Protocol の検知及び Service 分類の流れのなかの①~④の各工程について、実際に
どの様に Protocol の検知を行っているのかを説明します。
① Signature Detection
Flow が Open されるとまず Signature による Protocol 分類を行い、
"First Payload Packet" の以下の項目について合致する Signature
があるかを確認します。
- Simple string pattern like "GET"
- Specific order of bytes
- Specific length of packet
- Any other heuristic pattern
Protocol によっては、Signature による検知に "First Payload Packet" だけではなく、
2 つ以上の payload packet が必要になる場合もあります。 Signature によっては、
Protocol への分類までに最大で数 10 パケット必要なものもあります。
② Specific port base detection
①の Signature Detection で検知できなかった場合、定義済みの Port リストと照合することで
Protocol の分類を行います。
(ここでいう定義済みの Port リストとは SCA-BB console 上で設定する、
"Advanced Service Configuration Options" の TCP/UDP destination port signature"
で定義されている Port の事を指します。)
③ Behavioral Detection
①,② で検知しなかった場合は、以下の方法で分類を行います。
- Behavioral upload/download
- Upstream/Downstream のパケットのサイズ比率による分類
- HBC(Host base classification)
- Behavioral P2P
- Behavioral upload/download と HBC のメカニズムを組み合わせた方法
- 既に Behaviorl upload/download で検知されている Host(Subscriber) の特定 port の Traffic について、
その次の flow を Behavioral P2P として分類します。
④ Port base detection
①,②,③ で検知できなかった場合は、Well Known Port ではなく、事前に定義した宛先 port 番号から分類します。
上記 ①,②,③,④ で検知できなかった場合には、最終的に Generic TCP/UDP として分類します。