JP2015186001A - Communication service classification device, method, and program - Google Patents

Communication service classification device, method, and program Download PDF

Info

Publication number
JP2015186001A
JP2015186001A JP2014060165A JP2014060165A JP2015186001A JP 2015186001 A JP2015186001 A JP 2015186001A JP 2014060165 A JP2014060165 A JP 2014060165A JP 2014060165 A JP2014060165 A JP 2014060165A JP 2015186001 A JP2015186001 A JP 2015186001A
Authority
JP
Japan
Prior art keywords
domain name
communication service
management information
dns
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014060165A
Other languages
Japanese (ja)
Other versions
JP6170001B2 (en
Inventor
秀一 縄田
Shuichi Nawata
秀一 縄田
泰彦 稗圃
Yasuhiko Hiehata
泰彦 稗圃
修一 大野
Shuichi Ono
修一 大野
横田 英俊
Hidetoshi Yokota
英俊 横田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2014060165A priority Critical patent/JP6170001B2/en
Publication of JP2015186001A publication Critical patent/JP2015186001A/en
Application granted granted Critical
Publication of JP6170001B2 publication Critical patent/JP6170001B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide a communication service classification device, method, and program that identify a provider of a service in a communication network and generate information to learn the use situation of a communication network.SOLUTION: A communication service classification device 10 comprises a DNS map 20 and service classification storage means 21, obtains domain name management information on a domain which a user terminal 50 accesses for a user to use a communication service, has the service classification storage means 21 store information on a communication service provider and a domain name by associating them on the basis of the obtained domain name management information, and thereby classifies the communication service. The communication service classification device 10 classifies a domain name about which a plurality of pieces of information are similar to each other as a domain name related to the same communication service in information stored in the service classification storage means 21 and on the communication service provider.

Description

本発明は、通信サービス分類装置、方法及びプログラムに関する。   The present invention relates to a communication service classification device, method, and program.

従来より、通信ネットワークを管理し、ユーザにとって快適な環境を維持するために、ユーザによる通信ネットワークの使い方が調査されている。
このための方法として、全パケットを対象としたDPI(Deep Packet Inspection)分析により、通信を再構築し、アプリケーションレイヤまで分析したり、DNSクエリ/レスポンスを分析し、ユーザがどのように通信ネットワークを使用し、どのようなサービスを利用しているかを調査する方法がある。特許文献1は、このような技術を開示するものとして知られている。 Conventionally, in order to manage a communication network and maintain a comfortable environment for the user, usage of the communication network by the user has been investigated.
As a method for this purpose, communication is reconstructed by DPI (Deep Packet Inspection) analysis for all packets and analyzed up to the application layer, and DNS queries / responses are analyzed to determine how the user can configure the communication network. There is a method to investigate what kind of service is used and used. Patent document 1 is known as disclosing such a technique.

特許文献1は、IP網において、アクセス履歴情報を収集するアクセス履歴情報収集システムを開示する。このアクセス履歴情報収集システムにおいて、アクセス履歴情報収集装置は、IP網を流れるパケットの送信元IPアドレス等を含むレコードをエッジルータから受信し集約してフロー統計情報とし、集約したフロー統計情報を用いてIP網内のDNS(Domain Name System)サーバ等からフロー統計情報に対応するドメイン名等の情報を取得し、パケットの送信先ポート番号を元にアプリケーション種別を判別し、フロー統計情報にドメイン名等の情報を加えたアクセス履歴情報を蓄積する。   Patent Document 1 discloses an access history information collection system that collects access history information in an IP network. In this access history information collection system, the access history information collection device receives and aggregates records including the source IP address of packets flowing through the IP network from the edge router as flow statistical information, and uses the aggregated flow statistical information Information such as the domain name corresponding to the flow statistical information is obtained from a DNS (Domain Name System) server in the IP network, the application type is determined based on the packet destination port number, and the domain name is included in the flow statistical information. The access history information to which such information is added is accumulated.

特開2011−215713号公報JP 2011-215713 A

しかしながら、特許文献1の技術によれば、ユーザが利用したドメイン名等の情報が蓄積されるが、蓄積された情報からユーザが利用したサービスを具体的に知ることは困難である。
また、全パケットを対象としたDPI分析は、分析処理の負担が大きい。DNSクエリ/レスポンスの分析に基づくユーザの利用するサービスの分類は、ユーザがアクセスするドメイン名が異なると、事実上同一のサービスであっても異なるサービスとして分類される。
また、上述の方法では、暗号化された通信(例えば、SSL(Secure Sockets Layer)暗号化通信等)や独自プロトコルの通信の場合、ヘッダ内のドメイン名を取得することができない。 However, according to the technique of Patent Document 1, information such as the domain name used by the user is accumulated, but it is difficult to specifically know the service used by the user from the accumulated information.
In addition, the DPI analysis for all packets has a heavy analysis processing load. The classification of services used by the user based on the analysis of the DNS query / response is classified as different services even if the services are virtually the same if the domain names accessed by the users are different.
In the above-described method, the domain name in the header cannot be acquired in the case of encrypted communication (for example, SSL (Secure Sockets Layer) encrypted communication or the like) or communication using a unique protocol.

そこで、通信ネットワークにおけるサービスの提供者を特定し、通信ネットワークの利用状況を把握するための情報を作成する装置が求められている。   Accordingly, there is a need for an apparatus that identifies a service provider in a communication network and creates information for grasping the usage status of the communication network.

本発明は、通信ネットワークにおけるサービスの提供者を特定し、通信ネットワークの利用状況を把握するための情報を作成する通信サービス分類装置、方法及びプログラムを提供することを目的とする。   It is an object of the present invention to provide a communication service classification apparatus, method, and program for identifying a service provider in a communication network and creating information for grasping the usage status of the communication network.

本発明は、ユーザがサービスを利用するためにアクセスするドメインを利用する。
通信サービスを利用するためにユーザがアクセスするドメインは、ドメイン名が異なっていても、同一のサービス提供者が管理していれば、同一のサービスに関するドメインである可能性が高い。すなわち、ドメイン名を管理するためのドメイン名管理情報がある程度一致すれば、ドメインを同一のサービスに関するドメインとして分類できる。
ドメイン名管理情報は、閲覧可能(例えば、WHOISサービス)である。
本発明は、DNSクエリのドメイン名からドメイン名管理情報を取得し(例えば、WHOISに投げてみて)、ドメイン名管理情報のうち一致する項目で、ドメイン名を同一のグループとして分類する。
具体的には、以下のような解決手段を提供する。 The present invention uses a domain that a user accesses to use the service.
Even if the domain accessed by the user in order to use the communication service is different from the domain name, if the same service provider manages the domain, there is a high possibility that the domain is related to the same service. That is, if the domain name management information for managing the domain name matches to some extent, the domains can be classified as domains related to the same service.
The domain name management information can be browsed (for example, WHOIS service).
The present invention acquires domain name management information from the domain name of the DNS query (for example, throw it to WHOIS), and classifies the domain names as the same group by matching items in the domain name management information.
Specifically, the following solutions are provided.

(1) ユーザ端末とサーバとの通信トラヒックに基づいて、前記ユーザ端末によって利用されている通信サービスを分類する通信サービス分類装置であって、前記ユーザ端末とDNSサーバとの通信において、DNSクエリに対するDNSレスポンスを取得するレスポンス取得手段と、前記レスポンス取得手段によって取得された前記DNSレスポンスに基づいて、前記ユーザ端末が前記DNSサーバに問合わせたドメイン名と、前記DNSサーバが回答したIPアドレスとを抽出する抽出手段と、前記抽出手段によって抽出された前記ドメイン名と前記IPアドレスとを対応付けて、DNSマップに記憶させる記憶制御手段と、前記ユーザ端末と前記サーバとの間の通信トラヒックを取得するトラヒック取得手段と、前記トラヒック取得手段によって取得された前記通信トラヒックに用いられている、前記ユーザ端末から前記サーバへの送信IPアドレスを抽出し、抽出した前記送信IPアドレスに前記DNSマップにおいて対応付けられた前記ドメイン名を抽出するドメイン名抽出手段と、前記ドメイン名抽出手段によって抽出された前記ドメイン名を用いて、前記ドメイン名を管理するためのドメイン名管理情報を取得する管理情報取得手段と、前記管理情報取得手段によって取得された前記ドメイン名管理情報に基づいて、前記ドメイン名を所有する通信サービス提供者に関する情報と、前記ドメイン名とを対応付けてサービス分類記憶手段に記憶させることによって、前記通信サービスを分類する通信サービス分類手段と、を備える通信サービス分類装置。   (1) A communication service classification device for classifying communication services used by a user terminal based on communication traffic between the user terminal and a server, and for a DNS query in communication between the user terminal and a DNS server. A response acquisition means for acquiring a DNS response; a domain name that the user terminal makes an inquiry to the DNS server based on the DNS response acquired by the response acquisition means; and an IP address that the DNS server answers Extraction means for extraction, storage control means for associating the domain name extracted by the extraction means with the IP address and storing them in a DNS map, and acquiring communication traffic between the user terminal and the server Traffic acquisition means for performing the traffic acquisition The transmission IP address used for the communication traffic acquired by the stage is extracted from the user terminal to the server, and the domain name associated with the extracted transmission IP address in the DNS map is extracted. Domain name extraction means, management information acquisition means for acquiring domain name management information for managing the domain name using the domain name extracted by the domain name extraction means, and acquisition by the management information acquisition means Communication for classifying the communication service by associating and storing the information on the communication service provider who owns the domain name and the domain name in the service classification storage unit based on the domain name management information A communication service classification device comprising service classification means.

(1)の構成によれば、(1)に係る通信サービス分類装置10は、ユーザ端末とDNSサーバとの通信において、DNSクエリに対するDNSレスポンスを取得し、取得したDNSレスポンスに基づいて、ユーザ端末がDNSサーバに問合わせたドメイン名と、DNSサーバが回答したIPアドレスとを抽出し、抽出したドメイン名とIPアドレスとを対応付けて、DNSマップに記憶させ、ユーザ端末とサーバとの間の通信トラヒックを取得し、取得した通信トラヒックに用いられている、ユーザ端末からサーバへの送信IPアドレスを抽出し、抽出した送信IPアドレスにDNSマップにおいて対応付けられたドメイン名を抽出し、抽出したドメイン名を用いて、ドメイン名を管理するためのドメイン名管理情報を取得し、取得したドメイン名管理情報に基づいて、ドメイン名を所有する通信サービス提供者に関する情報と、ドメイン名とを対応付けてサービス分類記憶手段に記憶させることによって、通信サービスを分類する。   According to the configuration of (1), the communication service classification device 10 according to (1) acquires a DNS response to a DNS query in communication between a user terminal and a DNS server, and based on the acquired DNS response, the user terminal Extracts the domain name inquired from the DNS server and the IP address answered by the DNS server, associates the extracted domain name with the IP address, stores them in the DNS map, and stores the domain name between the user terminal and the server. The communication traffic is acquired, the transmission IP address used for the acquired communication traffic from the user terminal to the server is extracted, and the domain name associated with the extracted transmission IP address in the DNS map is extracted and extracted. Use the domain name to obtain domain name management information for managing the domain name, and Based on in name management information, and information regarding the communication service provider that owns the domain name, by storing in the service classification storage means in association with the domain name, to classify the communications service.

すなわち、通信サービス分類装置は、ユーザが通信サービスを利用するためにユーザ端末がアクセスするドメインについてドメイン名管理情報を取得し、取得したドメイン名管理情報に基づいて、通信サービス提供者に関する情報とドメイン名とを対応付けてサービス分類記憶手段に記憶させることによって、通信サービスを分類する。
したがって、(1)に係る通信サービス分類装置は、通信ネットワークにおけるサービスの提供者を特定し、通信ネットワークの利用状況を把握するための情報を作成することができる。 That is, the communication service classification device acquires domain name management information for a domain that a user terminal accesses in order for a user to use a communication service, and based on the acquired domain name management information, information about a communication service provider and a domain The communication service is classified by associating the name with the name and storing it in the service classification storage means.
Therefore, the communication service classification device according to (1) can identify the service provider in the communication network and create information for grasping the usage status of the communication network.

(2) 前記通信サービス分類手段は、前記サービス分類記憶手段に記憶された情報であって前記通信サービス提供者に関する情報のうち、複数の情報が互いに類似する前記ドメイン名を、同一の通信サービスに関するドメイン名として分類する、(1)に記載の通信サービス分類装置。   (2) The communication service classifying unit relates to the same communication service with the domain names having a plurality of information similar to each other among the information stored in the service class storage unit and related to the communication service provider. The communication service classification device according to (1), which is classified as a domain name.

したがって、(2)に係る通信サービス分類装置は、通信ネットワークにおけるサービスの提供者を特定し、通信ネットワークの利用状況を詳細に把握するための情報を作成することができる。   Therefore, the communication service classification apparatus according to (2) can identify the service provider in the communication network and create information for grasping in detail the use status of the communication network.

(3) 前記ドメイン名を用いて前記ドメイン名管理情報を取得し、前記ドメイン名と前記ドメイン名管理情報とを対応付けて記憶するドメイン名管理情報記憶手段に記憶させる管理情報記憶制御手段をさらに備え、前記管理情報取得手段は、前記ドメイン名を用いて、前記ドメイン名管理情報記憶手段を検索することによって前記ドメイン名管理情報を取得し、前記通信サービス分類手段は、前記管理情報取得手段によって取得された前記ドメイン名管理情報に基づいて前記通信サービスを分類する、(1)又は(2)に記載の通信サービス分類装置。   (3) A management information storage control unit that acquires the domain name management information using the domain name and stores the domain name management information in a domain name management information storage unit that stores the domain name and the domain name management information in association with each other. The management information acquisition means acquires the domain name management information by searching the domain name management information storage means by using the domain name, and the communication service classification means uses the management information acquisition means. The communication service classification device according to (1) or (2), wherein the communication service is classified based on the acquired domain name management information.

したがって、(3)に係る通信サービス分類装置は、通信ネットワークにおけるサービスの提供者を速やかに特定し、通信ネットワークの利用状況を詳細に把握するための情報を作成することができる。   Therefore, the communication service classification device according to (3) can quickly identify the service provider in the communication network and create information for grasping the use status of the communication network in detail.

(4) (1)に記載の通信サービス分類装置が実行する方法であって、前記レスポンス取得手段が、前記ユーザ端末とDNSサーバとの通信において、DNSクエリに対するDNSレスポンスを取得するレスポンス取得ステップと、前記抽出手段が、前記レスポンス取得ステップによって取得された前記DNSレスポンスに基づいて、前記ユーザ端末が前記DNSサーバに問合わせたドメイン名と、前記DNSサーバが回答したIPアドレスとを抽出する抽出ステップと、前記記憶制御手段が、前記抽出ステップによって抽出された前記ドメイン名と前記IPアドレスとを対応付けて、DNSマップに記憶させる記憶制御ステップと、前記トラヒック取得手段が、前記ユーザ端末と前記サーバとの間の通信トラヒックを取得するトラヒック取得ステップと、前記ドメイン名抽出手段が、前記トラヒック取得ステップによって取得された前記通信トラヒックに用いられている、前記ユーザ端末から前記サーバへの送信IPアドレスを抽出し、抽出した前記送信IPアドレスに前記DNSマップにおいて対応付けられた前記ドメイン名を抽出するドメイン名抽出ステップと、前記管理情報取得手段が、前記ドメイン名抽出ステップによって抽出された前記ドメイン名を用いて、前記ドメイン名を管理するためのドメイン名管理情報を取得する管理情報取得ステップと、前記通信サービス分類手段が、前記管理情報取得ステップによって取得された前記ドメイン名管理情報に基づいて、前記ドメイン名を所有する通信サービス提供者に関する情報と、前記ドメイン名とを対応付けてサービス分類記憶手段に記憶させることによって、前記通信サービスを分類する通信サービス分類ステップと、を備える方法。   (4) A method executed by the communication service classification device according to (1), wherein the response acquisition unit acquires a DNS response to a DNS query in communication between the user terminal and a DNS server; An extraction step in which the extraction means extracts a domain name inquired to the DNS server by the user terminal and an IP address answered by the DNS server, based on the DNS response acquired by the response acquisition step. A storage control step in which the storage control means associates the domain name extracted in the extraction step with the IP address and stores it in a DNS map; and the traffic acquisition means includes the user terminal and the server. Traffic to get communication traffic between And the domain name extracting means extracts a transmission IP address from the user terminal to the server, which is used for the communication traffic acquired by the traffic acquisition step, and adds the extracted transmission IP address to the extracted transmission IP address. A domain name extraction step for extracting the domain name associated in the DNS map, and the management information acquisition means for managing the domain name using the domain name extracted in the domain name extraction step. Management information acquisition step of acquiring the domain name management information, and the communication service classification means relates to a communication service provider that owns the domain name based on the domain name management information acquired by the management information acquisition step Information and the domain name in association with each other A communication service classification step of classifying the communication service by storing it in a service class storage means.

したがって、(4)に係る方法は、通信ネットワークにおけるサービスの提供者を特定し、通信ネットワークの利用状況を把握するための情報を作成することができる。   Therefore, the method according to (4) can create information for identifying the service provider in the communication network and grasping the usage status of the communication network.

(5) コンピュータに、(4)に記載の方法の各ステップを実行させるためのプログラム。   (5) A program for causing a computer to execute each step of the method described in (4).

したがって、(5)に係るプログラムは、コンピュータに、通信ネットワークにおけるサービスの提供者を特定させ、通信ネットワークの利用状況を把握するための情報を作成させることができる。   Therefore, the program according to (5) can cause the computer to identify the provider of the service in the communication network and create information for grasping the usage status of the communication network.

本発明によれば、通信サービスの提供者を特定し、通信ネットワークの利用状況を把握するための情報を作成することができる。
本発明によれば、通信ネットワークにおけるサービス利用状況の可視化のための情報を作成し、提供することができる。
さらに、本発明によれば、将来のトラヒック予測に活用できる情報や、非常時のトラヒック制御等に利用できる有用な情報を作成し、提供することができる。 ADVANTAGE OF THE INVENTION According to this invention, the information for identifying the provider of a communication service and grasping | ascertaining the utilization condition of a communication network can be produced.
ADVANTAGE OF THE INVENTION According to this invention, the information for visualization of the service utilization condition in a communication network can be created and provided.
Furthermore, according to the present invention, it is possible to create and provide information that can be used for future traffic prediction and useful information that can be used for emergency traffic control.

本発明の一の実施形態に係る通信サービス分類装置による通信サービスの分類の概要を説明するための図である。It is a figure for demonstrating the outline | summary of the classification of the communication service by the communication service classification apparatus which concerns on one Embodiment of this invention. 本発明の一の実施形態に係る通信サービス分類装置の構成を示す図である。It is a figure which shows the structure of the communication service classification | category apparatus which concerns on one Embodiment of this invention. 本発明の一実施形態に係る通信サービス分類装置によるDNSマップの例を示す図である。It is a figure which shows the example of the DNS map by the communication service classification | category apparatus which concerns on one Embodiment of this invention. 本発明の一実施形態に係る通信サービス分類装置によるDNS応答の例を示す図である。It is a figure which shows the example of the DNS response by the communication service classification device which concerns on one Embodiment of this invention. 本発明の一実施形態に係る通信サービス分類装置によるドメイン名管理情報記憶手段の例を示す図である。It is a figure which shows the example of the domain name management information storage means by the communication service classification | category apparatus which concerns on one Embodiment of this invention. 本発明の一実施形態に係る通信サービス分類装置の処理を示すフローチャートである。It is a flowchart which shows the process of the communication service classification apparatus which concerns on one Embodiment of this invention. 本発明の一実施形態に係る通信サービス分類装置によるサービス分類記憶手段の例を示す図である。It is a figure which shows the example of the service classification memory | storage means by the communication service classification apparatus which concerns on one Embodiment of this invention.

以下、本発明の実施形態について、図を参照しながら説明する。図1は、本発明の一の実施形態に係る通信サービス分類装置10による通信サービスの分類の概要を説明するための図である。なお、図1は、1台のDNSサーバ30、サーバ40、ユーザ端末50、ドメイン名管理情報サーバ60を示すがこれに限られず、複数台のDNSサーバ、サーバ、ユーザ端末50により構成されていてもよい。サーバ40は、例えば、メールサービスを提供するメールサーバや、アプリケーション処理を提供するアプリケーションサーバ、コンテンツ(文章や画像等)を提供するコンテンツサーバやWebサーバ等のように、サービスを提供するサーバである。ドメイン名管理情報サーバ60は、ドメイン名を管理するレジストラによって設置され、ドメイン名管理情報を記憶する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a diagram for explaining an outline of communication service classification by the communication service classification apparatus 10 according to an embodiment of the present invention. Although FIG. 1 shows one DNS server 30, server 40, user terminal 50, and domain name management information server 60, the present invention is not limited to this, and is configured by a plurality of DNS servers, servers, and user terminals 50. Also good. The server 40 is a server that provides a service, such as a mail server that provides a mail service, an application server that provides application processing, a content server that provides content (such as text and images), and a Web server. . The domain name management information server 60 is installed by a registrar that manages domain names, and stores domain name management information.

最初に、ユーザ端末50は、通信網70を介して、サーバ40との通信セッションを行うために、DNSサーバ30に、サーバ40のIPアドレスを調べる名前解決のための問合わせの要求(DNSクエリという。)をする。問合わせには、ドメイン名による問合わせだけでなく、ホスト名+ドメイン名による問合わせもある。
DNSサーバ30は、問合わせの要求に対し、サーバ40のIPアドレスを求め、ユーザ端末50に回答の応答をする(DNSレスポンスという。)。通信サービス分類装置10は、DNSサーバ30からの応答に基づいて、回答に含まれるドメイン名とIPアドレスとを抽出し、DNSマップ20として記憶させる。 First, in order to perform a communication session with the server 40 via the communication network 70, the user terminal 50 requests the DNS server 30 to make an inquiry for name resolution to check the IP address of the server 40 (DNS query). ). Inquiries include not only queries by domain name, but also queries by host name + domain name.
In response to the inquiry request, the DNS server 30 obtains the IP address of the server 40 and sends a response response to the user terminal 50 (referred to as a DNS response). The communication service classification device 10 extracts the domain name and IP address included in the answer based on the response from the DNS server 30 and stores them as the DNS map 20.

次に、ユーザ端末50が、サーバ40に、サービスの要求をする。サーバ40は、ユーザ端末50に、サービスの要求に対する応答を返す。
通信サービス分類装置10は、サーバ40のドメイン名を用いて、ドメイン名管理情報を取得し(例えば、WHOISサービスを利用して取得し)、取得したドメイン名管理情報に基づいて(例えば、レジストラ情報等に基づいて)、同一の通信サービス提供者でグルーピングする。
このようにして、通信サービス分類装置10は、SSL等に代表される秘匿化技術によってOSI参照モデルのLayer4のペイロード部分が秘匿化された場合であっても、実際にユーザが利用している通信サービスを分類することができる。 Next, the user terminal 50 requests a service from the server 40. The server 40 returns a response to the service request to the user terminal 50.
The communication service classification device 10 acquires domain name management information using the domain name of the server 40 (for example, using the WHOIS service), and based on the acquired domain name management information (for example, registrar information Grouped by the same communication service provider.
In this way, the communication service classification device 10 can perform communication actually used by the user even when the payload part of the Layer 4 of the OSI reference model is concealed by the concealment technology represented by SSL or the like. Services can be classified.

図2は、本発明の一の実施形態に係る通信サービス分類装置10の構成を示す図である。通信サービス分類装置10は、レスポンス取得手段11と、抽出手段12、記憶制御手段13と、トラヒック取得手段14と、ドメイン名抽出手段15と、管理情報取得手段16と、通信サービス分類手段17と、DNSマップ20と、サービス分類記憶手段21とを備える。以下、手段ごとに詳述する。   FIG. 2 is a diagram showing a configuration of the communication service classification device 10 according to an embodiment of the present invention. The communication service classification device 10 includes a response acquisition unit 11, an extraction unit 12, a storage control unit 13, a traffic acquisition unit 14, a domain name extraction unit 15, a management information acquisition unit 16, a communication service classification unit 17, A DNS map 20 and service classification storage means 21 are provided. Hereinafter, each means will be described in detail.

レスポンス取得手段11は、ユーザ端末50とDNSサーバ30との通信において、DNSクエリに対するDNSレスポンスを取得する。
具体的には、ユーザ端末50は、サーバ40と通信を行うために、名前解決のためのDNSクエリをDNSサーバ30に対し送信する。DNSサーバ30は、サーバ40のIPアドレスを求め、DNSレスポンスをユーザ端末50に送信する。レスポンス取得手段11は、DNSレスポンスを取得する。 The response acquisition unit 11 acquires a DNS response to the DNS query in communication between the user terminal 50 and the DNS server 30.
Specifically, the user terminal 50 transmits a DNS query for name resolution to the DNS server 30 in order to communicate with the server 40. The DNS server 30 obtains the IP address of the server 40 and transmits a DNS response to the user terminal 50. The response acquisition unit 11 acquires a DNS response.

抽出手段12は、レスポンス取得手段11によって取得されたDNSレスポンスに基づいて、ユーザ端末50がDNSサーバ30に問合わせたドメイン名と、DNSサーバ30が回答したIPアドレスとを抽出する。
具体的には、抽出手段12は、レスポンス取得手段11によって取得されたDNSレスポンスに基づいて、DNSレスポンスに含まれるFQDN(Fully Qualified Domain Name)のうちホスト名を取り除き、上位レベルドメインと、IPアドレスとを抽出する。 Based on the DNS response acquired by the response acquisition unit 11, the extraction unit 12 extracts the domain name that the user terminal 50 has inquired of the DNS server 30 and the IP address that the DNS server 30 has answered.
Specifically, based on the DNS response acquired by the response acquisition unit 11, the extraction unit 12 removes the host name from the FQDN (Fully Qualified Domain Name) included in the DNS response, and extracts the upper level domain and the IP address. And extract.

記憶制御手段13は、抽出手段12によって抽出されたドメイン名とIPアドレスとを対応付けて、DNSマップ20に記憶させる。
具体的には、記憶制御手段13は、サーバ40のドメイン名と、サーバ40のIPアドレスとを対応させたDNSマップ20を作成する。なお、ドメイン名とIPアドレスとの対応関係に有効期限があり、対応関係が頻繁に変更される場合、記憶制御手段13は、ドメイン名とIPアドレスとの対応関係についての最新の情報に基づいて、DNSマップ20を更新するとしてもよい。 The storage control means 13 associates the domain name extracted by the extraction means 12 with the IP address and stores them in the DNS map 20.
Specifically, the storage control unit 13 creates the DNS map 20 in which the domain name of the server 40 is associated with the IP address of the server 40. If the correspondence between the domain name and the IP address has an expiration date, and the correspondence is frequently changed, the storage control unit 13 uses the latest information on the correspondence between the domain name and the IP address. The DNS map 20 may be updated.

トラヒック取得手段14は、ユーザ端末50とサーバ40との間の通信トラヒックを取得する。
ドメイン名抽出手段15は、トラヒック取得手段14によって取得された通信トラヒックに用いられている、ユーザ端末50からサーバ40への送信IPアドレスを抽出し、抽出した送信IPアドレスにDNSマップ20において対応付けられたドメイン名を抽出する。 The traffic acquisition unit 14 acquires communication traffic between the user terminal 50 and the server 40.
The domain name extraction unit 15 extracts a transmission IP address used for the communication traffic acquired by the traffic acquisition unit 14 from the user terminal 50 to the server 40 and associates the extracted transmission IP address with the DNS map 20. Extracted domain name.

管理情報取得手段16は、ドメイン名抽出手段15によって抽出されたドメイン名を用いて、ドメイン名を管理するためのドメイン名管理情報を取得する。
具体的には、管理情報取得手段16は、ドメイン名を用いて(例えば、WHOISサービスに、ドメイン名を送信し、送信したドメイン名に対応するドメイン名に関する管理情報を受信し)、ドメイン名管理情報を取得する。ドメイン名管理情報は、例えば、組織名、ネームサーバ、登録年月日等を含み、ドメイン名を管理するレジストラによっては、登録者名、有効期限、公開連絡窓口のEメールアドレス等を含む。 The management information acquisition unit 16 acquires domain name management information for managing the domain name using the domain name extracted by the domain name extraction unit 15.
Specifically, the management information acquisition unit 16 uses the domain name (for example, transmits the domain name to the WHOIS service and receives management information regarding the domain name corresponding to the transmitted domain name), and performs domain name management. Get information. The domain name management information includes, for example, an organization name, a name server, a registration date, and the like, and depending on a registrar that manages the domain name, includes a registrant name, an expiration date, an e-mail address of a public contact window, and the like.

通信サービス分類手段17は、管理情報取得手段16によって取得されたドメイン名管理情報に基づいて、ドメイン名を所有する通信サービス提供者に関する情報と、ドメイン名とを対応付けてサービス分類記憶手段21に記憶させることによって、通信サービスを分類する。
具体的には、通信サービス分類手段17は、ドメイン名管理情報に基づいて、通信サービス提供者に関する情報として、例えば、ドメイン名の所有者を示す組織名、登録者名又はレジストラ名(以下、登録者名等という。)と、ドメインに設置されているサーバ名を示すネームサーバと、公開連絡窓口のEメールアドレス等とを抽出し、ドメイン名に対応付けてサービス分類記憶手段21に記憶させる。 Based on the domain name management information acquired by the management information acquisition unit 16, the communication service classification unit 17 associates information related to the communication service provider that owns the domain name with the domain name in the service classification storage unit 21. Classify communication services by storing them.
Specifically, the communication service classification unit 17 uses, for example, an organization name, a registrant name, or a registrar name (hereinafter referred to as a registration name) indicating the owner of the domain name as information about the communication service provider based on the domain name management information. A name server indicating a server name installed in the domain, an e-mail address of the public contact window, and the like are stored in the service classification storage unit 21 in association with the domain name.

さらに、通信サービス分類手段17は、サービス分類記憶手段21に記憶された情報であって通信サービス提供者に関する情報のうち、複数の情報が互いに類似するドメイン名を、同一の通信サービスとして分類する。具体的には、通信サービス分類手段17は、登録者名等同士を比較した類似度を算出する。類似度は、例えば、登録者名等が「XXX」と「XXX.COP」とにおいて、拡張部「.COP」や「.cop」等を除いて、表記方法(ひらがな、カタカナ、ローマ字、英語等の表記)の違いを評価して算出される。
その他に、通信サービス分類手段17は、ネームサーバが同様か(台数が異なるが同一名のネームサーバである場合は同様とする)、Eメールアドレスのドメイン名が同じか等を評価し、類似度を含めた評価値を算出し、算出した評価値が所定の値以上である場合に、ドメイン名を同一のサービスに分類する。 Further, the communication service classification unit 17 classifies domain names that are similar to each other among a plurality of pieces of information among the information stored in the service classification storage unit 21 and related to the communication service provider as the same communication service. Specifically, the communication service classification unit 17 calculates a similarity degree obtained by comparing registrant names and the like. For example, when the registrant name is “XXX” and “XXX.COP”, the similarity is expressed in the notation format (Hiragana, Katakana, Roman, English, etc.), excluding the extension “.COP”, “.cop”, etc. It is calculated by evaluating the difference.
In addition, the communication service classification unit 17 evaluates whether the name servers are the same (the same is true when the name servers are different but have the same name), and whether the domain names of the email addresses are the same. An evaluation value including “” is calculated, and when the calculated evaluation value is equal to or greater than a predetermined value, the domain names are classified into the same service.

さらに、通信サービス分類手段17は、通信サービス提供者が同一であっても、メールサービスや、コンテンツ配信サービス等とを別のサービスに分類する。具体的には、通信サービス分類手段17は、同一ユーザ(例えば、送信元IPアドレスが同一等)によって発生された複数の通信において、通信時刻が近接し(例えば、所定の時間以内)、かつ、サービス事業者が同じ場合に、同一サービスとしてまとめる。   Further, the communication service classification unit 17 classifies the mail service, the content distribution service, and the like into different services even if the communication service provider is the same. Specifically, the communication service classifying unit 17 uses a plurality of communications generated by the same user (for example, the same source IP address) and the communication times are close (for example, within a predetermined time), and When service providers are the same, they are grouped as the same service.

例えば、通信サービス分類手段17は、通信サービス提供者に関する情報のうち登録者名等が互いに類似しているドメイン名同士を同一のサービス分類(例えば、S1)とする。さらに、通信サービス分類手段17は、同一のサービス分類(例えば、S1)に分類されるドメイン名であって、通信サービス提供者に関する情報のうち登録者名等以外の他の情報が類似している(例えば、Eメールアドレスのドメイン名同士が同一の場合や、ネームサーバ同士が同一の場合等)ドメイン名を、同一のサービス分類(例えば、S1)のうちの同一のグループとして分類する(例えば、S1−1とする)。また、通信サービス分類手段17は、通信サービス提供者に関する情報のうち登録者名等が互いに類似し、かつ、トラヒックの統計情報のうち同一ユーザによる通信開始時刻が近接しているドメイン名同士を同一のサービス分類としてもよい(後述する図7参照)。   For example, the communication service classification unit 17 sets the domain names having similar registrant names and the like among the information related to the communication service provider as the same service classification (for example, S1). Further, the communication service classification means 17 is a domain name classified into the same service classification (for example, S1), and other information other than the registrant name among the information related to the communication service provider is similar. (For example, when domain names of email addresses are the same or when name servers are the same) Domain names are classified as the same group in the same service classification (for example, S1) (for example, S1-1). Further, the communication service classification means 17 uses the same domain names that have similar registrant names among the information related to the communication service providers and that have similar communication start times by the same user in the traffic statistical information. (See FIG. 7 to be described later).

さらに、通信サービス分類装置10は、管理情報記憶制御手段18と、ドメイン名管理情報記憶手段22とを備えてもよい。
管理情報記憶制御手段18は、ドメイン名を用いてドメイン名管理情報を取得し、ドメイン名とドメイン名管理情報とを対応付けて記憶するドメイン名管理情報記憶手段22(例えば、キャッシュメモリや、ローカルの記憶装置等)に記憶させる。この場合、管理情報取得手段16は、ドメイン名を用いて、ドメイン名管理情報記憶手段22を検索することによってドメイン名管理情報を取得し、通信サービス分類手段17は、管理情報取得手段16によってドメイン名管理情報記憶手段22から取得されたドメイン名管理情報に基づいて通信サービスを分類する。
なお、管理情報記憶制御手段18は、ドメイン名管理情報記憶手段22にドメイン名ごとの有効期限を設けて記憶させるとしてもよい。管理情報記憶制御手段18は、有効期限を経過したドメイン名管理情報を消去し、新たにドメイン名管理情報を取得し、記憶させる。管理情報記憶制御手段18は、検索頻度が低下したドメイン名をドメイン名管理情報記憶手段22から消去するとしてもよい。管理情報取得手段16は、高頻度で検索する必要があるドメイン名に対し、安定した処理をすることができる。 Furthermore, the communication service classification device 10 may include a management information storage control unit 18 and a domain name management information storage unit 22.
The management information storage control unit 18 acquires domain name management information using the domain name, and stores the domain name management information in association with the domain name management information (for example, a cache memory or a local memory). In the storage device or the like. In this case, the management information acquisition unit 16 acquires domain name management information by searching the domain name management information storage unit 22 using the domain name, and the communication service classification unit 17 uses the management information acquisition unit 16 to The communication services are classified based on the domain name management information acquired from the name management information storage unit 22.
The management information storage control means 18 may store the domain name management information storage means 22 with an expiration date for each domain name. The management information storage control means 18 deletes the domain name management information that has passed the expiration date, and newly acquires and stores the domain name management information. The management information storage control unit 18 may delete the domain name whose search frequency has decreased from the domain name management information storage unit 22. The management information acquisition unit 16 can perform stable processing on domain names that need to be searched frequently.

図3は、本発明の一実施形態に係る通信サービス分類装置10によるDNSマップ20の例を示す図である。図3に示すように、DNSマップ20は、ユーザ端末50のIPアドレスごとに、サーバ40のドメイン名と、サーバ40のIPアドレスと、DNSレスポンス時刻と、TTL(Time to live)とを対応付けて記憶する。   FIG. 3 is a diagram showing an example of the DNS map 20 by the communication service classification device 10 according to an embodiment of the present invention. As illustrated in FIG. 3, the DNS map 20 associates the domain name of the server 40, the IP address of the server 40, the DNS response time, and TTL (Time to live) for each IP address of the user terminal 50. Remember.

図4は、本発明の一実施形態に係る通信サービス分類装置10によるDNS応答の例を示す図である。図4の例は、ユーザ端末50が、DNSサーバ30への問合わせにより取得したDNS回答に基づいて、サービスを提供するサーバ40との通信を行うことを示す図である。図4において、ユーザ端末50は、DNSサーバ30にDNS問合わせを行い、DNS応答によりサービスを提供するサーバ40のIPアドレスを取得し、取得したIPアドレスに基づいて、サービスを提供するサーバ40に接続し、サーバ40からサービスの提供を受ける。   FIG. 4 is a diagram illustrating an example of a DNS response by the communication service classification device 10 according to an embodiment of the present invention. The example of FIG. 4 is a diagram illustrating that the user terminal 50 communicates with the server 40 that provides a service based on a DNS answer acquired by making an inquiry to the DNS server 30. In FIG. 4, the user terminal 50 makes a DNS inquiry to the DNS server 30, acquires the IP address of the server 40 that provides the service by the DNS response, and sends the server 40 that provides the service based on the acquired IP address. Connect and receive service from the server 40.

図5は、本発明の一実施形態に係る通信サービス分類装置10によるドメイン名管理情報記憶手段22の例を示す図である。図5に示すように、ドメイン名管理情報記憶手段22は、ドメイン名とドメイン名管理情報及び有効期限とを対応付けて記憶する。
ドメイン名管理情報記憶手段22は、管理情報記憶制御手段18によって、予め、作成されるとしてもよい。ドメイン名管理情報記憶手段22は、管理情報記憶制御手段18によって、キャッシュメモリとして作成されるとしてもよい。 FIG. 5 is a diagram showing an example of the domain name management information storage unit 22 by the communication service classification device 10 according to an embodiment of the present invention. As shown in FIG. 5, the domain name management information storage unit 22 stores the domain name, the domain name management information, and the expiration date in association with each other.
The domain name management information storage unit 22 may be created in advance by the management information storage control unit 18. The domain name management information storage unit 22 may be created as a cache memory by the management information storage control unit 18.

図6は、本発明の一の実施形態に係る通信サービス分類装置10の処理を示すフローチャートである。通信サービス分類装置10は、コンピュータ及びその周辺装置が備えるハードウェア並びに該ハードウェアを制御するソフトウェアによって構成され、以下の処理は、それぞれの制御部(例えば、CPU)が、OSの下で所定のソフトウェアに従い実行する処理である。   FIG. 6 is a flowchart showing processing of the communication service classification apparatus 10 according to the embodiment of the present invention. The communication service classification device 10 is configured by hardware included in a computer and its peripheral devices, and software that controls the hardware. The following processing is performed by each control unit (for example, CPU) under a predetermined condition under the OS. This process is executed according to software.

ステップS101において、CPU(レスポンス取得手段11、抽出手段12、記憶制御手段13)は、DNS分析を行い、ドメイン名とIPアドレスとを対応付けて、DNSマップ20に記憶させる。より具体的には、CPUは、DNSクエリに対するDNSレスポンスを取得し、DNSレスポンスに基づいて、DNSレスポンスに含まれるFQDNのうちホスト名を取り除き、ドメイン名と、IPアドレスとを抽出し、抽出したドメイン名とIPアドレスとを対応付けて、DNSマップ20に記憶させる。   In step S <b> 101, the CPU (response acquisition unit 11, extraction unit 12, storage control unit 13) performs a DNS analysis and associates the domain name with the IP address and stores them in the DNS map 20. More specifically, the CPU acquires a DNS response to the DNS query, and based on the DNS response, removes the host name from the FQDN included in the DNS response, and extracts and extracts the domain name and the IP address. The domain name and the IP address are associated with each other and stored in the DNS map 20.

ステップS102において、CPU(トラヒック取得手段14、ドメイン名抽出手段15)は、通信トラヒックを分析し、IPアドレスを抽出する。より具体的には、CPUは、ユーザ端末50とサーバ40との間の通信トラヒックを取得し、取得した通信トラヒックに用いられている、ユーザ端末50からサーバ40への送信IPアドレスを抽出する。   In step S102, the CPU (traffic acquisition means 14, domain name extraction means 15) analyzes communication traffic and extracts an IP address. More specifically, the CPU acquires communication traffic between the user terminal 50 and the server 40, and extracts a transmission IP address from the user terminal 50 to the server 40 that is used for the acquired communication traffic.

ステップS103において、CPU(ドメイン名抽出手段15)は、抽出したIPアドレスに、DNSマップ20において対応するドメイン名を取得する。より具体的には、CPUは、抽出したIPアドレスを用いてDNSマップ20を検索し、検索したIPアドレスに対応付けられたドメイン名を取得する。   In step S103, the CPU (domain name extraction means 15) acquires a domain name corresponding to the extracted IP address in the DNS map 20. More specifically, the CPU searches the DNS map 20 using the extracted IP address, and acquires the domain name associated with the searched IP address.

ステップS104において、CPU(管理情報取得手段16)は、取得したドメイン名のドメイン名管理情報を取得する。より具体的には、CPUは、取得したドメイン名を用いてドメイン名管理情報サーバ60に問い合わせ、問い合わせたドメイン名に対応するドメイン名管理情報を取得する。   In step S104, the CPU (management information acquisition unit 16) acquires domain name management information of the acquired domain name. More specifically, the CPU makes an inquiry to the domain name management information server 60 using the acquired domain name, and acquires domain name management information corresponding to the inquired domain name.

ステップS105において、CPU(通信サービス分類手段17)は、取得したドメイン名管理情報に基づいて、通信サービスを分類する。より具体的には、CPUは、取得したドメイン名管理情報に基づいて、ドメイン名を所有する通信サービス提供者に関する情報と、ドメイン名とを対応付けてサービス分類記憶手段21に記憶させることによって、通信サービスを分類する。さらに、CPUは、通信サービス提供者に関する情報のうち、複数の情報が互いに類似するドメイン名を、同一の通信サービスに関するドメイン名として分類する。   In step S105, the CPU (communication service classification means 17) classifies the communication service based on the acquired domain name management information. More specifically, based on the acquired domain name management information, the CPU stores the information related to the communication service provider that owns the domain name and the domain name in the service classification storage unit 21 in association with each other. Classify communication services. Further, the CPU classifies domain names of a plurality of pieces of information that are similar to each other as information about the same communication service among the information about the communication service provider.

ステップS106において、CPU(通信サービス分類手段17)は、分類した情報を出力する。より具体的には、CPUは、サービス分類記憶手段21に記憶されたドメイン名と通信サービス提供者に関する情報との対応をディスプレイに表示したり、ファイルとして出力したりする。   In step S106, the CPU (communication service classification means 17) outputs the classified information. More specifically, the CPU displays the correspondence between the domain name stored in the service classification storage unit 21 and the information related to the communication service provider on the display or outputs it as a file.

図7は、本発明の一実施形態に係る通信サービス分類装置10によるサービス分類記憶手段21の例を示す図である。図7が示すように図7の例は、通信サービス分類装置10が、通信サービス提供者に関する情報のうち登録者名等が類似しているドメイン名同士をサービス分類S1とし、サービス分類S1に分類されるドメイン名であって、通信サービス提供者に関する情報のうち登録者名等以外の他の情報が類似している(例えば、Eメールアドレスのドメイン名同士が同一の場合や、ネームサーバ同士が同一の場合等)ドメイン名を、同一のサービス分類S1−1という、S1に分類した中でさらにグループ化していることを示している。
また、図7の例は、通信サービス分類装置10が、通信サービス提供者に関する情報のうち登録者名等が互いに類似し、かつ、トラヒックの統計情報のうち同一ユーザによる通信開始時刻が近接しているドメイン名同士を、サービス分類S1−2という、サービス分類S1の中の別のグループ(例えば、コンテンツ配信サービス)としていることを示している。同様に、図7の例は、通信サービス分類装置10が、通信サービス提供者に関する情報のうち登録者名等がサービス分類S1と類似しているドメイン名同士を、サービス分類S1−3という、サービス分類S1の中のさらに別のグループ(例えば、メールサービス等)としていることを示している。 FIG. 7 is a diagram showing an example of the service classification storage unit 21 by the communication service classification apparatus 10 according to an embodiment of the present invention. As shown in FIG. 7, in the example of FIG. 7, the communication service classification device 10 classifies the domain names having similar registrant names among the information related to the communication service provider as the service classification S <b> 1. Information other than the registrant name among the information related to the communication service provider is similar (for example, when the domain names of the email addresses are the same, This shows that the domain names are further grouped in the same service classification S1-1, which is classified into S1.
Further, in the example of FIG. 7, the communication service classification device 10 has similar registrant names among the information related to the communication service provider, and the communication start times by the same user in the traffic statistical information are close to each other. It is shown that the domain names that are present are set as another group (for example, content distribution service) in the service classification S1, called service classification S1-2. Similarly, in the example of FIG. 7, the communication service classification device 10 has a service classification S1-3 in which domain names whose registrant names and the like are similar to the service classification S1 in the information related to the communication service provider are called service classification S1-3. This indicates that the group is still another group (for example, a mail service) in the classification S1.

本実施形態によれば、通信サービス分類装置10は、DNSマップ20及びサービス分類記憶手段21を備え、ユーザが通信サービスを利用するためにユーザ端末50がアクセスするドメインについてドメイン名管理情報を取得し、取得したドメイン名管理情報に基づいて、通信サービス提供者に関する情報とドメイン名とを対応付けてサービス分類記憶手段21に記憶させることによって、通信サービスを分類する。通信サービス分類装置10は、サービス分類記憶手段21に記憶された情報であって通信サービス提供者に関する情報のうち、複数の情報が互いに類似するドメイン名を、同一の通信サービスに関するドメイン名として分類する。
さらに、通信サービス分類装置10は、ドメイン名とドメイン名管理情報とを対応付けて記憶するドメイン名管理情報記憶手段22(例えば、キャッシュとして)を備え、ドメイン名を用いて、ドメイン名管理情報記憶手段22を検索することによってドメイン名管理情報を取得し、取得したドメイン名管理情報に基づいて通信サービスを分類する。
したがって、通信サービス分類装置10は、通信サービスの提供者を特定し、通信ネットワークの利用状況を把握するための情報を作成することができる。 According to the present embodiment, the communication service classification device 10 includes a DNS map 20 and a service classification storage unit 21, and acquires domain name management information for a domain that the user terminal 50 accesses in order for the user to use the communication service. Based on the acquired domain name management information, the communication service provider classifies the communication service by associating the information related to the communication service provider with the domain name and storing them in the service classification storage unit 21. The communication service classification device 10 classifies domain names that are similar to each other among a plurality of pieces of information stored in the service classification storage unit 21 and that are similar to each other as domain names related to the same communication service. .
Furthermore, the communication service classification device 10 includes domain name management information storage means 22 (for example, as a cache) that stores a domain name and domain name management information in association with each other, and uses the domain name to store the domain name management information. The domain name management information is acquired by searching the means 22, and the communication service is classified based on the acquired domain name management information.
Therefore, the communication service classification device 10 can identify the provider of the communication service and create information for grasping the usage status of the communication network.

以上、本発明の実施形態について説明したが、本発明は上述した実施形態に限るものではない。また、本発明の実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本発明の実施形態に記載されたものに限定されるものではない。   As mentioned above, although embodiment of this invention was described, this invention is not restricted to embodiment mentioned above. The effects described in the embodiments of the present invention are only the most preferable effects resulting from the present invention, and the effects of the present invention are limited to those described in the embodiments of the present invention. is not.

10 通信サービス分類装置
11 レスポンス取得手段
12 抽出手段
13 記憶制御手段
14 トラヒック取得手段
15 ドメイン名抽出手段
16 管理情報取得手段
17 通信サービス分類手段
18 管理情報記憶制御手段
20 DNSマップ
21 サービス分類記憶手段
22 ドメイン名管理情報記憶手段
30 DNSサーバ
40 サーバ
50 ユーザ端末
60 ドメイン名管理情報サーバ
70 通信網 DESCRIPTION OF SYMBOLS 10 Communication service classification device 11 Response acquisition means 12 Extraction means 13 Storage control means 14 Traffic acquisition means 15 Domain name extraction means 16 Management information acquisition means 17 Communication service classification means 18 Management information storage control means 20 DNS map 21 Service classification storage means 22 Domain name management information storage means 30 DNS server 40 server 50 user terminal 60 domain name management information server 70 communication network

Claims (5)

ユーザ端末とサーバとの通信トラヒックに基づいて、前記ユーザ端末によって利用されている通信サービスを分類する通信サービス分類装置であって、
前記ユーザ端末とDNSサーバとの通信において、DNSクエリに対するDNSレスポンスを取得するレスポンス取得手段と、
前記レスポンス取得手段によって取得された前記DNSレスポンスに基づいて、前記ユーザ端末が前記DNSサーバに問合わせたドメイン名と、前記DNSサーバが回答したIPアドレスとを抽出する抽出手段と、
前記抽出手段によって抽出された前記ドメイン名と前記IPアドレスとを対応付けて、DNSマップに記憶させる記憶制御手段と、
前記ユーザ端末と前記サーバとの間の通信トラヒックを取得するトラヒック取得手段と、
前記トラヒック取得手段によって取得された前記通信トラヒックに用いられている、前記ユーザ端末から前記サーバへの送信IPアドレスを抽出し、抽出した前記送信IPアドレスに前記DNSマップにおいて対応付けられた前記ドメイン名を抽出するドメイン名抽出手段と、
前記ドメイン名抽出手段によって抽出された前記ドメイン名を用いて、前記ドメイン名を管理するためのドメイン名管理情報を取得する管理情報取得手段と、
前記管理情報取得手段によって取得された前記ドメイン名管理情報に基づいて、前記ドメイン名を所有する通信サービス提供者に関する情報と、前記ドメイン名とを対応付けてサービス分類記憶手段に記憶させることによって、前記通信サービスを分類する通信サービス分類手段と、
を備える通信サービス分類装置。 A communication service classification device that classifies communication services used by the user terminal based on communication traffic between the user terminal and the server,
In the communication between the user terminal and the DNS server, a response acquisition unit that acquires a DNS response to the DNS query;
Based on the DNS response acquired by the response acquisition means, an extraction means for extracting the domain name that the user terminal has inquired of the DNS server and the IP address that the DNS server has answered,
Storage control means for associating the domain name extracted by the extraction means with the IP address and storing them in a DNS map;
Traffic acquisition means for acquiring communication traffic between the user terminal and the server;
A transmission IP address used for the communication traffic acquired by the traffic acquisition means is extracted from the user terminal to the server, and the domain name associated with the extracted transmission IP address in the DNS map Domain name extraction means for extracting
Management information acquisition means for acquiring domain name management information for managing the domain name using the domain name extracted by the domain name extraction means;
Based on the domain name management information acquired by the management information acquisition unit, information related to a communication service provider who owns the domain name and the domain name are associated with each other and stored in the service classification storage unit, A communication service classification means for classifying the communication service;
A communication service classification apparatus comprising: 前記通信サービス分類手段は、前記サービス分類記憶手段に記憶された情報であって前記通信サービス提供者に関する情報のうち、複数の情報が互いに類似する前記ドメイン名を、同一の通信サービスに関するドメイン名として分類する、
請求項1に記載の通信サービス分類装置。 The communication service classification means is the information stored in the service classification storage means, and among the information related to the communication service provider, the domain name having a plurality of similar information as the domain name related to the same communication service. Classify,
The communication service classification device according to claim 1. 前記ドメイン名を用いて前記ドメイン名管理情報を取得し、前記ドメイン名と前記ドメイン名管理情報とを対応付けて記憶するドメイン名管理情報記憶手段に記憶させる管理情報記憶制御手段をさらに備え、
前記管理情報取得手段は、前記ドメイン名を用いて、前記ドメイン名管理情報記憶手段を検索することによって前記ドメイン名管理情報を取得し、
前記通信サービス分類手段は、前記管理情報取得手段によって取得された前記ドメイン名管理情報に基づいて前記通信サービスを分類する、
請求項1又は2に記載の通信サービス分類装置。 Management information storage control means for acquiring the domain name management information using the domain name and storing it in a domain name management information storage means for storing the domain name and the domain name management information in association with each other,
The management information acquisition means acquires the domain name management information by searching the domain name management information storage means using the domain name,
The communication service classification means classifies the communication service based on the domain name management information acquired by the management information acquisition means;
The communication service classification apparatus according to claim 1 or 2. 請求項1に記載の通信サービス分類装置が実行する方法であって、
前記レスポンス取得手段が、前記ユーザ端末とDNSサーバとの通信において、DNSクエリに対するDNSレスポンスを取得するレスポンス取得ステップと、
前記抽出手段が、前記レスポンス取得ステップによって取得された前記DNSレスポンスに基づいて、前記ユーザ端末が前記DNSサーバに問合わせたドメイン名と、前記DNSサーバが回答したIPアドレスとを抽出する抽出ステップと、
前記記憶制御手段が、前記抽出ステップによって抽出された前記ドメイン名と前記IPアドレスとを対応付けて、DNSマップに記憶させる記憶制御ステップと、
前記トラヒック取得手段が、前記ユーザ端末と前記サーバとの間の通信トラヒックを取得するトラヒック取得ステップと、
前記ドメイン名抽出手段が、前記トラヒック取得ステップによって取得された前記通信トラヒックに用いられている、前記ユーザ端末から前記サーバへの送信IPアドレスを抽出し、抽出した前記送信IPアドレスに前記DNSマップにおいて対応付けられた前記ドメイン名を抽出するドメイン名抽出ステップと、
前記管理情報取得手段が、前記ドメイン名抽出ステップによって抽出された前記ドメイン名を用いて、前記ドメイン名を管理するためのドメイン名管理情報を取得する管理情報取得ステップと、
前記通信サービス分類手段が、前記管理情報取得ステップによって取得された前記ドメイン名管理情報に基づいて、前記ドメイン名を所有する通信サービス提供者に関する情報と、前記ドメイン名とを対応付けてサービス分類記憶手段に記憶させることによって、前記通信サービスを分類する通信サービス分類ステップと、
を備える方法。 A method performed by the communication service classification device according to claim 1,
A response acquisition step in which the response acquisition means acquires a DNS response to a DNS query in communication between the user terminal and a DNS server;
An extraction step in which the extraction means extracts, based on the DNS response acquired in the response acquisition step, a domain name that the user terminal has inquired of the DNS server and an IP address that the DNS server has answered; ,
A storage control step in which the storage control means associates the domain name extracted in the extraction step with the IP address and stores it in a DNS map;
A traffic acquisition step in which the traffic acquisition means acquires communication traffic between the user terminal and the server;
The domain name extraction unit extracts a transmission IP address from the user terminal to the server, which is used for the communication traffic acquired by the traffic acquisition step, and adds the extracted transmission IP address to the DNS map in the DNS map. A domain name extraction step of extracting the associated domain name;
The management information acquisition means acquires the domain name management information for managing the domain name using the domain name extracted by the domain name extraction step;
Based on the domain name management information acquired by the management information acquisition step, the communication service classification means associates information about the communication service provider that owns the domain name with the domain name, and stores the service classification. A communication service classification step of classifying the communication service by storing in a means;
A method comprising: コンピュータに、請求項4に記載の方法の各ステップを実行させるためのプログラム。   The program for making a computer perform each step of the method of Claim 4.
JP2014060165A 2014-03-24 2014-03-24 Communication service classification device, method and program Expired - Fee Related JP6170001B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014060165A JP6170001B2 (en) 2014-03-24 2014-03-24 Communication service classification device, method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014060165A JP6170001B2 (en) 2014-03-24 2014-03-24 Communication service classification device, method and program

Publications (2)

Publication Number Publication Date
JP2015186001A true JP2015186001A (en) 2015-10-22
JP6170001B2 JP6170001B2 (en) 2017-07-26

Family

ID=54352113

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014060165A Expired - Fee Related JP6170001B2 (en) 2014-03-24 2014-03-24 Communication service classification device, method and program

Country Status (1)

Country Link
JP (1) JP6170001B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020170852A1 (en) * 2019-02-19 2020-08-27 日本電信電話株式会社 Prediction device, prediction method, and program
US11303525B2 (en) 2017-02-02 2022-04-12 Nec Corporation Communication system, communication control method, and communication program

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011193343A (en) * 2010-03-16 2011-09-29 Kddi Corp Communications network monitoring system
JP2011215713A (en) * 2010-03-31 2011-10-27 Nippon Telegr & Teleph Corp <Ntt> Access history information collecting system, advertisement information distribution system, method of collecting access history information, method of distributing advertisement information, access history information collecting device, and advertisement information distribution controller
JP2013157931A (en) * 2012-01-31 2013-08-15 Nippon Telegr & Teleph Corp <Ntt> Transmission source/destination organization specification device, method, and program

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011193343A (en) * 2010-03-16 2011-09-29 Kddi Corp Communications network monitoring system
JP2011215713A (en) * 2010-03-31 2011-10-27 Nippon Telegr & Teleph Corp <Ntt> Access history information collecting system, advertisement information distribution system, method of collecting access history information, method of distributing advertisement information, access history information collecting device, and advertisement information distribution controller
JP2013157931A (en) * 2012-01-31 2013-08-15 Nippon Telegr & Teleph Corp <Ntt> Transmission source/destination organization specification device, method, and program

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11303525B2 (en) 2017-02-02 2022-04-12 Nec Corporation Communication system, communication control method, and communication program
WO2020170852A1 (en) * 2019-02-19 2020-08-27 日本電信電話株式会社 Prediction device, prediction method, and program
JP2020136894A (en) * 2019-02-19 2020-08-31 日本電信電話株式会社 Prediction device, prediction method, and program
JP7095619B2 (en) 2019-02-19 2022-07-05 日本電信電話株式会社 Predictors, prediction methods and programs

Also Published As

Publication number Publication date
JP6170001B2 (en) 2017-07-26

Similar Documents

Publication Publication Date Title
Gasser et al. Clusters in the expanse: Understanding and unbiasing IPv6 hitlists
US10361931B2 (en) Methods and apparatus to identify an internet domain to which an encrypted network communication is targeted
WO2018176874A1 (en) Dns evaluation method and apparatus
CN109905288B (en) Application service classification method and device
CN104283723B (en) Network access log processing method and processing device
CN114846462A (en) Asset search discovery system using graph data structure
US10735370B1 (en) Name based internet of things (IoT) data discovery
US20100305990A1 (en) Device classification system
CN108616544B (en) Method, system, and medium for detecting updates to a domain name system recording system
US20120254398A1 (en) Traffic Like NXDomains
US10608981B2 (en) Name identification device, name identification method, and recording medium
CN110795434A (en) Method and device for constructing service attribute database
JP6170001B2 (en) Communication service classification device, method and program
Lavrenovs et al. Exploring features of HTTP responses for the classification of devices on the Internet
US11394687B2 (en) Fully qualified domain name (FQDN) determination
Li et al. CDN-hosted domain detection with supervised machine learning through DNS records
EP4167524A1 (en) Local network device connection control
KR100342107B1 (en) Methods for deciding Internet address groups distinguished by assigned organizations or locations and for resolving the geographical information for each address group, which are intended to set up Internet address supplementary system and its applications
Gañán WHOIS sunset? A primer in Registration Data Access Protocol (RDAP) performance.
JP6109645B2 (en) Service estimation apparatus and method
Voronov et al. Determining OS and applications by DNS traffic analysis
CN112015910A (en) Method and device for generating domain name knowledge base, computer equipment and storage medium
CN113065078B (en) Statistical analysis method for simulating user behavior to dial and test multistage domain names of WEB sites
US20230019306A1 (en) Network device identification
US20230403216A1 (en) Query prints (qprints): telemetry-based similarity for dns

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160721

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170525

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170613

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170629

R150 Certificate of patent or registration of utility model

Ref document number: 6170001

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees