Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6743585B2 - Communication analysis device and communication analysis program - Google Patents
[go: Go Back, main page]

JP6743585B2 - Communication analysis device and communication analysis program - Google Patents

Communication analysis device and communication analysis program Download PDF

Info

Publication number
JP6743585B2
JP6743585B2 JP2016166082A JP2016166082A JP6743585B2 JP 6743585 B2 JP6743585 B2 JP 6743585B2 JP 2016166082 A JP2016166082 A JP 2016166082A JP 2016166082 A JP2016166082 A JP 2016166082A JP 6743585 B2 JP6743585 B2 JP 6743585B2
Authority
JP
Japan
Prior art keywords
flow
data
unit
section
storage unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016166082A
Other languages
Japanese (ja)
Other versions
JP2018033106A (en
Inventor
中村 信之
信之 中村
信吾 阿多
信吾 阿多
勝也 大神
勝也 大神
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2016166082A priority Critical patent/JP6743585B2/en
Publication of JP2018033106A publication Critical patent/JP2018033106A/en
Application granted granted Critical
Publication of JP6743585B2 publication Critical patent/JP6743585B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、通信解析装置及び通信解析プログラムに関し、例えば、通信機器の通信情報を収集して通信状態を解析・判別するフロー種別判別装置に適用し得る。 The present invention relates to a communication analysis device and a communication analysis program, and can be applied to, for example, a flow type determination device that collects communication information of a communication device and analyzes/determines the communication state.

一般的に、従来の通信解析・判別装置は、任意のタイミングで通信フローから得られる特徴(パケットサイズ、パケット到着間隔転送時間、転送パケット数、転送バイト数)の統計的な特徴値(最小値(0%値)、中央値(50%値)、最大値(100%値)、平均値、分散値)を算出し、計測環境と同様の環境で事前に学習した特徴植との近似度を基にした判別を行う判別器を用いて、通信状態を判別するものであった(例えば、特許文献1)。 Generally, the conventional communication analysis/determination device has a statistical characteristic value (minimum value) of characteristics (packet size, packet arrival interval transfer time, transfer packet number, transfer byte number) obtained from a communication flow at arbitrary timing. (0% value), median value (50% value), maximum value (100% value), average value, and variance value) are calculated, and the degree of approximation to the characteristic vegetation learned in advance in the same environment as the measurement environment is calculated. The communication state is discriminated using a discriminator that performs discrimination based on the above (for example, Patent Document 1).

特開2015−50473号公報JP, 2005-50473, A

ところで、上記構成の装置では、フロー判別精度を高めるために予め最も判別率が高いことが見込まれるタイミングを調整したり、転送するデータ種別やデータサイズ等のコンテンツに依存する転送時間、転送パケット数、転送バイト数等の値、及び通信環境に応じて変化するRTT(Round Trip Time;往復遅延時間)等の値を用いて判別するように設計して、事前の学習データを準備することが必要であった。 By the way, in the apparatus having the above configuration, in order to improve the accuracy of flow discrimination, the timing at which the discrimination rate is expected to be the highest is adjusted in advance, and the transfer time and the number of transfer packets depending on the content such as the type of data to be transferred and the data size are transferred. It is necessary to prepare learning data in advance by designing so as to make a determination using values such as the number of transfer bytes and the value of RTT (Round Trip Time) that changes according to the communication environment. Met.

しかしながら、上記構成の装置では、パケットロス等の影響によって通信の再送が発生するなどで任意のタイミングで取得するデータがずれた場合に判別精度が下がる場合や、広告種別やユーザ毎の操作の差によって特徴値が変わる可能性のある特徴値によって判別精度が下がる場合や、通信回線の変更やインターネット内の経路変更等のネットワーク特性が変化する場合に学習した特徴値と外れるために判別制度が下がる場合等があった。 However, in the device configured as described above, the accuracy of determination may be reduced when the data to be acquired is deviated at an arbitrary timing due to the retransmission of communication due to the influence of packet loss or the like, or the difference in the operation for each advertisement type or each user. There is a possibility that the feature value may change depending on the feature value.If the discriminant accuracy decreases, or if the network characteristics such as the change of the communication line or the route change in the Internet changes, the discriminant system will decrease because it deviates from the learned feature value. There were cases.

また、上記構成の装置は、特徴値として統計値で多く使われる4分値(0%、25%、50%、75%、100%)を利用していたが、この粒度では特徴値を計算するタイミングによって、特に25%、50%、75%値の値が急激に変化することがあり、判別精度が下がる問題もあった。 In addition, the device having the above-described configuration uses the quadratic value (0%, 25%, 50%, 75%, 100%) that is often used in the statistical value as the characteristic value, but the characteristic value is calculated with this granularity. In particular, the values of 25%, 50%, and 75% may change abruptly depending on the timing of the operation, and there is also a problem that the determination accuracy is lowered.

そのため、通信環境やユーザ環境等の変化に関わらず、効率的に通信状態を判別できる通信解析装置及び通信解析プログラムが望まれている。 Therefore, a communication analysis device and a communication analysis program that can efficiently determine the communication state regardless of changes in the communication environment or the user environment are desired.

第1の本発明の通信解析装置は、第1の通信ネットワークと第2の通信ネットワークの間に配置され、これら2つのネットワーク間で送受信されるパケットの集合体であるフローを解析する通信解析装置において、(1)フロー毎のフローデータを記憶する記憶部と、(2)前記記憶部に記憶される解析するフローのパケット数が、フロー開始点からフローを解析する所定のパケット数である解析パケット数となったタイミングで通知を行う駆動割り込み部と、(3)前記駆動割り込み部から通知を受けた場合に、解析するフローの開始点から前記解析パケット数分の前記フローデータを取得し、取得した前記フローデータを時系列に分割して、前記フロー開始点から各分割点までの複数の算出区間内のデータに対する特徴値を算出する区間分割及び特徴値算出部と、(4)前記区間分割及び特徴値算出部により算出した特徴値のデータ集合の全部又は一部と、予め学習した教師データとの類似性を元に、フロー種別を判別するフロー種別判別部とを有することを特徴とする。 A communication analysis device according to a first aspect of the present invention is arranged between a first communication network and a second communication network, and analyzes a flow that is a set of packets transmitted and received between these two networks. In (1) the storage unit that stores flow data for each flow, and (2) the number of packets of the flow to be analyzed that is stored in the storage unit is a predetermined number of packets for analyzing the flow from the flow start point. A drive interrupt unit that gives a notification at the timing when the number of packets is reached, and (3) when the notification is received from the drive interrupt unit, obtains the flow data for the number of analyzed packets from the start point of the flow to be analyzed, A segment division and feature value calculation unit that divides the acquired flow data in time series and calculates feature values for data in a plurality of calculation segments from the flow start point to each division point, (4) the segment And a flow type determination unit that determines the flow type based on the similarity between all or a part of the data set of the feature values calculated by the division and feature value calculation unit and the pre-learned teacher data. To do.

第2の本発明の通信解析プログラムは、第1の通信ネットワークと第2の通信ネットワークの間に配置され、これら2つのネットワーク間で送受信されるパケットの集合体であるフローを解析する通信解析装置に搭載されるコンピュータを、(1)フロー毎のフローデータを記憶する記憶部と、(2)前記記憶部に記憶される解析するフローのパケット数が、フロー開始点からフローを解析する所定のパケット数である解析パケット数となったタイミングで通知を行う駆動割り込み部と、(3)前記駆動割り込み部から通知を受けた場合に、解析するフローの開始点から前記解析パケット数分の前記フローデータを取得し、取得した前記フローデータを時系列に分割して、前記フロー開始点から各分割点までの複数の算出区間内のデータに対する特徴値を算出する区間分割及び特徴値算出部と、(4)前記区間分割及び特徴値算出部により算出した特徴値のデータ集合の全部又は一部と、予め学習した教師データとの類似性を元に、フロー種別を判別するフロー種別判別部として機能させることを特徴とする。 The communication analysis program according to the second aspect of the present invention is arranged between the first communication network and the second communication network, and analyzes the flow that is a set of packets transmitted and received between these two networks. The computer installed in (1) the storage unit for storing the flow data for each flow, and (2) the number of packets of the flow to be analyzed stored in the storage unit have a predetermined number for analyzing the flow from the flow start point. A drive interrupt unit that gives a notification at the timing when the number of analysis packets is the number of packets, and Acquiring data, dividing the acquired flow data in time series, a section division and a characteristic value calculation unit that calculates characteristic values for data in a plurality of calculation sections from the flow start point to each division point, (4) Functions as a flow type determination unit that determines the flow type based on the similarity between all or a part of the feature value data set calculated by the section division and feature value calculation unit and pre-learned teacher data It is characterized in that

本発明によれば、通信環境やユーザ環境等の変化に関わらずに、効率的に通信状態を判別できる。 According to the present invention, the communication state can be efficiently determined regardless of changes in the communication environment, the user environment, and the like.

実施形態に係るフロー種別判別装置の機能的構成について示したブロック図である。It is a block diagram showing the functional composition of the flow classification discriminating device concerning an embodiment. 実施形態に係るフロー種別判別装置周辺の接続構成の例について示したブロック図である。It is the block diagram shown about the example of the connection structure of the flow classification determination apparatus periphery which concerns on embodiment. 実施形態に係るルータを介して、端末と通信装置との間で送受信されるパケットの一例を示した図である。It is a figure showing an example of a packet transmitted and received between a terminal and a communication apparatus via a router concerning an embodiment. 実施形態に係るフロー特徴値算出区間の一例を示した図である。It is a figure showing an example of a flow feature value calculation section concerning an embodiment. 実施形態に係る区間分割パラメータを用いて分割した特徴値算出区間の一例を示した図である。It is a figure showing an example of a feature value calculation section divided using a section division parameter concerning an embodiment. 実施形態に係るパケットサイズ、及びパケット到着間隔の特徴値算出のイメージを示した図である。It is a figure showing an image of a packet size and a characteristic value calculation of a packet arrival interval concerning an embodiment. 他の実施形態に係るフロー特徴値算出区間の一例を示した図である。It is a figure showing an example of a flow feature value calculation section concerning other embodiments. 他の実施形態に係る区間分割パラメータを用いて分割した特徴値算出区間の一例を示した図である。It is the figure which showed an example of the feature value calculation area divided using the area division parameter which concerns on other embodiment.

(A)主たる実施形態
以下、本発明による通信解析装置及び通信解析プログラムの一実施形態を、図面を参照しながら詳述する。以下では、本発明の通信解析装置及び通信解析プログラムをフロー種別判別装置に適用した例について説明する。
(A) Main Embodiment Hereinafter, one embodiment of a communication analysis device and a communication analysis program according to the present invention will be described in detail with reference to the drawings. Hereinafter, an example in which the communication analysis device and the communication analysis program of the present invention are applied to a flow type determination device will be described.

(A−1)実施形態の構成
図2は、実施形態に係るフロー種別判別装置周辺の接続構成の例について示したブロック図である。
(A-1) Configuration of Embodiment FIG. 2 is a block diagram showing an example of a connection configuration around a flow type determination device according to the embodiment.

図2に示すように、この実施形態のフロー種別判別装置10は、ルータ30からネットワークトラフィックに関する情報を取得し解析処理を行う。 As shown in FIG. 2, the flow type determination device 10 of this embodiment acquires information regarding network traffic from the router 30 and performs analysis processing.

図2に示すように、ルータ30は、ネットワークN1とネットワークN2との間を中継するゲートウェイであるものとする。図2に示すように、ネットワークN1には、1台の端末20が接続されているものとする。また、図2に示すように、ネットワークN2には、1台の通信装置40が接続されているものとする。なお、ネットワークN1、N2に接続される装置の数は限定されないものである。また、ルータ30から端末20へのネットワーク構成、及びルータ30から各通信装置40へのネットワーク構成については限定されないものである。 As shown in FIG. 2, it is assumed that the router 30 is a gateway that relays between the network N1 and the network N2. As shown in FIG. 2, it is assumed that one terminal 20 is connected to the network N1. Further, as shown in FIG. 2, it is assumed that one communication device 40 is connected to the network N2. The number of devices connected to the networks N1 and N2 is not limited. Further, the network configuration from the router 30 to the terminal 20 and the network configuration from the router 30 to each communication device 40 are not limited.

端末20は、通信装置40に接続するアプリケーションがインストールされたコンピュータ(例えば、PC、タブレット、スマートホン等)であるものとする。端末20にインストールされるアプリケーションの数や種類については限定されないものである。端末20は、例えば、通信事業者に接続するユーザ(加入者)が利用する端末である。 The terminal 20 is assumed to be a computer (for example, a PC, a tablet, a smart phone, etc.) in which an application connected to the communication device 40 is installed. The number and types of applications installed in the terminal 20 are not limited. The terminal 20 is, for example, a terminal used by a user (subscriber) connected to a telecommunications carrier.

フロー種別判別装置10は、端末20を1つのユーザとみなしてネットワーク監視(通信トラフィックの解析)を行うものとする。 The flow type determination device 10 regards the terminal 20 as one user and performs network monitoring (analysis of communication traffic).

通信装置40は、端末20との通信を行う装置である。通信装置40の構成については限定されないものであるが、例えば、端末20に対して種々のサービス(例えば、Webサービスやデータベースサービス等)を提供するサーバ(コンピュータ)や、端末20と電話通信するIP電話端末等が該当する。 The communication device 40 is a device that communicates with the terminal 20. Although the configuration of the communication device 40 is not limited, for example, a server (computer) that provides various services (for example, Web service, database service, etc.) to the terminal 20, or an IP that performs telephone communication with the terminal 20. Telephone terminals etc. are applicable.

この実施形態では、ルータ30は、少なくとも3つのインタフェース31、32、33を備えているものとする。インタフェース31、32、33の仕様は限定されていないものであり、例えば、種々のイーサネット(登録商標)インタフェースを適用することができる。この実施形態の例では、ルータ30において、インタフェース31は端末20側のネットワークと接続するインタフェースであり、インタフェース32は通信装置40側と接続するインタフェースであり、インタフェース33はフロー種別判別装置10と接続するインタフェースであるものとする。なお、図2では、説明を簡易とするため、ルータ30が中継するトラフィックとして、端末20と通信装置40との間の通信のみを図示しているが、ルータ30はその他のノード間の通信を中継する構成であってもよいことは当然である。 In this embodiment, the router 30 is assumed to have at least three interfaces 31, 32, 33. The specifications of the interfaces 31, 32, and 33 are not limited, and various Ethernet (registered trademark) interfaces can be applied, for example. In the example of this embodiment, in the router 30, the interface 31 is an interface connected to the network on the terminal 20 side, the interface 32 is an interface connected to the communication device 40 side, and the interface 33 is connected to the flow type determination device 10. Interface. Note that, in FIG. 2, only traffic between the terminal 20 and the communication device 40 is shown as traffic relayed by the router 30 for simplicity of description, but the router 30 does not communicate between other nodes. It goes without saying that it may be configured to relay.

そして、この実施形態では、ルータ30に対して、ミラーリング機能等により、インタフェース31(又はインタフェース32)のトラフィック(パケット)を、インタフェース33にリアルタイムでコピー出力するようにする設定(例えば、ポートミラーリング機能による設定)がなされているものとする。これにより、フロー種別判別装置10は、ルータ30(インタフェース31、インタフェース32)のトラフィック(パケット)のデータを取得することが可能となる。なお、フロー種別判別装置10がトラフィックのデータを取得するための構成については図2の構成に限定されないものである。例えば、フロー種別判別装置10を、ルータ30の前段(ルータ30と端末20との間)に配置して、ルータ30(インタフェース31)で入出力されるトラフィック(パケット)をコピーするようにしてもよいし、タップ(スプリッタ)等により端末20側からルータ30に供給される信号を分岐して、フロー種別判別装置10にルータ30(インタフェース31)で入出力されるトラフィック(パケット)を供給するようにしてもよい。また、ルータ30とフロー種別判別装置10の間のインタフェースは、イーサネットでなくてもよく、フロー種別判別装置10の機能が組み込めるルータ30であれば、ソフトウェアとしてルータ30の内部に実装して、フローデータをルータのメモリ上で受け取っても良い。 In this embodiment, the router 30 is configured to copy the traffic (packet) of the interface 31 (or the interface 32) to the interface 33 in real time by the mirroring function or the like (for example, the port mirroring function). It is assumed that it has been set). As a result, the flow type determination device 10 can acquire the traffic (packet) data of the router 30 (interface 31, interface 32). The configuration for the flow type determination device 10 to acquire traffic data is not limited to the configuration in FIG. For example, the flow type determination device 10 may be arranged in the preceding stage of the router 30 (between the router 30 and the terminal 20) to copy the traffic (packet) input/output by the router 30 (interface 31). The signal supplied from the terminal 20 to the router 30 is branched by a tap (splitter) or the like so that the traffic (packet) input/output to/from the router 30 (interface 31) is supplied to the flow type determination device 10. You may Further, the interface between the router 30 and the flow type determination device 10 does not have to be Ethernet, and if the function of the flow type determination device 10 can be incorporated, the interface is installed as software inside the router 30 and the flow is The data may be received on the memory of the router.

次に、フロー種別判別装置10の内部構成について図1を用いて説明する。 Next, the internal configuration of the flow type determination device 10 will be described with reference to FIG.

フロー種別判別装置10は、受信部11、フローデータ一時保管部12、エンジン駆動割り込み部13、区間分割及び特徴値算出部14、フロー種別判別部15、及び送信部16を有している。 The flow type determination device 10 includes a reception unit 11, a flow data temporary storage unit 12, an engine drive interrupt unit 13, a section division/feature value calculation unit 14, a flow type determination unit 15, and a transmission unit 16.

フロー種別判別装置10は、例えば、プロセッサ及びメモリを有するコンピュータに、プログラム(実施形態に係る通信解析プログラムを含む)をインストールすることにより実現するようにしてもよい。また、フロー種別判別装置10において、一部又は全部の処理をハードウェア(例えば、専用の半導体チップ等)により実現するようにしてもよい。 The flow type determination device 10 may be realized by, for example, installing a program (including the communication analysis program according to the embodiment) in a computer having a processor and a memory. Further, in the flow type determination device 10, part or all of the processing may be realized by hardware (for example, a dedicated semiconductor chip or the like).

受信部11は、ルータ30のトラフィック(パケット)を受信する通信部である。 The receiving unit 11 is a communication unit that receives the traffic (packet) of the router 30.

フローデータ一時保管部12は、受信部11が受信したパケットを一時的に記憶(保管)するデータベースである。なお、フローデータ一時保管部12は、データ本体部(ペイロード)を含むパケットデータを記憶しても良いし、パケットの通信情報だけを記憶しても良い。 The flow data temporary storage unit 12 is a database that temporarily stores (stores) the packets received by the reception unit 11. The flow data temporary storage unit 12 may store packet data including a data body (payload), or may store only packet communication information.

エンジン駆動割り込み部13は、フローデータ一時保管部12の更新を監視し、フローデータ一時保管部12に所定パケット数が記憶されたタイミングで、区間分割及び特徴値算出部14に通知を行う。エンジン駆動割り込み部13は、時系列のフローを分割するパラメータである区間分割パラメータm、及びn分値の粒度を定める粒度パラメータnを有する。両パラメータの詳細については動作の項で明らかにする。 The engine drive interrupt unit 13 monitors the update of the flow data temporary storage unit 12 and notifies the section division and characteristic value calculation unit 14 at the timing when the predetermined number of packets is stored in the flow data temporary storage unit 12. The engine drive interrupt unit 13 has an interval division parameter m that is a parameter for dividing a time-series flow, and a granularity parameter n that determines the granularity of n-minute values. Details of both parameters will be clarified in the operation section.

なお、エンジン駆動割り込み部13は、区間分割及び特徴値算出部14への通知に際し、フローを一意に特定する、例えば、5tuples(送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル)等のパラメータ、区間分割パラメータm、及び粒度パラメータnを送付する。 The engine drive interrupt unit 13 uniquely identifies the flow when the section division and the characteristic value calculation unit 14 are notified, for example, 5tuples (source IP address, destination IP address, source port number, destination port number). , Parameter), interval division parameter m, and granularity parameter n.

区間分割及び特徴値算出部14は、エンジン駆動割り込み部13から取得したパラメータを基に、フローデータ一時保管部12からフローの開始から割り込みタイミングまでのパケットのフロー情報(フローデータ)を取得する。区間分割及び特徴値算出部14は、3方向(双方向、上り方向、下り方向)の各フローについて、区間分割パラメータmを用いて分割し、各区間の特徴(この実施形態では、パケットサイズ、及びパケット到着間隔を用いるが、他の特徴を用いても良い)の特徴値(n分値、平均値、分散値)を算出する。区間分割及び特徴値算出部14は、算出した特徴値のデータ集合(データセット)をフロー種別判別部15に送付する。なお、区間分割及び特徴値算出部14の詳しい動作については、動作の項で詳述する。 The section division/feature value calculation unit 14 acquires the flow information (flow data) of the packet from the flow start to the interrupt timing from the flow data temporary storage unit 12 based on the parameters acquired from the engine drive interrupt unit 13. The section division/feature value calculation unit 14 divides each of the flows in the three directions (bidirectional, upstream, and downstream) using the section division parameter m, and the characteristics of each section (packet size, packet size in this embodiment, And the packet arrival interval are used, but other features may be used) to calculate the feature value (n-minute value, average value, variance value). The section division/feature value calculation unit 14 sends the calculated feature value data set (data set) to the flow type determination unit 15. The detailed operation of the section division/feature value calculation unit 14 will be described in detail in the operation section.

また、区間分割及び特徴値算出部14は、フローデータ一時保管部12に統計計算能力がある場合(上述の区間分割及び特徴値算出部14の機能を有する場合)には、上記で計算したい情報をフローデータ一時保管部12に問い合わせて特徴値を受け取っても良い。あるいは、計算する統計値が変動しない場合等には、フローデータ一時保管部12にデータが投入された際に同時に計算してそれぞれの特徴値をデータとして保持し、区間分割及び特徴値算出部14は、そのデータを収集してフロー種別判別部15に送付しても良い。 When the flow data temporary storage unit 12 has a statistical calculation capability (when it has the function of the section division and feature value calculation unit 14 described above), the section division and feature value calculation unit 14 calculates the information to be calculated above. May be inquired to the flow data temporary storage unit 12 to receive the characteristic value. Alternatively, when the statistical value to be calculated does not change, for example, when the data is input to the flow data temporary storage unit 12, it is calculated at the same time and each characteristic value is held as data, and the section division and characteristic value calculation unit 14 May collect the data and send it to the flow type determination unit 15.

フロー種別判別部15は、区間分割及び特徴値算出部14から取得したデータセットと、事前に学習した教師データとに基づき、最も類似するフロー種別を特定する。 The flow type determination unit 15 identifies the most similar flow type based on the data set acquired from the section division/feature value calculation unit 14 and the teacher data learned in advance.

送信部16は、フロー種別判別部15の判定結果を図示しない他装置に送信する通信部である。 The transmission unit 16 is a communication unit that transmits the determination result of the flow type determination unit 15 to another device (not shown).

(A−2)実施形態の動作
次に、以上のような構成を有する第1の実施形態のフロー種別判別装置10の動作を説明する。
(A-2) Operation of Embodiment Next, the operation of the flow type determination device 10 of the first embodiment having the above configuration will be described.

図1、図2を用いて、フロー種別判別装置10の動作について説明する。 The operation of the flow type determination device 10 will be described with reference to FIGS. 1 and 2.

以下では、端末20でユーザの操作によりアプリケーションが動作し、端末20と通信装置40との間でトラフィック(パケットの送受信)が発生したものとする。図3は、ルータ30を介して、端末20と通信装置40との間で送受信されるパケットの一例を示している。図3では、端末20から通信装置40へ送信される上りパケットPu(Pu1〜Pu9)と、通信装置40から端末20へ送信される下りパケットPd(Pd1〜Pd17)を示している。なお、上りパケットPuと下りパケットPdの数は一例であって、これに限定されるものでは無い。 In the following, it is assumed that an application is operated by a user operation on the terminal 20 and traffic (packet transmission/reception) is generated between the terminal 20 and the communication device 40. FIG. 3 shows an example of packets transmitted and received between the terminal 20 and the communication device 40 via the router 30. In FIG. 3, uplink packets Pu (Pu1 to Pu9) transmitted from the terminal 20 to the communication device 40 and downlink packets Pd (Pd1 to Pd17) transmitted from the communication device 40 to the terminal 20 are shown. Note that the numbers of the upstream packets Pu and the downstream packets Pd are merely examples, and the number is not limited to this.

端末20と通信装置40との間でトラフィックが発生すると、ルータ30(端末20側と接続するインタフェース31)のトラフィック(パケット)がインタフェース33を介して、フロー種別判別装置10(受信部11)に供給されることになる。 When traffic occurs between the terminal 20 and the communication device 40, the traffic (packet) of the router 30 (interface 31 connected to the terminal 20 side) is sent to the flow type determination device 10 (reception unit 11) via the interface 33. Will be supplied.

トラフィックが供給されるとフロー種別判別装置10の受信部11は、そのトラフィック(パケット)を、フローデータ一時保管部12に供給する。フローデータ一時保管部12は、供給されたパケットを記憶する。 When the traffic is supplied, the reception unit 11 of the flow type determination device 10 supplies the traffic (packet) to the flow data temporary storage unit 12. The flow data temporary storage unit 12 stores the supplied packet.

エンジン駆動割り込み部13は、フローデータ一時保管部12の更新情報を参照し、フローの状態を監視している。 The engine drive interrupt unit 13 refers to the update information of the flow data temporary storage unit 12 to monitor the flow status.

エンジン駆動割り込み部13は、フローデータ一時保管部12に新たに保管されたフローを順次解析対象とし、解析するフローのパケット数が任意の数となった場合(又は所定時間が経過した場合)には、フローを一意に特定できる5−tuples等のフロー特定パラメータ、並びに、区間分割パラメータm、及び粒度パラメータn(設定パラメータ)を区間分割及び特徴値算出部14に送付する。 The engine drive interrupt unit 13 sequentially analyzes the flows newly stored in the flow data temporary storage unit 12, and when the number of packets of the analyzed flow becomes an arbitrary number (or when a predetermined time has elapsed). Sends a flow specifying parameter such as 5-tuples capable of uniquely specifying a flow, a section dividing parameter m, and a granularity parameter n (setting parameter) to the section dividing and feature value calculating unit 14.

区間分割及び特徴値算出部14は、エンジン駆動割り込み部13から取得したフロー特定パラメータ、及び設定パラメータを基に、フローデータ一時保管部12から、任意の数(x)のパケットの集合体であるフローデータを取得する。 The section division/feature value calculation unit 14 is an aggregate of an arbitrary number (x) of packets from the flow data temporary storage unit 12 based on the flow identification parameter and the setting parameter acquired from the engine drive interrupt unit 13. Get flow data.

区間分割及び特徴値算出部14は、取得したフローデータを時系列のデータ(図4)として取り扱い、3方向(双方向、上り方向、下り方向)のフローについて、特徴値(統計値)を算出する。 The section division and characteristic value calculation unit 14 treats the acquired flow data as time-series data (FIG. 4) and calculates characteristic values (statistical values) for flows in three directions (bidirectional, upstream, downstream). To do.

図4において、タイミングt1は、双方向フロー(上りフロー)の特徴値を算出する区間(双方向フロー特徴値算出区間I1、上りフロー特徴値算出区間I2)の開始地点である。また、タイミングt1は、ルータ30(フロー種別判別装置10)に、当該フローの初めてのパケットである上りパケットPu1が供給されたタミングでもある。タイミングt2は、下りフローの特徴値を算出する区間(下りフロー特徴値算出区間I3)の開始地点である。また、タイミングt2は、ルータ30(フロー種別判別装置10)に、下り方向の初めてのパケットである下りパケットPd1が供給されたタミングでもある。 In FIG. 4, timing t1 is the start point of the section (bidirectional flow characteristic value calculation section I1, upstream flow characteristic value calculation section I2) for calculating the characteristic value of the bidirectional flow (upstream flow). The timing t1 is also a timing when the router 30 (flow type determination device 10) is supplied with the upstream packet Pu1 which is the first packet of the flow. Timing t2 is a start point of a section (downstream flow characteristic value calculation section I3) for calculating a downstream flow characteristic value. The timing t2 is also a timing when the router 30 (flow type determination device 10) is supplied with the downlink packet Pd1 which is the first packet in the downlink direction.

タイミングt3は、上りフロー特徴値算出区間I2の終了地点(図4の例では、上りパケットPuaが供給されたタミング)である。また、タイミングt4は、双方向フロー特徴値算出区間I1(下りフロー特徴値算出区間I3)の終了地点(図4の例では、下りパケットPd(x−a)が供給されたタミング)である。 Timing t3 is the end point of the upstream flow characteristic value calculation section I2 (in the example of FIG. 4, the timing at which the upstream packet Pua is supplied). Further, the timing t4 is the end point of the bidirectional flow feature value calculation section I1 (downstream flow feature value calculation section I3) (in the example of FIG. 4, the timing at which the downlink packet Pd(x-a) is supplied).

双方向フロー特徴値算出区間I1内では、a個の上りパケットPuと、x−a個の下りパケットPdの合計値であるxパケットが特徴値の算出対象である。また、上りフロー特徴値算出区間I2内では、a個の上りパケットPuが特徴値の算出対象である。さらに、下りフロー特徴値算出区間I3内では、x−a個の下りパケットPdが特徴値の算出対象である。 In the bidirectional flow characteristic value calculation section I1, the x packet, which is the total value of the a number of upstream packets Pu and the x−a number of downstream packets Pd, is the target of the characteristic value calculation. Further, in the upstream flow characteristic value calculation section I2, a number of upstream packets Pu are the target of characteristic value calculation. Further, in the downlink flow characteristic value calculation section I3, xa downlink packets Pd are the target of the characteristic value calculation.

区間分割及び特徴値算出部14は、双方向フロー特徴値算出区間I1、上りフロー特徴値算出区間I2、及び下りフロー特徴値算出区間I3内を、区間分割パラメータmを用いて細分化する。 The section division and characteristic value calculation unit 14 subdivides the inside of the bidirectional flow characteristic value calculation section I1, the upstream flow characteristic value calculation section I2, and the downstream flow characteristic value calculation section I3 using the section division parameter m.

図5は、区間分割パラメータmを用いて分割した特徴値算出区間の一例を示す図である。なお、図5(A)において、特徴値算出区間Iは、先述の双方向フロー特徴値算出区間I1、上りフロー特徴値算出区間I2、及び下りフロー特徴値算出区間I3のいずれかが該当する。また、図5では、y個のパケットが図示されているが、yの値は、双方向フローのx、上りフローのa、下りフローのx−aのいずれかが該当する。 FIG. 5 is a diagram showing an example of the feature value calculation section divided using the section division parameter m. In FIG. 5(A), the characteristic value calculation section I corresponds to any of the bidirectional flow characteristic value calculation section I1, the upstream flow characteristic value calculation section I2, and the downstream flow characteristic value calculation section I3 described above. Further, in FIG. 5, y packets are illustrated, but the value of y corresponds to x of a bidirectional flow, a of an upstream flow, or x-a of a downstream flow.

図5(A)では、特徴値算出区間I(1パケット目(P♯1)からyパケット目(P♯y)までの区間)を、m個に分割した例が示されている。また、図5(B)では、特徴値算出区間I内の特徴値を算出する区間S1〜区間Sm(m個の区間)を図示している。例えば、区間S1の算出区間は、1〜y/mであり、区間Smの算出区間は、1〜yである。 FIG. 5A shows an example in which the characteristic value calculation section I (the section from the first packet (P#1) to the yth packet (P#y)) is divided into m pieces. In addition, in FIG. 5B, a section S1 to a section Sm (m sections) for calculating the feature value in the feature value calculation section I are illustrated. For example, the calculation section of the section S1 is 1 to y/m, and the calculation section of the section Sm is 1 to y.

ここまでの区間分割及び特徴値算出部14の処理により、フローデータ一時保管部12から取得したフロー(フローデータ)の特徴値は、3(3方向のフロー)*m(m区間)個のバリエーションを持つことになる。 The feature value of the flow (flow data) acquired from the flow data temporary storage unit 12 by the processing of the section division and the feature value calculation unit 14 up to this point is 3 (three-direction flow)*m (m section) variations. Will have.

さらに、区間分割及び特徴値算出部14は、3*m個のバリエーションについて、パケットサイズ、及びパケット到着間隔の特徴値を、粒度パラメータnを用いて算出する。 Further, the section division and characteristic value calculation unit 14 calculates the characteristic value of the packet size and the packet arrival interval for the 3*m variations using the granularity parameter n.

図6は、パケットサイズ、及びパケット到着間隔の特徴値算出のイメージを示す説明図である。図6(A)は、特徴値として算出するパケットサイズ、及びパケット到着間隔のデータ集合のイメージを示している。 FIG. 6 is an explanatory diagram showing an image of calculating feature values of the packet size and the packet arrival interval. FIG. 6A shows an image of a data set of a packet size calculated as a feature value and a packet arrival interval.

図6(B)は、パケットサイズ、及びパケット到着間隔の特徴値であるn分値、平均値、分散値を示している。図6(B)において、n分値のnの値は、設定された粒度パラメータnの値によって定まる。 FIG. 6(B) shows the n-minute value, the average value, and the variance value that are the characteristic values of the packet size and the packet arrival interval. In FIG. 6B, the value of n of the n-minute value is determined by the value of the set granularity parameter n.

例えば、粒度パラメータn=20のとき、n分値は、0%値(最小値)、5%値、10%値、15%値、…、50%値(中央値)、…、90%値、95%値、100%値(最大値)となる。なお、粒度パラメータnの値が、100で割り切れない文位数、例えばn=12のときには、n分値は、0%値(最小値)、12%値、24%値、36%値、・・・、72%値、84%値、96%値等としても良く、対応する学習データがあれば値に関係なく適用できる。 For example, when the particle size parameter n=20, the n-minute value is 0% value (minimum value), 5% value, 10% value, 15% value, ..., 50% value (median value), ..., 90% value. , 95% value, 100% value (maximum value). When the value of the granularity parameter n is not divisible by 100, for example, n=12, the n-minute value is 0% value (minimum value), 12% value, 24% value, 36% value,... .., 72% value, 84% value, 96% value, etc., and if there is corresponding learning data, it can be applied regardless of the value.

ここまで、粒度パラメータnを用いることにより、パケットサイズとパケット到着間隔に対して、(n+1(0%〜100%値(若しくは、一番近い値))+2(平均値、分散値))*2(パケットサイズ、パケット到着間隔)の要素が特徴値として算出されることになる。 Up to this point, by using the granularity parameter n, (n+1 (0% to 100% value (or the closest value))+2 (average value, variance value))*2 with respect to the packet size and the packet arrival interval. The element of (packet size, packet arrival interval) is calculated as the characteristic value.

そして、区間分割及び特徴値算出部14は、最終的に、フロー3方向のm分割されたデータに対して、n分値等を求めることになるので、図6(C)に示すように、(n+1(0%〜100%値)+2(平均値、分散値)*2(パケットサイズ、パケット到着間隔)*m(区間数)*2*(パケットサイズ、パケット到着間隔)*3(フロー方向))の要素が特徴値として算出されることになる。 Then, the interval division/feature value calculation unit 14 finally obtains an n-minute value or the like for the m-divided data in the flow 3 direction, so as shown in FIG. (N+1 (0% to 100% value) + 2 (average value, variance value) *2 (packet size, packet arrival interval) *m (number of sections) *2 * (packet size, packet arrival interval) *3 (flow direction )) element is calculated as a feature value.

区間分割及び特徴値算出部14は、算出した特徴値(パラメータ)の全部又は一部の集合体(データセット)をフロー種別判別部15に送付する。 The section division and characteristic value calculation unit 14 sends the aggregate (data set) of all or a part of the calculated characteristic values (parameters) to the flow type determination unit 15.

フロー種別判別部15は、区間分割及び特徴値算出部14より取得したデータセットと、予め学習してあるデータセット(教師データ)との近似度を計算し、尤も近いと考えられるフローの種別を判別する。 The flow type determination unit 15 calculates the degree of approximation between the data set acquired from the section division/feature value calculation unit 14 and the data set (teacher data) that has been learned in advance, and determines the flow type considered to be close to each other. Determine.

フロー種別判別部15は、送信部16を介して、フローの種別の判別結果を他装置に送信する。また、フロー種別判別部15は、自装置を操作するオペレータや解析者等に情報を提供するためにディスプレイ等のユーザインタフェースに当該判別結果を提供してもよい。 The flow type determination unit 15 transmits the determination result of the flow type to another device via the transmission unit 16. Further, the flow type determination unit 15 may provide the determination result to a user interface such as a display in order to provide information to an operator who operates the device, an analyst, or the like.

(A−3)実施形態の効果
この実施形態によれば、以下のような効果を奏することができる。
(A-3) Effects of the Embodiment According to this embodiment, the following effects can be achieved.

フロー種別判別装置10は、区間分割及び特徴値算出部14を設けることにより、m個に分割された時系列フローデータの各分割点における特徴値データセットと統計的なn分値の特徴値データセットを新たに生成し、フローの判別を行うことが可能となった。これは、従来の環境依存性の高いデータセットや接続先のウェブサーバやユーザ毎の動作の違いに影響を受けるコンテンツ依存のデータセットを利用することなく、パケットサイズとパケット到着間隔のみを用いて判別が可能となることを意味する。この実施形態のフロー種別判別装置10は、特定の環境や利用方法に依存しない汎用的なフロー種別の識別を可能とするという効果が得られる。 The flow type determination device 10 is provided with the section division and characteristic value calculation unit 14 so that the characteristic value data set at each division point of the time-series flow data divided into m pieces and the characteristic value data of the statistical n-minute value. It became possible to newly generate a set and determine the flow. This uses only the packet size and the packet arrival interval without using the conventional environment-dependent data set, the connected web server, or the content-dependent data set that is affected by the difference in operation of each user. This means that it is possible to make a distinction. The flow type determination device 10 of this embodiment has an effect of enabling the identification of a general-purpose flow type that does not depend on a specific environment or usage method.

また、従来、フロー種別判別装置と同様の機能を持つ機器を設置した後、その環境下において、学習データセットを十分な量だけ学習させる必要があったが、この実施形態では、そのような環境に応じた学習が不要となる効果も得られる。 Further, conventionally, after installing a device having a function similar to that of the flow type determination device, it was necessary to learn a sufficient amount of the learning data set under the environment. There is also an effect that learning according to is unnecessary.

(B)他の実施形態
本発明は、上記実施形態に限定されるものではなく、以下に例示するような変形実施形態も挙げることができる。
(B) Other Embodiments The present invention is not limited to the above-described embodiments, and can include modified embodiments as exemplified below.

(B−1)上記実施形態では、区間分割及び特徴値算出部14は、先述の図4で示したように、フロー特徴値算出区間を双方向フローのタイミングで合わせていた。言い換えれば、区間分割及び特徴値算出部14は、ルータ30(フロー種別判別装置10)が受信する上りパケットPuと下りパケットPdの合計がxパケット目となるタイミングでフロー特徴値算出区間を調整していた。変形例として、区間分割及び特徴値算出部14は、3方向(双方向、上り方向、下り報告)のそれぞれについて、xパケット目となるタイミングで各フロー特徴値算出区間を調整し、xパケットのフローとして処理しても良い。図7は、他の実施形態に係るフロー特徴値算出区間の一例を示す説明図である。 (B-1) In the above embodiment, the section division/feature value calculation unit 14 matches the flow feature value calculation sections at the timing of the bidirectional flow, as shown in FIG. 4 described above. In other words, the section division/feature value calculation unit 14 adjusts the flow feature value calculation section at the timing when the sum of the upstream packet Pu and the downstream packet Pd received by the router 30 (flow type determination device 10) is the xth packet. Was there. As a modified example, the section division/feature value calculation unit 14 adjusts each flow feature value calculation section at the timing of the x-th packet in each of the three directions (bidirectional, uplink, and downlink reports), and the x-packet It may be processed as a flow. FIG. 7 is an explanatory diagram showing an example of a flow feature value calculation section according to another embodiment.

図7において、双方向フロー特徴値算出区間I1は、フロー開始点(双方向)であるタイミングt1から、a個の上りパケットPuと、b個の下りパケットPdの合計であるxパケットを受信したタイミング(タイミングt3)までが特徴値の算出対象である。また、上りフロー特徴値算出区間I2は、フロー開始点(上り)であるタイミングt1から、x個の上りパケットPuを受信したタイミング(タイミングt5)までが特徴値の算出対象である。さらに、下りフロー特徴値算出区間I3は、フロー開始点(下り)であるタイミングt2から、x個の下りパケットPdを受信したタイミング(タイミングt4)までが特徴値の算出対象である。 In FIG. 7, in the bidirectional flow feature value calculation section I1, from the timing t1 which is the flow start point (bidirectional), x packets, which are the total of a number of upstream packets Pu and b number of downstream packets Pd, are received. The characteristic value is calculated up to the timing (timing t3). In the upstream flow characteristic value calculation section I2, the characteristic value is calculated from the timing t1 which is the flow start point (upstream) to the timing (timing t5) when x pieces of upstream packets Pu are received. Further, in the downstream flow characteristic value calculation section I3, the characteristic value is calculated from the timing t2, which is the flow start point (downstream), to the timing (timing t4) when x pieces of downstream packets Pd are received.

(B−2)また、上記実施形態では、区間分割及び特徴値算出部14は、先述の図5で示したように、フロー特徴値算出区間内の区間算出方法について、1パケット目からm分割した各点までを算出区間としていた。変形例として、区間分割及び特徴値算出部14は、m分割した各区間内を特徴値の算出区間としても良い。図8は、他の実施形態に係る区間分割パラメータmを用いて分割した特徴値算出区間の一例を示す説明図である。図8(B)では、特徴値算出区間I内の特徴値を算出する区間S1〜区間Sm(m個の区間)を図示している。例えば、区間S1の算出区間は、1〜y/mであり、区間S2の算出区間は、y/m〜2y/mである。 (B-2) Further, in the above embodiment, the section division/feature value calculation unit 14 divides the flow feature value calculation section into m divisions from the first packet as shown in FIG. 5 described above. The calculation interval was up to each point. As a modified example, the section division/feature value calculation unit 14 may set each of the m-divided sections as a feature value calculation section. FIG. 8 is an explanatory diagram showing an example of the feature value calculation section divided using the section division parameter m according to another embodiment. In FIG. 8B, a section S1 to a section Sm (m sections) for calculating the feature value in the feature value calculation section I are illustrated. For example, the calculation section of the section S1 is 1 to y/m, and the calculation section of the section S2 is y/m to 2y/m.

10…フロー種別判別装置、11…受信部、12…フローデータ一時保管部、13…エンジン駆動割り込み部、14…特徴値算出部、15…フロー種別判別部、16…送信部、20…端末、30…ルータ、31〜33…インタフェース、
40…通信装置、I(I1〜I3)…特徴値算出区間、I1…双方向フロー特徴値算出区間、N1、N2…ネットワーク、Pu…上りパケット、Pd…下りパケット、Pu…上りパケット、m…区間分割パラメータ。n…粒度パラメータ、t…タイミング。
10... Flow type determination device, 11... Receiving unit, 12... Flow data temporary storage unit, 13... Engine drive interrupting unit, 14... Feature value calculating unit, 15... Flow type determining unit, 16... Transmitting unit, 20... Terminal, 30... Router, 31-33... Interface,
40... Communication device, I (I1 to I3)... Feature value calculation section, I1... Bidirectional flow feature value calculation section, N1, N2... Network, Pu... Upstream packet, Pd... Downstream packet, Pu... Upstream packet, m... Interval division parameter. n... granularity parameter, t... timing.

Claims (9)

第1の通信ネットワークと第2の通信ネットワークの間に配置され、これら2つのネットワーク間で送受信されるパケットの集合体であるフローを解析する通信解析装置において、
フロー毎のフローデータを記憶する記憶部と、
前記記憶部に記憶される解析するフローのパケット数が、フロー開始点からフローを解析する所定のパケット数である解析パケット数となったタイミングで通知を行う駆動割り込み部と、
前記駆動割り込み部から通知を受けた場合に、解析するフローの開始点から前記解析パケット数分の前記フローデータを取得し、取得した前記フローデータを時系列に分割して、前記フロー開始点から各分割点までの複数の算出区間内のデータに対する特徴値を算出する区間分割及び特徴値算出部と、
前記区間分割及び特徴値算出部により算出した特徴値のデータ集合の全部又は一部と、予め学習した教師データとの類似性を元に、フロー種別を判別するフロー種別判別部と
を有することを特徴とする通信解析装置。
In a communication analysis device arranged between a first communication network and a second communication network, for analyzing a flow that is an aggregate of packets transmitted and received between these two networks,
A storage unit that stores flow data for each flow,
A drive interrupt unit that performs notification at a timing when the number of packets of the flow to be analyzed stored in the storage unit is the number of analysis packets, which is a predetermined number of packets for analyzing the flow from the flow start point,
When the notification is received from the drive interrupt unit, the flow data for the number of analysis packets is acquired from the start point of the flow to be analyzed, the acquired flow data is divided in time series, and the flow start point is calculated. A section division and feature value calculation unit that calculates a feature value for data in a plurality of calculation sections up to each division point,
A flow type discriminating unit for discriminating the flow type based on the similarity between all or a part of the data set of the characteristic values calculated by the section division and characteristic value calculating unit and the pre-learned teacher data. Characteristic communication analysis device.
前記区間分割及び特徴値算出部は、前記フロー開始点から各分割点までの各区間におけるデータの任意のパーセンタイル値を特徴値として算出することを特徴とする請求項1に記載の通信解析装置。 The communication analysis device according to claim 1, wherein the section division and characteristic value calculation unit calculates an arbitrary percentile value of data in each section from the flow start point to each division point as a characteristic value. 前記区間分割及び特徴値算出部は、前記記憶部から取得した前記フローデータの内、前記第2の通信ネットワークから前記第1の通信ネットワークに向かう第1方向のデータと、前記第1の通信ネットワークから前記第2の通信ネットワークに向かう第2方向のデータと、両ネットワークで送受信される双方向のデータに対する特徴値を算出することを特徴とする請求項1又は2に記載の通信解析装置。 The section division and characteristic value calculation unit includes, in the flow data acquired from the storage unit, data in a first direction from the second communication network toward the first communication network, and the first communication network. The communication analysis device according to claim 1 or 2, wherein characteristic values for data in a second direction from the second communication network to the second communication network and bidirectional data transmitted and received in both networks are calculated. 前記区間分割及び特徴値算出部が特徴値を算出する前記算出区間は、前記記憶部から取得した前記フローデータを時系列に分割した各区間であることを特徴とする請求項1〜3のいずれかに記載の通信解析装置。 4. The calculation section in which the section division and the characteristic value calculation unit calculates the characteristic value is each section obtained by dividing the flow data acquired from the storage unit in time series. The communication analysis device according to claim 1. 前記駆動割り込み部は、前記記憶部に記憶される解析するフローの開始点から所定の時間が経過した解析経過時間となったタイミングで通知を行い、
前記区間分割及び特徴値算出部は、前記駆動割り込み部から通知を受けた場合に、解析するフローの開始点から前記解析経過時間までに前記記憶部に記憶された最終パケットまでの前記フローデータを取得することを特徴とする請求項1〜4のいずれかに記載の通信解析装置。
The drive interrupt unit performs a notification at a timing when the analysis elapsed time is reached when a predetermined time has elapsed from the start point of the flow for analysis stored in the storage unit,
The section division and feature value calculation unit, when notified from the drive interrupt unit, collects the flow data from the start point of the flow to be analyzed to the final packet stored in the storage unit by the analysis elapsed time. It acquires, The communication analysis apparatus in any one of Claims 1-4 characterized by the above-mentioned.
前記区間分割及び特徴値算出部で算出する特徴値は、パケットサイズ及びパケット到着間隔に関する特徴値であることを特徴とする請求項1〜5のいずれかに記載の通信解析装置。 The communication analysis device according to claim 1, wherein the characteristic value calculated by the section division and characteristic value calculation unit is a characteristic value regarding a packet size and a packet arrival interval. 前記記憶部は、前記フローデータに対して、統計計算可能なデータベースであり、
前記区間分割及び特徴値算出部は、前記記憶部に対して、前記駆動割り込み部から通知を受けた場合に、解析するフローの開始点から前記解析パケット数分の前記フローデータを時系列に分割し、前記フロー開始点から各分割点までの複数の算出区間内のデータに対する特徴値を算出する問い合わせ文を発行し、
前記区間分割及び特徴値算出部は、前記記憶部から前記問い合わせ文に対する結果である、前記フロー開始点から各分割点までの複数の算出区間内のデータに対する特徴値を取得する
ことを特徴とする請求項1〜6のいずれかに記載の通信解析装置。
The storage unit is a database that can statistically calculate the flow data,
The section division/feature value calculation unit divides the flow data in time series from the start point of the flow to be analyzed into the storage unit when the storage unit receives a notification from the drive interrupt unit. Then, issue an inquiry statement to calculate the feature value for the data in the plurality of calculation sections from the flow start point to each division point,
The section division and characteristic value calculation unit acquires the characteristic value for the data in the plurality of calculation sections from the flow start point to each division point, which is the result of the inquiry statement from the storage unit. The communication analysis device according to claim 1.
前記記憶部は、前記フローデータに対して、統計計算可能なデータベースであり、
前記記憶部は、前記フローデータが記憶されたタイミングで、フローの開始点から現時点までのパケット数分の前記フローデータを時系列に分割し、前記フロー開始点から各分割点までの複数の算出区間内のデータに対する特徴値を算出し、算出した特徴値を特徴値データとして記憶し、
前記区間分割及び特徴値算出部は、前記駆動割り込み部から通知を受けた場合に、前記記憶部から、解析するフローの開始点から前記解析パケット数分の前記フローデータに対応する前記特徴値データを取得する
ことを特徴とする請求項1〜6のいずれかに記載の通信解析装置。
The storage unit is a database that can statistically calculate the flow data,
The storage unit time-sequentially divides the flow data for the number of packets from the flow start point to the present time at the timing when the flow data is stored, and performs a plurality of calculations from the flow start point to each division point. Calculate the feature value for the data in the section, store the calculated feature value as feature value data,
When the section division and characteristic value calculation unit receives a notification from the drive interrupt unit, the characteristic value data corresponding to the flow data for the number of analysis packets from the start point of the flow to be analyzed from the storage unit. The communication analysis device according to any one of claims 1 to 6, characterized in that.
第1の通信ネットワークと第2の通信ネットワークの間に配置され、これら2つのネットワーク間で送受信されるパケットの集合体であるフローを解析する通信解析装置に搭載されるコンピュータを、
フロー毎のフローデータを記憶する記憶部と、
前記記憶部に記憶される解析するフローのパケット数が、フロー開始点からフローを解析する所定のパケット数である解析パケット数となったタイミングで通知を行う駆動割り込み部と、
前記駆動割り込み部から通知を受けた場合に、解析するフローの開始点から前記解析パケット数分の前記フローデータを取得し、取得した前記フローデータを時系列に分割して、前記フロー開始点から各分割点までの複数の算出区間内のデータに対する特徴値を算出する区間分割及び特徴値算出部と、
前記区間分割及び特徴値算出部により算出した特徴値のデータ集合の全部又は一部と、予め学習した教師データとの類似性を元に、フロー種別を判別するフロー種別判別部と
して機能させることを特徴とする通信解析プログラム。
A computer mounted on a communication analysis device that is arranged between the first communication network and the second communication network and that analyzes a flow that is an aggregate of packets transmitted and received between these two networks;
A storage unit that stores flow data for each flow,
A drive interrupt unit that performs notification at a timing when the number of packets of the flow to be analyzed stored in the storage unit is the number of analysis packets, which is a predetermined number of packets for analyzing the flow from the flow start point,
When the notification is received from the drive interrupt unit, the flow data for the number of analysis packets is acquired from the start point of the flow to be analyzed, the acquired flow data is divided in time series, and the flow start point is calculated. A section division and feature value calculation unit that calculates a feature value for data in a plurality of calculation sections up to each division point,
It functions as a flow type determination unit that determines the flow type based on the similarity between all or a part of the feature value data set calculated by the section division and feature value calculation unit and pre-learned teacher data. A communication analysis program characterized by the above.
JP2016166082A 2016-08-26 2016-08-26 Communication analysis device and communication analysis program Active JP6743585B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016166082A JP6743585B2 (en) 2016-08-26 2016-08-26 Communication analysis device and communication analysis program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016166082A JP6743585B2 (en) 2016-08-26 2016-08-26 Communication analysis device and communication analysis program

Publications (2)

Publication Number Publication Date
JP2018033106A JP2018033106A (en) 2018-03-01
JP6743585B2 true JP6743585B2 (en) 2020-08-19

Family

ID=61305147

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016166082A Active JP6743585B2 (en) 2016-08-26 2016-08-26 Communication analysis device and communication analysis program

Country Status (1)

Country Link
JP (1) JP6743585B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7156642B2 (en) * 2019-02-14 2022-10-19 沖電気工業株式会社 Identification processing device, identification processing program, and identification processing method
WO2025115164A1 (en) * 2023-11-30 2025-06-05 日本電信電話株式会社 Feature amount extraction device and feature amount extraction method

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5812282B2 (en) * 2011-12-16 2015-11-11 公立大学法人大阪市立大学 Traffic monitoring device
JP6153166B2 (en) * 2013-08-29 2017-06-28 公立大学法人大阪市立大学 Traffic monitoring device, program, and communication device

Also Published As

Publication number Publication date
JP2018033106A (en) 2018-03-01

Similar Documents

Publication Publication Date Title
EP2288086B1 (en) Network monitoring device, bus system monitoring device, method and program
US11381452B2 (en) Network slicing method and system
US9705745B2 (en) System and method for virtualizing software defined network (SDN)-based network monitoring
CA3166375A1 (en) Traffic flow classification using machine learning
CA3161839A1 (en) System and method for estimation of quality of experience (qoe) for video streaming
US12170621B2 (en) Determining quality information for a route
JP2015057931A (en) Network apparatus, communication system, and detection method and program for abnormal traffic
WO2022164732A1 (en) System and method for network and computation performance probing for edge computing
CN104767630A (en) Alarm correlation-based sheet dispatching method and device
CN109040186A (en) A kind of mqtt data processing method and device based on nbiot network
JP6743585B2 (en) Communication analysis device and communication analysis program
US20110141899A1 (en) Network access apparatus and method for monitoring and controlling traffic using operation, administration, and maintenance (oam) packet in internet protocol (ip) network
CN105099936A (en) Network resource configuration method and apparatus as well as network system
US11025519B2 (en) Systems, methods and computer-readable media for external non-intrusive packet delay measurement
EP3062231A1 (en) Communication system, shared service control unit, data transmission method, and non-transitory computer-readable medium
US20220321428A1 (en) Required communication quality estimation apparatus, required communication quality estimation method and program
JP6418638B2 (en) Communication identification method and apparatus
JP6390161B2 (en) Information processing apparatus, information processing system, usable bandwidth estimation method, and program for estimating usable bandwidth
KR101831165B1 (en) Device for monitoring and analyzing time synchronization state between ntp sever and ntp client
Lübben et al. Estimation method for the delay performance of closed-loop flow control with application to TCP
JP5126081B2 (en) Communication quality deterioration sign detection / deterioration avoidance system, apparatus, method, and program
JP2018032983A (en) Terminal device and communication monitoring method
JP2017073655A (en) Time-out time setting device and time-out time setting method
CN114900426A (en) A fault location method and related equipment based on active-passive hybrid measurement
KR20060116389A (en) Command retry apparatus and method in a network management system

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160831

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20190724

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190816

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20190816

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20190816

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200618

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200630

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200713

R150 Certificate of patent or registration of utility model

Ref document number: 6743585

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150