暗号化通信特徴抽出装置、暗号化通信特徴抽出プログラムおよび記録媒体
【課題】 作業工数を減らし、短時間で暗号化通信の特徴を抽出することができる暗号化通信特徴抽出装置、暗号化通信特徴抽出プログラムおよび記録媒体を提供する。
【解決手段】 試験データ生成部15は、試験データを生成して通信アプリケーション10へ出力する。通信アプリケーション10と暗号通信ソフト11または暗号化プロトコル処理部12は、試験データに基づいた暗号文データを用いて、外部通信部13を介して試験用ホスト2と暗号化通信を行う。暗号文データ収集部16は暗号文データを収集し、収集した暗号文データに基づいて、暗号化通信の特徴を示す通信状態情報を抽出する。特徴併合部17は、抽出された通信状態情報と、暗号化通信の条件を示す条件情報とが関連付けられた特徴情報を生成し、記憶部18に格納する。
【解決手段】 試験データ生成部15は、試験データを生成して通信アプリケーション10へ出力する。通信アプリケーション10と暗号通信ソフト11または暗号化プロトコル処理部12は、試験データに基づいた暗号文データを用いて、外部通信部13を介して試験用ホスト2と暗号化通信を行う。暗号文データ収集部16は暗号文データを収集し、収集した暗号文データに基づいて、暗号化通信の特徴を示す通信状態情報を抽出する。特徴併合部17は、抽出された通信状態情報と、暗号化通信の条件を示す条件情報とが関連付けられた特徴情報を生成し、記憶部18に格納する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、暗号化通信における暗号文データから、暗号化通信の特徴を抽出する暗号化通信特徴抽出装置、暗号化通信特徴抽出プログラムおよび記録媒体に関する。
【背景技術】
【0002】
暗号化通信の利用が広がる中、悪意のパケットを暗号化して通信することによるネットワーク資源の浪費が問題となってきた。ネットワーク管理者にとって、暗号化パスを流れる通信の種別を把握することは重要である。以下、従来の暗号化通信において用いられる技術について説明する。
【0003】
通信アプリケーションの代表的なものにはHTTP(Hyper Text Transfer Protocol)、Mail、FTP(File Transfer Protocol)等がある。HTTPは、Webサーバ上のホームページを閲覧するときに用いられるプロトコルである。Mailは電子メールをMailサーバに送信したり、Mailサーバ間で送受信するときに用いられるプロトコルである。FTPは、FTPサーバ上におけるファイルの送受信に利用されるプロトコルである。
【0004】
昨今、標準化された暗号化プロトコルを用いてP2P(peer-to-peer)ネットワークを構築する暗号通信ソフト(P2P通信ソフト)が多く出回っている。例えば、一般的なSSL(Secure Socket Layer)暗号化プロトコルを利用して、通信アプリケーションから出力される平文のパケット全体を暗号化して通信する暗号通信ソフトがある。P2P通信ソフトの普及が広がる中、P2P通信ソフトから出力される暗号トラヒック量が膨大になっているという報告がある(例えば非特許文献2および非特許文献3参照)。P2P通信ソフトの多くは、標準化された暗号化プロトコルを利用するため、P2P通信ソフトによる通信と、正常利用される暗号通信ソフトによる通信とを見分けることはできないとされている。
【0005】
また、暗号化プロトコルの代表的なものにはSSL(TLS)やIPSecがある。IETF(Internet Engineering Task Force)において、SSL(Secure Socket Layer)はTLS(Transport Layer Security)という名前で標準化されている。SSLは主にトランスポート層で通信アプリケーションからのデータを暗号化しており、柔軟な仕組みを持つことから、各種通信アプリケーションの暗号化に広く適用されている。
【0006】
IPSecは、IPパケットをパケット単位で暗号化するプロトコルである。IPSecにおける通信では、IPパケットのデータ部分のみを暗号化するトランスポートモードと、IPのヘッダまでを含めたIPパケット全体を暗号化するトンネルモードがある。トンネルモードは、主に、ネットワークゲートウェイ(N−GW)どうしを接続して、VPN(Virtual Private Network)を構築するときに利用される。トンネルモードを利用するVPNの中を流れるパケットでは、ヘッダやデータ部の全てが隠蔽されてしまい、パケットからは、利用しているアプリケーションを知ることはできない。
【0007】
通信の特徴を検知する技術は、例えば非特許文献3に開示されている。非特許文献3においては、HTTP通信および暗号化されたP2P通信に関するパケット到着間隔、セッション継続時間、総通信サイズ、および通信速度が調査されている。しかし、この技術は、ネットワーク帯域設計や制御のためにトラヒック特性を調査することを目的としたものであり、P2P通信ソフトを識別することや、P2P通信ソフトによって構築された暗号化パス上を流れる通信アプリケーションを推定する技術ではない。一方、暗号化通信機能を持つP2P通信ソフトから発信される暗号通信セッションを検知することができる市販製品が登場しているが、検知の仕組みに関する詳細な資料は公知にされていない。
【非特許文献1】岡田明宏、他1名,「IP網におけるトラヒック特性分析の一考察」,電子情報通信学会,NS研究会,NS2003−5(2003−04),2003年
【非特許文献2】亀井聡、他2名,「P2Pファイル共有の実態と課題−トラヒック測定・設計・制御・管理法の確立に向けて」,電子情報通信学会,CQ研究会,CQ2003−7(2003−40),2003年
【非特許文献3】森達哉、他2名,「インターネットトラヒックのフロー分析:webとP2Pの特性評価」,電子情報通信学会論文誌,D−I,Vol.J87−D−1,No.5,pp.561−571,2004年5月
【発明の開示】
【発明が解決しようとする課題】
【0008】
従来、暗号化通信における通信の種別を判定する場合には、暗号通信ソフトから送信されるトラヒックの特徴に注目し、暗号化によっても隠しきれない、暗号文データに含まれる特徴(通信状態情報)を抽出することにより、監視が行われていた。この監視においては、ネットワーク管理者が暗号文データを手動により収集し、試行錯誤しながら通信状態情報を発見していた。これにより、いくつかの暗号通信ソフトの検知を行うことはできているものの、通信アプリケーションや正常利用されている暗号化プロトコルを推定するには至っていない。また、今後、多種多様な暗号通信ソフトが出現することが予想されており、手動による分析では特徴を把握するための作業工数が多く、時間が掛かるという問題があった。
【0009】
本発明は、上述した問題点に鑑みてなされたものであって、作業工数を減らし、短時間で暗号化通信の特徴を抽出することができる暗号化通信特徴抽出装置、暗号化通信特徴抽出プログラムおよび記録媒体を提供することを目的とする。また、暗号化通信で用いられる通信アプリケーション等を推定することができる暗号化通信特徴抽出装置、暗号化通信特徴抽出プログラムおよび記録媒体を提供することも目的とする。
【課題を解決するための手段】
【0010】
本発明は上記の課題を解決するためになされたもので、請求項1に記載の発明は、試験データを生成する試験データ生成手段と、前記試験データに基づいた暗号文データを用いて外部の通信装置と暗号化通信を行う暗号化通信手段と、前記暗号文データを収集し、収集した前記暗号文データに基づいて、前記暗号化通信の特徴を示す第1の通信状態情報を抽出する第1の特徴抽出手段と、抽出された前記第1の通信状態情報と、前記暗号化通信の条件を示す条件情報とが関連付けられた特徴情報を生成する情報生成手段とを具備することを特徴とする暗号化通信特徴抽出装置である。
【0011】
請求項2に記載の発明は、請求項1に記載の暗号化通信特徴抽出装置において、外部の通信装置間で行われる暗号化通信において送信される暗号文データを収集し、収集した前記暗号文データに基づいて、前記外部の通信装置間で行われる暗号化通信の特徴を示す第2の通信状態情報を抽出する第2の特徴抽出手段と、前記第1の通信状態情報と前記第2の通信状態情報とを比較し、比較結果と前記条件情報とに基づいて、前記外部の通信装置間で行われる暗号化通信の種別を判定する判定手段とをさらに具備することを特徴とする。
【0012】
請求項3に記載の発明は、請求項1に記載の暗号化通信特徴抽出装置において、前記判定手段は、前記第1の通信状態情報の内容と前記第2の通信状態情報の内容とが一致した場合に、前記条件情報によって示される条件が、前記外部の通信装置間で行われる暗号化通信において適用されていると判定することを特徴とする。
【0013】
請求項4に記載の発明は、請求項1に記載の暗号化通信特徴抽出装置において、前記判定手段は、前記第1の通信状態情報の内容と前記第2の通信状態情報の内容との相関度を示す相関値を算出し、該相関値に基づいた前記相関度が所定以上であった場合に、前記条件情報によって示される条件が、前記外部の通信装置間で行われる暗号化通信において適用されていると判定することを特徴とする。
【0014】
請求項5に記載の発明は、請求項1に記載の暗号化通信特徴抽出装置において、前記暗号化通信の種別は、使用される通信アプリケーション、暗号通信ソフト、および暗号化プロトコルの組合せを示すことを特徴とする。
【0015】
請求項6に記載の発明は、試験データを生成するステップと、前記試験データに基づいた暗号文データを用いて外部の通信装置と暗号化通信を行うステップと、前記暗号文データを収集するステップと、収集した前記暗号文データに基づいて、前記暗号化通信の特徴を示す第1の通信状態情報を抽出するステップと、抽出した前記第1の通信状態情報と、前記暗号化通信の条件を示す条件情報とが関連付けられた特徴情報を生成するステップとをコンピュータに実行させるための暗号化通信特徴抽出プログラムである。
【0016】
請求項7に記載の発明は、請求項6に記載の暗号化通信特徴抽出プログラムにおいて、外部の通信装置間で行われる暗号化通信において送信される暗号文データを収集するステップと、収集した前記暗号文データに基づいて、前記外部の通信装置間で行われる暗号化通信の特徴を示す第2の通信状態情報を抽出するステップと、前記第1の通信状態情報と前記第2の通信状態情報とを比較し、比較結果と前記条件情報とに基づいて、前記外部の通信装置間で行われる暗号化通信の種別を判定するステップとをさらに具備することを特徴とする。
【0017】
請求項8に記載の発明は、請求項7に記載の暗号化通信特徴抽出プログラムにおいて、前記外部の通信装置間で行われる暗号化通信の種別を判定するステップにおいては、前記第1の通信状態情報の内容と前記第2の通信状態情報の内容とが一致した場合に、前記条件情報によって示される条件が、前記外部の通信装置間で行われる暗号化通信において適用されていると判定することを特徴とする。
【0018】
請求項9に記載の発明は、請求項7に記載の暗号化通信特徴抽出プログラムにおいて、前記外部の通信装置間で行われる暗号化通信の種別を判定するステップにおいては、前記第1の通信状態情報の内容と前記第2の通信状態情報の内容との相関度を示す相関値を算出し、該相関値に基づいた前記相関度が所定以上であった場合に、前記条件情報によって示される条件が、前記外部の通信装置間で行われる暗号化通信において適用されていると判定することを特徴とする。
【0019】
請求項10に記載の発明は、請求項7に記載の暗号化通信特徴抽出プログラムにおいて、前記暗号化通信の種別は、使用される通信アプリケーション、暗号通信ソフト、および暗号化プロトコルの組合せを示すことを特徴とする。
【0020】
請求項11に記載の発明は、請求項6〜請求項10のいずれかの項に記載の暗号化通信特徴抽出プログラムが記録されたコンピュータ読み取り可能な記録媒体である。
【発明の効果】
【0021】
本発明によれば、作業工数を減らし、短時間で暗号化通信の特徴を抽出することができるという効果が得られる。また、暗号化通信で用いられる通信アプリケーション等を推定することができるという効果が得られる。
【発明を実施するための最良の形態】
【0022】
以下、図面を参照し、本発明を実施するための最良の形態について説明する。図1は、本発明の一実施形態による通信システムの構成を示すブロック図である。以下、図中の各構成について説明する。本通信システムは、暗号化通信特徴抽出装置1、試験用ホスト2、暗号化通信判定装置3、ホスト4、ホスト5、およびネットワーク100を備えている。暗号化通信特徴抽出装置1は、試験時に試験用のパケットからなる試験データを生成し、試験データに基づいて試験用ホスト2との間で行う暗号化通信によって送受信される暗号文データを収集する。また、暗号化通信特徴抽出装置1は、収集した暗号文データに基づいて、暗号化によっても隠蔽しきれない通信状態情報を、暗号化通信の特徴として抽出し、記憶する。試験用ホスト2は、ネットワーク100を介して暗号化通信特徴抽出装置1と試験のための暗号化通信を行う。
【0023】
暗号化通信判定装置3は、ホスト4とホスト5との間で行われる暗号化通信を監視し、暗号化通信特徴抽出装置1によって抽出された暗号化通信の特徴に基づいて、暗号化通信の種別(通信アプリケーション、暗号通信ソフト、および暗号化プロトコルの種別)を判定する。ホスト4およびホスト5は、試験用ホスト2と同様の構成を備え、互いの間で暗号化通信を行う。
【0024】
暗号化通信特徴抽出装置1、試験用ホスト2、暗号化通信判定装置3、ホスト4、およびホスト5は、固定型あるいは携帯型のパーソナルコンピュータ、または外部通信機能を備えた携帯情報端末等の通信装置によって構成可能である。本通信システムには、上述したホスト以外の図示せぬ他のホストも含まれているとする。ネットワーク100は有線あるいは無線のLAN(Local Area Network)等の小ネットワーク、または小ネットワークどうしを結ぶ基幹ネットワークの集合体としてのネットワークである。
【0025】
次に、暗号化通信特徴抽出装置1の構成について説明する。なお、図示していないが、暗号化通信特徴抽出装置1は、下記の構成以外にも、ユーザーによって操作されるキーボードやマウス等からなる操作部、情報を表示する液晶ディスプレイ等の表示部、および暗号化通信特徴抽出装置1の各構成を制御する制御部等の構成を備えている。暗号化通信特徴抽出装置1において、通信アプリケーション10は、HTTP、Mail、FTP等のプロトコルに基づいて、各種の通信用のデータを処理する。暗号化通信特徴抽出装置1には複数の通信アプリケーションソフトが予めインストールされており、各通信アプリケーションソフトの機能に対応した機能手段である通信アプリケーション10a〜10cが用意されている。
【0026】
暗号通信ソフト11は、標準化された暗号化プロトコルを用いて暗号化通信を行う。暗号化通信特徴抽出装置1には複数の暗号通信ソフトが予めインストールされ、各暗号通信ソフトの機能に対応した機能手段である暗号通信ソフト11a〜11cが用意されている。暗号通信ソフト11aにおいて、暗号化プロトコル処理部110aは、所定の暗号化プロトコルに基づいて暗号化および復号化を行う。図示されていないが、暗号通信ソフト11bおよび11cも暗号化プロトコル処理部を備えている。
【0027】
暗号化プロトコル処理部12は、通信アプリケーション10によって作成された平文データの暗号化を行うと共に、試験用ホスト2から受信された暗号文データの復号化を行う。暗号化通信特徴抽出装置1には複数の暗号化プロトコルが予め実装されており、各暗号化プロトコルに基づいて暗号化および復号化を行う機能手段として、各暗号化プロトコルに対応した暗号化プロトコル処理部12a〜12cが用意されている。
【0028】
通信アプリケーション10の中で、アプリケーション自体が暗号化プロトコルに対応していないものは、暗号通信ソフト11を利用して暗号化通信を行う。この場合の暗号通信ソフト11の一例としてVPNクライアントソフトが挙げられる。また、通信アプリケーション10の中で、アプリケーション自体が暗号化プロトコルに対応しているものは、暗号化プロトコル処理部12を利用して暗号化通信を行う。この場合の通信アプリケーション10の一例としてHTTPS通信(SSLを介したHTTP通信)アプリケーションが挙げられ、それに対応した暗号化プロトコル処理部12が使用する暗号化プロトコルとしてHTTPS(SSL)暗号化プロトコルが挙げられる。
【0029】
外部通信部13はネットワーク100との接続用のインターフェースを備え、ホスト2等の他の通信装置との通信を制御する。スイッチ部14aは、試験時に動作する通信アプリケーション10を切り替える。スイッチ部14bは、試験時に動作する暗号通信ソフト11を切り替える。スイッチ部14cは、試験時に動作する暗号化プロトコル処理部12を切り替える。
【0030】
スイッチ部14a〜14cを機能させるためには、システムコールコマンドを利用する。例えば、ユーザーが図示せぬ操作部を操作して、「system(xxx)」と入力する。「xxx」には、通信アプリケーション、暗号通信ソフト、あるいは暗号化プロトコルの処理プロセスを指定する。操作部を介して入力された情報は制御部に出力され、その情報に基づいて制御部は、試験時に動作する通信アプリケーション、暗号通信ソフト、および暗号化プロトコルを設定する。
【0031】
通信アプリケーション、暗号通信ソフト、および暗号化プロトコルの組合せは、ユーザが自由に設定可能であるが、HTTPクライアントソフトが暗号化通信を行う場合には、HTTPS(SSL)暗号化プロトコルを使用する等、組合せが自動的に決定されるものもある。また、選択可能な組合せの例としては、VPNクライアントソフトを使用する場合、VPNサーバとの交渉時に使用する暗号化プロトコルとして、DES、3DEL、AES等の暗号化プロトコルの中からいずれかを選択することができる。
【0032】
試験データ生成部15は、試験用のパケットからなる平文の試験データを生成し、スイッチ部14aを介して通信アプリケーション10へ出力する。試験データ生成部15は、通信状態情報が抽出されやすくするため、通信アプリケーション10から特徴的なデータが出力されるようなデータの生成を行う。例えば、試験データ生成部15は、平文データサイズが1Byte、64Byte、あるいは1MByte等となる試験データを生成したり、生成した試験データを1秒間隔あるいは1分間隔等のタイミングで出力したりする。
【0033】
暗号文データ収集部16は、外部通信部13を介して、暗号化通信特徴抽出装置1と試験用ホスト2との間で送受信される暗号文データを収集し、暗号文データ自体が有する情報(パケットサイズ、プロトコル、Destination Port等)や、暗号文データを用いた通信の特徴を示す情報(後述する通信セッションの開始間隔やパケット送受信方向の関係等)等に基づいて通信状態情報を抽出する。
【0034】
特徴併合部17は、試験データ生成部15によって生成された試験用の平文データの発生条件等の情報と、試験時に使用された通信アプリケーション等の組合せの情報(条件情報)と、暗号文データ収集部16によって抽出された通信状態情報とを対応付けることにより特徴情報を生成し、特徴情報を記憶部18中の特徴DBに格納する。試験データと暗号文データとの対応付けは、例えば通信セッションごととし、同一の通信セッションにおける試験データと暗号文データとを関係付けることとする。
【0035】
記憶部18はハードディスク等の記録媒体や、記録媒体に対するデータの読み書き(データの記録および読み出し)を行う回路等を備えている。この記憶部18は、暗号化通信特徴抽出装置1の動作を規定するプログラムの他、各種のデータや暗号化通信特徴抽出装置1の設定情報等を記憶すると共に、特徴併合部17によって生成された特徴情報をデータベース(特徴DB)として記憶している。
【0036】
次に、暗号化通信判定装置3の構成について説明する。暗号化通信判定装置3は、図示せぬネットワークを介してあるいは直接ネットワーク100に接続されており、また、図示せぬネットワークあるいは専用線を介して暗号化通信特徴抽出装置1に接続されている。暗号化通信判定装置3は、ホスト4とホスト5との間で行われる暗号化通信において送受信される暗号文データを収集すると共に、暗号化通信特徴抽出装置1が備える記憶部18の特徴DBから特徴情報を読み出し、暗号文データと特徴情報とを用いて両者の比較および分析を行う。また、暗号化通信判定装置3は、上記の比較および分析の結果から、ホスト4とホスト5との間の暗号化通信に用いられている通信アプリケーション、暗号通信ソフト、および暗号化プロトコルの組合せを推定する。
【0037】
暗号化通信判定装置3において、暗号文データ収集部30は、図示せぬインターフェースを介して、ホスト4とホスト5との間で送受信される暗号文データを収集し、暗号化通信特徴抽出装置1の暗号文データ収集部16が行う動作と同様にして、暗号文データ自体が有する情報や、暗号文データを用いた通信の特徴を示す情報等に基づいて通信状態情報を抽出する。暗号判定部31は、通信により暗号化通信特徴抽出装置1にアクセスして記憶部18の特徴DBから特徴情報を読み出し、暗号文データ収集部30によって抽出された通信状態情報と特徴情報との比較および分析を行う。また、暗号判定部31は、比較および分析の結果から、暗号化通信に用いられている通信アプリケーション、暗号通信ソフト、および暗号化プロトコルの組合せを推定する。
【0038】
なお、図示していないが、暗号化通信判定装置3は、上述した構成以外にも、ユーザーによって操作されるキーボードやマウス等からなる操作部、情報を表示する液晶ディスプレイ等の表示部、暗号文データ収集部30によって抽出された通信状態情報の他、各種の情報を記憶する記憶部、および暗号化通信判定装置3の各構成を制御する制御部等の構成を備えている。
【0039】
次に、暗号文データ収集部16および暗号文データ収集部30によって抽出される通信状態情報について説明する。以下に通信状態情報を列挙する。
(1)通信セッションの発生間隔
(2)通信セッション中のパケット発生間隔
(3)通信セッション中のパケットサイズ
(4)通信セッション中の総パケット数
(5)通信セッション中のパケット送受信方向の関係
(6)通信セッション中のパケット送受信数方向比
(7)通信セッション中のプロトコル占有率
(8)通信セッション開始時の各パケットサイズ
(9)通信セッション開始時の総パケット数
(10)通信セッション開始時の総データサイズ
(11)長期間のSource/Destination IP分布
(12)長期間のDestination Port分布
(13)長期間のDNSサーバへの問い合わせの有無
(14)通信アプリケーション側から何も送信していないときに送信される暗号文データの有無
【0040】
(1)通信セッションの発生間隔は、連続する通信セッションの開始時刻どうしの差あるいは終了時刻どうしの差である。図2(a)におけるイベントα1〜α3がそれぞれ1つの通信セッションであるとすると、例えばイベントα1およびイベントα2の開始時刻の差Xα1が通信セッションの発生間隔である。暗号文データ収集部16および暗号文データ収集部30はXα1,Xα2,Xα3・・・を測定し、それら個々の情報あるいはそれらの平均値等を特徴情報とする。なお、通信セッションの開始および終了は、同じSource IPとDestination IPの組合せの通信による暗号文データの流れを監視することにより行い、例えば通信セッションの開始後、一定時間以上暗号文データの送受信が行われなかった場合(すなわち一定時間以上暗号文データを収集できなかった場合)に通信セッションの終了を検出する。また、通信セッションの終了を検出した後、次の暗号文データの送受信が行われた場合(すなわち次の暗号文データを収集した場合)に、通信セッションの開始を検出する。
【0041】
(2)通信セッション中のパケット発生間隔は、連続するパケットの到着時刻どうしの差である。図2(b)におけるイベントα1〜α3およびイベントβ1〜β2がパケットであるとすると、例えばイベントα1およびイベントα2の発生時刻の差Xα1がパケット発生間隔である。イベントα1〜α3とイベントβ1〜β2はパケットの送信方向(暗号化通信特徴抽出装置1から試験用ホスト2へ送信される方向、および試験用ホスト2から暗号化通信特徴抽出装置1へ送信される方向)が異なっており、暗号文データ収集部16および暗号文データ収集部30は送信方向ごとにパケット発生間隔を測定し、それら個々の情報あるいはそれらの平均値等を特徴情報とする。
【0042】
(3)通信セッション中のパケットサイズは、送受信される各パケットのサイズである。暗号文データ収集部16および暗号文データ収集部30は送信方向ごとに各パケットのサイズを検出し、それら個々の情報あるいはそれらの平均値等を特徴情報とする。(4)通信セッション中の総パケット数は1つの通信セッションにおいて送信または受信されたパケットの総数である。暗号文データ収集部16および暗号文データ収集部30は送信方向ごとに通信セッション中のパケットの総数を算出し、それを特徴情報とする。
【0043】
(5)通信セッション中のパケット送受信方向の関係は、各パケットの送信方向を示す情報であり、特に、3回同じ送信方向のパケットが続いた後、1回逆方向のパケットが検出され、それが繰り返されるというような規則的な送信方向の関係が検出された場合には、その関係が特徴情報となる。(6)通信セッション中のパケット送受信数方向比はRsおよびRrとして以下のように定義される。通信を行う2つのホストのうち、通信セッションの開始側のホストをA、もう一方のホストをBとした場合に、AとBとの間で送受信されたパケットの総数(総パケット数)と、AからBへ向けて送信されたパケットの数との比がRsである。また、総パケット数と、BからAへ向けて送信されたパケットの数との比がRrである。これらRsおよびRrが特徴情報となる。
【0044】
(7)通信セッション中のプロトコル占有率は、パケットに含まれるヘッダの情報に基づいて検出されるプロトコルを全パケットについて数え上げ、それらの総数に占める各プロトコルの検出数の割合をプロトコルごとに算出したものである。暗号文データ収集部16および暗号文データ収集部30は、収集したパケットのヘッダを参照し、ICMP(Internet Message Control Protocol)、TCP(Transmission Control Protocol)、UDP(User Datagram Protocol)等のプロトコルを検出する。暗号文データ収集部16および暗号文データ収集部30は各パケットについてプロトコルを検出し、通信セッション中において検出した各プロトコルの検出数を計上する。1つのパケットについて複数のプロトコルを検出した場合には、各プロトコルそれぞれの検出数を計上する。暗号文データ収集部16および暗号文データ収集部30は各プロトコルの占有率を算出し、それらを特徴情報とする。
【0045】
(8)通信セッション開始時の各パケットサイズは、通信セッションの開始時に、暗号化および復号化に用いられる鍵の交換のために送受信される各パケットのサイズである。(9)通信セッション開始時の総パケット数および(10)通信セッション開始時の総データサイズも同様にそれぞれ、通信セッションの開始時に暗号化および復号化に用いられる鍵の交換のために送受信されるパケットについての総パケット数および総データサイズである。
【0046】
(11)長期間のSource/Destination IP分布は、複数の通信セッションにわたって検出されたSource/Destination IPの分布である。Source/Destination IPはパケットの送信元および送信先のそれぞれのホストのIPアドレスである。P2P通信ソフトを使用した通信においては、図3に示されるように、Source IPを有するホストから複数の異なるDestination IPのホストへ問い合わせが行われる。暗号文データ収集部16および暗号文データ収集部30は、収集したパケットからSource/Destination IPを検出し、Source IPおよびDestination IPごとに検出数を計上することにより、Source/Destination IPとその検出数とが対応付けられたSource/Destination IP分布を生成し、それを特徴情報とする。(12)長期間のDestination Port分布は、同様に、複数の通信セッションにわたって検出されたSource/Destination Portの分布である。
【0047】
(13)長期間のDNSサーバへの問い合わせの有無は、複数の通信セッションの間にDNSサーバへの問い合わせがあったかどうかを示す情報である。(14)通信アプリケーション側から何も送信していないときに送信される暗号文データの有無は、暗号化通信路を管理するために送受信される制御用パケットの有無を示す情報である。
【0048】
なお、パケット発生間隔やパケットサイズについては、それらを長期間観測することにより、それらの分布を得ることができるので、その分布を通信状態情報としてもよい。
【0049】
暗号文データ収集部16および暗号文データ収集部30は上記のような通信状態情報を抽出するが、Destination PortおよびSource/Destination IPの分布については、事象の発生確率を示す状態確率あるいは以下の情報エントロピーにより、分布のばらつきの度合を数値化する。情報エントロピー値Hは次式によって表される。pは各事象(Destination PortおよびSource/Destination IP)の検出数であり、kは各事象の総数である。
【0050】
【数1】
【0051】
次に、記憶部18の特徴DBに格納される情報について説明する。図4は、特徴DBに格納される情報(テーブル)の内容を示している。特徴DBには、試験条件テーブル、組合せ条件テーブル、およびサイドチャネルテーブルが格納されている。試験条件テーブル(図4(a))には、試験データ生成部15によって生成された試験データ(平文データ)の発生条件等が記録されている。試験は通常複数回行われ、各回の試験の条件を識別する情報がTest data IDであり、Test data IDごとにパケットサイズや送信間隔、ファイルサイズ等の情報が関連付けられている。
【0052】
組合せ条件テーブル(図4(b))には、暗号化通信特徴抽出装置1において設定される通信アプリケーション、暗号通信ソフト、および暗号化プロトコルの組合せが記録されている。各組合せは、Combination IDによって識別可能である。組合せ条件テーブルは、試験開始前にユーザーが操作部を介して入力する等により、予め作成されて特徴DBに格納されている。なお、暗号通信ソフトと暗号化プロトコルはどちらか片方が通信アプリケーションと対をなしている。
【0053】
サイドチャネルテーブル(図4(c)および(d))には、暗号文データ収集部16によって収集された通信状態情報が記録されている。図4(c)は、通信セッションの発生間隔を例とし、個々の値を通信状態情報とした場合のサイドチャネルテーブルを示している。また、図4(d)は、同じく通信セッションの発生間隔を例とし、長期間に収集された通信セッションの発生間隔の分布から求めた状態確率を通信状態情報とした場合のサイドチャネルテーブルを示している。
【0054】
通信状態情報はData IDによって識別可能であり、各Data IDの通信状態情報に対して、その通信状態情報が得られた試験の条件を識別するためのTest IDと、その通信状態情報が得られた試験における暗号化通信特徴抽出装置1の暗号化通信の種別を識別するためのCombination IDとが関係付けられている。試験条件テーブルとサイドチャネルテーブルは、Test data IDにより関係付けられており、組合せ条件テーブルとサイドチャネルテーブルは、Combination IDにより関係付けられている。
【0055】
なお、同じ条件下で複数回試験を行っても結果の変わらない固定パターンの通信状態情報に対しては、固定パターンであることを示すフラグ等の情報が付加される。
【0056】
次に、暗号判定部31による暗号化通信の種別の推定について説明する。暗号判定部31は、暗号文データ収集部30によって抽出された通信状態情報と、暗号化通信特徴抽出装置1の記憶部18の特徴DBから読み出した情報とを比較する。暗号判定部31は例えば、暗号文データ収集部30によって抽出された通信状態情報と、サイドチャネルテーブルにおける固定パターンの情報とを比較する。両者が一致した場合には、暗号判定部31は、その固定パターンの情報に関連付けられているCombination IDを参照し、同じCombination IDを有する組合せ条件テーブル中の組合せが通信中のホストに適用されていると判断する。
【0057】
暗号判定部31による処理は以下のようであってもよい。すなわち、通信状態情報のうち、グラフ化できるものについては相関分析を適用し、収集された暗号文データから得られた通信状態情報と、特徴DBに記録された通信状態情報との間の相関度が高い場合に、そのときの試験条件から暗号化通信の種別を判定する。以下、相関分析を用いた判定法について説明する。
【0058】
xiを、一般のネットワーク上で収集された通信状態情報の分布を示すグラフのi番目のプロットとし、yiを、特徴DBに記録された通信状態情報の分布を示すグラフのi番目のプロットとすると、両者のグラフの相関度は以下の[数2]〜[数4]によって算出される。γ(相関値)は−1〜1の範囲になり、1に近づくほど相関度が高く、両者のグラフが類似しているといえる。γが−(マイナス)の場合には、ミラーの関係になっており、xが増加するときにyは減少する関係にある。
【0059】
【数2】
【0060】
【数3】
【0061】
【数4】
【0062】
暗号判定部31は、暗号文データ収集部30によって抽出された通信状態情報の分布と、特徴DBから読み出した通信状態情報の分布とに基づいて、[数2]によって示されるγを算出し、γが所定値以上であるかどうかを判定する。γが所定値以上であった場合には、暗号判定部31は、両者の相関度が高いと判断し、特徴DBに記録された通信状態情報に関連付けられたCombination IDを有する組合せ条件テーブル中の組合せが通信中のホストに適用されていると判断する。γとの比較に用いる所定値を1により近い値とすれば、推定の精度を高めることができる。
【0063】
次に、本実施形態による通信システムの一連の処理について、図5および図6を用いて説明する。図5は特徴抽出処理の手順を示している。まず、利用する通信アプリケーション、暗号化通信ソフト、および暗号化プロトコルの組合せや試験条件等が決定される(ステップS501)。これは、例えばユーザによって図示せぬ操作部を介して入力された情報に基づいて、暗号化通信特徴抽出装置1の制御部が行う。このとき、スイッチ部14a〜14cによる切替が設定される。続いて、ユーザによる試験開始指示の入力等をトリガとして、試験データ生成部15は試験データの生成を開始し、スイッチ部14aを介して通信アプリケーション10へ試験データを出力する(ステップS502)。
【0064】
通信アプリケーション10は、試験データに基づいて平文データを生成し、ステップS501における設定に応じて、スイッチ部14bを介して暗号通信ソフト11へ、あるいはスイッチ部14cを介して暗号化プロトコル処理部12へ平文データを出力する。暗号通信ソフト11あるいは暗号化プロトコル処理部12は、所定の暗号化プロトコルを用いて平文データを暗号文データに変換し、外部通信部13へ出力する(ステップS503)。外部通信部13は、ネットワーク100を介して試験用ホスト2へ暗号文データを送信する。また、外部通信部13は、暗号文データを暗号文データ収集部16へ出力する(ステップS504)。
【0065】
続いて、暗号文データ収集部16は、試験データの情報(試験データの識別番号等の情報)と、受信された暗号文データの情報(暗号文データ自体とその受信時刻等)とを関連付け、それらの情報を記憶部18に一旦格納する(ステップS505)。続いて、試験の設定条件等に基づいて、図示せぬ制御部によって試験を終了するかどうかが判定される(ステップS506)。試験を続ける場合には、ステップS501に戻り、同様の処理を繰り返す。また、試験を終了する場合には、ステップS507へ進む。
【0066】
ステップS507において、暗号文データ収集部16は、ステップS505において記録した情報を記憶部18から読み出し、その情報に基づいて通信状態情報を生成して特徴併合部17へ出力する。特徴併合部17は、試験データ生成部15による試験データの発生条件等の情報と、暗号化通信特徴抽出装置1において設定される通信アプリケーション、暗号通信ソフト、および暗号化プロトコルの組合せの情報と、通信状態情報とを関連付けることにより、特徴情報を生成し、特徴情報を記憶部18中の特徴DBに格納する。
【0067】
なお、試験条件や、通信アプリケーション等の組合せを変更して再度試験を行う場合には、ステップS501〜S507の処理が繰り返される。また、ステップS501〜S505における処理の間に試験用ホスト2から暗号文データが送信された場合には、以下の処理が行われる。外部通信部13は、ネットワーク100を介してそれを受信し、ステップS501における設定に応じて、暗号通信ソフト11あるいは暗号化プロトコル処理部12へ暗号文データを出力する。暗号通信ソフト11あるいは暗号化プロトコル処理部12は、所定の暗号化プロトコルを用いて暗号文データを平文データに変換し、通信アプリケーション10へ出力する。また、外部通信部13は、受信した平文データを暗号文データ収集部16へ出力する。暗号文データ収集部16は、ステップS505と同様に暗号文データ等の情報を記憶部18に一旦格納する。
【0068】
図6は暗号化通信判定処理の手順を示している。まず、暗号文データ収集部30は、ホスト4とホスト5との間で送受信される暗号文データを収集し、暗号文データの情報(暗号文データ自体とその受信時刻等)を図示せぬ記憶部に格納する(ステップS601)。続いて、暗号文データ収集部30は、収集した暗号文データの数と所定のしきい値との比較等により、暗号化通信の種別の判定に十分なデータを収集したかどうか判定する(ステップS602)。判定に十分なデータを収集していないと判定した場合には、ステップS601へ戻り、暗号文データの収集を続ける。
【0069】
また、判定に十分なデータを収集したと判定した場合には、暗号文データ収集部30は、ステップS601において記録した情報を記憶部から読み出し、その情報に基づいて通信状態情報を生成して暗号判定部31へ出力する(ステップS603)。暗号判定部31は、暗号化通信特徴抽出装置1にアクセスして記憶部18の特徴DBから特徴情報を読み出し、暗号文データ収集部30によって抽出された通信状態情報と特徴情報とを比較する。暗号判定部31は、前述した手法により、ホスト4とホスト5との間で行われている暗号化通信において使用されている通信アプリケーション、暗号化通信ソフト、および暗号化プロトコルを判定する(ステップS604)。暗号判定部31によって判定された結果は記憶部に格納され、適宜、ユーザの指示によって読み出され、例えば図示せぬ表示部に表示される。
【0070】
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成はこれらの実施の形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、本実施形態においては、試験用の通信を行う機能と、暗号文データに基づいて暗号化通信の特徴を抽出する機能とを暗号化通信特徴抽出装置1が備えているが、両者の機能を別々の装置が備えるようにしてもよい。また、暗号化通信特徴抽出装置1と暗号化通信判定装置3とを一体の装置として構成してもよい。また、暗号化通信判定装置3は、ホスト4とホスト5との間で行われる暗号化通信以外の暗号化通信を監視し、その通信の種別を判定することも可能である。
【0071】
また、上述した実施形態による暗号化通信特徴抽出装置は、その動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させることにより実現してもよい。
【0072】
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0073】
また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータにすでに記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
【0074】
上述したように、本実施形態によれば、試験データに基づいた暗号化通信において送信される暗号文データを自動的に収集し、その暗号文データに基づいて通信状態情報を抽出するようにしたので、作業工数を減らし、短時間で暗号化通信の特徴を抽出することができる。また、ネットワーク上で行われる暗号化通信において送信される暗号文データを収集すると共に、その暗号文データに基づいて通信状態情報を抽出し、抽出した通信状態情報と、試験時の通信状態情報とを比較して、両者が一致した場合、あるいは両者の間に高い相関性が認められる場合に、試験時の暗号化通信の種別と推定対象の暗号化通信の種別とが一致すると判定することにより、一般の暗号化通信において用いられている通信アプリケーション、暗号通信ソフト、および暗号化プロトコルの種類を推定することができる。これにより、意図しない暗号化パスを排除する等、ネットワークの帯域制御や優先制御に有効に活用することができるようになる。
【図面の簡単な説明】
【0075】
【図1】本発明の一実施形態による通信システムの構成を示すブロック図である。
【図2】同実施形態における通信セッションの開始間隔およびパケット発生間隔を説明するための参考図である。
【図3】同実施形態におけるSource/Destination IP分布を説明するための参考図である。
【図4】同実施形態における特徴DBに格納される情報の内容を示す参考図である。
【図5】同実施形態における特徴抽出処理の手順を示すフローチャートである。
【図6】同実施形態における暗号化通信判定処理の手順を示すフローチャートである。
【符号の説明】
【0076】
1・・・暗号化通信特徴抽出装置、2・・・試験用ホスト、3・・・暗号化通信判定装置、4,5・・・ホスト、10,10a,10b,10c・・・通信アプリケーション(暗号化通信手段)、11,11a,11b,11c・・・暗号通信ソフト(暗号化通信手段)、12,12a,12b,12c,110a・・・暗号化プロトコル処理部(暗号化通信手段)、13・・・外部通信部(暗号化通信手段)、14a,14b,14c・・・スイッチ部、15・・・試験データ生成部、16・・・暗号文データ収集部(第1の特徴抽出手段)、17・・・特徴併合部(情報生成手段)、18・・・記憶部、30・・・暗号文データ収集部(第2の特徴抽出手段)、31・・・暗号判定部(判定手段)、100・・・ネットワーク。
【技術分野】
【0001】
本発明は、暗号化通信における暗号文データから、暗号化通信の特徴を抽出する暗号化通信特徴抽出装置、暗号化通信特徴抽出プログラムおよび記録媒体に関する。
【背景技術】
【0002】
暗号化通信の利用が広がる中、悪意のパケットを暗号化して通信することによるネットワーク資源の浪費が問題となってきた。ネットワーク管理者にとって、暗号化パスを流れる通信の種別を把握することは重要である。以下、従来の暗号化通信において用いられる技術について説明する。
【0003】
通信アプリケーションの代表的なものにはHTTP(Hyper Text Transfer Protocol)、Mail、FTP(File Transfer Protocol)等がある。HTTPは、Webサーバ上のホームページを閲覧するときに用いられるプロトコルである。Mailは電子メールをMailサーバに送信したり、Mailサーバ間で送受信するときに用いられるプロトコルである。FTPは、FTPサーバ上におけるファイルの送受信に利用されるプロトコルである。
【0004】
昨今、標準化された暗号化プロトコルを用いてP2P(peer-to-peer)ネットワークを構築する暗号通信ソフト(P2P通信ソフト)が多く出回っている。例えば、一般的なSSL(Secure Socket Layer)暗号化プロトコルを利用して、通信アプリケーションから出力される平文のパケット全体を暗号化して通信する暗号通信ソフトがある。P2P通信ソフトの普及が広がる中、P2P通信ソフトから出力される暗号トラヒック量が膨大になっているという報告がある(例えば非特許文献2および非特許文献3参照)。P2P通信ソフトの多くは、標準化された暗号化プロトコルを利用するため、P2P通信ソフトによる通信と、正常利用される暗号通信ソフトによる通信とを見分けることはできないとされている。
【0005】
また、暗号化プロトコルの代表的なものにはSSL(TLS)やIPSecがある。IETF(Internet Engineering Task Force)において、SSL(Secure Socket Layer)はTLS(Transport Layer Security)という名前で標準化されている。SSLは主にトランスポート層で通信アプリケーションからのデータを暗号化しており、柔軟な仕組みを持つことから、各種通信アプリケーションの暗号化に広く適用されている。
【0006】
IPSecは、IPパケットをパケット単位で暗号化するプロトコルである。IPSecにおける通信では、IPパケットのデータ部分のみを暗号化するトランスポートモードと、IPのヘッダまでを含めたIPパケット全体を暗号化するトンネルモードがある。トンネルモードは、主に、ネットワークゲートウェイ(N−GW)どうしを接続して、VPN(Virtual Private Network)を構築するときに利用される。トンネルモードを利用するVPNの中を流れるパケットでは、ヘッダやデータ部の全てが隠蔽されてしまい、パケットからは、利用しているアプリケーションを知ることはできない。
【0007】
通信の特徴を検知する技術は、例えば非特許文献3に開示されている。非特許文献3においては、HTTP通信および暗号化されたP2P通信に関するパケット到着間隔、セッション継続時間、総通信サイズ、および通信速度が調査されている。しかし、この技術は、ネットワーク帯域設計や制御のためにトラヒック特性を調査することを目的としたものであり、P2P通信ソフトを識別することや、P2P通信ソフトによって構築された暗号化パス上を流れる通信アプリケーションを推定する技術ではない。一方、暗号化通信機能を持つP2P通信ソフトから発信される暗号通信セッションを検知することができる市販製品が登場しているが、検知の仕組みに関する詳細な資料は公知にされていない。
【非特許文献1】岡田明宏、他1名,「IP網におけるトラヒック特性分析の一考察」,電子情報通信学会,NS研究会,NS2003−5(2003−04),2003年
【非特許文献2】亀井聡、他2名,「P2Pファイル共有の実態と課題−トラヒック測定・設計・制御・管理法の確立に向けて」,電子情報通信学会,CQ研究会,CQ2003−7(2003−40),2003年
【非特許文献3】森達哉、他2名,「インターネットトラヒックのフロー分析:webとP2Pの特性評価」,電子情報通信学会論文誌,D−I,Vol.J87−D−1,No.5,pp.561−571,2004年5月
【発明の開示】
【発明が解決しようとする課題】
【0008】
従来、暗号化通信における通信の種別を判定する場合には、暗号通信ソフトから送信されるトラヒックの特徴に注目し、暗号化によっても隠しきれない、暗号文データに含まれる特徴(通信状態情報)を抽出することにより、監視が行われていた。この監視においては、ネットワーク管理者が暗号文データを手動により収集し、試行錯誤しながら通信状態情報を発見していた。これにより、いくつかの暗号通信ソフトの検知を行うことはできているものの、通信アプリケーションや正常利用されている暗号化プロトコルを推定するには至っていない。また、今後、多種多様な暗号通信ソフトが出現することが予想されており、手動による分析では特徴を把握するための作業工数が多く、時間が掛かるという問題があった。
【0009】
本発明は、上述した問題点に鑑みてなされたものであって、作業工数を減らし、短時間で暗号化通信の特徴を抽出することができる暗号化通信特徴抽出装置、暗号化通信特徴抽出プログラムおよび記録媒体を提供することを目的とする。また、暗号化通信で用いられる通信アプリケーション等を推定することができる暗号化通信特徴抽出装置、暗号化通信特徴抽出プログラムおよび記録媒体を提供することも目的とする。
【課題を解決するための手段】
【0010】
本発明は上記の課題を解決するためになされたもので、請求項1に記載の発明は、試験データを生成する試験データ生成手段と、前記試験データに基づいた暗号文データを用いて外部の通信装置と暗号化通信を行う暗号化通信手段と、前記暗号文データを収集し、収集した前記暗号文データに基づいて、前記暗号化通信の特徴を示す第1の通信状態情報を抽出する第1の特徴抽出手段と、抽出された前記第1の通信状態情報と、前記暗号化通信の条件を示す条件情報とが関連付けられた特徴情報を生成する情報生成手段とを具備することを特徴とする暗号化通信特徴抽出装置である。
【0011】
請求項2に記載の発明は、請求項1に記載の暗号化通信特徴抽出装置において、外部の通信装置間で行われる暗号化通信において送信される暗号文データを収集し、収集した前記暗号文データに基づいて、前記外部の通信装置間で行われる暗号化通信の特徴を示す第2の通信状態情報を抽出する第2の特徴抽出手段と、前記第1の通信状態情報と前記第2の通信状態情報とを比較し、比較結果と前記条件情報とに基づいて、前記外部の通信装置間で行われる暗号化通信の種別を判定する判定手段とをさらに具備することを特徴とする。
【0012】
請求項3に記載の発明は、請求項1に記載の暗号化通信特徴抽出装置において、前記判定手段は、前記第1の通信状態情報の内容と前記第2の通信状態情報の内容とが一致した場合に、前記条件情報によって示される条件が、前記外部の通信装置間で行われる暗号化通信において適用されていると判定することを特徴とする。
【0013】
請求項4に記載の発明は、請求項1に記載の暗号化通信特徴抽出装置において、前記判定手段は、前記第1の通信状態情報の内容と前記第2の通信状態情報の内容との相関度を示す相関値を算出し、該相関値に基づいた前記相関度が所定以上であった場合に、前記条件情報によって示される条件が、前記外部の通信装置間で行われる暗号化通信において適用されていると判定することを特徴とする。
【0014】
請求項5に記載の発明は、請求項1に記載の暗号化通信特徴抽出装置において、前記暗号化通信の種別は、使用される通信アプリケーション、暗号通信ソフト、および暗号化プロトコルの組合せを示すことを特徴とする。
【0015】
請求項6に記載の発明は、試験データを生成するステップと、前記試験データに基づいた暗号文データを用いて外部の通信装置と暗号化通信を行うステップと、前記暗号文データを収集するステップと、収集した前記暗号文データに基づいて、前記暗号化通信の特徴を示す第1の通信状態情報を抽出するステップと、抽出した前記第1の通信状態情報と、前記暗号化通信の条件を示す条件情報とが関連付けられた特徴情報を生成するステップとをコンピュータに実行させるための暗号化通信特徴抽出プログラムである。
【0016】
請求項7に記載の発明は、請求項6に記載の暗号化通信特徴抽出プログラムにおいて、外部の通信装置間で行われる暗号化通信において送信される暗号文データを収集するステップと、収集した前記暗号文データに基づいて、前記外部の通信装置間で行われる暗号化通信の特徴を示す第2の通信状態情報を抽出するステップと、前記第1の通信状態情報と前記第2の通信状態情報とを比較し、比較結果と前記条件情報とに基づいて、前記外部の通信装置間で行われる暗号化通信の種別を判定するステップとをさらに具備することを特徴とする。
【0017】
請求項8に記載の発明は、請求項7に記載の暗号化通信特徴抽出プログラムにおいて、前記外部の通信装置間で行われる暗号化通信の種別を判定するステップにおいては、前記第1の通信状態情報の内容と前記第2の通信状態情報の内容とが一致した場合に、前記条件情報によって示される条件が、前記外部の通信装置間で行われる暗号化通信において適用されていると判定することを特徴とする。
【0018】
請求項9に記載の発明は、請求項7に記載の暗号化通信特徴抽出プログラムにおいて、前記外部の通信装置間で行われる暗号化通信の種別を判定するステップにおいては、前記第1の通信状態情報の内容と前記第2の通信状態情報の内容との相関度を示す相関値を算出し、該相関値に基づいた前記相関度が所定以上であった場合に、前記条件情報によって示される条件が、前記外部の通信装置間で行われる暗号化通信において適用されていると判定することを特徴とする。
【0019】
請求項10に記載の発明は、請求項7に記載の暗号化通信特徴抽出プログラムにおいて、前記暗号化通信の種別は、使用される通信アプリケーション、暗号通信ソフト、および暗号化プロトコルの組合せを示すことを特徴とする。
【0020】
請求項11に記載の発明は、請求項6〜請求項10のいずれかの項に記載の暗号化通信特徴抽出プログラムが記録されたコンピュータ読み取り可能な記録媒体である。
【発明の効果】
【0021】
本発明によれば、作業工数を減らし、短時間で暗号化通信の特徴を抽出することができるという効果が得られる。また、暗号化通信で用いられる通信アプリケーション等を推定することができるという効果が得られる。
【発明を実施するための最良の形態】
【0022】
以下、図面を参照し、本発明を実施するための最良の形態について説明する。図1は、本発明の一実施形態による通信システムの構成を示すブロック図である。以下、図中の各構成について説明する。本通信システムは、暗号化通信特徴抽出装置1、試験用ホスト2、暗号化通信判定装置3、ホスト4、ホスト5、およびネットワーク100を備えている。暗号化通信特徴抽出装置1は、試験時に試験用のパケットからなる試験データを生成し、試験データに基づいて試験用ホスト2との間で行う暗号化通信によって送受信される暗号文データを収集する。また、暗号化通信特徴抽出装置1は、収集した暗号文データに基づいて、暗号化によっても隠蔽しきれない通信状態情報を、暗号化通信の特徴として抽出し、記憶する。試験用ホスト2は、ネットワーク100を介して暗号化通信特徴抽出装置1と試験のための暗号化通信を行う。
【0023】
暗号化通信判定装置3は、ホスト4とホスト5との間で行われる暗号化通信を監視し、暗号化通信特徴抽出装置1によって抽出された暗号化通信の特徴に基づいて、暗号化通信の種別(通信アプリケーション、暗号通信ソフト、および暗号化プロトコルの種別)を判定する。ホスト4およびホスト5は、試験用ホスト2と同様の構成を備え、互いの間で暗号化通信を行う。
【0024】
暗号化通信特徴抽出装置1、試験用ホスト2、暗号化通信判定装置3、ホスト4、およびホスト5は、固定型あるいは携帯型のパーソナルコンピュータ、または外部通信機能を備えた携帯情報端末等の通信装置によって構成可能である。本通信システムには、上述したホスト以外の図示せぬ他のホストも含まれているとする。ネットワーク100は有線あるいは無線のLAN(Local Area Network)等の小ネットワーク、または小ネットワークどうしを結ぶ基幹ネットワークの集合体としてのネットワークである。
【0025】
次に、暗号化通信特徴抽出装置1の構成について説明する。なお、図示していないが、暗号化通信特徴抽出装置1は、下記の構成以外にも、ユーザーによって操作されるキーボードやマウス等からなる操作部、情報を表示する液晶ディスプレイ等の表示部、および暗号化通信特徴抽出装置1の各構成を制御する制御部等の構成を備えている。暗号化通信特徴抽出装置1において、通信アプリケーション10は、HTTP、Mail、FTP等のプロトコルに基づいて、各種の通信用のデータを処理する。暗号化通信特徴抽出装置1には複数の通信アプリケーションソフトが予めインストールされており、各通信アプリケーションソフトの機能に対応した機能手段である通信アプリケーション10a〜10cが用意されている。
【0026】
暗号通信ソフト11は、標準化された暗号化プロトコルを用いて暗号化通信を行う。暗号化通信特徴抽出装置1には複数の暗号通信ソフトが予めインストールされ、各暗号通信ソフトの機能に対応した機能手段である暗号通信ソフト11a〜11cが用意されている。暗号通信ソフト11aにおいて、暗号化プロトコル処理部110aは、所定の暗号化プロトコルに基づいて暗号化および復号化を行う。図示されていないが、暗号通信ソフト11bおよび11cも暗号化プロトコル処理部を備えている。
【0027】
暗号化プロトコル処理部12は、通信アプリケーション10によって作成された平文データの暗号化を行うと共に、試験用ホスト2から受信された暗号文データの復号化を行う。暗号化通信特徴抽出装置1には複数の暗号化プロトコルが予め実装されており、各暗号化プロトコルに基づいて暗号化および復号化を行う機能手段として、各暗号化プロトコルに対応した暗号化プロトコル処理部12a〜12cが用意されている。
【0028】
通信アプリケーション10の中で、アプリケーション自体が暗号化プロトコルに対応していないものは、暗号通信ソフト11を利用して暗号化通信を行う。この場合の暗号通信ソフト11の一例としてVPNクライアントソフトが挙げられる。また、通信アプリケーション10の中で、アプリケーション自体が暗号化プロトコルに対応しているものは、暗号化プロトコル処理部12を利用して暗号化通信を行う。この場合の通信アプリケーション10の一例としてHTTPS通信(SSLを介したHTTP通信)アプリケーションが挙げられ、それに対応した暗号化プロトコル処理部12が使用する暗号化プロトコルとしてHTTPS(SSL)暗号化プロトコルが挙げられる。
【0029】
外部通信部13はネットワーク100との接続用のインターフェースを備え、ホスト2等の他の通信装置との通信を制御する。スイッチ部14aは、試験時に動作する通信アプリケーション10を切り替える。スイッチ部14bは、試験時に動作する暗号通信ソフト11を切り替える。スイッチ部14cは、試験時に動作する暗号化プロトコル処理部12を切り替える。
【0030】
スイッチ部14a〜14cを機能させるためには、システムコールコマンドを利用する。例えば、ユーザーが図示せぬ操作部を操作して、「system(xxx)」と入力する。「xxx」には、通信アプリケーション、暗号通信ソフト、あるいは暗号化プロトコルの処理プロセスを指定する。操作部を介して入力された情報は制御部に出力され、その情報に基づいて制御部は、試験時に動作する通信アプリケーション、暗号通信ソフト、および暗号化プロトコルを設定する。
【0031】
通信アプリケーション、暗号通信ソフト、および暗号化プロトコルの組合せは、ユーザが自由に設定可能であるが、HTTPクライアントソフトが暗号化通信を行う場合には、HTTPS(SSL)暗号化プロトコルを使用する等、組合せが自動的に決定されるものもある。また、選択可能な組合せの例としては、VPNクライアントソフトを使用する場合、VPNサーバとの交渉時に使用する暗号化プロトコルとして、DES、3DEL、AES等の暗号化プロトコルの中からいずれかを選択することができる。
【0032】
試験データ生成部15は、試験用のパケットからなる平文の試験データを生成し、スイッチ部14aを介して通信アプリケーション10へ出力する。試験データ生成部15は、通信状態情報が抽出されやすくするため、通信アプリケーション10から特徴的なデータが出力されるようなデータの生成を行う。例えば、試験データ生成部15は、平文データサイズが1Byte、64Byte、あるいは1MByte等となる試験データを生成したり、生成した試験データを1秒間隔あるいは1分間隔等のタイミングで出力したりする。
【0033】
暗号文データ収集部16は、外部通信部13を介して、暗号化通信特徴抽出装置1と試験用ホスト2との間で送受信される暗号文データを収集し、暗号文データ自体が有する情報(パケットサイズ、プロトコル、Destination Port等)や、暗号文データを用いた通信の特徴を示す情報(後述する通信セッションの開始間隔やパケット送受信方向の関係等)等に基づいて通信状態情報を抽出する。
【0034】
特徴併合部17は、試験データ生成部15によって生成された試験用の平文データの発生条件等の情報と、試験時に使用された通信アプリケーション等の組合せの情報(条件情報)と、暗号文データ収集部16によって抽出された通信状態情報とを対応付けることにより特徴情報を生成し、特徴情報を記憶部18中の特徴DBに格納する。試験データと暗号文データとの対応付けは、例えば通信セッションごととし、同一の通信セッションにおける試験データと暗号文データとを関係付けることとする。
【0035】
記憶部18はハードディスク等の記録媒体や、記録媒体に対するデータの読み書き(データの記録および読み出し)を行う回路等を備えている。この記憶部18は、暗号化通信特徴抽出装置1の動作を規定するプログラムの他、各種のデータや暗号化通信特徴抽出装置1の設定情報等を記憶すると共に、特徴併合部17によって生成された特徴情報をデータベース(特徴DB)として記憶している。
【0036】
次に、暗号化通信判定装置3の構成について説明する。暗号化通信判定装置3は、図示せぬネットワークを介してあるいは直接ネットワーク100に接続されており、また、図示せぬネットワークあるいは専用線を介して暗号化通信特徴抽出装置1に接続されている。暗号化通信判定装置3は、ホスト4とホスト5との間で行われる暗号化通信において送受信される暗号文データを収集すると共に、暗号化通信特徴抽出装置1が備える記憶部18の特徴DBから特徴情報を読み出し、暗号文データと特徴情報とを用いて両者の比較および分析を行う。また、暗号化通信判定装置3は、上記の比較および分析の結果から、ホスト4とホスト5との間の暗号化通信に用いられている通信アプリケーション、暗号通信ソフト、および暗号化プロトコルの組合せを推定する。
【0037】
暗号化通信判定装置3において、暗号文データ収集部30は、図示せぬインターフェースを介して、ホスト4とホスト5との間で送受信される暗号文データを収集し、暗号化通信特徴抽出装置1の暗号文データ収集部16が行う動作と同様にして、暗号文データ自体が有する情報や、暗号文データを用いた通信の特徴を示す情報等に基づいて通信状態情報を抽出する。暗号判定部31は、通信により暗号化通信特徴抽出装置1にアクセスして記憶部18の特徴DBから特徴情報を読み出し、暗号文データ収集部30によって抽出された通信状態情報と特徴情報との比較および分析を行う。また、暗号判定部31は、比較および分析の結果から、暗号化通信に用いられている通信アプリケーション、暗号通信ソフト、および暗号化プロトコルの組合せを推定する。
【0038】
なお、図示していないが、暗号化通信判定装置3は、上述した構成以外にも、ユーザーによって操作されるキーボードやマウス等からなる操作部、情報を表示する液晶ディスプレイ等の表示部、暗号文データ収集部30によって抽出された通信状態情報の他、各種の情報を記憶する記憶部、および暗号化通信判定装置3の各構成を制御する制御部等の構成を備えている。
【0039】
次に、暗号文データ収集部16および暗号文データ収集部30によって抽出される通信状態情報について説明する。以下に通信状態情報を列挙する。
(1)通信セッションの発生間隔
(2)通信セッション中のパケット発生間隔
(3)通信セッション中のパケットサイズ
(4)通信セッション中の総パケット数
(5)通信セッション中のパケット送受信方向の関係
(6)通信セッション中のパケット送受信数方向比
(7)通信セッション中のプロトコル占有率
(8)通信セッション開始時の各パケットサイズ
(9)通信セッション開始時の総パケット数
(10)通信セッション開始時の総データサイズ
(11)長期間のSource/Destination IP分布
(12)長期間のDestination Port分布
(13)長期間のDNSサーバへの問い合わせの有無
(14)通信アプリケーション側から何も送信していないときに送信される暗号文データの有無
【0040】
(1)通信セッションの発生間隔は、連続する通信セッションの開始時刻どうしの差あるいは終了時刻どうしの差である。図2(a)におけるイベントα1〜α3がそれぞれ1つの通信セッションであるとすると、例えばイベントα1およびイベントα2の開始時刻の差Xα1が通信セッションの発生間隔である。暗号文データ収集部16および暗号文データ収集部30はXα1,Xα2,Xα3・・・を測定し、それら個々の情報あるいはそれらの平均値等を特徴情報とする。なお、通信セッションの開始および終了は、同じSource IPとDestination IPの組合せの通信による暗号文データの流れを監視することにより行い、例えば通信セッションの開始後、一定時間以上暗号文データの送受信が行われなかった場合(すなわち一定時間以上暗号文データを収集できなかった場合)に通信セッションの終了を検出する。また、通信セッションの終了を検出した後、次の暗号文データの送受信が行われた場合(すなわち次の暗号文データを収集した場合)に、通信セッションの開始を検出する。
【0041】
(2)通信セッション中のパケット発生間隔は、連続するパケットの到着時刻どうしの差である。図2(b)におけるイベントα1〜α3およびイベントβ1〜β2がパケットであるとすると、例えばイベントα1およびイベントα2の発生時刻の差Xα1がパケット発生間隔である。イベントα1〜α3とイベントβ1〜β2はパケットの送信方向(暗号化通信特徴抽出装置1から試験用ホスト2へ送信される方向、および試験用ホスト2から暗号化通信特徴抽出装置1へ送信される方向)が異なっており、暗号文データ収集部16および暗号文データ収集部30は送信方向ごとにパケット発生間隔を測定し、それら個々の情報あるいはそれらの平均値等を特徴情報とする。
【0042】
(3)通信セッション中のパケットサイズは、送受信される各パケットのサイズである。暗号文データ収集部16および暗号文データ収集部30は送信方向ごとに各パケットのサイズを検出し、それら個々の情報あるいはそれらの平均値等を特徴情報とする。(4)通信セッション中の総パケット数は1つの通信セッションにおいて送信または受信されたパケットの総数である。暗号文データ収集部16および暗号文データ収集部30は送信方向ごとに通信セッション中のパケットの総数を算出し、それを特徴情報とする。
【0043】
(5)通信セッション中のパケット送受信方向の関係は、各パケットの送信方向を示す情報であり、特に、3回同じ送信方向のパケットが続いた後、1回逆方向のパケットが検出され、それが繰り返されるというような規則的な送信方向の関係が検出された場合には、その関係が特徴情報となる。(6)通信セッション中のパケット送受信数方向比はRsおよびRrとして以下のように定義される。通信を行う2つのホストのうち、通信セッションの開始側のホストをA、もう一方のホストをBとした場合に、AとBとの間で送受信されたパケットの総数(総パケット数)と、AからBへ向けて送信されたパケットの数との比がRsである。また、総パケット数と、BからAへ向けて送信されたパケットの数との比がRrである。これらRsおよびRrが特徴情報となる。
【0044】
(7)通信セッション中のプロトコル占有率は、パケットに含まれるヘッダの情報に基づいて検出されるプロトコルを全パケットについて数え上げ、それらの総数に占める各プロトコルの検出数の割合をプロトコルごとに算出したものである。暗号文データ収集部16および暗号文データ収集部30は、収集したパケットのヘッダを参照し、ICMP(Internet Message Control Protocol)、TCP(Transmission Control Protocol)、UDP(User Datagram Protocol)等のプロトコルを検出する。暗号文データ収集部16および暗号文データ収集部30は各パケットについてプロトコルを検出し、通信セッション中において検出した各プロトコルの検出数を計上する。1つのパケットについて複数のプロトコルを検出した場合には、各プロトコルそれぞれの検出数を計上する。暗号文データ収集部16および暗号文データ収集部30は各プロトコルの占有率を算出し、それらを特徴情報とする。
【0045】
(8)通信セッション開始時の各パケットサイズは、通信セッションの開始時に、暗号化および復号化に用いられる鍵の交換のために送受信される各パケットのサイズである。(9)通信セッション開始時の総パケット数および(10)通信セッション開始時の総データサイズも同様にそれぞれ、通信セッションの開始時に暗号化および復号化に用いられる鍵の交換のために送受信されるパケットについての総パケット数および総データサイズである。
【0046】
(11)長期間のSource/Destination IP分布は、複数の通信セッションにわたって検出されたSource/Destination IPの分布である。Source/Destination IPはパケットの送信元および送信先のそれぞれのホストのIPアドレスである。P2P通信ソフトを使用した通信においては、図3に示されるように、Source IPを有するホストから複数の異なるDestination IPのホストへ問い合わせが行われる。暗号文データ収集部16および暗号文データ収集部30は、収集したパケットからSource/Destination IPを検出し、Source IPおよびDestination IPごとに検出数を計上することにより、Source/Destination IPとその検出数とが対応付けられたSource/Destination IP分布を生成し、それを特徴情報とする。(12)長期間のDestination Port分布は、同様に、複数の通信セッションにわたって検出されたSource/Destination Portの分布である。
【0047】
(13)長期間のDNSサーバへの問い合わせの有無は、複数の通信セッションの間にDNSサーバへの問い合わせがあったかどうかを示す情報である。(14)通信アプリケーション側から何も送信していないときに送信される暗号文データの有無は、暗号化通信路を管理するために送受信される制御用パケットの有無を示す情報である。
【0048】
なお、パケット発生間隔やパケットサイズについては、それらを長期間観測することにより、それらの分布を得ることができるので、その分布を通信状態情報としてもよい。
【0049】
暗号文データ収集部16および暗号文データ収集部30は上記のような通信状態情報を抽出するが、Destination PortおよびSource/Destination IPの分布については、事象の発生確率を示す状態確率あるいは以下の情報エントロピーにより、分布のばらつきの度合を数値化する。情報エントロピー値Hは次式によって表される。pは各事象(Destination PortおよびSource/Destination IP)の検出数であり、kは各事象の総数である。
【0050】
【数1】
【0051】
次に、記憶部18の特徴DBに格納される情報について説明する。図4は、特徴DBに格納される情報(テーブル)の内容を示している。特徴DBには、試験条件テーブル、組合せ条件テーブル、およびサイドチャネルテーブルが格納されている。試験条件テーブル(図4(a))には、試験データ生成部15によって生成された試験データ(平文データ)の発生条件等が記録されている。試験は通常複数回行われ、各回の試験の条件を識別する情報がTest data IDであり、Test data IDごとにパケットサイズや送信間隔、ファイルサイズ等の情報が関連付けられている。
【0052】
組合せ条件テーブル(図4(b))には、暗号化通信特徴抽出装置1において設定される通信アプリケーション、暗号通信ソフト、および暗号化プロトコルの組合せが記録されている。各組合せは、Combination IDによって識別可能である。組合せ条件テーブルは、試験開始前にユーザーが操作部を介して入力する等により、予め作成されて特徴DBに格納されている。なお、暗号通信ソフトと暗号化プロトコルはどちらか片方が通信アプリケーションと対をなしている。
【0053】
サイドチャネルテーブル(図4(c)および(d))には、暗号文データ収集部16によって収集された通信状態情報が記録されている。図4(c)は、通信セッションの発生間隔を例とし、個々の値を通信状態情報とした場合のサイドチャネルテーブルを示している。また、図4(d)は、同じく通信セッションの発生間隔を例とし、長期間に収集された通信セッションの発生間隔の分布から求めた状態確率を通信状態情報とした場合のサイドチャネルテーブルを示している。
【0054】
通信状態情報はData IDによって識別可能であり、各Data IDの通信状態情報に対して、その通信状態情報が得られた試験の条件を識別するためのTest IDと、その通信状態情報が得られた試験における暗号化通信特徴抽出装置1の暗号化通信の種別を識別するためのCombination IDとが関係付けられている。試験条件テーブルとサイドチャネルテーブルは、Test data IDにより関係付けられており、組合せ条件テーブルとサイドチャネルテーブルは、Combination IDにより関係付けられている。
【0055】
なお、同じ条件下で複数回試験を行っても結果の変わらない固定パターンの通信状態情報に対しては、固定パターンであることを示すフラグ等の情報が付加される。
【0056】
次に、暗号判定部31による暗号化通信の種別の推定について説明する。暗号判定部31は、暗号文データ収集部30によって抽出された通信状態情報と、暗号化通信特徴抽出装置1の記憶部18の特徴DBから読み出した情報とを比較する。暗号判定部31は例えば、暗号文データ収集部30によって抽出された通信状態情報と、サイドチャネルテーブルにおける固定パターンの情報とを比較する。両者が一致した場合には、暗号判定部31は、その固定パターンの情報に関連付けられているCombination IDを参照し、同じCombination IDを有する組合せ条件テーブル中の組合せが通信中のホストに適用されていると判断する。
【0057】
暗号判定部31による処理は以下のようであってもよい。すなわち、通信状態情報のうち、グラフ化できるものについては相関分析を適用し、収集された暗号文データから得られた通信状態情報と、特徴DBに記録された通信状態情報との間の相関度が高い場合に、そのときの試験条件から暗号化通信の種別を判定する。以下、相関分析を用いた判定法について説明する。
【0058】
xiを、一般のネットワーク上で収集された通信状態情報の分布を示すグラフのi番目のプロットとし、yiを、特徴DBに記録された通信状態情報の分布を示すグラフのi番目のプロットとすると、両者のグラフの相関度は以下の[数2]〜[数4]によって算出される。γ(相関値)は−1〜1の範囲になり、1に近づくほど相関度が高く、両者のグラフが類似しているといえる。γが−(マイナス)の場合には、ミラーの関係になっており、xが増加するときにyは減少する関係にある。
【0059】
【数2】
【0060】
【数3】
【0061】
【数4】
【0062】
暗号判定部31は、暗号文データ収集部30によって抽出された通信状態情報の分布と、特徴DBから読み出した通信状態情報の分布とに基づいて、[数2]によって示されるγを算出し、γが所定値以上であるかどうかを判定する。γが所定値以上であった場合には、暗号判定部31は、両者の相関度が高いと判断し、特徴DBに記録された通信状態情報に関連付けられたCombination IDを有する組合せ条件テーブル中の組合せが通信中のホストに適用されていると判断する。γとの比較に用いる所定値を1により近い値とすれば、推定の精度を高めることができる。
【0063】
次に、本実施形態による通信システムの一連の処理について、図5および図6を用いて説明する。図5は特徴抽出処理の手順を示している。まず、利用する通信アプリケーション、暗号化通信ソフト、および暗号化プロトコルの組合せや試験条件等が決定される(ステップS501)。これは、例えばユーザによって図示せぬ操作部を介して入力された情報に基づいて、暗号化通信特徴抽出装置1の制御部が行う。このとき、スイッチ部14a〜14cによる切替が設定される。続いて、ユーザによる試験開始指示の入力等をトリガとして、試験データ生成部15は試験データの生成を開始し、スイッチ部14aを介して通信アプリケーション10へ試験データを出力する(ステップS502)。
【0064】
通信アプリケーション10は、試験データに基づいて平文データを生成し、ステップS501における設定に応じて、スイッチ部14bを介して暗号通信ソフト11へ、あるいはスイッチ部14cを介して暗号化プロトコル処理部12へ平文データを出力する。暗号通信ソフト11あるいは暗号化プロトコル処理部12は、所定の暗号化プロトコルを用いて平文データを暗号文データに変換し、外部通信部13へ出力する(ステップS503)。外部通信部13は、ネットワーク100を介して試験用ホスト2へ暗号文データを送信する。また、外部通信部13は、暗号文データを暗号文データ収集部16へ出力する(ステップS504)。
【0065】
続いて、暗号文データ収集部16は、試験データの情報(試験データの識別番号等の情報)と、受信された暗号文データの情報(暗号文データ自体とその受信時刻等)とを関連付け、それらの情報を記憶部18に一旦格納する(ステップS505)。続いて、試験の設定条件等に基づいて、図示せぬ制御部によって試験を終了するかどうかが判定される(ステップS506)。試験を続ける場合には、ステップS501に戻り、同様の処理を繰り返す。また、試験を終了する場合には、ステップS507へ進む。
【0066】
ステップS507において、暗号文データ収集部16は、ステップS505において記録した情報を記憶部18から読み出し、その情報に基づいて通信状態情報を生成して特徴併合部17へ出力する。特徴併合部17は、試験データ生成部15による試験データの発生条件等の情報と、暗号化通信特徴抽出装置1において設定される通信アプリケーション、暗号通信ソフト、および暗号化プロトコルの組合せの情報と、通信状態情報とを関連付けることにより、特徴情報を生成し、特徴情報を記憶部18中の特徴DBに格納する。
【0067】
なお、試験条件や、通信アプリケーション等の組合せを変更して再度試験を行う場合には、ステップS501〜S507の処理が繰り返される。また、ステップS501〜S505における処理の間に試験用ホスト2から暗号文データが送信された場合には、以下の処理が行われる。外部通信部13は、ネットワーク100を介してそれを受信し、ステップS501における設定に応じて、暗号通信ソフト11あるいは暗号化プロトコル処理部12へ暗号文データを出力する。暗号通信ソフト11あるいは暗号化プロトコル処理部12は、所定の暗号化プロトコルを用いて暗号文データを平文データに変換し、通信アプリケーション10へ出力する。また、外部通信部13は、受信した平文データを暗号文データ収集部16へ出力する。暗号文データ収集部16は、ステップS505と同様に暗号文データ等の情報を記憶部18に一旦格納する。
【0068】
図6は暗号化通信判定処理の手順を示している。まず、暗号文データ収集部30は、ホスト4とホスト5との間で送受信される暗号文データを収集し、暗号文データの情報(暗号文データ自体とその受信時刻等)を図示せぬ記憶部に格納する(ステップS601)。続いて、暗号文データ収集部30は、収集した暗号文データの数と所定のしきい値との比較等により、暗号化通信の種別の判定に十分なデータを収集したかどうか判定する(ステップS602)。判定に十分なデータを収集していないと判定した場合には、ステップS601へ戻り、暗号文データの収集を続ける。
【0069】
また、判定に十分なデータを収集したと判定した場合には、暗号文データ収集部30は、ステップS601において記録した情報を記憶部から読み出し、その情報に基づいて通信状態情報を生成して暗号判定部31へ出力する(ステップS603)。暗号判定部31は、暗号化通信特徴抽出装置1にアクセスして記憶部18の特徴DBから特徴情報を読み出し、暗号文データ収集部30によって抽出された通信状態情報と特徴情報とを比較する。暗号判定部31は、前述した手法により、ホスト4とホスト5との間で行われている暗号化通信において使用されている通信アプリケーション、暗号化通信ソフト、および暗号化プロトコルを判定する(ステップS604)。暗号判定部31によって判定された結果は記憶部に格納され、適宜、ユーザの指示によって読み出され、例えば図示せぬ表示部に表示される。
【0070】
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成はこれらの実施の形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、本実施形態においては、試験用の通信を行う機能と、暗号文データに基づいて暗号化通信の特徴を抽出する機能とを暗号化通信特徴抽出装置1が備えているが、両者の機能を別々の装置が備えるようにしてもよい。また、暗号化通信特徴抽出装置1と暗号化通信判定装置3とを一体の装置として構成してもよい。また、暗号化通信判定装置3は、ホスト4とホスト5との間で行われる暗号化通信以外の暗号化通信を監視し、その通信の種別を判定することも可能である。
【0071】
また、上述した実施形態による暗号化通信特徴抽出装置は、その動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させることにより実現してもよい。
【0072】
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0073】
また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータにすでに記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
【0074】
上述したように、本実施形態によれば、試験データに基づいた暗号化通信において送信される暗号文データを自動的に収集し、その暗号文データに基づいて通信状態情報を抽出するようにしたので、作業工数を減らし、短時間で暗号化通信の特徴を抽出することができる。また、ネットワーク上で行われる暗号化通信において送信される暗号文データを収集すると共に、その暗号文データに基づいて通信状態情報を抽出し、抽出した通信状態情報と、試験時の通信状態情報とを比較して、両者が一致した場合、あるいは両者の間に高い相関性が認められる場合に、試験時の暗号化通信の種別と推定対象の暗号化通信の種別とが一致すると判定することにより、一般の暗号化通信において用いられている通信アプリケーション、暗号通信ソフト、および暗号化プロトコルの種類を推定することができる。これにより、意図しない暗号化パスを排除する等、ネットワークの帯域制御や優先制御に有効に活用することができるようになる。
【図面の簡単な説明】
【0075】
【図1】本発明の一実施形態による通信システムの構成を示すブロック図である。
【図2】同実施形態における通信セッションの開始間隔およびパケット発生間隔を説明するための参考図である。
【図3】同実施形態におけるSource/Destination IP分布を説明するための参考図である。
【図4】同実施形態における特徴DBに格納される情報の内容を示す参考図である。
【図5】同実施形態における特徴抽出処理の手順を示すフローチャートである。
【図6】同実施形態における暗号化通信判定処理の手順を示すフローチャートである。
【符号の説明】
【0076】
1・・・暗号化通信特徴抽出装置、2・・・試験用ホスト、3・・・暗号化通信判定装置、4,5・・・ホスト、10,10a,10b,10c・・・通信アプリケーション(暗号化通信手段)、11,11a,11b,11c・・・暗号通信ソフト(暗号化通信手段)、12,12a,12b,12c,110a・・・暗号化プロトコル処理部(暗号化通信手段)、13・・・外部通信部(暗号化通信手段)、14a,14b,14c・・・スイッチ部、15・・・試験データ生成部、16・・・暗号文データ収集部(第1の特徴抽出手段)、17・・・特徴併合部(情報生成手段)、18・・・記憶部、30・・・暗号文データ収集部(第2の特徴抽出手段)、31・・・暗号判定部(判定手段)、100・・・ネットワーク。
【特許請求の範囲】
【請求項1】
試験データを生成する試験データ生成手段と、
前記試験データに基づいた暗号文データを用いて外部の通信装置と暗号化通信を行う暗号化通信手段と、
前記暗号文データを収集し、収集した前記暗号文データに基づいて、前記暗号化通信の特徴を示す第1の通信状態情報を抽出する第1の特徴抽出手段と、
抽出された前記第1の通信状態情報と、前記暗号化通信の条件を示す条件情報とが関連付けられた特徴情報を生成する情報生成手段と、
を具備することを特徴とする暗号化通信特徴抽出装置。
【請求項2】
外部の通信装置間で行われる暗号化通信において送信される暗号文データを収集し、収集した前記暗号文データに基づいて、前記外部の通信装置間で行われる暗号化通信の特徴を示す第2の通信状態情報を抽出する第2の特徴抽出手段と、
前記第1の通信状態情報と前記第2の通信状態情報とを比較し、比較結果と前記条件情報とに基づいて、前記外部の通信装置間で行われる暗号化通信の種別を判定する判定手段と、
をさらに具備することを特徴とする請求項1に記載の暗号化通信特徴抽出装置。
【請求項3】
前記判定手段は、前記第1の通信状態情報の内容と前記第2の通信状態情報の内容とが一致した場合に、前記条件情報によって示される条件が、前記外部の通信装置間で行われる暗号化通信において適用されていると判定することを特徴とする請求項2に記載の暗号化通信特徴抽出装置。
【請求項4】
前記判定手段は、前記第1の通信状態情報の内容と前記第2の通信状態情報の内容との相関度を示す相関値を算出し、該相関値に基づいた前記相関度が所定以上であった場合に、前記条件情報によって示される条件が、前記外部の通信装置間で行われる暗号化通信において適用されていると判定することを特徴とする請求項2に記載の暗号化通信特徴抽出装置。
【請求項5】
前記暗号化通信の種別は、使用される通信アプリケーション、暗号通信ソフト、および暗号化プロトコルの組合せを示すことを特徴とする請求項2に記載の暗号化通信特徴抽出装置。
【請求項6】
試験データを生成するステップと、
前記試験データに基づいた暗号文データを用いて外部の通信装置と暗号化通信を行うステップと、
前記暗号文データを収集するステップと、
収集した前記暗号文データに基づいて、前記暗号化通信の特徴を示す第1の通信状態情報を抽出するステップと、
抽出した前記第1の通信状態情報と、前記暗号化通信の条件を示す条件情報とが関連付けられた特徴情報を生成するステップと、
をコンピュータに実行させるための暗号化通信特徴抽出プログラム。
【請求項7】
外部の通信装置間で行われる暗号化通信において送信される暗号文データを収集するステップと、
収集した前記暗号文データに基づいて、前記外部の通信装置間で行われる暗号化通信の特徴を示す第2の通信状態情報を抽出するステップと、
前記第1の通信状態情報と前記第2の通信状態情報とを比較し、比較結果と前記条件情報とに基づいて、前記外部の通信装置間で行われる暗号化通信の種別を判定するステップと、
をさらに具備することを特徴とする請求項6に記載の暗号化通信特徴抽出プログラム。
【請求項8】
前記外部の通信装置間で行われる暗号化通信の種別を判定するステップにおいては、前記第1の通信状態情報の内容と前記第2の通信状態情報の内容とが一致した場合に、前記条件情報によって示される条件が、前記外部の通信装置間で行われる暗号化通信において適用されていると判定することを特徴とする請求項7に記載の暗号化通信特徴抽出プログラム。
【請求項9】
前記外部の通信装置間で行われる暗号化通信の種別を判定するステップにおいては、前記第1の通信状態情報の内容と前記第2の通信状態情報の内容との相関度を示す相関値を算出し、該相関値に基づいた前記相関度が所定以上であった場合に、前記条件情報によって示される条件が、前記外部の通信装置間で行われる暗号化通信において適用されていると判定することを特徴とする請求項7に記載の暗号化通信特徴抽出プログラム。
【請求項10】
前記暗号化通信の種別は、使用される通信アプリケーション、暗号通信ソフト、および暗号化プロトコルの組合せを示すことを特徴とする請求項7に記載の暗号化通信特徴抽出プログラム。
【請求項11】
請求項6〜請求項10のいずれかの項に記載の暗号化通信特徴抽出プログラムが記録されたコンピュータ読み取り可能な記録媒体。
【請求項1】
試験データを生成する試験データ生成手段と、
前記試験データに基づいた暗号文データを用いて外部の通信装置と暗号化通信を行う暗号化通信手段と、
前記暗号文データを収集し、収集した前記暗号文データに基づいて、前記暗号化通信の特徴を示す第1の通信状態情報を抽出する第1の特徴抽出手段と、
抽出された前記第1の通信状態情報と、前記暗号化通信の条件を示す条件情報とが関連付けられた特徴情報を生成する情報生成手段と、
を具備することを特徴とする暗号化通信特徴抽出装置。
【請求項2】
外部の通信装置間で行われる暗号化通信において送信される暗号文データを収集し、収集した前記暗号文データに基づいて、前記外部の通信装置間で行われる暗号化通信の特徴を示す第2の通信状態情報を抽出する第2の特徴抽出手段と、
前記第1の通信状態情報と前記第2の通信状態情報とを比較し、比較結果と前記条件情報とに基づいて、前記外部の通信装置間で行われる暗号化通信の種別を判定する判定手段と、
をさらに具備することを特徴とする請求項1に記載の暗号化通信特徴抽出装置。
【請求項3】
前記判定手段は、前記第1の通信状態情報の内容と前記第2の通信状態情報の内容とが一致した場合に、前記条件情報によって示される条件が、前記外部の通信装置間で行われる暗号化通信において適用されていると判定することを特徴とする請求項2に記載の暗号化通信特徴抽出装置。
【請求項4】
前記判定手段は、前記第1の通信状態情報の内容と前記第2の通信状態情報の内容との相関度を示す相関値を算出し、該相関値に基づいた前記相関度が所定以上であった場合に、前記条件情報によって示される条件が、前記外部の通信装置間で行われる暗号化通信において適用されていると判定することを特徴とする請求項2に記載の暗号化通信特徴抽出装置。
【請求項5】
前記暗号化通信の種別は、使用される通信アプリケーション、暗号通信ソフト、および暗号化プロトコルの組合せを示すことを特徴とする請求項2に記載の暗号化通信特徴抽出装置。
【請求項6】
試験データを生成するステップと、
前記試験データに基づいた暗号文データを用いて外部の通信装置と暗号化通信を行うステップと、
前記暗号文データを収集するステップと、
収集した前記暗号文データに基づいて、前記暗号化通信の特徴を示す第1の通信状態情報を抽出するステップと、
抽出した前記第1の通信状態情報と、前記暗号化通信の条件を示す条件情報とが関連付けられた特徴情報を生成するステップと、
をコンピュータに実行させるための暗号化通信特徴抽出プログラム。
【請求項7】
外部の通信装置間で行われる暗号化通信において送信される暗号文データを収集するステップと、
収集した前記暗号文データに基づいて、前記外部の通信装置間で行われる暗号化通信の特徴を示す第2の通信状態情報を抽出するステップと、
前記第1の通信状態情報と前記第2の通信状態情報とを比較し、比較結果と前記条件情報とに基づいて、前記外部の通信装置間で行われる暗号化通信の種別を判定するステップと、
をさらに具備することを特徴とする請求項6に記載の暗号化通信特徴抽出プログラム。
【請求項8】
前記外部の通信装置間で行われる暗号化通信の種別を判定するステップにおいては、前記第1の通信状態情報の内容と前記第2の通信状態情報の内容とが一致した場合に、前記条件情報によって示される条件が、前記外部の通信装置間で行われる暗号化通信において適用されていると判定することを特徴とする請求項7に記載の暗号化通信特徴抽出プログラム。
【請求項9】
前記外部の通信装置間で行われる暗号化通信の種別を判定するステップにおいては、前記第1の通信状態情報の内容と前記第2の通信状態情報の内容との相関度を示す相関値を算出し、該相関値に基づいた前記相関度が所定以上であった場合に、前記条件情報によって示される条件が、前記外部の通信装置間で行われる暗号化通信において適用されていると判定することを特徴とする請求項7に記載の暗号化通信特徴抽出プログラム。
【請求項10】
前記暗号化通信の種別は、使用される通信アプリケーション、暗号通信ソフト、および暗号化プロトコルの組合せを示すことを特徴とする請求項7に記載の暗号化通信特徴抽出プログラム。
【請求項11】
請求項6〜請求項10のいずれかの項に記載の暗号化通信特徴抽出プログラムが記録されたコンピュータ読み取り可能な記録媒体。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2006−146039(P2006−146039A)
【公開日】平成18年6月8日(2006.6.8)
【国際特許分類】
【出願番号】特願2004−338844(P2004−338844)
【出願日】平成16年11月24日(2004.11.24)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
【公開日】平成18年6月8日(2006.6.8)
【国際特許分類】
【出願日】平成16年11月24日(2004.11.24)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
[ Back to top ]