JP6259379B2 - トラフィック異常検出装置およびブログラム - Google Patents
トラフィック異常検出装置およびブログラム Download PDFInfo
- Publication number
- JP6259379B2 JP6259379B2 JP2014177882A JP2014177882A JP6259379B2 JP 6259379 B2 JP6259379 B2 JP 6259379B2 JP 2014177882 A JP2014177882 A JP 2014177882A JP 2014177882 A JP2014177882 A JP 2014177882A JP 6259379 B2 JP6259379 B2 JP 6259379B2
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- vector
- time
- balance data
- generated
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、トラフィックの異常を検出する技術に関する。
IP(Internet Protocol)ネットワーク環境の装置故障を検知する方法の一つとして、トラフィック量を監視する方法がある。
IPネットワーク通信で用いられる装置の各IF(Interface)の流通トラフィック量(以降、単にトラフィック量と称す。)は、各装置のMIB(Management Information Base)情報に記憶され、SNMP(Simple Network Management Protocol)マネージャにより、リンクのIF毎に収集可能である(非特許文献1,2)。
IPネットワーク通信で用いられる装置の各IF(Interface)の流通トラフィック量(以降、単にトラフィック量と称す。)は、各装置のMIB(Management Information Base)情報に記憶され、SNMP(Simple Network Management Protocol)マネージャにより、リンクのIF毎に収集可能である(非特許文献1,2)。
トラフィック量を監視する場合、SNMPマネージャを使用して作成したトラフィックグラフを用いることがある。そのトラフィックグラフを目視で確認して、普段と違う挙動を見つけることによって、異常を検知することが行われている。
また、目視によらない方法が、特許文献1に開示されている。特許文献1に記載の技術では、複数リンクのトラフィックの異常を検出するために、リンク間の、送信トラフィック量の差分、受信トラフィック量の差分または送受信トラフィック量の差分が算出される。そして、比較基準とする時刻t1における差分と、任意の時刻t2(>t1)における差分とが比較される。時刻t1における差分と時刻t2における差分との間に差異があると判定された場合、警報が出力される。
RFC 1213、"Management Information Base for Network Management of TCP/IP-based internets: MIB-II" 、[online]、[平成26年7月18日検索]、インターネット<URL:https://www.ietf.org/rfc/rfc1213.txt>
RFC 3411、"An Architecture for Describing Simple Network Management Protocol (SNMP) Management Frameworks"、[online]、[平成26年7月18日検索]、インターネット<URL: https://www.ietf.org/rfc/rfc3411.txt>
トラフィックグラフを目視確認する方法は、トラフィック量の時間変動を考慮できるが、IF毎に作成されたグラフをすべて目視確認することになるため、手間がかかる上、非効率になるという問題がある。
また、特許文献1に記載の技術は、トラフィック量が時間変動することにともなってトラフィック量の差分が時間変動する場合には、比較基準の差分を定めることが困難である。具体的には、比較基準の差分を、時刻t1の値に定めた場合と、時刻t3(≠t1)の値に定めた場合とでは異なってしまうので、差異判定が揺らいでしまうという問題がある。
また、特許文献1に記載の技術は、トラフィック量が時間変動することにともなってトラフィック量の差分が時間変動する場合には、比較基準の差分を定めることが困難である。具体的には、比較基準の差分を、時刻t1の値に定めた場合と、時刻t3(≠t1)の値に定めた場合とでは異なってしまうので、差異判定が揺らいでしまうという問題がある。
そこで、本発明は、トラフィック量が時間変動する場合において、IFのトラフィック量の異常を検出するトラフィック異常検出装置およびプログラムを提供することを課題とする。
前記した課題を解決するため、本発明のトラフィック異常検出装置は、ネットワーク通信で用いられる1以上の装置のインタフェースにおけるトラフィック量を所定の時間ごとに取得し、その取得したトラフィック量に比例する値を要素とするベクトルを生成し、前記生成したベクトルを記憶部に記憶するトラフィックバランスデータ演算部と、前記記憶部に記憶されているベクトルに基づいて基準ベクトルを生成し、今回生成したベクトルと前記基準ベクトルとの類似度を演算するトラフィックバランスデータ類似度演算部と、前記類似度に基づいて、トラフィックの異常の有無を判定する異常判定部とを備え、前記トラフィックバランスデータ演算部は、トラフィック量の時間変動の周期が等しい前記インタフェースにおけるトラフィック量に基づいて、前記ベクトルを生成し、前記トラフィックバランスデータ類似度演算部は、前記トラフィック量を前記インタフェースから取得し、その取得した時間を前記周期内の時間に変換し、その変換後の時間に対応する時間の前記記憶されているベクトルに基づいて、前記基準ベクトルを生成することを特徴とする。
このような構成によれば、トラフィック異常検出装置は、トラフィック量に比例する値を要素とするベクトルを生成し、過去のベクトルに基づいて生成した基準ベクトルと生成したベクトルとの類似度を演算する。そして、トラフィック異常検出装置は、類似度に基づいてトラフィックの異常の有無を判定する。したがって、トラフィック異常検出装置は、トラフィック量が時間変動する場合であっても、過去のベクトルに基づいて生成された基準ベクトルを比較対照としているので、IFのトラフィック量の異常を検出することができる。
また、トラフィック異常検出装置は、トラフィック量の時間変動の周期が等しいものをまとめて、ベクトルで表現しているので、トラフィック量が周期的に時間変動する場合において、IFのトラフィック量の異常を検出することができる。
さらに、トラフィック異常検出装置は、トラフィック量の時間変動の周期性を利用して、トラフィック量の取得した1周期内の時間と同じ時間の記憶済のベクトルに基づいて基準ベクトルを生成することができる。つまり、トラフィック量が周期的に時間変動する場合において、周期変動の時間を合わせて基準ベクトルを生成することができるので、IFのトラフィック量の異常を検出することができる。
また、前記トラフィック異常検出装置の前記トラフィックバランスデータ類似度演算部は、前記今回生成したベクトルと前記基準ベクトルとをコサイン類似度に適用して、類似度を演算することを特徴とする。
このような構成によれば、トラフィック異常検出装置は、コサイン類似度によって、今回生成したベクトルと基準ベクトルとの類似度を演算することができる。したがって、トラフィック異常検出装置は、定量的に、IFのトラフィック量の異常を検出することができる。
また、前記トラフィック異常検出装置の前記トラフィックバランスデータ類似度演算部は、前記生成したベクトルが多変量正規分布に従うと仮定して、前記生成したベクトルの平均値と分散行列とを生成し、前記今回生成したベクトル、当該平均値および当該分散行列を用いてマハラノビス距離を演算し、前記異常判定部が、前記マハラノビス距離に基づいてトラフィックの異常の有無を判定することを特徴とする。
このような構成によれば、トラフィック異常検出装置は、今回生成したベクトルと多変量正規分布を仮定して生成される分散行列とベクトルの平均値とを用いてマハラノビス距離を演算することができる。このマハラノビス距離は、トラフィック量の異常判定に用いることができる。つまり、トラフィック異常検出装置は、トラフィック量が時間変動する場合において、IFのトラフィック量の異常を検出することができる。
なお、プログラムについては、前記したトラフィック異常検出装置と同様の技術的特徴を備えており、前記トラフィック異常検出装置と同様の効果を有しているので、「課題を解決するための手段」においての記載を省略する。
本発明によれば、トラフィック量が時間変動する場合において、IFのトラフィック量の異常を検出することができる。
本発明を実施するための形態(以降、「本実施形態」と称す。)について、適宜図面を参照しながら詳細に説明する。
(概要)
はじめに、本発明の概要について、図1を用いて説明する。本発明では、トラフィック量の周期変動に着目して、トラフィックの異常を検出する。
図1(a)はトラフィック量の時間変動を表し、図1(b)は現在ベクトルを表し、図1(c)は基準ベクトルを表し、図1(d)は判定結果を表している。
はじめに、本発明の概要について、図1を用いて説明する。本発明では、トラフィック量の周期変動に着目して、トラフィックの異常を検出する。
図1(a)はトラフィック量の時間変動を表し、図1(b)は現在ベクトルを表し、図1(c)は基準ベクトルを表し、図1(d)は判定結果を表している。
図1(a)は、縦軸にトラフィック量を表し、横軸を時間で表して、各IFのトラフィック量の時間変動特性を示したものである。各IFのトラフィック量を表す実線20の特性、破線21の特性および点線22の特性は、相互には異なっているものの、いずれも同じ周期Tで繰り返す傾向を有している。したがって、例えば、実線20のトラフィック量は、1周期T内の先頭からの経過時間がt1において、つまり、時間t1、T+t1、2T+t1では、ほぼ等しくなっている。本発明では、図1(a)に示すように、トラフィック量の時間変動特性が異なっていても、周期Tが同じとなるIFを同じグループとしてまとめて扱う。
トラフィック量の時間変動特性は、複数の物理リンクでトラフィック量を等分するリンクアグリゲーション間、特定のISP(Internet Service Provider)と特定のISPとの間、特定のISPとそれ以外のISPとの間、ネットワークを構成する物理装置間、加入者収容ルータと加入者設備との間、および加入者収容ルータからのトラフィックを集約して上位のコアルータに転送する集約ルータと加入者収容ルータとの間、でそれぞれ特徴を有している。例えば、ビジネスに使用されているトラフィックの場合、一般的に、図1(a)の実線20の特性、破線21の特性および点線22の特性で表されるように、日中はトラフィック量が大きくなり、夜間は小さくなる傾向がある。
図1(b)には、現在ベクトル10を記載している。現在ベクトル10は、ネットワーク通信で用いられる1以上の装置から取得したトラフィック量に比例(線形、非線形を問わない。)する値を要素とし、周期Tが同じとなるIFをまとめて生成される。例えば、図1(a)に示す実線20、破線21および点線22は、周期が同じであるので、現在ベクトル10は、同じ時間の各トラフィック量に比例する値を要素として生成される。図1(b)では、時間t1,t2,t3,T+t1,T+t2,T+t3,2T+t1におけるベクトルが現在ベクトル10として記載されている。
なお、図1(b)に示す現在ベクトル10の中では、時間t1および時間T+t1の現在ベクトル10はほぼ同じであり、時間t2および時間T+t2の現在ベクトル10はほぼ同じであり、時間t3および時間T+t3の現在ベクトル10はほぼ同じである。
しかし、時間t1の現在ベクトル10と、時間2T+t1の現在ベクトル10とは、異なっている。この理由は、図1(a)の図において、時間2T+t1付近では、点線22のトラフィック量の時間変動特性が、時間t1付近の特性とは異なっているためである。
しかし、時間t1の現在ベクトル10と、時間2T+t1の現在ベクトル10とは、異なっている。この理由は、図1(a)の図において、時間2T+t1付近では、点線22のトラフィック量の時間変動特性が、時間t1付近の特性とは異なっているためである。
また、図1(c)には、基準ベクトル11を記載している。基準ベクトル11は、IFに障害が無く、周期性が保たれているときの過去の現在ベクトル10から生成される。すなわち、基準ベクトル11は、現在ベクトル10が異常か否かを判定するための比較基準である。
図1(d)には、現在ベクトル10と基準ベクトル11との比較結果12が表されている。時間t1,t2,t3,T+t1,T+t2,T+t3では、現在ベクトル10と基準ベクトル11とは、差異がないと判定されるため、「正常」と表される。しかし、時間2T+t1では、現在ベクトル10と基準ベクトル11とは、差異があると判定されるため、「異常」と表される。
なお、本発明では、トラフィック量の時間変動の周期Tが同じとなる(または、等しいと見なせる)IFを同じグループとしてまとめて扱うため、ベクトルでトラフィック量を表現している。なお、周期が同じとは、異なるIF間の周期の差分が所定の閾値以下の場合とする。ただし、グループ化されたIFが1つしかない場合には、当該IF以外のベクトルの要素を固定の値(例えば、0)に設定するようにする。
また、IFをグループ化する利点は、変動傾向をIFごとに個別に設定しなくてよいことである。例えば、周期が1日であった場合、平日と休日とではトラフィックの総量や変動傾向が異なるので、カレンダの入力が必要になる。その場合、IFをグループ化することによって、カレンダの入力をIFごとに個別に行う必要が無くなるという利点がある。
(トラフィック異常検出装置)
次に、トラフィック異常検出装置200の機能例について、図2を用いて説明する(適宜、図1参照)。
次に、トラフィック異常検出装置200の機能例について、図2を用いて説明する(適宜、図1参照)。
トラフィック異常検出装置200は、記憶部210、処理部220および送受信部230を備える。
記憶部210は、RAM(Random Access Memory)、ROM(Read Only Memory)、HDD(Hard Disk Drive)、フラッシュメモリ等の記憶媒体から構成される。記憶部210には、処理部220によって算出された現在ベクトル10(以降、トラフィックバランスデータとも称する。)、比較結果12、ユーザによって操作される入力装置241(マウスやキーボード等)から入力される各種設定情報等が記憶される。
記憶部210は、RAM(Random Access Memory)、ROM(Read Only Memory)、HDD(Hard Disk Drive)、フラッシュメモリ等の記憶媒体から構成される。記憶部210には、処理部220によって算出された現在ベクトル10(以降、トラフィックバランスデータとも称する。)、比較結果12、ユーザによって操作される入力装置241(マウスやキーボード等)から入力される各種設定情報等が記憶される。
記憶部210には、IFグループ保存部211、周期時間保存部212、データ点数保存部213、忘却係数保存部214、トラフィックバランスデータ保存部215、閾値保存部216、判定結果保存部217が備えられている。
IFグループ保存部211は、グループ化したIFの情報を記憶している。
周期時間保存部212は、グループ化したIFごとに1周期の時間長を記憶している。
周期時間保存部212は、グループ化したIFごとに1周期の時間長を記憶している。
データ点数保存部213は、1周期内で算出する現在ベクトル10の数をデータ点数として記憶している。例えば、1周期が1日で、30分ごとに現在ベクトル10を算出する場合には、データ点数は、48である。
忘却係数保存部214は、過去の入力に対する重みを忘却係数として記憶している。忘却係数は、基準ベクトル11を算出する際に用いられる。
忘却係数保存部214は、過去の入力に対する重みを忘却係数として記憶している。忘却係数は、基準ベクトル11を算出する際に用いられる。
トラフィックバランスデータ保存部215は、処理部220によって算出された現在ベクトル10(以降、トラフィックバランスデータとも称す。)を記憶している。
閾値保存部216は、現在ベクトル10と基準ベクトル11とに差異があるか否か、すなわち異常か否か、を判定するための閾値を記憶している。
判定結果保存部217は、現在ベクトル10と基準ベクトル11とに差異があるか否か、すなわち異常か正常か、についての判定結果を記憶している。
閾値保存部216は、現在ベクトル10と基準ベクトル11とに差異があるか否か、すなわち異常か否か、を判定するための閾値を記憶している。
判定結果保存部217は、現在ベクトル10と基準ベクトル11とに差異があるか否か、すなわち異常か正常か、についての判定結果を記憶している。
処理部220は、記憶部210に記憶された各種情報を参照して、トラフィックの異常を検出する処理を実行する機能を有する。また、処理部220は、トラフィック異常検出装置200が備えるCPU(Central Processing Unit)によるプログラム実行処理や、専用回路等により実現される。なお、処理部220の機能をプログラム実行処理により実現する場合、記憶部210には、この処理部220の機能を実現するためのプログラムが格納される。
処理部220は、トラフィックバランスデータ演算部221、トラフィックバランスデータ類似度演算部222、異常判定部223を備える。
トラフィックバランスデータ演算部221は、トラフィックバランスデータを算出する機能を有する。具体的には、トラフィックバランスデータ演算部221は、ネットワーク242を構成する1以上の装置から、トラフィック情報受信部232を介して、所定の時間(一定時間の場合を含む。)ごとにトラフィック量の情報を取得する。次に、トラフィックバランスデータ演算部221は、取得したトラフィック量に比例(線形、非線形を問わない。)する値を要素とするトラフィックバランスデータ(現在ベクトル10)を、グループ化したIFごとに生成する。そして、トラフィックバランスデータ演算部221は、生成したトラフィックバランスデータとトラフィック量が取得された時間とを関連付けて、双方をトラフィックバランスデータ保存部215に記憶する。
トラフィックバランスデータ演算部221は、トラフィックバランスデータを算出する機能を有する。具体的には、トラフィックバランスデータ演算部221は、ネットワーク242を構成する1以上の装置から、トラフィック情報受信部232を介して、所定の時間(一定時間の場合を含む。)ごとにトラフィック量の情報を取得する。次に、トラフィックバランスデータ演算部221は、取得したトラフィック量に比例(線形、非線形を問わない。)する値を要素とするトラフィックバランスデータ(現在ベクトル10)を、グループ化したIFごとに生成する。そして、トラフィックバランスデータ演算部221は、生成したトラフィックバランスデータとトラフィック量が取得された時間とを関連付けて、双方をトラフィックバランスデータ保存部215に記憶する。
トラフィックバランスデータ類似度演算部222は、トラフィックバランスデータの周期性を類似度で評価する機能を有する。具体的には、トラフィックバランスデータ類似度演算部222は、トラフィックバランスデータ保存部215に記憶されている、最新のトラフィック量が取得された時間と、当該時間のトラフィックバランスデータとを読み出す。また、トラフィックバランスデータ類似度演算部222は、読み出した最新のトラフィック量が取得された時間を、1周期内の時間(1周期の先頭からの経過時間)に変換後の時間に対応するトラフィックバランスデータを、トラフィックバランスデータ保存部215から読み出す。例えば、最新のトラフィック量の取得された時間が4T+t1(ただし、Tは周期を表す。)であった場合、トラフィックバランスデータ類似度演算部222は、トラフィックバランスデータ保存部215に記憶されている時間t1、T+t1、2T+t1、3T+t1のトラフィックバランスデータを読み出す。そして、トラフィックバランスデータ類似度演算部222は、図1に示す基準ベクトル11(以降、基準トラフィックバランスデータと称すことがある。)を算出する。次に、トラフィックバランスデータ類似度演算部222は、トラフィックバランスデータと基準トラフィックバランスデータとを用いて、双方の類似度を算出する。なお、類似度の算出方法の詳細については、後記する。
異常判定部223は、トラフィックバランスデータが異常か否かを判定する機能を有する。具体的には、異常判定部223は、トラフィックバランスデータ類似度演算部222が算出した類似度を取得し、閾値保存部216から閾値を読み出す。次に、異常判定部223は、取得した類似度に基づいて、異常度を算出する。ここで、異常度は、類似度が高くなるに従って低くなる特性を有するように算出される。そして、異常判定部223は、算出した異常度と閾値とを比較し、異常度が閾値以上の場合、異常と判定して警報を送信し、異常度が閾値未満の場合、正常と判定する。異常判定部223は、判定結果(図1に示す比較結果12)を判定結果保存部217に記憶する。
送受信部230は、入力受信部231、トラフィック情報受信部232、送信部233を備える。
入力受信部231は、ユーザによって操作される入力装置241(マウスやキーボード等)から入力される各種設定情報を受信し、記憶部210に記憶する機能を有する。
トラフィック情報受信部232は、ネットワーク242を構成する各装置からトラフィック量の情報を受信し、受信した情報を処理部220のトラフィックバランスデータ演算部221に出力する機能を有する。
送信部233は、異常判定部223によって生成された判定結果や警報を表示装置243に送信する機能を有する。
入力受信部231は、ユーザによって操作される入力装置241(マウスやキーボード等)から入力される各種設定情報を受信し、記憶部210に記憶する機能を有する。
トラフィック情報受信部232は、ネットワーク242を構成する各装置からトラフィック量の情報を受信し、受信した情報を処理部220のトラフィックバランスデータ演算部221に出力する機能を有する。
送信部233は、異常判定部223によって生成された判定結果や警報を表示装置243に送信する機能を有する。
入力装置241は、ユーザによって操作されるマウスやキーボード等の入力機器であり、入力された情報を出力する機能を有する。
ネットワーク242は、不図示の装置(ルータ等)によって構成されている。そして、当該装置には、MIBに基づいてトラフィック量が記憶されている。
表示装置243は、ディスプレイ等であり、処理部220から出力される情報を表示する機能や、警報を出力する機能を有する。
ネットワーク242は、不図示の装置(ルータ等)によって構成されている。そして、当該装置には、MIBに基づいてトラフィック量が記憶されている。
表示装置243は、ディスプレイ等であり、処理部220から出力される情報を表示する機能や、警報を出力する機能を有する。
(類似度)
次に、類似度の算出例として、2つの実施例について説明する。
(第1の算出例)
周期性を持つトラフィック変動の1周期の時間長をTとする。ここで、図1(a)のグラフの横軸のように、時間を0から開始して累積していく場合、時間t=xにおけるトラフィックバランスデータはb(x)と表し、基準トラフィックバランスデータをB(x%%T)と表わす。ただし、x%%Tは、xをTで割ったときの余りとする。
次に、類似度の算出例として、2つの実施例について説明する。
(第1の算出例)
周期性を持つトラフィック変動の1周期の時間長をTとする。ここで、図1(a)のグラフの横軸のように、時間を0から開始して累積していく場合、時間t=xにおけるトラフィックバランスデータはb(x)と表し、基準トラフィックバランスデータをB(x%%T)と表わす。ただし、x%%Tは、xをTで割ったときの余りとする。
第1の算出例では、コサイン類似度を用いて、トラフィックバランスデータb(x)と基準トラフィックバランスデータB(x%%T)との類似度を次式(1)のように定義する。
類似度=b(x)・B(x%%T)/(|b(x)|×|B(x%%T)|)
・・式(1)
なお、「・」は、内積を表す。
・・式(1)
なお、「・」は、内積を表す。
なお、基準トラフィックバランスデータB(x%%T)は、推定値を用いてもよく、また過去のb(x)の値から算出してもよい。例えば、基準トラフィックバランスデータB(x%%T)は、トラフィックバランスデータ保存部215に記憶されている、各周期内の先頭からの時間t=T×n+x%%T(n=0,1,2,・・)における過去のb(t)の値の平均値や中央値であってもよい。
(第2の算出例)
第2の算出例では、トラフィックバランスデータb(t)が多変量正規分布に従うと仮定し、マハラノビス距離を異常度とするケースについて説明する。
まず、時間t=xにおけるトラフィックバランスデータb(x)の1周期内の同時間の、例えば1日周期の場合には、時間が朝9時であれば朝9時の、多変量正規分布を推定する。an=t+T×n(n=0,1,2,・・)という時間の配列を考え、b(an)の多変量正規分布を推定する。例えば、anは、n=0であれば0日目の朝、n=1であれば1日目の朝ということを示す。忘却係数rを設定し、逐次的に更新させるようにすると、平均値μ(n)と分散行列Cij(n)とは、それぞれ式(2)、式(3)のように表せる。
第2の算出例では、トラフィックバランスデータb(t)が多変量正規分布に従うと仮定し、マハラノビス距離を異常度とするケースについて説明する。
まず、時間t=xにおけるトラフィックバランスデータb(x)の1周期内の同時間の、例えば1日周期の場合には、時間が朝9時であれば朝9時の、多変量正規分布を推定する。an=t+T×n(n=0,1,2,・・)という時間の配列を考え、b(an)の多変量正規分布を推定する。例えば、anは、n=0であれば0日目の朝、n=1であれば1日目の朝ということを示す。忘却係数rを設定し、逐次的に更新させるようにすると、平均値μ(n)と分散行列Cij(n)とは、それぞれ式(2)、式(3)のように表せる。
μ(n)=(1−r)μ(n−1)+rb(an) ・・式(2)
Cij(n)=(1−r)Cij(n−1)
+r(bi(an)−μi(n))(bj(an)−μj(n)) ・・式(3)
ここで、i,jは、IFを識別する記号を表している。
Cij(n)=(1−r)Cij(n−1)
+r(bi(an)−μi(n))(bj(an)−μj(n)) ・・式(3)
ここで、i,jは、IFを識別する記号を表している。
そして、トラフィックバランスデータb(an)、平均値μ(n)および分散行列Cijを用いて、マハラノビス距離DM(b(an))を算出し、b(an)の異常度とする。なお、マハラノビス距離DM(b(an))は、次式(4)のように表せる。
DM(b(an))=
{ (μ(n)−b(an))TCij(n)−1(μ(n)−b(an)) }1/2
・・式(4)
ただし、Tは転置を表し、−1は逆行列を表す。
{ (μ(n)−b(an))TCij(n)−1(μ(n)−b(an)) }1/2
・・式(4)
ただし、Tは転置を表し、−1は逆行列を表す。
式(4)に示すマハラノビス距離が大きいほど、異常度が高いと判定する。
(処理フロー)
次に、トラフィック異常検出装置200の処理フロー例について、図3を用いて説明する(適宜、図2参照)。
ステップS301では、トラフィックバランスデータ演算部221は、所定の時間(一定時間の場合を含む。)ごとに、ネットワーク242を構成する1以上の装置から、トラフィック情報受信部232を介して、トラフィック量の情報を取得する。
次に、トラフィック異常検出装置200の処理フロー例について、図3を用いて説明する(適宜、図2参照)。
ステップS301では、トラフィックバランスデータ演算部221は、所定の時間(一定時間の場合を含む。)ごとに、ネットワーク242を構成する1以上の装置から、トラフィック情報受信部232を介して、トラフィック量の情報を取得する。
ステップS302では、トラフィックバランスデータ演算部221は、トラフィック量の情報を、未受信のIFがあるか否かを判定する。具体的には、トラフィックバランスデータ演算部221は、記憶部210のIFグループ保存部211を参照して、記憶されているIFについてトラフィック量が取得されたか否かを判定する。
未受信のIFがあると判定した場合(ステップS302でYes)、処理はステップS301へ戻り、未受信のIFがないと判定した場合(ステップS302でNo)、処理はステップS303へ進む。
未受信のIFがあると判定した場合(ステップS302でYes)、処理はステップS301へ戻り、未受信のIFがないと判定した場合(ステップS302でNo)、処理はステップS303へ進む。
ステップS303では、トラフィックバランスデータ演算部221は、トラフィックバランスデータ(図1に示す現在ベクトル10)を演算する。
ステップS304では、トラフィックバランスデータ演算部221は、演算したトラフィックバランスデータを記憶部210のトラフィックバランスデータ保存部215に記憶する。
ステップS305では、トラフィックバランスデータ演算部221は、記憶したトラフィックバランスデータが初回か否かを判定する。初回である場合には基準トラフィックバランスデータを演算できないため、この判定処理が実行される。
初回であると判定した場合(ステップS305でYes)、処理は終了し、初回でないと判定した場合(ステップS305でNo)、処理はステップS306へ進む。
初回であると判定した場合(ステップS305でYes)、処理は終了し、初回でないと判定した場合(ステップS305でNo)、処理はステップS306へ進む。
ステップS306では、トラフィックバランスデータ類似度演算部222は、記憶部210のトラフィックバランスデータ保存部215から過去のトラフィックバランスデータを読み出して、基準トラフィックバランスデータ(図1に示す基準ベクトル10)を演算する。具体的には、第1の算出例では、式(1)で用いた基準トラフィックバランスデータB(x%%T)が演算される。また、第2の算出例では、式(2)に示す平均値μ(n)が演算される。
ステップS307では、トラフィックバランスデータ類似度演算部222は、トラフィックバランスデータと基準トラフィックバランスデータとの類似度を演算する。具体的には、第1の算出例では、式(1)に示す類似度が演算される。また、第2の算出例では、式(3)に示す分散行列が演算される。
ステップS308では、異常判定部223は、異常度を演算する。具体的には、第1の算出例では、異常度は、類似度が高くなるに従って低くなる特性を有するように演算される。また、第2の算出例では、異常度は、式(4)に示すマハラノビス距離DM(b(an))が演算される。
ステップS309では、異常判定部223は、異常度が、記憶部210の閾値保存部216から読み出された閾値以上か否かを判定する。
閾値以上と判定した場合(ステップS309でYes)、処理はステップS310へ進み、閾値未満と判定した場合(ステップS309でNo)、処理は終了する。
閾値以上と判定した場合(ステップS309でYes)、処理はステップS310へ進み、閾値未満と判定した場合(ステップS309でNo)、処理は終了する。
ステップS310では、異常判定部223は、異常を示す警報を、送信部233を介して表示装置243に送信する。そして、処理は終了する。
以上、本実施形態のトラフィック異常検出装置200は、トラフィックバランスデータ演算部221によって、ネットワーク通信で用いられる装置のインタフェースにおけるトラフィック量を所定の時間ごとに取得し、そのトラフィック量に比例する値を要素とするベクトル(トラフィックバランスデータ)を生成し、生成したベクトルを記憶部210に記憶する。また、トラフィックバランスデータ類似度演算部222が、記憶部210に記憶されているベクトルに基づいて基準ベクトル11(基準トラフィックバランスデータ)を生成し、今回生成したベクトル(現在ベクトル10)と基準ベクトル11との類似度を演算する。そして、異常判定部223が、類似度に基づいて、トラフィックの異常の有無を判定する。このような構成を備えているので、トラフィック異常検出装置200は、トラフィック量が時間変動する場合において、IFのトラフィック量の異常を検出することができる。
10 現在ベクトル
11 基準ベクトル
200 トラフィック異常検出装置
210 記憶部
220 処理部
221 トラフィックバランスデータ演算部
222 トラフィックバランスデータ類似度演算部
223 異常判定部
230 送受信部
231 入力受信部
232 トラフィック情報受信部
233 送信部
241 入力装置
242 ネットワーク
243 表示装置
T 周期
11 基準ベクトル
200 トラフィック異常検出装置
210 記憶部
220 処理部
221 トラフィックバランスデータ演算部
222 トラフィックバランスデータ類似度演算部
223 異常判定部
230 送受信部
231 入力受信部
232 トラフィック情報受信部
233 送信部
241 入力装置
242 ネットワーク
243 表示装置
T 周期
Claims (4)
- ネットワーク通信で用いられる1以上の装置のインタフェースにおけるトラフィック量を所定の時間ごとに取得し、その取得したトラフィック量に比例する値を要素とするベクトルを生成し、前記生成したベクトルを記憶部に記憶するトラフィックバランスデータ演算部と、
前記記憶部に記憶されているベクトルに基づいて基準ベクトルを生成し、今回生成したベクトルと前記基準ベクトルとの類似度を演算するトラフィックバランスデータ類似度演算部と、
前記類似度に基づいて、トラフィックの異常の有無を判定する異常判定部とを備え、
前記トラフィックバランスデータ演算部は、トラフィック量の時間変動の周期が等しい前記インタフェースにおけるトラフィック量に基づいて、前記ベクトルを生成し、
前記トラフィックバランスデータ類似度演算部は、前記トラフィック量を前記インタフェースから取得し、その取得した時間を前記周期内の時間に変換し、その変換後の時間に対応する時間の前記記憶されているベクトルに基づいて、前記基準ベクトルを生成する
ことを特徴とするトラフィック異常検出装置。 - 前記トラフィックバランスデータ類似度演算部は、前記今回生成したベクトルと前記基準ベクトルとをコサイン類似度に適用して、類似度を演算する
ことを特徴とする請求項1に記載のトラフィック異常検出装置。 - 前記トラフィックバランスデータ類似度演算部は、前記生成したベクトルが多変量正規分布に従うと仮定して、前記生成したベクトルの平均値と分散行列とを生成し、前記今回生成したベクトル、当該平均値および当該分散行列を用いてマハラノビス距離を演算し、
前記異常判定部は、前記マハラノビス距離に基づいてトラフィックの異常の有無を判定する
ことを特徴とする請求項1に記載のトラフィック異常検出装置。 - コンピュータに、
ネットワーク通信で用いられる装置のインタフェースにおけるトラフィック量を所定の時間ごとに取得し、その取得したトラフィック量に比例する値を要素とするベクトルを生成し、前記生成したベクトルを記憶手段に記憶するトラフィックバランスデータ演算手順と、
前記記憶手段に記憶されているベクトルに基づいて基準ベクトルを生成し、今回生成したベクトルと前記基準ベクトルとの類似度を演算するトラフィックバランスデータ類似度演算手順と、
前記類似度に基づいて、トラフィックの異常の有無を判定する異常判定手順とを実行させ、
前記トラフィックバランスデータ演算手順において、トラフィック量の時間変動の周期が等しい前記インタフェースにおけるトラフィック量に基づいて、前記ベクトルを生成し、
前記トラフィックバランスデータ類似度演算手順において、前記トラフィック量を前記インタフェースから取得し、その取得した時間を前記周期内の時間に変換し、その変換後の時間に対応する時間の前記記憶されているベクトルに基づいて、前記基準ベクトルを生成する
ことを特徴とするプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014177882A JP6259379B2 (ja) | 2014-09-02 | 2014-09-02 | トラフィック異常検出装置およびブログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014177882A JP6259379B2 (ja) | 2014-09-02 | 2014-09-02 | トラフィック異常検出装置およびブログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016052086A JP2016052086A (ja) | 2016-04-11 |
| JP6259379B2 true JP6259379B2 (ja) | 2018-01-10 |
Family
ID=55659286
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014177882A Active JP6259379B2 (ja) | 2014-09-02 | 2014-09-02 | トラフィック異常検出装置およびブログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6259379B2 (ja) |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5403698B2 (ja) * | 2010-11-02 | 2014-01-29 | 日本電信電話株式会社 | トラヒック判別装置及びトラヒック判別装置における閾値の更新方法 |
| JP5711675B2 (ja) * | 2012-01-18 | 2015-05-07 | 日本電信電話株式会社 | ネットワーク異常検出装置およびネットワーク異常検出方法 |
-
2014
- 2014-09-02 JP JP2014177882A patent/JP6259379B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2016052086A (ja) | 2016-04-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5831558B2 (ja) | 運用管理装置、運用管理方法、及びプログラム | |
| JP6658540B2 (ja) | システム分析装置、システム分析方法およびプログラム | |
| WO2016147656A1 (ja) | 情報処理装置、情報処理方法、及び、記録媒体 | |
| JP6055285B2 (ja) | データ保全装置およびその方法、システム | |
| US20160217022A1 (en) | Anomaly detection using circumstance-specific detectors | |
| US10346756B2 (en) | Machine discovery and rapid agglomeration of similar states | |
| JP2018513457A5 (ja) | ||
| US11115295B2 (en) | Methods and systems for online monitoring using a variable data | |
| US20200034730A1 (en) | Machine Discovery of Aberrant Operating States | |
| JP2016173782A (ja) | 故障予測システム、故障予測方法、故障予測装置、学習装置、故障予測プログラム及び学習プログラム | |
| JP2018195929A (ja) | トラフィック管理装置、トラフィック管理方法およびプログラム | |
| US9524223B2 (en) | Performance metrics of a computer system | |
| JP4232828B2 (ja) | アプリケーション分類方法、ネットワーク異常検知方法、アプリケーション分類プログラム、ネットワーク異常検知プログラム、アプリケーション分類装置、ネットワーク異常検知装置 | |
| JP5711675B2 (ja) | ネットワーク異常検出装置およびネットワーク異常検出方法 | |
| JP2007173907A (ja) | 異常トラヒック検出方法及び装置 | |
| JP5971395B2 (ja) | システム分析装置、及び、システム分析方法 | |
| US10360249B2 (en) | System and method for creation and detection of process fingerprints for monitoring in a process plant | |
| JP6259379B2 (ja) | トラフィック異常検出装置およびブログラム | |
| JP4559500B2 (ja) | 異常トラヒック検出方法及び装置 | |
| JP6627258B2 (ja) | システムモデル生成支援装置、システムモデル生成支援方法、及び、プログラム | |
| CN110543965B (zh) | 基线预测方法、基线预测装置、电子设备和介质 | |
| JP2017224181A (ja) | 監視対象システムを監視する分析装置 | |
| JP6488868B2 (ja) | 表示処理方法、表示処理プログラム及び表示処理装置 | |
| JP5907225B2 (ja) | イベント推定装置、イベント推定方法、及び、イベント推定プログラム | |
| JP6592411B2 (ja) | データ分析装置及びデータ分析方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160926 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170821 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170905 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171101 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20171205 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20171208 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6259379 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |