ペイロード長の遷移パタンを用いたネットワークアプリケーション弁別手法

摘要

不正なアプリケーションによるネットワーク利用により，情報流出などの問題が生じている．その対策として，問題のあるアプリケーションの通信を弁別し，遮断することが必要である．しかし，それらのアプリケーションはポート番号を詐称することが可能であるため，ポート番号を用いないフローの統計情報を利用したアプリケーションの弁別手法が提案されている．しかし，これらの手法は統計情報が有意な値を取るまで弁別が行えないため，弁別までに時間を要し，弁別をした時点で既に情報が流出している危険性がある．そこで本稿では通信開始直後におけるペイロード長の遷移パタンに着目し，より早い段階でアプリケーションを弁別する手法を提案する．本稿で提案する弁別手法は，アプリケーションが通信開始直後に定型的な通信を行うことでペイロード長の遷移パタンがアプリケーション毎に類似することを仮定し，その類似性に着目して弁別を行う．また，弁別精度改善のためにペイロード長の逆数を用いた手法を提案する．実際にP2Pアプリケーションを含むトラヒックデータを用いた評価実験における，提案手法の弁別性能を報告する．