ホーム > 特許ランキング > 安華聯網科技股▲分▼有限公司
知財求人 - 知財ポータルサイト「IP Force」
特許6990452トラヒック監視のためのデバイス、方法、および非一時的有形機械可読媒体
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2021-12-08
(45)【発行日】2022-01-12
(54)【発明の名称】トラヒック監視のためのデバイス、方法、および非一時的有形機械可読媒体
(51)【国際特許分類】
G06F 11/07 20060101AFI20220104BHJP
【FI】
G06F11/07 160
G06F11/07 140T
【請求項の数】
9
【外国語出願】
(21)【出願番号】P 2019231365
(22)【出願日】2019-12-23
(65)【公開番号】P2020107337
(43)【公開日】2020-07-09
【審査請求日】2020-01-23
(31)【優先権主張番号】107146983
(32)【優先日】2018-12-25
(33)【優先権主張国・地域又は機関】TW
(73)【特許権者】
【識別番号】517056505
【氏名又は名称】安華聯網科技股▲分▼有限公司
(74)【代理人】
【識別番号】100082418
【弁理士】
【氏名又は名称】山口 朔生
(74)【代理人】
【識別番号】100167601
【弁理士】
【氏名又は名称】大島 信之
(74)【代理人】
【識別番号】100201329
【弁理士】
【氏名又は名称】山口 真二郎
(72)【発明者】
【氏名】▲頼▼昭曄
(72)【発明者】
【氏名】李育杰
【審査官】多賀 実
(56)【参考文献】
【文献】中国特許出願公開第108076019(CN,A)
【文献】米国特許出願公開第2016/0149776(US,A1)
【文献】特開2005-236863(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 11/07
G06F 11/28-11/36
G06F 13/00
G06F 21/00-21/88
H04L 12/00-12/26
H04L 12/50-13/18
(57)【特許請求の範囲】
【請求項1】
確率モデルを記憶するように構成されるストレージと、被試験デバイスおよび前記ストレージと電気的に接続されるプロセッサであって、前記被試験デバイスは複数のパケットを連続的に送信し、監視時間間隔内に前記被試験デバイスによって送信される第1のパケット量を記録すること、および、前記第1のパケット量および前記監視時間間隔が対応付けられた発生確率が確率閾値より低い時、前記被試験デバイスは異常状態にあると判断することであって、前記発生確率は前記確率モデルによって判断されることを特徴とする、判断すること、を行うように構成されるプロセッサと、を含み、
前記第1のパケット量を記録する前に、前記プロセッサは、データトレーニング時間間隔内に前記被試験デバイスによって送信される第2のパケット量を記録し、および、前記データトレーニング時間間隔および前記第2のパケット量に従って、かつポアソン確率質量関数に基づいて前記確率モデルを構築するように構成され、
前記第2のパケット量を記録する前に、前記プロセッサは、前記データトレーニング時間間隔内に前記被試験デバイスによって送信される前記複数のパケットの量がパケット量の閾値より低い時、少なくとも1つのトリガメッセージを前記被試験デバイスに送信することで、前記複数のパケットの量を前記パケット量の閾値より高くするようにさらに構成される、
トラヒック監視デバイス。
【請求項2】
前記プロセッサは、前記発生確率が前記確率閾値より高い時前記確率モデルを更新するために、前記第1のパケット量に従って前記第2のパケット量を調整するようにさらに構成されることを特徴とする、請求項1に記載のトラヒック監視デバイス。
【請求項3】
前記プロセッサは、前記異常状態に従ってトラヒック異常レポートを生成するようにさらに構成されることを特徴とする、請求項1に記載のトラヒック監視デバイス。
【請求項4】
トラヒック監視デバイスのためのトラヒック監視方法であって、トラヒック監視デバイスは、確率モデルを記憶し、かつ被試験デバイスと電気的に接続され、
前記被試験デバイスは、複数のパケットを連続的に送信し、
前記トラヒック監視デバイスによって、監視時間間隔内に前記被試験デバイスによって送信される第1のパケット量を記録するステップと、
前記第1のパケット量および前記監視時間間隔が対応付けられた発生確率が確率閾値より低い時、前記被試験デバイスは異常状態にあると、前記トラヒック監視デバイスによって判断するステップであって、前記発生確率は前記確率モデルによって判断されることを特徴とする、判断するステップと、を含み、
前記第1のパケット量を記録するステップの前に、前記トラヒック監視デバイスによって、データトレーニング時間間隔内に前記被試験デバイスによって送信される第2のパケット量を記録するステップと、前記トラヒック監視デバイスによって、前記データトレーニング時間間隔および前記第2のパケット量に従って、かつポアソン確率質量関数に基づいて前記確率モデルを構築するステップと、を含み、
前記第2のパケット量を記録するステップの前に、前記データトレーニング時間間隔内に前記被試験デバイスによって送信される前記複数のパケットの量がパケット量の閾値より低い時、少なくとも1つのトリガメッセージを前記被試験デバイスに前記トラヒック監視デバイスによって送信することで、前記複数のパケットの量を前記パケット量の閾値より高くするステップを含む、
トラヒック監視方法。
【請求項5】
前記発生確率が前記確率閾値より高い時前記確率モデルを更新するために、前記第1のパケット量に従って前記第2のパケット量を前記トラヒック監視デバイスによって調整するステップをさらに含む、請求項4に記載のトラヒック監視方法。
【請求項6】
前記異常状態に従ってトラヒック異常レポートを前記トラヒック監視デバイスによって生成するステップをさらに含む、請求項4に記載のトラヒック監視方法。
【請求項7】
コンピュータプログラムが記憶される非一時的有形機械可読媒体であって、前記コンピュータプログラムは、前記コンピュータプログラムがトラヒック監視デバイスにロードされる時トラヒック監視方法を実行するように構成される複数のコードを含み、
前記トラヒック監視方法は、
監視時間間隔内に被試験デバイスによって送信される第1のパケット量を記録するステップであって、前記被試験デバイスは複数のパケットを連続的に送信することを特徴とする、記録するステップと、
前記第1のパケット量および前記監視時間間隔が対応付けられた発生確率が確率閾値より低い時、前記被試験デバイスは異常状態にあると判断するステップであって、前記発生確率は確率モデルによって判断されることを特徴とする、判断するステップと、を含み、
前記トラヒック監視方法は、前記第1のパケット量を記録するステップの前に、データトレーニング時間間隔内に前記被試験デバイスによって送信される第2のパケット量を記録するステップと、前記データトレーニング時間間隔および前記第2のパケット量に従って、かつポアソン確率質量関数に基づいて前記確率モデルを構築するステップと、を含み、
前記トラヒック監視方法は、前記第2のパケット量を記録するステップの前に、前記データトレーニング時間間隔内に前記被試験デバイスによって送信される前記複数のパケットの量がパケット量の閾値より低い時、トリガメッセージを前記被試験デバイスに送信することで、前記複数のパケットの量を前記パケット量の閾値より高くするステップを含む、
非一時的有形機械可読媒体。
【請求項8】
前記トラヒック監視方法は、前記発生確率が前記確率閾値より高い時、前記第1のパケット量に従って前記第2のパケット量を調整するステップをさらに含むことを特徴とする、請求項7に記載の非一時的有形機械可読媒体。
【請求項9】
前記トラヒック監視方法は、前記異常状態に従ってトラヒック異常レポートを生成するステップをさらに含むことを特徴とする、請求項7に記載の非一時的有形機械可読媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、トラヒック監視のためのデバイスおよび方法、ならびに、このデバイスにおいて使用するための非一時的有形機械可読媒体に関する。より詳細には、本発明の実施形態は、時間間隔内に被試験デバイスによって送信されるパケット量を測定し、かつ確率モデルに基づいて被試験デバイスのトラヒック状態を判断する、トラヒック監視のためのデバイス、方法、および非一時的有形機械可読媒体に関する。
【背景技術】
【0002】
従来のシステム監視技術は、2つのカテゴリに大きく分類可能である。従来のシステム監視技術の第1のカテゴリについて、監視デバイスは、被試験デバイスが異常であるかどうかを判断するために被試験デバイスの特定のメモリスペースのメモリ状態を監視する。この種類の監視技術はメモリアクセスを伴うため、監視デバイスは、被試験デバイスの管理アクセス権を得なければならない。従って、この種類のシステム監視技術は、厳しい条件を必要とし、かつブラックボックス/グレーボックステストシナリオに適用できない。
【0003】
従来のシステム監視技術の他のカテゴリに関して、監視デバイスは、被試験デバイスのトラヒック内容を分析することによって被試験デバイスのトラヒック状態を判断する。具体的には、監視デバイスは、特定のプロトコルを使用する被試験デバイスの全ての応答を予期することが可能でなければならず、そうあることで被試験デバイスが、被試験デバイスからパケットを受信する時にパケット内容を分析することによって、異常であるかどうかを判断できる。しかしながら、この種類のシステム監視技術は、被試験デバイスのパケット内容の精確な分析を必要とするため、実装形態および動作はより複雑になる。さらに、被試験デバイスによって使用されるプロトコルが異なっている場合があるとすると、ほとんどの監視デバイスは、別個に開発されなければならず、開発費が高額になる。
【0004】
以上より、従来のシステム監視技術が、不十分な互換性、複雑な実装形態、および高費用という問題を有することが理解さる。このため、従来のシステム監視技術の上述される問題を解決することは、当技術分野において非常に重要となっている。
【発明の概要】
【発明が解決しようとする課題】
【0005】
前述の問題を解決するために、本開示はトラヒック監視デバイスを提供する。
トラヒック監視デバイスは、ストレージ、および被試験デバイスおよびストレージと電気的に接続されるプロセッサを含む。ストレージは確率モデルを記憶するように構成される。被試験デバイスは、複数のパケットを連続的に送信する。プロセッサは、監視時間間隔内に被試験デバイスによって送信される第1のパケット量を記録するように構成される。プロセッサは、第1のパケット量および監視時間間隔が対応付けられた発生確率が確率閾値より低い時、被試験デバイスは異常状態にあると判断されるようにさらに構成され、発生確率は確率モデルによって判断される。
トラヒック監視デバイスは、ストレージ、および被試験デバイスおよびストレージと電気的に接続されるプロセッサを含む。ストレージは確率モデルを記憶するように構成される。被試験デバイスは、複数のパケットを連続的に送信する。プロセッサは、監視時間間隔内に被試験デバイスによって送信される第1のパケット量を記録するように構成される。プロセッサは、第1のパケット量および監視時間間隔が対応付けられた発生確率が確率閾値より低い時、被試験デバイスは異常状態にあると判断されるようにさらに構成され、発生確率は確率モデルによって判断される。
【0006】
前述の問題を解決するために、本開示は、トラヒック監視デバイスのためのトラヒック監視方法をさらに提供する。
トラヒック監視デバイスは、確率モデルを記憶し、かつ被試験デバイスと電気的に接続される。被試験デバイスは、複数のパケットを連続的に送信する。トラヒック監視方法は、以下のステップ、トラヒック監視デバイスによって、監視時間間隔内に被試験デバイスによって送信される第1のパケット量を記録するステップと、第1のパケット量および監視時間間隔が対応付けられた発生確率が確率閾値より低い時、被試験デバイスが異常状態にあると、トラヒック監視デバイスによって判断するステップであって、発生確率は確率モデルによって判断される、判断するステップとを含む。
トラヒック監視デバイスは、確率モデルを記憶し、かつ被試験デバイスと電気的に接続される。被試験デバイスは、複数のパケットを連続的に送信する。トラヒック監視方法は、以下のステップ、トラヒック監視デバイスによって、監視時間間隔内に被試験デバイスによって送信される第1のパケット量を記録するステップと、第1のパケット量および監視時間間隔が対応付けられた発生確率が確率閾値より低い時、被試験デバイスが異常状態にあると、トラヒック監視デバイスによって判断するステップであって、発生確率は確率モデルによって判断される、判断するステップとを含む。
【0007】
前述の問題を解決するために、本開示は、非一時的有形機械可読媒体をさらに提供する。
非一時的有形機械可読媒体はコンピュータプログラムが記憶され、このコンピュータプログラムは、コンピュータプログラムがトラヒック監視デバイスにロードされる時トラヒック監視方法を実行できる複数のコードを含む。トラヒック監視方法は、以下のステップ:監視時間間隔内に被試験デバイスによって送信される第1のパケット量を記録するステップであって、被試験デバイスは複数のパケットを連続的に送信する、記録するステップと、第1のパケット量および監視時間間隔が対応付けられた発生確率が確率閾値より低い時、被試験デバイスは異常状態にあると判断するステップであって、発生確率は確率モデルによって判断される、判断するステップとを含む。
非一時的有形機械可読媒体はコンピュータプログラムが記憶され、このコンピュータプログラムは、コンピュータプログラムがトラヒック監視デバイスにロードされる時トラヒック監視方法を実行できる複数のコードを含む。トラヒック監視方法は、以下のステップ:監視時間間隔内に被試験デバイスによって送信される第1のパケット量を記録するステップであって、被試験デバイスは複数のパケットを連続的に送信する、記録するステップと、第1のパケット量および監視時間間隔が対応付けられた発生確率が確率閾値より低い時、被試験デバイスは異常状態にあると判断するステップであって、発生確率は確率モデルによって判断される、判断するステップとを含む。
【課題を解決するための手段】
【0008】
本発明のトラヒック監視技術は、被試験デバイスが、特定の時間間隔内に被試験デバイスによって送信されるパケット量に基づいて異常であるかどうかを判断する。ゆえに、従来のシステム監視技術のように、被試験デバイスによって使用される種々のプロトコルのための種々のトラヒック監視デバイスを開発する必要はない。さらに、従来のシステム監視技術のように、監視を行うために被試験デバイスに対する管理アクセス権を得る必要はない。さらに、トラヒック監視デバイスは、被試験デバイスによって送信されるパケットに対して精確な分析を行う必要はないため、動作上の複雑さは従来のシステム監視技術のものより低い。開発者は、被試験デバイスによって使用される種々のプロトコルのための種々のトラヒック監視デバイスを開発する必要がないため、従来のシステム監視技術より開発費が安価である。その結果、本開示によって提供される、トラヒック監視のためのデバイスおよび方法、ならびに該デバイスにおいて使用するための非一時的有形機械可読媒体は、従来のシステム監視技術の上述した問題を効果的に解決する。
【0009】
以上は、本発明を限定することを意図しておらず、全体的に、当業者が本発明を事前に理解できるように、本発明によって解決可能である技術的問題、採用可能である技術的手法、および本発明によって実現可能である技術的効果を説明するものに過ぎない。以下の実施形態において説明される添付の図面および内容に従って、当業者は本発明において特許請求される特徴を理解可能である。
【図面の簡単な説明】
【0010】
【図1】本発明の1つまたは複数の実施形態によるトラヒック監視システムの概略図である。
【図2A】本発明の1つまたは複数の実施形態による別のトラヒック監視システムの概略図である。
【図2B】本発明の1つまたは複数の実施形態による、被試験デバイスに対してトラヒック監視を行うトラヒック監視デバイスのフローチャートである。
【図2C】本発明の1つまたは複数の実施形態による、被試験デバイスに対してトラヒック監視を行うトラヒック監視デバイスのフローチャートである。
【図3】本発明のトラヒック監視方法のフローチャートである。
【発明を実施するための形態】
【0011】
以下の説明では、本発明は本発明の実施形態に関して開示される。後述する本発明の実施形態が、これらの実施形態において説明されるいずれの特定の環境、応用、構造、プロセス、またはステップに本発明を限定することをも意図しないことは理解されるべきである。添付の図面において、本発明の実施形態に関係がない要素は描写から省略されており、添付の図面における要素の寸法および個々の要素の間の比例関係は典型的な例に過ぎず、本発明を限定することを意図していない。特に記されていない限り、同じ(または同様の)要素のシンボルは、以下の説明における同じ(または同様の)要素に対応し得る。特に記されていない限り、後述される要素のそれぞれの数は、適用において1つまたは複数を意味する。
【0012】
【0013】
図1を参照する。本発明の第1の実施形態はトラヒック監視システムである。トラヒック監視システム1は、トラヒック監視デバイス11、被試験デバイス13、および端末器15を含んでよい。
トラヒック監視デバイス11は、ストレージ111、およびストレージ111と電気的に接続されるプロセッサ113を含んでよい。被試験デバイス13は、有線または無線式にトラヒック監視デバイス11と接続され、トラヒック監視デバイス11は有線または無線で端末器15と接続される。被試験デバイス13は、複数のパケットを、トラヒック監視デバイス11を介して端末器15に連続的に送信する。トラヒック監視デバイス11のプロセッサ113は、被試験デバイス13によって受信および送信されるパケット量を監視する、またはプロセッサ113および被試験デバイス13は互いにパケットを送信する。
トラヒック監視デバイス11は、ストレージ111、およびストレージ111と電気的に接続されるプロセッサ113を含んでよい。被試験デバイス13は、有線または無線式にトラヒック監視デバイス11と接続され、トラヒック監視デバイス11は有線または無線で端末器15と接続される。被試験デバイス13は、複数のパケットを、トラヒック監視デバイス11を介して端末器15に連続的に送信する。トラヒック監視デバイス11のプロセッサ113は、被試験デバイス13によって受信および送信されるパケット量を監視する、またはプロセッサ113および被試験デバイス13は互いにパケットを送信する。
【0014】
いくつかの実施形態では、トラヒック監視デバイス11は、(図示せず)送信インターフェースをさらに含み、プロセッサ113は、送信インターフェースを介して被試験デバイス13および端末器15と接続される。また、有線接続は、限定はされないが、ケーブルによる接続、またはさまざまな機能の光ファイバネットワークなどを含んでよい。無線接続は、限定はされないが、ブルートゥース(登録商標)、Wi-Fi(登録商標)、またはモバイル通信ネットワークによる接続などを含んでよい。
【0015】
被試験デバイス13は、モバイル通信装置(例えば、限定はされないが、スマートフォンまたはタブレットコンピュータなど)、ネットワーキング装置(例えば、限定はされないが、サーバ)、モノのインターネット(IOT)デバイス、またはパケットを送受信することが可能な他の通信デバイスであってよい。
端末器15は、パケットを被試験デバイス13などと送受信するといった相互作用のために、被試験デバイス13と相互に作用することが可能である通信デバイスであってよい。いくつかの実施形態では、端末器15およびトラヒック監視デバイス11は、同じデバイス内に配設されてもよいし、またはシステムを共に形成してよい。トラヒック監視デバイス11は、被試験デバイス13によって送信されるパケット量を直接監視できる。すなわち、トラヒック監視デバイス11は、被試験デバイス13と送受信するパケットに直接参加できることで、被試験デバイス13によって送信されるパケット量をより直接的に監視するようにする。
端末器15は、パケットを被試験デバイス13などと送受信するといった相互作用のために、被試験デバイス13と相互に作用することが可能である通信デバイスであってよい。いくつかの実施形態では、端末器15およびトラヒック監視デバイス11は、同じデバイス内に配設されてもよいし、またはシステムを共に形成してよい。トラヒック監視デバイス11は、被試験デバイス13によって送信されるパケット量を直接監視できる。すなわち、トラヒック監視デバイス11は、被試験デバイス13と送受信するパケットに直接参加できることで、被試験デバイス13によって送信されるパケット量をより直接的に監視するようにする。
【0016】
ストレージ111は、トラヒック監視デバイス11によって生成されるデータ、または外部から受信されるデータを記憶するように構成される。ストレージ111は、(メインメモリまたは内部メモリとも呼ばれる)一次メモリを含んでよく、プロセッサ113は、一次メモリに記憶される命令セットを直接読み出してよく、かつ必要に応じてこれらの命令セットを実行してよい。ストレージ111は、オプションとして、(外部メモリまたは補助メモリとも呼ばれる)二次メモリを含んでよく、二次メモリは、記憶されたデータを、データバッファを介して一次メモリに送信してよい。例えば、二次メモリは、例えば、限定はされないが、ハードディスクまたは光ディスクなどであってよい。ストレージ111は、オプションとして、三次メモリ、すなわち、例えば、モバイルディスクといった、コンピュータに対して直接挿入または引き出しが可能であるストレージデバイスを含んでよい。第1の実施形態では、ストレージ111は確率モデルMDを記憶する。
【0017】
プロセッサ113は、信号処理などが可能であるマイクロプロセッサまたはマイクロコントローラである。マイクロプロセッサまたはマイクロコントローラは、動作、記憶、または出力/入力などが可能である一種のプログラム可能な特定の集積回路である。また、マイクロプロセッサまたはマイクロコントローラは、さまざまなコード化命令を受信しかつ処理できることによって、さまざまな論理演算および算術演算が行われ、かつ対応する演算結果が出力される。プロセッサ113は、トラヒック監視デバイス11においてさまざまな動作またはプログラムを実行するようにプログラミングされてよい。
【0018】
監視時間間隔内に、プロセッサ113は、被試験デバイス13から端末器15に送信される合計「M」のパケット、すなわち、パケットP_01、パケットP_02、…、パケットP_0Mを記録することによって、監視時間間隔内に被試験デバイス13によって送信される第1のパケット量を取得する。
第1のパケット量を取得した後、プロセッサ113は、確率モデルMDに従って、監視時間間隔および第1のパケット量が対応付けられた発生確率、すなわち、「監視時間間隔内に被試験デバイス13によって第1のパケット量のパケットを送信する」確率を計算する。発生確率が事前設定された確率閾値より低い時、「監視時間間隔内に被試験デバイス13によって第1のパケット量のパケットを送信する」ことが異例の状況に分類可能であることを意味するため、プロセッサ113は、その後、被試験デバイス13が異常状態にあると判断できる。
第1のパケット量を取得した後、プロセッサ113は、確率モデルMDに従って、監視時間間隔および第1のパケット量が対応付けられた発生確率、すなわち、「監視時間間隔内に被試験デバイス13によって第1のパケット量のパケットを送信する」確率を計算する。発生確率が事前設定された確率閾値より低い時、「監視時間間隔内に被試験デバイス13によって第1のパケット量のパケットを送信する」ことが異例の状況に分類可能であることを意味するため、プロセッサ113は、その後、被試験デバイス13が異常状態にあると判断できる。
【0019】
前述のパケット量「M」が変数値であってよいことが理解されるべきである。より詳細には、それぞれの監視時間間隔内に被試験デバイス13によって送信されるパケット量「M」は異なっている場合がある。従って、種々の監視時間間隔内に計算される確率は変化し得る。
【0020】
また、確率モデルMDはストレージ111において事前確立されかつ記憶される計算モデルであってよい。確率モデルMDは、監視時間間隔のさまざまな単位時間長内に特定のパケット量を送信するさまざまな発生確率を計算するために使用されてよい。例えば、0.15秒ごとに、8パケット、12パケット、16パケット、20パケット、および24パケットを送信する発生確率は、それぞれ、約0.02、0.08、0.09、0.04、および0.01であり、計算に確率関数を使用することで得ることができる。従って、確率モデルMDを使用することによって、トラヒック監視デバイス11は、後の確率閾値との比較のために単位時間内に送信されるパケット量による確率値を生成できる。
【0021】
図2Aは、本発明の1つまたは複数の実施形態によるトラヒック監視システム2Aの概略図を示す。図2Bおよび図2Cは、本発明の1つまたは複数の実施形態による、被試験デバイス13に対してトラヒック監視を行うトラヒック監視デバイス11のフローチャートを示す。図2A、図2B、および図2Cに示される内容は、本発明を限定するためのものではなく、本発明の実施形態を例証する目的のためのものに過ぎない。
【0022】
図2A、図2B、および図2Cを参照する。本発明の第2の実施形態は第1の実施形態を拡張したものである。本発明の第1の実施形態におけるトラヒック監視システム1のように、トラヒック監視システム2Aはまた、トラヒック監視デバイス11、被試験デバイス13、および端末器15を含んでよい。第2の実施形態では、トラヒック監視デバイス11のプロセッサ113は、トラヒック監視プロセス2Bおよびトラヒック監視プロセス2Cを実行するようにさらに構成される。
【0023】
トラヒック監視プロセス2Bにおいて、監視時間間隔内に被試験デバイス13によって送信されるパケット量を記録する前に、プロセッサ113は、データトレーニング時間間隔内に被試験デバイス13によって送信されるパケット量を記録し、次いで、データトレーニング時間間隔内に被試験デバイス13によって送信されるパケット量がパケット量の事前設定された閾値より高いかどうかを分析してよい(アクション201として標示される)。
データトレーニング時間間隔内に被試験デバイス13によって送信されるパケット量がパケット量の閾値より低い場合、プロセッサ113は、少なくとも1つのトリガメッセージを被試験デバイス13に自発的に送信できることで、プロセッサ113の少なくとも1つのトリガメッセージに応答してパケットを送信するように被試験デバイス13をトリガするようにする(アクション203として標示される)。次に、プロセッサ113は、データトレーニング時間間隔内に被試験デバイス13によって送信されるパケット量が実際に、パケット量の閾値より高くなるまで、アクション201および203を繰り返してよく、その後、方法はトラヒック監視プロセス2Cに進む。
データトレーニング時間間隔内に被試験デバイス13によって送信されるパケット量がパケット量の閾値より低い場合、プロセッサ113は、少なくとも1つのトリガメッセージを被試験デバイス13に自発的に送信できることで、プロセッサ113の少なくとも1つのトリガメッセージに応答してパケットを送信するように被試験デバイス13をトリガするようにする(アクション203として標示される)。次に、プロセッサ113は、データトレーニング時間間隔内に被試験デバイス13によって送信されるパケット量が実際に、パケット量の閾値より高くなるまで、アクション201および203を繰り返してよく、その後、方法はトラヒック監視プロセス2Cに進む。
【0024】
例えば、データトレーニング時間間隔(例えば、限定はされないが、60秒)内に被試験デバイス13によって送信されるパケット量(すなわち、パケットP_01、パケットP_02、…、パケットP_0Mで構成される合計「M」パケット)がパケット量の閾値より低い場合、プロセッサ113は、「L」のトリガメッセージ(すなわち、トリガメッセージT_1、トリガメッセージT_2、…、トリガメッセージT_L)を連続的に(例えば、限定はされないが、等しい時間間隔で)送信してよく、被試験デバイス13は、プロセッサ113によって送信される「L」のトリガメッセージに応答して、「N」のパケット(すなわち、パケットP_11、パケットP_12、…、パケットP_1N)を対応して送信する。
次に、プロセッサ113は、再び分析し、データトレーニング時間間隔内に被試験デバイス13によって送信されるパケット量(すなわち、パケット量「M」および「N」の合計)が実際に、パケット量の閾値(例えば、限定はされないが、30)より高いことを確認できる。
次に、プロセッサ113は、再び分析し、データトレーニング時間間隔内に被試験デバイス13によって送信されるパケット量(すなわち、パケット量「M」および「N」の合計)が実際に、パケット量の閾値(例えば、限定はされないが、30)より高いことを確認できる。
【0025】
前述のパケット量「M」および「N」が変数値であってよいことが理解されるべきである。より詳細には、被試験デバイス13は、それぞれの監視時間間隔内に「M」および「N」と異なるパケット量を送信してよい。より精確な確率モデルMDを確立するために、トラヒック監視デバイス11は、被試験デバイス13に、量がパケット量の閾値より大きいパケットを送信させる。
【0026】
その後、トラヒック監視プロセス2Cにおいて、プロセッサ113は、データトレーニング時間間隔内に被試験デバイス13によって送信される第2のパケット量を記録し(アクション205として標示される)、データトレーニング時間間隔および第2のパケット量に従って、かつポアソン確率質量関数に基づいて確率モデルMDを構築し(アクション207として標示される)、さらにまた、確率モデルMDをストレージ111に記憶できる。具体的には、ポアソン確率質量関数は以下のようなものであってよい。
【0027】
【数1】
【0028】
本発明の1つまたは複数の実施形態において、
「X」は離散型確率変数であり、
「PX(K)」は、「X」が「K」に等しい時のポアソン確率質量関数であり、
「e」はオイラー数であり、
「μ」はポアソン確率質量関数のパラメータであり、
「K」は第1のパケット量(すなわち、監視時間間隔内のパケット量)であり、
「RX」は実数を表し、
本発明の実施形態では、パラメータ「μ」は以下のようなものであってよい。
「X」は離散型確率変数であり、
「PX(K)」は、「X」が「K」に等しい時のポアソン確率質量関数であり、
「e」はオイラー数であり、
「μ」はポアソン確率質量関数のパラメータであり、
「K」は第1のパケット量(すなわち、監視時間間隔内のパケット量)であり、
「RX」は実数を表し、
本発明の実施形態では、パラメータ「μ」は以下のようなものであってよい。
【0029】
【数2】
「T」はデータトレーニング時間間隔であり、
「t」は監視時間間隔である。
【0030】
例えば、プロセッサ113は、データトレーニング時間間隔(例えば、限定はされないが、2秒)内に被試験デバイス13によって送信される第2のパケット量(例えば、限定はされないが、200)を記録できることで、確率モデルMDを以下のように構築する。
【0031】
【数3】
【0032】
確率モデルMDを構築後、プロセッサ113は、監視時間間隔内に被試験デバイス13によって送信される、パケットP_01、パケットP_02、…、パケットP_0Mの第1のパケット量を記録し(アクション209として標示される)、かつ確率モデルMDに従って監視時間間隔および第1のパケット量から計算される発生確率が確率閾値より低いかどうかを判断でき(アクション211として標示される)、それによって、被試験デバイス13が異常状態にあるかどうかを判断する。
【0033】
例えば、プロセッサ13は、被試験デバイスが監視時間間隔(例えば、限定ではないが、0.15秒)内に合計23パケットを送信したことを記録してよい。次いで、「被試験デバイス13によって0.15秒内に23パケットを送信する」ことに対応する発生確率は、約0.0132(すなわち、1.32%)である、上記の式3による確率モデルMDによって計算されてよい。次に、プロセッサ113は、発生確率(すなわち、「1.32%」)が確率閾値(例えば、限定はされないが、「2%」)より低いことを確認できることによって、被試験デバイス13が異常状態にあることを判断する。
【0034】
いくつかの実施形態では、被試験デバイス13が異常状態にあると判断した後、プロセッサ113は、被試験デバイス13が異常状態にあることをレポート(または表示)し、かつ異常状態に関連しているトラヒック異常レポートを生成してよく(アクション213として標示される)、それによって、ユーザは、被試験デバイス13のトラヒック条件を記録するか、または被試験デバイス13に対するトラヒックへの調整を行う。
【0035】
監視時間間隔内に被試験デバイス13によって送信される第1のパケット量から確率モデルMDに従って計算される発生確率が確率閾値より高い場合、プロセッサ113は、被試験デバイス13が異常状態にないと判断し、プロセッサ113は、被試験デバイス13が異常状態にあること、またはユーザがトラヒック監視プロセス2Bおよびトラヒック監視プロセス2Cを終了していることが判断されるまで、アクション205、207、209、および211を繰り返してよい。
また、プロセッサ113が、被試験デバイス13が異常状態にないと判断し、かつアクション205を繰り返す時、プロセッサ113は、最終時間のデータ(すなわち、異常と判断されない第1のパケット量および監視時間間隔)を第2のパケット量およびデータトレーニング時間間隔として使用することが可能となり、確率モデルMDを更新する。
また、プロセッサ113が、被試験デバイス13が異常状態にないと判断し、かつアクション205を繰り返す時、プロセッサ113は、最終時間のデータ(すなわち、異常と判断されない第1のパケット量および監視時間間隔)を第2のパケット量およびデータトレーニング時間間隔として使用することが可能となり、確率モデルMDを更新する。
【0036】
いくつかの実施形態では、ユーザは、発生確率が期待値に従っているかどうかを判断し、かつ確率閾値を修正できることで、被試験デバイス13が異常状態にあるかどうかを判断する。同様に、ユーザが、被試験デバイス13が異常状態にないと判断する場合、プロセッサ113は、発生確率が確率閾値より低くなるか、またはユーザがトラヒック監視プロセス2Bおよびトラヒック監視プロセス2Cを自発的に終了するまで、アクション205、207、209、および211を繰り返してよい。
【0037】
【0038】
図3を参照する。本発明の第3の実施形態は、トラヒック監視デバイス(例えば、第1の実施形態に説明されるトラヒック監視デバイス11)のためのトラヒック監視方法3である。トラヒック監視デバイスは、確率モデルを記憶し、かつ被試験デバイスと電気的に接続される。被試験デバイスは複数のパケットを連続的に送信する。トラヒック監視方法3は、以下のステップ、トラヒック監視デバイスによって、監視時間間隔内に被試験デバイスによって送信される第1のパケット量を記録するステップ(301として標示される)と、第1のパケット量および監視時間間隔が対応付けられた発生確率が確率閾値より低い時被試験デバイスが異常状態にあると、トラヒック監視デバイスによって判断するステップであって、発生確率は確率モデルによって判断される、判断するステップ(303として標示される)とを含んでよい。
【0039】
いくつかの実施形態では、第3の実施形態におけるトラヒック監視方法3は、第1のパケット量を記録するステップの前に、以下のステップ、トラヒック監視デバイスによって、データトレーニング時間間隔内に被試験デバイスによって送信される第2のパケット量を記録するステップと、トラヒック監視デバイスによって、データトレーニング時間間隔および第2のパケット量に従って、かつポアソン確率質量関数に基づいて確率モデルを構築するステップと、をさらに含んでよい。
【0040】
いくつかの実施形態では、第3の実施形態におけるトラヒック監視方法3は、以下のステップ、トラヒック監視デバイスによって、データトレーニング時間間隔内に被試験デバイスによって送信される第2のパケット量を記録するステップと、トラヒック監視デバイスによって、データトレーニング時間間隔および第2のパケット量に従って、かつポアソン確率質量関数に基づいて確率モデルを構築するステップと、トラヒック監視デバイスによって、発生確率が確率閾値より高い時確率モデルを更新するために、第1のパケット量に従って第2のパケット量を調整するステップと、をさらに含んでよい。
【0041】
いくつかの実施形態では、第3の実施形態におけるトラヒック監視方法3は、以下のステップ、データトレーニング時間間隔内に被試験デバイスによって送信される複数のパケットの量がパケット量の閾値より低い時、少なくとも1つのトリガメッセージを被試験デバイスにトラヒック監視デバイスによって送信することで、複数のパケットの量をパケット量の閾値より高くするステップと、トラヒック監視デバイスによって、データトレーニング時間間隔内に被試験デバイスによって送信される第2のパケット量を記録するステップと、トラヒック監視デバイスによって、データトレーニング時間間隔および第2のパケット量に従って、かつポアソン確率質量関数に基づいて確率モデルを構築するステップと、をさらに含んでよい。
【0042】
いくつかの実施形態では、第3の実施形態におけるトラヒック監視方法3は、以下のステップ、異常状態に従ってトラヒック異常レポートをトラヒック監視デバイスによって生成するステップをさらに含んでよい。
【0043】
第3の実施形態では、トラヒック監視方法3は、前述のステップに加えて、トラヒック監視デバイス11に関連している上記の実施形態全てに対応する他のステップを実行してもよい。これらの他のステップは、トラヒック監視デバイス11の上記の説明に基づいて当業者によって理解されるものであるため、本明細書においてさらに説明されることはない。
【0044】
第3の実施形態において説明されるトラヒック監視方法3は、複数のコードを含むコンピュータプログラムとして実施されてよい。コードは、コンピュータプログラムが電子装置にロードされる時、第3の実施形態におけるトラヒック監視方法3を実行可能である。コンピュータプログラムは、非一時的有形機械可読媒体、例えば、限定はされないが、読み出し専用メモリ(ROM)、フラッシュメモリ、フロッピーディスク、モバイルハードディスク、磁気テープ、ネットワークにアクセス可能なデータベース、または、同じ機能を有し、かつ当業者に周知である任意の他の記憶媒体に記憶されてよい。
【0045】
上記の説明によると、本発明のトラヒック監視技術は、特定の時間間隔内に被試験デバイスによって送信されるパケット量を検出し、特定の確率モデルに基づいて確率値を生成し、被試験デバイスが、確率値、およびユーザによって設定される確率閾値を使用することによって異常状態にあるかどうかを判断する。従って、本開示に提供される、トラヒック監視のためのデバイスおよび方法、ならびに該デバイスにおいて使用するための非一時的有形機械可読媒体は、パケットの内容を解釈する必要なく被試験デバイスの使用状態を判断できる。本発明は、従来のトラヒック監視技術と比較して、広範な適用性および低複雑度のトラヒック監視方法を提供する。
【0046】
本発明の明細書および特許請求の範囲において、第1のパケット量および第2のパケット量における「第1の」および「第2の」などの用語が、異なる時間間隔内に監視されるパケット量を表すためだけに使用され、一連のパケット量を限定することを意図するものではないことが理解されるべきである。
【0047】
本明細書において複数の実施形態が開示されているが、これらの実施形態は本発明を限定することを意図するものではない。これらの実施形態の等価物または方法(例えば、上記の実施形態の修正および/または組み込み)もまた、本発明の趣旨および範囲から逸脱することのない本発明の一部である。当業者によって容易になされ得るいずれの修正物または等価物も本発明の範囲内にあり、本発明の範囲は特許請求の範囲に画成される内容に準拠する。
【図1】
【図2A】
【図2B】
【図2C】
【図3】