特許

J-GLOBAL ID：201503021345841718

送信元・宛先組織特定装置及び方法及びプログラム

発明者： 佐藤 一道 ,  石橋 圭介
出願人/特許権者： 日本電信電話株式会社
代理人 (3件)： 伊東 忠重 ,  伊東 忠彦 ,  石原 隆治
公報種別：特許公報
出願番号（国際出願番号）：特願2012-018975
公開番号（公開出願番号）：特開2013-157931
特許番号：特許第5770652号
出願日： 2012年01月31日
公開日（公表日）： 2013年08月15日
請求項（抜粋）：

【請求項1】DNS(Domain Name Service)トラヒックデータとフローデータとを付き合わせることにより、あるトラヒックの送信元と宛先の組織を特定する送信元・宛先組織特定装置であって、 前記DNSトラヒックデータを収集するDNSデータ収集手段と、 宛先IPアドレス、パケット数、フローサイズ、フロー取得開始時刻を含む前記フローデータを収集するフローデータ収集手段と、 前記DNSトラヒックデータに含まれる問い合わせ対象ドメイン名を第1要素、該ドメイン名に対応するIPアドレスを第2要素、問い合わせ送信元IPアドレスを第3要素、問い合わせ時刻を第4要素、該ドメイン名の問い合わせ回数を第5要素とするDNS情報データベースを作成し、取得した前記フローデータに基づいてフローデータベースを生成するデータベース生成手段と、 前記DNS情報データベースと前記フローデータベースとを突き合わせ、該フローデータベースに出現する宛先IPアドレスにドメイン名を付与するマッチング手段と、を有し、 前記マッチング手段は、 前記フローデータベースの前記宛先IPアドレスが前記DNS情報データベースの前記第2要素、該フローデータベースの前記送信元IPアドレスが該DNS情報データベースの前記第3要素、該フローデータベースの前記フロー取得開始時刻が該DNS情報データベースの前記第4要素と一致するレコードを検索し、該第1要素を、前記宛先IPアドレスに付与する第1の検索手段と、 前記第1の検索手段において一致するレコードが検索できなかった場合に、前記フローデータベースの前記宛先IPアドレスが前記DNS情報データベースの前記第2要素と一致、かつ、該フローデータベースの前記送信元IPアドレスが該DNS情報データベースの前記第3要素と一致するレコードを検索し、該レコードの第1要素であるドメイン名を、前記宛先IPアドレスに付与する第2の検索手段と、 前記第1の検索手段及び前記第2の検索手段において一致するレコードが検索できなかった場合に、前記フローデータベースの前記宛先IPアドレスが前記DNS情報データベースの前記第2要素と一致するレコードを検索し、該レコードの第1要素であるドメイン名を、前記宛先IPアドレスに付与する第3の検索手段と、 前記第1の検索手段及び前記第2の検索手段及び前記第3の検索手段において一致するレコードが検索できなかった場合に、前記フローデータベースの前記宛先IPアドレスのネットワーク部が前記DNS情報データベースの前記第2要素のネットワーク部と一致するレコードを検索し、該レコードの第1要素であるドメイン名を、前記宛先IPアドレスに付与する第4の検索手段と、を含む ことを特徴とする送信元・宛先組織特定装置。

IPC (1件)：

H04L 12/70 ( 201 3.01)

FI (2件)：

H04L 12/70 100 Z ,  H04L 12/70 B