WO2021095138A1

WO2021095138A1 - 方法、システム及び変換装置

Info

Publication number: WO2021095138A1
Application number: PCT/JP2019/044409
Authority: WO
Inventors: 亜南沢辺
Original assignee: 日本電気株式会社
Priority date: 2019-11-12
Filing date: 2019-11-12
Publication date: 2021-05-20
Also published as: JPWO2021095138A1; US20220393987A1; JP7396368B2

Abstract

【課題】通信トラヒックの分析による送信元についての推定を誤らせることを可能にすること。【解決手段】本開示の一側面に係る方法は、送信元の装置からの元の通信フローを、選択されたトラヒック特徴に適合する複数の通信フローに分割することと、上記複数の通信フローを上記元の通信フローに復元する復元装置へ、上記複数の通信フローの各々に属するパケットを送信することと、を含む。

Description

方法、システム及び変換装置

　本開示は、方法、システム及び変換装置に関する。

　あらゆるモノが無線ネットワークを介してインターネットに接続されるＩｏＴ（Internet　of　Things）の普及により、工場や農業等の様々な分野でＩｏＴを活用したユースケースが期待されている。その一方で、多様なモノがインターネットに接続されることで、ＩｏＴ通信におけるセキュリティリスクが高まることが懸念されている。

　ＩｏＴサービスに対する攻撃例を挙げる。遠隔ロボット制御やネットワークカメラによる監視を想定する。ロボット制御では、遠隔地から制御コマンドが低遅延で到達することで安定した制御が可能となる。また、ネットワークカメラによる監視では、低遅延でカメラからの映像が遠隔の監視サーバに到達することでリアルタイムな監視を実現できる。これらのリアルタイム性を要求するＩｏＴデバイスのトラヒックに対して、悪意のあるユーザが何らかの方法でＩｏＴサービスを識別し、中継装置において膨大なクロストラヒックを挿入すると、スループットの劣化や通信遅延の増大が意図的に引き起こされ、結果としてサービス妨害が起こり得る。また、リアルタイム性を要するサービスに対して通信を遮断することもサービス妨害として挙げられる。

　近年では、通信トラヒックの暗号化が推進されているため、パケットのペイロードから生のアプリレベルの情報を取得することが困難となってきている。その一方で、統計学や機械学習といったデータ分析技術の高度化により、パケットサイズやパケット到着間隔の統計量等の通信トラヒックの特徴を分析することによって、通信プロトコルのみでなく、アプリケーションやＩｏＴデバイス種別の識別が可能となってきている。このような通信トラヒックの分析技術は、暗号化トラヒックに対する通信品質の改善等に活用できるが、悪意のあるユーザが利用すれば、通信トラヒックの送信元（source）の情報を間接的に推定され、前述のようなＩｏＴサービスに対する攻撃に繋がる恐れがある。このように通信トラヒックを分析することによって間接的に推定した送信元の情報を用いることでセキュリティ攻撃を行うことは、Traffic　analysis　attack　として知られている。Traffic　analysis　attackにより、特に、通信トラヒックからユーザのＷｅｂアクセス先が推定され、ユーザ毎のアクセス傾向等のプライバシーが、悪意のあるユーザに知られてしまう恐れがある。

　例えば、非特許文献１では、トラヒックの特徴からＷｅｂアクセス先を推定する攻撃に対して、トラヒックの統計的な特徴を変換することで誤推定を誘発する方法が、記載されている。具体的には、非特許文献１によれば、ダミーパケットを追加することにより、トラヒックが増加し、スループット特性が変換される。

Mohsen　Imani,　et　al.,　``Mockingbird:　Defending　Against　Deep-Learning-Based　Website　Fingerprinting　Attacks　with　Adversarial　Traces,’’　arXiv:1902.06626,　2019.

　上述したように、非特許文献１では、トラヒックの特徴からＷｅｂアクセス先を推定する攻撃者に対して、ダミーパケットを追加することにより、トラヒックが増加し、スループット特性が変換される。しかし、リアルタイム性を要求する通信トラヒックは一般的に高頻度な通信を伴うので、トラヒックの増加は効果的でないと考えられる。具体的には、リアルタイム性を要求する通信トラヒックにダミーパケットが追加されると、当該通信トラヒックは、さらに高頻度な通信を伴うこととなり、結局、リアルタイム性を要求する通信トラヒックとみなされる。そのため、リアルタイム性を要求するサービスを推定したい攻撃者に対しては、ダミーパケットの追加は効果的ではない。

　本開示の目的は、通信トラヒックの分析による送信元についての推定を誤らせることを可能にする方法、システム及び変換装置を提供することにある。

　本開示の一側面（aspect）に係る方法は、送信元の装置からの元の通信フローを、選択されたトラヒック特徴に適合する複数の通信フローに分割することと、上記複数の通信フローを上記元の通信フローに復元する復元装置へ、上記複数の通信フローの各々に属するパケットを送信することと、を含む。

　本開示の一側面に係るシステムは、変換装置と、復元装置と、を含み、上記変換装置は、送信元の装置からの元の通信フローを、選択されたトラヒック特徴に適合する複数の通信フローに分割し、上記複数の通信フローの各々に属するパケットを上記復元装置へ送信し、上記復元装置は、上記複数の通信フローの各々に属する前記パケットを受信し、上記複数の通信フローを上記元の通信フローに復元する。

　本開示の一側面に係る変換装置は、送信元の装置からの元の通信フローを、選択されたトラヒック特徴に適合する複数の通信フローに分割する変換部と、上記複数の通信フローを上記元の通信フローに復元する復元装置へ、上記複数の通信フローの各々に属するパケットを送信する送信部と、を備える。

　本開示によれば、通信トラヒックの分析による送信元についての推定を誤らせることが可能になる。なお、本開示により、当該効果の代わりに、又は当該効果とともに、他の効果が奏されてもよい。

第１の実施形態に係るシステムの概略的な構成の一例を示す。第１の実施形態に係る変換装置の概略的な機能構成の例を示すブロック図である。第１の実施形態に係る変換装置の概略的なハードウェア構成の例を示すブロック図である。第１の実施形態に係る復元装置の概略的な機能構成の例を示すブロック図である。第１の実施形態に係る復元装置の概略的なハードウェア構成の例を示すブロック図である。トラヒック特徴に含まれる周期及び周期ごとのパケット列の第１の例を示す。トラヒック特徴に含まれる周期及び周期ごとのパケット列の第２の例を示す。第１の実施形態に係る変換ポリシー決定処理の概略的な流れの例を説明するためのフローチャートである。第１の実施形態に係る分割後の通信フローの送信タイミング決定方法の例を示す。第１の実施形態に係る通信フローの変換及び復元の処理の概略的な流れの例を説明するためのシーケンス図である。第１の実施形態に係る通信フローの分割なしでの動画トラヒックの送信の例を示す。第１の実施形態に係る通信フローの分割ありでの動画トラヒックの送信の例を示す。第２の実施形態に係るシステムの概略的な構成の一例を示す。第２の実施形態に係る変換装置の概略的な機能構成の例を示すブロック図である。第２の実施形態に係る変換装置の概略的なハードウェア構成の例を示すブロック図である。第２の実施形態に係る復元装置の概略的な機能構成の例を示すブロック図である。第２の実施形態に係る復元装置の概略的なハードウェア構成の例を示すブロック図である。第２の実施形態に係る通信フローの変換及び復元の処理の概略的な流れの例を説明するためのシーケンス図である。

　以下、添付の図面を参照して本開示の実施形態を詳細に説明する。なお、本明細書及び図面において、同様に説明されることが可能な要素については、同一の符号を付することにより重複説明が省略され得る。

　説明は、以下の順序で行われる。
　１．第１の実施形態
　　１．１．システムの構成
　　１．２．変換装置の構成
　　１．３．復元装置の構成
　　１．４．動作例
　　１．５．第１の変形例
　　１．６．第２の変形例
　　１．７．第３の変形例
　　１．８．第４の変形例
　２．第２の実施形態
　　２．１．システムの構成
　　２．２．変換装置の構成
　　２．３．復元装置の構成
　　２．４．動作例

　＜＜１．第１の実施形態＞＞
　図１～図１２を参照して、本開示の第１の実施形態を説明する。

　＜１．１．システムの構成＞
　図１は、第１の実施形態に係るシステム１の概略的な構成の一例を示す。図１を参照すると、システム１は、ネットワーク１０、送信元の装置（source　device）２０、宛先の装置（destination　device）３０、変換装置１００及び復元装置２００を含む。

　（１）ネットワーク１０
　例えば、ネットワーク１０は、共有ネットワーク（shared　network）であり、悪意のある観測者が、ネットワーク１０におけるトラヒックを観測し得る。

　（２）送信元の装置２０及び宛先の装置３０
　例えば、送信元の装置２０は、ネットワーク１０経由で宛先の装置３０へパケット（即ち、データ）を送信する。例えば、送信元の装置２０から宛先の装置３０へ送信される一連のパケット（一連のデータ）は、トラヒック又は通信トラヒックと呼ばれ得る。また、当該一連のパケット（一連のデータ）は、通信フローと呼ばれ得る。ここでの通信フローとは、例えば、同一のＩＰ（Internet　Protocol）アドレス及び同一のポート番号を含む一連のパケット（一連のデータ）を意味する。ＩＰアドレスは、装置（device）の位置識別子であり、ポート番号は、装置内のアプリケーションの識別子であると言える。

　例えば、送信元の装置２０は、ＩｏＴデバイスであり、宛先の装置３０は、ＩｏＴデバイスからのデータを受信するサーバ（例えば、クラウドサーバ）である。具体的には、例えば、送信元の装置２０は、温度センサ等の環境センサ、監視カメラ等のネットワークカメラ（Ｗｅｂカメラとも呼ばれる）、又は遠隔で制御可能なロボットである。ただし、当然ながら、送信元の装置２０及び宛先の装置３０は、この例に限定されない。

　なお、図１には、１つの送信元の装置２０が示されているが、当然ながら、複数の送信元の装置２０が存在してもよく、当該複数の送信元の装置２０の各々に対応する宛先の装置３０が存在してもよい。

　（３）変換装置１００及び復元装置２００
　第１の実施形態では、変換装置１００は、送信元の装置２０からの元の（original）通信トラヒックを受信し、当該元の通信トラヒックを変換する。当該元の通信トラヒックの変換により、トラヒック特徴（即ち、通信トラヒックの特徴）も変換される。変換装置１００は、変換された通信トラヒックをネットワーク１０経由で復元装置２００へ送信する。復元装置２００は、当該変換された通信トラヒックを上記元の通信トラヒックに復元し、上記元の通信トラヒックを宛先の装置３０へ送信する。

　より具体的には、後述するように、変換装置１００は、送信元の装置からの元の通信フローを、選択されたトラヒック特徴に適合する複数の通信フローに分割する。当該動作の詳細は、後に説明する。

　変換装置１００は、ＩｏＴデバイスからのトラヒックを収容するＩｏＴゲートウェイであってもよく、又は、ＩｏＴデバイスのネットワーク内に設置するプロキシサーバであってもよい。復元装置２００は、例えば、ＩｏＴデバイスからのデータを受信するサーバ（例えば、クラウドサーバ）が属するネットワーク内のプロキシサーバであってもよい。ただし、当然ながら、変換装置１００及び復元装置２００は、これらの例に限定されない。

　＜１．２．変換装置の構成＞
　（１）機能構成
　図２は、第１の実施形態に係る変換装置１００の概略的な機能構成の例を示すブロック図である。図２を参照すると、変換装置１００は、受信部１１０、変換部１２０、送信部１３０及び決定部１４０を備える。

　－受信部１１０
　受信部１１０は、送信元の装置２０からの元の通信トラヒックを受信する。即ち、受信部１１０は、送信元の装置２０により生成され、送信されるパケットを受信する。例えば、受信部１１０は、送信元の装置２０からの元の通信フローに属するパケットを受信する。

　受信部１１０は、決定部１４０による変換ポリシーの決定に必要な情報を（例えば送信元の装置２０から）受信してもよい。

　－変換部１２０
　変換部１２０は、決定部１４０により決定される変換ポリシーにしたがって、上記元の通信フローについての変換処理を行う。当該変換処理により、トラヒック特徴（即ち、通信トラヒックの特徴）が変換される。

　より具体的には、後述するように、変換部１２０は、上記元の通信フローを、選択されたトラヒック特徴に適合する複数の通信フローに分割する。当該動作の詳細は、後に説明する。

　－送信部１３０
　送信部１３０は、上記複数の通信フローの各々に属するパケットを復元装置２００へ送信する。

　送信部１３０は、例えば、決定部１４０により決定される変換ポリシーも復元装置２００へ送信する。

　－決定部１４０
　決定部１４０は、上記元の通信フローについての変換処理によりどのようなトラヒック特徴をもつ通信フローを得るかを示す変換ポリシーを決定する。

　（２）ハードウェア構成
　図３は、第１の実施形態に係る変換装置１００の概略的なハードウェア構成の例を示すブロック図である。図３を参照すると、変換装置１００は、プロセッサ１８１、メインメモリ１８３、ストレージ１８５、通信インターフェイス１８７及び入出力インターフェイス１８９を備える。プロセッサ１８１、メインメモリ１８３、ストレージ１８５、通信インターフェイス１８７及び入出力インターフェイス１８９は、バス１９１を介して互いに接続されている。

　プロセッサ１８１は、メインメモリ１８３から読み出されるプログラムを実行する。一例として、プロセッサ１８１は、ＣＰＵ（Central　Processing　Unit）である。

　メインメモリ１８３は、プログラム及び各種データを記憶する。一例として、メインメモリ１８３は、ＲＡＭ（Random　Access　Memory）である。

　ストレージ１８５は、プログラム及び各種データを記憶する。一例として、ストレージ１８５は、ＳＳＤ（Solid　State　Drive）及び／又はＨＤＤ（Hard　Disk　Drive）を含む。

　通信インターフェイス１８７は、他の装置との通信のためのインターフェイスである。一例として、通信インターフェイス１８７は、ネットワークアダプタ又はネットワークインターフェイスカードである。

　入出力インターフェイス１８９は、キーボード等の入力装置、及びディスプレイ等の出力装置との接続のためのインターフェイスである。

　受信部１１０及び送信部１３０は、プロセッサ１８１、メインメモリ１８３及び通信インターフェイス１８７により実装されてもよい。変換部１２０及び決定部１４０は、プロセッサ１８１及びメインメモリ１８３により実装されてもよい。

　当然ながら、変換装置１００のハードウェア構成はこの例に限定されない。変換装置１００は、他のハードウェア構成により実装されてもよい。

　あるいは、変換装置１００は、仮想化されていてもよい。即ち、変換装置１００は、仮想マシンとして実装されてもよい。この場合に、変換装置１００（仮想マシン）は、プロセッサ及びメモリ等を含む物理マシン（ハードウェア）及びハイパーバイザ上で仮想マシンとして動作してもよい。当然ながら、変換装置１００（仮想マシン）は、複数の物理マシンに分散され、動作してもよい。

　変換装置１００は、プログラム（命令）を記憶するメモリ（メインメモリ１８３）と、当該プログラム（命令）を実行可能な１つ以上のプロセッサ（プロセッサ１８１）とを含んでもよい。当該１つ以上のプロセッサは、上記プログラムを実行して、受信部１１０、変換部１２０、送信部１３０及び／又は決定部１４０の動作を行ってもよい。上記プログラムは、受信部１１０、変換部１２０、送信部１３０及び／又は決定部１４０の動作をプロセッサに実行させるためのプログラムであってもよい。

　＜１．３．復元装置の構成＞
　（１）機能構成
　図４は、第１の実施形態に係る復元装置２００の概略的な機能構成の例を示すブロック図である。図４を参照すると、復元装置２００は、受信部２１０、復元部２２０及び送信部２３０を備える。

　－受信部２１０
　受信部２１０は、変換装置１００からの複数の通信フロー（即ち、分割後の通信フロー）の各々に属するパケットを受信する。

　受信部２１０は、例えば、変換装置１００からの変換ポリシーも受信する。

　－復元部２２０
　復元部２２０は、上記変換ポリシーにしたがって、上記複数の通信フロー（即ち、分割後の通信フロー）を元の通信フロー（即ち、分割前の通信フロー）に復元する。

　－送信部２３０
　送信部２３０は、上記元の通信フローに属するパケットを宛先の装置３０へ送信する。

　（２）ハードウェア構成
　図５は、第１の実施形態に係る復元装置２００の概略的なハードウェア構成の例を示すブロック図である。図３を参照すると、復元装置２００は、プロセッサ２８１、メインメモリ２８３、ストレージ２８５、通信インターフェイス２８７及び入出力インターフェイス２８９を備える。プロセッサ２８１、メインメモリ２８３、ストレージ２８５、通信インターフェイス２８７及び入出力インターフェイス２８９は、バス２９１を介して互いに接続されている。

　プロセッサ２８１は、メインメモリ２８３から読み出されるプログラムを実行する。一例として、プロセッサ２８１は、ＣＰＵ（Central　Processing　Unit）である。

　メインメモリ２８３は、プログラム及び各種データを記憶する。一例として、メインメモリ２８３は、ＲＡＭ（Random　Access　Memory）である。

　ストレージ２８５は、プログラム及び各種データを記憶する。一例として、ストレージ２８５は、ＳＳＤ（Solid　State　Drive）及び／又はＨＤＤ（Hard　Disk　Drive）を含む。

　通信インターフェイス２８７は、他の装置との通信のためのインターフェイスである。一例として、通信インターフェイス２８７は、ネットワークアダプタ又はネットワークインターフェイスカードである。

　入出力インターフェイス２８９は、キーボード等の入力装置、及びディスプレイ等の出力装置との接続のためのインターフェイスである。

　受信部２１０及び送信部２３０は、プロセッサ２８１、メインメモリ２８３及び通信インターフェイス２８７により実装されてもよい。復元部２２０は、プロセッサ２８１及びメインメモリ２８３により実装されてもよい。

　当然ながら、復元装置２００のハードウェア構成はこの例に限定されない。復元装置２００は、他のハードウェア構成により実装されてもよい。

　あるいは、復元装置２００は、仮想化されていてもよい。即ち、復元装置２００は、仮想マシンとして実装されてもよい。この場合に、復元装置２００（仮想マシン）は、プロセッサ及びメモリ等を含む物理マシン（ハードウェア）及びハイパーバイザ上で仮想マシンとして動作してもよい。当然ながら、復元装置２００（仮想マシン）は、複数の物理マシンに分散され、動作してもよい。

　復元装置２００は、プログラム（命令）を記憶するメモリ（メインメモリ２８３）と、当該プログラム（命令）を実行可能な１つ以上のプロセッサ（プロセッサ２８１）とを含んでもよい。当該１つ以上のプロセッサは、上記プログラムを実行して、受信部２１０、復元部２２０及び／又は送信部２３０の動作を行ってもよい。上記プログラムは、受信部２１０、復元部２２０及び／又は送信部２３０の動作をプロセッサに実行させるためのプログラムであってもよい。

　＜１．４．動作例＞
　第１の実施形態では、変換装置１００（変換部１２０）は、送信元の装置２０からの元の通信フローを、選択されたトラヒック特徴に適合する複数の通信フローに分割する。変換装置１００（送信部１３０）は、上記複数の通信フローに属するパケットを復元装置２００へ送信する。

　さらに、第１の実施形態では、復元装置２００（受信部２１０）は、上記複数のフローの各々に属する上記パケットを受信する。復元装置２００（復元部２２０）は、上記複数の通信フローを上記元の通信フローに復元する。

　以下、第１の実施形態に係る動作をより詳細に説明する。

　（１）事前準備
　まず、事前準備として、変換装置１００（決定部１４０）は、上記複数の通信フロー（即ち、分割後の通信フロー）が適合する上記トラヒック特徴の選択に用いる情報を取得する。

　例えば、送信元の装置２０は、送信元の装置２０からの通信トラヒックを観測し、トラヒック特徴を算出する。例えば、送信元の装置２０は、送信元の装置２０の通信インターフェイスのトラヒックを観測してもよい。あるいは、送信元の装置２０と宛先の装置３０との間にある中継装置が、送信元の装置２０からの通信トラヒックを観測してもよい。

　上記トラヒック特徴は、例えば、パケットサイズ（ｂｉｔ）及び／又はパケット到着間隔（ｓ）の分布又は統計量（最大値、最小値、平均値、中央値、分散、標準偏差、尖度、及び／又は歪度等）を含む。多くの場合ＩｏＴデバイスの通信には周期性が存在するので、上記トラヒック特徴は、周期（ｓ）及び／又は周期ごとのパケット列を含んでもよい。一例として、送信元の装置２０は、温度情報を送信する温度センサであってもよく、この場合に、図６に示されるように、周期は６０秒（即ち、６０ｓ）であってもよく、周期ごとのパケット列は図６に示されるとおりであってもよい。別の例として、図７に示されるように、送信元の装置２０は、動画像情報を送信するネットワークカメラであってもよく、この場合に、図７に示されるように、周期は１秒（即ち、１ｓ）であってもよく、周期ごとのパケット列は図７に示されるとおりであってもよい。

　例えば、トラヒック特徴は、端末種別及びサービス品質（Quality　of　Service：ＱｏＳ）指標に紐付けられる。当該端末種別は、送信元の装置２０の端末種別であり、当該ＱｏＳ指標は、送信元の装置２０が要求するサービス品質（ＱｏＳ）の指標である。一例として、上記ＱｏＳ指標は、遅延センシティブ（遅延による影響が大きい特性、換言すると、リアルタイム）又は遅延ロバスト（遅延による影響が小さい特性、換言すると、非リアルタイム）等の定性的なカテゴリである。別の例として、上記ＱｏＳ指標は、遅延時間１００ミリ秒（即ち、１００ｍｓ）以内、又は、スループット１Ｍｂｐｓ以上等の、定量的な値の範囲であってもよい。

　変換装置１００（決定部１４０）は、例えば、上記端末種別、上記ＱｏＳ指標及び上記トラヒック特徴を取得する。一例として、送信元の装置２０は温度センサであってもよい。この場合に、上記端末種別は、当該温度センサの型番であってもよく、上記ＱｏＳ指標は遅延ロバストであってもよく、上記トラヒック特徴は、上記温度センサから取得されてもよい。別の例として、送信元の装置２０はネットワークカメラであってもよい。この場合に、上記端末種別は、当該ネットワークカメラの型番であってもよく、上記ＱｏＳ指標は、遅延センシティブ及び／又は帯域センシティブであってもよく、上記トラヒック特徴は、上記ネットワークカメラから取得されてもよい。

　例えば、変換装置１００は、複数の送信元の装置２０について、上記端末種別、上記ＱｏＳ指標及び上記トラヒック特徴のセットを取得する。これにより、複数の送信元の装置２０の各々についての当該セットが事前に用意される。

　（２）変換ポリシーの決定
　変換装置１００（決定部１４０）は、送信元の装置２０からの元の通信フローについての変換処理によりどのようなトラヒック特徴をもつ通信フローを得るかを示す変換ポリシーを決定する。

　図８は、第１の実施形態に係る変換ポリシー決定処理の概略的な流れの例を説明するためのフローチャートである。

　例えば、変換装置１００（決定部１４０）は、まず、分割後の通信フロー（即ち、上記複数の通信フロー）が適合する上記トラヒック特徴を選択する（Ｓ３１０）。例えば、上記変換ポリシーは、分割後の通信フローの数、分割後の通信フローのアドレス情報、及び、分割後の通信フローの送信タイミングを含み、変換装置１００（決定部１４０）は、分割後の通信フローの数を決定し（Ｓ３２０）、分割後の通信フローのアドレス情報を決定し（Ｓ３３０）、分割後の通信フローの送信タイミングを決定する（Ｓ３４０）。

　－Ｓ３１０：トラヒック特徴の選択
　変換装置１００（決定部１４０）は、分割後の通信フロー（即ち、上記複数の通信フロー）が適合する上記トラヒック特徴を選択する（Ｓ３１０）。

　－－トラヒック特徴
　上記トラヒック特徴は、例えば、パケットサイズ（ｂｉｔ）及び／又はパケット到着間隔（ｓ）を含む。当該パケットサイズ及び／又は当該パケット到着間隔は、例えば、パケットサイズ及び／又はパケット到着間隔の分布又は統計量（例えば、最大値、最小値、平均値、中央値、分散、標準偏差、尖度、及び／又は歪度等）であってもよい。

　上記トラヒック特徴は、周期（ｓ）及び／又は周期ごとのパケット列を含んでもよい。

　－－選択手法
　例えば、変換装置１００（決定部１４０）は、事前準備で取得した情報（即ち、端末種別、ＱｏＳ指標及び／又はトラヒック特徴）に基づいて、分割後の通信フローが適合するトラヒック特徴を選択する。

　－－－ＱｏＳ指標の設定
　具体的には、例えば、まず、変換装置１００（決定部１４０）は、事前準備で取得した送信元の装置２０についてのＱｏＳ指標（以下、「第１のＱｏＳ指標」と呼ぶ）に基づいて、分割後の通信フローについてのＱｏＳ指標（以下、「第２のＱｏＳ指標」と呼ぶ）を設定する。当該第１のＱｏＳ指標は、送信元の装置２０からの元の通信フローのＱｏＳ指標とも言える。

　例えば、上記第２のＱｏＳ指標（即ち、分割後の通信フローについてのＱｏＳ指標）は、上記第１のＱｏＳ指標（即ち、送信元の装置２０からの元の通信フローのＱｏＳ指標）とは異なる。より具体的には、例えば、上記第１のＱｏＳ指標は、リアルタイム性を求めるサービス品質に対応し、上記第２のＱｏＳ指標は、リアルタイム性を求めないサービス品質に対応する。

　一例として、上記第１のＱｏＳ指標が、遅延センシティブであり、上記第２のＱｏＳ指標は、遅延ロバストに設定されてもよい。別の例として、上記第１のＱｏＳ指標が、遅延時間１００ｍｓ以内であり、上記第２のＱｏＳ指標は、遅延時間１ｓ以上に設定されてもよい。

　このような設定により、例えば、あるサービスを別のサービスと見せかけることができる。より具体的には、例えば、リアルタイム性を要求するサービスを非リアルタイムのサービスと見せかけることができる。

　－－－トラヒック特徴の選択
　さらに、例えば、変換装置１００（決定部１４０）は、上記第２のＱｏＳ指標（即ち、分割後の通信フローについてのＱｏＳ指標）に基づいて、分割後の通信フローが適合する上記トラヒック特徴を選択する。

　一例として、変換装置１００（決定部１４０）は、上記第２のＱｏＳ指標（即ち、分割後の通信フローについてのＱｏＳ指標）と同じＱｏＳ指標に紐付けられた端末種別のうちの１つをランダムで選択してもよく、当該１つの端末種別に紐付けられたトラヒック特徴を、分割後の通信フローが適合する上記トラヒック特徴として選択してもよい。例えば、送信元の装置２０がネットワークカメラである場合に、上記第１のＱｏＳ指標が遅延センシティブであってもよく、上記第２のＱｏＳ指標が遅延ロバストに設定されてもよい。この場合に、遅延ロバストに紐付けられた温度センサの型番（端末種別）が選択されてもよく、当該温度センサの型番（端末種別）に紐付けられたトラヒック特徴が選択されてもよい。

　別の例として、変換装置１００（決定部１４０）は、上記第２のＱｏＳ指標（例えば、遅延時間１ｓ以上）に最も近いトラヒック特徴を選択してもよい。

　さらに別の例として、変換装置１００（決定部１４０）は、上記第２のＱｏＳ指標と同じＱｏＳ指標に紐付けられたトラヒック特徴の平均値を算出し、当該平均値を、分割後の通信フローが適合する上記トラヒック特徴として選択してもよい。

　なお、１つのトラヒック特徴ではなく、２つ以上のトラヒック特徴が選択されてもよい。即ち、分割後の通信フロー（即ち、上記複数の通信フロー）は、２つ以上のトラヒック特徴の各々に適合する１つ以上の通信フローを含んでもよい。一例として、分割後の通信フロー（即ち、上記複数の通信フロー）は、第１のトラヒック特徴（例えば、第１の温度センサのトラヒック特徴）に適合する１つ以上の通信フローと、第２のトラヒック特徴（例えば、第２の温度センサのトラヒック特徴）に適合する１つ以上の通信フローとを含んでもよい。

　－Ｓ３２０：通信フロー数の算出
　変換装置１００（決定部１４０）は、上記選択されたトラヒック特徴に基づいて、分割後の通信フローの数を決定する（Ｓ３２０）。

　例えば、変換装置１００（決定部１４０）は、上記選択されたトラヒック特徴を実現可能な通信フローの数を決定する。換言すると、変換装置１００（決定部１４０）は、上記元の通信フローの復元に必要な分割後の通信フロー（上記選択されたトラヒック特徴に適合するもの）の数を決定する。

　より具体的には、例えば、分割後の通信フローの数（Ｍ）は、［元の通信フローの周期内のパケット数］（ｘ）を［選択されたトラヒック特徴の実現に必要な周期内のパケット数］（Ｎ）で割った結果を切り上げることにより得られる数である。即ち、分割後の通信フローの数（Ｍ）は、以下の式により得られる。

　あるいは、分割後の通信フローの数（Ｍ）は、以下の式を満たす最小の整数とも言える。

　なお、上述したように、１つのトラヒック特徴ではなく、２つ以上のトラヒック特徴が選択されてもよい。この場合に、上記元の通信フローの復元のために、当該２つ以上のトラヒック特徴の各々に適合する通信フローがいくつ必要であるか、という組合せ問題が解かれてもよい。例えば、上記２つ以上のトラヒック特徴の各々が、インデックスｉにより示され、トラヒック特徴ｉの実現に必要な周期内のパケット数が、Ｎｉにより示され、トラヒック特徴ｉに適合する通信フローの数が、Ｍｉにより示され、上記元の通信フローの周期内のパケット数が、ｘにより示される場合に、Ｍｉは、以下の式を満たす最小の整数となる。

　－Ｓ３３０：アドレス情報の決定
　変換装置１００（決定部１４０）は、分割後の通信フローのアドレス情報を決定する（Ｓ３３０）。当該アドレス情報は、分割後の通信フローの各々のＩＰアドレス及びポート番号を含む。

　上述したように、例えば、通信フローは、同一のＩＰアドレス及び同一のポート番号を含む一連のパケット（一連のデータ）を意味する。即ち、通信フローは、ＩＰアドレス及びポート番号により識別される。例えば、当該ポート番号は、ＴＣＰ（Transmission　Control　Protocol）又はＵＤＰ（User　Datagram　Protocol）のポート番号である。

　上記複数の通信フロー（即ち、分割後の通信フロー）は、復元装置２００へ送信される。よって、上記複数の通信フローの各々の宛先ＩＰアドレスは、復元装置２００のＩＰアドレスとなる。

　一方、上記複数の通信フロー（即ち、分割後の通信フロー）の各々は、上記複数の通信フローに含まれる他のいずれの通信フローとも異なる通信フローである。よって、上記複数の通信フローの各々の送信元ＩＰアドレス、送信元ポート番号、及び／又は宛先のポート番号は、通信フロー固有の値となる。

　一例として、分割後の通信フローの数が１００である場合に、当該分割後の通信フローの送信元ポート番号は、２０００１～２０１００となる。例えば、当該分割後の通信フローの送信元ポート番号も、通信フロー固有のポート番号となる。さらに、送信元ＩＰアドレスも、通信フロー固有のＩＰアドレスとなってもよい。なお、通信フロー固有のポート番号又は通信フロー固有のＩＰアドレスは、連続した値ではなく、ランダムに選択された値であってもよい。

　－Ｓ３４０：送信タイミングの決定
　変換装置１００（決定部１４０）は、分割後の上記複数の通信フローの各々について送信タイミングを決定する（Ｓ３４０）。

　具体的には、例えば、変換装置１００（決定部１４０）は、分割後の上記複数の通信フローの各々の送信タイミングが上記選択されたトラヒック特徴に適合するように、分割後の上記複数の通信フローの各々の送信タイミングを決定する。

　図９は、第１の実施形態に係る分割後の個々の通信フローの送信タイミング決定方法の例を示す。図９の例では、元の通信フロー（ＯＲＩＧＩＮＡＬ　ＦＬＯＷ）は、４つの通信フロー（ＦＬＯＷ　１～４）に分割される。元の通信フローについては、通信品質の揺らぎ等により必ずしも周期ごとに同じ間隔でパケットが到達するとは限らないため、パケットは一時的にバッファに格納され得る。通信フロー１のためのパケットが元の通信フローにおいて到達すると、当該パケットは、通信フロー１に属するパケットとして送信される。次に、通信フロー２のためのパケットが元の通信フローにおいて到達すると、当該パケットは、通信フロー２に属するパケットとして送信される。通信フロー３及び通信フロー４も同様に送信される。例えば、通信フロー１の送信タイミングは、周期の開始時点であり、通信フロー２の送信タイミングは、周期の開始時点から時間４１だけ後の時点であり、通信フロー３の送信タイミングは、周期の開始時点から時間４３だけ後の時点であり、通信フロー４の送信タイミングは、周期の開始時点から時間４５だけ後の時点である。

　変換装置１００（決定部１４０）により決定される分割後の通信フローの送信タイミングは、図９に示されるような具体的なタイミング（時間４１、時間４３及び時間４５）であってもよい。

　（３）通信フローの変換と復元
　図１０は、第１の実施形態に係る通信フローの変換及び復元の処理の概略的な流れの例を説明するためのシーケンス図である。

　－Ｓ４１０
　送信元の装置２０は、元の通信フローに属するパケット（即ち、送信元の装置２０内で稼働するアプリケーションにより生成されるデータのパケット）を送信する（Ｓ４１０）。変換装置１００（受信部１１０）は、当該元の通信フローに属する当該パケットを受信する。

　－Ｓ４２０
　変換装置１００（変換部１２０）は、送信元の装置２０からの上記元の通信フローを、選択されたトラヒック特徴に適合する複数の通信フローに分割する（Ｓ４２０）。

　例えば、図８を参照して説明したように、変換装置１００（決定部１４０）は、トラヒック特徴を選択し、当該トラヒック特徴に基づいて変換ポリシーを決定する。変換装置１００（変換部１２０）は、当該変換ポリシーにしたがって、上記元の通信フローを複数の通信フローに分割する。

　例えば、上記変換ポリシーは、分割後の通信フローの数を含み、変換装置１００（変換部１２０）は、上記元の通信フローを当該数の通信フローに分割する。

　例えば、上記変換ポリシーは、分割後の通信フローのアドレス情報（ＩＰアドレス及びポート番号）を含み、変換装置１００（変換部１２０）は、当該アドレス情報にしたがって、上記複数の通信フローの各々に、ＩＰアドレス及びポート番号を設定する。とりわけ、変換装置１００（変換部１２０）は、上記複数の通信フローの各々において、通信フロー固有の送信元ＩＰアドレス、通信フロー固有の送信元ポート番号、及び／又は、通信フロー固有の宛先ポート番号を設定する。なお、変換装置１００（変換部１２０）は、上記複数の通信フローの各々において、宛先ＩＰアドレスを復元装置２００のＩＰアドレスに設定する。

　このように、上記トラヒック特徴に基づいて決定された上記変換ポリシーにしたがって上記元の通信フローが上記複数の通信フローに分割されるので、上記複数の通信フローに関する通信トラヒックの特徴は、上記トラヒック特徴に適合する。

　－Ｓ４３０
　変換装置１００（送信部１３０）は、上記複数の通信フローの各々に属するパケットを復元装置２００へ送信する（Ｓ４３０）。

　例えば、変換装置１００（送信部１３０）は、上記選択されたトラヒック特徴に適合するタイミングで、上記複数の通信フローの各々に属するパケットを復元装置２００へ送信する。例えば、上記変換ポリシーは、分割後の通信フローの各々に属する個々のパケットの送信タイミングを含み、変換装置１００（送信部１３０）は、当該送信タイミングにしたがって、上記複数の通信フローの各々に属するパケットを復元装置２００へ送信する。

　復元装置２００（受信部２１０）は、上記複数の通信フローの各々に属するパケットを受信する。

　－Ｓ４４０
　復元装置２００（復元部２２０）は、上記複数の通信フローを上記元の通信フローに復元する（Ｓ４４０）。

　例えば、変換装置１００（送信部１３０）は、上記変換ポリシーを復元装置２００へ送信する。復元装置２００（復元部２２０）は、上記変換ポリシーにしたがって、上記複数の通信フローを上記元の通信フローに復元する。

　例えば、上記変換ポリシーは、分割後の通信フローのアドレス情報（ＩＰアドレス及びポート番号）と、元の通信フローのアドレス情報（ＩＰアドレス及びポート番号）とを含む。復元装置２００（復元部２２０）は、分割後の通信フロー（即ち、上記複数の通信フロー）のアドレス情報を、元の通信フローのアドレス情報に置き換える。

　－Ｓ４５０
　復元装置２００（送信部２３０）は、上記元の通信フローに属するパケット（即ち、復元されたトラヒック）を宛先の装置３０へ送信する（Ｓ４５０）。宛先の装置３０は、上記元の通信フローに属する上記パケットを受信する。

　（４）効果

　以上のように、元の通信フローの分割と復元が行われる。これにより、例えば、通信トラヒックの分析による送信元についての推定を誤らせることが可能になる。

　具体的には、通信トラヒックに基づく送信元についての推定は、パケット送信間隔及びパケットサイズ等の通信トラヒックの特徴の統計量を分析することによって行われる。そのため、例えば、図１１に示されるように、送信元の装置２０（例えば、ネットワークカメラ）が、リアルタイム性を要求するトラヒック（例えば、動画トラヒック）を宛先の装置３０へ送信する場合、ネットワーク１０において当該トラヒックの特徴の統計量が分析され、リアルタイム性を要求するトラヒックが送信元の装置２０から送信されていると推定され得る。一方、第１の実施形態によれば、図１２に示されるように、リアルタイム性を要求するトラヒック（例えば、動画トラヒック）は、例えば、リアルタイム性を要求しないトラヒック（例えば、センサトラヒック）と同様のトラヒックに分割される。そのため、ネットワーク１０では、分割後のトラヒックの特徴の統計量が分析され、リアルタイム性を要求しないトラヒックが送信されていると誤って推定され得る。

　換言すると、トラヒック特徴（例えば、パケット送信間隔及び／又はパケットサイズ等）が変換されるように通信フローを分割することにより、元のトラヒック（例えば、リアルタイム性を要求するトラヒック）を他のトラヒック（例えば、リアルタイム性を要求しない他のトラヒック）に見せかけることができる。即ち、通信フローを分割し、フロー単位のトラヒック量を削減することにより、高頻度な通信を低頻度な通信に見せかけることができる。よって、通信トラヒック分析による送信元についての誤推定を誘発することができる。

　＜１．５．第１の変形例＞
　第１の実施形態の上述した例では、元の通信フローが複数の通信フローに分割される。例えば、当該元の通信フローの周期内におけるパケット数が通信フロー数の整数倍であれば、当該元の通信フロー内のパケットを過不足なく複数のフローに割り当てることができる。

　しかし、元の通信フローの周期内におけるパケット数がフロー数の整数倍であることは多くない。この場合に、分割後の通信フローの中には、パケット数が少ない通信フローが存在し、当該通信フローは、選択されたトラヒック特徴（特に、パケット到着間隔）に良好に適合しなくなり得る。その結果、誤推定を正確に誘発することが困難になり得る。

　そこで、第１の実施形態の第１の変形例では、変換装置１００（変換部１２０）は、上記複数の通信フロー（即ち、分割後の通信フロー）に含まれる通信フローのトラヒック特徴が、上記選択されたトラヒック特徴に含まれるパケット到着間隔に適合するように、当該通信フローにダミーパケットを追加する。

　より具体的には、例えば、上記複数の通信フロー（即ち、分割後の通信フロー）に含まれる通信フロー内の単位時間あたりのパケット数が、上記選択されたトラヒック特徴に含まれるパケット到着間隔（例えば、分布又は統計量）に対応するパケット数よりも小さい場合に、変換装置１００（変換部１２０）は、当該通信フローにダミーパケットを追加する。即ち、上記複数の通信フローのうち、単位時間あたりのパケット数が上記選択されたトラヒック特徴に含まれるパケット到着間隔に対応するパケット数よりも小さい通信フローに、ダミーパケットが追加される。上記ダミーパケットは、当該通信フローに含まれるパケットと同じアドレス情報をもつ。

　このようなダミーパケットの追加（即ち、パケットパディング）により、例えば、上記複数の通信フロー（即ち、分割後の通信フロー）に含まれる通信フローが上記選択されたトラヒック特徴（特に、パケット到着間隔）に適合するようになる。そのため、通信トラヒックの分析による誤推定が正確に誘発され得る。

　なお、ダミーパケットが追加される場合、復元装置２００（復元部２２０）は、上記複数の通信フロー（即ち、分割後の通信フロー）を上記元の通信フローに復元するときに、上記ダミーパケットを破棄する。このようなダミーパケットの破棄を可能にするために、変換装置１００（変換部１２０）は、上記ダミーパケットのヘッダ又はペイロード（例えば、末尾の数ビット）に識別情報を付与する。復元装置２００（復元部２２０）は、当該識別情報を含むパケットをダミーパケットとして識別し、当該パケット（即ち、ダミーパケット）を破棄する。

　＜１．６．第２の変形例＞
　サイズが大きいデータが送信元の装置２０により送信される場合、当該データは、ネットワークで処理可能なパケットの最大サイズであるＭＴＵ（Maximum　Transmission　Unit）にフラグメントされる。この場合、送信元の装置２０により送信されるパケットのサイズの分布は、ＭＴＵに偏っている。

　一方、送信元の装置２０により送信されるパケットのサイズの分布がＭＴＵに偏っていない可能性もある。例えば、温度センサ等の環境センサは、ＭＴＵよりもサイズが小さい（例えば、数バイト～数百バイト程度）データを送信する。このような場合に、送信元の装置２０からの通信フローに適合するトラヒック特徴の候補（特に、パケットサイズ）がなく、当該通信フローに適合するトラヒック特徴を選択することが困難になる可能性がある。また、その逆も起こりえる。即ち、トラヒック特徴の候補におけるパケットサイズが小さいため、送信元の装置２０からの通信フローに適合するトラヒック特徴の候補（特に、パケットサイズ）がなく、当該通信フローに適合するトラヒック特徴を選択することが困難になる可能性がある。

　そこで、第１の実施形態の第２の変形例では、変換装置１００（変換部１２０）は、上記複数の通信フロー（即ち、分割後の通信フロー）に含まれる通信フローのトラヒック特徴が、上記選択されたトラヒック特徴に含まれるパケットサイズに適合するように、上記元の通信フローに属するパケットに対して特定の処理（例えば、パケットの分割、ダミービットの追加、又は、パケットの集約）を行う。

　なお、上記特定の処理が行われる場合、復元装置２００（復元部２２０）は、上記複数の通信フロー（即ち、分割後の通信フロー）を上記元の通信フローに復元するときに、当該特定の処理に対応する復元処理も行う。このような復元処理を可能にするために、変換装置１００（変換部１２０）は、上記特定の処理により生成されたパケットのヘッダ又はペイロード（例えば、末尾の数ビット）に識別情報を付与する。復元装置２００（復元部２２０）は、当該識別情報を含むパケットを、上記特定の処理により生成されたパケットとして識別し、当該パケットに対して上記復元処理を行う。上記識別情報は、上記特定の処理の内容に応じた識別情報であってもよく、復元装置２００（復元部２２０）は、上記識別情報に基づいて、上記特定の処理の内容を識別してもよい。

　（１）第１の例：パケットの分割
　第１の例として、変換装置１００（変換部１２０）は、上記複数の通信フロー（即ち、分割後の通信フロー）に含まれる通信フローのトラヒック特徴が、上記選択されたトラヒック特徴に含まれるパケットサイズに適合するように、上記元の通信フローに属するパケットを複数のパケットに分割してもよい。

　具体的には、例えば、上記元の通信フローに属するパケットのサイズ（例えば、分布又は統計量）が、上記選択されたトラヒック特徴に含まれるパケットサイズ（例えば、分布又は統計量）よりも大きい場合に、変換装置１００（変換部１２０）は、上記元の通信フローに属するパケットを複数のパケットに分割してもよい。

　一例として、変換装置１００（変換部１２０）は、上記選択されたトラヒック特徴に含まれるパケットサイズの分布の最大値を超えるパケットを、当該分布において発生確率が高いパケットサイズのパケットに分割してもよい。例えば、上記元の通信フローに属するパケットが１５００バイトのパケットであり、上記選択されたトラヒック特徴において、パケットサイズの平均が５００バイトであり、パケットサイズの最大値１０００バイトである場合に、上記元の通信フローの上記パケットは、５００バイトのパケットと１０００バイトのパケットとに分割されてもよい。あるいは、上記元の通信フローの上記パケットは、７５０バイトの２つのパケットに分割されてもよい。

　別の例として、変換装置１００（変換部１２０）は、上記選択されたトラヒック特徴に含まれるパケットサイズの分布の最大値を超えるパケットを、確率的に選択されたパケットに分割してもよい。例えば、上記元の通信フローの１０個のパケットが到着し、当該１０個のパケットの各々のサイズが８００バイトである場合に、当該１０個のパケットの中から４個のパケットが選択され、当該４個のパケットの各々が、５００バイトのパケットと３００バイトのパケットとに分割されてもよい。これにより、例えば、分割後の通信フローのトラヒック特徴をより自然な確率分布に近づけることが可能になる。

　例えば以上のようにパケットの分割が行われてもよい。これにより、例えば、パケットのサイズがより小さくなり、分割後の通信フローに属するパケットが、上記選択されたトラヒック特徴に含まれるパケットサイズに適合するようになる。そのため、通信トラヒックの分析による誤推定が正確に誘発され得る。

　なお、復元装置２００における復元処理のために、変換装置１００（変換部１２０）は、上記複数のパケット（即ち、分割後のパケット）の各々のヘッダ又はペイロード（例えば、末尾の数ビット）に識別情報を付与してもよい。当該識別情報は、元のパケットと、当該元のパケットにおける順序とを示してもよい。

　（２）第２の例：ダミービットの追加
　第２の例として、変換装置１００（変換部１２０）は、上記複数の通信フロー（即ち、分割後の通信フロー）に含まれる通信フローのトラヒック特徴が、上記選択されたトラヒック特徴に含まれるパケットサイズに適合するように、上記元の通信フローに属するパケットにダミービットを追加してもよい。

　具体的には、例えば、上記元の通信フローに属するパケットのサイズ（例えば、分布又は統計量）が、上記選択されたトラヒック特徴に含まれるパケットサイズ（例えば、分布又は統計量）よりも小さい場合に、変換装置１００（変換部１２０）は、上記元の通信フローに属するパケットにダミービットを追加してもよい。

　一例として、変換装置１００（変換部１２０）は、上記元の通信フローに属するパケットのサイズが、上記選択されたトラヒック特徴に含まれるパケットサイズの平均値になるように、上記元の通信フローの上記パケットにダミービットを追加してもよい。

　例えば以上のようにダミービットの追加が行われてもよい。これにより、例えば、パケットのサイズがより大きくなり、分割後の通信フローに属するパケットが、上記選択されたトラヒック特徴に含まれるパケットサイズに適合するようになる。そのため、通信トラヒックの分析による誤推定が正確に誘発され得る。

　なお、復元装置２００における復元処理のために、変換装置１００（変換部１２０）は、ダミービットが追加された各パケットのヘッダ又はペイロード（例えば、末尾の数ビット）に識別情報を付与してもよい。当該識別情報は、追加されたビットの数、及び、追加されたビットの位置（例えばパケットの末尾等）を示してもよい。

　（３）第３の例：パケットの集約
　第３の例として、変換装置１００（変換部１２０）は、上記複数の通信フロー（即ち、分割後の通信フロー）に含まれる通信フローのトラヒック特徴が、上記選択されたトラヒック特徴に含まれるパケットサイズに適合するように、上記元の通信フローに属するパケットと１つ以上の他のパケットとを集約してもよい。即ち、変換装置１００（変換部１２０）は、上記元の通信フローの当該パケットと当該１つ以上の他のパケットとを含む集約パケットを生成してもよい。

　上記１つ以上の他のパケットは、上記元の通信フローとは異なる他の元の通信フローに属するパケットであってもよい。即ち、複数の元の通信フローからのパケットが集約されてもよい。さらに、上記他の元の通信フローは、他の送信元の装置２０の通信フローであってもよい。即ち、複数の送信元の装置２０からのパケットが集約されてもよい。

　具体的には、例えば、上記元の通信フローに属するパケットのサイズ（例えば、分布又は統計量）が、上記選択されたトラヒック特徴に含まれるパケットサイズ（例えば、分布又は統計量）よりも小さい場合に、変換装置１００（変換部１２０）は、上記元の通信フローの上記パケットと、上記１つ以上の他のパケットとを集約してもよい。

　一例として、変換装置１００（変換部１２０）は、集約パケットのサイズが、上記選択されたトラヒック特徴に含まれるパケットサイズの平均値になるように、上記元の通信フローの上記パケットと、上記１つ以上の他のパケットとを集約してもよい。

　例えば以上のようにパケットの集約が行われてもよい。これにより、例えば、パケットのサイズがより大きくなり、分割後の通信フローに属するパケットが、上記選択されたトラヒック特徴に含まれるパケットサイズに適合するようになる。そのため、通信トラヒックの分析による誤推定が正確に誘発され得る。また、分割後の通信フローには、例えば複数の装置からの通信フローが混在するようになるので、個々の送信元の装置２０についての推定がさらに難しくなり得る。

　なお、復元装置２００における復元処理のために、変換装置１００（変換部１２０）は、集約パケットのヘッダ又はペイロード（例えば、末尾の数ビット）に識別情報を付与してもよい。当該識別情報は、上記集約パケットにおける複数のパケット間の区切りを示してもよい。

　＜１．７．第３の変形例＞
　第１の実施形態の上述した例では、変換装置１００（変換部１２０）が送信元の装置２０からの元の通信フローを複数の通信フローに分割することを説明した。これにより、元のトラヒック（例えば、リアルタイム性を要求するトラヒック）を他のトラヒック（例えば、リアルタイム性を要求しない他のトラヒック）に見せかけることができる。しかし、第１の実施形態はこの例に限定されない。

　第１の実施形態の第３の変形例では、変換装置１００（変換部１２０）は、送信元の装置２０からの複数の元の通信フローを集約する。変換装置１００（変換部１２０）は、単一の送信元の装置２０からの複数の元の通信フローを集約してもよく、複数の送信元の装置２０からの複数の元の通信フローを集約してもよい。さらに、変換装置１００（送信部１３０）は、集約後の通信フローを復元装置２００へ送信する。

　これによっても、元のトラヒックを他のトラヒックに見せかけることができる。そのため、誤推定が正確に誘発され得る。

　＜１．８．第４の変形例＞
　第１の実施形態の上述した例では、変換装置１００は、送信元の装置２０とは異なる装置であり、復元装置２００は、宛先の装置３０とは異なる装置である。しかしながら、第１の実施形態はこの例に限定されない。

　第１の実施形態の第４の変形例では、変換装置１００は、送信元の装置２０であってもよい。即ち、変換装置１００の動作又は機能は、送信元の装置２０において実装されてもよい。

　さらに／あるいは、第１の実施形態の第４の変形例では、復元装置２００は、宛先の装置３０であってもよい。即ち、復元装置２００の動作又は機能は、宛先の装置３０において実装されてもよい。

　＜＜２．第２の実施形態＞＞
　図１３～図１８を参照して、本開示の第２の実施形態を説明する。上述した第１の実施形態は、具体的な実施形態であるが、第２の実施形態は、より一般化された実施形態である。

　＜２．１．システムの構成＞
　図１３は、第２の実施形態に係るシステム２の概略的な構成の一例を示す。図２を参照すると、システム２は、ネットワーク５０、変換装置６００及び復元装置７００を含む。

　ネットワーク５０、変換装置６００及び復元装置７００についての説明は、例えば、符号の相違を除き、第１の実施形態に係るネットワーク１０、変換装置１００及び復元装置２００についての説明と同じである。よって、ここでは重複する説明を省略する。

　なお、当然ながら、第２の実施形態に係るネットワーク５０、変換装置６００及び復元装置７００は、この例に限定されない。

　＜２．２．変換装置の構成＞
　（１）機能構成
　図１４は、第２の実施形態に係る変換装置６００の概略的な機能構成の例を示すブロック図である。図１４を参照すると、変換装置６００は、変換部６１０及び送信部６２０を備える。

　変換部６１０及び送信部６２０についての説明は、例えば、符号の相違を除き、第１の実施形態に係る変換部１２０及び送信部１３０についての説明と同じである。よって、ここでは重複する説明を省略する。

　なお、当然ながら、第２の実施形態に係る変換部６１０及び送信部６２０は、この例に限定されない。

　（２）ハードウェア構成
　図１５は、第２の実施形態に係る変換装置６００の概略的なハードウェア構成の例を示すブロック図である。図１５を参照すると、変換装置６００は、プロセッサ６８１、メインメモリ６８３、ストレージ６８５、通信インターフェイス６８７及び入出力インターフェイス６８９を備える。プロセッサ６８１、メインメモリ６８３、ストレージ６８５、通信インターフェイス６８７及び入出力インターフェイス６８９は、バス６９１を介して互いに接続されている。

　変換装置６００のハードウェア構成についての説明は、例えば、符号の相違を除き、第１の実施形態に係る変換装置１００のハードウェア構成についての説明と同じである。よって、ここでは重複する説明を省略する。

　なお、当然ながら、第２の実施形態に係る変換装置６００のハードウェア構成は、この例に限定されない。

＜２．３．復元装置の構成＞
　（１）機能構成
　図１６は、第２の実施形態に係る復元装置７００の概略的な機能構成の例を示すブロック図である。図１６を参照すると、復元装置７００は、受信部７１０及び復元部７２０を備える。

　受信部７１０及び復元部７２０についての説明は、例えば、符号の相違を除き、第１の実施形態に係る受信部２１０及び復元部２２０についての説明と同じである。よって、ここでは重複する説明を省略する。

　なお、当然ながら、第２の実施形態に係る受信部７１０及び復元部７２０は、この例に限定されない。

　（２）ハードウェア構成
　図１７は、第２の実施形態に係る復元装置７００の概略的なハードウェア構成の例を示すブロック図である。図１７を参照すると、復元装置７００は、プロセッサ７８１、メインメモリ７８３、ストレージ７８５、通信インターフェイス７８７及び入出力インターフェイス７８９を備える。プロセッサ７８１、メインメモリ７８３、ストレージ７８５、通信インターフェイス７８７及び入出力インターフェイス７８９は、バス７９１を介して互いに接続されている。

　復元装置７００のハードウェア構成についての説明は、例えば、符号の相違を除き、第１の実施形態に係る復元装置２００のハードウェア構成についての説明と同じである。よって、ここでは重複する説明を省略する。

　なお、当然ながら、第２の実施形態に係る復元装置７００のハードウェア構成は、この例に限定されない。

＜２．４．動作例＞
　図１８は、第２の実施形態に係る通信フローの変換及び復元の処理の概略的な流れの例を説明するためのシーケンス図である。

　変換装置６００（変換部６１０）は、送信元の装置からの元の通信フローを、選択されたトラヒック特徴に適合する複数の通信フローに分割する（Ｓ８１０）。

　変換装置１００（送信部６２０）は、復元装置２００へ上記複数の通信フローの各々に属するパケットを送信する（Ｓ８２０）。復元装置２００（受信部７１０）は、上記複数のフローの各々に属する上記パケットを受信する。

　復元装置２００（復元部７２０）は、上記複数の通信フローを上記元の通信フローに復元する（Ｓ８３０）。

　このような通信フローの変換及び復元についての説明は、例えば、符号の相違を除き、第１の実施形態に係る通信フローの変換及び復元についての説明と同じである。よって、ここでは重複する説明を省略する。

　以上のように、元の通信フローの変換（即ち、分割）と復元が行われる。これにより、例えば、通信トラヒックの分析による送信元についての推定を誤らせることが可能になる。

　以上、本開示の実施形態を説明したが、本開示はこれらの実施形態に限定されるものではない。これらの実施形態は例示にすぎないということ、及び、本開示のスコープ及び精神から逸脱することなく様々な変形が可能であるということは、当業者に理解されるであろう。

　例えば、本明細書に記載されている処理におけるステップは、必ずしもフローチャート又はシーケンス図に記載された順序に沿って時系列に実行されなくてよい。例えば、処理におけるステップは、フローチャート又はシーケンス図として記載した順序と異なる順序で実行されても、並列的に実行されてもよい。また、処理におけるステップの一部が削除されてもよく、さらなるステップが処理に追加されてもよい。

　また、本明細書において説明した変換装置又は復元装置の構成要素の処理を含む方法が提供されてもよく、当該構成要素の処理をプロセッサに実行させるためのプログラムが提供されてもよい。また、当該プログラムを記録したコンピュータに読み取り可能な非一時的記録媒体（Non-transitory　computer　readable　recording　medium）が提供されてもよい。当然ながら、このような方法、プログラム、及びコンピュータに読み取り可能な非一時的記録媒体も本開示に含まれる。

　上記実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。

（付記１）
　送信元の装置からの元の通信フローを、選択されたトラヒック特徴に適合する複数の通信フローに分割することと、
　前記複数の通信フローを前記元の通信フローに復元する復元装置へ、前記複数の通信フローの各々に属するパケットを送信することと、
を含む方法。

（付記２）
　前記選択されたトラヒック特徴は、前記元の通信フローについての第１のサービス品質指標とは異なる第２のサービス品質指標に基づいて選択されるトラヒック特徴である、付記１に記載の方法。

（付記３）
　前記第１のサービス品質指標は、リアルタイム性を求めるサービス品質に対応し、
　前記第２のサービス品質指標は、リアルタイム性を求めないサービス品質に対応する、
付記２に記載の方法。

（付記４）
　前記複数の通信フローの各々に属するパケットは、前記選択されたトラヒック特徴に適合するタイミングで、前記復元装置へ送信される、付記１～３のいずれか１項に記載の方法。

（付記５）
　前記複数の通信フローの各々において、通信フロー固有の送信元ＩＰ（Internet　Protocol）アドレス、通信フロー固有の送信元ポート番号、又は通信フロー固有の宛先ポート番号を設定すること、をさらに含む、付記１～４のいずれか１項に記載の方法。

（付記６）
　前記選択されたトラヒック特徴は、パケット到着間隔を含み、
　前記複数の通信フローに含まれる通信フローのトラヒック特徴が前記パケット到着間隔に適合するように、当該通信フローにダミーパケットを追加すること、
をさらに含む、付記１～５のいずれか１項に記載の方法。

（付記７）
　前記選択されたトラヒック特徴は、パケットサイズを含み、
　前記複数の通信フローに含まれる通信フローのトラヒック特徴が前記パケットサイズに適合するように、前記元の通信フローに属するパケットを複数のパケットに分割し、又は、前記元の通信フローに属するパケットにダミービットを追加し、又は、前記元の通信フローに属するパケットと１つ以上の他のパケットとを集約すること、
をさらに含む、付記１～６のいずれか１項に記載の方法。

（付記８）
　変換装置と、
　復元装置と、
を含み、
　前記変換装置は、
　　送信元の装置からの元の通信フローを、選択されたトラヒック特徴に適合する複数の通信フローに分割し、
　　前記複数の通信フローの各々に属するパケットを前記復元装置へ送信し、
　前記復元装置は、
　　前記複数の通信フローの各々に属する前記パケットを受信し、
　　前記複数の通信フローを前記元の通信フローに復元する、
システム。

（付記９）
　前記選択されたトラヒック特徴は、前記元の通信フローについての第１のサービス品質指標とは異なる第２のサービス品質指標に基づいて選択されるトラヒック特徴である、付記８に記載のシステム。

（付記１０）
　前記第１のサービス品質指標は、リアルタイム性を求めるサービス品質に対応し、
　前記第２のサービス品質指標は、リアルタイム性を求めないサービス品質に対応する、
付記９に記載のシステム。

（付記１１）
　前記変換装置は、前記選択されたトラヒック特徴に適合するタイミングで、前記複数の通信フローの各々に属するパケットを前記復元装置へ送信する、付記８～１０のいずれか１項に記載のシステム。

（付記１２）
　前記変換装置は、前記複数の通信フローの各々において、通信フロー固有の送信元ＩＰ（Internet　Protocol）アドレス、通信フロー固有の送信元ポート番号、又は通信フロー固有の宛先ポート番号を設定する、付記８～１１のいずれか１項に記載のシステム。

（付記１３）
　前記選択されたトラヒック特徴は、パケット到着間隔を含み、
　前記変換装置は、前記複数の通信フローに含まれる通信フローのトラヒック特徴が前記パケット到着間隔に適合するように、当該通信フローにダミーパケットを追加する、
付記８～１２のいずれか１項に記載のシステム。

（付記１４）
　前記選択されたトラヒック特徴は、パケットサイズを含み、
　前記変換装置は、前記複数の通信フローに含まれる通信フローのトラヒック特徴が前記パケットサイズに適合するように、前記元の通信フローに属するパケットを複数のパケットに分割し、又は、前記元の通信フローに属するパケットにダミービットを追加し、又は、前記元の通信フローに属するパケットと１つ以上の他のパケットとを集約する、
付記８～１３のいずれか１項に記載のシステム。

（付記１５）
　送信元の装置からの元の通信フローを、選択されたトラヒック特徴に適合する複数の通信フローに分割する変換部と、
　前記複数の通信フローを前記元の通信フローに復元する復元装置へ、前記複数の通信フローの各々に属するパケットを送信する送信部と、
を備える変換装置。

（付記１６）
　前記選択されたトラヒック特徴は、前記元の通信フローについての第１のサービス品質指標とは異なる第２のサービス品質指標に基づいて選択されるトラヒック特徴である、付記１５に記載の変換装置。

（付記１７）
　前記第１のサービス品質指標は、リアルタイム性を求めるサービス品質に対応し、
　前記第２のサービス品質指標は、リアルタイム性を求めないサービス品質に対応する、
付記１６に記載の変換装置。

（付記１８）
　前記送信部は、前記選択されたトラヒック特徴に適合するタイミングで、前記複数の通信フローの各々に属するパケットを前記復元装置へ送信する、付記１５～１７のいずれか１項に記載の変換装置。

（付記１９）
　前記変換部は、前記複数の通信フローの各々において、通信フロー固有の送信元ＩＰ（Internet　Protocol）アドレス、通信フロー固有の送信元ポート番号、又は通信フロー固有の宛先ポート番号を設定する、付記１５～１８のいずれか１項に記載の変換装置。

（付記２０）
　前記選択されたトラヒック特徴は、パケット到着間隔を含み、
　前記変換部は、前記複数の通信フローに含まれる通信フローのトラヒック特徴が前記パケット到着間隔に適合するように、当該通信フローにダミーパケットを追加する、
付記１５～１９のいずれか１項に記載の変換装置。

（付記２１）
　前記選択されたトラヒック特徴は、パケットサイズを含み、
　前記変換部は、前記複数の通信フローに含まれる通信フローのトラヒック特徴が前記パケットサイズに適合するように、前記元の通信フローに属するパケットを複数のパケットに分割し、又は、前記元の通信フローに属するパケットにダミービットを追加し、又は、前記元の通信フローに属するパケットと１つ以上の他のパケットとを集約する、
付記１５～２０のいずれか１項に記載の変換装置。

（付記２２）
　送信元の装置からの元の通信フローを、選択されたトラヒック特徴に適合する複数の通信フローに分割することと、
　前記複数の通信フローを前記元の通信フローに復元する復元装置へ、前記複数の通信フローの各々に属するパケットを送信することと、
をプロセッサに実行させるプログラム。

（付記２３）
　送信元の装置からの元の通信フローを、選択されたトラヒック特徴に適合する複数の通信フローに分割することと、
　前記複数の通信フローを前記元の通信フローに復元する復元装置へ、前記複数の通信フローの各々に属するパケットを送信することと、
をプロセッサに実行させるプログラムを記録したコンピュータに読み取り可能な非一時的記録媒体。

（付記２４）
　変換装置において、
　　送信元の装置からの元の通信フローを、選択されたトラヒック特徴に適合する複数の通信フローに分割することと、
　　前記複数の通信フローの各々に属するパケットを復元装置へ送信することと、
　前記復元装置において、
　　前記複数の通信フローの各々に属する前記パケットを受信することと、
　　前記複数の通信フローを前記元の通信フローに復元することと、
を含む方法。

（付記２５）
　送信元の装置からの元の通信フローを、選択されたトラヒック特徴に適合する複数の通信フローに分割する変換装置から、当該複数の通信フローの各々に属するパケットを受信する受信部と、
　前記複数の通信フローを前記元の通信フローに復元する復元部と、
を備える復元装置。

（付記２６）
　送信元の装置からの元の通信フローを、選択されたトラヒック特徴に適合する複数の通信フローに分割する変換装置から、当該複数の通信フローの各々に属するパケットを受信することと、
　前記複数の通信フローを前記元の通信フローに復元することと、
を含む方法。

（付記２７）
　送信元の装置からの元の通信フローを、選択されたトラヒック特徴に適合する複数の通信フローに分割する変換装置から、当該複数の通信フローの各々に属するパケットを受信することと、
　前記複数の通信フローを前記元の通信フローに復元することと、
をプロセッサに実行させるプログラム。

（付記２８）
　送信元の装置からの元の通信フローを、選択されたトラヒック特徴に適合する複数の通信フローに分割する変換装置から、当該複数の通信フローの各々に属するパケットを受信することと、
　前記複数の通信フローを前記元の通信フローに復元することと、
をプロセッサに実行させるプログラムを記録したコンピュータに読み取り可能な非一時的記録媒体。

　１、２　　　　　システム
　１０　　　　　　ネットワーク
　２０　　　　　　送信元の装置
　３０　　　　　　宛先の装置
　１００、６００　変換装置
　１２０、６１０　変換部
　１３０、６２０　送信部
　２００、７００　復元装置
　２１０、７１０　受信部
　２２０、７２０　復元部

Claims

　送信元の装置からの元の通信フローを、選択されたトラヒック特徴に適合する複数の通信フローに分割することと、
　前記複数の通信フローを前記元の通信フローに復元する復元装置へ、前記複数の通信フローの各々に属するパケットを送信することと、
を含む方法。
　前記選択されたトラヒック特徴は、前記元の通信フローについての第１のサービス品質指標とは異なる第２のサービス品質指標に基づいて選択されるトラヒック特徴である、請求項１に記載の方法。
　前記第１のサービス品質指標は、リアルタイム性を求めるサービス品質に対応し、
　前記第２のサービス品質指標は、リアルタイム性を求めないサービス品質に対応する、
請求項２に記載の方法。
　前記複数の通信フローの各々に属するパケットは、前記選択されたトラヒック特徴に適合するタイミングで、前記復元装置へ送信される、請求項１～３のいずれか１項に記載の方法。
　前記複数の通信フローの各々において、通信フロー固有の送信元ＩＰ（Internet　Protocol）アドレス、通信フロー固有の送信元ポート番号、又は通信フロー固有の宛先ポート番号を設定すること、をさらに含む、請求項１～４のいずれか１項に記載の方法。
　前記選択されたトラヒック特徴は、パケット到着間隔を含み、
　前記複数の通信フローに含まれる通信フローのトラヒック特徴が前記パケット到着間隔に適合するように、当該通信フローにダミーパケットを追加すること、
をさらに含む、請求項１～５のいずれか１項に記載の方法。
　前記選択されたトラヒック特徴は、パケットサイズを含み、
　前記複数の通信フローに含まれる通信フローのトラヒック特徴が前記パケットサイズに適合するように、前記元の通信フローに属するパケットを複数のパケットに分割し、又は、前記元の通信フローに属するパケットにダミービットを追加し、又は、前記元の通信フローに属するパケットと１つ以上の他のパケットとを集約すること、
をさらに含む、請求項１～６のいずれか１項に記載の方法。
　変換装置と、
　復元装置と、
を含み、
　前記変換装置は、
　　送信元の装置からの元の通信フローを、選択されたトラヒック特徴に適合する複数の通信フローに分割し、
　　前記複数の通信フローの各々に属するパケットを前記復元装置へ送信し、
　前記復元装置は、
　　前記複数の通信フローの各々に属する前記パケットを受信し、
　　前記複数の通信フローを前記元の通信フローに復元する、
システム。
　前記選択されたトラヒック特徴は、前記元の通信フローについての第１のサービス品質指標とは異なる第２のサービス品質指標に基づいて選択されるトラヒック特徴である、請求項８に記載のシステム。
　前記第１のサービス品質指標は、リアルタイム性を求めるサービス品質に対応し、
　前記第２のサービス品質指標は、リアルタイム性を求めないサービス品質に対応する、
請求項９に記載のシステム。
　前記変換装置は、前記選択されたトラヒック特徴に適合するタイミングで、前記複数の通信フローの各々に属するパケットを前記復元装置へ送信する、請求項８～１０のいずれか１項に記載のシステム。
　前記変換装置は、前記複数の通信フローの各々において、通信フロー固有の送信元ＩＰ（Internet　Protocol）アドレス、通信フロー固有の送信元ポート番号、又は通信フロー固有の宛先ポート番号を設定する、請求項８～１１のいずれか１項に記載のシステム。
　前記選択されたトラヒック特徴は、パケット到着間隔を含み、
　前記変換装置は、前記複数の通信フローに含まれる通信フローのトラヒック特徴が前記パケット到着間隔に適合するように、当該通信フローにダミーパケットを追加する、
請求項８～１２のいずれか１項に記載のシステム。
　前記選択されたトラヒック特徴は、パケットサイズを含み、
　前記変換装置は、前記複数の通信フローに含まれる通信フローのトラヒック特徴が前記パケットサイズに適合するように、前記元の通信フローに属するパケットを複数のパケットに分割し、又は、前記元の通信フローに属するパケットにダミービットを追加し、又は、前記元の通信フローに属するパケットと１つ以上の他のパケットとを集約する、
請求項８～１３のいずれか１項に記載のシステム。
　送信元の装置からの元の通信フローを、選択されたトラヒック特徴に適合する複数の通信フローに分割する変換部と、
　前記複数の通信フローを前記元の通信フローに復元する復元装置へ、前記複数の通信フローの各々に属するパケットを送信する送信部と、
を備える変換装置。
　前記選択されたトラヒック特徴は、前記元の通信フローについての第１のサービス品質指標とは異なる第２のサービス品質指標に基づいて選択されるトラヒック特徴である、請求項１５に記載の変換装置。
　前記第１のサービス品質指標は、リアルタイム性を求めるサービス品質に対応し、
　前記第２のサービス品質指標は、リアルタイム性を求めないサービス品質に対応する、
請求項１６に記載の変換装置。
　前記送信部は、前記選択されたトラヒック特徴に適合するタイミングで、前記複数の通信フローの各々に属するパケットを前記復元装置へ送信する、請求項１５～１７のいずれか１項に記載の変換装置。
　前記変換部は、前記複数の通信フローの各々において、通信フロー固有の送信元ＩＰ（Internet　Protocol）アドレス、通信フロー固有の送信元ポート番号、又は通信フロー固有の宛先ポート番号を設定する、請求項１５～１８のいずれか１項に記載の変換装置。
　前記選択されたトラヒック特徴は、パケット到着間隔を含み、
　前記変換部は、前記複数の通信フローに含まれる通信フローのトラヒック特徴が前記パケット到着間隔に適合するように、当該通信フローにダミーパケットを追加する、
請求項１５～１９のいずれか１項に記載の変換装置。
　前記選択されたトラヒック特徴は、パケットサイズを含み、
　前記変換部は、前記複数の通信フローに含まれる通信フローのトラヒック特徴が前記パケットサイズに適合するように、前記元の通信フローに属するパケットを複数のパケットに分割し、又は、前記元の通信フローに属するパケットにダミービットを追加し、又は、前記元の通信フローに属するパケットと１つ以上の他のパケットとを集約する、
請求項１５～２０のいずれか１項に記載の変換装置。