JP2019029980A - トラフィック分析装置、トラフィック分析方法、トラフィック分析プログラム、及び通信システム - Google Patents

トラフィック分析装置、トラフィック分析方法、トラフィック分析プログラム、及び通信システム Download PDF

Info

Publication number
JP2019029980A
JP2019029980A JP2017151297A JP2017151297A JP2019029980A JP 2019029980 A JP2019029980 A JP 2019029980A JP 2017151297 A JP2017151297 A JP 2017151297A JP 2017151297 A JP2017151297 A JP 2017151297A JP 2019029980 A JP2019029980 A JP 2019029980A
Authority
JP
Japan
Prior art keywords
traffic
flow
switch
analysis
priority
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017151297A
Other languages
English (en)
Other versions
JP6928241B2 (ja
Inventor
山下 真司
Shinji Yamashita
真司 山下
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2017151297A priority Critical patent/JP6928241B2/ja
Priority to US16/051,163 priority patent/US10554511B2/en
Publication of JP2019029980A publication Critical patent/JP2019029980A/ja
Application granted granted Critical
Publication of JP6928241B2 publication Critical patent/JP6928241B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • H04L47/127Avoiding congestion; Recovering from congestion by using congestion prediction
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2425Traffic characterised by specific attributes, e.g. priority or QoS for supporting services specification, e.g. SLA
    • H04L47/2433Allocation of priorities to traffic types
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2483Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/28Flow control; Congestion control in relation to timing considerations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】制御対象ネットワークに分析対象のトラフィックが増大しても、適切にトラフィック分析することができる。【解決手段】通信装置間の通信において送受信されるデータを中継するスイッチのトラフィックを、フローごとに分析するトラフィック分析装置であって、前記スイッチから前記フローごとの単位時間あたりの通信量を取得する取得部と、前回取得した前回通信量に基づき予測した予測通信量と、今回取得した今回通信量との差異に基づく異常度を、前記フローごとに算出する算出部と、前記異常度と、前記フローのトポロジに応じたトポロジ値とに基づき、前記フローごとの優先度を算出し、前記算出したフローごとの優先度のうち、前記優先度の高いフローを選択し、前記選択したフローのトラフィックを分析する分析部とを有する。【選択図】図6

Description

本発明は、トラフィック分析装置、トラフィック分析方法、トラフィック分析プログラム、及びシステムに関する。
ネットワーク管理者は、ネットワークの異常を検出するため、例えば、定期的にトラフィックを収集し、分析する。ネットワーク管理者は、例えば、ネットワークの異常として、トラフィックの急激な増加を検出する。ネットワーク管理者は、当該トラフィックの急激な増加による通信の輻輳や、特定の装置の故障を防止するため、新たなスイッチの設置や、トラフィックを分散させるための通信経路の制御を行う。
トラフィックの分析に関する技術は、以下の特許文献1〜3に記載されている。
国際公開第2012/127894号 特開2002-16599号公報 特開2004-343203号公報
しかし、例えば、仮想ネットワークやIoT(Internet of Things)の普及に伴い、分析すべきトラフィックが増加している。そこで、例えば、トラフィック分析用のアプリケーションプログラムを用いてトラフィックの分析を行うことで、短期間に多くのトラフィックを分析することを可能としている。
しかし、ネットワーク管理者または分析用アプリケーションプログラムのいずれかにおいても、分析対象となるトラフィックが多く存在するネットワークにおいて、短期間で全てのトラフィックを分析することができない場合がある。
全てのトラフィックを分析するのに長時間を要すると、ネットワークへの対応に遅延が生じ、ネットワークの異常を改善するのに時間がかかってしまい、ネットワーク利用者へ提供するサービス品質が低下する。
そこで、一開示は、制御対象ネットワークに分析対象のトラフィックが増大しても、適切にトラフィック分析することができるトラフィック分析装置、トラフィック分析プログラム、トラフィック分析方法、及び通信システムを提供する。
一開示によると、通信装置間の通信において送受信されるデータを中継するスイッチのトラフィックを、フローごとに分析するトラフィック分析装置であって、前記スイッチから前記フローごとの単位時間あたりの通信量を取得する取得部と、前回取得した前回通信量に基づき予測した予測通信量と、今回取得した今回通信量との差異に基づく異常度を、前記フローごとに算出する算出部と、前記異常度と、前記フローのトポロジに応じたトポロジ値とに基づき、前記フローごとの優先度を算出し、前記算出したフローごとの優先度のうち、前記優先度の高いフローを選択し、前記選択したフローのトラフィックを分析する分析部とを有する。
一開示は、制御対象ネットワークに分析対象のトラフィックが増大しても、適切にトラフィック分析することができる。
図1は、通信システム10の構成例を示す図である。 図2は、制御装置300の構成例を示す図である。 図3は、スイッチ200の構成例を示す図である。 図4は、トラフィック分析処理の処理フローチャートの例を示す図である。 図5は、トラフィック分析処理の例を示す図である。 図6は、分析対象フロー選択処理S100の処理フローチャートの例を示す図である。 図7は、異常度算出処理S102の処理フローチャートの例を示す図である。 図8は、フロー関連情報テーブル324の例を示す図である。 図9は、異常度差異算出処理の処理フローチャートの例を示す図である。 図10は、優先度算出処理S104の処理フローチャートの例を示す図である。 図11は、トポロジ重要度決定処理S200の処理フローチャートの例を示す図である。 図12は、分析対象フローとして選択されるフローの例を示す図である。 図13は、第2の実施の形態における分析対象フロー選択処理S100の処理フローの例を示す図である。 図14は、第2の実施の形態における、分析対象フローとして選択されるフローの例を示す図である。 図15は、第3の実施の形態における分析対象フロー選択処理S100の処理フローの例を示す図である。 図16は、フロー集約分散処理S300の処理フローチャートの例を示す図である。 図17は、フローを集約する例を示す図である。 図18は、フローを分散する例を示す図である。
[第1の実施の形態]
第1の実施の形態について説明する。
<通信システムの構成例>
図1は、通信システム10の構成例を示す図である。通信システム10は、通信装置100−1〜5、スイッチ200−1〜5、及び制御装置300(トラフィック分析装置)を有する。通信装置100−1〜5(以下、通信装置100と呼ぶ場合がある)は、スイッチ200−1〜5(以下、スイッチ200と呼ぶ場合がある)を介して、通信相手である通信装置100にデータパケットを送信することで、通信を実現する。スイッチ200は、例えば、受信したパケットの送信元又は送信先のアドレスに基づき、受信したパケットを隣接するスイッチ200又は通信装置100に送信する。
通信装置100は、例えば、IP(Internet Protocol)アドレスを有し、IPアドレスを送信先、送信元としてパケットに含めることで、通信を実現する。図1におけるカッコ内の数値は、各通信装置100のIPアドレスの例を示す。
スイッチ200は、それぞれ複数のポートを有し、ポートを介して他のスイッチ200や通信装置100と接続する。スイッチ200は、通信経路を切り替える装置であり、例えば、レイヤ3スイッチ、レイヤ2スイッチ、又は、LAN(Local Area Network)スイッチである。
例えば、スイッチ200−1は、ポートP11〜P13を有する。ポートP11は、スイッチ200−2のポートP21と接続している。そして、ポートP12は通信装置100−1と、ポートP13は通信装置100−2と、それぞれ接続している。なお、スイッチ200−2はポートP21〜P24を、スイッチ200−3はポートP31〜P32を、スイッチ200−4はポートP41〜P43を、スイッチ200−5はポートP51〜P54を、それぞれ有する。
スイッチ200は、自装置のポートがどの装置と接続しているかを管理しており、受信したパケットの送信先に応じて、パケットを送信するポートを決定する。例えば、スイッチ200−2は、ポートP22又はP23で通信装置100−1宛てのパケットを受信すると、通信装置100−1にパケットを中継するスイッチ200−1と接続するポートP21から、受信したパケットを送信する。
そして、スイッチ200は、フロー単位でトラフィックを収集し、収集したトラフィックを制御装置300に送信する。フローは、例えば、通信の単位であり、パケットを受信したポート番号やパケットを送信したポート番号により分類される。また、フローは、スイッチ200が中継するパケットの送信元又は送信先によって分類されてもよい。すなわち、フローは、パケットを送信するポート番号、パケットを受信するポート番号、パケットの送信元、及びパケットの送信先の、少なくとも1つ、又はそれぞれの組み合わせによって決定する通信の単位である。
スイッチ200は、例えば、定期的に、又は制御装置300からの要求に応じて、トラフィックを制御装置300に送信する。トラフィックは、スイッチ200が収集する情報であり、例えば、単位時間あたりにフローを通過するデータ量(通信量)である。スイッチ200は、例えば、単位時間あたりにフローを通過するデータ量を収集し、内部メモリに記憶する。
制御装置300は、スイッチ200からフローごとのトラフィックを取得(受信)し、トラフィックの分析を行う。制御装置300は、例えば、定期的にトラフィック分析を行う場合、遅くとも次回のトラフィック分析を行うタイミングまでにトラフィック分析を完了させるため、全てのフローに対してトラフィック分析を行うことができない場合がある。そこで、制御装置300は、フローごとに優先度を算出し、優先度の高いフローを優先的に分析する。制御装置300は、フローごとの異常度(異常値)、異常度差異(異常値差異)、トポロジ重要度(トポロジ値)に基づき、フローごとの優先度を算出する。
制御装置300は、受信したトラフィック(通信量)に基づき、フローごとの異常度を算出する。異常度は、例えば、実際に取得したトラフィック(以降、実トラフィックと呼ぶ場合がある)と、制御装置300又は通信システム10の管理者が予測したトラフィック(以降、予測トラフィックと呼ぶ場合がある)との差異の度合いである。異常度は、例えば、実トラフィックと予測トラフィックとの差異が大きい程、大きい値となる。異常度が大きいフローは、異常が発生している可能性が高い。なお、異常度の算出方法については、後述する。
また、制御装置300は、トポロジに基づいたフローごとの重要度(以下、トポロジ重要度と呼ぶ場合がある)を算出する。トポロジ重要度は、フローが属するスイッチ200の通信システム10内における設置場所や、フローが属するスイッチ200に隣接する装置に基づいて算出される重要度である。トポロジ重要度は、例えば、通信装置100に隣接していないスイッチ200に属するフローは、通信装置100に隣接するスイッチ200よりも低くなる。また、トポロジ重要度は、例えば、他のスイッチ200で通信経路が代替できない場合、高くなる。
制御装置300は、算出した異常度及びトポロジ重要度に基づいて、フローごとの優先度を算出し、算出した優先度が高いフローを、優先的に分析する。これにより、制御装置300は、例えば、あるトラフィックの収集周期内で全てのフローを分析できない場合でも、優先度に従い分析するフローを選択することができる。制御装置300は、例えば、ランダムで分析するフローを選択する場合と比較して、異常が発生している可能性が高いフローを優先的に分析することができ、ネットワーク内の異常を早期で検出できる可能性が高くなる。
<制御装置の構成例>
図2は、制御装置300の構成例を示す図である。制御装置300は、例えば、コンピュータであり、CPU(Central Processing Unit)310、ストレージ320、メモリ330、及びNI(Network Interface)340を有する。制御装置300は、通信システム10において、スイッチ200からトラフィックを取得し、フローごとのトラフィックを分析する。
ストレージ320は、プログラムやデータを記憶する、フラッシュメモリ、HDD(Hard Disk Drive)、又はSSD(Solid State Drive)などの補助記憶装置である。ストレージ320は、トラフィック分析プログラム321、分析対象フロー選択プログラム322、トポロジ重要度情報テーブル323、及びフロー関連情報テーブル324を有する。
トポロジ重要度情報テーブル323は、例えば、フローごとのトポロジ重要度を記憶するテーブルである。トポロジ重要度情報テーブル323は、例えば、制御装置300の管理者(通信システム10の管理者でもよい)によって、事前に登録される。また、トポロジ重要度情報テーブル323は、後述するトポロジ重要度決定処理によって決定されたフローごとのトポロジ重要度を、制御装置300が記憶してもよい。
フロー関連情報テーブル324は、例えば、フローごとのトラフィックや優先度を記憶するテーブルである。なお、フロー関連情報テーブル324の詳細については、後述する。
メモリ330は、ストレージ320に記憶されているプログラムをロードする領域である。また、メモリ330、プログラムがデータを記憶する領域としても使用される。
NI340は、スイッチ200と接続し、通信を行う装置である。NI340は、例えば、ネットワークケーブルを介してスイッチ200と接続する、ネットワークインターフェースカードである。また、NI340は、例えば、ハブなどを介して、スイッチ200と接続してもよい。
CPU310は、ストレージ320に記憶されているプログラムを、メモリ330にロードし、ロードしたプログラムを実行し、各処理を実現するプロセッサである。
CPU310は、トラフィック分析プログラム321を実行することで、分析部を構築し、トラフィック分析処理を行う。トラフィック分析処理は、フローごとのトラフィックをスイッチ200から取得し、取得したトラフィックを分析する処理である。制御装置300は、トラフィック分析処理において、所定数のフローを選択し、選択したフローのトラフィックを分析する。
また、CPU310は、トラフィック分析プログラム321が有するトラフィック取得モジュール3211を実行することで、取得部を構築し、トラフィック取得処理を行う。トラフィック取得処理は、スイッチ200からフローごとのトラフィックを受信する処理である。制御装置300は、例えば、トラフィック取得処理において、定期的にスイッチ200にトラフィックを送信するよう要求するトラフィック要求メッセージを送信し、トラフィック要求メッセージに応答したスイッチが送信する、トラフィックを含むトラフィック応答メッセージを受信する。また、制御装置300は、例えば、トラフィック取得処理において、スイッチ200が定期的に送信する、トラフィックを含むトラフィック通知メッセージを受信する。
CPU310は、分析対象フロー選択プログラム322を実行することで、算出部及び分析部を構築し、分析対象フロー選択処理を行う。分析対象フロー選択処理は、トラフィックの分析対象とするフローを選択する処理である。制御装置300は、分析対象フロー選択処理において、トラフィックを取得する周期内で分析可能な数のフローを選択する。
また、CPU310は、分析対象フロー選択プログラム322が有する異常度算出モジュール3221を実行することで、算出部を構築し、異常度算出処理を行う。異常度算出処理は、受信したトラフィックに基づき、フローごとの異常度を算出する処理である。
さらに、CPU310は、分析対象フロー選択プログラム322が有する異常度差異算出モジュール3222を実行することで、分析部及び算出部を構築し、異常度差異算出処理を行う。異常度差異算出処理は、算出した異常度と、前回トラフィックを取得しときに算出した異常度との差異を、フローごとに算出する処理である。
さらに、CPU310は、分析対象フロー選択プログラム322が有する優先度算出モジュール3223を実行することで、分析部を構築し、優先度算出処理を行う。優先度算出処理は、異常度と、異常度差異と、トポロジ重要度に基づき、トラフィック分析を行う優先度を、フローごとに算出する処理である。
<スイッチの構成例>
図3は、スイッチ200の構成例を示す図である。スイッチ200は、CPU210、ストレージ220、メモリ230、NI240、及びポート250−1〜nを有する。スイッチ200は、通信装置100間で送受信されるパケットを中継する中継装置である。
ストレージ220は、プログラムやデータを記憶する、フラッシュメモリ、HDD、又はSSDなどの補助記憶装置である。ストレージ220は、パケット中継プログラム221、トラフィック送信プログラム222、及びフロー制御情報テーブル223を有する。
フロー制御情報テーブル223は、例えば、受信したパケットの送信元、送信先と、送信先ポート番号の関係を記憶するテーブルである。スイッチ200は、パケットを受信すると、フロー制御情報テーブル223を参照し、受信したパケットの送信先を決定する。
メモリ230は、ストレージ220に記憶されているプログラムをロードする領域である。また、メモリ230、プログラムがデータを記憶する領域としても使用される。
NI240は、制御装置300と接続し、通信を行う装置である。NI240は、例えば、ネットワークケーブルを介して制御装置300と接続する、ネットワークインターフェースカードである。また、NI240は、例えば、ハブなどを介して、制御装置300と接続してもよい。
ポート250−1〜nは、他のスイッチ200や通信装置100と接続する接続インターフェースである。ポート250−1〜nは、例えば、スイッチ200−1のポートP11〜P13に対応する。
CPU210は、ストレージ220に記憶されているプログラムを、メモリ230にロードし、ロードしたプログラムを実行し、各処理を実現するプロセッサである。
CPU210は、パケット中継プログラム221を実行することで、中継部を構築し、パケット中継処理を行う。パケット中継処理は、通信装置100間で送受信されるパケットを中継する処理である。スイッチ200は、パケット中継処理において、隣接する(接続する)スイッチ200又は通信装置100からパケットを受信し、パケットの送信先に基づいて、受信したパケットを送信する。なお、スイッチ200は、フロー制御情報テーブル223を参照し、パケットを送信するポートを決定する。
CPU210は、トラフィック送信プログラム222を実行することで、送信部を構築し、トラフィック送信処理を行う。トラフィック送信処理は、トラフィックを収集し、収集したトラフィックを制御装置300に送信する処理である。スイッチ200は、トラフィック送信処理において、制御装置300がトラフィックを送信するよう要求したとき、又はトラフィックを送信する契機となるタイマが満了したときに、トラフィックを送信する。スイッチ200は、フローごとにトラフィックを収集し、制御装置300に送信する。トラフィックは、例えば、単位時間あたりの通信量である。また、トラフィックは、所定時間における通信速度の平均値であってもよい。さらに、トラフィックは、通信の良好度合いを示す情報であり、例えば、エラーパケットの受信数や割合、無通信時間などを含んでもよい。
また、CPU210は、トラフィック送信プログラム222が有するトラフィック収集モジュール2221を実行することで、収集部を構築し、トラフィック収集処理を行う。トラフィック収集処理は、フローごとのトラフィックを収集する処理である。スイッチ200は、トラフィック収集処理において、例えば、送受信するパケットを監視し、送受信するデータ量を内部メモリに記憶する。
<トラフィック分析処理>
図4は、トラフィック分析処理の処理フローチャートの例を示す図である。制御装置300は、例えば、周期的に、トラフィック分析処理S10を実行する。制御装置300は、トラフィック分析処理S10において、各フローのトラフィックを取得する(S11)。トラフィックの取得は、例えば、スイッチ200からトラフィックを含むメッセージを受信することで行う。また、トラフィックの取得は、例えば、制御装置300がスイッチ200に対して、トラフィックを含むメッセージを送信するよう要求するメッセージを送信してもよい。
そして、制御装置300は、分析対象フロー選択処理を行う(S100)。制御装置300は、分析対象フロー選択処理S100において、トラフィック分析を行う対象となるフローを選択する。なお、制御装置300は、トラフィック測定周期内に全てのフローのトラフィックを分析することが可能な場合、全てのフローを分析対象フローとして選択してもよい。分析対象フロー選択処理S100については、後述する。
そして、制御装置300は、分析対象フローのトラフィックを分析する(S12)。トラフィック分析は、例えば、急激な通信量の増減の発生や、予測トラフィックとの大幅な差異の発生などの通信システム10に発生している問題を検出することである。
そして、制御装置300は、分析結果に応じた対処を実行する(S13)。分析結果に応じた対処とは、例えば、通信システム10内に新たなスイッチ200を増設したり、問題が発生しているスイッチ200を交換したりする処置である。また、制御装置300は、制御装置300の管理者に分析結果を通知するため、制御装置300の表示部に分析結果を表示したり、分析結果を文字データとしてファイル化したりしてもよい。
図5は、トラフィック分析処理の例を示す図である。制御装置300は、トラフィック分析周期Taごとに、フローごとのトラフィックを取得する。そして、制御装置300は、トラフィック分析周期Taの期間内に、所定数のフローを分析する。図4において、制御装置300は、例えば、4つのフローを分析する。すなわち、制御装置300は、図4の分析対象フロー選択処理S100において、4つのフローを分析対象フローとして選択する。そして、制御装置300は、分析処理B1〜B4を完了し、トラフィック分析周期Taが経過すると、新たなトラフィックを取得する。制御装置300は、図5に示すように、トラフィック周期Taごとに、各フローの分析処理を繰り返し実施する。
<分析対象フロー選択処理>
図6は、分析対象フロー選択処理S100の処理フローチャートの例を示す図である。制御装置300は、フローを選択する(S101)。選択処理S101は、以下に説明する優先度を算出する対象となるフローを選択する処理である。制御装置300は、分析対象フロー選択処理S100が完了するまでに全てのフローの優先度が算出されるように、選択処理S101を行う。制御装置300は、例えば、選択処理S101において、フローID(identifier)の昇順にフローを選択する。
制御装置300は、異常度算出処理を行う(S102)。異常度算出処理S102は、今回取得したトラフィック(実トラフィックと呼ぶ場合がある)と、予測トラフィックとの差異に基づく数値である異常度を算出する処理である。なお、異常度算出に使用するトラフィックは、例えば、フローにおける単位時間あたりの通信量である。
図7は、異常度算出処理S102の処理フローチャートの例を示す図である。制御装置300は、当該フローの予測トラフィックを取得する(S102−1)。当該フローとは、分析対象フロー選択処理S100の選択処理S101で選択されたフローである。
制御装置300は、処理S102−1において、予測トラフィックを算出する。制御装置は、例えば、過去に取得したトラフィックを内部メモリに記憶する。そして、制御装置300は、記憶したトラフィックの時系列モデルとして、AR(Auto Regressive:自己回帰)モデルを選択し、ARモデルに基づく変動モデルを作成する。すなわち、制御装置300は、記憶したトラフィックをARモデルに適用し、ARモデルの係数を算出し、算出した係数を使用して次回トラフィック取得時の予測トラフィックを算出する。
なお、制御装置300は、例えば、トラフィックを取得したときに、次回トラフィックを取得したときの予測トラフィックを算出し、算出した予測トラフィックを内部メモリに記憶してもよい。この場合、制御装置300は、処理S102−1において、内部メモリに記憶した、前回トラフィック取得時に算出した予測トラフィックを内部メモリから取り出し、予測トラフィックを取得する。
そして、制御装置300は、当該フローの実トラフィックを取得する(S102−2)。制御装置300は、予測トラフィックと実トラフィックの差分に基づき、異常度を算出する(S102−3)。異常度は、例えば、予測トラフィックと実トラフィックの差分の二乗である。また、異常度は、例えば、予測トラフィックと実トラフィックの差分の絶対値であってもよい。
制御装置300は、算出した異常度を、当該フローの異常度として内部メモリに記憶する(S102−4)。制御装置300は、例えば、フロー関連情報テーブル324に、異常度を記憶する。
図8は、フロー関連情報テーブル324の例を示す図である。フロー関連情報テーブル324の情報要素は、「フロー」、「SW」、「マッチ条件」、「アクション」、「トラフィック(Byte)」、「異常度(前回)」、「異常度(今回)」、「トポロジ重要度」、「異常度差異」、及び「優先度」である。
「フロー」は、フローIDを示す。フローIDは、フローごとに付される番号であり、フローを一意に示す識別子である。フローIDは、ランダムな番号であってもよいし、フローの生成順に付された番号であってもよい。
「SW」は、スイッチ200の識別子である。図6の「SW」の番号は、スイッチ200−mにおけるmを示す。例えば、図6において、「SW」の「1」は、スイッチ200−1を示す。
「マッチ条件」は、受信したパケットに対して「アクション」を行う条件を示す。図6において、「マッチ条件」は、送信先アドレスを示す。また、「アクション」は、「マッチ条件」に合致するパケットを受信した場合に、受信したパケットを送信するポート番号を示す。
図6において、例えば、フロー1は、スイッチ200−1が受信したパケットの送信先アドレスが「10.1.1.1」である場合、受信したパケットをスイッチ200−1のポートP12に送信することを示す。
なお、「フロー」、「マッチ条件」、「アクション」は、スイッチ200が有するフロー制御情報テーブル223の情報要素であってもよい。スイッチ200は、フロー制御情報テーブル223に「フロー」、「マッチ条件」、「アクション」を記憶することで、フロー制御情報テーブル223を参照することで、受信したパケットの送信先を決定することができる。
「トラフィック(Byte)」は、単位時間あたりのデータ量であるトラフィックをしめす。また、「トラフィック(Byte)」の単位は、Byteである。なお、「トラフィック(Byte)」に記憶されるトラフィックは、実トラフィックである。
「異常度(前回)」は、前回トラフィック受信時(前回のトラフィック分析時)に算出した異常度である。また、「異常度(今回)」は、今回トラフィック受信時に算出した異常度である。「異常度(前回)」は、例えば、「異常度(今回)」の更新タイミングにおいて、同時に更新される。
「トポロジ重要度」は、トポロジ重要度を示す。なお、トポロジ重要度は、通信システム10のスイッチ200や通信装置100の構成により決定する値であり、例えば、事前に管理者により記憶される。トポロジ重要度の決定方法については、後述する。
「異常度差異」は、「異常度(今回)」から「異常度(前回)」を減じた値である異常度差異を示す。異常度差異の算出方法は、後述する。
「優先度」は、トラフィック分析を行う優先度である。優先度の算出方法は、後述する。
制御装置300は、 図7に示す異常度算出処理S102において、異常度を算出する。制御装置300は、例えば、図8によると、フロー1の実トラフィック「100」と、予測トラフィックに基づき、異常度「10」を算出し、フロー関連情報テーブル324に記憶する。同様に、制御装置300は、フロー2〜10の異常度を算出し、フロー関連情報テーブル324に記憶する。
図6の処理フローチャートに戻り、制御装置300は、異常度差異算出処理を行う(S103)。異常度差異算出処理S103は、異常度差異を算出する処理である。
図9は、異常度差異算出処理の処理フローチャートの例を示す図である。制御装置300は、当該フローの異常度を取得する(S103−1)。制御装置300は、処理S103−1において、フロー関連情報テーブル324の「異常度(今回)」から異常度を取得する。
制御装置300は、当該フローの前回の異常度を取得する(S103−2)。制御装置300は、処理S103−2において、フロー関連情報テーブル324の「異常度(前回)」から前回の異常度を取得する。
制御装置300は、今回の異常度から前回の異常度を減じた数値を、異常度差異として算出する(S103−3)。なお、異常度差異は、今回の異常度から前回の異常度を減じた数値の絶対値であってもよい。
制御装置300は、算出した異常度差異を、当該フローの異常度差異として内部メモリに記憶する(S103−4)。制御装置300は、処理S103−4において、フロー関連情報テーブル324に、異常度差異を記憶する。
制御装置300は、例えば、図8に示すように、フロー1の異常度差異として、今回の異常度「50」から前回の異常度「10」を減じた数値「40」を算出し、フロー関連情報テーブル324に記憶する。制御装置300は、同様に、フロー2〜10の異常度差異を算出し、フロー関連情報テーブル324に記憶する。
図6の処理フローチャートに戻り、制御装置300は、優先度算出処理を行う(S104)。優先度算出処理S104は、トラフィック分析の優先度を算出する処理である。
図10は、優先度算出処理S104の処理フローチャートの例を示す図である。制御装置300は、当該フローの異常度を取得する(S104−1)。そして、制御装置300は、当該フローの異常度差異を取得する(S104−2)。制御装置300は、処理S104−1、2において、フロー関連情報テーブル324から、異常度及び異常度差異を取得する。
制御装置300は、当該フローのトポロジ重要度を取得する(S104−3)。制御装置300は、処理S104−3において、トポロジ重要度情報テーブル323を参照し、当該フローのトポロジ重要度を取得する。
図11は、トポロジ重要度決定処理S200の処理フローチャートの例を示す図である。制御装置300(又は管理者)は、当該フローはエッジスイッチに相当するか否かを判定する(S200−1)。エッジスイッチとは、通信の末端に位置するスイッチ200であり、例えば、通信装置100と他のスイッチ200を介さずに、直接接続されているスイッチ200である。
例えば、図8において、フロー6は、スイッチ200−4のフローであり、送信先は「10.2.2.2」をIPアドレスとして有する通信装置100−2である。スイッチ200−4から通信装置100−2に送信されるパケットは、図1によると、スイッチ200−2及びスイッチ200−1を経由する。すなわち、フロー6が属するスイッチ200−4は、送信先が通信装置100−2である通信において、エッジスイッチではない。
一方、図8において、フロー7は、スイッチ200−4のフローであり、送信先は「10.3.3.3」をIPアドレスとして有する通信装置100−3である。スイッチ200−4から通信装置100−3に送信されるパケットは、図1によると、他のスイッチを経由しない。すなわち、フロー7が属するスイッチ200−4は、送信先が通信装置100−3である通信において、エッジスイッチである。
制御装置300は、フローが属するスイッチ200がエッジスイッチであると判定すると(S200−1のYes)、トポロジ重要度を100に決定する(S200−2)。一方、制御装置300は、フローが属するスイッチ200がエッジスイッチでないと判定すると(S200−1のNo)、トポロジ重要度を10に決定する(S200−3)。すなわち、制御装置300は、フローが属するスイッチ200がエッジスイッチでない場合、トポロジ重要度を第1の値(図11においては10)とし、エッジスイッチである場合、トポロジ重要度を第1の値より大きい第2の値(図11においては100)とする。これにより、エッジスイッチに属するフローのトポロジ重要度が大きくなり、エッジスイッチに属するフローの優先度が高くなる。
図10の処理フローチャートに戻り、制御装置300は、異常度、異常度差異、及びトポロジ重要度を加算した数値を、優先度として算出する(S104−4)。そして、制御装置300は、算出した優先度を、当該フローの優先度として内部メモリに記憶する(S104−5)。制御装置300は、処理S104−5において、フロー関連情報テーブル324に、優先度を記憶する。
制御装置300は、例えば、図8に示すように、フロー1の優先度として、今回の異常度「50」、異常度差異「40」、及びトポロジ重要度「100」を加算した数値「190」を、フロー関連情報テーブル324に記憶する。制御装置300は、同様に、フロー2〜10の優先度を算出し、フロー関連情報テーブル324に記憶する。
図6の処理フローチャートに戻り、制御装置300は、全フローの優先度を算出したか否かを確認する(S105)。制御装置300は、全フローの優先度を算出していない場合(S105のNo)、未選択のフローを選択し(S101)、処理S102〜処理S104を行う。
制御装置300は、全フローの優先度を算出している場合(S105のYes)、優先度が高い順に分析対象フローを選出し(S106)、処理を終了する。
図12は、分析対象フローとして選択されるフローの例を示す図である。制御装置300は、図6の処理S106において、例えば、4つのフローを分析対象フローとして選出する。図12によると、優先度が最も高いフローは、優先度「220」のフロー7である。図12によると、2番目に優先度が高いフローは、優先度「190」のフロー1である。図12によると、3番目に優先度が高いフローは、優先度「145」のフロー2である。そして、図12によると、4番目に優先度が高いフローは、優先度「130」のフロー10である。制御装置300は、図12の網掛けで示す、フロー1、2、7、及び10を、トラフィックの分析対象フローとして選出する。
第1の実施の形態において、制御装置300は、優先度が高いフローを、優先的に分析対象フローとする。優先度が高いフローは、異常が発生している可能性が高い、あるいは、異常が発生した場合に早急に対処する必要があるなど、トラフィック分析を優先的に実施したほうがよいフローである。これにより、制御装置300は、重要度が高いフローや、異常発生可能性が高いフローを優先的に分析することができ、全フローのトラフィックを分析できない場合でも、重大な異常の検出ができる可能性が高くなる。
[第2の実施の形態]
次に、第2の実施の形態について説明する。第2の実施の形態において、制御装置300は、2段階で分析対象フローの選択を行う。制御装置300は、一次選択として、優先度が高い順にフローを選択する。そして、制御装置300は、二次選択(第2選択)として、一次選択で選択しなかったフローから、優先度以外の条件で、フローを選択する。
<分析対象フロー選択処理>
図13は、第2の実施の形態における分析対象フロー選択処理S100の処理フローの例を示す図である。処理S101〜処理S105は、図6に示す分析対象フロー選択処理S100と同様である。
制御装置300は、全フローの優先度を算出すると(S105のYes)、一次選択を行う(S107)。一次選択S107は、優先度が高い(大きい)順にN個のフローを、分析対象として選択する処理である。N個は、例えば、制御装置300がトラフィック収集周期内にトラフィック分析することが可能なフローの数よりも小さい数である。
そして、制御装置300は、二次選択を行う(S108)。二次選択S108は、一次選択で選択しなかったフローから、M個のフローを分析対象として選択する処理である。制御装置300は、二次選択S108において、優先度に関わらず、M個のフローを選択する。N個は、例えば、制御装置300がトラフィック収集周期内にトラフィック分析することが可能なフローの数から、一次選択S107における選択数N個を減じた数である。すなわち、制御装置300は、N+Mのフローを分析対象とする。
制御装置300は、二次選択S108において、例えば、ランダム(無作為)にM個の分析対象フローを選択する。
また、制御装置300は、二次選択S108において、例えば、所定時間以上分析していないフローから、M個の分析対象フローを選択してもよい。
さらに、制御装置300は、二次選択S108において、例えば、分析していない時間が長い順に、M個の分析対象フローを選択してもよい。
図14は、第2の実施の形態における、分析対象フローとして選択されるフローの例を示す図である。制御装置300は、例えば、一次選択で3個(N=3)、二次選択で1個(M=1)の分析対象フローを選択する。
図13の一次選択S107において、制御装置300は、優先度が高い順に3個のフローを分析対象フローとして選択する。図14によると、優先度が最も高いフローは、優先度「220」のフロー7である。図14によると、2番目に優先度が高いフローは、優先度「190」のフロー1である。図14によると、3番目に優先度が高いフローは、優先度「145」のフロー2である。制御装置300は、一次選択S107において、フロー1、2、7を分析対象フローとして選択する。
そして、制御装置300は、図13の二次選択S108において、フロー4を分析対象フローとして選択する。制御装置300は、例えば、ランダム(無作為)でフロー4を選択する。
制御装置300は、一次選択S107及び二次選択S108により、フロー1、2、4、7を、分析対象フローとして選択する。
第2の実施の形態において、制御装置300は、二次選択として、優先度に関わらず、一部の分析対象フローを選択する。これにより、制御装置300は、長期間優先度が低いため、長期間分析対象となっていないフローを分析対象として選択することができ、特定のフローが全く分析されないことを防止する。
[第3の実施の形態]
次に、第3の実施の形態について説明する。第3の実施の形態において、制御装置300は、優先度に応じて、フローの集約又は分散を行う。
<分析対象フロー選択処理>
図15は、第3の実施の形態における分析対象フロー選択処理S100の処理フローの例を示す図である。処理S101〜処理S106は、図6に示す分析対象フロー選択処理S100と同様である。第3の実施の形態における分析対象フロー選択処理S100は、優先度が高い順に分析対象フローを選出する(S106)前に、フロー集約分散処理を行う(S300)。フロー集約分散処理S300は、優先度に基づき、フローを分散又は集約する処理である。集約とは、例えば、第1数(複数)のフローを、第1数より少ない第2数のフローに結合することである。また、分散とは、例えば、第3数のフローを、第3数より多い第4数(複数)のフローに分割することである。
図16は、フロー集約分散処理S300の処理フローチャートの例を示す図である。制御装置300は、第1閾値より優先度が低いフローが複数存在するか否かを確認する(S300−1)。制御装置300は、第1閾値より優先度が低いフローが複数存在する場合(S300−1のYes)、第1閾値より優先度が低いフローのうち、集約可能な複数のフローを集約し、集約したフローの優先度を算出する(S300−2)。
一方、制御装置300は、第1閾値より優先度が低いフローが複数存在しない場合(S300−1のNo)、処理S300−2を実施せず、処理S300−2を行う。
制御装置300は、第2閾値より優先度が高いフローが存在するか否かを確認する(S300−3)。制御装置300は、第2閾値より優先度が高いフローが存在する場合(S300−3のYes)、第2閾値より優先度が高いフローのうち、分散可能なフローを分散し、分散したフローの優先度を算出する(S300−4)。
一方、制御装置300は、第2閾値より優先度が高いフローが存在しない場合(S300−3のNo)、処理S300−4を実施せず、処理を終了する。
図17は、フローを集約する例を示す図である。制御装置300は、優先度が第1閾値(例えば20とする)より小さいフローが2つ(フロー1,2)存在することを確認する(図16のS300−1のYes)。そして、制御装置300は、フロー1,2が集約可能であるか否かを判定する。
フロー1,2は、共に送信先アドレスが10.4.4.4(通信装置100−4)であり、同一の送信先である(図17(A))。そこで、制御装置300は、フロー1,2の送信元アドレスをマッチ条件から削除し、送信先アドレスのみをマッチ条件にした新規のフロー1を生成することで、集約前のフロー1,2を、集約後の新規フロー1に集約することができる(図17(B))。このように、複数のフローの送信先又は送信元が同じである場合、複数のフローは集約することができる。また、複数のフローのアクションが同じである場合(同じポートに送信される場合)、複数のフローは集約することができる。
図18は、フローを分散する例を示す図である。制御装置300は、優先度が第2閾値(例えば150とする)より小さいフロー(フロー1)が存在することを確認する(図16のS300−3のYes)。そして、制御装置300は、フロー1が分散可能であるか否かを判定する。
フロー1は、送信先アドレスはマッチ条件となっているが、送信元アドレスはマッチ条件となっていない(図18(A))。そこで、制御装置300は、フロー1の送信元アドレスをマッチ条件に追加し、送信先アドレスと送信元アドレスの両方をマッチ条件にした新規のフロー1及び2を生成することで、分散前のフロー1を、分散後の新規フロー1,2に分散することができる(図18(B))。このように、フローのマッチ条件が送信先又は送信元のどちらか一方である場合、フローは複数のフローに分散することができる。
第3の実施の形態において、制御装置300は、優先度が低い複数のフローを集約し、1つのフローとする。制御装置300は、フローを集約することで、分析対象となるフローの数が減少させ、トラフィック分析の負荷が減少する。また、優先度が高い複数のフローを分散し、複数のフローとする。制御装置300は、フローを分散することで、分散前に優先度が高かったフローを、細分化して分析することができ、分析精度が向上する。
以上の第1から第3の実施の形態を含む実施形態に関し、更に以下の付記を開示する。
(付記1)
通信装置間の通信において送受信されるデータを中継するスイッチのトラフィックを、フローごとに分析するトラフィック分析装置であって、
前記スイッチから前記フローごとの単位時間あたりの通信量を取得する取得部と、
前回取得した前回通信量に基づき予測した予測通信量と、今回取得した今回通信量との差異に基づく異常度を、前記フローごとに算出する算出部と、
前記異常度と、前記フローのトポロジに応じたトポロジ値とに基づき、前記フローごとの優先度を算出し、前記算出したフローごとの優先度のうち、前記優先度の高いフローを選択し、前記選択したフローのトラフィックを分析する分析部とを有する
トラフィック分析装置。
(付記2)
前記算出部は、前記今回通信量と前記予測通信量の差異を二乗し、前記異常度を算出する
付記1記載のトラフィック分析装置。
(付記3)
前記算出部は、前記今回通信量と前記予測通信量の差異の絶対値を、前記異常度として算出する
付記1記載のトラフィック分析装置。
(付記4)
前記トポロジ値は、前記フローに対応する第1スイッチと前記フローの送信先の第1通信装置とが、他のスイッチを介して接続している場合、第1の値であり、前記第1スイッチと前記第1通信装置とが、他のスイッチを介さずに接続している場合、前記第1の値より大きい第2の値である
付記1記載のトラフィック分析装置。
(付記5)
前記算出部は、さらに、前回通信量の取得時に算出した異常値を示す前回異常値と、今回通信量の取得時に算出した異常値を示す今回異常値との差異である異常値差異を算出し、
前記分析部は、前記今回異常値と、前記トポロジ値と、前記異常度差異とに基づき、前記優先度を算出する
付記1記載のトラフィック分析装置。
(付記6)
前記分析部は、前記今回異常値と、前記トポロジ値と、前記異常度差異とを加算した値を、前記優先度として算出し、前記優先度が大きい順にフローを選択する
付記5記載のトラフィック分析装置。
(付記7)
前記分析部は、さらに、前記選択において選択されないフローから所定数のフローを分析対象として選択する第2選択とを行う
付記1記載のトラフィック分析装置。
(付記8)
前記分析部は、前記第2選択において、無作為でフローを選択する
付記7記載のトラフィック分析装置。
(付記9)
前記分析部は、前記第2選択において、所定時間以上分析されていないフローを選択する
付記7記載のトラフィック分析装置。
(付記10)
前記分析部は、前記第2選択において、分析されていない時間が長い順にフローを選択する
付記7記載のトラフィック分析装置。
(付記11)
前記分析部は、前記優先度が第1閾値より低いフローが第1数存在する場合、前記第1数のフローを前記第1数以下の第2数のフローに集約する
付記1記載のトラフィック分析装置。
(付記12)
前記分析部は、前記優先度が第2閾値より高いフローが第3数存在する場合、前記第3数のフローを前記第3数以上の第4数のフローに分散する
付記1記載のトラフィック分析装置。
(付記13)
前記分析部は、前記優先度が第1閾値より低いフローが第1数存在する場合、前記第1数のフローを前記第1数以下の第2数のフローに集約し、前記優先度が前記第1閾値よりも大きい第2閾値より高いフローが第3数存在する場合、前記第3数のフローを前記第3数以上の第4数のフローに分散する
付記1記載のトラフィック分析装置。
(付記14)
前記フローは、前記スイッチが中継するデータの送信元及び送信先のどちらか一方又は両方に基づき決定する、前記通信装置間の通信の一部である
付記1記載のトラフィック分析装置。
(付記15)
通信装置間の通信において送受信されるデータを中継するスイッチのトラフィックを、フローごとに分析するトラフィック分析装置におけるトラフィック分析方法であって、
前記スイッチから前記フローごとの単位時間あたりの通信量を取得し、
前回取得した前回通信量に基づき予測した予測通信量と、今回取得した今回通信量との差異に基づく異常度を、前記フローごとに算出し、
前記異常度と、前記フローのトポロジに応じたトポロジ値とに基づき、前記フローごとの優先度を算出し、前記算出したフローごとの優先度のうち、前記優先度の高いフローを選択し、前記選択したフローのトラフィックを分析する
トラフィック分析方法。
(付記16)
通信装置間の通信において送受信されるデータを中継するスイッチのトラフィックを、フローごとに分析するトラフィック分析装置におけるトラフィック分析プログラムであって、
前記スイッチから前記フローごとの単位時間あたりの通信量を取得し、
前回取得した前回通信量に基づき予測した予測通信量と、今回取得した今回通信量との差異に基づく異常度を、前記フローごとに算出し、
前記異常度と、前記フローのトポロジに応じたトポロジ値とに基づき、前記フローごとの優先度を算出し、前記算出したフローごとの優先度のうち、前記優先度の高いフローを選択し、前記選択したフローのトラフィックを分析する処理を、
前記トラフィック分析装置の有するコンピュータに実行させるトラフィック分析プログラム。
(付記17)
複数の通信装置と、
前記複数の通信装置間において送受信されるデータを中継するスイッチと、
前記スイッチのトラフィックを、フローごとに分析するトラフィック分析装置とを有する通信システムであって、
前記スイッチは、前記フローごとの単位時間あたりの通信量を、前記トラフィック分析装置に送信し、
前記トラフィック分析装置は、前記通信量を前記スイッチより受信し、前回受信した前回通信量に基づき予測した予測通信量と、今回受信した今回通信量との差異に基づく異常度を、前記フローごとに算出し、前記異常度と、前記フローのトポロジに応じたトポロジ値とに基づき、前記フローごとの優先度を算出し、前記算出したフローごとの優先度のうち、前記優先度の高いフローを選択し、前記選択したフローのトラフィックを分析する
通信システム。
10…通信システム、 100…通信装置、
200…スイッチ、 210…CPU、
220…ストレージ、 221…パケット中継プログラム、
222…トラフィック送信プログラム、 2221…トラフィック収集モジュール、
223…フロー制御情報テーブル、 230…メモリ、
240…NI、 250…ポート、
300…制御装置、 310…CPU、
320…ストレージ、 321…トラフィック分析プログラム、
3211…トラフィック取得モジュール、322…分析対象フロー選択プログラム、
3221…異常度算出モジュール、 3222…異常度差異算出モジュール、
3223…優先度算出モジュール、 323…トポロジ重要度情報テーブル、
324…フロー関連情報テーブル、 330…メモリ、
340…NI

Claims (11)

  1. 通信装置間の通信において送受信されるデータを中継するスイッチのトラフィックを、フローごとに分析するトラフィック分析装置であって、
    前記スイッチから前記フローごとの単位時間あたりの通信量を取得する取得部と、
    前回取得した前回通信量に基づき予測した予測通信量と、今回取得した今回通信量との差異に基づく異常度を、前記フローごとに算出する算出部と、
    前記異常度と、前記フローのトポロジに応じたトポロジ値とに基づき、前記フローごとの優先度を算出し、前記算出したフローごとの優先度のうち、前記優先度の高いフローを選択し、前記選択したフローのトラフィックを分析する分析部とを有する
    トラフィック分析装置。
  2. 前記算出部は、前記今回通信量と前記予測通信量の差異を二乗し、前記異常度を算出する
    請求項1記載のトラフィック分析装置。
  3. 前記トポロジ値は、前記フローに対応する第1スイッチと前記フローの送信先の第1通信装置とが、他のスイッチを介して接続している場合、第1の値であり、前記第1スイッチと前記第1通信装置とが、他のスイッチを介さずに接続している場合、前記第1の値より大きい第2の値である
    請求項1記載のトラフィック分析装置。
  4. 前記算出部は、さらに、前回通信量の取得時に算出した異常値を示す前回異常値と、今回通信量の取得時に算出した異常値を示す今回異常値との差異である異常値差異を算出し、
    前記分析部は、前記今回異常値と、前記トポロジ値と、前記異常度差異とに基づき、前記優先度を算出する
    請求項1記載のトラフィック分析装置。
  5. 前記分析部は、前記今回異常値と、前記トポロジ値と、前記異常度差異とを加算した値を、前記優先度として算出し、前記優先度が大きい順にフローを選択する
    請求項4記載のトラフィック分析装置。
  6. 前記分析部は、さらに、前記選択において選択されないフローから所定数のフローを分析対象として選択する第2選択とを行う
    請求項1記載のトラフィック分析装置。
  7. 前記分析部は、前記優先度が第1閾値より低いフローが第1数存在する場合、前記第1数のフローを前記第1数以下の第2数のフローに集約する
    請求項1記載のトラフィック分析装置。
  8. 前記分析部は、前記優先度が第2閾値より高いフローが第3数存在する場合、前記第3数のフローを前記第3数以上の第4数のフローに分散する
    請求項1記載のトラフィック分析装置。
  9. 通信装置間の通信において送受信されるデータを中継するスイッチのトラフィックを、フローごとに分析するトラフィック分析装置におけるトラフィック分析方法であって、
    前記スイッチから前記フローごとの単位時間あたりの通信量を取得し、
    前回取得した前回通信量に基づき予測した予測通信量と、今回取得した今回通信量との差異に基づく異常度を、前記フローごとに算出し、
    前記異常度と、前記フローのトポロジに応じたトポロジ値とに基づき、前記フローごとの優先度を算出し、前記算出したフローごとの優先度のうち、前記優先度の高いフローを選択し、前記選択したフローのトラフィックを分析する
    トラフィック分析方法。
  10. 通信装置間の通信において送受信されるデータを中継するスイッチのトラフィックを、フローごとに分析するトラフィック分析装置におけるトラフィック分析プログラムであって、
    前記スイッチから前記フローごとの単位時間あたりの通信量を取得し、
    前回取得した前回通信量に基づき予測した予測通信量と、今回取得した今回通信量との差異に基づく異常度を、前記フローごとに算出し、
    前記異常度と、前記フローのトポロジに応じたトポロジ値とに基づき、前記フローごとの優先度を算出し、前記算出したフローごとの優先度のうち、前記優先度の高いフローを選択し、前記選択したフローのトラフィックを分析する処理を、
    前記トラフィック分析装置の有するコンピュータに実行させるトラフィック分析プログラム。
  11. 複数の通信装置と、
    前記複数の通信装置間において送受信されるデータを中継するスイッチと、
    前記スイッチのトラフィックを、フローごとに分析するトラフィック分析装置とを有する通信システムであって、
    前記スイッチは、前記フローごとの単位時間あたりの通信量を、前記トラフィック分析装置に送信し、
    前記トラフィック分析装置は、前記通信量を前記スイッチより受信し、前回受信した前回通信量に基づき予測した予測通信量と、今回受信した今回通信量との差異に基づく異常度を、前記フローごとに算出し、前記異常度と、前記フローのトポロジに応じたトポロジ値とに基づき、前記フローごとの優先度を算出し、前記算出したフローごとの優先度のうち、前記優先度の高いフローを選択し、前記選択したフローのトラフィックを分析する
    通信システム。
JP2017151297A 2017-08-04 2017-08-04 トラフィック分析装置、トラフィック分析方法、トラフィック分析プログラム、及び通信システム Active JP6928241B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2017151297A JP6928241B2 (ja) 2017-08-04 2017-08-04 トラフィック分析装置、トラフィック分析方法、トラフィック分析プログラム、及び通信システム
US16/051,163 US10554511B2 (en) 2017-08-04 2018-07-31 Information processing apparatus, method and non-transitory computer-readable storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017151297A JP6928241B2 (ja) 2017-08-04 2017-08-04 トラフィック分析装置、トラフィック分析方法、トラフィック分析プログラム、及び通信システム

Publications (2)

Publication Number Publication Date
JP2019029980A true JP2019029980A (ja) 2019-02-21
JP6928241B2 JP6928241B2 (ja) 2021-09-01

Family

ID=65230597

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017151297A Active JP6928241B2 (ja) 2017-08-04 2017-08-04 トラフィック分析装置、トラフィック分析方法、トラフィック分析プログラム、及び通信システム

Country Status (2)

Country Link
US (1) US10554511B2 (ja)
JP (1) JP6928241B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2021095106A1 (ja) * 2019-11-11 2021-05-20

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005323183A (ja) * 2004-05-10 2005-11-17 Nippon Telegr & Teleph Corp <Ntt> ネットワーク攻撃検知装置および方法ならびにプログラム
JP2007081627A (ja) * 2005-09-13 2007-03-29 Hitachi Ltd ネットワーク管理システム
JP2008141641A (ja) * 2006-12-05 2008-06-19 Nippon Telegr & Teleph Corp <Ntt> 異常トラヒック検知装置および方法
JP2015530831A (ja) * 2012-09-13 2015-10-15 シマンテック コーポレーションSymantec Corporation 選択的ディープパケットインスペクションを実行するためのシステム及び方法

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002016599A (ja) 1999-12-02 2002-01-18 Hitachi Ltd ネットワーク計測制御システムとネットワーク計測制御方法
US6798993B1 (en) * 2000-05-19 2004-09-28 Lucent Technologies Inc. WDM optical networks arranged for internetworking with packet networks
US20040042398A1 (en) * 2002-02-28 2004-03-04 Seriqa Networks Method and apparatus for reducing traffic congestion by preventing allocation of the occupied portion of the link capacity and for protecting a switch from congestion by preventing allocation on some of its links
JP2004343203A (ja) 2003-05-13 2004-12-02 Nippon Telegr & Teleph Corp <Ntt> 通信品質管理方法及び通信品質管理装置
US8050671B2 (en) * 2006-11-03 2011-11-01 Alcatel Lucent Method and apparatus for network growth planning in wireless networks
EP2688256A4 (en) 2011-03-18 2014-08-27 Nec Corp NETWORK SYSTEM AND SWITCHING METHOD
JP5634364B2 (ja) 2011-09-21 2014-12-03 東芝テック株式会社 保守装置、保守方法および保守プログラム
FR3007915B1 (fr) * 2013-06-28 2015-07-31 Thales Sa Systeme de transmission d'informations commute utilisable par exemple dans des applications avioniques
US9219562B2 (en) * 2014-05-08 2015-12-22 Nokia Solutions And Networks Oy System and method to dynamically redistribute timing and synchronization in a packet switched network
US9807643B1 (en) * 2017-01-29 2017-10-31 Virtual Network Communications Inc. Multiple operator, shared communications terminal
US9706431B1 (en) * 2017-01-29 2017-07-11 Virtual Network Communications, Inc. Contained radio network system and method for dynamically responding to communications traffic

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005323183A (ja) * 2004-05-10 2005-11-17 Nippon Telegr & Teleph Corp <Ntt> ネットワーク攻撃検知装置および方法ならびにプログラム
JP2007081627A (ja) * 2005-09-13 2007-03-29 Hitachi Ltd ネットワーク管理システム
JP2008141641A (ja) * 2006-12-05 2008-06-19 Nippon Telegr & Teleph Corp <Ntt> 異常トラヒック検知装置および方法
JP2015530831A (ja) * 2012-09-13 2015-10-15 シマンテック コーポレーションSymantec Corporation 選択的ディープパケットインスペクションを実行するためのシステム及び方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2021095106A1 (ja) * 2019-11-11 2021-05-20
WO2021095106A1 (ja) * 2019-11-11 2021-05-20 日本電信電話株式会社 異常検出装置、異常検出方法、及びプログラム

Also Published As

Publication number Publication date
JP6928241B2 (ja) 2021-09-01
US20190044834A1 (en) 2019-02-07
US10554511B2 (en) 2020-02-04

Similar Documents

Publication Publication Date Title
CN106656800B (zh) 一种路径选取方法及系统、网络加速节点及网络加速系统
JP5666685B2 (ja) 障害解析装置、そのシステム、およびその方法
US8656406B2 (en) Load balancer and load balancing system
WO2018187094A1 (en) Systems and methods for networking and wirelessly routing communications
US20150281074A1 (en) Data transfer control device and data transfer control method
JP6220625B2 (ja) 遅延監視システムおよび遅延監視方法
JP2017152852A (ja) 通信システム、通信装置、および通信システムの通信制御方法
WO2012029422A1 (ja) 通信品質監視システム、通信品質監視方法、及び記憶媒体
WO2014148247A1 (ja) 処理制御システム、処理制御方法、および処理制御プログラム
WO2011075131A1 (en) Proxy agents in a network
US20150381498A1 (en) Network system and its load distribution method
CN112671813B (zh) 服务器确定方法、装置、设备及存储介质
CN107332793B (zh) 一种报文转发方法、相关设备及系统
JP2015534348A (ja) パケット検査装置におけるデータユニット用の負荷分散の決定
JP6928241B2 (ja) トラフィック分析装置、トラフィック分析方法、トラフィック分析プログラム、及び通信システム
JP5870995B2 (ja) 通信システム、制御装置、計算機、ノードの制御方法およびプログラム
JP5686027B2 (ja) 仮想マシン環境におけるネットワーク障害検知方法、装置、およびプログラム
JP2005182702A (ja) Ipネットワークにおけるアクセス制御方式
CN110891077A (zh) Cdn节点检测方法及装置
JP5951147B2 (ja) 情報処理装置及び情報処理方法及びプログラム
JP5874234B2 (ja) 機器管理装置、機器管理方法および機器管理プログラム
JP6973405B2 (ja) 計測制御サーバ、通信品質計測システム、計測エージェント、方法およびプログラム
CN112751728A (zh) 链路健康状态的监测方法及装置
JP4165828B2 (ja) 通信ネットワーク、ネットワーク制御サーバ、トラヒック制御方法、およびプログラム
CN112738193B (zh) 云计算的负载均衡方法及装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200514

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210324

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210330

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210526

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210706

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210719

R150 Certificate of patent or registration of utility model

Ref document number: 6928241

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150