JP2010204289A - 暗号トラヒック識別装置及びそれを備える暗号トラヒック識別システム - Google Patents
暗号トラヒック識別装置及びそれを備える暗号トラヒック識別システム Download PDFInfo
- Publication number
- JP2010204289A JP2010204289A JP2009048176A JP2009048176A JP2010204289A JP 2010204289 A JP2010204289 A JP 2010204289A JP 2009048176 A JP2009048176 A JP 2009048176A JP 2009048176 A JP2009048176 A JP 2009048176A JP 2010204289 A JP2010204289 A JP 2010204289A
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- data
- encrypted
- unit
- identification device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
Abstract
【解決手段】暗号トラヒック識別装置1は、トラヒックを入力する入力インターフェース部11と、フロー別に識別するフロー識別部12と、特徴量データを蓄積するデータ蓄積部13と、特徴量データに基づいて評価演算を実施する選択的データ計算部14と、その評価演算値に基づいてトラヒックが暗号化されているか否か、又は、暗号化されている場合、その暗号形式は何であるかの閾値判定を実施する計算結果判定部15と、上記の判定結果を外部に出力する出力インターフェース部16を備える。
【選択図】図1
Description
(1)通信セッションの発生間隔
(2)通信セッション中のパケット発生間隔
(3)通信セッション中のパケットサイズ
(4)通信セッション中の総パケット数
(5)通信セッション中のパケット送受信方向の関係
(6)通信セッション中のパケット送受信方向比
(7)通信セッション中のプロトコル占有率
(8)通信セッション開始時の各パケットサイズ
(9)通信セッション開始時の総パケット数
(10)通信セッション開始時の総データサイズ
(11)長期間のSource/Destination IP分布
(12)長期間のDestination Port分布
(13)長期間のDNSサーバーへの問合せの有無
(14)通信アプリケーション側から何も通信していない時に送信されるデータの有無
を挙げている(例えば、特許文献1参照)。
また、本発明に係るシステムは上記暗号トラヒック識別装置を備えるので、従来技術と比較して容易かつ高い精度で暗号識別の判定、暗号形式の識別が可能になり、これら暗号識別に用いるデータ量の削減を図ることができる。
(暗号トラヒック識別装置の全体構成)
図1は、本発明の実施の形態1に係る暗号トラヒック識別装置の全体構成図である。
図1において、入力インターフェース部11は、観測対象とするトラヒックを入力する。その入力インターフェース部11は、入力されたトラヒックをこのトラヒックが有する送信元IPアドレス及び送信先IPアドレス等に基づいてフロー別に識別するフロー識別部12に接続されている。ここで、フローとは、送信元アドレス及び送信先アドレスが同じであるパケットをひとまとめにしたデータを表す。また、パケットとは、トラヒック又はフローを構成する送受信データの構成単位である。フロー識別部12は、フロー識別部12で識別されたフローにおける特徴量データをそのフロー別に蓄積するデータ蓄積部13に接続されている。このデータ蓄積部13は、上記の特徴量データに基づいて評価演算を実施する選択的データ計算部14に接続されている。この選択的データ計算部14は、上記の評価演算値に基づいてトラヒックが暗号化されているか否か、又は、暗号化されている場合、その暗号形式は何であるかの閾値判定を実施する計算結果判定部15に接続されている。そして、この計算結果判定部15は、上記の判定結果を外部に出力する出力インターフェース部16に接続されている。暗号トラヒック識別装置1は、以上のような、入力インターフェース部11、フロー識別部12、データ蓄積部13、選択的データ計算部14、計算結果判定部15及び出力インターフェース部16を含む構成となっている。なお、暗号トラヒック識別装置1を構成する上記の構成要素は、物理的に独立したユニットであってもよいし、暗号トラヒック識別装置1の制御装置(図示せず)が備える概念的な機能を表すものとしてもよいし、上記各構成要件11〜16が異なる装置としてそれぞれ接続されていてもよい。
図2は、本発明の実施の形態1に係る暗号トラヒック識別装置の暗号識別動作を示すフローチャートである。
(S11)
入力インターフェース部11は、外部のLAN又はインターネット等のネットワークにおいて暗号識別の観測対象となる場所から、そのネットワーク上を通信しているトラヒックを取り出し入力する。例えば、入力インターフェース部11は、タップ装置又はルーター若しくはスイッチングハブ等に設置されているミラーポートからネットワーク上を通信しているトラヒックを取り出し入力する。
(S12)
入力インターフェース部11は、入力したトラヒックをフロー識別部12に送信する。
(S13)
フロー識別部12は、受信したトラヒックが内包する送信元IPアドレス及び送信先IPアドレス、並びに、送信元ポート番号及び送信先ポート番号に基づいてトラヒックをフロー別に識別する。
(S14)
フロー識別部12は、識別したフローをデータ蓄積部13に送信する。
(S15)
データ蓄積部13は、受信したフローに基づいてそのトラヒックに係る特徴量データを取得しフロー別に蓄積する。このフロー別に特徴量データを蓄積する方法としては、物理的に分離した記憶媒体にそれぞれ格納する構成としてもよく、同一の記憶媒体に時系列に蓄積し、どのデータがどのフローに属するものか識別可能なように、識別情報を付加する構成としてもよく、その他、公知の手段によってフロー別にトラヒックに係る特徴量データを取得することができる構成とすればよい。本実施の形態においては、トラヒックに係る特徴量データは、そのトラヒックを構成するパケットの到着間隔時間であるものとする。
(S16)
選択的データ計算部14は、データ蓄積部13において全てのフロー毎に蓄積された特徴量データの中から、暗号識別の観測対象となる特定のフローにアクセスし、そのフローにおける特徴量データのデータ列の中から、特定の特徴量データのデータ列を選択して評価演算を実施する。本実施の形態では、以下の方法で評価演算値を求める。即ち、選択的データ計算部14は、上記のようにアクセスした特定の特徴量データであるパケットの到着間隔時間のデータ列を、その到着間隔時間が短い順に整列し、所定の部分(例えば、短い方からデータ列総数の75%番目)に該当する到着間隔時間のデータを取得して評価演算値とする。
(S17)
選択的データ計算部14は、上記の方法によって求めた評価演算値を、計算結果判定部15に送信する。
(S18)
計算結果判定部15は、受信した評価演算値に対して、所定の閾値に基づいて閾値判定を実施し、暗号識別の観測対象であるトラヒックが、暗号化された暗号文であるのか、暗号化されていない平文であるのかを判定し、さらに、暗号文である場合、その暗号形式は何であるのかを判定する。
(S19)
計算結果判定部15は、ステップS18における暗号識別の判定結果を出力インターフェース部16に送信する。
(S20)
出力インターフェース部16は、受信した暗号識別の判定結果を外部に出力する。
以上のような構成及び動作によって、従来技術と比較して精度の高い暗号文と平文の暗号識別の判定が可能となる。さらに、暗号文である場合、その暗号形式の識別も可能となる。
また、本実施の形態においては、暗号トラヒック識別装置1は単数である構成としているが、暗号トラヒック識別装置1を複数設置し入力されるトラヒックを分散させる構成としてもよく、又は、トラヒックのすべてを入力するのではなく、トラヒックを所定周期でサンプリングする構成としてよい。この場合、暗号トラヒック識別装置1が、超高速回線で構成されるネットワークに接続され、そのネットワークから入力インターフェース部11にトラヒックが入力されるようなネットワーク環境である場合等に、暗号トラヒック識別装置1の処理負荷を軽減することができる。
また、選択的データ計算部14による評価演算としては、上記で示したものに限られるものではなく、例えば、上記のように到着間隔時間の短い順に整列したデータ列のうち、所定の範囲のデータ(例えば、短い方からデータ列総数の0%番目〜75%番目のデータ)の平均値を演算し、その平均値を評価演算値とするものとしてもよい。この方法のようにデータの平均値をとることによって、上記のステップS16で示した75%番目に該当する到着間隔時間のデータが異常なデータ等となった場合に暗号識別の判定不良が発生することを回避することができる。
あるいは、選択的データ計算部14は、下記の式(1)によって到着間隔時間指標値を算出し、この到着間隔時間指標値を評価演算値とすることもできる。
・・・(1)
N:データ列の総数
x:整列されたデータ列の先頭データからの順番数
a:所定の定数(正の定数。75%番目の影響の強さを規定する。)
また、データ蓄積部13は、上記の説明においては、トラヒックに係る特徴量データとして、そのトラヒックを構成するパケットの到着間隔時間を取得するものとしたが、これに限られるものではなく、例えば、フローを構成するパケットのパケット長を特徴量データとして蓄積するものとしてもよい。この場合、選択的データ計算部14は、データ蓄積部13に蓄積されている特徴量データであるパケット長のデータ列にアクセスし、そのパケット長のデータ列の分散値を算出して、その分散値を評価演算値としてもよい。
そして、データ蓄積部13は、例えば、受信したフローを構成するパケットにおいてACKパケットを除いたパケットのパケット長を特徴量データとして蓄積するものとしてもよい。この場合、選択的データ計算部14は、データ蓄積部13に蓄積されている特徴量データであるACKパケットを除いたパケットのパケット長のデータ列にアクセスし、そのパケット長のデータ列の平均値を算出して、その平均値を評価演算値としてもよい。
(暗号トラヒック識別装置の全体構成)
図3は、本発明の実施の形態2に係る暗号トラヒック識別装置の全体構成図である。前述の実施の形態1と相違する構成及び動作を中心に説明する。
図3で示されるように、本実施の形態に係る暗号トラヒック識別装置1は、実施の形態1に係る暗号トラヒック識別装置1に、最適化実行部17が追加されて構成されている。この最適化実行部17は、フロー識別部12、データ蓄積部13、選択的データ計算部14及び計算結果判定部15に接続されている。なお、この最適化実行部17は、物理的に独立したユニットであってもよいし、暗号トラヒック識別装置1の制御装置(図示せず)が備える概念的な機能を表すものとしてもよい。
最適化実行部17は、データ蓄積部13に蓄積されているフロー別の特徴量データにアクセスし、その特徴量データに基づいて、以下で説明するように、暗号トラヒック識別装置1を構成する各構成要素に対し動的にその動作を変動させる。
以上の構成及び動作のように、最適化実行部17によって、暗号トラヒック識別装置1を構成する各構成要素に対し動的にその動作の変動を実施させることによって、ネットワーク環境等に依存せず、フロー識別、特徴量データ、その評価演算値、及び、その判定閾値について暗号識別の判定に最適なものを動的に選択し決定することができる。
(暗号トラヒック識別装置の全体構成)
図4は、本発明の実施の形態3に係る暗号トラヒック識別装置の全体構成図である。前述の実施の形態2と相違する構成及び動作を中心に説明する。
図4で示されるように、本実施の形態に係る暗号トラヒック識別装置1は、実施の形態2に係る暗号トラヒック識別装置1のフロー識別部12の代わりに、フロー識別異常判定部18が設置されている。なお、実施の形態3においては、フロー識別異常判定部18は前述のフロー識別部12の機能をも担うものである。
外部のLAN及びインターネット等のネットワークにおいて暗号識別の観測対象となる場所から、トラヒックを入力した入力インターフェース部11は、フロー識別異常判定部18にそのトラヒックを送信する。そのトラヒックを受信したフロー識別異常判定部18は、実施の形態2におけるフロー識別部12と同様にフロー別に識別するのと同時に、そのフローの異常判定を実施する。そして、フロー識別異常判定部18は、そのフローが異常であると判定した場合、その異常原因に関する情報、例えば、その異常フローがどのネットワークから送出されたものであるのか、又は、そのネットワーク上のどのノードから送信されたものであるのか等の情報を出力インターフェース部16に送信する。また、フロー識別異常判定部18は、その異常フローをデータ蓄積部13に送信する。その後、異常フローについては、実施の形態2と同様に暗号識別の判定が実施される。そして、出力インターフェース部16は、受信した異常原因に関する情報を外部に出力する。
以上のような構成及び動作によって、異常なフローを出力しているネットワーク又はノードについての情報を警告として外部に出力することが可能となり、その警告を確認したネットワークの管理者等は、出力された異常原因に関する情報を、異常を解消するために利用することが可能となる。
また、本実施の形態において、フロー識別異常判定部18においては、正常なフロー及び異常なフロー双方について、暗号識別する構成としているが、これに限られるものではなく、異常なフローが識別された場合のみ、暗号識別の判定を実施する構成としてもよい。この場合、ネットワークの管理者等が常時監視していなくても、異常なフローが識別された段階で、自動的に暗号識別の判定が実施され、その結果を管理者等に連絡し対応することができ、暗号トラヒック識別装置1の省力化にも寄与する。
なお、上記のフロー識別異常判定部18は、実施の形態2におけるフロー識別部12の機能を担って設置されると説明したが、フロー識別部12の機能を担うものではなく、別途、暗号トラヒック識別装置1の内部又は外部、かつ、入力インターフェース部11の前段にフローの異常判定機能を備える構成として、フロー識別部12と別にして設けてもよい。
また、本実施の形態においては、フロー識別異常判定部18は、フローに異常があると判定した場合、その異常原因に関する情報を直接、出力インターフェース部16に送信する構成となっているが、これに限られるものではなく、例えば、その異常原因に関する情報が、データ蓄積部13、選択的データ計算部14及び計算結果判定部15を介して出力インターフェース部16に送信される構成としてもよい。いずれにしても、フロー識別異常判定部18が出力した異常原因に関する情報が、出力インターフェース部16に送信される構成であればよい。
(暗号トラヒック識別システムの全体構成)
図5は、本発明の実施の形態4に係る暗号トラヒック識別システムの全体構成図である。実施の形態4は、前述の実施の形態2の暗号トラヒック装置を用いたシステムであり、実施の形態2の暗号トラヒック装置以外の構成及び動作を中心に説明する。
図5で示されるように、本実施の形態に係る暗号トラヒック識別システム21は、実施の形態2に係る暗号トラヒック識別装置1及び外部に試験用のトラヒックを送出する試験信号送出装置2を含む構成となっている。なお、この試験信号送出装置2は、暗号トラヒック識別装置1の内部に組み込まれる構成としてもよい。ただし、この場合でも、暗号トラヒック識別装置1及び試験信号送出装置2を含むシステムとして、暗号トラヒック識別システム21と呼ぶものとする。試験信号送出装置と暗号トラヒック識別装置は、ネットワーク的にある程度離れた距離にあることが望ましい。これにより、評価するトラヒックは、自分以外のネットワークから来るので、通過する途中の通信回線の影響を受けるのと同様に、最適値を得る為に流す試験信号も、通信回線の影響を受けた後の状態で受信させることができる。同一筐体に組み込まれる場合は、両者の接続は異なるプロバイダにしたり、複数のネットワーク的に離れた暗号トラヒック識別システムを用意して、両者間で試験信号を送受信するのが好適である。
まず、試験信号送出装置2は、ネットワーク31に対して、試験用のトラヒックを送出する。次に、暗号トラヒック識別装置1は、ネットワーク31を介して、その試験用トラヒックを受信し、その試験用トラヒックに対して、実施の形態2において説明したように、暗号トラヒック識別装置1における最適化実行部17によって、暗号トラヒック識別装置1を構成する各構成要素に対し動的にその動作を変動させることによって、フロー識別、特徴量データ、その評価演算値、及び、その判定閾値について暗号識別の判定に最適なものを選択される。なお、上記で示した構成に対し、外部の試験信号送出装置2と本体である暗号トラヒック識別装置1との間に制御信号が送受信できる機能を実装させることによって、試験信号送出装置2が送出する信号が何であるのかを予め決定し、その送出信号が何であるかを暗号トラヒック識別装置1に送信しておくことによって、暗号形式毎に暗号識別の判定のための最適条件を決定し記憶しておくことができ、より好適である。
以上の構成及び動作によって、ネットワーク環境等毎の暗号識別のための最適条件を正確に決定することができる。
実施例1.
図6は、実施の形態1に係る暗号トラヒック識別装置において実施された平文及び暗号文2種類のパケットの到着間隔時間に基づく評価演算値の分布グラフである。
本実施例においては、まず4Mバイトのデータを、平文、SSLによって暗号化されたデータを送受信するプロトコルであるHTTPS、及び、VPN上において暗号文のデータ通信をするためのプロトコルであるPPTPの3つの方法で各々100回転送する。100回実施される各転送セッションで用いられたパケットの長さが仮に平均1000バイトだった場合、1回の転送セッションでは、約4000個のパケットが転送されたことになる。ただし、暗号化や通信プロトコルのオーバヘッドがあるので、実際には4000個ちょうどではなく、4000個よりもやや多い。
(1)平文によって転送した場合のパケットの到着間隔時間(μ秒)の平均値でk番目に短かった値をFtxt(k)
(2)HTTPSによって転送した場合のパケットの到着間隔時間(μ秒)の平均値でk番目に短かった値をFssl(k)
(3)PPTPによって転送した場合のパケットの到着間隔時間(μ秒)の平均値でk番目に短かった値をFpptp(k)
とし、到着間隔時間の平均値をX軸(横軸)、そして、kをY軸(縦軸)で示したものが図6(A)のグラフである。
まず、観測対象とするトラヒックにおいて、送受信IPアドレス及び送受信ポート番号に基づいてフロー別に分離する。そして、このフローを構成するパケットの到着間隔時間について短い順に整列し、その整列した到着間隔時間のデータ列のうち短い方から75%番目のデータを評価演算値として使用する。仮に、1回の転送セッションを4000パケットとした場合、その75%番目は、短い方から約3000番目のパケットの到着間隔時間を評価演算値とすることになる。前述のように転送セッションは1〜100回なので、100個分の評価演算値を取得し、さらにこれを、平文、HTTPS及びPPTPによる暗号文の転送について実施し、その評価演算値をX軸(横軸)、そして、評価演算値のデータ列(100個分)の順番数kをY軸(縦軸)としてグラフ化する。このようにして、パケットの到着間隔時間について短い順に整列したデータ列のうち短い方から75%番目のデータについての分布を示したものが図6(B)である。ただし、図6(B)において、グラフを見やすくするための便宜上、平文、HTTPSによって転送する暗号文及びPPTPによって転送する暗号文の評価演算値の各々のデータ列を、さらにその値が短い順に整列して表示してある。
図7は、実施の形態1に係る暗号トラヒック識別装置において実施された平文及び暗号文2種類のパケット長に基づく評価演算値の分布グラフである。本実施例においても、転送するデータの条件は、実施例1と同様である。
まず、1〜100回の転送セッション毎に、仮に全パケット数が4000個として、4000個のパケットのパケット長を計測する。そして、そのパケット長の平均値を評価演算値として算出する。そして、この平均値のデータ列を短い順に整列させ、この評価演算値であるパケット長の平均値をX軸(横軸)、そして、評価演算値のデータ列(100個分)の順番数kをY軸(縦軸)としてグラフ化する。このようにして、パケットのパケット長の平均値について分布を示したのが図7(A)である。
まず、1〜100回の転送セッション毎に同じく仮に全パケット数が4000個として、4000個のパケットのパケット長を計測する。そして、そのパケット長について平均値ではなく分散値を算出し、この分散値を評価演算値とする。そして、この分散値のデータ列を短い順に整列させ、この評価演算値であるパケット長の分散値をX軸(横軸)、そして、評価演算値のデータ列(100個分)の順番数kをY軸(縦軸)としてグラフ化する。このようにして、パケットのパケット長の分散値について分布を示したのが図7(B)である。
まず、1〜100回の転送セッション毎に同じく仮に全パケット数が4000個として、そのパケットのうちACKパケットを除いたパケットについてのみパケット長を計測する。そして、そのACKパケットを除外したパケットのパケット長の平均値(以下、ACK除外平均値という)を評価演算値として算出する。そして、このACK除外平均値のデータ列を短い順に整列させ、この評価演算値であるACK除外平均値をX軸(横軸)、そして、評価演算値のデータ列(100個分)の順番数kをY軸(縦軸)としてグラフ化する。このようにして、ACK除外平均値について分布を示したのが図7(C)である。
したがって、上記評価演算値を求めるための各パラメータの設定等はシステムの構成、条件に従って種々変更することができ、特に制限されるものではない。
Claims (19)
- トラヒックが入力される入力インターフェース部と、
前記入力されたトラヒックを少なくとも送信元アドレス及び送信先アドレスに基づいてフロー別に識別するフロー識別部と、
前記フロー別に前記トラヒックの特徴量データを蓄積するデータ蓄積部と、
前記特徴量データに基づいて評価演算を実施する選択的データ計算部と、
その評価演算値に基づいて前記トラヒックが暗号化されているか否か、又は、暗号化されている場合その暗号形式は何であるかの閾値判定を実施する計算結果判定部と、
その判定結果を出力する出力インターフェース部と、
を備え、
前記選択的データ計算部は、前記特徴量データのうち特定のデータを使用して評価演算を実施する
ことを特徴とする暗号トラヒック識別装置。 - 前記特徴量データは、前記トラヒックを構成するパケット毎の前記入力インターフェース部への到着間隔時間を元データとして使用するものである
ことを特徴とする請求項1記載の暗号トラヒック識別装置。 - 前記選択的データ計算部は、前記到着間隔時間のデータ列を短い順に整列し、その短い順に整列した前記到着間隔時間のデータ列のうち、特定の部分の到着間隔時間を前記評価演算値とし、又は、所定の範囲の前記到着間隔時間のデータ列の平均値を前記評価演算値として算出する
ことを特徴とする請求項2記載の暗号トラヒック識別装置。 - 前記選択的データ計算部は、前記短い順に整列した到着間隔時間のデータ列のうち、短い方から75%番目近傍の前記到着間隔時間を前記評価演算値とし、又は、短い方から0%番目〜略75%番目の範囲の前記到着間隔時間のデータ列の平均値を前記評価演算値として算出する
ことを特徴とする請求項3記載の暗号トラヒック識別装置。 - 前記選択的データ計算部は、前記到着間隔時間のデータ列を短い順に整列し、そのデータ列のデータ総数をNとし、aを定数とし、その短い順に整列したデータ列のうち、短い方から0%番目から所定のn%番目までの範囲において、短い方から数えてx番目のデータについて定められる到着間隔時間指標値を次の式によって前記評価演算値として算出する
ことを特徴とする請求項2記載の暗号トラヒック識別装置。
到着間隔時間指標値=Σ{(x番目の到着間隔時間)2 /(a+(x/N−(n/100)2)} - 前記選択的データ計算部は、前記所定のn%番目を75%番目とし、前記評価演算値を算出する
ことを特徴とする請求項5記載の暗号トラヒック識別装置。 - 前記特徴量データは、前記トラヒックを構成するパケットのパケット長を元データとして使用するものである
ことを特徴とする請求項1記載の暗号トラヒック識別装置。 - 前記選択的データ計算部は、前記パケット長のデータ列の分散値を前記評価演算値として算出する
ことを特徴とする請求項7記載の暗号トラヒック識別装置。 - 前記選択的データ計算部は、前記トラヒックを構成するパケットのうちACKパケットを除いたパケットのパケット長の平均値を前記評価演算値として算出する
ことを特徴とする請求項7記載の暗号トラヒック識別装置。 - 前記トラヒックが暗号化されているか否かを判定するための判定実施条件を動的に最適化する最適化実行部と、
を備え、
該最適化実行部は、暗号化された前記トラヒックの前記特徴量データと暗号化されていない前記トラヒックの前記特徴量データとの差が略最大になるように前記判定実施条件を最適化する
ことを特徴とする請求項1記載の暗号トラヒック識別装置。 - 前記トラヒックが暗号化されているか否かを判定するための判定実施条件を動的に最適化する最適化実行部と、
を備え、
該最適化実行部は、暗号化され前記トラヒックの前記特徴量データと暗号化されていない前記トラヒックの前記特徴量データとの重なり部分が略最小となるように前記判定実施条件を最適化する
ことを特徴とする請求項1記載の暗号トラヒック識別装置。 - 前記最適化実行部は、前記判定実施条件を最適化するために、前記フロー識別部に、複数の前記フローの識別方法のうちから適宜切り替えて前記フローの識別を実施させる
ことを特徴とする請求項10又は請求項11記載の暗号トラヒック識別装置。 - 前記最適化実行部は、前記判定実施条件を最適化するために、前記データ蓄積部に、蓄積する前記特徴量データとして、前記トラヒックを構成するパケット毎の前記入力インターフェース部への到着間隔時間、及び、前記トラヒックを構成するパケットのパケット長のうちから適宜切り替えて蓄積させる
ことを特徴とする請求項10〜請求項12のいずれかに記載の暗号トラヒック識別装置。 - 前記最適化実行部は、前記判定実施条件を最適化するための初期設定として、
前記データ蓄積部に、蓄積する前記特徴量データとして、前記到着間隔時間を設定させ、
前記選択的データ計算部に、前記到着間隔時間のデータ列のうち、所定の箇所の前記到着間隔時間を前記評価演算値とすることを設定させる
ことを特徴とする請求項13記載の暗号トラヒック識別装置。 - 前記最適化実行部は、前記判定実施条件を最適化するために、前記選択的データ計算部に、前記特徴量データに基づいて評価演算する際、前記特徴量データのデータ列のうち、使用する前記特徴量データ、又は、使用する前記特徴量データのデータ列の範囲を適宜切り替えさせる
ことを特徴とする請求項10〜請求項14のいずれかに記載の暗号トラヒック識別装置。 - 前記最適化実行部は、前記判定実施条件を最適化するために、前記計算結果判定部に、前記選択的データ計算部による評価演算結果に対して前記トラヒックが暗号化されているか否か、又は、暗号化されている場合その暗号形式は何であるかを判定する閾値を適宜切り替えさせる
ことを特徴とする請求項10〜請求項15のいずれかに記載の暗号トラヒック識別装置。 - 前記フロー識別部は、前記トラヒックにおいて異常なフローを検出した場合に、前記異常フローの異常原因に関する情報を生成し、
前記出力インターフェース部は、前記異常原因に関する情報を出力する
ことを特徴とする請求項1〜請求項16のいずれかに記載の暗号トラヒック識別装置。 - 前記入力インターフェース部の前段に配置されたトラヒック異常検知装置と、
を備え、
該トラヒック異常検知装置は、
前記トラヒックに異常なものを検出した場合に、前記入力インターフェース部に、前記異常なトラヒック及びその異常原因に関する情報を出力し、
前記出力インターフェース部は、前記異常原因に関する情報を出力する
ことを特徴とする請求項1〜請求項16のいずれかに記載の暗号トラヒック識別装置。 - 請求項1〜請求項18のいずれかに記載の暗号トラヒック識別装置と、
暗号化されている、又は、暗号化されていない試験用トラヒックを送出する試験信号送出装置と、
を備え、
前記試験信号送出装置は、前記暗号トラヒック識別装置内又はその外部に設置され、
前記暗号トラヒック識別装置は、前記試験信号送出装置から受信する前記試験用トラヒックに対して暗号化されているか否か、又は、暗号化されている場合その暗号形式は何であるかを判定する
ことを特徴とする暗号トラヒック識別システム。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009048176A JP5408608B2 (ja) | 2009-03-02 | 2009-03-02 | 暗号トラヒック識別装置及びそれを備える暗号トラヒック識別システム |
US12/659,069 US9021252B2 (en) | 2009-03-02 | 2010-02-24 | Encrypted-traffic discrimination device and encrypted-traffic discrimination system |
CN2010101261532A CN101827089B (zh) | 2009-03-02 | 2010-02-26 | 加密通信量识别装置及具有该装置的加密通信量识别系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009048176A JP5408608B2 (ja) | 2009-03-02 | 2009-03-02 | 暗号トラヒック識別装置及びそれを備える暗号トラヒック識別システム |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2010204289A true JP2010204289A (ja) | 2010-09-16 |
JP2010204289A5 JP2010204289A5 (ja) | 2012-01-26 |
JP5408608B2 JP5408608B2 (ja) | 2014-02-05 |
Family
ID=42667767
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009048176A Expired - Fee Related JP5408608B2 (ja) | 2009-03-02 | 2009-03-02 | 暗号トラヒック識別装置及びそれを備える暗号トラヒック識別システム |
Country Status (3)
Country | Link |
---|---|
US (1) | US9021252B2 (ja) |
JP (1) | JP5408608B2 (ja) |
CN (1) | CN101827089B (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012035992A1 (ja) | 2010-09-13 | 2012-03-22 | 日本電気株式会社 | 衛星航法補強システム及び、衛星航法補強方法 |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105406993A (zh) * | 2015-10-28 | 2016-03-16 | 中国人民解放军信息工程大学 | 一种加密流的识别方法及装置 |
DE102015223078A1 (de) * | 2015-11-23 | 2017-05-24 | Siemens Aktiengesellschaft | Vorrichtung und Verfahren zum Anpassen von Berechtigungsinformationen eines Endgeräts |
CN109416894B (zh) * | 2016-07-06 | 2021-12-31 | 日本电信电话株式会社 | 秘密计算系统、秘密计算装置、秘密计算方法及记录介质 |
CN109936512B (zh) | 2017-12-15 | 2021-10-01 | 华为技术有限公司 | 流量分析方法、公共服务流量归属方法及相应的计算机系统 |
Family Cites Families (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5548646A (en) * | 1994-09-15 | 1996-08-20 | Sun Microsystems, Inc. | System for signatureless transmission and reception of data packets between computer networks |
US7103065B1 (en) * | 1998-10-30 | 2006-09-05 | Broadcom Corporation | Data packet fragmentation in a cable modem system |
US6452950B1 (en) * | 1999-01-14 | 2002-09-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Adaptive jitter buffering |
US6363053B1 (en) * | 1999-02-08 | 2002-03-26 | 3Com Corporation | Method and apparatus for measurement-based conformance testing of service level agreements in networks |
US6917588B1 (en) * | 2000-05-16 | 2005-07-12 | Nortel Networks Limited | Apparatus and method for classifying data packet flows |
US7170860B2 (en) * | 2000-10-23 | 2007-01-30 | Bbn Technologies Corp. | Method and system for passively analyzing communication data based on frequency analysis of encrypted data traffic, and method and system for deterring passive analysis of communication data |
US7516485B1 (en) * | 2001-05-29 | 2009-04-07 | Nortel Networks Limited | Method and apparatus for securely transmitting encrypted data through a firewall and for monitoring user traffic |
US7536546B2 (en) * | 2001-08-28 | 2009-05-19 | Acme Packet, Inc. | System and method for providing encryption for rerouting of real time multi-media flows |
US7215770B2 (en) * | 2002-01-02 | 2007-05-08 | Sony Corporation | System and method for partially encrypted multimedia stream |
US7664048B1 (en) * | 2003-11-24 | 2010-02-16 | Packeteer, Inc. | Heuristic behavior pattern matching of data flows in enhanced network traffic classification |
US20050216752A1 (en) * | 2004-03-26 | 2005-09-29 | Microsoft Corporation | Common scrambling |
US8042182B2 (en) * | 2004-03-30 | 2011-10-18 | Telecom Italia S.P.A. | Method and system for network intrusion detection, related network and computer program product |
US7778194B1 (en) * | 2004-08-13 | 2010-08-17 | Packeteer, Inc. | Examination of connection handshake to enhance classification of encrypted network traffic |
JP4679886B2 (ja) | 2004-11-24 | 2011-05-11 | Kddi株式会社 | 暗号化通信特徴抽出装置、暗号化通信特徴抽出プログラムおよび記録媒体 |
KR100596395B1 (ko) * | 2004-12-16 | 2006-07-04 | 한국전자통신연구원 | IPv4망과 IPv6망이 공존하는 네트워크 상에서암호화된 유해 트래픽에 대응하는 시스템 및 그 방법 |
US7447768B2 (en) * | 2005-01-19 | 2008-11-04 | Facetime Communications, Inc. | Categorizing, classifying, and identifying network flows using network and host components |
US7506156B2 (en) * | 2005-02-01 | 2009-03-17 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for prioritizing encrypted traffic at an intermediate node in a communications network |
US8539064B1 (en) * | 2005-09-13 | 2013-09-17 | Aruba Networks, Inc. | Analysis of encrypted streaming media traffic |
CN100550909C (zh) * | 2006-09-30 | 2009-10-14 | 华为技术有限公司 | 一种实现业务感知的系统、方法及设备 |
US8417942B2 (en) * | 2007-08-31 | 2013-04-09 | Cisco Technology, Inc. | System and method for identifying encrypted conference media traffic |
US9304832B2 (en) * | 2008-01-09 | 2016-04-05 | Blue Coat Systems, Inc. | Methods and systems for filtering encrypted traffic |
US8745373B2 (en) * | 2008-04-23 | 2014-06-03 | Dell Products L.P. | Systems and methods for applying encryption to network traffic on the basis of policy |
US20100138910A1 (en) * | 2008-12-03 | 2010-06-03 | Check Point Software Technologies, Ltd. | Methods for encrypted-traffic url filtering using address-mapping interception |
-
2009
- 2009-03-02 JP JP2009048176A patent/JP5408608B2/ja not_active Expired - Fee Related
-
2010
- 2010-02-24 US US12/659,069 patent/US9021252B2/en not_active Expired - Fee Related
- 2010-02-26 CN CN2010101261532A patent/CN101827089B/zh not_active Expired - Fee Related
Non-Patent Citations (15)
Title |
---|
CSND200700765005; 江川 尚志: '"いよいよ構築が始まったNGNのすべて 第2部第4回ネットワークセキュリティ"' 日経コミュニケーション 第481号, 20070301, p.98-103, 日経BP社 * |
CSNG200600583006; 北村 強,静野 隆之,岡部 稔哉: '"パケットタイプ遷移パタン分析を用いたトラヒック識別手法"' 電子情報通信学会技術研究報告 Vol.106,No.41, 20060511, p.25-28, 社団法人電子情報通信学会 * |
CSNG200700594004; 和泉 勇治,嵯峨 秀樹,角田 裕,根元 義章: '"異常度の差分を利用した異常原因ホスト特定方式に関する研究"' 電子情報通信学会技術研究報告 Vol.107,No.18, 20070416, p.37-42, 社団法人電子情報通信学会 * |
CSNG200900157031; 南浦 優樹,阿多 信吾,中村 信之,中平 佳裕,村田 正幸,岡 育生: '"暗号化・平文トラヒックの差分分析とその特徴にもとづく暗号化トラヒック検出法"' 電子情報通信学会技術研究報告 Vol.108,No.481, 20090305, p.179-184, 社団法人電子情報通信学会 * |
CSNH200800039003; 川原 亮一,森 達哉,原田 薫明,上山 憲昭,近藤 毅,石橋 圭介: '"広域異常トラヒック検知・制御システムの研究開発 異常トラヒック測定分析手法"' NTT技術ジャーナル 第20巻,第3号, 20080301, p.21-25, 社団法人電気通信協会 * |
CSNJ200710048028; 北村 強,静野 隆之,岡部 稔哉: '"フロー挙動を用いたアプリケーション識別技術"' 電子情報通信学会2007年総合大会講演論文集 通信2,B-6-28, 20070307, p.28, 社団法人電子情報通信学会 * |
JPN6013033304; 北村 強,静野 隆之,岡部 稔哉: '"パケットタイプ遷移パタン分析を用いたトラヒック識別手法"' 電子情報通信学会技術研究報告 Vol.106,No.41, 20060511, p.25-28, 社団法人電子情報通信学会 * |
JPN6013033305; Maurizio Dusi, Manuel Crotti, Francesco Gringoli, Luca Salgarelli: '"Detection of Encrypted Tunnels Across Network Boundaries"' IEEE International Conference on Communications (ICC 2008) , 20080519, p.1738-1744 * |
JPN6013033306; 北村 強,静野 隆之,岡部 稔哉: '"フロー挙動を用いたアプリケーション識別技術"' 電子情報通信学会2007年総合大会講演論文集 通信2,B-6-28, 20070307, p.28, 社団法人電子情報通信学会 * |
JPN6013033307; 川原 亮一,森 達哉,原田 薫明,上山 憲昭,近藤 毅,石橋 圭介: '"広域異常トラヒック検知・制御システムの研究開発 異常トラヒック測定分析手法"' NTT技術ジャーナル 第20巻,第3号, 20080301, p.21-25, 社団法人電気通信協会 * |
JPN6013033308; 南浦 優樹,阿多 信吾,中村 信之,中平 佳裕,村田 正幸,岡 育生: '"暗号化・平文トラヒックの差分分析とその特徴にもとづく暗号化トラヒック検出法"' 電子情報通信学会技術研究報告 Vol.108,No.481, 20090305, p.179-184, 社団法人電子情報通信学会 * |
JPN6013033309; 江川 尚志: '"いよいよ構築が始まったNGNのすべて 第2部第4回ネットワークセキュリティ"' 日経コミュニケーション 第481号, 20070301, p.98-103, 日経BP社 * |
JPN6013033310; 和泉 勇治,嵯峨 秀樹,角田 裕,根元 義章: '"異常度の差分を利用した異常原因ホスト特定方式に関する研究"' 電子情報通信学会技術研究報告 Vol.107,No.18, 20070416, p.37-42, 社団法人電子情報通信学会 * |
JPN6013033311; Charles V Wright, Fabian Monrose, Gerald M Masson: '"Using Visual Motifs to Classify Encrypted Traffic"' Proceedings of the 3rd international workshop on Visualization for computer security (VizSEC '06) , 20061103, p.41-50, [online] * |
JPN7013002537; 衛藤 将史,薗田 光太郎,吉岡 克成,井上 大介,中尾 康二: '"トラフィック分析エンジンSPADEにおける特徴点抽出手法の導入と評価"' 2009年暗号と情報セキュリティシンポジウム(SCIS2009) 2E1 ネットワークセキュリティ(1), 20090120, 2E1-1, 2009年暗号と情報セキュリティシンポジウム事務局 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012035992A1 (ja) | 2010-09-13 | 2012-03-22 | 日本電気株式会社 | 衛星航法補強システム及び、衛星航法補強方法 |
Also Published As
Publication number | Publication date |
---|---|
US20100223455A1 (en) | 2010-09-02 |
JP5408608B2 (ja) | 2014-02-05 |
US9021252B2 (en) | 2015-04-28 |
CN101827089B (zh) | 2013-10-30 |
CN101827089A (zh) | 2010-09-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5812282B2 (ja) | トラヒック監視装置 | |
EP3145130B1 (en) | Network system, communication control method, and communication control program | |
JP5195953B2 (ja) | 異常リンク推定装置、異常リンク推定方法、プログラムおよび異常リンク推定システム | |
Xue et al. | Towards detecting target link flooding attack | |
US8687507B2 (en) | Method, arrangement and system for monitoring a data path in a communication network | |
US11979326B2 (en) | Tool port throttling at a network visibility node | |
CN110417674B (zh) | 一种数据流量分担方法及装置 | |
JP5408608B2 (ja) | 暗号トラヒック識別装置及びそれを備える暗号トラヒック識別システム | |
EP3369213B1 (en) | Performance measurement in a packet-switched communication network | |
JP6495050B2 (ja) | コンピュータ実装システム、及び、ネットワーク評価を利用したセキュアパスの選択方法 | |
CN106302001B (zh) | 数据通信网络中业务故障检测方法、相关装置及系统 | |
WO2012071851A1 (zh) | 根据网络抖动调整bfd发送间隔的方法及装置 | |
US20160248652A1 (en) | System and method for classifying and managing applications over compressed or encrypted traffic | |
US20110141899A1 (en) | Network access apparatus and method for monitoring and controlling traffic using operation, administration, and maintenance (oam) packet in internet protocol (ip) network | |
KR20170004052A (ko) | 네트워크 트래픽 상태에 기반한 대역폭 관리 방법 및 시스템 | |
JP5028202B2 (ja) | 制御ネットワークシステム | |
JP4222567B2 (ja) | 輻輳制御方法および輻輳制御装置 | |
US20220217179A1 (en) | Methods and devices for measuring reputation in a communication network | |
JP3953999B2 (ja) | 輻輳検知装置、tcpトラヒックの輻輳検知方法およびプログラム | |
JP4867848B2 (ja) | オーバレイトラヒック検出システム及びトラヒック監視・制御システム | |
JP4282556B2 (ja) | フローレベル通信品質管理装置と方法およびプログラム | |
KR100870182B1 (ko) | L2/l3 기반 라우터쌍의 플로우 별 트래픽 양 추정시스템 및 방법 | |
JP5829183B2 (ja) | 経路制御プロトコルに基づいて障害ノード装置又は障害リンクをリアルタイムに検出する方法、ノード装置及びプログラム | |
US20230009602A1 (en) | Path Assurance in Shared Transport | |
Manzanares‐López et al. | An INT‐based packet loss monitoring system for data center networks implementing Fine‐Grained Multi‐Path routing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111202 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20111202 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130625 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130709 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130904 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131001 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131029 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5408608 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313115 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313115 |
|
R371 | Transfer withdrawn |
Free format text: JAPANESE INTERMEDIATE CODE: R371 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313115 |
|
R360 | Written notification for declining of transfer of rights |
Free format text: JAPANESE INTERMEDIATE CODE: R360 |
|
R370 | Written measure of declining of transfer procedure |
Free format text: JAPANESE INTERMEDIATE CODE: R370 |
|
LAPS | Cancellation because of no payment of annual fees |