JP2010135871A - ネットワーク機器、及びネットワーク情報の推定方法 - Google Patents
ネットワーク機器、及びネットワーク情報の推定方法 Download PDFInfo
- Publication number
- JP2010135871A JP2010135871A JP2008307019A JP2008307019A JP2010135871A JP 2010135871 A JP2010135871 A JP 2010135871A JP 2008307019 A JP2008307019 A JP 2008307019A JP 2008307019 A JP2008307019 A JP 2008307019A JP 2010135871 A JP2010135871 A JP 2010135871A
- Authority
- JP
- Japan
- Prior art keywords
- sessions
- spectrum analysis
- flow
- traffic
- total number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】暗号化又は隠蔽化されたトラフィックのセッション数及び対応アプリケーションを推定することができるネットワーク機器、及びネットワーク情報の推定方法が望まれていた。
【解決手段】暗号化又は隠蔽化されたフローを抽出するフロー抽出部102と、抽出されたフローをスペクトル解析し、該スペクトル解析結果とトラフィック量とに基づいて総セッション数を推定し、既知アプリケーションDB104に記録された既知アプリケーションのスペクトル解析結果のうち、フローのスペクトル解析結果と特徴周波数が重複する既知アプリケーションのスペクトル解析結果を抽出し、抽出した既知アプリケーションのスペクトル解析結果と総セッション数とに基づき、フローに対応する1又は複数のアプリケーションと、当該アプリケーション毎のセッション数とを推定する推定部103とを備えたものである。
【選択図】図1
【解決手段】暗号化又は隠蔽化されたフローを抽出するフロー抽出部102と、抽出されたフローをスペクトル解析し、該スペクトル解析結果とトラフィック量とに基づいて総セッション数を推定し、既知アプリケーションDB104に記録された既知アプリケーションのスペクトル解析結果のうち、フローのスペクトル解析結果と特徴周波数が重複する既知アプリケーションのスペクトル解析結果を抽出し、抽出した既知アプリケーションのスペクトル解析結果と総セッション数とに基づき、フローに対応する1又は複数のアプリケーションと、当該アプリケーション毎のセッション数とを推定する推定部103とを備えたものである。
【選択図】図1
Description
本発明は、ネットワークに流れるトラフィックのうち、暗号化又は隠蔽化されたトラフィックのセッション数及び対応アプリケーションを推定する技術に関するものである。
従来のネットワークでは、ユーザー同士が通信し合うトラフィックを暗号化・隠蔽化するためのインフラが少なく、ネットワーク管理においてはそれらを気にする必要はなかった。
しかし、昨今、P2P(Peer to Peer)ソフトウェアが多数開発され、それらのトラフィックがネットワーク管理者にとって無視できない量になっており、そのための設備投資や、それらのインフラを用いた著作権侵害や情報漏えいなどの問題が発生している。
一般に、これらの問題に対する装置は、IDS(Intrusion Detection System)のように、トラフィックを解析して遮断することが最善とされていたが、暗号化や隠蔽化などにより、容易にトラフィックを解析することができず、ネットワーク管理者を悩ませている。
しかし、昨今、P2P(Peer to Peer)ソフトウェアが多数開発され、それらのトラフィックがネットワーク管理者にとって無視できない量になっており、そのための設備投資や、それらのインフラを用いた著作権侵害や情報漏えいなどの問題が発生している。
一般に、これらの問題に対する装置は、IDS(Intrusion Detection System)のように、トラフィックを解析して遮断することが最善とされていたが、暗号化や隠蔽化などにより、容易にトラフィックを解析することができず、ネットワーク管理者を悩ませている。
従来の技術として、例えば非特許文献1に、既存の非暗号化プロトコルが、暗号化された際にどのようなトラフィック挙動を示すかを調査したものがある。
また、例えば特許文献1に、「暗号化プロセスを識別するインデックスを与えること;シグナリング・メッセージ中に前記インデックスを含ませること」が提案されている(請求項1参照)。
また、例えば特許文献2に、「暗号化プロトコルを使用するWLAN無線通信においても、音声トラフィックの通信品質の良否を判定できる監視トラフィック通信品質監視装置」が提案されている(要約参照)。
しかしながら、従来の技術においては、暗号化又は隠蔽化されたトラフィックが、どのくらいの数のセッションが束ねられたものであり、どういった種類の通信プロトコル(アプリケーション)のデータであるのか、ということが分からない。そのため、ネットワーク管理者にとって、遮断すべきトラフィックなのか、何らかの対策をとらないといけないトラフィックなのか、あるいは通常のユーザートラフィックであり安全なものであるのかの区別ができない、という問題点があった。
上記非特許文献1に記載の技術は、既存の非暗号化プロトコルが、暗号化された際にどのようなトラフィック挙動を示すかを調査したものであり、1つのフローが暗号化されたフローであれば元プロトコルの推定ができる可能性が示されている。
しかしながら、複数のセッションが1つの暗号化フローに含まれている場合は、切り分けられない、という課題がある。
しかしながら、複数のセッションが1つの暗号化フローに含まれている場合は、切り分けられない、という課題がある。
また、上記特許文献1に記載の技術は、予め暗号化の際にフロー毎にインデックスをつけておくことで、暗号化されたトラフィックのフローを管理できるようにしたものである。
しかしながら、この基準に沿わない形で暗号化されたフローの識別はできない、という課題がある。
しかしながら、この基準に沿わない形で暗号化されたフローの識別はできない、という課題がある。
また、上記特許文献2に記載の技術は、無線LANの上で、暗号化された音声パケットの通信品質を、パケット到着間隔の周波数解析によって管理しようとするものである。
しかしながら、目的が無線LANの揺らぎを周波数の揺らぎにより検出しようとするものであり、どういったプロトコルが利用されているか、何セッション含まれているのか、などの解析をすることができない、という課題がある。
しかしながら、目的が無線LANの揺らぎを周波数の揺らぎにより検出しようとするものであり、どういったプロトコルが利用されているか、何セッション含まれているのか、などの解析をすることができない、という課題がある。
そのため、暗号化又は隠蔽化されたトラフィックのセッション数及び対応アプリケーションを推定することができるネットワーク機器、及びネットワーク情報の推定方法が望まれていた。
本発明に係るネットワーク機器は、ネットワークに接続されるネットワーク機器であって、暗号化又は隠蔽化された既知のアプリケーションのトラフィックがそれぞれスペクトル解析され、少なくとも特徴周波数の情報を含むスペクトル解析結果が記録された既知アプリケーションデータベースと、前記ネットワークに流れるトラフィックを収集するトラフィックキャプチャー部と、前記トラフィックキャプチャー部により収集されたトラフィックのうち、暗号化又は隠蔽化されたフローを抽出するフロー抽出部と、前記フロー抽出部により抽出されたフローをスペクトル解析し、該スペクトル解析結果とトラフィック量とに基づいて総セッション数を推定し、前記既知アプリケーションデータベースに記録された既知アプリケーションのスペクトル解析結果のうち、前記フローのスペクトル解析結果と特徴周波数が重複する既知アプリケーションのスペクトル解析結果を抽出し、抽出した前記既知アプリケーションのスペクトル解析結果と前記総セッション数とに基づき、前記フローに対応する1又は複数のアプリケーションと、当該アプリケーション毎のセッション数とを推定する推定部とを備えたものである。
また、本発明に係るネットワーク情報の推定方法は、ネットワークを流れる暗号化又は隠蔽化トラフィックのセッション数及び対応アプリケーションを推定するネットワーク情報の推定方法であって、前記ネットワークに流れるトラフィックを収集するステップと、収集された前記トラフィックのうち、暗号化又は隠蔽化されたフローを抽出するステップと、抽出された前記フローをスペクトル解析し、該スペクトル解析結果とトラフィック量とに基づいて総セッション数を推定するステップと、予め記憶された、暗号化又は隠蔽化された既知のアプリケーションのトラフィックがそれぞれスペクトル解析され、少なくとも特徴周波数の情報を含むスペクトル解析結果のうち、前記フローのスペクトル解析結果と特徴周波数が重複する既知アプリケーションのスペクトル解析結果を抽出するステップと、抽出された前記既知アプリケーションのスペクトル解析結果と前記総セッション数とに基づき、前記フローに対応する1又は複数のアプリケーションと、当該アプリケーション毎のセッション数とを推定するステップとを有するものである。
本発明は、暗号化又は隠蔽化されたトラフィックのセッション数及び対応アプリケーションを推定することができる。
実施の形態1.
図1は実施の形態1に係るネットワーク機器の機能ブロック図である。
図1に示すように、ネットワーク機器10は、トラフィックキャプチャー部101、フロー抽出部102、推定部103、既知アプリケーションDB104、予測結果出力部105を備える。
図1は実施の形態1に係るネットワーク機器の機能ブロック図である。
図1に示すように、ネットワーク機器10は、トラフィックキャプチャー部101、フロー抽出部102、推定部103、既知アプリケーションDB104、予測結果出力部105を備える。
トラフィックキャプチャー部101は、ネットワークに接続され、当該ネットワークに流れているトラフィックを収集してフロー抽出部102に出力する。
フロー抽出部102は、例えばシグネチャベースのIDSのように実装され、暗号化又は隠蔽化されていない既知のトラフィックのシグネチャを持つ。
そして、トラフィックキャプチャー部101により収集されたトラフィックのうち、暗号化又は隠蔽化されたフロー(暗号化セッション又はトンネルセッション)を抽出して、推定部103に出力する。
そして、トラフィックキャプチャー部101により収集されたトラフィックのうち、暗号化又は隠蔽化されたフロー(暗号化セッション又はトンネルセッション)を抽出して、推定部103に出力する。
推定部103は、暗号化又は隠蔽化されたトラフィックの総セッション数、並びに対応アプリケーション及びアプリケーション毎のセッション数を推定する。推定動作については後述する。
既知アプリケーションDB104は、予め、典型的な既知のアプリケーション(以下「既知アプリケーション」ともいう。)のトラフィックが、1又は複数の暗号化方式(例えば、SSL、IPsec、など)で暗号化又は隠蔽化され、この暗号化又は隠蔽化されたトラフィックのそれぞれのスペクトル解析結果の周波数ピーク値(特徴周波数及び強さ)がそれぞれ保持されている。
そして、推定部103からの要求にしたがってDBを検索し、特徴周波数と同じ周波数にピークを持つアプリケーションの情報を、推定部103に返すものである。
そして、推定部103からの要求にしたがってDBを検索し、特徴周波数と同じ周波数にピークを持つアプリケーションの情報を、推定部103に返すものである。
予測結果出力部105は、推定部103により推定された、暗号化又は隠蔽化されたトラフィックの総セッション数、並びに対応アプリケーション及びアプリケーション毎のセッション数の情報を出力するものである。
この予測結果出力部105は画面表示のような視覚的なものでも良いし、当該ネットワーク機器10の外部にデータを伝送するものであっても良い。
尚、推定値の情報が複数ある場合には、例えば送信元・宛先アドレスの組みなどに応じて、推定値の情報を切り替えて又は選択して、出力するようにしても良い。
この予測結果出力部105は画面表示のような視覚的なものでも良いし、当該ネットワーク機器10の外部にデータを伝送するものであっても良い。
尚、推定値の情報が複数ある場合には、例えば送信元・宛先アドレスの組みなどに応じて、推定値の情報を切り替えて又は選択して、出力するようにしても良い。
トラフィックキャプチャー部101は、LANインターフェースなどのネットワークインターフェースにより構成することができる。
フロー抽出部102、推定部103は、これらの機能を実現する回路デバイスなどのハードウェアで実現することもできるし、マイコンやCPUなどの演算装置上で実行されるソフトウェアとして実現することもできる。
既知アプリケーションDB104は、HDD(Hard Disk Drive)やフラッシュメモリなどの記憶装置で構成することができる。
予測結果出力部105は、推定値の情報の出力に必要なインターフェースを適宜備える。
フロー抽出部102、推定部103は、これらの機能を実現する回路デバイスなどのハードウェアで実現することもできるし、マイコンやCPUなどの演算装置上で実行されるソフトウェアとして実現することもできる。
既知アプリケーションDB104は、HDD(Hard Disk Drive)やフラッシュメモリなどの記憶装置で構成することができる。
予測結果出力部105は、推定値の情報の出力に必要なインターフェースを適宜備える。
次に、本実施の形態におけるネットワーク機器10の動作について説明する。
まず、予め、既知アプリケーションDB104に記録されるデータについて説明する。
図2は実施の形態1に係る既知アプリケーションDB104に記録されるデータを説明する図である。
図2(a)に示すように、暗号化又は隠蔽化された既知アプリケーションのトラフィックについて、パケットサイズ、及びパケット到達間隔が抽出される。
次に、図2(b)に示すように、パケットサイズ、パケット到着間隔などの情報を元に、当該トラフィックがフーリエ変換、Wavelet変換などの手法を用いてスペクトル解析される。
また、図2(c)に示すように、フィルタ処理を施して所定の閾値以下の強さ(振幅)成分が削除される。
そして、図2(d)に示すように、所定の閾値以上の強さを有する特徴周波数の情報と、この特徴周波数における強さの情報とをスペクトル解析結果として取得され、このスペクトル解析結果が、図2(e)に示すように、既知アプリケーションDB104に記録される。
このようなスペクトル解析結果は、典型的な1又は複数の既知アプリケーションについてそれぞれ既知アプリケーションDB104に記録される。
また、これら典型的な既知アプリケーションについて、1若しくは複数の暗号化方式により暗号化され、又は/及び、1若しくは複数の隠蔽化方式により隠蔽化されたトラフィックについて、それぞれスペクトル解析結果が取得され、既知アプリケーションDB104に記録される。
図2(a)に示すように、暗号化又は隠蔽化された既知アプリケーションのトラフィックについて、パケットサイズ、及びパケット到達間隔が抽出される。
次に、図2(b)に示すように、パケットサイズ、パケット到着間隔などの情報を元に、当該トラフィックがフーリエ変換、Wavelet変換などの手法を用いてスペクトル解析される。
また、図2(c)に示すように、フィルタ処理を施して所定の閾値以下の強さ(振幅)成分が削除される。
そして、図2(d)に示すように、所定の閾値以上の強さを有する特徴周波数の情報と、この特徴周波数における強さの情報とをスペクトル解析結果として取得され、このスペクトル解析結果が、図2(e)に示すように、既知アプリケーションDB104に記録される。
このようなスペクトル解析結果は、典型的な1又は複数の既知アプリケーションについてそれぞれ既知アプリケーションDB104に記録される。
また、これら典型的な既知アプリケーションについて、1若しくは複数の暗号化方式により暗号化され、又は/及び、1若しくは複数の隠蔽化方式により隠蔽化されたトラフィックについて、それぞれスペクトル解析結果が取得され、既知アプリケーションDB104に記録される。
尚、既知アプリケーションDB104に記録されるスペクトル解析結果は、新しい暗号化方式や、新しいアプリケーションなどに対応して、適宜、新たなスペクトル解析結果を追加又は更新可能に記録するようにしても良い。
このように追加又は更新可能に記録することにより、ネットワークのトレンドに応じた新しいデータを持つ既知アプリケーションDB104とすることができる。
このように追加又は更新可能に記録することにより、ネットワークのトレンドに応じた新しいデータを持つ既知アプリケーションDB104とすることができる。
尚、既知アプリケーションDB104に記録されるスペクトル解析結果は、更新や追加を不可能とするように記録するようにしても良い。
このように更新や追加を不可能とすることにより、当該データベースの容量を固定とすることができ、当該ネットワーク機器のスペックに応じた容量とすることができる。また、データベースの更新を予定していない組み込みシステムとして用いる場合、動作の高速化を図ることができる。
このように更新や追加を不可能とすることにより、当該データベースの容量を固定とすることができ、当該ネットワーク機器のスペックに応じた容量とすることができる。また、データベースの更新を予定していない組み込みシステムとして用いる場合、動作の高速化を図ることができる。
次に、暗号化又は隠蔽化トラフィックのセッション数、及び対応アプリケーションを推定する動作について、図3〜図5を用いて説明する。
図3は実施の形態1に係るネットワーク機器10の動作を示すフローチャートである。
図4は実施の形態1に係る入力トラフィックのスペクトル解析結果を示す図である。
図5は実施の形態1に係る既知のスペクトル解析結果の組合せを説明する図である。
図4は実施の形態1に係る入力トラフィックのスペクトル解析結果を示す図である。
図5は実施の形態1に係る既知のスペクトル解析結果の組合せを説明する図である。
本実施の形態1におけるネットワーク機器10は、IP(Internet Protocol)ネットワークに接続される。このIPネットワークには、たくさんのパケットが流れており、1つの意味のあるパケットの時系列の集合をフローと呼び、フローの集合をトラフィックと呼ぶことにする。
以下、本実施の形態1におけるネットワーク機器10の動作を図3の各ステップに基づき、図4及び図5を参照しながら説明する。
(S101)
まず、トラフィックキャプチャー部101は、当該ネットワーク機器10が接続されたIPネットワークに流れているトラフィックを全てキャプチャー(収集)して、フロー抽出部102に出力する。
まず、トラフィックキャプチャー部101は、当該ネットワーク機器10が接続されたIPネットワークに流れているトラフィックを全てキャプチャー(収集)して、フロー抽出部102に出力する。
(S102)
フロー抽出部102は、トラフィックキャプチャー部101から入力されたトラフィックをフロー毎に分けて、既存アプリケーション識別を行い、暗号化又は隠蔽化されてないフローを破棄し、それ以外の暗号化又は隠蔽化されていると考えられるフローを推定部103に出力する。
フロー抽出部102は、トラフィックキャプチャー部101から入力されたトラフィックをフロー毎に分けて、既存アプリケーション識別を行い、暗号化又は隠蔽化されてないフローを破棄し、それ以外の暗号化又は隠蔽化されていると考えられるフローを推定部103に出力する。
(S103)
推定部103は、フロー抽出部102により抽出されたフローをスペクトル解析し、このスペクトル解析結果とトラフィック量とに基づいて、暗号化又は隠蔽化されたトラフィックに含まれるセッション数(以下「総セッション数」という。)を推定する。
推定部103は、フロー抽出部102により抽出されたフローをスペクトル解析し、このスペクトル解析結果とトラフィック量とに基づいて、暗号化又は隠蔽化されたトラフィックに含まれるセッション数(以下「総セッション数」という。)を推定する。
例えば、推定部103は、図4(a)に示すように、フロー抽出部102により抽出されたフローから、送信元・宛先アドレスが同一の組み毎に、トラフィック量(データサイズ・ビットレート)、パケット到着間隔などの情報を抽出する。
次に、図4(b)に示すように、トラフィック量(パケットサイズ)、パケット到着間隔などの情報を元に、暗号化又は隠蔽化されたフローに対して、フーリエ変換、Wavelet変換などの単一フローの推定に用いられる手法を用いてスペクトル解析し、トラフィックに含まれる周期性の種類を分離する。
また、図4(c)に示すように、フィルタ処理を施して所定の閾値以下の強さ(振幅)成分をカット(削除)して、所定値以上の強さを有する特徴周波数と、該特徴周波数における強さの情報を求める。
以下、フィルタ処理を施した後のスペクトル解析結果を、「抽出フローのスペクトル解析結果」と呼ぶことにする。
次に、図4(b)に示すように、トラフィック量(パケットサイズ)、パケット到着間隔などの情報を元に、暗号化又は隠蔽化されたフローに対して、フーリエ変換、Wavelet変換などの単一フローの推定に用いられる手法を用いてスペクトル解析し、トラフィックに含まれる周期性の種類を分離する。
また、図4(c)に示すように、フィルタ処理を施して所定の閾値以下の強さ(振幅)成分をカット(削除)して、所定値以上の強さを有する特徴周波数と、該特徴周波数における強さの情報を求める。
以下、フィルタ処理を施した後のスペクトル解析結果を、「抽出フローのスペクトル解析結果」と呼ぶことにする。
そして、推定部103は、特徴周波数における強さと、当該フローのトラフィック量とに基づいて総セッション数を推定する。
例えば上記スペクトル解析にフーリエ変換を用いた場合、次のように行う。
まず、送信元・宛先アドレスの組み毎に、スペクトル解析結果の特徴周波数における強さ(ピーク値)をそれぞれ所定値β(β:予め与えられる値)で割り、この割った値をそれぞれ足し合わせて算出値γを求める。
そして、当該送信元・宛先アドレスの組みのトラフィック量を算出値γで割った値が、数kbps〜数Mbpsの間であれば、当該算出値γを総セッション数の推定値とする。
尚、トラフィック量を算出値γで割った値が、数kbps〜数Mbpsの間に収まらない場合は、所定値βの値が適当でない可能性があるため、エラーである旨の情報を予測結果出力部105へ出力して、推定動作を終了する。
例えば上記スペクトル解析にフーリエ変換を用いた場合、次のように行う。
まず、送信元・宛先アドレスの組み毎に、スペクトル解析結果の特徴周波数における強さ(ピーク値)をそれぞれ所定値β(β:予め与えられる値)で割り、この割った値をそれぞれ足し合わせて算出値γを求める。
そして、当該送信元・宛先アドレスの組みのトラフィック量を算出値γで割った値が、数kbps〜数Mbpsの間であれば、当該算出値γを総セッション数の推定値とする。
尚、トラフィック量を算出値γで割った値が、数kbps〜数Mbpsの間に収まらない場合は、所定値βの値が適当でない可能性があるため、エラーである旨の情報を予測結果出力部105へ出力して、推定動作を終了する。
(S104)
次に、推定部103は、既知アプリケーションDB104に記録された既知アプリケーションのスペクトル解析結果のうち、抽出フローのスペクトル解析結果と、特徴周波数が全て重複する既知アプリケーションのスペクトル解析結果を抽出する。
次に、推定部103は、既知アプリケーションDB104に記録された既知アプリケーションのスペクトル解析結果のうち、抽出フローのスペクトル解析結果と、特徴周波数が全て重複する既知アプリケーションのスペクトル解析結果を抽出する。
(S105)
推定部103は、既知アプリケーションDB104から抽出した既知アプリケーションのスペクトル解析結果を、それぞれ1又は複数組合せ、総数が総セッション数となる組合せパターンを求める。
例えば、図5に示すように、既知アプリケーションのスペクトル解析結果(X1)をa個、スペクトル解析結果(X2)をb個、同様に、スペクトル解析結果(Xn)をz個とし、これらの個数の総数(a+b+…+z)が、上記ステップS103で推定した総セッション数となる組合せを全て求める。
推定部103は、既知アプリケーションDB104から抽出した既知アプリケーションのスペクトル解析結果を、それぞれ1又は複数組合せ、総数が総セッション数となる組合せパターンを求める。
例えば、図5に示すように、既知アプリケーションのスペクトル解析結果(X1)をa個、スペクトル解析結果(X2)をb個、同様に、スペクトル解析結果(Xn)をz個とし、これらの個数の総数(a+b+…+z)が、上記ステップS103で推定した総セッション数となる組合せを全て求める。
(S106)
推定部103は、求めた組合せパターンに応じて、抽出した既知アプリケーションのスペクトル解析結果を加算する。
図5に示す例では、スペクトル解析結果(X1)*a個+スペクトル解析結果(X2)*b個+…+スペクトル解析結果(Xn)*z個となる。
推定部103は、求めた組合せパターンに応じて、抽出した既知アプリケーションのスペクトル解析結果を加算する。
図5に示す例では、スペクトル解析結果(X1)*a個+スペクトル解析結果(X2)*b個+…+スペクトル解析結果(Xn)*z個となる。
そして、この加算した既知アプリケーションのスペクトル解析結果と、抽出フローのスペクトル解析結果との乖離度を求める。
この乖離度は、例えば、加算した既知アプリケーションのスペクトル解析結果における各特徴周波数での強さ(ピーク値)と、抽出フローのスペクトル解析結果における各特徴周波数での強さ(ピーク値)との差分を算出し、その差分の絶対値を乖離度の算出値とする。
この乖離度は、例えば、加算した既知アプリケーションのスペクトル解析結果における各特徴周波数での強さ(ピーク値)と、抽出フローのスペクトル解析結果における各特徴周波数での強さ(ピーク値)との差分を算出し、その差分の絶対値を乖離度の算出値とする。
(S107)
推定部103は、全ての組合せパターンが完了するまで、スペクトル解析結果を加算と乖離度の算出とを繰り返す。
推定部103は、全ての組合せパターンが完了するまで、スペクトル解析結果を加算と乖離度の算出とを繰り返す。
(S108)
次に、推定部103は、上記ステップS106で求めた各組合せパターンのうち、乖離度が最小となる組合せパターンと、当該乖離度の情報を保持する。
次に、推定部103は、上記ステップS106で求めた各組合せパターンのうち、乖離度が最小となる組合せパターンと、当該乖離度の情報を保持する。
(S109,S110)
推定部103は、ステップS103で求めた総セッション数を、所定の範囲内で加算又は減算して、総セッション数を更新する。
そして、所定の範囲内での更新が全て完了するまで、上記ステップS105〜S109を繰り返す。
推定部103は、ステップS103で求めた総セッション数を、所定の範囲内で加算又は減算して、総セッション数を更新する。
そして、所定の範囲内での更新が全て完了するまで、上記ステップS105〜S109を繰り返す。
例えば、総セッション数−(総セッション数のα%)から、総セッション数をインクリメントし、総セッション数が、総セッション数+(総セッション数のα%)となったとき更新を完了する。このα値としては例えば3%に設定する。
尚、総セッション数を加算又は減算する所定の範囲は、これに限らず任意の範囲に設定することができる。
尚、総セッション数を加算又は減算する所定の範囲は、これに限らず任意の範囲に設定することができる。
(S111)
次に、推定部103は、上記ステップS108で保持した乖離度のうち、乖離度が最も小さくなる総セッション数、及び当該総セッション数におけるアプリケーション毎のセッション数を、総セッション数の推定値、及びアプリケーション毎のセッション数の推定値として、予測結果出力部105に出力する。
次に、推定部103は、上記ステップS108で保持した乖離度のうち、乖離度が最も小さくなる総セッション数、及び当該総セッション数におけるアプリケーション毎のセッション数を、総セッション数の推定値、及びアプリケーション毎のセッション数の推定値として、予測結果出力部105に出力する。
このような動作を、送信元・宛先アドレスの組み毎に行い、順次、推定結果を予測結果出力部105に出力する。
予測結果出力部105は、推定された、総セッション数の推定値、対応アプリケーション及びアプリケーション毎のセッション数の推定値の情報を出力する。
このような動作により、ネットワーク管理者(オペレーター)は、暗号化又は隠蔽化されたフローの総セッション数、対応アプリケーション及びそのアプリケーション毎のセッション数を知ることができる。
そして、ネットワーク管理者(オペレーター)は、これらの情報に基づいて、送信元・宛先アドレスの組みに応じて、通信のシェーピング・遮断などを行うことになる。
そして、ネットワーク管理者(オペレーター)は、これらの情報に基づいて、送信元・宛先アドレスの組みに応じて、通信のシェーピング・遮断などを行うことになる。
以上のように本実施の形態においては、暗号化又は隠蔽化されたフローを抽出して、このフローをスペクトル解析して総セッション数を推定し、既知アプリケーションDB104に記録された既知アプリケーションのスペクトル解析結果を用いて、抽出したフローに対応するアプリケーションと、当該アプリケーション毎のセッション数とを推定する。
したがって、暗号化又は隠蔽化されたトラフィックであっても、そのセッション数及び対応アプリケーションを推定することができる。
これにより、暗号化又は隠蔽化されたトラフィックに対して、ネットワーク管理者等が通信を遮断するなどの対策を可能にすることができる。
したがって、暗号化又は隠蔽化されたトラフィックであっても、そのセッション数及び対応アプリケーションを推定することができる。
これにより、暗号化又は隠蔽化されたトラフィックに対して、ネットワーク管理者等が通信を遮断するなどの対策を可能にすることができる。
また、既知アプリケーションのスペクトル解析結果を、複数の組合せパターンで加算して、抽出フローのスペクトル解析結果との乖離度を求め、乖離度が最も小さい組合せにおける既知アプリケーション毎の加算数を、アプリケーション毎のセッション数の推定値とする。
このため、アプリケーション毎のセッション数の推定値を精度良く推定することができる。
このため、アプリケーション毎のセッション数の推定値を精度良く推定することができる。
また、総セッション数を所定の範囲内で加算又は減算して、総セッション数を更新し、この更新した総セッション数を用いて、アプリケーション毎のセッション数を繰り返し推定し、乖離度が最も小さくなる総セッション数、及び当該総セッション数におけるアプリケーション毎のセッション数を、総セッション数の推定値、及びアプリケーション毎のセッション数の推定値とする。
このため、総セッション数の推定値、及びアプリケーション毎のセッション数を精度良く推定することができる。
このため、総セッション数の推定値、及びアプリケーション毎のセッション数を精度良く推定することができる。
また、IPネットワークに流れる暗号化又は隠蔽化されたトラフィックを、そのトラフィック量(パケットサイズ)やパケット到達間隔など、隠蔽できない要素によりスペクトル解析するので、暗号化又は隠蔽化されたトラフィックであっても、確実な推定動作を可能とする。
尚、本実施の形態1では、ステップS109,S110において、総セッション数を所定の範囲内で更新して、再度、スペクトル解析結果の加算及び乖離度の算出を行う場合を説明したが、本発明はこれに限らず、総セッション数の更新を行わずに、ステップS103で求めた総セッション数のみを用いて、対応アプリケーション及びアプリケーション毎のセッション数を推定するようにしても良い。
10 ネットワーク機器、101 トラフィックキャプチャー部、102 フロー抽出部、103 推定部、104 既知アプリケーションDB、105 予測結果出力部。
Claims (8)
- ネットワークに接続されるネットワーク機器であって、
暗号化又は隠蔽化された既知のアプリケーションのトラフィックがそれぞれスペクトル解析され、少なくとも特徴周波数の情報を含むスペクトル解析結果が記録された既知アプリケーションデータベースと、
前記ネットワークに流れるトラフィックを収集するトラフィックキャプチャー部と、
前記トラフィックキャプチャー部により収集されたトラフィックのうち、暗号化又は隠蔽化されたフローを抽出するフロー抽出部と、
前記フロー抽出部により抽出されたフローをスペクトル解析し、該スペクトル解析結果とトラフィック量とに基づいて総セッション数を推定し、
前記既知アプリケーションデータベースに記録された既知アプリケーションのスペクトル解析結果のうち、前記フローのスペクトル解析結果と特徴周波数が重複する既知アプリケーションのスペクトル解析結果を抽出し、
抽出した前記既知アプリケーションのスペクトル解析結果と前記総セッション数とに基づき、前記フローに対応する1又は複数のアプリケーションと、当該アプリケーション毎のセッション数とを推定する推定部と
を備えたことを特徴とするネットワーク機器。 - 前記推定部は、
前記フロー抽出部により抽出されたフローのパケットサイズ及びパケット到着間隔の情報に基づき、前記フローをスペクトル解析し、
該スペクトル解析の結果から、所定値以上の強さを有する特徴周波数と、該特徴周波数における強さとを抽出し、
前記特徴周波数における強さと、当該フローのトラフィック量とに基づいて前記総セッション数を推定することを特徴とする請求項1記載のネットワーク機器。 - 前記推定部は、
前記既知アプリケーションデータベースから抽出した既知アプリケーションのスペクトル解析結果を、総数が前記総セッション数となるように、それぞれ1又は複数組合せて加算し、該加算した既知アプリケーションのスペクトル解析結果と、前記フローのスペクトル解析結果との乖離度を求め、
前記既知アプリケーションのスペクトル解析結果を加算した組合せのうち、前記乖離度が最も小さい組合せにおける前記既知アプリケーション毎の加算数を、前記アプリケーション毎のセッション数の推定値とすることを特徴とする請求項1又は2記載のネットワーク機器。 - 前記推定部は、
前記総セッション数を所定の範囲内で加算又は減算して、前記総セッション数を更新し、
該更新した総セッション数を用いて、前記アプリケーション毎のセッション数を繰り返し推定し、
前記乖離度が最も小さくなる前記総セッション数、及び当該総セッション数における前記アプリケーション毎のセッション数を、前記総セッション数の推定値、及び前記アプリケーション毎のセッション数の推定値とすることを特徴とする請求項3記載のネットワーク機器。 - 前記既知アプリケーションデータベースは、
1若しくは複数の暗号化方式により暗号化され、又は/及び、1若しくは複数の隠蔽化方式により隠蔽化された、1又は複数の既知のアプリケーションのトラフィックが、それぞれスペクトル解析され、所定値以上の強さを有する特徴周波数の情報と、該特徴周波数における強さの情報とが、前記スペクトル解析結果として記録されることを特徴とする請求項1〜4の何れかに記載のネットワーク機器。 - 前記既知アプリケーションデータベースは、
前記スペクトル解析結果が、更新可能又は/及び追加可能に記録されることを特徴とする請求項1〜5の何れかに記載のネットワーク機器。 - 前記既知アプリケーションデータベースは、
前記スペクトル解析結果が、更新不可能又は/及び追加不可能に記録されることを特徴とする請求項1〜5の何れかに記載のネットワーク機器。 - ネットワークを流れる暗号化又は隠蔽化トラフィックのセッション数及び対応アプリケーションを推定するネットワーク情報の推定方法であって、
前記ネットワークに流れるトラフィックを収集するステップと、
収集された前記トラフィックのうち、暗号化又は隠蔽化されたフローを抽出するステップと、
抽出された前記フローをスペクトル解析し、該スペクトル解析結果とトラフィック量とに基づいて総セッション数を推定するステップと、
予め記憶された、暗号化又は隠蔽化された既知のアプリケーションのトラフィックがそれぞれスペクトル解析され、少なくとも特徴周波数の情報を含むスペクトル解析結果のうち、前記フローのスペクトル解析結果と特徴周波数が重複する既知アプリケーションのスペクトル解析結果を抽出するステップと、
抽出された前記既知アプリケーションのスペクトル解析結果と前記総セッション数とに基づき、前記フローに対応する1又は複数のアプリケーションと、当該アプリケーション毎のセッション数とを推定するステップと
を有することを特徴とするネットワーク情報の推定方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008307019A JP5035224B2 (ja) | 2008-12-02 | 2008-12-02 | ネットワーク機器、及びネットワーク情報の推定方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008307019A JP5035224B2 (ja) | 2008-12-02 | 2008-12-02 | ネットワーク機器、及びネットワーク情報の推定方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010135871A true JP2010135871A (ja) | 2010-06-17 |
| JP5035224B2 JP5035224B2 (ja) | 2012-09-26 |
Family
ID=42346745
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008307019A Active JP5035224B2 (ja) | 2008-12-02 | 2008-12-02 | ネットワーク機器、及びネットワーク情報の推定方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5035224B2 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017064766A1 (ja) * | 2015-10-14 | 2017-04-20 | 株式会社日立製作所 | 管理装置、管理方法、および、管理プログラム |
| JP2019016961A (ja) * | 2017-07-07 | 2019-01-31 | 日本電信電話株式会社 | 動画品質制御装置、ビットレート選択方法、及びプログラム |
| CN111626322A (zh) * | 2020-04-08 | 2020-09-04 | 中南大学 | 一种基于小波变换的加密流量的应用活动识别方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007028526A (ja) * | 2005-07-21 | 2007-02-01 | Nec Corp | トラフィック検出装置、通信品質監視装置、方法、及び、プログラム |
-
2008
- 2008-12-02 JP JP2008307019A patent/JP5035224B2/ja active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007028526A (ja) * | 2005-07-21 | 2007-02-01 | Nec Corp | トラフィック検出装置、通信品質監視装置、方法、及び、プログラム |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017064766A1 (ja) * | 2015-10-14 | 2017-04-20 | 株式会社日立製作所 | 管理装置、管理方法、および、管理プログラム |
| JPWO2017064766A1 (ja) * | 2015-10-14 | 2018-08-16 | 株式会社日立製作所 | 管理装置、管理方法、および、管理プログラム |
| US10560311B2 (en) | 2015-10-14 | 2020-02-11 | Hitachi Ltd. | Management apparatus, management method, and recording medium |
| JP2019016961A (ja) * | 2017-07-07 | 2019-01-31 | 日本電信電話株式会社 | 動画品質制御装置、ビットレート選択方法、及びプログラム |
| CN111626322A (zh) * | 2020-04-08 | 2020-09-04 | 中南大学 | 一种基于小波变换的加密流量的应用活动识别方法 |
| CN111626322B (zh) * | 2020-04-08 | 2024-01-05 | 中南大学 | 一种基于小波变换的加密流量的应用活动识别方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5035224B2 (ja) | 2012-09-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108429651B (zh) | 流量数据检测方法、装置、电子设备及计算机可读介质 | |
| US8380847B2 (en) | Methods, communication networks, and computer program products for monitoring, examining, and/or blocking traffic associated with a network element based on whether the network element can be trusted | |
| US9230213B2 (en) | Device and related method for scoring applications running on a network | |
| US10917325B2 (en) | Deriving test profiles based on security and network telemetry information extracted from the target network environment | |
| JPWO2015141630A1 (ja) | 分析ルール調整装置、分析ルール調整システム、分析ルール調整方法および分析ルール調整プログラム | |
| US20140280887A1 (en) | A device and related method for dynamic traffic mirroring policy | |
| Hjelmvik et al. | Statistical protocol identification with spid: Preliminary results | |
| US20070189178A1 (en) | Method for determining the operations performed on packets by a network device | |
| US11882138B2 (en) | Fast identification of offense and attack execution in network traffic patterns | |
| TW201505411A (zh) | 用於規則式安全防護設備之規則解譯方法及設備 | |
| Kawai et al. | Identification of communication devices from analysis of traffic patterns | |
| EP4002866A1 (en) | A device and method to establish a score for a computer application | |
| US11025612B2 (en) | Intelligent certificate discovery in physical and virtualized networks | |
| Iglesias et al. | DAT detectors: uncovering TCP/IP covert channels by descriptive analytics | |
| Laštovička et al. | Using TLS fingerprints for OS identification in encrypted traffic | |
| JP2018537921A (ja) | Skypeの異なる機能の通信フローに基づく識別方法及び装置 | |
| JP5035224B2 (ja) | ネットワーク機器、及びネットワーク情報の推定方法 | |
| KR101703805B1 (ko) | 데이터 네트워크상의 여러 흐름을 포함하는 통신 세션의 감독 | |
| WO2016201876A1 (zh) | 一种加密流量的业务识别方法、装置和计算机存储介质 | |
| US20070147397A1 (en) | Methods, communication networks, and computer program products for configuring a communication tunnel for traffic based on whether a network element can be trusted | |
| Cukier et al. | A statistical analysis of attack data to separate attacks | |
| Abubakar et al. | Examining Potential Threats of Eavesdropping in TCP Stream of Personal Interactive Transmission Session | |
| JP4679886B2 (ja) | 暗号化通信特徴抽出装置、暗号化通信特徴抽出プログラムおよび記録媒体 | |
| Hue et al. | Traffic-aware networking for video streaming service using SDN | |
| Deri et al. | Monitoring IoT Encrypted Traffic with Deep Packet Inspection and Statistical Analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110816 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120525 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120605 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120618 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150713 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5035224 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |