JP6990452B2 - トラヒック監視のためのデバイス、方法、および非一時的有形機械可読媒体 - Google Patents

トラヒック監視のためのデバイス、方法、および非一時的有形機械可読媒体 Download PDF

Info

Publication number
JP6990452B2
JP6990452B2 JP2019231365A JP2019231365A JP6990452B2 JP 6990452 B2 JP6990452 B2 JP 6990452B2 JP 2019231365 A JP2019231365 A JP 2019231365A JP 2019231365 A JP2019231365 A JP 2019231365A JP 6990452 B2 JP6990452 B2 JP 6990452B2
Authority
JP
Japan
Prior art keywords
under test
traffic monitoring
packet
device under
probability
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019231365A
Other languages
English (en)
Other versions
JP2020107337A (ja
Inventor
▲頼▼昭曄
李育杰
Original Assignee
安華聯網科技股▲分▼有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 安華聯網科技股▲分▼有限公司 filed Critical 安華聯網科技股▲分▼有限公司
Publication of JP2020107337A publication Critical patent/JP2020107337A/ja
Application granted granted Critical
Publication of JP6990452B2 publication Critical patent/JP6990452B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/26Functional testing
    • G06F11/263Generation of test inputs, e.g. test vectors, patterns or sequences ; with adaptation of the tested hardware for testability with external testers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N7/00Computing arrangements based on specific mathematical models
    • G06N7/01Probabilistic graphical models, e.g. probabilistic networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Mathematical Physics (AREA)
  • Computing Systems (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Medical Informatics (AREA)
  • Computational Mathematics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • Algebra (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、トラヒック監視のためのデバイスおよび方法、ならびに、このデバイスにおいて使用するための非一時的有形機械可読媒体に関する。より詳細には、本発明の実施形態は、時間間隔内に被試験デバイスによって送信されるパケット量を測定し、かつ確率モデルに基づいて被試験デバイスのトラヒック状態を判断する、トラヒック監視のためのデバイス、方法、および非一時的有形機械可読媒体に関する。
従来のシステム監視技術は、2つのカテゴリに大きく分類可能である。従来のシステム監視技術の第1のカテゴリについて、監視デバイスは、被試験デバイスが異常であるかどうかを判断するために被試験デバイスの特定のメモリスペースのメモリ状態を監視する。この種類の監視技術はメモリアクセスを伴うため、監視デバイスは、被試験デバイスの管理アクセス権を得なければならない。従って、この種類のシステム監視技術は、厳しい条件を必要とし、かつブラックボックス/グレーボックステストシナリオに適用できない。
従来のシステム監視技術の他のカテゴリに関して、監視デバイスは、被試験デバイスのトラヒック内容を分析することによって被試験デバイスのトラヒック状態を判断する。具体的には、監視デバイスは、特定のプロトコルを使用する被試験デバイスの全ての応答を予期することが可能でなければならず、そうあることで被試験デバイスが、被試験デバイスからパケットを受信する時にパケット内容を分析することによって、異常であるかどうかを判断できる。しかしながら、この種類のシステム監視技術は、被試験デバイスのパケット内容の精確な分析を必要とするため、実装形態および動作はより複雑になる。さらに、被試験デバイスによって使用されるプロトコルが異なっている場合があるとすると、ほとんどの監視デバイスは、別個に開発されなければならず、開発費が高額になる。
以上より、従来のシステム監視技術が、不十分な互換性、複雑な実装形態、および高費用という問題を有することが理解さる。このため、従来のシステム監視技術の上述される問題を解決することは、当技術分野において非常に重要となっている。
前述の問題を解決するために、本開示はトラヒック監視デバイスを提供する。
トラヒック監視デバイスは、ストレージ、および被試験デバイスおよびストレージと電気的に接続されるプロセッサを含む。ストレージは確率モデルを記憶するように構成される。被試験デバイスは、複数のパケットを連続的に送信する。プロセッサは、監視時間間隔内に被試験デバイスによって送信される第1のパケット量を記録するように構成される。プロセッサは、第1のパケット量および監視時間間隔が対応付けられた発生確率が確率閾値より低い時、被試験デバイスは異常状態にあると判断されるようにさらに構成され、発生確率は確率モデルによって判断される。
前述の問題を解決するために、本開示は、トラヒック監視デバイスのためのトラヒック監視方法をさらに提供する。
トラヒック監視デバイスは、確率モデルを記憶し、かつ被試験デバイスと電気的に接続される。被試験デバイスは、複数のパケットを連続的に送信する。トラヒック監視方法は、以下のステップ、トラヒック監視デバイスによって、監視時間間隔内に被試験デバイスによって送信される第1のパケット量を記録するステップと、第1のパケット量および監視時間間隔が対応付けられた発生確率が確率閾値より低い時、被試験デバイスが異常状態にあると、トラヒック監視デバイスによって判断するステップであって、発生確率は確率モデルによって判断される、判断するステップとを含む。
前述の問題を解決するために、本開示は、非一時的有形機械可読媒体をさらに提供する。
非一時的有形機械可読媒体はコンピュータプログラムが記憶され、このコンピュータプログラムは、コンピュータプログラムがトラヒック監視デバイスにロードされる時トラヒック監視方法を実行できる複数のコードを含む。トラヒック監視方法は、以下のステップ:監視時間間隔内に被試験デバイスによって送信される第1のパケット量を記録するステップであって、被試験デバイスは複数のパケットを連続的に送信する、記録するステップと、第1のパケット量および監視時間間隔が対応付けられた発生確率が確率閾値より低い時、被試験デバイスは異常状態にあると判断するステップであって、発生確率は確率モデルによって判断される、判断するステップとを含む。
本発明のトラヒック監視技術は、被試験デバイスが、特定の時間間隔内に被試験デバイスによって送信されるパケット量に基づいて異常であるかどうかを判断する。ゆえに、従来のシステム監視技術のように、被試験デバイスによって使用される種々のプロトコルのための種々のトラヒック監視デバイスを開発する必要はない。さらに、従来のシステム監視技術のように、監視を行うために被試験デバイスに対する管理アクセス権を得る必要はない。さらに、トラヒック監視デバイスは、被試験デバイスによって送信されるパケットに対して精確な分析を行う必要はないため、動作上の複雑さは従来のシステム監視技術のものより低い。開発者は、被試験デバイスによって使用される種々のプロトコルのための種々のトラヒック監視デバイスを開発する必要がないため、従来のシステム監視技術より開発費が安価である。その結果、本開示によって提供される、トラヒック監視のためのデバイスおよび方法、ならびに該デバイスにおいて使用するための非一時的有形機械可読媒体は、従来のシステム監視技術の上述した問題を効果的に解決する。
以上は、本発明を限定することを意図しておらず、全体的に、当業者が本発明を事前に理解できるように、本発明によって解決可能である技術的問題、採用可能である技術的手法、および本発明によって実現可能である技術的効果を説明するものに過ぎない。以下の実施形態において説明される添付の図面および内容に従って、当業者は本発明において特許請求される特徴を理解可能である。
本発明の1つまたは複数の実施形態によるトラヒック監視システムの概略図である。 本発明の1つまたは複数の実施形態による別のトラヒック監視システムの概略図である。 本発明の1つまたは複数の実施形態による、被試験デバイスに対してトラヒック監視を行うトラヒック監視デバイスのフローチャートである。 本発明の1つまたは複数の実施形態による、被試験デバイスに対してトラヒック監視を行うトラヒック監視デバイスのフローチャートである。 本発明のトラヒック監視方法のフローチャートである。
以下の説明では、本発明は本発明の実施形態に関して開示される。後述する本発明の実施形態が、これらの実施形態において説明されるいずれの特定の環境、応用、構造、プロセス、またはステップに本発明を限定することをも意図しないことは理解されるべきである。添付の図面において、本発明の実施形態に関係がない要素は描写から省略されており、添付の図面における要素の寸法および個々の要素の間の比例関係は典型的な例に過ぎず、本発明を限定することを意図していない。特に記されていない限り、同じ(または同様の)要素のシンボルは、以下の説明における同じ(または同様の)要素に対応し得る。特に記されていない限り、後述される要素のそれぞれの数は、適用において1つまたは複数を意味する。
図1は、本発明の1つまたは複数の実施形態によるトラヒック監視システム1の概略図を示す。図1における内容は、本発明を限定するためのものではなく、本発明の実施形態を例証する目的のためのものに過ぎない。
図1を参照する。本発明の第1の実施形態はトラヒック監視システムである。トラヒック監視システム1は、トラヒック監視デバイス11、被試験デバイス13、および端末器15を含んでよい。
トラヒック監視デバイス11は、ストレージ111、およびストレージ111と電気的に接続されるプロセッサ113を含んでよい。被試験デバイス13は、有線または無線式にトラヒック監視デバイス11と接続され、トラヒック監視デバイス11は有線または無線で端末器15と接続される。被試験デバイス13は、複数のパケットを、トラヒック監視デバイス11を介して端末器15に連続的に送信する。トラヒック監視デバイス11のプロセッサ113は、被試験デバイス13によって受信および送信されるパケット量を監視する、またはプロセッサ113および被試験デバイス13は互いにパケットを送信する。
いくつかの実施形態では、トラヒック監視デバイス11は、(図示せず)送信インターフェースをさらに含み、プロセッサ113は、送信インターフェースを介して被試験デバイス13および端末器15と接続される。また、有線接続は、限定はされないが、ケーブルによる接続、またはさまざまな機能の光ファイバネットワークなどを含んでよい。無線接続は、限定はされないが、ブルートゥース(登録商標)、Wi-Fi(登録商標)、またはモバイル通信ネットワークによる接続などを含んでよい。
被試験デバイス13は、モバイル通信装置(例えば、限定はされないが、スマートフォンまたはタブレットコンピュータなど)、ネットワーキング装置(例えば、限定はされないが、サーバ)、モノのインターネット(IOT)デバイス、またはパケットを送受信することが可能な他の通信デバイスであってよい。
端末器15は、パケットを被試験デバイス13などと送受信するといった相互作用のために、被試験デバイス13と相互に作用することが可能である通信デバイスであってよい。いくつかの実施形態では、端末器15およびトラヒック監視デバイス11は、同じデバイス内に配設されてもよいし、またはシステムを共に形成してよい。トラヒック監視デバイス11は、被試験デバイス13によって送信されるパケット量を直接監視できる。すなわち、トラヒック監視デバイス11は、被試験デバイス13と送受信するパケットに直接参加できることで、被試験デバイス13によって送信されるパケット量をより直接的に監視するようにする。
ストレージ111は、トラヒック監視デバイス11によって生成されるデータ、または外部から受信されるデータを記憶するように構成される。ストレージ111は、(メインメモリまたは内部メモリとも呼ばれる)一次メモリを含んでよく、プロセッサ113は、一次メモリに記憶される命令セットを直接読み出してよく、かつ必要に応じてこれらの命令セットを実行してよい。ストレージ111は、オプションとして、(外部メモリまたは補助メモリとも呼ばれる)二次メモリを含んでよく、二次メモリは、記憶されたデータを、データバッファを介して一次メモリに送信してよい。例えば、二次メモリは、例えば、限定はされないが、ハードディスクまたは光ディスクなどであってよい。ストレージ111は、オプションとして、三次メモリ、すなわち、例えば、モバイルディスクといった、コンピュータに対して直接挿入または引き出しが可能であるストレージデバイスを含んでよい。第1の実施形態では、ストレージ111は確率モデルMDを記憶する。
プロセッサ113は、信号処理などが可能であるマイクロプロセッサまたはマイクロコントローラである。マイクロプロセッサまたはマイクロコントローラは、動作、記憶、または出力/入力などが可能である一種のプログラム可能な特定の集積回路である。また、マイクロプロセッサまたはマイクロコントローラは、さまざまなコード化命令を受信しかつ処理できることによって、さまざまな論理演算および算術演算が行われ、かつ対応する演算結果が出力される。プロセッサ113は、トラヒック監視デバイス11においてさまざまな動作またはプログラムを実行するようにプログラミングされてよい。
監視時間間隔内に、プロセッサ113は、被試験デバイス13から端末器15に送信される合計「M」のパケット、すなわち、パケットP_01、パケットP_02、…、パケットP_0Mを記録することによって、監視時間間隔内に被試験デバイス13によって送信される第1のパケット量を取得する。
第1のパケット量を取得した後、プロセッサ113は、確率モデルMDに従って、監視時間間隔および第1のパケット量が対応付けられた発生確率、すなわち、「監視時間間隔内に被試験デバイス13によって第1のパケット量のパケットを送信する」確率を計算する。発生確率が事前設定された確率閾値より低い時、「監視時間間隔内に被試験デバイス13によって第1のパケット量のパケットを送信する」ことが異例の状況に分類可能であることを意味するため、プロセッサ113は、その後、被試験デバイス13が異常状態にあると判断できる。
前述のパケット量「M」が変数値であってよいことが理解されるべきである。より詳細には、それぞれの監視時間間隔内に被試験デバイス13によって送信されるパケット量「M」は異なっている場合がある。従って、種々の監視時間間隔内に計算される確率は変化し得る。
また、確率モデルMDはストレージ111において事前確立されかつ記憶される計算モデルであってよい。確率モデルMDは、監視時間間隔のさまざまな単位時間長内に特定のパケット量を送信するさまざまな発生確率を計算するために使用されてよい。例えば、0.15秒ごとに、8パケット、12パケット、16パケット、20パケット、および24パケットを送信する発生確率は、それぞれ、約0.02、0.08、0.09、0.04、および0.01であり、計算に確率関数を使用することで得ることができる。従って、確率モデルMDを使用することによって、トラヒック監視デバイス11は、後の確率閾値との比較のために単位時間内に送信されるパケット量による確率値を生成できる。
図2Aは、本発明の1つまたは複数の実施形態によるトラヒック監視システム2Aの概略図を示す。図2Bおよび図2Cは、本発明の1つまたは複数の実施形態による、被試験デバイス13に対してトラヒック監視を行うトラヒック監視デバイス11のフローチャートを示す。図2A、図2B、および図2Cに示される内容は、本発明を限定するためのものではなく、本発明の実施形態を例証する目的のためのものに過ぎない。
図2A、図2B、および図2Cを参照する。本発明の第2の実施形態は第1の実施形態を拡張したものである。本発明の第1の実施形態におけるトラヒック監視システム1のように、トラヒック監視システム2Aはまた、トラヒック監視デバイス11、被試験デバイス13、および端末器15を含んでよい。第2の実施形態では、トラヒック監視デバイス11のプロセッサ113は、トラヒック監視プロセス2Bおよびトラヒック監視プロセス2Cを実行するようにさらに構成される。
トラヒック監視プロセス2Bにおいて、監視時間間隔内に被試験デバイス13によって送信されるパケット量を記録する前に、プロセッサ113は、データトレーニング時間間隔内に被試験デバイス13によって送信されるパケット量を記録し、次いで、データトレーニング時間間隔内に被試験デバイス13によって送信されるパケット量がパケット量の事前設定された閾値より高いかどうかを分析してよい(アクション201として標示される)。
データトレーニング時間間隔内に被試験デバイス13によって送信されるパケット量がパケット量の閾値より低い場合、プロセッサ113は、少なくとも1つのトリガメッセージを被試験デバイス13に自発的に送信できることで、プロセッサ113の少なくとも1つのトリガメッセージに応答してパケットを送信するように被試験デバイス13をトリガするようにする(アクション203として標示される)。次に、プロセッサ113は、データトレーニング時間間隔内に被試験デバイス13によって送信されるパケット量が実際に、パケット量の閾値より高くなるまで、アクション201および203を繰り返してよく、その後、方法はトラヒック監視プロセス2Cに進む。
例えば、データトレーニング時間間隔(例えば、限定はされないが、60秒)内に被試験デバイス13によって送信されるパケット量(すなわち、パケットP_01、パケットP_02、…、パケットP_0Mで構成される合計「M」パケット)がパケット量の閾値より低い場合、プロセッサ113は、「L」のトリガメッセージ(すなわち、トリガメッセージT_1、トリガメッセージT_2、…、トリガメッセージT_L)を連続的に(例えば、限定はされないが、等しい時間間隔で)送信してよく、被試験デバイス13は、プロセッサ113によって送信される「L」のトリガメッセージに応答して、「N」のパケット(すなわち、パケットP_11、パケットP_12、…、パケットP_1N)を対応して送信する。
次に、プロセッサ113は、再び分析し、データトレーニング時間間隔内に被試験デバイス13によって送信されるパケット量(すなわち、パケット量「M」および「N」の合計)が実際に、パケット量の閾値(例えば、限定はされないが、30)より高いことを確認できる。
前述のパケット量「M」および「N」が変数値であってよいことが理解されるべきである。より詳細には、被試験デバイス13は、それぞれの監視時間間隔内に「M」および「N」と異なるパケット量を送信してよい。より精確な確率モデルMDを確立するために、トラヒック監視デバイス11は、被試験デバイス13に、量がパケット量の閾値より大きいパケットを送信させる。
その後、トラヒック監視プロセス2Cにおいて、プロセッサ113は、データトレーニング時間間隔内に被試験デバイス13によって送信される第2のパケット量を記録し(アクション205として標示される)、データトレーニング時間間隔および第2のパケット量に従って、かつポアソン確率質量関数に基づいて確率モデルMDを構築し(アクション207として標示される)、さらにまた、確率モデルMDをストレージ111に記憶できる。具体的には、ポアソン確率質量関数は以下のようなものであってよい。
Figure 0006990452000001
本発明の1つまたは複数の実施形態において、
「X」は離散型確率変数であり、
「P(K)」は、「X」が「K」に等しい時のポアソン確率質量関数であり、
「e」はオイラー数であり、
「μ」はポアソン確率質量関数のパラメータであり、
「K」は第1のパケット量(すなわち、監視時間間隔内のパケット量)であり、
「R」は実数を表し、
本発明の実施形態では、パラメータ「μ」は以下のようなものであってよい。
Figure 0006990452000002
 「S」は第2のパケット量(すなわち、データトレーニング時間間隔内のパケット量)であり、
「T」はデータトレーニング時間間隔であり、
「t」は監視時間間隔である。
例えば、プロセッサ113は、データトレーニング時間間隔(例えば、限定はされないが、2秒)内に被試験デバイス13によって送信される第2のパケット量(例えば、限定はされないが、200)を記録できることで、確率モデルMDを以下のように構築する。
Figure 0006990452000003
確率モデルMDを構築後、プロセッサ113は、監視時間間隔内に被試験デバイス13によって送信される、パケットP_01、パケットP_02、…、パケットP_0Mの第1のパケット量を記録し(アクション209として標示される)、かつ確率モデルMDに従って監視時間間隔および第1のパケット量から計算される発生確率が確率閾値より低いかどうかを判断でき(アクション211として標示される)、それによって、被試験デバイス13が異常状態にあるかどうかを判断する。
例えば、プロセッサ13は、被試験デバイスが監視時間間隔(例えば、限定ではないが、0.15秒)内に合計23パケットを送信したことを記録してよい。次いで、「被試験デバイス13によって0.15秒内に23パケットを送信する」ことに対応する発生確率は、約0.0132(すなわち、1.32%)である、上記の式3による確率モデルMDによって計算されてよい。次に、プロセッサ113は、発生確率(すなわち、「1.32%」)が確率閾値(例えば、限定はされないが、「2%」)より低いことを確認できることによって、被試験デバイス13が異常状態にあることを判断する。
いくつかの実施形態では、被試験デバイス13が異常状態にあると判断した後、プロセッサ113は、被試験デバイス13が異常状態にあることをレポート(または表示)し、かつ異常状態に関連しているトラヒック異常レポートを生成してよく(アクション213として標示される)、それによって、ユーザは、被試験デバイス13のトラヒック条件を記録するか、または被試験デバイス13に対するトラヒックへの調整を行う。
監視時間間隔内に被試験デバイス13によって送信される第1のパケット量から確率モデルMDに従って計算される発生確率が確率閾値より高い場合、プロセッサ113は、被試験デバイス13が異常状態にないと判断し、プロセッサ113は、被試験デバイス13が異常状態にあること、またはユーザがトラヒック監視プロセス2Bおよびトラヒック監視プロセス2Cを終了していることが判断されるまで、アクション205、207、209、および211を繰り返してよい。
また、プロセッサ113が、被試験デバイス13が異常状態にないと判断し、かつアクション205を繰り返す時、プロセッサ113は、最終時間のデータ(すなわち、異常と判断されない第1のパケット量および監視時間間隔)を第2のパケット量およびデータトレーニング時間間隔として使用することが可能となり、確率モデルMDを更新する。
いくつかの実施形態では、ユーザは、発生確率が期待値に従っているかどうかを判断し、かつ確率閾値を修正できることで、被試験デバイス13が異常状態にあるかどうかを判断する。同様に、ユーザが、被試験デバイス13が異常状態にないと判断する場合、プロセッサ113は、発生確率が確率閾値より低くなるか、またはユーザがトラヒック監視プロセス2Bおよびトラヒック監視プロセス2Cを自発的に終了するまで、アクション205、207、209、および211を繰り返してよい。
図3は、本発明のトラヒック監視方法のフローチャートを示す。図3に示される内容は、本発明を限定するためのものではなく、本発明の実施形態を例証する目的のためのものに過ぎない。
図3を参照する。本発明の第3の実施形態は、トラヒック監視デバイス(例えば、第1の実施形態に説明されるトラヒック監視デバイス11)のためのトラヒック監視方法3である。トラヒック監視デバイスは、確率モデルを記憶し、かつ被試験デバイスと電気的に接続される。被試験デバイスは複数のパケットを連続的に送信する。トラヒック監視方法3は、以下のステップ、トラヒック監視デバイスによって、監視時間間隔内に被試験デバイスによって送信される第1のパケット量を記録するステップ(301として標示される)と、第1のパケット量および監視時間間隔が対応付けられた発生確率が確率閾値より低い時被試験デバイスが異常状態にあると、トラヒック監視デバイスによって判断するステップであって、発生確率は確率モデルによって判断される、判断するステップ(303として標示される)とを含んでよい。
いくつかの実施形態では、第3の実施形態におけるトラヒック監視方法3は、第1のパケット量を記録するステップの前に、以下のステップ、トラヒック監視デバイスによって、データトレーニング時間間隔内に被試験デバイスによって送信される第2のパケット量を記録するステップと、トラヒック監視デバイスによって、データトレーニング時間間隔および第2のパケット量に従って、かつポアソン確率質量関数に基づいて確率モデルを構築するステップと、をさらに含んでよい。
いくつかの実施形態では、第3の実施形態におけるトラヒック監視方法3は、以下のステップ、トラヒック監視デバイスによって、データトレーニング時間間隔内に被試験デバイスによって送信される第2のパケット量を記録するステップと、トラヒック監視デバイスによって、データトレーニング時間間隔および第2のパケット量に従って、かつポアソン確率質量関数に基づいて確率モデルを構築するステップと、トラヒック監視デバイスによって、発生確率が確率閾値より高い時確率モデルを更新するために、第1のパケット量に従って第2のパケット量を調整するステップと、をさらに含んでよい。
いくつかの実施形態では、第3の実施形態におけるトラヒック監視方法3は、以下のステップ、データトレーニング時間間隔内に被試験デバイスによって送信される複数のパケットの量がパケット量の閾値より低い時、少なくとも1つのトリガメッセージを被試験デバイスにトラヒック監視デバイスによって送信することで、複数のパケットの量をパケット量の閾値より高くするステップと、トラヒック監視デバイスによって、データトレーニング時間間隔内に被試験デバイスによって送信される第2のパケット量を記録するステップと、トラヒック監視デバイスによって、データトレーニング時間間隔および第2のパケット量に従って、かつポアソン確率質量関数に基づいて確率モデルを構築するステップと、をさらに含んでよい。
いくつかの実施形態では、第3の実施形態におけるトラヒック監視方法3は、以下のステップ、異常状態に従ってトラヒック異常レポートをトラヒック監視デバイスによって生成するステップをさらに含んでよい。
第3の実施形態では、トラヒック監視方法3は、前述のステップに加えて、トラヒック監視デバイス11に関連している上記の実施形態全てに対応する他のステップを実行してもよい。これらの他のステップは、トラヒック監視デバイス11の上記の説明に基づいて当業者によって理解されるものであるため、本明細書においてさらに説明されることはない。
第3の実施形態において説明されるトラヒック監視方法3は、複数のコードを含むコンピュータプログラムとして実施されてよい。コードは、コンピュータプログラムが電子装置にロードされる時、第3の実施形態におけるトラヒック監視方法3を実行可能である。コンピュータプログラムは、非一時的有形機械可読媒体、例えば、限定はされないが、読み出し専用メモリ(ROM)、フラッシュメモリ、フロッピーディスク、モバイルハードディスク、磁気テープ、ネットワークにアクセス可能なデータベース、または、同じ機能を有し、かつ当業者に周知である任意の他の記憶媒体に記憶されてよい。
上記の説明によると、本発明のトラヒック監視技術は、特定の時間間隔内に被試験デバイスによって送信されるパケット量を検出し、特定の確率モデルに基づいて確率値を生成し、被試験デバイスが、確率値、およびユーザによって設定される確率閾値を使用することによって異常状態にあるかどうかを判断する。従って、本開示に提供される、トラヒック監視のためのデバイスおよび方法、ならびに該デバイスにおいて使用するための非一時的有形機械可読媒体は、パケットの内容を解釈する必要なく被試験デバイスの使用状態を判断できる。本発明は、従来のトラヒック監視技術と比較して、広範な適用性および低複雑度のトラヒック監視方法を提供する。
本発明の明細書および特許請求の範囲において、第1のパケット量および第2のパケット量における「第1の」および「第2の」などの用語が、異なる時間間隔内に監視されるパケット量を表すためだけに使用され、一連のパケット量を限定することを意図するものではないことが理解されるべきである。
本明細書において複数の実施形態が開示されているが、これらの実施形態は本発明を限定することを意図するものではない。これらの実施形態の等価物または方法(例えば、上記の実施形態の修正および/または組み込み)もまた、本発明の趣旨および範囲から逸脱することのない本発明の一部である。当業者によって容易になされ得るいずれの修正物または等価物も本発明の範囲内にあり、本発明の範囲は特許請求の範囲に画成される内容に準拠する。

Claims (9)

  1. 確率モデルを記憶するように構成されるストレージと、
    被試験デバイスおよび前記ストレージと電気的に接続されるプロセッサであって、前記被試験デバイスは複数のパケットを連続的に送信し、監視時間間隔内に前記被試験デバイスによって送信される第1のパケット量を記録すること、および、前記第1のパケット量および前記監視時間間隔が対応付けられた発生確率が確率閾値より低い時、前記被試験デバイスは異常状態にあると判断することであって、前記発生確率は前記確率モデルによって判断されることを特徴とする、判断すること、を行うように構成されるプロセッサと、を含み、
    前記第1のパケット量を記録する前に、前記プロセッサは、データトレーニング時間間隔内に前記被試験デバイスによって送信される第2のパケット量を記録し、および、前記データトレーニング時間間隔および前記第2のパケット量に従って、かつポアソン確率質量関数に基づいて前記確率モデルを構築するように構成され、
    前記第2のパケット量を記録する前に、前記プロセッサは、前記データトレーニング時間間隔内に前記被試験デバイスによって送信される前記複数のパケットの量がパケット量の閾値より低い時、少なくとも1つのトリガメッセージを前記被試験デバイスに送信することで、前記複数のパケットの量を前記パケット量の閾値より高くするようにさらに構成される、
    トラヒック監視デバイス。
  2. 前記プロセッサは、前記発生確率が前記確率閾値より高い時前記確率モデルを更新するために、前記第1のパケット量に従って前記第2のパケット量を調整するようにさらに構成されることを特徴とする、請求項に記載のトラヒック監視デバイス。
  3. 前記プロセッサは、前記異常状態に従ってトラヒック異常レポートを生成するようにさらに構成されることを特徴とする、請求項1に記載のトラヒック監視デバイス。
  4. トラヒック監視デバイスのためのトラヒック監視方法であって、
    トラヒック監視デバイスは、確率モデルを記憶し、かつ被試験デバイスと電気的に接続され、
    前記被試験デバイスは、複数のパケットを連続的に送信し、
    前記トラヒック監視デバイスによって、監視時間間隔内に前記被試験デバイスによって送信される第1のパケット量を記録するステップと、
    前記第1のパケット量および前記監視時間間隔が対応付けられた発生確率が確率閾値より低い時、前記被試験デバイスは異常状態にあると、前記トラヒック監視デバイスによって判断するステップであって、前記発生確率は前記確率モデルによって判断されることを特徴とする、判断するステップと、を含み、
    前記第1のパケット量を記録するステップの前に、前記トラヒック監視デバイスによって、データトレーニング時間間隔内に前記被試験デバイスによって送信される第2のパケット量を記録するステップと、前記トラヒック監視デバイスによって、前記データトレーニング時間間隔および前記第2のパケット量に従って、かつポアソン確率質量関数に基づいて前記確率モデルを構築するステップと、を含み、
    前記第2のパケット量を記録するステップの前に、前記データトレーニング時間間隔内に前記被試験デバイスによって送信される前記複数のパケットの量がパケット量の閾値より低い時、少なくとも1つのトリガメッセージを前記被試験デバイスに前記トラヒック監視デバイスによって送信することで、前記複数のパケットの量を前記パケット量の閾値より高くするステップを含む、
    トラヒック監視方法。
  5. 前記発生確率が前記確率閾値より高い時前記確率モデルを更新するために、前記第1のパケット量に従って前記第2のパケット量を前記トラヒック監視デバイスによって調整するステップをさらに含む、請求項に記載のトラヒック監視方法。
  6. 前記異常状態に従ってトラヒック異常レポートを前記トラヒック監視デバイスによって生成するステップをさらに含む、請求項に記載のトラヒック監視方法。
  7. コンピュータプログラムが記憶される非一時的有形機械可読媒体であって、
    前記コンピュータプログラムは、前記コンピュータプログラムがトラヒック監視デバイスにロードされる時トラヒック監視方法を実行するように構成される複数のコードを含み、
    前記トラヒック監視方法は、
    監視時間間隔内に被試験デバイスによって送信される第1のパケット量を記録するステップであって、前記被試験デバイスは複数のパケットを連続的に送信することを特徴とする、記録するステップと、
    前記第1のパケット量および前記監視時間間隔が対応付けられた発生確率が確率閾値より低い時、前記被試験デバイスは異常状態にあると判断するステップであって、前記発生確率は確率モデルによって判断されることを特徴とする、判断するステップと、を含み、
    前記トラヒック監視方法は、前記第1のパケット量を記録するステップの前に、データトレーニング時間間隔内に前記被試験デバイスによって送信される第2のパケット量を記録するステップと、前記データトレーニング時間間隔および前記第2のパケット量に従って、かつポアソン確率質量関数に基づいて前記確率モデルを構築するステップと、を含み、
    前記トラヒック監視方法は、前記第2のパケット量を記録するステップの前に、前記データトレーニング時間間隔内に前記被試験デバイスによって送信される前記複数のパケットの量がパケット量の閾値より低い時、トリガメッセージを前記被試験デバイスに送信することで、前記複数のパケットの量を前記パケット量の閾値より高くするステップを含む、
    非一時的有形機械可読媒体。
  8. 前記トラヒック監視方法は、前記発生確率が前記確率閾値より高い時、前記第1のパケット量に従って前記第2のパケット量を調整するステップをさらに含むことを特徴とする、請求項に記載の非一時的有形機械可読媒体。
  9. 前記トラヒック監視方法は、前記異常状態に従ってトラヒック異常レポートを生成するステップをさらに含むことを特徴とする、請求項に記載の非一時的有形機械可読媒体。
JP2019231365A 2018-12-25 2019-12-23 トラヒック監視のためのデバイス、方法、および非一時的有形機械可読媒体 Active JP6990452B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
TW107146983 2018-12-25
TW107146983A TWI704784B (zh) 2018-12-25 2018-12-25 通聯監控裝置、通聯監控方法及其非暫態有形機器可讀介質

Publications (2)

Publication Number Publication Date
JP2020107337A JP2020107337A (ja) 2020-07-09
JP6990452B2 true JP6990452B2 (ja) 2022-01-12

Family

ID=71096872

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019231365A Active JP6990452B2 (ja) 2018-12-25 2019-12-23 トラヒック監視のためのデバイス、方法、および非一時的有形機械可読媒体

Country Status (3)

Country Link
US (1) US11429501B2 (ja)
JP (1) JP6990452B2 (ja)
TW (1) TWI704784B (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005236863A (ja) 2004-02-23 2005-09-02 Kddi Corp ログ分析装置、ログ分析プログラムおよび記録媒体
US20160149776A1 (en) 2014-11-24 2016-05-26 Cisco Technology, Inc. Anomaly detection in protocol processes
CN108076019A (zh) 2016-11-17 2018-05-25 北京金山云网络技术有限公司 基于流量镜像的异常流量检测方法及装置

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4720295B2 (ja) * 2005-06-02 2011-07-13 日本電気株式会社 異常検出システムおよび保全システム
JP5516577B2 (ja) * 2009-05-18 2014-06-11 日本電気株式会社 無線通信端末、無線通信転送制御システム、無線通信転送制御方法および無線通信転送制御プログラム
CN102204168B (zh) * 2011-04-26 2013-12-04 华为技术有限公司 网络流量模拟方法及装置
CN104753733B (zh) * 2013-12-31 2019-08-13 南京中兴软件有限责任公司 网络流量异常数据的检测方法及装置
US9363626B2 (en) * 2014-01-27 2016-06-07 City University Of Hong Kong Determining faulty nodes within a wireless sensor network
US10209763B2 (en) * 2016-09-09 2019-02-19 Cisco Technology, Inc. Power aware switching using analytics
TWI629886B (zh) * 2017-03-08 2018-07-11 安華聯網科技股份有限公司 封包分析裝置、方法及其電腦程式產品
CN107733921A (zh) * 2017-11-14 2018-02-23 深圳中兴网信科技有限公司 网络流量异常检测方法、装置、计算机设备和存储介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005236863A (ja) 2004-02-23 2005-09-02 Kddi Corp ログ分析装置、ログ分析プログラムおよび記録媒体
US20160149776A1 (en) 2014-11-24 2016-05-26 Cisco Technology, Inc. Anomaly detection in protocol processes
CN108076019A (zh) 2016-11-17 2018-05-25 北京金山云网络技术有限公司 基于流量镜像的异常流量检测方法及装置

Also Published As

Publication number Publication date
JP2020107337A (ja) 2020-07-09
TWI704784B (zh) 2020-09-11
US20200201729A1 (en) 2020-06-25
US11429501B2 (en) 2022-08-30
TW202025671A (zh) 2020-07-01

Similar Documents

Publication Publication Date Title
US10581885B1 (en) Reinforcement learning method in which discount factor is automatically adjusted
US7890315B2 (en) Performance engineering and the application life cycle
CN110166462B (zh) 访问控制方法、系统、电子设备及计算机存储介质
EP3975482B1 (en) Quantitative network testing framework for 5g and subsequent generation networks
US8996917B1 (en) Systems and methods for testing a central controller in a centrally managed network
JP2017506843A (ja) 可視化されたネットワーク運用及び保守のための方法及び装置
CN107634850B (zh) 一种应用状态获取方法及其设备、存储介质、服务器
US11669374B2 (en) Using machine-learning methods to facilitate experimental evaluation of modifications to a computational environment within a distributed system
CN108280346A (zh) 一种应用防护监控方法、装置以及系统
JP6992039B2 (ja) テストデータ作成システムおよびテストデータ作成方法
JP2018537921A (ja) Skypeの異なる機能の通信フローに基づく識別方法及び装置
CN107113199B (zh) 用于分析和处理通信序列的分析装置
CN115065623B (zh) 一种主被动相结合的私有工控协议逆向分析方法
CN109783459A (zh) 从日志中提取数据的方法、装置及计算机可读存储介质
JP6990452B2 (ja) トラヒック監視のためのデバイス、方法、および非一時的有形機械可読媒体
CN110569987A (zh) 自动化运维方法、运维设备、存储介质及装置
US11601494B2 (en) Method for transferring data from a device to a data management means, switching unit, device and system
CN114641045A (zh) 基于通信质量感知的输电线路通信通道切换方法及系统
CN108363922A (zh) 一种自动化恶意代码仿真检测方法及系统
EP3633958B1 (en) Controlling behavior of an internet of things (iot) automation system by identifying policy violations
EP3668039A1 (en) Sending terminal, sending method, information processing terminal, and information processing method
CN113472564B (zh) 基于区块链的责任溯源方法及电子设备
JP7272189B2 (ja) 情報処理装置、無線通信システム、情報処理方法及びプログラム
US20220022084A1 (en) Computing device and method using a neural network to infer a predicted state of a communication channel
EP3772834A1 (en) A method of predicting the time course of a plurality of data relative to a telephony infrastructure for network function virtualization

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200123

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210226

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210309

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20210608

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210610

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211109

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211129

R150 Certificate of patent or registration of utility model

Ref document number: 6990452

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150