JP5536280B2 - アプリケーションプロトコルを識別するための方法および装置 - Google Patents
アプリケーションプロトコルを識別するための方法および装置 Download PDFInfo
- Publication number
- JP5536280B2 JP5536280B2 JP2013510470A JP2013510470A JP5536280B2 JP 5536280 B2 JP5536280 B2 JP 5536280B2 JP 2013510470 A JP2013510470 A JP 2013510470A JP 2013510470 A JP2013510470 A JP 2013510470A JP 5536280 B2 JP5536280 B2 JP 5536280B2
- Authority
- JP
- Japan
- Prior art keywords
- keyword
- traffic flow
- weight vector
- protocol
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2475—Traffic characterised by specific attributes, e.g. priority or QoS for supporting traffic characterised by the type of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Communication Control (AREA)
Description
ポートに基づくプロトコル識別
ポート番号によるプロトコル分類は、最も単純で、最も伝統的な方法である。この方法は、トランスポート層ヘッダで運ばれるポート番号からプロトコルまたはアプリケーションタイプを識別する。標準プロトコルでは、ポート番号とプロトコルの間の対応は、インターネットアサインドナンバオーソリティ(IANA)によって定義され、たとえば、HTTPプロトコルは通常はポート80を使用し、SMTPプロトコルはポート25を使用する。所有権を主張できるプロトコルでは、ポート番号は通常は、プロトコルまたはアプリケーション自体によって定義される。プロトコルとポート番号の間のそのような対応により、プロトコルタイプは、アプリケーション層プロトコルヘッダ、たとえばTCPヘッダ、内のソースポートおよび宛先ポート欄内のポート番号から判定可能である。
ペイロードに基づく分類は、ディープパケットインスペクション(DPI)技術でトラフィックデータパケット内のプロトコルのペイロードを検査することである。この方法は、アプリケーション層データパケット内の決定性の文字列を見つけることを含み、たとえば文字列「http/1」はアプリケーションHTTPに対応し、文字列「0xe319010000」はeDonkeyアプリケーションに対応する。しかし、単一の署名は、プロトコルタイプを判定するのには十分信頼できるものではなく、たとえば、文字列「http/1」はKazzaプロトコルにも現れることもある。
挙動に基づくプロトコル識別は、トラフィックの内容をチェックしないが、代わりに、たとえば、データパケットのサイズ、接続の数など、トラフィックの観測される挙動または特性からプロトコルを識別する。一般的な挙動に基づくプロトコル識別は、統計的プロパティを使用してアプリケーションに関するトラフィックを識別および分類することである。たとえば、ある文献は、教師あり機械学習を採用してインターネットトラフィックを識別することを提案しており、基本的な分類されるオブジェクトは、所与の対のホストの間の1つまたは複数のデータパケットとして表されるトラフィックフローである。各トラフィックフローは、その挙動を説明するいくつかの特性(パラメータ)を有する。これらのパラメータは、アプリケーション識別のための入力弁別子を構成する。たとえば、フロー持続期間、パケット到着間の時間、有効なペイロードサイズ、パケット到着間の時間のフーリエ変換などは、弁別子の機能を果たすことができる。前記文献が主張するように、ベイジアン機械学習は65%の識別率を達成したが、2つの改良、すなわちカーネル密度推定(Kernel Density Estimation、KDE)および高速相関に基づくフィルタ(Fast Correlation−Based Filter、FCBF)の導入のおかげで95%の識別率を達成した。またある人は、いくつかの他の統計に基づく識別機構を提案した。
ωij=itpij×idfi (1)
但し、itpijは逆テキスト位置のメトリクであり、idfiは逆文書頻度のメトリクであり、そして、
itpij=1/oij (2)
但し、oijは、第iのキーワードkiが第jの訓練トラフィックフローで最初に現れる位置を表し、そして、この位置はビット位置またはバイト位置でもよく、itpijは、oijの逆数を表し、第iのキーワードkiが第jの訓練トラフィックフローで現れない場合、0の値を取ることになり
vj=(ω1j,ω2j,...,ωMj) (4)
但し、Mは、キーワードデータベースにおけるキーワードの総量を表す。
ωij=itpij×idfi (1)
但し、itpijは逆テキスト位置のメトリクであり、idfiは逆文書頻度のメトリクであり、そして、
itpij=1/oij (2)
但し、oijは、第iのキーワードkiが第jの訓練トラフィックフローで最初に現れる位置を表し、この位置はビット位置またはバイト位置でもよく、itpijはoijの逆数を表し、第iのキーワードkiが第jの訓練トラフィックフローで現れない場合、0の値を取ることになり
Vj=(ω1j,ω2j,...,ωMj) (4)
但し、Mはキーワードデータベースにおけるキーワードの総量を表す。
Claims (15)
- アプリケーションプロトコルを識別する方法であって、
A.受信されたデータパケットを個々のトラフィックフローに分類するステップと、
B.キーワードの重みがトラフィックフローの有効なペイロード内のキーワードの位置に関連し、識別可能なアプリケーションプロトコルのキーワードデータベースに基づいてトラフィックフローの有効なペイロード内でキーワードを探索し、トラフィックフローのキーワード重みベクトルを決定するステップと、
C.トラフィックフローのキーワード重みベクトルと識別可能なアプリケーションプロトコルの特徴キーワード重みベクトルの間の類似度を決定するステップと、
D.所定の条件が満たされる場合に、トラフィックフローのキーワード重みベクトルへの最も高い類似度を有する特徴キーワード重みベクトルに対応するアプリケーションプロトコルをトラフィックフローのアプリケーションプロトコルとして決定するステップと
を備える、方法。 - トラフィックフローの有効なペイロードにおいてより早く最初に現れるキーワードが、ステップBにおいてより大きな重みを有する、請求項1に記載の方法。
- ステップAの前に、
a.識別可能なアプリケーションプロトコルのキーワードデータベースに基づいて複数の訓練トラフィックフローの有効なペイロードでキーワードを探索し、複数の訓練トラフィックフローのキーワード重みベクトルを決定するステップと、
b.複数の訓練トラフィックフローのキーワード重みベクトルにしたがって各々の識別可能なアプリケーションプロトコルに対応する特徴キーワード重みベクトルを決定するステップと
をさらに備える、請求項1から3のいずれか一項に記載の方法。 - 受信されたデータパケットがステップAにおいて、受信されたデータパケットの5タプルにしたがって分類され、5タプルはソースアドレス、宛先アドレス、ソースポート番号、宛先ポート番号および転送プロトコルタイプを含み、ステップCにおける類似度がコサイン類似度を含む、請求項1から3のいずれか一項に記載の方法。
- 所定の条件が、最も高い類似度が所定の値を上回ることを含む、請求項1から3のいずれか一項に記載の方法。
- アプリケーションプロトコルを識別するための装置であって、
受信されたデータパケットを個々のトラフィックフローに分類するように構成された第1のデバイスと、
キーワードの重みがトラフィックフローの有効なペイロード内のキーワードの位置に関連し、識別可能なアプリケーションプロトコルのキーワードデータベースに基づいてトラフィックフローの有効なペイロードでキーワードを探索し、トラフィックフローのキーワード重みベクトルを決定するように構成された、第2のデバイスと、
トラフィックフローのキーワード重みベクトルと識別可能なアプリケーションプロトコルの特徴キーワード重みベクトルの間の類似度を決定するように構成された、第3のデバイスと、
所定の条件が満たされる場合に、トラフィックフローのキーワード重みベクトルへの最も高い類似度を有する特徴キーワード重みベクトルに対応するアプリケーションプロトコルをトラフィックフローのアプリケーションプロトコルとして決定するように構成された、第4のデバイスと
を備える、装置。 - トラフィックフローの有効なペイロードでより早く最初に現れるキーワードが、第2のデバイスにおいてより大きな重みを有する、請求項8に記載のプロトコル識別装置。
- ステップAの前に、第2のデバイスが、
− 識別可能なアプリケーションプロトコルのキーワードデータベースに基づいて複数の訓練トラフィックフローの有効なペイロードでキーワードを探索し、複数の訓練トラフィックフローのキーワード重みベクトルを決定するように、および、
− 複数の訓練トラフィックフローのキーワード重みベクトルにしたがって各々の識別可能なアプリケーションプロトコルに対応する特徴キーワード重みベクトルを決定するように
さらに構成された、請求項8から10のいずれか一項に記載のプロトコル識別装置。 - 第1のデバイスが、受信されたデータパケットの5タプルにしたがって、受信されたデータパケットを分類し、5タプルがソースアドレス、宛先アドレス、ソースポート番号、宛先ポート番号および転送プロトコルタイプを含み、第3のデバイスにおける類似度がコサイン類似度を含む、請求項8から10のいずれか一項に記載のプロトコル識別装置。
- 所定の条件が、最も高い類似度が所定の値を上回ることを含む、請求項8から10のいずれか一項に記載のプロトコル識別装置。
- 請求項8から14のいずれか一項に記載のプロトコル識別装置を備える、ネットワーク機器。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2010/072923 WO2011143817A1 (zh) | 2010-05-19 | 2010-05-19 | 应用协议识别方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013526804A JP2013526804A (ja) | 2013-06-24 |
JP5536280B2 true JP5536280B2 (ja) | 2014-07-02 |
Family
ID=44991164
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013510470A Expired - Fee Related JP5536280B2 (ja) | 2010-05-19 | 2010-05-19 | アプリケーションプロトコルを識別するための方法および装置 |
Country Status (6)
Country | Link |
---|---|
US (1) | US9031959B2 (ja) |
EP (1) | EP2573995A4 (ja) |
JP (1) | JP5536280B2 (ja) |
KR (1) | KR101409563B1 (ja) |
CN (1) | CN102835090B (ja) |
WO (1) | WO2011143817A1 (ja) |
Families Citing this family (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8943039B1 (en) * | 2006-08-25 | 2015-01-27 | Riosoft Holdings, Inc. | Centralized web-based software solution for search engine optimization |
GB201101875D0 (en) * | 2011-02-03 | 2011-03-23 | Roke Manor Research | A method and apparatus for communications analysis |
US9344384B2 (en) * | 2012-11-13 | 2016-05-17 | Netronome Systems, Inc. | Inter-packet interval prediction operating algorithm |
CN103166963A (zh) * | 2013-03-05 | 2013-06-19 | 汉柏科技有限公司 | 一种解除封装的协议识别方法及*** |
CN103414600B (zh) * | 2013-07-19 | 2017-03-08 | 华为技术有限公司 | 近似匹配方法和相关设备及通信*** |
CN103716187B (zh) * | 2013-12-20 | 2017-03-29 | 新浪网技术(中国)有限公司 | 网络拓扑结构确定方法和*** |
US9525606B1 (en) | 2014-09-04 | 2016-12-20 | HCA Holdings, Inc. | Differential processing of data streams based on protocols |
US10116493B2 (en) | 2014-11-21 | 2018-10-30 | Cisco Technology, Inc. | Recovering from virtual port channel peer failure |
CN105007194A (zh) * | 2015-05-25 | 2015-10-28 | 上海南邮实业有限公司 | 一种自动识别网络协议的方法 |
CN105024993A (zh) * | 2015-05-25 | 2015-11-04 | 上海南邮实业有限公司 | 一种基于向量运算的协议比对方法 |
US10333828B2 (en) | 2016-05-31 | 2019-06-25 | Cisco Technology, Inc. | Bidirectional multicasting over virtual port channel |
US11509501B2 (en) * | 2016-07-20 | 2022-11-22 | Cisco Technology, Inc. | Automatic port verification and policy application for rogue devices |
US10701086B1 (en) | 2016-07-28 | 2020-06-30 | SlashNext, Inc. | Methods and systems for detecting malicious servers |
US10193750B2 (en) | 2016-09-07 | 2019-01-29 | Cisco Technology, Inc. | Managing virtual port channel switch peers from software-defined network controller |
US10764313B1 (en) * | 2017-01-24 | 2020-09-01 | SlashNext, Inc. | Method and system for protection against network-based cyber threats |
US10547509B2 (en) | 2017-06-19 | 2020-01-28 | Cisco Technology, Inc. | Validation of a virtual port channel (VPC) endpoint in the network fabric |
CN108234452B (zh) * | 2017-12-12 | 2020-11-24 | 上海天旦网络科技发展有限公司 | 一种网络数据包多层协议识别的***和方法 |
CN110138681B (zh) * | 2019-04-19 | 2021-01-22 | 上海交通大学 | 一种基于tcp报文特征的网络流量识别方法及装置 |
CN109873838A (zh) * | 2019-04-19 | 2019-06-11 | 国网甘肃省电力公司电力科学研究院 | 一种新能源厂站远程运维非法网络通道识别方法 |
CN110460488B (zh) * | 2019-07-01 | 2022-10-18 | 华为技术有限公司 | 业务流识别方法和装置、模型生成方法和装置 |
CN111797239B (zh) * | 2020-09-08 | 2021-01-15 | 中山大学深圳研究院 | 应用程序的分类方法、装置及终端设备 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6591299B2 (en) * | 1997-11-25 | 2003-07-08 | Packeteer, Inc. | Method for automatically classifying traffic with enhanced hierarchy in a packet communications network |
AU1421799A (en) * | 1997-11-25 | 1999-06-15 | Packeteer, Inc. | Method for automatically classifying traffic in a packet communications network |
EP1196856B1 (en) * | 1999-06-30 | 2011-01-19 | Apptitude, Inc. | Method and apparatus for monitoring traffic in a network |
US8010469B2 (en) * | 2000-09-25 | 2011-08-30 | Crossbeam Systems, Inc. | Systems and methods for processing data flows |
US20020186697A1 (en) | 2001-04-23 | 2002-12-12 | Thakkar Bina Kunal | Protocol encoder and decoder |
US20090010259A1 (en) | 2007-07-08 | 2009-01-08 | Alexander Sirotkin | Device, system, and method of classification of communication traffic |
CN101184089A (zh) * | 2007-12-14 | 2008-05-21 | 浙江工业大学 | 一种基于端口与内容混杂检测的协议识别方法 |
CN101488861A (zh) | 2008-12-19 | 2009-07-22 | 中山大学 | 一种网络未知应用的关键词提取方法 |
US8494000B1 (en) * | 2009-07-10 | 2013-07-23 | Netscout Systems, Inc. | Intelligent slicing of monitored network packets for storing |
-
2010
- 2010-05-19 WO PCT/CN2010/072923 patent/WO2011143817A1/zh active Application Filing
- 2010-05-19 EP EP10851576.8A patent/EP2573995A4/en not_active Withdrawn
- 2010-05-19 JP JP2013510470A patent/JP5536280B2/ja not_active Expired - Fee Related
- 2010-05-19 US US13/696,431 patent/US9031959B2/en not_active Expired - Fee Related
- 2010-05-19 CN CN201080065034.9A patent/CN102835090B/zh not_active Expired - Fee Related
- 2010-05-19 KR KR1020127030076A patent/KR101409563B1/ko not_active IP Right Cessation
Also Published As
Publication number | Publication date |
---|---|
EP2573995A4 (en) | 2017-07-26 |
US9031959B2 (en) | 2015-05-12 |
KR20130017089A (ko) | 2013-02-19 |
WO2011143817A1 (zh) | 2011-11-24 |
JP2013526804A (ja) | 2013-06-24 |
KR101409563B1 (ko) | 2014-06-19 |
CN102835090A (zh) | 2012-12-19 |
CN102835090B (zh) | 2015-12-09 |
EP2573995A1 (en) | 2013-03-27 |
US20130054619A1 (en) | 2013-02-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5536280B2 (ja) | アプリケーションプロトコルを識別するための方法および装置 | |
US11032190B2 (en) | Methods and systems for network security universal control point | |
Li et al. | A survey of network flow applications | |
AlEroud et al. | Identifying cyber-attacks on software defined networks: An inference-based intrusion detection approach | |
JP5362669B2 (ja) | ネットワークパケットの効率的な分類 | |
US7688761B2 (en) | Method and system for classifying packets in a network based on meta rules | |
US8448234B2 (en) | Method and apparatus for deep packet inspection for network intrusion detection | |
CN110830469A (zh) | 基于SDN和BGP流程规范的DDoS攻击防护***及方法 | |
US10432509B2 (en) | Flow classification for information centric network protocols | |
US20110206049A1 (en) | Targeted flow sampling | |
US9647947B2 (en) | Block mask register key processing by compiling data structures to traverse rules and creating a new rule set | |
CN102724317A (zh) | 一种网络数据流量分类方法和装置 | |
Divakaran et al. | Slic: Self-learning intelligent classifier for network traffic | |
WO2009052039A1 (en) | Efficient intrusion detection | |
WO2017145898A1 (en) | Real-time validation of json data applying tree graph properties | |
JP2007228217A (ja) | トラフィック判定装置、トラフィック判定方法、及びそのプログラム | |
US20230198946A1 (en) | Predictive policy enforcement using encapsulated metadata | |
Melnyk et al. | Machine learning based network traffic classification approach for Internet of Things devices | |
Li et al. | Composite lightweight traffic classification system for network management | |
Haefner et al. | Trust and verify: A complexity-based IoT behavioral enforcement method | |
Anbarsu et al. | Software-Defined Networking for the Internet of Things: Securing home networks using SDN | |
US20230412623A1 (en) | Cyberattack detection with topological data | |
RU181257U1 (ru) | Межсетевой экран на основе кластеризации данных | |
US20230412618A1 (en) | Stack-hac for machine learning based botnet detection | |
US20230319078A1 (en) | System and method for detecting and mitigating port scanning attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131022 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140121 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140415 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140423 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5536280 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |