JP2010135871A - ネットワーク機器、及びネットワーク情報の推定方法 - Google Patents
ネットワーク機器、及びネットワーク情報の推定方法 Download PDFInfo
- Publication number
- JP2010135871A JP2010135871A JP2008307019A JP2008307019A JP2010135871A JP 2010135871 A JP2010135871 A JP 2010135871A JP 2008307019 A JP2008307019 A JP 2008307019A JP 2008307019 A JP2008307019 A JP 2008307019A JP 2010135871 A JP2010135871 A JP 2010135871A
- Authority
- JP
- Japan
- Prior art keywords
- sessions
- spectrum analysis
- flow
- traffic
- total number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】暗号化又は隠蔽化されたフローを抽出するフロー抽出部102と、抽出されたフローをスペクトル解析し、該スペクトル解析結果とトラフィック量とに基づいて総セッション数を推定し、既知アプリケーションDB104に記録された既知アプリケーションのスペクトル解析結果のうち、フローのスペクトル解析結果と特徴周波数が重複する既知アプリケーションのスペクトル解析結果を抽出し、抽出した既知アプリケーションのスペクトル解析結果と総セッション数とに基づき、フローに対応する1又は複数のアプリケーションと、当該アプリケーション毎のセッション数とを推定する推定部103とを備えたものである。
【選択図】図1
Description
しかし、昨今、P2P(Peer to Peer)ソフトウェアが多数開発され、それらのトラフィックがネットワーク管理者にとって無視できない量になっており、そのための設備投資や、それらのインフラを用いた著作権侵害や情報漏えいなどの問題が発生している。
一般に、これらの問題に対する装置は、IDS(Intrusion Detection System)のように、トラフィックを解析して遮断することが最善とされていたが、暗号化や隠蔽化などにより、容易にトラフィックを解析することができず、ネットワーク管理者を悩ませている。
しかしながら、複数のセッションが1つの暗号化フローに含まれている場合は、切り分けられない、という課題がある。
しかしながら、この基準に沿わない形で暗号化されたフローの識別はできない、という課題がある。
しかしながら、目的が無線LANの揺らぎを周波数の揺らぎにより検出しようとするものであり、どういったプロトコルが利用されているか、何セッション含まれているのか、などの解析をすることができない、という課題がある。
図1は実施の形態1に係るネットワーク機器の機能ブロック図である。
図1に示すように、ネットワーク機器10は、トラフィックキャプチャー部101、フロー抽出部102、推定部103、既知アプリケーションDB104、予測結果出力部105を備える。
そして、トラフィックキャプチャー部101により収集されたトラフィックのうち、暗号化又は隠蔽化されたフロー(暗号化セッション又はトンネルセッション)を抽出して、推定部103に出力する。
そして、推定部103からの要求にしたがってDBを検索し、特徴周波数と同じ周波数にピークを持つアプリケーションの情報を、推定部103に返すものである。
この予測結果出力部105は画面表示のような視覚的なものでも良いし、当該ネットワーク機器10の外部にデータを伝送するものであっても良い。
尚、推定値の情報が複数ある場合には、例えば送信元・宛先アドレスの組みなどに応じて、推定値の情報を切り替えて又は選択して、出力するようにしても良い。
フロー抽出部102、推定部103は、これらの機能を実現する回路デバイスなどのハードウェアで実現することもできるし、マイコンやCPUなどの演算装置上で実行されるソフトウェアとして実現することもできる。
既知アプリケーションDB104は、HDD(Hard Disk Drive)やフラッシュメモリなどの記憶装置で構成することができる。
予測結果出力部105は、推定値の情報の出力に必要なインターフェースを適宜備える。
図2(a)に示すように、暗号化又は隠蔽化された既知アプリケーションのトラフィックについて、パケットサイズ、及びパケット到達間隔が抽出される。
次に、図2(b)に示すように、パケットサイズ、パケット到着間隔などの情報を元に、当該トラフィックがフーリエ変換、Wavelet変換などの手法を用いてスペクトル解析される。
また、図2(c)に示すように、フィルタ処理を施して所定の閾値以下の強さ(振幅)成分が削除される。
そして、図2(d)に示すように、所定の閾値以上の強さを有する特徴周波数の情報と、この特徴周波数における強さの情報とをスペクトル解析結果として取得され、このスペクトル解析結果が、図2(e)に示すように、既知アプリケーションDB104に記録される。
このようなスペクトル解析結果は、典型的な1又は複数の既知アプリケーションについてそれぞれ既知アプリケーションDB104に記録される。
また、これら典型的な既知アプリケーションについて、1若しくは複数の暗号化方式により暗号化され、又は/及び、1若しくは複数の隠蔽化方式により隠蔽化されたトラフィックについて、それぞれスペクトル解析結果が取得され、既知アプリケーションDB104に記録される。
このように追加又は更新可能に記録することにより、ネットワークのトレンドに応じた新しいデータを持つ既知アプリケーションDB104とすることができる。
このように更新や追加を不可能とすることにより、当該データベースの容量を固定とすることができ、当該ネットワーク機器のスペックに応じた容量とすることができる。また、データベースの更新を予定していない組み込みシステムとして用いる場合、動作の高速化を図ることができる。
図4は実施の形態1に係る入力トラフィックのスペクトル解析結果を示す図である。
図5は実施の形態1に係る既知のスペクトル解析結果の組合せを説明する図である。
まず、トラフィックキャプチャー部101は、当該ネットワーク機器10が接続されたIPネットワークに流れているトラフィックを全てキャプチャー(収集)して、フロー抽出部102に出力する。
フロー抽出部102は、トラフィックキャプチャー部101から入力されたトラフィックをフロー毎に分けて、既存アプリケーション識別を行い、暗号化又は隠蔽化されてないフローを破棄し、それ以外の暗号化又は隠蔽化されていると考えられるフローを推定部103に出力する。
推定部103は、フロー抽出部102により抽出されたフローをスペクトル解析し、このスペクトル解析結果とトラフィック量とに基づいて、暗号化又は隠蔽化されたトラフィックに含まれるセッション数(以下「総セッション数」という。)を推定する。
次に、図4(b)に示すように、トラフィック量(パケットサイズ)、パケット到着間隔などの情報を元に、暗号化又は隠蔽化されたフローに対して、フーリエ変換、Wavelet変換などの単一フローの推定に用いられる手法を用いてスペクトル解析し、トラフィックに含まれる周期性の種類を分離する。
また、図4(c)に示すように、フィルタ処理を施して所定の閾値以下の強さ(振幅)成分をカット(削除)して、所定値以上の強さを有する特徴周波数と、該特徴周波数における強さの情報を求める。
以下、フィルタ処理を施した後のスペクトル解析結果を、「抽出フローのスペクトル解析結果」と呼ぶことにする。
例えば上記スペクトル解析にフーリエ変換を用いた場合、次のように行う。
まず、送信元・宛先アドレスの組み毎に、スペクトル解析結果の特徴周波数における強さ(ピーク値)をそれぞれ所定値β(β:予め与えられる値)で割り、この割った値をそれぞれ足し合わせて算出値γを求める。
そして、当該送信元・宛先アドレスの組みのトラフィック量を算出値γで割った値が、数kbps〜数Mbpsの間であれば、当該算出値γを総セッション数の推定値とする。
尚、トラフィック量を算出値γで割った値が、数kbps〜数Mbpsの間に収まらない場合は、所定値βの値が適当でない可能性があるため、エラーである旨の情報を予測結果出力部105へ出力して、推定動作を終了する。
次に、推定部103は、既知アプリケーションDB104に記録された既知アプリケーションのスペクトル解析結果のうち、抽出フローのスペクトル解析結果と、特徴周波数が全て重複する既知アプリケーションのスペクトル解析結果を抽出する。
推定部103は、既知アプリケーションDB104から抽出した既知アプリケーションのスペクトル解析結果を、それぞれ1又は複数組合せ、総数が総セッション数となる組合せパターンを求める。
例えば、図5に示すように、既知アプリケーションのスペクトル解析結果(X1)をa個、スペクトル解析結果(X2)をb個、同様に、スペクトル解析結果(Xn)をz個とし、これらの個数の総数(a+b+…+z)が、上記ステップS103で推定した総セッション数となる組合せを全て求める。
推定部103は、求めた組合せパターンに応じて、抽出した既知アプリケーションのスペクトル解析結果を加算する。
図5に示す例では、スペクトル解析結果(X1)*a個+スペクトル解析結果(X2)*b個+…+スペクトル解析結果(Xn)*z個となる。
この乖離度は、例えば、加算した既知アプリケーションのスペクトル解析結果における各特徴周波数での強さ(ピーク値)と、抽出フローのスペクトル解析結果における各特徴周波数での強さ(ピーク値)との差分を算出し、その差分の絶対値を乖離度の算出値とする。
推定部103は、全ての組合せパターンが完了するまで、スペクトル解析結果を加算と乖離度の算出とを繰り返す。
次に、推定部103は、上記ステップS106で求めた各組合せパターンのうち、乖離度が最小となる組合せパターンと、当該乖離度の情報を保持する。
推定部103は、ステップS103で求めた総セッション数を、所定の範囲内で加算又は減算して、総セッション数を更新する。
そして、所定の範囲内での更新が全て完了するまで、上記ステップS105〜S109を繰り返す。
尚、総セッション数を加算又は減算する所定の範囲は、これに限らず任意の範囲に設定することができる。
次に、推定部103は、上記ステップS108で保持した乖離度のうち、乖離度が最も小さくなる総セッション数、及び当該総セッション数におけるアプリケーション毎のセッション数を、総セッション数の推定値、及びアプリケーション毎のセッション数の推定値として、予測結果出力部105に出力する。
そして、ネットワーク管理者(オペレーター)は、これらの情報に基づいて、送信元・宛先アドレスの組みに応じて、通信のシェーピング・遮断などを行うことになる。
したがって、暗号化又は隠蔽化されたトラフィックであっても、そのセッション数及び対応アプリケーションを推定することができる。
これにより、暗号化又は隠蔽化されたトラフィックに対して、ネットワーク管理者等が通信を遮断するなどの対策を可能にすることができる。
このため、アプリケーション毎のセッション数の推定値を精度良く推定することができる。
このため、総セッション数の推定値、及びアプリケーション毎のセッション数を精度良く推定することができる。
Claims (8)
- ネットワークに接続されるネットワーク機器であって、
暗号化又は隠蔽化された既知のアプリケーションのトラフィックがそれぞれスペクトル解析され、少なくとも特徴周波数の情報を含むスペクトル解析結果が記録された既知アプリケーションデータベースと、
前記ネットワークに流れるトラフィックを収集するトラフィックキャプチャー部と、
前記トラフィックキャプチャー部により収集されたトラフィックのうち、暗号化又は隠蔽化されたフローを抽出するフロー抽出部と、
前記フロー抽出部により抽出されたフローをスペクトル解析し、該スペクトル解析結果とトラフィック量とに基づいて総セッション数を推定し、
前記既知アプリケーションデータベースに記録された既知アプリケーションのスペクトル解析結果のうち、前記フローのスペクトル解析結果と特徴周波数が重複する既知アプリケーションのスペクトル解析結果を抽出し、
抽出した前記既知アプリケーションのスペクトル解析結果と前記総セッション数とに基づき、前記フローに対応する1又は複数のアプリケーションと、当該アプリケーション毎のセッション数とを推定する推定部と
を備えたことを特徴とするネットワーク機器。 - 前記推定部は、
前記フロー抽出部により抽出されたフローのパケットサイズ及びパケット到着間隔の情報に基づき、前記フローをスペクトル解析し、
該スペクトル解析の結果から、所定値以上の強さを有する特徴周波数と、該特徴周波数における強さとを抽出し、
前記特徴周波数における強さと、当該フローのトラフィック量とに基づいて前記総セッション数を推定することを特徴とする請求項1記載のネットワーク機器。 - 前記推定部は、
前記既知アプリケーションデータベースから抽出した既知アプリケーションのスペクトル解析結果を、総数が前記総セッション数となるように、それぞれ1又は複数組合せて加算し、該加算した既知アプリケーションのスペクトル解析結果と、前記フローのスペクトル解析結果との乖離度を求め、
前記既知アプリケーションのスペクトル解析結果を加算した組合せのうち、前記乖離度が最も小さい組合せにおける前記既知アプリケーション毎の加算数を、前記アプリケーション毎のセッション数の推定値とすることを特徴とする請求項1又は2記載のネットワーク機器。 - 前記推定部は、
前記総セッション数を所定の範囲内で加算又は減算して、前記総セッション数を更新し、
該更新した総セッション数を用いて、前記アプリケーション毎のセッション数を繰り返し推定し、
前記乖離度が最も小さくなる前記総セッション数、及び当該総セッション数における前記アプリケーション毎のセッション数を、前記総セッション数の推定値、及び前記アプリケーション毎のセッション数の推定値とすることを特徴とする請求項3記載のネットワーク機器。 - 前記既知アプリケーションデータベースは、
1若しくは複数の暗号化方式により暗号化され、又は/及び、1若しくは複数の隠蔽化方式により隠蔽化された、1又は複数の既知のアプリケーションのトラフィックが、それぞれスペクトル解析され、所定値以上の強さを有する特徴周波数の情報と、該特徴周波数における強さの情報とが、前記スペクトル解析結果として記録されることを特徴とする請求項1〜4の何れかに記載のネットワーク機器。 - 前記既知アプリケーションデータベースは、
前記スペクトル解析結果が、更新可能又は/及び追加可能に記録されることを特徴とする請求項1〜5の何れかに記載のネットワーク機器。 - 前記既知アプリケーションデータベースは、
前記スペクトル解析結果が、更新不可能又は/及び追加不可能に記録されることを特徴とする請求項1〜5の何れかに記載のネットワーク機器。 - ネットワークを流れる暗号化又は隠蔽化トラフィックのセッション数及び対応アプリケーションを推定するネットワーク情報の推定方法であって、
前記ネットワークに流れるトラフィックを収集するステップと、
収集された前記トラフィックのうち、暗号化又は隠蔽化されたフローを抽出するステップと、
抽出された前記フローをスペクトル解析し、該スペクトル解析結果とトラフィック量とに基づいて総セッション数を推定するステップと、
予め記憶された、暗号化又は隠蔽化された既知のアプリケーションのトラフィックがそれぞれスペクトル解析され、少なくとも特徴周波数の情報を含むスペクトル解析結果のうち、前記フローのスペクトル解析結果と特徴周波数が重複する既知アプリケーションのスペクトル解析結果を抽出するステップと、
抽出された前記既知アプリケーションのスペクトル解析結果と前記総セッション数とに基づき、前記フローに対応する1又は複数のアプリケーションと、当該アプリケーション毎のセッション数とを推定するステップと
を有することを特徴とするネットワーク情報の推定方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008307019A JP5035224B2 (ja) | 2008-12-02 | 2008-12-02 | ネットワーク機器、及びネットワーク情報の推定方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008307019A JP5035224B2 (ja) | 2008-12-02 | 2008-12-02 | ネットワーク機器、及びネットワーク情報の推定方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010135871A true JP2010135871A (ja) | 2010-06-17 |
JP5035224B2 JP5035224B2 (ja) | 2012-09-26 |
Family
ID=42346745
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008307019A Active JP5035224B2 (ja) | 2008-12-02 | 2008-12-02 | ネットワーク機器、及びネットワーク情報の推定方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5035224B2 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017064766A1 (ja) * | 2015-10-14 | 2017-04-20 | 株式会社日立製作所 | 管理装置、管理方法、および、管理プログラム |
JP2019016961A (ja) * | 2017-07-07 | 2019-01-31 | 日本電信電話株式会社 | 動画品質制御装置、ビットレート選択方法、及びプログラム |
CN111626322A (zh) * | 2020-04-08 | 2020-09-04 | 中南大学 | 一种基于小波变换的加密流量的应用活动识别方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007028526A (ja) * | 2005-07-21 | 2007-02-01 | Nec Corp | トラフィック検出装置、通信品質監視装置、方法、及び、プログラム |
-
2008
- 2008-12-02 JP JP2008307019A patent/JP5035224B2/ja active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007028526A (ja) * | 2005-07-21 | 2007-02-01 | Nec Corp | トラフィック検出装置、通信品質監視装置、方法、及び、プログラム |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017064766A1 (ja) * | 2015-10-14 | 2017-04-20 | 株式会社日立製作所 | 管理装置、管理方法、および、管理プログラム |
JPWO2017064766A1 (ja) * | 2015-10-14 | 2018-08-16 | 株式会社日立製作所 | 管理装置、管理方法、および、管理プログラム |
US10560311B2 (en) | 2015-10-14 | 2020-02-11 | Hitachi Ltd. | Management apparatus, management method, and recording medium |
JP2019016961A (ja) * | 2017-07-07 | 2019-01-31 | 日本電信電話株式会社 | 動画品質制御装置、ビットレート選択方法、及びプログラム |
CN111626322A (zh) * | 2020-04-08 | 2020-09-04 | 中南大学 | 一种基于小波变换的加密流量的应用活动识别方法 |
CN111626322B (zh) * | 2020-04-08 | 2024-01-05 | 中南大学 | 一种基于小波变换的加密流量的应用活动识别方法 |
Also Published As
Publication number | Publication date |
---|---|
JP5035224B2 (ja) | 2012-09-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108429651B (zh) | 流量数据检测方法、装置、电子设备及计算机可读介质 | |
US8380847B2 (en) | Methods, communication networks, and computer program products for monitoring, examining, and/or blocking traffic associated with a network element based on whether the network element can be trusted | |
US9230213B2 (en) | Device and related method for scoring applications running on a network | |
US10917325B2 (en) | Deriving test profiles based on security and network telemetry information extracted from the target network environment | |
JPWO2015141630A1 (ja) | 分析ルール調整装置、分析ルール調整システム、分析ルール調整方法および分析ルール調整プログラム | |
US20140280887A1 (en) | A device and related method for dynamic traffic mirroring policy | |
Hjelmvik et al. | Statistical protocol identification with spid: Preliminary results | |
US20070189178A1 (en) | Method for determining the operations performed on packets by a network device | |
US11882138B2 (en) | Fast identification of offense and attack execution in network traffic patterns | |
TW201505411A (zh) | 用於規則式安全防護設備之規則解譯方法及設備 | |
Kawai et al. | Identification of communication devices from analysis of traffic patterns | |
EP4002866A1 (en) | A device and method to establish a score for a computer application | |
US11025612B2 (en) | Intelligent certificate discovery in physical and virtualized networks | |
Iglesias et al. | DAT detectors: uncovering TCP/IP covert channels by descriptive analytics | |
Laštovička et al. | Using TLS fingerprints for OS identification in encrypted traffic | |
JP2018537921A (ja) | Skypeの異なる機能の通信フローに基づく識別方法及び装置 | |
JP5035224B2 (ja) | ネットワーク機器、及びネットワーク情報の推定方法 | |
KR101703805B1 (ko) | 데이터 네트워크상의 여러 흐름을 포함하는 통신 세션의 감독 | |
WO2016201876A1 (zh) | 一种加密流量的业务识别方法、装置和计算机存储介质 | |
US20070147397A1 (en) | Methods, communication networks, and computer program products for configuring a communication tunnel for traffic based on whether a network element can be trusted | |
Cukier et al. | A statistical analysis of attack data to separate attacks | |
Abubakar et al. | Examining Potential Threats of Eavesdropping in TCP Stream of Personal Interactive Transmission Session | |
JP4679886B2 (ja) | 暗号化通信特徴抽出装置、暗号化通信特徴抽出プログラムおよび記録媒体 | |
Hue et al. | Traffic-aware networking for video streaming service using SDN | |
Deri et al. | Monitoring IoT Encrypted Traffic with Deep Packet Inspection and Statistical Analysis |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110816 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120525 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120605 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120618 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150713 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5035224 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |