インターネットでは,Web検索やビデオストリーミングなど,さまざまなサービスが提供されている.通信機器にてインターネットフローからサービスを同定することは,QoSの管理やセキュリティ問題の防止など,様々な目的に利用可能であると期待されている.サービスを同定する方法として,IPアドレスやポート番号に基づく方法があるが,同一のIPアドレスやポート番号で複数のサービスを提供する事例があるり,この方法による同定精度は不十分である.よって,DPIなどのパケット解析に基づく方法が重要であると考えられるが,近年通信の多くがTLSより暗号化されておりパケット解析が困難となっている.TLSで暗号化されたパケットの解析に基づくサービス同定手法として,N-gramによるTLSセッションクラスタリングに基づく手法が提案されているが,この手法はTLSプロトコルを解析しておらず,ランダム値なども解析対象としており精度に改善の余地がある.本稿では,TLSセッションの際にクライアントがサーバーに送信するClientHelloメッセージの拡張フィールドであるServer Name Indication (SNI)に基づくサービス同定手法を提案し,既存のパケット解析に基づく手法と同定の精度を比較することで提案手法の有効性を示す.
(英)
In our previous work, we have proposed a method for identifying the service from the IP flows encrypted by TLS. In this paper, we explain this method and evaluates its accuracy.