• 検索結果がありません。

インターネット計測とデータ解析第 10 回 前回のおさらい

N/A
N/A
Info
ダウンロード
Protected

Academic year: 2021

シェア "インターネット計測とデータ解析第 10 回 前回のおさらい"

Copied!
27
0
0

読み込み中.... (全文を見る)

今ダウンロードする ( 27 ページ )

全文

(1)

インターネット計測とデータ解析 第 10 回

長 健二朗

2011 年 7 月 6 日

(2)

前回のおさらい

インターネットの時間変化を計る

I

インターネットと時刻

I

ネットワークタイムプロトコル

I

時系列解析

I

演習 : 時系列解析

2 / 27

(3)

今日のテーマ

インターネットのトラフィック量を計る

I

トラフィック計測

I

演習 : トラフィック量解析

(4)

インターネットの挙動を計る

トラフィック量

I

ネットワーク計測の基本指標

I

収集方法

I SNMP

によるインターフェイスカウンタ値の収集

I NetFlow

などの

flow

計測

I

パケットキャプチャリング

I

個別回線の計測とデータの集約

I

加算可能性: 平均値は加算可能、最大値等は加算できない

I

ダブルカウントの問題

今回は、具体例としてブロードバンドトラフィック計測を紹介

4 / 27

(5)

ブロードバンドトラフィックの傾向

I

過去 5 年ほどは年率 30% 程度の安定した伸び

I

しかし、過去のデータをもとに将来の予測は難しい

I

一部のヘビーユーザの挙動が大きく影響

I

技術以外の社会的要因等で利用の仕方が大きく変わる可能性

(6)

2010 年 1 月に大きな変化

実際、 2010 年 1 月に 20% 近く急減

I

これまでにも変動はあったがここまで長期的影響は初めて

I

改正著作権法 ( ダウンロード違法化 ) の影響か?

I

罰則規定のない改正なので、ここまでの影響は予想外

0 0.2 0.4 0.6 0.8 1

07/07 08/01 08/07 09/01 09/07 10/01 10/07 11/01 11/07

normalized traffic volume

time

IN average OUT average IN peak OUT peak

2009 年と 2010 年のデータを比較し原因を探る

6 / 27

(7)

国内全体の傾向

総務省「我が国のインターネットにおけるトラヒックの集計・試算」

I

1 月のトラフィック減少は日本全体で観測されている

2005/05 2006/05 2007/05 2008/05 2009/05 2010/05 0

100 200 300 400 500 600

Traffic (Gbps)

A1(in) A1(out)

2000 2002 2004 2006 2008 2010 Year

0 100 200 300 400

Aggregated IX traffic [Gbps] Traffic volume

0 1 2 3 4

Annual growth rate

Growth rate

国内ISP6社のブロードバンドトラフィック(左)主要IXトラフィック(右)

(8)

ブロードバンド週間トラフィックの変化

I

家庭利用のトラフィックパターン ( ピークは 21-23 時 )

I

2005 年頃は IN/OUT はほぼ同量 (P2P トラフィックが支配的 )

I

除々に OUT( 利用者のダウンロード ) が大きく P2P ファイル共有から web サービスへのシフトが窺える

ブロードバンド週間トラフィック: 2009(上) 2010(下)

8 / 27

(9)

ブロードバンド利用者別データの解析

I

IIJ が運用するブロードバンドサービスが対象

I

Sampled NetFlow 形式のデータ

I FTTH/DSL

ブロードバンド顧客収容ルータ

I

1 週間分のデータ

I 2009

5

月と

2010

5

月の比較

I

平日と休日でパターンが異なる、7 で割った

1

日平均を使用

IN/OUT は ISP からの視点

(10)

利用者ごとの IN/OUT 使用量

5000 ユーザをランダムサンプリングし IN/OUT をプロット 2 つのクラスタ : クライアント型一般ユーザとピア型ヘビーユーザ

I

境界はあいまい

I

ヘビーユーザとそれ以外、クライアント型とピア型

I

利用者は両タイプのアプリケーションを異なる割合で使用

104 105 106 107 108 109 1010 1011 Daily outbound traffic (byte)

104 105 106 107 108 109 1010 1011

Daily inbound traffic (byte)

2009

104 105 106 107 108 109 1010 1011 Daily outbound traffic (byte) 104

105 106 107 108 109 1010 1011

Daily inbound traffic (byte)

Total (2010)

利用者ごとのIN/OUT使用量(左)2009 (右)2010

10 / 27

(11)

トラフィック使用量のユーザ分布

I

ベキ分布的 ( 確率的な分布 )

I

幅広いヘビーユーザが存在

I

2010 年には IN 側でヘビーユーザの割合が若干減少

I 100MB/日以上アップロードするユーザの総数は20%程減少

I

一方で、右端の極端なヘビーユーザは逆に増えている

104 105 106 107 108 109 1010 1011 1012 Daily traffic per user (bytes)

10-6 10-5 10-4 10-3 10-2 10-1 100

Cumulative distribution

InOut

2009

104 105 106 107 108 109 1010 1011 1012 Daily traffic per user (bytes)

10-6 10-5 10-4 10-3 10-2 10-1 100

Cumulative distribution

InOut

2010

トラフィック使用量の相補累積分布: (左)2009 (右)2010

(12)

利用者間のトラフィック使用量の偏り

I

ユーザ別の使用量に大きな偏り

I 2010

年: 上位

10%の利用者がOUT

78%、IN

96%を占

める

I

2009 年と比較すると IN 側の偏りが拡大

I

ヘビーユーザ総数は減ったが、極端なヘビーユーザは増えた

0 0.2 0.4 0.6 0.8 1

0.0001 0.001 0.01 0.1 1

cumulative traffic

cumulative heavy hitters IN

OUT

0 0.2 0.4 0.6 0.8 1

0.0001 0.001 0.01 0.1 1

cumulative traffic

cumulative heavy hitters IN

OUT

利用者間のトラフィック使用量の偏り(左)2009 (右)2010

12 / 27

(13)

利用者ごとの 1 日の使用量

I

IN/OUT の各分布は2つの対数正規分布から成る

I

ダウンロードがひと桁多いクライアント型グループ

I

利用量の多い

IN/OUT

対称的なピア型グループ

IN (MB/day) OUT (MB/day)

mean mode mean mode

2005 430 3.5 447 32

2009 556 6 971 114

2010 469 7 910 145

104 105 106 107 108 109 1010 1011 Daily traffic per user (bytes) 0

0.1 0.2 0.3 0.4 0.5

Probability density

2005 (in) 2005 (out) 2009 (in) 2009 (out)

104 105 106 107 108 109 1010 1011 Daily traffic per user (bytes) 0

0.1 0.2 0.3 0.4 0.5

Probability density

In 2009 Out 2009 In 2010 Out 2010

利用者の1日の使用量分布(確率密度関数) (左)20052009 (右)20092010

(14)

プロトコル別使用量

アップロード 100MB/ 日でピア型とクライアント型を分類

I

ポート番号 : min(sport, dport)

I

一般に、well-known ポートはクライアントサーバ型アプリ ケーション、動的ポートは

P2P

の可能性が高い

I

全体でみるとほとんどは TCP の動的ポート

I

TCP80 番ポートが増加傾向

I 2010

年に動的ポート同士の通信は

25%程減少、そのうち1/3

80

番ポートに移行

total

client-type only 2009

2009 2010

2010

TCP 96%

TCP 96%

TCP 90%

TCP 96%

80 14%

80 23%

80 67%

80 75%

TCP >= 1024 78%

TCP >= 1024 64%

TCP >= 1024 18%

TCP>=1024 15%

U D P 7%

U D P 3%

U D P 3%

other TCP < 1024

4%

4%

6%

10%

14 / 27

(15)

プロトコル別使用量詳細

2009 2010

protocol port total client total client

(%) type (%) type

TCP * 95.80 95.73 90.09 95.82

(<1024) 18.23 77.31 26.46 80.87 80 (http) 14.46 67.30 23.00 75.12 554 (rtsp) 1.48 6.89 1.15 2.45 443 (https) 0.64 1.91 0.98 2.28 20 (ftp-data) 0.19 0.17 0.18 0.07 (>= 1024) 77.57 18.42 63.63 14.95 1935 (rtmp) 0.36 1.51 1.04 2.91 6346 (gnutella) 1.10 0.60 0.86 0.33 6699 (winmx) 0.70 0.24 0.65 0.17

8084 0.00 0.00 0.61 0.00

UDP 2.24 2.60 6.79 2.76

ESP 1.87 1.55 2.91 1.30

GRE 0.07 0.08 0.14 0.06

IP-IP 0.01 0.00 0.04 0.01

ICMP 0.02 0.05 0.02 0.04

(16)

TCP ポート利用の週間推移

3つに分類 : 80 番 , その他の well-known ポート , 動的ポート

I

合計のピーク値で正規化

I

全体でも動的ポートが減って 80 番のトラフィックが増加

I

これまではクライアント型に顕著な傾向

TCPポート利用の週間推移: (上)全体(下)クライアント型(左)2009 (右)2010

16 / 27

(17)

参考 : 2005 年と 2008 年の比較

I

全体はピア型ユーザに利用を反映

I

クライアント型で 80 番ポートの増加が目立った

(上)全体(中)クライアント型(下)ピア型(左)2005 (右)2008

(18)

まとめ

I

ブロードバンドトラフィック

I

過去

5

年は年率

30%程で安定した伸びをしていた

I 2010

1

月に急減

I

トラフィックパターンの変化傾向

I

全体でみると依然

P2P

ファイル共有が支配的

I

しかし、web ベースのサービスへのシフトが明確に

I

各利用者は多様なアプリケーションを異なる割合で使用

I

2010 年に入っての特徴

I

いままでの傾向に大きな変化はない

I

ヘビーユーザのトラフィック変動がこれまでより大きい

I

ヘビーユーザや動的ポート同士の通信が単純に減った訳では ない

I ヘビーユーザ数は20%程減少、一方で極端なヘビーユーザは 増加

I 動的ポート同士の通信は25%程減少、そのうち1/3は80番 ポートに移行

I

これまでは、一般ユーザの動向に顕著だった

web

サービスへ のシフトが、今回、ヘビーユーザにも広がった

18 / 27

(19)

改正著作権法の影響の考察

I

以前から P2P ファイル共有から web サービスへシフトする 流れ

I

ネットのビデオコンテンツのユーザ層の広がり

I

代替技術として

web

ベースのサービスの成熟

I P2P

ファイル共有使用リスクに対する社会的認識の変化

I

改正著作権法を契機に、この流れが加速した

I

例え:地震で地滑りが起こった、本当の原因は地盤の緩み

I

世界的にも同様の事例が報告されている

I 2009

年スウェーデンの著作権強化でトラフィック半減など

(20)

演習 : トラフィック解析

演習用データ : ifoctets.txt

I

あるブロードバンド収容ルータのインターフェイスカウン タ値

I

2011 年 5 月の 1 ヶ月分、 2 時間粒度

I

format: unix time IN(bytes/sec) OUT(bytes/sec)

0 100 200 300 400 500

04/30 05/07 05/14 05/21 05/28 06/04

traffic (Mbps)

time

IN OUT

20 / 27

(21)

最終レポートについて

I

A, B からひとつ選択

I A. SFC Web

アクセスログ解析

I B.

自由課題

I

8 ページ以内

I

pdf ファイルで提出

I

提出〆切 : 2011 年 7 月 30 日 ( 土 ) 23:59

(22)

最終レポート 選択テーマ

A. SFC Webアクセスログ解析

I SFC Webアクセスログ(weblog-20110516-20110522.txt) I 上記ログを元に訪問者毎のアクセスパターンを抽出したデータ

(visit-pattern-201105.txt, idmap-201105.txt) I 小課題

1.

訪問者のアクセスパターンから、訪問者毎のアクセス数分布 の

CDF

CCDF

2

つのプロットを作成せよ。

2.

訪問者毎のアクセスパターンに関して、機械的な自動アクセ スを統計的に除外する手法を考案し、その手法の利点と欠点 について考察せよ。

(注:

この課題にはひとつの正解があるわけではない。 どのよ うな方法を使っても誤判定の可能性はあるので、比較的簡単 に自動アクセスを除外する手法を考えればよい。)

3.

アクセスログに関する自由分析。

データを元になんらかの分析と考察を行い、分析手法の説明 と結果に対する考察を記述する。できれば、SFC の

Web

サイ トのデザインに関して、何らかの改善提案ができるとよい。

B.自由課題

I 授業内容と関連するテーマを自分で選んでレポート

I 必ずしもネットワーク計測でなくてもよいが、何らかのデータ解析を行い、考察す ること

22 / 27

(23)

訪問者のアクセスパターンについて

訪問者のアクセスパターンデータは以下のように作った

I weblog-20110516-20110522.txtをアクセス時間順にソートし、

weblog-sorted-20110516-20110522.txtを作成。(オリジナルのログでは、

アクセス時間順序が前後している場合がある。以下の処理を簡単にするた め、まず時間順にソートする。)

% ./sort-before.rb weblog-20110516-20110522.txt | sort -n -k1,1 -s | \ ./sort-after.rb > weblog-sorted-20110516-20110522.txt

sort-before.rb: アクセスタイムをunix timeにして行頭にプリペンドする sort-after.rb: 行頭のunix timeを削除

I

同一 IP アドレスから、 15 分以内の間隔でアクセスがあるも のを、ひとつの訪問と見て、アクセスパターンを集計する。

スクリプト (visit-pattern.rb) を利用。

I

データ

I visit-pattern-201105.txt:

訪問者毎のアクセスパターン

format: start_time stay_time(sec) number_of_access ## list_of_url_id

I

idmap-201105.txt: コンテンツの ID と URL の対応マップ

format: id(rank) url number_of_hits

(24)

訪問者毎のアクセスパターン

2011-05-16T12:00:00 180 22 ## 3 10 12 1 2 7 8 5 9 6 72 77 161 122 43 50 1 97 63 141 36 104 2011-05-16T12:00:04 1 2 ## 667 2

2011-05-16T12:00:07 347 4 ## 276 359 40 70 2011-05-16T12:00:08 0 1 ## 40

2011-05-16T12:00:14 3 9 ## 1 2 9 5 8 7 6 4 11

2011-05-16T12:00:27 108 14 ## 385 2 5 6 1 7 9 8 411 383 419 208 4 11 2011-05-16T12:00:29 16 13 ## 1 2 2 5 7 9 8 6 4 11 25 33 36 2011-05-16T12:00:31 7 13 ## 3 10 10 12 1 2 5 8 7 9 6 4 11

2011-05-16T12:00:35 21 24 ## 3 10 12 15 14 19 20 21 18 13 6 31 52 75 2 5 8 7 9 31 3 1 205 212 2011-05-16T12:00:41 0 1 ## 3

2011-05-16T12:00:44 1 6 ## 41 2 5 9 7 8 2011-05-16T12:00:52 0 1 ## 1

2011-05-16T12:00:54 252 3 ## 1 4 56 2011-05-16T12:01:00 0 1 ## 1 2011-05-16T12:01:14 36 3 ## 1 4 25

2011-05-16T12:01:31 30 11 ## 4 3 10 12 15 14 20 19 21 18 13 2011-05-16T12:01:31 337 3 ## 55 213 67

2011-05-16T12:01:42 0 1 ## 24

2011-05-16T12:01:50 55 6 ## 1 72 79 186 40 55

24 / 27

(25)

コンテンツの ID と URL の対応マップ

1 /top.html 30480 2 /css/main.css 26124 3 / 23791

4 /students_soukan/ 23728 5 /images/keio_logo.gif 22968 6 /favicon.ico 21832 7 /images/gaibu.gif 21610 8 /images/notice.gif 18261 9 /images/rss.gif 18239 10 /css/top.css 14892 11 /images/new.gif 13179 12 /js/cookie.js 12438 13 /images/copy.gif 8598 14 /images/keiou.gif 8240 15 /images/pen.gif 8120

16 /files/61/Graduate_School_of_Media_and_Governance_Guidebook2011.pdf 7408 17 * 7057

18 /images/htm_a.gif 5161 19 /images/flash_a.gif 5157 20 /images/flash_b.gif 5152 21 /images/htm_b.gif 5141 22 /images/notice-new.gif 3844

(26)

まとめ

インターネットのトラフィック量を計る

I

トラフィック計測

I

演習 : トラフィック量解析

26 / 27

(27)

次回予定

第 11 回 インターネットの異常や問題を計る (7/13)

I

異常検出

I

スパム判定

I

ベイズ理論

I

演習 : 異常検出

参照

今ダウンロードする ( PDF - 27 ページ - 1.25 MB )

関連したドキュメント

インターネット計測とデータ解析第 14 回 前回のおさらい

public void map(LongWritable key, Text value, OutputCollector&lt;Text, IntWritable&gt; output, Reporter reporter) throws IOException {. String line

インターネット計測とデータ解析第 13 回 前回のおさらい

3: put an edge between all core points that are within Eps of each other 4: make each group of connected core points into a separate cluster. 5: assign each border point to one of

インターネット計測とデータ解析第 7 回 前回のおさらい

慶應 (38635) から他の AS への距離 (ホップ数) の分布のプ ロット. I

インターネット計測とデータ解析第 8 回 前回のおさらい

[r]

インターネット計測とデータ解析第 3 回 前回のおさらい

I link state routing protocol (Dijkstra’s algorithm) EGP (Exterior Gateway Protocol): AS 間で使用. I BGP (Boader

インターネット計測とデータ解析第 5 回 前回のおさらい

[r]

インターネット計測とデータ解析第 6 回 前回のおさらい

[r]

インターネット計測とデータ解析第 10 回 前回のおさらい

[r]