WO2023112141A1 - 解析装置、解析方法、記憶媒体 - Google Patents

Abstract

通信データのみで、通信接続する他の通信装置や、他の通信装置と繋がる通信ネットワークの構成の変化を簡易に検出することができる解析装置を提供する。通信ネットワークに接続された他通信装置との所定時間にわたる通信データに基づいて生成した第一の通信特徴情報と、通信ネットワークに接続された他通信装置との所定時間にわたる新たな通信データに基づいて生成した第二の通信特徴情報とを比較して通信特徴情報の類似の有無を判定する。類似の有無に基づいて通信ネットワークに関する変化の有無を示す判定結果を出力する。

Description

解析装置、解析方法、記憶媒体

　本発明は、解析装置、解析方法、記憶媒体に関する。

　通信接続する他の通信装置や、他の通信装置と繋がる通信ネットワークの構成の変化を、当該通信接続する他の通信装置や、当該通信ネットワークを構成する他の通信装置のＭＡＣアドレスやＩＰアドレスの変化によって検出することができる。しかしながら、ＭＡＣアドレスやＩＰアドレスは、中継装置によって書き換えられてしまう場合がある。ＭＡＣアドレスやＩＰアドレスが書き換えられた場合、通信接続する他の通信装置や、他の通信装置と繋がる通信ネットワークの構成の変化を容易には検出することができない。

　特許文献１にはＩｏＴ（Internet of Things）デバイスの識別の処理負荷が増大するという課題に対して、不明なデバイスの特徴量を定期的に抽出して、デバイスの特徴量の変化パターンと、既知のデバイスの変化パターンを照合することで、不明デバイスを既知デバイスと識別する技術が開示されている。

特許第６９３０６６３号公報

　ここで通信接続する他の通信装置や、他の通信装置と繋がる通信ネットワークの構成の変化を、通信データのみで、検出できる技術が求められている。

　そこでこの発明は、上述の課題を解決する解析装置、解析方法、記録媒体を提供することを目的としている。

　発明の第一の態様によれば、解析装置は、通信ネットワークに接続された他通信装置との所定時間にわたる通信データに基づいて生成した第一の通信特徴情報と、前記通信ネットワークに接続された他通信装置との所定時間にわたる新たな通信データに基づいて生成した第二の通信特徴情報とを比較して前記通信特徴情報の類似の有無を判定する判定手段と、前記類似の有無に基づいて前記通信ネットワークに関する変化の有無を示す判定結果を出力する出力手段と、を備える。

　発明の第二の態様によれば、解析方法は、通信ネットワークに接続された他通信装置との所定時間にわたる通信データに基づいて生成した第一の通信特徴情報と、前記通信ネットワークに接続された他通信装置との所定時間にわたる新たな通信データに基づいて生成した第二の通信特徴情報とを比較して前記通信特徴情報の類似の有無を判定し、前記類似の有無に基づいて前記通信ネットワークに関する変化の有無を示す判定結果を出力する。

　発明の第三の態様によれば、プログラムは、解析装置のコンピュータを、通信ネットワークに接続された他通信装置との所定時間にわたる通信データに基づいて生成した第一の通信特徴情報と、前記通信ネットワークに接続された他通信装置との所定時間にわたる新たな通信データに基づいて生成した第二の通信特徴情報とを比較して前記通信特徴情報の類似の有無を判定する判定手段、前記類似の有無に基づいて前記通信ネットワークに関する変化の有無を示す判定結果を出力する出力手段、として機能させる。

　本発明によれば、通信データのみで、通信接続する他の通信装置や、他の通信装置と繋がる通信ネットワークの構成の変化を簡易に検出することができる。

本実施形態による解析装置を備えた通信装置とその通信装置が接続する通信ネットワークを示す図である。 本実施形態による解析対象の通信装置における応答に関する遅延を説明する図である。 本実施形態による通信特徴情報の例を示す図である。 本実施形態による解析装置の機能ブロック図である。 第一の実施形態による解析装置の処理フローを示す第一の図である。 第一の実施形態によるシグネチャのデータ概要を示す図である。 第一の実施形態による解析装置の処理フローを示す第二の図である。 第一のシグネチャと第二のシグネチャの比較の処理概要を示す第一の図である。 第一のシグネチャと第二のシグネチャの比較の処理概要を示す第二の図である。 第一の実施形態による出力情報の例を示す図である。 第二の実施形態による判定部の処理概要を示す図である。 第三の実施形態による応答時間に相当する情報の特定処理の概要を示す図である。 第四の実施形態による通信ネットワークを示す図である。 第四の実施形態におけるシグネチャの比較の処理概要を示す図である。 第四の実施形態による出力情報に含まれる視覚情報の例を示す図である。 第四の実施形態による出力情報の例を示す図である。 本実施形態による解析装置の最小構成を示す図である。 本実施形態による最小構成による解析装置の処理フローを示す図である。 本実施形態による解析装置を実現可能な計算処理装置のハードウェア構成例を概略的に示すブロック図である。

　以下、本発明の一実施形態による解析装置を備えた通信装置の接続する通信ネットワークを図面を参照して説明する。
　図１は本実施形態による解析装置を備えた通信装置とその通信装置が接続する通信ネットワーク１００を示す図である。図１が示す通信ネットワーク１００は、解析装置１０を備えた通信装置１が中継装置３を介して解析対象となる他の通信装置２１、２２と通信接続している。他の通信装置２１、２２を総称して通信装置２と呼ぶこととする。

　通信装置１は解析装置１０を内部に備える。解析装置１０は、解析対象の通信装置２１との所定時間にわたる通信データに基づいて生成した第一の通信特徴情報を記憶する。解析装置１０は、通信装置２１との所定時間にわたる新たな通信データに基づいて生成した第二の通信特徴情報を記憶する。解析装置１０は、第一の通信特徴情報と第二の通信特徴情報とを比較して、それら通信特徴情報の類似の有無を判定し、類似の有無に基づいて通信ネットワーク１００に関する変化の有無を示す。この場合、通信ネットワーク１００に関する変化とは、通信装置２１が予め通信ネットワーク１００に接続されていた装置と異なるか否かの変化の有無を示す。また解析装置１０は、解析対象の通信装置２２との所定時間にわたる通信データに基づいて生成した第一の通信特徴情報を記憶する。解析装置１０は、通信装置２２との所定時間にわたる新たな通信データに基づいて生成した第二の通信特徴情報を記憶する。解析装置１０は、通信装置２２との間の第一の通信特徴情報と第二の通信特徴情報とを比較して、それら通信特徴情報の類似の有無を判定し、類似の有無に基づいて通信ネットワーク１００に関する変化の有無を示す。この場合、通信ネットワーク１００に関する変化とは、通信装置２２が予め通信ネットワーク１００に接続されていた装置と異なるか否かの変化の有無を示す。

　図２は解析対象の通信装置における応答に関する遅延を説明する図である。
　解析対象の通信装置２においては、通信装置１からの通信データに基づいて応答を返信する。この応答は、通信装置２における割り込み処理等により、時間によって応答するタイミングが異なる。例えば図２に示すように通信装置２においては割り込み処理が発生する。一例として、通信装置２は、通信装置１から通信データＡ、Ｂ、Ｃ、Ｄ、Ｅ、Ｆを、この順番で受信する。通信データＡ、Ｂ、Ｃ、Ｄ、Ｅ、ＦはＰｉｎｇであるとする。通信装置２は通信データに関する処理を、所定の時間単位でまとめて行う。そうすると通信装置２は、通信データＡ、Ｂの応答処理を、処理開始時刻ｔ１まで待機し、その処理開始時刻ｔ１から次の処理開始時刻ｔ２までの時間Ｔ１の間に行う。つまり通信装置２において、通信データＡについての応答処理の処理開始時刻ｔ１までのジッタＴｘ１、通信データＢについての応答処理の処理開始時刻ｔ１までのジッタＴｘ２が発生する。通信装置２は、時間Ｔ１において、通信データＡ、通信データＢの通信装置１に対する応答（Ｐｉｎｇ応答）をそれぞれ受信した順に行う。また通信装置２は、時間Ｔ１の間に通信データＣ、Ｄ、Ｅを受信すると、次の処理開始時刻ｔ２まで、それら通信データＣ、Ｄ、Ｅの応答処理を待機する。通信装置２は、通信データＣ、Ｄ、Ｅの応答処理を、処理開始時刻ｔ２まで待機し、その処理開始時刻ｔ２から次の処理開始時刻ｔ３までの時間Ｔ２の間に行う。つまり通信装置２において、通信データＣについての応答処理の処理開始時刻ｔ２までのジッタＴｘ３、通信データＤについての応答処理の処理開始時刻ｔ２までのジッタＴｘ４、通信データＥについての応答処理の処理開始時刻ｔ２までのジッタＴｘ５が発生する。通信装置２は、時間Ｔ２において、通信データＣ，Ｄ，Ｅの通信装置１に対する応答（Ｐｉｎｇ応答）をそれぞれ受信した順に行う。また通信装置２は、時間Ｔ２の後の時間に通信データＦを受信すると、次の処理開始時刻ｔ４まで、それら通信データＦの応答処理を待機する。通信装置２は、通信データＦの応答処理を、処理開始時刻ｔ４まで待機し、その処理開始時刻ｔ４から次の処理開始時刻までの時間Ｔ３の間に行う。つまり通信装置２において、通信データＦについての応答処理の処理開始時刻ｔ４までのジッタＴｘ６が発生する。通信装置２は、通信データＦの通信装置１に対する応答（Ｐｉｎｇ応答）を時間Ｔ３において行う。上述のジッタＴｘ１～Ｔｘ６のそれぞれは異なる。従って、通信装置１が解析対象の通信装置２に送信したＰｉｎｇに対する応答は、通信装置１から送信したＰｉｎｇに対するジッタの時間が長くなるほど遅れる。これにより、通信装置１において送信したＰｉｎｇ等の通信データの送信時刻からその応答を受信するまでの応答時間にはずれが生じる。なお応答時間は、解析対象の通信装置２における上記ジッタの時間以外の要因でも発生し得る。例えば、解析対象の通信装置２のネットワークインタフェースカードの性能、カーネルの性能、利用するアプリケーションソフトウェアの動作状態などが要因で、通信装置２の応答の信号の送信が遅延する。そして上述の応答時間のずれに基づいて生成した通信特徴情報は、通信装置２ごとに固有の特徴を示す。

　図３は本実施形態による通信特徴情報の例を示す図である。
　本実施形態で生成する通信特徴情報（シグネチャ）は、通信装置１が通信装置２に対して送信したＰｉｎｇの応答時間と、Ｐｉｎｇの１回の送信を送信単位とした場合の累積相対度数との関係を示す。つまり、本実施形態による通信特徴情報は、図３で示すように、通信装置１がＰｉｎｇを送信してから通信装置２からのＰｉｎｇ応答を受信するまでの応答時間ＲＴＴ（Round Trip Time）の累積相対度数分布を示す。図３の例では通信装置１が通信装置２に対してＰｉｎｇを送信した場合の応答時間ＲＴＴは、１７０μ秒～６００μ秒程度までの間に分布するという特徴を示している。応答時間ＲＴＴは通信装置１と通信装置２との距離によっても変動する。

　図４は第一の実施形態による解析装置の機能ブロック図である。
　解析装置１０は、測定部１１、応答時間算出部１２、シグネチャ生成部１３、判定部１４、出力部１５の各機能を発揮する。解析装置１０は、対象一覧記憶部１０１、測定ポリシ記憶部１０２、測定結果記憶部１０３、識別ポリシ記憶部１０４、シグネチャ記憶部１０５の各記憶部を備える。

　測定部１１は、対象一覧記憶部１０１に記録されている解析対象の通信装置２との間の通信データを、測定ポリシ記憶部１０２に記録されている測定ポリシに基づいて測定する。
　応答時間算出部１２は、通信データに基づいて応答時間を算出して測定結果記憶部１０３に記録する。
　シグネチャ生成部１３は、測定結果記憶部１０３に記録されている測定結果を用いて通信装置２に関する通信特徴情報であるシグネチャを生成し、シグネチャ記憶部１０５に記録する。
　判定部１４は、通信装置２との所定時間にわたる通信データに基づいて生成したシグネチャと、通信装置２との所定時間にわたる新たな通信データに基づいて生成したシグネチャを比較した結果と、識別ポリシ記憶部１０４に記録される識別ポリシとを用いて、シグネチャの類似の有無を判定する。
　出力部１５は、通信装置２に関するシグネチャの類似の有無に基づいて通信ネットワーク１００に関する変化の有無を示す判定結果を出力する。本実施形態においては、出力部１５は通信ネットワーク１００を構成せる解析対象の通信装置２の変化の有無を示す判定結果を出力する。

　対象一覧記憶部１０１は、解析対象となる通信装置２のＩＰアドレスなどの一覧を記憶する。一例として対象一覧記憶部１０１には、通信装置２１のＩＰアドレス（ｘ．ｘ．ｘ．ｘ）と通信装置２２のＩＰアドレス（ｙ．ｙ．ｙ．ｙ）が記録される。
　測定ポリシ記憶部１０２は、測定ポリシを記憶する。測定ポリシには応答時間を測定するための手法を特定するための識別子などの情報が記録される。
　測定結果記憶部１０３は、所定時間にわたる通信データによる応答時間と通信装置２のＩＰアドレスなどの識別情報を紐づけた測定結果が記録される。
　識別ポリシ記憶部１０４は、通信装置２について予め生成したシグネチャと、その通信装置２について新たに生成したシグネチャとの比較に基づいて、通信特徴の類似の有無を判定するための手法を特定するための識別子などの情報が記録される。
　シグネチャ記憶部１０５は、通信装置２それぞれについてシグネチャ生成部１３が生成したシグネチャが通信装置２の識別子に紐づけて記録される。

　図５は第一の実施形態による解析装置の処理フローを示す第一の図である。
　まず解析装置１０は対象一覧記憶部１０１に記録される各通信装置２のシグネチャを生成する。具体的には、測定部１１が対象一覧記憶部１０１から解析対象となる通信装置２のＩＰアドレスを取得する（ステップＳ１０１）。例えば測定部１１は通信装置２１のＩＰアドレス＜ｘ．ｘ．ｘ．ｘ＞を取得したとする。測定部１１は通信装置２１のＩＰアドレスに宛てて通信データの一つであるＰｉｎｇを送信する（ステップＳ１０２）。通信装置２１はＰｉｎｇを受信するとＰｉｎｇ応答を、解析装置１０を備えた通信装置１へ送信する。測定部１１はＰｉｎｇ応答を取得する。測定部１１は、Ｐｉｎｇの送信時刻と、Ｐｉｎｇ応答の受信時刻を応答時間算出部１２に出力する。測定部１１は測定開始時刻から測定終了時刻までの所定時間おいて、例えば１秒に１回のＰｉｎｇを送信し続ける。測定開始時刻から測定終了時刻までの所定時間は３時間などであってよい。測定部１１は所定時間において送信したＰｉｎｇの送信時刻と、そのＰｉｎｇ応答の受信時刻を順に応答時間算出部１２に出力する。応答時間算出部１２は、Ｐｉｎｇの送信時刻とそのＰｉｎｇ応答の受信時刻の間隔を示す応答時間を算出し、通信装置２のＩＰアドレス、Ｐｉｎｇの送信時刻、Ｐｉｎｇ応答の受信時刻、応答時間を紐づけて測定結果として記録する（ステップＳ１０３）。これにより測定結果記憶部１０３には所定時間（３時間）分の測定結果が記録される。測定部１１は、対象一覧記憶部１０１に記録される全ての通信装置２のＩＰアドレスを用いて同様にＰｉｎｇの送信時刻と、Ｐｉｎｇ応答の受信時刻を測定し、応答時間算出部１２は、それら全ての通信装置２について測定結果を同様に測定結果記憶部１０３に記録する。

　図６は第一の実施形態によるシグネチャのデータ概要を示す図である。
　シグネチャ生成部１３は、識別ポリシ記憶部１０４から取得した識別ポリシに基づいて、解析対象となる通信装置２ごとの第一のシグネチャを生成する（ステップＳ１０４）。具体的にはシグネチャ生成部１３は、３時間などの所定時間にわたるＰｉｎｇの通信における計測結果に基づいて生成した、所定の間隔で特定したＰｉｎｇの応答時間（例えば１０μ秒）ごとのＰｉｎｇ応答の累積相対度数を示すデータ（図６）である。シグネチャ生成部１３は、通信装置２のＩＰアドレスなどの識別子と、シグネチャとを紐づけてシグネチャ記憶部１０５に記録する。識別ポリシは、例えば累積相対度数分布の生成手法などが定義される。

　図７は第一の実施形態による解析装置の処理フローを示す第二の図である。
　図８は第一の実施形態による第一のシグネチャと第二のシグネチャの比較の処理概要を示す第一の図である。
　解析装置１０は、各通信装置２のシグネチャが生成された後に、解析処理を開始する（ステップＳ２０１）。測定部１１は、解析処理においても上記と同様に所定時間にわたって、各通信装置２のＰｉｎｇの送信時刻と、そのＰｉｎｇ応答の受信時刻を測定する。応答時間算出部１２も同様に、所定時間にわたるＰｉｎｇ送信に関する応答時間を算出して、同様の測定結果を測定結果記憶部１０３に記録する（ステップＳ２０２）。シグネチャ生成部１３は、解析時に同様に各通信装置２１の第二のシグネチャを生成する（ステップＳ２０３）。シグネチャ生成部１３は解析処理において新たに生成した第二のシグネチャを、通信装置２のＩＰアドレスなどの識別子に紐づけてシグネチャ記憶部１０５に記録する（ステップＳ２０４）。

　その後、判定部１４は、通信装置２について予め生成された第一のシグネチャと、解析時に新たに生成された第二のシグネチャとをシグネチャ記憶部１０５から取得する（ステップＳ２０５）。判定部１４は第一のシグネチャにおいて所定の間隔で特定した応答時間（例えば１０μ秒）ごとの累積相対度数と、第二のシグネチャにおいて同じ所定の間隔で特定した応答時間ごとの累積相対度数との差を、当該特定した応答時間ごとに算出し、その差の絶対値の合計を算出する（ステップＳ２０６）。判定部１４は、識別ポリシ記憶部１０４に記録されているシグネチャの類似の有無を判定するための閾値を取得する。判定部１４は特定した応答時間ごとの累積相対度数の差の絶対値の合計が閾値以上か否かを判定する（ステップＳ２０７）。判定部１４は、特定した応答時間ごとの累積相対度数の差の絶対値の合計が閾値以上か否かを示す判定結果を出力部１５に出力する。判定部１４は、対象一覧記憶部１０１に記録されている各通信装置２の判定結果を同様に生成して、出力部１５へ出力する。なお図８のグラフにおいて実線８１が第一のシグネチャに基づく応答時間と累積相対度数との関係、点線８２が第二のシグネチャに基づく応答時間と累積相対度数との関係を示す。

　図９は第一の実施形態による第一のシグネチャと第二のシグネチャの比較の処理概要を示す第二の図である。
　図９で示す例では、図８で示す例と比較して、第一のシグネチャ（図９グラフ中の実線９１）において所定の間隔で特定した応答時間（例えば１０μ秒）ごとの累積相対度数と、第二のシグネチャ（図９グラフ中の点線９２）において同じ所定の間隔で特定した応答時間ごとの累積相対度数との差の絶対値の合計値が大きい。この場合、その合計値が閾値以上となる。判定部１４は、所定の間隔で特定した応答時間（例えば１０μ秒）ごとの累積相対度数の差の絶対値の合計が閾値以上の場合、通信装置２の変化有りと判定する。

　図１０は第一の実施形態による出力情報の例を示す図である。
　出力部１５は判定結果が閾値以上を示す場合には、通信装置２の変化有りを示す情報を少なくとも含む出力情報を所定の装置へ出力する（ステップＳ２０８）。出力部１５は判定結果が閾値未満を示す場合には、通信装置２の変化無しを示す情報を少なくとも含む出力情報を所定の装置へ出力する（ステップＳ２０９）。出力部１５は対象一覧記憶部１０１に記録されている各通信装置２に関する変化有り、または変化無しを示す情報を含む出力情報を生成して出力先の所定の装置へ出力してよい。出力部１５は、新たなシグネチャの生成に利用した測定結果を用いた視覚情報を含む出力情報を生成してよい。視覚情報は、例えば縦軸を測定開始時刻から測定終了時刻までの各時刻、横軸を応答時間とするグラフにおいて、２分などの単位時間における各Ｐｉｎｇの応答時間をドットでプロットし、ドットの色をその応答時間で受信したＰｉｎｇ応答の数で表した情報である。

　上述の処理によれば、解析装置１０は、所定時間にわたる通信データに基づいて生成したシグネチャと呼ぶ通信特徴情報に基づいて、１つまたは複数の通信装置２の特徴の変化を解析する。ある時間帯に通信ネットワーク１００を介して接続された通信装置２の通信特徴情報が、時間が経過することにより変化した場合、他の異なる通信装置２に置き換わっている可能性がある。解析装置１０は、そのような変化を通信データに基づいて解析することができる。

＜第二の実施形態＞
　図１１は第二の実施形態による判定部の処理概要を示す図である。
　上述の処理において解析装置１０は通信ネットワーク１００を介して接続する通信装置２の距離が異なる場合、第一のシグネチャ（図１１中の実線１１１）の作成時の解析対象の通信装置２と、第二のシグネチャ（図１１中の点線１１２）の作成時の解析対象の通信装置２とが同一であっても、シグネチャが異なると判定してしまう。従って解析装置１０は、通信装置２の距離の変化に応じて第一のシグネチャの応答時間をシフト補正して、累積相対度数の立ち上がりの応答時間の位置を合わせ、第二のシグネチャと比較してもよい。または解析装置１０は、通信装置２の距離の変化に応じて第二のシグネチャの応答時間をシフト補正して、累積相対度数の立ち上がりの応答時間の位置を合わせ、第一のシグネチャと比較してもよい。

　一例として、第一のシグネチャの応答時間をシフト補正する場合、測定部１１は、通信装置１と解析対象の通信装置２との間の伝送媒体の通信データの媒体速度Ｖｍを、記憶部等から取得する。なお、通信装置１と通信装置２とを接続する通信ネットワーク１００の伝送媒体は既知である。またその伝送媒体の媒体速度Ｖｍも予め既知である。測定部１１は、媒体速度Ｖｍに（応答時間Ｒ÷２）を乗じて通信装置１と通信装置２との距離を算出する。測定部１１は１回のＰｉｎｇの送信時刻とそのＰｉｎｇ応答の受信時刻の応答時間Ｒに基づいて、複数回距離を算出し、その平均を通信装置１通信装置２の距離と決定してよい。測定部１１は、第一のシグネチャの算出時に算出した距離Ａと、第二のシグネチャの算出時に算出した距離Ｂとを用いて、（距離Ａ－距離Ｂ）÷媒体速度Ｖｍにより、距離の変動に応じた補正時間を算出する。そしてシグネチャ生成部１３は、補正時間を第一のシグネチャの算出時の応答時間に加算または減算することにより、第一の実施形態と同様に算出した第一シグネチャと第二シグネチャとを用いて、それらシグネチャの累積相対度数の立ち上がりの応答時間の位置を合わせるよう、第一のシグネチャの生成時の応答時間を補正する。

　そして判定部１４は、第一のシグネチャと補正後の第二のシグネチャとを用いて、判定部１４は、特定した応答時間ごとの累積相対度数の差の絶対値の合計が閾値以上か否かを示す判定結果を出力部１５に出力する。

　これにより通信装置１と解析対象の通信装置２との距離が変化した場合でも、通信装置１に備わる解析装置１０は、通信ネットワーク１００を介して接続された通信装置２の変化を解析することができる。

＜第三の実施形態＞
　解析装置１０は、解析対象の通信装置２との通信データのログデータに基づいて上記と同様に通信装置２の変化を解析する装置であってよい。例えば過去のＰｉｎｇとＰｉｎｇ応答のデータを記憶することで、上記と同様に通信装置２の変化を解析することができる。一方で、ログデータにおいてＰｉｎｇ応答などの解析対象の通信装置２からの応答が取得できない可能性が有る。この場合、解析装置１０は自装置が解析対象の通信装置２に送信した通信データのみを用いて、応答時間に相当する情報を推定して、その推定した応答時間を用いて、上記の第一の実施形態や第二の実施形態の処理により、通信接続する通信装置２の変化を解析するようにしてもよい。

　図１２は第三の実施形態による応答時間に相当する情報の特定処理の概要を示す図である。通信装置２からの応答時間は、通信装置２の特徴を示す通信データである。しかしながら解析装置１０は、応答時間（ＲＴＴ）以外の通信データを用いて通信装置２の通信特徴を示すシグネチャを生成してもよい。例えば解析装置１０は、通信装置１との通信データにおいてタイムアウトの発生により再送したタイムアウト送信の通信データを用いて、シグネチャを生成してもよい。

　具体的には、通信装置１は、通信データを送信し、その通信データにパケットロスが発生してタイムアウトが送信した際に、最初の通信データの送信時刻から通信データを再送した時の再送時刻の間隔が、解析対象の通信装置２の特徴情報となり得る。図１２に示すように1つ目のパターン（パターン１）では、時刻ｔ１に通信装置αから通信装置βに対して通信データｄ１を送信し時刻ｔ２に通信装置βが受信したが、その後、通信装置αは通信データｄ１に対する応答信号ｒ１を受信できないことを時刻ｔ３に検知し、時刻ｔ４まで待機した後にタイムアウトにより通信装置αが時刻ｔ４に通信データｄ２を通信装置βへ送信し、時刻ｔ５に通信装置βがタイムアウト送信の通信データを受信した場合の通信データのパターンを示す。この場合、解析装置１０は、通信装置βのログとして記録されている通信データｄ２の受信時刻（ｔ５）から通信データｄ１の受信時刻（ｔ２）の時間から、通信装置αにおけるタイムアウト送信までの待機時間（ｔ４－ｔ２）を減じた時間を、通信装置βと通信装置αにおける通信データの通信特徴情報として上述の応答時間ＲＴＴに代えてシグネチャの生成に用いる。

　または２つ目のパターン（パターン２）で示すように、通信装置αは、時刻ｔ１１、時刻ｔ１２、時刻ｔ１３、時刻ｔ１４において、連続するパケットなどを含む通信データ（通信データ（ア）、（イ）、（ウ）、（エ））を順に送信したとする。通信装置βにおいて通信データ（ア）、（イ）、（ウ）、（エ）を順に受信することを想定している状況において通信データ（イ）の受信の前に時刻ｔ１５に通信データ（ウ）を受信した場合、通信装置βは通信データ（イ）に関する再送要求を３回行う。再送要求３回の最後の再送要求の通信βにおける送信時刻を時刻ｔ１６とする。その結果、通信装置αが通信データ（イ）を再送する。通信装置βは通信データ（イ）を時刻ｔ１７に受信したとする。この場合、解析装置１０は、通信装置βにおける通信データ（ウ）の受信時刻ｔ１５から再送された通信データ（イ）の受信時刻ｔ１７までの時間から、通信データ（ウ）の受信時刻ｔ１５から再送要求の最終時刻ｔ１６までの時間を減じた時間を、通信装置βと通信装置αにおける通信データの通信特徴情報として上述の応答時間ＲＴＴに代えてシグネチャの生成に用いる。

　または３つ目のパターン（パターン３）で示すように、通信装置αは、時刻ｔ１１、時刻ｔ１２、時刻ｔ１３、時刻ｔ１４において、連続するパケットなどを含む通信データ（通信データ（ア）、（イ）、（ウ）、（エ）、）を順に送信したとする。通信装置βにおいて通信データ（ア）、（イ）、（ウ）、（エ）、を順に受信することを想定している状況において通信データ（イ）の受信の前に時刻ｔ１５に通信データ（ウ）を受信した場合、通信装置βは通信データ（イ）に関する再送要求をSYN ACKの送信に含めて行う。通信装置αは通信データ（イ）の再送要求に基づいて時刻ｔ１６に通信データ（イ）を再送し、通信装置βにおいて時刻ｔ１７に通信データ（イ）を受信する。この場合、解析装置１０は、通信装置βにおける通信データ（ウ）の受信時刻ｔ１５から再送された通信データ（イ）の受信時刻ｔ１７までの時間を、通信装置βと通信装置αにおける通信データの通信特徴情報として上述の応答時間ＲＴＴに代えてシグネチャの生成に用いる。

　上述のパターン１～パターン３の通信データの通信形態においてタイムアウトによる再送の通信における受信時刻を用いた時間は、応答時間ＲＴＴと同様に、２つの通信装置間の通信に関する特徴を示しているため、応答時間ＲＴＴの代わりにシグネチャの生成に用いることができる。

＜第四の実施形態＞
　図１３は第四の実施形態による解析装置を備えた通信装置とその通信装置が接続する通信ネットワーク１００を示す図である。図１３が示す通信ネットワーク１００は、解析装置１０を備えた通信装置１が二つの中継装置３１、中継装置３２を介して解析対象となる他の通信装置２と通信接続している。図１３が示すように、解析装置１０を備えた通信装置１が中継装置３１と通信接続して、中継装置３１、中継装置３２を介して通信装置２と通信接続している際に解析装置１０は、第一のシグネチャを生成する。また解析装置１０を備えた通信装置１は、図１３における通信ネットワーク１００の接続位置を変更して、通信装置２と中継装置３２を直接繋ぐ通信ネットワーク１００に接続した際に、第二のシグネチャを生成して、通信ネットワーク１００に関する変化の有無を示す判定結果を出力する。

　図１４は、第四の実施形態におけるシグネチャの比較の処理概要を示す図である。
　解析装置１０の判定部１４は、図１３に示すように、通信ネットワーク１００への接続変更の前に生成した第一のシグネチャと、接続変更の後に生成した第二のシグネチャとを比較する。つまり、判定部１４は、通信装置２について予め生成された第一のシグネチャと、解析時に新たに生成された第二のシグネチャとをシグネチャ記憶部１０５から取得する。判定部１４は第一のシグネチャにおいて所定の間隔で特定した応答時間（例えば１０μ秒）ごとの累積相対度数（図１４グラフ中の実線１４１）と、第二のシグネチャにおいて同じ所定の間隔で特定した応答時間ごとの累積相対度数（図１４グラフ中の点線１４２）との差を、当該特定した応答時間ごとに算出し、その差の絶対値の合計を算出する（図１４）。判定部１４は、識別ポリシ記憶部１０４に記録されているシグネチャの類似の有無を判定するための閾値を取得する。判定部１４は特定した応答時間ごとの累積相対度数の差の絶対値の合計が閾値以上か否かを判定する。判定部１４は、特定した応答時間ごとの累積相対度数の差の絶対値の合計が閾値以上か否かを示す判定結果を出力部１５に出力する。判定部１４は、通信ネットワーク１００を構成する装置のうち、対象一覧記憶部１０１に記録されている各通信装置２の判定結果を同様に生成して、出力部１５へ出力する。

　このような処理により、解析装置１０は、通信装置１の通信ネットワーク１００への接続位置が変更された場合や、通信ネットワーク１００を構成する他の通信装置２が変わった場合に、その変更の有無を判定することができる。なお、解析装置１０の判定部１４は、他通信装置に複数回の送信を行った通信データに関する時間とその累積相対度数との関係を示す第一のシグネチャと第二のシグネチャそれぞれのグラフの形状認識に基づいて、それらシグネチャの類似の有無を判定するようにしてもよい。

　図１５は第四の実施形態による出力情報に含まれる視覚情報の例を示す図である。
　通信装置１が通信接続する通信ネットワーク１００に複数の中継装置３が存在する場合、相手側の通信装置２との通信においてパケット単位で中継される中継装置３が異なる場合がある。これは各中継装置３におけるロードバランサ機能等により、通信ネットワーク１００において振り分けられる先の中継装置３が異なる等の理由が考えられる。この場合、図１０に示す視覚情報は、図１５に示すように、縞模様を構成する。通信装置１から通信装置２へＰｉｎｇを送信した場合の通信経路が異なると、その応答時間も変化するため、通信装置１の解析装置１０で出力した視覚情報は、図１５のような縞模様を構成することが推測される。この縞模様があるタイミングで変化する。これは中継装置３がロードバランサ機能などにより経路変更のアルゴリズムを変化させたことが想定される。解析装置１０はこのような視覚情報の変化を検出して、通信ネットワーク１００に関する変化の有無を判定するようにしてもよい。

　図１６は第四の実施形態による出力情報の例を示す図である。
　図１０で示した出力情報と同様に、第四の実施形態においても、出力部１５は通信ネットワーク１００を構成するある通信装置２の判定結果である応答時間ごとの累積相対度数の差の絶対値の合計が閾値以上を示す場合には、その通信装置２の変化有りを示す情報を少なくとも含む出力情報を所定の装置へ出力する。出力部１５は判定結果が閾値未満を示す場合には、通信装置２の変化無しを示す情報を少なくとも含む出力情報を所定の装置へ出力する。出力部１５は対象一覧記憶部１０１に記録されている各通信装置２に関する変化有り、または変化無しを示す情報を含む出力情報を生成して出力先の所定の装置へ出力してよい。出力部１５は、新たなシグネチャの生成に利用した測定結果を用いた視覚情報を含む出力情報（図１６）を生成してよい。また第四の実施形態において、解析装置１０の出力部１５は、視覚情報の変化に基づいて通信ネットワーク１００全体として変化が有った否かを示す情報を加えた出力情報を生成してもよい（図１６）。

　上述の処理によれば、解析装置１０は、所定時間にわたる通信データに基づいて生成したシグネチャと呼ぶ通信特徴情報に基づいて、通信ネットワーク１００の特徴（ネットワーク構成）の変化を解析することができる。ある時間帯に通信ネットワーク１００を介して接続された通信ネットワーク１００を構成する何れか通信装置２の通信特徴情報が、時間が経過することにより変化した場合、通信ネットワーク１００を構成する当該変化を示す通信装置２が他の装置へと置き換わっている可能性がある。解析装置１０は、そのような変化を通信データに基づいて解析することができる。

　図１７は解析装置の最小構成を示す図である。
　図１８は最小構成による解析装置の処理フローを示す図である。
　解析装置１０は、少なくとも、判定手段１７１と、出力手段１７２を備える。
　判定手段１７１は、通信ネットワーク１００に接続された他通信装置との所定時間にわたる通信データに基づいて生成した第一の通信特徴情報と、通信ネットワーク１００に接続された他通信装置との所定時間にわたる新たな通信データに基づいて生成した第二の通信特徴情報とを比較して通信特徴情報の類似の有無を判定する（ステップＳ７０１）。
　出力手段１７２は、類似の有無に基づいて通信ネットワーク１００に関する変化の有無を示す判定結果を出力する（ステップＳ７０２）。

（ハードウェア構成）
　図１９は、本発明の各実施形態に係る解析装置１０を実現可能な計算処理装置８０のハードウェア構成例を概略的に示すブロック図である。
　解析装置１０を、１つの計算処理装置（情報処理装置、コンピュータ）を用いて実現するハードウェア資源の構成例について説明する。但し、係る解析装置１０は、物理的または機能的に少なくとも２つの計算処理装置を用いて実現されてもよい。また、係る解析装置１０は、専用の装置として実現されてもよい。

　計算処理装置８０は、中央処理演算装置（Ｃｅｎｔｒａｌ＿Ｐｒｏｃｅｓｓｉｎｇ＿Ｕｎｉｔ、以降「ＣＰＵ」と表す）８１、揮発性記憶装置８２、ディスク８３、不揮発性記録媒体８４、及び、通信インタフェース（以降、「通信ＩＦ」と表す）８７を有する。計算処理装置８０は、入力装置８５、出力装置８６に接続可能であってもよい。計算処理装置８０は、通信ＩＦ８７を介して、他の計算処理装置、及び、他の通信装置と情報を送受信することができる。

　不揮発性記録媒体８４は、コンピュータが読み取り可能な、たとえば、コンパクトディスク（Ｃｏｍｐａｃｔ＿Ｄｉｓｃ）、デジタルバーサタイルディスク（Ｄｉｇｉｔａｌ＿Ｖｅｒｓａｔｉｌｅ＿Ｄｉｓｃ）である。また、不揮発性記録媒体８４は、ユニバーサルシリアルバスメモリ（ＵＳＢメモリ）、ソリッドステートドライブ（Ｓｏｌｉｄ＿Ｓｔａｔｅ＿Ｄｒｉｖｅ）等であってもよい。不揮発性記録媒体８４は、電力を供給しなくても係るプログラムを保持し、持ち運びを可能にする。不揮発性記録媒体８４は、上述した媒体に限定されない。また、不揮発性記録媒体８４の代わりに、通信ＩＦ８７、及び、通信ネットワーク１００を介して係るプログラムを持ち運びしてもよい。
　揮発性記憶装置８２は、コンピュータが読み取り可能であって、一時的にデータを記憶することができる。揮発性記憶装置８２は、ＤＲＡＭ（ｄｙｎａｍｉｃ　ｒａｎｄｏｍ　Ａｃｃｅｓｓ　ｍｅｍｏｒｙ）、ＳＲＡＭ（ｓｔａｔｉｃ　ｒａｎｄｏｍ　Ａｃｃｅｓｓ　ｍｅｍｏｒｙ）等のメモリ等である。

　すなわち、ＣＰＵ８１は、ディスク８３に格納されているソフトウェア・プログラム（コンピュータ・プログラム：以下、単に「プログラム」と称する）を、実行する際に揮発性記憶装置８２にコピーし、演算処理を実行する。ＣＰＵ８１は、プログラム実行に必要なデータを揮発性記憶装置８２から読み取る。表示が必要な場合に、ＣＰＵ８１は、出力装置８６に出力結果を表示する。外部からプログラムを入力する場合に、ＣＰＵ８１は、入力装置８５からプログラムを読み取る。ＣＰＵ８１は、図２（または図３）に示す各部が表す機能（処理）に対応するところの揮発性記憶装置８２にある解析プログラム（図４、または、図５）を解釈し実行する。ＣＰＵ８１は、上述した本発明の各実施形態において説明した処理を実行する。すなわち、このような場合に、本発明の各実施形態は、係る解析プログラムによっても成し得ると捉えることができる。さらに、係る解析プログラムが記録されたコンピュータが読み取り可能な不揮発性の記録媒体によっても、本発明の各実施形態は成し得ると捉えることができる。

　以上、上述した実施形態を模範的な例として本発明を説明した。しかし、本発明は、上述した実施形態には限定されない。すなわち、本発明は、本発明のスコープ内において、当業者が理解し得る様々な態様を適用することができる。

１００・・・通信ネットワーク
１，２，２１，２２・・・通信装置
３，３１，３２・・・中継装置
４・・・開閉器
１１・・・測定部
１２・・・応答時間算出部
１３・・・シグネチャ生成部
１４・・・判定部（判定手段１７１）
１５・・・出力部（出力手段１７２）
１０１・・・対象一覧記憶部
１０２・・・測定ポリシ記憶部
１０３・・・測定結果記憶部
１０４・・・識別ポリシ記憶部
１０５・・・シグネチャ記憶部

Claims (10)

1. 　通信ネットワークに接続された他通信装置との所定時間にわたる通信データに基づいて生成した第一の通信特徴情報と、前記通信ネットワークに接続された他通信装置との所定時間にわたる新たな通信データに基づいて生成した第二の通信特徴情報とを比較して前記通信特徴情報の類似の有無を判定する判定手段と、
   　前記類似の有無に基づいて前記通信ネットワークに関する変化の有無を示す判定結果を出力する出力手段と、
   　を備える解析装置。
2. 　前記判定手段は、前記他通信装置へ前記通信データを送信してからその通信データに対する応答を受信するまでの時間に関する特徴を示す前記通信特徴情報を比較して前記類似の有無を判定する
   　請求項１に記載の解析装置。
3. 　前記判定手段は、前記他通信装置へ前記通信データを送信してからその情報に関する再送の通信データを送信するまでの時間に関する特徴を示す前記通信特徴情報を比較して前記類似の有無を判定する
   　請求項１に記載の解析装置。
4. 　前記判定手段は、前記他通信装置に複数回の送信を行った前記通信データに関する前記時間とその累積相対度数との関係により前記特徴を示す前記通信特徴情報を比較して前記類似の有無を判定する
   　請求項２または請求項３に記載の解析装置。
5. 　前記判定手段は、前記第一の通信特徴情報と前記第二の通信特徴情報のそれぞれが示す前記累積相対度数に応じた時間の差の合計が閾値以上か否かに基づいて、前記通信特徴情報の類似の有無を判定する
   　請求項４に記載の解析装置。
6. 　前記判定手段は、前記他通信装置に複数回の送信を行った前記通信データに関する前記時間とその累積相対度数との関係を示す前記第一の通信特徴情報と前記第二の通信特徴情報それぞれのグラフの形状認識に基づいて前記類似の有無を判定する
   　請求項２から請求項４の何れか一項に記載の解析装置。
7. 　前記出力手段は、前記類似の有無に基づいて前記通信ネットワークを介して接続する前記他通信装置に関する変化の有無を示す判定結果を出力する
   　請求項１から請求項６の何れか一項に記載の解析装置。
8. 　前記出力手段は、前記類似の有無に基づいて前記通信ネットワークのネットワーク構成に関する変化の有無を示す判定結果を出力する
   　請求項１から請求項６の何れか一項に記載の解析装置。
9. 　通信ネットワークに接続された他通信装置との所定時間にわたる通信データに基づいて生成した第一の通信特徴情報と、前記通信ネットワークに接続された他通信装置との所定時間にわたる新たな通信データに基づいて生成した第二の通信特徴情報とを比較して前記通信特徴情報の類似の有無を判定し、
   　前記類似の有無に基づいて前記通信ネットワークに関する変化の有無を示す判定結果を出力する
   　解析方法。
10. 　解析装置のコンピュータを、
    　通信ネットワークに接続された他通信装置との所定時間にわたる通信データに基づいて生成した第一の通信特徴情報と、前記通信ネットワークに接続された他通信装置との所定時間にわたる新たな通信データに基づいて生成した第二の通信特徴情報とを比較して前記通信特徴情報の類似の有無を判定する判定手段、
    　前記類似の有無に基づいて前記通信ネットワークに関する変化の有無を示す判定結果を出力する出力手段、
    　として機能させるプログラムを記憶する記憶媒体。

Images