[发明专利]加密通信量识别装置及具有该装置的加密通信量识别系统

权利要求书

1.一种加密通信量识别装置，其特征在于，该加密通信量识别装置 具有：

输入接口部，其被输入通信量；

流识别部，其至少根据发送源地址和发送目的地地址，按照流来识 别所述输入的通信量；

数据蓄积部，其按照所述流来蓄积所述通信量的特征量数据；

选择性数据计算部，其根据所述特征量数据来实施评价运算；

计算结果判定部，其根据该评价运算值，来实施所述通信量是否加 密、或者在加密的情况下其加密形式是什么的阈值判定；以及

输出接口部，其输出该判定结果，

所述选择性数据计算部使用所述特征量数据中特定的数据，来实施 评价运算，

所述特征量数据将构成所述通信量的每个分组到达所述输入接口部 的到达间隔时间作为原始数据，

所述选择性数据计算部按照从短到长的顺序排列所述到达间隔时间 的数据串，计算该按照从短到长的顺序排列的所述到达间隔时间的数据 串中特定部分的到达间隔时间作为所述评价运算值，或者，计算规定范 围内的所述到达间隔时间的数据串的平均值作为所述评价运算值。

2.根据权利要求1所述的加密通信量识别装置，其特征在于，

所述选择性数据计算部计算所述按照从短到长的顺序排列的到达间 隔时间的数据串中、从短的一方起第75%个附近的所述到达间隔时间作 为所述评价运算值，或者，计算从短的一方起第0%个～第75%个附近的 范围内的所述到达间隔时间的数据串的平均值作为所述评价运算值。

3.根据权利要求1所述的加密通信量识别装置，其特征在于，

所述选择性数据计算部按照从短到长的顺序排列所述到达间隔时间 的数据串，当设该数据串的数据总数为N，a为常数，则在该按照从短到 长的顺序排列的数据串中从短的一方起第0%个到规定的第n%个的范围 内，根据下式计算针对从短的一方数起第x个数据而确定的到达间隔时 间指标值作为所述评价运算值，其中，N、x均为正整数，a为正数，n 为大于0小于等于100的正数，

到达间隔时间指标值=Σ{(第x个到达间隔时间)²/(a+(x/N-(n/100))²)}。

4.根据权利要求3所述的加密通信量识别装置，其特征在于，

所述选择性数据计算部设所述规定的第n%个为第75%个，来计算所 述评价运算值。

5.根据权利要求1所述的加密通信量识别装置，其特征在于，

所述流识别部在所述通信量中检测到异常流的情况下，生成与所述 异常流的异常原因有关的信息，

所述输出接口部输出与所述异常原因有关的信息。

6.根据权利要求1所述的加密通信量识别装置，其特征在于，

所述加密通信量识别装置具有在所述输入接口部的前级配置的通信 量异常检测装置，

该通信量异常检测装置在所述通信量中检测到异常通信量的情况 下，对所述输入接口部输出所述异常通信量以及与其异常原因有关的信 息，

所述输出接口部输出与所述异常原因有关的信息。