JP2011124777A - 通信分類装置および通信分類方法、ならびにそのためのプログラム - Google Patents
通信分類装置および通信分類方法、ならびにそのためのプログラム Download PDFInfo
- Publication number
- JP2011124777A JP2011124777A JP2009280641A JP2009280641A JP2011124777A JP 2011124777 A JP2011124777 A JP 2011124777A JP 2009280641 A JP2009280641 A JP 2009280641A JP 2009280641 A JP2009280641 A JP 2009280641A JP 2011124777 A JP2011124777 A JP 2011124777A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- header information
- host
- classification method
- communication classification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】通信をヘッダ情報のみを利用して簡便にかつ精度よく分類することが可能な通信分類装置および通信分類方法ならびにそのためのプログラムの提供。
【解決手段】通信を構成するパケットのヘッダ情報を取得するヘッダ情報取得手段210と、該ヘッダ情報取得手段で取得したヘッダ情報からヘッダ情報の一部あるいは複数のヘッダ情報の組を得るヘッダ情報分析手段230と、該ヘッダ情報分析手段により得られたヘッダ情報の一部あるいは前記複数のヘッダ情報の組と外部データ220を照合して前記通信の発ホストと着ホストのそれぞれが「エンドホスト」、「サーバ」、または「不明」を表す属性値のいずれに対応するかを判別するデータ照合・属性判別手段240と、該データ照合・属性判別手段により判別された属性値に基づいて、前記通信をエンドホスト間通信あるいは非エンドホスト間通信のいずれかに分類する通信分類手段250とを有する
【選択図】図1−A
【解決手段】通信を構成するパケットのヘッダ情報を取得するヘッダ情報取得手段210と、該ヘッダ情報取得手段で取得したヘッダ情報からヘッダ情報の一部あるいは複数のヘッダ情報の組を得るヘッダ情報分析手段230と、該ヘッダ情報分析手段により得られたヘッダ情報の一部あるいは前記複数のヘッダ情報の組と外部データ220を照合して前記通信の発ホストと着ホストのそれぞれが「エンドホスト」、「サーバ」、または「不明」を表す属性値のいずれに対応するかを判別するデータ照合・属性判別手段240と、該データ照合・属性判別手段により判別された属性値に基づいて、前記通信をエンドホスト間通信あるいは非エンドホスト間通信のいずれかに分類する通信分類手段250とを有する
【選択図】図1−A
Description
本発明は、IP(Internet Protocol)ネットワーク上の通信を分類するための技術に係り、特に、通信をヘッダ情報のみを利用して簡便にかつ精度よく分類することが可能な通信分類装置および通信分類方法、ならびにそのためのプログラムに関する。
通信ネットワークを適切に管理するためには通信の素性を明らかにすることが必要である。従来IPネットワークにおいてはTCP(Transmission Control Protocol)におけるポート番号を参照することで通信の分類が可能であった。
例えば、TCPのポートが80であれば、その通信はweb通信であり、これはいわゆるサーバ・クライアント通信である。しかしながらネットワーク利用が多様化し、P2P(Peer to Peer)等様々なアプリケーションが不特定のポート番号を使うようになったため、ポート番号による通信の分類はできなくなった。
P2P通信はエンドホスト間通信の代表例である。サーバはプロバイダーが設置箇所を把握・コントロールできるのに対し、エンドホストはネットワーク上の様々な場所に存在するため把握・コントロールが困難である。このようなエンドホスト間通信がネットワークに与える影響は大きいため、これらの通信を正しく分類することが課題となっていた。
上記の課題を解決するために、従来提案された非特許文献1においては、通信のパターン分析によって通信を分類する試みがなされている。
また、別のアプローチとして、非特許文献2などには、通信の中身を詳細に分析することによって、通信を分類する試みがなされている。
T Karagiannis, K Papagiannaki, and M Faloutsos, "BLINC: Multilevel traffic classification in the dark" (2005). ACM SIGCOMM. 35 (4), pp. 229-240.
「Deep packet inspection」 From Wikipedia, the free encyclopedia、〔online〕、2 November 2009 〔平成21年11月26日検索〕、インターネット<URL:http://en.wikipedia.org/wiki/Deep_packet_inspection>
上記非特許文献1に開示された方法は、通信のパターン分析により通信を分類するものであるが、この方法は計測に必要なオーバーヘッドが高いため現実性にかけること、計測ができたとして計算量が莫大であるためリアルタイムの処理が非現実的であること、および通信量が十分に観測されなかったホストが関与する通信を分類することができないこと、などの問題がある。
また、上記非特許文献2などに開示された方法は、通信の中身の分析により通信を分類するものであるが、この方法もやはりスケーラビリティの問題があるため、将来的に主流となる10Gbps超の高速ネットワークにおいては実用的ではないという問題がある。
また、上記従来技術による方法は、対象となるアプリケーション毎に通信のパターンを事前に把握する必要があるため、新規アプリケーションに対する適用性がないという問題がある。さらに、通信の内容が暗号化されている場合にはこの手法はまったく適用できないという問題がある。
本発明は、上記の課題を鑑みてなされたものであり、通信をヘッダ情報のみを利用して簡便にかつ精度よく分類することが可能な通信分類装置および通信分類方法ならびにそのためのプログラムを提供することを目的としている。
本発明は、上記目的を達成するために、次のような構成を採用している。
a)本発明に係る通信分類装置は、IPネットワーク上の通信を分類する通信分類装置であって、通信を構成するパケットのヘッダ情報を取得するヘッダ情報取得手段と、該ヘッダ情報取得手段で取得したヘッダ情報からヘッダ情報の一部あるいは複数のヘッダ情報の組を得るヘッダ情報分析手段と、該ヘッダ情報分析手段により得られたヘッダ情報の一部あるいは前記複数のヘッダ情報の組と外部データを照合して前記通信の発ホストと着ホストのそれぞれが「エンドホスト」、「サーバ」、または「不明」を表す属性値のいずれに対応するかを判別するデータ照合・属性判別手段と、該データ照合・属性判別手段により判別された属性値に基づいて、前記通信をエンドホスト間通信あるいは非エンドホスト間通信のいずれかに分類する通信分類手段とを有することを特徴としている。
a)本発明に係る通信分類装置は、IPネットワーク上の通信を分類する通信分類装置であって、通信を構成するパケットのヘッダ情報を取得するヘッダ情報取得手段と、該ヘッダ情報取得手段で取得したヘッダ情報からヘッダ情報の一部あるいは複数のヘッダ情報の組を得るヘッダ情報分析手段と、該ヘッダ情報分析手段により得られたヘッダ情報の一部あるいは前記複数のヘッダ情報の組と外部データを照合して前記通信の発ホストと着ホストのそれぞれが「エンドホスト」、「サーバ」、または「不明」を表す属性値のいずれに対応するかを判別するデータ照合・属性判別手段と、該データ照合・属性判別手段により判別された属性値に基づいて、前記通信をエンドホスト間通信あるいは非エンドホスト間通信のいずれかに分類する通信分類手段とを有することを特徴としている。
ここで、「エンドホスト」とは、ユーザに割り当てられるIPアドレスを有するホストであり、例えばISPのユーザのホスト(例えば、PCやNAT機能を備えたブロードバンドルータなど)が該当する。また「サーバ」とは、エンドホストではないホストが他のホストにサービスを提供するサーバ(例えば、webサーバなど)に該当する。「不明」はどちらにも識別できなかった場合である。
また、パケットのヘッダ情報は、IP通信を構成する各々のレイヤーで取得することができ、第二層では発MACアドレスと着MACアドレス、およびVLAN ID、第三層(IP)ではバージョン、データ長、TOS、DFビット、TTL、発IPアドレス、着IPアドレス、オプション、第四層(UDP/TCP)では、発ポート番号、着ポート番号、データ長、シーケンス番号、確認応答番号、ヘッダ長、TCPフラグ、ウィンドウサイズ、オプションを対象とする。
b)本発明に係る通信分類方法は、ヘッダ情報取得手段とヘッダ情報分析手段とデータ照合・属性判別手段と通信分類手段とを用いてIPネットワーク上の通信を分類する通信分類方法であって、前記ヘッダ情報取得手段により、通信を構成するパケットのヘッダ情報を取得する手順と、前記ヘッダ情報分析手段により、前記ヘッダ情報からヘッダ情報の一部あるいは複数のヘッダ情報の組を得る手順と、前記データ照合・属性判別手段により、前記ヘッダ情報の一部あるいは前記複数のヘッダ情報の組と外部データを照合して前記通信の発ホストと着ホストのそれぞれが「エンドホスト」、「サーバ」、または「不明」を表す属性値のいずれに対応するかを判別する手順と、前記通信分類手段により、前記属性値に基づいて、前記通信をエンドホスト間通信あるいは非エンドホスト間通信のいずれかに分類する手順とを有することを特徴としている。
c)また、上記において、前記ヘッダ情報の一部は、IPアドレスであり、前記外部データは、ISPがまとめたエンドホスト用アドレスリストあるいはボットネット対策用にまとめられたエンドホストIPアドレスリストであること、または、前記ヘッダ情報の一部は、MACアドレスを利用し、該MACアドレスのベンダーコード(上位3バイト)であり、前記外部データは、任意に指定可能なエンドホストあるいはサーバを示す特定のパターンであること、または、前記ヘッダ情報の一部として、IPv6アドレスを利用し、MACアドレスから生成されるEUI64フォーマットに該当する後半8バイトを参照してMACアドレスに変換し、該変換されたMACアドレスの上位3バイトを参照し、その3バイトが、前記外部データとして任意に指定されたエンドホストあるいはサーバを示す特定のパターンであった場合にエンドホストあるいはサーバと判定し、それ以外は不明と判定すること、または、前記ヘッダ情報の一部は、VLAN IDあるいはTOSフィールドのいずれかであり、前記外部データは、任意に指定可能なエンドホストあるいはサーバを示す特定のパターンであること、または、前記複数ヘッダ情報の組は、IPバージョン、TCPフラグ、ウィンドウサイズ、DFビット、TTL、データサイズ、IPオプション、TCPオプションの組み合わせであり、前記外部データは、任意に指定可能なエンドホストあるいはサーバを示す特定のパターンであることを特徴とし、さらには上記の任意の組み合わせで通信の分類を実施することを特徴としている。
d)また、前記通信を分類する手順は、発ホストの属性値と着ホストの属性値の両方がエンドホストである場合に当該通信をエンドホスト間通信と分類し、それ以外の場合に当該通信を非エンドホスト間通信と分類するか、あるいは、発ホストの属性値と着ホストの属性値の両方がエンドホストであるか一方がエンドホストであり他方が不明である場合に当該通信をエンドホスト間通信と分類し、それ以外の場合に当該通信を非エンドホスト間通信と分類する手順であることを特徴としている。
e)本発明に係るプログラムは、コンピュータに、上記通信分類方法における各手順を実行させるためのプログラムである。
本発明によれば、IPネットワーク通信をヘッダ情報のみを利用して簡便にかつ精度よく分類することが可能な通信分類装置および通信分類方法およびそのためのプログラムを実現することができる。
(概要)
本発明は、IPネットワーク上の通信を分類する技術に関するものである。
従来、IPネットワークにおいてはTCPにおけるポート番号を参照することで通信の分類が可能であったが、ネットワーク利用が多様化し、P2P等様々なアプリケーションが不特定のポート番号を使うようになったため、ポート番号による通信の分類が難しくなってきた。P2P通信はエンドホスト間通信の代表例であるが、このようなエンドホスト間通信がネットワークに与える影響は大きいため、これらの通信を正しく分類して、IPネットワーク上の通信を分類することが重要となる。
本発明は、IPネットワーク上の通信を分類する技術に関するものである。
従来、IPネットワークにおいてはTCPにおけるポート番号を参照することで通信の分類が可能であったが、ネットワーク利用が多様化し、P2P等様々なアプリケーションが不特定のポート番号を使うようになったため、ポート番号による通信の分類が難しくなってきた。P2P通信はエンドホスト間通信の代表例であるが、このようなエンドホスト間通信がネットワークに与える影響は大きいため、これらの通信を正しく分類して、IPネットワーク上の通信を分類することが重要となる。
これを解決するため、本発明では、通信を構成するパケットのヘッダ情報のみを参照し、得られたヘッダ情報の一部(例えばIPアドレス)に対して外部データベースを参照する手段や、複数のヘッダ情報を組み合わせることによって始点と終点両方のホストに対する属性値(「エンドホスト」、「サーバ」、「不明」のいずれか示す)を取得する手段と、取得したホスト間の属性値を元に該当する通信を「エンドホスト間通信」および「非エンドホスト間通信」に分類する手段を備え、これにより、通信をヘッダ情報のみを利用して簡便にかつ精度良く通信を分類することを可能とするものである。
(実施例)
以下、本発明に係る通信分類装置を備えた通信分類システムの実施例を、図面を用いて詳細に説明する。
以下、本発明に係る通信分類装置を備えた通信分類システムの実施例を、図面を用いて詳細に説明する。
図1−Aは、本発明に係る通信分類装置を備えた通信分類システムの実施例の構成例を示す図であり、図1−Bは、本発明に係る通信分類装置による通信分類方法を説明するためのフローチャートである。
以下、図1−Aおよび図1−Bを用いて、本発明に係る通信分類装置および通信分類方法を説明する。
本実施例に係る通信分類システムは、図1−Aに示すように、ルータあるいはスイッチ(図1−Aでは「ルータ・スイッチ」で示す)100と通信分類装置200を有する。
図1−Aでは、通信分類装置200をルータあるいはスイッチ100に対して外付けする形での実装を示しているが、通信分類装置200はひとつの機能としてルータあるいはスイッチ100に内蔵される形態で実装されても構わない。
図1−Aに示すように、ルータあるいはスイッチ100は、ある回線上のパケットp1を受信すると、そのパケットのヘッダ情報h1を通信分類装置200に送信する。当該回線上の逆方向から到着したパケットp2に対しても同様の処理を実施する。
同図に示すように、通信分類装置200は、通信のヘッダ情報を取得するヘッダ情報取得手段210と、外部データ(ISPがまとめたエンドホスト用アドレスリストやボットネット対策用にまとめられたエンドホストIPアドレスリスト、あるいは、複数のヘッダ情報の特定のパターン等)を格納するデータベースDB220と、ヘッダ情報取得手段210で取得したヘッダ情報を分析するヘッダ情報分析手段230と、ヘッダ情報分析手段230で得たヘッダ情報の一部とあるいは複数のヘッダ情報の組のパターンと外部データDB220の内容を照合してホストの種類(「エンドホスト」か「サーバ」か「不明」か)を判別するデータ照合・属性値判別手段240と、データ照合・属性値判別手段240で判別した属性値に基づいて通信を分類する通信分類手段250とを有する。
ここで、本発明において、「エンドホスト」とは、ユーザに割り当てられるIPアドレスを有するホストであり、例えばISP(Internet Services Provider)のユーザのホスト(例えば、PC(Personal Computer)やNAT(Network Address Translation)機能を備えたブロードバンドルータなど)が該当する。また「サーバ」とは、エンドホストではないホストが他のホストにサービスを提供するサーバ(例えば、webサーバなど)に該当する。「不明」はどちらにも識別できなかった場合である。
パケットのヘッダ情報は、IP通信を構成する各々のレイヤーで取得することができ、第二層では発MACアドレス(Media Access Control address)と着MACアドレス、およびVLAN ID(Virtual LAN ID)、第三層(IP)ではバージョン、データ長、TOS(Type of Service)、DF(Don’t fragment)ビット、TTL(time to live)、発IPアドレス、着IPアドレス、オプション、第四層(UDP/TCP;User Datagram Protocol/Transmission Control Protocol)では、発ポート番号、着ポート番号、データ長、シーケンス番号、確認応答番号、ヘッダ長、TCPフラグ、ウィンドウサイズ、オプションを対象とする。
次に、通信分類装置200の処理の流を図1−Bを用いて説明する。
同図に示すように、通信分類装置200は、ヘッダ情報取得手段210により、通信パケットのIPアドレス毎に通信のヘッダ情報を取得し(ステップS1)、取得したIPアドレス毎にヘッダ情報の分析を行う(ステップS2)。
同図に示すように、通信分類装置200は、ヘッダ情報取得手段210により、通信パケットのIPアドレス毎に通信のヘッダ情報を取得し(ステップS1)、取得したIPアドレス毎にヘッダ情報の分析を行う(ステップS2)。
次に、データ照合・属性値判別手段240により、後述する方法によって、当該IPアドレスの属性値、すなわちエンドホストであるか、サーバであるか、不明であるかを調べ、結果を図示しない記憶装置に記録する。外部データを記憶するデータベース(DB)220を属性値の記録装置として兼用してもよい。
次に、ある通信の発ホストと着ホストの両方に対してホストの属性が明らかになったら、通信分類手段250により、通信の分類を行う(ステップS4)。
図2は、図1−BのステップS4における通信の分類の詳細を説明するためのフローチャートであり、本例は、発ホストと着ホストの両方がエンドホストであるか否かにより通信を分類するという厳しい条件での分類の例である。
同図において、先ず、ある通信の発ホストと着ホストの属性値を取得し(ステップS10)、発ホストと着ホストの属性値が両方ともエンドホストであれば(ステップS11:Y)、当該通信をエンドホスト間通信と判定する(ステップS12)。発ホストと着ホストの属性値の一方でもエンドホストでなければ(ステップS11:N)、当該通信を非エンドホスト間通信と判定する(ステップS13)。
図3は、図1−BのステップS4における通信の分類の詳細を説明するためのフローチャートであり、本例は、発ホストと着ホストの少なくとも一方のホストがエンドホストであればエンドホスト間通信と判定する図2に比較してより緩い条件での分類の例である。
同図において、先ず、ある通信の発ホストと着ホストの属性値を取得し(ステップS20)、発ホストと着ホストの属性値が両方ともエンドホストの場合(ステップS21:Y)、および、発ホストと着ホストの属性値が両方ともエンドホストの場合でなくても(ステップS21:N)、発ホストと着ホストの属性値の少なくとも一方がエンドホストでもう一方が不明の場合は(ステップS23:Y)、当該通信をエンドホスト間通信と判定する(ステップS22)。
発ホストと着ホストの属性値が両方ともエンドホストの場合でなく(ステップS21:N)、発ホストと着ホストの属性値の少なくとも一方がエンドホストでもう一方が不明の場合でもない場合は(ステップS23:N)、当該通信を非エンドホスト間通信と判定する(ステップS24)。
次に、図1−Aにおけるヘッダ情報分析手段230およびデータ照合・属性値判別手段240により属性値(すなわち、エンドホストかサーバは不明か)を求める処理(図1−BのステップS2,S3参照)について具体的に説明する。
本発明におけるヘッダ情報の一部をIPアドレスとし、該IPアドレスそのものを別途収集した外部データと照合し、ヘッダ情報であるIPアドレスが外部データであるエンドホストIPアドレスに一致していれば、当該ホストをエンドホストと判別する。
外部データ(外部アドレスリスト)としては、エンドユーザに割り当てる動的なIPアドレスを収集したリストや、著名なサーバのホスト名をDNS(Domain Name System)で解決し、得られたAレコードのIPアドレスを収集したリストを使うことができる。例えばISPがまとめたエンドホスト用アドレスリストや、ボットネット対策用にまとめられたエンドホストIPアドレスリストなどを利用する。この外部アドレスリストは、図1−Aに示すデータベースDB220上に外部データとして格納する。通信分類装置200は、IPアドレスとDB220上の外部データ(外部アドレスリスト)を比較することによって、ホストの属性値(「エンドホスト」か「サーバ」か「不明」かを表す値)を推定する。
また、別の例として、ヘッダ情報の一部としてMACアドレスを利用し、該MACアドレスのベンダーコード(上位3バイト)を、任意に指定可能なエンドホストあるいはサーバを示す特定のパターンを有する外部データと照合して、ベンダーコード(上位3バイト)がエンドホストを示す特定パターンと一致したときは該ホストをエンドホストと判別し、サーバを示す特定のパターンと一致したときはサーバと判別し、それ以外は不明と判定するようにしてもよい。例えばベンダーコードが0x0019FD(先頭の“ox”は16進であることを示す)であったらエンドホストと判定する。
また、別の例として、ヘッダ情報の一部としてIPv6(Internet Protocol Version 6)アドレスを利用し、MACアドレスから生成されるEUI64(Extended Universal Identifier -64bit)フォーマットに該当する後半8バイトを参照してMACアドレスに変換し、該変換されたMACアドレスの上位3バイトを参照し、その3バイトが、前記外部データとして任意に指定されたエンドホストを示す特定のパターンであった場合に当該ホストをエンドホストと判別し、前記外部データとして任意に指定されたサーバを示す特定のパターンであった場合に当該ホストをサーバと判別し、それ以外は不明と判定するようにしてもよい。
また、別の例として、ヘッダ情報の一部をVLAN IDあるいはTOS(type of service)フィールドのいずれかにし、外部データを任意に指定可能なエンドホストあるいはサーバを示す特定のパターンとし、両者を照合することによりエンドホスト、あるいはサーバと判定し、それ以外は不明と判定するようにしてもよい。
また、上記において、複数ヘッダ情報の組を、IPバージョン、TCPフラグ、ウィンドウサイズ、DF(Don’t fragment)ビット、TTL(time to live)、データサイズ、IPオプション、TCPオプションの組み合わせとし、これらの組み合わせたものが、予め指定が可能な外部データ(任意に指定可能なエンドホストあるいはサーバを示す特定のパターン)と一致した場合にエンドホスト、あるいはサーバと判定し、それ以外は不明と判定する。
なお、観測したTTLの値が32,64,128,255の中間の値の場合、それよりも大きい値に繰り上げるものとする。例えば、TTLの値として56を観測したらTTLの値を64に繰り上げ、また、TTLの値として244を観測したらTTLの値を255と繰り上げる。
図4は、この場合の外部データのリスト(ヘッダ値(ヘッダ情報)とホストの属性の関係をまとめたリスト)の一例を示す図である。同図では、ヘッダ値として、TTL、パケットサイズ、Windowサイズ、TCPフラグを用いた場合を示している。
リストにIPパケットのヘッダ値のパターンがない場合は発IPアドレス(ホスト)の属性は不明と処理する。また、IPパケットのヘッダ値のパターンの一致条件を緩め、IPパケットのヘッダ値のパターンをマッチする際に予め定められた閾値以上のヘッダ値が一致した場合(例えば、閾値を2とし、図4でTCPフラグ34を除いた3つのヘッダ値のうち、いずれかの2つが一致した場合)にその一致した発IPアドレス(ホスト)の属性を採用するようにしてもよい。
このリストは、エンドホストとして使われやすいOperating System(OS)のTCP/IPスタック(例えばMicrosoft社のWindows(登録商標)など)を予め調査することによって、特徴的なヘッダ値を抽出することで作成可能である。
以上、本発明に係る通信分類方法の様々なバリエーションを説明したが、上記の方法を任意の組み合わせで実施するようにしてもよい。
なお、図1−Bのフローチャートを用いて説明した通信分類装置200の処理、および、図2,3フローチャートを用いて説明した通信分類手段250の処理は、通信分類装置200を構成するコンピュータに内臓されるCPUやメモリ、レジスタなどのハードウェアを用いて各処理に対応するプログラムを実行することにより実現される。また、これら各処理に対応するプログラムは、FD、CD−ROM、DVDなどの記録媒体や、インターネットなどのネットワークを介して市場に流通させることができる。
100:ルータ・スイッチ(ルータあるいはスイッチ)
200:通信分類装置
210:ヘッダ情報取得手段
220:DB(データベース)
230:ヘッダ情報分析手段
240:データ照合・属性値判別手段
250:通信分類手段
p1,p2:パケット
h1:ヘッダ情報
200:通信分類装置
210:ヘッダ情報取得手段
220:DB(データベース)
230:ヘッダ情報分析手段
240:データ照合・属性値判別手段
250:通信分類手段
p1,p2:パケット
h1:ヘッダ情報
Claims (10)
- IPネットワーク上の通信を分類する通信分類装置であって、
通信を構成するパケットのヘッダ情報を取得するヘッダ情報取得手段と、
該ヘッダ情報取得手段で取得したヘッダ情報からヘッダ情報の一部あるいは複数のヘッダ情報の組を得るヘッダ情報分析手段と、
該ヘッダ情報分析手段により得られたヘッダ情報の一部あるいは前記複数のヘッダ情報の組と外部データを照合して前記通信の発ホストと着ホストのそれぞれが「エンドホスト」、「サーバ」、または「不明」を表す属性値のいずれに対応するかを判別するデータ照合・属性判別手段と、
該データ照合・属性判別手段により判別された属性値に基づいて、前記通信をエンドホスト間通信あるいは非エンドホスト間通信のいずれかに分類する通信分類手段と、
を有することを特徴とする通信分類装置。 - ヘッダ情報取得手段とヘッダ情報分析手段とデータ照合・属性判別手段と通信分類手段とを用いてIPネットワーク上の通信を分類する通信分類方法であって、
前記ヘッダ情報取得手段により、通信を構成するパケットのヘッダ情報を取得する手順と、
前記ヘッダ情報分析手段により、前記ヘッダ情報からヘッダ情報の一部あるいは複数のヘッダ情報の組を得る手順と、
前記データ照合・属性判別手段により、前記ヘッダ情報の一部あるいは前記複数のヘッダ情報の組と外部データを照合して前記通信の発ホストと着ホストのそれぞれが「エンドホスト」、「サーバ」、または「不明」を表す属性値のいずれに対応するかを判別する手順と、
前記通信分類手段により、前記属性値に基づいて、前記通信をエンドホスト間通信あるいは非エンドホスト間通信のいずれかに分類する手順と、
を有することを特徴とする通信分類方法。 - 請求項2に記載の通信分類方法において、
前記ヘッダ情報の一部は、IPアドレスであり、
前記外部データは、ISPがまとめたエンドホスト用アドレスリストあるいはボットネット対策用にまとめられたエンドホストIPアドレスリストであることを特徴とする通信分類方法。 - 請求項2に記載の通信分類方法において、
前記ヘッダ情報の一部は、MACアドレスを利用し、該MACアドレスのベンダーコード(上位3バイト)であり、
前記外部データは、任意に指定可能なエンドホストあるいはサーバを示す特定のパターンであることを特徴とする通信分類方法。 - 請求項2に記載の通信分類方法において、
前記ヘッダ情報の一部として、IPv6アドレスを利用し、MACアドレスから生成されるEUI64フォーマットに該当する後半8バイトを参照してMACアドレスに変換し、該変換されたMACアドレスの上位3バイトを参照し、その3バイトが、前記外部データとして任意に指定されたエンドホストあるいはサーバを示す特定のパターンであった場合にエンドホストあるいはサーバと判定し、それ以外は不明と判定することを特徴とする通信分類方法。 - 請求項2に記載の通信分類方法において、
前記ヘッダ情報の一部は、VLAN IDあるいはTOSフィールドのいずれかであり、
前記外部データは、任意に指定可能なエンドホストあるいはサーバを示す特定のパターンであることを特徴とする通信分類方法。 - 請求項2に記載の通信分類方法において、
前記複数ヘッダ情報の組は、IPバージョン、TCPフラグ、ウィンドウサイズ、DFビット、TTL、データサイズ、IPオプション、TCPオプションの組み合わせであり、
前記外部データは、任意に指定可能なエンドホストあるいはサーバを示す特定のパターンであることを特徴とする通信分類方法。 - 請求項2に記載の通信分類方法において、
請求項3から7の方法を任意の組み合わせで実施することを特徴とする通信分類方法。 - 請求項2から8のいずれかに記載の通信分類方法において、
前記通信を分類する手順は、発ホストの属性値と着ホストの属性値の両方がエンドホストである場合に当該通信をエンドホスト間通信と分類し、それ以外の場合に当該通信を非エンドホスト間通信と分類するか、あるいは、発ホストの属性値と着ホストの属性値の両方がエンドホストであるか一方がエンドホストであり他方が不明である場合に当該通信をエンドホスト間通信と分類し、それ以外の場合に当該通信を非エンドホスト間通信と分類する手順であることを特徴とする通信分類方法。 - コンピュータに、請求項2から9のいずれかに記載の通信分類方法における各手順を実行させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009280641A JP5284936B2 (ja) | 2009-12-10 | 2009-12-10 | 通信分類装置および通信分類方法、ならびにそのためのプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009280641A JP5284936B2 (ja) | 2009-12-10 | 2009-12-10 | 通信分類装置および通信分類方法、ならびにそのためのプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011124777A true JP2011124777A (ja) | 2011-06-23 |
| JP5284936B2 JP5284936B2 (ja) | 2013-09-11 |
Family
ID=44288243
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009280641A Expired - Fee Related JP5284936B2 (ja) | 2009-12-10 | 2009-12-10 | 通信分類装置および通信分類方法、ならびにそのためのプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5284936B2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9912557B2 (en) | 2013-03-01 | 2018-03-06 | Nec Corporation | Node information detection apparatus, node information detection method, and program |
| KR101852506B1 (ko) * | 2016-08-12 | 2018-04-27 | 주식회사 케이티 | 단말 정보 식별 시스템 및 그 방법 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004343186A (ja) * | 2003-05-13 | 2004-12-02 | Nippon Telegr & Teleph Corp <Ntt> | トラフィック分離方法並びにトラフィック分離装置、アドレス情報収集ノード及びトラフィック分離システム装置 |
| JP2008193221A (ja) * | 2007-02-01 | 2008-08-21 | Oki Electric Ind Co Ltd | アプリケーション分類方法、ネットワーク異常検知方法、アプリケーション分類プログラム、ネットワーク異常検知プログラム、アプリケーション分類装置、ネットワーク異常検知装置 |
| JP2009528757A (ja) * | 2006-02-28 | 2009-08-06 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ピアツーピア通信の検出及び制御 |
-
2009
- 2009-12-10 JP JP2009280641A patent/JP5284936B2/ja not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004343186A (ja) * | 2003-05-13 | 2004-12-02 | Nippon Telegr & Teleph Corp <Ntt> | トラフィック分離方法並びにトラフィック分離装置、アドレス情報収集ノード及びトラフィック分離システム装置 |
| JP2009528757A (ja) * | 2006-02-28 | 2009-08-06 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ピアツーピア通信の検出及び制御 |
| JP2008193221A (ja) * | 2007-02-01 | 2008-08-21 | Oki Electric Ind Co Ltd | アプリケーション分類方法、ネットワーク異常検知方法、アプリケーション分類プログラム、ネットワーク異常検知プログラム、アプリケーション分類装置、ネットワーク異常検知装置 |
Non-Patent Citations (1)
| Title |
|---|
| JPN6013000510; CYRIL SOLDANI: Peer-to-Peer Behaviour Detection by TCP Flows Analysis , 2004, pp. 41-42 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9912557B2 (en) | 2013-03-01 | 2018-03-06 | Nec Corporation | Node information detection apparatus, node information detection method, and program |
| KR101852506B1 (ko) * | 2016-08-12 | 2018-04-27 | 주식회사 케이티 | 단말 정보 식별 시스템 및 그 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5284936B2 (ja) | 2013-09-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Gont et al. | Network reconnaissance in ipv6 networks | |
| US10382309B2 (en) | Method and apparatus for tracing paths in service function chains | |
| US8844041B1 (en) | Detecting network devices and mapping topology using network introspection by collaborating endpoints | |
| Auffret | SinFP, unification of active and passive operating system fingerprinting | |
| EP3257202B1 (en) | Correlating packets in communications networks | |
| KR101295708B1 (ko) | 트래픽 수집장치, 트래픽 분석장치, 시스템 및 그 분석방법 | |
| CN102148854B (zh) | 对等节点共享流量识别方法和装置 | |
| JP3835462B2 (ja) | 情報処理装置、及びバブルパケット送信方法 | |
| US9183382B2 (en) | Method for blocking a denial-of-service attack | |
| Luckie et al. | Speedtrap: internet-scale IPv6 alias resolution | |
| CN104994016B (zh) | 用于分组分类的方法和装置 | |
| EP1758340A1 (en) | Access device for preventing transmission of copyrighted content to external network and method for the same | |
| Škoberne et al. | IPv4 address sharing mechanism classification and tradeoff analysis | |
| US7907543B2 (en) | Apparatus and method for classifying network packet data | |
| WO2016082627A1 (zh) | 多用户共享上网的检测方法及装置 | |
| JP5242301B2 (ja) | メッセージを転送する装置、出力方法および出力プログラム | |
| Orevi et al. | DNS-DNS: DNS-based de-nat scheme | |
| Zhang et al. | Onis: Inferring tcp/ip-based trust relationships completely off-path | |
| US20090122721A1 (en) | Hybrid network discovery method for detecting client applications | |
| Yoon et al. | Behavior signature for fine-grained traffic identification | |
| CN105610808A (zh) | 一种基于动态域名解析的网络流量识别方法及系统 | |
| CN101854366B (zh) | 一种对等网络流量识别的方法及装置 | |
| JP5284936B2 (ja) | 通信分類装置および通信分類方法、ならびにそのためのプログラム | |
| Alcock et al. | Sneaking past the firewall: quantifying the unexpected traffic on major TCP and UDP ports | |
| Mavrakis | Passive asset discovery and operating system fingerprinting in industrial control system networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20110608 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20110608 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20110616 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20110704 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20110719 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120220 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20120606 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20120629 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20121226 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130115 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130315 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130528 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130530 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5284936 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |