JP2015050473A - トラヒック監視装置及びプログラム、並びに、通信装置 - Google Patents

トラヒック監視装置及びプログラム、並びに、通信装置 Download PDF

Info

Publication number
JP2015050473A
JP2015050473A JP2013178465A JP2013178465A JP2015050473A JP 2015050473 A JP2015050473 A JP 2015050473A JP 2013178465 A JP2013178465 A JP 2013178465A JP 2013178465 A JP2013178465 A JP 2013178465A JP 2015050473 A JP2015050473 A JP 2015050473A
Authority
JP
Japan
Prior art keywords
flow
feature value
communication
feature
type
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013178465A
Other languages
English (en)
Other versions
JP6153166B2 (ja
Inventor
信吾 阿多
Shingo Ata
信吾 阿多
由一 熊野
Yoshikazu Kumano
由一 熊野
中村 信之
Nobuyuki Nakamura
信之 中村
佳裕 中平
Yoshihiro Nakahira
佳裕 中平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Osaka University NUC
Osaka City University
Original Assignee
Oki Electric Industry Co Ltd
Osaka University NUC
Osaka City University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd, Osaka University NUC, Osaka City University filed Critical Oki Electric Industry Co Ltd
Priority to JP2013178465A priority Critical patent/JP6153166B2/ja
Publication of JP2015050473A publication Critical patent/JP2015050473A/ja
Application granted granted Critical
Publication of JP6153166B2 publication Critical patent/JP6153166B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 トラヒックフローに係る通信アプリケーションを早期に精度良く推定できるトラヒック監視装置を提供する。
【解決手段】 本発明は、監視対象フローについて、複数種類の特徴量についてフロー開始からの値を保持する保持手段と、保持手段が保持している特徴量値の最新の値が、フロー開始から早期の段階の特徴量値の場合に、保持手段が保持している特徴量値に基づいて、所定パケット数が到来したときの特徴量値を予測する予測手段と、通信アプリケーションの種類毎に予め登録されている複数種類の特徴量値の組と、予測手段が予測した特徴量値を含む複数種類の特徴量値の組との照合により、監視対象フローに係る通信アプリケーションの種類を推定する推定手段とを有することを特徴とする。
【選択図】 図2

Description

本発明は、トラヒック監視装置及びプログラム、並びに、通信装置に関し、例えば、インターネットのようなデータ通信網のノードや端末装置において、トラヒックを監視し、暗号解読することなく流れるトラヒックに適用されている、任意の種類の暗号方式を使用している通信アプリケーション(の種類)を推定する場合に適用し得るものである。
ネットワークが加入者によってどのように利用されているか、各フローでどのような通信が行われているかを把握することは、ネットワークオペレータが設備投資の判断、フローの制御、異常監視を行う上で有用である。
しかしながら、今日の通信では、暗号化されたトラヒック(ここで、トラヒックとは通信回線を通じて送受信される情報を呼んでおり、以下、暗号化されたトラヒックを暗号トラヒックと呼ぶこととする)が増え、暗号文の中でどのような通信を行っているかの把握が困難になりつつある。また、プライバシ保護の観点から、ペイロードの内容を観測せずに、パケット長や到着間隔等の統計情報で、内容を推定したいという要求が存在する。
このような背景下で、特許文献1に記載の暗号化通信特徴抽出装置が提案されている。
この暗号化通信特徴抽出装置では、事前に、既知の暗号化方法で暗号化した暗号文を、この装置の外部通信部より発信し、この試験通信暗号データを暗号文データ収集部で収集して特徴を求めておく。次に、暗号判定機能部では、トラヒックの種別が不明な通信情報に対して、特徴情報を求め、求めた種別の不明な通信情報の特徴情報と、先に求めた既知の暗号文の特徴情報とを比較する。この比較結果が一致した場合、この種別不明なトラヒックを、どの種類の暗号化方法で暗号化された文章のトラフィックであると推定する。
この特許文献1の記載方法を用いれば、暗号化通信の種別として、使用される通信アプリケーション、暗号通信ソフト、及び暗号化プロトコルの組合せを示すことができる。使用可能な暗号化プロトコルとしては、WEBサービスの場合であればHTTPS(Hypertext Transfer Protocol over Secure Socket Layer)を挙げることができ、VPN(Virtual Private Network)の場合であれば、DES(Data Encryption Standard)、3DES、AES(Advanced Encryption Standard)等を挙げることができる。
また、適用できる特徴情報としては、(1)通信セッションの発生間隔、(2)通信セッション中のパケット発生間隔、(3)通信セッション中のパケットサイズ、(4)通信セッション中の総パケット数、(5)通信セッション中のパケット送受信方向の関係、(6)通信セッション中のパケット送受信数方向比、(7)通信セッション中のプロトコル占有率、(8)通信セッション開始時の各パケットサイズ、(9)通信セッション開始時の総パケット数、(10)通信セッション開始時の総データサイズ、(11)長期間の送信元/宛先IP分布、(12)長期間の宛先ポート分布、(13)長期間のDNS(Domain Name System)サーバへの問合せの有無、(14)通信アプリケーション側から何も通信していない時に送信されるデータの有無が挙げられる。
特開2006−146039号公報
ところで、特許文献1の記載技術では、上述した14種類のいずれか一つの特徴情報を用いた相関分析だけを開示し、複数の特徴情報を用いた相関分析について何も想定していない。複数の特徴情報を用いれば、判定精度が向上する可能性があるが、特許文献1は、特徴情報毎に異なる判定結果が出た場合、アプリケーションをどのように推定すれば良いかを開示も示唆もしていない。そのため、特許文献1の記載技術では、複数の特徴情報を用いた相関分析を実施することはできない。
複数の特徴情報を用いる手法として、ナイーブベイズ、すなわち、単純ベイズ判定器と呼ばれる条件付確率モデルを用いたものが提案されている。しかし、この提案手法を適用したとしても、精度には限界があった。
本発明は、以上のような課題に鑑みなされたものであり、トラヒックの特徴を早期に精度良く判定できるトラヒック監視装置及びプログラム、並びに、通信装置を提供しようとしたものである。
第1の本発明は、ネットワーク通信のトラヒックを監視するトラヒック監視装置において、(1)監視対象フローについて、複数種類の特徴量についてフロー開始からの値を保持する特徴量値保持手段と、(2)上記特徴量値保持手段が保持している特徴量値の最新の値が、所定のパケット数のパケットが到来して得た特徴量値になっていない、フロー開始から早期の段階の特徴量値の場合に、上記特徴量値保持手段が保持している特徴量値に基づいて、所定のパケット数のパケットが到来したときの特徴量値を予測する所定タイミング特徴量値予測手段と、(3)通信アプリケーションの種類毎に予め登録されている複数種類の特徴量値の組と、所定タイミング特徴量値予測手段が予測した特徴量値を含む複数種類の特徴量値の組との照合により、上記監視対象フローに係る通信アプリケーションの種類を推定するアプリケーション種類推定手段とを有することを特徴とする。
第2の本発明は、ネットワーク通信のトラヒックを中継する通信装置において、第1の本発明のトラヒック監視装置を実装していることを特徴とする。
第3の本発明のトラヒック監視プログラムは、ネットワーク通信のトラヒックを監視できるネットワーク上の位置に設けられたコンピュータを、(1)監視対象フローについて、複数種類の特徴量についてフロー開始からの値を保持する特徴量値保持手段と、(2)上記特徴量値保持手段が保持している特徴量値の最新の値が、所定のパケット数のパケットが到来して得た特徴量値になっていない、フロー開始から早期の段階の特徴量値の場合に、上記特徴量値保持手段が保持している特徴量値に基づいて、所定のパケット数のパケットが到来したときの特徴量値を予測する所定タイミング特徴量値予測手段と、(3)通信アプリケーションの種類毎に予め登録されている複数種類の特徴量値の組と、所定タイミング特徴量値予測手段が予測した特徴量値を含む複数種類の特徴量値の組との照合により、上記監視対象フローに係る通信アプリケーションの種類を推定するアプリケーション種類推定手段として機能させることを特徴とする。
本発明によれば、トラヒックフローに係る通信アプリケーションを早期に精度良く推定することができる。
実施形態のトラヒック監視装置とネットワークとの関係を示す説明図である。 実施形態のトラヒック監視装置の機能的な構成を示すブロック図である。 実施形態のトラヒック監視装置における特徴量保持部が保持しているデータの構成を示す説明図である。 実施形態のトラヒック監視装置が適用しているパラメタ例の説明図である。 実施形態のトラヒック監視装置における特徴量収束予測部からアプリケーション推定部に引き渡される情報の説明図である。 実施形態のトラヒック監視装置における特徴量収束予測部による所定パケット数到来時のパラメタ値の予測方法の説明図である。 実施形態のトラヒック監視装置におけるフロー制御変更指令部に記憶されているアプリケーションの種類毎の変更制御内容の例を示す説明図である。 実施形態のトラヒック監視装置における通信制御部が内部管理する制御内容を変更するフローに関する情報を示す説明図である。 実施形態のトラヒック監視装置における特徴量収束予測部の予測処理の流れを示すフローチャートである。
(A)主たる実施形態
以下、本発明によるトラヒック監視装置及びプログラム、並びに、通信装置の一実施形態を、図面を参照しながら説明する。実施形態に係るトラヒック監視装置は、主として、暗号トラヒックを監視するものである。
(A−1)実施形態の構成
図1は、実施形態に係るトラヒック監視装置1と、ネットワークとの関係を示す説明図である。実施形態に係るトラヒック監視装置1は、データパケット(以下、IPパケットとする)を転送する通信装置に関連して設けられる。例えば、ネットワークNA〜NZ間の境界に位置するゲートウェイ装置に、実施形態のトラヒック監視装置1が搭載される通信装置である。
図2は、実施形態のトラヒック監視装置1の機能的な構成を示すブロック図である。ここで、実施形態のトラヒック監視装置1は、ハードウェア的に各種回路を接続して構築されたものであっても良く、また、CPU、ROM、RAMなどを用いてトラヒック監視プログラムを実行することで該当するトラヒック監視機能を実現するように構築されたものであっても良く(この場合であっても、後述する通信入力部10や通信出力部13の一部はハードウェアで構成することを要する)、いずれの構築方法が適用された場合であっても、機能的には、図2で表すことができる。
図2において、実施形態のトラヒック監視装置1は、通信入力部10、推定対象フロー抽出部11、通信制御部12、通信出力部13、特徴量保持部14、特徴量収束予測部15、アプリケーション推定部16及びフロー制御変更指令部17を有する。
通信入力部10は、ネットワークに接続されていて、トラヒックが入力され、入力されたトラヒックを推定対象フロー抽出部11に渡すものである。
推定対象フロー抽出部11は、暗号化フローと非暗号化フローを選別し、各暗号化フローに関する特徴量(パラメタ)を計測し、暗号化フローに関するフローの特定情報と特徴量を特徴量保持部14に与え、特徴量が計測された暗号化フローの情報を通信制御部12に与えるものである。
ここで、暗号化フローとは、そのフローのデータパケットにおけるヘッダ及びペイロード(あるいはその一部)が暗号化されているフローを呼び、非暗号化フローとは、そのフローのデータパケットが暗号化されていないフローを呼ぶこととする。さらに、ここで暗号化とは、必ずしも良く知られた暗号を用いた符号化処理でなくても良く、一般的な通信で利用されるヘッダとペイロードを含んだパケットの難読化処理、あるいは独自符号化のような処理を加えることによって本来の通信内容がわからないように加工された処理のことも含むものとする。
トラフィック監視装置1は、非暗号化フローのトラヒックをも監視するものであるが、非暗号化フローのトラヒックの監視機能は、従来装置と同様であるので、以下では、暗号化フローのトラフィックについての機能を説明する。
推定対象フロー抽出部11は、新たな暗号化フローを認識した場合には、フローの識別情報(ID;数字列に限定されない)の採番を行い、フローの両端ノードのIPアドレスとフローIDをフローの特定情報とし、所定情報を特徴量保持部14及び通信制御部12に与える。
なお、推定対象フロー抽出部11が、非暗号化フローの特徴量を計測して特徴量保持部14に与え、後述する暗号化フローに対する処理を、非暗号化フローに対して行うようにしても良いことは勿論である。
特徴量保持部14は、暗号化フローのそれぞれに対して、フローの特定情報に対応付けて特徴量を管理するものである。図3は、特徴量保持部14が保持しているデータの構成を示す説明図である。特徴量保持部14は、例えば、フローIDに対応付けて、フローの一方のノードのIPアドレス、他方のノードのIPアドレス、フロー開始時刻、フロー開始からのパケット数、複数種類のパラメタのフロー開始からの値を管理する(パラメタ値に関してはその代表値をも管理するようにしても良い)。特徴量保持部14は、例えば、図3に示すように、表形式で各暗号化フローの特定情報と特徴量を管理し、フローの終了後にはエントリーを削除する(フローの終了判定の一例としては、フローの開始時間から十分に時間が経過していてデータパケットが到来しないことを挙げられる)。
図4は、この実施形態のトラヒック監視装置1が適用しているパラメタの説明図である。図4は、計49種類のパラメタを示しているが、パラメタの組はこれに限定されるものではない。
パラメタは、大きくは、パケットサイズと、パケット到着間隔と、フロー情報とに関するものである。
パケットサイズについては、一方の転送方向(以下、順方向と呼ぶ)のデータパケットについてのパケットサイズのパラメタと、他方の転送方向(以下、逆方向と呼ぶ)のデータパケットについてのパケットサイズのパラメタと、両転送方向(以下、両方向と呼ぶ)のデータパケットについてのパケットサイズのパラメタとがある。パケットサイズのパラメタは、最小値、25%値、50%値、平均値、75%値、最大値及び分散値がある。ここで、25%値、50%値、75%値はそれぞれ、全てのパケットサイズの値を小さい順に並べた場合において、小さい方から25%、50%、75%に位置するパケットサイズの値である。従って、50%値は、中央値(メディアン)と同じものである。
パケット到着間隔についても、順方向、逆方向、両方向のデータパケットについてのパラメタがある。パケット到着間隔のパラメタは、最小値、25%値、50%値、平均値、75%値、最大値及び分散値がある。
フロー情報についてのパラメタは、順方向及び逆方向については、合計パケット数、合計バイト数及び転送時間であり、両方向については転送時間である。ここで、転送時間とは、該当する方向(両方向を含む)のフローの開始時刻から最新のパケットが当該トラヒック監視装置1に到着した時刻までの時間である。
特徴量収束予測部15は、各種類のパラメタについて、特徴量保持部14が管理しているフロー開始時点からのパラメタ値を基に、パラメタの変化傾向を捉えて、収束状態になっていると思われる所定パケット数(例えば、180パケット目)のパケットが到来したと仮定したときのパラメタ値を予測し、フローの特定情報と共に、アプリケーション推定部16に与えるものである。なお、当該トラヒック監視装置1に既に所定パケット数のパケットが到来した以降においては、特徴量収束予測部15は、実測したパラメタ値をアプリケーション推定部16に与える。
図5は、特徴量保持部14が上述した図3の情報を保持している場合において、特徴量収束予測部15からアプリケーション推定部16に引き渡される情報の説明図である。各パラメタについて、予測されたパラメタ値若しくは実測されたパラメタ値が特徴量収束予測部15からアプリケーション推定部16に引き渡される。図5の例の場合、フローIDが「1」のフローは到来パケット数が20であり、フローIDが「2」のフローは到来パケット数が30であるので、両フロー共に、予測されたパラメタ値が特徴量収束予測部15からアプリケーション推定部16に引き渡される。なお、文字列「parameter」と数字列「1」、「2」、…でなるパラメタを区別する名称の最後に「#」を付与することにより、引き渡されたパラメタ値が予測値であることをアプリケーション推定部16が認識し得るようになされている。
図6は、特徴量収束予測部15における所定パケット数でのパラメタ値の予測方法の説明図である。パラメタ値は、そのパラメタ値を算出するパケット数がある程度のパケット数より多くなると同じような値をとる収束状態になる。収束状態に至るまでは、算出に供するパケット数が多くなるについてパラメタ値は変化する。図6(A)は、パケット数が10パケット増える毎にパラメタ値をプロットした図であり、パケット数が多くなるについてパラメタ値の増加率が大きくなる変化傾向を有している。図6(B)に示すように、複数の予測用関数(図6は7つの例を示している)を用意しておき、今回のパラメタ値の変化にフィットする予測用関数を選択すると共に、図6(C)に示すように、その関数の係数などをアレンジし、その後、予測用関数に収束状態を捉えるためのパケット数Bを入力して、所定パケット数(収束状態)におけるパラメタ値Aを予測する。
なお、図6(B)は収束状態に至るまでの変化傾向を示しており、図示は省略しているが、収束状態では、図6(B)における右端の値と同様な値を維持する。
タイプ1〜タイプ3の予測用関数は、算出パケット数が多くなるに従って、算出されるパラメタ値が大きくなる場合に適用して好適な関数であり、それぞれ、増加率が、一定、漸増、漸減の関数である。タイプ4〜タイプ6の予測用関数は、算出パケット数が多くなるに従って、算出されるパラメタ値が小さくなる場合に適用して好適な関数であり、それぞれ、減少率が、一定、漸減、漸増の関数である。タイプ7の予測用関数は、先頭の数パケットではそのパラメタ値が不安定であるが、その後、安定した値をとるパラメタに適用して好適な関数であり、先頭の数パケットを除外させる関数である。図4の例とは合致しないが、例えば、TCP(Transmission Control Protocol)の3ウェイハンドシェイクに係る当初の数パケットは、特定の統計量(特徴量)を乱すものとなっている。
特徴量収束予測部15は、適用する予測用関数を選別することを行うものであるが、パラメタの種類によっては、適用する予測用関数を予め定めておくようにしても良い。パラメタ値の収束値を予測するパケット数(図6(C)のB参照)も、パラメタの種類を問わず、同じパケット数を適用しても良く、また、パラメタの種類に応じて変えるようにしても良い。
図6は、予測用関数として7タイプを用意しておく場合を示したが、予測用関数の対応数はこれより多くても少なくても良い。また、増加率や減少率の変化傾向が途中で切り替わるような予測用関数を用意しておいても良い。例えば、前半が図6(B)のタイプ1でそれより先がタイプ3のような変化傾向を有する予測用関数を用意しておくようにしても良い。
アプリケーション推定部16は、フローの特定情報と共に、所定パケット数に係る予測された若しくは実測されたパラメタ値の組が与えられたとき、各アプリケーションについて予め登録されている所定パケット数におけるパラメタ値の組(以下、教師データと呼ぶこともある)と照合し、照合結果が最も良好なアプリケーションの種類を、そのフローで適用されているアプリケーションの種類と推定し、フローの特定情報と推定したアプリケーションの種類の識別情報(ID)の対をフロー制御変更指令部17に通知するものである。通知するフローの特定情報は、例えば、フローIDである。
アプリケーション推定部16として、例えば、SVM(Support Vector Machine)等の汎用的な教師有り学習・識別器を適用することができる。教師データは、アプリケーションが既知な状態で、特徴量収束予測部15に予測動作させて得られた所定パケット数におけるパラメタ値の組であり、アプリケーションの種類情報に対応付けられて、アプリケーション推定部16に入力されて登録されたものである。
図4では、パラメタの種類数が49種類の例を示したが、アプリケーション推定部16がアプリケーションの推定に用いるパラメタは49種類全てであっても良く、49種類の一部(例えば20種類程度)のパラメタをアプリケーションの推定に用いるようにしても良い。アプリケーションの種類によって、推定(教師データとの照合)に用いるパラメタの数や種類を切り替えるようにしても良い。このような場合であれば、照合するパラメタの種類を特定できるように、教師データを構成しておくことを要する。
ここで、アプリケーションとは、転送しようとするデータからIPパケットを組み立てる処理、及び、その逆処理を行う通信アプリケーションであり、暗号化処理だけでなく、その他の処理(例えば、誤り訂正処理など)を行うものである。適用している暗号化の種類や、他の処理の種類や、取り扱うデータの種類(音声、画像、データ)等によって、アプリケーションは様々である。
フロー制御変更指令部17は、アプリケーションの識別情報(ID)毎にフローに対する制御内容を記憶しており、アプリケーション推定部16から、フローIDと推定したアプリケーションのIDとが与えられたとき、通信制御部12に、そのフローIDのフローに対して適用するアプリケーションの種類を特定するアプリケーションIDを通知するものである。フロー制御変更指令部17は、デフォルトの制御内容から変更する内容だけを記述している。
例えば、ストリーミング系のアプリケーションと、音声通信のアプリケーションとでは、パケットロスによる影響度が異なる。ネットワーク仮想化に対応しているアプリケーションは、転送するネットワークも仮想化対応ものであることが好ましい。P2Pのアプリケーションは通信速度が低くても構わない。このようにアプリケーションの種類により要求事項が異なっており、推定されたアプリケーションの種類に好適な通信制御を通信制御部12が実行し得るように、フロー制御変更指令部17が制御内容を見直すこととした。
図7は、アプリケーションの種類と、その種類に対する通信制御の内容の例(制御ルール)を示す説明図である。通信制御の内容は、優先度付け、帯域制御、パケット破棄、転送先の設定等である。
例えば、推定されたアプリケーションの種類が、アプリケーションIDが「1」のアプリケーション種類であれば(条件部)、フローの優先度を「A」に高めると共に、転送先のネットワークを「NetworkA」にする(アクション部)制御ルールを適用する。また、例えば、推定されたアプリケーションの種類が、アプリケーションIDが「3」のアプリケーション種類であれば、フローの優先度を「Z」に低めると共に、そのフローのパケットを10,000パケット毎に1パケットずつ強制廃棄する(廃棄率は0.01%)制御ルールを適用する。さらに、例えば、推定されたアプリケーションの種類が、アプリケーションIDが「4」のアプリケーション種類であれば、上限帯域(可用帯域)を200kbpsとするシェーピングを行うと共に、転送先のネットワークを「NetworkC」にする制御ルールを適用する。さらにまた、例えば、推定されたアプリケーションの種類が、アプリケーションIDが「5」のアプリケーション種類であれば、優先度の変更等をなにもせずに、デフォルトの制御をそのまま適用する制御ルールを適用する。なお、デフォルトの制御を適用する場合であれば、フロー制御変更指令部17が、通信制御部12に制御指令を与えないようにすれば良い。
通信制御部12は、推定対象フロー抽出部11からフロー(のパケット)を受け取り、そのフローが、フロー制御変更指令部17が制御内容の変更を指令したフローチャートであるか確認し、制御内容を変更するフローである場合には、そのフローについて推定されたアプリケーションの種類の通信制御を行うものである。
図8は、通信制御部12が内部管理する制御内容を変更するフローに関する情報を示す説明図である。
通信制御部12は、フローのIDに対応付けて、そのフローについて推定されたアプリケーションのIDと、当該エントリーを削除するまでの残り時間とを管理している。通信制御部12は、入力されたフローが、管理しているIDを有するとき、それに対応付けられたアプリケーションIDを取出し、取出したアプリケーションIDをフロー制御変更指令部17に与えて、推定アプリケーションに対する制御内容を取り込んで、入力されたフローに対して、取り込んだ制御内容の通信制御を行う。通信制御には直接関係しないが、通信制御部12は、残り時間が0になると、当該エントリーを削除する。
なお、通信制御部12が、アプリケーション種類毎の制御内容をも管理しておき、フローIDが入力された際に、フロー制御変更指令部17に問い合わせを行うことなく、該当する通信制御を行うようにしても良い。
通信出力部13は、1つ以上の外部ネットワークに接続され、通信入力部10に入力されたフローを、転送するネットワークを選択して出力するものである。通信出力部13は、フローの送信先IPアドレスで定まるネットワークを選択することを基本としながら、制御内容で転送先となるネットワークが規定されている場合には、規定されているネットワークにフローを出力する。
(A−2)実施形態の動作
次に、以上のような構成を有する実施形態のトラヒック監視装置1の動作を説明する。
当該トラヒック監視装置1は、ネットワークに接続されるとトラヒック監視装置として動作を開始し、パケットを受信し始める。
受信されたパケットは、通信入力部10に入力され、当該トラヒック監視装置1を搭載した通信装置が中継する適切なパケットであれば、推定対象フロー抽出部11に与えられる。
推定対象フロー抽出部11においては、暗号化フローと非暗号化フローとが選別され、暗号化フローに関するパラメタが計測され(算出動作を伴うこともある)、各種のパラメタ値が、フローの特定情報と共に特徴量保持部14に与えられる。例えば、入力されたフローのヘッダ情報を用いてペイロードが判別できないフローは、推定対象フロー抽出部11によって、暗号化フローと判定される。また例えば、単純な分類手法(例えば、統計学的クラス分類器とみなされているC4.5決定木等を利用する)によって、フロー情報を元に暗号化の有無を判別し、暗号化フローを認識する。
フロー開始時点からの暗号化フローについてのパラメタ値は、フロー毎に、特徴量保持部14において保持される。なお、パケットが所定時間の送られてこないエントリー(フローのパラメタ値群)や開始時間から十分な時間がたったエントリー(フローのパラメタ値群)については、特徴量保持部14から削除される。なお、フローの開始時点から所定パケット数(例えば、180パケット程度)のパケットが到来したフローについては、特徴量保持部14を、実測値のみ保持するように切り替える。
所定パケット数でのパラメタ値を予測するために、統計量保持部14がフロー開始からさほど経過していない段階のパラメタ値を保持しているときには、特徴量収束予測部15によって、所定パケット数でのパラメタ値が予測される。
図9は、ある一つのパラメタに対する、特徴量収束予測部15の処理を示すフローチャートである。特徴量収束予測部15は、そのフローに係る新たなパケットが到来する毎に図9に示す処理を実行するようにしても良く、また、複数パケット(例えば、10パケットや20パケット)の到来毎に、図9に示す処理を実行するようにしても良い。
特徴量収束予測部15は、新たなパラメタ値の予測処理(予測しない場合を含む)が必要となると、図9に示す処理を開始し、予測が不要なパラメタか否かを判別する(ステップ100)。
予測が不要なパラメタであれば、特徴量収束予測部15は、図9に示す一連の処理を直ちに終了する。
予測が必要なパラメタであれば、特徴量収束予測部15は、先頭yパケットを除外するパラメタか否かを判別する(ステップ101)。すなわち、図6(B)のタイプ7のパラメタか否かを判別する。先頭yパケットを除外するパラメタであれば、特徴量収束予測部15は、今回の到来パケットが先頭yパケットを超えているか否かを判別する(ステップ102)。今回の到来パケットが先頭yパケットを超えていなければ、特徴量収束予測部15は、今回の到来パケットを除外した後(ステップ103)、図9に示す一連の処理を終了し、一方、今回の到来パケットが先頭yパケットを超えていれば、特徴量収束予測部15は、アプリケーション推定部16が参照するパラメタ値を、先頭yパケットを超えた以降のパケットの情報を基に算出したパラメタ値に更新し(ステップ104)、図9に示す一連の処理を終了する。
先頭yパケットを除外するパラメタでなければ、特徴量収束予測部15は、今回のパケットを含めたフローの到来パケット数が、実測値を適用する境界パケット数(先頭zパケット)を超えているか否かを判別する(ステップ105)。今回の到来パケットが先頭zパケットを超えていなければ、特徴量収束予測部15は、アプリケーション推定部16が参照するパラメタ値を、図6を用いて上述した予測処理で得たパラメタ値に更新した後(ステップ106)、図9に示す一連の処理を終了し、一方、今回の到来パケットが先頭zパケットを超えていれば、特徴量収束予測部15は、アプリケーション推定部16が参照するパラメタ値を、実測したパラメタ値に更新し(ステップ107)、図9に示す一連の処理を終了する。
図9の処理における先頭yパケットの「y」は、例えば、180より小さい値であって、例えば、10程度の値を適用できる。また、図9の処理における先頭zパケットの「z」は、例えば、180程度の値を適用できる。先頭zパケットは、パラメタの種類によって異なるようにしても良い。同様に、先頭yパケットも、同じタイプ7のパラメタではあるがパラメタの種類によって異なるようにしても良い。
ステップ106で、パラメタ値を予測する方法は、上述した通りである(図6参照)。
以上のようにして、今回の受信パケットに係るフローについて、複数種類のパラメタ値(予測値若しくは実測値)が得られると、アプリケーション推定部17によって、学習されたパラメタ値群と照合され、フローに対応するアプリケーションの種類が推定される。そして、推定されたアプリケーションの種類に適する制御内容が、フロー制御変更指令部17によって認識され、通信制御部12によって、今回の受信パケットに係るフローに対して、認識された通信制御が実行される。
なお、パラメタ値の更新やアプリケーション種類の推定が、所定数のパケットの到来毎に行われる場合であれば、更新や推定が実行されないタイミングで到来したパケットは、直前に推定されたアプリケーションの種類に応じて、通信制御部12による通信制御が施される。
通信制御部12により通信制御されたトラヒック(パケット;但し、廃棄されたパケットを除く)は、通信出力部13によって、適切な外部ネットワークに向けて送出される。
(A−3)実施形態の効果
上記実施形態によれば、暗号トラフィックを取扱うアプリケーションの種類を推定することにより、アプリケーションの種類に適した通信制御を適切に実施することができる。すなわち、優先度付けや帯域制御を行うことができ、オペレーティングにかかるコストや、設備投資にかかるコストを削減することができる。
この際、パケットの到来数が少ないフローの開始からさほど期間が経過していない段階でも、各種類のパラメタの収束値を予測してアプリケーションの種類を推定するようにしたので、フロー開始から早い段階でフローの制御を行うことができる。このような迅速な制御により(例えば、優先度の低いフローを早期に判別して優先度の高いフローを早期に優先させることにより)、ユーザの体感品質を早期に向上させることができる。
アプリケーションの種類を早期に推定するようにしても、推定に供するパラメタの種類が多い上、予測用関数のタイプとしても種々のものを用意して選別できるようにしたので、アプリケーションの種類の推定精度を十分高いものとすることができる。
(B)他の実施形態
上記実施形態の説明においても、種々変形実施形態に言及したが、さらに、以下に例示するような変形実施形態を挙げることができる。
上記実施形態では、アプリケーションの種類を推定した後、推定したアプリケーションの種類に応じた通信制御を実行するものを示したが、アプリケーションの種類の推定結果を得る装置として、トラヒック監視装置を構築するようにしても良い。例えば、どのようなトラヒックが流れているかをモニタリングする装置であれば、通信制御を行う機能を持っていなくても良い。また、トラヒック情報を収集する装置が複数あり、それらから、一つのトラヒック監視装置に収集情報を転送してトラヒックの監視を行うようにしても良い。
上記実施形態では、トラヒック監視装置がパケットを転送する通信装置に搭載される場合を示したが、トラヒック監視装置が通信装置と異なる装置として構築され、通信装置からトラヒック情報が与えられてトラヒックを監視するものであっても良い。この場合、監視のリアルタイム性は損なわれるが、例えば、どのようなトラヒックが流れているかをモニタリングする場合であれば、リアルタイム性が多少損なわれても問題となることはない。
以上から明らかなように、アプリケーションの推定結果の利用の仕方は、実施形態の方法に限定されるものではない。
上記実施形態では、アプリケーションの種類の推定対象のフローについて、十分な数のパケットが到来していない段階では、タイプ別の予測用関数を用いて、到来数より多い所定パケット数でのパラメタの予測値を求め、それを適用して、アプリケーションの種類を推定するものを示したが、タイプ情報そのものを利用して、アプリケーションの種類を推定するようにしても良い。例えば、タイプ1〜タイプ7をそれぞれ数値化し、今までに到来したパケット数から求めたN個のパラメタのタイプの組み合わせをベクトル表記し、そのベクトルを、予め登録されている教師データとしてのベクトルと照合することにより、アプリケーションの種類を推定するようにしても良い。
上記実施形態では、パラメタの多くが統計量であるものを示したが、アプリケーションの推定に利用するパラメタは統計量に限定されるものではなく、統計量以外でも、アプリケーション毎の特徴を表すものであればパラメタとして用いることができる。また、パラメタは時間と共に変化しないものであっても良い。例えば、送信元又は宛先のIPアドレスが属するドメイン名などをアプリケーションの推定に利用することもできる。到来数より多い所定パケット数での予測値を求めるパラメタ以外のパラメタも、アプリケーションの種類の推定に用いるようにしても良い。
上記実施形態では、各フローについて、パケットが到来する毎にパラメタ値を得て保持するものを示したが、パラメタ値を得る間隔はこれより長くても良い。例えば、2パケット毎にパラメタ値を得て保持するようにしても良い。また例えば、ある閾値のパケット数までは、パケットが到来する毎にパラメタ値を得て保持し、閾値のパケット数を超えた以降は、2パケット毎にパラメタ値を得て保持するようにしても良い。
本発明は、フローのパケットの中身を解析することなく、そのフローのアプリケーションの種類を推定することを特徴とするものである。そのため、非暗号化フローの中身を解析しないでアプリケーションの種類を推定する場合にも、本発明を適用することができる。
1…トラヒック監視装置、10…通信入力部、11…推定対象フロー抽出部、12…通信制御部、13…通信出力部、14…特徴量保持部、15…特徴量収束予測部、16…アプリケーション推定部、17…フロー制御変更指令部。

Claims (6)

  1. ネットワーク通信のトラヒックを監視するトラヒック監視装置において、
    監視対象フローについて、複数種類の特徴量についてフロー開始からの値を保持する特徴量値保持手段と、
    上記特徴量値保持手段が保持している特徴量値の最新の値が、所定のパケット数のパケットが到来して得た特徴量値になっていない、フロー開始から早期の段階の特徴量値の場合に、上記特徴量値保持手段が保持している特徴量値に基づいて、所定のパケット数のパケットが到来したときの特徴量値を予測する所定タイミング特徴量値予測手段と、
    通信アプリケーションの種類毎に予め登録されている複数種類の特徴量値の組と、所定タイミング特徴量値予測手段が予測した特徴量値を含む複数種類の特徴量値の組との照合により、上記監視対象フローに係る通信アプリケーションの種類を推定するアプリケーション種類推定手段と
    を有することを特徴とするトラヒック監視装置。
  2. 暗号化フローを監視対象フローとして抽出するフロー抽出手段をさらに備えることを特徴とする請求項1に記載のトラヒック監視装置。
  3. 通信アプリケーションの種類と、フローに対する通信制御の内容とを対応付けて管理する制御内容管理手段と、
    上記アプリケーション種類推定手段によって種類が推定された通信アプリケーションのフローに対し、上記制御内容管理手段で管理されている内容の通信制御を実行する通信制御手段をさらに備えることを特徴とする請求項1又は2に記載のトラヒック監視装置。
  4. 上記所定タイミング特徴量値予測手段は、上記特徴量値保持手段が保持している特徴量値の最新の値が、所定のパケット数より多いパケットが到来して得た特徴量値になっている場合に、その特徴量値を、上記アプリケーション種類推定手段が用いるようにすることを特徴とする請求項1〜3のいずれかに記載のトラヒック監視装置。
  5. ネットワーク通信のトラヒックを中継する通信装置において、
    請求項1〜4のいずれかに記載のトラヒック監視装置を実装していることを特徴とする通信装置。
  6. ネットワーク通信のトラヒックを監視できるネットワーク上の位置に設けられたコンピュータを、
    監視対象フローについて、複数種類の特徴量についてフロー開始からの値を保持する特徴量値保持手段と、
    上記特徴量値保持手段が保持している特徴量値の最新の値が、所定のパケット数のパケットが到来して得た特徴量値になっていない、フロー開始から早期の段階の特徴量値の場合に、上記特徴量値保持手段が保持している特徴量値に基づいて、所定のパケット数のパケットが到来したときの特徴量値を予測する所定タイミング特徴量値予測手段と、
    通信アプリケーションの種類毎に予め登録されている複数種類の特徴量値の組と、所定タイミング特徴量値予測手段が予測した特徴量値を含む複数種類の特徴量値の組との照合により、上記監視対象フローに係る通信アプリケーションの種類を推定するアプリケーション種類推定手段と
    して機能させることを特徴とするトラヒック監視プログラム。
JP2013178465A 2013-08-29 2013-08-29 トラヒック監視装置及びプログラム、並びに、通信装置 Active JP6153166B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013178465A JP6153166B2 (ja) 2013-08-29 2013-08-29 トラヒック監視装置及びプログラム、並びに、通信装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013178465A JP6153166B2 (ja) 2013-08-29 2013-08-29 トラヒック監視装置及びプログラム、並びに、通信装置

Publications (2)

Publication Number Publication Date
JP2015050473A true JP2015050473A (ja) 2015-03-16
JP6153166B2 JP6153166B2 (ja) 2017-06-28

Family

ID=52700180

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013178465A Active JP6153166B2 (ja) 2013-08-29 2013-08-29 トラヒック監視装置及びプログラム、並びに、通信装置

Country Status (1)

Country Link
JP (1) JP6153166B2 (ja)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016195319A (ja) * 2015-03-31 2016-11-17 Kddi株式会社 サービス種別推定装置、方法及びプログラム
JP2017022593A (ja) * 2015-07-13 2017-01-26 Kddi株式会社 検証装置、検証方法及び検証プログラム
JP2018033106A (ja) * 2016-08-26 2018-03-01 沖電気工業株式会社 通信解析装置及び通信解析プログラム
WO2019187296A1 (ja) * 2018-03-29 2019-10-03 日本電気株式会社 通信トラヒック分析装置、通信トラヒック分析方法、プログラム及び記録媒体
JP2020010184A (ja) * 2018-07-06 2020-01-16 ソフトバンク株式会社 制御装置及びプログラム
WO2020079986A1 (ja) * 2018-10-15 2020-04-23 日本電気株式会社 推定装置、システム及び方法及びコンピュータ可読媒体並びに学習装置及び方法及びコンピュータ可読媒体
WO2020158844A1 (ja) * 2019-01-31 2020-08-06 日本電気株式会社 データ中継装置、方法、配信システム、プログラム
WO2021001958A1 (ja) * 2019-07-03 2021-01-07 日本電信電話株式会社 サービス品質制御装置、サービス品質制御方法、及びプログラム

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006146039A (ja) * 2004-11-24 2006-06-08 Kddi Corp 暗号化通信特徴抽出装置、暗号化通信特徴抽出プログラムおよび記録媒体
JP2009118274A (ja) * 2007-11-07 2009-05-28 Nippon Telegr & Teleph Corp <Ntt> 通信帯域算出装置、方法、およびプログラム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006146039A (ja) * 2004-11-24 2006-06-08 Kddi Corp 暗号化通信特徴抽出装置、暗号化通信特徴抽出プログラムおよび記録媒体
JP2009118274A (ja) * 2007-11-07 2009-05-28 Nippon Telegr & Teleph Corp <Ntt> 通信帯域算出装置、方法、およびプログラム

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016195319A (ja) * 2015-03-31 2016-11-17 Kddi株式会社 サービス種別推定装置、方法及びプログラム
JP2017022593A (ja) * 2015-07-13 2017-01-26 Kddi株式会社 検証装置、検証方法及び検証プログラム
JP2018033106A (ja) * 2016-08-26 2018-03-01 沖電気工業株式会社 通信解析装置及び通信解析プログラム
WO2019187296A1 (ja) * 2018-03-29 2019-10-03 日本電気株式会社 通信トラヒック分析装置、通信トラヒック分析方法、プログラム及び記録媒体
US11438246B2 (en) 2018-03-29 2022-09-06 Nec Corporation Communication traffic analyzing apparatus, communication traffic analyzing method, program, and recording medium
JPWO2019187296A1 (ja) * 2018-03-29 2021-02-12 日本電気株式会社 通信トラヒック分析装置、通信トラヒック分析方法、プログラム及び記録媒体
JP2020010184A (ja) * 2018-07-06 2020-01-16 ソフトバンク株式会社 制御装置及びプログラム
JPWO2020079986A1 (ja) * 2018-10-15 2021-09-16 日本電気株式会社 推定装置、システム及び方法及びプログラム並びに学習装置及び方法及びプログラム
WO2020079986A1 (ja) * 2018-10-15 2020-04-23 日本電気株式会社 推定装置、システム及び方法及びコンピュータ可読媒体並びに学習装置及び方法及びコンピュータ可読媒体
US11558769B2 (en) 2018-10-15 2023-01-17 Nec Corporation Estimating apparatus, system, method, and computer-readable medium, and learning apparatus, method, and computer-readable medium
JPWO2020158844A1 (ja) * 2019-01-31 2021-11-25 日本電気株式会社 データ中継装置、方法、配信システム、プログラム
CN113366456A (zh) * 2019-01-31 2021-09-07 日本电气株式会社 数据中继设备、方法、传送系统和程序
JP7120333B2 (ja) 2019-01-31 2022-08-17 日本電気株式会社 データ中継装置、方法、配信システム、プログラム
US11540026B2 (en) 2019-01-31 2022-12-27 Nec Corporation Data relay apparatus, method, delivery system, and program
WO2020158844A1 (ja) * 2019-01-31 2020-08-06 日本電気株式会社 データ中継装置、方法、配信システム、プログラム
JPWO2021001958A1 (ja) * 2019-07-03 2021-01-07
WO2021001958A1 (ja) * 2019-07-03 2021-01-07 日本電信電話株式会社 サービス品質制御装置、サービス品質制御方法、及びプログラム

Also Published As

Publication number Publication date
JP6153166B2 (ja) 2017-06-28

Similar Documents

Publication Publication Date Title
JP6153166B2 (ja) トラヒック監視装置及びプログラム、並びに、通信装置
JP4774357B2 (ja) 統計情報収集システム及び統計情報収集装置
US9391895B2 (en) Network system and switching method thereof
US8797867B1 (en) Generating and enforcing a holistic quality of service policy in a network
US10958506B2 (en) In-situ OAM (IOAM) network risk flow-based “topo-gram” for predictive flow positioning
EP2658183A1 (en) Communication system, control device, policy management device, communication method, and program
JP5812282B2 (ja) トラヒック監視装置
JP2021512567A (ja) データパケットネットワークにおいて、候補フローを識別するためのシステムおよび方法
US9515926B2 (en) Communication system, upper layer switch, control apparatus, switch control method, and program
JP2014049833A (ja) 通信システム
JP5858141B2 (ja) 制御装置、通信装置、通信システム、通信方法及びプログラム
Petrangeli et al. Network-based dynamic prioritization of http adaptive streams to avoid video freezes
JP4678652B2 (ja) P2pトラフィック監視制御装置及び方法
JP5870995B2 (ja) 通信システム、制御装置、計算機、ノードの制御方法およびプログラム
JP2007228217A (ja) トラフィック判定装置、トラフィック判定方法、及びそのプログラム
JP6524911B2 (ja) ネットワーク制御装置、ネットワーク制御方法およびプログラム
KR20220029142A (ko) Sdn 컨트롤러 서버 및 이의 sdn 기반 네트워크 트래픽 사용량 분석 방법
CN102480503B (zh) P2p流量识别方法和装置
JP4938042B2 (ja) フロー情報送信装置、中間装置、フロー情報送信方法およびプログラム
JP4222565B2 (ja) 輻輳制御方法、輻輳制御装置、タグ付け装置、および、廃棄装置
JP2009105949A (ja) QoS制御を実行することが可能な端末
WO2021147371A1 (zh) 故障检测方法、装置及系统
JP5965365B2 (ja) 通信制御システム
Oshiba Accurate available bandwidth estimation robust against traffic differentiation in operational MVNO networks
JP6044637B2 (ja) 通信装置、通信システム、通信制御方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160526

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20160526

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170313

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170425

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170524

R150 Certificate of patent or registration of utility model

Ref document number: 6153166

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313115

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313115

R371 Transfer withdrawn

Free format text: JAPANESE INTERMEDIATE CODE: R371

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313117

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350