JP6184381B2 - 暗号化されたデータフローを分類する方法および装置、コンピュータプログラム、ならびに情報記憶手段 - Google Patents

暗号化されたデータフローを分類する方法および装置、コンピュータプログラム、ならびに情報記憶手段 Download PDF

Info

Publication number
JP6184381B2
JP6184381B2 JP2014158292A JP2014158292A JP6184381B2 JP 6184381 B2 JP6184381 B2 JP 6184381B2 JP 2014158292 A JP2014158292 A JP 2014158292A JP 2014158292 A JP2014158292 A JP 2014158292A JP 6184381 B2 JP6184381 B2 JP 6184381B2
Authority
JP
Japan
Prior art keywords
cluster
transport
amount
predefined
transport connection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2014158292A
Other languages
English (en)
Other versions
JP2015076879A5 (ja
JP2015076879A (ja
Inventor
ロマン・ロレ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric R&D Centre Europe BV Netherlands
Original Assignee
Mitsubishi Electric R&D Centre Europe BV Netherlands
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric R&D Centre Europe BV Netherlands filed Critical Mitsubishi Electric R&D Centre Europe BV Netherlands
Publication of JP2015076879A publication Critical patent/JP2015076879A/ja
Publication of JP2015076879A5 publication Critical patent/JP2015076879A5/ja
Application granted granted Critical
Publication of JP6184381B2 publication Critical patent/JP6184381B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、概して、ウェブ閲覧セッションの範囲内で、少なくとも1つのウェブクライアントと少なくとも1つのウェブサーバとの間で発生する暗号化されたデータフローを分類することに関する。
HTTPS(HyperText Transfer Protocol Secure。規範文書RFC2818によって規定される)は、ウェブ閲覧セッションの範囲内で、暗号化されたHTTP(HyperText Transfer Protocol。HTTP/1.1について規範文書RFC2616によって規定される)データを搬送するために広く実装されている。HTTPSは、訪問したウェブサイトおよび関連するウェブサーバの認証を、証明書を用いて提供する。このような認証メカニズムは、「マン・イン・ザ・ミドル(Man-in-the-middle)」タイプの攻撃に対する防衛を行う。すなわち、ウェブクライアントは、ウェブサーバとウェブクライアントとの間のデータ交換を何らかの第三者が復号している場合には検出することができる。さらに、HTTPSは、ウェブクライアントとウェブサーバとの間の通信に対する双方向暗号化を提供し、これは盗聴および改竄に対する防衛を提供する。
HTTPSは、主に、SSL(Secure Sockets Layer。規範文書RFC6101において規定される)またはTLS(Transport Layer Security。規範文書RFC2246、RFC4346およびRFC5246において規定される)の最上部でHTTPの層をなすことにあり、これによって、SSL/TLSによって提供されるセキュリティ能力を標準のHTTP通信に付加する。これは、HTTPSの範囲内でHTTPデータ全体が暗号化されるということを意味する。したがって、要求URL(Uniform Resource Locator。どの特定のウェブページが要求されたかを示す)、クエリパラメータ、ヘッダ、およびクッキー(しばしばユーザに関する識別情報を含む)に暗号化が適用される。しかしながら、ウェブサーバとウェブクライアントとの間のデータをルーティングするために用いられるIP(Internet Protocol。規範文書RFC791において規定される)アドレスおよびTCP(Transmission Control Protocol。規範文書RFC793において規定される)ポート番号は、平文で移送される。
データペイロードは暗号化されているので、有効なデータペイロード内容のアプリオリな知識はないが、暗号化されたデータフローが移送するデータの種類に従って、その暗号化されたデータフローを分類する方法は、多数のものが既知である。データフローを分類することにより、プロファイリングを実行することができ、適応したQoS(Quality of Service)メカニズムを適用することができ、また、データフローを分類することは、ネットワーク通信において周知の技術的目的である。TCPペイロードはHTTPSの範囲内で暗号化されるので、第三者はIPヘッダおよびTCPヘッダに含まれる情報のみを利用可能である。したがって、上述の方法は、暗号化されたデータフローを分類するために、TCP/IPプロトコルヘッダの関連するフィールド(セグメントサイズフィールド等)を活用しようとし、および/または、統計(転送されたバイト数等)および/または、タイミング計測(到着と到着の間の時間等)を構築しようとする。しかしながら、上述の方法のほとんどは、オフラインで実行されるよう設計されており、上述の方法は、大量のメモリおよび処理資源を必要とする。さらに、暗号化されたデータフローを分類するそのような方法は、IPアドレスベースの手法に依存しているため、これらの方法の性能は改善の必要がある。実際に、ネットワークアドレス変換(NAT)が実装されている時には、複数の通信装置が同一の公用IPアドレスを共有している場合があるので、IPアドレスベースの手法は、暗号化されたデータフローの不適切な分類につながる可能性がある。さらに、様々な種類のオンラインサービスに関連付けられた多数のウェブサーバが、単一のハードウェアプラットフォーム上にホスティングされ、したがって同一のIPアドレスを共有している場合がある。このため、分類を実行するためにIPアドレスに依存することは、多くの場合に、実際には別々のオンラインサービスに関する統計情報を収集して暗号化されたデータフローを誤分類することにつながる。
従来技術の上述の欠点を克服することが望ましい。とくに、ウェブ閲覧セッションの範囲内で、少なくとも1つのウェブクライアントと少なくとも1つのウェブサーバとの間で発生する暗号化されたデータフローを分類できるようにする解決策を提供することが望ましい。
さらに、従来技術の解決策に比べて改善された性能を提供する解決策を提供することが望ましい。
さらに、実施容易かつ費用効率的な解決策を提供することが望ましい。
この目的のために、本発明は、少なくとも1つのウェブクライアントと少なくとも1つのウェブサーバとの間で発生する暗号化されたデータフローを分類する方法であって、前記暗号化されたデータフローは、前記少なくとも1つのウェブクライアントと前記少なくとも1つのウェブサーバとの間にセットアップされたトランスポート接続を介して移送される方法に関する。本方法は解析装置によって実行され、前記方法は、
‐前記トランスポート接続がそれぞれ開始された時刻を表す情報と、前記トランスポート接続のエンドポイントのアドレシングに関する情報と、前記トランスポート接続によって移送されたデータの量および/またはセグメントの量に関する情報とを決定する、第1の決定ステップと、
‐いずれかのトランスポート接続のエンドポイントである各ウェブサーバが関連付けられたドメイン名を決定する、第2の決定ステップと、
‐前記トランスポート接続がそれぞれ開始された時刻と、前記トランスポート接続のエンドポイントである前記ウェブクライアントのアドレシングとに関する基準に従って、トランスポート接続をクラスタにグルーピングする、グルーピングステップと、
‐各クラスタについて、そのクラスタの前記トランスポート接続に関連付けられたドメイン名およびそのクラスタの前記トランスポート接続によって移送されたデータの量および/またはセグメントの量と、事前定義ウェブ閲覧セッションプロファイルとを比較する、比較ステップと、
‐前記比較ステップの結果に基づき、前記暗号化されたデータフローを分類する、分類ステップと
を備える。このように、前記トランスポート接続のクラスタを作成することに依存することにより、本方法は、従来技術の解決策に比べて改善された分類性能を達成する。トランスポート接続のクラスタを作成することにより、単一のハードウェアプラットフォームが単一のドメイン名を用いて複数のウェブサーバをホスティングする状況を管理することができる。
特定の特徴によれば、前記暗号化されたデータフローはHTTPSに従い、前記トランスポート接続はTCPに従う。このように、本方法は、ウェブ閲覧の範囲内で広く実装されているHTTPSおよびTCPプロトコルに適用可能である。
特定の特徴によれば、前記トランスポート接続が開始された時刻は、前記解析装置が前記トランスポート接続それぞれのSYN TCPセグメントを受信した時刻に対応する。
特定の特徴によれば、前記アドレシングは、アドレスおよびポートから構成され、
前記グルーピングステップは、
‐各クラスタは、同一のウェブクライアントアドレスを持つトランスポート接続のみを含み、
‐各クラスタは、各前記トランスポート接続のウェブクライアントポートに従って前記トランスポート接続を順序付けする時に、2つの連続するウェブクライアントポートの間の差が第1の事前定義閾値を超えない範囲内のウェブクライアントポートを持つトランスポート接続のみを含み、
‐各クラスタは、前記トランスポート接続が開始された時刻に従って前記トランスポート接続を順序付けする時に、2つの連続する前記トランスポート接続が開始された時刻の間の差が第2の事前定義閾値を超えない範囲内に開始されたトランスポート接続のみを含む
ように実行される。このように、クラスタの作成は単純であり、実質的に信頼性がある。
特定の特徴によれば、クラスタにグルーピングされたいかなるトランスポート接続も、第3の事前定義閾値を超える持続時間を有する。このように、解析装置は、ウェブ閲覧セッションに対応しないトランスポート接続を、そのトランスポート接続はウェブ閲覧セッションに対応するのに十分なほど長くないという理由で、容易に撤回することができる。
特定の特徴によれば、クラスタにグルーピングされたいかなるトランスポート接続も、第4の事前定義閾値未満の持続時間を有し、前記第4の事前定義閾値は、前記第3の事前定義閾値より厳密に大きい。このように、解析装置は、ウェブ閲覧セッションに対応しないトランスポート接続を、そのトランスポート接続はウェブ閲覧セッションに対応するには長すぎるという理由で、容易に撤回することができる。
特定の特徴によれば、前記解析装置は、前記解析装置が前記トランスポート接続それぞれのFIN ACK TCPセグメントを受信した時刻に基づいて前記トランスポート接続の持続時間を決定する。
特定の特徴によれば、前記解析装置は、前記解析装置が前記トランスポート接続の有効なペイロードを伴う最新のTCPセグメントを受信した時刻に基づいて前記トランスポート接続の持続時間を決定する。
特定の特徴によれば、前記解析装置は、クラスタのトランスポート接続に関連付けられたドメイン名が、前記事前定義ウェブ閲覧セッションプロファイルにリストされたドメイン名に一致しない時には、前記クラスタは事前定義ウェブ閲覧セッションプロファイルにマッチしないと考える。
特定の特徴によれば、前記解析装置は、前記クラスタに関連する情報と、前記事前定義ウェブ閲覧セッションプロファイルに関連する情報との差を表す情報が、第5の事前定義閾値未満である時には、前記クラスタは事前定義ウェブ閲覧セッションプロファイルにマッチすると考える。
特定の特徴によれば、事前定義ウェブ閲覧セッションプロファイルと比較されるクラスタの任意のトランスポート接続に関連付けられた各ドメインについて、
前記方法は、
‐前記クラスタのトランスポート接続の量と、前記事前定義ウェブ閲覧セッションプロファイルによって期待されるトランスポート接続の量との間の、第1の距離を決定する、第3の決定ステップと、
‐前記クラスタのトランスポート接続を介して送信されたセグメントの量と、前記事前定義ウェブ閲覧セッションプロファイルによって期待されるセグメントの量との間の、第2の距離を決定する、第4の決定ステップと、
‐前記クラスタのトランスポート接続を介して送信されたデータの量と、前記事前定義ウェブ閲覧セッションプロファイルによって期待されるデータの量との間の、第3の距離を決定する、第5の決定ステップと、
‐前記第1、第2および第3の距離の合計を決定するとともに、前記合計を第6の事前定義閾値と比較する、第6の決定ステップと
を備える。前記方法はさらに、
‐前記第1、第2および第3の距離の前記合計が前記第6の事前定義閾値未満である前記クラスタのトランスポート接続のいずれかに関連付けられたドメインの量を決定する、第7の決定ステップと、
‐前記ドメインの量が第7の事前定義閾値より大きい時に、前記クラスタは前記事前定義ウェブ閲覧セッションプロファイルにマッチすると考えることと
を備える。
また、本発明は、暗号化されたデータフローを分類する装置であって、前記暗号化されたデータフローは、少なくとも1つのウェブクライアントと少なくとも1つのウェブサーバとの間で発生することを目的とし、かつ、前記少なくとも1つのウェブクライアントと前記少なくとも1つのウェブサーバとの間にセットアップされたトランスポート接続を介して移送されることを目的とする、装置にも関する。前記装置は、
‐前記トランスポート接続がそれぞれ開始された時刻を表す情報と、前記トランスポート接続のエンドポイントのアドレシングに関する情報と、前記トランスポート接続によって移送されたデータの量および/またはセグメントの量に関する情報とを決定する、第1の決定手段と、
‐前記トランスポート接続の任意の1つのエンドポイントである各ウェブサーバが関連付けられたドメイン名を決定する、第2の決定手段と、
‐前記トランスポート接続がそれぞれ開始された時刻と、前記トランスポート接続のエンドポイントである前記ウェブクライアントのアドレシングとに関する基準に従って、トランスポート接続をクラスタにグルーピングする、グルーピング手段と、
‐各クラスタについて、そのクラスタの前記トランスポート接続に関連付けられたドメイン名およびそのクラスタの前記トランスポート接続によって移送されたデータの量および/またはセグメントの量と、事前定義ウェブ閲覧セッションプロファイルとを比較する、比較手段と、
‐前記比較手段を実施した結果に基づき、前記暗号化されたデータフローを分類する、分類手段と
を備える。
また、本発明は、通信ネットワークからダウンロード可能であり、および/または、コンピュータ可読な媒体に記憶可能でありプロセッサによって実行可能な、コンピュータプログラムにも関する。このコンピュータプログラムは、そのプログラムがプロセッサによって実行される時に、上述の方法を、その実施形態の任意の1つにおいて実施するための命令を含む。また、本発明は、そのようなコンピュータプログラムを記憶する情報記憶手段にも関する。
装置およびコンピュータプログラムに関連する特徴および利点は、対応する上述の方法に関してすでに説明したものと同一であるので、これらの特徴および利点はここでは繰り返さない。
本発明の特徴は、添付図面を参照して行われる以下の実施形態例の説明を読むことからより明確に現れるであろう。
本発明を実施可能な通信システムを概略的に表す図である。 通信システムの解析装置のアーキテクチャを概略的に表す図である。 ウェブ閲覧セッションの範囲内で少なくとも1つのウェブクライアントと少なくとも1つのウェブサーバとの間で発生する、暗号化されたデータフローを分類するために解析装置によって実行されるアルゴリズムを概略的に表す図である。
図1は、本発明を実施可能な通信システムを概略的に表す。通信システムは、少なくとも1つのウェブサーバと少なくとも1つのウェブクライアントとの間で暗号化されたデータフローが移送される経路上に配置された解析装置130を備える。好ましくは、この暗号化されたデータフローは、TCPトランスポートプロトコルに依存するHTTPSデータ交換の形態である。しかしながら、本明細書に記載される分類メカニズムは、ウェブ閲覧セッションの範囲内の他の種類の暗号化されたデータフロー(コネクション指向のトランスポートプロトコルに依存するもの)に適用されてもよい。以下では、例示的に、かつ非限定的に、暗号化されたデータフローはTCPトランスポートプロトコルに依存するHTTPSデータ交換の形態であると考えよう。
図1に示す特定の実施形態では、解析装置130は通信装置100に含まれる。通信装置100は、第1の通信ネットワーク101および第2の通信ネットワーク102を相互接続するよう構成されている。通信装置100は、さらに、通信装置100を介して送信されるTCPセグメントを、解析装置130に転送するよう構成されている。通信装置100は典型的にはホームゲートウェイ装置であり、第2の通信ネットワーク102はローカルエリアネットワーク(LAN)であり、第1の通信ネットワーク101はインターネットである。通信装置100は、より多くの通信ネットワークを相互接続してもよい。通信装置100は、IPルータ、Wi−Fi(登録商標)アクセスポイントまたはこれを実装するルータであってもよい。
図1に示すように、第1の通信ネットワーク101は、1つ以上のサーバ装置を備え、第2の通信ネットワーク102は1つ以上のクライアント装置を備える。図1は、例示的に、第1の通信ネットワーク101内の3つのサーバ装置111、112、113と、第2の通信ネットワーク102内の3つのクライアント装置121、122、123とを示す。
暗号化されたデータフローを分類するために、各TCP接続が開始された時刻を表す情報と、それらのトランスポート接続のエンドポイントのアドレシングに関する情報(IPアドレスおよびTCPポート)と、それらのTCP接続によって移送されたデータの量および/またはセグメントの量に関する情報とを収集することが提案される。さらに、それらのうちいずれかのTCP接続のエンドポイントである各ウェブサーバが関連付けられたドメイン名を決定することが提案される。さらに、それらの各トランスポート接続がそれぞれ開始された時刻と、ウェブクライアントのアドレシング(IPアドレスおよびTCPポート)とに関連する基準に従って、TCP接続をクラスタにグルーピングすることが提案される。さらに、各クラスタについて、そのクラスタのTCP接続に関連付けられたドメイン名と、事前に定義されたウェブ閲覧セッションプロファイル(以下、「事前定義ウェブ閲覧セッションプロファイル」と表記する)を持つそれらのTCP接続により移送されたデータの量および/またはセグメントの量とを比較することが提案され、また、暗号化されたデータフローをこれに従って分類することが提案される。
図2は、解析装置130のハードウェアアーキテクチャを概略的に示す。図示のアーキテクチャによれば、解析装置130は、通信バス210によって相互接続される以下の構成要素を備える。
‐プロセッサ、マイクロプロセッサ、マイクロコントローラまたはCPU(中央処理装置)200。
‐RAM(ランダムアクセスメモリ)201。
‐ROM(読み出し専用メモリ)202。
‐HDD(ハードディスクドライブ)203。または、記憶手段に記憶された情報を読み取るよう構成された任意の他の装置。
‐通信インタフェースの組204。これによって、解析装置130を少なくとも1つの通信ネットワーク(たとえば第1の通信ネットワーク101および第2の通信ネットワーク102)に接続することが可能となる。
CPU200は、ROM202から、SD(Secure Digital)カード等の外部メモリからまたはHDD203からRAM201にロードされた命令を、実行することができる。解析装置130の電源が投入されると、CPU200はRAM201から命令を読み出し、それらの命令を実行することができる。これらの命令は、CPU200に、後述のアルゴリズムのステップの一部または全部を実行させる1つのコンピュータプログラムを形成する。
後述のアルゴリズムの任意のステップおよびすべてのステップは、プログラム可能な計算機(PC(パーソナルコンピュータ)、DSP(デジタル信号プロセッサ)、またはマイクロコントローラ、等)による命令の組またはプログラムの実行によるソフトウェアとして実装されてもよい。または、そうでなければ、機械または専用の構成要素(FPGA(フィールドプログラマブルゲートアレイ)またはASIC(アプリケーション専用集積回路))によるハードウェアとして実装されてもよい。
図3は、ウェブ閲覧セッションの範囲内で少なくとも1つのウェブクライアントと少なくとも1つのウェブサーバとの間で発生する暗号化されたデータフローを分類するために、解析装置130によって実行されるアルゴリズムを概略的に表す。
ステップS300において、解析装置130は第1の通信ネットワーク101と第2の通信ネットワーク102との間を(すなわち図1に示す通信システム内の通信装置100を介して)通過するデータフローを受信する。
続くステップS301において、解析装置130は受信したデータフローのうちからHTTPSデータフローをフィルタリングする(フィルタリングされたHTTPSデータフローをさらに解析するためである)。言い換えると、解析装置130は、HTTPSデータフローを搬送するTCP接続を検出する。
TLSデータを搬送するTCP接続は、そのTCP接続の開始者(initiator)によって発信された最初のデータセグメント内のTCPペイロードの先頭数バイトに適用される単純なパターンマッチングメカニズムを用いることにより検出可能である。TLSクライアントHelloメッセージ(ハンドシェイク手順の間に平文で送信される)は、特定のフォーマットを有するので容易に検出可能である。TLSクライアントHelloメッセージの検出は、逆の通信方向において後続するメッセージの内容を解析することにより確認してもよい。実際に、TLSサーバは、TLSクライアントHelloメッセージに応じてTLSサーバHelloメッセージを送信すると期待される。TLSクライアントHelloメッセージおよびTLSサーバHelloメッセージの検出には、暗号化された通信をセットアップするためにウェブクライアントとウェブサーバとの間で交換される最初の連続する2つのデータセグメント内のTCPペイロードの、先頭の連続する11バイトを解析することしか要しない。
しかしながら、TLSはHTTPS以外のコンテキストにおいて実施されてもよく、結果として得られるTCP接続は通信装置100を介してセットアップされてもよい。たとえば、一部のVPN(Virtual Private Network)およびファイル転送技術は、TLSに依存する。解析装置130によって検出された複数のTLSセッションのうちでHTTPデータを搬送するTLSセッションを識別するために、TCP接続の持続時間に関する情報が用いられる。実際に、HTTPは、ウェブサーバのパフォーマンスを最適化するために、パーシステントなTCP接続を認可する。これは、初期HTTPデータ交換が終了すると、後にさらなるHTTPデータを搬送できるようにするために、当該TCP接続は初期データ転送を実行するために実質的に必要な期間よりも長い期間、オープンのままに維持されるということを意味する。各TCP接続は、典型的にはそれぞれのタイマに関連付けられ、タイマは各TCP接続を介して何らかのデータが交換されるたびにリセットされる。タイマが満了すると、関連付けられたTCP接続は、ウェブサーバがウェブクライアントにFIN TCPセグメントを送信することによって終了する。たとえば、アパッチHTTPサーバのリリース2.0は、15秒に等しいデフォルトのタイマを用い、アパッチHTTPサーバのリリース2.2は、5秒に等しいデフォルトのタイマを用いる。
これによって、解析装置130は、解析装置130が検出したTCP接続の持続時間を監視することにより、HTTPトラフィックを捕捉することができるようになる。この場合、TLSセッションデータを搬送しかつ事前定義閾値より長い持続時間を有するTCP接続は、HTTPSデータフローを搬送するTCP接続であると解析装置130によって考えられてもよい。
続くステップS302において、解析装置130は、ステップS301で検出されたHTTPSデータフローを搬送するTCP接続に関する統計を蓄積する。解析装置130は、蓄積された統計をデータベースに記憶することが好ましい。このように、解析装置130は、いわゆる「TCPコンテキスト」(生成され、ステップS301において検出されたHTTPSデータフローを搬送するTCP接続のそれぞれに関連付けられたもの)内に、TCP接続に関連する情報を維持する。
各TCPコンテキストは、そのTCPコンテキストが解析装置130によって生成される時にデフォルト値にセットされた専用のタイマが満了するまで、第1のデータベースに維持される。この専用のタイマは、解析装置130がヌルでないペイロードを伴うTCPセグメントを受信するたびに、その専用のタイマのデフォルト値にリセットされる。このデフォルト値は、同一のウェブセッションの範囲内でウェブクライアントがHTTPリクエストを送ることを許容できるよう十分に長く選択される。このデフォルト値は、実地試験を介して定義されてもよい。
好適な実施形態では、TCPコンテキストは以下の情報を含む。
‐複数のTCPコンテキストのうちでそのTCPコンテキストを識別できるようにする、TCPコンテキストの識別子。
‐考慮中のTCP接続の第1のエンドポイントのIPアドレスを表す情報。
‐考慮中のTCP接続の第1のエンドポイントのTCPポートを表す情報。
‐考慮中のTCP接続の第2のエンドポイントのIPアドレスを表す情報。
‐考慮中のTCP接続の第2のエンドポイントのTCPポートを表す情報。
‐考慮中のTCP接続に関与するウェブサーバのドメイン名を表す情報。
‐考慮中のTCP接続が開始された時刻を表す情報。
‐考慮中のTCP接続内で、最新のTCPセグメントが送信された時刻を表す情報。
‐考慮中のTCP接続が終了した時刻を表す情報。
‐考慮中のTCP接続内で送信されたTCPセグメントの量を表す情報。
‐考慮中のTCP接続内で送信されたデータの量(たとえばバイト単位)を表す情報。
第1のエンドポイントのIPアドレス、第1のエンドポイントのTCPポート、第2のエンドポイントのIPアドレス、および第2のエンドポイントのTCPポートを表す情報は、関連するTCPコンテキスト内で受信されたTCPセグメントのフィールドを読み取ることによって取得される。HTTPSデータを搬送するものとして検出されるTCPセグメントを解析装置130が受信すると、解析装置130は、IPソースアドレス、TCPソースポート、IP宛先アドレスおよびTCP宛先ポートの各フィールドに含まれる情報を収集する。IPソースアドレスおよびTCPソースポートは、それぞれ、一方のTCP接続エンドポイントのIPアドレスおよびTCPポートを表す情報に対応する。IP宛先アドレスおよびTCP宛先ポートは、それぞれ、他方のTCP接続エンドポイントのIPアドレスおよびTCPポートを表す情報に対応する。
上述の収集された情報がすでに第1のデータベースに存在する時には、解析装置130は、受信したTCPセグメントに従ってTCPコンテキストを更新する。
上述の収集された情報がまだ第1のデータベースに存在しない時には、解析装置130は、そのTCPセグメントが属するTCP接続に対するTCPコンテキストを作成する。好ましくは、解析装置130は、SYN TCPセグメントまたはSYN−ACK TCPセグメントを受信するとTCPコンテキストを作成する。したがって、解析装置130が、第1のデータベース内にTCPコンテキストを持たないTCP接続について、SYN TCPセグメントでもなくSYN−ACK TCPセグメントでもないTCPセグメントを受信した時には、解析装置130はそのTCPセグメントを単に転送する。
ウェブサーバのドメイン名を表す情報は、たとえば、規範文書RFC3912において規定されるWHOISプロトコルを用いることにより、解析装置130によって取得することができる。WHOISプロトコルのコンテキストにおいて、解析装置130は、考慮中のTCP接続のエンドポイントの一方のIPアドレスを、WHOISサーチ能力を持つサーバに提供し、このサーバがこれに応答して、その提供されたIPアドレスに関連付けて登録された情報の組(ドメイン名情報を含む)を提供する。この、IPアドレスが提供されるエンドポイントは、ウェブサーバをホスティングしていると解析装置130が考えるエンドポイントである。いずれのエンドポイントがウェブサーバをホスティングしているかを決定する方法の一つは、考慮中のTCP接続について受信したSYN TCPセグメントのIP宛先アドレスまたは考慮中のTCP接続について受信したSYN−ACK TCPセグメントのIPソースアドレスを引用することである。実際に、ウェブサーバアクセスのコンテキストにおけるTCP接続は、典型的にはウェブクライアントによって開始される。
考慮中のTCP接続内で、解析装置130がTCP SYNセグメントを検出した時刻は、考慮中のTCP接続が開始された時刻を表す情報として用いることができる。
第1のデータベースにTCPコンテキストがすでに存在するTCP接続について、解析装置130がTCPセグメントを受信した時には、解析装置130はそのTCPセグメントが解析装置130によって受信された時刻を決定し、これに従って、考慮中のTCP接続内で最新のTCPセグメントが送信された時刻を表す情報を更新する。
さらに、第1のデータベースにTCPコンテキストがすでに存在するTCP接続について、解析装置130がTCPセグメントを受信した時には、解析装置130は、そのTCPコンテキストに関連付けられた第1のカウンタを1単位だけインクリメントし、これに従って、考慮中のTCP接続内で送信されたTCPセグメントの量を表す情報を更新する。考慮中のTCP接続について解析装置130によってTCP SYNセグメントが受信された時、したがってTCPコンテキストが作成された時には、第1のカウンタは「1」にセットされる。
さらに、第1のデータベースにTCPコンテキストがすでに存在するTCP接続について、解析装置130がTCPセグメントを受信した時には、解析装置130は、そのTCPコンテキストに関連付けられた第2のカウンタをインクリメントし、これに従って、考慮中のTCP接続内で送信されたデータの量を表す情報を更新する。第2のカウンタは、受信されたTCPセグメントのペイロードサイズに対応する値だけインクリメントされる。考慮中のTCP接続について解析装置130によってTCP SYNセグメントが受信され、したがってTCPコンテキストが作成された時には、第2のカウンタはリセットされる。
さらに、第1のデータベースにTCPコンテキストがすでに存在するTCP接続について、解析装置130がFIN ACK TCPセグメントを受信した時には、解析装置130は、TCP FIN ACKセグメントが解析装置130によって受信された時刻を決定し、これに従って、考慮中のTCP接続が終了した時刻を表す情報を更新する。
さらに、第1のデータベースにTCPコンテキストがすでに存在するTCP接続について、解析装置130が有効なペイロードを伴うTCPセグメントを受信した時には、解析装置130は、そのTCPセグメントが解析装置130によって受信された時刻を決定し、これに従って、考慮中のTCP接続について最新のTCPセグメントが受信された時刻を表す情報を更新する。
続くステップS303において、解析装置130は、第1のデータベースにTCPコンテキストが記憶されているTCP接続を、クラスタにグルーピングする。解析装置130によって形成される各クラスタは、それぞれ潜在的に、1つのウェブ閲覧セッションに対応すると考えられる。実際に、ウェブページにアクセスする時には、ウェブクライアントは通常、複数のウェブサーバに向けていくつかの同時TCP接続をオープンし、これらのTCP接続は、初期データ転送の終了後、長期間アクティブに維持される。ウェブページは、通常、異なる複数のウェブサーバによってホスティングされる資源へのリフファレンスおよびリンクを含む。ウェブページの設計者は、HTTPSプロトコルを介してアクセスされるウェブページ内に、暗号化されていない外部資源をエンベッディングすることを避ける。これは、そのような状況はウェブブラウザ例外を生成するからである。したがって、ほとんどの場合、外部資源もHTTPSサーバによってホスティングされる。HTTPSサーバによってホスティングされるウェブページにアクセスする時には、ウェブクライアントはそのウェブサーバへのHTTPSセッションをオープンするだけでなく、要求されるウェブページが参照する外部資源をダウンロードするために他のHTTPSサーバとのセッションもオープンする。
解析装置130は、ウェブクライアントのIPアドレスと、TCPポートと、考慮中のTCP接続が開始された時刻とに基づき、クラスタを作成する。エンドポイントのいずれがウェブサーバであるかを決定する方法の一つは上述されていることに留意すべきである。したがって、ウェブクライアントは、そのTCP接続の他方のエンドポイントである。
通信装置は、クラスタを形成するために、以下の規則を適用する。
‐各クラスタは、同一のウェブクライアントIPアドレスを持つTCP接続のみを含む。
‐各クラスタは、同一のTCPソースポート範囲内の各TCPソースポートを持つTCP接続のみを含む。
‐各クラスタは、同一の時間範囲内で開始されたTCP接続のみを含む。
TCP接続を、それぞれのTCPソースポートに従ってソートする時には、「同一のTCPソースポート範囲内の各TCPソースポートを持つTCP接続」とは、2つの連続するTCP接続のポート番号間の間隔が第1の事前定義閾値Th1を超えないということを意味する。たとえば、第1の事前定義閾値Th1は「4」にセットされる。実際に、TCP接続を開始する時には、TCPソースポートは、通常、そのウェブクライアントにより同一のウェブ閲覧セッションについて開始された先行するTCP接続に比べて、1単位だけインクリメントされる。
TCP接続を、TCP接続が開始された時刻に従ってソートする時には、「同一の時間範囲内で開始されたTCP接続」とは、2つの連続するTCP接続が開始された時刻間の間隔が事前定義閾値Th2を超えないということを意味する。たとえば、第2の事前定義閾値Th2は1秒にセットされる。
TCP接続のオープンに際し、要求されるフィールドには記入がされるので、クラスタの決定は実時間で行ってもよいということに留意すべきである。
解析装置130は、さらに、そのTCP接続をクラスタに含めるか否かを決定するために、TCP接続の持続時間を考慮に入れてもよい。実際に、すでに述べたように、ウェブページアクセスのコンテキストでは、TCP接続は、典型的には、初期データ転送の終了から長時間アクティブに維持される。したがって、解析装置130は、TCP接続の持続時間が第3の事前定義閾値Th3よりも長い時には、そのTCP接続をあるクラスタに含めることを決定してもよい。この第3の事前定義閾値Th3は、たとえば実地試験に従って定義される。さらに、解析装置130は、TCP接続の持続時間が第4の事前定義閾値Th4よりも短い時には、そのTCP接続をあるクラスタに含めることを決定してもよい。この第4の事前定義閾値Th4は、第3の事前定義閾値Th3より厳密に大きい。この第4の事前定義閾値Th4は、たとえば実地試験に従って定義される。これにより、HTTPSセッションのデータを、たとえばVPNセッションのデータと混同することを避けることができる。
TCP接続の持続時間は、そのTCP接続が開始された時刻と、そのTCP接続が終了した時刻との間の時間差により決定される(これを表す情報はそのTCP接続と関連付けられてTCPコンテキストに記憶される)。一変形例では、TCP接続の持続時間は、そのTCP接続が開始された時刻と、そのTCP接続の有効なペイロードを伴う最新のTCPセグメントが解析装置により受信された時刻との間の時間差により決定される(これを表す情報はそのTCP接続と関連付けられてTCPコンテキストに記憶される)。この変形例では、TCP接続を介して有効な転送が発生する期間が考慮される。
解析装置130は、クラスタ関連情報を、いわゆる「クラスタコンテキスト」(生成され、ステップS303において形成された各クラスタに関連付けられたもの)内に維持する。
好適な実施形態では、クラスタコンテキストは以下の情報を含む。
‐すべてのクラスタのうちでそのクラスタを識別できるようにする、クラスタの識別子。
‐考慮中のクラスタを形成する各TCP接続のTCPコンテキストの識別子のリスト。
‐考慮中のクラスタとマッチする、事前定義ウェブ閲覧セッションプロファイルの識別子。
‐ドメイン統計のリスト。これは、考慮中のクラスタの少なくとも1つのTCP接続が関連するドメインごとの、統計のコレクションである。
考慮中のクラスタとマッチする、ウェブ閲覧セッションプロファイルの識別子は、クラスタコンテキストを作成する時には記入されない。すなわち、クラスタコンテキスト作成時には意味がない。後述するように、このような情報は、クラスタ特性を事前定義ウェブ閲覧セッションプロファイルと比較した後に、実質的に記入される。
ドメイン統計は、考慮中のクラスタを形成する各TCP接続のTCPコンテキストから決定される。好適な実施形態では、ドメイン統計は以下の情報を含む。
‐考慮中のTCP接続に関与するウェブサーバのドメイン名を表す情報。
‐そのドメイン内のサーバが関与するクラスタのTCP接続の量を表す情報。
‐そのクラスタのTCP接続を介して送信されたTCPセグメントの量を表す情報。
‐そのクラスタのTCP接続を介して送信されたデータの量を表す情報。
続くステップS304において、解析装置130は、ステップS303において定義されたクラスタのうちから1つのクラスタを選択する。
続くステップS305において、解析装置130は、選択されたクラスタコンテキストを、事前定義ウェブ閲覧セッションプロファイル(好ましくは第2のデータベースに記憶される)と比較する。基本的に、任意のクラスタコンテキストにおけるものと同じ種類の情報が、各事前定義ウェブ閲覧セッションプロファイルにおいても取得可能である。事前定義ウェブ閲覧セッションプロファイルは、さらに、追加の情報(事前定義ウェブ閲覧セッションプロファイルのそれぞれを表すウェブサービスの名称およびカテゴリ等)を含んでもよい。いずれにしても、事前定義ウェブ閲覧セッションプロファイルは、それぞれ個別の識別子を備える。第2のデータベースの内容は、たとえば実地試験を介して、事前に決定される。第2のデータベースの内容は、たとえば通信ネットワークを介したデータベース更新手順を用いて、動的に変更されてもよい。
好適な実施形態では、解析装置130は、選択されたクラスタのドメイン統計において識別される各ドメインについて、そのドメインが事前定義ウェブ閲覧セッションプロファイル内に存在しているか否かをチェックする。少なくとも1つのドメインが事前定義ウェブ閲覧セッションプロファイル内に存在しない時には、解析装置130はそのクラスタがその事前定義ウェブ閲覧セッションプロファイルにマッチしないと考える。さらに、解析装置130は、事前定義ウェブ閲覧セッションプロファイル内において識別される各ドメインについて、そのドメインが選択されたクラスタのドメイン統計内に存在するか否かをチェックする。少なくとも1つのドメインが、選択されたクラスタのドメイン統計内に存在しない時には、解析装置130は、そのクラスタはその事前定義ウェブ閲覧セッションプロファイルにマッチしないと考える。
一実施形態では、対応するクラスタコンテキストに含まれる情報と、その事前定義ウェブ閲覧セッションプロファイルに含まれる情報との差を表す情報が、第5の事前定義閾値Th5未満である時には、解析装置130は、選択されたクラスタがその事前定義ウェブ閲覧セッションプロファイルにマッチすると考える。第5の事前定義閾値Th5は、実地試験を介して定義されてもよい。例示的な一実施形態では、解析装置130は、たとえば人工のニューラルネットワークを実装することにより、ソフトアウトプットメカニズムに依存してもよい。人工のニューラルネットワークは、各クラスタが人工のニューラルネットワークに入力され、そのクラスタとその事前定義ウェブ閲覧セッションプロファイルとの距離を表す情報がその人工のニューラルネットワークにより提供されるように、パターン認識のために構成される。最短距離に対応する事前定義ウェブ閲覧セッションプロファイルは、その最短距離が第5の事前定義閾値Th5よりも大きい時に、クラスタがマッチすると考えられる。
別の実施形態では、解析装置130は、ドメインごとに解析を実行する。解析装置130は、各ドメインについて、そのクラスタのTCP接続の量と、その事前定義ウェブ閲覧セッションプロファイルによって期待されるTCP接続の量との間の、第1の距離を決定する。解析装置130は、さらに、そのクラスタのTCP接続を介して送信されたTCPセグメントの量と、その事前定義ウェブ閲覧セッションプロファイルによって期待されるTCPセグメントの量との間の、第2の距離を決定する。さらに、解析装置130は、そのクラスタのTCP接続を介して送信されたTCPデータの量と、その事前定義ウェブ閲覧セッションプロファイルによって期待されるTCPデータの量との間の、第3の距離を決定する。第1、第2および第3の距離の合計が第6の事前定義閾値Th6未満である時には、解析装置130は、選択されたクラスタのドメイン特性が、その事前定義ウェブ閲覧セッションプロファイルにマッチすると考える。選択されたクラスタ内に存在するすべてのドメインが解析されると、解析装置130は、事前定義ウェブ閲覧セッションプロファイルとマッチすると考えられる選択されたクラスタ内に存在するドメインの量と、第7の事前定義閾値Th7とを比較する。事前定義ウェブ閲覧セッションプロファイルとマッチすると考えられる選択されたクラスタ内に存在するドメインの量が、第7の事前定義閾値Th7より大きい時には、解析装置130は、選択されたクラスタはその事前定義ウェブ閲覧セッションプロファイルにマッチすると考え、そうでなければ、解析装置130は、選択されたクラスタはその事前定義ウェブ閲覧セッションプロファイルにマッチしないと考える。
このようにして、選択されたクラスタが事前定義ウェブ閲覧セッションプロファイルの1つとマッチするか、または、第2のデータベースに記憶されたすべての事前定義ウェブ閲覧セッションプロファイルが考慮されるまで、解析装置130は、選択されたクラスタの特性と、第2のデータベースに記憶された事前定義ウェブ閲覧セッションプロファイルのそれぞれとを比較する。
続くステップS306において、解析装置130は、選択されたクラスタが事前定義ウェブ閲覧セッションプロファイルの1つとマッチするか否かをチェックする。選択されたクラスタが、事前定義ウェブ閲覧セッションプロファイルの1つとマッチする時には、ステップS307が実行され、そうでなければ、ステップS308が実行される。
ステップS307において、解析装置130は、選択されたクラスタを、その選択されたクラスタがマッチする事前定義ウェブ閲覧セッションプロファイルの関数として、分類する。解析装置130は、その事前定義ウェブ閲覧セッションプロファイルの識別子を表す情報を、選択されたクラスタに関連付けられたクラスタコンテキスト内に記憶する。したがって、解析装置130は、選択されたクラスタを分類する。その後、ステップS308が実行される。
ステップS308において、解析装置130は、ステップS303で形成されたクラスタがすべて解析されたか否かをチェックする。ステップS303で形成されたクラスタがすべて解析された時には、ステップS309が実行され、そうでなければ、まだ解析されていないクラスタを選択することにより、ステップS305が繰り返される。
ステップS309において、解析装置130は、ステップS300で受信したTCPセグメントを転送し、そのTCPセグメントが第1の通信ネットワーク101または第2の通信ネットワーク102を介してルーティングを継続できるようにする。

Claims (13)

  1. 少なくとも1つのウェブクライアントと少なくとも1つのウェブサーバとの間で発生する暗号化されたデータフローを分類する方法であって、
    前記暗号化されたデータフローは、前記少なくとも1つのウェブクライアントと前記少なくとも1つのウェブサーバとの間にセットアップされたトランスポート接続を介して移送され、
    前記方法は解析装置によって実行される、
    方法において、
    前記方法は、
    ‐前記トランスポート接続がそれぞれ開始された時刻を表す情報と、前記トランスポート接続のエンドポイントのアドレシングに関する情報と、前記トランスポート接続によって移送されたデータの量および/またはセグメントの量に関する情報とを決定する、第1の決定ステップ(S301)と、
    ‐いずれかのトランスポート接続のエンドポイントである各ウェブサーバが関連付けられたドメイン名を決定する、第2の決定ステップ(S302)と、
    ‐前記トランスポート接続がそれぞれ開始された時刻と、前記トランスポート接続のエンドポイントである前記ウェブクライアントのアドレシングとに関する基準に従って、トランスポート接続をクラスタにグルーピングする、グルーピングステップ(S303)と、
    ‐各クラスタについて、そのクラスタの前記トランスポート接続に関連付けられたドメイン名およびそのクラスタの前記トランスポート接続によって移送されたデータの量および/またはセグメントの量と、事前定義ウェブ閲覧セッションプロファイルとを比較する、比較ステップ(S305)と、
    ‐前記比較ステップの結果に基づき、前記暗号化されたデータフローを分類する、分類ステップ(S306)と
    を備え
    前記アドレシングは、アドレスおよびポートから構成され、
    前記グルーピングステップは、
    ‐各クラスタは、同一のウェブクライアントアドレスを持つトランスポート接続のみを含み、
    ‐各クラスタは、各前記トランスポート接続のウェブクライアントポートに従って前記トランスポート接続を順序付けする時に、2つの連続するウェブクライアントポートの間の差が第1の事前定義閾値を超えない範囲内のウェブクライアントポートを持つトランスポート接続のみを含み、
    ‐各クラスタは、前記トランスポート接続が開始された時刻に従って前記トランスポート接続を順序付けする時に、2つの連続する前記トランスポート接続が開始された時刻の間の差が第2の事前定義閾値を超えない範囲内に開始されたトランスポート接続のみを含む
    ように実行されることを特徴とする、方法。
  2. 少なくとも1つのウェブクライアントと少なくとも1つのウェブサーバとの間で発生する暗号化されたデータフローを分類する方法であって、
    前記暗号化されたデータフローは、前記少なくとも1つのウェブクライアントと前記少なくとも1つのウェブサーバとの間にセットアップされたトランスポート接続を介して移送され、
    前記方法は解析装置によって実行される、
    方法において、
    前記方法は、
    ‐前記トランスポート接続がそれぞれ開始された時刻を表す情報と、前記トランスポート接続のエンドポイントのアドレシングに関する情報と、前記トランスポート接続によって移送されたデータの量および/またはセグメントの量に関する情報とを決定する、第1の決定ステップ(S301)と、
    ‐いずれかのトランスポート接続のエンドポイントである各ウェブサーバが関連付けられたドメイン名を決定する、第2の決定ステップ(S302)と、
    ‐前記トランスポート接続がそれぞれ開始された時刻と、前記トランスポート接続のエンドポイントである前記ウェブクライアントのアドレシングとに関する基準に従って、トランスポート接続をクラスタにグルーピングする、グルーピングステップ(S303)と、
    ‐各クラスタについて、そのクラスタの前記トランスポート接続に関連付けられたドメイン名およびそのクラスタの前記トランスポート接続によって移送されたデータの量および/またはセグメントの量と、事前定義ウェブ閲覧セッションプロファイルとを比較する、比較ステップ(S305)と、
    ‐前記比較ステップの結果に基づき、前記暗号化されたデータフローを分類する、分類ステップ(S306)と
    を備え
    前記解析装置は、前記クラスタに関連する情報と、前記事前定義ウェブ閲覧セッションプロファイルに関連する情報との差を表す情報が、第5の事前定義閾値未満である時には、前記クラスタは事前定義ウェブ閲覧セッションプロファイルにマッチすると考えることを特徴とし、
    事前定義ウェブ閲覧セッションプロファイルと比較されるクラスタの任意のトランスポート接続に関連付けられた各ドメインについて、
    前記方法は、
    ‐前記クラスタのトランスポート接続の量と、前記事前定義ウェブ閲覧セッションプロファイルによって期待されるトランスポート接続の量との間の、第1の距離を決定する、第3の決定ステップと、
    ‐前記クラスタのトランスポート接続を介して送信されたセグメントの量と、前記事前定義ウェブ閲覧セッションプロファイルによって期待されるセグメントの量との間の、第2の距離を決定する、第4の決定ステップと、
    ‐前記クラスタのトランスポート接続を介して送信されたデータの量と、前記事前定義ウェブ閲覧セッションプロファイルによって期待されるデータの量との間の、第3の距離を決定する、第5の決定ステップと、
    ‐前記第1、第2および第3の距離の合計を決定するとともに、前記合計を第6の事前定義閾値と比較する、第6の決定ステップと
    を備えることを特徴とし、かつ、
    前記方法はさらに、
    ‐前記第1、第2および第3の距離の前記合計が前記第6の事前定義閾値未満である前記クラスタのトランスポート接続のいずれかに関連付けられたドメインの量を決定する、第7の決定ステップと、
    ‐前記ドメインの量が第7の事前定義閾値より大きい時に、前記クラスタは前記事前定義ウェブ閲覧セッションプロファイルにマッチすると考えることと
    を備えることを特徴とする、方法。
  3. 前記暗号化されたデータフローはHTTPSに従い、前記トランスポート接続はTCPに従うことを特徴とする、請求項1または2に記載の方法。
  4. 前記トランスポート接続が開始された時刻は、前記解析装置が前記トランスポート接続それぞれのSYN TCPセグメントを受信した時刻に対応することを特徴とする、請求項に記載の方法。
  5. クラスタにグルーピングされたいかなるトランスポート接続も、第3の事前定義閾値を超える持続時間を有することを特徴とする、請求項1〜4のいずれか一項に記載の方法。
  6. クラスタにグルーピングされたいかなるトランスポート接続も、第4の事前定義閾値未満の持続時間を有し、前記第4の事前定義閾値は、前記第3の事前定義閾値より厳密に大きいことを特徴とする、請求項5に記載の方法。
  7. 前記解析装置は、前記解析装置が前記トランスポート接続それぞれのFIN ACK TCPセグメントを受信した時刻に基づいて前記トランスポート接続の持続時間を決定することを特徴とする、請求項を引用する場合の請求項5に記載の方法、または、請求項を引用する場合の請求項6に記載の方法。
  8. 前記解析装置は、前記解析装置が前記トランスポート接続の有効なペイロードを伴う最新のTCPセグメントを受信した時刻に基づいて前記トランスポート接続の持続時間を決定することを特徴とする、請求項1〜7のいずれか一項に記載の方法。
  9. 前記解析装置は、クラスタのトランスポート接続に関連付けられたドメイン名が、前記事前定義ウェブ閲覧セッションプロファイルにリストされたドメイン名に一致しない時には、前記クラスタは事前定義ウェブ閲覧セッションプロファイルにマッチしないと考えることを特徴とする、請求項1〜8のいずれか一項に記載の方法。
  10. 暗号化されたデータフローを分類する装置であって、
    前記暗号化されたデータフローは、少なくとも1つのウェブクライアントと少なくとも1つのウェブサーバとの間で発生することを目的とし、かつ、前記少なくとも1つのウェブクライアントと前記少なくとも1つのウェブサーバとの間にセットアップされたトランスポート接続を介して移送されることを目的とする
    装置において、
    前記装置は、
    ‐前記トランスポート接続がそれぞれ開始された時刻を表す情報と、前記トランスポート接続のエンドポイントのアドレシングに関する情報と、前記トランスポート接続によって移送されたデータの量および/またはセグメントの量に関する情報とを決定する、第1の決定手段と、
    ‐いずれかのトランスポート接続のエンドポイントである各ウェブサーバが関連付けられたドメイン名を決定する、第2の決定手段と、
    ‐前記トランスポート接続がそれぞれ開始された時刻と、前記トランスポート接続のエンドポイントである前記ウェブクライアントのアドレシングとに関する基準に従って、トランスポート接続をクラスタにグルーピングする、グルーピング手段と、
    ‐各クラスタについて、そのクラスタの前記トランスポート接続に関連付けられたドメイン名およびそのクラスタの前記トランスポート接続によって移送されたデータの量および/またはセグメントの量と、事前定義ウェブ閲覧セッションプロファイルとを比較する、比較手段と、
    ‐前記比較手段を実施した結果に基づき、前記暗号化されたデータフローを分類する、分類手段と
    を備え
    前記アドレシングは、アドレスおよびポートから構成され、
    前記グルーピング手段は、
    ‐各クラスタは、同一のウェブクライアントアドレスを持つトランスポート接続のみを含み、
    ‐各クラスタは、各前記トランスポート接続のウェブクライアントポートに従って前記トランスポート接続を順序付けする時に、2つの連続するウェブクライアントポートの間の差が第1の事前定義閾値を超えない範囲内のウェブクライアントポートを持つトランスポート接続のみを含み、
    ‐各クラスタは、前記トランスポート接続が開始された時刻に従って前記トランスポート接続を順序付けする時に、2つの連続する前記トランスポート接続が開始された時刻の間の差が第2の事前定義閾値を超えない範囲内に開始されたトランスポート接続のみを含む
    ように構成されることを特徴とする、装置。
  11. 暗号化されたデータフローを分類する装置であって、
    前記暗号化されたデータフローは、少なくとも1つのウェブクライアントと少なくとも1つのウェブサーバとの間で発生することを目的とし、かつ、前記少なくとも1つのウェブクライアントと前記少なくとも1つのウェブサーバとの間にセットアップされたトランスポート接続を介して移送されることを目的とする
    装置において、
    前記装置は、
    ‐前記トランスポート接続がそれぞれ開始された時刻を表す情報と、前記トランスポート接続のエンドポイントのアドレシングに関する情報と、前記トランスポート接続によって移送されたデータの量および/またはセグメントの量に関する情報とを決定する、第1の決定手段と、
    ‐いずれかのトランスポート接続のエンドポイントである各ウェブサーバが関連付けられたドメイン名を決定する、第2の決定手段と、
    ‐前記トランスポート接続がそれぞれ開始された時刻と、前記トランスポート接続のエンドポイントである前記ウェブクライアントのアドレシングとに関する基準に従って、トランスポート接続をクラスタにグルーピングする、グルーピング手段と、
    ‐各クラスタについて、そのクラスタの前記トランスポート接続に関連付けられたドメイン名およびそのクラスタの前記トランスポート接続によって移送されたデータの量および/またはセグメントの量と、事前定義ウェブ閲覧セッションプロファイルとを比較する、比較手段と、
    ‐前記比較手段を実施した結果に基づき、前記暗号化されたデータフローを分類する、分類手段と
    を備え
    前記装置は、前記クラスタに関連する情報と、前記事前定義ウェブ閲覧セッションプロファイルに関連する情報との差を表す情報が、第5の事前定義閾値未満である時には、前記クラスタは事前定義ウェブ閲覧セッションプロファイルにマッチすると考えることを特徴とし、
    事前定義ウェブ閲覧セッションプロファイルと比較されるクラスタの任意のトランスポート接続に関連付けられた各ドメインについて、
    前記装置は、
    ‐前記クラスタのトランスポート接続の量と、前記事前定義ウェブ閲覧セッションプロファイルによって期待されるトランスポート接続の量との間の、第1の距離を決定する、第3の決定手段と、
    ‐前記クラスタのトランスポート接続を介して送信されたセグメントの量と、前記事前定義ウェブ閲覧セッションプロファイルによって期待されるセグメントの量との間の、第2の距離を決定する、第4の決定手段と、
    ‐前記クラスタのトランスポート接続を介して送信されたデータの量と、前記事前定義ウェブ閲覧セッションプロファイルによって期待されるデータの量との間の、第3の距離を決定する、第5の決定手段と、
    ‐前記第1、第2および第3の距離の合計を決定するとともに、前記合計を第6の事前定義閾値と比較する、第6の決定手段と
    を備えることを特徴とし、かつ、
    前記装置はさらに、
    ‐前記第1、第2および第3の距離の前記合計が前記第6の事前定義閾値未満である前記クラスタのトランスポート接続のいずれかに関連付けられたドメインの量を決定する、第7の決定手段と、
    ‐前記ドメインの量が第7の事前定義閾値より大きい時に、前記クラスタは前記事前定義ウェブ閲覧セッションプロファイルにマッチすると考える手段と
    を備えることを特徴とする、装置。
  12. プログラムコード命令を含むコンピュータプログラムであって、
    前記プログラムコード命令は、前記プログラムコード命令がプログラム可能な装置によって実行される時に、請求項1〜のいずれか一項に記載の方法を実行するために前記プログラム可能な装置にロードすることができる、
    コンピュータプログラム。
  13. プログラムコード命令を含むコンピュータプログラムを記憶する情報記憶手段であって、
    前記プログラムコード命令は、前記プログラムコード命令がプログラム可能な装置によって実行される時に、請求項1〜のいずれか一項に記載の方法を実行するために前記プログラム可能な装置にロードすることができる、
    情報記憶手段。
JP2014158292A 2013-10-11 2014-08-04 暗号化されたデータフローを分類する方法および装置、コンピュータプログラム、ならびに情報記憶手段 Expired - Fee Related JP6184381B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP13188314.2A EP2860911B1 (en) 2013-10-11 2013-10-11 Method and device for classifying encrypted data flows between at least one web client and at least one web server
EP13188314.2 2013-10-11

Publications (3)

Publication Number Publication Date
JP2015076879A JP2015076879A (ja) 2015-04-20
JP2015076879A5 JP2015076879A5 (ja) 2017-05-18
JP6184381B2 true JP6184381B2 (ja) 2017-08-23

Family

ID=49354512

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014158292A Expired - Fee Related JP6184381B2 (ja) 2013-10-11 2014-08-04 暗号化されたデータフローを分類する方法および装置、コンピュータプログラム、ならびに情報記憶手段

Country Status (2)

Country Link
EP (1) EP2860911B1 (ja)
JP (1) JP6184381B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107528837B (zh) * 2017-08-17 2020-06-09 深信服科技股份有限公司 加密视频识别方法及装置、计算机装置、可读存储介质
CN112256753B (zh) * 2020-10-13 2021-05-18 山东三木众合信息科技股份有限公司 一种数据的加密安全传输方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7778194B1 (en) * 2004-08-13 2010-08-17 Packeteer, Inc. Examination of connection handshake to enhance classification of encrypted network traffic
JP4679886B2 (ja) * 2004-11-24 2011-05-11 Kddi株式会社 暗号化通信特徴抽出装置、暗号化通信特徴抽出プログラムおよび記録媒体
JP5812282B2 (ja) * 2011-12-16 2015-11-11 公立大学法人大阪市立大学 トラヒック監視装置

Also Published As

Publication number Publication date
EP2860911B1 (en) 2016-07-27
JP2015076879A (ja) 2015-04-20
EP2860911A1 (en) 2015-04-15

Similar Documents

Publication Publication Date Title
CN107241186B (zh) 网络设备和用于网络通信的方法
US10193911B2 (en) Techniques for automatically mitigating denial of service attacks via attack pattern matching
Park et al. Towards automated application signature generation for traffic identification
EP3022861B1 (en) Packet classification for network routing
US7636305B1 (en) Method and apparatus for monitoring network traffic
US9237168B2 (en) Transport layer security traffic control using service name identification
US7904597B2 (en) Systems and processes of identifying P2P applications based on behavioral signatures
US20190075049A1 (en) Determining Direction of Network Sessions
EP3340566B1 (en) Identifying self-signed certificates using http access logs for malware detection
US20200136917A1 (en) Encoding and verifying network intents for stateful networks
CN110166480B (zh) 一种数据包的分析方法及装置
EP2739003A1 (en) Systems and methods to detect and respond to distributed denial of service (DDoS) attacks
US11196712B1 (en) Proxy scraper detector
JP7388613B2 (ja) パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
US20200404044A1 (en) Diversified file transfer
US10348687B2 (en) Method and apparatus for using software defined networking and network function virtualization to secure residential networks
US20140304817A1 (en) APPARATUS AND METHOD FOR DETECTING SLOW READ DoS ATTACK
KR20110022141A (ko) 응용계층 분산 서비스 거부 공격 탐지 및 차단 장치 및 그 방법
JP6184381B2 (ja) 暗号化されたデータフローを分類する方法および装置、コンピュータプログラム、ならびに情報記憶手段
US10834110B1 (en) Methods for preventing DDoS attack based on adaptive self learning of session and transport layers and devices thereof
Tahir et al. A novel DDoS floods detection and testing approaches for network traffic based on linux techniques
JP2007228217A (ja) トラフィック判定装置、トラフィック判定方法、及びそのプログラム
KR20210043498A (ko) 데이터 스트림의 프로토콜 식별
KR20190074002A (ko) Tls/ssl 통신에서 도메인 정보를 이용하는 바이패스 처리 장치 및 그 방법
CN107888651B (zh) 用于多简档创建以减轻剖析的方法和系统

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170330

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170330

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20170330

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20170426

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170516

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170612

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170627

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170725

R150 Certificate of patent or registration of utility model

Ref document number: 6184381

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees