JP2013157931A - Transmission source/destination organization specification device, method, and program - Google Patents
Transmission source/destination organization specification device, method, and program Download PDFInfo
- Publication number
- JP2013157931A JP2013157931A JP2012018975A JP2012018975A JP2013157931A JP 2013157931 A JP2013157931 A JP 2013157931A JP 2012018975 A JP2012018975 A JP 2012018975A JP 2012018975 A JP2012018975 A JP 2012018975A JP 2013157931 A JP2013157931 A JP 2013157931A
- Authority
- JP
- Japan
- Prior art keywords
- address
- destination
- flow
- database
- domain name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、送信元・宛先組織特定装置及び方法及びプログラムに係り、特に、DNS(Domain Name Service)トラヒックとフローデータとを付き合わせることにより、あるトラヒックの送信元と宛先の組織を特定するための送信元・宛先組織特定装置及び方法及びプログラムに関する。 The present invention relates to a source / destination organization specifying apparatus, method, and program, and more particularly to specifying a source and destination organization of a certain traffic by associating DNS (Domain Name Service) traffic with flow data. The present invention relates to a transmission source / destination organization identification apparatus, method, and program.
・トラヒック状況の把握技術:
トラヒック状況を把握する者として、ルータなどの装置で収集可能なNetFlowを利用するものがある(例えば、非特許文献1参照)。これは、ネットワーク上に流れるデータを、宛先や送信元、ポート番号などの組み合わせで認識するフローと呼ばれるひとかたまりのデータとして扱うものである。この技術を用いることで、どのIPアドレスからどのIPアドレスへ、どの程度のトラヒックが流れているかを把握することができる。ただし、上記のNetFlowではIPアドレスやポート番号、パケット数やフローサイズといった限定的な情報のみ取得可能な技術である。全ての情報を収集するためにはデータをtcpdumpなどを用いてパケット単位で収集する方法(例えば、非特許文献2参照)や、sflowを用いてアプリケーションレイヤの情報を含むフローを収集する方法(例えば、非特許文献3参照)がある。
・ Technology for understanding traffic conditions:
As a person who grasps the traffic situation, there is a person who uses NetFlow that can be collected by a device such as a router (for example, see Non-Patent Document 1). In this method, data flowing on a network is handled as a set of data called a flow that is recognized by a combination of a destination, a transmission source, a port number, and the like. By using this technology, it is possible to grasp how much traffic is flowing from which IP address to which IP address. However, NetFlow is a technology that can acquire only limited information such as IP address, port number, number of packets, and flow size. In order to collect all information, a method of collecting data in packet units using tcpdump or the like (for example, refer to Non-Patent Document 2) or a method of collecting a flow including application layer information using sflow (for example, Non-Patent Document 3).
・CDN(Contents Delivery Network)事業の拡大:
昨今のインターネットサービスとして、CDN事業の拡大が顕著である。CDNはWebサイト、音楽、動画などのコンテンツを効率良く配信する仕組みである。CDNを利用している組織のコンテンツはその組織が保有、運用しているサーバではなくCDN上のサーバに置かれる。サーバはCDN事業者が持つ場合、あるいは他事業者のサーバを借りている場合がある。
・ Expand CDN (Contents Delivery Network) business:
As a recent Internet service, the expansion of the CDN business is remarkable. CDN is a mechanism for efficiently distributing content such as websites, music, and videos. The content of an organization that uses a CDN is placed on a server on the CDN, not the server that the organization owns and operates. The server may be owned by a CDN operator or may borrow a server from another operator.
・トラヒック状況の把握技術の課題:
上記CDN事業の拡大により、フローデータを用いた正しいトラヒック状況把握が困難となってきている。これは様々な組織のコンテンツがCDN上のサーバに置かれることが要因である。例えば、組織AとBのWebサイトがCDNを利用しており、かつCDN事業者の持つ同一の配信サーバに置かれているとする。この場合、あるユーザが組織AとBのWebサイトを閲覧した場合、どちらも宛先IPアドレスはCDN事業者の事業者のサーバとなる。フローデータに含まれる宛先の情報はIPアドレスであるため、フローデータのみを見ても組織Aへのトラヒックなのか、Bへのトラヒックなのかを判別することはできない。この例を図1に示す。図1に示す例は、企業A、企業B共に、サーバ(10.0.0.1)にWebコンテンツを置いている場合、ユーザ端末において、企業A、企業BどちらのWebコンテンツを閲覧しても同じ"10.0.0.1"のCDN上のサーバへアクセスしているため、ユーザ端末のIPアドレス(192.168.0.1)だけを見てもどちらのサイトを閲覧したかはわからない。
・ Issues to grasp the traffic situation:
Due to the expansion of the above CDN business, it is becoming difficult to grasp the correct traffic situation using flow data. This is because content of various organizations is placed on the server on the CDN. For example, assume that the websites of organizations A and B use a CDN and are located on the same distribution server owned by the CDN operator. In this case, when a user browses the websites of organizations A and B, the destination IP address is the server of the CDN operator. Since the destination information included in the flow data is an IP address, it is impossible to determine whether the traffic is to the organization A or B even if only the flow data is viewed. An example of this is shown in FIG. In the example shown in FIG. 1, when both company A and company B have Web contents on the server (10.0.0.1), the same "10.0" Since you are accessing a server on a .0.1 "CDN, you can't tell which site you browsed by looking at just the IP address (192.168.0.1) of the user terminal.
また、あるISP(Internet Service Provider)内に配信サーバがある場合、宛先のIPアドレスがISP事業者のサーバであるのか、CDN事業者の配信サーバであるのかを判別することができない。以上のように、IPアドレスと組織が1対1でないことが問題となり、トラヒック状況の正確な把握が困難となっている。 Also, when there is a distribution server in a certain ISP (Internet Service Provider), it cannot be determined whether the destination IP address is the ISP provider's server or the CDN provider's distribution server. As described above, the problem is that the IP address and the organization are not one-to-one, making it difficult to accurately grasp the traffic situation.
・関連技術:
インターネット上に流れるトラヒックや、インターネットの構造を明らかにする研究がある(例えば、非特許文献4参照)。これらの研究ではフローデータを分析することでAS間のトラヒック量やインターネットの構造を分析している。また、DNSデータと経路情報を用いてWebコンテンツ配信事業者のネットワーク構造を分析する技術がある(例えば、非特許文献5参照)。
・ Related technologies:
There is research to clarify the traffic flowing on the Internet and the structure of the Internet (see Non-Patent Document 4, for example). These studies analyze the traffic volume between ASs and the Internet structure by analyzing flow data. In addition, there is a technique for analyzing the network structure of a Web content distributor using DNS data and route information (see Non-Patent
しかしながら、非特許文献4においては、前述の通りフローデータなどのIPレイヤのみのデータではより細かいトラヒックの流量や状況を正確に把握することは困難である。また、非特許文献5ではDNSデータを利用しているため、細かい粒度での分析を行っているが、経路情報だけではトラヒック流量の把握までは困難である。
However, in Non-Patent Document 4, as described above, it is difficult to accurately grasp the traffic flow and status of finer traffic using only data of the IP layer such as flow data. Further, since DNS data is used in Non-Patent
本発明は、上記の点に鑑みなされたもので、フローデータに含まれるIPアドレスと組織の紐付けを行い、サイト別トラヒック状況の把握が可能な送信元・宛先組織特定装置及び方法及びプログラムを提供することを目的とする。 The present invention has been made in view of the above points, and relates to a transmission source / destination organization identification apparatus, method, and program capable of associating an IP address included in flow data with an organization and grasping a traffic situation by site. The purpose is to provide.
上記の課題を解決するため、本発明(請求項1)は、DNSトラヒックデータとフローデータとを付き合わせることにより、あるトラヒックの送信元と宛先の組織を特定する送信元・宛先組織特定装置であって、
前記DNSトラヒックデータを収集するDNSデータ収集手段と、
宛先IPアドレス、宛先IPアドレス、パケット数、フローサイズ、フロー取得開始時刻を含む前記フローデータを収集するフローデータ収集手段と、
前記DNSトラヒックデータに含まれる問い合わせ送信元ドメイン名を第1要素、該ドメイン名に対応するIPアドレスを第2要素、問い合わせ送信元IPアドレスを第3要素、問い合わせ時刻を第4要素、該ドメイン名の問い合わせ回数を第5要素とするDNS情報データベースを作成し、取得した前記フローデータに基づいてフローデータベースを生成するデータベース生成手段と、
前記DNS情報データベースと前記フローデータベースとを突き合わせ、該フローデータベースに出現する宛先IPアドレスにドメイン名を付与するマッチング手段と、を有する。
In order to solve the above problems, the present invention (Claim 1) is a transmission source / destination organization specifying device for specifying a source and destination organization of a certain traffic by associating DNS traffic data and flow data. There,
DNS data collection means for collecting the DNS traffic data;
A flow data collection means for collecting the flow data including a destination IP address, a destination IP address, the number of packets, a flow size, and a flow acquisition start time;
The inquiry source domain name included in the DNS traffic data is the first element, the IP address corresponding to the domain name is the second element, the inquiry source IP address is the third element, the inquiry time is the fourth element, and the domain name Creating a DNS information database having the number of inquiries as a fifth element, and generating a flow database based on the acquired flow data;
Matching means for matching the DNS information database with the flow database and assigning a domain name to a destination IP address appearing in the flow database.
また、本発明(請求項2)は、前記マッチング手段において、
前記フローデータベースの前記宛先IPアドレスが前記DNS情報データベースの前記第2要素、該フローデータベースの前記送信元IPアドレスが該DNS情報データベースの前記第3要素、該フローデータベースの前記フロー取得開始時刻が該DNS情報データベースの前記第4要素と一致するレコードを検索し、該第1要素を、前記宛先IPアドレスに付与する第1の検索手段と、
前記第1の検索手段において一致するレコードが検索できなかった場合に、前記フローデータベースの前記宛先IPアドレスが前記DNS情報データベースの前記第2要素と一致、かつ、該フローデータベースの前記送信元IPアドレスが該DNS情報データベースの前記第3要素と一致するレコードを検索し、該レコードの第1要素であるドメイン名を、前記宛先IPアドレスに付与する第2の検索手段と、
前記第1の検索手段及び前記第2の検索手段において一致するレコードが検索できなかった場合に、前記フローデータベースの前記宛先IPアドレスが前記DNS情報データベースの前記第2要素と一致するレコードを検索し、該レコードの第1要素であるドメイン名を、前記宛先IPアドレスに付与する第3の検索手段と、
前記第1の検索手段及び前記第2の検索手段及び前記第3の検索手段において一致するレコードが検索できなかった場合に、前記フローデータベースの前記宛先IPアドレスのネットワーク部が前記DNS情報データベースの前記第2要素のネットワーク部と一致するレコードを検索し、該レコードの第1要素であるドメイン名を、前記宛先IPアドレスに付与する第4の検索手段と、を含む。
Moreover, the present invention (Claim 2) is the above-mentioned matching means,
The destination IP address of the flow database is the second element of the DNS information database, the source IP address of the flow database is the third element of the DNS information database, and the flow acquisition start time of the flow database is the flow acquisition start time Searching for a record that matches the fourth element of the DNS information database, and assigning the first element to the destination IP address;
When the first search means cannot find a matching record, the destination IP address of the flow database matches the second element of the DNS information database, and the source IP address of the flow database Searching for a record that matches the third element of the DNS information database, and assigning a domain name that is the first element of the record to the destination IP address;
When the matching record cannot be searched in the first search means and the second search means, the record in which the destination IP address of the flow database matches the second element of the DNS information database is searched. , Third search means for assigning the domain name as the first element of the record to the destination IP address;
When a matching record cannot be searched in the first search means, the second search means, and the third search means, the network unit of the destination IP address of the flow database is the DNS information database. And fourth search means for searching for a record that matches the network part of the second element and assigning the domain name that is the first element of the record to the destination IP address.
また、本発明(請求項3)は、前記データベース生成手段において、
DNSトラヒックデータの応答に含まれるCNAME情報において、CNAMEによって付与された別名を第1要素、元のドメイン名を第2要素、該CNAMEの出現回数を第3要素とするレコードを有するCNAMEデータベースを生成するCNAMEデータベース生成手段を含み、
前記マッチング手段において、
前記宛先IPアドレスにドメイン名を付与する際に、該ドメイン名が前記CNAMEデータベースの前記第1要素と一致するレコードを検索し、別名が存在する場合は、該別名を該宛先IPアドレスに付与する手段を含む。
Further, the present invention (Claim 3) is the database generating means,
In the CNAME information included in the DNS traffic data response, a CNAME database is created having a record in which the alias given by the CNAME is the first element, the original domain name is the second element, and the number of occurrences of the CNAME is the third element. Including CNAME database generation means to
In the matching means,
When assigning a domain name to the destination IP address, a record in which the domain name matches the first element of the CNAME database is searched, and if an alias exists, the alias is assigned to the destination IP address. Including means.
また、本発明(請求項4)は、前記マッチング手段において、
検索により複数のレコードが得られた場合は、それぞれのドメイン名の問い合わせ回数によって前記フローデータベースに含まれる前記パケット数及び前記フローサイズを按分する手段を含む。
Moreover, this invention (Claim 4) is the said matching means,
In the case where a plurality of records are obtained by the search, a means for apportioning the number of packets and the flow size included in the flow database according to the number of times of inquiries for each domain name is included.
上記のように、本発明によれば、あるトラヒックがどの組織へ送られるものなのか、また、どの組織から送信されたものなのかを、DNSやフローといった比較的軽量で収集可能なデータを用いて特定することができ、正確なトラヒック状況を把握することが可能となる。このような正確なトラヒック状況の把握により、トラヒックに急激な変化が生じた場合にその原因を特定することなども可能となり、さらには通信網の設備設計の基礎データとしての利用も可能になるなど高い効果を奏する。 As described above, according to the present invention, it is possible to use a relatively lightweight and collectable data such as DNS or a flow to identify which traffic is sent to which organization and from which organization. Therefore, it is possible to grasp the exact traffic situation. By accurately grasping the traffic situation, it is possible to identify the cause of a sudden change in traffic, and to use it as basic data for communication network equipment design. Highly effective.
以下、図面と共に本発明の実施の形態を説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
<前提条件>
まず、本発明の前提条件を説明する。
<Prerequisites>
First, the preconditions of the present invention will be described.
本発明の入力として、DNSキャッシュサーバへ届くトラヒックデータ、ネットワーク上を通過するトラフィックフローの情報をモニタリングするプロトコルであるNetFlowを用いて収集したフローデータが与えられるものとする。DNSトラヒックデータには問い合わせドメイン名、その問い合わせに対する応答、問い合わせ送信元IPアドレス、問い合わせ時刻などが含まれ、フローデータには送信元IPアドレス、宛先IPアドレス、パケット数、トラヒック量、フローの取得開始時刻などの情報が含まれる。また、DNSトラヒックデータおよびフローデータの収集箇所は、同一NWでなくてもよい。 As input of the present invention, it is assumed that traffic data reaching the DNS cache server and flow data collected using NetFlow, which is a protocol for monitoring traffic flow information passing through the network, are given. DNS traffic data includes query domain name, response to the query, query source IP address, query time, etc. Flow data includes source IP address, destination IP address, number of packets, traffic volume, flow acquisition start Information such as time is included. Further, the collection point of DNS traffic data and flow data may not be the same NW.
[第1の実施の形態]
<本実施の形態の概要>
本発明では、まずDNSデータからIPアドレスとドメイン名などの情報を含むDNS情報データベースを生成する。次に、フローデータに出現するIPアドレスに対し、DNSデータから生成したデータベースを検索し、対応するドメイン名の紐付けを行う。
[First Embodiment]
<Outline of the present embodiment>
In the present invention, first, a DNS information database including information such as an IP address and a domain name is generated from DNS data. Next, the database generated from the DNS data is searched for the IP address appearing in the flow data, and the corresponding domain name is linked.
<構成>
図2は、本発明の第1の実施の形態におけるシステム構成である。
<Configuration>
FIG. 2 shows a system configuration in the first embodiment of the present invention.
同図示すシステムは、ユーザ端末1、通信先サーバ2、DNSキャッシュサーバ3、ルータ4、IPアドレスを保有しないスイッチであるL2SW5、送信元・宛先組織特定装置100から構成される。
The system shown in the figure includes a
送信元・宛先組織特定装置100は、フローデータを収集するフローデータ収集部110、DSNトラヒックデータを収集するDNSデータ収集部120、DNSトラヒックデータからDNSサーバ3に問い合わせ、応答情報を含むDNS情報データベース(DB)150と、フローデータベース(DB)140を生成するデータベース生成部130、フローDB140とDNS 情報DB150を突合せ、組織とトラヒックの紐付けを行うマッチング部160、マッチングの結果を出力する出力部170から構成される。
The source / destination
本発明の入力として、DNSキャッシュサーバ3へ届くトラヒックデータがDNSデータ収集部120に、NetFlowを用いて収集したフローデータがフローデータ収集部110にルータ4から与えられるものとする。DNSトラヒックデータには問い合わせドメイン名、その問い合わせに対する応答、問い合わせ送信元IPアドレス、問い合わせ時刻などが含まれ、フローデータには送信元IPアドレス、宛先IPアドレス、パケット数、トラヒック量、フローの取得開始時刻などの情報が含まれる。なお、DNSトラヒックデータ及びフローデータの収集箇所は、同一ネットワークでなくてもよい。
As an input of the present invention, it is assumed that traffic data reaching the DNS cache server 3 is given to the DNS
<DNS情報データベースの生成>
DNSデータ収集部120から与えられたDNSデータには問い合わせ送信元、時刻情報、応答情報が含まれている。応答情報にはどのドメイン名を問い合わせたか、そのドメイン名に対応するIPアドレスは何かというものが含まれている。データベース生成部130は、この情報を利用し、図3のようなドメイン名を第1要素、そのドメイン名に対応するIPアドレスを第2要素、問い合わせた送信元IPアドレスを第3要素、および問い合わせ時刻情報を第4要素、そのドメイン名の問い合わせ回数を第5要素とするDNS情報DB150を生成する。
<Generation of DNS information database>
The DNS data given from the DNS
<フローDBの作成>
データベース生成部130は、フローデータとして、送信元、宛先IPアドレスやパケット数、フローサイズ(流量)、そのフローの取得開始時刻などがフローデータ収集部110から入力されると、図4に示すように、送信元IPアドレスを第1要素、宛先IPアドレスを第2要素、フローの取得開始時刻を第3要素、パケット数を第4要素、流量を第5要素とするフローDB140を生成する。
<Create a flow database>
When the source, destination IP address, number of packets, flow size (flow rate), acquisition start time of the flow, and the like are input from the flow
<フローデータに含まれるIPアドレスとドメイン名のマッチング>
フローデータには送信元、宛先IPアドレスやパケット数、フローサイズ(流量)、そのフローの取得開始時刻などが含まれる。図5に示すように、マッチング部160は、フローDB140のフローデータに含まれる宛先IPアドレスがDNS情報DB150の第2要素(ドメイン名に対応するIPアドレス)、送信元IPアドレスがDNS情報DB150の第3要素(問い合わせ元)、フロー取得開始時刻がDNS情報DB150の第4要素(問い合わせ時刻)と一致するレコードを検索する。なお、フロー取得開始時刻とDNS情報DB150の第4要素とは厳密には同じ時刻にはならない可能性があるため、完全一致ではなく一定時間以内の差異を許容することが考えられる。次に、検索結果のレコードの第1要素であるドメイン名を、上記宛先IPアドレスに付与する。マッチング結果は、図5に示すように、宛先ドメイン名、パケット数、流量となる。
<Matching IP address and domain name included in flow data>
The flow data includes a transmission source, a destination IP address, the number of packets, a flow size (flow rate), an acquisition start time of the flow, and the like. As shown in FIG. 5, in the
なお、検索結果として複数のレコードが得られた場合は問い合わせ時刻が最新のものを利用するものとする。 When a plurality of records are obtained as a search result, the record with the latest inquiry time is used.
[第2の実施の形態]
<データベース検索の課題>
最近のOSやWebブラウザの実装では、DNS情報を端末に保存しておく機能がある。そのため、送信元端末はWebサイトの閲覧などにおいて必ずしもDNSサーバと通信するとは限らず、直接Webサーバへアクセスするケースが存在する。このような場合、DNS情報データベースの時刻情報や問い合わせ元IPアドレスの検索に失敗してしまう課題がある。また、DNSデータとフローデータの収集箇所が異なる場合、フローデータの送信元の検索に失敗するケースが存在する。他の問題として、収集したDNSトラヒックデータの中には存在する全てのドメイン名とそれに対応するIPアドレス情報が含まれていないというものがある。このような場合、フローデータに含まれる宛先IPアドレスとDNS情報DB150の第2要素の検索に失敗してしまう。以下、この課題に対する対処方法を記す。
[Second Embodiment]
<Database search issues>
Recent OS and Web browser implementations have the ability to save DNS information on the terminal. For this reason, the transmission source terminal does not always communicate with the DNS server when browsing a Web site, and there are cases in which it directly accesses the Web server. In such a case, there is a problem that the search of the time information in the DNS information database or the inquiry source IP address fails. In addition, there is a case where the search of the flow data transmission source fails when the collection points of the DNS data and the flow data are different. Another problem is that the collected DNS traffic data does not contain all existing domain names and corresponding IP address information. In such a case, the search for the destination IP address included in the flow data and the second element of the
<過去の問い合わせ情報を利用したマッチング方法>
検索に失敗したときの処理として、本実施の形態ではその送信元の過去のDNS問い合わせ情報または異なる送信元のDNS問い合わせ情報を利用する。具体的には、図6に示すように、フローDB140のフローデータに含まれる宛先IPアドレスがDNS情報DB150の第2要素、送信元IPアドレスがDNS情報DB150の第3要素と一致するようなレコードを検索し、そのレコードの第1要素であるドメイン名を宛先IPアドレスに付与する。
<Matching method using past inquiry information>
In this embodiment, as a process when the search fails, the past DNS inquiry information of the transmission source or the DNS inquiry information of a different transmission source is used. Specifically, as shown in FIG. 6, a record in which the destination IP address included in the flow data of the
[第3の実施の形態]
本実施の形態では、前述のDNSデータとフローデータの収集場所が異なる場合、送信元を利用した検索は失敗してしまうという課題を解決するための第2の方法について説明する。
[Third Embodiment]
In the present embodiment, a second method for solving the problem that a search using a transmission source fails when the above-described DNS data and flow data collection locations are different will be described.
<他のユーザの問い合わせ情報を利用したマッチング方法>
本実施の形態では、他のユーザのDNS問い合わせ情報を利用する。具体的には、図7に示すように、フローDB140のフローデータに含まれる宛先IPアドレスがDNS情報DB150の第2要素と一致するレコードを検索し、そのレコードの第1要素であるドメイン名を宛先IPアドレスに付与する。
<Matching method using inquiry information of other users>
In the present embodiment, DNS inquiry information of other users is used. Specifically, as shown in FIG. 7, a record in which the destination IP address included in the flow data of the
しかしながら、全ドメイン名とIPアドレス情報を持っていない場合、宛先IPアドレスを用いた検索に失敗してしまう。この場合の対処として、宛先IPアドレスおよびDNS情報DB150の第2要素のIPアドレスのネットワーク部を利用する。これは、あるIPアドレスの近隣にあるIPアドレスは同一組織のものであることが多いということを利用したものである。具体的には、図8に示すように、宛先IPアドレスの上位nビットとDNS情報データベースの第2要素のIPアドレスの上位nビットが一致するレコードを検索し、そのレコードの第1要素であるドメイン名を宛先IPアドレスに付与する。または、フローデータに含まれる宛先IPアドレスがDNS情報DB150の第2要素と一致するレコードを検索し、そのレコードの第1要素であるドメイン名を宛先IPアドレスに付与する。
However, if all domain names and IP address information are not available, the search using the destination IP address will fail. As a countermeasure in this case, the network part of the destination IP address and the IP address of the second element of the
前述の図7、図8で示したマッチング方式では、DNS情報データベースの検索結果として複数のレコードが得られるケースが存在する。本実施の形態では、このときの対処方法を記す。 In the matching method shown in FIGS. 7 and 8, there are cases where a plurality of records are obtained as a search result of the DNS information database. In this embodiment, a coping method at this time will be described.
図7および図8の場合においては、他のユーザの問い合わせ情報を利用しているため、どのドメイン名と通信したかを判別することは困難である。そこで、全ユーザの問い合わせ傾向から得られた複数のドメイン名にフローを按分する。具体的には、検索によって得られたドメイン名がA、B、Cであり、それぞれの問い合わせ回数が10、40、50だとすると、Aにはフローのパケット数、フローサイズの10%を、Bには40%、Cには50%を割り振る。また、Aがドメイン名A'、A''の別名であるである場合、割り当てられた10%のパケット数、フローサイズをCNAMEの出現回数によって按分する。 In the case of FIG. 7 and FIG. 8, since inquiry information of other users is used, it is difficult to determine which domain name communicated. Therefore, the flow is divided into a plurality of domain names obtained from the inquiry tendency of all users. Specifically, if the domain names obtained by the search are A, B, and C, and the number of inquiries is 10, 40, and 50, A is the number of packets in the flow and 10% of the flow size is B. Will be allocated 40% and C will be allocated 50%. When A is an alias for domain names A ′ and A ″, the allocated 10% packet number and flow size are prorated according to the number of appearances of CNAME.
[第4の実施の形態]
前述の第1〜第3の実施の形態によってIPアドレスにドメイン名を付与するとき、CNAMEによって正しいドメイン名が付与されないケースが存在する。例えば、"www.example.com"のCNAMEが"www2.example.com"の場合、以下の情報がキャッシュとして保存される。
1. www.example.comの別名はwww2.example.com
2. www2.example.comのIPアドレスはxxx.xxx.xxx.xxx
上記1および2にはそれぞれキャッシュの保持期間が設定されているが、それぞれの保存期間が同一ではないケースが存在する。例えば、2の保存期間が1の保存期間より短く設定されている場合、2の保存期間が過ぎ、端末が"www.example.com"の名前解決をするとき、1の情報がキャッシュとして保存されているため、端末はwww.example.comではなく"www2.example.com"の名前解決を行うことになる。このとき、DNS情報データベースには"www.example.com"ではなく"www2.example.com"が記録される。これにより、上記マッチング方法では、IPアドレスに"www.example.com"ではなく"www2.example.com"を誤って付与してしまう。
[Fourth embodiment]
When assigning a domain name to an IP address according to the first to third embodiments described above, there is a case where a correct domain name is not assigned by CNAME. For example, when the CNAME of “www.example.com” is “www2.example.com”, the following information is stored as a cache.
1. The alias for www.example.com is www2.example.com
2. The IP address of www2.example.com is xxx.xxx.xxx.xxx
In the above 1 and 2, a cache retention period is set, but there are cases where the retention periods are not the same. For example, if the retention period of 2 is set to be shorter than the retention period of 1, when the retention period of 2 has passed and the terminal resolves the name "www.example.com", the information of 1 is stored as a cache Therefore, the terminal performs name resolution of “www2.example.com” instead of www.example.com. At this time, “www2.example.com” is recorded in the DNS information database instead of “www.example.com”. As a result, in the above matching method, “www2.example.com” is erroneously assigned to the IP address instead of “www.example.com”.
本実施の形態では、この問題を解決するために、CNAMEデータベースを利用し、元ドメイン名を復元する。 In this embodiment, in order to solve this problem, the CNAME database is used to restore the original domain name.
図9は、本発明の第4の実施の形態における送信元・宛先組織特定装置の構成を示す。同図に示す装置は図2に示す構成にCNAMEデータベース155を付加した構成である。
FIG. 9 shows a configuration of a transmission source / destination organization specifying apparatus according to the fourth embodiment of the present invention. The apparatus shown in the figure has a configuration in which a
データベース生成部130は、以下の方法によりCNAMEDB155を生成する。
The
DNSの応答に含まれる情報には、CNAMEと呼ばれるドメイン名の別名を定義するためのリソースレコードが存在する。例えば、"www. example.co.jp"のIPアドレスを取得するためにDNSサーバへ問い合わせを発行すると、その応答には以下のようなCNAMEレコードが含まれている。 In the information included in the DNS response, there is a resource record for defining a domain name alias called CNAME. For example, when a query is issued to the DNS server to obtain the IP address of “www.example.co.jp”, the response includes the following CNAME record.
www.example.co.jp. 129909 IN CNAME www. example.com.
www.example.com. 387328 IN CNAME www.2. example.com.
これは、"www. example.co.jp"の別名が"www. example.com"であり、さらに"www. example.com"の別名が"www2. example.com"であることを表している。本実施の形態では、CNAMEの左にあるドメイン名を元ドメイン名、右側にあるドメイン名を別名と定義する。データベース生成部130は、DNS応答情報から、図10に示すような第1要素を元ドメイン名、第2要素を別名、第3要素をドメイン名と別名の出現回数とするCNAME DB155を生成する。
www.example.co.jp.129909 IN CNAME www.example.com.
www.example.com. 387328 IN CNAME www.2. example.com.
This means that the alias for "www.example.co.jp" is "www.example.com" and the alias for "www.example.com" is "www2.example.com" . In this embodiment, the domain name on the left of CNAME is defined as the original domain name, and the domain name on the right is defined as the alias. The
本実施の形態におけるマッチング部160は、図11に示すように、検索によって得られたドメイン名がCNAME DB155の第1要素と一致するレコードを検索し、得られた第2要素をさらにCNAMEDB155の第1要素と一致するかどうかを再帰的に調べる。一致するレコードが存在しなくなるまで検索し、そのドメイン名をIPアドレスに付与する。
As shown in FIG. 11, the
本実施の形態における動作のフローチャートを図12に示す。 FIG. 12 shows a flowchart of the operation in the present embodiment.
まず、マッチング部160に、送信元IPアドレス(s)、宛先IPアドレス(d)、開始時刻(t)、パケット数(pc)、フローサイズ(fs)が入力されると(ステップ101)、DNS情報DB150にs,d,tが存在するかを判定し(ステップ102)、存在する場合は、ドメイン名(f)とクエリ数(qc)の組を出力する(ステップ106)。存在しない場合は、DNS情報DB150にs及びdが存在するかを判定し(ステップ103)、存在する場合はステップ106の処理を行う。存在しない場合は、DNS情報DB150にdが存在するかを判定し、存在する場合はステップ106の処理を行う。存在しない場合はDNS情報DB150に宛先IPアドレスdのネットワーク部NW(d)が存在するかを判定する。例えば、d=192.168.0.1の場合、NW(d)=192.168.0.0/24や192.168.0.0/16が存在するかを判定する。存在する場合はステップ106の処理を行い、存在しない場合は処理を終了する(ステップ105)。
First, when the source IP address (s), destination IP address (d), start time (t), number of packets (pc), and flow size (fs) are input to the matching unit 160 (step 101), DNS It is determined whether or not s, d, and t exist in the information DB 150 (step 102). If they exist, a set of the domain name (f) and the number of queries (qc) is output (step 106). If it does not exist, it is determined whether or not s and d exist in the DNS information DB 150 (step 103). If it does not exist, it is determined whether d exists in the
ステップ106において、(f,qc)を出力した後、fがCNAME DB155に存在するかを判定し(ステップ107)、存在する場合は元ドメイン名(q)及びCNAMEの出現関数(cc)を出力し(ステップ108)、ドメイン名にパケット数、フローサイズを按分する関数として(q,pc,cc)及び(q,ps,cc)を出力する(ステップ109)。fがCNAME DB155に存在しない場合は(ステップ107、No)、ドメイン名にパケット数、フローサイズを按分する関数として(f,pc,qc)及び(f,ps,qc)を出力する(ステップ110)。
なお、上記の実施の形態における図2、図9に示す送信元・宛先組織特定装置のフローデータ収集部110、DNSデータ収集部120、データベース生成部130、マッチング部160、出力部170の各動作をプログラムとして構築し、送信元・宛先組織特定装置として利用されるコンピュータにインストールして実行させる、または、ネットワークを介して流通させることが可能である。
In step 106, after outputting (f, qc), it is determined whether f exists in the CNAME DB 155 (step 107), and if present, the original domain name (q) and the appearance function (cc) of CNAME are output. (Step 108), (q, pc, cc) and (q, ps, cc) are output as functions that apportion the number of packets and the flow size to the domain name (Step 109). If f does not exist in the CNAME DB 155 (No at Step 107), (f, pc, qc) and (f, ps, qc) are output as functions that apportion the number of packets and the flow size to the domain name (Step 110). ).
The operations of the flow
1 ユーザ端末
2 通信先サーバ
3 DNSサーバ
4 ルータ
5 L2SW
100 送信元・宛先組織特定装置
110 フローデータ収集部
120 DNSデータ収集部
130 データベース生成部
140 フローデータベース(DB)
150 DNS情報データベース(DB)
155 CNAMEデータベース(DB)
160 マッチング部
170 出力部
1 User terminal 2 Destination server 3 DNS server 4
100 Source / destination
150 DNS information database (DB)
155 CNAME database (DB)
160
Claims (8)
前記DNSトラヒックデータを収集するDNSデータ収集手段と、
宛先IPアドレス、宛先IPアドレス、パケット数、フローサイズ、フロー取得開始時刻を含む前記フローデータを収集するフローデータ収集手段と、
前記DNSトラヒックデータに含まれる問い合わせ送信元ドメイン名を第1要素、該ドメイン名に対応するIPアドレスを第2要素、問い合わせ送信元IPアドレスを第3要素、問い合わせ時刻を第4要素、該ドメイン名の問い合わせ回数を第5要素とするDNS情報データベースを作成し、取得した前記フローデータに基づいてフローデータベースを生成するデータベース生成手段と、
前記DNS情報データベースと前記フローデータベースとを突き合わせ、該フローデータベースに出現する宛先IPアドレスにドメイン名を付与するマッチング手段と、
を有することを特徴とする送信元・宛先組織特定装置。 A source / destination organization identification device that identifies a source and destination organization of a certain traffic by associating DNS (Domain Name Service) traffic data with flow data,
DNS data collection means for collecting the DNS traffic data;
A flow data collection means for collecting the flow data including a destination IP address, a destination IP address, the number of packets, a flow size, and a flow acquisition start time;
The inquiry source domain name included in the DNS traffic data is the first element, the IP address corresponding to the domain name is the second element, the inquiry source IP address is the third element, the inquiry time is the fourth element, and the domain name Creating a DNS information database having the number of inquiries as a fifth element, and generating a flow database based on the acquired flow data;
Matching means for matching the DNS information database and the flow database, and assigning a domain name to a destination IP address appearing in the flow database;
A transmission source / destination organization identification device characterized by comprising:
前記フローデータベースの前記宛先IPアドレスが前記DNS情報データベースの前記第2要素、該フローデータベースの前記送信元IPアドレスが該DNS情報データベースの前記第3要素、該フローデータベースの前記フロー取得開始時刻が該DNS情報データベースの前記第4要素と一致するレコードを検索し、該第1要素を、前記宛先IPアドレスに付与する第1の検索手段と、
前記第1の検索手段において一致するレコードが検索できなかった場合に、前記フローデータベースの前記宛先IPアドレスが前記DNS情報データベースの前記第2要素と一致、かつ、該フローデータベースの前記送信元IPアドレスが該DNS情報データベースの前記第3要素と一致するレコードを検索し、該レコードの第1要素であるドメイン名を、前記宛先IPアドレスに付与する第2の検索手段と、
前記第1の検索手段及び前記第2の検索手段において一致するレコードが検索できなかった場合に、前記フローデータベースの前記宛先IPアドレスが前記DNS情報データベースの前記第2要素と一致するレコードを検索し、該レコードの第1要素であるドメイン名を、前記宛先IPアドレスに付与する第3の検索手段と、
前記第1の検索手段及び前記第2の検索手段及び前記第3の検索手段において一致するレコードが検索できなかった場合に、前記フローデータベースの前記宛先IPアドレスのネットワーク部が前記DNS情報データベースの前記第2要素のネットワーク部と一致するレコードを検索し、該レコードの第1要素であるドメイン名を、前記宛先IPアドレスに付与する第4の検索手段と、
を含む請求項1記載の送信元・宛先組織特定装置。 The matching means includes
The destination IP address of the flow database is the second element of the DNS information database, the source IP address of the flow database is the third element of the DNS information database, and the flow acquisition start time of the flow database is the flow acquisition start time Searching for a record that matches the fourth element of the DNS information database, and assigning the first element to the destination IP address;
When the first search means cannot find a matching record, the destination IP address of the flow database matches the second element of the DNS information database, and the source IP address of the flow database Searching for a record that matches the third element of the DNS information database, and assigning a domain name that is the first element of the record to the destination IP address;
When the matching record cannot be searched in the first search means and the second search means, the record in which the destination IP address of the flow database matches the second element of the DNS information database is searched. , Third search means for assigning the domain name as the first element of the record to the destination IP address;
When a matching record cannot be searched in the first search means, the second search means, and the third search means, the network unit of the destination IP address of the flow database is the DNS information database. A fourth search means for searching for a record that matches the network part of the second element, and assigning the domain name that is the first element of the record to the destination IP address;
The transmission source / destination organization specifying apparatus according to claim 1.
DNSトラヒックデータの応答に含まれるCNAME情報において、CNAMEによって付与された別名を第1要素、元のドメイン名を第2要素、該CNAMEの出現回数を第3要素とするレコードを有するCNAMEデータベースを生成するCNAMEデータベース生成手段を含み、
前記マッチング手段は、
前記宛先IPアドレスにドメイン名を付与する際に、該ドメイン名が前記CNAMEデータベースの前記第1要素と一致するレコードを検索し、別名が存在する場合は、該別名を該宛先IPアドレスに付与する手段を含む
請求項1記載の送信元・宛先組織特定装置。 The database generation means includes
In the CNAME information included in the DNS traffic data response, a CNAME database is created having a record in which the alias given by the CNAME is the first element, the original domain name is the second element, and the number of occurrences of the CNAME is the third element. Including CNAME database generation means to
The matching means includes
When assigning a domain name to the destination IP address, a record in which the domain name matches the first element of the CNAME database is searched, and if an alias exists, the alias is assigned to the destination IP address. The transmission source / destination organization specifying apparatus according to claim 1, further comprising means.
検索により複数のレコードが得られた場合は、それぞれのドメイン名の問い合わせ回数によって前記フローデータベースに含まれる前記パケット数及び前記フローサイズを按分する手段を含む
請求項1乃至3のいずれか1項に記載の送信元・宛先組織特定装置。 The matching means includes
The method according to any one of claims 1 to 3, further comprising means for apportioning the number of packets included in the flow database and the flow size according to the number of inquiries for each domain name when a plurality of records are obtained by the search. The source / destination organization identification device described.
DNSデータ収集手段が、前記DNSトラヒックデータを収集するDNSデータ収集ステップと、
フローデータ収集手段が、宛先IPアドレス、宛先IPアドレス、パケット数、フローサイズ、フロー取得開始時刻を含む前記フローデータを収集するフローデータ収集ステップと、
データベース生成手段が、前記DNSトラヒックデータに含まれる問い合わせ送信元ドメイン名を第1要素、該ドメイン名に対応するIPアドレスを第2要素、問い合わせ送信元IPアドレスを第3要素、問い合わせ時刻を第4要素、該ドメイン名の問い合わせ回数を第5要素とするDNS情報データベースを作成し、取得した前記フローデータに基づいてフローデータベースを生成するデータベース生成ステップと、
マッチング手段が、前記DNS情報データベースと前記フローデータベースとを突き合わせ、該フローデータベースに出現する宛先IPアドレスにドメイン名を付与するマッチングステップと、
を行うことを特徴とする送信元・宛先組織特定方法。 A source / destination organization identification method for identifying a source and destination organization of a certain traffic by associating DNS traffic data with flow data,
DNS data collection means for collecting the DNS traffic data by a DNS data collection means;
A flow data collecting step for collecting the flow data including a destination IP address, a destination IP address, the number of packets, a flow size, and a flow acquisition start time;
The database generation means includes a query transmission source domain name included in the DNS traffic data as a first element, an IP address corresponding to the domain name as a second element, a query transmission source IP address as a third element, and a query time as a fourth element. A database generation step of creating a DNS information database having the element, the domain name inquiry count as a fifth element, and generating a flow database based on the acquired flow data;
A matching step of matching the DNS information database with the flow database and assigning a domain name to a destination IP address appearing in the flow database;
A source / destination organization specifying method characterized by:
前記フローデータベースの前記宛先IPアドレスが前記DNS情報データベースの前記第2要素、該フローデータベースの前記送信元IPアドレスが該DNS情報データベースの前記第3要素、該フローデータベースの前記フロー取得開始時刻が該DNS情報データベースの前記第4要素と一致するレコードを検索し、該第1要素を、前記宛先IPアドレスに付与する第1の検索ステップと、
前記第1の検索ステップにおいて一致するレコードが検索できなかった場合に、前記フローデータベースの前記宛先IPアドレスが前記DNS情報データベースの前記第2要素と一致、かつ、該フローデータベースの前記送信元IPアドレスが該DNS情報データベースの前記第3要素と一致するレコードを検索し、該レコードの第1要素であるドメイン名を、前記宛先IPアドレスに付与する第2の検索ステップと、
前記第1の検索ステップ及び前記第2の検索ステップにおいて一致するレコードが検索できなかった場合に、前記フローデータベースの前記宛先IPアドレスが前記DNS情報データベースの前記第2要素と一致するレコードを検索し、該レコードの第1要素であるドメイン名を、前記宛先IPアドレスに付与する第3の検索ステップと、
前記第1の検索ステップ及び前記第2の検索ステップ及び前記第3の検索ステップにおいて一致するレコードが検索できなかった場合に、前記フローデータベースの前記宛先IPアドレスのネットワーク部が前記DNS情報データベースの前記第2要素のネットワーク部と一致するレコードを検索し、該レコードの第1要素であるドメイン名を、前記宛先IPアドレスに付与する第4の検索ステップと、
を含む請求項5記載の送信元・宛先組織特定方法。 In the matching step,
The destination IP address of the flow database is the second element of the DNS information database, the source IP address of the flow database is the third element of the DNS information database, and the flow acquisition start time of the flow database is the flow acquisition start time Searching for a record that matches the fourth element of the DNS information database, and assigning the first element to the destination IP address;
When the matching record could not be searched in the first search step, the destination IP address of the flow database matches the second element of the DNS information database, and the source IP address of the flow database Searching for a record that matches the third element of the DNS information database, and assigning a domain name that is the first element of the record to the destination IP address;
When a record that matches in the first search step and the second search step cannot be searched, the record in which the destination IP address of the flow database matches the second element of the DNS information database is searched. , A third search step of assigning the domain name that is the first element of the record to the destination IP address;
When the matching record cannot be searched in the first search step, the second search step, and the third search step, the network part of the destination IP address of the flow database is stored in the DNS information database. A fourth search step of searching for a record that matches the network part of the second element, and assigning the domain name that is the first element of the record to the destination IP address;
The transmission source / destination organization specifying method according to claim 5.
DNSトラヒックデータの応答に含まれるCNAME情報において、CNAMEによって付与された別名を第1要素、元のドメイン名を第2要素、該CNAMEの出現回数を第3要素とするレコードを有するCNAMEデータベースを生成するCNAMEデータベース生成ステップを含み、
前記マッチングステップにおいて、
前記宛先IPアドレスにドメイン名を付与する際に、該ドメイン名が前記CNAMEデータベースの前記第1要素と一致するレコードを検索し、別名が存在する場合は、該別名を該宛先IPアドレスに付与するステップを含む
請求項5記載の送信元・宛先組織特定方法。 In the database generation step,
In the CNAME information included in the DNS traffic data response, a CNAME database is created having a record in which the alias given by the CNAME is the first element, the original domain name is the second element, and the number of occurrences of the CNAME is the third element. Including CNAME database generation step to
In the matching step,
When assigning a domain name to the destination IP address, a record in which the domain name matches the first element of the CNAME database is searched, and if an alias exists, the alias is assigned to the destination IP address. 6. The transmission source / destination organization identification method according to claim 5, further comprising a step.
請求項1乃至4のいずれか1項に記載の送信元・宛先組織特定装置の各手段として機能させるための送信元・宛先組織特定プログラム。 Computer
A transmission source / destination organization specifying program for causing each of the means of the transmission source / destination organization specifying device according to any one of claims 1 to 4 to function.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012018975A JP5770652B2 (en) | 2012-01-31 | 2012-01-31 | Source / destination organization identification apparatus, method and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012018975A JP5770652B2 (en) | 2012-01-31 | 2012-01-31 | Source / destination organization identification apparatus, method and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013157931A true JP2013157931A (en) | 2013-08-15 |
JP5770652B2 JP5770652B2 (en) | 2015-08-26 |
Family
ID=49052694
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012018975A Active JP5770652B2 (en) | 2012-01-31 | 2012-01-31 | Source / destination organization identification apparatus, method and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5770652B2 (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015097330A (en) * | 2013-11-15 | 2015-05-21 | Kddi株式会社 | Service estimation device and method |
JP2015149695A (en) * | 2014-02-10 | 2015-08-20 | Kddi株式会社 | Network use estimation apparatus, method, and program |
JP2015186001A (en) * | 2014-03-24 | 2015-10-22 | Kddi株式会社 | Communication service classification device, method, and program |
JP2016152501A (en) * | 2015-02-17 | 2016-08-22 | 日本電信電話株式会社 | Estimation device, estimation method and program |
WO2017039602A1 (en) * | 2015-08-31 | 2017-03-09 | Hewlett Packard Enterprise Development Lp | Collecting domain name system traffic |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011073568A1 (en) * | 2009-12-17 | 2011-06-23 | France Telecom | Measure of activity between a client and a server site |
-
2012
- 2012-01-31 JP JP2012018975A patent/JP5770652B2/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011073568A1 (en) * | 2009-12-17 | 2011-06-23 | France Telecom | Measure of activity between a client and a server site |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015097330A (en) * | 2013-11-15 | 2015-05-21 | Kddi株式会社 | Service estimation device and method |
JP2015149695A (en) * | 2014-02-10 | 2015-08-20 | Kddi株式会社 | Network use estimation apparatus, method, and program |
JP2015186001A (en) * | 2014-03-24 | 2015-10-22 | Kddi株式会社 | Communication service classification device, method, and program |
JP2016152501A (en) * | 2015-02-17 | 2016-08-22 | 日本電信電話株式会社 | Estimation device, estimation method and program |
WO2016133064A1 (en) * | 2015-02-17 | 2016-08-25 | 日本電信電話株式会社 | Estimation device, estimation method, and recording medium |
US10511500B2 (en) | 2015-02-17 | 2019-12-17 | Nippon Telegraph And Telephone Corporation | Estimation device, estimation method, and recording medium |
WO2017039602A1 (en) * | 2015-08-31 | 2017-03-09 | Hewlett Packard Enterprise Development Lp | Collecting domain name system traffic |
US10666672B2 (en) | 2015-08-31 | 2020-05-26 | Hewlett Packard Enterprise Development Lp | Collecting domain name system traffic |
Also Published As
Publication number | Publication date |
---|---|
JP5770652B2 (en) | 2015-08-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10361931B2 (en) | Methods and apparatus to identify an internet domain to which an encrypted network communication is targeted | |
Czyz et al. | Measuring ipv6 adoption | |
US10284516B2 (en) | System and method of determining geographic locations using DNS services | |
US9565076B2 (en) | Distributed network traffic data collection and storage | |
JP5237034B2 (en) | Root cause analysis method, device, and program for IT devices that do not acquire event information. | |
CN101616079B (en) | NAT outlet link load balancing method and device of DNS request message | |
Khan et al. | As-level topology collection through looking glass servers | |
JP5770652B2 (en) | Source / destination organization identification apparatus, method and program | |
US20090154363A1 (en) | Method of resolving network address to host names in network flows for network device | |
EP3754947B1 (en) | System and method for identifying ott applications and services | |
US11283757B2 (en) | Mapping internet routing with anycast and utilizing such maps for deploying and operating anycast points of presence (PoPs) | |
JP2019514303A (en) | How to analyze Internet traffic sources and destinations | |
US10608981B2 (en) | Name identification device, name identification method, and recording medium | |
US9055113B2 (en) | Method and system for monitoring flows in network traffic | |
US11665078B1 (en) | Discovery and tracing of external services | |
Durairajan et al. | Layer 1-informed internet topology measurement | |
US20180288612A1 (en) | User equipment and method for protection of user privacy in communication networks | |
CN104202418B (en) | Recommend the method and system of the content distributing network of business for content supplier | |
Deri et al. | A distributed dns traffic monitoring system | |
Venkataraman et al. | Measuring and quantifying the silent majority on the internet | |
JP5126715B2 (en) | Network management server | |
Tomar et al. | Conceptual model for comparison of IPv6 ISPs based on IPv4 traffic profiles | |
JP6170001B2 (en) | Communication service classification device, method and program | |
KR20130069009A (en) | Method for generating ccn information using snmp and ipfix, and method for monitoring ccn using that | |
Claffy et al. | The 10th workshop on active internet measurements (AIMS-10) report |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20131001 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140425 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150210 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150217 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150420 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150623 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150625 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5770652 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |