トラフィック分析システムおよびトラフィック分析方法
【課題】非正常的なトラフィックを制限しつつ、正常なトラフィックを優先的に取り扱うこと。
【解決手段】トラフィック分析システムは、SIPサーバ10、トラフィックデータベース20、トラフィック分析装置100を有する。トラフィック分析装置100は、トラフィックによるネットワークの通信品質の影響に基づいて、トラフィックの分析を行うか否かを判定する。そして、トラフィックの分析を行うと判定した場合には、トラフィック分析装置100は、トラフィックデータベース20に記憶されたトラフィックの情報を基にして、トラフィックの特徴を分析する。このトラフィックの特徴は、非正常的なトラフィックの特徴である。トラフィック分析装置100は、SIPサーバ10を制御して、トラフィックの特徴に対応するネットワーク上のトラフィックを制限する。
【解決手段】トラフィック分析システムは、SIPサーバ10、トラフィックデータベース20、トラフィック分析装置100を有する。トラフィック分析装置100は、トラフィックによるネットワークの通信品質の影響に基づいて、トラフィックの分析を行うか否かを判定する。そして、トラフィックの分析を行うと判定した場合には、トラフィック分析装置100は、トラフィックデータベース20に記憶されたトラフィックの情報を基にして、トラフィックの特徴を分析する。このトラフィックの特徴は、非正常的なトラフィックの特徴である。トラフィック分析装置100は、SIPサーバ10を制御して、トラフィックの特徴に対応するネットワーク上のトラフィックを制限する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、トラフィック分析システムおよびトラフィック分析方法に関する。
【背景技術】
【0002】
SIP(Session Initiation Protocol)基盤のインターネット電話サービスでは、SIPサーバを介して、各IP電話端末がSIPメッセージを送受信することで通話を確立する。このため、インターネット電話サービスのサービス品質を保つためには、SIPメッセージが滞ることなく、宛先に送信される必要がある。以下の説明において、SIPサーバやIP電話端末間で発生するSIPメッセージをトラフィックと表記する。
【0003】
しかし、悪意のある第三者などにより、非正常的(abnormal)なトラフィックが大量にネットワークに流入すると、ネットワークの資源が損失してしまう。このような場合には、SIPサーバは、正常なトラフィックをスムーズに送受信することができず、サービスの品質が著しく低下してしまう。
【0004】
ここで、インターネット電話サービスの品質低下を監視する技術には様々なものが存在する。例えば、パケットの遅延時間の分布に基づいてパケットの送信順序を判定することや、リクエスト送信に対する回答が得られるまでの時間を分析することで、サービスの品質低下を監視する技術がある。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2006−50250号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
サービスの品質低下を効果的に抑制するためには、サービス品質低下を監視するだけでは不十分であり、非正常的なトラフィックの発生頻度や通信経路等のパターンを見つけ出し、適切な対策を講じる必要がある。しかし、このようなパターンを検出するための支援システムが現状存在していない。このため、上述した従来技術では、異常なトラフィックの発生に対応することができず、非正常的なトラフィックを制限しつつ、正常なトラフィックを優先的に取り扱うことができないという問題があった。
【0007】
なお、IP電話端末の呼と1対1に対応する制御信号を低レイヤに埋め込んでおき、この制御信号を認識・分析して、他のノードへの優先度を設定することで、所定のトラフィックを優先的に送信するという技術が存在する。しかし、かかる技術では、優先的に取り扱うべきトラフィックが予め分かっていることが前提となっているため、それ以外の正常なトラフィックを優先的に取り扱うことができない。
【0008】
本発明は、上記に鑑みてなされたものであって、非正常的なトラフィックを制限しつつ、正常なトラフィックを優先的に取り扱うことが可能なトラフィック分析システムおよびトラフィック分析方法を提供することを目的とする。
【課題を解決するための手段】
【0009】
上述した課題を解決し、目的を達成するために、開示の技術は、一つの態様において、ネットワークを介して端末およびサーバ間で送受信されるトラフィックの情報を記憶する記憶部と、前記トラフィックによる前記ネットワークの通信品質への影響に基づいて、前記トラフィックの分析を行うか否かを判定する判定部と、前記判定部によって前記トラフィックの分析を行うと判定された場合に、前記記憶部に記憶されたトラフィックの情報に基づいて、トラフィックの特徴を特定するトラフィック分析部と、前記トラフィック分析部によって特定されたトラフィックの特徴に対応する前記ネットワーク上のトラフィックを制限するトラフィック制限部とを備える。
【0010】
また、開示の技術は、一つの態様において、コンピュータが、ネットワークを介して端末およびサーバ間で送受信されるトラフィックによる前記ネットワークの通信品質への影響に基づいて、前記トラフィックの分析を行うか否かを判定する判定工程と、前記判定工程において前記トラフィックの分析を行うと判定した場合に、記憶装置に記憶された前記トラフィックの情報に基づいて、トラフィックの特徴を特定するトラフィック分析工程と、前記トラフィック分析工程において特定したトラフィックの特徴に対応する前記ネットワーク上のトラフィックを制限するトラフィック制限工程とを含む。
【発明の効果】
【0011】
開示の技術によれば、非正常的なトラフィックを制限しつつ、正常なトラフィックを優先的に取り扱うことができるという効果を奏する。
【図面の簡単な説明】
【0012】
【図1】図1は、本実施例にかかるトラフィック分析システムの概要を示す図である。
【図2】図2は、トラフィックデータベースのデータ構造の一例を示す図である。
【図3】図3は、トラフィック分析装置の構成を示す機能ブロック図である。
【図4】図4は、Temporaryタイプを説明する図である。
【図5】図5は、Growthタイプを説明する図である。
【図6】図6は、Continuousタイプを説明する図である。
【図7】図7は、Pulsingタイプを説明する図である。
【図8】図8は、Growth pulsingタイプを説明する図である。
【図9】図9は、Gradational growthタイプを説明する図である。
【図10】図10は、トラフィックの経路タイプを示す図である。
【図11】図11は、トラフィックパターンのデータ構造の一例を示す図である。
【図12】図12は、トラフィック分析装置の処理手順を示すフローチャートである。
【図13】図13は、トラフィックタイプの分析処理の処理手順を示すフローチャートである。
【図14】図14は、トラフィック経路の分析処理の処理手順を示すフローチャートである。
【図15】図15は、開示の技術に係るトラフィック分析プログラムによる情報処理がコンピュータを用いて具体的に実現されることを示す図である。
【発明を実施するための形態】
【0013】
以下に、本発明にかかるトラフィック分析システムおよびトラフィック分析方法の実施例を図面に基づいて詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。
【実施例】
【0014】
図1は、本実施例にかかるトラフィック分析システムの概要を示す図である。図1に示すように、このトラフィック分析システムは、SIPサーバ10、トラフィックデータベース20、トラフィック分析装置100を有する。
【0015】
SIPサーバ10は、ネットワークを介して複数のIP電話端末等に接続され、このIP電話端末の電話番号とIPアドレスとの対応づけを行うサーバ装置である。また、SIPサーバ10は、IP電話端末間で通話を確立するためのSIPメッセージを中継する。以下の説明において、SIPメッセージの送信元、送信先、SIPサーバ間で送受信されるSIPメッセージをトラフィックと表記する。SIPサーバ10は、トラフィックの送信元、受信者、SIPサーバ10から発生したトラフィックの情報をトラフィックデータベース20に登録する。
【0016】
トラフィックデータベース20は、トラフィックの情報を記憶する記憶装置である。図2は、トラフィックデータベース20のデータ構造の一例を示す図である。図2に示すように、トラフィックデータベース20は、src_UID、src_URI、dst_UID、dst_URI、message type、call_id、src_IP、dst_IP、timestampeを含む。この各情報は、トラフィック毎に存在する。
【0017】
図2において、「src_UID」はトラフィックの送信元のユーザを識別する情報である。「src_URI」はトラフィックの送信元のURI(Uniform Resource Identifier)を示すものである。「dst_UID」はトラフィックの送信先のユーザを識別する情報である。「dst_URI」はトラフィックの送信先のURIを示すものである。「message type」は、トラフィックのメッセージタイプを識別するものである。たとえば、メッセージタイプには、REQUEST(INVITE、REGISTER)、RESPONSEなどが含まれる。
【0018】
「call_id」は、トラフィックに対応する通話を識別する情報である。「src_IP」は、トラフィックの送信元のIPアドレスを示し、「dst_IP」は、トラフィックの送信先のIPアドレスを示す。「timestampe」は、トラフィックが発生した時間を示すものである。
【0019】
トラフィック分析装置100は、ネットワーク上のトラフィックを分析する装置である。このトラフィック分析装置100は、トラフィックによるネットワークの通信品質の影響に基づいて、トラフィックの分析を行うか否かを判定する。そして、トラフィックの分析を行うと判定した場合には、トラフィック分析装置100は、トラフィックデータベース20に記憶されたトラフィックの情報を基にして、トラフィックの特徴を分析する。このトラフィックの特徴は、非正常的なトラフィックの特徴である。トラフィック分析装置100は、SIPサーバ10を制御して、トラフィックの特徴に対応するネットワーク上のトラフィックを制限する。
【0020】
図1に示す例では、SIPサーバ10は、各トラフィック1aを受信した場合に、非正常的なトラフィックの特徴に対応する各トラフィック1bを排除し、その他の各トラフィック1cを優先的に送信する。
【0021】
このように、トラフィック分析装置100は、分析結果となるトラフィックの特徴に対応するネットワーク上のトラフィックを制限することで、非正常的なトラフィックを制限しつつ、正常な送信者からのトラフィックを優先的に取り扱うことができる。
【0022】
次に、図1に示したトラフィック分析装置100の構成について説明する。図3は、トラフィック分析装置100の構成を示す機能ブロック図である。図3に示すように、このトラフィック分析装置100は、トラフィック抽出部110、通信品質管理部120、トラフィック分析部130、トラフィックパターン決定部140、優先制御部150を有する。
【0023】
トラフィック抽出部110は、特定の時間に発生したトラフィックの情報をトラフィックデータベース20から抽出し、抽出したトラフィックの情報を通信品質管理部120、トラフィック分析部130に出力する。上記特定の時間は、ネットワーク管理者によって適宜変更可能とする。
【0024】
通信品質管理部120は、トラフィックの情報を基にして、トラフィックが通信品質に与える影響を算出し、算出結果に応じて、トラフィックの分析を行うか否かの情報をトラフィック分析部130に出力する処理部である。以下において、通信品質管理部120の処理を具体的に説明する。
【0025】
まず、通信品質管理部120はQfを算出する。Qfは、トラフィックによる帯域幅(bandwidth)の減少値を示す。通信品質管理部120は、式(1)を利用して、Qfを算出する。
【数1】
【0026】
式(1)に示すように、Qfは、QrからQnを減じた値となる。Qrは、トラフィック全体を処理するために必要となる帯域幅を示し、Qnは、正常な使用者から送信されたトラフィックを処理するために必要となる帯域幅を示す。
【0027】
QrおよびQnを算出するためのμは、各呼のメッセージ数の平均値(average of message number by each caller)である。また、δは、各呼のメッセージ数の標準偏差(standard deviation of message number by each caller)である。また、α´は、式(2)を利用して算出する。
【数2】
式(2)に含まれるεは、キューオーバーフロー(queue overflow)の最大値(upper bound)である。
【0028】
通信品質管理部120は、Qfを算出した後に、式(3)の条件を満たすか否かを判定し、式(3)の条件を満たす場合には、トラフィックの分析を行うと判定する。これに対して、式(3)の条件を満たさない場合には、通信品質管理部120は、トラフィックの分析を行わないと判定する。
Qf>(1−x)*QT・・・(3)
【0029】
式(3)において、QTは、SIPサーバ10が処理可能な最大の帯域幅を示す。xは、Qos(Quality of Service)が保証する帯域幅のパラメータである。通信品質管理部120は、予め設定された値をxの値として用いてもよい。上記のように、通信品質管理部120が、式(3)に基づいて、トラフィックの分析を行うか否かを判定することは、ネットワークの通信品質への影響に基づいて、トラフィックの分析を行うか否かを判定することを意味する。
【0030】
トラフィック分析部130は、異常なトラフィックのタイプや、異常なトラフィックの経路を分析する処理部である。このトラフィック分析部130は、通信品質管理部120から、トラフィックの分析を行う旨の判定結果を受け付けた場合にトラフィックの分析を行う。トラフィック分析部130は、トラフィックタイプ分析部130a、トラフィック経路分析部130bを有する。
【0031】
トラフィックタイプ分析部130aは、トラフィック抽出部110からトラフィックの情報を取得し、トラフィックの特徴に応じて、トラフィックのトラフィックタイプを分析する。例えば、トラフィックタイプ分析部130aは、時間と時間に対応するSIPメッセージの数との関係を利用して、トラフィックタイプを分析する。
【0032】
ここで、各種のトラフィックタイプについて説明する。例えば、トラフィックタイプには、Temporaryタイプ、Growthタイプ、Continuousタイプ、Pulsingタイプ、Growth pulsingタイプ、Gradational growthタイプが含まれる。以下において、Temporaryタイプ、Growthタイプ、Continuousタイプ、Pulsingタイプ、Growth pulsingタイプ、Gradational growthタイプについて順に説明する。
【0033】
図4は、Temporaryタイプを説明する図である。図4の横軸は時間を示し、縦軸はSIPメッセージの数を示す。このTemporaryタイプは、SIPメッセージの数が一時的に大量発生するものである。図4に示す例では、時間がt0からt1の間に、SIPメッセージの数がNiとなっている。このように、SIPメッセージの数が一時的に大量発生する場合には、トラフィックタイプ分析部130aはトラフィックタイプをTemporaryタイプと判定する。
【0034】
図5は、Growthタイプを説明する図である。図5の横軸は時間を示し、縦軸はSIPメッセージの数を示す。このGrowthタイプは、ある時間を境に、急激にSIPメッセージの数が増加するものである。図5に示す例では、時間がt0からt1の間ではSIPメッセージの数が少ないが、時間t1を過ぎてからSIPメッセージの数が急激にNiとなる。このように、ある時間を境に、急激にSIPメッセージの数が増加する場合には、トラフィックタイプ分析部130aはトラフィックタイプをGrowthタイプと判定する。
【0035】
図6は、Continuousタイプを説明する図である。図6の横軸は時間を示し、縦軸はSIPメッセージの数を示す。このContinuousタイプは、ある時間から継続的に大量のSIPメッセージが発生するものである。図6に示す例では、時間t0からSIPメッセージの数が急激にNiとなる。このように、ある時間から継続的に大量のSIPメッセージが発生する場合には、トラフィックタイプ分析部130aはトラフィックタイプをContinuousタイプと判定する。
【0036】
図7は、Pulsingタイプを説明する図である。図7の横軸は時間を示し、縦軸はSIPメッセージの数を示す。このPulsingタイプは、断続的に大量のSIPメッセージが発生するものである。図Dに示す例では、時間t0からt1の間、時間t2からt3の間、時間t4からt5の間に、SIPメッセージの数がNiとなっている。このように、断続的に大量のSIPメッセージが発生する場合には、トラフィックタイプ分析部130aはトラフィックタイプを、Pulsingタイプと判定する。
【0037】
図8は、Growth pulsingタイプを説明する図である。図8の横軸は時間を示し、縦軸はSIPメッセージの数を示す。このGrowth pulsingタイプは、段階的に量が変化するSIPメッセージが断続的に発生するものである。図8に示す例では、時間t0からt1の間、時間t2からt3の間、時間t4からt5の間にSIPメッセージの量がN0からNiに段階的に変化している。このように、段階的に量が変化するSIPメッセージが断続的に発生する場合には、トラフィックタイプ分析部130aはトラフィックタイプを、Growth pulsingタイプと判定する。
【0038】
図9は、Gradational growthタイプを説明する図である。図9の横軸は時間を示し、縦軸はSIPメッセージの数を示す。このGradational growthタイプは、段階的にSIPメッセージの数が増加するものである。図9に示す例では、時間t0からt1の間のSIPIメッセージの数がN0となり、時間t1からt2の間のSIPメッセージの数がN1となり、時間t2からt3の間のSIPIメッセージの数がN2となり、時間t3からt4の間のSIPIメッセージの数がNiとなる。このように、段階的にSIPメッセージの数が増加する場合には、トラフィックタイプ分析部130aはトラフィックタイプを、Gradational growthタイプと判定する。
【0039】
トラフィック分析部130aは、分析結果をトラフィックパターン決定部140に出力する。この分析結果には、該当するトラフィックのトラフィックタイプ、周期、持続時間が対応づけられているものとする。すなわち、トラフィック分析部130aは、トラフィックのトラフィックタイプを判定すると共に、このトラフィックの周期や持続時間も合わせて分析するものとする。
【0040】
図3の説明に戻る。トラフィック経路分析部130bは、トラフィック抽出部110からトラフィックの情報を取得し、トラフィックがどのような経路を通じて送信者からサーバまで送信されたのかを分析する処理部である。トラフィックの経路は、トラフィックの目的地、送信元のURI、送信元のIPに基づいて、7個の経路タイプに判別される。図10は、トラフィックの経路タイプを示す図である。図10に示すように、経路タイプは、S−S−O、S−M−O、M−S−O、M−M−O、S−S−M、S−M−M、M−M−Mが含まれる。
【0041】
S−S−Oは、送信元URIが単一、かつ、送信元IPが単一、かつ、目的地が単一となるメッセージの経路タイプを示す。S−M−Oは、送信元のURIが単一、かつ、送信元のIPが複数、かつ、目的地が単一となるメッセージの経路タイプを示す。M−S−Oは、送信元URIが複数、かつ、送信元IPが単一、かつ、目的地が単一となるメッセージの経路タイプを示す。
【0042】
M−M−Oは、送信元URIが複数、かつ、送信元IPが複数、かつ、目的地が単一となるメッセージの経路タイプを示す。S−S−Mは、送信元URIが単一、かつ、送信元IPが単一、かつ、目的地が複数となるメッセージの経路タイプを示す。S−M−Mは、送信元URIが単一、かつ、送信元IPが複数、かつ、目的地が複数となるメッセージの経路タイプを示す。M−M−Mは、送信元URIが複数、かつ、送信元IPが複数、かつ、目的地が複数となるメッセージの経路タイプを示す。
【0043】
トラフィック経路分析部130bは、分析結果をトラフィックパターン決定部140に出力する。この分析結果には、該当するトラフィックの経路タイプ、送信元URI、送信元IP、目的地が対応づけられているものとする。
【0044】
トラフィックパターン決定部140は、トラフィックタイプ分析部130aおよびトラフィック経路分析部130bから分析結果を取得し、トラフィックパターンを生成する処理部である。このトラフィックパターンは、トラフィックタイプ分析部130aおよびトラフィック経路分析部130bから取得した分析結果を組み合わせたものとなる。
【0045】
図11は、トラフィックパターンのデータ構造の一例を示す図である。図11に示すように、このトラフィックパターンは、トラフィックタイプ、周期、持続時間、経路タイプ、送信元URI、送信元IP、目的地を有する。例えば、図11では、トラフィックタイプは「Pulsingタイプ」、周期は「30分」、持続時間「10分」となる。また、経路タイプは「M−M−M」、送信元URIは「U1」、「U2」、「U3」、送信元IPは「I1」、「I2」、「I3」、「I4」、目的地は「D1」、「D2」、「D3」となる。トラフィックパターン決定部140は、生成したトラフィックパターンを優先制御部150に出力する。
【0046】
優先制御部150は、トラフィックパターンを基にして優先制御情報を生成し、生成した優先制御情報をSIPサーバ10に通知する処理部である。この優先制御情報には、異常なトラフィックの発生が予想される時間帯や、異常なトラフィックに含まれる送信元URI、送信元IP、目的地が含まれる。以下の説明では、異常なトラフィックの発生が予想される時間帯を制限時間帯と表記する。また、異常なトラフィックに含まれる送信元URI、送信元IP、目的地の組を、異常トラフィック特定情報と表記する。
【0047】
優先制御部150は、制限時間帯を、発生予想時間(T)を基準に特定する。例えば、異常なトラフィックの周期を(C)、持続時間(TA)とすると、制限時間帯は、「T〜T+TA」、「T+C〜T+C+TA」、・・・となる。優先制御部150は、異常トラフィック特定情報を特定する場合には、トラフィックパターンに含まれる送信元URI、送信元IP、目的地の組をそのまま利用する。
【0048】
SIPサーバ10はかかる優先制御情報を基にして、トラフィックを制御する。すなわち、SIPサーバ10は、制御時間帯において、異常トラフィック特定情報に対応するトラフィックの優先度を低くし、その他のトラフィックの優先度を高くしてトラフィックの送受信を実行する。このように、SIPサーバ10が優先制御情報を基にしてトラフィックを制御することにより、異常なトラフィックの発生に対応でき、異常な送信者からのトラフィックを制限しつつ、正常な送信者からのトラフィックを優先的に取り扱うことができる。
【0049】
次に、本実施例にかかるトラフィック分析装置100の処理手順について説明する。図12は、トラフィック分析装置100の処理手順を示すフローチャートである。図12に示すように、トラフィック分析装置100は、トラフィックデータベース20からトラフィックの情報を取得し(ステップS101)、通信品質の変化を算出する(ステップS102)。
【0050】
トラフィック分析装置100は、Qfの値が(1−x)QTの値以下の場合には(ステップS103,No)、処理を終了する。一方、トラフィック分析装置100は、Qfの値が(1−x)QTの値よりも大きい場合には(ステップS103,Yes)、トラフィックタイプの分析処理を行う(ステップS104)。
【0051】
続いて、トラフィック分析装置100は、トラフィック経路の分析処理を行い(ステップS105)、トラフィックパターンを特定する(ステップS106)。トラフィック分析装置100は、優先制御情報を生成し(ステップS107)、優先制御情報をSIPサーバ10に通知する(ステップS108)。
【0052】
次に、図12のステップS104に示したトラフィックタイプの分析処理について説明する。図13は、トラフィックタイプの分析処理の処理手順を示すフローチャートである。図13に示すように、トラフィックタイプ分析部130aは、分析ウィンドウを決定し(ステップS201)、分析ウィンドウに存在するトラフィックをメッセージのタイプとトラフィックを発生させたソース毎に区分する(ステップS202)。
【0053】
続いて、トラフィックタイプ分析部130aは、トラフィックのタイプがパルスタイプである場合には(ステップS203,Yes)、トラフィックのタイプが静的であるか否かを判定する(ステップS204)。トラフィックタイプ分析部130aは、トラフィックのタイプが静的の場合には(ステップS204,Yes)、Pulsingタイプと判定する(ステップS205)。一方、トラフィックタイプ分析部130aは、トラフィックのタイプが動的の場合には(ステップS204,No)、Growth pulsingタイプと判定する(ステップS206)。
【0054】
ところでステップS203において、トラフィックタイプ分析部130aは、トラフィックのタイプがパルスタイプではない場合には(ステップS203,No)、トラフィックのタイプが静的であるか否かを判定する(ステップS207)。トラフィックタイプ分析部130aは、トラフィックのタイプが静的ではない場合には(ステップS207,No)、トラフィックの量が増加中であるか否かを判定する(ステップS208)。
【0055】
トラフィックタイプ分析部130aは、トラフィックの量が増加中の場合には(ステップS208,Yes)、Gradational growthタイプと判定する(ステップS209)。一方、トラフィックタイプ分析部130aは、トラフィックの量が増加中ではない場合には(ステップS208,No)、Growthタイプと判定する(ステップS210)。
【0056】
ところでステップS207において、トラフィックタイプ分析部130aは、トラフィックのタイプが静的の場合には(ステップS207,Yes)、トラフィックのタイプが一時的なものであるか否かを判定する(ステップS211)。トラフィックタイプ分析部130aは、トラフィックのタイプが一時的なものでない場合には(ステップS211,No)、Continuousタイプと判定する(ステップS212)。一方、トラフィックのタイプが一時的なものである場合には(ステップS211,Yes)、Temporaryタイプと判定する(ステップS213)。
【0057】
次に、図12のステップS105に示したトラフィック経路の分析処理について説明する。図14は、トラフィック経路の分析処理の処理手順を示すフローチャートである。図14に示すように、トラフィック経路分析部130bは、分析ウィンドウを決定し(ステップS301)、分析ウィンドウに存在するトラフィックをメッセージのタイプとトラフィックを発生させたソース毎に区分する(ステップS302)。
【0058】
トラフィック経路分析部130bは、トラフィックの目的地が単一ではない場合に(ステップS303,No)、送信元のURIが単一であるか否かを判定する(ステップS304)。トラフィック経路分析部130bは、送信元のURIが単一ではない場合に(ステップS304,No)、経路タイプをM−M−Mタイプと判定する(ステップS305)。
【0059】
一方、トラフィック経路分析部130bは、送信元のURIが単一の場合には(ステップS304,Yes)、送信元のIPが単一であるか否かを判定する(ステップS306)。トラフィック経路分析部130bは、送信元のIPが単一ではない場合に(ステップS306,No)、経路タイプをS−M−Mと判定する(ステップS307)。これに対して、トラフィック経路分析部130bは、送信元のIPが単一の場合に(ステップS306,Yes)、経路タイプをS−S−Mタイプと判定する(ステップS308)。
【0060】
ところでステップS303において、トラフィック経路分析部130bは、トラフィックの目的地が単一の場合に(ステップS303,Yes)、送信元のURIが単一であるか否かを判定する(ステップS309)。
【0061】
トラフィック経路分析部130bは、送信元のURIが単一である場合には(ステップS309,Yes)、送信元のIPが単一であるか否かを判定する(ステップS310)。トラフィック経路分析部130bは、送信元のIPが単一である場合には(ステップS310,Yes)、経路タイプをS−S−Oタイプと判定する(ステップS311)。これに対して、トラフィック経路分析部130bは、送信元のIPが単一ではない場合に(ステップS310,No)、経路タイプをS−M−Oタイプと判定する(ステップS312)。
【0062】
ところでステップS309において、トラフィック経路分析部130bは、送信元のURIが単一ではない場合に(ステップS309,No)、送信元のIPが単一であるか否かを判定する(ステップS313)。
【0063】
トラフィック経路分析部130bは、送信元のIPが単一ではない場合に(ステップS313,No)、経路タイプをM−M−Oタイプと判定する(ステップS314)。一方、トラフィック経路分析部130bは、送信元のIPが単一の場合には(ステップS313,Yes)、経路タイプをM−S−Oタイプと判定する(ステップS315)。
【0064】
次に、本実施例にかかるトラフィック分析システムの効果について説明する。上記のように、トラフィック分析装置100は、ネットワークの通信品質からトラフィックの分析が必要であると判定した場合に、トラフィックタイプおよびトラフィック経路を分析し、分析結果に基づいて優先制御情報を生成する。そして、トラフィック分析装置100は、この優先制御情報をSIPサーバ10に通知することで、ネットワーク上の非正常的なトラフィックを制限する。このため、本実施例にかかるトラフィック分析システムによれば、異常な送信者からのトラフィックを制限しつつ、正常な送信者からのトラフィックを優先的に取り扱うことができるという効果を奏する。
【0065】
また、本実施例にかかるトラフィック分析システムは、トラフィック分析装置100が、トラフィック全体を処理するために必要となる帯域幅から正常な使用者から送信されたトラフィックの帯域幅を減じた帯域幅と、SIPサーバ10が処理可能な帯域幅との関係に基づいて、トラフィックの分析を行うか否かを判定するので、トラフィックの分析が真に必要となる場合にだけ、トラフィックの分析を行うことができ、トラフィック分析装置100の負担を軽減することができる。
【0066】
ところで、上記実施例において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順(図12、図13、図14)、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
【0067】
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
【0068】
なお、図12、図13、図14で示した処理手順は、予め用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのIPネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク、CD−ROM(Compact Disk Read Only Memory)、MO(Magneto-Optical disk)、DVD(Digital Versatile Disk)などのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
【0069】
図15は、開示の技術に係るトラフィック分析プログラムによる情報処理がコンピュータを用いて具体的に実現されることを示す図である。図15に例示するように、コンピュータ200は、例えば、メモリ201と、CPU(Central Processing Unit)202と、ハードディスクドライブインタフェース203と、ディスクドライブインタフェース204と、シリアルポートインタフェース205と、ビデオアダプタ206と、ネットワークインタフェース207とを有し、これらの各部はバス208によって接続される。
【0070】
メモリ201は、図15に例示するように、ROM(Read Only Memory)201a及びRAM(Random Access Memory)201bを含む。ROM201aは、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース203は、図15に例示するように、ハードディスクドライブ203aに接続される。ディスクドライブインタフェース204は、図15に例示するように、ディスクドライブ204aに接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ204aに挿入される。シリアルポートインタフェース205は、図15に例示するように、例えばマウス205a、キーボード205bに接続される。ビデオアダプタ206は、図15に例示するように、例えばディスプレイ206aに接続される。
【0071】
ここで、図15に例示するように、ハードディスクドライブ203aは、例えば、OS(Operating System)、アプリケーションプログラム、プログラムモジュール、プログラムデータを記憶する。すなわち、開示の技術に係るトラフィック分析プログラムは、コンピュータによって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ203aに記憶される。具体的には、上記実施例で説明した通信品質管理部120、トラフィック分析部130、トラフィックパターン決定部140、優先制御部150と同様の情報処理を実行する各手順が記述されたプログラムモジュールが、ハードディスクドライブ203aに記憶される。また、トラフィック分析プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えばハードディスクドライブ203aに記憶される。そして、CPU202が、ハードディスクドライブ203aに記憶されたプログラムモジュールやプログラムデータを必要に応じてRAM201bに読み出し、各手順を実行する。
【0072】
なお、トラフィック分析プログラムに係るプログラムモジュールやプログラムデータは、ハードディスクドライブ203aに記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU202によって読み出されてもよい。あるいは、トラフィック分析プログラムに係るプログラムモジュールやプログラムデータは、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェースを介してCPU202によって読み出されてもよい。
【符号の説明】
【0073】
10 SIPサーバ
20 トラフィックデータベース
100 トラフィック分析装置
110 トラフィック抽出部
120 通信品質管理部
130 トラフィック分析部
140 トラフィックパターン決定部
150 優先制御部
【技術分野】
【0001】
本発明は、トラフィック分析システムおよびトラフィック分析方法に関する。
【背景技術】
【0002】
SIP(Session Initiation Protocol)基盤のインターネット電話サービスでは、SIPサーバを介して、各IP電話端末がSIPメッセージを送受信することで通話を確立する。このため、インターネット電話サービスのサービス品質を保つためには、SIPメッセージが滞ることなく、宛先に送信される必要がある。以下の説明において、SIPサーバやIP電話端末間で発生するSIPメッセージをトラフィックと表記する。
【0003】
しかし、悪意のある第三者などにより、非正常的(abnormal)なトラフィックが大量にネットワークに流入すると、ネットワークの資源が損失してしまう。このような場合には、SIPサーバは、正常なトラフィックをスムーズに送受信することができず、サービスの品質が著しく低下してしまう。
【0004】
ここで、インターネット電話サービスの品質低下を監視する技術には様々なものが存在する。例えば、パケットの遅延時間の分布に基づいてパケットの送信順序を判定することや、リクエスト送信に対する回答が得られるまでの時間を分析することで、サービスの品質低下を監視する技術がある。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2006−50250号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
サービスの品質低下を効果的に抑制するためには、サービス品質低下を監視するだけでは不十分であり、非正常的なトラフィックの発生頻度や通信経路等のパターンを見つけ出し、適切な対策を講じる必要がある。しかし、このようなパターンを検出するための支援システムが現状存在していない。このため、上述した従来技術では、異常なトラフィックの発生に対応することができず、非正常的なトラフィックを制限しつつ、正常なトラフィックを優先的に取り扱うことができないという問題があった。
【0007】
なお、IP電話端末の呼と1対1に対応する制御信号を低レイヤに埋め込んでおき、この制御信号を認識・分析して、他のノードへの優先度を設定することで、所定のトラフィックを優先的に送信するという技術が存在する。しかし、かかる技術では、優先的に取り扱うべきトラフィックが予め分かっていることが前提となっているため、それ以外の正常なトラフィックを優先的に取り扱うことができない。
【0008】
本発明は、上記に鑑みてなされたものであって、非正常的なトラフィックを制限しつつ、正常なトラフィックを優先的に取り扱うことが可能なトラフィック分析システムおよびトラフィック分析方法を提供することを目的とする。
【課題を解決するための手段】
【0009】
上述した課題を解決し、目的を達成するために、開示の技術は、一つの態様において、ネットワークを介して端末およびサーバ間で送受信されるトラフィックの情報を記憶する記憶部と、前記トラフィックによる前記ネットワークの通信品質への影響に基づいて、前記トラフィックの分析を行うか否かを判定する判定部と、前記判定部によって前記トラフィックの分析を行うと判定された場合に、前記記憶部に記憶されたトラフィックの情報に基づいて、トラフィックの特徴を特定するトラフィック分析部と、前記トラフィック分析部によって特定されたトラフィックの特徴に対応する前記ネットワーク上のトラフィックを制限するトラフィック制限部とを備える。
【0010】
また、開示の技術は、一つの態様において、コンピュータが、ネットワークを介して端末およびサーバ間で送受信されるトラフィックによる前記ネットワークの通信品質への影響に基づいて、前記トラフィックの分析を行うか否かを判定する判定工程と、前記判定工程において前記トラフィックの分析を行うと判定した場合に、記憶装置に記憶された前記トラフィックの情報に基づいて、トラフィックの特徴を特定するトラフィック分析工程と、前記トラフィック分析工程において特定したトラフィックの特徴に対応する前記ネットワーク上のトラフィックを制限するトラフィック制限工程とを含む。
【発明の効果】
【0011】
開示の技術によれば、非正常的なトラフィックを制限しつつ、正常なトラフィックを優先的に取り扱うことができるという効果を奏する。
【図面の簡単な説明】
【0012】
【図1】図1は、本実施例にかかるトラフィック分析システムの概要を示す図である。
【図2】図2は、トラフィックデータベースのデータ構造の一例を示す図である。
【図3】図3は、トラフィック分析装置の構成を示す機能ブロック図である。
【図4】図4は、Temporaryタイプを説明する図である。
【図5】図5は、Growthタイプを説明する図である。
【図6】図6は、Continuousタイプを説明する図である。
【図7】図7は、Pulsingタイプを説明する図である。
【図8】図8は、Growth pulsingタイプを説明する図である。
【図9】図9は、Gradational growthタイプを説明する図である。
【図10】図10は、トラフィックの経路タイプを示す図である。
【図11】図11は、トラフィックパターンのデータ構造の一例を示す図である。
【図12】図12は、トラフィック分析装置の処理手順を示すフローチャートである。
【図13】図13は、トラフィックタイプの分析処理の処理手順を示すフローチャートである。
【図14】図14は、トラフィック経路の分析処理の処理手順を示すフローチャートである。
【図15】図15は、開示の技術に係るトラフィック分析プログラムによる情報処理がコンピュータを用いて具体的に実現されることを示す図である。
【発明を実施するための形態】
【0013】
以下に、本発明にかかるトラフィック分析システムおよびトラフィック分析方法の実施例を図面に基づいて詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。
【実施例】
【0014】
図1は、本実施例にかかるトラフィック分析システムの概要を示す図である。図1に示すように、このトラフィック分析システムは、SIPサーバ10、トラフィックデータベース20、トラフィック分析装置100を有する。
【0015】
SIPサーバ10は、ネットワークを介して複数のIP電話端末等に接続され、このIP電話端末の電話番号とIPアドレスとの対応づけを行うサーバ装置である。また、SIPサーバ10は、IP電話端末間で通話を確立するためのSIPメッセージを中継する。以下の説明において、SIPメッセージの送信元、送信先、SIPサーバ間で送受信されるSIPメッセージをトラフィックと表記する。SIPサーバ10は、トラフィックの送信元、受信者、SIPサーバ10から発生したトラフィックの情報をトラフィックデータベース20に登録する。
【0016】
トラフィックデータベース20は、トラフィックの情報を記憶する記憶装置である。図2は、トラフィックデータベース20のデータ構造の一例を示す図である。図2に示すように、トラフィックデータベース20は、src_UID、src_URI、dst_UID、dst_URI、message type、call_id、src_IP、dst_IP、timestampeを含む。この各情報は、トラフィック毎に存在する。
【0017】
図2において、「src_UID」はトラフィックの送信元のユーザを識別する情報である。「src_URI」はトラフィックの送信元のURI(Uniform Resource Identifier)を示すものである。「dst_UID」はトラフィックの送信先のユーザを識別する情報である。「dst_URI」はトラフィックの送信先のURIを示すものである。「message type」は、トラフィックのメッセージタイプを識別するものである。たとえば、メッセージタイプには、REQUEST(INVITE、REGISTER)、RESPONSEなどが含まれる。
【0018】
「call_id」は、トラフィックに対応する通話を識別する情報である。「src_IP」は、トラフィックの送信元のIPアドレスを示し、「dst_IP」は、トラフィックの送信先のIPアドレスを示す。「timestampe」は、トラフィックが発生した時間を示すものである。
【0019】
トラフィック分析装置100は、ネットワーク上のトラフィックを分析する装置である。このトラフィック分析装置100は、トラフィックによるネットワークの通信品質の影響に基づいて、トラフィックの分析を行うか否かを判定する。そして、トラフィックの分析を行うと判定した場合には、トラフィック分析装置100は、トラフィックデータベース20に記憶されたトラフィックの情報を基にして、トラフィックの特徴を分析する。このトラフィックの特徴は、非正常的なトラフィックの特徴である。トラフィック分析装置100は、SIPサーバ10を制御して、トラフィックの特徴に対応するネットワーク上のトラフィックを制限する。
【0020】
図1に示す例では、SIPサーバ10は、各トラフィック1aを受信した場合に、非正常的なトラフィックの特徴に対応する各トラフィック1bを排除し、その他の各トラフィック1cを優先的に送信する。
【0021】
このように、トラフィック分析装置100は、分析結果となるトラフィックの特徴に対応するネットワーク上のトラフィックを制限することで、非正常的なトラフィックを制限しつつ、正常な送信者からのトラフィックを優先的に取り扱うことができる。
【0022】
次に、図1に示したトラフィック分析装置100の構成について説明する。図3は、トラフィック分析装置100の構成を示す機能ブロック図である。図3に示すように、このトラフィック分析装置100は、トラフィック抽出部110、通信品質管理部120、トラフィック分析部130、トラフィックパターン決定部140、優先制御部150を有する。
【0023】
トラフィック抽出部110は、特定の時間に発生したトラフィックの情報をトラフィックデータベース20から抽出し、抽出したトラフィックの情報を通信品質管理部120、トラフィック分析部130に出力する。上記特定の時間は、ネットワーク管理者によって適宜変更可能とする。
【0024】
通信品質管理部120は、トラフィックの情報を基にして、トラフィックが通信品質に与える影響を算出し、算出結果に応じて、トラフィックの分析を行うか否かの情報をトラフィック分析部130に出力する処理部である。以下において、通信品質管理部120の処理を具体的に説明する。
【0025】
まず、通信品質管理部120はQfを算出する。Qfは、トラフィックによる帯域幅(bandwidth)の減少値を示す。通信品質管理部120は、式(1)を利用して、Qfを算出する。
【数1】
【0026】
式(1)に示すように、Qfは、QrからQnを減じた値となる。Qrは、トラフィック全体を処理するために必要となる帯域幅を示し、Qnは、正常な使用者から送信されたトラフィックを処理するために必要となる帯域幅を示す。
【0027】
QrおよびQnを算出するためのμは、各呼のメッセージ数の平均値(average of message number by each caller)である。また、δは、各呼のメッセージ数の標準偏差(standard deviation of message number by each caller)である。また、α´は、式(2)を利用して算出する。
【数2】
式(2)に含まれるεは、キューオーバーフロー(queue overflow)の最大値(upper bound)である。
【0028】
通信品質管理部120は、Qfを算出した後に、式(3)の条件を満たすか否かを判定し、式(3)の条件を満たす場合には、トラフィックの分析を行うと判定する。これに対して、式(3)の条件を満たさない場合には、通信品質管理部120は、トラフィックの分析を行わないと判定する。
Qf>(1−x)*QT・・・(3)
【0029】
式(3)において、QTは、SIPサーバ10が処理可能な最大の帯域幅を示す。xは、Qos(Quality of Service)が保証する帯域幅のパラメータである。通信品質管理部120は、予め設定された値をxの値として用いてもよい。上記のように、通信品質管理部120が、式(3)に基づいて、トラフィックの分析を行うか否かを判定することは、ネットワークの通信品質への影響に基づいて、トラフィックの分析を行うか否かを判定することを意味する。
【0030】
トラフィック分析部130は、異常なトラフィックのタイプや、異常なトラフィックの経路を分析する処理部である。このトラフィック分析部130は、通信品質管理部120から、トラフィックの分析を行う旨の判定結果を受け付けた場合にトラフィックの分析を行う。トラフィック分析部130は、トラフィックタイプ分析部130a、トラフィック経路分析部130bを有する。
【0031】
トラフィックタイプ分析部130aは、トラフィック抽出部110からトラフィックの情報を取得し、トラフィックの特徴に応じて、トラフィックのトラフィックタイプを分析する。例えば、トラフィックタイプ分析部130aは、時間と時間に対応するSIPメッセージの数との関係を利用して、トラフィックタイプを分析する。
【0032】
ここで、各種のトラフィックタイプについて説明する。例えば、トラフィックタイプには、Temporaryタイプ、Growthタイプ、Continuousタイプ、Pulsingタイプ、Growth pulsingタイプ、Gradational growthタイプが含まれる。以下において、Temporaryタイプ、Growthタイプ、Continuousタイプ、Pulsingタイプ、Growth pulsingタイプ、Gradational growthタイプについて順に説明する。
【0033】
図4は、Temporaryタイプを説明する図である。図4の横軸は時間を示し、縦軸はSIPメッセージの数を示す。このTemporaryタイプは、SIPメッセージの数が一時的に大量発生するものである。図4に示す例では、時間がt0からt1の間に、SIPメッセージの数がNiとなっている。このように、SIPメッセージの数が一時的に大量発生する場合には、トラフィックタイプ分析部130aはトラフィックタイプをTemporaryタイプと判定する。
【0034】
図5は、Growthタイプを説明する図である。図5の横軸は時間を示し、縦軸はSIPメッセージの数を示す。このGrowthタイプは、ある時間を境に、急激にSIPメッセージの数が増加するものである。図5に示す例では、時間がt0からt1の間ではSIPメッセージの数が少ないが、時間t1を過ぎてからSIPメッセージの数が急激にNiとなる。このように、ある時間を境に、急激にSIPメッセージの数が増加する場合には、トラフィックタイプ分析部130aはトラフィックタイプをGrowthタイプと判定する。
【0035】
図6は、Continuousタイプを説明する図である。図6の横軸は時間を示し、縦軸はSIPメッセージの数を示す。このContinuousタイプは、ある時間から継続的に大量のSIPメッセージが発生するものである。図6に示す例では、時間t0からSIPメッセージの数が急激にNiとなる。このように、ある時間から継続的に大量のSIPメッセージが発生する場合には、トラフィックタイプ分析部130aはトラフィックタイプをContinuousタイプと判定する。
【0036】
図7は、Pulsingタイプを説明する図である。図7の横軸は時間を示し、縦軸はSIPメッセージの数を示す。このPulsingタイプは、断続的に大量のSIPメッセージが発生するものである。図Dに示す例では、時間t0からt1の間、時間t2からt3の間、時間t4からt5の間に、SIPメッセージの数がNiとなっている。このように、断続的に大量のSIPメッセージが発生する場合には、トラフィックタイプ分析部130aはトラフィックタイプを、Pulsingタイプと判定する。
【0037】
図8は、Growth pulsingタイプを説明する図である。図8の横軸は時間を示し、縦軸はSIPメッセージの数を示す。このGrowth pulsingタイプは、段階的に量が変化するSIPメッセージが断続的に発生するものである。図8に示す例では、時間t0からt1の間、時間t2からt3の間、時間t4からt5の間にSIPメッセージの量がN0からNiに段階的に変化している。このように、段階的に量が変化するSIPメッセージが断続的に発生する場合には、トラフィックタイプ分析部130aはトラフィックタイプを、Growth pulsingタイプと判定する。
【0038】
図9は、Gradational growthタイプを説明する図である。図9の横軸は時間を示し、縦軸はSIPメッセージの数を示す。このGradational growthタイプは、段階的にSIPメッセージの数が増加するものである。図9に示す例では、時間t0からt1の間のSIPIメッセージの数がN0となり、時間t1からt2の間のSIPメッセージの数がN1となり、時間t2からt3の間のSIPIメッセージの数がN2となり、時間t3からt4の間のSIPIメッセージの数がNiとなる。このように、段階的にSIPメッセージの数が増加する場合には、トラフィックタイプ分析部130aはトラフィックタイプを、Gradational growthタイプと判定する。
【0039】
トラフィック分析部130aは、分析結果をトラフィックパターン決定部140に出力する。この分析結果には、該当するトラフィックのトラフィックタイプ、周期、持続時間が対応づけられているものとする。すなわち、トラフィック分析部130aは、トラフィックのトラフィックタイプを判定すると共に、このトラフィックの周期や持続時間も合わせて分析するものとする。
【0040】
図3の説明に戻る。トラフィック経路分析部130bは、トラフィック抽出部110からトラフィックの情報を取得し、トラフィックがどのような経路を通じて送信者からサーバまで送信されたのかを分析する処理部である。トラフィックの経路は、トラフィックの目的地、送信元のURI、送信元のIPに基づいて、7個の経路タイプに判別される。図10は、トラフィックの経路タイプを示す図である。図10に示すように、経路タイプは、S−S−O、S−M−O、M−S−O、M−M−O、S−S−M、S−M−M、M−M−Mが含まれる。
【0041】
S−S−Oは、送信元URIが単一、かつ、送信元IPが単一、かつ、目的地が単一となるメッセージの経路タイプを示す。S−M−Oは、送信元のURIが単一、かつ、送信元のIPが複数、かつ、目的地が単一となるメッセージの経路タイプを示す。M−S−Oは、送信元URIが複数、かつ、送信元IPが単一、かつ、目的地が単一となるメッセージの経路タイプを示す。
【0042】
M−M−Oは、送信元URIが複数、かつ、送信元IPが複数、かつ、目的地が単一となるメッセージの経路タイプを示す。S−S−Mは、送信元URIが単一、かつ、送信元IPが単一、かつ、目的地が複数となるメッセージの経路タイプを示す。S−M−Mは、送信元URIが単一、かつ、送信元IPが複数、かつ、目的地が複数となるメッセージの経路タイプを示す。M−M−Mは、送信元URIが複数、かつ、送信元IPが複数、かつ、目的地が複数となるメッセージの経路タイプを示す。
【0043】
トラフィック経路分析部130bは、分析結果をトラフィックパターン決定部140に出力する。この分析結果には、該当するトラフィックの経路タイプ、送信元URI、送信元IP、目的地が対応づけられているものとする。
【0044】
トラフィックパターン決定部140は、トラフィックタイプ分析部130aおよびトラフィック経路分析部130bから分析結果を取得し、トラフィックパターンを生成する処理部である。このトラフィックパターンは、トラフィックタイプ分析部130aおよびトラフィック経路分析部130bから取得した分析結果を組み合わせたものとなる。
【0045】
図11は、トラフィックパターンのデータ構造の一例を示す図である。図11に示すように、このトラフィックパターンは、トラフィックタイプ、周期、持続時間、経路タイプ、送信元URI、送信元IP、目的地を有する。例えば、図11では、トラフィックタイプは「Pulsingタイプ」、周期は「30分」、持続時間「10分」となる。また、経路タイプは「M−M−M」、送信元URIは「U1」、「U2」、「U3」、送信元IPは「I1」、「I2」、「I3」、「I4」、目的地は「D1」、「D2」、「D3」となる。トラフィックパターン決定部140は、生成したトラフィックパターンを優先制御部150に出力する。
【0046】
優先制御部150は、トラフィックパターンを基にして優先制御情報を生成し、生成した優先制御情報をSIPサーバ10に通知する処理部である。この優先制御情報には、異常なトラフィックの発生が予想される時間帯や、異常なトラフィックに含まれる送信元URI、送信元IP、目的地が含まれる。以下の説明では、異常なトラフィックの発生が予想される時間帯を制限時間帯と表記する。また、異常なトラフィックに含まれる送信元URI、送信元IP、目的地の組を、異常トラフィック特定情報と表記する。
【0047】
優先制御部150は、制限時間帯を、発生予想時間(T)を基準に特定する。例えば、異常なトラフィックの周期を(C)、持続時間(TA)とすると、制限時間帯は、「T〜T+TA」、「T+C〜T+C+TA」、・・・となる。優先制御部150は、異常トラフィック特定情報を特定する場合には、トラフィックパターンに含まれる送信元URI、送信元IP、目的地の組をそのまま利用する。
【0048】
SIPサーバ10はかかる優先制御情報を基にして、トラフィックを制御する。すなわち、SIPサーバ10は、制御時間帯において、異常トラフィック特定情報に対応するトラフィックの優先度を低くし、その他のトラフィックの優先度を高くしてトラフィックの送受信を実行する。このように、SIPサーバ10が優先制御情報を基にしてトラフィックを制御することにより、異常なトラフィックの発生に対応でき、異常な送信者からのトラフィックを制限しつつ、正常な送信者からのトラフィックを優先的に取り扱うことができる。
【0049】
次に、本実施例にかかるトラフィック分析装置100の処理手順について説明する。図12は、トラフィック分析装置100の処理手順を示すフローチャートである。図12に示すように、トラフィック分析装置100は、トラフィックデータベース20からトラフィックの情報を取得し(ステップS101)、通信品質の変化を算出する(ステップS102)。
【0050】
トラフィック分析装置100は、Qfの値が(1−x)QTの値以下の場合には(ステップS103,No)、処理を終了する。一方、トラフィック分析装置100は、Qfの値が(1−x)QTの値よりも大きい場合には(ステップS103,Yes)、トラフィックタイプの分析処理を行う(ステップS104)。
【0051】
続いて、トラフィック分析装置100は、トラフィック経路の分析処理を行い(ステップS105)、トラフィックパターンを特定する(ステップS106)。トラフィック分析装置100は、優先制御情報を生成し(ステップS107)、優先制御情報をSIPサーバ10に通知する(ステップS108)。
【0052】
次に、図12のステップS104に示したトラフィックタイプの分析処理について説明する。図13は、トラフィックタイプの分析処理の処理手順を示すフローチャートである。図13に示すように、トラフィックタイプ分析部130aは、分析ウィンドウを決定し(ステップS201)、分析ウィンドウに存在するトラフィックをメッセージのタイプとトラフィックを発生させたソース毎に区分する(ステップS202)。
【0053】
続いて、トラフィックタイプ分析部130aは、トラフィックのタイプがパルスタイプである場合には(ステップS203,Yes)、トラフィックのタイプが静的であるか否かを判定する(ステップS204)。トラフィックタイプ分析部130aは、トラフィックのタイプが静的の場合には(ステップS204,Yes)、Pulsingタイプと判定する(ステップS205)。一方、トラフィックタイプ分析部130aは、トラフィックのタイプが動的の場合には(ステップS204,No)、Growth pulsingタイプと判定する(ステップS206)。
【0054】
ところでステップS203において、トラフィックタイプ分析部130aは、トラフィックのタイプがパルスタイプではない場合には(ステップS203,No)、トラフィックのタイプが静的であるか否かを判定する(ステップS207)。トラフィックタイプ分析部130aは、トラフィックのタイプが静的ではない場合には(ステップS207,No)、トラフィックの量が増加中であるか否かを判定する(ステップS208)。
【0055】
トラフィックタイプ分析部130aは、トラフィックの量が増加中の場合には(ステップS208,Yes)、Gradational growthタイプと判定する(ステップS209)。一方、トラフィックタイプ分析部130aは、トラフィックの量が増加中ではない場合には(ステップS208,No)、Growthタイプと判定する(ステップS210)。
【0056】
ところでステップS207において、トラフィックタイプ分析部130aは、トラフィックのタイプが静的の場合には(ステップS207,Yes)、トラフィックのタイプが一時的なものであるか否かを判定する(ステップS211)。トラフィックタイプ分析部130aは、トラフィックのタイプが一時的なものでない場合には(ステップS211,No)、Continuousタイプと判定する(ステップS212)。一方、トラフィックのタイプが一時的なものである場合には(ステップS211,Yes)、Temporaryタイプと判定する(ステップS213)。
【0057】
次に、図12のステップS105に示したトラフィック経路の分析処理について説明する。図14は、トラフィック経路の分析処理の処理手順を示すフローチャートである。図14に示すように、トラフィック経路分析部130bは、分析ウィンドウを決定し(ステップS301)、分析ウィンドウに存在するトラフィックをメッセージのタイプとトラフィックを発生させたソース毎に区分する(ステップS302)。
【0058】
トラフィック経路分析部130bは、トラフィックの目的地が単一ではない場合に(ステップS303,No)、送信元のURIが単一であるか否かを判定する(ステップS304)。トラフィック経路分析部130bは、送信元のURIが単一ではない場合に(ステップS304,No)、経路タイプをM−M−Mタイプと判定する(ステップS305)。
【0059】
一方、トラフィック経路分析部130bは、送信元のURIが単一の場合には(ステップS304,Yes)、送信元のIPが単一であるか否かを判定する(ステップS306)。トラフィック経路分析部130bは、送信元のIPが単一ではない場合に(ステップS306,No)、経路タイプをS−M−Mと判定する(ステップS307)。これに対して、トラフィック経路分析部130bは、送信元のIPが単一の場合に(ステップS306,Yes)、経路タイプをS−S−Mタイプと判定する(ステップS308)。
【0060】
ところでステップS303において、トラフィック経路分析部130bは、トラフィックの目的地が単一の場合に(ステップS303,Yes)、送信元のURIが単一であるか否かを判定する(ステップS309)。
【0061】
トラフィック経路分析部130bは、送信元のURIが単一である場合には(ステップS309,Yes)、送信元のIPが単一であるか否かを判定する(ステップS310)。トラフィック経路分析部130bは、送信元のIPが単一である場合には(ステップS310,Yes)、経路タイプをS−S−Oタイプと判定する(ステップS311)。これに対して、トラフィック経路分析部130bは、送信元のIPが単一ではない場合に(ステップS310,No)、経路タイプをS−M−Oタイプと判定する(ステップS312)。
【0062】
ところでステップS309において、トラフィック経路分析部130bは、送信元のURIが単一ではない場合に(ステップS309,No)、送信元のIPが単一であるか否かを判定する(ステップS313)。
【0063】
トラフィック経路分析部130bは、送信元のIPが単一ではない場合に(ステップS313,No)、経路タイプをM−M−Oタイプと判定する(ステップS314)。一方、トラフィック経路分析部130bは、送信元のIPが単一の場合には(ステップS313,Yes)、経路タイプをM−S−Oタイプと判定する(ステップS315)。
【0064】
次に、本実施例にかかるトラフィック分析システムの効果について説明する。上記のように、トラフィック分析装置100は、ネットワークの通信品質からトラフィックの分析が必要であると判定した場合に、トラフィックタイプおよびトラフィック経路を分析し、分析結果に基づいて優先制御情報を生成する。そして、トラフィック分析装置100は、この優先制御情報をSIPサーバ10に通知することで、ネットワーク上の非正常的なトラフィックを制限する。このため、本実施例にかかるトラフィック分析システムによれば、異常な送信者からのトラフィックを制限しつつ、正常な送信者からのトラフィックを優先的に取り扱うことができるという効果を奏する。
【0065】
また、本実施例にかかるトラフィック分析システムは、トラフィック分析装置100が、トラフィック全体を処理するために必要となる帯域幅から正常な使用者から送信されたトラフィックの帯域幅を減じた帯域幅と、SIPサーバ10が処理可能な帯域幅との関係に基づいて、トラフィックの分析を行うか否かを判定するので、トラフィックの分析が真に必要となる場合にだけ、トラフィックの分析を行うことができ、トラフィック分析装置100の負担を軽減することができる。
【0066】
ところで、上記実施例において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順(図12、図13、図14)、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
【0067】
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
【0068】
なお、図12、図13、図14で示した処理手順は、予め用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのIPネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク、CD−ROM(Compact Disk Read Only Memory)、MO(Magneto-Optical disk)、DVD(Digital Versatile Disk)などのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
【0069】
図15は、開示の技術に係るトラフィック分析プログラムによる情報処理がコンピュータを用いて具体的に実現されることを示す図である。図15に例示するように、コンピュータ200は、例えば、メモリ201と、CPU(Central Processing Unit)202と、ハードディスクドライブインタフェース203と、ディスクドライブインタフェース204と、シリアルポートインタフェース205と、ビデオアダプタ206と、ネットワークインタフェース207とを有し、これらの各部はバス208によって接続される。
【0070】
メモリ201は、図15に例示するように、ROM(Read Only Memory)201a及びRAM(Random Access Memory)201bを含む。ROM201aは、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース203は、図15に例示するように、ハードディスクドライブ203aに接続される。ディスクドライブインタフェース204は、図15に例示するように、ディスクドライブ204aに接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ204aに挿入される。シリアルポートインタフェース205は、図15に例示するように、例えばマウス205a、キーボード205bに接続される。ビデオアダプタ206は、図15に例示するように、例えばディスプレイ206aに接続される。
【0071】
ここで、図15に例示するように、ハードディスクドライブ203aは、例えば、OS(Operating System)、アプリケーションプログラム、プログラムモジュール、プログラムデータを記憶する。すなわち、開示の技術に係るトラフィック分析プログラムは、コンピュータによって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ203aに記憶される。具体的には、上記実施例で説明した通信品質管理部120、トラフィック分析部130、トラフィックパターン決定部140、優先制御部150と同様の情報処理を実行する各手順が記述されたプログラムモジュールが、ハードディスクドライブ203aに記憶される。また、トラフィック分析プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えばハードディスクドライブ203aに記憶される。そして、CPU202が、ハードディスクドライブ203aに記憶されたプログラムモジュールやプログラムデータを必要に応じてRAM201bに読み出し、各手順を実行する。
【0072】
なお、トラフィック分析プログラムに係るプログラムモジュールやプログラムデータは、ハードディスクドライブ203aに記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU202によって読み出されてもよい。あるいは、トラフィック分析プログラムに係るプログラムモジュールやプログラムデータは、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェースを介してCPU202によって読み出されてもよい。
【符号の説明】
【0073】
10 SIPサーバ
20 トラフィックデータベース
100 トラフィック分析装置
110 トラフィック抽出部
120 通信品質管理部
130 トラフィック分析部
140 トラフィックパターン決定部
150 優先制御部
【特許請求の範囲】
【請求項1】
ネットワークを介して端末およびサーバ間で送受信されるトラフィックの情報を記憶する記憶部と、
前記トラフィックによる前記ネットワークの通信品質への影響に基づいて、前記トラフィックの分析を行うか否かを判定する判定部と、
前記判定部によって前記トラフィックの分析を行うと判定された場合に、前記記憶部に記憶されたトラフィックの情報に基づいて、トラフィックの特徴を特定するトラフィック分析部と、
前記トラフィック分析部によって特定されたトラフィックの特徴に対応する前記ネットワーク上のトラフィックを制限するトラフィック制限部と
を備えたことを特徴とするトラフィック分析システム。
【請求項2】
前記トラフィック分析部は、前記記憶部に記憶されたトラフィックの情報に基づいて、前記トラフィックの数と該トラフィックの発生した時間との関係を示すトラフィックタイプと、前記トラフィックの経路を識別する経路情報とを特定し、前記トラフィック制限部は、前記トラフィックタイプおよび前記経路情報に対応する前記ネットワーク上のトラフィックを制限することを特徴とする請求項1に記載のトラフィック分析システム。
【請求項3】
前記判定部は、トラフィック全体を処理するために必要となる帯域幅から正常な使用者から送信されたトラフィックの帯域幅を減じた帯域幅と、前記サーバが処理可能な帯域幅との関係に基づいて、トラフィックの分析を行うか否かを判定することを特徴とする請求項1または2に記載のトラフィック分析システム。
【請求項4】
コンピュータが、
ネットワークを介して端末およびサーバ間で送受信されるトラフィックによる前記ネットワークの通信品質への影響に基づいて、前記トラフィックの分析を行うか否かを判定する判定工程と、
前記判定工程において前記トラフィックの分析を行うと判定した場合に、記憶装置に記憶された前記トラフィックの情報に基づいて、トラフィックの特徴を特定するトラフィック分析工程と、
前記トラフィック分析工程において特定したトラフィックの特徴に対応する前記ネットワーク上のトラフィックを制限するトラフィック制限工程と
を含んだことを特徴とするトラフィック分析方法。
【請求項5】
前記トラフィック分析工程は、前記記憶装置に記憶されたトラフィックの情報に基づいて、前記トラフィックの数と該トラフィックの発生した時間との関係を示すトラフィックタイプと、前記トラフィックの経路を識別する経路情報とを特定し、前記トラフィック制限工程は、前記トラフィックタイプおよび前記経路情報に対応する前記ネットワーク上のトラフィックを制限することを特徴とする請求項4に記載のトラフィック分析方法。
【請求項6】
前記判定工程は、トラフィック全体を処理するために必要となる帯域幅から正常な使用者から送信されたトラフィックの帯域幅を減じた帯域幅と、前記サーバが処理可能な帯域幅との関係に基づいて、トラフィックの分析を行うか否かを判定することを特徴とする請求項4または5に記載のトラフィック分析方法。
【請求項1】
ネットワークを介して端末およびサーバ間で送受信されるトラフィックの情報を記憶する記憶部と、
前記トラフィックによる前記ネットワークの通信品質への影響に基づいて、前記トラフィックの分析を行うか否かを判定する判定部と、
前記判定部によって前記トラフィックの分析を行うと判定された場合に、前記記憶部に記憶されたトラフィックの情報に基づいて、トラフィックの特徴を特定するトラフィック分析部と、
前記トラフィック分析部によって特定されたトラフィックの特徴に対応する前記ネットワーク上のトラフィックを制限するトラフィック制限部と
を備えたことを特徴とするトラフィック分析システム。
【請求項2】
前記トラフィック分析部は、前記記憶部に記憶されたトラフィックの情報に基づいて、前記トラフィックの数と該トラフィックの発生した時間との関係を示すトラフィックタイプと、前記トラフィックの経路を識別する経路情報とを特定し、前記トラフィック制限部は、前記トラフィックタイプおよび前記経路情報に対応する前記ネットワーク上のトラフィックを制限することを特徴とする請求項1に記載のトラフィック分析システム。
【請求項3】
前記判定部は、トラフィック全体を処理するために必要となる帯域幅から正常な使用者から送信されたトラフィックの帯域幅を減じた帯域幅と、前記サーバが処理可能な帯域幅との関係に基づいて、トラフィックの分析を行うか否かを判定することを特徴とする請求項1または2に記載のトラフィック分析システム。
【請求項4】
コンピュータが、
ネットワークを介して端末およびサーバ間で送受信されるトラフィックによる前記ネットワークの通信品質への影響に基づいて、前記トラフィックの分析を行うか否かを判定する判定工程と、
前記判定工程において前記トラフィックの分析を行うと判定した場合に、記憶装置に記憶された前記トラフィックの情報に基づいて、トラフィックの特徴を特定するトラフィック分析工程と、
前記トラフィック分析工程において特定したトラフィックの特徴に対応する前記ネットワーク上のトラフィックを制限するトラフィック制限工程と
を含んだことを特徴とするトラフィック分析方法。
【請求項5】
前記トラフィック分析工程は、前記記憶装置に記憶されたトラフィックの情報に基づいて、前記トラフィックの数と該トラフィックの発生した時間との関係を示すトラフィックタイプと、前記トラフィックの経路を識別する経路情報とを特定し、前記トラフィック制限工程は、前記トラフィックタイプおよび前記経路情報に対応する前記ネットワーク上のトラフィックを制限することを特徴とする請求項4に記載のトラフィック分析方法。
【請求項6】
前記判定工程は、トラフィック全体を処理するために必要となる帯域幅から正常な使用者から送信されたトラフィックの帯域幅を減じた帯域幅と、前記サーバが処理可能な帯域幅との関係に基づいて、トラフィックの分析を行うか否かを判定することを特徴とする請求項4または5に記載のトラフィック分析方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【公開番号】特開2011−259014(P2011−259014A)
【公開日】平成23年12月22日(2011.12.22)
【国際特許分類】
【出願番号】特願2010−129070(P2010−129070)
【出願日】平成22年6月4日(2010.6.4)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成23年12月22日(2011.12.22)
【国際特許分類】
【出願日】平成22年6月4日(2010.6.4)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]