-21 2016-12-22 富士通株式会社 帯域予測プログラム、帯域予測装置、および帯域予測方法
JP2017174234A (ja) * 2016-03-24 2017-09-28 エヌ・ティ・ティ・コミュニケーションズ株式会社 モデル判定装置、モデル判定方法、及びプログラム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3779176B2 (ja) * 2001-05-16 2006-05-24 富士通株式会社 光伝送装置及び波長多重通信システム
JP5011830B2 (ja) * 2006-06-09 2012-08-29 富士通セミコンダクター株式会社 データ処理方法、データ処理プログラム、該プログラムを記録した記録媒体およびデータ処理装置
US20080025049A1 (en) * 2006-07-25 2008-01-31 Lv Power Ltd. Wide Input Range Power Supply
JP2010531553A (ja) 2007-03-30 2010-09-24 ネットクオス・インコーポレーテッド ネットワーク異常検出のための統計的方法およびシステム
US8089939B1 (en) * 2007-05-18 2012-01-03 Marvell International Ltd. Predictive roaming by a wireless LAN client station
JP5711675B2 (ja) 2012-01-18 2015-05-07 日本電信電話株式会社 ネットワーク異常検出装置およびネットワーク異常検出方法
JP6145067B2 (ja) 2014-04-17 2017-06-07 日本電信電話株式会社 通信トラヒック予測装置及び方法及びプログラム
JP6423308B2 (ja) 2015-04-20 2018-11-14 日本電信電話株式会社 制御装置及び消費電力制御方法

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07131652A (ja) * 1993-10-29 1995-05-19 Canon Inc 画像形成装置
JP2006238043A (ja) * 2005-02-24 2006-09-07 Mitsubishi Electric Corp ネットワーク異常検出装置
JP2008141641A (ja) * 2006-12-05 2008-06-19 Nippon Telegr & Teleph Corp <Ntt> 異常トラヒック検知装置および方法
JP2008147812A (ja) * 2006-12-07 2008-06-26 Kddi Corp トラヒック量変動の上限値を予測するトラヒック量予測装置、プログラム及び方法
JP2011244098A (ja) * 2010-05-14 2011-12-01 Nippon Telegr & Teleph Corp <Ntt> トラフィック分析システム及びトラフィック分析方法
US20140222997A1 (en) * 2013-02-05 2014-08-07 Cisco Technology, Inc. Hidden markov model based architecture to monitor network node activities and predict relevant periods
JP5369246B1 (ja) * 2013-07-10 2013-12-18 株式会社日立パワーソリューションズ 異常予兆診断装置及び異常予兆診断方法
JP2015158861A (ja) * 2014-02-25 2015-09-03 Kddi株式会社 通信トラヒック予測装置およびプログラム
JP2016019197A (ja) * 2014-07-09 2016-02-01 Kddi株式会社 通信トラヒック予測装置およびプログラム
JP2016220060A (ja) * 2015-05-21 2016-12-22 富士通株式会社 帯域予測プログラム、帯域予測装置、および帯域予測方法
JP2017174234A (ja) * 2016-03-24 2017-09-28 エヌ・ティ・ティ・コミュニケーションズ株式会社 モデル判定装置、モデル判定方法、及びプログラム

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109768995A (zh) * 2019-03-06 2019-05-17 国网甘肃省电力公司电力科学研究院 一种基于循环预测和学习的网络流量异常检测方法
CN109768995B (zh) * 2019-03-06 2021-08-13 国网甘肃省电力公司电力科学研究院 一种基于循环预测和学习的网络流量异常检测方法
JP2021033711A (ja) * 2019-08-26 2021-03-01 日本電信電話株式会社 異常検知装置、異常検知方法、及びプログラム
WO2021039545A1 (ja) * 2019-08-26 2021-03-04 日本電信電話株式会社 異常検知装置、異常検知方法、及びプログラム
JP7351480B2 (ja) 2019-08-26 2023-09-27 日本電信電話株式会社 異常検知装置、異常検知方法、及びプログラム
JPWO2021053966A1 (ja) * 2019-09-17 2021-03-25
WO2021053966A1 (ja) * 2019-09-17 2021-03-25 日本電気株式会社 情報処理装置、パケット生成方法、システム、及びプログラム
JP7363907B2 (ja) 2019-09-17 2023-10-18 日本電気株式会社 情報処理装置、パケット生成方法、システム、及びプログラム
US11546785B2 (en) 2019-09-27 2023-01-03 Nec Corporation Server, radio communication system, and control method
EP3913885A1 (en) 2020-05-19 2021-11-24 Fujitsu Limited Anomaly detection method and program
JP7491049B2 (ja) 2020-05-19 2024-05-28 富士通株式会社 異常検出方法、及び異常検出プログラム
US11863418B2 (en) 2020-05-19 2024-01-02 Fujitsu Limited Anomaly detection method and storage medium
US11734256B2 (en) 2020-07-01 2023-08-22 Fujitsu Limited Anomaly detection method and non-transitory computer-readable recording medium
EP3934175A1 (en) 2020-07-01 2022-01-05 Fujitsu Limited Anomaly detection method and anomaly detection program
KR102360051B1 (ko) * 2020-08-04 2022-02-08 국방과학연구소 시나리오 저작을 통한 사이버전 훈련 및 검증 시스템에 백그라운드 트래픽을 제공하는 방법 및 장치, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램
US11616704B2 (en) 2021-03-08 2023-03-28 Fujitsu Limited Information processing method, storage medium, and information processing device
EP4057146A1 (en) 2021-03-08 2022-09-14 Fujitsu Limited Information processing method, information processing program, and information processing device

Also Published As

Publication number Publication date
US20180337832A1 (en) 2018-11-22
US10536343B2 (en) 2020-01-14
JP6993559B2 (ja) 2022-01-13

Similar Documents

Publication Publication Date Title
JP6993559B2 (ja) トラフィック管理装置、トラフィック管理方法およびプログラム
EP3133492B1 (en) Network service incident prediction
CN107925612B (zh) 网络监视系统、网络监视方法和计算机可读介质
US9354960B2 (en) Assigning virtual machines to business application service groups based on ranking of the virtual machines
Van Rossem et al. Profile-based resource allocation for virtualized network functions
US11770387B1 (en) Graph-based detection of lateral movement in computer networks
US20150326446A1 (en) Automatic alert generation
US20150281008A1 (en) Automatic derivation of system performance metric thresholds
JP2020004338A (ja) 監視装置,監視制御方法および情報処理装置
WO2020129610A1 (ja) 検知装置、検知方法、および、検知プログラム
JP2021125757A (ja) 通信装置、監視サーバ及びログ収集方法
EP4137815A1 (en) Failure prediction system
US11121951B2 (en) Network resiliency through memory health monitoring and proactive management
EP2917882A1 (en) Heuristics to quantify data quality
JP7437145B2 (ja) 監視サーバ、プログラム、及び監視方法
Du et al. ATOM: Automated tracking, orchestration and monitoring of resource usage in infrastructure as a service systems
US11314573B2 (en) Detection of event storms
JP7234942B2 (ja) ネットワーク監視システム、方法及びプログラム
WO2020261621A1 (ja) 監視システム、監視方法及びプログラム
JP2017224181A (ja) 監視対象システムを監視する分析装置
JP6269004B2 (ja) 監視支援プログラム、監視支援方法および監視支援装置
JP2016220060A (ja) 帯域予測プログラム、帯域予測装置、および帯域予測方法
US10394681B2 (en) Profiling operating efficiency deviations of a computing system
EP3934175B1 (en) Anomaly detection method and anomaly detection program
WO2024018512A1 (ja) 系判定装置及び系判定方法並びに系判定プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200213

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20200225

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20200225

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201221

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210112

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210312

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210803

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210928

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211109

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211122

R150 Certificate of patent or registration of utility model

Ref document number: 6993559

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150