JP5751396B2 - 周期性検出方法、周期性検出装置および周期性検出プログラム - Google Patents

周期性検出方法、周期性検出装置および周期性検出プログラム Download PDF

Info

Publication number
JP5751396B2
JP5751396B2 JP2015502731A JP2015502731A JP5751396B2 JP 5751396 B2 JP5751396 B2 JP 5751396B2 JP 2015502731 A JP2015502731 A JP 2015502731A JP 2015502731 A JP2015502731 A JP 2015502731A JP 5751396 B2 JP5751396 B2 JP 5751396B2
Authority
JP
Japan
Prior art keywords
periodicity
numerical data
index
unit
frequency distribution
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015502731A
Other languages
English (en)
Other versions
JPWO2014132547A1 (ja
Inventor
祥之 山田
祥之 山田
誠 藤波
誠 藤波
泰寛 宮尾
泰寛 宮尾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2015502731A priority Critical patent/JP5751396B2/ja
Application granted granted Critical
Publication of JP5751396B2 publication Critical patent/JP5751396B2/ja
Publication of JPWO2014132547A1 publication Critical patent/JPWO2014132547A1/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0894Packet rate
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Environmental & Geological Engineering (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Cardiology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)

Description

本発明は、任意の形式の数値データが持つ周期性を検出する周期性検出方法、周期性検出装置、パケット監視システムおよび周期性検出プログラムに関する。
様々な情報処理、情報通信分野において、数値データの特性を解析する手段の一つとして、数値データの持つ周期性を検出することが求められている。数値データの持つ「周期性」とは、数値データ系列の中に一定の数値パターンの繰り返しが存在することを意味する。
図17は、数値パターンの繰り返しの例を示す説明図である。処理対象となる数値データには、例えば、図17に示すように周期的な時間間隔を意味するものや、距離あるいは長さなど、周期的な位置間隔を意味するものも含まれる。
一般に、数値データの持つ周期性を検出する際には、実際に数値データ内にどのような周期性が存在するかについての情報は与えられずに、検出を行わなければならない場合がある。また、周期パターンを構成する周期成分には、図17に示すようにランダム性を含む場合もあれば、微小な変動が含まれる場合もある。ここで「周期成分」とは、周期性を示す繰り返しパターンを構成する数値データの要素のことを指す。
このような数値データの周期性を検出する装置あるいは手法の例が特許文献1および非特許文献1に記載されている。特許文献1には、連続するn個の数値データに対してn次元位相空間を定義し、空間内の周期成分を示す特徴点を抽出することで周期パターンを検出する周期性検出装置が記載されている。
特許文献1に記載された周期性検出装置は、数値データにより定まるn次元空間内の座標位置に当該数値データの出現頻度を記録し、出現頻度の高い座標位置を、周期成分を示す特徴点として抽出する。数値データ内に、特定の繰り返しパターンとなる周期性が存在する場合は、周期パターンを構成する周期成分について、n次元空間内の最初の周期成分に相当する特徴点を出発し、特徴点として抽出した1または複数の座標位置を経由して、最後の周期成分に相当する特徴点に到達することが検知される。
このとき、最初の周期成分に相当する特徴点と最後の周期成分に相当する特徴点とがn次元空間内で一致し、経由する特徴点の軌跡が閉ループを構成する。閉ループを構成する最初の特徴点と最後の特徴点が一致するということは、同一の数値データの要素が出現したことを意味する。そのため、この結果を周期性とみなすことができる。特許文献1に記載された周期性検出装置は、上記の性質を利用して数値データ内の周期パターンを検出する。
非特許文献1に記載された周期性検出方法では、実数で表される数値データに対し、あらかじめ与えられた値に従い実数軸を等間隔に分割し、各区間をスロットとして定義する。その後、各スロットに処理対象の数値データが存在するか否かを判定し、数値データが存在すると判定されたスロットにはフラグが付与される。そして、フラグが付与されたスロットの間隔を探索することで周期成分を特定し、周期パターンを検出する。
具体的には、非特許文献1に記載された周期性検出方法では、全スロットに渡り考えられる限りすべてのスロット間隔の可能性について総当たりで探索が行われる。例えば、1スロットおき、2スロットおき・・・のように順に探索が行われる。実数軸上にNスロットあった場合にはスロット間隔の候補数はN/2通りとなり、全ての候補について探索が行われることになる。
特開平7−92975号公報
F. Qian, Z. Wang, Y. Gao, J. Huang, A. Gerber, Z. M. Mao, S.Sen, O. Spatscheck, "Periodic Transfers in Mobile Applications: Network-wide Origin, Impact, and Optimization," in Proceedings of the 21st international conference on World Wide Web, pp. 51-60, 16-20 Apr., 2012.
特許文献1および非特許文献1に記載された周期性検出方法では、周期性を示す周期パターンとして数値データに含まれる繰り返しパターンを特定することを目的としている。一方、複数のデータセットが与えられ、周期性を含むデータあるいは周期性を含まないデータの分類を行う場合など、単純に「入力される数値データに周期性が存在するか否か」を判別する装置が必要な場合がある。
特許文献1および非特許文献1に記載された周期性検出方法を、入力される数値データ内の周期性の有無を判別する判別方法として適用することも可能である。例えば、周期パターンが特定された場合には入力された数値データに周期性が存在し、周期パターンが特定されない場合には入力された数値データに周期性は存在しない、と判定することにより数値データ内の周期性の有無を判別することができる。
上述するように、特許文献1に記載された周期性検出装置は、連続するn個の数値データに対して定義されるn次元位相空間内に、数値データにより定まる座標位置の出現頻度を評価する。この評価により、周期成分に相当する特徴点が抽出され、この特徴点を基に数値データ内の周期パターンの検出が行われる。
特徴点の抽出は、数値データ内に連続するn個の要素それぞれに対しn次元空間内の座標位置を特定し、その座標位置に保持する評価値を更新する必要があるため計算量の多い処理である。しかし、周期性の有無を判別する判別装置として特許文献1に記載された周期性検出装置を適用すると、「入力される数値データに周期性が存在するか否か」を調べるためだけに、n次元空間内の座標位置を特定するという計算量の多い処理を行ってしまう問題があった。
また、上述するように、非特許文献1に記載された周期性検出方法では、あらかじめ与えられた値に従い実数軸をスロットと呼ばれる等間隔の区間へ分割し、数値データが存在するスロットの間隔を探索することで周期成分を特定して、周期パターンを検出する。非特許文献1に記載された周期性検出方法では、全スロットに渡り考えられる限りすべてのスロット間隔の可能性について総当たりで探索するため、実数軸上に定義したスロット数に比例して探索するスロット間隔の候補数が増大する。
例えば、実数軸上にNスロットあった場合において2回以上同じ数値が連続した場合を周期性とみなすとき、スロット間隔の候補数はN/2通りとなり、少なくともN/2回の繰り返し処理となるため、計算量が増える要因となる。非特許文献1に記載された周期性検出方法を、周期性の有無を判別する判別装置として適用した場合には、「入力される数値データに周期性が存在するか否か」を判別するためだけに、少なくともN/2回の繰り返し処理を行うため、計算量が多くなる問題があった。
そこで、本発明は、数値データに周期性が存在するか否かを計算量を抑えて検出できる周期性検出方法、周期性検出装置、パケット監視システムおよび周期性検出プログラムを提供することを目的とする。
本発明による周期性検出方法は、入力される数値データの度数分布と、予め与えられる基準分布に従う度数分布との各区間における差異に基づいて、周期性の有無を判別する周期性判別指標を算出し、算出された周期性判別指標を用いて、数値データ内に存在する1または複数の周期成分を含む周期性の有無を判別することを特徴とする。
本発明による周期性検出装置は、入力される数値データの度数分布と、予め与えられる基準分布に従う度数分布との各区間における差異に基づいて、周期性の有無を判別する周期性判別指標を算出する指標算出手段と、指標算出手段が算出した周期性判別指標を用いて、数値データ内に存在する1または複数の周期成分を含む周期性の有無を判別する判別手段とを備えたことを特徴とする。
本発明によるパケット監視システムは、時刻順に列挙されたパケットデータから検出対象とするパケットデータを抽出し、時系列で前後するパケットデータの時間間隔を数値データとして生成する数値データ作成手段と、数値データにおける周期性の有無を検出する周期性検出装置とを備え、周期性検出装置が、数値データの度数分布と、予め与えられる基準分布に従う度数分布との各区間における差異に基づいて、周期性の有無を判別する周期性判別指標を算出する指標算出手段と、指標算出手段で算出された周期性判別指標を用いて、数値データ内に存在する1または複数の周期成分を含む周期性の有無を判別する判別手段とを含むことを特徴とする。
本発明による周期性検出プログラムは、コンピュータに、入力される数値データの度数分布と、予め与えられる基準分布に従う度数分布との各区間における差異に基づいて、周期性の有無を判別する周期性判別指標を算出する指標算出処理、および、指標算出処理で算出された周期性判別指標を用いて、数値データ内に存在する1または複数の周期成分を含む周期性の有無を判別する判別処理を実行させることを特徴とする。
本発明によれば、数値データに周期性が存在するか否かを計算量を抑えて検出できる。
本発明による周期性検出装置の第1の実施形態の構成例を示すブロック図である。 数値データの例を示す説明図である。 指標を算出する方法の例を示す説明図である。 第1の実施形態の周期性検出装置1の動作例を示すフローチャートである。 本発明による周期性検出装置の第2の実施形態の構成例を示すブロック図である。 第2の実施形態の周期性検出装置2の動作例を示すフローチャートである。 本発明による周期性検出装置の第3の実施形態の構成例を示すブロック図である。 第3の実施形態の周期性検出装置3の動作例を示すフローチャートである。 本発明による周期性検出装置の第4の実施形態の構成例を示すブロック図である。 第4の実施形態の周期性検出装置4の動作例を示すフローチャートである。 パケット監視システムの構成例を示すブロック図である。 具体例におけるパケット監視システム100の動作例を示すフローチャートである。 相対度数分布の例を示す説明図である。 具体例におけるパケット監視システム100が出力する結果の例を示す説明図である。 本発明による周期性検出装置の概要を示すブロック図である。 本発明によるパケット監視システムの概要を示すブロック図である。 数値パターンの繰り返しの例を示す説明図である。
以下、図面を参照して本発明の実施形態および実施例について詳細に説明する。
実施形態1.
図1は、本発明による周期性検出装置の第1の実施形態の構成例を示すブロック図である。本実施形態の周期性検出装置1は、指標算出手段11と、判別手段12と、出力手段13とを備えている。指標算出手段11は、判別手段12に接続され、判別手段12は、指標算出手段11と出力手段13とにそれぞれ接続され、出力手段13は、判別手段12に接続される。
図2は、数値データの例を示す説明図である。周期性検出装置1は、例えば、図2に例示する数値データに周期性が存在するか否かを検出する。
指標算出手段11は、外部装置(図示せず)から、例えば図2に示される数値が列挙された数値データを受け付ける。さらに指標算出手段11は、外部装置(図示せず)から少なくとも度数分布の階級幅と所定の基準分布から構成される周期性判別指標を算出するための算出パラメータを受け付ける。指標算出手段11は、入力される数値データの相対度数分布と所定の基準分布に従う相対度数分布とを比較して、度数分布の各区間における差異に基づいて周期性の有無を判別する指標を算出し、算出した指標を判別手段12へ出力する。
所定の基準分布は、入力される数値データについて想定される分布が設定される。例えば、確率分布である一様分布や指数分布を所定の基準分布として適用してもよいし、使用者が任意に定めた分布を所定の基準分布として適用してもよい。
なお、入力される数値データの理想的な分布が周知である場合、理想的な数値データが入力された場合におけるその数値データの分布を所定の基準分布として設定することが好ましい。ただし、例えば、過去取得した異なるデータセットを単純に適用する場合も想定されるため、必ずしも使用者が想定する理想的な数値データに限定して基準分布を定めなくてもよい。
図3は、指標を算出する方法の例を示す説明図である。指標算出手段11は、図3に例示するように、入力される数値データの相対度数分布と、所定の基準分布に従う相対度数分布との区間ごとに得られる差異の最大値を、相対度数分布全体に渡る差異の和で除して指標を算出してもよい。ただし、指標を算出する方法は、図3に例示する方法に限定されない。
判別手段12は、指標算出手段11から周期性の有無を判別するために算出した指標を受け取る。さらに判別手段12は、外部装置(図示せず)から周期性が存在するか否かの判断基準となる所定の検出閾値の入力を受け付ける。判別手段12は、受け取った指標と検出閾値とを比較することにより、入力される数値データに1または複数の周期成分を含む周期性が存在するか否かを判別し、判別した結果を出力手段13へ出力する。
上述するように、「周期成分」とは、周期性を示す繰り返しパターンを構成する数値データの要素のことを指す。また、周期パターンを構成する周期成分には、図17に示すようにランダム性を含む場合もあれば、微小な変動が含まれる場合もある。
検出閾値は、任意に設定される。例えば、図3に例示する定義式で算出される指標が適用された場合、分母であるΣDGは、2つの相対度数分布が完全に一致するときに0、全く異なるときに2となるため、取り得る値の範囲は0以上2以下となる。一方、分子であるmaxDGは区間iにおける差異であるため最大でも1である。従って、図3に例示する定義式により算出される指標の取り得る値の範囲は0以上0.5以下である。ここで、2つの相対度数分布が完全に一致する場合は分母の値と分子の値それぞれが0となり不定となるため0と定義する。そのため、利用者は、この範囲内で任意の数値を適用すればよい。判別手段12は、算出した指標が閾値以上となる場合に周期性が存在すると判断し、前記指標が閾値以下となる場合に周期性は存在しないと判断する。ただし、検出閾値の具体的な値は、上記範囲に限定されない。利用者は、指標算出手段11に適用される指標の算出方法に応じて検出閾値を設定すればよい。
出力手段13は、入力された数値データに周期性が存在するか否かについて判別手段12の判断に従い、入力された数値データに周期性が存在するか否かを外部装置(図示せず)へ出力する。
指標算出手段11と、判別手段12と、出力手段13とは、プログラム(周期性検出プログラム)に従って動作するコンピュータのCPUによって実現される。例えば、プログラムは、周期性検出装置1の記憶部(図示せず)に記憶され、CPUは、そのプログラムを読み込み、プログラムに従って、指標算出手段11、判別手段12及び出力手段13として動作してもよい。また、指標算出手段11と、判別手段12と、出力手段13とは、それぞれが専用のハードウェアで実現されていてもよい。
次に、本実施形態の周期性検出装置1の動作を説明する。図4は、本実施形態の周期性検出装置1の動作例を示すフローチャートである。指標算出手段11は、外部装置(図示せず)から数値データの入力を受け付ける。さらに指標算出手段11は、外部装置(図示せず)から、例えば少なくとも度数分布の階級幅と所定の基準分布から構成される、周期性判別指標を算出するための算出パラメータを受け付ける。そして、指標算出手段11は、入力された数値データの相対度数分布を計算する(ステップS1)。
指標算出手段11は、受け付けた算出パラメータに含まれる所定の基準分布を参照し、基準分布に従う相対度数分布を計算する(ステップS2)。続いて指標算出手段11は、入力された数値データの相対度数分布と所定の基準分布に従う相対度数分布とを比較し、相対度数分布上の区間ごとの差分に基づき周期性の有無を判別する周期性判別指標を算出する。指標算出手段11は、算出した周期性判別指標を判別手段12へ出力する(ステップS3)。
判別手段12は、算出された周期性判別指標を指標算出手段11から受け取り、外部装置(図示せず)から周期性が存在するか否かの判断基準となる所定の検出閾値の入力を受け付ける。判別手段12は、周期性判別指標と検出閾値とを比較することにより、入力された数値データに周期性が存在するか否かを判別し、判別結果を出力手段13へ通知する(ステップS4)。
出力手段13は、周期性の有無の判別結果を判別手段12から受け取り、受け取った判別結果を外部装置(図示せず)へ出力する(ステップS5)。
以上のように、本実施形態によれば、指標算出手段11が、入力される数値データの度数分布と、予め与えられる基準分布に従う度数分布との各区間における差異に基づいて周期性判別指標を算出し、判別手段12が、周期性判別指標を用いて周期性の有無を判別する。具体的には、例えば図3に示される例においては、基準分布Fと入力数値データの分布の2つの相対度数分布の差異の最大値(図3においてxおよびfの矢印で示される部分)から算出される指標が検出閾値を超えるため、周期性の有無を検出できる。よって、数値データに周期性が存在するか否かを計算量を抑えて検出できる。
すなわち、本実施形態では、指標算出手段11が入力される数値データと所定の基準分布のそれぞれに従う2つの相対度数分布における区間ごとの差分に基づいて指標を算出することで、入力される数値データ内に周期性が存在するか否かを判別する。指標算出手段11が行う演算処理は、度数分布に基づいているため、1次元空間内での座標位置を特定することに相当している。かつ、指標算出手段11が行う演算処理では、入力される数値データの各要素について1度だけ参照することで指標の算出を行えるため、繰り返し処理を行う必要がない。これにより、周期性検出装置1は、ランダム性や変動を含む入力数値データに対し、周期性が存在するか否かの判別を行うための計算量を軽減することが可能になる。
また、周期性検出装置1は、判別手段12が、指標算出手段11から受け取った周期性判別指標と、外部から入力された検出閾値とを比較して、入力された数値データ内に周期性が存在するか否かを判別する。これにより、入力される検出閾値を変更することで、周期性の有無を検出することに対する感度を調整することが可能となり、周期性検出装置1の性能調整が容易になる。
実施形態2.
図5は、本発明による周期性検出装置の第2の実施形態の構成例を示すブロック図である。なお、第1の実施形態と同様の構成については、図1と同一の符号を付し、説明を省略する。本実施形態の周期性検出装置2は、指標算出手段11と、判別手段12と、出力手段13と、検出閾値決定手段24とを備えている。
検出閾値決定手段24は、判別手段12に接続され、入力装置(図示せず)から閾値決定パラメータの入力を受け付ける。すなわち、第2の実施形態と第1の実施形態との相違は、周期性検出装置2が検出閾値決定手段24をさらに備える点である。その他の構成要素は、第1の実施形態と同様である。
検出閾値決定手段24は、入力装置(図示しない)から閾値決定パラメータを受け取り、入力される数値データ内の周期性の有無を判別するための基準となる検出閾値を決定し、判別手段12へ出力する。閾値決定パラメータは、少なくとも指標算出手段11に与えられる算出パラメータに含まれる基準分布と同一の基準分布、および、検出閾値の算出に用いられる所定の割合を含む。
検出閾値決定手段24が検出閾値を決定する方法は任意である。例えば、図3に例示する定義式から算出される指標を適用する場合、検出閾値決定手段24は、その指標の取り得る値である0以上0.5以下の範囲で任意の値を出力可能なアルゴリズムを利用して検出閾値を決定してもよい。
検出閾値決定手段24は、閾値決定パラメータとして周期性判別指標の算出に用いられる基準分布と同一の分布を入力装置(図示せず)から受け取ったとき、受け取った基準分布に1または複数の周期成分を示す数値データを任意の割合で加えることで周期成分を持つ疑似数値データを合成してもよい。そして、検出閾値決定手段24は、入力される数値データに代えて、この疑似数値データを用いて、指標算出手段11が周期性判別指標を算出する方法と同様の方法で周期性判別指標(以下、仮閾値と記すこともある。)を算出し、算出した仮閾値に所定の割合を乗算することで検出閾値を決定してもよい。
ただし、検出閾値を決定する方法は、上記方法に限定されない。検出閾値決定手段24は、周期性判別指標の取り得る値の範囲内で周期性が存在する可能性が高いと判断可能な値に決定する任意の方法を用いて検出閾値を決定してもよい。また、適用する検出閾値の決定方法に応じて、適切な閾値決定パラメータに変更してもよい。
検出閾値決定手段24も、プログラム(周期性検出プログラム)に従って動作するコンピュータのCPUによって実現される。また、検出閾値決定手段24は、専用のハードウェアで実現されていてもよい。
次に、本実施形態の周期性検出装置2の動作を説明する。図6は、本実施形態の周期性検出装置2の動作例を示すフローチャートである。なお、第1の実施形態と同様の動作については図4と同一の記号を付し、詳細な説明を省略する。
第2の実施形態の周期性検出装置2は、以下の点で第1の実施形態の周期性検出装置1と異なる。
まず、本実施形態では、初めに、検出閾値決定手段24が、入力装置(図示せず)から少なくとも指標算出手段11が受け付ける基準分布と同一の基準分布と、閾値の算出に用いられる所定の割合を含む閾値決定パラメータを受け取る。検出閾値決定手段24は、1または複数の周期成分を示す数値データを任意の割合で加えることで疑似数値データを生成する。そして、検出閾値決定手段24は、指標算出手段11が指標を算出する方法と同様の方法を用いて仮指標を算出し、閾値決定パラメータに含まれる所定の割合を仮指標に乗算することで検出閾値を決定する(ステップS11)。
また、本実施形態では、ステップS4において、判別手段12が、検出閾値決定手段24から周期性の有無を判別するための基準となる検出閾値を受け取る。判別手段12は、指標算出手段11が算出した周期性判別指標と、検出閾値とを比較することで、入力される数値データ内に周期性が存在するか否かを判別し、判別結果を出力手段13へ通知する。
以上のように、本実施形態によれば、検出閾値決定手段24が、判別手段12が周期性の有無を判別するために用いる検出閾値を決定する。具体的には、検出閾値決定手段24が、基準分布に1または複数の周期成分を示す数値データを合成することで疑似数値データを生成する。検出閾値決定手段24は、指標算出手段11が周期性判別指標を算出する方法と同様の方法で仮閾値を算出し、その仮閾値に所定の割合を乗算することで検出閾値を決定する。
これにより、ポリシーとして与えられる基準分布あるいは所定の割合などの閾値決定パラメータを変更するだけで、周期性の判別の基準となる閾値の再計算を自動化することが可能になる。よって、基準分布または所定の割合に変更が生じた際にも、ユーザの操作回数を減らすことができるため、閾値の変更に関わるオペレーションコストを低減できる。この点は、リアルタイム監視を行うシステムへ周期性検出装置2を適用する際の利点にもなる。
実施形態3.
図7は、本発明による周期性検出装置の第3の実施形態の構成例を示すブロック図である。なお、第1の実施形態と同様の構成については、図1と同一の符号を付し、説明を省略する。本実施形態の周期性検出装置3は、指標算出手段11と、判別手段32と、出力手段33と、周期成分特定手段35と、周期パターン検出手段36とを備えている。
判別手段32は、指標算出手段11と出力手段33と周期成分特定手段35とにそれぞれ接続され、入力装置(図示せず)から検出閾値の入力を受け付ける。また、出力手段33は、判別手段32と周期パターン検出手段36とにそれぞれ接続され、周期成分特定手段35は、判別手段32と周期パターン検出手段36とにそれぞれ接続される。周期パターン検出手段36は、周期成分特定手段35と出力手段33とにそれぞれ接続され、外部装置(図示せず)から数値データの入力を受け付ける。
すなわち、第3の実施形態の周期性検出装置3は、出力手段13が出力手段33になっている点、周期成分特定手段35および周期パターン検出手段36をさらに備える点において、第1の実施形態の周期性検出装置1と異なる。その他の構成要素は、第1の実施形態と同様である。
判別手段32は、指標算出手段11から周期性判別指標を受け取り、さらに外部装置(図示せず)から周期性が存在するか否かの判断基準となる所定の検出閾値の入力を受け付ける。そして、判別手段32は、周期性判別指標と検出閾値とを比較することにより、入力された数値データに1または複数の周期成分を含む周期性が存在するか否かを判別する。ここで、判別手段32が受け付ける検出閾値の内容は、判別手段12が受け付ける検出閾値の内容と同様である。
判別手段32は、入力された数値データに周期性が存在すると判別した場合、周期性が存在する旨を周期成分特定手段35に出力する。一方、入力された数値データに周期性が存在しないと判別した場合、判別手段32は、周期性が存在しない旨を出力手段33へ出力する。
周期成分特定手段35は、判別手段32から入力された数値データに周期性が存在する旨を受け付けた場合に、1または複数の周期成分を特定し、周期パターン検出手段36に出力する。
周期成分特定手段35は、例えば、指標算出手段11が周期性判別指標を算出する過程で算出した各区間の指標を利用して周期成分を特定してもよい。具体的には、指標算出手段11が、入力される数値データの相対度数分布と、予め与えられる基準分布に従う相対度数分布とを比較して、区間ごとに両相対度数分布の差異を算出する。
このとき、周期成分特定手段35は、算出した差異が予め与えられる閾値より大きい値をとる1または複数の区間を周期成分として特定してもよい。また、周期成分特定手段35は、さらに、算出した分布全体の差異の和で各区間の差異を除して、区間ごとに指標を算出してもよい。この場合、周期成分特定手段35は、予め与えられる所定の閾値より大きい指標を有する1または複数の区間を周期成分として特定してもよい。
また、周期成分を特定する際に用いられる所定の閾値に、第2の実施形態の検出閾値決定手段24が決定する検出閾値を用いてもよい。この場合、周期性検出装置3が、検出閾値決定手段24を備えるようにすればよい。
ただし、周期成分の特定方法は、上記方法に限定されない。周期成分特定手段35は、入力される数値データの度数分布を用いて、出現頻度が予め与えられる所定の頻度より高い1または複数の区間を周期成分として特定する方法を用いて周期成分を特定してもよい。また、周期成分特定手段35は、全区間の中で最頻値となる区間を、周期成分を含む区間として特定してもよい。
また、周期成分特定手段35は、入力される数値データの相対度数分布と、予め与えられる基準分布に従う相対度数分布とを比較したときに、各相対度数分布の区間ごとの差異が最大値をとる区間を、周期成分を含む区間として特定してもよい。
さらに、周期成分特定手段35は、内部で、指標算出手段11が指標を算出する処理および判別手段32が周期性が存在するか否かを判別する処理を繰り返し行って、複数の周期成分を特定してもよい。
具体的には、周期成分特定手段35は、差異が最大値をとる区間を周期成分を含む区間と特定した後、その区間の差異を0とする新たな相対度数分布を生成し、その相対度数分布を利用して上述する繰り返し処理を行うことで、周期成分を含む区間を特定してもよい。このとき、周期成分特定手段35は、周期性が存在すると判断する間は、この処理を繰り返してもよい。なお、区間の差異を0とする新たな相対度数分布を生成するとは、その区間を周期成分と特定する対象から除外することであると言える。このような繰り返し処理を行うことで、複数の周期成分を特定できる。
周期パターン検出手段36は、外部装置(図示せず)から数値データの入力を受け付ける。さらに、周期パターン検出手段36は、入力された数値データ内から特定された1または複数の周期成分の情報を周期成分特定手段35から受け取る。そして、周期パターン検出手段36は、所定の方法に基づき、入力された数値データ内に存在する1または複数の周期成分を含む周期パターンを特定し、特定した周期パターンを出力手段33へ通知する。
周期パターン検出手段36は、周期パターンの検出を行う所定の方法として、例えば、同一の数値が連続して出現する部分を周期パターンとして検出する方法を用いてもよい。ただし、周期パターンを検出する方法は、上記方法に限定されない。周期パターン検出手段36は、例えば、特許文献1あるいは非特許文献1に記載された方法を用いて、周期パターンを検出してもよい。すなわち、周期パターン検出手段36は、周期的とみなせる繰り返しパターンを特定可能な任意のアルゴリズムを用いればよい。
出力手段33は、判別手段32において入力された数値データに周期性が存在しないと判別された場合、判別手段32から入力された数値データに周期性が存在しないことを受け取り、その旨を外部装置(図示せず)へ出力する。また、出力手段33は、判別手段32において入力された数値データに周期性が存在すると判別された場合、特定された周期パターンを示す情報を周期パターン検出手段36から受け取り、外部装置(図示せず)へ出力する。
ここで、入力された数値データに周期性が存在する場合に、出力手段33が、周期パターンを示す情報を出力する形式は、特に限定されない。出力手段33は、例えば、抽出された周期パターンに含まれる数値そのものを出力してもよいし、周期パターンごとに何回出現したかをヒストグラムにまとめるなどの加工を行い、統計データとして出力してもよい。
指標算出手段11と、判別手段32と、出力手段33と、周期成分特定手段35と、周期パターン検出手段36とは、プログラム(周期性検出プログラム)に従って動作するコンピュータのCPUによって実現される。また、指標算出手段11と、判別手段32と、出力手段33と、周期成分特定手段35と、周期パターン検出手段36とは、それぞれが専用のハードウェアで実現されていてもよい。
次に、本実施形態の周期性検出装置3の動作を説明する。図8は、本実施形態の周期性検出装置3の動作例を示すフローチャートである。なお、第1の実施形態と同様の動作については図4と同一の記号を付し、詳細な説明を省略する。
入力された数値データ、度数分布の階級幅および所定の基準分布から周期性判別指標を算出するステップS1〜S3の処理は、第1の実施形態の周期性検出装置1と同様である。一方、第3の実施形態の周期性検出装置3は、以下の点で第1の実施形態の周期性検出装置1と異なる。
本実施形態では、ステップS4において、判別手段32は、外部装置(図示せず)から所定の検出閾値の入力を受け付け、指標算出手段11が算出した周期性判別指標と検出閾値とを比較し、入力された数値データに周期性が存在するか否かを判別する(ステップS4)。
周期性が存在すると判別した場合(ステップS4で「存在する」の場合)、判別手段32は、周期性が存在する旨を周期成分特定手段35に出力する。一方、周期性が存在しないと判別した場合(ステップS4で「存在しない」の場合)、判別手段32は、周期性が存在しない旨を出力手段33へ出力する。
次に、本実施形態では、周期成分特定手段35が、入力された数値データに周期性が存在することを判別手段32から受け取った場合、1または複数の周期成分を特定し、特定した周期成分を示す情報を周期パターン検出手段36に出力する(ステップS21)。
次に、本実施形態では、周期パターン検出手段36が、周期成分特定手段35から受け取った周期成分の情報に基づき、外部装置(図示せず)から入力された数値データ内において周期的とみなせる繰り返しパターンの特定を行う。そして、周期パターン検出手段36は、その繰り返しパターンを周期パターンとして抽出し、抽出した結果を出力手段33へ通知する(ステップS22)。
次に、本実施形態では、出力手段33が、周期パターン検出手段36から抽出した周期パターンを受け取った場合、抽出された周期パターンを外部装置(図示せず)へ出力する。一方、入力された数値データに周期性が存在しないことを判別手段32から受け取った場合、周期成分が存在しないことを外部装置(図示せず)へ出力する(ステップS23)。
以上のように、本実施形態によれば、周期成分特定手段35が、判別手段32によって周期性を有すると判別された数値データから、1または複数の周期成分を含む周期パターンを特定する。具体的には、本実施形態の周期性検出装置3は、判別手段32によって入力された数値データ内に周期性が存在すると判断された場合に限り、周期成分特定手段35が、入力された数値データ内に含まれる1または複数の周期成分を特定する。そして、このときに、周期パターン検出手段36が、所定の方法に基づいて、入力された数値データ内に存在する周期パターンを特定する。
これにより、周期性検出装置3は、入力された数値データに周期性が存在するか否かを予め判別した状態で周期パターンを検出できる。そのため、周期性検出装置3は、周期性が存在しないと判別された数値データに対しては周期パターンの探索を行わず、周期性が存在する数値データに絞って周期パターンの探索を行うことができる。すなわち、本実施形態によれば、周期性の有無を予め判別することで探索範囲を絞り込むことができる。
この点は、周期性を含む数値データと含まない数値データとが混合した複数のデータセットに対して、周期性を検出する処理を繰り返し行う状況において効果を発揮する。
周期パターンの検出を行う所定の方法に、例えば、特許文献1あるいは非特許文献1に記載された方法を用いた場合でも、周期性の有無を予め判別しない場合と比べると、結果として周期パターン検出手段36による計算量を軽減できる。
また、本実施形態の周期性検出装置3では、周期パターン検出手段36に周期パターンを特定させる前に、周期成分特定手段35が、入力された数値データに含まれる周期成分を特定し、特定した周期成分の情報を周期パターン検出手段36に通知する。これにより、周期パターンに含まれる周期成分が判明した状態で周期パターンを特定できるため、周期パターンを検出する処理が簡素化でき、計算量を減らすことができる。
例えば、特許文献1に記載された方法を周期パターンの検出を行う所定の方法として適用した場合、特徴点として抽出される座標位置の候補を予め絞り込むことができる。また、例えば、非特許文献1に記載された方法を周期パターンの検出を行う所定の方法として適用した場合、周期成分はスロット間隔に相当するため、探索するスロット間隔の候補数を削減できるので、計算量の削減が見込める。
また、本実施形態の周期性検出装置3は、指標算出手段11が周期性判別指標を算出する過程で用いる相対度数分布と同一の相対度数分布を、周期成分特定手段35も共通して用いることができる。これにより、指標算出手段11が必要とする演算処理と周期成分特定手段35が必要とする演算処理とを同時に行うことができるため、計算量を軽減できる。
実施形態4.
図9は、本発明による周期性検出装置の第4の実施形態の構成例を示すブロック図である。なお、第3の実施形態と同様の構成については、図7と同一の符号を付し、説明を省略する。本実施形態の周期性検出装置4は、指標算出手段11と、判別手段32と、出力手段33と、周期成分特定手段35と、周期パターン検出手段36と、入力データ変換手段47を備えている。
入力データ変換手段47は、指標算出手段11と、周期パターン検出手段36とにそれぞれ接続され、入力装置(図示せず)から数値データの入力を受け付ける。すなわち、第4の実施形態と第3の実施形態との相違は、周期性検出装置4が入力データ変換手段47をさらに備える点である。その他の構成要素は、第3の実施形態と同様である。
入力データ変換手段47は、外部装置(図示せず)から数値データの入力を受け付ける。さらに、入力データ変換手段47は、入力された数値データ内に検出対象の周期成分として考慮しなくてよい数値が含まれる場合に、その数値を示す要素を除外するための所定の除外ルールを外部装置(図示せず)から受け付ける。そして、入力データ変換手段47は、所定の除外ルールに従い、入力された数値データからその要素を除外し、除外されずに残った数値データの要素を、指標算出手段11と周期パターン検出手段36とにそれぞれ出力する。
除外ルールの例として、例えば、予め与えられる所定の閾値より小さい要素を全て除外し、さらに除外した数値を一つ前の要素に加算する方法が挙げられる。ただし、除外ルールは、このような方法に限定されない。例えば、周期成分として無視することが可能な数値を任意に指定した除外ルールを用いてもよい。また、除外した数値の処理についても単純に除外することを規定した除外ルールを用いてもよい。
入力データ変換手段47も、プログラム(周期性検出プログラム)に従って動作するコンピュータのCPUによって実現される。また、入力データ変換手段47は、専用のハードウェアで実現されていてもよい。
次に、本実施形態の周期性検出装置4の動作を説明する。図10は、本実施形態の周期性検出装置4の動作例を示すフローチャートである。なお、第3の実施形態と同様の動作については図8と同一の記号を付し、詳細な説明を省略する。
第4の実施形態の周期性検出装置4は、以下の点で第3の実施形態の周期性検出装置3と異なる。
まず、本実施形態では、初めに、入力データ変換手段47が、外部装置(図示せず)から数値データの入力を受け付ける。さらに、入力データ変換手段47は、外部装置(図示せず)から検出対象として考慮しない周期成分を除外するための所定の除外ルールを受け付ける。そして、入力データ変換手段47は、所定の除外ルールに従い、入力された数値データからその要素を除外し、除外されずに残った数値データの要素を、指標算出手段11と周期パターン検出手段36にそれぞれ出力する(ステップS31)。
また、本実施形態では、ステップS1において、指標算出手段11が、入力データ変換手段47から数値データの入力を受け付けて、周期性判別指標を算出する。
また、本実施形態では、ステップS22において、周期パターン検出手段36が、入力データ変換手段47から数値データを受け取り、周期成分特定手段35から受け取った周期成分の情報に基づいて、数値データ内で周期的とみなせる繰り返しパターンを特定する。そして、周期パターン検出手段36は、その繰り返しパターンを周期パターンとして抽出し、抽出した結果を出力手段33へ通知する。
以上のように、本実施形態によれば、入力データ変換手段47が、検出対象の周期成分として考慮しなくてよい数値が数値データに含まれるときに、所定の除外ルールに従い、その数値を除外する。
具体的には、入力データ変換手段47が、入力された数値データから所定の除外ルールに従って検出対象として考慮しない周期成分となる要素を除外した数値データを生成し、指標算出手段11が、その数値データを用いて周期性判別指標を算出する。そして、判別手段32が周期性の有無を判別し、周期パターン検出手段36が、入力された数値データ内の周期パターンを特定する。これにより、周期性の検出の際に雑音となってしまうデータをより明確に除外した上で周期性を検出できるので、出力される周期パターンの精度を向上させることができる。
例えば、検出したい周期性が100秒のオーダーである場合に、数値データ内に0.02や0.05といった非常に小さい数値が少なくない割合で混入する場合がある。このような数値データから周期性を検出する際に、前述の非常に小さい数値は雑音とみなすことができる。また、このような数値が周期成分として無視できる場合、入力データ変換手段47がこのような数値を除外することで、高い精度で周期性を検出できるようになる。
以下、具体例により本発明を説明するが、本発明の範囲は以下に説明する内容に限定されない。本具体例では、通信ネットワーク網を介して送受信されるパケットの周期性を監視するために、周期性を検出する装置として第3の実施形態の周期性検出装置3を組み込んだパケット監視システムを説明する。
図11は、本発明の周期性検出装置を利用したパケット監視システムの構成例を示すブロック図である。本具体例のパケット監視システム100は、パケット記録部120と、数値データ作成部130と、周期性検出部110とを備えている。パケット記録部120と数値データ作成部130は通信可能に接続され、数値データ作成部130と周期性検出部110は通信可能に接続される。
ここで、周期性検出部110が、第3の実施形態の周期性検出装置3に対応する。すなわち、パケット監視システム100は、パケット記録部120と、数値データ作成部130とをさらに備える点で第3の実施形態の周期性検出装置3と異なる。なお、周期性検出部110の内容は第3の実施形態と同様である。第3の実施形態と同様の構成要素については、図7と同一の符号を付し、詳細な説明を省略する。
パケット記録部120は、パケット取得手段121と、パケットデータ蓄積手段122とを備えている。パケット取得手段121は、パケットデータ蓄積手段122に接続される。
パケット取得手段121は、外部装置(図示せず)から入力されるパケットを受け付ける。パケット取得手段121は、少なくとも各パケットに対応する時刻情報と通信の分類を可能にする情報とを含むパケットデータを生成し、生成したパケットデータをパケットデータ蓄積手段122へ出力する。
なお、パケット取得手段121が、パケットを受信した時刻を記憶する処理を行ってもよいし、各パケットに対応する時刻情報を取得する手段を備えた外部装置によって記録された時刻情報を、パケット取得手段121が、パケットの入力と同時に受け付けてもよい。
また「通信の分類を可能にする情報」とは、例えば、受信したパケットのコピー、または宛先IPアドレス、送信元IPアドレス、宛先TCPポート番号、送信元TCPポート番号、あるいは特定のパケットであることを示すフラグなどを含むヘッダ情報である。
パケット取得手段121は、ある特定の時間のみ動作するようにしてもよく、リアルタイムの監視を目的として常時動作するようにしてもよい。
パケットデータ蓄積手段122は、パケット取得手段121からパケットデータを受け付け、受け付けたパケットデータを順次保存する。また、パケットデータ蓄積手段122は、後述の検出対象パケットデータ抽出手段131からの要求に応じてパケットデータを取り出し、要求元に対してパケットデータを出力する。
数値データ作成部130は、検出対象パケットデータ抽出手段131と、時間間隔算出手段132とを備えている。検出対象パケットデータ抽出手段131は、時間間隔算出手段132に接続される。
検出対象パケットデータ抽出手段131は、パケットデータ蓄積手段122へパケットデータを要求する。また、検出対象パケットデータ抽出手段131は、外部装置(図示せず)から所定のフィルタリングルールの入力を受け付け、パケットデータからフィルタリングルールに従い、検出対象とするパケットデータ(以下、検出対象パケットデータと記す。)を抽出し、時間間隔算出手段132へ出力する。
ここで、フィルタリングルールとは、パケットデータ蓄積手段122から受け取ったパケットデータから、周期性の検出対象とするパケットデータを絞り込むためのルールである。フィルタリングルールは、特に限定されないため、目的に応じて任意のルールを適用してよい。
例えば、あるクライアント/サーバ間で送受信するパケットに存在する周期性を検出するため、単一のIPアドレスを指定する方法をフィルタリングルールに適用してもよい。また、クライアント/サーバ間通信において負荷分散を目的として複数サーバ間で送受信を行っている場合に、パケットに存在する周期性を検出するため、複数のIPアドレスを指定する方法をフィルタリングルールに適用してもよい。なお、クライアント/サーバ間通信において負荷分散を行う手法として、例えば、DNS(Domain Name System)ラウンドロビンなどの手法が挙げられる。
また、TCP synやLTE(Long Term Evolution )におけるService Requestなど、特定の役割を持つパケットを示すヘッダ情報内のフラグをフィルタリングルールに指定してもよい。ただし、これらは例示であって、他のヘッダ情報やパケットに含まれる情報を指定する単一のルールあるいは複数のルールをフィルタリングルールに同時に適用してもよい。
時間間隔算出手段132は、検出対象パケットデータ抽出手段131から検出対象パケットデータを受け付ける。時間間隔算出手段132は、時刻順に列挙されたパケットデータに対し各パケットに対応する時刻情報と、各パケットの1つ前のパケットに対応する時刻情報との差分を計算することで、互いに前後するパケットの時間間隔データを生成する。
時間間隔算出手段132が生成する時間間隔データには、例えば図2に示されるように秒単位、あるいは分単位などで表される時間間隔を示す数値が少なくとも列挙される。その後、時間間隔算出手段132は、生成した時間間隔データを周期性の検出を行う数値データとして、周期性検出部110へ出力する。
パケット記録部120は、コンピュータであり、少なくともCPU、メモリおよびネットワークインターフェースを備える。また、パケット記録部120は、フレキシブルディスクやCD/DVD−ROMなどの磁気ディスク等に読み書き可能な外部記憶装置や、内部的なストレージ(磁気記憶装置)のうち、少なくとも一つあるいは複数を備える。
パケット記録部120は、ネットワークインターフェースから受信したプログラムコード、またはストレージあるいは外部記憶装置から読み出したプログラムコードをメモリに展開する。そして、パケット記録部120は、展開されたプログラムコードをCPUが解釈実行することで、図11に示すようなパケット取得手段121およびパケットデータ蓄積手段122として各種機能を実行する。
数値データ作成部130は、コンピュータであり、少なくともCPUおよびメモリを備え、ネットワークインターフェース、フレキシブルディスクやCD/DVD−ROMなどの磁気ディスク等に読み書き可能な外部記憶装置、または内部的に保持するストレージのうち、少なくとも一つあるいは複数を備える。
数値データ作成部130は、ネットワークインターフェースから受信したプログラムコード、またはストレージあるいは外部記憶装置から読み出したプログラムコードをメモリに展開する。そして、数値データ作成部130は、展開されたプログラムコードをCPUが解釈実行することで、図11に示すような検出対象パケットデータ抽出手段131および時間間隔算出手段132として各種機能を実現する。
周期性検出部110は、コンピュータであり、少なくともCPUおよびメモリを備え、ネットワークインターフェース、フレキシブルディスクやCD/DVD−ROMなどの磁気ディスク等に読み書き可能な外部記憶装置、または内部的に保持するストレージのうち、少なくとも一つあるいは複数を備える。
周期性検出部110は、ネットワークインターフェースから受信したプログラムコード、またはストレージあるいは外部記憶装置から読み出したプログラムコードをメモリに展開する。そして、周期性検出部110は、展開されたプログラムコードをCPUが解釈実行することで、図11に示すような指標算出手段11、判別手段32、出力手段33、周期成分特定手段35、および周期パターン検出手段36として各種機能を実現する。
本具体例では、パケット記録部120と、数値データ作成部130と、周期性検出部110とを備えたパケット監視システム100は、いわゆるパーソナルコンピュータ(PC)やサーバなどの計算機資源である。
また、パケット記録部120と、数値データ作成部130と、周期性検出部110とが物理的に異なる計算機資源上に構築され、それぞれがネットワークインターフェースを備える場合、パケット記録部120と、数値データ作成部130と、周期性検出部110とを互いにネットワークインターフェースを通して接続させることも可能である。
本具体例は、モバイルネットワークであるLTEネットワークの環境下で取得可能なパケットデータをパケット監視システム100に入力し、観測したパケットの時間間隔について周期性の検出を行う場合を示す例であるとする。
また、本具体例では、検出対象パケットデータ抽出手段131に入力されるフィルタリングルールが、LTEネットワークの通信接続要求であるService Requestのパケットを抽出するルールであるとする。また、本具体例では、指標算出手段11に入力される算出パラメータが、階級幅が5秒、基準分布が指数分布であり、さらに判別手段32に入力される検出閾値が0.25であるとする。
図12は、本具体例におけるパケット監視システム100の動作例を示すフローチャートである。パケット取得手段121は、外部装置(図示せず)からパケットの入力を受け付け、受信したパケットを基に少なくとも各パケットに対応する時刻情報と通信の分類を可能にする情報を含むパケットデータを生成する。パケット取得手段121は、生成したパケットデータをパケットデータ蓄積手段122に通知し、パケットデータ蓄積手段122は、受け取ったパケットデータを蓄積する(ステップS101)。
検出対象パケットデータ抽出手段131は、パケットデータ蓄積手段122へパケットデータの出力を要求することで、保存されているパケットデータを受け取る。検出対象パケットデータ抽出手段131は、外部装置(図示せず)から、LTEネットワークの通信接続要求であるService Requestのパケットの抽出を行うフィルタリングルールを受け付ける。検出対象パケットデータ抽出手段131は、受け付けたフィルタリングルールに従い、受け取ったパケットデータから周期性の検出対象とするパケットデータを抽出し、時間間隔算出手段132へ出力する(ステップS102)。
時間間隔算出手段132は、検出対象パケットデータ抽出手段131から検出対象パケットデータを受け取り、前後するパケットとの時間間隔を算出することで、一部図2に示すような時間間隔データを生成する。時間間隔算出手段132は、生成した時間間隔データを数値データとして指標算出手段11と周期パターン検出手段36とへ出力する(ステップS103)。
指標算出手段11は、時間間隔算出手段132から数値データの入力を受け付ける。さらに指標算出手段11は、外部装置(図示せず)から周期性判別指標を算出するための算出パラメータを受け付け、この算出パラメータに設定された度数分布の階級幅を5秒として、入力された数値データの相対度数分布を計算する(ステップS1)。
指標算出手段11は、算出パラメータ内において所定の基準分布として設定された指数分布を参照し、さらに階級幅を5秒として、数値データの平均と同一の平均を持つ指数分布に従う相対度数分布を計算する(ステップS2)。
図13は、相対度数分布の例を示す説明図である。ステップS2までの処理で、図13に例示する相対度数分布が計算される。図13に例示するグラフの実線L1は、数値データの相対度数分布であり、図13に例示するグラフの破線L2は、指数分布に従う相対度数分布を表わす。
続いて、指標算出手段11は、数値データの相対度数分布と指数分布に従う相対度数分布とを比較し、図3に示す定義式に示すように、相対度数分布上の区間ごとに得られる差異の最大値を、相対度数分布全体に渡る差異の和で除して周期性判別指標を算出する。ここでは、周期性判別指標が、0.369と算出される。指標算出手段11は、算出した周期性判別指標を判別手段32へ出力する(ステップS3)。
なお、図3に示す定義式の通りに従うと、指数分布の累積度数は、∞(無限大)の極限にて1になるため、無限大の区間まで考慮する必要がある。ただし、本具体例では、数値データの相対度数分布の累積度数が1、かつ基準分布である指数分布に従う相対度数分布における累積度数が0.98になる区間までを考慮して周期性判別指標の算出を行った。
判別手段32は、算出した周期性判別指標0.369を指標算出手段11から受け取る。また、判別手段32は、外部装置(図示せず)から周期性が存在するか否かの判断基準として0.25に設定された検出閾値の入力を受け付ける。判別手段32は、周期性判別指標0.369と、検出閾値0.25とを比較することにより、数値データに周期性が存在するか否かを判別する(ステップS4)。
周期性判別指標0.369が検出閾値0.25より大きいため、判別手段32は、数値データに周期性が存在すると判別し(ステップS4で「指標が0.25以上:存在する」の場合)、周期性が存在する旨を周期成分特定手段35に出力する。なお、仮に、周期性判別指標が検出閾値0.25未満の場合、判別手段32は、数値データに周期性が存在しないと判別し(ステップS4で「指標が0.25未満:存在しない」の場合)、ステップS21およびステップS22の処理は行われない。
周期成分特定手段35は、判別手段32から数値データに周期性が存在する旨を受け取る。周期成分特定手段35は、指標算出手段11が周期性判別指標を算出する際に用いた相対度数分布を利用して、区間ごとの差異を算出する。そして、周期成分特定手段35は、各区間の差異を相対度数分布全体に渡る差異の和で除すことにより得られる値が最大となる区間を特定する。図13に例示するように、周期成分特定手段35は、400秒から405秒の区間を周期成分として特定し、特定した周期成分の情報を周期パターン検出手段36に出力する(ステップS21)。
周期パターン検出手段36は、周期成分特定手段35から受け取った、周期成分の情報(400秒から405秒)に基づき、同一の周期成分が連続して繰り返し出現する部分を周期パターンとして特定する。この方法を適用することにより、周期パターン検出手段36は、400秒から405秒の時間間隔が繰り返し発生するという周期パターンを抽出し、抽出した結果を出力手段33へ通知する(ステップS22)。
出力手段33は、周期パターン検出手段36が抽出した、400秒から405秒の時間間隔が繰り返し発生という周期パターンを受け取り、周期パターンの情報を出力する。ここでは、出力手段33は、出力する周期パターンの情報として、例えば、数値データ内におよそ400秒の時間間隔が3回以上連続して出現した回数を結果として外部装置(図示せず)へ出力する(ステップS23)。
出力手段33が出力した結果について、例えば、およそ400秒の間隔が連続した回数を横軸に取り、数値データ内でそれぞれの回数を観測した頻度を縦軸に取ったヒストグラムのグラフを図14に示す。図14のグラフにおいて、数値データ内におよそ400秒の時間間隔で最大で11回連続してパケットが発生したことや、最も多く観測されたのが3回の繰り返しであることなどが表示されている。
以上のように、本具体例によれば、パケット監視システム100(より具体的には、周期性検出部110)では、指標算出手段11が、検出対象パケットデータから生成された時間間隔データとしての数値データと、基準分布としての指数分布とのそれぞれに従う2つ相対度数分布を生成する。そして、指標算出手段11が、各相対度数分布の区間ごとに得られる差異の最大値を、相対度数分布全体に渡る差異の和で除すことにより周期性判別指標を算出する。これによって、判別手段32が、数値データ内に周期性が存在するか否かを判別する。
指標算出手段11が行う演算処理は、相対度数分布に基づいているため、数値データの個々の要素が1次元空間のどの座標位置に当てはまるかを計算し、かつ数値データの各要素について1度参照するだけで指標を算出できる。そのため、繰り返し処理を行う必要がない。その結果、周期性が存在するか否かの判別を行うための計算量を軽減することが可能になる。
また、本発明のパケット監視システム100(より具体的には、周期性検出部110)では、指標算出手段11が周期性判別指標を算出する過程で用いる相対度数分布と同一の相対度数分布を、周期成分特定手段35が共通で用いるようにしている。その結果、指標算出手段11が必要とする演算処理と周期成分特定手段35が必要とする演算処理とを同時に行うことができるため、計算量を軽減することができる。
また、本具体例のパケット監視システム100では、周期性検出部110が、時間間隔という数値データに基づいて周期成分を検出するため、パケットの種類やパケットが保持する情報に依存せず、前後するパケットの時間間隔の情報のみで周期性を検出できる。
また、本具体例のパケット監視システム100は、およそ400秒の時間間隔で最大で11回連続してパケットが発生したという結果を示す周期パターンの情報を周期性検出部110に出力させている。よって、フィルタリングルールにより抽出したService Request のパケットの中でも、およそ400秒の周期で発生したパケットを容易に特定できる。
次に、本発明の概要を説明する。図15は、本発明による周期性検出装置の概要を示すブロック図である。本発明による周期性検出装置80は、入力される数値データの度数分布(例えば、相対度数分布)と、予め与えられる基準分布(例えば、指標分布)に従う度数分布(例えば、相対度数分布)との各区間における差異に基づいて、周期性の有無を判別する周期性判別指標を算出する指標算出手段81(例えば、指標算出手段11)と、指標算出手段81で算出された周期性判別指標を用いて、数値データ内に存在する1または複数の周期成分を含む周期性の有無を判別する判別手段82(例えば、判別手段12)とを備えている。
具体的には、指標算出手段81は、入力される数値データの度数分布と、入力される数値データについて想定される基準分布に従う度数分布との各区間における差異に基づいて、周期性の有無を判別する指標を算出する。
そのような構成により、数値データに周期性が存在するか否かを計算量を抑えて検出できる。これは、指標算出手段81が行う演算処理は、度数分布に基づいているため、数値データの個々の要素が1次元空間のどの座標位置に当てはまるかを計算し、かつ数値データの各要素について1度参照するだけで指標を算出できるからである。
また、図16は、本発明によるパケット監視システムの概要を示すブロック図である。本発明によるパケット監視システムは、時刻順に列挙されたパケットデータから検出対象とするパケットデータを抽出し、時系列で前後するパケットデータの時間間隔を数値データとして生成する数値データ作成手段70(例えば、数値データ作成部130)と、数値データにおける周期性の有無を検出する周期性検出装置80(例えば、周期性検出部110)とを備えている。なお、周期性検出装置80の内容は、図14に示す内容と同様である。このような構成によっても、数値データに周期性が存在するか否かを計算量を抑えて検出できる。
また、上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)入力される数値データの度数分布と、予め与えられる基準分布に従う度数分布との各区間における差異に基づいて、周期性の有無を判別する周期性判別指標を算出する指標算出ステップと、前記指標算出ステップで算出された周期性判別指標を用いて、前記数値データ内に存在する1または複数の周期成分を含む周期性の有無を判別する判別ステップとを含むことを特徴とする周期性検出方法。
(付記2)指標算出ステップで、入力される数値データの度数分布と、予め与えられる基準分布に従う度数分布とを比較し、各相対度数分布の区間ごとに算出される差異の最大値を、相対度数分布全体に渡る差異の和で除することで周期性判別指標を算出する付記1記載の周期性検出方法。
(付記3)判別ステップで、周期性の有無を判別する基準である検出閾値と、指標算出ステップで算出された周期性判別指標とを比較して、入力される数値データに1または複数の周期成分を含む周期性の有無を判別する付記1または付記2記載の周期性検出方法。
(付記4)1または複数の周期成分を示す数値データと基準分布とを合成して疑似数値データを生成し、生成した疑似数値データに対し、指標算出ステップで周期性判別指標を算出する方法と同一の方法で仮指標を算出し、算出した仮指標の値に所定の割合を乗じて検出閾値を決定する閾値決定ステップを含む付記3記載の周期性検出方法。
(付記5)判別ステップで周期性を有すると判別された数値データから、1または複数の周期成分を特定する周期成分特定ステップを含む付記1から付記4のうちのいずれか1つに記載の周期性検出方法。
(付記6)周期成分特定ステップで、入力される数値データの度数分布と、予め与えられる基準分布に従う度数分布とを比較して、各度数分布の区間ごとの差異の最大値を特定し、当該差異が最大値になる区間を、周期成分を含む区間と特定する付記5記載の周期性検出方法。
(付記7)周期成分特定ステップで、周期成分を含む区間の差異を0とする新たな度数分布を生成する処理、生成した度数分布の区間ごとに算出される差異の最大値を、度数分布全体に渡る差異の和で除することで周期性判別指標を算出する処理、および、検出閾値と算出された周期性判別指標とを比較して周期成分を含む周期性の有無を判別する処理を、当該周期性があると判別する間繰り返して、複数の周期成分を特定する付記6記載の周期性検出方法。
(付記8)周期成分特定ステップで、入力される数値データの度数分布を用いて、出現頻度が予め与えられる所定の頻度より高い1または複数の区間を周期成分として特定する付記5に記載の周期性検出方法。
(付記9)周期成分特定ステップで、入力される数値データの度数分布と、予め与えられる基準分布に従う度数分布との区間ごとに算出される差異が、予め与えられる所定の第一閾値より大きい値となる1または複数の区間を、周期成分を含む区間と特定する付記5に記載の周期性検出方法。
(付記10)周期成分特定ステップで、入力される数値データの度数分布と、予め与えられる基準分布に従う度数分布とを比較し、各度数分布の区間ごとに算出される差異を、度数分布全体に渡る差異の和で除することで、区間を判別するための区間判別指標を算出し、当該区間判別指標が予め与えられる所定の第二閾値より大きい値となる1または複数の区間を、周期成分を含む区間と特定する付記5に記載の周期性検出方法。
(付記11)周期成分特定ステップで、1または複数の周期成分を示す数値データと基準分布とを合成して疑似数値データを生成し、生成した疑似数値データに対し、指標算出手段が周期性判別指標を算出する方法と同一の方法で仮指標を算出し、算出した仮指標の値に所定の割合を乗じて第二閾値を決定する付記10記載の周期性検出方法。
(付記12)検出対象の周期成分として考慮しなくてよい数値が入力される数値データに含まれるときに、当該数値を除外する入力データ変換ステップを含む付記1から付記11のうちのいずれか1つに記載の周期性検出方法。
(付記13)指標算出ステップで、入力される数値データの度数分布と、入力される数値データについて想定される基準分布に従う度数分布との各区間における差異に基づいて、周期性の有無を判別する指標を算出する付記1から付記12のうちのいずれか1つに記載の周期性検出方法。
(付記14)入力される数値データの度数分布と、予め与えられる基準分布に従う度数分布との各区間における差異に基づいて、周期性の有無を判別する周期性判別指標を算出する指標算出手段と、前記指標算出手段が算出した周期性判別指標を用いて、前記数値データ内に存在する1または複数の周期成分を含む周期性の有無を判別する判別手段とを備えたことを特徴とする周期性検出装置。
(付記15)指標算出手段は、入力される数値データの度数分布と、予め与えられる基準分布に従う度数分布とを比較し、各相対度数分布の区間ごとに算出される差異の最大値を、相対度数分布全体に渡る差異の和で除することで周期性判別指標を算出する付記14記載の周期性検出装置。
(付記16)判別手段は、周期性の有無を判別する基準である検出閾値と、指標算出手段により算出された周期性判別指標とを比較して、入力される数値データに1または複数の周期成分を含む周期性の有無を判別する付記14または付記15記載の周期性検出装置。
(付記17)1または複数の周期成分を示す数値データと基準分布とを合成して疑似数値データを生成し、生成した疑似数値データに対し、指標算出手段が周期性判別指標を算出する方法と同一の方法で仮指標を算出し、算出した仮指標の値に所定の割合を乗じて検出閾値を決定する閾値決定手段を備えた付記16記載の周期性検出装置。
(付記18)判別手段により周期性を有すると判別された数値データから、1または複数の周期成分を特定する周期成分特定手段を備えた付記14から付記17のうちのいずれか1つに記載の周期性検出装置。
(付記19)周期成分特定手段は、入力される数値データの度数分布と、予め与えられる基準分布に従う度数分布とを比較して、各度数分布の区間ごとの差異の最大値を特定し、当該差異が最大値になる区間を、周期成分を含む区間と特定する付記18記載の周期性検出装置。
(付記20)周期成分特定手段は、周期成分を含む区間の差異を0とする新たな度数分布を生成する処理、生成した度数分布の区間ごとに算出される差異の最大値を、度数分布全体に渡る差異の和で除することで周期性判別指標を算出する処理、および、検出閾値と算出された周期性判別指標とを比較して周期成分を含む周期性の有無を判別する処理を、当該周期性があると判別する間繰り返して、複数の周期成分を特定する付記19記載の周期性検出装置。
(付記21)周期成分特定手段は、入力される数値データの度数分布を用いて、出現頻度が予め与えられる所定の頻度より高い1または複数の区間を周期成分として特定する付記18に記載の周期性検出装置。
(付記22)周期成分特定手段は、入力される数値データの度数分布と、予め与えられる基準分布に従う度数分布との区間ごとに算出される差異が、予め与えられる所定の第一閾値より大きい値となる1または複数の区間を、周期成分を含む区間と特定する付記18に記載の周期性検出装置。
(付記23)周期成分特定手段は、入力される数値データの度数分布と、予め与えられる基準分布に従う度数分布とを比較し、各度数分布の区間ごとに算出される差異を、度数分布全体に渡る差異の和で除することで、区間を判別するための区間判別指標を算出し、当該区間判別指標が予め与えられる所定の第二閾値より大きい値となる1または複数の区間を、周期成分を含む区間と特定する付記18に記載の周期性検出装置。
(付記24)周期成分特定手段は、1または複数の周期成分を示す数値データと基準分布とを合成して疑似数値データを生成し、生成した疑似数値データに対し、指標算出手段が周期性判別指標を算出する方法と同一の方法で仮指標を算出し、算出した仮指標の値に所定の割合を乗じて第二閾値を決定する付記23記載の周期性検出装置。
(付記25)検出対象の周期成分として考慮しなくてよい数値が入力される数値データに含まれるときに、当該数値を除外する入力データ変換手段を備えた付記14から付記24のうちのいずれか1つに記載の周期性検出装置。
(付記26)指標算出手段は、入力される数値データの度数分布と、入力される数値データについて想定される基準分布に従う度数分布との各区間における差異に基づいて、周期性の有無を判別する指標を算出する付記14から付記25のうちのいずれか1つに記載の周期性検出装置。
(付記27)時刻順に列挙されたパケットデータから検出対象とするパケットデータを抽出し、時系列で前後するパケットデータの時間間隔を数値データとして生成する数値データ作成手段と、前記数値データにおける周期性の有無を検出する周期性検出装置とを備え、前記周期性検出装置は、前記数値データの度数分布と、予め与えられる基準分布に従う度数分布との各区間における差異に基づいて、周期性の有無を判別する周期性判別指標を算出する指標算出手段と、前記指標算出手段で算出された周期性判別指標を用いて、前記数値データ内に存在する1または複数の周期成分を含む周期性の有無を判別する判別手段とを含むことを特徴とするパケット監視システム。
(付記28)コンピュータに、入力される数値データの度数分布と、予め与えられる基準分布に従う度数分布との各区間における差異に基づいて、周期性の有無を判別する周期性判別指標を算出する指標算出処理、および、前記指標算出処理で算出された周期性判別指標を用いて、前記数値データ内に存在する1または複数の周期成分を含む周期性の有無を判別する判別処理を実行させるための周期性検出プログラム。
(付記29)コンピュータに、指標算出処理で、入力される数値データの度数分布と、予め与えられる基準分布に従う度数分布とを比較させ、各相対度数分布の区間ごとに算出される差異の最大値を、相対度数分布全体に渡る差異の和で除することで周期性判別指標を算出させる付記28記載の周期性検出プログラム。
以上、実施形態及び実施例を参照して本願発明を説明したが、本願発明は上記実施形態および実施例に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
この出願は、2013年2月28日に出願された日本特許出願2013−038677を基礎とする優先権を主張し、その開示の全てをここに取り込む。
本発明は、任意の形式の数値データが持つ周期性を検出する周期性検出装置に好適に適用される。
1,2,3,4 周期性検出装置
11 指標算出手段
12,32 判別手段
13,33 出力手段
24 検出閾値決定手段
35 周期成分特定手段
36 周期パターン検出手段
47 入力データ変換手段
100 パケット監視システム
110 周期性検出部
120 パケット記録部
130 数値データ作成部
121 パケット取得手段
122 パケットデータ蓄積手段
131 検出対象パケットデータ抽出手段
132 時間間隔算出手段

Claims (10)

  1. 入力される数値データの度数分布と、予め与えられる基準分布に従う度数分布との各区間における差異に基づいて、周期性の有無を判別する周期性判別指標を算出し、
    算出された周期性判別指標を用いて、前記数値データ内に存在する1または複数の周期成分を含む周期性の有無を判別する
    ことを特徴とする周期性検出方法。
  2. 入力される数値データの度数分布と、予め与えられる基準分布に従う度数分布とを比較し、各相対度数分布の区間ごとに算出される差異の最大値を、相対度数分布全体に渡る差異の和で除することで周期性判別指標を算出する
    請求項1記載の周期性検出方法。
  3. 周期性の有無を判別する基準である検出閾値と、算出された周期性判別指標とを比較して、入力される数値データに1または複数の周期成分を含む周期性の有無を判別する
    請求項1または請求項2記載の周期性検出方法。
  4. 1または複数の周期成分を示す数値データと基準分布とを合成して疑似数値データを生成し、生成した疑似数値データに対し、周期性判別指標を算出する方法と同一の方法で仮指標を算出し、算出した仮指標の値に所定の割合を乗じて検出閾値を決定する
    請求項3記載の周期性検出方法。
  5. 周期性を有すると判別された数値データから、1または複数の周期成分を特定する
    請求項1から請求項4のうちのいずれか1項に記載の周期性検出方法。
  6. 検出対象の周期成分として考慮しなくてよい数値が入力される数値データに含まれるときに、当該数値を除外する
    請求項1から請求項5のうちのいずれか1項に記載の周期性検出方法。
  7. 入力される数値データの度数分布と、入力される数値データについて想定される基準分布に従う度数分布との各区間における差異に基づいて、周期性の有無を判別する指標を算出する
    請求項1から請求項6のうちのいずれか1項に記載の周期性検出方法。
  8. 入力される数値データの度数分布と、予め与えられる基準分布に従う度数分布との各区間における差異に基づいて、周期性の有無を判別する周期性判別指標を算出する指標算出手段と、
    前記指標算出手段が算出した周期性判別指標を用いて、前記数値データ内に存在する1または複数の周期成分を含む周期性の有無を判別する判別手段とを備えた
    ことを特徴とする周期性検出装置。
  9. 時刻順に列挙されたパケットデータから検出対象とするパケットデータを抽出し、時系列で前後するパケットデータの時間間隔を数値データとして生成する数値データ作成手段と、
    前記数値データにおける周期性の有無を検出する周期性検出装置とを備え、
    前記周期性検出装置は、
    前記数値データの度数分布と、予め与えられる基準分布に従う度数分布との各区間における差異に基づいて、周期性の有無を判別する周期性判別指標を算出する指標算出手段と、
    前記指標算出手段で算出された周期性判別指標を用いて、前記数値データ内に存在する1または複数の周期成分を含む周期性の有無を判別する判別手段とを含む
    ことを特徴とするパケット監視システム。
  10. コンピュータに、
    入力される数値データの度数分布と、予め与えられる基準分布に従う度数分布との各区間における差異に基づいて、周期性の有無を判別する周期性判別指標を算出する指標算出処理、および、
    前記指標算出処理で算出された周期性判別指標を用いて、前記数値データ内に存在する1または複数の周期成分を含む周期性の有無を判別する判別処理
    を実行させるための周期性検出プログラム。
JP2015502731A 2013-02-28 2014-01-08 周期性検出方法、周期性検出装置および周期性検出プログラム Active JP5751396B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015502731A JP5751396B2 (ja) 2013-02-28 2014-01-08 周期性検出方法、周期性検出装置および周期性検出プログラム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2013038677 2013-02-28
JP2013038677 2013-02-28
JP2015502731A JP5751396B2 (ja) 2013-02-28 2014-01-08 周期性検出方法、周期性検出装置および周期性検出プログラム
PCT/JP2014/000037 WO2014132547A1 (ja) 2013-02-28 2014-01-08 周期性検出方法、周期性検出装置および周期性検出プログラム

Publications (2)

Publication Number Publication Date
JP5751396B2 true JP5751396B2 (ja) 2015-07-22
JPWO2014132547A1 JPWO2014132547A1 (ja) 2017-02-02

Family

ID=51427831

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015502731A Active JP5751396B2 (ja) 2013-02-28 2014-01-08 周期性検出方法、周期性検出装置および周期性検出プログラム

Country Status (3)

Country Link
US (1) US9729412B2 (ja)
JP (1) JP5751396B2 (ja)
WO (1) WO2014132547A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022136708A (ja) * 2021-03-08 2022-09-21 富士通株式会社 情報処理方法、および情報処理プログラム

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006013612A (ja) * 2004-06-22 2006-01-12 Traffic Shimu:Kk データ監視システム、プログラム、記録媒体、表示操作方法
JP2008013153A (ja) * 2006-07-10 2008-01-24 Central Japan Railway Co 鉄道車両の異常検知装置
JP2010122996A (ja) * 2008-11-20 2010-06-03 Toyota Motor Corp データ処理装置及びデータ処理方法
JP2010283668A (ja) * 2009-06-05 2010-12-16 Nippon Telegr & Teleph Corp <Ntt> トラヒック分類システムと方法およびプログラムならびに異常トラヒック検知システムと方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2877673B2 (ja) * 1993-09-24 1999-03-31 富士通株式会社 時系列データ周期性検出装置
US7490107B2 (en) * 2000-05-19 2009-02-10 Nippon Telegraph & Telephone Corporation Information search method and apparatus of time-series data using multi-dimensional time-series feature vector and program storage medium
JP5275612B2 (ja) * 2007-07-18 2013-08-28 国立大学法人 和歌山大学 周期信号処理方法、周期信号変換方法および周期信号処理装置ならびに周期信号の分析方法
JP5741007B2 (ja) * 2011-01-21 2015-07-01 株式会社リコー 画像処理装置、画素補間方法およびプログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006013612A (ja) * 2004-06-22 2006-01-12 Traffic Shimu:Kk データ監視システム、プログラム、記録媒体、表示操作方法
JP2008013153A (ja) * 2006-07-10 2008-01-24 Central Japan Railway Co 鉄道車両の異常検知装置
JP2010122996A (ja) * 2008-11-20 2010-06-03 Toyota Motor Corp データ処理装置及びデータ処理方法
JP2010283668A (ja) * 2009-06-05 2010-12-16 Nippon Telegr & Teleph Corp <Ntt> トラヒック分類システムと方法およびプログラムならびに異常トラヒック検知システムと方法

Also Published As

Publication number Publication date
JPWO2014132547A1 (ja) 2017-02-02
US20160013995A1 (en) 2016-01-14
US9729412B2 (en) 2017-08-08
WO2014132547A1 (ja) 2014-09-04

Similar Documents

Publication Publication Date Title
Nguyen et al. Improving effectiveness of intrusion detection by correlation feature selection
US20210320934A1 (en) Methods, systems, articles of manufacture and apparatus for producing generic ip reputation through cross protocol analysis
US10129271B2 (en) Tracking users over network hosts based on user behavior
US10679135B2 (en) Periodicity analysis on heterogeneous logs
CN111355697B (zh) 僵尸网络域名家族的检测方法、装置、设备及存储介质
US11074237B2 (en) Method and system to estimate the cardinality of sets and set operation results from single and multiple HyperLogLog sketches
CN107861981B (zh) 一种数据处理方法及装置
KR102088304B1 (ko) 그래프데이터베이스 기반 로그데이터 유사패턴 매칭 및 위험관리 방법
US20190362269A1 (en) Methods and apparatus to self-generate a multiple-output ensemble model defense against adversarial attacks
JPWO2015128896A1 (ja) 攻撃検知装置、攻撃検知方法、及び攻撃検知プログラム
CN107967488B (zh) 一种服务器的分类方法及分类系统
US20160269431A1 (en) Predictive analytics utilizing real time events
CN110135603B (zh) 一种基于改进熵权法的电力网络告警空间特征分析方法
Zulkiflee et al. A framework of features selection for ipv6 network attacks detection
CN111147300B (zh) 一种网络安全告警置信度评估方法及装置
CN114610561A (zh) 系统监测方法、装置、电子设备及计算机可读存储介质
US11115338B2 (en) Intelligent conversion of internet domain names to vector embeddings
WO2018182829A1 (en) Automated meta-parameter search for invariant-based anomaly detectors in log analytics
JP5751396B2 (ja) 周期性検出方法、周期性検出装置および周期性検出プログラム
CN110392032B (zh) 检测异常url的方法、装置及存储介质
WO2011114135A1 (en) Detecting at least one community in a network
US20160239264A1 (en) Re-streaming time series data for historical data analysis
CN110022343B (zh) 自适应事件聚合
CN115208938B (zh) 用户行为管控方法及装置、计算机可读存储介质
US20170160714A1 (en) Acquisition of high frequency data in transient detection

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20150417

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150421

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150504

R150 Certificate of patent or registration of utility model

Ref document number: 5751396

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150