特許7356617 | 知財ポータル「IP Force」

知財求人 - 知財ポータルサイト「IP Force」

青山学院大学 (神奈川県相模原市中央区淵野辺)

▶ 株式会社インターネットイニシアティブの特許一覧

特許7356617パケット解析装置およびパケット解析のためのコンピュータプログラム

書誌要約請求の範囲詳細な説明課題実施例実施するための形態図面の説明

目に優しい文字サイズ小中大 PDF Top

< >

1
2
3
4
5
6
7

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B1)

(11)【特許番号】

(24)【登録日】2023-09-26

(45)【発行日】2023-10-04

(54)【発明の名称】パケット解析装置およびパケット解析のためのコンピュータプログラム

(51)【国際特許分類】

H04L 43/18 20220101AFI20230927BHJP

【ＦＩ】

H04L43/18

【請求項の数】 8

(21)【出願番号】P 2023105947

(22)【出願日】2023-06-28

【審査請求日】2023-06-28

【早期審査対象出願】

(73)【特許権者】

【識別番号】397036309

【氏名又は名称】株式会社インターネットイニシアティブ

(74)【代理人】

【識別番号】100118902

【弁理士】

【氏名又は名称】山本修

(74)【代理人】

【識別番号】100106208

【弁理士】

【氏名又は名称】宮前徹

(74)【代理人】

【識別番号】100196508

【弁理士】

【氏名又は名称】松尾淳一

(74)【代理人】

【識別番号】100138759

【弁理士】

【氏名又は名称】大房直樹

(72)【発明者】

【氏名】柿島純

【審査官】大石博見

(56)【参考文献】

【文献】米国特許出願公開第２０２２／０３７４４５３（ＵＳ，Ａ１）

【文献】米国特許第８６１２５３０（ＵＳ，Ｂ１）

【文献】特開２００３－３１８９８４（ＪＰ，Ａ）

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｈ０４Ｌ４３／１８

(57)【特許請求の範囲】

【請求項1】

送受信されるパケットを取得するパケット取得部と、
前記パケットのヘッダー情報に含まれる文字列を表す文字列画像を生成する画像生成部であって、前記文字列画像は、前記ヘッダー情報の各項目を区別可能に表示する画像である、画像生成部と、
前記取得されたパケットに基づいて生成された前記文字列画像から、前記ヘッダー情報の複数の項目のうちの１または複数の対象項目に対応する文字列を選別するように構成された第１の機械学習モデルと、
前記取得されたパケットに基づいて生成された前記文字列画像において、前記第１の機械学習モデルによって選別された対象項目の文字列が、正常なパラメータ値を有しているか否かを判定するように構成された第２の機械学習モデルと、
前記第１の機械学習モデルによる選別結果および前記第２の機械学習モデルによる判定結果を表示する表示部と、
を備えるパケット解析装置。

【請求項2】

前記第１の機械学習モデルは、前記文字列画像のうちの前記ヘッダー情報の各項目に対応する部分画像を入力として受け取り、前記各項目が対象項目であるか否かの識別情報を出力するように構成される、請求項１に記載のパケット解析装置。

【請求項3】

前記第２の機械学習モデルは、前記文字列画像のうちの前記対象項目に対応する部分画像を入力として受け取り、前記対象項目内のパラメータ値が正常値であるか否かの識別情報を出力するように構成される、請求項１に記載のパケット解析装置。

【請求項4】

前記文字列画像は、
前記ヘッダー情報における第１階層の複数の項目に対応する第１群の部分画像と、
前記ヘッダー情報における前記第１階層の下位の階層である第２階層の複数の項目のうち、前記第１階層における対象項目に従属している複数の項目に対応する第２群の部分画像と、
前記ヘッダー情報における前記第２階層の複数の項目のうち、前記第１階層における前記対象項目以外の項目に従属している複数の項目に対応する第３群の部分画像と、を含み、
前記第１の機械学習モデルは、前記第１群の部分画像および前記第２群の部分画像を含み前記第３群の部分画像を含まない教師データを用いて事前に訓練された学習モデルである、
請求項１から３のいずれか１項に記載のパケット解析装置。

【請求項5】

前記文字列は、文字、数字、および記号のうちの１または複数を用いて表現される、請求項１に記載のパケット解析装置。

【請求項6】

前記文字列画像は、前記ヘッダー情報の各項目をそれぞれ１行に表示した画像である、請求項１に記載のパケット解析装置。

【請求項7】

前記対象項目は、前記パラメータ値に対するユーザによるチェックが必要であるものとしてあらかじめ決められた項目である、請求項１に記載のパケット解析装置。

【請求項8】

コンピュータを、
送受信されるパケットを取得するパケット取得部、
前記パケットのヘッダー情報に含まれる文字列を表す文字列画像を生成する画像生成部であって、前記文字列画像は、前記ヘッダー情報の各項目を区別可能に表示する画像である、画像生成部、
前記取得されたパケットに基づいて生成された前記文字列画像から、前記ヘッダー情報の複数の項目のうちの１または複数の対象項目に対応する文字列を選別するように構成された第１の機械学習モデル、
前記取得されたパケットに基づいて生成された前記文字列画像において、前記第１の機械学習モデルによって選別された対象項目の文字列が、正常なパラメータ値を有しているか否かを判定するように構成された第２の機械学習モデル、および
前記第１の機械学習モデルによる選別結果および前記第２の機械学習モデルによる判定結果を表示する表示部、
として機能させるように構成された、パケット解析のためのコンピュータプログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、パケット解析装置およびパケット解析のためのコンピュータプログラムに関する。

【背景技術】

【0002】

ネットワークを流れるパケットを収集して表示する機能を備えた、パケットキャプチャやＬＡＮアナライザと呼ばれるツールが知られている（例えば特許文献１および非特許文献１等を参照）。これらのツールを用いることで、ネットワークに生じた通信障害やトラブルなどの原因を分析することができる。

【先行技術文献】

【特許文献】

【0003】

【文献】特開２０２１－１９３８３２号公報

【非特許文献】

【0004】

【文献】「LANアナライザ」、［online］、［令和５年６月２６日検索］、インターネット＜https://ja.wikipedia.org/wiki/LAN%E3%82%A2%E3%83%8A%E3%83%A9%E3%82%A4%E3%82%B6＞

【発明の概要】

【発明が解決しようとする課題】

【0005】

しかしながら、パケットのヘッダー情報には膨大な数の項目が含まれており、各項目に設定されている値が適切であるか否かを正しく判断するには、各種の通信プロトコルに関する極めて高度な専門知識が必要とされる。そこで、パケットの解析を行う際のユーザの負担を軽減することが求められている。

【課題を解決するための手段】

【0006】

本発明の一態様によれば、送受信されるパケットを取得するパケット取得部と、前記パケットのヘッダー情報に含まれる文字列を表す文字列画像を生成する画像生成部であって、前記文字列画像は、前記ヘッダー情報の各項目を区別可能に表示する画像である、画像生成部と、前記取得されたパケットに基づいて生成された前記文字列画像から、前記ヘッダー情報の複数の項目のうちの１または複数の対象項目に対応する文字列を選別するように構成された第１の機械学習モデルと、前記取得されたパケットに基づいて生成された前記文字列画像において、前記第１の機械学習モデルによって選別された対象項目の文字列が、正常なパラメータ値を有しているか否かを判定するように構成された第２の機械学習モデルと、前記第１の機械学習モデルによる選別結果および前記第２の機械学習モデルによる判定結果を表示する表示部と、を備えるパケット解析装置が提供される。

【0007】

また、本発明の一態様によれば、前記第１の機械学習モデルは、前記文字列画像のうちの前記ヘッダー情報の各項目に対応する部分画像を入力として受け取り、前記各項目が対象項目であるか否かの識別情報を出力するように構成されるのであってよい。

【0008】

また、本発明の一態様によれば、前記第２の機械学習モデルは、前記文字列画像のうちの前記対象項目に対応する部分画像を入力として受け取り、前記対象項目内のパラメータ値が正常値であるか否かの識別情報を出力するように構成されるのであってよい。

【0009】

また、本発明の一態様によれば、前記文字列画像は、前記ヘッダー情報における第１階層の複数の項目に対応する第１群の部分画像と、前記ヘッダー情報における前記第１階層の下位の階層である第２階層の複数の項目のうち、前記第１階層における対象項目に従属している複数の項目に対応する第２群の部分画像と、前記ヘッダー情報における前記第２階層の複数の項目のうち、前記第１階層における前記対象項目以外の項目に従属している複数の項目に対応する第３群の部分画像と、を含み、前記第１の機械学習モデルは、前記第１群の部分画像および前記第２群の部分画像を含み前記第３群の部分画像を含まない教師データを用いて事前に訓練された学習モデルであるのであってよい。

【0010】

また、本発明の一態様によれば、前記文字列は、文字、数字、および記号のうちの１または複数を用いて表現されるのであってよい。

【0011】

また、本発明の一態様によれば、前記文字列画像は、前記ヘッダー情報の各項目をそれぞれ１行に表示した画像であるのであってよい。

【0012】

また、本発明の一態様によれば、前記対象項目は、前記パラメータ値に対するユーザによるチェックが必要であるものとしてあらかじめ決められた項目であるのであってよい。

【0013】

また、本発明の一態様によれば、コンピュータを、送受信されるパケットを取得するパケット取得部、前記パケットのヘッダー情報に含まれる文字列を表す文字列画像を生成する画像生成部であって、前記文字列画像は、前記ヘッダー情報の各項目を区別可能に表示する画像である、画像生成部、前記取得されたパケットに基づいて生成された前記文字列画像から、前記ヘッダー情報の複数の項目のうちの１または複数の対象項目に対応する文字列を選別するように構成された第１の機械学習モデル、前記取得されたパケットに基づいて生成された前記文字列画像において、前記第１の機械学習モデルによって選別された対象項目の文字列が、正常なパラメータ値を有しているか否かを判定するように構成された第２の機械学習モデル、および前記第１の機械学習モデルによる選別結果および前記第２の機械学習モデルによる判定結果を表示する表示部、として機能させるように構成された、パケット解析のためのコンピュータプログラムが提供される。

【発明の効果】

【0014】

本発明によれば、パケットの解析を行う際のユーザの負担を軽減することができる。

【図面の簡単な説明】

【0015】

【図1】本発明の一実施形態に係るパケット解析装置の例示的な構成を示す図である。

【図2】パケット取得部で取得された複数のパケットをリスト表示する文字列画像の例である。

【図3】図２の文字列画像における複数のパケットの中から選択された１つのパケットの詳細を表示する文字列画像の例である。

【図4】図３の文字列画像における複数の項目から選択された１または複数の項目のさらなる詳細を表示する文字列画像の例である。

【図5】本発明の一実施形態に係るパケット解析装置における第１の機械学習モデルの一実装例を示す。

【図6】本発明の一実施形態に係るパケット解析装置における第２の機械学習モデルの一実装例を示す。

【図7】本発明の一実施形態に係るパケット解析装置の動作の一例を示すフローチャートである。

【発明を実施するための形態】

【0016】

以下、図面を参照しながら本発明の実施形態について詳しく説明する。

【0017】

図１は、本発明の一実施形態に係るパケット解析装置１００の例示的な構成を示す図である。図１に示されるように、パケット解析装置１００は、例えば、ルーター２０および通信ノード３０とともにＬＡＮ１０を形成する。ＬＡＮ１０において、パケット解析装置１００および通信ノード３０は、ルーター２０と通信可能に接続されている。通信ノード３０は、ネットワーク通信機能を備えたコンピュータ（例えばＰＣやサーバ装置等）であってよく、ルーター２０を介して、外部ネットワーク４０（例えばインターネット等）上の他の通信ノード５０との間でパケットを送受信する。パケット解析装置１００は、通信ノード３０が送受信するパケットを取得して解析する機能を有する。

【0018】

パケット解析装置１００は、パケット取得部１１０と、文字列画像生成部１２０と、部分画像切出部１３０と、機械学習部１４０と、表示部１５０とを備える。また機械学習部１４０は、第１の機械学習モデル１４２と、第２の機械学習モデル１４４を備える。パケット解析装置１００は、プロセッサおよびメモリを備えたコンピュータとして構成され、メモリに格納されたプログラム（すなわちコンピュータ実行可能命令）をプロセッサが読み出して実行することによって、パケット取得部１１０、文字列画像生成部１２０、部分画像切出部１３０、および機械学習部１４０の各部の機能が実現されるのであってよい。

【0019】

なお、図１においてパケット解析装置１００は通信ノード３０と別個の装置として描かれているが、パケット解析装置１００の各部の機能が、通信ノード３０に組み込まれる（すなわちパケット解析装置１００が通信ノード３０と一体に構成される）のであってもよい。例えば、パケット解析装置１００の各部の機能を実現するためのプログラムがアプリケーションソフトウェアとして提供され、このアプリケーションソフトウェアが通信ノード３０（すなわちＰＣやサーバ装置）にインストールされてもよい。

【0020】

パケット取得部１１０は、通信ノード３０が送受信するパケットを取得する。例えば、パケット取得部１１０は、ルーター２０から、ルーター２０を通過するパケットのコピーを取得するように構成することができる。また、パケット解析装置１００が通信ノード３０と一体に構成される実施例においては、パケット取得部１１０は、通信ノード３０の有線／無線通信モジュールから、送信パケットおよび受信パケットのコピーを取得するように構成されるのであってよい。

【0021】

文字列画像生成部１２０は、パケット取得部１１０によって取得されたパケットからヘッダー情報を取り出し、取り出したヘッダー情報に含まれる文字列を表す文字列画像を生成するように構成される。パケットのヘッダー情報は、数多くの様々な項目からなっており、文字列画像は、ヘッダー情報のそれら各項目をそれぞれ区別できる形で、かつ各項目の内容を人がその意味を識別可能な（すなわち１６進表示等でない）文字列によって表した画像である。なお、ここで文字列とは、文字、数字、および記号のいずれからなるのであってもよいものとする。文字列画像生成部１２０によって生成された文字列画像は、パケット解析装置１００のユーザがパケットのヘッダー情報の内容を確認することを可能にするために、パケット解析装置１００の表示部１５０（ディスプレイ）に表示することができる。

【0022】

図２～４は、文字列画像生成部１２０によって生成された文字列画像のいくつかの例を示す。図２は、パケット取得部１１０で取得された複数のパケットをリスト表示する文字列画像２００の例である。文字列画像２００において、各パケット２０２は１行の文字列によって表され、パケット取得部１１０により取得された複数のパケットが、その取得された順に上から並んだ複数の行によってリスト形式で示されている。各行の文字列は、例えば、その行のパケットのヘッダー情報の内容を要約した文字列であってよい。文字列画像２００は、例えば、パケット解析装置１００においてパケット解析処理が開始され、パケット取得部１１０により新たなパケットが１つ取得されるごとに、更新されるのであってよく、その更新された文字列画像２００が順次、パケット解析装置１００の表示部１５０に表示されるのであってよい。

【0023】

図３は、図２の文字列画像２００における複数のパケットの中から選択された１つのパケットの詳細を表示する文字列画像３００の例である。例えば、パケット解析装置１００のユーザが、表示部１５０に表示された文字列画像２００において１つのパケットを選択する入力（例えば入力デバイスであるマウスのクリック）をパケット解析装置１００に与えたことに応答して、図３の文字列画像３００が生成され、表示部１５０に表示される（例えば、文字列画像２００が表示されている表示部１５０の画面下部に、文字列画像３００が追加して表示される）のであってよい。文字列画像３００において、当該選択されたパケットのヘッダー情報に含まれる複数の項目のうち、第１階層に属する複数の項目が、それぞれの項目ごとに１行の文字列によって表される。図３の例において、文字列画像３００は、第１階層に５つの項目３０１～３０５を有している。例えば、項目３０３は選択されたパケットのＩＰ（Internet Protocol）ヘッダーに関する項目であり、項目３０４はＳＣＴＰ（Stream Control Transmission Protocol）ヘッダーに関する項目であり、項目３０５はDiameterプロトコルのヘッダーに関する項目である。図２の文字列画像２００と同様に、文字列画像３００の各行の文字列は、各項目に対応するヘッダー情報の内容を要約した文字列であってよい。

【0024】

図４は、図３の文字列画像３００における複数の項目から選択された１または複数の項目のさらなる詳細を表示する文字列画像４００の例である。例えば、パケット解析装置１００の表示部１５０に表示された図３の文字列画像３００において１または複数の項目を選択する入力がパケット解析装置１００に与えられたことに応答して、図４の文字列画像４００が生成され、表示部１５０の画面が文字列画像３００から文字列画像４００に遷移するのであってよい。文字列画像４００は、文字列画像３００に含まれる複数の項目（すなわち第１階層の項目）から選択された項目の１つ下の階層（第２階層）に属する項目の情報を表示する画像である。図４の例は、図３の例の文字列画像３００において項目３０４（ＳＣＴＰヘッダー）と項目３０５（Diameterプロトコルのヘッダー）が選択された場合の文字列画像４００を示しており、文字列画像４００は、項目３０４の文字列の下に、項目３０４に含まれる第２階層の各項目４０１の文字列を有し、また項目３０５の文字列の下に、項目３０５に含まれる第２階層の各項目４０２の文字列を有している。文字列画像４００において、第２階層の各行の文字列は、第１階層の文字列と同様、それぞれ第２階層の１つの項目に対応している。

【0025】

このように、表示部１５０に文字列画像３００が表示されている状態で１または複数の項目（第１階層の項目）が選択されると、その項目に従属する第２階層の項目が展開されて表示される。第１階層の項目の選択を解除することで、一旦展開された第２階層の項目を再度折り畳んで非表示とする（つまり文字列画像３００の表示に戻る）ことが可能であってもよい。また、パケットのヘッダー情報が第２階層よりさらに下の階層（第３、第４階層等）の項目を含む場合、文字列画像生成部１２０は、それら下位階層の項目を有する同様の文字列画像を生成することが可能であってもよい。

【0026】

なお、上記では、図２の文字列画像２００において１つのパケットが選択されると図３の文字列画像３００が生成、表示され、さらに図３の文字列画像３００においてヘッダー情報の第１階層の項目が選択されると図４の文字列画像４００が生成、表示されるものとして説明したが、図２の文字列画像２００において１つのパケットが選択されたことを受けて直ちに、第２階層以下の階層に属する項目（例えば全ての階層の項目）が展開された文字列画像が生成、表示されるのであってもよい。

【0027】

図１に戻り、部分画像切出部１３０は、文字列画像生成部１２０によって生成された文字列画像において、ヘッダー情報の各項目に対応する部分画像を切り出す。例えば、図３に例示された文字列画像３００において、項目３０１～３０５のそれぞれに対応する５つの部分画像が切り出される。また、図４に例示された文字列画像４００において、項目３０５（Diameterプロトコルのヘッダー）に従属する第２階層の各項目４０２のそれぞれに対応する部分画像が切り出される。ここでは、項目３０５の下には第２階層の項目４０２が２３個（２３行）存在するので、各行に対応する２３個の部分画像が切り出される。なお、図４の例示の文字列画像４００において、部分画像切出部１３０は、項目３０４（ＳＣＴＰヘッダー）に従属する第２階層の各項目４０１については部分画像の切り出しを行わないが、その理由は後で説明する。

【0028】

機械学習部１４０の第１の機械学習モデル１４２は、文字列画像生成部１２０によって生成された文字列画像から、ヘッダー情報の複数の項目のうちの１または複数の対象項目に対応する文字列を選別するように構成される。上述したように、文字列画像（例えば文字列画像３００、４００）は、パケット取得部１１０で取得されたパケットのヘッダー情報に含まれる複数の項目（例えば項目３０１～３０５、４０１、４０２）のそれぞれに対応する文字列を有している。これら複数の項目のうち、「対象項目」とは、パケット解析装置１００のユーザが、ヘッダー情報の当該項目に設定されているパラメータ値を（例えば表示部１５０に表示されたその値を目視することにより）チェックすることが必要なものとしてあらかじめ決められている項目を指す。例えば、図３の文字列画像３００の例において、Diameterプロトコルのヘッダーに対応する項目３０５のみが、あらかじめ対象項目に設定される一方、その他の項目３０１～３０４は、あらかじめ非対象項目（すなわちユーザによるチェックが不要な項目）に設定されてよい。同様に、図４の文字列画像４００の例において、Diameterプロトコル（項目３０５）に従属する第２階層の複数の項目４０２のうち、１～９行目の項目は非対象項目に、また１０～２３行目の項目は対象項目に、それぞれ、あらかじめ設定されるのであってよい。なお、各文字列画像における対象項目の数は任意である。

【0029】

第１の機械学習モデル１４２は、文字列画像における各行の文字列に対応するヘッダー情報の項目が対象項目であるか否かを識別することが可能となるように、機械学習部１４０によって事前に訓練（学習）される。具体的に、第１の機械学習モデル１４２の一実装例を図５に示す。第１の機械学習モデル１４２は、複数の入力ノード５０１を有する入力層５０２と、各々が複数のノード５０３を有する１または複数の層からなる中間層５０４と、複数の出力ノード５０５を有する出力層５０６とを備えたニューラルネットワーク５００によって構成することができる。各ノードは、重み付けパラメータによって特徴付けられる強度で、当該ノードが属する層に隣接する層の複数のノードと接続されている。入力層５０２には、部分画像切出部１３０によって作成された部分画像が入力される。また出力層５０６は２つの出力ノード５０５から構成され、一方の出力ノードは、入力層５０２に入力された部分画像がヘッダー情報の対象項目に対応するものであることを示す識別情報５０７を出力し、他方の出力ノードは、入力層５０２に入力された部分画像がヘッダー情報の対象項目に対応しないものであることを示す識別情報５０８を出力する。第１の機械学習モデル１４２（ニューラルネットワーク５００）を訓練するために、機械学習部１４０には、入力層５０２に入力された部分画像がヘッダー情報の対象項目であるかどうかの正しい情報を表すラベルが、例えばパケット解析装置１００の管理者または訓練実施者から与えられる。出力層５０６の２つの出力ノード５０５がこのラベルと一致した識別情報５０７、５０８を出力するように、部分画像とラベルの多数のセットを教師データとして用いて、ニューラルネットワーク５００の各ノード間の重み付けパラメータが調整される。これにより、第１の機械学習モデル１４２の訓練が行われる。

【0030】

例えば、図３の例の文字列画像３００は、ヘッダー情報の第１階層における５つの項目３０１～３０５に対応する文字列を有しており、これら各項目の文字列を表す部分画像と当該部分画像に付与されたラベルを１セットとする多数の教師データを用いて、第１の機械学習モデル１４２が訓練される。また、図４の例の文字列画像４００において、ヘッダー情報の第２階層は、第１階層の項目のうち対象項目であるDiameterプロトコル（項目３０５）に従属する複数の項目４０２と、対象項目でない項目（項目３０４）に従属する複数の項目４０１とを含んでいる。そしてヘッダー情報の第２階層については、第１階層における対象項目に従属する項目４０２の各文字列を表す部分画像および当該部分画像に付与されたラベルを１セットとする多数の教師データを用いて、第１の機械学習モデル１４２がさらに訓練される。

【0031】

ここで、第１階層の項目が対象項目でない場合にはその項目に従属する第２階層の項目（例えば項目４０１）も対象項目でないため、図４の例において、第１階層の対象項目に従属しない第２階層の各項目４０１の文字列に対応する部分画像は、第１の機械学習モデル１４２の訓練には使用されない。つまり、図３に例示された文字列画像３００および図４に例示された文字列画像４００の例において、第１の機械学習モデル１４２は、ヘッダー情報の第１階層における各項目３０１～３０５の文字列に対応する第１群の部分画像と、第１階層の対象項目（項目３０５）に従属する第２階層の項目４０２の各文字列に対応する第２群の部分画像とを含み、第１階層の対象項目（項目３０５）に従属しない第２階層の項目４０１の各文字列に対応する第３群の部分画像は含まない教師データによって、訓練される。そのため、第１の機械学習モデル１４２の規模を削減することができ、また学習時間も低減することができる。

【0032】

機械学習部１４０の第２の機械学習モデル１４４は、第１の機械学習モデル１４２によって選別された対象項目の文字列が、正常なパラメータ値を有しているか否かを判定するように構成される。前述したように、例えば図４の文字列画像４００の例において、第１階層のDiameterプロトコル（項目３０５）に従属する第２階層の項目４０２のうち１０～２３行目の項目が対象項目に設定されており、これら各対象項目は、その項目の内容を表すパラメータ値の文字列を含んでいる。例えば、図４を参照すると、項目４０２のうち１０行目の項目は、「Vendor-Specific-Application-Id(260) l=32 f=-M-」というパラメータ値を含む。パラメータ値が「正常」であるとは、例えば、当該パラメータ値が、所定の通信仕様においてその値に設定することが要求または推奨される値に一致していることを意味するのであってよい。

【0033】

第２の機械学習モデル１４４は、文字列画像における対象項目のパラメータ値が正常値であるか否かを識別することが可能となるように、機械学習部１４０によって事前に訓練（学習）される。具体的に、第２の機械学習モデル１４４の一実装例を図６に示す。第１の機械学習モデル１４２と同様に、第２の機械学習モデル１４４は、複数の入力ノード６０１を有する入力層６０２と、各々が複数のノード６０３を有する１または複数の層からなる中間層６０４と、複数の出力ノード６０５を有する出力層６０６とを備えたニューラルネットワーク６００によって構成することができ、各ノードは、重み付けパラメータによって特徴付けられる強度で、当該ノードが属する層に隣接する層の複数のノードと接続されている。入力層６０２には、部分画像切出部１３０によって作成された対象項目の部分画像が入力される。また出力層６０６は２つの出力ノード６０５から構成され、一方の出力ノードは、入力層６０２に入力された対象項目の部分画像におけるパラメータ値が正常値であることを示す識別情報６０７を出力し、他方の出力ノードは、入力層６０２に入力された対象項目の部分画像におけるパラメータ値が異常値であることを示す識別情報６０８を出力する。第２の機械学習モデル１４４（ニューラルネットワーク６００）を訓練するために、機械学習部１４０には、入力層６０２に入力された部分画像内のパラメータ値が正常値であるかどうかの正しい情報を表すラベルが、例えばパケット解析装置１００の管理者または訓練実施者から与えられる。出力層６０６の２つの出力ノード６０５がこのラベルと一致した識別情報６０７、６０８を出力するように、対象項目の部分画像とそれに対応するラベルの多数のセットを教師データとして用いて、ニューラルネットワーク６００の各ノード間の重み付けパラメータが調整される。これにより、第２の機械学習モデル１４４の訓練が行われる。

【0034】

図７は、本発明の一実施形態に係るパケット解析装置１００の動作の一例を示すフローチャートである。パケット解析装置１００は、訓練（学習）済みの第１および第２の機械学習モデル１４２、１４４を用いて動作し、この動作はステップ７０２から開始する。

【0035】

ステップ７０２において、パケット取得部１１０は、ルーター２０または通信ノード３０からパケットを取得する。ステップ７０４において、文字列画像生成部１２０は、取得された複数のパケットをリスト表示する文字列画像２００（図２参照）を生成し、文字列画像２００は表示部１５０に表示される。ステップ７０６において、表示部１５０に表示されたリストから１つのパケットがユーザにより選択されたか否かが（例えばパケット解析装置１００のプロセッサによって）判定され、その選択が行われた場合、ステップ７０８へ進む。ステップ７０８において、文字列画像生成部１２０は、当該選択されたパケットの詳細を表す文字列画像３００（図３参照）を生成し、文字列画像３００は表示部１５０に表示される。

【0036】

続くステップ７１０において、部分画像切出部１３０は、生成された文字列画像３００からヘッダー情報の各項目（項目３０１～３０５）に対応する部分画像を切り出す。ステップ７１２において、機械学習部１４０は、ステップ７１０で切り出されたヘッダー情報の各項目の部分画像を第１の機械学習モデル１４２の入力層５０２に入力し、この入力を受けて、第１の機械学習モデル１４２は、入力された各部分画像について、当該部分画像の項目が対象項目であるかどうかを表す識別情報５０７または５０８を出力層５０６から出力する。ステップ７１４において、第１の機械学習モデル１４２による識別結果が表示部１５０に表示される。例えば、文字列画像３００の中の対象項目である項目３０５の文字列（「Diameter Protocol」と記載された文字列）の横に、当該項目はユーザのチェックが必要な対象項目であることを知らせる付加情報（例えば「チェック要」の旨を表すアイコンまたは文字）が表示されるのであってよい。

【0037】

次に、ステップ７１６において、表示部１５０の文字列画像３００から１または複数の項目がユーザにより選択されたか否かが（例えばパケット解析装置１００のプロセッサによって）判定され、その選択が行われた場合、ステップ７１８へ進む。ステップ７１８において、文字列画像生成部１２０は、当該選択された項目のさらなる詳細を表す文字列画像４００（図４参照）を生成し、文字列画像４００は表示部１５０に表示される（例えば文字列画像３００の表示が文字列画像４００の表示に切り替わる）。

【0038】

続くステップ７２０において、部分画像切出部１３０は、ステップ７１８で生成された文字列画像４００から、ヘッダー情報の第１階層における対象項目に従属する第２階層の各項目（例えば項目４０２の各行）に対応する部分画像を切り出す。ステップ７２２において、機械学習部１４０は、ステップ７２０で切り出されたヘッダー情報の第２階層の項目の部分画像を第１の機械学習モデル１４２の入力層５０２に入力し、この入力を受けて、第１の機械学習モデル１４２は、入力された各部分画像について、当該部分画像の項目が対象項目であるかどうかを表す識別情報５０７または５０８を出力層５０６から出力する。ステップ７２４において、第１の機械学習モデル１４２による識別結果が表示部１５０に表示される。例えば、文字列画像４００の中の対象項目である、項目４０２のうちの１０～２３行目の各文字列の横に、当該１０～２３行目の各項目はユーザのチェックが必要な対象項目であることを知らせる付加情報（例えば「チェック要」の旨を表すアイコンまたは文字）が表示されるのであってよい。

【0039】

さらに、ステップ７２６において、機械学習部１４０は、ステップ７２０で切り出された部分画像のうちヘッダー情報の第２階層の対象項目に対応する部分画像を第２の機械学習モデル１４４の入力層６０２に入力し、この入力を受けて、第２の機械学習モデル１４４は、入力された各部分画像について、当該部分画像内のパラメータ値が正常値であるかどうかを表す識別情報６０７または６０８を出力層６０６から出力する。ステップ７２８において、第２の機械学習モデル１４４による識別結果が表示部１５０に表示される。例えば、上記のステップ７２４で表示された付加情報の横に、さらに加えて、当該対象項目のパラメータ値が正常値と異常値のいずれであるかを知らせる付加情報（例えば「正常値」もしくは「異常値」のアイコンまたは文字）が表示されるのであってよい。

【0040】

なお、上記の図７のフローチャートでは、ステップ７０６で１つのパケットが選択された場合に、第１階層の項目のみを含む文字列画像３００が生成、表示された後、第２項目を含む文字列画像４００が生成、表示されたが、そのような処理に代えて、ステップ７０６でのパケットの選択を受けて直ちに、第２階層の全項目が展開された文字列画像４００に類似する文字列画像を生成、表示し、この文字列画像の各項目（各行）の部分画像を第１および第２の機械学習モデル１４２、１４４に入力して、それら各項目について、対象項目であるか否かおよびパラメータ値が正常か否かを示す識別情報５０７、５０８、６０７、６０８を出力しそれらを表示部１５０に表示するように、フローチャートが変更されてもよい。

【0041】

以上のように、本発明の一実施形態に係るパケット解析装置１００によれば、パケットのヘッダー情報に含まれる多数の項目の中から、ユーザによる内容のチェックが必要な項目（対象項目）を自動的に判別することができ、また、それら対象項目の設定内容（パラメータ値）が正しいか否かを自動的に判別することができる。

【0042】

以上、本発明の実施形態を説明したが、本発明はこれに限定されず、その要旨を逸脱しない範囲内において様々な変更が可能である。

【符号の説明】

【0043】

１０ＬＡＮ
２０ルーター
３０通信ノード
４０外部ネットワーク
５０通信ノード
１００パケット解析装置
１１０パケット取得部
１２０文字列画像生成部
１３０部分画像切出部
１４０機械学習部
１４２第１の機械学習モデル
１４４第２の機械学習モデル
１５０表示部

【要約】

【課題】パケットの解析を行う際のユーザの負担を軽減する。
【解決手段】パケット解析装置は、送受信されるパケットを取得するパケット取得部と、前記パケットのヘッダー情報に含まれる文字列を表す文字列画像を生成する画像生成部と、前記取得されたパケットに基づいて生成された前記文字列画像から、前記ヘッダー情報の複数の項目のうちの１または複数の対象項目に対応する文字列を選別するように構成された第１の機械学習モデルと、前記取得されたパケットに基づいて生成された前記文字列画像において、前記第１の機械学習モデルによって選別された対象項目の文字列が、正常なパラメータ値を有しているか否かを判定するように構成された第２の機械学習モデルと、前記第１の機械学習モデルによる選別結果および前記第２の機械学習モデルによる判定結果を表示する表示部と、を備える。
【選択図】図１