ITMI20071141A1 - Metodo per rilevare un singolo flusso dati all' interno di un flusso aggregato di dati a pacchetti e per identificare l' applicazione generatrice del singolo flusso dati. - Google Patents

Metodo per rilevare un singolo flusso dati all' interno di un flusso aggregato di dati a pacchetti e per identificare l' applicazione generatrice del singolo flusso dati. Download PDF

Info

Publication number
ITMI20071141A1
ITMI20071141A1 IT001141A ITMI20071141A ITMI20071141A1 IT MI20071141 A1 ITMI20071141 A1 IT MI20071141A1 IT 001141 A IT001141 A IT 001141A IT MI20071141 A ITMI20071141 A IT MI20071141A IT MI20071141 A1 ITMI20071141 A1 IT MI20071141A1
Authority
IT
Italy
Prior art keywords
values
frequency
frequency deviation
block
data flow
Prior art date
Application number
IT001141A
Other languages
English (en)
Inventor
Marco Mellia
Michela Meo
Massimo Perino
Dario Rossi
Original Assignee
Torino Politecnico
Vodafone Omnitel Nv
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Torino Politecnico, Vodafone Omnitel Nv filed Critical Torino Politecnico
Priority to IT001141A priority Critical patent/ITMI20071141A1/it
Priority to EP08762766A priority patent/EP2163049A2/en
Priority to US12/602,996 priority patent/US8339979B2/en
Priority to PCT/IB2008/001425 priority patent/WO2008149203A2/en
Publication of ITMI20071141A1 publication Critical patent/ITMI20071141A1/it

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2416Real-time traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2475Traffic characterised by specific attributes, e.g. priority or QoS for supporting traffic characterised by the type of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2483Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/41Flow control; Congestion control by acting on aggregated flows or links
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

Titolo: "Metodo per rilevare un singolo flusso dati all<'>interno di un flusso aggregato di dati a pacchetti e per identificare l'applicazione generatrice del singolo flusso dati"
DESCRIZIONE
La presente invenzione riguarda un metodo per rilevare un singolo flusso dati all'interno dì un flusso aggregato di dati a pacchetti e per identificare l'applicazione generatrice del singolo flusso dati"
Allo stato dell'arte, è noto il problema di rilevare un singolo flusso dati in un flusso dati a pacchetti e di identificare l'applicazione generatrice del flusso stesso, ad esempio identificare un singolo flusso voce e la applicazione che lo ha generato all'interno di un flusso o traffico aggregato su rete IP.
In particolare, tale problema è noto con riferimento alla telefonia VoIP in cui viene stabilita una comunicazione vocale su rete IP tra due utenze utilizzando protocolli non noti e cifrati. Un tipico esempio di software che genera flusso dati vocale su rete IP è Skype.
I protocolli e gli algoritmi che permettono a Skype, così come alla maggior parte dei programmi vocali, di generare flusso dati vocale su rete IP, sono sconosciuti e spesso criptati e si basano su cifratura del contenuto.
Per tale motivo risulta molto difficile rilevare la presenza di un singolo flusso dati generato da una particolare applicazione, quale ad esempio Skype, in un flusso dati aggregato comprendente flussi generati da aplicazioni di vario tipo, sia vocali, sia di trasporto dati, sia di comunicazioni video, ecc..
Da quanto sopra esposto emerge 1'esigenza di poter rilevare la presenza di un singolo flusso dati in un flusso aggregato di dati a pacchetti e di identificare l'applicazione generatrice del singolo flusso dati in assenza della conoscenza dei protocolli e degli algoritmi utilizzati dall'applicazione stessa per generare il singolo flusso dati e per includere tale singolo flusso dati nel flusso aggregato di dati a pacchetti.
In vista dello stato della tecnica descritto, scopo della presente invenzione è quello di realizzare un metodo per rilevare un singolo flusso dati in un flusso aggregato di dati a pacchetti ed identificare 1'applicazione generatrice del singolo flusso dati in grado di superare gli inconvenienti presenti nella tecnica nota.
In accordo con la presente invenzione, tale scopo viene raggiunto da un metodo per rilevare un singolo flusso dati in un flusso aggregato di dati a pacchetti ed identificare l'applicazione generatrice del singolo flusso dati in accordo con la rivendicazione 1.
Grazie alla presente invenzione è possibile ottenere un metodo per rilevare un singolo flusso dati in un flusso aggregato di dati a pacchetti ed identificare l'applicazione generatrice del singolo flusso dati su rete IP utilizzando una tecnica semplice.
Ulteriori caratteristiche ed i vantaggi del metodo per rilevare un singolo flusso dati in un flusso aggregato di dati a pacchetti ed identificare l'applicazione generatrice del singolo flusso dati secondo la presente invenzione risulteranno dalla descrizione di seguito riportata di un esempio preferito di realizzazione, data a titolo indicativo e non limitativo, con riferimento alle annesse figure, in cui:
la figura 1 mostra uno schema di principio esplicativo del metodo per rilevare un singolo flusso dati in un flusso aggregato di dati a pacchetti ed identificare l'applicazione generatrice del singolo flusso dati in accordo con la presente invenzione,
- la figura 2 mostra distribuzioni di deviazioni di frequenza elaborate per blocchi di bit deterministici, casuali e misti.
Nel proseguo della presente descrizione si farà uso di funzioni statistiche di misura della deviazione di frequenza, in particolare della funzione chi-quadro di Pearson. Qui di seguito viene illustrato la funzione statistica chi-quadro di Pearson.
La funzione chi-quadro di Pearson permette di verificare se il comportamento di un oggetto, osservato per un numero finito di volte, segue un comportamento atteso.
Ciò è realizzato calcolando la deviazione dei valori misurati dell'oggetto rispetto alla distribuzione attesa dei valori dell'oggetto.
Si assuma ad esempio di osservare un oggetto per un numero di volte Νχοτ e che l'oggetto sotto osservazione possa assumere N possibili uscite o valori per ciascuna osservazione .
Se la distribuzione attesa dei valori è tale che il valore i, con i=0,...,N-l, ricorre con una probabilità p*, allora il numero atteso di eventi o frequenza di i è dato dalla relazione Ε;=ΝτοτΡι. Chiamato Otil numero di eventi o frequenza di i realmente osservati durante l'osservazione, si ha che il valore
rappresenta una misura della deviazione del comportamento osservato rispetto al comportamento atteso, ovvero della frequenza osservata rispetto alla frequenza attesa .
Se l'oggetto osservato si comporta così come atteso, allora il valore di χ<2>è distribuito secondo una distribuzione chi-quadro con N-l gradi di libertà.
La funzione chi-quadro può essere impiegata anche per una singola osservazione. In particolare, si ipotizza che il valore dell'oggetto osservato sia distribuito con probabilità p,.
Nella fattispecie di un flusso aggregato di dati a pacchetti, il flusso dati a pacchetti è generato da una specifica applicazione generatrice ed è suddiviso in messaggi, ciascun messaggio comprendendo una pluralità di blocchi g.
Ciascun blocco g della pluralità di blocchi ha n bit per identificare 2<n>valori di blocco i, ad esempio con i=0,1, 2,. 2<n>-l.
Con riferimento alle annesse figure, il metodo per rilevare un singolo flusso dati in un flusso aggregato di dati a pacchetti ed identificare l'applicazione generatrice del singolo flusso dati comprende le fasi di:
a) fornire, per ciascun valore di blocco i, un valore di frequenza atteso Et,
b} misurare, per un predefinito numero G di blocchi g della pluralità di blocchi, ovvero per Gb bits, i valori di frequenza Of con cui ciascun blocco g assume ciascun valore di blocco i così da ottenere una pluralità di valori di frequenza misurati Of ,
c) elaborare, per ciascun blocco g i valori di frequenza misurati Of ed i valori di frequenza attesi per generare un valore di deviazione di frequenza χ* rappresentativo della deviazione della pluralità di valori di frequenza misurati Of rispetto ai valori di frequenza attesi Ej,
d) elaborare i valori di deviazione di frequenza χ* generati per ciascun blocco g con almeno un valore soglia di deviazione di frequenza %lhper rilevare la presenza di un singolo flusso dati in detto flusso aggregato di dati a pacchetti ed identificare l'applicazione generatrice del singolo flusso dati.
Il singolo flusso dati può essere sia flusso vocale che flusso peer~to-peer (P2P).
In particolare, come sarà descritto in dettaglio nel seguito , la fase d) consente di determinare la sorgente generatrice del singolo flusso dati, ovvero l'applicazione utilizzata per generare il singolo flusso dati rilevato.
In accordo con una forma di realizzazione, la fase d) comprende le fasi di:
di) elaborare i valori dì deviazione di frequenza χ* generati per ciascun blocco g per generare almeno un valore di deviazione di frequenza di riferimento per detto predefinito numero di blocchi G, e
d2) confrontare tali valori di deviazione di frequenza dì riferimento generati con il valore soglia di deviazione di frequenza χιΗper determinare la sorgente generatrice del singolo flusso dati.
Secondo una forma di realizzazione, la fase c) comprende la fase di applicare la pluralità di valori di frequenza misurati Of ed i valori di frequenza attesi ad una funzione di misura statistica della deviazione di frequenza.
In particolare, la funzione di misura statistica della deviazione di frequenza può essere scelta tra una delle funzione entropia, media, varianza, chi quadro e simili.
Nella fattispecie, scelta la funzione chi-quadro, espressa dalla seguente formula
in cui
%g<l>corrisponde al valore di deviazione di frequenza
Of corrisponde alla pluralità di valori di frequenza misurati Of , e
E. corrisponde ai valori di frequenza attesi Ef.
I valori di frequenza attesi Etpossono essere ottenuti in funzione dell'applicazione che si vuole identificare oppure, in assenza di tale informazione a priori, possono essere distribuiti in modo uniforme.
Con riferimento alle figure allegate, nel seguito si descrive l'applicazione del metodo secondo l'invenzione per rilevare un singolo flusso dati generato da un'applicazione Voce su IP Skype all'interno di un flusso aggregato di dati a pacchetti ed identificare tale applicazione generatrice del singolo flusso dati.
Poiché Skype è un programma chiuso e proprietario che utilizza algoritmi di cifratura, non è possibile identificare un flusso dati generato da Skype con tecniche tradizionali di analisi dei contenuti dei pacchetti.
Tuttavia, vi è un'importante differenza sui messaggi immessi in rete in funzione del sottostante protocollo di trasporto utilizzato.
Ad esempio, il protocollo TCP implementa un protocollo di trasmissione orientato alla connessione e quindi garantisce che vengano ricevuti tutti i segmenti di dati nella stessa sequenza con cui vengono immessi nella rete, eventualmente con un ritardo.
Il servizio senza connessione di un collegamento offerto dal protocollo UDP invece non garantisce la consegna di tutti i dati e con la stessa sequenza con cui sono stati immessi.
Di conseguenza, un codificatore Skype non può criptare tutto il messaggio ma deve consentire al ricevitore Skype di estrarre dall'intestazione del livello di applicazione alcune informazioni aggiuntive per rilevare e gestire eventuali messaggi persi o consegnati fuori sequenza al ricevitore.
Tale informazione non può essere protetta mediante cifratura ma può essere solo offuscata in modo tale da essere agevolmente identificata in ricezione. Tale porzione del messaggio è chiamata Inizio del Messaggio o SoM (Start of Message).
Ad esempio, quando un messaggio è trasportato su protocollo TCP, l'intero contenuto del messaggio Skype è criptato e quindi i byte del messaggio casualmente assumono valori casuali. Al contrario, in caso di trasporto su UDP, solo una porzione del messaggio è distribuita casualmente mentre altre porzioni presentano proprietà statistiche tipiche di dati deterministici, ad esempio il SoM.
II metodo sopra descritto permette di distinguere pertanto il singolo flusso di dati generato da applicazioni Skype rispetto a flussi di dati generati da altre applicazioni di generazione flusso di dati o voce su IP, in quanto tali applicazioni utilizzando differenti formati di intestazione, risultando in differenti distribuzioni dey byte dei messaggi.
Occorre quindi verificare se i valori di deviazione di frequenza %g<2>sono tali da soddisfare l'ipotesi attesa. Quale ipotesi attesa, si utilizzano le caratteristiche di contenuto del messaggio riassunte nella seguente tabella nel caso di messaggi End-to-End (E2E) su UDP, End-to-Out (E20) su UDP e End-to-End o End-to-Out su TCP, in cui End-to-End rappresenta traffico generato tra due host terminali, ciascuno dei quali utilizza un Client Skype, mentre End-to-Out rappresenta traffico generato tra un host terminale ed un tradizionale terminale PSTN.
Tabella
Ad esempio, il flusso E2E su UDP presenta i bytes 1,2 e 4 cifrati ovvero casuali mentre il byte 3 contiene alcuni bit casuali e alcuni bit costanti (misto nella tabella), così come i byte di inizio messaggio del flusso E20 su UDP assumo valori deterministici.
Al fine di determinare se un blocco ha distribuzione casuale, deterministica o mista, si considera quale distribuzione attesa, la distribuzione di bit uniformemente distribuiti. In questo caso il valore di frequenza atteso Ejè pari a Νχοτ/2<η>per tutti i valori di blocco i, in cui NTOTè il numero di messaggi analizzati appartenenti al flusso.
Si confrontano perciò i valori di deviazione di frequenza generati %\ con una o più soglie derivate dalla
distribuzione chi-quadro con 2<n>-l gradi di liberta. Tali soglie vengono indicate con , χΜ<2>ίΧe χ0<2>ζ[
rispettivamente per blocchi casuali, misti e deterministici.
I valori G del predefinito numero di blocchi e n
numero di bit possono essere fissati ad esempio a n-4 bit
and G=16. In questo caso, si ha che la distribuzione chi-
quadro di riferimento ha 2<n>-l=15 gradi di libertà e
JE/^NTOT/16 per tutti i valori di blocco i=0,...15.
II confronto tra i valori di deviazione di frequenza generati %<2>ed i valori di deviazione di frequenza di
riferimento , χΜ<2>ίΧe XD<2>etè realizzato ad esempio come
segue:
dove,
sono i blocchi g corrispondenti
alla parte casuale del messaggio E2E,
max r è un primo valore di deviazione di frequenza di geG·<8>
riferimento generato,
min % è un secondo valore di deviazione di frequenza ge{5,6}<S>
di riferimento generato, e
X2Rnde X2Mjxdue valori di soglia di deviazione di
frequenza.
In sostanza, ci si aspetta che i blocchi g con distribuzione casuale abbiano distribuzione uniforme cosicché i valori di deviazione di frequenza generati χ*
devono essere relativamente piccoli e quindi minori del valore di soglia di deviazione di. frequenza 2 , e che 1
blocchi g con distribuzione mista che contengono alcuni blocchi deterministici abbiano valori di deviazione di frequenza generati χ* elevati e quindi maggiori del valore 2
di soglia di deviazione di frequenza χΜίΧ.
In questo caso, ci si aspetta che 1'inizio del messaggio SoM, ovvero i primi 4 byte cioè g=8 blocchi di n=4 bits siano deterministici e che la restante porzione sia casuale, essendo tutto il messaggio cifrato.
In questo casi, ci si aspetta che tutti i blocchi di bit abbiano distribuzione casuale.
Vantaggiosamente, il numero di messaggi appartenenti al flusso NTOTè grande. Ad esempio, il numero Νχοτ è tale per cui il valore di frequenza atteso £,>5 per tutti i
valori di blocco i. Nell'esempio qui riportato, iò equivale NT
a dire che TOT > 5, ovvero che NT0T≥ 80 con n=4 bit.
2"
Giova altresì rilevare che la differenza tra i valori di deviazione di frequenza generati χ* per un blocco g deterministico o casuale aumenta in funzione del valore del numero di messaggi appartenenti al flusso NTOT-Per un blocco deterministico g si ha che
Pertanto χ<2>cresce sostanzialmente linearmente con NTOTcosicché maggiore è la lunghezza del flusso, maggiore è NT0Te maggiore è l'attendibilità che il blocco g sia deterministico, ovvero superi il valore di soglia di riferi«mento X2Det.
Nel caso di un blocco g misto, se un bit è fisso e gli altri hanno distribuzione casuale, Ot= 0 per metà del possibili valori di blocco i, e Oi> 0 per i restanti valori di blocco i. Poiché i possibili valori di i sono 2<n>, il valore di deviazione di frequenza generato %<2>è
In cui %2]_ è la funzione chi-quadro con 2n-1-1 gradi
2
di libertà. In altre parole, è un valore che può essere ricavato da un'osservazione di bit casuali con 2<n_1>possibili valori di bit, anziché 2<n>possibili valori.
Ciò significa che nel caso di un blocco g con un bit deterministico, χ* aumenta ancora linearmente con NTOT-
In figura 2 sono riportati i valori deviazione di frequenza generati χ* per blocchi di bit misti, casuali e
deterministici su flussi identificati quali flussi Skype. Si può rilevare come χ* cresca linearmente con NT0Tsia per
blocchi deterministici che per blocchi misti, laddove per blocchi completamente deterministici ha una deviazione di frequenza maggiore rispetto ai blocchi misti. In figura 2 sono riportati anche i valori χ* assunti da blocchi casuali
che non dipendono da ΝΤΟτ· Dalla figura 2 si evince blocchi misti, deterministici e casuali possono essere distinti tra loro in funzione dei valori di deviazione di frequenza generati χ* e che i valori di soglia di deviazione di
frequenza non sono parametri critici per tale identificazione.
Nell'esempio, al fine di ridurre il numero di parametri, si può impostare = 150.
Vantaggiosamente, il metodo della presente invenzione può essere utilizzato in combinazione con il metodo per rilevare flusso dati vocale in un flusso di dati a pacchetti descritto nella domanda di brevetto italiano n. MI 2006 A 002417 qui incorporata per riferimento.
In breve, il metodo della domanda di brevetto italiano MI 2006 A 002417 prevede che il flusso di dati a pacchetti sia caratterizzabile da almeno due variabili misurabili X,Y e fornisce, per ciascuna variabile misurabile X,Y, una funzione P[x \C\ , P{y \C] di distribuzione dei valori dì ciascuna variabile X,Y in un flusso dati vocale. Successivamente, si misurano i valori x,y di ciascuna variabile X,Y per ottenere una sequenza di valori misurati
,y<(k)>su un numero K di blocchi e si applica ciascun
valore misurato x<{k)>, alla rispettiva funzione di distribuzione P{x|C}, P{y|C) per generare una sequenza di valori di verosimiglianza B[<k)>, By<(k)>dai quali si generano rispettivi valori medi di verosimiglianza · Infine, tali valori medi vengono elaborati per generare un valore di verosimiglianza di riferimento B che confrontato con un valore di verosimiglianza di soglia Bminpermette di rilevare la presenza di flusso dati vocale nel flusso dati a pacchetti.
Da esperimenti svolti, è emerso che l'utilizzo congiunto del metodo descritto nella domanda di brevetto italiano MI 2006 A 002417 e del metodo della presente invenzione sono estremamente efficaci nel rilevare e classificare qualunque traffico voce su IP e nel rilevare e classificare traffico voce generato da un'applicazione Skype e trasportato sia su UDP sia su TCP.
E' inoltre stato dimostrato che i due metodi sopra citati presentano un elevato grado di robustezza.
Come si può apprezzare da quanto descritto, il metodo secondo la presente invenzione consente di soddisfare le esigenze e di superare gli inconvenienti di cui si è riferito nella parte introduttiva della presente descrizione con riferimento alla tecnica nota.
In particolare, il metodo secondo l'invenzione consente di rilevare la presenza di un qualunque tipo dì flusso vocale, anche criptato.
Ovviamente, un tecnico del ramo, allo scopo di soddisfare esigenze contingenti e specifiche, potrà apportare numerose modifiche e varianti al metodo secondo l'invenzione sopra descritta, tutte peraltro contenute nell'ambito di protezione dell'invenzione quale definito dalle seguenti rivendicazioni.

Claims (5)

  1. RIVENDICAZIONI 1. Metodo per rilevare un singolo flusso dati in un flusso aggregato di dati a pacchetti ed identificare l'applicazione generatrice di detto singolo flusso dati, detto flusso aggregato di dati a pacchetti essendo suddiviso in messaggi, ciascun messaggio comprendendo una pluralità di blocchi, ciascun blocco (g) di detta pluralità di blocchi avendo n bit per identificare 2<n>possibili valori di blocco (i), detto metodo essendo caratterizzato dal fatto di comprendere le fasi di: a) fornire, per ciascun valore di blocco (i), un valore di frequenza atteso ( Et) , b) misurare, per un predefinito numero (G) di blocchi (g) di detta pluralità di blocchi, i valori di frequenza ( Of ) con cui ciascun blocco (g) identifica ciascun valore di blocco (i) così da ottenere una pluralità di valori di frequenza misurati ( Of ) , c) elaborare, per ciascun blocco (g), detta pluralità di valori di frequenza misurati ( Of ) ed i valori di frequenza attesi ( Et) per generare un valore di deviazione di frequenza ( X^ ) rappresentativo della deviazione della pluralità di valori di frequenza misurati ( Of ) rispetto ai valori di frequenza attesi { Ef) , d) elaborare i valori di deviazione di frequenza ( χ<1>) generati per ciascun blocco (g) con almeno un valore soglia di deviazione di frequenza ( χΛ) per rilevare la presenza di detto singolo flusso dati in detto flusso aggregato di dati a pacchetti ed identificare l'applicazione generatrice di detto singolo flusso dati.
  2. 2. Metodo in accordo con la rivendicazione 1, in cui detta fase d) comprende le fasi di: di) elaborare i valori di deviazione di frequenza ( %g) generati per ciascun blocco (g) per generare un valore di deviazione di frequenza di riferimento ( %rej) per detto predefinito numero di blocchi (G), d2) confrontare detto valore di deviazione di frequenza di riferimento generato { %ref ) con detto almeno un valore soglia di deviazione di frequenza ( xlh) per identificare detta applicazione generatrice di detto singolo flusso dati.
  3. 3. Metodo in accordo con la rivendicazione 1 o 2, in cui detta fase c) comprende la fase di applicare la pluralità di valori di frequenza misurati ( Of ) ed i valori di frequenza attesi ( E() ad una funzione di misura statistica della deviazione di frequenza.
  4. 4. Metodo in accordo con la rivendicazione 3, in cui detta funzione di misura statistica della deviazione di frequenza è scelta tra una delle funzione entropia, media, varianza, chi quadro.
  5. 5. Metodo in accordo con la rivendicazione 3 o 4, in cui detta funzione di misura statistica della deviazione di frequenza è la funzione chi-quadro:
    in cui %g<2>corrisponde a detto valore di deviazione di 5 frequenza ( χ<1>) , Of corrisponde a detta pluralità di valori di frequenza misurati ( Of ) , E, corrisponde a detti valori di frequenza attesi
IT001141A 2007-06-04 2007-06-04 Metodo per rilevare un singolo flusso dati all' interno di un flusso aggregato di dati a pacchetti e per identificare l' applicazione generatrice del singolo flusso dati. ITMI20071141A1 (it)

Priority Applications (4)

Application Number Priority Date Filing Date Title
IT001141A ITMI20071141A1 (it) 2007-06-04 2007-06-04 Metodo per rilevare un singolo flusso dati all' interno di un flusso aggregato di dati a pacchetti e per identificare l' applicazione generatrice del singolo flusso dati.
EP08762766A EP2163049A2 (en) 2007-06-04 2008-06-03 Method and system for detecting a single data flow in an aggregate packet data flow and for identifying the application generating said single data flow
US12/602,996 US8339979B2 (en) 2007-06-04 2008-06-03 Method and system for detecting a single data flow in an aggregate packet data flow and for identifying the application generating said single data flow
PCT/IB2008/001425 WO2008149203A2 (en) 2007-06-04 2008-06-03 Method and system for detecting a single data flow in an aggregate packet data flow and for identifying the application generating said single data flow

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
IT001141A ITMI20071141A1 (it) 2007-06-04 2007-06-04 Metodo per rilevare un singolo flusso dati all' interno di un flusso aggregato di dati a pacchetti e per identificare l' applicazione generatrice del singolo flusso dati.

Publications (1)

Publication Number Publication Date
ITMI20071141A1 true ITMI20071141A1 (it) 2008-12-05

Family

ID=40094237

Family Applications (1)

Application Number Title Priority Date Filing Date
IT001141A ITMI20071141A1 (it) 2007-06-04 2007-06-04 Metodo per rilevare un singolo flusso dati all' interno di un flusso aggregato di dati a pacchetti e per identificare l' applicazione generatrice del singolo flusso dati.

Country Status (4)

Country Link
US (1) US8339979B2 (it)
EP (1) EP2163049A2 (it)
IT (1) ITMI20071141A1 (it)
WO (1) WO2008149203A2 (it)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11496601B2 (en) * 2021-01-13 2022-11-08 Dell Products, L.P. Client driven cloud network access system and method

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7397766B2 (en) * 2004-03-31 2008-07-08 Lucent Technologies Inc. High-speed traffic measurement and analysis methodologies and protocols
US7782793B2 (en) 2005-09-15 2010-08-24 Alcatel Lucent Statistical trace-based methods for real-time traffic classification
US20070076611A1 (en) * 2005-10-05 2007-04-05 Fujitsu Limited Detecting anomalies from acceptable traffic affected by anomalous traffic
ITMI20062417A1 (it) * 2006-12-18 2008-06-19 Nautilus S R L Metodo ed apparato per rilevare flusso dati vocale in un flusso dati a pacchetti

Also Published As

Publication number Publication date
WO2008149203A2 (en) 2008-12-11
WO2008149203A3 (en) 2009-03-19
EP2163049A2 (en) 2010-03-17
US20100177652A1 (en) 2010-07-15
US8339979B2 (en) 2012-12-25

Similar Documents

Publication Publication Date Title
Mazurczyk et al. Steganography of VoIP streams
JP2017533672A5 (it)
US20150215328A1 (en) Methods and Devices for Defending a 3G Wireless Network Against Malicious Attacks
WO2005059717A3 (en) Certificate based digital rights management
WO2016077801A3 (en) Circuit-aware load balancing with dynamic quality of service
MY164093A (en) A system and method foe establishing mutual remote attestation in internet protocol security (ipsec) based virtual private network (vpn)
CN102857521A (zh) 设置oam安全认证的方法及装置
US8621228B2 (en) MAC aggregation resilient to denial-of-service attacks for use in a multi-node data network
KR100936236B1 (ko) SIP/RTP를 이용하는 VoIP 음성 트래픽의 서비스품질 메트릭 모니터링 장치 및 방법
CN107046548B (zh) 一种隐私保护下的数据包过滤方法
ITMI20071141A1 (it) Metodo per rilevare un singolo flusso dati all&#39; interno di un flusso aggregato di dati a pacchetti e per identificare l&#39; applicazione generatrice del singolo flusso dati.
Epishkina et al. A random traffic padding to limit packet size covert channels
US8416948B2 (en) System for secure variable data rate transmission
Horvat et al. Analysis of QoS parameters for multimedia streaming in Wireless Sensor Networks
Bigler et al. Side-channel watermarking for lorawan using robust inter-packet timing
Rathore Threshold-based generic scheme for encrypted and tunneled Voice Flows Detection over IP Networks
Lu et al. The higher-order meet-in-the-middle attack and its application to the Camellia block cipher
ITMI20062417A1 (it) Metodo ed apparato per rilevare flusso dati vocale in un flusso dati a pacchetti
KR101222442B1 (ko) TLS 암호화된 VoIP 통화 품질 모니터링 방법과 그 시스템
Gwak et al. WiCUBIC: Enhanced CUBIC TCP for mobile devices
Coskun et al. Tracking encrypted VoIP calls via robust hashing of network flows
Pohlmann Influence of Security Mechanisms on
SE1850454A1 (en) Segmenting a corporate communications network
Backs et al. Influence of Security Mechanisms on the Quality of Service of VoIP
Elbayoumy et al. A Comprehensive Secure VoIP Solution.