シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

Protocol の検知について

Protocol の検知及び Service 分類の流れのなかの①~④の各工程について、実際に

どの様に Protocol の検知を行っているのかを説明します。

① Signature Detection

Flow が Open されるとまず Signature による Protocol 分類を行い、

"First Payload Packet" の以下の項目について合致する Signature

があるかを確認します。

  • Simple string pattern like "GET"
  • Specific order of bytes
  • Specific length of packet
  • Any other heuristic pattern

Protocol によっては、Signature による検知に "First Payload Packet" だけではなく、

2 つ以上の payload packet が必要になる場合もあります。 Signature によっては、

Protocol への分類までに最大で数 10 パケット必要なものもあります。

② Specific port base detection

①の Signature Detection で検知できなかった場合、定義済みの Port リストと照合することで

Protocol の分類を行います。

(ここでいう定義済みの Port リストとは SCA-BB console 上で設定する、

"Advanced Service Configuration Options" の TCP/UDP destination port signature"

で定義されている Port の事を指します。)

③ Behavioral Detection

①,② で検知しなかった場合は、以下の方法で分類を行います。

  1. Behavioral upload/download
    • Upstream/Downstream のパケットのサイズ比率による分類
  2. HBC(Host base classification)
    • 個々の Host の振る舞いから、トラフィックを分類
    • 例えば、特定 Host (Subscriber IP : 10.10.10.10) の特定 Port (5000) 宛ての winny flow が複数ある場合、 同一 Host (IP address) の同一 port 宛ての新規 flow は、Signature による分類を実行することなく、 winny として分類されます。


  3. Behavioral P2P
  • Behavioral upload/download と HBC のメカニズムを組み合わせた方法
    • 既に Behaviorl upload/download で検知されている Host(Subscriber) の特定 port の Traffic について、
      その次の flow を Behavioral P2P として分類します。

④ Port base detection

①,②,③ で検知できなかった場合は、Well Known Port ではなく、事前に定義した宛先 port 番号から分類します。

上記 ①,②,③,④ で検知できなかった場合には、最終的に Generic TCP/UDP として分類します。


  • タグ付けされた記事をさらに検索:
856
閲覧回数
0
いいね!
0
コメント