JP2017139580A - 通信解析装置及び通信解析プログラム - Google Patents

通信解析装置及び通信解析プログラム Download PDF

Info

Publication number
JP2017139580A
JP2017139580A JP2016018321A JP2016018321A JP2017139580A JP 2017139580 A JP2017139580 A JP 2017139580A JP 2016018321 A JP2016018321 A JP 2016018321A JP 2016018321 A JP2016018321 A JP 2016018321A JP 2017139580 A JP2017139580 A JP 2017139580A
Authority
JP
Japan
Prior art keywords
flow
application
usage state
unit
feature amount
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016018321A
Other languages
English (en)
Inventor
中村 信之
Nobuyuki Nakamura
信之 中村
信吾 阿多
Shingo Ata
信吾 阿多
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Osaka University NUC
Osaka City University PUC
Original Assignee
Oki Electric Industry Co Ltd
Osaka University NUC
Osaka City University PUC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd, Osaka University NUC, Osaka City University PUC filed Critical Oki Electric Industry Co Ltd
Priority to JP2016018321A priority Critical patent/JP2017139580A/ja
Publication of JP2017139580A publication Critical patent/JP2017139580A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 ユーザの体感品質に関連するアプリケーション及びその利用状態を推定する。【解決手段】 本発明は通信のトラフィックを解析する通信解析装置に関する。そして、本発明の通信解析装置は、トラフィックをフロー毎に分割し、分割したフローデータに基づいてフロー毎の特徴量を取得し、取得した特徴量に基づいてフロー毎に対応するアプリケーション及ぶ当該アプリケーションの利用状態を推定し、アプリケーションごとに第1の利用状態から第2の利用状態への遷移のし易さを示すパラメータ値が記述された遷移情報を保持し、利用状態推定部の推定結果をユーザごとに分類してそれぞれの前記ユーザに対応するアプリケーションを判定し、当該アプリケーションに対応する遷移確率情報を用いて当該アプリケーションの利用状態を判定することを特徴とする。【選択図】 図1

Description

この発明は、通信解析装置及び通信解析プログラムに関し、例えば、通信トラフィックの統計値を用いてネットワーク監視を行うネットワーク監視装置に適用し得る。
従来のトラフィックを解析(通信解析)結果を用いてネットワークを監視するネットワーク監視装置としては、通信トラフィックのペイロード(データ部分)を参照せずに、いわゆる5−tuples(送信元アドレスとポート、あて先アドレスとポート、及びプロトコル番号の組み合わせ)を一連のフローとして解析するものがある。従来の通信トラフィックのフローを解析する装置としては、特許文献1に記載された装置がある。
特許文献1に記載された装置(トラヒック監視装置)では、フローの統計値として送受信されるパケットのパケットサイズの統計値(最小値、25%値、中央値、75%値、最大値、平均値、分散値等)やパケット到着間隔の統計値(最小値、25%値、中央値、75%値、最大値、平均値、分散値等)を特定のパケット数の時点で算出する特徴量抽出部と、予め用意した教師データとして与えたデータとの類似度を元に使用アプリケーションを推定するアプリケーション推定部を備える構成となっている。
特開2013−127504号公報
しかしながら、アプリケーションが複数のフローを生成し、アプリケーションの開始制御を行うフローや、データ転送を行うフローや、ユーザの操作による情報更新を行うフロー等、目的毎に異なるフローを使用する場合、従来の装置(例えば、特許文献1のトラヒック監視装置)では、それぞれのフローを別のアプリケーションとして識別してしまうため、ユーザが利用しているアプリケーションとは違う推定結果になる場合があるという問題点があった。その結果、従来の装置では、アプリケーションとして通信の優先制御をかけるのではなく、個別フローの優先制御をかけることになり、ユーザの体感品質を向上させることができないという問題点があった。例えば、通常のウェブサービスに広告動画コンテンツが含まれている場合、広告動画を転送するフローを優先制御する可能性がある。この場合、ユーザの利用しているウェブサービスの優先度が相対的に下がるためにユーザの体感品質が低下すると考えられるが、この点について従来の装置では検出することが困難であった。
そのため、ユーザの体感品質に関連するアプリケーション及びその利用状態を推定することができる通信解析装置及び通信解析プログラムが望まれている。
第1の本発明の通信解析装置は、(1)解析対象となるトラフィックのデータをフローごとに分割してフローデータを取得するフロー分割部と、(2)フロー毎に、フローデータの統計情報を含む特徴量を取得する特徴量抽出部と、(3)フロー毎に、取得した特徴量に基づいて当該フローに対応するアプリケーションのアプリケーション利用状態を推定する利用状態推定部と、(4)アプリケーションごとに第1の利用状態から第2の利用状態への遷移のし易さを示すパラメータ値が記述された遷移情報を保持する遷移情報保持部と、(5)前記利用状態推定部の推定結果をユーザごとに分類してそれぞれの前記ユーザに対応するアプリケーションを判定し、当該アプリケーションに対応する遷移情報を用いて当該アプリケーションの利用状態を判定する判定部とを有することを特徴とする。
第2の本発明の通信解析プログラムは、コンピュータを、(1)解析対象となるトラフィックのデータをフローごとに分割してフローデータを取得するフロー分割部と、(2)フロー毎に、フローデータの統計情報を含む特徴量を取得する特徴量抽出部と、(3)フロー毎に、取得した特徴量に基づいて当該フローに対応するアプリケーションのアプリケーション利用状態を推定する利用状態推定部と、(4)アプリケーションごとに第1の利用状態から第2の利用状態への遷移のし易さを示すパラメータ値が記述された遷移情報を保持する遷移情報保持部と、(5)前記利用状態推定部の推定結果をユーザごとに分類してそれぞれの前記ユーザに対応するアプリケーションを判定し、当該アプリケーションに対応する遷移情報を用いて当該アプリケーションの利用状態を判定する判定部として機能させることを特徴とする。
第3の本発明の通信解析プログラムは、(1)解析対象となるトラフィックのデータをフローごとに分割してフローデータを取得するフロー分割部と、(2)フロー毎に、フローデータの統計情報を含む特徴量を取得する特徴量抽出部と、(3)フロー毎に、取得した特徴量に基づいて当該フローに対応するアプリケーション及び当該アプリケーションの利用状態を推定する利用状態推定部と、(4)前記フロー分割部が取得したフロー毎のフローデータ、又は、前記特徴量抽出部が取得した特徴量のいずれかについて、所定の条件に基づく注目フローを抽出して注目フロー以外を前記利用状態推定部が処理するフローから除外する処理を行う注目フロー抽出部とを有することを特徴とする。
第4の本発明の通信解析プログラムは、コンピュータを、(1)解析対象となるトラフィックのデータをフローごとに分割してフローデータを取得するフロー分割部と、(2)フロー毎に、フローデータの統計情報を含む特徴量を取得する特徴量抽出部と、(3)フロー毎に、取得した特徴量に基づいて当該フローに対応するアプリケーション及び当該アプリケーションの利用状態を推定する利用状態推定部と、(4)前記フロー分割部が取得したフロー毎のフローデータ、又は、前記特徴量抽出部が取得した特徴量のいずれかについて、所定の条件に基づく注目フローを抽出して注目フロー以外を前記利用状態推定部が処理するフローから除外する処理を行う注目フロー抽出部として機能させることを特徴とする。
本発明によれば、ユーザの体感品質に関連するアプリケーション及びその利用状態を推定することができる。
第1の実施形態に係るネットワーク監視装置の機能的構成について示したブロック図である。 第1の実施形態に係るネットワーク監視装置周辺の接続構成の例について示したブロック図である。 第1の実施形態に係るネットワーク監視装置で分析対象となるアプリケーション(ServiceA)の利用状態の遷移について示した説明図(状態遷移図)である。 第1の実施形態に係るネットワーク監視装置で分析対象となるアプリケーション(ServiceA)の状態遷移確率表の例について示した説明図である。 第1の実施形態に係るネットワーク監視装置がアプリケーション及びアプリケーション利用状態を判定する動作について示したフローチャートである。 第2の実施形態に係るネットワーク監視装置の機能的構成について示したブロック図である。 第3の実施形態に係るネットワーク監視装置の機能的構成について示したブロック図である。 第1の実施形態の変形例におけるネットワーク監視装置が、アプリケーション切替を検出する際の動作について示したフローチャートである。
(A)第1の実施形態
以下、本発明による通信解析装置及び通信解析プログラムの第1の実施形態を、図面を参照しながら詳述する。以下では、本発明の通信解析装置及び通信解析プログラムをネットワーク監視装置に適用した例について説明する。
(A−1)第1の実施形態の構成
図2は、第1の実施形態に係るネットワーク監視装置10の接続構成の例について示した説明図である。なお、図2において括弧内の符号は後述する第2の実施形態及び第3の実施形態において用いられる符号である。
図2に示すように、この実施形態のネットワーク監視装置10は、ルータ30からネットワークトラフィックに関する情報を取得し解析処理を行う。
図2に示すように、ルータ30は、ネットワークN1とネットワークN2との間を中継するゲートウェイであるものとする。図2に示すように、ネットワークN1には、N台(Nは1以上の任意の整数)の端末20(20−1〜20−N)が接続されているものとする。また、図2に示すように、ネットワークN2には、L台(Lは1以上の任意の整数)の通信装置40(40−1〜40−L)が接続されているものとする。なお、ネットワークN1、N2に接続される装置の数は限定されないものである。また、ルータ30から各端末20へのネットワーク構成、及びルータ30から各通信装置40へのネットワーク構成については限定されないものである。
端末20は、いずれかの通信装置40に接続するアプリケーション21がインストールされたコンピュータ(例えば、PC、タブレット、スマートホン等)であるものとする。各端末20にインストールされるアプリケーションの数や種類については限定されないものである。この実施形態では、説明を簡易とするため、各端末20の代表として、端末20−1にM個(Mは1以上の任意の整数)のアプリケーション21(21−1〜21−M)がインストールされているものとして説明する。端末20−1では、1又は複数のアプリケーション21が同時に実行され、必要に応じていずれかの通信装置40との通信処理が実行される。
端末20は、例えば、通信事業者に接続するユーザ(加入者)が利用する端末である。この実施形態では、各端末20にはそれぞれ別個のIPアドレスが付与されているものとする。なお、以下では、端末20−1〜20−NのIPアドレスをそれぞれX1〜XNであるものとして説明する。すなわち、この実施形態では、ネットワーク監視装置10は、各端末20(各IPアドレス)を1つのユーザとみなしてネットワーク監視(通信トラフィックの解析)を行うものとする。具体的には、この実施形態のネットワーク監視装置10は、各ユーザのトラフィック(各端末20のIPアドレスを用いて送受信されるトラフィック)を監視対象(解析対象)として監視(解析)を行う装置であるものとする。そして、ネットワーク監視装置10は、各ユーザのトラフィック(各端末20のIPアドレスを用いて送受信されるトラフィック)を解析して、各ユーザ(各ユーザの使用する端末20)において、ユーザの体感品質に関連するアプリケーション及びその利用状態を判定(推定)し、その判定結果を出力する。ネットワーク監視装置10の判定結果の出力先は限定されないものであり、例えば、図示しない帯域制御装置や帯域制御の設定を管理する通信制御装置(コントローラ)等に出力するようにしてもよい。そして、出力先の装置では、ネットワーク監視装置10の判定結果を用いてユーザ毎(各端末20のIPアドレス毎)の帯域制御(例えば、判定結果に対応するフローに優先的に帯域を割当てる処理等)を行うことで、ユーザの体感品質を向上させることができる。
通信装置40は、端末20(アプリケーション21)との通信を行う装置である。通信装置40の構成については限定されないものであるが、例えば、端末20に対して種々のサービス(例えば、Webサービスやデータベースサービス等)を提供するサーバ(コンピュータ)や、端末20と電話通信するIP電話端末等が該当する。
この実施形態では、ルータ30は、少なくとも3つのインタフェース31、32、33を備えているものとする。インタフェース31、32、33の仕様は限定されていないものであり、例えば、種々のイーサネット(登録商標)インタフェースを適用することができる。この実施形態の例では、ルータ30において、インタフェース31は端末20側のネットワークと接続するインタフェースであり、インタフェース32は通信装置40側と接続するインタフェースであり、インタフェース33はネットワーク監視装置10と接続するインタフェースであるものとする。なお、図2では、説明を簡易とするため、ルータ30が中継するトラフィックとして、端末20と通信装置40との間の通信のみを図示しているが、ルータ30はその他のノード間の通信を中継する構成であってもよいことは当然である。
そして、この実施形態では、ルータ30に対して、ミラーリング機能等により、インタフェース31のトラフィック(パケット)を、インタフェース32にリアルタイムでコピー出力するようにする設定(例えば、ポートミラー機能による設定)がなされているものとする。これにより、ネットワーク監視装置10は、ルータ30(インタフェース31)のトラフィック(パケット)のデータを取得することが可能となる。なお、ネットワーク監視装置10がトラフィックのデータを取得するための構成については図2の構成に限定されないものである。例えば、ネットワーク監視装置10を、ルータ30の前段(ルータ30と端末20との間)に配置して、ルータ30(インタフェース31)で入出力されるトラフィック(パケット)をコピーするようにしてもよいし、タップ(スプリッタ)等により端末20側からルータ30に供給される信号を分岐して、ネットワーク監視装置10にルータ30(インタフェース31)で入出力されるトラフィック(パケット)を供給するようにしてもよい。
次に、ネットワーク監視装置10の内部構成について図1を用いて説明する。
ネットワーク監視装置10は、フロー分割部11、推定部12、UX判定部13、及び状態遷移確率表記憶部14を有している。また、推定部12は、アプリケーション切替検知部121、特徴量抽出部122、及びアプリケーション利用状態推定部123を有している。
ネットワーク監視装置10は、例えば、プロセッサ及びメモリを有するコンピュータに、プログラム(実施形態に係る通信解析プログラムを含む)をインストールすることにより実現するようにしてもよい。また、ネットワーク監視装置10において、一部又は全部の処理をハードウェア(例えば、専用の半導体チップ等)により実現するようにしてもよい。
フロー分割部11は、監視対象のトラフィック(この実施形態では、ルータ30のインタフェース31に入出力されるトラフィック)をフローごとに分割(分類)する処理を行う。フロー分割部11は、例えば、5tuples(src IPアドレス、dst IPアドレス、srcポート、dstポート、プロトコル)等で区別した一連のデータの集合であるフロー毎に分割(分類)する処理を行う。フロー分割部11がトラフィックのデータをフロー毎に分類する処理については、種々の分割手法(分類手法)を適用することができる。以下では、フロー分割部11が分割(分類)した各フローのトラフィックのデータを、「フローデータ」とも呼ぶものとする。
特徴量抽出部122は、フロー分割部11に分割(分類)された各フローのフローデータについて特徴量(例えば、各種統計値等)を取得し、アプリケーション利用状態推定部123に供給する。特徴量抽出部122は、フロー分割部11から供給されたフローデータをフロー毎(フローID毎)に格納するためのフローデータ格納部122aを有している。特徴量抽出部122は、フローデータ格納部122aに格納されているフローデータについて特徴量を取得する処理を行う。特徴量抽出部122が取得するフローの特徴量としては。例えば当該フローにおけるパケットサイズの統計値(例えば、最小値、25%値、中央値、75%値、最大値、平均値、分散値等)やパケット到着間隔の統計値(例えば、最小値、25%値、中央値、75%値、最大値、平均値、分散値等)が挙げられる。
アプリケーション利用状態推定部123は、特徴量抽出部122から供給されたフロー毎の特徴量に基づき、各フローについて、対応するアプリケーション利用状態(当該フローに対応するアプリケーション及び当該アプリケーションの利用状態)の推定を行う。特徴量抽出部122が行う推定処理方式については限定されないものであり、例えば、フローデータの特徴量(統計値)に対応するアプリケーション利用状態を事前に学習した教師データに基づき、最も取得した特徴量(正解データ)と類似するアプリケーション利用状態を推定し、その推定結果をUX判定部13に供給する。
アプリケーション利用状態推定部123が、フロー毎の特徴量に基づいてアプリケーション利用状態を推定する処理方式については限定されないものである。アプリケーション利用状態推定部123は、例えば、予め特徴量とアプリケーション利用状態が対応付けられた教師データを学習している機械学習器(図示せず)を用いて、最も教師データとの類似度が高いアプリケーション利用状態を推定結果として出力するようにしてもよい。一般的な機械学習器としては、例えば、決定木、ベイジアンネットワーク、サポートベクターマシンなどが存在する。
なお、ネットワーク監視装置10(アプリケーション利用状態推定部123及びUX判定部13)が推定(判定)するアプリケーションの概念としては、単に端末20上で動作するアプリケーション21の種類だけでなく、当該アプリケーション21上で処理される内容まで分類した結果とするようにしてもよい。例えば、端末20−1上で動作するアプリケーション21−1がWebブラウザである場合に、ネットワーク監視装置10は、当該Webブラウザ(アプリケーション21−1)でアクセスするサービスの種類(例えば、ECサイト(電子商取引サイト)、動画閲覧サイト、電子掲示板サイト等)まで分類して、アプリケーションの推定(判定)処理を行うようにしてもよい。また、ネットワーク監視装置10は、Webブラウザでアクセスするサービスの種類ではなく、Webブラウザでアクセスする具体的なサイト(例えば、アクセス先のURL)を、一つのアプリケーションとして分類する推定(判定)処理を行うようにしてもよい。以上のように、ネットワーク監視装置10は、Webブラウザのように汎用的なアプリケーション21については、当該アプリケーション21で動作する内容まで分類して1つのアプリケーションとして判定するようにしてもよい。
状態遷移確率表記憶部14は、後述するUX判定部13で用いる状態遷移確率表141(遷移情報)をアプリケーション毎に記憶している。状態遷移確率表記憶部14には、UX判定部13で判定対象となるアプリケーションごとに状態遷移確率表141が記憶されている。状態遷移確率表141の具体的な構成については後述する。
UX判定部13は、特徴量抽出部122から複数のフローのアプリケーション利用状態推定結果を取得し、取得した複数のフローのアプリケーション利用状態推定結果に基づき、ユーザごとに、当該ユーザの体感品質に関連する1つのアプリケーション(例えば、当該ユーザが操作中のアプリケーション)及び当該アプリケーション利用状態を推定する処理を行う。例えば、特定の送信元IPアドレスからのフローの集合を1つのユーザの動向と見た場合、特定の送信元IPアドレスに対して複数のフローが存在することになる。言い換えると、UX判定部13は、複数のフロー(フローID)のアプリケーション利用状態推定結果を受け取り、受け取った推定結果を、送信元IPアドレス毎にグループ分けし、1つのIPアドレスを1ユーザとみなして、ユーザごとに1つのアプリケーションと当該アプリケーション利用状態を判定(推定)する。すなわち、アプリケーション利用状態推定部123は、フロー毎にアプリケーション及びアプリケーション利用状態を推定するが、UX判定部13は、IPアドレスにより分類される各ユーザ(各IPアドレス)についてアプリケーション及びアプリケーション利用状態を判定(決定)する。例えば、UX判定部13は、端末20−1に付与されたIPアドレスX1を送信元又は送信先に含むフローを1ユーザ分のフローとみなし、ユーザの体感品質に関連するアプリケーション(例えば、当該ユーザが操作中のアプリケーション)及び当該アプリケーションの利用状態を推定する。
なお、UX判定部13は、供給されたアプリケーション利用状態推定結果について、ユーザごと(IPアドレスごと)に管理可能な形式で、推定データ保持部131に保持する。そして、UX判定部13は、推定データ保持部131に保持したアプリケーション利用状態推定結果に基づいて、ユーザごとに、1つのアプリケーション(例えば、ユーザが操作中と推定されるアプリケーション)と、当該アプリケーションの利用状態を判定する。
また、UX判定部13は、ユーザのアプリケーション利用状態を推定する際に、状態遷移確率表141から、判定したアプリケーションに対応する状態遷移確率表141を取得し、取得した状態遷移確率表141に基づいてユーザのアプリケーション利用状態を少なくとも1つ判定する処理を行う。UX判定部13では、参照した状態遷移確率表141に基づき、現在の利用状態から次の利用状態への状態遷移のし易さの度合(例えば、現在の利用状態から次の利用状態への状態遷移の確率)も考慮して、ユーザのアプリケーション利用状態として尤もらしい状態を推定する。
この実施形態では、推定データ保持部131は、直近の所定期間(例えば、過去5秒〜10秒程度の期間)に供給されたアプリケーション利用状態推定結果を保持するものとして説明する。すなわち、推定データ保持部131は、現在時点から所定期間(以下、この期間を「T1」と表す)以上前に供給されたアプリケーション利用状態推定結果を廃棄し、直近のT1期間分のアプリケーション利用状態推定結果に基づいて、各ユーザのアプリケーション及びアプリケーション利用状態を判定する処理を行うものとする。また、この実施形態では、推定データ保持部131は、所定期間(以下、この期間を「T2」と表す)ごとに推定データ保持部131で保持されているアプリケーション利用状態推定結果に基づいて、各ユーザのアプリケーション及びアプリケーション利用状態を判定する処理を行うものとする。T1及びT2の期間は任意であるが、この実施形態では、T2は、T1以下の期間であるものとして説明する。
アプリケーション切替検知部121は、UX判定部13において、アプリケーションが切り替わったユーザが発生したことを検知して、特徴量抽出部122を制御し、当該ユーザに対応するフローの特徴量抽出をリセット(終了)させる。
例えば、アプリケーション切替検知部121は、UX判定部13において、アプリケーションが切り替わったユーザが発生したことを検知すると、当該ユーザに係るフローIDを特徴量抽出部122に通知するようにしてもよい。そして、特徴量抽出部122は、通知されたフローIDの特徴量抽出の中止及び保持しているフローデータの廃棄を行うようにしてもよい。
また、UX判定部13においてアプリケーションが切り替わったユーザが発生した場合には、推定データ保持部131で保持している当該ユーザに係るアプリケーション利用状態推定結果を廃棄するようにしてもよい。
次に、状態遷移確率表141の詳細構成について図3、図4を用いて説明する。
以下ではアプリケーションの例として、端末20上のアプリケーション21−1がWebブラウザであるものとする。また、以下では、端末20上のアプリケーション21−1(Webブラウザ)が、任意のECサイト(電子商取引サイト)にアクセスしてサービス処理を1つのアプリケーション(以下、当該アプリケーションの識別子を「ServiceA」と表す)とした場合の例について説明する。
図3は、ServiceAのアプリケーション利用状態を、top、click、search、view_cart、login、checkout、logoutという6種類のいずれかに分類した場合の状態遷移について示した説明図である。
以下、ServiceAのアプリケーション利用状態の例についてそれぞれ説明する。なお、ここでは、ServiceAとしては、特にサイトを限定せず、種々のECサイト(電子商取引サイト)を適用可能であるものとして説明する。なお、ネットワーク監視装置10は、特定のECサイトについてのみServiceAとして判定するようにしてもよい。
ここでは、「top」は、端末20(アプリケーション21−1)が、ServiceA(ECサイト)のトップページにアクセスして、トップページを表示する処理が行われた状態を示すものとする。
「click」は、ServiceA(ECサイト)においていずれかの商品をカートに追加するボタンがクリックする操作が行われ、当該商品をカートに追加する処理が行われた状態を示すものとする。
「search」は、ServiceA(ECサイト)において、商品の検索を実行する操作(例えば、キーワードを入力して「検索」ボタンの押下)が行われ、検索処理及び検索結果表示処理が行われた状態を示すものとする。
「view_cart」は、ServiceA(ECサイト)において、カートの中を確認するための操作が行われ、カートの内容を表示する処理が行われた状態を示すものとする。
「login」は、ServiceA(ECサイト)において、ログインの操作(例えば、ログインID及びパスワード入力の操作)が行われて、ログインが実行された状態を示すものとする。
「checkout」は、ServiceA(ECサイト)において、カートの中の商品購入を購入する操作(例えば、届け先や支払方法の操作受付)が実行され、商品購入の決済処理等が実行された状態を示すものとする。
「login」は、ServiceA(ECサイト)において、ログアウトの操作(例えば、ログアウトに対応するボタン押下の操作)が行われて、ログオフが実行された状態を示すものとする。
そして、図3に示すように、ServiceAを構成する各アプリケーション利用状態(top、click、search、view_cart、login、checkout、logout)では、全て相互に遷移可能な構成となっているものとする。例えば、図3に示すように、ServiceAの「top」からは、その他の全ての利用状態(click、search、view_cart、login、checkout、logout)に遷移可能となっている。図3に示すように、top以外のアプリケーション利用状態からも、同様にその他の全てのアプリケーション利用状態に遷移可能となっている。
そして、ServiceAの状態遷移確率表141を表すと、例えば図4のような内容となる。
図4に示すServiceAの状態遷移確率表141は、それぞれのアプリケーション利用状態から、次のアプリケーション利用状態への遷移確率(次に現在と同様のアプリケーション利用状態となる確率も含む)をマトリクス形式で表した内容となっている。
例えば、図4では、現在のアプリケーション利用状態が「top」の場合、再度「top」のアプリケーション利用状態となる遷移確率(例えば、Webブラウザでリロードが実行される確率)が0.01となっている。同様に、図4では、「top」から「click」に遷移確率が0.3、「top」から「search」への遷移確率が0.3、「top」から「view_cart」への遷移確率が0.2、「top」から「login」への遷移確率が0.1、「top」から「checkout」への遷移確率が0.01、「top」から「logout」への遷移確率が0.05となっている。図4に示すマトリクスでは、その他のアプリケーション利用状態(click、search、view_cart、login、checkout、logout)についても同様に、次のアプリケーション利用状態となる遷移確率のパラメータ値が登録されている。
状態遷移確率表141に設定する各数値については、アプリケーションの状態遷移(例えば、図3に示すような状態遷移図)や実際のユーザの利用傾向に基づいて任意の値を設定するようにしてもよい。また、ユーザの実際の利用状況を分析して、その集計結果を状態遷移確率表141に反映するようにしてもよい。また、状態遷移確率表141に設定するパラメータ値は、状態遷移のしやすさの度合を示すパラメータ値であれば遷移確率に限定されず、単なる重み(状態遷移のしやすさの度合)を示す係数(重み係数)としてもよく、表として整合(相対的な値として整合)が取れていれば良い。
(A−2)第1の実施形態の動作
次に、以上のような構成を有する第1の実施形態のネットワーク監視装置10の動作を説明する。
まず、図1、図2を用いて、ネットワーク監視装置10の動作概要について説明する。
以下では、端末20−1のアプリケーション21−1(Webブラウザ)で上述のServiceA(ECサイト)がアプリケーションとして実行された場合を例として説明する。
まず、端末20−1でユーザの操作によりアプリケーション21−1(Webブラウザ)が動作し、端末20(アプリケーション21−1)と通信装置40−1との間でトラフィック(パケットの送受信)が発生したものとする。
端末20−1と通信装置40−1との間でトラフィックが発生すると、ルータ30(端末20側と接続するインタフェース31)のトラフィック(パケット)がネットワーク監視装置10(フロー分割部11)に供給されることになる。
トラフィックが供給されるとネットワーク監視装置10のフロー分割部11は、そのトラフィック(パケット)をフロー毎に分類したフローデータを、推定部12(特徴量抽出部122)に供給する。このとき、フロー分割部11は、例えば、5−tuples等で区別されたパケットの集合をフローとして分割管理する。
推定部12では、特徴量抽出部122により、フロー分割部11から供給されたフローデータが取得される。特徴量抽出部122は、各フローにIDを付与してフローデータを管理する。特徴量抽出部122は、フロー毎(フローIDごと)に、フローデータ格納部122aに格納して管理する。そして、特徴量抽出部122は、特徴量抽出部122に格納したフローデータに基づいて各フローの特徴量(統計値)を取得する。
特徴量抽出部122は、フローID毎にフローデータを管理し、所定のタイミングが経過したフローについて、特徴量を抽出し、抽出した特徴量の情報をアプリケーション利用状態推定部123に供給する。特徴量抽出部122は、例えば、TCPのフローについては、ヘッダに特定のフラグが設定されたパケット(例えば、TCPヘッダにFin/Rstが設定されたパケット)が発生したタイミングや、パケットが到着しない期間が一定時間以上経過となったタイミングを契機として、特徴量の算出を行うようにしてもよい。また、このとき、特徴量抽出部122は、フローの特徴量に、5tuplesを特定可能な情報(フローIDと5tuplesとが紐付して管理されていれば、フローIDのみでもよい)や、算出した特徴量の元となったフローデータをするパケットに関する情報(例えば、先頭からのパケット数や、何パケット目から何パケット目までのパケットに基づいた特徴量であるか等の情報)を付加して、アプリケーション利用状態推定部123に供給するようにしてもよい。
アプリケーション利用状態推定部123は、特徴量抽出部122から供給されたフローの特徴量を含む情報に基づいて、当該フローに対応するアプリケーション利用状態を推定する。そして、アプリケーション利用状態推定部123は、フローIDごとに、アプリケーション利用状態推定結果をUX判定部13に供給する。
UX判定部13は、複数のフロー(フローID)のアプリケーション利用状態推定結果を、推定部12より受け取る。そして、UX判定部13は、受け取ったアプリケーション利用状態推定結果を、ユーザ毎に分類して推定データ保持部131に格納する。そして、UX判定部13は、UX判定部13に格納したアプリケーション利用状態推定結果に基づいて、ユーザごとに1つのアプリケーションと当該アプリケーションのアプリケーション利用状態を判定する。
次に、UX判定部13の動作の例について図5のフローチャートを用いて説明する。
以下では、端末20−1(IPアドレスX1のユーザ)について判定を行う例について説明する。
ここでは、まず、アプリケーション利用状態推定部123からUX判定部13に、端末20−1(IPアドレスX1のユーザ)のアプリケーション利用状態推定結果の供給が開始されたものとする。UX判定部13は、受け取ったアプリケーション利用状態推定結果を、IPアドレスX1のユーザとして分類して、推定データ保持部131に格納する。そして、UX判定部13は、IPアドレスX1のユーザについて、1つのアプリケーションと、当該アプリケーションのアプリケーション利用状態を判定する処理を行う(S101)。
このとき、UX判定部13は、最もアプリケーション利用状態推定結果の数(推定データ保持部131で保持されている数)の多いアプリケーションと、当該アプリケーションで最も数の多いアプリケーション利用状態を初期の判定結果とするようにしてもよい。
次に、UX判定部13は、ステップS101で判定したアプリケーションに対応する状態遷移確率表141を取得する。そして、UX判定部13は、前回判定したアプリケーション利用状態からの各アプリケーション利用状態への状態遷移確率を取得し、各アプリケーション利用状態への遷移の尤度を示す評価値を算出する(S102)。
UX判定部13は、算出した評価値に基づくアプリケーション利用状態(前回と同じアプリケーション内の判定)の遷移の判定、及び、アプリケーションの変更の判定を行う(S103)。そして、UX判定部13は、アプリケーションの変更が判定(検知)されない場合、算出した集計値に基づくアプリケーション利用状態を今回の判定結果として決定して、上述のステップS102に戻って動作する。また、UX判定部13は、アプリケーションの変更が判定(検知)された場合、上述のステップS101に戻って動作する。
次に、UX判定部13が、上述のステップS102、S103で行うアプリケーション利用状態の判定処理について説明する。
UX判定部13は、各アプリケーション利用状態の数(各アプリケーション利用状態について推定データ保持部131で保持しているアプリケーション利用状態推定結果の数)に、取得した遷移確率を乗じた値を、各アプリケーション利用状態の評価値として取得する。この場合、各アプリケーション利用状態の数(各アプリケーション利用状態について推定データ保持部131で保持しているアプリケーション利用状態推定結果の数)とは、当該アプリケーション利用状態について発生したフロー数を示すことになる。例えば、前回判定したアプリケーション利用状態(初期状態として判定した結果を含む)が、ServiceAのtopの状態であったものとする。この場合、UX判定部13は、(topのフロー数)x(遷移確率)、(clickのフロー数)x(遷移確率)、・・・という計算処理により、各アプリケーション利用状態の評価値を算出する。そして、UX判定部13は、最も評価値の高いアプリケーション利用状態を、現在のアプリケーション利用状態として判定する。
ここでは、具体例として、IPアドレスX1のユーザについて、前回アプリケーションとしてServiceA、アプリケーション利用状態として「top」が判定されたものとする。図4に示すように、ServiceAのtopの場合の各アプリケーション利用状態への遷移確率は、「top:0.01、click:0.3、search:0.3、view_cart:0.2、login:0.1、checkout:0.01、logout0.05」となる。そして、ここでは、各アプリケーション利用状態のフロー数は、「top:0、click:1、search:3、view_cart:1、login:1、checkout:0、logout:0」であったものとする。そうすると各アプリケーション利用状態の評価値は「top:0、click:0.3、search:0.9、view_cart:0.2、login:0.2、checkout:0、logout:0」となる。したがって、この場合、UX判定部13は、最も評価値の大きい、searchをIPアドレスX1のユーザの、現在のアプリケーション利用状態として判定する。
次に、UX判定部13が、上述のステップS103で行うアプリケーション変更の検知処理について説明する。
UX判定部13は、例えば、アプリケーションごとのフロー数(各アプリケーション利用状態について推定データ保持部131で保持しているアプリケーション利用状態推定結果の数)に基づいて、アプリケーションの変更(ユーザが操作するアプリケーションの変更)を検知する。
UX判定部13は、例えば、前回判定されたアプリケーションと同じアプリケーションとフロー数を用いて、アプリケーションの変更を検知するようにしてもよい。具体的には、UX判定部13は、(前回と同じアプリケーションだと推定されたフロー数)÷(前回と違うアプリケーションだと推定されたフロー数)を指標として算出し、当該指標が、1より小さい場合にはアプリケーションの変更が有った事を検知し、当該指標が1以上の場合には、アプリケーションの変更がなかったことを検知するようにしてもよい。また、UX判定部13は、例えば、前回判定されたアプリケーションよりもフロー数の多いアプリケーションが有った場合、アプリケーションの変更を検知するようにしてもよい。
以上のように、UX判定部13は、ユーザごとに、同じアプリケーションと判定されている間は同じ状態遷移確率表を用いてアプリゲーション利用状態の判定処理を継続し、別のアプリケーションへの変更を判断した場合にはアプリケーションの判定処理からやり直す処理を行う。
そして、アプリケーション切替検知部121は、UX判定部13においてアプリケーション変更が判定されたユーザを検知した場合、フローの特徴量抽出部122を制御して、アプリケーション変更のあったユーザ(IPアドレス)の特徴量計算をリセットさせ、切替後のアプリケーションに対する特徴量計算を開始させる。
(A−3)第1の実施形態の効果
第1の実施形態によれば、以下のような効果を奏することができる。
ネットワーク監視装置10では、フロー毎のアプリケーション推定ではなく、1つのIPアドレスを1ユーザ(端末)とみなし、1ユーザについて1つのアプリケーションとその利用状態を推定することができる。
また、ネットワーク監視装置10では、アプリケーション毎の遷移確率も考慮して推定を高精度に実施できるため、ネットワーク監視装置10の判定結果を帯域制御等に利用した場合でもユーザ体感品質の低下が起こりにくいという効果を奏する。
(B)第2の実施形態
以下、本発明による通信解析装置及び通信解析プログラムの第2の実施形態を、図面を参照しながら詳述する。以下では、本発明の通信解析装置及び通信解析プログラムをネットワーク監視装置に適用した例について説明する。
(B−1)第2の実施形態の構成
第2の実施形態の全体構成の例についても上述の図2を用いて示すことができる。
図6は、第2の実施形態のネットワーク監視装置10Aの機能的構成について示した説明図であり、上述の同一部分又は対応部分には同一符号又は対応する符号を付している。以下では、第2の実施形態のネットワーク監視装置10Aについて第1の実施形態との差異を説明する。
第2の実施形態のネットワーク監視装置10Aは、フロー分割部11、推定部12A、アプリケーション切替検知部121A、及び注目フロー抽出部15を有している。また、推定部12Aは、特徴量抽出部122及びフローデータ格納部122aを有している。
フロー分割部11は、第1の実施形態と同様の構成であるため詳しい説明を省略する。フロー分割部11は、フロー毎に分割したフローデータを注目フロー抽出部15に供給する。
注目フロー抽出部15は、フロー分割部11からフローデータを受け取り、推定部12Aに推定させるフローと推定させないフローに分けて、推定させるフローのみを推定部12Aに供給する。言い換えると、注目フロー抽出部15は、推定させる必要のないフロー(ユーザの体感品質と関連しないとみなせるフロー)を除外して、推定させる必要のあるフロー(注目するべきフロー)のみを抽出する処理を行う。また、注目フロー抽出部15は、アプリケーション切替検知部121Aからアプリ切替を受け取ると、注目フローの抽出方法を変更する。注目フロー抽出部15によるフローの抽出方法の詳細については後述する。
推定部12Aの特徴量抽出部122自体は、第1の実施形態と同様の構成であるので詳しい説明を省略する。特徴量抽出部122は、注目フロー抽出部15で抽出されたフローのフローデータについてそれぞれ特徴量を抽出し、その抽出結果を、アプリケーション利用状態推定部123Aに供給する。
アプリケーション利用状態推定部123Aは、特徴量抽出部122から供給された特徴量毎(フロー毎)に、アプリケーション及び当該アプリケーションのアプリケーション利用状態を推定する処理を行い、その推定結果(アプリケーション及び当該アプリケーションのアプリケーション利用状態)を出力(ネットワーク監視装置10Aの判定結果として出力)する処理を行う。そして、アプリケーション利用状態推定部123Aは、アプリケーション利用状態推定結果を、アプリケーション切替検知部121Aにも供給する。
また、アプリケーション利用状態推定部123Aは、推定結果を、アプリケーション切替検知部121Aにも供給する。
さらに、アプリケーション利用状態推定部123Aは、推定が不要なフローの情報を、注目フロー抽出部15にフィードバックする処理を行う。アプリケーション利用状態推定部123Aは、例えば、あるフローについて推定処理を行った結果ユーザの体感品質と関連のない種類アプリケーションだった場合(例えば、ユーザの体感品質と関連のあるアプリケーションの一覧を予め登録しておき、その一覧にないアプリケーションだった場合)に、当該フローを推定が不要なフローだと判断するようにしてもよい。注目フロー抽出部15は、アプリケーション利用状態推定部123Aから、推定が不要なフローの情報がフィードバックされると、該当するフローについて注目フローから除外する。
アプリケーション切替検知部121Aは、特徴量抽出部122やアプリケーション利用状態推定部123Aから受け取ったデータを元に、ユーザ毎(IPアドレス毎)のアプリケーション切替を検知する。そして、アプリケーション利用状態推定部123Aは、アプリケーション切替の発生したユーザ(IPアドレス)について、フローの抽出内容をリセットするように制御する。
(B−2)第2の実施形態の動作
次に、以上のような構成を有する第2の実施形態のネットワーク監視装置10Aの動作を説明する。
まず、トラフィックが供給されるとネットワーク監視装置10Aのフロー分割部11は、そのトラフィック(パケット)をフロー毎に分類し、分類したフローデータを注目フロー抽出部15に供給する。
注目フロー抽出部15は、入力されたフロー毎の特徴に応じて推定部12Aに送るフローと送らないフローに分ける。ところで、本発明のネットワーク監視装置は、主として、ユーザの体感品質の向上を目的として、アプリケーション利用状態推定を行うため、可能な限りユーザの操作により発生させたフローに着目した処理を行うことが望ましい。そのため、注目フロー抽出部15は、ユーザごとに、当該ユーザの体感品質に寄与する度合の高いフローを選択(抽出)することが望ましい。注目フロー抽出部15は、例えば、パケット到着間隔をフーリエ変換し、周期性が確認できるものは機械的に送出されたフロー(例えば、ファイル転送や定期的な同期処理等のフロー)とみなし、推定部12Aに送らない(注目フローから除外する)処理を行うようにしてもよい。また、注目フロー抽出部15は、例えば、各ユーザ(各IPアドレス)で送受信されるフローのうち、フローの生成時間等に基づいて10%を選択(抽出)するようにしてもよい。例えば、注目フロー抽出部15は、各ユーザ(各IPアドレス)について、生成された時間(通信が開始された時間)が新しいものから順に10%を選択することで、継続時間が長く安定したデータ転送となっているフローや、既にタイムアウトしているフロー等を除外して、ユーザの体感品質に影響しそうなフローを選択(抽出)するようにしてもよい。
推定部12Aの特徴量抽出部122は、注目フロー抽出部15から供給された各フローデータに基づいて各フローの特徴量を取得(第1の実施形態と同様の処理により取得)し、アプリケーション利用状態推定部123Aに供給する。また、特徴量抽出部122は、フローの終了を検出した場合(例えば、フローデータにFin/Rstなどのフロー終了フラグを含むパケットが含まれていた場合)には、その旨をアプリケーション切替検知部121Aに供給する。
アプリケーション利用状態推定部123Aは、特徴量抽出部122から供給されたフロー毎の特徴量に基づいて、フロー毎のアプリケーション及び当該アプリケーションのアプリケーション利用状態推定結果を求める。そして、アプリケーション利用状態推定部123Aは、推定結果(アプリケーション及び当該アプリケーションのアプリケーション利用状態推定結果)をネットワーク監視装置10Aの判定結果として出力する。また、アプリケーション利用状態推定部123Aは、上述の推定結果を、アプリケーション切替検知部121Aにも供給する。
アプリケーション切替検知部121Aは、特徴量抽出部122及びアプリケーション利用状態推定部123Aから供給される情報に基づいて、各ユーザのアプリケーションの切替を検知する。アプリケーション切替検知部121Aは、例えば、各ユーザについて、全体(全てのアプリケーション)のフロー(例えば、現在から所定時間前までに終了していなかったフロー)の数(以下、「全体フロー数」と呼ぶ)と、アプリケーション毎の既に終了したフロー(例えば、所定時間前には終了しておらず、現在は既に終了しているフロー)の数(以下、「終了フロー数」と呼ぶ)をカウントし、全体フロー数と各アプリケーションの終了フロー数に基づいてアプリケーション切替を検知するようにしてもよい。
例えば、アプリケーション切替検知部121Aは、全体フロー数に対して所定の割合以上(例えば、50%以上)の終了フロー数が発生したアプリケーションがあったユーザについては、アプリケーション切替が発生したと検知するようにしてもよい。例えば、アプリケーション切替検知部121Aは、全体フロー数が100で、1つのアプリケーションで50%以上(50以上)の終了フロー数が発生した場合、アプリケーション切替が発生したと判断するようにしてもよい。
また、例えば、アプリケーション切替検知部121Aは、(最も終了フロー数の多いアプリケーションの終了フロー数)÷(その他のアプリケーションのフロー数)を指標として用い、当該指標が閾値以下の状態(例えば、1より小さい状態)となったユーザについて、アプリケーション切替を検知するようにしてもよい。例えば、上述の指標に対する閾値を1とした場合、アプリケーション切替検知部121Aは、上述の指標が1以上から1未満となったユーザについて、アプリケーションの切替を検知するようにしてもよい。
そして、アプリケーション切替検知部121Aは、アプリケーション切替が発生したユーザ(IPアドレス)を検知すると、当該ユーザ(当該IPアドレス)に対する処理をリセットするように、注目フロー抽出部15を通知する。
注目フロー抽出部15は、アプリケーション切替検知部121Aから通知を受けると、当該IPアドレスに対して除外していたフローも含めて、抽出処理を再開することで、装置全体の推定精度を維持する。
(B−3)第2の実施形態の効果
第2の実施形態によれば、以下のような効果を奏することができる。
第2の実施形態のネットワーク監視装置10Aでは、複数のフロー入力に対して、ユーザ体感品質に影響しないため、処理が不要とみなせるフローを推定対象から排除することで、計算機負荷の高い推定部12Aでの計算コストを削減できる。
また、第2の実施形態のネットワーク監視装置10Aでは、アプリケーションが切り替わった際には、注目フローの特性が変更されることがあるため、注目フローの抽出をリセットすることで、利用アプリケーションの変化に追従してアプリケーション利用状態の推定処理を行うことができる。
(C)第3の実施形態
以下、本発明による通信解析装置及び通信解析プログラムの第3の実施形態を、図面を参照しながら詳述する。以下では、本発明の通信解析装置及び通信解析プログラムをネットワーク監視装置に適用した例について説明する。
第3の実施形態の全体構成の例についても上述の図2を用いて示すことができる。
図7は、第3の実施形態のネットワーク監視装置10Bの機能的構成について示した説明図であり、上述の同一部分又は対応部分には同一符号又は対応する符号を付している。以下では、第3の実施形態のネットワーク監視装置10Bについて第2の実施形態との差異を説明する。
第2の実施形態の注目フロー抽出部15は、特徴量抽出部122の前段(フロー分割部11の後段)に配置されている。これに対して、第3の実施形態の注目フロー抽出部15Bは、特徴量抽出部122の後段(アプリケーション利用状態推定部123Aの前段)に配置されている。
第2の実施形態の注目フロー抽出部15は、フロー分割部11から供給されるフロー毎のフローデータ(各フローのパケットの内容)に基づいて、フローの抽出を行っていた。これに対して、第3の実施形態の注目フロー抽出部15Bは、特徴量抽出部122から供給されるフロー毎の特徴量に基づいてフローの抽出を行う。注目フロー抽出部15Bが行うフロー抽出の基準は第2の実施形態と同様であるが、第3の実施形態では、抽出対象となるフローのデータが特徴量となっている。したがって、第3の実施形態の特徴量抽出部122では、注目フロー抽出部15Bでフローの抽出処理に必要となる項目の特徴量について抽出する処理が含まれている必要がある。
(D)他の実施形態
本発明は、上記の各実施形態に限定されるものではなく、以下に例示するような変形実施形態も挙げることができる。
(D−1)第1の実施形態では、UX判定部13でアプリケーションの切替検知をする構成について説明したが、特徴量抽出部122の出力結果を用いて、アプリケーション切替検知を行うようにしてもよい。
図8は第1の実施形態の変形例に係るネットワーク監視装置10の処理について示したフローチャートである。
特徴量抽出部122は、アプリケーションの切替に関連するTCPフラグのFin/Rstなどのフロー終了を示す特徴量を得た場合に、フローID(5tuples)とフロー終了を示す特徴量をアプリケーション切替検知部121に供給するものとする(S201)。
特徴量抽出部122から供給されたフロー終了を示す情報(フロー終了を示す特徴量とフローID)が供給されると、アプリケーション切替検知部121は、当該IDに対応するユーザのアプリケーション切替を判定する(S202)。そして、アプリケーション切替検知部121は、アプリケーション切替が発生したユーザが検出された場合、後述するステップS203から動作し、アプリケーション切替が検出されなかった場合は今回の処理を終了する。アプリケーション切替検知部121は、例えば、ユーザ毎(特定のIPアドレス毎)に送受信しているフローの全体数に対して所定以上(例えば、50%以上)のフローが終了した場合などにアプリケーションの切替を検知するようにしてもよい。
アプリケーション切替検知部121は、アプリケーション切替を検出すると、UX判定部13に、アプリケーション切替が発生したユーザ(IPアドレス)を通知する。そして、UX判定部13は、当該IPアドレスに対するアプリケーションとアプリケーション利用状態をリセットする(S203)。これにより、UX判定部13は、アプリケーション切替が発生したユーザについて、初期状態から推定を開始し、利用アプリケーションの変更に対しても高精度に追従し、アプリケーション利用状態の推定精度を向上させることができる。
10…ネットワーク監視装置、11…フロー分割部、12…推定部、121…アプリケーション切替検知部、122…特徴量抽出部、122a…フローデータ格納部、123…アプリケーション利用状態推定部、13…UX判定部、131…推定データ保持部、14…状態遷移確率表、141…状態遷移確率表、20、20−1〜20−N…端末、21、21−1〜21−M…アプリケーション、40、40−1〜40−M…通信装置、30、31、32、33…ルータ。

Claims (10)

  1. 解析対象となるトラフィックのデータをフローごとに分割してフローデータを取得するフロー分割部と、
    フロー毎に、フローデータの統計情報を含む特徴量を取得する特徴量抽出部と、
    フロー毎に、取得した特徴量に基づいて当該フローに対応するアプリケーションのアプリケーション利用状態を推定する利用状態推定部と、
    アプリケーションごとに第1の利用状態から第2の利用状態への遷移のし易さを示すパラメータ値が記述された遷移情報を保持する遷移情報保持部と、
    前記利用状態推定部の推定結果をユーザごとに分類してそれぞれの前記ユーザに対応するアプリケーションを判定し、当該アプリケーションに対応する遷移情報を用いて当該アプリケーションの利用状態を判定する判定部と
    を有することを特徴とする通信解析装置。
  2. 前記判定部は、前記遷移情報を用いて、前回判定した利用状態から現在の利用状態を判定することを特徴とする請求項1に記載の通信解析装置。
  3. 前記判定部は、前記利用状態推定部の推定結果において、利用状態毎のフロー数を計数し、それぞれの利用状態のフロー数に、前回判定した利用状態からそれぞれの利用状態に遷移する場合のパラメータ値を乗じた評価値を算出し、評価値の最も高い利用状態を現在の利用状態と判定することを特徴とする請求項2に記載の通信解析装置。
  4. ユーザ毎にアプリケーションが切り替わったことを検知し、前記特徴量抽出部及び前記判定部に、アプリケーションの変更を検知したユーザの処理をリセットさせることを特徴とする請求項1〜3のいずれかに記載の通信解析装置。
  5. コンピュータを、
    解析対象となるトラフィックのデータをフローごとに分割してフローデータを取得するフロー分割部と、
    フロー毎に、フローデータの統計情報を含む特徴量を取得する特徴量抽出部と、
    フロー毎に、取得した特徴量に基づいて当該フローに対応するアプリケーションのアプリケーション利用状態を推定する利用状態推定部と、
    アプリケーションごとに第1の利用状態から第2の利用状態への遷移のし易さを示すパラメータ値が記述された遷移情報を保持する遷移情報保持部と、
    前記利用状態推定部の推定結果をユーザごとに分類してそれぞれの前記ユーザに対応するアプリケーションを判定し、当該アプリケーションに対応する遷移情報を用いて当該アプリケーションの利用状態を判定する判定部と
    して機能させることを特徴とする通信解析プログラム。
  6. 解析対象となるトラフィックのデータをフローごとに分割してフローデータを取得するフロー分割部と、
    フロー毎に、フローデータの統計情報を含む特徴量を取得する特徴量抽出部と、
    フロー毎に、取得した特徴量に基づいて当該フローに対応するアプリケーション及び当該アプリケーションの利用状態を推定する利用状態推定部と、
    前記フロー分割部が取得したフロー毎のフローデータ、又は、前記特徴量抽出部が取得した特徴量のいずれかについて、所定の条件に基づく注目フローを抽出して注目フロー以外を前記利用状態推定部が処理するフローから除外する処理を行う注目フロー抽出部と
    を有することを特徴とする通信解析装置。
  7. 前記注目フロー抽出部は、各フローについてパケット到着間隔に基づく周波数解析をすることによって周期性のあるフローを注目フローから除外することを特徴とする請求項6に記載の通信解析装置。
  8. 前記注目フロー抽出部は、所定期間以上前に発生したフローについて注目フローから除外することを特徴とする請求項7に記載の通信解析装置。
  9. 前記注目フロー抽出部は、ユーザ毎にアプリケーションが切り替わったことを検知し、前記注目フロー抽出部にアプリケーションの変更を検知したユーザについて除外されているフローを一旦注目フローに戻すリセット処理をさせることを特徴とする請求項6〜8のいずれかに記載の通信解析装置。
  10. コンピュータを、
    解析対象となるトラフィックのデータをフローごとに分割してフローデータを取得するフロー分割部と、
    フロー毎に、フローデータの統計情報を含む特徴量を取得する特徴量抽出部と、
    フロー毎に、取得した特徴量に基づいて当該フローに対応するアプリケーション及び当該アプリケーションの利用状態を推定する利用状態推定部と、
    前記フロー分割部が取得したフロー毎のフローデータ、又は、前記特徴量抽出部が取得した特徴量のいずれかについて、所定の条件に基づく注目フローを抽出して注目フロー以外を前記利用状態推定部が処理するフローから除外する処理を行う注目フロー抽出部と
    して機能させることを特徴とする通信解析プログラム。
JP2016018321A 2016-02-02 2016-02-02 通信解析装置及び通信解析プログラム Pending JP2017139580A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016018321A JP2017139580A (ja) 2016-02-02 2016-02-02 通信解析装置及び通信解析プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016018321A JP2017139580A (ja) 2016-02-02 2016-02-02 通信解析装置及び通信解析プログラム

Publications (1)

Publication Number Publication Date
JP2017139580A true JP2017139580A (ja) 2017-08-10

Family

ID=59566479

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016018321A Pending JP2017139580A (ja) 2016-02-02 2016-02-02 通信解析装置及び通信解析プログラム

Country Status (1)

Country Link
JP (1) JP2017139580A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020079986A1 (ja) * 2018-10-15 2020-04-23 日本電気株式会社 推定装置、システム及び方法及びコンピュータ可読媒体並びに学習装置及び方法及びコンピュータ可読媒体
JP2021168517A (ja) * 2018-03-29 2021-10-21 日本電気株式会社 通信方法、及び通信装置
JP2022548136A (ja) * 2019-09-16 2022-11-16 華為技術有限公司 データストリーム分類方法および関連デバイス

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021168517A (ja) * 2018-03-29 2021-10-21 日本電気株式会社 通信方法、及び通信装置
JP7095788B2 (ja) 2018-03-29 2022-07-05 日本電気株式会社 通信方法、及び通信装置
US11438246B2 (en) 2018-03-29 2022-09-06 Nec Corporation Communication traffic analyzing apparatus, communication traffic analyzing method, program, and recording medium
WO2020079986A1 (ja) * 2018-10-15 2020-04-23 日本電気株式会社 推定装置、システム及び方法及びコンピュータ可読媒体並びに学習装置及び方法及びコンピュータ可読媒体
JPWO2020079986A1 (ja) * 2018-10-15 2021-09-16 日本電気株式会社 推定装置、システム及び方法及びプログラム並びに学習装置及び方法及びプログラム
JP7036225B2 (ja) 2018-10-15 2022-03-15 日本電気株式会社 推定装置、システム及び方法及びプログラム並びに学習装置及び方法及びプログラム
US11558769B2 (en) 2018-10-15 2023-01-17 Nec Corporation Estimating apparatus, system, method, and computer-readable medium, and learning apparatus, method, and computer-readable medium
JP2022548136A (ja) * 2019-09-16 2022-11-16 華為技術有限公司 データストリーム分類方法および関連デバイス
US11838215B2 (en) 2019-09-16 2023-12-05 Huawei Technologies Co., Ltd. Data stream classification method and related device
JP7413515B2 (ja) 2019-09-16 2024-01-15 華為技術有限公司 データストリーム分類方法および関連デバイス

Similar Documents

Publication Publication Date Title
JP6961737B2 (ja) 動的コード管理
CN108028778B (zh) 生成信息传输性能警告的方法、***和装置
CN104579912B (zh) 数据推送的方法及装置
US10664872B2 (en) Systems and methods for generating network intelligence through real-time analytics
CN107404408B (zh) 一种虚拟身份关联识别方法及装置
US20150120914A1 (en) Service monitoring system and service monitoring method
WO2015039553A1 (en) Method and system for identifying fraudulent websites priority claim and related application
CN109977296B (zh) 一种信息推送方法、装置、设备及存储介质
US10185987B2 (en) Identifying the end of an on-line cart session
WO2020257991A1 (zh) 用户识别方法及相关产品
WO2014032563A1 (en) Transit-mode-based webpage accessing method, system, and crawler route server
JP2017139580A (ja) 通信解析装置及び通信解析プログラム
US20190363943A1 (en) Systems and methods for determining characteristics of devices on a network
CN109982293A (zh) 流量产品推送方法、***、电子设备及存储介质
US20200195564A1 (en) Data transmission boosting device
CN108600780A (zh) 用于推送信息的方法
CN108111591B (zh) 推送消息的方法、装置及计算机可读存储介质
US20240022507A1 (en) Information flow recognition method, network chip, and network device
US20160020970A1 (en) Router and information-collection method thereof
CN106656735A (zh) 表情图像发送方法及装置
CN114221988B (zh) 一种内容分发网络热点分析方法和***
CN109429296B (zh) 用于终端与上网信息关联的方法、装置及存储介质
JP2012198818A (ja) 分析装置、分析プログラム、分析方法およびシステム
JP2016152453A (ja) 通信制御システム、通信方法、及びゲートウェイ装置
US9774515B2 (en) Router and resource assignment method thereof