トラヒック変動量推定装置、トラヒック管理装置、トラヒック分配装置、及び方法
【課題】観測可能なデータから、観測が困難なトラヒックの変動量を推定する。
【解決手段】通信網においてサンプリング率pでのパケットサンプリングにより収集されたサンプルフロー情報を受信し、当該サンプルフロー情報から、トラヒック変動量を推定するトラヒック変動量推定装置において、前記サンプルフロー情報に基づき、フロー数の時系列データをトラヒック量として生成する時系列データ生成手段と、トラヒック量に関する標本分散の期待値yと、標本平均の期待値xとの間の関係を示す近似式y=α(p)x2 + β(p)xにおけるパラメータα(p)とβ(p)を、前記時系列データ生成手段により生成された時系列のフロー数から算出する近似式算出手段と、前記近似式算出手段により算出されたパラメータα(p)とβ(p)を有する前記近似式y=α(p)x2 + β(p)xを用いて、トラヒック変動量の推定を行うトラヒック推定手段とを備える。
【解決手段】通信網においてサンプリング率pでのパケットサンプリングにより収集されたサンプルフロー情報を受信し、当該サンプルフロー情報から、トラヒック変動量を推定するトラヒック変動量推定装置において、前記サンプルフロー情報に基づき、フロー数の時系列データをトラヒック量として生成する時系列データ生成手段と、トラヒック量に関する標本分散の期待値yと、標本平均の期待値xとの間の関係を示す近似式y=α(p)x2 + β(p)xにおけるパラメータα(p)とβ(p)を、前記時系列データ生成手段により生成された時系列のフロー数から算出する近似式算出手段と、前記近似式算出手段により算出されたパラメータα(p)とβ(p)を有する前記近似式y=α(p)x2 + β(p)xを用いて、トラヒック変動量の推定を行うトラヒック推定手段とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、IPネットワークにおけるトラヒックを管理する技術に関するものである。
【背景技術】
【0002】
IPネットワークが広く利用されてくるに伴って、トラヒックを測定し、適切なネットワーク設計や運用に反映させる必要がある。例えば、ネットワークの帯域を設計する場合にはトラヒック量の平均だけでなく、変動量(例えばトラヒック量の95%値)を把握することが重要である。
【0003】
また、ネットワークを流れるフロー数に関しても見積もる必要がある場合がある。ここでフローとは、発信元IPアドレス(srcIP)、着信先IPアドレス(dstIP)、発信元ポート番号(srcPort)、着信先ポート番号(dstPort)、プロトコル(protocol)の5つ組を同じくするパケット群のことを指す。例えば、ネットワーク上を流れるトラヒックをフローレベルで測定するNetFlowやsFlowといった技術がルータに実装されており、ルータで観測されたフロー情報を、コレクタと呼ばれる監視装置へexportさせてコレクタで分析することで、ネットワークの状態を把握する。このとき、コレクタへ到着するフロー数がどの程度かを見積もる必要がある。その際も、平均だけでなく、変動量を把握して、適切な処理能力のコレクタを用意する必要がある。あるいは、SIPのようなセッション(フロー)単位で通信を制御する場合には、SIPサーバでのセッション数を把握する必要がある。
【0004】
さらに、近年、DDoS(Distributed Denial of Service)やスキャンといった異常トラヒックが急増しているため、これら異常トラヒックを測定を通じて検出する必要性も増している。このとき、異常トラヒックをみつけるためには平常時のトラヒックの変動がどの程度かを正確に見積もり、その変動の範囲を超えてトラヒックが急増したら、異常トラヒックが発生したとする、といった手法(例えば非特許文献1)も考えられているため、その点においても、トラヒックの変動量を適切に把握することが重要となる。
【0005】
一方、回線速度の高速化に対応可能な測定を実施するため、パケットサンプリングを通じてトラヒックを測定分析する技術が近年注目されている(非特許文献2)。例えばN個に1個のパケットを周期的に参照し、パケットがサンプルされたフロー情報(どのフローから何パケットサンプルされたか)を収集分析する技術である。このようなサンプルフロー情報を集計し、一定周期(例えば5分)毎にある監視単位(リンク毎、ルータ毎、あるいは対地毎)に発生したパケット数、バイト数、フロー数に関する時系列データを作成し、分析することが考えられている(非特許文献3)。
【先行技術文献】
【非特許文献】
【0006】
【非特許文献1】原田薫明, 川原亮一, 森達哉, 上山憲昭, 廣川裕, 山本公洋, "異常トラヒック発生検出および終了判定手法," 信学技報, vol. 106, no. 420, IN2006-133, pp. 115-120, 2006年12月.
【非特許文献2】[PSAMP] RFC 5474 on A Framework for Packet Selection and Reporting http://www.faqs.org/rfcs/rfc5474.html
【非特許文献3】大倉 他,信学ソ大,B-7-70, 2006
【非特許文献4】T. MORI, T. TAKINE, J. PAN, R. KAWAHARA, M. UCHIDA, and S. GOTO, "Identifying Heavy-Hitter Flows from Sampled Flow Statistics," IEICE TRANSACTIONS on Communications, Vol.E90-B, No.11, pp.3061-3072, Nov 2007.
【非特許文献5】C. Estan and G. Varghese, "New Directions in Traffic Measurement and Accounting," ACM SIGCOMM2002, Aug. 2002.
【非特許文献6】N. Duffield, C. Lund, and M. Thorup, "Properties and Prediction of Flow Statistics from Sampled Packet Streams," ACM SIGCOMM Internet Measurement Conference 2002, Nov. 2002.
【非特許文献7】N. Duffield, C. Lund, and M. Thorup, ``Estimating Flow Distributions from Sampled Flow Statistics,'' In Proceedings of ACM SIGCOMM, pp. 325-336, Aug. 2003.
【非特許文献8】R. Kawahara, T. Mori, N. Kamiyama, S. Harada, and S. Asano, "A study on detecting network anomalies using sampled flow statistics," SAINT 2007Workshop on Internet measurement technology and its applications to building next generation Internet, Jan. 2007.
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、上記のようにパケットサンプリングを通じてトラヒックを測定分析する技術においては、パケットサンプリングしているために、必要な情報が失われている可能性があり、元のフロー統計量を推定する必要がある。非特許文献4では、パケットサンプリングを用いてリンク帯域の占有率が高いフローを特定する方法を提案している。非特許文献5では、フローサイズが大きいフローの統計を精度よく得る方法を提案している。また、非特許文献6、7では、サンプルされたSYNパケット(TCPフラグの一つで、通信開始を意味する)の数を用いて、サンプルされていない全体のフロー発生数やフローサイズの平均や分布を推定する方法を提案している。
【0008】
しかしながら、これらの提案技術は、トラヒック時系列の変動量を推定することを可能にするものではなかった。
【0009】
本発明は、上述の問題点に鑑みてなされたものであり、観測可能なデータから、観測が困難なトラヒックの変動量を推定することを可能にする技術を提供するとともに、その推定されたトラヒック変動量を用いて、トラヒック管理を実現するための技術を提供することを目的とする。
【課題を解決するための手段】
【0010】
上記の課題を解決するために、本発明は、通信網においてサンプリング率pでのパケットサンプリングにより収集されたサンプルフロー情報を受信し、当該サンプルフロー情報から、トラヒック変動量を推定するトラヒック変動量推定装置であって、前記サンプルフロー情報に基づき、フロー数の時系列データをトラヒック量として生成する時系列データ生成手段と、トラヒック量に関する標本分散の期待値yと、標本平均の期待値xとの間の関係を示す近似式y=α(p)x2 + β(p)xにおけるパラメータα(p)とβ(p)を、前記時系列データ生成手段により生成された時系列のフロー数から算出する近似式算出手段と、前記近似式算出手段により算出されたパラメータα(p)とβ(p)を有する前記近似式y=α(p)x2 + β(p)xを用いて、トラヒック変動量の推定を行うトラヒック推定手段とを備えたことを特徴とするトラヒック変動量推定装置として構成することができる。
【0011】
また、本発明は、通信網においてサンプリング率pでのパケットサンプリングにより収集されたサンプルフロー情報を受信し、当該サンプルフロー情報から、異常トラヒック監視に適したフロー分割数を決定するトラヒック管理装置であって、前記サンプルフロー情報に基づき、フロー数の時系列データをトラヒック量として生成する時系列データ生成手段と、前記時系列データ生成手段から、時系列のフロー数を受け取り、当該フロー数が所定の異常検出閾値を超えた場合に異常であると判定する異常検出手段と、トラヒック量に関する標本分散の期待値yと、標本平均の期待値xとの間の関係を示す近似式y=α(p)x2 + β(p)xにおけるパラメータα(p)とβ(p)を、前記異常検出手段により異常と判定されていない正常時の時系列のフロー数から算出する近似式算出手段と、正常フロー数に異常フロー数が加わったときの(平均,分散)を、(x+m_d, α(p)x2+β(p)x+v_d)とし、正常フロー数に平均がm_dで分散がv_dとなる異常フロー数が加わったときのフロー数の平均と分散を持つ確率分布Fx(u)において、異常判定閾値をthとし、予め定めた異常見逃し率をεとして、Fx(th)<εを満たす正常平均フロー数x*を計算し、フローをMの分割数で分割したときのグループjのフロー数の標本平均X(j)(p)を求め、グループ全体の標本平均SE(M)(p) =1/M ΣX(m)(p)(m=1〜Mで和を取る)とx*とを比較して、x*/ SE(M)(p)が予め定めた閾値よりも小さければ、分割数をMより大きくする処理を行うことにより、異常トラヒック監視に適したフロー分割数を決定する分割数決定手段とを備えたことを特徴とするトラヒック管理装置として構成される。
【0012】
また、本発明は、通信ネットワークを介してL個(Lは自然数)のサーバに接続され、当該L個のサーバに対してトラヒックのフローを分配するトラヒック分配装置であって、前記フローをL個(Lは自然数)のグループに分類し、グループ毎に各サーバへフローを転送するフロー分類手段と、前記フロー分類手段で分類された各グループのフロー数の時系列データをトラヒック量として生成する時系列データ生成手段と、トラヒック量に関する標本分散の期待値yと、標本平均の期待値xとの間の関係を示す近似式y=α(p)x2 +β(p)xにおけるパラメータα(p)とβ(p)を、前記時系列データ生成手段により生成された時系列のフロー数から算出する近似式算出手段と、フローの振り分け先サーバを変更するか否かを決定する振分先サーバ決定手段と、を備え、サーバj(j=1〜L)へ振り分けられているフローをグループjのフローとした場合に、前記近似式算出手段は、グループjのフロー数の標本平均X(j)(p)と標本分散Vx(j)(p)を計算し、組(X(j)(p) , Vx(j)(p))を(xj, yj)として、前記近似式y=α(p)x2 + β(p)xにフィットさせることにより、前記パラメータα(p)とβ(p)を求め、
前記振分先サーバ決定手段は、前記近似式を用いることにより、前記フロー数が平均x、分散α(p)x2+β(p)xをパラメータにもつあらかじめ定めた分布に従うものとして上位Xパーセンタイルのフロー数を算出し、当該上位Xパーセンタイルのフロー数がサーバkの処理能力Bk×a (aは係数で1未満の値)となるような、平均x_target_kを算出し、X(1)(p)+ X(2)(p)+…+ X(J)(p)<= x_target_kを満たす範囲で、グループ1, 2, …, Jのフローをサーバkに収容替えする計算処理を、残りのグループ全てがいずれかのサーバに収容されるまで各サーバについて繰り返して実施し、その結果、もし不要となったサーバが存在する場合に、フローの振り分け先サーバを変更すると決定することを特徴とするトラヒック分配装置として構成することもできる。
【0013】
また、本発明は、上記各装置の処理方法に対応する方法の発明として構成することもできる。
【発明の効果】
【0014】
本発明によれば、観測可能なデータから、観測が困難なトラヒックの変動量を推定することを可能にする技術を提供できるとともに、その推定されたトラヒック変動量を用いて、フロー分割数の決定や、フロー振り分け先の変更等のトラヒック管理を実現する技術を提供できる。
【図面の簡単な説明】
【0015】
【図1】異常トラヒック検出閾値と、誤検出率、見逃し率の関係を説明する図である。
【図2】本発明の実施例1におけるシステム構成を示す図である。
【図3】本発明の実施例1におけるトラヒック変動量推定装置10の構成例を示すブロック図である。
【図4】本発明の実施例1におけるトラヒック変動量推定装置10の動作手順を示すフローチャートである。
【図5】本発明の実施例3におけるトラヒック管理装置30の構成例を示すブロック図である。
【図6】本発明の実施例3におけるトラヒック管理装置30の動作手順を示すフローチャートである。
【図7】本発明の実施例4におけるシステム構成を示す図である。
【図8】本発明の実施例4におけるトラヒック分配装置40の構成例を示すブロック図である。
【図9】本発明の実施例4におけるトラヒック分配装置40の動作手順を示すフローチャートである。
【図10】本発明に係る技術での近似式の有効性を実験した結果を示すグラフである。
【発明を実施するための形態】
【0016】
まず、本発明の各実施例における装置が実行する処理方法として用いられる第1〜第7の方法について説明する。
【0017】
(第1の方法)
第1の方法は、通信網において、フローを発信元IPアドレス(srcIP)、着信先IPアドレス(dstIP)、発信元ポート番号(srcPort)、着信先ポート番号(dstPort)、プロトコル番号(Protocol)の5つ組みを同じくするパケット群と定義し、サンプリング率pでのパケットサンプリングによりフローに関するトラヒックデータを収集し、観測して得られるデータから、観測が困難なトラヒック変動量を推定するトラヒック変動量推定法である。
【0018】
この第1の方法では、トラヒック量として一定周期毎に観測されたサンプルフロー数(少なくとも一つのパケットがサンプルされたフロー数)の時系列データを扱うこととし、トラヒック量の時系列に関する標本平均と標本分散について、標本分散の期待値yと、標本平均の期待値xの関係式をy=α(p)x2 +β(p)xで近似することとし、本近似式において用いるパラメータα(p)とβ(p)を観測されたデータから推定することとしている。
【0019】
これにより、観測が困難な領域、つまり平均トラヒック量が観測されている領域よりも仮に大きくあるいは小さくなったとしたときに、そのときの分散を上記近似式を用いて推定することが可能になる。
【0020】
ここで、この近似式の導出方法を以下で説明する。
【0021】
<近似式の導出方法>
(1)問題設定
K単位時間の間、ランダムパケットサンプリングを用いて無作為標本抽出を行い、標本抽出されたパケットの集約フロー指標(例えば、送信元IPアドレス)をハッシュ関数にかけ、M個のグループに分類する。以下では、標本抽出は時間間隔(0,K]で行われるものとし、時間区間(k-1,k](k=1, 2,…..,K)を区間kと呼ぶ。また、サンプリング率をpで表す。
【0022】
母集団におけるフローの総数をFとし、集約フロー指標の異なり数をFAとする。また、m番目(m=1,2,…M)のグループに分類されるフロー数をF(m)とし、m番目(m=1,2,…M)のグループに分類される集約フロー指標の異なり数をFA(m)とする。定義より
【0023】
【数1】
である。
【0024】
j番目(j=1,2,3,…., FA)の集約フロー指標がm番目(m=1,2,…M)のグループに分類されるという事象に対する指示関数JAj(m) を次式で定義する。
【0025】
【数2】
また、j番目(j=1,2,3,…,FA)の集約フロー指標をもつフローの総数をFjで表す。よって、m番目のグループに分類される集約フロー指標の総数FA(m)ならびにm番目のグループに分類されるフローの総数F(m)は
【0026】
【数3】
で与えられる。以下では、各グループに属するフローに番号を振り、個々のフローを区別する。
【0027】
m番目(m=1,2,…,M)のグループに属するi番目(i=1,2,3,…,F(m))のフロー(以下、フロー(m,i)と呼ぶ)に含まれるパケットが、区間kにおいて少なくとも一つ抽出されるという事象に対する指示関数Yi(m)(k|p)(k=1,2,…,K)を次式で定義する。
【0028】
【数4】
さらに、グループmにおいて区間kで少なくとも一つのパケットが抽出されるフローの数X(m)(k)を定義する。
【0029】
【数5】
このとき、標本抽出実験の結果得られる、K個の単位区間に渡って得られるX (m)(k|p)の標本平均
【0030】
【数6】
ならびに標本分散
【0031】
【数7】
は次式で与えられる。
【0032】
【数8】
定義より、これらの期待値は、
【0033】
【数9】
【0034】
【数10】
で与えられる。以下では、
【0035】
【数11】
と
【0036】
【数12】
の関係を議論する。
(2)モデル
この節では、以下の仮定を置く。
【0037】
仮定1:j番目(j=1,2,3,…,FA)の集約フロー指標がm番目(m=1,2,…,M)のグループに分類されるという事象に対する指示関数JAj(m) は他の事象とは独立であり、その期待値は
【0038】
【数13】
で与えられる。
【0039】
仮定2:j番目(j=1,2,3,…,FA)の集約フロー指標をもつフローの総数Fjは独立同一な分布に従う。
母集団における集約フロー指標の異なり数FAを(未知の)確定値として扱うと
【0040】
【数14】
であり、式(1)、式(2)、仮定1、仮定2より、F(m)の平均と分散はそれぞれ次式で与えられる。
【0041】
【数15】
【0042】
【数16】
ただし、Cは
【0043】
【数17】
である。
【0044】
仮定3:区間kにおいてフロー(m,i)(m=1,2,…,M, i=1,2,…, F(m))のパケットが少なくとも1つ抽出されるという事象に対する指示関数の組{Yi(m)(k|p); k=1,2,…,K}はm, iの値に依らず、同じ結合分布を持つ。
【0045】
仮定3より、任意のフロー(m, i)に対する{ Yi(m)(k|p); k=1,2,…,K}と同じ結合分布に従う確率変数の組{ Y(k|p); k=1,2,…,K}が定義できる。これを用いるとグループmにおける観測期間内でランダムに選ばれた時間区間におけるフロー数X(m)(p)の平均E[X(m)(p)]と分散Var[X(m)(p)]は次式で与えられる。
【0046】
【数18】
【0047】
【数19】
式(9)に現れる鍵括弧内の項は、凸関数に対するJensenの不等式より
【0048】
【数20】
であり、等号はE[Y(k|p)]がkに依らず一定の場合のみ成立することに注意する。
【0049】
式(8)より
【0050】
【数21】
が得られ、これと式(6)より
【0051】
【数22】
が成立する。これらを式(9)へ代入し、整理すると
【0052】
【数23】
を得る。ただし、A(p), B(p)は任意のフローを特徴付ける確率変数{Y(k|p);k=1,2,…,K}のみで定まる値であり、
【0053】
【数24】
で与えられる。
【0054】
式(10)はm番目のグループに分類されるフローの数の分散Var[X(m)(p)]が平均E[X(m)(p)]の2次関数で与えられることを示している。すなわち、平均分散曲線は未知の定数α(p)、β(p)を含む2次曲線
y=α(p)x2 +β(p)x (12)
となる。
【0055】
ここで、Mに対するデータX(m)(k|p)の標本平均
【0056】
【数25】
と標本分散
【0057】
【数26】
が既知であるとする。まず、それぞれの分類におけるE[X(m)(p)]とVar[X(m)(p)] (m = 1, 2, …, M)に対応する標本平均SE(M)(p)、標本分散SV(M)(p)を次式により算出する。
【0058】
【数27】
式(3)と式(8)より、
【0059】
【数28】
が成立するため、SE(M)(p)は平均E[X(m)(p)]の不偏推定量である。一方、式(4)から、
【0060】
【数29】
にはK個の時間区間内での共分散を含む項が含まれており、偏りがある。今後、以下を仮定する。
【0061】
仮定4:
【0062】
【数30】
における共分散を含む項は無視できる。すなわち、
【0063】
【数31】
が成立する。
【0064】
従って、標本平均の期待値と、標本分散の期待値との間に、式(12)の2次関数の関係式が成り立つことになる。
【0065】
(第2の方法)
次に、第2の方法について説明する。第2の方法では、第1の方法において、観測されたフローのsrcIPをキーとして予め用意したハッシュ関数に入力し、そのハッシュ値を元にM個のグループに分割する。
【0066】
例えば、ハッシュ値をMで割った余りを同じくするフローを同一グループへと分類する。このときのm番目(m=1〜M)のグループに属するフロー数時系列に関して、その標本平均X(m)(p)と標本分散Vx(m)(p)を計算し、グループ全体の標本平均の期待値をSE(M)(p)=1/M ΣX(m)(p)(m=1〜Mで和を取る)、標本分散の期待値をSV(M)(p)=1/M ΣVx(m)(p)(m=1〜Mで和を取る)で推定する。これを、M=M1とM2の2通りに対して実施し、M=Mi(i=1、2)のときのSE(Mi)(p)とSV(Mi)(p)の組を(xi, yi)として、第1の方法におけるパラメータα(p)とβ(p)を以下の式で推定することとしている。
【0067】
【数32】
(第3の方法)
次に、第3の方法について説明する。第3の方法では、第2の方法において、srcIPをキーとしてグループに分けていた代わりに、dstIPをキーにするか、または{発信元IPアドレス(srcIP)、着信先IPアドレス(dstIP)、発信元ポート番号(srcPort)、着信先ポート番号(dstPort)、プロトコル番号(Protocol)}の5つ組みのうちのいくつかの組み合わせでキーを定義してグループに分類することとしている。
【0068】
どのようにキーを定義してグループ分けするかについては、そのときの目的に応じて設定すればよい。例えば、後述する第6の方法においては、異常トラヒック監視を目的としている。その場合には、例えばsrcIPをキーとしてグループに分類することで、スキャンのようなある特定のsrcIPから多数のdstIPやdstPortへトラヒックを分散させている異常を見つけるのに適している。なぜならば、そのような異常トラヒックについては、srcIPをキーにしてグループ分類を行った際には全て同一のグループに集約されるため、異常トラヒックを検出しやすくなるためである(非特許文献8)。
【0069】
(第4の方法)
次に、第4の方法について説明する。第4の方法においては、第2の方法により求めたパラメータを用いて、標本分散の期待値yと標本平均の期待値xの関係式y=α(p)x2 + β(p)xを導出しておき、将来の平均トラヒック量がx_estになったと仮定したときの分散をy_est=α(p) (x_est)2 + β(p)(x_est)により推定する。
【0070】
一方、トラヒックは平均x_est、分散y_estをパラメータにもつあらかじめ定めた分布(正規分布等)に従うものとして、上位Xパーセンタイルを導出し、それを該将来時点において加わるトラヒック量とみなして必要な設備を設計することとしている。
【0071】
(第5の方法)
続いて、第5の方法について説明する。第5の方法においては、ネットワークに加わるトラヒックをM個のグループに分割して監視しているものとし、各グループに分類されるフローをハッシュ関数を用いてさらにM'個に分割することで、第2の方法におけるM1、M2の2つのグループ数への分類を実現し、第2の方法の手順で、第1の方法のパラメータα(p)とβ(p)を推定することしている。
【0072】
(第6の方法)
次に、第6の方法について説明する。第6の方法においては、フローをM個のグループに分割して、各グループm(m=1〜M)のフロー数時系列を観測し、該フロー数の急激な変化を監視することで異常トラヒックを検出しているとする。このとき、現在のトラヒックにおいて異常トラヒックが存在しないと判定されている場合には、第5の方法でパラメータα(p)とβ(p)を推定しておき、正常フロー数の標本分散の期待値yと標本平均の期待値xの関係式y=α(p)x2 + β(p)xを導出しておく。
【0073】
一方、フロー数は平均x、分散yをパラメータにもつあらかじめ定めた分布(正規分布等)に従うとする。ここで、(m_d, v_d)を検出すべき異常トラヒックの(フロー数の平均,フロー数の分散)とする。これらは予め定める値である。そして、仮に該異常トラヒックが印加された場合に予め定めた異常見逃し率ε以下で検出可能となるように適切な分割数M*を以下で決定する。
正常フロー数に異常フロー数が加わったときの(平均,分散)を、(x+m_d, α(p)x2+β(p)x+v_d)とし、正常フロー数+異常フロー数がこの平均と分散を持つ確率分布Fx(u)に従うとみなす。ここで、Fx(u)は正常フロー数の平均がxのときに、正常フロー数+異常フロー数という確率変数Uがu以下となる確率を意味する。つまり、Fx(u)=P[U=<u]である。該確率分布においてFx(th)<εを満たすx*を計算する。なおthは異常と判定する閾値であり、予め定めるパラメータγ(例えばγ=3)を用いてth=x+γ√{α(p)x2+β(p)x}とする。
【0074】
そして、現在のMグループに分割したときのグループ全体の標本平均SE(M)(p) =1/M ΣX(m)(p)(m=1〜Mで和を取る)とx*を比較して、x*/ SE(M)(p)が予め定めた閾値よりも小さければ、分割数をMより大きくする。具体的には、分割数をINT[SE(M)(p)/ x* ×M](INT[a]はaの小数点少数を切り上げて整数にすること)と更新する。
【0075】
以下、上記の方法の基本的考え方について説明する。
【0076】
バックボーンでトラヒックを観測していると、トラヒック量が大きいため、異常トラヒックがその中に混在していても、見つけることが困難となる。そこで、監視トラヒックを適切なグループ数に分割して、グループ毎にトラヒックを監視することで異常トラヒック検出を行うことが考えられる。グループ内の正常トラヒック量が小さくなり、異常トラヒックだけ特定のグループに集約できれば、異常トラヒックを検出しやすくなる。
【0077】
一般に異常トラヒックの検出は、トラヒックの時系列を監視し、トラヒック量が閾値を超えたら(急激に増加したら)、異常トラヒックが発生したと判断する。このような判断においては、正常時に閾値を超える確率(誤検出率)をなるべく小さくし、同時に異常発生時には見逃し率をなるべく小さくできるようにする必要がある。
【0078】
図1は、正常フロー数、ならびに正常フロー数+異常フロー数の分布と、誤検出率・見逃し率の関係を示す図である。一般に、閾値thは「平均x+γ√(分散)」と設定する。例えば正規分布の場合、γ=3にセットすると、閾値を超える確率、つまり誤検出率は0.13%程度に抑えられる。一方で、異常混在時のフロー数は(x+m_d, α(p)x2+β(p)x+v_d)を(平均、分散)とする確率分布Fx(u)に従うことになる。ここで、Fx(u)は正常フロー数の平均がxのときに、正常フロー数+異常フロー数という確率変数Uがu以下となる確率を意味する(つまり、Fx(u)=P[U=<u])。このとき、異常発生時には閾値を下回る確率(つまり見逃し率)とは該確率分布においてFx(th)がその確率に相当する。
【0079】
従って、Fx(th)<εを満たすように、分割数を設定すれば(つまり、正常トラヒック量の平均がこの不等式を満たす程度にできれば)よいことになるため、Fx(th)<εを満たす平均正常トラヒックx*を計算し、現在のMグループに分割したときのグループ全体の標本平均SE(M)(p) =1/M ΣX(m)(p)(m=1〜Mで和を取る)とx*を比較して、x*/ SE(M)(p)が予め定めた閾値よりも小さければ、分割数をMより大きくすることとしている。具体的には、分割数をINT[SE(M)(p)/ x* ×M](INT[a]はaの小数点少数を切り上げて整数にすること)と更新する。
【0080】
(第7の方法)
次に、第7の方法について説明する。第7の方法においては、フローを処理するサーバがL台存在するものとし、サーバjの処理能力をBj[flow/s]とする。また、これらサーバへフローを振り分ける装置が存在するとし、現在、サーバjへ振り分けられているフローをグループjのフローと呼ぶことにし、グループjのフロー数の標本平均X(j)(p)と標本分散Vx(j)(p)を計算する。そして、組(X(j)(p) , Vx(j)(p))(j=1〜L)を(xj, yj)として、y=α(p)x2 + β(p)xにフィットさせて、パラメータα(p)とβ(p)を求める。第7の方法では、この関係式を用いて、フローの振り分け先サーバを変更するかどうかを以下の手順で決定する。
【0081】
トラヒックは平均x、分散α(p)x2+β(p)xをパラメータにもつあらかじめ定めた分布(正規分布等)に従うとして上位Xパーセンタイルを導出し、その上位Xパーセンタイルがサーバkの処理能力Bk×a (aは係数で1未満に設定)となるような、平均x_target_kを算出する。該サーバkには、X(1)(p)+ X(2)(p)+…+ X(J)(p)<= x_target_kを満たす範囲で、グループ1, 2, …, Jのフローをサーバkに収容替えするとする。この手順を残りのグループ全てがいずれかのサーバに収容されるまで繰り返し実施し、その結果、もし不要となったサーバが存在したら、該サーバをsleep状態にして、実際にフローの収容替えを実施する。その後、activeなサーバjの中で、該サーバjへのフロー数の分散から決まる上位Xパーセンタイルの値がa×Bjを超えた場合には、sleepになっているサーバをactiveにして、該サーバjで収容中のフローの一部をsleepサーバへ収容替えをする。
【0082】
上記の方法では、複数台のサーバで負荷分散をしているケースを想定し、トラヒックが減ってきて全部のサーバをアクティブ状態にしなくても処理可能な程度のトラヒックであれば、トラヒックを一部のサーバに片寄せし、残りのサーバをsleep状態とすることで、低消費電力化を図っている。
【0083】
以下、上述した本発明に係る方法を実装した各実施例を図面を参照して説明する。
【実施例1】
【0084】
まず、実施例1について説明する。図2は、実施例1に係るシステムの基本構成の一例を示す構成図である。図2に示すように、このシステムは、IPネットワーク1を構成する複数のルータ2と、トラヒック変動量推定装置10とを備えている。
【0085】
本システムでは、図2に示すように、各ルータ2においてパケットサンプリング率pで測定されたサンプルフロー情報を、トラヒック変動量推定装置10が収集する構成となっている。ここで、上記サンプルフロー情報は、フローIDと統計情報のセットであり、フローIDとして、送信元IPアドレス、着信先IPアドレス、送信元ポート番号、着信先ポート番号、プロトコル番号を持ち、統計情報として、サンプルパケット数、サンプルパケットの総バイト数を持つ。
【0086】
トラヒック変動量推定装置10は、第1から第4の方法を用いてトラヒック変動量推定を行う装置である。図3に、トラヒック変動量推定装置10の機能構成図を示す。図3に示す通り、トラヒック変動量推定装置10は、フロー分類部11と、時系列データ生成部12と、近似式算出部13と、トラヒック予測部14を備えている。当該構成を有するトラヒック変動量推定装置10の動作を、図4に示す処理手順に沿って説明する。
【0087】
ステップ101)フロー分類部11は、各ルータから到着したサンプルフロー情報を受け取り、該フローの(送信元IPアドレス、着信先IPアドレス、送信元ポート番号、着信先ポート番号、プロトコル番号)を読み出し、フローID照合手段におけるメモリ等に予め登録されているルールを参照し、当該ルールに従ってフローを複数のグループに分類する。
【0088】
一例として、フロー分類部11は、srcIPをキーとしてハッシュ関数に入力し、そのハッシュ値の先頭8ビットをみて、M=2^8個のグループに分類する。ここではsrcIPをキーとする例を示したが、srcIPではなく、dstIP、または{発信元IPアドレス(srcIP)、着信先IPアドレス(dstIP)、発信元ポート番号(srcPort)、着信先ポート番号(dstPort)、プロトコル番号(Protocol)}の5つ組みのうちのいくつかの組み合わせでキーを定義してもよい。なお、ここでは、フロー分類部11は、M個のグループへの分類をM=M1とM2の2通りに対して実施する。例えばM1=2、 M2=4とセットする。
【0089】
分類後、該フロー情報と該フローがマッピングされたグループ番号m1、m2(前者はM= M1としたとき、後者はM= M2としたときのグループ番号)をセットにして、時系列データ生成部12に通知する。
【0090】
ステップ102)時系列データ生成部12は、各グループmのフロー数を一定周期(例えば1分毎)毎にカウントしておく。これを、予め定めた測定期間(例えば1分×180回)実施し、測定期間終了時に、フロー数の時系列データを近似式算出部13へ転送する。
【0091】
ステップ103)近似式算出部13は、各グループ番号mの標本平均X(m)(p)と標本分散Vx(m)(p)を計算し、グループ全体の標本平均の期待値をSE(M)(p)=1/M ΣX(m)(p)(m=1〜Mで和を取る)、標本分散の期待値をSV(M)(p) = 1/M ΣVx(m)(p) (m=1〜Mで和を取る)で推定する。これを、M=M1とM2の2通りに対して実施し、M=Mi(i=1, 2)のときのSE(Mi)(p)とSV(Mi)(p)の組を(xi, yi)として、パラメータα(p)とβ(p)を以下の式を用いて算出する。
【0092】
【数33】
パラメータを決定したら、当該パラメータを、トラヒック予測部14へ通知する。
【0093】
ステップ104)トラヒック予測部14では、近似式算出部13により決定されたパラメータを用いて、標本分散の期待値yと標本平均の期待値xの関係式y=α(p)x2 + β(p)xを導出しておき、将来の平均トラヒック量がx_estになったと仮定したときの分散をy_est=α(p) (x_est)2 + β(p)(x_est)により推定する。一方、トラヒックは平均x_est、分散y_estをパラメータにもつあらかじめ定めた分布(正規分布等)に従うとして、上位Xパーセンタイルを導出し、それを該将来時点において加わるトラヒック量の予測値として出力する。
【0094】
トラヒック予測部14により予測されたトラヒック量は、例えば、オペレータの端末に出力される。また、トラヒック予測部14は、上記のようにして推定された分散を出力し、トラヒック量の予測を他の手段で行うこととしてもよい。
【0095】
トラヒック変動量推定装置10は、例えば、CPUやメモリ、ハードディスク等を備えた一般的なコンピュータに、各機能部に対応するプログラムを実行させることにより実現可能である。当該プログラムは、可搬メモリ等のコンピュータ読み取り可能な記録媒体に記録して配布してもよいし、ネットワーク上のサーバからダウンロードすることもできる。このように、トラヒック変動量推定装置10をコンピュータとプログラムで構成した場合、CPUは、プログラムの命令に従って、フロー数等の処理データの読み書きをメモリに対し行うことにより処理を進め、これにより、トラヒック変動量推定装置10における各機能部が実現される。
【0096】
また、トラヒック変動量推定装置10を、各機能部の処理機能を埋め込んだハードウェアロジック回路を用いて実現することも可能である。
【0097】
上記のようにコンピュータとプログラム、もしくはハードウェアロジック回路で実現できる点は、他の実施例における装置についても同様である。
【実施例2】
【0098】
実施例2における装置構成は、実施例1と同じである。実施例2では、実施例1のフロー分類部11のようにして予めセットした2通りのグループ分類を実施する代わりに、以下のようなグループ分けを行う。
【0099】
ここではネットワークを流れるトラヒックがM個のグループに分類されているとする。例えば後述する実施例3のように、異常トラヒック監視目的で、M個(これをM1個とする)のグループに分けてトラヒックを監視しているものとする。そして、フロー分類部11は、各グループに分類されるフローをハッシュ関数を用いてさらにM'個に分割することで、全体としてM2個のグループ分けを実現し、実施例1に記載のM1、M2の2つのグループ数への分類を実現し、あとは実施例1と同様の手順で、トラヒック変動量を推定する。
【実施例3】
【0100】
次に、実施例3を説明する。図5に、本実施例におけるトラヒック管理装置30の機能構成図を示す。このトラヒック管理装置30は、図2に示したシステムにおいて、トラヒック変動量推定装置10に代えて備えられ、運用することを想定している。あるいは、トラヒック変動量推定装置10の中に付加的に、トラヒック管理装置30としての機能を実現するために必要な機能部を備えることとしてもよい。
【0101】
図5に示す通り、トラヒック管理装置30は、フロー分類部31と、時系列データ生成部32と、異常検出部33と、近似式算出部34と、グループ数決定部35を備えている。当該構成を有するトラヒック管理装置30の動作を、図6に示す処理手順に沿って説明する。
【0102】
ステップ301にて、フロー分類部31が、フローをM個のグループに分類し、ステップ302にて、時系列データ生成部32が、各グループのフロー数時系列を生成する。ここまでの処理は実施例1におけるステップ101及びステップ102と同じ処理である。
【0103】
ステップ303)時系列データ生成部32は、一定周期毎に時系列データが追加されるたびに、異常検出部33へそのデータを転送する。
【0104】
ステップ304)異常検出部33では、各グループmのフロー数の平均と分散を過去の時系列データから計算しておき、異常検出閾値を「平均+γ×√(分散)」に設定し、現時点のフロー数がこの閾値を超えたら異常が発生したと判断する。異常と判定された場合はその旨を近似式算出部34へ伝える。
【0105】
ステップ305)近似式算出部34では、現在のトラヒックにおいて、異常検出部33により異常トラヒックが存在しないと判定されている場合には、実施例2の方法でパラメータα(p)とβ(p)を推定しておき、正常フロー数の標本分散の期待値yと標本平均の期待値xの関係式y=α(p)x2 +β(p)xを導出しておく。そして、その結果をグループ数決定部35に通知する。
【0106】
ステップ306)グループ数決定部35では、以下の手順で異常トラヒック監視のために適したグループ数(分割数)を決定する。
【0107】
まず、フロー数は平均x、分散yをパラメータにもつあらかじめ定めた分布(正規分布等)に従うとする。ここで、(m_d, v_d)を検出すべき異常トラヒックの(フロー数の平均、フロー数の分散)とする。なお、異常トラヒックの(フロー数の平均、フロー数の分散)は予め定める値である。そして、仮に該異常トラヒックが印加された場合に予め定めた異常見逃し率ε以下となるように適切な分割数M*を以下のようにして決定する。
【0108】
正常フロー数に異常フロー数が加わったときの(平均,分散)を、(x+m_d, α(p)x2+β(p)x+v_d)とし、正常フロー数+異常フロー数がこの平均と分散を持つ確率分布Fx(u)に従うとみなす。ここで、Fx(u)は正常フロー数の平均がxのときに、正常フロー数+異常フロー数という確率変数Uがu以下となる確率を意味する。つまり、Fx(u)=P[U=<u]である。該確率分布においてFx(th)<εを満たすx*を計算する。なおthは異常と判定する閾値であり、予め定めるパラメータγ(例えばγ=3)を用いてth=x+γ√{α(p)x2 + β(p)x}とする。現在のMグループに分割したときのグループ全体の標本平均SE(M)(p) =1/M ΣX(m)(p)(m=1〜Mで和を取る)とx*を比較して、x*/ SE(M)(p)が予め定めた閾値よりも小さければ、分割数をMより大きくする。具体的には、分割数をINT[SE(M)(p)/ x* ×M](INT[a]はaの小数点少数を切り上げて整数にすること)と更新することにより、分割数を決定する。
【実施例4】
【0109】
次に、実施例4について説明する。本実施例におけるシステムは、図7に示すように、トラヒック分配装置40とL台のサーバ(50)が、ネットワークを介して接続された構成を有する。
【0110】
図7の構成において、トラヒック分配装置40が、L台のサーバへフローを分配している。なお、サーバjの処理能力をBj[flow/s]とする。現在、サーバjへ振り分けられているフローをグループjのフローと呼ぶことにする。
【0111】
図8に、本実施例におけるトラヒック分配装置40の機能構成図を示す。図8に示すとおり、トラヒック分配装置40は、フロー分類部41と、時系列データ生成部42と、近似式算出部43と、振分先サーバ決定部44を備えている。当該構成を有するトラヒック分配装置40の動作を、図9に示す処理手順に沿って説明する。
【0112】
ステップ401)フロー分類部41では、フローをL個のグループに分類し、該当するグループ番号のサーバへフローを転送している。同時に、各グループのサンプルフロー数の情報と、どのフローをどのグループ番号へ割り当てたかを時系列データ生成部42へ通知する。
【0113】
ステップ402)時系列データ生成部42において、各グループのフロー数時系列を生成する。この手順は実施例1におけるステップ102と同じである。すなわち、時系列データ生成部42は、グループmのフロー数を一定周期(例えば1分毎)毎にカウントしておく。これを、予め定めた測定期間(例えば1分×180回)実施し、測定期間終了時に、時系列データを近似式算出部43へ転送する。
【0114】
ステップ403)近似式算出部43では、グループjのフロー数の標本平均X(j)(p)と標本分散Vx(j)(p)を計算する。組(X(j)(p) , Vx(j)(p))(j=1〜L)を(xj, yj)として、近似式y=α(p)x2 + β(p)xにフィットさせて、パラメータα(p)とβ(p)を求める。その結果を振分先サーバ決定部44へ通知する。
【0115】
ステップ404)振分先サーバ決定部44では、上記近似式を用いて、フローの振り分け先サーバを変更するかどうかを以下の手順で決定する。
【0116】
ここでは、トラヒックは平均x、分散α(p)x2+β(p)xをパラメータにもつあらかじめ定めた分布(正規分布等)に従うとして上位Xパーセンタイルを導出し、その上位Xパーセンタイルがサーバkの処理能力Bk×a (aは係数で1未満に設定)となるような、平均x_target_kを算出する。そして、X(1)(p)+ X(2)(p)+…+ X(J)(p)<= x_target_kを満たす範囲で、グループ1, 2, …, Jのフローをサーバkに収容替えする計算処理を行う。この手順を残りのグループ全てがいずれかのサーバに収容されるまで繰り返し実施し、その結果、もし不要となったサーバが存在したら、該サーバをsleep状態にして、上記計算処理の結果に従って、実際にフローの収容替えを実施する。一方、activeなサーバjの中で、該サーバjへのフロー数の分散から決まる上位Xパーセンタイルの値がa×Bjを超えた場合には、sleepになっているサーバをactiveにして、該サーバjで収容中のフローの一部をsleepサーバへ収容替えをする。
(実施の形態の効果)
以上、各実施例を用いて説明した本発明に係る技術によれば、観測されているサンプルデータから、直接観測が困難なトラヒックの変動量を推定することが可能になるとともに、その変動量を用いて、分割数の決定や、振り分け先サーバの収容替え制御等のトラヒック管理を実現することが可能になる。
【0117】
ここで、本発明において提案する近似式が正しく実際のトラヒック変動を推定できていることを実データを用いて示す。インターネットバックボーンで測定されたパケットキャプチャデータ(171分)を用いて以下の実験を行った。
【0118】
まず、パケットをサンプリング率p=1/1024でサンプリングし、少なくとも1パケットサンプルされたフローについて、グループ数M=1、2、4、8、16、32、64、128、256、512、1024の11パタンで分類し、1分周期で各グループのサンプルフロー数の時系列を作成した。そして、各グループの(標本平均、標本分散)を計算し、それらをプロットした結果を図10に示す。X軸が平均、Y軸が分散である。
【0119】
同時に、M=1とM=2のときの結果を用いて、近似式y=α(p)x2+β(p)xを計算した。このときα=0.002910、β=0.626320となった。その近似曲線も図10に示す。これより、本発明の技術を用いることで、M=4以上の領域について近似できていることが確認できる。
【産業上の利用可能性】
【0120】
IPネットワークにおけるトラヒック変動量を推定することを含むトラヒックの管理を行うための技術に適用できる。
【0121】
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
【符号の説明】
【0122】
1 IPネットワーク
2 ルータ
10 トラヒック変動量推定装置
11、31、41 フロー分類部
12、32、42 時系列データ生成部
13、34、43 近似式算出部
14 トラヒック予測部
30 トラヒック管理装置
33 異常検出部
35 グループ数決定部
40 トラヒック分配装置
44 振り分け先サーバ決定部
50 サーバ
【技術分野】
【0001】
本発明は、IPネットワークにおけるトラヒックを管理する技術に関するものである。
【背景技術】
【0002】
IPネットワークが広く利用されてくるに伴って、トラヒックを測定し、適切なネットワーク設計や運用に反映させる必要がある。例えば、ネットワークの帯域を設計する場合にはトラヒック量の平均だけでなく、変動量(例えばトラヒック量の95%値)を把握することが重要である。
【0003】
また、ネットワークを流れるフロー数に関しても見積もる必要がある場合がある。ここでフローとは、発信元IPアドレス(srcIP)、着信先IPアドレス(dstIP)、発信元ポート番号(srcPort)、着信先ポート番号(dstPort)、プロトコル(protocol)の5つ組を同じくするパケット群のことを指す。例えば、ネットワーク上を流れるトラヒックをフローレベルで測定するNetFlowやsFlowといった技術がルータに実装されており、ルータで観測されたフロー情報を、コレクタと呼ばれる監視装置へexportさせてコレクタで分析することで、ネットワークの状態を把握する。このとき、コレクタへ到着するフロー数がどの程度かを見積もる必要がある。その際も、平均だけでなく、変動量を把握して、適切な処理能力のコレクタを用意する必要がある。あるいは、SIPのようなセッション(フロー)単位で通信を制御する場合には、SIPサーバでのセッション数を把握する必要がある。
【0004】
さらに、近年、DDoS(Distributed Denial of Service)やスキャンといった異常トラヒックが急増しているため、これら異常トラヒックを測定を通じて検出する必要性も増している。このとき、異常トラヒックをみつけるためには平常時のトラヒックの変動がどの程度かを正確に見積もり、その変動の範囲を超えてトラヒックが急増したら、異常トラヒックが発生したとする、といった手法(例えば非特許文献1)も考えられているため、その点においても、トラヒックの変動量を適切に把握することが重要となる。
【0005】
一方、回線速度の高速化に対応可能な測定を実施するため、パケットサンプリングを通じてトラヒックを測定分析する技術が近年注目されている(非特許文献2)。例えばN個に1個のパケットを周期的に参照し、パケットがサンプルされたフロー情報(どのフローから何パケットサンプルされたか)を収集分析する技術である。このようなサンプルフロー情報を集計し、一定周期(例えば5分)毎にある監視単位(リンク毎、ルータ毎、あるいは対地毎)に発生したパケット数、バイト数、フロー数に関する時系列データを作成し、分析することが考えられている(非特許文献3)。
【先行技術文献】
【非特許文献】
【0006】
【非特許文献1】原田薫明, 川原亮一, 森達哉, 上山憲昭, 廣川裕, 山本公洋, "異常トラヒック発生検出および終了判定手法," 信学技報, vol. 106, no. 420, IN2006-133, pp. 115-120, 2006年12月.
【非特許文献2】[PSAMP] RFC 5474 on A Framework for Packet Selection and Reporting http://www.faqs.org/rfcs/rfc5474.html
【非特許文献3】大倉 他,信学ソ大,B-7-70, 2006
【非特許文献4】T. MORI, T. TAKINE, J. PAN, R. KAWAHARA, M. UCHIDA, and S. GOTO, "Identifying Heavy-Hitter Flows from Sampled Flow Statistics," IEICE TRANSACTIONS on Communications, Vol.E90-B, No.11, pp.3061-3072, Nov 2007.
【非特許文献5】C. Estan and G. Varghese, "New Directions in Traffic Measurement and Accounting," ACM SIGCOMM2002, Aug. 2002.
【非特許文献6】N. Duffield, C. Lund, and M. Thorup, "Properties and Prediction of Flow Statistics from Sampled Packet Streams," ACM SIGCOMM Internet Measurement Conference 2002, Nov. 2002.
【非特許文献7】N. Duffield, C. Lund, and M. Thorup, ``Estimating Flow Distributions from Sampled Flow Statistics,'' In Proceedings of ACM SIGCOMM, pp. 325-336, Aug. 2003.
【非特許文献8】R. Kawahara, T. Mori, N. Kamiyama, S. Harada, and S. Asano, "A study on detecting network anomalies using sampled flow statistics," SAINT 2007Workshop on Internet measurement technology and its applications to building next generation Internet, Jan. 2007.
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、上記のようにパケットサンプリングを通じてトラヒックを測定分析する技術においては、パケットサンプリングしているために、必要な情報が失われている可能性があり、元のフロー統計量を推定する必要がある。非特許文献4では、パケットサンプリングを用いてリンク帯域の占有率が高いフローを特定する方法を提案している。非特許文献5では、フローサイズが大きいフローの統計を精度よく得る方法を提案している。また、非特許文献6、7では、サンプルされたSYNパケット(TCPフラグの一つで、通信開始を意味する)の数を用いて、サンプルされていない全体のフロー発生数やフローサイズの平均や分布を推定する方法を提案している。
【0008】
しかしながら、これらの提案技術は、トラヒック時系列の変動量を推定することを可能にするものではなかった。
【0009】
本発明は、上述の問題点に鑑みてなされたものであり、観測可能なデータから、観測が困難なトラヒックの変動量を推定することを可能にする技術を提供するとともに、その推定されたトラヒック変動量を用いて、トラヒック管理を実現するための技術を提供することを目的とする。
【課題を解決するための手段】
【0010】
上記の課題を解決するために、本発明は、通信網においてサンプリング率pでのパケットサンプリングにより収集されたサンプルフロー情報を受信し、当該サンプルフロー情報から、トラヒック変動量を推定するトラヒック変動量推定装置であって、前記サンプルフロー情報に基づき、フロー数の時系列データをトラヒック量として生成する時系列データ生成手段と、トラヒック量に関する標本分散の期待値yと、標本平均の期待値xとの間の関係を示す近似式y=α(p)x2 + β(p)xにおけるパラメータα(p)とβ(p)を、前記時系列データ生成手段により生成された時系列のフロー数から算出する近似式算出手段と、前記近似式算出手段により算出されたパラメータα(p)とβ(p)を有する前記近似式y=α(p)x2 + β(p)xを用いて、トラヒック変動量の推定を行うトラヒック推定手段とを備えたことを特徴とするトラヒック変動量推定装置として構成することができる。
【0011】
また、本発明は、通信網においてサンプリング率pでのパケットサンプリングにより収集されたサンプルフロー情報を受信し、当該サンプルフロー情報から、異常トラヒック監視に適したフロー分割数を決定するトラヒック管理装置であって、前記サンプルフロー情報に基づき、フロー数の時系列データをトラヒック量として生成する時系列データ生成手段と、前記時系列データ生成手段から、時系列のフロー数を受け取り、当該フロー数が所定の異常検出閾値を超えた場合に異常であると判定する異常検出手段と、トラヒック量に関する標本分散の期待値yと、標本平均の期待値xとの間の関係を示す近似式y=α(p)x2 + β(p)xにおけるパラメータα(p)とβ(p)を、前記異常検出手段により異常と判定されていない正常時の時系列のフロー数から算出する近似式算出手段と、正常フロー数に異常フロー数が加わったときの(平均,分散)を、(x+m_d, α(p)x2+β(p)x+v_d)とし、正常フロー数に平均がm_dで分散がv_dとなる異常フロー数が加わったときのフロー数の平均と分散を持つ確率分布Fx(u)において、異常判定閾値をthとし、予め定めた異常見逃し率をεとして、Fx(th)<εを満たす正常平均フロー数x*を計算し、フローをMの分割数で分割したときのグループjのフロー数の標本平均X(j)(p)を求め、グループ全体の標本平均SE(M)(p) =1/M ΣX(m)(p)(m=1〜Mで和を取る)とx*とを比較して、x*/ SE(M)(p)が予め定めた閾値よりも小さければ、分割数をMより大きくする処理を行うことにより、異常トラヒック監視に適したフロー分割数を決定する分割数決定手段とを備えたことを特徴とするトラヒック管理装置として構成される。
【0012】
また、本発明は、通信ネットワークを介してL個(Lは自然数)のサーバに接続され、当該L個のサーバに対してトラヒックのフローを分配するトラヒック分配装置であって、前記フローをL個(Lは自然数)のグループに分類し、グループ毎に各サーバへフローを転送するフロー分類手段と、前記フロー分類手段で分類された各グループのフロー数の時系列データをトラヒック量として生成する時系列データ生成手段と、トラヒック量に関する標本分散の期待値yと、標本平均の期待値xとの間の関係を示す近似式y=α(p)x2 +β(p)xにおけるパラメータα(p)とβ(p)を、前記時系列データ生成手段により生成された時系列のフロー数から算出する近似式算出手段と、フローの振り分け先サーバを変更するか否かを決定する振分先サーバ決定手段と、を備え、サーバj(j=1〜L)へ振り分けられているフローをグループjのフローとした場合に、前記近似式算出手段は、グループjのフロー数の標本平均X(j)(p)と標本分散Vx(j)(p)を計算し、組(X(j)(p) , Vx(j)(p))を(xj, yj)として、前記近似式y=α(p)x2 + β(p)xにフィットさせることにより、前記パラメータα(p)とβ(p)を求め、
前記振分先サーバ決定手段は、前記近似式を用いることにより、前記フロー数が平均x、分散α(p)x2+β(p)xをパラメータにもつあらかじめ定めた分布に従うものとして上位Xパーセンタイルのフロー数を算出し、当該上位Xパーセンタイルのフロー数がサーバkの処理能力Bk×a (aは係数で1未満の値)となるような、平均x_target_kを算出し、X(1)(p)+ X(2)(p)+…+ X(J)(p)<= x_target_kを満たす範囲で、グループ1, 2, …, Jのフローをサーバkに収容替えする計算処理を、残りのグループ全てがいずれかのサーバに収容されるまで各サーバについて繰り返して実施し、その結果、もし不要となったサーバが存在する場合に、フローの振り分け先サーバを変更すると決定することを特徴とするトラヒック分配装置として構成することもできる。
【0013】
また、本発明は、上記各装置の処理方法に対応する方法の発明として構成することもできる。
【発明の効果】
【0014】
本発明によれば、観測可能なデータから、観測が困難なトラヒックの変動量を推定することを可能にする技術を提供できるとともに、その推定されたトラヒック変動量を用いて、フロー分割数の決定や、フロー振り分け先の変更等のトラヒック管理を実現する技術を提供できる。
【図面の簡単な説明】
【0015】
【図1】異常トラヒック検出閾値と、誤検出率、見逃し率の関係を説明する図である。
【図2】本発明の実施例1におけるシステム構成を示す図である。
【図3】本発明の実施例1におけるトラヒック変動量推定装置10の構成例を示すブロック図である。
【図4】本発明の実施例1におけるトラヒック変動量推定装置10の動作手順を示すフローチャートである。
【図5】本発明の実施例3におけるトラヒック管理装置30の構成例を示すブロック図である。
【図6】本発明の実施例3におけるトラヒック管理装置30の動作手順を示すフローチャートである。
【図7】本発明の実施例4におけるシステム構成を示す図である。
【図8】本発明の実施例4におけるトラヒック分配装置40の構成例を示すブロック図である。
【図9】本発明の実施例4におけるトラヒック分配装置40の動作手順を示すフローチャートである。
【図10】本発明に係る技術での近似式の有効性を実験した結果を示すグラフである。
【発明を実施するための形態】
【0016】
まず、本発明の各実施例における装置が実行する処理方法として用いられる第1〜第7の方法について説明する。
【0017】
(第1の方法)
第1の方法は、通信網において、フローを発信元IPアドレス(srcIP)、着信先IPアドレス(dstIP)、発信元ポート番号(srcPort)、着信先ポート番号(dstPort)、プロトコル番号(Protocol)の5つ組みを同じくするパケット群と定義し、サンプリング率pでのパケットサンプリングによりフローに関するトラヒックデータを収集し、観測して得られるデータから、観測が困難なトラヒック変動量を推定するトラヒック変動量推定法である。
【0018】
この第1の方法では、トラヒック量として一定周期毎に観測されたサンプルフロー数(少なくとも一つのパケットがサンプルされたフロー数)の時系列データを扱うこととし、トラヒック量の時系列に関する標本平均と標本分散について、標本分散の期待値yと、標本平均の期待値xの関係式をy=α(p)x2 +β(p)xで近似することとし、本近似式において用いるパラメータα(p)とβ(p)を観測されたデータから推定することとしている。
【0019】
これにより、観測が困難な領域、つまり平均トラヒック量が観測されている領域よりも仮に大きくあるいは小さくなったとしたときに、そのときの分散を上記近似式を用いて推定することが可能になる。
【0020】
ここで、この近似式の導出方法を以下で説明する。
【0021】
<近似式の導出方法>
(1)問題設定
K単位時間の間、ランダムパケットサンプリングを用いて無作為標本抽出を行い、標本抽出されたパケットの集約フロー指標(例えば、送信元IPアドレス)をハッシュ関数にかけ、M個のグループに分類する。以下では、標本抽出は時間間隔(0,K]で行われるものとし、時間区間(k-1,k](k=1, 2,…..,K)を区間kと呼ぶ。また、サンプリング率をpで表す。
【0022】
母集団におけるフローの総数をFとし、集約フロー指標の異なり数をFAとする。また、m番目(m=1,2,…M)のグループに分類されるフロー数をF(m)とし、m番目(m=1,2,…M)のグループに分類される集約フロー指標の異なり数をFA(m)とする。定義より
【0023】
【数1】
である。
【0024】
j番目(j=1,2,3,…., FA)の集約フロー指標がm番目(m=1,2,…M)のグループに分類されるという事象に対する指示関数JAj(m) を次式で定義する。
【0025】
【数2】
また、j番目(j=1,2,3,…,FA)の集約フロー指標をもつフローの総数をFjで表す。よって、m番目のグループに分類される集約フロー指標の総数FA(m)ならびにm番目のグループに分類されるフローの総数F(m)は
【0026】
【数3】
で与えられる。以下では、各グループに属するフローに番号を振り、個々のフローを区別する。
【0027】
m番目(m=1,2,…,M)のグループに属するi番目(i=1,2,3,…,F(m))のフロー(以下、フロー(m,i)と呼ぶ)に含まれるパケットが、区間kにおいて少なくとも一つ抽出されるという事象に対する指示関数Yi(m)(k|p)(k=1,2,…,K)を次式で定義する。
【0028】
【数4】
さらに、グループmにおいて区間kで少なくとも一つのパケットが抽出されるフローの数X(m)(k)を定義する。
【0029】
【数5】
このとき、標本抽出実験の結果得られる、K個の単位区間に渡って得られるX (m)(k|p)の標本平均
【0030】
【数6】
ならびに標本分散
【0031】
【数7】
は次式で与えられる。
【0032】
【数8】
定義より、これらの期待値は、
【0033】
【数9】
【0034】
【数10】
で与えられる。以下では、
【0035】
【数11】
と
【0036】
【数12】
の関係を議論する。
(2)モデル
この節では、以下の仮定を置く。
【0037】
仮定1:j番目(j=1,2,3,…,FA)の集約フロー指標がm番目(m=1,2,…,M)のグループに分類されるという事象に対する指示関数JAj(m) は他の事象とは独立であり、その期待値は
【0038】
【数13】
で与えられる。
【0039】
仮定2:j番目(j=1,2,3,…,FA)の集約フロー指標をもつフローの総数Fjは独立同一な分布に従う。
母集団における集約フロー指標の異なり数FAを(未知の)確定値として扱うと
【0040】
【数14】
であり、式(1)、式(2)、仮定1、仮定2より、F(m)の平均と分散はそれぞれ次式で与えられる。
【0041】
【数15】
【0042】
【数16】
ただし、Cは
【0043】
【数17】
である。
【0044】
仮定3:区間kにおいてフロー(m,i)(m=1,2,…,M, i=1,2,…, F(m))のパケットが少なくとも1つ抽出されるという事象に対する指示関数の組{Yi(m)(k|p); k=1,2,…,K}はm, iの値に依らず、同じ結合分布を持つ。
【0045】
仮定3より、任意のフロー(m, i)に対する{ Yi(m)(k|p); k=1,2,…,K}と同じ結合分布に従う確率変数の組{ Y(k|p); k=1,2,…,K}が定義できる。これを用いるとグループmにおける観測期間内でランダムに選ばれた時間区間におけるフロー数X(m)(p)の平均E[X(m)(p)]と分散Var[X(m)(p)]は次式で与えられる。
【0046】
【数18】
【0047】
【数19】
式(9)に現れる鍵括弧内の項は、凸関数に対するJensenの不等式より
【0048】
【数20】
であり、等号はE[Y(k|p)]がkに依らず一定の場合のみ成立することに注意する。
【0049】
式(8)より
【0050】
【数21】
が得られ、これと式(6)より
【0051】
【数22】
が成立する。これらを式(9)へ代入し、整理すると
【0052】
【数23】
を得る。ただし、A(p), B(p)は任意のフローを特徴付ける確率変数{Y(k|p);k=1,2,…,K}のみで定まる値であり、
【0053】
【数24】
で与えられる。
【0054】
式(10)はm番目のグループに分類されるフローの数の分散Var[X(m)(p)]が平均E[X(m)(p)]の2次関数で与えられることを示している。すなわち、平均分散曲線は未知の定数α(p)、β(p)を含む2次曲線
y=α(p)x2 +β(p)x (12)
となる。
【0055】
ここで、Mに対するデータX(m)(k|p)の標本平均
【0056】
【数25】
と標本分散
【0057】
【数26】
が既知であるとする。まず、それぞれの分類におけるE[X(m)(p)]とVar[X(m)(p)] (m = 1, 2, …, M)に対応する標本平均SE(M)(p)、標本分散SV(M)(p)を次式により算出する。
【0058】
【数27】
式(3)と式(8)より、
【0059】
【数28】
が成立するため、SE(M)(p)は平均E[X(m)(p)]の不偏推定量である。一方、式(4)から、
【0060】
【数29】
にはK個の時間区間内での共分散を含む項が含まれており、偏りがある。今後、以下を仮定する。
【0061】
仮定4:
【0062】
【数30】
における共分散を含む項は無視できる。すなわち、
【0063】
【数31】
が成立する。
【0064】
従って、標本平均の期待値と、標本分散の期待値との間に、式(12)の2次関数の関係式が成り立つことになる。
【0065】
(第2の方法)
次に、第2の方法について説明する。第2の方法では、第1の方法において、観測されたフローのsrcIPをキーとして予め用意したハッシュ関数に入力し、そのハッシュ値を元にM個のグループに分割する。
【0066】
例えば、ハッシュ値をMで割った余りを同じくするフローを同一グループへと分類する。このときのm番目(m=1〜M)のグループに属するフロー数時系列に関して、その標本平均X(m)(p)と標本分散Vx(m)(p)を計算し、グループ全体の標本平均の期待値をSE(M)(p)=1/M ΣX(m)(p)(m=1〜Mで和を取る)、標本分散の期待値をSV(M)(p)=1/M ΣVx(m)(p)(m=1〜Mで和を取る)で推定する。これを、M=M1とM2の2通りに対して実施し、M=Mi(i=1、2)のときのSE(Mi)(p)とSV(Mi)(p)の組を(xi, yi)として、第1の方法におけるパラメータα(p)とβ(p)を以下の式で推定することとしている。
【0067】
【数32】
(第3の方法)
次に、第3の方法について説明する。第3の方法では、第2の方法において、srcIPをキーとしてグループに分けていた代わりに、dstIPをキーにするか、または{発信元IPアドレス(srcIP)、着信先IPアドレス(dstIP)、発信元ポート番号(srcPort)、着信先ポート番号(dstPort)、プロトコル番号(Protocol)}の5つ組みのうちのいくつかの組み合わせでキーを定義してグループに分類することとしている。
【0068】
どのようにキーを定義してグループ分けするかについては、そのときの目的に応じて設定すればよい。例えば、後述する第6の方法においては、異常トラヒック監視を目的としている。その場合には、例えばsrcIPをキーとしてグループに分類することで、スキャンのようなある特定のsrcIPから多数のdstIPやdstPortへトラヒックを分散させている異常を見つけるのに適している。なぜならば、そのような異常トラヒックについては、srcIPをキーにしてグループ分類を行った際には全て同一のグループに集約されるため、異常トラヒックを検出しやすくなるためである(非特許文献8)。
【0069】
(第4の方法)
次に、第4の方法について説明する。第4の方法においては、第2の方法により求めたパラメータを用いて、標本分散の期待値yと標本平均の期待値xの関係式y=α(p)x2 + β(p)xを導出しておき、将来の平均トラヒック量がx_estになったと仮定したときの分散をy_est=α(p) (x_est)2 + β(p)(x_est)により推定する。
【0070】
一方、トラヒックは平均x_est、分散y_estをパラメータにもつあらかじめ定めた分布(正規分布等)に従うものとして、上位Xパーセンタイルを導出し、それを該将来時点において加わるトラヒック量とみなして必要な設備を設計することとしている。
【0071】
(第5の方法)
続いて、第5の方法について説明する。第5の方法においては、ネットワークに加わるトラヒックをM個のグループに分割して監視しているものとし、各グループに分類されるフローをハッシュ関数を用いてさらにM'個に分割することで、第2の方法におけるM1、M2の2つのグループ数への分類を実現し、第2の方法の手順で、第1の方法のパラメータα(p)とβ(p)を推定することしている。
【0072】
(第6の方法)
次に、第6の方法について説明する。第6の方法においては、フローをM個のグループに分割して、各グループm(m=1〜M)のフロー数時系列を観測し、該フロー数の急激な変化を監視することで異常トラヒックを検出しているとする。このとき、現在のトラヒックにおいて異常トラヒックが存在しないと判定されている場合には、第5の方法でパラメータα(p)とβ(p)を推定しておき、正常フロー数の標本分散の期待値yと標本平均の期待値xの関係式y=α(p)x2 + β(p)xを導出しておく。
【0073】
一方、フロー数は平均x、分散yをパラメータにもつあらかじめ定めた分布(正規分布等)に従うとする。ここで、(m_d, v_d)を検出すべき異常トラヒックの(フロー数の平均,フロー数の分散)とする。これらは予め定める値である。そして、仮に該異常トラヒックが印加された場合に予め定めた異常見逃し率ε以下で検出可能となるように適切な分割数M*を以下で決定する。
正常フロー数に異常フロー数が加わったときの(平均,分散)を、(x+m_d, α(p)x2+β(p)x+v_d)とし、正常フロー数+異常フロー数がこの平均と分散を持つ確率分布Fx(u)に従うとみなす。ここで、Fx(u)は正常フロー数の平均がxのときに、正常フロー数+異常フロー数という確率変数Uがu以下となる確率を意味する。つまり、Fx(u)=P[U=<u]である。該確率分布においてFx(th)<εを満たすx*を計算する。なおthは異常と判定する閾値であり、予め定めるパラメータγ(例えばγ=3)を用いてth=x+γ√{α(p)x2+β(p)x}とする。
【0074】
そして、現在のMグループに分割したときのグループ全体の標本平均SE(M)(p) =1/M ΣX(m)(p)(m=1〜Mで和を取る)とx*を比較して、x*/ SE(M)(p)が予め定めた閾値よりも小さければ、分割数をMより大きくする。具体的には、分割数をINT[SE(M)(p)/ x* ×M](INT[a]はaの小数点少数を切り上げて整数にすること)と更新する。
【0075】
以下、上記の方法の基本的考え方について説明する。
【0076】
バックボーンでトラヒックを観測していると、トラヒック量が大きいため、異常トラヒックがその中に混在していても、見つけることが困難となる。そこで、監視トラヒックを適切なグループ数に分割して、グループ毎にトラヒックを監視することで異常トラヒック検出を行うことが考えられる。グループ内の正常トラヒック量が小さくなり、異常トラヒックだけ特定のグループに集約できれば、異常トラヒックを検出しやすくなる。
【0077】
一般に異常トラヒックの検出は、トラヒックの時系列を監視し、トラヒック量が閾値を超えたら(急激に増加したら)、異常トラヒックが発生したと判断する。このような判断においては、正常時に閾値を超える確率(誤検出率)をなるべく小さくし、同時に異常発生時には見逃し率をなるべく小さくできるようにする必要がある。
【0078】
図1は、正常フロー数、ならびに正常フロー数+異常フロー数の分布と、誤検出率・見逃し率の関係を示す図である。一般に、閾値thは「平均x+γ√(分散)」と設定する。例えば正規分布の場合、γ=3にセットすると、閾値を超える確率、つまり誤検出率は0.13%程度に抑えられる。一方で、異常混在時のフロー数は(x+m_d, α(p)x2+β(p)x+v_d)を(平均、分散)とする確率分布Fx(u)に従うことになる。ここで、Fx(u)は正常フロー数の平均がxのときに、正常フロー数+異常フロー数という確率変数Uがu以下となる確率を意味する(つまり、Fx(u)=P[U=<u])。このとき、異常発生時には閾値を下回る確率(つまり見逃し率)とは該確率分布においてFx(th)がその確率に相当する。
【0079】
従って、Fx(th)<εを満たすように、分割数を設定すれば(つまり、正常トラヒック量の平均がこの不等式を満たす程度にできれば)よいことになるため、Fx(th)<εを満たす平均正常トラヒックx*を計算し、現在のMグループに分割したときのグループ全体の標本平均SE(M)(p) =1/M ΣX(m)(p)(m=1〜Mで和を取る)とx*を比較して、x*/ SE(M)(p)が予め定めた閾値よりも小さければ、分割数をMより大きくすることとしている。具体的には、分割数をINT[SE(M)(p)/ x* ×M](INT[a]はaの小数点少数を切り上げて整数にすること)と更新する。
【0080】
(第7の方法)
次に、第7の方法について説明する。第7の方法においては、フローを処理するサーバがL台存在するものとし、サーバjの処理能力をBj[flow/s]とする。また、これらサーバへフローを振り分ける装置が存在するとし、現在、サーバjへ振り分けられているフローをグループjのフローと呼ぶことにし、グループjのフロー数の標本平均X(j)(p)と標本分散Vx(j)(p)を計算する。そして、組(X(j)(p) , Vx(j)(p))(j=1〜L)を(xj, yj)として、y=α(p)x2 + β(p)xにフィットさせて、パラメータα(p)とβ(p)を求める。第7の方法では、この関係式を用いて、フローの振り分け先サーバを変更するかどうかを以下の手順で決定する。
【0081】
トラヒックは平均x、分散α(p)x2+β(p)xをパラメータにもつあらかじめ定めた分布(正規分布等)に従うとして上位Xパーセンタイルを導出し、その上位Xパーセンタイルがサーバkの処理能力Bk×a (aは係数で1未満に設定)となるような、平均x_target_kを算出する。該サーバkには、X(1)(p)+ X(2)(p)+…+ X(J)(p)<= x_target_kを満たす範囲で、グループ1, 2, …, Jのフローをサーバkに収容替えするとする。この手順を残りのグループ全てがいずれかのサーバに収容されるまで繰り返し実施し、その結果、もし不要となったサーバが存在したら、該サーバをsleep状態にして、実際にフローの収容替えを実施する。その後、activeなサーバjの中で、該サーバjへのフロー数の分散から決まる上位Xパーセンタイルの値がa×Bjを超えた場合には、sleepになっているサーバをactiveにして、該サーバjで収容中のフローの一部をsleepサーバへ収容替えをする。
【0082】
上記の方法では、複数台のサーバで負荷分散をしているケースを想定し、トラヒックが減ってきて全部のサーバをアクティブ状態にしなくても処理可能な程度のトラヒックであれば、トラヒックを一部のサーバに片寄せし、残りのサーバをsleep状態とすることで、低消費電力化を図っている。
【0083】
以下、上述した本発明に係る方法を実装した各実施例を図面を参照して説明する。
【実施例1】
【0084】
まず、実施例1について説明する。図2は、実施例1に係るシステムの基本構成の一例を示す構成図である。図2に示すように、このシステムは、IPネットワーク1を構成する複数のルータ2と、トラヒック変動量推定装置10とを備えている。
【0085】
本システムでは、図2に示すように、各ルータ2においてパケットサンプリング率pで測定されたサンプルフロー情報を、トラヒック変動量推定装置10が収集する構成となっている。ここで、上記サンプルフロー情報は、フローIDと統計情報のセットであり、フローIDとして、送信元IPアドレス、着信先IPアドレス、送信元ポート番号、着信先ポート番号、プロトコル番号を持ち、統計情報として、サンプルパケット数、サンプルパケットの総バイト数を持つ。
【0086】
トラヒック変動量推定装置10は、第1から第4の方法を用いてトラヒック変動量推定を行う装置である。図3に、トラヒック変動量推定装置10の機能構成図を示す。図3に示す通り、トラヒック変動量推定装置10は、フロー分類部11と、時系列データ生成部12と、近似式算出部13と、トラヒック予測部14を備えている。当該構成を有するトラヒック変動量推定装置10の動作を、図4に示す処理手順に沿って説明する。
【0087】
ステップ101)フロー分類部11は、各ルータから到着したサンプルフロー情報を受け取り、該フローの(送信元IPアドレス、着信先IPアドレス、送信元ポート番号、着信先ポート番号、プロトコル番号)を読み出し、フローID照合手段におけるメモリ等に予め登録されているルールを参照し、当該ルールに従ってフローを複数のグループに分類する。
【0088】
一例として、フロー分類部11は、srcIPをキーとしてハッシュ関数に入力し、そのハッシュ値の先頭8ビットをみて、M=2^8個のグループに分類する。ここではsrcIPをキーとする例を示したが、srcIPではなく、dstIP、または{発信元IPアドレス(srcIP)、着信先IPアドレス(dstIP)、発信元ポート番号(srcPort)、着信先ポート番号(dstPort)、プロトコル番号(Protocol)}の5つ組みのうちのいくつかの組み合わせでキーを定義してもよい。なお、ここでは、フロー分類部11は、M個のグループへの分類をM=M1とM2の2通りに対して実施する。例えばM1=2、 M2=4とセットする。
【0089】
分類後、該フロー情報と該フローがマッピングされたグループ番号m1、m2(前者はM= M1としたとき、後者はM= M2としたときのグループ番号)をセットにして、時系列データ生成部12に通知する。
【0090】
ステップ102)時系列データ生成部12は、各グループmのフロー数を一定周期(例えば1分毎)毎にカウントしておく。これを、予め定めた測定期間(例えば1分×180回)実施し、測定期間終了時に、フロー数の時系列データを近似式算出部13へ転送する。
【0091】
ステップ103)近似式算出部13は、各グループ番号mの標本平均X(m)(p)と標本分散Vx(m)(p)を計算し、グループ全体の標本平均の期待値をSE(M)(p)=1/M ΣX(m)(p)(m=1〜Mで和を取る)、標本分散の期待値をSV(M)(p) = 1/M ΣVx(m)(p) (m=1〜Mで和を取る)で推定する。これを、M=M1とM2の2通りに対して実施し、M=Mi(i=1, 2)のときのSE(Mi)(p)とSV(Mi)(p)の組を(xi, yi)として、パラメータα(p)とβ(p)を以下の式を用いて算出する。
【0092】
【数33】
パラメータを決定したら、当該パラメータを、トラヒック予測部14へ通知する。
【0093】
ステップ104)トラヒック予測部14では、近似式算出部13により決定されたパラメータを用いて、標本分散の期待値yと標本平均の期待値xの関係式y=α(p)x2 + β(p)xを導出しておき、将来の平均トラヒック量がx_estになったと仮定したときの分散をy_est=α(p) (x_est)2 + β(p)(x_est)により推定する。一方、トラヒックは平均x_est、分散y_estをパラメータにもつあらかじめ定めた分布(正規分布等)に従うとして、上位Xパーセンタイルを導出し、それを該将来時点において加わるトラヒック量の予測値として出力する。
【0094】
トラヒック予測部14により予測されたトラヒック量は、例えば、オペレータの端末に出力される。また、トラヒック予測部14は、上記のようにして推定された分散を出力し、トラヒック量の予測を他の手段で行うこととしてもよい。
【0095】
トラヒック変動量推定装置10は、例えば、CPUやメモリ、ハードディスク等を備えた一般的なコンピュータに、各機能部に対応するプログラムを実行させることにより実現可能である。当該プログラムは、可搬メモリ等のコンピュータ読み取り可能な記録媒体に記録して配布してもよいし、ネットワーク上のサーバからダウンロードすることもできる。このように、トラヒック変動量推定装置10をコンピュータとプログラムで構成した場合、CPUは、プログラムの命令に従って、フロー数等の処理データの読み書きをメモリに対し行うことにより処理を進め、これにより、トラヒック変動量推定装置10における各機能部が実現される。
【0096】
また、トラヒック変動量推定装置10を、各機能部の処理機能を埋め込んだハードウェアロジック回路を用いて実現することも可能である。
【0097】
上記のようにコンピュータとプログラム、もしくはハードウェアロジック回路で実現できる点は、他の実施例における装置についても同様である。
【実施例2】
【0098】
実施例2における装置構成は、実施例1と同じである。実施例2では、実施例1のフロー分類部11のようにして予めセットした2通りのグループ分類を実施する代わりに、以下のようなグループ分けを行う。
【0099】
ここではネットワークを流れるトラヒックがM個のグループに分類されているとする。例えば後述する実施例3のように、異常トラヒック監視目的で、M個(これをM1個とする)のグループに分けてトラヒックを監視しているものとする。そして、フロー分類部11は、各グループに分類されるフローをハッシュ関数を用いてさらにM'個に分割することで、全体としてM2個のグループ分けを実現し、実施例1に記載のM1、M2の2つのグループ数への分類を実現し、あとは実施例1と同様の手順で、トラヒック変動量を推定する。
【実施例3】
【0100】
次に、実施例3を説明する。図5に、本実施例におけるトラヒック管理装置30の機能構成図を示す。このトラヒック管理装置30は、図2に示したシステムにおいて、トラヒック変動量推定装置10に代えて備えられ、運用することを想定している。あるいは、トラヒック変動量推定装置10の中に付加的に、トラヒック管理装置30としての機能を実現するために必要な機能部を備えることとしてもよい。
【0101】
図5に示す通り、トラヒック管理装置30は、フロー分類部31と、時系列データ生成部32と、異常検出部33と、近似式算出部34と、グループ数決定部35を備えている。当該構成を有するトラヒック管理装置30の動作を、図6に示す処理手順に沿って説明する。
【0102】
ステップ301にて、フロー分類部31が、フローをM個のグループに分類し、ステップ302にて、時系列データ生成部32が、各グループのフロー数時系列を生成する。ここまでの処理は実施例1におけるステップ101及びステップ102と同じ処理である。
【0103】
ステップ303)時系列データ生成部32は、一定周期毎に時系列データが追加されるたびに、異常検出部33へそのデータを転送する。
【0104】
ステップ304)異常検出部33では、各グループmのフロー数の平均と分散を過去の時系列データから計算しておき、異常検出閾値を「平均+γ×√(分散)」に設定し、現時点のフロー数がこの閾値を超えたら異常が発生したと判断する。異常と判定された場合はその旨を近似式算出部34へ伝える。
【0105】
ステップ305)近似式算出部34では、現在のトラヒックにおいて、異常検出部33により異常トラヒックが存在しないと判定されている場合には、実施例2の方法でパラメータα(p)とβ(p)を推定しておき、正常フロー数の標本分散の期待値yと標本平均の期待値xの関係式y=α(p)x2 +β(p)xを導出しておく。そして、その結果をグループ数決定部35に通知する。
【0106】
ステップ306)グループ数決定部35では、以下の手順で異常トラヒック監視のために適したグループ数(分割数)を決定する。
【0107】
まず、フロー数は平均x、分散yをパラメータにもつあらかじめ定めた分布(正規分布等)に従うとする。ここで、(m_d, v_d)を検出すべき異常トラヒックの(フロー数の平均、フロー数の分散)とする。なお、異常トラヒックの(フロー数の平均、フロー数の分散)は予め定める値である。そして、仮に該異常トラヒックが印加された場合に予め定めた異常見逃し率ε以下となるように適切な分割数M*を以下のようにして決定する。
【0108】
正常フロー数に異常フロー数が加わったときの(平均,分散)を、(x+m_d, α(p)x2+β(p)x+v_d)とし、正常フロー数+異常フロー数がこの平均と分散を持つ確率分布Fx(u)に従うとみなす。ここで、Fx(u)は正常フロー数の平均がxのときに、正常フロー数+異常フロー数という確率変数Uがu以下となる確率を意味する。つまり、Fx(u)=P[U=<u]である。該確率分布においてFx(th)<εを満たすx*を計算する。なおthは異常と判定する閾値であり、予め定めるパラメータγ(例えばγ=3)を用いてth=x+γ√{α(p)x2 + β(p)x}とする。現在のMグループに分割したときのグループ全体の標本平均SE(M)(p) =1/M ΣX(m)(p)(m=1〜Mで和を取る)とx*を比較して、x*/ SE(M)(p)が予め定めた閾値よりも小さければ、分割数をMより大きくする。具体的には、分割数をINT[SE(M)(p)/ x* ×M](INT[a]はaの小数点少数を切り上げて整数にすること)と更新することにより、分割数を決定する。
【実施例4】
【0109】
次に、実施例4について説明する。本実施例におけるシステムは、図7に示すように、トラヒック分配装置40とL台のサーバ(50)が、ネットワークを介して接続された構成を有する。
【0110】
図7の構成において、トラヒック分配装置40が、L台のサーバへフローを分配している。なお、サーバjの処理能力をBj[flow/s]とする。現在、サーバjへ振り分けられているフローをグループjのフローと呼ぶことにする。
【0111】
図8に、本実施例におけるトラヒック分配装置40の機能構成図を示す。図8に示すとおり、トラヒック分配装置40は、フロー分類部41と、時系列データ生成部42と、近似式算出部43と、振分先サーバ決定部44を備えている。当該構成を有するトラヒック分配装置40の動作を、図9に示す処理手順に沿って説明する。
【0112】
ステップ401)フロー分類部41では、フローをL個のグループに分類し、該当するグループ番号のサーバへフローを転送している。同時に、各グループのサンプルフロー数の情報と、どのフローをどのグループ番号へ割り当てたかを時系列データ生成部42へ通知する。
【0113】
ステップ402)時系列データ生成部42において、各グループのフロー数時系列を生成する。この手順は実施例1におけるステップ102と同じである。すなわち、時系列データ生成部42は、グループmのフロー数を一定周期(例えば1分毎)毎にカウントしておく。これを、予め定めた測定期間(例えば1分×180回)実施し、測定期間終了時に、時系列データを近似式算出部43へ転送する。
【0114】
ステップ403)近似式算出部43では、グループjのフロー数の標本平均X(j)(p)と標本分散Vx(j)(p)を計算する。組(X(j)(p) , Vx(j)(p))(j=1〜L)を(xj, yj)として、近似式y=α(p)x2 + β(p)xにフィットさせて、パラメータα(p)とβ(p)を求める。その結果を振分先サーバ決定部44へ通知する。
【0115】
ステップ404)振分先サーバ決定部44では、上記近似式を用いて、フローの振り分け先サーバを変更するかどうかを以下の手順で決定する。
【0116】
ここでは、トラヒックは平均x、分散α(p)x2+β(p)xをパラメータにもつあらかじめ定めた分布(正規分布等)に従うとして上位Xパーセンタイルを導出し、その上位Xパーセンタイルがサーバkの処理能力Bk×a (aは係数で1未満に設定)となるような、平均x_target_kを算出する。そして、X(1)(p)+ X(2)(p)+…+ X(J)(p)<= x_target_kを満たす範囲で、グループ1, 2, …, Jのフローをサーバkに収容替えする計算処理を行う。この手順を残りのグループ全てがいずれかのサーバに収容されるまで繰り返し実施し、その結果、もし不要となったサーバが存在したら、該サーバをsleep状態にして、上記計算処理の結果に従って、実際にフローの収容替えを実施する。一方、activeなサーバjの中で、該サーバjへのフロー数の分散から決まる上位Xパーセンタイルの値がa×Bjを超えた場合には、sleepになっているサーバをactiveにして、該サーバjで収容中のフローの一部をsleepサーバへ収容替えをする。
(実施の形態の効果)
以上、各実施例を用いて説明した本発明に係る技術によれば、観測されているサンプルデータから、直接観測が困難なトラヒックの変動量を推定することが可能になるとともに、その変動量を用いて、分割数の決定や、振り分け先サーバの収容替え制御等のトラヒック管理を実現することが可能になる。
【0117】
ここで、本発明において提案する近似式が正しく実際のトラヒック変動を推定できていることを実データを用いて示す。インターネットバックボーンで測定されたパケットキャプチャデータ(171分)を用いて以下の実験を行った。
【0118】
まず、パケットをサンプリング率p=1/1024でサンプリングし、少なくとも1パケットサンプルされたフローについて、グループ数M=1、2、4、8、16、32、64、128、256、512、1024の11パタンで分類し、1分周期で各グループのサンプルフロー数の時系列を作成した。そして、各グループの(標本平均、標本分散)を計算し、それらをプロットした結果を図10に示す。X軸が平均、Y軸が分散である。
【0119】
同時に、M=1とM=2のときの結果を用いて、近似式y=α(p)x2+β(p)xを計算した。このときα=0.002910、β=0.626320となった。その近似曲線も図10に示す。これより、本発明の技術を用いることで、M=4以上の領域について近似できていることが確認できる。
【産業上の利用可能性】
【0120】
IPネットワークにおけるトラヒック変動量を推定することを含むトラヒックの管理を行うための技術に適用できる。
【0121】
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
【符号の説明】
【0122】
1 IPネットワーク
2 ルータ
10 トラヒック変動量推定装置
11、31、41 フロー分類部
12、32、42 時系列データ生成部
13、34、43 近似式算出部
14 トラヒック予測部
30 トラヒック管理装置
33 異常検出部
35 グループ数決定部
40 トラヒック分配装置
44 振り分け先サーバ決定部
50 サーバ
【特許請求の範囲】
【請求項1】
通信網においてサンプリング率pでのパケットサンプリングにより収集されたサンプルフロー情報を受信し、当該サンプルフロー情報から、トラヒック変動量を推定するトラヒック変動量推定装置であって、
前記サンプルフロー情報に基づき、フロー数の時系列データをトラヒック量として生成する時系列データ生成手段と、
トラヒック量に関する標本分散の期待値yと、標本平均の期待値xとの間の関係を示す近似式y=α(p)x2 + β(p)xにおけるパラメータα(p)とβ(p)を、前記時系列データ生成手段により生成された時系列のフロー数から算出する近似式算出手段と、
前記近似式算出手段により算出されたパラメータα(p)とβ(p)を有する前記近似式y=α(p)x2 + β(p)xを用いて、トラヒック変動量の推定を行うトラヒック推定手段と
を備えたことを特徴とするトラヒック変動量推定装置。
【請求項2】
前記トラヒック変動量推定装置は、前記サンプルフロー情報におけるフローの発信元IPアドレスをキーとして用いることにより、当該フローをM(Mは自然数)個のグループに分割するフロー分類手段を備え、
前記フロー分類手段は、前記フローを、M1個とM2個(M1とM2はそれぞれ自然数)の2通り分類し、
前記近似式算出手段は、前記時系列データ生成手段により生成されたグループm(m=1〜M)毎の時系列のフロー数から、標本平均X(m)(p)と標本分散Vx(m)(p)を計算し、グループ全体の標本平均の期待値をSE(M)(p)=1/M ΣX(m)(p)(m=1〜Mで和を取る)、標本分散の期待値をSV(M)(p)=1/M ΣVx(m)(p) (m=1〜Mで和を取る)として計算する処理をM=M1とM2の2通りに対して実施し、M=Mi(i=1, 2)のときのSE(Mi)(p)とSV(Mi)(p)の組を(xi、yi)として、前記パラメータα(p)とβ(p)を
【数1】
により算出することを特徴とする請求項1に記載のトラヒック変動量推定装置。
【請求項3】
前記フロー分類手段は、前記発信元IPアドレスをキーとして用いることに代えて、着信先IPアドレスをキーとするか、または、発信元IPアドレス、着信先IPアドレス、発信元ポート番号、着信先ポート番号、及びプロトコル番号の5つのうちのいくつかの組み合わせをキーとして用いることにより、前記フローをグループに分類することを特徴とする請求項2に記載のトラヒック変動量推定装置。
【請求項4】
前記トラヒック推定手段は、将来の平均トラヒック量がx_estになったと仮定したときの分散y_estを前記トラヒック変動量として前記近似式y_est=α(p) (x_est)2 + β(p)(x_est)により推定することを特徴とする請求項1ないし3のうちいずれか1項に記載のトラヒック変動量推定装置。
【請求項5】
前記フロー分類手段は、M1個のグループに分類されるフローの各々をさらにM'個に分割し、全体としてM2個の分類を行うことにより、前記M1個とM2個の2通りの分類を行う請求項2に記載のトラヒック変動量推定装置。
【請求項6】
通信網においてサンプリング率pでのパケットサンプリングにより収集されたサンプルフロー情報を受信し、当該サンプルフロー情報から、異常トラヒック監視に適したフロー分割数を決定するトラヒック管理装置であって、
前記サンプルフロー情報に基づき、フロー数の時系列データをトラヒック量として生成する時系列データ生成手段と、
前記時系列データ生成手段から、時系列のフロー数を受け取り、当該フロー数が所定の異常検出閾値を超えた場合に異常であると判定する異常検出手段と、
トラヒック量に関する標本分散の期待値yと、標本平均の期待値xとの間の関係を示す近似式y=α(p)x2 + β(p)xにおけるパラメータα(p)とβ(p)を、前記異常検出手段により異常と判定されていない正常時の時系列のフロー数から算出する近似式算出手段と、
正常フロー数に異常フロー数が加わったときの(平均,分散)を、(x+m_d, α(p)x2+β(p)x+v_d)とし、正常フロー数に平均がm_dで分散がv_dとなる異常フロー数が加わったときのフロー数の平均と分散を持つ確率分布Fx(u)において、異常判定閾値をthとし、予め定めた異常見逃し率をεとして、Fx(th)<εを満たす正常平均フロー数x*を計算し、フローをMの分割数で分割したときのグループjのフロー数の標本平均X(j)(p)を求め、グループ全体の標本平均SE(M)(p) =1/M ΣX(m)(p)(m=1〜Mで和を取る)とx*とを比較して、x*/ SE(M)(p)が予め定めた閾値よりも小さければ、分割数をMより大きくする処理を行うことにより、異常トラヒック監視に適したフロー分割数を決定する分割数決定手段と
を備えたことを特徴とするトラヒック管理装置。
【請求項7】
通信ネットワークを介してL個(Lは自然数)のサーバに接続され、当該L個のサーバに対してトラヒックのフローを分配するトラヒック分配装置であって、
前記フローをL個(Lは自然数)のグループに分類し、グループ毎に各サーバへフローを転送するフロー分類手段と、
前記フロー分類手段で分類された各グループのフロー数の時系列データをトラヒック量として生成する時系列データ生成手段と、
トラヒック量に関する標本分散の期待値yと、標本平均の期待値xとの間の関係を示す近似式y=α(p)x2 + β(p)xにおけるパラメータα(p)とβ(p)を、前記時系列データ生成手段により生成された時系列のフロー数から算出する近似式算出手段と、
フローの振り分け先サーバを変更するか否かを決定する振分先サーバ決定手段と、を備え、
サーバj(j=1〜L)へ振り分けられているフローをグループjのフローとした場合に、前記近似式算出手段は、グループjのフロー数の標本平均X(j)(p)と標本分散Vx(j)(p)を計算し、組(X(j)(p) , Vx(j)(p))を(xj, yj)として、前記近似式y=α(p)x2 + β(p)xにフィットさせることにより、前記パラメータα(p)とβ(p)を求め、
前記振分先サーバ決定手段は、前記近似式を用いることにより、前記フロー数が平均x、分散α(p)x2+β(p)xをパラメータにもつあらかじめ定めた分布に従うものとして上位Xパーセンタイルのフロー数を算出し、当該上位Xパーセンタイルのフロー数がサーバkの処理能力Bk×a (aは係数で1未満の値)となるような、平均x_target_kを算出し、X(1)(p)+ X(2)(p)+…+ X(J)(p)<= x_target_kを満たす範囲で、グループ1, 2, …, Jのフローをサーバkに収容替えする計算処理を、残りのグループ全てがいずれかのサーバに収容されるまで各サーバについて繰り返して実施し、その結果、もし不要となったサーバが存在する場合に、フローの振り分け先サーバを変更すると決定する
ことを特徴とするトラヒック分配装置。
【請求項8】
通信網においてサンプリング率pでのパケットサンプリングにより収集されたサンプルフロー情報を受信し、当該サンプルフロー情報から、トラヒック変動量を推定するトラヒック変動量推定装置が実行するトラヒック変動量推定方法であって、
前記サンプルフロー情報に基づき、フロー数の時系列データをトラヒック量として生成する時系列データ生成ステップと、
トラヒック量に関する標本分散の期待値yと、標本平均の期待値xとの間の関係を示す近似式y=α(p)x2 + β(p)xにおけるパラメータα(p)とβ(p)を、前記時系列データ生成ステップにより生成された時系列のフロー数から算出する近似式算出ステップと、
前記近似式算出ステップにおいて算出されたパラメータα(p)とβ(p)を有する前記近似式y=α(p)x2 + β(p)xを用いて、トラヒック変動量の推定を行うトラヒック推定ステップと
を備えたことを特徴とするトラヒック変動量推定方法。
【請求項9】
通信網においてサンプリング率pでのパケットサンプリングにより収集されたサンプルフロー情報を受信し、当該サンプルフロー情報から、異常トラヒック監視に適したフロー分割数を決定するトラヒック管理装置が実行するフロー分割数決定方法であって、
前記サンプルフロー情報に基づき、フロー数の時系列データをトラヒック量として生成する時系列データ生成ステップと、
前記時系列データ生成ステップで生成された時系列のフロー数を受け取り、当該フロー数が所定の異常検出閾値を超えた場合に異常であると判定する異常検出ステップと、
トラヒック量に関する標本分散の期待値yと、標本平均の期待値xとの間の関係を示す近似式y=α(p)x2 + β(p)xにおけるパラメータα(p)とβ(p)を、前記異常検出ステップにより異常と判定されていない正常時の時系列のフロー数から算出する近似式算出ステップと、
正常フロー数に異常フロー数が加わったときの(平均,分散)を、(x+m_d, α(p)x2+β(p)x+v_d)とし、正常フロー数に平均がm_dで分散がv_dとなる異常フロー数が加わったときのフロー数の平均と分散を持つ確率分布Fx(u)において、異常判定閾値をthとし、予め定めた異常見逃し率をεとして、Fx(th)<εを満たす正常平均フロー数x*を計算し、フローをMの分割数で分割したときのグループjのフロー数の標本平均X(j)(p)を求め、グループ全体の標本平均SE(M)(p) =1/M ΣX(m)(p)(m=1〜Mで和を取る)とx*とを比較して、x*/ SE(M)(p)が予め定めた閾値よりも小さければ、分割数をMより大きくする処理を行うことにより、異常トラヒック監視に適したフロー分割数を決定する分割数決定ステップと
を備えたことを特徴とするフロー分割数決定方法。
【請求項10】
通信ネットワークを介してL個(Lは自然数)のサーバに接続され、当該L個のサーバに対してトラヒックのフローを分配するトラヒック分配装置が実行する振分先サーバ決定方法であって、
前記フローをL個(Lは自然数)のグループに分類し、グループ毎に各サーバへフローを転送するフロー分類ステップと、
前記フロー分類ステップで分類された各グループのフロー数の時系列データをトラヒック量として生成する時系列データ生成ステップと、
トラヒック量に関する標本分散の期待値yと、標本平均の期待値xとの間の関係を示す近似式y=α(p)x2 + β(p)xにおけるパラメータα(p)とβ(p)を、前記時系列データ生成ステップにより生成された時系列のフロー数から算出する近似式算出ステップと、
フローの振り分け先サーバを変更するか否かを決定する振分先サーバ決定ステップと、を備え、
前記近似式算出ステップにおいて、サーバj(j=1〜L)へ振り分けられているフローをグループjのフローとした場合に、グループjのフロー数の標本平均X(j)(p)と標本分散Vx(j)(p)を計算し、組(X(j)(p) , Vx(j)(p))を(xj, yj)として、前記近似式y=α(p)x2 + β(p)xにフィットさせることにより、前記パラメータα(p)とβ(p)を求め、
前記振分先サーバ決定ステップにおいて、前記近似式を用いることにより、前記フロー数が平均x、分散α(p)x2+β(p)xをパラメータにもつあらかじめ定めた分布に従うものとして上位Xパーセンタイルのフロー数を算出し、当該上位Xパーセンタイルのフロー数がサーバkの処理能力Bk×a (aは係数で1未満の値)となるような、平均x_target_kを算出し、X(1)(p)+ X(2)(p)+…+ X(J)(p)<= x_target_kを満たす範囲で、グループ1, 2, …, Jのフローをサーバkに収容替えする計算処理を、残りのグループ全てがいずれかのサーバに収容されるまで各サーバについて繰り返して実施し、その結果、もし不要となったサーバが存在する場合に、フローの振り分け先サーバを変更すると決定する
ことを特徴とする振分先サーバ決定方法。
【請求項1】
通信網においてサンプリング率pでのパケットサンプリングにより収集されたサンプルフロー情報を受信し、当該サンプルフロー情報から、トラヒック変動量を推定するトラヒック変動量推定装置であって、
前記サンプルフロー情報に基づき、フロー数の時系列データをトラヒック量として生成する時系列データ生成手段と、
トラヒック量に関する標本分散の期待値yと、標本平均の期待値xとの間の関係を示す近似式y=α(p)x2 + β(p)xにおけるパラメータα(p)とβ(p)を、前記時系列データ生成手段により生成された時系列のフロー数から算出する近似式算出手段と、
前記近似式算出手段により算出されたパラメータα(p)とβ(p)を有する前記近似式y=α(p)x2 + β(p)xを用いて、トラヒック変動量の推定を行うトラヒック推定手段と
を備えたことを特徴とするトラヒック変動量推定装置。
【請求項2】
前記トラヒック変動量推定装置は、前記サンプルフロー情報におけるフローの発信元IPアドレスをキーとして用いることにより、当該フローをM(Mは自然数)個のグループに分割するフロー分類手段を備え、
前記フロー分類手段は、前記フローを、M1個とM2個(M1とM2はそれぞれ自然数)の2通り分類し、
前記近似式算出手段は、前記時系列データ生成手段により生成されたグループm(m=1〜M)毎の時系列のフロー数から、標本平均X(m)(p)と標本分散Vx(m)(p)を計算し、グループ全体の標本平均の期待値をSE(M)(p)=1/M ΣX(m)(p)(m=1〜Mで和を取る)、標本分散の期待値をSV(M)(p)=1/M ΣVx(m)(p) (m=1〜Mで和を取る)として計算する処理をM=M1とM2の2通りに対して実施し、M=Mi(i=1, 2)のときのSE(Mi)(p)とSV(Mi)(p)の組を(xi、yi)として、前記パラメータα(p)とβ(p)を
【数1】
により算出することを特徴とする請求項1に記載のトラヒック変動量推定装置。
【請求項3】
前記フロー分類手段は、前記発信元IPアドレスをキーとして用いることに代えて、着信先IPアドレスをキーとするか、または、発信元IPアドレス、着信先IPアドレス、発信元ポート番号、着信先ポート番号、及びプロトコル番号の5つのうちのいくつかの組み合わせをキーとして用いることにより、前記フローをグループに分類することを特徴とする請求項2に記載のトラヒック変動量推定装置。
【請求項4】
前記トラヒック推定手段は、将来の平均トラヒック量がx_estになったと仮定したときの分散y_estを前記トラヒック変動量として前記近似式y_est=α(p) (x_est)2 + β(p)(x_est)により推定することを特徴とする請求項1ないし3のうちいずれか1項に記載のトラヒック変動量推定装置。
【請求項5】
前記フロー分類手段は、M1個のグループに分類されるフローの各々をさらにM'個に分割し、全体としてM2個の分類を行うことにより、前記M1個とM2個の2通りの分類を行う請求項2に記載のトラヒック変動量推定装置。
【請求項6】
通信網においてサンプリング率pでのパケットサンプリングにより収集されたサンプルフロー情報を受信し、当該サンプルフロー情報から、異常トラヒック監視に適したフロー分割数を決定するトラヒック管理装置であって、
前記サンプルフロー情報に基づき、フロー数の時系列データをトラヒック量として生成する時系列データ生成手段と、
前記時系列データ生成手段から、時系列のフロー数を受け取り、当該フロー数が所定の異常検出閾値を超えた場合に異常であると判定する異常検出手段と、
トラヒック量に関する標本分散の期待値yと、標本平均の期待値xとの間の関係を示す近似式y=α(p)x2 + β(p)xにおけるパラメータα(p)とβ(p)を、前記異常検出手段により異常と判定されていない正常時の時系列のフロー数から算出する近似式算出手段と、
正常フロー数に異常フロー数が加わったときの(平均,分散)を、(x+m_d, α(p)x2+β(p)x+v_d)とし、正常フロー数に平均がm_dで分散がv_dとなる異常フロー数が加わったときのフロー数の平均と分散を持つ確率分布Fx(u)において、異常判定閾値をthとし、予め定めた異常見逃し率をεとして、Fx(th)<εを満たす正常平均フロー数x*を計算し、フローをMの分割数で分割したときのグループjのフロー数の標本平均X(j)(p)を求め、グループ全体の標本平均SE(M)(p) =1/M ΣX(m)(p)(m=1〜Mで和を取る)とx*とを比較して、x*/ SE(M)(p)が予め定めた閾値よりも小さければ、分割数をMより大きくする処理を行うことにより、異常トラヒック監視に適したフロー分割数を決定する分割数決定手段と
を備えたことを特徴とするトラヒック管理装置。
【請求項7】
通信ネットワークを介してL個(Lは自然数)のサーバに接続され、当該L個のサーバに対してトラヒックのフローを分配するトラヒック分配装置であって、
前記フローをL個(Lは自然数)のグループに分類し、グループ毎に各サーバへフローを転送するフロー分類手段と、
前記フロー分類手段で分類された各グループのフロー数の時系列データをトラヒック量として生成する時系列データ生成手段と、
トラヒック量に関する標本分散の期待値yと、標本平均の期待値xとの間の関係を示す近似式y=α(p)x2 + β(p)xにおけるパラメータα(p)とβ(p)を、前記時系列データ生成手段により生成された時系列のフロー数から算出する近似式算出手段と、
フローの振り分け先サーバを変更するか否かを決定する振分先サーバ決定手段と、を備え、
サーバj(j=1〜L)へ振り分けられているフローをグループjのフローとした場合に、前記近似式算出手段は、グループjのフロー数の標本平均X(j)(p)と標本分散Vx(j)(p)を計算し、組(X(j)(p) , Vx(j)(p))を(xj, yj)として、前記近似式y=α(p)x2 + β(p)xにフィットさせることにより、前記パラメータα(p)とβ(p)を求め、
前記振分先サーバ決定手段は、前記近似式を用いることにより、前記フロー数が平均x、分散α(p)x2+β(p)xをパラメータにもつあらかじめ定めた分布に従うものとして上位Xパーセンタイルのフロー数を算出し、当該上位Xパーセンタイルのフロー数がサーバkの処理能力Bk×a (aは係数で1未満の値)となるような、平均x_target_kを算出し、X(1)(p)+ X(2)(p)+…+ X(J)(p)<= x_target_kを満たす範囲で、グループ1, 2, …, Jのフローをサーバkに収容替えする計算処理を、残りのグループ全てがいずれかのサーバに収容されるまで各サーバについて繰り返して実施し、その結果、もし不要となったサーバが存在する場合に、フローの振り分け先サーバを変更すると決定する
ことを特徴とするトラヒック分配装置。
【請求項8】
通信網においてサンプリング率pでのパケットサンプリングにより収集されたサンプルフロー情報を受信し、当該サンプルフロー情報から、トラヒック変動量を推定するトラヒック変動量推定装置が実行するトラヒック変動量推定方法であって、
前記サンプルフロー情報に基づき、フロー数の時系列データをトラヒック量として生成する時系列データ生成ステップと、
トラヒック量に関する標本分散の期待値yと、標本平均の期待値xとの間の関係を示す近似式y=α(p)x2 + β(p)xにおけるパラメータα(p)とβ(p)を、前記時系列データ生成ステップにより生成された時系列のフロー数から算出する近似式算出ステップと、
前記近似式算出ステップにおいて算出されたパラメータα(p)とβ(p)を有する前記近似式y=α(p)x2 + β(p)xを用いて、トラヒック変動量の推定を行うトラヒック推定ステップと
を備えたことを特徴とするトラヒック変動量推定方法。
【請求項9】
通信網においてサンプリング率pでのパケットサンプリングにより収集されたサンプルフロー情報を受信し、当該サンプルフロー情報から、異常トラヒック監視に適したフロー分割数を決定するトラヒック管理装置が実行するフロー分割数決定方法であって、
前記サンプルフロー情報に基づき、フロー数の時系列データをトラヒック量として生成する時系列データ生成ステップと、
前記時系列データ生成ステップで生成された時系列のフロー数を受け取り、当該フロー数が所定の異常検出閾値を超えた場合に異常であると判定する異常検出ステップと、
トラヒック量に関する標本分散の期待値yと、標本平均の期待値xとの間の関係を示す近似式y=α(p)x2 + β(p)xにおけるパラメータα(p)とβ(p)を、前記異常検出ステップにより異常と判定されていない正常時の時系列のフロー数から算出する近似式算出ステップと、
正常フロー数に異常フロー数が加わったときの(平均,分散)を、(x+m_d, α(p)x2+β(p)x+v_d)とし、正常フロー数に平均がm_dで分散がv_dとなる異常フロー数が加わったときのフロー数の平均と分散を持つ確率分布Fx(u)において、異常判定閾値をthとし、予め定めた異常見逃し率をεとして、Fx(th)<εを満たす正常平均フロー数x*を計算し、フローをMの分割数で分割したときのグループjのフロー数の標本平均X(j)(p)を求め、グループ全体の標本平均SE(M)(p) =1/M ΣX(m)(p)(m=1〜Mで和を取る)とx*とを比較して、x*/ SE(M)(p)が予め定めた閾値よりも小さければ、分割数をMより大きくする処理を行うことにより、異常トラヒック監視に適したフロー分割数を決定する分割数決定ステップと
を備えたことを特徴とするフロー分割数決定方法。
【請求項10】
通信ネットワークを介してL個(Lは自然数)のサーバに接続され、当該L個のサーバに対してトラヒックのフローを分配するトラヒック分配装置が実行する振分先サーバ決定方法であって、
前記フローをL個(Lは自然数)のグループに分類し、グループ毎に各サーバへフローを転送するフロー分類ステップと、
前記フロー分類ステップで分類された各グループのフロー数の時系列データをトラヒック量として生成する時系列データ生成ステップと、
トラヒック量に関する標本分散の期待値yと、標本平均の期待値xとの間の関係を示す近似式y=α(p)x2 + β(p)xにおけるパラメータα(p)とβ(p)を、前記時系列データ生成ステップにより生成された時系列のフロー数から算出する近似式算出ステップと、
フローの振り分け先サーバを変更するか否かを決定する振分先サーバ決定ステップと、を備え、
前記近似式算出ステップにおいて、サーバj(j=1〜L)へ振り分けられているフローをグループjのフローとした場合に、グループjのフロー数の標本平均X(j)(p)と標本分散Vx(j)(p)を計算し、組(X(j)(p) , Vx(j)(p))を(xj, yj)として、前記近似式y=α(p)x2 + β(p)xにフィットさせることにより、前記パラメータα(p)とβ(p)を求め、
前記振分先サーバ決定ステップにおいて、前記近似式を用いることにより、前記フロー数が平均x、分散α(p)x2+β(p)xをパラメータにもつあらかじめ定めた分布に従うものとして上位Xパーセンタイルのフロー数を算出し、当該上位Xパーセンタイルのフロー数がサーバkの処理能力Bk×a (aは係数で1未満の値)となるような、平均x_target_kを算出し、X(1)(p)+ X(2)(p)+…+ X(J)(p)<= x_target_kを満たす範囲で、グループ1, 2, …, Jのフローをサーバkに収容替えする計算処理を、残りのグループ全てがいずれかのサーバに収容されるまで各サーバについて繰り返して実施し、その結果、もし不要となったサーバが存在する場合に、フローの振り分け先サーバを変更すると決定する
ことを特徴とする振分先サーバ決定方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2012−23687(P2012−23687A)
【公開日】平成24年2月2日(2012.2.2)
【国際特許分類】
【出願番号】特願2010−162171(P2010−162171)
【出願日】平成22年7月16日(2010.7.16)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【出願人】(504176911)国立大学法人大阪大学 (1,536)
【Fターム(参考)】
【公開日】平成24年2月2日(2012.2.2)
【国際特許分類】
【出願日】平成22年7月16日(2010.7.16)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【出願人】(504176911)国立大学法人大阪大学 (1,536)
【Fターム(参考)】
[ Back to top ]