WO2023238354A1

WO2023238354A1 - トラヒック監視装置、トラヒック監視方法及びトラヒック監視プログラム

Info

Publication number: WO2023238354A1
Application number: PCT/JP2022/023372
Authority: WO
Inventors: 千晴森岡; 裕平林; 賢杜山田; 勇樹三好; 晶規古田; 里美井上; 篤史須藤
Original assignee: 日本電信電話株式会社
Priority date: 2022-06-09
Filing date: 2022-06-09
Publication date: 2023-12-14

Abstract

トラヒック監視装置（２０）は、ネットワーク装置から取得したＩＦ単位の統計情報であるＩＦ統計データ及びサンプリングしたパケットから算出した統計情報であるフロー統計データを蓄積する外部の記憶装置から、ＩＦ統計データと、フロー統計データとを、取得し、ＩＦ統計データから算出したＩＦごとのトラヒック総量と、フロー統計データから算出したフローごとの合計トラヒック量に基づいて、個別のフローごとのトラヒック総量を算出する。

Description

トラヒック監視装置、トラヒック監視方法及びトラヒック監視プログラム

　本発明は、トラヒック監視装置、トラヒック監視方法及びトラヒック監視プログラムに関する。

　近年、アプリケーションやサービス等の障害や異常検知等のために、トラヒック収集及び分析の重要性が高まっている。そのための技術として、パケットのヘッダ情報から算出したフロー統計情報や、ヘッダ部分そのもの（ヘッダサンプル）を転送することにより、トラヒックの集計及び分析を行うｘＦｌｏｗ技術が知られている。このｘＦｌｏｗ技術のうち、ヘッダサンプルを切り取って転送する方式のＩＰＦＩＸ　ｗ／ＩＥ３１５（非特許文献１）や、ｓＦｌｏｗ（非特許文献２）が知られている。また、パケットのヘッダ情報から算出したフロー統計情報を転送する方式のネットワーク（以下、「ＮＷ」）装置ｔＦｌｏｗ（非特許文献３）や、ＩＰＦＩＸ（非特許文献４から９）が知られている。

　他方、カプセル化パケットの分析手法として、サンプリングしたカプセル化パケットのヘッダサンプルを解析し、Ｏｕｔｅｒ／Ｉｎｎｅｒヘッダ情報等のフロー情報及びフロー単位に算出したトラヒック量やパケット数等のフロー統計情報を送信する、フォーマット変換装置が知られている（特許文献１及び非特許文献１０参照）。

　さらに、ネットワーク上のＮＷ装置等は、テレメトリにより一定時間間隔でＮＷ装置のインタフェース（以下、「ＩＦ」）単位のトラヒック総量や、パケット総数等のＩＦ統計情報を送信することもできる。

特開２０２１－０９０１６１号公報

S.　Kashima,　他２名,　「Information　Elements　for　Data　Link　Layer　Traffic　Measurement」,　　［online］,　　［令和４年５月２４日検索］,　インターネット＜ＵＲＬ：https://www.rfc-editor.org/rfc/rfc7133.html＞ Peter　Phaal,　　他１名,　「sFlow　Version　5」,　　［online］,　　［令和４年５月２４日検索］,　インターネット＜ＵＲＬ：https://sflow.org/sflow_version_5.txt＞ B.　Claise,　「Cisco　Systems　NetFlow　Services　Export　Version　9」,　　［online］,　　［令和４年５月２４日検索］,　インターネット＜ＵＲＬ：https://www.rfc-editor.org/rfc/rfc3954.txt＞ B.　Trammell,　他１名,　「Bidirectional　Flow　Export　Using　IP　Flow　Information　Export　(IPFIX)」,　　［online］,　　［令和４年５月２４日検索］,　インターネット＜ＵＲＬ：https://www.rfc-editor.org/rfc/rfc5103.txt＞ B.　Claise,　他２名,　「Specification　of　the　IP　Flow　Information　Export　(IPFIX)　Protocol　for　the　Exchange　of　Flow　Information」,　　［online］,　　［令和４年５月２４日検索］,　インターネット＜ＵＲＬ：https://www.rfc-editor.org/rfc/rfc7011.txt＞ B.　Claise,　他１名,　「Information　Model　for　IP　Flow　Information　Export　(IPFIX)」,　　［online］,　　［令和４年５月２４日検索］,　インターネット＜ＵＲＬ：https://www.rfc-editor.org/rfc/rfc7012.txt＞ B.　Trammell,　他１名,　「Guidelines　for　Authors　and　Reviewers　of　IP　Flow　Information　Export　(IPFIX)　Information　Elements」,　　［online］,　　［令和４年５月２４日検索］,　インターネット＜ＵＲＬ：https://www.rfc-editor.org/rfc/rfc7013.txt＞ S.　D'Antonio,　他３名,　「Flow　Selection　Techniques」,　　［online］,　　［令和４年５月２４日検索］,　インターネット＜ＵＲＬ：https://www.rfc-editor.org/rfc/rfc7014.txt＞ B.　Trammell,　他２名,　「Flow　Aggregation　for　the　IP　Flow　Information　Export　(IPFIX)　Protocol」,　　［online］,　　［令和４年５月２４日検索］,　インターネット＜ＵＲＬ：https://www.rfc-editor.org/rfc/rfc7015.txt＞西岡、他「複数事業者を収容するキャリア網のトラヒックを可視化するFast　xFlow　Proxy　の提案」電子情報通信学会　2021年3月　総合大会　B-6-33

　しかしながら、従来技術では、全パケットのヘッダサンプルを収集することなく、サンプリングされたヘッダサンプルのフロー統計情報及びテレメトリで収集するＩＦ単位の統計情報に基づいて、フローごとのトラヒック総量を推定することができなかった。

　例えば、アプリケーションやサービスに起因するトラヒック異常検知等を行う場合は、アプリケーションやサービスのフローごとでのトラヒック総量の監視が必要である。しかし、ｘＦｌｏｗ技術によりパケットのサンプリングを行い、ヘッダサンプルを得る方法では、サンプリングされていない全パケットのフローごとのトラヒック総量を算出することはできない。他方で、サンプリングではなく全パケットのヘッダサンプルを収集する方法は、フローごとのトラヒック総量を算出できるが、転送されるヘッダサンプルが増加し、ネットワーク負荷の著しい増加が懸念される。

　また、テレメトリを用いてＮＷ装置からＩＦ単位の統計情報を収集する方法では、ＮＷ装置からＩＦ単位のトラヒック総量を収集することは可能であるが、前述のＩＦ単位のトラヒック総量からフローごとのトラヒック総量を算出することはできない。

　上記の課題を解決し目的を達成するために、本発明のトラヒック監視装置は、ネットワーク装置から取得したＩＦ単位の統計情報であるＩＦ統計データ及びサンプリングしたパケットから算出した統計情報であるフロー統計データを蓄積する外部の記憶装置から、前記ＩＦ統計データと、前記フロー統計データとを、取得する取得部と、前記ＩＦ統計データから算出したＩＦごとのトラヒック総量と、前記フロー統計データから算出したフローごとの合計トラヒック量に基づいて、個別のフローごとのトラヒック総量を算出する第１算出部と、を備えることを特徴とする。

　本発明は、全パケットのヘッダサンプルを収集することなく、テレメトリで収集するＩＦ単位の統計情報及びサンプリングされたヘッダサンプルのフロー統計情報に基づいて、フローごとのトラヒック総量を推定可能となる、という効果を奏する。

図１は、実施形態に係るトラヒック監視の概要の一例を示す図である。図２は、実施形態に係るデータレイク及びトラヒック監視装置の装置構成の一例を示す図である。図３は、実施形態に係るデータレイクが収集するＩＦ統計データの一例を示すデータテーブル図である。図４は、実施形態に係るトラヒック監視装置がデータレイクから取得するフロー統計データの一例を示すデータテーブル図である。図５は、実施形態に係るフローごとのトラヒック総量算出の一例を示す図である。図６は、実施形態に係る代表エリア以外の他エリアのＮＷ装置におけるフローごとのトラヒック総量算出の一例を示す図である。図７は、実施形態に係るデータレイクによるデータ収集及び一元管理のフローチャートである。図８は、実施形態に係るトラヒック監視装置による代表エリアのＮＷ装置におけるフローごとのトラヒック総量算出のフローチャートである。図９は、実施形態に係るトラヒック監視装置による他エリアのＮＷ装置におけるフローごとのトラヒック総量算出のフローチャートである。図１０は、実施形態に係るデータレイク及びトラヒック監視装置が実現されるコンピュータの一例を示す図である。

　以下、図面を参照しながら、本発明を実施するための形態（以下、「実施形態」）について説明する。なお、本発明は、本実施形態に限定されない。また、本発明の実施形態においては、「所定の条件が合致する全パケットのトラヒック量を合算した値」を「トラヒック総量」と定義し、「所定の条件が合致するサンプリングパケットのフロー単位のトラヒック量をすべて合算した値」を「全フローの合計トラヒック量」と定義し、「所定の条件が合致するサンプリングパケットのフロー単位のトラヒック量を、監視対象のフローのみ合算した値」を「フローごとの合計トラヒック量」と定義し、以下統一して記載する。

〔１．概要〕
　本発明は、外部の記憶装置であるデータレイク１０（以下、単に「データレイク１０」）が、複数のサービスネットワークが重畳したネットワークにおいて、ＮＷ装置４０からテレメトリデータ５０を、フォーマット変換装置３０からカプセル化パケットのフロー統計ｘＦｌｏｗパケット５２を収集し、一元管理する。また、トラヒック監視装置２０は、ＩＦ単位のトラヒック総量等の情報を含むＩＦ統計データ５５と、サンプリングされたカプセル化パケットのフロー単位のトラヒック量等の情報を含むフロー統計データ５６とを、所定の条件に基づいてデータレイク１０から取得し、監視対象のアプリケーションやサービス等のフローごとのトラヒック総量を算出して、トラヒック監視をする。

〔２．実施形態に係るトラヒック監視の一例〕
　まず、図１を用いてデータレイク１０と、トラヒック監視装置２０と、が行う処理についての一例を説明する。図１は、実施形態に係るトラヒック監視の概要の一例を示す図である。図１では、まずネットワーク上の通信機器であるＮＷ装置４０が、テレメトリデータ５０をデータレイク１０に送信する。なお、テレメトリデータ５０には、テレメトリで取得した「ＮＷ装置識別情報」と、「ＮＷ装置のＩＦ識別情報」と、「時刻情報」と、「受信トラヒック量」と、「送信トラヒック量」と、「受信パケット数」と、「送信パケット数」と、が含まれる。なお、ネットワーク内におけるＮＷ装置４０の台数は限定されるものではなく、ネットワーク構成に必要な台数が複数台含まれていてよい。また、テレメトリデータ５０には、前述した情報以外の情報が含まれていてよい。

　続いて、ＮＷ装置４０が、サンプリングしたカプセル化パケットのｘＦｌｏｗパケット５１を、フォーマット変換装置３０へ送信する。前述のｘＦｌｏｗパケット５１には、「カプセル化パケットのヘッダサンプル」と、「サンプリングレート」と、「時刻情報」と、「ＮＷ装置識別情報」と、「ＮＷ装置のＩＦ識別情報」「通信方向」「サンプリング前のパケットサイズ」と、が含まれる。なお、ｘＦｌｏｗパケット５１には、前述した情報以外の情報が含まれていてよい。

　次に、ｘＦｌｏｗパケット５１を受信したフォーマット変換装置３０は、ｘＦｌｏｗパケット５１からフロー単位に統計情報を算出し、フロー統計ｘＦｌｏｗパケット５２をデータレイク１０に送信する。前述のフロー統計ｘＦｌｏｗパケット５２には、「Ｏｕｔｅｒヘッダ情報、Ｉｎｎｅｒヘッダ情報等を含むフロー情報」と、「フロー単位に算出した、Ｉｎｎｅｒパケットのトラヒック量、Ｏｕｔｅｒヘッダを含むパケットのトラヒック量、パケット数等を含むフロー統計情報」と、「時刻情報」と、「サンプリングレート」と、「ＮＷ装置識別情報」と、「ＮＷ装置のＩＦ識別情報」と、「通信方向」と、を含む。なお、フロー統計ｘＦｌｏｗパケット５２には、前述した情報以外の情報が含まれていてよい。

　そして、データレイク１０は、ＮＷトポロジ情報５３と、ネットワークを構成するＮＷ装置のＩＦやＩＰアドレス等のＮＷ装置情報５４と、テレメトリデータ５０に含まれる情報（以下、ＩＦ統計データ５５）と、フロー統計ｘＦｌｏｗパケット５２に含まれる情報（以下、フロー統計データ５６）とを一元管理する。

　次に、トラヒック監視装置２０は、所定の条件に基づいてＩＦ統計データ５５及びフロー統計データ５６を、データレイク１０から取得する。続いて、トラヒック監視装置２０は、取得したＩＦ統計データ５５及びフロー統計データ５６に基づいて、監視対象のアプリケーションやサービス等のフローごとのトラヒック総量の推定値を算出する。

〔３．データレイク及びトラヒック監視装置の構成例〕
　実施形態に係るデータレイク１０及びトラヒック監視装置２０の構成について、図２を用いて説明する。図２に示すように、本発明は、データレイク１０と、トラヒック監視装置２０と、を含む装置構成で実現される。以下に、各部の詳細な機能について記載する。

（データレイク１０）
　データレイク１０は、通信部１１と、記憶部１２と、制御部１３と、を有する。なお、図示していないが、データレイク１０は、各種操作を受け付ける入力部（例えば、キーボードやマウス等）や、各種情報を表示するための表示部（例えば、ディスプレイ等）を備えてもよい。

　またデータレイク１０は、構造化データと非構造化データを一元的に保存可能な装置である。例えば、ＸＭＬファイルやＣＳＶファイルのように規則性を有する構造化データや、画像ファイルや、文書ファイルや、動画ファイルや、電子メール等の非構造化データを、そのままの形式で格納することができる。なお、データレイク１０は、構造化データのみを格納する機能を有していてもよい。

（通信部１１）
　データレイク１０の通信部１１は、ＮＩＣ（Network　Interface　Card）等で実現され、ＬＡＮ（Local　Area　Network）やインターネット等の電気通信回線を介して通信を制御する。後述のトラヒック監視装置２０は、データレイク１０の通信部１１と、トラヒック監視装置２０の通信部２１とを介して、データを取得する。

（記憶部１２）
　データレイク１０の記憶部１２は、制御部１３による各種処理に必要なデータおよびプログラムを格納する。また、記憶部１２は、ＩＦ統計データ記憶部１２１と、フロー統計データ記憶部１２２と、を有する。そして、記憶部１２は、ＲＡＭ（Random　Access　Memory）、フラッシュメモリ（Flash　Memory）等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置等で実現する。

（ＩＦ統計データ記憶部１２１）
　ＩＦ統計データ記憶部１２１は、ＮＷ装置４０から送信される、テレメトリデータ５０に含まれる情報に基づいてＩＦ統計データ５５を記憶する。

（フロー統計データ記憶部１２２）
　フロー統計データ記憶部１２２は、フォーマット変換装置３０から送信される、フロー統計ｘＦｌｏｗパケット５２に含まれる情報に基づいてフロー統計データ５６を記憶する。

（制御部１３）
　データレイク１０の制御部１３は、収集部１３１を有する。制御部１３は、各種の処理手順等を規定したプログラムや処理データを一時的に格納するための内部メモリを有し、ＣＰＵ（Central　Processing　Unit）やＭＰＵ（Micro　Processing　Unit）等の電子回路やＡＳＩＣ（Application　Specific　Integrated　Circuit）やＦＰＧＡ（Field　Programmable　Gate　Array）等の集積回路によって実現される。

（収集部１３１）
　収集部１３１は、ＮＷ装置４０から送信されるテレメトリデータ５０に含まれる情報に基づいて、ＩＦ統計データ５５と、フォーマット変換装置３０から送信されるフロー統計ｘＦｌｏｗパケット５２に含まれる情報に基づいて、フロー統計データ５６とを、収集する。なお、収集部１３１が収集するデータは、前述の情報に限定されるものではなく、それ以外の情報を収集してよい。

（トラヒック監視装置２０）
　次に、トラヒック監視装置２０の説明を行う。トラヒック監視装置２０は、通信部２１と、記憶部２２と、制御部２３を有する。なお、図示していないが、トラヒック監視装置２０は、各種操作を受け付ける入力部（例えば、キーボードやマウス等）や、各種情報を表示するための表示部（例えば、ディスプレイ等）を備えてもよい。

（通信部２１）
　トラヒック監視装置２０の通信部２１は、ＮＩＣ等で実現され、ＬＡＮやインターネット等の電気通信回線を介して通信を制御する。トラヒック監視装置２０は、前述したデータレイク１０の通信部１１と、トラヒック監視装置２０の通信部２１とを介して、データを取得する。

（記憶部２２）
　トラヒック監視装置２０の記憶部２２は、制御部２３による各種処理に必要なデータおよびプログラムを格納する。そして、記憶部２２は、ＲＡＭ（Random　Access　Memory）、フラッシュメモリ（Flash　Memory）等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置等で実現する。

（制御部２３）
　トラヒック監視装置２０の制御部２３は、取得部２３１と、第１算出部２３２と、第２算出部２３３とを、有する。制御部２３は、各種の処理手順等を規定したプログラムや処理データを一時的に格納するための内部メモリを有し、ＣＰＵやＭＰＵ等の電子回路やＡＳＩＣやＦＰＧＡ等の集積回路によって実現される。

（取得部２３１）
　取得部２３１は、ネットワーク装置から取得したＩＦ単位の統計情報であるＩＦ統計データ５５及びサンプリングしたパケットから算出した統計情報であるフロー統計データ５６を蓄積する外部の記憶装置であるデータレイク１０から、所定の取得条件に基づいて、ＩＦ統計データ５５と、フロー統計データ５６とを、取得する。そして、取得部２３１は、ＮＷ装置識別情報と、ＩＦ識別情報と、通信方向が同一かつ、測定時刻が所定の期間内であるＩＦ統計データ５５及びフロー統計データ５６を、データレイク１０から取得する。なお、データ取得条件には上記以外の条件が含まれていてよい。また、フロー統計データ５６で取得するトラヒック量は、「Ｉｎｎｅｒパケットのトラヒック量」であってもよいし、「Ｏｕｔｅｒヘッダを含むパケットのトラヒック量」であってもよい。

　ここで、取得部２３１は、データレイク１０において、ＩＦ統計データ５５とフロー統計データ５６とで同じ属性に対して異なる表現の情報を保持している場合、例えば、同じＮＷ装置を異なる識別情報で表現している場合は、管理装置で予め、ＩＦ統計データ５５とフロー統計データ５６における同じ属性に対する識別情報を対応づけて保持しておくことにより、上記データをデータレイク１０から取得できる。

（第１算出部２３２）
　第１算出部２３２は、段落番号００３３で取得部２３１が取得するＩＦ統計データ５５に含まれる情報である、ＮＷ装置識別情報と、ＩＦ識別情報と、通信方向が同一かつ、測定時刻が所定の期間内のＩＦ単位のトラヒック総量を合算して、所定の測定期間の当該ＩＦのトラヒック総量を算出する。なお、段落番号００３３においてフロー統計データ５６で「Ｉｎｎｅｒパケットのトラヒック量」を取得する場合は、ＩＦ統計データ５５のＩＦ単位トラヒック総量とＩＦ単位パケット総数に基づいて算出したＩＦ単位のＩｎｎｅｒパケットのトラヒック総量を所定の測定期間について合算して、所定の測定期間の当該ＩＦのトラヒック総量を算出する。

　また、第１算出部２３２は、同じく段落番号００３３で取得部２３１が取得するフロー統計データ５６に含まれる情報であるサンプリングパケットのフロー単位トラヒック量の所定の測定期間の合計トラヒック量と、前述の当該ＩＦのトラヒック総量に基づいて、監視対象のアプリケーションやサービス等の個別のフローごとのトラヒック総量の推定値を算出する。トラヒック監視装置２０は、監視対象のアプリケーションやサービスのフローを、フロー統計データ５６に含まれる情報であるＯｕｔｅｒヘッダ情報およびＩｎｎｅｒヘッダ情報を単独もしくは複数を組み合わせて、特定する。

　続いて、図３から図５を用いて、取得部２３１によるＩＦ統計データ５５及びフロー統計データ５６の取得と、第１算出部２３２による代表エリアのＮＷ装置における監視対象のアプリケーションｋのトラヒック総量の推定値を算出する、一例を説明する。なお、本例示においては、ＩＦ統計データ５５及びフロー統計データ５６の取得条件は、測定期間「Ｔ１からＴ２」と、ＮＷ装置識別情報「ＮＥ１」と、ＩＦ識別情報「ＩＦ１」と、通信方向「下り」と設定し説明する。

　まず、取得部２３１は、前述したデータ取得条件と合致するＩＦ統計データ５５をデータレイク１０から取得する。図３は取得部２３１が取得するＩＦ統計データ５５の一例であり、例えば、取得部２３１は、テーブル１行目データが開始時刻「Ｔ１」で、終了時刻「Ｔ１＿３」で、ＮＷ装置識別情報「ＮＥ１」で、ＩＦ識別情報「ＩＦ１」で、下り方向のＩＦ単位トラヒック総量（ｂｙｔｅ）「Ｘ１」で、下り方向のＩＦ単位パケット総数「Ｎ１」の、ＩＦ統計データ５５を取得する。なお、取得部２３１は、取得条件で通信方向「上り」と設定する場合には、上り方向のＩＦ統計データ５５を取得する。

　次に、取得部２３１は、前述のデータ取得条件と合致するフロー統計データ５６を、データレイク１０から取得する。図４は取得部２３１が取得するフロー統計データ５６の一例であり、例えば、取得部２３１は、テーブル１行目データが開始時刻「Ｔ１」で、終了時刻「Ｔ１＿１」で、ＮＷ装置識別情報「ＮＥ１」で、ＩＦ識別情報「ＩＦ１」で、通信方向「下り」で、サンプリングレート「１０，０００」で、Ｏｕｔｅｒヘッダ情報「ｆ１＿ｏｕｔ」で、Ｉｎｎｅｒヘッダ情報「ｆ１＿ｉｎ」で、フロー単位トラヒック量（ｂｙｔｅ）「１００」で、フロー単位パケット数「１０」で、というフロー統計データ５６を取得する。

　なお、図４で本例示のＯｕｔｅｒヘッダ情報は「ｆ１＿ｏｕｔ」と、Ｉｎｎｅｒヘッダ情報は「ｆ１＿ｉｎ」と表示しているが、実際のＯｕｔｅｒヘッダ情報には、送信元ＩＰアドレスと、送信元ポート番号と、宛先ＩＰアドレスと、宛先ポート番号と、プロトコル番号とを含む５ｔｕｐｌｅや、ＭＰＬＳ（Multi-Protocol　Label　Switching）ラベル等が含まれ、実際のＩｎｎｅｒヘッダ情報には、前述の５ｔｕｐｌｅ等が含まれる。

　トラヒック監視装置２０は、前述のＯｕｔｅｒヘッダ情報および、Ｉｎｎｅｒヘッダ情報の５ｔｕｐｌｅに含まれるポート番号や送信元ＩＰアドレス等を単独もしくは複数を組み合わせて、監視対象のアプリケーションやサービスのフローを特定する。なおフローを特定するための５ｔｕｐｌｅ等の情報の組み合わせは、前述した情報や組み合わせに限定されるものではなく、その他の情報や組み合わせでフローを特定することができる。

　続いて、図５において、代表エリアのＮＷ装置におけるアプリケーションｋのトラヒック総量αを算出する一例を説明する。まず、第１算出部２３２は、代表エリアのＮＷ装置について段落番号００３９で取得部２３１が取得したサンプリングパケットのフロー統計データ５６の、ＮＷ装置識別情報と、ＩＦ識別情報と、通信方向が同一かつ、測定時刻が所定の期間内であるフロー単位トラヒック量（ｂｙｔｅ）をすべて合算し、全フローの合計トラヒック量Ｓａを算出する。続いて、第１算出部２３２は、前述のフロー統計データ５６に含まれるＩｎｎｅｒヘッダのポート番号やサーバ側ＩＰアドレス等のＩｎｎｅｒヘッダ情報に基づいて、監視対象のアプリケーションｋのデータを抽出し、アプリケーションｋのフローごとの合計トラヒック量Ｓｋを算出する。

　次に、第１算出部２３２は、全フローの合計トラヒック量Ｓａと、アプリケーションｋの合計トラヒック量Ｓｋと、段落番号００３５で算出した当該ＩＦのトラヒック総量（ｂｙｔｅ）ＸＡと、を用いて、代表エリアのＮＷ装置におけるアプリケーションｋのトラヒック総量αを算出する。例えば、下記式（１）を用いて計算する。

　なお、前述の計算式（１）のＳｋには、他のアプリケーションのフローごとの合計トラヒック量を代入してよい。例えば、第１算出部２３２は、アプリケーションｍの合計トラヒック量Ｓｍを用いて、代表エリアのＮＷ装置におけるアプリケーションｍのトラヒック総量βを算出できる。

（第２算出部２３３）
　第２算出部２３３は、第１算出部２３２が算出した代表エリアのＮＷ装置におけるＩＦごとのトラヒック総量及びフローごとのトラヒック総量と、代表エリア以外の任意エリアのＮＷ装置におけるＩＦごとのトラヒック総量と、に基づいて、任意エリアのＮＷ装置におけるフローごとのトラヒック総量の推定値を算出する。

　以下、図６において、代表エリアのＮＷ装置におけるＩＦ統計データ５５及びフロー統計データ５６に基づいて算出した、各アプリケーションのフローごとのトラヒック総量を用いて、他エリアのＮＷ装置における各アプリケーションのフローごとのトラヒック総量を算出する例を説明する。なお、キャリア網はユーザ分布に基づいてネットワーク設備が均一に使用されるようトポロジ設計が行われるため、コアルータで観測されるトラヒックの地理的傾向差は小さく、フロー統計データ５６を取得した代表エリアと他エリアとでアプリケーションのフロー分布はほぼ同じとなる。

　まず、取得部２３１は、代表エリア以外の他エリアのＮＷ装置におけるＩＦ統計データ５５を取得する。他エリアのＮＷ装置のＮＷ装置識別情報とＩＦ識別情報に合致し、かつ代表エリアのＮＷ装置におけるアプリケーションｋのトラヒック総量αを算出する際に取得したＩＦ統計データ５５のデータ取得条件と通信方向および測定期間が合致するＩＦ統計データ５５を取得する。次に、第１算出部２３２は、取得した前述の他エリアのＮＷ装置におけるＩＦ統計データ５５について、所定の測定期間の当該ＩＦのトラヒック総量（ｂｙｔｅ）ＹＢを導出する。続けて、第２算出部２３３は、第１算出部２３２が算出した、前述の代表エリアのＮＷ装置におけるアプリケーションｋのトラヒック総量αと、前述の代表エリアのＮＷ装置におけるＩＦごとのトラヒック総量ＸＡと、他エリアのＮＷ装置におけるＩＦごとのトラヒック総量ＹＢと、を用いて、他エリアのＮＷ装置におけるアプリケーションｋのトラヒック総量α’を算出する。例えば、下記式（２）を用いて計算する。

　なお、前述の計算式（２）のαには、他のアプリケーションにおけるフローごとのトラヒック総量を代入してよい。例えば、第２算出部２３３は、代表エリアのＮＷ装置におけるアプリケーションｍのトラヒック総量βを用いて、他エリアのＮＷ装置におけるアプリケーションｍのトラヒック総量β’を算出できる。

〔４．トラヒック監視方法の手順〕
　次に、図７から図９を用いて、データレイク１０及びトラヒック監視装置２０によるトラヒック監視方法の手順について説明する。まず、図７を用いて、データレイク１０がデータを収集し、一元管理する手順を説明する。

　図７では、フォーマット変換装置３０が、ｘＦｌｏｗパケット５１からヘッダサンプルを収集する（工程Ｓ１１）。次に、データレイク１０が、ＮＷ装置４０からテレメトリデータ５０を、フォーマット変換装置３０からフロー統計ｘＦｌｏｗパケット５２を、収集する（工程Ｓ１２）。そして、データレイク１０は、ＮＷトポロジ情報５３と、ＮＷ装置情報５４と、ＩＦ統計データ５５と、フロー統計データ５６とを、一元管理する（工程Ｓ１３）。

　次に、図８を用いて、トラヒック監視装置２０による代表エリアのＮＷ装置におけるフローごとのトラヒック総量算出の手順について説明する。まず、取得部２３１は、所定の条件に基づいて代表エリアのＮＷ装置におけるＩＦ統計データ５５及びフロー統計データ５６を、データレイク１０から取得する（工程Ｓ２１）。次に、第１算出部２３２は、ＩＦ統計データ５５に基づいて、代表エリアのＮＷ装置におけるＩＦごとのトラヒック総量ＸＡを算出する（工程Ｓ２２）。第１算出部２３２は、フロー統計データ５６に基づいて、全フローの合計トラヒック量Ｓａと、監視対象のアプリケーションｋの合計トラヒック量Ｓｋとを、算出する（工程Ｓ２３）。さらに、第１算出部２３２は、代表エリアのＮＷ装置におけるＩＦごとのトラヒック総量ＸＡと、全フローの合計トラヒック量Ｓａと、監視対象のアプリケーションｋの合計トラヒック量Ｓｋと、を用いて、代表エリアのＮＷ装置におけるアプリケーションｋのトラヒック総量αを算出し、保持する（工程Ｓ２４）。

　続いて、図９を用いて、トラヒック監視装置２０による他エリアのＮＷ装置におけるトラヒック総量算出の手順について説明する。まず、取得部２３１は、所定の条件に基づいて他エリアのＮＷ装置におけるＩＦ統計データ５５を、データレイク１０から取得する（工程Ｓ３１）。次に、第１算出部２３２が、他エリアのＮＷ装置におけるＩＦごとのトラヒック総量ＹＢを算出する（工程Ｓ３２）。続いて、第２算出部２３３は、第１算出部２３２が事前に算出した（図８のＳ２４）、代表エリアのＮＷ装置におけるアプリケーションｋのトラヒック総量αを取得する（工程Ｓ３３）。続けて、第２算出部２３３が、他エリアのＮＷ装置におけるＩＦごとのトラヒック総量ＹＢと、代表エリアのＮＷ装置におけるアプリケーションｋのトラヒック総量αと、代表エリアのＮＷ装置におけるＩＦごとのトラヒック総量ＸＡと、を用いて、他エリアのＮＷ装置におけるアプリケーションｋのトラヒック総量α’を算出する（工程Ｓ３４）。

〔５．効果〕
　前述してきたように、本発明において、データレイク１０は、ＮＷ装置４０が送信するテレメトリデータ５０と、フォーマット変換装置３０が送信するフロー統計ｘＦｌｏｗパケット５２とを、収集し、一元管理する。また、トラヒック監視装置２０が、データレイク１０に蓄積しているＩＦ統計データ５５及びフロー統計データ５６を、所定の条件に基づいて取得し、監視対象のアプリケーションやサービスのフローごとのトラヒック総量を算出する。そのため、本発明によれば、下記の効果を奏する。

〔５－１．フローごとのトラヒック監視〕
　トラヒック監視装置２０は、監視対象のアプリケーションやサービス等のフローごとのトラヒック総量を算出できるため、アプリケーションやサービス等の異常検知のための、監視対象のフローごとのトラヒック監視が可能である。

〔５－２．低負荷な方法によるフローごとのトラヒック総量算出〕
　トラヒック監視装置２０は、全パケットのヘッダサンプルを収集することなく、サンプリングされたヘッダサンプルのフロー統計データ５６と、データ量の少ないテレメトリデータであるＩＦ統計データ５５を用いて、監視対象のアプリケーションやサービスのフローごとのトラヒック総量を算出する。そのため、トラヒック監視装置２０は、ネットワークへの負荷が低い方法で目的のトラヒック総量を算出できる。

〔５－３．ネットワーク全体のトラヒック量の削減〕
　トラヒック監視装置２０は、収集するヘッダサンプルが代表エリアのＮＷ装置のみであり、代表エリア以外の他エリアのＮＷ装置については、ＩＦ統計データ５５を取得するのみで、監視対象のアプリケーションやサービス等のフローごとのトラヒック総量を算出可能であるため、ネットワークへの負荷およびＮＷ装置への負荷を削減することができる。

〔６．ハードウェア構成〕
　図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、ＣＰＵ及び当該ＣＰＵにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。

　また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を公知の方法で手動的に行うこともできる。この他、図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。　

［プログラム］
　一実施形態として、データレイク１０及びトラヒック監視装置２０は、パッケージソフトウェアやオンラインソフトウェアとして、前述したデータの収集及びトラヒック監視を実行するトラヒック監視プログラムを、所望のコンピュータにインストールさせることによって実装できる。例えば、上記のトラヒック監視プログラムを情報処理装置に実行させることにより、情報処理装置をデータレイク１０及びトラヒック監視装置２０として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やＰＨＳ（Personal　Handyphone　System）等の移動体通信端末、さらには、ＰＤＡ（Personal　Digital　Assistant）等のスレート端末等がその範疇に含まれる。

　図１０は、データレイク１０及びトラヒック監視装置２０が実現されるコンピュータの一例を示す図である。コンピュータ１０００は、例えば、メモリ１０１０、ＣＰＵ１０２０を有する。また、コンピュータ１０００は、ハードディスクドライブインタフェース１０３０、ディスクドライブインタフェース１０４０、シリアルポートインタフェース１０５０、ビデオアダプタ１０６０、ネットワークインタフェース１０７０を有する。これらの各部は、バス１０８０によって接続される。

　メモリ１０１０は、ＲＯＭ（Read　Only　Memory）１０１１及びＲＡＭ１０１２を含む。ＲＯＭ１０１１は、例えば、ＢＩＯＳ（Basic　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、ハードディスクドライブ１０９０に接続される。ディスクドライブインタフェース１０４０は、ディスクドライブ１１００に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ１１００に挿入される。シリアルポートインタフェース１０５０は、例えばマウス１１１０、キーボード１１２０に接続される。ビデオアダプタ１０６０は、例えばディスプレイ１１３０に接続される。

　ハードディスクドライブ１０９０は、例えば、ＯＳ１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３、プログラムデータ１０９４を記憶する。すなわち、データレイク１０及びトラヒック監視装置２０の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール１０９３として実装される。プログラムモジュール１０９３は、例えばハードディスクドライブ１０９０に記憶される。例えば、データレイク１０及びトラヒック監視装置２０における機能構成と同様の処理を実行するためのプログラムモジュール１０９３が、ハードディスクドライブ１０９０に記憶される。なお、ハードディスクドライブ１０９０は、ＳＳＤ（Solid　State　Drive）により代替されてもよい。

　また、前述した実施形態の処理で用いられる設定データは、プログラムデータ１０９４として、例えばメモリ１０１０やハードディスクドライブ１０９０に記憶される。そして、ＣＰＵ１０２０は、メモリ１０１０やハードディスクドライブ１０９０に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてＲＡＭ１０１２に読み出して、前述した実施形態の処理を実行する。

　なお、プログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０９０に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ１１００等を介してＣＰＵ１０２０によって読み出されてもよい。あるいは、プログラムモジュール１０９３及びプログラムデータ１０９４は、ネットワーク（ＬＡＮ、ＷＡＮ（Wide　Area　Network）等）を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール１０９３及びプログラムデータ１０９４は、他のコンピュータから、ネットワークインタフェース１０７０を介してＣＰＵ１０２０によって読み出されてもよい。

〔７．その他〕
　以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等はすべて本発明の範疇に含まれる。

　１０　　　データレイク
　１１　　　通信部
　１２　　　記憶部
　１２１　　ＩＦ統計データ記憶部
　１２２　　フロー統計データ記憶部
　１３　　　制御部
　１３１　　収集部
　２０　　　トラヒック監視装置
　２１　　　通信部
　２２　　　記憶部
　２３　　　制御部
　２３１　　取得部
　２３２　　第１算出部
　２３３　　第２算出部
　３０　　　フォーマット変換装置
　４０　　　ＮＷ装置
　５０　　　テレメトリデータ
　５１　　　ｘＦｌｏｗパケット
　５２　　　フロー統計ｘＦｌｏｗパケット
　５３　　　ＮＷトポロジ情報
　５４　　　ＮＷ装置情報
　５５　　　ＩＦ統計データ
　５６　　　フロー統計データ
　ＸＡ　　　代表エリアのＮＷ装置におけるＩＦごとのトラヒック総量
　ＹＢ　　　他エリアのＮＷ装置におけるＩＦごとのトラヒック総量
　α　　　　代表エリアのＮＷ装置におけるアプリケーションｋのトラヒック総量
　α’　　　他エリアのＮＷ装置におけるアプリケーションｋのトラヒック総量
　β　　　　代表エリアのＮＷ装置におけるアプリケーションｍのトラヒック総量
　β’　　　他エリアのＮＷ装置におけるアプリケーションｍのトラヒック総量
　Ｓｋ　　　アプリケーションｋの合計トラヒック量
　Ｓｍ　　　アプリケーションｍの合計トラヒック量
　Ｓａ　　　全フローの合計トラヒック量
　１０００　コンピュータ
　１０１０　メモリ
　１０１１　ＲＯＭ
　１０１２　ＲＡＭ
　１０２０　ＣＰＵ
　１０３０　ハードディスクドライブインタフェース
　１０４０　ディスクドライブインタフェース
　１０５０　シリアルポートインタフェース
　１０６０　ビデオアダプタ
　１０７０　ネットワークインタフェース
　１０８０　バス
　１０９０　ハードディスクドライブ
　１０９１　ＯＳ
　１０９２　アプリケーションプログラム
　１０９３　プログラムモジュール
　１０９４　プログラムデータ
　１１００　ディスクドライブ
　１１１０　マウス
　１１２０　キーボード

Claims

　ネットワーク装置から取得したＩＦ単位の統計情報であるＩＦ統計データ及びサンプリングしたパケットから算出した統計情報であるフロー統計データを蓄積する外部の記憶装置から、前記ＩＦ統計データと、前記フロー統計データとを、取得する取得部と、
　前記ＩＦ統計データから算出したＩＦごとのトラヒック総量と、前記フロー統計データから算出したフローごとの合計トラヒック量に基づいて、個別のフローごとのトラヒック総量を算出する第１算出部と、
　を備えることを特徴とするトラヒック監視装置。
　代表エリアのＮＷ装置における前記ＩＦごとのトラヒック総量及び前記フローごとのトラヒック総量と、代表エリア以外の任意エリアのＮＷ装置における前記ＩＦごとのトラヒック総量と、に基づいて、前記任意エリアのＮＷ装置における前記フローごとのトラヒック総量を算出する第２算出部を、さらに有する、
　ことを特徴とする、請求項１に記載のトラヒック監視装置。
　ネットワーク装置から取得したＩＦ単位の統計情報であるＩＦ統計データ及びサンプリングしたパケットから算出した統計情報であるフロー統計データを蓄積する外部の記憶装置から、前記ＩＦ統計データと、前記フロー統計データとを、取得する工程と、
　前記ＩＦ統計データから算出したＩＦごとのトラヒック総量と、前記フロー統計データから算出したフローごとの合計トラヒック量に基づいて、個別のフローごとのトラヒック総量を算出する工程と、
　を含むことを特徴とするトラヒック監視方法。
　方法をコンピュータに実行させるトラヒック監視プログラムであって、
　ネットワーク装置から取得したＩＦ単位の統計情報であるＩＦ統計データ及びサンプリングしたパケットから算出した統計情報であるフロー統計データを蓄積する外部の記憶装置から、前記ＩＦ統計データと、前記フロー統計データとを、取得するステップと、
　前記ＩＦ統計データから算出したＩＦごとのトラヒック総量と、前記フロー統計データから算出したフローごとの合計トラヒック量に基づいて、個別のフローごとのトラヒック総量を算出するステップと、
　を実行させることを特徴とするトラヒック監視プログラム。