JP6571883B2 - フロー情報解析装置、フロー情報解析方法及びフロー情報解析プログラム - Google Patents

フロー情報解析装置、フロー情報解析方法及びフロー情報解析プログラム Download PDF

Info

Publication number
JP6571883B2
JP6571883B2 JP2018543758A JP2018543758A JP6571883B2 JP 6571883 B2 JP6571883 B2 JP 6571883B2 JP 2018543758 A JP2018543758 A JP 2018543758A JP 2018543758 A JP2018543758 A JP 2018543758A JP 6571883 B2 JP6571883 B2 JP 6571883B2
Authority
JP
Japan
Prior art keywords
header
packet
flow information
analysis
sample
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018543758A
Other languages
English (en)
Other versions
JPWO2018066228A1 (ja
Inventor
弘 倉上
弘 倉上
和憲 神谷
和憲 神谷
弘幸 野岡
弘幸 野岡
大伍 夏目
大伍 夏目
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2018066228A1 publication Critical patent/JPWO2018066228A1/ja
Application granted granted Critical
Publication of JP6571883B2 publication Critical patent/JP6571883B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/022Capturing of monitoring data by sampling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2483Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/34Flow control; Congestion control ensuring sequence integrity, e.g. using sequence numbers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、フロー情報解析装置、フロー情報解析方法及びフロー情報解析プログラムに関する。
IPネットワークにおいて、DDoS(Distributed Denial of Service)攻撃に代表されるネットワークへの攻撃が増大しており、トラフィックの監視及び解析の重要性が増している。トラフィック解析技術としては、NetFlow、sFlow、IPFIX(Internet Protocol Flow Information Export)等のネットワーク機器が出力するフロー情報を利用した方法が知られている(例えば、非特許文献1を参照)。このようなフロー情報を利用したトラフィック解析技術によれば、送受信IPアドレス、プロトコル、ポート番号等の情報ごとにトラフィック量を解析することができる。
B. Claise, Cisco Systems NetFlow Services Export Version 9. RFC 3954, October 2004.
しかしながら、従来のフロー情報を利用したトラフィック解析技術には、ネットワークにおいてトンネリングプロトコルが用いられている場合、トンネル内のユーザパケットの詳細な情報を解析できない場合があるという問題があった。
例えば、NetFlow v9を用いた解析では、L2TP(Layer 2 Tunneling Protocol)やGRE(Generic Routing Encapsulation)等のトンネリングプロトコルが想定されておらず、取得可能な情報は、トンネルヘッダに関するものに限られる。そのため、NetFlow v9を用いた解析では、トンネル内のユーザパケットの送受信IPアドレス、プロトコル、ポート番号といった詳細な情報を解析できない場合があった。
本発明のフロー情報解析装置は、トンネルヘッダが付加されたIPパケットの一部であるヘッダサンプルを含んだフロー情報を受信する受信部と、前記フロー情報の前記ヘッダサンプルが、トンネリングプロトコルに基づくテンプレートのいずれかに合致するか否かを判定し、前記テンプレートのいずれかに合致すると判定した場合、当該合致したテンプレートに基づいて、前記ヘッダサンプルから前記IPパケットのヘッダに関する情報を抽出する第1の解析部と、前記第1の解析部によって、前記フロー情報の前記ヘッダサンプルが前記テンプレートのいずれにも合致しないと判定された場合、前記トンネルヘッダの特定のフィールドに設定される値と、前記IPパケットの特定のフィールドに設定される値と、を組み合わせた検索データに合致するバイト列を前記ヘッダサンプルから検索し、当該検索の結果に基づいて、前記ヘッダサンプルから前記IPパケットのヘッダに関する情報を抽出する第2の解析部と、を有することを特徴とする。
本発明のフロー情報解析方法は、フロー情報解析装置によって実行されるフロー情報解析方法であって、トンネルヘッダが付加されたIPパケットの一部であるヘッダサンプルを含んだフロー情報を受信する受信工程と、前記フロー情報の前記ヘッダサンプルが、トンネリングプロトコルに基づくテンプレートのいずれかに合致するか否かを判定し、前記テンプレートのいずれかに合致すると判定した場合、当該合致したテンプレートに基づいて、前記ヘッダサンプルから前記IPパケットのヘッダに関する情報を抽出する第1の解析工程と、前記第1の解析工程によって、前記フロー情報の前記ヘッダサンプルが前記テンプレートのいずれにも合致しないと判定された場合、前記トンネルヘッダの特定のフィールドに設定される値と、前記IPパケットの特定のフィールドに設定される値と、を組み合わせた検索データに合致するバイト列を前記ヘッダサンプルから検索し、当該検索の結果に基づいて、前記ヘッダサンプルから前記IPパケットのヘッダに関する情報を抽出する第2の解析工程と、を含んだことを特徴とする。
本発明によれば、ネットワークにおいてトンネリングプロトコルが用いられている場合であっても、トンネル内のユーザパケットの詳細な情報を解析することができる。
図1は、第1の実施形態に係るIPネットワークの構成の一例を示す図である。 図2は、第1の実施形態に係るフロー情報解析装置の構成の一例を示す図である。 図3は、第1の実施形態に係るフロー情報について説明するための図である。 図4は、第1の実施形態に係るテンプレートの一例を示す図である。 図5は、第1の実施形態に係るフロー情報解析装置の処理の流れを示すフローチャートである。 図6は、プログラムが実行されることによりフロー情報解析装置が実現されるコンピュータの一例を示す図である。
以下に、本願に係るフロー情報解析装置、フロー情報解析方法及びフロー情報解析プログラムの実施形態を図面に基づいて詳細に説明する。なお、この実施形態により本発明が限定されるものではない。
[第1の実施形態の構成]
まず、図1を用いて、第1の実施形態に係るフロー情報解析装置を有するIPネットワークの構成について説明する。図1は、第1の実施形態に係るIPネットワークの構成の一例を示す図である。図1に示すように、IPネットワーク1は、フロー情報解析装置10、ユーザ端末20及び21、宅内ネットワーク装置30、ネットワーク装置40、50及び60を有する。各ユーザ端末は、例えば、通信機能を備えたパーソナルコンピュータやスマートフォン等の端末である。また、各ネットワーク装置は、例えばルータ等である。
図1に示すように、ユーザ端末20は、宅内ネットワーク装置30と接続している。また、ユーザ端末21は、ネットワーク装置40と接続している。また、宅内ネットワーク装置30は、ユーザ端末20及びネットワーク装置40と接続している。また、宅内ネットワーク装置30は、ネットワーク装置40との間に、PPPoE等のトンネリングプロトコルを用いてトンネル31を設置する。
ネットワーク装置40は、ユーザ端末21、宅内ネットワーク装置30及びネットワーク装置50と接続する。また、ネットワーク装置40は、ネットワーク装置60との間に、L2TP及びIP−IP(IPv4 over IPv6)等のトンネリングプロトコルを用いてトンネル41を設置する。ネットワーク装置50は、ネットワーク装置40、ネットワーク装置60及びフロー情報解析装置10と接続する。
なお、以降の説明で、トンネルパケットとは、トンネリングプロトコルに基づいてカプセル化されたパケットを示すこととする。また、ユーザパケットとは、ユーザ端末から送出されたカプセル化される前のパケット、又はトンネルパケットのカプセル化を解除すること、すなわちトンネルパケットからトンネルヘッダを取り除くことで得られるトンネル内のパケットを示すこととする。特に、トンネル内におけるカプセル化された状態のユーザパケットを、内部ユーザパケットとよぶ。また、ユーザパケットはIPパケットであることとする。IPパケットには、IPv4パケットやIPv6パケット等が含まれる。
ユーザ端末20は、ユーザパケットであるIPパケット70を送信する。そして、宅内ネットワーク装置30は、ユーザ端末20から送出されたIPパケット70に対して、PPPoE等のトンネリングプロトコルを用いてトンネルヘッダを付加し、カプセル化する。そして、宅内ネットワーク装置30は、IPパケット70をカプセル化したパケットであるトンネルパケット71を、ネットワーク装置40に送信する。
ネットワーク装置40は、宅内ネットワーク装置30から受信したトンネルパケット71に対して、PPPoE等のトンネリングプロトコルを終端し、カプセル化を解除する。ネットワーク装置40は、カプセル化を解除したIPパケット70に対して、L2TP等のトンネリングプロトコルを用いてパケットにヘッダを付加しカプセル化する。そして、ネットワーク装置40は、IPパケット70をカプセル化したパケットであるトンネルパケット72を、ネットワーク装置50に送信する。
ネットワーク装置50は、ネットワーク装置40とネットワーク装置60との間で、カプセル化されたパケットを送受信する。また、ネットワーク装置50は、送受信したトンネルパケット72をサンプリングし、sFlow、IPFIX、Flexible NetFlow等のフロー情報80を作成する。そして、ネットワーク装置50は、作成したフロー情報80をフロー情報解析装置10に送信する。フロー情報解析装置10は、ネットワーク装置50によって送信されたフロー情報80を受信し、解析する。フロー情報解析装置10の詳細な構成については後述する。
また、ネットワーク装置50は、ネットワーク装置40から受信したトンネルパケット72を、ネットワーク装置60に転送する。そして、ネットワーク装置60は、L2TP等でカプセル化されたトンネルパケット72のカプセル化を解除する。
ユーザ端末21は、ユーザパケットであるIPパケット73を送信する。そして、ネットワーク装置40は、ユーザ端末21から受信したIPパケット73に対して、L2TP等のトンネリングプロトコルを用いてパケットにヘッダを付加しカプセル化する。そして、ネットワーク装置40は、IPパケット73をカプセル化したパケットであるトンネルパケット74を、ネットワーク装置50に送信する。
ネットワーク装置50は、トンネルパケット72の場合と同様に、トンネルパケット74をサンプリングし、sFlow、IPFIX、Flexible NetFlow等のフロー情報80を作成する。そして、ネットワーク装置50は、作成したフロー情報80をフロー情報解析装置10に送信する。
また、例えば、ネットワーク装置50は、ネットワーク装置40から受信したトンネルパケット74を、ネットワーク装置60に転送する。そして、ネットワーク装置60は、L2TP等でカプセル化されたトンネルパケット74のカプセル化を解除する。
なお、IPネットワーク1においては、トンネルパケット以外のパケットが発生していてもよい。また、ネットワーク装置40とネットワーク装置60間では、暗号化されていないトンネルを確立するトンネリングプロトコルであって、ユーザパケットにヘッダを付加しカプセル化するトンネリングプロトコルによってトンネルが確立される。このようなトンネリングプロトコルの例として、例えば、IP−IP、L2TP、GRE等がある。
ここで、図2を用いてフロー情報解析装置10の構成について説明する。図2は、第1の実施形態に係るフロー情報解析装置の構成の一例を示す図である。図2に示すように、フロー情報解析装置10は、受信部11、第1の解析部12、第2の解析部13、第3の解析部14、生成部15、記録部16、集計部17及び表示部18を有する。
受信部11は、トンネルヘッダが付加されたIPパケットの一部であるヘッダサンプルを含んだフロー情報80を受信する。ここで、図3を用いて、ネットワーク装置40で用いられるトンネリングプロトコルがL2TPである場合の、フロー情報80の構成について説明する。図3は、第1の実施形態に係るフロー情報について説明するための図である。図3に示すように、フロー情報80は、Etherヘッダ、IPヘッダ、UDPヘッダ及びsFlowデータグラムを有する。
図3に示すように、sFlowデータグラム80aには、sFlowヘッダ、カウンタサンプル、ヘッダサンプル及びフローサンプルが含まれる。カウンタサンプルは、例えば、サンプリングされたパケットのバイト数やパケット数である。また、ヘッダサンプルは、例えば、サンプリングされたパケットの先頭128bytesである。また、フローサンプルは、例えば、サンプリングされたパケットの生成元AS情報やURLといった拡張情報である。
さらに、図3に示すように、ヘッダサンプル80bは、Etherヘッダ、IPヘッダ、UDPヘッダ、L2TPヘッダ、PPPヘッダ及びトンネルパケットのペイロードを有する。ここで、ヘッダサンプル80bがサンプリングされたパケットの先頭128bytesである場合において、サンプリングされたパケットの長さが128bytesより大きい場合、ヘッダサンプル80bは、サンプリングされたパケットの一部となる。また、図3に示すように、トンネルパケットのペイロード80cは、内部ユーザパケットのIPヘッダ、TCPヘッダ及びペイロードの一部を有する。
このように、フロー情報80には、ユーザパケットのヘッダに関する情報が含まれている。このため、フロー情報80内のユーザパケットのヘッダの位置を特定し、当該ヘッダを抽出することができれば、既存のIPパケット解析方法を適用して解析を行うことができる。
(テンプレートを用いた解析)
第1の解析部12は、テンプレートを用いて、フロー情報80内のユーザパケット、すなわちIPパケットのヘッダの位置を特定する。第1の解析部12は、フロー情報80のヘッダサンプル80bが、トンネリングプロトコルに基づくテンプレートのいずれかに合致するか否かを判定し、テンプレートのいずれかに合致すると判定した場合、当該合致したテンプレートに基づいて、ヘッダサンプル80bからIPパケットのヘッダに関する情報を抽出する。
まず、第1の解析部12は、フロー情報80のカウンタサンプル及びフローサンプルを抽出し、記録部16に記録する。記録部16は、例えば、ハードディスク又は半導体メモリ素子等の記憶デバイスである。
第1の解析部12は、フロー情報80のヘッダサンプル80bに対して、あらかじめ用意されたトンネリングプロトコルのテンプレートが適用できるか否かを確認する。ここで、図4に、トンネリングプロトコルが、IP−IPである場合のテンプレートの一例を示す。図4は、第1の実施形態に係るテンプレートの一例を示す図である。
図4のテンプレートは、トンネルパケットの先頭128bytesにおける、各フィールドの位置を、横64bits(8bytes)×縦16行の表で表したものである。例えば、図4より、トンネルパケットの先頭6bytes(1行目の目盛り0〜47)の領域には、フィールド「宛先MACアドレス」の値が設定される。また、例えば、図4より、トンネルパケットの67bytes目から70bytes目までの4bytesの領域(9行目の目盛り16〜47)には、フィールド「送信元IPv4アドレス」の値が設定される。
また、トンネリングプロトコルがIP−IPである場合、ユーザパケットはIPv4パケットである。このとき、図4に示すように、テンプレートには、Etherヘッダ101、IPv6ヘッダ102、IPv4ヘッダ103、TCPヘッダ104及びペイロード105が含まれる。第1の解析部12は、例えばIPv4ヘッダ103の位置を特定する。
また、テンプレートの特定のフィールドには、値が設定されている。例えば、図4に示すように、テンプレートのEtherヘッダ101のType(13bytes目〜14bytes目、2行目の目盛り32〜47)には、IPv6であることを示す値「0x86dd」が設定されている。また、テンプレートのIPv6ヘッダ102のNext header(21bytes目、3行目の目盛り32〜39)には、IP−IPであることを示す値「0x04」が設定されている。また、テンプレートのIPv4ヘッダ103のVersion(55bytes目の前半部、7行目の目盛り48〜51)には、IPv4であることを示す値「0100」が設定されている。なお、以降の説明において特に説明がない場合、「0x」を付していない値は2進数を表すこととする。
このとき、第1の解析部12は、ヘッダサンプルの13bytes目〜14bytes目が「0x86dd」、かつ、21bytes目が「0x04」、かつ、55bytes目の前半部が「0100」である場合、当該ヘッダサンプルがテンプレートに合致すると判定する。
ヘッダサンプルがテンプレートに合致した場合、テンプレートを用いて当該ヘッダサンプルの各フィールドの位置を特定し、IPv6ヘッダの送受信IPv6アドレス等のトンネルヘッダに関する情報や、IPv4パケットの送受信IPv4アドレス、プロトコル、TCP又はUDPポート番号等の内部ユーザパケットのヘッダに関する情報を抽出して記録部16に送信する。
また、第1の解析部12は、ヘッダサンプルが図4のテンプレートに合致しなかった場合、IP−IP以外のトンネリングプロトコル、例えばL2TP、GRE、PPPoE等に対応したテンプレートについても同様の判定を行う。また、ヘッダサンプルが、あらかじめ用意されたテンプレートのいずれにも合致しなかった場合、第1の解析部12は、当該ヘッダサンプルを第2の解析部13に送信する。
(可変長オプションに対応した解析)
第2の解析部13は、第1の解析部12によって送信されたヘッダサンプルの解析を行う。ここで、第1の解析部12において、いずれのテンプレートとも合致しなかったヘッダサンプルには、トンネルヘッダにOption(可変長オプション)が追加されていることが考えられる。第2の解析部13は、トンネルヘッダにOptionが追加されていることを想定した解析を行う。
トンネルパケットのトンネルヘッダにOptionが追加されている場合、ヘッダ内のHeader lengthが省略されること等により、Optionが追加されていない場合とはトンネルヘッダ長が異なる場合があり、さらに、トンネルヘッダ長が明示されていない場合等がある。
第2の解析部13は、第1の解析部12によって、フロー情報のヘッダサンプルがテンプレートのいずれにも合致しないと判定された場合、トンネルヘッダの特定のフィールドに設定される値と、IPパケットの特定のフィールドに設定される値と、を組み合わせた検索データに合致するバイト列をヘッダサンプルから検索し、当該検索の結果に基づいて、ヘッダサンプルからIPパケットのヘッダに関する情報を抽出する。
ここで、トンネリングプロトコルがL2TPである場合、図3に示すように、トンネルパケットは、Etherヘッダ、IPヘッダ、UDPヘッダ、L2TPヘッダ、PPPヘッダ、及びペイロードから構成される。そして、ペイロードには、ユーザ通信パケット、すなわちIPパケットのヘッダに関する情報が含まれている。このとき、トンネルヘッダ長が可変長でトンネルヘッダ長が示されていない場合であっても、IPパケットの先頭位置さえ特定できれば、ペイロードからIPパケットを抽出することができる。
そこで、第2の解析部13は、PPPヘッダ内のProtocolフィールドに設定される値と、IPパケットのVersionフィールドに設定される値とを組み合わせて検索データを作成し、当該検索データに合致するバイト列をヘッダサンプルから検索する。
ここで、PPPヘッダ内のProtocolフィールドには、内部ユーザパケットがIPv4である場合は「0x0021」が設定され、IPv6である場合は「0x0057」が設定される。また、IPヘッダ内のVersionフィールドには、IPv4である場合は「0100」、IPv6である場合は「0110」が設定される。
トンネルヘッダの末尾のフィールド、すなわちPPPヘッダのProtocolフィールドと、IPパケットの先頭のフィールド、すなわちIPヘッダのVersionフィールドが連続する場合、ヘッダサンプルには、内部ユーザパケットがIPv4である場合は「00 21 4x」(16進数表記、xは0〜9の整数又はa〜fの値)、IPv6である場合は「00 57 6x」(16進数表記、xは0〜9の整数又はa〜fの値)というバイト列が現れることが考えられる。
このため、第2の解析部13は、「00 21 4x」又は「00 57 6x」を検索データとしてヘッダサンプルを検索する。そして、第2の解析部13は、検索データに合致するバイト列が見つかった場合、「4x」以降をIPv4パケット、「6x」以降をIPv6パケットとして、内部ユーザパケットのヘッダに関する情報を抽出し、記録部16に送信する。
トンネリングプロトコルがPPPoEである場合も同様に、第2の解析部13は、PPPヘッダ内のProtocolフィールドの値と、それに続くIPヘッダ内のVersionフィールドの値とを組み合わせて作成した検索データでヘッダサンプルを検索し、内部ユーザパケットのヘッダに関する情報を抽出する。
トンネリングプロトコルがGREである場合、第2の解析部13は、内部ユーザパケットを解析するためにGREヘッダ内のProtocol typeフィールドの値と、それに続くIPヘッダ内のVersionフィールドの値とを組み合わせて作成した検索データでヘッダサンプルを検索し、内部ユーザパケットのヘッダに関する情報を抽出する。
ここで、GREヘッダ内のProtocol typeフィールドには、内部ユーザパケットがIPv4である場合は「0x0800」が設定され、IPv6である場合は「0x86dd」が設定される。また、IPヘッダ内のVersionフィールドには、IPv4である場合は「0100」、IPv6である場合は「0110」が設定される。
トンネルヘッダの末尾のフィールド、すなわちGREヘッダのProtocol typeフィールドと、IPパケットの先頭のフィールド、すなわちIPヘッダのVersionフィールドが連続する場合、ヘッダサンプルには、内部ユーザパケットがIPv4である場合は「08 00 4x」(16進数表記、xは0〜9の整数又はa〜fの値)、IPv6である場合は「86 dd 6x」(16進数表記、xは0〜9の整数又はa〜fの値)というバイト列が現れることが考えられる。
このため、第2の解析部13は、「08 00 4x」又は「86 dd 6x」を検索データとしてヘッダサンプルを検索する。そして、第2の解析部13は、検索データに合致するバイト列が見つかった場合、「4x」以降をIPv4パケット、「6x」以降をIPv6パケットとして、内部ユーザパケットのヘッダに関する情報を抽出し、記録部16に送信する。
このように、第2の解析部13は、あらかじめトンネリングプロトコルを想定した上でプロトコル内部ユーザパケットを特定するためのバイト列を用意して検索することにより、内部ユーザパケットを特定し、ヘッダに関する情報を抽出することができる。
さらに、生成部15は、第2の解析部13による検索の結果、検索データに合致するバイト列が得られた場合、当該バイト列のヘッダサンプル内の位置に基づいて、テンプレートを生成する。この場合、第2の解析部13は、フォーマット情報として、例えば、トンネリングプロトコルのフィールド位置や内部ユーザパケット位置情報及びバイト列を新しいテンプレート情報として生成部15へ送信する。そして、生成部15は、第2の解析部13によって送信された情報を基に新しいテンプレートを生成し、第1の解析部12で利用できるように設定する。そして、第1の解析部12は、生成部15によって生成されたテンプレートを用いて判定を行う。これにより、第1の解析部12は、内部ユーザパケットを含めたトンネルパケットの解析が可能になる。また、第2の解析部13は、検索データに合致するバイト列が見つからなかったヘッダサンプルを、第3の解析部14に送信する。
(任意のトンネリングプロトコルに対応した解析)
第3の解析部14は、第2の解析部13によって送信されたヘッダサンプルの解析を行う。ここで、第2の解析部13において、検索データに合致するバイト列が見つからなかったヘッダサンプルのトンネルパケットには、検索データが用意されていないトンネリングプロトコルが使用されていることや、トンネルヘッダが多重に付加されていることが考えられる。
そこで、第3の解析部14は、第2の解析部13による検索の結果、検索データに合致するバイト列が得られなかった場合、IPパケットの特定のフィールドに設定される値の組み合わせである検索データに合致するバイト列をヘッダサンプルから検索し、当該検索の結果に基づいて、ヘッダサンプルからIPパケットのヘッダに関する情報を抽出する。
例えば、内部ユーザパケットがIPv4、かつ、ヘッダ長が20bytesである場合、IPv4ヘッダのVersionフィールドには「0100」が設定され、Versionフィールドに続くHeader lengthフィールドには「0101」が設定される。このため、IPヘッダの先頭1byteは「0x45」となる。
また、IPv4ヘッダの先頭から6bytes後方には、IPv4 FlagsとFragment Offsetフィールドがあり、当該フィールドには、フラグメントされていない場合は「0x0000」、フラグメント禁止の場合は「0x4000」が設定される。
これらより、第3の解析部14は、「45 xx xx xx xx xx 00 00」又は「45 xx xx xx xx xx 40 00」(いずれも16進数表記、xは0〜9の整数又はa〜fの値)を検索データとしてヘッダサンプルを検索する。そして、第3の解析部14は、検索データに合致するバイト列が見つかった場合、「45」以降の20bytesをIPv4ヘッダとして、記録部16に送信する。
ここで、カプセル化されていないIPパケットにおいては、Etherフレーム先頭から15bytesの位置にIPヘッダのVersionフィールドの値が格納される。このため、第3の解析部14は、カプセル化されていないIPパケットや、トンネルヘッダにIPv4ヘッダが存在するパケットに対して上記の方法で検索を行った場合、Etherフレームの先頭から15bytesの位置を内部ユーザパケットのIPv4ヘッダとして抽出することになる。そのため、第3の解析部14は、Etherフレーム先頭から16bytes以降を検索対象とし、さらに、複数のバイト列が検索結果として見つかった場合、第3の解析部14は、当該バイト列のうち最後尾にあるものを内部ユーザパケットの開始位置とすることで、トンネル内のユーザパケットを正確に検索することができる。
さらに、生成部15は、第2の解析部13の場合と同様に、第3の解析部14による検索の結果に基づいてテンプレートを生成し、第1の解析部12で利用できるように設定する。そして、第1の解析部12は、生成部15によって生成されたテンプレートを用いて判定を行う。
なお、パケットの種類によっては、Header lengthフィールドの値が「0110」、すなわちヘッダ長が24bytesである場合がある(ルーティングプロトコルパケット等)。この場合、第3の解析部14は、「46 xx xx xx xx xx 00 00」又は「46 xx xx xx xx xx 40 00」(いずれも16進数表記、xは0〜9の整数又はa〜fの値)を検索データとしてヘッダサンプルを検索する。このとき、第3の解析部14は、Etherフレーム先頭から16bytes以降を検索対象としてもよい。そして、第3の解析部14は、検索データに合致するバイト列が見つかった場合、「46」以降の24bytesをIPv4ヘッダとして、記録部16に送信する。
また、IPv6パケットの場合、IPv6ヘッダのVersionフィールドには「0110」が設定され、Versionフィールドに続く8bitの領域はTraffic classフィールド、次の20bitはFlow labelフィールドである。ここで、第3の解析部14は、Traffic classフィールド及びFlow labelフィールドに設定された値を全て0と仮定して、ヘッダサンプルに対して、検索データを「60 00 00 00」(16進数表記)として、Etherフレーム先頭から16bytes以降に対して検索を行う。
そして、第3の解析部14は、検索データに合致するバイト列が見つかった場合、「60」以降をIPv6ヘッダとして、記録部16に送信する。第3の解析部14は、IPv4パケットの場合と同様に、複数のバイト列が検索結果として見つかった場合、当該バイト列のうち最後尾にあるものを内部ユーザパケットの開始位置とすることができる。
また、Traffic classフィールドやFlow labelフィールドに複数の値が設定されている場合、あらかじめパケットを調査して、使用されている値を用いて検索条件を設定してもよい。
また、集計部17は、記録部16に記録された情報の集計を行う。集計部17は、例えば、内部ユーザパケットのヘッダに関する情報を基に、所定の宛先アドレスが設定されたパケットの数を集計してもよい。また、表示部18は、解析結果を所定の端末等に表示する。表示部18は、記録部16に記録された内部パケットのヘッダに関する情報をそのまま表示してもよいし、集計部17による集計結果を表やグラフを用いて表示してもよい。
[第1の実施形態の処理]
図5を用いて、フロー情報解析装置10の処理の流れについて説明する。図5は、第1の実施形態に係るフロー情報解析装置の処理の流れを示すフローチャートである。図5に示すように、まず、フロー情報解析装置10の受信部11は、IPネットワーク1のネットワーク装置50から、フロー情報を受信する(ステップS101)。
次に、第1の解析部12は、受信したフロー情報に含まれるヘッダサンプルに対し、あらかじめ用意されたテンプレートを適用し(ステップS102)、ヘッダサンプルがテンプレートに合致するか否かを判定する(ステップS103)。ここで、ヘッダサンプルがいずれかのテンプレートに合致した場合(ステップS103、Yes)、第1の解析部12は、ヘッダサンプルからユーザパケット情報を抽出し、記録部16に記録する(ステップS104)。そして、フロー情報解析装置10は処理を終了する。
ヘッダサンプルがいずれのテンプレートにも合致しなかった場合(ステップS103、No)、第2の解析部13は、トンネルヘッダの特定のフィールドに設定される値と、IPパケットの特定のフィールドに設定される値と、を組み合わせた検索データを用いて、可変長オプションに対応した検索を行う(ステップS105)。例えば、第2の解析部13は、PPPヘッダのProtocolフィールドと、IPヘッダのVersionフィールドを組み合わせた検索データで検索を行う。
第2の解析部13による検索でヒットした場合(ステップS106、Yes)、生成部15は、ヒットしたバイト列のヘッダサンプル内の位置を基に新たなテンプレートを生成する(ステップS107)。生成部15によって生成されたテンプレートは、第1の解析部12で用いられる。また、第2の解析部13は、ヘッダサンプルからユーザパケットのヘッダに関する情報を抽出し、記録部16に記録する(ステップS104)。そして、フロー情報解析装置10は処理を終了する。
第2の解析部13による検索でヒットしなかった場合(ステップS106、No)、第3の解析部14は、IPパケットの特定のフィールドに設定される値の組み合わせである検索データを用いて、任意のトンネリングに対応した検索を行う(ステップS108)。例えば、第3の解析部14は、IPヘッダのVersionフィールド、Traffic classフィールド、及びFlow labelフィールドを組み合わせた検索データで検索を行う。
第3の解析部14による検索でヒットした場合(ステップS109、Yes)、生成部15は、ヒットしたバイト列のヘッダサンプル内の位置を基に新たなテンプレートを生成する(ステップS107)。生成部15によって生成されたテンプレートは、第1の解析部12で用いられる。また、第3の解析部14は、ヘッダサンプルからユーザパケットのヘッダに関する情報を抽出し、記録部16に記録する(ステップS104)。第3の解析部14による検索でヒットしなかった場合(ステップS109、No)、フロー情報解析装置10は処理を終了する。
[第1の実施形態の効果]
受信部11は、トンネルヘッダが付加されたIPパケットの一部であるヘッダサンプルを含んだフロー情報を受信する。また、第1の解析部12は、フロー情報のヘッダサンプルが、トンネリングプロトコルに基づくテンプレートのいずれかに合致するか否かを判定し、テンプレートのいずれかに合致すると判定した場合、当該合致したテンプレートに基づいて、ヘッダサンプルからIPパケットのヘッダに関する情報を抽出する。
また、第2の解析部13は、第1の解析部12によって、フロー情報のヘッダサンプルがテンプレートのいずれにも合致しないと判定された場合、トンネルヘッダの特定のフィールドに設定される値と、IPパケットの特定のフィールドに設定される値と、を組み合わせた検索データに合致するバイト列をヘッダサンプルから検索し、当該検索の結果に基づいて、ヘッダサンプルからIPパケットのヘッダに関する情報を抽出する。
これにより、トンネリングプロトコルが用いられている場合であっても、トンネル内のIPパケットのヘッダに関する情報を抽出できるようになり、トンネル内のユーザパケットの詳細な情報を解析することができるようになる。
生成部15は、第2の解析部13による検索の結果、検索データに合致するバイト列が得られた場合、当該バイト列のヘッダサンプル内の位置に基づいて、テンプレートを生成する。このとき、第1の解析部12は、生成部15によって生成されたテンプレートを用いて判定を行ってもよい。
これにより、トンネルヘッダに可変長オプションが付加されていること等により、トンネルパケットがテンプレートに合致しない場合であっても、トンネル内のIPパケットのヘッダに関する情報を抽出することができるようになる。
第3の解析部14は、第2の解析部13による検索の結果、検索データに合致するバイト列が得られなかった場合、IPパケットの特定のフィールドに設定される値の組み合わせである検索データに合致するバイト列をヘッダサンプルから検索し、当該検索の結果に基づいて、ヘッダサンプルからIPパケットのヘッダに関する情報を抽出してもよい。
これにより、検索データが用意されていないトンネリングプロトコルが使用されていることや、トンネルヘッダが多重に付加されている場合であっても、トンネル内のIPパケットのヘッダに関する情報を抽出することができるようになる。
また、第2の解析部13は、トンネルヘッダの末尾のフィールドに設定される値と、IPパケットの先頭のフィールドに設定される値と、を組み合わせた検索データに合致するバイト列をヘッダサンプルから検索してもよい。
これにより、トンネルヘッダとIPパケットとの境界部分をより確実に特定することができるため、トンネル内のIPパケットのヘッダに関する情報を精度よく抽出することができるようになる。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
一実施形態として、フロー情報解析装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記のフロー情報解析を実行するフロー情報解析プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記のフロー情報解析プログラムを情報処理装置に実行させることにより、情報処理装置をフロー情報解析装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
また、フロー情報解析装置10は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記のフロー情報解析に関するサービスを提供するフロー情報解析サーバ装置として実装することもできる。例えば、フロー情報解析サーバ装置は、ユーザの第1のソースコードへの入力内容を入力とし、第2のソースコードを出力とするフロー情報解析サービスを提供するサーバ装置として実装される。この場合、フロー情報解析サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記のフロー情報解析に関するサービスを提供するクラウドとして実装することとしてもかまわない。
図6は、プログラムが実行されることによりフロー情報解析装置が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、フロー情報解析装置10の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、フロー情報解析装置10における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSDにより代替されてもよい。
また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
1 IPネットワーク
10 フロー情報解析装置
11 受信部
12 第1の解析部
13 第2の解析部
14 第3の解析部
15 生成部
16 記録部
17 集計部
18 表示部
20、21 ユーザ端末
30 宅内ネットワーク装置
40、50、60 ネットワーク装置
31、41 トンネル
70、73 IPパケット
71、72、74 トンネルパケット
80 フロー情報
80a sFlowデータグラム
80b ヘッダサンプル
80c ペイロード
101 Etherヘッダ
102 IPv6ヘッダ
103 IPv4ヘッダ
104 TCPヘッダ
105 ペイロード

Claims (6)

  1. トンネルヘッダが付加されたIPパケットの一部であるヘッダサンプルを含んだフロー情報を受信する受信部と、
    前記フロー情報の前記ヘッダサンプルが、トンネリングプロトコルに基づくテンプレートのいずれかに合致するか否かを判定し、前記テンプレートのいずれかに合致すると判定した場合、当該合致したテンプレートに基づいて、前記ヘッダサンプルから前記IPパケットのヘッダに関する情報を抽出する第1の解析部と、
    前記第1の解析部によって、前記フロー情報の前記ヘッダサンプルが前記テンプレートのいずれにも合致しないと判定された場合、前記トンネルヘッダの特定のフィールドに設定される値と、前記IPパケットの特定のフィールドに設定される値と、を組み合わせた検索データに合致するバイト列を前記ヘッダサンプルから検索し、当該検索の結果に基づいて、前記ヘッダサンプルから前記IPパケットのヘッダに関する情報を抽出する第2の解析部と、
    を有することを特徴とするフロー情報解析装置。
  2. 前記第2の解析部による検索の結果、前記検索データに合致するバイト列が得られた場合、当該バイト列の前記ヘッダサンプル内の位置に基づいて、テンプレートを生成する生成部をさらに有し、
    前記第1の解析部は、前記生成部によって生成されたテンプレートを用いて判定を行うことを特徴とする請求項1に記載のフロー情報解析装置。
  3. 前記第2の解析部による検索の結果、前記検索データに合致するバイト列が得られなかった場合、前記IPパケットの特定のフィールドに設定される値の組み合わせである検索データに合致するバイト列を前記ヘッダサンプルから検索し、当該検索の結果に基づいて、前記ヘッダサンプルから前記IPパケットのヘッダに関する情報を抽出する第3の解析部をさらに有することを特徴とする請求項1又は2に記載のフロー情報解析装置。
  4. 前記第2の解析部は、前記トンネルヘッダの末尾のフィールドに設定される値と、前記IPパケットの先頭のフィールドに設定される値と、を組み合わせた検索データに合致するバイト列を前記ヘッダサンプルから検索することを特徴とする請求項1から3のいずれか1項に記載のフロー情報解析装置。
  5. フロー情報解析装置によって実行されるフロー情報解析方法であって、
    トンネルヘッダが付加されたIPパケットの一部であるヘッダサンプルを含んだフロー情報を受信する受信工程と、
    前記フロー情報の前記ヘッダサンプルが、トンネリングプロトコルに基づくテンプレートのいずれかに合致するか否かを判定し、前記テンプレートのいずれかに合致すると判定した場合、当該合致したテンプレートに基づいて、前記ヘッダサンプルから前記IPパケットのヘッダに関する情報を抽出する第1の解析工程と、
    前記第1の解析工程によって、前記フロー情報の前記ヘッダサンプルが前記テンプレートのいずれにも合致しないと判定された場合、前記トンネルヘッダの特定のフィールドに設定される値と、前記IPパケットの特定のフィールドに設定される値と、を組み合わせた検索データに合致するバイト列を前記ヘッダサンプルから検索し、当該検索の結果に基づいて、前記ヘッダサンプルから前記IPパケットのヘッダに関する情報を抽出する第2の解析工程と、
    を含んだことを特徴とするフロー情報解析方法。
  6. コンピュータを、請求項1から4のいずれか1項に記載のフロー情報解析装置として機能させるためのフロー情報解析プログラム。
JP2018543758A 2016-10-06 2017-08-09 フロー情報解析装置、フロー情報解析方法及びフロー情報解析プログラム Active JP6571883B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2016198375 2016-10-06
JP2016198375 2016-10-06
PCT/JP2017/028940 WO2018066228A1 (ja) 2016-10-06 2017-08-09 フロー情報解析装置、フロー情報解析方法及びフロー情報解析プログラム

Publications (2)

Publication Number Publication Date
JPWO2018066228A1 JPWO2018066228A1 (ja) 2019-01-31
JP6571883B2 true JP6571883B2 (ja) 2019-09-04

Family

ID=61830896

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018543758A Active JP6571883B2 (ja) 2016-10-06 2017-08-09 フロー情報解析装置、フロー情報解析方法及びフロー情報解析プログラム

Country Status (4)

Country Link
US (1) US10735564B2 (ja)
EP (1) EP3506572B1 (ja)
JP (1) JP6571883B2 (ja)
WO (1) WO2018066228A1 (ja)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6734248B2 (ja) * 2017-11-24 2020-08-05 日本電信電話株式会社 フォーマット変換装置及びフォーマット変換プログラム
US10938680B2 (en) * 2018-01-23 2021-03-02 Arista Networks, Inc. Accelerated network traffic sampling using a network chip
US10965555B2 (en) 2018-01-23 2021-03-30 Arista Networks, Inc. Accelerated network traffic sampling using an accelerated line card
JP7348797B2 (ja) * 2018-11-09 2023-09-21 日本放送協会 パケットフロー監視装置
JP7135980B2 (ja) * 2019-04-09 2022-09-13 日本電信電話株式会社 登録システム、登録方法及び登録プログラム
JP7294764B2 (ja) * 2019-12-05 2023-06-20 日本電信電話株式会社 フォーマット変換装置及び方法並びにプログラム
JP7215604B2 (ja) * 2020-01-24 2023-01-31 日本電信電話株式会社 変換装置、変換方法及び変換プログラム
US11324057B2 (en) * 2020-04-09 2022-05-03 Juniper Networks, Inc. Supporting multiple PDU sessions for 5G client devices on wireline access
CN111866025A (zh) * 2020-08-06 2020-10-30 北京上下文系统软件有限公司 一种实现V9版本的Netflow协议快速解码的方法
WO2022176035A1 (ja) * 2021-02-16 2022-08-25 日本電信電話株式会社 変換装置、変換方法及び変換プログラム
JP7517583B2 (ja) * 2021-02-16 2024-07-17 日本電信電話株式会社 変換装置、変換方法及び変換プログラム
CN113747470B (zh) * 2021-08-09 2024-05-24 咪咕音乐有限公司 接口流量的分析方法、路由设备及存储介质
JP7704215B2 (ja) * 2021-12-08 2025-07-08 日本電信電話株式会社 変換装置、変換方法及び変換プログラム
US20250106125A1 (en) * 2022-01-26 2025-03-27 Nippon Telegraph And Telephone Corporation Analysis device, analysis method, and analysis program
WO2025027768A1 (ja) * 2023-07-31 2025-02-06 日本電信電話株式会社 監視システム

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6895020B2 (en) 2001-07-31 2005-05-17 Agilent Technologies, Inc. Method and apparatus for protocol pattern identification in protocol data units
US7797411B1 (en) * 2005-02-02 2010-09-14 Juniper Networks, Inc. Detection and prevention of encapsulated network attacks using an intermediate device
CN101932040B (zh) * 2009-06-26 2014-01-01 华为技术有限公司 寻呼处理方法、通信装置及通信系统
US20130304915A1 (en) 2011-01-17 2013-11-14 Nec Corporation Network system, controller, switch and traffic monitoring method
JP2013255196A (ja) 2012-06-08 2013-12-19 Nippon Telegr & Teleph Corp <Ntt> ネットワーク監視装置及びネットワーク監視方法
JP6290849B2 (ja) * 2015-11-27 2018-03-07 日本電信電話株式会社 トラフィック解析システムおよびトラフィック解析方法

Also Published As

Publication number Publication date
WO2018066228A1 (ja) 2018-04-12
EP3506572B1 (en) 2021-03-24
US10735564B2 (en) 2020-08-04
JPWO2018066228A1 (ja) 2019-01-31
EP3506572A4 (en) 2020-04-15
EP3506572A1 (en) 2019-07-03
US20190230198A1 (en) 2019-07-25

Similar Documents

Publication Publication Date Title
JP6571883B2 (ja) フロー情報解析装置、フロー情報解析方法及びフロー情報解析プログラム
EP3691218B1 (en) Method and device for identifying encrypted data stream
US20120182891A1 (en) Packet analysis system and method using hadoop based parallel computation
CN103916294B (zh) 协议类型的识别方法和装置
CN106068627B (zh) 用于在vpn网关处识别数据会话的方法和系统
JP6290849B2 (ja) トラフィック解析システムおよびトラフィック解析方法
US10523536B2 (en) Length control for packet header sampling
US9787581B2 (en) Secure data flow open information analytics
CN107667510A (zh) 恶意软件和恶意应用的检测
CN101352018A (zh) 分布式网络保护
CN111953552B (zh) 数据流的分类方法和报文转发设备
CN117914974A (zh) 一种网络数据包解析方法、装置及电子设备
CN105939304B (zh) 一种隧道报文解析方法及装置
CN103825824A (zh) 一种报文处理方法及装置
JP7294764B2 (ja) フォーマット変換装置及び方法並びにプログラム
CN105515995B (zh) 报文处理方法及装置
CN108848202B (zh) 电子装置、数据传输方法及相关产品
US10917502B2 (en) Method for using metadata in internet protocol packets
CN116319980A (zh) 一种数据报文标记方法、装置、网络设备及存储介质
JP4814203B2 (ja) フロー判定方法、通信装置及びプログラム
WO2023144946A1 (ja) 分析装置、分析方法及び分析プログラム
CN113935430B (zh) 一种多样化识别私有加密数据的方法及系统
US20260039569A1 (en) Extracting device, extracting method and extracting program
Hyun et al. A high performance VoLTE traffic classification method using HTCondor
CN120166158A (zh) 报文处理方法、设备和介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180920

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190806

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190808

R150 Certificate of patent or registration of utility model

Ref document number: 6571883

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350