[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2010171527A - オーバレイトラヒック検出システム及びトラヒック監視・制御システム - Google Patents

オーバレイトラヒック検出システム及びトラヒック監視・制御システム Download PDF

Info

Publication number
JP2010171527A
JP2010171527A JP2009010074A JP2009010074A JP2010171527A JP 2010171527 A JP2010171527 A JP 2010171527A JP 2009010074 A JP2009010074 A JP 2009010074A JP 2009010074 A JP2009010074 A JP 2009010074A JP 2010171527 A JP2010171527 A JP 2010171527A
Authority
JP
Japan
Prior art keywords
traffic
overlay
information
correlation
detection system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009010074A
Other languages
English (en)
Other versions
JP5228936B2 (ja
Inventor
Yoshihiro Nakahira
佳裕 中平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2009010074A priority Critical patent/JP5228936B2/ja
Priority to US12/656,135 priority patent/US8433788B2/en
Publication of JP2010171527A publication Critical patent/JP2010171527A/ja
Application granted granted Critical
Publication of JP5228936B2 publication Critical patent/JP5228936B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/64Routing or path finding of packets in data switching networks using an overlay routing layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/70Routing based on monitoring results
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】事前にオーバレイ網のノードが不明な状況でもオーバレイトラヒックを検出できるようにする。
【解決手段】本発明のオーバレイトラヒック検出システムは、ネットワーク上に配置され、入力されたトラヒックからトラヒックのフローに関する統計情報を計測する複数のトラヒック情報計測手段と、各トラヒック情報計測手段により計測された統計情報を蓄積し、時間的に変化する統計情報及び又は統計情報の特徴情報をプロファイルする複数のトラヒックプロファイル作成手段と、複数のトラヒックプロファイル作成手段から統計情報及び又は統計情報の特徴情報を収集し、これら統計情報及び又は統計情報の特徴情報を集計して、ある宛先への入力トラヒックの集計情報と、宛先を送信元とする出力トラヒックの集計情報との相関度を求め、それが設定された閾値を上回るか否かを判定する相関・影響評価・閾値判定手段とを備えることを特徴とする。
【選択図】 図1

Description

本発明は、オーバレイトラヒック検出システム及びトラヒック監視・制御システムに関し、例えば、オーバレイ網やピアツーピア(P2P:Peer-To-Peer)網でのトラヒック監視や制御に適用し得るものである。
例えば、インターネット上には、多くの暗号化されたトラヒックが流れている。また、また、仮想的なトンネル構造の仮想伝送路をユーザ間に設定し、この仮想伝送路に転送機能を加えたノードで接続したP2P網や、オーバレイ網が構築されている。
ここで、オーバレイ網は、ある網の機能を伝送路としてその上位に構築される網であり、下位の網と別のルーティング機能を持つ網を意味する。また、P2Pは、各コンピュータが、対応な関係を有する接続関係を持つことを意味する。P2P網では、各PC(パーソナルコンピュータ)は、あるときは端末として、あるときは中継ノードとなり、全く同等の機能を果たす。そのため、インターネット上で広域に実現されるP2P網は、オーバレイ網の形態をとる場合が多い。
これらオーバレイ網やP2P網のトラヒックは、多くの帯域を占有して他のユーザの通信を阻害したり、違法な情報を流したり、違法なサービスを行っていることがあり、その情報を得ることが必要な場合がある。
例えば、オーバレイ網の存在を把握し、そのような情報を必要とする組織や個人には、(1)犯罪の抑止と捜索を行う警察や、電気通信事業を監督する総務省、(2)通信サービスを提供しているキャリア、(3)一般ユーザ(悪意あるオーバレイ網ソフトが本人の知らないうちにインストールされていれば排除したいユーザ)、(4)コンテンツの権利者、(5)その他が挙げられる。
しかしながら、(i)上記のようなオーバレイ網の存在の把握すら困難な場合がある。また、このような網上を流れるトラヒックから、(ii)暗号化・トンネル化されたオーバレイ網のトラヒックの有無や、(iii)トラヒックの通信経路、(iv)通信量、(v)通信プロトコル、(vi)その他の情報などを検出できるようにすることが望まれる。
ここで、図2を用いて、オーバレイ網の存在の把握や、上記のような各情報の取得が特に困難な場合を例示して説明する。
オーバレイ網のトラヒックに関して、あるプロバイダ(ISP:Internet Service Provider)にとって、インバウンド(Inbound)でのパケットのパケット長やパケットの内容が変化してアウトバウンド(Outbound)に転送されるような網である。
例えば、1つのパケットに、複数の別の宛先ノード宛のストリームが内蔵され、オーバレイ網のノードで宛先別に中身を組み替えて転送するような場合、この様な網となる。
図2の例では、ルータR10から、PC50宛のパケット101と、PC60宛のパケット102がルータR41に送られている。パケット101の内部には、PC50で転送されて、ルータR20とPC60に転送されるデータが格納されている。パケット102の内部には、PC50で転送されて、ルータR20とルータR30に転送されるデータが格納されている。
同様に、ルータR20からは、PC50宛のパケット201と、PC60宛のパケット202がルータR42に送られている。ルータR30からは、PC50宛のパケット301がルータR43に送られている。パケット201〜パケット301の内部にも、PC50とPC60を中継ノードとして、次の宛先がR10〜R30及びPC60であるデータが含まれている。
これらのオーバレイ網のパケットは、次の宛先であるPC50とPC60に到着すると、次の宛先別に内部のデータが組み換えられ、パケット510〜パケット630として送信される。
このようなオーバレイ網では、フローがオーバレイ網のノード毎に分離や統合されるため、オーバレイ網の存在を把握することが困難となる。
従来、上記に関連する技術として、特許文献1〜特許文献6に記載の技術がある。
特許文献1の記載技術は、ヘッダのアドレス情報の解析によってP2Pトラヒックを分離する手法を示し(請求項1)、アドレス情報取得のため、P2Pサービスに参加する方法を示し(請求項2)、アドレス情報が一致したトラヒックを分離する機能を示し(請求項3)、これらの改良方法を示し(請求項4〜7)、当該パケット毎に、タイムスタンプ情報、発信IPアドレス、着信IPアドレス、発信ポート番号、着信ポート番号及びパケットサイズの解析を行い(請求項8)、P2Pトラヒックを判定する手法を示している。
図3は、従来技術を説明する説明図である。図3に示すネットワークにおいて、トラヒック分離装置がオーバレイ網のトラヒックを分離する方法として、オーバレイ網におとりの端末が参加し、そのおとり端末がIPアドレス情報を取得する。そして、得られたオーバレイ網のIPアドレス情報をトラヒック分離装置に送り、トラヒック分離装置が当該IPアドレス宛のトラヒックに対して分離制御を行う方法である。
特許文献2の記載技術は、ダミーのPCを用いてP2Pのノード情報を取得し、P2Pトラヒックを把握する方法を示している。
特許文献3の記載技術は、ユーザアクティビティに関する複数のサンプルを含む網に関連する結合性に関する情報を受信して分析し、綱領域間の結合性を数学的に予測する統計的なモデルを構築して、一致するかどうかを判別することでP2P網を判定する方法を示している(請求項1)。請求項2〜6は上記の改良手法である。請求項7以降は、検出したP2Pトラヒックを制御するものである。
特許文献4の記載技術は、P2Pのメッセージを第三者が自由に検出して取得できることを前提条件とするネットワークトラヒック制御方法が示されている。
特許文献5の記載技術は、ネットワークトラヒックにおける特定コンテンツの把握が可能であることを前提とするトラヒック軽減システムが示されている。
特許文献6の記載技術は、目標とする品質をフローに提供するオーバレイネットワークを実現する方式を示している。その中で、計測コストという評価指標を用い、品質を計測する負荷を抑えながら高精度な計測を行う手法を提案している。
なお、本願出願人は、オーバレイ網やP2P網でのオーバレイトラヒックを検出するシステムを発明しており、その発明に関して特許出願(特願2007−210866号)を行っている。
しかしながら、特許文献1の記載技術には、次に示す2つの課題がある。
第1の課題としては、トラヒック分離装置が取得する情報は、おとり端末が接触したノードが保有する情報や、又はその接触したノードが送受信するフロー情報に限定されるため、トラヒック分離装置は他のオーバレイ網のノードの情報を得ることができない。
第2の課題としては、オーバレイ網のノードにおける、オーバレイ網以外の通常トラヒックも遮断してしまう可能性がある。
特許文献2の記載技術は、(1)自網上でP2P網が展開されていることが既知で、P2PノードとなっているPCとそのIPアドレスが既知である、(2)P2P網への参加が自由にできる等が前提であり、P2P網に参加しているPCが不明であったり、P2P網への参加に認証が必要であってP2Pトラヒックを特定できなかったりする場合には適用できないという課題を有する。
特許文献3の記載技術は、『ネットワーク領域間の結合性を数学的に予測する統計的なモデル』の構築が必要となっており、充分な信頼性のおけるモデルをどのように構築するかが課題となっている。
特許文献4の記載技術では、P2Pメッセージを第三者が自由に検出して取得できることが前提条件となっているので、P2Pメッセージの検出が困難な場合や、メッセージの内容が暗号化され解析不能な場合には、この技術を適用することができないという課題がある。
特許文献5の記載技術も、特定コンテンツの把握が可能であることが前提となっているので、特定コンテンツの把握ができない場合には、この技術を適用できないという課題がある。
特許文献6の記載技術は、フローの経路をオペレータが把握、制御できることが前提となっているので、ユーザが勝手にオーバレイ網を実行する場合には、この技術を適用することができないという課題がある。
そのため、上記事情に鑑み、事前にオーバレイ網のノードが不明な状況で、少なくとも、オーバレイ網の存在、オーバレイ網のノードの特定、オーバレイ網のトラヒックフローの量及び通信経路の把握、使用プロトコルの把握を行うことが可能なオーバレイトラヒック検出システム及びトラヒック監視・制御システムが求められている。
かかる課題を解決するために、第1の本発明のオーバレイトラヒック検出システムは、(1)ネットワーク上に配置され、入力されたトラヒックからトラヒックのフローに関する統計情報を計測する複数のトラヒック情報計測手段と、(2)各トラヒック情報計測手段により計測された統計情報を蓄積し、時間的に変化する統計情報及び又は統計情報の特徴情報をプロファイルする複数のトラヒックプロファイル作成手段と、(3)複数のトラヒックプロファイル作成手段から統計情報及び又は統計情報の特徴情報を収集し、これら統計情報及び又は統計情報の特徴情報を集計して、ある宛先への入力トラヒックの集計情報と、宛先を送信元とする出力トラヒックの集計情報との相関度を求め、それが設定された閾値を上回るか否かを判定する相関・影響評価・閾値判定手段とを備えることを特徴とする。
第2の本発明のトラヒック監視・制御システムは、(1)第1の本発明のオーバレイトラヒック検出システムと、(2)ルータに関連して設置されている、特定トラヒックを選択的に除外処理するフィルタリング手段と、(3)オーバレイトラヒック検出システムが、オーバレイトラヒックとして検出したトラヒックに対し、フィルタリング手段が除外処理するように制御する制御手段とを有することを特徴とする。
本発明によれば、事前にオーバレイ網のノードが不明な状況で、少なくとも、オーバレイ網の存在、オーバレイ網のノードの特定、オーバレイ網のトラヒックフローの量及び通信経路の把握、使用プロトコルの把握を行うことができる。
第1の実施形態のオーバレイトラヒック検出システムの構成及びオーバレイトラヒック情報取得装置の内部構成を示す図である。 従来のオーバレイトラヒックを説明する説明図である。 従来技術を説明する説明図である。 第1の実施形態におけるオーバレイトラヒック情報取得装置の配置を説明する図である。 第1の実施形態において、複数のフローがアグリゲートされて転送されるオーバレイトラヒックを説明する説明図である。 第1の実施形態のパッシブな計測値の相関を用いてオーバレイトラヒックを検出する動作を示すフローチャートである。 第1の実施形態のアクティブな計測値の相関を用いてオーバレイトラヒックを検出する動作を示すフローチャートである。 第2の実施形態のオーバレイトラヒック検出システムの構成、オーバレイトラヒック情報取得装置及び捜索情報送受信装置の内部構成を示す図である。 第2の実施形態におけるオーバレイトラヒック情報取得装置及び捜索情報送受信装置の配置を説明する図である。 第3の実施形態のオーバレイトラヒック検出システムの構成及びオーバレイトラヒック情報取得装置の内部構成を示す図である。
(A)第1の実施形態
以下では、本発明のオーバレイトラヒック検出システム及びトラヒック監視・制御システムの第1の実施形態について図面を参照しながら説明する。
(A−1)第1の実施形態の構成
図1は、第1の実施形態のオーバレイトラヒック検出システムの構成及びオーバレイトラヒック情報取得装置の内部構成を示す内部構成図である。図4は、第1の実施形態に係るオーバレイトラヒック情報取得装置の設置位置の説明図である。
オーバレイトラヒック情報取得装置100(100−1、100−2、100−3、100−4、…)は、例えば、ルータ内部、又はルータの外部に実装されるものである。また、オーバレイトラヒック情報取得装置100は、加入者が協力する場合には、その加入者PC内部に実装するようにしても良い。
また、設置場所としては、例えば、図4に例示するオーバレイトラヒック情報取得装置100−1のように、ISP網のルータR41と他のISP網のルータR10との間や、また例えば、オーバレイトラヒック情報取得装置100−8のように、ISP網のルータR47と加入者PC80との間に設置することが好ましい。なお、ISP網上の回線上に設置することもできる。ただし、必ずしも、これら全ての位置に設置しなければならないというものでもない。
オーバレイトラヒック情報取得装置100−1は、ミラーリング手段11、パケット遅延付与/選択廃棄手段12、トラヒック情報計測手段13、トラヒックプロファイル作成手段14、通信手段15、相関・影響評価・閾値判定手段16を有する。
ミラーリング手段11は、入力パケット(トラヒック)を通過させる際に、入力パケットを2つにコピーし、一方の入力パケットをトラヒック情報計測手段13に与え、他方をパケット遅延付与/選択廃棄手段12に与えるものである。なお、ミラーリング手段11は、必須ではなく、パケット遅延付与/選択廃棄手段12及びトラヒック情報計測手段13にルータ又は伝送路からトラヒックが入力されれば良い。また、入力されるトラヒックは、全トラヒックでも良いし、サンプリングしたものでも良い(但し、サンプリングしたトラヒックの場合、検出精度が低下する可能性があるので、全トラヒックを入力するほうが好ましい)。
なお、第1の実施形態では、ミラーリング手段11を適用する場合を例示したが、生のトラヒックを伝えることができればミラーリング手段以外の手段を適用してもよい。例えば、無線LAN等において適用する場合には、ミラーリング手段が無くても空間を伝播する電波の受信により同様の効果をなし得る。
パケット遅延付与/選択廃棄手段12は、出力されるパケットに対して、宛先毎及び又は送信元毎に、選択的に指定された遅延時間を与えたり、選択的に指定されたパケットを廃棄したり、選択的に指定されたビット誤りを生じさせたり、又はこれらを組み合わせた処理を行うものである。このパケット遅延付与/選択廃棄手段12は、宛先毎だけでなく、送信元毎にも遅延時間などの操作を加えることができる。なお、パケット遅延付与/選択廃棄手段12は、必須ではない。
トラヒック情報計測手段13は、入力されたトラヒックから、オーバレイトラヒックを判定するのに必要な情報を抽出し、トラヒックプロファイル作成手段14に出力するものである。ここで、トラヒック情報計測手段13は、入力されたパケットについて、パケットの到着時刻、パケット長、宛先及び送信元のIPアドレス、ポート番号、プロトコル番号、シーケンス番号、エラーの有無等を取得する。
トラヒックプロファイル作成手段14は、トラヒック情報計測手段13から与えられた情報に基づいて、トラヒックのプロファイルを作成し、これをファイリングするものである。プロファイルとしては、各種トラヒック情報の時間変化を観測した統計情報とすることができ、例えば、縦軸(横軸)を送信元、横軸(縦軸)を宛先とするIPアドレス又はネットワークアドレスのマトリックスを作成し、パケット長、トラヒック量、使用プロトコル、到着間隔のそれぞれ情報が観測時刻と共に、整理・蓄積される。
また、後述する相関・影響評価・閾値判定手段16が周波数成分解析結果を用いてオーバレイトラヒックを評価・判定する場合には、トラヒックプロファイル作成手段14は、その前処理を行う。この場合のプロファイルには、上記に示すプロファイル(各種トラヒック情報の統計情報)の特徴情報(例えば周波数成分解析をしたデータ)が含まれる。
通信手段15は、他のオーバレイトラヒック情報取得装置100−2、100−3、100−4、…の通信手段と通信する機能を有し、例えば、作成したトラヒックプロファイルを授受する。
相関・影響評価・閾値判定手段16は、自装置のトラヒックプロファイル作成手段14及び、他のオーバトラヒック情報取得装置100−2等のトラヒック情報計測手段13で観測したトラヒックプロファイルを取得し、後述するようにオーバレイトラヒックが存在するときに見られる相関関係や影響の評価を行い、その評価値を閾値と比較する。相関・影響評価・閾値判定手段16は、評価値が閾値以上であれば、オーバレイトラヒックと判定し、閾値未満であれば違うと判断し、判定結果を出力するものである。
なお、複数台のトラヒック情報計測手段13を用いることは必要であるが、図4に示すように、全ての回線に設置したり、設置するオーバレイトラヒック情報取得装置100−1〜100−8のすべてにフル実装(図1に示す構成要素をすべて実装)させる必要はない。例えば、相関・影響評価・閾値判定手段は1台にだけ実装しても良い。
(A−2)オーバレイトラヒックの検出方法(相関・影響評価・閾値判定方法)
第1の実施形態の相関・影響評価・閾値判定手段16は、通信手段15を用いて、他のオーバレイトラヒック情報取得装置100−2、…で観測されたトラヒックのプロファイルを入手し、オーバレイトラヒックが存在するときに見られる相関関係や影響を評価する。
ここで、オーバレイ網やP2P網では、図5に示すように、ノードが宛先ノードとなったり、中継ノードとなったりするため、ノードが送信するパケットには、複数の別の宛先のストリームが含まれている場合や、さらにこれらを含むパケット(ストリーム)がまとめて暗号化されている場合もある。
第1の実施形態は、このような場合でも、オーバレイ網の存在を把握し、例えばトラヒックの通信経路やトラヒック量などの各種情報を取得できるようにすることを課題とする。
そのため、本発明は、以下で説明する判定方法のいずれかの方法を適用したり、又は各判定方法を組み合わせて適用したりすることで上記課題を解決する。
第1の実施形態のようにすることで、暗号化による相関が弱いトラヒックでも検出することができ、高精度な判定が可能となり、また複数トラヒックが1つのトラヒックにまとめて暗号化され、ノードでパケット内容の組換えが行われても対応できる。
以下では、第1の実施形態のオーバレイトラヒック情報取得装置100(100−1〜100−8)におけるオーバレイ網の把握及びオーバレイトラヒックの有無や通信経路や通信量(トラヒック量)を検出する方法について説明する。
相関・影響評価・閾値判定手段16は、以下で説明する方法のいずれか、又はこれらの方法を組み合わせて、オーバレイトラヒックを検出する。
(1)相関関係を評価するインタフェース数
本願出願人の特許出願(特願2007−210866号)に記載の方法は、例えばインタフェースIF−Aの入力トラヒックプロファイルと、インタフェースIF−Bの出力トラヒックプロファイルとの相関の強さを評価するものである。
これに対して、第1の実施形態は、このように1つのインタフェースのトラヒックプロファイル間の相関ではなく、複数インタフェースに亘って観測されたトラヒックプロファイルを用いた相関の強さを評価する。つまり、他のオーバレイトラヒック情報取得装置で観測されたトラヒックプロファイルを収集し、これらを統計したトラヒックプロファイルを用いる。
相関・影響評価・閾値判定手段16は、
・インタフェースIF−Aの入力トラヒックと、インタフェースIF−B、IF−C、IF−D…という複数のインタフェースの出力トラヒックとの関係、
・インタフェースIF−A、IF−B、IF−C…という複数のインタフェースの入力トラヒックと、インタフェースIF−Dの出力トラヒックとの関係、
・インタフェースIF−A、IF−B、IF−Cという複数のインタフェースの入力トラヒックと、インタフェースIF−D、IF−E、IF−F…の複数のインタフェースの出力トラヒックとの関係、
のように複数インタフェースに亘って観測されるトラヒックプロファイルの相関関係を評価する。
例えば、相関・影響評価・閾値判定手段16は、ある同一の宛先IPアドレスを持つ複数のインタフェースに亘って観測された入力トラヒックの時系列データ(時系列プロファイル)と、ある同一の送信元IPアドレスを持つ複数のインタフェースに亘って観測された出力トラヒックの時系列データ(時系列プロファイル)との相関を評価する。
このようなトラヒックには、オーバレイ網のトラヒックと、そうでないトラヒックとが含まれる。また、第1の実施形態で解決しようとするオーバレイ網では、パケットの中身を変えて他ノードに送出するので、このパケットのパケット長も変わることがある。そのような場合でも、複数インタフェースで観測されたトラヒックプロファイルから、ある宛先に関するトラヒックプロファイルと、この宛先を送信元とする場合のトラヒックプロファイルとの相関を評価することで、比較的類似するパターンを捉えることができる。
(2)スクリーニング
オーバレイトラヒック情報取得装置100−1は、上記のように、複数インタフェースに亘って観測されるトラヒックプロファイルを用いて相関関係を評価する。しかし、その比較量が多くなり判定時間がかかる場合や、後述する具体的な比較方法の際にノイズ成分が多くなる場合も考えられる。
そこで、第1の実施形態のオーバレイトラヒック情報取得装置100−1は、必要と考えられる情報を選択するスクリーニングを行う。
このスクリーニングの実現方法は、相関関係の評価を行う前に、オーバレイトラヒック情報取得装置100−1が適用する判定手法の内容に応じて種々の方法が考えられるが、次のような方法がある。
まず、第1の方法としては、トラヒック情報計測手段13が行う方法である。この場合、例えば、トラヒック情報計測手段13がトラヒック情報を計測する際に、スクリーニングすべきトラヒック情報か否かを判定し、スクリーニングすべきトラヒックの計測をしない方法がある。例えば、CPUの計算能力に応じて、スクリーニングすべきトラヒックを決定しておき、そのトラヒックについては計測しないようにする。
第2の方法としては、トラヒックプロファイル作成手段14が行う方法である。この場合、例えば、トラヒックプロファイル作成手段14がトラヒックプロファイルを作成する際に、スクリーニングすべきトラヒック情報か否かを判定し、スクリーニングすべきトラヒック情報のプロファイルの作成を行わない方法がある。
例えば、後述するように、相関・影響評価・閾値判定手段16がトラヒックプロファイル情報に基づいて周波数成分解析を行う場合、トラヒックプロファイル作成手段14はその周波数成分解析の前処理を行う。その際に、トラヒックプロファイル作成手段14が、ある宛先ノードのトラヒック情報と、当該ノードを送信元とするトラヒック情報との比較から、強い相関のあるトラヒック情報のプロファイルを作成するようにする。
第3の方法としては、相関・影響評価・閾値判定手段16が行う方法である。この場合、相関・影響評価・閾値判定手段16が判定する際に、スクリーニングすべきデータか否かを判定し、スクリーニングすべきデータを除外する方法がある。
ここでは、第1〜第3の方法を例示したが、これらの方法のいずれかを適用しても良いし、又は、これらの方法を組み合わせた方法を適用しても良い。
また、このスクリーニングの方法は、一般的なインターネット通信と異なるオーバレイ網の特性傾向に基づいて、次のような条件でトラヒック情報の選別を行う。
オーバレイ網のノードは、入力トラヒック量と出力トラヒック量との差が比較的少ない。また、あるノードに入力トラヒックがあるときに、当該ノードから出力トラヒックがある場合が多い。
これに対して、オーバレイ網以外のユーザノードは、入力トラヒック量と出力トラヒック量との差が比較的大きい。また、あるノードに入力トラヒックがあるときに同時に出力トラヒックがある場合が少ない。
そこで、ある宛先ノード宛に入力されるトラヒック量と、当該ノードを送信元とするトラヒック量とを比較し、トラヒック量が閾値未満であれば、オーバレイ網のノードと判定することができ、トラヒック量が閾値以上であれば、オーバレイ網のノードと判定できるので、このようなトラヒックプロファイルを選別する。
また、ある宛先ノード宛に入力トラヒックがあった時刻から、所定時間内に当該ノードから出力されたトラヒックプロファイルを選択し、所定時間経過後に出力されたトラヒックプロファイルを除去するようにしてもよい。
上記のスクリーニングの条件で、オーバレイ網のノードである可能性が高いノードを大雑把に選別することができる。これによって、検索時間を短縮することができる。
(3)比較手法の詳細な説明
次に、相関・影響評価・閾値判定手段16による具体的な比較手法を説明する。相関・影響評価・閾値判定手段16は、以下の比較方法を採ることにより、オーバレイトラヒックが存在するときに観測されると考えられる相関関係や影響の評価を行う。
相関・影響評価・閾値判定手段16は、全てのオーバレイトラヒック情報取得装置1000−1〜100−8が計測したトラヒックプロファイルを蓄積・集計し、複数インタフェースに亘って観測されたトラヒックプロファイルの相関関係を評価する。そして、相関・影響評価・閾値判定手段16は、相関値が閾値以上であれば、オーバレイ網が存在すると判断し、相関値が閾値未満であれば、オーバレイ網が存在しないと判断する。
しかし、あるノード(例えばPC60)は、オーバレイ網上のノードであると共に、通常のインターネット上のノードでもある。また、トラヒックには、オーバレイとするトラヒックもあれば、そうでないトラヒックも含まれる。さらに、オーバレイ網においては、パケットに含まれるストリームが変更され得るから、当該ノードにおける入力パケットと出力パケットのパケット内容及びパケット長も異なり得る。そのため、このようなノードが暗号通信する場合には、トラヒックプロファイル間の一次相関が弱くなる可能性がある。
そこで、第1の実施形態の相関・影響評価・閾値判定手段16は、トラヒックプロファイル間の相関関係だけでなく、トラフィックプロファイル(トラフィック情報)の時系列変化の特徴情報を解析して、オーバレイ網のノードの存在を把握する。これにより、トラヒックプロファイルの僅かな違いやパケット内容の組換えでも、相関・影響評価・閾値判定手段16は検出することができる。
例えば、相関・影響評価・閾値判定手段16は、オーバレイ網のトラヒック(パケット)のストリームと、そうでない通信のトラヒック(パケット)のストリームとは、周波数分布特性が異なるという仮定の下に行う。
この場合、相関・影響評価・閾値判定手段16は、ある宛先ノード宛の入力トラヒックと当該ノードを送信元とする出力トラヒックとに関して、微小時間区間におけるトラヒック量の分布について周波数成分解析を行う。これにより、ある程度の時間に渡って一致する周波数成分があるか否かを判定する。
さらに、相関・影響評価・閾値判定手段16は、主成分分析だけでなく、例えばY軸を周波数、Z軸を大きさとして、YZ軸をスペクトル分布の曲線を作り、X軸を時間軸にして、その包絡線によるスペクトル分布の曲面を作る。そして、相関・影響評価・閾値判定手段16は、あるノード宛のトラヒック量の時系列データによるその曲面と、当該ノードを送信元とするトラフィック量の時系列データによるその曲面とを比較して、その一致する曲面成分の有無を判定する。このとき、相関・影響評価・閾値判定手段16は、閾値を超える曲面成分の一致がある場合、オーバレイ網のノードであると判断し、閾値以下の場合、オーバレイ網のノードでないと判断する。
なお、相関・影響評価・閾値判定手段16は、主成分分析を行ってその主成分の周波数成分の違いを評価することで判定しても良い。
また、周波数成分解析の対象とする情報としては、微小時間区間におけるパケット長の情報や、パケットの到着時間間隔の情報を用いるようにしても良い。
つまり、相関・影響評価・閾値判定手段16は、ある宛先ノード宛の入力トラヒックと、当該ノードを送信元とする出力トラヒックとに関して、微小時間区間におけるパケット長の分布や到着時間間隔の分布についても周波数成分解析を行うことができる。
(4)パケット遅延付与/選択廃棄手段12を用いた処理
パケット遅延付与/選択廃棄手段12を機能させても良いし、又は機能させないようにしても良い。
(A−3)第1の実施形態の動作
次に、第1の実施形態のオーバレイトラヒック情報取得装置100(100−1〜100−8)の動作を説明する。
上述したように、(A−2)に記載した(1)〜(4)の処理のいずれかを適用しても良いし、又これら処理をどのように組み合わせても良い。以下では、その一例を説明する。
(A−3−1)トラヒックプロファイルへのパッシブな計測値の相関を用いた処理
次に、オーバレイトラヒック情報取得装置100−1がトラヒックプロファイルのパッシブな計測値の相関を用いた処理を説明する。
ここで、パッシブな計測値とは、パケット遅延付与/選択廃棄手段12による処理を行わずに、全てのオーバレイトラヒック情報取得装置100−1〜100−8から取得したトラヒックプロファイルを統計処理で求めた計測値をいう。
図6は、オーバレイトラヒック情報取得装置100におけるパッシブな計測値の相関を用いた処理を示すフローチャートである。
第1の実施形態の各オーバレイトラヒック情報取得装置100−1〜100−8は、同様の動作を行うので、以下では、オーバレイトラヒック情報取得装置100−1に着目して動作を説明する。
トラヒック情報取得装置100−1に入力されたパケット(IPパケット)は、ミラーリング手段11によって2つにコピーされ、トラヒック情報計測手段13に与えられる(ステップS101)。
トラヒック情報計測手段13では、入力されたパケットについて、例えば、到着時刻、パケット長、宛先と送信元のIPアドレス、ポート番号、プロトコル番号、シーケンス番号、エラーの有無などが抽出されて、トラヒックプロファイル作成手段14に与えられる(ステップS102)。
トラヒックプロファイル作成手段14では、トラヒック情報計測手段により計測された情報に基づいてトラヒックプロファイルが生成され、プロファイルされる。例えば、縦軸を送信元、横軸を宛先とするIPアドレス又はネットワークアドレスのマトリクスとして、パケット長、トラヒック量、使用プロトコル、到着間隔の情報が観測時刻と共に整理され、各プロファイルが蓄積される(ステップS103)。
この作成されたプロファイルは、通信手段15に与えられて、他のオーバレイトラヒック情報取得装置100−2〜100−8に転送される。また、通信手段15を介して、他のオーバレイトラヒック情報取得装置100−2〜100−8からのプロファイルが受信される(ステップS104)。
相関・影響評価・閾値判定手段16では、自装置100−1のトラヒックプロファイル作成手段14が作成したプロファイル、及び他のオーバレイトラヒック情報取得装置200−2〜100−8から取得したトラヒックプロファイルを用いて、トラヒックプロファイル間の相関関係や影響の評価が行われ、その評価値と閾値との比較により、オーバレイトラヒックか否かの判定が行われる(ステップS105)。
すなわち、相関・影響評価・閾値判定手段16は、通信手段15を用いて、他のオーバレイトラヒック情報取得装置100−2、…で観測されたトラヒックのプロファイルを入手し、オーバレイトラヒックが存在するときに見られる相関関係や影響を評価する。
そして、相関・影響評価・閾値判定手段16は、各トラヒック情報取得装置100−1〜100−8で得られたトラヒックプロファイル間の相関関係や影響を評価し、閾値以上であれば、オーバレイトラヒックであると判断し、閾値未満であればオーバレイ網以外の(通常の)トラヒックと判断する(ステップS106)。
例えば、オーバレイトラヒック情報取得装置100−1は、自装置も含む全ての装置100−1〜100−8で計測したあるノード(例えばPC60)のトラヒックプロファイルを収集し統計を取る。そして、ノード(例えばPC60)宛とするトラヒックのプロファイルの時系列データと、当該ノード(例えばPC60)から出力されたトラヒックのプロファイルの時系列データとの相関を取る。
このノード(例えばPC60)の入力及び出力トラヒックのトラヒックプロファイル間の相関が閾値を超えていれば、そのノード(例えばPC60)は、オーバレイ網のノードであり、入力トラヒックを転送して出力していると判断する。
なお、ここで記載した相関とは、狭い意味での相関である相互相関関数を求めて評価するという意味だけなく、広い意味での関連性の有無をいう相関も意味する。後者は、前者を含み、別の手法も含む。この別の手法には、例えば、以下に示す方法がある。
例えば、そのノード(例えばPC60)が、オーバレイ網のノードであると共に、通常のインターネット上での暗号通信をしていると、一次相関が弱くなる可能性があるので、相関・影響評価・閾値判定手段16は、当該ノードの入力及び出力トラヒックプロファイルに関する周波数成分解析も行う。
より詳細な方法として、例えば、相関・影響評価・閾値判定手段16は、主成分分析を行うだけでなく、Y軸を周波数、Z軸を大きさとして、YZ軸をスペクトル分布の曲線と作り、X軸を時間軸にして、包絡線によるスペクトル分布の曲面を作る。あるノード宛トラヒック量の時系列データによるその曲面と、当該ノードが出力したトラヒック量の時系列データによるその曲面とを比較し、一致する曲面成分の有無を比較して、閾値を超える一致が見られれば、オーバレイ網のノードであると判断する。
具体的には、比較するための前処理(入力するデータを作るための計算)はプロファイル作成手段14で行い、相関・影響評価・閾値判定手段16が周波数成分の比較をスペクトル分布の曲面の一致から評価する。
この周波数成分解析を用いる方法は、オーバレイのトラヒックのストリームと、そうでない通信のトラヒックのストリームは、周波数分布が異なるとの仮定(仮定1)の下に行う。この仮定1が正しければ、例えトラヒック量の絶対値が異なっていても、有効に働くことが期待できる。
更に、仮定1が成立しない場合でも、あるノード宛のフローの物理量(例えばトラヒック量)と、そのノードから出力されるフローの物理量の比較(相互相関や周波数成分解析)を行う際に、全てのフローの合計で比較するのではなく、複数のフローを除外して比較することで対策を図れる。
つまり、トラヒック情報計測手段13、トラヒックプロファイル作成手段14、相関・影響評価・閾値判定手段16のいずれか、又は、これらの一部若しくは全部を組合せた上記のスクリーニングを行う。
このようなスクリーニング方法のいずれか又は、一部若しくは全部の組合せを行うことで、オーバレイ網以外のトラヒックを除外することができる。そのため、あるノードの入力及び出力のトラヒックプロファイル間の相関は強い相関を示し得る。そして、相関・影響評価・閾値判定手段16は、閾値以上の相関が得られたフローはオーバレイ網のフローであり、除外されたフローは、オーバレイ網以外のフローであると判断する。
このようにすることで、相関関係に関して、一部分でも同じであれば高いピークが立つようになる。そのため、従来手法では、ピークが雑音に埋もれるような場合でも検出が可能になる。
(A−3−2)トラヒックプロファイルへのアクティブな計測値の相関を用いた処理
次に、オーバレイトラヒック情報取得装置100−1がトラヒックプロファイルのアクティブな計測値の相関を用いた処理を説明する。
ここで、アクティブな計測値とは、パケット遅延付与/選択廃棄手段12が宛先別及び又は送信元別に遅延時間の付与やパケット廃棄や選択的なビット誤り等を行い、全てのオーバレイトラヒック情報取得装置100−1〜100−8から取得したトラヒックプロファイルを統計処理で求めた計測値をいう。
図7は、オーバレイトラヒック情報取得装置100におけるアクティブな計測値の相関を用いた処理を示すフローチャートである。
第1の実施形態の各オーバレイトラヒック情報取得装置100−1〜100−8は、同様の動作を行うので、以下では、オーバレイトラヒック情報取得装置100−1に着目して動作を説明する。なお、図7において、S101〜S106は、図6に示す処理と同じ処理であるので説明を省略する。
オーバレイトラヒック情報取得装置100−1に入力されたパケット(IPパケット)は、ミラーリング手段11によってコピーされ、一方はトラヒック情報計測手段13に与えられ、他方はパケット遅延付与/選択廃棄手段12に与えられる(ステップS201)。
パケット遅延付与/選択廃棄手段12では、特定の宛先、送信元のパケットに対して、指定された遅延時間や、指定されたパケット廃棄や、又は指定ビットのビット誤りのいずれかを行い出力する(ステップS202)。
このパケット遅延等の処理は、オーバレイトラヒック情報取得装置100−1〜100−8の一部又は全ての装置が行う。また、この遅延、パケット廃棄又はビット誤りに関する情報は、トラヒック情報計測手段13に与えられる(ステップS203)。
そして、当該ノードから出力されたトラヒックが入力されると、トラヒック情報計測手段13により、当該ノードからの出力されたトラヒックプロファイルを計測する(ステップS102)。その後、相関・影響評価・閾値判定手段16により、フローの物理量(例えば、トラヒックの到着間隔、トラヒック量等)を観測し、遅延操作等による出力フローの物理量の影響を観測し、オーバレイトラヒックの検出を行う(ステップS103〜ステップS106)。
ただし、単に暗号化された通常のTCPであっても、TCP−Ackが帰ってこないと、送信側は送信するトラヒック量を絞り、最終的にはトラヒックを停止する。そのため、出力フローがゼロとなる時間は、TCPの制御によりゼロになるのではないことを確認する必要がある。
具体的には、出力フローがゼロになる時間は、パケット廃棄により転送出力がゼロになる時間より長いので、閾値を設け、その閾値より短い時間内にフロー出力がゼロか否か判定する。
例えば、ノード(例えばPC60)宛のトラヒックを全て廃棄したにも関わらず、出力トラヒック量に全く変化がなければ、そのノードはオーバレイ網のノードとして転送動作をしていないと判断できる。逆に、ノード(例えばPC60)宛のトラヒックを全て廃棄(ただし何のフローか既知のものは通す)した瞬間(すなわち、閾値より短い時間)に、ノードからの出力フローがゼロになった場合、そのノードはオーバレイのノードと判断できる。
次に、オーバレイ網のフローの経路を調べる方法として、以下の方法を用いることができる。
オーバレイトラヒック情報取得装置100−1〜100−8において、パケット遅延付与/選択廃棄手段12が、あるノードに対するフローの1つを除き、他のトラヒックを全て廃棄する、あるいは、あるノードに対するフローの1つにだけ、遅延やビット誤りを生じさせ、そのノードから出力されるフローの経路を観測する。
そして、そのノードがオーバレイ網のノードである場合には、そのノードから転送されて出力されるフローの経路を知ることができる。この宛先及び又は送信元を分別して識別することができるならば、一度に複数のノードの複数のフローに対する評価を行うようにしてもよい。
オーバレイトラヒック情報取得装置100−1〜100−8において、あるノードに対するフローの1つを除き、他のトラヒックを全て廃棄するというのは、具体的には、『残す1つのフローを順に変更してこの操作を繰り返して行う』ということである。
なお、例えば、ノード(例えばPC50)に対する評価で、オーバレイトラヒック情報取得装置100−1〜100−8の全てを使用しなくても、オーバレイトラヒック情報取得装置100−4だけを操作することで、同じ効果を得ることができる場合がある。
つまり、オーバレイトラヒック情報取得装置100−4が、ノード(例えばPC50)宛に入力されるトラヒックに遅延等の処理を行い、送信元ノード(例えばPC50)から出力されるトラヒックを用いた観測を行うことで実現できる。ただし、それは、インバウンド(InBound)のトラヒックの送信元IPアドレスが詐称されていないことが前提である。
第1の実施形態では、管理している網への入力エッジで観測しており、オーバレイトラヒック情報取得装置100−1〜100−8は入力元(送信元)のネットワークを特定することができる。そのため、遅延、パケット廃棄、ビット誤りなどの操作自体は、例えば上記の例の場合にはオーバレイトラヒック情報取得装置100−4だけで行ってもよい。
なお、調査の時間は短縮できる場合がある。例えば、パケット遅延付与/選択廃棄手段12は、例えばPC50宛ではなく、R44からのアウトバウンド(OutBound)全体に対して遅延等を付与し、まずR44全体のトラヒックを調査するなど、ある程度の数量をまとめて影響を、評価する。そして、影響が出ている可能性があれば、、パケット遅延付与/選択廃棄手段12は、徐々にその調査範囲を狭めてノードを特定する方法を用いることができる。
本発明は、オーバレイ網のトラヒックの検出と、フローを把握するものだが、オペレータは、その検出情報等の情報を用いて、特定のオーバレイ網のトラヒックの遮断やシェーピングを行いたい場合が考えられる。その際、シェーピング装置を導入してそれを操作したり、ルータにその機能があれば、それを用いて実現することできる。しかし、シェーピング装置やその機能を有するルータの導入に費用がかかる場合、パケット遅延付与/選択廃棄手段12を操作して、廃棄を行い所望の動作を実現することもできる。
また、オペレータは、オーバレイ網で使用されているトラヒックが、TCPを用いているものか、UDPを用いたものであるかを知りたい場合があると考えられる。特定のトラヒックに遅延をかけた際、TCPのフロー制御によるトラヒックの抑制が観測されたり、トラヒック廃棄を行った際に、再送要求と再送と思われる短パケットの送受信動作が検出されれば、当該オーバレイ網はプロトコルとしてTCPを用いていると推定することができる。
(A−4)第1の実施形態の効果
以上のように、第1の実施形態によれば、事前にオーバレイ網のノードが不明な場合でも、おとりのノードを用いることなく、ネットワークに配置したオーバレイトラヒック情報取得装置を用いてオーバレイ網の状態を把握し、オーバレイ網の存在、オーバレイ網のノードの特定、フローの量と経路の把握、使用プロトコルの把握が可能となる。
また、第1の実施形態によれば、ネットワークに配置されたオーバレイトラヒック情報取得装置からトラヒックプロファイルを収集・集計を行うことで、複数のフローが隣接オーバレイ網のノード間の1つのフローに集約され、オーバレイ網のノードでフローの組換えが行われる場合でも用いることができる。
更に、オーバレイ網のトラヒックの遮断やシェーピングといった制御も可能である。すなわち、第1の実施形態によれば、オーバレイ網のトラヒックの検出と、フローを把握するものだが、特定のオーバレイ網のトラヒックの遮断やシェーピングを行いたい場合、ルータにその機能があれば、それを用いて実現することができ、またシェーピング装置やその機能を有するルータの導入に費用がかかる場合、パケット遅延付与/選択廃棄手段12を操作して、パケット廃棄を行い所望の動作を実現することもできる。
(B)第2の実施形態
次に、本発明のオーバレイトラヒック検出システム及びトラヒック監視・制御システムの第1の実施形態について図面を参照しながら説明する。
第2の実施形態は、第1の実施形態のオーバレイトラヒック情報取得装置に加え、捜索情報送受信装置を搭載したノード(いわゆる、おとりノード)を用いることを特徴とする。
(B−1)第2の実施形態の構成
図8は、第2の実施形態のオーバレイトラヒック検出システムの構成図、オーバレイトラヒック情報取得装置100及び捜索情報送受信装置200の内部構成を示す図である。
第2の実施形態は、例えばWinny等のように、オーバレイ網への参加が可能なオーバレイ網で有効に機能する。ただし、従来技術と異なり、捜索情報送受信装置200は(おとり端末)が接触していないオーバレイ網のノードの情報も取得することが可能である。また、捜索情報送受信装置200を用いることで、この捜索情報送受信装置200を搭載したPCが接触していないオーバレイ網のノード情報も得られます。
捜索情報送受信装置200は、通信手段214、制御手段213、観測データ送信手段211及び観測データ受信手段212を有するオーバレイノード機能実現手段210を備える。
通信手段214は、他のオーバレイトラヒック情報取得装置100−1、100−2や、他の捜索情報送受信装置200と通信する機能を有し、例えば、捜索情報(プローブ情報)の送信前、送信中、送信後などを示す情報を送信するものである。
ここで、捜索情報(プローブ情報)とは、オーバレイ網に参加するおとりノードが、オーバレイ網の有無や、オーバレイ網上のフロー経路を捜索するための情報である。例えば、Winny等のファイル分散共有型のオーバレイ網の場合、共有フォルダに捜索情報をおく。
制御手段213は、オーバレイ網の状態を調査するために、おとりノードとしての機能制御を行うものである。制御手段213は、通信手段214を介して、他のオーバレイトラヒック情報取得装置100−1、100−2、他の捜索情報送受信装置200との間で、捜索情報の送信時、送信中、送信後などの情報通信を行う。
オーバレイノード機能実現手段210は、当該ノード(例えばPC90)がオーバレイ網のノードとしての機能を実現するものであり、オーバレイ網上で授受される情報を受信する観測データ受信手段212と、情報を送信する観測データ送信手段211を有する。
(B−2)第2の実施形態の動作
次に、第2の実施形態におけるオーバレイ網の存在の有無や、オーバレイ網上のフロー経路などを把握する処理を説明する。
オーバレイトラヒック情報取得装置100−1、100−2の処理は、第1の実施形態と同じである。例えば、第1の実施形態のように、パッシブな計測値の相関を用いた処理や、アクティブな計測値の相関を用いた処理を適用できる。
第2の実施形態では、第1の実施形態の処理に加えて、捜索情報送受信装置200を搭載したノード(おとりノード)を、オーバレイ網の一部を構成するノードとして動作させる。これにより、更に詳細な情報を得ることができる。
具体的には、図9に示されるオーバレイ網において、PC90に捜索情報送受信装置200を搭載する。すなわち、PC90がおとりノードとなり、捜索(プローブ)情報を送信する。ここで、例えばオーバレイ網がファイル分散共有型の場合、共有フォルダに捜索(プローブ)情報を置くようにする。
次に、別のISP網あるいは同一ISP網内に、おとりノード90とは別のおとりノードを備える。ここで、別のISP網のPC91をおとりノードとし、PC90が送信した情報を受信する。
ここで、オーバレイ網の状態を把握する方法としては、PC90が捜索情報を送信する送信動作前、送信動作中、送信終了後の3状態でのPC90(送信元ノード)、PC91(宛先ノード)のトラヒックプロファイルをオーバレイトラヒック情報取得装置100−1〜100−8が観測し、その相関関係や影響評価などの判定を行う。この相関関係や影響評価などの判定方法は、第1の実施形態を広く適用することができる。
つまり、オーバレイトラヒック情報取得装置100−1〜100−8は、PC90で情報を送信する送信動作前、送信動作中、送信終了後の3状態において、宛先と送信元のIPアドレス又はネットワークアドレス別に、通過するパケットのトラヒック量、パケット長、到着間隔、ポート番号、使用プロトコルの情報を時系列データとして取得し、変化を評価する。
具体的には、例えば、同一のオーバレイトラヒック情報取得装置100が、PC90が送信元となるトラヒック情報を計測し、トラヒック量や宛先IPアドレスの分布の時系列変化を求めるトラヒックプロファイルを作成する。そして、捜索(プローブ)情報送信前のトラヒックプロファイルと、送信終了後のトラヒックプロファイルとの相関関係が類似していながら、捜索(プローブ)情報送信中のトラヒックプロファイルは、その前後と異なるものであった場合、このオーバレイトラヒック情報取得装置100が設置された経路を捜索(ブロープ)情報が通過したと判断する。
また例えば、多数のオーバレイトラヒック情報取得装置100で、捜索(プローブ)情報送信中のトラヒックプロファイルの変化が観測された場合には、まず送信元のPC90に直近のオーバレイトラヒック情報取得装置100での捜索情報送信中のプロファイルの変化を確認する。その次に、その直近のオーバレイトラヒック情報取得装置100での変化と類似する変化を示す別のオーバレイトラヒック情報取得装置100を検索し、直近のオーバレイトラヒック情報取得装置100からこの別のオーバレイトラヒック情報取得装置100までの経路が、これが捜索(プローブ)情報の転送経路であると判定する。
このようにして、捜査情報送受信装置200を搭載したノードを備えることにより、オーバレイ網をより精度良く検出することができ、またオーバレイトラヒックの通信経路も把握することができる。これは、おとりノードが流すデータ(捜索情報)の経路は推定ではなく、完全に把握できるので、フロー経路判定がより正確になるからである。
(B−3)第2の実施形態の効果
以上のように、第2の実施形態によれば、第1の実施形態の効果に加え、より高精度にオーバレイ網のトラヒックを把握することができる。
(C)第3の実施形態
次に、本発明のオーバレイトラヒック検出システム及びトラヒック監視・制御システムの第1の実施形態について図面を参照しながら説明する。
(C−1)第3の実施形態の構成
図10は、第3の実施形態のオーバレイトラヒック検出システムの構成及びオーバレイトラヒック情報取得装置の内部構成を示す構成図である。
第3の実施形態は、第1の実施形態の構成に準じるが、オーバレイトラヒック情報取得装置300(300−1、300−2)が、キーワード出現度数計測手段317と、キーワード出現類似性判定手段318とを備える点で異なる。
なお、これ以外の構成は、第1又は第2の実施形態と同じであるので、以下では、キーワード出現度数計測手段317と、キーワード出現類似性判定手段318との構成を説明する。
キーワード出現度数計測手段317は、ミラーリング手段311からパケットを受け取り、そのパケットに含まれるデータに含まれる、オーバレイ網に関連するキーワードを検索し、その出現度数をキーワード毎に計測するものである。
また、キーワード出現度数計測手段317は、通信手段315を介して計測されたキーワードの出現度数情報を、他のオーバレイトラヒック情報取得装置100との間で交換する。
キーワード出現類似性判定手段318は、自装置を含めたオーバレイトラヒック情報取得装置100で計測されたキーワードの出現度数情報から、キーワードの出現度数分布を求め、このキーワードの出現度数分布の類似性を評価することで、オーバレイ網のトラヒックの存在及びフローの経路を判定するものである。
なお、第3の実施形態は、第1の実施形態、第2の実施形態のいずれのオーバレイトラヒック検出システムに適用できる。
(C−2)第3の実施形態の動作
以下では、第3の実施形態のオーバレイトラヒック検出処理の動作を説明する。
第3の実施形態は、以下の仮定に基づいて、オーバレイトラヒックの存在と経路を推定する。あるいは、第1及び第2の実施形態によりも精度良くオーバレイトラヒックの存在及び経路を把握することができる。
その仮定とは、オーバレイ網のノードが、オーバレイ網以外のトラヒックとして平文で通信されるデータに含まれるキーワードは、オーバレイ網と関連があるというものである。
例えば、不特定多数の人が参加するオーバレイメッセージングサービス網において、そこに属する2ノード(ユーザ)が、しばしば、近い時間に、同じキーワードでサイト(例えば検索サイトや地図サイトなど)にアクセスしている場合がある。この場合、この2ノードは、(暗号化された)オーバレイメッセージングサービスを通じて共通の話題での通信を行っており、その話題で出現するキーワードを平文での通常のインターネットサービスを用いて、サイト(例えば検索サイトや地図サイトなど)でのアクセスを行っていると推定するのである。
この仮定に基づく推定を行うため、オーバレイトラヒック情報取得装置200内に、入力されたトラヒックは、ミラーリング手段311によって、第1及び第2の実施形態と同様にトラヒック情報計測手段313に与えられるだけでなく、キーワード出現度数計測手段317に送られる。
キーワード出現度数計測手段317では、入力されたトラヒックから平文でのキーワードの出現度数を計測する。
ここで、キーワードは、例えばデータベースなどを用意し、このデータベースに登録されているものを用いることができる。このデータベースとしては、例えば、一般的な国語辞典で25万語程度(Microsoft Bookshelf、大辞林、共に25万語)なので、この程度の種類を用意すればよい。
また、キーワード出現度数の計測方法は、ソフトウエアでの計測も可能であるが、例えばネットワークプロセッサやDSPといった技術を用いてフローのビット列に対してハードウエアでの並列AND検索を行うと実行速度的により有利である。
キーワード出現度数計測手段317により計測されたキーワードの時系列出現情報は、通信手段315を通じて、他のオーバレイトラヒック情報取得装置300間で交換する。
キーワード出現類似性判定手段318は、自装置も含めたオーバレイトラヒック情報取得装置300で計測されたキーワードの時系列出現情報に基づいて、キーワードの出現度数分布を求め、キーワード出現度数分布の類似性を評価する。
ここで、キーワード出現度数分布の類似性は、例えば、キーワードの数をNとした場合に、出現度数を値とするN次元のベクトルを作成し、ベクトルの内積を取る方法を適用できる。このとき、全てのノードで出現率が高いキーワードを除外し、出現が珍しいキーワードを用いるとより好適である。
このキーワード出現度数分布の類似性の評価値は、相関・影響評価・閾値判定手段316に転送され、閾値判定の際の1つのパラメータとして使用することができる。
(C−3)第3の実施形態の効果
以上のように、第3の実施形態によれば、第1及び第2の実施例の効果に加え、より高精度にオーバレイ網のトラヒックの存在及び通信経路を把握することができる。
(D)他の実施形態
第1〜第3の実施形態では、オーバレイトラヒック情報取得装置という物理的な装置として説明した。
しかし、第1〜第3の実施形態で説明したオーバレイトラヒック情報取得装置が実行する機能を、例えばルータやスイッチ等のネットワー機器の内部に実装することでも実現できる。
この場合、例えばルータやスイッチ等のネットワー機器自身で、他の目的で既に実装しているトラヒック情報計測手段通信手段、トラヒック入力手段、情報交換用入出力手段を共用することができる。
また、第1〜第3の実施形態において、相関・影響評価・閾値判定手段が出力する判定結果として、例えばルータのMIB情報や、コンソール出力を用いることができる。
100(100−1〜100−8)、300(300−1、300−2)…オーバレイトラヒック情報取得装置、
11及び311…ミラーリング手段、
12及び312…パケット遅延付与/選択廃棄手段、
13及び313…トラヒック情報計測手段、
14及び314…トラヒックプロファイル作成手段、
15及び315…通信手段、
16及び316…相関・影響評価・閾値判定手段、
317…キーワード出現度数計測手段、318…キーワード出現類似性判定手段、
200…捜索情報送受信装置、210…オーバレイノード機能実現手段、
211…観測データ送信手段、212…観測データ受信手段、
213…制御手段、214…通信手段。
特開2004−343186号公報 特開2005−202589号公報 特開2005−278176号公報 特表2006−506877号公報 特開2007−019949号公報 特開2008−113186号公報

Claims (16)

  1. ネットワーク上に配置され、入力されたトラヒックからトラヒックのフローに関する統計情報を計測する複数のトラヒック情報計測手段と、
    上記各トラヒック情報計測手段により計測された統計情報を蓄積し、時間的に変化する上記統計情報及び又は上記統計情報の特徴情報をプロファイルする複数のトラヒックプロファイル作成手段と、
    上記複数のトラヒックプロファイル作成手段から上記統計情報及び又は上記統計情報の特徴情報を収集し、これら上記統計情報及び又は上記統計情報を集計して、ある宛先への入力トラヒックの上記集計情報と、上記宛先を送信元とする出力トラヒックの上記集計情報との相関度を求め、それが設定された閾値を上回るか否かを判定する相関・影響評価・閾値判定手段と
    を備えることを特徴とするオーバレイトラヒック検出システム。
  2. 上記複数のトラヒック情報計測手段が、ある宛先への入力トラヒックフロー量と、この宛先を送信元とする出力トラヒックフロー量とを比較し、両者が大きく異なる場合、当該トラヒックの統計情報を計測しないことを特徴とする請求項1に記載のオーバレイトラヒック検出システム。
  3. 上記相関・影響評価・閾値判定手段が、ある宛先への入力トラヒックの上記集計情報の時系列データと、この宛先を送信元とする出力トラヒックの上記集計情報の時系列データとの相関度が閾値を超える場合、当該宛先がオーバレイ網上のノードであると判断することを特徴とする請求項1又は2に記載のオーバレイトラヒック検出システム。
  4. 上記トラヒックプロファイル作成手段が、ある宛先への入力トラヒック及びこの宛先を送信元とする出力トラヒックに関して、微小時間区間におけるパケット長の分布、到着時間間隔の分布若しくはトラヒック量の分布のいずれか又はこれらの組合せの周波数成分解析を行い、
    上記相関・影響評価・閾値判定手段が、入力トラヒックの周波数成分解析結果と出力トラヒックの周波数成分解析結果との類似度を用いてオーバレイ網を判定する
    ことを特徴とする請求項1〜3のいずれかに記載のオーバレイトラヒック検出システム。
  5. 上記相関・影響評価・閾値判定手段が、入力トラヒックのスペクトル形状と出力トラヒックのスペクトル形状との類似度を判定することを特徴とする請求項4に記載のオーバレイトラヒック検出システム。
  6. 上記相関・影響評価・閾値判定手段が、さらに時間軸を用いて、三次元の入力スペクトル曲面と、三次元の出力スペクトル曲面との相似性を用いて判定することを特徴とする請求項5に記載のオーバレイトラヒック検出システム。
  7. 上記相関・影響評価・閾値判定手段が、上記複数のトラヒックプロファイル作成手段から収集した上記統計情報のうち、全てを用いるのではなくその一部を除外して集計した情報を用いて判定を行うことを特徴とする請求項1〜6のいずれかに記載のオーバレイトラヒック検出システム。
  8. 入力されたトラヒックに対して、選択的に指定された遅延時間、指定されたパケット廃棄、若しくは指定されたビット誤りのいずれか又はこれらの組合せを付与する遅延時間・選択廃棄付与手段と、
    上記遅延時間・選択廃棄付与手段により与えられた操作パターンと、上記宛先からの出力トラヒックのフローパターンとの対応関係を確認し、上記遅延時間・選択廃棄付与手段により与えられた操作パターンを付与したトラヒックの到来を判別し、この判別結果を評価値として上記相関・影響評価・閾値判定手段に与える操作トラヒック検出手段と
    を備えることを特徴とする請求項1〜7のいずれかに記載のオーバレイトラヒック検出システム。
  9. 上記遅延時間・選択廃棄付与手段でのパケット廃棄により出力トラヒックの出力フローがなくなる時間が、通信プロトコル制御に必要とされる時間より短いことを特徴とする請求項8に記載のオーバレイトラヒック検出システム。
  10. 上記遅延時間・選択廃棄付与手段は、ある宛先への入力トラヒックのうち、ある1つのトラヒックフローに限定し、それ以外のトラヒックフローを全て廃棄し、
    上記相関・影響評価・閾値判定手段は、上記限定した入力トラヒックフローと、この宛先を送信元とする出力トラヒックフローとの相関度が閾値を超えている場合、上記入力トラヒックフロー及び上記出力トラヒックフローの経路が、オーバレイ網上の通信経路であると判定する
    ことを特徴とする請求項8又は9に記載のオーバレイトラヒック検出システム。
  11. 上記遅延時間・選択廃棄付与手段は、ある宛先の入力トラヒックのうち、ある1つのトラヒックフローにだけ遅延時間又はビット誤りを付与し、
    上記相関・影響評価・閾値判定手段は、上記入力トラヒックフローと、この宛先を送信元とする出力トラヒックフローとの相関度が閾値を超えている場合、上記入力トラヒックフロー及び上記出力トラヒックフローの経路が、オーバレイ網上の通信経路であると判定する
    ことを特徴とする請求項8又は9に記載のオーバレイトラヒック検出システム。
  12. 上記遅延時間・選択廃棄付与手段は、上記限定するトラヒックフロー、又は、遅延時間若しくはビット誤りを付与するトラヒックフローを、上記宛先への入力トラヒックの中から順次変更していき、すべてのトラヒックフローに対して行うことを特徴とする請求項10又は11に記載のオーバレイトラヒック検出システム。
  13. オーバレイ網に参加可能であり、オーバレイトラヒックに関連する捜索情報を送受信する捜索情報送受信手段を配置させ、
    上記各トラヒック情報計測手段は、上記捜索情報送受信手段が意図的に送信した上記捜索情報に係るトラヒックのフローに関する統計情報を計測し、
    上記複数のトラヒックプロファイル作成手段は、上記捜索情報の送信動作前、送信動作中、送信動作後の上記統計情報及び又は上記統計情報の特徴情報をプロファイルし、
    上記相関・影響評価・閾値判定手段は、上記捜索情報の送信動作前のプロファイルと、送信動作後のプロファイルとの相関度が閾値を超えているが、上記捜索情報の送信動作中のプロファイルと、送信動作前又は送信動作後のプロファイルと相関度が閾値未満である場合、この捜索情報に関する統計情報を計測した上記トラヒック情報計測手段を、当該捜索情報が通過したものと判断する
    ことを特徴とする請求項1〜12のいずれかに記載のオーバレイトラヒック検出システム。
  14. 上記相関・影響評価・閾値判定手段は、当該捜索情報を通過した上記トラヒック情報計測手段を複数検出した場合、上記捜索情報送受信手段の位置から直近の上記トラヒック情報計測手段を特定し、この直近の上記トラヒック情報計測手段から順次トラヒック情報計測手段の位置を辿った経路を、オーバレイ網のフロー経路と判断することを特徴とする請求項13に記載のオーバレイトラヒック検出システム。
  15. 入力されたトラヒックからキーワードの出現数を計測する複数のキーワード出現数計測手段と、
    上記複数のキーワード出現数計測手段により計測されたキーワード出現数を収集し、このキーワードのキーワード出現数分布の類似度を評価するキーワード出現類似性判定手段と
    を備え、
    上記相関・影響評価・閾値判定手段が、上記キーワード出現数分布の類似度をオーバレイ網の存在を評価する評価値として用いることを特徴とする請求項1〜14のいずれかに記載のオーバレイトラヒック検出システム。
  16. 請求項1〜請求項15のいずれかに記載のオーバレイトラヒック検出システムと、
    ルータに関連して設置されている、特定トラヒックを選択的に除外処理するフィルタリング手段と、
    上記オーバレイトラヒック検出システムが、オーバレイトラヒックとして検出したトラヒックに対し、上記フィルタリング手段が除外処理するように制御する制御手段と
    を有することを特徴とするトラヒック監視・制御システム。
JP2009010074A 2009-01-20 2009-01-20 オーバレイトラヒック検出システム及びトラヒック監視・制御システム Active JP5228936B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2009010074A JP5228936B2 (ja) 2009-01-20 2009-01-20 オーバレイトラヒック検出システム及びトラヒック監視・制御システム
US12/656,135 US8433788B2 (en) 2009-01-20 2010-01-19 Overlay network traffic detection, monitoring, and control

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009010074A JP5228936B2 (ja) 2009-01-20 2009-01-20 オーバレイトラヒック検出システム及びトラヒック監視・制御システム

Publications (2)

Publication Number Publication Date
JP2010171527A true JP2010171527A (ja) 2010-08-05
JP5228936B2 JP5228936B2 (ja) 2013-07-03

Family

ID=42337828

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009010074A Active JP5228936B2 (ja) 2009-01-20 2009-01-20 オーバレイトラヒック検出システム及びトラヒック監視・制御システム

Country Status (2)

Country Link
US (1) US8433788B2 (ja)
JP (1) JP5228936B2 (ja)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8619775B2 (en) * 2008-07-21 2013-12-31 Ltn Global Communications, Inc. Scalable flow transport and delivery network and associated methods and systems
US8775605B2 (en) 2009-09-29 2014-07-08 At&T Intellectual Property I, L.P. Method and apparatus to identify outliers in social networks
WO2011042035A1 (en) * 2009-10-09 2011-04-14 Nec Europe Ltd. A method for monitoring traffic in a network and a network
CN102340532B (zh) * 2010-07-26 2014-05-14 北京启明星辰信息技术股份有限公司 P2p应用识别方法及装置、p2p流量管理方法及装置
US9571342B2 (en) 2012-02-14 2017-02-14 Inetco Systems Limited Method and system for generating transaction data from network traffic data for an application system
US9491801B2 (en) 2012-09-25 2016-11-08 Parallel Wireless, Inc. Dynamic multi-access wireless network virtualization
WO2014067043A1 (zh) * 2012-10-29 2014-05-08 华为技术有限公司 网络流量检测方法、系统、设备及控制器
MY164492A (en) * 2012-12-06 2017-12-29 Mimos Berhad A system and method for routing in a network
MY172616A (en) * 2013-03-13 2019-12-06 Telekom Malaysia Berhad A system for analysing network traffic and a method thereof
US20140372216A1 (en) * 2013-06-13 2014-12-18 Microsoft Corporation Contextual mobile application advertisements
US10581737B1 (en) 2014-06-20 2020-03-03 Amazon Technologies, Inc. Acceleration of data routing in an application group
US9338092B1 (en) * 2014-06-20 2016-05-10 Amazon Technologies, Inc. Overlay networks for application groups
US9306818B2 (en) * 2014-07-17 2016-04-05 Cellos Software Ltd Method for calculating statistic data of traffic flows in data network and probe thereof
CN106302318A (zh) * 2015-05-15 2017-01-04 阿里巴巴集团控股有限公司 一种网站攻击防御方法及装置
CN106911539B (zh) * 2017-04-26 2019-08-09 优刻得科技股份有限公司 分析用户端和服务端之间的网络参数的方法、装置和系统
EP4221157A1 (en) 2017-06-30 2023-08-02 nChain Licensing AG Flow control for probabilistic relay in a blockchain network
CN112350938B (zh) * 2020-10-28 2023-01-10 北京轻网科技有限公司 路径建立方法及装置
US11734691B2 (en) * 2020-10-29 2023-08-22 International Business Machines Corporation Identifying sister nodes based on a context node
CN114679743B (zh) * 2022-05-30 2022-08-16 广州天越电子科技有限公司 一种支持多种信号频段的覆盖效果评估系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006510277A (ja) * 2002-12-13 2006-03-23 セタシア ネットワークス コーポレイション 相関関数を用いてネットワーク攻撃を検出するネットワーク帯域異常検出装置及び方法
JP2006279682A (ja) * 2005-03-30 2006-10-12 Nec Corp トラフィック制御装置及びトラフィック制御方法並びにプログラム
JP2008048131A (ja) * 2006-08-15 2008-02-28 Oki Electric Ind Co Ltd P2pトラフィック監視制御装置及び方法
JP2009049458A (ja) * 2007-08-13 2009-03-05 Oki Electric Ind Co Ltd オーバレイトラヒック検出システム及びトラヒック監視・制御システム

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2373961B (en) * 2001-03-30 2003-03-05 3Com Corp Method and apparatus for detecton of server-like devices within a network
EP1561333B1 (en) 2002-11-15 2007-12-05 International Business Machines Corporation Network traffic control in peer-to-peer environments
US8244853B1 (en) * 2003-03-03 2012-08-14 Vmware, Inc. Method and system for non intrusive application interaction and dependency mapping
JP3698707B2 (ja) 2003-05-13 2005-09-21 日本電信電話株式会社 トラフィック分離方法並びにトラフィック分離装置、アドレス情報収集ノード及びトラフィック分離システム装置
JP2005202589A (ja) 2004-01-14 2005-07-28 Kddi Corp P2pネットワークのトラヒック制御システム
US7567523B2 (en) * 2004-01-29 2009-07-28 Microsoft Corporation System and method for network topology discovery
US7443803B2 (en) 2004-03-23 2008-10-28 Fujitsu Limited Estimating and managing network traffic
JP4592014B2 (ja) 2005-07-08 2010-12-01 京セラ株式会社 トラヒック軽減システム
US7697418B2 (en) * 2006-06-12 2010-04-13 Alcatel Lucent Method for estimating the fan-in and/or fan-out of a node
JP4737035B2 (ja) 2006-10-30 2011-07-27 日本電気株式会社 QoSルーティング方法およびQoSルーティング装置
US8117657B1 (en) * 2007-06-20 2012-02-14 Extreme Networks, Inc. Detection and mitigation of rapidly propagating threats from P2P, IRC and gaming
US8792339B2 (en) * 2007-08-10 2014-07-29 Arris Enterprises, Inc. Method and system for moving distinctive traffic flows to a different priority service flow
US8806607B2 (en) * 2008-08-12 2014-08-12 Verizon Patent And Licensing Inc. Unauthorized data transfer detection and prevention

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006510277A (ja) * 2002-12-13 2006-03-23 セタシア ネットワークス コーポレイション 相関関数を用いてネットワーク攻撃を検出するネットワーク帯域異常検出装置及び方法
JP2006279682A (ja) * 2005-03-30 2006-10-12 Nec Corp トラフィック制御装置及びトラフィック制御方法並びにプログラム
JP2008048131A (ja) * 2006-08-15 2008-02-28 Oki Electric Ind Co Ltd P2pトラフィック監視制御装置及び方法
JP2009049458A (ja) * 2007-08-13 2009-03-05 Oki Electric Ind Co Ltd オーバレイトラヒック検出システム及びトラヒック監視・制御システム

Also Published As

Publication number Publication date
JP5228936B2 (ja) 2013-07-03
US20100185760A1 (en) 2010-07-22
US8433788B2 (en) 2013-04-30

Similar Documents

Publication Publication Date Title
JP5228936B2 (ja) オーバレイトラヒック検出システム及びトラヒック監視・制御システム
Garrett et al. Monitoring network neutrality: A survey on traffic differentiation detection
JP4999447B2 (ja) ネットワーク性能を測定するためのシステム及びその方法、ならびに、ネットワークの性能パラメータを測定するシステム
CN105681353B (zh) 防御端口扫描入侵的方法及装置
EP1742416B1 (en) Method, computer readable medium and system for analyzing and management of application traffic on networks
JP4759389B2 (ja) パケット通信装置
JP4553315B2 (ja) パケット遅延から輻輳パスを分類する輻輳パス分類方法、管理装置及びプログラム
Tammaro et al. Exploiting packet‐sampling measurements for traffic characterization and classification
Law et al. You can run, but you can't hide: an effective statistical methodology to trace back DDoS attackers
Suh et al. Characterizing and detecting relayed traffic: A case study using Skype
CN105991637A (zh) 网络攻击的防护方法和装置
JP2013127504A (ja) トラヒック監視装置
Bian et al. Towards passive analysis of anycast in global routing: Unintended impact of remote peering
Chakravarty et al. Identifying proxy nodes in a Tor anonymization circuit
Bakhshaliyev et al. Investigating characteristics of internet paths
CN108512816B (zh) 一种流量劫持的检测方法及装置
CN108574672A (zh) 应用于移动终端的arp攻击感知的方法及装置
JP4867848B2 (ja) オーバレイトラヒック検出システム及びトラヒック監視・制御システム
CN101668034B (zh) 实时识别Skype两类语音流的方法
Juan et al. Identification of tor anonymous network traffic based on machine learning
Kadloor et al. Designing router scheduling policies: A privacy perspective
RU2531878C1 (ru) Способ обнаружения компьютерных атак в информационно-телекоммуникационной сети
Yang et al. Disambiguation of residential wired and wireless access in a forensic setting
JP4028532B2 (ja) 通信ネットワークトラヒック分析装置、システム、および分析方法
JP2009049592A (ja) Ipフロー計測回路およびipフロー計測方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20111115

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20121012

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121113

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130111

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130219

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130304

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160329

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5228936

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150