JP7221170B2 - 属性情報生成装置、属性識別装置、属性情報生成方法及び属性識別方法 - Google Patents
属性情報生成装置、属性識別装置、属性情報生成方法及び属性識別方法 Download PDFInfo
- Publication number
- JP7221170B2 JP7221170B2 JP2019158215A JP2019158215A JP7221170B2 JP 7221170 B2 JP7221170 B2 JP 7221170B2 JP 2019158215 A JP2019158215 A JP 2019158215A JP 2019158215 A JP2019158215 A JP 2019158215A JP 7221170 B2 JP7221170 B2 JP 7221170B2
- Authority
- JP
- Japan
- Prior art keywords
- payload
- feature amount
- attribute
- feature
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本開示は、属性情報生成装置、属性識別装置、属性情報生成方法及び属性識別方法に関する。
悪意を持った攻撃者によって行われる通信(以下では「悪性通信」呼ぶことがある)を検出するための種々の技術が存在する。例えば、パケットのデータサイズやパケット数等の統計量、TCP/IP(Transmission Control Protocol/Internet Protocol)のヘッダ情報、または、アプリケーションプロトコルに固有の情報等を使用して悪性通信を検出する技術が提案されている。
ここで、暗号化された通信(以下では「暗号化通信」と呼ぶことがある)における悪性通信の検出は、パケット中の暗号化されない領域(以下では「非暗号化領域」と呼ぶことがある)を用いて行われるものと、パケット中の暗号化される領域(以下では「暗号化領域」と呼ぶことがある)を用いて行われるものとに大別される。
非暗号化領域を用いて行われる検出方法の一つに、SSL/TLS(Secure Socket Layer/Transport Layer Security)フィンガープリンティングを用いたものがある。SSL/TLSフィンガープリンティングを用いた検出では、SSL/TLSのハンドシェイク時に通信端末間で交換されるパラメータ情報から予め生成されたフィンガープリント情報と、通信端末間で通信中のパケットの非暗号化領域から生成される情報とが照合されることにより、パケットの送信側の通信端末(以下では「送信側端末」と呼ぶことがある)で用いられているOS(Operating System)やアプリケーションが識別される。
一方で、暗号化領域を用いて行われる検出方法の一つに、暗号化領域におけるエントロピーを用いて暗号化の有無を判定するものがある。
非暗号化領域のパラメータの変更は容易であるため、SSL/TLSフィンガープリンティングを用いた検出では、攻撃者は、非暗号化領域のパラメータを偽装することにより、悪性通信の検出を回避することが可能である。
一方で、暗号化領域におけるエントロピーを用いた検出では、偽装に対する耐性はあるものの、送信側端末で用いられているOSやアプリケーションを識別することは困難である。
そこで、本開示は、偽装への耐性を持ちつつパケットの送信元の属性を識別可能な技術を提案する。
本開示における属性情報生成装置は、算出部と、生成部とを有する。前記算出部は、ヘッダと暗号化されたペイロードとを含むパケットの中の前記ペイロードを用いてデータの乱数性に関する特徴量を算出する。前記生成部は、算出された前記特徴量と、前記パケットの送信元の属性との対応付けを示す情報を生成する。
また、本開示における属性識別装置は、算出部と、識別部とを有する。前記算出部は、ヘッダと暗号化されたペイロードとを含むパケットの中の前記ペイロードを用いてデータの乱数性に関する特徴量を算出する。前記識別部は、算出された前記特徴量に基づいて、前記パケットの送信元の属性を識別する。
開示の技術によれば、偽装への耐性を持ちつつパケットの送信元の属性を識別することができる。
以下、本開示の実施例を図面に基づいて説明する。以下の実施例において同一の構成には同一の符号を付す。
<通信システムの構成>
図1は、本開示の通信システムの構成例を示す図である。図1において、通信システム1は、通信端末2,3と、通信監視システム4とを有する。通信監視システム4は、通信端末2と通信端末3との間の通信経路上に設置され、パケット収集装置5と、通信監視装置6とを有する。例えば、通信端末2はパケットの送信側の通信端末であり、通信端末3は、通信端末2から送信されたパケットの受信側の通信端末である。つまり、通信端末2は、通信端末3が受信するパケットの送信元である。また、通信端末2と通信端末3とは暗号化通信を行う。
図1は、本開示の通信システムの構成例を示す図である。図1において、通信システム1は、通信端末2,3と、通信監視システム4とを有する。通信監視システム4は、通信端末2と通信端末3との間の通信経路上に設置され、パケット収集装置5と、通信監視装置6とを有する。例えば、通信端末2はパケットの送信側の通信端末であり、通信端末3は、通信端末2から送信されたパケットの受信側の通信端末である。つまり、通信端末2は、通信端末3が受信するパケットの送信元である。また、通信端末2と通信端末3とは暗号化通信を行う。
パケット収集装置5は、通信端末2と通信端末3との間の通信経路上に設置され、通信端末2から通信端末3へ送信されるパケットを収集し、収集したパケットを通信監視装置6へ送信する。
なお、通信監視システム4を通信端末2と通信端末3との間の通信経路上に設置することに代えて、トラフィックの複製(つまり「ミラーリング」)が可能な装置(以下では「ミラーリング装置」と呼ぶことがある)を通信端末2と通信端末3との間の通信経路上に設置し、ミラーリング装置によって複製されたパケットをパケット収集装置5が収集しても良い。これにより、通信端末2と通信端末3との間の通信経路上に通信監視システム4が存在しなくなるため、通信監視システム4が故障した場合でも、通信端末2と通信端末3との間の通信を正常に継続することができる。
<通信監視装置の構成>
図2は、本開示の通信監視装置の構成例を示す図である。図2において、通信監視装置6は、属性情報生成装置10と、属性識別装置20とを有する。属性情報生成装置10は、ペイロード抽出部11と、特徴量算出部12と、属性情報生成部13とを有する。特徴量算出部12は、特徴量A算出部12-1と、特徴量B算出部12-2と、特徴量C算出部12-3とを有する。一方で、属性識別装置20は、ペイロード抽出部21と、特徴量算出部22と、属性識別部23と、記憶部24とを有する。特徴量算出部22は、特徴量A算出部22-1と、特徴量B算出部22-2と、特徴量C算出部22-3とを有する。
図2は、本開示の通信監視装置の構成例を示す図である。図2において、通信監視装置6は、属性情報生成装置10と、属性識別装置20とを有する。属性情報生成装置10は、ペイロード抽出部11と、特徴量算出部12と、属性情報生成部13とを有する。特徴量算出部12は、特徴量A算出部12-1と、特徴量B算出部12-2と、特徴量C算出部12-3とを有する。一方で、属性識別装置20は、ペイロード抽出部21と、特徴量算出部22と、属性識別部23と、記憶部24とを有する。特徴量算出部22は、特徴量A算出部22-1と、特徴量B算出部22-2と、特徴量C算出部22-3とを有する。
ペイロード抽出部11,21、特徴量算出部12,22、属性情報生成部13及び属性識別部23は、ハードウェアとして、例えばプロセッサにより実現される。プロセッサの一例として、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、FPGA(Field Programmable Gate Array)等が挙げられる。また、記憶部24は、ハードウェアとして、例えば、メモリまたはディスクドライブにより実現される。メモリの一例として、SDRAM(Synchronous Dynamic Random Access Memory)等のRAM(Random Access Memory)、フラッシュメモリ等が挙げられる。ディスクドライブの一例として、HDD(Hard Disk Drive)、SSD(Solid State Drive)等が挙げられる。
属性情報生成装置10において、ペイロード抽出部11には、パケット収集装置5によって収集されたパケットが入力される。
ペイロード抽出部11は、入力されたパケットの中から暗号化されたペイロード(以下では「暗号化ペイロード」と呼ぶことがある)を抽出し、抽出した暗号化ペイロードを特徴量算出部12へ出力する。
また、暗号化された1つのデータが複数の暗号化ペイロードに分割されて複数のパケットに格納されている場合には、ペイロード抽出部11は、それらの複数のパケットの各々から複数の暗号化ペイロードを抽出し、抽出した複数の暗号化ペイロードを結合し、結合後の暗号化ペイロードを特徴量算出部12へ出力する。
特徴量算出部12は、暗号化ペイロードを用いて、データの乱数性に関する特徴量(以下では「乱数的特徴量」と呼ぶことがある)を算出する。
特徴量算出部12は、例えば、NIST SP800-22にて定義されている乱数検定手法等、データの乱数性を検定する手法を用いて乱数的特徴量を算出する。例えば、NIST SP800-22の検定手法の一つであるMonobit testでは、データのビット列における0,1の偏りからデータの乱数性が判定される。真の乱数では0の数と1の数とがほぼ同数になるという性質があるため、Monobit testでは、データのビット列における0の個数と1の個数との差分値(以下では「個数差分値」と呼ぶことがある)が真の乱数を仮定したときの分布の範囲に含まれる確率(つまり「有意確率」)を求め、有意確率が予め定めた閾値(つまり「有意水準」)以上であるか否かに従ってデータが乱数であるか否かを判定する。
そこで、特徴量算出部12は、Monobit testの有意確率、個数差分値、有意確率をビット列のビット数で正規化した値、または、個数差分値をビット列のビット数で正規化した値等を乱数的特徴量として算出する。特徴量算出部12において、特徴量A算出部12-1と、特徴量B算出部12-2と、特徴量C算出部12-3とは、互いに異なる種類の乱数的特徴量A,B,Cをそれぞれ算出する。なお、特徴量算出部12が乱数的特徴量の算出に用いる検定手法はMonobit testに限定されない。例えば、特徴量算出部12は、NIST SP800-22にて定義されているその他の検定手法や、CRYPTRECが定める擬似乱数検定のためのミニマムセットにて定義される検定手法等を用いて乱数的特徴量を算出しても良い。
特徴量A算出部12-1によって算出された乱数的特徴量A、特徴量B算出部12-2によって算出された乱数的特徴量B、及び、特徴量C算出部12-3によって算出された乱数的特徴量Cは、属性情報生成部13へ入力される。
属性情報生成部13は、特徴量算出部12によって算出された乱数的特徴量と、パケットの送信元である通信端末2の属性(以下では「送信元属性」と呼ぶことがある)との対応付けを示す情報(以下では「特徴量対属性情報」と呼ぶことがある)を生成し、生成した特徴量対属性情報を記憶部24に記憶させる。
一方で、属性識別装置20において、ペイロード抽出部21で行われる処理はペイロード抽出部11で行われる上記の処理と同一であり、特徴量算出部22で行われる処理は特徴量算出部12で行われる上記の処理と同一である。よって、ペイロード抽出部21及び特徴量算出部22についての説明は省略する。特徴量A算出部22-1によって算出された乱数的特徴量A、特徴量B算出部22-2によって算出された乱数的特徴量B、及び、特徴量C算出部22-3によって算出された乱数的特徴量Cは、属性識別部23へ入力される。
属性識別部23は、特徴量算出部22によって算出された乱数的特徴量に基づいて、記憶部24に記憶されている特徴量対属性情報を参照することにより送信元属性を識別し、識別結果を出力する。
<通信監視装置の動作>
図3~図6は、本開示の通信監視装置の動作例の説明に供する図である。以下、属性情報生成装置10の動作例と、属性識別装置20の動作例とに分けて説明する。
図3~図6は、本開示の通信監視装置の動作例の説明に供する図である。以下、属性情報生成装置10の動作例と、属性識別装置20の動作例とに分けて説明する。
<属性情報生成装置の動作>
ペイロード抽出部11には、図3に示すような構成を採るパケットが入力される。図3に示すパケットは、ヘッダとアプリケーションデータとを含む。ヘッダは、IPヘッダとTCPヘッダとを含む。アプリケーションデータは、暗号化ペイロードを含む。IPヘッダ及びTCPヘッダは非暗号化領域に該当し、暗号化ペイロードは暗号化領域に該当する。また、アプリケーションデータにおいて、暗号化ペイロード以外の部分は非暗号化領域に該当する。
ペイロード抽出部11には、図3に示すような構成を採るパケットが入力される。図3に示すパケットは、ヘッダとアプリケーションデータとを含む。ヘッダは、IPヘッダとTCPヘッダとを含む。アプリケーションデータは、暗号化ペイロードを含む。IPヘッダ及びTCPヘッダは非暗号化領域に該当し、暗号化ペイロードは暗号化領域に該当する。また、アプリケーションデータにおいて、暗号化ペイロード以外の部分は非暗号化領域に該当する。
ペイロード抽出部11は、図3に示すパケットから暗号化ペイロードを抽出し、抽出した暗号化ペイロードを特徴量A算出部12-1、特徴量B算出部12-2及び特徴量C算出部12-3へ出力する。ペイロード抽出部11は、通信端末2と通信端末3との間の複数のセッションの各々においてパケットから暗号化ペイロードを抽出する。以下では、通信端末2と通信端末3との間に、セッションα,β,γの3つのセッションが存在する場合を一例に挙げて説明する。
特徴量算出部12は、同一の暗号化ペイロードから複数種類の乱数的特徴量A,B,Cを算出する。すなわち、特徴量A算出部12-1は、乱数的特徴量Aとして、例えば、Monobit testの有意確率を算出する。特徴量B算出部12-2は、乱数的特徴量Bとして、例えば、暗号化ペイロードを形成する全ビットにおける0の個数を、暗号化ペイロードのビット長の平方根で除した値、つまり、0の個数をビット長で正規化した値を算出する。特徴量C算出部12-3は、乱数的特徴量Cとして、例えば、暗号化ペイロードを形成する全ビットにおける0の個数と1の個数との差分値を、暗号化ペイロードのビット長の平方根で除した値、つまり、個数差分値をビット長で正規化した値を算出する。このように、暗号化ペイロードのビット長によって正規化された乱数的特徴量が算出されることにより、暗号化ペイロードのデータサーズによる影響を排除することができる。
なお、データサイズが大きくなると、特徴量算出部12での計算量が増大するため、ペイロード抽出部11が抽出する暗号化ペイロードのデータサイズに上限値を設け、ペイロード抽出部11は上限値以下のデータサイズを有する暗号化ペイロードのみを抽出しても良い。
記憶部24には、図4に示すように、通信端末2と通信端末3との間のセッションと、複数種類の送信元属性との対応付けを示す情報(以下では「セッション対属性情報」と呼ぶことがある)が予め記憶されている。セッション対属性情報は、通信監視装置6のオペレータによって予め設定される。複数種類の送信元属性の一例として、図4に示すように、通信端末2が使用可能なOS、通信端末2がデータを暗号化する際に使用可能な暗号化アプリケーション、及び、通信端末2がデータを暗号化する際に使用可能な暗号化アルゴリズムが挙げられる。
図4におけるセッション対属性情報では、セッションαで使用されるOSがLinux 3.10(Linux:登録商標)、セッションαで使用される暗号化アプリケーションがOpenSSL 1.1.1b、セッションαで使用される暗号化アルゴリズムがAES256であることが示されている。また、セッションβで使用されるOSがWindows10(Windows:登録商標)、セッションβで使用される暗号化アプリケーションがOpenSSL 1.1.1a、セッションβで使用される暗号化アルゴリズムがCHACHA20-POLY1305であることが示されている。また、セッションγで使用されるOSがLinux 3.14(Linux:登録商標)、セッションγで使用される暗号化アプリケーションがOpenSSL 1.1.1a、セッションγで使用される暗号化アルゴリズムがAES256であることが示されている。つまり、図4におけるセッション対属性情報では、セッションαに対して、Linux 3.10(Linux:登録商標)、OpenSSL 1.1.1b及びAES256の複数種類の送信元属性の組合せC1が対応付けられ、セッションβに対して、Windows10(Windows:登録商標)、OpenSSL 1.1.1a及びCHACHA20-POLY1305の複数種類の送信元属性の組合せC2が対応付けられ、セッションγに対して、Linux 3.14(Linux:登録商標)、OpenSSL 1.1.1a及びAES256の複数種類の送信元属性の組合せC3が対応付けられている。
特徴量A算出部12-1では、セッションα,β,γの各セッション毎に、互いに異なる複数のパケットの複数の暗号化ペイロードを用いて複数の乱数的特徴量Aが算出される。また、特徴量B算出部12-2では、セッションα,β,γの各セッション毎に、互いに異なる複数のパケットの複数の暗号化ペイロードを用いて複数の乱数的特徴量Bが算出される。また、特徴量C算出部12-3では、セッションα,β,γの各セッション毎に、互いに異なる複数のパケットの複数の暗号化ペイロードを用いて複数の乱数的特徴量Cが算出される。
ここで、一例として、セッションαにおいて所定時間に算出された複数の乱数的特徴量Aの最小値が0.45で最大値が0.53であり、セッションβにおいて所定時間に算出された複数の乱数的特徴量Aの最小値が0.0で最大値が0.1であり、セッションγにおいて所定時間に算出された複数の乱数的特徴量Aの最小値が0.48で最大値が0.60であったものとする。また一例として、セッションαにおいて所定時間に算出された複数の乱数的特徴量Bの最小値が32.2で最大値が46.9であり、セッションβにおいて所定時間に算出された複数の乱数的特徴量Bの最小値が49.1で最大値が50.2であり、セッションγにおいて所定時間に算出された複数の乱数的特徴量Bの最小値が44.3で最大値が48.2であったものとする。また一例として、セッションαにおいて所定時間に算出された複数の乱数的特徴量Cの最小値が23.4で最大値が30.0であり、セッションβにおいて所定時間に算出された複数の乱数的特徴量Cの最小値が0.00で最大値が0.05であり、セッションγにおいて所定時間に算出された複数の乱数的特徴量Cの最小値が22.9で最大値が29.0であったものとする。
そこで、属性情報生成部13は、図5に示すように、乱数的特徴量Aが0.45以上0.53以下である範囲と、乱数的特徴量Bが32.2以上46.9以下である範囲と、乱数的特徴量Cが23.4以上30.0以下である範囲との組合せCXを生成する。また、属性情報生成部13は、乱数的特徴量Aが0.0以上0.1以下である範囲と、乱数的特徴量Bが49.1以上50.2以下である範囲と、乱数的特徴量Cが0.00以上0.05以下である範囲との組合せCYを生成する。また、属性情報生成部13は、乱数的特徴量Aが0.48以上0.60以下である範囲と、乱数的特徴量Bが44.3以上48.2以下である範囲と、乱数的特徴量Cが22.9以上29.0以下である範囲との組合せCZを生成する。
そして、属性情報生成部13は、記憶部24に記憶されているセッション対属性情報(図4)を参照し、組合せCXに組合せC1を対応付け、組合せCYに組合せC2を対応付け、かつ、組合せCZに組合せC3を対応付けることにより、図5に示すような特徴量対属性情報を生成する。つまり、特徴量対属性情報では、特徴量算出部12によって算出された複数種類の乱数的特徴量A,B,Cの組合せと、複数種類の送信元属性の組合せとの対応付けが示されている。生成された特徴量対属性情報は記憶部24に記憶される。
<属性識別装置の動作>
ペイロード抽出部21には、図3に示すような構成を採るパケットが入力される。ペイロード抽出部21は、図3に示すパケットから暗号化ペイロードを抽出し、抽出した暗号化ペイロードを特徴量A算出部22-1、特徴量B算出部22-2及び特徴量C算出部22-3へ出力する。ペイロード抽出部21は、ペイロード抽出部11と同様に、通信端末2と通信端末3との間の複数のセッションα,β,γの各々においてパケットから暗号化ペイロードを抽出する。
ペイロード抽出部21には、図3に示すような構成を採るパケットが入力される。ペイロード抽出部21は、図3に示すパケットから暗号化ペイロードを抽出し、抽出した暗号化ペイロードを特徴量A算出部22-1、特徴量B算出部22-2及び特徴量C算出部22-3へ出力する。ペイロード抽出部21は、ペイロード抽出部11と同様に、通信端末2と通信端末3との間の複数のセッションα,β,γの各々においてパケットから暗号化ペイロードを抽出する。
特徴量算出部22は、特徴量算出部12と同様に、同一の暗号化ペイロードから複数種類の乱数的特徴量A,B,Cを算出する。すなわち、特徴量A算出部22-1は、特徴量A算出部12-1と同様に、乱数的特徴量Aを算出する。特徴量B算出部22-2は、特徴量B算出部12-2と同様に、乱数的特徴量Bを算出する。特徴量C算出部22-3は、特徴量C算出部12-3と同様に、乱数的特徴量Cを算出する。同一の暗号化ペイロードからそれぞれ算出された複数種類の乱数的特徴量A,B,Cの組合せ(以下では「特徴量セット」と呼ぶことがある)が特徴量算出部22から属性識別部23へ入力される。
属性識別部23は、入力された特徴量セットに基づいて、記憶部24に記憶されている特徴量対属性情報(図5)を参照することにより、送信元属性を識別する。例えば、属性識別部23に入力される特徴量セットにおいて、乱数的特徴量Aが0.49であり、乱数的特徴量Bが45.2であり、乱数的特徴量Cが25.0である場合、乱数的特徴量Aの0.49は、0.45以上0.53以下の範囲にあるとともに0.48以上0.60以下の範囲にあり、乱数的特徴量Bの45.2は、32.2以上46.9以下の範囲にあるとともに44.3以上48.2以下の範囲にあり、乱数的特徴量Cの25.0は、23.4以上30.0以下の範囲にあるとともに22.9以上29.0以下の範囲にある。よって、乱数的特徴量Aが0.49であり、乱数的特徴量Bが45.2であり、かつ、乱数的特徴量Cが25.0である特徴量セットは、図5に示す特徴量対属性情報おいて、組合せCXと組合せCZとの2つの組合せに該当する。そこで、属性識別部23は、図6に示すように、図5において組合せCXに対応する組合せC1を送信元属性の第一候補として識別するとともに、図5において組合せCZに対応する組合せC3を送信元属性の第二候補として識別する。そして、属性識別部23は、識別結果の第一候補及び第二候補(つまり、組合せC1及び組合せC3)を出力する。
なお、属性情報生成部13は、特徴量算出部12によって算出される乱数的特徴量A,B,Cを教師データとする機械学習によって、図5に示すような組合せCX,CY,CZと組合せC1,C2,C3との対応関係を学習した学習済みモデルを生成しても良い。そして、属性識別部23は、特徴量算出部22によって算出される乱数的特徴量A,B,Cを属性情報生成部13によって生成された学習済みモデルに入力することにより、学習済みモデルの出力を送信元属性の識別結果として取得しても良い。
<通信監視装置における処理>
以下、属性情報生成装置10における処理と、属性識別装置20における処理とに分けて説明する。
以下、属性情報生成装置10における処理と、属性識別装置20における処理とに分けて説明する。
<属性情報生成装置における処理>
図7は、本開示の属性情報生成装置における処理手順の一例を示すフローチャートである。
図7は、本開示の属性情報生成装置における処理手順の一例を示すフローチャートである。
図7において、ステップST101では、ペイロード抽出部11が、パケットの中から暗号化ペイロードを抽出する。
次いで、ステップST103では、特徴量算出部12が、ペイロード抽出部11によって抽出された暗号化ペイロードを用いて、乱数的特徴量を算出する。
次いで、ステップST105では、属性情報生成部13が、特徴量算出部12によって算出された乱数的特徴量と、記憶部24に記憶されているセッション対属性情報とを用いて、特徴量対属性情報を生成する。生成された特徴量対属性情報は、記憶部24に記憶される。
<属性識別装置における処理>
図8は、本開示の属性識別装置における処理手順の一例を示すフローチャートである。
図8は、本開示の属性識別装置における処理手順の一例を示すフローチャートである。
図8において、ステップST201では、ペイロード抽出部21が、パケットの中から暗号化ペイロードを抽出する。
次いで、ステップST203では、特徴量算出部22が、ペイロード抽出部21によって抽出された暗号化ペイロードを用いて、乱数的特徴量を算出する。
次いで、ステップST205では、属性識別部23が、特徴量算出部22によって算出された乱数的特徴量に基づいて特徴量対属性情報を参照することにより、送信元属性を識別する。
以上のように、属性情報生成装置10は、特徴量算出部12と、属性情報生成部13とを有する。特徴量算出部12は、ヘッダと暗号化ペイロードとを含むパケットの中の暗号化ペイロードを用いて乱数的特徴量を算出する。属性情報生成部13は、特徴量算出部12によって算出された乱数的特徴量と送信元属性との対応付けを示す情報を生成する。
これに対し、属性識別装置20は、特徴量算出部22と、属性識別部23とを有する。特徴量算出部22は、特徴量算出部12と同様に、ヘッダと暗号化ペイロードとを含むパケットの中の暗号化ペイロードを用いて乱数的特徴量を算出する。属性識別部23は、特徴量算出部22によって算出された乱数的特徴量に基づいて送信元属性を識別する。
暗号化領域である暗号化ペイロードのビット列を操作することは困難であるため、こうすることで、偽装への耐性を持ちつつ送信元属性を識別することができる。
また、特徴量算出部12は、同一の暗号化ペイロードから複数種類の乱数的特徴量A,B,Cを算出する。属性情報生成部13は、特徴量算出部12によって算出された複数種類の乱数的特徴量A,B,Cの組合せと、複数種類の送信元属性の組合せとの対応付けを示す情報を生成する。
これに対し、特徴量算出部22は、特徴量算出部12と同様に、同一の暗号化ペイロードから複数種類の乱数的特徴量A,B,Cを算出する。属性識別部23は、特徴量算出部22によって算出された複数種類の乱数的特徴量A,B,Cの組合せに基づいて、複数種類の送信元属性の組合せを識別する。
こうすることで、偽装への耐性を持ちつつ詳細な送信元属性を識別することができる。
また、属性情報生成装置10は、ペイロード抽出部11を有する。ペイロード抽出部11は、パケットから暗号化ペイロードを抽出する。特徴量算出部12は、ペイロード抽出部11によって抽出された暗号化ペイロードを用いて乱数的特徴量を算出する。
また、属性識別装置20は、ペイロード抽出部21を有する。ペイロード抽出部21は、ペイロード抽出部11と同様に、パケットから暗号化ペイロードを抽出する。特徴量算出部22は、ペイロード抽出部21によって抽出された暗号化ペイロードを用いて乱数的特徴量を算出する。
パケット中の非暗号化領域は乱数性が低いため、このようにして乱数的特徴量の算出対象から非暗号化領域を除外することで、特徴量算出部12,22によって算出される乱数的特徴量の精度の低下を防止することができる。
なお、ペイロード抽出部11で行われる処理とペイロード抽出部21で行われる処理とは同一であるため、通信監視装置6は、ペイロード抽出部11,21の何れか一方のみを有しても良い。また、特徴量算出部12で行われる処理と特徴量算出部22で行われる処理とは同一であるため、通信監視装置6は、特徴量算出部12,22の何れか一方のみを有しても良い。つまり、属性情報生成装置10と属性識別装置20とが、ペイロード抽出部11またはペイロード抽出部21の何れか一方を共用しても良く、また、特徴量算出部12または特徴量算出部22の何れか一方を共用しても良い。
また、通信監視装置6での上記説明における各処理の全部または一部は、各処理に対応するプログラムをプロセッサに実行させることによって実現しても良い。例えば、上記説明における各処理に対応するプログラムが記憶部24に記憶され、プログラムがプロセッサによって記憶部24から読み出されて実行されても良い。また、プログラムは、任意のネットワークを介して通信監視装置6に接続されたプログラムサーバに記憶され、そのプログラムサーバから通信監視装置6にダウンロードされて実行されたり、通信監視装置6が読み取り可能な記録媒体に記憶され、その記録媒体から読み出されて実行されても良い。通信監視装置6が読み取り可能な記録媒体の一例として、メモリカード、USBメモリ、SDカード、フレキシブルディスク、光磁気ディスク、CD-ROM、DVD、及び、Blu-ray(登録商標)ディスク等の可搬の記憶媒体が挙げられる。
6 通信監視装置
10 属性情報生成装置
20 属性識別装置
11,21 ペイロード抽出部
12,22 特徴量算出部
13 属性情報生成部
23 属性識別部
24 記憶部
10 属性情報生成装置
20 属性識別装置
11,21 ペイロード抽出部
12,22 特徴量算出部
13 属性情報生成部
23 属性識別部
24 記憶部
Claims (6)
- ヘッダと暗号化されたペイロードとを含むパケットの中の前記ペイロードを用いてデータの乱数性に関する特徴量を算出する際に、複数のセッションの各セッション毎に、互いに異なる複数のパケットの複数の前記ペイロードを用いて複数種類の前記特徴量を算出する算出部と、
算出された複数種類の前記特徴量の各特徴量毎の最大値及び最小値と、前記パケットの送信元の属性との対応付けを示す情報を生成する生成部と、
を具備する属性情報生成装置。 - 前記パケットから前記ペイロードを抽出する抽出部、をさらに具備し、
前記算出部は、抽出された前記ペイロードを用いて前記特徴量を算出する、
請求項1に記載の属性情報生成装置。 - ヘッダと暗号化されたペイロードとを含むパケットの中の前記ペイロードを用いてデータの乱数性に関する特徴量を算出する際に、複数のセッションの各セッション毎に、互いに異なる複数のパケットの複数の前記ペイロードを用いて複数種類の前記特徴量を算出する算出部と、
算出された複数種類の前記特徴量と、各特徴量毎の最大値及び最小値との比較結果に基づいて、前記パケットの送信元の属性を識別する識別部と、
を具備する属性識別装置。 - 前記パケットから前記ペイロードを抽出する抽出部、をさらに具備し、
前記算出部は、抽出された前記ペイロードを用いて前記特徴量を算出する、
請求項3に記載の属性識別装置。 - プロセッサが、ヘッダと暗号化されたペイロードとを含むパケットの中の前記ペイロードを用いてデータの乱数性に関する特徴量を算出する際に、複数のセッションの各セッション毎に、互いに異なる複数のパケットの複数の前記ペイロードを用いて複数種類の前記特徴量を算出し、
前記プロセッサが、算出した複数種類の前記特徴量の各特徴量毎の最大値及び最小値と、前記パケットの送信元の属性との対応付けを示す情報を生成する、
属性情報生成方法。 - プロセッサが、ヘッダと暗号化されたペイロードとを含むパケットの中の前記ペイロードを用いてデータの乱数性に関する特徴量を算出する際に、複数のセッションの各セッション毎に、互いに異なる複数のパケットの複数の前記ペイロードを用いて複数種類の前記特徴量を算出し、
前記プロセッサが、算出した複数種類の前記特徴量と、各特徴量毎の最大値及び最小値との比較結果に基づいて、前記パケットの送信元の属性を識別する、
属性識別方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019158215A JP7221170B2 (ja) | 2019-08-30 | 2019-08-30 | 属性情報生成装置、属性識別装置、属性情報生成方法及び属性識別方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019158215A JP7221170B2 (ja) | 2019-08-30 | 2019-08-30 | 属性情報生成装置、属性識別装置、属性情報生成方法及び属性識別方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021036654A JP2021036654A (ja) | 2021-03-04 |
| JP7221170B2 true JP7221170B2 (ja) | 2023-02-13 |
Family
ID=74716732
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019158215A Active JP7221170B2 (ja) | 2019-08-30 | 2019-08-30 | 属性情報生成装置、属性識別装置、属性情報生成方法及び属性識別方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7221170B2 (ja) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011205197A (ja) | 2010-03-24 | 2011-10-13 | Hitachi Ltd | P2p端末検知装置、p2p端末検知方法、およびp2p端末検知システム |
| CN105721242A (zh) | 2016-01-26 | 2016-06-29 | 国家信息技术安全研究中心 | 一种基于信息熵的加密流量识别方法 |
-
2019
- 2019-08-30 JP JP2019158215A patent/JP7221170B2/ja active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011205197A (ja) | 2010-03-24 | 2011-10-13 | Hitachi Ltd | P2p端末検知装置、p2p端末検知方法、およびp2p端末検知システム |
| CN105721242A (zh) | 2016-01-26 | 2016-06-29 | 国家信息技术安全研究中心 | 一种基于信息熵的加密流量识别方法 |
Non-Patent Citations (2)
| Title |
|---|
| CASINO, F., et al.,HEDGE: Efficient Traffic Classification of Encrypted and Compressed Packets,arXiv,1905.11873v1,[online],2019年05月28日,pp.1-24,URL:https://arxiv.org/abs/1905.11873v1 |
| TANG, Z., et al.,ENTROPY-BASED FEATURE EXTRACTION ALGORITHM FOR ENCRYPTED AND NON-ENCRYPTED COMPRESSED TRAFFIC CLASSIFICATION,International Journal of Innovative Computing, Information and Control,2019年06月,Vol.15 No.3,pp.845-860 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2021036654A (ja) | 2021-03-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3602999B1 (en) | Initialisation vector identification for encrypted malware traffic detection | |
| KR102665929B1 (ko) | 물리적으로 복제 불가능한 기능의 원격 재등록 | |
| EP3272095B1 (en) | Malicious encrypted network traffic identification using fourier transform | |
| EP3272096B1 (en) | Learned profiles for malicious encrypted network traffic identification | |
| US10171244B2 (en) | Increased communication security | |
| US10932017B2 (en) | Network telemetry with byte distribution and cryptographic protocol data elements | |
| US11126718B2 (en) | Method for decrypting data encrypted by ransomware | |
| US10237260B2 (en) | Increased communication security | |
| US20200050760A1 (en) | Initialization vector identification for malware detection | |
| US9602486B2 (en) | Increased communication security | |
| US9419979B2 (en) | Increased communication security | |
| US9426148B2 (en) | Increased communication security | |
| US20150281254A1 (en) | Increased communication security | |
| JP7221170B2 (ja) | 属性情報生成装置、属性識別装置、属性情報生成方法及び属性識別方法 | |
| EP4145768A1 (en) | Inline detection of encrypted malicious network sessions | |
| US20210049308A1 (en) | Tamper-resistant data encoding for mobile devices | |
| Faiqurahman et al. | Password authenticated key exchange protocol for secure communication channel in modern honey network | |
| JP3750803B2 (ja) | パケットログ記録装置 | |
| JP3797308B2 (ja) | パケットログ記録装置 | |
| JP3826399B2 (ja) | パケットログ記録装置 | |
| Chandrakar | IMAGE PROTECTED-HYPERTEXT TRANSFER PROTOCOL | |
| JP2024034363A (ja) | 不審検知装置、不審検知方法および不審検知プログラム | |
| CN114915442A (zh) | 高级持续性威胁攻击检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20211223 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220930 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20221025 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221222 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230110 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230201 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7221170 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |