JP2015186001A - Communication service classification device, method, and program - Google Patents
Communication service classification device, method, and program Download PDFInfo
- Publication number
- JP2015186001A JP2015186001A JP2014060165A JP2014060165A JP2015186001A JP 2015186001 A JP2015186001 A JP 2015186001A JP 2014060165 A JP2014060165 A JP 2014060165A JP 2014060165 A JP2014060165 A JP 2014060165A JP 2015186001 A JP2015186001 A JP 2015186001A
- Authority
- JP
- Japan
- Prior art keywords
- domain name
- communication service
- management information
- dns
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 189
- 238000000034 method Methods 0.000 title claims abstract description 17
- 230000004044 response Effects 0.000 claims description 47
- 238000000605 extraction Methods 0.000 claims description 32
- 230000005540 biological transmission Effects 0.000 claims description 14
- 239000000284 extract Substances 0.000 claims description 14
- 238000010586 diagram Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 3
- 238000011156 evaluation Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Images
Abstract
Description
本発明は、通信サービス分類装置、方法及びプログラムに関する。 The present invention relates to a communication service classification device, method, and program.
従来より、通信ネットワークを管理し、ユーザにとって快適な環境を維持するために、ユーザによる通信ネットワークの使い方が調査されている。
このための方法として、全パケットを対象としたDPI(Deep Packet Inspection)分析により、通信を再構築し、アプリケーションレイヤまで分析したり、DNSクエリ/レスポンスを分析し、ユーザがどのように通信ネットワークを使用し、どのようなサービスを利用しているかを調査する方法がある。特許文献1は、このような技術を開示するものとして知られている。
Conventionally, in order to manage a communication network and maintain a comfortable environment for the user, usage of the communication network by the user has been investigated.
As a method for this purpose, communication is reconstructed by DPI (Deep Packet Inspection) analysis for all packets and analyzed up to the application layer, and DNS queries / responses are analyzed to determine how the user can configure the communication network. There is a method to investigate what kind of service is used and used. Patent document 1 is known as disclosing such a technique.
特許文献1は、IP網において、アクセス履歴情報を収集するアクセス履歴情報収集システムを開示する。このアクセス履歴情報収集システムにおいて、アクセス履歴情報収集装置は、IP網を流れるパケットの送信元IPアドレス等を含むレコードをエッジルータから受信し集約してフロー統計情報とし、集約したフロー統計情報を用いてIP網内のDNS(Domain Name System)サーバ等からフロー統計情報に対応するドメイン名等の情報を取得し、パケットの送信先ポート番号を元にアプリケーション種別を判別し、フロー統計情報にドメイン名等の情報を加えたアクセス履歴情報を蓄積する。 Patent Document 1 discloses an access history information collection system that collects access history information in an IP network. In this access history information collection system, the access history information collection device receives and aggregates records including the source IP address of packets flowing through the IP network from the edge router as flow statistical information, and uses the aggregated flow statistical information Information such as the domain name corresponding to the flow statistical information is obtained from a DNS (Domain Name System) server in the IP network, the application type is determined based on the packet destination port number, and the domain name is included in the flow statistical information. The access history information to which such information is added is accumulated.
しかしながら、特許文献1の技術によれば、ユーザが利用したドメイン名等の情報が蓄積されるが、蓄積された情報からユーザが利用したサービスを具体的に知ることは困難である。
また、全パケットを対象としたDPI分析は、分析処理の負担が大きい。DNSクエリ/レスポンスの分析に基づくユーザの利用するサービスの分類は、ユーザがアクセスするドメイン名が異なると、事実上同一のサービスであっても異なるサービスとして分類される。
また、上述の方法では、暗号化された通信(例えば、SSL(Secure Sockets Layer)暗号化通信等)や独自プロトコルの通信の場合、ヘッダ内のドメイン名を取得することができない。
However, according to the technique of Patent Document 1, information such as the domain name used by the user is accumulated, but it is difficult to specifically know the service used by the user from the accumulated information.
In addition, the DPI analysis for all packets has a heavy analysis processing load. The classification of services used by the user based on the analysis of the DNS query / response is classified as different services even if the services are virtually the same if the domain names accessed by the users are different.
In the above-described method, the domain name in the header cannot be acquired in the case of encrypted communication (for example, SSL (Secure Sockets Layer) encrypted communication or the like) or communication using a unique protocol.
そこで、通信ネットワークにおけるサービスの提供者を特定し、通信ネットワークの利用状況を把握するための情報を作成する装置が求められている。 Accordingly, there is a need for an apparatus that identifies a service provider in a communication network and creates information for grasping the usage status of the communication network.
本発明は、通信ネットワークにおけるサービスの提供者を特定し、通信ネットワークの利用状況を把握するための情報を作成する通信サービス分類装置、方法及びプログラムを提供することを目的とする。 It is an object of the present invention to provide a communication service classification apparatus, method, and program for identifying a service provider in a communication network and creating information for grasping the usage status of the communication network.
本発明は、ユーザがサービスを利用するためにアクセスするドメインを利用する。
通信サービスを利用するためにユーザがアクセスするドメインは、ドメイン名が異なっていても、同一のサービス提供者が管理していれば、同一のサービスに関するドメインである可能性が高い。すなわち、ドメイン名を管理するためのドメイン名管理情報がある程度一致すれば、ドメインを同一のサービスに関するドメインとして分類できる。
ドメイン名管理情報は、閲覧可能(例えば、WHOISサービス)である。
本発明は、DNSクエリのドメイン名からドメイン名管理情報を取得し(例えば、WHOISに投げてみて)、ドメイン名管理情報のうち一致する項目で、ドメイン名を同一のグループとして分類する。
具体的には、以下のような解決手段を提供する。
The present invention uses a domain that a user accesses to use the service.
Even if the domain accessed by the user in order to use the communication service is different from the domain name, if the same service provider manages the domain, there is a high possibility that the domain is related to the same service. That is, if the domain name management information for managing the domain name matches to some extent, the domains can be classified as domains related to the same service.
The domain name management information can be browsed (for example, WHOIS service).
The present invention acquires domain name management information from the domain name of the DNS query (for example, throw it to WHOIS), and classifies the domain names as the same group by matching items in the domain name management information.
Specifically, the following solutions are provided.
(1) ユーザ端末とサーバとの通信トラヒックに基づいて、前記ユーザ端末によって利用されている通信サービスを分類する通信サービス分類装置であって、前記ユーザ端末とDNSサーバとの通信において、DNSクエリに対するDNSレスポンスを取得するレスポンス取得手段と、前記レスポンス取得手段によって取得された前記DNSレスポンスに基づいて、前記ユーザ端末が前記DNSサーバに問合わせたドメイン名と、前記DNSサーバが回答したIPアドレスとを抽出する抽出手段と、前記抽出手段によって抽出された前記ドメイン名と前記IPアドレスとを対応付けて、DNSマップに記憶させる記憶制御手段と、前記ユーザ端末と前記サーバとの間の通信トラヒックを取得するトラヒック取得手段と、前記トラヒック取得手段によって取得された前記通信トラヒックに用いられている、前記ユーザ端末から前記サーバへの送信IPアドレスを抽出し、抽出した前記送信IPアドレスに前記DNSマップにおいて対応付けられた前記ドメイン名を抽出するドメイン名抽出手段と、前記ドメイン名抽出手段によって抽出された前記ドメイン名を用いて、前記ドメイン名を管理するためのドメイン名管理情報を取得する管理情報取得手段と、前記管理情報取得手段によって取得された前記ドメイン名管理情報に基づいて、前記ドメイン名を所有する通信サービス提供者に関する情報と、前記ドメイン名とを対応付けてサービス分類記憶手段に記憶させることによって、前記通信サービスを分類する通信サービス分類手段と、を備える通信サービス分類装置。 (1) A communication service classification device for classifying communication services used by a user terminal based on communication traffic between the user terminal and a server, and for a DNS query in communication between the user terminal and a DNS server. A response acquisition means for acquiring a DNS response; a domain name that the user terminal makes an inquiry to the DNS server based on the DNS response acquired by the response acquisition means; and an IP address that the DNS server answers Extraction means for extraction, storage control means for associating the domain name extracted by the extraction means with the IP address and storing them in a DNS map, and acquiring communication traffic between the user terminal and the server Traffic acquisition means for performing the traffic acquisition The transmission IP address used for the communication traffic acquired by the stage is extracted from the user terminal to the server, and the domain name associated with the extracted transmission IP address in the DNS map is extracted. Domain name extraction means, management information acquisition means for acquiring domain name management information for managing the domain name using the domain name extracted by the domain name extraction means, and acquisition by the management information acquisition means Communication for classifying the communication service by associating and storing the information on the communication service provider who owns the domain name and the domain name in the service classification storage unit based on the domain name management information A communication service classification device comprising service classification means.
(1)の構成によれば、(1)に係る通信サービス分類装置10は、ユーザ端末とDNSサーバとの通信において、DNSクエリに対するDNSレスポンスを取得し、取得したDNSレスポンスに基づいて、ユーザ端末がDNSサーバに問合わせたドメイン名と、DNSサーバが回答したIPアドレスとを抽出し、抽出したドメイン名とIPアドレスとを対応付けて、DNSマップに記憶させ、ユーザ端末とサーバとの間の通信トラヒックを取得し、取得した通信トラヒックに用いられている、ユーザ端末からサーバへの送信IPアドレスを抽出し、抽出した送信IPアドレスにDNSマップにおいて対応付けられたドメイン名を抽出し、抽出したドメイン名を用いて、ドメイン名を管理するためのドメイン名管理情報を取得し、取得したドメイン名管理情報に基づいて、ドメイン名を所有する通信サービス提供者に関する情報と、ドメイン名とを対応付けてサービス分類記憶手段に記憶させることによって、通信サービスを分類する。
According to the configuration of (1), the communication
すなわち、通信サービス分類装置は、ユーザが通信サービスを利用するためにユーザ端末がアクセスするドメインについてドメイン名管理情報を取得し、取得したドメイン名管理情報に基づいて、通信サービス提供者に関する情報とドメイン名とを対応付けてサービス分類記憶手段に記憶させることによって、通信サービスを分類する。
したがって、(1)に係る通信サービス分類装置は、通信ネットワークにおけるサービスの提供者を特定し、通信ネットワークの利用状況を把握するための情報を作成することができる。
That is, the communication service classification device acquires domain name management information for a domain that a user terminal accesses in order for a user to use a communication service, and based on the acquired domain name management information, information about a communication service provider and a domain The communication service is classified by associating the name with the name and storing it in the service classification storage means.
Therefore, the communication service classification device according to (1) can identify the service provider in the communication network and create information for grasping the usage status of the communication network.
(2) 前記通信サービス分類手段は、前記サービス分類記憶手段に記憶された情報であって前記通信サービス提供者に関する情報のうち、複数の情報が互いに類似する前記ドメイン名を、同一の通信サービスに関するドメイン名として分類する、(1)に記載の通信サービス分類装置。 (2) The communication service classifying unit relates to the same communication service with the domain names having a plurality of information similar to each other among the information stored in the service class storage unit and related to the communication service provider. The communication service classification device according to (1), which is classified as a domain name.
したがって、(2)に係る通信サービス分類装置は、通信ネットワークにおけるサービスの提供者を特定し、通信ネットワークの利用状況を詳細に把握するための情報を作成することができる。 Therefore, the communication service classification apparatus according to (2) can identify the service provider in the communication network and create information for grasping in detail the use status of the communication network.
(3) 前記ドメイン名を用いて前記ドメイン名管理情報を取得し、前記ドメイン名と前記ドメイン名管理情報とを対応付けて記憶するドメイン名管理情報記憶手段に記憶させる管理情報記憶制御手段をさらに備え、前記管理情報取得手段は、前記ドメイン名を用いて、前記ドメイン名管理情報記憶手段を検索することによって前記ドメイン名管理情報を取得し、前記通信サービス分類手段は、前記管理情報取得手段によって取得された前記ドメイン名管理情報に基づいて前記通信サービスを分類する、(1)又は(2)に記載の通信サービス分類装置。 (3) A management information storage control unit that acquires the domain name management information using the domain name and stores the domain name management information in a domain name management information storage unit that stores the domain name and the domain name management information in association with each other. The management information acquisition means acquires the domain name management information by searching the domain name management information storage means by using the domain name, and the communication service classification means uses the management information acquisition means. The communication service classification device according to (1) or (2), wherein the communication service is classified based on the acquired domain name management information.
したがって、(3)に係る通信サービス分類装置は、通信ネットワークにおけるサービスの提供者を速やかに特定し、通信ネットワークの利用状況を詳細に把握するための情報を作成することができる。 Therefore, the communication service classification device according to (3) can quickly identify the service provider in the communication network and create information for grasping the use status of the communication network in detail.
(4) (1)に記載の通信サービス分類装置が実行する方法であって、前記レスポンス取得手段が、前記ユーザ端末とDNSサーバとの通信において、DNSクエリに対するDNSレスポンスを取得するレスポンス取得ステップと、前記抽出手段が、前記レスポンス取得ステップによって取得された前記DNSレスポンスに基づいて、前記ユーザ端末が前記DNSサーバに問合わせたドメイン名と、前記DNSサーバが回答したIPアドレスとを抽出する抽出ステップと、前記記憶制御手段が、前記抽出ステップによって抽出された前記ドメイン名と前記IPアドレスとを対応付けて、DNSマップに記憶させる記憶制御ステップと、前記トラヒック取得手段が、前記ユーザ端末と前記サーバとの間の通信トラヒックを取得するトラヒック取得ステップと、前記ドメイン名抽出手段が、前記トラヒック取得ステップによって取得された前記通信トラヒックに用いられている、前記ユーザ端末から前記サーバへの送信IPアドレスを抽出し、抽出した前記送信IPアドレスに前記DNSマップにおいて対応付けられた前記ドメイン名を抽出するドメイン名抽出ステップと、前記管理情報取得手段が、前記ドメイン名抽出ステップによって抽出された前記ドメイン名を用いて、前記ドメイン名を管理するためのドメイン名管理情報を取得する管理情報取得ステップと、前記通信サービス分類手段が、前記管理情報取得ステップによって取得された前記ドメイン名管理情報に基づいて、前記ドメイン名を所有する通信サービス提供者に関する情報と、前記ドメイン名とを対応付けてサービス分類記憶手段に記憶させることによって、前記通信サービスを分類する通信サービス分類ステップと、を備える方法。 (4) A method executed by the communication service classification device according to (1), wherein the response acquisition unit acquires a DNS response to a DNS query in communication between the user terminal and a DNS server; An extraction step in which the extraction means extracts a domain name inquired to the DNS server by the user terminal and an IP address answered by the DNS server, based on the DNS response acquired by the response acquisition step. A storage control step in which the storage control means associates the domain name extracted in the extraction step with the IP address and stores it in a DNS map; and the traffic acquisition means includes the user terminal and the server. Traffic to get communication traffic between And the domain name extracting means extracts a transmission IP address from the user terminal to the server, which is used for the communication traffic acquired by the traffic acquisition step, and adds the extracted transmission IP address to the extracted transmission IP address. A domain name extraction step for extracting the domain name associated in the DNS map, and the management information acquisition means for managing the domain name using the domain name extracted in the domain name extraction step. Management information acquisition step of acquiring the domain name management information, and the communication service classification means relates to a communication service provider that owns the domain name based on the domain name management information acquired by the management information acquisition step Information and the domain name in association with each other A communication service classification step of classifying the communication service by storing it in a service class storage means.
したがって、(4)に係る方法は、通信ネットワークにおけるサービスの提供者を特定し、通信ネットワークの利用状況を把握するための情報を作成することができる。 Therefore, the method according to (4) can create information for identifying the service provider in the communication network and grasping the usage status of the communication network.
(5) コンピュータに、(4)に記載の方法の各ステップを実行させるためのプログラム。 (5) A program for causing a computer to execute each step of the method described in (4).
したがって、(5)に係るプログラムは、コンピュータに、通信ネットワークにおけるサービスの提供者を特定させ、通信ネットワークの利用状況を把握するための情報を作成させることができる。 Therefore, the program according to (5) can cause the computer to identify the provider of the service in the communication network and create information for grasping the usage status of the communication network.
本発明によれば、通信サービスの提供者を特定し、通信ネットワークの利用状況を把握するための情報を作成することができる。
本発明によれば、通信ネットワークにおけるサービス利用状況の可視化のための情報を作成し、提供することができる。
さらに、本発明によれば、将来のトラヒック予測に活用できる情報や、非常時のトラヒック制御等に利用できる有用な情報を作成し、提供することができる。
ADVANTAGE OF THE INVENTION According to this invention, the information for identifying the provider of a communication service and grasping | ascertaining the utilization condition of a communication network can be produced.
ADVANTAGE OF THE INVENTION According to this invention, the information for visualization of the service utilization condition in a communication network can be created and provided.
Furthermore, according to the present invention, it is possible to create and provide information that can be used for future traffic prediction and useful information that can be used for emergency traffic control.
以下、本発明の実施形態について、図を参照しながら説明する。図1は、本発明の一の実施形態に係る通信サービス分類装置10による通信サービスの分類の概要を説明するための図である。なお、図1は、1台のDNSサーバ30、サーバ40、ユーザ端末50、ドメイン名管理情報サーバ60を示すがこれに限られず、複数台のDNSサーバ、サーバ、ユーザ端末50により構成されていてもよい。サーバ40は、例えば、メールサービスを提供するメールサーバや、アプリケーション処理を提供するアプリケーションサーバ、コンテンツ(文章や画像等)を提供するコンテンツサーバやWebサーバ等のように、サービスを提供するサーバである。ドメイン名管理情報サーバ60は、ドメイン名を管理するレジストラによって設置され、ドメイン名管理情報を記憶する。
Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a diagram for explaining an outline of communication service classification by the communication
最初に、ユーザ端末50は、通信網70を介して、サーバ40との通信セッションを行うために、DNSサーバ30に、サーバ40のIPアドレスを調べる名前解決のための問合わせの要求(DNSクエリという。)をする。問合わせには、ドメイン名による問合わせだけでなく、ホスト名+ドメイン名による問合わせもある。
DNSサーバ30は、問合わせの要求に対し、サーバ40のIPアドレスを求め、ユーザ端末50に回答の応答をする(DNSレスポンスという。)。通信サービス分類装置10は、DNSサーバ30からの応答に基づいて、回答に含まれるドメイン名とIPアドレスとを抽出し、DNSマップ20として記憶させる。
First, in order to perform a communication session with the
In response to the inquiry request, the
次に、ユーザ端末50が、サーバ40に、サービスの要求をする。サーバ40は、ユーザ端末50に、サービスの要求に対する応答を返す。
通信サービス分類装置10は、サーバ40のドメイン名を用いて、ドメイン名管理情報を取得し(例えば、WHOISサービスを利用して取得し)、取得したドメイン名管理情報に基づいて(例えば、レジストラ情報等に基づいて)、同一の通信サービス提供者でグルーピングする。
このようにして、通信サービス分類装置10は、SSL等に代表される秘匿化技術によってOSI参照モデルのLayer4のペイロード部分が秘匿化された場合であっても、実際にユーザが利用している通信サービスを分類することができる。
Next, the
The communication
In this way, the communication
図2は、本発明の一の実施形態に係る通信サービス分類装置10の構成を示す図である。通信サービス分類装置10は、レスポンス取得手段11と、抽出手段12、記憶制御手段13と、トラヒック取得手段14と、ドメイン名抽出手段15と、管理情報取得手段16と、通信サービス分類手段17と、DNSマップ20と、サービス分類記憶手段21とを備える。以下、手段ごとに詳述する。
FIG. 2 is a diagram showing a configuration of the communication
レスポンス取得手段11は、ユーザ端末50とDNSサーバ30との通信において、DNSクエリに対するDNSレスポンスを取得する。
具体的には、ユーザ端末50は、サーバ40と通信を行うために、名前解決のためのDNSクエリをDNSサーバ30に対し送信する。DNSサーバ30は、サーバ40のIPアドレスを求め、DNSレスポンスをユーザ端末50に送信する。レスポンス取得手段11は、DNSレスポンスを取得する。
The
Specifically, the
抽出手段12は、レスポンス取得手段11によって取得されたDNSレスポンスに基づいて、ユーザ端末50がDNSサーバ30に問合わせたドメイン名と、DNSサーバ30が回答したIPアドレスとを抽出する。
具体的には、抽出手段12は、レスポンス取得手段11によって取得されたDNSレスポンスに基づいて、DNSレスポンスに含まれるFQDN(Fully Qualified Domain Name)のうちホスト名を取り除き、上位レベルドメインと、IPアドレスとを抽出する。
Based on the DNS response acquired by the
Specifically, based on the DNS response acquired by the
記憶制御手段13は、抽出手段12によって抽出されたドメイン名とIPアドレスとを対応付けて、DNSマップ20に記憶させる。
具体的には、記憶制御手段13は、サーバ40のドメイン名と、サーバ40のIPアドレスとを対応させたDNSマップ20を作成する。なお、ドメイン名とIPアドレスとの対応関係に有効期限があり、対応関係が頻繁に変更される場合、記憶制御手段13は、ドメイン名とIPアドレスとの対応関係についての最新の情報に基づいて、DNSマップ20を更新するとしてもよい。
The storage control means 13 associates the domain name extracted by the extraction means 12 with the IP address and stores them in the
Specifically, the
トラヒック取得手段14は、ユーザ端末50とサーバ40との間の通信トラヒックを取得する。
ドメイン名抽出手段15は、トラヒック取得手段14によって取得された通信トラヒックに用いられている、ユーザ端末50からサーバ40への送信IPアドレスを抽出し、抽出した送信IPアドレスにDNSマップ20において対応付けられたドメイン名を抽出する。
The
The domain
管理情報取得手段16は、ドメイン名抽出手段15によって抽出されたドメイン名を用いて、ドメイン名を管理するためのドメイン名管理情報を取得する。
具体的には、管理情報取得手段16は、ドメイン名を用いて(例えば、WHOISサービスに、ドメイン名を送信し、送信したドメイン名に対応するドメイン名に関する管理情報を受信し)、ドメイン名管理情報を取得する。ドメイン名管理情報は、例えば、組織名、ネームサーバ、登録年月日等を含み、ドメイン名を管理するレジストラによっては、登録者名、有効期限、公開連絡窓口のEメールアドレス等を含む。
The management
Specifically, the management
通信サービス分類手段17は、管理情報取得手段16によって取得されたドメイン名管理情報に基づいて、ドメイン名を所有する通信サービス提供者に関する情報と、ドメイン名とを対応付けてサービス分類記憶手段21に記憶させることによって、通信サービスを分類する。
具体的には、通信サービス分類手段17は、ドメイン名管理情報に基づいて、通信サービス提供者に関する情報として、例えば、ドメイン名の所有者を示す組織名、登録者名又はレジストラ名(以下、登録者名等という。)と、ドメインに設置されているサーバ名を示すネームサーバと、公開連絡窓口のEメールアドレス等とを抽出し、ドメイン名に対応付けてサービス分類記憶手段21に記憶させる。
Based on the domain name management information acquired by the management
Specifically, the communication
さらに、通信サービス分類手段17は、サービス分類記憶手段21に記憶された情報であって通信サービス提供者に関する情報のうち、複数の情報が互いに類似するドメイン名を、同一の通信サービスとして分類する。具体的には、通信サービス分類手段17は、登録者名等同士を比較した類似度を算出する。類似度は、例えば、登録者名等が「XXX」と「XXX.COP」とにおいて、拡張部「.COP」や「.cop」等を除いて、表記方法(ひらがな、カタカナ、ローマ字、英語等の表記)の違いを評価して算出される。
その他に、通信サービス分類手段17は、ネームサーバが同様か(台数が異なるが同一名のネームサーバである場合は同様とする)、Eメールアドレスのドメイン名が同じか等を評価し、類似度を含めた評価値を算出し、算出した評価値が所定の値以上である場合に、ドメイン名を同一のサービスに分類する。
Further, the communication
In addition, the communication
さらに、通信サービス分類手段17は、通信サービス提供者が同一であっても、メールサービスや、コンテンツ配信サービス等とを別のサービスに分類する。具体的には、通信サービス分類手段17は、同一ユーザ(例えば、送信元IPアドレスが同一等)によって発生された複数の通信において、通信時刻が近接し(例えば、所定の時間以内)、かつ、サービス事業者が同じ場合に、同一サービスとしてまとめる。
Further, the communication
例えば、通信サービス分類手段17は、通信サービス提供者に関する情報のうち登録者名等が互いに類似しているドメイン名同士を同一のサービス分類(例えば、S1)とする。さらに、通信サービス分類手段17は、同一のサービス分類(例えば、S1)に分類されるドメイン名であって、通信サービス提供者に関する情報のうち登録者名等以外の他の情報が類似している(例えば、Eメールアドレスのドメイン名同士が同一の場合や、ネームサーバ同士が同一の場合等)ドメイン名を、同一のサービス分類(例えば、S1)のうちの同一のグループとして分類する(例えば、S1−1とする)。また、通信サービス分類手段17は、通信サービス提供者に関する情報のうち登録者名等が互いに類似し、かつ、トラヒックの統計情報のうち同一ユーザによる通信開始時刻が近接しているドメイン名同士を同一のサービス分類としてもよい(後述する図7参照)。
For example, the communication
さらに、通信サービス分類装置10は、管理情報記憶制御手段18と、ドメイン名管理情報記憶手段22とを備えてもよい。
管理情報記憶制御手段18は、ドメイン名を用いてドメイン名管理情報を取得し、ドメイン名とドメイン名管理情報とを対応付けて記憶するドメイン名管理情報記憶手段22(例えば、キャッシュメモリや、ローカルの記憶装置等)に記憶させる。この場合、管理情報取得手段16は、ドメイン名を用いて、ドメイン名管理情報記憶手段22を検索することによってドメイン名管理情報を取得し、通信サービス分類手段17は、管理情報取得手段16によってドメイン名管理情報記憶手段22から取得されたドメイン名管理情報に基づいて通信サービスを分類する。
なお、管理情報記憶制御手段18は、ドメイン名管理情報記憶手段22にドメイン名ごとの有効期限を設けて記憶させるとしてもよい。管理情報記憶制御手段18は、有効期限を経過したドメイン名管理情報を消去し、新たにドメイン名管理情報を取得し、記憶させる。管理情報記憶制御手段18は、検索頻度が低下したドメイン名をドメイン名管理情報記憶手段22から消去するとしてもよい。管理情報取得手段16は、高頻度で検索する必要があるドメイン名に対し、安定した処理をすることができる。
Furthermore, the communication
The management information
The management information storage control means 18 may store the domain name management information storage means 22 with an expiration date for each domain name. The management information storage control means 18 deletes the domain name management information that has passed the expiration date, and newly acquires and stores the domain name management information. The management information
図3は、本発明の一実施形態に係る通信サービス分類装置10によるDNSマップ20の例を示す図である。図3に示すように、DNSマップ20は、ユーザ端末50のIPアドレスごとに、サーバ40のドメイン名と、サーバ40のIPアドレスと、DNSレスポンス時刻と、TTL(Time to live)とを対応付けて記憶する。
FIG. 3 is a diagram showing an example of the
図4は、本発明の一実施形態に係る通信サービス分類装置10によるDNS応答の例を示す図である。図4の例は、ユーザ端末50が、DNSサーバ30への問合わせにより取得したDNS回答に基づいて、サービスを提供するサーバ40との通信を行うことを示す図である。図4において、ユーザ端末50は、DNSサーバ30にDNS問合わせを行い、DNS応答によりサービスを提供するサーバ40のIPアドレスを取得し、取得したIPアドレスに基づいて、サービスを提供するサーバ40に接続し、サーバ40からサービスの提供を受ける。
FIG. 4 is a diagram illustrating an example of a DNS response by the communication
図5は、本発明の一実施形態に係る通信サービス分類装置10によるドメイン名管理情報記憶手段22の例を示す図である。図5に示すように、ドメイン名管理情報記憶手段22は、ドメイン名とドメイン名管理情報及び有効期限とを対応付けて記憶する。
ドメイン名管理情報記憶手段22は、管理情報記憶制御手段18によって、予め、作成されるとしてもよい。ドメイン名管理情報記憶手段22は、管理情報記憶制御手段18によって、キャッシュメモリとして作成されるとしてもよい。
FIG. 5 is a diagram showing an example of the domain name management
The domain name management
図6は、本発明の一の実施形態に係る通信サービス分類装置10の処理を示すフローチャートである。通信サービス分類装置10は、コンピュータ及びその周辺装置が備えるハードウェア並びに該ハードウェアを制御するソフトウェアによって構成され、以下の処理は、それぞれの制御部(例えば、CPU)が、OSの下で所定のソフトウェアに従い実行する処理である。
FIG. 6 is a flowchart showing processing of the communication
ステップS101において、CPU(レスポンス取得手段11、抽出手段12、記憶制御手段13)は、DNS分析を行い、ドメイン名とIPアドレスとを対応付けて、DNSマップ20に記憶させる。より具体的には、CPUは、DNSクエリに対するDNSレスポンスを取得し、DNSレスポンスに基づいて、DNSレスポンスに含まれるFQDNのうちホスト名を取り除き、ドメイン名と、IPアドレスとを抽出し、抽出したドメイン名とIPアドレスとを対応付けて、DNSマップ20に記憶させる。
In step S <b> 101, the CPU (
ステップS102において、CPU(トラヒック取得手段14、ドメイン名抽出手段15)は、通信トラヒックを分析し、IPアドレスを抽出する。より具体的には、CPUは、ユーザ端末50とサーバ40との間の通信トラヒックを取得し、取得した通信トラヒックに用いられている、ユーザ端末50からサーバ40への送信IPアドレスを抽出する。
In step S102, the CPU (traffic acquisition means 14, domain name extraction means 15) analyzes communication traffic and extracts an IP address. More specifically, the CPU acquires communication traffic between the
ステップS103において、CPU(ドメイン名抽出手段15)は、抽出したIPアドレスに、DNSマップ20において対応するドメイン名を取得する。より具体的には、CPUは、抽出したIPアドレスを用いてDNSマップ20を検索し、検索したIPアドレスに対応付けられたドメイン名を取得する。
In step S103, the CPU (domain name extraction means 15) acquires a domain name corresponding to the extracted IP address in the
ステップS104において、CPU(管理情報取得手段16)は、取得したドメイン名のドメイン名管理情報を取得する。より具体的には、CPUは、取得したドメイン名を用いてドメイン名管理情報サーバ60に問い合わせ、問い合わせたドメイン名に対応するドメイン名管理情報を取得する。
In step S104, the CPU (management information acquisition unit 16) acquires domain name management information of the acquired domain name. More specifically, the CPU makes an inquiry to the domain name
ステップS105において、CPU(通信サービス分類手段17)は、取得したドメイン名管理情報に基づいて、通信サービスを分類する。より具体的には、CPUは、取得したドメイン名管理情報に基づいて、ドメイン名を所有する通信サービス提供者に関する情報と、ドメイン名とを対応付けてサービス分類記憶手段21に記憶させることによって、通信サービスを分類する。さらに、CPUは、通信サービス提供者に関する情報のうち、複数の情報が互いに類似するドメイン名を、同一の通信サービスに関するドメイン名として分類する。
In step S105, the CPU (communication service classification means 17) classifies the communication service based on the acquired domain name management information. More specifically, based on the acquired domain name management information, the CPU stores the information related to the communication service provider that owns the domain name and the domain name in the service
ステップS106において、CPU(通信サービス分類手段17)は、分類した情報を出力する。より具体的には、CPUは、サービス分類記憶手段21に記憶されたドメイン名と通信サービス提供者に関する情報との対応をディスプレイに表示したり、ファイルとして出力したりする。
In step S106, the CPU (communication service classification means 17) outputs the classified information. More specifically, the CPU displays the correspondence between the domain name stored in the service
図7は、本発明の一実施形態に係る通信サービス分類装置10によるサービス分類記憶手段21の例を示す図である。図7が示すように図7の例は、通信サービス分類装置10が、通信サービス提供者に関する情報のうち登録者名等が類似しているドメイン名同士をサービス分類S1とし、サービス分類S1に分類されるドメイン名であって、通信サービス提供者に関する情報のうち登録者名等以外の他の情報が類似している(例えば、Eメールアドレスのドメイン名同士が同一の場合や、ネームサーバ同士が同一の場合等)ドメイン名を、同一のサービス分類S1−1という、S1に分類した中でさらにグループ化していることを示している。
また、図7の例は、通信サービス分類装置10が、通信サービス提供者に関する情報のうち登録者名等が互いに類似し、かつ、トラヒックの統計情報のうち同一ユーザによる通信開始時刻が近接しているドメイン名同士を、サービス分類S1−2という、サービス分類S1の中の別のグループ(例えば、コンテンツ配信サービス)としていることを示している。同様に、図7の例は、通信サービス分類装置10が、通信サービス提供者に関する情報のうち登録者名等がサービス分類S1と類似しているドメイン名同士を、サービス分類S1−3という、サービス分類S1の中のさらに別のグループ(例えば、メールサービス等)としていることを示している。
FIG. 7 is a diagram showing an example of the service
Further, in the example of FIG. 7, the communication
本実施形態によれば、通信サービス分類装置10は、DNSマップ20及びサービス分類記憶手段21を備え、ユーザが通信サービスを利用するためにユーザ端末50がアクセスするドメインについてドメイン名管理情報を取得し、取得したドメイン名管理情報に基づいて、通信サービス提供者に関する情報とドメイン名とを対応付けてサービス分類記憶手段21に記憶させることによって、通信サービスを分類する。通信サービス分類装置10は、サービス分類記憶手段21に記憶された情報であって通信サービス提供者に関する情報のうち、複数の情報が互いに類似するドメイン名を、同一の通信サービスに関するドメイン名として分類する。
さらに、通信サービス分類装置10は、ドメイン名とドメイン名管理情報とを対応付けて記憶するドメイン名管理情報記憶手段22(例えば、キャッシュとして)を備え、ドメイン名を用いて、ドメイン名管理情報記憶手段22を検索することによってドメイン名管理情報を取得し、取得したドメイン名管理情報に基づいて通信サービスを分類する。
したがって、通信サービス分類装置10は、通信サービスの提供者を特定し、通信ネットワークの利用状況を把握するための情報を作成することができる。
According to the present embodiment, the communication
Furthermore, the communication
Therefore, the communication
以上、本発明の実施形態について説明したが、本発明は上述した実施形態に限るものではない。また、本発明の実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本発明の実施形態に記載されたものに限定されるものではない。 As mentioned above, although embodiment of this invention was described, this invention is not restricted to embodiment mentioned above. The effects described in the embodiments of the present invention are only the most preferable effects resulting from the present invention, and the effects of the present invention are limited to those described in the embodiments of the present invention. is not.
10 通信サービス分類装置
11 レスポンス取得手段
12 抽出手段
13 記憶制御手段
14 トラヒック取得手段
15 ドメイン名抽出手段
16 管理情報取得手段
17 通信サービス分類手段
18 管理情報記憶制御手段
20 DNSマップ
21 サービス分類記憶手段
22 ドメイン名管理情報記憶手段
30 DNSサーバ
40 サーバ
50 ユーザ端末
60 ドメイン名管理情報サーバ
70 通信網
DESCRIPTION OF
Claims (5)
前記ユーザ端末とDNSサーバとの通信において、DNSクエリに対するDNSレスポンスを取得するレスポンス取得手段と、
前記レスポンス取得手段によって取得された前記DNSレスポンスに基づいて、前記ユーザ端末が前記DNSサーバに問合わせたドメイン名と、前記DNSサーバが回答したIPアドレスとを抽出する抽出手段と、
前記抽出手段によって抽出された前記ドメイン名と前記IPアドレスとを対応付けて、DNSマップに記憶させる記憶制御手段と、
前記ユーザ端末と前記サーバとの間の通信トラヒックを取得するトラヒック取得手段と、
前記トラヒック取得手段によって取得された前記通信トラヒックに用いられている、前記ユーザ端末から前記サーバへの送信IPアドレスを抽出し、抽出した前記送信IPアドレスに前記DNSマップにおいて対応付けられた前記ドメイン名を抽出するドメイン名抽出手段と、
前記ドメイン名抽出手段によって抽出された前記ドメイン名を用いて、前記ドメイン名を管理するためのドメイン名管理情報を取得する管理情報取得手段と、
前記管理情報取得手段によって取得された前記ドメイン名管理情報に基づいて、前記ドメイン名を所有する通信サービス提供者に関する情報と、前記ドメイン名とを対応付けてサービス分類記憶手段に記憶させることによって、前記通信サービスを分類する通信サービス分類手段と、
を備える通信サービス分類装置。 A communication service classification device that classifies communication services used by the user terminal based on communication traffic between the user terminal and the server,
In the communication between the user terminal and the DNS server, a response acquisition unit that acquires a DNS response to the DNS query;
Based on the DNS response acquired by the response acquisition means, an extraction means for extracting the domain name that the user terminal has inquired of the DNS server and the IP address that the DNS server has answered,
Storage control means for associating the domain name extracted by the extraction means with the IP address and storing them in a DNS map;
Traffic acquisition means for acquiring communication traffic between the user terminal and the server;
A transmission IP address used for the communication traffic acquired by the traffic acquisition means is extracted from the user terminal to the server, and the domain name associated with the extracted transmission IP address in the DNS map Domain name extraction means for extracting
Management information acquisition means for acquiring domain name management information for managing the domain name using the domain name extracted by the domain name extraction means;
Based on the domain name management information acquired by the management information acquisition unit, information related to a communication service provider who owns the domain name and the domain name are associated with each other and stored in the service classification storage unit, A communication service classification means for classifying the communication service;
A communication service classification apparatus comprising:
請求項1に記載の通信サービス分類装置。 The communication service classification means is the information stored in the service classification storage means, and among the information related to the communication service provider, the domain name having a plurality of similar information as the domain name related to the same communication service. Classify,
The communication service classification device according to claim 1.
前記管理情報取得手段は、前記ドメイン名を用いて、前記ドメイン名管理情報記憶手段を検索することによって前記ドメイン名管理情報を取得し、
前記通信サービス分類手段は、前記管理情報取得手段によって取得された前記ドメイン名管理情報に基づいて前記通信サービスを分類する、
請求項1又は2に記載の通信サービス分類装置。 Management information storage control means for acquiring the domain name management information using the domain name and storing it in a domain name management information storage means for storing the domain name and the domain name management information in association with each other,
The management information acquisition means acquires the domain name management information by searching the domain name management information storage means using the domain name,
The communication service classification means classifies the communication service based on the domain name management information acquired by the management information acquisition means;
The communication service classification apparatus according to claim 1 or 2.
前記レスポンス取得手段が、前記ユーザ端末とDNSサーバとの通信において、DNSクエリに対するDNSレスポンスを取得するレスポンス取得ステップと、
前記抽出手段が、前記レスポンス取得ステップによって取得された前記DNSレスポンスに基づいて、前記ユーザ端末が前記DNSサーバに問合わせたドメイン名と、前記DNSサーバが回答したIPアドレスとを抽出する抽出ステップと、
前記記憶制御手段が、前記抽出ステップによって抽出された前記ドメイン名と前記IPアドレスとを対応付けて、DNSマップに記憶させる記憶制御ステップと、
前記トラヒック取得手段が、前記ユーザ端末と前記サーバとの間の通信トラヒックを取得するトラヒック取得ステップと、
前記ドメイン名抽出手段が、前記トラヒック取得ステップによって取得された前記通信トラヒックに用いられている、前記ユーザ端末から前記サーバへの送信IPアドレスを抽出し、抽出した前記送信IPアドレスに前記DNSマップにおいて対応付けられた前記ドメイン名を抽出するドメイン名抽出ステップと、
前記管理情報取得手段が、前記ドメイン名抽出ステップによって抽出された前記ドメイン名を用いて、前記ドメイン名を管理するためのドメイン名管理情報を取得する管理情報取得ステップと、
前記通信サービス分類手段が、前記管理情報取得ステップによって取得された前記ドメイン名管理情報に基づいて、前記ドメイン名を所有する通信サービス提供者に関する情報と、前記ドメイン名とを対応付けてサービス分類記憶手段に記憶させることによって、前記通信サービスを分類する通信サービス分類ステップと、
を備える方法。 A method performed by the communication service classification device according to claim 1,
A response acquisition step in which the response acquisition means acquires a DNS response to a DNS query in communication between the user terminal and a DNS server;
An extraction step in which the extraction means extracts, based on the DNS response acquired in the response acquisition step, a domain name that the user terminal has inquired of the DNS server and an IP address that the DNS server has answered; ,
A storage control step in which the storage control means associates the domain name extracted in the extraction step with the IP address and stores it in a DNS map;
A traffic acquisition step in which the traffic acquisition means acquires communication traffic between the user terminal and the server;
The domain name extraction unit extracts a transmission IP address from the user terminal to the server, which is used for the communication traffic acquired by the traffic acquisition step, and adds the extracted transmission IP address to the DNS map in the DNS map. A domain name extraction step of extracting the associated domain name;
The management information acquisition means acquires the domain name management information for managing the domain name using the domain name extracted by the domain name extraction step;
Based on the domain name management information acquired by the management information acquisition step, the communication service classification means associates information about the communication service provider that owns the domain name with the domain name, and stores the service classification. A communication service classification step of classifying the communication service by storing in a means;
A method comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014060165A JP6170001B2 (en) | 2014-03-24 | 2014-03-24 | Communication service classification device, method and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014060165A JP6170001B2 (en) | 2014-03-24 | 2014-03-24 | Communication service classification device, method and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015186001A true JP2015186001A (en) | 2015-10-22 |
JP6170001B2 JP6170001B2 (en) | 2017-07-26 |
Family
ID=54352113
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014060165A Expired - Fee Related JP6170001B2 (en) | 2014-03-24 | 2014-03-24 | Communication service classification device, method and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6170001B2 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020170852A1 (en) * | 2019-02-19 | 2020-08-27 | 日本電信電話株式会社 | Prediction device, prediction method, and program |
US11303525B2 (en) | 2017-02-02 | 2022-04-12 | Nec Corporation | Communication system, communication control method, and communication program |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011193343A (en) * | 2010-03-16 | 2011-09-29 | Kddi Corp | Communications network monitoring system |
JP2011215713A (en) * | 2010-03-31 | 2011-10-27 | Nippon Telegr & Teleph Corp <Ntt> | Access history information collecting system, advertisement information distribution system, method of collecting access history information, method of distributing advertisement information, access history information collecting device, and advertisement information distribution controller |
JP2013157931A (en) * | 2012-01-31 | 2013-08-15 | Nippon Telegr & Teleph Corp <Ntt> | Transmission source/destination organization specification device, method, and program |
-
2014
- 2014-03-24 JP JP2014060165A patent/JP6170001B2/en not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011193343A (en) * | 2010-03-16 | 2011-09-29 | Kddi Corp | Communications network monitoring system |
JP2011215713A (en) * | 2010-03-31 | 2011-10-27 | Nippon Telegr & Teleph Corp <Ntt> | Access history information collecting system, advertisement information distribution system, method of collecting access history information, method of distributing advertisement information, access history information collecting device, and advertisement information distribution controller |
JP2013157931A (en) * | 2012-01-31 | 2013-08-15 | Nippon Telegr & Teleph Corp <Ntt> | Transmission source/destination organization specification device, method, and program |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11303525B2 (en) | 2017-02-02 | 2022-04-12 | Nec Corporation | Communication system, communication control method, and communication program |
WO2020170852A1 (en) * | 2019-02-19 | 2020-08-27 | 日本電信電話株式会社 | Prediction device, prediction method, and program |
JP2020136894A (en) * | 2019-02-19 | 2020-08-31 | 日本電信電話株式会社 | Prediction device, prediction method, and program |
JP7095619B2 (en) | 2019-02-19 | 2022-07-05 | 日本電信電話株式会社 | Predictors, prediction methods and programs |
Also Published As
Publication number | Publication date |
---|---|
JP6170001B2 (en) | 2017-07-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Gasser et al. | Clusters in the expanse: Understanding and unbiasing IPv6 hitlists | |
US10361931B2 (en) | Methods and apparatus to identify an internet domain to which an encrypted network communication is targeted | |
WO2018176874A1 (en) | Dns evaluation method and apparatus | |
CN109905288B (en) | Application service classification method and device | |
CN104283723B (en) | Network access log processing method and processing device | |
CN114846462A (en) | Asset search discovery system using graph data structure | |
US10735370B1 (en) | Name based internet of things (IoT) data discovery | |
US20100305990A1 (en) | Device classification system | |
CN108616544B (en) | Method, system, and medium for detecting updates to a domain name system recording system | |
US20120254398A1 (en) | Traffic Like NXDomains | |
US10608981B2 (en) | Name identification device, name identification method, and recording medium | |
CN110795434A (en) | Method and device for constructing service attribute database | |
JP6170001B2 (en) | Communication service classification device, method and program | |
Lavrenovs et al. | Exploring features of HTTP responses for the classification of devices on the Internet | |
US11394687B2 (en) | Fully qualified domain name (FQDN) determination | |
Li et al. | CDN-hosted domain detection with supervised machine learning through DNS records | |
EP4167524A1 (en) | Local network device connection control | |
KR100342107B1 (en) | Methods for deciding Internet address groups distinguished by assigned organizations or locations and for resolving the geographical information for each address group, which are intended to set up Internet address supplementary system and its applications | |
Gañán | WHOIS sunset? A primer in Registration Data Access Protocol (RDAP) performance. | |
JP6109645B2 (en) | Service estimation apparatus and method | |
Voronov et al. | Determining OS and applications by DNS traffic analysis | |
CN112015910A (en) | Method and device for generating domain name knowledge base, computer equipment and storage medium | |
CN113065078B (en) | Statistical analysis method for simulating user behavior to dial and test multistage domain names of WEB sites | |
US20230019306A1 (en) | Network device identification | |
US20230403216A1 (en) | Query prints (qprints): telemetry-based similarity for dns |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160721 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170525 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170613 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170629 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6170001 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |