JP2011205197A - P2p terminal detecting device, p2p terminal detection method, and p2p terminal detection system - Google Patents
P2p terminal detecting device, p2p terminal detection method, and p2p terminal detection system Download PDFInfo
- Publication number
- JP2011205197A JP2011205197A JP2010067932A JP2010067932A JP2011205197A JP 2011205197 A JP2011205197 A JP 2011205197A JP 2010067932 A JP2010067932 A JP 2010067932A JP 2010067932 A JP2010067932 A JP 2010067932A JP 2011205197 A JP2011205197 A JP 2011205197A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- packet
- initial packet
- detection
- random
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、P2P通信を行なっている端末を検知し、検知したP2P端末に対する制御を行う技術に関する。 The present invention relates to a technique for detecting a terminal performing P2P communication and performing control on the detected P2P terminal.
インターネット上で行われる通信の一形態として、ピア・トゥ・ピア通信(以下、P2P通信と表記する。)と呼ばれるものがある。これは不特定多数のコンピュータ(ノード)が相互に接続され、ルータなどを介しファイルなどの情報を送受信するインターネットの利用形態である。 One form of communication performed on the Internet is called peer-to-peer communication (hereinafter referred to as P2P communication). This is a usage form of the Internet in which an unspecified number of computers (nodes) are connected to each other and information such as files is transmitted and received via a router.
P2P通信は、ファイルの共有などの大きな恩恵を利用者にもたらす一方で、著作権を侵害するデータの流通に利用されたり、P2P通信のトラヒックの増加が通信ネットワークの大きな負荷となったりするなどの問題を発生させている。また、P2P通信を行うP2Pソフトを悪用したウイルスによる情報漏洩事故が多発し、社会的な問題となっている。最近では、ISP(Internet Services Provider)によるトラヒック制御を回避するために、Diffie-Hellman鍵交換を利用した暗号処理MSE(Message Stream Encryption)を実装したP2Pソフトも出現している。 While P2P communication provides users with great benefits such as file sharing, it is used for the distribution of data that infringes copyright, and the increase in traffic of P2P communication becomes a heavy load on communication networks. It is causing a problem. In addition, information leakage accidents due to viruses exploiting P2P software that performs P2P communication frequently occur, which is a social problem. Recently, in order to avoid traffic control by ISP (Internet Services Provider), P2P software that implements encryption processing MSE (Message Stream Encryption) using Diffie-Hellman key exchange has also appeared.
これらの動きを受け、ネットワーク上のP2P端末を検知し、そのトラヒックを制御しようとする試みがなされている。例えば、特許文献1ではペイロード(パケットの総サイズのうち、送信IPや受信IPなどの管理情報(ヘッダ情報)を除いた正味のデータ。)の構造変化を、文字コード出現確率のヒストグラムの変化として評価し、P2P端末を検知するシステムに関する技術が開示されている。また、非特許文献1では、パケットの中身を解析してP2P端末を検知するP2P端末検知手法に関する技術が開示されている。 In response to these movements, attempts have been made to detect P2P terminals on the network and control their traffic. For example, in Patent Document 1, a structural change of a payload (net data excluding management information (header information) such as transmission IP and reception IP in the total packet size) is represented as a change in a histogram of character code appearance probabilities. A technique related to a system for evaluating and detecting a P2P terminal is disclosed. Non-Patent Document 1 discloses a technique related to a P2P terminal detection method for detecting a P2P terminal by analyzing the contents of a packet.
しかしながら、特許文献1においては、ペイロードの構造変化をP2P端末検知に利用しており、少なくとも2パケット以上のデータが必要になるという問題がある。また、フロー(送信IP、送信ポート、受信IP、受信ポート、プロトコルの5要素が同一であるパケットの集合と、プロトコルが同一で送受信IPおよび送受信ポートが逆転したパケットの集合)単位でペイロードの構造変化を記憶しているため、多数のフローが存在する回線において負荷が高くなるといった課題があった。 However, Patent Document 1 uses the payload structure change for P2P terminal detection, and there is a problem that at least two packets of data are required. Payload structure for each flow (a set of packets that have the same five elements of sending IP, sending port, receiving IP, receiving port, and protocol, and a set of packets that have the same protocol and the sending and receiving IP and sending and receiving ports are reversed) Since the change is stored, there is a problem that the load becomes high in a line having a large number of flows.
また、非特許文献1においては、ペイロードに含まれる特定の文字列をP2P端末検知に利用しており、暗号化を行なうP2P端末の通信では、ペイロードに特定の文字列が現れず、検知できないといった課題があった。すなわち、これらの技術では、P2P端末が暗号化通信を行う場合において、ネットワークに負荷をかけることなく、P2P端末を検知することができず、その結果、本来トラヒック制御が必要なP2P端末に対して、その制御ができないという問題があった。 Further, in Non-Patent Document 1, a specific character string included in the payload is used for P2P terminal detection, and in communication of a P2P terminal that performs encryption, the specific character string does not appear in the payload and cannot be detected. There was a problem. In other words, with these technologies, when a P2P terminal performs encrypted communication, the P2P terminal cannot be detected without imposing a load on the network, and as a result, for a P2P terminal that originally needs traffic control. There was a problem that it could not be controlled.
本発明は、以上の点に鑑みなされたものであり、ネットワークに負荷をかけることなく、P2P端末を検知し、本来トラヒック制御が必要なP2P端末に対する制御が可能なP2P端末検知装置、P2P端末検知方法、およびP2P端末検知システムを提供することを目的とする。 The present invention has been made in view of the above points. A P2P terminal detection apparatus and a P2P terminal detection capable of detecting a P2P terminal and controlling a P2P terminal that originally needs traffic control without imposing a load on the network. It is an object to provide a method and a P2P terminal detection system.
上述した目的を達成するために、本発明にかかるP2P端末検知装置は、ネットワークを介してパケットを送受信する端末がP2P端末であるか否かを検知するP2P端末検知装置であって、前記端末が前記ネットワークを介して送受信するパケットを受信する受信手段と、前記受信手段が受信した前記パケットが接続確立後に最初に送受信するパケットである初期パケットであるか否かを判定するパケット判定手段と、前記パケット判定手段が前記初期パケットであると判定した場合に、前記初期パケットのランダム性の有無を判定し、前記初期パケットにランダム性があると判定した場合に、前記端末がP2P端末であると検知するランダム判定手段と、前記ランダム判定手段が前記端末が前記P2P端末であると検知した場合に、検知された前記P2P端末のトラヒックを制御する制御手段と、を備えることを特徴とする。 In order to achieve the above-described object, a P2P terminal detection apparatus according to the present invention is a P2P terminal detection apparatus that detects whether or not a terminal that transmits and receives packets via a network is a P2P terminal. Receiving means for receiving a packet to be transmitted / received via the network; packet determining means for determining whether the packet received by the receiving means is an initial packet to be transmitted / received first after connection establishment; When the packet determination means determines that the packet is the initial packet, it determines whether or not the initial packet is random. If the packet is determined to be random, the terminal is detected as a P2P terminal. Detecting when the random determination means detects that the terminal is the P2P terminal. It characterized in that it comprises a control means for controlling the traffic of the P2P terminals that.
また、本発明は、上記P2P端末検知装置を用いたP2P端末検知方法およびP2P端末検知システムである。 The present invention also provides a P2P terminal detection method and a P2P terminal detection system using the P2P terminal detection device.
本発明によれば、ネットワークに負荷をかけることなく、P2P端末を検知し、本来トラヒック制御が必要なP2P端末に対する制御が可能なP2P端末検知装置、P2P端末検知方法、およびP2P端末検知システムを提供することができる。 According to the present invention, a P2P terminal detection device, a P2P terminal detection method, and a P2P terminal detection system capable of detecting a P2P terminal and controlling a P2P terminal that originally needs traffic control without imposing a load on the network are provided. can do.
以下に添付図面を参照して、この発明にかかるP2P端末検知システム、P2P端末検知装置の実施の形態を詳細に説明する。 Exemplary embodiments of a P2P terminal detection system and a P2P terminal detection device according to the present invention will be described below in detail with reference to the accompanying drawings.
P2P端末の検知を行なうには、P2P端末間で送受信されるパケットデータを監視する方法が一般的に用いられる。パケットデータには、P2Pソフト特有の情報が記載されていることが多く、そういったP2Pソフトには有効な方法である。しかし、P2Pソフトによっては、当該パケットデータによる検知を逃れるために、パケットデータを暗号化し、特徴のない乱数列に見せかけるものが存在している。 In order to detect a P2P terminal, a method of monitoring packet data transmitted / received between P2P terminals is generally used. Packet data often contains information specific to P2P software, which is an effective method for such P2P software. However, depending on the P2P software, in order to avoid detection by the packet data, there is a software that encrypts the packet data and makes it appear as a random number sequence with no features.
本発明では、この特徴を利用し、初期パケット(コネクション確立後の最初のパケット)のランダム性を検定することで、暗号化通信を行なうP2P端末を検知する。第1の実施の形態では、この点に着目し、P2P端末の検知および検知したP2P端末に対するトラヒック制御について説明している。また、上記の方法では、P2Pソフトの種別までは特定できない。そこで、P2P端末として検知された端末に対して、P2Pソフトのプロトコルに従った接続を行ない、その接続の可否によりP2Pソフト種別を特定する。第2の実施の形態では、この点に着目し、P2P端末の検知および検知したP2P端末に対するトラヒック制御について説明している。
(第1の実施の形態)
まず、第1の実施の形態におけるP2P端末検知システム1000を、図1から図9を用いて説明する。図1は、第1の実施の形態におけるP2P端末検知システム1000の構成を示す図である。図1に示すように、P2P端末検知システム1000は、トラヒック制御装置101と、P2P端末検知装置102と、P2P端末制御装置103とを含んで構成されている。
In the present invention, a P2P terminal that performs encrypted communication is detected by examining the randomness of an initial packet (first packet after connection establishment) using this feature. In the first embodiment, paying attention to this point, detection of a P2P terminal and traffic control for the detected P2P terminal are described. Also, with the above method, it is not possible to specify the type of P2P software. Therefore, the terminal detected as the P2P terminal is connected according to the protocol of the P2P software, and the P2P software type is specified by whether or not the connection is possible. In the second embodiment, focusing on this point, the detection of the P2P terminal and the traffic control for the detected P2P terminal are described.
(First embodiment)
First, a P2P terminal detection system 1000 according to the first embodiment will be described with reference to FIGS. FIG. 1 is a diagram illustrating a configuration of a P2P terminal detection system 1000 according to the first embodiment. As shown in FIG. 1, the P2P terminal detection system 1000 includes a
なお、以下では、P2P端末を検知し、検知したP2P端末に対するトラヒック制御を、上述した各装置で行う前提で説明しているが、例えば、ネットワークを流れるトラヒックに応じて、上述した検知や制御を1つの装置で行うこととしてもよい。まず、トラヒック制御装置101について説明する。
In the following description, it is assumed that the P2P terminal is detected and the traffic control for the detected P2P terminal is performed by each of the devices described above. For example, the detection and control described above are performed according to the traffic flowing through the network. It may be performed by one apparatus. First, the
トラヒック制御装置101は、通信路104を流れるトラヒックを受信し、所定の制御ポリシに基づいてトラヒックを制御し、制御後のトラヒックを通信路108に送信する。また、トラヒック制御装置101は、通信路104のトラヒックの中から、検知対象のトラヒック、例えば、検知を行ないたい通信(分析対象の通信)のIPアドレスを参照し、参照したIPアドレスが設定されている端末が送受信を行なっているトラヒックをコピーし、コピーしたトラヒックを通信路105に出力する。なお、通信路105、通信路106、通信路107は、例えば、バスやケーブルなどの情報伝達媒体である。なお、トラヒック制御装置101がコピーしたトラヒックには、少なくとも送信IPアドレス、送信ポート、受信IPアドレス、受信ポートの各情報を含んでいるものとする。
The
P2P端末検知装置102は、通信路105を流れるトラヒックを受信し、受信したトラヒックの中からP2P通信の検知を行ない、その検知した結果である検知情報を通信路106に送信する。この検知情報の具体的な内容については、図5を用いて後述する。
The P2P
なお、P2P端末検知装置102は、トラヒック制御装置101が分析対象のトラヒックを選択してコピーしたその分析対象のトラヒックに対して、P2P通信端末を検知する処理を実行することが望ましい。しかし、P2P端末検知装置102が十分な性能を持った装置であるならば、分析対象となるトラヒックの選択も含めて、P2P端末検知装置102がこれらの処理を実行しても良い。このような構成にすることにより、トラヒック制御装置101によるトラヒックの選択、および選択したトラヒックのコピーに係る負荷を軽減できる。この場合、図1において、P2P端末検知装置102は、通信路105に代えて、通信路104に接続し、トラヒック制御装置101は、P2P端末検知装置102と接続することなく、所定の制御ポリシに基づいてトラヒックを制御することができ、トラヒック制御装置101にかかる処理負荷が軽減される。
It is desirable that the P2P
P2P端末制御装置103は、通信路106を流れる検知情報を受信し、受信した検知情報に従って、P2P端末に対してどのような制御を行うかを示す制御情報を、通信路107に送信する。この制御情報の具体的な内容については、図7を用いて後述する。
The P2P
通信路104及び通信路108は、例えば、イントラネットやインターネットなどのネットワーク、あるいはこれらに接続するための通信網である。通信路104及び通信路108には1台以上の端末が接続され、例えば、ウェブアクセスやファイル転送などの通信を行なっている。P2P端末制御装置103は、他のネットワークに接続している複数のトラヒック制御装置に制御情報を送信し、他のネットワーク上を流れるトラヒックを制御しても良い。
The
図2は、トラヒック制御装置101の構成例を示す図である。図2に示すように、トラヒック制御装置101は、例えば、ルータ等のネットワーク機器であり、CPU(Central Processing Unit)204と、CPU204が処理を実行するために必要なデータを格納するためのメモリ206と、他装置と通信を行なうためのIF(インタフェース)201、IF202、IF203、IF205と、キーボード、ディスプレイなどの入出力を行なうための入出力装置207と、これらの各装置を接続する通信路(バス)208とを含んで構成される。なお、他の図においてもIF(インタフェース)と呼ぶが、接続先に応じて通信インタフェース、入出力インタフェース、又は動作に応じて通信装置、受信装置、送信装置、入出力装置などと呼ぶこともある。
FIG. 2 is a diagram illustrating a configuration example of the
CPU204は、メモリ206に記憶されたトラヒック制御プログラム210を実行する。メモリ206には、トラヒックを制御するためのトラヒック制御ルール209が格納されている。トラヒック制御ルール209には、通信を制御する情報が含まれており、例えば、トラヒック制御装置101を通過する通信のパケットの廃棄、帯域の制限、宛先経路の変更、トラヒックをコピーして他のIFから送信するミラーリング等のルールが格納されている。
The
トラヒック制御ルール209は、入出力装置207、あるいは通信路107を経由し、IF205を介して新たなルールを受信することによって書き換え又は追加される。トラヒック制御装置101は、通信路104から受信したトラヒックを、トラヒック制御ルール209に従い、IF202及び/又はIF203を介して、通信路105及び/又は通信路108に送信する。
The
図3は、P2P端末検知装置102の構成例を示す図である。上述したように、P2P端末検知装置102は、トラヒックの中からP2P通信を行なっている端末を検知するものである。図3に示すように、P2P端末検知装置102は、CPU302と、メモリ304と、IF301、IF303と、入出力装置305と、これらの各装置を接続する通信路(バス)とを含んで構成されたコンピュータである。
FIG. 3 is a diagram illustrating a configuration example of the P2P
CPU302がメモリ304に記憶されたP2P端末検知プログラム307を実行することにより、P2P通信を行なっている端末を検知する。メモリ304には、初期パケットを判定するためのコネクション情報管理データ308が格納されている。P2P端末検知プログラム307は、あらかじめ、メモリ304に格納されていてもよいし、必要な時に、IF301あるいはIF303を介して他の装置からロード(インストール)されてもよい。
When the
P2P端末検知装置102のIF301がTCP(Transmission Control Protocol)コネクション接続要求(TCPヘッダ内のSYNフラグをONにした)パケットを受信すると、CPU302からの指示にしたがって、P2P端末検知プログラム307は、コネクション管理データ308に当該パケットのコネクション情報401を登録し、1バイト以上のペイロードを有しているパケットを受信すると、コネクション管理データ308から当該パケットのコネクション情報を削除する。コネクション管理データ308は、例えば、図4に示すように、コネクション情報401の情報を含む。ここで、コネクション情報401とは、通信する端末同士のコネクションを識別するための情報であり、例えば、送信IPアドレス、送信ポート番号、受信IPアドレス、受信ポート番号から算出される情報である。
When the
一般に、暗号化して通信を行なうP2P端末は、特徴のない乱数列に見せかけたパケットを初期パケットとして用いる。CPU302からの指示に応じて、P2P端末検知プログラム307は、この初期パケットに対してランダム検定を行ない、当該コネクションがP2P端末による通信であるか判定を行なう。P2P端末検知装置102は、この判定結果を検知情報としてIF303を介して通信路106に送信する。
In general, a P2P terminal that performs encrypted communication uses a packet that appears to be a random number sequence with no features as an initial packet. In response to an instruction from the
図5は、P2P端末検知プログラム307が、CPU302からの指示に応じて、通信路106に送信する検知情報の一例を示す図である。図5に示すように、検知情報には、少なくとも、端末を識別(特定)するための端末情報501と、その端末がP2P端末である可能性の高さ(大きさ)を表す確信度502と、その端末が利用しているP2Pソフトの種別を示すP2Pソフト種別503とが含まれている。なお、P2P端末検知プログラム307によってP2Pソフト種別503を特定することができない場合は、P2Pソフト種別503としてAny(何らかのP2Pソフトであることを示す識別子)を送信する。
FIG. 5 is a diagram illustrating an example of detection information that the P2P
また、端末情報501には、ランダム性があると判定されたパケット(乱数らしさがある一定の閾値以下(あるいは閾値以上)のパケット)の送信IP504と、送信ポート505と、受信IP506と、受信ポート507とが含まれている。ここで、乱数らしさとは、真の乱数にどれだけ近いかの尺度を表している。図5では、IPアドレスが「192.168.0.1」の「10001」番ポートから、IPアドレスが「192.168.0.2」の「20000」番ポートに対して送信したパケットを、何らかのP2P通信である(P2Pソフト種別503が「Any」である)と検知した結果を示している。なお、P2P端末検知プログラム307による具体的な処理については、図8を用いて後述する。続いて、P2P端末制御装置103について説明する。
In addition, the
図6は、P2P端末制御装置103の構成例を示す図である。P2P端末制御装置103は、上述したように、P2P端末の通信を制御するものであり、CPU603と、メモリ602と、データを記録する容量を持つハードディスクやフラッシュメモリなどの記憶装置606と、他装置と通信を行うためのIF601、IF605と、入出力装置604と、これらの各装置間を接続する通信路607とを含んで構成されたコンピュータである。
FIG. 6 is a diagram illustrating a configuration example of the P2P
CPU603は、メモリ602に記憶されているP2P端末制御プログラム608を実行することにより、P2P端末のトラヒック制御を行う。なお、記憶装置606には、P2P端末のトラヒックをどのように制御するのかを示す制御ポリシを格納した制御ポリシデータ609が格納されている。P2P端末制御プログラム608や制御ポリシデータ609は、あらかじめ、メモリ602または記憶装置606に格納されていてもよいし、入出力装置604からまたはIF601あるいはIF605を介して他の装置から、インストール(ロード)されてもよい。
The
図7は、制御ポリシデータ609の一例を示す図である。図7に示すように、制御ポリシデータ609は、P2Pソフト種別701と、確信度702と、制御情報703とを含む情報である。これらの情報は、あらかじめ管理者等によって設定され、制御ポリシデータ609のP2Pソフト種別701及び確信度702は、制御の内容である制御情報703を選択するための基準である。図7に示すように、制御情報703は、P2Pソフト種別701の種別および確信度702のレベル(数値の大きさ)に対応付けて記憶されている。
FIG. 7 is a diagram illustrating an example of the
P2P端末制御プログラム608は、CPU603からの指示に応じて、受信した検知情報に含まれるP2Pソフト種別503及び確信度502と、制御ポリシデータ609のP2Pソフト種別701及び確信度702とを比較し、比較した結果に対応する制御情報703を、IF605を介して通信路107に送信する。P2P端末制御プログラム608の具体的な処理については図9を用いて後述する。
In response to an instruction from the
続いて、P2P端末検知装置102のP2P端末検知プログラム307がP2P端末を検知し、検知情報を送信する処理(以下、検知処理と呼ぶ。)について説明する。図8は、検知処理の処理手順を示すフローチャートである。
Subsequently, a process (hereinafter referred to as a detection process) in which the P2P
図8に示すように、P2P端末検知プログラム307は、CPU302からの指示に応じて、通信路105を流れるパケットを、IF301を介して受信し(ステップS801)、受信したパケットのヘッダ部を解析し、受信したパケットが、SYNフラグがONになっているパケット(SYNパケット)であるか否かを判定する(ステップS802)。
As shown in FIG. 8, the P2P
そして、P2P端末検知プログラム307は、受信したパケットが、SYNフラグがONになっているパケット(SYNパケット)であると判定した場合(ステップS802;Yes)、受信したパケットからコネクション情報401を算出し、算出したコネクション情報401を、コネクション情報管理データ308に登録し(ステップS803)、図8に示す検知処理を終了させる。
If the P2P
コネクション情報401は、上述したように、例えば、送信IP、送信ポート、受信IP、受信ポートを結合した12バイトの情報である。なお、上記コネクション情報401の算出方法は一例であり、P2P端末間の通信を識別できる情報であればどのような手法によって算出してもよい。
As described above, the
一方、P2P端末検知プログラム307は、受信したパケットが、SYNフラグがONになっているパケット(SYNパケット)でないと判定した場合(ステップS802;No)、P2P端末検知プログラム307は、さらに、受信したパケットが1バイト以上のペイロードを有しているか否かを判定する(ステップS804)。
On the other hand, when the P2P
P2P端末検知プログラム307は、受信したパケットが1バイト以上のペイロードを有していないと判定した場合(ステップS804;No)、図8に示す検知処理を終了させる。
If the P2P
一方、P2P端末検知プログラム307は、受信したパケットが1バイト以上のペイロードを有していると判定した場合(ステップS804;Yes)、さらに、ステップS804で判定したパケットのコネクション情報と、送受信IP及び送受信ポートを逆転したパケットのコネクション情報とを、ステップS803と同様の方法で算出し、算出した2つのコネクション情報のうち、どちらか一方のコネクション情報が、コネクション情報管理データ308に既に登録されているか否かを判定する(ステップS805)。
On the other hand, when the P2P
そして、P2P端末検知プログラム307は、算出した2つのコネクション情報のうち、どちらか一方のコネクション情報が、コネクション情報管理データ308に既に登録されていると判定した場合(ステップS805;Yes)、コネクション情報データ308から該当コネクション情報401を削除し、受信したパケットを初期パケットと判定して、ステップS806に進む。
If the P2P
一方、P2P端末検知プログラム307は、算出した2つのコネクション情報のうち、どちらか一方のコネクション情報が、コネクション情報管理データ308に既に登録されていないと判定した場合(ステップS805;No)、図8に示す検知処理を終了させる。
On the other hand, when the P2P
そして、P2P端末検知プログラム307は、ステップS805において、受信したパケットが初期パケットであると判定すると、そのパケットに対してランダム検定を行なう(ステップS807)。ランダム検定には、例えば、パケットデータのビット列の偏りを用いる。パケットデータが真にランダムであれば、パケットデータに含まれる0の個数と1の個数は等しくなる可能性が高い。そこで、(0の個数−1の個数)/(0と1の個数)の絶対値を求め、この値がある閾値(例えば0.2)より小さい場合は、ランダム性があると判定する(環境に合わせて閾値を変えてもよい)。
If the P2P
なお、上記のランダム検定方法は一例であり、例えば「NIST Special Publication 800-22」で述べられているランダム検定や、その他のランダム検定を用いてもよいし、それらを複数組み合わせて、全て閾値以下(あるいは閾値以上)だった場合(あるいは特定の検定だけ閾値以下(あるいは閾値以上))であった場合にランダム性があると判定してもよい。また、P2P端末検知プログラム307は、上述したランダム検定を、初期パケットを受信する毎に行い、初期パケットにランダム性があると判定する毎に、端末がP2P端末であると検知するものとする。
The above random test method is an example. For example, the random test described in “NIST Special Publication 800-22” or other random tests may be used, or a plurality of them may be combined, and all of them are below the threshold value. It may be determined that there is randomness when it is (or above a threshold) (or below a threshold (or above a threshold) only for a specific test). The P2P
そして、P2P端末検知プログラム307は、ステップS806においてランダム検定を行ったパケットにランダム性があるか否かを判定し(ステップS807)、そのパケットにランダム性があると判定した場合(ステップS807;Yes)、当該パケットをP2P通信端末による通信と判定し、判定した結果を検知情報として、IF303を介して通信路106に送信し(ステップS808)、図8に示す検知処理を終了させる。
Then, the P2P
検知情報には、判定した端末情報501と、その端末がP2P端末である可能性の大きさを表す確信度502と、その端末が利用しているP2Pソフト種別503とが含まれている。なお、本実施の形態においては、P2Pソフト種別が特定できないため、何らかのP2Pソフトであることを意味する「Any」をP2Pソフト種別として送信する。また、確信度は、例えば、{1-|(0の個数−1の個数)|/(0と1の個数)}などにより求める。例示した式によれば、確信度は、パケットデータに0と1が同じ数だけ存在する場合に1であり、パケットデータに0だけ、又は1だけしか存在しない場合に0となる。なお、上記の確信度の算出方法は一例であり、ランダム検定を用いて乱数らしさを算出し、確信度としてもよい。
The detection information includes the determined
一方、P2P端末検知プログラム307は、そのパケットにランダム性がないと判定した場合(ステップS807;No)、図8に示す検知処理を終了させる。このステップS803〜S805、S807、S808のいずれかの処理が終了すると、図8に示す検知処理の全ての処理が終了する。
On the other hand, if the P2P
続いて、P2P端末制御装置103のP2P端末制御プログラム608がP2P端末検知装置103から検知情報を受信し、制御情報を送信する処理(以下、制御処理と呼ぶ。)について説明する。図9は、制御処理の処理手順を示すフローチャートである。
Next, a process (hereinafter referred to as a control process) in which the P2P
図9に示すように、P2P端末制御プログラム608は、CPU603からの指示に応じて、通信路106を流れる検知情報をIF601を介して受信し(ステップS901)、受信した検知情報に含まれているP2Pソフト種別503及び確信度502と、制御ポリシデータ609に含まれるP2Pソフト種別701及び確信度702とを比較し、該当するポリシ(検知情報に含まれるP2Pソフト種別502と制御ポリシデータ609に含まれるP2Pソフト種別701が一致し、検知情報に含まれる確信度502が、制御ポリシデータ609の確信度702の値以上であるポリシ)が存在するか否かを判定する(ステップS902)。
As shown in FIG. 9, the P2P
そして、P2P端末制御プログラム608は、該当するポリシが存在すると判定した場合(ステップS902;Yes)、検知情報に含まれている端末情報501と、制御情報703を、IF605を介して通信路107に送信し、図9に示す制御処理を終了させる。本実施の形態においては、例えば、図7に示したポリシを保持しているP2P端末制御装置103が、図5に示した検知情報を受信した場合、制御情報として「帯域制御」が選択されることとなる。そして、通信路107を介してトラヒック制御装置101が制御情報を受信すると、その制御情報に設定された内容(例えば、「帯域制御」)に従ってトラヒックを制御する。
If the P2P
一方、P2P端末制御プログラム608は、該当するポリシが存在しないと判定した場合(ステップS902;No)、何もせずに図9に示す制御処理を終了させる。そして、ステップS902またはS903の処理が終了すると、図9に示す制御処理の全ての処理が終了する。
On the other hand, if the P2P
このように、ネットワークを介してパケットを送受信する端末がP2P端末であるか否かを検知するP2P端末検知システム1000において、P2P端末検知装置102は、IF301が、端末がネットワークを介して送受信するパケットを受信し、P2P端末検知プログラム307が、IF301が受信したパケットが接続確立後に最初に送受信するパケットである初期パケットであるか否かを判定し、初期パケットであると判定した場合に、初期パケットのランダム性の有無を判定し、初期パケットにランダム性があると判定した場合に、端末がP2P端末であると検知し、IF303が、P2P端末検知プログラム307が端末がP2P端末であると検知した結果を検知情報として送信し、P2P端末制御装置103は、IF601が、P2P端末検知装置103から前記検知情報を受信し、P2P端末制御プログラム602が、IF601が受信した検知情報に基づいて、検知されたP2P端末のトラヒックを制御するので、ネットワークに負荷をかけることなく、P2P端末を検知し、本来トラヒック制御が必要なP2P端末に対する制御が可能となる。すなわち、初期パケットのみを用いて、暗号化通信を行なうP2P端末の検知が可能となり、検知に応じたP2P端末の制御が可能となる。
As described above, in the P2P terminal detection system 1000 that detects whether or not a terminal that transmits and receives a packet via the network is a P2P terminal, the P2P
なお、本実施例の一部を変更して、次のように実施してもよい。P2P端末検知プログラム307の検知結果を、入出力装置207に出力する。これにより、ネットワーク管理者が当該P2P端末の利用者に対して警告メッセージを発したりするなどの対策を講じることができる。
Note that a part of the present embodiment may be changed and implemented as follows. The detection result of the P2P
また、P2P端末検知プログラム307は、コネクション確立要求に対する応答(TCPヘッダ内のSYNフラグ及びACKフラグをONにした)パケットを受信すると、コネクション管理データ308に当該パケットのコネクション情報を登録する。これにより、確立しないTCP接続を大量に試みるSYN-Flood攻撃(SYN flooding attack)などの無意味なコネクション情報を保持しなくなる。
When the P2P
コネクション情報登録(ステップS703)では、受信したパケットと、送受信IP及び送受信ポートが逆転したパケットとのコネクション情報が同じ値になるようなコネクション情報算出方法を利用してもよい(例えば、送信IP、送信ポートを結合した値のMD5ハッシュ値と、受信IP、受信ポートを結合した値のMD5ハッシュ値との排他的論理和を取るなどして算出)。これによりステップS705の処理において、送受信IP及び送受信ポートを逆転させたコネクション情報を算出する必要がなくなる。また、コネクション情報管理データ308のメモリ領域を節約するために、先ほど求めた排他的論理和の上位4バイトをコネクション情報401としても良い。このとき、コネクション情報401の衝突が起こり、コネクションを誤って識別してしまう可能性があるため、メモリ領域に応じてコネクション情報401の大きさを変えてもよい。
(第2の実施の形態)
本実施の形態においては、上述したP2P端末検知プログラム307の検知情報送信(ステップS808)に係る処理が第1の実施の形態とは異なっているため、第1の実施の形態と同一の構成要素には同一の符号を付すことによってその説明を省略し、以下では、上述した異なる点を中心に説明する。
In the connection information registration (step S703), a connection information calculation method in which the connection information of the received packet and the packet in which the transmission / reception IP and the transmission / reception port are reversed may have the same value (for example, transmission IP, Calculated by taking the exclusive OR of the MD5 hash value of the combined value of the sending port and the MD5 hash value of the combined value of the receiving IP and receiving port). This eliminates the need to calculate connection information in which the transmission / reception IP and the transmission / reception port are reversed in the process of step S705. Further, in order to save the memory area of the connection
(Second Embodiment)
In the present embodiment, since the processing related to the detection information transmission (step S808) of the P2P
図10は、第2の実施の形態におけるP2P通信端末検知装置902の構成例を示す図である。図10に示すように、P2P通信端末検知装置902は、第1の実施の形態におけるメモリ304とは異なるメモリ904を備えている。メモリ904は、第1の実施の形態におけるメモリ304と同様の内容を記憶するほか、P2Pソフト種別を特定するためのP2P種別特定プログラム1001を記憶している。さらに、P2P種別特定プログラム1001には、P2P端末に接続するための、P2Pソフトの種別に応じた接続プログラムを記憶している。図10では、その一例として、BitTorrent接続プログラム1002aと、Winny接続プログラム1002bとが記憶されているが、これに限らず様々なP2Pソフトの種別に応じた接続プログラムを記憶することができる。
FIG. 10 is a diagram illustrating a configuration example of the P2P communication
第2の実施の形態においては、CPU303がメモリ904に記憶されているP2P種別特定プログラム1001を実行することにより、P2P種別の特定を行なう。P2P種別特定プログラム1001は、上述したように、P2Pソフトに応じた接続を行なうためのP2P接続プログラム1002を有している。これらのプログラムは、あらかじめ、メモリ904に格納されていてもよいし、必要なときに、IF301あるいはIF303を介して他の装置からロード(インストール)されてもよい。
In the second embodiment, the
図11は、P2P端末検知装置902のP2P種別特定プログラム1001が、P2Pソフトの種別を特定するための処理(以下、種別特定処理と呼ぶ。)の処理手順を示すフローチャートである。P2P種別特定プログラム1001は、第1の実施の形態における検知情報送信(ステップS808)に代わって、P2P端末検知プログラム307から呼び出される。
FIG. 11 is a flowchart showing a processing procedure of a process (hereinafter referred to as a type specifying process) for the P2P
図11に示すように、P2P端末検知装置902のP2P種別特定プログラム1001は、接続試行をしていないP2P接続プログラム1002が存在するか否か、すなわち全接続プログラムについて接続を試行したか否かを判定する(ステップS1101)。
As shown in FIG. 11, the P2P
そして、P2P種別特定プログラム1001は、全接続プログラムについて接続を試行していないと判定した場合(ステップS1101;No)、第1の実施の形態におけるステップS807において、P2P端末と判定された端末に対して、P2P接続プログラム1002による接続を試行する接続試行処理を行う(ステップS1102)。なお、P2P接続プログラム1002の例として、Winny接続プログラム1002bが接続試行処理を行う場合の処理手順については、図12を用いて後述する。
If the P2P
一方、P2P種別特定プログラム1001は、全接続プログラムについて接続を試行したと判定した場合(ステップS1101;Yes)、図11に示した種別特定処理を終了させる。
On the other hand, if the P2P
そして、P2P種別特定プログラム1001は、ステップS1102において接続を試行した結果、P2P接続プログラム1002によって接続が正しく行なわれたか否かを判定し(ステップS1103)、P2P接続プログラム1002によって接続が正しく行なわれたと判定した場合(ステップS1103;Yes)、接続に利用したP2P接続プログラムの対象としているP2Pソフトが、当該端末で稼働していると判断し、ステップS1104に進む。
Then, the P2P
一方、P2P種別特定プログラム1001は、P2P接続プログラム1002によって接続が正しく行なわれていないと判定した場合(ステップS1103;No)ステップS1101に戻って、ステップS1101〜S1103の処理を繰り返す。
On the other hand, if the P2P
P2P種別特定プログラム1001は、ステップS1103において、P2P接続プログラム1002によって接続が正しく行なわれたと判定すると、その判定結果を、検知情報としてIF303を介して通信路106に送信し(ステップS1104)、図11に示した種別特定処理を終了させる。検知情報には、判定した端末情報501と、その端末がP2P端末である可能性の大きさを表す確信度502、その端末が利用しているP2Pソフト種別503が含まれている。本実施例では、P2P通信するプログラムを特定させているため、確信度を1として送信してよい。
When the P2P
図12は、図11に示した接続試行処理の処理手順を示すフローチャートである。上述したように、図12では、Winnyの特定を行なうWinny接続プログラム1002bについて説明する。
FIG. 12 is a flowchart of a process procedure of the connection trial process shown in FIG. As described above, FIG. 12 describes the
図12に示すように、Winny接続プログラム1002bは、第1の実施の形態におけるステップS807の処理において、P2P端末と判定された端末に対して、鍵情報を送信する(ステップS1201)。鍵情報は、図13に例示するように、乱数1301と、RC4暗号鍵1302と、データ1303とを含んでいる。データ1303は、例えば、Winnyを認識するためのバージョン番号であるバイト列「01 00 00 00 61」を、RC4暗号鍵1302を用いて暗号化したバイト列である。
As illustrated in FIG. 12, the
Winny接続プログラム1002aは、接続先の端末からパケットを受信したか否かを判定する(ステップS1202)。そして、Winny接続プログラム1002aは、接続先の端末からパケットを受信したと判定した場合(ステップS1202;Yes)、ステップS1203に進む。
The
一方、Winny接続プログラム1002aは、接続先の端末からパケットを受信していないと判定した場合(ステップS1202;No)、図12に示す接続試行処理を終了させる。例えば、Winny接続プログラム1002aは、ある一定時間(例えば、閾値として設定された時間3秒)経過してもパケットを受信しない場合、図12に示す接続試行処理を終了させる。
On the other hand, if the
ステップS1202において、接続先の端末からパケットを受信したと判定すると、Winny接続プログラム1002aは、受信したパケットの復号処理を行なう(ステップS1203)。このとき、接続先がWinnyであれば、図13に例示したデータと同一構造のデータが送られてくる。そこで、RC4暗号鍵1302を用いて、データ1303の復号化を行なう。
If it is determined in step S1202 that a packet has been received from the connection destination terminal, the
Winny接続プログラムは、ステップS1203において復号した結果を、上述したバイト列「01 00 00 00 61」と比較して一致しているか否かを判定し(ステップS1204)、両者が一致していると判定した場合(ステップS1204;Yes)、接続先端末に正しく接続されたと判定する(ステップS1205)。そして、ステップS1202またはS1205の処理が終了すると、図12に示した接続試行処理の全ての処理が終了する。 The Winny connection program compares the result decoded in step S1203 with the above-described byte string “01 00 00 00 61” to determine whether or not they match (step S1204), and determines that they match. If it is determined (step S1204; Yes), it is determined that the connection destination terminal is correctly connected (step S1205). When the processing in step S1202 or S1205 is completed, all the connection trial processing shown in FIG. 12 is completed.
このように、第2の実施の形態によれば、P2P端末検知装置902は、メモリ904が、複数の種別のP2Pソフトウェアを記憶し、P2P端末検知装置103は、記憶装置606が、複数のP2Pソフトウェアの種別に対応付けて、制御情報と初期パケットの乱数らしさを含む情報とを制御ポリシデータ609として記憶し、P2P検知プログラム307は、端末に対してメモリ904が記憶するP2Pソフトウェアによる接続を行ない、接続が正常に行われた場合に、端末が使用するP2Pソフトウェアを特定し、特定したP2Pソフトウェアに対応する制御情報と初期パケットの乱数らしさを含む情報とを含む検知情報を出力する、ので、P2Pソフト種別を考慮したP2P通信端末の検知が可能となり、検知に応じたP2P端末の制御が可能となる。
As described above, according to the second embodiment, the P2P
本発明は、上記実施の形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化することができる。また、上記実施の形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成することができる。例えば、実施の形態に示される全構成要素からいくつかの構成要素を削除してもよい。さらに、異なる実施の形態にわたる構成要素を適宜組み合わせても良い。 The present invention is not limited to the above-described embodiments as they are, and can be embodied by modifying the constituent elements without departing from the scope of the invention in the implementation stage. In addition, various inventions can be formed by appropriately combining a plurality of constituent elements disclosed in the above embodiments. For example, some components may be deleted from all the components shown in the embodiment. Furthermore, constituent elements over different embodiments may be appropriately combined.
1000…P2P端末検知システム、101…トラヒック制御装置、102…P2P端末検知装置、103…P2P端末制御装置、209…トラヒック制御ルール、210…トラヒック制御プログラム、307…P2P端末検知プログラム、308…コネクション管理データ、602…P2P端末制御プログラム、609…制御ポリシデータ、1001…種別特定プログラム。 DESCRIPTION OF SYMBOLS 1000 ... P2P terminal detection system, 101 ... Traffic control apparatus, 102 ... P2P terminal detection apparatus, 103 ... P2P terminal control apparatus, 209 ... Traffic control rule, 210 ... Traffic control program, 307 ... P2P terminal detection program, 308 ... Connection management Data, 602... P2P terminal control program, 609... Control policy data, 1001.
Claims (15)
前記端末が前記ネットワークを介して送受信するパケットを受信する受信手段と、
前記受信手段が受信した前記パケットが接続確立後に最初に送受信するパケットである初期パケットであるか否かを判定するパケット判定手段と、
前記パケット判定手段が前記初期パケットであると判定した場合に、前記初期パケットのランダム性の有無を判定し、前記初期パケットにランダム性があると判定した場合に、前記端末がP2P端末であると検知するランダム判定手段と、
前記ランダム判定手段が前記端末が前記P2P端末であると検知した場合に、検知された前記P2P端末のトラヒックを制御する制御手段と、
を備えることを特徴とするP2P端末検知装置。 A P2P terminal detection device that detects whether a terminal that transmits and receives packets via a network is a P2P terminal,
Receiving means for receiving packets transmitted and received by the terminal via the network;
Packet determining means for determining whether or not the packet received by the receiving means is an initial packet that is transmitted and received first after connection establishment;
When the packet determination unit determines that the initial packet is the initial packet, the initial packet is determined to be random or not. When the initial packet is determined to be random, the terminal is a P2P terminal. Random determination means to detect;
Control means for controlling traffic of the detected P2P terminal when the random determination means detects that the terminal is the P2P terminal;
A P2P terminal detection device comprising:
ことを特徴とする請求項1に記載のP2P端末検知装置。 The packet determination means determines whether the packet received by the reception means is the initial packet by determining whether or not the packet received by the reception means includes an attribute having a connection request. Determine
The P2P terminal detection apparatus according to claim 1.
ことを特徴とする請求項1または2に記載のP2P端末検知装置。 The random determination means determines whether or not the initial packet has randomness every time the receiving means receives the initial packet, and every time the terminal determines that the initial packet has the randomness, the terminal Detect it as a device,
The P2P terminal detection apparatus according to claim 1 or 2, wherein
前記制御手段は、前記ランダム判定手段が出力した前記検知情報に基づいて、検知された前記P2P端末のトラヒックを制御する、
ことを特徴とする請求項1〜3のいずれか1項に記載のP2P端末検知装置。 The random determination means, when detecting that the terminal is the P2P terminal, outputs detection information including information identifying the terminal and randomness of the initial packet,
The control unit controls the detected traffic of the P2P terminal based on the detection information output by the random determination unit.
The P2P terminal detection apparatus according to any one of claims 1 to 3, wherein
前記制御手段は、前記制御情報記憶手段が記憶する前記初期パケットの乱数らしさを含む情報と、前記ランダム判定手段が出力した前記検知情報に含まれる前記初期パケットの乱数らしさとを比較し、前記ランダム判定手段が出力した前記検知情報に含まれる前記初期パケットの乱数らしさが、前記制御情報記憶手段が記憶する前記初期パケットの乱数らしさよりもより乱数らしい場合に、前記制御情報記憶手段が記憶する前記制御情報に基づいて、検知した前記P2P端末のトラヒックを制御する、
ことを特徴とする請求項4に記載のP2P端末検知装置。 Control information storage means for storing control information indicating how to detect the detected traffic of the P2P terminal in association with information including the randomness of the initial packet;
The control means compares the information including the random number likelihood of the initial packet stored in the control information storage means with the random number likelihood of the initial packet included in the detection information output from the random determination means, The control information storage means stores the random number probability of the initial packet included in the detection information output by the determination means when the randomness probability of the initial packet stored by the control information storage means is more random. Based on the control information, the detected traffic of the P2P terminal is controlled.
The P2P terminal detection apparatus according to claim 4.
前記制御情報記憶手段は、前記複数のP2Pソフトウェアの種別に対応付けて、前記制御情報と前記初期パケットの乱数らしさを含む情報とを記憶し、
前記ランダム判定手段は、前記端末に対して前記種別記憶手段が記憶する前記P2Pソフトウェアによる接続を行ない、前記接続が正常に行われた場合に、前記端末が使用するP2Pソフトウェアを特定し、特定した前記P2Pソフトウェアに対応する前記制御情報と前記初期パケットの乱数らしさを含む情報とを含む検知情報を出力する、
ことを特徴とする請求項5に記載のP2P端末検知装置。 Further comprising a type storage means for storing a plurality of types of P2P software;
The control information storage means stores the control information and information including the randomness of the initial packet in association with the plurality of P2P software types,
The random determination means performs connection by the P2P software stored in the type storage means to the terminal, and specifies and specifies the P2P software used by the terminal when the connection is normally performed. Outputting detection information including the control information corresponding to the P2P software and information including randomness of the initial packet;
The P2P terminal detection apparatus according to claim 5.
ことを特徴とする請求項6に記載のP2P端末検知装置。 The random determination means repeatedly identifies the P2P software used by the terminal by connecting to the terminal using the P2P software stored in the type storage means.
The P2P terminal detection apparatus according to claim 6.
前記端末が前記ネットワークを介して送受信するパケットを受信する受信ステップと、
前記受信ステップにおいて受信した前記パケットが接続確立後に最初に送受信するパケットである初期パケットであるか否かを判定するパケット判定ステップと、
前記パケット判定ステップにおいて前記初期パケットであると判定された場合に、前記初期パケットのランダム性の有無を判定し、前記初期パケットにランダム性があると判定した場合に、前記端末がP2P端末であると検知するランダム判定ステップと、
前記ランダム判定ステップにおいて前記端末が前記P2P端末であると検知された場合に、検知された前記P2P端末のトラヒックを制御する制御ステップと、
を含むことを特徴とするP2P端末検知方法。 A P2P terminal detection method performed by a P2P terminal detection device that detects whether a terminal that transmits and receives a packet via a network is a P2P terminal,
A receiving step of receiving a packet transmitted and received by the terminal via the network;
A packet determination step of determining whether or not the packet received in the reception step is an initial packet that is transmitted and received first after connection establishment;
When it is determined in the packet determination step that the packet is the initial packet, it is determined whether or not the initial packet is random. When the initial packet is determined to be random, the terminal is a P2P terminal. A random determination step for detecting
A control step of controlling traffic of the detected P2P terminal when the terminal is detected as the P2P terminal in the random determination step;
P2P terminal detection method characterized by including.
ことを特徴とする請求項8に記載のP2P端末検知方法。 The packet determination step determines whether the packet received in the reception step is the initial packet by determining whether or not the packet received in the reception step includes an attribute having a connection request. Determine whether or not
The P2P terminal detection method according to claim 8.
ことを特徴とする請求項8または9に記載のP2P端末検知方法。 The random determination step determines the presence or absence of randomness of the initial packet every time the initial packet is received in the reception step, and each time the terminal determines that the initial packet has the randomness, P2P Detect it as a device,
The P2P terminal detection method according to claim 8 or 9, characterized in that.
前記制御ステップは、前記ランダム判定ステップにおいて出力された前記検知情報に基づいて、検知された前記P2P端末のトラヒックを制御する、
ことを特徴とする請求項8〜10のいずれか1項に記載のP2P端末検知方法。 When the random determination step detects that the terminal is the P2P terminal, it outputs detection information including information identifying the terminal and randomness of the initial packet;
The control step controls the detected traffic of the P2P terminal based on the detection information output in the random determination step.
The P2P terminal detection method according to any one of claims 8 to 10, wherein:
ことを特徴とする請求項11に記載のP2P端末検知方法。 In the control step, the initial packet stored by the control information storage means for storing control information indicating how to control the detected traffic of the P2P terminal in association with information including the randomness of the initial packet is stored. And the initial packet included in the detection information output in the random determination step by comparing the information including the random number likelihood with the random number of the initial packet included in the detection information output in the random determination step. Of the P2P terminal detected based on the control information stored in the control information storage means when the random number is more likely to be a random number than the randomness of the initial packet stored in the control information storage means. Control,
The P2P terminal detection method according to claim 11.
前記ランダム判定ステップは、前記端末に対して複数の種別のP2Pソフトウェアを記憶する種別記憶手段が記憶する前記P2Pソフトウェアによる接続を行ない、前記接続が正常に行われた場合に、前記端末が使用するP2Pソフトウェアを特定し、特定した前記P2Pソフトウェアに対応する前記制御情報と前記初期パケットの乱数らしさを含む情報とを含む検知情報を出力する、
ことを特徴とする請求項12に記載のP2P端末検知方法。 The control information storage means stores the control information and information including the randomness of the initial packet in association with the types of the plurality of P2P software,
The random determination step uses the terminal when a connection is made by the P2P software stored in the type storage unit that stores a plurality of types of P2P software for the terminal, and the connection is normally performed. P2P software is specified, and detection information including the control information corresponding to the specified P2P software and information including the randomness of the initial packet is output.
The P2P terminal detection method according to claim 12, wherein:
ことを特徴とする請求項13に記載のP2P端末検知方法。 The random determination step repeatedly identifies the P2P software used by the terminal by making a connection to the terminal using the P2P software stored in the type storage unit.
The P2P terminal detection method according to claim 13.
P2P端末検知装置は、
前記端末が前記ネットワークを介して送受信するパケットを受信する第1の受信手段と、
前記受信手段が受信した前記パケットが接続確立後に最初に送受信するパケットである初期パケットであるか否かを判定するパケット判定手段と、
前記パケット判定手段が前記初期パケットであると判定した場合に、前記初期パケットのランダム性の有無を判定し、前記初期パケットにランダム性があると判定した場合に、前記端末がP2P端末であると検知するランダム判定手段と、
前記ランダム判定手段が前記端末がP2P端末であると検知した結果を検知情報として送信する送信手段と、を備え、
P2P端末制御装置は、
前記P2P端末検知装置から前記検知情報を受信する第2の受信手段と、
前記第2の受信手段が受信した前記検知情報に基づいて、検知された前記P2P端末のトラヒックを制御する制御手段と、
を備えることを特徴とするP2P端末検知システム。 A P2P terminal detection system that detects whether a terminal that transmits and receives packets via a network is a P2P terminal,
P2P terminal detection device
First receiving means for receiving packets transmitted and received by the terminal via the network;
Packet determining means for determining whether or not the packet received by the receiving means is an initial packet that is transmitted and received first after connection establishment;
When the packet determination unit determines that the initial packet is the initial packet, the initial packet is determined to be random or not. When the initial packet is determined to be random, the terminal is a P2P terminal. Random determination means to detect;
Transmission means for transmitting, as detection information, a result of the random determination means detecting that the terminal is a P2P terminal;
The P2P terminal control device
Second receiving means for receiving the detection information from the P2P terminal detection device;
Control means for controlling traffic of the detected P2P terminal based on the detection information received by the second receiving means;
A P2P terminal detection system comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010067932A JP5520650B2 (en) | 2010-03-24 | 2010-03-24 | P2P terminal detection device, P2P terminal detection method, and P2P terminal detection system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010067932A JP5520650B2 (en) | 2010-03-24 | 2010-03-24 | P2P terminal detection device, P2P terminal detection method, and P2P terminal detection system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011205197A true JP2011205197A (en) | 2011-10-13 |
JP5520650B2 JP5520650B2 (en) | 2014-06-11 |
Family
ID=44881418
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010067932A Expired - Fee Related JP5520650B2 (en) | 2010-03-24 | 2010-03-24 | P2P terminal detection device, P2P terminal detection method, and P2P terminal detection system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5520650B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021036654A (en) * | 2019-08-30 | 2021-03-04 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Attribute information generation device, attribute identification apparatus, attribute information generation method and attribute identification method |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004140524A (en) * | 2002-10-16 | 2004-05-13 | Sony Corp | Method and apparatus for detecting dos attack, and program |
JP2005202589A (en) * | 2004-01-14 | 2005-07-28 | Kddi Corp | Traffic control system of p2p network |
JP2006279682A (en) * | 2005-03-30 | 2006-10-12 | Nec Corp | Traffic controller, traffic control method and program |
JP2006330783A (en) * | 2005-05-23 | 2006-12-07 | Nec Corp | Device and method for specifying overlay network generation application starting node |
WO2007141835A1 (en) * | 2006-06-02 | 2007-12-13 | Duaxes Corporation | Communication management system, communication management method and communication control device |
JP2008048131A (en) * | 2006-08-15 | 2008-02-28 | Oki Electric Ind Co Ltd | P2p traffic monitoring and control system, and method therefor |
JP2009284433A (en) * | 2008-05-26 | 2009-12-03 | Hitachi Ltd | System and method for detecting and controlling p2p terminal |
JP2009296036A (en) * | 2008-06-02 | 2009-12-17 | Hitachi Ltd | P2p communication control system and control method |
-
2010
- 2010-03-24 JP JP2010067932A patent/JP5520650B2/en not_active Expired - Fee Related
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004140524A (en) * | 2002-10-16 | 2004-05-13 | Sony Corp | Method and apparatus for detecting dos attack, and program |
JP2005202589A (en) * | 2004-01-14 | 2005-07-28 | Kddi Corp | Traffic control system of p2p network |
JP2006279682A (en) * | 2005-03-30 | 2006-10-12 | Nec Corp | Traffic controller, traffic control method and program |
JP2006330783A (en) * | 2005-05-23 | 2006-12-07 | Nec Corp | Device and method for specifying overlay network generation application starting node |
WO2007141835A1 (en) * | 2006-06-02 | 2007-12-13 | Duaxes Corporation | Communication management system, communication management method and communication control device |
JP2008048131A (en) * | 2006-08-15 | 2008-02-28 | Oki Electric Ind Co Ltd | P2p traffic monitoring and control system, and method therefor |
JP2009284433A (en) * | 2008-05-26 | 2009-12-03 | Hitachi Ltd | System and method for detecting and controlling p2p terminal |
JP2009296036A (en) * | 2008-06-02 | 2009-12-17 | Hitachi Ltd | P2p communication control system and control method |
Non-Patent Citations (1)
Title |
---|
JPN6013025204; 'muTorrent Community - Index > Feature Requests > We need bitcomet's protocol header encrypt option p' インターネット<URL:http://forum.utorrent.com/viewtopic.php?id=3068> , 20051206 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021036654A (en) * | 2019-08-30 | 2021-03-04 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Attribute information generation device, attribute identification apparatus, attribute information generation method and attribute identification method |
JP7221170B2 (en) | 2019-08-30 | 2023-02-13 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Attribute information generation device, attribute identification device, attribute information generation method, and attribute identification method |
Also Published As
Publication number | Publication date |
---|---|
JP5520650B2 (en) | 2014-06-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6188832B2 (en) | Method, computer program product, data processing system, and database system for processing database client requests | |
US11800260B2 (en) | Network telemetry with byte distribution and cryptographic protocol data elements | |
JP5362669B2 (en) | Efficient classification of network packets | |
EP2978174B1 (en) | Interest return control message | |
US11637702B2 (en) | Verifiable computation for cross-domain information sharing | |
US10171423B1 (en) | Services offloading for application layer services | |
WO2011143817A1 (en) | Method and apparatus for identifying application protocol | |
US10264004B2 (en) | System and method for connection fingerprint generation and stepping-stone traceback based on netflow | |
US10015192B1 (en) | Sample selection for data analysis for use in malware detection | |
EP3148136B1 (en) | Flow control with network named fragments | |
CN107070851B (en) | System and method for connecting fingerprint generation and stepping stone tracing based on network flow | |
CN114521321A (en) | Information center network dynamic calculation arrangement | |
Liu et al. | An index-based provenance compression scheme for identifying malicious nodes in multihop IoT network | |
US20200136991A1 (en) | Establishing quality of service for internet of things devices | |
Oh et al. | Appsniffer: Towards robust mobile app fingerprinting against VPN | |
JP5520650B2 (en) | P2P terminal detection device, P2P terminal detection method, and P2P terminal detection system | |
Cui et al. | Only Header: A reliable encrypted traffic classification framework without privacy risk | |
CN111556075A (en) | Data transmission path restoration method and system based on non-interactive key negotiation | |
JP2009284433A (en) | System and method for detecting and controlling p2p terminal | |
Yang et al. | Identify encrypted packets to detect stepping-stone intrusion | |
JP6943827B2 (en) | Nodes, programs and methods to transfer data so that the request data source can be identified | |
KR101707073B1 (en) | Error detection network system based on sdn | |
Hassan et al. | Agent Based IDS Using RMBOPB Technique in MANET | |
Mohamed Azran | Applying covert channel in TCP Fast Open (TFO)/Mohamed Azran Aziz | |
Bai et al. | Find behaviors of network evasion and protocol obfuscation using traffic measurement |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120810 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130426 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130528 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130726 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140107 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140221 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140311 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140407 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5520650 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |