JP2007228489A - Identification system and method therefor, and program for application - Google Patents

Identification system and method therefor, and program for application Download PDF

Info

Publication number
JP2007228489A
JP2007228489A JP2006049896A JP2006049896A JP2007228489A JP 2007228489 A JP2007228489 A JP 2007228489A JP 2006049896 A JP2006049896 A JP 2006049896A JP 2006049896 A JP2006049896 A JP 2006049896A JP 2007228489 A JP2007228489 A JP 2007228489A
Authority
JP
Japan
Prior art keywords
packet
application
statistic
interest
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006049896A
Other languages
Japanese (ja)
Inventor
Takayuki Shizuno
隆之 静野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2006049896A priority Critical patent/JP2007228489A/en
Publication of JP2007228489A publication Critical patent/JP2007228489A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a technology capable of identifying the application, even in an environment where a part of traffics is encrypted in end-to-end communications, where flows of two or more applications are intermingled on the traffic flows. <P>SOLUTION: An identification system of application for identifying application of packets to be noticed as an identification object comprises a statistics value calculating means for computing statistics values based upon information on the received packets for each group of application candidate of the packets to be noticed and application candidate of neighboring packets of the packets to be noticed; and an operating means for calculating the transition probability which changes from the application candidate of the neighboring packets to the application candidate of the packets to be noticed, while the statistical values calculated by the statistics value calculating means with the application candidate's application information are compared. Thus, application of these packets to be noticed is identified on the basis of the transition probability. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、アプリケーション識別システム、アプリケーション識別方法、及びプログラムに関し、特にさまざまなアプリケーションのデータが混在したままネットワーク上を流れる場合において、流れているアプリケーションの種類を識別するアプリケーション識別システム、方法、及びプログラムに関する。   The present invention relates to an application identification system, an application identification method, and a program, and more particularly to an application identification system, a method, and a program for identifying the type of a flowing application in a case where data of various applications flow on a network while being mixed. About.

インターネットを利用した電子商取引やストリーミング配信等の本格的な普及に伴い、インターネット上には益々多くのアプリケーションのフローが混在するようになってきている。   With the full-scale spread of electronic commerce and streaming distribution using the Internet, more and more application flows are mixed on the Internet.

また、インターネット上には、ピア・ツー・ピア技術を用いて可能な限り多くの帯域を使用し、かつTCP/UDPポート番号を詐称して大きなデータを転送するアプリケーションも多数存在する。このようなアプリケーションを使用されたインターネットサービスプロバイダでは、提供可能な帯域の大部分を一部のユーザに使われてしまう。このため、インターネットサービスプロバイダ等では、通過するフローのうち長時間大容量のフローを発生させるものがあれば、ネットワーク管理ポリシーに従いそのフローのみを帯域制限することも珍しくない。   There are also many applications on the Internet that use as much bandwidth as possible using peer-to-peer technology, and that transfer large data by spoofing TCP / UDP port numbers. In an Internet service provider using such an application, most of the available bandwidth is used by some users. For this reason, it is not uncommon for Internet service providers and the like to limit the bandwidth of only a flow according to the network management policy if there is a flow that generates a large-capacity flow for a long time.

このとき、帯域を制限してはならない正規のフローに対して帯域制限をかけてしまうと具合が悪い。レスポンス低下やセッション断等のサービス影響が生じる可能性があるからである。そこで、この場合、影響を受けてしまう帯域を制限してはならない正規のフローなのか、或いは、帯域を制限すべき不正なフローなのかを識別するためにアプリケーションの識別が必要となる。   At this time, if the bandwidth limit is applied to a regular flow that should not be bandwidth-limited, the situation is bad. This is because there is a possibility that a service impact such as a response drop or session disconnection may occur. Therefore, in this case, it is necessary to identify the application in order to identify whether the flow is a regular flow that should not limit the affected band or an unauthorized flow that should limit the bandwidth.

ここに、アプリケーションのフローとはユーザとシステム間で通信される一連のアプリケーションデータを意味し、以下単にフローと略記する場合がある。また、「トラフィック」の用語は、複数のアプリケーションフローを含むデータ全体の流れ」の意味として用いる場合がある。   Here, the application flow means a series of application data communicated between the user and the system, and may be simply abbreviated as a flow below. In addition, the term “traffic” may be used as the meaning of “the flow of the entire data including a plurality of application flows”.

さて、このアプリケーションの識別手法については、これまでもいくつかの技術が提案されてきている。   Now, several techniques have been proposed for this application identification method.

例えば、正規のアプリケーションフローの送受信IPアドレスの組み合わせと、そのフローを構成するパケットの中身を正規フローのパタンとして予め保存しておき、受信したパケットが前記正規フローのパタンと一致するかでアプリケーションの識別を行う技術がある(特許文献1)。   For example, the combination of the transmission / reception IP address of the regular application flow and the contents of the packet constituting the flow are stored in advance as a regular flow pattern, and whether the received packet matches the regular flow pattern or not There is a technique for performing identification (Patent Document 1).

又、不正なフローを構成するパケットのビットパタンを予め保存しておき、受信したパケットが前記ビットパタンに一致するかでアプリケーション識別を行う技術も提案されている(特許文献2)。   In addition, a technique has been proposed in which the bit pattern of a packet constituting an illegal flow is stored in advance, and application identification is performed based on whether the received packet matches the bit pattern (Patent Document 2).

しかしながら、こうした方法にはいくつかの問題があった。   However, there are several problems with these methods.

例えば、TCP/UDPポート番号が詐称されてしまうとアプリケーションの識別ができなくなるという問題があった。   For example, there is a problem that if the TCP / UDP port number is spoofed, the application cannot be identified.

又、アプリケーションの識別にはビットパタンが既知である必要があった。このため、新規の不正なフローが出現する度に保守者はビットパタン指定や登録を行うなどの保守作業を行う必要があり管理者に負担がかかった。同時に、ビットパタンを登録するための記憶領域もシステム上で余分に必要となっていた。   In addition, the bit pattern needs to be known for application identification. For this reason, each time a new illegal flow appears, the maintenance person needs to perform maintenance work such as specifying a bit pattern or registering it, which places a burden on the administrator. At the same time, an extra storage area for registering bit patterns is required on the system.

そこで、これらの問題を解決するための技術として、最近提案された技術に以下のものがある。すなわち、ヘッダ情報に依存しないフローのパケット長平均値、パケット長分散値、パケットの到着間隔平均値、パケットの到着間隔分散値で表される統計的特徴で定義されるフローの特徴を予め保存しておき、受信したフローが前記保存しているフローの統計的特徴と一致するかでアプリケーション識別を行う技術である(非特許文献3)。
特開2004−38557号公報 特開2004−140618号公報 電子情報通信学会2005総合大会B−6−43 Thus, as a technique for solving these problems, the following techniques have been proposed recently. That is, the flow characteristics defined by the statistical characteristics represented by the packet length average value, the packet length dispersion value, the packet arrival interval average value, and the packet arrival interval dispersion value that do not depend on the header information are stored in advance. In this technique, application identification is performed based on whether the received flow matches the statistical characteristics of the stored flow (Non-patent Document 3).
JP 2004-38557 A Japanese Patent Laid-Open No. 2004-140618 IEICE 2005 General Conference B-6-43

しかしながら、上記提案の技術においても、大きな問題があった。   However, the proposed technique also has a big problem.

例えば、エンドツーエンドで一部のトラフィックが暗号化されてしまうとアプリケーションの検出ができないという問題である。   For example, there is a problem that an application cannot be detected if a part of traffic is encrypted end-to-end.

その理由は、特許文献1と特許文献2と特許文献3とに記載されている発明は、ネットワーク上を流れるパケットを発信側と着信側のポート番号の組み合わせに分け、アプリケーション毎のフローに分離しなければアプリケーションの検出ができないためである。例えばIPSecを用いてエンドツーエンドで全てのトラフィックが暗号化されてしまうと、従来技術ではアプリケーションの識別ができないという難点があった。   The reason for this is that the inventions described in Patent Document 1, Patent Document 2 and Patent Document 3 divide packets flowing on the network into combinations of port numbers on the caller side and the callee side, and separate them into flows for each application. This is because the application cannot be detected without it. For example, if all traffic is encrypted end-to-end using IPSec, there is a problem that the application cannot be identified by the conventional technology.

従って、本発明が解決しようとする課題は、トラフィック上をさまざまなアプリケーションのフローが混在したまま流れるネットワークにおいて、エンドツーエンドで一部のトラフィックが暗号化された場合においてもアプリケーションの識別ができる技術を提供することである。   Therefore, the problem to be solved by the present invention is a technology that can identify an application even when a part of traffic is encrypted end-to-end in a network in which various application flows are mixed on the traffic. Is to provide.

上記課題を解決するための第1の発明は、パケットに対応するアプリケーションを識別するアプリケーション識別システムであって、
少なくとも二以上の受信パケットの各々にアプリケーション候補を対応させた場合、受信パケット間でアプリケーション候補が遷移する遷移確率を、前記受信パケット及び前記アプリケーション候補の情報に基づいて算出する確率演算手段と、
前記遷移確率に基づいて、受信パケットに対応するアプリケーションを識別するアプリケーション識別手段と
を有することを特徴とする。 A first invention for solving the above problem is an application identification system for identifying an application corresponding to a packet,
When the application candidate is associated with each of at least two or more received packets, probability calculation means for calculating a transition probability that the application candidate transitions between the received packets based on the information of the received packet and the application candidate;
Application identifying means for identifying an application corresponding to the received packet based on the transition probability.

上記課題を解決するための第2の発明は、複数のアプリケーションのデータフローが混在するネットワーク環境において、識別対象となる注目パケットのアプリケーションを識別するアプリケーション識別システムであって、
前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいて統計量を算出する統計量演算手段と、
前記統計量演算手段により演算した統計量と前記アプリケーション候補のアプリケーション情報とを比較して、前記近隣パケットのアプリケーション候補から前記注目パケットのアプリケーション候補へと遷移する確率である遷移確率を演算する確率演算手段と、
前記遷移確率に基づいて、前記注目パケットのアプリケーションを識別するアプリケーション識別手段と
を有することを特徴とする。 A second invention for solving the above problem is an application identification system for identifying an application of a packet of interest to be identified in a network environment in which data flows of a plurality of applications are mixed.
Statistic calculation means for calculating a statistic based on packet information of a received packet for each set of application candidates of the packet of interest and application candidates of neighboring packets of the packet of interest;
A probability calculation for calculating a transition probability that is a probability of transition from the application candidate of the neighboring packet to the application candidate of the packet of interest by comparing the statistic calculated by the statistic calculation means and the application information of the application candidate Means,
Application identifying means for identifying the application of the packet of interest based on the transition probability.

上記課題を解決するための第3の発明は、複数のアプリケーションのデータフローが混在するネットワーク環境において、識別対象となる注目パケットのアプリケーションを識別するアプリケーション識別システムであって、
パケット系列のパケット情報を抽出するパケット情報抽出手段と、
前記パケット情報に基づいて、前記パケット系列に対し、注目パケット及び注目パケットの近隣のパケットをそれぞれあるアプリケーション候補に仮定し、前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいてパケット長統計量を演算するパケット長統計量演算手段と、
前記パケット情報に基づいて、前記パケット系列に対し、注目パケット及び注目パケットの近隣のパケットをそれぞれあるアプリケーション候補に仮定し、
前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいてパケット到着間隔統計量を演算するパケット到着間隔統計量演算手段と、
前記統計量演算手段により演算した統計量と前記アプリケーション候補のアプリケーション情報とを比較して、前記近隣パケットのアプリケーション候補から前記注目パケットのアプリケーション候補へと遷移する確率である遷移確率を演算する確率演算手段と、
前記遷移確率に基づいて最尤系列推定を実施しアプリケーション識別を行う最尤系列推定手段と、
識別結果を用いて前記アプリケーション候補の種別及び候補数を動的に制御するアプリケーション候補動的制御手段と、
時系列順に注目パケットを変化させてアプリケーション識別の繰り返し動作を管理する繰り返し動作管理手段と
を有することを特徴とする。 A third invention for solving the above problem is an application identification system for identifying an application of a packet of interest to be identified in a network environment in which data flows of a plurality of applications are mixed,
Packet information extraction means for extracting packet information of a packet sequence;
Based on the packet information, the packet of interest is assumed to be a certain application candidate for the packet sequence, and the application candidate of the packet of interest and the application candidate of the neighboring packet of the packet of interest A packet length statistic calculating means for calculating a packet length statistic based on packet information of a received packet for each set;
Based on the packet information, assume that a packet of interest and a packet in the vicinity of the packet of interest for each packet series are application candidates,
A packet arrival interval statistic calculating means for calculating a packet arrival interval statistic based on packet information of a received packet for each set of application candidates of the packet of interest and application candidates of neighboring packets of the packet of interest;
A probability calculation for calculating a transition probability that is a probability of transition from the application candidate of the neighboring packet to the application candidate of the packet of interest by comparing the statistic calculated by the statistic calculation means and the application information of the application candidate Means,
Maximum likelihood sequence estimation means for performing application identification based on maximum likelihood sequence estimation based on the transition probability;
Application candidate dynamic control means for dynamically controlling the type and number of candidates for the application candidates using the identification result;
Repetitive operation management means for managing the repetitive operation of application identification by changing the packet of interest in chronological order.

上記課題を解決するための第4の発明は、パケットに対応するアプリケーションを識別するアプリケーション識別方法であって、
少なくとも二以上の受信パケットの各々にアプリケーション候補を対応させて、受信パケット間でアプリケーション候補が遷移する遷移確率を、前記受信パケット及び前記アプリケーション候補の情報に基づいて算出する確率演算ステップと、
前記遷移確率に基づいて、受信パケットに対応するアプリケーションを識別するアプリケーション識別ステップと
を有することを特徴とする。 A fourth invention for solving the above-mentioned problem is an application identification method for identifying an application corresponding to a packet,
A probability calculating step of associating an application candidate with each of at least two or more received packets, and calculating a transition probability that the application candidate transitions between received packets based on the information of the received packet and the application candidate;
And an application identification step of identifying an application corresponding to the received packet based on the transition probability.

上記課題を解決するための第5の発明は、複数のアプリケーションのデータフローが混在するネットワーク環境において、識別対象となる注目パケットのアプリケーションを識別するアプリケーション識別方法であって、
前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいて統計量を算出する統計量演算ステップと、
前記統計量演算ステップにより演算した統計量と前記アプリケーション候補のアプリケーション情報とを比較して、前記近隣パケットのアプリケーション候補から前記注目パケットのアプリケーション候補へと遷移する確率である遷移確率を演算する遷移確率演算ステップと、
前記遷移確率に基づいて、前記注目パケットのアプリケーションを識別するアプリケーション識別ステップと
を有することを特徴とする。 A fifth invention for solving the above problem is an application identification method for identifying an application of a packet of interest to be identified in a network environment in which data flows of a plurality of applications are mixed.
A statistic calculation step for calculating a statistic based on packet information of a received packet for each set of application candidates of the packet of interest and application candidates of neighboring packets of the packet of interest;
A transition probability that compares the statistic calculated in the statistic calculation step with the application information of the application candidate and calculates a transition probability that is a probability of transition from the application candidate of the neighboring packet to the application candidate of the packet of interest. A computation step;
And an application identification step of identifying an application of the packet of interest based on the transition probability.

上記課題を解決するための第6の発明は、複数のアプリケーションのデータフローが混在するネットワーク環境において、識別対象となる注目パケットのアプリケーションを識別するアプリケーション識別方法であって、
パケット系列のパケット情報を抽出するパケット情報抽出ステップと、
前記パケット情報に基づいて、前記パケット系列に対し、注目パケット及び注目パケットの近隣のパケットをそれぞれあるアプリケーション候補に仮定し、前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいてパケット長統計量を演算するパケット長統計量演算ステップと、
前記パケット情報に基づいて、前記パケット系列に対し、注目パケット及び注目パケットの近隣のパケットをそれぞれあるアプリケーション候補に仮定し、
前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいてパケット到着間隔統計量を演算するパケット到着間隔統計量演算ステップと、
前記統計量演算ステップにより演算した統計量と前記アプリケーション候補のアプリケーション情報とを比較して、前記近隣パケットのアプリケーション候補から前記注目パケットのアプリケーション候補へと遷移する確率である遷移確率を演算する確率演算ステップと、
前記遷移確率に基づいて最尤系列推定を実施しアプリケーション識別を行う最尤系列推定ステップと、
識別結果を用いて前記アプリケーション候補の種別及び候補数を動的に制御するアプリケーション候補動的制御ステップと、
時系列順に注目パケットを変化させてアプリケーション識別の繰り返し動作を管理する繰り返し動作管理ステップと
を有することを特徴とする。 A sixth invention for solving the above-described problem is an application identification method for identifying an application of a target packet to be identified in a network environment in which data flows of a plurality of applications are mixed.
A packet information extraction step for extracting packet information of the packet sequence;
Based on the packet information, the packet of interest is assumed to be a certain application candidate for the packet sequence, and the application candidate of the packet of interest and the application candidate of the neighboring packet of the packet of interest A packet length statistic calculating step for calculating a packet length statistic based on packet information of the received packet for each set;
Based on the packet information, assume that a packet of interest and a packet in the vicinity of the packet of interest for each packet series are application candidates,
A packet arrival interval statistic calculating step for calculating a packet arrival interval statistic based on packet information of the received packet for each set of the application candidate of the packet of interest and an application candidate of a neighboring packet of the packet of interest;
A probability calculation that calculates a transition probability that is a probability of transition from the application candidate of the neighboring packet to the application candidate of the packet of interest by comparing the statistic calculated in the statistic calculation step and the application information of the application candidate. Steps,
A maximum likelihood sequence estimation step for performing application identification based on maximum transition sequence estimation based on the transition probability; and
An application candidate dynamic control step for dynamically controlling the type and number of candidates for the application candidate using an identification result;
And a repetitive operation management step for managing a repetitive operation of application identification by changing a packet of interest in time series order.

上記課題を解決するための第7の発明は、パケットに対応するアプリケーションを識別するアプリケーション識別システムのプログラムであって、前記プログラムは前記アプリケーション識別システムを、
少なくとも二以上の受信パケットの各々にアプリケーション候補を対応させた場合、受信パケット間でアプリケーション候補が遷移する遷移確率を、前記受信パケット及び前記アプリケーション候補の情報に基づいて算出する確率演算手段と、
前記遷移確率に基づいて、受信パケットに対応するアプリケーションを識別するアプリケーション識別手段と
して機能させことを特徴とする。 A seventh invention for solving the above-mentioned problems is an application identification system program for identifying an application corresponding to a packet, the program identifying the application identification system,
When the application candidate is associated with each of at least two or more received packets, probability calculation means for calculating a transition probability that the application candidate transitions between the received packets based on the information of the received packet and the application candidate;
It is made to function as an application identification means which identifies the application corresponding to a received packet based on the transition probability.

上記課題を解決するための第8の発明は、複数のアプリケーションのデータフローが混在するネットワーク環境において、識別対象となる注目パケットのアプリケーションを識別するアプリケーション識別システムのプログラムであって、前記プログラムは前記システムを、
前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいて統計量を算出する統計量演算手段と、
前記統計量演算手段により演算した統計量と前記アプリケーション候補のアプリケーション情報とを比較して、前記近隣パケットのアプリケーション候補から前記注目パケットのアプリケーション候補へと遷移する確率である遷移確率を演算する確率演算手段と、
前記遷移確率に基づいて、前記注目パケットのアプリケーションを識別するアプリケーション識別手段と
して機能させることを特徴とする。 An eighth invention for solving the above-described problem is an application identification system program for identifying an application of a packet of interest to be identified in a network environment in which data flows of a plurality of applications are mixed. System
Statistic calculation means for calculating a statistic based on packet information of a received packet for each set of application candidates of the packet of interest and application candidates of neighboring packets of the packet of interest;
A probability calculation for calculating a transition probability that is a probability of transition from the application candidate of the neighboring packet to the application candidate of the packet of interest by comparing the statistic calculated by the statistic calculation means and the application information of the application candidate Means,
It is made to function as an application identification means for identifying the application of the packet of interest based on the transition probability.

上記課題を解決するための第9の発明は、複数のアプリケーションのデータフローが混在するネットワーク環境において、識別対象となる注目パケットのアプリケーションを識別するアプリケーション識別システムのプログラムであって、前記プログラムは前記アプリケーション識別システムを、
パケット系列のパケット情報を抽出するパケット情報抽出手段と、
前記パケット情報に基づいて、前記パケット系列に対し、注目パケット及び注目パケットの近隣のパケットをそれぞれあるアプリケーション候補に仮定し、前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいてパケット長統計量を演算するパケット長統計量演算手段と、
前記パケット情報に基づいて、前記パケット系列に対し、注目パケット及び注目パケットの近隣のパケットをそれぞれあるアプリケーション候補に仮定し、前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいてパケット到着間隔統計量を演算するパケット到着間隔統計量演算手段と、
前記統計量演算手段により演算した統計量と前記アプリケーション候補のアプリケーション情報とを比較して、前記近隣パケットのアプリケーション候補から前記注目パケットのアプリケーション候補へと遷移する確率である遷移確率を演算する確率演算手段と、
前記遷移確率に基づいて最尤系列推定を実施しアプリケーション識別を行う最尤系列推定手段と、
識別結果を用いて前記アプリケーション候補の種別及び候補数を動的に制御するアプリケーション候補動的制御手段と、
時系列順に注目パケットを変化させてアプリケーション識別の繰り返し動作を管理する繰り返し動作管理手段と
して機能させることを特徴とする。 A ninth invention for solving the above problem is a program for an application identification system for identifying an application of a packet of interest to be identified in a network environment in which data flows of a plurality of applications are mixed. Application identification system
Packet information extraction means for extracting packet information of a packet sequence;
Based on the packet information, the packet of interest is assumed to be a certain application candidate for the packet sequence, and the application candidate of the packet of interest and the application candidate of the neighboring packet of the packet of interest A packet length statistic calculating means for calculating a packet length statistic based on packet information of a received packet for each set;
Based on the packet information, the packet of interest is assumed to be a certain application candidate for the packet sequence, and the application candidate of the packet of interest and the application candidate of the neighboring packet of the packet of interest Packet arrival interval statistic calculating means for calculating packet arrival interval statistic based on packet information of received packets for each set;
A probability calculation for calculating a transition probability that is a probability of transition from the application candidate of the neighboring packet to the application candidate of the packet of interest by comparing the statistic calculated by the statistic calculation means and the application information of the application candidate Means,
Maximum likelihood sequence estimation means for performing application identification based on maximum likelihood sequence estimation based on the transition probability;
Application candidate dynamic control means for dynamically controlling the type and number of candidates for the application candidates using the identification result;
It is characterized by functioning as a repetitive operation managing means for managing the repetitive operation of application identification by changing the packet of interest in chronological order.

上記のように構成させたことにより、複数のアプリケーションのフローが混在するトラフィックの一部が暗号化された場合であっても、本発明により受信したパケットのアプリケーションを識別することが可能になる。   By configuring as described above, it is possible to identify an application of a packet received according to the present invention even when a part of traffic in which a flow of a plurality of applications is mixed is encrypted.

その理由は、アプリケーションのフローが混在したパケット系列に対して、関連するパケット情報に基づいて、前記パケット系列に対し、注目パケット及び注目パケットの近隣のパケットをそれぞれあるアプリケーション候補に仮定し、その組み合わせ毎のパケット長統計量演算及びパケット到着間隔統計量演算を実施しているからである。   The reason is that for a packet sequence in which application flows are mixed, based on associated packet information, the packet of interest and neighboring packets of the packet of interest are assumed to be application candidates for the packet sequence, and the combination This is because the packet length statistic calculation and the packet arrival interval statistic calculation are performed every time.

そして、前記演算の結果として得られたパケット長統計量及びパケット到着間隔統計量と、前記アプリケーションに関するアプリケーション情報とを比較して各アプリケーション候補組み合わせの遷移確率を演算することにより前記パケット系列をアプリケーション毎のフローに振り分ける動作を、時系列順に注目パケットを変えて実施することによってパケット系列のアプリケーション識別ができるからである。   Then, by comparing the packet length statistic and packet arrival interval statistic obtained as a result of the calculation with the application information related to the application and calculating the transition probability of each application candidate combination, the packet sequence is calculated for each application. This is because the application identification of the packet series can be performed by changing the packet of interest in the time series order and performing the operation of allocating to these flows.

また、ひとつのアプリケーションについて複数のアプリケーション候補を確率演算の対象とすることで、同一アプリケーションのフローが複数混在するような場合であっても、パケット系列のアプリケーション識別ができるためである。   In addition, by using a plurality of application candidates for one application as a target of probability calculation, even when a plurality of flows of the same application are mixed, it is possible to identify application of packet series.

本発明の実施の形態について図を用いて説明する。   Embodiments of the present invention will be described with reference to the drawings.

図1〜図3は本発明になるアプリケーション識別システムの第1実施形態を説明する為のもので、図1は全体のブロック図、図2はパケット情報の情報例の説明図、図3はフローチャートである。   1 to 3 are diagrams for explaining a first embodiment of the application identification system according to the present invention. FIG. 1 is an overall block diagram, FIG. 2 is an explanatory diagram of information examples of packet information, and FIG. 3 is a flowchart. It is.

図1を参照すると、Aは受信装置であり、複数のアプリケーションのフローが混在したトラフィックのパケット系列を受信する装置である。Bはアプリケーション識別装置であり、受信したパケット系列を構成する個々のパケットについてアプリケーションを識別し、パケット系列のアプリケーションを識別する。Cは記憶装置であり、受信したパケットに関する情報及びアプリケーションに関する情報等が保存される。Dは表示装置であり、アプリケーション識別装置Bによるアプリケーションの識別結果が表示される。   Referring to FIG. 1, A is a receiving device that receives a packet sequence of traffic in which a plurality of application flows are mixed. B is an application identification device that identifies an application for each packet constituting the received packet sequence and identifies a packet sequence application. C is a storage device that stores information about received packets, information about applications, and the like. D is a display device on which an application identification result by the application identification device B is displayed.

さらに、各装置の構成について図1に加え図2、図4、図7を適宜用いて説明する。   Further, the configuration of each apparatus will be described with reference to FIGS. 2, 4, and 7 as appropriate in addition to FIG.

受信装置Aは受信部1を有し、受信装置に入力されるトラフィックのパケット系列が受信されると、パケット系列はアプリケーション識別装置Bに送信される。この時、パケット系列を構成する各パケットには受信装置Aがパケットを受信した時の時刻であるパケット到着時刻が付加される。   The receiving device A has the receiving unit 1, and when a packet sequence of traffic input to the receiving device is received, the packet sequence is transmitted to the application identifying device B. At this time, a packet arrival time which is a time when the receiving device A receives the packet is added to each packet constituting the packet series.

アプリケーション識別装置Bは、統計量演算部20と、パケット情報抽出部21と、確率演算部24と、最尤系列推定部25と、アプリケーション候補動的制御部26と、繰返し動作管理部27を有する。   The application identification apparatus B includes a statistic calculation unit 20, a packet information extraction unit 21, a probability calculation unit 24, a maximum likelihood sequence estimation unit 25, an application candidate dynamic control unit 26, and an iterative operation management unit 27. .

パケット情報抽出部21は、受信装置Aで受信したパケット系列を構成する個々のパケットのパケット長及びパケット到着時刻を抽出する。そして、抽出されたパケット情報は記憶装置Cに送信される。   The packet information extraction unit 21 extracts packet lengths and packet arrival times of individual packets constituting the packet series received by the receiving device A. The extracted packet information is transmitted to the storage device C.

統計量演算部20は、受信したパケットのパケット情報に基づいて、パケット長の平均値や、パケット到着間隔平均値といったパケットに関する統計量を算出する。具体的には、統計量演算部20は、パケット長統計量演算部22と、パケット到着間隔統計量演算部23とを有する。ここでパケット情報とは、パケットの到着順を示すパケット番号と、パケット長と、パケット到着時刻と、前記アプリケーション識別の結果を示すアプリケーション識別結果等のパケットに関する情報である。尚、パケット情報の詳細については後述する。
パケット長統計量演算部22は、記憶装置Cから受信したパケット情報を用いて、注目パケットのパケット長統計量を演算する。ここで注目パケットとは、アプリケーションを識別する対象となるパケットをいう。また、パケット長統計量とは、パケット長分布、パケット長移動平均値分布、パケット長移動中央値分布、パケット長移動分散値分布、パケット長移動標準偏差分布の少なくとも1つ以上からなるものである。 Based on the packet information of the received packet, the statistic calculation unit 20 calculates a statistic regarding the packet such as an average value of the packet length and an average value of the packet arrival intervals. Specifically, the statistic calculator 20 includes a packet length statistic calculator 22 and a packet arrival interval statistic calculator 23. Here, the packet information is information about the packet such as a packet number indicating the arrival order of the packet, a packet length, a packet arrival time, and an application identification result indicating the result of the application identification. Details of the packet information will be described later.
The packet length statistic calculation unit 22 uses the packet information received from the storage device C to calculate the packet length statistic of the packet of interest. Here, the packet of interest refers to a packet that is a target for identifying an application. The packet length statistic includes at least one of a packet length distribution, a packet length moving average value distribution, a packet length moving median distribution, a packet length moving dispersion value distribution, and a packet length moving standard deviation distribution. .

パケット到着間隔統計量演算部23は、記憶装置Cから受信したパケット情報を用いて、注目パケットのパケット到着間隔統計量を演算する。ここでパケット到着間隔統計量とは、パケット到着間隔分布と、パケット到着間隔移動平均値分布と、パケット到着間隔移動中央値分布と、パケット到着間隔移動分散値分布と、パケット到着間隔移動標準偏差分布の少なくとも1つ以上からなるものである。   The packet arrival interval statistic calculator 23 calculates the packet arrival interval statistic of the packet of interest using the packet information received from the storage device C. Here, the packet arrival interval statistics are the packet arrival interval distribution, the packet arrival interval moving average value distribution, the packet arrival interval moving median distribution, the packet arrival interval moving variance value distribution, and the packet arrival interval moving standard deviation distribution. It consists of at least one of the following.

確率演算部24は、パケット長統計量演算部22及び到着間隔統計量演算部23とから受信した注目パケットのパケット長統計量とパケット到着間隔統計量と記憶装置Cに予め記憶された各アプリケーション候補を特徴付けるアプリケーション情報とを用いて、注目パケットのアプリケーション候補と注目パケットに近接する近隣パケットのアプリケーション候補との組毎に遷移確率を演算する。ここで、アプリケーション候補とは、識別するアプリケーションの候補をいう。また、遷移確率とは、二以上の受信パケットの各々にアプリケーション候補を対応させた場合に、受信パケット間でアプリケーション候補が変化する確率をいう。   The probability calculation unit 24 receives the packet length statistic of the packet of interest received from the packet length statistic calculation unit 22 and the arrival interval statistic calculation unit 23, the packet arrival interval statistic, and each application candidate stored in advance in the storage device C. Is used to calculate the transition probability for each set of the application candidate of the packet of interest and the application candidate of the neighboring packet adjacent to the packet of interest. Here, the application candidate means an application candidate to be identified. The transition probability is a probability that an application candidate changes between received packets when an application candidate is associated with each of two or more received packets.

最尤系列推定部25は、図7に示すように、遷移確率の演算結果に対して最尤系列推定を実施する。ここで、最尤系列推定とは、注目パケットの近隣パケットのアプリケーション候補から注目パケットのアプケーション候補に到達する複数の経路(パス)のうち、選択する可能性の最も高いパスを推定することである。そして、この選択する可能性の最も高いパスのことをサバイバルパスという。サバイバルパスを見つける例としては、ビタビアルゴリズムがある。また、各パスを選択する確率値をパス確率という。サバイバルパスは、遷移確率に基づいてパス毎にパス確率を計算し、パス確率が最も高いパスを残しそれ以外のパスを削除することで推定される。   As shown in FIG. 7, the maximum likelihood sequence estimation unit 25 performs maximum likelihood sequence estimation on the calculation result of the transition probability. Here, the maximum likelihood sequence estimation is to estimate the path most likely to be selected from a plurality of routes (paths) that reach the application candidate of the packet of interest from the application candidate of the neighboring packet of the packet of interest. is there. The path most likely to be selected is called a survival path. An example of finding a survival path is the Viterbi algorithm. A probability value for selecting each path is called a path probability. The survival path is estimated by calculating the path probability for each path based on the transition probability, leaving the path with the highest path probability, and deleting the other paths.

アプリケーション候補動的制御部26は、最尤系列推定部25の結果を用いて前記アプリケーション候補の種別及びフロー数を動的に制御する。具体的には、あるアプリケーション候補のフローが新規に発生した場合等に対処するために、既にあるアプリケーション候補Aとは別に新たなアプリケーション候補としてアプリケーション候補Aを増加させる制御を行う。   The application candidate dynamic control unit 26 dynamically controls the type of application candidate and the number of flows using the result of the maximum likelihood sequence estimation unit 25. Specifically, in order to deal with a case where a flow of a certain application candidate newly occurs, control is performed to increase the application candidate A as a new application candidate separately from the existing application candidate A.

繰返し動作管理部27は、時系列順に注目パケットを変化させて、受信したパケット系列を構成する全てのパケットについてアプリケーション識別が終了するまでアプリケーション識別動作が繰り返されるよう管理する。   The repetitive operation management unit 27 changes the packet of interest in chronological order, and manages the application identification operation to be repeated until the application identification is completed for all the packets constituting the received packet sequence.

次に、記憶装置Cは、パケット情報格納部31と、アプリケーション情報格納部32とを有する。   Next, the storage device C includes a packet information storage unit 31 and an application information storage unit 32.

パケット情報格納部31には、受信したパケット系列を構成する個々のパケットのパケット情報が保存される。パケット情報とは、パケットを一意に特定しその特徴を示す情報であり、図2に示すように、パケット毎に、パケット情報抽出部21により抽出されたパケット長と、パケット到着時刻と、パケット情報抽出部21がパケット到着時刻に基づいて付与したパケットの受信順番を表すパケット番号と、アプリケーション識別装置Bで識別されたアプリケーションのアプリケーション識別結果とを含む。   The packet information storage unit 31 stores packet information of individual packets constituting the received packet series. The packet information is information that uniquely identifies a packet and indicates its characteristics. As shown in FIG. 2, for each packet, the packet length extracted by the packet information extraction unit 21, the packet arrival time, and the packet information It includes a packet number representing the reception order of the packets given by the extraction unit 21 based on the packet arrival time, and an application identification result of the application identified by the application identification device B.

アプリケーション情報格納部32には、アプリケーション情報が保存される。ここで、アプリケーション情報とは、アプリケーション候補となる各アプリケーションを特徴付ける情報である。そして、アプリケーション候補となるアプリケーションのフローのみがネットワーク上を流れている状況において、そのパケットに対し統計量演算を行うことで予め用意しておく。このアプリケーション情報には、パケット長統計量、パケット到着間隔統計量、アプリケーション種別等の情報が含まれる。ここで、アプリケーション種別とは、アプリケーションを特定するための情報であり、NetmeetingやWinny等といった具体的なアプリケーション名である。TCP/UDPのポート番号等のアプリケーションを特定できる情報を代わりに用いてもよい。図4を参照すると、アプリケーション情報の例としてパケット長統計量、パケット到着間隔統計量が示されている。図4の例では統計量の分布を積分すると1になるように正規化している。   Application information is stored in the application information storage unit 32. Here, the application information is information that characterizes each application as an application candidate. Then, in a situation where only the flow of an application that is an application candidate flows on the network, it is prepared in advance by performing a statistic calculation on the packet. This application information includes information such as a packet length statistic, a packet arrival interval statistic, and an application type. Here, the application type is information for specifying an application, and is a specific application name such as Netmeeting or Winny. Information that can specify an application such as a TCP / UDP port number may be used instead. Referring to FIG. 4, packet length statistics and packet arrival interval statistics are shown as examples of application information. In the example of FIG. 4, the distribution of statistics is normalized so as to be 1 when integrated.

また、表示装置Dの表示部4は液晶表示装置(LCD)であり、アプリケーションの識別結果を表示するためのものである。表示手段を有するものであれば、LCD以外の表示装置でもよい。   The display unit 4 of the display device D is a liquid crystal display device (LCD) for displaying an application identification result. A display device other than the LCD may be used as long as it has display means.

次に、上記のように構成させたアプリケーション識別システムの動作について図3のフローチャートに沿って、図2〜7を適宜用いながら説明する。   Next, the operation of the application identification system configured as described above will be described along with the flowchart of FIG.

尚、以下の説明において、アプリケーション候補がA,B,Cの3種類存在するものとして説明する。また、パケット長統計量としてパケット長分布及びパケット長移動平均値分布を演算し、パケット到着間隔統計量としてパケット到着間隔分布及びパケット到着間隔移動平均値分布を演算する場合を例として説明する。   In the following description, it is assumed that there are three types of application candidates A, B, and C. Further, an example will be described in which a packet length distribution and a packet length moving average value distribution are calculated as packet length statistics, and a packet arrival interval distribution and packet arrival interval moving average value distribution are calculated as packet arrival interval statistics.

アプリケーションA,B,Cのデータフローが混在するトラフィックのパケット系列を、アプリケーション識別システムの受信装置Aの受信部1が受信すると(ステップS1)、受信装置Aがパケットを受信した時の時刻であるパケット到着時刻が各パケットに付加される。   When the receiving unit 1 of the receiving device A of the application identification system receives a packet sequence of traffic in which the data flows of the applications A, B, and C are mixed (step S1), it is the time when the receiving device A receives the packet. A packet arrival time is added to each packet.

そして、パケット情報抽出部21によって各パケットのパケット長及びパケット到着時刻の情報が抽出され、記憶装置Cのパケット情報格納部31に保存される。このとき、パケットの到着順を示すパケット番号の情報もパケット情報抽出部21によって生成され、記憶装置Cのパケット情報格納部31に保存される(ステップS2)。   Then, the packet information extraction unit 21 extracts the packet length and packet arrival time information of each packet and stores them in the packet information storage unit 31 of the storage device C. At this time, packet number information indicating the arrival order of the packets is also generated by the packet information extraction unit 21 and stored in the packet information storage unit 31 of the storage device C (step S2).

次に、統計量演算部20では、ステップS2によって記憶装置Cに保存されているパケット情報に基づいて、受信したパケット系列に対し、注目パケット及び注目パケットの直前のパケットにそれぞれあるアプリケーション候補を仮定する。そして、注目パケットのアプリケーション候補と、注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいてパケット長統計量とパケット到着間隔統計量を演算する。   Next, the statistic calculator 20 assumes application candidates in the packet of interest and the packet immediately before the packet of interest for the received packet sequence based on the packet information stored in the storage device C in step S2. To do. Then, the packet length statistic and the packet arrival interval statistic are calculated for each set of the application candidate of the packet of interest and the application candidate of the neighboring packet of the packet of interest based on the packet information of the received packet.

具体的には、まず、パケット長統計量演算部22は、パケット情報格納部31に保存されている各パケットのパケット長に関する情報を用いて、注目パケット及び注目パケットの直前のパケットについて、パケット長分布とパケット長平均をパケット長統計量として演算する(ステップS4−1)。   Specifically, first, the packet length statistic calculation unit 22 uses the information on the packet length of each packet stored in the packet information storage unit 31 to determine the packet length for the packet of interest and the packet immediately before the packet of interest. The distribution and the packet length average are calculated as packet length statistics (step S4-1).

尚、ここではパケット長統計量としてパケット長分布とパケット長移動平均値分布とを算出しているが、これらのうちいずれか1つを算出する形でもよいし、パケット長移動中央値分布、パケット長移動分散値分布、パケット長移動標準偏差分布といったパケット長統計量を算出してもよい。   Here, the packet length distribution and the packet length moving average value distribution are calculated as the packet length statistics, but any one of these may be calculated, or the packet length moving median distribution, Packet length statistics such as long movement variance distribution and packet length movement standard deviation distribution may be calculated.

また、パケット到着間隔統計量演算部23は、パケット情報格納部31に保存されているパケット到着時刻の情報を用いて、注目パケット及び注目パケットの近隣のパケットについて、パケット到着間隔統計量としてパケット到着間隔分布及びパケット到着間隔移動平均値分布を算出する(ステップS4−2)。   Further, the packet arrival interval statistic calculation unit 23 uses the packet arrival time information stored in the packet information storage unit 31 as a packet arrival interval statistic for the packet of interest and the neighboring packets of the packet of interest. The interval distribution and the packet arrival interval moving average value distribution are calculated (step S4-2).

尚、ここではパケット到着間隔統計量としてパケット到着間隔分布とパケット到着間隔移動平均値分布とを算出しているが、これらのうちいずれか一方を算出する形でもよいし、パケット到着間隔移動平均値分布、パケット到着間隔移動中央値分布、パケット到着間隔移動分散値分布と、パケット到着間隔移動標準偏差分布を算出してもよい。   Here, the packet arrival interval distribution and the packet arrival interval moving average value distribution are calculated as the packet arrival interval statistics, but either one of them may be calculated, or the packet arrival interval moving average value may be calculated. Distribution, packet arrival interval movement median distribution, packet arrival interval movement variance distribution, and packet arrival interval movement standard deviation distribution may be calculated.

図2では、パケット番号がnから(n−6)の場合のパケット情報を示している。パケット番号n以前のパケットのアプリケーション識別は終了しているとし、パケット番号nのひとつ前のパケット(n−1)は複数のアプリケーション候補の可能性が残されているものとする。一番確率の高いアプリケーション候補のみを残してしまうと、誤認識した場合にリカバリーが難しくなるためである。   FIG. 2 shows packet information when the packet number is from n to (n-6). It is assumed that the application identification of the packet before the packet number n has been completed, and the packet (n−1) immediately before the packet number n has a possibility of a plurality of application candidates. This is because if only the application candidate with the highest probability is left, recovery becomes difficult if it is erroneously recognized.

まず、注目パケットであるパケット番号nのパケットのひとつ前のパケットを適当なアプリケーション候補に仮定する。例えばアプリケーション候補Bであると仮定する。この上で注目パケットであるパケット番号nのパケットを適当なアプリケーション候補に仮定する。例えばアプリケーション候補Aとする。この仮定の下で、パケット番号nからパスを辿っていき、以前にアプリケーション候補Aと識別されたパケットとの関係からパケット長統計量及びパケット到着間隔を演算する。具体的には、パケット番号n−4及びn−6がアプリケーション候補Aと識別されているので、l_(n)とl_(n−4)とl_(n−6)の平均値がパケット長移動平均値となる。また、t_(n)とt_(n−4)との差及びt_(n−4)とt_(n−6)との差の平均値がパケット到着間隔移動平均値となる。   First, it is assumed that the packet immediately before the packet of packet number n, which is the packet of interest, is an appropriate application candidate. For example, it is assumed that the candidate application B. On this basis, it is assumed that the packet of the packet number n that is the packet of interest is an appropriate application candidate. For example, application candidate A is assumed. Under this assumption, the path is traced from the packet number n, and the packet length statistic and the packet arrival interval are calculated from the relationship between the application candidate A and the previously identified packet. Specifically, since packet numbers n-4 and n-6 are identified as application candidate A, the average value of l_ (n), l_ (n-4), and l_ (n-6) is the packet length shift. Average value. Further, the average value of the difference between t_ (n) and t_ (n-4) and the difference between t_ (n-4) and t_ (n-6) is the packet arrival interval moving average value.

これらの統計量を過去どの程度のパケットを演算に含めるかはパラメータとする。多くのパケットを演算に含めれば統計的情報が増えるので信頼性が向上する。一方仮に誤識別してしまった場合、その情報を長い間引きずってしまう可能性もある。このパラメータは識別対象とするトラフィックの特性に合わせ調整することが望ましい。   It is a parameter how many packets in the past are included in these calculations. If many packets are included in the calculation, the statistical information increases, so the reliability is improved. On the other hand, if it is misidentified, the information may be dragged for a long time. It is desirable to adjust this parameter according to the characteristics of the traffic to be identified.

これらの演算を注目パケットであるパケット番号nのアプリケーション候補の仮定を変えていき、全てのアプリケーション候補について実施する。さらに注目パケットであるパケット番号nのひとつ前のパケットの仮定も変え、遷移する可能性のある全ての組みについて演算を実施する。尚、この仮定をする順序に制約はなく、どのアプリケーション候補から仮定し、演算してもよい。   These calculations are performed for all application candidates by changing the assumption of the application candidate of the packet number n that is the packet of interest. Further, the assumption of the packet immediately before the packet number n, which is the packet of interest, is also changed, and the calculation is performed for all combinations that may be changed. There is no restriction on the order in which this assumption is made, and any application candidate may be assumed and calculated.

次に、上述した統計量演算部20による演算結果であるパケット長統計量及びパケット到着間隔統計量は、確率演算部24に送信される。そして、確率演算部24は、このパケット長統計量及びパケット到着間隔統計量と、注目パケットのアプリケーション候補のアプリケーション情報とを比較することで、注目パケットの直前パケットのアプリケーション候補から注目パケットのアプリケーション候補へと遷移する確率である遷移確率を演算する(ステップS6)。   Next, the packet length statistic and the packet arrival interval statistic, which are the calculation results by the above-described statistic calculation unit 20, are transmitted to the probability calculation unit 24. Then, the probability calculation unit 24 compares the packet length statistic and the packet arrival interval statistic with the application information of the application candidate of the packet of interest, thereby comparing the application candidate of the packet of interest with the application candidate of the packet immediately before the packet of interest. A transition probability that is a probability of transition to is calculated (step S6).

この遷移確率を演算する具体的な動作は下記の通りである。   The specific operation for calculating this transition probability is as follows.

まず、注目パケットに関するパケット長統計量(パケット長分布、パケット長移動平均値分布)及びパケット到着間隔統計量(到着間隔分布、到着間隔移動平均値分布)とアプリケーション情報のパケット長統計量及びパケット到着間隔統計量をそれぞれ比較し、どの程度一致しているか示す確率である適合率を計算する(ステップS5)。図5を参照すると、注目パケットの統計量と、アプリケーション情報を比較し適合度を求める例を示している。この例の場合パケット長が120バイトであれば適合度が0.3である。   First, packet length statistics (packet length distribution, packet length moving average value distribution) and packet arrival interval statistics (arrival interval distribution, arrival interval moving average value distribution), packet length statistics of application information and packet arrival for the packet of interest The interval statistics are compared with each other, and the precision, which is the probability indicating how much they match, is calculated (step S5). Referring to FIG. 5, an example is shown in which the statistic of the packet of interest and application information are compared to determine the fitness. In this example, if the packet length is 120 bytes, the fitness is 0.3.

そして、この適合度計算(ステップS5)を、注目パケットのアプリケーション候補と注目パケットの近隣パケットのアプリケーション候補の全ての組について行う。   Then, this fitness calculation (step S5) is performed for all sets of application candidates for the target packet and application candidates for neighboring packets of the target packet.

次に、この算出した各適合度に対応する遷移確率をそれぞれ算出する。具体的には、図6に示すように、総適合度に占める適合度合計の割合を各遷移の遷移確率とする。ここで、適合度合計とは、アプリケーション候補毎の適合度の合計値であり、総適合度とは、アプリケーションA,B,Cを含めた全ての適合度の合計値である。アプリケーション情報との適合度が高い程遷移確率も高くなる。   Next, the transition probabilities corresponding to the calculated degrees of fitness are calculated. Specifically, as shown in FIG. 6, the ratio of the total fitness to the total fitness is defined as the transition probability of each transition. Here, the total fitness level is a total value of fitness levels for each application candidate, and the total fitness level is a total value of all fitness levels including applications A, B, and C. The higher the fitness with the application information, the higher the transition probability.

ここで、上記の遷移確率を求める演算を(1)の式で示す。   Here, the calculation for obtaining the transition probability is expressed by the equation (1).

アプリケーション候補数をA、統計量演算項目数をBとし、演算対象パケットである注目パケットのインデックスをn、注目パケットの直前のパケットの仮定のアプリケーション候補の番号をi(1≦i≦A)、演算対象パケットの仮定のアプリケーション候補の番号をj(1≦j≦A)とする。すると、iからjへの遷移確率Pn,j→jは、

Figure 2007228489
となる。ここでCn,iklとは、n−1番目のパケットの仮定がi、n番目のパケットの仮定がk、統計量演算項目インデックスがlである場合の適合度である。例えばl=パケット長分布などがある。以上が、確率演算部24が遷移確率を求めるための具体的な動作の説明である。 The number of application candidates is A, the number of statistics calculation items is B, the index of the packet of interest that is the calculation target packet is n, the number of the hypothetical application candidate of the packet immediately before the packet of interest is i (1 ≦ i ≦ A), Let j (1 ≦ j ≦ A) be the number of the hypothetical application candidate of the operation target packet. Then, the transition probability P n, j → j from i to j is
Figure 2007228489
It becomes. Here, C n, ikl is the fitness when the assumption of the (n−1) -th packet is i, the assumption of the n-th packet is k, and the statistic calculation item index is l. For example, l = packet length distribution. The above is the description of the specific operation for the probability calculation unit 24 to obtain the transition probability.

次に、最尤系列推定部25は、確率演算部24から受信した注目パケットのひとつ前のパケットとのアプリケーション候補組み合わせの遷移確率を基に、最尤系列推定を実施する(ステップS7)。   Next, the maximum likelihood sequence estimation unit 25 performs maximum likelihood sequence estimation based on the transition probability of the application candidate combination with the packet immediately before the packet of interest received from the probability calculation unit 24 (step S7).

ここで、サバイバルパスを求める演算を(2)の式で示す。演算対象パケットである注目パケットのインデックスがn、アプリケーション候補の番号がj、iからjへの遷移確率をPn,i→jであるとすると、サバイバルパス確率Qn,jは、

Figure 2007228489
となる。ここで、max{f(x,y)|m≦y≦n}はm≦y≦nの範囲内でf(x,y)の最大値を表す関数である。 Here, the calculation for obtaining the survival path is shown by the equation (2). Assuming that the index of the packet of interest that is the computation target packet is n, the application candidate number is j, and the transition probability from i to j is P n, i → j , the survival path probability Q n, j is
Figure 2007228489
It becomes. Here, max {f (x, y) | m ≦ y ≦ n} is a function representing the maximum value of f (x, y) within the range of m ≦ y ≦ n.

また、図7には最尤系列推定の例を示している。図7に示したように最尤系列推定とは、パケット系列に従い各パケットをアプリケーション候補に塗り分けていくことである。最尤系列推定により、誤識別を防ぐため残していた複数のアプリケーション候補が削除され、識別結果パスは1本へ収束していく。   FIG. 7 shows an example of maximum likelihood sequence estimation. As shown in FIG. 7, the maximum likelihood sequence estimation is to paint each packet into application candidates according to the packet sequence. By the maximum likelihood sequence estimation, a plurality of remaining application candidates are deleted to prevent erroneous identification, and the identification result path converges to one.

次に、アプリケーション候補動的制御部26は、アプリケーション候補を動的に制御する(ステップS8)。すなわち、最尤系列推定の結果新しいフローが増加していた場合は該アプリケーション候補の候補数を増やし、逆にフローが減少していた場合該当アプリケーション候補の候補数を減らす。例えばアプリケーション候補Aのフローが増加したと識別された場合、さらに増えることを想定してアプリケーション候補Aの候補数を増やす。また複数あったアプリケーションBのフローが減少したと識別された場合、アプリケーション候補Bの候補数を削減する。例えば一定時間パケットを受信しなかったら、そのフローは無くなったと判定する、などの制御を行う。   Next, the application candidate dynamic control unit 26 dynamically controls application candidates (step S8). That is, if the new flow has increased as a result of maximum likelihood sequence estimation, the number of candidate application candidates is increased. Conversely, if the flow has decreased, the number of candidate application candidates is decreased. For example, when it is identified that the flow of the application candidate A has increased, the number of candidates for the application candidate A is increased on the assumption that the flow further increases. When it is identified that the flow of the plurality of application B has decreased, the number of candidate application candidates B is reduced. For example, if a packet is not received for a certain period of time, it is determined that the flow has been lost.

次に、繰り返し動作管理部27は注目パケットを変更する。注目パケットを変更する際、パケット系列の識別が全て終了している場合は、パケット系列のアプリケーション識別結果が表示装置4により表示されて終了する(ステップS10)。パケット系列の識別が終了していない場合は、注目パケットを変更し、ステップS3に移行する。また、注目パケットを変更する際、パケット情報格納部31に最新のパケット情報を保存する(ステップS9)。   Next, the repetitive operation management unit 27 changes the packet of interest. When the packet of interest is completely identified when changing the packet of interest, the application identification result of the packet sequence is displayed on the display device 4 and the process ends (step S10). If the identification of the packet series has not ended, the packet of interest is changed and the process proceeds to step S3. When changing the packet of interest, the latest packet information is stored in the packet information storage unit 31 (step S9).

上記のように構成されたアプリケーション識別システムにより、図7に示したように、受信したパケット系列はアプリケーションフローに振り分けられる。   As shown in FIG. 7, the received packet sequence is distributed to application flows by the application identification system configured as described above.

本実施例では、注目パケットのパケット長統計量及びパケット到着間隔統計量を用いて、注目パケットのひとつ前のパケットとのアプリケーション候補組み合わせの遷移確率を演算する場合を例にとったが、注目パケットと注目パケットのひとつ前のパケットと注目パケットのふたつ前のパケットの3つのパケット間のパケット長統計量及びパケット到着間隔統計量を用いて遷移確率を演算することもできる。あるいは、3つ以上複数のパケット間のパケット長統計量及びパケット到着間隔統計量を用いて遷移確率を演算することもできる。   In this embodiment, the transition probability of the application candidate combination with the packet immediately before the packet of interest is calculated using the packet length statistic and the packet arrival interval statistic of the packet of interest. The transition probability can be calculated using the packet length statistic and the packet arrival interval statistic between the three packets of the packet immediately before the packet of interest and the packet two packets before the packet of interest. Alternatively, the transition probability can be calculated using a packet length statistic and a packet arrival interval statistic between three or more packets.

また、アプリケーション情報がアプリケーション情報格納部32に保存されていないアプリケーションを受信することを想定して、アプリケーション候補にアプリケーション情報の無いアプリケーション用のアプリケーション候補を用意することもできる。   Further, assuming that an application whose application information is not stored in the application information storage unit 32 is received, an application candidate for an application having no application information can be prepared as an application candidate.

本発明になるシステムのブロック図。1 is a block diagram of a system according to the present invention. パケット情報の情報例を示す図。The figure which shows the example of information of packet information. 本発明になるアプリケーション識別のフローチャート。The flowchart of the application identification which becomes this invention. アプリケーション情報の情報例を示す図。The figure which shows the information example of application information. 適合度の算出例を示す図。The figure which shows the example of calculation of a fitness. 遷移確率の算出例を示す図。The figure which shows the example of calculation of a transition probability. 最尤系列推定の例を示す図。The figure which shows the example of maximum likelihood sequence estimation.

符号の説明Explanation of symbols

A 受信装置
B アプリケーション識別装置
C 記憶装置
D 表示装置
1 受信部
20 統計量演算部
21 パケット情報抽出部
22 パケット長統計量演算部
23 パケット到着間隔統計量演算部
24 確率演算部
25 最尤系列推定部
26 アプリケーション候補動的管理部
27 繰返し動作管理部
31 パケット情報格納部
32 アプリケーション情報格納部
4 表示部
特許出願人 日本電気株式会社
代 理 人 宇 高 克 己 A receiving device B application identifying device C storage device D display device 1 receiving unit 20 statistic calculating unit 21 packet information extracting unit 22 packet length statistic calculating unit 23 packet arrival interval statistic calculating unit 24 probability calculating unit 25 maximum likelihood sequence estimation Unit 26 application candidate dynamic management unit 27 repetitive operation management unit 31 packet information storage unit 32 application information storage unit 4 display unit
Patent Applicant NEC Corporation
Representative Katsumi Udaka

Claims (45)

パケットに対応するアプリケーションを識別するアプリケーション識別システムであって、
少なくとも二以上の受信パケットの各々にアプリケーション候補を対応させた場合、受信パケット間でアプリケーション候補が遷移する遷移確率を、前記受信パケット及び前記アプリケーション候補の情報に基づいて算出する確率演算手段と、
前記遷移確率に基づいて、受信パケットに対応するアプリケーションを識別するアプリケーション識別手段と
を有することを特徴とするアプリケーション識別システム。 An application identification system for identifying an application corresponding to a packet,
When the application candidate is associated with each of at least two or more received packets, probability calculation means for calculating a transition probability that the application candidate transitions between the received packets based on the information of the received packet and the application candidate;
And an application identification unit that identifies an application corresponding to the received packet based on the transition probability. 複数のアプリケーションのデータフローが混在するネットワーク環境において、識別対象となる注目パケットのアプリケーションを識別するアプリケーション識別システムであって、
前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいて統計量を算出する統計量演算手段と、
前記統計量演算手段により演算した統計量と前記アプリケーション候補のアプリケーション情報とを比較して、前記近隣パケットのアプリケーション候補から前記注目パケットのアプリケーション候補へと遷移する確率である遷移確率を演算する確率演算手段と、
前記遷移確率に基づいて、前記注目パケットのアプリケーションを識別するアプリケーション識別手段と
を有することを特徴とするアプリケーション識別システム。 An application identification system for identifying an application of a target packet to be identified in a network environment in which data flows of a plurality of applications are mixed,
Statistic calculation means for calculating a statistic based on packet information of a received packet for each set of application candidates of the packet of interest and application candidates of neighboring packets of the packet of interest;
A probability calculation for calculating a transition probability that is a probability of transition from the application candidate of the neighboring packet to the application candidate of the packet of interest by comparing the statistic calculated by the statistic calculation means and the application information of the application candidate Means,
And an application identification unit that identifies an application of the packet of interest based on the transition probability. 前記アプリケーション識別手段は、前記注目パケットのアプリケーションを識別する動作を、パケット系列に対して時系列順に注目パケットを変えて実施し、前記注目パケットをアプリケーション毎のフローに振り分けることで、前記パケット系列をアプリケーションフローに振り分けるように構成されていることを特徴とする請求項2に記載のアプリケーション識別システム。   The application identifying means performs the operation of identifying the application of the packet of interest by changing the packet of interest in chronological order with respect to the packet sequence, and divides the packet of interest into flows for each application, thereby The application identification system according to claim 2, wherein the application identification system is configured to distribute to application flows. 前記統計量演算手段は、
受信したパケットのパケット情報に基づいて、前記統計量としてパケット長統計量を演算するパケット長統計量演算手段と、
受信したパケットのパケット情報に基づいて前記統計量としてパケット到着間隔統計量を演算するパケット到着間隔統計量演算手段と
を有することを特徴とする請求項2または請求項3に記載のアプリケーション識別システム。 The statistic calculation means includes:
Packet length statistic calculating means for calculating a packet length statistic as the statistic based on packet information of the received packet;
4. The application identification system according to claim 2, further comprising packet arrival interval statistic calculation means for calculating a packet arrival interval statistic as the statistic based on packet information of a received packet. 前記パケット情報は、パケットの到着順を示すパケット番号と、パケット長と、パケット到着時刻と、前記アプリケーション識別手段によるアプリケーション識別の結果であるアプリケーション識別結果とからなることを特徴とする請求項2から請求項4のいずれかに記載のアプリケーション識別システム。   3. The packet information includes a packet number indicating a packet arrival order, a packet length, a packet arrival time, and an application identification result that is a result of application identification by the application identification unit. The application identification system according to claim 4. 前記アプリケーション情報は、前記アプリケーション候補となるアプリケーションのパケットのみがネットワーク上を流れている状況においてパケットに対して統計量演算を行うことで得られるアプリケーションを特徴付ける情報であることを特徴とする請求項2から請求項5のいずれかに記載のアプリケーション識別システム。   3. The application information is information that characterizes an application obtained by performing a statistic calculation on a packet in a situation where only the packet of the application that is a candidate for the application flows on the network. The application identification system according to claim 5. 前記アプリケーションを特徴付ける情報は、パケット長統計量と、パケット到着間隔統計量と、アプリケーション種別との少なくとも1つ以上からなることを特徴とする請求項6に記載のアプリケーション識別システム。   7. The application identification system according to claim 6, wherein the information characterizing the application includes at least one of a packet length statistic, a packet arrival interval statistic, and an application type. 前記アプリケーション情報のパケット長統計量は、パケット長分布と、パケット長移動平均値分布と、パケット長移動中央値分布と、パケット長移動分散値分布と、パケット長移動標準偏差分布との少なくとも1つ以上からなることを特徴とする請求項7に記載のアプリケーション識別システム。   The packet length statistic of the application information includes at least one of a packet length distribution, a packet length moving average value distribution, a packet length moving median value distribution, a packet length moving variance value distribution, and a packet length moving standard deviation distribution. The application identification system according to claim 7, comprising the above. 前記アプリケーション情報のパケット到着間隔統計量は、パケット到着間隔分布と、パケット到着間隔移動平均値分布と、パケット到着間隔移動中央値分布と、パケット到着間隔移動分散値分布と、パケット到着間隔移動標準偏差分布との少なくとも1つ以上からなることを特徴とする請求項7に記載のアプリケーション識別システム。   The packet arrival interval statistic of the application information includes packet arrival interval distribution, packet arrival interval moving average distribution, packet arrival interval moving median distribution, packet arrival interval moving variance distribution, and packet arrival interval moving standard deviation. The application identification system according to claim 7, comprising at least one distribution. アプリケーション候補は、識別情報によって識別されることを特徴とする請求項2から請求項9のいずれかに記載のアプリケーション識別システム。   The application identification system according to claim 2, wherein the application candidate is identified by identification information. 複数のアプリケーションのデータフローが混在するネットワーク環境において、識別対象となる注目パケットのアプリケーションを識別するアプリケーション識別システムであって、
パケット系列のパケット情報を抽出するパケット情報抽出手段と、
前記パケット情報に基づいて、前記パケット系列に対し、注目パケット及び注目パケットの近隣のパケットをそれぞれあるアプリケーション候補に仮定し、前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいてパケット長統計量を演算するパケット長統計量演算手段と、
前記パケット情報に基づいて、前記パケット系列に対し、注目パケット及び注目パケットの近隣のパケットをそれぞれあるアプリケーション候補に仮定し、
前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいてパケット到着間隔統計量を演算するパケット到着間隔統計量演算手段と、
前記統計量演算手段により演算した統計量と前記アプリケーション候補のアプリケーション情報とを比較して、前記近隣パケットのアプリケーション候補から前記注目パケットのアプリケーション候補へと遷移する確率である遷移確率を演算する確率演算手段と、
前記遷移確率に基づいて最尤系列推定を実施しアプリケーション識別を行う最尤系列推定手段と、
識別結果を用いて前記アプリケーション候補の種別及び候補数を動的に制御するアプリケーション候補動的制御手段と、
時系列順に注目パケットを変化させてアプリケーション識別の繰り返し動作を管理する繰り返し動作管理手段と
を有することを特徴とするアプリケーション識別システム。 An application identification system for identifying an application of a target packet to be identified in a network environment in which data flows of a plurality of applications are mixed,
Packet information extraction means for extracting packet information of a packet sequence;
Based on the packet information, the packet of interest is assumed to be a certain application candidate for the packet sequence, and the application candidate of the packet of interest and the application candidate of the neighboring packet of the packet of interest A packet length statistic calculating means for calculating a packet length statistic based on packet information of a received packet for each set;
Based on the packet information, assume that a packet of interest and a packet in the vicinity of the packet of interest for each packet series are application candidates,
A packet arrival interval statistic calculating means for calculating a packet arrival interval statistic based on packet information of a received packet for each set of application candidates of the packet of interest and application candidates of neighboring packets of the packet of interest;
A probability calculation for calculating a transition probability that is a probability of transition from the application candidate of the neighboring packet to the application candidate of the packet of interest by comparing the statistic calculated by the statistic calculation means and the application information of the application candidate Means,
Maximum likelihood sequence estimation means for performing application identification based on maximum likelihood sequence estimation based on the transition probability;
Application candidate dynamic control means for dynamically controlling the type and number of candidates for the application candidates using the identification result;
An application identification system comprising: repetitive operation management means for managing a repetitive operation of application identification by changing a packet of interest in chronological order. 前記パケット情報抽出手段は、受信したパケット系列を構成する個々のパケットのパケット長及びパケット到着時刻を抽出することを特徴とする請求11に記載のアプリケーション識別システム。   12. The application identification system according to claim 11, wherein the packet information extraction unit extracts packet lengths and packet arrival times of individual packets constituting the received packet series. 前記最尤系列推定手段は、前記遷移確率から最尤系列推定を実施し、前記パケット系列をアプリケーション毎のフローに振り分けることを特徴とする請求項11または請求項12に記載のアプリケーション識別システム。   13. The application identification system according to claim 11, wherein the maximum likelihood sequence estimation unit performs maximum likelihood sequence estimation from the transition probability and distributes the packet sequence to a flow for each application. 前記アプリケーション候補動的制御手段は、前記最尤系列推定手段によりアプリケーション識別した結果を用いて前記アプリケーション候補の種別及びフロー数を動的に制御することを特徴とする請求項11から請求項13のいずれかに記載のアプリケーション識別システム。   14. The application candidate dynamic control unit dynamically controls the type and number of flows of the application candidate using a result of application identification by the maximum likelihood sequence estimation unit. The application identification system according to any one of the above. 前記繰り返し動作管理手段は、全てのパケットのアプリケーション識別が終了するまでアプリケーション識別動作が繰り返されるよう管理することを特徴とする請求項11から請求項14のいずれかに記載のアプリケーション識別システム。   15. The application identification system according to claim 11, wherein the repetitive operation management unit manages the application identification operation to be repeated until application identification of all packets is completed. パケットに対応するアプリケーションを識別するアプリケーション識別方法であって、
少なくとも二以上の受信パケットの各々にアプリケーション候補を対応させて、受信パケット間でアプリケーション候補が遷移する遷移確率を、前記受信パケット及び前記アプリケーション候補の情報に基づいて算出する確率演算ステップと、
前記遷移確率に基づいて、受信パケットに対応するアプリケーションを識別するアプリケーション識別ステップと
を有することを特徴とするアプリケーション識別方法。 An application identification method for identifying an application corresponding to a packet,
A probability calculating step of associating an application candidate with each of at least two or more received packets, and calculating a transition probability that the application candidate transitions between received packets based on the information of the received packet and the application candidate;
An application identification step of identifying an application corresponding to the received packet based on the transition probability. 複数のアプリケーションのデータフローが混在するネットワーク環境において、識別対象となる注目パケットのアプリケーションを識別するアプリケーション識別方法であって、
前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいて統計量を算出する統計量演算ステップと、
前記統計量演算ステップにより演算した統計量と前記アプリケーション候補のアプリケーション情報とを比較して、前記近隣パケットのアプリケーション候補から前記注目パケットのアプリケーション候補へと遷移する確率である遷移確率を演算する遷移確率演算ステップと、
前記遷移確率に基づいて、前記注目パケットのアプリケーションを識別するアプリケーション識別ステップと
を有することを特徴とするアプリケーション識別方法。 An application identification method for identifying an application of a target packet to be identified in a network environment in which data flows of multiple applications are mixed,
A statistic calculation step for calculating a statistic based on packet information of a received packet for each set of application candidates of the packet of interest and application candidates of neighboring packets of the packet of interest;
A transition probability that compares the statistic calculated in the statistic calculation step with the application information of the application candidate and calculates a transition probability that is a probability of transition from the application candidate of the neighboring packet to the application candidate of the packet of interest. A computation step;
An application identification step of identifying an application of the packet of interest based on the transition probability. 前記アプリケーション識別ステップは、前記注目パケットのアプリケーションを識別する動作を、パケット系列に対して時系列順に注目パケットを変えて実施し、前記注目パケットをアプリケーション毎のフローに振り分けることで、前記パケット系列をアプリケーションフローに振り分けることを特徴とする請求項17に記載のアプリケーション識別方法。   The application identifying step performs the operation of identifying the application of the packet of interest by changing the packet of interest in chronological order with respect to the packet sequence, and divides the packet of interest into flows for each application, thereby The application identification method according to claim 17, wherein the application identification method is assigned to an application flow. 前記統計量演算ステップは、
受信したパケットのパケット情報に基づいて、前記統計量としてパケット長統計量を演算するパケット長統計量演算ステップと、
受信したパケットのパケット情報に基づいて前記統計量としてパケット到着間隔統計量を演算するパケット到着間隔統計量演算ステップと
を有することを特徴とする請求項17または請求項18に記載のアプリケーション識別方法。 The statistic calculation step includes:
A packet length statistic calculating step for calculating a packet length statistic as the statistic based on packet information of the received packet;
19. The application identification method according to claim 17, further comprising a packet arrival interval statistic calculating step of calculating a packet arrival interval statistic as the statistic based on packet information of a received packet. 前記パケット情報は、パケットの到着順を示すパケット番号と、パケット長と、パケット到着時刻と、前記アプリケーション識別ステップによるアプリケーション識別の結果であるアプリケーション識別結果とからなることを特徴とする請求項17から請求項19のいずれかに記載のアプリケーション識別方法。   18. The packet information includes a packet number indicating a packet arrival order, a packet length, a packet arrival time, and an application identification result that is a result of application identification in the application identification step. The application identification method according to claim 19. 前記アプリケーション情報は、前記アプリケーション候補となるアプリケーションのパケットのみがネットワーク上を流れている状況においてパケットに対して統計量演算を行うことで得られるアプリケーションを特徴付ける情報であることを特徴とする請求項17から請求項20のいずれかに記載のアプリケーション識別方法。   The application information is information that characterizes an application obtained by performing a statistic calculation on a packet in a situation where only the packet of the application that is the application candidate flows on the network. The application identification method according to claim 20. 前記アプリケーションを特徴付ける情報は、パケット長統計量と、パケット到着間隔統計量と、アプリケーション種別との少なくとも1つ以上からなることを特徴とする請求項21に記載のアプリケーション識別方法。   The application identifying method according to claim 21, wherein the information characterizing the application includes at least one of a packet length statistic, a packet arrival interval statistic, and an application type. 前記アプリケーション情報のパケット長統計量は、パケット長分布と、パケット長移動平均値分布と、パケット長移動中央値分布と、パケット長移動分散値分布と、パケット長移動標準偏差分布との少なくとも1つ以上からなることを特徴とする請求項22に記載のアプリケーション識別方法。   The packet length statistic of the application information includes at least one of a packet length distribution, a packet length moving average value distribution, a packet length moving median value distribution, a packet length moving variance value distribution, and a packet length moving standard deviation distribution. 23. The application identification method according to claim 22, comprising the above. 前記アプリケーション情報のパケット到着間隔統計量は、パケット到着間隔分布と、パケット到着間隔移動平均値分布と、パケット到着間隔移動中央値分布と、パケット到着間隔移動分散値分布と、パケット到着間隔移動標準偏差分布との少なくとも1つ以上からなることを特徴とする請求項22に記載のアプリケーション識別方法。   The packet arrival interval statistic of the application information includes packet arrival interval distribution, packet arrival interval moving average distribution, packet arrival interval moving median distribution, packet arrival interval moving variance distribution, and packet arrival interval moving standard deviation. The application identification method according to claim 22, comprising at least one of distributions. アプリケーション候補は、識別情報によって識別されることを特徴とする請求項17から請求項24のいずれかに記載のアプリケーション識別方法。   The application candidate according to any one of claims 17 to 24, wherein the application candidate is identified by identification information. 複数のアプリケーションのデータフローが混在するネットワーク環境において、識別対象となる注目パケットのアプリケーションを識別するアプリケーション識別方法であって、
パケット系列のパケット情報を抽出するパケット情報抽出ステップと、
前記パケット情報に基づいて、前記パケット系列に対し、注目パケット及び注目パケットの近隣のパケットをそれぞれあるアプリケーション候補に仮定し、前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいてパケット長統計量を演算するパケット長統計量演算ステップと、
前記パケット情報に基づいて、前記パケット系列に対し、注目パケット及び注目パケットの近隣のパケットをそれぞれあるアプリケーション候補に仮定し、
前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいてパケット到着間隔統計量を演算するパケット到着間隔統計量演算ステップと、
前記統計量演算ステップにより演算した統計量と前記アプリケーション候補のアプリケーション情報とを比較して、前記近隣パケットのアプリケーション候補から前記注目パケットのアプリケーション候補へと遷移する確率である遷移確率を演算する確率演算ステップと、
前記遷移確率に基づいて最尤系列推定を実施しアプリケーション識別を行う最尤系列推定ステップと、
識別結果を用いて前記アプリケーション候補の種別及び候補数を動的に制御するアプリケーション候補動的制御ステップと、
時系列順に注目パケットを変化させてアプリケーション識別の繰り返し動作を管理する繰り返し動作管理ステップと
を有することを特徴とするアプリケーション識別方法。 An application identification method for identifying an application of a target packet to be identified in a network environment in which data flows of multiple applications are mixed,
A packet information extraction step for extracting packet information of the packet sequence;
Based on the packet information, the packet of interest is assumed to be a certain application candidate for the packet sequence, and the application candidate of the packet of interest and the application candidate of the neighboring packet of the packet of interest A packet length statistic calculating step for calculating a packet length statistic based on packet information of the received packet for each set;
Based on the packet information, assume that a packet of interest and a packet in the vicinity of the packet of interest for each packet series are application candidates,
A packet arrival interval statistic calculating step for calculating a packet arrival interval statistic based on packet information of the received packet for each set of the application candidate of the packet of interest and an application candidate of a neighboring packet of the packet of interest;
A probability calculation that calculates a transition probability that is a probability of transition from the application candidate of the neighboring packet to the application candidate of the packet of interest by comparing the statistic calculated in the statistic calculation step and the application information of the application candidate. Steps,
A maximum likelihood sequence estimation step for performing application identification based on maximum transition sequence estimation based on the transition probability; and
An application candidate dynamic control step for dynamically controlling the type and number of candidates for the application candidate using an identification result;
A repetitive operation management step of managing a repetitive operation of application identification by changing a packet of interest in time series order. 前記パケット情報抽出ステップは、受信したパケット系列を構成する個々のパケットのパケット長及びパケット到着時刻を抽出することを特徴とする請求26に記載のアプリケーション識別方法。   27. The application identification method according to claim 26, wherein the packet information extraction step extracts a packet length and a packet arrival time of each packet constituting the received packet series. 前記最尤系列推定ステップは、前記遷移確率から最尤系列推定を実施し、前記パケット系列をアプリケーション毎のフローに振り分けることを特徴とする請求項26または請求項27に記載のアプリケーション識別方法。   The application identification method according to claim 26 or 27, wherein the maximum likelihood sequence estimation step performs maximum likelihood sequence estimation from the transition probability and distributes the packet sequence to a flow for each application. 前記アプリケーション候補動的制御ステップは、前記最尤系列推定ステップによりアプリケーション識別した結果を用いて前記アプリケーション候補の種別及びフロー数を動的に制御することを特徴とする請求項26から請求項28のいずれかに記載のアプリケーション識別方法。   29. The application candidate dynamic control step dynamically controls the type and number of flows of the application candidate using a result of application identification performed by the maximum likelihood sequence estimation step. The application identification method according to any one of the above. 前記繰り返し動作管理ステップは、全てのパケットのアプリケーション識別が終了するまでアプリケーション識別動作が繰り返されるよう管理することを特徴とする請求項26から請求項29のいずれかに記載のアプリケーション識別方法。   30. The application identification method according to claim 26, wherein the repetitive operation management step performs management so that the application identification operation is repeated until application identification of all packets is completed. パケットに対応するアプリケーションを識別するアプリケーション識別システムのプログラムであって、前記プログラムは前記アプリケーション識別システムを、
少なくとも二以上の受信パケットの各々にアプリケーション候補を対応させた場合、受信パケット間でアプリケーション候補が遷移する遷移確率を、前記受信パケット及び前記アプリケーション候補の情報に基づいて算出する確率演算手段と、
前記遷移確率に基づいて、受信パケットに対応するアプリケーションを識別するアプリケーション識別手段と
して機能させことを特徴とするプログラム。 A program of an application identification system for identifying an application corresponding to a packet, the program identifying the application identification system,
When the application candidate is associated with each of at least two or more received packets, probability calculation means for calculating a transition probability that the application candidate transitions between the received packets based on the information of the received packet and the application candidate;
A program that functions as an application identification unit that identifies an application corresponding to a received packet based on the transition probability. 複数のアプリケーションのデータフローが混在するネットワーク環境において、識別対象となる注目パケットのアプリケーションを識別するアプリケーション識別システムのプログラムであって、前記プログラムは前記システムを、
前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいて統計量を算出する統計量演算手段と、
前記統計量演算手段により演算した統計量と前記アプリケーション候補のアプリケーション情報とを比較して、前記近隣パケットのアプリケーション候補から前記注目パケットのアプリケーション候補へと遷移する確率である遷移確率を演算する確率演算手段と、
前記遷移確率に基づいて、前記注目パケットのアプリケーションを識別するアプリケーション識別手段と
して機能させることを特徴とするプログラム。 In a network environment in which data flows of a plurality of applications are mixed, an application identification system program for identifying an application of a target packet to be identified, the program includes the system,
Statistic calculation means for calculating a statistic based on packet information of a received packet for each set of application candidates of the packet of interest and application candidates of neighboring packets of the packet of interest;
A probability calculation for calculating a transition probability that is a probability of transition from the application candidate of the neighboring packet to the application candidate of the packet of interest by comparing the statistic calculated by the statistic calculation means and the application information of the application candidate Means,
A program that functions as an application identification unit that identifies an application of the packet of interest based on the transition probability. 前記アプリケーション識別手段は、前記注目パケットのアプリケーションを識別する動作を、パケット系列に対して時系列順に注目パケットを変えて実施し、前記注目パケットをアプリケーション毎のフローに振り分けることで、前記パケット系列をアプリケーションフローに振り分けることを特徴とする請求項32に記載のプログラム。   The application identifying means performs an operation of identifying the application of the packet of interest by changing the packet of interest in chronological order with respect to the packet sequence, and divides the packet of interest into flows for each application, thereby The program according to claim 32, wherein the program is distributed to application flows. 前記統計量演算手段は、
受信したパケットのパケット情報に基づいて、前記統計量としてパケット長統計量を演算するパケット長統計量演算手段と、
受信したパケットのパケット情報に基づいて前記統計量としてパケット到着間隔統計量を演算するパケット到着間隔統計量演算手段と
を有することを特徴とする請求項32または請求項23に記載のプログラム。 The statistic calculation means includes:
Packet length statistic calculating means for calculating a packet length statistic as the statistic based on packet information of the received packet;
24. The program according to claim 32, further comprising packet arrival interval statistic calculating means for calculating a packet arrival interval statistic as the statistic based on packet information of a received packet. 前記パケット情報は、パケットの到着順を示すパケット番号と、パケット長と、パケット到着時刻と、前記アプリケーション識別手段によるアプリケーション識別の結果であるアプリケーション識別結果からなることを特徴とする請求項32から請求項34のいずれかに記載のプログラム。   The packet information includes a packet number indicating the arrival order of packets, a packet length, a packet arrival time, and an application identification result which is a result of application identification by the application identification unit. Item 35. The program according to any one of item 34. 前記アプリケーション情報は、前記アプリケーション候補となるアプリケーションのパケットのみがネットワーク上を流れている状況においてパケットに対して統計量演算を行うことで得られるアプリケーションを特徴付ける情報であることを特徴とする請求項32から請求項35のいずれかに記載のプログラム。   The application information is information that characterizes an application obtained by performing a statistic calculation on a packet in a situation where only the packet of the application as the application candidate flows on the network. 36. The program according to claim 35. 前記アプリケーションを特徴付ける情報は、パケット長統計量と、パケット到着間隔統計量と、アプリケーション種別との少なくとも1つ以上からなることを特徴とする請求項36に記載のプログラム。   The program according to claim 36, wherein the information characterizing the application includes at least one of a packet length statistic, a packet arrival interval statistic, and an application type. 前記アプリケーション情報のパケット長統計量は、パケット長分布と、パケット長移動平均値分布と、パケット長移動中央値分布と、パケット長移動分散値分布と、パケット長移動標準偏差分布との少なくとも1つ以上からなることを特徴とする請求項37に記載のプログラム。   The packet length statistic of the application information includes at least one of a packet length distribution, a packet length moving average value distribution, a packet length moving median value distribution, a packet length moving variance value distribution, and a packet length moving standard deviation distribution. The program according to claim 37, comprising the above. 前記アプリケーション情報のパケット到着間隔統計量は、パケット到着間隔分布と、パケット到着間隔移動平均値分布と、パケット到着間隔移動中央値分布と、パケット到着間隔移動分散値分布と、パケット到着間隔移動標準偏差分布との少なくとも1つ以上からなることを特徴とする請求項37に記載のプログラム。   The packet arrival interval statistic of the application information includes packet arrival interval distribution, packet arrival interval moving average distribution, packet arrival interval moving median distribution, packet arrival interval moving variance distribution, and packet arrival interval moving standard deviation. The program according to claim 37, comprising at least one distribution. アプリケーション候補は、識別情報によって識別されることを特徴とする請求項32から請求項39のいずれかに記載のプログラム。   40. The program according to claim 32, wherein the application candidate is identified by identification information. 複数のアプリケーションのデータフローが混在するネットワーク環境において、識別対象となる注目パケットのアプリケーションを識別するアプリケーション識別システムのプログラムであって、前記プログラムは前記アプリケーション識別システムを、
パケット系列のパケット情報を抽出するパケット情報抽出手段と、
前記パケット情報に基づいて、前記パケット系列に対し、注目パケット及び注目パケットの近隣のパケットをそれぞれあるアプリケーション候補に仮定し、前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいてパケット長統計量を演算するパケット長統計量演算手段と、
前記パケット情報に基づいて、前記パケット系列に対し、注目パケット及び注目パケットの近隣のパケットをそれぞれあるアプリケーション候補に仮定し、
前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいてパケット到着間隔統計量を演算するパケット到着間隔統計量演算手段と、
前記統計量演算手段により演算した統計量と前記アプリケーション候補のアプリケーション情報とを比較して、前記近隣パケットのアプリケーション候補から前記注目パケットのアプリケーション候補へと遷移する確率である遷移確率を演算する確率演算手段と、
前記遷移確率に基づいて最尤系列推定を実施しアプリケーション識別を行う最尤系列推定手段と、
識別結果を用いて前記アプリケーション候補の種別及び候補数を動的に制御するアプリケーション候補動的制御手段と、
時系列順に注目パケットを変化させてアプリケーション識別の繰り返し動作を管理する繰り返し動作管理手段と
して機能させることを特徴とするプログラム。 In a network environment in which data flows of a plurality of applications are mixed, an application identification system program for identifying an application of a target packet to be identified, the program identifying the application identification system,
Packet information extraction means for extracting packet information of a packet sequence;
Based on the packet information, the packet of interest is assumed to be a certain application candidate for the packet sequence, and the application candidate of the packet of interest and the application candidate of the neighboring packet of the packet of interest A packet length statistic calculating means for calculating a packet length statistic based on packet information of a received packet for each set;
Based on the packet information, assume that a packet of interest and a packet in the vicinity of the packet of interest for each packet series are application candidates,
A packet arrival interval statistic calculating means for calculating a packet arrival interval statistic based on packet information of a received packet for each set of application candidates of the packet of interest and application candidates of neighboring packets of the packet of interest;
A probability calculation for calculating a transition probability that is a probability of transition from the application candidate of the neighboring packet to the application candidate of the packet of interest by comparing the statistic calculated by the statistic calculation means and the application information of the application candidate Means,
Maximum likelihood sequence estimation means for performing application identification based on maximum likelihood sequence estimation based on the transition probability;
Application candidate dynamic control means for dynamically controlling the type and number of candidates for the application candidates using the identification result;
A program that functions as a repetitive operation management unit that manages a repetitive operation of application identification by changing a packet of interest in time series. 前記パケット情報抽出手段は、受信したパケット系列を構成する個々のパケットのパケット長及びパケット到着時刻を抽出することを特徴とする請求41に記載のプログラム。   42. The program according to claim 41, wherein the packet information extraction unit extracts a packet length and a packet arrival time of each packet constituting the received packet series. 前記最尤系列推定手段は、前記遷移確率から最尤系列推定を実施し、前記パケット系列をアプリケーション毎のフローに振り分けることを特徴とする請求項41または請求項42に記載のプログラム。   43. The program according to claim 41 or claim 42, wherein the maximum likelihood sequence estimation means performs maximum likelihood sequence estimation from the transition probability, and distributes the packet sequence to a flow for each application. 前記アプリケーション候補動的制御手段は、前記最尤系列推定手段によりアプリケーション識別した結果を用いて前記アプリケーション候補の種別及びフロー数を動的に制御することを特徴とする請求項41から請求項43のいずれかに記載のプログラム。   44. The application candidate dynamic control unit dynamically controls the type and number of flows of the application candidate using the result of application identification by the maximum likelihood sequence estimation unit. The program according to any one. 前記繰り返し動作管理手段は、全てのパケットのアプリケーション識別が終了するまでアプリケーション識別動作が繰り返されるよう管理することを特徴とする請求項41から請求項44のいずれかに記載のプログラム。   The program according to any one of claims 41 to 44, wherein the repetitive operation managing means manages the application identifying operation to be repeated until application identification of all packets is completed.
JP2006049896A 2006-02-27 2006-02-27 Identification system and method therefor, and program for application Pending JP2007228489A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006049896A JP2007228489A (en) 2006-02-27 2006-02-27 Identification system and method therefor, and program for application

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006049896A JP2007228489A (en) 2006-02-27 2006-02-27 Identification system and method therefor, and program for application

Publications (1)

Publication Number Publication Date
JP2007228489A true JP2007228489A (en) 2007-09-06

Family

ID=38549814

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006049896A Pending JP2007228489A (en) 2006-02-27 2006-02-27 Identification system and method therefor, and program for application

Country Status (1)

Country Link
JP (1) JP2007228489A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014160204A1 (en) 2013-03-14 2014-10-02 Amazon Technologies, Inc. Inferring application inventory
JP7349575B2 (en) 2019-12-17 2023-09-22 中興通訊股▲ふん▼有限公司 Service detection method, device, equipment, and storage medium
US11838215B2 (en) 2019-09-16 2023-12-05 Huawei Technologies Co., Ltd. Data stream classification method and related device

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
CSNG200600489003, 静野 隆之, "フロー挙動分析によるアグリゲーションフローのアプリケーション識別手法", 電子情報通信学会技術研究報告, 20060223, Vol.105 No.627, pp.9−12, 社団法人電子情報通信学会 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014160204A1 (en) 2013-03-14 2014-10-02 Amazon Technologies, Inc. Inferring application inventory
JP2016514334A (en) * 2013-03-14 2016-05-19 アマゾン テクノロジーズ インク Guess application inventory
EP2972962A4 (en) * 2013-03-14 2017-01-18 Amazon Technologies Inc. Inferring application inventory
US11838215B2 (en) 2019-09-16 2023-12-05 Huawei Technologies Co., Ltd. Data stream classification method and related device
JP7413515B2 (en) 2019-09-16 2024-01-15 華為技術有限公司 Data stream classification methods and related devices
JP7349575B2 (en) 2019-12-17 2023-09-22 中興通訊股▲ふん▼有限公司 Service detection method, device, equipment, and storage medium

Similar Documents

Publication Publication Date Title
US9537887B2 (en) Method and system for network connection chain traceback using network flow data
US7937489B2 (en) System and method for detecting port hopping
US9026674B1 (en) System and method for accurately displaying communications traffic information
Tammaro et al. Exploiting packet‐sampling measurements for traffic characterization and classification
US20150074258A1 (en) Scalable performance monitoring using dynamic flow sampling
Lee et al. Observations of UDP to TCP ratio and port numbers
US8422502B1 (en) System and method for identifying VPN traffic paths and linking VPN traffic and paths to VPN customers of a provider
US7782796B2 (en) Method for generating an annotated network topology
CN106921572B (en) A kind of method, apparatus and system for propagating qos policy
CN111953552B (en) Data flow classification method and message forwarding equipment
US9813442B2 (en) Server grouping system
WO2008062787A1 (en) Flow information restricting apparatus and method
US20150023173A1 (en) Systems And Methods For Managing A Network
KR20100109973A (en) In-bound mechanism that verifies end-to-end service configuration with application awareness
JP2017092963A (en) Method for connection fingerprint generation and stepping-stone traceback based on netflow
US20140369238A1 (en) System and method for identifying an ingress router of a flow when no ip address is associated with the interface from which the flow was received
Pan et al. QoE assessment of encrypted YouTube adaptive streaming for energy saving in Smart Cities
CN105262534B (en) A kind of method for routing and device suitable for satellite communication network
Sinam et al. A technique for classification of VoIP flows in UDP media streams using VoIP signalling traffic
CN105634968A (en) Apparatus and method for controlling transmission of data traffic
Klöti et al. Policy-compliant path diversity and bisection bandwidth
KR102149531B1 (en) Method for connection fingerprint generation and traceback based on netflow
JP2007228489A (en) Identification system and method therefor, and program for application
CN101854366A (en) Peer-to-peer network flow-rate identification method and device
JP2007228217A (en) Traffic decision device, traffic decision method, and program therefor

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090115

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20101115

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101124

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110323