JP6418638B2 - Communication identification method and apparatus - Google Patents
Communication identification method and apparatus Download PDFInfo
- Publication number
- JP6418638B2 JP6418638B2 JP2014251900A JP2014251900A JP6418638B2 JP 6418638 B2 JP6418638 B2 JP 6418638B2 JP 2014251900 A JP2014251900 A JP 2014251900A JP 2014251900 A JP2014251900 A JP 2014251900A JP 6418638 B2 JP6418638 B2 JP 6418638B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- traffic
- correlation
- characteristic
- background
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、通信トラヒックを識別する通信識別方法および装置に係り、特に、通信端末がフォアグラウンド(Foreground)で行う通信とバックグラウンド(Background)で行う通信とを識別する通信識別方法および装置に関する。 The present invention relates to a communication identification method and apparatus for identifying communication traffic, and more particularly to a communication identification method and apparatus for identifying communication performed by a communication terminal in the foreground and communication performed in the background.
通信端末が実行する通信の内容を識別する技術が研究されている。特許文献1には、通信トラヒック量の時系列変化やデータから、フーリエ変換等を用いて周期性を算出する手法が開示されている。特許文献2には、通信トラヒックをフロー毎に測定・集約し、フロー毎のトラヒック特性から、周波数解析手法であるケプストラム分析を適用することにより、フローからアプリ(通信サービスの種別)を識別する技術が開示されている。 A technique for identifying the contents of communication executed by a communication terminal has been studied. Patent Document 1 discloses a technique for calculating periodicity from a time series change of communication traffic volume or data using Fourier transform or the like. Patent Document 2 discloses a technique for identifying and identifying an application (type of communication service) from a flow by measuring and aggregating communication traffic for each flow and applying cepstrum analysis, which is a frequency analysis method, from the traffic characteristics of each flow. Is disclosed.
特許文献3には、通信トラヒックをフロー毎に測定・集約し、フロー毎のトラヒック特性から特徴量を算出し、機械学習を適用することにより、フローから通信サービスの種別(アプリケーション)を識別する技術が開示されている。 Patent Document 3 discloses a technique for measuring and aggregating communication traffic for each flow, calculating feature amounts from traffic characteristics for each flow, and applying machine learning to identify the type (application) of a communication service from the flow. Is disclosed.
また、近年におけるモバイル端末の爆発的な普及によりさまざまなサービスが台頭し、端末ユーザの通信要求操作を契機に生起されるフォアグラウンド通信のみならず、端末ユーザの通信要求操作とは無関係に、アプリケーションが自身に都合の良い任意のタイミングでサーバ等と通信するバックグラウンド通信が生起されるようになってきた。 In addition, various services have emerged due to the explosive spread of mobile terminals in recent years, and not only foreground communication caused by terminal user communication request operations, but also applications regardless of terminal user communication request operations. Background communication that communicates with a server or the like at an arbitrary timing convenient for itself has been started.
各通信方式は、重要度、緊急度、データサイズ、遅延やジッタに対する許容度、端末ユーザの主観評価に与える影響などが異なるので、各通信方式を識別できれば様々な用途で活用できる。 Each communication method differs in importance, urgency, data size, tolerance for delay and jitter, influence on the subjective evaluation of the terminal user, and so on, so that each communication method can be used for various purposes if it can be identified.
しかしながら、特許文献1は、目的が異常検知すなわち平常時からの傾向変化検知であり、フォア/バックグラウンド通信を識別できない。特許文献2,3は、アプリケーションや通信サービスの識別を目的とする技術であり、フォア/バックグラウンド通信は識別できない。 However, in Patent Document 1, the purpose is abnormality detection, that is, trend change detection from normal times, and foreground / background communication cannot be identified. Patent Documents 2 and 3 are technologies aimed at identifying applications and communication services, and cannot identify foreground / background communication.
このような技術課題に対して、本発明の発明者等は、ネットワーク上で観測される各セッションを、その送信元情報および宛先情報の組み合わせに固有のSDグループに分類すると共に、SDグループごとに各セッションの生起タイミングに関する自己相関を計算し、自己相関係数が高いセッションはバックグラウンド通信に識別する通信識別装置を発明し、特許出願(特許文献4)した。 In response to such a technical problem, the inventors of the present invention classify each session observed on the network into an SD group specific to the combination of the transmission source information and the destination information, and for each SD group. An auto-correlation for the occurrence timing of each session was calculated, and a communication identification device was invented for identifying a session having a high auto-correlation coefficient as background communication, and a patent application (Patent Document 4) was filed.
特許文献4によれば、ユーザ由来・主導のフォアグラウンド通信とバックグラウンド通信とを、パッシブなパケットキャプチャにより低コストかつ少数の測定ポイントだけで識別できるようになる。 According to Patent Document 4, user-derived / led foreground communication and background communication can be identified by low-cost and only a small number of measurement points by passive packet capture.
しかしながら、TCP/HTTPセッションについては、長時間にわたり張り続けられる場合や、ネットワーク状況やユーザ移動等の外乱により不規則、不定期のタイミングで切断されてしまう場合もある。このような場合には、セッション生起時刻や周期性が崩れてしまい、本来の状況を観測できないので、時刻相関(周期性)を検出できない場合がある。 However, a TCP / HTTP session may continue for a long time, or may be disconnected at irregular or irregular timing due to disturbances such as network conditions or user movement. In such a case, the session occurrence time and periodicity are destroyed, and the original situation cannot be observed, and therefore the time correlation (periodicity) may not be detected.
本発明の目的は、上記の技術課題を解決し、通信端末がフォアグラウンドでセッションを確立して行う通信とバックグラウンドでセッションを確立して行う通信とを、ネットワーク状況やユーザ移動等によりセッションの生起時刻の周期性が乱れる場合でも正確に識別できる通信識別方法および装置を提供することにある。 An object of the present invention is to solve the above technical problem and to establish communication between a communication terminal establishing a session in the foreground and a communication establishing a session in the background depending on network conditions or user movement. An object of the present invention is to provide a communication identification method and apparatus capable of accurately identifying even when the periodicity of time is disturbed.
上記の目的を達成するために、本発明は、通信トラヒックをフォアグラウンド通信およびバックグラウンド通信のいずれかに識別する通信識別装置において、以下の構成を具備した点に特徴がある。 In order to achieve the above object, the present invention is characterized in that a communication identification apparatus for identifying communication traffic as either foreground communication or background communication has the following configuration .
(1) ネットワーク上で観測される通信トラヒックをSDグループに分類する手段と、SDグループごとにトラヒック特性の時系列変動を分析する手段と、トラヒック特性の時系列変動の相関を計算する相関計算手段と、トラヒック特性の相関に基づいて通信トラヒックを識別する通信識別手段とを具備した。 (1) Means for classifying communication traffic observed on the network into SD groups, means for analyzing time-series fluctuations of traffic characteristics for each SD group, and correlation calculation means for calculating correlation of time-series fluctuations of traffic characteristics And communication identification means for identifying communication traffic based on the correlation of traffic characteristics.
(2) 相関計算手段は、SDグループごとにトラヒック特性の自己相関を計算する自己相関計算手段を具備し、通信識別手段は、自己相関が所定の第1閾値を超える通信トラヒックをバックグラウンド通信に識別するようにした。 (2) The correlation calculation means includes an autocorrelation calculation means for calculating the autocorrelation of traffic characteristics for each SD group, and the communication identification means sets communication traffic having an autocorrelation exceeding a predetermined first threshold as background communication. It was made to identify.
(3) 相関計算手段は、一のSDグループのトラヒック特性と他の一のSDグループにおいてバックグラウンド通信に識別された通信トラヒックのトラヒック特性との相互相関を計算する相互相関計算手段を具備し、通信識別手段は、相互相関が所定の第2閾値を超える通信トラヒックをバックグラウンド通信に識別するようにした。 (3) The correlation calculation means includes a cross-correlation calculation means for calculating a cross-correlation between the traffic characteristics of one SD group and the traffic characteristics of communication traffic identified as background communication in the other SD group, The communication identifying means identifies communication traffic whose cross-correlation exceeds a predetermined second threshold as background communication.
(4) トラヒック特性の時系列変動を単位時間幅のbinごとに離散化してトラヒック特性数列を生成する特性数列生成手段を具備し、相関計算手段はトラヒック特性数列の相関特性を計算するようにした。 (4) It is provided with characteristic sequence generation means for discretizing the traffic characteristics time series variation for each bin of unit time width to generate a traffic characteristic sequence, and the correlation calculation means calculates the correlation characteristic of the traffic characteristic sequence. .
(5) 通信識別手段は、一のトラヒック特性に基づいてバックグラウンド通信と判定されなかった通信トラヒックに対して他の一のトラヒック特性に基づいて改めて判定を行い、予定された複数のトラヒック特性の少なくとも一つに関して、その相関が所定の閾値を超えている通信トラヒックをバックグラウンド通信と判定するようにした。 (5) The communication identification means makes a new determination for communication traffic that has not been determined to be background communication based on one traffic characteristic, based on the other traffic characteristic, and determines a plurality of scheduled traffic characteristics. Regarding at least one, communication traffic whose correlation exceeds a predetermined threshold is determined as background communication.
本発明によれば、以下のような効果が達成される。
(1)通信端末が実行する通信のうち、トラヒック特性の自己相関が高い通信トラヒックは、ユーザ操作とは無関係にOSやアプリケーションが自動的、機械的に実行するバックグラウンド通信に識別されるので、ネットワーク状況やユーザ移動等によりセッションの生起時刻の周期性が乱れる場合でも、ユーザ由来・主導のフォアグラウンド通信とバックグラウンド通信とを、パッシブなパケットキャプチャにより低コストかつ少数の測定ポイントだけで識別できるようになる。
According to the present invention, the following effects are achieved.
(1) Of the communications executed by the communication terminal, communication traffic with high autocorrelation of traffic characteristics is identified as background communication that is automatically and mechanically executed by the OS and applications regardless of user operations. Even if the periodicity of the session occurrence time is disturbed due to network conditions or user movement, foreground and background communication originating from the user and background communication can be identified with low cost and a small number of measurement points by passive packet capture become.
(2)バックグラウンド通信に識別された通信トラヒックとの相互相関が高く、バックグラウンド通信である可能性が高い通信トラヒックはバックグラウンド通信に識別できるので、バックグラウンド通信を確実に識別できるようになる。 (2) Since communication traffic that has a high cross-correlation with communication traffic identified as background communication and is likely to be background communication can be identified as background communication, background communication can be reliably identified. .
(3)自己相関が低くても、相互相関の高い通信トラヒックはバックグラウンド通信に識別されるので、同一のバックグラウンド処理内で複数のサーバとの間に同様の手順でセッションの確立を繰り返す通信については、自己相関にかかわらずバックグラウンド通信に識別できるようになる。 (3) Even if autocorrelation is low, communication traffic with high cross-correlation is identified as background communication, so communication that repeats session establishment in the same procedure with multiple servers within the same background processing Can be identified as background communication regardless of autocorrelation.
(4) トラヒック特性の時系列を離散化して特性数列化し、その相関を計算するようにしたので、相関係数の定量的な計算が容易になる。 (4) Since the time series of traffic characteristics is discretized to form a characteristic sequence and the correlation is calculated, quantitative calculation of the correlation coefficient is facilitated.
(5) 一のトラヒック特性に関する相関が低くても、他の一のトラヒック特性に関する相関が高ければバックグラウンド通信に識別できるので、一部のトラヒック特性に対してのみ特異的に高い相関を示す通信トラヒックもバックグラウンド通信に識別できるようになる。 (5) Even if the correlation with respect to one traffic characteristic is low, if the correlation with respect to another traffic characteristic is high, it can be identified as background communication. Traffic can also be identified as background communication.
以下、図面を参照して本発明の実施の形態について詳細に説明する。図1は、本発明の通信識別方法が適用されるネットワークの構成を示したブロック図である。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. FIG. 1 is a block diagram showing the configuration of a network to which the communication identification method of the present invention is applied.
サービス提供範囲の各エリアには無線基地局BSが設置され、当該エリア内の無線移動端末MN(例えば、スマートフォンやタブレット端末)は前記各無線基地局BSに収容される。各無線基地局BSは無線アクセス網RANに接続され、前記無線アクセス網RANはコア網のゲートウェイ(GW)に接続される。前記コア網はインターネットエクスチェンジ(IX)においてインターネットと接続される。 A radio base station BS is installed in each area of the service providing range, and a radio mobile terminal MN (for example, a smartphone or a tablet terminal) in the area is accommodated in each radio base station BS. Each radio base station BS is connected to a radio access network RAN, and the radio access network RAN is connected to a gateway (GW) of the core network. The core network is connected to the Internet at the Internet Exchange (IX).
前記インターネットには、各MNからの要求に応答してサービスを提供する各種のサーバが接続されている。本実施形態では、各MNと各サーバとの間のトラヒックを集約できる回線として、無線アクセス網RANとコア網とを接続する回線Lに、通信識別装置としてのキャプチャ装置1が接続されている。 Various servers that provide services in response to requests from each MN are connected to the Internet. In the present embodiment, the capture device 1 as a communication identification device is connected to a line L that connects the radio access network RAN and the core network as a line that can aggregate traffic between each MN and each server.
図2は、前記キャプチャ装置1の一実施形態の主要部の構成を示した機能ブロック図であり、ここでは、本発明の説明に不要な構成は図示が省略されている。本発明のキャプチャ装置1は、汎用のコンピュータやサーバに各機能を実現するアプリケーション(プログラム)を実装することで構成できる。あるいはアプリケーションの一部がハードウェア化またはROM化された専用機や単能機としても構成できる。 FIG. 2 is a functional block diagram showing the configuration of the main part of one embodiment of the capture device 1. Here, the configuration unnecessary for the description of the present invention is omitted. The capture device 1 of the present invention can be configured by mounting an application (program) for realizing each function on a general-purpose computer or server. Alternatively, it can be configured as a dedicated machine or a single-function machine in which a part of the application is implemented in hardware or ROM.
通信トラヒック検知部101は、前記回線L上で送受されるパケットをキャプチャして、そのセッション種別(TCP、HTTP、UDPなど)、送信元情報、宛先情報を含む各種のトラヒック情報をログ情報管理部102に記録する。 The communication traffic detection unit 101 captures packets transmitted and received on the line L, and logs various traffic information including the session type (TCP, HTTP, UDP, etc.), transmission source information, and destination information to a log information management unit 102.
セッション分類部103は、各セッションをその送信元情報(S)および宛先情報(D)の組み合わせに基づいていずれかのSDグループに分類する。すなわち、送信元情報(S)および宛先情報(D)のいずれもが同一のセッションは同一のSDグループに分類され、異なるセッションは別のSDグループに分類される。本実施形態では、送信元情報として送信元IPアドレスを採用し、宛先情報として宛先IPアドレスおよびポート番号を採用する。 The session classification unit 103 classifies each session into one of the SD groups based on the combination of the transmission source information (S) and the destination information (D). That is, sessions with the same transmission source information (S) and destination information (D) are classified into the same SD group, and different sessions are classified into different SD groups. In this embodiment, a transmission source IP address is adopted as transmission source information, and a destination IP address and a port number are adopted as destination information.
各セッションの生起タイミングは、HTTPセッションであればHTTP Requestパケットの到着時刻で代表し、TCPセッションであればセッション確立時に実行されるスリーハンドシェイクで送受されるSynパケットの到着時刻で代表し、UDPであれば当該セッションで初めて観測されるパケットの到着時刻で代表する。 The occurrence timing of each session is represented by the arrival time of the HTTP Request packet if it is an HTTP session, and is represented by the arrival time of a Syn packet that is sent and received in a three-handshake that is executed when the session is established for a TCP session. If so, it is represented by the arrival time of the packet observed for the first time in the session.
トラヒック特性分析部104は、ログ情報管理部102に蓄積された同一SDグループのトラヒック情報を所定の時間幅(bin)ごとに集計して単位トラヒック特性を計算する。 The traffic characteristic analysis unit 104 calculates the unit traffic characteristic by totaling the traffic information of the same SD group accumulated in the log information management unit 102 for each predetermined time width (bin).
本実施形態では単位トラヒック特性として、(1) ダウンロード(DL)のデータ転送量またはパケット数、(2) アップロード(UL)のデータ転送量またはパケット数、(3) スループット特性、(4)各種のトラヒック遅延特性(サーバ側RTT遅延、クライアント側RTT遅延、TCP接続遅延など)を採用できる。 In this embodiment, as unit traffic characteristics, (1) download (DL) data transfer amount or number of packets, (2) upload (UL) data transfer amount or number of packets, (3) throughput characteristics, (4) various types Traffic delay characteristics (server side RTT delay, client side RTT delay, TCP connection delay, etc.) can be adopted.
また、(5) DL転送データ量とUL転送データ量との比率(DL/UL)や、(6) DLパケット数とULパケット数との比率(DL/UL)も単位トラヒック特性として採用できる。すなわち、ユーザ主導のフォアグラウンド通信では、例えばWeb閲覧であればコンテンツの閲覧といったDLが主体となるのでDL/UL>>1となる。また、ユーザ主導の通信であってもSNSでは画像のアップロードなどが主体となるのでDL/UL<<1となる。これに対して、バックグラウンド通信では、例えば、少量のデータ送受が主体となり、DL/UL≒1となる。したがって、これらのトラヒック特性は識別性の高い指標となり得る。 Further, (5) the ratio of DL transfer data amount to UL transfer data amount (DL / UL) and (6) the ratio of DL packet number to UL packet number (DL / UL) can also be adopted as unit traffic characteristics. That is, in the user-driven foreground communication, for example, when browsing the Web, DL such as content browsing is mainly used, so DL / UL >> 1. Also, even with user-initiated communications, DL / UL << 1 because SNS is mainly responsible for uploading images. On the other hand, in background communication, for example, a small amount of data is mainly transmitted and received, and DL / UL≈1. Therefore, these traffic characteristics can be a highly discriminating index.
さらに、(7) 保留時間(HoldTime)と応答時間(RespTime)との比率、(8) 各種トラヒック特性の時系列変動傾向およびその統計量(観測した複数あるいは全てのbin毎の値をまとめた合計や平均、分散、最大値、最小値など)、(9) セッションの生起数を単位トラヒック特性として採用しても良い。すなわち、ユーザ主導のフォアグラウンド通信では、例えばWeb閲覧であれば、接続後のDL時間の方が接続遅延よりも大きいので、保留時間と応答時間との比率(HoldTime/RespTime)は1よりも十分に大きくなる。また、Web閲覧では、多種多様な種類およびサイズのコンテンツがアクセス対象や取得対象となるので、トラヒック特性の時系列変動が大きくなる一方、バックグラウンド通信では少量のデータ送受やPush通知の待ち受け系が主体となるので時系列変動が小さくなる。したがって、これらのトラヒック特性も識別性の高い指標となり得る。 Furthermore, (7) ratio of hold time (HoldTime) and response time (RespTime), (8) time-series fluctuation tendency of various traffic characteristics and its statistics (total sum of observed multiple or all bin values) (9) The number of occurrences of a session may be adopted as a unit traffic characteristic. That is, in the user-driven foreground communication, for example, when browsing the Web, the DL time after connection is greater than the connection delay, so the ratio of the hold time to the response time (HoldTime / RespTime) is sufficiently greater than 1. growing. In web browsing, content of various types and sizes are subject to access and acquisition, so the time-series fluctuation of traffic characteristics increases, while background communication has a small amount of data transmission and reception and a push notification standby system. Since it is the main body, time series fluctuations are reduced. Therefore, these traffic characteristics can also be a highly discriminating index.
特性数列生成部105は、前記binごとに得られた単位トラヒック特性を時系列の要素とする特定数列をSDグループごとに生成する。相関計算部106は、SDグループごとに生成されたトラヒック特性数列の自己相関(SDグループ内自己相関係数)を計算する自己相関計算部106a、および送信元が同一で異なるSDグループごとに生成されたトラヒック特性数列の相互相関(SDグループ間相互相関係数)を計算する相互相関計算部106bを含む。すなわち、本実施形態における相互相関の計算対象は、送信元ユーザが同一のSDグループ同士となる。 The characteristic number sequence generation unit 105 generates a specific number sequence for each SD group using the unit traffic characteristics obtained for each bin as time-series elements. The correlation calculation unit 106 generates an autocorrelation unit 106a that calculates an autocorrelation (intra-SD group autocorrelation coefficient) of a traffic characteristic sequence generated for each SD group, and is generated for each SD group having the same transmission source and different. A cross-correlation calculating unit 106b for calculating a cross-correlation (tra-correlation coefficient between SD groups) of the traffic characteristic sequence. That is, the calculation target of the cross correlation in the present embodiment is the SD group having the same transmission source user.
通信識別部107は、前記自己相関および相互相関の計算結果を所定の閾値と比較し、各比較結果に基づいて各SDグループのセッションをバックグラウンド通信およびフォアグラウンド通信のいずれかに識別する。 The communication identification unit 107 compares the autocorrelation and cross-correlation calculation results with a predetermined threshold, and identifies each SD group session as either background communication or foreground communication based on the comparison results.
図3は、前記トラヒック特性分析部104によるトラヒック特性の分析方法を説明するための図である。ここでは、TCPコネクションの確立時にクライアント/サーバ間で実行されるTCP_3wayハンドシェークのSYNパケットからキャプチャできたコネクションを例にして説明する。 FIG. 3 is a diagram for explaining a traffic characteristic analysis method by the traffic characteristic analysis unit 104. Here, a connection that can be captured from a SYN packet of a TCP_3way handshake executed between a client and a server when a TCP connection is established will be described as an example.
TCPコネクションについては、端末MHからサーバへ最初に送信されたSYNパケットの到着時刻(コネクション生起時刻)t1と、サーバから端末MHへ返信されたSYN+ACKパケットの到着時刻t2との差分(t2-t1)に基づいてサーバ側RTT(往復)遅延が算出される。 For the TCP connection, the difference between the arrival time (connection occurrence time) t1 of the SYN packet first transmitted from the terminal MH to the server and the arrival time t2 of the SYN + ACK packet returned from the server to the terminal MH (t2- The server side RTT (round trip) delay is calculated based on t1).
また、前記SYN+ACKパケットの到着時刻t2と端末MHからサーバへ最後に送信されたACKパケットの到着時刻t3との差分(t3-t2)に基づいて、クライアント側RTT遅延が算出される。さらに、前記最初のSYNパケットの到着時刻t1と前記3wayハンドシェーク後に端末MHからサーバへ最初に送信されデータパケットの到着時刻t4との差分(t4-t1)に基づいて、TCP接続遅延が算出される。このような遅延特性は、binごとに離散化して特性数列化し、その相関係数を求めることにより、フォアグラウンド通信判定およびバックグラウンド通信判定の指標の一つとして利用できる。 The client-side RTT delay is calculated based on the difference (t3-t2) between the arrival time t2 of the SYN + ACK packet and the arrival time t3 of the ACK packet last transmitted from the terminal MH to the server. Further, the TCP connection delay is calculated based on the difference (t4-t1) between the arrival time t1 of the first SYN packet and the arrival time t4 of the data packet first transmitted from the terminal MH to the server after the 3-way handshake. . Such a delay characteristic is discretized for each bin, converted into a characteristic number sequence, and a correlation coefficient is obtained, so that it can be used as one of indices for foreground communication determination and background communication determination.
また、3wayハンドシェーク後に端末MHから最初に送信されるデータの到着時刻t4からFINまたはRSTパケットの到着時刻t5までの差分(t5-t4)、および当該差分時間内にキャプチャされた送受信データ量に基づいて、TCPコネクションのスループット特性が算出される。 Also, based on the difference (t5-t4) from the arrival time t4 of the first data transmitted from the terminal MH after the 3-way handshake to the arrival time t5 of the FIN or RST packet, and the amount of transmitted / received data captured within the difference time Thus, the throughput characteristic of the TCP connection is calculated.
このようなスループット特性も、所定幅のbinごとに離散化して特性数列化し、その相関係数を求めることにより、フォアグラウンド通信判定およびバックグラウンド通信判定の指標の一つとして利用できる。 Such throughput characteristics can also be used as one of the indicators of foreground communication determination and background communication determination by discretizing and binarizing the characteristics for each bin of a predetermined width and obtaining the correlation coefficient.
また、前記データの到着時刻t4からFINまたはRSTパケットの到着時刻t5までに観測されたDLまたはULの転送データ量、パケット数あるいはDLと ULとの比率も、所定幅のbinごとに離散化して特性数列化し、その相関係数を求めることにより、フォアグラウンド通信判定およびバックグラウンド通信判定の指標の一つとして利用できる。ここで、トラヒック特性の指標として採用する転送データ量やパケット数は、上記のようなペイロードデータに限定ものではなく、各種の制御パケットを含む全転送データ量または全パケット数であっても良い。 Also, the DL or UL transfer data amount, the number of packets or the ratio of DL and UL observed from the data arrival time t4 to the FIN or RST packet arrival time t5 is discretized for each bin of a predetermined width. By obtaining a characteristic number sequence and obtaining its correlation coefficient, it can be used as one of indices for foreground communication determination and background communication determination. Here, the amount of transfer data and the number of packets adopted as an index of traffic characteristics are not limited to the payload data as described above, and may be the total amount of transfer data or the total number of packets including various control packets.
なお、パケットのキャプチャがコネクションの途中から開始されているような場合には、得られた到着時刻から可能な分析のみが選択的に行われる。例えば、キャプチャがSYN+ACKパケットから開始されていれば、その到着時刻t2からACKパケットの到着時刻t3までの差分(t3-t2)に基づいて、クライアント側RTT遅延のみが算出される。 When packet capture is started from the middle of the connection, only possible analysis is selectively performed from the obtained arrival time. For example, if the capture is started from the SYN + ACK packet, only the client-side RTT delay is calculated based on the difference (t3-t2) from the arrival time t2 to the arrival time t3 of the ACK packet.
また、前記TCPコネクションのスループット特性やTCP接続所要時間は、クライアント側の遅延のみならずサーバが側の遅延にも依存するので、サーバ側遅延が大きいときに算出されたこれらの特性等は、クライアント側の通信品質を正確に代表できない。したがって、前記サーバ側RTT遅延が所定の閾値を超えているとき、あるいはサーバ側遅延を代表できるデータやACKなどのパケット到着間隔が所定の閾値を越えているときに算出されたスループット特性やTCP接続所要時間は、品質分析の対象から除外することが望ましい。 Further, the throughput characteristics and TCP connection time required for the TCP connection depend not only on the client side delay but also on the server side delay, so these characteristics calculated when the server side delay is large are Cannot accurately represent the communication quality on the other side. Therefore, when the server-side RTT delay exceeds a predetermined threshold, or when the packet arrival interval such as data or ACK that can represent the server-side delay exceeds a predetermined threshold, TCP characteristics and TCP connection It is desirable to exclude the time required from quality analysis.
図4は、HTTPセッションを対象とした品質特性の測定方法を説明するためのシーケンスフローであり、HTTPリクエスト(#1)パケットの到着時刻t1と、このリクエストに対して返信されるHTTPレスポンス(#1)パケットの到着時刻t2との時間差(t2-t1)がHTTPレスポンス遅延(RespTime)とされる。また、最初のHTTPリクエスト(#1)パケットの到着時刻t1と最後のHTTPレスポンス(#1)パケットの到着時刻t3との時間差(t3-t1)がHTTP保留時間(HoldTime)とされる。このようなRespTimeとHoldTimeとの比率も、binごとに離散化して特性数列化し、その相関係数を求めることにより、フォアグラウンド通信判定およびバックグラウンド通信判定の指標の一つとして利用できる。 FIG. 4 is a sequence flow for explaining a method for measuring quality characteristics for an HTTP session. An HTTP request (# 1) packet arrival time t1 and an HTTP response (# 1) The time difference (t2−t1) from the packet arrival time t2 is the HTTP response delay (RespTime). Further, the time difference (t3−t1) between the arrival time t1 of the first HTTP request (# 1) packet and the arrival time t3 of the last HTTP response (# 1) packet is set as the HTTP hold time (HoldTime). Such a ratio between RespTime and HoldTime can also be used as one of the indicators for foreground communication determination and background communication determination by discretizing each bin to form a characteristic number sequence and obtaining a correlation coefficient thereof.
また、最初のHTTPレスポンス(#1)パケットの到着時刻t2と最後のHTTPレスポンス(#1)パケットの到着時刻t3との時間差(t2-t1)がHTTPレスポンス保留時間とされ、その間にダウンロードされた総データ量がHTTP通信データ量とされる。さらに、最初のHTTPリクエスト(#2)パケットの到着時刻t4と最後のHTTPリクエスト(#2)パケットの到着時刻t5との時間差(t5-t4)がHTTPリクエスト保留時間とされ、その間のデータ量がHTTPリクエストデータ量とされる。このようなHTTP通信データ量やHTTPリクエストデータ量も、binごとに離散化して特性数列化し、その相関係数を求めることにより、フォアグラウンド通信判定およびバックグラウンド通信判定の指標の一つとして利用できる。 Also, the time difference (t2-t1) between the arrival time t2 of the first HTTP response (# 1) packet and the arrival time t3 of the last HTTP response (# 1) packet is taken as the HTTP response hold time and downloaded during that time The total data amount is the HTTP communication data amount. Furthermore, the time difference (t5-t4) between the arrival time t4 of the first HTTP request (# 2) packet and the arrival time t5 of the last HTTP request (# 2) packet is the HTTP request hold time, and the amount of data between them is The amount of HTTP request data. Such HTTP communication data amount and HTTP request data amount can also be used as one of the indicators of foreground communication determination and background communication determination by discretizing each bin to form a characteristic number sequence and obtaining the correlation coefficient thereof.
図5は、SDグループ内自己相関の計算手順を示したフローチャートであり、主に特性数列生成部105および自己相関計算部106aによりSDグループごとに実行される。 FIG. 5 is a flowchart showing the calculation procedure of the intra-SD group autocorrelation, and is mainly executed for each SD group by the characteristic sequence generator 105 and the autocorrelation calculator 106a.
ステップS101では、トラヒック特性の一つが所定幅の周期τ秒で離散化(BIN化)され、各binのトラヒック特性(単位トラヒック特性)を要素とするトラヒック特性数列が生成される。例えば、トラヒック特性としてDLパケット数に着目した場合、各周期τで観測されたDLパケット数を時系列要素とする特性数列が生成される。ステップS102では、自己相関を算出するためのラグ値(遅れ時間)jとして前記周期と同じτ秒が設定される。 In step S101, one of the traffic characteristics is discretized (binarized) with a period τ seconds of a predetermined width, and a traffic characteristic number sequence having the traffic characteristics (unit traffic characteristics) of each bin as an element is generated. For example, when attention is paid to the number of DL packets as traffic characteristics, a characteristic number sequence having the number of DL packets observed in each period τ as a time-series element is generated. In step S102, the same τ seconds as the period are set as the lag value (delay time) j for calculating the autocorrelation.
ステップS103では、今回のラグ値jに対応する自己相関係数AC(j)が次式(1)に基づいて計算される。本実施形態では、同一の特性数列をjずつずらして積の和を算出することで自己相関係数AC(j)が求められる。なお、iは数列の要素識別子、SD(i)は数列のi番目の要素の値、Nは数列長である。 In step S103, the autocorrelation coefficient AC (j) corresponding to the current lag value j is calculated based on the following equation (1). In the present embodiment, the autocorrelation coefficient AC (j) is obtained by calculating the sum of products by shifting the same characteristic sequence by j. Note that i is an element identifier of the sequence, SD (i) is the value of the i-th element of the sequence, and N is the sequence length.
ステップS104では、今回の自己相関係数AC(j)の計算結果を、次式(2)に示したように、ラグ値j=0の場合の自己相関係数AC(0)で除すことにより当該自己相関係数AC(j)が正規化される。 In step S104, the current autocorrelation coefficient AC (j) calculation result is divided by the autocorrelation coefficient AC (0) when the lag value j = 0, as shown in the following equation (2). Thus, the autocorrelation coefficient AC (j) is normalized.
ステップS105では、ラグ値jが所定の上限値jmaxに達したか否かが判定される。j≧jmaxでなければ、ステップS106へ進んでラグ値jを周期τ秒だけ延長した後にステップS103へ戻り、更新後のラグ値jに対応する自己相関係数AC(j)の計算、正規化が繰り返される。 In step S105, it is determined whether or not the lag value j has reached a predetermined upper limit value jmax. If j ≧ jmax, the process proceeds to step S106 to extend the lag value j by the period τ seconds, and then returns to step S103 to calculate and normalize the autocorrelation coefficient AC (j) corresponding to the updated lag value j Is repeated.
図6は、相互相関の計算手順を示したフローチャートであり、主に特性数列生成部105および相互相関計算部106bにより、送信元情報(S)が同一で宛先情報(D)の異なる全てのSDグループペアについて繰り返される。ここでは、SDグループSD1のトラヒック特性を、宛先情報(D)の異なる他のSDグループSD2のトラヒック特性との関係に基づいて識別する場合を例にして説明する。 FIG. 6 is a flowchart showing a cross-correlation calculation procedure. All SDs having the same source information (S) and different destination information (D) are mainly generated by the characteristic sequence generator 105 and the cross-correlation calculator 106b. Repeat for group pairs. Here, a case where the traffic characteristics of the SD group SD1 are identified based on the relationship with the traffic characteristics of another SD group SD2 having different destination information (D) will be described as an example.
ステップS201では、今回の計算対象となる2つのSDグループSD1,SD2の一のトラヒック特性が所定の周期τで離散化(BIN化)され、各周期で観測されたトラヒック特性が時系列で数列化される。ステップS202では、相互相関を算出するためのラグ値jにτ秒が設定される。 In step S201, the traffic characteristics of the two SD groups SD1 and SD2 to be calculated this time are discretized (BINed) at a predetermined period τ, and the traffic characteristics observed in each period are converted into a time series. Is done. In step S202, τ seconds is set as the lag value j for calculating the cross-correlation.
ステップS203では、今回のラグ値jに対応する相互相関係数CC(j)が次式(3)に基づいて計算される。本実施形態では、2つの数列をτずつずらして積の和を算出することで相互相関係数が求められる。 In step S203, the cross-correlation coefficient CC (j) corresponding to the current lag value j is calculated based on the following equation (3). In the present embodiment, the cross-correlation coefficient is obtained by calculating the sum of products by shifting two number sequences by τ.
ステップS204では、今回の相互相関係数CC(j)の計算結果を、次式(4)に示したように、ラグ値j=0の場合の各自己相関係数AC1(0),AC2(0)の積の平方根で除すことにより、当該相互相関係数CC(j)が正規化される。 In step S204, the calculation result of the current cross-correlation coefficient CC (j) is calculated from the autocorrelation coefficients AC1 (0), AC2 (when the lag value j = 0, as shown in the following equation (4). The cross-correlation coefficient CC (j) is normalized by dividing by the square root of the product of (0).
ステップS205では、ラグ値jが所定の上限値jmaxに達したか否かが判定される。j≧jmaxでなければ、ステップS206へ進んでラグ値jを周期τ秒だけ延長した後にステップS203へ戻り、更新後のラグ値jに対応する相互相関係数CC(j)の計算、正規化が繰り返される。このような自己相関係数CC(j)の計算は、送信元情報が同一のSDグループが他にもある場合には、計算対象を他のSDグループに切り替えながら繰り返される。 In step S205, it is determined whether or not the lag value j has reached a predetermined upper limit value jmax. If j ≧ jmax, the process proceeds to step S206 to extend the lag value j by the period τ seconds and then return to step S203 to calculate and normalize the cross-correlation coefficient CC (j) corresponding to the updated lag value j Is repeated. Such calculation of autocorrelation coefficient CC (j) is repeated while switching the calculation target to another SD group when there is another SD group having the same transmission source information.
次いで、前記相関計算部106および通信識別部107が連携して、各SDグループのセッションをフォアグラウンド通信およびバックグラウンド通信のいずれかに識別する手順について説明する。 Next, a procedure in which the correlation calculation unit 106 and the communication identification unit 107 cooperate to identify each SD group session as either foreground communication or background communication will be described.
図7は、第1の通信識別方法を示したフローチャートであり、ステップS301では、ネットワークから収集されたトラヒック情報が、前記セッション分類部103により、その送信元情報及び宛先情報に基づいてSDグループ化される。ステップS302では、トラヒック特性の一つが今回の識別指標として選択される。ここでは、DLパケット数が選択されたものとして説明を続ける。 FIG. 7 is a flowchart showing the first communication identification method. In step S301, the traffic information collected from the network is grouped into SD groups by the session classification unit 103 based on the transmission source information and destination information. Is done. In step S302, one of the traffic characteristics is selected as the current identification index. Here, the description will be continued assuming that the number of DL packets is selected.
ステップS303では、前記トラヒック特性分析部104および特性数列生成部105により、DLパケット数がbinごとに収集されて離散化され、各離散値を要素とする特性数列が生成される。ステップS304では、前記相関計算部106の自己相関計算部106aにより、前記特性数列の自己相関係数ACがラグ値jごとに計算される。 In step S303, the traffic characteristic analysis unit 104 and the characteristic number sequence generation unit 105 collect and discretize the number of DL packets for each bin, and generate a characteristic number sequence having each discrete value as an element. In step S304, the autocorrelation coefficient AC of the characteristic number sequence is calculated for each lag value j by the autocorrelation calculation unit 106a of the correlation calculation unit 106.
ステップS305では、ラグ値jごとに計算された各自己相関係数AC(j)が所定のバックグラウンド判定閾値(第1閾値)ACrefと比較される。第1閾値ACrefを超える自己相関係数AC(j)が一つでも存在すればステップS306へ進み、当該SDグループのセッションがバックグラウンド通信に識別される。 In step S305, each autocorrelation coefficient AC (j) calculated for each lag value j is compared with a predetermined background determination threshold (first threshold) ACref. If there is even one autocorrelation coefficient AC (j) exceeding the first threshold ACref, the process proceeds to step S306, and the session of the SD group is identified as background communication.
これに対して、第1閾値ACrefを超える自己相関係数AC(j)が一つも存在しなければステップS307へ進み、DLパケット数以外の他のトラヒック特性を指標とした判定が完了したか否かが判定される。予定されている全てのトラヒック特性を指標とした判定が完了していなければステップS302へ戻り、注目するトラヒック特性を、例えばスループット特性や各種の遅延特性に切り替えて上記の各処理が繰り返される。 On the other hand, if there is no autocorrelation coefficient AC (j) exceeding the first threshold ACref, the process proceeds to step S307, and whether or not the determination using other traffic characteristics as the index other than the number of DL packets is completed. Is determined. If the determination using all scheduled traffic characteristics as an index has not been completed, the process returns to step S302, and the above-described processing is repeated while switching the traffic characteristics of interest to, for example, the throughput characteristics or various delay characteristics.
このようにして、予定されている各トラヒック特性を指標とする全ての判定が完了しても、依然としてバックグラウンド通信と判定されなければステップS308へ進み、注目したSDグループのセッションがフォアグラウンド通信と判定される。 In this way, even if all the determinations using each scheduled traffic characteristic as an index are completed, if the background communication is not still determined, the process proceeds to step S308, and the session of the focused SD group is determined to be the foreground communication. Is done.
なお、上記に実施形態では、ステップS304において自己相関係数ACが計算されるものとして説明したが、本発明はこれのみに限定されるものではなく、予めバックグラウンド通信に識別されているトラヒック特性との相互相関係数CCが計算されるようにしても良い。この場合、ステップS304では相互相関係数CCが所定のバックグラウンド判定閾値(第2閾値)CCrefと比較されることになる。 In the embodiment described above, the autocorrelation coefficient AC is calculated in step S304. However, the present invention is not limited to this, and the traffic characteristics identified in the background communication in advance. The cross-correlation coefficient CC may be calculated. In this case, in step S304, the cross-correlation coefficient CC is compared with a predetermined background determination threshold value (second threshold value) CCref.
本実施形態によれば、トラヒック特性の自己相関が高いセッションは、ユーザ操作とは無関係にOSやアプリケーションが自動的、機械的に実行するバックグラウンド通信に識別されるので、ネットワーク状況やユーザ移動等によりセッションの生起時刻の周期性が乱れる場合でも、ユーザ由来・主導のフォアグラウンド通信とバックグラウンド通信とを、パッシブなパケットキャプチャにより低コストかつ少数の測定ポイントだけで識別できるようになる。 According to the present embodiment, a session having a high autocorrelation of traffic characteristics is identified as background communication automatically and mechanically executed by the OS and application regardless of user operation. Thus, even when the periodicity of the occurrence time of the session is disturbed, the foreground communication and the background communication originating from the user and the background communication can be identified with a low cost and a small number of measurement points by passive packet capture.
また、本実施形態によれば、自己相関が低くても、バックグラウンド通信に識別された通信トラヒックの特性数列との相互相関が高く、バックグラウンド通信である可能性が高いセッションはバックグラウンド通信に識別できるので、バックグラウンド通信を確実に識別できるようになる。 Further, according to the present embodiment, even if autocorrelation is low, a session that has a high cross-correlation with the characteristic sequence of communication traffic identified as background communication and is likely to be background communication is used for background communication. Since it can be identified, background communication can be reliably identified.
さらに、本実施形態によれば、一のトラヒック特性に関する相関が低くても、他の一のトラヒック特性に関する相関が高ければバックグラウンド通信に識別されるので、一部のトラヒック特性に対してのみ特異的に高い相関を示すバックグラウンド通信も確実に識別できるようになる。 Furthermore, according to the present embodiment, even if the correlation with respect to one traffic characteristic is low, it is identified as background communication if the correlation with respect to another traffic characteristic is high. Therefore, it is possible to reliably identify background communication having a high correlation.
図8は、第2の通信識別方法を示したフローチャートであり、ステップS401では、ネットワークから収集されたトラヒック情報が、前記セッション分類部103により、その送信元情報及び宛先情報に基づいてSDグループ化される。ステップS402では、トラヒック特性の一つが今回の識別指標として選択される。ここでも、DLパケット数が選択されたものとして説明を続ける。 FIG. 8 is a flowchart showing the second communication identification method. In step S401, the traffic information collected from the network is grouped into SD groups by the session classification unit 103 based on the transmission source information and destination information. Is done. In step S402, one of the traffic characteristics is selected as the current identification index. Here, the description is continued assuming that the number of DL packets is selected.
ステップS403では、前記トラヒック特性分析部104および特性数列生成部105により、DLパケット数がbinごとに収集されて離散化され、各離散値を要素とする特性数列が生成される。ステップS404では、前記相関計算部106の自己相関計算部106aにより、前記特性数列の自己相関係数ACがラグ値jごとに計算される。 In step S403, the traffic characteristic analysis unit 104 and the characteristic number sequence generation unit 105 collect and discretize the number of DL packets for each bin, and generate a characteristic number sequence having each discrete value as an element. In step S404, the autocorrelation calculation unit 106a of the correlation calculation unit 106 calculates the autocorrelation coefficient AC of the characteristic sequence for each lag value j.
ステップS405では、ラグ値jごとに計算された各自己相関係数AC(j)が所定のバックグラウンド判定閾値ACrefと比較される。閾値ACrefを超える自己相関係数AC(j)が一つでも存在すればステップS406へ進み、当該SDグループのセッションがバックグラウンド通信に識別される。 In step S405, each autocorrelation coefficient AC (j) calculated for each lag value j is compared with a predetermined background determination threshold ACref. If there is even one autocorrelation coefficient AC (j) exceeding the threshold ACref, the process proceeds to step S406, and the session of the SD group is identified as background communication.
これに対して、閾値ACrefを超える自己相関係数AC(j)が一つも存在しなければステップS407へ進み、DLパケット数以外の他のトラヒック特性を指標とした判定が完了したか否かが判定される。予定されている全てのトラヒック特性を指標とした判定が完了していなければステップS402へ戻り、注目するトラヒック特性を切り替えて上記の各処理が繰り返される。 On the other hand, if there is no autocorrelation coefficient AC (j) exceeding the threshold ACref, the process proceeds to step S407, and it is determined whether or not the determination using other traffic characteristics other than the number of DL packets as an index is completed. Determined. If the determination using all scheduled traffic characteristics as an index has not been completed, the process returns to step S402, and the above-described processes are repeated while switching the traffic characteristics of interest.
このようにして、予定されている各トラヒック特性を指標とする判定が全て完了しても依然としてバックグラウンド通信と判定されなければステップS408へ進み、これまでにバックグラウンド通信と判定されたトラヒック特性の一つが注目される。 In this way, even if all the determinations using each scheduled traffic characteristic as an index are completed, if it is still not determined to be background communication, the process proceeds to step S408, and the traffic characteristics that have been determined as background communication so far are determined. One is noted.
ステップS409では、トラヒック特性の一つが今回の識別指標として選択される。ステップS410では、前記トラヒック特性分析部104および特性数列生成部105により、DLパケット数がbinごとに収集されて離散化され、各離散値を要素とする特性数列が生成される。 In step S409, one of the traffic characteristics is selected as the current identification index. In step S410, the traffic characteristic analysis unit 104 and the characteristic number sequence generation unit 105 collect and discretize the number of DL packets for each bin, and generate a characteristic number sequence having each discrete value as an element.
ステップS411では、前記相関計算部106において、前記生成された特性数列と前記バックグラウンド通信に識別されている通信トラヒックの特性数列との相互相関係数CC(j)が前記相互相関計算部106bによりラグ値jごとに計算される。 In step S411, the correlation calculation unit 106 generates a cross-correlation coefficient CC (j) between the generated characteristic number sequence and the characteristic number sequence of communication traffic identified in the background communication by the cross-correlation calculation unit 106b. Calculated for each lag value j.
ステップS412では、ラグ値jごとに計算された各相互相関係数CC(j)が所定のバックグラウンド判定閾値CCrefと比較される。閾値CCrefを超える相互相関係数CC(j)が一つでも存在すればステップS414へ進み、当該SDグループのセッションがバックグラウンド通信に識別される。 In step S412, each cross-correlation coefficient CC (j) calculated for each lag value j is compared with a predetermined background determination threshold CCref. If there is even one cross-correlation coefficient CC (j) exceeding the threshold value CCref, the process proceeds to step S414, and the session of the SD group is identified as background communication.
これに対して、閾値CCrefを超える相互相関係数CC(j)が一つも存在しなければステップS413へ進み、DLパケット数以外の他のトラヒック特性を指標とした判定が全て完了したか否かが判定される。未判定の指標が残っていればステップS409へ戻り、注目するトラヒック特性を切り替えて上記の各処理が繰り返される。 On the other hand, if there is no cross-correlation coefficient CC (j) exceeding the threshold value CCref, the process proceeds to step S413, and whether or not all determinations using other traffic characteristics other than the number of DL packets as an index have been completed. Is determined. If there remains an undetermined index, the process returns to step S409, and the above-described processes are repeated while switching the traffic characteristics of interest.
このようにして、予定されている各トラヒック特性を指標とした判定が全て完了しても依然としてバックグラウンド通信と判定されなければ、ステップS415へ進んでフォアグラウンド通信と判定される。 In this way, even if all the determinations using each scheduled traffic characteristic as an index are completed, if the background communication is still not determined, the process proceeds to step S415 and the foreground communication is determined.
本実施形態によれば、自己相関が低くても、相互相関の高いセッションはバックグラウンド通信に識別されるので、同一のバックグラウンド処理内で複数のサーバとの間に同様の手順でセッションの確立を繰り返す通信については、自己相関にかかわらずバックグラウンド通信に識別できるようになる。 According to the present embodiment, even if autocorrelation is low, a session with high cross-correlation is identified as background communication. Therefore, session establishment is performed in the same procedure with multiple servers within the same background processing. Communication that repeats can be identified as background communication regardless of autocorrelation.
なお、上記の各実施形態ではラグ値jが固定値であるものとして説明したが、本発明はこれのみに限定されるものではなく、自己相関や相互相関が増加する時間幅を適応的に算出し、相関係数が所定の閾値を超える割合が所定量以上となる値を利用しても良いし、あるいは分布値(80%ile値や90%ile値など)や尤度が所定値以上となる値を利用するようにしても良い。 In each of the above embodiments, the lag value j is described as a fixed value. However, the present invention is not limited to this, and the time width during which autocorrelation and cross-correlation increase is adaptively calculated. However, it is possible to use a value at which the rate at which the correlation coefficient exceeds a predetermined threshold is a predetermined amount or more, or a distribution value (80% ile value, 90% ile value, etc.) or likelihood is a predetermined value or more. You may make it utilize the value which becomes.
1…キャプチャ装置,101…通信トラヒック検知部,102…ログ情報管理部,103…セッション分類部,104…トラヒック特性分析部,105…特性数列生成部,106…相関計算部,106a…自己相関計算部,106b…相互相関計算部,107…通信識別部 DESCRIPTION OF SYMBOLS 1 ... Capture apparatus, 101 ... Communication traffic detection part, 102 ... Log information management part, 103 ... Session classification part, 104 ... Traffic characteristic analysis part, 105 ... Characteristic sequence generation part, 106 ... Correlation calculation part, 106a ... Autocorrelation calculation , 106b ... cross-correlation calculator, 107 ... communication identification unit
Claims (8)
ネットワーク上で観測される通信トラヒックを、その送信元情報および宛先情報の組み合わせに固有のSDグループに分類する分類手段と、
SDグループごとにトラヒック特性の時系列変動を分析するトラヒック特性分析手段と、
前記トラヒック特性の時系列変動を単位時間幅のbinごとに離散化してトラヒック特性数列を生成する特性数列生成手段と、
前記トラヒック特性数列の相関特性を計算する相関計算手段と、
前記相関特性に基づいて通信トラヒックを識別する通信識別手段とを具備したことを特徴とする通信識別装置。 In a communication identification device that identifies communication traffic as either foreground communication or background communication,
Classification means for classifying communication traffic observed on the network into an SD group specific to the combination of the source information and the destination information,
Traffic characteristic analysis means for analyzing time series fluctuations in traffic characteristics for each SD group ;
Characteristic sequence generation means for generating a traffic characteristic sequence by discretizing the time-series variation of the traffic characteristics for each bin of unit time width;
Correlation calculating means for calculating correlation characteristics of the traffic characteristic sequence ;
A communication identification device comprising communication identification means for identifying communication traffic based on the correlation characteristic.
前記通信識別手段は、自己相関が所定の第1閾値を超える通信トラヒックをバックグラウンド通信に識別することを特徴とする請求項1に記載の通信識別装置。 The correlation calculation means comprises an autocorrelation calculation means for calculating an autocorrelation of traffic characteristics for each SD group,
The communication identification device according to claim 1, wherein the communication identification unit identifies communication traffic having an autocorrelation exceeding a predetermined first threshold value as background communication.
前記通信識別手段は、相互相関が所定の第2閾値を超える通信トラヒックをバックグラウンド通信に識別することを特徴とする請求項2に記載の通信識別装置。 The correlation calculation means comprises a cross-correlation calculation means for calculating a cross-correlation between the traffic characteristics of one SD group and the traffic characteristics of communication traffic identified as background communication in the other SD group,
The communication identification device according to claim 2, wherein the communication identification unit identifies communication traffic whose cross-correlation exceeds a predetermined second threshold as background communication.
前記通信識別手段は、トラヒック特性の自己相関が前記第1閾値を超えず、前記バックグラウンド通信に識別された他の一のSDグループのトラヒック特性との相互相関が所定の第2閾値を超える通信トラヒックをバックグラウンド通信に識別することを特徴とする請求項2に記載の通信識別装置。 The correlation calculation means comprises a cross-correlation calculation means for calculating a cross-correlation between the traffic characteristics of one SD group and the traffic characteristics of another SD group identified in the background communication ,
The communication identifying means is a communication in which the autocorrelation of traffic characteristics does not exceed the first threshold value, and the cross-correlation with the traffic characteristics of another SD group identified in the background communication exceeds a predetermined second threshold value. The communication identification apparatus according to claim 2, wherein traffic is identified as background communication.
ネットワーク上で観測される通信トラヒックを、その送信元情報および宛先情報の組み合わせに固有のSDグループに分類する手順と、
SDグループごとにトラヒック特性の時系列変動を分析する手順と、
前記トラヒック特性の時系列変動を単位時間幅のbinごとに離散化してトラヒック特性数列を生成する手順と、
前記トラヒック特性数列の相関特性を計算する手順と、
前記相関特性に基づいて通信トラヒックを識別する手順とを含むことを特徴とする通信識別方法。 In a communication identification method in which a computer identifies communication traffic as either foreground communication or background communication,
A procedure for classifying communication traffic observed on the network into an SD group specific to the combination of the source information and destination information,
A procedure for analyzing time series fluctuations in traffic characteristics for each SD group,
A procedure for generating a traffic characteristic sequence by discretizing the time-series fluctuation of the traffic characteristic for each bin of unit time width;
Calculating a correlation characteristic of the traffic characteristic sequence ;
A communication identification method comprising: identifying communication traffic based on the correlation characteristic.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014251900A JP6418638B2 (en) | 2014-12-12 | 2014-12-12 | Communication identification method and apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014251900A JP6418638B2 (en) | 2014-12-12 | 2014-12-12 | Communication identification method and apparatus |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016116026A JP2016116026A (en) | 2016-06-23 |
| JP6418638B2 true JP6418638B2 (en) | 2018-11-07 |
Family
ID=56140177
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014251900A Active JP6418638B2 (en) | 2014-12-12 | 2014-12-12 | Communication identification method and apparatus |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6418638B2 (en) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7013650B2 (en) | 2017-01-30 | 2022-02-01 | 富士通株式会社 | Packet processing device and packet processing method |
| JP7040209B2 (en) | 2018-03-27 | 2022-03-23 | 富士通株式会社 | Packet processing device and packet processing method |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6270539B2 (en) * | 2014-02-27 | 2018-01-31 | Kddi株式会社 | Communication identification method and apparatus |
-
2014
- 2014-12-12 JP JP2014251900A patent/JP6418638B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2016116026A (en) | 2016-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11689944B2 (en) | Traffic flow classification using machine learning | |
| CN109981805B (en) | Method and device for domain name resolution | |
| CN107624233B (en) | VPN transmission tunnel scheduling method and device and VPN client server | |
| US10630573B2 (en) | Machine learning for quality of experience optimization | |
| RU2015156608A (en) | NETWORK DEVICE AND SERVICE PROCESS MANAGEMENT METHOD | |
| CN103716251A (en) | Load balancing method and equipment for content distribution network | |
| CN116545936B (en) | Congestion control method, system, device, communication equipment and storage medium | |
| CN107992416B (en) | Method and device for determining webpage time delay | |
| CN105897838A (en) | Network service node selection method and device | |
| EP3593493A1 (en) | Prediction of a performance indicator | |
| CN106412043B (en) | CDN network traffic guidance method and device | |
| JP6418638B2 (en) | Communication identification method and apparatus | |
| JP6347510B2 (en) | Communication behavior analysis apparatus and user experience quality estimation method | |
| JP6033058B2 (en) | Communication path identification device | |
| JP6033069B2 (en) | Communication quality estimation device | |
| US20150029892A1 (en) | Apparatus for detecting a periodicity, a method thereof and a recording medium thereof | |
| JP2009049588A (en) | Wireless environment monitoring apparatus and program for monitoring time occupation ratio of wireless environment | |
| US9049170B2 (en) | Building filter through utilization of automated generation of regular expression | |
| JP6270539B2 (en) | Communication identification method and apparatus | |
| JP6410309B2 (en) | Communication identification method and apparatus | |
| EP3910881B1 (en) | Qoe assessment method and related device | |
| JP2007036839A (en) | Quality degradation isolation device, isolation system, and isolation method in a packet switching network | |
| JP6169954B2 (en) | Service estimation apparatus and method | |
| JP5528372B2 (en) | Flow quality degradation identification device and method | |
| JP6497798B2 (en) | Communication identification method and apparatus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20160823 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170906 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180712 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A132 Effective date: 20180815 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180925 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20181003 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181004 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6418638 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |