JP2019036830A - 端末識別装置、端末識別方法及びプログラム - Google Patents
端末識別装置、端末識別方法及びプログラム Download PDFInfo
- Publication number
- JP2019036830A JP2019036830A JP2017156603A JP2017156603A JP2019036830A JP 2019036830 A JP2019036830 A JP 2019036830A JP 2017156603 A JP2017156603 A JP 2017156603A JP 2017156603 A JP2017156603 A JP 2017156603A JP 2019036830 A JP2019036830 A JP 2019036830A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- communication
- list
- created
- identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【解決手段】ネットワークに収容される第1の端末の通信トラヒックから、該第1の端末の通信先を示す通信先ホストのリストを作成するリスト作成部と、前記リスト作成部が作成した通信先ホストのリストと、予め作成された識別器とから、前記第1の端末の端末種別を識別する識別部と、を有することを特徴とする。
【選択図】図3
Description
まず、本発明の実施の形態において端末識別を行う端末識別装置10が含まれるシステムの全体構成について、図1を参照しながら説明する。図1は、本発明の実施の形態における端末識別装置10が含まれるシステムの全体構成の一例を示す図である。
次に、本発明の実施の形態における端末識別装置10のハードウェア構成について、図2を参照しながら説明する。図2は、本発明の実施の形態における端末識別装置10のハードウェア構成の一例を示す図である。
ここで、端末識別装置10の端末識別処理部100による端末識別の概略について、図3を参照しながら説明する。図3は、本発明の実施の形態における端末識別の概略を説明する図である。
S11)トラヒック収集装置30からトラヒックが転送されると、端末識別処理部100は、当該トラヒックから所定の情報(通信時刻、通信元アドレス、通信先ホスト及び端末種別)を抽出した上で、抽出した情報を対応付けて通信記録DB110に格納する。
S21)トラヒック収集装置30からトラヒックが転送されると、端末識別処理部100は、当該トラヒックから所定の情報(通信時刻、通信元アドレス及び通信先ホスト)を抽出した上で、抽出した情報を対応付けて通信記録DB110に格納する。
ここで、学習フェーズ及び識別フェーズにおいて通信トラヒックから抽出する情報について、図4を参照しながら説明する。図4は、通信トラヒックから抽出する情報の一例を説明する図である。
次に、本発明の実施の形態における端末識別処理部100の機能構成について、図5を参照しながら説明する。図5は、本発明の実施の形態における端末識別処理部100の機能構成の一例を示す図である。
次に、端末識別処理部100の学習フェーズにおける処理の詳細について、図6を参照しながら説明する。図6は、端末識別処理部100の学習フェーズにおける処理の一例を示すフローチャートである。
次に、端末識別処理部100の識別フェーズにおける処理の詳細について、図7を参照しながら説明する。図7は、端末識別処理部100の識別フェーズにおける処理の一例を示すフローチャートである。
以降では、本発明の実施の形態における端末識別の具体例について述べる。HTTP通信とDNS通信との両方のトラヒックをトラヒック収集装置30による収集対象とした上で、数千ユーザ規模の12時間分のトラヒックから通信時刻、通信元アドレス、通信先ホスト及び端末種別を抽出して通信記録DB110に格納した。また、端末識別処理部100が通信記録DB110から情報を抽出する際の時間ウインドウTは5分とした。このとき、通信先ホストは、約3万件を抽出した。
(B)通信元アドレス「b.b.b.b」のユーザ端末20は端末種別「Android」
(C)通信元アドレス「c.c.c.c」のユーザ端末20は端末種別「Windows」
上記の(A)〜(C)の識別結果は、別途平行して収集したHTTP通信におけるHTTPヘッダのUser−Agentフィールドに設定されている端末種別と一致していることを確認した。このため、本発明の実施の形態における端末識別装置10によれば、高い精度で、通信先ホストから端末種別を識別できていることがわかる。
ここで、同一のネットワーク・パラメータを有するユーザ端末20における端末識別について補足する。ネットワーク・パラメータとOSとに関する調査文献(例えば、「MONTIGNY-LEBOEUF, De, et al. A multi-packet signature approach to passive operating system detection. DEFENCE RESEARCH AND DEVELOPMENT CANADAOTTAWA (ONTARIO), 2005.」)によれば、例えば、Linux2.4.0とMacOS10.2.6とは、環境によっては、同一の初期TTL値と、TCPパラメータ又はSYNヘッダパラメータとを有する(ただし、実際にはカーネル・パラメータやパッチの適用状態等で異なる場合もある。)。
20 ユーザ端末
30 トラヒック収集装置
40 DNSキャッシュサーバ
50 通信先ホストサーバ
100 端末識別処理部
101 集合作成部
102 学習データ作成部
103 識別器作成部
104 識別部
110 通信記録DB
120 識別結果DB
Claims (6)
- ネットワークに収容される第1の端末の通信トラヒックから、該第1の端末の通信先を示す通信先ホストのリストを作成するリスト作成部と、
前記リスト作成部が作成した通信先ホストのリストと、予め作成された識別器とから、前記第1の端末の端末種別を識別する識別部と、
を有することを特徴とする端末識別装置。 - 予め蓄積された通信トラヒックから、該通信トラヒックの発生元の第2の端末と、該第2の端末の通信先ホストとの集合を作成する集合作成部と、
前記集合作成部が作成した集合に対して、前記第2の端末の端末種別を示す正解ラベルを割り当てることで、学習データを作成する学習データ作成部と、
前記学習データ作成部が作成した学習データを用いて、機械学習の手法により、前記端末種別を識別するための識別器を作成する識別器作成部と、を有し、
前記識別部は、
前記リスト作成部が作成した通信先ホストのリストと、前記識別器作成部が作成した識別器とから、前記第1の端末の端末種別を識別する、ことを特徴とする請求項1に記載の端末識別装置。 - 前記集合作成部は、
前記通信トラヒックの発生元の第2の端末と、該第2の端末の通信先ホストと、前記第2の端末の端末種別との集合を作成し、
前記学習データ作成部は、
前記集合作成部が作成した集合に対して、該集合に含まれる端末種別のうち、最も出現回数が多い端末種別又はユーザにより選択された端末種別のいずれかを示す正解ラベルを割り当てることで、学習データを作成する、ことを特徴とする請求項2に記載の端末識別装置。 - 前記通信トラヒックは、HTTP通信、HTTPS通信及びDNS通信のうちの少なくとも1つの通信により発生する通信トラヒックである、ことを特徴とする請求項1乃至3の何れか一項に記載の端末識別装置。
- ネットワークに収容される第1の端末の通信トラヒックから、該第1の端末の通信先を示す通信先ホストのリストを作成するリスト作成手順と、
前記リスト作成手順が作成した通信先ホストのリストと、予め作成された識別器とから、前記第1の端末の端末種別を識別する識別手順と、
をコンピュータが実行することを特徴とする端末識別方法。 - ネットワークに収容される第1の端末の通信トラヒックから、該第1の端末の通信先を示す通信先ホストのリストを作成するリスト作成手順と、
前記リスト作成手順が作成した通信先ホストのリストと、予め作成された識別器とから、前記第1の端末の端末種別を識別する識別手順と、
をコンピュータに実行させることを特徴とするプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017156603A JP6866258B2 (ja) | 2017-08-14 | 2017-08-14 | 端末識別装置、端末識別方法及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017156603A JP6866258B2 (ja) | 2017-08-14 | 2017-08-14 | 端末識別装置、端末識別方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019036830A true JP2019036830A (ja) | 2019-03-07 |
JP6866258B2 JP6866258B2 (ja) | 2021-04-28 |
Family
ID=65636009
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017156603A Active JP6866258B2 (ja) | 2017-08-14 | 2017-08-14 | 端末識別装置、端末識別方法及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6866258B2 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7366690B2 (ja) | 2019-10-31 | 2023-10-23 | 株式会社日立製作所 | 機器種別推定システム |
JP7388613B2 (ja) | 2019-10-31 | 2023-11-29 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 |
-
2017
- 2017-08-14 JP JP2017156603A patent/JP6866258B2/ja active Active
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7366690B2 (ja) | 2019-10-31 | 2023-10-23 | 株式会社日立製作所 | 機器種別推定システム |
JP7388613B2 (ja) | 2019-10-31 | 2023-11-29 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 |
Also Published As
Publication number | Publication date |
---|---|
JP6866258B2 (ja) | 2021-04-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Perdisci et al. | Iotfinder: Efficient large-scale identification of iot devices via passive dns traffic analysis | |
US10121000B1 (en) | System and method to detect premium attacks on electronic networks and electronic devices | |
US8806644B1 (en) | Using expectation measures to identify relevant application analysis results | |
US8627469B1 (en) | Systems and methods for using acquisitional contexts to prevent false-positive malware classifications | |
EP3590063B1 (en) | Detecting malicious behavior within local networks | |
US10411985B1 (en) | Network traffic monitoring for virtual machines | |
US10158733B2 (en) | Automated DPI process | |
US11647037B2 (en) | Penetration tests of systems under test | |
US10122722B2 (en) | Resource classification using resource requests | |
EP3131260A1 (en) | Automatic detection and control of personally identifiable information leaks in a network traffic | |
US9332003B2 (en) | Systems and methods for discovering website certificate information | |
JP2017509054A (ja) | ダウンロードに利用可能なアプリケーションについてユーザに知らせるためのシステム及び方法 | |
JP6866258B2 (ja) | 端末識別装置、端末識別方法及びプログラム | |
JP7451476B2 (ja) | 根本原因解析のために経時的にフォレンジックスナップショットを相互参照するためのシステムおよび方法 | |
JP2019103069A (ja) | 特定システム、特定方法及び特定プログラム | |
Bhardwaj et al. | Forensic analysis and security assessment of IoT camera firmware for smart homes | |
US8694659B1 (en) | Systems and methods for enhancing domain-name-server responses | |
US11403398B2 (en) | System and method of detecting a source of malicious activity in a computer system | |
JP2020502703A (ja) | ネットワーク・マッピングのためのフィンガープリントの決定 | |
US11095666B1 (en) | Systems and methods for detecting covert channels structured in internet protocol transactions | |
US11163882B2 (en) | Analysis apparatus, analysis method, and analysis program | |
JP6813451B2 (ja) | 異常検知システム及び異常検知方法 | |
EP3799367B1 (en) | Generation device, generation method, and generation program | |
JP6333763B2 (ja) | マルウェア解析装置およびマルウェア解析方法 | |
JP6676790B2 (ja) | リクエスト制御装置、リクエスト制御方法、および、リクエスト制御プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7426 Effective date: 20170815 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170815 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191028 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20191028 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20191028 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200825 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200929 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201124 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210406 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210407 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6866258 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |