JP6170001B2 - 通信サービス分類装置、方法及びプログラム - Google Patents
通信サービス分類装置、方法及びプログラム Download PDFInfo
- Publication number
- JP6170001B2 JP6170001B2 JP2014060165A JP2014060165A JP6170001B2 JP 6170001 B2 JP6170001 B2 JP 6170001B2 JP 2014060165 A JP2014060165 A JP 2014060165A JP 2014060165 A JP2014060165 A JP 2014060165A JP 6170001 B2 JP6170001 B2 JP 6170001B2
- Authority
- JP
- Japan
- Prior art keywords
- domain name
- management information
- communication service
- dns
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000004891 communication Methods 0.000 title claims description 179
- 238000000034 method Methods 0.000 title claims description 16
- 230000004044 response Effects 0.000 claims description 47
- 238000000605 extraction Methods 0.000 claims description 32
- 230000005540 biological transmission Effects 0.000 claims description 14
- 239000000284 extract Substances 0.000 claims description 14
- 238000010586 diagram Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 3
- 238000011156 evaluation Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
このための方法として、全パケットを対象としたDPI(Deep Packet Inspection)分析により、通信を再構築し、アプリケーションレイヤまで分析したり、DNSクエリ/レスポンスを分析し、ユーザがどのように通信ネットワークを使用し、どのようなサービスを利用しているかを調査する方法がある。特許文献1は、このような技術を開示するものとして知られている。
また、全パケットを対象としたDPI分析は、分析処理の負担が大きい。DNSクエリ/レスポンスの分析に基づくユーザの利用するサービスの分類は、ユーザがアクセスするドメイン名が異なると、事実上同一のサービスであっても異なるサービスとして分類される。
また、上述の方法では、暗号化された通信(例えば、SSL(Secure Sockets Layer)暗号化通信等)や独自プロトコルの通信の場合、ヘッダ内のドメイン名を取得することができない。
通信サービスを利用するためにユーザがアクセスするドメインは、ドメイン名が異なっていても、同一のサービス提供者が管理していれば、同一のサービスに関するドメインである可能性が高い。すなわち、ドメイン名を管理するためのドメイン名管理情報がある程度一致すれば、ドメインを同一のサービスに関するドメインとして分類できる。
ドメイン名管理情報は、閲覧可能(例えば、WHOISサービス)である。
本発明は、DNSクエリのドメイン名からドメイン名管理情報を取得し(例えば、WHOISに投げてみて)、ドメイン名管理情報のうち一致する項目で、ドメイン名を同一のグループとして分類する。
具体的には、以下のような解決手段を提供する。
したがって、(1)に係る通信サービス分類装置は、通信ネットワークにおけるサービスの提供者を特定し、通信ネットワークの利用状況を把握するための情報を作成することができる。
本発明によれば、通信ネットワークにおけるサービス利用状況の可視化のための情報を作成し、提供することができる。
さらに、本発明によれば、将来のトラヒック予測に活用できる情報や、非常時のトラヒック制御等に利用できる有用な情報を作成し、提供することができる。
DNSサーバ30は、問合わせの要求に対し、サーバ40のIPアドレスを求め、ユーザ端末50に回答の応答をする(DNSレスポンスという。)。通信サービス分類装置10は、DNSサーバ30からの応答に基づいて、回答に含まれるドメイン名とIPアドレスとを抽出し、DNSマップ20として記憶させる。
通信サービス分類装置10は、サーバ40のドメイン名を用いて、ドメイン名管理情報を取得し(例えば、WHOISサービスを利用して取得し)、取得したドメイン名管理情報に基づいて(例えば、レジストラ情報等に基づいて)、同一の通信サービス提供者でグルーピングする。
このようにして、通信サービス分類装置10は、SSL等に代表される秘匿化技術によってOSI参照モデルのLayer4のペイロード部分が秘匿化された場合であっても、実際にユーザが利用している通信サービスを分類することができる。
具体的には、ユーザ端末50は、サーバ40と通信を行うために、名前解決のためのDNSクエリをDNSサーバ30に対し送信する。DNSサーバ30は、サーバ40のIPアドレスを求め、DNSレスポンスをユーザ端末50に送信する。レスポンス取得手段11は、DNSレスポンスを取得する。
具体的には、抽出手段12は、レスポンス取得手段11によって取得されたDNSレスポンスに基づいて、DNSレスポンスに含まれるFQDN(Fully Qualified Domain Name)のうちホスト名を取り除き、上位レベルドメインと、IPアドレスとを抽出する。
具体的には、記憶制御手段13は、サーバ40のドメイン名と、サーバ40のIPアドレスとを対応させたDNSマップ20を作成する。なお、ドメイン名とIPアドレスとの対応関係に有効期限があり、対応関係が頻繁に変更される場合、記憶制御手段13は、ドメイン名とIPアドレスとの対応関係についての最新の情報に基づいて、DNSマップ20を更新するとしてもよい。
ドメイン名抽出手段15は、トラヒック取得手段14によって取得された通信トラヒックに用いられている、ユーザ端末50からサーバ40への送信IPアドレスを抽出し、抽出した送信IPアドレスにDNSマップ20において対応付けられたドメイン名を抽出する。
具体的には、管理情報取得手段16は、ドメイン名を用いて(例えば、WHOISサービスに、ドメイン名を送信し、送信したドメイン名に対応するドメイン名に関する管理情報を受信し)、ドメイン名管理情報を取得する。ドメイン名管理情報は、例えば、組織名、ネームサーバ、登録年月日等を含み、ドメイン名を管理するレジストラによっては、登録者名、有効期限、公開連絡窓口のEメールアドレス等を含む。
具体的には、通信サービス分類手段17は、ドメイン名管理情報に基づいて、通信サービス提供者に関する情報として、例えば、ドメイン名の所有者を示す組織名、登録者名又はレジストラ名(以下、登録者名等という。)と、ドメインに設置されているサーバ名を示すネームサーバと、公開連絡窓口のEメールアドレス等とを抽出し、ドメイン名に対応付けてサービス分類記憶手段21に記憶させる。
その他に、通信サービス分類手段17は、ネームサーバが同様か(台数が異なるが同一名のネームサーバである場合は同様とする)、Eメールアドレスのドメイン名が同じか等を評価し、類似度を含めた評価値を算出し、算出した評価値が所定の値以上である場合に、ドメイン名を同一のサービスに分類する。
管理情報記憶制御手段18は、ドメイン名を用いてドメイン名管理情報を取得し、ドメイン名とドメイン名管理情報とを対応付けて記憶するドメイン名管理情報記憶手段22(例えば、キャッシュメモリや、ローカルの記憶装置等)に記憶させる。この場合、管理情報取得手段16は、ドメイン名を用いて、ドメイン名管理情報記憶手段22を検索することによってドメイン名管理情報を取得し、通信サービス分類手段17は、管理情報取得手段16によってドメイン名管理情報記憶手段22から取得されたドメイン名管理情報に基づいて通信サービスを分類する。
なお、管理情報記憶制御手段18は、ドメイン名管理情報記憶手段22にドメイン名ごとの有効期限を設けて記憶させるとしてもよい。管理情報記憶制御手段18は、有効期限を経過したドメイン名管理情報を消去し、新たにドメイン名管理情報を取得し、記憶させる。管理情報記憶制御手段18は、検索頻度が低下したドメイン名をドメイン名管理情報記憶手段22から消去するとしてもよい。管理情報取得手段16は、高頻度で検索する必要があるドメイン名に対し、安定した処理をすることができる。
ドメイン名管理情報記憶手段22は、管理情報記憶制御手段18によって、予め、作成されるとしてもよい。ドメイン名管理情報記憶手段22は、管理情報記憶制御手段18によって、キャッシュメモリとして作成されるとしてもよい。
また、図7の例は、通信サービス分類装置10が、通信サービス提供者に関する情報のうち登録者名等が互いに類似し、かつ、トラヒックの統計情報のうち同一ユーザによる通信開始時刻が近接しているドメイン名同士を、サービス分類S1−2という、サービス分類S1の中の別のグループ(例えば、コンテンツ配信サービス)としていることを示している。同様に、図7の例は、通信サービス分類装置10が、通信サービス提供者に関する情報のうち登録者名等がサービス分類S1と類似しているドメイン名同士を、サービス分類S1−3という、サービス分類S1の中のさらに別のグループ(例えば、メールサービス等)としていることを示している。
さらに、通信サービス分類装置10は、ドメイン名とドメイン名管理情報とを対応付けて記憶するドメイン名管理情報記憶手段22(例えば、キャッシュとして)を備え、ドメイン名を用いて、ドメイン名管理情報記憶手段22を検索することによってドメイン名管理情報を取得し、取得したドメイン名管理情報に基づいて通信サービスを分類する。
したがって、通信サービス分類装置10は、通信サービスの提供者を特定し、通信ネットワークの利用状況を把握するための情報を作成することができる。
11 レスポンス取得手段
12 抽出手段
13 記憶制御手段
14 トラヒック取得手段
15 ドメイン名抽出手段
16 管理情報取得手段
17 通信サービス分類手段
18 管理情報記憶制御手段
20 DNSマップ
21 サービス分類記憶手段
22 ドメイン名管理情報記憶手段
30 DNSサーバ
40 サーバ
50 ユーザ端末
60 ドメイン名管理情報サーバ
70 通信網
Claims (5)
- ユーザ端末とサーバとの通信トラヒックに基づいて、前記ユーザ端末によって利用されている通信サービスを分類する通信サービス分類装置であって、
前記ユーザ端末とDNSサーバとの通信において、DNSクエリに対するDNSレスポンスを取得するレスポンス取得手段と、
前記レスポンス取得手段によって取得された前記DNSレスポンスに基づいて、前記ユーザ端末が前記DNSサーバに問合わせたドメイン名と、前記DNSサーバが回答したIPアドレスとを抽出する抽出手段と、
前記抽出手段によって抽出された前記ドメイン名と前記IPアドレスとを対応付けて、DNSマップに記憶させる記憶制御手段と、
前記ユーザ端末と前記サーバとの間の通信トラヒックを取得するトラヒック取得手段と、
前記トラヒック取得手段によって取得された前記通信トラヒックに用いられている、前記ユーザ端末から前記サーバへの送信IPアドレスを抽出し、抽出した前記送信IPアドレスに前記DNSマップにおいて対応付けられた前記ドメイン名を抽出するドメイン名抽出手段と、
前記ドメイン名抽出手段によって抽出された前記ドメイン名を用いて、前記ドメイン名を管理するためのドメイン名管理情報を取得する管理情報取得手段と、
前記管理情報取得手段によって取得された前記ドメイン名管理情報に基づいて、前記ドメイン名を所有する通信サービス提供者に関する情報と、前記ドメイン名とを対応付けてサービス分類記憶手段に記憶させることによって、前記通信サービスを分類する通信サービス分類手段と、
を備える通信サービス分類装置。 - 前記通信サービス分類手段は、前記サービス分類記憶手段に記憶された情報であって前記通信サービス提供者に関する情報のうち、複数の情報が互いに類似する前記ドメイン名を、同一の通信サービスに関するドメイン名として分類する、
請求項1に記載の通信サービス分類装置。 - 前記ドメイン名を用いて前記ドメイン名管理情報を取得し、前記ドメイン名と前記ドメイン名管理情報とを対応付けて記憶するドメイン名管理情報記憶手段に記憶させる管理情報記憶制御手段をさらに備え、
前記管理情報取得手段は、前記ドメイン名を用いて、前記ドメイン名管理情報記憶手段を検索することによって前記ドメイン名管理情報を取得し、
前記通信サービス分類手段は、前記管理情報取得手段によって取得された前記ドメイン名管理情報に基づいて前記通信サービスを分類する、
請求項1又は2に記載の通信サービス分類装置。 - 請求項1に記載の通信サービス分類装置が実行する方法であって、
前記レスポンス取得手段が、前記ユーザ端末とDNSサーバとの通信において、DNSクエリに対するDNSレスポンスを取得するレスポンス取得ステップと、
前記抽出手段が、前記レスポンス取得ステップによって取得された前記DNSレスポンスに基づいて、前記ユーザ端末が前記DNSサーバに問合わせたドメイン名と、前記DNSサーバが回答したIPアドレスとを抽出する抽出ステップと、
前記記憶制御手段が、前記抽出ステップによって抽出された前記ドメイン名と前記IPアドレスとを対応付けて、DNSマップに記憶させる記憶制御ステップと、
前記トラヒック取得手段が、前記ユーザ端末と前記サーバとの間の通信トラヒックを取得するトラヒック取得ステップと、
前記ドメイン名抽出手段が、前記トラヒック取得ステップによって取得された前記通信トラヒックに用いられている、前記ユーザ端末から前記サーバへの送信IPアドレスを抽出し、抽出した前記送信IPアドレスに前記DNSマップにおいて対応付けられた前記ドメイン名を抽出するドメイン名抽出ステップと、
前記管理情報取得手段が、前記ドメイン名抽出ステップによって抽出された前記ドメイン名を用いて、前記ドメイン名を管理するためのドメイン名管理情報を取得する管理情報取得ステップと、
前記通信サービス分類手段が、前記管理情報取得ステップによって取得された前記ドメイン名管理情報に基づいて、前記ドメイン名を所有する通信サービス提供者に関する情報と、前記ドメイン名とを対応付けてサービス分類記憶手段に記憶させることによって、前記通信サービスを分類する通信サービス分類ステップと、
を備える方法。 - コンピュータに、請求項4に記載の方法の各ステップを実行させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014060165A JP6170001B2 (ja) | 2014-03-24 | 2014-03-24 | 通信サービス分類装置、方法及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014060165A JP6170001B2 (ja) | 2014-03-24 | 2014-03-24 | 通信サービス分類装置、方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015186001A JP2015186001A (ja) | 2015-10-22 |
JP6170001B2 true JP6170001B2 (ja) | 2017-07-26 |
Family
ID=54352113
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014060165A Expired - Fee Related JP6170001B2 (ja) | 2014-03-24 | 2014-03-24 | 通信サービス分類装置、方法及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6170001B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6493426B2 (ja) | 2017-02-02 | 2019-04-03 | 日本電気株式会社 | 通信システム、通信制御方法および通信プログラム |
JP7095619B2 (ja) * | 2019-02-19 | 2022-07-05 | 日本電信電話株式会社 | 予測装置、予測方法及びプログラム |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011193343A (ja) * | 2010-03-16 | 2011-09-29 | Kddi Corp | 通信ネットワーク監視システム |
JP2011215713A (ja) * | 2010-03-31 | 2011-10-27 | Nippon Telegr & Teleph Corp <Ntt> | アクセス履歴情報収集システム、広告情報配信システム、アクセス履歴情報収集方法、広告情報配信方法、アクセス履歴情報収集装置および広告情報配信制御装置 |
JP5770652B2 (ja) * | 2012-01-31 | 2015-08-26 | 日本電信電話株式会社 | 送信元・宛先組織特定装置及び方法及びプログラム |
-
2014
- 2014-03-24 JP JP2014060165A patent/JP6170001B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2015186001A (ja) | 2015-10-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Gasser et al. | Clusters in the expanse: Understanding and unbiasing IPv6 hitlists | |
US10361931B2 (en) | Methods and apparatus to identify an internet domain to which an encrypted network communication is targeted | |
US9571516B1 (en) | Cloud service usage monitoring system | |
AU2020386847B2 (en) | Asset search and discovery system using graph data structures | |
CN109905288B (zh) | 一种应用服务分类方法及装置 | |
US20120158996A1 (en) | Identifying an efficient destination server | |
CN108616544B (zh) | 用于检测对域名系统记录系统的更新的方法、系统和介质 | |
US20100305990A1 (en) | Device classification system | |
US10735370B1 (en) | Name based internet of things (IoT) data discovery | |
US10608981B2 (en) | Name identification device, name identification method, and recording medium | |
CN110795434A (zh) | 一种构建服务属性数据库的方法及装置 | |
CN104202418B (zh) | 为内容提供商推荐商业的内容分发网络的方法和系统 | |
JP6170001B2 (ja) | 通信サービス分類装置、方法及びプログラム | |
US11394687B2 (en) | Fully qualified domain name (FQDN) determination | |
Li et al. | CDN-hosted domain detection with supervised machine learning through DNS records | |
KR100342107B1 (ko) | 인터넷 주소 부가정보 서비스 제공을 위한 기관 및 지역별 인터넷 주소 묶음결정 방법, 인터넷 주소 묶음별 사용지역 정보 획득 방법 | |
CN112015910B (zh) | 域名知识库的生成方法、装置、计算机设备及存储介质 | |
US20230130418A1 (en) | Local network device connection control | |
JP6109645B2 (ja) | サービス推定装置及び方法 | |
Gañán | WHOIS sunset? A primer in Registration Data Access Protocol (RDAP) performance. | |
EP3800833B1 (en) | Deep packet inspection application classification systems and methods | |
Voronov et al. | Determining OS and applications by DNS traffic analysis | |
CN113065078B (zh) | 模拟用户行为拨测web网站多级域名的统计分析方法 | |
CN117041070B (zh) | 一种网络空间测绘节点发现与归属判别方法和装置 | |
Spring | Large scale DNS traffic analysis of malicious Internet activity with a focus on evaluating the response time of blocking phishing sites |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160721 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170525 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170613 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170629 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6170001 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |