JP5868827B2 - 端末のソフトウェア種別情報を推定する端末情報推定装置、dnsサーバ、プログラム及び方法 - Google Patents

端末のソフトウェア種別情報を推定する端末情報推定装置、dnsサーバ、プログラム及び方法 Download PDF

Info

Publication number
JP5868827B2
JP5868827B2 JP2012243908A JP2012243908A JP5868827B2 JP 5868827 B2 JP5868827 B2 JP 5868827B2 JP 2012243908 A JP2012243908 A JP 2012243908A JP 2012243908 A JP2012243908 A JP 2012243908A JP 5868827 B2 JP5868827 B2 JP 5868827B2
Authority
JP
Japan
Prior art keywords
query
type
software
name
terminal information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012243908A
Other languages
English (en)
Other versions
JP2013178739A (ja
Inventor
隆志 松中
隆志 松中
公章 山下
公章 山下
山田 明
山田  明
歩 窪田
歩 窪田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2012243908A priority Critical patent/JP5868827B2/ja
Publication of JP2013178739A publication Critical patent/JP2013178739A/ja
Application granted granted Critical
Publication of JP5868827B2 publication Critical patent/JP5868827B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、複数の端末が接続されたネットワークの管理・監視の技術に関する。
ネットワーク管理者は、ネットワークの安定した運用を維持するため、ネットワーク利用者の利用環境及び利用状況を把握しなければならない。この把握によって、通信障害の原因となる利用者の行為を未然に防止したり、将来の通信量増加の程度を予測し必要な通信設備の増強を図ったりすることが可能となる。
しかしながら、ネットワーク管理者が利用者の利用実態を十分に把握することは一般に困難である。例えば、インターネット接続業者(ISP:Internet Service Provider)とそのユーザとのように、管理者と利用者とが異なる組織に属している場合、管理者が利用者の利用状況を監視することは困難である。特に、ネットワークが国内外に及ぶ場合、利用状況を物理的に監視して直接把握することは極めて難しい。
一方、企業内ネットワークのように、利用者のネットワーク利用が厳しく規定されている場合でも、利用者が、許可されていない端末を接続して規定外の利用を行う事態を許してしまう事例が存在する。
このような状況下で、現在、利用者による通信のみを監視し、通信そのものから利用者の利用環境及び利用状況を把握する技術が検討されている。
例えば、非特許文献1には、TCP/IP(Transmission Control Protocol/Internet Protocol)における、オペレーティングシステム(OS: Operating System)に固有の振る舞いを監視することによって、利用者の各端末に搭載されたOS種別を識別する方法が開示されている。ここで、TCP/IPは、インターネットで標準的に使用されるプロトコルである。また、監視は受動的に(自らパケットを送信せずに)実施される。
さらに、非特許文献2には、同じくTCP/IPにおけるOS固有の振る舞いを利用するが、受動的監視のみならず能動的な(自らパケットを送信する)検査を実施することによって、より精度の高いOS種別の判別を図った識別方法が開示されている。
また、非特許文献3には、HTTP(Hypertext Transfer Protocol)ヘッダに含まれる、OS又はアプリケーションに固有の文字列を抽出し組み合わせて、利用者端末に搭載されたウェブブラウザ(Web Browser)種別を識別する技術が開示されている。ここで、HTTPは、ウェブブラウザとウェブサーバ(Web Server)との間の通信プロトコルである。
さらに、非特許文献4には、DNS(Domain Name System)クエリのパターンを分析し、クエリパターンの時間差とパターン出現数との関係から、OS種別及びウェブブラウザ種別を識別する方法が開示されている。ここで、本方法は、IPv4(Internet Protocol version 4)とIPv6(Internet Protocol version 6)とが混在している通信環境を前提としている。
Passive OS Fingerprinting (p0f)、「the new p0f:2.0.8 (2006-09-06)」、[online]、[平成24年1月19日検索]、インターネット<URL: http://lcamtuf.coredump.cx/p0f.shtml> Nmap Fingerprint、「Understanding an NmapFingerprint」、[online]、[平成24年1月19日検索]、インターネット<URL: http://nmap.org/book/osdetect-fingerprint-format.html> Peter Eckersley、ELECTRONIC FRONTIERFOUNDATION 「How Unique Is Your Web Browser?」、[online]、[平成24年1月19日検索]、インターネット<URL: http://panopticlick.eff.org/browser-uniqueness.pdf> 川口敬、早稲田大学理工学部コンピュータ・ネットワーク工学科後藤研究室B4 1G06R055-7 卒業論文発表、「DNSクエリーパターンを用いたOSの推定」、[online]、[平成24年1月19日検索]、インターネット<URL: http://www.goto.info.waseda.ac.jp/forB4/pdf-th/2009/0201_kawaguchi.pdf>
しかしながら、上述したような従来技術を用いても、ISPレベルの大規模なネットワーク全体における、端末に搭載されたOS及びアプリケーションの利用状況を推定することは、非常に困難である。
例えば、非特許文献1及び3の技術では、基本的にネットワーク上の通信を全て取得する必要がある。その結果、これらの技術を広帯域である基幹回線に適用する場合、導入コストが莫大となり実現性が低下する。一方、大規模ネットワークの末端部に適用する場合、末端部での監視箇所の数が膨大となってしまう。
また、非特許文献1及び2の技術では、TCP/IPの特徴を利用するので、OS種別を識別することしかできず、OS上で発動するアプリケーション種別までは識別できない。一方、非特許文献3の技術では、HTTPヘッダの特徴を利用するので、アプリケーションのうちウェブブラウザ種別を識別することしかできない。
さらに、非特許文献4の技術では、IPv4とIPv6とが混在している通信環境であることが前提となるため、IPv4又はIPv6単独の環境では、OS種別を識別することができない。従って、IPv6への全面移行の際には、当該技術は適用不可能となる。
また、特に、非特許技術2の技術では、管理者が自らパケットを送信するといった能動的な検査を実施する必要がある。その結果、自身の管理下にはないネットワークの利用者に検査用のパケットを送信しようとしても、受け入れられない可能性が高い。さらに、利用者側のネットワークにファイアウォール(Firewall)、又はNAT(Network Address Translation)等のフィルタリング機構が設けられている場合、非特許技術2の技術は、適用不可能である。
そこで、本発明は、大規模なネットワーク全体における、OS種別及び/又はアプリケーション種別に係る情報を、受動的に、且つ全通信を検査することなく取得可能な端末情報推定装置、DNSサーバ、プログラム及び方法を提供することを目的とする。
本発明によれば、DNS(Domain Name System)サーバにネットワークを介して、照会名を含むクエリを発信する複数の端末の情報を推定する端末情報推定装置であって、
照会名毎に、複数の端末に搭載されたソフトウェア種別を予め登録する照会名登録手段と、
端末から発信されたクエリを収集し蓄積するクエリ収集手段と、
蓄積された各クエリに含まれる照会名を抽出し、照会名登録手段を用いて当該クエリに対応するソフトウェア種別を識別するソフトウェア種別識別手段と
を有する端末情報推定装置が提供される。
この本発明による端末情報推定装置の一実施形態として、複数の端末に搭載されたソフトウェア種別毎の総数を推定する総数推定手段を更に有しており、
照会名登録手段は、ソフトウェア種別毎にクエリ発生頻度を更に予め登録し、
ソフトウェア種別識別手段は、ソフトウェア種別毎に、所定の収集期間内に収集された、当該ソフトウェア種別に対応するクエリの数をカウントし、
総数推定手段は、当該ソフトウェア種別毎に、予め登録されたクエリ発生頻度と、当該所定の収集期間と、カウントされたクエリ数とから当該ソフトウェア種別の総数を算出することも好ましい。
さらに、この総数推定手段を有する上記の実施形態で、ソフトウェア種別毎に、予め登録されたクエリ発生頻度をT時間に1回とし、所定の収集期間Δt分内にカウントされた、当該ソフトウェア種別に対応するクエリ数をn個とすると、総数推定手段は、当該ソフトウェア種別の総数N個を、
N=n・(60・T/Δt)
として算出することも好ましい。
さらに、上記の総数推定手段を有する実施形態で、照会名登録手段は、ソフトウェア種別毎に、クエリ発生頻度の逆数に相当するクエリ発生周期と、同一の送信元に係る同一の照会名を含むクエリが、設定された収集期間以内の時間間隔で発生する頻度又は確率と、当該クエリが、クエリ発生周期より長い時間間隔で発生する頻度又は確率とを更に予め登録し、
総数推定手段は、ソフトウェア種別毎に、予め登録されたクエリ発生周期と、所定の収集期間と、カウントされたクエリ数とを用いて算出される総数値に対し、当該クエリが所定の収集期間以内の時間間隔で発生する確率と、当該クエリがクエリ発生周期より長い時間間隔で発生する確率とを用いて補正を行うことに相当する計算を行って、ソフトウェア種別の総数を算出することも好ましい。
また、上記ソフトウェア種別の総数算出の実施形態において、ソフトウェア種別毎に、予め登録されたクエリ発生周期をT秒とし、当該クエリが所定の収集期間T秒以内の時間間隔で発生する確率をp d,Tqとし、当該クエリがクエリ発生周期Tより長い時間間隔で発生する確率をp d,Tdとし、所定の収集期間T秒内にカウントされた、ソフトウェア種別に対応するクエリ数をNd,Tq個とすると、総数推定手段は、ソフトウェア種別の総数N個を、
N=Nd,Tq/((T/T)・(1−p d,Td)・(1+p d,Tq))
として算出することも好ましい。
さらに、上記の総数推定手段を有する実施形態で、照会名登録手段は、ソフトウェア種別毎に、クエリ発生頻度の逆数に相当するクエリ発生周期と、同一の送信元に係る同一の照会名を含むクエリが、設定された収集期間以内の時間間隔で発生する頻度又は確率と、当該クエリが、クエリ発生周期より長い間隔で発生する頻度又は確率と、当該クエリが設定された収集期間内に発生する回数の平均値とを更に予め登録し、
総数推定手段は、ソフトウェア種別毎に、予め登録されたクエリ発生周期と、所定の収集期間と、カウントされたクエリ数とを用いて算出される総数値に対し、当該クエリが所定の収集期間以内の時間間隔で発生する確率と、当該クエリがクエリ発生周期より長い時間間隔で発生する確率と、当該クエリが所定の収集期間内に発生する回数の平均値とを用いて補正を行うことに相当する計算を行って、ソフトウェア種別の総数を算出することも好ましい。
また、上記ソフトウェア種別の総数算出の実施形態において、ソフトウェア種別毎に、予め登録されたクエリ発生周期をT秒とし、当該クエリが所定の収集期間T秒以内の時間間隔で発生する確率をp d,Tqとし、当該クエリがクエリ発生周期Tより長い時間間隔で発生する確率をp d,Tdとし、当該クエリが所定の収集期間内に発生する回数の平均値μ d,Tqをとし、所定の収集期間T秒内にカウントされた、ソフトウェア種別に対応するクエリ数をNd,Tq個とすると、前数推定手段は、ソフトウェア種別の総数N個を、
N=Nd,Tq/((T/T)・(1−p d,Td)・(1+(μ d,Tq−1)・p d,Tq))
として算出することも好ましい。
また、本発明による端末情報推定装置の他の実施形態として、1つの端末内で共存可能な複数のソフトウェア種別の組合せを登録する共存種別登録手段と、
クエリの送信元アドレス毎に、異なるソフトウェア種別を含む複数のクエリが受信された際に、共存種別登録手段を用いてこれら異なるソフトウェア種別が共存し得る関係にあるか否かを判定する共存種別判定手段と
を更に有しており、
ソフトウェア種別識別手段は、共存種別判定手段が真の判定を行った際、当該送信元アドレスを含んでおり当該ソフトウェア種別に対応するクエリをカウント対象とすることも好ましい。
さらに、本発明による端末情報推定装置の他の実施形態として、ソフトウェア種別毎に、IP(Internet Protocol)のTTL(Time To Live)の測定値可能範囲を予め登録したTTL範囲登録手段を更に有し、
ソフトウェア種別識別手段は、当該クエリに含まれるIPヘッダのTTLの値が、TTL範囲登録手段に登録された、識別された当該ソフトウェア種別に対応する測定値可能範囲に含まれる場合にのみ、当該ソフトウェア種別を識別したものとすることも好ましい。
また、本発明による端末情報推定装置の他の実施形態として、複数の端末の送信元アドレスにおける所定アドレス範囲毎に、アクセスネットワーク種別を予め登録するネットワーク種別登録手段と、
ソフトウェア種別識別手段は、識別対象となるクエリについて、ネットワーク種別登録手段を用いて、当該クエリの送信元アドレスからアクセスネットワーク種別を更に識別することも好ましい。
さらに、本発明による端末情報推定装置の他の実施形態として、ソフトウェア種別は、OS種別及び/又はアプリケーション種別であり、
照会名は、当該OS種別及び/又はアプリケーション種別におけるソフトウェア更新確認時の接続先アドレスであることも好ましい。
本発明によれば、さらに、照会名を含むクエリを発信する複数の端末の情報を推定する機能を搭載したDNSサーバであって、
照会名毎に、複数の端末に搭載されたソフトウェア種別を予め登録する照会名登録手段と、
端末から発信されたクエリを収集し蓄積するクエリ収集手段と、
蓄積された各クエリに含まれる照会名を抽出し、照会名登録手段を用いてクエリに対応するソフトウェア種別を識別するソフトウェア種別識別手段と
を有するDNSサーバが提供される。
本発明によれば、また、DNSサーバにネットワークを介して、照会名を含むクエリを発信する複数の端末の情報を推定するようにコンピュータを機能させる端末情報推定プログラムであって、
照会名毎に、複数の端末に搭載されたソフトウェア種別を予め登録する照会名登録手段と、
端末から発信されたクエリを収集し蓄積するクエリ収集手段と、
蓄積された各クエリに含まれる照会名を抽出し、照会名登録手段を用いて当該クエリに対応するソフトウェア種別を識別するソフトウェア種別識別手段と
してコンピュータを機能させる端末情報推定プログラムが提供される。
本発明によれば、さらに、DNSサーバにネットワークを介して、照会名を含むクエリを発信する複数の端末の情報を推定する端末情報推定方法であって、
照会名毎に、複数の端末に搭載されたソフトウェア種別を予め登録する照会名登録手段を用い、
端末から発信されたクエリを収集し蓄積する第1のステップと、
蓄積された各クエリに含まれる照会名を抽出し、照会名登録手段を用いて当該クエリに対応するソフトウェア種別を識別する第2のステップと
を有する端末情報推定方法が提供される。
本発明の端末情報推定装置、DNSサーバ、プログラム及び方法によれば、大規模なネットワーク全体における、OS種別及び/又はアプリケーション種別に係る情報を、受動的に、且つ全通信を検査することなく取得することができる。
本発明の端末情報推定装置が接続されるネットワークの構成図である。 照会名テーブル及び共存可能ソフトウェアテーブルの構成図である。 TTLテーブル及びアクセスネットワークテーブルの構成図である。 本発明による端末情報推定装置の一実施形態を示す機能構成図である。 本発明によるDNSサーバの一実施形態を示す機能構成図である。 本発明の端末情報推定方法のうち、端末に搭載されたソフトウェア種別の識別方法の一実施形態を示すフローチャートである。 本発明の端末情報推定方法のうち、端末に搭載されたソフトウェア種別の総数を推定する方法の一実施形態を示すフローチャートである。 照会名テーブルにおける他の実施形態の構成図である。 OS・AP・NW分布テーブルの構成図である。
以下では、本発明の実施の形態について、図面を用いて詳細に説明する。
図1は、本発明の端末情報推定装置が接続されるネットワークの構成図である。
図1によれば、端末情報推定装置1は、多数の端末2に搭載されたOS種別及びアプリケーション種別といったソフトウェア種別を識別し、各種別の総数を推定する装置である。ここで、端末2は、スマートフォン、タブレット型コンピュータ、又はパーソナルコンピュータ等の情報機器であり、インターネット7にアクセスネットワーク30〜32のいずれかを介して接続される。
アクセスネットワーク30〜32はそれぞれ、例えば、固定系ネットワーク、3G(3rd Generation)、及びWi−Fi(登録商標)等の無線LANである。ここで、固定系ネットワークとして、光ファイバ網、及びADSL(Asymmetric Digital Subscriber Line)等を採用することができる。さらに、アクセスネットワークとして、WiMAX(Worldwide Interoperability for Microwave Access)、及びLTE(Long Term Evolution)等の他の無線系ネットワークを採用することも可能である。
また、プロバイダネットワーク3は、例えばIMS(IP Multimedia Subsystem)4によって、これらアクセスネットワーク30〜32を介した通信を制御する事業者ネットワークである。IMS4は、これらアクセスネットワーク30〜32とインターネット7との間に介在しており、アクセスネットワーク30〜32におけるインターネット7を介した通信の確立をコントロールする。DNSサーバ5は、このマルチメディアサービスを提供するIMS4と接続されており、アクセスネットワーク30〜32を介した名前解決要求を受け付ける。
端末情報推定装置1は、DNSサーバ5への回線に設けられたネットワークタップ(又はミラーリングハブ)を介してプロバイダネットワーク3に接続される。これにより、端末情報推定装置1は、多数の端末2がプロバイダネットワーク3を介してDNSサーバ5宛に発信するDNSクエリを全て収集し、DNSクエリを解析して端末情報を推定する。
各端末2は、OS及びアプリケーション等のソフトウェアで使用されている名前を解決する必要がある場合に、リゾルバとして、DNSクエリ(query)をDNSサーバ5に送信する。DNSサーバ5は、DNSクエリを受け取ると、他のDNSサーバと通信して又は自ら名前を解決して、応答をクエリ送信元の端末2に送信する。
ここで、各端末2に搭載されたOS、及びウェブブラウザ等の多くのアプリケーションは、通常、インターネット7を通して自らの更新を行う。このため、そのソフトウェア種別固有のドメイン名のサイトに定期的に接続を試みる。従って、各端末2は、そのソフトウェア種別固有の時間間隔をもって、この固有のドメイン名を照会名として含むDNSクエリを、DNSサーバ5宛てに送信する。
端末情報推定装置1は、各端末2から送信されたこれらDNSクエリを収集し、その内容を解析して、端末2に搭載されたOS種別、及びウェブブラウザ等のアプリケーション種別、並びに各種別の総数を推定する。具体的には、
(a)ソフトウェア種別識別部111が、照会名テーブル112tを用いて、収集したDNSクエリに含まれる照会名からこのDNSクエリに対応するソフトウェア種別を識別する。さらには、TTLテーブル114tを用いて、より確度の高い識別を行うことも好ましい。
(b)この際、共存種別判定部116が、DNSクエリの送信元IPアドレス毎に、異なるソフトウェア種別を含む複数のDNSクエリが受信された際に、これら異なるソフトウェア種別が共存し得る関係にあるか否かを判定することも好ましい。ここで、この判定には、共存可能ソフトウェアテーブル113tを用い、より確度の高い判定を行う。
(c)さらに、ソフトウェア種別識別部111は、ソフトウェア種別(OS種別及びアプリケーション種別)毎に、所定の収集期間内に収集された、当該ソフトウェア種別に対応するクエリの数をカウントする。その後、総数推定部117が、照会名テーブル112tに予め登録されたクエリ発生周期(クエリ発生頻度)と、カウントされたクエリ数とから、当該ソフトウェア種別の総数(当該ソフトウェアを搭載した端末の総数)を算出する。
(d)さらにまた、ソフトウェア種別識別部111は、識別対象となるDNSクエリについて、アクセスネットワークテーブル115tを用いて、このDNSクエリの送信元IPアドレスから、アクセスネットワーク種別及びその数を更に識別・算出することも好ましい。
尚、端末情報推定装置1は、アクセスネットワーク30〜32のゲートウェイ位置に設置されることも可能である。この場合、設置されたアクセスネットワーク内のソフトウェア種別(OS種別及びアプリケーション種別)及びそれらの総数を推定することになる。
さらに、各端末2に搭載されたソフトウェアに関連するDNSクエリの発信は、上述したようなソフトウェア更新確認時のみならず、ソフトウェア処理の実行に必要な情報要求時にも実施される。例えば、時刻合わせのための時刻情報の要求時、電子メールでのメールボックスの確認時、各種ソーシャルネットワーク・サービスにおける他者情報のチェック時等にも、DNSクエリが発信される。即ち、多くのソフトウェアでは、DNSサーバ5を利用して名前を解決してから通信を開始することが1つのパターンとなっている。
この際の照会名(接続先のドメイン名)には、ソフトウェア種別(OS種別、アプリケーション種別)に固有のものが多く存在する。本願発明者等は、多くのソフトウェア種別(OS種別、アプリケーション種別)において、ソフトウェア更新確認のためのDNSクエリに限らず、種々のDNSクエリの発信タイミングが、ソフトウェア種別固有の「クエリ発生周期」を有し得ることを見出した。
この「クエリ発生周期」は、対象となっているDNSクエリの発生時間間隔の平均値である。DNSクエリは、定期的なOS更新確認等、対応するソフトウェア種別(照会名)固有の時間間隔(周期)をもって発信される場合が多く、ソフトウェア種別(照会名)毎に「クエリ発生周期」が決定可能である。
但し、実際の名前解決の際には、前回のDNSクエリに対する応答としてキャッシュされたリソースレコードのTTL(Time To Live)に応じて所定の時間が指定され、この時間内にはクエリは発信されない(このリソースレコードで回答されたドメイン名が再利用される)。このような事情等があって、クエリ発生の時間間隔(クエリ発生周期)には変動が生じる。後に、このような変動を含むクエリ発生周期の変動に対処すべく、DNSクエリが収集期間Tよりも短い又は発生周期よりも長い時間間隔で観測される確率を考慮した端末数推定の方法も説明される。
[識別・推定用テーブル]
図2は、照会名テーブル112t、及び共存可能ソフトウェアテーブル113tの構成図である。また、図3は、TTLテーブル114t、及びアクセスネットワークテーブル115tの構成図である。
図2(A)に、照会名テーブル(判定規則)112tのOS種別対応部分を示す。同図によれば、DNSクエリに含まれる照会名N毎に、対応するOS種別OSと、このOS種別OSにおけるソフトウェア更新を確認する動作の時間間隔であるクエリ発生周期Tosiとが予め登録されている。
照会名Nは、端末2に搭載されたOSが更新確認の際に接続する接続先のドメイン名である。OS種別OSは、更新確認の際にこの照会名Nのサイトに接続を試みるOS種別である。また、更新確認時間間隔(クエリ発生周期)Tosiは、OS種別OSが更新確認のため、照会名Nに接続を試みる、OS種別OS固有の時間間隔である。ここで、更新確認頻度(クエリ発生頻度)は、Tosi(時間)に1回となり、更新確認時間間隔(クエリ発生周期)Tosiの逆数(Tosi −1)で表される。
OS種別OS毎の更新確認時の照会名Nは、例えば、以下の通りである。
《OS種別OS》 《照会名N
Windows OS(Microsoft社) download.windowsupdate.com
Android(Google社) android.clients.google.com
Mac OS(Apple社) swscan.apple.com
iOS(Apple社) push.apple.com、phobos.apple.com、
iphone-ld.apple.com
因みに、更新確認時間間隔(クエリ発生周期)Tosiは、OS種別にもよるが、例えばApple社のiOSでは、12時間となる。
図2(B)に、照会名テーブル(判定規則)112tのアプリケーション種別対応部分を示す。同図によれば、DNSクエリに含まれる照会名N毎に、対応するアプリケーション種別APと、このアプリケーション種別におけるソフトウェア更新を確認する時間間隔である更新確認時間間隔(クエリ発生周期)Tapjとが予め登録されている。
照会名Nは、端末2に搭載されたアプリケーションが更新確認の際に接続する接続先のドメイン名である。アプリケーション種別APは、更新確認の際にこの照会名Nのサイトに接続を試みるアプリケーション種別である。また、更新確認時間間隔(クエリ発生周期)Tapjは、アプリケーション種別APが更新確認のため、照会名Nに接続を試みる、アプリケーション種別AP固有の時間間隔である。ここで、更新確認頻度(クエリ発生頻度)は、Tapj(時間)に1回となり、更新確認時間間隔(クエリ発生周期)Tapjの逆数(Tapj −1)で表される。
アプリケーション種別の例として、代表的なウェブブラウザ毎の更新確認時の照会名Nは、例えば、以下の通りである。
《ウェブブラウザ》 《照会名N
Mozilla Firefox(Mozilla Foundation) www.mozilla.com
Chrome(Google社) www.google.com
Opera(Opera Software社) autoupdate.opera.com
因みに、更新確認時間間隔(クエリ発生周期)Tapiは、AP種別にもよるが、例えばアップル(Apple)社の「iCloud」では、1.5時間となる。
図2(C)に、共存可能ソフトウェアテーブル113tの構成を示す。同図によれば、テーブル113tには、1つの端末2内で共存可能な複数のソフトウェア種別の組合せが登録されている。具体的には、識別され得るソフトウェア種別(OS種別OS及びアプリケーション種別AP)毎に、1つの端末2内で共存可能な複数のソフトウェア種別が登録されている。
例えば、あるアプリケーション種別は、特定のOS種別上でのみ動作する。この場合、このアプリケーション種別に対応するテーブル欄に、このOS種別が登録され、また、このアプリケーション種別は、他のOS種別に対応するテーブル欄から除外される。さらに、1つの端末2内で互いに共存できないアプリケーション種別も存在する。この場合、この一方のアプリケーション種別は、他方のアプリケーション種別に対応するテーブル欄から除外される。
図3(A)に、TTLテーブル114tの構成を示す。同図によれば、識別され得るOS種別OS毎に、IP(Internet Protocol)のTTL(Time To Live)の測定値可能範囲TRが予め登録されている。ここで、TTLは、パケットの有効期間を表すための数値であり、IPヘッダ内に格納されている。
TTLの初期値は、OSに固有の値となっている。例えば、
Microsoft社のWindows OS:TTLの初期値=128
Linux(登録商標)のKernel 2.6:TTLの初期値=64
であり、互いに異なっている。
このTTLは、ルータを通過する毎に値が1だけ減少する。従って、パケットを収集してTTLを測定した場合、初期値よりも小さな測定値が得られるが、この測定値の範囲を予測することができる。この範囲が、測定値可能範囲TRとなる。
図3(B)に、アクセスネットワークテーブル115tの構成を示す。同図によれば、送信元IPアドレスにおける所定のアドレス範囲AR毎に、アクセスネットワーク種別NWが予め登録されている。
一般に、アクセスネットワーク種別NWは、それぞれに固有のIPアドレス範囲を有する。ここで、図1に示したアクセスネットワーク30〜32の種別をそれぞれ、
アクセスネットワーク30:光ファイバ網、ADSL等の固定系ネットワーク
アクセスネットワーク31:3G、及び
アクセスネットワーク32:Wi−Fi(登録商標)等の無線LAN
とすると、アクセスネットワーク30〜32は互いに異なる種別であり、それぞれ固有のIPアドレス範囲を有する。従って、収集したDNSクエリの送信元IPアドレスにおける所定のアドレス範囲AR毎に、1つのアクセスネットワークが対応するように設定可能となる。
尚、アクセスネットワーク種別としては、他に、WiMAX、LTE等が挙げられる。また、ISP毎に異なるアクセスネットワーク種別として識別することも可能である。
[装置機能構成]
図4は、本発明による端末情報推定装置1の一実施形態を示す機能構成図である。
図4に示すように、端末情報推定装置1は、通信インタフェース100と、出力部101と、クエリ収集部110と、ソフトウェア種別識別部111と、照会名登録部112と、共存種別登録部113と、TTL範囲登録部114と、ネットワーク種別登録部115と、共存種別判定部116と、総数推定部117と、OS・AP・NW分布蓄積部118とを有する。端末情報推定装置1は、例えばパーソナルコンピュータやサーバのようなものであって、この装置1に搭載されたコンピュータを機能させるプログラムを実行することによって、端末情報の推定に係る機能が実現される。
通信インタフェース100は、リピータハブ(又はミラーリングハブ)6を介して、DNSサーバ5宛のパケットを全て受け取る入力部の役割を果たす。クエリ収集部110は、通信インタフェース100を介して入力したパケットのうち、DNSサーバ5宛のDNSクエリを識別して収集し、蓄積する。
ソフトウェア種別識別部111は、蓄積された各DNSクエリに含まれる照会名Nを抽出し、照会名テーブル112t(図2(A)及び(B))を有する照会名登録部112を用いてこのDNSクエリに対応するソフトウェア種別を識別する。
ソフトウェア種別識別部111は、照会名抽出部111qと、OS種別識別部111sと、AP種別識別部111aと、クエリ数カウント部111cと、IPアドレス抽出部111dと、ネットワーク種別識別部111nとを有する。
照会名抽出部111qは、蓄積された各DNSクエリに含まれる照会名Nを抽出する。OS種別識別部111sは、照会名登録部112を用いてOS種別OSを識別する。AP種別識別部111aは、照会名登録部112を用いてアプリケーション種別APを識別する。クエリ数カウント部111cは、ソフトウェア種別(OS種別OS及びアプリケーション種別AP)毎に、所定の収集期間Δt内に収集された、このソフトウェア種別に対応するDNSクエリの数をカウントする。
IPアドレス抽出部111dは、識別対象となるDNSクエリに含まれる送信元IPアドレスを抽出する。また、ネットワーク種別識別部111nは、アクセスネットワークテーブル115t(図3(B))を有するネットワーク種別登録部115を用いて、このDNSクエリの送信元IPアドレスからアクセスネットワーク種別NWを識別する。
照会名登録部112は、照会名テーブル112tを有しており、照会名N毎に、識別され得るソフトウェア種別(OS及びAP)を予め登録する。共存種別登録部113は、共存可能ソフトウェアテーブル113t(図2(C))を有しており、1つの端末2内で共存可能な複数のソフトウェア種別の組合せを登録する。
TTL範囲登録部114は、TTLテーブル114t(図3(A))を有しており、OS種別OS毎に、IPのTTLの測定値可能範囲TRを予め登録する。ネットワーク種別登録部115は、アクセスネットワークテーブル115tを有しており、送信元IPアドレスにおける所定アドレス範囲AR毎に、アクセスネットワーク種別NWを予め登録する。
共存種別判定部116は、DNSクエリの送信元IPアドレス毎に、異なるソフトウェア種別を含む複数のDNSクエリが受信された際に、これら異なるソフトウェア種別が共存し得る関係にあるか否かを判定する。ここで、共存種別判定部116は、この判定を行うため、共存可能ソフトウェアテーブル113tを有する共存種別登録部113を用いる。さらに、共存種別判定部116は、送信元IPアドレス毎に、識別されたソフトウェア種別(OS種別OS又はアプリケーション種別AP)を記憶するソフトウェア種別記録部116sを有している。
総数推定部117は、端末2に搭載されたソフトウェア種別(OS及びAP)毎の総数を推定する。具体的には、OS総数推定部117sと、アプリケーション総数推定部117aとを有する。OS総数推定部117sは、OS種別OS毎に、照会名テーブル112tに予め登録された更新確認時間間隔(クエリ発生周期)Tosiと、カウントされたクエリ数とから、このOS種別OSの総数、従ってこのOSを搭載した端末の総数、を算出する。
一方、アプリケーション総数推定部117aは、アプリケーション種別AP毎に、照会名テーブル112tに予め登録された更新確認時間間隔(クエリ発生周期)Tosiと、カウントされたクエリ数とから、このアプリケーション種別APの総数、従ってこのAPを搭載した端末の総数を算出する。
さらに、OS総数推定部117sは、ネットワーク推定部117snを有することが好ましい。ネットワーク推定部117snは、総数が推定された各OS種別OSにおける、端末2が接続された各アクセスネットワーク種別NWの数(又は割合)を推定する。また、アプリケーション総数推定部117aも、ネットワーク推定部117anを有することが好ましい。ネットワーク推定部117anは、総数が推定された各アプリケーション種別APにおける、端末2が接続された各アクセスネットワーク種別NWの数(又は割合)を推定する。
OS・AP・NW分布蓄積部118は、総数推定部117で推定されたソフトウェア種別(OS及びAP)毎の総数と、各ソフトウェア種別における、端末2が接続された各アクセスネットワーク種別NWの数(又は割合)とを蓄積し、取り纏めて、OS・AP・NW分布テーブル118tを作成する。OS・AP・NW分布テーブル118tの構成は、後に図8を用いて説明される。
出力部101は、OS・AP・NW分布蓄積部118で形成されたOS・AP・NW分布テーブル118tを受け取り、この内容をディスプレイ表示し、紙等の媒体として出力し、又はデータとして外部装置に出力する。
図5は、本発明によるDNSサーバ1’の一実施形態を示す機能構成図である。
図5によれば、DNSサーバ1’は、IMS4内に設けられており、DNSサーバとしての名前解決機能を有すると共に、アクセスネットワーク30〜32に接続される多数の端末2における、搭載されたソフトウェア種別(OS種別OS及びアプリケーション種別AP)を識別し、さらに各種別の総数を推定する。
DNSサーバ1’は、通信インタフェース100’と、出力部101’と、端末情報推定部11’と、名前解決機能部12’とを有する。ここで、端末情報推定部11’は、ソフトウェア種別識別部111’と、共存種別判定部116’と、総数推定部117’と、OS・AP・NW分布蓄積部118’とを有しており、図4で説明された端末情報推定装置1と同様の機能を果たす。
[端末情報推定方法]
図6は、本発明の端末情報推定方法のうち、端末2に搭載されたソフトウェア種別の識別方法の一実施形態を示すフローチャートである。
(S600)最初に、照会名N毎に、
OS種別{OS,OS,・・・,OS,・・・,OSos}、及び
アプリケーション種別{AP,AP,・・・,AP,・・・APap
を予め登録する。
(S601)OS種別OS毎に、TTLの測定値可能範囲TRを予め登録する。
(S602)所定アドレス範囲AR毎に、
アクセスネットワーク種別{NW,NW,・・・,NW,・・・,NWnw
を予め登録する。
(S603)OS種別OSのカウント数nosiの初期値、アプリケーション種別APのカウント数napjの初期値、及びアクセスネットワーク種別NWのカウント数n(SW)nwkの初期値をそれぞれゼロとする。
osi=0(i=1,2,・・・,os)
apj=0(j=1,2,・・・,sp)、及び
n(SW)nwk=0(k=1,2,・・・,nw)
ここで、SWは、ソフトウェア種別(OS及びAP)であり、n(SW)nwkは、OS及びAPの各々について、k=1からk=nwまでに対応した値を有する。
(S610)収集したDNSクエリを解析しつつDNSクエリ数をカウントするループを開始する。最初に、時刻t=0とし、DNSクエリの所定の収集期間Δt(分)とする。
(S611)DNSサーバ5宛のパケットを収集する。
(S612)収集したパケットが、OS又はアプリケーションの更新確認の為のDNSクエリであるか否かを判定する。
(S620)ステップS612において、収集したパケットがOS更新確認の為のDNSクエリであるとの判定がなされた際、このクエリに含まれる照会名Nから、照会名テーブル112tを用いて、OS種別をOSと識別する。一方、ステップS612で偽の判定、即ち更新確認の為のDNSクエリではないとの判定がなされた際、ステップS643に移行し、カウント時間(t−t)を確認しつつ、クエリ数カウントループを繰り返す。
尚、S620において、照会名テーブル112tを用いてもOS種別を識別できない場合、OS種別は未知として、ステップS643に移行することも好ましい。
(S621)このDNSクエリのIPヘッダにおけるTTL値を測定する。
(S622)測定されたTTL値が、TTLテーブル114tに登録された、識別されたOS種別OSに対応するTTL測定値可能範囲TRに含まれるか否かを判定する。ここで、偽の判定がなされた際、ステップS643に移行し、カウント時間(t−t)を確認しつつ、クエリ数カウントループを繰り返す。
(S623)ステップS622で真の判定がなされた際、このOS種別OSを識別したものとする。次いで、このOS種別OSが、同一の送信元IPアドレスを含む他のDNSクエリの照会名Nから識別されたアプリケーション種別APと、1つの端末2内で共存し得るか否かを判定する。
尚、アクセスネットワーク30〜32の構成として、端末2側に、1つのIPアドレスを複数の端末で共有可能なNAT(Network Address Translation)が設置されている場合、同一の送信元IPアドレスのパケットが同一の端末2から発信されたものと断定することはできない。実際、(更新確認時間間隔(クエリ発生周期)Tosiよりも十分に小さい)所定の収集期間Δt内に、1つのIPアドレスから複数のOS更新確認の為のDNSクエリが収集された場合、このIPアドレスは複数の端末2に対して使用されている、と判断される。
このような場合、ステップS623での判定条件を緩和するか、又はステップS623を省略することが好ましい。緩和された判定条件としては、例えば、1つのIPアドレスにおけるOS更新確認の為のDNSクエリの数が、所定の閾値以下であるか否か、とすることが可能である。また、OS種別OSとアプリケーション種別APとの間では、全て共存可能であると判断する、とすることも可能である。
(S624)ステップS623で真の判定がなされた際、OS種別OSのカウント数nosiを1だけ増加させる。
osi=nosi+1
一方、ステップS623で偽の判定がなされた際、ステップS643に移行し、カウント時間(t−t)を確認しつつ、クエリ数カウントループを繰り返す。
(S630)ステップS612において、収集したパケットがアプリケーション更新確認の為のクエリであるとの判定がなされた際、DNSクエリに含まれる照会名Nから、照会名テーブル112tを用いて、アプリケーション種別をAPと識別する。
尚、S630において、照会名テーブル112tを用いてもアプリケーション種別を識別できない場合、アプリケーション種別は未知として、ステップS643に移行することも好ましい。
(S631)識別されたアプリケーション種別APが、同一の送信元IPアドレスを含む他のDNSクエリの照会名Nから識別されたOS種別OS及びアプリケーション種別APと、1つの端末2内で共存し得るか否かを判定する。
尚、端末2側に、1つのIPアドレスを複数の端末で共有可能なNATが設置されている場合に、ステップS631での判定条件を緩和するか、又はステップS631を省略することが好ましいことは、ステップS623と同様である。
(S632)ステップS631で真の判定がなされた際、アプリケーション種別APのカウント数napjを1だけ増加させる。
apj=napj+1
一方、ステップS632で偽の判定がなされた際、ステップS643に移行し、カウント時間(t−t)を確認しつつ、クエリ数カウントループを繰り返す。
(S640)送信元IPアドレス毎に、識別されたソフトウェア種別(OS種別OS又はアプリケーション種別AP)を記録する。
(S641)識別対象であるDNSクエリのIPアドレス値から、アクセスネットワークテーブル115tを用いて、アクセスネットワーク種別をNWと識別する。
(S642)アクセスネットワーク種別NWのカウント数n(SW)nwkを1だけ増加させる。
n(SW)nwk=n(SW)nwk+1
ここで、SWは、この識別対象であるDNSクエリにおいて識別されたOS種別OS又はアプリケーション種別APであり、カウント数n(SW)nwkは、OS又はAP毎の値となる。
(S643)ステップS610の開始からの時間(t−t)を計測し、予め設定された所定の収集期間Δt(分)未満であれば、ステップS610に戻って、クエリ数カウントループを繰り返す。一方、(t−t)≧Δtであれば、クエリ数カウントループを終了する。
(S650)OS種別毎のクエリ数
{nos1,nos2,・・・,nosi,・・・,nosos}、
アプリケーション種別毎のクエリ数
{nap1,nap2,・・・,napj,・・・,napap}、及び
OS種別OS及びアプリケーション種別APの各々における各アクセスネットワーク種別NWのクエリ数
n(SW)nwk(k=1,2,・・・,nw)
を蓄積する。
尚、以上に説明したアプリケーション種別の識別方法のうち、TTLに関するステップS621及びステップS622は、省略することができる。また、ソフトウェア種別の共存判断に関するステップS623、ステップS631及びステップS640も省略可能である。但し、これらのステップを採用することによって、アプリケーション種別をより高い確度で識別することができる。
実際、照会名Nに表れるソフトウェア種別の特徴は、端末の改造等によって改変される可能性がゼロではない。従って、端末2のアプリケーション種別情報の取得・推定においては、TTL情報及び共存可能情報も考慮し、さらに以下に説明する統計手法を取り入れて、総合的な判断を行うことが好ましい。
図7は、本発明の端末情報推定方法のうち、端末2に搭載されたソフトウェア種別の総数を推定する方法の一実施形態を示すフローチャートである。
尚、以下に示す方法は、ステップS650(図6)で蓄積された、OS種別OS毎のクエリ数nosi、アプリケーション種別AP毎のクエリ数napj、及び各ソフトウェア種別(OS及びAP)における各アクセスネットワーク種別NWのクエリ数n(SW)nwkの情報を用いて実施される。
(S700)ソフトウェア種別(OS種別OS及びアプリケーション種別AP)毎に、更新確認時間間隔(クエリ発生周期)Tosi又はTapjを予め登録する。
(S710)各ソフトウェア種別(OS及びAP)の総数を算出する総数推定ループに入る。
(S711)各ソフトウェア種別(OS及びAP)毎に、当該ソフトウェア種別の総数を、
(1) Nosi=nosi・(60・Tosi/Δt)
(2) Napj=napj・(60・Tapj/Δt)
として算出する。ここで、Tosi(時間)及びTapj(時間)は、更新確認時間間隔(クエリ発生周期)であり、nosi(個)及びTapj(個)は、所定の収集期間Δt(分)内にカウントされたクエリ数である。
例えば、Apple社のiOSでは、更新確認時間間隔(クエリ発生周期)Tosi=12(時間)である。ここで、Δt=10(分間)に、iOSの更新確認先であるiphone-ld.apple.comを照会先NとしたDNSクエリのカウント数が、n=100(回)であったとすると、iOSの総数(従ってiOSを搭載した端末の総数)Nは、
N=100×(60×12/10)=7200
となる。即ち、DNSサーバ5(又は1’)が設置されたIMS4のコントロール下にあるアクセスネットワーク30〜32に接続された端末数は、7200台であると推定される。
因みに、ここで推定される端末数は、アクセスネットワーク30〜32に接続される端末2のうち、電源がON状態であって通信機能が起動した状態のものを対象にした数である。
(S712)各ソフトウェア種別SW(OS及びAP)における、アクセスネットワーク種別NWの数を、
N(OSnwk=Nosi・(n(OSnwk/Σn(OSnwm
N(APnwk=Napj・(n(APnwk/Σn(APnwm
として算出する。ここで、Σn(OSnwm及びΣn(APnwmはそれぞれ、当該ソフトウェア種別(OS及びAP)における、アクセスネットワーク種別NWのクエリ数n(OSnwm及びn(APnwmの総和である。
(S713)識別された全てのソフトウェア種別(OS種別OS及びアプリケーション種別AP)について総数を推定するまで、ステップS710〜S713を繰り返す。
(S720)OS種別毎の総数
{Nos1,Nos2,・・・,Nosi,・・・,Nosos}、
アプリケーション種別毎の総数
{Nap1,Nap2,・・・,Napj,・・・,Napap}、及び
ソフトウェア種別SW(OS及びAP)の各々における、各アクセスネットワーク種別NWの数
N(SW)nwk(k=1,2,・・・,nw)
を蓄積する。
(S721)ステップS720で蓄積されたデータを表示又は出力する。
[照会名テーブル:他の実施形態]
図8は、照会名テーブルにおける他の実施形態の構成図である。
既に述べたように、各ソフトウェア種別に係るDNSクエリのクエリ発生周期には、変動(不規則性)が生じ得る。以下に説明する照会名テーブル112t’及び112t’’は、このような変動が発生する確率を考慮しており、端末数(ソフトウェア数)の推定の精度を、より向上させることを可能にする。
図8(A)に、照会名テーブル112t’のOS種別対応部分を示す。同図によれば、DNSクエリに含まれる照会名N毎に、
a)対応するOS種別OSと、 b)クエリ発生周期Tと、
c)確率p d,Tdと、 d)クエリ発生頻度分布と
が予め登録されている。
ここで、照会名Nは、端末2に搭載されたOSが更新確認の際に接続する接続先のドメイン名である。OS種別OSは、更新確認又はその他の動作の際にこの照会名Nのサイトに接続を試みるOS種別である。また、クエリ発生周期Tは、OS種別OSが更新確認又はその他の動作のため、照会名Nに接続を試みる、OS種別OS固有の時間間隔である。
さらに、確率p d,Tdは、OS種別OSに係るDNSクエリが周期Tより長い時間間隔で発生する確率である。また、クエリ発生頻度分布は、各区間内の時間間隔の中で、OS種別OSに係るDNSクエリが発生した回数(頻度)の記録値である。このクエリ発生頻度分布は、例えば累積頻度分布、又は確率分布の形で登録されていてもよい。
尚、照会名テーブル112t’は、OS種別対応部分だけでなく、アプリケーション種別対応部分を有していてもよく、このAP種別対応部分においても、各アプリケーション種別APに係る同様の項目が記録される。
図8(B)に、照会名テーブル112t’’のOS種別対応部分を示す。同図によれば、DNSクエリに含まれる照会名N毎に、
a)対応するOS種別OSと、 b)クエリ発生周期Tと、
c)確率p d,Tdと、 d)確率p d,Tq、及び平均値μ d,Tq
が予め登録されている。
ここで、確率p d,Tqは、OS種別OSに係るDNSクエリが収集期間T以内の時間間隔で発生する確率である。また、平均値μ d,Tqは、同一の送信元(同一のIPアドレス)からのOS種別OSに係るDNSクエリが収集期間T内に発生する回数の平均値である。これら確率p d,Tq及び平均値μ d,Tqは、クエリ発生頻度分布の測定値から算出される。
尚、照会名テーブル112t’’も、OS種別対応部分だけでなく、アプリケーション種別対応部分を有していてもよく、このAP種別対応部分においても、各アプリケーション種別APに係る同様の項目が記録される。
このように、照会名テーブル112t’’は、照会名テーブル112t’に対し、平均値μ d,Tq情報を更に付加したテーブルとなっている。
[照会名テーブル生成装置]
これらの照会名テーブル112t’(図8(A))及び照会名テーブル112t’’(図8(B))の生成は、照会名テーブル生成装置8(図1)を用いて行うことができる。
図1によれば、照会名テーブル生成装置8は、照会名テーブルを生成し、生成した照会名デーブルを端末情報推定装置1に送信する装置である。照会名テーブル生成装置8は、例えば、自身に接続された複数の端末9による、いずれかのアクセスネットワーク(図1ではアクセスネットワーク30)を介した通信を仲介する位置に設置される。次いで、これら複数の端末9から発信されるDNSクエリを解析して照会名テーブルを生成する。
この際、照会名テーブル生成装置8は、接続された複数の端末9に係る情報(付与されたIP(Internet Protocol)アドレス、端末種別、搭載されたOS種別及びアプリケーション種別等)を予め登録する。次いで、これらの端末9から発信されるDNSクエリを受信し、取得したDNSクエリ毎に、送信元IPアドレス(端末9に付与されたIPアドレス)と、照会名Nと、取得された(発生した)時刻とを対応付けて記録し、各IPアドレス(各(送信元)端末9)における照会名N毎のDNS発生頻度分布を算出する。この分布における収集期間の区間は、実際にDNSクエリを収集する収集期間及びクエリ発生周期Tを考慮して決定される。
このような照会名テーブルを生成するために、端末9は、例えば搭載された1つのOS種別及びアプリケーション種別につき10〜100台程度、照会名テーブル生成装置8に接続されることも好ましい。当然に更に多くの端末9を接続することによって、より精度の高い照会名テーブルを生成することも可能となる。また、信頼性の高い照会名テーブルを得るために、端末9は、DNSクエリが収集される照会名テーブル生成期間中、常時、接続が確立した状態に置かれることも好ましい。
また、照会名テーブル生成装置8は、例えば24時間〜数ヶ月間連続して、端末9から発信されたDNSクエリの収集を行って照会名テーブルを生成する。その際、照会名テーブル生成装置8は、DNSクエリの送信元IPアドレスに対応付けて登録されたソフトウェア種別(OS種別又はアプリケーション種別)をこのDNSクエリの照会名に対応付けた上で、照会名毎に、DNSクエリ発生頻度分布を逐次算出し更新する。
この照会名テーブル生成装置8は、例えば、企業内ネットワークのルータの位置に設置可能である。さらに、照会名テーブル生成装置8は、実際に運用されるネットワークから独立した実験系ネットワークと複数の端末9とを仲介するものであってもよい。いずれにしても、照会名テーブル生成装置8は、複数の端末9全ての端末情報を管理・登録可能な環境に設置される。
図8(A)及び(B)に戻って、照会名テーブル112t’(112t’’)における照会名N毎の確率p d,Tdは、各IPアドレス((送信元)端末9)における対応するOS種別OSに係るDNSクエリが周期Tより長い時間間隔で発生した回数を、当該DNSクエリの全発生回数で割ることによって算出することができる。例えば、図8(A)に示した頻度分布が算出された場合、
d,Td=15/(69+3+10+18+15)=約0.13
となる。
さらに、照会名テーブル112t’(112t’’)における、照会名N毎の確率p d,Tqは、各IPアドレス((送信元)端末9)における対応するOS種別OSに係るDNSクエリが収集期間T以内の時間間隔で発生した回数を、当該DNSクエリの全発生回数で割ることによって算出することができる。例えば、図8(A)に示した頻度分布が算出されており、収集期間Tが21600秒である場合、
d,Tq=69/(69+3+10+18+15)=0.60
となる。
また、照会名テーブル112t’’における照会名N毎の平均値μ d,Tqは、各IPアドレス((送信元)端末9)における対応するOS種別OSに係るDNSクエリが収集期間T内に複数回発生する場合を考慮するための値であり、その発生回数をカウントして、収集期間Tでの測定毎のカウント値の平均をとることによって算出される。
[照会名テーブル112t’及び112t’’を用いた端末数の推定]
次いで、照会名テーブル112t’及び112t’’を用いた端末数の推定を説明する。
最初に、照会名テーブル112t’(図8(A))を用いて、端末数(OSの数)を推定する。端末数(OS数)Nは以下の式で算出される。
(3) N=Nd,Tq/((T/T)・(1−p d,Td)・(1+p d,Tq))
ここで、上述したように、TはDNSクエリの収集期間であり、p d,Tdは、OS種別OSに係るDNSクエリが周期Tより長い時間間隔で発生する確率であり、p d,Tqは、OS種別OSに係るDNSクエリが収集期間T以内の時間間隔で発生する確率である。また、Nd,Tqは、収集期間T内に観測されたOS種別OSに係るDNSクエリの数を表す。尚、式(3)の導出は、後に説明する。
次いで、式(3)を用いて、照会名テーブル112t’(図8(A))に基づき、端末数(OS1数)Nを算出する。一例として、DNSクエリの収集期間Tを21600秒とし、当該収集期間T内に観測されたOS1(照会名:example1.com)のDNSクエリ数Nd,Tqが4であったとする。照会名テーブル112t’より、T=86400秒、p d,Tq=0.60及びp d,Td=0.13となる。これらの値を式(3)に代入して計算することにより、OSがOS1である端末の台数Nは、約12台(N=約11.5)であると推定される。
この推定数(12台)は、上述した式(1)に相当するN=Nd,Tq・T/Tから算出される、周期変動を考慮しない推定数である16台を、クエリ発生周期の変動を考慮して修正した値であり、より精度の高い値となっている。
次いで、照会名テーブル112t’’(図8(B))を用いて、端末数(OSの数)を推定する。端末数(OS数)Nは以下の式で算出される。
(4)
N=Nd,Tq/((T/T)・(1−p d,Td)・(1+(μ d,Tq−1)・p d,Tq))
ここで、上述したように、平均値μ d,Tqは、同一の送信元(同一のIPアドレス)からのOS種別OSに係るDNSクエリが収集期間T内に発生する回数の平均値である。尚、式(4)の導出も、後に説明する。
次いで、式(4)を用いて、照会名テーブル112t’’(図8(B))に基づき、端末数(OS1数)Nを算出する。一例として、DNSクエリの収集期間Tを21600秒とし、当該収集期間T内に観測されたOS1(照会名:example1.com)のDNSクエリ数Nd,Tqが4であったとする。照会名テーブル112t’’より、T=86400秒、p d,Tq=0.60、p d,Td=0.13、及びμ d,Tq=2.05となる。これらの値を式(4)に代入して計算することにより、OSがOS1である端末の台数Nは約11台(N=約11.3)であると推定される。
この推定数(11台)は、上記の式(3)を用いて算出した推定数である12台を、平均値μ d,Tqを考慮して更に修正した、より精度の高い値となっている。
以上、クエリ発生周期において変動(不規則性)が生じる確率p d,Td及びp d,Tq)を考慮することによって、より精度の高い端末数(ソフトウェア数)の推定を実施することが可能となる。また、周期変動の程度を表す平均値μ d,Tqを更に考慮することによって、推定精度をより向上させることができる。また、これにより、相当の周期変動を有するDNSクエリであっても、端末数(ソフトウェア数)の推定のために使用することが可能となる。
尚、上述した端末数Nの算出・推定において、複数の照会名テーブル(の欄)を用いて端末数の推定を行ってもよい。例えば概ね全ての端末に搭載された複数のアプリケーション種別それぞれの照会名毎に、照会名テーブルを用いてアプリケーション数を算出し、そのそれぞれのアプリケーション数の平均値を、端末数Nとすることも可能である。
[式(3)及び(4)の導出]
最初に、端末数Nを算出するための式(3)の導出を説明する。
理想的な状況として、DNSクエリの発生がクエリ発生周期Tから外れないと想定した場合、DNSクエリが収集期間T内に発生する確率は、
(5) pd,Tq=T/T
と表される。よって収集期間Tに観測されたDNSクエリ数Nd,Tqは、Nd,Tq=N・pd,Tqを満たす。これより端末数Nは以下の式で求められる。
(6) N=Nd,Tq/pd,Tq
次に、DNSクエリが収集期間Tよりも短い時間間隔で観測される場合を考える。この場合、観測されるDNSクエリの中に同一の端末から送信されたDNSクエリが複数含まれる可能性がある。これに対し、式(6)は、観測されるDNSクエリはすべて異なる端末から送信されたものであるという前提の下で端末数Nを推定する。従って、式(6)において、DNSクエリ数Nd,Tqから送信元の端末が重複している分を除いて、推定の精度をより高くする必要がある。
ここで、DNSクエリが収集期間Tよりも短い時間間隔で観測される確率をp d,Tqとすると、収集期間T内に同一の端末から複数のDNSクエリが送信される確率p d,Tqは、
(7) p d,Tq=pd,Tq・p d,Tq
となる。よって送信元が重複しているDNSクエリの数N d,Tqは、
(8) N d,Tq=N・pd,Tq・p d,Tq
となる。
従って、端末数Nを求める式(6)は、
(9) N=(Nd,Tq−N d,Tq)/pd,Tq
=(Nd,Tq−N・pd,Tq・p d,Tq)/pd,Tq
のように修正される。その結果、
(10) N=Nd,Tq/(pd,Tq・(1+p d,Tq))
となる。
さらに、DNSクエリがクエリ発生周期Tよりも長い時間間隔で観測される場合を考える。式(10)では、全ての端末はクエリ発生周期T内にDNSクエリを送信するという前提の下で収集期間T内にクエリが観測される確率をpd,Tq=T/Tとした。そのため、当該確率に加えて端末が周期T内にDNSクエリを送信する確率を加味する必要がある。
ここで、DNSクエリがクエリ発生周期Tよりも長い時間間隔で発生する確率をp d,Tdとすると、端末が収集期間T内にDNSクエリを送信する確率は、pd,Tq・(1−p d,Td)となる。よって端末数Nを求める式(10)は以下の通りに変更される。
(11) N=Nd,Tq/(pd,Tq・(1−p d,Td)・(1+p d,Tq))
上式(11)は、式(3)に相当する式となる。
さらに、上述したDNSクエリが収集期間Tよりも短い時間間隔で発生する場合において、同一の端末から収集期間T内に送信されるクエリの数をμ d,Tqとすると、送信元が重複しているDNSクエリの数は、
(12) N d,Tq=N・pd,Tq・(μ d,Tq−1)・p d,Tq
となる。よって、端末数Nは、
(13) N=(Nd,Tq−N d,Tq)/pd,Tq
=(Nd,Tq−N・pd,Tq・(μ d,Tq−1)・p d,Tq)/pd,Tq
のように修正される。
その結果、
(14) N=Nd,Tq/(pd,Tq・(1+(μ d,Tq−1)・p d,Tq))
となる。さらに、式(14)に、DNSクエリがクエリ発生周期Tより長い時間間隔で送信される場合を加味すると、以下の式が得られる。
(15) N=Nd,Tq/(pd,Tq・(1−p d,Td)・(1+(μ d,Tq−1)・p d,Tq))
上式(15)は、式(4)に相当する式となる。
図9は、OS・AP・NW分布テーブル118tの構成図である。OS・AP・NW分布テーブル118tは、図7のS720において、OS・AP・NW分布蓄積部118(図4)が作成するテーブルである。
図9よれば、OS・AP・NW分布テーブル118tは、ソフトウェア種別(OS種別OS及びアプリケーション種別AP)毎に、当該ソフトウェア種別の総数と、当該ソフトウェア種別における各アクセスネットワーク種別NWの数とが記載されている。
これにより、アクセスネットワーク30〜32に接続された端末2に搭載された各OS種別OSの総数の推定値、従ってこのOSを搭載した端末数の推定値、を得ることができる。また、アクセスネットワーク30〜32内でのOS種別OSの分布を得ることができる。
また、アクセスネットワーク30〜32に接続された端末2に搭載された各アプリケーション種別APの総数の推定値、従ってこのAPを搭載した端末数の推定値、を得ることができる。また、アクセスネットワーク30〜32内でのアプリケーション種別APの分布を得ることができる。
以上、本発明によれば、照会名Nを含むDNSクエリを収集・解析することによって、ソフトウェア種別(OS種別OS及びアプリケーション種別AP)を判定する。その結果、大規模なネットワーク全体におけるソフトウェア種別(OS及びAP)を、全通信を取得することなく識別することができる。さらに、識別した各ソフトウェア種別の総数を、全通信を取得することなく推定することができる。
また、本発明によれば、自らパケットを送信するといった能動的な検査を必要としない。即ち、ソフトウェア種別情報の識別・推定を受動的に実施することができる。その結果、例えば、端末側に設けられたフィルタリング機構によって検査不能となる事態を引き起こすことがない。
さらに、DNSクエリを収集する時間Δtは、更新確認時間間隔(クエリ発生周期)Tosi及びTapjに比べて非常に短い時間(例えば10分)である。従って、本発明によれば、非常に短時間で、各ソフトウェア種別(OS及びAP)の総数の推定値を得ることができる。
また、短時間での総数の推定が可能であるので、あるOS種別における異なる時間帯での総数を比較したり、あるOS種別における各時刻での総数の推移を得たり、さらには、各時刻における異なるOS種別間の総数比を比較したりすることができる。例えば、午前10時からの10分間についての、あるOS種別OSの総数N10と、午後10時からの10分間についてのOS種別OSの総数N22とを推定して比較することが可能となる。
以上に説明した本発明によって得られる端末情報は、例えば、ネットワーク管理者にとって、ネットワークの安定した運用を維持するために非常に重要となる。即ち、これら端末情報の把握によって、通信障害の原因となる利用者の行為を未然に防止したり、将来の通信量増加の程度を予測し必要な通信設備の増強を図ったりすることが可能となる。
前述した本発明の種々の実施形態について、本発明の技術思想及び見地の範囲の種々の変更、修正及び省略は、当業者によれば容易に行うことができる。前述の説明はあくまで例であって、何ら制約しようとするものではない。本発明は、特許請求の範囲及びその均等物として限定するものにのみ制約される。
1 端末情報推定装置
100、100’ 通信インタフェース
101、101’ 出力部
11’ 端末情報推定部
110 クエリ収集部
111、111’ ソフトウェア種別識別部
111a AP種別識別部
111c クエリ数カウント部
111d IPアドレス抽出部
111n ネットワーク種別識別部
111q 照会名抽出部
111s OS種別識別部
112 照会名登録部
112t、112t’、112t’’ 照会名テーブル
113 共存種別登録部
113t 共存可能ソフトウェアテーブル
114 TTL範囲登録部
114t TTLテーブル
115 ネットワーク種別登録部
115t アクセスネットワークテーブル
116、116’ 共存種別判定部
117、117’ 総数推定部
117a アプリケーション総数推定部
117s OS総数推定部
118、118’ OS・AP・NW分布蓄積部
118t OS・AP・NW分布テーブル
12’ 名前解決機能部
2、9 端末
30、31、32 アクセスネットワーク
4 IMS
5 DNSサーバ
6 ネットワークタップ
7 インターネット
8 照会名テーブル生成装置

Claims (14)

  1. DNS(Domain Name System)サーバにネットワークを介して、照会名を含むクエリを発信する複数の端末の情報を推定する端末情報推定装置であって、
    当該照会名毎に、前記複数の端末に搭載されたソフトウェア種別を予め登録する照会名登録手段と、
    当該端末から発信された当該クエリを収集し蓄積するクエリ収集手段と、
    蓄積された各クエリに含まれる照会名を抽出し、前記照会名登録手段を用いて当該クエリに対応するソフトウェア種別を識別するソフトウェア種別識別手段と
    を有することを特徴とする端末情報推定装置。
  2. 前記複数の端末に搭載されたソフトウェア種別毎の総数を推定する総数推定手段を更に有しており、
    前記照会名登録手段は、ソフトウェア種別毎にクエリ発生頻度を更に予め登録し、
    前記ソフトウェア種別識別手段は、ソフトウェア種別毎に、所定の収集期間内に収集された、当該ソフトウェア種別に対応するクエリの数をカウントし、
    前記総数推定手段は、当該ソフトウェア種別毎に、予め登録されたクエリ発生頻度と、当該所定の収集期間と、カウントされたクエリ数とから当該ソフトウェア種別の総数を算出する
    ことを特徴とする請求項1に記載の端末情報推定装置。
  3. 当該ソフトウェア種別毎に、予め登録されたクエリ発生頻度をT時間に1回とし、所定の収集期間Δt分内にカウントされた、当該ソフトウェア種別に対応するクエリ数をn個とすると、前記総数推定手段は、当該ソフトウェア種別の総数N個を、
    N=n・(60・T/Δt)
    として算出することを特徴とする請求項2に記載の端末情報推定装置。
  4. 前記照会名登録手段は、ソフトウェア種別毎に、クエリ発生頻度の逆数に相当するクエリ発生周期と、同一の送信元に係る同一の照会名を含むクエリが、設定された収集期間以内の時間間隔で発生する頻度又は確率と、当該クエリが、当該クエリ発生周期より長い時間間隔で発生する頻度又は確率とを更に予め登録し、
    前記総数推定手段は、当該ソフトウェア種別毎に、予め登録されたクエリ発生周期と、当該所定の収集期間と、カウントされたクエリ数とを用いて算出される総数値に対し、当該クエリが所定の収集期間以内の時間間隔で発生する確率と、当該クエリがクエリ発生周期より長い時間間隔で発生する確率とを用いて補正を行うことに相当する計算を行って、当該ソフトウェア種別の総数を算出する
    ことを特徴とする請求項2に記載の端末情報推定装置。
  5. 当該ソフトウェア種別毎に、予め登録されたクエリ発生周期をT秒とし、当該クエリが所定の収集期間T秒以内の時間間隔で発生する確率をp d,Tqとし、当該クエリがクエリ発生周期Tより長い時間間隔で発生する確率をp d,Tdとし、当該所定の収集期間T秒内にカウントされた、当該ソフトウェア種別に対応するクエリ数をNd,Tq個とすると、前記総数推定手段は、当該ソフトウェア種別の総数N個を、
    N=Nd,Tq/((T/T)・(1−p d,Td)・(1+p d,Tq))
    として算出することを特徴とする請求項4に記載の端末情報推定装置。
  6. 前記照会名登録手段は、ソフトウェア種別毎に、クエリ発生頻度の逆数に相当するクエリ発生周期と、同一の送信元に係る同一の照会名を含むクエリが、設定された収集期間以内の時間間隔で発生する頻度又は確率と、当該クエリが、クエリ発生周期より長い間隔で発生する頻度又は確率と、当該クエリが設定された収集期間内に発生する回数の平均値とを更に予め登録し、
    前記総数推定手段は、当該ソフトウェア種別毎に、予め登録されたクエリ発生周期と、当該所定の収集期間と、カウントされたクエリ数とを用いて算出される総数値に対し、当該クエリが所定の収集期間以内の時間間隔で発生する確率と、当該クエリがクエリ発生周期より長い時間間隔で発生する確率と、当該クエリが当該所定の収集期間内に発生する回数の平均値とを用いて補正を行うことに相当する計算を行って、当該ソフトウェア種別の総数を算出する
    ことを特徴とする請求項2に記載の端末情報推定装置。
  7. 当該ソフトウェア種別毎に、予め登録されたクエリ発生周期をT秒とし、当該クエリが所定の収集期間T秒以内の時間間隔で発生する確率をp d,Tqとし、当該クエリがクエリ発生周期Tより長い時間間隔で発生する確率をp d,Tdとし、当該クエリが当該所定の収集期間内に発生する回数の平均値μ d,Tqをとし、当該所定の収集期間T秒内にカウントされた、当該ソフトウェア種別に対応するクエリ数をNd,Tq個とすると、前記総数推定手段は、当該ソフトウェア種別の総数N個を、
    N=Nd,Tq/((T/T)・(1−p d,Td)・(1+(μ d,Tq−1)・p d,Tq))
    として算出することを特徴とする請求項6に記載の端末情報推定装置。
  8. 1つの端末内で共存可能な複数のソフトウェア種別の組合せを登録する共存種別登録手段と、
    前記クエリの送信元アドレス毎に、異なるソフトウェア種別を含む複数のクエリが受信された際に、前記共存種別登録手段を用いて該異なるソフトウェア種別が共存し得る関係にあるか否かを判定する共存種別判定手段と
    を更に有しており、
    前記ソフトウェア種別識別手段は、前記共存種別判定手段が真の判定を行った際、当該送信元アドレスを含んでおり当該ソフトウェア種別に対応するクエリをカウント対象とする
    ことを特徴とする請求項1から7のいずれか1項に記載の端末情報推定装置。
  9. 当該ソフトウェア種別毎に、IP(Internet Protocol)のTTL(Time To Live)の測定値可能範囲を予め登録したTTL範囲登録手段を更に有し、
    前記ソフトウェア種別識別手段は、当該クエリに含まれるIPヘッダのTTLの値が、前記TTL範囲登録手段に登録された、識別された当該ソフトウェア種別に対応する測定値可能範囲に含まれる場合にのみ、当該ソフトウェア種別を識別したものとする
    ことを特徴とする請求項1から8のいずれか1項に記載の端末情報推定装置。
  10. 前記複数の端末の送信元アドレスにおける所定アドレス範囲毎に、アクセスネットワーク種別を予め登録するネットワーク種別登録手段と、
    前記ソフトウェア種別識別手段は、識別対象となるクエリについて、前記ネットワーク種別登録手段を用いて、当該クエリの送信元アドレスからアクセスネットワーク種別を更に識別する
    ことを特徴とする請求項1から9のいずれか1項に記載の端末情報推定装置。
  11. 前記ソフトウェア種別は、OS(Operating System)種別及び/又はアプリケーション種別であり、
    前記照会名は、当該OS種別及び/又はアプリケーション種別におけるソフトウェア更新確認時の接続先アドレスである
    ことを特徴とする請求項1から10のいずれか1項に記載の端末情報推定装置。
  12. 照会名を含むクエリを発信する複数の端末の情報を推定する機能を搭載したDNSサーバであって、
    当該照会名毎に、前記複数の端末に搭載されたソフトウェア種別を予め登録する照会名登録手段と、
    当該端末から発信された当該クエリを収集し蓄積するクエリ収集手段と、
    蓄積された各クエリに含まれる照会名を抽出し、前記照会名登録手段を用いて当該クエリに対応するソフトウェア種別を識別するソフトウェア種別識別手段と
    を有することを特徴とするDNSサーバ。
  13. DNSサーバにネットワークを介して、照会名を含むクエリを発信する複数の端末の情報を推定するようにコンピュータを機能させる端末情報推定プログラムであって、
    当該照会名毎に、前記複数の端末に搭載されたソフトウェア種別を予め登録する照会名登録手段と、
    当該端末から発信された当該クエリを収集し蓄積するクエリ収集手段と、
    蓄積された各クエリに含まれる照会名を抽出し、前記照会名登録手段を用いて当該クエリに対応するソフトウェア種別を識別するソフトウェア種別識別手段と
    してコンピュータを機能させることを特徴とする端末情報推定プログラム。
  14. DNSサーバにネットワークを介して、照会名を含むクエリを発信する複数の端末の情報を推定する端末情報推定方法であって、
    当該照会名毎に、前記複数の端末に搭載されたソフトウェア種別を予め登録する照会名登録手段を用い、
    当該端末から発信された当該クエリを収集し蓄積する第1のステップと、
    蓄積された各クエリに含まれる照会名を抽出し、前記照会名登録手段を用いて当該クエリに対応するソフトウェア種別を識別する第2のステップと
    を有することを特徴とする端末情報推定方法。
JP2012243908A 2012-02-07 2012-11-05 端末のソフトウェア種別情報を推定する端末情報推定装置、dnsサーバ、プログラム及び方法 Active JP5868827B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012243908A JP5868827B2 (ja) 2012-02-07 2012-11-05 端末のソフトウェア種別情報を推定する端末情報推定装置、dnsサーバ、プログラム及び方法

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2012023867 2012-02-07
JP2012023867 2012-02-07
JP2012243908A JP5868827B2 (ja) 2012-02-07 2012-11-05 端末のソフトウェア種別情報を推定する端末情報推定装置、dnsサーバ、プログラム及び方法

Publications (2)

Publication Number Publication Date
JP2013178739A JP2013178739A (ja) 2013-09-09
JP5868827B2 true JP5868827B2 (ja) 2016-02-24

Family

ID=49270293

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012243908A Active JP5868827B2 (ja) 2012-02-07 2012-11-05 端末のソフトウェア種別情報を推定する端末情報推定装置、dnsサーバ、プログラム及び方法

Country Status (1)

Country Link
JP (1) JP5868827B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101947913B1 (ko) * 2017-08-14 2019-05-08 세종대학교산학협력단 빅데이터 교육용 EaaS(Education as a Service)플랫폼
JP7444728B2 (ja) 2020-08-11 2024-03-06 シャープ株式会社 電子機器、制御方法、及びプログラム
WO2023135729A1 (ja) * 2022-01-14 2023-07-20 日本電信電話株式会社 推定装置、推定方法及びプログラム

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005268870A (ja) * 2004-03-16 2005-09-29 Nomura Research Institute Ltd ネームサーバ、インベントリ情報の収集方法
JP4996496B2 (ja) * 2008-02-12 2012-08-08 株式会社Pfu ネットワーク監視システム、および、ネットワーク監視方法

Also Published As

Publication number Publication date
JP2013178739A (ja) 2013-09-09

Similar Documents

Publication Publication Date Title
US10284516B2 (en) System and method of determining geographic locations using DNS services
JP6095760B2 (ja) 分散人口統計情報を使用してメディアインプレッション(mediaimpressions)を決定するための方法及び装置
US9491077B2 (en) Network metric reporting system
US10375194B2 (en) Methods and apparatus to prevent illicit proxy communications from affecting a monitoring result
CA2748997C (en) Systems, methods, and apparatus to monitor mobile internet activity
JP2004348648A (ja) 計測システム
EP2735985B1 (en) Method and apparatus for managing device context using an ip address in a communication system
EP2756656A1 (en) Analyzing internet traffic by extrapolating socio-demographic information from a panel
JP5868827B2 (ja) 端末のソフトウェア種別情報を推定する端末情報推定装置、dnsサーバ、プログラム及び方法
US20190363943A1 (en) Systems and methods for determining characteristics of devices on a network
Beverly et al. Measuring and characterizing IPv6 router availability
JP5157778B2 (ja) 監視装置、監視方法及びコンピュータプログラム
US20130298241A1 (en) Network Based Audience Measurement
JP5863581B2 (ja) 端末情報推定用の判定規則を生成する判定規則生成装置、ルータ、プログラム及び方法
JP5872396B2 (ja) クエリ発生周期の安定度を利用した端末情報推定装置、dnsサーバ、プログラム及び方法
US20130111008A1 (en) Network service monitoring at edge network device
US11316772B2 (en) Network connected device and traffic estimation method thereof
JP5543896B2 (ja) 仲介サーバと、その仲介サーバによるアクセス解析方法とプログラム
US20130035980A1 (en) Method for measuring market share for a communication service provider
JP2014165844A (ja) 識別装置、識別方法および識別プログラム
JP5475717B2 (ja) ネットワークシステム
WO2017041648A1 (zh) 用于处理应用请求的方法与设备
Zhou Understanding home networks with lightweight privacy-preserving passive measurement
CN110855516B (zh) 一种cdn质量检测系统及方法
JP6280836B2 (ja) 識別装置、識別方法および識別プログラム

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140730

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150109

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20151009

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20151209

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160106

R150 Certificate of patent or registration of utility model

Ref document number: 5868827

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150