JP5770652B2 - 送信元・宛先組織特定装置及び方法及びプログラム - Google Patents
送信元・宛先組織特定装置及び方法及びプログラム Download PDFInfo
- Publication number
- JP5770652B2 JP5770652B2 JP2012018975A JP2012018975A JP5770652B2 JP 5770652 B2 JP5770652 B2 JP 5770652B2 JP 2012018975 A JP2012018975 A JP 2012018975A JP 2012018975 A JP2012018975 A JP 2012018975A JP 5770652 B2 JP5770652 B2 JP 5770652B2
- Authority
- JP
- Japan
- Prior art keywords
- flow
- address
- database
- destination
- dns
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、送信元・宛先組織特定装置及び方法及びプログラムに係り、特に、DNS(Domain Name Service)トラヒックとフローデータとを付き合わせることにより、あるトラヒックの送信元と宛先の組織を特定するための送信元・宛先組織特定装置及び方法及びプログラムに関する。
・トラヒック状況の把握技術:
トラヒック状況を把握する者として、ルータなどの装置で収集可能なNetFlowを利用するものがある(例えば、非特許文献1参照)。これは、ネットワーク上に流れるデータを、宛先や送信元、ポート番号などの組み合わせで認識するフローと呼ばれるひとかたまりのデータとして扱うものである。この技術を用いることで、どのIPアドレスからどのIPアドレスへ、どの程度のトラヒックが流れているかを把握することができる。ただし、上記のNetFlowではIPアドレスやポート番号、パケット数やフローサイズといった限定的な情報のみ取得可能な技術である。全ての情報を収集するためにはデータをtcpdumpなどを用いてパケット単位で収集する方法(例えば、非特許文献2参照)や、sflowを用いてアプリケーションレイヤの情報を含むフローを収集する方法(例えば、非特許文献3参照)がある。
トラヒック状況を把握する者として、ルータなどの装置で収集可能なNetFlowを利用するものがある(例えば、非特許文献1参照)。これは、ネットワーク上に流れるデータを、宛先や送信元、ポート番号などの組み合わせで認識するフローと呼ばれるひとかたまりのデータとして扱うものである。この技術を用いることで、どのIPアドレスからどのIPアドレスへ、どの程度のトラヒックが流れているかを把握することができる。ただし、上記のNetFlowではIPアドレスやポート番号、パケット数やフローサイズといった限定的な情報のみ取得可能な技術である。全ての情報を収集するためにはデータをtcpdumpなどを用いてパケット単位で収集する方法(例えば、非特許文献2参照)や、sflowを用いてアプリケーションレイヤの情報を含むフローを収集する方法(例えば、非特許文献3参照)がある。
・CDN(Contents Delivery Network)事業の拡大:
昨今のインターネットサービスとして、CDN事業の拡大が顕著である。CDNはWebサイト、音楽、動画などのコンテンツを効率良く配信する仕組みである。CDNを利用している組織のコンテンツはその組織が保有、運用しているサーバではなくCDN上のサーバに置かれる。サーバはCDN事業者が持つ場合、あるいは他事業者のサーバを借りている場合がある。
昨今のインターネットサービスとして、CDN事業の拡大が顕著である。CDNはWebサイト、音楽、動画などのコンテンツを効率良く配信する仕組みである。CDNを利用している組織のコンテンツはその組織が保有、運用しているサーバではなくCDN上のサーバに置かれる。サーバはCDN事業者が持つ場合、あるいは他事業者のサーバを借りている場合がある。
・トラヒック状況の把握技術の課題:
上記CDN事業の拡大により、フローデータを用いた正しいトラヒック状況把握が困難となってきている。これは様々な組織のコンテンツがCDN上のサーバに置かれることが要因である。例えば、組織AとBのWebサイトがCDNを利用しており、かつCDN事業者の持つ同一の配信サーバに置かれているとする。この場合、あるユーザが組織AとBのWebサイトを閲覧した場合、どちらも宛先IPアドレスはCDN事業者の事業者のサーバとなる。フローデータに含まれる宛先の情報はIPアドレスであるため、フローデータのみを見ても組織Aへのトラヒックなのか、Bへのトラヒックなのかを判別することはできない。この例を図1に示す。図1に示す例は、企業A、企業B共に、サーバ(10.0.0.1)にWebコンテンツを置いている場合、ユーザ端末において、企業A、企業BどちらのWebコンテンツを閲覧しても同じ"10.0.0.1"のCDN上のサーバへアクセスしているため、ユーザ端末のIPアドレス(192.168.0.1)だけを見てもどちらのサイトを閲覧したかはわからない。
上記CDN事業の拡大により、フローデータを用いた正しいトラヒック状況把握が困難となってきている。これは様々な組織のコンテンツがCDN上のサーバに置かれることが要因である。例えば、組織AとBのWebサイトがCDNを利用しており、かつCDN事業者の持つ同一の配信サーバに置かれているとする。この場合、あるユーザが組織AとBのWebサイトを閲覧した場合、どちらも宛先IPアドレスはCDN事業者の事業者のサーバとなる。フローデータに含まれる宛先の情報はIPアドレスであるため、フローデータのみを見ても組織Aへのトラヒックなのか、Bへのトラヒックなのかを判別することはできない。この例を図1に示す。図1に示す例は、企業A、企業B共に、サーバ(10.0.0.1)にWebコンテンツを置いている場合、ユーザ端末において、企業A、企業BどちらのWebコンテンツを閲覧しても同じ"10.0.0.1"のCDN上のサーバへアクセスしているため、ユーザ端末のIPアドレス(192.168.0.1)だけを見てもどちらのサイトを閲覧したかはわからない。
また、あるISP(Internet Service Provider)内に配信サーバがある場合、宛先のIPアドレスがISP事業者のサーバであるのか、CDN事業者の配信サーバであるのかを判別することができない。以上のように、IPアドレスと組織が1対1でないことが問題となり、トラヒック状況の正確な把握が困難となっている。
・関連技術:
インターネット上に流れるトラヒックや、インターネットの構造を明らかにする研究がある(例えば、非特許文献4参照)。これらの研究ではフローデータを分析することでAS間のトラヒック量やインターネットの構造を分析している。また、DNSデータと経路情報を用いてWebコンテンツ配信事業者のネットワーク構造を分析する技術がある(例えば、非特許文献5参照)。
インターネット上に流れるトラヒックや、インターネットの構造を明らかにする研究がある(例えば、非特許文献4参照)。これらの研究ではフローデータを分析することでAS間のトラヒック量やインターネットの構造を分析している。また、DNSデータと経路情報を用いてWebコンテンツ配信事業者のネットワーク構造を分析する技術がある(例えば、非特許文献5参照)。
B. Claise, "Cisco Systems NetFlow Services Export Version9," IETF RFC3954, October 2004. http://www.ietf.org/rfc/rfc3954
TCPDUMP/LIBPCAP public repository, "http://www.tcpdump.org".
P. Phaal, S. Panchen, and N. McKee, "InMon Corporation's sFlow:A Method for Monitoring Traffic in Switched and Routed Networks," IETF RFC3176, September 2001. http://www.ietf.org/rfc/rfc3176
C. Labovitz, S. Iekel-Johnson, J. Oberheide, and F. Jahanian, "Internet Inter-Domain Traffic," In Proceedings of ACM SIGCOMM '10.
B. Ager, W. Muhlbauer, G. Smaragdakis, and S. Uhlig, "Web Content Cartography," In Proceedings of the 2011 ACM SIGCOMM conference on Internet measurement conference.
しかしながら、非特許文献4においては、前述の通りフローデータなどのIPレイヤのみのデータではより細かいトラヒックの流量や状況を正確に把握することは困難である。また、非特許文献5ではDNSデータを利用しているため、細かい粒度での分析を行っているが、経路情報だけではトラヒック流量の把握までは困難である。
本発明は、上記の点に鑑みなされたもので、フローデータに含まれるIPアドレスと組織の紐付けを行い、サイト別トラヒック状況の把握が可能な送信元・宛先組織特定装置及び方法及びプログラムを提供することを目的とする。
上記の課題を解決するため、本発明(請求項1)は、DNS(Domain Name Service)トラヒックデータとフローデータとを付き合わせることにより、あるトラヒックの送信元と宛先の組織を特定する送信元・宛先組織特定装置であって、
前記DNSトラヒックデータを収集するDNSデータ収集手段と、
宛先IPアドレス、パケット数、フローサイズ、フロー取得開始時刻を含む前記フローデータを収集するフローデータ収集手段と、
前記DNSトラヒックデータに含まれる問い合わせ対象ドメイン名を第1要素、該ドメイン名に対応するIPアドレスを第2要素、問い合わせ送信元IPアドレスを第3要素、問い合わせ時刻を第4要素、該ドメイン名の問い合わせ回数を第5要素とするDNS情報データベースを作成し、取得した前記フローデータに基づいてフローデータベースを生成するデータベース生成手段と、
前記DNS情報データベースと前記フローデータベースとを突き合わせ、該フローデータベースに出現する宛先IPアドレスにドメイン名を付与するマッチング手段と、を有し、
前記マッチング手段は、
前記フローデータベースの前記宛先IPアドレスが前記DNS情報データベースの前記第2要素、該フローデータベースの前記送信元IPアドレスが該DNS情報データベースの前記第3要素、該フローデータベースの前記フロー取得開始時刻が該DNS情報データベースの前記第4要素と一致するレコードを検索し、該第1要素を、前記宛先IPアドレスに付与する第1の検索手段と、
前記第1の検索手段において一致するレコードが検索できなかった場合に、前記フローデータベースの前記宛先IPアドレスが前記DNS情報データベースの前記第2要素と一致、かつ、該フローデータベースの前記送信元IPアドレスが該DNS情報データベースの前記第3要素と一致するレコードを検索し、該レコードの第1要素であるドメイン名を、前記宛先IPアドレスに付与する第2の検索手段と、
前記第1の検索手段及び前記第2の検索手段において一致するレコードが検索できなかった場合に、前記フローデータベースの前記宛先IPアドレスが前記DNS情報データベースの前記第2要素と一致するレコードを検索し、該レコードの第1要素であるドメイン名を、前記宛先IPアドレスに付与する第3の検索手段と、
前記第1の検索手段及び前記第2の検索手段及び前記第3の検索手段において一致するレコードが検索できなかった場合に、前記フローデータベースの前記宛先IPアドレスのネットワーク部が前記DNS情報データベースの前記第2要素のネットワーク部と一致するレコードを検索し、該レコードの第1要素であるドメイン名を、前記宛先IPアドレスに付与する第4の検索手段と、を含む
ことを特徴とする送信元・宛先組織特定装置として構成される。
前記DNSトラヒックデータを収集するDNSデータ収集手段と、
宛先IPアドレス、パケット数、フローサイズ、フロー取得開始時刻を含む前記フローデータを収集するフローデータ収集手段と、
前記DNSトラヒックデータに含まれる問い合わせ対象ドメイン名を第1要素、該ドメイン名に対応するIPアドレスを第2要素、問い合わせ送信元IPアドレスを第3要素、問い合わせ時刻を第4要素、該ドメイン名の問い合わせ回数を第5要素とするDNS情報データベースを作成し、取得した前記フローデータに基づいてフローデータベースを生成するデータベース生成手段と、
前記DNS情報データベースと前記フローデータベースとを突き合わせ、該フローデータベースに出現する宛先IPアドレスにドメイン名を付与するマッチング手段と、を有し、
前記マッチング手段は、
前記フローデータベースの前記宛先IPアドレスが前記DNS情報データベースの前記第2要素、該フローデータベースの前記送信元IPアドレスが該DNS情報データベースの前記第3要素、該フローデータベースの前記フロー取得開始時刻が該DNS情報データベースの前記第4要素と一致するレコードを検索し、該第1要素を、前記宛先IPアドレスに付与する第1の検索手段と、
前記第1の検索手段において一致するレコードが検索できなかった場合に、前記フローデータベースの前記宛先IPアドレスが前記DNS情報データベースの前記第2要素と一致、かつ、該フローデータベースの前記送信元IPアドレスが該DNS情報データベースの前記第3要素と一致するレコードを検索し、該レコードの第1要素であるドメイン名を、前記宛先IPアドレスに付与する第2の検索手段と、
前記第1の検索手段及び前記第2の検索手段において一致するレコードが検索できなかった場合に、前記フローデータベースの前記宛先IPアドレスが前記DNS情報データベースの前記第2要素と一致するレコードを検索し、該レコードの第1要素であるドメイン名を、前記宛先IPアドレスに付与する第3の検索手段と、
前記第1の検索手段及び前記第2の検索手段及び前記第3の検索手段において一致するレコードが検索できなかった場合に、前記フローデータベースの前記宛先IPアドレスのネットワーク部が前記DNS情報データベースの前記第2要素のネットワーク部と一致するレコードを検索し、該レコードの第1要素であるドメイン名を、前記宛先IPアドレスに付与する第4の検索手段と、を含む
ことを特徴とする送信元・宛先組織特定装置として構成される。
また、本発明(請求項2)は、DNS(Domain Name Service)トラヒックデータとフローデータとを付き合わせることにより、あるトラヒックの送信元と宛先の組織を特定する送信元・宛先組織特定装置であって、
前記DNSトラヒックデータを収集するDNSデータ収集手段と、
宛先IPアドレス、パケット数、フローサイズ、フロー取得開始時刻を含む前記フローデータを収集するフローデータ収集手段と、
前記DNSトラヒックデータに含まれる問い合わせ対象ドメイン名を第1要素、該ドメイン名に対応するIPアドレスを第2要素、問い合わせ送信元IPアドレスを第3要素、問い合わせ時刻を第4要素、該ドメイン名の問い合わせ回数を第5要素とするDNS情報データベースを作成し、取得した前記フローデータに基づいてフローデータベースを生成するデータベース生成手段と、
前記DNS情報データベースと前記フローデータベースとを突き合わせ、該フローデータベースに出現する宛先IPアドレスにドメイン名を付与するマッチング手段と、を有し、
前記データベース生成手段は、
DNSトラヒックデータの応答に含まれるCNAME情報において、元のドメイン名を第6要素、CNAMEによって付与された別名を第7要素、該CNAMEの出現回数を第8要素とするレコードを有するCNAMEデータベースを生成するCNAMEデータベース生成手段を含み、
前記マッチング手段は、
前記宛先IPアドレスにドメイン名を付与する際に、該ドメイン名が前記CNAMEデータベースの前記第7要素と一致するレコードを検索し、該第7要素である別名に対応する前記第6要素である元のドメイン名を該宛先IPアドレスに付与する手段を含む。
前記DNSトラヒックデータを収集するDNSデータ収集手段と、
宛先IPアドレス、パケット数、フローサイズ、フロー取得開始時刻を含む前記フローデータを収集するフローデータ収集手段と、
前記DNSトラヒックデータに含まれる問い合わせ対象ドメイン名を第1要素、該ドメイン名に対応するIPアドレスを第2要素、問い合わせ送信元IPアドレスを第3要素、問い合わせ時刻を第4要素、該ドメイン名の問い合わせ回数を第5要素とするDNS情報データベースを作成し、取得した前記フローデータに基づいてフローデータベースを生成するデータベース生成手段と、
前記DNS情報データベースと前記フローデータベースとを突き合わせ、該フローデータベースに出現する宛先IPアドレスにドメイン名を付与するマッチング手段と、を有し、
前記データベース生成手段は、
DNSトラヒックデータの応答に含まれるCNAME情報において、元のドメイン名を第6要素、CNAMEによって付与された別名を第7要素、該CNAMEの出現回数を第8要素とするレコードを有するCNAMEデータベースを生成するCNAMEデータベース生成手段を含み、
前記マッチング手段は、
前記宛先IPアドレスにドメイン名を付与する際に、該ドメイン名が前記CNAMEデータベースの前記第7要素と一致するレコードを検索し、該第7要素である別名に対応する前記第6要素である元のドメイン名を該宛先IPアドレスに付与する手段を含む。
また、本発明(請求項3)は、前記マッチング手段において、
検索により複数のレコードが得られた場合は、それぞれのドメイン名の問い合わせ回数によって前記フローデータベースに含まれる前記パケット数及び前記フローサイズを按分する手段を含む。
検索により複数のレコードが得られた場合は、それぞれのドメイン名の問い合わせ回数によって前記フローデータベースに含まれる前記パケット数及び前記フローサイズを按分する手段を含む。
上記のように、本発明によれば、あるトラヒックがどの組織へ送られるものなのか、また、どの組織から送信されたものなのかを、DNSやフローといった比較的軽量で収集可能なデータを用いて特定することができ、正確なトラヒック状況を把握することが可能となる。このような正確なトラヒック状況の把握により、トラヒックに急激な変化が生じた場合にその原因を特定することなども可能となり、さらには通信網の設備設計の基礎データとしての利用も可能になるなど高い効果を奏する。
以下、図面と共に本発明の実施の形態を説明する。
<前提条件>
まず、本発明の前提条件を説明する。
まず、本発明の前提条件を説明する。
本発明の入力として、DNSキャッシュサーバへ届くトラヒックデータ、ネットワーク上を通過するトラフィックフローの情報をモニタリングするプロトコルであるNetFlowを用いて収集したフローデータが与えられるものとする。DNSトラヒックデータには問い合わせドメイン名、その問い合わせに対する応答、問い合わせ送信元IPアドレス、問い合わせ時刻などが含まれ、フローデータには送信元IPアドレス、宛先IPアドレス、パケット数、トラヒック量、フローの取得開始時刻などの情報が含まれる。また、DNSトラヒックデータおよびフローデータの収集箇所は、同一NWでなくてもよい。
[第1の実施の形態]
<本実施の形態の概要>
本発明では、まずDNSデータからIPアドレスとドメイン名などの情報を含むDNS情報データベースを生成する。次に、フローデータに出現するIPアドレスに対し、DNSデータから生成したデータベースを検索し、対応するドメイン名の紐付けを行う。
<本実施の形態の概要>
本発明では、まずDNSデータからIPアドレスとドメイン名などの情報を含むDNS情報データベースを生成する。次に、フローデータに出現するIPアドレスに対し、DNSデータから生成したデータベースを検索し、対応するドメイン名の紐付けを行う。
<構成>
図2は、本発明の第1の実施の形態におけるシステム構成である。
図2は、本発明の第1の実施の形態におけるシステム構成である。
同図示すシステムは、ユーザ端末1、通信先サーバ2、DNSキャッシュサーバ3、ルータ4、IPアドレスを保有しないスイッチであるL2SW5、送信元・宛先組織特定装置100から構成される。
送信元・宛先組織特定装置100は、フローデータを収集するフローデータ収集部110、DSNトラヒックデータを収集するDNSデータ収集部120、DNSトラヒックデータからDNSサーバ3に問い合わせ、応答情報を含むDNS情報データベース(DB)150と、フローデータベース(DB)140を生成するデータベース生成部130、フローDB140とDNS 情報DB150を突合せ、組織とトラヒックの紐付けを行うマッチング部160、マッチングの結果を出力する出力部170から構成される。
本発明の入力として、DNSキャッシュサーバ3へ届くトラヒックデータがDNSデータ収集部120に、NetFlowを用いて収集したフローデータがフローデータ収集部110にルータ4から与えられるものとする。DNSトラヒックデータには問い合わせドメイン名、その問い合わせに対する応答、問い合わせ送信元IPアドレス、問い合わせ時刻などが含まれ、フローデータには送信元IPアドレス、宛先IPアドレス、パケット数、トラヒック量、フローの取得開始時刻などの情報が含まれる。なお、DNSトラヒックデータ及びフローデータの収集箇所は、同一ネットワークでなくてもよい。
<DNS情報データベースの生成>
DNSデータ収集部120から与えられたDNSデータには問い合わせ送信元、時刻情報、応答情報が含まれている。応答情報にはどのドメイン名を問い合わせたか、そのドメイン名に対応するIPアドレスは何かというものが含まれている。データベース生成部130は、この情報を利用し、図3のようなドメイン名を第1要素、そのドメイン名に対応するIPアドレスを第2要素、問い合わせた送信元IPアドレスを第3要素、および問い合わせ時刻情報を第4要素、そのドメイン名の問い合わせ回数を第5要素とするDNS情報DB150を生成する。
DNSデータ収集部120から与えられたDNSデータには問い合わせ送信元、時刻情報、応答情報が含まれている。応答情報にはどのドメイン名を問い合わせたか、そのドメイン名に対応するIPアドレスは何かというものが含まれている。データベース生成部130は、この情報を利用し、図3のようなドメイン名を第1要素、そのドメイン名に対応するIPアドレスを第2要素、問い合わせた送信元IPアドレスを第3要素、および問い合わせ時刻情報を第4要素、そのドメイン名の問い合わせ回数を第5要素とするDNS情報DB150を生成する。
<フローDBの作成>
データベース生成部130は、フローデータとして、送信元、宛先IPアドレスやパケット数、フローサイズ(流量)、そのフローの取得開始時刻などがフローデータ収集部110から入力されると、図4に示すように、送信元IPアドレスを第1要素、宛先IPアドレスを第2要素、フローの取得開始時刻を第3要素、パケット数を第4要素、流量を第5要素とするフローDB140を生成する。
データベース生成部130は、フローデータとして、送信元、宛先IPアドレスやパケット数、フローサイズ(流量)、そのフローの取得開始時刻などがフローデータ収集部110から入力されると、図4に示すように、送信元IPアドレスを第1要素、宛先IPアドレスを第2要素、フローの取得開始時刻を第3要素、パケット数を第4要素、流量を第5要素とするフローDB140を生成する。
<フローデータに含まれるIPアドレスとドメイン名のマッチング>
フローデータには送信元、宛先IPアドレスやパケット数、フローサイズ(流量)、そのフローの取得開始時刻などが含まれる。図5に示すように、マッチング部160は、フローDB140のフローデータに含まれる宛先IPアドレスがDNS情報DB150の第2要素(ドメイン名に対応するIPアドレス)、送信元IPアドレスがDNS情報DB150の第3要素(問い合わせ元)、フロー取得開始時刻がDNS情報DB150の第4要素(問い合わせ時刻)と一致するレコードを検索する。なお、フロー取得開始時刻とDNS情報DB150の第4要素とは厳密には同じ時刻にはならない可能性があるため、完全一致ではなく一定時間以内の差異を許容することが考えられる。次に、検索結果のレコードの第1要素であるドメイン名を、上記宛先IPアドレスに付与する。マッチング結果は、図5に示すように、宛先ドメイン名、パケット数、流量となる。
フローデータには送信元、宛先IPアドレスやパケット数、フローサイズ(流量)、そのフローの取得開始時刻などが含まれる。図5に示すように、マッチング部160は、フローDB140のフローデータに含まれる宛先IPアドレスがDNS情報DB150の第2要素(ドメイン名に対応するIPアドレス)、送信元IPアドレスがDNS情報DB150の第3要素(問い合わせ元)、フロー取得開始時刻がDNS情報DB150の第4要素(問い合わせ時刻)と一致するレコードを検索する。なお、フロー取得開始時刻とDNS情報DB150の第4要素とは厳密には同じ時刻にはならない可能性があるため、完全一致ではなく一定時間以内の差異を許容することが考えられる。次に、検索結果のレコードの第1要素であるドメイン名を、上記宛先IPアドレスに付与する。マッチング結果は、図5に示すように、宛先ドメイン名、パケット数、流量となる。
なお、検索結果として複数のレコードが得られた場合は問い合わせ時刻が最新のものを利用するものとする。
[第2の実施の形態]
<データベース検索の課題>
最近のOSやWebブラウザの実装では、DNS情報を端末に保存しておく機能がある。そのため、送信元端末はWebサイトの閲覧などにおいて必ずしもDNSサーバと通信するとは限らず、直接Webサーバへアクセスするケースが存在する。このような場合、DNS情報データベースの時刻情報や問い合わせ元IPアドレスの検索に失敗してしまう課題がある。また、DNSデータとフローデータの収集箇所が異なる場合、フローデータの送信元の検索に失敗するケースが存在する。他の問題として、収集したDNSトラヒックデータの中には存在する全てのドメイン名とそれに対応するIPアドレス情報が含まれていないというものがある。このような場合、フローデータに含まれる宛先IPアドレスとDNS情報DB150の第2要素の検索に失敗してしまう。以下、この課題に対する対処方法を記す。
<データベース検索の課題>
最近のOSやWebブラウザの実装では、DNS情報を端末に保存しておく機能がある。そのため、送信元端末はWebサイトの閲覧などにおいて必ずしもDNSサーバと通信するとは限らず、直接Webサーバへアクセスするケースが存在する。このような場合、DNS情報データベースの時刻情報や問い合わせ元IPアドレスの検索に失敗してしまう課題がある。また、DNSデータとフローデータの収集箇所が異なる場合、フローデータの送信元の検索に失敗するケースが存在する。他の問題として、収集したDNSトラヒックデータの中には存在する全てのドメイン名とそれに対応するIPアドレス情報が含まれていないというものがある。このような場合、フローデータに含まれる宛先IPアドレスとDNS情報DB150の第2要素の検索に失敗してしまう。以下、この課題に対する対処方法を記す。
<過去の問い合わせ情報を利用したマッチング方法>
検索に失敗したときの処理として、本実施の形態ではその送信元の過去のDNS問い合わせ情報または異なる送信元のDNS問い合わせ情報を利用する。具体的には、図6に示すように、フローDB140のフローデータに含まれる宛先IPアドレスがDNS情報DB150の第2要素、送信元IPアドレスがDNS情報DB150の第3要素と一致するようなレコードを検索し、そのレコードの第1要素であるドメイン名を宛先IPアドレスに付与する。
検索に失敗したときの処理として、本実施の形態ではその送信元の過去のDNS問い合わせ情報または異なる送信元のDNS問い合わせ情報を利用する。具体的には、図6に示すように、フローDB140のフローデータに含まれる宛先IPアドレスがDNS情報DB150の第2要素、送信元IPアドレスがDNS情報DB150の第3要素と一致するようなレコードを検索し、そのレコードの第1要素であるドメイン名を宛先IPアドレスに付与する。
[第3の実施の形態]
本実施の形態では、前述のDNSデータとフローデータの収集場所が異なる場合、送信元を利用した検索は失敗してしまうという課題を解決するための第2の方法について説明する。
本実施の形態では、前述のDNSデータとフローデータの収集場所が異なる場合、送信元を利用した検索は失敗してしまうという課題を解決するための第2の方法について説明する。
<他のユーザの問い合わせ情報を利用したマッチング方法>
本実施の形態では、他のユーザのDNS問い合わせ情報を利用する。具体的には、図7に示すように、フローDB140のフローデータに含まれる宛先IPアドレスがDNS情報DB150の第2要素と一致するレコードを検索し、そのレコードの第1要素であるドメイン名を宛先IPアドレスに付与する。
本実施の形態では、他のユーザのDNS問い合わせ情報を利用する。具体的には、図7に示すように、フローDB140のフローデータに含まれる宛先IPアドレスがDNS情報DB150の第2要素と一致するレコードを検索し、そのレコードの第1要素であるドメイン名を宛先IPアドレスに付与する。
しかしながら、全ドメイン名とIPアドレス情報を持っていない場合、宛先IPアドレスを用いた検索に失敗してしまう。この場合の対処として、宛先IPアドレスおよびDNS情報DB150の第2要素のIPアドレスのネットワーク部を利用する。これは、あるIPアドレスの近隣にあるIPアドレスは同一組織のものであることが多いということを利用したものである。具体的には、図8に示すように、宛先IPアドレスの上位nビットとDNS情報データベースの第2要素のIPアドレスの上位nビットが一致するレコードを検索し、そのレコードの第1要素であるドメイン名を宛先IPアドレスに付与する。または、フローデータに含まれる宛先IPアドレスがDNS情報DB150の第2要素と一致するレコードを検索し、そのレコードの第1要素であるドメイン名を宛先IPアドレスに付与する。
前述の図7、図8で示したマッチング方式では、DNS情報データベースの検索結果として複数のレコードが得られるケースが存在する。本実施の形態では、このときの対処方法を記す。
図7および図8の場合においては、他のユーザの問い合わせ情報を利用しているため、どのドメイン名と通信したかを判別することは困難である。そこで、全ユーザの問い合わせ傾向から得られた複数のドメイン名にフローを按分する。具体的には、検索によって得られたドメイン名がA、B、Cであり、それぞれの問い合わせ回数が10、40、50だとすると、Aにはフローのパケット数、フローサイズの10%を、Bには40%、Cには50%を割り振る。また、Aがドメイン名A'、A''の別名であるである場合、割り当てられた10%のパケット数、フローサイズをCNAMEの出現回数によって按分する。
[第4の実施の形態]
前述の第1〜第3の実施の形態によってIPアドレスにドメイン名を付与するとき、CNAMEによって正しいドメイン名が付与されないケースが存在する。例えば、"www.example.com"のCNAMEが"www2.example.com"の場合、以下の情報がキャッシュとして保存される。
1. www.example.comの別名はwww2.example.com
2. www2.example.comのIPアドレスはxxx.xxx.xxx.xxx
上記1および2にはそれぞれキャッシュの保持期間が設定されているが、それぞれの保存期間が同一ではないケースが存在する。例えば、2の保存期間が1の保存期間より短く設定されている場合、2の保存期間が過ぎ、端末が"www.example.com"の名前解決をするとき、1の情報がキャッシュとして保存されているため、端末はwww.example.comではなく"www2.example.com"の名前解決を行うことになる。このとき、DNS情報データベースには"www.example.com"ではなく"www2.example.com"が記録される。これにより、上記マッチング方法では、IPアドレスに"www.example.com"ではなく"www2.example.com"を誤って付与してしまう。
前述の第1〜第3の実施の形態によってIPアドレスにドメイン名を付与するとき、CNAMEによって正しいドメイン名が付与されないケースが存在する。例えば、"www.example.com"のCNAMEが"www2.example.com"の場合、以下の情報がキャッシュとして保存される。
1. www.example.comの別名はwww2.example.com
2. www2.example.comのIPアドレスはxxx.xxx.xxx.xxx
上記1および2にはそれぞれキャッシュの保持期間が設定されているが、それぞれの保存期間が同一ではないケースが存在する。例えば、2の保存期間が1の保存期間より短く設定されている場合、2の保存期間が過ぎ、端末が"www.example.com"の名前解決をするとき、1の情報がキャッシュとして保存されているため、端末はwww.example.comではなく"www2.example.com"の名前解決を行うことになる。このとき、DNS情報データベースには"www.example.com"ではなく"www2.example.com"が記録される。これにより、上記マッチング方法では、IPアドレスに"www.example.com"ではなく"www2.example.com"を誤って付与してしまう。
本実施の形態では、この問題を解決するために、CNAMEデータベースを利用し、元ドメイン名を復元する。
図9は、本発明の第4の実施の形態における送信元・宛先組織特定装置の構成を示す。同図に示す装置は図2に示す構成にCNAMEデータベース155を付加した構成である。
データベース生成部130は、以下の方法によりCNAMEDB155を生成する。
DNSの応答に含まれる情報には、CNAMEと呼ばれるドメイン名の別名を定義するためのリソースレコードが存在する。例えば、"www. example.co.jp"のIPアドレスを取得するためにDNSサーバへ問い合わせを発行すると、その応答には以下のようなCNAMEレコードが含まれている。
www.example.co.jp. 129909 IN CNAME www. example.com.
www.example.com. 387328 IN CNAME www.2. example.com.
これは、"www. example.co.jp"の別名が"www. example.com"であり、さらに"www. example.com"の別名が"www2. example.com"であることを表している。本実施の形態では、CNAMEの左にあるドメイン名を元ドメイン名、右側にあるドメイン名を別名と定義する。データベース生成部130は、DNS応答情報から、図10に示すような第1要素を元ドメイン名、第2要素を別名、第3要素をドメイン名と別名の出現回数とするCNAME DB155を生成する。
www.example.com. 387328 IN CNAME www.2. example.com.
これは、"www. example.co.jp"の別名が"www. example.com"であり、さらに"www. example.com"の別名が"www2. example.com"であることを表している。本実施の形態では、CNAMEの左にあるドメイン名を元ドメイン名、右側にあるドメイン名を別名と定義する。データベース生成部130は、DNS応答情報から、図10に示すような第1要素を元ドメイン名、第2要素を別名、第3要素をドメイン名と別名の出現回数とするCNAME DB155を生成する。
本実施の形態におけるマッチング部160は、図11に示すように、検索によって得られたドメイン名がCNAME DB155の第2要素と一致するレコードを検索し、得られたレコードの第1要素がさらにCNAMEDB155の第2要素と一致するレコードがあるかどうかを再帰的に調べる。一致するレコードが存在しなくなるまで検索し、そのドメイン名をIPアドレスに付与する。
本実施の形態における動作のフローチャートを図12に示す。
まず、マッチング部160に、送信元IPアドレス(s)、宛先IPアドレス(d)、開始時刻(t)、パケット数(pc)、フローサイズ(fs)が入力されると(ステップ101)、DNS情報DB150にs,d,tが存在するかを判定し(ステップ102)、存在する場合は、ドメイン名(f)とクエリ数(qc)の組を出力する(ステップ106)。存在しない場合は、DNS情報DB150にs及びdが存在するかを判定し(ステップ103)、存在する場合はステップ106の処理を行う。存在しない場合は、DNS情報DB150にdが存在するかを判定し、存在する場合はステップ106の処理を行う。存在しない場合はDNS情報DB150に宛先IPアドレスdのネットワーク部NW(d)が存在するかを判定する。例えば、d=192.168.0.1の場合、NW(d)=192.168.0.0/24や192.168.0.0/16が存在するかを判定する。存在する場合はステップ106の処理を行い、存在しない場合は処理を終了する(ステップ105)。
ステップ106において、(f,qc)を出力した後、fがCNAME DB155に存在するかを判定し(ステップ107)、存在する場合は元ドメイン名(q)及びCNAMEの出現関数(cc)を出力し(ステップ108)、ドメイン名にパケット数、フローサイズを按分する関数として(q,pc,cc)及び(q,ps,cc)を出力する(ステップ109)。fがCNAME DB155に存在しない場合は(ステップ107、No)、ドメイン名にパケット数、フローサイズを按分する関数として(f,pc,qc)及び(f,ps,qc)を出力する(ステップ110)。
なお、上記の実施の形態における図2、図9に示す送信元・宛先組織特定装置のフローデータ収集部110、DNSデータ収集部120、データベース生成部130、マッチング部160、出力部170の各動作をプログラムとして構築し、送信元・宛先組織特定装置として利用されるコンピュータにインストールして実行させる、または、ネットワークを介して流通させることが可能である。
なお、上記の実施の形態における図2、図9に示す送信元・宛先組織特定装置のフローデータ収集部110、DNSデータ収集部120、データベース生成部130、マッチング部160、出力部170の各動作をプログラムとして構築し、送信元・宛先組織特定装置として利用されるコンピュータにインストールして実行させる、または、ネットワークを介して流通させることが可能である。
1 ユーザ端末
2 通信先サーバ
3 DNSサーバ
4 ルータ
5 L2SW
100 送信元・宛先組織特定装置
110 フローデータ収集部
120 DNSデータ収集部
130 データベース生成部
140 フローデータベース(DB)
150 DNS情報データベース(DB)
155 CNAMEデータベース(DB)
160 マッチング部
170 出力部
2 通信先サーバ
3 DNSサーバ
4 ルータ
5 L2SW
100 送信元・宛先組織特定装置
110 フローデータ収集部
120 DNSデータ収集部
130 データベース生成部
140 フローデータベース(DB)
150 DNS情報データベース(DB)
155 CNAMEデータベース(DB)
160 マッチング部
170 出力部
Claims (6)
- DNS(Domain Name Service)トラヒックデータとフローデータとを付き合わせることにより、あるトラヒックの送信元と宛先の組織を特定する送信元・宛先組織特定装置であって、
前記DNSトラヒックデータを収集するDNSデータ収集手段と、
宛先IPアドレス、パケット数、フローサイズ、フロー取得開始時刻を含む前記フローデータを収集するフローデータ収集手段と、
前記DNSトラヒックデータに含まれる問い合わせ対象ドメイン名を第1要素、該ドメイン名に対応するIPアドレスを第2要素、問い合わせ送信元IPアドレスを第3要素、問い合わせ時刻を第4要素、該ドメイン名の問い合わせ回数を第5要素とするDNS情報データベースを作成し、取得した前記フローデータに基づいてフローデータベースを生成するデータベース生成手段と、
前記DNS情報データベースと前記フローデータベースとを突き合わせ、該フローデータベースに出現する宛先IPアドレスにドメイン名を付与するマッチング手段と、を有し、
前記マッチング手段は、
前記フローデータベースの前記宛先IPアドレスが前記DNS情報データベースの前記第2要素、該フローデータベースの前記送信元IPアドレスが該DNS情報データベースの前記第3要素、該フローデータベースの前記フロー取得開始時刻が該DNS情報データベースの前記第4要素と一致するレコードを検索し、該第1要素を、前記宛先IPアドレスに付与する第1の検索手段と、
前記第1の検索手段において一致するレコードが検索できなかった場合に、前記フローデータベースの前記宛先IPアドレスが前記DNS情報データベースの前記第2要素と一致、かつ、該フローデータベースの前記送信元IPアドレスが該DNS情報データベースの前記第3要素と一致するレコードを検索し、該レコードの第1要素であるドメイン名を、前記宛先IPアドレスに付与する第2の検索手段と、
前記第1の検索手段及び前記第2の検索手段において一致するレコードが検索できなかった場合に、前記フローデータベースの前記宛先IPアドレスが前記DNS情報データベースの前記第2要素と一致するレコードを検索し、該レコードの第1要素であるドメイン名を、前記宛先IPアドレスに付与する第3の検索手段と、
前記第1の検索手段及び前記第2の検索手段及び前記第3の検索手段において一致するレコードが検索できなかった場合に、前記フローデータベースの前記宛先IPアドレスのネットワーク部が前記DNS情報データベースの前記第2要素のネットワーク部と一致するレコードを検索し、該レコードの第1要素であるドメイン名を、前記宛先IPアドレスに付与する第4の検索手段と、を含む
ことを特徴とする送信元・宛先組織特定装置。 - DNS(Domain Name Service)トラヒックデータとフローデータとを付き合わせることにより、あるトラヒックの送信元と宛先の組織を特定する送信元・宛先組織特定装置であって、
前記DNSトラヒックデータを収集するDNSデータ収集手段と、
宛先IPアドレス、パケット数、フローサイズ、フロー取得開始時刻を含む前記フローデータを収集するフローデータ収集手段と、
前記DNSトラヒックデータに含まれる問い合わせ対象ドメイン名を第1要素、該ドメイン名に対応するIPアドレスを第2要素、問い合わせ送信元IPアドレスを第3要素、問い合わせ時刻を第4要素、該ドメイン名の問い合わせ回数を第5要素とするDNS情報データベースを作成し、取得した前記フローデータに基づいてフローデータベースを生成するデータベース生成手段と、
前記DNS情報データベースと前記フローデータベースとを突き合わせ、該フローデータベースに出現する宛先IPアドレスにドメイン名を付与するマッチング手段と、を有し、
前記データベース生成手段は、
DNSトラヒックデータの応答に含まれるCNAME情報において、元のドメイン名を第6要素、CNAMEによって付与された別名を第7要素、該CNAMEの出現回数を第8要素とするレコードを有するCNAMEデータベースを生成するCNAMEデータベース生成手段を含み、
前記マッチング手段は、
前記宛先IPアドレスにドメイン名を付与する際に、該ドメイン名が前記CNAMEデータベースの前記第7要素と一致するレコードを検索し、該第7要素である別名に対応する前記第6要素である元のドメイン名を該宛先IPアドレスに付与する手段を含む
ことを特徴とする送信元・宛先組織特定装置。 - 前記マッチング手段は、
検索により複数のレコードが得られた場合は、それぞれのドメイン名の問い合わせ回数によって前記フローデータベースに含まれる前記パケット数及び前記フローサイズを按分する手段を含む
請求項1又は2に記載の送信元・宛先組織特定装置。 - DNSトラヒックデータとフローデータとを付き合わせることにより、あるトラヒックの送信元と宛先の組織を特定する送信元・宛先組織特定方法であって、
DNSデータ収集手段が、前記DNSトラヒックデータを収集するDNSデータ収集ステップと、
フローデータ収集手段が、宛先IPアドレス、パケット数、フローサイズ、フロー取得開始時刻を含む前記フローデータを収集するフローデータ収集ステップと、
データベース生成手段が、前記DNSトラヒックデータに含まれる問い合わせ対象ドメイン名を第1要素、該ドメイン名に対応するIPアドレスを第2要素、問い合わせ送信元IPアドレスを第3要素、問い合わせ時刻を第4要素、該ドメイン名の問い合わせ回数を第5要素とするDNS情報データベースを作成し、取得した前記フローデータに基づいてフローデータベースを生成するデータベース生成ステップと、
マッチング手段が、前記DNS情報データベースと前記フローデータベースとを突き合わせ、該フローデータベースに出現する宛先IPアドレスにドメイン名を付与するマッチングステップと、を行い、
前記マッチングステップにおいて、
前記フローデータベースの前記宛先IPアドレスが前記DNS情報データベースの前記第2要素、該フローデータベースの前記送信元IPアドレスが該DNS情報データベースの前記第3要素、該フローデータベースの前記フロー取得開始時刻が該DNS情報データベースの前記第4要素と一致するレコードを検索し、該第1要素を、前記宛先IPアドレスに付与する第1の検索ステップと、
前記第1の検索ステップにおいて一致するレコードが検索できなかった場合に、前記フローデータベースの前記宛先IPアドレスが前記DNS情報データベースの前記第2要素と一致、かつ、該フローデータベースの前記送信元IPアドレスが該DNS情報データベースの前記第3要素と一致するレコードを検索し、該レコードの第1要素であるドメイン名を、前記宛先IPアドレスに付与する第2の検索ステップと、
前記第1の検索ステップ及び前記第2の検索ステップにおいて一致するレコードが検索できなかった場合に、前記フローデータベースの前記宛先IPアドレスが前記DNS情報データベースの前記第2要素と一致するレコードを検索し、該レコードの第1要素であるドメイン名を、前記宛先IPアドレスに付与する第3の検索ステップと、
前記第1の検索ステップ及び前記第2の検索ステップ及び前記第3の検索ステップにおいて一致するレコードが検索できなかった場合に、前記フローデータベースの前記宛先IPアドレスのネットワーク部が前記DNS情報データベースの前記第2要素のネットワーク部と一致するレコードを検索し、該レコードの第1要素であるドメイン名を、前記宛先IPアドレスに付与する第4の検索ステップと、を含む
ことを特徴とする送信元・宛先組織特定方法。 - DNSトラヒックデータとフローデータとを付き合わせることにより、あるトラヒックの送信元と宛先の組織を特定する送信元・宛先組織特定方法であって、
DNSデータ収集手段が、前記DNSトラヒックデータを収集するDNSデータ収集ステップと、
フローデータ収集手段が、宛先IPアドレス、パケット数、フローサイズ、フロー取得開始時刻を含む前記フローデータを収集するフローデータ収集ステップと、
データベース生成手段が、前記DNSトラヒックデータに含まれる問い合わせ対象ドメイン名を第1要素、該ドメイン名に対応するIPアドレスを第2要素、問い合わせ送信元IPアドレスを第3要素、問い合わせ時刻を第4要素、該ドメイン名の問い合わせ回数を第5要素とするDNS情報データベースを作成し、取得した前記フローデータに基づいてフローデータベースを生成するデータベース生成ステップと、
マッチング手段が、前記DNS情報データベースと前記フローデータベースとを突き合わせ、該フローデータベースに出現する宛先IPアドレスにドメイン名を付与するマッチングステップと、を行い、
前記データベース生成ステップにおいて、
DNSトラヒックデータの応答に含まれるCNAME情報において、元のドメイン名を第6要素、CNAMEによって付与された別名を第7要素、該CNAMEの出現回数を第8要素とするレコードを有するCNAMEデータベースを生成するCNAMEデータベース生成ステップを含み、
前記マッチングステップにおいて、
前記宛先IPアドレスにドメイン名を付与する際に、該ドメイン名が前記CNAMEデータベースの前記第7要素と一致するレコードを検索し、該第7要素である別名に対応する前記第6要素である元のドメイン名を該宛先IPアドレスに付与するステップを含む
ことを特徴とする送信元・宛先組織特定方法。 - コンピュータを、
請求項1乃至3のいずれか1項に記載の送信元・宛先組織特定装置の各手段として機能させるための送信元・宛先組織特定プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012018975A JP5770652B2 (ja) | 2012-01-31 | 2012-01-31 | 送信元・宛先組織特定装置及び方法及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012018975A JP5770652B2 (ja) | 2012-01-31 | 2012-01-31 | 送信元・宛先組織特定装置及び方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013157931A JP2013157931A (ja) | 2013-08-15 |
| JP5770652B2 true JP5770652B2 (ja) | 2015-08-26 |
Family
ID=49052694
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012018975A Active JP5770652B2 (ja) | 2012-01-31 | 2012-01-31 | 送信元・宛先組織特定装置及び方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5770652B2 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6169954B2 (ja) * | 2013-11-15 | 2017-07-26 | Kddi株式会社 | サービス推定装置及び方法 |
| JP6173233B2 (ja) * | 2014-02-10 | 2017-08-02 | Kddi株式会社 | 網利用推定装置、方法及びプログラム |
| JP6170001B2 (ja) * | 2014-03-24 | 2017-07-26 | Kddi株式会社 | 通信サービス分類装置、方法及びプログラム |
| JP6198195B2 (ja) * | 2015-02-17 | 2017-09-20 | 日本電信電話株式会社 | 推定装置、推定方法、及びプログラム |
| US10666672B2 (en) | 2015-08-31 | 2020-05-26 | Hewlett Packard Enterprise Development Lp | Collecting domain name system traffic |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2514179A1 (fr) * | 2009-12-17 | 2012-10-24 | France Telecom | Mesure d'activite d' un client aupres d'un site serveur |
-
2012
- 2012-01-31 JP JP2012018975A patent/JP5770652B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2013157931A (ja) | 2013-08-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10361931B2 (en) | Methods and apparatus to identify an internet domain to which an encrypted network communication is targeted | |
| Czyz et al. | Measuring ipv6 adoption | |
| US10284516B2 (en) | System and method of determining geographic locations using DNS services | |
| JP5237034B2 (ja) | イベント情報取得外のit装置を対象とする根本原因解析方法、装置、プログラム。 | |
| CN108476146B (zh) | 使用实时用户监控数据进行实时流量引导的方法和装置 | |
| JP4267633B2 (ja) | ネットワークシステム及びトラヒック情報集約装置 | |
| Khan et al. | As-level topology collection through looking glass servers | |
| JP5770652B2 (ja) | 送信元・宛先組織特定装置及び方法及びプログラム | |
| EP3754947B1 (en) | System and method for identifying ott applications and services | |
| US11283757B2 (en) | Mapping internet routing with anycast and utilizing such maps for deploying and operating anycast points of presence (PoPs) | |
| JP2019514303A (ja) | インターネットトラフィックの送信元と宛先の分析方法 | |
| US10608981B2 (en) | Name identification device, name identification method, and recording medium | |
| US9055113B2 (en) | Method and system for monitoring flows in network traffic | |
| CN102098192B (zh) | 基于网站服务器的跨域网络测量方法 | |
| Durairajan et al. | Layer 1-informed internet topology measurement | |
| CN104202418B (zh) | 为内容提供商推荐商业的内容分发网络的方法和系统 | |
| Deri et al. | A distributed dns traffic monitoring system | |
| CN102238077A (zh) | 路由流量信息存储与查询方法 | |
| WO2013057985A1 (ja) | キャッシュサーバ解決方法、装置、及びシステム | |
| JP5126715B2 (ja) | ネットワーク管理サーバ | |
| Tomar et al. | Conceptual model for comparison of IPv6 ISPs based on IPv4 traffic profiles | |
| JP6170001B2 (ja) | 通信サービス分類装置、方法及びプログラム | |
| JP3923907B2 (ja) | サービス経路情報作成方法、サービス経路情報作成装置、サービス経路情報作成プログラムおよびそのプログラムを記録したコンピュータ読み取り可能な記録媒体 | |
| Lachos et al. | DNS Flow Analyser (DFA): A DNS-Based Correlation System to Classify CDN Domains and OTT-Applications | |
| Nemčik et al. | Content Distribution in Private Networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20131001 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140425 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150210 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150217 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150420 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150623 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150625 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5770652 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |