WO2023112173A1

WO2023112173A1 - トラフィック監視装置、トラフィック監視方法、及びプログラム

Info

Publication number: WO2023112173A1
Application number: PCT/JP2021/046133
Authority: WO
Inventors: 悠介関原; 周平吉田; 寛之鵜澤; 晶子大輝; 奈美子池田; 彩希八田
Original assignee: 日本電信電話株式会社
Priority date: 2021-12-14
Filing date: 2021-12-14
Publication date: 2023-06-22

Abstract

トラフィック監視装置（１０）は、受信部（１１）が順次受信した複数のパケットに基づいて、トラフィック流量又はその増加量が第１基準より大きくなったフローをバーストフローとして検出するバーストフロー検出部（１５）を備える。トラフィック監視装置は、パケットサンプリング部（１６Ａ）によりサンプリングされたパケットに基づいて当該パケットのそれぞれが属するフローのサンプリング前の平均的なトラフィック流量を推定し、推定した平均的なトラフィック流量が第２基準よりも多いフローを多流量フローとして検出する多流量フロー検出部（１６Ｂ）と、を備える。トラフィック監視装置（１０）は、バーストフローとして検出されたフローを監視対象に追加し、かつ、多流量フローとして検出されたフローを監視対象に追加する監視対象制御部（１７）を備える。監視対象のフローの取捨選択が適切に行われる。

Description

トラフィック監視装置、トラフィック監視方法、及びプログラム

　本発明は、トラフィック監視装置、トラフィック監視方法、及びプログラムに関する。

　通信ネットワークの通信状況、特に、通信ネットワークを流れる宛先及び又は送信元などが共通するパケットの集合であるフローのトラフィック異常を把握するため、通信ネットワークを流れる全パケットを取得して全フローのトラフィックを監視することが一般的に行われている（例えば、非特許文献１）。ここで、通信ネットワークの仮想化により複数の通信ネットワークが単一の物理構成上で構成されるようになったことなどを要因として、通信ネットワーク上には多量のフローが存在する。

Michal Kekely, Jan Korenek, "Mapping of P4 Match Action Tables to FPGA," 2017 27th International Conference on Field Programmable Logic and Applications (FPL)

　通信ネットワーク上に多量のフローが存在する場合、全てのフローを監視するのは現実的ではなく、一部のフローのみを監視対象とした方がよい。

　本発明は、監視対象のフローの取捨選択を適切に行うことを課題とする。

　上記課題を解決するために、本発明に係るトラフィック監視装置は、通信ネットワークのトラフィックをフローごとに監視するトラフィック監視装置であって、前記通信ネットワークを流れる複数のパケットを順次受信する受信部と、前記受信部が順次受信した前記複数のパケットのそれぞれについて、監視対象のフローに属するか否かを順次識別するパケット識別部と、前記パケット識別部により前記監視対象のフローに属すると識別されたパケットについて集計を行う集計部と、前記集計部による集計の結果を出力する出力部と、前記受信部が順次受信した前記複数のパケットに基づいて、トラフィック流量又はその増加量が第１基準より大きくなったフローをバーストフローとして検出するバーストフロー検出部と、前記受信部が順次受信した前記複数のパケットのうち一部のパケットをサンプリングするパケットサンプリング部と、前記パケットサンプリング部によりサンプリングされた前記一部のパケットに基づいて当該一部のパケットのそれぞれが属するフローのサンプリング前の平均的なトラフィック流量を推定し、推定した前記平均的なトラフィック流量が第２基準よりも多いフローを多流量フローとして検出する多流量フロー検出部と、前記バーストフローとして検出された前記フローを前記監視対象に追加し、かつ、前記多流量フローとして検出された前記フローを前記監視対象に追加する監視対象制御部と、を備える。

　また、本発明に係るトラフィック監視方法は、通信ネットワークのトラフィックをフローごとに監視するトラフィック監視方法であって、受信部が順次受信した前記通信ネットワークを流れる複数のパケットのそれぞれについて、監視対象のフローに属するか否かを順次識別するパケット識別ステップと、前記パケット識別ステップにより前記監視対象のフローに属すると識別されたパケットについて集計を行う集計ステップと、前記受信部が順次受信した前記複数のパケットに基づいて、トラフィック流量又はその増加量が第１基準より大きくなったフローをバーストフローとして検出するバーストフロー検出ステップと、前記受信部が順次受信した前記複数のパケットのうち一部のパケットをサンプリングするパケットサンプリングステップと、前記パケットサンプリングステップによりサンプリングされた前記一部のパケットに基づいて当該一部のパケットのそれぞれが属するフローのサンプリング前の平均的なトラフィック流量を推定し、推定した前記平均的なトラフィック流量が第２基準よりも多いフローを多流量フローとして検出する多流量フロー検出ステップと、前記バーストフローとして検出された前記フローを前記監視対象に追加し、かつ、前記多流量フローとして検出された前記フローを前記監視対象に追加する監視対象制御ステップと、を備える。

　また、本発明に係るプログラムは、通信ネットワークのトラフィックをフローごとに監視するコンピュータに、受信部が順次受信した前記通信ネットワークを流れる複数のパケットのそれぞれについて、監視対象のフローに属するか否かを順次識別するパケット識別ステップと、前記パケット識別ステップにより前記監視対象のフローに属すると識別されたパケットについて集計を行う集計ステップと、前記受信部が順次受信した前記複数のパケットに基づいて、トラフィック流量又はその増加量が第１基準より大きくなったフローをバーストフローとして検出するバーストフロー検出ステップと、前記受信部が順次受信した前記複数のパケットのうち一部のパケットをサンプリングするパケットサンプリングステップと、前記パケットサンプリングステップによりサンプリングされた前記一部のパケットに基づいて当該一部のパケットのそれぞれが属するフローのサンプリング前の平均的なトラフィック流量を推定し、推定した前記平均的なトラフィック流量が第２基準よりも多いフローを多流量フローとして検出する多流量フロー検出ステップと、前記バーストフローとして検出された前記フローを前記監視対象に追加し、かつ、前記多流量フローとして検出された前記フローを前記監視対象に追加する監視対象制御ステップと、を実行させる。

　本発明によれば、監視対象のフローの取捨選択が適切に行われる。

図１は、本発明の一実施形態のトラフィック監視装置の構成図である。図２は、パケットのデータ構造の一例を示す図である。図３は、ルールテーブルの構成例を示す図である。図４は、マイクロバーストが発生したときのトラフィック流量の変化を示すグラフである。図５は、高流量フローのトラフィック流量の変化を示すグラフである。図６は、第１ルール制御処理のフローチャートである。図７は、第２ルール制御処理のフローチャートである。図８は、図１のトラフィック監視装置をコンピュータにより構成したときの構成図である。

　以下、本発明の実施の形態について図面を参照して説明する。

　本実施の形態に係るトラフィック監視装置１０は、図１に示すように、受信部１１と、パケット識別部１２と、集計部１３と、出力部１４と、を備える。トラフィック監視装置１０は、さらに、バーストフロー検出部１５と、パケットサンプリング部１６Ａと、多流量フロー検出部１６Ｂと、監視対象制御部１７と、記憶部１９と、を備える。このような構成のトラフィック監視装置１０は、通信ネットワークＮＷのトラフィックをフローごとに監視するように構成されている。

　上記各部１１～１７の少なくとも一部は、例えば、ＦＰＧＡ（Field-Programmable Gate Array）、ＡＳＩＣ（Application Specific Integrated Circuit）などに書き込まれた論理回路から構成される。各部１１～１７の少なくとも一部は、プログラムを実行するＣＰＵ（Central Processing Unit）などのプロセッサにより構成されてもよい。記憶部１９は、フラッシュメモリ、ＳＳＤ（Solid State Drive）などの適宜の不揮発性の記憶装置からなる。記憶部１９は、ＦＰＧＡ（Field-Programmable Gate Array）、ＡＳＩＣ（Application Specific Integrated Circuit）などの少なくとも一部のメモリにより構成されてもよい。各部１１～１７は、処理中のデータなどを一時的に保持するメモリを含んで構成されてもよい。

　受信部１１は、通信ネットワークＮＷで送受信されている複数のパケット（より具体的にはミラーリングパケット）を１つずつ順次受信する。パケットは、図２に示すように、データ（ペイロードともいう）と、データの前に配置されたヘッダと、で構成されている。ヘッダを構成する各データは、あるビット数ごとに意味づけられている。この意味づけられたビット区切りのデータを、ヘッダフィールド値といい、ヘッダフィールド値が一致するパケットの一群をフローという。従って、ヘッダフィールド値はフローを特定する情報でもある。なお、ヘッダフィールド値は、Ｌ３ヘッダの送信元及び宛先を示す各ＩＰ（Internet Protocol）アドレスなどを含んでもよい。フローは、例えば、宛先、送信元、及び、通信プロトコルのうちの少なくとも１つを示すヘッダフィールド値が共通するパケットの集合であればよい。

　図１に戻り、受信部１１が受信したパケットは、１つ１つ、当該受信部１１から見て互いに並列に配置されているパケット識別部１２、バーストフロー検出部１５、パケットサンプリング部１６Ａのそれぞれに入力される。

　パケット識別部１２は、受信部１１が順次受信した複数のパケットのそれぞれについて、監視対象のフローに属するか否かを識別する。監視対象のフローは、後述のように、バーストフロー又は多流量フローとして検出され、監視対象に追加されたフローである。

　例えば、パケット識別部１２は、処理対象のパケットからヘッダフィールド値を抽出する。さらに、パケット識別部１２は、記憶部１９が記憶するルールテーブル１９Ａを参照する。ルールテーブル１９Ａには、監視対象のフローに属するパケットを指定するルールが登録されている。図３に示すように、ルールは、監視対象のフローごとに登録され、１つのルールは、そのフローのヘッダフィールド値と、当該ヘッダフィールド値に対応付けられたフローＩＤと、そのフローが監視対象となった監視原因（バーストフロー又は多流量フロー）と、を含む。フローＩＤは、ルールを識別するルールＩＤからなってもよい。

　パケット識別部１２は、ルールテーブル１９Ａから、前記で抽出したヘッダフィールド値を検索する。検索がヒットした場合、今回の処理対象のパケットが監視対象のフローに属していると識別される。この場合、パケット識別部１２は、検索に使用したヘッダフィールド値に対応するフローＩＤ及び監視原因をルールテーブル１９Ａから取得する。パケット識別部１２は、さらに、今回の処理対象のパケットのデータ量を計測する。ここでは、データ量として、バイト数がカウントされる。その後、パケット識別部１２は、取得したフローＩＤ及び監視原因と、計測したデータ量とを集計部１３に出力する。検索がヒットしなかった場合、今回の処理対象のパケットが属するフローは監視対象となっていない。この場合、パケット識別部１２は、フローＩＤ、監視原因、及びデータ量を集計部１３に出力しない。

　以上のようにして、パケット識別部１２は、受信部１１が順次受信した複数のパケットのそれぞれを、ルールテーブル１９Ａに登録されている、監視対象のフローに属するパケットを指定するルールと比較する。パケット識別部１２は、前記複数のパケットのうち前記ルールと一致するパケットを監視対象のフローに属するパケットと識別する。

　集計部１３は、パケット識別部１２により監視対象のフローに属すると識別されたパケットについて集計を行う。ここでは、集計部１３は、パケット識別部１２からのフローＩＤの受信回数を、フローＩＤごとつまりフローごとにカウントする。カウントされる受信回数は、受信部１１が受信したパケットの数つまりパケット数ともいえる。集計部１３は、データ量を、フローＩＤごとつまりフローごとに積算する。集計部１３は、一定期間ごとに、監視対象のフローそれぞれについて、当該一定期間にカウント又は積算したパケット数及びデータ量と、フローＩＤ及び監視原因とを集計結果として出力部１４に出力する。集計結果は、パケット数とバイト数とのいずれかであってもよい。集計結果は、監視対象制御部１７にも出力される。

　出力部１４は、集計部１３からの集計結果を出力する。出力部１４は、フローＩＤ（又はフローＩＤから特定されるフロー又はルールの名称など）と、フローごとの上記パケット数及び積算データ量と、のうちの少なくとも後者を集計結果として出力してもよい。出力部１４は、例えば、トラフィック監視装置１０が備える又はトラフィック監視装置１０の外部の表示装置などに集計結果を表示する。出力部１４は、例えば、集計結果を、トラフィック監視装置１０の内部又は外部に設けられた処理部に出力し、当該処理部は、集計の結果に基づいて、フローごとにトラフィック異常の有無を判定してもよい。処理部は、トラフィック異常があると判定したフローを前記表示装置に表示する処理、及び又は、当該フローでの通信を遮断するための処理を実行してもよい。

　バーストフロー検出部１５は、受信部１１が順次受信した複数のパケットに基づいて、トラフィック流量又はその増加量が第１基準より大きくなったフローをバーストフローとして検出する。バーストフロー検出部１５により検出されるバーストフローを図４に示す。バーストフローは、トラフィック量が急増する。バーストフローは、通信ネットワークＮＷの挙動に対して突発的に大きな影響を与える。

　図１に戻り、バーストフロー検出部１５は、例えば、フローごと（ヘッダフィールド値ごと）に、一定期間Ｐごとのパケット数及びパケットの合計データ量をトラフィック流量として監視する。バーストフロー検出部１５は、直近の期間Ｐのパケット数又は合計データ量が所定の閾値を超えたかを判別する。前記パケット数又は合計データ量が所定の閾値を超えた場合、そのフローでのトラフィック流量が増加し始めていることになり（図４の期間Ｔなど）、そのフローがバーストフローとして検出される。監視対象のトラフィック流量は、パケット数及び合計データ量のうちのいずれか一方のみであってもよい。バーストフローの検出方法は、国際公開ＷＯ／２０２１／０１４５５２号公報に記載のバーストトラフィックの発生の検知の方法により行われてもよい。この公報のバーストトラフィックの検知が、バーストフローの検出に相当する。バーストフロー検出部１５は、単位時間当たりのパケット数又は合計データ量をトラフィック流量としたときのトラフィック流量の時間変化を監視し、トラフィック流量の増加量が所定の閾値を超えたフローをバーストフローとして検出してもよい。バーストフロー検出部１５は、検出したバーストフローが属するパケットのフィールド値を監視対象制御部１７に供給する。

　パケットサンプリング部１６Ａは、受信部１１が順次受信した複数のパケットのうち一部のパケットをサンプリングする。これにより、受信部１１が順次受信した全てのパケットから、一部のパケットが無作為に抽出される。パケットサンプリング部１６Ａは、サンプリングにより得た前記一部のパケットのみを後段の多流量フロー検出部１６Ｂに順次供給する。

　多流量フロー検出部１６Ｂは、パケットサンプリング部１６Ａによりサンプリングされた一部のパケットに基づいて、当該一部のパケットのそれぞれが属するフローのサンプリング前の平均的なトラフィック流量を推定する。多流量フロー検出部１６Ｂは、推定した平均的なトラフィック流量が第２基準よりも多いフローを多流量フローとして検出する。第２基準は、フロー毎に異なってもよい。多流量フロー検出部１６Ｂで検出される多流量フローを図５に示す。多流量フローは、トラフィック流量が長期間にわたって多くなっている。多流量フローは、通信ネットワークＮＷの挙動に対して長期的な影響を与える。

　多流量フロー検出部１６Ｂは、例えば、パケットサンプリング部１６Ａからサンプリングされたパケットをフローごと（ヘッダフィールド値ごと）に保持する。多流量フロー検出部１６Ｂは、新たなパケットを保持したときに、この新たなパケットと、このパケットと同じフロー（ヘッダフィールド値）の保持中のパケットとに基づいて、サンプリング前、つまり、サンプリングをしなかったとしたときの元の全パケットによるフローの平均的なトラフィック流量を推定する。この平均的なトラフィック流量は、例えば、前記の新たなパケットの保持タイミングを含む所定期間における単位時間当たりのパケット数又は合計データ量（トラフィック量）の平均値又は代表値などである。推定方法は、サンプリング定理などを用いた任意の方法により行われる。推定方法は、機械学習などで学習した方法などであってもよい。多流量フロー検出部１６Ｂは、推定した平均的なトラフィック流量が所定の閾値を超えているかを判別する。平均的なトラフィック流量が所定の閾値を超えていると判別されたとき、前記の新たなパケットが属するフローが、トラフィック流量の多い多流量フローとして検出される。このとき、多流量フロー検出部１６Ｂは、前記の新たなパケットのヘッダフィールド値を監視対象制御部１７に供給する。サンプリングを行ってから元のフローのトラフィック流量を推定することにより、マイクロバーストなどによるトラフィック流量の急減の影響が低減され、高精度に多流量フローが検出される。

　監視対象制御部１７は、バーストフロー検出部１５によりバーストフローとして検出されたフローを、監視対象に追加する。さらに、監視対象制御部１７は、多流量フロー検出部１６Ｂにより多流量フローとして検出されたフローを、監視対象に追加する。この追加は、ここでは、各フローに属するパケットを指定するルール、つまり、フローＩＤとヘッダフィールド値との組み合わせがルールテーブル１９Ａに追加登録されることにより行われる。

　監視対象制御部１７は、例えば図６に示す第１ルール制御処理を実行することで上記フローの監視対象への追加を行う。監視対象制御部１７は、第１ルール制御処理を、トラフィック監視装置１０の起動時から実行する。

　監視対象制御部１７は、ルール制御処理において、まず、バーストフロー検出部１５からヘッダフィールド値が供給されたかを判別する（ステップＳ１１）。監視対象制御部１７は、この判別結果が肯定の場合、供給されたヘッダフィールド値がルールテーブル１９Ａに登録されているかを判別する（ステップＳ１２）。肯定の場合、そのヘッダフィールド値のフローがすでに監視対象となっている。この場合、監視対象制御部１７は、ステップＳ２１の処理に進む。

　ステップＳ１２の判別結果が否定の場合、監視対象制御部１７は、今回供給されたヘッダフィールド値に対応するフローＩＤを取得する（ステップＳ１３）。監視対象制御部１７は、例えば、記憶部１９などに記憶されたフローＩＤとヘッダフィールド値との対応関係を示すテーブルを参照し、今回供給されたヘッダフィールド値に対応するフローＩＤを取得する。監視対象制御部１７は、今回供給されたヘッダフィールド値が前記のテーブルに登録されていない場合、フローＩＤを新規に発行することで、当該フローＩＤを取得する。この場合、監視対象制御部１７は、当該フローＩＤとヘッダフィールド値とを前記テーブルにも登録する。

　監視対象制御部１７は、今回供給されたヘッダフィールド値と、ステップＳ１３で取得したフローＩＤとを１つのルールとして互いに対応付けてルールテーブル１９Ａに登録する（ステップＳ１４）。

　ステップＳ１４のあと、ステップＳ１１の判別結果が否定の場合、又は、ステップＳ１２の判別結果が肯定の場合、監視対象制御部１７は、多流量フロー検出部１６Ｂからヘッダフィールド値が供給されたかを判別する（ステップＳ２１）。監視対象制御部１７は、この判別結果が肯定の場合、ステップＳ２２～Ｓ２４の処理を実行する。ステップＳ２２～Ｓ２４は、それぞれ、ステップＳ１２～Ｓ１４と同様の処理であるので、その詳細な説明は省略する。ステップＳ２４のあと、ステップＳ２１の判別結果が否定の場合、又は、ステップＳ２２の判別結果が肯定の場合、監視対象制御部１７は、再度ステップＳ１１を実行する。

　監視対象制御部１７は、例えば図７に示す第２ルール制御処理を実行することで監視対象のフローの削除を行う。監視対象制御部１７は、第２ルール制御処理を、トラフィック監視装置１０の起動時から実行する。

　監視対象制御部１７は、第２ルール制御処理において、まず、集計部１３から集計結果が供給されたかを判別する（ステップＳ３１）。判別結果が肯定の場合、監視対象制御部１７は、監視対象のフローのそれぞれについて、集計結果に含まれる上記パケット数又はデータ量つまりトラフィック流量が第３基準よりも低いかを判別する（ステップＳ３２）。判別結果が肯定の場合、監視対象制御部１７は、判別対象のフローが正常になったとして、処理対象の集計結果に含まれるフローＩＤを含むルールをルールテーブル１９Ａから削除する（ステップＳ３３）。これにより、正常となったフローが監視対象から削除される。ステップＳ３１又はＳ３２の判別結果が否定あるいはステップＳ３３のあとは、再度ステップＳ３１が実行される。第３基準は、フローごと及び又は監視原因ごとに異なってもよい。

　以上のように、監視対象制御部１７は、集計結果に含まれる上記パケット数又はデータ量つまりトラフィック流量が第３基準よりも低いフローを正常となったフローとして監視対象から除外する。

　以上のような一連の処理により、バーストフロー及び多流量フローが、パケット識別部１２による監視対象に追加される。上述のように、バーストフロー及び多流量フローは、通信ネットワークＮＷの挙動に異なる態様の影響を与える。ここで、バーストフローは、変化が急峻であり（図４参照）、パケットサンプリング部１６Ａ及び多流量フロー検出部１６Ｂによるサンプリングを用いた検出方法では検出困難である。他方、多流量フローは、変化が少ないため（図５参照）、バーストフロー検出部１５によっては検出困難である。この実施の形態では、バーストフロー検出部１５と、パケットサンプリング部１６Ａ及び多流量フロー検出部１６Ｂとのそれぞれにより、バーストフローと多流量フローとを各フローの検出に好適な方法により別個に検出する。そして、検出されたフローは、監視対象制御部１７により、パケット識別部１２による監視対象のフローに追加される。従って、通信ネットワークＮＷの挙動を与える２種のフローを適切に監視対象に加えることができ、これにより、監視対象のフローの取捨選択を適切に行われることになる。また、監視対象のフローの管理に、ルールテーブル１９Ａが使用されることで、監視対象のフローが容易となっている。

　さらに、本実施の形態では、集計結果に含まれる上記パケット数又はデータ量つまりトラフィック流量が第３基準よりも低いフローを正常となったフローとして監視対象から除外するので、正常となったフローが監視対象に残ることが抑制され、監視対象のフローの取捨選択を適切に行われることになる。

　図８にトラフィック監視装置１０をコンピュータにより構成したときのハードウェア構成図を示す。トラフィック監視装置１０は、ＣＰＵなどのプロセッサ１０１と、プロセッサ１０１のメインメモリ１０２と、プログラム及び各種データを記憶し、図１の記憶部１９を構成する不揮発性の記憶装置１０３と、を備える。さらに、トラフィック監視装置１０は、通信ネットワークＮＷに接続され、パケットを中継するＮＩＣ（Network Interface Card）１０４を備える。プロセッサ１０１は、記憶装置１０３に記憶され、メインメモリ１０２に読み出されたプログラム及びデータを実行又は使用して上記各部１１～１７として動作する。なお、受信部１１及び出力部１４は、プログラムを実行するプロセッサ１０１とＮＩＣ１０４との組み合わせにより実現されてもよい。

[本発明の範囲]
　本発明は、上記の実施の形態及び変形例に限定されるものではない。例えば、本発明には、本発明の技術思想の範囲内で当業者が理解し得る、上記の実施の形態及び変形例に対する様々な変更が含まれる。上記実施の形態及び変形例に挙げた各構成は、矛盾の無い範囲で適宜組み合わせることができる。また、上記の各構成のうちの任意の構成を削除することも可能である。上記各種のプログラムは、不揮発性の記憶装置１０３に限らず、非一時的なコンピュータ読み取り可能な記憶媒体に記憶されてもよい。「装置」及び「部」は、その動作を実現する構成が一つの筐体に収容された物であっても、その動作を実現する構成が複数の筐体に分散して収容された物（システム）であってもよい。

　１０…トラフィック監視装置、１１…受信部、１２…パケット識別部、１３…集計部、１４…出力部、１５…バーストフロー検出部、１６Ａ…パケットサンプリング部、１６Ｂ…多流量フロー検出部、１７…監視対象制御部、１９…記憶部、１９Ａ…ルールテーブル、１０１…プロセッサ、１０２…メインメモリ、１０３…記憶装置、ＮＷ…通信ネットワーク。

Claims

　通信ネットワークのトラフィックをフローごとに監視するトラフィック監視装置であって、
　前記通信ネットワークを流れる複数のパケットを順次受信する受信部と、
　前記受信部が順次受信した前記複数のパケットのそれぞれについて、監視対象のフローに属するか否かを順次識別するパケット識別部と、
　前記パケット識別部により前記監視対象のフローに属すると識別されたパケットについて集計を行う集計部と、
　前記集計部による集計の結果を出力する出力部と、
　前記受信部が順次受信した前記複数のパケットに基づいて、トラフィック流量又はその増加量が第１基準より大きくなったフローをバーストフローとして検出するバーストフロー検出部と、
　前記受信部が順次受信した前記複数のパケットのうち一部のパケットをサンプリングするパケットサンプリング部と、
　前記パケットサンプリング部によりサンプリングされた前記一部のパケットに基づいて当該一部のパケットのそれぞれが属するフローのサンプリング前の平均的なトラフィック流量を推定し、推定した前記平均的なトラフィック流量が第２基準よりも多いフローを多流量フローとして検出する多流量フロー検出部と、
　前記バーストフローとして検出された前記フローを前記監視対象に追加し、かつ、前記多流量フローとして検出された前記フローを前記監視対象に追加する監視対象制御部と、
　を備えるトラフィック監視装置。
　前記パケット識別部は、前記受信部が順次受信した前記複数のパケットのそれぞれを、ルールテーブルに登録されている、前記監視対象のフローに属するパケットを指定するルールと比較し、前記複数のパケットのうち前記ルールと一致するパケットを監視対象のフローに属するパケットと識別し、
　前記監視対象制御部は、前記バーストフロー又は前記多流量フローを前記監視対象のフローに追加するときに、前記バーストフロー又は前記多流量フローに属するパケットを指定するルールを前記ルールテーブルに追加する、
　請求項１に記載のトラフィック監視装置。
　前記監視対象制御部は、前記集計部による集計結果に基づいて、当該集計結果により示されるトラフィック流量が第３基準よりも低いフローを前記監視対象から削除する、
　請求項１又は２に記載のトラフィック監視装置。
　通信ネットワークのトラフィックをフローごとに監視するトラフィック監視方法であって、
　受信部が順次受信した前記通信ネットワークを流れる複数のパケットのそれぞれについて、監視対象のフローに属するか否かを順次識別するパケット識別ステップと、
　前記パケット識別ステップにより前記監視対象のフローに属すると識別されたパケットについて集計を行う集計ステップと、
　前記受信部が順次受信した前記複数のパケットに基づいて、トラフィック流量又はその増加量が第１基準より大きくなったフローをバーストフローとして検出するバーストフロー検出ステップと、
　前記受信部が順次受信した前記複数のパケットのうち一部のパケットをサンプリングするパケットサンプリングステップと、
　前記パケットサンプリングステップによりサンプリングされた前記一部のパケットに基づいて当該一部のパケットのそれぞれが属するフローのサンプリング前の平均的なトラフィック流量を推定し、推定した前記平均的なトラフィック流量が第２基準よりも多いフローを多流量フローとして検出する多流量フロー検出ステップと、
　前記バーストフローとして検出された前記フローを前記監視対象に追加し、かつ、前記多流量フローとして検出された前記フローを前記監視対象に追加する監視対象制御ステップと、
　を備えるトラフィック監視方法。
　通信ネットワークのトラフィックをフローごとに監視するコンピュータに、
　受信部が順次受信した前記通信ネットワークを流れる複数のパケットのそれぞれについて、監視対象のフローに属するか否かを順次識別するパケット識別ステップと、
　前記パケット識別ステップにより前記監視対象のフローに属すると識別されたパケットについて集計を行う集計ステップと、
　前記受信部が順次受信した前記複数のパケットに基づいて、トラフィック流量又はその増加量が第１基準より大きくなったフローをバーストフローとして検出するバーストフロー検出ステップと、
　前記受信部が順次受信した前記複数のパケットのうち一部のパケットをサンプリングするパケットサンプリングステップと、
　前記パケットサンプリングステップによりサンプリングされた前記一部のパケットに基づいて当該一部のパケットのそれぞれが属するフローのサンプリング前の平均的なトラフィック流量を推定し、推定した前記平均的なトラフィック流量が第２基準よりも多いフローを多流量フローとして検出する多流量フロー検出ステップと、
　前記バーストフローとして検出された前記フローを前記監視対象に追加し、かつ、前記多流量フローとして検出された前記フローを前記監視対象に追加する監視対象制御ステップと、
　を実行させるプログラム。