JP7155754B2 - 推定方法、推定装置および推定プログラム - Google Patents

推定方法、推定装置および推定プログラム Download PDF

Info

Publication number
JP7155754B2
JP7155754B2 JP2018157459A JP2018157459A JP7155754B2 JP 7155754 B2 JP7155754 B2 JP 7155754B2 JP 2018157459 A JP2018157459 A JP 2018157459A JP 2018157459 A JP2018157459 A JP 2018157459A JP 7155754 B2 JP7155754 B2 JP 7155754B2
Authority
JP
Japan
Prior art keywords
tunnel
bandwidth
flow
policing
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018157459A
Other languages
English (en)
Other versions
JP2020031394A (ja
Inventor
裕志 鈴木
裕平 林
勇樹 三好
孟朗 西岡
浩 大澤
伊知郎 工藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2018157459A priority Critical patent/JP7155754B2/ja
Priority to US17/270,345 priority patent/US11729103B2/en
Priority to PCT/JP2019/032172 priority patent/WO2020040060A1/ja
Publication of JP2020031394A publication Critical patent/JP2020031394A/ja
Application granted granted Critical
Publication of JP7155754B2 publication Critical patent/JP7155754B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/22Traffic shaping
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0213Standardised network management protocols, e.g. simple network management protocol [SNMP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0894Packet rate
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/20Traffic policing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/22Traffic shaping
    • H04L47/225Determination of shaping rate, e.g. using a moving window
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、推定方法、推定装置および推定プログラムに関する。
従来、トンネリングを行っているネットワークにおいて、トンネル内で送受信されたパケットをコピーし、分析サイトでコピーパケットを収集させ、トンネル内部のフローのトラヒックを監視する技術が知られている。トンネリング技術を使用しているネットワークでは、トンネル単位でしかトラヒックを分析サイトへ引き込むことができず、帯域を圧迫したり、分析サイトが輻輳したりする場合があった。このため、トンネル単位のトラヒックを分析サイトに引き込む手法として、設定したサンプリングレートでパケットコピーを行う方式や帯域制御(ポリシング又はシェーピング)」を行う方式が存在する。
鈴木 裕志、林 裕平、西岡 孟朗、阪井 勝彦、工藤 伊知郎、"攻撃検知のためのサンプリングレート決定方法"、電子情報通信学会、2018年3月 林 裕平、工藤 伊知郎、阪井 勝彦、鈴木 裕志、西山 聡史、"多様なプロトコルスタック高速判別方式の計算量評価"、電子情報通信学会、2018年3月
しかしながら、上記した従来のサンプリングレートでパケットコピーを行う方式や帯域制御(ポリシング又はシェーピング)」を行う方式では、本来のトラヒックよりも少ないトラヒックでの分析となるため、閾値等の設定によっては精度よく攻撃被疑の通信を検知することができないことがあるという課題があった。
上述した課題を解決し、目的を達成するために、本発明の推定方法は、推定装置で実行される推定方法であって、トンネル内部のフローの帯域に関する情報と、各フローのポリシング後の帯域とを取得する取得工程と、前記取得工程によって取得された帯域に関する情報を用いて、ポリシング前のトラヒック量に対するポリシング後のトラヒック量の割合を計算する計算工程と、前記計算工程によって計算された割合と前記ポリシング後の帯域とを用いて、監視対象のフローのトンネル内部のトラヒック量を推定する推定工程とを含むことを特徴とする。
本発明によれば、少ないサンプルトラヒックを用いて、精度よく攻撃被疑の通信を検知することができるという効果を奏する。
図1は、第一の実施の形態に係る通信システムの構成の一例を示す図である。 図2は、第一の実施の形態に係るコントローラの構成例を示すブロック図である。 図3は、第一の実施の形態に係るフローコレクタがトンネルの帯域とコピー後の各フローの帯域を管理する処理を説明する図である。 図4は、第一の実施の形態に係るコントローラが監視対象フローのトラヒック量を推定する処理を説明する図である。 図5は、第一の実施の形態に係るコントローラによる処理を説明するフローチャートである。 図6は、第一の実施の形態に係る通信システムによる処理を説明するシーケンス図である。 図7は、第一の実施の形態に係る通信システムの効果を説明するための図である。 図8は、第一の実施の形態に係る通信システムの効果を説明するための図である。 図9は、第二の実施の形態に係るフローコレクタがトンネルの帯域とコピー後の各フローの帯域を管理する処理を説明する図である。 図10は、第二の実施の形態に係るコントローラが監視対象フローのトラヒック量を推定する処理を説明する図である。 図11は、第二の実施の形態に係る通信システムによる処理を説明するシーケンス図である。 図12は、第三の実施の形態に係るフローコレクタがコピー後の各フローの帯域を管理する処理を説明する図である。 図13は、第三の実施の形態に係るコントローラがDROPカウンタを取得し、トンネルの帯域を計算する処理を説明する図である。 図14は、第三の実施の形態に係るコントローラが監視対象フローのトラヒック量を推定する処理を説明する図である。 図15は、第三の実施の形態に係るコントローラによる処理を説明するフローチャートである。 図16は、第三の実施の形態に係る通信システムによる処理を説明するシーケンス図である。 図17は、第四の実施の形態に係るフローコレクタがコピー後の各フローの帯域を管理する処理を説明する図である。 図18は、第四の実施の形態に係るコントローラが監視対象フローのトラヒック量を推定する処理を説明する図である。 図19は、第四の実施の形態に係るコントローラによる処理を説明するフローチャートである。 図20は、第四の実施の形態に係る通信システムによる処理を説明するシーケンス図である。 図21は、第五の実施の形態に係る通信システムによる処理の概要を説明する図である。 図22は、プログラムを実行するコンピュータを示す図である。
以下に、本願に係る推定方法、推定装置および推定プログラムの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態により本願に係る推定方法、推定装置および推定プログラムが限定されるものではない。
[第一の実施の形態]
以下の実施の形態では、第一の実施の形態に係る通信システムの構成、コントローラの構成、コントローラおよび通信システムにおける処理の流れを順に説明し、最後に第一の実施の形態による効果を説明する。
[通信システムの構成]
まず、図1を用いて、第一の実施の形態に係る通信システムについて説明する。図1は、第一の実施の形態に係る通信システムの構成の一例を示す図である。第一の実施の形態に係る通信システムは、分析サイト内に、コントローラ10、フローコレクタ20、フロー送出用ルータ30、フォーマット変換装置40、ルータ50および複数のコアルータ60a~60cを有する。なお、図1に示す構成は一例にすぎず、具体的な構成や各装置の数は特に限定されない。また、コアルータ60a~60cについて、特に区別なく説明する場合には、コアルータ60と記載する。
コントローラ10は、通信システム内の各装置の制御を行う。例えば、コントローラ10は、コアルータ60における各トンネルのパケットのポリシング又はシェーピングの設定を行う。
また、コントローラ10は、トンネル内部のフローの帯域に関する情報と、各フローのポリシング又はシェーピング後の帯域を取得し、取得された帯域に関する情報を用いて、ポリシング又はシェーピング前のトラヒック量に対するポリシング又はシェーピング後のトラヒック量の割合を計算し、計算された割合と各フローのポリシング又はシェーピング後の帯域とを用いて、監視対象のフローのトンネル内部のトラヒック量を推定する。
フローコレクタ20は、フロー送出用ルータ30等からネットワークのフロー情報を収集する。なお、以下の例では、主に、ネットワークのフロー情報であるxFlowを例として説明する。xFlowは、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル、フラグ等を含む。フローコレクタ20は、フロー情報からトンネルの帯域とポリシング又はシェーピング後の各フローの帯域を管理する。
フロー送出用ルータ30は、フォーマット変換装置40から出力されたパケットの各フローのトラフィック情報(例えば、xFlow情報)をフローコレクタ20へ出力する。フォーマット変換装置40は、コアルータ60bでサンプリングされた、トンネルのトンネルパケットをセキュリティ装置(図示せず)で解析可能なフォーマットに変換する。ルータ50は、コアルータ60bでサンプリングされた、トンネルのトンネルパケットを受信し、フォーマット変換装置40に通知する。
コアルータ60aとコアルータ60cとの間には、トンネルが設定される。そして、コアルータ60aとコアルータ60cとの間には、トンネルを中継するコアルータ60bが設置される。コアルータ60bは、トンネル内部のフローのパケットを、ポリシング又はシェーピングし、ルータ50にサンプリングしたパケットを通知する。
また、図1の例では、トンネル内部のフローの帯域をポリシング又はシェーピング前のトラヒックとし、コアルータ60bからポリシング又はシェーピングの設定に従って出力されたコピーパケットの帯域をポリシング又はシェーピング後のトラヒックとする。
[コントローラの構成]
次に、図2を用いて、図1に示したコントローラ10の構成を説明する。図2は、第一の実施の形態に係るコントローラの構成例を示すブロック図である。図2に示すように、このコントローラ10は、通信処理部11、制御部12および記憶部13を有する。以下にコントローラ10が有する各部の処理を説明する。
通信処理部11は、接続される装置との間でやり取りする各種情報に関する通信を制御する。例えば、通信処理部11は、各フローのトラフィック情報をフローコレクタ20から受信する。
また、記憶部13は、制御部12による各種処理に必要なデータおよびプログラムを格納するが、特に本発明に密接に関連するものとしては、トラヒック量記憶部13aを有する。例えば、記憶部13は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。トラヒック量記憶部13aは、例えば、フローコレクタ20から取得したトンネル内部のフローのトラヒック量(帯域)に関する情報を記憶する。
制御部12は、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行するが、特に本発明に密接に関連するものとしては、取得部12a、計算部12bおよび推定部12cを有する。ここで、制御部12は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路やASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路である。
取得部12aは、トンネル内部のフローの帯域に関する情報と、各フローのポリシング又はシェーピング後の帯域を取得する。例えば、取得部12aは、各フローのポリシング又はシェーピング後の帯域をフローコレクタとトンネル内部のフローの帯域とポリシング又はシェーピング後のフローの帯域とをフローコレクタ20から取得する。
図3に例示するように、フローコレクタ20は、フロー送出用ルータ30からの各フローのトラフィック情報(例えば、xFlow情報)を取得し、コピー後の各フローの帯域を管理している。図3の例では、ポリシング又はシェーピング後の各フローの帯域を「y」と記載し、フローがn個あるものとしている。また、フローコレクタ20は、コアルータ60bからトンネル内部のフローのxFlow情報を取得し、トンネル内部のフローのトラヒックの和として、トンネルの帯域「A」を管理している。さらに、フローコレクタ20は、ポリシング又はシェーピング後のコピーパケットのxFlow情報をルータ50から取得し、ポリシング又はシェーピング後のトラヒックの和として、ポリシング又はシェーピング後の帯域「a」を管理している。取得部12aは、コピー後の各フローの帯域「y」、トンネルの帯域「A」およびポリシング又はシェーピング後の帯域「a」を取得する。
計算部12bは、取得部12aによって取得された帯域に関する情報を用いて、ポリシング又はシェーピング前のトラヒック量に対するポリシング又はシェーピング後のトラヒック量の割合を計算する。例えば、計算部12bは、取得部12aによって取得されたトンネル内部のフローの帯域とポリシング又はシェーピング後のフローの帯域とを用いて、割合を計算する。
推定部12cは、計算部12bによって計算された割合と各フローのポリシング又はシェーピング後の帯域とを用いて、監視対象のフローのトンネル内部のトラヒック量を推定する。例えば、図4に例示するように、計算部12bは、トンネルの帯域とコピー後の各フローの帯域からどれだけポリシング又はシェーピングによってパケットがロスしているかを計算する。図4の例では、トンネルの帯域「A」をポリシング又はシェーピング後の帯域「a」で除算することで、パケットをロスしている割合を計算する。
そして、推定部12cは、1~nのうちのいずれかの監視対象のフローの帯域「y」に、計算部12bによって計算された割合を乗算することで、監視対象のフローのコピー元トラヒックの帯域「x」を推定する。
[コントローラの処理の流れ]
次に、図5を用いて、第一の実施の形態に係るコントローラ10の処理の流れを説明する。図5は、第一の実施の形態に係コントローラによる処理を説明するフローチャートである。
図5に示すように、コントローラ10は、コピー設定中のトンネルのトラヒック量をフローコレクタから取得する(ステップS101)。コントローラ10は、トンネル帯域とポリシング又はシェーピングの帯域(図5では、ポリシング・シェーピング帯域と記載)を比較する(ステップS102)。この結果、コントローラ10は、ポリシング又はシェーピングの帯域よりトンネルの帯域が小さい場合には、フローコレクタ20から受信した情報をそのまま用いてトラヒック量を算出する(ステップS103)。また、コントローラ10は、ポリシング又はシェーピングの帯域よりトンネルの帯域が大きい場合には、フローコレクタ20からトンネル内部のフローの領域とポリシング又はシェーピング後のフローの領域を取得する(ステップS104)。
そして、コントローラ10は、取得した帯域からサンプリングされる割合を計算し(ステップS105)、サンプリングされた割合からコピー元のトラヒックを推定する(ステップS106)。
[通信システムの処理の流れ]
次に、図6を用いて、第一の実施の形態に係る通信システムの処理の流れを説明する。図6は、第一の実施の形態に係る通信システムによる処理を説明するシーケンス図である。
図6に示すように、コントローラ10は、コアルータ60に対して、コピー設定とポリシング又はシェーピングの設定を実施する(ステップS201)。そして、フローコレクタ20は、ポリシング又はシェーピング後のコピーパケットのxFlow情報をルータ50から取得する(ステップS202)。また、フローコレクタ20は、コアルータ60bからトンネル内部のフローのxFlow情報を取得する(ステップS203)。
また、フローコレクタ20は、フロー送出用ルータ30からの各フローのトラフィック情報(例えば、xFlow情報)を取得する(ステップS204)。そして、コントローラ10は、フローコレクタ20からフローの帯域を取得する(ステップS205)。つまり、コントローラ10は、コピー後の各フローの帯域「y」、トンネルの帯域「A」およびポリシング又はシェーピング後の帯域「a」を取得する。
そして、コントローラ10は、トンネルの帯域とコピー後の各フローの帯域からパケットをロスしている割合を計算する(ステップS206)。上述の例を用いて説明すると、例えば、コントローラ10は、トンネルの帯域「A」をポリシング又はシェーピング後の帯域「a」で除算することで、パケットをロスしている割合を計算する。その後、コントローラ10は、監視対象のフローの帯域「y」に、計算部12bによって計算された割合を乗算することで、監視対象のフローのコピー元トラヒックの帯域「x」を推定する。
[第一の実施の形態の効果]
このように、第一の実施の形態に係る通信システムのコントローラ10は、トンネル内部のフローの帯域に関する情報と、各フローのポリシング又はシェーピング後の帯域を取得し、取得された帯域に関する情報を用いて、ポリシング又はシェーピング前のトラヒック量に対するポリシング又はシェーピング後のトラヒック量の割合を計算し、計算された割合と各フローのポリシング又はシェーピング後の帯域とを用いて、監視対象のフローのトンネル内部のトラヒック量を推定する。このため、第一の実施の形態に係る通信システムでは、少ないサンプルトラヒックを用いて、精度よく攻撃被疑の通信を検知することができる。
ここで、図7および図8を用いて、第一の実施の形態に係る通信システムの効果を説明するための図である。図7の例では、ポリシング又はシェーピングされたトラヒック量のままで攻撃被疑のトンネル内部の通信を検知する場合について説明する。つまり、従来では、特定の閾値を超えるような攻撃被疑のトンネル内部の通信を検知したいが、分析サイトまでの回線に十分な帯域がない場合にはコピーパケットを絞って送付するため、絶対値が少なく表示され、絶対値で怪しい通信を検知することができなかった。
これに対して、第一の実施の形態に係る通信システムでは、図8に例示するように、攻撃と思われるトンネル内部のフローを検知するために、フローコレクタで測定された値に対して補正して、コピー前のトラヒック量を推定するので、攻撃被疑通信の検知のロジックとしてコピー前のトラヒック量が一定時間閾値を超えた通信を攻撃被疑通信と判定することができる。
[第二の実施形態]
上述した第一の実施形態では、トンネル内部のフローの帯域とポリシング又はシェーピング後のフローの帯域とを用いて、パケットロスの割合を計算する場合を説明したが、これに限定されるものではない。例えば、トンネル内部のフローの帯域と予め設定されたポリシング又はシェーピングの帯域とを用いて、パケットロスの割合を計算するようにしてもよい。
そこで、以下では、第二の実施形態に係るコントローラ10Aが、トンネル内部のフローの帯域と予め設定されたポリシング又はシェーピングの帯域とを用いて、パケットロスの割合を計算する場合について説明する。なお、第一の実施形態に係る通信システムと同様の構成や処理については説明を省略する。
コントローラ10Aの取得部12aは、各フローのポリシング又はシェーピング後の帯域とトンネル内部のフローの帯域をフローコレクタ20から取得する。ここで、図9を用いて、第二の実施の形態に係るフローコレクタがトンネルの帯域とコピー後の各フローの帯域を管理する処理を説明する。図9は、第二の実施の形態に係るフローコレクタがトンネルの帯域とコピー後の各フローの帯域を管理する処理を説明する図である。
図9に例示するように、フローコレクタ20は、フロー送出用ルータ30からの各フローのトラフィック情報(例えば、xFlow情報)を取得し、コピー後の各フローの帯域を管理している。また、フローコレクタ20は、コアルータ60bからトンネル内部のフローのxFlow情報を取得し、トンネル内部のフローのトラヒックの和として、トンネルの帯域「A」を管理している。取得部12aは、コピー後の各フローの帯域「y」およびトンネルの帯域「A」を取得する。また、コントローラ10Aは、事前に設定されたポリシング又はシェーピングの帯域「B」について把握しているものとする。
コントローラ10Aの計算部12bは、取得部12aによって取得されたトンネル内部のフローの帯域と予め設定されたポリシング又はシェーピングの帯域とを用いて、ポリシング又はシェーピング前のトラヒック量に対するポリシング又はシェーピング後のトラヒック量の割合を計算する。
推定部12cは、計算部12bによって計算された割合と各フローのポリシング又はシェーピング後の帯域とを用いて、監視対象のフローのトンネル内部のトラヒック量を推定する。例えば、図10に例示するように、計算部12bは、トンネルの帯域とコピー後の各フローの帯域からどれだけポリシング又はシェーピングによってパケットがロスしているかを計算する。図4の例では、トンネルの帯域「A」をポリシング又はシェーピングの帯域「B」で除算することで、パケットをロスしている割合を計算する。
そして、推定部12cは、1~nのうちのいずれかの監視対象のフローの帯域「y」に、計算部12bによって計算された割合を乗算することで、監視対象のフローのコピー元トラヒックの帯域「x」を推定する。
次に、図11を用いて、第二の実施の形態に係る通信システムの処理の流れを説明する。図11は、第二の実施の形態に係る通信システムによる処理を説明するシーケンス図である。図11に示すように、コントローラ10Aは、コアルータ60に対して、コピー設定とポリシング又はシェーピングの設定を実施する(ステップS301)。そして、フローコレクタ20は、コアルータ60bからトンネル内部のフローのxFlow情報を取得する(ステップS302)。
また、フローコレクタ20は、フロー送出用ルータ30からの各フローのトラフィック情報(例えば、xFlow情報)を取得する(ステップS303)。そして、コントローラ10Aは、フローコレクタ20からフローの帯域を取得する(ステップS304)。つまり、コントローラ10Aは、コピー後の各フローの帯域「y」およびトンネルの帯域「A」を取得する。
そして、コントローラ10Aは、トンネルの帯域とコピー後の各フローの帯域からパケットをロスしている割合を計算する(ステップS305)。上述の例を用いて説明すると、例えば、コントローラ10Aは、トンネルの帯域「A」をポリシングの帯域「B」で除算することで、パケットをロスしている割合を計算する。その後、コントローラ10Aは、監視対象のフローの帯域「y」に、計算部12bによって計算された割合を乗算することで、監視対象のフローのコピー元トラヒックの帯域「x」を推定する。
[第三の実施形態]
上述した第二の実施形態では、コントローラ10Aが、コアルータ60bからトンネル内部のフローのxFlow情報を取得してポリシング前のトラヒックを取得する場合を説明したが、これに限定されるものではない。例えば、トンネル内部のフローのパケット数をカウントするコアルータからパケットカウンタを取得し、パケットカウンタを用いて、トンネル内部のフローの帯域を計算するようにしてもよい。
そこで、以下では、第三の実施形態に係るコントローラ10Bが、トンネル内部のフローのパケット数をカウントするコアルータからパケットカウンタを取得し、パケットカウンタを用いて、トンネル内部のフローの帯域を計算する場合について説明する。なお、第一の実施形態に係る通信システムと同様の構成や処理については説明を省略する。
コントローラ10Bの取得部12aは、トンネル内部のフローのパケット数をカウントするコアルータ60bからパケットカウンタをフローコレクタ20から取得する。また、コントローラ10Bの計算部12bは、パケットカウンタを用いて、トンネル内部のフローの帯域を計算し、該トンネル内部のフローの帯域と予め設定されたポリシングの帯域とを用いて、ポリシング前のトラヒック量に対するポリシング後のトラヒック量の割合を計算する。
ここで、図13を用いて、第三の実施の形態に係るコントローラ10BがDROPカウンタを取得し、トンネルの帯域を計算する処理を説明する。図13は、第三の実施の形態に係るコントローラがDROPカウンタを取得し、トンネルの帯域を計算する処理を説明する図である。図13に例示するように、コントローラ10Bは、コアルータ60bのコピーインタフェースのDROPカウンタを取得し、トンネルの帯域を計算する。具体的には、コントローラ10Bは、時刻tのパケット数(Byte数)Cと時刻tのパケット数Cを取得し、「C-C/t-t」を計算して、トンネル帯域Aを計算する。
推定部12cは、計算部12bによって計算された割合と各フローのポリシング後の帯域とを用いて、監視対象のフローのトンネル内部のトラヒック量を推定する。例えば、図14に例示するように、計算部12bは、DROPカウンタを取得して計算したトンネルの帯域「A」とポリシングの帯域「B」とから、どれだけポリシングによってパケットがロスしているかを計算する。図14の例では、DROPカウンタを取得して計算したトンネルの帯域「A」を事前に設定されたポリシングの帯域「B」で除算することで、パケットをロスしている割合を計算する。
そして、推定部12cは、1~nのうちのいずれかの監視対象のフローの帯域「y」に、計算部12bによって計算された割合を乗算することで、監視対象のフローのコピー元トラヒックの帯域「x」を推定する。
次に、図15を用いて、第三の実施の形態に係るコントローラ10Bの処理の流れを説明する。図15は、第三の実施の形態に係コントローラによる処理を説明するフローチャートである。
図15に示すように、コントローラ10Bは、SNMP(Simple Network Management Protocol)にてパケットカウントを取得する(ステップS401)。コントローラ10Bは、パケットカウンタからトンネル帯域を計算する(ステップS402)。そして、コントローラ10Bは、トンネル帯域とポリシングの帯域(図15では、ポリシング・シェーピング帯域と記載)を比較する(ステップS403)。
この結果、コントローラ10Bは、ポリシングの帯域よりトンネルの帯域が小さい場合には、フローコレクタ20から受信した情報をそのまま用いてトラヒック量を算出する(ステップS404)。また、コントローラ10Bは、ポリシングの帯域よりトンネルの帯域が大きい場合には、トンネルの帯域とポリシング後の帯域からサンプリングされる割合を計算し(ステップS405)、サンプリングされた割合からコピー元のトラヒックを推定する(ステップS406)。
次に、図16を用いて、第三の実施の形態に係る通信システムの処理の流れを説明する。図16は、第三の実施の形態に係る通信システムによる処理を説明するシーケンス図である。図16に示すように、コントローラ10Bは、コアルータ60に対して、コピー設定とポリシング又はシェーピングの設定を実施する(ステップS501)。そして、コントローラ10Bは、SNMPにてDROPカウンタをコアルータ60から取得する(ステップS502)。そして、コントローラ10Bは、取得したDROPカウンタを用いて、トンネル帯域を計算する。
また、フローコレクタ20は、フロー送出用ルータ30からの各フローのトラフィック情報(例えば、xFlow情報)を取得する(ステップS503)。そして、コントローラ10Bは、フローコレクタ20からフローの帯域を取得する(ステップS504)。つまり、コントローラ10Bは、コピー後の各フローの帯域「y」を取得する。
そして、コントローラ10Bは、トンネルの帯域とコピー後の各フローの帯域からパケットをロスしている割合を計算する(ステップS505)。上述の例を用いて説明すると、例えば、コントローラ10Bは、トンネルの帯域「A」をポリシングの帯域「B」で除算することで、パケットをロスしている割合を計算する。その後、コントローラ10Bは、監視対象のフローの帯域「y」に、計算部12bによって計算された割合を乗算することで、監視対象のフローのコピー元トラヒックの帯域「x」を推定する。
[第四の実施形態]
上述した第三の実施形態では、コントローラ10Bが、事前に設定されたポリシングの帯域「B」を用いて、パケットロスの割合を計算する場合を説明したが、これに限定されるものではない。例えば、コントローラが、ポリシング後のコピーパケットのxFlow情報をルータから取得したフローコレクタ20から、ポリシング後の帯域を取得するようにしてもよい。
そこで、以下では、第四の実施形態に係るコントローラ10Cが、トンネル内部のフローのパケット数をカウントするコアルータからパケットカウンタを取得し、パケットカウンタを用いて、トンネル内部のフローの帯域を計算し、フローコレクタ20から、ポリシング後の帯域を取得する場合について説明する。なお、第一の実施形態に係る通信システムと同様の構成や処理については説明を省略する。
コントローラ10Cの取得部12aは、トンネル内部のフローのパケット数をカウントするコアルータ60aからパケットカウンタとポリシング後のフローの帯域とを取得する。また、計算部12bは、パケットカウンタを用いて、トンネル内部のフローの帯域を計算し、該トンネル内部のフローの帯域と予め設定されたポリシングの帯域とを用いて、ポリシング前のトラヒック量に対するポリシング後のトラヒック量の割合を計算する。
図17に例示するように、フローコレクタ20は、フロー送出用ルータ30からの各フローのトラフィック情報(例えば、xFlow情報)を取得し、コピー後の各フローの帯域を管理している。また、フローコレクタ20は、ポリシング後のコピーパケットのxFlow情報をルータ50から取得し、ポリシング後のトラヒックの和として、ポリシング後の帯域「a」を管理している。コントローラ10Cの取得部12aは、コピー後の各フローの帯域「y」およびポリシング後の帯域「a」を取得する。
推定部12cは、計算部12bによって計算された割合と各フローのポリシング後の帯域とを用いて、監視対象のフローのトンネル内部のトラヒック量を推定する。例えば、図18に例示するように、計算部12bは、DROPカウンタを取得して計算したトンネルの帯域「A」とxFLOWで取得したポリシング後の帯域「a」とから、ポリシングによってパケットがロスしているかを計算する。図18の例では、DROPカウンタを取得して計算したトンネルの帯域「A」をポリシング後の帯域「a」で除算することで、パケットをロスしている割合を計算する。
そして、推定部12cは、1~nのうちのいずれかの監視対象のフローの帯域「y」に、計算部12bによって計算された割合を乗算することで、監視対象のフローのコピー元トラヒックの帯域「x」を推定する。
次に、図19を用いて、第四の実施の形態に係るコントローラ10Bの処理の流れを説明する。図19は、第四の実施の形態に係コントローラによる処理を説明するフローチャートである。
図19に示すように、コントローラ10Cは、SNMPにてパケットカウントを取得する(ステップS601)。コントローラ10Cは、パケットカウンタからトンネル帯域を計算する(ステップS602)。そして、コントローラ10Cは、トンネル帯域とポリシングの帯域(図19では、ポリシング・シェーピング帯域と記載)を比較する(ステップS603)。
この結果、コントローラ10Cは、ポリシングの帯域よりトンネルの帯域が小さい場合には、フローコレクタ20から受信した情報をそのまま用いてトラヒック量を算出する(ステップS604)。また、コントローラ10Cは、ポリシングの帯域よりトンネルの帯域が大きい場合には、ポリシング後の帯域をxFlowで取得し(ステップS605)、トンネルの帯域とポリシング後の帯域からサンプリングされる割合を計算し(ステップS606)、サンプリングされた割合からコピー元のトラヒックを推定する(ステップS607)。
次に、図20を用いて、第四の実施の形態に係る通信システムの処理の流れを説明する。図20は、第四の実施の形態に係る通信システムによる処理を説明するシーケンス図である。図20に示すように、コントローラ10Cは、コアルータ60に対して、コピー設定とポリシング又はシェーピングの設定を実施する(ステップS701)。そして、コントローラ10Cは、SNMPにてDROPカウンタをコアルータ60から取得する(ステップS702)。そして、コントローラ10Cは、取得したDROPカウンタを用いて、トンネル帯域を計算する。
そして、フローコレクタ20は、ポリシング又はシェーピング後のコピーパケットのxFlow情報をルータ50から取得する(ステップS703)。また、フローコレクタ20は、フロー送出用ルータ30からの各フローのトラフィック情報(例えば、xFlow情報)を取得する(ステップS704)。そして、コントローラ10Cは、フローコレクタ20からフローの帯域を取得する(ステップS705)。つまり、コントローラ10Cは、コピー後の各フローの帯域「y」およびポリシング又はシェーピング後の帯域「a」を取得する。
そして、コントローラ10Cは、トンネルの帯域とコピー後の各フローの帯域からパケットをロスしている割合を計算する(ステップS706)。上述の例を用いて説明すると、例えば、コントローラ10Cは、トンネルの帯域「A」をポリシング又はシェーピング後の帯域「a」で除算することで、パケットをロスしている割合を計算する。その後、コントローラ10Cは、監視対象のフローの帯域「y」に、計算部12bによって計算された割合を乗算することで、監視対象のフローのコピー元トラヒックの帯域「x」を推定する。
[第五の実施形態]
コアルータがサンプリングコピー機能を有する場合に、コントローラが設定したサンプリングレートを用いて、サンプリング前のトラヒック量を推定するようにしてもよい。そこで、以下では、第五の実施形態に係るコントローラ10Dが、トンネル内部のフローの帯域と予め設定されたポリシング又はシェーピングの帯域とを用いて、設定したサンプリングレートを用いて、サンプリング前のトラヒック量を推定する場合について説明する。なお、第一の実施形態に係る通信システムと同様の構成や処理については説明を省略する。
図21は、第五の実施の形態に係る通信システムによる処理の概要を説明するシーケンス図である。図21に示すように、コアルータ60bは、サンプリングレート「1/x」でコピーし、ルータ50にサンプリングしたパケットを通知する(図21の(1)参照)。そして、フロー送出用ルータ30は、送出レート「1/1」でxFlowをフローコレクタ20へ送出する(図21の(2)参照)。
フローコレクタ20は、監視(調査)対象のフローが「1/x」の倍率で観測される。コントローラ10Dは、各フローのサンプリング後の帯域を取得し、取得した各フローのポリシング又はシェーピング後の帯域のうち、監視対象のフローのサンプリング後の帯域にサンプリングレートの逆数を乗算して、監視対象のフローのトンネル内部のトラヒック量を推定する。図21の例では、コントローラ10Dは、トラヒック量にx倍することでサンプリング前のトラヒック量を推定する(図21の(3)参照)。このように、フローコレクタ20で算出された帯域にサンプリングレート分をかけることでサンプリング前のトラヒック量を推定することができる。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施の形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
また、上記実施形態において説明した各装置が実行する処理について、コンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、実施形態及び変形例に係る通信システムにおける各装置が実行する処理について、コンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。以下に、プログラムを実行するコンピュータの一例を説明する。
図22は、プログラムを実行するコンピュータを示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1051、キーボード1052に接続される。ビデオアダプタ1060は、例えばディスプレイ1061に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち各装置の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、装置における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
また、上述した実施の形態の処理で用いられるデータは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク、WANを介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10、10A、10B、10C、10D コントローラ
11 通信処理部
12 制御部
12a 取得部
12b 計算部
12c 推定部
13 記憶部
13a トラヒック量記憶部
20 フローコレクタ
30 フロー送出用ルータ
40 フォーマット変換装置
50 ルータ
60a、60b、60c コアルータ

Claims (7)

  1. 推定装置で実行される推定方法であって、
    トンネル内部の複数のフローのうち、すべてのフローの帯域の総和に関する第一の情報と、前記トンネル内部の複数のフローにおける各フローのポリシング又はシェーピング後の帯域に関する第二の情報とを取得する取得工程と、
    前記取得工程によって取得された前記第一の情報と、前記トンネル内部の複数のフローのうち、すべてのフローのポリシング又はシェーピング後の帯域の総和に関する情報とを用いて、前記トンネル内部のすべてのフローのポリシング又はシェーピング前のトラヒック量に対する前記トンネル内部のすべてのフローのポリシング又はシェーピング後のトラヒック量の割合を計算する計算工程と、
    前記計算工程によって計算された割合と前記第二の情報とを用いて、監視対象のフローのトンネル内部のトラヒック量を推定する推定工程と
    を含むことを特徴とする推定方法。
  2. 前記取得工程は、前記第一の情報および前記第二の情報とともに、前記トンネル内部の複数のフローのうち、すべてのフローのポリシング又はシェーピング後の帯域の総和に関する第三の情報を取得し、
    前記計算工程は、前記取得工程によって取得された前記第一の情報と、前記第三の情報とを用いて、前記割合を計算することを特徴とする請求項1に記載の推定方法。
  3. 記計算工程は、前記取得工程によって取得された前記第一の情報と予め設定されたポリシング又はシェーピングの帯域の総和とを用いて、前記割合を計算することを特徴とする請求項1に記載の推定方法。
  4. 前記取得工程は、前記第一の情報として、前記トンネル内部の複数のフローのうち、すべてのフローのパケット数の総和をカウントするコアルータからパケットカウンタを取得し、
    前記計算工程は、前記パケットカウンタを用いて、前記トンネル内部の複数のフローのうち、すべてのフローの帯域の総和を計算し、該フローの帯域の総和と予め設定されたポリシング又はシェーピングの帯域の総和とを用いて、前記割合を計算することを特徴とする請求項1に記載の推定方法。
  5. 前記取得工程は、前記第一の情報として、トンネル内部の複数のフローのうち、すべてのフローのパケット数の総和をカウントするコアルータからパケットカウンタと前記第二の情報とを取得し、
    前記計算工程は、前記パケットカウンタを用いて、前記トンネル内部の複数のフローのうち、すべてのフローの帯域の総和を計算し、該フローの帯域の総和と前記第二の情報とを用いて、前記割合を計算することを特徴とする請求項1に記載の推定方法。
  6. トンネル内部の複数のフローのうち、すべてのフローの帯域の総和に関する第一の情報と、前記トンネル内部の複数のフローにおける各フローのポリシング又はシェーピング後の帯域に関する第二の情報とを取得する取得部と、
    前記取得部によって前記第一の情報と、前記トンネル内部の複数のフローのうち、すべてのフローのポリシング又はシェーピング後の帯域の総和に関する情報とを用いて、前記トンネル内部のすべてのフローのポリシング又はシェーピング前のトラヒック量に対する前記トンネル内部のすべてのフローのポリシング又はシェーピング後のトラヒック量の割合を計算する計算部と、
    前記計算部によって計算された割合と前記ポリシング又はシェーピング後の帯域とを用いて、監視対象のフローのトンネル内部のトラヒック量を推定する推定部と
    を有することを特徴とする推定装置。
  7. トンネル内部の複数のフローのうち、すべてのフローの帯域の総和に関する第一の情報と、前記トンネル内部の複数のフローにおける各フローのポリシング又はシェーピング後の帯域に関する第二の情報とを取得する取得ステップと、
    前記取得ステップによって前記第一の情報と、前記トンネル内部の複数のフローのうち、すべてのフローのポリシング又はシェーピング後の帯域の総和に関する情報とを用いて、前記トンネル内部のすべてのフローのポリシング又はシェーピング前のトラヒック量に対する前記トンネル内部のすべてのフローのポリシング又はシェーピング後のトラヒック量の割合を計算する計算ステップと、
    前記計算ステップによって計算された割合と前記ポリシング又はシェーピング後の帯域とを用いて、監視対象のフローのトンネル内部のトラヒック量を推定する推定ステップと
    をコンピュータに実行させることを特徴とする推定プログラム。
JP2018157459A 2018-08-24 2018-08-24 推定方法、推定装置および推定プログラム Active JP7155754B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2018157459A JP7155754B2 (ja) 2018-08-24 2018-08-24 推定方法、推定装置および推定プログラム
US17/270,345 US11729103B2 (en) 2018-08-24 2019-08-16 Estimation method, estimation device, and estimation program
PCT/JP2019/032172 WO2020040060A1 (ja) 2018-08-24 2019-08-16 推定方法、推定装置および推定プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018157459A JP7155754B2 (ja) 2018-08-24 2018-08-24 推定方法、推定装置および推定プログラム

Publications (2)

Publication Number Publication Date
JP2020031394A JP2020031394A (ja) 2020-02-27
JP7155754B2 true JP7155754B2 (ja) 2022-10-19

Family

ID=69592959

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018157459A Active JP7155754B2 (ja) 2018-08-24 2018-08-24 推定方法、推定装置および推定プログラム

Country Status (3)

Country Link
US (1) US11729103B2 (ja)
JP (1) JP7155754B2 (ja)
WO (1) WO2020040060A1 (ja)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011114656A (ja) 2009-11-27 2011-06-09 Nippon Telegr & Teleph Corp <Ntt> P2pトラヒック量推定方法と装置およびプログラム
JP2017216664A (ja) 2016-06-02 2017-12-07 アラクサラネットワークス株式会社 パケット中継装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4547342B2 (ja) * 2005-04-06 2010-09-22 アラクサラネットワークス株式会社 ネットワーク制御装置と制御システム並びに制御方法
US9887932B1 (en) * 2015-03-30 2018-02-06 Amazon Technologies, Inc. Traffic surge management for points of presence
TWI641251B (zh) * 2016-11-18 2018-11-11 財團法人工業技術研究院 網路流量監控方法與系統

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011114656A (ja) 2009-11-27 2011-06-09 Nippon Telegr & Teleph Corp <Ntt> P2pトラヒック量推定方法と装置およびプログラム
JP2017216664A (ja) 2016-06-02 2017-12-07 アラクサラネットワークス株式会社 パケット中継装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
鈴木裕志 ほか,攻撃検知のためのサンプリングレート決定方法,電子情報通信学会 2018年総合大会講演論文集 通信2,2018年03月06日,p. 84

Also Published As

Publication number Publication date
JP2020031394A (ja) 2020-02-27
US20210328932A1 (en) 2021-10-21
WO2020040060A1 (ja) 2020-02-27
US11729103B2 (en) 2023-08-15

Similar Documents

Publication Publication Date Title
CN105580318B (zh) 用于分析通过网络的数据通信量的方法和系统
US10009236B2 (en) Determining sampling rate from randomly sampled events
CN108965347B (zh) 一种分布式拒绝服务攻击检测方法、装置及服务器
US8677485B2 (en) Detecting network anomaly
JP4547342B2 (ja) ネットワーク制御装置と制御システム並びに制御方法
JP4626811B2 (ja) ポートホッピング検出システム、ポートホッピング検出装置、ポートホッピング検出方法、及びプログラム
EP2985961A1 (en) Packet traffic control method and device based on multi-path transmission
JP2005348416A (ja) フロー単位のトラフィック推定
US10033613B1 (en) Historically large flows in network visibility monitoring
CN109831462B (zh) 一种病毒检测方法及装置
US11706114B2 (en) Network flow measurement method, network measurement device, and control plane device
JP5862811B1 (ja) 評価装置、評価方法、及びプログラム
JP7155754B2 (ja) 推定方法、推定装置および推定プログラム
US10749765B2 (en) Method and system for monitoring communication in a network
JP6662812B2 (ja) 計算装置及び計算方法
JP2005223847A (ja) ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム
US11863416B2 (en) Imparting device, imparting method, and imparting program
Gad et al. Improving network traffic acquisition and processing with the Java Virtual Machine
JP2009267892A (ja) 巨大フロー特定方法とシステムおよびプログラムとフロー制御システム
US20240235974A1 (en) Traffic monitoring device and traffic monitoring method
JP7311402B2 (ja) 閾値出力装置、閾値出力方法および閾値出力プログラム
JP6977699B2 (ja) 転送装置及びリソース割当方法
WO2022168155A1 (ja) トラヒックエンジニアリング装置、トラヒックエンジニアリング方法およびトラヒックエンジニアリングプログラム
Wang et al. End-to-end delay bounds for variable length packet transmissions under flow transformations
JP2023032853A (ja) フロー情報収集装置及びフロー情報の生成方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201203

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220208

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220411

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220906

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220919

R150 Certificate of patent or registration of utility model

Ref document number: 7155754

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150