JP5042125B2 - P2p通信制御システム及び制御方法 - Google Patents

P2p通信制御システム及び制御方法 Download PDF

Info

Publication number
JP5042125B2
JP5042125B2 JP2008144614A JP2008144614A JP5042125B2 JP 5042125 B2 JP5042125 B2 JP 5042125B2 JP 2008144614 A JP2008144614 A JP 2008144614A JP 2008144614 A JP2008144614 A JP 2008144614A JP 5042125 B2 JP5042125 B2 JP 5042125B2
Authority
JP
Japan
Prior art keywords
communication
detection
information
reliability
control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008144614A
Other languages
English (en)
Other versions
JP2009296036A (ja
Inventor
倫宏 重本
一弥 大河内
真敏 寺田
博史 仲小路
哲郎 鬼頭
久志 梅木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2008144614A priority Critical patent/JP5042125B2/ja
Publication of JP2009296036A publication Critical patent/JP2009296036A/ja
Application granted granted Critical
Publication of JP5042125B2 publication Critical patent/JP5042125B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、ネットワーク上のトラヒックの中からP2P通信を検知し、検知したP2P通信を制御する技術に関する。
インターネット上で行われる通信の一形態として、ピア・トゥ・ピア通信(以下P2P通信と表記する)と呼ばれるものがある。これは不特定多数のコンピュータが相互に接続され、ルータなどを介しファイルなどの情報を送受信するインターネットの利用形態である。P2P通信は、ファイルの共有などの大きな恩恵を利用者にもたらす一方で、著作権を侵害するファイルの流通に利用されたり、P2P通信のトラヒックの増加が通信ネットワークの大きな負荷となったりするなどの問題を発生させている。また、P2P通信を行うP2Pソフトウェア(以下、P2Pソフト)を悪用したウイルスによる情報漏洩事故が多発し、社会的な問題となっている。
このような状況の中、P2P通信に含まれる著作権を有するファイルの調査や、P2P通信により圧迫されたトラヒックの回復を行うために、高精度かつ高速なP2P通信の検知及び制御技術が求められている。例えば、特許文献1では高精度に不正アクセスの検知を行うため、複数の検知モジュールを備えた検知システムに関する記述がある。また、特許文献2では効率よくP2P通信を制御するため、ルータにおいてP2P通信を識別し、その識別情報を他のルータに通知し、P2P通信情報を共有する制御システムに関する記述がある。
特開2006-115129号公報 特開2005-295457号公報
P2P通信を検知する場合、P2P通信の検知漏れ(P2P通信を、P2P通信以外の通常通信であると判別)や、誤検知(通常通信をP2P通信であると判別)が発生する。P2P通信の検知が正しく行われないと、検知漏れの場合はトラヒック制御において、P2P通信を通過させることになり、誤検知の場合はP2P通信でない通常通信を廃棄したり、帯域制限したりするという問題がある。このような問題に対処するためには、P2P通信を検知した場合、その検知の確からしさ(確度)が考慮されなければならない。また検知漏れに対応するP2P通信を検知しなかった場合の確からしさも考慮される必要がある。後者は、検知アルゴリズムなどの開発に依存する問題である。
特許文献1においては、特性の異なる特徴量を持つ不正アクセスに対応するために、異なる特性ごとに複数の検知モジュールで手分けして不正アクセスを検知し、それらの検知モジュールからのアラートの論理和とり、検知の高精度化を図っている。つまり、特許文献1における検知精度は、できる限り多くの種類(特性)の不正アクセスを検知するという意味での精度である。換言すれば、検知漏れを少なくするという意味での精度であり、検知した場合、その検知の確からしさ(確度)は考慮されていない。
特許文献2においては、あるルータで検知したP2P通信に関する情報を他のルータと共有し、他のルータも検知したP2P通信を制御できるようにすると共に、ルータとしてのデータ転送能力を低下させないようにするものであって、検知精度や検知の確からしさは考慮されていない。
本発明のP2P通信制御システムは、トラヒックの中からP2P通信を検知し、P2P通信の検知の確からしさを表す確信度を含む検知情報を送信するP2P通信検知装置と、P2P通信検知装置からの検知情報を受信し、検知情報に含まれる確信度に応じた、検知したP2P通信を制御する制御情報を送信する検知情報管理装置と、検知情報管理装置からの制御情報の受信に応答して、トラヒックの中のP2P通信を制御するトラヒック制御装置とを備える。
本発明の望ましい他の態様は、P2P通信検知装置は、P2P通信の種別に応じた確信度を算出する。
本発明の他の態様は、トラヒックの中からP2P通信を検知し、P2P通信の検知の確からしさを表す確信度を含む検知情報を送信するP2P通信検知装置と、P2P通信検知装置からの検知情報を受信し、検知情報に含まれる確信度とP2P通信の種別に対応したP2P通信検知装置の信頼度とのいずれか一方に応じた制御情報を、検知したP2P通信を制御するトラヒック制御装置に送信する検知情報管理装置とを備える。
本発明のさらに他の態様は、P2P通信検知装置からのP2P通信の検知の確からしさを表す確信度を含む検知情報を受信する受信装置と、P2P通信の種別に対応したP2P通信検知装置の信頼度を格納する記憶装置と、検知情報に含まれる確信度と記憶装置に格納されているP2P通信検知装置の信頼度とのいずれか一方に応じた制御情報を、検知したP2P通信を制御するトラヒック制御装置に送信する送信装置とを備えたP2P通信制御装置である。
本発明のさらに他の態様は、P2P通信検知装置からのP2P通信の検知の確からしさを表す確信度を含む検知情報を受信し、検知情報に含まれる確信度とP2P通信検知装置の信頼度に応じた制御情報を選択し、選択した制御情報を、検知したP2P通信を制御するトラヒック制御装置に送信するP2P通信制御方法である。
本発明によれば、P2P通信の検知の確からしさ(確信度)を考慮した通信制御が可能となる。
図1に、本実施形態におけるP2P通信の検知及び制御を行うP2P通信制御システムの構成例を示す。トラヒック制御装置101では、通信路105を流れるトラヒックを受信し、同じトラヒックを通信路106に送信する。また、通信路105のトラヒックの中から通信路107へ検知対象のトラヒック、例えば、検知を行いたい通信(分析対象の通信)のIPアドレスのトラヒックをコピーし送信する。通信路は例えばバスやケーブルなどの情報伝達用媒体である。P2P通信検知装置102は通信路107を流れるトラヒックを受信し、受信したトラヒックの中からP2P通信の検知を行い、検知情報を通信路108へ送信する。P2P通信検知装置102は複数存在し、それぞれのP2P通信検知精度やP2P通信検知速度は異なっている。検知情報管理装置103は通信路108を流れる検知情報を受信し、制御情報を通信路109へ送信する。トラヒック制御装置104では通信路109を流れる制御情報を受信し、通信路106を流れるトラヒックを制御して通信路110へ送信する。
トラヒック制御装置104は、検知情報管理装置103からのP2P通信の通信情報に対応付けられた制御情報を、後述するトラヒック制御ルールとして記憶しておく。トラヒック制御装置101では通信路109を流れるP2P通信の通信情報に対応付けられた制御情報を受信し、トラヒック制御ルールとして記憶して、通信路105を流れるトラヒックから分析対象(未だトラヒック制御装置104による制御対象ではない)のトラヒックをコピーし通信路107へ送信する。換言すると、トラヒック制御装置101は、トラヒックのコピー量を減ずるために、トラヒック制御装置104による制御対象になっている通信(後述する通信情報により識別)をコピーしないようにしている。分析対象の通信を、予め後述する通信情報などに基づき絞っておいても良い。
通信路105及び通信路110は、例えばイントラネットやインターネットなどのネットワークに接続しており、通信を行う1台以上の装置が接続されて、例えばウェブアクセスやファイル転送などの通信を行っている。
説明を分かり易くするためにトラヒック制御装置101とトラヒック制御装置104とを分けているが、両装置を一つの装置で実現してもよい。また、複数のP2P通信検知装置102は同じネットワークに属する必要はなく、複数のネットワークにおいてP2P通信の検知を行い、検知情報を送信するようにしてもよい。
図2に、トラヒック制御装置101及びトラヒック制御装置104の構成例を示す。トラヒック制御装置101及びトラヒック制御装置104のいずれかを表すために、図2における符号の表記はトラヒック制御装置201としている。トラヒック制御装置201は、CPU205と、CPU205が処理を実行するために必要なデータを格納するためのメモリ207と、他装置と通信を行うためのIF(インタフェース)202、IF203、IF204、IF206と、キーボード、ディスプレイなどの入出力を行うための入出力装置208と、これらの各装置間を接続する通信路(バス)209とを備えたネットワーク機器(例えばルータ)である。
なお、他の図においてもIF(インタフェース)と呼ぶが、接続先に応じて通信インタフェース入出力インタフェース、又は動作に応じて通信装置、受信装置、送信装置などと呼んでも良い。
CPU205がメモリ207上のトラヒック制御プログラム211を実行する。メモリ207にはトラヒックを制御するためのトラヒック制御ルール210が格納されている。トラヒック制御ルール210には、通信を制御する情報が含まれており、例えばトラヒック制御装置201(トラヒック制御装置101又はトラヒック制御装置104)を通過する通信のパケットの廃棄、帯域の制限、宛先経路の変更、トラヒックをコピーして他のIFから送信するミラーリング等のルールが格納されている。トラヒック制御ルール210は、入出力装置208あるいは、検知情報管理装置103からのIF206を介した通信路214からの新たなルール(制御情報)によって、書き換えられる又は追加される。トラヒック制御装置201は通信路212から受信したトラヒックを、分析対象を示す情報又はトラヒック制御ルール210に従い、IF203及び/又はIF204を介して、通信路213及び/又は通信路214へ送信する。図2に示す構成がトラヒック制御装置101の場合、分析対象を示す情報に従い、IF203及び/又はIF204を介して、通信路213(図1の通信路106)及び/又は通信路214(図1の通信路107)へ送信する。図2に示す構成がトラヒック制御装置104の場合、トラヒック制御ルール210に従い、IF203を介して、通信路213(図1の通信路110)へ送信する。
図3に、トラヒックの中からP2P通信を検知するP2P通信検知装置102の構成例を示す。P2P通信検知装置102は、CPU302と、メモリ304と、IF301、IF303と、これらの各装置を接続する通信路(バス)305とを備えたコンピュータである。CPU302がメモリ304上のP2P通信検知プログラム306を実行することにより、IF301を介して通信路107を流れるトラヒックの中からP2P通信を検知する。P2P通信検知プログラム306は、あらかじめメモリ304に格納されていてもよいし、必要なときに、IF301あるいはIF303を介して他の装置からロード(インストール)されてもよい。IF303を用いる場合は、P2P通信検知プログラム306は検知情報管理装置103からロードされる。
P2P通信検知プログラム306には、例えば、パケットの中身を解析し、特定のP2Pソフトの通信に表れる識別情報(例えば、特定の文字列やビットパターン)が含まれているかどうかを確認するプロトコル解析により検知を行うものや、流れるトラヒックのパターン(例えば、コネクション数や、トラヒック量など)を解析し、特定のP2Pソフトに固有の(あるいは、P2Pソフトに共通する)トラヒックのパターンに一致するかを確認するコネクション解析により検知を行うものを用いる。
なお、P2P通信検知プログラム306では、上記の解析による検知結果に加え、P2P通信を行っている可能性の大きさに応じた確信度を、IF303を介して通信路108に送信する。確信度の値は、P2P通信検知装置102が通信情報ごとに算出する。例えば、プロトコル解析のようにある特定のP2P通信を検知できるP2P通信検知プログラムがある通信情報を当該P2P通信であると判断した場合には確信度を100とする。別の一例として、コネクションの数によりP2P通信を検知するP2P通信検知プログラムを用いた場合について説明する。このプログラムでは、通信情報の単位時間のコネクション数が多いほどP2P通信である確信度(可能性)が大きいと判断する。具体的には、一分間のコネクション数が10以下なら確信度として10、10〜30なら確信度として50、30より大きければ確信度として80を算出する。このP2P通信検知プログラムを用いて、ある通信情報の一分間のコネクション数が32であった場合には、確信度として80を算出する。P2P通信検知プログラム306による処理については図9を用いて後述する。
図4に、P2P通信検知装置102が通信路108を介して送信する検知情報を示す。この検知情報には、P2P通信検知装置102を一意に識別できる検知装置ID401、通信を識別する通信情報402(例えば、接続元IP、接続元ポート、接続先IP、接続先ポート、プロトコルの5タプルの情報)、P2P通信を行っているP2Pソフト種別403、及びP2P通信の確信度404の情報が含まれている。P2Pソフト種別403と確信度404との組は、この検知情報を送信したP2P通信検知装置102が検知可能なP2Pソフト種別の数に応じて、P2Pソフト種別405と確信度406との組のように加えられる。たとえば図4に示すように、検知装置1が検知した、通信情報402が示す192.168.1.1:80から192.168.1.2:50(T)への通信は、P2Pソフト種別403がWinnyである確信度404が100であり、P2Pソフト種別405がShareである確信度406が0である。確信度404、406とは、前述のように、通信情報402の通信がP2Pソフト種別403の通信を行っている可能性の大きさを表す値である。すなわち、P2P通信を検知したときの、その検知の確からしさ(確度)が確信度404、406である。
図5に、P2P通信検知装置102からの検知情報を管理する検知情報管理装置103の構成例を示す。検知情報管理装置103は、CPU503と、メモリ502と、大量のデータを記録する容量を持つハードディスクやフラッシュメモリなどの記憶装置506と、他装置と通信を行うためのIF501、IF505と、入出力装置504と、これらの各装置間を接続する通信路(バス)507とを備えたコンピュータである。CPU503がメモリ502上の検知情報管理プログラム508を実行する。記憶装置506には、P2P通信検知装置103の信頼度を格納した信頼度データ509、P2P通信の検知情報と制御情報を格納した検知情報データ510、P2P通信をどのように制御するのかの制御ポリシを格納した制御ポリシデータ511が格納されている。
検知情報管理プログラム508や上記の各データは、あらかじめメモリ502または記憶装置506に格納されていてもよいし、入出力装置504からまたはIF501あるいはIF505を介して他の装置から、インストール(ロード)されてもよい。検知情報管理プログラム508は、受信した検知情報に含まれる検知装置ID401、通信情報402、P2Pソフト種別403、確信度404を検知情報データ510として格納し、トラヒック制御装置104のトラヒック制御ルール210を更新するための制御情報を制御ポリシデータ511の中から選択し、IF505を介して通信路109へ送信する。検知情報管理プログラム508による処理については図10を用いて後述する。このように検知情報管理装置103は、P2P通信検知装置102からの検知情報に応じた制御情報をトラヒック制御装置104に送信するP2P通信制御装置として動作する。
図6に、P2P通信検知装置102の信頼度を格納する信頼度データ509の一例を示す。検知情報管理プログラム508は、P2P通信検知装置103から検知情報を受信すると、信頼度データ509の更新を行う。信頼度データ509は、例えば図6に示すように、検知装置ID601、P2Pソフト種別602、および信頼度603の情報を含む。信頼度603は、それぞれのP2P通信検知装置102のP2Pソフト種別を検知する性能(検知能力)を示したものである。また、必要に応じて、入出力装置504により信頼度データ509は更新される。信頼度データ509は、あらかじめ、例えばプロトコル解析のように、必ずP2P通信の検知を行えるP2P通信検知装置102をP2P通信検知基準装置とし、信頼度を100と設定しておく。また、それ以外のP2P通信検知装置102の信頼度は50として設定しておく。図6では、検知装置1は、P2Pソフト種別がWinny及びShareのいずれに関しても、P2P通信検知基準装置であり、その信頼度を100に設定している。検知装置2はP2Pソフト種別がWinny及びShareいずれに関しても信頼度を50に、検知装置3はP2Pソフト種別がWinnyに関しては信頼度に50を、Shareに関しては信頼度に60を設定していることを例示している。
このように信頼度は、検知情報管理装置103からP2P通信検知装置102を見た、P2Pソフト種別に応じた検知能力に対する、評価値である。一方、前述の確信度は、P2P通信検知装置102から自らを見た、P2Pソフト種別に応じた検知結果に対する、評価値である。したがって、P2P通信検知基準装置の確信度は、0(P2P通信ではないと判断した場合)または100(P2P通信であると判断した場合)とする。P2P通信検知基準装置のあるP2P通信検知に関する確信度が100のとき、他のP2P通信検知に関する確信度を0となる。既に説明した図4に示した検知装置1による検知情報の例では、検知したP2Pソフト種別403がWinnyであると判断し、対応する確信度404の値を100とし、P2Pソフト種別405がShareである確信度を0としている。P2P通信検知基準装置以外のP2P通信検知装置102の確信度は、P2Pソフト種別に応じて1から99までの値とする。
図7に、P2P通信の検知結果及び制御状態を格納する検知情報データ510の一例を示す。検知情報管理プログラム508が検知情報データ510の更新を行う。検知情報データ510は、通信情報701、P2Pソフト種別702、制御情報703、結合スコア704、及びP2P通信検知装置毎の確信度705の情報を含む。結合スコア704は、検知情報管理装置103がP2P通信検知装置102から受信した検知情報の内容を評価した、通信情報701の通信がP2Pソフト種別702のP2P通信を行っている確信度を表している。この確信度(結合スコア704)は、P2P通信検知装置102自身による確信度と異なり、検知情報管理装置103による確信度である。検知情報データ510には、P2P通信検知装置102の数に対応して確信度705の列を設けている。検知情報管理プログラム508は、P2P通信検知装置102が送信した検知情報の確信度を、対応する検知装置IDの列に格納し、結合スコア704を算出する。P2P通信検知装置102毎に確信度705の列を設けているのは、あるP2P通信を、複数のP2P通信検知装置102又は備えているすべてのP2P通信検知装置102が検知する場合があるからである。
図7に示す例を説明する。先頭のエントリ(行)に示す例は、通信情報701が示す192.168.1.1:80から192.168.1.2:50(T)への通信が、P2Pソフト種別702がWinnyであると、検知装置1は確信度100で検知し、検知装置3は確信度80で検知した場合である。検知装置2の確信度の空欄は、通信情報701が192.168.1.1:80から192.168.1.2:50(T)への通信がP2P通信であると検知しなかった(検知情報を送信しなかった)ことを示している。2行目に示す例は、通信情報701が192.168.1.3:70から192.168.1.4:20(T)への通信が、P2Pソフト種別702がShareであると、検知装置1は検知せずに、検知装置2は確信度50で検知し、検知装置3は確信度80で検知した場合である。
なお、図4では、P2P通信検知装置102はP2Pソフト種別毎にP2Pソフト種別と確信度との組を検知情報に含むように説明したが、説明を簡明にするために、図7では検知情報に含まれる最も高い確信度に関するP2Pソフト種別に対応する確信度を示してある。図7のように簡略化しない場合は、同じ通信情報701に関して、各P2P通信検知装置102からの検知情報に含まれるP2Pソフト種別の論理和をとった数のエントリ(行)を設ける。
また、検知情報データ510の各エントリ(行)は、後述する制御の完了に応答して削除しても良いが、検知情報に対応して制御した内容を制御情報703に所定の期間に亘って保存し、制御に伴うユーザからの問い合わせに応えられるようにしている。 図8に、P2P通信の制御ポリシを格納する制御ポリシデータ511の一例を示す。検知情報管理プログラム508は、制御ポリシデータ511から制御ポリシを選択し、トラヒック制御装置104に送信する。制御ポリシデータ511は、P2Pソフト種別801、結合スコア802、及び制御情報803の情報を含む。P2Pソフト種別801に対応して、図7の結合スコア704の値が、結合スコア802の値以上の場合に、制御情報803に示す制御を実行するように制御ポリシを設定する。この制御ポリシは、必要に応じて、入出力装置504から変更される。
図9は、P2P通信を検知し、検知情報を送信するP2P通信検知プログラム306の処理フローである。P2P通信検知プログラム306は、通信路107を流れるトラヒックをIF301を介して受信し(処理901)、受信したトラヒックの中からP2P通信の検知を行い(処理902)、P2P通信を検知しなかった場合は処理を終了し、P2P通信を検知した場合は、検知したP2P通信の検知情報(図4)を、IF303を介して通信路108へ送信し(処理903)、処理を終了する。P2P通信の検知は、図3を用いた説明による。
通信路108へ送信される(処理903)検知情報の例として、図4に示す検知情報を改めて説明する。図4に示す例は、検知装置ID401が検知装置1のP2P通信検知装置102により、P2Pソフト種別403がWinnyのP2P通信を検知した場合の検知情報である。検知したP2P通信の通信情報402は192.168.1.1:80から192.168.1.2:50(T)への通信を示している。検知装置1は、図6に例示したようにWinnyに対してP2P通信検知基準装置であるので、その確信度404が100である。
図10は、検知情報を管理し、トラヒックの制御情報を送信する検知情報管理プログラム508の処理フローである。検知情報管理プログラム508は、P2P通信検知装置102により通信路108に送信された検知情報をIF501を介して受信し(処理1001)、受信した検知情報に含まれる検知装置ID401及びP2Pソフト種別403、405、に対応する、記録装置506に格納されている信頼度データ509の検知装置ID601及びP2Pソフト種別602の信頼度603を取得し、その信頼度603が100(P2P通信検知基準装置による検知)ならば処理1005へ進み、そうでない場合は処理1003へ進む(処理1002)。
検知情報管理プログラム508は、受信した検知情報に含まれる通信情報402およびP2Pソフト種別403に対応する、記憶装置506に格納されている検知情報データ510の通信情報701およびP2Pソフト種別702のエントリ(行)のデータを取得する。対応するデータが存在し、その中にP2P通信検知装置102の確信度705が100又は0のもの(P2P通信検知基準装置が送信した検知情報)が存在すれば処理1004へ進み、存在しなければ、処理1005に進む(処理1003)。
検知情報管理プログラム508は、検知情報に含まれる検知装置ID401およびP2Pソフト種別403に対応する、記憶装置506に格納された信頼度データ509の検知装置ID601及びP2Pソフト種別602における信頼度603の更新を行う(処理1004)。たとえば、検知装置の確信度705に100のものが存在すれば(P2P通信検知基準装置がP2P通信であると判断した通信を、P2P通信として検知したので、)信頼度を+1し、確信度が0のものが存在すれば(P2P通信検知基準装置がP2P通信ではないと判断した通信を、P2P通信として検知したので、)信頼度を-1する。ただし、更新される信頼度の下限は1で上限は99である。
図7の通信情報701が192.168.1.1:80から192.168.1.2:50(T)への通信の場合であって、既に検知装置1によってWinnyが検知され、P2Pソフト種別702欄と検知装置1の確信度100が格納され、検知装置3からの検知情報(192.168.1.1:80から192.168.1.2:50(T)への通信がWinnyである確信度が80)を受信した場合を例に説明する。この場合、図7において、検知装置1の確信度705が100であるので、同じ通信情報701に関してWinnyであると検知した検知装置3の信頼度を更新する。検知装置3の信頼度の更新は、図6の信頼度データ509の検知装置ID601が検知装置3であり、P2Pソフト種別602がWinnyであるエントリの信頼度603欄の50を、たとえば51にする。
検知情報管理プログラム508は、検知情報に含まれる検知装置ID401及びP2Pソフト種別402に対応する検知情報データ510の検知装置の確信度705を格納する(処理1005)。
検知情報管理プログラム508は、更新した検知情報データ510に含まれる検知装置の確信度705及び信頼度データに含まれる検知装置ID601及びP2Pソフト種別602の信頼度603から結合スコアを算出し、結合スコア704に格納する(処理1006)。結合スコアの算出は、例えば、検知装置の確信度705に100又は0の値(P2P通信検知基準装置が送信した検知情報)が存在すればその確信度の値100又は0を結合スコアとし、存在しなければ、所定の算出式を用いる。所定の算出式は、たとえば、対象のP2Pソフト種別に関して、(1)Σ(検知装置の確信度)/n、(2)Σ(検知装置の確信度)×(検知装置の信頼度)/100n((1)式、(2)式のnは分析対象のP2P通信を検知し、検知情報を送信したP2P通信検知装置102の数)などを用いる。
図7に示す通信情報701が、192.168.1.3:70から192.168.1.4:20(T)への通信の場合について説明する。(1)式を用いると、{(検知装置2の確信度)+(検知装置3の確信度)}/n=(50+80)/2=65であり、(2)式を用いると、{(検知装置2の確信度)×(検知装置2の信頼度)+(検知装置3の確信度)×(検知装置3の信頼度)}/100n=(50×50+80×60)/(100×2)=36.5であり、図7の結合スコア704には(2)式を用いた結合スコアを示している。例示したように、用いる算出式により結合スコアの値は異なる。したがって、どのような算出式を用いるかは、図8に示した制御ポリシデータ511の結合スコア802に設定する値とのバランスを考慮して決定すればよい。
検知情報管理プログラム508は、記憶装置506に格納された制御ポリシデータ511にP2Pソフト種別702に対応するP2Pソフト種別801で、算出した結合スコア704の値未満の値を有する結合スコア802のエントリがあるか(算出した結合スコア704の値が結合スコア802の値以上であるか)を確認し、ない場合は処理を終了し、ある場合は処理1008に進む(処理1007)。
検知情報管理プログラム508は、制御ポリシデータ511の対応する制御情報803を選択し、図7の検知情報データ510の制御情報703欄に格納し、通信情報701欄、P2Pソフト種別欄702及び制御情報703欄のそれぞれの内容とを対応付けて、IF505を介して通信路109へ送信する(処理1008)。送信した通信情報701欄、P2Pソフト種別欄702及び制御情報703欄のそれぞれの内容は、トラヒック制御装置101及びトラヒック制御装置104において、分析対象を示す情報やトラヒック制御ルール210として格納され、前述したトラヒック制御装置101の制御(トラヒックのコピーの停止)及びトラヒック制御装置104の制御(トラヒックの遮断など)に用いられる。
以上説明した検知情報管理プログラム508の処理は、常時動作させる方法(図10の終了後、直ちに開始する)と、処理1001の契機となる検知情報の受信割り込みに応答して動作させる方法とがある。いずれの方法であっても、あるP2P通信の検知に対応する各P2P通信検知装置102からの検知情報の受信はシリアルになる。また各P2P通信検知装置102の性能の違いや通信路108の混み具合により、検知情報の送信に時間差が発生する。
これに対応するために、処理1008では次のようにする。確信度の値が100のP2P通信検知基準装置からの検知情報の受信の場合は、該当する制御ポリシが存在するならば(処理1007)、制御情報を送信する(処理1008)。このとき、後続するP2P通信検知装置102からの検知情報に対応した処理の段階に至っては、図7の検知情報データ510の制御情報703欄に既に制御情報が格納されているので、制御情報の送信をスキップする。逆に、確信度や信頼度の低いP2P通信検知装置102からの検知情報を先に受信し、後に確信度や信頼度の高いP2P通信検知装置102からの検知情報を受信した場合は、結合スコアを更新(後続の検知情報を加えて、算出し直して書き換え)し(処理1006)、該当する制御ポリシが存在し、既に格納されている制御情報欄703(空欄の場合もある)の制御情報より制御を強化する制御情報(帯域制限に対して遮断のような制御情報)であるならば(処理1007)、強化する制御情報で制御情報欄703を更新して、その制御情報を送信する(処理1008)。
以上のように制御情報を送信することにより、トラヒック制御装置104による制御が早く実行される。トラヒック制御装置101やトラヒック制御装置104で通信をバッファリングし、検知情報管理装置103からの指示に基づき、指示に応じてバッファリングした通信を制御する方法があるが、P2P通信検知装置102及び検知情報管理装置103の処理時間を考慮すると、通信の遅延の発生と共に、バッファ容量を必要とするバッファリングは望ましくない(通信の遅延よりも、P2P通信をスルーさせてしまうことが重要な問題となるシステムでは、通信システムとして望ましくなくとも選択されることがある)。バッファリングしないと、P2P通信検知装置102及び検知情報管理装置103の処理中に、制御されるべきP2P通信のいくつかのパケットはトラヒック制御装置104を通過する。したがって、通過する、制御されるべきP2P通信のパケット数を減らすために、トラヒック制御装置104による早い制御が望まれる。一連のP2P通信のすべてのパケットを通過させてしまっても、本実施形態によれば、トラヒック制御ルール210をトラヒック制御装置101及び104に記憶しているので、同種(同じ通信情報、同じP2P通信ソフト種別)の次のP2P通信は制御できる。
バッファリングしない場合は、バッファリングの要否を判定する必要が無いので、すなわちトラヒック中の通信をコピーする必要が無いので、トラヒック制御装置101を省略し、P2P通信検知装置102が通信路105のトラヒック中の通信を監視しても良い。この場合、分析対象の通信の情報をP2P通信検知装置102に格納しておく。
本実施形態においてP2P通信検知装置102中からP2P通信の検知の性能(信頼度)が最も高いものをP2P通信検知基準装置とすることも可能である。これにより、必ずP2P通信の検知を行えるプロトコル解析を用いたP2P通信検知装置が存在しない場合にも、検知の性能が最も高いP2P通信検知装置を用いることで、その他のP2P通信検知装置の信頼度を設定することができる。
本実施形態によれば、P2P通信の検知の確からしさ(確信度)を考慮した通信制御が可能となる。
本実施形態によれば、P2P通信検知装置の信頼度を考慮に入れることにより、P2P通信検知装置におけるP2P通信検知の確信度(確度、確からしさ)とP2P通信検知装置のP2Pソフト種別を検知する性能(検知能力)である信頼度とに応じた制御情報803をトラヒック制御装置に送信するので、誤検知の場合にP2P通信でない通常通信を過度に制御することを抑制することができる。
本実施形態の一部を変更して、次のように実施してもよい。P2P通信検知精度やP2P通信検知速度が異なる複数のP2P通信検知装置102を、一つの装置のメモリ上に複数のプログラムとして、または複数のパラメータを用意し、選択的にパラメータを用いる一つのプログラムとして格納したP2P通信検知装置102と構成することにより、P2P通信検知装置102の台数を減らすことができる。分析対象の通信の数やP2P通信の種別が少ないシステムにおいてコストパフォーマンスが高くなる。
本実施形態において信頼度データ509を用いてP2P通信検知プログラム306のP2P通信検知アルゴリズムの評価を行うことも可能である。P2P通信検知装置の信頼度603は高精度に検知が可能なP2P通信検知装置を基準に評価が行われるので、信頼度603の値が高いP2P通信検知装置におけるP2P通信検知アルゴリズムが優れていることが分かる。
不正アクセス検知に関する特許文献1の引用で明らかなように、本実施形態においてP2P通信検知プログラム306に含まれるP2P通信検知アルゴリズムを、不正アクセス検知アルゴリズムに置き換えることにより、不正アクセスの検知及び制御も可能である。
P2P通信制御システムの構成図である。 トラヒック制御装置の構成例である。 P2P通信検知装置の構成例である。 P2P通信検知装置が送信する検知情報である。 検知情報管理装置の構成例である。 P2P通信検知装置の信頼度を格納する信頼度データの一例である。 P2P通信の検知情報データの一例である。 P2P通信の制御ポリシを格納する制御ポリシデータの一例である。 P2P通信検知プログラムの処理フロー図である。 検知情報管理プログラムの処理フロー図である。
符号の説明
101…トラヒック制御装置、102…P2P通信検知装置、103…検知情報管理装置、104…トラヒック制御装置。

Claims (19)

  1. トラヒックの中からP2P通信を検知し、前記P2P通信の検知の確からしさを表す確信度を含む検知情報を送信するP2P通信検知装置と、
    前記P2P通信検知装置からの前記検知情報を受信し、前記検知情報に含まれる前記確信度に応じた、前記検知したP2P通信を制御する制御情報を送信する検知情報管理装置と、
    前記検知情報管理装置からの前記制御情報の受信に応答して、前記トラヒックの中の前記P2P通信を制御するトラヒック制御装置と
    を備えたことを特徴とするP2P通信制御システム。
  2. 前記P2P通信検知装置は、通信情報の単位時間のコネクション数に基づいて、前記P2P通信の種別に応じた前記確信度を算出することを特徴とする請求項1記載のP2P通信制御システム。
  3. 前記検知情報管理装置は前記P2P通信の種別に応じた前記P2P通信検知装置の信頼度を保持し、前記確信度及び前記信頼度に応じた、前記P2P通信を制御する制御情報を送信することを特徴とする請求項2記載のP2P通信制御システム。
  4. 前記制御情報は、前記確信度及び前記信頼度に基づく結合スコアに対応して前記検知情報管理装置が保持している制御ポリシから選択されることを特徴とする請求項3記載のP2P通信制御システム。
  5. 前記P2P通信検知装置を複数設け、前記複数のP2P通信検知装置の中で前記信頼度の最も高いP2P通信検知装置を基準に、他のP2P通信検知装置の前記信頼度を設定することを特徴とする請求項3に記載のP2P通信制御システム。
  6. 前記他のP2P通信検知装置による前記P2P通信の検知に応じて、前記他のP2P通信検知装置の前記信頼度を更新することを特徴とする請求項5記載のP2P通信制御システム。
  7. トラヒックの中からP2P通信を検知し、前記P2P通信の検知の確からしさを表す確信度を含む検知情報を送信するP2P通信検知装置と、
    前記P2P通信検知装置からの前記検知情報を受信し、前記検知情報に含まれる前記確信度と前記P2P通信の種別に対応した前記P2P通信検知装置の信頼度とのいずれか一方に応じた制御情報を、前記検知したP2P通信を制御するトラヒック制御装置に送信する検知情報管理装置と
    を備えたことを特徴とするP2P通信制御システム。
  8. 前記P2P通信検知装置は、通信情報の単位時間のコネクション数に基づいて、前記P2P通信の種別に応じた前記確信度を算出することを特徴とする請求項7記載のP2P通信制御システム。
  9. 前記制御情報は、前記確信度及び前記信頼度に基づく結合スコアに対応して前記検知情報管理装置が保持している制御ポリシから選択されることを特徴とする請求項8記載のP2P通信制御システム。
  10. 前記P2P通信検知装置を複数設け、前記複数のP2P通信検知装置の中で前記信頼度の最も高いP2P通信検知装置を基準に、他のP2P通信検知装置の前記信頼度を設定することを特徴とする請求項8記載のP2P通信制御システム。
  11. 前記他のP2P通信検知装置による前記P2P通信の検知に応じて、前記他のP2P通信検知装置の前記信頼度を更新することを特徴とする請求項10記載のP2P通信制御システム。
  12. 通信情報の単位時間のコネクション数に基づいて決定された、P2P通信検知装置からのP2P通信の検知の確からしさを表す確信度を含む検知情報を受信する受信装置と、
    前記P2P通信の種別に対応した前記P2P通信検知装置の信頼度を格納する記憶装置と、
    前記検知情報に含まれる前記確信度と前記記憶装置に格納されている前記P2P通信検知装置の信頼度に応じた制御情報を、前記検知したP2P通信を制御するトラヒック制御装置に送信する送信装置と
    を備えたことを特徴とするP2P通信制御装置。
  13. 前記制御情報は、前記確信度及び前記信頼度に基づく結合スコアに対応して前記記憶装置に格納されている制御ポリシから選択されることを特徴とする請求項12記載のP2P通信制御装置。
  14. P2P通信検知装置からのP2P通信の検知の確からしさを表す確信度を含む検知情報を受信し、前記検知情報に含まれる前記確信度と前記P2P通信検知装置の信頼度に応じた制御情報を選択し、前記選択した制御情報を、前記検知したP2P通信を制御するトラヒック制御装置に送信することを特徴とするP2P通信制御方法。
  15. 前記確信度は、通信情報の単位時間のコネクション数に基づいて、前記P2P通信の種別に対応して算出されることを特徴とする請求項14記載のP2P通信制御方法。
  16. 前記信頼度は、前記P2P通信の種別及び前記P2P通信検知装置に対応して設定されることを特徴とする請求項15記載のP2P通信制御方法。
  17. 前記制御情報は、前記確信度及び前記信頼度に基づく結合スコアに対応した制御ポリシから選択されることを特徴とする請求項16記載のP2P通信制御方法。
  18. 前記P2P通信検知装置を複数設け、前記複数のP2P通信検知装置の中で前記信頼度の最も高いP2P通信検知装置を基準に、他のP2P通信検知装置の前記信頼度を設定することを特徴とする請求項15記載のP2P通信制御方法。
  19. 前記他のP2P通信検知装置による前記P2P通信の検知に応じて、前記他のP2P通信検知装置の前記信頼度を更新することを特徴とする請求項18記載のP2P通信制御方法。
JP2008144614A 2008-06-02 2008-06-02 P2p通信制御システム及び制御方法 Expired - Fee Related JP5042125B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008144614A JP5042125B2 (ja) 2008-06-02 2008-06-02 P2p通信制御システム及び制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008144614A JP5042125B2 (ja) 2008-06-02 2008-06-02 P2p通信制御システム及び制御方法

Publications (2)

Publication Number Publication Date
JP2009296036A JP2009296036A (ja) 2009-12-17
JP5042125B2 true JP5042125B2 (ja) 2012-10-03

Family

ID=41543876

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008144614A Expired - Fee Related JP5042125B2 (ja) 2008-06-02 2008-06-02 P2p通信制御システム及び制御方法

Country Status (1)

Country Link
JP (1) JP5042125B2 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5520650B2 (ja) * 2010-03-24 2014-06-11 株式会社日立製作所 P2p端末検知装置、p2p端末検知方法、およびp2p端末検知システム
US9122877B2 (en) 2011-03-21 2015-09-01 Mcafee, Inc. System and method for malware and network reputation correlation
US9106680B2 (en) 2011-06-27 2015-08-11 Mcafee, Inc. System and method for protocol fingerprinting and reputation correlation
US8931043B2 (en) 2012-04-10 2015-01-06 Mcafee Inc. System and method for determining and using local reputations of users and hosts to protect information in a network environment
JP5973973B2 (ja) * 2013-08-27 2016-08-23 日本電信電話株式会社 フロー制御システム、フロー制御方法、およびフロー分析装置
WO2022244179A1 (ja) * 2021-05-20 2022-11-24 日本電気株式会社 ポリシー生成装置、ポリシー生成方法及びプログラムが格納された非一時的なコンピュータ可読媒体

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003330820A (ja) * 2002-05-10 2003-11-21 Mitsubishi Electric Corp 不正アクセス管理装置
JP2006115129A (ja) * 2004-10-13 2006-04-27 Tohoku Univ ネットワーク異常検出システム

Also Published As

Publication number Publication date
JP2009296036A (ja) 2009-12-17

Similar Documents

Publication Publication Date Title
Turkovic et al. Fast network congestion detection and avoidance using P4
JP5637148B2 (ja) スイッチネットワークシステム、コントローラ、及び制御方法
JP5042125B2 (ja) P2p通信制御システム及び制御方法
JP4759389B2 (ja) パケット通信装置
EP2615802B1 (en) Communication apparatus and method of content router to control traffic transmission rate in content-centric network (CCN), and content router
US8942085B1 (en) System and method for routing around failed links
JP5050781B2 (ja) マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法
US9602418B2 (en) Apparatus and method for selecting a flow to be changed upon congestion occurrence
US11212219B1 (en) In-band telemetry packet size optimization
US20220345408A1 (en) Tool port throttling at a network visibility node
EP2880550B1 (en) Connection mesh in mirroring asymmetric clustered multiprocessor systems
US11863987B2 (en) Method for providing an elastic content filtering security service in a mesh network
CN109088822B (zh) 数据流量转发方法、装置、系统、计算机设备及存储介质
JP2007180891A (ja) 通信装置及びそれに用いるパケット送信制御方法並びにそのプログラム
US10462064B2 (en) Maximum transmission unit installation for network traffic along a datapath in a software defined network
US20180167337A1 (en) Application of network flow rule action based on packet counter
US8614946B1 (en) Dynamic switch port monitoring
US7742409B2 (en) Method and apparatus for compensating for performance degradation of an application session
US20190028479A1 (en) Relay apparatus
JP2009284433A (ja) P2p端末検知及び制御システム、並びにその方法
KR101984478B1 (ko) Sdn 기반의 동적 네트워크 트래픽 분석을 통한 데이터 전송 경로 결정 방법 및 장치
US9160688B2 (en) System and method for selective direct memory access
JP3984233B2 (ja) ネットワーク攻撃検出方法、ネットワーク攻撃元識別方法、ネットワーク装置、ネットワーク攻撃検出プログラムおよびネットワーク攻撃元識別プログラム
WO2014006920A1 (en) Communication system, control apparatus, communication method, and program
KR20160139591A (ko) 라우팅 방법 및 그 장치

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100910

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111215

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111220

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120214

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120410

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120525

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120611

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120626

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120710

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150720

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees