JP5872396B2 - クエリ発生周期の安定度を利用した端末情報推定装置、dnsサーバ、プログラム及び方法 - Google Patents
クエリ発生周期の安定度を利用した端末情報推定装置、dnsサーバ、プログラム及び方法 Download PDFInfo
- Publication number
- JP5872396B2 JP5872396B2 JP2012148077A JP2012148077A JP5872396B2 JP 5872396 B2 JP5872396 B2 JP 5872396B2 JP 2012148077 A JP2012148077 A JP 2012148077A JP 2012148077 A JP2012148077 A JP 2012148077A JP 5872396 B2 JP5872396 B2 JP 5872396B2
- Authority
- JP
- Japan
- Prior art keywords
- query
- type
- name
- software
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Description
本発明は、複数の端末が接続されたネットワークの管理・監視の技術に関する。
ネットワーク管理者は、ネットワークの安定した運用を維持するため、ネットワーク利用者の利用環境及び利用状況を把握しなければならない。この把握によって、通信障害の原因となる利用者の行為を未然に防止したり、将来の通信量増加の程度を予測し必要な通信設備の増強を図ったりすることが可能となる。
しかしながら、ネットワーク管理者が利用者の利用実態を十分に把握することは一般に困難である。例えば、インターネット接続業者(ISP:Internet Service Provider)とそのユーザとのように、管理者と利用者とが異なる組織に属している場合、管理者が利用者の利用状況を監視することは難しい。特に、利用者が各々の好みにあった端末を選定して、任意のアプリケーションを自らインストールする場合、管理者は、このような利用者の状況を把握しづらい。
一方、企業内ネットワークのように、利用者のネットワーク利用が厳しく規定されている場合でも、利用者が、許可されていない端末を接続して規定外の利用を行う事態を許してしまう事例が存在する。また、例えば企業内のネットワークが国内外に及ぶ場合、利用状況を物理的に監視して直接把握することは極めて難しい。
このような状況下で、現在、利用者による通信のみを監視し、通信そのものから利用者の利用環境及び利用状況を把握する技術が検討されている。
例えば、非特許文献1には、TCP/IP(Transmission Control Protocol/Internet Protocol)における、オペレーティングシステム(OS: Operating System)に固有の振る舞いを監視することによって、利用者の各端末に搭載されたOS種別を識別する方法が開示されている。ここで、監視は受動的に(自らパケットを送信せずに)実施される。
さらに、非特許文献2には、同じくTCP/IPにおけるOS固有の振る舞いを利用するが、受動的監視のみならず能動的な(自らパケットを送信する)検査を実施することによって、より精度の高いOS種別の判別を図った識別方法が開示されている。
また、非特許文献3には、HTTP(Hypertext Transfer Protocol)ヘッダに含まれる、OS又はアプリケーションに固有の文字列を抽出し組み合わせて、利用者端末に搭載されたウェブブラウザ(Web Browser)種別を識別する技術が開示されている。
さらに、非特許文献4には、DNS(Domain Name System)クエリのパターンを分析し、クエリパターンの時間差とパターン出現数との関係から、OS種別及びウェブブラウザ種別を識別する方法が開示されている。ここで、本方法は、IPv4(Internet Protocol version 4)とIPv6(Internet Protocol version 6)とが混在している通信環境を前提としている。
Passive OS Fingerprinting (p0f)、「the new p0f:2.0.8 (2006-09-06)」、[online]、[平成24年1月19日検索]、インターネット<URL: http://lcamtuf.coredump.cx/p0f.shtml>
Nmap Fingerprint、「Understanding an NmapFingerprint」、[online]、[平成24年1月19日検索]、インターネット<URL: http://nmap.org/book/osdetect-fingerprint-format.html>
Peter Eckersley、ELECTRONIC FRONTIERFOUNDATION 「How Unique Is Your Web Browser?」、[online]、[平成24年1月19日検索]、インターネット<URL: http://panopticlick.eff.org/browser-uniqueness.pdf>
川口敬、早稲田大学理工学部コンピュータ・ネットワーク工学科後藤研究室B4 1G06R055-7 卒業論文発表、「DNSクエリーパターンを用いたOSの推定」、[online]、[平成24年1月19日検索]、インターネット<URL: http://www.goto.info.waseda.ac.jp/forB4/pdf-th/2009/0201_kawaguchi.pdf>
しかしながら、上述したような従来技術を用いても、ISPレベルの大規模なネットワーク全体における、端末種別や端末に搭載されたソフトウェア種別(OS種別及びアプリケーション種別)といった端末情報を推定することは、非常に困難である。
例えば、非特許文献1及び3の技術では、基本的にネットワーク上の通信を全て取得する必要がある。その結果、これらの技術を広帯域である基幹回線に適用する場合、導入コストが莫大となり実現性が低下する。一方、大規模ネットワークの末端部に適用する場合、末端部での監視箇所の数が膨大となってしまう。
また、非特許文献1及び2の技術では、TCP/IPの特徴を利用するので、OS種別を識別することしかできず、OS上で発動するアプリケーション種別までは識別できない。一方、非特許文献3の技術では、HTTPヘッダの特徴を利用するので、アプリケーションのうちウェブブラウザ種別を識別することしかできない。
さらに、非特許文献4の技術では、IPv4とIPv6とが混在している通信環境であることが前提となるため、IPv4又はIPv6単独の環境では、OS種別を識別することができない。従って、IPv6への全面移行の際には、当該技術は適用不可能となる。
また、特に、非特許技術2の技術では、管理者が自らパケットを送信するといった能動的な検査を実施する必要がある。その結果、自身の管理下にはないネットワークの利用者に検査用のパケットを送信しようとしても、受け入れられない可能性が高い。さらに、利用者側のネットワークにファイアウォール(Firewall)、又はNAT(Network Address Translation)等のフィルタリング機構が設けられている場合、非特許技術2の技術は、適用不可能である。
また、端末が携帯電話等のモバイル機器の場合、端末が数分間乃至数時間のオーダで別の通信エリアに移動してしまう可能性が生じる。このため、上述したような従来技術では、実際の端末情報を適宜取得することが更に困難となってしまう。従って、端末種別、ソフトウェア種別、並びにこれらに対応する端末の総数といった端末情報を推定するためには、通信ネットワーク上でのパケット監視・解析を、適切な判定基準に基づいて、できるだけ短時間で行う必要がある。
そこで、本発明は、ネットワーク全体におけるソフトウェア種別毎の総数を含む端末情報を、受動的に、短時間で高い精度をもって推定することができる端末情報推定装置、サーバ、プログラム及び方法を提供することを目的とする。
本発明によれば、DNSサーバに、ネットワークを介し、照会名を含むクエリであって、搭載されたソフトウェアで使用される名前を解決するためのクエリを発信する複数の端末における端末情報を推定する端末情報推定装置であって、
当該照会名毎に、当該照会名に対応するソフトウェア種別と、当該クエリの発生する時間間隔であるクエリ発生周期と、少なくとも当該クエリの発生する時間間隔の分布における分散から決定される周期安定度とを記録した判定規則であって、少なくとも1組の複数の照会名の各々に同一のソフトウェア種別が対応した判定規則を登録する判定規則登録手段と、
当該端末から発信された当該クエリを収集するクエリ収集手段と、
収集された各クエリに含まれる照会名を抽出して、判定規則登録手段を用いて当該照会名に対応するソフトウェア種別を識別し、当該照会名毎に、所定時間内に収集された当該照会名を含むクエリの数をカウントする種別識別・計数手段と、
上記1組に含まれる複数の照会名の各々について、対応するクエリ発生周期とカウントされたクエリ数とから対応する当該ソフトウェア種別の仮総数を算出し、算出された複数の当該仮総数を、当該複数の照会名の各々に対応する周期安定度をもって加重平均して当該ソフトウェア種別の総数を推定する総数推定手段と
を有する端末情報推定装置が提供される。
当該照会名毎に、当該照会名に対応するソフトウェア種別と、当該クエリの発生する時間間隔であるクエリ発生周期と、少なくとも当該クエリの発生する時間間隔の分布における分散から決定される周期安定度とを記録した判定規則であって、少なくとも1組の複数の照会名の各々に同一のソフトウェア種別が対応した判定規則を登録する判定規則登録手段と、
当該端末から発信された当該クエリを収集するクエリ収集手段と、
収集された各クエリに含まれる照会名を抽出して、判定規則登録手段を用いて当該照会名に対応するソフトウェア種別を識別し、当該照会名毎に、所定時間内に収集された当該照会名を含むクエリの数をカウントする種別識別・計数手段と、
上記1組に含まれる複数の照会名の各々について、対応するクエリ発生周期とカウントされたクエリ数とから対応する当該ソフトウェア種別の仮総数を算出し、算出された複数の当該仮総数を、当該複数の照会名の各々に対応する周期安定度をもって加重平均して当該ソフトウェア種別の総数を推定する総数推定手段と
を有する端末情報推定装置が提供される。
この本発明の端末情報推定装置として、照会名毎に、当該照会名を含む当該クエリの発生する時間間隔の平均であるクエリ発生周期と、少なくとも当該クエリの発生する当該時間間隔の分布における分散から決定される周期安定度とを記録していることも好ましい。
また、本発明の端末情報推定装置として、ソフトウェア種別は、OS種別及び/又はアプリケーション種別であり、照会名は、当該OS種別及び/又はアプリケーション種別におけるソフトウェア更新確認時の、又は処理実行に必要な情報要求時の接続先アドレスを含むことも好ましい。
さらに、本発明の端末情報推定装置における一実施形態として、判定規則は、当該照会名毎に、当該照会名に対応する端末種別と、当該クエリの発生する時間間隔であるクエリ発生周期と、少なくとも当該クエリの発生する時間間隔の分布における分散から決定される周期安定度とを更に記録したものであって、この判定規則において少なくとも1組の複数の照会名の各々に同一の端末種別が対応しており、
種別識別・計数手段は、さらに、収集された各クエリに含まれる照会名を抽出して、当該照会名に対応する端末種別を識別し、当該照会名毎に、所定時間内に収集された当該照会名を含むクエリの数をカウントし、
総数推定手段は、さらに、前記1組に含まれる複数の照会名の各々について、対応するクエリ発生周期とカウントされたクエリ数とから対応する当該端末種別の仮総数を算出し、算出された複数の当該仮総数を、当該複数の照会名の各々に対応する周期安定度をもって加重平均して当該端末種別の総数を推定することも好ましい。
種別識別・計数手段は、さらに、収集された各クエリに含まれる照会名を抽出して、当該照会名に対応する端末種別を識別し、当該照会名毎に、所定時間内に収集された当該照会名を含むクエリの数をカウントし、
総数推定手段は、さらに、前記1組に含まれる複数の照会名の各々について、対応するクエリ発生周期とカウントされたクエリ数とから対応する当該端末種別の仮総数を算出し、算出された複数の当該仮総数を、当該複数の照会名の各々に対応する周期安定度をもって加重平均して当該端末種別の総数を推定することも好ましい。
また、本発明の端末情報推定装置における他の実施形態として、ソフトウェア種別は、OS種別及びアプリケーション種別であり、
本端末情報推定装置は、
1つの端末内で、当該端末に搭載可能なOS種別と、当該端末に搭載されたOS種別上で動作可能なアプリケーション種別とを含むソフトウェア種別の組合せを、共存可能な複数のソフトウェア種別の組合せとして登録する共存種別登録手段と、
クエリの発信元アドレス毎に、異なるソフトウェア種別を含む複数のクエリが受信された際に、共存種別登録手段を用いてこれら異なるソフトウェア種別が共存し得る関係にあるか否かを判定する共存種別判定手段と
を更に有しており、
種別識別・計数手段は、共存種別判定手段が真の判定を行った際、当該発信元アドレスを含んでおり当該ソフトウェア種別に対応するクエリをカウント対象とすることも好ましい。
本端末情報推定装置は、
1つの端末内で、当該端末に搭載可能なOS種別と、当該端末に搭載されたOS種別上で動作可能なアプリケーション種別とを含むソフトウェア種別の組合せを、共存可能な複数のソフトウェア種別の組合せとして登録する共存種別登録手段と、
クエリの発信元アドレス毎に、異なるソフトウェア種別を含む複数のクエリが受信された際に、共存種別登録手段を用いてこれら異なるソフトウェア種別が共存し得る関係にあるか否かを判定する共存種別判定手段と
を更に有しており、
種別識別・計数手段は、共存種別判定手段が真の判定を行った際、当該発信元アドレスを含んでおり当該ソフトウェア種別に対応するクエリをカウント対象とすることも好ましい。
さらに、本発明の端末情報推定装置における他の実施形態として、複数の端末の発信元アドレスにおける所定アドレス範囲毎に、ネットワーク種別を予め登録するネットワーク種別登録手段を更に有し、
種別識別・計数手段は、識別対象となるクエリについて、ネットワーク種別登録手段を用いて、当該クエリの発信元アドレスからネットワーク種別を更に識別することも好ましい。
種別識別・計数手段は、識別対象となるクエリについて、ネットワーク種別登録手段を用いて、当該クエリの発信元アドレスからネットワーク種別を更に識別することも好ましい。
本発明によれば、さらに、照会名を含むクエリであって、搭載されたソフトウェアで使用される名前を解決するためのクエリを発信する複数の端末における端末情報を推定する機能を搭載したDNSサーバであって、
当該照会名毎に、当該照会名に対応するソフトウェア種別と、当該クエリの発生する時間間隔であるクエリ発生周期と、少なくとも当該クエリの発生する時間間隔の分布における分散から決定される周期安定度とを記録した判定規則であって、少なくとも1組の複数の照会名の各々に同一のソフトウェア種別が対応した判定規則を登録する判定規則登録手段と、
当該端末から発信された当該クエリを収集するクエリ収集手段と、
収集された各クエリに含まれる照会名を抽出して、判定規則登録手段を用いて当該照会名に対応するソフトウェア種別を識別し、当該照会名毎に、所定時間内に収集された当該照会名を含むクエリの数をカウントする種別識別・計数手段と、
上記1組に含まれる複数の照会名の各々について、対応するクエリ発生周期とカウントされたクエリ数とから対応する当該ソフトウェア種別の仮総数を算出し、算出された複数の当該仮総数を、当該複数の照会名の各々に対応する周期安定度をもって加重平均して当該ソフトウェア種別の総数を推定する総数推定手段と
を有するDNSサーバが提供される。
当該照会名毎に、当該照会名に対応するソフトウェア種別と、当該クエリの発生する時間間隔であるクエリ発生周期と、少なくとも当該クエリの発生する時間間隔の分布における分散から決定される周期安定度とを記録した判定規則であって、少なくとも1組の複数の照会名の各々に同一のソフトウェア種別が対応した判定規則を登録する判定規則登録手段と、
当該端末から発信された当該クエリを収集するクエリ収集手段と、
収集された各クエリに含まれる照会名を抽出して、判定規則登録手段を用いて当該照会名に対応するソフトウェア種別を識別し、当該照会名毎に、所定時間内に収集された当該照会名を含むクエリの数をカウントする種別識別・計数手段と、
上記1組に含まれる複数の照会名の各々について、対応するクエリ発生周期とカウントされたクエリ数とから対応する当該ソフトウェア種別の仮総数を算出し、算出された複数の当該仮総数を、当該複数の照会名の各々に対応する周期安定度をもって加重平均して当該ソフトウェア種別の総数を推定する総数推定手段と
を有するDNSサーバが提供される。
本発明によれば、さらにまた、DNSサーバに、ネットワークを介し、照会名を含むクエリであって、搭載されたソフトウェアで使用される名前を解決するためのクエリを発信する複数の端末における端末情報を推定するようにコンピュータを機能させる端末情報推定プログラムであって、
当該照会名毎に、当該照会名に対応するソフトウェア種別と、当該クエリの発生する時間間隔であるクエリ発生周期と、少なくとも当該クエリの発生する時間間隔の分布における分散から決定される周期安定度とを記録した判定規則であって、少なくとも1組の複数の照会名の各々に同一のソフトウェア種別が対応した判定規則を登録する判定規則登録手段と、
当該端末から発信された当該クエリを収集するクエリ収集手段と、
収集された各クエリに含まれる照会名を抽出して、判定規則登録手段を用いて当該照会名に対応するソフトウェア種別を識別し、当該照会名毎に、所定時間内に収集された当該照会名を含むクエリの数をカウントする種別識別・計数手段と、
上記1組に含まれる複数の照会名の各々について、対応するクエリ発生周期とカウントされたクエリ数とから対応する当該ソフトウェア種別の仮総数を算出し、算出された複数の当該仮総数を、当該複数の照会名の各々に対応する周期安定度をもって加重平均して当該ソフトウェア種別の総数を推定する総数推定手段と
してコンピュータを機能させる端末情報推定プログラムが提供される。
当該照会名毎に、当該照会名に対応するソフトウェア種別と、当該クエリの発生する時間間隔であるクエリ発生周期と、少なくとも当該クエリの発生する時間間隔の分布における分散から決定される周期安定度とを記録した判定規則であって、少なくとも1組の複数の照会名の各々に同一のソフトウェア種別が対応した判定規則を登録する判定規則登録手段と、
当該端末から発信された当該クエリを収集するクエリ収集手段と、
収集された各クエリに含まれる照会名を抽出して、判定規則登録手段を用いて当該照会名に対応するソフトウェア種別を識別し、当該照会名毎に、所定時間内に収集された当該照会名を含むクエリの数をカウントする種別識別・計数手段と、
上記1組に含まれる複数の照会名の各々について、対応するクエリ発生周期とカウントされたクエリ数とから対応する当該ソフトウェア種別の仮総数を算出し、算出された複数の当該仮総数を、当該複数の照会名の各々に対応する周期安定度をもって加重平均して当該ソフトウェア種別の総数を推定する総数推定手段と
してコンピュータを機能させる端末情報推定プログラムが提供される。
本発明によれば、さらに、DNSサーバに、ネットワークを介し、照会名を含むクエリであって、搭載されたソフトウェアで使用される名前を解決するためのクエリを発信する複数の端末における端末情報を推定する端末情報推定方法であって、
当該照会名毎に、当該照会名に対応するソフトウェア種別と、当該クエリの発生する時間間隔であるクエリ発生周期と、当該クエリの発生する当該時間間隔の分布における分散、尖度及び歪度から決定される周期安定度とを記録した判定規則であって、少なくとも1組の複数の照会名の各々に同一のソフトウェア種別が対応した判定規則を登録する判定規則登録手段を用い、
当該端末から発信された当該クエリを収集する第1のステップと、
収集された各クエリに含まれる照会名を抽出して、判定規則登録手段を用いて当該照会名に対応するソフトウェア種別を識別し、当該照会名毎に、所定時間内に収集された当該照会名を含むクエリの数をカウントする第2のステップと、
上記1組に含まれる複数の照会名の各々について、対応するクエリ発生周期とカウントされたクエリ数とから対応する当該ソフトウェア種別の仮総数を算出し、算出された複数の当該仮総数を、当該複数の照会名の各々に対応する周期安定度をもって加重平均して当該ソフトウェア種別の総数を推定する第3のステップと
を有する端末情報推定方法が提供される。
当該照会名毎に、当該照会名に対応するソフトウェア種別と、当該クエリの発生する時間間隔であるクエリ発生周期と、当該クエリの発生する当該時間間隔の分布における分散、尖度及び歪度から決定される周期安定度とを記録した判定規則であって、少なくとも1組の複数の照会名の各々に同一のソフトウェア種別が対応した判定規則を登録する判定規則登録手段を用い、
当該端末から発信された当該クエリを収集する第1のステップと、
収集された各クエリに含まれる照会名を抽出して、判定規則登録手段を用いて当該照会名に対応するソフトウェア種別を識別し、当該照会名毎に、所定時間内に収集された当該照会名を含むクエリの数をカウントする第2のステップと、
上記1組に含まれる複数の照会名の各々について、対応するクエリ発生周期とカウントされたクエリ数とから対応する当該ソフトウェア種別の仮総数を算出し、算出された複数の当該仮総数を、当該複数の照会名の各々に対応する周期安定度をもって加重平均して当該ソフトウェア種別の総数を推定する第3のステップと
を有する端末情報推定方法が提供される。
本発明の端末情報推定装置、DNSサーバ、プログラム及び方法によれば、ネットワーク全体におけるソフトウェア種別(OS種別及び/又はアプリケーション種別)毎の総数を含む端末情報を、受動的に、短時間で高い精度をもって推定することができる。
以下では、本発明の実施形態について、図面を用いて詳細に説明する。
[端末情報推定装置が接続されるネットワーク]
図1は、本発明による端末情報推定装置が接続されるネットワークの構成図である。
図1は、本発明による端末情報推定装置が接続されるネットワークの構成図である。
図1によれば、端末情報推定装置1は、多数の端末2に搭載されたソフトウェア種別(OS種別、アプリケーション種別)及びこれら端末2の端末種別(端末メーカー、型番)といった端末情報を識別し、各種別の総数を推定する装置である。端末情報推定装置1は、後に説明する判定規則生成装置8によって生成された「判定規則」を受信又は取得し、この端末情報の推定に利用する。
ここで、端末2は、スマートフォン、タブレット型コンピュータ、又はパーソナルコンピュータ等の情報機器であり、アクセスネットワーク30〜32を含むプロバイダネットワーク3を介してインターネット7に接続される。
また、アクセスネットワーク30〜32はそれぞれ、例えば、固定系ネットワーク、Wi−Fi(登録商標)等の無線LAN、及び3G(3rd Generation)である。このうち、固定系ネットワークとして、光ファイバ網、及びADSL(Asymmetric Digital Subscriber Line)等を採用することができる。さらに、アクセスネットワークとして、WiMAX(Worldwide Interoperability for Microwave Access)、及びLTE(Long Term Evolution)等の他の無線系ネットワークを採用することも可能である。また、プロバイダネットワーク3は、例えばIMS(IP Multimedia Subsystem)4によって、これらアクセスネットワーク30〜32を介した通信を制御する事業者ネットワークである。
DNSサーバ5は、プロバイダネットワーク3に接続された端末2からの名前解決要求を受け付ける。具体的に、各端末2は、OS及びアプリケーション等のソフトウェアで使用されている名前を解決する必要がある場合に、DNSクエリ(query)をDNSサーバ5に送信する。DNSサーバ5は、DNSクエリを受け取ると、他のDNSサーバと通信して又は自ら名前を解決して、応答(リソースレコード)をクエリ発信元の端末2に送信する。
ここで、各端末2に搭載されたOS、及びウェブブラウザ等の多くのアプリケーションは、通常、インターネット7を通して自らの更新を行う。このため、そのソフトウェア種別固有のドメイン名のサイトに定期的に接続を試みる。従って、各端末2は、そのソフトウェア種別固有の時間間隔をもって、この固有のドメイン名を照会名として含むDNSクエリを、DNSサーバ5宛てに送信する。
例えば、OS種別毎の更新確認時の照会名は、以下の通りである。
《OS種別OSr》 《照会名Nd》
Windows OS(Microsoft社) download.windowsupdate.com
Android(Google社) android.clients.google.com
Mac OS(Apple社) swscan.apple.com
iOS(Apple社) push.apple.com、phobos.apple.com、
iphone-ld.apple.com
OS更新確認の時間間隔は、OS種別にもよるが、例えばApple社のiOSでは、12時間となる。
《OS種別OSr》 《照会名Nd》
Windows OS(Microsoft社) download.windowsupdate.com
Android(Google社) android.clients.google.com
Mac OS(Apple社) swscan.apple.com
iOS(Apple社) push.apple.com、phobos.apple.com、
iphone-ld.apple.com
OS更新確認の時間間隔は、OS種別にもよるが、例えばApple社のiOSでは、12時間となる。
また、アプリケーション種別の例として、代表的なウェブブラウザ毎の更新確認時の照会名は、例えば、以下の通りである。
《ウェブブラウザ》 《照会名Nd》
Mozilla Firefox(Mozilla Foundation) www.mozilla.com
Chrome(Google社) www.google.com
Opera(Opera Software社) autoupdate.opera.com
アプリケーション更新確認の時間間隔は、アプリケーション種別にもよるが、例えばアップル(Apple)社の「iCloud」では、1.5時間となる。
《ウェブブラウザ》 《照会名Nd》
Mozilla Firefox(Mozilla Foundation) www.mozilla.com
Chrome(Google社) www.google.com
Opera(Opera Software社) autoupdate.opera.com
アプリケーション更新確認の時間間隔は、アプリケーション種別にもよるが、例えばアップル(Apple)社の「iCloud」では、1.5時間となる。
さらに、各端末2に搭載されたソフトウェアに関連するDNSクエリの発信は、上述したようなソフトウェア更新確認時のみならず、ソフトウェア処理の実行に必要な情報要求時にも実施される。例えば、時刻合わせのための時刻情報の要求時、電子メールでのメールボックスの確認時、各種ソーシャルネットワーク・サービスにおける他者情報のチェック時等にも、DNSクエリが発信される。即ち、多くのソフトウェアでは、DNSサーバ3を利用して名前を解決してから通信を開始することが1つのパターンとなっている。
この際の照会名(接続先のドメイン名)には、ソフトウェア種別(OS種別、アプリケーション種別)、更には端末種別(端末メーカー、型番)に固有のものが多く存在する。さらに、例えば、1つのOS種別(例えば、Google社の提供するAndroidOS)であっても、異なる端末メーカーに搭載される場合が多く存在する。また、端末2に搭載された多くのソフトウェア種別は、立ち上げ毎に端末メーカーのサイトへアクセスする。ここで、同じ端末メーカーの端末でも型番によって、アクセスするサイトが異なる場合も生じる。従って、各端末2は、ソフトウェア種別に固有の照会先だけでなく、端末種別に固有の照会先をもって、DNSクエリをDNSサーバ3宛に送信する場合が多く存在する。
同じく図1において、判定規則生成装置8は、端末情報を推定するのに利用される「判定規則」を生成し、端末情報推定装置1に送信する。判定規則生成装置8は、例えば、自身に接続された複数の端末9による、いずれかのアクセスネットワーク(図1ではアクセスネットワーク32)を介した通信を仲介する位置に設置される。次いで、後に(図9を用いて)説明するように、これら複数の端末9から発信されるDNSクエリを解析して「判定規則」を生成する。この際、判定規則生成装置8は、接続された複数の端末9に係る情報(付与されたIP(Internet Protocol)アドレス、端末種別、搭載されたOS種別及びアプリケーション種別等)を予め登録し、「判定規則」の生成に利用する。
このような「判定規則」を生成するために、端末9は、例えば搭載された1つのOS種別及びアプリケーション種別につき10〜100台程度、判定規則生成装置8に接続されることも好ましい。当然に更に多くの端末9を接続することによって、より精度の高い「判定規則」を生成することも可能となる。また、信頼性の高い「判定規則」を得るために、端末9は、DNSクエリが収集される判定規則生成期間中、常時、接続が確立した状態に置かれることも好ましい。
判定規則生成装置8は、例えば24時間〜数ヶ月間連続して、端末9から発信されたDNSクエリの収集を行って「判定規則」を生成する。その際、判定規則生成装置8は、DNSクエリの発信元IPアドレス(端末9に付与されたIPアドレス)に対応付けて登録されたソフトウェア種別(OS種別又はアプリケーション種別)をこのDNSクエリの照会名に対応付けた上で、照会名毎に、「クエリ発生周期」と、「周期安定度」とを逐次算出し更新する。
ここで、本願発明者等は、多くのソフトウェア種別(OS種別、アプリケーション種別)において、ソフトウェア更新確認のためのDNSクエリに限らず、種々のDNSクエリの発信タイミングが、ソフトウェア種別固有の「クエリ発生周期」を有し得ることを見出した。
この「クエリ発生周期」は、対象となっているDNSクエリの発生時間間隔の平均値である。DNSクエリは、定期的なOS更新確認等、対応するソフトウェア種別(照会名)固有の時間間隔(周期)をもって発信される場合が多く、ソフトウェア種別(照会名)毎に「クエリ発生周期」が決定可能である。
但し、実際の名前解決の際には、前回のDNSクエリに対する応答としてキャッシュされたリソースレコードのTTL(Time To Live)に応じて所定の時間が指定され、この時間内にはクエリは発信されない(このリソースレコードで回答されたドメイン名が再利用される)。このような事情等があって、クエリ発生の時間間隔(周期)には変動が生じる。「周期安定度」は、この変動の少なさに相当し、後述するように、少なくとも「クエリ発生周期」の分布における分散から決定される。
判定規則生成装置8は、以上のようにして最終的に、照会名毎に、ソフトウェア種別を対応付けた上で、「クエリ発生周期」及び「周期安定度」を記載した「判定規則」を生成する。この判定規則生成装置8は、例えば、企業内ネットワークのルータの位置に設置可能である。さらに、判定規則生成装置8は、実際に運用されるネットワークから独立した実験系ネットワークと複数の端末9とを仲介するものであってもよい。いずれにしても、判定規則生成装置8は、複数の端末9全ての端末情報を管理・登録可能な環境に設置される。
一方、同じく図1に示すように、端末情報推定装置1は、プロバイダネットワーク3内におけるDNSサーバ5への回線に設けられたネットワークタップ(又はミラーリングハブ)6を介してネットワークに接続される。端末情報推定装置1は、通信インタフェース100と、クエリ収集部110と、種別識別・計数部111と、総数推定部117と、種別分布蓄積部118と、出力部101とを有している。
具体的に、端末情報推定装置1は、
(a)照会名毎に、後に説明する「クエリ発生周期」と「周期安定度」とを記録した「判定規則」であって、少なくとも1組の複数の照会名の各々に同一のソフトウェア種別が対応した「判定規則」である判定規則112tを登録し、
(b)クエリ収集部110によって、端末2から発信されたDNSクエリを、通信インタフェース100を介して収集し、
(c)種別識別・計数部111によって、収集された各DNSクエリに含まれる照会名を抽出して、判定規則112tを用いて当該照会名に対応するソフトウェア種別を識別し、照会名毎に、所定時間内に収集された当該照会名を含むDNSクエリの数をカウントし、
(d)総数推定部117によって、上述した1組に含まれる複数の照会名の各々について、対応する「クエリ発生周期」とカウントされたクエリ数とから、対応する当該ソフトウェア種別の仮総数を算出し、算出された複数の当該仮総数を、照会名の組における各照会名に対応する「周期安定度」をもって加重平均することによって、より高い精度で当該ソフトウェア種別の総数を推定する。
(a)照会名毎に、後に説明する「クエリ発生周期」と「周期安定度」とを記録した「判定規則」であって、少なくとも1組の複数の照会名の各々に同一のソフトウェア種別が対応した「判定規則」である判定規則112tを登録し、
(b)クエリ収集部110によって、端末2から発信されたDNSクエリを、通信インタフェース100を介して収集し、
(c)種別識別・計数部111によって、収集された各DNSクエリに含まれる照会名を抽出して、判定規則112tを用いて当該照会名に対応するソフトウェア種別を識別し、照会名毎に、所定時間内に収集された当該照会名を含むDNSクエリの数をカウントし、
(d)総数推定部117によって、上述した1組に含まれる複数の照会名の各々について、対応する「クエリ発生周期」とカウントされたクエリ数とから、対応する当該ソフトウェア種別の仮総数を算出し、算出された複数の当該仮総数を、照会名の組における各照会名に対応する「周期安定度」をもって加重平均することによって、より高い精度で当該ソフトウェア種別の総数を推定する。
尚、端末情報推定装置1は、アクセスネットワーク30〜32のゲートウェイ位置に設置されることも可能である。この場合、設置されたアクセスネットワーク内の端末種別及びソフトウェア種別、並びにこれら種別毎の総数を推定することになる。
[判定規則]
図2は、判定規則の一実施形態を示す構成図である。
図2は、判定規則の一実施形態を示す構成図である。
図2によれば、判定規則112tでは、照会名Nd毎に、ソフトウェア種別(OS種別及びアプリケーション種別)SWj、クエリタイプtq、クエリ発生周期Tq、及び周期安定度STが記録されている。また、照会名Nd毎に、端末種別TMi、クエリタイプtq、クエリ発生周期Tq、及び周期安定度STが記録されている。
ここで、クエリ発生周期Tqは、判定規則生成装置8において、端末9から受信したDNSクエリのうち、対象とする照会名Ndを有するクエリの数をカウントする際に測定される、当該クエリ発生の時間間隔の平均値(後述する式(10))である。また、周期安定度STは、これらクエリ発生の時間間隔の分布における分散Vq、尖度Kq及び歪度Sqの所定の平均値から求められる量(後述する式(14a)及び(14b))であり、クエリ発生の時間間隔(周期)に生じる変動の少なさに相当する。
この判定規則112tにおいて、OS種別の1つであるjOSは、3つの照会名Nd(abc.xxxupdate.com、efg.clients.com、及びhij.klmno.com)からなる組の各照会名Ndに対応している。従って、jOSを搭載した端末2からは、これら3つの照会名Ndをそれぞれ含む3種のDNSクエリが、それぞれのクエリ発生周期Tq及び周期安定度STをもって発生する。このように、判定規則112tでは、少なくとも1組の複数の照会名Ndの各々に、同一のソフトウェア種別SWjが対応して記録されている。
ここで、後に(図7のステップS701及びS702を用いて)詳述するように、いずれの照会名Ndに対応するデータ(クエリ発生周期Tq)を用いても、jOSを搭載した端末数(仮総数)を算出することができる。しかしながら、本発明による周期安定度STを用いることによって、算出された3つの端末数から、より精度の高い端末数を推定することができるのである。
このような理由から、判定規則112tにおいては、少なくとも1組の複数の照会名Ndに同一のソフトウェア種別が対応している。さらに、照会名Ndのいずれもが複数の照会名Ndからなる組をなしていてこれらの組の各々に同一のソフトウェア種別が対応していることが好ましい。即ち、1つのソフトウェア種別が必ず複数の照会名Ndに対応した形で記録されていて、それぞれの照会名Nd毎に独立したクエリ発生周期Tq及び周期安定度STが規定されていることが好ましい。
尚、最近の傾向では、移動端末に搭載されたOSにおいて、ポーリング系のアプリケーションを採用するケースが増加している。このため、1つのソフトウェア種別に対して複数個の照会名を規定し易くなっている。
また、判定規則112tには、照会名Nd毎にクエリ発生周期Tq及び周期安定度STが規定されるので、周期性の信頼度が高い(周期のばらつきが小さい)照会名Ndを、見出し、確認し、更には選別することも可能となる。例えば、周期安定度STが所定値以下(例えば0.2以下)である照会名Ndは、端末情報の算出・推定に使用しないとすることも可能である。実際、端末情報の推定においては、精度の高い端末情報(端末数)を得るために、どの照会名Ndを(どの程度)採用するが非常に重要となる。この点、周期安定度STは、その判断のための強力な指標となる。
尚、照会名Ndによっては、この照会名Ndがある特定のソフトウェア種別に固有の文字列である、と見なすことはできず、この照会名Ndに複数のソフトウェア種別が対応する場合も存在する。例えば、図2に示した判定規則112tによれば、照会名Nd:klm.bqq.comに対して2つのOS種別:NbdOS及びOSyyが対応している。この場合、照会名Nd:klm.bqq.comを含むクエリ数をカウントしても、本来そのカウント数が、NbdOSに係る端末数なのか又はOSyyに係る端末数なのかを判定することはできない。
しかしながら、NbdOSの場合のクエリ発生周期が538.7秒であるのに対し、OSyyの場合のクエリ発生周期は171850.1秒であり桁違いに長くなっている。その結果、NbdOSを搭載した端末2の台数とOSyyを搭載した端末2の台数との比が所定範囲内であるとの見込みの下、照会名Nd:klm.bqq.comを含むクエリのカウント数を、概ねNbdOSに係る端末数に対応すると近似することが可能となる。これにより、特定のソフトウェア種別に固有の文字列とはなっていない照会名Ndをも、総数(端末数)の推定に有効利用することができる場合が存在する。
[端末情報推定装置]
図3は、本発明による端末情報推定装置1の一実施形態を示す機能構成図である。また、図4は、端末情報推定に使用する各種テーブルの一実施形態を示す構成図である。
図3は、本発明による端末情報推定装置1の一実施形態を示す機能構成図である。また、図4は、端末情報推定に使用する各種テーブルの一実施形態を示す構成図である。
図3に示すように、端末情報推定装置1は、通信インタフェース100と、出力部101と、クエリ収集部110と、種別識別・計数部111と、判定規則登録部112と、共存種別登録部113と、TTL範囲登録部114と、ネットワーク(NW)種別登録部115と、共存種別判定部116と、総数推定部117と、種別分布蓄積部118とを有する。端末情報推定装置1は、例えばパーソナルコンピュータやサーバのようなものであって、この装置1に搭載されたコンピュータを機能させるプログラムを実行することによって、端末情報の推定に係る機能が実現される。
通信インタフェース100は、DNSサーバ5宛のパケットを全て受け取る入力部の役割を果たす。また、この通信インタフェース100を介して、判定規則生成装置8によって生成された判定規則(112t)が受信される。
クエリ収集部110は、通信インタフェース100を介して入力したパケットのうち、DNSサーバ5宛のDNSクエリを識別して収集し、蓄積する。
種別識別・計数部111は、収集された各DNSクエリに含まれる照会名Ndを抽出し、通信インタフェース100を介して入力した判定規則112t(図2)を予め登録した照会名登録部112を用いて、この照会名Ndに対応するソフトウェア種別SWjを識別する。さらに、照会名Nd毎に、所定時間内に収集されたこの照会名Ndを含むクエリの数をカウントする。尚、種別識別・計数部111は、収集された各DNSクエリからクエリタイプも抽出し、クエリタイプが(ホストアドレスを要求するDNSクエリであることを示す)タイプAである場合にのみ、クエリ数のカウントを行うことも好ましい。
種別識別・計数部111は、照会名抽出部111qと、端末種別識別部111mと、SW種別識別部111sと、クエリカウント部111cと、IPアドレス抽出部111dと、ネットワーク(NW)種別識別部111nとを有する。
照会名抽出部111qは、収集された各DNSクエリに含まれる照会名Ndを抽出する。端末種別識別部111mは、判定規則登録部112を用いて、抽出された照会名Ndに対応した端末種別TMiを識別する。SW種別識別部111sは、判定規則登録部112を用いて、抽出された照会名Ndに対応したソフトウェア種別SWjを識別する。クエリカウント部111cは、照会名Nd毎に、所定のカウント時間tco内に収集された、この照会名Ndを含むDNSクエリの数をカウントする。
IPアドレス抽出部111dは、識別対象となるDNSクエリに含まれる発信元IPアドレスを抽出する。また、NW種別識別部111nは、ネットワークテーブル115t(図4(C))を登録したネットワーク種別登録部115を用いて、このDNSクエリの発信元IPアドレスからネットワーク種別NWkを識別する。
共存種別登録部113は、共存可能テーブル113t(図4(A))を予め登録する。この共存可能テーブル113tを利用することによって、DNSクエリの発信元IPアドレス毎に、異なるソフトウェア種別を含む複数のDNSクエリが受信された際に、これら異なるソフトウェア種別が共存し得る関係にあるか否かが判定可能となる。
TTL範囲登録部114は、TTLテーブル114t(図4(B))を予め登録する。このTTLテーブル114tを利用することによって、DNSクエリに含まれるIPヘッダのTTLの値が、識別されたソフトウェア種別SWjに対応する測定値可能範囲に含まれる場合にのみ、ソフトウェア種別を識別したものとすることができる。
NW種別登録部115は、ネットワークテーブル115tを予め登録する。このネットワークテーブル115tを利用することによって、このDNSクエリの発信元IPアドレスから、ネットワーク種別及びその数を更に識別・算出することが可能となる。
図4(A)〜(C)に、これら共存可能テーブル113t、TTLテーブル114t及びネットワークテーブル115tを示す。
図4(A)によれば、共存可能テーブル113tには、1つの端末2内で共存可能な複数のソフトウェア種別の組合せが登録されている。具体的には、識別され得るソフトウェア種別SWj(OS種別OSr及びアプリケーション種別APs)毎に、1つの端末2内で共存可能な複数のソフトウェア種別が登録されている。
例えば、あるアプリケーション種別は、特定のOS種別上でのみ動作する。この場合、このアプリケーション種別に対応するテーブル欄に、このOS種別が登録され、また、このアプリケーション種別は、他のOS種別に対応するテーブル欄から除外される。さらに、1つの端末2内で互いに共存できないアプリケーション種別も存在する。この場合、この一方のアプリケーション種別は、他方のアプリケーション種別に対応するテーブル欄から除外される。
さらに、共存可能テーブル113tには、識別され得るソフトウェア種別SWj(OS種別OSr及びアプリケーション種別APs)毎に、そのソフトウェア種別SWjを搭載可能な端末種別TMiが登録されている。
図4(B)によれば、TTLテーブル114tには、識別され得るOS種別OSr毎に、TTLの測定値可能範囲TRrが予め登録されている。ここで、TTLは、パケットの有効期間を表すための数値であり、IPヘッダ内に格納されている。
TTLの初期値は、OSに固有の値となっている。例えば、
Microsoft社のWindows OS:TTLの初期値=128
LinuxのKernel 2.6:TTLの初期値=64
であり、互いに異なっている。
Microsoft社のWindows OS:TTLの初期値=128
LinuxのKernel 2.6:TTLの初期値=64
であり、互いに異なっている。
このTTLは、ルータを通過する毎に値が1だけ減少する。従って、パケットを収集してTTLを測定した場合、初期値よりも小さな測定値が得られるが、この測定値の範囲を予測することができる。この範囲が、測定値可能範囲TRrとなる。
図4(C)によれば、ネットワークテーブル115tには、発信元IPアドレスにおけるネットワークアドレスレンジ、即ち、IPアドレス及びネットマスク毎に、ネットワーク種別NWkと、AS番号(Autonomous System Number)と、国名と、サービス名と、回線種別とが予め登録されている。
一般に、ネットワーク種別NWkは、それぞれに固有のネットワークアドレスレンジを有する。例えば、DNSクエリの発信元IPアドレスが192.168.248.35である場合、図4(C)のネットワークテーブル115tによれば、このクエリが「A社内の固定回線」を介して送信されたものである、と識別される。
図3に戻って、共存種別判定部116は、DNSクエリの発信元IPアドレス毎に、異なるソフトウェア種別を含む複数のDNSクエリが受信された際に、これら異なるソフトウェア種別が共存し得る関係にあるか否かを判定する。ここで、共存種別判定部116は、この判定を行うため、共存可能テーブル113tを登録した共存種別登録部113を用いる。さらに、共存種別判定部116は、発信元IPアドレス毎に、識別されたソフトウェア種別SWj(OS種別OSr又はアプリケーション種別APs)を記憶するソフトウェア(SW)種別記録部116sを有している。
総数推定部117は、端末2の端末種別TMi及び端末2に搭載されたソフトウェア種別SWj毎の総数を推定する。具体的には、仮総数算出部117cと、総数推定部117aと、ネットワーク(NW)推定部117nとを有する。
仮総数算出部117cは、照会名Nd毎に、対応するクエリ発生周期Tqとカウントされたクエリ数とから当該端末種別TMi及びソフトウェア種別SWjの仮総数を算出する。ここで、判定規則112tにおいて、複数の照会名Ndからなる1つの組に、同一のソフトウェア種別SWj(端末種別TMi)が対応して記録されている場合、この組の照会名Nd毎に、ソフトウェア種別SWj(端末種別TMi)の仮総数が算出されることになる。
総数推定部117aは、1つのソフトウェア種別SWj(端末種別TMi)に複数の仮総数が算出された場合に、これら複数の仮総数を、複数の当該照会名Ndの各々に対応する周期安定度STをもって加重平均して、ソフトウェア種別SWj(端末種別TMi)の総数を推定する。NW推定部117nは、各ネットワーク種別NWkにおける、各ソフトウェア種別(端末種別)の数(又は割合)を推定する。
種別分布蓄積部118は、総数推定部117で推定された端末種別及びソフトウェア種別毎の総数と、端末2が接続された各ネットワーク種別NWkにおける端末種別及びソフトウェア種別の数(又は割合)とを蓄積し、取り纏めて、種別分布テーブル118tを作成する。種別分布テーブル118tの構成は、後に図8を用いて説明される。出力部101は、種別分布蓄積部118で形成された種別分布テーブル118tを受け取り、この内容をディスプレイ表示し、紙等の媒体として出力し、又はデータとして外部装置に出力する。
[DNSサーバ]
図5は、本発明によるDNSサーバの一実施形態を示す機能構成図である。
図5は、本発明によるDNSサーバの一実施形態を示す機能構成図である。
図5によれば、DNSサーバ1’は、DNSサーバとしてプロバイダネットワーク3に接続された端末2からの名前解決要求を処理する名前解決機能を有すると共に、プロバイダネットワーク3に接続された多数の端末2における、搭載された端末種別及びソフトウェア種別を識別し、さらに各種別の総数を推定する。
DNSサーバ1’は、通信インタフェース100’と、出力部101’と、端末情報推定部11’と、名前解決機能部12’とを有する。ここで、端末情報推定部11’は、クエリ収集部110’と、種別識別・計数部111’と、共存種別判定部116’と、総数推定部117’と、種別分布蓄積部118’とを有しており、図3で説明された端末情報推定装置1と同様の機能を果たす。
[端末情報推定方法]
図6は、本発明の端末情報推定方法のうち、端末2の端末種別及び端末2に搭載されたソフトウェア種別の識別・計数方法の一実施形態を示すフローチャートである。
図6は、本発明の端末情報推定方法のうち、端末2の端末種別及び端末2に搭載されたソフトウェア種別の識別・計数方法の一実施形態を示すフローチャートである。
(S600)生成された判定規則(112t)を入力し、登録する。
(S601)OS種別OSi毎に、TTLの測定値可能範囲TRiを予め登録する。
(S602)所定アドレスレンジARk毎に、ネットワーク種別{NW1,NW2,・・・,NWk,・・・,NWnw}を予め登録する。
(S601)OS種別OSi毎に、TTLの測定値可能範囲TRiを予め登録する。
(S602)所定アドレスレンジARk毎に、ネットワーク種別{NW1,NW2,・・・,NWk,・・・,NWnw}を予め登録する。
(S603)端末種別TMiのカウント数ntmiの初期値、ソフトウェア種別SWjのカウント数nswjの初期値、ネットワーク種別NWkに係る端末種別TMiのカウント数ntm(NWk)iの初期値、及びネットワーク種別NWkに係るソフトウェア種別SWjのカウント数nsw(NWk)jの初期値をそれぞれゼロとする。
ntmi=0(i=1,2,・・・,tm)
nswj=0(j=1,2,・・・,sw)、
ntm(NWk)i=0(i=1,2,・・・,tm、k=1,2,・・・,nw)
nsw(NWk)j=0(j=1,2,・・・,sw、k=1,2,・・・,nw)
ntmi=0(i=1,2,・・・,tm)
nswj=0(j=1,2,・・・,sw)、
ntm(NWk)i=0(i=1,2,・・・,tm、k=1,2,・・・,nw)
nsw(NWk)j=0(j=1,2,・・・,sw、k=1,2,・・・,nw)
(S604)収集したDNSクエリを解析しつつDNSクエリ数をカウントするループを開始する。ここで、クエリ数のカウント時間をtcoとする。tcoは、例えば数分〜10分間程度とすることができる。
(S605)DNSサーバ5宛のパケットを収集する。
(S606)収集したパケットが、端末種別又はソフトウェア種別に対応した照会名Ndを有するDNSクエリであるか否かを判定する。この際、判定規則112tを用いて、このクエリに含まれる照会名Ndに対応する端末種別又はソフトウェア種別が存在するか否かを判定する。
(S605)DNSサーバ5宛のパケットを収集する。
(S606)収集したパケットが、端末種別又はソフトウェア種別に対応した照会名Ndを有するDNSクエリであるか否かを判定する。この際、判定規則112tを用いて、このクエリに含まれる照会名Ndに対応する端末種別又はソフトウェア種別が存在するか否かを判定する。
(S607a)ステップS606において、収集したパケットがソフトウェア種別に対応した照会名Ndを有するDNSクエリであるとの判定がなされた際、ソフトウェア種別を、このクエリに含まれる照会名Ndに対応したSWjと識別する。一方、ステップS606で偽の判定、即ち登録された端末種別及びソフトウェア種別のいずれに係るDNSクエリでもないとの判定がなされた際、ステップS615に移行し、カウント時間の経過を確認しつつ、クエリ数カウントループを繰り返す。
(S608a)このDNSクエリのIPヘッダにおけるTTL値を測定する。
(S609a)測定されたTTL値が、TTLテーブル114tに登録された、識別されたOS(ソフトウェア)種別OSrに対応するTTL測定値可能範囲TRrに含まれるか否かを判定する。ここで、偽の判定がなされた際、ステップS615に移行し、カウント時間の経過を確認しつつ、クエリ数カウントループを繰り返す。また、TTL測定値可能範囲が規定できないアプリケーション種別等の場合、このステップの判定を行わず、次のステップS610aに移行する。
(S609a)測定されたTTL値が、TTLテーブル114tに登録された、識別されたOS(ソフトウェア)種別OSrに対応するTTL測定値可能範囲TRrに含まれるか否かを判定する。ここで、偽の判定がなされた際、ステップS615に移行し、カウント時間の経過を確認しつつ、クエリ数カウントループを繰り返す。また、TTL測定値可能範囲が規定できないアプリケーション種別等の場合、このステップの判定を行わず、次のステップS610aに移行する。
(S610a)ステップS609aで真の判定がなされた際、このOS種別OSiを識別したものとする。次いで、ソフトウェア種別SWjが、同一の発信元IPアドレスを含む他のDNSクエリの照会名Ndから識別されたソフトウェア種別と、1つの端末2内で共存し得るか否かを判定する。
尚、プロバイダネットワーク3の構成として、端末2側に、1つのIPアドレスを複数の端末で共有可能なNAT(Network Address Translation)が設置されている場合、同一の発信元IPアドレスのパケットが同一の端末2から発信されたものと断定することはできない。実際、(クエリ発生周期Tqよりも十分に小さい)所定時間tco内に、1つのIPアドレスから複数のソフトウェア種別SWjに係るDNSクエリが収集された場合、このIPアドレスは複数の端末2に対応して使用されている、と判断される。このような場合、ステップS610aでの判定条件を緩和するか、又はステップS610aを省略することが好ましい。緩和された判定条件としては、例えば、1つのIPアドレスにおけるあるOS種別OSr更新確認の為のDNSクエリの数が、所定の閾値以下であるか否か、とすることが可能である。
(S611a)ステップS610aで真の判定がなされた際、SW種別SWjのカウント数nswjを1だけ増加させる。
nswj=nswj+1
一方、ステップS610aで偽の判定がなされた際、ステップS615に移行し、カウント時間の経過を確認しつつ、クエリ数カウントループを繰り返す。
nswj=nswj+1
一方、ステップS610aで偽の判定がなされた際、ステップS615に移行し、カウント時間の経過を確認しつつ、クエリ数カウントループを繰り返す。
(S607b)ステップS606において、収集したパケットが端末種別に対応した照会名Ndを有するDNSクエリであるとの判定がなされた際、端末種別を、このクエリに含まれる照会名Ndに対応したTMiと識別する。
(S608b)識別された端末種別TMiが、同一の発信元IPアドレスを含む他のDNSクエリの照会名Ndから識別されたソフトウェア種別SWjを搭載し得るか否かを判定する。尚、端末2側に、1つのIPアドレスを複数の端末で共有可能なNATが設置されている場合に、ステップS608bでの判定条件を緩和するか、又はステップS608bを省略することが好ましいことは、ステップS610aと同様である。
(S609b)ステップS608bで真の判定がなされた際、端末種別TMiのカウント数ntmiを1だけ増加させる。
ntmi=ntmi+1
一方、ステップS608bで偽の判定がなされた際、ステップS615に移行し、カウント時間の経過を確認しつつ、クエリ数カウントループを繰り返す。
ntmi=ntmi+1
一方、ステップS608bで偽の判定がなされた際、ステップS615に移行し、カウント時間の経過を確認しつつ、クエリ数カウントループを繰り返す。
(S612)発信元IPアドレス毎に、照会名Ndと、識別された端末種別TMi及びソフトウェア種別SWjとを記録する。
(S613)識別対象であるDNSクエリのIPアドレス値から、ネットワークテーブル115tを用いて、ネットワーク種別をNWkと識別する。
(S614)識別されたネットワーク種別NWkに係る識別された端末種別TMi又はソフトウェア種別SWjのカウント数ntm(NWk)i又はnsw(NWk)jを、1だけ増加させる。
ntm(NWk)i=ntm(NWk)i+1、又は
nsw(NWk)j=nsw(NWk)j+1
ここで、TMiは、現時点の解析対象であるDNSクエリにおいて識別された端末種別である。また、SWjは、現時点の解析対象であるDNSクエリにおいて識別されたソフトウェア種別である。
(S613)識別対象であるDNSクエリのIPアドレス値から、ネットワークテーブル115tを用いて、ネットワーク種別をNWkと識別する。
(S614)識別されたネットワーク種別NWkに係る識別された端末種別TMi又はソフトウェア種別SWjのカウント数ntm(NWk)i又はnsw(NWk)jを、1だけ増加させる。
ntm(NWk)i=ntm(NWk)i+1、又は
nsw(NWk)j=nsw(NWk)j+1
ここで、TMiは、現時点の解析対象であるDNSクエリにおいて識別された端末種別である。また、SWjは、現時点の解析対象であるDNSクエリにおいて識別されたソフトウェア種別である。
(S615)ステップS610の開始からの時間を計測し、予め設定された所定時間tco未満であれば、ステップS604に戻って、クエリ数カウントループを繰り返す。一方、所定時間tcoが経過しているのであれば、クエリ数カウントループを終了する。
(S616)端末種別(照会名)毎のクエリ数ntmip及びntm(NWk)ip、並びにソフトウェア種別(照会名)毎のクエリ数nswjq及びnsw(NWk)jqを蓄積する。ここで、クエリ数における添え字p(q)は、1つの端末種別(ソフトウェア種別)が異なる複数の照会名Ndに対応している場合における、照会名Nd毎のクエリ数の区別を表す。
尚、以上に説明したソフトウェア(OS)種別の識別方法のうち、TTLに関するステップS608a及びステップS609aは、省略することができる。また、ソフトウェア種別の共存判断に関するステップS610a及びステップS608bも省略可能である。但し、これらのステップを採用することによって、アプリケーション種別をより高い精度で識別することができる。実際、照会名Ndに表れるソフトウェア種別の特徴は、端末の改造等によって改変される可能性がゼロではない。従って、端末2のアプリケーション種別情報の取得・推定においては、TTL情報及び共存可能情報も考慮し、さらに以下に説明する統計手法を取り入れて、総合的な判断を行うことが好ましい。
図7は、本発明の端末情報推定方法のうち、端末2の端末種別及び端末2に搭載されたソフトウェア種別の総数を推定する方法の一実施形態を示すフローチャートである。
尚、以下に示す方法は、ステップS616(図6)で蓄積された端末種別(照会名)毎のクエリ数ntmip及びntm(NWk)ip、並びにソフトウェア種別(照会名)毎のクエリ数nswjq及びnsw(NWk)jqの情報を用いて実施される。
(S700)各端末種別TMi及び各ソフトウェア種別SWjの総数を算出・推定する総数推定ループに入る。このループでは、i=1,2,・・・,tm、及びj=1,2,・・・,swを順次指定することになる。
(S701)クエリ発生周期Tqip及びTqjqを用いて、照会名Nd(TMip)及びNd(SWjq)毎に、当該端末種別TMi及びソフトウェア種別SWjの仮総数Mを、
(1) Mtmip=ntmip×Tqip/(60×tco)
(2) Mswjq=nswjq×Tqjq/(60×tco)
(3) Mtm(NWk)ip=ntm(NWk)ip×Tqip/(60×tco)
(4) Msw(NWk)jq=nsw(NWk)jq×Tqjq/(60×tco)
として算出する。
(S701)クエリ発生周期Tqip及びTqjqを用いて、照会名Nd(TMip)及びNd(SWjq)毎に、当該端末種別TMi及びソフトウェア種別SWjの仮総数Mを、
(1) Mtmip=ntmip×Tqip/(60×tco)
(2) Mswjq=nswjq×Tqjq/(60×tco)
(3) Mtm(NWk)ip=ntm(NWk)ip×Tqip/(60×tco)
(4) Msw(NWk)jq=nsw(NWk)jq×Tqjq/(60×tco)
として算出する。
ここで、Tqip(秒)は、端末種別TMiの対応する照会名Nd(TMip)(p:1つの端末種別が対応する1つ以上の照会名を区別する添え字)に対応付けられたクエリ発生周期である。また、Tqjq(秒)は、ソフトウェア種別SWjの対応する照会名Nd(SWjq)(q:1つのソフトウェア種別が対応する1つ以上の照会名を区別する添え字)に対応付けられたクエリ発生周期である。また、tcoの単位は、分である。
例えば、1つの例として、Apple社のiOS(=SWj)では、クエリ発生周期(更新確認時間間隔)Tqjq=12(時間)=43200(秒)である。ここで、tco=10(分間)の下、iOSの更新確認先であるiphone-ld.apple.comを照会先Nd(SWjq)としたDNSクエリのカウント数が、n=100(回)であったとすると、iOSの仮総数(iOSを搭載した端末の仮総数)Mは、
Mswjq=100×43200/(60×10)=7200
となる。即ち、プロバイダネットワーク4に接続されたiOSを搭載した端末の仮総数は、7200台であると算出される。
Mswjq=100×43200/(60×10)=7200
となる。即ち、プロバイダネットワーク4に接続されたiOSを搭載した端末の仮総数は、7200台であると算出される。
さらに、別の例として、図2の判定規則112tに示したように、1つのOS種別jOS(=SW1)に対応する照会名Nd(SW1q)が3つ(q=1,2,3)存在する場合、即ち、Nd(SW11)={abc.xxxupdate.com}、Nd(SW12)={efg.clients.com}、及びNd(SW13)={hij.klmno.com}が存在する場合を考える。クエリ数カウントのカウント時間tcoを10(分間)とし、照会名Nd(SW11)に係るカウント数nsw11=1672、照会名Nd(SW12)に係るカウント数nsw12=7、及び照会名Nd(SW13)に係るカウント数nsw13=8とすると、jOS(SW1)の仮総数は、
Msw11=1672×350.7/(60×10)=約977.28
Msw12=7×86405.5/(60×10)=約1008.06
Msw13=8×86389.2/(60×10)=約1151.86
と3つ算出される。
Msw11=1672×350.7/(60×10)=約977.28
Msw12=7×86405.5/(60×10)=約1008.06
Msw13=8×86389.2/(60×10)=約1151.86
と3つ算出される。
因みに、このステップで算出される端末数は、プロバイダネットワーク3に接続される端末2のうち、電源がON状態であって通信機能が起動した状態のものを対象にした数である。
(S702)周期安定度STip及びSTjqを用いて、端末種別TMi毎及びソフトウェア種別SWj毎に、当該種別の総数Nを、
(5) Ntmi=Σ(Mtmip×STip)/ΣSTip
(6) Nswj=Σ(Mswjq×STjq)/ΣSTjq
として算出・推定する。
(5) Ntmi=Σ(Mtmip×STip)/ΣSTip
(6) Nswj=Σ(Mswjq×STjq)/ΣSTjq
として算出・推定する。
ここで、STipは、端末種別TMiの対応する照会名Nd(TMip)に対応付けられた周期安定度である。また、STjqは、ソフトウェア種別SWjの対応する照会名Nd(SWjq)に対応付けられた周期安定度である。さらに、式(5)のΣはいずれもp=1,2,・・・についての総和(summation)である。また、式(6)のΣはいずれもq=1,2,・・・についての総和である。
式(5)及び(6)から理解されるように、端末種別毎及びソフトウェア種別毎の当該種別の総数Nは、当該種別に係る少なくとも1つの仮総数Mを、対応する周期安定度をもって加重平均した値となっている。
(S703)ネットワーク種別NWkの配下にある端末の端末種別TMi及びソフトウェア種別SWjの総数を、
(7) Ntm(NWk)i=Σ(Mtm(NWk)ip×STip)/ΣSTip
(8) Nsw(NWk)j=Σ(Msw(NWk)jq×STjq)/ΣSTjq
として算出・推定する。ここで、k=1,2,・・・,nwの全てについて、式(7)及び式(8)の算出がなされる。さらに、式(7)のΣはいずれもp=1,2,・・・についての総和(summation)である。また、式(8)のΣはいずれもq=1,2,・・・についての総和である。
(7) Ntm(NWk)i=Σ(Mtm(NWk)ip×STip)/ΣSTip
(8) Nsw(NWk)j=Σ(Msw(NWk)jq×STjq)/ΣSTjq
として算出・推定する。ここで、k=1,2,・・・,nwの全てについて、式(7)及び式(8)の算出がなされる。さらに、式(7)のΣはいずれもp=1,2,・・・についての総和(summation)である。また、式(8)のΣはいずれもq=1,2,・・・についての総和である。
(S704)識別された全ての端末種別TMi及びソフトウェア種別SWjについて総数を推定するまで、総数推定ループを繰り返す。
(S705)端末種別毎の総数
{Ntm1,Ntm2,・・・,Ntmi,・・・,Ntmtm}、
ソフトウェア種別毎の総数
{Nsw1,Nsw2,・・・,Nswj,・・・,Nswsw}、及び
各ネットワーク種別NWkに係る端末種別TMi及びソフトウェア種別SWjの各々の数
Ntm(NWk)i(i=1,2,・・・,tm、k=1,2,・・・,nw)
Nsw(NWk)j(j=1,2,・・・,sw、k=1,2,・・・,nw)
を蓄積する。
{Ntm1,Ntm2,・・・,Ntmi,・・・,Ntmtm}、
ソフトウェア種別毎の総数
{Nsw1,Nsw2,・・・,Nswj,・・・,Nswsw}、及び
各ネットワーク種別NWkに係る端末種別TMi及びソフトウェア種別SWjの各々の数
Ntm(NWk)i(i=1,2,・・・,tm、k=1,2,・・・,nw)
Nsw(NWk)j(j=1,2,・・・,sw、k=1,2,・・・,nw)
を蓄積する。
(S706)ステップS705で蓄積されたデータを表示又は出力する。
[種別分布テーブル]
図8は、種別分布テーブル118tの一実施形態を示す構成図である。種別分布テーブル118tは、図7のステップS705において、種別分布蓄積部118(図3)が作成するテーブルである。
図8は、種別分布テーブル118tの一実施形態を示す構成図である。種別分布テーブル118tは、図7のステップS705において、種別分布蓄積部118(図3)が作成するテーブルである。
図8によれば、種別分布テーブル118tでは、ソフトウェア種別SWj(OS種別OSr及びアプリケーション種別APs)毎に、当該ソフトウェア種別SWjの総数が記載されている。これにより、プロバイダネットワーク3に接続された端末2に搭載された各SW種別SWjの総数、従ってこのOSr又はAPsを搭載した端末数、を推定することができる。また、プロバイダネットワーク3内でのOS種別OSrの分布及びアプリケーション種別APsの分布を得ることができる。
また、端末種別TMi(端末メーカー、型番)毎に、当該端末種別TMiの総数が記載されている。これにより、プロバイダネットワーク3に接続された端末2の端末種別TMiの総数、従ってこの端末種別TMiの端末数、を推定することができる。また、プロバイダネットワーク3内での端末種別TMiの分布を得ることができる。
さらに、種別分布テーブル118tでは、ネットワーク種別NWk毎に、このネットワーク種別NWkの配下にある各ソフトウェア種別SWjの総数が記載されている。これにより、各ネットワーク種別NWkの配下では、どのようなソフトウェア種別SWj(OS種別OSr及びアプリケーション種別APs)がどの程度利用されているかを把握することができる。即ち、ネットワーク種別NWk毎に、当該ソフトウェア種別SWjの分布を得ることができる。
[判定規則生成方法の例]
図9は、本発明による判定規則生成方法の一例を示すフローチャートである。ここで、本方法は、例えば図1の判定規則生成装置8で実施される。この際、複数の端末9が装置8に接続され、これら複数の端末9にIPアドレスが付与される。
図9は、本発明による判定規則生成方法の一例を示すフローチャートである。ここで、本方法は、例えば図1の判定規則生成装置8で実施される。この際、複数の端末9が装置8に接続され、これら複数の端末9にIPアドレスが付与される。
(S900)最初に、複数の端末9に付与された発信元IPアドレス毎に、端末9に搭載されたソフトウェア種別SWj(OS種別OSr、アプリケーション種別APs)を予め登録する。
(S901)DNSクエリ情報収集ループ(ステップS901〜S908)を開始する。総観測時間(収集時間)はTmeとする。Tmeは、例えば24時間〜数ヶ月間に設定することができる。
(S902)端末9から発信されたDNSクエリを収集する。
(S903)収集されたDNSクエリに含まれる照会名Nd及び発信元IPアドレスを抽出する。
(S902)端末9から発信されたDNSクエリを収集する。
(S903)収集されたDNSクエリに含まれる照会名Nd及び発信元IPアドレスを抽出する。
(S904)このDNSクエリの発生時刻を、抽出された照会名Nd及び発信元アドレスに対応付けて記録する。尚、この発生時刻は、DNSクエリから抽出された時刻情報とすることができる。
(S905)抽出された照会名Ndが、新規であるか否かを判定する。
(S906a)抽出された照会名Ndが新規である場合、この照会名Ndを新たにクエリ周期テーブルにエントリする。
(S905)抽出された照会名Ndが、新規であるか否かを判定する。
(S906a)抽出された照会名Ndが新規である場合、この照会名Ndを新たにクエリ周期テーブルにエントリする。
ここで、クエリ周期テーブルは、エントリされた照会名Nd毎に、当該クエリが発生する時間間隔の平均値であるクエリ発生周期Tqと、周期安定度STとを記録するものである。この周期安定度STは、後述するようにクエリ発生の時間間隔の分布における分散Vq、尖度Kq及び歪度Sqから算出される。
(S907a)次いで、この照会名Ndに対応する値として、クエリ発生周期Tq及び周期安定度STを算出し、クエリ周期テーブルに記録する。これらの値の算出は以下の通りに実行される。
(S907a)次いで、この照会名Ndに対応する値として、クエリ発生周期Tq及び周期安定度STを算出し、クエリ周期テーブルに記録する。これらの値の算出は以下の通りに実行される。
最初に、照会名Nd毎に、各発信元IPアドレスについて、対応するDNSクエリの発生時刻の間隔Δtn(n番目の発生時間間隔)の算出式
(9) Δtn=tn+1−tn (tn:DNSクエリのn番目の発生時刻)
を用いてΔt1をまず算出し、このΔt1を、照会名Nd毎に、クエリ発生周期Tqとしてクエリ周期テーブルに記録する。
(9) Δtn=tn+1−tn (tn:DNSクエリのn番目の発生時刻)
を用いてΔt1をまず算出し、このΔt1を、照会名Nd毎に、クエリ発生周期Tqとしてクエリ周期テーブルに記録する。
次いで、逐次入力されるデータを用いて、発生時間間隔Δtn(n≧1)を順次算出し、その都度、
(10) Tq=Σ(Δtm)/n
として、クエリ周期テーブルのクエリ発生周期Tqを更新する。ここで、Σはm=1,2,・・・,nについての総和(summation)である。即ち、クエリ発生周期Tqは、発生時間間隔Δt1、Δt2、・・・、Δtnの平均値として順次更新される。
(10) Tq=Σ(Δtm)/n
として、クエリ周期テーブルのクエリ発生周期Tqを更新する。ここで、Σはm=1,2,・・・,nについての総和(summation)である。即ち、クエリ発生周期Tqは、発生時間間隔Δt1、Δt2、・・・、Δtnの平均値として順次更新される。
さらに、発生時間間隔Δt1、Δt2、・・・、Δtnの分布における分散Vqを次式
(11) Vq=Σ(Δtm−Tq(n))2/n
を用いて順次算出し、クエリ周期テーブルにおいて逐次記録・更新する。ここで、Σはm=1,2,・・・,nについての総和である。また、Tq(n)は、発生時間間隔Δtnまで考慮して算出されたクエリ発生周期である。
(11) Vq=Σ(Δtm−Tq(n))2/n
を用いて順次算出し、クエリ周期テーブルにおいて逐次記録・更新する。ここで、Σはm=1,2,・・・,nについての総和である。また、Tq(n)は、発生時間間隔Δtnまで考慮して算出されたクエリ発生周期である。
次いで、発生時間間隔Δt1、Δt2、・・・、Δtnの分布における尖度Kqを次式
(12) Kq=Σ(Δtm−(Tq(n))4)/(nVq 2)−3
を用いて順次算出し、クエリ周期テーブルにおいて逐次記録・更新する。ここで、Σはm=1,2,・・・,nについての総和である。一般に、正規分布よりも尖った(扁平な)分布の尖度Kqは、ゼロより大きく(小さく)なる。正規分布相当の分布の尖度はゼロである。
(12) Kq=Σ(Δtm−(Tq(n))4)/(nVq 2)−3
を用いて順次算出し、クエリ周期テーブルにおいて逐次記録・更新する。ここで、Σはm=1,2,・・・,nについての総和である。一般に、正規分布よりも尖った(扁平な)分布の尖度Kqは、ゼロより大きく(小さく)なる。正規分布相当の分布の尖度はゼロである。
また、発生時間間隔Δt1、Δt2、・・・、Δtnの分布における歪度Sqを次式
(13) Sq=Σ(Δtm−Tq(n))3/(nVq 1.5)
を用いて順次算出し、クエリ周期テーブルにおいて逐次記録・更新する。ここで、Σはm=1,2,・・・,nについての総和である。一般に、左側(右側)に偏った分布の歪度Sqは、ゼロより大きく(小さく)なる。左右対称な分布の歪度はゼロである。
(13) Sq=Σ(Δtm−Tq(n))3/(nVq 1.5)
を用いて順次算出し、クエリ周期テーブルにおいて逐次記録・更新する。ここで、Σはm=1,2,・・・,nについての総和である。一般に、左側(右側)に偏った分布の歪度Sqは、ゼロより大きく(小さく)なる。左右対称な分布の歪度はゼロである。
さらに、算出された分散Vq、尖度Kq及び歪度Sqを用いて、発生時間間隔Δt1、Δt2、・・・、Δtnの周期安定度STを次式
(14a) ST=1−AST
(14b) AST=N[(Vq 2+Kq 2+Sq 2)0.5]
を用いて順次算出し、クエリ周期テーブルにおいて逐次記録・更新する。ここで上式(14b)の関数N[X]は、ゼロ又は正値をとる変数Xを0から1までの値に規格化する関数であり、例えば、
(15) N[X]=−(X+1)−1+1
とすることができる。これにより、ASTは、発生時間間隔Δt1、Δt2、・・・、Δtnの分布における平均値(クエリ発生周期Tq)の不安定度(不確からしさ)に相当し、分布がより分散していて、より正規分布から逸脱しており、より偏りが大きいほど、大きな値をとる。
(14a) ST=1−AST
(14b) AST=N[(Vq 2+Kq 2+Sq 2)0.5]
を用いて順次算出し、クエリ周期テーブルにおいて逐次記録・更新する。ここで上式(14b)の関数N[X]は、ゼロ又は正値をとる変数Xを0から1までの値に規格化する関数であり、例えば、
(15) N[X]=−(X+1)−1+1
とすることができる。これにより、ASTは、発生時間間隔Δt1、Δt2、・・・、Δtnの分布における平均値(クエリ発生周期Tq)の不安定度(不確からしさ)に相当し、分布がより分散していて、より正規分布から逸脱しており、より偏りが大きいほど、大きな値をとる。
その結果、周期安定度STの値は、クエリ発生時間間隔が最も安定している場合(不安程度ASTがゼロの場合)、1となる。一方、クエリ発生時間間隔がクエリ発生周期Tqから変動しがちになるにつれて、ゼロに近づく。このような周期安定度STの値を導入して端末情報(端末数等)の推定を行うことによって、より精度の高い推定が可能となる。
尚、周期安定度STは、(14a)及び(14b)で規定されるものに限らない。分散Vq、尖度Kq及び歪度Sqについての上記以外の所定の平均から決定されることも好ましく、又は、分散Vqのみから決定される(例えばST=1−N[Vq])ことも可能である。
(S906b)一方、抽出された照会名Ndが新規ではない場合、既にエントリされている当該照会名Ndを参照する。
(S907b)次いで、この照会名Nd毎に、上述したようにクエリ発生周期Tq及び周期安定度STを算出し、クエリ周期テーブルに記録されたこれらの値を更新する。
(S907b)次いで、この照会名Nd毎に、上述したようにクエリ発生周期Tq及び周期安定度STを算出し、クエリ周期テーブルに記録されたこれらの値を更新する。
(S908)DNSクエリ情報収集ループを開始してから、設定された総観測時間Tmeが経過したか否かを判定し、経過していれば、本ループ(DNSクエリの収集・解析)を終了する。一方、経過していなければ、S901に戻って本ループを継続して行う。
(S909)照会名Nd毎に、ソフトウェア種別SWjを対応付けた上で、最終的に決定されたクエリ発生周期Tq及び周期安定度STを記録した判定規則(112t)を生成する。
(S910)生成した判定規則(112t)を出力する。この際、この判定規則を、端末情報推定装置1に送信してもよく、又はディスプレイ表示し、紙等の媒体として出力し、若しくはデータとして外部装置に出力することもできる。
(S910)生成した判定規則(112t)を出力する。この際、この判定規則を、端末情報推定装置1に送信してもよく、又はディスプレイ表示し、紙等の媒体として出力し、若しくはデータとして外部装置に出力することもできる。
尚、判定規則生成方法の本実施形態(ステップS900〜S910)において、「ソフトウェア種別」に代えて「端末種別」を採用すれば、複数の端末2の端末種別TMiに係る判定規則を生成することができる。この場合、判定規則は、照会名Nd毎に、端末種別TMiを対応付けた上で、最終的に決定されたクエリ発生周期Tq及び周期安定度STを記録したものとなる。
以上、本発明によれば、判定規則を利用することによって、照会名Ndに対応したクエリ発生周期Tqから、ネットワーク全体における端末種別、ソフトウェア種別及び各種別の仮総数を算出することができる。また、照会名に対応した周期安定度STを用いることによって、算出された仮総数からより高い精度で総数(端末数)を推定することが可能となる。即ち、本発明によれば、ネットワーク全体における端末種別、ソフトウェア種別及び各種別の総数を含む端末情報をより高い精度をもって推定することができる。
ここで、特に、周期安定度STを考慮して端末数を推定することができるので、より短時間で(より少ないクエリ観測数から)、精度の高い端末数を推定することができる。実際、DNSクエリを収集する時間tcoは、クエリ発生周期Tqに比べて非常に短い時間(例えばtco=数分〜10分)とすることが可能である。従って、本発明によれば、例えば、移動端末の通信エリア間又は通信エリア内外への移動による影響を受けにくい端末情報の推定が可能となる。
また、このように短時間での総数の推定が可能であるので、あるソフトウェア種別における異なる時間帯での総数を比較したり、あるソフトウェア種別における各時刻での総数の推移を得たり、さらには、各時刻における異なるソフトウェア種別間の総数比を比較したりすることができる。例えば、午前10時からの10分間についての、あるOS種別OSrの総数N10と、午後10時からの10分間についてのこのOS種別OSrの総数N22とを推定して比較することが可能となる。
さらに、本発明によれば、大規模なネットワーク全体における端末種別、ソフトウェア種別を、全通信を取得することなく識別することができる。また、識別した各端末種別、各ソフトウェア種別の総数を、全通信を取得することなく高い精度で推定することができる。
また、本発明によれば、自らパケットを送信するといった能動的な検査を必要としない。即ち、ソフトウェア種別情報の識別・推定を受動的に実施することができる。その結果、例えば、端末側に設けられたフィルタリング機構によって検査不能となる事態を引き起こすことがない。
さらに、以上に説明した本発明によって推定される端末情報は、例えば、ネットワーク管理者にとって、ネットワークの安定した運用を維持するために非常に重要となる。即ち、これら端末情報の把握によって、通信障害の原因となる利用者の行為を未然に防止したり、トラフィックのオフロード状況を把握したり、将来の通信量増加の程度を予測し必要な通信設備の増強を図ったりすることが可能となる。
しかしながら、ネットワーク内では、常に、新たなアプリケーションやOSが次々と利用され、各種ソフトウェアの利用者数も大きく変動する。このような状況でも、本発明によれば、適宜、現在の通信状況・利用状況に適合した判定規則を活用して端末情報を推定することができる。その結果、ネットワーク管理者は、より適切な精度の高い端末情報を入手することができ、より適切な対策を講じることができる。
尚、以上に述べた本発明の種々の実施形態について、本発明の技術思想及び見地の範囲の種々の変更、修正及び省略は、当業者によれば容易に行うことができる。前述の説明はあくまで例であって、何ら制約しようとするものではない。本発明は、特許請求の範囲及びその均等物として限定するものにのみ制約される。
1 端末情報推定装置
100、100’ 通信インタフェース
101、101’ 出力部
11’ 端末情報推定部
110、110’ クエリ収集部
111、111’ 種別識別・計数部
111c クエリ数カウント部
111d IPアドレス抽出部
111m 端末種別識別部
111n ネットワーク種別識別部
111q 照会名抽出部
111s ソフトウェア種別識別部
112 判定規則登録部
112t 判定規則
113 共存種別登録部
113t 共存可能テーブル
114 TTL範囲登録部
114t TTLテーブル
115 ネットワーク種別登録部
115t ネットワークテーブル
116、116’ 共存種別判定部
117、117’ 総数推定部
117a 総数推定部
117c 仮総数算出部
117n ネットワーク推定部
118、118’ 種別分布蓄積部
118t 種別分布テーブル
12’ 名前解決機能部
2、9 端末
3 プロバイダネットワーク
4 IMS
5 DNSサーバ
6 ネットワークタップ
7 インターネット
8 判定規則生成装置
100、100’ 通信インタフェース
101、101’ 出力部
11’ 端末情報推定部
110、110’ クエリ収集部
111、111’ 種別識別・計数部
111c クエリ数カウント部
111d IPアドレス抽出部
111m 端末種別識別部
111n ネットワーク種別識別部
111q 照会名抽出部
111s ソフトウェア種別識別部
112 判定規則登録部
112t 判定規則
113 共存種別登録部
113t 共存可能テーブル
114 TTL範囲登録部
114t TTLテーブル
115 ネットワーク種別登録部
115t ネットワークテーブル
116、116’ 共存種別判定部
117、117’ 総数推定部
117a 総数推定部
117c 仮総数算出部
117n ネットワーク推定部
118、118’ 種別分布蓄積部
118t 種別分布テーブル
12’ 名前解決機能部
2、9 端末
3 プロバイダネットワーク
4 IMS
5 DNSサーバ
6 ネットワークタップ
7 インターネット
8 判定規則生成装置
Claims (9)
- DNS(Domain Name System)サーバに、ネットワークを介し、照会名を含むクエリであって、搭載されたソフトウェアで使用される名前を解決するためのクエリを発信する複数の端末における端末情報を推定する端末情報推定装置であって、
当該照会名毎に、当該照会名に対応するソフトウェア種別と、当該クエリの発生する時間間隔であるクエリ発生周期と、少なくとも当該クエリの発生する時間間隔の分布における分散から決定される周期安定度とを記録した判定規則であって、少なくとも1組の複数の照会名の各々に同一のソフトウェア種別が対応した判定規則を登録する判定規則登録手段と、
当該端末から発信された当該クエリを収集するクエリ収集手段と、
収集された各クエリに含まれる照会名を抽出して、前記判定規則登録手段を用いて当該照会名に対応するソフトウェア種別を識別し、当該照会名毎に、所定時間内に収集された当該照会名を含むクエリの数をカウントする種別識別・計数手段と、
前記1組に含まれる複数の照会名の各々について、対応するクエリ発生周期とカウントされたクエリ数とから対応する当該ソフトウェア種別の仮総数を算出し、算出された複数の当該仮総数を、当該複数の照会名の各々に対応する周期安定度をもって加重平均して当該ソフトウェア種別の総数を推定する総数推定手段と
を有することを特徴とする端末情報推定装置。 - 前記判定規則は、当該照会名毎に、当該照会名を含む当該クエリの発生する時間間隔の平均であるクエリ発生周期と、当該クエリの発生する当該時間間隔の分布における分散、尖度及び歪度から決定される周期安定度とを記録していることを特徴とする請求項1に記載の端末情報推定装置。
- 前記ソフトウェア種別は、OS(Operating System)種別及び/又はアプリケーション種別であり、
前記照会名は、当該OS種別及び/又はアプリケーション種別におけるソフトウェア更新確認時の、又は処理実行に必要な情報要求時の接続先アドレスを含む
ことを特徴とする請求項1又は2に記載の端末情報推定装置。 - 前記判定規則は、当該照会名毎に、当該照会名に対応する端末種別と、当該クエリの発生する時間間隔であるクエリ発生周期と、少なくとも当該クエリの発生する時間間隔の分布における分散から決定される周期安定度とを更に記録したものであって、該判定規則において少なくとも1組の複数の照会名の各々に同一の端末種別が対応しており、
前記種別識別・計数手段は、さらに、収集された各クエリに含まれる照会名を抽出して、当該照会名に対応する端末種別を識別し、当該照会名毎に、所定時間内に収集された当該照会名を含むクエリの数をカウントし、
前記総数推定手段は、さらに、前記1組に含まれる複数の照会名の各々について、対応するクエリ発生周期とカウントされたクエリ数とから対応する当該端末種別の仮総数を算出し、算出された複数の当該仮総数を、当該複数の照会名の各々に対応する周期安定度をもって加重平均して当該端末種別の総数を推定する
ことを特徴とする請求項1から3のいずれか1項に記載の端末情報推定装置。 - 前記ソフトウェア種別は、OS種別及びアプリケーション種別であり、
前記端末情報推定装置は、
1つの端末内で、当該端末に搭載可能なOS種別と、当該端末に搭載されたOS種別上で動作可能なアプリケーション種別とを含むソフトウェア種別の組合せを、共存可能な複数のソフトウェア種別の組合せとして登録する共存種別登録手段と、
前記クエリの発信元アドレス毎に、異なるソフトウェア種別を含む複数のクエリが受信された際に、前記共存種別登録手段を用いて該異なるソフトウェア種別が共存し得る関係にあるか否かを判定する共存種別判定手段と
を更に有しており、
前記種別識別・計数手段は、前記共存種別判定手段が真の判定を行った際、当該発信元アドレスを含んでおり当該ソフトウェア種別に対応するクエリをカウント対象とする
ことを特徴とする請求項1から4のいずれか1項に記載の端末情報推定装置。 - 前記複数の端末の発信元アドレスにおける所定アドレス範囲毎に、ネットワーク種別を予め登録するネットワーク種別登録手段を更に有し、
前記種別識別・計数手段は、識別対象となるクエリについて、前記ネットワーク種別登録手段を用いて、当該クエリの発信元アドレスからネットワーク種別を更に識別する
ことを特徴とする請求項1から5のいずれか1項に記載の端末情報推定装置。 - 照会名を含むクエリであって、搭載されたソフトウェアで使用される名前を解決するためのクエリを発信する複数の端末における端末情報を推定する機能を搭載したDNSサーバであって、
当該照会名毎に、当該照会名に対応するソフトウェア種別と、当該クエリの発生する時間間隔であるクエリ発生周期と、少なくとも当該クエリの発生する時間間隔の分布における分散から決定される周期安定度とを記録した判定規則であって、少なくとも1組の複数の照会名の各々に同一のソフトウェア種別が対応した判定規則を登録する判定規則登録手段と、
当該端末から発信された当該クエリを収集するクエリ収集手段と、
収集された各クエリに含まれる照会名を抽出して、前記判定規則登録手段を用いて当該照会名に対応するソフトウェア種別を識別し、当該照会名毎に、所定時間内に収集された当該照会名を含むクエリの数をカウントする種別識別・計数手段と、
前記1組に含まれる複数の照会名の各々について、対応するクエリ発生周期とカウントされたクエリ数とから対応する当該ソフトウェア種別の仮総数を算出し、算出された複数の当該仮総数を、当該複数の照会名の各々に対応する周期安定度をもって加重平均して当該ソフトウェア種別の総数を推定する総数推定手段と
を有することを特徴とするDNSサーバ。 - DNSサーバに、ネットワークを介し、照会名を含むクエリであって、搭載されたソフトウェアで使用される名前を解決するためのクエリを発信する複数の端末における端末情報を推定するようにコンピュータを機能させる端末情報推定プログラムであって、
当該照会名毎に、当該照会名に対応するソフトウェア種別と、当該クエリの発生する時間間隔であるクエリ発生周期と、少なくとも当該クエリの発生する時間間隔の分布における分散から決定される周期安定度とを記録した判定規則であって、少なくとも1組の複数の照会名の各々に同一のソフトウェア種別が対応した判定規則を登録する判定規則登録手段と、
当該端末から発信された当該クエリを収集するクエリ収集手段と、
収集された各クエリに含まれる照会名を抽出して、前記判定規則登録手段を用いて当該照会名に対応するソフトウェア種別を識別し、当該照会名毎に、所定時間内に収集された当該照会名を含むクエリの数をカウントする種別識別・計数手段と、
前記1組に含まれる複数の照会名の各々について、対応するクエリ発生周期とカウントされたクエリ数とから対応する当該ソフトウェア種別の仮総数を算出し、算出された複数の当該仮総数を、当該複数の照会名の各々に対応する周期安定度をもって加重平均して当該ソフトウェア種別の総数を推定する総数推定手段と
してコンピュータを機能させることを特徴とする端末情報推定プログラム。 - DNSサーバに、ネットワークを介し、照会名を含むクエリであって、搭載されたソフトウェアで使用される名前を解決するためのクエリを発信する複数の端末における端末情報を推定する端末情報推定方法であって、
当該照会名毎に、当該照会名に対応するソフトウェア種別と、当該クエリの発生する時間間隔であるクエリ発生周期と、少なくとも当該クエリの発生する時間間隔の分布における分散から決定される周期安定度とを記録した判定規則であって、少なくとも1組の複数の照会名の各々に同一のソフトウェア種別が対応した判定規則を登録する判定規則登録手段を用い、
当該端末から発信された当該クエリを収集する第1のステップと、
収集された各クエリに含まれる照会名を抽出して、前記判定規則登録手段を用いて当該照会名に対応するソフトウェア種別を識別し、当該照会名毎に、所定時間内に収集された当該照会名を含むクエリの数をカウントする第2のステップと、
前記1組に含まれる複数の照会名の各々について、対応するクエリ発生周期とカウントされたクエリ数とから対応する当該ソフトウェア種別の仮総数を算出し、算出された複数の当該仮総数を、当該複数の照会名の各々に対応する周期安定度をもって加重平均して当該ソフトウェア種別の総数を推定する第3のステップと
を有することを特徴とする端末情報推定方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012148077A JP5872396B2 (ja) | 2012-06-30 | 2012-06-30 | クエリ発生周期の安定度を利用した端末情報推定装置、dnsサーバ、プログラム及び方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012148077A JP5872396B2 (ja) | 2012-06-30 | 2012-06-30 | クエリ発生周期の安定度を利用した端末情報推定装置、dnsサーバ、プログラム及び方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014010725A JP2014010725A (ja) | 2014-01-20 |
| JP5872396B2 true JP5872396B2 (ja) | 2016-03-01 |
Family
ID=50107346
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012148077A Active JP5872396B2 (ja) | 2012-06-30 | 2012-06-30 | クエリ発生周期の安定度を利用した端末情報推定装置、dnsサーバ、プログラム及び方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5872396B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6401537B2 (ja) * | 2014-07-29 | 2018-10-10 | Kddi株式会社 | 予測装置及び予測方法 |
| JP6401536B2 (ja) * | 2014-07-29 | 2018-10-10 | Kddi株式会社 | 予測装置及び予測方法 |
| JP6996335B2 (ja) * | 2018-02-21 | 2022-01-17 | 日本電信電話株式会社 | 機器推定装置、機器推定方法、および、機器推定プログラム |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5345492B2 (ja) * | 2009-09-29 | 2013-11-20 | 日本電信電話株式会社 | Dnsトラフィックデータを利用したボット感染者検知方法 |
-
2012
- 2012-06-30 JP JP2012148077A patent/JP5872396B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2014010725A (ja) | 2014-01-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10284516B2 (en) | System and method of determining geographic locations using DNS services | |
| CN104994133B (zh) | 一种基于网络KPI的移动Web网页访问用户体验感知评测方法 | |
| US20120151045A1 (en) | System and method for improved detection and monitoring of online accounts | |
| US8799518B2 (en) | Process for selecting an authoritative name server | |
| JP2012530971A (ja) | 未登録のドメイン名の特徴付け | |
| CN104639391A (zh) | 一种生成网络流量记录的方法及相应的流量检测设备 | |
| KR20130111509A (ko) | 통신 시스템의 구성 또는 세팅을 자동으로 변경 또는 업데이트하는 방법 및 시스템 | |
| JP5872396B2 (ja) | クエリ発生周期の安定度を利用した端末情報推定装置、dnsサーバ、プログラム及び方法 | |
| JP5863581B2 (ja) | 端末情報推定用の判定規則を生成する判定規則生成装置、ルータ、プログラム及び方法 | |
| JP5593944B2 (ja) | 判定装置、判定方法及びコンピュータプログラム | |
| JP5644710B2 (ja) | ノード検出装置、ノード検出方法、及びプログラム | |
| JP5868827B2 (ja) | 端末のソフトウェア種別情報を推定する端末情報推定装置、dnsサーバ、プログラム及び方法 | |
| EP3382981B1 (en) | A user equipment and method for protection of user privacy in communication networks | |
| JP7115221B2 (ja) | サイバー攻撃評価プログラム、サイバー攻撃評価方法および情報処理装置 | |
| US11316772B2 (en) | Network connected device and traffic estimation method thereof | |
| KR101518468B1 (ko) | 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말의 디바이스 대수를 검출하는 방법 및 공인 ip 공유 상태 검출 시스템 | |
| JP2014239298A (ja) | 障害原因推定装置、障害原因推定システム、障害原因推定方法、障害原因推定プログラム | |
| CN115412462B (zh) | 一种域间路由中断的检测方法 | |
| CN107094134A (zh) | 一种访问网站的方法及客户端 | |
| JP5061372B2 (ja) | ウェブ検索システム、ウェブ検索方法、およびウェブ検索プログラム | |
| JP5639535B2 (ja) | 良性ドメイン名除外装置、良性ドメイン名除外方法、及びプログラム | |
| KR101603694B1 (ko) | 공유 단말 식별 방법 및 그 시스템 | |
| KR101603692B1 (ko) | 공유 단말 식별 방법 및 그 시스템 | |
| Malloy et al. | Network-side digital contact tracing on a large university campus | |
| JP5973381B2 (ja) | Dnsサーバ迂回システム、dnsサーバ迂回方法、データ提供サーバおよびデータ提供プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150109 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20151016 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20151104 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151214 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160112 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160113 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5872396 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |