BITTORRENT – BitTorrentトラフィック

メソッドの説明

BitTorrentタイプのP2Pネットワークを検出するためのメソッド。このメソッドは、Flowデータの振る舞い分析と、P2Pネットワークの特定のマニフェステーションを検索するヒューリスティクスに基づいています。インシデントは、これらのヒューリスティクスによって検知され、その後、比較されます。複数のヒューリスティクスによってBitTorrentトラフィックが検知された場合は、イベントが生成されます。MinimalProbabilityオプションを使用すると、インシデントを検知する必要があるヒューリスティクスの最小パーセンテージを設定できます。このようにすることで、ほぼすべてのBitTorrentクライアントを検出できます。LANFilterパラメータを使用すると、内部ネットワークの通信を検知対象から除外することで誤検知の可能性を軽減できます。さらにMinSeedsパラメータとMinHighPortsパラメータもあります。これらのパラメータでは、それぞれデータのダウンロード元のリモートピアソースの最小数と、10240を超えるポートでの接続の最小数を設定できます。

このメソッドは、以下のサブメソッドで構成されます。

• General: 監視対象ネットワーク内でのBitTorrentプロトコルの使用をレポートします。

メソッド設定

このメソッドは、LANFilterオプションでLAN上の通信から除外されるIPアドレスに関係なく、ネットワーク全体にわたってすべてのネットワークトラフィックに対してアクティブ化すると便利です。推奨されるトラフィックの監視場所はインターネット接続回線です。

メソッドパラメータ

• LANFilter: 監視対象ネットワーク内のIPアドレスを定義するフィルタの名前。誤検知率を改善するために、この検知メソッド内ではこれらのデバイス間の通信が無視されます。

• MinSeeds: ファイルダウンロードのソースとして使用されるデバイスの最小数。

• MinHighPorts: 10240を超えるポートでの接続の最小数。

• MinimalProbability: 検知時に、BitTorrentサービスを使用してダウンロードを実行している確率が評価されます。この評価は、部分メソッドの結果に基づいて行われます。このパラメータは、イベントをレポートする最小確率を表します。

フィルタの割り当て

送信元IPアドレスまたは宛先IPアドレスがフィルタの割り当てに一致するフローのみが処理されます。

結果の解釈

このメソッドでは、悪名高いP2Pダウンローダの検知において非常に信頼性の高い結果が得られます。その一方で、特にこのメソッドのパラメータに厳格な値が設定されている場合には、P2Pネットワークの偶発的で不定期の使用が検知されない可能性があります。さらに、このメソッドは、P2Pネットワークに似た振る舞いをすることが多いスパイウェア感染デバイスについてアラートを出すことがあります。