JP6403624B2 - Service type estimation apparatus, method and program - Google Patents

Service type estimation apparatus, method and program Download PDF

Info

Publication number
JP6403624B2
JP6403624B2 JP2015074025A JP2015074025A JP6403624B2 JP 6403624 B2 JP6403624 B2 JP 6403624B2 JP 2015074025 A JP2015074025 A JP 2015074025A JP 2015074025 A JP2015074025 A JP 2015074025A JP 6403624 B2 JP6403624 B2 JP 6403624B2
Authority
JP
Japan
Prior art keywords
service type
connection
service
transmission
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015074025A
Other languages
Japanese (ja)
Other versions
JP2016195319A (en
Inventor
秀一 縄田
秀一 縄田
秀行 小頭
秀行 小頭
茂浩 阿野
茂浩 阿野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2015074025A priority Critical patent/JP6403624B2/en
Publication of JP2016195319A publication Critical patent/JP2016195319A/en
Application granted granted Critical
Publication of JP6403624B2 publication Critical patent/JP6403624B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワークを介して端末が利用しているサービスの種別を推定する装置、方法及びプログラムに関する。   The present invention relates to an apparatus, a method, and a program for estimating a type of service used by a terminal via a network.

従来、様々なサービス提供事業者がネットワークを介してユーザの端末にサービスを提供している。このようなサービスの利用状況は一定ではなく、例えば、個々のサービス盛衰、又は季節、曜日、時間等の時期に応じて変動する。したがって、ネットワークの保守及び運用のために、ユーザのネットワークの利用状況を分析できることが望まれている。   2. Description of the Related Art Conventionally, various service providers provide services to user terminals via a network. The usage status of such services is not constant, and varies depending on, for example, the rise and fall of individual services or the season, day of the week, time, and the like. Therefore, it is desirable to be able to analyze the usage status of the user's network for network maintenance and operation.

このような状況において、特許文献1では、通信パケットをコネクション単位で再構築し、DNSクエリ及びレスポンスとの対応付けから得られたドメイン名により、サービス種別の推定を行う技術が提案されている。   Under such circumstances, Patent Document 1 proposes a technique for reconstructing a communication packet for each connection and estimating a service type based on a domain name obtained from association with a DNS query and a response.

特開2014−230139号公報JP, 2014-230139, A

しかしながら、端末で利用される1つのアプリケーションは、複数の機能、例えばチャット、通話、地図、ゲーム等のサービス種別を持つ場合がある。したがって、ドメイン名によってサービス種別を詳細に判別することは難しかった。   However, one application used in the terminal may have a plurality of functions, for example, service types such as chat, telephone call, map, and game. Therefore, it is difficult to determine the service type in detail based on the domain name.

本発明は、ネットワークを介して端末が利用中のサービス種別を精度良く推定できるサービス種別推定装置、方法及びプログラムを提供することを目的とする。   An object of the present invention is to provide a service type estimation apparatus, method, and program capable of accurately estimating a service type being used by a terminal via a network.

本発明に係るサービス種別推定装置は、端末とサーバとの通信をコネクションの単位で再構築し、当該コネクションそれぞれにおける送受信方向、送受信データサイズ又は送受信パケット数を含む特徴データを取得するデータ分析部と、所定時間内に発生した複数のコネクションをグループに集約する集約部と、前記グループに含まれるコネクションそれぞれにおける前記特徴データの組み合わせパターンに基づいて、前記端末において利用しているサービス種別を判定する判定部と、を備える。   A service type estimation apparatus according to the present invention reconstructs communication between a terminal and a server in connection units, and obtains characteristic data including a transmission / reception direction, a transmission / reception data size or a transmission / reception packet number in each connection; A determination unit that determines a service type used in the terminal based on a combination pattern of the feature data in each of the connections included in the group, and an aggregation unit that aggregates a plurality of connections generated within a predetermined time into a group A section.

前記集約部は、所定時間内に発生した複数のDNSリクエストに対して、当該DNSリクエストの応答であるDNSレスポンスに記述されるIPアドレスに対応して当該DNSレスポンスの有効期間内に発生したコネクションを集約してもよい。   The aggregating unit, for a plurality of DNS requests generated within a predetermined time, corresponds to an IP address described in a DNS response that is a response to the DNS request and a connection generated within the valid period of the DNS response. It may be aggregated.

前記サービス種別推定装置は、前記DNSレスポンスとコネクションとの対応関係から、当該コネクションの宛先のドメイン名を取得するドメイン分析部を備え、前記判定部は、前記ドメイン名により識別されるサービス提供事業者に基づいて、前記サービス種別を判定してもよい。   The service type estimation device includes a domain analysis unit that obtains a destination domain name of the connection from a correspondence relationship between the DNS response and the connection, and the determination unit is a service provider identified by the domain name. The service type may be determined based on the above.

前記判定部は、前記ドメイン名の組み合わせパターンに基づいて、前記サービス種別を判定してもよい。   The determination unit may determine the service type based on a combination pattern of the domain names.

前記サービス種別推定装置は、前記ドメイン名からドメイン名登録情報を検索し、サービス提供事業者情報を取得する事業者検索部を備え、前記判定部は、前記サービス提供事業者情報の類似性から同一のサービス提供事業者を識別してもよい。   The service type estimation device includes a provider search unit that searches for domain name registration information from the domain name and acquires service provider information, and the determination unit is identical from the similarity of the service provider information The service provider may be identified.

前記サービス種別推定装置は、前記事業者検索部による検索結果を、所定の有効期間が満了するまでキャッシュするキャッシュ部を備えてもよい。   The service type estimation device may include a cache unit that caches a search result by the provider search unit until a predetermined validity period expires.

前記データ分析部は、前記コネクションに対応するセッションを再構築し、当該セッションにおける特徴データを取得してもよい。   The data analysis unit may reconstruct a session corresponding to the connection and acquire characteristic data in the session.

本発明に係るサービス種別推定方法は、コンピュータの制御部が、端末とサーバとの通信をコネクションの単位で再構築し、当該コネクションそれぞれにおける送受信方向、送受信データサイズ又は送受信パケット数を含む特徴データを取得するデータ分析ステップと、所定時間内に発生した複数のコネクションをグループに集約する集約ステップと、前記グループに含まれるコネクションそれぞれにおける前記特徴データの組み合わせパターンに基づいて、前記端末において利用しているサービス種別を判定する判定ステップと、を実行する。   In the service type estimation method according to the present invention, the control unit of the computer reconstructs communication between the terminal and the server in units of connections, and the feature data including the transmission / reception direction, the transmission / reception data size, or the number of transmission / reception packets in each connection. The terminal uses the data analysis step to acquire, the aggregation step of aggregating a plurality of connections generated within a predetermined time into a group, and the combination pattern of the feature data in each of the connections included in the group. A determination step of determining a service type.

本発明に係るサービス種別推定プログラムは、コンピュータの制御部に、端末とサーバとの通信をコネクションの単位で再構築し、当該コネクションそれぞれにおける送受信方向、送受信データサイズ又は送受信パケット数を含む特徴データを取得するデータ分析ステップと、所定時間内に発生した複数のコネクションをグループに集約する集約ステップと、前記グループに含まれるコネクションそれぞれにおける前記特徴データの組み合わせパターンに基づいて、前記端末において利用しているサービス種別を判定する判定ステップと、を実行させる。   The service type estimation program according to the present invention reconstructs communication between a terminal and a server in units of connections in a control unit of a computer, and transmits characteristic data including transmission / reception directions, transmission / reception data sizes, or transmission / reception packet numbers in the respective connections. The terminal uses the data analysis step to acquire, the aggregation step of aggregating a plurality of connections generated within a predetermined time into a group, and the combination pattern of the feature data in each of the connections included in the group. A determination step of determining a service type.

本発明によれば、ネットワークを介して端末が利用中のサービス種別を精度良く推定できる。   According to the present invention, it is possible to accurately estimate a service type being used by a terminal via a network.

実施形態に係るサービス種別推定装置が適用される通信システムの概要を示す図である。It is a figure which shows the outline | summary of the communication system with which the service classification estimation apparatus which concerns on embodiment is applied. 実施形態に係るサービス種別推定装置の機能構成を示す図である。It is a figure which shows the function structure of the service classification estimation apparatus which concerns on embodiment. 実施形態に係る宛先ドメイン名の取得方法を例示する図である。It is a figure which illustrates the acquisition method of the destination domain name which concerns on embodiment. 実施形態に係るコネクションの集約方法を例示する図である。It is a figure which illustrates the aggregation method of the connection which concerns on embodiment.

以下、本発明の実施形態の一例について説明する。
図1は、本実施形態に係るサービス種別推定装置1が適用される通信システムの概要を示す図である。 Hereinafter, an example of an embodiment of the present invention will be described.
FIG. 1 is a diagram illustrating an overview of a communication system to which a service type estimation device 1 according to the present embodiment is applied.

サービス種別推定装置1は、ネットワーク上の利用状況を把握したい地点に配置され、端末2とインターネット上の種々のサービス提供サーバ3との間で送受信される通信パケットを取得する。サービス種別推定装置1は、例えば、端末2がアクセスする基地局4と、インターネットに接続するルータ5との間に配置される。   The service type estimation device 1 is placed at a point where the usage status on the network is desired to be acquired, and acquires communication packets transmitted and received between the terminal 2 and various service providing servers 3 on the Internet. The service type estimation device 1 is disposed, for example, between a base station 4 accessed by a terminal 2 and a router 5 connected to the Internet.

端末2は、サービス提供サーバ3にアクセスする際、DNSサーバ6との間でDNSリクエスト及びDNSレスポンスのパケットを送受信する。サービス種別推定装置1は、これらのDNSパケットを解析することにより、通信先のドメイン名を、さらには検索サーバ7から得られるドメイン名登録情報に基づいてサービス提供事業者を特定する。   When the terminal 2 accesses the service providing server 3, the terminal 2 transmits and receives DNS request and DNS response packets to and from the DNS server 6. The service type estimation device 1 analyzes these DNS packets to identify the service provider based on the domain name of the communication destination and further on the basis of the domain name registration information obtained from the search server 7.

図2は、本実施形態に係るサービス種別推定装置1の機能構成を示す図である。
サービス種別推定装置1は、データ分析部11と、ドメイン分析部12と、事業者検索部13と、キャッシュ部14と、集約部15と、判定部16とを備える。 FIG. 2 is a diagram illustrating a functional configuration of the service type estimation apparatus 1 according to the present embodiment.
The service type estimation device 1 includes a data analysis unit 11, a domain analysis unit 12, an operator search unit 13, a cache unit 14, an aggregation unit 15, and a determination unit 16.

データ分析部11は、端末2とサービス提供サーバ3との間の通信パケットをコネクション単位で再構築し、このコネクションそれぞれにおける特徴データを取得する。具体的には、データ分析部11は、送信元/宛先IPアドレス、送信元/宛先ポート番号及びプロトコルの5−tupleによって、コネクション単位でパケットを識別することにより、このコネクションを再構築する。コネクションの特徴データは、送受信方向、送受信データサイズ、送受信パケット数等を含む。   The data analysis unit 11 reconstructs a communication packet between the terminal 2 and the service providing server 3 for each connection, and acquires feature data in each connection. Specifically, the data analysis unit 11 reconstructs this connection by identifying the packet in connection units by the source / destination IP address, the source / destination port number, and the 5-tuple of the protocol. The connection characteristic data includes a transmission / reception direction, a transmission / reception data size, the number of transmission / reception packets, and the like.

また、データ分析部11は、コネクションに対応する特定のセッション、例えばHTTPセッションについては、このセッションを再構築し、セッションの特徴データを取得する。セッションの特徴データは、Content−type、Referer、Request/Response数等を含む。   The data analysis unit 11 reconstructs a specific session corresponding to the connection, for example, an HTTP session, and acquires session characteristic data. The session characteristic data includes Content-type, Referer, number of Request / Response, and the like.

ドメイン分析部12は、DNSレスポンスとコネクションとの対応関係を判別し、この対応関係から、コネクションの宛先ドメイン名を取得する。
図3は、本実施形態に係るドメイン分析部12による宛先ドメイン名の取得方法を例示する図である。 The domain analysis unit 12 determines the correspondence relationship between the DNS response and the connection, and acquires the destination domain name of the connection from this correspondence relationship.
FIG. 3 is a diagram illustrating a destination domain name acquisition method by the domain analysis unit 12 according to the present embodiment.

DNSレスポンスには、DNSリクエストにより問い合わせたドメイン名と、応答された1又は複数のIPアドレスとが有効期限(TTL; Time to live)付きで記述されている。ドメイン分析部12は、このドメイン名とIPアドレスとを対応付けたDNSマップを作成する。   In the DNS response, the domain name inquired by the DNS request and the one or more IP addresses that have been responded are described with a time-to-live (TTL). The domain analysis unit 12 creates a DNS map in which the domain name is associated with the IP address.

ドメイン分析部12は、データ分析部11によって再構成されたコネクションにおける宛先IPアドレスを、DNSマップと照合することにより、宛先IPアドレスと合致するDNSレスポンスを特定してドメイン名を取得する。例えば、DNSレスポンスから有効期限内に発生した宛先IPアドレス「198.51.100.2」のコネクションについて、DNSマップからドメイン名「example.com」が導出される。   The domain analysis unit 12 compares the destination IP address in the connection reconfigured by the data analysis unit 11 with the DNS map, thereby identifying the DNS response that matches the destination IP address and acquiring the domain name. For example, the domain name “example.com” is derived from the DNS map for the connection with the destination IP address “198.51.100.2” generated within the expiration date from the DNS response.

このとき、ドメイン分析部12は、DNSレスポンスから有効期限(例えば、12秒)内のコネクションを対象とすることにより、DNSパケットとコネクションとの対応付けを誤るリスクを低減して、判別精度を向上できる。   At this time, the domain analysis unit 12 targets the connection within the expiration date (for example, 12 seconds) from the DNS response, thereby reducing the risk of erroneous association between the DNS packet and the connection and improving the discrimination accuracy. it can.

また、ドメイン分析部12は、取得したドメイン名から、ホスト名を取り除き、上位レベルドメインを抽出する。これにより、サービス提供事業者又は提供サービス単位でのコネクションのグループ化が可能となる。   Further, the domain analysis unit 12 removes the host name from the acquired domain name and extracts a higher level domain. Thereby, it is possible to group connections by service provider or service unit.

事業者検索部13は、WHOIS(登録商標)サービスを提供する検索サーバ7を利用して、ドメイン名からドメイン名登録情報を検索し、サービス提供事業者情報を取得する。これにより、サービス提供事業者情報は、例えば、登録者名、連絡窓口のメールアドレス等を含み、これらの情報の類似性又は部分一致等の条件に基づいて、同一事業者として纏めることができる。   The provider search unit 13 searches the domain name registration information from the domain name using the search server 7 that provides the WHOIS (registered trademark) service, and acquires the service provider information. Thus, the service provider information includes, for example, a registrant name, a contact mail address, and the like, and can be collected as the same operator based on conditions such as similarity or partial match of these information.

キャッシュ部14は、事業者検索部13による検索結果の少なくとも一部、例えばRegistrant、Name Server、Contact InformationのEmail等のサービス提供事業者を識別するための情報を、ドメイン名と対応付けで所定の有効期間が満了するまでキャッシュする。これらのキャッシュされた情報は、事業者検索部13により抽出され、検索サーバ7への問い合わせによる処理負荷が低減される。さらに、事業者検索部13は、検索結果をキャッシュされている過去のデータと照合することにより、効率的に事業者をグループ化できる。
キャッシュ部14は、有効期限を超過した情報、又は検索頻度が低下した情報をキャッシュから削除してもよい。 The cache unit 14 associates information for identifying a service provider such as at least a part of the search result by the provider search unit 13, for example, Register, Name Server, Contact Information Email, etc. Cache until the validity period expires. The cached information is extracted by the operator search unit 13 and the processing load due to the inquiry to the search server 7 is reduced. Further, the business operator search unit 13 can efficiently group business operators by collating search results with cached past data.
The cache unit 14 may delete information whose expiration date has been exceeded or information whose search frequency has decreased from the cache.

集約部15は、所定時間内に発生した複数のコネクションを、同一サービスに起因した通信とみなしてグループに集約する。
具体的には、集約部15は、所定時間内(例えば3秒以内)に発生した複数のDNSリクエストに対して、これらのDNSリクエストの応答であるDNSレスポンスに記述されるIPアドレスに対応してDNSレスポンスの有効期間内に発生したコネクションを集約する。 The aggregating unit 15 regards a plurality of connections generated within a predetermined time as a communication caused by the same service and aggregates them into a group.
Specifically, the aggregating unit 15 responds to a plurality of DNS requests generated within a predetermined time (for example, within 3 seconds) corresponding to the IP addresses described in the DNS responses that are responses to these DNS requests. Consolidates connections that occur within the validity period of the DNS response.

図4は、本実施形態に係る集約部15によるコネクションの集約方法を例示する図である。
端末2からDNSサーバ6に対して3つのDNSリクエスト(req1、req2、req3)が送信され、それぞれに対する応答として3つのDNSレスポンス(res1、res2、res3)が端末2へ返信されている。 FIG. 4 is a diagram illustrating a connection aggregation method by the aggregation unit 15 according to the present embodiment.
Three DNS requests (req1, req2, req3) are transmitted from the terminal 2 to the DNS server 6, and three DNS responses (res1, res2, res3) are returned to the terminal 2 as responses to the respective DNS requests.

これらのDNSリクエストのうち、req1及びreq2がN秒以内に発生しており、req3とは別のグループに分類される。
req1及びreq2に対応するTCPコネクション(TCP1、TCP2)がres1及びres2からそれぞれTTL以内に発生し、これらが同一のサービス1に起因する通信として集約される。
また、req3に対応するTCPコネクション(TCP3)がres3からTTL以内に発生し、このTCP3がサービス2に起因する通信と判断される。 Of these DNS requests, req1 and req2 occur within N seconds, and are classified into a group different from req3.
TCP connections (TCP1, TCP2) corresponding to req1 and req2 are generated within TTL from res1 and res2, respectively, and these are aggregated as communications originating from the same service 1.
Also, a TCP connection (TCP3) corresponding to req3 occurs within TTL from res3, and it is determined that this TCP3 is communication caused by the service 2.

判定部16は、グループに含まれるコネクションそれぞれにおける特徴データの組み合わせパターンに基づいて、端末2において利用しているサービス種別を判定する。
サービス種別は、例えば、セッション数が多いサービス、通信データ量が多いサービス、双方向の通信が多いサービス等、ネットワークの利用方法を特徴付けるタイプに分類されたものであってよい。 The determination unit 16 determines the service type used in the terminal 2 based on the combination pattern of feature data in each connection included in the group.
The service type may be classified into a type characterizing a network usage method, for example, a service with a large number of sessions, a service with a large amount of communication data, or a service with a lot of bidirectional communication.

また、判定部16は、ドメイン名により識別されるサービス提供事業者に基づいて、より詳細にサービス種別を判定してもよい。このとき、判定部16は、サービス提供事業者情報の類似性から事業者検索部13により同一のサービス提供事業者と判断されたドメイン群を識別してサービス種別を判定する。
この場合、判定部16は、グループ内のコネクション数及び通信データ量等の特徴から、例えば、A社提供の音声通話サービスとチャットサービスとを判別する等、サービス提供事業者が提供する複数のサービス種別を判別できる。 The determination unit 16 may determine the service type in more detail based on the service provider identified by the domain name. At this time, the determination unit 16 determines the service type by identifying the domain group determined as the same service provider by the provider search unit 13 based on the similarity of the service provider information.
In this case, the determination unit 16 determines a plurality of services provided by the service provider such as, for example, distinguishing the voice call service and chat service provided by the company A from the characteristics such as the number of connections in the group and the communication data amount. The type can be determined.

さらに、判定部16は、複数のドメイン名の組み合わせパターンに基づいて、サービス種別を判定してもよい。この場合、判定部16は、例えば1つのサービス提供事業者が提供する複数のサービスのうち、サービス種別に応じて異なるドメイン名の組み合わせパターンを識別する。   Furthermore, the determination unit 16 may determine the service type based on a combination pattern of a plurality of domain names. In this case, the determination unit 16 identifies, for example, a combination pattern of domain names that differ depending on the service type among a plurality of services provided by one service provider.

判定部16は、グループの特徴データを所定の種類に分類するための分類器であってよい。この分類器は、既知の通信データを教師データとして学習するものであってよく、これにより分類精度が向上する。   The determination unit 16 may be a classifier for classifying group feature data into a predetermined type. This classifier may learn known communication data as teacher data, thereby improving the classification accuracy.

本実施形態によれば、サービス種別推定装置1は、所定時間内に発生した複数のコネクションをグループに集約し、グループ内のコネクションそれぞれの特徴データの組み合わせパターンに基づいて、サービス種別を推定する。したがって、サービス種別推定装置1は、サービス種別によって異なる通信の特徴を、1つのサービスに起因するコネクションのグループ毎に判別できるので、ネットワークを介して端末2が利用中のサービス種別を精度良く推定できる。   According to the present embodiment, the service type estimation device 1 aggregates a plurality of connections that have occurred within a predetermined time into a group, and estimates the service type based on a combination pattern of characteristic data of each connection in the group. Therefore, since the service type estimation device 1 can distinguish the characteristics of communication that differ depending on the service type for each group of connections caused by one service, the service type being used by the terminal 2 via the network can be accurately estimated. .

このように、サービス種別推定装置1は、関連するコネクションを集約してサービス種別を推定することで、ユーザによるネットワークの利用状況を、サービス種別毎に、通信の発生単位で詳細に把握できるので、将来のトラフィック需要予測の精度向上に貢献できる。   Thus, since the service type estimation device 1 can estimate the service type by aggregating related connections, the network usage status by the user can be grasped in detail for each service type in units of communication occurrence. This can contribute to improving the accuracy of future traffic demand forecasts.

サービス種別推定装置1は、所定時間内に発生したDNSリクエストとコネクションとを対応付けるので、コネクションが発生するトリガーとしてのDNSリクエストを基準にして、コネクションを精度良くグループ化できる。したがって、サービス種別推定装置1は、サービス種別をより精度良く推定できる。   Since the service type estimation device 1 associates a DNS request generated within a predetermined time with a connection, the service type estimation device 1 can group the connections with high accuracy based on the DNS request as a trigger for generating the connection. Therefore, the service type estimation device 1 can estimate the service type with higher accuracy.

また、サービス種別推定装置1は、コネクションの宛先ドメイン名を取得し、このドメイン名によりサービス種別を推定するので、サービス提供事業者毎に複数のサービス種別を識別できる。この結果、サービス種別推定装置1は、ネットワークの利用状況を、より詳細に把握できる。
このとき、サービス種別推定装置1は、複数のドメイン名の組み合わせパターンに基づいて、提供されるサービス種別毎に異なるパターンを識別できるので、サービス種別の推定精度をより向上できる。 Further, since the service type estimation device 1 acquires the destination domain name of the connection and estimates the service type based on this domain name, a plurality of service types can be identified for each service provider. As a result, the service type estimation device 1 can grasp the network usage status in more detail.
At this time, since the service type estimation device 1 can identify a different pattern for each provided service type based on a combination pattern of a plurality of domain names, the service type estimation accuracy can be further improved.

さらに、サービス種別推定装置1は、ドメイン名登録情報を検索し、検索結果の類似性から同一のサービス提供事業者を識別するので、事業者毎に複数のサービス種別をより精度良く識別できる。
このとき、サービス種別推定装置1は、頻繁に現れるドメイン名の検索結果をキャッシュに一時記憶することにより、処理負荷を低減できると共に、効率的に同一のサービス提供事業者を判別できる。 Furthermore, since the service type estimation device 1 searches the domain name registration information and identifies the same service provider from the similarity of the search results, a plurality of service types can be more accurately identified for each business.
At this time, the service type estimation device 1 can reduce the processing load and efficiently discriminate the same service provider by temporarily storing a search result of frequently appearing domain names in the cache.

また、サービス種別推定装置1は、コネクションに対応するセッションを再構築し、セッションにおける特徴データを取得するので、このセッションの特徴データをさらに用いて、サービス種別をより詳細に判別できる。   Further, since the service type estimation device 1 reconstructs the session corresponding to the connection and acquires the feature data in the session, the service type can be determined in more detail using the feature data of the session.

以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、本実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本実施形態に記載されたものに限定されるものではない。   As mentioned above, although embodiment of this invention was described, this invention is not restricted to embodiment mentioned above. Further, the effects described in the present embodiment are merely a list of the most preferable effects resulting from the present invention, and the effects of the present invention are not limited to those described in the present embodiment.

サービス種別推定装置1は、所定時間内に発生したDNSリクエストに対応するコネクションをグループ化したが、これには限られない。サービス種別推定装置1は、例えば、DNSリクエストとの対応関係を用いず、コネクション自体の発生時刻を基準にして、所定時間以内に発生したコネクションをグループ化してもよい。これにより、コネクションの集約処理が簡略化される。   The service type estimation device 1 groups connections corresponding to DNS requests generated within a predetermined time, but is not limited thereto. For example, the service type estimation device 1 may group connections generated within a predetermined time on the basis of the generation time of the connection itself without using the correspondence relationship with the DNS request. This simplifies connection aggregation processing.

サービス種別推定装置1による制御方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(サービス種別推定装置1)にインストールされる。また、これらのプログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータ(サービス種別推定装置1)に提供されてもよい。   The control method by the service type estimation device 1 is realized by software. When realized by software, a program constituting the software is installed in the information processing apparatus (service type estimation apparatus 1). These programs may be recorded on a removable medium such as a CD-ROM and distributed to the user, or may be distributed by being downloaded to the user's computer via a network. Furthermore, these programs may be provided to the user's computer (service type estimation apparatus 1) as a Web service via a network without being downloaded.

1 サービス種別推定装置
2 端末
3 サービス提供サーバ
11 データ分析部
12 ドメイン分析部
13 事業者検索部
14 キャッシュ部
15 集約部
16 判定部 DESCRIPTION OF SYMBOLS 1 Service classification estimation apparatus 2 Terminal 3 Service provision server 11 Data analysis part 12 Domain analysis part 13 Operator search part 14 Cache part 15 Aggregation part 16 Determination part

Claims (9)

端末とサーバとの通信をコネクションの単位で再構築し、当該コネクションそれぞれにおける送受信方向、送受信データサイズ又は送受信パケット数を含む特徴データを取得するデータ分析部と、
所定時間内に発生した複数のコネクションをグループに集約する集約部と、
前記グループに含まれるコネクションそれぞれにおける前記特徴データの組み合わせパターンに基づいて、前記端末において利用しているサービス種別を判定する判定部と、を備えるサービス種別推定装置。 A data analysis unit that reconstructs communication between the terminal and the server in connection units, and obtains characteristic data including a transmission / reception direction, a transmission / reception data size or a transmission / reception packet number in each connection,
An aggregation unit for aggregating a plurality of connections generated within a predetermined time into a group;
A service type estimation apparatus comprising: a determination unit that determines a service type used in the terminal based on a combination pattern of the feature data in each connection included in the group. 前記集約部は、所定時間内に発生した複数のDNSリクエストに対して、当該DNSリクエストの応答であるDNSレスポンスに記述されるIPアドレスに対応して当該DNSレスポンスの有効期間内に発生したコネクションを集約する請求項1に記載のサービス種別推定装置。   The aggregating unit, for a plurality of DNS requests generated within a predetermined time, corresponds to an IP address described in a DNS response that is a response to the DNS request and a connection generated within the valid period of the DNS response. The service type estimation apparatus according to claim 1, which is aggregated. 前記DNSレスポンスとコネクションとの対応関係から、当該コネクションの宛先のドメイン名を取得するドメイン分析部を備え、
前記判定部は、前記ドメイン名により識別されるサービス提供事業者に基づいて、前記サービス種別を判定する請求項2に記載のサービス種別推定装置。 A domain analysis unit that obtains the destination domain name of the connection from the correspondence between the DNS response and the connection;
The determination unit, based on the service provider identified by the domain name, service category estimation apparatus according to Motomeko 2 you determine the service type. 前記判定部は、前記ドメイン名の組み合わせパターンに基づいて、前記サービス種別を判定する請求項3に記載のサービス種別推定装置。   The service type estimation device according to claim 3, wherein the determination unit determines the service type based on a combination pattern of the domain names. 前記ドメイン名からドメイン名登録情報を検索し、サービス提供事業者情報を取得する事業者検索部を備え、
前記判定部は、前記サービス提供事業者情報の類似性から同一のサービス提供事業者を識別する請求項3又は請求項4に記載のサービス種別推定装置。 Searching for domain name registration information from the domain name, comprising a provider search unit for acquiring service provider information,
The service type estimation apparatus according to claim 3 or 4, wherein the determination unit identifies the same service provider from the similarity of the service provider information. 前記事業者検索部による検索結果を、所定の有効期間が満了するまでキャッシュするキャッシュ部を備える請求項5に記載のサービス種別推定装置。   The service type estimation apparatus according to claim 5, further comprising a cache unit that caches a search result by the provider search unit until a predetermined valid period expires. 前記データ分析部は、前記コネクションに対応するセッションを再構築し、当該セッションにおける特徴データを取得する請求項1から請求項6のいずれかに記載のサービス種別推定装置。   The service type estimation device according to any one of claims 1 to 6, wherein the data analysis unit reconstructs a session corresponding to the connection and acquires characteristic data in the session. コンピュータの制御部が、
端末とサーバとの通信をコネクションの単位で再構築し、当該コネクションそれぞれにおける送受信方向、送受信データサイズ又は送受信パケット数を含む特徴データを取得するデータ分析ステップと、
所定時間内に発生した複数のコネクションをグループに集約する集約ステップと、
前記グループに含まれるコネクションそれぞれにおける前記特徴データの組み合わせパターンに基づいて、前記端末において利用しているサービス種別を判定する判定ステップと、を実行するサービス種別推定方法。 The computer controller
A data analysis step of reconstructing communication between the terminal and the server in connection units, and acquiring characteristic data including a transmission / reception direction, a transmission / reception data size or a transmission / reception packet number in each connection,
An aggregation step of aggregating a plurality of connections generated within a predetermined time into a group;
And a determination step of determining a service type used in the terminal based on a combination pattern of the feature data in each connection included in the group. コンピュータの制御部に、
端末とサーバとの通信をコネクションの単位で再構築し、当該コネクションそれぞれにおける送受信方向、送受信データサイズ又は送受信パケット数を含む特徴データを取得するデータ分析ステップと、
所定時間内に発生した複数のコネクションをグループに集約する集約ステップと、
前記グループに含まれるコネクションそれぞれにおける前記特徴データの組み合わせパターンに基づいて、前記端末において利用しているサービス種別を判定する判定ステップと、を実行させるためのサービス種別推定プログラム。 In the control part of the computer,
A data analysis step of reconstructing communication between the terminal and the server in connection units, and acquiring characteristic data including a transmission / reception direction, a transmission / reception data size or a transmission / reception packet number in each connection,
An aggregation step of aggregating a plurality of connections generated within a predetermined time into a group;
And a determination step of determining a service type used in the terminal based on a combination pattern of the characteristic data in each connection included in the group.
JP2015074025A 2015-03-31 2015-03-31 Service type estimation apparatus, method and program Active JP6403624B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015074025A JP6403624B2 (en) 2015-03-31 2015-03-31 Service type estimation apparatus, method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015074025A JP6403624B2 (en) 2015-03-31 2015-03-31 Service type estimation apparatus, method and program

Publications (2)

Publication Number Publication Date
JP2016195319A JP2016195319A (en) 2016-11-17
JP6403624B2 true JP6403624B2 (en) 2018-10-10

Family

ID=57322980

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015074025A Active JP6403624B2 (en) 2015-03-31 2015-03-31 Service type estimation apparatus, method and program

Country Status (1)

Country Link
JP (1) JP6403624B2 (en)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007228217A (en) * 2006-02-23 2007-09-06 Nec Corp Traffic decision device, traffic decision method, and program therefor
JP2011015253A (en) * 2009-07-03 2011-01-20 Nippon Telegr & Teleph Corp <Ntt> Communication traffic classification method and apparatus, and program
US20130238782A1 (en) * 2012-03-09 2013-09-12 Alcatel-Lucent Usa Inc. Method and apparatus for identifying an application associated with an ip flow using dns data
JP6153166B2 (en) * 2013-08-29 2017-06-28 公立大学法人大阪市立大学 Traffic monitoring device, program, and communication device

Also Published As

Publication number Publication date
JP2016195319A (en) 2016-11-17

Similar Documents

Publication Publication Date Title
CN107241186B (en) Network device and method for network communication
Krishnamurthy et al. On network-aware clustering of web clients
CN106068639B (en) The Transparent Proxy certification handled by DNS
US8180892B2 (en) Apparatus and method for multi-user NAT session identification and tracking
US8904524B1 (en) Detection of fast flux networks
Müller et al. Recursives in the wild: Engineering authoritative DNS servers
US9578040B2 (en) Packet receiving method, deep packet inspection device and system
WO2017107780A1 (en) Method, device and system for recognizing illegitimate proxy for charging fraud
US20140280963A1 (en) Selection of service nodes for provision of services
US20100174829A1 (en) Apparatus for to provide content to and query a reverse domain name system server
WO2019028683A1 (en) Method and system for acquiring and collecting client local dns server
CN109474718B (en) Domain name resolution method and device
CN111447304B (en) Anycast node IP address enumeration method and system for anycast recursive domain name system
WO2020041137A1 (en) Nonce injection and observation system for detecting eavesdroppers
CN112449371B (en) Performance evaluation method of wireless router and electronic equipment
Al-Dalky et al. Characterization of collaborative resolution in recursive DNS resolvers
Yang et al. A Deep Dive into {DNS} Query Failures
US20190007327A1 (en) Automatic rule generation for flow management in software defined networking networks
US9832119B2 (en) Communication block apparatus and communication block method
JP6403624B2 (en) Service type estimation apparatus, method and program
EP4167524A1 (en) Local network device connection control
CN108900566B (en) Method and device for determining position of IP (Internet protocol) equipment in network
Yang et al. A deep dive into DNS behavior and query failures
CN109302390A (en) A kind of leak detection method and device
JP6109645B2 (en) Service estimation apparatus and method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170816

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180626

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180724

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180814

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180828

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180911

R150 Certificate of patent or registration of utility model

Ref document number: 6403624

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150