JP6743585B2 - Communication analysis device and communication analysis program - Google Patents
Communication analysis device and communication analysis program Download PDFInfo
- Publication number
- JP6743585B2 JP6743585B2 JP2016166082A JP2016166082A JP6743585B2 JP 6743585 B2 JP6743585 B2 JP 6743585B2 JP 2016166082 A JP2016166082 A JP 2016166082A JP 2016166082 A JP2016166082 A JP 2016166082A JP 6743585 B2 JP6743585 B2 JP 6743585B2
- Authority
- JP
- Japan
- Prior art keywords
- flow
- data
- unit
- section
- storage unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、通信解析装置及び通信解析プログラムに関し、例えば、通信機器の通信情報を収集して通信状態を解析・判別するフロー種別判別装置に適用し得る。 The present invention relates to a communication analysis device and a communication analysis program, and can be applied to, for example, a flow type determination device that collects communication information of a communication device and analyzes/determines the communication state.
一般的に、従来の通信解析・判別装置は、任意のタイミングで通信フローから得られる特徴(パケットサイズ、パケット到着間隔転送時間、転送パケット数、転送バイト数)の統計的な特徴値(最小値(0%値)、中央値(50%値)、最大値(100%値)、平均値、分散値)を算出し、計測環境と同様の環境で事前に学習した特徴植との近似度を基にした判別を行う判別器を用いて、通信状態を判別するものであった(例えば、特許文献1)。 Generally, the conventional communication analysis/determination device has a statistical characteristic value (minimum value) of characteristics (packet size, packet arrival interval transfer time, transfer packet number, transfer byte number) obtained from a communication flow at arbitrary timing. (0% value), median value (50% value), maximum value (100% value), average value, and variance value) are calculated, and the degree of approximation to the characteristic vegetation learned in advance in the same environment as the measurement environment is calculated. The communication state is discriminated using a discriminator that performs discrimination based on the above (for example, Patent Document 1).
ところで、上記構成の装置では、フロー判別精度を高めるために予め最も判別率が高いことが見込まれるタイミングを調整したり、転送するデータ種別やデータサイズ等のコンテンツに依存する転送時間、転送パケット数、転送バイト数等の値、及び通信環境に応じて変化するRTT(Round Trip Time;往復遅延時間)等の値を用いて判別するように設計して、事前の学習データを準備することが必要であった。 By the way, in the apparatus having the above configuration, in order to improve the accuracy of flow discrimination, the timing at which the discrimination rate is expected to be the highest is adjusted in advance, and the transfer time and the number of transfer packets depending on the content such as the type of data to be transferred and the data size are transferred. It is necessary to prepare learning data in advance by designing so as to make a determination using values such as the number of transfer bytes and the value of RTT (Round Trip Time) that changes according to the communication environment. Met.
しかしながら、上記構成の装置では、パケットロス等の影響によって通信の再送が発生するなどで任意のタイミングで取得するデータがずれた場合に判別精度が下がる場合や、広告種別やユーザ毎の操作の差によって特徴値が変わる可能性のある特徴値によって判別精度が下がる場合や、通信回線の変更やインターネット内の経路変更等のネットワーク特性が変化する場合に学習した特徴値と外れるために判別制度が下がる場合等があった。 However, in the device configured as described above, the accuracy of determination may be reduced when the data to be acquired is deviated at an arbitrary timing due to the retransmission of communication due to the influence of packet loss or the like, or the difference in the operation for each advertisement type or each user. There is a possibility that the feature value may change depending on the feature value.If the discriminant accuracy decreases, or if the network characteristics such as the change of the communication line or the route change in the Internet changes, the discriminant system will decrease because it deviates from the learned feature value. There were cases.
また、上記構成の装置は、特徴値として統計値で多く使われる4分値(0%、25%、50%、75%、100%)を利用していたが、この粒度では特徴値を計算するタイミングによって、特に25%、50%、75%値の値が急激に変化することがあり、判別精度が下がる問題もあった。 In addition, the device having the above-described configuration uses the quadratic value (0%, 25%, 50%, 75%, 100%) that is often used in the statistical value as the characteristic value, but the characteristic value is calculated with this granularity. In particular, the values of 25%, 50%, and 75% may change abruptly depending on the timing of the operation, and there is also a problem that the determination accuracy is lowered.
そのため、通信環境やユーザ環境等の変化に関わらず、効率的に通信状態を判別できる通信解析装置及び通信解析プログラムが望まれている。 Therefore, a communication analysis device and a communication analysis program that can efficiently determine the communication state regardless of changes in the communication environment or the user environment are desired.
第1の本発明の通信解析装置は、第1の通信ネットワークと第2の通信ネットワークの間に配置され、これら2つのネットワーク間で送受信されるパケットの集合体であるフローを解析する通信解析装置において、(1)フロー毎のフローデータを記憶する記憶部と、(2)前記記憶部に記憶される解析するフローのパケット数が、フロー開始点からフローを解析する所定のパケット数である解析パケット数となったタイミングで通知を行う駆動割り込み部と、(3)前記駆動割り込み部から通知を受けた場合に、解析するフローの開始点から前記解析パケット数分の前記フローデータを取得し、取得した前記フローデータを時系列に分割して、前記フロー開始点から各分割点までの複数の算出区間内のデータに対する特徴値を算出する区間分割及び特徴値算出部と、(4)前記区間分割及び特徴値算出部により算出した特徴値のデータ集合の全部又は一部と、予め学習した教師データとの類似性を元に、フロー種別を判別するフロー種別判別部とを有することを特徴とする。 A communication analysis device according to a first aspect of the present invention is arranged between a first communication network and a second communication network, and analyzes a flow that is a set of packets transmitted and received between these two networks. In (1) the storage unit that stores flow data for each flow, and (2) the number of packets of the flow to be analyzed that is stored in the storage unit is a predetermined number of packets for analyzing the flow from the flow start point. A drive interrupt unit that gives a notification at the timing when the number of packets is reached, and (3) when the notification is received from the drive interrupt unit, obtains the flow data for the number of analyzed packets from the start point of the flow to be analyzed, A segment division and feature value calculation unit that divides the acquired flow data in time series and calculates feature values for data in a plurality of calculation segments from the flow start point to each division point, (4) the segment And a flow type determination unit that determines the flow type based on the similarity between all or a part of the data set of the feature values calculated by the division and feature value calculation unit and the pre-learned teacher data. To do.
第2の本発明の通信解析プログラムは、第1の通信ネットワークと第2の通信ネットワークの間に配置され、これら2つのネットワーク間で送受信されるパケットの集合体であるフローを解析する通信解析装置に搭載されるコンピュータを、(1)フロー毎のフローデータを記憶する記憶部と、(2)前記記憶部に記憶される解析するフローのパケット数が、フロー開始点からフローを解析する所定のパケット数である解析パケット数となったタイミングで通知を行う駆動割り込み部と、(3)前記駆動割り込み部から通知を受けた場合に、解析するフローの開始点から前記解析パケット数分の前記フローデータを取得し、取得した前記フローデータを時系列に分割して、前記フロー開始点から各分割点までの複数の算出区間内のデータに対する特徴値を算出する区間分割及び特徴値算出部と、(4)前記区間分割及び特徴値算出部により算出した特徴値のデータ集合の全部又は一部と、予め学習した教師データとの類似性を元に、フロー種別を判別するフロー種別判別部として機能させることを特徴とする。 The communication analysis program according to the second aspect of the present invention is arranged between the first communication network and the second communication network, and analyzes the flow that is a set of packets transmitted and received between these two networks. The computer installed in (1) the storage unit for storing the flow data for each flow, and (2) the number of packets of the flow to be analyzed stored in the storage unit have a predetermined number for analyzing the flow from the flow start point. A drive interrupt unit that gives a notification at the timing when the number of analysis packets is the number of packets, and Acquiring data, dividing the acquired flow data in time series, a section division and a characteristic value calculation unit that calculates characteristic values for data in a plurality of calculation sections from the flow start point to each division point, (4) Functions as a flow type determination unit that determines the flow type based on the similarity between all or a part of the feature value data set calculated by the section division and feature value calculation unit and pre-learned teacher data It is characterized in that
本発明によれば、通信環境やユーザ環境等の変化に関わらずに、効率的に通信状態を判別できる。 According to the present invention, the communication state can be efficiently determined regardless of changes in the communication environment, the user environment, and the like.
(A)主たる実施形態
以下、本発明による通信解析装置及び通信解析プログラムの一実施形態を、図面を参照しながら詳述する。以下では、本発明の通信解析装置及び通信解析プログラムをフロー種別判別装置に適用した例について説明する。
(A) Main Embodiment Hereinafter, one embodiment of a communication analysis device and a communication analysis program according to the present invention will be described in detail with reference to the drawings. Hereinafter, an example in which the communication analysis device and the communication analysis program of the present invention are applied to a flow type determination device will be described.
(A−1)実施形態の構成
図2は、実施形態に係るフロー種別判別装置周辺の接続構成の例について示したブロック図である。
(A-1) Configuration of Embodiment FIG. 2 is a block diagram showing an example of a connection configuration around a flow type determination device according to the embodiment.
図2に示すように、この実施形態のフロー種別判別装置10は、ルータ30からネットワークトラフィックに関する情報を取得し解析処理を行う。
As shown in FIG. 2, the flow
図2に示すように、ルータ30は、ネットワークN1とネットワークN2との間を中継するゲートウェイであるものとする。図2に示すように、ネットワークN1には、1台の端末20が接続されているものとする。また、図2に示すように、ネットワークN2には、1台の通信装置40が接続されているものとする。なお、ネットワークN1、N2に接続される装置の数は限定されないものである。また、ルータ30から端末20へのネットワーク構成、及びルータ30から各通信装置40へのネットワーク構成については限定されないものである。
As shown in FIG. 2, it is assumed that the
端末20は、通信装置40に接続するアプリケーションがインストールされたコンピュータ(例えば、PC、タブレット、スマートホン等)であるものとする。端末20にインストールされるアプリケーションの数や種類については限定されないものである。端末20は、例えば、通信事業者に接続するユーザ(加入者)が利用する端末である。
The
フロー種別判別装置10は、端末20を1つのユーザとみなしてネットワーク監視(通信トラフィックの解析)を行うものとする。
The flow
通信装置40は、端末20との通信を行う装置である。通信装置40の構成については限定されないものであるが、例えば、端末20に対して種々のサービス(例えば、Webサービスやデータベースサービス等)を提供するサーバ(コンピュータ)や、端末20と電話通信するIP電話端末等が該当する。
The
この実施形態では、ルータ30は、少なくとも3つのインタフェース31、32、33を備えているものとする。インタフェース31、32、33の仕様は限定されていないものであり、例えば、種々のイーサネット(登録商標)インタフェースを適用することができる。この実施形態の例では、ルータ30において、インタフェース31は端末20側のネットワークと接続するインタフェースであり、インタフェース32は通信装置40側と接続するインタフェースであり、インタフェース33はフロー種別判別装置10と接続するインタフェースであるものとする。なお、図2では、説明を簡易とするため、ルータ30が中継するトラフィックとして、端末20と通信装置40との間の通信のみを図示しているが、ルータ30はその他のノード間の通信を中継する構成であってもよいことは当然である。
In this embodiment, the
そして、この実施形態では、ルータ30に対して、ミラーリング機能等により、インタフェース31(又はインタフェース32)のトラフィック(パケット)を、インタフェース33にリアルタイムでコピー出力するようにする設定(例えば、ポートミラーリング機能による設定)がなされているものとする。これにより、フロー種別判別装置10は、ルータ30(インタフェース31、インタフェース32)のトラフィック(パケット)のデータを取得することが可能となる。なお、フロー種別判別装置10がトラフィックのデータを取得するための構成については図2の構成に限定されないものである。例えば、フロー種別判別装置10を、ルータ30の前段(ルータ30と端末20との間)に配置して、ルータ30(インタフェース31)で入出力されるトラフィック(パケット)をコピーするようにしてもよいし、タップ(スプリッタ)等により端末20側からルータ30に供給される信号を分岐して、フロー種別判別装置10にルータ30(インタフェース31)で入出力されるトラフィック(パケット)を供給するようにしてもよい。また、ルータ30とフロー種別判別装置10の間のインタフェースは、イーサネットでなくてもよく、フロー種別判別装置10の機能が組み込めるルータ30であれば、ソフトウェアとしてルータ30の内部に実装して、フローデータをルータのメモリ上で受け取っても良い。
In this embodiment, the
次に、フロー種別判別装置10の内部構成について図1を用いて説明する。
Next, the internal configuration of the flow
フロー種別判別装置10は、受信部11、フローデータ一時保管部12、エンジン駆動割り込み部13、区間分割及び特徴値算出部14、フロー種別判別部15、及び送信部16を有している。
The flow
フロー種別判別装置10は、例えば、プロセッサ及びメモリを有するコンピュータに、プログラム(実施形態に係る通信解析プログラムを含む)をインストールすることにより実現するようにしてもよい。また、フロー種別判別装置10において、一部又は全部の処理をハードウェア(例えば、専用の半導体チップ等)により実現するようにしてもよい。
The flow
受信部11は、ルータ30のトラフィック(パケット)を受信する通信部である。
The
フローデータ一時保管部12は、受信部11が受信したパケットを一時的に記憶(保管)するデータベースである。なお、フローデータ一時保管部12は、データ本体部(ペイロード)を含むパケットデータを記憶しても良いし、パケットの通信情報だけを記憶しても良い。
The flow data
エンジン駆動割り込み部13は、フローデータ一時保管部12の更新を監視し、フローデータ一時保管部12に所定パケット数が記憶されたタイミングで、区間分割及び特徴値算出部14に通知を行う。エンジン駆動割り込み部13は、時系列のフローを分割するパラメータである区間分割パラメータm、及びn分値の粒度を定める粒度パラメータnを有する。両パラメータの詳細については動作の項で明らかにする。
The engine drive interrupt
なお、エンジン駆動割り込み部13は、区間分割及び特徴値算出部14への通知に際し、フローを一意に特定する、例えば、5tuples(送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル)等のパラメータ、区間分割パラメータm、及び粒度パラメータnを送付する。
The engine drive interrupt
区間分割及び特徴値算出部14は、エンジン駆動割り込み部13から取得したパラメータを基に、フローデータ一時保管部12からフローの開始から割り込みタイミングまでのパケットのフロー情報(フローデータ)を取得する。区間分割及び特徴値算出部14は、3方向(双方向、上り方向、下り方向)の各フローについて、区間分割パラメータmを用いて分割し、各区間の特徴(この実施形態では、パケットサイズ、及びパケット到着間隔を用いるが、他の特徴を用いても良い)の特徴値(n分値、平均値、分散値)を算出する。区間分割及び特徴値算出部14は、算出した特徴値のデータ集合(データセット)をフロー種別判別部15に送付する。なお、区間分割及び特徴値算出部14の詳しい動作については、動作の項で詳述する。
The section division/feature
また、区間分割及び特徴値算出部14は、フローデータ一時保管部12に統計計算能力がある場合(上述の区間分割及び特徴値算出部14の機能を有する場合)には、上記で計算したい情報をフローデータ一時保管部12に問い合わせて特徴値を受け取っても良い。あるいは、計算する統計値が変動しない場合等には、フローデータ一時保管部12にデータが投入された際に同時に計算してそれぞれの特徴値をデータとして保持し、区間分割及び特徴値算出部14は、そのデータを収集してフロー種別判別部15に送付しても良い。
When the flow data
フロー種別判別部15は、区間分割及び特徴値算出部14から取得したデータセットと、事前に学習した教師データとに基づき、最も類似するフロー種別を特定する。
The flow
送信部16は、フロー種別判別部15の判定結果を図示しない他装置に送信する通信部である。
The
(A−2)実施形態の動作
次に、以上のような構成を有する第1の実施形態のフロー種別判別装置10の動作を説明する。
(A-2) Operation of Embodiment Next, the operation of the flow
図1、図2を用いて、フロー種別判別装置10の動作について説明する。
The operation of the flow
以下では、端末20でユーザの操作によりアプリケーションが動作し、端末20と通信装置40との間でトラフィック(パケットの送受信)が発生したものとする。図3は、ルータ30を介して、端末20と通信装置40との間で送受信されるパケットの一例を示している。図3では、端末20から通信装置40へ送信される上りパケットPu(Pu1〜Pu9)と、通信装置40から端末20へ送信される下りパケットPd(Pd1〜Pd17)を示している。なお、上りパケットPuと下りパケットPdの数は一例であって、これに限定されるものでは無い。
In the following, it is assumed that an application is operated by a user operation on the terminal 20 and traffic (packet transmission/reception) is generated between the terminal 20 and the
端末20と通信装置40との間でトラフィックが発生すると、ルータ30(端末20側と接続するインタフェース31)のトラフィック(パケット)がインタフェース33を介して、フロー種別判別装置10(受信部11)に供給されることになる。
When traffic occurs between the terminal 20 and the
トラフィックが供給されるとフロー種別判別装置10の受信部11は、そのトラフィック(パケット)を、フローデータ一時保管部12に供給する。フローデータ一時保管部12は、供給されたパケットを記憶する。
When the traffic is supplied, the
エンジン駆動割り込み部13は、フローデータ一時保管部12の更新情報を参照し、フローの状態を監視している。
The engine drive interrupt
エンジン駆動割り込み部13は、フローデータ一時保管部12に新たに保管されたフローを順次解析対象とし、解析するフローのパケット数が任意の数となった場合(又は所定時間が経過した場合)には、フローを一意に特定できる5−tuples等のフロー特定パラメータ、並びに、区間分割パラメータm、及び粒度パラメータn(設定パラメータ)を区間分割及び特徴値算出部14に送付する。
The engine drive interrupt
区間分割及び特徴値算出部14は、エンジン駆動割り込み部13から取得したフロー特定パラメータ、及び設定パラメータを基に、フローデータ一時保管部12から、任意の数(x)のパケットの集合体であるフローデータを取得する。
The section division/feature
区間分割及び特徴値算出部14は、取得したフローデータを時系列のデータ(図4)として取り扱い、3方向(双方向、上り方向、下り方向)のフローについて、特徴値(統計値)を算出する。
The section division and characteristic
図4において、タイミングt1は、双方向フロー(上りフロー)の特徴値を算出する区間(双方向フロー特徴値算出区間I1、上りフロー特徴値算出区間I2)の開始地点である。また、タイミングt1は、ルータ30(フロー種別判別装置10)に、当該フローの初めてのパケットである上りパケットPu1が供給されたタミングでもある。タイミングt2は、下りフローの特徴値を算出する区間(下りフロー特徴値算出区間I3)の開始地点である。また、タイミングt2は、ルータ30(フロー種別判別装置10)に、下り方向の初めてのパケットである下りパケットPd1が供給されたタミングでもある。 In FIG. 4, timing t1 is the start point of the section (bidirectional flow characteristic value calculation section I1, upstream flow characteristic value calculation section I2) for calculating the characteristic value of the bidirectional flow (upstream flow). The timing t1 is also a timing when the router 30 (flow type determination device 10) is supplied with the upstream packet Pu1 which is the first packet of the flow. Timing t2 is a start point of a section (downstream flow characteristic value calculation section I3) for calculating a downstream flow characteristic value. The timing t2 is also a timing when the router 30 (flow type determination device 10) is supplied with the downlink packet Pd1 which is the first packet in the downlink direction.
タイミングt3は、上りフロー特徴値算出区間I2の終了地点(図4の例では、上りパケットPuaが供給されたタミング)である。また、タイミングt4は、双方向フロー特徴値算出区間I1(下りフロー特徴値算出区間I3)の終了地点(図4の例では、下りパケットPd(x−a)が供給されたタミング)である。 Timing t3 is the end point of the upstream flow characteristic value calculation section I2 (in the example of FIG. 4, the timing at which the upstream packet Pua is supplied). Further, the timing t4 is the end point of the bidirectional flow feature value calculation section I1 (downstream flow feature value calculation section I3) (in the example of FIG. 4, the timing at which the downlink packet Pd(x-a) is supplied).
双方向フロー特徴値算出区間I1内では、a個の上りパケットPuと、x−a個の下りパケットPdの合計値であるxパケットが特徴値の算出対象である。また、上りフロー特徴値算出区間I2内では、a個の上りパケットPuが特徴値の算出対象である。さらに、下りフロー特徴値算出区間I3内では、x−a個の下りパケットPdが特徴値の算出対象である。 In the bidirectional flow characteristic value calculation section I1, the x packet, which is the total value of the a number of upstream packets Pu and the x−a number of downstream packets Pd, is the target of the characteristic value calculation. Further, in the upstream flow characteristic value calculation section I2, a number of upstream packets Pu are the target of characteristic value calculation. Further, in the downlink flow characteristic value calculation section I3, xa downlink packets Pd are the target of the characteristic value calculation.
区間分割及び特徴値算出部14は、双方向フロー特徴値算出区間I1、上りフロー特徴値算出区間I2、及び下りフロー特徴値算出区間I3内を、区間分割パラメータmを用いて細分化する。
The section division and characteristic
図5は、区間分割パラメータmを用いて分割した特徴値算出区間の一例を示す図である。なお、図5(A)において、特徴値算出区間Iは、先述の双方向フロー特徴値算出区間I1、上りフロー特徴値算出区間I2、及び下りフロー特徴値算出区間I3のいずれかが該当する。また、図5では、y個のパケットが図示されているが、yの値は、双方向フローのx、上りフローのa、下りフローのx−aのいずれかが該当する。 FIG. 5 is a diagram showing an example of the feature value calculation section divided using the section division parameter m. In FIG. 5(A), the characteristic value calculation section I corresponds to any of the bidirectional flow characteristic value calculation section I1, the upstream flow characteristic value calculation section I2, and the downstream flow characteristic value calculation section I3 described above. Further, in FIG. 5, y packets are illustrated, but the value of y corresponds to x of a bidirectional flow, a of an upstream flow, or x-a of a downstream flow.
図5(A)では、特徴値算出区間I(1パケット目(P♯1)からyパケット目(P♯y)までの区間)を、m個に分割した例が示されている。また、図5(B)では、特徴値算出区間I内の特徴値を算出する区間S1〜区間Sm(m個の区間)を図示している。例えば、区間S1の算出区間は、1〜y/mであり、区間Smの算出区間は、1〜yである。 FIG. 5A shows an example in which the characteristic value calculation section I (the section from the first packet (P#1) to the yth packet (P#y)) is divided into m pieces. In addition, in FIG. 5B, a section S1 to a section Sm (m sections) for calculating the feature value in the feature value calculation section I are illustrated. For example, the calculation section of the section S1 is 1 to y/m, and the calculation section of the section Sm is 1 to y.
ここまでの区間分割及び特徴値算出部14の処理により、フローデータ一時保管部12から取得したフロー(フローデータ)の特徴値は、3(3方向のフロー)*m(m区間)個のバリエーションを持つことになる。
The feature value of the flow (flow data) acquired from the flow data
さらに、区間分割及び特徴値算出部14は、3*m個のバリエーションについて、パケットサイズ、及びパケット到着間隔の特徴値を、粒度パラメータnを用いて算出する。
Further, the section division and characteristic
図6は、パケットサイズ、及びパケット到着間隔の特徴値算出のイメージを示す説明図である。図6(A)は、特徴値として算出するパケットサイズ、及びパケット到着間隔のデータ集合のイメージを示している。 FIG. 6 is an explanatory diagram showing an image of calculating feature values of the packet size and the packet arrival interval. FIG. 6A shows an image of a data set of a packet size calculated as a feature value and a packet arrival interval.
図6(B)は、パケットサイズ、及びパケット到着間隔の特徴値であるn分値、平均値、分散値を示している。図6(B)において、n分値のnの値は、設定された粒度パラメータnの値によって定まる。 FIG. 6(B) shows the n-minute value, the average value, and the variance value that are the characteristic values of the packet size and the packet arrival interval. In FIG. 6B, the value of n of the n-minute value is determined by the value of the set granularity parameter n.
例えば、粒度パラメータn=20のとき、n分値は、0%値(最小値)、5%値、10%値、15%値、…、50%値(中央値)、…、90%値、95%値、100%値(最大値)となる。なお、粒度パラメータnの値が、100で割り切れない文位数、例えばn=12のときには、n分値は、0%値(最小値)、12%値、24%値、36%値、・・・、72%値、84%値、96%値等としても良く、対応する学習データがあれば値に関係なく適用できる。 For example, when the particle size parameter n=20, the n-minute value is 0% value (minimum value), 5% value, 10% value, 15% value, ..., 50% value (median value), ..., 90% value. , 95% value, 100% value (maximum value). When the value of the granularity parameter n is not divisible by 100, for example, n=12, the n-minute value is 0% value (minimum value), 12% value, 24% value, 36% value,... .., 72% value, 84% value, 96% value, etc., and if there is corresponding learning data, it can be applied regardless of the value.
ここまで、粒度パラメータnを用いることにより、パケットサイズとパケット到着間隔に対して、(n+1(0%〜100%値(若しくは、一番近い値))+2(平均値、分散値))*2(パケットサイズ、パケット到着間隔)の要素が特徴値として算出されることになる。 Up to this point, by using the granularity parameter n, (n+1 (0% to 100% value (or the closest value))+2 (average value, variance value))*2 with respect to the packet size and the packet arrival interval. The element of (packet size, packet arrival interval) is calculated as the characteristic value.
そして、区間分割及び特徴値算出部14は、最終的に、フロー3方向のm分割されたデータに対して、n分値等を求めることになるので、図6(C)に示すように、(n+1(0%〜100%値)+2(平均値、分散値)*2(パケットサイズ、パケット到着間隔)*m(区間数)*2*(パケットサイズ、パケット到着間隔)*3(フロー方向))の要素が特徴値として算出されることになる。
Then, the interval division/feature
区間分割及び特徴値算出部14は、算出した特徴値(パラメータ)の全部又は一部の集合体(データセット)をフロー種別判別部15に送付する。
The section division and characteristic
フロー種別判別部15は、区間分割及び特徴値算出部14より取得したデータセットと、予め学習してあるデータセット(教師データ)との近似度を計算し、尤も近いと考えられるフローの種別を判別する。
The flow
フロー種別判別部15は、送信部16を介して、フローの種別の判別結果を他装置に送信する。また、フロー種別判別部15は、自装置を操作するオペレータや解析者等に情報を提供するためにディスプレイ等のユーザインタフェースに当該判別結果を提供してもよい。
The flow
(A−3)実施形態の効果
この実施形態によれば、以下のような効果を奏することができる。
(A-3) Effects of the Embodiment According to this embodiment, the following effects can be achieved.
フロー種別判別装置10は、区間分割及び特徴値算出部14を設けることにより、m個に分割された時系列フローデータの各分割点における特徴値データセットと統計的なn分値の特徴値データセットを新たに生成し、フローの判別を行うことが可能となった。これは、従来の環境依存性の高いデータセットや接続先のウェブサーバやユーザ毎の動作の違いに影響を受けるコンテンツ依存のデータセットを利用することなく、パケットサイズとパケット到着間隔のみを用いて判別が可能となることを意味する。この実施形態のフロー種別判別装置10は、特定の環境や利用方法に依存しない汎用的なフロー種別の識別を可能とするという効果が得られる。
The flow
また、従来、フロー種別判別装置と同様の機能を持つ機器を設置した後、その環境下において、学習データセットを十分な量だけ学習させる必要があったが、この実施形態では、そのような環境に応じた学習が不要となる効果も得られる。 Further, conventionally, after installing a device having a function similar to that of the flow type determination device, it was necessary to learn a sufficient amount of the learning data set under the environment. There is also an effect that learning according to is unnecessary.
(B)他の実施形態
本発明は、上記実施形態に限定されるものではなく、以下に例示するような変形実施形態も挙げることができる。
(B) Other Embodiments The present invention is not limited to the above-described embodiments, and can include modified embodiments as exemplified below.
(B−1)上記実施形態では、区間分割及び特徴値算出部14は、先述の図4で示したように、フロー特徴値算出区間を双方向フローのタイミングで合わせていた。言い換えれば、区間分割及び特徴値算出部14は、ルータ30(フロー種別判別装置10)が受信する上りパケットPuと下りパケットPdの合計がxパケット目となるタイミングでフロー特徴値算出区間を調整していた。変形例として、区間分割及び特徴値算出部14は、3方向(双方向、上り方向、下り報告)のそれぞれについて、xパケット目となるタイミングで各フロー特徴値算出区間を調整し、xパケットのフローとして処理しても良い。図7は、他の実施形態に係るフロー特徴値算出区間の一例を示す説明図である。
(B-1) In the above embodiment, the section division/feature
図7において、双方向フロー特徴値算出区間I1は、フロー開始点(双方向)であるタイミングt1から、a個の上りパケットPuと、b個の下りパケットPdの合計であるxパケットを受信したタイミング(タイミングt3)までが特徴値の算出対象である。また、上りフロー特徴値算出区間I2は、フロー開始点(上り)であるタイミングt1から、x個の上りパケットPuを受信したタイミング(タイミングt5)までが特徴値の算出対象である。さらに、下りフロー特徴値算出区間I3は、フロー開始点(下り)であるタイミングt2から、x個の下りパケットPdを受信したタイミング(タイミングt4)までが特徴値の算出対象である。 In FIG. 7, in the bidirectional flow feature value calculation section I1, from the timing t1 which is the flow start point (bidirectional), x packets, which are the total of a number of upstream packets Pu and b number of downstream packets Pd, are received. The characteristic value is calculated up to the timing (timing t3). In the upstream flow characteristic value calculation section I2, the characteristic value is calculated from the timing t1 which is the flow start point (upstream) to the timing (timing t5) when x pieces of upstream packets Pu are received. Further, in the downstream flow characteristic value calculation section I3, the characteristic value is calculated from the timing t2, which is the flow start point (downstream), to the timing (timing t4) when x pieces of downstream packets Pd are received.
(B−2)また、上記実施形態では、区間分割及び特徴値算出部14は、先述の図5で示したように、フロー特徴値算出区間内の区間算出方法について、1パケット目からm分割した各点までを算出区間としていた。変形例として、区間分割及び特徴値算出部14は、m分割した各区間内を特徴値の算出区間としても良い。図8は、他の実施形態に係る区間分割パラメータmを用いて分割した特徴値算出区間の一例を示す説明図である。図8(B)では、特徴値算出区間I内の特徴値を算出する区間S1〜区間Sm(m個の区間)を図示している。例えば、区間S1の算出区間は、1〜y/mであり、区間S2の算出区間は、y/m〜2y/mである。
(B-2) Further, in the above embodiment, the section division/feature
10…フロー種別判別装置、11…受信部、12…フローデータ一時保管部、13…エンジン駆動割り込み部、14…特徴値算出部、15…フロー種別判別部、16…送信部、20…端末、30…ルータ、31〜33…インタフェース、
40…通信装置、I(I1〜I3)…特徴値算出区間、I1…双方向フロー特徴値算出区間、N1、N2…ネットワーク、Pu…上りパケット、Pd…下りパケット、Pu…上りパケット、m…区間分割パラメータ。n…粒度パラメータ、t…タイミング。
10... Flow type determination device, 11... Receiving unit, 12... Flow data temporary storage unit, 13... Engine drive interrupting unit, 14... Feature value calculating unit, 15... Flow type determining unit, 16... Transmitting unit, 20... Terminal, 30... Router, 31-33... Interface,
40... Communication device, I (I1 to I3)... Feature value calculation section, I1... Bidirectional flow feature value calculation section, N1, N2... Network, Pu... Upstream packet, Pd... Downstream packet, Pu... Upstream packet, m... Interval division parameter. n... granularity parameter, t... timing.
Claims (9)
フロー毎のフローデータを記憶する記憶部と、
前記記憶部に記憶される解析するフローのパケット数が、フロー開始点からフローを解析する所定のパケット数である解析パケット数となったタイミングで通知を行う駆動割り込み部と、
前記駆動割り込み部から通知を受けた場合に、解析するフローの開始点から前記解析パケット数分の前記フローデータを取得し、取得した前記フローデータを時系列に分割して、前記フロー開始点から各分割点までの複数の算出区間内のデータに対する特徴値を算出する区間分割及び特徴値算出部と、
前記区間分割及び特徴値算出部により算出した特徴値のデータ集合の全部又は一部と、予め学習した教師データとの類似性を元に、フロー種別を判別するフロー種別判別部と
を有することを特徴とする通信解析装置。 In a communication analysis device arranged between a first communication network and a second communication network, for analyzing a flow that is an aggregate of packets transmitted and received between these two networks,
A storage unit that stores flow data for each flow,
A drive interrupt unit that performs notification at a timing when the number of packets of the flow to be analyzed stored in the storage unit is the number of analysis packets, which is a predetermined number of packets for analyzing the flow from the flow start point,
When the notification is received from the drive interrupt unit, the flow data for the number of analysis packets is acquired from the start point of the flow to be analyzed, the acquired flow data is divided in time series, and the flow start point is calculated. A section division and feature value calculation unit that calculates a feature value for data in a plurality of calculation sections up to each division point,
A flow type discriminating unit for discriminating the flow type based on the similarity between all or a part of the data set of the characteristic values calculated by the section division and characteristic value calculating unit and the pre-learned teacher data. Characteristic communication analysis device.
前記区間分割及び特徴値算出部は、前記駆動割り込み部から通知を受けた場合に、解析するフローの開始点から前記解析経過時間までに前記記憶部に記憶された最終パケットまでの前記フローデータを取得することを特徴とする請求項1〜4のいずれかに記載の通信解析装置。 The drive interrupt unit performs a notification at a timing when the analysis elapsed time is reached when a predetermined time has elapsed from the start point of the flow for analysis stored in the storage unit,
The section division and feature value calculation unit, when notified from the drive interrupt unit, collects the flow data from the start point of the flow to be analyzed to the final packet stored in the storage unit by the analysis elapsed time. It acquires, The communication analysis apparatus in any one of Claims 1-4 characterized by the above-mentioned.
前記区間分割及び特徴値算出部は、前記記憶部に対して、前記駆動割り込み部から通知を受けた場合に、解析するフローの開始点から前記解析パケット数分の前記フローデータを時系列に分割し、前記フロー開始点から各分割点までの複数の算出区間内のデータに対する特徴値を算出する問い合わせ文を発行し、
前記区間分割及び特徴値算出部は、前記記憶部から前記問い合わせ文に対する結果である、前記フロー開始点から各分割点までの複数の算出区間内のデータに対する特徴値を取得する
ことを特徴とする請求項1〜6のいずれかに記載の通信解析装置。 The storage unit is a database that can statistically calculate the flow data,
The section division/feature value calculation unit divides the flow data in time series from the start point of the flow to be analyzed into the storage unit when the storage unit receives a notification from the drive interrupt unit. Then, issue an inquiry statement to calculate the feature value for the data in the plurality of calculation sections from the flow start point to each division point,
The section division and characteristic value calculation unit acquires the characteristic value for the data in the plurality of calculation sections from the flow start point to each division point, which is the result of the inquiry statement from the storage unit. The communication analysis device according to claim 1.
前記記憶部は、前記フローデータが記憶されたタイミングで、フローの開始点から現時点までのパケット数分の前記フローデータを時系列に分割し、前記フロー開始点から各分割点までの複数の算出区間内のデータに対する特徴値を算出し、算出した特徴値を特徴値データとして記憶し、
前記区間分割及び特徴値算出部は、前記駆動割り込み部から通知を受けた場合に、前記記憶部から、解析するフローの開始点から前記解析パケット数分の前記フローデータに対応する前記特徴値データを取得する
ことを特徴とする請求項1〜6のいずれかに記載の通信解析装置。 The storage unit is a database that can statistically calculate the flow data,
The storage unit time-sequentially divides the flow data for the number of packets from the flow start point to the present time at the timing when the flow data is stored, and performs a plurality of calculations from the flow start point to each division point. Calculate the feature value for the data in the section, store the calculated feature value as feature value data,
When the section division and characteristic value calculation unit receives a notification from the drive interrupt unit, the characteristic value data corresponding to the flow data for the number of analysis packets from the start point of the flow to be analyzed from the storage unit. The communication analysis device according to any one of claims 1 to 6, characterized in that.
フロー毎のフローデータを記憶する記憶部と、
前記記憶部に記憶される解析するフローのパケット数が、フロー開始点からフローを解析する所定のパケット数である解析パケット数となったタイミングで通知を行う駆動割り込み部と、
前記駆動割り込み部から通知を受けた場合に、解析するフローの開始点から前記解析パケット数分の前記フローデータを取得し、取得した前記フローデータを時系列に分割して、前記フロー開始点から各分割点までの複数の算出区間内のデータに対する特徴値を算出する区間分割及び特徴値算出部と、
前記区間分割及び特徴値算出部により算出した特徴値のデータ集合の全部又は一部と、予め学習した教師データとの類似性を元に、フロー種別を判別するフロー種別判別部と
して機能させることを特徴とする通信解析プログラム。 A computer mounted on a communication analysis device that is arranged between the first communication network and the second communication network and that analyzes a flow that is an aggregate of packets transmitted and received between these two networks;
A storage unit that stores flow data for each flow,
A drive interrupt unit that performs notification at a timing when the number of packets of the flow to be analyzed stored in the storage unit is the number of analysis packets, which is a predetermined number of packets for analyzing the flow from the flow start point,
When the notification is received from the drive interrupt unit, the flow data for the number of analysis packets is acquired from the start point of the flow to be analyzed, the acquired flow data is divided in time series, and the flow start point is calculated. A section division and feature value calculation unit that calculates a feature value for data in a plurality of calculation sections up to each division point,
It functions as a flow type determination unit that determines the flow type based on the similarity between all or a part of the feature value data set calculated by the section division and feature value calculation unit and pre-learned teacher data. A communication analysis program characterized by the above.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016166082A JP6743585B2 (en) | 2016-08-26 | 2016-08-26 | Communication analysis device and communication analysis program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016166082A JP6743585B2 (en) | 2016-08-26 | 2016-08-26 | Communication analysis device and communication analysis program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018033106A JP2018033106A (en) | 2018-03-01 |
| JP6743585B2 true JP6743585B2 (en) | 2020-08-19 |
Family
ID=61305147
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016166082A Active JP6743585B2 (en) | 2016-08-26 | 2016-08-26 | Communication analysis device and communication analysis program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6743585B2 (en) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7156642B2 (en) * | 2019-02-14 | 2022-10-19 | 沖電気工業株式会社 | Identification processing device, identification processing program, and identification processing method |
| WO2025115164A1 (en) * | 2023-11-30 | 2025-06-05 | 日本電信電話株式会社 | Feature amount extraction device and feature amount extraction method |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5812282B2 (en) * | 2011-12-16 | 2015-11-11 | 公立大学法人大阪市立大学 | Traffic monitoring device |
| JP6153166B2 (en) * | 2013-08-29 | 2017-06-28 | 公立大学法人大阪市立大学 | Traffic monitoring device, program, and communication device |
-
2016
- 2016-08-26 JP JP2016166082A patent/JP6743585B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018033106A (en) | 2018-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2288086B1 (en) | Network monitoring device, bus system monitoring device, method and program | |
| US11381452B2 (en) | Network slicing method and system | |
| US9705745B2 (en) | System and method for virtualizing software defined network (SDN)-based network monitoring | |
| CA3166375A1 (en) | Traffic flow classification using machine learning | |
| CA3161839A1 (en) | System and method for estimation of quality of experience (qoe) for video streaming | |
| US12170621B2 (en) | Determining quality information for a route | |
| JP2015057931A (en) | Network apparatus, communication system, and detection method and program for abnormal traffic | |
| WO2022164732A1 (en) | System and method for network and computation performance probing for edge computing | |
| CN104767630A (en) | Alarm correlation-based sheet dispatching method and device | |
| CN109040186A (en) | A kind of mqtt data processing method and device based on nbiot network | |
| JP6743585B2 (en) | Communication analysis device and communication analysis program | |
| US20110141899A1 (en) | Network access apparatus and method for monitoring and controlling traffic using operation, administration, and maintenance (oam) packet in internet protocol (ip) network | |
| CN105099936A (en) | Network resource configuration method and apparatus as well as network system | |
| US11025519B2 (en) | Systems, methods and computer-readable media for external non-intrusive packet delay measurement | |
| EP3062231A1 (en) | Communication system, shared service control unit, data transmission method, and non-transitory computer-readable medium | |
| US20220321428A1 (en) | Required communication quality estimation apparatus, required communication quality estimation method and program | |
| JP6418638B2 (en) | Communication identification method and apparatus | |
| JP6390161B2 (en) | Information processing apparatus, information processing system, usable bandwidth estimation method, and program for estimating usable bandwidth | |
| KR101831165B1 (en) | Device for monitoring and analyzing time synchronization state between ntp sever and ntp client | |
| Lübben et al. | Estimation method for the delay performance of closed-loop flow control with application to TCP | |
| JP5126081B2 (en) | Communication quality deterioration sign detection / deterioration avoidance system, apparatus, method, and program | |
| JP2018032983A (en) | Terminal device and communication monitoring method | |
| JP2017073655A (en) | Time-out time setting device and time-out time setting method | |
| CN114900426A (en) | A fault location method and related equipment based on active-passive hybrid measurement | |
| KR20060116389A (en) | Command retry apparatus and method in a network management system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160831 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20190724 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190816 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20190816 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20190816 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200618 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200630 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200713 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6743585 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |