CN101827089A - 加密通信量识别装置及具有该装置的加密通信量识别系统 - Google Patents
加密通信量识别装置及具有该装置的加密通信量识别系统 Download PDFInfo
- Publication number
- CN101827089A CN101827089A CN201010126153A CN201010126153A CN101827089A CN 101827089 A CN101827089 A CN 101827089A CN 201010126153 A CN201010126153 A CN 201010126153A CN 201010126153 A CN201010126153 A CN 201010126153A CN 101827089 A CN101827089 A CN 101827089A
- Authority
- CN
- China
- Prior art keywords
- data
- communication amount
- coded communication
- traffic
- amount recognition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 129
- 238000011156 evaluation Methods 0.000 claims abstract description 46
- 238000001514 detection method Methods 0.000 claims abstract description 15
- 238000000034 method Methods 0.000 claims description 19
- 230000002159 abnormal effect Effects 0.000 claims description 17
- 238000005457 optimization Methods 0.000 claims description 16
- 230000005540 biological transmission Effects 0.000 claims description 12
- 238000012360 testing method Methods 0.000 claims description 9
- 230000005856 abnormality Effects 0.000 description 17
- CKRLIWFOVCLXTP-UHFFFAOYSA-N 4-phenyl-1-propyl-3,6-dihydro-2h-pyridine Chemical compound C1N(CCC)CCC(C=2C=CC=CC=2)=C1 CKRLIWFOVCLXTP-UHFFFAOYSA-N 0.000 description 7
- 230000009977 dual effect Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 230000015572 biosynthetic process Effects 0.000 description 2
- 238000013478 data encryption standard Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种加密通信量识别装置以及具有该装置的加密通信量识别系统。该识别装置取得或计算网络内通信中作为通信量特征的数据,根据该数据,准确地判定通信量是否是密文。作为解决手段,加密通信量识别装置(1)具有:输入通信量的输入接口部(11);按照流进行识别的流识别部(12);蓄积特征量数据的数据蓄积部(13);根据特征量数据来实施评价运算的选择性数据计算部(14);计算结果判定部(15),其根据该评价运算值,来实施通信量是否加密、或者在加密的情况下其加密形式是什么形式的阈值判定;以及向外部输出上述判定结果的输出接口部(16)。
Description
技术领域
本发明涉及如下的加密通信量(encrypted traffic)识别装置以及加密通信量识别系统:在互联网等网络上的节点或终端中,对流经该网络的通信量(traffic)进行监视,容易且高精度地识别该通信量是密文还是明文。
背景技术
作为现有的提取加密数据的特征的技术,存在以下技术。首先,从加密信号送出功能部发送利用事前已知的加密方法加密得到的密文,收集该试验通信加密数据,求出其特征。接着,针对通信量种类不明的通信信息,在加密判定功能部中,收集特征信息,与之前求出的已知的密文的特征信息进行比较,在一致的情况下,推定为该通信量是利用已知的加密方法加密得到的数据。根据该方法,作为加密通信的种类,能够示出所使用的通信应用、加密通信软件、以及加密协议的组合。作为该加密协议,在WEB服务的情况下,能够使用HTTPS:Hypertext TransferProtocol Security(SSL:Secure Socket Layer),在VPN:Virtual PrivateNetwork的情况下,能够使用DES:Data Encryption Standard、3DES、以及AES:Advanced Encryption Standard等。并且,作为提取加密数据特征的手段的信息,列举了:
(1)通信会话的产生间隔
(2)通信会话中的分组产生间隔
(3)通信会话中的分组大小
(4)通信会话中的总分组数量
(5)通信会话中的分组收发方向的关系
(6)通信会话中的分组收发方向比
(7)通信会话中的协议占有率
(8)通信会话开始时的各分组大小
(9)通信会话开始时的总分组数量
(10)通信会话开始时的总数据大小
(11)长期间的Source/Destination IP分布
(12)长期间的Destination Port分布
(13)有无长期间的针对DNS服务器的询问
(14)有无在不进行任何通信时从通信应用侧发送的数据(例如参照专利文献1)。
【专利文献1】日本特开2006-146039号公报
但是,在专利文献1的发明中,如果使用上述(1)~(14)的信息,则存在如下问题点:不一定能够容易地判定进行了何种通信,具体而言不一定能够容易地判定该通信的通信量是否是密文。
因此,期望如下的加密通信量识别装置:取得或计算网络内通信中作为通信量特征的数据,根据该数据,容易且准确地判定通信量是否是密文。
发明内容
本发明的加密通信量识别装置具有:输入接口部,其被输入通信量;流识别部,其至少根据发送源地址和发送目的地地址,按照流来识别所述所输入的通信量;数据蓄积部,其按照所述流来蓄积所述通信量的特征量数据;选择性数据计算部,其根据所述特征量数据来实施评价运算;计算结果判定部,其根据该评价运算值,来实施所述通信量是否加密、或者在加密的情况下其加密形式是什么形式的阈值判定;以及输出接口部,其输出该判定结果,所述选择性数据计算部仅使用所述特征量数据中特定的数据,来实施评价运算。
在本发明的加密通信量识别装置中,与现有技术相比,能够容易地进行高精度的密文和明文的加密识别的判定,进而在是密文的情况下,能够进行其加密形式的识别。
并且,本发明的系统具有上述加密通信量识别装置,所以,与现有技术相比,能够容易且高精度地进行加密识别的判定、加密形式的识别,能够削减在这些加密识别中使用的数据量。
附图说明
图1是本发明的实施方式1的加密通信量识别装置的整体结构图。
图2是示出该加密通信量识别装置的加密识别动作的流程图。
图3是本发明的实施方式2的加密通信量识别装置的整体结构图。
图4是本发明的实施方式3的加密通信量识别装置的整体结构图。
图5是本发明的实施方式4的加密通信量识别系统的整体结构图。
图6是在实施方式1的加密通信量识别装置中实施的基于明文和密文这两种方式的分组的到达间隔时间的评价运算值的分布图。
图7是在实施方式1的加密通信量识别装置中实施的基于明文和密文这两种方式的分组长度的评价运算值的分布图。
具体实施方式
实施方式1
(加密通信量识别装置的整体结构)
图1是本发明的实施方式1的加密通信量识别装置的整体结构图。
在图1中,输入接口部11输入作为观测对象的通信量。该输入接口部11与流识别部12连接,该流识别部12根据该通信量所具有的发送源IP地址和发送目的地IP地址等,按照流(flow)来识别所输入的通信量。这里,流表示对发送源地址和发送目的地地址相同的分组进行归纳得到的数据。并且,分组是构成通信量或流的收发数据的构成单位。流识别部12与数据蓄积部13连接,该数据蓄积部13按照流来蓄积由流识别部12识别的流中的特征量数据。该数据蓄积部13与选择性数据计算部14连接,该选择性数据计算部14根据上述特征量数据来实施评价运算。该选择性数据计算部14与计算结果判定部15连接,该计算结果判定部15根据上述评价运算值,来实施通信量是否加密、或者在加密的情况下其加密形式是什么形式的阈值判定。而且,该计算结果判定部15与输出接口部16连接,该输出接口部16向外部输出上述判定结果。加密通信量识别装置1构成为包含以上的输入接口部11、流识别部12、数据蓄积部13、选择性数据计算部14、计算结果判定部15以及输出接口部16。另外,构成加密通信量识别装置1的上述结构要素既可以是在物理上独立的单元,也可以表示加密通信量识别装置1的控制装置(未图示)所具有的概念性的功能,上述各结构要件11~16也可以作为不同的装置而分别连接。
(加密通信量识别装置的加密识别动作)
图2是示出本发明的实施方式1的加密通信量识别装置的加密识别动作的流程图。
(S11)
输入接口部11从在外部LAN或互联网等网络中作为加密识别的观测对象的场所,取出在该网络上通信的通信量并输入。例如,输入接口部11从设置在分路装置或路由器或开关集线器等中的镜像端口,取出在网络上通信的通信量并输入。
(S12)
输入接口部11向流识别部12发送所输入的通信量。
(S13)
流识别部12根据接收到的通信量所内含的发送源IP地址和发送目的地IP地址、以及发送源端口编号和发送目的地端口编号,按照流来识别通信量。
(S14)
流识别部12向数据蓄积部13发送所识别的流。
(S15)
数据蓄积部13根据接收到的流,取得该通信量的特征量数据,并按照流进行蓄积。作为该按照流来蓄积特征量数据的方法,可以构成为分别存储于在物理上分离的存储介质中,也可以构成为按时序蓄积在同一存储介质中,并附加识别信息以便能够识别哪个数据属于哪个流,除此之外,只要构成为能够通过公知的手段按照流来取得通信量的特征量数据即可。在本实施方式中,设通信量的特征量数据是构成该通信量的分组的到达间隔时间。
(S16)
选择性数据计算部14从在数据蓄积部13中按照流蓄积的全部特征量数据中,访问作为加密识别的观测对象的特定流,从该流的特征量数据的数据串中,选择特定的特征量数据的数据串,实施评价运算。在本实施方式中,利用以下方法求出评价运算值。即,选择性数据计算部14按照到达间隔时间从短到长的顺序,排列如上所述访问的特定的特征量数据,即分组的到达间隔时间的数据串,取得符合规定部分(例如从短的一方起数据串总数的第75%个)的到达间隔时间的数据,作为评价运算值。
(S17)
选择性数据计算部14向计算结果判定部15发送通过上述方法求出的评价运算值。
(S18)
计算结果判定部15针对接收到的评价运算值,根据规定阈值来实施阈值判定,判定加密识别的观测对象即通信量是加密后的密文、还是未加密的明文,进而,在密文的情况下,判定其加密形式是什么形式。
(S19)
计算结果判定部15向输出接口部16发送步骤S18中的加密识别的判定结果。
(S20)
输出接口部16向外部输出接收到的加密识别的判定结果。
上述动作可以构成为始终反复实施,也可以构成为网络管理员等在必要时刻实施必要时间。
(实施方式1的效果)
通过以上这种结构和动作,与现有技术相比,能够进行高精度的密文和明文的加密识别的判定,进而在密文的情况下,能够进行其加密形式的识别。
另外,在上述步骤S15中,构成为在接收到的流中取得通信量的特征量数据并按照流进行蓄积,但是,也可以构成为,不始终蓄积该特征量数据的全部,最初或者以一定时间间隔计算平均值,求出应该除外的特征量数据,不蓄积明显不属于作为评价运算值的规定部分数据的数据,而将其除外,仅存储认为是最小值附近的数据和认为是最大值附近的数据。该情况下,能够减轻处理负荷。
另外,在本实施方式中,加密通信量识别装置1构成为一个,但是,也可以构成为设置多个加密通信量识别装置1来分散所输入的通信量,或者,也可以构成为不输入所有通信量,而以规定周期对通信量进行采样。该情况下,在加密通信量识别装置1与由超高速线路构成的网络连接、从该网络向输入接口部11输入通信量这种网络环境的情况等下,能够减轻加密通信量识别装置1的处理负荷。
另外,作为选择性数据计算部14的评价运算,不限于上述所示的内容,例如,也可以运算如上所述按照到达间隔时间从短到长的顺序排列的数据串中规定范围的数据(例如从短的一方起数据串总数的第0%个~第75%个的数据)的平均值,将该平均值作为评价运算值。如该方法那样,通过取数据的平均值,能够避免在符合上述步骤S16所示的第75%个的到达间隔时间的数据为异常数据等的情况下,产生加密识别的判定不良。
或者,选择性数据计算部14能够根据下述式(1)来计算到达间隔时间指标值,将该到达间隔时间指标值作为评价运算值。
到达间隔时间指标值=∑{(第x个到达间隔时间)2/(a+(x/N-0.75)2)}
…(1)
N:数据串的总数
x:从所排列的数据串的起始数据起的顺序数
a:规定的常数(正的常数。规定了第75%个的影响强度)
根据本发明人的见解,关于在上述式(1)中计算出的到达间隔时间指标值,越接近第75%个的数据,决定该到达间隔时间指标值的值时的影响度越大,与上述同样,能够避免在符合步骤S16所示的第75%个到达间隔时间的数据为异常数据等的情况下,产生加密识别的判定不良,并且,能够接近使用第75%个数据时的高加密识别的精度。另外,上述式(1)以第75%个值为基准进行运算,但是,在本实施方式中所谓75%附近的情况下,包含示出同样结果的前后1%左右的区域。第75%个得到示出良好值的结果,但是,在本实施方式中,不限于第75%个数据,也可以以其他顺序数为基准。即使是完全不同的值、例如50%正负5%,也同样存在得到良好结果的可能性。
另外,在上述说明中,作为通信量的特征量数据,数据蓄积部13取得构成该通信量的分组的到达间隔时间,但是不限于此,例如,也可以蓄积构成流的分组的分组长度作为特征量数据。该情况下,选择性数据计算部14访问在数据蓄积部13中蓄积的特征量数据即分组长度的数据串,计算该分组长度的数据串的方差值,将该方差值作为评价运算值。
而且,数据蓄积部13例如也可以蓄积在接收到的构成流的分组中除了ACK分组以外的分组的分组长度作为特征量数据。该情况下,选择性数据计算部14访问在数据蓄积部13中蓄积的特征量数据即除了ACK分组以外的分组的分组长度的数据串,计算该分组长度的数据串的平均值,将该平均值作为评价运算值。
实施方式2
(加密通信量识别装置的整体结构)
图3是本发明的实施方式2的加密通信量识别装置的整体结构图。以与所述实施方式1不同的结构和动作为中心进行说明。
如图3所示,本实施方式的加密通信量识别装置1构成为,在实施方式1的加密通信量识别装置1中追加优化执行部17。该优化执行部17与流识别部12、数据蓄积部13、选择性数据计算部14以及计算结果判定部15连接。另外,该优化执行部17既可以是在物理上独立的单元,也可以表示加密通信量识别装置1的控制装置(未图示)所具有的概念性的功能。
(优化执行部17的优化动作)
优化执行部17访问在数据蓄积部13中蓄积的不同流的特征量数据,根据该特征量数据,如以下说明的那样,动态地变动构成加密通信量识别装置1的各结构要素的动作。
优化执行部17使流识别部12切换为基于与实施方式1的图2所示的步骤S13所示的通信量的流识别方法不同的方法的流识别动作,通过最适于加密识别判定的流识别方法来进行识别。
并且,优化执行部17使数据蓄积部13从由流识别部12发送的所识别的流中,适当选择分组的到达间隔时间或分组的分组长度等,作为在存储介质中蓄积的最适于加密识别判定的特征量数据。此时,在通过流识别部12利用与实施方式1的方法不同的方法对流进行了识别的情况下,数据蓄积部13在与蓄积了利用实施方式1的方法识别的流的特征量数据的存储介质上的区域不同的区域中,蓄积该流的特征量数据。另外,如上所述,代替蓄积在存储介质上的不同区域中,也可以在要蓄积的特征量数据中追加新的流分类用的识别信息来蓄积。
并且,优化执行部17使选择性数据计算部14在根据访问数据蓄积部13的特征量数据进行评价运算时,适当切换要使用的特征量数据、或者要使用的特征量数据的数据串的范围,通过最适于加密识别判定的运算方法来运算评价运算值。
而且,优化执行部17使计算结果判定部15在针对通过选择性数据计算部14运算出的评价运算值实施阈值判定时,适当切换该判定的阈值,通过最适于加密识别判定的阈值来进行判定。能够通过后述的实施例1的方法等来计算评价运算值,优化是指,使用更适于加密识别的值,在实施例1中使用第75%个。“优化”具体而言是指,例如在图6(B)中,通过使用图中的各曲线(明文、HTTPS、PPTP:Point-to-Point TunnelingProtocol)在横轴上的最接近距离为最大的值,能够降低误判定率。或者指如下的值:即使最接近距离在一部分区域中稍低,在其他多数情况下距离扩宽,整体使误判定率最小化。另外,“优化”不一定指加密识别能力的最高程度,也包含如下程度:在使用优化执行部17的情况下,与不使用优化执行部的情况(在本实施方式中为实施方式1)相比,能够进一步提高加密识别能力。
(实施方式2的效果)
如以上的结构和动作那样,通过优化执行部17,针对构成加密通信量识别装置1的各结构要素动态地实施其动作的变动,由此,能够不依赖于网络环境等,针对流识别、特征量数据、其评价运算值及其判定阈值,动态地选择并决定最适于加密识别判定的值。
实施方式3
(加密通信量识别装置的整体结构)
图4是本发明的实施方式3的加密通信量识别装置的整体结构图。以与所述实施方式2不同的结构和动作为中心进行说明。
如图4所示,代替实施方式2的加密通信量识别装置1的流识别部12,本实施方式的加密通信量识别装置1设置有流识别异常判定部18。另外,在实施方式3中,流识别异常判定部18也承担所述流识别部12的功能。
(流识别异常判定部18的动作)
从在外部LAN和互联网等网络中作为加密识别的观测对象的场所输入通信量的输入接口部11,向流识别异常判定部18发送该通信量。接收到该通信量的流识别异常判定部18与实施方式2的流识别部12同样按照流进行识别,同时实施该流的异常判定。然后,流识别异常判定部18在判定为该流异常的情况下,向输出接口部16发送与该异常原因有关的信息、例如该异常流从哪个网络送出、或者从该网络上的哪个节点发送等的信息。并且,流识别异常判定部18向数据蓄积部13发送该异常流。然后,与实施方式2同样,对异常流实施加密识别的判定。然后,输出接口部16向外部输出所接收到的与异常原因有关的信息。
(实施方式3的效果)
通过以上这种结构和动作,能够将输出异常流的网络或节点的信息作为警告向外部输出,确认了该警告的网络管理员等能够利用所输出的与异常原因有关的信息来消除异常。
另外,在本实施方式中,构成为由流识别异常判定部18判定为异常的流通过其后级的选择性数据计算部14和计算结果判定部15实施加密识别的判定,但是不限于此,在不需要针对异常流进行加密识别判定的情况下,流识别异常判定部18也可以仅输出与该异常原因有关的信息,而不实施其后级的加密识别判定动作。
并且,在本实施方式中,构成为在流识别异常判定部18中针对正常流和异常流双方进行加密识别,但是不限于此,也可以构成为仅在识别出异常流的情况下,实施加密识别判定。该情况下,即使网络管理员等不始终监视,在识别出异常流的阶段,也能够自动实施加密识别的判定,并将其结果告知管理员等进行对应,有助于加密通信量识别装置1的省劳力化。
另外,说明了承担实施方式2的流识别部12的功能来设置上述流识别异常判定部18的情况,但是,流识别异常判定部18也可以不承担流识别部12的功能,而额外在加密通信量识别装置1的内部或外部、且在输入接口部11的前级具有流异常判定功能,与流识别部12分开设置。
另外,在本实施方式中,构成为流识别异常判定部18在判定为在流中存在异常的情况下,直接向输出接口部16发送与该异常原因有关的信息,但是不限于此,例如也可以构成为,经由数据蓄积部13、选择性数据计算部14和计算结果判定部15向输出接口部16发送与该异常原因有关的信息。任何情况下,只要构成为将流识别异常判定部18输出的与异常原因有关的信息发送到输出接口部16即可。
实施方式4
(加密通信量识别系统的整体结构)
图5是本发明的实施方式4的加密通信量识别系统的整体结构图。实施方式4是使用了所述实施方式2的加密通信量识别装置的系统,以实施方式2的加密通信量识别装置以外的结构和动作为中心进行说明。
如图5所示,本实施方式的加密通信量识别系统21构成为包含实施方式2的加密通信量识别装置1、以及向外部送出试验用通信量的试验信号送出装置2。另外,该试验信号送出装置2也可以构成为组装在加密通信量识别装置1的内部。但是,该情况下,作为包含加密通信量识别装置1和试验信号送出装置2的系统,也称为加密通信量识别系统21。试验信号送出装置和加密通信量识别装置优选在网络意义上分开某种程度的距离。由此,由于要评价的通信量来自自身以外的网络,因此与受到所通过的中途的通信线路的影响同样地,能够使为了得到最优值而流过的试验信号在受到通信线路的影响的状态下进行接收。在组装于同一框体的情况下,优选两者的连接为不同的运营商,或者准备多个在网络意义上分离的加密通信量识别系统,在两者间收发试验信号。
(加密通信量识别系统的动作)
首先,试验信号送出装置2对网络31送出试验用通信量。接着,加密通信量识别装置1经由网络31接收该试验用通信量,针对该试验用通信量,如在实施方式2中说明的那样,通过加密通信量识别装置1的优化执行部17,动态地变动构成加密通信量识别装置1的各结构要素的动作,由此,针对流识别、特征量数据、其评价运算值及其判定阈值,选择最适于加密识别判定的值。另外,针对上述所示的结构,更加优选安装能够在外部的试验信号送出装置2和主体即加密通信量识别装置1之间收发控制信号的功能,由此,预先决定试验信号送出装置2送出的信号是什么信号,通过预先向加密通信量识别装置1发送该送出信号是什么信号,由此,能够按照加密形式,决定并存储加密识别判定用的最佳条件。
(实施方式4的效果)
通过以上的结构和动作,能够准确地决定每个网络环境等的加密识别用的最佳条件。
另外,说明了本实施方式的加密通信量识别系统21具有实施方式2的加密通信量识别装置1作为结构要素的情况,但是,也可以具有实施方式1或实施方式3的加密通信量识别装置1。特别地,在具有实施方式1的加密通信量识别装置1的情况下,外部的试验信号送出装置2经由网络31送出通过多种加密形式加密后的试验用通信量,由此,能够确认该加密通信量识别装置1是否能够针对这些试验用通信量进行准确的加密识别,能够设定最佳的加密识别条件。
【实施例】
下面,说明在本发明的加密通信量识别装置和加密通信量识别系统中求出评价运算值的方法,但是,本发明的求出评价运算值的方法不限于下述内容。
实施例1
图6是在实施方式1的加密通信量识别装置中实施的基于明文和密文这两种方式的分组到达间隔时间的评价运算值的分布图。
在本实施例中,首先,利用明文、收发通过SSL加密后的数据的协议即HTTPS、以及用于在VPN上进行密文数据通信的协议即PPTP这三种方法,分别转发100次4M字节的数据。在假设在实施100次的各转发会话中使用的分组的长度平均为1000字节的情况下,在一次的转发会话中,转发了大约4000个分组。但是,由于存在加密和通信协议的开销,所以,实际上不是正好4000个,而是比4000个稍多。
针对1~100次的转发会话对大约4000个分组的到达间隔时间进行计测,计算其平均值作为评价运算值,按照从短到长的顺序进行排列,设(1)在通过明文转发时的分组的到达间隔时间(μ秒)的平均值中第k短的值为Ftxt(k),(2)在通过HTTPS转发时的分组的到达间隔时间(μ秒)的平均值中第k短的值为Fssl(k),(3)在通过PPTP转发时的分组的到达间隔时间(μ秒)的平均值中第k短的值为Fpptp(k),且用X轴(横轴)表示到达间隔时间的平均值、用Y轴(纵轴)表示k的图是图6(A)的图。
如该图6(A)所示,关于分组的到达间隔时间的平均值的分布,发现存在明文通信比基于HTTPS的密文通信和基于PPTP的密文通信短的倾向,但是,三方存在平均值重合的部分,由此可知,根据到达间隔时间的平均值是特定的值这一点,难以进行观测对象即通信量是明文或密文的通信这样的识别。
与此相对,图6(B)不是分组的到达间隔时间的平均值的分布,而是通过以下方法求出的计算值的分布。要转发的数据的条件与图6(A)的情况相同。
首先,在作为观测对象的通信量中,根据收发IP地址和收发端口编号,按照流进行分离。然后,按照从短到长的顺序排列构成该流的分组的到达间隔时间,使用该排列的到达间隔时间的数据串中从短的一方起第75%个的数据,作为评价运算值。在假设一次的转发会话为4000分组的情况下,设其第75%个、即从短的一方起大约第3000个分组的到达间隔时间为评价运算值。如上所述,转发会话为1~100次,所以,取得100个评价运算值,进而针对明文、基于HTTPS和PPTP的密文转发实施该动作,设该评价运算值为X轴(横轴)、评价运算值的数据串(100个)的顺序数k为Y轴(纵轴),进行曲线化。这样,图6(B)示出按照从短到长的顺序排列分组的到达间隔时间的数据串中从短的一方起第75%个数据的分布。但是,在图6(B)中,为了易于观看曲线图,进一步按照其值从短到长的顺序进行排列,来显示明文、通过HTTPS转发的密文以及通过PPTP转发的密文的评价运算值的各个数据串。
如上所述,不是将分组的到达间隔时间的平均值,而是将按照从短到长的顺序排列该到达间隔时间的分组的从短的一方起第75%个值作为评价运算值,并生成曲线图时,能够准确地识别作为观测对象的通信量是明文还是密文,进而在密文的情况下,能够准确地识别其加密形式(在本实施例的情况下为基于HTTPS的密文和基于PPTP的密文)是什么形式。
实施例2
图7是在实施方式1的加密通信量识别装置中实施的基于明文和密文这两种方式的分组长度的评价运算值的分布图。在本实施例中,要转发的数据的条件与实施例1相同。
最初,说明图7(A)所示的评价运算值的分布。
首先,针对1~100次的转发会话,假设全部分组数量为4000个,对4000个分组的分组长度进行计测。然后,计算该分组长度的平均值作为评价运算值。然后,按照从短到长的顺序排列该平均值的数据串,设该评价运算值即分组长度的平均值为X轴(横轴)、评价运算值的数据串(100个)的顺序数k为Y轴(纵轴),绘制曲线图。这样,图7(A)示出分组的分组长度的平均值的分布。
如该图7(A)所示,与图6(A)所示的分布同样,无法得到能够明确地识别观测对象即通信量一定是明文通信或密文通信的结果。
接着,说明图7(B)所示的评价运算值的分布。
首先,针对1~100次的转发会话,同样地假设全部分组数量为4000个,对4000个分组的分组长度进行计测。然后,针对该分组长度,不计算平均值,而计算方差值,将该方差值作为评价运算值。然后,按照从短到长的顺序排列该方差值的数据串,设该评价运算值即分组长度的方差值为X轴(横轴)、评价运算值的数据串(100个)的顺序数k为Y轴(纵轴),绘制曲线图。这样,图7(B)示出分组的分组长度的方差值的分布。
如该图7(B)所示,不是将分组的分组长度的平均值,而是将方差值作为评价运算值并做成曲线图,与图7(A)相比,存在能够更加明确地识别作为观测对象的通信量是明文还是密文的倾向。
然后,说明图7(C)所示的评价运算值的分布。
首先,针对1~100次的转发会话,同样地假设全部分组数量为4000个,仅针对该分组中除了ACK分组以外的分组计测分组长度。然后,计算除了该ACK分组以外的分组的分组长度平均值(以下称为ACK除外平均值),作为评价运算值。然后,按照从短到长的顺序排列该ACK除外平均值的数据串,设该评价运算值即ACK除外平均值为X轴(横轴)、评价运算值的数据串(100个)的顺序数k为Y轴(纵轴),绘制曲线图。这样,图7(C)示出ACK除外平均值的分布。
如该图7(C)所示,不是将分组的分组长度的平均值,而是将ACK除外平均值作为评价运算值并做成曲线图,与图7(A)相比,与图7(B)同样,能够更加明确地识别作为观测对象的通信量是明文还是密文。
如上所述,本发明的评价运算值采用上述方法求出,由此,能够用于容易且高精度地识别通信量是密文还是明文,而且能够根据系统结构适当调整分组数量等的参数,来求出评价运算值。
因此,能够根据系统结构和条件对用于求出上述评价运算值的各参数的设定等进行各种变更,没有特别限制。
Claims (19)
1.一种加密通信量识别装置,其特征在于,该加密通信量识别装置具有:
输入接口部,其被输入通信量;
流识别部,其至少根据发送源地址和发送目的地地址,按照流来识别所述输入的通信量;
数据蓄积部,其按照所述流来蓄积所述通信量的特征量数据;
选择性数据计算部,其根据所述特征量数据来实施评价运算;
计算结果判定部,其根据该评价运算值,来实施所述通信量是否加密、或者在加密的情况下其加密形式是什么的阈值判定;以及
输出接口部,其输出该判定结果,
所述选择性数据计算部使用所述特征量数据中特定的数据,来实施评价运算。
2.根据权利要求1所述的加密通信量识别装置,其特征在于,
所述特征量数据使用构成所述通信量的每个分组到达所述输入接口部的到达间隔时间作为原始数据。
3.根据权利要求2所述的加密通信量识别装置,其特征在于,
所述选择性数据计算部按照从短到长的顺序排列所述到达间隔时间的数据串,计算该按照从短到长的顺序排列的所述到达间隔时间的数据串中特定部分的到达间隔时间作为所述评价运算值,或者,计算规定范围内的所述到达间隔时间的数据串的平均值作为所述评价运算值。
4.根据权利要求3所述的加密通信量识别装置,其特征在于,
所述选择性数据计算部计算所述按照从短到长的顺序排列的到达间隔时间的数据串中、从短的一方起第75%个附近的所述到达间隔时间作为所述评价运算值,或者,计算从短的一方起第0%个~第75%个附近的范围内的所述到达间隔时间的数据串的平均值作为所述评价运算值。
5.根据权利要求2所述的加密通信量识别装置,其特征在于,
所述选择性数据计算部按照从短到长的顺序排列所述到达间隔时间的数据串,当设该数据串的数据总数为N,a为常数,则在该按照从短到长的顺序排列的数据串中从短的一方起第0%个到规定的第n%个的范围内,根据下式计算针对从短的一方数起第x个数据而确定的到达间隔时间指标值作为所述评价运算值,
到达间隔时间指标值=∑{(第x个到达间隔时间)2/(a+(x/N-(n/100))2)}。
6.根据权利要求5所述的加密通信量识别装置,其特征在于,
所述选择性数据计算部设所述规定的第n%个为第75%个,来计算所述评价运算值。
7.根据权利要求1所述的加密通信量识别装置,其特征在于,
所述特征量数据使用构成所述通信量的分组的分组长度作为原始数据。
8.根据权利要求7所述的加密通信量识别装置,其特征在于,
所述选择性数据计算部计算所述分组长度的数据串的方差值作为所述评价运算值。
9.根据权利要求7所述的加密通信量识别装置,其特征在于,
所述选择性数据计算部计算构成所述通信量的分组中除了ACK分组以外的分组的分组长度的平均值作为所述评价运算值。
10.根据权利要求1所述的加密通信量识别装置,其特征在于,
所述加密通信量识别装置具有优化执行部,该优化执行部动态地对用于判定所述通信量是否被加密的判定实施条件进行优化,
该优化执行部以使加密后的所述通信量的所述特征量数据和未加密的所述通信量的所述特征量数据之差在最大值附近的方式,对所述判定实施条件进行优化。
11.根据权利要求1所述的加密通信量识别装置,其特征在于,
所述加密通信量识别装置具有优化执行部,该优化执行部动态地对用于判定所述通信量是否被加密的判定实施条件进行优化,
该优化执行部以使加密后的所述通信量的所述特征量数据和未加密的所述通信量的所述特征量数据的重合部分在最小值附近的方式,对所述判定实施条件进行优化。
12.根据权利要求10或11所述的加密通信量识别装置,其特征在于,
所述优化执行部为了对所述判定实施条件进行优化,使所述流识别部从多个所述流的识别方法中适当进行切换,来实施所述流的识别。
13.根据权利要求10或11所述的加密通信量识别装置,其特征在于,
所述优化执行部为了对所述判定实施条件进行优化,使所述数据蓄积部从构成所述通信量的每个分组到达所述输入接口部的到达间隔时间、以及构成所述通信量的分组的分组长度中适当进行切换,作为要蓄积的所述特征量数据进行蓄积。
14.根据权利要求13所述的加密通信量识别装置,其特征在于,
作为用于对所述判定实施条件进行优化的初始设定,所述优化执行部使所述数据蓄积部设定所述到达间隔时间作为要蓄积的所述特征量数据,使所述选择性数据计算部设定所述到达间隔时间的数据串中规定部位的所述到达间隔时间作为所述评价运算值。
15.根据权利要求10或11所述的加密通信量识别装置,其特征在于,
所述优化执行部为了对所述判定实施条件进行优化,使所述选择性数据计算部在根据所述特征量数据进行评价运算时,适当切换所述特征量数据的数据串中要使用的所述特征量数据、或者要使用的所述特征量数据的数据串的范围。
16.根据权利要求10或11所述的加密通信量识别装置,其特征在于,
所述优化执行部为了对所述判定实施条件进行优化,使所述计算结果判定部针对所述选择性数据计算部的评价运算结果,适当切换用于对所述通信量是否加密、或者在加密的情况下其加密形式是什么进行判定的阈值。
17.根据权利要求1所述的加密通信量识别装置,其特征在于,
所述流识别部在所述通信量中检测到异常流的情况下,生成与所述异常流的异常原因有关的信息,
所述输出接口部输出与所述异常原因有关的信息。
18.根据权利要求1所述的加密通信量识别装置,其特征在于,
所述加密通信量识别装置具有在所述输入接口部的前级配置的通信量异常检测装置,
该通信量异常检测装置在所述通信量中检测到异常通信量的情况下,对所述输入接口部输出所述异常通信量以及与其异常原因有关的信息,
所述输出接口部输出与所述异常原因有关的信息。
19.一种加密通信量识别系统,其特征在于,该加密通信量识别系统具有:
权利要求1~18中的任一项所述的加密通信量识别装置;以及
试验信号送出装置,其送出被加密或未被加密的试验用通信量,
所述试验信号送出装置设置在所述加密通信量识别装置内或其外部,
所述加密通信量识别装置针对从所述试验信号送出装置接收的所述试验用通信量,判定其是否加密、或者在加密的情况下其加密形式是什么。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009-048176 | 2009-03-02 | ||
| JP2009048176A JP5408608B2 (ja) | 2009-03-02 | 2009-03-02 | 暗号トラヒック識別装置及びそれを備える暗号トラヒック識別システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101827089A true CN101827089A (zh) | 2010-09-08 |
| CN101827089B CN101827089B (zh) | 2013-10-30 |
Family
ID=42667767
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010101261532A Expired - Fee Related CN101827089B (zh) | 2009-03-02 | 2010-02-26 | 加密通信量识别装置及具有该装置的加密通信量识别系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US9021252B2 (zh) |
| JP (1) | JP5408608B2 (zh) |
| CN (1) | CN101827089B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105406993A (zh) * | 2015-10-28 | 2016-03-16 | 中国人民解放军信息工程大学 | 一种加密流的识别方法及装置 |
| CN109416894A (zh) * | 2016-07-06 | 2019-03-01 | 日本电信电话株式会社 | 秘密计算系统、秘密计算装置、秘密计算方法以及程序 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5365593B2 (ja) | 2010-09-13 | 2013-12-11 | 日本電気株式会社 | 信頼度の高いgps測位信号のみを用いた衛星航法補強システム |
| DE102015223078A1 (de) * | 2015-11-23 | 2017-05-24 | Siemens Aktiengesellschaft | Vorrichtung und Verfahren zum Anpassen von Berechtigungsinformationen eines Endgeräts |
| CN109936512B (zh) | 2017-12-15 | 2021-10-01 | 华为技术有限公司 | 流量分析方法、公共服务流量归属方法及相应的计算机系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040073917A1 (en) * | 2002-01-02 | 2004-04-15 | Sony Corporation | System and method for partially encrypted multimedia stream |
| CN1681320A (zh) * | 2004-03-26 | 2005-10-12 | 微软公司 | 通用加扰 |
| CN1997007A (zh) * | 2006-09-30 | 2007-07-11 | 华为技术有限公司 | 一种实现业务感知的系统、方法及设备 |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5548646A (en) * | 1994-09-15 | 1996-08-20 | Sun Microsystems, Inc. | System for signatureless transmission and reception of data packets between computer networks |
| US7103065B1 (en) * | 1998-10-30 | 2006-09-05 | Broadcom Corporation | Data packet fragmentation in a cable modem system |
| US6452950B1 (en) * | 1999-01-14 | 2002-09-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Adaptive jitter buffering |
| US6363053B1 (en) * | 1999-02-08 | 2002-03-26 | 3Com Corporation | Method and apparatus for measurement-based conformance testing of service level agreements in networks |
| US6917588B1 (en) * | 2000-05-16 | 2005-07-12 | Nortel Networks Limited | Apparatus and method for classifying data packet flows |
| US7170860B2 (en) * | 2000-10-23 | 2007-01-30 | Bbn Technologies Corp. | Method and system for passively analyzing communication data based on frequency analysis of encrypted data traffic, and method and system for deterring passive analysis of communication data |
| US7516485B1 (en) * | 2001-05-29 | 2009-04-07 | Nortel Networks Limited | Method and apparatus for securely transmitting encrypted data through a firewall and for monitoring user traffic |
| US7536546B2 (en) * | 2001-08-28 | 2009-05-19 | Acme Packet, Inc. | System and method for providing encryption for rerouting of real time multi-media flows |
| US7664048B1 (en) * | 2003-11-24 | 2010-02-16 | Packeteer, Inc. | Heuristic behavior pattern matching of data flows in enhanced network traffic classification |
| EP1730917A1 (en) * | 2004-03-30 | 2006-12-13 | Telecom Italia S.p.A. | Method and system for network intrusion detection, related network and computer program product |
| US7778194B1 (en) * | 2004-08-13 | 2010-08-17 | Packeteer, Inc. | Examination of connection handshake to enhance classification of encrypted network traffic |
| JP4679886B2 (ja) | 2004-11-24 | 2011-05-11 | Kddi株式会社 | 暗号化通信特徴抽出装置、暗号化通信特徴抽出プログラムおよび記録媒体 |
| KR100596395B1 (ko) * | 2004-12-16 | 2006-07-04 | 한국전자통신연구원 | IPv4망과 IPv6망이 공존하는 네트워크 상에서암호화된 유해 트래픽에 대응하는 시스템 및 그 방법 |
| US7447768B2 (en) * | 2005-01-19 | 2008-11-04 | Facetime Communications, Inc. | Categorizing, classifying, and identifying network flows using network and host components |
| US7506156B2 (en) * | 2005-02-01 | 2009-03-17 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for prioritizing encrypted traffic at an intermediate node in a communications network |
| US8539064B1 (en) * | 2005-09-13 | 2013-09-17 | Aruba Networks, Inc. | Analysis of encrypted streaming media traffic |
| US8417942B2 (en) * | 2007-08-31 | 2013-04-09 | Cisco Technology, Inc. | System and method for identifying encrypted conference media traffic |
| US9304832B2 (en) * | 2008-01-09 | 2016-04-05 | Blue Coat Systems, Inc. | Methods and systems for filtering encrypted traffic |
| US8745373B2 (en) * | 2008-04-23 | 2014-06-03 | Dell Products L.P. | Systems and methods for applying encryption to network traffic on the basis of policy |
| US20100138910A1 (en) * | 2008-12-03 | 2010-06-03 | Check Point Software Technologies, Ltd. | Methods for encrypted-traffic url filtering using address-mapping interception |
-
2009
- 2009-03-02 JP JP2009048176A patent/JP5408608B2/ja not_active Expired - Fee Related
-
2010
- 2010-02-24 US US12/659,069 patent/US9021252B2/en not_active Expired - Fee Related
- 2010-02-26 CN CN2010101261532A patent/CN101827089B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040073917A1 (en) * | 2002-01-02 | 2004-04-15 | Sony Corporation | System and method for partially encrypted multimedia stream |
| CN1681320A (zh) * | 2004-03-26 | 2005-10-12 | 微软公司 | 通用加扰 |
| CN1997007A (zh) * | 2006-09-30 | 2007-07-11 | 华为技术有限公司 | 一种实现业务感知的系统、方法及设备 |
Non-Patent Citations (1)
| Title |
|---|
| BERNAILLE LAURENT,TEIXEIRA RENATA: "Early recognition of encrypted applications", 《LECTURE NOTES IN COMPUTER SCIENCE》, vol. 4427, 31 December 2007 (2007-12-31), pages 165 - 174 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105406993A (zh) * | 2015-10-28 | 2016-03-16 | 中国人民解放军信息工程大学 | 一种加密流的识别方法及装置 |
| CN109416894A (zh) * | 2016-07-06 | 2019-03-01 | 日本电信电话株式会社 | 秘密计算系统、秘密计算装置、秘密计算方法以及程序 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2010204289A (ja) | 2010-09-16 |
| JP5408608B2 (ja) | 2014-02-05 |
| US20100223455A1 (en) | 2010-09-02 |
| US9021252B2 (en) | 2015-04-28 |
| CN101827089B (zh) | 2013-10-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112217637B (zh) | 一种基于集中管理与控制网络的量子密钥中继方法和装置 | |
| JP5812282B2 (ja) | トラヒック監視装置 | |
| US10397260B2 (en) | Network system | |
| JP4759389B2 (ja) | パケット通信装置 | |
| CN107079014B (zh) | 针对网络提供的基于流的性能度量的可扩展联合策略 | |
| CN102763382B (zh) | 前端系统和前端处理方法 | |
| CN101827089B (zh) | 加密通信量识别装置及具有该装置的加密通信量识别系统 | |
| US20060262772A1 (en) | System and methods for providing a network path verification protocol | |
| CN102055674B (zh) | Ip报文及基于该ip报文的信息处理方法及装置 | |
| WO2009156974A1 (en) | Providing backpressure flow control to specific traffic flows | |
| CN110417674B (zh) | 一种数据流量分担方法及装置 | |
| CN112822103B (zh) | 一种信息上报方法和信息处理方法及设备 | |
| KR20150090216A (ko) | 암호화된 세션 모니터링 | |
| JP4678652B2 (ja) | P2pトラフィック監視制御装置及び方法 | |
| US20090141712A1 (en) | Router device | |
| CN111654440B (zh) | 一种智能选路的方法、电子设备以及存储介质 | |
| US20220069619A1 (en) | Media access control security (macsec) application cryptographic fingerprinting | |
| US20220217179A1 (en) | Methods and devices for measuring reputation in a communication network | |
| KR102028756B1 (ko) | 원격검침 시스템의 트래픽 제어 장치 및 방법 | |
| US11233635B1 (en) | Media access control security (MACSEC) application cryptographic fingerprinting | |
| CN112118091B (zh) | 一种数据加密总线自适应的工业设备远程系统升级方法 | |
| KR101848428B1 (ko) | 유선 통신기반의 보안 기능 향상을 위한 라우팅 방법 및 유선 통신기반의 보안 기능을 갖는 엔트리 라우터 시스템 | |
| KR101520769B1 (ko) | 안전하고 효율적인 scada 통신시스템을 위한 릴레이 장치 및 방법 | |
| Zhang et al. | Transparent Interconnection of Lots of Links (TRILL): MTU Negotiation | |
| JP5093528B2 (ja) | 通信装置、および回線状況情報提供方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20131030 Termination date: 20190226 |