JP6170001B2 - 通信サービス分類装置、方法及びプログラム - Google Patents
通信サービス分類装置、方法及びプログラム Download PDFInfo
- Publication number
- JP6170001B2 JP6170001B2 JP2014060165A JP2014060165A JP6170001B2 JP 6170001 B2 JP6170001 B2 JP 6170001B2 JP 2014060165 A JP2014060165 A JP 2014060165A JP 2014060165 A JP2014060165 A JP 2014060165A JP 6170001 B2 JP6170001 B2 JP 6170001B2
- Authority
- JP
- Japan
- Prior art keywords
- domain name
- management information
- communication service
- dns
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000004891 communication Methods 0.000 title claims description 179
- 238000000034 method Methods 0.000 title claims description 16
- 230000004044 response Effects 0.000 claims description 47
- 238000000605 extraction Methods 0.000 claims description 32
- 230000005540 biological transmission Effects 0.000 claims description 14
- 239000000284 extract Substances 0.000 claims description 14
- 238000010586 diagram Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 3
- 238000011156 evaluation Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、通信サービス分類装置、方法及びプログラムに関する。
従来より、通信ネットワークを管理し、ユーザにとって快適な環境を維持するために、ユーザによる通信ネットワークの使い方が調査されている。
このための方法として、全パケットを対象としたDPI(Deep Packet Inspection)分析により、通信を再構築し、アプリケーションレイヤまで分析したり、DNSクエリ/レスポンスを分析し、ユーザがどのように通信ネットワークを使用し、どのようなサービスを利用しているかを調査する方法がある。特許文献1は、このような技術を開示するものとして知られている。
このための方法として、全パケットを対象としたDPI(Deep Packet Inspection)分析により、通信を再構築し、アプリケーションレイヤまで分析したり、DNSクエリ/レスポンスを分析し、ユーザがどのように通信ネットワークを使用し、どのようなサービスを利用しているかを調査する方法がある。特許文献1は、このような技術を開示するものとして知られている。
特許文献1は、IP網において、アクセス履歴情報を収集するアクセス履歴情報収集システムを開示する。このアクセス履歴情報収集システムにおいて、アクセス履歴情報収集装置は、IP網を流れるパケットの送信元IPアドレス等を含むレコードをエッジルータから受信し集約してフロー統計情報とし、集約したフロー統計情報を用いてIP網内のDNS(Domain Name System)サーバ等からフロー統計情報に対応するドメイン名等の情報を取得し、パケットの送信先ポート番号を元にアプリケーション種別を判別し、フロー統計情報にドメイン名等の情報を加えたアクセス履歴情報を蓄積する。
しかしながら、特許文献1の技術によれば、ユーザが利用したドメイン名等の情報が蓄積されるが、蓄積された情報からユーザが利用したサービスを具体的に知ることは困難である。
また、全パケットを対象としたDPI分析は、分析処理の負担が大きい。DNSクエリ/レスポンスの分析に基づくユーザの利用するサービスの分類は、ユーザがアクセスするドメイン名が異なると、事実上同一のサービスであっても異なるサービスとして分類される。
また、上述の方法では、暗号化された通信(例えば、SSL(Secure Sockets Layer)暗号化通信等)や独自プロトコルの通信の場合、ヘッダ内のドメイン名を取得することができない。
また、全パケットを対象としたDPI分析は、分析処理の負担が大きい。DNSクエリ/レスポンスの分析に基づくユーザの利用するサービスの分類は、ユーザがアクセスするドメイン名が異なると、事実上同一のサービスであっても異なるサービスとして分類される。
また、上述の方法では、暗号化された通信(例えば、SSL(Secure Sockets Layer)暗号化通信等)や独自プロトコルの通信の場合、ヘッダ内のドメイン名を取得することができない。
そこで、通信ネットワークにおけるサービスの提供者を特定し、通信ネットワークの利用状況を把握するための情報を作成する装置が求められている。
本発明は、通信ネットワークにおけるサービスの提供者を特定し、通信ネットワークの利用状況を把握するための情報を作成する通信サービス分類装置、方法及びプログラムを提供することを目的とする。
本発明は、ユーザがサービスを利用するためにアクセスするドメインを利用する。
通信サービスを利用するためにユーザがアクセスするドメインは、ドメイン名が異なっていても、同一のサービス提供者が管理していれば、同一のサービスに関するドメインである可能性が高い。すなわち、ドメイン名を管理するためのドメイン名管理情報がある程度一致すれば、ドメインを同一のサービスに関するドメインとして分類できる。
ドメイン名管理情報は、閲覧可能(例えば、WHOISサービス)である。
本発明は、DNSクエリのドメイン名からドメイン名管理情報を取得し(例えば、WHOISに投げてみて)、ドメイン名管理情報のうち一致する項目で、ドメイン名を同一のグループとして分類する。
具体的には、以下のような解決手段を提供する。
通信サービスを利用するためにユーザがアクセスするドメインは、ドメイン名が異なっていても、同一のサービス提供者が管理していれば、同一のサービスに関するドメインである可能性が高い。すなわち、ドメイン名を管理するためのドメイン名管理情報がある程度一致すれば、ドメインを同一のサービスに関するドメインとして分類できる。
ドメイン名管理情報は、閲覧可能(例えば、WHOISサービス)である。
本発明は、DNSクエリのドメイン名からドメイン名管理情報を取得し(例えば、WHOISに投げてみて)、ドメイン名管理情報のうち一致する項目で、ドメイン名を同一のグループとして分類する。
具体的には、以下のような解決手段を提供する。
(1) ユーザ端末とサーバとの通信トラヒックに基づいて、前記ユーザ端末によって利用されている通信サービスを分類する通信サービス分類装置であって、前記ユーザ端末とDNSサーバとの通信において、DNSクエリに対するDNSレスポンスを取得するレスポンス取得手段と、前記レスポンス取得手段によって取得された前記DNSレスポンスに基づいて、前記ユーザ端末が前記DNSサーバに問合わせたドメイン名と、前記DNSサーバが回答したIPアドレスとを抽出する抽出手段と、前記抽出手段によって抽出された前記ドメイン名と前記IPアドレスとを対応付けて、DNSマップに記憶させる記憶制御手段と、前記ユーザ端末と前記サーバとの間の通信トラヒックを取得するトラヒック取得手段と、前記トラヒック取得手段によって取得された前記通信トラヒックに用いられている、前記ユーザ端末から前記サーバへの送信IPアドレスを抽出し、抽出した前記送信IPアドレスに前記DNSマップにおいて対応付けられた前記ドメイン名を抽出するドメイン名抽出手段と、前記ドメイン名抽出手段によって抽出された前記ドメイン名を用いて、前記ドメイン名を管理するためのドメイン名管理情報を取得する管理情報取得手段と、前記管理情報取得手段によって取得された前記ドメイン名管理情報に基づいて、前記ドメイン名を所有する通信サービス提供者に関する情報と、前記ドメイン名とを対応付けてサービス分類記憶手段に記憶させることによって、前記通信サービスを分類する通信サービス分類手段と、を備える通信サービス分類装置。
(1)の構成によれば、(1)に係る通信サービス分類装置10は、ユーザ端末とDNSサーバとの通信において、DNSクエリに対するDNSレスポンスを取得し、取得したDNSレスポンスに基づいて、ユーザ端末がDNSサーバに問合わせたドメイン名と、DNSサーバが回答したIPアドレスとを抽出し、抽出したドメイン名とIPアドレスとを対応付けて、DNSマップに記憶させ、ユーザ端末とサーバとの間の通信トラヒックを取得し、取得した通信トラヒックに用いられている、ユーザ端末からサーバへの送信IPアドレスを抽出し、抽出した送信IPアドレスにDNSマップにおいて対応付けられたドメイン名を抽出し、抽出したドメイン名を用いて、ドメイン名を管理するためのドメイン名管理情報を取得し、取得したドメイン名管理情報に基づいて、ドメイン名を所有する通信サービス提供者に関する情報と、ドメイン名とを対応付けてサービス分類記憶手段に記憶させることによって、通信サービスを分類する。
すなわち、通信サービス分類装置は、ユーザが通信サービスを利用するためにユーザ端末がアクセスするドメインについてドメイン名管理情報を取得し、取得したドメイン名管理情報に基づいて、通信サービス提供者に関する情報とドメイン名とを対応付けてサービス分類記憶手段に記憶させることによって、通信サービスを分類する。
したがって、(1)に係る通信サービス分類装置は、通信ネットワークにおけるサービスの提供者を特定し、通信ネットワークの利用状況を把握するための情報を作成することができる。
したがって、(1)に係る通信サービス分類装置は、通信ネットワークにおけるサービスの提供者を特定し、通信ネットワークの利用状況を把握するための情報を作成することができる。
(2) 前記通信サービス分類手段は、前記サービス分類記憶手段に記憶された情報であって前記通信サービス提供者に関する情報のうち、複数の情報が互いに類似する前記ドメイン名を、同一の通信サービスに関するドメイン名として分類する、(1)に記載の通信サービス分類装置。
したがって、(2)に係る通信サービス分類装置は、通信ネットワークにおけるサービスの提供者を特定し、通信ネットワークの利用状況を詳細に把握するための情報を作成することができる。
(3) 前記ドメイン名を用いて前記ドメイン名管理情報を取得し、前記ドメイン名と前記ドメイン名管理情報とを対応付けて記憶するドメイン名管理情報記憶手段に記憶させる管理情報記憶制御手段をさらに備え、前記管理情報取得手段は、前記ドメイン名を用いて、前記ドメイン名管理情報記憶手段を検索することによって前記ドメイン名管理情報を取得し、前記通信サービス分類手段は、前記管理情報取得手段によって取得された前記ドメイン名管理情報に基づいて前記通信サービスを分類する、(1)又は(2)に記載の通信サービス分類装置。
したがって、(3)に係る通信サービス分類装置は、通信ネットワークにおけるサービスの提供者を速やかに特定し、通信ネットワークの利用状況を詳細に把握するための情報を作成することができる。
(4) (1)に記載の通信サービス分類装置が実行する方法であって、前記レスポンス取得手段が、前記ユーザ端末とDNSサーバとの通信において、DNSクエリに対するDNSレスポンスを取得するレスポンス取得ステップと、前記抽出手段が、前記レスポンス取得ステップによって取得された前記DNSレスポンスに基づいて、前記ユーザ端末が前記DNSサーバに問合わせたドメイン名と、前記DNSサーバが回答したIPアドレスとを抽出する抽出ステップと、前記記憶制御手段が、前記抽出ステップによって抽出された前記ドメイン名と前記IPアドレスとを対応付けて、DNSマップに記憶させる記憶制御ステップと、前記トラヒック取得手段が、前記ユーザ端末と前記サーバとの間の通信トラヒックを取得するトラヒック取得ステップと、前記ドメイン名抽出手段が、前記トラヒック取得ステップによって取得された前記通信トラヒックに用いられている、前記ユーザ端末から前記サーバへの送信IPアドレスを抽出し、抽出した前記送信IPアドレスに前記DNSマップにおいて対応付けられた前記ドメイン名を抽出するドメイン名抽出ステップと、前記管理情報取得手段が、前記ドメイン名抽出ステップによって抽出された前記ドメイン名を用いて、前記ドメイン名を管理するためのドメイン名管理情報を取得する管理情報取得ステップと、前記通信サービス分類手段が、前記管理情報取得ステップによって取得された前記ドメイン名管理情報に基づいて、前記ドメイン名を所有する通信サービス提供者に関する情報と、前記ドメイン名とを対応付けてサービス分類記憶手段に記憶させることによって、前記通信サービスを分類する通信サービス分類ステップと、を備える方法。
したがって、(4)に係る方法は、通信ネットワークにおけるサービスの提供者を特定し、通信ネットワークの利用状況を把握するための情報を作成することができる。
(5) コンピュータに、(4)に記載の方法の各ステップを実行させるためのプログラム。
したがって、(5)に係るプログラムは、コンピュータに、通信ネットワークにおけるサービスの提供者を特定させ、通信ネットワークの利用状況を把握するための情報を作成させることができる。
本発明によれば、通信サービスの提供者を特定し、通信ネットワークの利用状況を把握するための情報を作成することができる。
本発明によれば、通信ネットワークにおけるサービス利用状況の可視化のための情報を作成し、提供することができる。
さらに、本発明によれば、将来のトラヒック予測に活用できる情報や、非常時のトラヒック制御等に利用できる有用な情報を作成し、提供することができる。
本発明によれば、通信ネットワークにおけるサービス利用状況の可視化のための情報を作成し、提供することができる。
さらに、本発明によれば、将来のトラヒック予測に活用できる情報や、非常時のトラヒック制御等に利用できる有用な情報を作成し、提供することができる。
以下、本発明の実施形態について、図を参照しながら説明する。図1は、本発明の一の実施形態に係る通信サービス分類装置10による通信サービスの分類の概要を説明するための図である。なお、図1は、1台のDNSサーバ30、サーバ40、ユーザ端末50、ドメイン名管理情報サーバ60を示すがこれに限られず、複数台のDNSサーバ、サーバ、ユーザ端末50により構成されていてもよい。サーバ40は、例えば、メールサービスを提供するメールサーバや、アプリケーション処理を提供するアプリケーションサーバ、コンテンツ(文章や画像等)を提供するコンテンツサーバやWebサーバ等のように、サービスを提供するサーバである。ドメイン名管理情報サーバ60は、ドメイン名を管理するレジストラによって設置され、ドメイン名管理情報を記憶する。
最初に、ユーザ端末50は、通信網70を介して、サーバ40との通信セッションを行うために、DNSサーバ30に、サーバ40のIPアドレスを調べる名前解決のための問合わせの要求(DNSクエリという。)をする。問合わせには、ドメイン名による問合わせだけでなく、ホスト名+ドメイン名による問合わせもある。
DNSサーバ30は、問合わせの要求に対し、サーバ40のIPアドレスを求め、ユーザ端末50に回答の応答をする(DNSレスポンスという。)。通信サービス分類装置10は、DNSサーバ30からの応答に基づいて、回答に含まれるドメイン名とIPアドレスとを抽出し、DNSマップ20として記憶させる。
DNSサーバ30は、問合わせの要求に対し、サーバ40のIPアドレスを求め、ユーザ端末50に回答の応答をする(DNSレスポンスという。)。通信サービス分類装置10は、DNSサーバ30からの応答に基づいて、回答に含まれるドメイン名とIPアドレスとを抽出し、DNSマップ20として記憶させる。
次に、ユーザ端末50が、サーバ40に、サービスの要求をする。サーバ40は、ユーザ端末50に、サービスの要求に対する応答を返す。
通信サービス分類装置10は、サーバ40のドメイン名を用いて、ドメイン名管理情報を取得し(例えば、WHOISサービスを利用して取得し)、取得したドメイン名管理情報に基づいて(例えば、レジストラ情報等に基づいて)、同一の通信サービス提供者でグルーピングする。
このようにして、通信サービス分類装置10は、SSL等に代表される秘匿化技術によってOSI参照モデルのLayer4のペイロード部分が秘匿化された場合であっても、実際にユーザが利用している通信サービスを分類することができる。
通信サービス分類装置10は、サーバ40のドメイン名を用いて、ドメイン名管理情報を取得し(例えば、WHOISサービスを利用して取得し)、取得したドメイン名管理情報に基づいて(例えば、レジストラ情報等に基づいて)、同一の通信サービス提供者でグルーピングする。
このようにして、通信サービス分類装置10は、SSL等に代表される秘匿化技術によってOSI参照モデルのLayer4のペイロード部分が秘匿化された場合であっても、実際にユーザが利用している通信サービスを分類することができる。
図2は、本発明の一の実施形態に係る通信サービス分類装置10の構成を示す図である。通信サービス分類装置10は、レスポンス取得手段11と、抽出手段12、記憶制御手段13と、トラヒック取得手段14と、ドメイン名抽出手段15と、管理情報取得手段16と、通信サービス分類手段17と、DNSマップ20と、サービス分類記憶手段21とを備える。以下、手段ごとに詳述する。
レスポンス取得手段11は、ユーザ端末50とDNSサーバ30との通信において、DNSクエリに対するDNSレスポンスを取得する。
具体的には、ユーザ端末50は、サーバ40と通信を行うために、名前解決のためのDNSクエリをDNSサーバ30に対し送信する。DNSサーバ30は、サーバ40のIPアドレスを求め、DNSレスポンスをユーザ端末50に送信する。レスポンス取得手段11は、DNSレスポンスを取得する。
具体的には、ユーザ端末50は、サーバ40と通信を行うために、名前解決のためのDNSクエリをDNSサーバ30に対し送信する。DNSサーバ30は、サーバ40のIPアドレスを求め、DNSレスポンスをユーザ端末50に送信する。レスポンス取得手段11は、DNSレスポンスを取得する。
抽出手段12は、レスポンス取得手段11によって取得されたDNSレスポンスに基づいて、ユーザ端末50がDNSサーバ30に問合わせたドメイン名と、DNSサーバ30が回答したIPアドレスとを抽出する。
具体的には、抽出手段12は、レスポンス取得手段11によって取得されたDNSレスポンスに基づいて、DNSレスポンスに含まれるFQDN(Fully Qualified Domain Name)のうちホスト名を取り除き、上位レベルドメインと、IPアドレスとを抽出する。
具体的には、抽出手段12は、レスポンス取得手段11によって取得されたDNSレスポンスに基づいて、DNSレスポンスに含まれるFQDN(Fully Qualified Domain Name)のうちホスト名を取り除き、上位レベルドメインと、IPアドレスとを抽出する。
記憶制御手段13は、抽出手段12によって抽出されたドメイン名とIPアドレスとを対応付けて、DNSマップ20に記憶させる。
具体的には、記憶制御手段13は、サーバ40のドメイン名と、サーバ40のIPアドレスとを対応させたDNSマップ20を作成する。なお、ドメイン名とIPアドレスとの対応関係に有効期限があり、対応関係が頻繁に変更される場合、記憶制御手段13は、ドメイン名とIPアドレスとの対応関係についての最新の情報に基づいて、DNSマップ20を更新するとしてもよい。
具体的には、記憶制御手段13は、サーバ40のドメイン名と、サーバ40のIPアドレスとを対応させたDNSマップ20を作成する。なお、ドメイン名とIPアドレスとの対応関係に有効期限があり、対応関係が頻繁に変更される場合、記憶制御手段13は、ドメイン名とIPアドレスとの対応関係についての最新の情報に基づいて、DNSマップ20を更新するとしてもよい。
トラヒック取得手段14は、ユーザ端末50とサーバ40との間の通信トラヒックを取得する。
ドメイン名抽出手段15は、トラヒック取得手段14によって取得された通信トラヒックに用いられている、ユーザ端末50からサーバ40への送信IPアドレスを抽出し、抽出した送信IPアドレスにDNSマップ20において対応付けられたドメイン名を抽出する。
ドメイン名抽出手段15は、トラヒック取得手段14によって取得された通信トラヒックに用いられている、ユーザ端末50からサーバ40への送信IPアドレスを抽出し、抽出した送信IPアドレスにDNSマップ20において対応付けられたドメイン名を抽出する。
管理情報取得手段16は、ドメイン名抽出手段15によって抽出されたドメイン名を用いて、ドメイン名を管理するためのドメイン名管理情報を取得する。
具体的には、管理情報取得手段16は、ドメイン名を用いて(例えば、WHOISサービスに、ドメイン名を送信し、送信したドメイン名に対応するドメイン名に関する管理情報を受信し)、ドメイン名管理情報を取得する。ドメイン名管理情報は、例えば、組織名、ネームサーバ、登録年月日等を含み、ドメイン名を管理するレジストラによっては、登録者名、有効期限、公開連絡窓口のEメールアドレス等を含む。
具体的には、管理情報取得手段16は、ドメイン名を用いて(例えば、WHOISサービスに、ドメイン名を送信し、送信したドメイン名に対応するドメイン名に関する管理情報を受信し)、ドメイン名管理情報を取得する。ドメイン名管理情報は、例えば、組織名、ネームサーバ、登録年月日等を含み、ドメイン名を管理するレジストラによっては、登録者名、有効期限、公開連絡窓口のEメールアドレス等を含む。
通信サービス分類手段17は、管理情報取得手段16によって取得されたドメイン名管理情報に基づいて、ドメイン名を所有する通信サービス提供者に関する情報と、ドメイン名とを対応付けてサービス分類記憶手段21に記憶させることによって、通信サービスを分類する。
具体的には、通信サービス分類手段17は、ドメイン名管理情報に基づいて、通信サービス提供者に関する情報として、例えば、ドメイン名の所有者を示す組織名、登録者名又はレジストラ名(以下、登録者名等という。)と、ドメインに設置されているサーバ名を示すネームサーバと、公開連絡窓口のEメールアドレス等とを抽出し、ドメイン名に対応付けてサービス分類記憶手段21に記憶させる。
具体的には、通信サービス分類手段17は、ドメイン名管理情報に基づいて、通信サービス提供者に関する情報として、例えば、ドメイン名の所有者を示す組織名、登録者名又はレジストラ名(以下、登録者名等という。)と、ドメインに設置されているサーバ名を示すネームサーバと、公開連絡窓口のEメールアドレス等とを抽出し、ドメイン名に対応付けてサービス分類記憶手段21に記憶させる。
さらに、通信サービス分類手段17は、サービス分類記憶手段21に記憶された情報であって通信サービス提供者に関する情報のうち、複数の情報が互いに類似するドメイン名を、同一の通信サービスとして分類する。具体的には、通信サービス分類手段17は、登録者名等同士を比較した類似度を算出する。類似度は、例えば、登録者名等が「XXX」と「XXX.COP」とにおいて、拡張部「.COP」や「.cop」等を除いて、表記方法(ひらがな、カタカナ、ローマ字、英語等の表記)の違いを評価して算出される。
その他に、通信サービス分類手段17は、ネームサーバが同様か(台数が異なるが同一名のネームサーバである場合は同様とする)、Eメールアドレスのドメイン名が同じか等を評価し、類似度を含めた評価値を算出し、算出した評価値が所定の値以上である場合に、ドメイン名を同一のサービスに分類する。
その他に、通信サービス分類手段17は、ネームサーバが同様か(台数が異なるが同一名のネームサーバである場合は同様とする)、Eメールアドレスのドメイン名が同じか等を評価し、類似度を含めた評価値を算出し、算出した評価値が所定の値以上である場合に、ドメイン名を同一のサービスに分類する。
さらに、通信サービス分類手段17は、通信サービス提供者が同一であっても、メールサービスや、コンテンツ配信サービス等とを別のサービスに分類する。具体的には、通信サービス分類手段17は、同一ユーザ(例えば、送信元IPアドレスが同一等)によって発生された複数の通信において、通信時刻が近接し(例えば、所定の時間以内)、かつ、サービス事業者が同じ場合に、同一サービスとしてまとめる。
例えば、通信サービス分類手段17は、通信サービス提供者に関する情報のうち登録者名等が互いに類似しているドメイン名同士を同一のサービス分類(例えば、S1)とする。さらに、通信サービス分類手段17は、同一のサービス分類(例えば、S1)に分類されるドメイン名であって、通信サービス提供者に関する情報のうち登録者名等以外の他の情報が類似している(例えば、Eメールアドレスのドメイン名同士が同一の場合や、ネームサーバ同士が同一の場合等)ドメイン名を、同一のサービス分類(例えば、S1)のうちの同一のグループとして分類する(例えば、S1−1とする)。また、通信サービス分類手段17は、通信サービス提供者に関する情報のうち登録者名等が互いに類似し、かつ、トラヒックの統計情報のうち同一ユーザによる通信開始時刻が近接しているドメイン名同士を同一のサービス分類としてもよい(後述する図7参照)。
さらに、通信サービス分類装置10は、管理情報記憶制御手段18と、ドメイン名管理情報記憶手段22とを備えてもよい。
管理情報記憶制御手段18は、ドメイン名を用いてドメイン名管理情報を取得し、ドメイン名とドメイン名管理情報とを対応付けて記憶するドメイン名管理情報記憶手段22(例えば、キャッシュメモリや、ローカルの記憶装置等)に記憶させる。この場合、管理情報取得手段16は、ドメイン名を用いて、ドメイン名管理情報記憶手段22を検索することによってドメイン名管理情報を取得し、通信サービス分類手段17は、管理情報取得手段16によってドメイン名管理情報記憶手段22から取得されたドメイン名管理情報に基づいて通信サービスを分類する。
なお、管理情報記憶制御手段18は、ドメイン名管理情報記憶手段22にドメイン名ごとの有効期限を設けて記憶させるとしてもよい。管理情報記憶制御手段18は、有効期限を経過したドメイン名管理情報を消去し、新たにドメイン名管理情報を取得し、記憶させる。管理情報記憶制御手段18は、検索頻度が低下したドメイン名をドメイン名管理情報記憶手段22から消去するとしてもよい。管理情報取得手段16は、高頻度で検索する必要があるドメイン名に対し、安定した処理をすることができる。
管理情報記憶制御手段18は、ドメイン名を用いてドメイン名管理情報を取得し、ドメイン名とドメイン名管理情報とを対応付けて記憶するドメイン名管理情報記憶手段22(例えば、キャッシュメモリや、ローカルの記憶装置等)に記憶させる。この場合、管理情報取得手段16は、ドメイン名を用いて、ドメイン名管理情報記憶手段22を検索することによってドメイン名管理情報を取得し、通信サービス分類手段17は、管理情報取得手段16によってドメイン名管理情報記憶手段22から取得されたドメイン名管理情報に基づいて通信サービスを分類する。
なお、管理情報記憶制御手段18は、ドメイン名管理情報記憶手段22にドメイン名ごとの有効期限を設けて記憶させるとしてもよい。管理情報記憶制御手段18は、有効期限を経過したドメイン名管理情報を消去し、新たにドメイン名管理情報を取得し、記憶させる。管理情報記憶制御手段18は、検索頻度が低下したドメイン名をドメイン名管理情報記憶手段22から消去するとしてもよい。管理情報取得手段16は、高頻度で検索する必要があるドメイン名に対し、安定した処理をすることができる。
図3は、本発明の一実施形態に係る通信サービス分類装置10によるDNSマップ20の例を示す図である。図3に示すように、DNSマップ20は、ユーザ端末50のIPアドレスごとに、サーバ40のドメイン名と、サーバ40のIPアドレスと、DNSレスポンス時刻と、TTL(Time to live)とを対応付けて記憶する。
図4は、本発明の一実施形態に係る通信サービス分類装置10によるDNS応答の例を示す図である。図4の例は、ユーザ端末50が、DNSサーバ30への問合わせにより取得したDNS回答に基づいて、サービスを提供するサーバ40との通信を行うことを示す図である。図4において、ユーザ端末50は、DNSサーバ30にDNS問合わせを行い、DNS応答によりサービスを提供するサーバ40のIPアドレスを取得し、取得したIPアドレスに基づいて、サービスを提供するサーバ40に接続し、サーバ40からサービスの提供を受ける。
図5は、本発明の一実施形態に係る通信サービス分類装置10によるドメイン名管理情報記憶手段22の例を示す図である。図5に示すように、ドメイン名管理情報記憶手段22は、ドメイン名とドメイン名管理情報及び有効期限とを対応付けて記憶する。
ドメイン名管理情報記憶手段22は、管理情報記憶制御手段18によって、予め、作成されるとしてもよい。ドメイン名管理情報記憶手段22は、管理情報記憶制御手段18によって、キャッシュメモリとして作成されるとしてもよい。
ドメイン名管理情報記憶手段22は、管理情報記憶制御手段18によって、予め、作成されるとしてもよい。ドメイン名管理情報記憶手段22は、管理情報記憶制御手段18によって、キャッシュメモリとして作成されるとしてもよい。
図6は、本発明の一の実施形態に係る通信サービス分類装置10の処理を示すフローチャートである。通信サービス分類装置10は、コンピュータ及びその周辺装置が備えるハードウェア並びに該ハードウェアを制御するソフトウェアによって構成され、以下の処理は、それぞれの制御部(例えば、CPU)が、OSの下で所定のソフトウェアに従い実行する処理である。
ステップS101において、CPU(レスポンス取得手段11、抽出手段12、記憶制御手段13)は、DNS分析を行い、ドメイン名とIPアドレスとを対応付けて、DNSマップ20に記憶させる。より具体的には、CPUは、DNSクエリに対するDNSレスポンスを取得し、DNSレスポンスに基づいて、DNSレスポンスに含まれるFQDNのうちホスト名を取り除き、ドメイン名と、IPアドレスとを抽出し、抽出したドメイン名とIPアドレスとを対応付けて、DNSマップ20に記憶させる。
ステップS102において、CPU(トラヒック取得手段14、ドメイン名抽出手段15)は、通信トラヒックを分析し、IPアドレスを抽出する。より具体的には、CPUは、ユーザ端末50とサーバ40との間の通信トラヒックを取得し、取得した通信トラヒックに用いられている、ユーザ端末50からサーバ40への送信IPアドレスを抽出する。
ステップS103において、CPU(ドメイン名抽出手段15)は、抽出したIPアドレスに、DNSマップ20において対応するドメイン名を取得する。より具体的には、CPUは、抽出したIPアドレスを用いてDNSマップ20を検索し、検索したIPアドレスに対応付けられたドメイン名を取得する。
ステップS104において、CPU(管理情報取得手段16)は、取得したドメイン名のドメイン名管理情報を取得する。より具体的には、CPUは、取得したドメイン名を用いてドメイン名管理情報サーバ60に問い合わせ、問い合わせたドメイン名に対応するドメイン名管理情報を取得する。
ステップS105において、CPU(通信サービス分類手段17)は、取得したドメイン名管理情報に基づいて、通信サービスを分類する。より具体的には、CPUは、取得したドメイン名管理情報に基づいて、ドメイン名を所有する通信サービス提供者に関する情報と、ドメイン名とを対応付けてサービス分類記憶手段21に記憶させることによって、通信サービスを分類する。さらに、CPUは、通信サービス提供者に関する情報のうち、複数の情報が互いに類似するドメイン名を、同一の通信サービスに関するドメイン名として分類する。
ステップS106において、CPU(通信サービス分類手段17)は、分類した情報を出力する。より具体的には、CPUは、サービス分類記憶手段21に記憶されたドメイン名と通信サービス提供者に関する情報との対応をディスプレイに表示したり、ファイルとして出力したりする。
図7は、本発明の一実施形態に係る通信サービス分類装置10によるサービス分類記憶手段21の例を示す図である。図7が示すように図7の例は、通信サービス分類装置10が、通信サービス提供者に関する情報のうち登録者名等が類似しているドメイン名同士をサービス分類S1とし、サービス分類S1に分類されるドメイン名であって、通信サービス提供者に関する情報のうち登録者名等以外の他の情報が類似している(例えば、Eメールアドレスのドメイン名同士が同一の場合や、ネームサーバ同士が同一の場合等)ドメイン名を、同一のサービス分類S1−1という、S1に分類した中でさらにグループ化していることを示している。
また、図7の例は、通信サービス分類装置10が、通信サービス提供者に関する情報のうち登録者名等が互いに類似し、かつ、トラヒックの統計情報のうち同一ユーザによる通信開始時刻が近接しているドメイン名同士を、サービス分類S1−2という、サービス分類S1の中の別のグループ(例えば、コンテンツ配信サービス)としていることを示している。同様に、図7の例は、通信サービス分類装置10が、通信サービス提供者に関する情報のうち登録者名等がサービス分類S1と類似しているドメイン名同士を、サービス分類S1−3という、サービス分類S1の中のさらに別のグループ(例えば、メールサービス等)としていることを示している。
また、図7の例は、通信サービス分類装置10が、通信サービス提供者に関する情報のうち登録者名等が互いに類似し、かつ、トラヒックの統計情報のうち同一ユーザによる通信開始時刻が近接しているドメイン名同士を、サービス分類S1−2という、サービス分類S1の中の別のグループ(例えば、コンテンツ配信サービス)としていることを示している。同様に、図7の例は、通信サービス分類装置10が、通信サービス提供者に関する情報のうち登録者名等がサービス分類S1と類似しているドメイン名同士を、サービス分類S1−3という、サービス分類S1の中のさらに別のグループ(例えば、メールサービス等)としていることを示している。
本実施形態によれば、通信サービス分類装置10は、DNSマップ20及びサービス分類記憶手段21を備え、ユーザが通信サービスを利用するためにユーザ端末50がアクセスするドメインについてドメイン名管理情報を取得し、取得したドメイン名管理情報に基づいて、通信サービス提供者に関する情報とドメイン名とを対応付けてサービス分類記憶手段21に記憶させることによって、通信サービスを分類する。通信サービス分類装置10は、サービス分類記憶手段21に記憶された情報であって通信サービス提供者に関する情報のうち、複数の情報が互いに類似するドメイン名を、同一の通信サービスに関するドメイン名として分類する。
さらに、通信サービス分類装置10は、ドメイン名とドメイン名管理情報とを対応付けて記憶するドメイン名管理情報記憶手段22(例えば、キャッシュとして)を備え、ドメイン名を用いて、ドメイン名管理情報記憶手段22を検索することによってドメイン名管理情報を取得し、取得したドメイン名管理情報に基づいて通信サービスを分類する。
したがって、通信サービス分類装置10は、通信サービスの提供者を特定し、通信ネットワークの利用状況を把握するための情報を作成することができる。
さらに、通信サービス分類装置10は、ドメイン名とドメイン名管理情報とを対応付けて記憶するドメイン名管理情報記憶手段22(例えば、キャッシュとして)を備え、ドメイン名を用いて、ドメイン名管理情報記憶手段22を検索することによってドメイン名管理情報を取得し、取得したドメイン名管理情報に基づいて通信サービスを分類する。
したがって、通信サービス分類装置10は、通信サービスの提供者を特定し、通信ネットワークの利用状況を把握するための情報を作成することができる。
以上、本発明の実施形態について説明したが、本発明は上述した実施形態に限るものではない。また、本発明の実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本発明の実施形態に記載されたものに限定されるものではない。
10 通信サービス分類装置
11 レスポンス取得手段
12 抽出手段
13 記憶制御手段
14 トラヒック取得手段
15 ドメイン名抽出手段
16 管理情報取得手段
17 通信サービス分類手段
18 管理情報記憶制御手段
20 DNSマップ
21 サービス分類記憶手段
22 ドメイン名管理情報記憶手段
30 DNSサーバ
40 サーバ
50 ユーザ端末
60 ドメイン名管理情報サーバ
70 通信網
11 レスポンス取得手段
12 抽出手段
13 記憶制御手段
14 トラヒック取得手段
15 ドメイン名抽出手段
16 管理情報取得手段
17 通信サービス分類手段
18 管理情報記憶制御手段
20 DNSマップ
21 サービス分類記憶手段
22 ドメイン名管理情報記憶手段
30 DNSサーバ
40 サーバ
50 ユーザ端末
60 ドメイン名管理情報サーバ
70 通信網
Claims (5)
- ユーザ端末とサーバとの通信トラヒックに基づいて、前記ユーザ端末によって利用されている通信サービスを分類する通信サービス分類装置であって、
前記ユーザ端末とDNSサーバとの通信において、DNSクエリに対するDNSレスポンスを取得するレスポンス取得手段と、
前記レスポンス取得手段によって取得された前記DNSレスポンスに基づいて、前記ユーザ端末が前記DNSサーバに問合わせたドメイン名と、前記DNSサーバが回答したIPアドレスとを抽出する抽出手段と、
前記抽出手段によって抽出された前記ドメイン名と前記IPアドレスとを対応付けて、DNSマップに記憶させる記憶制御手段と、
前記ユーザ端末と前記サーバとの間の通信トラヒックを取得するトラヒック取得手段と、
前記トラヒック取得手段によって取得された前記通信トラヒックに用いられている、前記ユーザ端末から前記サーバへの送信IPアドレスを抽出し、抽出した前記送信IPアドレスに前記DNSマップにおいて対応付けられた前記ドメイン名を抽出するドメイン名抽出手段と、
前記ドメイン名抽出手段によって抽出された前記ドメイン名を用いて、前記ドメイン名を管理するためのドメイン名管理情報を取得する管理情報取得手段と、
前記管理情報取得手段によって取得された前記ドメイン名管理情報に基づいて、前記ドメイン名を所有する通信サービス提供者に関する情報と、前記ドメイン名とを対応付けてサービス分類記憶手段に記憶させることによって、前記通信サービスを分類する通信サービス分類手段と、
を備える通信サービス分類装置。 - 前記通信サービス分類手段は、前記サービス分類記憶手段に記憶された情報であって前記通信サービス提供者に関する情報のうち、複数の情報が互いに類似する前記ドメイン名を、同一の通信サービスに関するドメイン名として分類する、
請求項1に記載の通信サービス分類装置。 - 前記ドメイン名を用いて前記ドメイン名管理情報を取得し、前記ドメイン名と前記ドメイン名管理情報とを対応付けて記憶するドメイン名管理情報記憶手段に記憶させる管理情報記憶制御手段をさらに備え、
前記管理情報取得手段は、前記ドメイン名を用いて、前記ドメイン名管理情報記憶手段を検索することによって前記ドメイン名管理情報を取得し、
前記通信サービス分類手段は、前記管理情報取得手段によって取得された前記ドメイン名管理情報に基づいて前記通信サービスを分類する、
請求項1又は2に記載の通信サービス分類装置。 - 請求項1に記載の通信サービス分類装置が実行する方法であって、
前記レスポンス取得手段が、前記ユーザ端末とDNSサーバとの通信において、DNSクエリに対するDNSレスポンスを取得するレスポンス取得ステップと、
前記抽出手段が、前記レスポンス取得ステップによって取得された前記DNSレスポンスに基づいて、前記ユーザ端末が前記DNSサーバに問合わせたドメイン名と、前記DNSサーバが回答したIPアドレスとを抽出する抽出ステップと、
前記記憶制御手段が、前記抽出ステップによって抽出された前記ドメイン名と前記IPアドレスとを対応付けて、DNSマップに記憶させる記憶制御ステップと、
前記トラヒック取得手段が、前記ユーザ端末と前記サーバとの間の通信トラヒックを取得するトラヒック取得ステップと、
前記ドメイン名抽出手段が、前記トラヒック取得ステップによって取得された前記通信トラヒックに用いられている、前記ユーザ端末から前記サーバへの送信IPアドレスを抽出し、抽出した前記送信IPアドレスに前記DNSマップにおいて対応付けられた前記ドメイン名を抽出するドメイン名抽出ステップと、
前記管理情報取得手段が、前記ドメイン名抽出ステップによって抽出された前記ドメイン名を用いて、前記ドメイン名を管理するためのドメイン名管理情報を取得する管理情報取得ステップと、
前記通信サービス分類手段が、前記管理情報取得ステップによって取得された前記ドメイン名管理情報に基づいて、前記ドメイン名を所有する通信サービス提供者に関する情報と、前記ドメイン名とを対応付けてサービス分類記憶手段に記憶させることによって、前記通信サービスを分類する通信サービス分類ステップと、
を備える方法。 - コンピュータに、請求項4に記載の方法の各ステップを実行させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014060165A JP6170001B2 (ja) | 2014-03-24 | 2014-03-24 | 通信サービス分類装置、方法及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014060165A JP6170001B2 (ja) | 2014-03-24 | 2014-03-24 | 通信サービス分類装置、方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015186001A JP2015186001A (ja) | 2015-10-22 |
| JP6170001B2 true JP6170001B2 (ja) | 2017-07-26 |
Family
ID=54352113
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014060165A Expired - Fee Related JP6170001B2 (ja) | 2014-03-24 | 2014-03-24 | 通信サービス分類装置、方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6170001B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6493426B2 (ja) | 2017-02-02 | 2019-04-03 | 日本電気株式会社 | 通信システム、通信制御方法および通信プログラム |
| JP7095619B2 (ja) * | 2019-02-19 | 2022-07-05 | 日本電信電話株式会社 | 予測装置、予測方法及びプログラム |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011193343A (ja) * | 2010-03-16 | 2011-09-29 | Kddi Corp | 通信ネットワーク監視システム |
| JP2011215713A (ja) * | 2010-03-31 | 2011-10-27 | Nippon Telegr & Teleph Corp <Ntt> | アクセス履歴情報収集システム、広告情報配信システム、アクセス履歴情報収集方法、広告情報配信方法、アクセス履歴情報収集装置および広告情報配信制御装置 |
| JP5770652B2 (ja) * | 2012-01-31 | 2015-08-26 | 日本電信電話株式会社 | 送信元・宛先組織特定装置及び方法及びプログラム |
-
2014
- 2014-03-24 JP JP2014060165A patent/JP6170001B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015186001A (ja) | 2015-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Gasser et al. | Clusters in the expanse: Understanding and unbiasing IPv6 hitlists | |
| US10361931B2 (en) | Methods and apparatus to identify an internet domain to which an encrypted network communication is targeted | |
| US9571516B1 (en) | Cloud service usage monitoring system | |
| AU2020386847B2 (en) | Asset search and discovery system using graph data structures | |
| CN109905288B (zh) | 一种应用服务分类方法及装置 | |
| US20120158996A1 (en) | Identifying an efficient destination server | |
| CN108616544B (zh) | 用于检测对域名系统记录系统的更新的方法、系统和介质 | |
| US20100305990A1 (en) | Device classification system | |
| US10735370B1 (en) | Name based internet of things (IoT) data discovery | |
| US10608981B2 (en) | Name identification device, name identification method, and recording medium | |
| CN110795434A (zh) | 一种构建服务属性数据库的方法及装置 | |
| CN104202418B (zh) | 为内容提供商推荐商业的内容分发网络的方法和系统 | |
| JP6170001B2 (ja) | 通信サービス分類装置、方法及びプログラム | |
| US11394687B2 (en) | Fully qualified domain name (FQDN) determination | |
| Li et al. | CDN-hosted domain detection with supervised machine learning through DNS records | |
| KR100342107B1 (ko) | 인터넷 주소 부가정보 서비스 제공을 위한 기관 및 지역별 인터넷 주소 묶음결정 방법, 인터넷 주소 묶음별 사용지역 정보 획득 방법 | |
| CN112015910B (zh) | 域名知识库的生成方法、装置、计算机设备及存储介质 | |
| US20230130418A1 (en) | Local network device connection control | |
| JP6109645B2 (ja) | サービス推定装置及び方法 | |
| Gañán | WHOIS sunset? A primer in Registration Data Access Protocol (RDAP) performance. | |
| EP3800833B1 (en) | Deep packet inspection application classification systems and methods | |
| Voronov et al. | Determining OS and applications by DNS traffic analysis | |
| CN113065078B (zh) | 模拟用户行为拨测web网站多级域名的统计分析方法 | |
| CN117041070B (zh) | 一种网络空间测绘节点发现与归属判别方法和装置 | |
| Spring | Large scale DNS traffic analysis of malicious Internet activity with a focus on evaluating the response time of blocking phishing sites |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160721 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170525 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170613 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170629 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6170001 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |