JP5812282B2 - トラヒック監視装置 - Google Patents

トラヒック監視装置 Download PDF

Info

Publication number
JP5812282B2
JP5812282B2 JP2011276151A JP2011276151A JP5812282B2 JP 5812282 B2 JP5812282 B2 JP 5812282B2 JP 2011276151 A JP2011276151 A JP 2011276151A JP 2011276151 A JP2011276151 A JP 2011276151A JP 5812282 B2 JP5812282 B2 JP 5812282B2
Authority
JP
Japan
Prior art keywords
traffic
information
teacher
feature
feature information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011276151A
Other languages
English (en)
Other versions
JP2013127504A (ja
Inventor
信吾 阿多
信吾 阿多
洋平 岡田
洋平 岡田
長谷川 剛
剛 長谷川
中村 信之
信之 中村
規景 今中
規景 今中
佳裕 中平
佳裕 中平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Osaka University NUC
Osaka City University
Original Assignee
Oki Electric Industry Co Ltd
Osaka University NUC
Osaka City University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd, Osaka University NUC, Osaka City University filed Critical Oki Electric Industry Co Ltd
Priority to JP2011276151A priority Critical patent/JP5812282B2/ja
Publication of JP2013127504A publication Critical patent/JP2013127504A/ja
Application granted granted Critical
Publication of JP5812282B2 publication Critical patent/JP5812282B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、トラヒック監視装置に関し、とくに、トラヒック監視装置は、インターネットのようなデータ通信網のノードや端末装置において、トラヒックを監視し、暗号解読することなく、流れるトラヒックに用いた暗号方式かを識別推定し、かつ使用したアプリケーションも識別推定する装置に関するものである。
ネットワークが加入者によって、どのように利用されているか、各フローでどのような通信が行なわれているかを把握することは、ネットワークオペレータが設備投資の判断、フローの制御、異常監視を行なう上で有用である。しかしながら、今日の通信では、暗号化されたトラヒックが増え、暗号文の中でどのような通信を行なっているかの把握が困難になりつつあるという技術的課題と、プライバシ保護の観点から、ペイロードの内容を観測せずに、パケット長や到着間隔の統計情報で、内容を推定したいという要求が存在する。
この要求を満たし、迅速な処理を実現するために、特許文献1が提案されている。特許文献1は、暗号化通信特徴抽出装置、暗号化通信特徴抽出プログラムおよび記録媒体である。暗号化通信特徴抽出装置は、事前に、既知の暗号化方法で暗号化した暗号文を、この装置の外部通信部より発信し、この試験通信暗号データを暗号文データ収集部で収集して特徴を求める。次に、暗号判定機能部ではトラヒックの種別が不明な通信情報に対して、特徴情報を求め、求めた種別の不明な通信情報の特徴情報と、先に求めた既知の暗号文の特徴情報とを比較する。この比較結果が一致した場合、この種別不明なトラヒックがどの既知の暗号化方法で暗号化された文章であると推定できる。
この方法を用いれば、暗号化通信の種別として、使用される通信アプリケーション、暗号通信ソフト、および暗号化プロトコルの組合せを示すことができる。使用可能な暗号化プロトコルとしては、WEBサービスの場合、HTTPS(Hypertext Transfer Protocol over Secure Socket Layer)、VPN(Virtual Private Network)の場合、DES(Data Encryption Standard)、3DES、AES(Advanced Encryption Standard)等がある。
また、特徴を抽出する手段としては、
(1)通信セッションの発生間隔、
(2)通信セッション中のパケット発生間隔、
(3)通信セッション中のパケットサイズ、
(4)通信セッション中のパケット総パケット数、
(5)通信セッション中のパケット送受信方向の関係、
(6)通信セッション中のパケット送受信数方向比、
(7)通信セッション中のプロトコル占有率、
(8)通信セッション開始時の各パケットサイズ、
(9)通信セッション開始時の総パケット数、
(10)通信セッション開始時の総データサイズ、
(11)長期間の送信元/宛先IP分布、
(12)長期間の宛先ポート分布、
(13)長期間のDNSサーバへの問合せの有無、および
(14)通信アプリケーション側から何も通信していない時に送信されるデータの有無が挙げられる。
暗号判定部は、抽出した特徴の種別について、抽出された通信状態情報と、暗号化通信特徴抽出装置の記憶部の特徴データベース(DB)から読み出した情報とを比較し、抽出された通信状態情報と、サイドチャネルテーブルにおける固定パターンの情報とを比較して両者が一致した場合に、暗号判定部は、この固定パターンの情報に関連付けられているCombination ID(IDentification)を参照し、同じCombination IDを有する組合せ条件テーブル中の組合せが通信中のホストに適用されていると判断する。
また、暗号判定部は、通信状態情報のうち、グラフ化できるものについては相関分析を適用し、収集された暗号文データから得られた通信状態情報と、特徴DBに記録された通信状態情報との間の相関度が高い場合に、このときの試験条件から暗号化通信の種別を判定してもよい。
特開2006−146039号公報 特開2010−204289号公報
ところで、特許文献1では、上述した14種類のいずれか一つの特徴情報を用いた相関分析だけを開示し、複数の特徴情報を用いた相関分析について何も想定していない。
複数の特徴情報を用いれば、判定精度が向上する可能性があるが、特徴情報ごとに異なる判定結果が出た場合、アプリケーションをどのように推定すればよいか開示も示唆もしていない。このため、特許文献1で複数の特徴情報を用いた相関分析は実施できない。
複数の特徴情報を用いる手段には、ナイーブベイズ、すなわち単純ベイズ判定器と呼ばれる条件付確率モデルを用いたものが提案されているものの、精度には限界がある。
本発明はこのような課題に鑑み、判定に用いる教師データの種類数を増やすこと、すなわち複数の特徴情報を用いて、精度よく特徴の種別を判定することができるトラヒック監視装置を提供することを目的とする。
本発明は上述の課題を解決するために、ネットワーク通信のトラヒックを監視して、監視するトラヒックの特徴を抽出して、暗号の方式および使用したアプリケーションの種類を推定するトラヒック監視装置であって、この装置は、トラヒックを入力し、入力したトラヒックを観測すべきトラヒック、教師トラヒックおよび制御信号に分類し、順次出力する入力手段と、観測すべきトラヒックおよび教師トラヒックから抽出する複数の特徴量をそれぞれ特徴情報および教師用情報として獲得する特徴獲得手段と、教師用情報を入力し、この教師用情報を評価用の教師用情報に変換する教師情報獲得手段と、複数の特徴量を特徴ベクトルとして用いるとともに、特徴情報および評価用の教師用情報を基に種別を推定し、推定した種別で分類したトラヒック情報を出力する分類手段と、この分類したトラヒック情報を格納し、制御信号に応じて該当する情報を出力する分類格納手段と、この装置の計測に用いる各要素の処理を制御する計測制御手段と、分類したトラヒック情報、教師トラヒックおよび制御信号を出力する出力手段とを含むことを特徴とする。
本発明によれば、計測制御手段でこのトラヒック監視装置の計測を制御し、入力手段で入力したトラヒックを、観測すべきトラヒック、教師トラヒックおよび制御信号に分類し、特徴獲得手段に観測すべきトラヒックおよび教師トラヒックを出力し、特徴獲得手段で入力した両トラヒックから抽出する複数の特徴量をそれぞれ特徴情報および教師用情報として獲得し、分類手段に特徴情報を、教師情報獲得手段に教師用情報を出力し、教師情報獲得手段で入力した教師用情報を評価用の教師用情報に変換して分類手段に出力し、分類手段で複数の特徴量を特徴ベクトルとして用いるとともに、特徴情報および評価用の教師用情報を基に種別を推定し、推定した種別で分類したトラヒック情報を分類格納手段に出力し、分類格納手段で供給される分類したトラヒック情報を格納し、制御信号に応じて該当する情報、すなわち分類したトラヒックを出力手段に出力し、出力手段から分類したトラヒックだけでなく、教師トラックおよび制御信号を出力することにより、ネットワークの利用状況が判り、キャリアやISP(Internet Service Provider)は設備投資の参考情報に使ったり、同意した利用者について、フロー別に優先度を変えて転送したりという処理が技術的に可能となる。
本発明に係るトラヒック監視装置を適用した計測機能部が配設されるトラヒック監視システムの接続形態を示す配置図である。 図1Aに適用した計測機能部の概略的な構成を示すブロック図である。 本発明に係るトラヒック監視装置を適用した計測機能部が配設されるトラヒック監視システムの他の接続形態を示す配置図である。 図2Aに適用した計測機能部の新たに追加される構成を示す要部ブロック図である。 図2Bに適用されるトラヒック分類機能部の構成を示すブロック図である。 図2Aの計測機能部における教師データと実測データの分布と判定曲線の関係を示すグラフである。
次に添付図面を参照して本発明によるトラヒック監視装置の実施例を詳細に記述する。図1Aを参照すると、本発明によるトラヒック監視装置の実施例は、計測機能部18に適用したトラヒック監視システム10の場合である。計測機能部18は、図1Bに示すように、計測制御部34でこの計測機能部18の計測を制御し、トラヒック入力部22で入力したトラヒック38を、観測すべきトラヒック、教師トラヒックおよび制御信号に分類し、特徴獲得部24に観測すべきトラヒック40および教師トラヒック42を出力し、特徴獲得部24で入力した両トラヒック40および42から抽出する複数の特徴量をそれぞれ特徴情報48および教師用情報50として獲得し、トラヒック分類機能部28に特徴情報48を、教師情報獲得部30に教師用情報50を出力し、教師情報獲得部30で入力した教師用情報50を評価用の教師用情報58に変換してトラヒック分類機能部28に出力し、トラヒック分類機能部28で複数の特徴量を特徴ベクトルとして用いるとともに、特徴情報48および評価用の教師用情報58を基に種別を推定し、推定した種別で分類したトラヒック情報60を分類情報格納部32に出力し、分類情報格納部32で供給される分類したトラヒック情報を格納し、制御信号に応じて該当する情報、すなわち分類したトラヒック情報62をトラヒック出力部36に出力し、トラヒック出力部36から分類したトラヒック情報62だけでなく、教師トラヒック56および制御信号64を、出力信号66として出力する。上記の構成により、ネットワークの利用状況が判り、キャリアやISPは設備投資の参考情報に使ったり、同意した利用者について、フロー別に優先度を変えて転送したりという処理を技術的に可能にしている。
本発明と直接関係のない部分について図示および説明を省略する。以下の説明で、信号はその現れる接続線の参照番号で指示する。
インターネット上で、あるIP(Internet Protocol)キャリアAが、自身が運用する自網10a、または自網10aと外部網10bとの間を流れるトラヒックに関して、トラヒックの利用情報を把握するトラヒック監視システム10の構成例を、図1Aに示す。このシステム10は、ルータ12a、12bおよび12c、ゲートウェイ装置(GW)14、端末装置16a、16bおよび16c、計測機能部18a、18bおよび18c、ならびに制御機能部20を含む。
ルータ12a、12bおよび12cは、一般加入者が通信サービスを行うための通信装置であり、キャリアの内部網を構築している。また、ルータ12cはゲートウェイ装置を介して、外部網に接続されている。外部網にはインターネットサービスを提供している他のIPキャリアや、ISP同士を接続する機能を有するIX(Internet eXChange:相互接続ポイント)事業者、サーバサービス事業者等が含まれる。各ルータ12a、12bおよび12cには加入者の端末装置16a、16bおよび16cが接続されている。ルータと加入者の端末装置の間には、図示を省略するが、しばしばPON(Passive Optical Network)やADSL(Asymmetric Digital Subscriber Line)等のアクセス機器が接続されていることが多い。
また、ゲートウェイ装置14はネットワーク間の接続を中継する機器であり、端末装置16a、16bおよび16cはたとえばパーソナルコンピュータ(PC)である。
計測機能部18a、18bおよび18c、ならびに制御機能部20は、トラヒックの利用状態を把握する機能を有する装置として設置されている。制御機能部20は、計測機能部18a、18bおよび18cに内蔵してもよい。計測機能部18a、18bおよび18cは、接続方法により3つの場合がある。
第1の接続は、計測機能18aが一般の加入者の端末装置16aと同様にルータ12aに接続されるような場合である。第2の接続は、ルータ12bの前段にインラインに設置され、流れているトラヒックが装置内部を流れる計測機能部18bのような場合である。第3の接続は、ルータ12cのミラーポート、あるいはタップにより、流れているトラヒックのコピーを得るように接続される計測機能部18cのような場合である。トラヒックは、ネットワーク通信における情報を示している。
計測機能部18bは、インライン型に見えても内部にタップを置いてコピーを入力する構成にすれば、機能的には計測機能部18cと等価である。計測機能部18aは、一般加入者のトラヒックが流れないことから、後述するキャリブレーションするためだけに用いられる。
次に本発明に係るトラヒック監視装置を適用した計測機能部18の内部構成について図1Bを参照しながら記述する。計測機能部18は、図1Aに示した計測機能部18a、18bおよび18cを総称している。計測機能部18は、図1Bに示すように、トラヒック入力部22、特徴獲得部24、教師トラヒック送受信部26、トラヒック分解機能部28、教師情報獲得部30、分類情報格納部32、計測制御部34、およびトラヒック出力部36を含む。
トラヒック入力部22は、外部からのトラヒック、すなわちネットワークにおける情報を入力し、入力したトラヒックの分類、順次分類した情報、たとえばトラヒックや制御信号を転送する機能を有する。具体的に、トラヒック入力部22は、入力したトラヒック38を、観測すべき加入者のトラヒック40、教師トラヒック42および制御信号44に分類し、各々順に、トラヒック40を特徴獲得部22、教師トラヒック42を特徴獲得部22および教師トラヒック送受信部26に、制御信号44を計測制御部34に、転送する。
特徴獲得部24は、入力されたトラヒックをフロー別に分類して記憶し、記憶したトラヒックから特徴量を抽出する機能を有する。特徴獲得部24は、トラヒック記憶部46を有する。トラヒック記憶部46は、フロー別に分類したトラヒック40および42を格納する。特徴獲得部24は、格納しているトラヒックから特徴量を抽出する。特徴量のパラメータには、複数利用でき、たとえば従来技術で述べた14種類が利用できる。ここで得られる特徴量は、上述した入力の記述から明らかなように、加入者のトラヒック40と、暗号方式とアプリが既知でキャリブレーションに用いる教師トラヒック42から構成される。前者から抽出された特徴量、特徴データまたは特徴情報48はトラヒック分類機能部28に供給され、後者から抽出された特徴量、教師データまたは教師用情報50は教師情報獲得部30に送られる。
教師トラヒック送受信部26は、図示しないが、計測制御部34の指示を受けて、各種アプリケーション(アプリ)による平文と各種暗号文を、他の計測機能部18bおよび18bとの間で通信するスルー機能を有する。さらに、教師トラヒック送受信部26は、トラヒックの入力機能を有する入力部52およびトラヒックの出力機能を有する出力部54を含む。したがって、教師トラヒック送受信部26は、作成したアプリケーションの制御信号を含めて平文・各種暗号文を、トラヒック入力部22を介して、入力部52に入力し、出力部54を介して、トラヒック出力部36に出力する。
トラヒック分類機能部28は、加入者トラヒックの特徴情報48と教師情報獲得部30から供給される評価用の教師用情報58を基に、前者の暗号種別とアプリ種別を推定する機能を有する。トラヒック分解機能部28は、特徴情報48と教師用情報58を入力し、これらの情報48および58を基に種別を推定し、推定した種別で分類した加入者のトラヒック情報60を分類情報格納部32に出力する。トラヒック分解機能部28は、複数の特徴量を特徴ベクトルとして用いるとともに、内容を推定する上で、クラス判定し、その判定条件を得るために教師あり学習を用い、出力品質を最大化する判定条件を求めるように操作する。この操作で得られた判定条件を用いることにより、内容推定の判定精度を向上させている。また、トラヒック分解機能部28は、複数の特徴量を特徴ベクトルとして用いるとともに、クラス判定し、その判定条件を明示的に出力し、得られた判定条件を用いて、内容推定して分類するように求めてもよい。
また、本実施例でトラヒック分解機能部28は、一つしか図示していないが、複数有してもよく、特徴情報に重みを乗算した上で、同一クラスの確率を合計し、最も大きな確率を得た特徴情報を、推定されるトラヒックの内容として出力することが望ましい。
トラヒック分解機能部28は、複数の特徴情報を候補として用意し、教師トラヒックを用いて最も推定精度が高くなる特徴情報の組合せを選び、これ以外の特徴情報を使用しないことが好ましい。
トラヒック分解機能部28は、N個の特徴情報を候補に設定し、これらの中から、a個の特徴情報を減らした、残るN-a個の特徴情報と、教師トラヒックとを用いてトラヒック内容を推定し、推定において得られた成績の良かった特徴情報の上位α個を残し、次に、このα個の特徴情報を候補に設定し、この候補から、b個の特徴情報を減らしたN-a-b個の特徴情報と、教師トラヒックとを用いてトラヒック内容を推定し、成績が良かった特徴情報の上位β個を残し、以降の推定の度に、特徴情報を、c個、d個・・・と減らし、残す成績上位の特徴情報の個数をγ、δ・・・を設定し、特徴情報が1以下にまで繰り返しを続け、最も成績の良かった特徴情報を使用するようにしてもよい。
トラヒック分類機能部28は、特徴情報の選択に、遺伝的アルゴリズムまたは焼鈍し法の繰り返し法によって、組合せ方を次々と変えて、評価可能時間の中で、最も推定精度が高くなる特徴情報の組合せを求め、求めた特徴情報を判定に使用するとよい。
さらに、トラヒック分類機能部28は、前記繰り返しを続け、最も成績の良かった特徴情報を使用する場合と、特徴情報の選択に、遺伝的アルゴリズムまたは焼鈍し法の繰り返し法によって、組合せ方を次々と変えて、評価可能時間の中で、最も推定精度が高くなる特徴情報の組合せを求め、求めた特徴情報を判定に使用する場合の両方とを用いて、得られた特徴情報と、許容可能な計算時間の中で教師トラヒックとを用いて評価し、最も良い評価結果を得たものを評価に使用してもよい。
計測機能部18は、トラヒックの内容の推定および使用する特徴情報の選択に、運用中も判定処理と特徴量情報を変化させて最適な判定処理と特徴情報を探索し、より精度が高い処理が見つかった場合に、この処理に更新するとよい。
計測機能部18は、トラヒックの内容の推定において暗号方式とアプリケーションの種別の順序での推定、この順序の逆順序での推定および暗号方式およびアプリケーションの推定を複数段階に分けた推定のいずれか一つを実現するとよい。
教師用情報は、平文データの特徴情報から、暗号化によって生じる特徴情報を推定し、推定した特徴情報を用いて、計測機能部18は、トラヒックの内容を推定するとよい。
計測機能部18は、評価に用いる教師データとして、過去に観測した教師データの中で、取得したパラメータの外部条件が最も近いものを使用するとともに、教師データを定期的に取得して更新するとよい。
教師データは、評価するトラヒックを流しているサーバも含む、加入者端末装置ペアに近い計測機能部18のペアを特定する手段で特定し、この特定手段は、加入者端末装置が所属するネットワーク(AS)をIPアドレスから推定するとともに、経路情報をTraceRouteから取得し、通信経路の重複が最大となる計測機能部18のペアを選択し、選択したペアを用いるとよい。
計測機能部18は、N次元のベクトル空間の中で、同一暗号方式およびアプリケーションと推定されたグループの各トラヒックデータにおける他の要素との距離を計測し、その中心からの距離の分布が教師トラヒックにおける分布や従来の分布との異なりに応じて、この要素グループを新たな要素グループと仮定し、新たな要素グループを除いた集合の分布が、教師トラヒックにおける分布または従来観測された加入者トラヒックと一致する場合、この仮定を真と判断して、以降のフローの内容推定に、この新たな要素グループを、加えた集合の中から推定するとよい。
教師情報獲得部30は、入力された特徴量または教師用情報(教師データ)50を、加入者のトラヒックの分類に使用する評価用の教師用情報58に変換する機能を有する。教師情報獲得部30は、変換した評価用の教師用情報58をトラヒック分類機能部28に出力する。
分類情報格納部32は、トラヒック分類機能部28で分類された加入者のトラヒック情報60を入力して、蓄積し、蓄積した該当する情報を、図示しない制御信号に応じて出力する機能を有する。分類情報格納部32は、分類された加入者のトラヒック情報60を入力し、蓄積した情報62をトラヒック出力部36に出力する。
計測制御部34は、計測機能部18の計測を制御して監視する機能を有する。計測制御部34は、内部の各機能を制御する信号を送るための信号線は省略しているが、計測機能部18の(SVM)構成要素および機能すべてを制御し監視する機能を有する。計測制御部34は、本計測系全体を制御する制御機能部20からの指示、すなわち制御信号44を受けて、計測動作を制御する機能を有する。また、計測制御部34は、監視結果を基にした制御信号64をトラヒック出力部36に出力する。
なお、図1Aに戻って、制御機能部20は、計測機能部18a、18bおよび18cのそれぞれに教師トラヒックの送受信、教師情報の獲得、加入者トラヒックの情報の推定、推定した情報の蓄積、集計、制御機能部20への送信を指示する機能を有する。制御機能部20は1つの装置として実装されてもよいし、計測機能部18a、18bおよび18cのそれぞれの内部に分散配置することもできる。さらに、制御機能部20は、配置せずにすべての制御動作を計測機能部18a、18bおよび18cのそれぞれが自律的に動作してもよい。
トラヒック出力部36は、計測機能部18から外部への出力情報66として出力する機能を有する。トラヒック出力部36は、本実施例にて教師トラヒック56、蓄積したトラヒック情報62および制御信号64を入力し、これらをまとめて出力情報66として網に出力する。
次に計測機能部18の動作について記述する。教師トラヒック送受信部26は、計測制御部34の指示を受けて、各種アプリによる平文と各種暗号文を、他の計測機能部との間で通信する。作成したアプリの制御信号を含めた平文・各種暗号文は、トラヒック入力部22およびトラヒック出力部36を介して、入出力する。
また、計測機能部18は、通信トラヒック38を分類して特徴獲得部24に入力し、特徴情報48と通信内容別に教師データ50を抽出し、教師データ50を蓄積・整理し変換した評価用の教師用情報58を、トラヒック分類機能部28で、加入者のトラヒックの特徴情報48と比較することで、加入者のフローの内容を推定する。トラヒック出力部36は、教師トラヒック送受信部26からの教師トラヒック56、分類情報格納部32からの加入者のトラヒック情報62および計測制御部34からの制御信号64を入力し、これらを出力情報66として網に出力する。出力情報66として出力された教師トラヒックは、通信先の計測機能部18bおよび18cのトラヒック入力部22から入力される。
さらに、通信先の動作として記述すると、トラヒック入力部22は、トラヒック38として入力し、観測すべき加入者のトラヒック40、教師トラヒック42、制御信号44に分類し、各々順に、トラヒック40を特徴獲得部24に、教師トラヒック42はコピーして特徴獲得部24および教師トラヒック送受信部26の両方に送り、制御信号44を計測制御部34に転送する。
上述したトラヒックのうち、教師トラヒック送受信部26に送られた教師トラヒック42は、送信元の教師トラヒック送受信部26との通信に用いられる。特徴獲得部24にコピーして送られた教師トラヒック42は、フロー別に分類され、トラヒック記憶部46に格納される、特徴獲得部24では、分類され格納されたトラヒックから特徴量が抽出される。この特徴量の抽出については、後段にてさらに詳述する。
ところで、抽出された特徴量は、教師情報獲得部30で加入者のトラヒックを分類するために使用する評価用の教師用情報に変換され、トラヒック分類機能部28に出力される。
一方、トラヒック入力部22から入力された加入者のトラヒックも、特徴獲得部24がフロー別に分類し、トラヒック記憶部46に格納して特徴量を抽出する。加入者のトラヒックの特徴量は、評価用の教師用情報とともに、トラヒック分類機能部28に送られ、ユーザトラヒックの暗号種別とアプリ種別が推定され、出力される。
この推定部分に関して、特許文献1は、特徴量を1つだけしか用いなかったり、単純に分類したりすることしか開示していない。本実施例では、複数の特徴量を特徴ベクトルとしてクラス判定可能な、教師あり学習を用いる判別法、とくに、SVM(Support vector machine)のように、訓練例の出力品質を最大化する仕組みを持つものを用いて精度を改善したり、C4.5決定木のような、判定条件を明示的に把握可能なものを用いたりすることで、精度の改善がなくとも、外れる条件を示すことで、納得性を得るように判断する。また、複数の方法で結論を導き、答えが違う場合、条件毎に重みをつけて多数決判定する方法を用いることができる。
また、既存技術では、ただ一度、相関分析を用いて判定しているが、複数回に分けて判定すると、精度を向上させる可能性がある。これは、たとえば、まず、暗号化アルゴリズムを推定し、次に、暗号化アルゴリズム別にアプリを推定することができる。1回目の分離情報と2回目の分離種別で異なる指標を利用することで、精度が向上する可能性があるからである。さらに、暗号方式だけが解ればよい場合や、アプリ種別だけが解ればよい場合、これらの用途に応じて、最適な判定手法を用いればよい。これは、教師トラヒックを用いて特徴情報を得る際に、各場合に応じて最も良い判定手法や特徴情報を記憶し、記憶した特徴情報を用いることで実現可能である。
分類情報格納部32は、上記の加入者のトラヒックの暗号方式とアプリの情報を格納し、計測制御部34からの制御信号に応じて、格納した情報を外部に出力する。
計測制御部34は、上記一連の動作に関する監視と制御を行なう。計測制御部34は、本計測系全体の制御機能部20からの指示を、制御信号44として受けて動作する。制御機能部20は、計測機能部18a、18bおよび18cのそれぞれに教師トラヒックの送受信、教師情報の獲得、加入者トラヒックの情報の推定、推定した情報の蓄積、集計、制御機能部20への送信を指示する。
ここで、特徴量の抽出について記述する。通信トラヒックに関する情報を特徴量として用いる場合、すべての特徴量を判定に用いると、アプリの識別と無関係な情報が含まれてしまう虞があり、逆に判別精度を低下させてしまう可能性がある。そこで、判別精度が最大となる特徴量だけを用いた特徴データである特徴ベクトルを選択するのが望ましい。一般的に、特徴量の種類がN種類の場合、最適な特徴ベクトルの候補は、
Figure 0005812282
で表わすことができる。特徴量のパラメータには、たとえば従来技術で記述した14種類が利用できる。従来技術の発明で記述されたパラメータ数N=14種類中、用いるパラメータ数k=1種類の特徴ベクトルを用いる場合、すなわち候補は14個になる。
このように、パラメータ数Nの数が大きい場合、パラメータのすべてを評価して最適なものを選ぶことは、実際に、時間的に困難である。そこで、最適な特徴ベクトルを選択方法は、全部の組合せを評価する代わりに、たとえば以下の3つのどれかの方法を用い、計算回数を減らして近似的に最適解を探すとよい。
第1の方法は、特徴ベクトルの特徴量を全候補から少しずつ減らし、最適な組合せを選択する方法である。最初に、学習に用いるフロー、すなわち暗号とアプリが解っている学習用データを、ランダムに2つのグループに分ける。次に一方のグループを教師データとしてN個すべての特徴ベクトルで教師あり学習を行ない、他方のグループとして、残りの学習用データを評価判定用データとして用い、評価して精度を求める。このとき、教師用データと評価判定用データに用いる利用可能データのグループを再度乱数で変え、精度に違いが生じないかを確認すると判定精度のばらつきも評価できるので好適である。
次に、特徴データの数をN-a個とa個だけ減らした組合せで評価し、評価した中で、最も成績が良かったα個を残す。次に、α個あるN-aから、さらに、使用する特徴データの数をN-a-bに減らしたものの組合せで評価する。
ただし、先のステージで、除外された特徴データを用いた組合せは、このステージでは用いない。これらの処理を繰り返し、最も良い特徴量の組合せ、すなわち特徴ベクトルを選択する。
ここで、減らす特徴データの種類数a, b, c, ...および個数α, β, γ, ...は、計算に利用可能な時間から、各ステージで必要な評価時間を割り出して選択することが好ましい。特徴データの種類を、1種類からa個、b個、c個ずつ増やしていく逆のやり方でもよい。
特許文献2は、減らす特徴データの種類数a=b=c=...=2、個数α=β=γ=...=1の組合せを開示している。すなわち、1度に2個ずつ減らし、一番良かった1つを次に残している。本実施例は、減らす数を一般化するとともに、計算可能な時間を基に、計測精度を最大化する組合せを用いる点で優れている。
第2の方法は、最適な特徴ベクトルを求めるのに、遺伝的アルゴリズム(Genetic Algorithm)や焼鈍し法等の繰り返し法によって、組合せ方を次々と変えて、評価可能時間の中で、最適な組合せを求める方法である。
第3の方法は、第1および第2の方法の中から、複数の方法を選択し、許容可能な計算時間の中で評価し、最も良い評価結果を得たものを選択する方法である。
なお、3つの方法とも、運用中も条件を変えたり、評価を繰り返したりして、より良好な組合せが得られた時点で評価に使用する特徴ベクトルを更新する方法を用いれば、さらに好適なことは言うまでもない。
暗号文の暗号方式とアプリの推定に使用する、評価用の教師情報(教師データ)を得る方法について記述する。評価用の教師情報の取得法には、主に、3つの方法がある。第1の方法は、平文の教師情報をそのまま用いる方法である。この方法は、アプリ推定は可能だが、暗号方式の判別は不可能で、アプリの推定精度も低くなる可能性がある。
第2の方法は、暗号文の教師情報を、暗号文の評価用トラヒックを用いて得る方法で、高い推定精度が期待される。しかしながら、この方法は、暗号の種類数倍の教師用トラヒックを流す必要があり、ネットワークにかかる負荷が大きくなったり、教師情報を得るために時間がかかったりする可能性がある。
第3の方法は、暗号化したデータを用いて特徴量を実測する代わりに、平文データの特徴量から、暗号化によって生じる特徴量を推定し、これを用いて評価する方法である。この方法を例示すると、ある平文TaのN個の特徴量をCNに設定し、平分Taを暗号化した文章Ua=S(Ta)に設定する。Saは暗号化プロセスである。この設定の下、平分Taの特徴ベクトルがPN (Ta)、文章Uaの特徴ベクトルがPN(Ua)とするとき、文章Uaの特徴ベクトルPN(Ua)=F(PN(Ta))が得られる関数Fを平文と暗号文の組から求め、これを用いて推定する。
この方法を用いれば、平文の特徴ベクトルを求めるだけで、実測せずとも暗号文の特徴ベクトルを得られる。この方法は、キャリブレーションを何度も取るような場合に、特徴ベクトルが簡単に得られるので好適である。
この構成を適用することによって、従来よりも高精度な、または判定基準を利用者が理解可能な、加入者のトラヒックの暗号方式、またはアプリの推定が可能になる。また、教師用の特徴情報の取得をより容易にできる。
さらに、トラヒック要求条件に応じて動的に仮想ノードの資源の追加・削除、または、新たな仮想ノードの構築や削除が可能となることから、適切な網サービス品質の通信を提供できる。また利用しない資源を解放することで、省電力を実現できる。
次にトラヒック監視システム10の他の形態について図2Aを参照しながら簡単に記述する。トラヒック監視システム10は、先の実施例で記載したIPキャリア網10aに接続されたゲートウェイ装置14を介して、外部網としてIPキャリア網10d、10eおよび10fが設けられている。外部のIPキャリア網10d、10eおよび10fには、端末装置16d、16eおよび16f、ならびに計測機能部18dおよび18eが接続されている。このような接続形態でトラヒック監視システム10は、サーバや端末装置との間の暗号通信を含む通信のトラヒック種別を把握する場合である。
本発明に係るトラヒック監視装置を適用した計測機能部18の内部構成について、先の実施例と相違する構成要素の接続関係が理解できるように、図2Bに要部構成を記述する。すなわち、計測機能部18は、基本的に、先の実施例の構成要素を有するとともに、新たに教師用計測選択部68を具備している。
この構成は、特定の端末装置と識別に用いる計測機能部18との間で暗号通信し、この情報を識別に利用する特徴データとして利用していた。しかしながら、ネットワークにおけるトラヒックの特徴情報は日時や場所等の環境によって大きく変化し、特定の情報では対応できない可能性があるからである。
そこで、以下に記述する3つの方法を用いる。第1の方法は、評価に用いる教師データを、日時場所に応じて異なるものを用い、なるべく同じ条件で使用するというものである。また、教師用データは日時場所別に1回取得して、取得した教師データをずっと使い続けるのではなく、定期的に取得、更新することで、常に、最適な教師データを利用する。
第2の方法は、第1の方法における場所の要因に関する方策である。第2の方法において、教師用計測選択部68は、より適切な教師用データを取得するため評価する加入者の端末装置のペアに最も近い2台の計測機能の間で教師用トラヒックを流して、教師用データを計測して選択する機能を有する。教師用計測選択部68は、教師用データを計測して選択するため、トラヒック入力部22から教師用トラヒック70を入力し、入力した教師用トラヒックが適切か否か計測し、適切と判断した教師用トラヒック74をコピーして教師情報獲得部30に出力するとともに、入力した教師用トラヒックを教師用トラヒック72としてトラヒック出力部36に出力する。
また、第3の方法は、トラヒックの様相の変化が生じる原因を、日時場所や、時間的な経緯にともなう変化によるものではなく、従来にない新しい暗号化方式やアプリケーションに対応するというものである。本実施例は、第3の方法において、図3に示すように、トラヒック分類機能部28に想定外暗号・アプリ検出機能部76を有する。想定外暗号・アプリ検出機能部76は、想定外の暗号・アプリがフロー情報に含まれているか否か検出する機能を有する。
この機能を実現するため、想定外暗号・アプリ検出機能部76は、乖離度評価機能部78、閾値外収集機能部80および除外判定機能部82を含む。
乖離度評価機能部78は、各フローの特徴量が、ある暗号方式やアプリと判定された特徴量の教師データ集合と比較して乖離度を求める機能である。閾値外収集機能部80は、この乖離度がある閾値以上か判定し、判定が真の場合、該当するフロー情報を蓄積する収集機能を有する。除外判定機能部82は、蓄積した閾値外の情報から、想定外の暗号方式やアプリが紛れていないかを判断して判定出力する機能を有する。トラヒック分類機能部28は、想定外の有無情報も含む分類された加入者のトラヒック情報60を分類情報格納部32に出力する。
動作を簡単に記述する。教師用特徴情報を得るための教師用トラヒックは、通信先の外部網10d、10eおよび10fの端末装置(PC)16d、16eおよび16fの近傍の計測機能部18dおよび18eから送信されたものが望ましい。
これは、加入者のパケットと最長一致経路で流れた教師用トラヒックのパケットの特徴情報が最も近いという仮定に基づいている。経路が似ていれば、途中の伝送路やルータで受ける影響が似ているという考えに基づくものである。しかしながら、無数に存在する外部網のすべてに計測機能部を設置することは大きなコスト負担の増大を招いてしまう。
そこで、外部網のすべてではなく、外部網の一部に配置する。そして、教師用トラヒックは、通信先のPCと自IPキャリア網のPCとの間の通信経路という最も重複部分が長い外部網の計測機能部との間で流して特徴情報を得るとよい。
計測機能部18dおよび18eには、UNIX(登録商標)の「traceroute」と同等の機能が配備され、送信元の加入者PCに向けてICMP(Internet Control Message Protocol)の生存期間を1つずつ伸ばして投げ、受信機能部でその応答を受信することで、経路情報を得る。復路に関しては、必ずしも一致するとは限らないが、ネットワークの各所にある計測機能部からパケットを投げることで、ある程度の精度を得ることができると考えられる。このようにして得られた経路情報で最長一致のペア間の教育用特徴情報を用いて、加入者トラヒックの暗号方式やアプリを推定する。
また、図2Aに示したように、単にネットワーク上での位置的に近いだけでなく、日時やイベント、総トラヒック量など各種の状況に関して最も近い状態の教師用特徴情報を用いてもよい。
次に、想定外暗号・アプリ検出機能部76が、想定定外の暗号、またはアプリケーションのトラヒックを発見して評価から除外する方法について記述する。
乖離度評価機能部78と閾値外収集機能部80は、前述した構成の記載で動作がほぼ動作が開示されているから、ここでは除外判定機能部82の動作について詳細に記す。除外判定機能部82は、閾値外収集機能部80にアクセスし、これら収集されているフロー情報の中で特徴量の傾向が同一傾向のフローが存在しない否かを調べる。同一傾向のフローの量が閾値傾向であった場合、これらのフローを想定外の暗号かアプリのフローの候補とする。次に、特定の暗号やアプリと判定されたフロー全体の集団と、ここから想定外フロー候補の集団を除いたフロー群に対して、教師トラヒックのフローと比較する。後者が前者よりある閾値以上教師データに近い場合、この候補は、別の暗号またはアプリと判断する。
ところで、これまで行なわれてきた、C4.5決定木や、ナイーブベイズ推定、SVM(Support Vector Machine)のどの方法も、教師データと比較して、暗号化方式と使用アプリをどれか一つ推定して求めてきた。実際には、どれからも、少し違っていたとしても、最も近そうなもの一つを強引に選んで答えにしてきた。
本実施例では、N次元のベクトル空間の中で、同一暗号方式およびアプリと推定されたグループの各トラヒックデータにおいて、他の要素との距離を計測し、その中心からの距離の分布が従来と異なっているとき、要素グループは1つではなく、実は新たな要素グループができたのではないかと考える。たとえば、図4に示すような2種類のアプリが2種類の暗号化方式で通信されたトラヒックの教師データの分布があったとき、計測機能部18で、この教師データを2次元の特徴ベクトル、すなわちストリームの到着時間間隔分布に対する平均パケット間隔をプロットして判定する。計測すると、4つの群、正方形で示す(アプリ1、暗号方式A)、丸で示す(アプリ2、暗号方式A)、逆三角形で示す(アプリ1、暗号方式B)および三角形で示す(アプリ2、暗号方式B)にプロットされた。
この判定は、第1の仮定として、判定曲線84および86の使用が最適という結果が得られたと仮定する。図4(a)で境界付近の要素は誤判定が避けられない要素である。
実測で得た多数のストリームの特徴ベクトルが、図4(b)に示す分布であった場合、第2の仮定として、曲線88に囲まれた要素群は、(アプリ2、暗号方式A)または(アプリ1、暗号方式B)でなく、新たなアプリ、(アプリ3、暗号方式B)による通信ではないかと疑い、仮定する。
計測機能部18は、この仮定に基づいて分類し、(アプリ3、暗号方式B)と考えられる群を除いた要素の4つ分布を、教師データの分布と比較する。対象の要素の分布が教師データの分布に近い場合、第2の仮定は正しいものとして、以降の判定を行う。
このように構成することにより、いずれの方法でも学習データを取得して、適宜、更新することができる。
計測機能部18は、コンピュータとして前述した構成要素それぞれの機能を実現させるプログラムをロードし、各構成要素を有することにより、ネットワーク通信のトラヒックの暗号方式およびアプリケーションの種類を識別して精度よく、トラヒックを監視することができる。
10 トラヒック監視システム
12a, 12b, 12c ルータ
14 ゲートウェイ装置
16a〜16f 加入者の端末装置
18、18a〜18e 計測機能部
20 制御機能部
22 トラヒック入力部
24 特徴獲得部
26 教師トラヒック送受信部
28 トラヒック分類機能部
30 教師情報獲得部
32 分類情報格納部
34 計測制御部
36 トラヒック出力部

Claims (12)

  1. ネットワーク通信のトラヒックを監視して、監視するトラヒックの特徴を抽出して、暗号の種別および使用したアプリケーションの種別を推定するトラヒック監視装置であって、該装置は、
    前記トラヒックを入力し、入力したトラヒックを観測すべきトラヒック、教師トラヒックおよび制御信号に分類し出力する入力手段と、
    前記観測すべきトラヒックおよび前記教師トラヒックから抽出する複数の特徴量をそれぞれ特徴情報および教師用情報として獲得する特徴獲得手段と、
    前記教師用情報を入力し、該教師用情報を評価用の教師用情報に変換する教師情報獲得手段と、
    複数の特徴量を特徴ベクトルとして用いるとともに、前記特徴情報および前記評価用の教師用情報を基に、前記観測すべきトラヒックについて暗号の種別およびアプリケーションの種別を推定し、推定した種別で分類したトラヒック情報を出力する分類手段と、
    該分類したトラヒック情報を格納し、前記制御信号に応じて該当する情報を出力する分類格納手段と
    前記分類格納手段から出力された前記分類したトラヒック情報、前記教師トラックおよび前記制御信号を出力する出力手段とを含むことを特徴とするトラヒック監視装置。
  2. 請求項1に記載の装置において、前記分類手段は、複数の特徴量を特徴ベクトルとして用いるとともに、内容を推定する上で、クラス判定し、判定条件を得るために教師あり学習を用い、出力品質を最大化する判定条件を求め、またはクラス判定し、その判定条件を明示的に出力して、得られた判定条件を用いて推定分類することを特徴とするトラヒック監視装置。
  3. 請求項1に記載の装置において、前記分類手段は、複数有し、該分類手段が扱う前記特徴情報に重みを乗算した上で、同一クラスの確率を合計し、最も大きな確率を得た特徴情報を、推定されるトラヒックの内容として出力することを特徴とするトラヒック監視装置。
  4. 請求項1に記載の装置において、前記分類手段は、複数の特徴情報を候補として用意し、前記教師トラヒックを用いて最も推定精度が高くなる特徴情報の組合せを選び、使用することを特徴とするトラヒック監視装置。
  5. 請求項4に記載の装置において、前記分類手段は、N個の前記特徴情報を候補に設定し、これらの中から、a個の特徴情報を減らした、残るN-a個の前記特徴情報と、前記教師トラヒックとを用いてトラヒック内容を推定し、推定において得られた成績の良かった特徴情報の上位α個を残し、次に、該α個の前記特徴情報を候補に設定し、該候補から、b個の前記特徴情報を減らしたN-a-b個の前記特徴情報と、前記教師トラヒックとを用いてトラヒック内容を推定し、成績が良かった前記特徴情報の上位β個を残し、以降の推定の度に、前記特徴情報を、c個、d個・・・と減らし、残す成績上位の前記特徴情報の個数をγ、δ・・・を設定し、前記特徴情報が1以下にまで繰り返しを続け、最も成績の良かった前記特徴情報を使用することを特徴とするトラヒック監視装置。
  6. 請求項4に記載の装置において、前記分類手段は、前記特徴情報の選択に、遺伝的アルゴリズムまたは焼鈍し法の繰り返し法によって、組合せ方を次々と変えて、評価可能時間の中で、最も推定精度が高くなる特徴情報の組合せを求め、求めた特徴情報を判定に使用することを特徴とするトラヒック監視装置。
  7. 請求項5に記載の装置において、前記分類手段は、前記繰り返しを続け、最も成績の良かった前記特徴情報を使用する場合と、前記特徴情報の選択に、遺伝的アルゴリズムまたは焼鈍し法の繰り返し法によって、組合せ方を次々と変えて、評価可能時間の中で、最も推定精度が高くなる特徴情報の組合せを求め、求めた特徴情報を判定に使用する場合の両方とを用いて、得られた特徴情報と、許容可能な計算時間の中で前記教師トラヒックとを用いて評価し、最も良い評価結果を得たものを評価に使用するトラヒック監視装置。
  8. 請求項1ないしのいずれか一項に記載の装置において、該装置は、前記トラヒックの内容の推定において、暗号方式とアプリケーションの種別の順序での推定、該順序の逆順序での推定および前記暗号方式およびアプリケーションの推定を複数段階に分けた推定のいずれか一つで推定することを特徴とするトラヒック監視装置。
  9. 請求項1またはに記載の装置において、前記教師用情報は、平文データの特徴情報から、暗号化によって生じる特徴情報を推定し、推定した特徴情報を用いて、該装置は、前記トラヒックの内容を推定することを特徴とするトラヒック監視装置。
  10. 請求項1ないしのいずれか一項に記載の装置において、該装置は、評価に用いる教師データとして、過去に観測した教師データの中で、取得したパラメータの外部条件が最も近いものを使用するとともに、前記教師データを定期的に取得して更新することを特徴とするトラヒック監視装置。
  11. 請求項10に記載の装置において、前記教師データは、評価するトラヒックを流している加入者端末装置ペアに近い該装置のペアを特定する手段で特定し、該特定手段は、前記加入者端末装置が所属するネットワークをIPアドレスから推定するとともに、経路情報を取得し、通信経路の重複が最大となる該装置のペアを選択し、選択したペアを用いることを特徴とするトラヒック監視装置。
  12. 請求項11に記載の装置において、該装置は、N次元のベクトル空間の中で、同一暗号方式および前記アプリケーションと推定されたグループの各トラヒックデータにおける他の要素との距離を計測し、その中心からの距離の分布が教師トラヒックにおける分布や従来の分布との異なりに応じて、該要素グループを新たな要素グループと仮定し、新たな要素グループを除いた集合の分布が、教師トラヒックにおける分布または従来観測された加入者トラヒックと一致する場合、該仮定を真と判断して、以降のフローの内容推定に、該新たな要素グループを、加えた集合の中から推定することを特徴とするトラヒック監視装置。
JP2011276151A 2011-12-16 2011-12-16 トラヒック監視装置 Active JP5812282B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011276151A JP5812282B2 (ja) 2011-12-16 2011-12-16 トラヒック監視装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011276151A JP5812282B2 (ja) 2011-12-16 2011-12-16 トラヒック監視装置

Publications (2)

Publication Number Publication Date
JP2013127504A JP2013127504A (ja) 2013-06-27
JP5812282B2 true JP5812282B2 (ja) 2015-11-11

Family

ID=48778080

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011276151A Active JP5812282B2 (ja) 2011-12-16 2011-12-16 トラヒック監視装置

Country Status (1)

Country Link
JP (1) JP5812282B2 (ja)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015050714A (ja) * 2013-09-03 2015-03-16 株式会社東芝 無線基地局、無線基地局の制御方法及び制御プログラム
JP6127888B2 (ja) * 2013-10-04 2017-05-17 富士通株式会社 処理判定装置、処理判定プログラム、及び処理判定方法
EP2860911B1 (en) * 2013-10-11 2016-07-27 Mitsubishi Electric R&D Centre Europe B.V. Method and device for classifying encrypted data flows between at least one web client and at least one web server
JP6169954B2 (ja) * 2013-11-15 2017-07-26 Kddi株式会社 サービス推定装置及び方法
JP6173233B2 (ja) * 2014-02-10 2017-08-02 Kddi株式会社 網利用推定装置、方法及びプログラム
JP6410309B2 (ja) * 2014-12-26 2018-10-24 Kddi株式会社 通信識別方法および装置
JP6541482B2 (ja) * 2015-07-13 2019-07-10 Kddi株式会社 検証装置、検証方法及び検証プログラム
JP6711710B2 (ja) * 2016-07-07 2020-06-17 エヌ・ティ・ティ・コミュニケーションズ株式会社 監視装置、監視方法および監視プログラム
JP6743585B2 (ja) * 2016-08-26 2020-08-19 沖電気工業株式会社 通信解析装置及び通信解析プログラム
JP6770454B2 (ja) * 2017-02-16 2020-10-14 日本電信電話株式会社 異常検知システム及び異常検知方法
JP6813451B2 (ja) * 2017-07-28 2021-01-13 日本電信電話株式会社 異常検知システム及び異常検知方法
CN114465962B (zh) * 2019-09-16 2024-01-05 华为技术有限公司 一种数据流类型识别方法及相关设备
WO2022024282A1 (ja) * 2020-07-29 2022-02-03 日本電信電話株式会社 差分計算装置、差分計算方法及び差分計算プログラム

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2023533B1 (fr) * 2007-08-10 2011-04-06 Alcatel Lucent Procédé et installation de classification de trafics dans les réseaux IP
US7751334B2 (en) * 2007-11-07 2010-07-06 Satyam Computer Services Limited System and method for Skype traffic detection
US8199916B2 (en) * 2007-12-26 2012-06-12 International Business Machines Corporation Selectively loading security enforcement points with security association information

Also Published As

Publication number Publication date
JP2013127504A (ja) 2013-06-27

Similar Documents

Publication Publication Date Title
JP5812282B2 (ja) トラヒック監視装置
KR101409563B1 (ko) 애플리케이션 프로토콜 식별 방법 및 장치
CN105827472B (zh) 网络数据流类型检测方法及装置
Sun et al. A QoS-guaranteed intelligent routing mechanism in software-defined networks
JP5228936B2 (ja) オーバレイトラヒック検出システム及びトラヒック監視・制御システム
EP2081321A2 (en) Sampling apparatus distinguishing a failure in a network even by using a single sampling and a method therefor
US8130767B2 (en) Method and apparatus for aggregating network traffic flows
WO2013038279A1 (en) Network-wide flow monitoring in split architecture networks
KR102346109B1 (ko) 부하분산 장치 및 방법
JP6153166B2 (ja) トラヒック監視装置及びプログラム、並びに、通信装置
Medina et al. Taxonomy of IP traffic matrices
JP5539505B2 (ja) ユーザ感覚でのtcpスループットの推定
WO2009145011A1 (ja) 最適化評価システム、最適化評価装置、最適化評価方法、及び最適化評価用プログラム
US20200021536A1 (en) Software defined prober
Malboubi et al. A learning-based measurement framework for traffic matrix inference in software defined networks
KR101541531B1 (ko) 소프트웨어 정의 네트워크 환경에서 사용 가능한 대역폭 패턴 기반 라우팅 기법
US10904150B1 (en) Distributed dynamic load balancing in network systems
CN101827089B (zh) 加密通信量识别装置及具有该装置的加密通信量识别***
Dorfinger Real-time detection of encrypted traffic based on entropy estimation
Tong et al. Machine learning based root cause analysis for SDN network
Gomez et al. Efficient network telemetry based on traffic awareness
US20180331963A1 (en) Determining data flows to an ingress router with data flows received at an egress router
US20220217179A1 (en) Methods and devices for measuring reputation in a communication network
WO2021219214A1 (en) Device and method for load balancing
KR100708450B1 (ko) 네트워크 노드간의 단대단 가용 대역폭 측정 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20141020

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20141020

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7426

Effective date: 20141128

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20141128

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150424

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150519

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150717

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150811

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150908

R150 Certificate of patent or registration of utility model

Ref document number: 5812282

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313115

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313115

R371 Transfer withdrawn

Free format text: JAPANESE INTERMEDIATE CODE: R371

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313115

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

R370 Written measure of declining of transfer procedure

Free format text: JAPANESE INTERMEDIATE CODE: R370