JP2009284433A - System and method for detecting and controlling p2p terminal - Google Patents

System and method for detecting and controlling p2p terminal Download PDF

Info

Publication number
JP2009284433A
JP2009284433A JP2008137041A JP2008137041A JP2009284433A JP 2009284433 A JP2009284433 A JP 2009284433A JP 2008137041 A JP2008137041 A JP 2008137041A JP 2008137041 A JP2008137041 A JP 2008137041A JP 2009284433 A JP2009284433 A JP 2009284433A
Authority
JP
Japan
Prior art keywords
terminal
packet
detection
packets
response
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008137041A
Other languages
Japanese (ja)
Inventor
Michihiro Shigemoto
倫宏 重本
Kazuya Okochi
一弥 大河内
Masatoshi Terada
真敏 寺田
Hiroshi Nakakoji
博史 仲小路
Tetsuo Kito
哲郎 鬼頭
Hisashi Umeki
久志 梅木
Tomoaki Yamada
知明 山田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2008137041A priority Critical patent/JP2009284433A/en
Publication of JP2009284433A publication Critical patent/JP2009284433A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To detect a P2P terminal without depending on a P2P protocol. <P>SOLUTION: A system and a method for detecting and controlling the P2P terminal include: a P2P terminal detection apparatus for counting the number of connection terminals having a connection attribute among packets to be transmitted/received by the terminal and the number of response packets having a response attribute, and when the ratio of the number of connection packets to the number of response packets is a predetermined value or less, detecting the terminal as a P2P terminal, and transmitting the detected result as detection information; and a P2P terminal control apparatus for receiving the detection information from the P2P terminal detection apparatus and transmitting terminal traffic control information corresponding to the detection information to a traffic control apparatus. <P>COPYRIGHT: (C)2010,JPO&INPIT

Description

本発明は、ネットワーク上のトラヒックの中からP2P通信を行っている端末を検知し、検知した端末のトラヒックを制御する技術に関する。 The present invention relates to a technique for detecting a terminal performing P2P communication from traffic on a network and controlling traffic of the detected terminal.

インターネット上で行われる通信の一形態として、P2P通信と呼ばれるものがある。これは不特定多数のコンピュータが相互に接続され、ルータなどを介しファイルなどの情報を送受信するインターネットの利用形態である(以下P2P通信を行っている端末をP2P端末と表記する)。P2P通信は、ファイルの共有などの大きな恩恵を利用者にもたらす一方で、著作権を侵害するファイルの流通に利用されたり、P2P通信のトラヒックの増加が通信ネットワークの大きな負荷となったりするなどの問題を発生させている。また、P2P通信を行うP2Pソフトウェア(以下、P2Pソフト)を悪用したウイルスによる情報漏洩事故が多発し、社会的な問題となっている。 One form of communication performed on the Internet is called P2P communication. This is a usage form of the Internet in which an unspecified number of computers are connected to each other and send and receive information such as files via a router (hereinafter, a terminal that performs P2P communication is referred to as a P2P terminal). While P2P communication provides users with great benefits such as file sharing, it is used for the distribution of files that infringe copyrights, and the increase in traffic of P2P communication causes a heavy load on the communication network. It is causing a problem. In addition, information leakage accidents due to viruses that exploit P2P software (hereinafter referred to as P2P software) that conducts P2P communications have become a social problem.

これらの動きを受け、ネットワーク上のP2P端末を検知し、そのトラヒックを制御しようとする試みがなされている。例えば、特許文献1ではルータにおいてP2P通信を識別し、その識別情報を他のルータに通知し、P2P通信情報を共有する制御システムに関する記述がある。   In response to these movements, attempts have been made to detect P2P terminals on the network and control their traffic. For example, Patent Document 1 describes a control system that identifies P2P communication in a router, notifies the identification information to other routers, and shares P2P communication information.

特開2005-295457号公報JP 2005-295457 A

P2P端末が行うP2P通信には、この通信を実現するために多種のプロトコルが存在する。従って、プロトコルに依存しない検知方法が必要となる。特許文献1においては、パケットの中身を解析してP2P通信の検知を行うため、P2Pプロトコルが変更になった場合や、新たなP2Pプロトコルが出現した際に検知が不可能となってしまう。そのため、P2P通信の検知漏れ(P2P通信を、P2P通信以外の通常通信であると判別)が発生することが想定される。P2P端末の検知が正しく行われないと、その後のトラヒック制御において、P2P端末のトラヒックを通過させてしまうといった問題があった。 In P2P communication performed by a P2P terminal, various protocols exist to realize this communication. Therefore, a detection method independent of the protocol is required. In Patent Document 1, since the P2P communication is detected by analyzing the contents of the packet, the detection becomes impossible when the P2P protocol is changed or when a new P2P protocol appears. For this reason, it is assumed that detection failure of P2P communication (determination that P2P communication is normal communication other than P2P communication) occurs. If the P2P terminal is not correctly detected, there is a problem that the traffic of the P2P terminal is passed in the subsequent traffic control.

このような問題を背景にして、改良されたP2P端末検知及び制御システムが必要となる。   Against the background of these problems, an improved P2P terminal detection and control system is needed.

本発明のP2P端末検知及び制御システムおよびその方法は、端末が送受信するパケットの中から接続の属性を有する接続パケットの数と、応答の属性を有する応答パケットの数を計数し、接続パケットの数と応答パケットの数との比が所定の値以下のとき、その端末がP2P端末であると検知し、検知結果を検知情報として送信するP2P端末検知装置と、P2P端末検知装置からの検知情報を受信し、検知情報に対応した端末のトラヒックの制御情報をトラヒック制御装置へ送信するP2P端末制御装置とを備える。 The P2P terminal detection and control system and method according to the present invention counts the number of connection packets having a connection attribute and the number of response packets having a response attribute from among packets transmitted and received by the terminal, and the number of connection packets. When the ratio between the number of response packets and the number of response packets is equal to or less than a predetermined value, the terminal detects that the terminal is a P2P terminal, and transmits detection results as detection information, and detection information from the P2P terminal detection apparatus A P2P terminal control device that receives and transmits the traffic control information of the terminal corresponding to the detection information to the traffic control device.

本発明の他の態様は、端末が送受信するパケットの中から接続の属性を有する接続パケットの数と、応答の属性を有する応答パケットの数を計数し、接続パケットの数と応答パケットの数との比が所定の値以下のとき、その端末がP2P端末であると検知し、検知結果を検知情報として出力するP2P端末検知装置およびその方法である。   According to another aspect of the present invention, the number of connection packets having a connection attribute and the number of response packets having a response attribute among the packets transmitted and received by the terminal are counted, and the number of connection packets and the number of response packets are calculated. A P2P terminal detection apparatus and method for detecting that the terminal is a P2P terminal and outputting the detection result as detection information when the ratio is less than or equal to a predetermined value.

本発明の望ましい他の態様は、接続パケットは端末が送信したパケットであり、応答パケットは端末が受信したパケットである。   In another desirable aspect of the present invention, the connection packet is a packet transmitted by the terminal, and the response packet is a packet received by the terminal.

本発明の望ましいさらに他の態様は、検知情報は、端末を特定する情報と接続パケットの数と応答パケットの数との比に基づく情報である。   In still another desirable aspect of the present invention, the detection information is information based on a ratio of information for identifying a terminal, the number of connection packets, and the number of response packets.

本発明の望ましいさらに他の態様は、P2P端末検知装置は、端末がP2P端末であることの検知は、接続パケットの数が所定数に達する毎および所定時間に達する毎のいずれか一方に応じて、端末がP2P端末であるか否かを判定する。   Still another desirable aspect of the present invention is that the P2P terminal detection device detects that the terminal is a P2P terminal in accordance with one of every time the number of connection packets reaches a predetermined number and every predetermined time. Determine whether the terminal is a P2P terminal.

本発明の望ましいさらに他の態様は、接続パケットは端末が送信したパケットであり、応答パケットは、送信したパケットに対応した接続及び応答の属性を有するパケットの受信に応答して端末が送信したパケットである。   According to still another desirable aspect of the present invention, the connection packet is a packet transmitted by the terminal, and the response packet is a packet transmitted by the terminal in response to reception of a packet having connection and response attributes corresponding to the transmitted packet. It is.

本発明の望ましいさらに他の態様は、端末のトラヒックの制御情報に受信し、制御情報に基づいて端末のトラヒックを制御するトラヒック制御装置をさらに設ける。   Still another desirable aspect of the present invention further includes a traffic control device that receives the traffic control information of the terminal and controls the traffic of the terminal based on the control information.

本発明によれば、P2Pプロトコルに依存せずに、P2P端末の検知を行うことが可能となる。さらに検知結果を用いることにより、検知したP2P端末のトラヒック制御が可能となる。 According to the present invention, it is possible to detect a P2P terminal without depending on the P2P protocol. Further, by using the detection result, traffic control of the detected P2P terminal becomes possible.

インターネットでは通信の要求元(クライアント)と要求先(サーバ)との間でコネクション(接続)を確立するTCP(Transmission Control Protocol)が用いられる。TCPでは、要求元はコネクションの接続の属性を有する(TCPヘッダ内のSYN(Synchronize:同期)フラグをONにした)パケット(SYNパケット、接続パケット)を要求先へ送信する。要求先はSYNパケットを受信すると、SYNフラグ及びACK(Acknowledge:確認)フラグをONにしたSYN ACKパケット(接続・応答パケット)を要求元に向けて送信する。ACKフラグはSYNパケット(要求元から要求先への接続パケット)に対する確認であり、SYNフラグは要求先から要求元へのコネクション確立要求を示す。したがって、要求元は、SYN ACKパケットを受信すると、要求先から要求元へのコネクション確立要求に対するACKパケット(応答パケット)を送信する。このようにして要求元と要求先との間でコネクションを確立する。要求先(サーバ)は常時運用されていることがほとんどであり、コネクションは高い確率で確立される。 In the Internet, TCP (Transmission Control Protocol) that establishes a connection between a communication request source (client) and a request destination (server) is used. In TCP, the request source transmits a packet (SYN packet, connection packet) having a connection attribute of the connection (with the SYN (Synchronize) flag in the TCP header turned ON) to the request destination. Upon receiving the SYN packet, the request destination transmits a SYN ACK packet (connection / response packet) with the SYN flag and ACK (Acknowledge) flag turned ON toward the request source. The ACK flag is a confirmation for a SYN packet (a connection packet from the request source to the request destination), and the SYN flag indicates a connection establishment request from the request destination to the request source. Therefore, when the request source receives the SYN ACK packet, the request source transmits an ACK packet (response packet) for the connection establishment request from the request destination to the request source. In this way, a connection is established between the request source and the request destination. The request destination (server) is almost always operated, and the connection is established with a high probability.

P2P通信では、要求先のP2P端末の電源断などにより、コネクションを確立できない場合が少なくない。P2P端末は、必ずしも他のP2P端末にサービスすることを目的としていないことから、常時運用されることが少ない。コネクションを確立できない状況にある場合、上述のTCPの説明から明らかなように、要求元P2P端末からのSYNパケットに対して、SYN ACKパケットが要求先P2P端末から送信されない。SYNパケットを送信するP2P端末から見ると、SYNパケットの送信に対応したSYN ACKパケットを受信しない。この点に着目し、実施例1として説明する。   In P2P communication, there are many cases where a connection cannot be established due to the power-off of the request destination P2P terminal. P2P terminals are not always intended to serve other P2P terminals, and are therefore rarely operated at all times. When the connection cannot be established, the SYN ACK packet is not transmitted from the request destination P2P terminal in response to the SYN packet from the request source P2P terminal, as is apparent from the above description of TCP. From the point of view of the P2P terminal that sends the SYN packet, the SYN ACK packet corresponding to the transmission of the SYN packet is not received. Focusing on this point, this will be described as Example 1.

またSYN ACKパケットを受信した要求元P2P端末はACKパケットを送信する必要があるが、そもそもSYN ACKパケットを受信しないので、ACKパケットを送信しないことになる。この点に着目し、実施例2として説明する。   The requesting P2P terminal that has received the SYN ACK packet needs to transmit the ACK packet, but does not receive the SYN ACK packet in the first place, and therefore does not transmit the ACK packet. Focusing on this point, the second embodiment will be described.

実施例1を、図1から図8を用いて説明する。図1に、本実施例におけるP2P端末の検知及び制御を行うP2P端末検知及び制御システムの構成例を示す。トラヒック制御装置101では、通信路104を流れるトラヒックを受信し、制御ポリシに基づいた制御を行い、制御後のトラヒックを通信路108に送信する。また、通信路104のトラヒックの中から通信路105へ検知対象のトラヒック、例えば、検知を行いたい通信(分析対象の通信)のIPアドレスが送受信を行っているトラヒック、あるいは、検知を行うために必要な属性を有するパケット(たとえばSYNフラグがONのSYNパケット)をコピーし送信する。通信路は例えばバスやケーブルなどの情報伝達用媒体である。P2P端末検知装置102は通信路105を流れるトラヒックを受信し、受信したトラヒックの中からP2P通信の検知を行い、検知情報を通信路106へ送信する。P2P端末制御装置103は通信路106を流れる検知情報を受信し、制御情報を通信路107へ送信する。P2P端末検知装置102は、トラヒック制御装置101が選択してコピーした分析対象のトラヒックを対象にP2P端末の検知処理を実行することが、P2P端末検知装置102の処理負荷の観点から望ましいが、P2P端末検知装置102が十分な性能を持った装置であるならば、分析対象のトラヒックの選択も含めて、P2P端末検知装置102が処理しても良い。このような構成にすることにより、トラヒック制御装置101のトラヒックの選択とコピーに係る負荷を軽減できる。この場合、図1において、P2P端末検知装置102は、通信路105に代えて、通信路104に接続し、トラヒック制御装置101はP2P端末検知装置102と接続しなくて良い。 A first embodiment will be described with reference to FIGS. FIG. 1 shows a configuration example of a P2P terminal detection and control system for detecting and controlling a P2P terminal in this embodiment. The traffic control device 101 receives traffic flowing through the communication path 104, performs control based on the control policy, and transmits the controlled traffic to the communication path. In addition, to detect traffic to be detected from the traffic on the communication path 104 to the communication path 105, for example, traffic in which the IP address of the communication to be detected (communication to be analyzed) is transmitted or received A packet having the necessary attributes (for example, a SYN packet whose SYN flag is ON) is copied and transmitted. The communication path is an information transmission medium such as a bus or cable. The P2P terminal detection apparatus 102 receives traffic flowing through the communication path 105, detects P2P communication from the received traffic, and transmits detection information to the communication path 106. The P2P terminal control apparatus 103 receives the detection information flowing through the communication path 106 and transmits the control information to the communication path 107. Although it is desirable from the viewpoint of the processing load of the P2P terminal detection device 102 that the P2P terminal detection device 102 executes the P2P terminal detection processing on the traffic to be analyzed selected and copied by the traffic control device 101, the P2P terminal If the terminal detection device 102 is a device having sufficient performance, the P2P terminal detection device 102 may perform processing including selection of traffic to be analyzed. With such a configuration, it is possible to reduce the load related to traffic selection and copying of the traffic control apparatus 101. In this case, in FIG. 1, the P2P terminal detection apparatus 102 is connected to the communication path 104 instead of the communication path 105, and the traffic control apparatus 101 does not have to be connected to the P2P terminal detection apparatus 102.

通信路104及び通信路108は例えばイントラネットやインターネットなどのネットワークに接続しており、通信を行う1台以上の端末が接続されて、例えばウェブアクセスやファイル転送などの通信を行っている。P2P端末制御装置103から送信される制御情報は他のネットワークに接続している複数のトラヒック制御装置に送信し、他のネットワーク上を流れるトラヒックを制御してもよい。   The communication path 104 and the communication path 108 are connected to a network such as an intranet or the Internet, and one or more terminals that perform communication are connected to perform communication such as web access and file transfer. The control information transmitted from the P2P terminal control apparatus 103 may be transmitted to a plurality of traffic control apparatuses connected to other networks to control traffic flowing on the other networks.

図2に、トラヒック制御装置101の構成例を示す。トラヒック制御装置101は、CPU204と、CPU204が処理を実行するために必要なデータを格納するためのメモリ206と、他装置と通信を行うためのIF(インタフェース)201、IF202、IF203、IF205と、キーボード、ディスプレイなどの入出力を行うための入出力装置207と、これらの各装置間を接続する通信路(バス)208とを備えた、ネットワーク機器(例えばルータ)である。   FIG. 2 shows a configuration example of the traffic control device 101. The traffic control device 101 includes a CPU 204, a memory 206 for storing data necessary for the CPU 204 to execute processing, an IF (interface) 201, IF202, IF203, IF205 for communicating with other devices, A network device (for example, a router) includes an input / output device 207 for performing input / output of a keyboard, a display, and the like, and a communication path (bus) 208 for connecting these devices.

なお、他の図においてもIF(インタフェース)と呼ぶが、接続先に応じて通信インタフェース、入出力インタフェース、又は動作に応じて通信装置、受信装置、送信装置、入出力装置などと呼んでも良い。   In other figures, it is called an IF (interface), but may be called a communication interface, an input / output interface, or a communication device, a reception device, a transmission device, an input / output device, etc., depending on the connection destination.

CPU204がメモリ206上のトラヒック制御プログラム210を実行する。メモリ206にはトラヒックを制御するためのトラヒック制御ルール209が格納されている。トラヒック制御ルール209には、通信を制御する情報が含まれており、例えばトラヒック制御装置101を通過する通信のパケットの廃棄、帯域の制限、宛先経路の変更、トラヒックをコピーして他のIFから送信するミラーリング等のルールが格納されている。トラヒック制御ルール209は、入出力装置207あるいは、P2P端末制御装置103からの通信路107及びIF205を介した新たなルール(制御情報)によって、書き換えられる又は追加される。トラヒック制御装置101は通信路104から受信したトラヒックをトラヒック制御ルール209に従い、IF202及び/又はIF203を介して、通信路105及び/又は通信路108へ送信する。   The CPU 204 executes a traffic control program 210 on the memory 206. The memory 206 stores a traffic control rule 209 for controlling traffic. The traffic control rule 209 includes information for controlling communication. For example, discarding communication packets passing through the traffic control device 101, limiting the bandwidth, changing the destination route, copying the traffic from another IF, and the like. Stores rules such as mirroring to be transmitted. The traffic control rule 209 is rewritten or added by a new rule (control information) via the communication path 107 and IF 205 from the input / output device 207 or the P2P terminal control device 103. The traffic control device 101 transmits the traffic received from the communication path 104 to the communication path 105 and / or the communication path 108 via the IF 202 and / or IF 203 according to the traffic control rule 209.

図3に、トラヒックの中からP2P通信を行っている端末を検知するP2P端末検知装置102の構成例を示す。P2P端末検知装置102は、CPU302と、メモリ304と、IF301、IF303と、これらの各装置を接続する通信路(バス)305とを備えたコンピュータである。CPU302がメモリ304上のP2P端末検知プログラム306を実行することにより、P2P通信を行っている端末を検知する。メモリ304にはP2P端末を検知するために用いられるP2P端末検知データ307が格納されている。P2P端末検知プログラム306は、あらかじめ、メモリ304に格納されていてもよいし、必要なときに、IF301あるいはIF303を介して他の装置からロード(インストール)されてもよい。IF303を用いる場合は、P2P端末検知プログラム306はP2P端末制御装置103からロードされる。   FIG. 3 shows a configuration example of the P2P terminal detection apparatus 102 that detects a terminal performing P2P communication from traffic. The P2P terminal detection device 102 is a computer that includes a CPU 302, a memory 304, IFs 301 and IF 303, and a communication path (bus) 305 that connects these devices. The CPU 302 executes a P2P terminal detection program 306 on the memory 304 to detect a terminal that is performing P2P communication. The memory 304 stores P2P terminal detection data 307 used for detecting a P2P terminal. The P2P terminal detection program 306 may be stored in the memory 304 in advance, or may be loaded (installed) from another device via the IF 301 or IF 303 when necessary. When using the IF 303, the P2P terminal detection program 306 is loaded from the P2P terminal control apparatus 103.

P2P端末検知プログラム306は、TCP(Transmission Control Protocol)コネクションの接続の属性を有する(TCPヘッダ内のSYN(Synchronize:同期)フラグをONにした)パケットを受信すると、P2P端末検知データ307の更新を行う。P2P端末検知データ307は、例えば、図4に示すように、端末情報401、SYNパケット送信数402、SYN ACKパケット受信数403の情報を含む。端末情報401とは、例えばIPアドレスなどの端末を識別するための情報である。SYNパケット送信数402とは、端末情報に記述された端末がSYNフラグのみをONにしたパケットを送信した数を示す。SYN ACKパケット受信数403とは、端末情報に記述された端末がSYNフラグ及びACK(Acknowledge:確認)フラグをONにしたパケットを受信した数を示している。   When the P2P terminal detection program 306 receives a packet having a connection attribute of a TCP (Transmission Control Protocol) connection (with the SYN (Synchronize) flag in the TCP header turned ON), the P2P terminal detection program 306 updates the P2P terminal detection data 307. Do. The P2P terminal detection data 307 includes, for example, information of terminal information 401, a SYN packet transmission number 402, and a SYN ACK packet reception number 403, as shown in FIG. The terminal information 401 is information for identifying a terminal such as an IP address. The SYN packet transmission number 402 indicates the number of packets transmitted by the terminal described in the terminal information with only the SYN flag turned ON. The SYN ACK packet reception count 403 indicates the number of packets received by the terminal described in the terminal information with the SYN flag and the ACK (Acknowledge) flag turned ON.

一般に、P2P端末は多数の端末と通信を行っており、接続先の端末の電源が切られているなどの理由によりコネクションの確立に失敗するケースが多い。そこで、P2P端末検知プログラム306は、あるタイミング、例えば端末毎にSYNパケット送信数が既定値(例えば100)に達した時、あるいは既定時間(例えば100秒)に達したときに、SYNパケット送信数402とSYN ACKパケット受信数403に基づき端末情報401の端末がP2P端末であるか判定を行う。この判定結果を検知情報としてIF303を介して通信路106へ送信する。検知情報には少なくとも端末を識別(特定)するための端末情報と、その端末がP2P端末である可能性の大きさを表す確信度が含まれている。P2P端末検知プログラム306による処理については図7を用いて後述する。   In general, a P2P terminal communicates with a large number of terminals, and connection establishment often fails due to reasons such as the connection destination terminal being powered off. Therefore, the P2P terminal detection program 306 determines the number of SYN packet transmissions at a certain timing, for example, when the number of SYN packet transmissions for each terminal reaches a predetermined value (for example, 100) or reaches a predetermined time (for example, 100 seconds). Based on 402 and the number of received SYN ACK packets 403, it is determined whether the terminal of terminal information 401 is a P2P terminal. This determination result is transmitted as detection information to the communication path 106 via the IF 303. The detection information includes at least terminal information for identifying (specifying) the terminal and a certainty factor indicating the degree of possibility that the terminal is a P2P terminal. The processing by the P2P terminal detection program 306 will be described later with reference to FIG.

図5に、P2P端末の通信を制御するP2P端末制御装置103の構成例を示す。P2P端末制御装置103は、CPU503と、メモリ502と、大量のデータを記録する容量を持つハードディスクやフラッシュメモリなどの記憶装置506と、他装置と通信を行うためのIF501、IF505と、入出力装置504と、これらの各装置間を接続する通信路(バス)507とを備えたコンピュータである。CPU503がメモリ502上のP2P端末制御プログラム508を実行することにより、P2P端末のトラヒック制御を行う。記憶装置506には、P2P端末のトラヒックをどのように制御するのかの制御ポリシを格納した制御ポリシデータ509が格納されている。P2P端末制御プログラム508や制御ポリシデータ509は、あらかじめ、メモリ502または記憶装置506に格納されていてもよいし、入出力装置504からまたはIF501あるいはIF505を介して他の装置から、インストール(ロード)されてもよい。   FIG. 5 shows a configuration example of the P2P terminal control apparatus 103 that controls communication of the P2P terminal. The P2P terminal control device 103 includes a CPU 503, a memory 502, a storage device 506 such as a hard disk or a flash memory having a capacity for recording a large amount of data, an IF 501, an IF 505 for communicating with other devices, and an input / output device This is a computer provided with 504 and a communication path (bus) 507 for connecting these devices. The CPU 503 executes the P2P terminal control program 508 on the memory 502 to perform traffic control of the P2P terminal. The storage device 506 stores control policy data 509 that stores a control policy on how to control the traffic of the P2P terminal. The P2P terminal control program 508 and the control policy data 509 may be stored in advance in the memory 502 or the storage device 506, or installed (loaded) from the input / output device 504 or from another device via the IF501 or IF505. May be.

図6に、制御ポリシデータ509の一例を示す。制御ポリシデータ509は確信度601及び制御情報602の情報を含む。制御ポリシデータ509の確信度601は、確信度601に応じた制御の内容である制御情報602を選択するための基準である。確信度601と制御情報602との対応は、検知情報に含まれる確信度の、P2P端末検知装置102における決め方に応じて調整される。たとえば、P2P端末の検知に応じて、対応する制御情報は「通信の遮断」である場合は、もはや確信度を用いる必要はない。P2P端末制御プログラム508では受信した検知情報に含まれる確信度と制御ポリシデータの確信度601を比較し、適切な制御情報602を、IF505を介して通信路107へ送信する。P2P端末制御プログラム508の処理については図8を用いて後述する。   FIG. 6 shows an example of the control policy data 509. The control policy data 509 includes information on the certainty factor 601 and the control information 602. The certainty factor 601 of the control policy data 509 is a reference for selecting the control information 602 that is the content of the control according to the certainty factor 601. The correspondence between the certainty factor 601 and the control information 602 is adjusted according to how the P2P terminal detection device 102 determines the certainty factor included in the detection information. For example, if the corresponding control information is “blocking communication” in response to detection of a P2P terminal, it is no longer necessary to use the certainty factor. The P2P terminal control program 508 compares the certainty factor included in the received detection information with the certainty factor 601 of the control policy data, and transmits appropriate control information 602 to the communication path 107 via the IF 505. The processing of the P2P terminal control program 508 will be described later with reference to FIG.

図7は、P2P端末を検知し、検知情報を送信するP2P端末検知プログラム306の処理フローである。P2P端末検知プログラム306は、通信路105を流れるパケットをIF301を介して受信し(処理701)、受信したパケットのヘッダ部を解析し、SYNフラグがONになっているパケットであれば処理703に進み、SYNフラグがONになっているパケットでなければ処理704に進む(処理702)。なお、トラヒック制御装置101において、SYNフラグがONになっているパケットのみを通信路105へ送信するように設定している場合は処理702を省略し、処理703に進む。   FIG. 7 is a processing flow of the P2P terminal detection program 306 that detects a P2P terminal and transmits detection information. The P2P terminal detection program 306 receives the packet flowing through the communication path 105 through the IF 301 (process 701), analyzes the header of the received packet, and if the SYN flag is ON, the process proceeds to process 703. If not, the process proceeds to process 704 (process 702). If the traffic control device 101 is set to transmit only the packet with the SYN flag ON to the communication path 105, the processing 702 is omitted and the processing proceeds to processing 703.

P2P端末検知プログラム306は、受信したパケットのACKフラグがONになっていなければ、P2P端末検知データ307における、パケットの送信元IPに対応する端末情報401のSYNパケット送信数402を+1する。なお、対応する端末情報401が存在しなければ、P2P端末検知データ307に新たな行を追加し、パケットの送信元IPに対応した端末情報401を格納し、SYNパケット送信数402を1とする。受信したパケットのACKフラグがONになっていれば、パケットの宛先IPに対応する端末情報401のSYN ACKパケット受信数403を+1する。なお、対応する端末情報401が存在しなければ、P2P端末検知データ307に新たな行を追加し、パケットの送信元IPに対応した端末情報401を格納し、SYN ACKパケット受信数403を1とする(処理703)。   If the ACK flag of the received packet is not ON, the P2P terminal detection program 306 increments the SYN packet transmission number 402 of the terminal information 401 corresponding to the packet transmission source IP in the P2P terminal detection data 307. If the corresponding terminal information 401 does not exist, a new line is added to the P2P terminal detection data 307, the terminal information 401 corresponding to the packet transmission source IP is stored, and the SYN packet transmission number 402 is set to 1. . If the ACK flag of the received packet is ON, the SYN ACK packet reception number 403 of the terminal information 401 corresponding to the destination IP of the packet is incremented by one. If the corresponding terminal information 401 does not exist, a new line is added to the P2P terminal detection data 307, the terminal information 401 corresponding to the packet transmission source IP is stored, and the SYN ACK packet reception number 403 is set to 1. (Process 703).

P2P端末検知プログラム306は、トリガ(例えばSYNパケット送信数が既定値(例えば100)に達する毎に、あるいは既定時間(例えば100秒周期)に達する毎に)が発生した場合、処理705に進み、発生しなかった場合は処理を終了する(処理704)。トリガが発生した場合は、SYNパケット送信数402とSYN ACKパケット受信数403に基づき端末情報401の端末がP2P端末であるかどうかの判定を行う(処理705)。P2P端末の判定は、例えば、SYNパケット送信数に対するSYN ACKパケット受信数の割合(SYN ACKパケット受信数/SYNパケット送信数)を求め、その割合がある基準(閾値)以下の端末をP2P端末として判定する。前述のように、P2P通信ではSYNパケットの送信に対してSYN ACKパケットを受信しない場合が多いので、P2P端末であるかどうかの判定の基準(閾値)として、たとえば0.9を用いる(環境に合わせて基準(閾値)を変えてもよい)。   When a trigger (for example, every time the number of SYN packet transmissions reaches a predetermined value (for example, 100) or every time a predetermined time (for example, a cycle of 100 seconds) occurs), the P2P terminal detection program 306 proceeds to processing 705, If not, the process ends (process 704). When the trigger occurs, it is determined whether the terminal of the terminal information 401 is a P2P terminal based on the SYN packet transmission number 402 and the SYN ACK packet reception number 403 (process 705). The P2P terminal is determined, for example, by calculating the ratio of the number of SYN ACK packets received to the number of SYN packets transmitted (the number of SYN ACK packets received / the number of SYN packets transmitted). judge. As mentioned above, in P2P communication, SYN ACK packets are often not received for SYN packet transmissions, so 0.9 is used as a criterion (threshold) for determining whether or not a P2P terminal is used (according to the environment). (Reference (threshold) may be changed).

P2P端末検知プログラム306は、処理705で判定された結果を検知情報として、IF303を介して通信路106へ送信し、送信した端末情報を含む行をP2P端末検知データ307から削除し、処理を終了する(処理706)。検知情報には判定した端末のIPと、その端末がP2P端末である可能性の大きさを表す確信度が含まれている。確信度は、例えば、SYNパケット送信数に対する、SYNパケット送信数とSYN ACKパケット受信数の差の割合{1−(SYN ACKパケット受信数)/(SYNパケット送信数)}などにより求める。例示した式によれば、確信度は、送信したSYNパケット数に対する受信したSYN ACKパケット数の比が、0(SYN ACKパケットを受信しない)の場合に1であり、1(送信したSYNパケットのすべてに対してSYN ACKパケットを受信)の場合に0である。   The P2P terminal detection program 306 transmits the result determined in process 705 as detection information to the communication path 106 via the IF 303, deletes the line including the transmitted terminal information from the P2P terminal detection data 307, and ends the process. (Process 706). The detection information includes the determined IP of the terminal and a certainty factor indicating the likelihood that the terminal is a P2P terminal. The certainty factor is obtained, for example, by the ratio of the difference between the number of SYN packets transmitted and the number of SYN ACK packets received {1− (number of SYN ACK packets received) / (number of SYN packets transmitted)} relative to the number of SYN packets transmitted. According to the illustrated formula, the certainty factor is 1 when the ratio of the number of received SYN ACK packets to the number of transmitted SYN packets is 0 (no SYN ACK packet is received), and 1 (the number of transmitted SYN packets). It is 0 when SYN ACK packets are received for all).

図8は、P2P端末検知装置102の検知情報を受信し、制御情報を送信するP2P端末制御プログラム508の処理フローである。P2P端末制御プログラム508は、通信路106を流れる検知情報をIF501を介して受信し(処理801)、受信した検知情報に含まれている確信度と、制御ポリシデータ509に含まれる確信度601とを比較し、適切なポリシが存在する場合は処理803に進む(処理802)。適切なポリシが存在しない場合は処理を終了する。P2P端末制御プログラム508は、検知情報に含まれている端末情報と、適切な制御情報602を、IF505を介して通信路107へ送信し終了する(処理803)。   FIG. 8 is a processing flow of the P2P terminal control program 508 that receives detection information of the P2P terminal detection apparatus 102 and transmits control information. The P2P terminal control program 508 receives the detection information flowing through the communication path 106 via the IF 501 (process 801), the certainty factor included in the received detection information, the certainty factor 601 included in the control policy data 509, and If an appropriate policy exists, the process proceeds to process 803 (process 802). If there is no appropriate policy, the process ends. The P2P terminal control program 508 transmits the terminal information included in the detection information and appropriate control information 602 to the communication path 107 via the IF 505 and ends (process 803).

本実施例によれば、コネクション確立シーケンスを監視することにより、SYNパケット送信数とSYN ACKパケット受信数との比に基づいて、P2P端末を検知することが可能となり、検知に応じたP2P端末の制御が可能となる。   According to the present embodiment, by monitoring the connection establishment sequence, it becomes possible to detect a P2P terminal based on the ratio of the number of SYN packet transmissions and the number of SYN ACK packets received, and the P2P terminal corresponding to the detection Control becomes possible.

本実施例の一部を変更して、次のように実施してもよい。P2P端末検知装置102とP2P端末制御装置103を一つの装置で構成することにより、装置の台数を減らし、設置スペースの削減を行うことができる。   A part of the present embodiment may be changed as follows. By configuring the P2P terminal detection device 102 and the P2P terminal control device 103 as one device, the number of devices can be reduced and the installation space can be reduced.

P2P端末検知装置プログラム306のP2P端末判定処理705に用いるSYNパケット送信数に対するSYN ACKパケット受信数の割合の閾値を低い値、例えば0.01に設定することで、確立しないTCP接続を大量に試みるSYN-Flood攻撃(SYN flooding attack)の検知を行うことが可能となる。   By setting the threshold of the ratio of the number of received SYN ACK packets to the number of SYN packet transmissions used for the P2P terminal determination processing 705 of the P2P terminal detection device program 306 to a low value, for example, 0.01, SYN- It is possible to detect a flood attack (SYN flooding attack).

本実施例は、P2P端末検知データ307に格納する計数対象データとそのデータに係る処理を、実施例1と異にする。以下、実施例1と異なる点を中心に、本実施例を説明する。 In the present embodiment, the count target data stored in the P2P terminal detection data 307 and the processing related to the data are different from those in the first embodiment. Hereinafter, the present embodiment will be described focusing on differences from the first embodiment.

図9は、図4に示した実施例1におけるP2P端末検知データ307の他の例を示した図である。端末情報901及びSYNパケット送信数902に関しては、実施例1の端末情報401及びSYNパケット送信数402と同様である。本実施例では、実施例1のSYN ACKパケット受信数403の代わりにACKパケット送信数903を計数する。ただし、計数するACKパケット送信数はSYN ACKパケットに対する応答の属性を有するACKパケットとする。   FIG. 9 is a diagram showing another example of the P2P terminal detection data 307 in the first embodiment shown in FIG. The terminal information 901 and the SYN packet transmission number 902 are the same as the terminal information 401 and the SYN packet transmission number 402 of the first embodiment. In this embodiment, the ACK packet transmission count 903 is counted instead of the SYN ACK packet reception count 403 of the first embodiment. However, the ACK packet transmission count to be counted is an ACK packet having a response attribute to the SYN ACK packet.

図10は、P2P端末を検知し、検知情報を送信するP2P端末検知プログラム306の処理フローである。P2P端末検知プログラム306は、通信路105を流れるパケットをIF301を介して受信し(処理1001)、受信したパケットのヘッダ部を解析し、SYNフラグがONになっているパケットであれば処理1003に進み、SYNフラグがONになっていないパケットであれば処理1005に進む(処理1002)。   FIG. 10 is a processing flow of the P2P terminal detection program 306 that detects a P2P terminal and transmits detection information. The P2P terminal detection program 306 receives the packet flowing through the communication path 105 via the IF 301 (process 1001), analyzes the header of the received packet, and if the SYN flag is ON, the process 1003 If the SYN flag is not ON, the process proceeds to process 1005 (process 1002).

P2P端末検知プログラム306は、パケットのヘッダ部を解析し、ACKフラグがONになっているパケットであれば、パケット中の宛先IPとシーケンス番号+1(あるいは確認応答番号)との値の組をメモリ304に記録する(処理1004)、ACKフラグがONになっていないパケットであれば処理1007に進む(処理1003)。   The P2P terminal detection program 306 analyzes the header part of the packet, and if the packet has the ACK flag turned on, the P2P terminal detection program 306 determines a set of values of the destination IP and sequence number + 1 (or confirmation response number) in the packet. If the packet is recorded in the memory 304 (process 1004) and the ACK flag is not ON, the process proceeds to process 1007 (process 1003).

P2P端末検知プログラム306は、パケットのヘッダ部を解析し、ACKフラグがONになっているパケットであれば処理1006に進み、ACKフラグがONになっていないパケットであれば処理1008に進む(処理1005)。   The P2P terminal detection program 306 analyzes the header part of the packet, and if it is a packet for which the ACK flag is ON, proceeds to processing 1006, and if it is a packet for which the ACK flag is not ON, proceeds to processing 1008 (processing) 1005).

P2P端末検知プログラム306は、パケット中の送信元IPと確認応答番号(あるいはシーケンス番号)との値の組をメモリ304に格納されている値の組と比較し、一致するものがあれば処理1007に進み、一致するものがなければ分岐1008に進む(処理1006)。   The P2P terminal detection program 306 compares the value set of the transmission source IP and the acknowledgment number (or sequence number) in the packet with the value set stored in the memory 304, and if there is a match, processing 1007 If there is no match, the process proceeds to branch 1008 (process 1006).

P2P端末検知プログラム306は、処理1003を経由したパケットであれば、パケット中の送信元IPに対応する端末情報901のSYNパケット送信数902を+1する。なお、対応する端末情報901が存在しなければ、P2P端末検知データ307に新たな行を追加し、パケットの送信元IPに対応した端末情報901を格納し、SYNパケット送信数902を1とする。処理1006を経由したパケットであれば、パケット中の送信元IPに対応する端末情報901のACKパケット送信数903を+1する。なお、対応する端末情報901が存在しなければ、P2P端末検知データ307に新たな行を追加しパケットの送信元IPに対応した端末情報901を格納し、ACKパケット送信数903を1とする(処理1007)。   If the packet has passed through the processing 1003, the P2P terminal detection program 306 increments the SYN packet transmission count 902 of the terminal information 901 corresponding to the transmission source IP in the packet. If the corresponding terminal information 901 does not exist, a new line is added to the P2P terminal detection data 307, the terminal information 901 corresponding to the packet transmission source IP is stored, and the SYN packet transmission number 902 is set to 1. . If the packet has passed through the processing 1006, the ACK packet transmission count 903 of the terminal information 901 corresponding to the transmission source IP in the packet is incremented by one. If the corresponding terminal information 901 does not exist, a new row is added to the P2P terminal detection data 307, the terminal information 901 corresponding to the packet transmission source IP is stored, and the ACK packet transmission count 903 is set to 1 ( Processing 1007).

P2P端末検知プログラム306は、トリガ(例えばSYNパケット送信数が既定値(例えば100)に達した時、あるいは既定時間(例えば100秒)に達したとき)が発生した場合、処理1009に進み、トリガが発生しない場合は処理を終了する(処理1008)。   When a trigger (for example, when the number of SYN packet transmissions reaches a predetermined value (for example, 100) or when a predetermined time (for example, 100 seconds) has occurred), the P2P terminal detection program 306 proceeds to processing 1009 to trigger If no occurs, the process ends (process 1008).

P2P端末検知プログラム306は、SYNパケット送信数902とACKパケット送信数903に基づき端末情報901の端末がP2P端末であるかどうか判定を行う(処理1009)。P2P端末の判定は例えば、SYNパケット送信数に対するACKパケット送信数の割合(ACKパケット送信数/SYNパケット送信数)を求め、その割合がある基準(例えば0.9)以下の端末をP2P端末として判定する。   The P2P terminal detection program 306 determines whether the terminal of the terminal information 901 is a P2P terminal based on the SYN packet transmission number 902 and the ACK packet transmission number 903 (processing 1009). The P2P terminal is determined, for example, by calculating the ratio of the number of ACK packets transmitted to the number of SYN packets transmitted (ACK packet transmission number / SYN packet transmission number), and determining that the ratio is equal to or less than a reference (for example, 0.9) as a P2P terminal. .

P2P端末検知プログラム306は、処理1009で判定された結果を検知情報として、IF303を介して通信路106へ送信し、送信した端末情報を含む行をP2P端末検知データ307から削除し、処理を終了する(処理1010)。検知情報には判定した端末のIPと、その端末がP2P端末である可能性の大きさを表す確信度が含まれている。確信度は、ある関数に従い算出される。例えば、SYNパケット送信数に対するSYNパケット送信数とACKパケット送信数の差の割合(1−ACKパケット送信数/SYNパケット送信数)などにより求める。   The P2P terminal detection program 306 transmits the result determined in process 1009 as detection information to the communication path 106 via the IF 303, deletes the line including the transmitted terminal information from the P2P terminal detection data 307, and ends the process. (Processing 1010). The detection information includes the determined IP of the terminal and a certainty factor indicating the likelihood that the terminal is a P2P terminal. The certainty factor is calculated according to a certain function. For example, it is obtained by the ratio of the difference between the SYN packet transmission number and the ACK packet transmission number with respect to the SYN packet transmission number (1-ACK packet transmission number / SYN packet transmission number).

本実施例によれば、コネクション確立シーケンスを監視することにより、SYNパケット送信数とACKパケット送信数との比に基づいて、P2P端末を検知することが可能となり、検知に応じたP2P端末の制御が可能となる。   According to the present embodiment, by monitoring the connection establishment sequence, it becomes possible to detect a P2P terminal based on the ratio of the number of SYN packet transmissions and the number of ACK packet transmissions, and control of the P2P terminal according to the detection Is possible.

P2P端末検知及び制御システムの構成例である。It is a structural example of a P2P terminal detection and control system. トラヒック制御装置の構成例である。It is an example of a structure of a traffic control apparatus. P2P端末検知装置の構成例である。It is a structural example of a P2P terminal detection apparatus. P2P端末検知データの例である。It is an example of P2P terminal detection data. P2P端末制御装置の構成例である。It is a structural example of a P2P terminal control apparatus. 制御ポリシデータの一例である。It is an example of control policy data. P2P端末検知プログラムの処理フロー図である。It is a processing flow figure of a P2P terminal detection program. P2P端末制御プログラムの処理フロー図である。It is a processing flow figure of a P2P terminal control program. P2P端末検知データの他の例である。It is another example of P2P terminal detection data. 他のP2P端末検知プログラムの処理フロー図である。It is a processing flow figure of another P2P terminal detection program.

符号の説明Explanation of symbols

101…トラヒック制御装置、102…P2P端末検知装置、103…P2P端末制御装置。 101 ... Traffic control device, 102 ... P2P terminal detection device, 103 ... P2P terminal control device.

Claims (20)

端末が送受信するパケットの中から接続の属性を有する接続パケットの数と、応答の属性を有する応答パケットの数を計数し、前記接続パケットの数と前記応答パケットの数との比が所定の値以下のとき、前記端末がP2P端末であると検知し、前記検知結果を検知情報として送信するP2P端末検知装置と、前記P2P端末検知装置からの検知情報を受信し、前記検知情報に対応した前記端末のトラヒックの制御情報をトラヒック制御装置へ送信するP2P端末制御装置とを備えることを特徴とするP2P端末検知及び制御システム。 The number of connection packets having a connection attribute and the number of response packets having a response attribute among the packets transmitted and received by the terminal are counted, and the ratio between the number of connection packets and the number of response packets is a predetermined value. When the following, it detects that the terminal is a P2P terminal, receives the detection information from the P2P terminal detection device that transmits the detection result as detection information, and the P2P terminal detection device, the corresponding to the detection information A P2P terminal detection and control system comprising: a P2P terminal control device that transmits terminal traffic control information to a traffic control device. 前記接続パケットは前記端末が送信したパケットであり、前記応答パケットは前記端末が受信したパケットであることを特徴とする請求項1記載のP2P端末検知及び制御システム。 2. The P2P terminal detection and control system according to claim 1, wherein the connection packet is a packet transmitted by the terminal, and the response packet is a packet received by the terminal. 前記検知情報は、前記端末を特定する情報と前記接続パケットの数と前記応答パケットの数との前記比に基づく情報であることを特徴とする請求項2記載のP2P端末検知及び制御システム。 3. The P2P terminal detection and control system according to claim 2, wherein the detection information is information based on the ratio of the information for specifying the terminal, the number of the connection packets, and the number of the response packets. 前記P2P端末検知装置は、前記端末がP2P端末であることの検知は、前記接続パケットの数が所定数に達する毎および所定時間に達する毎のいずれか一方に応じて、前記端末がP2P端末であるか否かを判定することを特徴とする請求項2記載のP2P端末検知及び制御システム。 The P2P terminal detection device detects that the terminal is a P2P terminal by detecting whether the terminal is a P2P terminal in accordance with either the number of connection packets reaching a predetermined number or a predetermined time. 3. The P2P terminal detection and control system according to claim 2, wherein it is determined whether or not there is any. 前記接続パケットは前記端末が送信したパケットであり、前記応答パケットは、前記送信したパケットに対応した接続及び応答の属性を有するパケットの受信に応答して前記端末が送信したパケットであることを特徴とする請求項1記載のP2P端末検知及び制御システム。 The connection packet is a packet transmitted by the terminal, and the response packet is a packet transmitted by the terminal in response to reception of a packet having connection and response attributes corresponding to the transmitted packet. 2. The P2P terminal detection and control system according to claim 1. 前記端末のトラヒックの制御情報を受信し、前記制御情報に基づいて前記端末のトラヒックを制御するトラヒック制御装置をさらに設けたことを特徴とする請求項1記載のP2P端末検知及び制御システム。 2. The P2P terminal detection and control system according to claim 1, further comprising a traffic control device that receives traffic control information of the terminal and controls traffic of the terminal based on the control information. 端末が送受信するパケットを受信する受信装置と、前記パケットの中から接続の属性を有する接続パケットの数と、応答の属性を有する応答パケットの数を計数し、前記接続パケットの数と前記応答パケットの数との比が所定の値以下のとき、前記端末がP2P端末であると検知するCPUと、前記CPUによる検知結果を検知情報として出力する出力装置とを備えることを特徴とするP2P端末検知装置。 A receiving device that receives packets transmitted and received by a terminal; the number of connection packets having a connection attribute from the packets; and the number of response packets having a response attribute. The number of connection packets and the response packet are counted. P2P terminal detection, comprising: a CPU that detects that the terminal is a P2P terminal when the ratio to the number of nodes is equal to or less than a predetermined value; and an output device that outputs a detection result by the CPU as detection information apparatus. 前記接続パケットは前記端末が送信したパケットであり、前記応答パケットは前記端末が受信したパケットであることを特徴とする請求項7記載のP2P端末検知装置。 8. The P2P terminal detection apparatus according to claim 7, wherein the connection packet is a packet transmitted by the terminal, and the response packet is a packet received by the terminal. 前記検知情報は、前記端末を特定する情報と前記接続パケットの数と前記応答パケットの数との前記比に基づく情報であることを特徴とする請求項8記載のP2P端末検知装置。 9. The P2P terminal detection apparatus according to claim 8, wherein the detection information is information based on the ratio of information specifying the terminal, the number of connection packets, and the number of response packets. 前記CPUは、前記接続パケットの数が所定数に達する毎および所定時間に達する毎のいずれか一方に応じて、前記端末がP2P端末であるか否かを判定することを特徴とする請求項8記載のP2P端末検知装置。 9. The CPU determines whether or not the terminal is a P2P terminal according to any one of the number of connection packets reaching a predetermined number and every time a predetermined time is reached. The described P2P terminal detection device. 前記接続パケットは前記端末が送信したパケットであり、前記応答パケットは、前記送信したパケットに対応した接続及び応答の属性を有するパケットの受信に応答して前記端末が送信したパケットであることを特徴とする請求項7記載のP2P端末検知装置。 The connection packet is a packet transmitted by the terminal, and the response packet is a packet transmitted by the terminal in response to reception of a packet having connection and response attributes corresponding to the transmitted packet. 8. The P2P terminal detection device according to claim 7. ネットワークに接続するP2P端末検知装置が、端末が送受信するパケットの中から接続の属性を有する接続パケットの数と、応答の属性を有する応答パケットの数を計数し、前記接続パケットの数と前記応答パケットの数との比が所定の値以下のとき、前記端末がP2P端末であると検知し、前記検知結果を検知情報として出力することを特徴とするP2P端末検知方法。 The P2P terminal detection device connected to the network counts the number of connection packets having a connection attribute and the number of response packets having a response attribute among packets transmitted and received by the terminal, and the number of connection packets and the response A P2P terminal detection method, wherein when the ratio to the number of packets is equal to or less than a predetermined value, the terminal is detected as a P2P terminal, and the detection result is output as detection information. 前記接続パケットは前記端末が送信したパケットであり、前記応答パケットは前記端末が受信したパケットであることを特徴とする請求項12記載のP2P端末検知方法。 13. The P2P terminal detection method according to claim 12, wherein the connection packet is a packet transmitted by the terminal, and the response packet is a packet received by the terminal. 前記検知情報は、前記端末を特定する情報と前記接続パケットの数と前記応答パケットの数との前記比に基づく情報であることを特徴とする請求項13記載のP2P端末検知方法。 14. The P2P terminal detection method according to claim 13, wherein the detection information is information based on the ratio of information specifying the terminal, the number of connection packets, and the number of response packets. 前記接続パケットの数が所定数に達する毎および所定時間に達する毎のいずれか一方に応じて、前記端末がP2P端末であるか否かを判定することを特徴とする請求項13記載のP2P端末検知方法。 14. The P2P terminal according to claim 13, wherein whether or not the terminal is a P2P terminal is determined according to any one of the number of connection packets reaching a predetermined number and every time a predetermined time is reached. Detection method. 前記接続パケットは前記端末が送信したパケットであり、前記応答パケットは、前記送信したパケットに対応した接続及び応答の属性を有するパケットの受信に応答して前記端末が送信したパケットであることを特徴とする請求項12記載のP2P端末検知方法。 The connection packet is a packet transmitted by the terminal, and the response packet is a packet transmitted by the terminal in response to reception of a packet having connection and response attributes corresponding to the transmitted packet. 13. The P2P terminal detection method according to claim 12. ネットワークに接続するP2P端末検知装置が、端末が送受信するパケットの中から接続の属性を有する接続パケットの数と、応答の属性を有する応答パケットの数を計数し、前記接続パケットの数と前記応答パケットの数との比が所定の値以下のとき、前記端末がP2P端末であると検知し、前記検知結果を検知情報として出力し、
前記P2P端末検知装置に接続するP2P端末制御装置が、前記P2P端末検知装置からの検知情報を受信し、前記検知情報に対応した前記端末のトラヒックの制御情報をトラヒック制御装置へ送信することを特徴とするP2P端末検知及び制御方法。 The P2P terminal detection device connected to the network counts the number of connection packets having a connection attribute and the number of response packets having a response attribute among packets transmitted and received by the terminal, and the number of connection packets and the response When the ratio with the number of packets is less than or equal to a predetermined value, the terminal detects that it is a P2P terminal, and outputs the detection result as detection information,
A P2P terminal control device connected to the P2P terminal detection device receives detection information from the P2P terminal detection device, and transmits traffic control information of the terminal corresponding to the detection information to the traffic control device. P2P terminal detection and control method. 前記接続パケットは前記端末が送信したパケットであり、前記応答パケットは前記端末が受信したパケットであることを特徴とする請求項17記載のP2P端末検知及び制御方法。 18. The P2P terminal detection and control method according to claim 17, wherein the connection packet is a packet transmitted by the terminal, and the response packet is a packet received by the terminal. 前記検知情報は、前記端末を特定する情報と前記接続パケットの数と前記応答パケットの数との前記比に基づく情報であることを特徴とする請求項18記載のP2P端末検知及び制御方法。 19. The P2P terminal detection and control method according to claim 18, wherein the detection information is information based on the ratio of information specifying the terminal, the number of connection packets, and the number of response packets. 前記接続パケットは前記端末が送信したパケットであり、前記応答パケットは、前記送信したパケットに対応した接続及び応答の属性を有するパケットの受信に応答して前記端末が送信したパケットであることを特徴とする請求項17記載のP2P端末検知及び制御方法。 The connection packet is a packet transmitted by the terminal, and the response packet is a packet transmitted by the terminal in response to reception of a packet having connection and response attributes corresponding to the transmitted packet. 18. The P2P terminal detection and control method according to claim 17.
JP2008137041A 2008-05-26 2008-05-26 System and method for detecting and controlling p2p terminal Pending JP2009284433A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008137041A JP2009284433A (en) 2008-05-26 2008-05-26 System and method for detecting and controlling p2p terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008137041A JP2009284433A (en) 2008-05-26 2008-05-26 System and method for detecting and controlling p2p terminal

Publications (1)

Publication Number Publication Date
JP2009284433A true JP2009284433A (en) 2009-12-03

Family

ID=41454372

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008137041A Pending JP2009284433A (en) 2008-05-26 2008-05-26 System and method for detecting and controlling p2p terminal

Country Status (1)

Country Link
JP (1) JP2009284433A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010226439A (en) * 2009-03-24 2010-10-07 Hitachi Ltd Method, program and device for detecting terminal
JP2011205197A (en) * 2010-03-24 2011-10-13 Hitachi Ltd P2p terminal detecting device, p2p terminal detection method, and p2p terminal detection system
JP2018518127A (en) * 2015-06-15 2018-07-05 ステルス セキュリティ,インコーポレイテッド Passive security analysis with inline active security devices

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010226439A (en) * 2009-03-24 2010-10-07 Hitachi Ltd Method, program and device for detecting terminal
JP2011205197A (en) * 2010-03-24 2011-10-13 Hitachi Ltd P2p terminal detecting device, p2p terminal detection method, and p2p terminal detection system
JP2018518127A (en) * 2015-06-15 2018-07-05 ステルス セキュリティ,インコーポレイテッド Passive security analysis with inline active security devices

Similar Documents

Publication Publication Date Title
Yi et al. A case for stateful forwarding plane
US9270536B2 (en) BGP slow peer detection
US7991877B2 (en) Rogue router hunter
EP2615802B1 (en) Communication apparatus and method of content router to control traffic transmission rate in content-centric network (CCN), and content router
US7706296B2 (en) Lightweight packet-drop detection for ad hoc networks
US9413652B2 (en) Systems and methods for path maximum transmission unit discovery
US8732832B2 (en) Routing apparatus and method for detecting server attack and network using the same
JP5867188B2 (en) Information processing apparatus, congestion control method, and congestion control program
JP2019134484A (en) System and method for regulating access request
JP2007184799A (en) Packet communication device
US20140304817A1 (en) APPARATUS AND METHOD FOR DETECTING SLOW READ DoS ATTACK
US20130250797A1 (en) Communication control system, control device, communication control method, and communication control program
JP2007180891A (en) Communication device, packet transmission control method used therefor, and program
JP5042125B2 (en) P2P communication control system and control method
US20110141899A1 (en) Network access apparatus and method for monitoring and controlling traffic using operation, administration, and maintenance (oam) packet in internet protocol (ip) network
JP2009284433A (en) System and method for detecting and controlling p2p terminal
KR101211147B1 (en) System for network inspection and providing method thereof
US10992702B2 (en) Detecting malware on SPDY connections
Torres-Jr et al. Packet reordering metrics to enable performance comparison in IP‐networks
US11683327B2 (en) Demand management of sender of network traffic flow
JP2005229234A (en) Network attack detection method, network attack source identification method, network apparatus, network attack detecting program, and network attack source identification program
JP6746541B2 (en) Transfer system, information processing device, transfer method, and information processing method
KR101933175B1 (en) Mediatioin appratus mediating communication betwwen server and client
De Schepper RFC 9331: The Explicit Congestion Notification (ECN) Protocol for Low Latency, Low Loss, and Scalable Throughput (L4S)
KR101892272B1 (en) Apparatus and method of failure classification based on bidirectional forwarding detection protocol