• 1日分のARP発行数を集計し,発行数を擬似的にフローとみなして上記のmclによりマルコフクラスタリングを行ったもの.
• エッジを1日に50回以上ARPを発行しているものに限ってgraphvizのdotによりグラフ化.LAN内の機械同士の関係性を調べる.

クラスタリング後

クラスタリング前

• エッジ色は発行頻度.オレンジ(100以下),紫(200以下),マゼンタ(500以下),赤(1000以下)など.
• ARP発行数は実際のデータ転送量ではなく接続時間の長さを表している.
• クラスタにする分クラスタ間のエッジの配置は厳しくなるので,エッジ数が多いグラフの視認性は落ちる.
• 上から下へというdotの基本的なエッジの向きが逆転したり,同レベルに向っているエッジが増える.
• 同一のサーバー(オレンジ)やプリンタ(黄色)を使用しているもの,同一の接続されていない機械(黒)の設定が残ったままになっているものなどがクラスタとして選ばれている.
• 同じ部屋にあって相互の関係性が強いと思われる機械(黄緑,水色,茶色,青緑などの同色で色分けされている)のクラスタリングも出来ているらしい.
• 共通のユーザーがいるなど日常的に通信しあうもの同士のARP発行数は必然的に多くなるが,接続されていない機械に対しての発行数も返答がないために多くなる.これがクラスタリングにも強く現れている.
• ネームサーバーやゲートウェイなど多数にアクセスされるものを取り除いてしまえばARPはそれほど多数の相手に発行されないのでマルコフクラスタリングには適しているように見える.

• 同じ方法でエッジを10回以上の発行数について描画した場合.

クラスタリング後

クラスタリング前