WO2017051518A1

WO2017051518A1 - 通信情報算出装置、通信情報算出方法、記録媒体、及び、通信管理システム

Info

Publication number: WO2017051518A1
Application number: PCT/JP2016/004194
Authority: WO
Inventors: 匡人山根; 佑樹芦野
Original assignee: 日本電気株式会社
Priority date: 2015-09-24
Filing date: 2016-09-14
Publication date: 2017-03-30
Also published as: EP3355515A1; HK1252198A1; SG11201801964WA; EP3355515A4; US20180268036A1; JP2017063253A; JP6070799B1

Abstract

通信履歴情報をある項目に関して表示する場合に、表示に必要な情報を容易に求めることできる通信情報算出装置等が提供される。通信情報算出装置１０１は、通信に関して計測された複数の項目に含まれている第１項目に関する第１条件、及び、該複数の項目に含まれている第２項目に関する第２条件を満足している情報を抽出するリクエストに応じて、該複数の項目に含まれている一部の項目が関連付けされた項目情報を参照することによって、該第１項目及び該第２項目に関連付けされた第３項目を特定する項目特定部１０２と、該第１項目に関する第１条件、及び、該第２項目に関する第２条件を満足しているデータを抽出する命令を作成し、作成した前記命令を、該通信に関して計測された複数の項目の値を管理している情報処理装置に送信し、該情報処理装置が該命令に応じて抽出したデータを受信する問い合わせ部１０３と、受信した該データに基づいて、該第１項目乃至該第３項目に関する値を求める算出部１０４とを有する。

Description

通信情報算出装置、通信情報算出方法、記録媒体、及び、通信管理システム

　本発明は、たとえば、表示対象である通信情報を取得する通信情報算出装置等に関する。

　通信ネットワークを介した脅威を検出する場合には、たとえば、通信に関して取得された履歴情報（以降、「通信履歴情報」と表す）を解析することによって、ある通信が、該通信履歴情報における傾向に当てはまっているか否かが判定されることもある。この場合には、通信履歴情報における傾向を探索する目的のために、該通信履歴情報が可視化されることもある。

　以降、通信履歴情報を可視化する技術や、通信に関する異常を検出する技術について説明する。まず、通信履歴情報を可視化する表示機能を有する装置（または、ソフトウェア）について説明する。

　非特許文献１においては、通信履歴情報等の情報を可視化することができるソフトウェアが開示されている。非特許文献１に開示されたソフトウェアは、たとえば、通信に関する通信履歴情報を検索し、検出されたデータをリアルタイムに表示する機能を有する。

　特許文献２に開示されたプロセス管理システムは、管理対象である装置を構成している構成要素の状態を表す状態情報と、該装置の制御に関する制御情報とを取得する。該プロセス管理システムは、取得した状態情報と、取得した制御情報とが関連付けされた情報を作成する。該プロセス管理システムは、作成した情報を解析する場合の解析条件を構成している値を受信する。該プロセス管理システムは、受信した値を該解析条件に設定し、値を設定した解析条件に従って、作成した該情報を解析する。該プロセス管理システムは、解析した結果を、グラフとして表示装置に表示する。

　次に、異常を検知する装置について説明する。

　特許文献１に開示された異常検出装置は、監視対象装置に関して記録されたアクセスログを曜日、時間帯、及び、プロセスの状態に従い分類することにより、モデルデータを作成する。該異常検出装置は、第１タイミングにて作成したモデルデータと、第２タイミングにて作成したモデルデータとが乖離している程度を算出し、算出した程度に基づき、該監視対象装置が異常であるか否かを判定する。

特開２０１１－０３４２０８号公報特開２００８－３０６０８８号公報

「Ｓｐｌｕｎｋ　Ｅｎｔｅｒｐｒｉｓｅとは」　［ｏｎｌｉｎｅ］　Ｓｐｌｕｎｋ　Ｉｎｃ．　［２０１５年９月７日検索］　インターネット　＜ＵＲＬ：ｈｔｔｐ：／／ｊａ．ｓｐｌｕｎｋ．ｃｏｍ／ｖｉｅｗ／ＳＰ－ＣＡＡＡＥ８Ｚ＞

　非特許文献１に開示されたソフトウェアを利用するユーザは、ある表示態様に従い通信履歴情報を表示する場合に、表示するのに必要な情報を検索する検索式（命令、クエリ）を作成し、該通信履歴情報を格納しているデータベースに、作成した命令を送信する必要がある。これは、通信を監視している複数のセンサが、通信が生じるたびに該通信に関する通信履歴情報を作成し、作成した通信履歴情報を該データベースに格納するからである。さらに、ユーザは、該検索式を作成する目的のために、該データベースから抽出すべき項目を特定しなければならない。この結果、該ソフトウェアに不慣れなユーザは、該データベースから通信履歴情報を抽出する検索式を作成することが難しい。したがって、該ユーザは、該データベースに格納されている通信履歴情報を容易に可視化することが難しい。

　そこで、本発明の主たる目的は、通信履歴情報をある項目に関して表示する場合に、表示に必要な情報を容易に求めることが可能な通信情報算出装置等を提供することである。

　前述の目的を達成するために、本発明の一態様において、通信情報算出装置は、
　通信に関して計測された複数の項目に含まれている第１項目に関する第１条件、及び、前記複数の項目に含まれている第２項目に関する第２条件を満足している情報を抽出するリクエストに応じて、前記複数の項目に含まれている一部の項目が関連付けされた項目情報を参照することによって、前記第１項目及び前記第２項目に関連付けされた第３項目を特定する項目特定手段と、
　前記第１項目に関する第１条件、及び、前記第２項目に関する第２条件を満足しているデータを抽出する命令を作成し、作成した前記命令を、前記通信に関して計測された複数の項目の値を管理している情報処理装置に送信し、前記情報処理装置が前記命令に応じて抽出したデータを受信する問い合わせ手段と、
　受信した前記データに基づいて、前記第１項目乃至前記第３項目に関する値を求める算出手段と
　を備える。

　また、本発明の他の見地として、通信情報算出方法は、
　通信に関して計測された複数の項目に含まれている第１項目に関する第１条件、及び、前記複数の項目に含まれている第２項目に関する第２条件を満足している情報を抽出するリクエストに応じて、前記複数の項目に含まれている一部の項目が関連付けされた項目情報を参照することによって、前記第１項目及び前記第２項目に関連付けされた第３項目を特定し、
　前記第１項目に関する第１条件、及び、前記第２項目に関する第２条件を満足しているデータを抽出する命令を作成し、作成した前記命令を、前記通信に関して計測された複数の項目の値を管理している情報処理装置に送信し、前記情報処理装置が前記命令に応じて抽出したデータを受信し、
　受信した前記データに基づいて、前記第１項目乃至前記第３項目に関する値を求める。

　さらに、同目的は、係る通信情報算出プログラム、及び、そのプログラムを記録するコンピュータが読み取り可能な記録媒体によっても実現される。

　本発明に係る通信情報算出装置等によれば、通信履歴情報をある項目に関して表示する場合に、表示に必要な情報を容易に求めることできる。

本発明の第１の実施形態に係る通信情報算出装置を含む通信情報管理システムが有する構成を示すブロック図である。第１の実施形態に係る通信情報算出装置における処理の流れを示すフローチャートである。ＨＴＴＰプロトコルに従い実行された通信に関して測定された通信履歴情報の一例を概念的に表す図である。パケットをキャプチャするｔｃｐｄｕｍｐ命令を用いて測定された通信履歴情報の一例を概念的に表す図である。項目情報の一例を概念的に表す図である。本発明の第２の実施形態に係る通信情報算出装置を含む通信情報管理システムが有する構成を示すブロック図である。第２の実施形態に係る通信情報算出装置における処理の流れを示すフローチャートである。本発明の第３の実施形態に係る通信情報算出装置を含む通信情報管理システムが有する構成を示すブロック図である。第３の実施形態に係る通信情報算出装置における処理の流れを示すフローチャートである。項目情報の一例を概念的に表す図である。本発明の第４の実施形態に係る分類情報作成装置が有する構成を示すブロック図である。第４の実施形態に係る分類情報作成装置における処理の流れを示すフローチャートである。第４の実施形態に係る測定情報の一例を概念的に表す図である。第４の実施形態に係る分類情報作成装置が参照する抽出情報の一例を概念的に表す図である。第４の実施形態に係る分類情報作成装置が作成した分類情報の一例を概念的に表す図である。本発明の第５の実施形態に係る検索装置が有する構成を示すブロック図である。第５の実施形態に係る検索装置における処理の流れを示すフローチャートである。検索情報の一例を概念的に表す図である。本発明の各実施形態に係る通信情報算出装置等を実現可能な計算処理装置のハードウェア構成例を、概略的に示すブロック図である。

　次に、本発明を実施する実施形態について図面を参照しながら詳細に説明する。

　＜第１の実施形態＞
　図１を参照しながら、本発明の第１の実施形態に係る通信情報算出装置１０１が有する構成について詳細に説明する。図１は、本発明の第１の実施形態に係る通信情報算出装置１０１を含む通信情報管理システム１０８が有する構成を示すブロック図である。

　第１の実施形態に係る通信情報算出装置１０１は、項目特定部１０２と、問い合わせ部１０３と、算出部１０４とを有する。

　項目特定部１０２は、通信に関して計測された複数の項目に含まれている第１項目に関する第１条件、及び、該複数の項目に含まれている第２項目に関する第２条件を満足している情報を抽出するリクエストを受信する。通信に関して計測された項目については、図３、及び、図４を参照しながら後述する。第１項目は、たとえば、通信を実行した装置を表すアドレスである。第１条件は、たとえば、該アドレスが特定のネットワークセグメントに含まれているか否かである。第２項目は、たとえば、該通信に対する処理を終了した日時である。第２条件は、たとえば、該日時が特定の期間に含まれているか否かである。項目特定部１０２は、複数の項目に含まれている一部の項目が関連付けされた項目情報を参照することによって、該第１項目及び該第２項目に関連付けされた第３項目を特定する。

　問い合わせ部１０３は、通信に関して計測された複数の項目の測定値を管理している情報処理装置等から、該第１項目に関する第１条件、及び、該第２項目に関する第２条件を満足しているデータを抽出する命令を作成する。問い合わせ部１０３は、該情報処理装置に作成した該命令を送信し、該情報処理装置が該命令に応じて抽出したデータを受信する。

　算出部１０４は、受信した該データに基づいて、該第１項目乃至該第３項目に関する値を求める。算出部１０４は、たとえば、受信した該データから、該第１項目乃至該第３項目に関する値を抽出する。

　以降、説明の便宜上、問い合わせ部１０３が該情報処理装置に命令を送信し、該命令に応じて該情報処理装置が抽出した該データから、算出部１０４が該第１項目乃至該第３項目に関する値を抽出すると仮定する。しかし、問い合わせ部１０３は、たとえば、第３項目を表す識別子と、該第３項目を算出する処理手順とが関連付けされた項目処理情報を参照することにより、項目特定部１０２が特定した第３項目を表す識別子に関連付けされた処理手順を特定してもよい。この場合に、問い合わせ部１０３は、特定した処理手順に従い、第３項目に関する値を算出する。第３項目が通信量である場合に、問い合わせ部１０３は、たとえば、通信に関するパケット数を特定する処理を実行し、特定したパケット数をバイト数に換算する処理を行う処理手順に従い、これらの処理を実行してもよい。

　次に、第１の実施形態に係る通信情報算出装置１０１を含む通信情報管理システム１０８を例として参照しながら、本実施形態に係る通信情報算出装置１０１における処理について、さらに詳細に説明する。

　通信情報管理システム１０８は、通信情報算出装置１０１と、情報処理装置１０５と、通信履歴情報部１０６と、項目情報部１０７とを有する。

　通信情報算出装置１０１は、通信ネットワークを介して実行された通信を対象として測定された通信履歴情報（通信情報、図３、及び、図４に例示、後述）が格納されている通信履歴情報部１０６を管理している情報処理装置１０５と通信接続することができる。該通信履歴情報は、通信を対象として、複数の項目に関して測定された測定値を含む情報である。さらに、通信情報算出装置１０１は、該複数の項目に含まれている一部の項目が相互に関連付けされた項目情報（図５に例示、後述）を格納可能な項目情報部１０７から情報を読み取ることができる。

　まず、図３、及び、図４を参照しながら、通信履歴情報について説明する。次に、図５を参照しながら項目情報について説明する。その後、図２を参照しながら、本発明の第１の実施形態に係る通信情報算出装置における処理について説明する。

　まず、図３、及び、図４を参照しながら、通信履歴情報について説明する。図３は、通信ネットワークにおいて、ＨＴＴＰプロトコルに従い実行された通信に関して測定された通信履歴情報の一例を概念的に表す図である。図４は、通信ネットワークにおいて送受信されているパケットをキャプチャするｔｃｐｄｕｍｐ命令を用いて測定された通信履歴情報の一例を概念的に表す図である。ＨＴＴＰは、Ｈｙｐｅｒｔｅｘｔ＿Ｔｒａｎｓｆｅｒ＿Ｐｒｏｔｏｃｏｌの略称を表す。

　図３を参照すると、通信履歴情報は、リクエストを送信した情報処理装置のアドレスと、該リクエストを送信したユーザの識別情報と、サーバが該リクエストに関する処理を終了した日時に関する情報と、該リクエストと、該リクエストを処理した後の該サーバのステータス（状態）とが関連付けされた情報である。たとえば、該通信履歴情報においては、アドレス「１．２．３．４」と、ユーザの識別情報「Ａ」と、日時「２０１５／９／３＿１３：３０：２６」と、リクエスト「ＧＥＴ＿／ｘｘｘ＿ＨＴＴＰ／１．０」と、ステータス「２００」とが関連付けされている。これは、ユーザ「Ａ」がアドレス「１．２．３．４」が表す情報処理装置から、リクエスト「ＧＥＴ＿／ｘｘｘ＿ＨＴＴＰ／１．０」を該サーバに送信し、該サーバが該リクエストに応じた処理を、日時「２０１５／９／３＿１３：３０：２６」に、ステータス「２００」にて終了したことを表す。

　また、図４を参照すると、通信履歴情報は、通信ネットワークを介して実行された通信に関して、該通信が実行された時刻と、該通信を実行した装置（すなわち、第１装置、第２装置）の名称と、該通信を実行した場合に経由したポート番号とが関連付けされた情報である。たとえば、該通信履歴情報においては、時刻「１０：５６：２１」と、第１装置の名称「Ｃｌｉｅｎｔ」と、該第１装置におけるポート番号「１０３６」と、第２装置の名称「Ｓｅｒｖｅｒ」と、該第２装置におけるポート番号「ｗｗｗ」とが関連付けされている。これは、「Ｃｌｉｅｎｔ」が表す装置のポート番号「１０３６」と、「Ｓｅｒｖｅｒ」が表す装置のポート番号「ｗｗｗ」との間において、時刻「１０：５６：２１」に通信が実行されたことを表す。

　通信履歴情報は、図３、及び、図４を参照しながら説明したように、通信に関して測定対象である複数の項目（たとえば、図３において、日時、ユーザの識別情報、アドレス等）について測定された測定値が関連付けされた情報である。または、該項目は、たとえば、通信にて情報を送信した装置を表す装置識別子、該通信にて情報を受信した装置を表す装置識別子、該通信にて送受信された情報の大きさ等である。

　通信履歴情報は、必ずしも、図３または図４を参照しながら説明したすべての項目を含んでいる必要はない。また、通信履歴情報は、上記の項目以外の項目を含んでいてもよい。すなわち、通信履歴情報は、上述した例に限定されない。

　尚、本発明の第１の実施形態においては、ＨＴＴＰプロトコルに従い実行された通信の例を参照しながら、通信情報算出装置１０１における処理等について説明する。しかし、本発明の第１の実施形態に係る通信情報算出装置１０１は、ＨＴＴＰプロトコルに従い実行される通信に限らずに、同様の処理を実行することができる。以降に示す各実施形態においても同様である。

　次に、図５を参照しながら、項目情報部１０７に格納可能な項目情報について説明する。図５は、項目情報の一例を概念的に表す図である。

　図５を参照すると、項目情報は、通信履歴情報に含まれている複数の項目を表す識別子が相互に関連付けされた情報である。たとえば、該項目情報においては、第１項目の識別子「アドレス」と、第２項目の識別子「時刻」と、第３項目の識別子「通信量」とが関連付けされている。これは、たとえば、項目「アドレス」に関する検索条件と、項目「時刻」に関する検索条件とを受信した場合に、該２つの検索条件を満足しているデータから項目「通信量」を求めることを表す。尚、図５に例示された項目情報の場合に、図３（または、図４）に例示された通信履歴情報に含まれている複数の項目は、項目「アドレス」、項目「時刻」、及び、項目「通信量」を含んでいる。

　項目情報は、必ずしも、図５を参照しながら説明したすべての項目を含んでいる必要はない。また、項目情報は、図１０を参照しながら後述するように、図５に例示された項目以外の項目を含んでいてもよい。すなわち、項目情報は、上述した例に限定されない。尚、第１の実施形態において、項目情報部１０７は、通信履歴情報をある項目（第１項目、第２項目）に関して表示する場合に、該ある項目と、該ある項目に伴って求める処理が必要な項目（第３項目）とが関連付けされた項目情報を記憶しているとする。尚、該処理が必要な項目は、複数であってもよい。

　次に、図２を参照しながら、本発明の第１の実施形態に係る通信情報算出装置１０１における処理について詳細に説明する。図２は、第１の実施形態に係る通信情報算出装置１０１における処理の流れを示すフローチャートである。

　項目特定部１０２は、ユーザーインターフェース（不図示）等を介して、複数の項目に含まれている第１項目を表す識別子（以降、単に、「第１項目」と表す）と、該第１項目に関する第１条件を受信する（ステップＳ１０１）。第１項目は、たとえば、通信を実行した装置を識別可能な装置識別子である。第１条件は、たとえば、該装置識別子に関する測定値が所定のネットワークセグメントに属しているか否かである。項目特定部１０２は、さらに、ユーザーインターフェース等を介して、複数の項目に含まれている第２項目を表す識別子（以降、単に、「第２項目」と表す）と、該第２項目に関する第２条件を受信する（ステップＳ１０１）。たとえば、第２項目を表す識別子は、通信が実行された時刻を表す識別子であり、第２条件は、該時刻を表す測定値に関する測定値（すなわち、時刻）が所定の期間内であるか否かである。項目特定部１０２は、第１項目、第１条件、第２項目、及び、第２条件を含むリクエストを受信してもよい。

　次に、項目特定部１０２は、複数の項目が関連付けされた項目情報（図５に例示）を参照することによって、受信した第１項目と、受信した第２項目とに関連付けされた第３項目を特定する（ステップＳ１０２）。項目特定部１０２は、たとえば、該項目情報を参照することによって、第１項目「アドレス」、及び、第２項目「時刻」に関連付けされた第３項目「通信量」を特定する。

　次に、問い合わせ部１０３は、該第１項目に関する第１条件、該第２項目に関する該第２条件を満足している通信情報（データ）を、通信履歴情報部１０６から抽出する命令情報（クエリ）を作成する（ステップＳ１０３）。問い合わせ部１０３は、作成した命令情報を、情報処理装置１０５に送信する（ステップＳ１０４）。

　情報処理装置１０５は、該命令情報を受信し、受信した命令情報に従い、通信履歴情報部１０６に格納されている通信履歴情報のうち、第１項目に関する第１条件、該第２項目に関する該第２条件を満足している通信履歴情報を抽出する。情報処理装置１０５は、抽出した通信履歴情報を、通信情報算出装置１０１に送信する。

　通信情報算出装置１０１における問い合わせ部１０３は、情報処理装置１０５が送信した通信履歴情報を受信する（ステップＳ１０５）。

　算出部１０４は、問い合わせ部１０３が受信した通信履歴情報に基づいて、第１項目に関する測定値、第２項目に関する測定値、及び、第３項目に関する値を求める（ステップＳ１０６）。算出部１０４は、たとえば、問い合わせ部１０３が受信した通信履歴情報に基づいて、第１項目に関する測定値、第２項目に関する測定値、及び、第３項目に関する値を抽出する。

　通信情報算出装置１０１は、算出部１０４が求めた測定値を表示してもよい。

　次に、第１の実施形態に係る通信情報算出装置１０１が奏する効果について説明する。

　第１の実施形態に係る通信情報算出装置１０１によれば、通信履歴情報をある項目に関して表示する場合に、表示に必要な情報を容易に求めることできる。この理由は、通信履歴情報において、ユーザが入力した項目、及び、該項目に関する検索条件を満足している通信履歴情報から求める項目を、通信情報算出装置１０１が特定するからである。たとえば、通信履歴情報を可視化するソフトウェアに不慣れなユーザは、第１項目「アドレス」と、第２項目「時刻」とを用いて可視化する場合であっても、該可視化に必要な第３項目「通信量」に関して情報を抽出することを想起することは難しい。この結果、該ユーザは、可視化に必要な通信履歴情報を通信履歴情報部１０６から抽出する命令を作成することは難しい。本実施形態に係る通信情報算出装置１０１は、たとえば、第１項目「アドレス」と、第２項目「時刻」とに関連付けされた第３項目「通信量」を、項目情報を参照することによって特定する。したがって、ソフトウェアに不慣れなユーザであっても、本実施形態に係る通信情報算出装置１０１によれば、可視化に必要な情報を求めることができる。

　これに対して、非特許文献１に開示されたソフトウェアを用いて通信履歴情報を可視化する場合に、ユーザは、通信履歴情報が格納されているデータベースから、注目するデータを抽出する場合に、抽出に適した検索条件、及び、抽出項目を含む命令情報（クエリ）を作成する必要がある。しかし、可視化する対象である項目と、命令情報にて検索する項目とは必ずしも一致するとは限らないので、ソフトウェアに不慣れなユーザにとっては、可視化する対象である項目に基づいて命令情報を作成することが難しい。

　したがって、本実施形態に係る通信情報算出装置１０１によれば、通信履歴情報をある項目に関して表示する場合に、表示に必要な情報を容易に求めることできる。

　＜第２の実施形態＞
　次に、上述した第１の実施形態を基本とする本発明の第２の実施形態について説明する。

　以降の説明においては、本実施形態に係る特徴的な部分を中心に説明すると共に、上述した第１の実施形態と同様な構成については、同一の参照番号を付すことにより、重複する説明を省略する。

　図６を参照しながら、本発明の第２の実施形態に係る通信情報算出装置２０１が有する構成について詳細に説明する。図６は、本発明の第２の実施形態に係る通信情報算出装置２０１を含む通信情報管理システム２０９が有する構成を示すブロック図である。

　通信情報管理システム２０９は、通信情報算出装置２０１と、情報処理装置１０５と、通信履歴情報部１０６とを有する。

　第２の実施形態に係る通信情報算出装置２０１は、項目特定部１０２と、問い合わせ部１０３と、算出部１０４と、項目情報作成部２０７と、項目情報部２０８とを有する。

　通信情報算出装置２０１は、通信ネットワークを介して実行された通信を対象として測定された通信履歴情報（図３、及び、図４に例示）が格納されている通信履歴情報部１０６を管理している情報処理装置１０５と通信接続することができる。項目情報部２０８は、図５を参照しながら説明した項目情報を記憶することができる。尚、第２の実施形態において、項目情報部２０８は、通信履歴情報をある項目に関して表示する場合に、該ある項目と、該ある項目に伴って抽出する処理が必要な項目とが関連付けされた項目情報を記憶していてもよい。あるいは、項目情報部２０８には、図７を参照しながら後述するように、項目情報作成部２０７が作成した項目情報が格納されてもよい。

　次に、図７を参照しながら、本発明の第２の実施形態に係る通信情報算出装置２０１における処理について詳細に説明する。図７は、第２の実施形態に係る通信情報算出装置２０１における処理の流れを示すフローチャートである。

　まず、項目情報作成部２０７は、ユーザーインターフェース（不図示）等を介して、外部から、複数の項目に含まれている第１項目を表す識別子と、該第１項目の測定値に関する第１条件を受信する（ステップＳ２０１）。第１項目を表す識別子は、たとえば、通信を実行した装置を識別可能な装置識別子である。第１条件は、たとえば、該装置識別子が表す項目の測定値が所定のネットワークセグメントに属しているか否かである。項目情報作成部２０７は、さらに、ユーザーインターフェース等を介して、複数の項目に含まれている第２項目を表す識別子と、該第２項目の測定値に関する第２条件を受信する（ステップＳ２０１）。たとえば、第２項目を表す識別子は、通信が実行された時刻を表す識別子であり、第２条件は、該時刻が表す項目の測定値（すなわち、時刻）が所定の期間であるか否かである。項目情報作成部２０７は、第１項目を表す識別子、第１条件、第２項目を表す識別子、及び、第２条件を含むリクエストを受信してもよい。

　項目情報作成部２０７は、さらに、通信履歴情報を、第１項目、及び、第２項目に関して表示する場合に、通信履歴情報部１０６から抽出することが必要な第４項目を受信する（ステップＳ２０１）。項目情報作成部２０７は、第１項目、第２項目、及び、第４項目が関連付けされた項目情報を作成し（ステップＳ２０２）、作成した項目情報を項目情報部２０８に格納する（ステップＳ２０３）。

　尚、項目情報作成部２０７は、さらに、第４項目を求める処理手順（たとえば、複数の命令情報、算出式等）を受信してもよい。この場合に、項目情報作成部２０７は、第４項目を表す識別子と、該第４項目を求める処理手順とが関連付けされた項目処理情報を作成し、作成した項目処理情報を項目情報部２０８に格納してもよい。

　次に、第２の実施形態に係る通信情報算出装置２０１が奏する効果について説明する。

　第２の実施形態に係る通信情報算出装置２０１によれば、通信履歴情報をある項目に関して表示する場合に、表示に必要な情報を容易に求めることできる。この理由は、第２の実施形態に係る通信情報算出装置２０１が、第１の実施形態に係る通信情報算出装置１０１を含むからである。

　さらに、第２の実施形態に係る通信情報算出装置２０１によれば、あるユーザが通信履歴情報を可視化する場合に通信履歴情報から抽出した項目を、異なるユーザが利用することができる。この理由は、項目情報作成部２０７が、リクエスト、及び、通信履歴情報部１０６から抽出することが必要な第４項目を受信した場合に、可視化するのに必要な項目（すなわち、第１項目、及び、第２項目）と、該第４項目とが関連付けされた項目情報を作成するからである。通信情報算出装置２０１が、リクエストのみを受信した場合に、第１の実施形態にて説明したように、項目情報部２０８に記憶されている該項目情報を参照することによって、異なるユーザは、該あるユーザが用いた項目を求めることができる。

　＜第３の実施形態＞
　次に、上述した第１の実施形態を基本とする本発明の第３の実施形態について説明する。

　図８を参照しながら、本発明の第３の実施形態に係る通信情報算出装置３０１が有する構成について詳細に説明する。図８は、本発明の第３の実施形態に係る通信情報算出装置３０１を含む通信情報管理システム３０５が有する構成を示すブロック図である。

　通信情報管理システム３０５は、通信情報算出装置３０１と、情報処理装置１０５と、通信履歴情報部１０６と、項目情報部３０３と、表示装置３０４とを有する。

　第３の実施形態に係る通信情報算出装置３０１は、項目特定部１０２と、問い合わせ部１０３と、算出部１０４と、表示制御部３０２とを有する。

　通信情報算出装置３０１は、通信ネットワークを介して実行された通信を対象として測定された通信履歴情報（図３、及び、図４に例示）が格納されている通信履歴情報部１０６を管理している情報処理装置１０５と通信接続することができる。項目情報部３０３は、図１０に例示されているような項目情報を記憶することができる。図１０は、項目情報の一例を概念的に表す図である。

　項目情報部３０３に格納可能な項目情報は、通信履歴情報をある項目に関して表示する際のある項目を表す識別子と、該ある項目に伴って抽出する処理が必要な項目を表す識別子と、表示装置３０４に表示する場合の表示態様情報と、ある項目を表示する場合の詳細さ（または、範囲）等を指定する表示パラメタとが関連付けされた情報である。たとえば、該項目情報においては、第１項目「アドレス」と、第２項目「時刻」と、第３項目「通信量」と、表示態様情報「通信量に応じて色分け」とが関連付けされている。これは、たとえば、第１項目「アドレス」に関する検索条件と、第２項目「時刻」に関する検索条件とを受信した場合に、該２つの検索条件を満足している通信履歴情報に基づいて、第３項目「通信量」を求めることを表す。さらに、これは、たとえば、第１項目「アドレス」に関する検索条件と、第２項目「時刻」に関する検索条件とを受信した場合に、表示態様情報「通信量に応じて色分け」に従い、表示制御部３０２が表示装置３０４に表示することを表す。尚、これは、項目「アドレス」に関する検索条件と、項目「時刻」に関する検索条件とを受信した場合に、通信情報算出装置３０１が、さらに、表示パラメタ「アドレスの範囲、・・・」を表す値を受信可能であることを表す。項目情報は、上述した例に限定されない。

　表示制御部３０２は、表示装置３０４に表示する情報を、項目情報に含まれている表示態様情報、または、表示パラメタに含まれている各パラメタを表す値に従い制御することができる。

　次に、図９を参照しながら、本発明の第３の実施形態に係る通信情報算出装置３０１における処理について詳細に説明する。図９は、第３の実施形態に係る通信情報算出装置３０１における処理の流れを示すフローチャートである。

　項目特定部１０２、問い合わせ部１０３、及び、算出部１０４は、第１の実施形態において説明した処理と同様の処理を、ステップＳ１０１乃至ステップＳ１０６にて実行する。ステップＳ１０１乃至ステップＳ１０６に示す処理によって、算出部１０４は、第１項目に関する測定値、第２項目に関する測定値、及び、第３項目に関する値を、情報処理装置１０５から受信する。

　次に、表示制御部３０２は、項目情報部３０３に格納されている項目情報（図１０に例示）を参照することによって、第１項目を表す識別子、及び、第２項目を表す識別子に関連付けされた表示態様情報を特定する。たとえば、図１０に例示された項目情報の場合に、表示制御部３０２は、第１項目「アドレス」と、第２項目「時刻」とを含むリクエストを受信するのに応じて、第１項目「アドレス」、及び、第２項目「時刻」に関連付けされた表示態様情報「通信量に応じて色分け」を特定する。次に、表示制御部３０２は、特定した表示態様情報に従い、表示装置３０４に、第１項目に関する測定値、第２項目に関する測定値、及び、第３項目に関する値を表示する。たとえば、表示制御部３０２は、第１項目を横軸、第２項目を縦軸として設定される座標系に、特定した表示態様情報「通信量に応じて色分け」に従い、第１項目に関する測定値、第２項目に関する測定値、及び、第３項目に関する値を表示装置３０４に表示する（ステップＳ３０１）。

　表示制御部３０２は、さらに、第１項目を表す識別子、及び、第２項目を表す識別子に関連付けされた表示パラメタを特定してもよい。この場合に、表示制御部３０２は、さらに、特定した表示パラメタに含まれているパラメタの値を外部から受信し、受信したパラメタの値と、特定した表示態様情報とに従い、表示装置３０４に、第１項目に関する測定値、第２項目に関する測定値、及び、第３項目に関する値を表示する。表示制御部３０２は、たとえば、図１０に例示された項目情報を参照することにより、第１項目「アドレス」、及び、第２項目「時刻」に関連付けされた表示パラメタ「アドレスの範囲、時間間隔、・・・」を特定した場合に、「アドレスの範囲」の値、及び、「時間間隔」の値を外部から受信してもよい。この場合に、表示制御部３０２は、受信した第１項目「アドレス」を横軸、第２項目「時刻」を縦軸とする座標系に、横軸の範囲が「アドレスの範囲」であって、縦軸に関する値の間隔が「時間間隔」である表示態様に従い、受信した第１項目乃至第３項目に関する値を表示する。この場合に、表示制御部３０２は、受信した第１項目の測定値、及び、受信した第２項目の測定値によって定義される点を、表示態様情報「通信量に応じて色分け」に従い、受信した第３項目に関する値に基づいて色分けする表示態様に従い、これらの測定値を表示する。

　尚、第２の実施形態に係る通信情報算出装置２０１（図６）と同様に、通信情報算出装置３０１は、項目情報作成部２０７（図８にて不図示）を有していてもよい。この場合に、項目情報作成部２０７が、第１項目を表す識別子及び第２項目を表す識別子を含むリクエスト信号と、第３項目を表す識別子と、表示態様情報と、表示パラメタの識別子とを受信した場合に、以下に示す項目情報を作成してもよい。すなわち、通信情報算出装置３０１は、該第１項目を表す識別子、該第２項目を表す識別子、該第３項目を表す識別子、該表示態様情報、及び、該表示パラメタが関連付けされた項目情報を作成してもよい。この場合に、項目情報作成部２０７は、作成した項目情報を項目情報部３０３に格納する。

　次に、第３の実施形態に係る通信情報算出装置３０１が奏する効果について説明する。

　第３の実施形態に係る通信情報算出装置３０１によれば、通信履歴情報をある項目に関して表示する場合に、表示に必要な情報を容易に求めることできる。この理由は、第３の実施形態に係る通信情報算出装置３０１が、第１の実施形態に係る通信情報算出装置１０１を含むからである。

　さらに、第３の実施形態に係る通信情報算出装置３０１によれば、ソフトウェアに不慣れなユーザであっても、容易に通信履歴情報を可視化することができる。この理由は、通信情報算出装置３０１が表示に必要な情報を作成し、作成した情報を実際に表示態様情報に従い表示するからである。通信情報算出装置３０１が項目情報作成部２０７を有しており、さらに、項目情報作成部２０７が、図１０に例示されているような項目情報を作成する場合には、あるユーザが利用した表示態様を、あるユーザと異なるユーザが有効に利用することができるという効果を奏する。

　＜第４の実施形態＞
　本実施形態においては、図１等に例示された情報処理装置１０５を実現可能な装置（たとえば、分類情報作成装置）が開示されている。図１１を参照しながら、本発明の第４の実施形態に係る分類情報作成装置５０１が有する構成について詳細に説明する。図１１は、本発明の第４の実施形態に係る分類情報作成装置５０１が有する構成を示すブロック図である。

　第４の実施形態に係る分類情報作成装置５０１は、識別子作成部５０２と、抽出部５０３と、読み取り部５０４と、分類情報作成部５０５とを有する。分類情報作成装置５０１は、さらに、抽出情報記憶部５０６を有してもよい。抽出情報記憶部５０６は、図１４（後述）に例示されているような抽出情報を記憶することができる。分類情報作成装置５０１は、測定情報部５０７に記憶されている測定情報（図１３に例示、後述）を参照することができる。分類情報作成装置５０１は、分類情報部５０８に、分類情報作成部５０５が作成した分類情報（図１５に例示、後述）を格納することができる。

　説明の便宜上、本実施形態においては、説明の便宜上、異なる形式に従い記憶された通信履歴情報（ログ、たとえば、図３、図４）は、ある統一された形式に変換する処理（正規化処理）が実行されることによって、該統一された形式（図１３に例示）に従い記憶されているとする。さらに、ある統一された形式に従い記憶されている通信履歴情報を、以降の説明においては「測定情報」と表すとする。図１３は、第４の実施形態に係る測定情報の一例を概念的に表す図である。

　図１３を参照すると、測定情報部５０７に格納されている測定情報は、通信が実行された時刻と、該通信に関して通信履歴情報を測定したログ作成装置を表すリソース識別子と、該通信に関して測定された測定値（たとえば、アドレス、ユーザ、リクエスト、装置の名称とポート番号等）とが関連付けされた情報である。たとえば、図１３に例示された測定情報においては、時刻「１３：３０：２６」と、リソース識別子「Ａｐａｃｈｅ」と、測定値欄に記載されている測定値「１．２．３．４・・・」とが関連付けされている。これは、時刻「１３：３０：２６」に、リソース識別子「Ａｐａｃｈｅ」が表すログ作成装置が、測定値「１．２．３．４・・・」を作成したことを表す。

　尚、測定情報は、必ずしも、図１３を参照しながら説明したすべての項目を含んでいる必要はない。すなわち、測定情報は、上述した例に限定されない。

　次に、図１４を参照しながら分類情報作成装置５０１が参照する抽出情報について説明する。図１４は、第４の実施形態に係る分類情報作成装置５０１が参照する抽出情報の一例を概念的に表す図である。

　抽出情報は、図１３にて例示されている測定情報から抽出する項目を表す抽出項目と、該抽出項目を抽出する場合のリソース識別子に関する条件と、該抽出項目を一意に識別可能な抽出情報識別子とが関連付けされている情報である。たとえば、図１４に例示された抽出情報においては、抽出情報識別子「２」と、条件「Ｐｃａｐ」と、抽出項目「ポート番号」とが関連付けされている。これは、図１３に例示された測定情報において、リソース識別子「Ｐｃａｐ」に関連付けされた測定値に基づき、抽出項目「ポート番号」を抽出する処理を表す抽出情報識別子が「２」であることを表す。

　また、図１４に例示された抽出情報においては、抽出情報識別子「４」と、条件「＊」（アスタリスク）と、抽出項目「ＡＳ番号」とが関連付けされている。符号「＊」は、リソース識別子に関する条件が指定されていないことを表す。この場合には、図１３に例示された測定情報に含まれているすべての測定値の中から、抽出項目「ＡＳ番号」を抽出する処理を表す抽出情報識別子が「４」であることを表す。尚、ＡＳは、Ａｕｔｏｎｏｍｏｕｓ＿Ｓｙｓｔｅｍの略称を表す。ＡＳ番号は、通信が実行される場合に、該通信にて経由する装置を表す装置識別子である。

　尚、第５の実施形態に示した検索装置（後述）は、抽出情報記憶部５０６が記憶している抽出情報における抽出項目を用いて構成されたリクエストに対して、検索する処理を実行する。抽出情報は、図１４に示された抽出情報に限定されない。

　次に、図１２を参照しながら、本発明の第４の実施形態に係る分類情報作成装置５０１における処理について詳細に説明する。図１２は、第４の実施形態に係る分類情報作成装置５０１における処理の流れを示すフローチャートである。

　まず、識別子作成部５０２は、通信ネットワークを介して実行された通信に関する測定情報（図１３に例示）に含まれている測定値に関して、該測定値を一意に識別可能な測定識別子を作成する（ステップＳ５０１）。たとえば、識別子作成部５０２は、測定情報に含まれている測定値を識別可能な測定識別子として、該測定情報に含まれている測定値に対して、順に、自然数を割り当てる。

　次に、抽出部５０３は、図１４に例示された抽出情報から、ある条件と、該ある条件に関連付けされた抽出項目と、該ある条件に関連付けされた抽出情報識別子とを読み取る（ステップＳ５０２）。抽出部５０３は、図１３に例示された測定情報において、リソース識別子が該ある条件を満足している場合に、測定情報を参照することによって、該リソース識別子に関連付けされた測定値（「特定の測定値」と表す）を抽出する（ステップＳ５０３）。

　抽出部５０３は、ステップＳ５０２に示す処理において、たとえば、図１４に例示された抽出情報から、抽出情報識別子「３」と、条件「Ａｐａｃｈｅ」（上記の「ある条件」）と、抽出項目「測定値」とが関連付けされた情報を読み取る。抽出部５０３は、図１３に例示された測定情報を参照することによって、リソース識別子が、読み取った条件「Ａｐａｃｈｅ」を満足している場合に、該リソース識別子に関連付けされた測定値「１．２．３．４・・・」を抽出する。抽出部５０３は、図１３に例示された測定情報を参照することによって、さらに、リソース識別子が読み取った条件「Ａｐａｃｈｅ」を満足している場合の測定値「１．２．５．６・・・」を抽出する。

　読み取り部５０４は、抽出部５０３がステップＳ５０３にて抽出した特定の測定値から、抽出部５０３がステップＳ５０２にて読み取った抽出項目を表す値を読み取る（ステップＳ５０４）。

　図１３に例示された測定情報の場合に、読み取り部５０４は、ステップＳ５０４にて、条件「Ａｐａｃｈｅ」に関連付けされた抽出項目として、測定値「１．２．３．４・・・」を読み取る。

　分類情報作成部５０５は、該特定の測定値を表す測定識別子（識別子作成部５０２がステップＳ５０１にて作成）と、抽出部５０３が読み取った抽出情報識別子と、抽出部５０３が読み取った値とが関連付けされた分類情報を作成する（ステップＳ５０５）。識別子作成部５０２が、図１３に例示された測定情報に対して、測定識別子として自然数を割り当てた場合に、たとえば、読み取り部５０４は、測定値「１．２．３．４・・・」が表す測定識別子「１」と、抽出情報識別子「３」と、測定値「１．２．３．４・・・」とが関連付けされた分類情報（図１５、後述）を作成する。さらに、分類情報作成部５０５は、測定値「１．２．５．６・・・」が表す測定識別子「３」と、抽出情報識別子「３」と、該測定値「１．２．５．６・・・」とが関連付けされた分類情報を作成してもよい。

　分類情報作成装置５０１は、抽出情報に含まれている各情報に関して、図１２に示されたステップＳ５０２乃至ステップＳ５０５に示された処理を実行する。この場合に、分類情報作成装置５０１は、図１５に例示された分類情報を作成する。図１５は、第４の実施形態に係る分類情報作成装置５０１が作成した分類情報の一例を概念的に表す図である。

　図１５を参照すると、分類情報は、抽出部５０３が抽出した特定の測定値を表す測定識別子と、抽出部５０３がステップＳ５０２にて読み取った抽出情報識別子と、該抽出項目に関して読み取り部５０４が読み取った抽出項目に関する値とが関連付けされた情報である。たとえば、図１５に例示された分類情報においては、測定識別子「１」と、抽出情報識別子「３」と、値「１．２．３．４・・・」とが関連付けされている。これは、測定識別子「１」が表す測定情報に関して、抽出情報識別子「３」が表す条件に従い、読み取り部５０４が抽出情報識別子「３」に関連付けされた抽出項目の値として、値「１．２．３．４・・・」を読み取ったことを表す。

　次に、第４の実施形態に係る分類情報作成装置５０１に関する効果について説明する。

　本実施形態に係る分類情報作成装置５０１によれば、通信履歴情報に関して高速な検索処理を可能にすることができる。この理由は、分類情報作成装置５０１が作成する分類情報（図１５）が高速に検索する用途に適しているからである。

　分類情報作成装置５０１が作成する分類情報が高速に検索する用途に適している理由について説明する。

　一般的な、ログ集計支援装置を用いた場合には、通信に関する所望の情報を、効率よく抽出できるとは限らない。この理由は、複数のリクエストが、共通して、ある検索条件を含んでいる場合であっても、各リクエストを受信するたびに、該ある検索条件に関する処理を再実行しなければならないからである。言い換えると、該ある検索条件に関する処理は、各リクエストを受信するごとに繰り返し実行される。

　本実施形態に係る分類情報作成装置５０１は、測定情報（図１３に例示）を識別可能な測定識別子、抽出項目を識別可能な抽出情報識別子（図１４に例示）、及び、読み取り部５０４が抽出した値が関連付けされた分類情報（図１５に例示）を作成する。すなわち、分類情報作成装置５０１が作成する分類情報は、抽出情報に含まれている抽出項目について、測定情報が分類されている情報である。このため、あるリクエストを用いて分類情報が検索される場合には、該あるリクエストを構成している抽出項目を表す抽出情報識別子と、分類情報に含まれている抽出情報識別子とが一致しているか否かが判定される。図１４を参照しながら説明したような抽出項目を用いて構成されたリクエストに応じた検索処理が実行される場合には、本実施形態に係る分類情報作成装置５０１によれば、該測定情報が分類された分類情報を検索対象として検索処理が実行される。この結果、ある検索条件を共通して含んでいる複数のリクエストに対しては、該ある検索条件に関する検索処理が分類情報にて実行されているので、たとえ、該複数のリクエストを受信したとしても、リクエストを受信した場合に、該ある検索条件に対する検索処理は実行されない。

　＜第５の実施形態＞
　次に、上述した第４の実施形態を基本とする本発明の第５の実施形態について説明する。

　以降の説明においては、本実施形態に係る特徴的な部分を中心に説明すると共に、上述した第４の実施形態と同様な構成については、同一の参照番号を付すことにより、重複する説明を省略する。

　図１６を参照しながら、本発明の第５の実施形態に係る検索装置６０１が有する構成について詳細に説明する。図１６は、本発明の第５の実施形態に係る検索装置６０１が有する構成を示すブロック図である。

　第５の実施形態に係る検索装置６０１は、分類情報作成装置５０１と、リクエスト解析部６０２と、抽出部６０３と、統合検索部６０４とを有する。検索装置６０１は、分類情報作成装置５０１が作成した分類情報（図１５に例示）を参照することができる。

　次に、図１７を参照しながら、本発明の第５の実施形態に係る検索装置６０１における処理について詳細に説明する。図１７は、第５の実施形態に係る検索装置６０１における処理の流れを示すフローチャートである。

　分類情報作成装置５０１は、あらかじめ、図１５に例示されているような分類情報を作成しているとする。

　リクエスト解析部６０２は、ある検索条件と、該ある検索条件を満足しているデータから抽出する項目を表す抽出項目とが関連付けされたリクエストを受信する（ステップＳ６０１）。

　たとえば、リクエストは、１週間以内にＨＴＴＰプロトコルに従い実行された通信であって、ある特定のアドレスにおける情報を要求した通信に関して、該通信にて経由したＡＳ番号を要求する信号である。この場合に、ある検索条件は、次に示す条件Ａ乃至条件Ｃが組み合わされた条件である。

　　　条件Ａ：通信が実行された時刻が１週間以内であるか否か、
　　　条件Ｂ：リソースがＨＴＴＰプロトコルに従って通信を実行したか否か、
　　　条件Ｃ：ある特定のアドレスにおける情報を要求した通信であるか否か。

　上述した条件Ａ乃至条件Ｃが組み合わされたリクエストの場合に、抽出項目は、該ある検索条件を満足している通信を実行した際に経由した装置を表す装置識別子（ＡＳ番号）である。この例において、リクエスト解析部６０２は、受信したリクエストから、条件Ａ、条件Ｂ、条件Ｃ、及び、抽出項目「ＡＳ番号」を求める。

　リクエスト解析部６０２は、受信したリクエスト内の検索条件に含まれている各条件に関して、該条件に一致している抽出項目を、図１４に例示されているような抽出情報を参照することによって特定する（ステップＳ６０２）。

　条件Ａは、通信が実行された時刻に関する条件である。リクエスト解析部６０２は、条件Ａにて求める対象である「時刻」に一致している抽出項目を、抽出情報（図１４に例示）を参照することによって特定する。この場合に、リクエスト解析部６０２は、条件Ａに一致している抽出項目として、抽出項目「時刻」を特定する。

　条件Ｂは、通信が実行されたリソース識別子に関する条件である。リクエスト解析部６０２は、条件Ｂにて求める対象である「リソース識別子」に一致している抽出項目を、抽出情報（図１４に例示）を参照することによって特定する。この場合に、リクエスト解析部６０２は、条件Ｂに一致している抽出項目として、抽出項目「リソース識別子」を特定する。

　条件Ｃは、アドレスに関する条件である。この場合に、リクエスト解析部６０２は、条件Ｃにて求める対象である「アドレス」に一致している抽出項目を、抽出情報（図１４に例示）を参照することによって特定する。この場合に、リクエスト解析部６０２は、条件Ｃに一致している抽出項目として、抽出項目「アドレス」を特定する。

　次に、リクエスト解析部６０２は、特定した抽出項目に関連付けされた抽出情報識別子を、抽出情報を参照することによって特定する（ステップＳ６０３）。

　たとえば、リクエスト解析部６０２は、図１４に例示されているような抽出情報を参照することによって、条件Ａに関して特定した抽出項目「時刻」に関連付けされた抽出情報識別子「５」を特定する。リクエスト解析部６０２は、抽出情報を参照することによって、条件Ｂに関して特定した抽出項目「リソース識別子」に関連付けされた抽出情報識別子「１」を特定する。リクエスト解析部６０２は、抽出情報を参照することによって、条件Ｃに関して特定した抽出項目「アドレス」に関連付けされた抽出情報識別子「６」を特定する。

　さらに、リクエスト解析部６０２は、図１４に例示されているような抽出情報を参照することによって、受信したリクエスト内の抽出項目に関連付けされた抽出情報識別子を特定する（ステップＳ６０４）。たとえば、リクエスト解析部６０２は、受信したリクエストに関して、抽出項目「ＡＳ番号」に関連付けされた抽出情報識別子「４」を特定する。

　次に、リクエスト解析部６０２は、各条件に関して特定した抽出情報識別子と、該条件に含まれている要件とが関連付けされた検索情報（図１８に例示）を作成する。図１８は、検索情報の一例を概念的に表す図である。

　図１８に例示された検索情報においては、抽出情報識別子「５」と、要件「１週間以内」とが関連付けされている。これは、抽出情報識別子「５」に関して抽出された抽出項目の値が、要件「１週間以内」を満足しているか否かを判定する条件であることを表す。また、検索情報においては、抽出情報識別子「１」と、要件「Ａｐａｃｈｅ」とが関連付けされている。これは、抽出情報識別子「１」に関して抽出された抽出項目の値が、要件「Ａｐａｃｈｅ」を満足しているか否かを判定する条件であることを表す。

　尚、検索情報は、図１８に例示された検索情報に限定されない。

　次に、抽出部６０３は、分類情報を参照することによって、リクエスト解析部６０２が作成した検索情報（すなわち、リクエスト内の検索条件における各条件）を満足している測定識別子を抽出する（ステップＳ６０５）。

　たとえば、抽出部６０３は、条件Ａ（すなわち、図１８の１行目）に関して、図１５に例示された分類情報６０５において抽出情報識別子「５」に関連付けされた抽出項目の値及び測定識別子を読み取り、読み取った値が要件「１週間以内」（すなわち、条件Ａ）であるか否かを判定する。抽出部６０３は、抽出項目の値が１週間以内である場合には、読み取った測定識別子を抽出する。抽出部６０３は、抽出項目の値が１週間以内でない場合には、読み取った測定識別子を抽出しない。

　抽出部６０３は、条件Ｂ（すなわち、図１８の２行目）に関して、図１５に例示された分類情報６０５において抽出情報識別子「１」に関連付けされた抽出項目の値及び測定識別子を読み取り、読み取った値が要件「Ａｐａｃｈｅ」（すなわち、条件Ｂ）を満足しているか否かを判定する。抽出部６０３は、抽出項目の値が「Ａｐａｃｈｅ」である場合には、読み取った測定識別子を抽出する。抽出部６０３は、抽出項目の値が「Ａｐａｃｈｅ」でない場合には、読み取った測定識別子を抽出しない。

　条件Ｃに関して、抽出部６０３は、条件Ａまたは条件Ｂにて実行した処理と同様の処理を実行する。

　次に、統合検索部６０４は、検索条件内の各条件に関して、抽出部６０３が抽出した測定識別子のうち、該検索条件を満足している測定識別子を特定する（ステップＳ６０６）。

　以下、ステップＳ６０６について、上述した例の場合に関して具体的に説明する。リクエスト解析部６０２が受信した検索条件が、条件Ａ、条件Ｂ、及び、条件Ｃが論理積演算によって結合された条件であるので、統合検索部６０４は、抽出部６０３が各条件に関して抽出した測定識別子に共通して含まれている測定識別子を求める。リクエスト解析部６０２が受信した検索条件が、条件Ａ、条件Ｂ、及び、条件Ｃが論理和演算によって結合された条件である場合に、統合検索部６０４は、抽出部６０３が各条件に関して抽出した測定識別子のいずれかに含まれている測定識別子を求める。

　次に、統合検索部６０４は、図１５に例示された分類情報６０５を参照することによって、求めた測定識別子と、リクエスト解析部６０２がステップＳ６０４にて抽出項目に関して特定した抽出情報識別子とに関連付けされた抽出項目の値を特定する（ステップＳ６０７）。統合検索部６０４は、特定した抽出項目の値を出力してもよい。すなわち、統合検索部６０４は、ステップＳ６０７に示す処理を実行することによって、検索条件を満足している測定識別子に関して、抽出する対象であった抽出項目の値を特定することができる。

　尚、統合検索部６０４は、ステップＳ６０７にて、図１３に例示された測定情報部５０７を参照することによって、求めた測定識別子が表す測定値を抽出してもよい。第１の実施形態に係る通信情報算出装置１０１における問い合わせ部１０３は、ステップＳ１０５（図２）にて、統合検索部６０４が抽出した測定値を、通信履歴情報として受信する。

　次に、第５の実施形態に係る検索装置６０１に関する効果について説明する。

　本実施形態に係る検索装置６０１によれば、通信等の通信履歴情報に関して高速な検索処理を可能にすることができる。この理由は、第５の実施形態に係る検索装置６０１が有する構成は、第４の実施形態に係る分類情報作成装置５０１が有する構成を含むからである。

　さらに、本実施形態に係る検索装置６０１によれば、通信等の通信履歴情報に関して高速に検索処理を実行することができる。この理由は、受信したリクエストに応じた検索処理を実行する場合に、検索条件を構成する要素として記載可能な条件によって、測定情報が分類情報として分類されているからである。

　本実施形態に係る検索装置６０１によれば、効率的な検索を可能にしつつ、測定情報に対して正規化処理を実行したとしても無駄な記憶領域が生じないという効果を奏する。たとえば、図３または図４に例示された通信履歴情報を正規化処理する場合に、複数の測定値に共通しない項目に関しては、正規化処理後に空値が生じる可能性がある。これに対して、検索装置６０１が作成した分類情報６０５（図１５に例示）に関しては、あらかじめ着目している抽出項目がそれぞれ格納されている抽出情報（図１４に例示）に基づき作成されているので、上述したような空値が生じる可能性は低い。

　尚、上述した本発明の各実施形態においては、ＨＴＴＰプロトコルに従い実行された通信の例を参照しながら、検索装置６０１における処理、及び、分類情報作成装置５０１における処理等を説明した。しかし、上述した本発明の各実施形態に係る装置は、ＨＴＴＰプロトコルに従い実行される通信に限定されない。

　（ハードウェア構成例）
　上述した本発明の第１乃至３の実施形態における通信情報算出装置、第４の実施形態における分類装置、または、第５の実施形態における検索装置を、１つの計算処理装置（情報処理装置、コンピュータ）を用いて実現するハードウェア資源の構成例について説明する。但し、係る通信情報算出装置（または、分類装置、検索装置）は、物理的または機能的に少なくとも２つの計算処理装置を用いて実現してもよい。また、係る通信情報算出装置（または、分類装置、検索装置）は、専用の装置として実現してもよい。

　図１９は、本発明の第１乃至３の実施形態における通信情報算出装置、第４の実施形態における分類装置、または、第５の実施形態における検索装置を実現可能な計算処理装置のハードウェア構成例を概略的に示す図である。計算処理装置２０は、中央処理演算装置（Ｃｅｎｔｒａｌ＿Ｐｒｏｃｅｓｓｉｎｇ＿Ｕｎｉｔ、以降「ＣＰＵ」と表す）２１、メモリ２２、ディスク２３、不揮発性記録媒体２４、通信インターフェース（以降、「通信ＩＦ」と表す）２７、及び、ディスプレー２８を有する。計算処理装置２０は、入力装置２５、出力装置２６に接続可能であってもよい。計算処理装置２０は、通信ＩＦ２７を介して、他の計算処理装置、及び、通信装置と情報を送受信することができる。

　不揮発性記録媒体２４は、コンピュータが読み取り可能な、たとえば、コンパクトディスク（Ｃｏｍｐａｃｔ＿Ｄｉｓｃ）、デジタルバーサタイルディスク（Ｄｉｇｉｔａｌ＿Ｖｅｒｓａｔｉｌｅ＿Ｄｉｓｃ）である。また、不揮発性記録媒体２４は、ユニバーサルシリアルバスメモリ（ＵＳＢメモリ）、ソリッドステートドライブ（Ｓｏｌｉｄ＿Ｓｔａｔｅ＿Ｄｒｉｖｅ）等であってもよい。不揮発性記録媒体２４は、電源を供給しなくても係るプログラムを保持し、持ち運びを可能にする。不揮発性記録媒体２４は、上述した媒体に限定されない。また、不揮発性記録媒体２４の代わりに、通信ＩＦ２７、及び、通信ネットワークを介して係るプログラムを持ち運びしてもよい。

　すなわち、ＣＰＵ２１は、ディスク２３に記憶されているソフトウェア・プログラム（コンピュータ・プログラム：以下、単に「プログラム」と称する）を、実行する際にメモリ２２にコピーし、演算処理を実行する。ＣＰＵ２１は、プログラム実行に必要なデータをメモリ２２から読み取る。表示が必要な場合には、ＣＰＵ２１は、ディスプレー２８に出力結果を表示する。外部への出力が必要な場合には、ＣＰＵ２１は、出力装置２６に出力結果を出力する。外部からプログラムを入力する場合、ＣＰＵ２１は、入力装置２５からプログラムを読み取る。ＣＰＵ２１は、上述した図１、図６、図８、図１１、または、図１６に示す各部が表す機能（処理）に対応するところのメモリ２２にある通信情報算出プログラム（図２、図７、または、図９）、分類プログラム（図１２）、または、検索プログラム（図１７）を解釈し実行する。ＣＰＵ２１は、上述した本発明の各実施形態において説明した処理を順次実行する。

　すなわち、このような場合、本発明は、係る通信情報算出プログラム（または、分類プログラム、検索プログラム）によっても成し得ると捉えることができる。さらに、係る通信情報算出プログラム（または、分類プログラム、検索プログラム）が記録されたコンピュータが読み取り可能な不揮発性の記録媒体によっても、本発明は成し得ると捉えることができる。

　以上、上述した実施形態を模範的な例として本発明を説明した。しかし、本発明は、上述した実施形態には限定されない。すなわち、本発明は、本発明のスコープ内において、当業者が理解し得る様々な態様を適用することができる。

　この出願は、２０１５年９月２４日に出願された日本出願特願２０１５－１８６３４９を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　１０１　　通信情報算出装置
　１０２　　項目特定部
　１０３　　問い合わせ部
　１０４　　算出部
　１０５　　情報処理装置
　１０６　　通信履歴情報部
　１０７　　項目情報部
　１０８　　通信情報管理システム
　２０１　　通信情報算出装置
　２０７　　項目情報作成部
　２０８　　項目情報部
　２０９　　通信情報管理システム
　３０１　　通信情報算出装置
　３０２　　表示制御部
　３０３　　項目情報部
　３０４　　表示装置
　３０５　　通信情報管理システム
　５０１　　分類情報作成装置
　５０２　　識別子作成部
　５０３　　抽出部
　５０４　　読み取り部
　５０５　　分類情報作成部
　５０６　　抽出情報記憶部
　５０７　　測定情報部
　５０８　　分類情報部
　６０１　　検索装置
　６０２　　リクエスト解析部
　６０３　　抽出部
　６０４　　統合検索部
　６０５　　分類情報
　２０　　計算処理装置
　２１　　ＣＰＵ
　２２　　メモリ
　２３　　ディスク
　２４　　不揮発性記録媒体
　２５　　入力装置
　２６　　出力装置
　２７　　通信ＩＦ
　２８　　ディスプレー

Claims

　通信に関して計測された複数の項目に含まれている第１項目に関する第１条件、及び、前記複数の項目に含まれている第２項目に関する第２条件を満足している情報を抽出するリクエストに応じて、前記複数の項目に含まれている一部の項目が関連付けされた項目情報を参照することによって、前記第１項目及び前記第２項目に関連付けされた第３項目を特定する項目特定手段と、
　前記第１項目に関する第１条件、及び、前記第２項目に関する第２条件を満足しているデータを抽出する命令を作成し、作成した前記命令を、前記通信に関して計測された複数の項目の値を管理している情報処理装置に送信し、前記情報処理装置が前記命令に応じて抽出したデータを受信する問い合わせ手段と、
　受信した前記データに基づいて、前記第１項目乃至前記第３項目に関する値を求める算出手段と
　を備える通信情報算出装置。
　前記項目情報を記憶可能な項目情報手段と、
　前記リクエスト、及び、前記複数の項目に含まれている第４項目を受信した場合に、前記リクエストに含まれている前記第１項目、前記第２項目、及び、受信した前記第４項目が関連付けされた前記項目情報を作成し、作成した前記項目情報を前記項目情報手段に格納する項目情報作成手段と
　をさらに備える請求項１に記載の通信情報算出装置。
　前記項目情報においては、前記通信にて情報を送信した装置を識別可能な装置識別子と、前記通信が実行されたタイミングと、前記通信にて送受信された通信量とが関連付けされている
　請求項２に記載の通信情報算出装置。
　前記項目情報においては、前記通信において経由した情報処理装置を識別可能な識別子と、前記通信が実行されたタイミングと、前記通信にて送受信された通信量とが関連付けされている
　請求項２に記載の通信情報算出装置。
　前記項目情報においては、前記通信において経由したポートを識別可能なポート識別子と、前記通信が実行されたタイミングと、前記通信にて送受信された通信量とが関連付けされている
　請求項２に記載の通信情報算出装置。
　前記項目情報において、前記一部の項目と、前記抽出した情報を表示する場合に従う表示態様情報とが関連付けされている場合に、前記問い合わせ手段が受信した前記データを、前記項目情報において前記第１項目及び前記第２項目に関連付けされた前記表示態様情報に従い表示装置に表示するよう制御する表示制御手段
　をさらに備え、
　前記項目情報作成手段は、前記リクエスト、前記第４項目、及び、ある表示態様情報を受信した場合に、前記第１項目、前記第２項目、前記第４項目、及び、受信した前記ある表示態様情報が関連付けされた前記項目情報を作成する
　請求項２乃至請求項５のいずれかに記載の通信情報算出装置。
　請求項１乃至請求項６のいずれかに記載の通信情報算出装置と、分類情報作成装置と、検索装置と
　を備え、
　前記分類情報作成装置は、
　前記通信に関して測定された測定値と、前記測定値を作成した装置を識別可能なリソース識別子とが関連付けされた測定情報に関して、前記測定値を一意に識別可能な測定識別子を作成する識別子作成手段と、
　前記リソース識別子に関する条件と、前記条件を満足している場合に前記測定情報から抽出する項目を表す抽出項目と、前記抽出項目を識別可能な抽出情報識別子とが関連付けされた抽出情報における前記リソース識別子に関する条件を、前記測定情報における前記リソース識別子が満足している場合に、前記リソース識別子に関連付けされた特定の測定値を、前記測定情報から抽出する第１抽出手段と、
　前記特定の測定値から、前記抽出情報における抽出項目を表す値を読み取る読み取り手段と、
　前記特定の測定値を表す測定識別子と、前記抽出情報における前記抽出情報識別子と、前記読み取り手段が読み取った値とが関連付けされた分類情報を作成する分類情報作成手段と
　を含み、
　前記検索装置は、
　前記抽出情報に含まれている第１抽出項目を用いて記述された検索条件と、前記抽出情報に含まれている第２抽出項目とが関連付けされたリクエストに関して、前記抽出情報において、前記第１抽出項目に関連付けされた第１抽出情報識別子、及び、前記第２抽出項目に関連付けされた第２抽出情報識別子を特定し、前記検索条件に含まれている要件と、特定した前記第１抽出情報識別子とが関連付けされた検索情報を作成するリクエスト解析手段と、
　前記分類情報において前記第１抽出情報識別子に関連付けされた前記測定値を特定し、特定した前記測定値が、前記検索情報において、前記第１抽出情報識別子に関連付けされた前記要件を満足している場合には、前記分類情報において前記第１抽出情報識別子に関連付けされた前記測定識別子を特定する第２抽出手段と、
　前記第２抽出手段が特定した前記測定識別子のうち、前記検索条件を満足している測定識別子を求める統合検索手段と、
　前記統合検索手段が求めた前記測定識別子が表す測定値を前記通信情報として出力する出力手段と
　を含み、
　前記問い合わせ手段は、作成した前記命令を前記検索装置に送信する
　通信管理システム。
　通信に関して計測された複数の項目に含まれている第１項目に関する第１条件、及び、前記複数の項目に含まれている第２項目に関する第２条件を満足している情報を抽出するリクエストに応じて、前記複数の項目に含まれている一部の項目が関連付けされた項目情報を参照することによって、前記第１項目及び前記第２項目に関連付けされた第３項目を特定し、
　前記第１項目に関する第１条件、及び、前記第２項目に関する第２条件を満足しているデータを抽出する命令を作成し、作成した前記命令を、前記通信に関して計測された複数の項目の値を管理している情報処理装置に送信し、前記情報処理装置が前記命令に応じて抽出したデータを受信し、
　受信した前記データに基づいて、前記第１項目乃至前記第３項目に関する値を求める
　通信情報算出方法。
　通信に関して計測された複数の項目に含まれている第１項目に関する第１条件、及び、前記複数の項目に含まれている第２項目に関する第２条件を満足している情報を抽出するリクエストに応じて、前記複数の項目に含まれている一部の項目が関連付けされた項目情報を参照することによって、前記第１項目及び前記第２項目に関連付けされた第３項目を特定する項目特定機能と、
　前記第１項目に関する第１条件、及び、前記第２項目に関する第２条件を満足しているデータを抽出する命令を作成し、作成した前記命令を、前記通信に関して計測された複数の項目の値を管理している情報処理装置に送信し、前記情報処理装置が前記命令に応じて抽出したデータを受信する問い合わせ機能と、
　受信した前記データに基づいて、前記第１項目乃至前記第３項目に関する値を求める算出機能と
　をコンピュータに実現させる通信情報算出プログラムが記録された記録媒体。
　前記項目情報を記憶可能な項目情報機能と、
　前記リクエスト、及び、前記複数の項目に含まれている第４項目を受信した場合に、前記リクエストに含まれている前記第１項目、前記第２項目、及び、受信した前記第４項目が関連付けされた前記項目情報を作成し、作成した前記項目情報を前記項目情報手段に格納する項目情報作成機能と
　をさらに備える請求項９に記載の通信情報算出プログラムが記録された記録媒体。