JP2014209674A - 識別装置、識別方法および識別プログラム - Google Patents
識別装置、識別方法および識別プログラム Download PDFInfo
- Publication number
- JP2014209674A JP2014209674A JP2013085804A JP2013085804A JP2014209674A JP 2014209674 A JP2014209674 A JP 2014209674A JP 2013085804 A JP2013085804 A JP 2013085804A JP 2013085804 A JP2013085804 A JP 2013085804A JP 2014209674 A JP2014209674 A JP 2014209674A
- Authority
- JP
- Japan
- Prior art keywords
- information
- communication
- terminal
- identification
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
Abstract
【課題】端末装置の接続形態の識別を効果的に実現する。
【解決手段】識別装置1は、監視対象の通信パケットの情報を取得する通信監視部11と、前記通信監視部11により取得される通信パケットの情報に基づいて、前記通信パケットを送信した端末装置の種類を示す情報を取得する端末種類取得部(例えば、通信プロトコル分析部12)と、前記通信監視部11により取得される通信パケットの情報に含まれるTTLの値および前記端末種類取得部により取得される前記端末装置の種類を示す情報に基づいて、前記端末装置について接続形態を検出する接続形態検出部(例えば、端末識別部14)と、を備える。
【選択図】図1
【解決手段】識別装置1は、監視対象の通信パケットの情報を取得する通信監視部11と、前記通信監視部11により取得される通信パケットの情報に基づいて、前記通信パケットを送信した端末装置の種類を示す情報を取得する端末種類取得部(例えば、通信プロトコル分析部12)と、前記通信監視部11により取得される通信パケットの情報に含まれるTTLの値および前記端末種類取得部により取得される前記端末装置の種類を示す情報に基づいて、前記端末装置について接続形態を検出する接続形態検出部(例えば、端末識別部14)と、を備える。
【選択図】図1
Description
本発明は、識別装置、識別方法および識別プログラムに関する。
通信網において相手となる端末装置のOS(Operating System)等の種類(種別)を識別する方法が多数提案されてきた。
例えば、非特許文献1に係る技術は、識別したい相手の端末装置に対して通信パケットを送出し、その反応を分析することで、相手の端末装置の種類を識別するものである(非特許文献1参照。)。識別に用いる情報としては、TCP/IP(Transmission Control Protocol/Internet Protocol)の各種のヘッダやオプション等が利用される。
例えば、非特許文献1に係る技術は、識別したい相手の端末装置に対して通信パケットを送出し、その反応を分析することで、相手の端末装置の種類を識別するものである(非特許文献1参照。)。識別に用いる情報としては、TCP/IP(Transmission Control Protocol/Internet Protocol)の各種のヘッダやオプション等が利用される。
また、上述のような動的に相手の端末装置へ通信パケットを送出する方法に加え、非特許文献2に係る技術のように、相手の端末装置の通信内容を静的に監視することで、相手の端末装置の種類を識別する方法も提案されている(非特許文献2参照。)。この方法においても、端末装置の識別にはTCP/IPの各種のヘッダやオプション等が利用される。
前述のTCP/IPの情報を用いた識別は一般にShallow Packet Inspection(SPI)と呼ばれるが、一方で、より上位のアプリケーション層の情報を用いた識別を行うDeep Packet Inspection(DPI)と呼ばれる方法もある。
Deep Packet Inspectionを用いることで、例えば非特許文献3に係る技術のように、アプリケーション層の様々な情報を取得し、相手の端末装置の識別を行うことが可能となる(非特許文献3参照。)。
Deep Packet Inspectionを用いることで、例えば非特許文献3に係る技術のように、アプリケーション層の様々な情報を取得し、相手の端末装置の識別を行うことが可能となる(非特許文献3参照。)。
なお、上述した技術のうち、Shallow Packet Inspectionにおいては、TCP/IPの各種のヘッダやオプション等の特徴から、該当する端末装置の種類を識別していた。しかしながら、その識別においては、各種の特徴と端末装置の種類との組み合わせが既知であることが前提であり、その識別用のデータベースの作成や維持には大きな労力を要するという問題があった。また、新たな端末装置については、その識別を行うことができないという問題もあった。
一方、Deep Packet Inspectionにおいては、計算の負荷が膨大となること、端末装置の識別情報を含まないアプリケーションを用いた通信や暗号化された通信において端末装置の種類を識別することができないこと、などの問題があった。
上記のようなShallow Packet Inspectionの問題やDeep Packet Inspectionの問題については、これらの対処について検討が為されている。
上記のようなShallow Packet Inspectionの問題やDeep Packet Inspectionの問題については、これらの対処について検討が為されている。
Remote OS detection via TCP/IP Stack FingerPrinting(2nd Generation)、[online]、[平成25年2月12日検索]、インターネット <URL:http://nmap.org/book/osdetect.html>
Official p0f homepage、[online]、[平成25年2月12日検索]、インターネット <URL:http://lcamtuf.coredump.cx/p0f.shtml>
Deep packet inspection meets‘Net neutrality, CALEA、[online]、[平成25年2月12日検索]、インターネット <URL:http://arstechnica.com/hardware/news/2007/07/Deep−packet−inspection−meets−net−neutrality.ars>
ところで、例えば、ある程度の精度で端末装置の種類を識別することが可能であっても、識別することが可能なものが端末装置の機種や使用しているOSなどに限られるような場合には、通信において端末装置が接続されている形態(どのような形態で接続されているか)を判定することが困難であるという問題が生じる。特に、携帯電話による直接的な通信とテザリングを使用する通信を識別することなどのように、ほぼ同一の経路による通信における端末装置の接続形態を識別することは非常に困難であると考えられる。
本発明は、このような事情を考慮してなされたもので、端末装置の接続形態の識別を効果的に実現することができる識別装置、識別方法および識別プログラムを提供することを課題とする。
(1)上記の課題を解決するために、本発明に係る識別装置は、監視対象の通信パケットの情報を取得する通信監視部と、前記通信監視部により取得される通信パケットの情報に基づいて、前記通信パケットを送信した端末装置の種類を示す情報を取得する端末種類取得部と、前記通信監視部により取得される通信パケットの情報に含まれる通信パケットの転送回数上限(TTL:Time To Live)の値および前記端末種類取得部により取得される前記端末装置の種類を示す情報に基づいて、前記端末装置について接続形態を検出する接続形態検出部と、を備えることを特徴とする。
(2)本発明は、上記した(1)に記載の識別装置において、前記通信監視部により取得される通信パケットの情報に含まれるTTLの値に関する情報、および前記端末種類取得部により取得される前記端末装置の種類を示す情報を記憶する情報記憶部を備え、前記接続形態検出部は、前記情報記憶部により記憶される情報に基づいて、端末装置の種類ごとに、テザリングが使用されていない場合におけるTTLの標準的な減少値を検出し、前記接続形態検出部は、観測されたTTLの値について初期値からの減少値が、前記テザリングが使用されていない場合におけるTTLの標準的な減少値と比べて、一致する場合には、テザリングが使用されていないことを検出する一方、より減少の度合いが大きい場合には、テザリングが使用されていることを検出する、ことを特徴とする。
(3)本発明は、上記した(1)または上記した(2)に記載の識別装置において、前記端末種類取得部は、前記通信監視部により取得される通信パケットの情報に基づいて通信フローを再構築してその通信プロトコルを分析することで、前記通信パケットを送信した端末装置の種類を示す情報を取得する、ことを特徴とする。
(4)本発明は、上記した(1)から上記した(3)のいずれか1つに記載の識別装置において、前記通信監視部は、回線に流れる通信パケットの情報をリアルタイムに取得すること、または、外部にあらかじめ記憶された通信パケットの情報を取得すること、を行う、ことを特徴とする。
(5)本発明は、上記した(1)から上記した(4)のいずれか1つに記載の識別装置において、前記通信監視部により取得される通信パケットの情報に含まれるTTLの値と共に、フィンガプリント情報、User−Agent:ヘッダの情報または他の情報のうちの1以上を組み合わせて、端末装置に関する識別を実行する識別実行部を備える、ことを特徴とする。
(6)上記の課題を解決するために、本発明に係る識別方法は、通信監視部が、監視対象の通信パケットの情報を取得し、端末種類取得部が、前記通信監視部により取得される通信パケットの情報に基づいて、前記通信パケットを送信した端末装置の種類を示す情報を取得し、接続形態検出部が、前記通信監視部により取得される通信パケットの情報に含まれるTTLの値および前記端末種類取得部により取得される前記端末装置の種類を示す情報に基づいて、前記端末装置について接続形態を検出する、ことを特徴とする。
(7)上記の課題を解決するために、本発明に係る識別プログラムは、通信監視部が、監視対象の通信パケットの情報を取得するステップと、端末種類取得部が、前記通信監視部により取得される通信パケットの情報に基づいて、前記通信パケットを送信した端末装置の種類を示す情報を取得するステップと、接続形態検出部が、前記通信監視部により取得される通信パケットの情報に含まれるTTLの値および前記端末種類取得部により取得される前記端末装置の種類を示す情報に基づいて、前記端末装置について接続形態を検出するステップと、をコンピュータに実行させるためのプログラムである。
本発明によれば、端末装置の接続形態の識別を効果的に実現することができる。
以下、図面を参照し、本発明の実施形態について説明する。
図1は、本発明の一実施形態に係る識別装置1の概略的な構成を示すブロック図である。
また、図1は、通信パケットを流す回線2を示す。
本実施形態に係る識別装置1は、通信監視部11と、通信プロトコル分析部12と、端末識別情報データベース(情報記憶部)13と、端末識別部14と、を備える。
本実施形態に係る識別装置1では、一例として、CPU(Central Processing Unit)があらかじめ記憶されたソフトウェア(例えば、プログラム)を実行することで、各種の処理や制御が行われる。
また、図1は、通信パケットを流す回線2を示す。
本実施形態に係る識別装置1は、通信監視部11と、通信プロトコル分析部12と、端末識別情報データベース(情報記憶部)13と、端末識別部14と、を備える。
本実施形態に係る識別装置1では、一例として、CPU(Central Processing Unit)があらかじめ記憶されたソフトウェア(例えば、プログラム)を実行することで、各種の処理や制御が行われる。
本実施形態に係る識別装置1は、回線2と接続される。
ここで、回線2としては、様々なものが用いられてもよく、例えば、コアネットワークの回線や、サービスプロバイダの回線など、様々なネットワークの回線を用いることができる。
ここで、回線2としては、様々なものが用いられてもよく、例えば、コアネットワークの回線や、サービスプロバイダの回線など、様々なネットワークの回線を用いることができる。
なお、本実施形態に係る通信システムでは、識別装置1は、サーバ装置に設けられている。サーバ装置は、回線2と接続される。
また、本実施形態に係る通信システムでは、回線2に、有線通信を行う端末装置や、基地局装置が接続される。
また、本実施形態に係る通信システムでは、無線通信を行う端末装置が、基地局装置と無線により通信することで、当該基地局装置に接続される回線2と接続される。
このような本実施形態に係る通信システムにおいて、有線通信を行う端末装置や、無線通信を行う端末装置は、回線2を介して、通信パケットを通信(送信や受信)する。
また、本実施形態に係る通信システムでは、回線2に、有線通信を行う端末装置や、基地局装置が接続される。
また、本実施形態に係る通信システムでは、無線通信を行う端末装置が、基地局装置と無線により通信することで、当該基地局装置に接続される回線2と接続される。
このような本実施形態に係る通信システムにおいて、有線通信を行う端末装置や、無線通信を行う端末装置は、回線2を介して、通信パケットを通信(送信や受信)する。
本実施形態に係る識別装置1において行われる動作の例を示す。
通信監視部11は、回線2と接続され、回線2に流れる通信パケット(例えば、そのネットワーク上に流れる通信パケット)を監視する。
本実施形態では、通信監視部11は、回線2に流れる通信パケット(例えば、そのネットワーク上に流れる通信パケット)をリアルタイムに監視する。
他の構成例として、通信監視部11は、オフラインで、外部の記憶装置または外部の通信装置などから、あらかじめ電子ファイル等に保存(記憶)された通信パケットを入力して、この通信パケットを監視対象とすることも可能である。
通信監視部11は、回線2と接続され、回線2に流れる通信パケット(例えば、そのネットワーク上に流れる通信パケット)を監視する。
本実施形態では、通信監視部11は、回線2に流れる通信パケット(例えば、そのネットワーク上に流れる通信パケット)をリアルタイムに監視する。
他の構成例として、通信監視部11は、オフラインで、外部の記憶装置または外部の通信装置などから、あらかじめ電子ファイル等に保存(記憶)された通信パケットを入力して、この通信パケットを監視対象とすることも可能である。
通信監視部11は、監視対象となる通信パケットを回線2(他の構成例として、外部の記憶装置または外部の通信装置など)から取得すると、取得した通信パケットの情報を、通信プロトコル分析部12と、端末識別情報データベース13と、端末識別部14に、出力する。
本実施形態では、通信監視部11により監視される通信パケットは、端末識別部14において端末装置の種類や接続形態を識別するために使用される対象となるとともに、通信プロトコル分析部12と端末識別情報データベース13において端末識別情報のデータベースを作成するために使用される。
通信プロトコル分析部12は、通信監視部11から入力されて得られた通信パケットに基づいてセッション(通信フロー)を再構築し、その通信プロトコルの情報を分析する。そして、通信プロトコル分析部12は、この通信プロトコルの情報の分析により、通信プロトコルの情報中のOS情報などの端末情報を取得する。通信プロトコル分析部12は、取得した端末情報を端末識別情報データベース13に出力する。
本実施形態では、通信プロトコル分析部12は、通信プロトコルの情報の分析に際して、通信プロトコルの情報中のアプリケーションの情報を取得し、取得したアプリケーションの情報に基づいて、OS情報などの端末情報を類推して取得する。
本実施形態では、通信プロトコル分析部12は、通信プロトコルの情報の分析に際して、通信プロトコルの情報中のアプリケーションの情報を取得し、取得したアプリケーションの情報に基づいて、OS情報などの端末情報を類推して取得する。
ここで、一般に、通信プロトコルの情報には、その通信プロトコルを実行する端末装置の種類を示す情報(端末情報)を、そのアプリケーションの情報に、明示的に含むものが存在する。本実施形態では、通信プロトコル分析部12は、このような端末情報を取得する。
また、通信プロトコルの情報から端末情報を取得する手順は、例えば、それぞれの通信プロトコルごとに、あらかじめ規定され、プログラムなどの形式で実現される。
このような通信プロトコル分析部12の機能は、Deep Packet Inspectionの機能に相当する。
また、通信プロトコルの情報から端末情報を取得する手順は、例えば、それぞれの通信プロトコルごとに、あらかじめ規定され、プログラムなどの形式で実現される。
このような通信プロトコル分析部12の機能は、Deep Packet Inspectionの機能に相当する。
ここで、端末情報としては、端末装置の種類を示す情報が用いられ、例えば、端末装置に搭載されたOSの種類を示す情報(OS情報)、端末装置の機種名を示す情報(機種名情報)、端末装置の番号を示す情報(番号情報)、などのうちの1つ以上を用いることができる。
一例として、TCP/IPの通信プロトコルを用いる場合を示す。TCP/IPの通信プロトコルのアプリケーションの情報として、アプリケーションレイヤプロトコルであるHTTP(Hyper Text Transfer Protocol)の情報を用いる。
通信プロトコル分析部12は、通信パケットに基づいて通信フローを再構築する処理として、得られた複数の通信パケット(通信パケット群)を並べ替えて、(再送の分を除いて、)TCP/IPのセッション(通信フロー)を再現する。そして、通信プロトコル分析部12は、そのTCP/IPのセッション(通信フロー)の上に載っているアプリケーションレイヤプロトコル(HTTP)を分析する。これにより、通信プロトコル分析部12は、アプリケーションレベルで通信プロトコルを分析して、端末情報を取得する。
通信プロトコル分析部12は、通信パケットに基づいて通信フローを再構築する処理として、得られた複数の通信パケット(通信パケット群)を並べ替えて、(再送の分を除いて、)TCP/IPのセッション(通信フロー)を再現する。そして、通信プロトコル分析部12は、そのTCP/IPのセッション(通信フロー)の上に載っているアプリケーションレイヤプロトコル(HTTP)を分析する。これにより、通信プロトコル分析部12は、アプリケーションレベルで通信プロトコルを分析して、端末情報を取得する。
具体的な一例として、HTTPのプロトコルにおいては、次のような形式のUser−Agent:ヘッダが含まれることが多い。
(User−Agent:ヘッダの例)
User−Agent: Mozilla/5.0(*******; U; ******* NT 6.0; ja; rv:1.9.0.6) Gecko/2009011913 Firefox/3.0.6 (.NET CLR 3.5.30729)
User−Agent: Mozilla/5.0(*******; U; ******* NT 6.0; ja; rv:1.9.0.6) Gecko/2009011913 Firefox/3.0.6 (.NET CLR 3.5.30729)
ここで、「Mozilla/5.0」は、ブラウザのバージョン(ブラウザの種類)を示す情報である。
また、「******* NT 6.0」は、OSのバージョン(OSの種類)を示す情報である。
なお、上記した(User−Agent:ヘッダの例)およびその説明における「*******」としては、「Windows(登録商標)」という文字列が用いられる(但し、「(登録商標)」という部分は、便宜上付したものであり、前記文字列には含まれない。)。
また、「******* NT 6.0」は、OSのバージョン(OSの種類)を示す情報である。
なお、上記した(User−Agent:ヘッダの例)およびその説明における「*******」としては、「Windows(登録商標)」という文字列が用いられる(但し、「(登録商標)」という部分は、便宜上付したものであり、前記文字列には含まれない。)。
この例では、User−Agent:ヘッダには、ブラウザのバージョンを示す情報に加えて、OSのバージョンを示す情報が含まれているため、通信プロトコル分析部12は、このUser−Agent:ヘッダから、OS情報を得ることが可能である。
また、他の例として、ある特定のOSだけに提供されているアプリケーションがある場合には、このアプリケーションを使用していることが特定されたときには、通信プロトコル分析部12は、この特定のOSの情報を得ることができる。
端末識別情報データベース13は、通信監視部11から入力されて得られた通信パケットの情報および通信プロトコル分析部12から入力されて得られた端末情報に基づいて、これらに関する情報を併せて、端末識別情報として、記録して保持(記憶)する。これにより、端末識別情報データベース13において、端末識別情報のデータベースが作成される。
本実施形態では、端末識別情報データベース13は、通信監視部11から入力されて得られた通信パケットの情報に基づいて得られる通信パケットの特徴を示す情報(本実施形態などにおいて、「フィンガプリント情報」と言う。)と、通信プロトコル分析部12から入力されて得られた当該通信パケットから得られた端末情報とを対応付けて、端末識別情報として記憶する。
ここで、通信パケットの特徴を示す情報(フィンガプリント情報)としては、様々なものが用いられてもよく、一例として、TCP/IPの通信プロトコルを用いる場合には、TCP/IPの各種のヘッダやオプション等の情報を用いることができる。
また、好ましい例として、端末識別情報データベース13は、通信パケットの特徴を示す情報(フィンガプリント情報)と端末情報との組み合わせを取得する際に、複数の通信パケットについて出現回数(または、出現頻度)が大きい組み合わせを優先して取得する構成とすることができる。具体例として、端末識別情報データベース13は、通信パケットの特徴を示す情報(フィンガプリント情報)と端末情報とのうちの一方が同じであるが他方が異なる組み合わせが2つ以上ある場合に、複数の通信パケットについて出現回数(または、出現頻度)が最も大きい組み合わせだけを取得することができる。
一例として、端末識別情報データベース13は、通信パケットの特徴を示す情報(フィンガプリント情報)が同じであるが端末情報が異なる組み合わせが存在する場合には、出現回数(または、出願頻度)が大きい組み合わせを優先して、対応付けて記憶する。
一例として、端末識別情報データベース13は、通信パケットの特徴を示す情報(フィンガプリント情報)が同じであるが端末情報が異なる組み合わせが存在する場合には、出現回数(または、出願頻度)が大きい組み合わせを優先して、対応付けて記憶する。
このような通信パケットの特徴を示す情報(フィンガプリント情報)を取得する端末識別情報データベース13の機能は、Shallow Packet Inspectionの機能に相当する。
なお、本実施形態では、端末識別情報データベース13にShallow Packet Inspectionの機能を備えるが、他の構成例として、通信監視部11にShallow Packet Inspectionの機能を備えて、その結果の情報を通信監視部11から端末識別情報データベース13に出力することも可能である。
なお、本実施形態では、端末識別情報データベース13にShallow Packet Inspectionの機能を備えるが、他の構成例として、通信監視部11にShallow Packet Inspectionの機能を備えて、その結果の情報を通信監視部11から端末識別情報データベース13に出力することも可能である。
図2は、本発明の一実施形態に係る端末識別情報データベース13に記憶される端末識別情報の一例を示す図である。
本実施形態では、端末識別情報データベース13に記憶される端末識別情報は、通信パケットの特徴を示す情報(フィンガプリント情報)と、端末情報とを対応付けて、構成されている。
図2の例では、複数のフィンガプリント情報のそれぞれごとに、そのフィンガプリント情報が得られた通信パケットから得られた端末情報が対応付けられている。
端末情報としては、例えば、OS情報、機種名情報、番号情報などを用いることができる。
本実施形態では、端末識別情報データベース13に記憶される端末識別情報は、通信パケットの特徴を示す情報(フィンガプリント情報)と、端末情報とを対応付けて、構成されている。
図2の例では、複数のフィンガプリント情報のそれぞれごとに、そのフィンガプリント情報が得られた通信パケットから得られた端末情報が対応付けられている。
端末情報としては、例えば、OS情報、機種名情報、番号情報などを用いることができる。
また、端末識別情報データベース13は、端末装置を特定する情報(端末特定情報)と、通信パケットの転送回数上限(TTL)に関する情報(TTL関連情報)を、併せて、TTL情報として、記録して保持(記憶)する。
ここで、端末特定情報としては、例えば、それぞれの端末装置の個体を特定する情報が用いられてもよく、または、他の構成例として、端末装置の種類などのように、複数の端末装置が属する属性を特定する情報が用いられてもよい。例えば、端末特定情報として、フィンガプリント情報や端末情報の一部または全部が用いられてもよい。
ここで、端末特定情報としては、例えば、それぞれの端末装置の個体を特定する情報が用いられてもよく、または、他の構成例として、端末装置の種類などのように、複数の端末装置が属する属性を特定する情報が用いられてもよい。例えば、端末特定情報として、フィンガプリント情報や端末情報の一部または全部が用いられてもよい。
図3は、本発明の一実施形態に係る端末識別情報データベース13に記憶されるTTL情報の一例を示す図である。
本実施形態では、端末識別情報データベース13に記憶されるTTL情報は、端末装置を特定する情報(端末特定情報)と、TTLに関する情報(TTL関連情報)とを対応付けて、構成されている。
本実施形態では、端末識別情報データベース13に記憶されるTTL情報は、端末装置を特定する情報(端末特定情報)と、TTLに関する情報(TTL関連情報)とを対応付けて、構成されている。
本実施形態では、TTL関連情報として、TTLの初期値の情報(図3における「初期値」)、テザリングを使用しない場合におけるTTLの標準的な減少値の情報(図3における「標準的な減少値」)、観測されたTTLの値の情報(図3における「観測値」)を用いる。
ここで、TTLの初期値は、例えば、端末装置の種類(一例として、OSの種類)ごとに規定されており、あらかじめ設定されて記憶される。
また、テザリングを使用しない場合におけるTTLの標準的な減少値や、実際に観測されるTTLの値は、例えば、(本実施形態では、端末識別部14により)観測値に基づいて取得(検出)され、設定されて記憶される。
ここで、TTLの初期値は、例えば、端末装置の種類(一例として、OSの種類)ごとに規定されており、あらかじめ設定されて記憶される。
また、テザリングを使用しない場合におけるTTLの標準的な減少値や、実際に観測されるTTLの値は、例えば、(本実施形態では、端末識別部14により)観測値に基づいて取得(検出)され、設定されて記憶される。
端末識別部14は、通信監視部11から入力されて得られた通信パケットの情報に基づいて得られる通信パケットの特徴を示す情報(フィンガプリント情報)を取得する。そして、端末識別部14は、端末識別情報データベース13に記憶される端末識別情報を参照して、取得した通信パケットの特徴を示す情報(フィンガプリント情報)に対応する端末情報を検出する。端末識別部14は、検出した端末情報を出力する。
ここで、端末識別部14が検出して出力する対象とする端末情報としては、例えば、OS情報、機種名情報、番号情報などのうちの任意の1つ以上の情報を用いることができる。
ここで、端末識別部14が検出して出力する対象とする端末情報としては、例えば、OS情報、機種名情報、番号情報などのうちの任意の1つ以上の情報を用いることができる。
このような通信パケットの特徴を示す情報(フィンガプリント情報)を取得する端末識別部14の機能は、Shallow Packet Inspectionの機能に相当する。
なお、本実施形態では、端末識別部14にShallow Packet Inspectionの機能を備えるが、他の構成例として、通信監視部11にShallow Packet Inspectionの機能を備えて、その結果の情報を通信監視部11から端末識別部14に出力することも可能である。
なお、本実施形態では、端末識別部14にShallow Packet Inspectionの機能を備えるが、他の構成例として、通信監視部11にShallow Packet Inspectionの機能を備えて、その結果の情報を通信監視部11から端末識別部14に出力することも可能である。
このように、端末識別部14は、Shallow Packet Inspectionにより得られた情報(フィンガプリント情報)と端末識別情報データベース13より得られた情報(端末識別情報)とを突き合わせることにより、端末装置の種類を識別し、その情報(端末情報)を出力する。
これにより、識別装置1では、通信監視部11により得られた通信パケットを通信網(本実施形態では、回線2)に送信(送出)した端末装置の種類を識別することができる。
これにより、識別装置1では、通信監視部11により得られた通信パケットを通信網(本実施形態では、回線2)に送信(送出)した端末装置の種類を識別することができる。
また、端末識別部14は、通信監視部11から入力されて得られた通信パケットの情報に含まれるTTLの情報を処理する。
ここで、本実施形態では、端末装置が送信する通信パケットの所定の部分(例えば、IPヘッダ)には、当該通信パケットが転送され得る回数の上限値を規定するTTLの値が含まれる。TTLの初期値は、例えば、端末装置(ここでは、通信パケットを送信する発信元の端末装置)のOSの種類に応じて、OSごとに固定的に規定されている。
通信パケットに含まれるTTLの値は、当該通信パケットがルータ(実質的にルータの機能を実現する端末装置を含む)を通過するごとに、当該ルータにより1だけ減少させられる。また、ルータにおいて、通信パケットに含まれるTTLの値を1だけ減少させた結果、TTLの値が0になった場合には、当該通信パケットを破棄し、これにより、通信パケットの無駄なループを防止する。
ここで、本実施形態では、端末装置が送信する通信パケットの所定の部分(例えば、IPヘッダ)には、当該通信パケットが転送され得る回数の上限値を規定するTTLの値が含まれる。TTLの初期値は、例えば、端末装置(ここでは、通信パケットを送信する発信元の端末装置)のOSの種類に応じて、OSごとに固定的に規定されている。
通信パケットに含まれるTTLの値は、当該通信パケットがルータ(実質的にルータの機能を実現する端末装置を含む)を通過するごとに、当該ルータにより1だけ減少させられる。また、ルータにおいて、通信パケットに含まれるTTLの値を1だけ減少させた結果、TTLの値が0になった場合には、当該通信パケットを破棄し、これにより、通信パケットの無駄なループを防止する。
本実施形態では、端末装置をテザリングに用いる場合、つまり、当該端末装置を外付けモデムのように用いて他のコンピュータなど(発信元の端末装置)を回線(例えば、インターネットの回線)に接続する場合には、テザリングに用いられる端末装置はルータとして機能する。この場合、この端末装置が他のコンピュータなど(発信元の端末装置)から受信して送信する通信パケットに含まれるTTLの値は、この端末装置(ここでは、ルータ)において1だけ減少させられる。
なお、一般に、通信パケットの転送回数上限(TTL)は、通信パケットのループを防ぐために設定されているが、本実施形態では、通信パケットの経路を識別する上で、非常に有効な情報として利用している。
なお、一般に、通信パケットの転送回数上限(TTL)は、通信パケットのループを防ぐために設定されているが、本実施形態では、通信パケットの経路を識別する上で、非常に有効な情報として利用している。
具体例として、テザリングでなく直接に端末装置が(発信元として)通信パケットを送信する場合に当該通信パケットに含まれるTTLの値と比べて、テザリングで端末装置が(ルータとして)通信パケットを送信する場合に当該通信パケットに含まれるTTLの値は、ルータとなる端末装置の数(例えば、1)だけ小さくなる。すると、TTLの初期値が同一である1個以上の端末装置から識別装置1が受信する通信パケットに関して、概略的には、通信パケットに含まれるTTLの値は、テザリングでない場合における値と、テザリングである場合における値という複数の種類(例えば、テザリング時におけるルータの数が一定であれば、テザリングの有無に応じて、2種類)に分かれる。なお、本実施形態では、テザリングで使用される端末装置(ここでは、ルータ)の有無以外の経路については、テザリングの使用の有無に関わらず、経由するルータの数は一定であるとみなす。
本実施形態では、端末識別部14は、通信監視部11から得られた通信パケットの情報から、当該通信パケットの転送回数上限(TTL)に該当する情報(TTLの値)を取得し、当該情報(TTLの観測値)を、端末識別情報データベース13におけるTTL情報に記憶する。
また、端末識別部14は、端末識別情報データベース13における端末識別情報およびTTL情報に基づいて、端末装置の種類(例えば、OSの種類)から予想(規定)されるTTLの初期値を検出し、このTTLの初期値と実際に通信パケットに含まれるものとして観測(検出)したTTLの値との差分の分布を生成し、この分布の状況に基づいて、テザリングが使用されていない場合におけるTTLの標準的な減少値(初期値からの減少値)を検出(例えば、推定的に算出)する。
本実施形態では、端末識別部14は、テザリングが使用されていない場合におけるTTLの標準的な減少値について、検出結果の情報(標準的な減少値)を、端末識別情報データベース13におけるTTL情報に記憶する。
また、端末識別部14は、端末識別情報データベース13における端末識別情報およびTTL情報に基づいて、端末装置の種類(例えば、OSの種類)から予想(規定)されるTTLの初期値を検出し、このTTLの初期値と実際に通信パケットに含まれるものとして観測(検出)したTTLの値との差分の分布を生成し、この分布の状況に基づいて、テザリングが使用されていない場合におけるTTLの標準的な減少値(初期値からの減少値)を検出(例えば、推定的に算出)する。
本実施形態では、端末識別部14は、テザリングが使用されていない場合におけるTTLの標準的な減少値について、検出結果の情報(標準的な減少値)を、端末識別情報データベース13におけるTTL情報に記憶する。
また、端末識別部14は、判定対象とする通信パケットに含まれるTTLの値(観測値)について、初期値からの減少値を検出(算出)する。
そして、端末識別部14は、判定対象とする通信パケットに含まれるTTLの値(観測値)についての減少値(初期値からの減少値)と、テザリングを使用しない場合におけるTTLの標準的な減少値(初期値からの減少値)とを比較し、この比較の結果に基づいて、当該判定対象とする通信パケットがテザリングの端末装置から送信されたものであるか否か(端末装置の接続形態)を判定(検出)する。具体的には、端末識別部14は、判定対象とする通信パケットに含まれるTTLの値(観測値)についての減少値と、テザリングを使用しない場合におけるTTLの標準的な減少値とが一致する場合には、テザリングが使用されていない接続形態であると判定(検出)し、一方、判定対象とする通信パケットに含まれるTTLの値(観測値)についての減少値の方が、テザリングを使用しない場合におけるTTLの標準的な減少値よりも、減少の度合いが大きい(例えば、1だけ多く減少している)場合には、テザリングが使用されている接続形態であると判定(検出)する。
そして、端末識別部14は、判定対象とする通信パケットに含まれるTTLの値(観測値)についての減少値(初期値からの減少値)と、テザリングを使用しない場合におけるTTLの標準的な減少値(初期値からの減少値)とを比較し、この比較の結果に基づいて、当該判定対象とする通信パケットがテザリングの端末装置から送信されたものであるか否か(端末装置の接続形態)を判定(検出)する。具体的には、端末識別部14は、判定対象とする通信パケットに含まれるTTLの値(観測値)についての減少値と、テザリングを使用しない場合におけるTTLの標準的な減少値とが一致する場合には、テザリングが使用されていない接続形態であると判定(検出)し、一方、判定対象とする通信パケットに含まれるTTLの値(観測値)についての減少値の方が、テザリングを使用しない場合におけるTTLの標準的な減少値よりも、減少の度合いが大きい(例えば、1だけ多く減少している)場合には、テザリングが使用されている接続形態であると判定(検出)する。
端末識別部14は、判定した端末装置の接続形態を示す情報(接続形態情報)を出力する。ここで、端末識別部14は、例えば、同一の端末装置に関して、端末情報と接続形態情報をまとめて出力してもよく、又は、それぞれを独立に出力してもよい。
また、例えば、端末識別部14は、Shallow Packet Inspectionにより得られた情報(フィンガプリント情報)と端末識別情報データベース13より得られた情報(端末識別情報やTTL情報)とを突き合わせることにより、端末装置の接続形態を識別し、その情報(接続形態情報)を出力してもよい。
これにより、識別装置1では、通信監視部11により得られた通信パケットを通信網(本実施形態では、回線2)に送信(送出)した端末装置の接続形態を識別(判定)することができる。
また、例えば、端末識別部14は、Shallow Packet Inspectionにより得られた情報(フィンガプリント情報)と端末識別情報データベース13より得られた情報(端末識別情報やTTL情報)とを突き合わせることにより、端末装置の接続形態を識別し、その情報(接続形態情報)を出力してもよい。
これにより、識別装置1では、通信監視部11により得られた通信パケットを通信網(本実施形態では、回線2)に送信(送出)した端末装置の接続形態を識別(判定)することができる。
ここで、本実施形態では、OSごとにおけるテザリングを使用しない場合におけるTTLの標準的な減少値(例えば、観測に基づく予想値)や、OSごとにおけるテザリングを使用する場合におけるTTLの減少値(例えば、観測に基づく予想値)は、端末識別部14により検出されて、OSごとに、端末識別情報データベース13に記憶される。
なお、OSごとにおけるテザリングを使用しない場合におけるTTLの標準的な減少値や、OSごとにおけるテザリングを使用する場合におけるTTLの減少値は、例えば、他の処理部(図1の例では、通信監視部11、通信プロトコル分析部12、端末識別情報データベース13のいずれか)により検出する構成としてもよい。
なお、OSごとにおけるテザリングを使用しない場合におけるTTLの標準的な減少値や、OSごとにおけるテザリングを使用する場合におけるTTLの減少値は、例えば、他の処理部(図1の例では、通信監視部11、通信プロトコル分析部12、端末識別情報データベース13のいずれか)により検出する構成としてもよい。
なお、他の構成例として、端末識別部14が、TTLの値に関する判定(検出)の結果と、端末装置の種類(例えば、OSの種類、または、TCPフィンガプリントなど)に関する判定(検出)の結果とが合致しない(矛盾する)と判定した場合に、エラーを検出する、構成とすることもできる。このような構成では、例えば、このような矛盾が生じたときに、端末装置の種類について次の候補を見つけ易いという効果が得られる。
以上のように、本実施形態に係る識別装置1は、通信パケットの情報を監視する通信監視部11と、通信パケット群から通信フローを再構築してその通信プロトコルを分析する通信プロトコル分析部12と、通信パケットの特徴を示す情報(フィンガプリント情報)と端末装置の種類を示す情報(端末情報)とを併せて記録および保持するとともにTTL情報を記録および保持する端末識別情報データベース13と、通信パケットの情報と端末識別情報データベース13より得られる情報とを突き合わせることにより端末装置の種類や接続形態を識別(判定)してその情報を出力する端末識別部14と、を備える。これにより、本実施形態に係る識別装置1は、通信パケットから端末装置の種類や接続形態を識別する。
ここで、本実施形態に係る識別装置1では、通信監視部11と、通信プロトコル分析部12と、端末識別情報データベース13と、端末識別部14により行われる処理は、当該識別装置1により自動的に行われる。
例えば、本実施形態に係る識別装置1では、端末識別情報データベース13に記憶される端末識別情報のデータベースにおける端末識別情報やTTL情報(ここでは、初期的に設定される情報を除く)は、当該識別装置1により自動的に生成される。
例えば、本実施形態に係る識別装置1では、端末識別情報データベース13に記憶される端末識別情報のデータベースにおける端末識別情報やTTL情報(ここでは、初期的に設定される情報を除く)は、当該識別装置1により自動的に生成される。
一構成例として、本実施形態に係る識別装置1では、通信監視部11は、ネットワーク(本実施形態では、回線2)上に流れる通信パケットを監視する。
他の構成例として、本実施形態に係る識別装置1では、通信監視部11は、あらかじめ電子ファイル等に保存された通信パケットを監視する。
他の構成例として、本実施形態に係る識別装置1では、通信監視部11は、あらかじめ電子ファイル等に保存された通信パケットを監視する。
一構成例として、本実施形態に係る識別装置1では、通信プロトコル分析部12は、通信プロトコルの情報中のOS情報などの端末情報を取得する。
一構成例として、本実施形態に係る識別装置1では、通信プロトコル分析部12は、通信プロトコルの情報中のアプリケーション情報を取得し、取得したアプリケーション情報からOS情報などの端末情報を類推して、その類推結果の情報を取得する。
一構成例として、本実施形態に係る識別装置1では、通信プロトコル分析部12は、通信プロトコルの情報中のアプリケーション情報を取得し、取得したアプリケーション情報からOS情報などの端末情報を類推して、その類推結果の情報を取得する。
一構成例として、本実施形態に係る識別装置1では、端末識別情報データベース13は、通信監視部11から得られた通信パケットの特徴を示す情報(フィンガプリント情報)と通信プロトコル分析部12から得られたOS情報などの端末情報とを併せて、これらの組み合わせの情報を記録する。
また、一構成例として、本実施形態に係る識別装置1では、端末識別情報データベース13は、このような組み合わせについて、出現回数(または、出現頻度)が大きい組み合わせを優先して提供する。
一構成例として、本実施形態に係る識別装置1では、端末識別情報データベース13は、TTL情報を記録する。
また、一構成例として、本実施形態に係る識別装置1では、端末識別情報データベース13は、このような組み合わせについて、出現回数(または、出現頻度)が大きい組み合わせを優先して提供する。
一構成例として、本実施形態に係る識別装置1では、端末識別情報データベース13は、TTL情報を記録する。
一構成例として、本実施形態に係る識別装置1では、端末識別部14は、通信監視部11から得られた情報と端末識別情報データベース13より得られた情報とを突き合わせることで、端末装置の種類や接続形態を識別する。
ここで、他の構成例として、端末識別情報データベース13は、通信パケットの特徴を示す情報(フィンガプリント情報)と端末情報との組み合わせを取得する際に、さらに、その組み合わせについて、複数の通信パケットについての出現回数(または、出現頻度)も対応付けて、端末識別情報として記憶する。そして、端末識別部14は、端末識別情報データベース13の記憶情報(端末識別情報)において、通信パケットの特徴を示す情報(フィンガプリント情報)と端末情報とのうちの一方が同じであるが他方が異なる組み合わせが2つ以上ある場合には、出現回数(または、出願頻度)が大きい組み合わせ(一例として、最も大きい組み合わせ)を優先して、端末装置の種類を識別する。
一例として、端末識別情報データベース13は、通信パケットの特徴を示す情報(フィンガプリント情報)と、端末情報と、その組み合わせの出現回数(または、出願頻度)の情報と、を対応付けて記憶する。そして、端末識別部14は、端末識別情報データベース13に記憶される対応付けに基づいて、通信パケットの特徴を示す情報(フィンガプリント情報)が同じであるが端末情報が異なる組み合わせが端末識別情報データベース13の記憶情報に存在する場合には、出現回数(または、出願頻度)が大きい組み合わせを優先する。
一例として、端末識別情報データベース13は、通信パケットの特徴を示す情報(フィンガプリント情報)と、端末情報と、その組み合わせの出現回数(または、出願頻度)の情報と、を対応付けて記憶する。そして、端末識別部14は、端末識別情報データベース13に記憶される対応付けに基づいて、通信パケットの特徴を示す情報(フィンガプリント情報)が同じであるが端末情報が異なる組み合わせが端末識別情報データベース13の記憶情報に存在する場合には、出現回数(または、出願頻度)が大きい組み合わせを優先する。
以上のように、本実施形態に係る識別装置1は、端末装置の種類の識別や接続形態の識別を効果的に実現することができる。
例えば、本実施形態に係る識別装置1では、端末装置の種類の識別や接続形態の識別を、高速かつ高精度に、低コストで、行うことが可能となる。
なお、本実施形態に係る識別装置1では、例えば、端末装置の種類の識別と、端末装置の接続形態の識別を、それぞれ独立に行ってもよく、または、同時に行ってもよい。
例えば、本実施形態に係る識別装置1では、端末装置の種類の識別や接続形態の識別を、高速かつ高精度に、低コストで、行うことが可能となる。
なお、本実施形態に係る識別装置1では、例えば、端末装置の種類の識別と、端末装置の接続形態の識別を、それぞれ独立に行ってもよく、または、同時に行ってもよい。
具体例として、本実施形態に係る識別装置1では、通信内容の静的な監視(受動的な監視)を行う際に、Deep Packet Inspectionを用いて識別用のデータベース(本実施形態では、端末識別情報データベース13)を自動的に作成して維持することで、このようなデータベースを人により作成する場合と比べて労力を大幅に削減することができ、これとともに、このようなデータベースを用いてShallow Packet Inspectionによる相手の端末装置の種類や接続形態の識別を行うことで、高速かつ高精度な識別を行うことができる。
また、一例として、識別装置1の通信監視部11から出力される情報(例えば、通信パケットの情報、または、通信パケットの特徴を示す情報(フィンガプリント情報))と、当該識別装置1の端末識別部14から出力される端末情報や接続形態情報を入力する外部の装置(統計用の装置)を設けることが可能である。このような統計用の装置では、識別装置1の通信監視部11や端末識別部14から入力される情報に基づいて、各種の統計分析を行い、マーケティング用の情報として使用することなどが可能である。
<以上の実施形態に関する構成例>
ここで、以上の実施形態に関する識別装置1の(構成例1)〜(構成例5)を示す。
(構成例1)
識別装置1において、監視対象の通信パケットの情報を取得する通信監視部11と、前記通信監視部11により取得される通信パケットの情報に基づいて、前記通信パケットを送信した端末装置の種類を示す情報を取得する端末種類取得部(本実施形態では、通信プロトコル分析部12の機能)と、前記通信監視部11により取得される通信パケットの情報に含まれるTTLの値および前記端末種類取得部により取得される前記端末装置の種類を示す情報に基づいて、前記端末装置について接続形態を検出する接続形態検出部(本実施形態では、端末識別部14の機能)と、を備える。
ここで、以上の実施形態に関する識別装置1の(構成例1)〜(構成例5)を示す。
(構成例1)
識別装置1において、監視対象の通信パケットの情報を取得する通信監視部11と、前記通信監視部11により取得される通信パケットの情報に基づいて、前記通信パケットを送信した端末装置の種類を示す情報を取得する端末種類取得部(本実施形態では、通信プロトコル分析部12の機能)と、前記通信監視部11により取得される通信パケットの情報に含まれるTTLの値および前記端末種類取得部により取得される前記端末装置の種類を示す情報に基づいて、前記端末装置について接続形態を検出する接続形態検出部(本実施形態では、端末識別部14の機能)と、を備える。
(構成例2)
上記した(構成例1)に記載した識別装置1において、前記通信監視部11により取得される通信パケットの情報に含まれるTTLの値に関する情報、および前記端末種類取得部により取得される前記端末装置の種類を示す情報を記憶する端末識別情報データベース(情報記憶部)13を備え、前記接続形態検出部は、前記端末識別情報データベース(情報記憶部)13により記憶される情報に基づいて、端末装置の種類ごとに、テザリングが使用されていない(不使用である)場合におけるTTLの標準的な減少値を検出し、前記接続形態検出部は、観測されたTTLの値について初期値からの減少値が、前記テザリングが使用されていない場合におけるTTLの標準的な減少値と比べて、一致する場合には、テザリングが使用されていないことを検出する一方、より減少の度合いが大きい場合には、テザリングが使用されていることを検出する。
このように、端末装置についてテザリングの使用の有無を検出する。
上記した(構成例1)に記載した識別装置1において、前記通信監視部11により取得される通信パケットの情報に含まれるTTLの値に関する情報、および前記端末種類取得部により取得される前記端末装置の種類を示す情報を記憶する端末識別情報データベース(情報記憶部)13を備え、前記接続形態検出部は、前記端末識別情報データベース(情報記憶部)13により記憶される情報に基づいて、端末装置の種類ごとに、テザリングが使用されていない(不使用である)場合におけるTTLの標準的な減少値を検出し、前記接続形態検出部は、観測されたTTLの値について初期値からの減少値が、前記テザリングが使用されていない場合におけるTTLの標準的な減少値と比べて、一致する場合には、テザリングが使用されていないことを検出する一方、より減少の度合いが大きい場合には、テザリングが使用されていることを検出する。
このように、端末装置についてテザリングの使用の有無を検出する。
(構成例3)
上記した(構成例1)または上記した(構成例2)に記載した識別装置1において、前記端末種類取得部は、前記通信監視部11により取得される通信パケットの情報に基づいて通信フローを再構築してその通信プロトコルを分析することで、前記通信パケットを送信した端末装置の種類を示す情報を取得する。
上記した(構成例1)または上記した(構成例2)に記載した識別装置1において、前記端末種類取得部は、前記通信監視部11により取得される通信パケットの情報に基づいて通信フローを再構築してその通信プロトコルを分析することで、前記通信パケットを送信した端末装置の種類を示す情報を取得する。
(構成例4)
上記した(構成例1)から上記した(構成例3)のいずれか1つに記載の識別装置1において、前記通信監視部11は、回線2に流れる通信パケットの情報をリアルタイムに取得すること、または、外部にあらかじめ記憶された通信パケットの情報を取得すること、を行う。
上記した(構成例1)から上記した(構成例3)のいずれか1つに記載の識別装置1において、前記通信監視部11は、回線2に流れる通信パケットの情報をリアルタイムに取得すること、または、外部にあらかじめ記憶された通信パケットの情報を取得すること、を行う。
(構成例5)
上記した(構成例1)から上記した(構成例4)のいずれか1つに記載の識別装置1において、前記通信監視部11により取得される通信パケットの情報に含まれるTTLの値と共に、フィンガプリント情報、User−Agent:ヘッダの情報または他の情報のうちの1以上を組み合わせて、端末装置に関する識別を実行する識別実行部(本実施形態では、端末識別部14の機能)を備える。
このように、TTLの値と共に、フィンガプリント情報、User−Agent:ヘッダの情報または他の情報を組み合わせて、端末装置に関する識別を実行することにより、より高精度な識別を行うことが可能となる。
ここで、端末装置に関する識別としては、様々なものが用いられてもよく、一例として、TTLの値を(例えば、単体で)用いてテザリングの使用の有無を検出すると共に、フィンガプリント情報、User−Agent:ヘッダの情報または他の情報を用いて端末装置に関する様々な識別を行うことが可能である。
上記した(構成例1)から上記した(構成例4)のいずれか1つに記載の識別装置1において、前記通信監視部11により取得される通信パケットの情報に含まれるTTLの値と共に、フィンガプリント情報、User−Agent:ヘッダの情報または他の情報のうちの1以上を組み合わせて、端末装置に関する識別を実行する識別実行部(本実施形態では、端末識別部14の機能)を備える。
このように、TTLの値と共に、フィンガプリント情報、User−Agent:ヘッダの情報または他の情報を組み合わせて、端末装置に関する識別を実行することにより、より高精度な識別を行うことが可能となる。
ここで、端末装置に関する識別としては、様々なものが用いられてもよく、一例として、TTLの値を(例えば、単体で)用いてテザリングの使用の有無を検出すると共に、フィンガプリント情報、User−Agent:ヘッダの情報または他の情報を用いて端末装置に関する様々な識別を行うことが可能である。
(構成例6)
識別方法は、通信監視部11が、監視対象の通信パケットの情報を取得し、端末種類取得部が、前記通信監視部11により取得される通信パケットの情報に基づいて、前記通信パケットを送信した端末装置の種類を示す情報を取得し、接続形態検出部が、前記通信監視部11により取得される通信パケットの情報に含まれるTTLの値および前記端末種類取得部により取得される前記端末装置の種類を示す情報に基づいて、前記端末装置について接続形態を検出する。
識別方法は、通信監視部11が、監視対象の通信パケットの情報を取得し、端末種類取得部が、前記通信監視部11により取得される通信パケットの情報に基づいて、前記通信パケットを送信した端末装置の種類を示す情報を取得し、接続形態検出部が、前記通信監視部11により取得される通信パケットの情報に含まれるTTLの値および前記端末種類取得部により取得される前記端末装置の種類を示す情報に基づいて、前記端末装置について接続形態を検出する。
(構成例7)
識別プログラムは、通信監視部11が、監視対象の通信パケットの情報を取得するステップと、端末種類取得部が、前記通信監視部11により取得される通信パケットの情報に基づいて、前記通信パケットを送信した端末装置の種類を示す情報を取得するステップと、接続形態検出部が、前記通信監視部11により取得される通信パケットの情報に含まれるTTLの値および前記端末種類取得部により取得される前記端末装置の種類を示す情報に基づいて、前記端末装置について接続形態を検出するステップと、をコンピュータに実行させる。
識別プログラムは、通信監視部11が、監視対象の通信パケットの情報を取得するステップと、端末種類取得部が、前記通信監視部11により取得される通信パケットの情報に基づいて、前記通信パケットを送信した端末装置の種類を示す情報を取得するステップと、接続形態検出部が、前記通信監視部11により取得される通信パケットの情報に含まれるTTLの値および前記端末種類取得部により取得される前記端末装置の種類を示す情報に基づいて、前記端末装置について接続形態を検出するステップと、をコンピュータに実行させる。
また、本実施形態に係る識別装置1に関して、(端末情報の識別に関する構成例1)〜(端末情報の識別に関する構成例4)を示す。これらの構成例は、例えば、端末装置の接続形態情報を識別する構成と共に、用いられてもよく、または、用いられなくてもよい。
(端末情報の識別に関する構成例1)
識別装置1は、監視対象の通信パケットの情報を取得する通信監視部11と、前記通信監視部11により取得される通信パケットの情報に基づいて通信フローを再構築してその通信プロトコルを分析することで、前記通信パケットを送信した端末装置の種類を示す情報を取得する通信プロトコル分析部12と、前記通信監視部11により取得される通信パケットの情報に基づいて得られる前記通信パケットの特徴を示す情報と、前記通信パケットの情報に関して前記通信プロトコル分析部12により取得される前記端末装置の種類を示す情報と、を対応付けて記憶する端末識別情報データベース(情報記憶部)13と、を備える。
識別装置1は、監視対象の通信パケットの情報を取得する通信監視部11と、前記通信監視部11により取得される通信パケットの情報に基づいて通信フローを再構築してその通信プロトコルを分析することで、前記通信パケットを送信した端末装置の種類を示す情報を取得する通信プロトコル分析部12と、前記通信監視部11により取得される通信パケットの情報に基づいて得られる前記通信パケットの特徴を示す情報と、前記通信パケットの情報に関して前記通信プロトコル分析部12により取得される前記端末装置の種類を示す情報と、を対応付けて記憶する端末識別情報データベース(情報記憶部)13と、を備える。
この(端末情報の識別に関する構成例1)に係る識別装置1では、端末識別情報データベース(情報記憶部)13に記憶される対応付けにより、端末装置の種類を識別することができる。具体的には、この(端末情報の識別に関する構成例1)に係る識別装置1では、端末識別情報データベース(情報記憶部)13に記憶される対応付けを外部の装置などに出力することにより、当該外部の装置などにおいて、入力される当該対応付けに基づいて、端末装置の種類を識別することができる。
なお、この(端末情報の識別に関する構成例1)に係る識別装置1では、監視対象の通信パケットの情報を取得する通信監視部11は、例えば、回線(ネットワーク)上に流れる通信パケットを直接処理してもよく、または、他の構成例として、ファイル等に蓄えられた通信パケットの情報に対して処理を行ってもよい。
なお、この(端末情報の識別に関する構成例1)に係る識別装置1では、監視対象の通信パケットの情報を取得する通信監視部11は、例えば、回線(ネットワーク)上に流れる通信パケットを直接処理してもよく、または、他の構成例として、ファイル等に蓄えられた通信パケットの情報に対して処理を行ってもよい。
(端末情報の識別に関する構成例2)
上記した(端末情報の識別に関する構成例1)に記載した識別装置1において、さらに、前記端末識別情報データベース(情報記憶部)13に記憶される対応付けに基づいて、前記通信監視部11により取得される通信パケットの情報に基づいて得られる前記通信パケットの特徴を示す情報に対応する端末装置の種類を示す情報を取得する端末識別部14を備える。
上記した(端末情報の識別に関する構成例1)に記載した識別装置1において、さらに、前記端末識別情報データベース(情報記憶部)13に記憶される対応付けに基づいて、前記通信監視部11により取得される通信パケットの情報に基づいて得られる前記通信パケットの特徴を示す情報に対応する端末装置の種類を示す情報を取得する端末識別部14を備える。
この(端末情報の識別に関する構成例2)に係る識別装置1では、端末識別情報データベース(情報記憶部)13に記憶される対応付けにより、当該識別装置1において、端末装置の種類を識別することができる。
(端末情報の識別に関する構成例3)
上記した(端末情報の識別に関する構成例1)または上記した(端末情報の識別に関する構成例2)に記載した識別装置1において、前記端末識別情報データベース(情報記憶部)13は、前記通信パケットの特徴を示す情報が同じであるが前記端末装置の種類を示す情報が異なる組み合わせが存在する場合には、出現回数または出願頻度が大きい組み合わせを優先して、対応付けて記憶する。
上記した(端末情報の識別に関する構成例1)または上記した(端末情報の識別に関する構成例2)に記載した識別装置1において、前記端末識別情報データベース(情報記憶部)13は、前記通信パケットの特徴を示す情報が同じであるが前記端末装置の種類を示す情報が異なる組み合わせが存在する場合には、出現回数または出願頻度が大きい組み合わせを優先して、対応付けて記憶する。
この(端末情報の識別に関する構成例3)に係る識別装置1では、同一の通信パケットの特徴を有する端末装置の種類が複数存在した場合においても、出現回数または出現頻度を勘案することで、精度良く、端末装置の種類を判定(例えば、類推)することができる。
なお、出現回数または出現頻度としては、例えば、いずれか一方のみが用いられてもよく、または、両方が用いられてもよい。
また、出現回数または出願頻度が大きい組み合わせを優先する態様としては、例えば、出現回数または出願頻度(両方が使用される場合には、両方を考慮した加算値や乗算値などの値)が最も大きい組み合わせ(だけ)を採用する態様を用いることができる。
なお、出現回数または出現頻度としては、例えば、いずれか一方のみが用いられてもよく、または、両方が用いられてもよい。
また、出現回数または出願頻度が大きい組み合わせを優先する態様としては、例えば、出現回数または出願頻度(両方が使用される場合には、両方を考慮した加算値や乗算値などの値)が最も大きい組み合わせ(だけ)を採用する態様を用いることができる。
(端末情報の識別に関する構成例4)
上記した(端末情報の識別に関する構成例1)に記載した識別装置1において、前記端末識別情報データベース(情報記憶部)13は、前記通信パケットの特徴を示す情報と、前記端末装置の種類を示す情報と、その組み合わせの出現回数または出願頻度の情報と、を対応付けて記憶し、さらに、前記端末識別情報データベース(情報記憶部)13に記憶される対応付けに基づいて、前記通信監視部11により取得される通信パケットの情報に基づいて得られる前記通信パケットの特徴を示す情報に対応する端末装置の種類を示す情報を取得し、この場合に、前記通信パケットの特徴を示す情報が同じであるが前記端末装置の種類を示す情報が異なる組み合わせが前記端末識別情報データベース(情報記憶部)13の記憶情報に存在する場合には、出現回数または出願頻度が大きい組み合わせを優先する端末識別部14を備える。
上記した(端末情報の識別に関する構成例1)に記載した識別装置1において、前記端末識別情報データベース(情報記憶部)13は、前記通信パケットの特徴を示す情報と、前記端末装置の種類を示す情報と、その組み合わせの出現回数または出願頻度の情報と、を対応付けて記憶し、さらに、前記端末識別情報データベース(情報記憶部)13に記憶される対応付けに基づいて、前記通信監視部11により取得される通信パケットの情報に基づいて得られる前記通信パケットの特徴を示す情報に対応する端末装置の種類を示す情報を取得し、この場合に、前記通信パケットの特徴を示す情報が同じであるが前記端末装置の種類を示す情報が異なる組み合わせが前記端末識別情報データベース(情報記憶部)13の記憶情報に存在する場合には、出現回数または出願頻度が大きい組み合わせを優先する端末識別部14を備える。
この(端末情報の識別に関する構成例4)に係る識別装置1では、同一の通信パケットの特徴を有する端末装置の種類が複数存在した場合においても、出現回数または出現頻度を勘案することで、精度良く、端末装置の種類を判定(例えば、類推)することができる。
なお、出現回数または出現頻度としては、例えば、いずれか一方のみが用いられてもよく、または、両方が用いられてもよい。
また、出現回数または出願頻度が大きい組み合わせを優先する態様としては、例えば、出現回数または出願頻度(両方が使用される場合には、両方を考慮した加算値や乗算値などの値)が最も大きい組み合わせ(だけ)を採用する態様を用いることができる。
なお、出現回数または出現頻度としては、例えば、いずれか一方のみが用いられてもよく、または、両方が用いられてもよい。
また、出現回数または出願頻度が大きい組み合わせを優先する態様としては、例えば、出現回数または出願頻度(両方が使用される場合には、両方を考慮した加算値や乗算値などの値)が最も大きい組み合わせ(だけ)を採用する態様を用いることができる。
[以上の実施形態のまとめ]
ここで、以上の実施形態では、TCP/IPを用いた通信を例としたが、必ずしもそれに限定されるものではなく、例えば、通信サービス一般に広く適用することが可能である。
同様に、対象とする通信プロトコルについても、特定の通信プロトコルに限定されるものではなく、識別対象に関する情報(例えば、識別対象が端末装置の種類である場合には端末装置の種類に係る情報、あるいは、識別対象が端末装置の接続形態である場合には端末装置の接続形態に係る情報)を含む通信プロトコル一般に広く適用することが可能である。通信プロトコルの具体例としては、例えば、HTTP以外に、SMTP(Simple Mail Transfer Protocol)などに適用することが可能である。
ここで、以上の実施形態では、TCP/IPを用いた通信を例としたが、必ずしもそれに限定されるものではなく、例えば、通信サービス一般に広く適用することが可能である。
同様に、対象とする通信プロトコルについても、特定の通信プロトコルに限定されるものではなく、識別対象に関する情報(例えば、識別対象が端末装置の種類である場合には端末装置の種類に係る情報、あるいは、識別対象が端末装置の接続形態である場合には端末装置の接続形態に係る情報)を含む通信プロトコル一般に広く適用することが可能である。通信プロトコルの具体例としては、例えば、HTTP以外に、SMTP(Simple Mail Transfer Protocol)などに適用することが可能である。
また、以上の実施形態では、端末装置の種類を識別する情報として、OS情報、機種名情報、番号情報を例としたが、他の様々な情報が用いられてもよい。
具体的には、端末装置の種類を識別する情報として、例えば、OSを主とする以外に、ミドルウェアのバージョン(ミドルウェアの種類)を示す情報や、特定のアプリケーションのバージョン(特定のアプリケーションの種類)を示す情報などを用いることも可能である。
具体的には、端末装置の種類を識別する情報として、例えば、OSを主とする以外に、ミドルウェアのバージョン(ミドルウェアの種類)を示す情報や、特定のアプリケーションのバージョン(特定のアプリケーションの種類)を示す情報などを用いることも可能である。
また、端末装置としては、様々なものが用いられてもよく、例えば、スマートフォンを含む携帯電話、パーソナルコンピュータ(PC)、ホームゲートウェイ、専用端末などの端末装置を用いることができる。
以上、本発明の実施形態について図面を参照して詳述したが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
また、以上に示した実施形態に係る識別装置1の全部または一部の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより、処理を行ってもよい。
なお、ここで言う「コンピュータシステム」とは、オペレーティング・システム(OS)や周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM(Read Only Memory)、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disk)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことを言う。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM(Read Only Memory)、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disk)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことを言う。
さらに、「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記のプログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことを言う。
また、上記のプログラムは、前述した機能の一部を実現するためのものであっても良い。
さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
また、上記のプログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことを言う。
また、上記のプログラムは、前述した機能の一部を実現するためのものであっても良い。
さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
1…識別装置、2…回線、11…通信監視部、12…通信プロトコル分析部、13…端末識別情報データベース(情報記憶部)、14…端末識別部
Claims (7)
- 監視対象の通信パケットの情報を取得する通信監視部と、
前記通信監視部により取得される通信パケットの情報に基づいて、前記通信パケットを送信した端末装置の種類を示す情報を取得する端末種類取得部と、
前記通信監視部により取得される通信パケットの情報に含まれるTTLの値および前記端末種類取得部により取得される前記端末装置の種類を示す情報に基づいて、前記端末装置について接続形態を検出する接続形態検出部と、
を備えることを特徴とする識別装置。 - 前記通信監視部により取得される通信パケットの情報に含まれるTTLの値に関する情報、および前記端末種類取得部により取得される前記端末装置の種類を示す情報を記憶する情報記憶部を備え、
前記接続形態検出部は、前記情報記憶部により記憶される情報に基づいて、端末装置の種類ごとに、テザリングが使用されていない場合におけるTTLの標準的な減少値を検出し、
前記接続形態検出部は、観測されたTTLの値について初期値からの減少値が、前記テザリングが使用されていない場合におけるTTLの標準的な減少値と比べて、一致する場合には、テザリングが使用されていないことを検出する一方、より減少の度合いが大きい場合には、テザリングが使用されていることを検出する、
ことを特徴とする請求項1に記載の識別装置。 - 前記端末種類取得部は、前記通信監視部により取得される通信パケットの情報に基づいて通信フローを再構築してその通信プロトコルを分析することで、前記通信パケットを送信した端末装置の種類を示す情報を取得する、
ことを特徴とする請求項1または請求項2に記載の識別装置。 - 前記通信監視部は、回線に流れる通信パケットの情報をリアルタイムに取得すること、または、外部にあらかじめ記憶された通信パケットの情報を取得すること、を行う、
ことを特徴とする請求項1から請求項3のいずれか1項に記載の識別装置。 - 前記通信監視部により取得される通信パケットの情報に含まれるTTLの値と共に、フィンガプリント情報、User−Agent:ヘッダの情報または他の情報のうちの1以上を組み合わせて、端末装置に関する識別を実行する識別実行部を備える、
ことを特徴とする請求項1から請求項4のいずれか1項に記載の識別装置。 - 通信監視部が、監視対象の通信パケットの情報を取得し、
端末種類取得部が、前記通信監視部により取得される通信パケットの情報に基づいて、前記通信パケットを送信した端末装置の種類を示す情報を取得し、
接続形態検出部が、前記通信監視部により取得される通信パケットの情報に含まれるTTLの値および前記端末種類取得部により取得される前記端末装置の種類を示す情報に基づいて、前記端末装置について接続形態を検出する、
ことを特徴とする識別方法。 - 通信監視部が、監視対象の通信パケットの情報を取得するステップと、
端末種類取得部が、前記通信監視部により取得される通信パケットの情報に基づいて、前記通信パケットを送信した端末装置の種類を示す情報を取得するステップと、
接続形態検出部が、前記通信監視部により取得される通信パケットの情報に含まれるTTLの値および前記端末種類取得部により取得される前記端末装置の種類を示す情報に基づいて、前記端末装置について接続形態を検出するステップと、
をコンピュータに実行させるための識別プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013085804A JP6157189B2 (ja) | 2013-04-16 | 2013-04-16 | 識別装置、識別方法および識別プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013085804A JP6157189B2 (ja) | 2013-04-16 | 2013-04-16 | 識別装置、識別方法および識別プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014209674A true JP2014209674A (ja) | 2014-11-06 |
| JP6157189B2 JP6157189B2 (ja) | 2017-07-05 |
Family
ID=51903640
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013085804A Active JP6157189B2 (ja) | 2013-04-16 | 2013-04-16 | 識別装置、識別方法および識別プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6157189B2 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101697250B1 (ko) * | 2016-03-08 | 2017-01-17 | (주)엔텔스 | 이동통신네트워크에 접속한 단말의 모델 정보를 수집하는 방법 및 단말의 모델 정보 수집 장치 |
| KR101852506B1 (ko) * | 2016-08-12 | 2018-04-27 | 주식회사 케이티 | 단말 정보 식별 시스템 및 그 방법 |
| WO2018230482A1 (ja) | 2017-06-13 | 2018-12-20 | 日本電気株式会社 | トラフィック最適化装置、通信システム、トラフィック最適化方法及びプログラム |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003529254A (ja) * | 2000-03-27 | 2003-09-30 | ネットワーク セキュリティー システムズ, インコーポレーテッド | 遠隔装置から顧客のセキュリティを検査するためのインターネット/ネットワーク・セキュリティ方法およびシステム |
| US7317693B1 (en) * | 2003-05-12 | 2008-01-08 | Sourcefire, Inc. | Systems and methods for determining the network topology of a network |
-
2013
- 2013-04-16 JP JP2013085804A patent/JP6157189B2/ja active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003529254A (ja) * | 2000-03-27 | 2003-09-30 | ネットワーク セキュリティー システムズ, インコーポレーテッド | 遠隔装置から顧客のセキュリティを検査するためのインターネット/ネットワーク・セキュリティ方法およびシステム |
| US7317693B1 (en) * | 2003-05-12 | 2008-01-08 | Sourcefire, Inc. | Systems and methods for determining the network topology of a network |
Non-Patent Citations (2)
| Title |
|---|
| IPHONE, AT&T AND TETHERING, JPN6016040258, 2011 * |
| SCHULZ, S. ET AL.: "Tetherway: a framework for tethering camouflage", PROCEEDINGS OF THE FIFTH ACM CONFERENCE ON SECURITY AND PRIVACY IN WIRELESS AND MOBILE NETWORKS, JPN7016003149, 2012, pages pp. 149-159 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101697250B1 (ko) * | 2016-03-08 | 2017-01-17 | (주)엔텔스 | 이동통신네트워크에 접속한 단말의 모델 정보를 수집하는 방법 및 단말의 모델 정보 수집 장치 |
| KR101852506B1 (ko) * | 2016-08-12 | 2018-04-27 | 주식회사 케이티 | 단말 정보 식별 시스템 및 그 방법 |
| WO2018230482A1 (ja) | 2017-06-13 | 2018-12-20 | 日本電気株式会社 | トラフィック最適化装置、通信システム、トラフィック最適化方法及びプログラム |
| JPWO2018230482A1 (ja) * | 2017-06-13 | 2020-04-09 | 日本電気株式会社 | トラフィック最適化装置、通信システム、トラフィック最適化方法及びプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6157189B2 (ja) | 2017-07-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Chernyshev et al. | Internet of things forensics: The need, process models, and open issues | |
| US11425047B2 (en) | Traffic analysis method, common service traffic attribution method, and corresponding computer system | |
| CN110768933B (zh) | 一种网络流量应用识别方法、系统及设备和存储介质 | |
| US20170111272A1 (en) | Determining Direction of Network Sessions | |
| CN106878074B (zh) | 流量过滤方法及装置 | |
| WO2016054992A1 (zh) | 网络数据采集系统及方法 | |
| US20130191890A1 (en) | Method and system for user identity recognition based on specific information | |
| US8799714B1 (en) | Generating test scenarios from application-layer messages | |
| CN111314288B (zh) | 中继处理方法、装置、服务器和存储介质 | |
| CN103618726A (zh) | 一种基于https协议实现移动数据业务识别的方法 | |
| CN113518042B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| JP6157189B2 (ja) | 識別装置、識別方法および識別プログラム | |
| CN102959514B (zh) | 在计算机网络中发送数据的方法、系统、服务器、设备、计算机程序和计算机程序产品 | |
| CN107592299B (zh) | 代理上网识别方法、计算机装置及计算机可读存储介质 | |
| JP5820749B2 (ja) | 識別装置、識別方法および識別プログラム | |
| JP6110688B2 (ja) | 識別装置、識別方法および識別プログラム | |
| CN106921629A (zh) | 应用程序登录方法和装置 | |
| KR20130044002A (ko) | 애플리케이션 인지와 트래픽 제어를 위한 라우터 장치 및 그 방법 | |
| Fifield et al. | Fingerprintability of webrtc | |
| JP2013243534A (ja) | 遅延時間評価装置および遅延時間評価方法 | |
| JP6280836B2 (ja) | 識別装置、識別方法および識別プログラム | |
| KR20140115602A (ko) | Sns 서버의 프로토콜 분석 방법 | |
| CN107306264B (zh) | 网络安全监控方法和装置 | |
| CN115589362B (zh) | 设备类型指纹的生成方法及识别方法、设备及介质 | |
| CN108632050A (zh) | 一种记录网站访问日志的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160127 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20160128 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20161013 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161025 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20161226 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20170131 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170428 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170501 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20170510 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170530 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170606 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6157189 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |