知財求人 - 知財ポータルサイト「IP Force」
▶ パナソニックヘルスケアホールディングス株式会社の特許一覧
特許7085429ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-06-08
(45)【発行日】2022-06-16
(54)【発明の名称】ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム
(51)【国際特許分類】
H04L 43/04 20220101AFI20220609BHJP
H04L 43/0888 20220101ALI20220609BHJP
【FI】
H04L43/04
H04L43/0888
【請求項の数】
7
(21)【出願番号】P 2018131777
(22)【出願日】2018-07-11
(65)【公開番号】P2020010261
(43)【公開日】2020-01-16
【審査請求日】2021-06-09
(73)【特許権者】
【識別番号】314005768
【氏名又は名称】PHCホールディングス株式会社
(74)【代理人】
【識別番号】110002952
【氏名又は名称】特許業務法人鷲田国際特許事務所
(72)【発明者】
【氏名】秋山 暢
(72)【発明者】
【氏名】高橋 泰浩
【審査官】佐々木 洋
(56)【参考文献】
【文献】特開2006-238043(JP,A)
【文献】特開2018-093432(JP,A)
【文献】特開2004-228828(JP,A)
【文献】特開2013-207748(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 43/04
H04L 43/0888
(57)【特許請求の範囲】
【請求項1】
制御部と記憶部とを備え、前記制御部は、
ネットワーク中継装置におけるトラフィックの観測値を含むトラフィックログを生成し、前記記憶部に格納するトラフィックログ生成処理と、
前記トラフィックログを解析して、ネットワーク異常の検出に用いられるトラフィック解析情報を生成し、前記記憶部に格納するトラフィック解析処理と、
前記トラフィック解析情報に基づいて、ネットワーク異常の可能性を検出するネットワーク異常検出処理と、
を並列に実行し、
前記トラフィック解析処理は、第1のタイミングまでの複数の観測値を統計処理した統計観測値と、前記観測値の変動の傾向を示す変動値とを用いて、前記第1のタイミングよりも後の第2のタイミングにおける前記観測値の最大予測値を算出し、算出した最大予測値を前記トラフィック解析情報に含め、
前記ネットワーク異常検出処理は、前記第2のタイミングにおける前記観測値が、前記第2のタイミングに対応付けられている前記最大予測値よりも大きいか否かに応じて、前記ネットワーク異常の可能性を検出し、
前記統計観測値、前記変動値、および前記最大予測値は、共通の傾向を示す母集団に基づいて算出される、
ネットワーク監視装置。
【請求項2】
前記ネットワーク異常検出処理は、前記第2のタイミングにおける前記観測値が、前記第2のタイミングに対応付けられている前記最大予測値よりも大きいことが、所定回数以上継続した場合、前記ネットワーク異常が発生した可能性があると判定する、
請求項1に記載のネットワーク監視装置。
【請求項3】
前記第1のタイミングと、前記第2のタイミングとは、日付の異なる同じ時刻である、請求項1又は2に記載のネットワーク監視装置。
【請求項4】
前記第1のタイミングと、前記第2のタイミングとは、日付の異なる同じ曜日の同じ時刻である、請求項1又は2に記載のネットワーク監視装置。
【請求項5】
前記ネットワーク中継装置は、インテリジェントHUBであり、サンプリングベースでネットワークのトラフィックを監視するエージェントモジュールを有する、請求項1から4の何れか1項に記載のネットワーク監視装置。
【請求項6】
ネットワーク中継装置におけるトラフィックの観測値を含むトラフィックログを生成し、前記トラフィックログを解析して、ネットワーク異常の検出に用いられるトラフィック解析情報を生成し、
前記トラフィック解析情報に基づいて、ネットワーク異常の可能性を検出する、
ことを並列に行う、
ネットワーク監視方法であって、
前記トラフィック解析情報の生成は、第1のタイミングまでの複数の観測値を統計処理した統計観測値と、前記観測値の変動の傾向を示す変動値とを用いて、前記第1のタイミングよりも後の第2のタイミングにおける前記観測値の最大予測値を算出し、算出した最大予測値を前記トラフィック解析情報に含め、
前記ネットワーク異常の可能性の検出は、前記第2のタイミングにおける前記観測値が、前記第2のタイミングに対応付けられている前記最大予測値よりも大きいか否かに応じて、前記ネットワーク異常の可能性を検出し、
前記統計観測値、前記変動値、および前記最大予測値は、共通の傾向を示す母集団に基づいて算出される、
ネットワーク監視方法。
【請求項7】
ネットワーク中継装置におけるトラフィックの観測値を含むトラフィックログを生成する処理と、前記トラフィックログを解析して、ネットワーク異常の検出に用いられるトラフィック解析情報を生成する処理と、
前記トラフィック解析情報に基づいて、ネットワーク異常の可能性を検出する処理と、
を並列にコンピュータに実行させる、
ネットワーク監視プログラムであって、
前記トラフィック解析情報を生成する処理は、第1のタイミングまでの複数の観測値を統計処理した統計観測値と、前記観測値の変動の傾向を示す変動値とを用いて、前記第1のタイミングよりも後の第2のタイミングにおける前記観測値の最大予測値を算出し、算出した最大予測値を前記トラフィック解析情報に含め、
前記ネットワーク異常の可能性を検出する処理は、前記第2のタイミングにおける前記観測値が、前記第2のタイミングに対応付けられている前記最大予測値よりも大きいか否かに応じて、前記ネットワーク異常の可能性を検出し、
前記統計観測値、前記変動値、および前記最大予測値は、共通の傾向を示す母集団に基づいて算出される、
ネットワーク監視プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、ネットワークの状態を監視するネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラムに関する。
【背景技術】
【0002】
従来、ネットワーク上のトラフィックを監視し、トラフィック異常を検出するネットワーク監視装置が知られている。例えば、特許文献1には、次のネットワーク監視装置が開示されている。各々の中継装置から、当該中継装置で動作するエージェントによってスイッチを通過するパケットがサンプリングされたヘッダサンプルを含むトラフィック情報を収集する。そして、収集されたトラフィック情報中のヘッダサンプルに含まれるIPヘッダデータ及びペイロードデータを抽出する。そして、抽出されたIPヘッダデータ又はペイロードを用いて、トラフィック異常を検出する。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2013-255196号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
ところで、近年のネットワーク性能の向上に伴い、伝送速度及びトラフィック量も高くなっている。そのため、ネットワーク異常の検出も、さらなる効率化が求められている。
【0005】
本開示の目的は、効率的にネットワーク異常の検出を行うネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラムを提供することにある。
【課題を解決するための手段】
【0006】
本開示の一態様に係るネットワーク監視装置は、制御部と記憶部とを備え、前記制御部は、ネットワーク中継装置におけるトラフィックの観測値を含むトラフィックログを生成し、前記記憶部に格納するトラフィックログ生成処理と、前記トラフィックログを解析して、ネットワーク異常の検出に用いられるトラフィック解析情報を生成し、前記記憶部に格納するトラフィック解析処理と、前記トラフィック解析情報に基づいて、ネットワーク異常の可能性を検出するネットワーク異常検出処理と、を並列に実行し、前記トラフィック解析処理は、第1のタイミングまでの複数の観測値を統計処理した統計観測値と、前記観測値の変動の傾向を示す変動値とを用いて、前記第1のタイミングよりも後の第2のタイミングにおける前記観測値の最大予測値を算出し、算出した最大予測値を前記トラフィック解析情報に含め、前記ネットワーク異常検出処理は、前記第2のタイミングにおける前記観測値が、前記第2のタイミングに対応付けられている前記最大予測値よりも大きいか否かに応じて、前記ネットワーク異常の可能性を検出し、前記統計観測値、前記変動値、および前記最大予測値は、共通の傾向を示す母集団に基づいて算出される。
【0007】
なお、これらの包括的または具体的な態様は、装置、方法、集積回路、コンピュータプログラム、または、記録媒体で実現されてもよく、システム、装置、方法、集積回路、コンピュータプログラムおよび記録媒体の任意な組み合わせで実現されてもよい。
【発明の効果】
【0008】
本開示によれば、効率的にネットワーク異常の検出を行うことができる。
【図面の簡単な説明】
【0009】
【図1】本実施の形態に係るネットワーク監視システムの一例を示す図である。
【図2】本実施の形態に係るネットワーク監視装置の一例を示す図である。
【図3】トラフィックログの一例を示す図である。
【図4】トラフィック解析情報の一例を示す図である。
【図5】ネットワーク異常情報の一例を示す図である。
【図6】最大予測値の算出方法の一例を示す図である。
【図7】コレクタモジュールにおける処理の一例を示すフローチャートである。
【図8】ネットワーク異常検出処理の一例を示すフローチャートである。
【図9】本開示に係る各装置のハードウェア構成の一例を示す図である。
【発明を実施するための形態】
【0010】
以下、図面を適宜参照して、本発明の実施の形態について、詳細に説明する。但し、必要以上に詳細な説明は省略する場合がある。例えば、既によく知られた事項の詳細説明や実質的に同一の構成に対する重複説明を省略する場合がある。これは、以下の説明が不必要に冗長になるのを避け、当業者の理解を容易にするためである。
【0011】
なお、添付図面および以下の説明は、当業者が本開示を十分に理解するために提供されるのであって、これらにより特許請求の範囲に記載の主題を限定することは意図されていない。
【0012】
また、以下の実施の形態において、その構成要素(要素ステップなどを含む)は、特に明示した場合及び原理的に明らかに必須であると考えられる場合などを除き、必ずしも必須のものではない。
【0013】
(本実施の形態)
<ネットワーク監視システム>
図1は、本実施の形態に係るネットワーク監視システム1の構成例を示す。図1を参照して、本実施の形態の概要を説明する。なお、以下の説明において、ネットワークを「NW」と表記することがある。
<ネットワーク監視システム>
図1は、本実施の形態に係るネットワーク監視システム1の構成例を示す。図1を参照して、本実施の形態の概要を説明する。なお、以下の説明において、ネットワークを「NW」と表記することがある。
【0014】
医療機関に備えられている複数の機器10は、有線LAN又は無線LANを介して、インテリジェントHUB20に接続されている。機器10は、例えば、PC、複写機及びプリンタなどである。複数の機器10は、インテリジェントHUB20を介して、双方向にデータを送受信できる。なお、インテリジェントHUB20は、ネットワークの中継装置の一例であり、スイッチングHUB、ネットワークスイッチ、ルータなどと読み替えられてもよい。また、医療機関は一例であり、本実施の形態は、企業、学校、役所など、様々な機関に適用可能である。
【0015】
NW監視装置100は、有線LAN又は無線LANを介して、インテリジェントHUB(以下単に「HUB」という)20に接続されている。NW監視装置100は、HUB20における通信のトラフィックを監視する。
【0016】
例えば、図1に示すように、HUB20ではエージェントモジュール200が実行され、NW監視装置100ではコレクタモジュール110が実行される。エージェントモジュール200は、HUB20におけるトラフィックをサンプリングし、そのサンプリング結果を含むトラフィック情報を、コレクタモジュール110へ送信する。コレクタモジュール110は、エージェントモジュール200からトラフィック情報を収集(受信)し、記憶する。なお、図1では、コレクタモジュール110は、1つのエージェントモジュール200(つまり1つのHUB20)からトラフィック情報を収集しているが、コレクタモジュール110は、複数のエージェントモジュール200(つまり複数のHUB20)のそれぞれから、トラフィック情報を収集してよい。
【0017】
トラフィック情報の収集は、sFlow(登録商標)、NetFlow(登録商標)又はIPFIXなどの技術に基づいて行われて良い。例えば、sFlowを採用する場合、エージェントモジュール200及びコレクタモジュール110は、それぞれ、sFlowエージェント及びsFlowコレクタと呼ばれてもよい。
【0018】
NW監視装置100は、コレクタモジュール110によって収集されたトラフィック情報に基づいて、NW異常が発生している可能性を判断する。本実施の形態では、NW異常が発生している可能性を効率的に判断できるNW監視装置100について説明する。
【0019】
<NW監視装置>
図2を参照して、本実施の形態に係るNW監視装置100を説明する。
図2を参照して、本実施の形態に係るNW監視装置100を説明する。
【0020】
NW監視装置100は、トラフィックログ生成処理111及びトラフィック解析処理112を含むコレクタモジュール110と、NW異常検出処理120と、記憶部130とを有する。
【0021】
コレクタモジュール110は、起動すると、トラフィックログ生成処理111のスレッドと、トラフィック解析処理112のスレッドとを生成する。すなわち、トラフィックログ生成処理111と、トラフィック解析処理112とは、並列に実行される。このように、トラフィックログ300の生成処理と解析処理とを並列に実行することで、NW監視装置100の処理を効率化している。
【0022】
トラフィックログ生成処理111は、HUB20のエージェントモジュール200から、トラフィック情報を収集する。そして、トラフィックログ生成処理111は、収集したトラフィック情報の内容を、トラフィックログ300として記憶部130に格納する。例えば、トラフィックログ生成処理111は、1日分のトラフィック情報の内容を、1つのトラフィックログ300として記憶部130に格納する。なお、トラフィックログ300の詳細については後述する(図3参照)。
【0023】
トラフィック解析処理112は、トラフィックログ300を解析して、トラフィック解析情報320を生成し、記憶部130に格納する。なお、トラフィック解析情報320の詳細、及び、トラフィック解析処理112の詳細については後述する(図4及び図7参照)。
【0024】
NW異常検出処理120は、トラフィック解析情報320に基づいて、NW異常が発生している可能性を検出する。そして、NW異常検出処理120は、NW異常が発生している可能性を検出した場合、NW異常情報340を生成し、記憶部130に格納する。NW異常情報340は、NW障害担当者宛に電子メールで送信されてよい。或いは、NW異常情報340は、所定の障害管理サーバへ送信されてよい。なお、NW異常検出処理120の処理の詳細については後述する(図8参照)。
【0025】
<トラフィックログ>
図3を参照して、トラフィックログ300を説明する。
図3を参照して、トラフィックログ300を説明する。
【0026】
トラフィックログ300には、観測日301、観測時刻302、IPアドレス303、及び、データ304が含まれる。
【0027】
IPアドレス303は、観測対象のHUB20のIPアドレスである。
【0028】
データ304は、IPアドレス303を有するHUB20において観測(例えばサンプリング抽出)されたデータである。
【0029】
<トラフィック解析情報>
図4を参照して、トラフィック解析情報320を説明する。
図4を参照して、トラフィック解析情報320を説明する。
【0030】
トラフィック解析情報320は、データ項目として、観測日321、観測時刻322、IPアドレス323、観測値324、使用率325、統計観測値326、変動値327、及び最大予測値328を有する。
【0031】
IPアドレス323は、図3で説明したIPアドレス303と同じである。
【0032】
観測値324は、IPアドレス323を有するHUB20において観測されたトラフィック量を示す値である。観測値324は、トラフィックログ300を解析することによって、算出されてよい。
【0033】
使用率325は、IPアドレス303を有するHUB20における最大トラフィック量に対する、観測値324の割合を示す値である。使用率325の単位は、例えば「%」である。
【0034】
統計観測値326は、複数の観測値324に統計処理を施して算出される値である。例えば、統計観測値326は、複数の観測値324の平均値である。
【0035】
変動値327は、観測値324の変動の傾向を示す値である。例えば、変動値327が「正」の場合、観測値324は増加傾向にあることを示し、変動値327が「負」の場合、観測値324は減少傾向にあることを示す。
【0036】
最大予測値328は、観測値324が取り得ると予測される値(「予測値」という)のうちの最大値を示す。別言すると、ネットワークが正常な場合、観測値324は、最大予測値328よりも小さくなることが予測される。最大予測値328は、観測値324、統計観測値326及び変動値327に基づいて算出される。なお、最大予測値328は、必ずしも予測値のうちの最大値である必要はなく、予測値のうちの最大値よりも大きく(又は小さく)設定されてもよい。なお、最大予測値328の算出方法の詳細については後述する。
【0037】
例えば、図4の行330は、次のことを示す。IPアドレス323が「192.168.100.130」のHUB20において、観測日321「2017年12月4日」の観測時刻322「10時00分00秒」のときの観測値324は「0.8Mbps」であり、使用率325は「10%」である。また、当該HUB20において、当該観測日321及び観測時刻322のときの統計観測値326は「1.0Mbps」であり、変動値327は「+1.0」であり、最大予測値328は「0.9Mbps」である。
【0038】
なお、トラフィック解析情報320は、HUB20に流入したトラフィックの観測値と、HUB20から流出したトラフィックの観測値とを、別々のデータ項目として有してもよい。また、トラフィック解析情報320は、HUB20が備える各ポートの観測値及び/又は使用率を、別々のデータ項目として有してもよい。
【0039】
<NW異常情報>
図5を参照して、NW異常情報340を説明する。
図5を参照して、NW異常情報340を説明する。
【0040】
NW異常情報340は、データ項目として、観測日341、観測時刻342、IPアドレス343、機器名344、異常ID345、及び異常内容346を有する。
【0041】
IPアドレス343は、NW異常の可能性が検出されたHUB20のIPアドレスである。
【0042】
機器名344は、IPアドレス343のHUB20の名称である。
【0043】
異常ID345は、検出されたNW異常を識別するためのIDである。
【0044】
異常内容346は、検出されたNW異常の内容を示す情報である。
【0045】
例えば、図5の行350は、次のことを示す。NW異常検出処理120が、観測日341「2017年12月4日」の観測時刻342「15時00分00秒」のときに、IPアドレス343が「192.168.100.130」、機器名344が「HUB1」のHUB20において、NW異常の可能性を検出した。その検出されたNW異常の異常IDは「1001」であり、異常内容346は「ネットワーク使用率の超過」である。
【0046】
<最大予測値の算出方法>
図6を参照して、最大予測値の算出方法の詳細を説明する。なお、以下の説明は一例であり、最大予測値は、他の方法によって算出されてもよい。
図6を参照して、最大予測値の算出方法の詳細を説明する。なお、以下の説明は一例であり、最大予測値は、他の方法によって算出されてもよい。
【0047】
観測統計値Smは、以下の式1に示すように、観測値Xmと、観測統計値Sm-1と、変動値Dm-1とに基づいて算出される。なお、mは、統計値を算出するための母集団における系列番号を示す0以上の整数である。
Sm=αXm+(1-α)(Sm-1+Dm-1) ・・・(式1)
ここで、αは、Xmと、(Sm-1+Dm-1)との間の重みを調整するための係数である。また、m=0の場合、Xm=Smとする。
Sm=αXm+(1-α)(Sm-1+Dm-1) ・・・(式1)
ここで、αは、Xmと、(Sm-1+Dm-1)との間の重みを調整するための係数である。また、m=0の場合、Xm=Smとする。
【0048】
変動値Dmは、以下の式2に示すように、観測統計値Sm-1と、観測統計値Smと、変動値Dm-1とに基づいて算出される。
Dm=β(Sm-Sm-1)+(1-β)Dm-1 ・・・(式2)
ここで、βは、(Sm-Sm-1)と、Dm-1との間の重みを調整するための係数である。
Dm=β(Sm-Sm-1)+(1-β)Dm-1 ・・・(式2)
ここで、βは、(Sm-Sm-1)と、Dm-1との間の重みを調整するための係数である。
【0049】
最大予測値Fm+1は、以下の式3に示すように、観測統計値Smと、変動値Dmとに基づいて算出される。
Fm+1=Sm+Dm ・・・(式3)
Fm+1=Sm+Dm ・・・(式3)
【0050】
医療機関におけるNWトラフィックは、日々の同時刻において共通の傾向を示す場合が多い。例えば、日々の診療開始前の時刻である8時では、機器が一斉に起動し初期設定等を行うため、トラフィック量が大きくなる傾向がある。また、診療中の時刻である10時では、機器が電子カルテの入力等に使用されるため、標準的なトラフィック量となる傾向がある。また、お昼の休診中の時刻である12時30分では、機器が未使用となるため、トラフィック量が小さくなる傾向がある。
【0051】
そこで、異なる日の同じ観測時刻tを1つの母集団とする。具体的には、当日の観測時刻tをm、前日の同じ観測時刻tをm-1、翌日の同じ観測時刻tをm+1とする母集団を形成する。これにより、観測時刻tにおける観測統計値Sm、変動値Dm、及び最大予測値Fmは、共通の傾向を示す母集団に基づいて算出される。すなわち、最大予測値Fmは、観測時刻tの母集団の傾向によって異なり得る。よって、観測時刻tにおける観測値Xmと、同じ観測時刻tにおける最大予測値Fmとを比較することにより、NW異常の可能性を高い精度で検出できる。
【0052】
なお、医療機関におけるNWトラフィックが、同じ曜日の同じ観測時刻tにおいて共通の傾向を示す場合は、異なる週の同じ曜日の同じ観測時刻tを1つの母集団としてよい。具体的には、或る曜日の観測時刻tをm、前週の同じ曜日の同じ観測時刻tをm-1、翌週の同じ曜日の同じ観測時刻tをm+1とする母集団を形成する。これにより、上記と同様、観測時刻tにおける観測統計値Sm、変動値Dm、及び最大予測値Fmは、共通の傾向を示す母集団に基づいて算出される。よって、観測時刻tにおける観測値Xmと、同じ観測時刻tにおける最大予測値Fmとを比較することにより、NW異常の可能性を高い精度で検出できる。
【0053】
また、医療機関におけるNWトラフィックが、当日の各観測時刻…、t-2、t-1、t、…において共通の傾向を示す場合は、当日の異なる観測時刻…、t-2、t-1、t、…を1つの母集団としてよい。具体的には、当日の観測時刻tをm、当日の1つ前の観測時刻t-1をm-1、当日の1つ後の観測時刻t+1をm+1とする母集団を形成する。これにより、上記と同様、観測時刻tにおける観測統計値Sm、変動値Dm、及び最大予測値Fmは、共通の傾向を示す母集団に基づいて算出される。よって、観測時刻tにおける観測値Xmと、同じ観測時刻tにおける最大予測値Fmとを比較することにより、NW異常の可能性を高い精度で検出できる。
【0054】
すなわち、共通の傾向を示す複数の観測時刻を母集団とすることにより、観測時刻tにおける観測値Xmと最大予測値Fmとを比較し、NW異常の可能性を高い精度で検出できる。
【0055】
<コレクタモジュール>
図7のフローチャートを参照して、コレクタモジュール110の処理を説明する。
図7のフローチャートを参照して、コレクタモジュール110の処理を説明する。
【0056】
コレクタモジュール110は、起動すると、トラフィックログ生成処理111のスレッドと、トラフィック解析処理112のスレッドとを生成する。すなわち、トラフィックログ生成処理111と、トラフィック解析処理112とは、並列に実行される。
【0057】
<<トラフィックログ生成処理>>
トラフィックログ生成処理111は、HUB20のエージェントモジュール200からトラフィック情報を受信するまで待機する(S101:NO)。或いは、トラフィックログ生成処理111は、HUB20のエージェントモジュール200からトラフィック情報を取得するタイミングになるまで待機する。
トラフィックログ生成処理111は、HUB20のエージェントモジュール200からトラフィック情報を受信するまで待機する(S101:NO)。或いは、トラフィックログ生成処理111は、HUB20のエージェントモジュール200からトラフィック情報を取得するタイミングになるまで待機する。
【0058】
トラフィックログ生成処理111は、トラフィック情報を受信(又は取得)した場合(S101:YES)、そのトラフィック情報の内容を、トラフィックログ300として記憶部130に格納する(S102)。そして、フローはS101へ戻る。
【0059】
トラフィックログ生成処理111の処理は、コレクタモジュール110が終了するまで繰り返される。以上の処理により、トラフィックログ300が記憶部130に格納される。
【0060】
<<トラフィック解析処理>>
トラフィック解析処理112は、現在時刻が予め設定された観測時刻tになるまで待機する(S201:NO)。観測時刻tは、例えば9:00、9:30、10:00など、30分間隔で設定されてよい。現在時刻が観測時刻tになった場合(S201:YES)、フローは、次のS202へ進む。
トラフィック解析処理112は、現在時刻が予め設定された観測時刻tになるまで待機する(S201:NO)。観測時刻tは、例えば9:00、9:30、10:00など、30分間隔で設定されてよい。現在時刻が観測時刻tになった場合(S201:YES)、フローは、次のS202へ進む。
【0061】
トラフィック解析処理112は、トラフィックログ300から、観測時刻302「t」における観測値324及び使用率325を算出し、トラフィック解析情報320として記憶部130に格納する(S202)。
【0062】
トラフィック解析処理112は、例えば上記の式1及び式2に従って、観測時刻tにおける統計観測値Sm及び変動値Dmを算出し、トラフィック解析情報320として記憶部130に格納する(S203)。
【0063】
トラフィック解析処理112は、例えば上記の式3に従って、観測時刻tに係る次回(m+1)の最大予測値Fm+1を算出し、トラフィック解析情報320として記憶部130に格納する(S204)。そしてフローは、S201へ戻る。
【0064】
例えば、観測時刻tをm、前日の同じ観測時刻tをm-1、翌日の同じ観測時刻tをm+1とする母集団を形成した場合、トラフィック解析処理112は、S204として、トラフィック解析情報320における、観測日321が翌日で、観測時刻322が「t」の行の最大予測値328に、その算出した最大予測値Fm+1を記録する。これにより、NW異常検出処理120は、翌日の同じ観測時刻tのタイミングにおいて、後述の図8のS305に示すように、算出済みの最大予測値を用いて、直ちに観測値と比較することができる。すなわち、効率的にNW異常の検出を行うことができる。
【0065】
トラフィック解析処理112は、コレクタモジュール110が終了するまで繰り返される。以上の処理により、各観測時刻のトラフィック解析情報320が記憶部130に格納される。
【0066】
<NW異常検出処理>
図8のフローチャートを参照して、NW異常検出処理120を説明する。なお、NW異常検出処理120は、トラフィックログ生成処理111、及びトラフィック解析処理112と、並列に実行されてよい。
図8のフローチャートを参照して、NW異常検出処理120を説明する。なお、NW異常検出処理120は、トラフィックログ生成処理111、及びトラフィック解析処理112と、並列に実行されてよい。
【0067】
NW異常検出処理120は、予め設定されたポーリング周期Tが経過するまで待機する(S301:NO)。ポーリング周期Tは、例えば30分に設定されてよい。ポーリング周期Tが経過した場合(S301:YES)、NW異常検出処理120は、トラフィック解析情報320を取得する(S302)。
【0068】
NW異常検出処理120は、S302で取得したトラフィック解析情報320において、使用率が所定の閾値以上であるか否かを判定する(S303)。使用率が所定の閾値未満である場合(S303:NO)、フローはS305へ進む。
【0069】
使用率が所定の閾値以上である場合(S303:YES)、NW異常検出処理120は、観測時刻tにおいて、NWの使用率が異常であることを示すNW異常情報340を生成する(S304)。そして、フローはS305へ進む。
【0070】
NW異常検出処理120は、S302で取得したトラフィック解析情報320において、観測値が最大予測値を超えているか否かを判定する(S305)。
【0071】
観測値が最大予測値を超えていない場合(S305:NO)、NW異常検出処理120は、カウンタCを0に初期化する(S306)。そして、フローはS301へ戻る。
【0072】
観測値が最大予測値を超えている場合(S305:YES)、NW異常検出処理120は、カウンタCに1を加算する(S307)。
【0073】
そして、NW異常検出処理120は、カウンタCが所定の閾値N以上であるか否かを判定する(S308)。すなわち、観測値が最大予測値を超える現象がN回以上続いているか否かを判定する。なお、Nは1以上の整数である。
【0074】
カウンタCが閾値N未満である場合(S308:NO)、フローはS301へ戻る。
【0075】
カウンタCが閾値N以上である場合(S308:YES)、NW異常検出処理120は、NW異常が発生している可能性を示すNW異常情報340を生成する(S309)。そして、フローはS301へ戻る。
【0076】
観測値が最大予測値を超える現象がN回以上続いている場合に、NW異常が発生している可能性があると判定しているのは、次の理由による。例えば、HUB20に接続されている機器10間で大きなファイルのやり取りが発生した場合など、一時的に観測値が最大予測値を超えることはあり得る。しかしながら、共通の傾向を示す母集団に基づいて算出した最大予測値を観測値が連続して超過する可能性は小さく、もし最大予測値を観測値が連続して超過する現象が発生した場合は、NWに何らかの異常が発生している可能性が高いと考えられる。そこで、N回連続という条件を設定することにより、NW異常が誤検出される可能性を小さくし、NW異常の検出精度を高めている。
【0077】
なお、Nの値は、母集団の傾向に応じて設定されてよい。例えば、母集団に属する観測値Xmの分散値が大きいほど、Nの値を大きくしてよい。これにより、NW異常の検出と誤検出とのバランスを適切に調整できる。
【0078】
(本実施の形態のまとめ)
本実施の形態に係るネットワーク監視装置は、トラフィックログ300を生成するトラフィックログ生成処理111と、トラフィックログ300を解析して、トラフィック解析情報320を生成するトラフィック解析処理112と、トラフィック解析情報320に基づいて、ネットワーク異常の可能性を検出するネットワーク異常検出処理120と、を並列に実行する。
本実施の形態に係るネットワーク監視装置は、トラフィックログ300を生成するトラフィックログ生成処理111と、トラフィックログ300を解析して、トラフィック解析情報320を生成するトラフィック解析処理112と、トラフィック解析情報320に基づいて、ネットワーク異常の可能性を検出するネットワーク異常検出処理120と、を並列に実行する。
【0079】
これにより、トラフィックログ生成処理111、トラフィック解析処理112、及びNW異常検出処理120は、それぞれ、他のブロックの処理完了を待たなくても良いため、効率的にNW異常の検出を行うことができる。
【0080】
また、トラフィック解析処理は、第1のタイミング(m)までの複数の観測値を用いて、当該第1のタイミング(m)よりも後の第2のタイミング(m+1)における観測値の最大予測値を算出し、当該算出した最大予測値をトラフィック解析情報320に含める。ネットワーク異常検出処理120は、第2のタイミング(m+1)における観測値が、トラフィック解析情報320において第2のタイミング(m+1)に対応付けられている最大予測値よりも大きいか否かに応じてネットワーク異常の可能性を検出する。
【0081】
これにより、第2のタイミング(m+1)では、最大予測値を算出することなく、直ちに観測値と最大予測値とを比較できるため、効率的にNW異常の検出を行うことができる。
【0082】
<ハードウェア構成>
以上、本開示に係る実施形態について図面を参照して詳述してきたが、上述したNW監視装置100の機能は、コンピュータプログラムにより実現され得る。
以上、本開示に係る実施形態について図面を参照して詳述してきたが、上述したNW監視装置100の機能は、コンピュータプログラムにより実現され得る。
【0083】
図9は、NW監視装置100の機能をプログラムにより実現するコンピュータのハードウェア構成を示す図である。このコンピュータ2100は、キーボード又はマウス、タッチパッドなどの入力装置2101、ディスプレイ又はスピーカーなどの出力装置2102、CPU(Central Processing Unit)2103、ROM(Read Only Memory)2104、RAM(Random Access Memory)2105、ハードディスク装置又はSSD(Solid State Drive)などの記憶装置2106、DVD-ROM(Digital Versatile Disk Read Only Memory)又はUSB(Universal Serial Bus)メモリなどの記録媒体から情報を読み取る読取装置2107、ネットワークを介して通信を行う送受信装置2108を備え、各部はバス2109により接続される。
【0084】
そして、読取装置2107は、上記各装置の機能を実現するためのプログラムを記録した記録媒体からそのプログラムを読み取り、記憶装置2106に記憶させる。あるいは、送受信装置2108が、ネットワークに接続されたサーバ装置と通信を行い、サーバ装置からダウンロードした上記各装置の機能を実現するためのプログラムを記憶装置2106に記憶させる。
【0085】
そして、CPU2103が、記憶装置2106に記憶されたプログラムをRAM2105にコピーし、そのプログラムに含まれる命令をRAM2105から順次読み出して実行することにより、上記各装置の機能が実現される。
【0086】
例えば、図2に示す、コレクタモジュール110、トラフィックログ生成処理111、トラフィック解析処理112、及びNW異常検出処理120は、NW監視装置100が備えるCPU2103にて実行されるプログラムであってもよい。また、図2に示す記憶部130は、RAM2105及び/又は記憶装置2106によって構成されてよい。
【0087】
上記の実施の形態の説明に用いた各機能ブロックは、典型的には集積回路であるLSIとして実現される。これらは個別に1チップ化されてもよいし、一部または全てを含むように1チップ化されてもよい。ここでは、LSIとしたが、集積度の違いにより、IC、システムLSI、スーパーLSI、ウルトラLSIと呼称されることもある。
【0088】
また、集積回路化の手法はLSIに限るものではなく、専用回路または汎用プロセッサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)、又は、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサーを利用してもよい。
【0089】
さらには、半導体技術の進歩または派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。
【産業上の利用可能性】
【0090】
本開示の一態様は、ネットワークを監視するシステム、装置、方法及びコンピュータプログラムなどに有用である。
【符号の説明】
【0091】
1 ネットワーク監視システム
10 機器
20 インテリジェントHUB
100 ネットワーク監視装置
110 コレクタモジュール
111 トラフィックログ生成処理
112 トラフィック解析処理
120 ネットワーク異常検出処理
130 記憶部
200 エージェントモジュール
300 トラフィックログ
320 トラフィック解析情報
340 ネットワーク異常情報
10 機器
20 インテリジェントHUB
100 ネットワーク監視装置
110 コレクタモジュール
111 トラフィックログ生成処理
112 トラフィック解析処理
120 ネットワーク異常検出処理
130 記憶部
200 エージェントモジュール
300 トラフィックログ
320 トラフィック解析情報
340 ネットワーク異常情報
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】