JP2007228217A - Traffic decision device, traffic decision method, and program therefor - Google Patents

Traffic decision device, traffic decision method, and program therefor Download PDF

Info

Publication number
JP2007228217A
JP2007228217A JP2006046318A JP2006046318A JP2007228217A JP 2007228217 A JP2007228217 A JP 2007228217A JP 2006046318 A JP2006046318 A JP 2006046318A JP 2006046318 A JP2006046318 A JP 2006046318A JP 2007228217 A JP2007228217 A JP 2007228217A
Authority
JP
Japan
Prior art keywords
traffic
application
unit
packet
pattern
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006046318A
Other languages
Japanese (ja)
Inventor
Tsutomu Kitamura
強 北村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2006046318A priority Critical patent/JP2007228217A/en
Publication of JP2007228217A publication Critical patent/JP2007228217A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a technology for improving an application detection speed as a technology regarding traffic classification based on statistical information of a communication pattern. <P>SOLUTION: The traffic decision device has: a database for sequence reference patterns in which an application is made to correspond to traffic sequence patterns in the application; an analyzing means for analyzing a parameter of packet of received traffic; and a judgment means for determining a sequence pattern of the received traffic on the basis of the analysis result, retrieves the application made to correspond to the sequence pattern from the database and determines the application of the received traffic. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、ネットワーク上のトラフィックの生成元であるアプリケーションを判定する技術に関し、特に、ネットワーク上のトラフィックに対してその通信パタンを分析することによってそのトラフィックのアプリケーションを判定する技術に関する。   The present invention relates to a technique for determining an application that is a generation source of traffic on a network, and more particularly to a technique for determining an application of the traffic by analyzing a communication pattern of the traffic on the network.

インターネット上を流れるトラフィックを分析し、その分析したトラフィックに応じてフィルタリングやシェーピング、ルーティングといった制御を行うことは、ファイアウォール装置や帯域制御装置やルータ等のネットワーク機器において実施されている。これらの装置は、TCP(Transmission Control Protocol)やUDP(User
Data Protocol)によって使用されるポート番号や、パケットのペイロードに含まれる特定のビット文字列(シグネチャ)を検出して分析し、トラフィックをその種類に応じた制御を行っている(例えば特許文献1)。 Analysis of traffic flowing on the Internet and control such as filtering, shaping, and routing in accordance with the analyzed traffic are performed in network devices such as firewall devices, bandwidth control devices, and routers. These devices include TCP (Transmission Control Protocol) and UDP (User
A port number used by the Data Protocol) or a specific bit string (signature) included in the payload of the packet is detected and analyzed, and traffic is controlled according to the type (for example, Patent Document 1). .

一方で、近年、P2P(Peer-to-Peer)アプリケーションの急速な普及に伴い、そのP2Pアプリケーションのトラフィックによるネットワーク資源の占有が原因となり、他のアプリケーションの通信品質を劣化させるといったことが問題となっている。   On the other hand, in recent years, with the rapid spread of P2P (Peer-to-Peer) applications, network resources are occupied by the traffic of the P2P applications, causing problems such as degradation of communication quality of other applications. ing.

また、P2Pアプリケーションは、ファイアウォール装置の制限から逃れるために、他の用途で予約されたWell-knownポート番号(例えばHTTP通信用に予約された80番ポートなど)を使用して通信を実施するものも出現しており、インターネット上を流れるトラフィックの多様化・高度化が進んでいる。このようなポート番号を詐称したトラフィックの場合、現在の制御装置では、ポート番号だけでは正確に分析することができない。また、暗号化されたトラフィックの場合も、パケットのペイロードを十分に分析することができないため、シグネチャ検出することが困難でありトラフィックを分析することができない。   The P2P application uses a well-known port number reserved for other purposes (for example, the 80th port reserved for HTTP communication) in order to avoid the restrictions of the firewall device. Has also emerged, and the diversification and sophistication of traffic flowing on the Internet is progressing. In the case of traffic in which such a port number is spoofed, the current control device cannot accurately analyze the port number alone. Also, in the case of encrypted traffic, the payload of the packet cannot be analyzed sufficiently, so that it is difficult to detect the signature and the traffic cannot be analyzed.

このようなトラフィックを分析するために、ポート番号やシグネチャといったヘッダやペイロード情報に依存しないパラメータを用いて、データトラフィックの通信パタンを統計的に分析してトラフィックをアプリケーション毎に分析する技術が考案されている(例えば特許文献1又は特許文献2)。   In order to analyze such traffic, a technology for statistically analyzing communication patterns of data traffic using parameters that do not depend on header and payload information such as port numbers and signatures, and analyzing traffic for each application has been devised. (For example, Patent Document 1 or Patent Document 2).

非特許文献1には、通信パタンの統計情報として、あるホストに注目した場合の通信先ホスト数や通信元ポート数、通信先ポート数を分析することによって、注目ホストが使用しているアプリケーションの種別を判定する方法が提案されている。   In Non-Patent Document 1, as statistical information of communication patterns, the number of communication destination hosts, the number of communication source ports, and the number of communication destination ports when attention is paid to a certain host is analyzed. A method for determining the type has been proposed.

非特許文献2には、通信パタンの統計情報として、データトラフィックのU-Plane(User-Plane)データに注目した場合のパケットサイズやパケット到着間隔に関する複数パラメータを分析することによって、アプリケーション単位にトラフィックを分析する技術が提案されている。
特開平7‐231317号公報 T.Karagiannis etal, “BLINC: Multilevel Traffic Classification in theDark,” In ACM SIGCOMM 2005 M. Roughan et al, “Class-of-Service Mapping for QoS: AStatistical Signature-based Approach to IP TrafficClassification”,In ACM SIGCOMM IMC, November 2004 Non-Patent Document 2 describes traffic parameters for each application by analyzing multiple parameters related to packet size and packet arrival interval when focusing on U-Plane (User-Plane) data of data traffic as statistical information of communication patterns. A technique for analyzing the above has been proposed.
JP-A-7-231317 T.Karagiannis etal, “BLINC: Multilevel Traffic Classification in the Dark,” In ACM SIGCOMM 2005 M. Roughan et al, “Class-of-Service Mapping for QoS: AStatistical Signature-based Approach to IP TrafficClassification”, In ACM SIGCOMM IMC, November 2004

非特許文献1で示される方法では、一定時間に受信したトラフィックに対して通信パタンを統計的に分析する必要があるため、分類結果が収束するまでに数分間の時間がかかりアプリケーション検出速度が遅くなってしまうという問題がある。また、注目したホストが同時に複数のアプリケーションを使用して通信する場合には、アプリケーション種別の判定が困難になってしまうという問題がある。   In the method shown in Non-Patent Document 1, since it is necessary to statistically analyze the communication pattern with respect to traffic received at a certain time, it takes several minutes until the classification result converges, and the application detection speed is slow. There is a problem of becoming. Further, when the noticed host communicates using a plurality of applications at the same time, there is a problem that it becomes difficult to determine the application type.

非特許文献2で示される方法では、上記非特許文献1と同様、一定時間に受信したU-Planeデータトラフィックに対して通信パタンを統計的に分析する必要があるため、分析結果が収束するまでに数秒から数分の時間がかかりアプリケーション検出速度が遅くなってしまうという問題がある。また、U-Planeデータとして流れるパケット数が少ないアプリケーションに対しては、その通信パタンの統計情報を十分に得ることができないために識別精度が低下してしまうという問題がある。   In the method shown in Non-Patent Document 2, since it is necessary to statistically analyze the communication pattern for U-Plane data traffic received in a certain time, as in Non-Patent Document 1, until the analysis result converges. It takes a few seconds to several minutes to slow down the application detection speed. Further, for applications with a small number of packets flowing as U-Plane data, there is a problem that the identification accuracy is lowered because sufficient statistical information of the communication pattern cannot be obtained.

従って、上述した従来技術では、分析結果が収束するまでに時間がかかってしまうため、セキュリティやネットワーク資源の有効利用の点から出来るだけリアルタイム処理が必要となるフィルタリングやシェーピングといったトラフィック制御を行う場合に問題となる。   Therefore, in the above-described conventional technology, it takes time until the analysis result converges. Therefore, when performing traffic control such as filtering or shaping that requires real-time processing as much as possible from the viewpoint of effective use of security and network resources. It becomes a problem.

そこで本発明が解決しようとする課題は、上記問題点を解決することであって、上記通信パタンの統計情報に基づいたトラフィック分類手法において、アプリケーション判定速度を向上できる技術を提供することにある。   Therefore, the problem to be solved by the present invention is to solve the above-mentioned problem, and to provide a technique capable of improving the application determination speed in the traffic classification method based on the statistical information of the communication pattern.

更に、ポート番号やシグネチャといったヘッダやペイロード情報に依存しないパラメータを用いてトラフィックを分析し、ポート番号を詐称したトラフィックや暗号化されたトラフィックの場合もトラフィックを分析できる技術を提供することにある。   It is another object of the present invention to provide a technique that analyzes traffic using parameters such as port numbers and signatures that do not depend on header or payload information, and can analyze traffic in the case of traffic in which a port number is spoofed or encrypted traffic.

上記課題を解決するための第1の発明は、
トラフィック判定装置であって、
アプリケーションと、このアプリケーションにおけるトラフィックのシーケンスパタンとが対応付けられたシーケンス参照パタンのデータベースと、
受信したトラフィックのパケットのパラメータを分析する分析手段と、
前記分析結果に基づいて、受信したトラフィックのシーケンスパタンを判断し、このシーケンスパタンに対応付けられているアプリケーションを前記データベースから検索して、前記受信トラフィックのアプリケーションを判定する判定手段と
を有することを特徴とする。 The first invention for solving the above-described problems is
A traffic determination device,
A database of sequence reference patterns in which an application is associated with a sequence pattern of traffic in the application;
An analysis means for analyzing received traffic packet parameters;
Determination means for determining a sequence pattern of the received traffic based on the analysis result, searching an application associated with the sequence pattern from the database, and determining the application of the received traffic. Features.

上記課題を解決するための第2の発明は、上記第1の発明において、
前記データベースは、ネットワークを介して受信するデータベース更新情報に基づいて更新されることを特徴とする。 According to a second invention for solving the above-mentioned problem, in the first invention,
The database is updated based on database update information received via a network.

上記課題を解決するための第3の発明は、上記第1又は第2の発明において、
前記分析手段は、受信したトラフィックの送信元及び送信先に関する情報を用いてセッション毎に分類されたトラフィックのパケットのパラメータを分析することを特徴とする。 According to a third invention for solving the above-described problem, in the first or second invention,
The analysis means analyzes the parameters of traffic packets classified for each session using information on the transmission source and destination of the received traffic.

上記課題を解決するための第4の発明は、上記第1から第3のいずれかの発明において、
前記分析手段は、パケット長、パケット到着間隔、通信方向、プロトコル、及びTCPフラグのうち少なくとも1つをパケットのパラメータとして分析することを特徴とする。 A fourth invention for solving the above-mentioned problems is any one of the first to third inventions,
The analysis unit analyzes at least one of a packet length, a packet arrival interval, a communication direction, a protocol, and a TCP flag as a packet parameter.

上記課題を解決するための第5の発明は、上記第1からだい4のいずれかの発明において、
前記データベースは、アプリケーションにおけるトラフィックのパケット長、パケット到着間隔、通信方向、プロトコル、TCPフラグに基づいて生成されたデータベースであることを特徴とする。 A fifth invention for solving the above-mentioned problems is any one of the first to fourth inventions,
The database is a database generated based on a packet length of traffic in an application, a packet arrival interval, a communication direction, a protocol, and a TCP flag.

上記課題を解決するための第6の発明は、上記第1から第6のいずれかの発明において、
前記判定されたアプリケーションの種類に応じて通信制御する通信制御手段を有することを特徴とする。 A sixth invention for solving the above-described problems is any one of the first to sixth inventions,
Communication control means for controlling communication according to the determined type of application is provided.

上記課題を解決するための第7の発明は、
トラフィック判定方法であって、
受信したトラフィックのパケットのパラメータを分析する分析ステップと、
前記分析結果に基づいて、受信したトラフィックのシーケンスパタンを判断する判断ステップと、
前記判断されたシーケンスパタンに対応付けられているアプリケーションを、アプリケーションとこのアプリケーションにおけるトラフィックのシーケンスパタンとが対応付けられたシーケンス参照パタンのデータベースから検索して、前記受信トラフィックのアプリケーションを判定する判定ステップと
を有することを特徴とする。 The seventh invention for solving the above-mentioned problem is
A traffic determination method,
An analysis step to analyze the parameters of the received traffic packet;
A determination step of determining a sequence pattern of the received traffic based on the analysis result;
A determination step of searching for an application associated with the determined sequence pattern from a database of sequence reference patterns in which an application and a sequence pattern of traffic in the application are associated, and determining an application of the received traffic It is characterized by having.

上記課題を解決するための第8の発明は、上記第7の発明において、
ネットワークを介して受信したデータベース更新情報に基づいて前記データベースを更新する更新ステップを有することを特徴とする。 An eighth invention for solving the above-described problem is the seventh invention, wherein
An update step of updating the database based on the database update information received via the network is provided.

上記課題を解決するための第9の発明は、上記第7又は第8の発明において、
前記分析ステップは、受信したトラフィックの送信元及び送信先に関する情報を用いてセッション毎に分類されたトラフィックのパケットのパラメータを分析することを特徴とする。 A ninth invention for solving the above-described problems is the seventh or eighth invention,
The analyzing step is characterized in that the parameters of the traffic packets classified for each session are analyzed using the information on the source and destination of the received traffic.

上記課題を解決するための第10の発明は、上記第7から第9のいずれかの発明において、
前記分析ステップは、パケット長、パケット到着間隔、通信方向、プロトコル、及びTCPフラグのうち少なくとも1つをパケットのパラメータとして分析することを特徴とする。 A tenth invention for solving the above-mentioned problems is any one of the seventh to ninth inventions,
In the analyzing step, at least one of a packet length, a packet arrival interval, a communication direction, a protocol, and a TCP flag is analyzed as a packet parameter.

上記課題を解決するための第11の発明は、上記第7から第10のいずれかの発明において、
前記ステップで判定されたアプリケーションの種類に応じて通信制御する通信制御ステップを有することを特徴とする。 An eleventh invention for solving the above-mentioned problems is any one of the seventh to tenth inventions,
A communication control step of performing communication control according to the type of application determined in the step is provided.

上記課題を解決するための第12の発明は、
トラフィック判定装置のプログラムであって、前記プログラムは前記トラフィック判定装置を、
受信したトラフィックのパケットのパラメータを分析する分析手段と、
前記分析結果に基づいて、受信したトラフィックのシーケンスパタンを判断し、このシーケンスパタンに対応付けられているアプリケーションを、アプリケーションとこのアプリケーションにおけるトラフィックのシーケンスパタンとが対応付けられたシーケンス参照パタンのデータベースから検索して、前記受信トラフィックのアプリケーションを判定する判定手段と
して機能させることを特徴とする。 A twelfth invention for solving the above-described problems is
A program for a traffic determination device, wherein the program determines the traffic determination device,
An analysis means for analyzing received traffic packet parameters;
Based on the analysis result, the sequence pattern of the received traffic is determined, and the application associated with the sequence pattern is determined from the database of the sequence reference pattern in which the application and the traffic sequence pattern in the application are associated. It searches and functions as a determination means for determining an application of the received traffic.

上記課題を解決するための第13の発明は、上記第12の発明において、
前記プログラムは前記トラフィック判定装置を、
ネットワークを介して受信するデータベース更新情報に基づいて前記データベースを更新する更新手段として機能させることを特徴とする。 A thirteenth invention for solving the above-mentioned problem is the above-mentioned twelfth invention,
The program uses the traffic determination device,
It is made to function as the update means which updates the said database based on the database update information received via a network.

上記課題を解決するための第14の発明は、上記第12又は第13の発明において、
前記プログラムは、前記分析手段を、受信したトラフィックの送信元及び送信先に関する情報を用いてセッション毎に分類されたトラフィックのパケットのパラメータを分析する手段として機能させることを特徴とする。 A fourteenth aspect of the invention for solving the above-described problem is the twelfth or thirteenth aspect of the invention,
The program causes the analysis unit to function as a unit that analyzes a packet parameter of traffic classified for each session using information on a transmission source and a transmission destination of received traffic.

上記課題を解決するための第15の発明は、上記第12から第14のいずれかの発明において、
前記プログラムは、前記分析手段を、パケット長、パケット到着間隔、通信方向、プロトコル、及びTCPフラグのうち少なくとも1つをパケットのパラメータとして分析する手段として機能させることを特徴とする。 A fifteenth aspect of the invention for solving the above-described problem is the invention according to any one of the twelfth to fourteenth aspects,
The program causes the analyzing means to function as means for analyzing at least one of a packet length, a packet arrival interval, a communication direction, a protocol, and a TCP flag as a packet parameter.

上記課題を解決するための第16の発明は、上記第12から第15のいずれかの発明において、
前記プログラムは、前記トラフィック判定装置を、
前記判定されたアプリケーションの種類に応じて通信制御する通信制御手段として機能させることを特徴とする。 A sixteenth aspect of the invention for solving the above-mentioned problems is the invention according to any one of the twelfth to fifteenth aspects,
The program causes the traffic determination device to
It is made to function as a communication control means for controlling communication according to the determined type of application.

上記課題を解決するための第17の発明は、
トラフィック判定装置であって、
受信トラフィックをセッション単位に分類し、この各セッション単位に分類されたトラフィックを構成するパケットから状態遷移パタンを作成し、作成した状態遷移パタンとトラフィックの種類に応じて予め保持されている状態遷移参照パタンとを比較することによって、受信トラフィックの種類を判定することを特徴とする。 The seventeenth invention for solving the above-mentioned problems is
A traffic determination device,
The received traffic is classified into session units, a state transition pattern is created from the packets constituting the traffic classified into each session unit, and the state transition reference stored in advance according to the created state transition pattern and traffic type The type of received traffic is determined by comparing the pattern.

上記課題を解決するための第18の発明は、
トラフィック判定方法であって、
受信トラフィックをセッション単位に分類し、この各セッション単位に分類されたトラフィックを構成するパケットから状態遷移パタンを作成し、作成した状態遷移パタンとトラフィックの種類に応じて予め保持されている状態遷移参照パタンとを比較することによって、受信トラフィックの種類を判定することを特徴とする。 An eighteenth invention for solving the above-described problems is
A traffic determination method,
The received traffic is classified into session units, a state transition pattern is created from the packets constituting the traffic classified into each session unit, and the state transition reference stored in advance according to the created state transition pattern and the type of traffic The type of received traffic is determined by comparing the pattern.

本発明の通信制御方法は、ネットワーク上を流れるトラフィックの通信パタンを分析してアプリケーションに応じて分類・制御する通信制御方法であって、ポート番号やシグネチャといったヘッダやペイロード情報に依存せずに通信ホスト間のトランザクションパタンを分析することによってトラフィックを分類・制御する。本発明の通信制御方法は、あらかじめアプリケーション毎に通信ホスト間のトランザクションに関する参照パタンを格納する段階と、受信したトラフィックを送受信IPアドレス及び送受信ポート番号からセッション単位のトラフィックに分類する段階と、分類したトラフィックのトランザクションパタンを分析する段階と、分析されたトランザクションパタンと参照パタンとを比較する段階と、比較した結果からトラフィックをアプリケーションに応じて分類する段階と、アプリケーションに応じて個々のトラフィックを制御する段階とを有する。   The communication control method of the present invention is a communication control method for analyzing and classifying and controlling the communication pattern of traffic flowing on the network according to the application, and it is possible to communicate without depending on header or payload information such as port number and signature. Classify and control traffic by analyzing transaction patterns between hosts. The communication control method of the present invention is classified into a step of storing a reference pattern related to a transaction between communication hosts in advance for each application, and a step of classifying received traffic into traffic for each session from a transmission / reception IP address and a transmission / reception port number. Analyzing the traffic transaction pattern, comparing the analyzed transaction pattern with the reference pattern, classifying the traffic according to the comparison result, and controlling the individual traffic according to the application Stages.

また、本発明の通信制御装置は、ネットワーク上を流れるトラフィックの通信パタンを分析してアプリケーションに応じて分類・制御する通信制御装置であって、ネットワークからトラフィックを受信する受信手段と、受信したトラフィクをセッション単位のトラフィックに分類する分類手段と、分類したトラフィックのトランザクションパタンを分析する分析手段と、分析手段によって出力されたトランザクションパタンと参照パタンとを比較する比較手段と、比較した結果からトラフィックをアプリケーションに応じて分類する分類手段と、アプリケーションに応じて個々のトラフィックを制御する制御手段とを有する。   The communication control device of the present invention is a communication control device that analyzes a communication pattern of traffic flowing on a network and classifies and controls it according to an application. The communication control device includes a receiving unit that receives traffic from the network, and a received traffic. Classifying means for classifying traffic into session-level traffic, analyzing means for analyzing the transaction pattern of the classified traffic, comparing means for comparing the transaction pattern output by the analyzing means with the reference pattern, and traffic from the comparison result Classification means for classifying according to applications and control means for controlling individual traffic according to applications.

このような構成を採用し、ネットワーク上を流れるトラフィックをセッション単位のトラフィックに分類して、個々のトラフィックのシーケンスパタンをパケット長及びパケット到着間隔などのポート番号やシグネチャに依存しないパラメータを用いて分析し、アプリケーション毎に事前に生成された参照シーケンスパタンと比較することによって、トラフィックをアプリケーションに応じて分類できるようになる。したがって、ポート番号を詐称するトラフィックや暗号化されたトラフィックに対してシグナリングを検出できるようになることから、アプリケーション検出速度を向上することができるため、本発明の目的を達成することができる。   Using this configuration, traffic flowing on the network is classified into session-based traffic, and the sequence pattern of each traffic is analyzed using parameters that do not depend on the port number or signature, such as packet length and packet arrival interval. By comparing with a reference sequence pattern generated in advance for each application, traffic can be classified according to the application. Therefore, since signaling can be detected for traffic that spoofs a port number or encrypted traffic, the application detection speed can be improved, and thus the object of the present invention can be achieved.

本発明は、セッション単位に分類したトラフィックのシーケンスパタンを分析し、予め保持している参照シーケンスパタンと比較してトラフィックをアプリケーションに応じて分類することにより、ポート番号を詐称したトラフィックや暗号化されたトラフィックに対してもトラフィックのアプリケーション検出速度を向上しデータ交換・流出を未然に防止できることにある。   The present invention analyzes traffic sequence patterns classified in session units, classifies traffic according to applications in comparison with reference sequence patterns held in advance, and traffic that spoofs port numbers or is encrypted. It is also possible to improve the application detection speed of traffic and prevent data exchange / outflow even in the case of traffic.

その理由は、セッション単位に分類したトラフィックをパケット長やパケット到着間隔といったポート番号やシグネチャに依存しないパラメータを用いてシーケンスパタンを分析することによって、U-Planeデータトラフィックが流れる前に行われるシグナリングを検出できるためである。   The reason for this is that the traffic classified before the session is analyzed using the sequence pattern using parameters that do not depend on the port number and signature such as packet length and packet arrival interval, so that the signaling performed before the U-Plane data traffic flows is analyzed. This is because it can be detected.

本発明の第1の実施の形態について説明する。   A first embodiment of the present invention will be described.

図1に示すように、本実施の形態は端末1a,1bとネットワーク2a,2bと通信制御装置3とから構成される。   As shown in FIG. 1, the present embodiment includes terminals 1a and 1b, networks 2a and 2b, and a communication control device 3.

端末1は、ネットワーク2を介してトラフィック(データ)を送受信する端末であり、通信ホストである場合もある。   The terminal 1 is a terminal that transmits and receives traffic (data) via the network 2 and may be a communication host.

通信制御装置3は、受信部11と、トラフィック分類部12と、パケット分析部13と、アプリケーション識別部14と、出力部15と、送信部16とを有する。   The communication control device 3 includes a reception unit 11, a traffic classification unit 12, a packet analysis unit 13, an application identification unit 14, an output unit 15, and a transmission unit 16.

受信部11は、端末1aと端末1bとがネットワークを介して送受信するトラフィックを受信し、この受信したトラフィックをコピーし、コピーしたトラフィックをトラフィック分類部12に転送する。また、コピーを終了したトラフィックを送信部16へ転送する。   The receiving unit 11 receives traffic transmitted and received between the terminal 1a and the terminal 1b via the network, copies the received traffic, and transfers the copied traffic to the traffic classification unit 12. Further, the traffic that has been copied is forwarded to the transmitter 16.

トラフィック分類部12は、識別完了トラフィックリスト格納部12aと、分類部12bと、バッファ部12cとを有する。   The traffic classification unit 12 includes an identification completion traffic list storage unit 12a, a classification unit 12b, and a buffer unit 12c.

トラフィック分類部12の分類部12bは、受信部11でコピーされたトラフィックを、トラフィックの送信元IPアドレス又は宛先IPアドレス及び送信元ポート番号又は宛先ポート番号に基づいてセッション(通信経路)毎にトラフィックを分類して後段のバッファに部12c格納する。   The classification unit 12b of the traffic classification unit 12 traffics the traffic copied by the reception unit 11 for each session (communication path) based on the transmission source IP address or destination IP address and the transmission source port number or destination port number of the traffic. Are stored in the subsequent buffer.

また、分類部12bは、後述するアプリケーション判定部14から通知されるアプリケーション判定が完了したトラフィックの送信元IPアドレス又は宛先IPアドレス及び送信元ポート番号又は宛先ポート番号を識別完了トラフィックとして識別完了トラフィックリスト格納部12aに登録し、登録されたトラフィックは後段のバッファに格納せずに廃棄する。   Further, the classification unit 12b uses the transmission source IP address or destination IP address and the transmission source port number or destination port number of the traffic for which the application determination notified from the application determination unit 14 described later is completed as the identification completion traffic list. The traffic registered in the storage unit 12a is discarded without being stored in the subsequent buffer.

パケット分析部13は、パケット長算出部13aと、パケット到着間隔算出部13bと、通信方向検出部13cと、プロトコル検出部13dと、TCPフラグ検出部13eと、状態判定部13fと、状態表格納部13gとを有する。   The packet analysis unit 13 includes a packet length calculation unit 13a, a packet arrival interval calculation unit 13b, a communication direction detection unit 13c, a protocol detection unit 13d, a TCP flag detection unit 13e, a state determination unit 13f, and a state table storage Part 13g.

パケット分析部13には、トラフィック分類部12でセッション毎に分類されたトラフィックが入力される。そしてこのトラフィックを構成するパケット群に対して、その先頭パケットから順にパケット長算出部13aがパケット長を、パケット到着間隔算出部13bがパケット到着間隔を、通信方向検出部13cが通信方向を、プロトコル検出部13dがプロトコルを、TCPフラグ検出部13eがTCPフラグを分析し、各パラメータの分析結果を状態判定部13fへ通知する。   The traffic analyzed by the traffic classification unit 12 for each session is input to the packet analysis unit 13. For the packet group constituting this traffic, the packet length calculation unit 13a sequentially sets the packet length, the packet arrival interval calculation unit 13b sets the packet arrival interval, the communication direction detection unit 13c sets the communication direction, and the protocol. The detection unit 13d analyzes the protocol, the TCP flag detection unit 13e analyzes the TCP flag, and notifies the state determination unit 13f of the analysis result of each parameter.

状態表格納部13gには、図3に示すようなパケット長(Li)、パケット到着間隔(Ti)、通信方向(Di)、パケットのプロトコル(Pi)、TCPフラグ(Fi)から定義されるパケットの状態の状態表が予め格納されている。   In the state table storage unit 13g, a packet defined by a packet length (Li), a packet arrival interval (Ti), a communication direction (Di), a packet protocol (Pi), and a TCP flag (Fi) as shown in FIG. A state table of these states is stored in advance.

状態判定部13fは、分析結果に基づいて、パケットの状態Siを状態表格納部13gに格納されている状態表から検索してパケット毎に状態を判定し、判定結果をセッション(トラフィックの送信元IPアドレス又は宛先IPアドレス及び送信元ポート番号又は宛先ポート番号)に関する情報と共にアプリケーション識別部14へ通知する。   Based on the analysis result, the state determination unit 13f searches the state table stored in the state table storage unit 13g for the state Si of the packet, determines the state for each packet, and determines the determination result as a session (traffic transmission source). The application identification unit 14 is notified together with information on the IP address or the destination IP address and the source port number or the destination port number).

アプリケーション識別部14は、シーケンス参照パタン格納部14aと、シーケンスパタン比較部14bと、判定部14cとを有する。   The application identification unit 14 includes a sequence reference pattern storage unit 14a, a sequence pattern comparison unit 14b, and a determination unit 14c.

シーケンス参照パタン格納部14aは、図4に示すように、アプリケーション毎に対応付けられたシーケンス参照パタンが格納されている。このシーケンス参照パタンは、各アプリケーションで生成されるトラフィックにおけるパケットの状態の変化を示しており、パケット長、パケット到着間隔、通信方向、プロトコル、TCPフラグから定義されたものである。   As shown in FIG. 4, the sequence reference pattern storage unit 14a stores a sequence reference pattern associated with each application. This sequence reference pattern indicates a change in the state of a packet in traffic generated by each application, and is defined from a packet length, a packet arrival interval, a communication direction, a protocol, and a TCP flag.

シーケンスパタン比較部14bは、状態判定部13fからに通知されるトラフィックの各パケットの状態判定結果と、シーケンス参照パタン格納部14aに格納されているシーケンス参照パタンとを比較し、比較結果としてどのアプリケーションに対応するシーケンス参照パタンに一致したかを判定部14cへ通知する。   The sequence pattern comparison unit 14b compares the state determination result of each packet of the traffic notified from the state determination unit 13f with the sequence reference pattern stored in the sequence reference pattern storage unit 14a, and determines which application as the comparison result. It is notified to the determination unit 14c whether the sequence reference pattern corresponding to is matched.

判定部14cは、パタン比較部14bから通知された比較結果に基づいてアプリケーションを判定し、アプリケーション判定結果をセッションに関する情報と共に出力部15へ通知する。また、分類部12に対して識別が完了したトラフィックの送信元IPアドレス又は宛先IPアドレス及び送信元ポート番号又は宛先ポート番号を通知し、識別完了トラフィックに対するアプリケーション識別処理を終了する。   The determination unit 14c determines an application based on the comparison result notified from the pattern comparison unit 14b, and notifies the output unit 15 of the application determination result together with information on the session. Further, the classification unit 12 is notified of the transmission source IP address or destination IP address and the transmission source port number or destination port number of the traffic that has been identified, and the application identification process for the identification completed traffic is terminated.

出力部15は、アプリケーション識別部14から通知されたアプリケーション判定結果をモニタ等に出力する。このとき、セッションの種類毎にアプリケーション判定結果を出力させても良い。   The output unit 15 outputs the application determination result notified from the application identification unit 14 to a monitor or the like. At this time, an application determination result may be output for each type of session.

送信部16は、受信部11から転送されたトラフィックを端末1bへ送信する。   The transmission unit 16 transmits the traffic transferred from the reception unit 11 to the terminal 1b.

続いて、本実施の形態の動作について説明する。   Subsequently, the operation of the present embodiment will be described.

受信部11は、通信ホスト間を流れるトラフィックを受信し、この受信したトラフィックをコピーし(図2のS1)、コピーしたトラフィックをトラフィック分類部12に転送する。また、コピーを終了したトラフィックを送信部16へ転送する。   The reception unit 11 receives the traffic flowing between the communication hosts, copies the received traffic (S1 in FIG. 2), and transfers the copied traffic to the traffic classification unit 12. Further, the traffic that has been copied is forwarded to the transmitter 16.

受信部11でコピーされた受信トラフィックは、分類部12bで、受信トラフィックの送信元IPアドレス又は宛先IPアドレス及び送信元ポート番号又は宛先ポート番号に基づいて、セッション(通信経路)毎にトラフィックを分類されて後段のバッファに格納される(図2のS2)。   The received traffic copied by the receiving unit 11 is classified by the classifying unit 12b for each session (communication path) based on the source IP address or destination IP address and the source port number or destination port number of the received traffic. And stored in the subsequent buffer (S2 in FIG. 2).

一方、分類部12bは、アプリケーション判定部14から通知されるアプリケーション判定が完了したトラフィックの送信元IPアドレス又は宛先IPアドレス及び送信元ポート番号又は宛先ポート番号を識別完了トラフィックとして識別完了トラフィックリスト格納部12aに登録し、登録されたトラフィックは後段のバッファに格納せずに廃棄する(図2のS3)。   On the other hand, the classification unit 12b uses the transmission source IP address or the destination IP address and the transmission source port number or the destination port number of the traffic for which the application determination notified from the application determination unit 14 has been completed as the identification completion traffic. The registered traffic is discarded without being stored in the subsequent buffer (S3 in FIG. 2).

バッファに格納されたトラフィックは、このトラフィックを構成するパケットの先頭パケットから順に、パケット長算出部13aがパケット長を、パケット到着間隔算出部13bがパケット到着間隔を、通信方向検出部13cが通信方向を、プロトコル検出部13dがプロトコルを、TCPフラグ検出部13eがTCPフラグを分析する(図2のS4)。そして、トラフィックを構成している禅パケットに対して全パラメータの分析が完了したかを判別し、完了していれば、各分析結果を状態判定部13fへ通知する。   For the traffic stored in the buffer, the packet length calculation unit 13a, the packet arrival interval calculation unit 13b, the packet arrival interval, the communication direction detection unit 13c, the communication direction The protocol detector 13d analyzes the protocol, and the TCP flag detector 13e analyzes the TCP flag (S4 in FIG. 2). Then, it is determined whether or not the analysis of all parameters has been completed for the Zen packet that constitutes the traffic. If the analysis has been completed, each analysis result is notified to the state determination unit 13f.

状態判定部13fは、状態表格納部13gに格納されている状態表を用いて、分析結果から各パケットの状態Siを判定し、パケット毎の状態の判定結果をアプリケーション識別部14へ通知する(図2のS5)。   The state determination unit 13f determines the state Si of each packet from the analysis result using the state table stored in the state table storage unit 13g, and notifies the application identification unit 14 of the state determination result for each packet ( S5 in FIG.

シーケンスパタン比較部14bは、状態判定部13fから次々に通知される状態判定結果と、シーケンス参照パタン格納部14aに格納されているシーケンス参照パタンとを比較し、比較結果としてどのアプリケーションに対応するシーケンス参照パタンに一致したかを判定部14cへ通知する(図2のS6)。   The sequence pattern comparison unit 14b compares the state determination results successively notified from the state determination unit 13f with the sequence reference patterns stored in the sequence reference pattern storage unit 14a, and the sequence corresponding to which application is the comparison result. It is notified to the determination unit 14c whether the reference pattern matches (S6 in FIG. 2).

判定部14cは、パタン比較部14bから通知された比較結果に基づいてアプリケーションを判定する(図2のS7)。   The determination unit 14c determines an application based on the comparison result notified from the pattern comparison unit 14b (S7 in FIG. 2).

アプリケーション判定結果を出力部15へ通知する。また、分類部12に対して識別完了トラフィックの送受信IPアドレス及び送受信ポート番号を通知し、識別完了トラフィックに対するアプリケーション識別処理を終了する(図2のS8)。   The application determination result is notified to the output unit 15. Further, the transmission / reception IP address and transmission / reception port number of the identification completion traffic are notified to the classification unit 12, and the application identification processing for the identification completion traffic is terminated (S8 in FIG. 2).

出力部15は、アプリケーション識別部14から通知されたアプリケーション判定結果をモニタ等に出力する(図2のS9)。   The output unit 15 outputs the application determination result notified from the application identification unit 14 to a monitor or the like (S9 in FIG. 2).

送信部16は、受信部11から転送されたトラフィックを送信する。   The transmission unit 16 transmits the traffic transferred from the reception unit 11.

次に、本実施の形態の効果について説明する。   Next, the effect of this embodiment will be described.

本実施の形態では、パケット長、パケット到着間隔、通信方向、プロトコル、TCPフラグといったポート番号やシグネチャに依存しない複数のパラメータを用いて、通信ホスト間のシーケンスパタンを分析し、あらかじめ登録しておいたアプリケーション毎のシーケンス参照パタンと比較することによりアプリケーションを識別する。したがって、ポート番号を詐称したトラフィックや暗号化されたトラフィックに対してもU-Planeデータトラフィックが流れる前のシグナリングを検出できることから、アプリケーション検出速度を向上することが可能である。   In this embodiment, the sequence pattern between communication hosts is analyzed and registered in advance using a plurality of parameters that do not depend on the port number or signature such as packet length, packet arrival interval, communication direction, protocol, and TCP flag. The application is identified by comparing with the sequence reference pattern for each application. Therefore, since the signaling before the U-Plane data traffic flows can be detected even for traffic in which the port number is spoofed or encrypted traffic, the application detection speed can be improved.

尚、上記第1の実施の形態の説明では、パケット分析においてパケット長、パケット到着間隔、通信方向、プロトコル、TCPフラグといったパラメータを用いて各パケットの状態を定義したが、他のパケットの状態を表すためのパラメータを使用することができる。   In the description of the first embodiment, each packet state is defined by using parameters such as packet length, packet arrival interval, communication direction, protocol, and TCP flag in the packet analysis. Parameters to represent can be used.

次に、本発明の第2の形態及びフローチャートについて図5及び図6を参照して詳細に説明する。   Next, the 2nd form and flowchart of this invention are demonstrated in detail with reference to FIG.5 and FIG.6.

図3を参照すると、本発明を実施するための第2の形態は、端末1a,1bとネットワーク2a,2bと、通信制御装置4とを有する。   Referring to FIG. 3, the second mode for carrying out the present invention includes terminals 1 a and 1 b, networks 2 a and 2 b, and a communication control device 4.

通信制御装置4は、受信部11と、識別完了トラフィックリスト格納部12a、及び分類部12bを有するトラフィック分類部12と、パケット長算出部13a、パケット到着間隔算出部13b、通信方向検出部13c、プロトコル検出部13d、TCPフラグ検出部13e、状態判定部13f、及び状態表格納部13gを有するパケット分析部13と、シーケンス参照パタン格納部14a、シーケンスパタン比較部14b、及び判定部14cを有するアプリケーション識別部14と、出力部15と、通信制御部16aを有する送信部16とを有する。   The communication control device 4 includes a receiving unit 11, a traffic classification unit 12 including an identification completion traffic list storage unit 12a and a classification unit 12b, a packet length calculation unit 13a, a packet arrival interval calculation unit 13b, a communication direction detection unit 13c, A packet analysis unit 13 having a protocol detection unit 13d, a TCP flag detection unit 13e, a state determination unit 13f, and a state table storage unit 13g, and an application having a sequence reference pattern storage unit 14a, a sequence pattern comparison unit 14b, and a determination unit 14c It has the identification part 14, the output part 15, and the transmission part 16 which has the communication control part 16a.

図5に示す本実施の形態の通信制御装置4と、図1に示す第1の実施形態における通信制御装置3との異なる点は、送信部16において通信制御部16aを有する点である。通信制御部16aは、アプリケーション識別部14から通知されたアプリケーション判定結果に基づいて、あらかじめ設定されたポリシにしたがってフィルタリングやシェーピング等の通信制御を実施する。尚、上記第1の実施の形態と同様の構成については、同一の番号を付し、詳細な説明は省略する。   The difference between the communication control device 4 of the present embodiment shown in FIG. 5 and the communication control device 3 of the first embodiment shown in FIG. 1 is that the transmission unit 16 has a communication control unit 16a. Based on the application determination result notified from the application identification unit 14, the communication control unit 16a performs communication control such as filtering and shaping according to a preset policy. In addition, the same number is attached | subjected about the structure similar to the said 1st Embodiment, and detailed description is abbreviate | omitted.

続いて、本実施の形態の動作について図6を用いて説明する。尚、図6に示す第2の実施形態におけるフローチャートにおいて、通信制御装置4における動作は上記実施の形態で説明したS1からS9までと同一であるため、説明は省略する。図2に示す第1の実施形態と異なる動作について以下に説明する。   Next, the operation of this embodiment will be described with reference to FIG. In the flowchart in the second embodiment shown in FIG. 6, the operation in the communication control device 4 is the same as S1 to S9 described in the above embodiment, and thus the description thereof is omitted. Operations different from those of the first embodiment shown in FIG. 2 will be described below.

アプリケーション識別部14は、判定部14cにおいて出力されたアプリケーション判定結果をセッションに関する情報と共に送信部16に通知する。   The application identification unit 14 notifies the transmission unit 16 of the application determination result output from the determination unit 14c together with information regarding the session.

通信制御部16aは、アプリケーション識別部14から通知されたアプリケーション判定結果と、セッションに関する情報とに基づいて、あらかじめ設定されたポリシにしたがってフィルタリングやシェーピング等の通信制御を実施する(図6のS10)。   The communication control unit 16a performs communication control such as filtering and shaping according to a preset policy based on the application determination result notified from the application identification unit 14 and information on the session (S10 in FIG. 6). .

次に、本実施の形態の効果について説明する。   Next, the effect of this embodiment will be described.

本実施の形態では、パケット長、パケット到着間隔、通信方向、プロトコル、TCPフラグといったポート番号やシグネチャに依存しない複数のパラメータを用いて、通信ホスト間のシーケンスパタンを分析し、あらかじめ登録しておいたアプリケーション毎のシーケンス参照パタンと比較することによりアプリケーションを識別し、識別トラフィックに対しポリシに応じた適切なフィルタリングやシェーピング等の通信制御を実施する。したがって、ポート番号を詐称したトラフィックや暗号化されたトラフィックに対してもU-Planeデータトラフィックが流れる前のシグナリングを検出できることから、アプリケーション検出速度を向上することができ、データ交換・流出を未然に防止することが可能である。   In this embodiment, the sequence pattern between communication hosts is analyzed and registered in advance using a plurality of parameters that do not depend on the port number or signature such as packet length, packet arrival interval, communication direction, protocol, and TCP flag. The application is identified by comparing it with the sequence reference pattern for each application, and communication control such as appropriate filtering and shaping corresponding to the policy is performed on the identified traffic. Therefore, it is possible to detect the signaling before the U-Plane data traffic flows even for traffic with spoofed port numbers or encrypted traffic, so the application detection speed can be improved and data exchange / outflow can be prevented. It is possible to prevent.

上記の説明では、パケット分析においてパケット長、パケット到着間隔、通信方向、プロトコル、TCPフラグといったパラメータを用いて各パケットの状態を定義したが、他のパケットの状態を表すためのパラメータを使用することができる。   In the above description, in packet analysis, the packet status is defined using parameters such as packet length, packet arrival interval, communication direction, protocol, and TCP flag. However, parameters for representing the status of other packets should be used. Can do.

次に、本発明の第3の実施形態及びフローチャートについて図7及び図8を参照して説明する。   Next, a third embodiment and a flowchart of the present invention will be described with reference to FIGS.

図7を参照すると、本発明を実施するための第3の形態は、端末1a,1bとネットワーク2a,2bと、通信制御装置5とを有する。   Referring to FIG. 7, the third embodiment for carrying out the present invention includes terminals 1a and 1b, networks 2a and 2b, and a communication control device 5.

通信制御装置5は受信部11と、識別完了トラフィックリスト格納部12a、分類部12bを有するトラフィック分類部12と、パケット長算出部13a、パケット到着間隔算出部13b、通信方向検出部13c、プロトコル検出部13d、TCPフラグ検出部13e、状態判定部13f、状態表格納部13gを有するパケット分析部13と、シーケンス参照パタン格納部14a、シーケンスパタン比較部14b、判定部14cを有するアプリケーション識別部14と、出力部15と、通信制御部16aを有する送信部16と、更新部17aとを有する。   The communication control device 5 includes a receiving unit 11, a traffic classification unit 12 including an identification completion traffic list storage unit 12a and a classification unit 12b, a packet length calculation unit 13a, a packet arrival interval calculation unit 13b, a communication direction detection unit 13c, and a protocol detection. A packet analysis unit 13 having a unit 13d, a TCP flag detection unit 13e, a state determination unit 13f, and a state table storage unit 13g, a sequence reference pattern storage unit 14a, a sequence pattern comparison unit 14b, and an application identification unit 14 having a determination unit 14c. , An output unit 15, a transmission unit 16 having a communication control unit 16a, and an update unit 17a.

図5に示す第3の実施形態における通信制御装置4と、図3に示す第2の実施形態における通信制御装置4との異なる点は、更新部17を有する点と、受信パケットが自IPアドレス宛の状態表更新パケットまたは自IPアドレス宛のシーケンス参照パタン更新パケットであるかを判別する機能をトラフィック分類部12が有する点である。更新部17は、状態表更新パケットを受信した場合、状態表更新パケットに基づいて、シーケンス分析部13に含まれる状態表格納部13gに格納される状態表のデータベースを更新する。また更新部17は、シーケンス参照パタン更新パケットを受信した場合、シーケンス参照パタン更新パケットに基づき、アプリケーション識別部14に含まれるシーケンス参照パタン格納部14aに格納されるシーケンス参照パタンのデータベースを更新する。尚、上記実施の形態と同様の構成については同一の番号を付し、詳細な説明を省略する。   The difference between the communication control device 4 in the third embodiment shown in FIG. 5 and the communication control device 4 in the second embodiment shown in FIG. 3 is that it has an update unit 17 and the received packet has its own IP address. The traffic classification unit 12 has a function of determining whether the packet is a state table update packet addressed to the destination or a sequence reference pattern update packet addressed to the own IP address. When receiving the state table update packet, the updating unit 17 updates the state table database stored in the state table storage unit 13g included in the sequence analysis unit 13 based on the state table update packet. When receiving the sequence reference pattern update packet, the update unit 17 updates the database of the sequence reference pattern stored in the sequence reference pattern storage unit 14 a included in the application identification unit 14 based on the sequence reference pattern update packet. In addition, the same number is attached | subjected about the structure similar to the said embodiment, and detailed description is abbreviate | omitted.

続いて、本実施の形態の動作について説明する。図8に示す第3の実施形態におけるフローチャートにおいて、通信制御装置5における動作について、図6に示す第2の実施形態と異なる動作について以下に説明する。   Subsequently, the operation of the present embodiment will be described. In the flowchart in the third embodiment shown in FIG. 8, the operation in the communication control device 5 will be described below with respect to the operation different from the second embodiment shown in FIG. 6.

トラフィック分類部12は、受信部11においてコピーされたパケットが自IPアドレス宛の状態表更新パケットまたは自IPアドレス宛のシーケンス参照パタン更新パケットであった場合、更新パケットを更新部17へ転送する。そうでない場合は、第2の実施例と同様の動作を行う。   The traffic classification unit 12 transfers the update packet to the update unit 17 when the packet copied in the reception unit 11 is a state table update packet addressed to its own IP address or a sequence reference pattern update packet addressed to its own IP address. Otherwise, the same operation as in the second embodiment is performed.

更新部17は、状態表更新パケットを受信した場合、状態表更新パケットに基づいて、シーケンス分析部13に含まれる状態表格納部13gに格納される状態表のデータベースを更新する。また更新部17は、シーケンス参照パタン更新パケットを受信した場合、シーケンス参照パタン更新パケットに基づき、アプリケーション識別部14に含まれるシーケンス参照パタン格納部14aに格納されるシーケンス参照パタンのデータベースを更新する(図6のS11)。データベース更新後は、更新後のデータベースに基づいてアプリケーション識別処理を実行する。   When receiving the state table update packet, the updating unit 17 updates the state table database stored in the state table storage unit 13g included in the sequence analysis unit 13 based on the state table update packet. Further, when receiving the sequence reference pattern update packet, the update unit 17 updates the sequence reference pattern database stored in the sequence reference pattern storage unit 14a included in the application identification unit 14 based on the sequence reference pattern update packet ( S11 in FIG. After the database update, application identification processing is executed based on the updated database.

次に、本実施の形態の効果について説明する。   Next, the effect of this embodiment will be described.

新規アプリケーションの登場やアプリケーションの改版などに伴って、これらをアプリケーション識別するための状態表及びシーケンス参照パタンが変化していくと考えられる。本実施の形態では、通信制御装置において更新部を設けることにより、ネットワークを介して状態表及びシーケンス参照パタンを更新することが可能できる。   With the appearance of new applications or revisions of applications, it is considered that the status table and sequence reference pattern for identifying these applications will change. In the present embodiment, it is possible to update the state table and the sequence reference pattern via the network by providing an update unit in the communication control device.

上記の説明では、パケット分析においてパケット長、パケット到着間隔、通信方向、プロトコル、TCPフラグといったパラメータを用いて各パケットの状態を定義したが、他のパケットの状態を表すためのパラメータを使用することができる。   In the above description, in packet analysis, the packet status is defined using parameters such as packet length, packet arrival interval, communication direction, protocol, and TCP flag. However, parameters for representing the status of other packets should be used. Can do.

また上記の説明では、ネットワークを介したデータベースの更新方法として示したが、ネットワーク管理者が図5に示す通信制御装置に対して記録媒体を使用し、手動でデータベース更新作業を実施してもよい。   In the above description, the database update method is shown as a database update method. However, the network administrator may manually perform the database update operation using a recording medium for the communication control apparatus shown in FIG. .

本発明の第1の実施形態の通信監視装置の構成を示すブロック図である。It is a block diagram which shows the structure of the communication monitoring apparatus of the 1st Embodiment of this invention. 図1に示した通信監視装置における処理手順を示すフローチャートである。It is a flowchart which shows the process sequence in the communication monitoring apparatus shown in FIG. 本発明のパケット分析部の状態表格納部に格納される状態表の例である。It is an example of the state table stored in the state table storage part of the packet analysis part of this invention. 本発明のアプリケーション識別部のシーケンス参照パタン格納部に格納されるシーケンス参照パタンの例である。It is an example of the sequence reference pattern stored in the sequence reference pattern storage part of the application identification part of this invention. 本発明の第2の実施形態の通信制御装置の構成を示すブロック図である。It is a block diagram which shows the structure of the communication control apparatus of the 2nd Embodiment of this invention. 図5に示した通信制御装置における処理手順を示すフローチャートである。It is a flowchart which shows the process sequence in the communication control apparatus shown in FIG. 本発明の第3の実施形態の通信制御装置の構成を示すブロック図である。It is a block diagram which shows the structure of the communication control apparatus of the 3rd Embodiment of this invention. 図7に示した通信制御装置における処理手順を示すフローチャートである。It is a flowchart which shows the process sequence in the communication control apparatus shown in FIG.

符号の説明Explanation of symbols

1 端末
2 ネットワーク
3 第1の実施形態の通信監視装置
4 第2の実施形態の通信制御装置
5 第3の実施形態の通信制御装置
11 受信部
12 トラフィック分類部
12a 識別完了トラフィックリスト格納部
12b 分類部
13 パケット分析部
13a パケット長算出部
13b パケット到着間隔算出部
13c 通信方向検出部
13d プロトコル検出部
13e TCPフラグ検出部
13f 状態判定部
13g 状態表格納部
14 アプリケーション識別部
14a シーケンス参照パタン格納部
14b シーケンスパタン比較部
14c 判定部
15 出力部
16 送信部
16a 通信制御部
17 更新部 DESCRIPTION OF SYMBOLS 1 Terminal 2 Network 3 Communication monitoring apparatus of 1st Embodiment 4 Communication control apparatus of 2nd Embodiment 5 Communication control apparatus of 3rd Embodiment 11 Receiving part 12 Traffic classification part 12a Identification completion traffic list storage part 12b Classification Unit 13 packet analysis unit 13a packet length calculation unit 13b packet arrival interval calculation unit 13c communication direction detection unit 13d protocol detection unit 13e TCP flag detection unit 13f state determination unit 13g state table storage unit 14 application identification unit 14a sequence reference pattern storage unit 14b Sequence pattern comparison unit 14c determination unit 15 output unit 16 transmission unit 16a communication control unit 17 update unit

Claims (18)

トラフィック判定装置であって、
アプリケーションと、このアプリケーションにおけるトラフィックのシーケンスパタンとが対応付けられたシーケンス参照パタンのデータベースと、
受信したトラフィックのパケットのパラメータを分析する分析手段と、
前記分析結果に基づいて、受信したトラフィックのシーケンスパタンを判断し、このシーケンスパタンに対応付けられているアプリケーションを前記データベースから検索して、前記受信トラフィックのアプリケーションを判定する判定手段と
を有することを特徴とするトラフィック判定装置。 A traffic determination device,
A database of sequence reference patterns in which an application is associated with a sequence pattern of traffic in the application;
An analysis means for analyzing received traffic packet parameters;
Determination means for determining a sequence pattern of the received traffic based on the analysis result, searching an application associated with the sequence pattern from the database, and determining the application of the received traffic. A characteristic traffic judgment device. 前記データベースは、ネットワークを介して受信するデータベース更新情報に基づいて更新されることを特徴とする請求項1に記載のトラフィック判定装置。   The traffic determination apparatus according to claim 1, wherein the database is updated based on database update information received via a network. 前記分析手段は、受信したトラフィックの送信元及び送信先に関する情報を用いてセッション毎に分類されたトラフィックのパケットのパラメータを分析することを特徴とする請求項1又は請求項2に記載のトラフィック判定装置。   The traffic determination according to claim 1, wherein the analysis unit analyzes a parameter of a traffic packet classified for each session using information on a transmission source and a transmission destination of the received traffic. apparatus. 前記分析手段は、パケット長、パケット到着間隔、通信方向、プロトコル、及びTCPフラグのうち少なくとも1つをパケットのパラメータとして分析することを特徴とする請求項1から請求項3のいずれかに記載のトラフィック判定装置。   4. The analysis unit according to claim 1, wherein the analysis unit analyzes at least one of a packet length, a packet arrival interval, a communication direction, a protocol, and a TCP flag as a packet parameter. Traffic judgment device. 前記データベースは、アプリケーションにおけるトラフィックのパケット長、パケット到着間隔、通信方向、プロトコル、TCPフラグに基づいて生成されたデータベースであることを特徴とする請求項1から請求項4のいずれかに記載のトラフィック判定装置。   The traffic according to any one of claims 1 to 4, wherein the database is a database generated based on a packet length, a packet arrival interval, a communication direction, a protocol, and a TCP flag of traffic in an application. Judgment device. 前記判定されたアプリケーションの種類に応じて通信制御する通信制御手段を有することを特徴とする請求項1から請求項6のいずれかに記載のトラフィック判定装置。   The traffic determination device according to claim 1, further comprising a communication control unit configured to control communication according to the determined type of application. トラフィック判定方法であって、
受信したトラフィックのパケットのパラメータを分析する分析ステップと、
前記分析結果に基づいて、受信したトラフィックのシーケンスパタンを判断する判断ステップと、
前記判断されたシーケンスパタンに対応付けられているアプリケーションを、アプリケーションとこのアプリケーションにおけるトラフィックのシーケンスパタンとが対応付けられたシーケンス参照パタンのデータベースから検索して、前記受信トラフィックのアプリケーションを判定する判定ステップと
を有することを特徴とするトラフィック判定方法。 A traffic determination method,
An analysis step to analyze the parameters of the received traffic packet;
A determination step of determining a sequence pattern of the received traffic based on the analysis result;
A determination step of searching for an application associated with the determined sequence pattern from a database of sequence reference patterns in which an application and a sequence pattern of traffic in the application are associated, and determining an application of the received traffic And a traffic determination method characterized by comprising: ネットワークを介して受信したデータベース更新情報に基づいて前記データベースを更新する更新ステップを有することを特徴とする請求項7に記載のトラフィック判定方法。   The traffic determination method according to claim 7, further comprising an update step of updating the database based on database update information received via a network. 前記分析ステップは、受信したトラフィックの送信元及び送信先に関する情報を用いてセッション毎に分類されたトラフィックのパケットのパラメータを分析することを特徴とする請求項7又は請求項8に記載のトラフィック判定方法。   9. The traffic determination according to claim 7, wherein the analyzing step analyzes a packet parameter of the traffic classified for each session using information on a transmission source and a transmission destination of the received traffic. Method. 前記分析ステップは、パケット長、パケット到着間隔、通信方向、プロトコル、及びTCPフラグのうち少なくとも1つをパケットのパラメータとして分析することを特徴とする請求項7から請求項9のいずれかに記載のトラフィック判定ステップ。   10. The analysis according to claim 7, wherein the analysis step analyzes at least one of a packet length, a packet arrival interval, a communication direction, a protocol, and a TCP flag as a parameter of the packet. Traffic determination step. 前記ステップで判定されたアプリケーションの種類に応じて通信制御する通信制御ステップを有することを特徴とする請求項7から請求項10のいずれかに記載のトラフィック判定方法。   The traffic determination method according to claim 7, further comprising a communication control step of performing communication control according to the type of application determined in the step. トラフィック判定装置のプログラムであって、前記プログラムは前記トラフィック判定装置を、
受信したトラフィックのパケットのパラメータを分析する分析手段と、
前記分析結果に基づいて、受信したトラフィックのシーケンスパタンを判断し、このシーケンスパタンに対応付けられているアプリケーションを、アプリケーションとこのアプリケーションにおけるトラフィックのシーケンスパタンとが対応付けられたシーケンス参照パタンのデータベースから検索して、前記受信トラフィックのアプリケーションを判定する判定手段と
して機能させることを特徴とするプログラム。 A program for a traffic determination device, wherein the program determines the traffic determination device,
An analysis means for analyzing received traffic packet parameters;
Based on the analysis result, the sequence pattern of the received traffic is determined, and the application associated with the sequence pattern is determined from the database of the sequence reference pattern in which the application and the traffic sequence pattern in the application are associated. A program that searches and functions as a determination unit that determines an application of the received traffic. 前記プログラムは前記トラフィック判定装置を、
ネットワークを介して受信するデータベース更新情報に基づいて前記データベースを更新する更新手段として機能させることを特徴とする請求項12に記載のプログラム。 The program uses the traffic determination device,
13. The program according to claim 12, wherein the program functions as an update unit that updates the database based on database update information received via a network. 前記プログラムは、前記分析手段を、受信したトラフィックの送信元及び送信先に関する情報を用いてセッション毎に分類されたトラフィックのパケットのパラメータを分析する手段として機能させることを特徴とする請求項12又は請求項13に記載のプログラム。   The program causes the analysis unit to function as a unit that analyzes a packet parameter of traffic classified for each session using information on a transmission source and a transmission destination of received traffic. The program according to claim 13. 前記プログラムは、前記分析手段を、パケット長、パケット到着間隔、通信方向、プロトコル、及びTCPフラグのうち少なくとも1つをパケットのパラメータとして分析する手段として機能させることを特徴とする請求項12から請求項14のいずれかに記載のプログラム。   13. The program according to claim 12, wherein the program causes the analysis unit to function as a unit that analyzes at least one of a packet length, a packet arrival interval, a communication direction, a protocol, and a TCP flag as a packet parameter. Item 15. The program according to any one of Item 14. 前記プログラムは、前記トラフィック判定装置を、
前記判定されたアプリケーションの種類に応じて通信制御する通信制御手段として機能させることを特徴とする請求項12から請求項15のいずれかに記載のプログラム。 The program causes the traffic determination device to
The program according to any one of claims 12 to 15, wherein the program is caused to function as a communication control unit that performs communication control according to the determined type of application. トラフィック判定装置であって、
受信トラフィックをセッション単位に分類し、この各セッション単位に分類されたトラフィックを構成するパケットから状態遷移パタンを作成し、作成した状態遷移パタンとトラフィックの種類に応じて予め保持されている状態遷移参照パタンとを比較することによって、受信トラフィックの種類を判定することを特徴とするトラフィック判定装置。 A traffic determination device,
The received traffic is classified into session units, a state transition pattern is created from the packets constituting the traffic classified into each session unit, and the state transition reference stored in advance according to the created state transition pattern and traffic type A traffic determination device characterized by determining a type of received traffic by comparing a pattern. トラフィック判定方法であって、
受信トラフィックをセッション単位に分類し、この各セッション単位に分類されたトラフィックを構成するパケットから状態遷移パタンを作成し、作成した状態遷移パタンとトラフィックの種類に応じて予め保持されている状態遷移参照パタンとを比較することによって、受信トラフィックの種類を判定することを特徴とするトラフィック判定方法。 A traffic determination method,
The received traffic is classified into session units, a state transition pattern is created from the packets constituting the traffic classified into each session unit, and the state transition reference stored in advance according to the created state transition pattern and traffic type A traffic determination method characterized by determining a type of received traffic by comparing a pattern.
JP2006046318A 2006-02-23 2006-02-23 Traffic decision device, traffic decision method, and program therefor Pending JP2007228217A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006046318A JP2007228217A (en) 2006-02-23 2006-02-23 Traffic decision device, traffic decision method, and program therefor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006046318A JP2007228217A (en) 2006-02-23 2006-02-23 Traffic decision device, traffic decision method, and program therefor

Publications (1)

Publication Number Publication Date
JP2007228217A true JP2007228217A (en) 2007-09-06

Family

ID=38549582

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006046318A Pending JP2007228217A (en) 2006-02-23 2006-02-23 Traffic decision device, traffic decision method, and program therefor

Country Status (1)

Country Link
JP (1) JP2007228217A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011515939A (en) * 2008-03-21 2011-05-19 アルカテル−ルーセント In-band DPI application recognition propagation enhancement function
JP2011243192A (en) * 2010-04-15 2011-12-01 Computer Associates Think Inc Rule system for efficient transaction pattern matching
JP2013513883A (en) * 2009-12-24 2013-04-22 エンパイア テクノロジー ディベロップメント エルエルシー Dynamic mobile application quality of service monitoring and reporting
KR101564045B1 (en) * 2014-10-30 2015-10-29 고려대학교 산학협력단 Method and Apparatus for analyzing network traffic based on behavior signature
JP2016195319A (en) * 2015-03-31 2016-11-17 Kddi株式会社 Service type estimation device, method and program

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
CSND200500983004, 阿蘇 和人, "タイプで分類 2005年版ファイアウォール大研究", 日経NETWORK 第58号, 20050122, p.66−69, 日経BP社 *
CSNG200600673003, 北村 強、静野 隆之、岡部 稔哉, "フロー挙動分析技術に基づくアプリケーション識別手法", 電子情報通信学会技術研究報告 Vol.105 No.470, 20051208, p.13−16, 社団法人電子情報通信学会 *
JPN6010061561, 阿蘇 和人, "タイプで分類 2005年版ファイアウォール大研究", 日経NETWORK 第58号, 20050122, p.66−69, 日経BP社 *
JPN6010061563, 北村 強、静野 隆之、岡部 稔哉, "フロー挙動分析技術に基づくアプリケーション識別手法", 電子情報通信学会技術研究報告 Vol.105 No.470, 20051208, p.13−16, 社団法人電子情報通信学会 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011515939A (en) * 2008-03-21 2011-05-19 アルカテル−ルーセント In-band DPI application recognition propagation enhancement function
JP2013513883A (en) * 2009-12-24 2013-04-22 エンパイア テクノロジー ディベロップメント エルエルシー Dynamic mobile application quality of service monitoring and reporting
US8578020B2 (en) 2009-12-24 2013-11-05 Empire Technology Development Llc Dynamic mobile application quality-of-service monitoring and reporting
JP2011243192A (en) * 2010-04-15 2011-12-01 Computer Associates Think Inc Rule system for efficient transaction pattern matching
US9569326B2 (en) 2010-04-15 2017-02-14 Ca, Inc. Rule organization for efficient transaction pattern matching
US10397349B2 (en) 2010-04-15 2019-08-27 Ca, Inc. Rule organization for efficient transaction pattern matching
KR101564045B1 (en) * 2014-10-30 2015-10-29 고려대학교 산학협력단 Method and Apparatus for analyzing network traffic based on behavior signature
JP2016195319A (en) * 2015-03-31 2016-11-17 Kddi株式会社 Service type estimation device, method and program

Similar Documents

Publication Publication Date Title
CN111193666B (en) Applying quality of experience metrics using adaptive machine learning sounding prediction
US10778572B2 (en) System and method for dataplane-signaled packet capture in a segment routing environment
US11343182B2 (en) System and method for dataplane-signaled packet capture in IPV6 environment
US10587492B2 (en) Method and apparatus for tracing paths in service function chains
US9800491B1 (en) Application based packet forwarding
Sandri et al. On the benefits of using multipath tcp and openflow in shared bottlenecks
KR101409563B1 (en) Method and apparatus for identifying application protocol
CN111049757B (en) Service flow processing method and device
JP6162337B2 (en) Application-aware network management
WO2016162833A1 (en) Method and system for traffic pattern generation in a software-defined networking (sdn) system
EP2482497B1 (en) Data forwarding method, data processing method, system and device thereof
US20130294449A1 (en) Efficient application recognition in network traffic
US20060262789A1 (en) Method and corresponding device for packets classification
CN113169937A (en) User data traffic handling
JP2007228217A (en) Traffic decision device, traffic decision method, and program therefor
US9356876B1 (en) System and method for classifying and managing applications over compressed or encrypted traffic
KR20130044002A (en) Router and method for application awareness and traffic control on flow based router
CN102480503B (en) P2P (peer-to-peer) traffic identification method and P2P traffic identification device
KR101211147B1 (en) System for network inspection and providing method thereof
JP7412363B2 (en) Identifying the protocol of the data stream
JP6184381B2 (en) Method and apparatus for classifying encrypted data flows, computer program, and information storage means
CN113556345A (en) Message processing method, device, equipment and medium
JP2018029303A (en) Notification system and notification method
CN106067864B (en) Message processing method and device
JP5937526B2 (en) Traffic control system and traffic control method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090115

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100917

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101027

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110309