专利名称:加密通信量识别装置及具有该装置的加密通信量识别系统的制作方法
技术领域:
本发明涉及如下的加密通信量(encrypted traffic)识别装置以及加密通信量识 别系统在互联网等网络上的节点或终端中,对流经该网络的通信量(traffic)进行监视, 容易且高精度地识别该通信量是密文还是明文。
背景技术:
作为现有的提取加密数据的特征的技术,存在以下技术。首先,从加密信号送出功 能部发送利用事前已知的加密方法加密得到的密文,收集该试验通信加密数据,求出其特 征。接着,针对通信量种类不明的通信信息,在加密判定功能部中,收集特征信息,与之前 求出的已知的密文的特征信息进行比较,在一致的情况下,推定为该通信量是利用已知的 加密方法加密得到的数据。根据该方法,作为加密通信的种类,能够示出所使用的通信应 用、加密通信软件、以及加密协议的组合。作为该加密协议,在WEB服务的情况下,能够使 用 HTTPS :Hypertext TransferProtocol Security(SSL :Secure Socket Layer),在 VPN: Virtual PrivateNetwork 的情况下,能够使用 DES =Data Encryption Standard、3DES、以及 AES Advanced Encryption Standard等。并且,作为提取加密数据特征的手段的信息,列 举了 (1)通信会话的产生间隔(2)通信会话中的分组产生间隔(3)通信会话中的分组大小(4)通信会话中的总分组数量(5)通信会话中的分组收发方向的关系(6)通信会话中的分组收发方向比(7)通信会话中的协议占有率(8)通信会话开始时的各分组大小(9)通信会话开始时的总分组数量(10)通信会话开始时的总数据大小(11)长期间的 Source/Destination IP 分布(12)长期间的 Destination Port 分布(13)有无长期间的针对DNS服务器的询问(14)有无在不进行任何通信时从通信应用侧发送的数据(例如参照专利文献1)。专利文献1日本特开2006-146039号公报但是,在专利文献1的发明中,如果使用上述⑴ (14)的信息,则存在如下问题点不一定能够容易地判定进行了何种通信,具体而言不一定能够容易地判定该通信的通 信量是否是密文。因此,期望如下的加密通信量识别装置取得或计算网络内通信中作为通信量特 征的数据,根据该数据,容易且准确地判定通信量是否是密文。
发明内容
本发明的加密通信量识别装置具有输入接口部,其被输入通信量;流识别部,其 至少根据发送源地址和发送目的地地址,按照流来识别所述所输入的通信量;数据蓄积部, 其按照所述流来蓄积所述通信量的特征量数据;选择性数据计算部,其根据所述特征量数 据来实施评价运算;计算结果判定部,其根据该评价运算值,来实施所述通信量是否加密、 或者在加密的情况下其加密形式是什么形式的阈值判定;以及输出接口部,其输出该判定 结果,所述选择性数据计算部仅使用所述特征量数据中特定的数据,来实施评价运算。在本发明的加密通信量识别装置中,与现有技术相比,能够容易地进行高精度的 密文和明文的加密识别的判定,进而在是密文的情况下,能够进行其加密形式的识别。并且,本发明的系统具有上述加密通信量识别装置,所以,与现有技术相比,能够 容易且高精度地进行加密识别的判定、加密形式的识别,能够削减在这些加密识别中使用 的数据量。
图1是本发明的实施方式1的加密通信量识别装置的整体结构图。图2是示出该加密通信量识别装置的加密识别动作的流程图。图3是本发明的实施方式2的加密通信量识别装置的整体结构图。图4是本发明的实施方式3的加密通信量识别装置的整体结构图。图5是本发明的实施方式4的加密通信量识别系统的整体结构图。图6是在实施方式1的加密通信量识别装置中实施的基于明文和密文这两种方式 的分组的到达间隔时间的评价运算值的分布图。图7是在实施方式1的加密通信量识别装置中实施的基于明文和密文这两种方式 的分组长度的评价运算值的分布图。
具体实施例方式实施方式1(加密通信量识别装置的整体结构)图1是本发明的实施方式1的加密通信量识别装置的整体结构图。在图1中,输入接口部11输入作为观测对象的通信量。该输入接口部11与流识别 部12连接,该流识别部12根据该通信量所具有的发送源IP地址和发送目的地IP地址等, 按照流(flow)来识别所输入的通信量。这里,流表示对发送源地址和发送目的地地址相同 的分组进行归纳得到的数据。并且,分组是构成通信量或流的收发数据的构成单位。流识 别部12与数据蓄积部13连接,该数据蓄积部13按照流来蓄积由流识别部12识别的流中 的特征量数据。该数据蓄积部13与选择性数据计算部14连接,该选择性数据计算部14根 据上述特征量数据来实施评价运算。该选择性数据计算部14与计算结果判定部15连接, 该计算结果判定部15根据上述评价运算值,来实施通信量是否加密、或者在加密的情况下 其加密形式是什么形式的阈值判定。而且,该计算结果判定部15与输出接口部16连接,该 输出接口部16向外部输出上述判定结果。加密通信量识别装置1构成为包含以上的输入接口部11、流识别部12、数据蓄积部13、选择性数据计算部14、计算结果判定部15以及输 出接口部16。另外,构成加密通信量识别装置1的上述结构要素既可以是在物理上独立的 单元,也可以表示加密通信量识别装置1的控制装置(未图示)所具有的概念性的功能,上 述各结构要件11 16也可以作为不同的装置而分别连接。(加密通信量识别装置的加密识别动作)图2是示出本发明的实施方式1的加密通信量识别装置的加密识别动作的流程 图。(Sll)输入接口部11从在外部LAN或互联网等网络中作为加密识别的观测对象的场所, 取出在该网络上通信的通信量并输入。例如,输入接口部11从设置在分路装置或路由器或 开关集线器等中的镜像端口,取出在网络上通信的通信量并输入。(S 12)输入接口部11向流识别部12发送所输入的通信量。(S13)流识别部12根据接收到的通信量所内含的发送源IP地址和发送目的地IP地址、 以及发送源端口编号和发送目的地端口编号,按照流来识别通信量。(S14)流识别部12向数据蓄积部13发送所识别的流。(S15)数据蓄积部13根据接收到的流,取得该通信量的特征量数据,并按照流进行蓄 积。作为该按照流来蓄积特征量数据的方法,可以构成为分别存储于在物理上分离的存储 介质中,也可以构成为按时序蓄积在同一存储介质中,并附加识别信息以便能够识别哪个 数据属于哪个流,除此之外,只要构成为能够通过公知的手段按照流来取得通信量的特征 量数据即可。在本实施方式中,设通信量的特征量数据是构成该通信量的分组的到达间隔 时间。(S16)选择性数据计算部14从在数据蓄积部13中按照流蓄积的全部特征量数据中,访 问作为加密识别的观测对象的特定流,从该流的特征量数据的数据串中,选择特定的特征 量数据的数据串,实施评价运算。在本实施方式中,利用以下方法求出评价运算值。即,选 择性数据计算部14按照到达间隔时间从短到长的顺序,排列如上所述访问的特定的特征 量数据,即分组的到达间隔时间的数据串,取得符合规定部分(例如从短的一方起数据串 总数的第75%个)的到达间隔时间的数据,作为评价运算值。(S 17)选择性数据计算部14向计算结果判定部15发送通过上述方法求出的评价运算值。(S18)计算结果判定部15针对接收到的评价运算值,根据规定阈值来实施阈值判定,判定加密识别的观测对象即通信量是加密后的密文、还是未加密的明文,进而,在密文的情况 下,判定其加密形式是什么形式。
(S19)计算结果判定部15向输出接口部16发送步骤S18中的加密识别的判定结果。(S20)输出接口部16向外部输出接收到的加密识别的判定结果。上述动作可以构成为始终反复实施,也可以构成为网络管理员等在必要时刻实施必要时间。(实施方式1的效果)通过以上这种结构和动作,与现有技术相比,能够进行高精度的密文和明文的加 密识别的判定,进而在密文的情况下,能够进行其加密形式的识别。另外,在上述步骤S15中,构成为在接收到的流中取得通信量的特征量数据并按 照流进行蓄积,但是,也可以构成为,不始终蓄积该特征量数据的全部,最初或者以一定时 间间隔计算平均值,求出应该除外的特征量数据,不蓄积明显不属于作为评价运算值的规 定部分数据的数据,而将其除外,仅存储认为是最小值附近的数据和认为是最大值附近的 数据。该情况下,能够减轻处理负荷。另外,在本实施方式中,加密通信量识别装置1构成为一个,但是,也可以构成为 设置多个加密通信量识别装置1来分散所输入的通信量,或者,也可以构成为不输入所有 通信量,而以规定周期对通信量进行采样。该情况下,在加密通信量识别装置1与由超高速 线路构成的网络连接、从该网络向输入接口部11输入通信量这种网络环境的情况等下,能 够减轻加密通信量识别装置1的处理负荷。另外,作为选择性数据计算部14的评价运算,不限于上述所示的内容,例如,也可 以运算如上所述按照到达间隔时间从短到长的顺序排列的数据串中规定范围的数据(例 如从短的一方起数据串总数的第0%个 第75%个的数据)的平均值,将该平均值作为评 价运算值。如该方法那样,通过取数据的平均值,能够避免在符合上述步骤S16所示的第 75%个的到达间隔时间的数据为异常数据等的情况下,产生加密识别的判定不良。或者,选择性数据计算部14能够根据下述式(1)来计算到达间隔时间指标值,将 该到达间隔时间指标值作为评价运算值。到达间隔时间指标值=Σ {(第χ个到达间隔时间)7(a+(x/N-0. 75)2)}... (1)N:数据串的总数χ 从所排列的数据串的起始数据起的顺序数a 规定的常数(正的常数。规定了第75%个的影响强度)根据本发明人的见解,关于在上述式(1)中计算出的到达间隔时间指标值,越接 近第75%个的数据,决定该到达间隔时间指标值的值时的影响度越大,与上述同样,能够避 免在符合步骤S16所示的第75%个到达间隔时间的数据为异常数据等的情况下,产生加密 识别的判定不良,并且,能够接近使用第75%个数据时的高加密识别的精度。另外,上述式 (1)以第75%个值为基准进行运算,但是,在本实施方式中所谓75%附近的情况下,包含示 出同样结果的前后左右的区域。第75%个得到示出良好值的结果,但是,在本实施方式 中,不限于第75%个数据,也可以以其他顺序数为基准。即使是完全不同的值、例如50%正 负5%,也同样存在得到良好结果的可能性。
另外,在上述说明中,作为通信量的特征量数据,数据蓄积部13取得构成该通信量的分组的到达间隔时间,但是不限于此,例如,也可以蓄积构成流的分组的分组长度作为 特征量数据。该情况下,选择性数据计算部14访问在数据蓄积部13中蓄积的特征量数据 即分组长度的数据串,计算该分组长度的数据串的方差值,将该方差值作为评价运算值。而且,数据蓄积部13例如也可以蓄积在接收到的构成流的分组中除了 ACK分组以 外的分组的分组长度作为特征量数据。该情况下,选择性数据计算部14访问在数据蓄积部 13中蓄积的特征量数据即除了 ACK分组以外的分组的分组长度的数据串,计算该分组长度 的数据串的平均值,将该平均值作为评价运算值。实施方式2(加密通信量识别装置的整体结构)图3是本发明的实施方式2的加密通信量识别装置的整体结构图。以与所述实施 方式1不同的结构和动作为中心进行说明。如图3所示,本实施方式的加密通信量识别装置1构成为,在实施方式1的加密通 信量识别装置1中追加优化执行部17。该优化执行部17与流识别部12、数据蓄积部13、选 择性数据计算部14以及计算结果判定部15连接。另外,该优化执行部17既可以是在物理 上独立的单元,也可以表示加密通信量识别装置1的控制装置(未图示)所具有的概念性 的功能。(优化执行部17的优化动作)优化执行部17访问在数据蓄积部13中蓄积的不同流的特征量数据,根据该特征 量数据,如以下说明的那样,动态地变动构成加密通信量识别装置1的各结构要素的动作。优化执行部17使流识别部12切换为基于与实施方式1的图2所示的步骤S13所 示的通信量的流识别方法不同的方法的流识别动作,通过最适于加密识别判定的流识别方 法来进行识别。并且,优化执行部17使数据蓄积部13从由流识别部12发送的所识别的流中,适 当选择分组的到达间隔时间或分组的分组长度等,作为在存储介质中蓄积的最适于加密识 别判定的特征量数据。此时,在通过流识别部12利用与实施方式1的方法不同的方法对流 进行了识别的情况下,数据蓄积部13在与蓄积了利用实施方式1的方法识别的流的特征量 数据的存储介质上的区域不同的区域中,蓄积该流的特征量数据。另外,如上所述,代替蓄 积在存储介质上的不同区域中,也可以在要蓄积的特征量数据中追加新的流分类用的识别 信息来蓄积。并且,优化执行部17使选择性数据计算部14在根据访问数据蓄积部13的特征量 数据进行评价运算时,适当切换要使用的特征量数据、或者要使用的特征量数据的数据串 的范围,通过最适于加密识别判定的运算方法来运算评价运算值。而且,优化执行部17使计算结果判定部15在针对通过选择性数据计算部14运算 出的评价运算值实施阈值判定时,适当切换该判定的阈值,通过最适于加密识别判定的阈 值来进行判定。能够通过后述的实施例1的方法等来计算评价运算值,优化是指,使用更适 于加密识别的值,在实施例1中使用第75%个。“优化”具体而言是指,例如在图6(B)中, 通过使用图中的各曲线(明文、HTTPS、PPTP :Point-to-Point TunnelingProtocol)在横轴 上的最接近距离为最大的值,能够降低误判定率。或者指如下的值即使最接近距离在一部分区域中稍低,在其他多数情况下距离扩宽,整体使误判定率最小化。另外,“优化”不一定 指加密识别能力的最高程度,也包含如下程度在使用优化执行部17的情况下,与不使用 优化执行部的情况(在本实施方式中为实施方式1)相比,能够进一步提高加密识别能力。(实施方式2的效果)如以上的结构和动作那样,通过优化执行部17,针对构成加密通信量识别装置1 的各结构要素动态地实施其动作的变动,由此,能够不依赖于网络环境等,针对流识别、特 征量数据、其评价运算值及其判定阈值,动态地选择并决定最适于加密识别判定的值。实施方式3(加密通信量识别装置的整体结构)图4是本发明的实施方式3的加密通信量识别装置的整体结构图。以与所述实施 方式2不同的结构和动作为中心进行说明。如图4所示,代替实施方式2的加密通信量识别装置1的流识别部12,本实施方式 的加密通信量识别装置1设置有流识别异常判定部18。另外,在实施方式3中,流识别异常 判定部18也承担所述流识别部12的功能。(流识别异常判定部18的动作)从在外部LAN和互联网等网络中作为加密识别的观测对象的场所输入通信量的 输入接口部11,向流识别异常判定部18发送该通信量。接收到该通信量的流识别异常判 定部18与实施方式2的流识别部12同样按照流进行识别,同时实施该流的异常判定。然 后,流识别异常判定部18在判定为该流异常的情况下,向输出接口部16发送与该异常原因 有关的信息、例如该异常流从哪个网络送出、或者从该网络上的哪个节点发送等的信息。并 且,流识别异常判定部18向数据蓄积部13发送该异常流。然后,与实施方式2同样,对异 常流实施加密识别的判定。然后,输出接口部16向外部输出所接收到的与异常原因有关的 fn息ο(实施方式3的效果)通过以上这种结构和动作,能够将输出异常流的网络或节点的信息作为警告向外 部输出,确认了该警告的网络管理员等能够利用所输出的与异常原因有关的信息来消除异
堂
巾ο另外,在本实施方式中,构成为由流识别异常判定部18判定为异常的流通过其后 级的选择性数据计算部14和计算结果判定部15实施加密识别的判定,但是不限于此,在不 需要针对异常流进行加密识别判定的情况下,流识别异常判定部18也可以仅输出与该异 常原因有关的信息,而不实施其后级的加密识别判定动作。并且,在本实施方式中,构成为在流识别异常判定部18中针对正常流和异常流双方进行加密识别,但是不限于此,也可以构成为仅在识别出异常流的情况下,实施加密识别 判定。该情况下,即使网络管理员等不始终监视,在识别出异常流的阶段,也能够自动实施 加密识别的判定,并将其结果告知管理员等进行对应,有助于加密通信量识别装置1的省 劳力化。另外,说明了承担实施方式2的流识别部12的功能来设置上述流识别异常判定部 18的情况,但是,流识别异常判定部18也可以不承担流识别部12的功能,而额外在加密通 信量识别装置1的内部或外部、且在输入接口部11的前级具有流异常判定功能,与流识别部12分开设置。另外,在本实施方式中,构成为流识别异常判定部18在判定为在流中存在异常的 情况下,直接向输出接口部16发送与该异常原因有关的信息,但是不限于此,例如也可以 构成为,经由数据蓄积部13、选择性数据计算部14和计算结果判定部15向输出接口部16 发送与该异常原因有关的信息。任何情况下,只要构成为将流识别异常判定部18输出的与 异常原因有关的信息发送到输出接口部16即可。实施方式4(加密通信量识别系统的整体结构)图5是本发明的实施方式4的加密通信量识别系统的整体结构图。实施方式4是 使用了所述实施方式2的加密通信量识别装置的系统,以实施方式2的加密通信量识别装 置以外的结构和动作为中心进行说明。如图5所示,本实施方式的加密通信量识别系统21构成为包含实施方式2的加 密通信量识别装置1、以及向外部送出试验用通信量的试验信号送出装置2。另外,该试验 信号送出装置2也可以构成为组装在加密通信量识别装置1的内部。但是,该情况下,作 为包含加密通信量识别装置1和试验信号送出装置2的系统,也称为加密通信量识别系统 21。试验信号送出装置和加密通信量识别装置优选在网络意义上分开某种程度的距离。由 此,由于要评价的通信量来自自身以外的网络,因此与受到所通过的中途的通信线路的影 响同样地,能够使为了得到最优值而流过的试验信号在受到通信线路的影响的状态下进行 接收。在组装于同一框体的情况下,优选两者的连接为不同的运营商,或者准备多个在网络 意义上分离的加密通信量识别系统,在两者间收发试验信号。(加密通信量识别系统的动作)首先,试验信号送出装置2对网络31送出试验用通信量。接着,加密通信量识别 装置1经由网络31接收该试验用通信量,针对该试验用通信量,如在实施方式2中说明的 那样,通过加密通信量识别装置1的优化执行部17,动态地变动构成加密通信量识别装置1 的各结构要素的动作,由此,针对流识别、特征量数据、其评价运算值及其判定阈值,选择最 适于加密识别判定的值。另外,针对上述所示的结构,更加优选安装能够在外部的试验信号 送出装置2和主体即加密通信量识别装置1之间收发控制信号的功能,由此,预先决定试验 信号送出装置2送出的信号是什么信号,通过预先向加密通信量识别装置1发送该送出信 号是什么信号,由此,能够按照加密形式,决定并存储加密识别判定用的最佳条件。(实施方式4的效果)通过以上的结构和动作,能够准确地决定每个网络环境等的加密识别用的最佳条 件。另外,说明了本实施方式的加密通信量识别系统21具有实施方式2的加密通信量识别装置1作为结构要素的情况,但是,也可以具有实施方式1或实施方式3的加密通信量 识别装置1。特别地,在具有实施方式1的加密通信量识别装置1的情况下,外部的试验信 号送出装置2经由网络31送出通过多种加密形式加密后的试验用通信量,由此,能够确认 该加密通信量识别装置1是否能够针对这些试验用通信量进行准确的加密识别,能够设定 最佳的加密识别条件。实施例
下面,说明在本发明的加密通信量识别装置和加密通信量识别系统中求出评价运 算值的方法,但是,本发明的求出评价运算值的方法不限于下述内容。实施例1图6是在实施方式1的加密通信量识别装置中实施的基于明文和密文这两种方式 的分组到达间隔时间的评价运算值的分布图。在本实施例中,首先,利用明文、收发通过SSL加密后的数据的协议即HTTPS、以及 用于在VPN上进行密文数据通信的协议即PPTP这三种方法,分别转发100次4M字节的数 据。在假设在实施100次的各转发会话中使用的分组的长度平均为1000字节的情况下,在 一次的转发会话中,转发了大约4000个分组。但是,由于存在加密和通信协议的开销,所 以,实际上不是正好4000个,而是比4000个稍多。针对1 100次的转发会话对大约4000个分组的到达间隔时间进行计测,计算其 平均值作为评价运算值,按照从短到长的顺序进行排列,设(1)在通过明文转发时的分组 的到达间隔时间(μ秒)的平均值中第k短的值为Ftxt (k),(2)在通过HTTPS转发时的分 组的到达间隔时间(μ秒)的平均值中第k短的值为Fssl (k),(3)在通过PPTP转发时的 分组的到达间隔时间(μ秒)的平均值中第k短的值为Fpptp (k),且用X轴(横轴)表示 到达间隔时间的平均值、用Y轴(纵轴)表示k的图是图6㈧的图。如该图6(A)所示,关于分组的到达间隔时间的平均值的分布,发现存在明文通信 比基于HTTPS的密文通信和基于PPTP的密文通信短的倾向,但是,三方存在平均值重合的 部分,由此可知,根据到达间隔时间的平均值是特定的值这一点,难以进行观测对象即通信 量是明文或密文的通信这样的识别。与此相对,图6(B)不是分组的到达间隔时间的平均值的分布,而是通过以下方法 求出的计算值的分布。要转发的数据的条件与图6(A)的情况相同。首先,在作为观测对象的通信量中,根据收发IP地址和收发端口编号,按照流进 行分离。然后,按照从短到长的顺序排列构成该流的分组的到达间隔时间,使用该排列的到 达间隔时间的数据串中从短的一方起第75%个的数据,作为评价运算值。在假设一次的转 发会话为4000分组的情况下,设其第75%个、即从短的一方起大约第3000个分组的到达间 隔时间为评价运算值。如上所述,转发会话为1 100次,所以,取得100个评价运算值,进 而针对明文、基于HTTPS和PPTP的密文转发实施该动作,设该评价运算值为X轴(横轴)、 评价运算值的数据串(100个)的顺序数k为Y轴(纵轴),进行曲线化。这样,图6(B)示 出按照从短到长的顺序排列分组的到达间隔时间的数据串中从短的一方起第75%个数据 的分布。但是,在图6(B)中,为了易于观看曲线图,进一步按照其值从短到长的顺序进行排 列,来显示明文、通过HTTPS转发的密文以及通过PPTP转发的密文的评价运算值的各个数 据串。如上所述,不是将分组的到达间隔时间的平均值,而是将按照从短到长的顺序排 列该到达间隔时间的分组的从短的一方起第75%个值作为评价运算值,并生成曲线图时, 能够准确地识别作为观测对象的通信量是明文还是密文,进而在密文的情况下,能够准确 地识别其加密形式(在本实施例的情况下为基于HTTPS的密文和基于PPTP的密文)是什 么形式。实施例2
图7是在实施方式1的加密通信量识别装置中实施的基于明文和密文这两种方式 的分组长度的评价运算值的分布图。在本实施例中,要转发的数据的条件与实施例1相同。最初,说明图7(A)所示的评价运算值的分布。首先,针对1 100次的转发会话,假设全部分组数量为4000个,对4000个分组 的分组长度进行计测。然后,计算该分组长度的平均值作为评价运算值。然后,按照从短到 长的顺序排列该平均值的数据串,设该评价运算值即分组长度的平均值为X轴(横轴)、评 价运算值的数据串(100个)的顺序数k为Y轴(纵轴),绘制曲线图。这样,图7(A)示出 分组的分组长度的平均值的分布。如该图7(A)所示,与图6(A)所示的分布同样,无法得到能够明确地识别观测对象 即通信量一定是明文通信或密文通信的结果。接着,说明图7(B)所示的评价运算值的分布。首先,针对1 100次的转发会话,同样地假设全部分组数量为4000个,对4000个 分组的分组长度进行计测。然后,针对该分组长度,不计算平均值,而计算方差值,将该方差 值作为评价运算值。然后,按照从短到长的顺序排列该方差值的数据串,设该评价运算值即 分组长度的方差值为X轴(横轴)、评价运算值的数据串(100个)的顺序数k为Y轴(纵 轴),绘制曲线图。这样,图7(B)示出分组的分组长度的方差值的分布。如该图7(B)所示,不是将分组的分组长度的平均值,而是将方差值作为评价运算 值并做成曲线图,与图7(A)相比,存在能够更加明确地识别作为观测对象的通信量是明文 还是密文的倾向。然后,说明图7(C)所示的评价运算值的分布。首先,针对1 100次的转发会话,同样地假设全部分组数量为4000个,仅针对该 分组中除了 ACK分组以外的分组计测分组长度。然后,计算除了该ACK分组以外的分组的 分组长度平均值(以下称为ACK除外平均值),作为评价运算值。然后,按照从短到长的顺 序排列该ACK除外平均值的数据串,设该评价运算值即ACK除外平均值为X轴(横轴)、评 价运算值的数据串(100个)的顺序数k为Y轴(纵轴),绘制曲线图。这样,图7(C)示出 ACK除外平均值的分布。如该图7(C)所示,不是将分组的分组长度的平均值,而是将ACK除外平均值作为 评价运算值并做成曲线图,与图7(A)相比,与图7(B)同样,能够更加明确地识别作为观测 对象的通信量是明文还是密文。如上所述,本发明的评价运算值采用上述方法求出,由此,能够用于容易且高精度 地识别通信量是密文还是明文,而且能够根据系统结构适当调整分组数量等的参数,来求 出评价运算值。因此,能够根据系统结构和条件对用于求出上述评价运算值的各参数的设定等进 行各种变更,没有特别限制。
权利要求
一种加密通信量识别装置,其特征在于,该加密通信量识别装置具有输入接口部,其被输入通信量;流识别部,其至少根据发送源地址和发送目的地地址,按照流来识别所述输入的通信量;数据蓄积部,其按照所述流来蓄积所述通信量的特征量数据;选择性数据计算部,其根据所述特征量数据来实施评价运算;计算结果判定部,其根据该评价运算值,来实施所述通信量是否加密、或者在加密的情况下其加密形式是什么的阈值判定;以及输出接口部,其输出该判定结果,所述选择性数据计算部使用所述特征量数据中特定的数据,来实施评价运算。
2.根据权利要求1所述的加密通信量识别装置,其特征在于,所述特征量数据使用构成所述通信量的每个分组到达所述输入接口部的到达间隔时 间作为原始数据。
3.根据权利要求2所述的加密通信量识别装置,其特征在于,所述选择性数据计算部按照从短到长的顺序排列所述到达间隔时间的数据串,计算该 按照从短到长的顺序排列的所述到达间隔时间的数据串中特定部分的到达间隔时间作为 所述评价运算值,或者,计算规定范围内的所述到达间隔时间的数据串的平均值作为所述 评价运算值。
4.根据权利要求3所述的加密通信量识别装置,其特征在于,所述选择性数据计算部计算所述按照从短到长的顺序排列的到达间隔时间的数据串 中、从短的一方起第75%个附近的所述到达间隔时间作为所述评价运算值,或者,计算从短 的一方起第0%个 第75%个附近的范围内的所述到达间隔时间的数据串的平均值作为 所述评价运算值。
5.根据权利要求2所述的加密通信量识别装置,其特征在于,所述选择性数据计算部按照从短到长的顺序排列所述到达间隔时间的数据串,当设该 数据串的数据总数为N,a为常数,则在该按照从短到长的顺序排列的数据串中从短的一方 起第0%个到规定的第个的范围内,根据下式计算针对从短的一方数起第χ个数据而确 定的到达间隔时间指标值作为所述评价运算值,到达间隔时间指标值=Σ {(第χ个到达间隔时间)7 (a+ (χ/Ν- (η/100))2)}。
6.根据权利要求5所述的加密通信量识别装置,其特征在于,所述选择性数据计算部设所述规定的第个为第75%个,来计算所述评价运算值。
7.根据权利要求1所述的加密通信量识别装置,其特征在于,所述特征量数据使用构成所述通信量的分组的分组长度作为原始数据。
8.根据权利要求7所述的加密通信量识别装置,其特征在于,所述选择性数据计算部计算所述分组长度的数据串的方差值作为所述评价运算值。
9.根据权利要求7所述的加密通信量识别装置,其特征在于,所述选择性数据计算部计算构成所述通信量的分组中除了 ACK分组以外的分组的分 组长度的平均值作为所述评价运算值。
10.根据权利要求1所述的加密通信量识别装置,其特征在于,所述加密通信量识别装置具有优化执行部,该优化执行部动态地对用于判定所述通信 量是否被加密的判定实施条件进行优化,该优化执行部以使加密后的所述通信量的所述特征量数据和未加密的所述通信量的 所述特征量数据之差在最大值附近的方式,对所述判定实施条件进行优化。
11.根据权利要求1所述的加密通信量识别装置,其特征在于,所述加密通信量识别装置具有优化执行部,该优化执行部动态地对用于判定所述通信 量是否被加密的判定实施条件进行优化,该优化执行部以使加密后的所述通信量的所述特征量数据和未加密的所述通信量的 所述特征量数据的重合部分在最小值附近的方式,对所述判定实施条件进行优化。
12.根据权利要求10或11所述的加密通信量识别装置,其特征在于,所述优化执行部为了对所述判定实施条件进行优化,使所述流识别部从多个所述流的 识别方法中适当进行切换,来实施所述流的识别。
13.根据权利要求10或11所述的加密通信量识别装置,其特征在于,所述优化执行部为了对所述判定实施条件进行优化,使所述数据蓄积部从构成所述通 信量的每个分组到达所述输入接口部的到达间隔时间、以及构成所述通信量的分组的分组 长度中适当进行切换,作为要蓄积的所述特征量数据进行蓄积。
14.根据权利要求13所述的加密通信量识别装置,其特征在于,作为用于对所述判定实施条件进行优化的初始设定,所述优化执行部使所述数据蓄积 部设定所述到达间隔时间作为要蓄积的所述特征量数据,使所述选择性数据计算部设定所 述到达间隔时间的数据串中规定部位的所述到达间隔时间作为所述评价运算值。
15.根据权利要求10或11所述的加密通信量识别装置,其特征在于,所述优化执行部为了对所述判定实施条件进行优化,使所述选择性数据计算部在根据 所述特征量数据进行评价运算时,适当切换所述特征量数据的数据串中要使用的所述特征 量数据、或者要使用的所述特征量数据的数据串的范围。
16.根据权利要求10或11所述的加密通信量识别装置,其特征在于,所述优化执行部为了对所述判定实施条件进行优化,使所述计算结果判定部针对所述 选择性数据计算部的评价运算结果,适当切换用于对所述通信量是否加密、或者在加密的 情况下其加密形式是什么进行判定的阈值。
17.根据权利要求1所述的加密通信量识别装置,其特征在于,所述流识别部在所述通信量中检测到异常流的情况下,生成与所述异常流的异常原因 有关的信息,所述输出接口部输出与所述异常原因有关的信息。
18.根据权利要求1所述的加密通信量识别装置,其特征在于,所述加密通信量识别装置具有在所述输入接口部的前级配置的通信量异常检测装置,该通信量异常检测装置在所述通信量中检测到异常通信量的情况下,对所述输入接口 部输出所述异常通信量以及与其异常原因有关的信息,所述输出接口部输出与所述异常原因有关的信息。
19.一种加密通信量识别系统,其特征在于,该加密通信量识别系统具有权利要求1 18中的任一项所述的加密通信量识别装置;以及试验信号送出装置,其送出被加密或未被加密的试验用通信量, 所述试验信号送出装置设置在所述加密通信量识别装置内或其外部,所述加密通信量识别装置针对从所述试验信号送出装置接收的所述试验用通信量,判 定其是否加密、或者在加密的情况下其加密形式是什么。
全文摘要
本发明提供一种加密通信量识别装置以及具有该装置的加密通信量识别系统。该识别装置取得或计算网络内通信中作为通信量特征的数据,根据该数据,准确地判定通信量是否是密文。作为解决手段,加密通信量识别装置(1)具有输入通信量的输入接口部(11);按照流进行识别的流识别部(12);蓄积特征量数据的数据蓄积部(13);根据特征量数据来实施评价运算的选择性数据计算部(14);计算结果判定部(15),其根据该评价运算值,来实施通信量是否加密、或者在加密的情况下其加密形式是什么形式的阈值判定;以及向外部输出上述判定结果的输出接口部(16)。
文档编号H04L29/06GK101827089SQ20101012615
公开日2010年9月8日 申请日期2010年2月26日 优先权日2009年3月2日
发明者中平佳裕, 中村信之, 长谷川刚, 阿多信吾 申请人:冲电气工业株式会社;公立大学法人大阪市立大学;国立大学法人大阪大学