JP5536280B2 - アプリケーションプロトコルを識別するための方法および装置 - Google Patents

アプリケーションプロトコルを識別するための方法および装置 Download PDF

Info

Publication number
JP5536280B2
JP5536280B2 JP2013510470A JP2013510470A JP5536280B2 JP 5536280 B2 JP5536280 B2 JP 5536280B2 JP 2013510470 A JP2013510470 A JP 2013510470A JP 2013510470 A JP2013510470 A JP 2013510470A JP 5536280 B2 JP5536280 B2 JP 5536280B2
Authority
JP
Japan
Prior art keywords
keyword
traffic flow
weight vector
protocol
traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013510470A
Other languages
English (en)
Other versions
JP2013526804A (ja
Inventor
リウ,フアン
Original Assignee
アルカテル−ルーセント
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アルカテル−ルーセント filed Critical アルカテル−ルーセント
Publication of JP2013526804A publication Critical patent/JP2013526804A/ja
Application granted granted Critical
Publication of JP5536280B2 publication Critical patent/JP5536280B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2475Traffic characterised by specific attributes, e.g. priority or QoS for supporting traffic characterised by the type of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)

Description

本開示は、ネットワーク通信技術に関し、特に、プロトコル識別技術に関する。
本発明は、TCP/IPネットワークなどのデータネットワーク内のアクセスゲートウェイまたは他のデバイスによって受信されるトラフィック内のアプリケーション層のプロトコルタイプを識別および分類するための方法を提案する。
アプリケーションプロトコル識別は、ネットワークを介して運ばれるトラフィックのプロトコルタイプを判定することを意図するものである。これは、たとえば、効果的なネットワーク計画および設計、法的なモニタリングおよびネットワークブロッキングなどのセキュリティポリシ、トラフィックシェーピングおよびサービスの差別化などのサービスの質(QoS)の実施、課金ポリシ設計など、様々な場合に欠かせない、ネットワークトラフィックの情報伝達特性を提供するための重要な技術である。
今日の通信ネットワークは、概して、階層化モデル、たとえばOSI参照モデルまたはTCP/IP参照モデルに従う。TCP/IP参照モデルは、ほとんどのデータネットワークによって採用され、以下の5つの層から成る:物理層、データリンク層、ネットワーク層、トランスポート層およびアプリケーション層。中継ノード、たとえばアクセスゲートウェイ、は一般に、IP層での転送および中継のみを含み、上層(トランスポート層およびアプリケーション層)で運ばれる内容の知識を有さない。しかし、一部のシナリオでは、たとえば、ある特定のタイプのアプリケーションがブロックされる場合、中継ノードがアプリケーション層で運ばれるプロトコルタイプを識別および判定するための効率的方法を見つけることが必要である。
アプリケーションプロトコルを識別する代表的な解決法は、概して、以下の3つの分類に分かれる:
ポートに基づくプロトコル識別
ポート番号によるプロトコル分類は、最も単純で、最も伝統的な方法である。この方法は、トランスポート層ヘッダで運ばれるポート番号からプロトコルまたはアプリケーションタイプを識別する。標準プロトコルでは、ポート番号とプロトコルの間の対応は、インターネットアサインドナンバオーソリティ(IANA)によって定義され、たとえば、HTTPプロトコルは通常はポート80を使用し、SMTPプロトコルはポート25を使用する。所有権を主張できるプロトコルでは、ポート番号は通常は、プロトコルまたはアプリケーション自体によって定義される。プロトコルとポート番号の間のそのような対応により、プロトコルタイプは、アプリケーション層プロトコルヘッダ、たとえばTCPヘッダ、内のソースポートおよび宛先ポート欄内のポート番号から判定可能である。
ポート番号に基づくプロトコル識別は効率的であり、実装が容易であるが、それはいくつかの明らかな欠点を有する。1)いくつかのプロトコルでは、実際に使用されるポート番号が実行プロセス中に動的に割り当てられる。2)ファイアウォールの広範囲に及ぶ使用は、いくつかのポートが他のいくつかよりも簡単にファイアウォールを通り抜けることを可能にし、それにより、接続性を確保するために、直接にまたはオリジナルプロトコルにそれらをカプセル化することによってのいずれかで、所有権を主張できるプロトコルのためによく知られているポートを使用する傾向が増している。3)一部のプロトコルは、識別されることを避けるために、非標準ポートを明示的に使用し、一部のP2Pアプリケーションにさえもユーザがデフォルトポートを変更することを許すものがあり、他のいくつかは、検出されることを回避するために、トンネリングおよび動的ポート選択を組み合わせて使用する。したがって、単にポート番号に基づいてプロトコルを識別することはもはや信頼性がない。
ペイロードに基づくプロトコル識別
ペイロードに基づく分類は、ディープパケットインスペクション(DPI)技術でトラフィックデータパケット内のプロトコルのペイロードを検査することである。この方法は、アプリケーション層データパケット内の決定性の文字列を見つけることを含み、たとえば文字列「http/1」はアプリケーションHTTPに対応し、文字列「0xe319010000」はeDonkeyアプリケーションに対応する。しかし、単一の署名は、プロトコルタイプを判定するのには十分信頼できるものではなく、たとえば、文字列「http/1」はKazzaプロトコルにも現れることもある。
マッチングの精度を改善するために、ある人はマッチングの正規表現を使用することを提案した。正規表現は、柔軟で強力な表現形式を提供し、高い精度でプロトコル識別を提供することができる。実際のアプリケーションでは、決定性有限オートマン(DFA)が通常は、正規表現を実装するために使用される。しかし、決定性有限オートマンへの正規表現の完全なコンパイルは、特定のパターンに依存するDFA状態の指数関数的数をもたらし、それによって性能を下げることがある。
挙動に基づくプロトコル識別
挙動に基づくプロトコル識別は、トラフィックの内容をチェックしないが、代わりに、たとえば、データパケットのサイズ、接続の数など、トラフィックの観測される挙動または特性からプロトコルを識別する。一般的な挙動に基づくプロトコル識別は、統計的プロパティを使用してアプリケーションに関するトラフィックを識別および分類することである。たとえば、ある文献は、教師あり機械学習を採用してインターネットトラフィックを識別することを提案しており、基本的な分類されるオブジェクトは、所与の対のホストの間の1つまたは複数のデータパケットとして表されるトラフィックフローである。各トラフィックフローは、その挙動を説明するいくつかの特性(パラメータ)を有する。これらのパラメータは、アプリケーション識別のための入力弁別子を構成する。たとえば、フロー持続期間、パケット到着間の時間、有効なペイロードサイズ、パケット到着間の時間のフーリエ変換などは、弁別子の機能を果たすことができる。前記文献が主張するように、ベイジアン機械学習は65%の識別率を達成したが、2つの改良、すなわちカーネル密度推定(Kernel Density Estimation、KDE)および高速相関に基づくフィルタ(Fast Correlation−Based Filter、FCBF)の導入のおかげで95%の識別率を達成した。またある人は、いくつかの他の統計に基づく識別機構を提案した。
挙動に基づくプロトコル識別は、内容に基づくプロトコル識別に比べてより少ない性能オーバヘッドをもたらすが、いくつかの限界を被る。1)挙動に基づくプロトコル識別は通常は、内容に基づくプロトコル識別のそれよりも低い精度を有する。それは主に統計的記述子に依存するので、それはペイロードに基づく決定性アプローチに比べて不安定な精度を有する。2)加えて、観測される挙動は、たとえば、ネットワークタイプ、ホスト処理能力など、外部環境に常に依存する。たとえば、ワイヤレスローカルエリアネットワーク(WLAN)におけるパケット到着間の時間は、イーサネット(登録商標)ネットワークにおけるそれとは異なり得る。3)パディングでパケットの長さを変えること、またはパケットを遅らせることによってパケット到着間の時間を課することなど、前述のトラフィックパラメータを修正することによって、悪意のあるユーザは識別されることを回避することが比較的容易である。
先行技術の前述の欠点を克服するために、本発明は、キーワードベクトルマッチングに基づくアプリケーションプロトコルを識別するための方法および装置を提案する。
本発明の一実施形態では、アプリケーションプロトコルを識別する方法が提供され、本方法は以下のステップを備える:A.検出されることになるデータパケットを個々のトラフィックフローに分類するステップと、B.キーワードの重みがトラフィックフローの有効なペイロード内のキーワードの位置に関連し、識別可能なアプリケーションプロトコルのキーワードデータベースに基づいてトラフィックフローの有効なペイロード内でキーワードを探索し、トラフィックフローのキーワード重みベクトルを判定するステップと、C.トラフィックフローのキーワード重みベクトルと識別可能なアプリケーションプロトコルの特徴キーワード重みベクトルの間の類似度を判定するステップと、D.所定の条件が満たされる場合に、トラフィックフローのキーワード重みベクトルへの最も高い類似度を有する特徴キーワード重みベクトルに対応するアプリケーションプロトコルをトラフィックフローのアプリケーションプロトコルとして判定するステップ。
本発明のもう1つの実施形態では、ステップAの前に、アプリケーションプロトコルを識別する本方法はさらに以下を備える:a.識別可能なアプリケーションプロトコルのキーワードデータベースに基づいて複数の訓練トラフィックフローの有効なペイロードのキーワードを探索し、複数の訓練トラフィックフローのキーワード重みベクトルを判定するステップと、b.複数の訓練トラフィックフローのキーワード重みベクトルにしたがって各々の識別可能なアプリケーションプロトコルに対応する特徴キーワード重みベクトルを判定するステップ。
本発明の一実施形態では、アプリケーションプロトコルを識別するための装置が提供され、本装置は以下を備える:検出されることになるデータパケットを個々のトラフィックフローに分類するように構成された第1のデバイスと、キーワードの重みがトラフィックフローの有効なペイロード内のキーワードの位置に関連し、識別可能なアプリケーションプロトコルのキーワードデータベースに基づいてトラフィックフローの有効なペイロード内でキーワードを探索し、トラフィックフローのキーワード重みベクトルを判定するように構成された第2のデバイスと、トラフィックフローのキーワード重みベクトルと識別可能なアプリケーションプロトコルの特徴キーワード重みベクトルの間の類似度を判定するように構成された第3のデバイスと、所定の条件が満たされる場合に、トラフィックフローのキーワード重みベクトルへの最も高い類似度を有する特徴キーワード重みベクトルに対応するアプリケーションプロトコルをトラフィックフローのアプリケーションプロトコルとして判定するように構成された第4のデバイス。
本発明の一実施形態では、本発明の前述のプロトコル識別装置を含むネットワーク機器が提供される。
本発明の方法および装置で、プロトコル識別の精度は、任意の有意な性能オーバヘッドを導入することなしに改善可能である。
本システムは、以下の図面および説明を参照してさらによく理解されよう。図面内の要素は、必ずしも原寸に比例せず、典型的なモデルの原理に重点が置かれている。図面において、同様の参照番号は、様々な図面を通して対応する特徴を示す。
本発明の一実施形態によるアプリケーションプロトコルを識別する方法の流れ図である。 本発明の一実施形態によるアプリケーションプロトコルを識別する方法における特徴キーワード重みベクトルを判定するステップの流れ図である。 本発明の一実施形態によるプロトコル識別装置の構造図である。
一般性の喪失なしに、本発明の以下のすべての実施形態は、データ通信ネットワーク、たとえばインターネットネットワークに適用されることになる。
本発明において、識別されることになる各アプリケーションプロトコルについて、そのプロトコルに現われ得る1セットのキーワードが選択されることになる。一例として、但し限定ではなく、ハイパーテキスト転送プロトコルのキーワードは「http/」を含み、ファイル転送プロトコルのキーワードは「ftp/」を含むなど。受信されたデータパケットは、5タプルにより個々のトラフィックフローに分類される。その5タプルは、ソースアドレス、宛先アドレス、ソースポート番号、宛先ポート番号および転送プロトコルタイプを含む。各個々のトラフィックフローについて、キーワード重みベクトルは、そのトラフィックフローの有効なペイロード内でキーワードを検出することによって取得可能であり、識別可能なアプリケーションプロトコルの特徴キーワード重みベクトルと突き合わされて、それによってこの個々のトラフィックフローのプロトコルを識別することができる。
図1は、本発明の一実施形態によるアプリケーションプロトコルを識別する方法の流れ図である。この方法は通常は、データ通信ネットワークのネットワーク機器に適用可能である。図1に示すように、アプリケーションプロトコルを識別する本方法は、この実施形態において、4つのステップS11、S12、S13およびS14を含む。
ステップS11で、検出されることになるデータパケットが、個々のトラフィックフローに分類される。
ステップS12で、トラフィックフローの有効なペイロードは識別可能なアプリケーションプロトコルのキーワードデータベースに基づいてキーワードを探索され、そのトラフィックフローのキーワード重みベクトルが判定され、キーワードの重みは、トラフィックフローの有効なペイロード内のキーワードの位置に関連する。
具体的には、一例として、但し限定ではなく、識別可能なアプリケーションプロトコルのキーワードデータベース内に合計でM個の異なるキーワードが存在し、各識別可能なプロトコルについて、いくつかのキーワードk,m∈{1,…,M}がそのプロトコル内に現われ得る。一例として、但し限定ではなく、ハイパーテキスト転送プロトコルのキーワードは「http/」を含み、ファイル転送プロトコルのキーワードは「ftp/」を含むなど。たとえば、トラフィックフローfのキーワード重みベクトルは、vとして表すことができる。
ステップS13で、トラフィックフローのキーワード重みベクトルと識別可能なアプリケーションプロトコルの特徴キーワード重みベクトルの間の類似度が判定される。
具体的には、一例として、但し限定ではなく、合計N個の識別可能なプロトコルが存在し、各識別可能なプロトコルの特徴キーワード重みベクトルは、V,n∈{1,…,N}として表すことができる。
ステップS14で、トラフィックフローのキーワード重みベクトルへの最も高い類似度を有する特徴キーワード重みベクトルに対応するアプリケーションプロトコルが、所定の条件が満たされる場合に、そのトラフィックフローのアプリケーションプロトコルとして判定される。
異なる識別可能なプロトコルが同じキーワードを有し得る、または別法として互いに重複しないキーワードを有し得ることが、当業者には理解されよう、そして、NおよびMの値はそれらの大きさに関して必要な関係を有さなくてもよい。好ましくは、各識別可能なアプリケーションプロトコルは、少なくとも1つの一義的キーワードを有し、そうして、M≧Nであり、それによるそれらの異なるプロトコル間の区別が改善され得る。
本発明の一実施形態では、具体的には、検出されることになるデータパケットは、ステップS11で5タプルによる個々のトラフィックフローに分類され、その5タプルは、ソースアドレス、宛先アドレス、ソースポート番号、宛先ポート番号および転送プロトコルタイプを含む。ソース(ノード)と宛先(ノード)の間で同アプリケーションのデータを運ぶためのデータパケットは、同じソースアドレス、宛先アドレス、ソースポート番号、宛先ポート番号および転送プロトコルタイプを有することになることが理解されよう。通常は、異なるアプリケーションのデータパケットは異なるソースポート番号および宛先ポート番号を有し、異なるソース(ソースノード)と宛先(宛先ノード)の間のデータパケットは異なるソースアドレスおよび宛先アドレスを有する。したがって、同じ5タプル内容を有する異なるデータパケットは、一対のソースと宛先の間の同アプリケーションに属することになり、同じ個々のトラフィックフローに分類されることになる。
本発明の一実施形態では、具体的には、ステップ13での類似度は、コサイン類似度を含む。たとえば、トラフィックフローfのキーワード重みベクトルvと任意の識別可能なプロトコルの特徴キーワード重みベクトルの間のコサイン類似度は、場合により以下の公式で、それぞれ計算されることになる:
Figure 0005536280
 本発明の一実施形態では、具体的には、所定の条件は、ステップS14での最も高い類似度が所定の値を上回ることを含む。たとえば、トラフィックフローfのキーワード重みベクトルvと特徴キーワード重みベクトルVの間のコサイン類似度は最も高く、そして、その場合に、その最も高い類似度が所定の値を上回るときに、Vによって表されるアプリケーションプロトコルはそのトラフィックフローfのアプリケーションプロトコルとして判定されることになり、そして、その場合に、最も高い類似度が所定の値を下回るときに、トラフィックフローfが知られていないアプリケーションとして識別されることになる、すなわち、トラフィックフローfは、任意の識別可能なプロトコルに属していないものとして判定されることになる。
本発明の一実施形態では、具体的には、トラフィックフローの有効なペイロードにおいてより早く最初に現れるキーワードは、ステップS12で、より大きな重みを有する。
通常は、識別プロセスは、前述のステップS11、S12、S13およびS14を含み、各識別可能なプロトコルの特徴キー重みベクトルは、その識別プロセスに先立つ訓練プロセスで判定されることになる。図2は、本発明の一実施形態によるアプリケーションプロトコルを識別する方法で特徴キーワード重みベクトルを判定するステップ、すなわち訓練プロセス、の流れ図である。図示するように、この訓練プロセスは、2つのステップS21およびS22を含む。
ステップS21で、複数の訓練トラフィックフローの有効なペイロードは、識別可能なアプリケーションプロトコルのキーワードデータベースに基づいてキーワードについて探索され、そして、その複数の訓練トラフィックフローのキーワード重みベクトルが判定される。
ステップS22で、各識別可能なアプリケーションプロトコルに対応する特徴キーワード重みベクトルが、複数の訓練トラフィックフローのキーワード重みベクトルにしたがって判定される。具体的には、各訓練トラフィックフローのアプリケーションプロトコルは、事前に知られていて、したがって、同じアプリケーションプロトコルに属するすべての訓練トラフィックフローのキーワード重みベクトルが、平均化されて、アプリケーションプロトコルに対応する特徴キーワード重みベクトルを判定することができる。
本発明の一実施形態では、具体的には、トラフィックフローの有効なペイロードにおいてより早く最初に現れるキーワードは、ステップS21で、より大きな重みを有する。
より具体的には、キーワードの重みは、本発明の一実施形態のステップS21で、以下のitp−idf(逆テキスト位置−逆文書頻度)アルゴリズムによって検出され、第jの訓練トラフィックフローの第iのキーワードの重みは以下のように表される:
ωij=itpij×idf (1)
但し、itpijは逆テキスト位置のメトリクであり、idfは逆文書頻度のメトリクであり、そして、
itpij=1/oij (2)
但し、oijは、第iのキーワードkが第jの訓練トラフィックフローで最初に現れる位置を表し、そして、この位置はビット位置またはバイト位置でもよく、itpijは、oijの逆数を表し、第iのキーワードkが第jの訓練トラフィックフローで現れない場合、0の値を取ることになり
Figure 0005536280
 但し、|F|は訓練トラフィックフローの総量を表し、そして、|{f:k∈f}|は、第iのキーワードkを含むトラフィックフローの量を表し、その場合、第jの訓練トラフィックフローのキーワード重みベクトルは以下で表すことができる:
=(ω1j,ω2j,...,ωMj) (4)
但し、Mは、キーワードデータベースにおけるキーワードの総量を表す。
ステップS22で、各識別可能なアプリケーションプロトコルに対応する特徴キーワード重みベクトルが、複数の訓練トラフィックフローのキーワード重みベクトルにしたがって、判定される。特定の識別可能なアプリケーションプロトコルpについて、特徴キーワード重みベクトルは、所与の訓練トラフィックフローから計算され得る、または、以下のように表される重心ベクトルと称され得る:
Figure 0005536280
 但し、Fは、プロトコルpに属する訓練トラフィックフローのセットを表し、|F|はプロトコルpに属する訓練トラフィックフローの量を表し、vはセットFにおけるトラフィックフローのキーワード重みベクトルを表す。Vは、セットF内のそれぞれの訓練トラフィックフローのキーワード重みベクトルで現れるそれぞれのキーワードの重みを平均化することによって導出され得る。
各識別可能なアプリケーションプロトコルの特徴キーワード重みベクトルは、この実施形態のステップS21およびS22で前述の公式(1)から(5)で訓練トラフィックフローに基づいて容易に計算され得る。
訓練トラフィックフローはまた、5タプルにしたがって多数の訓練データパケットを分類することによって導出され、その訓練トラフィックフローは各識別可能なアプリケーションのいくつかのトラフィックフローを含むことになることが、当業者には理解されよう。
前述の訓練プロセス、すなわちステップS21およびステップS22、は、識別可能なアプリケーションプロトコルの特徴キーワード重みベクトルを更新するために、各更新された訓練トラフィックフローについて、定期的にまたは非定期的に繰り返され得ることが、当業者には理解されよう。新しい識別可能なアプリケーションプロトコルは、更新のために特定の訓練プロセスで導入可能であり、したがって、キーワードデータベース内のキーワードの数は増やすことができ、更新された訓練トラフィックフローは新しく導入された識別可能なアプリケーションプロトコルのいくつかのトラフィックフローをさらに含むことになり、更新結果は、新たに導入された識別可能なアプリケーションプロトコルの特徴キーワード重みベクトルをさらに含み得る。
トラフィックフローのキーワード重みベクトルは、訓練プロセスのステップS21と同じアルゴリズムでステップS12の識別プロセスで判定されることになることが、当業者には理解されよう。
本発明の一実施形態では、具体的には、トラフィックフローfのキーワード重みベクトルvは、ステップ12で以下のitp−idfアルゴリズムによって検出され、トラフィックフローfの第iのキーワードの重みはωid=itpid×idfで表され、但し、itpid=1/oidであり、oidは、第iのキーワードkがトラフィックフローfで最初に現れる位置を表し、この位置は、ビット位置またはバイト位置でもよく、itpidはoidの逆数を表し、第iのキーワードkがトラフィックフローfで現れない場合、0の値を取ることになり:
Figure 0005536280
 但し、|F|は訓練トラフィックフローの総量を表し、|{f:k∈f}|は第iのキーワードkを含むトラフィックフローの量を表し、その場合、トラフィックフローfのキーワード重みベクトルはv=(ω1d,ω2d,...,ωMd)で表すことができ、但し、Mはキーワードデータベースにおけるキーワードの総量を表す。
トラフィックフローについて、トラフィックフローのプロトコルの識別において重要な役割をするキーワードは通常は、トラフィックフローの有効なペイロードのヘッダ内に置かれる。本発明の一実施形態では、具体的には、トラフィックフローまたは訓練トラフィックフローのキーワード重みベクトルは、ステップS12またはステップS21で、トラフィックフローの有効なペイロードのヘッダ内の所定の長さの内容から判定されることになり、ただ有効なペイロードのヘッダ内の所定の長さの内容がキーワードについて探索されさえすれば十分になり、重みはその内容のみから計算される。一例として、但し限定ではなく、所定の長さは128バイトまたは256バイトである。有効なペイロードのヘッダ内の所定の長さの内容は、1つまたは複数のデータパケットで運ばれ得ることが、当業者には理解されよう。
図3は、本発明の一実施形態によるプロトコル識別装置の構造図である。図示するように、この実施形態におけるプロトコル識別装置10は、第1のデバイス11、第2のデバイス12、第3のデバイス13および第4のデバイス14を含む。プロトコル識別装置10は通常は、データ通信ネットワーク内のネットワーク機器内に配置される。
第1のデバイス11は、検出されることになるデータパケットを個々のトラフィックフローに分類するように構成される。
第2のデバイス12は、識別可能なアプリケーションプロトコルのキーワードデータベースに基づいてキーワードについてトラフィックフローの有効なペイロードを探索し、トラフィックフローのキーワード重みベクトルを判定するように構成され、キーワードの重みはトラフィックフローの有効なペイロード内のキーワードの位置に関連する。
具体的には、一例として、但し限定ではなく、識別可能なアプリケーションプロトコルのキーワードデータベース内に合計でM個の異なるキーワードが存在し、各識別可能なプロトコルについて、いくつかのキーワードk,m∈{1,…,M}がそのプロトコル内に現われ得る。一例として、但し限定ではなく、ハイパーテキスト転送プロトコルのキーワードは「http/」を含み、ファイル転送プロトコルのキーワードは「ftp/」を含むなど。たとえば、トラフィックフローfのキーワード重みベクトルは、vとして表すことができる。
第3のデバイス13は、トラフィックフローのキーワード重みベクトルと識別可能なアプリケーションプロトコルの特徴キーワード重みベクトルの間の類似度を判定するように構成される。
具体的には、一例として、但し限定ではなく、合計でN個の識別可能なプロトコルが存在し、各識別可能なプロトコルの特徴キーワード重みベクトルはV,n∈{1,...,N}として表すことができる。
第4のデバイス14は、所定の条件が満たされる場合、トラフィックフローのキーワード重みベクトルへの最も高い類似度を有する特徴キーワード重みベクトルに対応するアプリケーションプロトコルをそのトラフィックフローのアプリケーションプロトコルとして判定するように構成される。
異なる識別可能なプロトコルは、同じキーワードを有することができ、または、別法として、互いに重複しないキーワードを有することができ、NおよびMの値はそれらの大きさに関して必要な関係を有さなくてもよいことが、当業者には理解されよう。好ましくは、各識別可能なアプリケーションプロトコルは、少なくとも1つの一義的キーワードを有し、そうしてM≧Nであり、したがって、それらの異なるプロトコル間の区別は改善され得る。
本発明の一実施形態では、具体的には、検出されることになるデータパケットは、第1のデバイス11内で5タプルによる個々のトラフィックフローに分類され、その5タプルは、ソースアドレス、宛先アドレス、ソースポート番号、宛先ポート番号および転送プロトコルタイプを含む。ソース(ノード)と宛先(ノード)の間で同じアプリケーションのデータを運ぶためのデータパケットは、同じソースアドレス、宛先アドレス、ソースポート番号、宛先ポート番号および転送プロトコルタイプを有することになることが理解されよう。通常は、異なるアプリケーションのデータパケットは異なるソースポート番号および宛先ポート番号を有し、そして、異なるソース(ソースノード)と宛先(宛先ノード)の間のデータパケットは異なるソースアドレスおよび宛先アドレスを有する。したがって、同じ5タプル内容を有する異なるデータパケットは、一対のソースおよび宛先の間の同じアプリケーションに属することになり、同じ個々のトラフィックフローに分類されることになる。
本発明の一実施形態では、具体的には、第3のデバイス13によって判定される類似度は、コサイン類似度を含む。たとえば、トラフィックフローfのキーワード重みベクトルvと任意の識別可能なプロトコルの特徴キーワード重みベクトルの間のコサイン類似度は、場合により以下の公式で、それぞれ計算されることになる:
Figure 0005536280
 本発明の一実施形態では、具体的には、第4のデバイス14における所定の条件は、所定の値を上回る最も高い類似度を含む。たとえば、トラフィックフローfのキーワード重みベクトルvと特徴キーワード重みベクトルVの間のコサイン類似度が最も高く、そして、その場合に、Vによって表されるアプリケーションプロトコルは、最も高い類似度が所定の値を上回るときに、トラフィックフローfのアプリケーションプロトコルとして判定されることになり、そして、その場合に、トラフィックフローfは、最も高い類似度が所定の値を下回るときに、知られていないアプリケーションとして識別されることになる、すなわち、トラフィックフローfは、任意の識別可能なプロトコルに属さないものとして第4のデバイス14によって判定されることになる。
本発明の一実施形態では、具体的には、トラフィックフローの有効なペイロードにおいてより早く最初に現れるキーワードは、第2のデバイス12においてより大きな重みを有する。
通常は、識別プロセスは、前述の第1のデバイス11、第2のデバイス12、第3のデバイス13および第4のデバイス14によってそれぞれに実行される動作を含み、各識別可能なプロトコルの特徴キー重みベクトルは、識別プロセスに先立って訓練プロセスで判定されることになる。
訓練プロセスは、第2のデバイス12によって実行され、2つのサブ動作21および22(図示せず)を含む。
サブ動作21において、第2のデバイス12は、識別可能なアプリケーションプロトコルのキーワードデータベースに基づいて複数の訓練トラフィックフローの有効なペイロード内のキーワードを探索し、複数の訓練トラフィックフローのキーワード重みベクトルを判定する。
サブ動作22において、第2のデバイス12は、複数の訓練トラフィックフローのキーワード重みベクトルにしたがって各識別可能なアプリケーションプロトコルに対応する特徴キーワード重みベクトルを判定する。具体的には、各訓練トラフィックフローのアプリケーションプロトコルは、事前に知られていて、そうして、同じアプリケーションプロトコルに属するすべての訓練トラフィックフローのキーワード重みベクトルが平均化されてそのアプリケーションプロトコルに対応する特徴キーワード重みベクトルを判定することができる。
本発明の一実施形態では、具体的には、トラフィックフローの有効なペイロードにおいてより早く最初に現れるキーワードは、第2のデバイス12によって実行されるサブ動作21においてより大きな重みを有する。
より具体的には、本発明の一実施形態では、キーワードの重みは、第2のデバイス12によって実行されるサブ動作21で以下のitp−idf(逆テキスト位置−逆文書頻度)アルゴリズムによって検出され、第jの訓練トラフィックフローの第iのキーワードの重みは、以下のように表される:
ωij=itpij×idf (1)
但し、itpijは逆テキスト位置のメトリクであり、idfは逆文書頻度のメトリクであり、そして、
itpij=1/oij (2)
但し、oijは、第iのキーワードkが第jの訓練トラフィックフローで最初に現れる位置を表し、この位置はビット位置またはバイト位置でもよく、itpijはoijの逆数を表し、第iのキーワードkが第jの訓練トラフィックフローで現れない場合、0の値を取ることになり
Figure 0005536280
 但し、|F|は訓練トラフィックフローの総量を表し、|{f:k∈f}|は第iのキーワードkを含むトラフィックフローの量を表し、そして、その場合、第jの訓練トラフィックフローのキーワード重みベクトルは以下のように表すことができる:
=(ω1j,ω2j,...,ωMj) (4)
但し、Mはキーワードデータベースにおけるキーワードの総量を表す。
サブ動作22で、第2のデバイス12は、複数の訓練トラフィックフローのキーワード重みベクトルにしたがって各識別可能なアプリケーションプロトコルに対応する特徴キーワード重みベクトルを判定する。特定の識別可能なアプリケーションプロトコルpについて、特徴キーワード重みベクトルは、所与の訓練トラフィックフローから計算可能であり、または以下のように表される重心ベクトルと称され得る:
Figure 0005536280
 但し、Fはプロトコルpに属する訓練トラフィックフローのセットを表し、|F|はプロトコルpに属する訓練トラフィックフローの量を表し、vは、そのセットF内のトラフィックフローのキーワード重みベクトルを表す。VはそのセットF内のそれぞれの訓練トラフィックフローのキーワード重みベクトルで現れるそれぞれのキーワードの重みを平均化することによって導出することができる。
この実施形態では、各識別可能なアプリケーションプロトコルの特徴キーワード重みベクトルは、第2のデバイス12によって実行されるサブ動作21および22で前述の公式(1)から(5)における訓練トラフィックフローに基づいて容易に計算することができる。
訓練トラフィックフローはまた、5タプルにしたがって多数の訓練データパケットを分類することによって生成され、その訓練トラフィックフローは各識別可能なアプリケーションのいくつかのトラフィックフローを含むことになることが、当業者には理解されよう。
前述の訓練プロセス、すなわち第2のデバイス12によって実行されるサブ動作21およびサブ動作22、は、更新された訓練トラフィックフローが識別可能なアプリケーションプロトコルの特徴キーワード重みベクトルを更新するたびに、定期的にまたは非定期的に繰り返され得ることが、当業者には理解されよう。新しい識別可能なアプリケーションプロトコルが更新のために特定の訓練プロセスに導入可能であり、それに応じて、キーワードデータベース内のキーワードの数は増やすことができ、更新された訓練トラフィックフローは、新たに導入された識別可能なアプリケーションプロトコルのいくつかのトラフィックフローをさらに含むことになり、そして、更新結果は新たに導入された識別可能なアプリケーションプロトコルの特徴キーワード重みベクトルをさらに含み得る。
第2のデバイス12は、訓練プロセスにおけるサブ動作21と同じアルゴリズムで識別プロセスにおいてトラフィックフローのキーワード重みベクトルを判定することになることが、当業者には理解されよう。
本発明の一実施形態では、具体的には、第2のデバイス12が、識別プロセスで以下のitp−idfアルゴリズムによってトラフィックフローfのキーワード重みベクトルvを検出し、そのトラフィックフローfの第iのキーワードの重みはωid=itpid×idfとして表され、但し、itpid=1/oidであり、oidは第iのキーワードkがトラフィックフローfで最初に現れる位置を表し、この位置はビット位置またはバイト位置でもよく、itpidはoidの逆数を表し、第iのキーワードkがトラフィックフローf内で現れない場合、0の値を取ることになり、但し:
Figure 0005536280
 但し、|F|は訓練トラフィックフローの総量を表し、|{f:k∈f}|は第iのキーワードkを含むトラフィックフローの量を表し、その場合、トラフィックフローfのキーワード重みベクトルはv=(ω1d,ω2d,...,ωMd)で表すことができ、但し、Mはキーワードデータベースにおけるキーワードの総量を表す。
トラフィックフローについて、トラフィックフローのプロトコルの識別において重要な役割をするキーワードは通常は、トラフィックフローの有効なペイロードのヘッダ内に置かれる。本発明の一実施形態では、具体的には、トラフィックフローのキーワード重みベクトルまたは訓練トラフィックフローは、トラフィックフローの有効なペイロードのヘッダ内の所定の長さの内容から識別プロセスでキーワード重みベクトルを判定する動作または第2のデバイス11の訓練プロセスにおいてサブ動作21で判定されることになり、第2のデバイス12がキーワードについて有効なペイロードのヘッダ内の所定の長さの内容のみを探索し、その内容のみから重みを計算すれば十分になろう。一例として、但し限定ではなく、所定の長さは128バイトまたは256バイトである。有効なペイロードのヘッダ内の所定の長さの内容は1つまたは複数のデータパケットで運ばれ得ることが、当業者には理解されよう。
本発明の一実施形態では、その中に前述のプロトコル識別装置10が配置されたネットワークデバイスが提供される。本ネットワークデバイスは、たとえば、スイッチ、ルータ、ゲートウェイ、端末デバイスなどであるが、これらに限定されない。
本発明で、装置は、ソフトウェア機能モジュール、ハードウェアモジュールまたはそれらの組合せを含み得ることが、当業者には理解されよう。
前述の実施形態は例示的であり限定的ではないことが、当業者には理解されよう。異なる実施形態に現れる異なる技術的特徴は有利に組み合わせ可能である。当業者は、本図面、本明細書、および本特許請求の範囲を検討して、開示された実施形態の他の変形実施形態を理解および実装することになろう。本特許請求の範囲において、「備える」という用語は、別の1つまたは複数のデバイスあるいは1つまたは複数のステップを排除せず、不定冠詞「a/an」は複数形を排除せず、「第1の」、「第2の」などの用語は名前を指定するものであり任意の特定の順番を表さない。本特許請求の範囲のいずれの参照番号も、本発明の範囲を限定するものとして解釈されない。特許請求に現れる複数の部分の機能は、ハードウェアまたはソフトウェア内の別個のモジュールによって実行可能である。単にいくつかの技術的特徴が異なる従属請求項に現れるという事実が、これらの技術的特徴が有利に結合され得ないことを意味することはない。

Claims (15)

  1. アプリケーションプロトコルを識別する方法であって、
    A.受信されたデータパケットを個々のトラフィックフローに分類するステップと、
    B.キーワードの重みがトラフィックフローの有効なペイロード内のキーワードの位置に関連し、識別可能なアプリケーションプロトコルのキーワードデータベースに基づいてトラフィックフローの有効なペイロード内でキーワードを探索し、トラフィックフローのキーワード重みベクトルを決定するステップと、
    C.トラフィックフローのキーワード重みベクトルと識別可能なアプリケーションプロトコルの特徴キーワード重みベクトルの間の類似度を決定するステップと、
    D.所定の条件が満たされる場合に、トラフィックフローのキーワード重みベクトルへの最も高い類似度を有する特徴キーワード重みベクトルに対応するアプリケーションプロトコルをトラフィックフローのアプリケーションプロトコルとして決定するステップと
    を備える、方法。
  2. トラフィックフローの有効なペイロードにおいてより早く最初に現れるキーワードが、ステップBにおいてより大きな重みを有する、請求項1に記載の方法。
  3. トラフィックフローfのキー重みベクトルにおける第iのキーワードの重みがωid=itpid×idfで表され、
    itpid=1/oidであり、oidは第iのキーワードがトラフィックフローf内で最初に現れる位置を表し、
    Figure 0005536280
     であり、|F|はトラフィックフローの総量を表し、|{f:k∈f}|は第iのキーワードkを含むトラフィックフローの量を表す、
    請求項2に記載の方法。
  4. ステップAの前に、
    a.識別可能なアプリケーションプロトコルのキーワードデータベースに基づいて複数の訓練トラフィックフローの有効なペイロードでキーワードを探索し、複数の訓練トラフィックフローのキーワード重みベクトルを決定するステップと、
    b.複数の訓練トラフィックフローのキーワード重みベクトルにしたがって各々の識別可能なアプリケーションプロトコルに対応する特徴キーワード重みベクトルを決定するステップと
    をさらに備える、請求項1から3のいずれか一項に記載の方法。
  5. 複数の訓練トラフィックフローのキーワード重みベクトルが、ステップBにおけるのと同じアルゴリズムを使用してステップaで決定され、
    第jのトラフィックフローのキー重みベクトルにおける第iのキーワードの重みがωij=itpij×idfで表され、
    itpij=1/oijであり、oijが、第iのキーワードが第jのトラフィックフロー内で最初に現れる位置を表し、
    Figure 0005536280
     であり、|F|がトラフィックフローの総量を表し、|{f:k∈f}|が第iのキーワードkを含むトラフィックフローの量を表す、
    請求項4に記載の方法。
  6. 受信されたデータパケットがステップAにおいて、受信されたデータパケットの5タプルにしたがって分類され、5タプルはソースアドレス、宛先アドレス、ソースポート番号、宛先ポート番号および転送プロトコルタイプを含み、ステップCにおける類似度がコサイン類似度を含む、請求項1から3のいずれか一項に記載の方法。
  7. 所定の条件が、最も高い類似度が所定の値を上回ることを含む、請求項1から3のいずれか一項に記載の方法。
  8. アプリケーションプロトコルを識別するための装置であって、
    受信されたデータパケットを個々のトラフィックフローに分類するように構成された第1のデバイスと、
    キーワードの重みがトラフィックフローの有効なペイロード内のキーワードの位置に関連し、識別可能なアプリケーションプロトコルのキーワードデータベースに基づいてトラフィックフローの有効なペイロードでキーワードを探索し、トラフィックフローのキーワード重みベクトルを決定するように構成された、第2のデバイスと、
    トラフィックフローのキーワード重みベクトルと識別可能なアプリケーションプロトコルの特徴キーワード重みベクトルの間の類似度を決定するように構成された、第3のデバイスと、
    所定の条件が満たされる場合に、トラフィックフローのキーワード重みベクトルへの最も高い類似度を有する特徴キーワード重みベクトルに対応するアプリケーションプロトコルをトラフィックフローのアプリケーションプロトコルとして決定するように構成された、第4のデバイスと
    を備える、装置。
  9. トラフィックフローの有効なペイロードでより早く最初に現れるキーワードが、第2のデバイスにおいてより大きな重みを有する、請求項8に記載のプロトコル識別装置。
  10. トラフィックフローfのキー重みベクトルにおける第iのキーワードの重みがωid=itpid×idfとして表され、
    itpid=1/oidであり、oidが第iのキーワードがトラフィックフローf内で最初に現れる位置を表し、
    Figure 0005536280
     であり、|F|がトラフィックフローの総量を表し、|{f:k∈f}|が第iのキーワードkを含むトラフィックフローの量を表す、
    請求項9に記載のプロトコル識別装置。
  11. ステップAの前に、第2のデバイスが、
    − 識別可能なアプリケーションプロトコルのキーワードデータベースに基づいて複数の訓練トラフィックフローの有効なペイロードでキーワードを探索し、複数の訓練トラフィックフローのキーワード重みベクトルを決定するように、および、
    − 複数の訓練トラフィックフローのキーワード重みベクトルにしたがって各々の識別可能なアプリケーションプロトコルに対応する特徴キーワード重みベクトルを決定するように
    さらに構成された、請求項8から10のいずれか一項に記載のプロトコル識別装置。
  12. 第2のデバイスが、同じアルゴリズムを使用して、複数の訓練トラフィックフローおよび受信されたデータパケットのトラフィックフローのキーワード重みベクトルを決定し、
    第jのトラフィックフローのキー重みベクトルにおける第iのキーワードの重みがωij=itpij×idfで表され、
    itpij=1/oijであり、oijが第iのキーワードが第jのトラフィックフロー内で最初に現れる位置を表し、
    Figure 0005536280
     であり、|F|がトラフィックフローの総量を表し、|{f:k∈f}|が第iのキーワードkを含むトラフィックフローの量を表す、
    請求項11に記載のプロトコル識別装置。
  13. 第1のデバイスが、受信されたデータパケットの5タプルにしたがって、受信されたデータパケットを分類し、5タプルがソースアドレス、宛先アドレス、ソースポート番号、宛先ポート番号および転送プロトコルタイプを含み、第3のデバイスにおける類似度がコサイン類似度を含む、請求項8から10のいずれか一項に記載のプロトコル識別装置。
  14. 所定の条件が、最も高い類似度が所定の値を上回ることを含む、請求項8から10のいずれか一項に記載のプロトコル識別装置。
  15. 請求項8から14のいずれか一項に記載のプロトコル識別装置を備える、ネットワーク機器。
JP2013510470A 2010-05-19 2010-05-19 アプリケーションプロトコルを識別するための方法および装置 Expired - Fee Related JP5536280B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2010/072923 WO2011143817A1 (zh) 2010-05-19 2010-05-19 应用协议识别方法及装置

Publications (2)

Publication Number Publication Date
JP2013526804A JP2013526804A (ja) 2013-06-24
JP5536280B2 true JP5536280B2 (ja) 2014-07-02

Family

ID=44991164

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013510470A Expired - Fee Related JP5536280B2 (ja) 2010-05-19 2010-05-19 アプリケーションプロトコルを識別するための方法および装置

Country Status (6)

Country Link
US (1) US9031959B2 (ja)
EP (1) EP2573995A4 (ja)
JP (1) JP5536280B2 (ja)
KR (1) KR101409563B1 (ja)
CN (1) CN102835090B (ja)
WO (1) WO2011143817A1 (ja)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8943039B1 (en) * 2006-08-25 2015-01-27 Riosoft Holdings, Inc. Centralized web-based software solution for search engine optimization
GB201101875D0 (en) * 2011-02-03 2011-03-23 Roke Manor Research A method and apparatus for communications analysis
US9344384B2 (en) * 2012-11-13 2016-05-17 Netronome Systems, Inc. Inter-packet interval prediction operating algorithm
CN103166963A (zh) * 2013-03-05 2013-06-19 汉柏科技有限公司 一种解除封装的协议识别方法及***
CN103414600B (zh) * 2013-07-19 2017-03-08 华为技术有限公司 近似匹配方法和相关设备及通信***
CN103716187B (zh) * 2013-12-20 2017-03-29 新浪网技术(中国)有限公司 网络拓扑结构确定方法和***
US9525606B1 (en) 2014-09-04 2016-12-20 HCA Holdings, Inc. Differential processing of data streams based on protocols
US10116493B2 (en) 2014-11-21 2018-10-30 Cisco Technology, Inc. Recovering from virtual port channel peer failure
CN105007194A (zh) * 2015-05-25 2015-10-28 上海南邮实业有限公司 一种自动识别网络协议的方法
CN105024993A (zh) * 2015-05-25 2015-11-04 上海南邮实业有限公司 一种基于向量运算的协议比对方法
US10333828B2 (en) 2016-05-31 2019-06-25 Cisco Technology, Inc. Bidirectional multicasting over virtual port channel
US11509501B2 (en) * 2016-07-20 2022-11-22 Cisco Technology, Inc. Automatic port verification and policy application for rogue devices
US10701086B1 (en) 2016-07-28 2020-06-30 SlashNext, Inc. Methods and systems for detecting malicious servers
US10193750B2 (en) 2016-09-07 2019-01-29 Cisco Technology, Inc. Managing virtual port channel switch peers from software-defined network controller
US10764313B1 (en) * 2017-01-24 2020-09-01 SlashNext, Inc. Method and system for protection against network-based cyber threats
US10547509B2 (en) 2017-06-19 2020-01-28 Cisco Technology, Inc. Validation of a virtual port channel (VPC) endpoint in the network fabric
CN108234452B (zh) * 2017-12-12 2020-11-24 上海天旦网络科技发展有限公司 一种网络数据包多层协议识别的***和方法
CN110138681B (zh) * 2019-04-19 2021-01-22 上海交通大学 一种基于tcp报文特征的网络流量识别方法及装置
CN109873838A (zh) * 2019-04-19 2019-06-11 国网甘肃省电力公司电力科学研究院 一种新能源厂站远程运维非法网络通道识别方法
CN110460488B (zh) * 2019-07-01 2022-10-18 华为技术有限公司 业务流识别方法和装置、模型生成方法和装置
CN111797239B (zh) * 2020-09-08 2021-01-15 中山大学深圳研究院 应用程序的分类方法、装置及终端设备

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6591299B2 (en) * 1997-11-25 2003-07-08 Packeteer, Inc. Method for automatically classifying traffic with enhanced hierarchy in a packet communications network
AU1421799A (en) * 1997-11-25 1999-06-15 Packeteer, Inc. Method for automatically classifying traffic in a packet communications network
EP1196856B1 (en) * 1999-06-30 2011-01-19 Apptitude, Inc. Method and apparatus for monitoring traffic in a network
US8010469B2 (en) * 2000-09-25 2011-08-30 Crossbeam Systems, Inc. Systems and methods for processing data flows
US20020186697A1 (en) 2001-04-23 2002-12-12 Thakkar Bina Kunal Protocol encoder and decoder
US20090010259A1 (en) 2007-07-08 2009-01-08 Alexander Sirotkin Device, system, and method of classification of communication traffic
CN101184089A (zh) * 2007-12-14 2008-05-21 浙江工业大学 一种基于端口与内容混杂检测的协议识别方法
CN101488861A (zh) 2008-12-19 2009-07-22 中山大学 一种网络未知应用的关键词提取方法
US8494000B1 (en) * 2009-07-10 2013-07-23 Netscout Systems, Inc. Intelligent slicing of monitored network packets for storing

Also Published As

Publication number Publication date
EP2573995A4 (en) 2017-07-26
US9031959B2 (en) 2015-05-12
KR20130017089A (ko) 2013-02-19
WO2011143817A1 (zh) 2011-11-24
JP2013526804A (ja) 2013-06-24
KR101409563B1 (ko) 2014-06-19
CN102835090A (zh) 2012-12-19
CN102835090B (zh) 2015-12-09
EP2573995A1 (en) 2013-03-27
US20130054619A1 (en) 2013-02-28

Similar Documents

Publication Publication Date Title
JP5536280B2 (ja) アプリケーションプロトコルを識別するための方法および装置
US11032190B2 (en) Methods and systems for network security universal control point
Li et al. A survey of network flow applications
AlEroud et al. Identifying cyber-attacks on software defined networks: An inference-based intrusion detection approach
JP5362669B2 (ja) ネットワークパケットの効率的な分類
US7688761B2 (en) Method and system for classifying packets in a network based on meta rules
US8448234B2 (en) Method and apparatus for deep packet inspection for network intrusion detection
CN110830469A (zh) 基于SDN和BGP流程规范的DDoS攻击防护***及方法
US10432509B2 (en) Flow classification for information centric network protocols
US20110206049A1 (en) Targeted flow sampling
US9647947B2 (en) Block mask register key processing by compiling data structures to traverse rules and creating a new rule set
CN102724317A (zh) 一种网络数据流量分类方法和装置
Divakaran et al. Slic: Self-learning intelligent classifier for network traffic
WO2009052039A1 (en) Efficient intrusion detection
WO2017145898A1 (en) Real-time validation of json data applying tree graph properties
JP2007228217A (ja) トラフィック判定装置、トラフィック判定方法、及びそのプログラム
US20230198946A1 (en) Predictive policy enforcement using encapsulated metadata
Melnyk et al. Machine learning based network traffic classification approach for Internet of Things devices
Li et al. Composite lightweight traffic classification system for network management
Haefner et al. Trust and verify: A complexity-based IoT behavioral enforcement method
Anbarsu et al. Software-Defined Networking for the Internet of Things: Securing home networks using SDN
US20230412623A1 (en) Cyberattack detection with topological data
RU181257U1 (ru) Межсетевой экран на основе кластеризации данных
US20230412618A1 (en) Stack-hac for machine learning based botnet detection
US20230319078A1 (en) System and method for detecting and mitigating port scanning attacks

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131022

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140121

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140415

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140423

R150 Certificate of patent or registration of utility model

Ref document number: 5536280

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees