[发明专利]加密通信量识别装置及具有该装置的加密通信量识别系统

说明书

技术领域

本发明涉及如下的加密通信量（encrypted traffic）识别装置以及加密 通信量识别系统：在互联网等网络上的节点或终端中，对流经该网络的通 信量（traffic）进行监视，容易且高精度地识别该通信量是密文还是明文。

背景技术

作为现有的提取加密数据的特征的技术，存在以下技术。首先，从 加密信号送出功能部发送利用事前已知的加密方法加密得到的密文，收 集该试验通信加密数据，求出其特征。接着，针对通信量种类不明的通 信信息，在加密判定功能部中，收集特征信息，与之前求出的已知的密 文的特征信息进行比较，在一致的情况下，推定为该通信量是利用已知 的加密方法加密得到的数据。根据该方法，作为加密通信的种类，能够 示出所使用的通信应用、加密通信软件、以及加密协议的组合。作为该 加密协议，在WEB服务的情况下，能够使用HTTPS：Hypertext Transfer  Protocol Security（SSL：Secure Socket Layer），在VPN：Virtual Private  Network的情况下，能够使用DES：Data Encryption Standard、3DES、以 及AES：Advanced Encryption Standard等。并且，作为提取加密数据特 征的手段的信息，列举了：

（1）通信会话的产生间隔

（2）通信会话中的分组产生间隔

（3）通信会话中的分组大小

（4）通信会话中的总分组数量

（5）通信会话中的分组收发方向的关系

（6）通信会话中的分组收发方向比

（7）通信会话中的协议占有率

（8）通信会话开始时的各分组大小

（9）通信会话开始时的总分组数量

（10）通信会话开始时的总数据大小

（11）长期间的Source/Destination IP分布

（12）长期间的Destination Port分布

（13）有无长期间的针对DNS服务器的询问

（14）有无在不进行任何通信时从通信应用侧发送的数据（例如参 照专利文献1）。

【专利文献1】日本特开2006-146039号公报

但是，在专利文献1的发明中，如果使用上述（1）～（14）的信息， 则存在如下问题点：不一定能够容易地判定进行了何种通信，具体而言 不一定能够容易地判定该通信的通信量是否是密文。

因此，期望如下的加密通信量识别装置：取得或计算网络内通信中 作为通信量特征的数据，根据该数据，容易且准确地判定通信量是否是 密文。

发明内容

本发明的加密通信量识别装置具有：输入接口部，其被输入通信量； 流识别部，其至少根据发送源地址和发送目的地地址，按照流来识别所 述所输入的通信量；数据蓄积部，其按照所述流来蓄积所述通信量的特 征量数据；选择性数据计算部，其根据所述特征量数据来实施评价运算； 计算结果判定部，其根据该评价运算值，来实施所述通信量是否加密、 或者在加密的情况下其加密形式是什么形式的阈值判定；以及输出接口 部，其输出该判定结果，所述选择性数据计算部仅使用所述特征量数据 中特定的数据，来实施评价运算，所述特征量数据将构成所述通信量的 每个分组到达所述输入接口部的到达间隔时间作为原始数据，所述选择 性数据计算部按照从短到长的顺序排列所述到达间隔时间的数据串，计 算该按照从短到长的顺序排列的所述到达间隔时间的数据串中特定部分 的到达间隔时间作为所述评价运算值，或者，计算规定范围内的所述到 达间隔时间的数据串的平均值作为所述评价运算值。