JP2011205197A - P2p terminal detecting device, p2p terminal detection method, and p2p terminal detection system - Google Patents

P2p terminal detecting device, p2p terminal detection method, and p2p terminal detection system Download PDF

Info

Publication number
JP2011205197A
JP2011205197A JP2010067932A JP2010067932A JP2011205197A JP 2011205197 A JP2011205197 A JP 2011205197A JP 2010067932 A JP2010067932 A JP 2010067932A JP 2010067932 A JP2010067932 A JP 2010067932A JP 2011205197 A JP2011205197 A JP 2011205197A
Authority
JP
Japan
Prior art keywords
terminal
packet
initial packet
detection
random
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010067932A
Other languages
Japanese (ja)
Other versions
JP5520650B2 (en
Inventor
Michihiro Shigemoto
倫宏 重本
Kazuya Okochi
一弥 大河内
Masatoshi Terada
真敏 寺田
Hiroshi Nakakoji
博史 仲小路
Tetsuo Kito
哲郎 鬼頭
Hisashi Umeki
久志 梅木
Nobutaka Kawaguchi
信隆 川口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2010067932A priority Critical patent/JP5520650B2/en
Publication of JP2011205197A publication Critical patent/JP2011205197A/en
Application granted granted Critical
Publication of JP5520650B2 publication Critical patent/JP5520650B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide a P2P terminal detecting device, a P2P terminal detection method and a P2P terminal detection system capable of controlling a P2P terminal that originally needs traffic control by detecting the P2P terminal without applying a load to a network.SOLUTION: The P2P terminal detecting device includes: a receiving unit for receiving packets that a terminal transmits and receives through a network; a packet determining unit for determining whether a packet received by the receiving unit is the first packet to be transmitted or received after establishing connection; a random determining unit for determining the existence/absence of the randomness of an initial packet when the packet determining unit determines to be an initial packet, and detecting that the terminal is a P2P terminal when determining that there is the randomness in the initial packet; and a control unit for controlling traffic of the detected P2P terminal when the random determination unit detects that the terminal is a P2P terminal.

Description

本発明は、P2P通信を行なっている端末を検知し、検知したP2P端末に対する制御を行う技術に関する。   The present invention relates to a technique for detecting a terminal performing P2P communication and performing control on the detected P2P terminal.

インターネット上で行われる通信の一形態として、ピア・トゥ・ピア通信(以下、P2P通信と表記する。)と呼ばれるものがある。これは不特定多数のコンピュータ(ノード)が相互に接続され、ルータなどを介しファイルなどの情報を送受信するインターネットの利用形態である。   One form of communication performed on the Internet is called peer-to-peer communication (hereinafter referred to as P2P communication). This is a usage form of the Internet in which an unspecified number of computers (nodes) are connected to each other and information such as files is transmitted and received via a router.

P2P通信は、ファイルの共有などの大きな恩恵を利用者にもたらす一方で、著作権を侵害するデータの流通に利用されたり、P2P通信のトラヒックの増加が通信ネットワークの大きな負荷となったりするなどの問題を発生させている。また、P2P通信を行うP2Pソフトを悪用したウイルスによる情報漏洩事故が多発し、社会的な問題となっている。最近では、ISP(Internet Services Provider)によるトラヒック制御を回避するために、Diffie-Hellman鍵交換を利用した暗号処理MSE(Message Stream Encryption)を実装したP2Pソフトも出現している。   While P2P communication provides users with great benefits such as file sharing, it is used for the distribution of data that infringes copyright, and the increase in traffic of P2P communication becomes a heavy load on communication networks. It is causing a problem. In addition, information leakage accidents due to viruses exploiting P2P software that performs P2P communication frequently occur, which is a social problem. Recently, in order to avoid traffic control by ISP (Internet Services Provider), P2P software that implements encryption processing MSE (Message Stream Encryption) using Diffie-Hellman key exchange has also appeared.

これらの動きを受け、ネットワーク上のP2P端末を検知し、そのトラヒックを制御しようとする試みがなされている。例えば、特許文献1ではペイロード(パケットの総サイズのうち、送信IPや受信IPなどの管理情報(ヘッダ情報)を除いた正味のデータ。)の構造変化を、文字コード出現確率のヒストグラムの変化として評価し、P2P端末を検知するシステムに関する技術が開示されている。また、非特許文献1では、パケットの中身を解析してP2P端末を検知するP2P端末検知手法に関する技術が開示されている。   In response to these movements, attempts have been made to detect P2P terminals on the network and control their traffic. For example, in Patent Document 1, a structural change of a payload (net data excluding management information (header information) such as transmission IP and reception IP in the total packet size) is represented as a change in a histogram of character code appearance probabilities. A technique related to a system for evaluating and detecting a P2P terminal is disclosed. Non-Patent Document 1 discloses a technique related to a P2P terminal detection method for detecting a P2P terminal by analyzing the contents of a packet.

特開2008-141618号公報JP 2008-141618 Gazette

S. Sen, O. Spatscheck, D. Wang, “Accurate, ScalableIn-Network Identification of P2P Trafic Using Application Signatures,” International World Wide Web Conference, May, 2004S. Sen, O. Spatscheck, D. Wang, “Accurate, ScalableIn-Network Identification of P2P Trafic Using Application Signatures,” International World Wide Web Conference, May, 2004

しかしながら、特許文献1においては、ペイロードの構造変化をP2P端末検知に利用しており、少なくとも2パケット以上のデータが必要になるという問題がある。また、フロー(送信IP、送信ポート、受信IP、受信ポート、プロトコルの5要素が同一であるパケットの集合と、プロトコルが同一で送受信IPおよび送受信ポートが逆転したパケットの集合)単位でペイロードの構造変化を記憶しているため、多数のフローが存在する回線において負荷が高くなるといった課題があった。   However, Patent Document 1 uses the payload structure change for P2P terminal detection, and there is a problem that at least two packets of data are required. Payload structure for each flow (a set of packets that have the same five elements of sending IP, sending port, receiving IP, receiving port, and protocol, and a set of packets that have the same protocol and the sending and receiving IP and sending and receiving ports are reversed) Since the change is stored, there is a problem that the load becomes high in a line having a large number of flows.

また、非特許文献1においては、ペイロードに含まれる特定の文字列をP2P端末検知に利用しており、暗号化を行なうP2P端末の通信では、ペイロードに特定の文字列が現れず、検知できないといった課題があった。すなわち、これらの技術では、P2P端末が暗号化通信を行う場合において、ネットワークに負荷をかけることなく、P2P端末を検知することができず、その結果、本来トラヒック制御が必要なP2P端末に対して、その制御ができないという問題があった。   Further, in Non-Patent Document 1, a specific character string included in the payload is used for P2P terminal detection, and in communication of a P2P terminal that performs encryption, the specific character string does not appear in the payload and cannot be detected. There was a problem. In other words, with these technologies, when a P2P terminal performs encrypted communication, the P2P terminal cannot be detected without imposing a load on the network, and as a result, for a P2P terminal that originally needs traffic control. There was a problem that it could not be controlled.

本発明は、以上の点に鑑みなされたものであり、ネットワークに負荷をかけることなく、P2P端末を検知し、本来トラヒック制御が必要なP2P端末に対する制御が可能なP2P端末検知装置、P2P端末検知方法、およびP2P端末検知システムを提供することを目的とする。   The present invention has been made in view of the above points. A P2P terminal detection apparatus and a P2P terminal detection capable of detecting a P2P terminal and controlling a P2P terminal that originally needs traffic control without imposing a load on the network. It is an object to provide a method and a P2P terminal detection system.

上述した目的を達成するために、本発明にかかるP2P端末検知装置は、ネットワークを介してパケットを送受信する端末がP2P端末であるか否かを検知するP2P端末検知装置であって、前記端末が前記ネットワークを介して送受信するパケットを受信する受信手段と、前記受信手段が受信した前記パケットが接続確立後に最初に送受信するパケットである初期パケットであるか否かを判定するパケット判定手段と、前記パケット判定手段が前記初期パケットであると判定した場合に、前記初期パケットのランダム性の有無を判定し、前記初期パケットにランダム性があると判定した場合に、前記端末がP2P端末であると検知するランダム判定手段と、前記ランダム判定手段が前記端末が前記P2P端末であると検知した場合に、検知された前記P2P端末のトラヒックを制御する制御手段と、を備えることを特徴とする。   In order to achieve the above-described object, a P2P terminal detection apparatus according to the present invention is a P2P terminal detection apparatus that detects whether or not a terminal that transmits and receives packets via a network is a P2P terminal. Receiving means for receiving a packet to be transmitted / received via the network; packet determining means for determining whether the packet received by the receiving means is an initial packet to be transmitted / received first after connection establishment; When the packet determination means determines that the packet is the initial packet, it determines whether or not the initial packet is random. If the packet is determined to be random, the terminal is detected as a P2P terminal. Detecting when the random determination means detects that the terminal is the P2P terminal. It characterized in that it comprises a control means for controlling the traffic of the P2P terminals that.

また、本発明は、上記P2P端末検知装置を用いたP2P端末検知方法およびP2P端末検知システムである。   The present invention also provides a P2P terminal detection method and a P2P terminal detection system using the P2P terminal detection device.

本発明によれば、ネットワークに負荷をかけることなく、P2P端末を検知し、本来トラヒック制御が必要なP2P端末に対する制御が可能なP2P端末検知装置、P2P端末検知方法、およびP2P端末検知システムを提供することができる。   According to the present invention, a P2P terminal detection device, a P2P terminal detection method, and a P2P terminal detection system capable of detecting a P2P terminal and controlling a P2P terminal that originally needs traffic control without imposing a load on the network are provided. can do.

第1の実施の形態におけるP2P端末検知システムの構成を示す図である。It is a figure which shows the structure of the P2P terminal detection system in 1st Embodiment. トラヒック制御装置の構成例を示す図である。It is a figure which shows the structural example of a traffic control apparatus. P2P端末検知装置の構成例を示す図である。It is a figure which shows the structural example of a P2P terminal detection apparatus. コネクション管理データの例を示す図である。It is a figure which shows the example of connection management data. 検知情報の一例を示す図である。It is a figure which shows an example of detection information. P2P端末制御装置の構成例を示す図である。It is a figure which shows the structural example of a P2P terminal control apparatus. 制御ポリシデータの一例を示す図である。It is a figure which shows an example of control policy data. 検知処理の処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of a detection process. 制御処理の処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of a control process. 第2の実施の形態におけるP2P通信端末検知装置の構成例を示す図である。It is a figure which shows the structural example of the P2P communication terminal detection apparatus in 2nd Embodiment. 種別特定処理の処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of a classification specific process. 接続試行処理の処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of a connection trial process. Winny接続プログラムの鍵情報の例を示す図である。It is a figure which shows the example of the key information of a Winny connection program.

以下に添付図面を参照して、この発明にかかるP2P端末検知システム、P2P端末検知装置の実施の形態を詳細に説明する。   Exemplary embodiments of a P2P terminal detection system and a P2P terminal detection device according to the present invention will be described below in detail with reference to the accompanying drawings.

P2P端末の検知を行なうには、P2P端末間で送受信されるパケットデータを監視する方法が一般的に用いられる。パケットデータには、P2Pソフト特有の情報が記載されていることが多く、そういったP2Pソフトには有効な方法である。しかし、P2Pソフトによっては、当該パケットデータによる検知を逃れるために、パケットデータを暗号化し、特徴のない乱数列に見せかけるものが存在している。   In order to detect a P2P terminal, a method of monitoring packet data transmitted / received between P2P terminals is generally used. Packet data often contains information specific to P2P software, which is an effective method for such P2P software. However, depending on the P2P software, in order to avoid detection by the packet data, there is a software that encrypts the packet data and makes it appear as a random number sequence with no features.

本発明では、この特徴を利用し、初期パケット(コネクション確立後の最初のパケット)のランダム性を検定することで、暗号化通信を行なうP2P端末を検知する。第1の実施の形態では、この点に着目し、P2P端末の検知および検知したP2P端末に対するトラヒック制御について説明している。また、上記の方法では、P2Pソフトの種別までは特定できない。そこで、P2P端末として検知された端末に対して、P2Pソフトのプロトコルに従った接続を行ない、その接続の可否によりP2Pソフト種別を特定する。第2の実施の形態では、この点に着目し、P2P端末の検知および検知したP2P端末に対するトラヒック制御について説明している。
(第1の実施の形態)
まず、第1の実施の形態におけるP2P端末検知システム1000を、図1から図9を用いて説明する。図1は、第1の実施の形態におけるP2P端末検知システム1000の構成を示す図である。図1に示すように、P2P端末検知システム1000は、トラヒック制御装置101と、P2P端末検知装置102と、P2P端末制御装置103とを含んで構成されている。 In the present invention, a P2P terminal that performs encrypted communication is detected by examining the randomness of an initial packet (first packet after connection establishment) using this feature. In the first embodiment, paying attention to this point, detection of a P2P terminal and traffic control for the detected P2P terminal are described. Also, with the above method, it is not possible to specify the type of P2P software. Therefore, the terminal detected as the P2P terminal is connected according to the protocol of the P2P software, and the P2P software type is specified by whether or not the connection is possible. In the second embodiment, focusing on this point, the detection of the P2P terminal and the traffic control for the detected P2P terminal are described.
(First embodiment)
First, a P2P terminal detection system 1000 according to the first embodiment will be described with reference to FIGS. FIG. 1 is a diagram illustrating a configuration of a P2P terminal detection system 1000 according to the first embodiment. As shown in FIG. 1, the P2P terminal detection system 1000 includes a traffic control device 101, a P2P terminal detection device 102, and a P2P terminal control device 103.

なお、以下では、P2P端末を検知し、検知したP2P端末に対するトラヒック制御を、上述した各装置で行う前提で説明しているが、例えば、ネットワークを流れるトラヒックに応じて、上述した検知や制御を1つの装置で行うこととしてもよい。まず、トラヒック制御装置101について説明する。   In the following description, it is assumed that the P2P terminal is detected and the traffic control for the detected P2P terminal is performed by each of the devices described above. For example, the detection and control described above are performed according to the traffic flowing through the network. It may be performed by one apparatus. First, the traffic control device 101 will be described.

トラヒック制御装置101は、通信路104を流れるトラヒックを受信し、所定の制御ポリシに基づいてトラヒックを制御し、制御後のトラヒックを通信路108に送信する。また、トラヒック制御装置101は、通信路104のトラヒックの中から、検知対象のトラヒック、例えば、検知を行ないたい通信(分析対象の通信)のIPアドレスを参照し、参照したIPアドレスが設定されている端末が送受信を行なっているトラヒックをコピーし、コピーしたトラヒックを通信路105に出力する。なお、通信路105、通信路106、通信路107は、例えば、バスやケーブルなどの情報伝達媒体である。なお、トラヒック制御装置101がコピーしたトラヒックには、少なくとも送信IPアドレス、送信ポート、受信IPアドレス、受信ポートの各情報を含んでいるものとする。   The traffic control apparatus 101 receives traffic flowing through the communication path 104, controls traffic based on a predetermined control policy, and transmits the controlled traffic to the communication path 108. The traffic control apparatus 101 refers to the traffic to be detected from the traffic on the communication path 104, for example, the IP address of the communication to be detected (communication to be analyzed), and the referenced IP address is set. The terminal is copying the traffic that is being transmitted / received, and the copied traffic is output to the communication path 105. The communication path 105, the communication path 106, and the communication path 107 are information transmission media such as buses and cables. It is assumed that the traffic copied by the traffic control apparatus 101 includes at least information on a transmission IP address, a transmission port, a reception IP address, and a reception port.

P2P端末検知装置102は、通信路105を流れるトラヒックを受信し、受信したトラヒックの中からP2P通信の検知を行ない、その検知した結果である検知情報を通信路106に送信する。この検知情報の具体的な内容については、図5を用いて後述する。   The P2P terminal detection apparatus 102 receives traffic flowing through the communication path 105, detects P2P communication from the received traffic, and transmits detection information that is the detection result to the communication path 106. Specific contents of the detection information will be described later with reference to FIG.

なお、P2P端末検知装置102は、トラヒック制御装置101が分析対象のトラヒックを選択してコピーしたその分析対象のトラヒックに対して、P2P通信端末を検知する処理を実行することが望ましい。しかし、P2P端末検知装置102が十分な性能を持った装置であるならば、分析対象となるトラヒックの選択も含めて、P2P端末検知装置102がこれらの処理を実行しても良い。このような構成にすることにより、トラヒック制御装置101によるトラヒックの選択、および選択したトラヒックのコピーに係る負荷を軽減できる。この場合、図1において、P2P端末検知装置102は、通信路105に代えて、通信路104に接続し、トラヒック制御装置101は、P2P端末検知装置102と接続することなく、所定の制御ポリシに基づいてトラヒックを制御することができ、トラヒック制御装置101にかかる処理負荷が軽減される。   It is desirable that the P2P terminal detection apparatus 102 executes processing for detecting a P2P communication terminal for the traffic to be analyzed that is selected and copied by the traffic control apparatus 101. However, if the P2P terminal detection device 102 is a device having sufficient performance, the P2P terminal detection device 102 may execute these processes including the selection of traffic to be analyzed. By adopting such a configuration, it is possible to reduce the load related to the selection of traffic by the traffic control apparatus 101 and the copying of the selected traffic. In this case, in FIG. 1, the P2P terminal detection apparatus 102 is connected to the communication path 104 instead of the communication path 105, and the traffic control apparatus 101 is not connected to the P2P terminal detection apparatus 102 and conforms to a predetermined control policy. Based on this, traffic can be controlled, and the processing load on the traffic control apparatus 101 is reduced.

P2P端末制御装置103は、通信路106を流れる検知情報を受信し、受信した検知情報に従って、P2P端末に対してどのような制御を行うかを示す制御情報を、通信路107に送信する。この制御情報の具体的な内容については、図7を用いて後述する。   The P2P terminal control apparatus 103 receives the detection information flowing through the communication path 106 and transmits control information indicating what kind of control is performed on the P2P terminal to the communication path 107 according to the received detection information. The specific contents of this control information will be described later with reference to FIG.

通信路104及び通信路108は、例えば、イントラネットやインターネットなどのネットワーク、あるいはこれらに接続するための通信網である。通信路104及び通信路108には1台以上の端末が接続され、例えば、ウェブアクセスやファイル転送などの通信を行なっている。P2P端末制御装置103は、他のネットワークに接続している複数のトラヒック制御装置に制御情報を送信し、他のネットワーク上を流れるトラヒックを制御しても良い。   The communication path 104 and the communication path 108 are, for example, a network such as an intranet or the Internet, or a communication network for connecting to these. One or more terminals are connected to the communication path 104 and the communication path 108 and perform communication such as web access and file transfer, for example. The P2P terminal control apparatus 103 may transmit control information to a plurality of traffic control apparatuses connected to other networks, and control traffic flowing on the other networks.

図2は、トラヒック制御装置101の構成例を示す図である。図2に示すように、トラヒック制御装置101は、例えば、ルータ等のネットワーク機器であり、CPU(Central Processing Unit)204と、CPU204が処理を実行するために必要なデータを格納するためのメモリ206と、他装置と通信を行なうためのIF(インタフェース)201、IF202、IF203、IF205と、キーボード、ディスプレイなどの入出力を行なうための入出力装置207と、これらの各装置を接続する通信路(バス)208とを含んで構成される。なお、他の図においてもIF(インタフェース)と呼ぶが、接続先に応じて通信インタフェース、入出力インタフェース、又は動作に応じて通信装置、受信装置、送信装置、入出力装置などと呼ぶこともある。   FIG. 2 is a diagram illustrating a configuration example of the traffic control device 101. As shown in FIG. 2, the traffic control device 101 is a network device such as a router, for example, and includes a CPU (Central Processing Unit) 204 and a memory 206 for storing data necessary for the CPU 204 to execute processing. An IF (interface) 201, IF 202, IF 203, IF 205 for communicating with other devices, an input / output device 207 for performing input / output of a keyboard, a display, and the like, and a communication path for connecting these devices ( Bus) 208. In other figures, it is called an IF (interface), but it may be called a communication interface, an input / output interface, or a communication device, a receiving device, a transmitting device, an input / output device, etc., depending on the connection destination. .

CPU204は、メモリ206に記憶されたトラヒック制御プログラム210を実行する。メモリ206には、トラヒックを制御するためのトラヒック制御ルール209が格納されている。トラヒック制御ルール209には、通信を制御する情報が含まれており、例えば、トラヒック制御装置101を通過する通信のパケットの廃棄、帯域の制限、宛先経路の変更、トラヒックをコピーして他のIFから送信するミラーリング等のルールが格納されている。   The CPU 204 executes a traffic control program 210 stored in the memory 206. The memory 206 stores a traffic control rule 209 for controlling traffic. The traffic control rule 209 includes information for controlling communication. For example, discarding communication packets passing through the traffic control apparatus 101, limiting the bandwidth, changing the destination route, copying traffic, and other IF Stores rules such as mirroring transmitted from.

トラヒック制御ルール209は、入出力装置207、あるいは通信路107を経由し、IF205を介して新たなルールを受信することによって書き換え又は追加される。トラヒック制御装置101は、通信路104から受信したトラヒックを、トラヒック制御ルール209に従い、IF202及び/又はIF203を介して、通信路105及び/又は通信路108に送信する。   The traffic control rule 209 is rewritten or added by receiving a new rule via the IF 205 via the input / output device 207 or the communication path 107. The traffic control apparatus 101 transmits the traffic received from the communication path 104 to the communication path 105 and / or the communication path 108 via the IF 202 and / or IF 203 according to the traffic control rule 209.

図3は、P2P端末検知装置102の構成例を示す図である。上述したように、P2P端末検知装置102は、トラヒックの中からP2P通信を行なっている端末を検知するものである。図3に示すように、P2P端末検知装置102は、CPU302と、メモリ304と、IF301、IF303と、入出力装置305と、これらの各装置を接続する通信路(バス)とを含んで構成されたコンピュータである。   FIG. 3 is a diagram illustrating a configuration example of the P2P terminal detection apparatus 102. As described above, the P2P terminal detection device 102 detects a terminal performing P2P communication from traffic. As shown in FIG. 3, the P2P terminal detection device 102 includes a CPU 302, a memory 304, an IF 301, an IF 303, an input / output device 305, and a communication path (bus) that connects these devices. Computer.

CPU302がメモリ304に記憶されたP2P端末検知プログラム307を実行することにより、P2P通信を行なっている端末を検知する。メモリ304には、初期パケットを判定するためのコネクション情報管理データ308が格納されている。P2P端末検知プログラム307は、あらかじめ、メモリ304に格納されていてもよいし、必要な時に、IF301あるいはIF303を介して他の装置からロード(インストール)されてもよい。   When the CPU 302 executes the P2P terminal detection program 307 stored in the memory 304, the terminal that performs P2P communication is detected. The memory 304 stores connection information management data 308 for determining an initial packet. The P2P terminal detection program 307 may be stored in the memory 304 in advance, or may be loaded (installed) from another device via the IF 301 or IF 303 when necessary.

P2P端末検知装置102のIF301がTCP(Transmission Control Protocol)コネクション接続要求(TCPヘッダ内のSYNフラグをONにした)パケットを受信すると、CPU302からの指示にしたがって、P2P端末検知プログラム307は、コネクション管理データ308に当該パケットのコネクション情報401を登録し、1バイト以上のペイロードを有しているパケットを受信すると、コネクション管理データ308から当該パケットのコネクション情報を削除する。コネクション管理データ308は、例えば、図4に示すように、コネクション情報401の情報を含む。ここで、コネクション情報401とは、通信する端末同士のコネクションを識別するための情報であり、例えば、送信IPアドレス、送信ポート番号、受信IPアドレス、受信ポート番号から算出される情報である。   When the IF 301 of the P2P terminal detection apparatus 102 receives a TCP (Transmission Control Protocol) connection connection request packet (with the SYN flag in the TCP header turned ON), the P2P terminal detection program 307 performs connection management according to an instruction from the CPU 302. When the connection information 401 of the packet is registered in the data 308 and a packet having a payload of 1 byte or more is received, the connection information of the packet is deleted from the connection management data 308. The connection management data 308 includes information of connection information 401 as shown in FIG. Here, the connection information 401 is information for identifying a connection between communicating terminals, and is information calculated from, for example, a transmission IP address, a transmission port number, a reception IP address, and a reception port number.

一般に、暗号化して通信を行なうP2P端末は、特徴のない乱数列に見せかけたパケットを初期パケットとして用いる。CPU302からの指示に応じて、P2P端末検知プログラム307は、この初期パケットに対してランダム検定を行ない、当該コネクションがP2P端末による通信であるか判定を行なう。P2P端末検知装置102は、この判定結果を検知情報としてIF303を介して通信路106に送信する。   In general, a P2P terminal that performs encrypted communication uses a packet that appears to be a random number sequence with no features as an initial packet. In response to an instruction from the CPU 302, the P2P terminal detection program 307 performs a random test on the initial packet and determines whether the connection is communication by a P2P terminal. The P2P terminal detection apparatus 102 transmits this determination result as detection information to the communication path 106 via the IF 303.

図5は、P2P端末検知プログラム307が、CPU302からの指示に応じて、通信路106に送信する検知情報の一例を示す図である。図5に示すように、検知情報には、少なくとも、端末を識別(特定)するための端末情報501と、その端末がP2P端末である可能性の高さ(大きさ)を表す確信度502と、その端末が利用しているP2Pソフトの種別を示すP2Pソフト種別503とが含まれている。なお、P2P端末検知プログラム307によってP2Pソフト種別503を特定することができない場合は、P2Pソフト種別503としてAny(何らかのP2Pソフトであることを示す識別子)を送信する。   FIG. 5 is a diagram illustrating an example of detection information that the P2P terminal detection program 307 transmits to the communication path 106 in response to an instruction from the CPU 302. As shown in FIG. 5, the detection information includes at least terminal information 501 for identifying (specifying) a terminal, and a certainty factor 502 indicating a high possibility (size) that the terminal is a P2P terminal. And a P2P software type 503 indicating the type of P2P software used by the terminal. If the P2P software type 503 cannot be specified by the P2P terminal detection program 307, Any (an identifier indicating that it is some P2P software) is transmitted as the P2P software type 503.

また、端末情報501には、ランダム性があると判定されたパケット(乱数らしさがある一定の閾値以下(あるいは閾値以上)のパケット)の送信IP504と、送信ポート505と、受信IP506と、受信ポート507とが含まれている。ここで、乱数らしさとは、真の乱数にどれだけ近いかの尺度を表している。図5では、IPアドレスが「192.168.0.1」の「10001」番ポートから、IPアドレスが「192.168.0.2」の「20000」番ポートに対して送信したパケットを、何らかのP2P通信である(P2Pソフト種別503が「Any」である)と検知した結果を示している。なお、P2P端末検知プログラム307による具体的な処理については、図8を用いて後述する。続いて、P2P端末制御装置103について説明する。   In addition, the terminal information 501 includes a transmission IP 504, a transmission port 505, a reception IP 506, and a reception port of a packet determined to have randomness (a packet having a randomness-like probability less than or equal to a certain threshold (or more than a threshold)). 507. Here, the probability of randomness represents a measure of how close to a true random number. In FIG. 5, a packet transmitted from the "10001" port with the IP address "192.168.0.1" to the "20000" port with the IP address "192.168.0.2" is some P2P communication (P2P software The result of detecting that the type 503 is “Any”) is shown. Specific processing by the P2P terminal detection program 307 will be described later with reference to FIG. Next, the P2P terminal control apparatus 103 will be described.

図6は、P2P端末制御装置103の構成例を示す図である。P2P端末制御装置103は、上述したように、P2P端末の通信を制御するものであり、CPU603と、メモリ602と、データを記録する容量を持つハードディスクやフラッシュメモリなどの記憶装置606と、他装置と通信を行うためのIF601、IF605と、入出力装置604と、これらの各装置間を接続する通信路607とを含んで構成されたコンピュータである。   FIG. 6 is a diagram illustrating a configuration example of the P2P terminal control apparatus 103. As described above, the P2P terminal control device 103 controls communication of the P2P terminal, and includes a CPU 603, a memory 602, a storage device 606 such as a hard disk or flash memory having a capacity for recording data, and other devices. And an IF 601 and IF 605 for communicating with each other, an input / output device 604, and a communication path 607 for connecting these devices.

CPU603は、メモリ602に記憶されているP2P端末制御プログラム608を実行することにより、P2P端末のトラヒック制御を行う。なお、記憶装置606には、P2P端末のトラヒックをどのように制御するのかを示す制御ポリシを格納した制御ポリシデータ609が格納されている。P2P端末制御プログラム608や制御ポリシデータ609は、あらかじめ、メモリ602または記憶装置606に格納されていてもよいし、入出力装置604からまたはIF601あるいはIF605を介して他の装置から、インストール(ロード)されてもよい。   The CPU 603 controls the traffic of the P2P terminal by executing the P2P terminal control program 608 stored in the memory 602. The storage device 606 stores control policy data 609 that stores a control policy indicating how to control the traffic of the P2P terminal. The P2P terminal control program 608 and control policy data 609 may be stored in advance in the memory 602 or the storage device 606, or installed (loaded) from the input / output device 604 or from another device via the IF 601 or IF 605. May be.

図7は、制御ポリシデータ609の一例を示す図である。図7に示すように、制御ポリシデータ609は、P2Pソフト種別701と、確信度702と、制御情報703とを含む情報である。これらの情報は、あらかじめ管理者等によって設定され、制御ポリシデータ609のP2Pソフト種別701及び確信度702は、制御の内容である制御情報703を選択するための基準である。図7に示すように、制御情報703は、P2Pソフト種別701の種別および確信度702のレベル(数値の大きさ)に対応付けて記憶されている。   FIG. 7 is a diagram illustrating an example of the control policy data 609. As shown in FIG. 7, the control policy data 609 is information including a P2P software type 701, a certainty factor 702, and control information 703. These pieces of information are set in advance by an administrator or the like, and the P2P software type 701 and the certainty factor 702 of the control policy data 609 are standards for selecting the control information 703 that is the content of control. As shown in FIG. 7, the control information 703 is stored in association with the type of the P2P software type 701 and the level of confidence 702 (the magnitude of the numerical value).

P2P端末制御プログラム608は、CPU603からの指示に応じて、受信した検知情報に含まれるP2Pソフト種別503及び確信度502と、制御ポリシデータ609のP2Pソフト種別701及び確信度702とを比較し、比較した結果に対応する制御情報703を、IF605を介して通信路107に送信する。P2P端末制御プログラム608の具体的な処理については図9を用いて後述する。   In response to an instruction from the CPU 603, the P2P terminal control program 608 compares the P2P software type 503 and the certainty factor 502 included in the received detection information with the P2P software type 701 and the certainty factor 702 of the control policy data 609, Control information 703 corresponding to the comparison result is transmitted to the communication path 107 via the IF 605. Specific processing of the P2P terminal control program 608 will be described later with reference to FIG.

続いて、P2P端末検知装置102のP2P端末検知プログラム307がP2P端末を検知し、検知情報を送信する処理(以下、検知処理と呼ぶ。)について説明する。図8は、検知処理の処理手順を示すフローチャートである。   Subsequently, a process (hereinafter referred to as a detection process) in which the P2P terminal detection program 307 of the P2P terminal detection apparatus 102 detects a P2P terminal and transmits detection information will be described. FIG. 8 is a flowchart illustrating the processing procedure of the detection process.

図8に示すように、P2P端末検知プログラム307は、CPU302からの指示に応じて、通信路105を流れるパケットを、IF301を介して受信し(ステップS801)、受信したパケットのヘッダ部を解析し、受信したパケットが、SYNフラグがONになっているパケット(SYNパケット)であるか否かを判定する(ステップS802)。   As shown in FIG. 8, the P2P terminal detection program 307 receives a packet flowing through the communication path 105 through the IF 301 in response to an instruction from the CPU 302 (step S801), and analyzes the header part of the received packet. Then, it is determined whether or not the received packet is a packet whose SYN flag is ON (SYN packet) (step S802).

そして、P2P端末検知プログラム307は、受信したパケットが、SYNフラグがONになっているパケット(SYNパケット)であると判定した場合(ステップS802;Yes)、受信したパケットからコネクション情報401を算出し、算出したコネクション情報401を、コネクション情報管理データ308に登録し(ステップS803)、図8に示す検知処理を終了させる。   If the P2P terminal detection program 307 determines that the received packet is a packet (SYN packet) whose SYN flag is ON (step S802; Yes), it calculates connection information 401 from the received packet. The calculated connection information 401 is registered in the connection information management data 308 (step S803), and the detection process shown in FIG.

コネクション情報401は、上述したように、例えば、送信IP、送信ポート、受信IP、受信ポートを結合した12バイトの情報である。なお、上記コネクション情報401の算出方法は一例であり、P2P端末間の通信を識別できる情報であればどのような手法によって算出してもよい。   As described above, the connection information 401 is 12-byte information obtained by combining a transmission IP, a transmission port, a reception IP, and a reception port, for example. Note that the calculation method of the connection information 401 is an example, and any method may be used as long as the information can identify communication between P2P terminals.

一方、P2P端末検知プログラム307は、受信したパケットが、SYNフラグがONになっているパケット(SYNパケット)でないと判定した場合(ステップS802;No)、P2P端末検知プログラム307は、さらに、受信したパケットが1バイト以上のペイロードを有しているか否かを判定する(ステップS804)。   On the other hand, when the P2P terminal detection program 307 determines that the received packet is not a packet (SYN packet) whose SYN flag is ON (step S802; No), the P2P terminal detection program 307 further receives the packet. It is determined whether or not the packet has a payload of 1 byte or more (step S804).

P2P端末検知プログラム307は、受信したパケットが1バイト以上のペイロードを有していないと判定した場合(ステップS804;No)、図8に示す検知処理を終了させる。   If the P2P terminal detection program 307 determines that the received packet does not have a payload of 1 byte or more (step S804; No), the detection process shown in FIG.

一方、P2P端末検知プログラム307は、受信したパケットが1バイト以上のペイロードを有していると判定した場合(ステップS804;Yes)、さらに、ステップS804で判定したパケットのコネクション情報と、送受信IP及び送受信ポートを逆転したパケットのコネクション情報とを、ステップS803と同様の方法で算出し、算出した2つのコネクション情報のうち、どちらか一方のコネクション情報が、コネクション情報管理データ308に既に登録されているか否かを判定する(ステップS805)。   On the other hand, when the P2P terminal detection program 307 determines that the received packet has a payload of 1 byte or more (step S804; Yes), the connection information of the packet determined in step S804, transmission / reception IP, and The connection information of the packet in which the transmission / reception port is reversed is calculated in the same manner as in step S803, and one of the calculated two pieces of connection information is already registered in the connection information management data 308. It is determined whether or not (step S805).

そして、P2P端末検知プログラム307は、算出した2つのコネクション情報のうち、どちらか一方のコネクション情報が、コネクション情報管理データ308に既に登録されていると判定した場合(ステップS805;Yes)、コネクション情報データ308から該当コネクション情報401を削除し、受信したパケットを初期パケットと判定して、ステップS806に進む。   If the P2P terminal detection program 307 determines that one of the calculated two pieces of connection information is already registered in the connection information management data 308 (step S805; Yes), the connection information The corresponding connection information 401 is deleted from the data 308, the received packet is determined to be an initial packet, and the process proceeds to step S806.

一方、P2P端末検知プログラム307は、算出した2つのコネクション情報のうち、どちらか一方のコネクション情報が、コネクション情報管理データ308に既に登録されていないと判定した場合(ステップS805;No)、図8に示す検知処理を終了させる。   On the other hand, when the P2P terminal detection program 307 determines that one of the calculated two pieces of connection information is not already registered in the connection information management data 308 (step S805; No), FIG. The detection process shown in FIG.

そして、P2P端末検知プログラム307は、ステップS805において、受信したパケットが初期パケットであると判定すると、そのパケットに対してランダム検定を行なう(ステップS807)。ランダム検定には、例えば、パケットデータのビット列の偏りを用いる。パケットデータが真にランダムであれば、パケットデータに含まれる0の個数と1の個数は等しくなる可能性が高い。そこで、(0の個数−1の個数)/(0と1の個数)の絶対値を求め、この値がある閾値(例えば0.2)より小さい場合は、ランダム性があると判定する(環境に合わせて閾値を変えてもよい)。   If the P2P terminal detection program 307 determines in step S805 that the received packet is an initial packet, the P2P terminal detection program 307 performs a random test on the packet (step S807). For the random test, for example, bias of a bit string of packet data is used. If the packet data is truly random, the number of zeros and the number of ones included in the packet data are likely to be equal. Therefore, the absolute value of (number of 0 minus 1) / (number of 0 and 1) is obtained, and if this value is smaller than a certain threshold (for example, 0.2), it is determined that there is randomness (according to the environment). To change the threshold).

なお、上記のランダム検定方法は一例であり、例えば「NIST Special Publication 800-22」で述べられているランダム検定や、その他のランダム検定を用いてもよいし、それらを複数組み合わせて、全て閾値以下(あるいは閾値以上)だった場合(あるいは特定の検定だけ閾値以下(あるいは閾値以上))であった場合にランダム性があると判定してもよい。また、P2P端末検知プログラム307は、上述したランダム検定を、初期パケットを受信する毎に行い、初期パケットにランダム性があると判定する毎に、端末がP2P端末であると検知するものとする。   The above random test method is an example. For example, the random test described in “NIST Special Publication 800-22” or other random tests may be used, or a plurality of them may be combined, and all of them are below the threshold value. It may be determined that there is randomness when it is (or above a threshold) (or below a threshold (or above a threshold) only for a specific test). The P2P terminal detection program 307 performs the above-described random test every time an initial packet is received, and detects that the terminal is a P2P terminal every time it is determined that the initial packet has randomness.

そして、P2P端末検知プログラム307は、ステップS806においてランダム検定を行ったパケットにランダム性があるか否かを判定し(ステップS807)、そのパケットにランダム性があると判定した場合(ステップS807;Yes)、当該パケットをP2P通信端末による通信と判定し、判定した結果を検知情報として、IF303を介して通信路106に送信し(ステップS808)、図8に示す検知処理を終了させる。   Then, the P2P terminal detection program 307 determines whether or not the packet subjected to the random test in step S806 has randomness (step S807), and determines that the packet has randomness (step S807; Yes). ), The packet is determined to be communication by the P2P communication terminal, and the determination result is transmitted as detection information to the communication path 106 via the IF 303 (step S808), and the detection process illustrated in FIG. 8 is terminated.

検知情報には、判定した端末情報501と、その端末がP2P端末である可能性の大きさを表す確信度502と、その端末が利用しているP2Pソフト種別503とが含まれている。なお、本実施の形態においては、P2Pソフト種別が特定できないため、何らかのP2Pソフトであることを意味する「Any」をP2Pソフト種別として送信する。また、確信度は、例えば、{1-|(0の個数−1の個数)|/(0と1の個数)}などにより求める。例示した式によれば、確信度は、パケットデータに0と1が同じ数だけ存在する場合に1であり、パケットデータに0だけ、又は1だけしか存在しない場合に0となる。なお、上記の確信度の算出方法は一例であり、ランダム検定を用いて乱数らしさを算出し、確信度としてもよい。   The detection information includes the determined terminal information 501, the certainty factor 502 indicating the likelihood of the terminal being a P2P terminal, and the P2P software type 503 used by the terminal. In this embodiment, since the P2P software type cannot be specified, “Any”, which means some P2P software, is transmitted as the P2P software type. In addition, the certainty factor is obtained by {1- | (number of 0-1 number) | / (number of 0 and 1)}, for example. According to the exemplified formula, the certainty factor is 1 when the same number of 0s and 1s exist in the packet data, and becomes 0 when only 0 or only 1 exists in the packet data. The method of calculating the certainty factor is an example, and the randomness may be calculated using a random test to obtain the certainty factor.

一方、P2P端末検知プログラム307は、そのパケットにランダム性がないと判定した場合(ステップS807;No)、図8に示す検知処理を終了させる。このステップS803〜S805、S807、S808のいずれかの処理が終了すると、図8に示す検知処理の全ての処理が終了する。   On the other hand, if the P2P terminal detection program 307 determines that the packet is not random (step S807; No), the detection process shown in FIG. 8 is terminated. When any one of steps S803 to S805, S807, and S808 is completed, all the detection processing shown in FIG. 8 is completed.

続いて、P2P端末制御装置103のP2P端末制御プログラム608がP2P端末検知装置103から検知情報を受信し、制御情報を送信する処理(以下、制御処理と呼ぶ。)について説明する。図9は、制御処理の処理手順を示すフローチャートである。   Next, a process (hereinafter referred to as a control process) in which the P2P terminal control program 608 of the P2P terminal control apparatus 103 receives detection information from the P2P terminal detection apparatus 103 and transmits control information will be described. FIG. 9 is a flowchart illustrating the processing procedure of the control process.

図9に示すように、P2P端末制御プログラム608は、CPU603からの指示に応じて、通信路106を流れる検知情報をIF601を介して受信し(ステップS901)、受信した検知情報に含まれているP2Pソフト種別503及び確信度502と、制御ポリシデータ609に含まれるP2Pソフト種別701及び確信度702とを比較し、該当するポリシ(検知情報に含まれるP2Pソフト種別502と制御ポリシデータ609に含まれるP2Pソフト種別701が一致し、検知情報に含まれる確信度502が、制御ポリシデータ609の確信度702の値以上であるポリシ)が存在するか否かを判定する(ステップS902)。   As shown in FIG. 9, the P2P terminal control program 608 receives detection information flowing through the communication path 106 via the IF 601 in response to an instruction from the CPU 603 (step S901), and is included in the received detection information. The P2P software type 503 and the certainty factor 502 are compared with the P2P software type 701 and the certainty factor 702 included in the control policy data 609, and the corresponding policy (included in the P2P software type 502 and the control policy data 609 included in the detection information) is compared. It is determined whether there is a policy in which the P2P software types 701 match and the certainty factor 502 included in the detection information is equal to or greater than the certainty factor 702 of the control policy data 609 (step S902).

そして、P2P端末制御プログラム608は、該当するポリシが存在すると判定した場合(ステップS902;Yes)、検知情報に含まれている端末情報501と、制御情報703を、IF605を介して通信路107に送信し、図9に示す制御処理を終了させる。本実施の形態においては、例えば、図7に示したポリシを保持しているP2P端末制御装置103が、図5に示した検知情報を受信した場合、制御情報として「帯域制御」が選択されることとなる。そして、通信路107を介してトラヒック制御装置101が制御情報を受信すると、その制御情報に設定された内容(例えば、「帯域制御」)に従ってトラヒックを制御する。   If the P2P terminal control program 608 determines that the corresponding policy exists (step S902; Yes), the terminal information 501 and the control information 703 included in the detection information are transferred to the communication path 107 via the IF 605. Then, the control process shown in FIG. 9 is terminated. In the present embodiment, for example, when the P2P terminal control apparatus 103 holding the policy shown in FIG. 7 receives the detection information shown in FIG. 5, “bandwidth control” is selected as the control information. It will be. When the traffic control apparatus 101 receives control information via the communication path 107, the traffic is controlled according to the contents (for example, “bandwidth control”) set in the control information.

一方、P2P端末制御プログラム608は、該当するポリシが存在しないと判定した場合(ステップS902;No)、何もせずに図9に示す制御処理を終了させる。そして、ステップS902またはS903の処理が終了すると、図9に示す制御処理の全ての処理が終了する。   On the other hand, if the P2P terminal control program 608 determines that the corresponding policy does not exist (step S902; No), it does nothing and terminates the control process shown in FIG. Then, when the process of step S902 or S903 ends, all the processes of the control process shown in FIG. 9 end.

このように、ネットワークを介してパケットを送受信する端末がP2P端末であるか否かを検知するP2P端末検知システム1000において、P2P端末検知装置102は、IF301が、端末がネットワークを介して送受信するパケットを受信し、P2P端末検知プログラム307が、IF301が受信したパケットが接続確立後に最初に送受信するパケットである初期パケットであるか否かを判定し、初期パケットであると判定した場合に、初期パケットのランダム性の有無を判定し、初期パケットにランダム性があると判定した場合に、端末がP2P端末であると検知し、IF303が、P2P端末検知プログラム307が端末がP2P端末であると検知した結果を検知情報として送信し、P2P端末制御装置103は、IF601が、P2P端末検知装置103から前記検知情報を受信し、P2P端末制御プログラム602が、IF601が受信した検知情報に基づいて、検知されたP2P端末のトラヒックを制御するので、ネットワークに負荷をかけることなく、P2P端末を検知し、本来トラヒック制御が必要なP2P端末に対する制御が可能となる。すなわち、初期パケットのみを用いて、暗号化通信を行なうP2P端末の検知が可能となり、検知に応じたP2P端末の制御が可能となる。   As described above, in the P2P terminal detection system 1000 that detects whether or not a terminal that transmits and receives a packet via the network is a P2P terminal, the P2P terminal detection apparatus 102 uses the IF 301 as a packet that the terminal transmits and receives via the network. When the P2P terminal detection program 307 determines whether the packet received by the IF 301 is an initial packet that is the first packet to be transmitted / received after establishing a connection and determines that the packet is an initial packet, If the initial packet is determined to be random, it is detected that the terminal is a P2P terminal, and the IF 303 detects that the P2P terminal detection program 307 is a P2P terminal. The result is transmitted as detection information, and the P2P terminal control apparatus 103 receives the IF 601. Since the detection information is received from the P2P terminal detection apparatus 103 and the P2P terminal control program 602 controls the detected traffic of the P2P terminal based on the detection information received by the IF 601, without imposing a load on the network. By detecting a P2P terminal, it is possible to control a P2P terminal that originally needs traffic control. That is, it is possible to detect a P2P terminal that performs encrypted communication using only the initial packet, and to control the P2P terminal according to the detection.

なお、本実施例の一部を変更して、次のように実施してもよい。P2P端末検知プログラム307の検知結果を、入出力装置207に出力する。これにより、ネットワーク管理者が当該P2P端末の利用者に対して警告メッセージを発したりするなどの対策を講じることができる。   Note that a part of the present embodiment may be changed and implemented as follows. The detection result of the P2P terminal detection program 307 is output to the input / output device 207. As a result, the network administrator can take measures such as issuing a warning message to the user of the P2P terminal.

また、P2P端末検知プログラム307は、コネクション確立要求に対する応答(TCPヘッダ内のSYNフラグ及びACKフラグをONにした)パケットを受信すると、コネクション管理データ308に当該パケットのコネクション情報を登録する。これにより、確立しないTCP接続を大量に試みるSYN-Flood攻撃(SYN flooding attack)などの無意味なコネクション情報を保持しなくなる。   When the P2P terminal detection program 307 receives a response to the connection establishment request (with the SYN flag and the ACK flag in the TCP header turned on), the P2P terminal detection program 307 registers the connection information of the packet in the connection management data 308. As a result, meaningless connection information such as a SYN-Flood attack (SYN flooding attack) that attempts a large number of TCP connections that are not established is not retained.

コネクション情報登録(ステップS703)では、受信したパケットと、送受信IP及び送受信ポートが逆転したパケットとのコネクション情報が同じ値になるようなコネクション情報算出方法を利用してもよい(例えば、送信IP、送信ポートを結合した値のMD5ハッシュ値と、受信IP、受信ポートを結合した値のMD5ハッシュ値との排他的論理和を取るなどして算出)。これによりステップS705の処理において、送受信IP及び送受信ポートを逆転させたコネクション情報を算出する必要がなくなる。また、コネクション情報管理データ308のメモリ領域を節約するために、先ほど求めた排他的論理和の上位4バイトをコネクション情報401としても良い。このとき、コネクション情報401の衝突が起こり、コネクションを誤って識別してしまう可能性があるため、メモリ領域に応じてコネクション情報401の大きさを変えてもよい。
(第2の実施の形態)
本実施の形態においては、上述したP2P端末検知プログラム307の検知情報送信(ステップS808)に係る処理が第1の実施の形態とは異なっているため、第1の実施の形態と同一の構成要素には同一の符号を付すことによってその説明を省略し、以下では、上述した異なる点を中心に説明する。 In the connection information registration (step S703), a connection information calculation method in which the connection information of the received packet and the packet in which the transmission / reception IP and the transmission / reception port are reversed may have the same value (for example, transmission IP, Calculated by taking the exclusive OR of the MD5 hash value of the combined value of the sending port and the MD5 hash value of the combined value of the receiving IP and receiving port). This eliminates the need to calculate connection information in which the transmission / reception IP and the transmission / reception port are reversed in the process of step S705. Further, in order to save the memory area of the connection information management data 308, the upper 4 bytes of the exclusive OR obtained earlier may be used as the connection information 401. At this time, the connection information 401 may collide and the connection may be erroneously identified. Therefore, the size of the connection information 401 may be changed according to the memory area.
(Second Embodiment)
In the present embodiment, since the processing related to the detection information transmission (step S808) of the P2P terminal detection program 307 described above is different from the first embodiment, the same components as those in the first embodiment The description will be omitted by attaching the same reference numerals, and the following description will focus on the different points described above.

図10は、第2の実施の形態におけるP2P通信端末検知装置902の構成例を示す図である。図10に示すように、P2P通信端末検知装置902は、第1の実施の形態におけるメモリ304とは異なるメモリ904を備えている。メモリ904は、第1の実施の形態におけるメモリ304と同様の内容を記憶するほか、P2Pソフト種別を特定するためのP2P種別特定プログラム1001を記憶している。さらに、P2P種別特定プログラム1001には、P2P端末に接続するための、P2Pソフトの種別に応じた接続プログラムを記憶している。図10では、その一例として、BitTorrent接続プログラム1002aと、Winny接続プログラム1002bとが記憶されているが、これに限らず様々なP2Pソフトの種別に応じた接続プログラムを記憶することができる。   FIG. 10 is a diagram illustrating a configuration example of the P2P communication terminal detection device 902 according to the second embodiment. As illustrated in FIG. 10, the P2P communication terminal detection device 902 includes a memory 904 that is different from the memory 304 in the first embodiment. The memory 904 stores the same contents as the memory 304 in the first embodiment, and also stores a P2P type specifying program 1001 for specifying the P2P software type. Further, the P2P type identification program 1001 stores a connection program corresponding to the type of P2P software for connecting to the P2P terminal. In FIG. 10, as an example, the BitTorrent connection program 1002a and the Winny connection program 1002b are stored, but not limited to this, connection programs according to various types of P2P software can be stored.

第2の実施の形態においては、CPU303がメモリ904に記憶されているP2P種別特定プログラム1001を実行することにより、P2P種別の特定を行なう。P2P種別特定プログラム1001は、上述したように、P2Pソフトに応じた接続を行なうためのP2P接続プログラム1002を有している。これらのプログラムは、あらかじめ、メモリ904に格納されていてもよいし、必要なときに、IF301あるいはIF303を介して他の装置からロード(インストール)されてもよい。   In the second embodiment, the CPU 303 executes the P2P type specifying program 1001 stored in the memory 904 to specify the P2P type. As described above, the P2P type identification program 1001 has the P2P connection program 1002 for performing connection according to the P2P software. These programs may be stored in the memory 904 in advance, or may be loaded (installed) from another device via the IF 301 or IF 303 when necessary.

図11は、P2P端末検知装置902のP2P種別特定プログラム1001が、P2Pソフトの種別を特定するための処理(以下、種別特定処理と呼ぶ。)の処理手順を示すフローチャートである。P2P種別特定プログラム1001は、第1の実施の形態における検知情報送信(ステップS808)に代わって、P2P端末検知プログラム307から呼び出される。   FIG. 11 is a flowchart showing a processing procedure of a process (hereinafter referred to as a type specifying process) for the P2P type specifying program 1001 of the P2P terminal detecting device 902 to specify the type of the P2P software. The P2P type identification program 1001 is called from the P2P terminal detection program 307 instead of the detection information transmission (step S808) in the first embodiment.

図11に示すように、P2P端末検知装置902のP2P種別特定プログラム1001は、接続試行をしていないP2P接続プログラム1002が存在するか否か、すなわち全接続プログラムについて接続を試行したか否かを判定する(ステップS1101)。   As shown in FIG. 11, the P2P type identification program 1001 of the P2P terminal detection device 902 determines whether there is a P2P connection program 1002 that has not been attempted for connection, that is, whether or not connection has been attempted for all connection programs. Determination is made (step S1101).

そして、P2P種別特定プログラム1001は、全接続プログラムについて接続を試行していないと判定した場合(ステップS1101;No)、第1の実施の形態におけるステップS807において、P2P端末と判定された端末に対して、P2P接続プログラム1002による接続を試行する接続試行処理を行う(ステップS1102)。なお、P2P接続プログラム1002の例として、Winny接続プログラム1002bが接続試行処理を行う場合の処理手順については、図12を用いて後述する。   If the P2P type identification program 1001 determines that connection is not attempted for all connection programs (step S1101; No), the P2P type identification program 1001 determines that the terminal is determined to be a P2P terminal in step S807 in the first embodiment. Then, connection attempt processing for trying connection by the P2P connection program 1002 is performed (step S1102). As an example of the P2P connection program 1002, a processing procedure when the Winny connection program 1002b performs a connection trial process will be described later with reference to FIG.

一方、P2P種別特定プログラム1001は、全接続プログラムについて接続を試行したと判定した場合(ステップS1101;Yes)、図11に示した種別特定処理を終了させる。   On the other hand, if the P2P type specifying program 1001 determines that connection has been attempted for all the connected programs (step S1101; Yes), the type specifying process shown in FIG. 11 is terminated.

そして、P2P種別特定プログラム1001は、ステップS1102において接続を試行した結果、P2P接続プログラム1002によって接続が正しく行なわれたか否かを判定し(ステップS1103)、P2P接続プログラム1002によって接続が正しく行なわれたと判定した場合(ステップS1103;Yes)、接続に利用したP2P接続プログラムの対象としているP2Pソフトが、当該端末で稼働していると判断し、ステップS1104に進む。   Then, the P2P type specifying program 1001 determines whether or not the connection is correctly performed by the P2P connection program 1002 as a result of the connection attempt in step S1102 (step S1103), and the connection is correctly performed by the P2P connection program 1002. If it is determined (step S1103; Yes), it is determined that the P2P software that is the target of the P2P connection program used for the connection is running on the terminal, and the process proceeds to step S1104.

一方、P2P種別特定プログラム1001は、P2P接続プログラム1002によって接続が正しく行なわれていないと判定した場合(ステップS1103;No)ステップS1101に戻って、ステップS1101〜S1103の処理を繰り返す。   On the other hand, if the P2P type identification program 1001 determines that the connection is not correctly performed by the P2P connection program 1002 (step S1103; No), the process returns to step S1101 and repeats the processes of steps S1101 to S1103.

P2P種別特定プログラム1001は、ステップS1103において、P2P接続プログラム1002によって接続が正しく行なわれたと判定すると、その判定結果を、検知情報としてIF303を介して通信路106に送信し(ステップS1104)、図11に示した種別特定処理を終了させる。検知情報には、判定した端末情報501と、その端末がP2P端末である可能性の大きさを表す確信度502、その端末が利用しているP2Pソフト種別503が含まれている。本実施例では、P2P通信するプログラムを特定させているため、確信度を1として送信してよい。   When the P2P type identification program 1001 determines in step S1103 that the connection has been made correctly by the P2P connection program 1002, the determination result is transmitted as detection information to the communication path 106 via the IF 303 (step S1104). The type specifying process shown in FIG. The detection information includes the determined terminal information 501, the certainty factor 502 indicating the degree of possibility that the terminal is a P2P terminal, and the P2P software type 503 used by the terminal. In this embodiment, since the program for P2P communication is specified, the certainty factor may be transmitted as 1.

図12は、図11に示した接続試行処理の処理手順を示すフローチャートである。上述したように、図12では、Winnyの特定を行なうWinny接続プログラム1002bについて説明する。   FIG. 12 is a flowchart of a process procedure of the connection trial process shown in FIG. As described above, FIG. 12 describes the Winny connection program 1002b for specifying Winny.

図12に示すように、Winny接続プログラム1002bは、第1の実施の形態におけるステップS807の処理において、P2P端末と判定された端末に対して、鍵情報を送信する(ステップS1201)。鍵情報は、図13に例示するように、乱数1301と、RC4暗号鍵1302と、データ1303とを含んでいる。データ1303は、例えば、Winnyを認識するためのバージョン番号であるバイト列「01 00 00 00 61」を、RC4暗号鍵1302を用いて暗号化したバイト列である。   As illustrated in FIG. 12, the Winny connection program 1002b transmits key information to the terminal determined as the P2P terminal in the process of step S807 in the first embodiment (step S1201). The key information includes a random number 1301, an RC4 encryption key 1302, and data 1303 as illustrated in FIG. The data 1303 is, for example, a byte string obtained by encrypting a byte string “01 00 00 00 61”, which is a version number for recognizing Winny, using the RC4 encryption key 1302.

Winny接続プログラム1002aは、接続先の端末からパケットを受信したか否かを判定する(ステップS1202)。そして、Winny接続プログラム1002aは、接続先の端末からパケットを受信したと判定した場合(ステップS1202;Yes)、ステップS1203に進む。   The Winny connection program 1002a determines whether a packet is received from the connection destination terminal (step S1202). If the Winny connection program 1002a determines that a packet is received from the connection destination terminal (step S1202; Yes), the process proceeds to step S1203.

一方、Winny接続プログラム1002aは、接続先の端末からパケットを受信していないと判定した場合(ステップS1202;No)、図12に示す接続試行処理を終了させる。例えば、Winny接続プログラム1002aは、ある一定時間(例えば、閾値として設定された時間3秒)経過してもパケットを受信しない場合、図12に示す接続試行処理を終了させる。   On the other hand, if the Winny connection program 1002a determines that a packet has not been received from the connection destination terminal (step S1202; No), the connection trial process shown in FIG. 12 is terminated. For example, if the Winny connection program 1002a does not receive a packet even after a certain period of time (for example, a time set as a threshold of 3 seconds) has elapsed, the connection trial process shown in FIG. 12 is terminated.

ステップS1202において、接続先の端末からパケットを受信したと判定すると、Winny接続プログラム1002aは、受信したパケットの復号処理を行なう(ステップS1203)。このとき、接続先がWinnyであれば、図13に例示したデータと同一構造のデータが送られてくる。そこで、RC4暗号鍵1302を用いて、データ1303の復号化を行なう。   If it is determined in step S1202 that a packet has been received from the connection destination terminal, the Winny connection program 1002a performs a decoding process on the received packet (step S1203). At this time, if the connection destination is Winny, data having the same structure as the data illustrated in FIG. 13 is sent. Therefore, the data 1303 is decrypted using the RC4 encryption key 1302.

Winny接続プログラムは、ステップS1203において復号した結果を、上述したバイト列「01 00 00 00 61」と比較して一致しているか否かを判定し(ステップS1204)、両者が一致していると判定した場合(ステップS1204;Yes)、接続先端末に正しく接続されたと判定する(ステップS1205)。そして、ステップS1202またはS1205の処理が終了すると、図12に示した接続試行処理の全ての処理が終了する。   The Winny connection program compares the result decoded in step S1203 with the above-described byte string “01 00 00 00 61” to determine whether or not they match (step S1204), and determines that they match. If it is determined (step S1204; Yes), it is determined that the connection destination terminal is correctly connected (step S1205). When the processing in step S1202 or S1205 is completed, all the connection trial processing shown in FIG. 12 is completed.

このように、第2の実施の形態によれば、P2P端末検知装置902は、メモリ904が、複数の種別のP2Pソフトウェアを記憶し、P2P端末検知装置103は、記憶装置606が、複数のP2Pソフトウェアの種別に対応付けて、制御情報と初期パケットの乱数らしさを含む情報とを制御ポリシデータ609として記憶し、P2P検知プログラム307は、端末に対してメモリ904が記憶するP2Pソフトウェアによる接続を行ない、接続が正常に行われた場合に、端末が使用するP2Pソフトウェアを特定し、特定したP2Pソフトウェアに対応する制御情報と初期パケットの乱数らしさを含む情報とを含む検知情報を出力する、ので、P2Pソフト種別を考慮したP2P通信端末の検知が可能となり、検知に応じたP2P端末の制御が可能となる。   As described above, according to the second embodiment, the P2P terminal detection device 902 has the memory 904 that stores a plurality of types of P2P software, and the P2P terminal detection device 103 has the storage device 606 that has a plurality of P2P software. The control information and information including the randomness of the initial packet are stored as control policy data 609 in association with the software type, and the P2P detection program 307 connects to the terminal using the P2P software stored in the memory 904. When the connection is normally performed, the P2P software used by the terminal is specified, and the detection information including the control information corresponding to the specified P2P software and the information including the randomness of the initial packet is output. P2P communication terminals can be detected in consideration of the P2P software type, and P2P terminals can be controlled according to the detection. That.

本発明は、上記実施の形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化することができる。また、上記実施の形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成することができる。例えば、実施の形態に示される全構成要素からいくつかの構成要素を削除してもよい。さらに、異なる実施の形態にわたる構成要素を適宜組み合わせても良い。   The present invention is not limited to the above-described embodiments as they are, and can be embodied by modifying the constituent elements without departing from the scope of the invention in the implementation stage. In addition, various inventions can be formed by appropriately combining a plurality of constituent elements disclosed in the above embodiments. For example, some components may be deleted from all the components shown in the embodiment. Furthermore, constituent elements over different embodiments may be appropriately combined.

1000…P2P端末検知システム、101…トラヒック制御装置、102…P2P端末検知装置、103…P2P端末制御装置、209…トラヒック制御ルール、210…トラヒック制御プログラム、307…P2P端末検知プログラム、308…コネクション管理データ、602…P2P端末制御プログラム、609…制御ポリシデータ、1001…種別特定プログラム。 DESCRIPTION OF SYMBOLS 1000 ... P2P terminal detection system, 101 ... Traffic control apparatus, 102 ... P2P terminal detection apparatus, 103 ... P2P terminal control apparatus, 209 ... Traffic control rule, 210 ... Traffic control program, 307 ... P2P terminal detection program, 308 ... Connection management Data, 602... P2P terminal control program, 609... Control policy data, 1001.

Claims (15)

ネットワークを介してパケットを送受信する端末がP2P端末であるか否かを検知するP2P端末検知装置であって、
前記端末が前記ネットワークを介して送受信するパケットを受信する受信手段と、
前記受信手段が受信した前記パケットが接続確立後に最初に送受信するパケットである初期パケットであるか否かを判定するパケット判定手段と、
前記パケット判定手段が前記初期パケットであると判定した場合に、前記初期パケットのランダム性の有無を判定し、前記初期パケットにランダム性があると判定した場合に、前記端末がP2P端末であると検知するランダム判定手段と、
前記ランダム判定手段が前記端末が前記P2P端末であると検知した場合に、検知された前記P2P端末のトラヒックを制御する制御手段と、
を備えることを特徴とするP2P端末検知装置。 A P2P terminal detection device that detects whether a terminal that transmits and receives packets via a network is a P2P terminal,
Receiving means for receiving packets transmitted and received by the terminal via the network;
Packet determining means for determining whether or not the packet received by the receiving means is an initial packet that is transmitted and received first after connection establishment;
When the packet determination unit determines that the initial packet is the initial packet, the initial packet is determined to be random or not. When the initial packet is determined to be random, the terminal is a P2P terminal. Random determination means to detect;
Control means for controlling traffic of the detected P2P terminal when the random determination means detects that the terminal is the P2P terminal;
A P2P terminal detection device comprising: 前記パケット判定手段は、前記受信手段が受信した前記パケットに接続要求を有する属性が含まれているか否かを判定することにより、前記受信手段が受信した前記パケットが前記初期パケットであるか否かを判定する、
ことを特徴とする請求項1に記載のP2P端末検知装置。 The packet determination means determines whether the packet received by the reception means is the initial packet by determining whether or not the packet received by the reception means includes an attribute having a connection request. Determine
The P2P terminal detection apparatus according to claim 1. 前記ランダム判定手段は、前記受信手段が前記初期パケットを受信する毎に、前記初期パケットのランダム性の有無を判定し、前記初期パケットに前記ランダム性があると判定する毎に、前記端末がP2P端末であると検知する、
ことを特徴とする請求項1または2に記載のP2P端末検知装置。 The random determination means determines whether or not the initial packet has randomness every time the receiving means receives the initial packet, and every time the terminal determines that the initial packet has the randomness, the terminal Detect it as a device,
The P2P terminal detection apparatus according to claim 1 or 2, wherein 前記ランダム判定手段は、前記端末が前記P2P端末であると検知した場合に、前記端末を特定する情報と前記初期パケットの乱数らしさを含む検知情報を出力し、
前記制御手段は、前記ランダム判定手段が出力した前記検知情報に基づいて、検知された前記P2P端末のトラヒックを制御する、
ことを特徴とする請求項1〜3のいずれか1項に記載のP2P端末検知装置。 The random determination means, when detecting that the terminal is the P2P terminal, outputs detection information including information identifying the terminal and randomness of the initial packet,
The control unit controls the detected traffic of the P2P terminal based on the detection information output by the random determination unit.
The P2P terminal detection apparatus according to any one of claims 1 to 3, wherein 検知した前記P2P端末のトラヒックをどのように制御するかを示す制御情報を、前記初期パケットの乱数らしさを含む情報に対応付けて記憶する制御情報記憶手段をさらに備え、
前記制御手段は、前記制御情報記憶手段が記憶する前記初期パケットの乱数らしさを含む情報と、前記ランダム判定手段が出力した前記検知情報に含まれる前記初期パケットの乱数らしさとを比較し、前記ランダム判定手段が出力した前記検知情報に含まれる前記初期パケットの乱数らしさが、前記制御情報記憶手段が記憶する前記初期パケットの乱数らしさよりもより乱数らしい場合に、前記制御情報記憶手段が記憶する前記制御情報に基づいて、検知した前記P2P端末のトラヒックを制御する、
ことを特徴とする請求項4に記載のP2P端末検知装置。 Control information storage means for storing control information indicating how to detect the detected traffic of the P2P terminal in association with information including the randomness of the initial packet;
The control means compares the information including the random number likelihood of the initial packet stored in the control information storage means with the random number likelihood of the initial packet included in the detection information output from the random determination means, The control information storage means stores the random number probability of the initial packet included in the detection information output by the determination means when the randomness probability of the initial packet stored by the control information storage means is more random. Based on the control information, the detected traffic of the P2P terminal is controlled.
The P2P terminal detection apparatus according to claim 4. 複数の種別のP2Pソフトウェアを記憶する種別記憶手段をさらに備え、
前記制御情報記憶手段は、前記複数のP2Pソフトウェアの種別に対応付けて、前記制御情報と前記初期パケットの乱数らしさを含む情報とを記憶し、
前記ランダム判定手段は、前記端末に対して前記種別記憶手段が記憶する前記P2Pソフトウェアによる接続を行ない、前記接続が正常に行われた場合に、前記端末が使用するP2Pソフトウェアを特定し、特定した前記P2Pソフトウェアに対応する前記制御情報と前記初期パケットの乱数らしさを含む情報とを含む検知情報を出力する、
ことを特徴とする請求項5に記載のP2P端末検知装置。 Further comprising a type storage means for storing a plurality of types of P2P software;
The control information storage means stores the control information and information including the randomness of the initial packet in association with the plurality of P2P software types,
The random determination means performs connection by the P2P software stored in the type storage means to the terminal, and specifies and specifies the P2P software used by the terminal when the connection is normally performed. Outputting detection information including the control information corresponding to the P2P software and information including randomness of the initial packet;
The P2P terminal detection apparatus according to claim 5. 前記ランダム判定手段は、繰り返し、前記端末に対して前記種別記憶手段が記憶する前記P2Pソフトウェアによる接続を行なうことにより、前記端末が使用するP2Pソフトウェアを特定する、
ことを特徴とする請求項6に記載のP2P端末検知装置。 The random determination means repeatedly identifies the P2P software used by the terminal by connecting to the terminal using the P2P software stored in the type storage means.
The P2P terminal detection apparatus according to claim 6. ネットワークを介してパケットを送受信する端末がP2P端末であるか否かを検知するP2P端末検知装置で行われるP2P端末検知方法であって、
前記端末が前記ネットワークを介して送受信するパケットを受信する受信ステップと、
前記受信ステップにおいて受信した前記パケットが接続確立後に最初に送受信するパケットである初期パケットであるか否かを判定するパケット判定ステップと、
前記パケット判定ステップにおいて前記初期パケットであると判定された場合に、前記初期パケットのランダム性の有無を判定し、前記初期パケットにランダム性があると判定した場合に、前記端末がP2P端末であると検知するランダム判定ステップと、
前記ランダム判定ステップにおいて前記端末が前記P2P端末であると検知された場合に、検知された前記P2P端末のトラヒックを制御する制御ステップと、
を含むことを特徴とするP2P端末検知方法。 A P2P terminal detection method performed by a P2P terminal detection device that detects whether a terminal that transmits and receives a packet via a network is a P2P terminal,
A receiving step of receiving a packet transmitted and received by the terminal via the network;
A packet determination step of determining whether or not the packet received in the reception step is an initial packet that is transmitted and received first after connection establishment;
When it is determined in the packet determination step that the packet is the initial packet, it is determined whether or not the initial packet is random. When the initial packet is determined to be random, the terminal is a P2P terminal. A random determination step for detecting
A control step of controlling traffic of the detected P2P terminal when the terminal is detected as the P2P terminal in the random determination step;
P2P terminal detection method characterized by including. 前記パケット判定ステップは、前記受信ステップにおいて受信された前記パケットに接続要求を有する属性が含まれているか否かを判定することにより、前記受信ステップにおいて受信された前記パケットが前記初期パケットであるか否かを判定する、
ことを特徴とする請求項8に記載のP2P端末検知方法。 The packet determination step determines whether the packet received in the reception step is the initial packet by determining whether or not the packet received in the reception step includes an attribute having a connection request. Determine whether or not
The P2P terminal detection method according to claim 8. 前記ランダム判定ステップは、前記受信ステップにおいて前記初期パケットを受信する毎に、前記初期パケットのランダム性の有無を判定し、前記初期パケットに前記ランダム性があると判定する毎に、前記端末がP2P端末であると検知する、
ことを特徴とする請求項8または9に記載のP2P端末検知方法。 The random determination step determines the presence or absence of randomness of the initial packet every time the initial packet is received in the reception step, and each time the terminal determines that the initial packet has the randomness, P2P Detect it as a device,
The P2P terminal detection method according to claim 8 or 9, characterized in that. 前記ランダム判定ステップは、前記端末が前記P2P端末であると検知した場合に、前記端末を特定する情報と前記初期パケットの乱数らしさを含む検知情報を出力し、
前記制御ステップは、前記ランダム判定ステップにおいて出力された前記検知情報に基づいて、検知された前記P2P端末のトラヒックを制御する、
ことを特徴とする請求項8〜10のいずれか1項に記載のP2P端末検知方法。 When the random determination step detects that the terminal is the P2P terminal, it outputs detection information including information identifying the terminal and randomness of the initial packet;
The control step controls the detected traffic of the P2P terminal based on the detection information output in the random determination step.
The P2P terminal detection method according to any one of claims 8 to 10, wherein: 前記制御ステップは、検知した前記P2P端末のトラヒックをどのように制御するかを示す制御情報を、前記初期パケットの乱数らしさを含む情報に対応付けて記憶する制御情報記憶手段が記憶する前記初期パケットの乱数らしさを含む情報と、前記ランダム判定ステップにおいて出力された前記検知情報に含まれる前記初期パケットの乱数らしさとを比較し、前記ランダム判定ステップにおいて出力された前記検知情報に含まれる前記初期パケットの乱数らしさが、前記制御情報記憶手段が記憶する前記初期パケットの乱数らしさよりもより乱数らしい場合に、前記制御情報記憶手段が記憶する前記制御情報に基づいて、検知した前記P2P端末のトラヒックを制御する、
ことを特徴とする請求項11に記載のP2P端末検知方法。 In the control step, the initial packet stored by the control information storage means for storing control information indicating how to control the detected traffic of the P2P terminal in association with information including the randomness of the initial packet is stored. And the initial packet included in the detection information output in the random determination step by comparing the information including the random number likelihood with the random number of the initial packet included in the detection information output in the random determination step. Of the P2P terminal detected based on the control information stored in the control information storage means when the random number is more likely to be a random number than the randomness of the initial packet stored in the control information storage means. Control,
The P2P terminal detection method according to claim 11. 前記制御情報記憶手段には、前記複数のP2Pソフトウェアの種別に対応付けて、前記制御情報と前記初期パケットの乱数らしさを含む情報とが記憶され、
前記ランダム判定ステップは、前記端末に対して複数の種別のP2Pソフトウェアを記憶する種別記憶手段が記憶する前記P2Pソフトウェアによる接続を行ない、前記接続が正常に行われた場合に、前記端末が使用するP2Pソフトウェアを特定し、特定した前記P2Pソフトウェアに対応する前記制御情報と前記初期パケットの乱数らしさを含む情報とを含む検知情報を出力する、
ことを特徴とする請求項12に記載のP2P端末検知方法。 The control information storage means stores the control information and information including the randomness of the initial packet in association with the types of the plurality of P2P software,
The random determination step uses the terminal when a connection is made by the P2P software stored in the type storage unit that stores a plurality of types of P2P software for the terminal, and the connection is normally performed. P2P software is specified, and detection information including the control information corresponding to the specified P2P software and information including the randomness of the initial packet is output.
The P2P terminal detection method according to claim 12, wherein: 前記ランダム判定ステップは、繰り返し、前記端末に対して前記種別記憶手段が記憶する前記P2Pソフトウェアによる接続を行なうことにより、前記端末が使用するP2Pソフトウェアを特定する、
ことを特徴とする請求項13に記載のP2P端末検知方法。 The random determination step repeatedly identifies the P2P software used by the terminal by making a connection to the terminal using the P2P software stored in the type storage unit.
The P2P terminal detection method according to claim 13. ネットワークを介してパケットを送受信する端末がP2P端末であるか否かを検知するP2P端末検知システムであって、
P2P端末検知装置は、
前記端末が前記ネットワークを介して送受信するパケットを受信する第1の受信手段と、
前記受信手段が受信した前記パケットが接続確立後に最初に送受信するパケットである初期パケットであるか否かを判定するパケット判定手段と、
前記パケット判定手段が前記初期パケットであると判定した場合に、前記初期パケットのランダム性の有無を判定し、前記初期パケットにランダム性があると判定した場合に、前記端末がP2P端末であると検知するランダム判定手段と、
前記ランダム判定手段が前記端末がP2P端末であると検知した結果を検知情報として送信する送信手段と、を備え、
P2P端末制御装置は、
前記P2P端末検知装置から前記検知情報を受信する第2の受信手段と、
前記第2の受信手段が受信した前記検知情報に基づいて、検知された前記P2P端末のトラヒックを制御する制御手段と、
を備えることを特徴とするP2P端末検知システム。 A P2P terminal detection system that detects whether a terminal that transmits and receives packets via a network is a P2P terminal,
P2P terminal detection device
First receiving means for receiving packets transmitted and received by the terminal via the network;
Packet determining means for determining whether or not the packet received by the receiving means is an initial packet that is transmitted and received first after connection establishment;
When the packet determination unit determines that the initial packet is the initial packet, the initial packet is determined to be random or not. When the initial packet is determined to be random, the terminal is a P2P terminal. Random determination means to detect;
Transmission means for transmitting, as detection information, a result of the random determination means detecting that the terminal is a P2P terminal;
The P2P terminal control device
Second receiving means for receiving the detection information from the P2P terminal detection device;
Control means for controlling traffic of the detected P2P terminal based on the detection information received by the second receiving means;
A P2P terminal detection system comprising:
JP2010067932A 2010-03-24 2010-03-24 P2P terminal detection device, P2P terminal detection method, and P2P terminal detection system Expired - Fee Related JP5520650B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010067932A JP5520650B2 (en) 2010-03-24 2010-03-24 P2P terminal detection device, P2P terminal detection method, and P2P terminal detection system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010067932A JP5520650B2 (en) 2010-03-24 2010-03-24 P2P terminal detection device, P2P terminal detection method, and P2P terminal detection system

Publications (2)

Publication Number Publication Date
JP2011205197A true JP2011205197A (en) 2011-10-13
JP5520650B2 JP5520650B2 (en) 2014-06-11

Family

ID=44881418

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010067932A Expired - Fee Related JP5520650B2 (en) 2010-03-24 2010-03-24 P2P terminal detection device, P2P terminal detection method, and P2P terminal detection system

Country Status (1)

Country Link
JP (1) JP5520650B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021036654A (en) * 2019-08-30 2021-03-04 エヌ・ティ・ティ・コミュニケーションズ株式会社 Attribute information generation device, attribute identification apparatus, attribute information generation method and attribute identification method

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004140524A (en) * 2002-10-16 2004-05-13 Sony Corp Method and apparatus for detecting dos attack, and program
JP2005202589A (en) * 2004-01-14 2005-07-28 Kddi Corp Traffic control system of p2p network
JP2006279682A (en) * 2005-03-30 2006-10-12 Nec Corp Traffic controller, traffic control method and program
JP2006330783A (en) * 2005-05-23 2006-12-07 Nec Corp Device and method for specifying overlay network generation application starting node
WO2007141835A1 (en) * 2006-06-02 2007-12-13 Duaxes Corporation Communication management system, communication management method and communication control device
JP2008048131A (en) * 2006-08-15 2008-02-28 Oki Electric Ind Co Ltd P2p traffic monitoring and control system, and method therefor
JP2009284433A (en) * 2008-05-26 2009-12-03 Hitachi Ltd System and method for detecting and controlling p2p terminal
JP2009296036A (en) * 2008-06-02 2009-12-17 Hitachi Ltd P2p communication control system and control method

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004140524A (en) * 2002-10-16 2004-05-13 Sony Corp Method and apparatus for detecting dos attack, and program
JP2005202589A (en) * 2004-01-14 2005-07-28 Kddi Corp Traffic control system of p2p network
JP2006279682A (en) * 2005-03-30 2006-10-12 Nec Corp Traffic controller, traffic control method and program
JP2006330783A (en) * 2005-05-23 2006-12-07 Nec Corp Device and method for specifying overlay network generation application starting node
WO2007141835A1 (en) * 2006-06-02 2007-12-13 Duaxes Corporation Communication management system, communication management method and communication control device
JP2008048131A (en) * 2006-08-15 2008-02-28 Oki Electric Ind Co Ltd P2p traffic monitoring and control system, and method therefor
JP2009284433A (en) * 2008-05-26 2009-12-03 Hitachi Ltd System and method for detecting and controlling p2p terminal
JP2009296036A (en) * 2008-06-02 2009-12-17 Hitachi Ltd P2p communication control system and control method

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6013025204; 'muTorrent Community - Index > Feature Requests > We need bitcomet's protocol header encrypt option p' インターネット<URL:http://forum.utorrent.com/viewtopic.php?id=3068> , 20051206 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021036654A (en) * 2019-08-30 2021-03-04 エヌ・ティ・ティ・コミュニケーションズ株式会社 Attribute information generation device, attribute identification apparatus, attribute information generation method and attribute identification method
JP7221170B2 (en) 2019-08-30 2023-02-13 エヌ・ティ・ティ・コミュニケーションズ株式会社 Attribute information generation device, attribute identification device, attribute information generation method, and attribute identification method

Also Published As

Publication number Publication date
JP5520650B2 (en) 2014-06-11

Similar Documents

Publication Publication Date Title
JP6188832B2 (en) Method, computer program product, data processing system, and database system for processing database client requests
US11800260B2 (en) Network telemetry with byte distribution and cryptographic protocol data elements
JP5362669B2 (en) Efficient classification of network packets
EP2978174B1 (en) Interest return control message
US11637702B2 (en) Verifiable computation for cross-domain information sharing
US10171423B1 (en) Services offloading for application layer services
WO2011143817A1 (en) Method and apparatus for identifying application protocol
US10264004B2 (en) System and method for connection fingerprint generation and stepping-stone traceback based on netflow
US10015192B1 (en) Sample selection for data analysis for use in malware detection
EP3148136B1 (en) Flow control with network named fragments
CN107070851B (en) System and method for connecting fingerprint generation and stepping stone tracing based on network flow
CN114521321A (en) Information center network dynamic calculation arrangement
Liu et al. An index-based provenance compression scheme for identifying malicious nodes in multihop IoT network
US20200136991A1 (en) Establishing quality of service for internet of things devices
Oh et al. Appsniffer: Towards robust mobile app fingerprinting against VPN
JP5520650B2 (en) P2P terminal detection device, P2P terminal detection method, and P2P terminal detection system
Cui et al. Only Header: A reliable encrypted traffic classification framework without privacy risk
CN111556075A (en) Data transmission path restoration method and system based on non-interactive key negotiation
JP2009284433A (en) System and method for detecting and controlling p2p terminal
Yang et al. Identify encrypted packets to detect stepping-stone intrusion
JP6943827B2 (en) Nodes, programs and methods to transfer data so that the request data source can be identified
KR101707073B1 (en) Error detection network system based on sdn
Hassan et al. Agent Based IDS Using RMBOPB Technique in MANET
Mohamed Azran Applying covert channel in TCP Fast Open (TFO)/Mohamed Azran Aziz
Bai et al. Find behaviors of network evasion and protocol obfuscation using traffic measurement

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120810

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130426

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130528

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130726

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140107

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140221

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140311

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140407

R150 Certificate of patent or registration of utility model

Ref document number: 5520650

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees