トラフィック分析装置、トラフィック分析方法およびトラフィック分析プログラム
【課題】正常なトラフィックを異常トラフィックとして誤って分析対象から除外することを抑止すること。
【解決手段】トラフィック分析装置10は、トラフィックデータ112に基づいてトラフィックを分析するトラフィック分析部123と、トラフィックデータ112に含まれるトラフィックを送信元単位で集計した集計値が第1の閾値111以下である送信元の数が全送信元数に占める比率と、上記の集計値が第1の閾値111以下である送信元のトラフィックの合計が全トラフィックに占める比率との差を算出する比率差算出部121と、比率差算出部121によって算出された差が第2の閾値113よりも大きい場合に、上記の集計値が第1の閾値111よりも多い送信元のトラフィックをトラフィック分析部123による分析の対象外とする異常トラフィック除外部122とを備える。
【解決手段】トラフィック分析装置10は、トラフィックデータ112に基づいてトラフィックを分析するトラフィック分析部123と、トラフィックデータ112に含まれるトラフィックを送信元単位で集計した集計値が第1の閾値111以下である送信元の数が全送信元数に占める比率と、上記の集計値が第1の閾値111以下である送信元のトラフィックの合計が全トラフィックに占める比率との差を算出する比率差算出部121と、比率差算出部121によって算出された差が第2の閾値113よりも大きい場合に、上記の集計値が第1の閾値111よりも多い送信元のトラフィックをトラフィック分析部123による分析の対象外とする異常トラフィック除外部122とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、トラフィック分析装置、トラフィック分析方法およびトラフィック分析プログラムに関する。
【背景技術】
【0002】
従来より、ネットワークのトラフィックを分析して、通信品質の改善等に利用するための分析データを生成する技術が知られている。トラフィックを分析することにより、例えば、時間帯毎の利用者数の推移、メッセージの種別の割合、エラー率のような様々な情報を分析データとして得ることができる。
【0003】
また、ネットワークのトラフィックを分析するに当たって、分析の精度向上を目的として、異常トラフィックを分析対象から除外する技術も知られている。例えば、特許文献1では、マルウェア等の影響を除外するため、トラフィック量に基づいて度数分布表を作成し、トラフィック量の多い順に上位から一定割合のデータを削除する技術が開示されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2005−323183号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
ところで、トラフィックの量や内容は、曜日や時間帯によって変化するのに加えて、何らかのイベントやキャンペーンのような突発的な事由によって大きく変化することもある。このため、上述した従来技術のように、異常トラフィックを一定の基準に基づいて常に除外することとすると、正常なトラフィックまでが分析対象から除外され、分析の精度が低下してしまうことがあった。
【0006】
本発明は、上記に鑑みてなされたものであって、正常なトラフィックを異常トラフィックとして誤って分析対象から除外することを抑止できるトラフィック分析装置、トラフィック分析方法およびトラフィック分析プログラムを提供することを目的とする。
【課題を解決するための手段】
【0007】
上述した課題を解決し、目的を達成するために、本発明に係るトラフィック分析装置は、トラフィックデータに基づいてトラフィックを分析する分析部と、前記トラフィックデータに含まれるトラフィックを送信元単位で集計した集計値が第1の閾値以下である送信元の数が全送信元数に占める比率と、前記集計値が第1の閾値以下である送信元のトラフィックの合計が全トラフィックに占める比率との差を算出する比率差算出部と、前記比率差算出部によって算出された差が第2の閾値よりも大きい場合に、前記集計値が第1の閾値よりも多い送信元のトラフィックを前記分析部による分析の対象外とする除外部とを備えることを特徴とする。
【0008】
また、本発明に係るトラフィック分析方法は、トラフィックデータに基づいてトラフィックを分析する分析工程と、前記トラフィックデータに含まれるトラフィックを送信元単位で集計した集計値が第1の閾値以下である送信元の数が全送信元数に占める比率と、前記集計値が第1の閾値以下である送信元のトラフィックの合計が全トラフィックに占める比率との差を算出する比率差算出工程と、前記比率差算出工程によって算出された差が第2の閾値よりも大きい場合に、前記集計値が第1の閾値よりも多い送信元のトラフィックを前記分析工程における分析の対象外とする除外工程とを含むことを特徴とする。
【0009】
また、本発明に係るトラフィック分析プログラムは、コンピュータを上記のトラフィック分析装置として機能させることを特徴とする。
【発明の効果】
【0010】
本発明に係るトラフィック分析装置、トラフィック分析方法およびトラフィック分析プログラムは、正常なトラフィックを異常トラフィックとして誤って分析対象から除外することを抑止できるという効果を奏する。
【図面の簡単な説明】
【0011】
【図1】図1は、実施例1に係るトラフィック分析装置の構成を示す図である。
【図2】図2は、異常トラフィックの除外について説明するための図である。
【図3】図3は、実施例1に係るトラフィック分析装置の処理手順を示す図である。
【図4】図4は、実施例2に係るトラフィック分析装置の構成を示す図である。
【図5】図5は、集計データの一例を示す図である。
【図6】図6は、異常閾値の決定について説明するための図である。
【図7】図7は、異常トラフィックの除外について説明するための図である。
【図8】図8は、実施例2に係るトラフィック分析装置の処理手順を示す図である。
【図9】図9は、トラフィック分析処理の処理手順を示す図である。
【図10】図10は、実施例2に係るトラフィック分析方法を示す図である。
【図11】図11は、トラフィック分析プログラムを実行するコンピュータを示す機能ブロック図である。
【図12】図12は、トラフィックデータの取得の仕方の一例を示す図である。
【発明を実施するための形態】
【0012】
以下に、本発明に係るトラフィック分析装置、トラフィック分析方法およびトラフィック分析プログラムの実施例を図面に基づいて詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。
【実施例1】
【0013】
図1〜3を参照しながら、本実施例に係るトラフィック分析装置およびトラフィック分析方法について説明する。図1は、本実施例に係るトラフィック分析装置10の構成を示すブロック図である。図1に示すように、トラフィック分析装置10は、記憶部11と、制御部12とを有する。記憶部11は、例えば、ハードディスク装置や半導体記憶装置であり、異常閾値(第1の閾値)111、トラフィックデータ112、比率差閾値(第2の閾値)113等を記憶する。
【0014】
トラフィックデータ112は、ネットワーク上を流れるメッセージ(パケットやフレームともいう)に関する情報が記録されたデータである。トラフィックデータ112には、例えば、ネットワーク上を流れるメッセージ毎に、送信元アドレス、送信先アドレス、メッセージの種別、メッセージ長、送信時刻を示すタイムスタンプ等の情報が記録される。なお、トラフィックデータ112は、トラフィック分析装置10がネットワークを経由してアクセス可能な他の装置に記憶されていてもよい。
【0015】
トラフィックデータ112の取得の仕方の一例を図12に示す。図12に示すネットワーク環境では、SIP(Session Initiation Protocol)クライアント2a〜2nとSIPサーバ3とがインターネット1を介して接続されている。SIPクライアント2a〜2nは、IP電話の発呼者または着呼者となる端末である。SIPサーバ3は、IP電話の発呼者と着呼者との間にセッションを確立させるとともに、発呼者と着呼者との間でやりとりされる通話用のメッセージを中継する。
【0016】
タップ4は、SIPクライアント2a〜2nとSIPサーバ3とを接続する経路上に設けられており、通過するメッセージに含まれる項目のうち分析に必要な項目または通過するメッセージそのものをトラフィックデータ112として記録する。トラフィックデータ112には、セッションの確立/切断や通話のためのメッセージに関する情報がメッセージ毎に記録される。トラフィックデータ112は、ネットワークや記録媒体等を介してトラフィック分析装置10に転送される。
【0017】
図1の説明に戻って、異常閾値111と比率差閾値113は、異常トラフィックの除外を制御するためのパラメータであり、トラフィック分析装置10の利用者によって設定される。異常閾値111は、送信元単位で集計したトラフィックが正常トラフィックであるか異常トラフィックであるかを判別するために用いられる。比率差閾値113は、異常閾値111に基づいて異常トラフィックを除外することが適切であるか否かを判定するために用いられる。
【0018】
ここで、異常トラフィックとは、悪意者やマルウェアによる攻撃、機器の障害やプログラムのバグ、利用者の操作ミス等によって生じる多大なトラッフィックであり、トラフィックの分析の精度を低下させるものをいう。また、送信元とは、送信元アドレス等によって識別される個別の装置であってもよいし、送信元アドレスの所定部分等によって識別されるサブネットワークであってもよい。
【0019】
なお、異常閾値111と比率差閾値113は、必ずしも記憶部11に記憶させておく必要はなく、必要となる度に図示しないユーザインターフェースを用いて利用者が入力することとしてもよいし、何らかのパラメータを用いて動的に算出することとしてもよい。
【0020】
制御部12は、トラフィック分析装置10を全体制御する制御部であり、比率差算出部121と、異常トラフィック除外部122と、トラフィック分析部123とを有する。比率差算出部121は、トラフィックデータ112に記録されているメッセージ数やメッセージのデータ量等のトラフィックを送信元単位で集計し、集計されたトラフィックが異常閾値111以下の送信元数が全送信元数に占める比率と、集計されたトラフィックが異常閾値111以下の送信元のトラフィックの合計が全トラフィックに占める比率との差を算出する。
【0021】
異常トラフィック除外部122は、比率差算出部121によって算出された比率の差と比率差閾値113を比較し、比率差算出部121によって算出された比率の差の方が大きい場合に、トラフィックデータ112に含まれる異常トラフィックを分析対象外とする。比率差算出部121によって算出された比率の差の方が大きい場合に分析対象外とされるトラフィックは、集計されたトラフィックが異常閾値111よりも多い送信元のトラフィックである。
【0022】
トラフィック分析部123は、トラフィックデータ112に記録されているトラフィックのうち、異常トラフィック除外部122によって分析対象外とされたトラフィック以外のトラフィックに基づいて所定の分析を行う。トラフィック分析部123の分析の結果として、例えば、時間帯毎の利用者数の推移、メッセージの種別の割合、エラー率のような様々な情報や、他の分析装置が用いるトラフィックモデルデータが生成される。
【0023】
トラフィック分析装置10における異常トラフィックの除外について図2を参照しながらさらに詳しく説明する。図2に示すグラフは、トラフィックデータ112に記録されているトラフィックを送信元単位で集計した結果に基づいて、1送信元当たりのトラフィックと送信元数の累積比率の関係と、1送信元当たりのトラフィックとトラフィックの累積比率の関係とを表したものである。
【0024】
図2に示すグラフにおいて、ρは、適切に設定された異常閾値111である。また、R1は、集計されたトラフィックがρ以下の送信元数が全送信元数に占める比率を表しており、R2は、集計されたトラフィックがρ以下の送信元のトラフィックの合計が全トラフィックに占める比率を表している。一般に、ネットワーク環境では、全トラフィックのかなり多くの部分が比較的少数の送信元のトラフィックによって占められる傾向があるため、R1はR2よりも大きな値となる。
【0025】
そして、異常トラフィックは少数の送信元による多大なトラフィックであるため、トラフィックデータ112に異常トラフィックが含まれる場合は、全トラフィックのより多くの部分がより少数の送信元のトラフィックによって占められる傾向が強くなり、R1とR2の差が平常時よりも大きくなる。一方、特定の曜日や時間帯または特定のイベントがあった際に多くの送信者のトラフィックがρを超えた場合は、全トラフィックのより多くの部分がより少数の送信元のトラフィックによって占められる傾向はあまり強くならないため、R1とR2の差はそれほど変化しない。
【0026】
したがって、R1とR2の差を、適切に設定された比率差閾値113と比較することにより、トラフィックデータ112に異常トラフィックが含まれるか否かを判定できる。すなわち、R1とR2の差が比率差閾値113よりも小さければ、送信元単位で集計したトラフィックが異常閾値111を超える送信元があっても、それらの送信元のトラフィックは正常であると判定できる。一方、R1とR2の差が比率差閾値113よりも大きければ、送信元単位で集計したトラフィックが異常閾値111を超える送信元のトラフィックは異常トラフィックであると判定できる。
【0027】
次に、図1に示したトラフィック分析装置10による分析処理の処理手順について図3を参照しながら説明する。比率差算出部121は、トラフィックデータ112に基づいて、トラフィックが異常閾値111以下の送信元数が全送信元数に占める比率を取得するとともに(ステップS101)、トラフィックが異常閾値111以下の送信元のトラフィックの合計が全トラフィックに占める比率を取得し(ステップS102)、それらの比率の差を算出する(ステップS103)。
【0028】
比率の差が比率差閾値113よりも大きければ(ステップS104肯定)、異常トラフィック除外部122は、トラフィックが異常閾値111よりも多い送信元のトラフィックを異常トラフィックとして分析対象から除外し(ステップS105)、トラフィック分析部123は、異常トラフィックが分析対象から除外されたトラフィックデータ112に基づいて分析を行う(ステップS106)。一方、比率の差が比率差閾値113よりも大きくなければ(ステップS104否定)、トラフィック分析部123は、異常トラフィックの除外が行われていないトラフィックデータ112に基づいて分析を行う(ステップS106)。
【0029】
このように、本実施例に係るトラフィック分析装置およびトラフィック分析方法では、トラフィックが異常閾値111以下の送信元数が全送信元数に占める比率と、トラフィックが異常閾値111以下の送信元のトラフィックの合計が全トラフィックに占める比率との差とに基づいて異常トラフィックの除外の要否を判定することとしたので、正常なトラフィックを異常トラフィックと誤って分析対象から除外することを抑止できる。
【実施例2】
【0030】
本発明の他の実施例について説明する。なお、本実施例では、メッセージ数に基づいてトラフィックの大きさを評価することとし、また、IP電話において発呼者側から発生するSIPメッセージであるINVITE、REGISTER、ACK、BYE、CANCEL、OPTIONSという6つの種別のメッセージのみを分析対象とすることとする。このため、本実施例では、実施例1において「トラフィック」と記載されている事項を「メッセージ数」と記載することがあり、実施例1において「送信元」と記載されている事項を「発呼者」と記載することがある。
【0031】
図4は、本実施例に係るトラフィック分析装置20の構成を示すブロック図である。図4に示すように、トラフィック分析装置20は、記憶部21と、制御部22とを有する。記憶部21は、例えば、ハードディスク装置や半導体記憶装置であり、ウィンドウサイズ211、異常閾値決定パラメータ212、トラフィックデータ213、比率差閾値214、重み215、分析結果データ216等を記憶する。
【0032】
トラフィックデータ213は、ネットワーク上を流れるIP電話関連のメッセージに関する情報が記録されたデータである。トラフィックデータ213には、例えば、メッセージ毎に、発呼者を識別するためのID、着呼者を識別するためのID、セッションを識別するためのID、メッセージの種別、メッセージ長、送信時刻を示すタイムスタンプ等の情報が記録される。なお、トラフィックデータ213は、トラフィック分析装置20がネットワークを経由してアクセス可能な他の装置に記憶されていてもよい。
【0033】
分析結果データ216は、分析結果として生成されるデータである。ウィンドウサイズ211、異常閾値決定パラメータ212、トラフィックデータ213、比率差閾値214および重み215は、トラフィック分析装置20の動作を制御するためのパラメータであり、トラフィック分析装置20の利用者によって設定される。トラフィック分析装置20の利用者は、これらのパラメータを変更することで、処理時間および確率的正確度を調整することができる。
【0034】
ウィンドウサイズ211は、トラフィックデータ213を分類する時間帯の単位を示す。異常閾値決定パラメータ212は、図1に示した異常閾値111に相当する閾値を決定するために用いられる。比率差閾値214は、図1に示した比率差閾値113に相当する。重み215は、分類によって得られた各サブデータによる分析結果を調整するために用いられる。
【0035】
制御部22は、トラフィック分析装置20を全体制御する制御部であり、分類部221と、集計部222と、異常閾値決定部223と、比率差算出部224と、異常トラフィック除外部225と、トラフィック分析部226と、分析結果調整部227とを有する。
【0036】
分類部221は、トラフィックデータ213に含まれる各メッセージに関する情報を、メッセージの種別とタイムスタンプに基づいて、複数のサブデータのいずれかへ分類する。例えば、情報を30分の時間帯毎に分類すべき旨がウィンドウサイズ211に設定されており、トラフィックデータ213が6時間分の情報を含んでいる場合、分類部221は、トラフィックデータ213に含まれる各メッセージに関する情報のうち上記の種別に該当するものを、各メッセージの種別とタイムスタンプに基づいて、72個(12個の時間帯×6個の種別)のサブデータのいずれかに分類する。
【0037】
トラフィックデータ213は、膨大な量の情報を含むことがあるため、全体を一括して処理しようとすると、集計や分析に要する処理時間が非常に長くなったり、処理負荷が非常に高くなったりするおそれがある。このようにトラフィックデータ213に含まれる各メッセージに関する情報を分類し、分類後のサブデータ単位で集計や分析を行うことにより、全体の処理時間の短縮や、処理負荷の軽減が可能になる。
【0038】
なお、ウィンドウサイズ211に設定される時間帯の単位は、短期間に大量の異常トラフィックが発生する場合には短いことが好ましく、持続的に異常トラフィックが発生する場合には長いことが好ましい。
【0039】
集計部222は、分類部221による分類後のサブデータ単位で集計処理を実行し、図5に示すような集計データをサブデータ毎に作成する。図5に示す集計データは、セット(1)〜セット(n)というn個のセットを含んでおり、各セットは、メッセージ数、発呼者数、メッセージ数の累積比率、発呼者数の累積比率という項目を有する。セット(1)〜セット(n)は、メッセージ数の値に基づいて昇順にソートされている。
【0040】
メッセージ数は、発呼者単位でメッセージの数を集計した値である。発呼者数は、発呼者単位で集計したメッセージの数がメッセージ数の項目の値と同一の発呼者の数である。メッセージ数の累積比率は、発呼者単位で集計したメッセージの数がメッセージ数の項目の値以下である発呼者数のメッセージの数の合計が全メッセージ数に占める比率である。発呼者数の累積比率は、発呼者単位で集計したメッセージの数がメッセージ数の項目の値以下である発呼者数が全発呼者数に占める比率である。
【0041】
例えば、図5に示す集計データのセット(2)では、メッセージ数として「Nm2」が設定され、発呼者数として「Nc2」が設定され、メッセージ数の累積比率として「Rm2」が設定され、発呼者数の累積比率として「Rc2」が設定されている。これは、発呼者単位で集計したメッセージの数が「Nm2」である発呼者の数が「Nc2」であり、発呼者単位で集計したメッセージの数が「Nm2」以下である発呼者数のメッセージの数の合計が全メッセージ数に占める比率が「Rm2」であり、発呼者単位で集計したメッセージの数が「Nm2」以下である発呼者数が全発呼者数に占める比率が「Rc2」であることを示している。
【0042】
なお、セット毎に値のばらつきが生じたり、セットの数が増大して必要な記憶容量や処理負荷が増大したりすることを回避するため、発呼者単位で集計したメッセージの数については、100未満を切り下げまたは四捨五入する等して値を丸めて扱うこととしてもよい。
【0043】
異常閾値決定部223は、異常閾値決定パラメータ212と、集計部222によって作成された集計データとに基づいて、送信元単位で集計した各メッセージ数に対応するトラフィックが正常トラフィックであるか異常トラフィックであるかを判別するための異常閾値を決定する。
【0044】
異常閾値決定部223による異常閾値の決定について、図6を参照しながら、さらに詳細に説明する。異常閾値決定部223は、下記の式(1)を用いて、異常閾値ρを決定する。
【0045】
【数1】
【0046】
ここで、μは、1発呼者当たりのメッセージ数の平均であり、δは、1発呼者当たりのメッセージ数の標準偏差である。μとδは、それぞれ、下記の式(2)と式(3)を用いて算出される。
【0047】
【数2】
【0048】
【数3】
【0049】
ωは、異常閾値決定パラメータ212の値であり、例えば、1、2、3のいずれかの値をとる。
【0050】
比率差算出部224は、メッセージ数が異常閾値ρ以下の発呼者数が全発呼者数に占める比率と、メッセージ数が異常閾値ρ以下の発呼者のメッセージ数の合計が全メッセージ数に占める比率との差を算出する。
【0051】
比率差算出部224による比率の差の算出について、図7を参照しながら、さらに詳細に説明する。メッセージ数の項目の値が異常閾値ρと同一または最も近似するセットがセット(t)である場合、比率差算出部224は、集計部222により作成された集計データからセット(t)の発呼者数の累計比率の値であるRctと、メッセージ数の累計比率の値であるRmtとを取得し、これらの差を算出する。
【0052】
なお、集計部222が作成する集計データに発呼者数の累計比率とメッセージ数の累計比率を含めないこととし、比率差算出部224が以下の式(4)を用いて比率の差を算出することとしてもよい。
【0053】
【数4】
【0054】
異常トラフィック除外部225は、比率差算出部224によって算出された比率の差と比率差閾値214を比較し、比率差算出部224によって算出された比率の差の方が大きい場合に、処理対象となっている集計データに対応するサブデータに含まれる異常トラフィックを分析対象外とする。比率差算出部224によって算出された比率の差の方が大きい場合に分析対象外とされるトラフィックは、発呼者単位で集計されたメッセージ数が異常閾値ρよりも多い発呼者のトラフィックである。
【0055】
トラフィック分析部226は、処理対象となっている集計データに対応するサブデータに含まれるトラフィックのうち、異常トラフィック除外部225によって分析対象外とされたトラフィック以外のトラフィックに基づいて所定の分析を行う。
【0056】
分析結果調整部227は、トラフィック分析部226による分析結果を以前の時間帯における同一種別のサブデータについてのトラフィック分析部226の分析結果と所定の割で混合することにより、分析結果を調整する。分析結果調整部227による調整は、例えば、下記の式(5)を用いて行われる。
【0057】
【数5】
【0058】
ここで、wは、重み215の値であり、0〜1の範囲で設定される。Vpreviousは、トラフィック分析部226による今回の分析結果であり、Vcurrentは、トラフィック分析部226による以前の時間帯における同一種別のサブデータについての分析結果であり、Vは、調整後の分析結果である。このように分析結果を混合することにより、時間帯毎の分析結果のばらつきを抑制することができる。
【0059】
次に、図4に示したトラフィック分析装置20による分析処理の処理手順について図8および図9を参照しながら説明する。分類部221は、トラフィックデータ213に含まれる各メッセージに関する情報をウィンドウサイズ211に基づいて時間帯毎に分類するとともに(ステップS201)、種別毎に分類して時間帯毎かつ種別毎のサブデータを作成する(ステップS202)。
【0060】
集計部222は、未選択の種別を選択するとともに(ステップS203)、最初の時間帯を選択する(ステップS204)。そして、集計部222は、選択した種別と時間帯に対応するサブデータを選択して(ステップS205)、集計データを作成する(ステップS206)。
【0061】
続いて、異常閾値決定部223は、集計部222によって生成された集計データから算出した平均および標準偏差と、異常閾値決定パラメータ212とに基づいて、異常閾値を決定する(ステップS207)。そして、集計部222によって生成された集計データと、異常閾値決定部223によって決定された異常閾値と、比率差閾値214とに基づいて、後述するトラフィック分析処理が実行され、選択されている時間帯と種別に対応する分析結果が得られる(ステップS208)。
【0062】
そして、分析結果調整部227は、今回得られた分析結果を、重み215に基づく比率で、同一種別で以前の時間帯に対応する分析結果と混合して調整する(ステップS209)。ここで、選択されている時間帯が最後の時間帯でなければ(ステップS210否定)、次の時間帯が選択され(ステップS211)、ステップS205から処理手順が再開される。一方、選択されている時間帯が最後の時間帯である場合は(ステップS210肯定)、全ての種別を選択済みでなければ(ステップS212否定)、ステップS203から処理手順が再開され、全ての種別を選択済みであれば(ステップS212肯定)、分析処理が完了となる。
【0063】
図9に示すように、図8に示したトラフィック分析処理では、比率差算出部224は、集計データに基づいて、メッセージ数が異常閾値以下の発呼者数が全発呼者数に占める比率を取得するとともに(ステップS301)、メッセージ数が異常閾値以下の発呼者のメッセージ数の合計が全メッセージ数に占める比率を取得し(ステップS302)、それらの比率の差を算出する(ステップS303)。
【0064】
比率の差が比率差閾値214よりも大きければ(ステップS304肯定)、異常トラフィック除外部225は、メッセージ数が異常閾値よりも多い発呼者のトラフィックを異常トラフィックとして分析対象から除外し(ステップS305)、トラフィック分析部226は、異常トラフィックが分析対象から除外されたサブデータに基づいて分析を行う(ステップS306)。一方、比率の差が比率差閾値214よりも大きくなければ(ステップS304否定)、トラフィック分析部226は、異常トラフィックの除外が行われていないサブデータに基づいて分析を行う(ステップS306)。
【0065】
図10に示すように、本実施例に係るトラフィック分析装置およびトラフィック分析方法では、異常トラフィックであるか否かを判定するための閾値ρが動的に算出される。そして、この閾値ρに基づいて異常トラフィックを除外することが適切であると判定された場合は、メッセージ数が閾値ρよりも多い発呼者のトラフィックが異常トラフィックとして除外される。そして、異常トラフィックを除外した残りの正常トラフィックを用いて分析が行われ、分析結果は重みwを用いて調整される。
【実施例3】
【0066】
上述したトラフィック分析装置10または20の制御部12または22の機能をソフトウェアとして実装し、これをコンピュータで実行することにより、トラフィック分析装置10または20と同等の機能を実現することもできる。以下に、制御部12の機能をソフトウェアとして実装したトラフィック分析プログラム1071を実行するコンピュータの一例を示す。
【0067】
図11は、トラフィック分析プログラム1071を実行するコンピュータ1000を示す機能ブロック図である。このコンピュータ1000は、各種演算処理を実行するCPU(Central Processing Unit)1010と、ユーザからのデータの入力を受け付ける入力装置1020と、各種情報を表示するモニタ1030と、記録媒体からプログラム等を読み取る媒体読取り装置1040と、ネットワークを介して他のコンピュータとの間でデータの授受を行うネットワークインターフェース装置1050と、各種情報を一時記憶するRAM(Random Access Memory)1060と、ハードディスク装置1070とをバス1080で接続して構成される。
【0068】
そして、ハードディスク装置1070には、図1に示した制御部12と同様の機能を有するトラフィック分析プログラム1071と、図1に示した記憶部11に記憶される各種データに対応するトラフィック分析用データ1072とが記憶される。なお、トラフィック分析用データ1072を、適宜分散させ、ネットワークを介して接続された他のコンピュータに記憶させておくこともできる。
【0069】
そして、CPU1010がトラフィック分析プログラム1071をハードディスク装置1070から読み出してRAM1060に展開することにより、トラフィック分析プログラム1071は、トラフィック分析プロセス1061として機能するようになる。そして、トラフィック分析プロセス1061は、トラフィック分析用データ1072から読み出した情報等を適宜RAM1060上の自身に割り当てられた領域に展開し、この展開したデータ等に基づいて各種データ処理を実行する。
【0070】
なお、上記のトラフィック分析プログラム1071は、必ずしもハードディスク装置1070に格納されている必要はなく、CD−ROM等の記憶媒体に記憶されたこのプログラムを、コンピュータ1000が読み出して実行するようにしてもよい。また、公衆回線、インターネット、LAN(Local Area Network)、WAN(Wide Area Network)等を介してコンピュータ1000に接続される他のコンピュータ(またはサーバ)等にこのプログラムを記憶させておき、コンピュータ1000がこれらからプログラムを読み出して実行するようにしてもよい。
【符号の説明】
【0071】
1 インターネット
2a〜2n SIPクライアント
3 SIPサーバ
4 タップ
10、20 トラフィック分析装置
11、21 記憶部
111 異常閾値
112、213 トラフィックデータ
113、214 比率差閾値
12、22 制御部
121、224 比率差算出部
122、225 異常トラフィック除外部
123、226 トラフィック分析部
211 ウィンドウサイズ
212 異常閾値決定パラメータ
215 重み
216 分析結果データ
221 分類部
222 集計部
223 異常閾値決定部
227 分析結果調整部
1000 コンピュータ
1010 CPU
1020 入力装置
1030 モニタ
1040 媒体読取り装置
1050 ネットワークインターフェース装置
1060 RAM
1061 トラフィック分析プロセス
1070 ハードディスク装置
1071 トラフィック分析プログラム
1072 トラフィック分析用データ
1080 バス
【技術分野】
【0001】
本発明は、トラフィック分析装置、トラフィック分析方法およびトラフィック分析プログラムに関する。
【背景技術】
【0002】
従来より、ネットワークのトラフィックを分析して、通信品質の改善等に利用するための分析データを生成する技術が知られている。トラフィックを分析することにより、例えば、時間帯毎の利用者数の推移、メッセージの種別の割合、エラー率のような様々な情報を分析データとして得ることができる。
【0003】
また、ネットワークのトラフィックを分析するに当たって、分析の精度向上を目的として、異常トラフィックを分析対象から除外する技術も知られている。例えば、特許文献1では、マルウェア等の影響を除外するため、トラフィック量に基づいて度数分布表を作成し、トラフィック量の多い順に上位から一定割合のデータを削除する技術が開示されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2005−323183号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
ところで、トラフィックの量や内容は、曜日や時間帯によって変化するのに加えて、何らかのイベントやキャンペーンのような突発的な事由によって大きく変化することもある。このため、上述した従来技術のように、異常トラフィックを一定の基準に基づいて常に除外することとすると、正常なトラフィックまでが分析対象から除外され、分析の精度が低下してしまうことがあった。
【0006】
本発明は、上記に鑑みてなされたものであって、正常なトラフィックを異常トラフィックとして誤って分析対象から除外することを抑止できるトラフィック分析装置、トラフィック分析方法およびトラフィック分析プログラムを提供することを目的とする。
【課題を解決するための手段】
【0007】
上述した課題を解決し、目的を達成するために、本発明に係るトラフィック分析装置は、トラフィックデータに基づいてトラフィックを分析する分析部と、前記トラフィックデータに含まれるトラフィックを送信元単位で集計した集計値が第1の閾値以下である送信元の数が全送信元数に占める比率と、前記集計値が第1の閾値以下である送信元のトラフィックの合計が全トラフィックに占める比率との差を算出する比率差算出部と、前記比率差算出部によって算出された差が第2の閾値よりも大きい場合に、前記集計値が第1の閾値よりも多い送信元のトラフィックを前記分析部による分析の対象外とする除外部とを備えることを特徴とする。
【0008】
また、本発明に係るトラフィック分析方法は、トラフィックデータに基づいてトラフィックを分析する分析工程と、前記トラフィックデータに含まれるトラフィックを送信元単位で集計した集計値が第1の閾値以下である送信元の数が全送信元数に占める比率と、前記集計値が第1の閾値以下である送信元のトラフィックの合計が全トラフィックに占める比率との差を算出する比率差算出工程と、前記比率差算出工程によって算出された差が第2の閾値よりも大きい場合に、前記集計値が第1の閾値よりも多い送信元のトラフィックを前記分析工程における分析の対象外とする除外工程とを含むことを特徴とする。
【0009】
また、本発明に係るトラフィック分析プログラムは、コンピュータを上記のトラフィック分析装置として機能させることを特徴とする。
【発明の効果】
【0010】
本発明に係るトラフィック分析装置、トラフィック分析方法およびトラフィック分析プログラムは、正常なトラフィックを異常トラフィックとして誤って分析対象から除外することを抑止できるという効果を奏する。
【図面の簡単な説明】
【0011】
【図1】図1は、実施例1に係るトラフィック分析装置の構成を示す図である。
【図2】図2は、異常トラフィックの除外について説明するための図である。
【図3】図3は、実施例1に係るトラフィック分析装置の処理手順を示す図である。
【図4】図4は、実施例2に係るトラフィック分析装置の構成を示す図である。
【図5】図5は、集計データの一例を示す図である。
【図6】図6は、異常閾値の決定について説明するための図である。
【図7】図7は、異常トラフィックの除外について説明するための図である。
【図8】図8は、実施例2に係るトラフィック分析装置の処理手順を示す図である。
【図9】図9は、トラフィック分析処理の処理手順を示す図である。
【図10】図10は、実施例2に係るトラフィック分析方法を示す図である。
【図11】図11は、トラフィック分析プログラムを実行するコンピュータを示す機能ブロック図である。
【図12】図12は、トラフィックデータの取得の仕方の一例を示す図である。
【発明を実施するための形態】
【0012】
以下に、本発明に係るトラフィック分析装置、トラフィック分析方法およびトラフィック分析プログラムの実施例を図面に基づいて詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。
【実施例1】
【0013】
図1〜3を参照しながら、本実施例に係るトラフィック分析装置およびトラフィック分析方法について説明する。図1は、本実施例に係るトラフィック分析装置10の構成を示すブロック図である。図1に示すように、トラフィック分析装置10は、記憶部11と、制御部12とを有する。記憶部11は、例えば、ハードディスク装置や半導体記憶装置であり、異常閾値(第1の閾値)111、トラフィックデータ112、比率差閾値(第2の閾値)113等を記憶する。
【0014】
トラフィックデータ112は、ネットワーク上を流れるメッセージ(パケットやフレームともいう)に関する情報が記録されたデータである。トラフィックデータ112には、例えば、ネットワーク上を流れるメッセージ毎に、送信元アドレス、送信先アドレス、メッセージの種別、メッセージ長、送信時刻を示すタイムスタンプ等の情報が記録される。なお、トラフィックデータ112は、トラフィック分析装置10がネットワークを経由してアクセス可能な他の装置に記憶されていてもよい。
【0015】
トラフィックデータ112の取得の仕方の一例を図12に示す。図12に示すネットワーク環境では、SIP(Session Initiation Protocol)クライアント2a〜2nとSIPサーバ3とがインターネット1を介して接続されている。SIPクライアント2a〜2nは、IP電話の発呼者または着呼者となる端末である。SIPサーバ3は、IP電話の発呼者と着呼者との間にセッションを確立させるとともに、発呼者と着呼者との間でやりとりされる通話用のメッセージを中継する。
【0016】
タップ4は、SIPクライアント2a〜2nとSIPサーバ3とを接続する経路上に設けられており、通過するメッセージに含まれる項目のうち分析に必要な項目または通過するメッセージそのものをトラフィックデータ112として記録する。トラフィックデータ112には、セッションの確立/切断や通話のためのメッセージに関する情報がメッセージ毎に記録される。トラフィックデータ112は、ネットワークや記録媒体等を介してトラフィック分析装置10に転送される。
【0017】
図1の説明に戻って、異常閾値111と比率差閾値113は、異常トラフィックの除外を制御するためのパラメータであり、トラフィック分析装置10の利用者によって設定される。異常閾値111は、送信元単位で集計したトラフィックが正常トラフィックであるか異常トラフィックであるかを判別するために用いられる。比率差閾値113は、異常閾値111に基づいて異常トラフィックを除外することが適切であるか否かを判定するために用いられる。
【0018】
ここで、異常トラフィックとは、悪意者やマルウェアによる攻撃、機器の障害やプログラムのバグ、利用者の操作ミス等によって生じる多大なトラッフィックであり、トラフィックの分析の精度を低下させるものをいう。また、送信元とは、送信元アドレス等によって識別される個別の装置であってもよいし、送信元アドレスの所定部分等によって識別されるサブネットワークであってもよい。
【0019】
なお、異常閾値111と比率差閾値113は、必ずしも記憶部11に記憶させておく必要はなく、必要となる度に図示しないユーザインターフェースを用いて利用者が入力することとしてもよいし、何らかのパラメータを用いて動的に算出することとしてもよい。
【0020】
制御部12は、トラフィック分析装置10を全体制御する制御部であり、比率差算出部121と、異常トラフィック除外部122と、トラフィック分析部123とを有する。比率差算出部121は、トラフィックデータ112に記録されているメッセージ数やメッセージのデータ量等のトラフィックを送信元単位で集計し、集計されたトラフィックが異常閾値111以下の送信元数が全送信元数に占める比率と、集計されたトラフィックが異常閾値111以下の送信元のトラフィックの合計が全トラフィックに占める比率との差を算出する。
【0021】
異常トラフィック除外部122は、比率差算出部121によって算出された比率の差と比率差閾値113を比較し、比率差算出部121によって算出された比率の差の方が大きい場合に、トラフィックデータ112に含まれる異常トラフィックを分析対象外とする。比率差算出部121によって算出された比率の差の方が大きい場合に分析対象外とされるトラフィックは、集計されたトラフィックが異常閾値111よりも多い送信元のトラフィックである。
【0022】
トラフィック分析部123は、トラフィックデータ112に記録されているトラフィックのうち、異常トラフィック除外部122によって分析対象外とされたトラフィック以外のトラフィックに基づいて所定の分析を行う。トラフィック分析部123の分析の結果として、例えば、時間帯毎の利用者数の推移、メッセージの種別の割合、エラー率のような様々な情報や、他の分析装置が用いるトラフィックモデルデータが生成される。
【0023】
トラフィック分析装置10における異常トラフィックの除外について図2を参照しながらさらに詳しく説明する。図2に示すグラフは、トラフィックデータ112に記録されているトラフィックを送信元単位で集計した結果に基づいて、1送信元当たりのトラフィックと送信元数の累積比率の関係と、1送信元当たりのトラフィックとトラフィックの累積比率の関係とを表したものである。
【0024】
図2に示すグラフにおいて、ρは、適切に設定された異常閾値111である。また、R1は、集計されたトラフィックがρ以下の送信元数が全送信元数に占める比率を表しており、R2は、集計されたトラフィックがρ以下の送信元のトラフィックの合計が全トラフィックに占める比率を表している。一般に、ネットワーク環境では、全トラフィックのかなり多くの部分が比較的少数の送信元のトラフィックによって占められる傾向があるため、R1はR2よりも大きな値となる。
【0025】
そして、異常トラフィックは少数の送信元による多大なトラフィックであるため、トラフィックデータ112に異常トラフィックが含まれる場合は、全トラフィックのより多くの部分がより少数の送信元のトラフィックによって占められる傾向が強くなり、R1とR2の差が平常時よりも大きくなる。一方、特定の曜日や時間帯または特定のイベントがあった際に多くの送信者のトラフィックがρを超えた場合は、全トラフィックのより多くの部分がより少数の送信元のトラフィックによって占められる傾向はあまり強くならないため、R1とR2の差はそれほど変化しない。
【0026】
したがって、R1とR2の差を、適切に設定された比率差閾値113と比較することにより、トラフィックデータ112に異常トラフィックが含まれるか否かを判定できる。すなわち、R1とR2の差が比率差閾値113よりも小さければ、送信元単位で集計したトラフィックが異常閾値111を超える送信元があっても、それらの送信元のトラフィックは正常であると判定できる。一方、R1とR2の差が比率差閾値113よりも大きければ、送信元単位で集計したトラフィックが異常閾値111を超える送信元のトラフィックは異常トラフィックであると判定できる。
【0027】
次に、図1に示したトラフィック分析装置10による分析処理の処理手順について図3を参照しながら説明する。比率差算出部121は、トラフィックデータ112に基づいて、トラフィックが異常閾値111以下の送信元数が全送信元数に占める比率を取得するとともに(ステップS101)、トラフィックが異常閾値111以下の送信元のトラフィックの合計が全トラフィックに占める比率を取得し(ステップS102)、それらの比率の差を算出する(ステップS103)。
【0028】
比率の差が比率差閾値113よりも大きければ(ステップS104肯定)、異常トラフィック除外部122は、トラフィックが異常閾値111よりも多い送信元のトラフィックを異常トラフィックとして分析対象から除外し(ステップS105)、トラフィック分析部123は、異常トラフィックが分析対象から除外されたトラフィックデータ112に基づいて分析を行う(ステップS106)。一方、比率の差が比率差閾値113よりも大きくなければ(ステップS104否定)、トラフィック分析部123は、異常トラフィックの除外が行われていないトラフィックデータ112に基づいて分析を行う(ステップS106)。
【0029】
このように、本実施例に係るトラフィック分析装置およびトラフィック分析方法では、トラフィックが異常閾値111以下の送信元数が全送信元数に占める比率と、トラフィックが異常閾値111以下の送信元のトラフィックの合計が全トラフィックに占める比率との差とに基づいて異常トラフィックの除外の要否を判定することとしたので、正常なトラフィックを異常トラフィックと誤って分析対象から除外することを抑止できる。
【実施例2】
【0030】
本発明の他の実施例について説明する。なお、本実施例では、メッセージ数に基づいてトラフィックの大きさを評価することとし、また、IP電話において発呼者側から発生するSIPメッセージであるINVITE、REGISTER、ACK、BYE、CANCEL、OPTIONSという6つの種別のメッセージのみを分析対象とすることとする。このため、本実施例では、実施例1において「トラフィック」と記載されている事項を「メッセージ数」と記載することがあり、実施例1において「送信元」と記載されている事項を「発呼者」と記載することがある。
【0031】
図4は、本実施例に係るトラフィック分析装置20の構成を示すブロック図である。図4に示すように、トラフィック分析装置20は、記憶部21と、制御部22とを有する。記憶部21は、例えば、ハードディスク装置や半導体記憶装置であり、ウィンドウサイズ211、異常閾値決定パラメータ212、トラフィックデータ213、比率差閾値214、重み215、分析結果データ216等を記憶する。
【0032】
トラフィックデータ213は、ネットワーク上を流れるIP電話関連のメッセージに関する情報が記録されたデータである。トラフィックデータ213には、例えば、メッセージ毎に、発呼者を識別するためのID、着呼者を識別するためのID、セッションを識別するためのID、メッセージの種別、メッセージ長、送信時刻を示すタイムスタンプ等の情報が記録される。なお、トラフィックデータ213は、トラフィック分析装置20がネットワークを経由してアクセス可能な他の装置に記憶されていてもよい。
【0033】
分析結果データ216は、分析結果として生成されるデータである。ウィンドウサイズ211、異常閾値決定パラメータ212、トラフィックデータ213、比率差閾値214および重み215は、トラフィック分析装置20の動作を制御するためのパラメータであり、トラフィック分析装置20の利用者によって設定される。トラフィック分析装置20の利用者は、これらのパラメータを変更することで、処理時間および確率的正確度を調整することができる。
【0034】
ウィンドウサイズ211は、トラフィックデータ213を分類する時間帯の単位を示す。異常閾値決定パラメータ212は、図1に示した異常閾値111に相当する閾値を決定するために用いられる。比率差閾値214は、図1に示した比率差閾値113に相当する。重み215は、分類によって得られた各サブデータによる分析結果を調整するために用いられる。
【0035】
制御部22は、トラフィック分析装置20を全体制御する制御部であり、分類部221と、集計部222と、異常閾値決定部223と、比率差算出部224と、異常トラフィック除外部225と、トラフィック分析部226と、分析結果調整部227とを有する。
【0036】
分類部221は、トラフィックデータ213に含まれる各メッセージに関する情報を、メッセージの種別とタイムスタンプに基づいて、複数のサブデータのいずれかへ分類する。例えば、情報を30分の時間帯毎に分類すべき旨がウィンドウサイズ211に設定されており、トラフィックデータ213が6時間分の情報を含んでいる場合、分類部221は、トラフィックデータ213に含まれる各メッセージに関する情報のうち上記の種別に該当するものを、各メッセージの種別とタイムスタンプに基づいて、72個(12個の時間帯×6個の種別)のサブデータのいずれかに分類する。
【0037】
トラフィックデータ213は、膨大な量の情報を含むことがあるため、全体を一括して処理しようとすると、集計や分析に要する処理時間が非常に長くなったり、処理負荷が非常に高くなったりするおそれがある。このようにトラフィックデータ213に含まれる各メッセージに関する情報を分類し、分類後のサブデータ単位で集計や分析を行うことにより、全体の処理時間の短縮や、処理負荷の軽減が可能になる。
【0038】
なお、ウィンドウサイズ211に設定される時間帯の単位は、短期間に大量の異常トラフィックが発生する場合には短いことが好ましく、持続的に異常トラフィックが発生する場合には長いことが好ましい。
【0039】
集計部222は、分類部221による分類後のサブデータ単位で集計処理を実行し、図5に示すような集計データをサブデータ毎に作成する。図5に示す集計データは、セット(1)〜セット(n)というn個のセットを含んでおり、各セットは、メッセージ数、発呼者数、メッセージ数の累積比率、発呼者数の累積比率という項目を有する。セット(1)〜セット(n)は、メッセージ数の値に基づいて昇順にソートされている。
【0040】
メッセージ数は、発呼者単位でメッセージの数を集計した値である。発呼者数は、発呼者単位で集計したメッセージの数がメッセージ数の項目の値と同一の発呼者の数である。メッセージ数の累積比率は、発呼者単位で集計したメッセージの数がメッセージ数の項目の値以下である発呼者数のメッセージの数の合計が全メッセージ数に占める比率である。発呼者数の累積比率は、発呼者単位で集計したメッセージの数がメッセージ数の項目の値以下である発呼者数が全発呼者数に占める比率である。
【0041】
例えば、図5に示す集計データのセット(2)では、メッセージ数として「Nm2」が設定され、発呼者数として「Nc2」が設定され、メッセージ数の累積比率として「Rm2」が設定され、発呼者数の累積比率として「Rc2」が設定されている。これは、発呼者単位で集計したメッセージの数が「Nm2」である発呼者の数が「Nc2」であり、発呼者単位で集計したメッセージの数が「Nm2」以下である発呼者数のメッセージの数の合計が全メッセージ数に占める比率が「Rm2」であり、発呼者単位で集計したメッセージの数が「Nm2」以下である発呼者数が全発呼者数に占める比率が「Rc2」であることを示している。
【0042】
なお、セット毎に値のばらつきが生じたり、セットの数が増大して必要な記憶容量や処理負荷が増大したりすることを回避するため、発呼者単位で集計したメッセージの数については、100未満を切り下げまたは四捨五入する等して値を丸めて扱うこととしてもよい。
【0043】
異常閾値決定部223は、異常閾値決定パラメータ212と、集計部222によって作成された集計データとに基づいて、送信元単位で集計した各メッセージ数に対応するトラフィックが正常トラフィックであるか異常トラフィックであるかを判別するための異常閾値を決定する。
【0044】
異常閾値決定部223による異常閾値の決定について、図6を参照しながら、さらに詳細に説明する。異常閾値決定部223は、下記の式(1)を用いて、異常閾値ρを決定する。
【0045】
【数1】
【0046】
ここで、μは、1発呼者当たりのメッセージ数の平均であり、δは、1発呼者当たりのメッセージ数の標準偏差である。μとδは、それぞれ、下記の式(2)と式(3)を用いて算出される。
【0047】
【数2】
【0048】
【数3】
【0049】
ωは、異常閾値決定パラメータ212の値であり、例えば、1、2、3のいずれかの値をとる。
【0050】
比率差算出部224は、メッセージ数が異常閾値ρ以下の発呼者数が全発呼者数に占める比率と、メッセージ数が異常閾値ρ以下の発呼者のメッセージ数の合計が全メッセージ数に占める比率との差を算出する。
【0051】
比率差算出部224による比率の差の算出について、図7を参照しながら、さらに詳細に説明する。メッセージ数の項目の値が異常閾値ρと同一または最も近似するセットがセット(t)である場合、比率差算出部224は、集計部222により作成された集計データからセット(t)の発呼者数の累計比率の値であるRctと、メッセージ数の累計比率の値であるRmtとを取得し、これらの差を算出する。
【0052】
なお、集計部222が作成する集計データに発呼者数の累計比率とメッセージ数の累計比率を含めないこととし、比率差算出部224が以下の式(4)を用いて比率の差を算出することとしてもよい。
【0053】
【数4】
【0054】
異常トラフィック除外部225は、比率差算出部224によって算出された比率の差と比率差閾値214を比較し、比率差算出部224によって算出された比率の差の方が大きい場合に、処理対象となっている集計データに対応するサブデータに含まれる異常トラフィックを分析対象外とする。比率差算出部224によって算出された比率の差の方が大きい場合に分析対象外とされるトラフィックは、発呼者単位で集計されたメッセージ数が異常閾値ρよりも多い発呼者のトラフィックである。
【0055】
トラフィック分析部226は、処理対象となっている集計データに対応するサブデータに含まれるトラフィックのうち、異常トラフィック除外部225によって分析対象外とされたトラフィック以外のトラフィックに基づいて所定の分析を行う。
【0056】
分析結果調整部227は、トラフィック分析部226による分析結果を以前の時間帯における同一種別のサブデータについてのトラフィック分析部226の分析結果と所定の割で混合することにより、分析結果を調整する。分析結果調整部227による調整は、例えば、下記の式(5)を用いて行われる。
【0057】
【数5】
【0058】
ここで、wは、重み215の値であり、0〜1の範囲で設定される。Vpreviousは、トラフィック分析部226による今回の分析結果であり、Vcurrentは、トラフィック分析部226による以前の時間帯における同一種別のサブデータについての分析結果であり、Vは、調整後の分析結果である。このように分析結果を混合することにより、時間帯毎の分析結果のばらつきを抑制することができる。
【0059】
次に、図4に示したトラフィック分析装置20による分析処理の処理手順について図8および図9を参照しながら説明する。分類部221は、トラフィックデータ213に含まれる各メッセージに関する情報をウィンドウサイズ211に基づいて時間帯毎に分類するとともに(ステップS201)、種別毎に分類して時間帯毎かつ種別毎のサブデータを作成する(ステップS202)。
【0060】
集計部222は、未選択の種別を選択するとともに(ステップS203)、最初の時間帯を選択する(ステップS204)。そして、集計部222は、選択した種別と時間帯に対応するサブデータを選択して(ステップS205)、集計データを作成する(ステップS206)。
【0061】
続いて、異常閾値決定部223は、集計部222によって生成された集計データから算出した平均および標準偏差と、異常閾値決定パラメータ212とに基づいて、異常閾値を決定する(ステップS207)。そして、集計部222によって生成された集計データと、異常閾値決定部223によって決定された異常閾値と、比率差閾値214とに基づいて、後述するトラフィック分析処理が実行され、選択されている時間帯と種別に対応する分析結果が得られる(ステップS208)。
【0062】
そして、分析結果調整部227は、今回得られた分析結果を、重み215に基づく比率で、同一種別で以前の時間帯に対応する分析結果と混合して調整する(ステップS209)。ここで、選択されている時間帯が最後の時間帯でなければ(ステップS210否定)、次の時間帯が選択され(ステップS211)、ステップS205から処理手順が再開される。一方、選択されている時間帯が最後の時間帯である場合は(ステップS210肯定)、全ての種別を選択済みでなければ(ステップS212否定)、ステップS203から処理手順が再開され、全ての種別を選択済みであれば(ステップS212肯定)、分析処理が完了となる。
【0063】
図9に示すように、図8に示したトラフィック分析処理では、比率差算出部224は、集計データに基づいて、メッセージ数が異常閾値以下の発呼者数が全発呼者数に占める比率を取得するとともに(ステップS301)、メッセージ数が異常閾値以下の発呼者のメッセージ数の合計が全メッセージ数に占める比率を取得し(ステップS302)、それらの比率の差を算出する(ステップS303)。
【0064】
比率の差が比率差閾値214よりも大きければ(ステップS304肯定)、異常トラフィック除外部225は、メッセージ数が異常閾値よりも多い発呼者のトラフィックを異常トラフィックとして分析対象から除外し(ステップS305)、トラフィック分析部226は、異常トラフィックが分析対象から除外されたサブデータに基づいて分析を行う(ステップS306)。一方、比率の差が比率差閾値214よりも大きくなければ(ステップS304否定)、トラフィック分析部226は、異常トラフィックの除外が行われていないサブデータに基づいて分析を行う(ステップS306)。
【0065】
図10に示すように、本実施例に係るトラフィック分析装置およびトラフィック分析方法では、異常トラフィックであるか否かを判定するための閾値ρが動的に算出される。そして、この閾値ρに基づいて異常トラフィックを除外することが適切であると判定された場合は、メッセージ数が閾値ρよりも多い発呼者のトラフィックが異常トラフィックとして除外される。そして、異常トラフィックを除外した残りの正常トラフィックを用いて分析が行われ、分析結果は重みwを用いて調整される。
【実施例3】
【0066】
上述したトラフィック分析装置10または20の制御部12または22の機能をソフトウェアとして実装し、これをコンピュータで実行することにより、トラフィック分析装置10または20と同等の機能を実現することもできる。以下に、制御部12の機能をソフトウェアとして実装したトラフィック分析プログラム1071を実行するコンピュータの一例を示す。
【0067】
図11は、トラフィック分析プログラム1071を実行するコンピュータ1000を示す機能ブロック図である。このコンピュータ1000は、各種演算処理を実行するCPU(Central Processing Unit)1010と、ユーザからのデータの入力を受け付ける入力装置1020と、各種情報を表示するモニタ1030と、記録媒体からプログラム等を読み取る媒体読取り装置1040と、ネットワークを介して他のコンピュータとの間でデータの授受を行うネットワークインターフェース装置1050と、各種情報を一時記憶するRAM(Random Access Memory)1060と、ハードディスク装置1070とをバス1080で接続して構成される。
【0068】
そして、ハードディスク装置1070には、図1に示した制御部12と同様の機能を有するトラフィック分析プログラム1071と、図1に示した記憶部11に記憶される各種データに対応するトラフィック分析用データ1072とが記憶される。なお、トラフィック分析用データ1072を、適宜分散させ、ネットワークを介して接続された他のコンピュータに記憶させておくこともできる。
【0069】
そして、CPU1010がトラフィック分析プログラム1071をハードディスク装置1070から読み出してRAM1060に展開することにより、トラフィック分析プログラム1071は、トラフィック分析プロセス1061として機能するようになる。そして、トラフィック分析プロセス1061は、トラフィック分析用データ1072から読み出した情報等を適宜RAM1060上の自身に割り当てられた領域に展開し、この展開したデータ等に基づいて各種データ処理を実行する。
【0070】
なお、上記のトラフィック分析プログラム1071は、必ずしもハードディスク装置1070に格納されている必要はなく、CD−ROM等の記憶媒体に記憶されたこのプログラムを、コンピュータ1000が読み出して実行するようにしてもよい。また、公衆回線、インターネット、LAN(Local Area Network)、WAN(Wide Area Network)等を介してコンピュータ1000に接続される他のコンピュータ(またはサーバ)等にこのプログラムを記憶させておき、コンピュータ1000がこれらからプログラムを読み出して実行するようにしてもよい。
【符号の説明】
【0071】
1 インターネット
2a〜2n SIPクライアント
3 SIPサーバ
4 タップ
10、20 トラフィック分析装置
11、21 記憶部
111 異常閾値
112、213 トラフィックデータ
113、214 比率差閾値
12、22 制御部
121、224 比率差算出部
122、225 異常トラフィック除外部
123、226 トラフィック分析部
211 ウィンドウサイズ
212 異常閾値決定パラメータ
215 重み
216 分析結果データ
221 分類部
222 集計部
223 異常閾値決定部
227 分析結果調整部
1000 コンピュータ
1010 CPU
1020 入力装置
1030 モニタ
1040 媒体読取り装置
1050 ネットワークインターフェース装置
1060 RAM
1061 トラフィック分析プロセス
1070 ハードディスク装置
1071 トラフィック分析プログラム
1072 トラフィック分析用データ
1080 バス
【特許請求の範囲】
【請求項1】
トラフィックデータに基づいてトラフィックを分析する分析部と、
前記トラフィックデータに含まれるトラフィックを送信元単位で集計した集計値が第1の閾値以下である送信元の数が全送信元数に占める比率と、前記集計値が第1の閾値以下である送信元のトラフィックの合計が全トラフィックに占める比率との差を算出する比率差算出部と、
前記比率差算出部によって算出された差が第2の閾値よりも大きい場合に、前記集計値が第1の閾値よりも多い送信元のトラフィックを前記分析部による分析の対象外とする除外部と
を備えることを特徴とするトラフィック分析装置。
【請求項2】
前記トラフィックデータを時間帯毎に分類する分類部をさらに備え、
前記分析部、前記比率差算出部および前記除外部は、前記分類部による分類毎に処理を実行することを特徴とする請求項1に記載のトラフィック分析装置。
【請求項3】
前記分類部は、前記トラフィックデータをさらにメッセージの種別毎に分類することを特徴とする請求項2に記載のトラフィック分析装置。
【請求項4】
異なる時間帯についての前記分析部の分析結果を所定の割合で混合して調整する調整部をさらに備えることを特徴とする請求項2または3に記載のトラフィック分析装置。
【請求項5】
前記第1の閾値を、前記集計値の平均値と標準偏差値に基づいて決定する閾値決定部をさらに備えることを特徴とする請求項1〜4のいずれか1つに記載のトラフィック分析装置。
【請求項6】
トラフィックデータに基づいてトラフィックを分析する分析工程と、
前記トラフィックデータに含まれるトラフィックを送信元単位で集計した集計値が第1の閾値以下である送信元の数が全送信元数に占める比率と、前記集計値が第1の閾値以下である送信元のトラフィックの合計が全トラフィックに占める比率との差を算出する比率差算出工程と、
前記比率差算出工程によって算出された差が第2の閾値よりも大きい場合に、前記集計値が第1の閾値よりも多い送信元のトラフィックを前記分析工程における分析の対象外とする除外工程と
を含むことを特徴とするトラフィック分析方法。
【請求項7】
コンピュータを請求項1〜5のいずれか1つに記載のトラフィック分析装置として機能させることを特徴とするトラフィック分析プログラム。
【請求項1】
トラフィックデータに基づいてトラフィックを分析する分析部と、
前記トラフィックデータに含まれるトラフィックを送信元単位で集計した集計値が第1の閾値以下である送信元の数が全送信元数に占める比率と、前記集計値が第1の閾値以下である送信元のトラフィックの合計が全トラフィックに占める比率との差を算出する比率差算出部と、
前記比率差算出部によって算出された差が第2の閾値よりも大きい場合に、前記集計値が第1の閾値よりも多い送信元のトラフィックを前記分析部による分析の対象外とする除外部と
を備えることを特徴とするトラフィック分析装置。
【請求項2】
前記トラフィックデータを時間帯毎に分類する分類部をさらに備え、
前記分析部、前記比率差算出部および前記除外部は、前記分類部による分類毎に処理を実行することを特徴とする請求項1に記載のトラフィック分析装置。
【請求項3】
前記分類部は、前記トラフィックデータをさらにメッセージの種別毎に分類することを特徴とする請求項2に記載のトラフィック分析装置。
【請求項4】
異なる時間帯についての前記分析部の分析結果を所定の割合で混合して調整する調整部をさらに備えることを特徴とする請求項2または3に記載のトラフィック分析装置。
【請求項5】
前記第1の閾値を、前記集計値の平均値と標準偏差値に基づいて決定する閾値決定部をさらに備えることを特徴とする請求項1〜4のいずれか1つに記載のトラフィック分析装置。
【請求項6】
トラフィックデータに基づいてトラフィックを分析する分析工程と、
前記トラフィックデータに含まれるトラフィックを送信元単位で集計した集計値が第1の閾値以下である送信元の数が全送信元数に占める比率と、前記集計値が第1の閾値以下である送信元のトラフィックの合計が全トラフィックに占める比率との差を算出する比率差算出工程と、
前記比率差算出工程によって算出された差が第2の閾値よりも大きい場合に、前記集計値が第1の閾値よりも多い送信元のトラフィックを前記分析工程における分析の対象外とする除外工程と
を含むことを特徴とするトラフィック分析方法。
【請求項7】
コンピュータを請求項1〜5のいずれか1つに記載のトラフィック分析装置として機能させることを特徴とするトラフィック分析プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2011−146808(P2011−146808A)
【公開日】平成23年7月28日(2011.7.28)
【国際特許分類】
【出願番号】特願2010−4294(P2010−4294)
【出願日】平成22年1月12日(2010.1.12)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成23年7月28日(2011.7.28)
【国際特許分類】
【出願日】平成22年1月12日(2010.1.12)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]