JP2007228489A - アプリケーション識別システム、アプリケーション識別方法及びアプリケーション識別用プログラム - Google Patents

アプリケーション識別システム、アプリケーション識別方法及びアプリケーション識別用プログラム Download PDF

Info

Publication number
JP2007228489A
JP2007228489A JP2006049896A JP2006049896A JP2007228489A JP 2007228489 A JP2007228489 A JP 2007228489A JP 2006049896 A JP2006049896 A JP 2006049896A JP 2006049896 A JP2006049896 A JP 2006049896A JP 2007228489 A JP2007228489 A JP 2007228489A
Authority
JP
Japan
Prior art keywords
packet
application
statistic
interest
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006049896A
Other languages
English (en)
Inventor
Takayuki Shizuno
隆之 静野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2006049896A priority Critical patent/JP2007228489A/ja
Publication of JP2007228489A publication Critical patent/JP2007228489A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】トラフィック上を複数のアプリケーションのフローが混在したまま流れるネットワーク環境で、エンドツーエンドで一部のトラフィックが暗号化された場合でもアプリケーションの識別ができる技術を提供する。
【解決手段】識別対象となる注目パケットのアプリケーションを識別するアプリケーション識別システムであって、前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットの情報に基づいて統計量を算出する統計量演算手段と、前記統計量演算手段により演算した統計量と前記アプリケーション候補のアプリケーション情報とを比較して、前記近隣パケットのアプリケーション候補から前記注目パケットのアプリケーション候補へと遷移する遷移確率を演算する演算手段とを有し、前記遷移確率に基づいて、前記注目パケットのアプリケーションを識別する。
【選択図】図1

Description

本発明は、アプリケーション識別システム、アプリケーション識別方法、及びプログラムに関し、特にさまざまなアプリケーションのデータが混在したままネットワーク上を流れる場合において、流れているアプリケーションの種類を識別するアプリケーション識別システム、方法、及びプログラムに関する。
インターネットを利用した電子商取引やストリーミング配信等の本格的な普及に伴い、インターネット上には益々多くのアプリケーションのフローが混在するようになってきている。
また、インターネット上には、ピア・ツー・ピア技術を用いて可能な限り多くの帯域を使用し、かつTCP/UDPポート番号を詐称して大きなデータを転送するアプリケーションも多数存在する。このようなアプリケーションを使用されたインターネットサービスプロバイダでは、提供可能な帯域の大部分を一部のユーザに使われてしまう。このため、インターネットサービスプロバイダ等では、通過するフローのうち長時間大容量のフローを発生させるものがあれば、ネットワーク管理ポリシーに従いそのフローのみを帯域制限することも珍しくない。
このとき、帯域を制限してはならない正規のフローに対して帯域制限をかけてしまうと具合が悪い。レスポンス低下やセッション断等のサービス影響が生じる可能性があるからである。そこで、この場合、影響を受けてしまう帯域を制限してはならない正規のフローなのか、或いは、帯域を制限すべき不正なフローなのかを識別するためにアプリケーションの識別が必要となる。
ここに、アプリケーションのフローとはユーザとシステム間で通信される一連のアプリケーションデータを意味し、以下単にフローと略記する場合がある。また、「トラフィック」の用語は、複数のアプリケーションフローを含むデータ全体の流れ」の意味として用いる場合がある。
さて、このアプリケーションの識別手法については、これまでもいくつかの技術が提案されてきている。
例えば、正規のアプリケーションフローの送受信IPアドレスの組み合わせと、そのフローを構成するパケットの中身を正規フローのパタンとして予め保存しておき、受信したパケットが前記正規フローのパタンと一致するかでアプリケーションの識別を行う技術がある(特許文献1)。
又、不正なフローを構成するパケットのビットパタンを予め保存しておき、受信したパケットが前記ビットパタンに一致するかでアプリケーション識別を行う技術も提案されている(特許文献2)。
しかしながら、こうした方法にはいくつかの問題があった。
例えば、TCP/UDPポート番号が詐称されてしまうとアプリケーションの識別ができなくなるという問題があった。
又、アプリケーションの識別にはビットパタンが既知である必要があった。このため、新規の不正なフローが出現する度に保守者はビットパタン指定や登録を行うなどの保守作業を行う必要があり管理者に負担がかかった。同時に、ビットパタンを登録するための記憶領域もシステム上で余分に必要となっていた。
そこで、これらの問題を解決するための技術として、最近提案された技術に以下のものがある。すなわち、ヘッダ情報に依存しないフローのパケット長平均値、パケット長分散値、パケットの到着間隔平均値、パケットの到着間隔分散値で表される統計的特徴で定義されるフローの特徴を予め保存しておき、受信したフローが前記保存しているフローの統計的特徴と一致するかでアプリケーション識別を行う技術である(非特許文献3)。
特開2004−38557号公報 特開2004−140618号公報 電子情報通信学会2005総合大会B−6−43
しかしながら、上記提案の技術においても、大きな問題があった。
例えば、エンドツーエンドで一部のトラフィックが暗号化されてしまうとアプリケーションの検出ができないという問題である。
その理由は、特許文献1と特許文献2と特許文献3とに記載されている発明は、ネットワーク上を流れるパケットを発信側と着信側のポート番号の組み合わせに分け、アプリケーション毎のフローに分離しなければアプリケーションの検出ができないためである。例えばIPSecを用いてエンドツーエンドで全てのトラフィックが暗号化されてしまうと、従来技術ではアプリケーションの識別ができないという難点があった。
従って、本発明が解決しようとする課題は、トラフィック上をさまざまなアプリケーションのフローが混在したまま流れるネットワークにおいて、エンドツーエンドで一部のトラフィックが暗号化された場合においてもアプリケーションの識別ができる技術を提供することである。
上記課題を解決するための第1の発明は、パケットに対応するアプリケーションを識別するアプリケーション識別システムであって、
少なくとも二以上の受信パケットの各々にアプリケーション候補を対応させた場合、受信パケット間でアプリケーション候補が遷移する遷移確率を、前記受信パケット及び前記アプリケーション候補の情報に基づいて算出する確率演算手段と、
前記遷移確率に基づいて、受信パケットに対応するアプリケーションを識別するアプリケーション識別手段と
を有することを特徴とする。
上記課題を解決するための第2の発明は、複数のアプリケーションのデータフローが混在するネットワーク環境において、識別対象となる注目パケットのアプリケーションを識別するアプリケーション識別システムであって、
前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいて統計量を算出する統計量演算手段と、
前記統計量演算手段により演算した統計量と前記アプリケーション候補のアプリケーション情報とを比較して、前記近隣パケットのアプリケーション候補から前記注目パケットのアプリケーション候補へと遷移する確率である遷移確率を演算する確率演算手段と、
前記遷移確率に基づいて、前記注目パケットのアプリケーションを識別するアプリケーション識別手段と
を有することを特徴とする。
上記課題を解決するための第3の発明は、複数のアプリケーションのデータフローが混在するネットワーク環境において、識別対象となる注目パケットのアプリケーションを識別するアプリケーション識別システムであって、
パケット系列のパケット情報を抽出するパケット情報抽出手段と、
前記パケット情報に基づいて、前記パケット系列に対し、注目パケット及び注目パケットの近隣のパケットをそれぞれあるアプリケーション候補に仮定し、前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいてパケット長統計量を演算するパケット長統計量演算手段と、
前記パケット情報に基づいて、前記パケット系列に対し、注目パケット及び注目パケットの近隣のパケットをそれぞれあるアプリケーション候補に仮定し、
前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいてパケット到着間隔統計量を演算するパケット到着間隔統計量演算手段と、
前記統計量演算手段により演算した統計量と前記アプリケーション候補のアプリケーション情報とを比較して、前記近隣パケットのアプリケーション候補から前記注目パケットのアプリケーション候補へと遷移する確率である遷移確率を演算する確率演算手段と、
前記遷移確率に基づいて最尤系列推定を実施しアプリケーション識別を行う最尤系列推定手段と、
識別結果を用いて前記アプリケーション候補の種別及び候補数を動的に制御するアプリケーション候補動的制御手段と、
時系列順に注目パケットを変化させてアプリケーション識別の繰り返し動作を管理する繰り返し動作管理手段と
を有することを特徴とする。
上記課題を解決するための第4の発明は、パケットに対応するアプリケーションを識別するアプリケーション識別方法であって、
少なくとも二以上の受信パケットの各々にアプリケーション候補を対応させて、受信パケット間でアプリケーション候補が遷移する遷移確率を、前記受信パケット及び前記アプリケーション候補の情報に基づいて算出する確率演算ステップと、
前記遷移確率に基づいて、受信パケットに対応するアプリケーションを識別するアプリケーション識別ステップと
を有することを特徴とする。
上記課題を解決するための第5の発明は、複数のアプリケーションのデータフローが混在するネットワーク環境において、識別対象となる注目パケットのアプリケーションを識別するアプリケーション識別方法であって、
前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいて統計量を算出する統計量演算ステップと、
前記統計量演算ステップにより演算した統計量と前記アプリケーション候補のアプリケーション情報とを比較して、前記近隣パケットのアプリケーション候補から前記注目パケットのアプリケーション候補へと遷移する確率である遷移確率を演算する遷移確率演算ステップと、
前記遷移確率に基づいて、前記注目パケットのアプリケーションを識別するアプリケーション識別ステップと
を有することを特徴とする。
上記課題を解決するための第6の発明は、複数のアプリケーションのデータフローが混在するネットワーク環境において、識別対象となる注目パケットのアプリケーションを識別するアプリケーション識別方法であって、
パケット系列のパケット情報を抽出するパケット情報抽出ステップと、
前記パケット情報に基づいて、前記パケット系列に対し、注目パケット及び注目パケットの近隣のパケットをそれぞれあるアプリケーション候補に仮定し、前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいてパケット長統計量を演算するパケット長統計量演算ステップと、
前記パケット情報に基づいて、前記パケット系列に対し、注目パケット及び注目パケットの近隣のパケットをそれぞれあるアプリケーション候補に仮定し、
前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいてパケット到着間隔統計量を演算するパケット到着間隔統計量演算ステップと、
前記統計量演算ステップにより演算した統計量と前記アプリケーション候補のアプリケーション情報とを比較して、前記近隣パケットのアプリケーション候補から前記注目パケットのアプリケーション候補へと遷移する確率である遷移確率を演算する確率演算ステップと、
前記遷移確率に基づいて最尤系列推定を実施しアプリケーション識別を行う最尤系列推定ステップと、
識別結果を用いて前記アプリケーション候補の種別及び候補数を動的に制御するアプリケーション候補動的制御ステップと、
時系列順に注目パケットを変化させてアプリケーション識別の繰り返し動作を管理する繰り返し動作管理ステップと
を有することを特徴とする。
上記課題を解決するための第7の発明は、パケットに対応するアプリケーションを識別するアプリケーション識別システムのプログラムであって、前記プログラムは前記アプリケーション識別システムを、
少なくとも二以上の受信パケットの各々にアプリケーション候補を対応させた場合、受信パケット間でアプリケーション候補が遷移する遷移確率を、前記受信パケット及び前記アプリケーション候補の情報に基づいて算出する確率演算手段と、
前記遷移確率に基づいて、受信パケットに対応するアプリケーションを識別するアプリケーション識別手段と
して機能させことを特徴とする。
上記課題を解決するための第8の発明は、複数のアプリケーションのデータフローが混在するネットワーク環境において、識別対象となる注目パケットのアプリケーションを識別するアプリケーション識別システムのプログラムであって、前記プログラムは前記システムを、
前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいて統計量を算出する統計量演算手段と、
前記統計量演算手段により演算した統計量と前記アプリケーション候補のアプリケーション情報とを比較して、前記近隣パケットのアプリケーション候補から前記注目パケットのアプリケーション候補へと遷移する確率である遷移確率を演算する確率演算手段と、
前記遷移確率に基づいて、前記注目パケットのアプリケーションを識別するアプリケーション識別手段と
して機能させることを特徴とする。
上記課題を解決するための第9の発明は、複数のアプリケーションのデータフローが混在するネットワーク環境において、識別対象となる注目パケットのアプリケーションを識別するアプリケーション識別システムのプログラムであって、前記プログラムは前記アプリケーション識別システムを、
パケット系列のパケット情報を抽出するパケット情報抽出手段と、
前記パケット情報に基づいて、前記パケット系列に対し、注目パケット及び注目パケットの近隣のパケットをそれぞれあるアプリケーション候補に仮定し、前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいてパケット長統計量を演算するパケット長統計量演算手段と、
前記パケット情報に基づいて、前記パケット系列に対し、注目パケット及び注目パケットの近隣のパケットをそれぞれあるアプリケーション候補に仮定し、前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいてパケット到着間隔統計量を演算するパケット到着間隔統計量演算手段と、
前記統計量演算手段により演算した統計量と前記アプリケーション候補のアプリケーション情報とを比較して、前記近隣パケットのアプリケーション候補から前記注目パケットのアプリケーション候補へと遷移する確率である遷移確率を演算する確率演算手段と、
前記遷移確率に基づいて最尤系列推定を実施しアプリケーション識別を行う最尤系列推定手段と、
識別結果を用いて前記アプリケーション候補の種別及び候補数を動的に制御するアプリケーション候補動的制御手段と、
時系列順に注目パケットを変化させてアプリケーション識別の繰り返し動作を管理する繰り返し動作管理手段と
して機能させることを特徴とする。
上記のように構成させたことにより、複数のアプリケーションのフローが混在するトラフィックの一部が暗号化された場合であっても、本発明により受信したパケットのアプリケーションを識別することが可能になる。
その理由は、アプリケーションのフローが混在したパケット系列に対して、関連するパケット情報に基づいて、前記パケット系列に対し、注目パケット及び注目パケットの近隣のパケットをそれぞれあるアプリケーション候補に仮定し、その組み合わせ毎のパケット長統計量演算及びパケット到着間隔統計量演算を実施しているからである。
そして、前記演算の結果として得られたパケット長統計量及びパケット到着間隔統計量と、前記アプリケーションに関するアプリケーション情報とを比較して各アプリケーション候補組み合わせの遷移確率を演算することにより前記パケット系列をアプリケーション毎のフローに振り分ける動作を、時系列順に注目パケットを変えて実施することによってパケット系列のアプリケーション識別ができるからである。
また、ひとつのアプリケーションについて複数のアプリケーション候補を確率演算の対象とすることで、同一アプリケーションのフローが複数混在するような場合であっても、パケット系列のアプリケーション識別ができるためである。
本発明の実施の形態について図を用いて説明する。
図1〜図3は本発明になるアプリケーション識別システムの第1実施形態を説明する為のもので、図1は全体のブロック図、図2はパケット情報の情報例の説明図、図3はフローチャートである。
図1を参照すると、Aは受信装置であり、複数のアプリケーションのフローが混在したトラフィックのパケット系列を受信する装置である。Bはアプリケーション識別装置であり、受信したパケット系列を構成する個々のパケットについてアプリケーションを識別し、パケット系列のアプリケーションを識別する。Cは記憶装置であり、受信したパケットに関する情報及びアプリケーションに関する情報等が保存される。Dは表示装置であり、アプリケーション識別装置Bによるアプリケーションの識別結果が表示される。
さらに、各装置の構成について図1に加え図2、図4、図7を適宜用いて説明する。
受信装置Aは受信部1を有し、受信装置に入力されるトラフィックのパケット系列が受信されると、パケット系列はアプリケーション識別装置Bに送信される。この時、パケット系列を構成する各パケットには受信装置Aがパケットを受信した時の時刻であるパケット到着時刻が付加される。
アプリケーション識別装置Bは、統計量演算部20と、パケット情報抽出部21と、確率演算部24と、最尤系列推定部25と、アプリケーション候補動的制御部26と、繰返し動作管理部27を有する。
パケット情報抽出部21は、受信装置Aで受信したパケット系列を構成する個々のパケットのパケット長及びパケット到着時刻を抽出する。そして、抽出されたパケット情報は記憶装置Cに送信される。
統計量演算部20は、受信したパケットのパケット情報に基づいて、パケット長の平均値や、パケット到着間隔平均値といったパケットに関する統計量を算出する。具体的には、統計量演算部20は、パケット長統計量演算部22と、パケット到着間隔統計量演算部23とを有する。ここでパケット情報とは、パケットの到着順を示すパケット番号と、パケット長と、パケット到着時刻と、前記アプリケーション識別の結果を示すアプリケーション識別結果等のパケットに関する情報である。尚、パケット情報の詳細については後述する。
パケット長統計量演算部22は、記憶装置Cから受信したパケット情報を用いて、注目パケットのパケット長統計量を演算する。ここで注目パケットとは、アプリケーションを識別する対象となるパケットをいう。また、パケット長統計量とは、パケット長分布、パケット長移動平均値分布、パケット長移動中央値分布、パケット長移動分散値分布、パケット長移動標準偏差分布の少なくとも1つ以上からなるものである。
パケット到着間隔統計量演算部23は、記憶装置Cから受信したパケット情報を用いて、注目パケットのパケット到着間隔統計量を演算する。ここでパケット到着間隔統計量とは、パケット到着間隔分布と、パケット到着間隔移動平均値分布と、パケット到着間隔移動中央値分布と、パケット到着間隔移動分散値分布と、パケット到着間隔移動標準偏差分布の少なくとも1つ以上からなるものである。
確率演算部24は、パケット長統計量演算部22及び到着間隔統計量演算部23とから受信した注目パケットのパケット長統計量とパケット到着間隔統計量と記憶装置Cに予め記憶された各アプリケーション候補を特徴付けるアプリケーション情報とを用いて、注目パケットのアプリケーション候補と注目パケットに近接する近隣パケットのアプリケーション候補との組毎に遷移確率を演算する。ここで、アプリケーション候補とは、識別するアプリケーションの候補をいう。また、遷移確率とは、二以上の受信パケットの各々にアプリケーション候補を対応させた場合に、受信パケット間でアプリケーション候補が変化する確率をいう。
最尤系列推定部25は、図7に示すように、遷移確率の演算結果に対して最尤系列推定を実施する。ここで、最尤系列推定とは、注目パケットの近隣パケットのアプリケーション候補から注目パケットのアプケーション候補に到達する複数の経路(パス)のうち、選択する可能性の最も高いパスを推定することである。そして、この選択する可能性の最も高いパスのことをサバイバルパスという。サバイバルパスを見つける例としては、ビタビアルゴリズムがある。また、各パスを選択する確率値をパス確率という。サバイバルパスは、遷移確率に基づいてパス毎にパス確率を計算し、パス確率が最も高いパスを残しそれ以外のパスを削除することで推定される。
アプリケーション候補動的制御部26は、最尤系列推定部25の結果を用いて前記アプリケーション候補の種別及びフロー数を動的に制御する。具体的には、あるアプリケーション候補のフローが新規に発生した場合等に対処するために、既にあるアプリケーション候補Aとは別に新たなアプリケーション候補としてアプリケーション候補Aを増加させる制御を行う。
繰返し動作管理部27は、時系列順に注目パケットを変化させて、受信したパケット系列を構成する全てのパケットについてアプリケーション識別が終了するまでアプリケーション識別動作が繰り返されるよう管理する。
次に、記憶装置Cは、パケット情報格納部31と、アプリケーション情報格納部32とを有する。
パケット情報格納部31には、受信したパケット系列を構成する個々のパケットのパケット情報が保存される。パケット情報とは、パケットを一意に特定しその特徴を示す情報であり、図2に示すように、パケット毎に、パケット情報抽出部21により抽出されたパケット長と、パケット到着時刻と、パケット情報抽出部21がパケット到着時刻に基づいて付与したパケットの受信順番を表すパケット番号と、アプリケーション識別装置Bで識別されたアプリケーションのアプリケーション識別結果とを含む。
アプリケーション情報格納部32には、アプリケーション情報が保存される。ここで、アプリケーション情報とは、アプリケーション候補となる各アプリケーションを特徴付ける情報である。そして、アプリケーション候補となるアプリケーションのフローのみがネットワーク上を流れている状況において、そのパケットに対し統計量演算を行うことで予め用意しておく。このアプリケーション情報には、パケット長統計量、パケット到着間隔統計量、アプリケーション種別等の情報が含まれる。ここで、アプリケーション種別とは、アプリケーションを特定するための情報であり、NetmeetingやWinny等といった具体的なアプリケーション名である。TCP/UDPのポート番号等のアプリケーションを特定できる情報を代わりに用いてもよい。図4を参照すると、アプリケーション情報の例としてパケット長統計量、パケット到着間隔統計量が示されている。図4の例では統計量の分布を積分すると1になるように正規化している。
また、表示装置Dの表示部4は液晶表示装置(LCD)であり、アプリケーションの識別結果を表示するためのものである。表示手段を有するものであれば、LCD以外の表示装置でもよい。
次に、上記のように構成させたアプリケーション識別システムの動作について図3のフローチャートに沿って、図2〜7を適宜用いながら説明する。
尚、以下の説明において、アプリケーション候補がA,B,Cの3種類存在するものとして説明する。また、パケット長統計量としてパケット長分布及びパケット長移動平均値分布を演算し、パケット到着間隔統計量としてパケット到着間隔分布及びパケット到着間隔移動平均値分布を演算する場合を例として説明する。
アプリケーションA,B,Cのデータフローが混在するトラフィックのパケット系列を、アプリケーション識別システムの受信装置Aの受信部1が受信すると(ステップS1)、受信装置Aがパケットを受信した時の時刻であるパケット到着時刻が各パケットに付加される。
そして、パケット情報抽出部21によって各パケットのパケット長及びパケット到着時刻の情報が抽出され、記憶装置Cのパケット情報格納部31に保存される。このとき、パケットの到着順を示すパケット番号の情報もパケット情報抽出部21によって生成され、記憶装置Cのパケット情報格納部31に保存される(ステップS2)。
次に、統計量演算部20では、ステップS2によって記憶装置Cに保存されているパケット情報に基づいて、受信したパケット系列に対し、注目パケット及び注目パケットの直前のパケットにそれぞれあるアプリケーション候補を仮定する。そして、注目パケットのアプリケーション候補と、注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいてパケット長統計量とパケット到着間隔統計量を演算する。
具体的には、まず、パケット長統計量演算部22は、パケット情報格納部31に保存されている各パケットのパケット長に関する情報を用いて、注目パケット及び注目パケットの直前のパケットについて、パケット長分布とパケット長平均をパケット長統計量として演算する(ステップS4−1)。
尚、ここではパケット長統計量としてパケット長分布とパケット長移動平均値分布とを算出しているが、これらのうちいずれか1つを算出する形でもよいし、パケット長移動中央値分布、パケット長移動分散値分布、パケット長移動標準偏差分布といったパケット長統計量を算出してもよい。
また、パケット到着間隔統計量演算部23は、パケット情報格納部31に保存されているパケット到着時刻の情報を用いて、注目パケット及び注目パケットの近隣のパケットについて、パケット到着間隔統計量としてパケット到着間隔分布及びパケット到着間隔移動平均値分布を算出する(ステップS4−2)。
尚、ここではパケット到着間隔統計量としてパケット到着間隔分布とパケット到着間隔移動平均値分布とを算出しているが、これらのうちいずれか一方を算出する形でもよいし、パケット到着間隔移動平均値分布、パケット到着間隔移動中央値分布、パケット到着間隔移動分散値分布と、パケット到着間隔移動標準偏差分布を算出してもよい。
図2では、パケット番号がnから(n−6)の場合のパケット情報を示している。パケット番号n以前のパケットのアプリケーション識別は終了しているとし、パケット番号nのひとつ前のパケット(n−1)は複数のアプリケーション候補の可能性が残されているものとする。一番確率の高いアプリケーション候補のみを残してしまうと、誤認識した場合にリカバリーが難しくなるためである。
まず、注目パケットであるパケット番号nのパケットのひとつ前のパケットを適当なアプリケーション候補に仮定する。例えばアプリケーション候補Bであると仮定する。この上で注目パケットであるパケット番号nのパケットを適当なアプリケーション候補に仮定する。例えばアプリケーション候補Aとする。この仮定の下で、パケット番号nからパスを辿っていき、以前にアプリケーション候補Aと識別されたパケットとの関係からパケット長統計量及びパケット到着間隔を演算する。具体的には、パケット番号n−4及びn−6がアプリケーション候補Aと識別されているので、l_(n)とl_(n−4)とl_(n−6)の平均値がパケット長移動平均値となる。また、t_(n)とt_(n−4)との差及びt_(n−4)とt_(n−6)との差の平均値がパケット到着間隔移動平均値となる。
これらの統計量を過去どの程度のパケットを演算に含めるかはパラメータとする。多くのパケットを演算に含めれば統計的情報が増えるので信頼性が向上する。一方仮に誤識別してしまった場合、その情報を長い間引きずってしまう可能性もある。このパラメータは識別対象とするトラフィックの特性に合わせ調整することが望ましい。
これらの演算を注目パケットであるパケット番号nのアプリケーション候補の仮定を変えていき、全てのアプリケーション候補について実施する。さらに注目パケットであるパケット番号nのひとつ前のパケットの仮定も変え、遷移する可能性のある全ての組みについて演算を実施する。尚、この仮定をする順序に制約はなく、どのアプリケーション候補から仮定し、演算してもよい。
次に、上述した統計量演算部20による演算結果であるパケット長統計量及びパケット到着間隔統計量は、確率演算部24に送信される。そして、確率演算部24は、このパケット長統計量及びパケット到着間隔統計量と、注目パケットのアプリケーション候補のアプリケーション情報とを比較することで、注目パケットの直前パケットのアプリケーション候補から注目パケットのアプリケーション候補へと遷移する確率である遷移確率を演算する(ステップS6)。
この遷移確率を演算する具体的な動作は下記の通りである。
まず、注目パケットに関するパケット長統計量(パケット長分布、パケット長移動平均値分布)及びパケット到着間隔統計量(到着間隔分布、到着間隔移動平均値分布)とアプリケーション情報のパケット長統計量及びパケット到着間隔統計量をそれぞれ比較し、どの程度一致しているか示す確率である適合率を計算する(ステップS5)。図5を参照すると、注目パケットの統計量と、アプリケーション情報を比較し適合度を求める例を示している。この例の場合パケット長が120バイトであれば適合度が0.3である。
そして、この適合度計算(ステップS5)を、注目パケットのアプリケーション候補と注目パケットの近隣パケットのアプリケーション候補の全ての組について行う。
次に、この算出した各適合度に対応する遷移確率をそれぞれ算出する。具体的には、図6に示すように、総適合度に占める適合度合計の割合を各遷移の遷移確率とする。ここで、適合度合計とは、アプリケーション候補毎の適合度の合計値であり、総適合度とは、アプリケーションA,B,Cを含めた全ての適合度の合計値である。アプリケーション情報との適合度が高い程遷移確率も高くなる。
ここで、上記の遷移確率を求める演算を(1)の式で示す。
アプリケーション候補数をA、統計量演算項目数をBとし、演算対象パケットである注目パケットのインデックスをn、注目パケットの直前のパケットの仮定のアプリケーション候補の番号をi(1≦i≦A)、演算対象パケットの仮定のアプリケーション候補の番号をj(1≦j≦A)とする。すると、iからjへの遷移確率Pn,j→jは、
Figure 2007228489
となる。ここでCn,iklとは、n−1番目のパケットの仮定がi、n番目のパケットの仮定がk、統計量演算項目インデックスがlである場合の適合度である。例えばl=パケット長分布などがある。以上が、確率演算部24が遷移確率を求めるための具体的な動作の説明である。
次に、最尤系列推定部25は、確率演算部24から受信した注目パケットのひとつ前のパケットとのアプリケーション候補組み合わせの遷移確率を基に、最尤系列推定を実施する(ステップS7)。
ここで、サバイバルパスを求める演算を(2)の式で示す。演算対象パケットである注目パケットのインデックスがn、アプリケーション候補の番号がj、iからjへの遷移確率をPn,i→jであるとすると、サバイバルパス確率Qn,jは、
Figure 2007228489
となる。ここで、max{f(x,y)|m≦y≦n}はm≦y≦nの範囲内でf(x,y)の最大値を表す関数である。
また、図7には最尤系列推定の例を示している。図7に示したように最尤系列推定とは、パケット系列に従い各パケットをアプリケーション候補に塗り分けていくことである。最尤系列推定により、誤識別を防ぐため残していた複数のアプリケーション候補が削除され、識別結果パスは1本へ収束していく。
次に、アプリケーション候補動的制御部26は、アプリケーション候補を動的に制御する(ステップS8)。すなわち、最尤系列推定の結果新しいフローが増加していた場合は該アプリケーション候補の候補数を増やし、逆にフローが減少していた場合該当アプリケーション候補の候補数を減らす。例えばアプリケーション候補Aのフローが増加したと識別された場合、さらに増えることを想定してアプリケーション候補Aの候補数を増やす。また複数あったアプリケーションBのフローが減少したと識別された場合、アプリケーション候補Bの候補数を削減する。例えば一定時間パケットを受信しなかったら、そのフローは無くなったと判定する、などの制御を行う。
次に、繰り返し動作管理部27は注目パケットを変更する。注目パケットを変更する際、パケット系列の識別が全て終了している場合は、パケット系列のアプリケーション識別結果が表示装置4により表示されて終了する(ステップS10)。パケット系列の識別が終了していない場合は、注目パケットを変更し、ステップS3に移行する。また、注目パケットを変更する際、パケット情報格納部31に最新のパケット情報を保存する(ステップS9)。
上記のように構成されたアプリケーション識別システムにより、図7に示したように、受信したパケット系列はアプリケーションフローに振り分けられる。
本実施例では、注目パケットのパケット長統計量及びパケット到着間隔統計量を用いて、注目パケットのひとつ前のパケットとのアプリケーション候補組み合わせの遷移確率を演算する場合を例にとったが、注目パケットと注目パケットのひとつ前のパケットと注目パケットのふたつ前のパケットの3つのパケット間のパケット長統計量及びパケット到着間隔統計量を用いて遷移確率を演算することもできる。あるいは、3つ以上複数のパケット間のパケット長統計量及びパケット到着間隔統計量を用いて遷移確率を演算することもできる。
また、アプリケーション情報がアプリケーション情報格納部32に保存されていないアプリケーションを受信することを想定して、アプリケーション候補にアプリケーション情報の無いアプリケーション用のアプリケーション候補を用意することもできる。
本発明になるシステムのブロック図。 パケット情報の情報例を示す図。 本発明になるアプリケーション識別のフローチャート。 アプリケーション情報の情報例を示す図。 適合度の算出例を示す図。 遷移確率の算出例を示す図。 最尤系列推定の例を示す図。
符号の説明
A 受信装置
B アプリケーション識別装置
C 記憶装置
D 表示装置
1 受信部
20 統計量演算部
21 パケット情報抽出部
22 パケット長統計量演算部
23 パケット到着間隔統計量演算部
24 確率演算部
25 最尤系列推定部
26 アプリケーション候補動的管理部
27 繰返し動作管理部
31 パケット情報格納部
32 アプリケーション情報格納部
4 表示部
特許出願人 日本電気株式会社
代 理 人 宇 高 克 己

Claims (45)

  1. パケットに対応するアプリケーションを識別するアプリケーション識別システムであって、
    少なくとも二以上の受信パケットの各々にアプリケーション候補を対応させた場合、受信パケット間でアプリケーション候補が遷移する遷移確率を、前記受信パケット及び前記アプリケーション候補の情報に基づいて算出する確率演算手段と、
    前記遷移確率に基づいて、受信パケットに対応するアプリケーションを識別するアプリケーション識別手段と
    を有することを特徴とするアプリケーション識別システム。
  2. 複数のアプリケーションのデータフローが混在するネットワーク環境において、識別対象となる注目パケットのアプリケーションを識別するアプリケーション識別システムであって、
    前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいて統計量を算出する統計量演算手段と、
    前記統計量演算手段により演算した統計量と前記アプリケーション候補のアプリケーション情報とを比較して、前記近隣パケットのアプリケーション候補から前記注目パケットのアプリケーション候補へと遷移する確率である遷移確率を演算する確率演算手段と、
    前記遷移確率に基づいて、前記注目パケットのアプリケーションを識別するアプリケーション識別手段と
    を有することを特徴とするアプリケーション識別システム。
  3. 前記アプリケーション識別手段は、前記注目パケットのアプリケーションを識別する動作を、パケット系列に対して時系列順に注目パケットを変えて実施し、前記注目パケットをアプリケーション毎のフローに振り分けることで、前記パケット系列をアプリケーションフローに振り分けるように構成されていることを特徴とする請求項2に記載のアプリケーション識別システム。
  4. 前記統計量演算手段は、
    受信したパケットのパケット情報に基づいて、前記統計量としてパケット長統計量を演算するパケット長統計量演算手段と、
    受信したパケットのパケット情報に基づいて前記統計量としてパケット到着間隔統計量を演算するパケット到着間隔統計量演算手段と
    を有することを特徴とする請求項2または請求項3に記載のアプリケーション識別システム。
  5. 前記パケット情報は、パケットの到着順を示すパケット番号と、パケット長と、パケット到着時刻と、前記アプリケーション識別手段によるアプリケーション識別の結果であるアプリケーション識別結果とからなることを特徴とする請求項2から請求項4のいずれかに記載のアプリケーション識別システム。
  6. 前記アプリケーション情報は、前記アプリケーション候補となるアプリケーションのパケットのみがネットワーク上を流れている状況においてパケットに対して統計量演算を行うことで得られるアプリケーションを特徴付ける情報であることを特徴とする請求項2から請求項5のいずれかに記載のアプリケーション識別システム。
  7. 前記アプリケーションを特徴付ける情報は、パケット長統計量と、パケット到着間隔統計量と、アプリケーション種別との少なくとも1つ以上からなることを特徴とする請求項6に記載のアプリケーション識別システム。
  8. 前記アプリケーション情報のパケット長統計量は、パケット長分布と、パケット長移動平均値分布と、パケット長移動中央値分布と、パケット長移動分散値分布と、パケット長移動標準偏差分布との少なくとも1つ以上からなることを特徴とする請求項7に記載のアプリケーション識別システム。
  9. 前記アプリケーション情報のパケット到着間隔統計量は、パケット到着間隔分布と、パケット到着間隔移動平均値分布と、パケット到着間隔移動中央値分布と、パケット到着間隔移動分散値分布と、パケット到着間隔移動標準偏差分布との少なくとも1つ以上からなることを特徴とする請求項7に記載のアプリケーション識別システム。
  10. アプリケーション候補は、識別情報によって識別されることを特徴とする請求項2から請求項9のいずれかに記載のアプリケーション識別システム。
  11. 複数のアプリケーションのデータフローが混在するネットワーク環境において、識別対象となる注目パケットのアプリケーションを識別するアプリケーション識別システムであって、
    パケット系列のパケット情報を抽出するパケット情報抽出手段と、
    前記パケット情報に基づいて、前記パケット系列に対し、注目パケット及び注目パケットの近隣のパケットをそれぞれあるアプリケーション候補に仮定し、前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいてパケット長統計量を演算するパケット長統計量演算手段と、
    前記パケット情報に基づいて、前記パケット系列に対し、注目パケット及び注目パケットの近隣のパケットをそれぞれあるアプリケーション候補に仮定し、
    前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいてパケット到着間隔統計量を演算するパケット到着間隔統計量演算手段と、
    前記統計量演算手段により演算した統計量と前記アプリケーション候補のアプリケーション情報とを比較して、前記近隣パケットのアプリケーション候補から前記注目パケットのアプリケーション候補へと遷移する確率である遷移確率を演算する確率演算手段と、
    前記遷移確率に基づいて最尤系列推定を実施しアプリケーション識別を行う最尤系列推定手段と、
    識別結果を用いて前記アプリケーション候補の種別及び候補数を動的に制御するアプリケーション候補動的制御手段と、
    時系列順に注目パケットを変化させてアプリケーション識別の繰り返し動作を管理する繰り返し動作管理手段と
    を有することを特徴とするアプリケーション識別システム。
  12. 前記パケット情報抽出手段は、受信したパケット系列を構成する個々のパケットのパケット長及びパケット到着時刻を抽出することを特徴とする請求11に記載のアプリケーション識別システム。
  13. 前記最尤系列推定手段は、前記遷移確率から最尤系列推定を実施し、前記パケット系列をアプリケーション毎のフローに振り分けることを特徴とする請求項11または請求項12に記載のアプリケーション識別システム。
  14. 前記アプリケーション候補動的制御手段は、前記最尤系列推定手段によりアプリケーション識別した結果を用いて前記アプリケーション候補の種別及びフロー数を動的に制御することを特徴とする請求項11から請求項13のいずれかに記載のアプリケーション識別システム。
  15. 前記繰り返し動作管理手段は、全てのパケットのアプリケーション識別が終了するまでアプリケーション識別動作が繰り返されるよう管理することを特徴とする請求項11から請求項14のいずれかに記載のアプリケーション識別システム。
  16. パケットに対応するアプリケーションを識別するアプリケーション識別方法であって、
    少なくとも二以上の受信パケットの各々にアプリケーション候補を対応させて、受信パケット間でアプリケーション候補が遷移する遷移確率を、前記受信パケット及び前記アプリケーション候補の情報に基づいて算出する確率演算ステップと、
    前記遷移確率に基づいて、受信パケットに対応するアプリケーションを識別するアプリケーション識別ステップと
    を有することを特徴とするアプリケーション識別方法。
  17. 複数のアプリケーションのデータフローが混在するネットワーク環境において、識別対象となる注目パケットのアプリケーションを識別するアプリケーション識別方法であって、
    前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいて統計量を算出する統計量演算ステップと、
    前記統計量演算ステップにより演算した統計量と前記アプリケーション候補のアプリケーション情報とを比較して、前記近隣パケットのアプリケーション候補から前記注目パケットのアプリケーション候補へと遷移する確率である遷移確率を演算する遷移確率演算ステップと、
    前記遷移確率に基づいて、前記注目パケットのアプリケーションを識別するアプリケーション識別ステップと
    を有することを特徴とするアプリケーション識別方法。
  18. 前記アプリケーション識別ステップは、前記注目パケットのアプリケーションを識別する動作を、パケット系列に対して時系列順に注目パケットを変えて実施し、前記注目パケットをアプリケーション毎のフローに振り分けることで、前記パケット系列をアプリケーションフローに振り分けることを特徴とする請求項17に記載のアプリケーション識別方法。
  19. 前記統計量演算ステップは、
    受信したパケットのパケット情報に基づいて、前記統計量としてパケット長統計量を演算するパケット長統計量演算ステップと、
    受信したパケットのパケット情報に基づいて前記統計量としてパケット到着間隔統計量を演算するパケット到着間隔統計量演算ステップと
    を有することを特徴とする請求項17または請求項18に記載のアプリケーション識別方法。
  20. 前記パケット情報は、パケットの到着順を示すパケット番号と、パケット長と、パケット到着時刻と、前記アプリケーション識別ステップによるアプリケーション識別の結果であるアプリケーション識別結果とからなることを特徴とする請求項17から請求項19のいずれかに記載のアプリケーション識別方法。
  21. 前記アプリケーション情報は、前記アプリケーション候補となるアプリケーションのパケットのみがネットワーク上を流れている状況においてパケットに対して統計量演算を行うことで得られるアプリケーションを特徴付ける情報であることを特徴とする請求項17から請求項20のいずれかに記載のアプリケーション識別方法。
  22. 前記アプリケーションを特徴付ける情報は、パケット長統計量と、パケット到着間隔統計量と、アプリケーション種別との少なくとも1つ以上からなることを特徴とする請求項21に記載のアプリケーション識別方法。
  23. 前記アプリケーション情報のパケット長統計量は、パケット長分布と、パケット長移動平均値分布と、パケット長移動中央値分布と、パケット長移動分散値分布と、パケット長移動標準偏差分布との少なくとも1つ以上からなることを特徴とする請求項22に記載のアプリケーション識別方法。
  24. 前記アプリケーション情報のパケット到着間隔統計量は、パケット到着間隔分布と、パケット到着間隔移動平均値分布と、パケット到着間隔移動中央値分布と、パケット到着間隔移動分散値分布と、パケット到着間隔移動標準偏差分布との少なくとも1つ以上からなることを特徴とする請求項22に記載のアプリケーション識別方法。
  25. アプリケーション候補は、識別情報によって識別されることを特徴とする請求項17から請求項24のいずれかに記載のアプリケーション識別方法。
  26. 複数のアプリケーションのデータフローが混在するネットワーク環境において、識別対象となる注目パケットのアプリケーションを識別するアプリケーション識別方法であって、
    パケット系列のパケット情報を抽出するパケット情報抽出ステップと、
    前記パケット情報に基づいて、前記パケット系列に対し、注目パケット及び注目パケットの近隣のパケットをそれぞれあるアプリケーション候補に仮定し、前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいてパケット長統計量を演算するパケット長統計量演算ステップと、
    前記パケット情報に基づいて、前記パケット系列に対し、注目パケット及び注目パケットの近隣のパケットをそれぞれあるアプリケーション候補に仮定し、
    前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいてパケット到着間隔統計量を演算するパケット到着間隔統計量演算ステップと、
    前記統計量演算ステップにより演算した統計量と前記アプリケーション候補のアプリケーション情報とを比較して、前記近隣パケットのアプリケーション候補から前記注目パケットのアプリケーション候補へと遷移する確率である遷移確率を演算する確率演算ステップと、
    前記遷移確率に基づいて最尤系列推定を実施しアプリケーション識別を行う最尤系列推定ステップと、
    識別結果を用いて前記アプリケーション候補の種別及び候補数を動的に制御するアプリケーション候補動的制御ステップと、
    時系列順に注目パケットを変化させてアプリケーション識別の繰り返し動作を管理する繰り返し動作管理ステップと
    を有することを特徴とするアプリケーション識別方法。
  27. 前記パケット情報抽出ステップは、受信したパケット系列を構成する個々のパケットのパケット長及びパケット到着時刻を抽出することを特徴とする請求26に記載のアプリケーション識別方法。
  28. 前記最尤系列推定ステップは、前記遷移確率から最尤系列推定を実施し、前記パケット系列をアプリケーション毎のフローに振り分けることを特徴とする請求項26または請求項27に記載のアプリケーション識別方法。
  29. 前記アプリケーション候補動的制御ステップは、前記最尤系列推定ステップによりアプリケーション識別した結果を用いて前記アプリケーション候補の種別及びフロー数を動的に制御することを特徴とする請求項26から請求項28のいずれかに記載のアプリケーション識別方法。
  30. 前記繰り返し動作管理ステップは、全てのパケットのアプリケーション識別が終了するまでアプリケーション識別動作が繰り返されるよう管理することを特徴とする請求項26から請求項29のいずれかに記載のアプリケーション識別方法。
  31. パケットに対応するアプリケーションを識別するアプリケーション識別システムのプログラムであって、前記プログラムは前記アプリケーション識別システムを、
    少なくとも二以上の受信パケットの各々にアプリケーション候補を対応させた場合、受信パケット間でアプリケーション候補が遷移する遷移確率を、前記受信パケット及び前記アプリケーション候補の情報に基づいて算出する確率演算手段と、
    前記遷移確率に基づいて、受信パケットに対応するアプリケーションを識別するアプリケーション識別手段と
    して機能させことを特徴とするプログラム。
  32. 複数のアプリケーションのデータフローが混在するネットワーク環境において、識別対象となる注目パケットのアプリケーションを識別するアプリケーション識別システムのプログラムであって、前記プログラムは前記システムを、
    前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいて統計量を算出する統計量演算手段と、
    前記統計量演算手段により演算した統計量と前記アプリケーション候補のアプリケーション情報とを比較して、前記近隣パケットのアプリケーション候補から前記注目パケットのアプリケーション候補へと遷移する確率である遷移確率を演算する確率演算手段と、
    前記遷移確率に基づいて、前記注目パケットのアプリケーションを識別するアプリケーション識別手段と
    して機能させることを特徴とするプログラム。
  33. 前記アプリケーション識別手段は、前記注目パケットのアプリケーションを識別する動作を、パケット系列に対して時系列順に注目パケットを変えて実施し、前記注目パケットをアプリケーション毎のフローに振り分けることで、前記パケット系列をアプリケーションフローに振り分けることを特徴とする請求項32に記載のプログラム。
  34. 前記統計量演算手段は、
    受信したパケットのパケット情報に基づいて、前記統計量としてパケット長統計量を演算するパケット長統計量演算手段と、
    受信したパケットのパケット情報に基づいて前記統計量としてパケット到着間隔統計量を演算するパケット到着間隔統計量演算手段と
    を有することを特徴とする請求項32または請求項23に記載のプログラム。
  35. 前記パケット情報は、パケットの到着順を示すパケット番号と、パケット長と、パケット到着時刻と、前記アプリケーション識別手段によるアプリケーション識別の結果であるアプリケーション識別結果からなることを特徴とする請求項32から請求項34のいずれかに記載のプログラム。
  36. 前記アプリケーション情報は、前記アプリケーション候補となるアプリケーションのパケットのみがネットワーク上を流れている状況においてパケットに対して統計量演算を行うことで得られるアプリケーションを特徴付ける情報であることを特徴とする請求項32から請求項35のいずれかに記載のプログラム。
  37. 前記アプリケーションを特徴付ける情報は、パケット長統計量と、パケット到着間隔統計量と、アプリケーション種別との少なくとも1つ以上からなることを特徴とする請求項36に記載のプログラム。
  38. 前記アプリケーション情報のパケット長統計量は、パケット長分布と、パケット長移動平均値分布と、パケット長移動中央値分布と、パケット長移動分散値分布と、パケット長移動標準偏差分布との少なくとも1つ以上からなることを特徴とする請求項37に記載のプログラム。
  39. 前記アプリケーション情報のパケット到着間隔統計量は、パケット到着間隔分布と、パケット到着間隔移動平均値分布と、パケット到着間隔移動中央値分布と、パケット到着間隔移動分散値分布と、パケット到着間隔移動標準偏差分布との少なくとも1つ以上からなることを特徴とする請求項37に記載のプログラム。
  40. アプリケーション候補は、識別情報によって識別されることを特徴とする請求項32から請求項39のいずれかに記載のプログラム。
  41. 複数のアプリケーションのデータフローが混在するネットワーク環境において、識別対象となる注目パケットのアプリケーションを識別するアプリケーション識別システムのプログラムであって、前記プログラムは前記アプリケーション識別システムを、
    パケット系列のパケット情報を抽出するパケット情報抽出手段と、
    前記パケット情報に基づいて、前記パケット系列に対し、注目パケット及び注目パケットの近隣のパケットをそれぞれあるアプリケーション候補に仮定し、前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいてパケット長統計量を演算するパケット長統計量演算手段と、
    前記パケット情報に基づいて、前記パケット系列に対し、注目パケット及び注目パケットの近隣のパケットをそれぞれあるアプリケーション候補に仮定し、
    前記注目パケットのアプリケーション候補と、前記注目パケットの近隣パケットのアプリケーション候補との組毎に、受信したパケットのパケット情報に基づいてパケット到着間隔統計量を演算するパケット到着間隔統計量演算手段と、
    前記統計量演算手段により演算した統計量と前記アプリケーション候補のアプリケーション情報とを比較して、前記近隣パケットのアプリケーション候補から前記注目パケットのアプリケーション候補へと遷移する確率である遷移確率を演算する確率演算手段と、
    前記遷移確率に基づいて最尤系列推定を実施しアプリケーション識別を行う最尤系列推定手段と、
    識別結果を用いて前記アプリケーション候補の種別及び候補数を動的に制御するアプリケーション候補動的制御手段と、
    時系列順に注目パケットを変化させてアプリケーション識別の繰り返し動作を管理する繰り返し動作管理手段と
    して機能させることを特徴とするプログラム。
  42. 前記パケット情報抽出手段は、受信したパケット系列を構成する個々のパケットのパケット長及びパケット到着時刻を抽出することを特徴とする請求41に記載のプログラム。
  43. 前記最尤系列推定手段は、前記遷移確率から最尤系列推定を実施し、前記パケット系列をアプリケーション毎のフローに振り分けることを特徴とする請求項41または請求項42に記載のプログラム。
  44. 前記アプリケーション候補動的制御手段は、前記最尤系列推定手段によりアプリケーション識別した結果を用いて前記アプリケーション候補の種別及びフロー数を動的に制御することを特徴とする請求項41から請求項43のいずれかに記載のプログラム。
  45. 前記繰り返し動作管理手段は、全てのパケットのアプリケーション識別が終了するまでアプリケーション識別動作が繰り返されるよう管理することを特徴とする請求項41から請求項44のいずれかに記載のプログラム。
JP2006049896A 2006-02-27 2006-02-27 アプリケーション識別システム、アプリケーション識別方法及びアプリケーション識別用プログラム Pending JP2007228489A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006049896A JP2007228489A (ja) 2006-02-27 2006-02-27 アプリケーション識別システム、アプリケーション識別方法及びアプリケーション識別用プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006049896A JP2007228489A (ja) 2006-02-27 2006-02-27 アプリケーション識別システム、アプリケーション識別方法及びアプリケーション識別用プログラム

Publications (1)

Publication Number Publication Date
JP2007228489A true JP2007228489A (ja) 2007-09-06

Family

ID=38549814

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006049896A Pending JP2007228489A (ja) 2006-02-27 2006-02-27 アプリケーション識別システム、アプリケーション識別方法及びアプリケーション識別用プログラム

Country Status (1)

Country Link
JP (1) JP2007228489A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014160204A1 (en) 2013-03-14 2014-10-02 Amazon Technologies, Inc. Inferring application inventory
JP2022548136A (ja) * 2019-09-16 2022-11-16 華為技術有限公司 データストリーム分類方法および関連デバイス
JP2023506523A (ja) * 2019-12-17 2023-02-16 中興通訊股▲ふん▼有限公司 サービス検出方法、装置、機器、及び記憶媒体

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
CSNG200600489003, 静野 隆之, "フロー挙動分析によるアグリゲーションフローのアプリケーション識別手法", 電子情報通信学会技術研究報告, 20060223, Vol.105 No.627, pp.9−12, 社団法人電子情報通信学会 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014160204A1 (en) 2013-03-14 2014-10-02 Amazon Technologies, Inc. Inferring application inventory
JP2016514334A (ja) * 2013-03-14 2016-05-19 アマゾン テクノロジーズ インク 推測アプリケーションインベントリ
EP2972962A4 (en) * 2013-03-14 2017-01-18 Amazon Technologies Inc. Inferring application inventory
JP2022548136A (ja) * 2019-09-16 2022-11-16 華為技術有限公司 データストリーム分類方法および関連デバイス
US11838215B2 (en) 2019-09-16 2023-12-05 Huawei Technologies Co., Ltd. Data stream classification method and related device
JP7413515B2 (ja) 2019-09-16 2024-01-15 華為技術有限公司 データストリーム分類方法および関連デバイス
JP2023506523A (ja) * 2019-12-17 2023-02-16 中興通訊股▲ふん▼有限公司 サービス検出方法、装置、機器、及び記憶媒体
JP7349575B2 (ja) 2019-12-17 2023-09-22 中興通訊股▲ふん▼有限公司 サービス検出方法、装置、機器、及び記憶媒体

Similar Documents

Publication Publication Date Title
US9537887B2 (en) Method and system for network connection chain traceback using network flow data
US7937489B2 (en) System and method for detecting port hopping
US9577906B2 (en) Scalable performance monitoring using dynamic flow sampling
US9026674B1 (en) System and method for accurately displaying communications traffic information
Lee et al. Observations of UDP to TCP ratio and port numbers
US8422502B1 (en) System and method for identifying VPN traffic paths and linking VPN traffic and paths to VPN customers of a provider
US7782796B2 (en) Method for generating an annotated network topology
CN105745870A (zh) 从用于检测大流量的串行多级过滤器去除头部过滤器以便清除流量以实现延长操作
KR101106878B1 (ko) 애플리케이션 인식을 가진 단 대 단 서비스 구성을 검증하는 방법
CN111953552B (zh) 数据流的分类方法和报文转发设备
US9813442B2 (en) Server grouping system
JP6906928B2 (ja) ネットフロー基盤の接続フィンガープリントの生成及び経由地逆追跡方法
CN108429701A (zh) 网络加速***
WO2008062787A1 (fr) Appareil et procédé de restriction d'informations de flux
US20150023173A1 (en) Systems And Methods For Managing A Network
US20140369238A1 (en) System and method for identifying an ingress router of a flow when no ip address is associated with the interface from which the flow was received
Pan et al. QoE assessment of encrypted YouTube adaptive streaming for energy saving in Smart Cities
CN105634968A (zh) 用于控制数据流量的传输的装置及方法
Sinam et al. A technique for classification of VoIP flows in UDP media streams using VoIP signalling traffic
JP2007228489A (ja) アプリケーション識別システム、アプリケーション識別方法及びアプリケーション識別用プログラム
CN101854366B (zh) 一种对等网络流量识别的方法及装置
KR20170054215A (ko) 넷플로우 기반 연결 핑거프린트 생성 및 경유지 역추적 방법
JP2007228217A (ja) トラフィック判定装置、トラフィック判定方法、及びそのプログラム
CN104836700A (zh) 基于ipid和概率统计模型的nat主机个数检测方法
Piraisoody et al. Classification of applications in HTTP tunnels

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090115

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20101115

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101124

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110323