JP4112590B2 - 異なり数上位nキーの推定方法および推定システム - Google Patents

異なり数上位nキーの推定方法および推定システム Download PDF

Info

Publication number
JP4112590B2
JP4112590B2 JP2006060490A JP2006060490A JP4112590B2 JP 4112590 B2 JP4112590 B2 JP 4112590B2 JP 2006060490 A JP2006060490 A JP 2006060490A JP 2006060490 A JP2006060490 A JP 2006060490A JP 4112590 B2 JP4112590 B2 JP 4112590B2
Authority
JP
Japan
Prior art keywords
key
different
different number
number information
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006060490A
Other languages
English (en)
Other versions
JP2007243371A (ja
Inventor
圭介 石橋
達哉 森
亮一 川原
裕 廣川
淳史 小林
公洋 山本
仁明 坂本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2006060490A priority Critical patent/JP4112590B2/ja
Publication of JP2007243371A publication Critical patent/JP2007243371A/ja
Application granted granted Critical
Publication of JP4112590B2 publication Critical patent/JP4112590B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明はインターネット上を転送されるトラヒック等大容量データの分析技術に関する。
インターネットにおける特定サーバに対する攻撃などの異常トラヒックの増加に伴い、トラヒックの監視に対する要求が高まっている。トラヒックの監視対象としては、MIBなどによるパケット数などの総トラヒック流量に基づくものが一般的であるが、総トラヒック量監視では、総トラヒックの変化として現れないようなトラヒックデータ中の一部の変化による異常検出が困難、また異常検出した後の異常原因特定が困難という問題がある。一方、総トラヒック量監視ではなく、指定キー(例えば、送信IPアドレス)毎の指定カウンタ値(例えば、送信IPアドレス毎のパケット数、フロー数、受信IPアドレス数)を保持し、このカウンタ値の統計情報から異常検出する手法では、一部のキーのカウンタ値の変化の検出、また変化を起こしたキーの特定が可能である。しかしながら、この方式では観測される監視キーの数と同じ数のカウンタを必要とし、多数のキーが発生するトラヒックにこの方式を適用するためには、膨大なメモリを必要とするため、実現が困難である。なお、フローとは(送受信IPアドレス、送受信ポート番号、トランスポートプロトコル)の組を同じとするパケット群のことである。
ここで、監視すべきキー値は主にカウンタ値が大きいものであるという前提に基づき、カウンタ値の大きい上位N個の監視キーのみ、もしくはカウンタ値が総カウンタ合計値の一定比率以上の監視キーのみを推定する手法が特許文献1で提案されている。しかしながらこれらの方式は、カウント対象指定項目が、パケットデータ分析時におけるパケット数などのように、新規データ到着時に必ず当該データのキーのカウンタ値が増加する場合に適用が限られるという問題がある。即ちカウンタ対照指定項目がフロー数、通信相手ホスト数等のように、新規パケット到着時に常にカウンタが増加するわけではなく、過去のパケットで既にそのフロー、通信相手ホストが現れていない場合のみ増加する異なり数の場合、カウンタ値のみならず既出項目値情報をキー毎に保持し、新規パケットに対して、カウント対象項目の値が既出か否かを判断する必要があり、必要メモリサイズがさらに増加するという問題がある。
一方、非特許文献1では、キーとして送信IPアドレスを、カウンタ対象指定項目としてフローを指定した場合の異なり数推定方式を提案している。同方式においては到着パケット毎に、フローに対するBloom Filterと呼ばれる、フローが新規か否かを高精度に推定するフィルターを適用し、同フィルターを経由したパケットに対してのみ同パケットの送信IPアドレスのフロー数カウンタを増加させている。同方式によればキー毎に既出フロー情報を保持する必要は無い。しかし、同方式が適用できるのはキー情報がカウンタ対象指定項目情報に含まれている場合のみである。即ち、同方式ではキーである送信IPアドレスがカウンタ対象項目のフロー情報に含まれているので、あるパケットのフロー情報がBloom filterによって既出であると判定された場合は、当該パケットの送信IPアドレスにとっても同フローは既出であると判断できる。しかしながら例えばキーがカウンタ対象指定項目に含まれない、キーとして送信IPアドレス、指定項目として受信IPアドレス数の場合を考えると、Bloom Filterにおいてあるパケットの受信IPアドレスが既出であると判断されたとしても、同パケットの送信IPアドレスにとっては新規受信IPアドレスである可能性があるため、同方式を適用したカウンタはできない。
これらデータ中の出現回数でなく異なり数を算出する際に、既出値の情報をすべて保持することなく、異なり数を推定する手法が提案されている(非特許文献2、3)。これらの推定手法では全既出情報を保持する必要がなく、小サイズの異なり数情報を保持するだけで異なり数を推定することができる。異なり数情報および異なり数の推定方法として、例えば非特許文献3では出現値の出現確率の最小値を異なり数情報として保持しておき、その最小出現確率から異なり数を推定する。出現確率として出現値をハッシュ化したビット列の内、最も左側に位置する“1”ビットの位置(PFOB:Position of First One Bit)を用いる。ハッシュ関数が出現値をランダムにハッシュ化するという仮定の元に、あるPFOB値pの出現確率は1/2であるため、全出現値のPFOB値中の最大値(MPFOB:Maximum of PFOB)を保持していれば、異なり数はMPFOB値mを用いて、2で近似できると期待される。非特許文献3では精度を高めるために出現値のハッシュビット列の内、一部をMPFOB値識別子、残りのビット列からPFOB値を算出して、複数の異なり数情報を保持し、識別子iに関する異なり数情報mに関する平均を用いて数式3で異なり数を推定している。
Figure 0004112590
ここでkは異なり数情報識別子の総数であり、αは数式4で表される補正パラメータである(Γ(・)はGamma関数)。
Figure 0004112590
キー毎の異なり数の推定に本手法を提案すれば、キー毎に全既出値情報を保持する必要がなくなるが、依然、キー毎にその異なり数情報を保持する必要があるという問題がある。
また、非特許文献4では、キー毎の異なり数の推定を、キーを複数のハッシュ関数でハッシュ化した値毎に、非特許文献2で提案された異なり数推定方法を適用することによって行う手法を提案している。本手法によればハッシュ関数の値域によっては管理すべき異なり数情報数を削減できるものの、非特許文献2自体が大きい異なり数をそのままでは推定できないため、非特許文献4の方式もそのままでは大きい異なり数をもつキーを推定できないという問題がある。
特許3649451号公報 Ken Keys, David Moore, Cristian Estan, "A Robust System for Accurate Real-time Summaries of Internet Traffic," in Proceedings of the ACM SIGMETRICS, June 2005 C. Estan, G. Varghese, and M.Fisk, "Bitmap algorithms for counting active flows on high speed links," in Proc. Internet Measurement Conference 2003 (IMC'03)}, October 2003. M. Durand and P. Flajolet, "loglog counting of large cardinalities,'' in Proc. Engineering and Applications Track" of the 11th Annual European Symposium on Algorithms (ESA03)}, Sptember 2003. Qi Zhao, Abhishek Kumar, and Jun Xu, "Joint Data Streaming and Smpling Techniques for detection of Super Sources and Dextinations," Proc. ACM IMC 2005, October 2005.
本発明は、小サイズメモリで指定項目に対する上位Nキーを抽出し、かつ同キーに対する異なり数を推定することを目的とする。
上述の目的を達成するため、本発明で提案する手法ではキー毎に異なり数情報を保持することなく、キーもしくはハッシュ化したキーを分割した分割キー毎に異なり数情報を保持する。例えばキーもしくはハッシュ化した監視キーがm bitで表現されるとき、監視キーは2個存在しうるため、最大で異なり数情報を2個保持しなくてはならない。ここでm bitをk等分した分割監視キー毎に異なり数情報を保持する場合、必要となる異なり数情報は2m/k×k個と2/k分の1に減少する。しかしながら、監視キーそのものでなく分割監視キーに対して異なり数情報を持つことにより、複数の監視キーが同一の分割監視キーに対応する衝突が発生する可能性がある。衝突が発生した場合、本発明では同一分割キーに対応する監視キーの異なり数のうち、最大値を異なり数として推定するため、小さい異なり数をもつ監視キーに対しては過大評価となる可能性が高い。しかしながら異なり数上位N個の監視キーに関しては、同一分割アドレスの監視キーの異なり数のうち最大値である可能性が高いため、精度よく推定できると期待される。
本明細書において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。
第1の発明は、コンピュータネットワーク上を転送されるパケットデータについて、指定された項目の異なり数に関する上位N(N≧2)個のキーおよび同キーの異なり数を推定する推定システムにおける異なり数上位Nキーの推定方法であって、前記推定システムは、トラヒック取得部と、監視キー、異なり数カウント対象項目指定部と、異なり数情報算出部と、上位Nキー情報算出部と、を備え、前記トラヒック取得部が、トラヒックデータを取得する第1のステップと、前記監視キー、異なり数カウント対象項目指定部が、監視対象となる少なくとも一つのキー、および異なり数をカウントする対象項目を指定する第2のステップと、前記異なり数情報算出部が、キーを分割した分割キー毎に異なり数情報を保持し、取得したパケット毎に異なり数カウント対象指定項目をハッシュ化した{0,1}ビット列のうち、一部を異なり数情報識別子として利用し、残りのビット列の最も左側の“1”ビットの位置の最大値を異なり数情報として利用し、当該パケットのキーを分割した分割キー毎に、分割キーに対する複数個の異なり数情報のうち異なり数情報識別子で定まる一つの異なり数情報を、更新前の異なり数情報と当該パケットの異なり数情報との最大値を取ることにより、更新する第3のステップと、前記上位Nキー情報算出部が、上位N個のキーおよび当該キーに対する、前記第3のステップにおける異なり数情報から推定した異なり数を保持し、前記異なり数算出部において異なり数情報の値の変化があった場合に、取得したパケットのキーに対する異なり数を前記第3のステップにおける分割キー毎に保持した複数個の異なり数情報から数式1で推定し、当該キーの異なり数推定値、および上位Nキーを更新する第4のステップと、を含むことを特徴とする。
Figure 0004112590
 ここで、kは異なり数情報識別子の総数であり、α は数式2で表される補正パラメータであり(Γ(・)はGamma関数)、m (h)は、異なり数情報識別子iに対応する分割キーの異なり数情報のうちの分割キー内の最小値である。
Figure 0004112590
の発明は、前記第1の発明において、前記第4のステップにおいて、予め定められた更新回数後、新規監視キーが予め定められた順位M(M≦N)未満の順位として現れた場合は、異なり数誤推定と判断して更新を行わないことを特徴とする。
本発明によれば分割監視キー毎に異なり数情報を保持することで、少ないメモリ容量で効率よく異なり数に関する上位N個の監視キーおよび当該監視キーの異なり数を推定することが出来る。
以下、図面を用いて本発明の実施例を説明する。
図1は本発明の推定システムの基本構成の一実施例を示す図である。本実施例の推定システムは、コンピュータネットワーク上を転送されるパケットデータについて、指定された項目の異なり数に関する上位N(N≧2)個のキーおよび同キーの異なり数を推定するシステムである。「異なり数」とは、例えば発ホスト毎の異なる宛先ホストの数や、異なる着ポート番号の数といった数であり、一般的には、ある集合に含まれる要素の内、互いに異なる要素の数である。英語ではcardinality(= number of distinct elements)である。
図1に示すように、推定システムは、トラヒックデータを取得するトラヒック取得部101と、監視対象となる少なくとも一つのキー、および異なり数をカウントする対象項目を指定する監視キー、異なり数カウント対象項目指定部102と、キーを分割した分割キー毎に異なり数情報を保持し、取得したパケット毎に当該パケットのキーを分割した分割キーに対する異なり数情報を更新する異なり数情報算出部103と、上位N個のキーおよび当該キーに対する、異なり数情報算出部103が保持する異なり数情報から推定した異なり数を保持し、パケット取得時に異なり数情報算出部103が異なり数情報を更新した結果、異なり数情報が変化した場合は新規異なり数カウント対象指定項目値と判断して、当該キーの異なり数推定値、および上位Nキーを更新する上位Nキー情報算出部104と、を備える。
以下、推定システムの動作を説明する。
トラヒック取得部101は、ネットワーク内のリンク上、およびネットワーク内部のノード内で転送されるトラヒック情報を取得し、取得トラヒック情報を異なり数情報算出部103に転送する。
監視キー、異なり数カウント対象項目指定部102は、監視対象となる少なくとも一つのキー、および異なり数をカウントする対象項目を指定する。
以下、監視キー、異なり数カウント対象項目指定部102が、監視キーとして送信IPアドレス、異なり数カウンタ項目として送信IPアドレス毎の送信フロー数を指定した場合を図2を用いて説明する。
異なり数情報算出部103では、図2の上部に示すパケットデータから監視キーである送信IPアドレス“192.168.10.1”を抽出し、ハッシュ化した後、ハッシュ化したビット列を予め指定された数に等分する。図2においては、4分割し、{a1,a2,a3,a4}の4つの分割ハッシュアドレスを得ている。さらに異なり数カウンタ項目であるフロー情報(送受信IPアドレス、送受信ポート番号、トランスポートプロトコル情報)をハッシュ化し、その一部(図2では上位3ビット)を異なり数情報識別子“001”として利用し、残りのビット列“001000…”の内、最も左側に位置する“1”ビットの位置“3”(一番上の桁から数えて3番目)を同識別子に対応する異なり数情報への入力情報とする。同情報を用いて、各分割アドレス、異なり数情報識別子毎に保持された異なり数情報を、到着パケットデータから得られた最も左側に位置する“1”ビットの位置“3”と更新前の値との最大値をとることによって更新する。図2の下部に示すテーブルは、1列目が分割ハッシュアドレス、2列目が識別子001の更新前の異なり数情報、3列目が識別子001の更新後の異なり数情報を示している。図2には、更新前は、分割ハッシュアドレスa1、a2、a3、a4に対応する識別子001の異なり数情報がそれぞれ0、1、5、3であり、今、図2の上部に示すパケットデータがトラヒック取得部101から異なり数情報算出部103に転送されてきた例が示されている。前述のように、このパケットデータにおける識別子は001であり、最も左側に位置する“1”ビットの位置は3である。分割ハッシュアドレスa1、a2の更新前の識別子001の異なり数情報0、1は3より小さいから、3、3に更新される。一方、分割ハッシュアドレスのa3、a4の更新前の識別子001の異なり数情報5、3は3以上であるから更新されない。
上位Nキー情報算出部104では異なり数情報算出部103において異なり数情報の更新があった場合、そのフローが当該送信IPアドレスにとって新しいフローであったと判断して、上位Nキーを更新する。図3に上位Nキーを更新する手続きを示す。ここでは、分割アドレスa1、a2において異なり数情報の更新があったため、上位Nキーを更新している。送信IPアドレスh=“192.168.10.1”、異なり数情報識別子i=“001”の分割アドレスに対する更新後の異なり数情報{3,3,5,3}の最小値m (h)は3となる。その他の異なり数情報識別子を含めて、総数k個の異なり数情報識別子に対して分割アドレス間の異なり数情報最小値を算出し、数式1を用いてフロー数を推定する。
Figure 0004112590
ここでkは異なり数情報識別子の総数であり、αは数式2で表される補正パラメータである(Γ(・)はGamma関数)。
Figure 0004112590
上記の異なり数情報識別子の総数kは、図2のように上位3ビットを識別子に利用する場合は異なり数情報識別子は000、001、010、011、100、101、110、111の8種類であるから、k=8となる。図2に示すパケットの例では異なり数情報識別子は001であるが、観測期間中に取得する同一監視キー(送信IPアドレスh=“192.168.10.1”)のパケットの異なり数情報識別子iは上記の8種類のいずれかであるから、数式1に示すように、i=1からkまでの加算を行い、フロー数を推定する。図3では例として推定フロー数が150になった場合を示している。
図4に、あるトラヒックデータにおいて送信IPアドレス毎のフロー数について真のフロー数と数式1で推定したフロー数の散布図を示す。直線は真の異なり数と推定異なり数が一致する場合である。フロー数が少ない送信IPアドレスに関しては過大評価している一方、フロー数が大きい領域では精度良くフロー数を推定していることがわかる。従って数式1による推定方式は異なり数上位N個のキーに関する異なり数を精度良く推定できると期待される。
上位Nキー情報算出部104では推定した異なり数が、更新前の上位N送信IPアドレスのフロー数未満であれば、上位N送信IPアドレス情報は更新しない。一方、推定フロー数が上位N送信IPアドレスのフロー数以上であれば、図3に示すとおりに更新処理を実施する。当該パケットの送信アドレスが既に上位N送信IPアドレステーブルに存在すれば、フロー数のみを更新する。上位N送信IPアドレステーブルに無ければ、最もフロー数が少ない送信IPアドレスをテーブルから削除し、新規送信IPアドレスを上位N送信IPアドレステーブル中のフロー数に関して降順となる位置に挿入する。
このとき、これら更新処理はパケット毎に実施するため、ある送信IPアドレスは新規に上位N送信IPアドレステーブルに現れる際はN番目の位置に挿入されるはずであり、最大フロー数となる1番目に現れることはありえない。異なり数推定の誤差を考慮してM(≦N)位未満の順位に新規送信IPアドレスが出現した場合、分割監視キーが上位の監視キーと衝突したと判断し、上位N送信IPアドレステーブルの更新を行わないようして誤推定を回避することができる。なぜなら、到着パケットは、既出フローか新規フローかどちらであるが、どちらにせよ、1つのパケット到着時にフロー数はたかだか1フローしか増加しない。したがって、フロー数に関する上位N個のIPアドレスランキングをパケット到着時に更新している場合、ランキング外から新規にIPアドレスが登場する場合は、前述のようにN位から登場するはずであり、いきなり上位に登場することはありえない。したがって、いきなり上位に登場した場合は、アドレスをハッシュ化し、分割した際に、他の(フロー数が多い)アドレスと衝突した可能性が高いと考えられるからである。
以上に説明した実施例では監視キーをハッシュ化した後、分割しているが、ハッシュ化せずに分割してもよい。また、識別子として利用するビット数は任意である。実施例のように識別子を利用する方が好適であるが、識別子を利用しなくてもよい。
実施例の推定システムはコンピュータとプログラムで構成できる。また、そのプログラムの一部または全部に代えてハードウェアを用いて構成してもよい。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
本発明の実施例の推定システムの構成例を示すブロック図である。 分割アドレスに対する異なり数情報の更新処理を示す。 上位N監視キーおよびその推定異なり数の更新処理を示す。 送信IPアドレス毎のフロー数とその推定値の散布図の例である。
符号の説明
101…トラヒック取得部、102…監視キー、異なり数カウント対象項目指定部、103…異なり数情報算出部、104…上位Nキー情報算出部

Claims (3)

  1. コンピュータネットワーク上を転送されるパケットデータについて、指定された項目の異なり数に関する上位N(N≧2)個のキーおよび同キーの異なり数を推定する推定システムにおける異なり数上位Nキーの推定方法であって、
    前記推定システムは、トラヒック取得部と、監視キー、異なり数カウント対象項目指定部と、異なり数情報算出部と、上位Nキー情報算出部と、を備え、
    前記トラヒック取得部が、トラヒックデータを取得する第1のステップと、
    前記監視キー、異なり数カウント対象項目指定部が、監視対象となる少なくとも一つのキー、および異なり数をカウントする対象項目を指定する第2のステップと、
    前記異なり数情報算出部が、キーを分割した分割キー毎に異なり数情報を保持し、取得したパケット毎に異なり数カウント対象指定項目をハッシュ化した{0,1}ビット列のうち、一部を異なり数情報識別子として利用し、残りのビット列の最も左側の“1”ビットの位置の最大値を異なり数情報として利用し、当該パケットのキーを分割した分割キー毎に、分割キーに対する複数個の異なり数情報のうち異なり数情報識別子で定まる一つの異なり数情報を、更新前の異なり数情報と当該パケットの異なり数情報との最大値を取ることにより、更新する第3のステップと、
    前記上位Nキー情報算出部が、上位N個のキーおよび当該キーに対する、前記第3のステップにおける異なり数情報から推定した異なり数を保持し、前記異なり数算出部において異なり数情報の値の変化があった場合に、取得したパケットのキーに対する異なり数を前記第3のステップにおける分割キー毎に保持した複数個の異なり数情報から数式1で推定し、当該キーの異なり数推定値、および上位Nキーを更新する第4のステップと、
    を含むことを特徴とする異なり数上位Nキーの推定方法。
    Figure 0004112590
     ここで、kは異なり数情報識別子の総数であり、α は数式2で表される補正パラメータであり(Γ(・)はGamma関数)、m (h)は、異なり数情報識別子iに対応する分割キーの異なり数情報のうちの分割キー内の最小値である。
    Figure 0004112590
  2. 請求項1に記載の異なり数上位Nキーの推定方法において、前記第4のステップにおいて、予め定められた更新回数後、新規監視キーが予め定められた順位M(M≦N)未満の順位として現れた場合は、異なり数誤推定と判断して更新を行わないことを特徴とする異なり数上位Nキーの推定方法。
  3. コンピュータネットワーク上を転送されるパケットデータについて、指定された項目の異なり数に関する上位N(N≧2)個のキーおよび同キーの異なり数を推定する推定システムであって、
    トラヒックデータを取得するトラヒック取得部と、
    監視対象となる少なくとも一つのキー、および異なり数をカウントする対象項目を指定する監視キー、異なり数カウント対象項目指定部と、
    ーを分割した分割キー毎に異なり数情報を保持し、取得したパケット毎に異なり数カウント対象指定項目をハッシュ化した{0,1}ビット列のうち、一部を異なり数情報識別子として利用し、残りのビット列の最も左側の“1”ビットの位置の最大値を異なり数情報として利用し、当該パケットのキーを分割した分割キー毎に、分割キーに対する複数個の異なり数情報のうち異なり数情報識別子で定まる一つの異なり数情報を、更新前の異なり数情報と当該パケットの異なり数情報との最大値を取ることにより、更新する異なり数情報算出部と、
    上位N個のキーおよび当該キーに対する、前記異なり数情報算出部が保持する異なり数情報から推定した異なり数を保持し、前記異なり数算出部において異なり数情報の値の変化があった場合に、取得したパケットのキーに対する異なり数を前記異なり数算出部における分割キー毎に保持した複数個の異なり数情報から数式1で推定し、当該キーの異なり数推定値、および上位Nキーを更新する上位Nキー情報算出部と、
    を備えることを特徴とする異なり数上位Nキーの推定システム。
    Figure 0004112590
     ここで、kは異なり数情報識別子の総数であり、α は数式2で表される補正パラメータであり(Γ(・)はGamma関数)、m (h)は、異なり数情報識別子iに対応する分割キーの異なり数情報のうちの分割キー内の最小値である。
    Figure 0004112590
JP2006060490A 2006-03-07 2006-03-07 異なり数上位nキーの推定方法および推定システム Expired - Fee Related JP4112590B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006060490A JP4112590B2 (ja) 2006-03-07 2006-03-07 異なり数上位nキーの推定方法および推定システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006060490A JP4112590B2 (ja) 2006-03-07 2006-03-07 異なり数上位nキーの推定方法および推定システム

Publications (2)

Publication Number Publication Date
JP2007243371A JP2007243371A (ja) 2007-09-20
JP4112590B2 true JP4112590B2 (ja) 2008-07-02

Family

ID=38588489

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006060490A Expired - Fee Related JP4112590B2 (ja) 2006-03-07 2006-03-07 異なり数上位nキーの推定方法および推定システム

Country Status (1)

Country Link
JP (1) JP4112590B2 (ja)

Also Published As

Publication number Publication date
JP2007243371A (ja) 2007-09-20

Similar Documents

Publication Publication Date Title
EP3289707B1 (en) Signature-based latency extraction systems and related methods for network packet communications
US9979624B1 (en) Large flow detection for network visibility monitoring
US8005012B1 (en) Traffic analysis of data flows
US10536360B1 (en) Counters for large flow detection
JP5050781B2 (ja) マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法
EP2337266A2 (en) Detecting and classifying anomalies in communication networks
CN106657038B (zh) 一种基于对称度Sketch的网络流量异常检测与定位方法
CN107968791B (zh) 一种攻击报文的检测方法及装置
TW201520770A (zh) 用於取樣網路流之量測之埠鏡射
US10003515B1 (en) Network visibility monitoring
JP2005348416A (ja) フロー単位のトラフィック推定
CN109479015B (zh) 网络设备及其延迟监测方法
US20210152454A1 (en) Network Flow Measurement Method, Network Measurement Device, and Control Plane Device
JP2006148686A (ja) 通信監視システム
JP5862811B1 (ja) 評価装置、評価方法、及びプログラム
WO2015182629A1 (ja) 監視システム、監視装置及び監視プログラム
CN115102716B (zh) 一种基于自适应采样阈值的网络大流检测方法及系统
Tong et al. Online heavy hitter detector on FPGA
Zhou et al. Online internet traffic measurement and monitoring using spark streaming
JP4112590B2 (ja) 異なり数上位nキーの推定方法および推定システム
JP4266379B2 (ja) トラヒック情報集約システムおよび方法
Odegbile et al. Hierarchical virtual bitmaps for spread estimation in traffic measurement
JP4980396B2 (ja) トラヒック特性計測方法および装置
CN113812119A (zh) 用于性能测量的网络节点
Lan et al. Passive overall packet loss estimation at the border of an ISP

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080108

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080307

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080408

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080409

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110418

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120418

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130418

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140418

Year of fee payment: 6

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees