並列サンプリング装置および制御プログラム
【課題】フローサンプリングとパケットサンプリングを並列して適用することにより、フローサイズ分布推定の精度向上をさせる。
【解決手段】トラヒックを複製し、2つの同一内容のトラヒックを出力するミラーリング装置11と、いずれか一方のトラヒックに対して、フローサンプリングを行なうフローサンプリング装置13と、フローサンプリング結果をフローデータに変換するフローサンプリングデータ解析部13aと、いずれか他方のトラヒックに対して、パケットサンプリングを行なうパケットサンプリング装置14と、パケットサンプリング結果をフローデータに変換するパケットサンプリングデータ解析部14aと、フローサンプリングデータ解析部13aの出力およびパケットサンプリングデータ解析部14aの出力を合成して元のフローサイズ分布を推定する合成推定部16と、を備える。
【解決手段】トラヒックを複製し、2つの同一内容のトラヒックを出力するミラーリング装置11と、いずれか一方のトラヒックに対して、フローサンプリングを行なうフローサンプリング装置13と、フローサンプリング結果をフローデータに変換するフローサンプリングデータ解析部13aと、いずれか他方のトラヒックに対して、パケットサンプリングを行なうパケットサンプリング装置14と、パケットサンプリング結果をフローデータに変換するパケットサンプリングデータ解析部14aと、フローサンプリングデータ解析部13aの出力およびパケットサンプリングデータ解析部14aの出力を合成して元のフローサイズ分布を推定する合成推定部16と、を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、サンプリング対象とするトラヒックに対して、フローサンプリングとパケットサンプリングとを並列に行なう並列サンプリング装置および制御プログラムに関する。
【背景技術】
【0002】
近年、ネットワークを流れるトラヒックが増加してきている。このため、大容量トラヒックをキャプチャし、迅速な解析を行なうためにサンプリング技術の必要性が高まってきている。トラヒックのサンプリング技術には大きく分けて、パケットサンプリングとフローサンプリングの2種類が存在する。パケットサンプリングは、パケット毎にサンプリングを行ない、フローサンプリングは、フロー毎にサンプリングを行なう。ここでいうフローとは、パケットヘッダ内の特定のフィールド、例えば5−tuple(送信元/宛先IPアドレス、送信元/宛先ポート番号、プロトコル番号)が同じパケット群およびその終了条件によって定義される。
【0003】
ここで、インターネットトラヒックで見受けられるヘビーテールなフローサイズ分布のトラヒックに対してサンプリングを施すと、フローサンプリングによって元の分布に従った、サイズの小さなフローが抽出されやすい傾向がある。一方、パケットサンプリングはサイズの大きなフローが偏って抽出されやすいという傾向がある。このような特徴を有する各種サンプリング技術を、それぞれを単体で用いる手法では、元のフローサイズ分布の推定精度に限界があり、精度向上のため、フローサンプリングとパケットサンプリングを併用する研究が行なわれている(非特許文献1〜3)。
【先行技術文献】
【非特許文献】
【0004】
【非特許文献1】L.Yang and G.Michailidis, "Sampled Based Estimation of Network Traffic Flow Characteristics," Proc. IEEE Infocom,2007.
【非特許文献2】R.R.Kompella and C.Estan, "The Power of Slicing in Internet Flow Measurement," Proc. IMC, 2005.
【非特許文献3】P.Tune and D.Veitch, "Towards optimal sampling for flow size estimation," Proc. IMC, 2008.
【発明の概要】
【発明が解決しようとする課題】
【0005】
上記の非特許文献1および非特許文献2では、フローサンプリングとパケットサンプリングを直列に適用する。これらのうち、非特許文献1では、最初にフローサンプリングを施し、次にパケットサンプリングを施す。一方、非特許文献2では、最初にパケットサンプリングを施し、次にフローサンプリングを施す。これらの手法は、各種サンプリング方法を直列に用いている。その結果、非特許文献1では、サイズの大きなフローが抽出されにくく、非特許文献2では、元のフロー内パケットが完全に抽出されることは稀であるため、直列適用に起因する推定精度の限界がある。
【0006】
非特許文献3では、2種類のパケットサンプリングを並列に適用する。一つはTCPのSYN(synchronize)パケットサンプリング用であり、もう一つは通常のパケットサンプリング用である。TCPプロトコル情報の利用が前提であるため、TCP以外のトラヒックには適用できない。
【0007】
本発明は、このような事情に鑑みてなされたものであり、フローサンプリングとパケットサンプリングを並列して適用することにより、フローサイズ分布推定の精度向上をさせることができる並列サンプリング装置および制御プログラムを提供することを目的とする。
【課題を解決するための手段】
【0008】
(1)上記の目的を達成するために、本発明は、以下のような手段を講じた。すなわち、本発明の並列サンプリング装置は、サンプリング対象とするトラヒックに対して、フローサンプリングとパケットサンプリングとを並列に行なう並列サンプリング装置であって、前記トラヒックを複製し、2つの同一内容のトラヒックを出力するミラーリング装置と、いずれか一方の前記トラヒックに対して、フローサンプリングを行なうフローサンプリング装置と、前記フローサンプリング結果をフローデータに変換するフローサンプリングデータ解析部と、いずれか他方の前記トラヒックに対して、パケットサンプリングを行なうパケットサンプリング装置と、前記パケットサンプリング結果をフローデータに変換するパケットサンプリングデータ解析部と、前記フローサンプリングデータ解析部の出力および前記パケットサンプリングデータ解析部の出力を合成して元のフロー特性を推定する合成推定部と、を備えることを特徴としている。
【0009】
このように、フローサンプリングとパケットサンプリングとを並列して行ない、フローサンプリング解析結果とパケットサンプリング解析結果とを合成して元のフロー特性を推定するので、それぞれのサンプリングレートを十分小さくしたとしても、各方式の利点を組み合わせることができる。これにより、それぞれを単独で適用する手法や、従来から知られている手法よりも元のフロー特性の再現性を向上させることが可能となる。
【0010】
(2)また、本発明の並列サンプリング装置において、前記合成推定部は、前記トラフィック量に依存するフローサイズの閾値よりも小さい値のフローサイズについては、前記フローサンプリング結果のフローデータを採用し、前記閾値よりも大きい値のフローサイズについては、前記パケットサンプリング結果のフローデータを採用して、元のフローサイズ分布を推定することを特徴としている。
【0011】
このように、トラフィック量に依存するフローサイズの閾値よりも小さい値のフローサイズについては、フローサンプリング結果のフローデータを採用し、閾値よりも大きい値のフローサイズについては、パケットサンプリング結果のフローデータを採用して、元のフローサイズ分布を推定するので、それぞれのサンプリング方法のデメリットが少なくなり、元のフローサイズ分布の再現性を向上させることが可能となる。
【0012】
(3)また、本発明の並列サンプリング装置において、前記合成推定部は、前記閾値とサイズが最大のフローデータとを補間することによって、前記パケットサンプリングの結果のフローデータを算出することを特徴としている。
【0013】
このように、閾値とサイズが最大のフローデータとを補間することによって、パケットサンプリングの結果のフローデータを算出するので、フローサイズ分布をCCDF(Complementary Cumulative Distribution Function)に基づいて定義し、フローサイズFZおよびCCDFに基づいて推定する手法を採ることができる。
【0014】
(4)また、本発明の制御プログラムは、サンプリング対象とするトラヒックに対して、フローサンプリングとパケットサンプリングとを並列に行なう並列サンプリング装置の制御プログラムであって、ミラーリング装置において、前記トラヒックを複製し、2つの同一内容のトラヒックを出力する処理と、フローサンプリング装置において、いずれか一方の前記トラヒックに対して、フローサンプリングを行なう処理と、フローサンプリングデータ解析部において、前記フローサンプリング結果をフローデータに変換する処理と、パケットサンプリング装置において、いずれか他方の前記トラヒックに対して、パケットサンプリングを行なう処理と、パケットサンプリングデータ解析部において、前記パケットサンプリング結果をフローデータに変換する処理と、合成推定部において、前記フローサンプリングデータ解析部の出力および前記パケットサンプリングデータ解析部の出力を合成して元のフロー特性を推定する処理と、の一連の処理を、コンピュータに読み取り可能および実行可能にコマンド化したことを特徴としている。
【0015】
このように、フローサンプリングとパケットサンプリングとを並列して行ない、フローサンプリング解析結果とパケットサンプリング解析結果とを合成して元のフロー特性を推定するので、それぞれのサンプリングレートを十分小さくしたとしても、各方式の利点を組み合わせることができる。これにより、それぞれを単独で適用する手法や、従来から知られている手法よりも元のフロー特性の再現性を向上させることが可能となる。
【0016】
(5)また、本発明の制御プログラムは、前記合成推定部において、前記トラフィック量に依存するフローサイズの閾値よりも小さい値のフローサイズについては、前記フローサンプリング結果のフローデータを採用し、前記閾値よりも大きい値のフローサイズについては、前記パケットサンプリング結果のフローデータを採用して、元のフローサイズ分布を推定する処理を行なうことを特徴としている。
【0017】
このように、トラフィック量に依存するフローサイズの閾値よりも小さい値のフローサイズについては、フローサンプリング結果のフローデータを採用し、閾値よりも大きい値のフローサイズについては、パケットサンプリング結果のフローデータを採用して、元のフローサイズ分布を推定するので、それぞれのサンプリング方法のデメリットが少なくなり、元のフローサイズ分布の再現性を向上させることが可能となる。
【0018】
(6)また、本発明の制御プログラムは、前記合成推定部において、前記閾値とサイズが最大のフローデータとを補間することによって、前記パケットサンプリングの結果のフローデータを算出する処理を行なうことを特徴としている。
【0019】
このように、閾値とサイズが最大のフローデータとを補間することによって、パケットサンプリングの結果のフローデータを算出するので、フローサイズ分布をCCDF(Complementary Cumulative Distribution Function)に基づいて定義し、フローサイズFZおよびCCDFに基づいて推定する手法を採ることができる。
【発明の効果】
【0020】
本発明によれば、フローサンプリングとパケットサンプリングとを並列して適用するので、それぞれのサンプリングレートを十分小さくしたとしても、各方式の利点を組み合わせることができる。これにより、それぞれを単独で適用する手法や、従来から知られている手法よりも元のフロー特性の再現性を向上させることが可能となる。
【図面の簡単な説明】
【0021】
【図1】本実施形態に係る並列サンプリング装置の概略構成を示す図である。
【図2】フローサイズFZとCCDFとの関係を示す図である。
【図3】並列サンプリング装置の動作を示すフローチャートである。
【発明を実施するための形態】
【0022】
図1は、本実施形態に係る並列サンプリング装置の概略構成を示す図である。また、図2は、フローサイズFZとCCDFとの関係を示す図である。この並列サンプリング装置では、高速回線などの監視対象となるトラヒックに対し、タップ装置10によりトラヒックの観測が可能となっている。このトラヒックは、プロトコル/アプリケーションに偏っておらず、また、一般的なインターネットトラヒック特性であるヘビーテールに従っているものとする。図1に示すように、キャリアのバックボーン等、タップ装置10が設置されている環境において、ミラーリング装置11を使って対象トラヒックを2つにコピーし、それぞれを並列サンプリング装置12に入力する。そして、各トラヒックをフローサンプリング装置13およびパケットサンプリング装置に入力し、サンプリングを行なう。ここで、フローサイズとは、例えば、フロー内パケット数、フロー内バイト数、フロー持続時間のいずれかを意味する。ただし、フローの大きさを表わすパラメータであれば、この限りではない。
【0023】
フローサンプリング装置13は、確率FRで、フローベースでランダムにサンプリングする装置である。パケットサンプリング装置14は、確率PRで、パケットベースでランダムにサンプリングする装置である。確率FRとは、Nフローに1フローを抽出することを意味し、確率PRとは、Nパケットに1パケットを抽出することを意味する。
【0024】
解析装置15は、フローサンプリングの結果をフローデータに変換するフローサンプリングデータ解析部13a、パケットサンプリングの結果をフローデータに変換するパケットサンプリングデータ解析部14a、および、両結果を合成して元のフローサイズ分布を推定する合成推定部16から構成されている。合成推定部16は、フローサイズが小さい分布を推定するためにフローサンプリングの結果を利用し、フローサイズが大きい分布を推定するためにパケットサンプリングの結果を利用する。合成方法に関しては様々な方法が考えられるが、本実施形態では、一例として、フローサイズ分布を、CCDF(Complementary Cumulative Distribution Function)に基づいて定義し、フローサイズFZおよびCCDFに基づいて推定する(図2参照)。
【0025】
次に、以上のように構成された本実施形態に係る並列サンプリング装置の動作について説明する。
【0026】
まず、フローサンプリングデータ解析部13aにより、フローサンプリング結果からのフローサイズ分布を算出する(ステップS1)。このフローサイズ分布は、式(1)で表わされる。
【0027】
【数1】
このとき、得られたCCDFの0より大きい最小のCCDFを式(2)で表わすものとする。
【0028】
【数2】
次に、パケットサンプリングデータ解析部14aにより、パケットサンプリング結果のフローデータを算出する(ステップS2)。このデータにおけるフローサイズが最大のフローを式(3)で表わすものとする。
【0029】
【数3】
次に、元のフロー群における、フローサイズが最大のFZを式(4)、CCDFを式(5)としてそれぞれ推定する(ステップS3)。
【0030】
【数4】
【0031】
【数5】
次に、式(6)および式(7)を、冪乗則を仮定し、式(8)で表わされる補間式を生成する(ステップS4)。
【0032】
【数6】
【0033】
【数7】
【0034】
【数8】
式(8)のaおよびbは、データフィッティングにより得られる係数である。
【0035】
次に、ステップS1で得られたフローサンプリング結果、ステップS4で得られた式(8)を用いて、元のフローサイズ分布を推定する。
【0036】
以上説明したように、本実施形態に係る並列サンプリング装置によれば、フローサンプリングとパケットサンプリングとを並列して適用するので、それぞれのサンプリングレートを十分小さくしたとしても、各方式の利点を組み合わせることができる。これにより、それぞれを単独で適用する手法や、従来から知られている手法よりも元のフローサイズ分布の再現性を向上させることが可能となる。
【0037】
以上のような本発明の特徴的な動作は、制御プログラムをコンピュータに実行させることによっても実現することが可能である。すなわち、本発明の制御プログラムは、サンプリング対象とするトラヒックに対して、フローサンプリングとパケットサンプリングとを並列に行なう並列サンプリング装置の制御プログラムであって、ミラーリング装置において、前記トラヒックを複製し、2つの同一内容のトラヒックを出力する処理と、フローサンプリング装置において、いずれか一方の前記トラヒックに対して、フローサンプリングを行なう処理と、フローサンプリングデータ解析部において、前記フローサンプリング結果をフローデータに変換する処理と、パケットサンプリング装置において、いずれか他方の前記トラヒックに対して、パケットサンプリングを行なう処理と、パケットサンプリングデータ解析部において、前記パケットサンプリング結果をフローデータに変換する処理と、合成推定部において、前記フローサンプリングデータ解析部の出力および前記パケットサンプリングデータ解析部の出力を合成して元のフローサイズ分布を推定する処理と、の一連の処理を、コンピュータに読み取り可能および実行可能にコマンド化したことを特徴としている。
【0038】
このように、フローサンプリングとパケットサンプリングとを並列して行ない、フローサンプリング解析結果とパケットサンプリング解析結果とを合成して元のフローサイズ分布を推定するので、それぞれのサンプリングレートを十分小さくしたとしても、各方式の利点を組み合わせることができる。これにより、それぞれを単独で適用する手法や、従来から知られている手法よりも元のフローサイズ分布の再現性を向上させることが可能となる。
【0039】
また、本発明の制御プログラムは、前記合成推定部において、前記トラフィック量に依存するフローサイズの閾値よりも小さい値のフローサイズについては、前記フローサンプリング結果のフローデータを採用し、前記閾値よりも大きい値のフローサイズについては、前記パケットサンプリング結果のフローデータを採用する処理を行なうことを特徴としている。このように、トラフィック量に依存するフローサイズの閾値よりも小さい値のフローサイズについては、フローサンプリング結果のフローデータを採用し、閾値よりも大きい値のフローサイズについては、パケットサンプリング結果のフローデータを採用するので、それぞれのサンプリング方法のデメリットが少なくなり、元のフローサイズ分布の再現性を向上させることが可能となる。
【0040】
また、本発明の制御プログラムは、前記合成推定部において、前記閾値とサイズが最大のフローデータとを補間することによって、前記パケットサンプリングの結果のフローデータを算出する処理を行なうことを特徴としている。このように、閾値とサイズが最大のフローデータとを補間することによって、パケットサンプリングの結果のフローデータを算出するので、フローサイズ分布をCCDF(Complementary Cumulative Distribution Function)に基づいて定義し、フローサイズFZおよびCCDFに基づいて推定する手法を採ることができる。
【符号の説明】
【0041】
10 タップ装置
11 ミラーリング装置
12 並列サンプリング装置
13 フローサンプリング装置
13a フローサンプリングデータ解析部
14 パケットサンプリング装置
14a パケットサンプリングデータ解析部
15 解析装置
16 合成推定部
【技術分野】
【0001】
本発明は、サンプリング対象とするトラヒックに対して、フローサンプリングとパケットサンプリングとを並列に行なう並列サンプリング装置および制御プログラムに関する。
【背景技術】
【0002】
近年、ネットワークを流れるトラヒックが増加してきている。このため、大容量トラヒックをキャプチャし、迅速な解析を行なうためにサンプリング技術の必要性が高まってきている。トラヒックのサンプリング技術には大きく分けて、パケットサンプリングとフローサンプリングの2種類が存在する。パケットサンプリングは、パケット毎にサンプリングを行ない、フローサンプリングは、フロー毎にサンプリングを行なう。ここでいうフローとは、パケットヘッダ内の特定のフィールド、例えば5−tuple(送信元/宛先IPアドレス、送信元/宛先ポート番号、プロトコル番号)が同じパケット群およびその終了条件によって定義される。
【0003】
ここで、インターネットトラヒックで見受けられるヘビーテールなフローサイズ分布のトラヒックに対してサンプリングを施すと、フローサンプリングによって元の分布に従った、サイズの小さなフローが抽出されやすい傾向がある。一方、パケットサンプリングはサイズの大きなフローが偏って抽出されやすいという傾向がある。このような特徴を有する各種サンプリング技術を、それぞれを単体で用いる手法では、元のフローサイズ分布の推定精度に限界があり、精度向上のため、フローサンプリングとパケットサンプリングを併用する研究が行なわれている(非特許文献1〜3)。
【先行技術文献】
【非特許文献】
【0004】
【非特許文献1】L.Yang and G.Michailidis, "Sampled Based Estimation of Network Traffic Flow Characteristics," Proc. IEEE Infocom,2007.
【非特許文献2】R.R.Kompella and C.Estan, "The Power of Slicing in Internet Flow Measurement," Proc. IMC, 2005.
【非特許文献3】P.Tune and D.Veitch, "Towards optimal sampling for flow size estimation," Proc. IMC, 2008.
【発明の概要】
【発明が解決しようとする課題】
【0005】
上記の非特許文献1および非特許文献2では、フローサンプリングとパケットサンプリングを直列に適用する。これらのうち、非特許文献1では、最初にフローサンプリングを施し、次にパケットサンプリングを施す。一方、非特許文献2では、最初にパケットサンプリングを施し、次にフローサンプリングを施す。これらの手法は、各種サンプリング方法を直列に用いている。その結果、非特許文献1では、サイズの大きなフローが抽出されにくく、非特許文献2では、元のフロー内パケットが完全に抽出されることは稀であるため、直列適用に起因する推定精度の限界がある。
【0006】
非特許文献3では、2種類のパケットサンプリングを並列に適用する。一つはTCPのSYN(synchronize)パケットサンプリング用であり、もう一つは通常のパケットサンプリング用である。TCPプロトコル情報の利用が前提であるため、TCP以外のトラヒックには適用できない。
【0007】
本発明は、このような事情に鑑みてなされたものであり、フローサンプリングとパケットサンプリングを並列して適用することにより、フローサイズ分布推定の精度向上をさせることができる並列サンプリング装置および制御プログラムを提供することを目的とする。
【課題を解決するための手段】
【0008】
(1)上記の目的を達成するために、本発明は、以下のような手段を講じた。すなわち、本発明の並列サンプリング装置は、サンプリング対象とするトラヒックに対して、フローサンプリングとパケットサンプリングとを並列に行なう並列サンプリング装置であって、前記トラヒックを複製し、2つの同一内容のトラヒックを出力するミラーリング装置と、いずれか一方の前記トラヒックに対して、フローサンプリングを行なうフローサンプリング装置と、前記フローサンプリング結果をフローデータに変換するフローサンプリングデータ解析部と、いずれか他方の前記トラヒックに対して、パケットサンプリングを行なうパケットサンプリング装置と、前記パケットサンプリング結果をフローデータに変換するパケットサンプリングデータ解析部と、前記フローサンプリングデータ解析部の出力および前記パケットサンプリングデータ解析部の出力を合成して元のフロー特性を推定する合成推定部と、を備えることを特徴としている。
【0009】
このように、フローサンプリングとパケットサンプリングとを並列して行ない、フローサンプリング解析結果とパケットサンプリング解析結果とを合成して元のフロー特性を推定するので、それぞれのサンプリングレートを十分小さくしたとしても、各方式の利点を組み合わせることができる。これにより、それぞれを単独で適用する手法や、従来から知られている手法よりも元のフロー特性の再現性を向上させることが可能となる。
【0010】
(2)また、本発明の並列サンプリング装置において、前記合成推定部は、前記トラフィック量に依存するフローサイズの閾値よりも小さい値のフローサイズについては、前記フローサンプリング結果のフローデータを採用し、前記閾値よりも大きい値のフローサイズについては、前記パケットサンプリング結果のフローデータを採用して、元のフローサイズ分布を推定することを特徴としている。
【0011】
このように、トラフィック量に依存するフローサイズの閾値よりも小さい値のフローサイズについては、フローサンプリング結果のフローデータを採用し、閾値よりも大きい値のフローサイズについては、パケットサンプリング結果のフローデータを採用して、元のフローサイズ分布を推定するので、それぞれのサンプリング方法のデメリットが少なくなり、元のフローサイズ分布の再現性を向上させることが可能となる。
【0012】
(3)また、本発明の並列サンプリング装置において、前記合成推定部は、前記閾値とサイズが最大のフローデータとを補間することによって、前記パケットサンプリングの結果のフローデータを算出することを特徴としている。
【0013】
このように、閾値とサイズが最大のフローデータとを補間することによって、パケットサンプリングの結果のフローデータを算出するので、フローサイズ分布をCCDF(Complementary Cumulative Distribution Function)に基づいて定義し、フローサイズFZおよびCCDFに基づいて推定する手法を採ることができる。
【0014】
(4)また、本発明の制御プログラムは、サンプリング対象とするトラヒックに対して、フローサンプリングとパケットサンプリングとを並列に行なう並列サンプリング装置の制御プログラムであって、ミラーリング装置において、前記トラヒックを複製し、2つの同一内容のトラヒックを出力する処理と、フローサンプリング装置において、いずれか一方の前記トラヒックに対して、フローサンプリングを行なう処理と、フローサンプリングデータ解析部において、前記フローサンプリング結果をフローデータに変換する処理と、パケットサンプリング装置において、いずれか他方の前記トラヒックに対して、パケットサンプリングを行なう処理と、パケットサンプリングデータ解析部において、前記パケットサンプリング結果をフローデータに変換する処理と、合成推定部において、前記フローサンプリングデータ解析部の出力および前記パケットサンプリングデータ解析部の出力を合成して元のフロー特性を推定する処理と、の一連の処理を、コンピュータに読み取り可能および実行可能にコマンド化したことを特徴としている。
【0015】
このように、フローサンプリングとパケットサンプリングとを並列して行ない、フローサンプリング解析結果とパケットサンプリング解析結果とを合成して元のフロー特性を推定するので、それぞれのサンプリングレートを十分小さくしたとしても、各方式の利点を組み合わせることができる。これにより、それぞれを単独で適用する手法や、従来から知られている手法よりも元のフロー特性の再現性を向上させることが可能となる。
【0016】
(5)また、本発明の制御プログラムは、前記合成推定部において、前記トラフィック量に依存するフローサイズの閾値よりも小さい値のフローサイズについては、前記フローサンプリング結果のフローデータを採用し、前記閾値よりも大きい値のフローサイズについては、前記パケットサンプリング結果のフローデータを採用して、元のフローサイズ分布を推定する処理を行なうことを特徴としている。
【0017】
このように、トラフィック量に依存するフローサイズの閾値よりも小さい値のフローサイズについては、フローサンプリング結果のフローデータを採用し、閾値よりも大きい値のフローサイズについては、パケットサンプリング結果のフローデータを採用して、元のフローサイズ分布を推定するので、それぞれのサンプリング方法のデメリットが少なくなり、元のフローサイズ分布の再現性を向上させることが可能となる。
【0018】
(6)また、本発明の制御プログラムは、前記合成推定部において、前記閾値とサイズが最大のフローデータとを補間することによって、前記パケットサンプリングの結果のフローデータを算出する処理を行なうことを特徴としている。
【0019】
このように、閾値とサイズが最大のフローデータとを補間することによって、パケットサンプリングの結果のフローデータを算出するので、フローサイズ分布をCCDF(Complementary Cumulative Distribution Function)に基づいて定義し、フローサイズFZおよびCCDFに基づいて推定する手法を採ることができる。
【発明の効果】
【0020】
本発明によれば、フローサンプリングとパケットサンプリングとを並列して適用するので、それぞれのサンプリングレートを十分小さくしたとしても、各方式の利点を組み合わせることができる。これにより、それぞれを単独で適用する手法や、従来から知られている手法よりも元のフロー特性の再現性を向上させることが可能となる。
【図面の簡単な説明】
【0021】
【図1】本実施形態に係る並列サンプリング装置の概略構成を示す図である。
【図2】フローサイズFZとCCDFとの関係を示す図である。
【図3】並列サンプリング装置の動作を示すフローチャートである。
【発明を実施するための形態】
【0022】
図1は、本実施形態に係る並列サンプリング装置の概略構成を示す図である。また、図2は、フローサイズFZとCCDFとの関係を示す図である。この並列サンプリング装置では、高速回線などの監視対象となるトラヒックに対し、タップ装置10によりトラヒックの観測が可能となっている。このトラヒックは、プロトコル/アプリケーションに偏っておらず、また、一般的なインターネットトラヒック特性であるヘビーテールに従っているものとする。図1に示すように、キャリアのバックボーン等、タップ装置10が設置されている環境において、ミラーリング装置11を使って対象トラヒックを2つにコピーし、それぞれを並列サンプリング装置12に入力する。そして、各トラヒックをフローサンプリング装置13およびパケットサンプリング装置に入力し、サンプリングを行なう。ここで、フローサイズとは、例えば、フロー内パケット数、フロー内バイト数、フロー持続時間のいずれかを意味する。ただし、フローの大きさを表わすパラメータであれば、この限りではない。
【0023】
フローサンプリング装置13は、確率FRで、フローベースでランダムにサンプリングする装置である。パケットサンプリング装置14は、確率PRで、パケットベースでランダムにサンプリングする装置である。確率FRとは、Nフローに1フローを抽出することを意味し、確率PRとは、Nパケットに1パケットを抽出することを意味する。
【0024】
解析装置15は、フローサンプリングの結果をフローデータに変換するフローサンプリングデータ解析部13a、パケットサンプリングの結果をフローデータに変換するパケットサンプリングデータ解析部14a、および、両結果を合成して元のフローサイズ分布を推定する合成推定部16から構成されている。合成推定部16は、フローサイズが小さい分布を推定するためにフローサンプリングの結果を利用し、フローサイズが大きい分布を推定するためにパケットサンプリングの結果を利用する。合成方法に関しては様々な方法が考えられるが、本実施形態では、一例として、フローサイズ分布を、CCDF(Complementary Cumulative Distribution Function)に基づいて定義し、フローサイズFZおよびCCDFに基づいて推定する(図2参照)。
【0025】
次に、以上のように構成された本実施形態に係る並列サンプリング装置の動作について説明する。
【0026】
まず、フローサンプリングデータ解析部13aにより、フローサンプリング結果からのフローサイズ分布を算出する(ステップS1)。このフローサイズ分布は、式(1)で表わされる。
【0027】
【数1】
このとき、得られたCCDFの0より大きい最小のCCDFを式(2)で表わすものとする。
【0028】
【数2】
次に、パケットサンプリングデータ解析部14aにより、パケットサンプリング結果のフローデータを算出する(ステップS2)。このデータにおけるフローサイズが最大のフローを式(3)で表わすものとする。
【0029】
【数3】
次に、元のフロー群における、フローサイズが最大のFZを式(4)、CCDFを式(5)としてそれぞれ推定する(ステップS3)。
【0030】
【数4】
【0031】
【数5】
次に、式(6)および式(7)を、冪乗則を仮定し、式(8)で表わされる補間式を生成する(ステップS4)。
【0032】
【数6】
【0033】
【数7】
【0034】
【数8】
式(8)のaおよびbは、データフィッティングにより得られる係数である。
【0035】
次に、ステップS1で得られたフローサンプリング結果、ステップS4で得られた式(8)を用いて、元のフローサイズ分布を推定する。
【0036】
以上説明したように、本実施形態に係る並列サンプリング装置によれば、フローサンプリングとパケットサンプリングとを並列して適用するので、それぞれのサンプリングレートを十分小さくしたとしても、各方式の利点を組み合わせることができる。これにより、それぞれを単独で適用する手法や、従来から知られている手法よりも元のフローサイズ分布の再現性を向上させることが可能となる。
【0037】
以上のような本発明の特徴的な動作は、制御プログラムをコンピュータに実行させることによっても実現することが可能である。すなわち、本発明の制御プログラムは、サンプリング対象とするトラヒックに対して、フローサンプリングとパケットサンプリングとを並列に行なう並列サンプリング装置の制御プログラムであって、ミラーリング装置において、前記トラヒックを複製し、2つの同一内容のトラヒックを出力する処理と、フローサンプリング装置において、いずれか一方の前記トラヒックに対して、フローサンプリングを行なう処理と、フローサンプリングデータ解析部において、前記フローサンプリング結果をフローデータに変換する処理と、パケットサンプリング装置において、いずれか他方の前記トラヒックに対して、パケットサンプリングを行なう処理と、パケットサンプリングデータ解析部において、前記パケットサンプリング結果をフローデータに変換する処理と、合成推定部において、前記フローサンプリングデータ解析部の出力および前記パケットサンプリングデータ解析部の出力を合成して元のフローサイズ分布を推定する処理と、の一連の処理を、コンピュータに読み取り可能および実行可能にコマンド化したことを特徴としている。
【0038】
このように、フローサンプリングとパケットサンプリングとを並列して行ない、フローサンプリング解析結果とパケットサンプリング解析結果とを合成して元のフローサイズ分布を推定するので、それぞれのサンプリングレートを十分小さくしたとしても、各方式の利点を組み合わせることができる。これにより、それぞれを単独で適用する手法や、従来から知られている手法よりも元のフローサイズ分布の再現性を向上させることが可能となる。
【0039】
また、本発明の制御プログラムは、前記合成推定部において、前記トラフィック量に依存するフローサイズの閾値よりも小さい値のフローサイズについては、前記フローサンプリング結果のフローデータを採用し、前記閾値よりも大きい値のフローサイズについては、前記パケットサンプリング結果のフローデータを採用する処理を行なうことを特徴としている。このように、トラフィック量に依存するフローサイズの閾値よりも小さい値のフローサイズについては、フローサンプリング結果のフローデータを採用し、閾値よりも大きい値のフローサイズについては、パケットサンプリング結果のフローデータを採用するので、それぞれのサンプリング方法のデメリットが少なくなり、元のフローサイズ分布の再現性を向上させることが可能となる。
【0040】
また、本発明の制御プログラムは、前記合成推定部において、前記閾値とサイズが最大のフローデータとを補間することによって、前記パケットサンプリングの結果のフローデータを算出する処理を行なうことを特徴としている。このように、閾値とサイズが最大のフローデータとを補間することによって、パケットサンプリングの結果のフローデータを算出するので、フローサイズ分布をCCDF(Complementary Cumulative Distribution Function)に基づいて定義し、フローサイズFZおよびCCDFに基づいて推定する手法を採ることができる。
【符号の説明】
【0041】
10 タップ装置
11 ミラーリング装置
12 並列サンプリング装置
13 フローサンプリング装置
13a フローサンプリングデータ解析部
14 パケットサンプリング装置
14a パケットサンプリングデータ解析部
15 解析装置
16 合成推定部
【特許請求の範囲】
【請求項1】
サンプリング対象とするトラヒックに対して、フローサンプリングとパケットサンプリングとを並列に行なう並列サンプリング装置であって、
前記トラヒックを複製し、2つの同一内容のトラヒックを出力するミラーリング装置と、
いずれか一方の前記トラヒックに対して、フローサンプリングを行なうフローサンプリング装置と、
前記フローサンプリング結果をフローデータに変換するフローサンプリングデータ解析部と、
いずれか他方の前記トラヒックに対して、パケットサンプリングを行なうパケットサンプリング装置と、
前記パケットサンプリング結果をフローデータに変換するパケットサンプリングデータ解析部と、
前記フローサンプリングデータ解析部の出力および前記パケットサンプリングデータ解析部の出力を合成して元のフロー特性を推定する合成推定部と、を備えることを特徴とする並列サンプリング装置。
【請求項2】
前記合成推定部は、前記トラフィック量に依存するフローサイズの閾値よりも小さい値のフローサイズについては、前記フローサンプリング結果のフローデータを採用し、前記閾値よりも大きい値のフローサイズについては、前記パケットサンプリング結果のフローデータを採用して、元のフローサイズ分布を推定することを特徴とする請求項1記載の並列サンプリング装置。
【請求項3】
前記合成推定部は、前記閾値とサイズが最大のフローデータとを補間することによって、前記パケットサンプリングの結果のフローデータを算出することを特徴とする請求項2記載の並列サンプリング装置。
【請求項4】
サンプリング対象とするトラヒックに対して、フローサンプリングとパケットサンプリングとを並列に行なう並列サンプリング装置の制御プログラムであって、
ミラーリング装置において、前記トラヒックを複製し、2つの同一内容のトラヒックを出力する処理と、
フローサンプリング装置において、いずれか一方の前記トラヒックに対して、フローサンプリングを行なう処理と、
フローサンプリングデータ解析部において、前記フローサンプリング結果をフローデータに変換する処理と、
パケットサンプリング装置において、いずれか他方の前記トラヒックに対して、パケットサンプリングを行なう処理と、
パケットサンプリングデータ解析部において、前記パケットサンプリング結果をフローデータに変換する処理と、
合成推定部において、前記フローサンプリングデータ解析部の出力および前記パケットサンプリングデータ解析部の出力を合成して元のフロー特性を推定する処理と、の一連の処理を、コンピュータに読み取り可能および実行可能にコマンド化したことを特徴とする制御プログラム。
【請求項5】
前記合成推定部において、前記トラフィック量に依存するフローサイズの閾値よりも小さい値のフローサイズについては、前記フローサンプリング結果のフローデータを採用し、前記閾値よりも大きい値のフローサイズについては、前記パケットサンプリング結果のフローデータを採用して、元のフローサイズ分布を推定する処理を行なうことを特徴とする請求項4記載の制御プログラム。
【請求項6】
前記合成推定部において、前記閾値とサイズが最大のフローデータとを補間することによって、前記パケットサンプリングの結果のフローデータを算出する処理を行なうことを特徴とする請求項5記載の制御プログラム。
【請求項1】
サンプリング対象とするトラヒックに対して、フローサンプリングとパケットサンプリングとを並列に行なう並列サンプリング装置であって、
前記トラヒックを複製し、2つの同一内容のトラヒックを出力するミラーリング装置と、
いずれか一方の前記トラヒックに対して、フローサンプリングを行なうフローサンプリング装置と、
前記フローサンプリング結果をフローデータに変換するフローサンプリングデータ解析部と、
いずれか他方の前記トラヒックに対して、パケットサンプリングを行なうパケットサンプリング装置と、
前記パケットサンプリング結果をフローデータに変換するパケットサンプリングデータ解析部と、
前記フローサンプリングデータ解析部の出力および前記パケットサンプリングデータ解析部の出力を合成して元のフロー特性を推定する合成推定部と、を備えることを特徴とする並列サンプリング装置。
【請求項2】
前記合成推定部は、前記トラフィック量に依存するフローサイズの閾値よりも小さい値のフローサイズについては、前記フローサンプリング結果のフローデータを採用し、前記閾値よりも大きい値のフローサイズについては、前記パケットサンプリング結果のフローデータを採用して、元のフローサイズ分布を推定することを特徴とする請求項1記載の並列サンプリング装置。
【請求項3】
前記合成推定部は、前記閾値とサイズが最大のフローデータとを補間することによって、前記パケットサンプリングの結果のフローデータを算出することを特徴とする請求項2記載の並列サンプリング装置。
【請求項4】
サンプリング対象とするトラヒックに対して、フローサンプリングとパケットサンプリングとを並列に行なう並列サンプリング装置の制御プログラムであって、
ミラーリング装置において、前記トラヒックを複製し、2つの同一内容のトラヒックを出力する処理と、
フローサンプリング装置において、いずれか一方の前記トラヒックに対して、フローサンプリングを行なう処理と、
フローサンプリングデータ解析部において、前記フローサンプリング結果をフローデータに変換する処理と、
パケットサンプリング装置において、いずれか他方の前記トラヒックに対して、パケットサンプリングを行なう処理と、
パケットサンプリングデータ解析部において、前記パケットサンプリング結果をフローデータに変換する処理と、
合成推定部において、前記フローサンプリングデータ解析部の出力および前記パケットサンプリングデータ解析部の出力を合成して元のフロー特性を推定する処理と、の一連の処理を、コンピュータに読み取り可能および実行可能にコマンド化したことを特徴とする制御プログラム。
【請求項5】
前記合成推定部において、前記トラフィック量に依存するフローサイズの閾値よりも小さい値のフローサイズについては、前記フローサンプリング結果のフローデータを採用し、前記閾値よりも大きい値のフローサイズについては、前記パケットサンプリング結果のフローデータを採用して、元のフローサイズ分布を推定する処理を行なうことを特徴とする請求項4記載の制御プログラム。
【請求項6】
前記合成推定部において、前記閾値とサイズが最大のフローデータとを補間することによって、前記パケットサンプリングの結果のフローデータを算出する処理を行なうことを特徴とする請求項5記載の制御プログラム。
【図1】
【図2】
【図3】
【図2】
【図3】
【公開番号】特開2011−55040(P2011−55040A)
【公開日】平成23年3月17日(2011.3.17)
【国際特許分類】
【出願番号】特願2009−199357(P2009−199357)
【出願日】平成21年8月31日(2009.8.31)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
【公開日】平成23年3月17日(2011.3.17)
【国際特許分類】
【出願日】平成21年8月31日(2009.8.31)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
[ Back to top ]