JP2010204289A - 暗号トラヒック識別装置及びそれを備える暗号トラヒック識別システム - Google Patents

暗号トラヒック識別装置及びそれを備える暗号トラヒック識別システム Download PDF

Info

Publication number
JP2010204289A
JP2010204289A JP2009048176A JP2009048176A JP2010204289A JP 2010204289 A JP2010204289 A JP 2010204289A JP 2009048176 A JP2009048176 A JP 2009048176A JP 2009048176 A JP2009048176 A JP 2009048176A JP 2010204289 A JP2010204289 A JP 2010204289A
Authority
JP
Japan
Prior art keywords
traffic
data
encrypted
unit
identification device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009048176A
Other languages
English (en)
Other versions
JP5408608B2 (ja
JP2010204289A5 (ja
Inventor
Shingo Ata
信吾 阿多
Takeshi Hasegawa
剛 長谷川
Yoshihiro Nakahira
佳裕 中平
Nobuyuki Nakamura
信之 中村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Osaka University NUC
Osaka City University
Original Assignee
Oki Electric Industry Co Ltd
Osaka University NUC
Osaka City University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd, Osaka University NUC, Osaka City University filed Critical Oki Electric Industry Co Ltd
Priority to JP2009048176A priority Critical patent/JP5408608B2/ja
Priority to US12/659,069 priority patent/US9021252B2/en
Priority to CN2010101261532A priority patent/CN101827089B/zh
Publication of JP2010204289A publication Critical patent/JP2010204289A/ja
Publication of JP2010204289A5 publication Critical patent/JP2010204289A5/ja
Application granted granted Critical
Publication of JP5408608B2 publication Critical patent/JP5408608B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]

Abstract

【課題】ネットワーク内の通信におけるトラヒックの特徴となるデータを取得又は算出し、そのデータに基づいてトラヒックが暗号文であるのか否かを正確に判定する暗号トラヒック識別装置及びこの識別装置を備えるシステムを得る。
【解決手段】暗号トラヒック識別装置1は、トラヒックを入力する入力インターフェース部11と、フロー別に識別するフロー識別部12と、特徴量データを蓄積するデータ蓄積部13と、特徴量データに基づいて評価演算を実施する選択的データ計算部14と、その評価演算値に基づいてトラヒックが暗号化されているか否か、又は、暗号化されている場合、その暗号形式は何であるかの閾値判定を実施する計算結果判定部15と、上記の判定結果を外部に出力する出力インターフェース部16を備える。
【選択図】図1

Description

本発明は、インターネット等のネットワーク上のノード又は端末において、そのネットワーク上を流れるトラヒックを監視し、そのトラヒックが暗号文であるのか、平文であるのかを容易かつ高い精度で識別する暗号トラヒック識別装置及び暗号トラヒック識別システムに関する。
従来の暗号化データの特徴を抽出する技術として以下のものがある。まず、事前に既知の暗号化方法で暗号化した暗号文を暗号化信号送出機能部より発信し、その試験通信暗号データを収集してその特徴を求める。次に、トラヒックの種別が不明な通信情報に対して、暗号判定機能部において、特徴情報を集め、先に求めた既知の暗号文の特徴情報と比較し、一致した場合、そのトラヒックが既知の暗号化方法で暗号化されたデータであると推定する。この方法によれば、暗号化通信の種別として、使用されている通信アプリケーション、暗号通信ソフト、及び、暗号化プロトコルの組み合わせを示すことができる。その暗号化プロトコルとして、WEBサービスの場合はHTTPS:Hypertext Transfer Protocol Security(SSL:Secure Socket Layer)、VPN:Virtual Private Networkの場合はDES:Data Encryption Standard、3DES及びAES:Advanced Encryption Standard等を使用可能とする。また、暗号データの特徴を抽出する手段としての情報として、
(1)通信セッションの発生間隔
(2)通信セッション中のパケット発生間隔
(3)通信セッション中のパケットサイズ
(4)通信セッション中の総パケット数
(5)通信セッション中のパケット送受信方向の関係
(6)通信セッション中のパケット送受信方向比
(7)通信セッション中のプロトコル占有率
(8)通信セッション開始時の各パケットサイズ
(9)通信セッション開始時の総パケット数
(10)通信セッション開始時の総データサイズ
(11)長期間のSource/Destination IP分布
(12)長期間のDestination Port分布
(13)長期間のDNSサーバーへの問合せの有無
(14)通信アプリケーション側から何も通信していない時に送信されるデータの有無
を挙げている(例えば、特許文献1参照)。
特開2006−146039号公報
しかしながら、特許文献1に係る発明においては、上記の(1)〜(14)に係る情報を用いれば、どのような通信が行われているか、具体的には、その通信に係るトラヒックが暗号文であるのか否かを容易に判定できるとは限らないという問題点がある。
そのため、ネットワーク内の通信におけるトラヒックの特徴となるデータを取得又は算出し、そのデータに基づいてトラヒックが暗号文であるのか否かを容易かつ正確に判定する暗号トラヒック識別装置が望まれていた。
本発明に係る暗号トラヒック識別装置は、トラヒックが入力される入力インターフェース部と、前記入力されたトラヒックを少なくとも送信元アドレス及び送信先アドレスに基づいてフロー別に識別するフロー識別部と、前記フロー別に前記トラヒックの特徴量データを蓄積するデータ蓄積部と、前記特徴量データに基づいて評価演算を実施する選択的データ計算部と、その評価演算値に基づいて前記トラヒックが暗号化されているか否か、又は、暗号化されている場合その暗号形式は何であるかの閾値判定を実施する計算結果判定部と、その判定結果を出力する出力インターフェース部とを備え、前記選択的データ計算部は、前記特徴量データのうち特定のデータのみを使用して評価演算を実施するものである。
本発明に係る暗号トラヒック識別装置では、従来技術と比較して容易に精度の高い暗号文と平文の暗号識別の判定が可能となり、さらに暗号文である場合、その暗号形式の識別も可能となる。
また、本発明に係るシステムは上記暗号トラヒック識別装置を備えるので、従来技術と比較して容易かつ高い精度で暗号識別の判定、暗号形式の識別が可能になり、これら暗号識別に用いるデータ量の削減を図ることができる。
本発明の実施の形態1に係る暗号トラヒック識別装置の全体構成図である。 同暗号トラヒック識別装置の暗号識別動作を示すフローチャートである。 本発明の実施の形態2に係る暗号トラヒック識別装置の全体構成図である。 本発明の実施の形態3に係る暗号トラヒック識別装置の全体構成図である。 本発明の実施の形態4に係る暗号トラヒック識別システムの全体構成図である。 実施の形態1に係る暗号トラヒック識別装置において実施された平文及び暗号文2種類のパケットの到着間隔時間に基づく評価演算値の分布グラフである。 実施の形態1に係る暗号トラヒック識別装置において実施された平文及び暗号文2種類のパケット長に基づく評価演算値の分布グラフである。
実施の形態1.
(暗号トラヒック識別装置の全体構成)
図1は、本発明の実施の形態1に係る暗号トラヒック識別装置の全体構成図である。
図1において、入力インターフェース部11は、観測対象とするトラヒックを入力する。その入力インターフェース部11は、入力されたトラヒックをこのトラヒックが有する送信元IPアドレス及び送信先IPアドレス等に基づいてフロー別に識別するフロー識別部12に接続されている。ここで、フローとは、送信元アドレス及び送信先アドレスが同じであるパケットをひとまとめにしたデータを表す。また、パケットとは、トラヒック又はフローを構成する送受信データの構成単位である。フロー識別部12は、フロー識別部12で識別されたフローにおける特徴量データをそのフロー別に蓄積するデータ蓄積部13に接続されている。このデータ蓄積部13は、上記の特徴量データに基づいて評価演算を実施する選択的データ計算部14に接続されている。この選択的データ計算部14は、上記の評価演算値に基づいてトラヒックが暗号化されているか否か、又は、暗号化されている場合、その暗号形式は何であるかの閾値判定を実施する計算結果判定部15に接続されている。そして、この計算結果判定部15は、上記の判定結果を外部に出力する出力インターフェース部16に接続されている。暗号トラヒック識別装置1は、以上のような、入力インターフェース部11、フロー識別部12、データ蓄積部13、選択的データ計算部14、計算結果判定部15及び出力インターフェース部16を含む構成となっている。なお、暗号トラヒック識別装置1を構成する上記の構成要素は、物理的に独立したユニットであってもよいし、暗号トラヒック識別装置1の制御装置(図示せず)が備える概念的な機能を表すものとしてもよいし、上記各構成要件11〜16が異なる装置としてそれぞれ接続されていてもよい。
(暗号トラヒック識別装置の暗号識別動作)
図2は、本発明の実施の形態1に係る暗号トラヒック識別装置の暗号識別動作を示すフローチャートである。
(S11)
入力インターフェース部11は、外部のLAN又はインターネット等のネットワークにおいて暗号識別の観測対象となる場所から、そのネットワーク上を通信しているトラヒックを取り出し入力する。例えば、入力インターフェース部11は、タップ装置又はルーター若しくはスイッチングハブ等に設置されているミラーポートからネットワーク上を通信しているトラヒックを取り出し入力する。
(S12)
入力インターフェース部11は、入力したトラヒックをフロー識別部12に送信する。
(S13)
フロー識別部12は、受信したトラヒックが内包する送信元IPアドレス及び送信先IPアドレス、並びに、送信元ポート番号及び送信先ポート番号に基づいてトラヒックをフロー別に識別する。
(S14)
フロー識別部12は、識別したフローをデータ蓄積部13に送信する。
(S15)
データ蓄積部13は、受信したフローに基づいてそのトラヒックに係る特徴量データを取得しフロー別に蓄積する。このフロー別に特徴量データを蓄積する方法としては、物理的に分離した記憶媒体にそれぞれ格納する構成としてもよく、同一の記憶媒体に時系列に蓄積し、どのデータがどのフローに属するものか識別可能なように、識別情報を付加する構成としてもよく、その他、公知の手段によってフロー別にトラヒックに係る特徴量データを取得することができる構成とすればよい。本実施の形態においては、トラヒックに係る特徴量データは、そのトラヒックを構成するパケットの到着間隔時間であるものとする。
(S16)
選択的データ計算部14は、データ蓄積部13において全てのフロー毎に蓄積された特徴量データの中から、暗号識別の観測対象となる特定のフローにアクセスし、そのフローにおける特徴量データのデータ列の中から、特定の特徴量データのデータ列を選択して評価演算を実施する。本実施の形態では、以下の方法で評価演算値を求める。即ち、選択的データ計算部14は、上記のようにアクセスした特定の特徴量データであるパケットの到着間隔時間のデータ列を、その到着間隔時間が短い順に整列し、所定の部分(例えば、短い方からデータ列総数の75%番目)に該当する到着間隔時間のデータを取得して評価演算値とする。
(S17)
選択的データ計算部14は、上記の方法によって求めた評価演算値を、計算結果判定部15に送信する。
(S18)
計算結果判定部15は、受信した評価演算値に対して、所定の閾値に基づいて閾値判定を実施し、暗号識別の観測対象であるトラヒックが、暗号化された暗号文であるのか、暗号化されていない平文であるのかを判定し、さらに、暗号文である場合、その暗号形式は何であるのかを判定する。
(S19)
計算結果判定部15は、ステップS18における暗号識別の判定結果を出力インターフェース部16に送信する。
(S20)
出力インターフェース部16は、受信した暗号識別の判定結果を外部に出力する。
上記の動作は、常時繰り返し実施される構成としてもよく、ネットワークの管理者等が必要な時刻に必要な時間だけ実施する構成としてもよい。
(実施の形態1の効果)
以上のような構成及び動作によって、従来技術と比較して精度の高い暗号文と平文の暗号識別の判定が可能となる。さらに、暗号文である場合、その暗号形式の識別も可能となる。
なお、上記のステップS15において、受信したフローにおいてトラヒックに係る特徴量データを取得しフロー別に蓄積する構成としたが、常にその特徴量データの全てを蓄積するのではなく、最初に、又は、一定時間間隔で平均値を計算して除外すべき特徴量データを求め、明らかに評価演算値とする所定の部分のデータから外れるデータについては、蓄積せずに除外し、最小値近傍と考えられるデータ及び最大値近傍と考えられるデータのみを記憶する構成としてもよい。この場合、処理の負荷を軽減することが可能となる。
また、本実施の形態においては、暗号トラヒック識別装置1は単数である構成としているが、暗号トラヒック識別装置1を複数設置し入力されるトラヒックを分散させる構成としてもよく、又は、トラヒックのすべてを入力するのではなく、トラヒックを所定周期でサンプリングする構成としてよい。この場合、暗号トラヒック識別装置1が、超高速回線で構成されるネットワークに接続され、そのネットワークから入力インターフェース部11にトラヒックが入力されるようなネットワーク環境である場合等に、暗号トラヒック識別装置1の処理負荷を軽減することができる。
また、選択的データ計算部14による評価演算としては、上記で示したものに限られるものではなく、例えば、上記のように到着間隔時間の短い順に整列したデータ列のうち、所定の範囲のデータ(例えば、短い方からデータ列総数の0%番目〜75%番目のデータ)の平均値を演算し、その平均値を評価演算値とするものとしてもよい。この方法のようにデータの平均値をとることによって、上記のステップS16で示した75%番目に該当する到着間隔時間のデータが異常なデータ等となった場合に暗号識別の判定不良が発生することを回避することができる。
あるいは、選択的データ計算部14は、下記の式(1)によって到着間隔時間指標値を算出し、この到着間隔時間指標値を評価演算値とすることもできる。
到着間隔時間指標値=Σ{(x番目の到着間隔時間)2/(a+(x/N−0.75)2)}
・・・(1)
N:データ列の総数
x:整列されたデータ列の先頭データからの順番数
a:所定の定数(正の定数。75%番目の影響の強さを規定する。)
本発明者の知見によれば、上記の式(1)で算出される到着間隔時間指標値は、75%番目に近いデータ程この到着間隔時間指標値の値を決定する際の影響度が大きくなるものとなり、上記と同様にステップS16で示した75%番目に該当する到着間隔時間のデータが異常なデータ等となった場合に暗号識別の判定不良が発生することを回避することができる共に、75%番目のデータを用いる場合のような高い暗号識別の精度に近づけることができる。なお、上記の式(1)は75%番目の値を基準にして演算したものであるが、本実施の形態で75%近傍という場合には、同様の結果を示す前後1%程度の領域を含む。75%番目が良好な値を示す結果を得たが、本実施の形態においては、75%番目のデータに限られるものではなく、その他の順番数を基準としてもよい。全く別の値、例えば50%プラスマイナス5%でも、同様に良い結果を得られる可能性もある。
また、データ蓄積部13は、上記の説明においては、トラヒックに係る特徴量データとして、そのトラヒックを構成するパケットの到着間隔時間を取得するものとしたが、これに限られるものではなく、例えば、フローを構成するパケットのパケット長を特徴量データとして蓄積するものとしてもよい。この場合、選択的データ計算部14は、データ蓄積部13に蓄積されている特徴量データであるパケット長のデータ列にアクセスし、そのパケット長のデータ列の分散値を算出して、その分散値を評価演算値としてもよい。
そして、データ蓄積部13は、例えば、受信したフローを構成するパケットにおいてACKパケットを除いたパケットのパケット長を特徴量データとして蓄積するものとしてもよい。この場合、選択的データ計算部14は、データ蓄積部13に蓄積されている特徴量データであるACKパケットを除いたパケットのパケット長のデータ列にアクセスし、そのパケット長のデータ列の平均値を算出して、その平均値を評価演算値としてもよい。
実施の形態2.
(暗号トラヒック識別装置の全体構成)
図3は、本発明の実施の形態2に係る暗号トラヒック識別装置の全体構成図である。前述の実施の形態1と相違する構成及び動作を中心に説明する。
図3で示されるように、本実施の形態に係る暗号トラヒック識別装置1は、実施の形態1に係る暗号トラヒック識別装置1に、最適化実行部17が追加されて構成されている。この最適化実行部17は、フロー識別部12、データ蓄積部13、選択的データ計算部14及び計算結果判定部15に接続されている。なお、この最適化実行部17は、物理的に独立したユニットであってもよいし、暗号トラヒック識別装置1の制御装置(図示せず)が備える概念的な機能を表すものとしてもよい。
(最適化実行部17の最適化動作)
最適化実行部17は、データ蓄積部13に蓄積されているフロー別の特徴量データにアクセスし、その特徴量データに基づいて、以下で説明するように、暗号トラヒック識別装置1を構成する各構成要素に対し動的にその動作を変動させる。
最適化実行部17は、フロー識別部12に対して、実施の形態1における図2で示されるステップS13で示されるトラヒックのフロー識別方法の他、異なる方法によるフローの識別動作に切り替えさせ、暗号識別の判定に最適なフローの識別方法によって識別させる。
また、最適化実行部17は、データ蓄積部13に対して、フロー識別部12から送信される識別されたフローから、記憶媒体に蓄積する暗号識別の判定に最適な特徴量データとしてパケットの到着間隔時間、又は、パケットのパケット長等を適宜選択させる。このとき、データ蓄積部13は、フロー識別部12によって実施の形態1に係る方法とは異なる方法でフローが識別された場合、そのフローに係る特徴量データを実施の形態1に係る方法で識別したフローに係る特徴量データを蓄積した記憶媒体上の領域とは異なる領域に蓄積する。なお、上記のように、記憶媒体上の異なる領域に蓄積する代わりに、蓄積する特徴量データに新たなフロー分類用の識別情報を付加して蓄積するものとしてもよい。
また、最適化実行部17は、選択的データ計算部14に対して、データ蓄積部13にアクセスした特徴量データに基づいて評価演算する際に、使用する特徴量データ、又は、使用する特徴量データのデータ列の範囲を適宜切り替えさせ、暗号識別の判定に最適な演算方法によって評価演算値を演算させる。
そして、最適化実行部17は、計算結果判定部15に対して、選択的データ計算部14によって演算された評価演算値に対して閾値判定を実施する際、その判定の閾値を適宜切り替えさせ、暗号識別の判定に最適な閾値によって判定をさせる。評価演算値は後述する実施例1の方法等によって算出することができ、最適化は実施例1では75%番目としていたのを、より暗号化識別に適している値を用いる事を言う。「最適」とは、具体的には例えば、図6(B)において、グラフの各線(平文、HTTPS、PPTP:Point−to−Point Tunneling Protocol)の横軸上での最接近距離が最大となる値を用いる事で、誤判定率を低下させる事ができる。あるいは、最接近距離が一部の領域で多少下がっても、他の多くの場合に距離が広がり、全体として誤判定率が最小化するような値を言う。なお「最適」とは、暗号の識別力についての最高レベルを必ずしも指し示すものではなく、最適化実行部17を用いた場合に、最適化実行部を用いない場合(本実施の形態においては実施の形態1)と比較して、より暗号の識別力が向上できるレベルのものを包含するものとする。
(実施の形態2の効果)
以上の構成及び動作のように、最適化実行部17によって、暗号トラヒック識別装置1を構成する各構成要素に対し動的にその動作の変動を実施させることによって、ネットワーク環境等に依存せず、フロー識別、特徴量データ、その評価演算値、及び、その判定閾値について暗号識別の判定に最適なものを動的に選択し決定することができる。
実施の形態3.
(暗号トラヒック識別装置の全体構成)
図4は、本発明の実施の形態3に係る暗号トラヒック識別装置の全体構成図である。前述の実施の形態2と相違する構成及び動作を中心に説明する。
図4で示されるように、本実施の形態に係る暗号トラヒック識別装置1は、実施の形態2に係る暗号トラヒック識別装置1のフロー識別部12の代わりに、フロー識別異常判定部18が設置されている。なお、実施の形態3においては、フロー識別異常判定部18は前述のフロー識別部12の機能をも担うものである。
(フロー識別異常判定部18の動作)
外部のLAN及びインターネット等のネットワークにおいて暗号識別の観測対象となる場所から、トラヒックを入力した入力インターフェース部11は、フロー識別異常判定部18にそのトラヒックを送信する。そのトラヒックを受信したフロー識別異常判定部18は、実施の形態2におけるフロー識別部12と同様にフロー別に識別するのと同時に、そのフローの異常判定を実施する。そして、フロー識別異常判定部18は、そのフローが異常であると判定した場合、その異常原因に関する情報、例えば、その異常フローがどのネットワークから送出されたものであるのか、又は、そのネットワーク上のどのノードから送信されたものであるのか等の情報を出力インターフェース部16に送信する。また、フロー識別異常判定部18は、その異常フローをデータ蓄積部13に送信する。その後、異常フローについては、実施の形態2と同様に暗号識別の判定が実施される。そして、出力インターフェース部16は、受信した異常原因に関する情報を外部に出力する。
(実施の形態3の効果)
以上のような構成及び動作によって、異常なフローを出力しているネットワーク又はノードについての情報を警告として外部に出力することが可能となり、その警告を確認したネットワークの管理者等は、出力された異常原因に関する情報を、異常を解消するために利用することが可能となる。
なお、本実施の形態において、フロー識別異常判定部18によって異常と判定されたフローは、その後段の選択的データ計算部14及び計算結果判定部15によって暗号識別の判定が実施される構成となっているが、これに限られるものではなく、フロー識別異常判定部18は、異常フローに関しては暗号識別の判定が必要がない場合、その異常原因に関する情報を出力するのみとし、その後段における暗号識別の判定は実施しない動作としてもよい。
また、本実施の形態において、フロー識別異常判定部18においては、正常なフロー及び異常なフロー双方について、暗号識別する構成としているが、これに限られるものではなく、異常なフローが識別された場合のみ、暗号識別の判定を実施する構成としてもよい。この場合、ネットワークの管理者等が常時監視していなくても、異常なフローが識別された段階で、自動的に暗号識別の判定が実施され、その結果を管理者等に連絡し対応することができ、暗号トラヒック識別装置1の省力化にも寄与する。
なお、上記のフロー識別異常判定部18は、実施の形態2におけるフロー識別部12の機能を担って設置されると説明したが、フロー識別部12の機能を担うものではなく、別途、暗号トラヒック識別装置1の内部又は外部、かつ、入力インターフェース部11の前段にフローの異常判定機能を備える構成として、フロー識別部12と別にして設けてもよい。
また、本実施の形態においては、フロー識別異常判定部18は、フローに異常があると判定した場合、その異常原因に関する情報を直接、出力インターフェース部16に送信する構成となっているが、これに限られるものではなく、例えば、その異常原因に関する情報が、データ蓄積部13、選択的データ計算部14及び計算結果判定部15を介して出力インターフェース部16に送信される構成としてもよい。いずれにしても、フロー識別異常判定部18が出力した異常原因に関する情報が、出力インターフェース部16に送信される構成であればよい。
実施の形態4.
(暗号トラヒック識別システムの全体構成)
図5は、本発明の実施の形態4に係る暗号トラヒック識別システムの全体構成図である。実施の形態4は、前述の実施の形態2の暗号トラヒック装置を用いたシステムであり、実施の形態2の暗号トラヒック装置以外の構成及び動作を中心に説明する。
図5で示されるように、本実施の形態に係る暗号トラヒック識別システム21は、実施の形態2に係る暗号トラヒック識別装置1及び外部に試験用のトラヒックを送出する試験信号送出装置2を含む構成となっている。なお、この試験信号送出装置2は、暗号トラヒック識別装置1の内部に組み込まれる構成としてもよい。ただし、この場合でも、暗号トラヒック識別装置1及び試験信号送出装置2を含むシステムとして、暗号トラヒック識別システム21と呼ぶものとする。試験信号送出装置と暗号トラヒック識別装置は、ネットワーク的にある程度離れた距離にあることが望ましい。これにより、評価するトラヒックは、自分以外のネットワークから来るので、通過する途中の通信回線の影響を受けるのと同様に、最適値を得る為に流す試験信号も、通信回線の影響を受けた後の状態で受信させることができる。同一筐体に組み込まれる場合は、両者の接続は異なるプロバイダにしたり、複数のネットワーク的に離れた暗号トラヒック識別システムを用意して、両者間で試験信号を送受信するのが好適である。
(暗号トラヒック識別システムの動作)
まず、試験信号送出装置2は、ネットワーク31に対して、試験用のトラヒックを送出する。次に、暗号トラヒック識別装置1は、ネットワーク31を介して、その試験用トラヒックを受信し、その試験用トラヒックに対して、実施の形態2において説明したように、暗号トラヒック識別装置1における最適化実行部17によって、暗号トラヒック識別装置1を構成する各構成要素に対し動的にその動作を変動させることによって、フロー識別、特徴量データ、その評価演算値、及び、その判定閾値について暗号識別の判定に最適なものを選択される。なお、上記で示した構成に対し、外部の試験信号送出装置2と本体である暗号トラヒック識別装置1との間に制御信号が送受信できる機能を実装させることによって、試験信号送出装置2が送出する信号が何であるのかを予め決定し、その送出信号が何であるかを暗号トラヒック識別装置1に送信しておくことによって、暗号形式毎に暗号識別の判定のための最適条件を決定し記憶しておくことができ、より好適である。
(実施の形態4の効果)
以上の構成及び動作によって、ネットワーク環境等毎の暗号識別のための最適条件を正確に決定することができる。
なお、本実施の形態における暗号トラヒック識別システム21は、実施の形態2に係る暗号トラヒック識別装置1を構成要素として備えている旨を説明したが、実施の形態1又は実施の形態3に係る暗号トラヒック識別装置1を備えるものとしてもよい。特に実施の形態1に係る暗号トラヒック識別装置1を備えた場合、外部の試験信号送出装置2が、ネットワーク31を介して、多種の暗号形式によって暗号化された試験用トラヒックを送出することによって、その暗号トラヒック識別装置1がそれらの試験用トラヒックに対して正確な暗号識別が可能かどうかを確認することができ、最適な暗号識別条件を設定することが可能となる。
以下、本発明の暗号トラヒック識別装置及び暗号トラヒック識別システムにおいて、評価演算値を求める方法について説明するが、本発明の評価演算値を求める方法は、下記に制限されるものではない。
実施例1.
図6は、実施の形態1に係る暗号トラヒック識別装置において実施された平文及び暗号文2種類のパケットの到着間隔時間に基づく評価演算値の分布グラフである。
本実施例においては、まず4Mバイトのデータを、平文、SSLによって暗号化されたデータを送受信するプロトコルであるHTTPS、及び、VPN上において暗号文のデータ通信をするためのプロトコルであるPPTPの3つの方法で各々100回転送する。100回実施される各転送セッションで用いられたパケットの長さが仮に平均1000バイトだった場合、1回の転送セッションでは、約4000個のパケットが転送されたことになる。ただし、暗号化や通信プロトコルのオーバヘッドがあるので、実際には4000個ちょうどではなく、4000個よりもやや多い。
1〜100回の転送セッション毎に約4000個のパケットの到着間隔時間を計測し、その平均値を評価演算値として算出し、短い順に整列させて、
(1)平文によって転送した場合のパケットの到着間隔時間(μ秒)の平均値でk番目に短かった値をFtxt(k)
(2)HTTPSによって転送した場合のパケットの到着間隔時間(μ秒)の平均値でk番目に短かった値をFssl(k)
(3)PPTPによって転送した場合のパケットの到着間隔時間(μ秒)の平均値でk番目に短かった値をFpptp(k)
とし、到着間隔時間の平均値をX軸(横軸)、そして、kをY軸(縦軸)で示したものが図6(A)のグラフである。
この図6(A)で示されるように、パケットの到着間隔時間の平均値の分布に関して、平文の通信は、HTTPSによる暗号文通信及びPPTPによる暗号文通信よりも短い傾向は見られるが、平均値が重なっている部分があり、到着間隔時間の平均値が、特定の値であることによって、観測対象であるトラヒックが平文又は暗号文の通信であるとの識別はつきにくいことがわかる。
これに対し、図6(B)は、パケットの到着間隔時間の平均値の分布ではなく、以下の方法によって求めた算出値の分布である。転送するデータの条件は、図6(A)における場合と同様である。
まず、観測対象とするトラヒックにおいて、送受信IPアドレス及び送受信ポート番号に基づいてフロー別に分離する。そして、このフローを構成するパケットの到着間隔時間について短い順に整列し、その整列した到着間隔時間のデータ列のうち短い方から75%番目のデータを評価演算値として使用する。仮に、1回の転送セッションを4000パケットとした場合、その75%番目は、短い方から約3000番目のパケットの到着間隔時間を評価演算値とすることになる。前述のように転送セッションは1〜100回なので、100個分の評価演算値を取得し、さらにこれを、平文、HTTPS及びPPTPによる暗号文の転送について実施し、その評価演算値をX軸(横軸)、そして、評価演算値のデータ列(100個分)の順番数kをY軸(縦軸)としてグラフ化する。このようにして、パケットの到着間隔時間について短い順に整列したデータ列のうち短い方から75%番目のデータについての分布を示したものが図6(B)である。ただし、図6(B)において、グラフを見やすくするための便宜上、平文、HTTPSによって転送する暗号文及びPPTPによって転送する暗号文の評価演算値の各々のデータ列を、さらにその値が短い順に整列して表示してある。
以上のように、パケットの到着間隔時間の平均値ではなく、その到着間隔時間が短い順に整列されたパケットの短い方から75%番目の値を評価演算値としてグラフにすると、観測対象とするトラヒックが平文であるのか、暗号文であるのかを正確に識別でき、さらに暗号文である場合、その暗号形式(本実施例の場合、HTTPSに係る暗号文と、PPTPに係る暗号文)が何であるのかを正確に識別することが可能である。
実施例2.
図7は、実施の形態1に係る暗号トラヒック識別装置において実施された平文及び暗号文2種類のパケット長に基づく評価演算値の分布グラフである。本実施例においても、転送するデータの条件は、実施例1と同様である。
最初に、図7(A)で示される評価演算値の分布について説明する。
まず、1〜100回の転送セッション毎に、仮に全パケット数が4000個として、4000個のパケットのパケット長を計測する。そして、そのパケット長の平均値を評価演算値として算出する。そして、この平均値のデータ列を短い順に整列させ、この評価演算値であるパケット長の平均値をX軸(横軸)、そして、評価演算値のデータ列(100個分)の順番数kをY軸(縦軸)としてグラフ化する。このようにして、パケットのパケット長の平均値について分布を示したのが図7(A)である。
この図7(A)で示されるように、図6(A)で示される分布と同様に、観測対象であるトラヒックが必ずしも平文又は暗号文の通信であるのか、明確に識別できる結果とはならなかった。
次に、図7(B)で示される評価演算値の分布について説明する。
まず、1〜100回の転送セッション毎に同じく仮に全パケット数が4000個として、4000個のパケットのパケット長を計測する。そして、そのパケット長について平均値ではなく分散値を算出し、この分散値を評価演算値とする。そして、この分散値のデータ列を短い順に整列させ、この評価演算値であるパケット長の分散値をX軸(横軸)、そして、評価演算値のデータ列(100個分)の順番数kをY軸(縦軸)としてグラフ化する。このようにして、パケットのパケット長の分散値について分布を示したのが図7(B)である。
この図7(B)で示されるように、パケットのパケット長の平均値ではなく、分散値を評価演算値としてグラフにして、図7(A)と比較した場合、観測対象とするトラヒックが平文であるのか、暗号文であるのかをより明確に識別することができる傾向がある。
そして、図7(C)で示される評価演算値の分布について説明する。
まず、1〜100回の転送セッション毎に同じく仮に全パケット数が4000個として、そのパケットのうちACKパケットを除いたパケットについてのみパケット長を計測する。そして、そのACKパケットを除外したパケットのパケット長の平均値(以下、ACK除外平均値という)を評価演算値として算出する。そして、このACK除外平均値のデータ列を短い順に整列させ、この評価演算値であるACK除外平均値をX軸(横軸)、そして、評価演算値のデータ列(100個分)の順番数kをY軸(縦軸)としてグラフ化する。このようにして、ACK除外平均値について分布を示したのが図7(C)である。
この図7(C)で示されるように、パケットのパケット長の平均値ではなく、ACK除外平均値を評価演算値としてグラフにして、図7(A)と比較した場合、図7(B)と同様に、観測対象とするトラヒックが平文であるのか、暗号文であるのかをより明確に識別することができる。
以上のように、本発明の評価演算値は、上記方法を採用して求めることにより、トラヒックが暗号文であるのか、平文であるのかを容易かつ高い精度で識別するために用いることができるが、評価演算値は、システムの構成によってパケット数等のパラメータを適宜調整して求めることができる。
したがって、上記評価演算値を求めるための各パラメータの設定等はシステムの構成、条件に従って種々変更することができ、特に制限されるものではない。
1 暗号トラヒック識別装置、2 試験信号送出装置、11 入力インターフェース部、12 フロー識別部、13 データ蓄積部、14 選択的データ計算部、15 計算結果判定部、16 出力インターフェース部、17 最適化実行部、18 フロー識別異常判定部、21 暗号トラヒック識別システム、31 ネットワーク。

Claims (19)

  1. トラヒックが入力される入力インターフェース部と、
    前記入力されたトラヒックを少なくとも送信元アドレス及び送信先アドレスに基づいてフロー別に識別するフロー識別部と、
    前記フロー別に前記トラヒックの特徴量データを蓄積するデータ蓄積部と、
    前記特徴量データに基づいて評価演算を実施する選択的データ計算部と、
    その評価演算値に基づいて前記トラヒックが暗号化されているか否か、又は、暗号化されている場合その暗号形式は何であるかの閾値判定を実施する計算結果判定部と、
    その判定結果を出力する出力インターフェース部と、
    を備え、
    前記選択的データ計算部は、前記特徴量データのうち特定のデータを使用して評価演算を実施する
    ことを特徴とする暗号トラヒック識別装置。
  2. 前記特徴量データは、前記トラヒックを構成するパケット毎の前記入力インターフェース部への到着間隔時間を元データとして使用するものである
    ことを特徴とする請求項1記載の暗号トラヒック識別装置。
  3. 前記選択的データ計算部は、前記到着間隔時間のデータ列を短い順に整列し、その短い順に整列した前記到着間隔時間のデータ列のうち、特定の部分の到着間隔時間を前記評価演算値とし、又は、所定の範囲の前記到着間隔時間のデータ列の平均値を前記評価演算値として算出する
    ことを特徴とする請求項2記載の暗号トラヒック識別装置。
  4. 前記選択的データ計算部は、前記短い順に整列した到着間隔時間のデータ列のうち、短い方から75%番目近傍の前記到着間隔時間を前記評価演算値とし、又は、短い方から0%番目〜略75%番目の範囲の前記到着間隔時間のデータ列の平均値を前記評価演算値として算出する
    ことを特徴とする請求項3記載の暗号トラヒック識別装置。
  5. 前記選択的データ計算部は、前記到着間隔時間のデータ列を短い順に整列し、そのデータ列のデータ総数をNとし、aを定数とし、その短い順に整列したデータ列のうち、短い方から0%番目から所定のn%番目までの範囲において、短い方から数えてx番目のデータについて定められる到着間隔時間指標値を次の式によって前記評価演算値として算出する
    ことを特徴とする請求項2記載の暗号トラヒック識別装置。
    到着間隔時間指標値=Σ{(x番目の到着間隔時間)2 /(a+(x/N−(n/100)2)}
  6. 前記選択的データ計算部は、前記所定のn%番目を75%番目とし、前記評価演算値を算出する
    ことを特徴とする請求項5記載の暗号トラヒック識別装置。
  7. 前記特徴量データは、前記トラヒックを構成するパケットのパケット長を元データとして使用するものである
    ことを特徴とする請求項1記載の暗号トラヒック識別装置。
  8. 前記選択的データ計算部は、前記パケット長のデータ列の分散値を前記評価演算値として算出する
    ことを特徴とする請求項7記載の暗号トラヒック識別装置。
  9. 前記選択的データ計算部は、前記トラヒックを構成するパケットのうちACKパケットを除いたパケットのパケット長の平均値を前記評価演算値として算出する
    ことを特徴とする請求項7記載の暗号トラヒック識別装置。
  10. 前記トラヒックが暗号化されているか否かを判定するための判定実施条件を動的に最適化する最適化実行部と、
    を備え、
    該最適化実行部は、暗号化された前記トラヒックの前記特徴量データと暗号化されていない前記トラヒックの前記特徴量データとの差が略最大になるように前記判定実施条件を最適化する
    ことを特徴とする請求項1記載の暗号トラヒック識別装置。
  11. 前記トラヒックが暗号化されているか否かを判定するための判定実施条件を動的に最適化する最適化実行部と、
    を備え、
    該最適化実行部は、暗号化され前記トラヒックの前記特徴量データと暗号化されていない前記トラヒックの前記特徴量データとの重なり部分が略最小となるように前記判定実施条件を最適化する
    ことを特徴とする請求項1記載の暗号トラヒック識別装置。
  12. 前記最適化実行部は、前記判定実施条件を最適化するために、前記フロー識別部に、複数の前記フローの識別方法のうちから適宜切り替えて前記フローの識別を実施させる
    ことを特徴とする請求項10又は請求項11記載の暗号トラヒック識別装置。
  13. 前記最適化実行部は、前記判定実施条件を最適化するために、前記データ蓄積部に、蓄積する前記特徴量データとして、前記トラヒックを構成するパケット毎の前記入力インターフェース部への到着間隔時間、及び、前記トラヒックを構成するパケットのパケット長のうちから適宜切り替えて蓄積させる
    ことを特徴とする請求項10〜請求項12のいずれかに記載の暗号トラヒック識別装置。
  14. 前記最適化実行部は、前記判定実施条件を最適化するための初期設定として、
    前記データ蓄積部に、蓄積する前記特徴量データとして、前記到着間隔時間を設定させ、
    前記選択的データ計算部に、前記到着間隔時間のデータ列のうち、所定の箇所の前記到着間隔時間を前記評価演算値とすることを設定させる
    ことを特徴とする請求項13記載の暗号トラヒック識別装置。
  15. 前記最適化実行部は、前記判定実施条件を最適化するために、前記選択的データ計算部に、前記特徴量データに基づいて評価演算する際、前記特徴量データのデータ列のうち、使用する前記特徴量データ、又は、使用する前記特徴量データのデータ列の範囲を適宜切り替えさせる
    ことを特徴とする請求項10〜請求項14のいずれかに記載の暗号トラヒック識別装置。
  16. 前記最適化実行部は、前記判定実施条件を最適化するために、前記計算結果判定部に、前記選択的データ計算部による評価演算結果に対して前記トラヒックが暗号化されているか否か、又は、暗号化されている場合その暗号形式は何であるかを判定する閾値を適宜切り替えさせる
    ことを特徴とする請求項10〜請求項15のいずれかに記載の暗号トラヒック識別装置。
  17. 前記フロー識別部は、前記トラヒックにおいて異常なフローを検出した場合に、前記異常フローの異常原因に関する情報を生成し、
    前記出力インターフェース部は、前記異常原因に関する情報を出力する
    ことを特徴とする請求項1〜請求項16のいずれかに記載の暗号トラヒック識別装置。
  18. 前記入力インターフェース部の前段に配置されたトラヒック異常検知装置と、
    を備え、
    該トラヒック異常検知装置は、
    前記トラヒックに異常なものを検出した場合に、前記入力インターフェース部に、前記異常なトラヒック及びその異常原因に関する情報を出力し、
    前記出力インターフェース部は、前記異常原因に関する情報を出力する
    ことを特徴とする請求項1〜請求項16のいずれかに記載の暗号トラヒック識別装置。
  19. 請求項1〜請求項18のいずれかに記載の暗号トラヒック識別装置と、
    暗号化されている、又は、暗号化されていない試験用トラヒックを送出する試験信号送出装置と、
    を備え、
    前記試験信号送出装置は、前記暗号トラヒック識別装置内又はその外部に設置され、
    前記暗号トラヒック識別装置は、前記試験信号送出装置から受信する前記試験用トラヒックに対して暗号化されているか否か、又は、暗号化されている場合その暗号形式は何であるかを判定する
    ことを特徴とする暗号トラヒック識別システム。
JP2009048176A 2009-03-02 2009-03-02 暗号トラヒック識別装置及びそれを備える暗号トラヒック識別システム Expired - Fee Related JP5408608B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2009048176A JP5408608B2 (ja) 2009-03-02 2009-03-02 暗号トラヒック識別装置及びそれを備える暗号トラヒック識別システム
US12/659,069 US9021252B2 (en) 2009-03-02 2010-02-24 Encrypted-traffic discrimination device and encrypted-traffic discrimination system
CN2010101261532A CN101827089B (zh) 2009-03-02 2010-02-26 加密通信量识别装置及具有该装置的加密通信量识别系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009048176A JP5408608B2 (ja) 2009-03-02 2009-03-02 暗号トラヒック識別装置及びそれを備える暗号トラヒック識別システム

Publications (3)

Publication Number Publication Date
JP2010204289A true JP2010204289A (ja) 2010-09-16
JP2010204289A5 JP2010204289A5 (ja) 2012-01-26
JP5408608B2 JP5408608B2 (ja) 2014-02-05

Family

ID=42667767

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009048176A Expired - Fee Related JP5408608B2 (ja) 2009-03-02 2009-03-02 暗号トラヒック識別装置及びそれを備える暗号トラヒック識別システム

Country Status (3)

Country Link
US (1) US9021252B2 (ja)
JP (1) JP5408608B2 (ja)
CN (1) CN101827089B (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012035992A1 (ja) 2010-09-13 2012-03-22 日本電気株式会社 衛星航法補強システム及び、衛星航法補強方法

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105406993A (zh) * 2015-10-28 2016-03-16 中国人民解放军信息工程大学 一种加密流的识别方法及装置
DE102015223078A1 (de) * 2015-11-23 2017-05-24 Siemens Aktiengesellschaft Vorrichtung und Verfahren zum Anpassen von Berechtigungsinformationen eines Endgeräts
CN109416894B (zh) * 2016-07-06 2021-12-31 日本电信电话株式会社 秘密计算系统、秘密计算装置、秘密计算方法及记录介质
CN109936512B (zh) 2017-12-15 2021-10-01 华为技术有限公司 流量分析方法、公共服务流量归属方法及相应的计算机系统

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5548646A (en) * 1994-09-15 1996-08-20 Sun Microsystems, Inc. System for signatureless transmission and reception of data packets between computer networks
US7103065B1 (en) * 1998-10-30 2006-09-05 Broadcom Corporation Data packet fragmentation in a cable modem system
US6452950B1 (en) * 1999-01-14 2002-09-17 Telefonaktiebolaget Lm Ericsson (Publ) Adaptive jitter buffering
US6363053B1 (en) * 1999-02-08 2002-03-26 3Com Corporation Method and apparatus for measurement-based conformance testing of service level agreements in networks
US6917588B1 (en) * 2000-05-16 2005-07-12 Nortel Networks Limited Apparatus and method for classifying data packet flows
US7170860B2 (en) * 2000-10-23 2007-01-30 Bbn Technologies Corp. Method and system for passively analyzing communication data based on frequency analysis of encrypted data traffic, and method and system for deterring passive analysis of communication data
US7516485B1 (en) * 2001-05-29 2009-04-07 Nortel Networks Limited Method and apparatus for securely transmitting encrypted data through a firewall and for monitoring user traffic
US7536546B2 (en) * 2001-08-28 2009-05-19 Acme Packet, Inc. System and method for providing encryption for rerouting of real time multi-media flows
US7215770B2 (en) * 2002-01-02 2007-05-08 Sony Corporation System and method for partially encrypted multimedia stream
US7664048B1 (en) * 2003-11-24 2010-02-16 Packeteer, Inc. Heuristic behavior pattern matching of data flows in enhanced network traffic classification
US20050216752A1 (en) * 2004-03-26 2005-09-29 Microsoft Corporation Common scrambling
US8042182B2 (en) * 2004-03-30 2011-10-18 Telecom Italia S.P.A. Method and system for network intrusion detection, related network and computer program product
US7778194B1 (en) * 2004-08-13 2010-08-17 Packeteer, Inc. Examination of connection handshake to enhance classification of encrypted network traffic
JP4679886B2 (ja) 2004-11-24 2011-05-11 Kddi株式会社 暗号化通信特徴抽出装置、暗号化通信特徴抽出プログラムおよび記録媒体
KR100596395B1 (ko) * 2004-12-16 2006-07-04 한국전자통신연구원 IPv4망과 IPv6망이 공존하는 네트워크 상에서암호화된 유해 트래픽에 대응하는 시스템 및 그 방법
US7447768B2 (en) * 2005-01-19 2008-11-04 Facetime Communications, Inc. Categorizing, classifying, and identifying network flows using network and host components
US7506156B2 (en) * 2005-02-01 2009-03-17 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for prioritizing encrypted traffic at an intermediate node in a communications network
US8539064B1 (en) * 2005-09-13 2013-09-17 Aruba Networks, Inc. Analysis of encrypted streaming media traffic
CN100550909C (zh) * 2006-09-30 2009-10-14 华为技术有限公司 一种实现业务感知的系统、方法及设备
US8417942B2 (en) * 2007-08-31 2013-04-09 Cisco Technology, Inc. System and method for identifying encrypted conference media traffic
US9304832B2 (en) * 2008-01-09 2016-04-05 Blue Coat Systems, Inc. Methods and systems for filtering encrypted traffic
US8745373B2 (en) * 2008-04-23 2014-06-03 Dell Products L.P. Systems and methods for applying encryption to network traffic on the basis of policy
US20100138910A1 (en) * 2008-12-03 2010-06-03 Check Point Software Technologies, Ltd. Methods for encrypted-traffic url filtering using address-mapping interception

Non-Patent Citations (15)

* Cited by examiner, † Cited by third party
Title
CSND200700765005; 江川 尚志: '"いよいよ構築が始まったNGNのすべて 第2部第4回ネットワークセキュリティ"' 日経コミュニケーション 第481号, 20070301, p.98-103, 日経BP社 *
CSNG200600583006; 北村 強,静野 隆之,岡部 稔哉: '"パケットタイプ遷移パタン分析を用いたトラヒック識別手法"' 電子情報通信学会技術研究報告 Vol.106,No.41, 20060511, p.25-28, 社団法人電子情報通信学会 *
CSNG200700594004; 和泉 勇治,嵯峨 秀樹,角田 裕,根元 義章: '"異常度の差分を利用した異常原因ホスト特定方式に関する研究"' 電子情報通信学会技術研究報告 Vol.107,No.18, 20070416, p.37-42, 社団法人電子情報通信学会 *
CSNG200900157031; 南浦 優樹,阿多 信吾,中村 信之,中平 佳裕,村田 正幸,岡 育生: '"暗号化・平文トラヒックの差分分析とその特徴にもとづく暗号化トラヒック検出法"' 電子情報通信学会技術研究報告 Vol.108,No.481, 20090305, p.179-184, 社団法人電子情報通信学会 *
CSNH200800039003; 川原 亮一,森 達哉,原田 薫明,上山 憲昭,近藤 毅,石橋 圭介: '"広域異常トラヒック検知・制御システムの研究開発 異常トラヒック測定分析手法"' NTT技術ジャーナル 第20巻,第3号, 20080301, p.21-25, 社団法人電気通信協会 *
CSNJ200710048028; 北村 強,静野 隆之,岡部 稔哉: '"フロー挙動を用いたアプリケーション識別技術"' 電子情報通信学会2007年総合大会講演論文集 通信2,B-6-28, 20070307, p.28, 社団法人電子情報通信学会 *
JPN6013033304; 北村 強,静野 隆之,岡部 稔哉: '"パケットタイプ遷移パタン分析を用いたトラヒック識別手法"' 電子情報通信学会技術研究報告 Vol.106,No.41, 20060511, p.25-28, 社団法人電子情報通信学会 *
JPN6013033305; Maurizio Dusi, Manuel Crotti, Francesco Gringoli, Luca Salgarelli: '"Detection of Encrypted Tunnels Across Network Boundaries"' IEEE International Conference on Communications (ICC 2008) , 20080519, p.1738-1744 *
JPN6013033306; 北村 強,静野 隆之,岡部 稔哉: '"フロー挙動を用いたアプリケーション識別技術"' 電子情報通信学会2007年総合大会講演論文集 通信2,B-6-28, 20070307, p.28, 社団法人電子情報通信学会 *
JPN6013033307; 川原 亮一,森 達哉,原田 薫明,上山 憲昭,近藤 毅,石橋 圭介: '"広域異常トラヒック検知・制御システムの研究開発 異常トラヒック測定分析手法"' NTT技術ジャーナル 第20巻,第3号, 20080301, p.21-25, 社団法人電気通信協会 *
JPN6013033308; 南浦 優樹,阿多 信吾,中村 信之,中平 佳裕,村田 正幸,岡 育生: '"暗号化・平文トラヒックの差分分析とその特徴にもとづく暗号化トラヒック検出法"' 電子情報通信学会技術研究報告 Vol.108,No.481, 20090305, p.179-184, 社団法人電子情報通信学会 *
JPN6013033309; 江川 尚志: '"いよいよ構築が始まったNGNのすべて 第2部第4回ネットワークセキュリティ"' 日経コミュニケーション 第481号, 20070301, p.98-103, 日経BP社 *
JPN6013033310; 和泉 勇治,嵯峨 秀樹,角田 裕,根元 義章: '"異常度の差分を利用した異常原因ホスト特定方式に関する研究"' 電子情報通信学会技術研究報告 Vol.107,No.18, 20070416, p.37-42, 社団法人電子情報通信学会 *
JPN6013033311; Charles V Wright, Fabian Monrose, Gerald M Masson: '"Using Visual Motifs to Classify Encrypted Traffic"' Proceedings of the 3rd international workshop on Visualization for computer security (VizSEC '06) , 20061103, p.41-50, [online] *
JPN7013002537; 衛藤 将史,薗田 光太郎,吉岡 克成,井上 大介,中尾 康二: '"トラフィック分析エンジンSPADEにおける特徴点抽出手法の導入と評価"' 2009年暗号と情報セキュリティシンポジウム(SCIS2009) 2E1 ネットワークセキュリティ(1), 20090120, 2E1-1, 2009年暗号と情報セキュリティシンポジウム事務局 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012035992A1 (ja) 2010-09-13 2012-03-22 日本電気株式会社 衛星航法補強システム及び、衛星航法補強方法

Also Published As

Publication number Publication date
US20100223455A1 (en) 2010-09-02
JP5408608B2 (ja) 2014-02-05
US9021252B2 (en) 2015-04-28
CN101827089B (zh) 2013-10-30
CN101827089A (zh) 2010-09-08

Similar Documents

Publication Publication Date Title
JP5812282B2 (ja) トラヒック監視装置
EP3145130B1 (en) Network system, communication control method, and communication control program
JP5195953B2 (ja) 異常リンク推定装置、異常リンク推定方法、プログラムおよび異常リンク推定システム
Xue et al. Towards detecting target link flooding attack
US8687507B2 (en) Method, arrangement and system for monitoring a data path in a communication network
US11979326B2 (en) Tool port throttling at a network visibility node
CN110417674B (zh) 一种数据流量分担方法及装置
JP5408608B2 (ja) 暗号トラヒック識別装置及びそれを備える暗号トラヒック識別システム
EP3369213B1 (en) Performance measurement in a packet-switched communication network
JP6495050B2 (ja) コンピュータ実装システム、及び、ネットワーク評価を利用したセキュアパスの選択方法
CN106302001B (zh) 数据通信网络中业务故障检测方法、相关装置及系统
WO2012071851A1 (zh) 根据网络抖动调整bfd发送间隔的方法及装置
US20160248652A1 (en) System and method for classifying and managing applications over compressed or encrypted traffic
US20110141899A1 (en) Network access apparatus and method for monitoring and controlling traffic using operation, administration, and maintenance (oam) packet in internet protocol (ip) network
KR20170004052A (ko) 네트워크 트래픽 상태에 기반한 대역폭 관리 방법 및 시스템
JP5028202B2 (ja) 制御ネットワークシステム
JP4222567B2 (ja) 輻輳制御方法および輻輳制御装置
US20220217179A1 (en) Methods and devices for measuring reputation in a communication network
JP3953999B2 (ja) 輻輳検知装置、tcpトラヒックの輻輳検知方法およびプログラム
JP4867848B2 (ja) オーバレイトラヒック検出システム及びトラヒック監視・制御システム
JP4282556B2 (ja) フローレベル通信品質管理装置と方法およびプログラム
KR100870182B1 (ko) L2/l3 기반 라우터쌍의 플로우 별 트래픽 양 추정시스템 및 방법
JP5829183B2 (ja) 経路制御プロトコルに基づいて障害ノード装置又は障害リンクをリアルタイムに検出する方法、ノード装置及びプログラム
US20230009602A1 (en) Path Assurance in Shared Transport
Manzanares‐López et al. An INT‐based packet loss monitoring system for data center networks implementing Fine‐Grained Multi‐Path routing

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111202

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20111202

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130625

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130709

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130904

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131001

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131029

R150 Certificate of patent or registration of utility model

Ref document number: 5408608

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313115

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313115

R371 Transfer withdrawn

Free format text: JAPANESE INTERMEDIATE CODE: R371

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313115

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

R370 Written measure of declining of transfer procedure

Free format text: JAPANESE INTERMEDIATE CODE: R370

LAPS Cancellation because of no payment of annual fees