監視点設定方法及び装置及びプログラム
【課題】 ネットワーク上の通信をパッシブに観測し、複数経路の応答遅延の監視を行う際に、適切な監視点を設定する。
【解決手段】 本発明は、通信パケットをキャプチャして、時刻、応答時間、相手先アドレスを取得して第1の記憶手段に格納し、第1の記憶手段から相手先アドレスごとの応答時間の統計情報を算出して第2の記憶手段に格納し、第2の記憶手段から取得した全ての前記統計情報に対してk-medoid法によるクラスタ分類を行い、分類されたクラスタ(アドレスの組)の計数の累積値を求め第3の記憶手段に格納し、各クラスタ毎に各アドレスの中心的な点(medoid)となった回数を算出して第4の記憶手段に格納し、第3の記憶手段に格納された前記クラスタの計数の累積値及び第4の記憶手段に格納された前記各アドレスのmedoidとなった回数に基づいて、監視対象となる代表アドレスを決定する。
【解決手段】 本発明は、通信パケットをキャプチャして、時刻、応答時間、相手先アドレスを取得して第1の記憶手段に格納し、第1の記憶手段から相手先アドレスごとの応答時間の統計情報を算出して第2の記憶手段に格納し、第2の記憶手段から取得した全ての前記統計情報に対してk-medoid法によるクラスタ分類を行い、分類されたクラスタ(アドレスの組)の計数の累積値を求め第3の記憶手段に格納し、各クラスタ毎に各アドレスの中心的な点(medoid)となった回数を算出して第4の記憶手段に格納し、第3の記憶手段に格納された前記クラスタの計数の累積値及び第4の記憶手段に格納された前記各アドレスのmedoidとなった回数に基づいて、監視対象となる代表アドレスを決定する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、IP(Internet Protocol)通信などのパケット通信ネットワークにおける通信品質測定のための監視点設定方法及び装置及びプログラムに係り、特に、ネットワーク上の通信をパッシブに観測し、複数経路の応答遅延の監視を行う際の監視点を設定するための監視点設定方法及び装置及びプログラムに関する。
【背景技術】
【0002】
現在では、IP電話による通信など、ネットワーク内全体で転送遅延が一定以下であること求める品質基準(総務省電気通信事業者設備規則)などが登場してきている。これにより、簡易的にでも「ネットワーク内の遅延の全体像」を計測することが必要となっている。
【0003】
ネットワーク上のパケット測定技術には、大きく分けて、自ら測定用パケットを送受信するアクティブ測定と、既存の通信を、ミラーポート等を経由してモニタ(キャプチャ)するパッシブ測定(モニタリング測定)の2種類がある。
【0004】
また、パケット通信の品質指標は基本的な指標としては、「損失率」、「遅延」、「遅延ゆらぎ」の3点がある。
【0005】
「遅延」の測定では、一般にアクティブ測定技術が用いられる。例えば、意図したパケットの流れを生成して、そのパケット列の送信点で送り出した時刻と、受信側の時刻とを、両端で監視することにより、両者を照合して2点キャプチャ型の一方向遅延を測定する技術、あるいは、受信側で即時応答して送信側に戻ってきたパケットの時間と比較することによる応答時間(RTT: Round Trip Time)を測定する技術(ping応答によるRTT測定技術等)がある。
【0006】
これらの技術のいずれにおいても、所定のノード間の遅延を測定するためには、測定目的通りのフローを生成させる必要があり、そのために、アクティブに意図通りのフローを生成する必要があるため、アクティブ測定技術が用いられる。
【0007】
また、アクティブ測定技術においては、pingなどの特殊なアプリケーションでなく、インターネット等のIP通信において、通常利用される非特許文献1に記載のTCP(Transmission Control Protocol)通信[RFC793]の『SYN/ACK応答』を利用して、遅延応答時間を推定する技術も、例えば、非特許文献2等において開示されている。
【0008】
TCPにてhost_Aからhost_Bに通信を行う場合、まず、TCPセッション開始時にhost_AからSYNパケットをお送り、次に、host_BはSYNを受け取るとSYN+ACKパケットを返し、さらに、host_AがSYN+ACKに対し、ACKパケットを返すことにより成立する。
【0009】
多くの場合、これらのSYN+ACK、ACK応答は基本的に即時に返るものであり、その応答に要する時間はすなわちhost_Aとhost_B間でパケットが往復する時間であるとして、ネットワークの遅延を推定することができる。
【0010】
なお、既存の実装の例としては、例えば、非特許文献3に記載のように、「hping」というツール等を用いる。
【0011】
このようなアクティブ測定技術に対して、パッシブ測定(モニタリング測定)は、コアルータ等で測定すれば通信網を大規模にモニタすることができるが、シーケンス番号を追いかけることによる損失率のモニタリングや、通信網全体のフローサイズの分布等を測定するといった用途が主であり、ネットワークの遅延測定には不向きである。なお、このようなパッシブ測定(モニタリング測定)に用いるツールとして「xflow」等がある。
【0012】
しかし、既存の通信でping通信(ICMP echo requestパケットの送信、ICMP echo replyパケットによる応答のペア)があれば、これをパッシブにモニタすることにより、その通信ペアについての遅延推定は可能であるが、通常のIP網の通信においては、そのようなping通信はほとんど発生せず、実際には、ping通信を用いてパッシブに遅延推定を行うことは困難である。
【0013】
以上のように、狙ったホスト間での遅延について計測する技術は、いつくか知られているが、ネットワーク全体にわたる通信の遅延を計るとなると、アクティブ計測では測定機器を極めて大量に配置しなければならず、また、他のネットワークへ負荷をかけてしまうなど、問題点が多く、また、実際のネットワーク上ではping通信は発生せず、ping通信を用いてパッシブにネットワーク全体の遅延測定を行うことは困難である。
【先行技術文献】
【非特許文献】
【0014】
【非特許文献1】[RFC793],[online],[平成21年11月25日検索]、インターネット<URL: http://tools.ietf.org/thml/rfc793>.
【非特許文献2】Bryan Veal, Kang Li, David Lowenthal "New Methods for Passive Estimation of TCP Round-TripTimes", PAM2005. [online],[平成21年11月25日検索]、インターネット<URL:http://www.cs/uga.edu/-kangli/src/pam05.pdf>.
【非特許文献3】[HPING],[online],[平成21年11月25日検索]、インターネット<URL: http://www.hping.org>.
【発明の概要】
【発明が解決しようとする課題】
【0015】
上記の問題を解決する技術として、アドレスの区分なく集計し「全体平均」などで観測する方法があるが、全体の分布自体を観測したい場合を除けば、通常はアドレス(経路)毎にネットワークの影響も異なるので適切とはいえない。
【0016】
また、実際の観測の前に事前学習期間を用意し、一定時間観測を行い、計数の多い上位アドレスn個を用いる手法があるが、選定されるものがよく利用されるサイトであり、監視対象に近いところであるが、実際には大規模なサイトでは負荷分散や個別サービス毎に同じエッジネットワーク上に複数のアドレスでサーバが稼動しており、それらが大量に別のアドレスとして数えられてしまうので、監視対象アドレス群としては実質的な内容で重複してしまうものが多く適切な選定方法とはいえない。
【0017】
本発明は上記の点に鑑みなされたもので、ネットワーク上の通信をパッシブに観測し、アドレス・RTT監視を行う際に、効率的に監視対象とすべき代表アドレスを選定することが可能な監視点設定方法及び装置及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0018】
上記の課題を解決するため、本発明は、ネットワーク上の通信をパッシブに観測し、アドレス及び応答時間の監視を行う際に、監視すべき監視点(以下、「アドレス」と記す)を設定するための監視点設定装置であって、
通信パケットをキャプチャして、時刻、応答時間、相手先アドレスを取得し、第1の記憶手段に格納するパケット処理手段と、
前記第1の記憶手段から前記相手先アドレスごとの応答時間の統計情報を算出し、第2の記憶手段に格納する統計処理手段と、
前記第2の記憶手段から取得した全ての前記統計情報に対してk-medoid法によるクラスタ分類を行い、分類されたアドレスの組の計数の累積値を求め第3の記憶手段に格納し、各アドレスの組毎に各アドレスの中心的な点(medoid)となった回数を算出し第4の記憶手段に格納するクラスタ分析手段と、
前記第3の記憶手段に格納された前記アドレスの組の計数の累積値及び前記第4の記憶手段に格納された前記各アドレスのmedoidとなった回数に基づいて、監視対象となる代表アドレスを決定する代表点抽出手段と、を有する。
【0019】
また、前記統計処理手段は、
算出された前記統計情報の数が所定の閾値未満の場合は欠損値とする手段を含み、
前記欠損値があった場合は、該欠損値を含む時間区間を除く、または、該欠損値のデータの直前の時間帯のデータを前記統計情報として前記クラスタ分析手段に出力する欠損値処理手段を更に有する。
【0020】
また、前記代表点抽出手段は、
前記第3の記憶手段に格納された前記アドレスの組の計数の累積値が所定の閾値以上となっているアドレスの組を抽出し、該アドレスの組内のアドレスに基づいて前記第4の記憶手段を参照し、該アドレスに対応するmedoidとなった回数が多い方を代表アドレスとする手段を含む。
【発明の効果】
【0021】
上記のように本発明によれば、ネットワーク上の通信をパッシブに観測してアドレスや応答時間を監視する際に、アドレス毎に異なるネットワークの影響も考慮し、さらに、大規模なサイトにおいても抽出されるアドレスの重複がなく、適切なアドレスの選択を行うことが可能となる。
【図面の簡単な説明】
【0022】
【図1】本発明の一実施の形態における監視点設定装置の構成図である。
【図2】本発明の一実施の形態における監視点設定装置のフローチャート(その1)である。
【図3】本発明の一実施の形態における監視点設定装置のフローチャート(その2)である。
【図4】本発明の一実施の形態における統計情報DBの例(その1)である。
【図5】本発明の一実施の形態における統計情報DBの例(その2)である。
【図6】本発明の一実施の形態におけるN組データセットの例である。
【図7】本発明の一実施の形態におけるリンクDBの記録結果である。
【図8】本発明の一実施の形態における累積計数DBの例である。
【発明を実施するための形態】
【0023】
以下図面と共に、本発明の実施の形態を説明する。
【0024】
本発明では、上記の処理の後に、絞込みのためのデータ処理を行う。
【0025】
図1は、本発明の一実施の形態における監視点設定装置の構成を示す。
【0026】
同図に示す監視点設定装置は、パケット処理部110、統計処理部130、欠損処理部150、クラスタ分析部160、代表点抽出部190、RTT記録DB120、統計情報DB140、クラスタ計数DB170、クラスタ分類計数DB180から構成される。
【0027】
以下では、統計指標として、仮にメディアン(中央値)を用いる場合で記述するが、他の統計量を用いる場合でも「メディアン」という記述部分を「90%値」などの指標に置き換えるだけで適用可能である。
【0028】
RTT記録DB120は、各IPアドレスをキーとして、複数のRTT値を記録できるものである。例えば、key-value型DBでvalue部に可変長配列を設定したものが利用可能である。
【0029】
統計情報DB140は、統計処理部130における各アドレスの複数の時間区間での集計結果を記録する。当該DB140は、表形式のデータベースであり、複数のIPアドレスに対応する列をもち、各行は時間区間を示す構造で、行を追加していくことができるものとする。
【0030】
リンク数DB170は、クラスタ分析部160で得られたIPアドレスの組について、同一クラスタと数えられた計数値を格納するデータベースであり、各要素に(i,j)の組をキーとしてアクセスできるz*(z-1)個の要素(計数値)を持つ連想配列で、各要素は初期値0の整数とする。但し、i,jは整数、1≦i<z、1<j≦z、i<jとする。各要素は必要に応じて1ずつ加算して(i,j)の組についての計数をとることができる。
【0031】
さらに、累積計数DB180は、クラスタ分析部160で得られた各IPアドレスがクラスタのmedoidに分類された計数値を格納するデータベースであり、z個のアドレス毎に整数値を記録するもので、初期値はすべて0である。
【0032】
以下に、各構成要素の処理を順に説明する。
【0033】
図2、図3は、本発明の一実施の形態における監視点設定装置のフローチャートである。
【0034】
パケット処理部110は、入力データとして、ルータのミラーポートなどからの通信パケットをキャプチャして処理することで取得する。具体的には、TCPの接続応答パケットの応答時間を観測することにより可能である(TCPのSYNフラグ、もしくは、ACKフラグの立っているパケットを計測し、シーケンス番号を確認し、対応するものからそれぞれの応答時間(RTT)を計測する(ステップ110)。集計単位時間(τ)の間、相手先アドレス毎にRTTをRTT記録DB120に蓄積する(ステップ120)。RTT記録DB120に格納される情報は、集計用の単位時間(τ)の間のRTT、相手先IPアドレスの組である。形式は図2(a)に示すとおりである。ここで、τ条件としては監視対象としたいアドレスについて統計的な値を概ね算出できる程度の数(利用する統計指標に依存するが、10〜数十個以上が妥当)観測できる期間であることが望ましい。
【0035】
上記のパケット処理部110のステップ110の処理として、まず、各集計単位時間τ毎の処理について説明する。各集計単位時間τ内においては、各TCP接続応答時間(以下、「RTT」と記す)を観測する。当該RTTの観測方法としては、事前学習期間を設定し、その期間における計数の多いものから選ぶ手法を用いる。当該手法は、通信ネットワーク上の一点における通信パケットのモニタリングを行い、例えば、TCPセッション確立の開始時のTCPヘッダ上のSYNフラグの立ったパケットを受信した際、その送信元および宛先(送信先)のアドレスとポート番号の組を受信時刻と共に取得して記憶装置に記憶し、また、逆方向にTCPセッション確立の応答(SYN+ACKフラグの立ったパケット)を選別して、その送信元および宛先(送信先)のアドレスとポートの組が記憶装置に記憶されたSYNフラグの立ったパケットと照合できた場合には、記憶装置に格納されたSYNパケットの受信時刻と、その応答であるSYN+ACKパケットの受信時刻との差を計算し、その差の宛先(送信先)IPアドレス間までの応答時間として収集する。
【0036】
上記の方法により観測されたパケットのアドレス毎に、RTTをRTT記録DB120に記録していく。観測されたアドレスがRTT記録DB120のkeyになければ、観測されたアドレスを新規レコードのkeyとして登録して、その値として[RTT]一つを要素とする配列を追加する。既にアドレスがあれば、値の配列の末尾にRTTを追加する。この際、何らかの背景や事前のデータなどにより、観測対象のアドレス範囲を事前にリスト(Address_list)として与えて、当該アドレス範囲に入っているアドレス以外は計測を行わない、とすることで処理コスト・メモリ量などの削減が可能である。
【0037】
ここでは、説明のため、アドレスのリストを(A1,A2,…,Az)のz個のリストとして記述する。なお、アドレスのリストを用いない場合は、集計し終わった後に、計数の多いアドレスの上位から順に必要な数の分のアドレスを選択する方法を用いることができる。
【0038】
統計処理部130は、RTT記録DB120に格納されているアドレス毎のRTT群について、アドレス毎にメディアンや平均値などの統計指標を算出し、統計情報DB140に格納する(ステップ130)。格納形式は図2(b)に示すとおりである。なお、以下では、統計指標として、仮にメディアン(中央値)を用いる場合で記述するが、他の統計量を用いる場合でも「メディアン」という記述部分を「90%値」などの置き換えるだけで適用可能である。
【0039】
統計処理部130は、また、計数が非常に少数の場合には算出値は統計量として信頼できないものになるため、事前に決めた閾値(C_thsd)未満の個数のRTT値しか観測されなかったアドレスについては、計測値なしの「欠損値(None)」として統計情報DB140に記録する(ステップ140)。この処理の結果、複数の(アドレス:RTT統計量)の対応が得られる。これを時刻τ1の記録として統計情報DB140に格納する。当該集計処理を複数回繰り返す。途中段階でn回行った状態での統計DB140は図4のようになる。
【0040】
ここで、上記の統計情報DB140のデータに対して、欠損値処理を行う必要がある。ここで、集計・記録しようとするデータは、ネットワークのユーザ(他者)が通信を行い、その状況をモニタすることにより得られるデータWであり、各τの期間、各アドレス毎のデータは100%全部に対して恒常的に得られるとは限らない。すなわち、前述の欠損値Noneを含むデータとなることがある。
【0041】
後のデータ処理においては、欠損値Noneがあると問題であるため、欠損処理部150において欠損値対策を行う。その方法は以下の2通りのいずれかである。
【0042】
1.欠損値を含む時間区間を除く。すなわち、欠損値を含む時間がn_novalueであった場合、その時間区間は全てのアドレスのデータを削除し、残りのn_novalue区間のデータのみを用いて処理を行う。
【0043】
2.欠損値のデータについてはその直前の時間帯のデータと同じと見做して代用する。
【0044】
欠損値はごく一部であるので、どちらの方法を採用してもよい。本明細書では1.の方法を利用し、欠損データ時間帯を除外する。なお、欠損値が一部であるという仮定については欠損値が大量に発生するくらいデータが少ない場合は本発明の方法がそもそも有効な意味をなさないためである。但し、対象とするネットワークの特性により日中の時間帯のみ、もしくは夜間の時間帯のみにデータが得られるといった構成のため、欠損値が発生する場合は上記1.を適用することで完全に適用可能である。
【0045】
欠損処理部140は、上記のステップ110の観測処理からステップ140の欠損処理を、n*N行分のデータが統計情報DB140に蓄積されるまで行う。ここで、n,Nは適当な整数である(nが小さすぎて各アドレス毎の特徴が分かれない場合は、後述するクラスタ分類がうまく機能しないので、その範囲で小さすぎない値が必要である。また、Nについては、各回のクラスタ分類には以上値の影響による誤分類などが含まれてしまうため、これらを排除するために複数回(N回)行うのが目的である。例えば、10回〜数十回くらいが適切と考えられる)。
【0046】
上記の統計処理部130の集計を繰り返し、統計情報DB140にn*N行分のデータが蓄積されると図5のようになる。ここで、このデータについて、図6に示すように、z個のn次元ベクトルというデータセットがN組存在すると捉えることができる。
【0047】
図6に示すデータセットについて、クラスタ分析部160によるクラスタ分類処理を適用する(ステップ150)。
【0048】
クラスタ分類処理にはk-means法、k-medoid法などいくつかの方法があるが、本明細書中では、k-medoid法(例えば、「文献1[K-medoids]http://en.wikipedia.org/wiki/K-medoids 」(k-means法よりも異常値の影響が抑えられるため適している)を用いる。
【0049】
なお、既存手法であるK-medoids法のクラスタ処理の計算法自体は本発明の対象外であり、適当な外部のライブラリ・プログラムなどを用いて計算するものとする。ここでは、mlpyライブラリを用いている(例えば、「文献2[mlpy]http://mlpy.fbk.eu/」)。K-medoid法を適用する場合、適当なクラスタ数κ(2≦κ<z)を与えて計算すると以下の出力が得られる。
【0050】
入力データ:
*z個のn次元ベクトル
*クラスタ数κ
出力データ:
*分類されたκ個のクラスタの「medoidベクトル」のリスト(入力したz個のベクトルの部分集合で、各クラスタの"核"に相当するベクトル群)
*κ個のクラスタリスト(各リストは0〜(z−κ)個のベクトルを含み、その含まれるベクトルは、z個のベクトルのうち、medoidとならなかったものが入る)。
【0051】
ここで、クラスタ分析部160は、κ個のクラスタのうち、2以上の要素(のうち1つはmedoid)をもつものについて、「同一クラスタに分類された」リンクを数えてリンク数DB170に記録する。リンク数DB170に同一クラスタと分類されたもの同士の組合せ全てについて1ずつ加算する(ステップ160)。例えば、z=20で、κ=10のクラスタに分類した際に、2番目のクラスタに3,6,7番目のベクトルが入っていたとすると、(3,6)と(3,7)と(6,7)の要素について1ずつ加算する。その結果を図3(c)に示す。
【0052】
この処理の意味は、基本的には類似性の高いベクトルが同じクラスタに分類される。これは、RTTの挙動特性が似ていれば同じクラスタになりやすいことを意味する。但し、RTT計測は外乱要因の影響も大きいため、クラスタ計算では必ずしもぴったりとは適した組合せに分類はされない。また、クラスタ計算の際に、予め入力データが分類されるべきクラスタ数を陽に与える必要がある点も問題である(対象となるデータの種類によるが、ここではκはzの半分くらいで処理を行うことが望ましい)。
【0053】
また、各クラスタ毎に中心的な点(medoid)がどれかという情報もk-medoid法によるクラスタ化の際に出てくる。Medoidとなったアドレスについては累積計数DB180の当該アドレスに対応する数値を1加算する。これで、累積計数DB180に各アドレスごとの累積medoid計数が記録される。この例を図3の(d)に示す。
【0054】
このクラスタ分類に計算及びリンク数DB170、累積計数DB180への記録処理を各データセットに対して行う(すなわち、データセットの個数N個分)。
【0055】
次に、代表点抽出部190は、クラスタ処理結果から所定の閾値以上の計数のものを抽出する(ステップ170)。上記のクラスタ分析部160の処理の結果、リンク数を記録したリンク数DB170には、各要素が0〜Nの範囲の整数が記録されている。この数値が大きいほど、その数値のキーとなっている(i,j)の組合せは特に要素がNであれば、該当する(i,j)の組合せ(すなわち、i番目とj番目のアドレスの組合せ)は、全てのクラスタ分類において、「同じクラスタに分類された」ことを意味し、共通性が高い。逆に0であれば、同じクラスタに分類されることはなかったという疎な関係を意味する。中間値の解釈は、値がNに近いほど大きければ「近い」関係であり、逆に、1,2など小さい値の場合は、ノイズ、外的要因の影響でたまたま数回同じクラスタに分類されただけで本来はあまり近くない組合せであると判断される。
【0056】
そこで、ある閾値ξを設定する(1<ξ<N)。そして、リンク数を記録するデータ構造(図3(c))からξ以上のカウントとなっている組合せを抽出する。
【0057】
以下に、具体的な数値による例を示す。
【0058】
図7は、本発明の一実施の形態におけるリンクDBの記録結果の例である。
【0059】
z=10でN=28回で図7に示すような記録結果が得られたものとする。図7において、上下端の横方向の並びの数値がi、左端の数値はjの値で中央の三角形に並んでいる数値群が組合せの計数である。
【0060】
図7において、例えば、(1,2)の組合せは「0」、(5,8)は「4」と疎な関係であるが、(5,6)、(7,8)、(7,9)、(8,9)はN´の1/2以上の値であり、関係が強い。ξをN´*0.5とする場合には、ここではこれらの組合せが選択されることとなる。すなわち、(2,3)と(5,6)が一つの組、2つの組合せでつながる(7,8,9)の3者がもう一つの組、それ以外は独立要素という結果となる。
【0061】
この方法では、別のパラメータξを事前に決定する必要はあるが、ξは「N´回のデータセットに対するクラスタ分類のうちどれだけの回で同一組と判定されるか」という意味と結び付けやすいパラメータであり、決定しやすい。
【0062】
各データセットに対するクラスタ分類時のクラスタ数パラメータκは、引き続き必要であるが、上記の処理で最終的に閾値を超えるもの、に選別されるため、κの値を変更した場合の影響は1回のクラスタ処理で決める場合に較べて格段に小さい。そのため、zの約半分程度の数などに適当に決めて実施することができる。
【0063】
また、代表点抽出部190は、累積計数DB180を参照して上記のステップ170で決定された各組について、閾値を用いて代表アドレスとすべき組を抽出する(ステップ180)。図3の(e)の例に示すように、閾値ξ=10である場合に、累積計数DB180に格納されている累積計数値が10以上の組合せを抽出する。
【0064】
また、閾値を用いずに、同一グループとなったアドレスのうち、計数値が最も多いものを代表点とすることも可能である。ここで、累積計数DB180に蓄積されている累積値の例を図8に示す。
【0065】
累積計数DB180に図8に示すような値が格納されていた場合、(2,3)の組において、key=2の値「28」)の方が、key=3の値「0」より大きいので、key=2の方を採用する。同様に、(5,6)についてはkey=6を、(7,8,9)についてはkey=8を代表点として採用する。
【0066】
以上の処理結果から、独立性の高い代表アドレスとして、アドレスリストから1番目、2番目、4番目、6番目、8番目、10番目を採用すればよいことがわかる。
【0067】
なお、図1に示す監視点設定装置の構成要素の動作をプログラムとして構築し、監視点設定装置として利用されるコンピュータにインストールして実行させる、または、ネットワークを介して流通させることが可能である。
【0068】
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において種々変更・応用が可能である。
【符号の説明】
【0069】
110 パケット処理部
120 RTT記録DB
130 統計処理部
140 統計情報DB
150 欠損処理部
160 クラスタ分析部
170 リンク数DB
180 累積計数DB
190 代表点抽出部
【技術分野】
【0001】
本発明は、IP(Internet Protocol)通信などのパケット通信ネットワークにおける通信品質測定のための監視点設定方法及び装置及びプログラムに係り、特に、ネットワーク上の通信をパッシブに観測し、複数経路の応答遅延の監視を行う際の監視点を設定するための監視点設定方法及び装置及びプログラムに関する。
【背景技術】
【0002】
現在では、IP電話による通信など、ネットワーク内全体で転送遅延が一定以下であること求める品質基準(総務省電気通信事業者設備規則)などが登場してきている。これにより、簡易的にでも「ネットワーク内の遅延の全体像」を計測することが必要となっている。
【0003】
ネットワーク上のパケット測定技術には、大きく分けて、自ら測定用パケットを送受信するアクティブ測定と、既存の通信を、ミラーポート等を経由してモニタ(キャプチャ)するパッシブ測定(モニタリング測定)の2種類がある。
【0004】
また、パケット通信の品質指標は基本的な指標としては、「損失率」、「遅延」、「遅延ゆらぎ」の3点がある。
【0005】
「遅延」の測定では、一般にアクティブ測定技術が用いられる。例えば、意図したパケットの流れを生成して、そのパケット列の送信点で送り出した時刻と、受信側の時刻とを、両端で監視することにより、両者を照合して2点キャプチャ型の一方向遅延を測定する技術、あるいは、受信側で即時応答して送信側に戻ってきたパケットの時間と比較することによる応答時間(RTT: Round Trip Time)を測定する技術(ping応答によるRTT測定技術等)がある。
【0006】
これらの技術のいずれにおいても、所定のノード間の遅延を測定するためには、測定目的通りのフローを生成させる必要があり、そのために、アクティブに意図通りのフローを生成する必要があるため、アクティブ測定技術が用いられる。
【0007】
また、アクティブ測定技術においては、pingなどの特殊なアプリケーションでなく、インターネット等のIP通信において、通常利用される非特許文献1に記載のTCP(Transmission Control Protocol)通信[RFC793]の『SYN/ACK応答』を利用して、遅延応答時間を推定する技術も、例えば、非特許文献2等において開示されている。
【0008】
TCPにてhost_Aからhost_Bに通信を行う場合、まず、TCPセッション開始時にhost_AからSYNパケットをお送り、次に、host_BはSYNを受け取るとSYN+ACKパケットを返し、さらに、host_AがSYN+ACKに対し、ACKパケットを返すことにより成立する。
【0009】
多くの場合、これらのSYN+ACK、ACK応答は基本的に即時に返るものであり、その応答に要する時間はすなわちhost_Aとhost_B間でパケットが往復する時間であるとして、ネットワークの遅延を推定することができる。
【0010】
なお、既存の実装の例としては、例えば、非特許文献3に記載のように、「hping」というツール等を用いる。
【0011】
このようなアクティブ測定技術に対して、パッシブ測定(モニタリング測定)は、コアルータ等で測定すれば通信網を大規模にモニタすることができるが、シーケンス番号を追いかけることによる損失率のモニタリングや、通信網全体のフローサイズの分布等を測定するといった用途が主であり、ネットワークの遅延測定には不向きである。なお、このようなパッシブ測定(モニタリング測定)に用いるツールとして「xflow」等がある。
【0012】
しかし、既存の通信でping通信(ICMP echo requestパケットの送信、ICMP echo replyパケットによる応答のペア)があれば、これをパッシブにモニタすることにより、その通信ペアについての遅延推定は可能であるが、通常のIP網の通信においては、そのようなping通信はほとんど発生せず、実際には、ping通信を用いてパッシブに遅延推定を行うことは困難である。
【0013】
以上のように、狙ったホスト間での遅延について計測する技術は、いつくか知られているが、ネットワーク全体にわたる通信の遅延を計るとなると、アクティブ計測では測定機器を極めて大量に配置しなければならず、また、他のネットワークへ負荷をかけてしまうなど、問題点が多く、また、実際のネットワーク上ではping通信は発生せず、ping通信を用いてパッシブにネットワーク全体の遅延測定を行うことは困難である。
【先行技術文献】
【非特許文献】
【0014】
【非特許文献1】[RFC793],[online],[平成21年11月25日検索]、インターネット<URL: http://tools.ietf.org/thml/rfc793>.
【非特許文献2】Bryan Veal, Kang Li, David Lowenthal "New Methods for Passive Estimation of TCP Round-TripTimes", PAM2005. [online],[平成21年11月25日検索]、インターネット<URL:http://www.cs/uga.edu/-kangli/src/pam05.pdf>.
【非特許文献3】[HPING],[online],[平成21年11月25日検索]、インターネット<URL: http://www.hping.org>.
【発明の概要】
【発明が解決しようとする課題】
【0015】
上記の問題を解決する技術として、アドレスの区分なく集計し「全体平均」などで観測する方法があるが、全体の分布自体を観測したい場合を除けば、通常はアドレス(経路)毎にネットワークの影響も異なるので適切とはいえない。
【0016】
また、実際の観測の前に事前学習期間を用意し、一定時間観測を行い、計数の多い上位アドレスn個を用いる手法があるが、選定されるものがよく利用されるサイトであり、監視対象に近いところであるが、実際には大規模なサイトでは負荷分散や個別サービス毎に同じエッジネットワーク上に複数のアドレスでサーバが稼動しており、それらが大量に別のアドレスとして数えられてしまうので、監視対象アドレス群としては実質的な内容で重複してしまうものが多く適切な選定方法とはいえない。
【0017】
本発明は上記の点に鑑みなされたもので、ネットワーク上の通信をパッシブに観測し、アドレス・RTT監視を行う際に、効率的に監視対象とすべき代表アドレスを選定することが可能な監視点設定方法及び装置及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0018】
上記の課題を解決するため、本発明は、ネットワーク上の通信をパッシブに観測し、アドレス及び応答時間の監視を行う際に、監視すべき監視点(以下、「アドレス」と記す)を設定するための監視点設定装置であって、
通信パケットをキャプチャして、時刻、応答時間、相手先アドレスを取得し、第1の記憶手段に格納するパケット処理手段と、
前記第1の記憶手段から前記相手先アドレスごとの応答時間の統計情報を算出し、第2の記憶手段に格納する統計処理手段と、
前記第2の記憶手段から取得した全ての前記統計情報に対してk-medoid法によるクラスタ分類を行い、分類されたアドレスの組の計数の累積値を求め第3の記憶手段に格納し、各アドレスの組毎に各アドレスの中心的な点(medoid)となった回数を算出し第4の記憶手段に格納するクラスタ分析手段と、
前記第3の記憶手段に格納された前記アドレスの組の計数の累積値及び前記第4の記憶手段に格納された前記各アドレスのmedoidとなった回数に基づいて、監視対象となる代表アドレスを決定する代表点抽出手段と、を有する。
【0019】
また、前記統計処理手段は、
算出された前記統計情報の数が所定の閾値未満の場合は欠損値とする手段を含み、
前記欠損値があった場合は、該欠損値を含む時間区間を除く、または、該欠損値のデータの直前の時間帯のデータを前記統計情報として前記クラスタ分析手段に出力する欠損値処理手段を更に有する。
【0020】
また、前記代表点抽出手段は、
前記第3の記憶手段に格納された前記アドレスの組の計数の累積値が所定の閾値以上となっているアドレスの組を抽出し、該アドレスの組内のアドレスに基づいて前記第4の記憶手段を参照し、該アドレスに対応するmedoidとなった回数が多い方を代表アドレスとする手段を含む。
【発明の効果】
【0021】
上記のように本発明によれば、ネットワーク上の通信をパッシブに観測してアドレスや応答時間を監視する際に、アドレス毎に異なるネットワークの影響も考慮し、さらに、大規模なサイトにおいても抽出されるアドレスの重複がなく、適切なアドレスの選択を行うことが可能となる。
【図面の簡単な説明】
【0022】
【図1】本発明の一実施の形態における監視点設定装置の構成図である。
【図2】本発明の一実施の形態における監視点設定装置のフローチャート(その1)である。
【図3】本発明の一実施の形態における監視点設定装置のフローチャート(その2)である。
【図4】本発明の一実施の形態における統計情報DBの例(その1)である。
【図5】本発明の一実施の形態における統計情報DBの例(その2)である。
【図6】本発明の一実施の形態におけるN組データセットの例である。
【図7】本発明の一実施の形態におけるリンクDBの記録結果である。
【図8】本発明の一実施の形態における累積計数DBの例である。
【発明を実施するための形態】
【0023】
以下図面と共に、本発明の実施の形態を説明する。
【0024】
本発明では、上記の処理の後に、絞込みのためのデータ処理を行う。
【0025】
図1は、本発明の一実施の形態における監視点設定装置の構成を示す。
【0026】
同図に示す監視点設定装置は、パケット処理部110、統計処理部130、欠損処理部150、クラスタ分析部160、代表点抽出部190、RTT記録DB120、統計情報DB140、クラスタ計数DB170、クラスタ分類計数DB180から構成される。
【0027】
以下では、統計指標として、仮にメディアン(中央値)を用いる場合で記述するが、他の統計量を用いる場合でも「メディアン」という記述部分を「90%値」などの指標に置き換えるだけで適用可能である。
【0028】
RTT記録DB120は、各IPアドレスをキーとして、複数のRTT値を記録できるものである。例えば、key-value型DBでvalue部に可変長配列を設定したものが利用可能である。
【0029】
統計情報DB140は、統計処理部130における各アドレスの複数の時間区間での集計結果を記録する。当該DB140は、表形式のデータベースであり、複数のIPアドレスに対応する列をもち、各行は時間区間を示す構造で、行を追加していくことができるものとする。
【0030】
リンク数DB170は、クラスタ分析部160で得られたIPアドレスの組について、同一クラスタと数えられた計数値を格納するデータベースであり、各要素に(i,j)の組をキーとしてアクセスできるz*(z-1)個の要素(計数値)を持つ連想配列で、各要素は初期値0の整数とする。但し、i,jは整数、1≦i<z、1<j≦z、i<jとする。各要素は必要に応じて1ずつ加算して(i,j)の組についての計数をとることができる。
【0031】
さらに、累積計数DB180は、クラスタ分析部160で得られた各IPアドレスがクラスタのmedoidに分類された計数値を格納するデータベースであり、z個のアドレス毎に整数値を記録するもので、初期値はすべて0である。
【0032】
以下に、各構成要素の処理を順に説明する。
【0033】
図2、図3は、本発明の一実施の形態における監視点設定装置のフローチャートである。
【0034】
パケット処理部110は、入力データとして、ルータのミラーポートなどからの通信パケットをキャプチャして処理することで取得する。具体的には、TCPの接続応答パケットの応答時間を観測することにより可能である(TCPのSYNフラグ、もしくは、ACKフラグの立っているパケットを計測し、シーケンス番号を確認し、対応するものからそれぞれの応答時間(RTT)を計測する(ステップ110)。集計単位時間(τ)の間、相手先アドレス毎にRTTをRTT記録DB120に蓄積する(ステップ120)。RTT記録DB120に格納される情報は、集計用の単位時間(τ)の間のRTT、相手先IPアドレスの組である。形式は図2(a)に示すとおりである。ここで、τ条件としては監視対象としたいアドレスについて統計的な値を概ね算出できる程度の数(利用する統計指標に依存するが、10〜数十個以上が妥当)観測できる期間であることが望ましい。
【0035】
上記のパケット処理部110のステップ110の処理として、まず、各集計単位時間τ毎の処理について説明する。各集計単位時間τ内においては、各TCP接続応答時間(以下、「RTT」と記す)を観測する。当該RTTの観測方法としては、事前学習期間を設定し、その期間における計数の多いものから選ぶ手法を用いる。当該手法は、通信ネットワーク上の一点における通信パケットのモニタリングを行い、例えば、TCPセッション確立の開始時のTCPヘッダ上のSYNフラグの立ったパケットを受信した際、その送信元および宛先(送信先)のアドレスとポート番号の組を受信時刻と共に取得して記憶装置に記憶し、また、逆方向にTCPセッション確立の応答(SYN+ACKフラグの立ったパケット)を選別して、その送信元および宛先(送信先)のアドレスとポートの組が記憶装置に記憶されたSYNフラグの立ったパケットと照合できた場合には、記憶装置に格納されたSYNパケットの受信時刻と、その応答であるSYN+ACKパケットの受信時刻との差を計算し、その差の宛先(送信先)IPアドレス間までの応答時間として収集する。
【0036】
上記の方法により観測されたパケットのアドレス毎に、RTTをRTT記録DB120に記録していく。観測されたアドレスがRTT記録DB120のkeyになければ、観測されたアドレスを新規レコードのkeyとして登録して、その値として[RTT]一つを要素とする配列を追加する。既にアドレスがあれば、値の配列の末尾にRTTを追加する。この際、何らかの背景や事前のデータなどにより、観測対象のアドレス範囲を事前にリスト(Address_list)として与えて、当該アドレス範囲に入っているアドレス以外は計測を行わない、とすることで処理コスト・メモリ量などの削減が可能である。
【0037】
ここでは、説明のため、アドレスのリストを(A1,A2,…,Az)のz個のリストとして記述する。なお、アドレスのリストを用いない場合は、集計し終わった後に、計数の多いアドレスの上位から順に必要な数の分のアドレスを選択する方法を用いることができる。
【0038】
統計処理部130は、RTT記録DB120に格納されているアドレス毎のRTT群について、アドレス毎にメディアンや平均値などの統計指標を算出し、統計情報DB140に格納する(ステップ130)。格納形式は図2(b)に示すとおりである。なお、以下では、統計指標として、仮にメディアン(中央値)を用いる場合で記述するが、他の統計量を用いる場合でも「メディアン」という記述部分を「90%値」などの置き換えるだけで適用可能である。
【0039】
統計処理部130は、また、計数が非常に少数の場合には算出値は統計量として信頼できないものになるため、事前に決めた閾値(C_thsd)未満の個数のRTT値しか観測されなかったアドレスについては、計測値なしの「欠損値(None)」として統計情報DB140に記録する(ステップ140)。この処理の結果、複数の(アドレス:RTT統計量)の対応が得られる。これを時刻τ1の記録として統計情報DB140に格納する。当該集計処理を複数回繰り返す。途中段階でn回行った状態での統計DB140は図4のようになる。
【0040】
ここで、上記の統計情報DB140のデータに対して、欠損値処理を行う必要がある。ここで、集計・記録しようとするデータは、ネットワークのユーザ(他者)が通信を行い、その状況をモニタすることにより得られるデータWであり、各τの期間、各アドレス毎のデータは100%全部に対して恒常的に得られるとは限らない。すなわち、前述の欠損値Noneを含むデータとなることがある。
【0041】
後のデータ処理においては、欠損値Noneがあると問題であるため、欠損処理部150において欠損値対策を行う。その方法は以下の2通りのいずれかである。
【0042】
1.欠損値を含む時間区間を除く。すなわち、欠損値を含む時間がn_novalueであった場合、その時間区間は全てのアドレスのデータを削除し、残りのn_novalue区間のデータのみを用いて処理を行う。
【0043】
2.欠損値のデータについてはその直前の時間帯のデータと同じと見做して代用する。
【0044】
欠損値はごく一部であるので、どちらの方法を採用してもよい。本明細書では1.の方法を利用し、欠損データ時間帯を除外する。なお、欠損値が一部であるという仮定については欠損値が大量に発生するくらいデータが少ない場合は本発明の方法がそもそも有効な意味をなさないためである。但し、対象とするネットワークの特性により日中の時間帯のみ、もしくは夜間の時間帯のみにデータが得られるといった構成のため、欠損値が発生する場合は上記1.を適用することで完全に適用可能である。
【0045】
欠損処理部140は、上記のステップ110の観測処理からステップ140の欠損処理を、n*N行分のデータが統計情報DB140に蓄積されるまで行う。ここで、n,Nは適当な整数である(nが小さすぎて各アドレス毎の特徴が分かれない場合は、後述するクラスタ分類がうまく機能しないので、その範囲で小さすぎない値が必要である。また、Nについては、各回のクラスタ分類には以上値の影響による誤分類などが含まれてしまうため、これらを排除するために複数回(N回)行うのが目的である。例えば、10回〜数十回くらいが適切と考えられる)。
【0046】
上記の統計処理部130の集計を繰り返し、統計情報DB140にn*N行分のデータが蓄積されると図5のようになる。ここで、このデータについて、図6に示すように、z個のn次元ベクトルというデータセットがN組存在すると捉えることができる。
【0047】
図6に示すデータセットについて、クラスタ分析部160によるクラスタ分類処理を適用する(ステップ150)。
【0048】
クラスタ分類処理にはk-means法、k-medoid法などいくつかの方法があるが、本明細書中では、k-medoid法(例えば、「文献1[K-medoids]http://en.wikipedia.org/wiki/K-medoids 」(k-means法よりも異常値の影響が抑えられるため適している)を用いる。
【0049】
なお、既存手法であるK-medoids法のクラスタ処理の計算法自体は本発明の対象外であり、適当な外部のライブラリ・プログラムなどを用いて計算するものとする。ここでは、mlpyライブラリを用いている(例えば、「文献2[mlpy]http://mlpy.fbk.eu/」)。K-medoid法を適用する場合、適当なクラスタ数κ(2≦κ<z)を与えて計算すると以下の出力が得られる。
【0050】
入力データ:
*z個のn次元ベクトル
*クラスタ数κ
出力データ:
*分類されたκ個のクラスタの「medoidベクトル」のリスト(入力したz個のベクトルの部分集合で、各クラスタの"核"に相当するベクトル群)
*κ個のクラスタリスト(各リストは0〜(z−κ)個のベクトルを含み、その含まれるベクトルは、z個のベクトルのうち、medoidとならなかったものが入る)。
【0051】
ここで、クラスタ分析部160は、κ個のクラスタのうち、2以上の要素(のうち1つはmedoid)をもつものについて、「同一クラスタに分類された」リンクを数えてリンク数DB170に記録する。リンク数DB170に同一クラスタと分類されたもの同士の組合せ全てについて1ずつ加算する(ステップ160)。例えば、z=20で、κ=10のクラスタに分類した際に、2番目のクラスタに3,6,7番目のベクトルが入っていたとすると、(3,6)と(3,7)と(6,7)の要素について1ずつ加算する。その結果を図3(c)に示す。
【0052】
この処理の意味は、基本的には類似性の高いベクトルが同じクラスタに分類される。これは、RTTの挙動特性が似ていれば同じクラスタになりやすいことを意味する。但し、RTT計測は外乱要因の影響も大きいため、クラスタ計算では必ずしもぴったりとは適した組合せに分類はされない。また、クラスタ計算の際に、予め入力データが分類されるべきクラスタ数を陽に与える必要がある点も問題である(対象となるデータの種類によるが、ここではκはzの半分くらいで処理を行うことが望ましい)。
【0053】
また、各クラスタ毎に中心的な点(medoid)がどれかという情報もk-medoid法によるクラスタ化の際に出てくる。Medoidとなったアドレスについては累積計数DB180の当該アドレスに対応する数値を1加算する。これで、累積計数DB180に各アドレスごとの累積medoid計数が記録される。この例を図3の(d)に示す。
【0054】
このクラスタ分類に計算及びリンク数DB170、累積計数DB180への記録処理を各データセットに対して行う(すなわち、データセットの個数N個分)。
【0055】
次に、代表点抽出部190は、クラスタ処理結果から所定の閾値以上の計数のものを抽出する(ステップ170)。上記のクラスタ分析部160の処理の結果、リンク数を記録したリンク数DB170には、各要素が0〜Nの範囲の整数が記録されている。この数値が大きいほど、その数値のキーとなっている(i,j)の組合せは特に要素がNであれば、該当する(i,j)の組合せ(すなわち、i番目とj番目のアドレスの組合せ)は、全てのクラスタ分類において、「同じクラスタに分類された」ことを意味し、共通性が高い。逆に0であれば、同じクラスタに分類されることはなかったという疎な関係を意味する。中間値の解釈は、値がNに近いほど大きければ「近い」関係であり、逆に、1,2など小さい値の場合は、ノイズ、外的要因の影響でたまたま数回同じクラスタに分類されただけで本来はあまり近くない組合せであると判断される。
【0056】
そこで、ある閾値ξを設定する(1<ξ<N)。そして、リンク数を記録するデータ構造(図3(c))からξ以上のカウントとなっている組合せを抽出する。
【0057】
以下に、具体的な数値による例を示す。
【0058】
図7は、本発明の一実施の形態におけるリンクDBの記録結果の例である。
【0059】
z=10でN=28回で図7に示すような記録結果が得られたものとする。図7において、上下端の横方向の並びの数値がi、左端の数値はjの値で中央の三角形に並んでいる数値群が組合せの計数である。
【0060】
図7において、例えば、(1,2)の組合せは「0」、(5,8)は「4」と疎な関係であるが、(5,6)、(7,8)、(7,9)、(8,9)はN´の1/2以上の値であり、関係が強い。ξをN´*0.5とする場合には、ここではこれらの組合せが選択されることとなる。すなわち、(2,3)と(5,6)が一つの組、2つの組合せでつながる(7,8,9)の3者がもう一つの組、それ以外は独立要素という結果となる。
【0061】
この方法では、別のパラメータξを事前に決定する必要はあるが、ξは「N´回のデータセットに対するクラスタ分類のうちどれだけの回で同一組と判定されるか」という意味と結び付けやすいパラメータであり、決定しやすい。
【0062】
各データセットに対するクラスタ分類時のクラスタ数パラメータκは、引き続き必要であるが、上記の処理で最終的に閾値を超えるもの、に選別されるため、κの値を変更した場合の影響は1回のクラスタ処理で決める場合に較べて格段に小さい。そのため、zの約半分程度の数などに適当に決めて実施することができる。
【0063】
また、代表点抽出部190は、累積計数DB180を参照して上記のステップ170で決定された各組について、閾値を用いて代表アドレスとすべき組を抽出する(ステップ180)。図3の(e)の例に示すように、閾値ξ=10である場合に、累積計数DB180に格納されている累積計数値が10以上の組合せを抽出する。
【0064】
また、閾値を用いずに、同一グループとなったアドレスのうち、計数値が最も多いものを代表点とすることも可能である。ここで、累積計数DB180に蓄積されている累積値の例を図8に示す。
【0065】
累積計数DB180に図8に示すような値が格納されていた場合、(2,3)の組において、key=2の値「28」)の方が、key=3の値「0」より大きいので、key=2の方を採用する。同様に、(5,6)についてはkey=6を、(7,8,9)についてはkey=8を代表点として採用する。
【0066】
以上の処理結果から、独立性の高い代表アドレスとして、アドレスリストから1番目、2番目、4番目、6番目、8番目、10番目を採用すればよいことがわかる。
【0067】
なお、図1に示す監視点設定装置の構成要素の動作をプログラムとして構築し、監視点設定装置として利用されるコンピュータにインストールして実行させる、または、ネットワークを介して流通させることが可能である。
【0068】
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において種々変更・応用が可能である。
【符号の説明】
【0069】
110 パケット処理部
120 RTT記録DB
130 統計処理部
140 統計情報DB
150 欠損処理部
160 クラスタ分析部
170 リンク数DB
180 累積計数DB
190 代表点抽出部
【特許請求の範囲】
【請求項1】
ネットワーク上の通信をパッシブに観測し、アドレス及び応答時間の監視を行う際に、監視すべき監視点(以下、「アドレス」と記す)を設定するための監視点設定方法であって、
パケット処理手段が、通信パケットをキャプチャして、時刻、応答時間、相手先アドレスを取得し、第1の記憶手段に格納するパケット処理ステップと、
統計処理手段が、前記第1の記憶手段から前記相手先アドレスごとの応答時間の統計情報を算出し、第2の記憶手段に格納する統計処理ステップと、
クラスタ分析手段が、前記第2の記憶手段から取得した全ての前記統計情報に対してk-medoid法によるクラスタ分類を行い、分類されたアドレスの組の計数の累積値を求め第3の記憶手段に格納し、各アドレスの組毎に各アドレスの中心的な点(medoid)となった回数を算出し第4の記憶手段に格納するクラスタ分析ステップと、
代表点抽出手段が、前記第3の記憶手段に格納された前記アドレスの組の計数の累積値及び前記第4の記憶手段に格納された前記各アドレスのmedoidとなった回数に基づいて、監視対象となる代表アドレスを決定する代表点抽出ステップと、
を行うことを特徴とする監視点設定方法。
【請求項2】
前記統計処理ステップにおいて、
算出された前記統計情報の数が所定の閾値未満の場合は欠損値とし、
前記欠損値があった場合は、該欠損値を含む時間区間を除く、または、該欠損値のデータの直前の時間帯のデータを前記統計情報として前記クラスタ分析ステップの入力とする
請求項1記載の監視点設定方法。
【請求項3】
前記代表点抽出ステップにおいて、
前記第3の記憶手段に格納された前記アドレスの組みの計数の累積値が所定の閾値以上となっているアドレスの組を抽出し、該クラスタ内のアドレスに基づいて前記第4の記憶手段を参照し、該アドレスに対応するmedoidとなった回数が多い方を代表アドレスとする
請求項1記載の監視点設定方法。
【請求項4】
ネットワーク上の通信をパッシブに観測し、アドレス及び応答時間の監視を行う際に、監視すべき監視点(以下、「アドレス」と記す)を設定するための監視点設定装置であって、
通信パケットをキャプチャして、時刻、応答時間、相手先アドレスを取得し、第1の記憶手段に格納するパケット処理手段と、
前記第1の記憶手段から前記相手先アドレスごとの応答時間の統計情報を算出し、第2の記憶手段に格納する統計処理手段と、
前記第2の記憶手段から取得した全ての前記統計情報に対してk-medoid法によるクラスタ分類を行い、分類されたアドレスの組の計数の累積値を求め第3の記憶手段に格納し、各アドレスの組毎に各アドレスの中心的な点(medoid)となった回数を算出し第4の記憶手段に格納するクラスタ分析手段と、
前記第3の記憶手段に格納された前記アドレスの組の計数の累積値及び前記第4の記憶手段に格納された前記各アドレスのmedoidとなった回数に基づいて、監視対象となる代表アドレスを決定する代表点抽出手段と、
を有することを特徴とする監視点設定装置。
【請求項5】
前記統計処理手段は、
算出された前記統計情報の数が所定の閾値未満の場合は欠損値とする手段を含み、
前記欠損値があった場合は、該欠損値を含む時間区間を除く、または、該欠損値のデータの直前の時間帯のデータを前記統計情報として前記クラスタ分析手段に出力する欠損値処理手段を更に有する
請求項4記載の監視点設定装置。
【請求項6】
前記代表点抽出手段は、
前記第3の記憶手段に格納された前記アドレスの組の計数の累積値が所定の閾値以上となっているアドレスの組を抽出し、該アドレスの組内のアドレスに基づいて前記第4の記憶手段を参照し、該アドレスに対応するmedoidとなった回数が多い方を代表アドレスとする手段を含む
請求項4記載の監視点設定装置。
【請求項7】
コンピュータを、
請求項4乃至6のいずれか1項に記載の監視点設定装置の各手段として機能させるための監視点設定プログラム。
【請求項1】
ネットワーク上の通信をパッシブに観測し、アドレス及び応答時間の監視を行う際に、監視すべき監視点(以下、「アドレス」と記す)を設定するための監視点設定方法であって、
パケット処理手段が、通信パケットをキャプチャして、時刻、応答時間、相手先アドレスを取得し、第1の記憶手段に格納するパケット処理ステップと、
統計処理手段が、前記第1の記憶手段から前記相手先アドレスごとの応答時間の統計情報を算出し、第2の記憶手段に格納する統計処理ステップと、
クラスタ分析手段が、前記第2の記憶手段から取得した全ての前記統計情報に対してk-medoid法によるクラスタ分類を行い、分類されたアドレスの組の計数の累積値を求め第3の記憶手段に格納し、各アドレスの組毎に各アドレスの中心的な点(medoid)となった回数を算出し第4の記憶手段に格納するクラスタ分析ステップと、
代表点抽出手段が、前記第3の記憶手段に格納された前記アドレスの組の計数の累積値及び前記第4の記憶手段に格納された前記各アドレスのmedoidとなった回数に基づいて、監視対象となる代表アドレスを決定する代表点抽出ステップと、
を行うことを特徴とする監視点設定方法。
【請求項2】
前記統計処理ステップにおいて、
算出された前記統計情報の数が所定の閾値未満の場合は欠損値とし、
前記欠損値があった場合は、該欠損値を含む時間区間を除く、または、該欠損値のデータの直前の時間帯のデータを前記統計情報として前記クラスタ分析ステップの入力とする
請求項1記載の監視点設定方法。
【請求項3】
前記代表点抽出ステップにおいて、
前記第3の記憶手段に格納された前記アドレスの組みの計数の累積値が所定の閾値以上となっているアドレスの組を抽出し、該クラスタ内のアドレスに基づいて前記第4の記憶手段を参照し、該アドレスに対応するmedoidとなった回数が多い方を代表アドレスとする
請求項1記載の監視点設定方法。
【請求項4】
ネットワーク上の通信をパッシブに観測し、アドレス及び応答時間の監視を行う際に、監視すべき監視点(以下、「アドレス」と記す)を設定するための監視点設定装置であって、
通信パケットをキャプチャして、時刻、応答時間、相手先アドレスを取得し、第1の記憶手段に格納するパケット処理手段と、
前記第1の記憶手段から前記相手先アドレスごとの応答時間の統計情報を算出し、第2の記憶手段に格納する統計処理手段と、
前記第2の記憶手段から取得した全ての前記統計情報に対してk-medoid法によるクラスタ分類を行い、分類されたアドレスの組の計数の累積値を求め第3の記憶手段に格納し、各アドレスの組毎に各アドレスの中心的な点(medoid)となった回数を算出し第4の記憶手段に格納するクラスタ分析手段と、
前記第3の記憶手段に格納された前記アドレスの組の計数の累積値及び前記第4の記憶手段に格納された前記各アドレスのmedoidとなった回数に基づいて、監視対象となる代表アドレスを決定する代表点抽出手段と、
を有することを特徴とする監視点設定装置。
【請求項5】
前記統計処理手段は、
算出された前記統計情報の数が所定の閾値未満の場合は欠損値とする手段を含み、
前記欠損値があった場合は、該欠損値を含む時間区間を除く、または、該欠損値のデータの直前の時間帯のデータを前記統計情報として前記クラスタ分析手段に出力する欠損値処理手段を更に有する
請求項4記載の監視点設定装置。
【請求項6】
前記代表点抽出手段は、
前記第3の記憶手段に格納された前記アドレスの組の計数の累積値が所定の閾値以上となっているアドレスの組を抽出し、該アドレスの組内のアドレスに基づいて前記第4の記憶手段を参照し、該アドレスに対応するmedoidとなった回数が多い方を代表アドレスとする手段を含む
請求項4記載の監視点設定装置。
【請求項7】
コンピュータを、
請求項4乃至6のいずれか1項に記載の監視点設定装置の各手段として機能させるための監視点設定プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2012−222692(P2012−222692A)
【公開日】平成24年11月12日(2012.11.12)
【国際特許分類】
【出願番号】特願2011−88362(P2011−88362)
【出願日】平成23年4月12日(2011.4.12)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成24年11月12日(2012.11.12)
【国際特許分類】
【出願日】平成23年4月12日(2011.4.12)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]