Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6280836B2 - Identification device, identification method, and identification program - Google Patents
[go: Go Back, main page]

JP6280836B2 - Identification device, identification method, and identification program - Google Patents

Identification device, identification method, and identification program Download PDF

Info

Publication number
JP6280836B2
JP6280836B2 JP2014164250A JP2014164250A JP6280836B2 JP 6280836 B2 JP6280836 B2 JP 6280836B2 JP 2014164250 A JP2014164250 A JP 2014164250A JP 2014164250 A JP2014164250 A JP 2014164250A JP 6280836 B2 JP6280836 B2 JP 6280836B2
Authority
JP
Japan
Prior art keywords
information
communication
traffic
unit
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2014164250A
Other languages
Japanese (ja)
Other versions
JP2016040867A (en
Inventor
理基 鈴木
理基 鈴木
徳広 福元
徳広 福元
秀行 小頭
秀行 小頭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2014164250A priority Critical patent/JP6280836B2/en
Publication of JP2016040867A publication Critical patent/JP2016040867A/en
Application granted granted Critical
Publication of JP6280836B2 publication Critical patent/JP6280836B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、識別装置、識別方法および識別プログラムに関する。   The present invention relates to an identification device, an identification method, and an identification program.

通信網において相手となる端末装置のOS(Operating System)等の種類(種別)を識別する方法が多数提案されてきた。
例えば、非特許文献1に係る技術は、識別したい相手の端末装置に対して通信パケットを送出し、その反応を分析することで、相手の端末装置の種類を識別するものである(非特許文献1参照。)。識別に用いる情報としては、TCP/IP(Transmission Control Protocol/Internet Protocol)の各種のヘッダやオプション等が利用される。
Many methods have been proposed for identifying the type (type) such as an OS (Operating System) of a terminal device as a counterpart in a communication network.
For example, the technology according to Non-Patent Document 1 identifies the type of a partner terminal device by sending a communication packet to the partner terminal device to be identified and analyzing the reaction (Non-Patent Document 1). 1). As information used for identification, various headers and options of TCP / IP (Transmission Control Protocol / Internet Protocol) are used.

また、上述のような動的に相手の端末装置へ通信パケットを送出する方法に加え、非特許文献2に係る技術のように、相手の端末装置の通信内容を静的に監視することで、相手の端末装置の種類を識別する方法も提案されている(非特許文献2参照。)。この方法においても、端末装置の識別にはTCP/IPの各種のヘッダやオプション等が利用される。   In addition to the above-described method of dynamically transmitting a communication packet to a partner terminal device, as in the technique according to Non-Patent Document 2, by statically monitoring the communication content of the partner terminal device, A method for identifying the type of the partner terminal device has also been proposed (see Non-Patent Document 2). Also in this method, various types of TCP / IP headers and options are used to identify the terminal device.

前述のTCP/IPの情報を用いた識別は一般にShallow Packet Inspection(SPI)と呼ばれるが、一方で、より上位のアプリケーション層の情報を用いた識別を行うDeep Packet Inspection(DPI)と呼ばれる方法もある。
Deep Packet Inspectionを用いることで、例えば非特許文献3に係る技術のように、アプリケーション層の様々な情報を取得し、相手の端末装置の識別を行うことが可能となる(非特許文献3参照。)。
The above-described identification using TCP / IP information is generally called Shallow Packet Inspection (SPI). On the other hand, there is also a method called Deep Packet Inspection (DPI) that performs identification using information of a higher application layer. .
By using Deep Packet Inspection, for example, as in the technique according to Non-Patent Document 3, it is possible to acquire various information of the application layer and identify the partner terminal device (see Non-Patent Document 3). ).

Remote OS detection via TCP/IP Stack FingerPrinting(2nd Generation)、[online]、[平成25年2月12日検索]、インターネット <URL:http://nmap.org/book/osdetect.html>Remote OS detection via TCP / IP Stack FingerPrinting (2nd Generation), [online], [February 12, 2013 search], Internet <URL: http: // nmap. org / book / osdetect. html> Official p0f homepage、[online]、[平成25年2月12日検索]、インターネット <URL:http://lcamtuf.coredump.cx/p0f.shtml>Official p0f homepage, [online], [February 12, 2013 search], Internet <URL: http: // lcamtuf. coredump. cx / p0f. shml> Deep packet inspection meets‘Net neutrality, CALEA、[online]、[平成25年2月12日検索]、インターネット <URL:http://arstechnica.com/hardware/news/2007/07/Deep−packet−inspection−meets−net−neutrality.ars>Deep packet inspection meets' Net neutrality, CALEA, [online], [February 12, 2013 search], Internet <URL: http: // artechnica. com / hardware / news / 2007/07 / Deep-packet-inspection-meets-net-neutrality. ars>

ところで、端末装置の個体の識別(個体識別)を行うことは、広告やマーケティング等において非常に重要であり、その技術が求められている。しかしながら、従来では、端末装置の個体識別を行う場合には端末装置の利用者が能動的に識別情報(ID)の登録などを行う必要があり、利用者にとって煩雑な手間になってしまうことも多かった。例えば、従来技術における端末装置の識別方法は、OSの種類の判定などを目的としており、端末装置の個体識別には必ずしも適していなかった。   By the way, identifying an individual terminal device (individual identification) is very important in advertising, marketing, and the like, and its technology is required. However, conventionally, when individual identification of a terminal device is performed, it is necessary for the user of the terminal device to actively register identification information (ID), which may be troublesome for the user. There were many. For example, the terminal device identification method in the prior art is intended to determine the type of OS and the like, and is not necessarily suitable for individual identification of the terminal device.

具体的に、上述した技術のうち、Shallow Packet Inspectionにおいては、TCP/IPの各種のヘッダやオプション等の特徴から、該当する端末装置の種類を識別していた。しかしながら、この手法では、OS種の分類精度が限界であり、端末装置の個体識別を行うためには不十分であった。
一方、Deep Packet Inspectionにおいては、Shallow Packet Inspectionより詳細な情報が得られる可能性があるものの、単純なセッション単位のDeep Packet Inspectionのみで得られる情報は限られており、端末装置の個体識別を行うためには不十分であった。
また、端末装置の個体識別を行う場合には、個体識別の精度を向上することが好ましい。
Specifically, among the technologies described above, in Shallow Packet Inspection, the type of the corresponding terminal device is identified from features such as various headers and options of TCP / IP. However, with this method, the classification accuracy of the OS type is limited, and it is insufficient for performing individual identification of the terminal device.
On the other hand, in Deep Packet Inspection, more detailed information may be obtained than Shallow Packet Inspection, but information that can be obtained only by Deep Packet Inspection in simple session units is limited, and individual identification of terminal devices is performed. It was insufficient for this.
Moreover, when performing individual identification of a terminal device, it is preferable to improve the accuracy of individual identification.

本発明は、このような事情を考慮してなされたもので、端末装置の個体識別を精度良く行うことができる識別装置、識別方法および識別プログラムを提供することを課題とする。   The present invention has been made in view of such circumstances, and it is an object of the present invention to provide an identification device, an identification method, and an identification program capable of accurately identifying an individual terminal device.

(1)上記の課題を解決するために、本発明に係る識別装置は、監視対象の通信パケットの情報を取得する通信監視部と、前記通信監視部により取得される通信パケットの情報に基づいて通信フローを再構築する通信フロー構築部と、前記通信フロー構築部により再構築された通信フローについて、人により行われた操作に起因して発生したと推定される第1のトラヒックに対応するか、または、人により行われる操作に起因しないで発生したと推定される第2のトラヒックに対応するかを判定するトラヒック判定部と、前記トラヒック判定部により前記第2のトラヒックに対応すると判定された前記通信フローの通信プロトコルを分析することで、前記通信パケットを送信した端末装置の個体識別に係る情報を取得する端末個体識別情報分析部と、前記端末個体識別情報分析部により取得される情報、および、前記通信監視部により取得される通信パケットの情報に基づいて得られる前記通信パケットの特徴を示す情報を記憶する情報記憶部と、を備える。   (1) In order to solve the above-described problem, an identification device according to the present invention is based on a communication monitoring unit that acquires information on a communication packet to be monitored, and information on the communication packet acquired by the communication monitoring unit. Whether the communication flow restructuring unit reconstructs the communication flow and the communication flow reconstructed by the communication flow building unit corresponds to the first traffic estimated to have occurred due to an operation performed by a person. Or a traffic determination unit that determines whether the second traffic is estimated to have occurred without being caused by an operation performed by a person, and the traffic determination unit has determined that the second traffic is supported By analyzing the communication protocol of the communication flow, the terminal individual identification information component for acquiring information related to the individual identification of the terminal device that transmitted the communication packet And an information storage unit for storing information indicating characteristics of the communication packet obtained based on information acquired by the terminal individual identification information analysis unit and information of the communication packet acquired by the communication monitoring unit; .

(2)本発明は、上記した(1)に記載の識別装置において、前記通信パケットの特徴を示す情報は、ネットワーク内識別子の情報を含み、さらに、前記情報記憶部に記憶される情報に基づいて、同一の端末装置個体であるとされる端末装置ごとに、ネットワーク内識別子の情報を出力する端末個体識別部を備える、構成が用いられてもよい。   (2) In the identification device according to (1), the information indicating the characteristics of the communication packet includes information on an identifier in the network, and further, based on information stored in the information storage unit Thus, a configuration may be used that includes a terminal individual identification unit that outputs information on the in-network identifier for each terminal device that is assumed to be the same terminal device individual.

(3)本発明は、上記した(2)に記載の識別装置において、前記通信パケットの特徴を示す情報は、さらに、時刻の情報およびネットワークの情報を含み、前記端末個体識別部は、前記ネットワーク内識別子の情報を、時刻の情報およびネットワークの情報と共に出力する、構成が用いられてもよい。   (3) In the identification device according to (2), the information indicating the characteristics of the communication packet further includes time information and network information, and the terminal individual identification unit includes the network A configuration in which the information of the internal identifier is output together with the time information and the network information may be used.

(4)本発明は、上記した(1)から上記した(3)のいずれか1つに記載の識別装置において、前記端末個体識別情報分析部は、HTTPプロトコルにおけるUser−Agentの情報、または、TCPのフィンガプリントの情報、または、Webブラウザが出力するヘッダの情報、インストール済みのプラグインの情報、およびそのプラグインのバージョンの情報、または、前記端末装置のクロックスキューの情報、または、前記端末装置のアクセス先のホストの情報、または、前記端末装置の動画のアプリケーションの閲覧設定の情報、のうちの1つ以上を取得する、構成が用いられてもよい。   (4) In the identification device according to any one of (1) to (3) described above, the terminal individual identification information analysis unit may include User-Agent information in the HTTP protocol, or TCP fingerprint information, header information output by a Web browser, installed plug-in information, plug-in version information, clock skew information of the terminal device, or the terminal A configuration may be used in which one or more of information on a host that is an access destination of the device or information on browsing setting of a moving image application of the terminal device is acquired.

(5)上記の課題を解決するために、本発明に係る識別方法は、通信監視部が、監視対象の通信パケットの情報を取得し、通信フロー構築部が、前記通信監視部により取得される通信パケットの情報に基づいて通信フローを再構築し、トラヒック判定部が、前記通信フロー構築部により再構築された通信フローについて、人により行われた操作に起因して発生したと推定される第1のトラヒックに対応するか、または、人により行われる操作に起因しないで発生したと推定される第2のトラヒックに対応するかを判定し、端末個体識別情報分析部が、前記トラヒック判定部により前記第2のトラヒックに対応すると判定された前記通信フローの通信プロトコルを分析することで、前記通信パケットを送信した端末装置の個体識別に係る情報を取得し、情報記憶部が、前記端末個体識別情報分析部により取得される情報、および、前記通信監視部により取得される通信パケットの情報に基づいて得られる前記通信パケットの特徴を示す情報を記憶する。   (5) In order to solve the above-described problem, in the identification method according to the present invention, the communication monitoring unit acquires information on the communication packet to be monitored, and the communication flow construction unit is acquired by the communication monitoring unit. The communication flow is reconstructed based on the information of the communication packet, and the traffic determination unit is estimated to have occurred due to an operation performed by a person for the communication flow reconstructed by the communication flow construction unit. It is determined whether it corresponds to the traffic of 1 or the second traffic estimated to have occurred without being caused by an operation performed by a person. By analyzing a communication protocol of the communication flow determined to correspond to the second traffic, information related to individual identification of the terminal device that transmitted the communication packet is obtained. The information storage unit stores information obtained by the terminal individual identification information analysis unit and information indicating the characteristics of the communication packet obtained based on the communication packet information obtained by the communication monitoring unit. To do.

(6)上記の課題を解決するために、本発明に係る識別プログラムは、通信監視部が、監視対象の通信パケットの情報を取得するステップと、通信フロー構築部が、前記通信監視部により取得される通信パケットの情報に基づいて通信フローを再構築するステップと、トラヒック判定部が、前記通信フロー構築部により再構築された通信フローについて、人により行われた操作に起因して発生したと推定される第1のトラヒックに対応するか、または、人により行われる操作に起因しないで発生したと推定される第2のトラヒックに対応するかを判定するステップと、端末個体識別情報分析部が、前記トラヒック判定部により前記第2のトラヒックに対応すると判定された前記通信フローの通信プロトコルを分析することで、前記通信パケットを送信した端末装置の個体識別に係る情報を取得するステップと、情報記憶部が、前記端末個体識別情報分析部により取得される情報、および、前記通信監視部により取得される通信パケットの情報に基づいて得られる前記通信パケットの特徴を示す情報を記憶するステップと、をコンピュータに実行させるための識別プログラムである。   (6) In order to solve the above-described problem, an identification program according to the present invention includes a step in which a communication monitoring unit acquires information on a communication packet to be monitored, and a communication flow construction unit is acquired by the communication monitoring unit. The step of reconstructing the communication flow based on the information of the communication packet to be performed, and the traffic determination unit is generated due to an operation performed by a person for the communication flow reconstructed by the communication flow construction unit Determining whether to correspond to the estimated first traffic or to correspond to the second traffic estimated not to be caused by an operation performed by a person, and the terminal individual identification information analysis unit Analyzing the communication protocol of the communication flow determined to correspond to the second traffic by the traffic determination unit. Acquiring information relating to the individual identification of the terminal device that has transmitted the information, the information storage unit is information acquired by the terminal individual identification information analysis unit, and information of the communication packet acquired by the communication monitoring unit And a step of storing information indicating characteristics of the communication packet obtained based on the identification program.

本発明によれば、端末装置の個体識別を精度良く行うことができる。   According to the present invention, it is possible to accurately identify an individual terminal device.

本発明の一実施形態に係る識別装置の概略的な構成を示すブロック図である。It is a block diagram showing a schematic structure of an identification device concerning one embodiment of the present invention. 本発明の一実施形態に係る識別装置におけるフォアグラウンドトラヒックとバックグラウンドトラヒックを判定する処理の手順の一例を示すフローチャートである。It is a flowchart which shows an example of the procedure of the process which determines the foreground traffic and the background traffic in the identification device which concerns on one Embodiment of this invention. 本発明の一実施形態に係る端末識別情報データベースに記憶される端末識別情報の一例を示す図である。It is a figure which shows an example of the terminal identification information memorize | stored in the terminal identification information database which concerns on one Embodiment of this invention.

以下、図面を参照し、本発明の実施形態について説明する。
本実施形態では、人(利用者)により行われた操作に起因して発生したと推定されるトラヒックをフォアグラウンドトラヒックと言う。フォアグラウンドトラヒックは、例えば、端末装置を操作する人(利用者)が意識して行った操作により発生したと推定されるトラヒックであるとも言える。
また、本実施形態では、人(利用者)により行われる操作に起因しないで発生したと推定されるトラヒックをバックグラウンドトラヒックと言う。バックグラウンドトラヒックは、例えば、端末装置を操作する人(利用者)が意識しない当該端末装置の動作(処理)により発生したと推定されるトラヒックであるとも言える。
ここで、フォアグラウンドトラヒックと、バックグラウンドトラヒックとしては、それぞれ、人(利用者)により行われた操作に起因して発生したトラヒックと、人(利用者)により行われる操作に起因しないで発生したトラヒックとに完全に区別されて判定されるのが好ましい一例であるが、本実施形態では、この区別(判定)に多少の誤差があってもよく、推定されるものと言っている。このため、例えば、フォアグラウンドトラヒックと、バックグラウンドトラヒックとして、それぞれ、人(利用者)により行われた操作に起因して発生したトラヒックと、人(利用者)により行われる操作に起因しないで発生したトラヒックとに完全に区別されて判定される場合も、本実施形態の一構成例として含む。
なお、本実施形態では、説明の便宜上から、フォアグラウンドトラヒックおよびバックグラウンドトラヒックという名称を用いるが、これらの名称としては、他の任意の名称が用いられてもよい。
また、本実施形態などでは、説明の便宜上から、「分析」という語を用いるが、「分析」の代わりに「解析」などの他の語が用いられてもよい。
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
In the present embodiment, traffic estimated to be generated due to an operation performed by a person (user) is referred to as foreground traffic. The foreground traffic can be said to be traffic presumed to have been generated by an operation performed by a person (user) operating the terminal device, for example.
Further, in the present embodiment, traffic estimated to have occurred without being caused by an operation performed by a person (user) is referred to as background traffic. It can be said that the background traffic is, for example, traffic estimated to be generated by an operation (processing) of the terminal device that is not conscious of a person (user) operating the terminal device.
Here, as foreground traffic and background traffic, traffic generated due to an operation performed by a person (user) and traffic generated not due to an operation performed by a person (user), respectively. In the present embodiment, it is said that there may be some error in this distinction (determination) and it is estimated. For this reason, for example, as foreground traffic and background traffic, the traffic occurred due to the operation performed by the person (user) and the operation performed by the person (user), respectively. A case where it is determined by being completely distinguished from traffic is also included as an example of the configuration of the present embodiment.
In the present embodiment, for convenience of explanation, names such as foreground traffic and background traffic are used. However, any other name may be used as these names.
In the present embodiment and the like, the word “analysis” is used for convenience of explanation, but other words such as “analysis” may be used instead of “analysis”.

図1は、本発明の一実施形態に係る識別装置1の概略的な構成を示すブロック図である。
また、図1は、通信パケットを流す回線2を示す。
本実施形態に係る識別装置1は、通信監視部11と、通信プロトコル分析部12と、端末識別情報データベース(情報記憶部)13と、端末個体識別部14と、を備える。
通信プロトコル分析部12は、通信フロー構築部31と、フローデータベース32と、トラヒック判定部(フォアグラウンド/バックグラウンドトラヒック判定部)33と、端末個体識別情報分析部34を備える。
本実施形態に係る識別装置1では、一例として、CPU(Central Processing Unit)があらかじめ記憶されたソフトウェア(例えば、プログラム)を実行することで、各種の処理や制御が行われる。
FIG. 1 is a block diagram showing a schematic configuration of an identification apparatus 1 according to an embodiment of the present invention.
FIG. 1 shows a line 2 through which communication packets flow.
The identification device 1 according to the present embodiment includes a communication monitoring unit 11, a communication protocol analysis unit 12, a terminal identification information database (information storage unit) 13, and a terminal individual identification unit 14.
The communication protocol analysis unit 12 includes a communication flow construction unit 31, a flow database 32, a traffic determination unit (foreground / background traffic determination unit) 33, and a terminal individual identification information analysis unit 34.
In the identification device 1 according to the present embodiment, as an example, various processes and controls are performed by executing software (for example, a program) stored in advance by a CPU (Central Processing Unit).

本実施形態に係る識別装置1は、回線2と接続される。
ここで、回線2としては、様々なものが用いられてもよく、例えば、コアネットワークの回線や、サービスプロバイダの回線など、様々なネットワークの回線を用いることができる。
The identification device 1 according to this embodiment is connected to a line 2.
Here, various lines may be used as the line 2. For example, various network lines such as a core network line and a service provider line may be used.

なお、本実施形態に係る通信システムでは、識別装置1は、サーバ装置に設けられている。サーバ装置は、回線2と接続される。
また、本実施形態に係る通信システムでは、回線2に、有線通信を行う端末装置や、基地局装置が接続される。
また、本実施形態に係る通信システムでは、無線通信を行う端末装置が、基地局装置と無線により通信することで、当該基地局装置に接続される回線2と接続される。
このような本実施形態に係る通信システムにおいて、有線通信を行う端末装置や、無線通信を行う端末装置は、回線2を介して、通信パケットを通信(送信や受信)する。
In the communication system according to the present embodiment, the identification device 1 is provided in the server device. The server device is connected to the line 2.
In the communication system according to the present embodiment, a terminal device or a base station device that performs wired communication is connected to the line 2.
In the communication system according to the present embodiment, a terminal device that performs wireless communication is connected to the line 2 connected to the base station device by wirelessly communicating with the base station device.
In such a communication system according to the present embodiment, a terminal device that performs wired communication or a terminal device that performs wireless communication communicates (transmits or receives) a communication packet via the line 2.

本実施形態に係る識別装置1において行われる動作の例を示す。
通信監視部11は、回線2と接続され、回線2に流れる通信パケット(例えば、そのネットワーク上に流れる通信パケット)を監視する。
本実施形態では、通信監視部11は、回線2に流れる通信パケット(例えば、そのネットワーク上に流れる通信パケット)をリアルタイムに監視する。
他の構成例として、通信監視部11は、オフラインで、外部の記憶装置または外部の通信装置などから、あらかじめ電子ファイル等に保存(記憶)された通信パケットを入力して、この通信パケットを監視対象とすることも可能である。
An example of an operation performed in the identification device 1 according to the present embodiment is shown.
The communication monitoring unit 11 is connected to the line 2 and monitors communication packets that flow through the line 2 (for example, communication packets that flow on the network).
In the present embodiment, the communication monitoring unit 11 monitors a communication packet flowing on the line 2 (for example, a communication packet flowing on the network) in real time.
As another configuration example, the communication monitoring unit 11 inputs a communication packet saved (stored) in an electronic file in advance from an external storage device or an external communication device, and monitors the communication packet. It is also possible to target.

通信監視部11は、監視対象となる通信パケットを回線2(他の構成例として、外部の記憶装置または外部の通信装置など)から取得すると、取得した通信パケットの情報を、通信プロトコル分析部12と、端末識別情報データベース13に、出力する。
本実施形態では、通信監視部11により監視される通信パケットは、通信プロトコル分析部12と端末識別情報データベース13において端末識別情報のデータベースを作成するために使用される。
When the communication monitoring unit 11 acquires a communication packet to be monitored from the line 2 (as another configuration example, an external storage device or an external communication device), the communication protocol analysis unit 12 To the terminal identification information database 13.
In this embodiment, the communication packet monitored by the communication monitoring unit 11 is used to create a terminal identification information database in the communication protocol analysis unit 12 and the terminal identification information database 13.

通信プロトコル分析部12では、次のような動作が行われる。
通信フロー構築部31は、通信監視部11から入力されて得られた通信パケットに基づいてセッション(通信フロー)を構築(再構築)し、再構築したセッションの情報(フロー情報)をトラヒック判定部33に出力する。
具体例として、通信フロー構築部31は、通信パケットの属性(例えば、送信元のIPアドレスや送信先(宛先)のIPアドレス、送信元のポート番号や送信先のポート番号、プロトコル番号等)が共通である通信パケットを同一の通信フローのものとみなして、1つの通信フローの情報とする。このような1つの通信フローの情報は、例えば、通信時刻と共に、トラヒック判定部33により、フローデータベース32に記憶させられてもよい。
The communication protocol analyzer 12 performs the following operation.
The communication flow constructing unit 31 constructs (reconstructs) a session (communication flow) based on the communication packet input from the communication monitoring unit 11, and sets the reconstructed session information (flow information) as a traffic determining unit. To 33.
As a specific example, the communication flow construction unit 31 has communication packet attributes (for example, a source IP address, a destination (destination) IP address, a source port number, a destination port number, a protocol number, etc.). A common communication packet is regarded as the same communication flow, and is used as information of one communication flow. Such information of one communication flow may be stored in the flow database 32 by the traffic determination unit 33 together with the communication time, for example.

ここで、通信フロー構築部31は、例えば、通信パケットに含まれる送信元を特定する情報(例えば、送信元のアドレス)と、当該通信パケットに含まれる送信先を特定する情報(例えば、送信先のアドレス)との組み合わせが一致する通信パケットの集合を用いて、セッションを再構築する。この場合、例えば、送信元の情報同士が一致するとともに送信先の情報同士が一致する複数の通信パケット(つまり、同一の装置間で同一の方向の通信パケット)が集合させられ、さらに、一方の通信パケットの送信元の情報と他方の通信パケットの送信先の情報とが一致しかつ当該一方の通信パケットの送信先の情報と当該他方の通信パケットの送信元の情報とが一致する2個の通信パケット(つまり、同一の装置間で逆の方向の通信パケット)が集合させられてもよい。
なお、2個の通信パケットの送信元または送信先の情報が互いに一致する場合ばかりでなく、例えば、2個の通信パケットの送信元または送信先の情報が互いに類似する場合においても、これら2個の通信パケットが集合させられてもよい。2個の通信パケットの送信元または送信先の情報が互いに類似する場合としては、例えば、アドレスの一部(例えば、@より後の一部または全部)が一致するが他の部分が一致しない場合が用いられてもよい。
また、通信フロー構築部31は、例えば、所定の時間の範囲に通信された複数の通信パケットの集合を用いて、セッションを再構築する。所定の時間の範囲としては、様々な範囲が用いられてもよい。
Here, for example, the communication flow construction unit 31 includes information (for example, the address of the transmission source) that identifies the transmission source included in the communication packet and information (for example, the transmission destination) that identifies the transmission destination included in the communication packet. The session is reconstructed by using a set of communication packets whose combination with the address of the address matches. In this case, for example, a plurality of communication packets in which the transmission source information matches and the transmission destination information match (that is, communication packets in the same direction between the same devices) are aggregated, Two pieces of information in which the transmission source information of the communication packet and the transmission destination information of the other communication packet match and the transmission destination information of the one communication packet matches the transmission source information of the other communication packet. Communication packets (that is, communication packets in the opposite direction between the same devices) may be aggregated.
It should be noted that not only when the transmission source or transmission destination information of two communication packets match each other, but also when the transmission source or transmission destination information of two communication packets are similar to each other, Communication packets may be aggregated. For example, when the source or destination information of two communication packets are similar to each other, for example, a part of the address (for example, part or all after @) matches but the other part does not match May be used.
Further, the communication flow constructing unit 31 reconstructs a session using, for example, a set of a plurality of communication packets communicated in a predetermined time range. Various ranges may be used as the predetermined time range.

フローデータベース32は、フロー情報などを記憶する。ここで、フローデータベース32には、例えば、初期的にフロー情報などが記憶されてもよく、または、運用時にトラヒック判定部33によりフロー情報などが記憶されてもよく、または、これらの両方においてフロー情報などが記憶されてもよい。例えば、初期的に記憶されるフロー情報などは、初期的に設定される通信フローなどの事例の情報となり、また、運用時に記憶されるフロー情報は、運用時における学習の結果として得られる通信フローなどの事例の情報となる。   The flow database 32 stores flow information and the like. Here, in the flow database 32, for example, flow information or the like may be initially stored, or the flow information or the like may be stored by the traffic determination unit 33 during operation, or the flow information may be stored in both of them. Information or the like may be stored. For example, initially stored flow information is information on cases such as initially set communication flows, and flow information stored during operation is a communication flow obtained as a result of learning during operation. It becomes information of case examples.

トラヒック判定部33は、通信フロー構築部31から入力されるフロー情報に基づいて、当該フロー情報に対応するトラヒックが、フォアグラウンドトラヒックであるか、または、バックグラウンドトラヒックであるかを判定する。そして、トラヒック判定部33は、バックグラウンドトラヒックであると判定したフロー情報を端末個体識別情報分析部34に出力し、フォアグラウンドトラヒックであると判定したフロー情報を端末個体識別情報分析部34に出力しない。つまり、本実施形態では、トラヒック判定部33は、バックグラウンドトラヒックであると判定したフロー情報のみを抽出して端末個体識別情報分析部34に出力する。   Based on the flow information input from the communication flow construction unit 31, the traffic determination unit 33 determines whether the traffic corresponding to the flow information is foreground traffic or background traffic. Then, the traffic determination unit 33 outputs the flow information determined to be background traffic to the terminal individual identification information analysis unit 34, and does not output the flow information determined to be foreground traffic to the terminal individual identification information analysis unit 34. . That is, in this embodiment, the traffic determination unit 33 extracts only the flow information determined to be background traffic and outputs it to the terminal individual identification information analysis unit 34.

ここで、トラヒック判定部33は、上記の判定を行う場合に、フローデータベース32に記憶されたフロー情報(通信フローの事例の情報)などを参照して用いてもよい。なお、他の構成例として、フローデータベース32に記憶されるフロー情報などを用いずにトラヒック判定部33が上記の判定を行う構成では、フローデータベース32は備えられなくてもよい。
フローデータベース32に記憶されるフロー情報などは、例えば、トラヒック判定部33により行われる判定において利用され得る情報を含み、初期的に設定される、または、学習により得られる。このフロー情報などには、トラヒック判定部33により行われる判定において利用され得る様々な情報が含まれてもよい。
Here, the traffic determination unit 33 may use the flow information (communication flow case information) stored in the flow database 32 and the like when performing the above determination. As another configuration example, in the configuration in which the traffic determination unit 33 performs the above determination without using the flow information stored in the flow database 32, the flow database 32 may not be provided.
The flow information and the like stored in the flow database 32 includes, for example, information that can be used in the determination performed by the traffic determination unit 33, and is initially set or obtained by learning. The flow information and the like may include various information that can be used in the determination performed by the traffic determination unit 33.

端末個体識別情報分析部34は、トラヒック判定部33から入力されたフロー情報(バックグラウンドトラヒックであると判定されたフロー情報)に基づいて、当該フロー情報のプロトコルの情報を分析することで、端末装置の個体を識別するための情報(端末個体識別情報)を分析し、当該分析の結果の情報(端末情報)を端末識別情報データベース13に出力する。   The terminal individual identification information analysis unit 34 analyzes the protocol information of the flow information based on the flow information (flow information determined to be background traffic) input from the traffic determination unit 33, thereby Information for identifying an individual device (terminal individual identification information) is analyzed, and information (terminal information) as a result of the analysis is output to the terminal identification information database 13.

図2を参照して、本発明の一実施形態に係る識別装置1におけるフォアグラウンドトラヒックとバックグラウンドトラヒックを判定する処理の手順の一例を示す。
図2は、本発明の一実施形態に係る識別装置1におけるフォアグラウンドトラヒックとバックグラウンドトラヒックを判定する処理の手順の一例を示すフローチャートである。
With reference to FIG. 2, an example of the procedure of the process which determines the foreground traffic and the background traffic in the identification apparatus 1 which concerns on one Embodiment of this invention is shown.
FIG. 2 is a flowchart illustrating an example of a processing procedure for determining foreground traffic and background traffic in the identification device 1 according to an embodiment of the present invention.

(ステップS1)
まず、通信監視部11は、通信パケットを取得(抽出)する。
(ステップS2)
次に、通信フロー構築部31は、通信監視部11により取得された通信パケットの情報に基づいて、通信フローを構築(再構築)する。
続いて、トラヒック判定部33は、通信フロー構築部31により構築された通信フローの情報(フロー情報)に基づいて、次の(ステップS3)〜(ステップS8)の処理を行う。
(Step S1)
First, the communication monitoring unit 11 acquires (extracts) a communication packet.
(Step S2)
Next, the communication flow constructing unit 31 constructs (reconstructs) a communication flow based on the information of the communication packet acquired by the communication monitoring unit 11.
Subsequently, the traffic determination unit 33 performs the following processes (step S3) to (step S8) based on the communication flow information (flow information) constructed by the communication flow construction unit 31.

(ステップS3)
トラヒック判定部33は、通信フロー構築部31により得られたフロー情報について、コンテンツの数を検出し、検出したコンテンツの数が所定の閾値(コンテンツの数に関する閾値)より小さいか否かを判定する。
この判定の結果、トラヒック判定部33は、検出したコンテンツの数が所定の閾値より小さいと判定した場合には(YES)、ステップS4の処理へ移行する。一方、トラヒック判定部33は、検出したコンテンツの数が所定の閾値以上であると判定した場合には(NO)、ステップS8の処理へ移行する。
ここで、コンテンツの数としては、例えば、同時に取得するコンテンツの数が用いられる。また、コンテンツの数としては、例えば、1つの通信フローに含まれるコンテンツの数が用いられる。
(Step S3)
The traffic determination unit 33 detects the number of contents in the flow information obtained by the communication flow construction unit 31, and determines whether the detected number of contents is smaller than a predetermined threshold (threshold regarding the number of contents). .
As a result of the determination, if the traffic determination unit 33 determines that the number of detected contents is smaller than the predetermined threshold (YES), the process proceeds to step S4. On the other hand, when the traffic determination unit 33 determines that the number of detected contents is equal to or greater than the predetermined threshold (NO), the traffic determination unit 33 proceeds to the process of step S8.
Here, as the number of contents, for example, the number of contents acquired simultaneously is used. Further, as the number of contents, for example, the number of contents included in one communication flow is used.

(ステップS4)
トラヒック判定部33は、通信フロー構築部31により得られたフロー情報について、アクセスサーバの数を検出し、検出したアクセスサーバの数が所定の閾値(アクセスサーバの数に関する閾値)より小さいか否かを判定する。
この判定の結果、トラヒック判定部33は、検出したアクセスサーバの数が所定の閾値より小さいと判定した場合には(YES)、ステップS5の処理へ移行する。一方、トラヒック判定部33は、検出したアクセスサーバの数が所定の閾値以上であると判定した場合には(NO)、ステップS8の処理へ移行する。
ここで、アクセスサーバの数としては、例えば、同時にアクセスするサーバの数が用いられる。また、アクセスサーバの数としては、例えば、1つの通信フローに含まれるアクセスのサーバの数が用いられる。
(Step S4)
The traffic determination unit 33 detects the number of access servers for the flow information obtained by the communication flow construction unit 31, and determines whether or not the detected number of access servers is smaller than a predetermined threshold value (threshold value regarding the number of access servers). Determine.
As a result of this determination, if the traffic determination unit 33 determines that the number of detected access servers is smaller than the predetermined threshold (YES), the process proceeds to step S5. On the other hand, when the traffic determination unit 33 determines that the number of detected access servers is equal to or greater than the predetermined threshold (NO), the traffic determination unit 33 proceeds to the process of step S8.
Here, as the number of access servers, for example, the number of servers that access simultaneously is used. Further, as the number of access servers, for example, the number of access servers included in one communication flow is used.

(ステップS5)
トラヒック判定部33は、通信フロー構築部31により得られたフロー情報について、通信の周期性(時系列的な周期性)があるか否かを判定する。
この判定の結果、トラヒック判定部33は、通信の周期性があると判定した場合には(YES)、ステップS6の処理へ移行する。一方、トラヒック判定部33は、通信の周期性がないと判定した場合には(NO)、ステップS8の処理へ移行する。
ここで、トラヒック判定部33は、例えば、通信フロー構築部31により得られたフロー情報について、すべての通信が周期的でなくても、周期的な通信が含まれる場合には、通信の周期性があると判定する、構成が用いられてもよい。
なお、通信の周期性としては、例えば、端末装置からの送信の周期性が用いられてもよく、または、端末装置による受信の周期性が用いられてもよく、または、端末装置からの送信と当該端末装置による受信とを合わせた通信(送受信)の周期性が用いられてもよい。また、通信の周期性としては、例えば、所定の通信の開始時刻に関する周期性、または、所定の通信の時間間隔に関する周期性などが用いられてもよい。
また、周期性の有無を判定するときに用いられる時刻としては、例えば、所定の範囲(例えば、5分や10分など)でずれ(誤差)が許容されてもよい。
また、周期性の有無を判定する場合に、例えば、フーリエ変換の処理が用いられてもよい。
(Step S5)
The traffic determination unit 33 determines whether or not the flow information obtained by the communication flow construction unit 31 has communication periodicity (time-series periodicity).
As a result of this determination, if the traffic determination unit 33 determines that there is periodicity of communication (YES), the process proceeds to step S6. On the other hand, if the traffic determination unit 33 determines that there is no periodicity of communication (NO), the traffic determination unit 33 proceeds to the process of step S8.
Here, the traffic determination unit 33, for example, regarding the flow information obtained by the communication flow constructing unit 31, if periodic communication is included even if all communication is not periodic, communication periodicity A configuration may be used that determines that there is.
As the periodicity of communication, for example, the periodicity of transmission from the terminal device may be used, the periodicity of reception by the terminal device may be used, or transmission from the terminal device may be used. The periodicity of communication (transmission / reception) combined with reception by the terminal device may be used. Further, as the periodicity of communication, for example, the periodicity related to the start time of predetermined communication or the periodicity related to the time interval of predetermined communication may be used.
Further, as the time used when determining the presence or absence of periodicity, for example, a deviation (error) may be allowed within a predetermined range (for example, 5 minutes or 10 minutes).
Further, when determining the presence or absence of periodicity, for example, a Fourier transform process may be used.

(ステップS6)
トラヒック判定部33は、通信フロー構築部31により得られたフロー情報について、アップリンク(UL:Up Link)の通信パケットの数と、ダウンリンク(DL:Down Link)の通信パケットの数を検出する。なお、ULは、端末装置から上位の装置(例えば、基地局装置やサーバなど)へ流れるリンクであり、また、DLは、上位の装置から端末装置へ流れるリンクである。
そして、トラヒック判定部33は、通信パケットの検出結果に基づいて、{(ULの通信パケットの数)/(DLの通信パケットの数)}が所定の閾値C以下である、または、{(DLの通信パケットの数)/(ULの通信パケットの数)}が所定の閾値D以下である、という条件が満たされるか否かを判定する。なお、所定の閾値Cおよび所定の閾値Dとしては、それぞれ、様々な値が設定されてもよい。
この判定の結果、トラヒック判定部33は、上記の条件が満たされると判定した場合には(YES)、ステップS7の処理へ移行する。一方、トラヒック判定部33は、上記の条件が満たされないと判定した場合、つまり、{(ULの通信パケットの数)/(DLの通信パケットの数)}が所定の閾値Cより大きく、かつ、{(DLの通信パケットの数)/(ULの通信パケットの数)}が所定の閾値Dより大きいと判定した場合には(NO)、ステップS8の処理へ移行する。
(Step S6)
The traffic determination unit 33 detects the number of uplink (UL) communication packets and the number of downlink (DL) communication packets for the flow information obtained by the communication flow construction unit 31. . Note that UL is a link that flows from the terminal device to a higher-level device (for example, a base station device or a server), and DL is a link that flows from the higher-level device to the terminal device.
Then, based on the detection result of the communication packet, the traffic determination unit 33 has {(number of UL communication packets) / (number of DL communication packets)} equal to or less than a predetermined threshold C, or {(DL The number of communication packets) / (the number of UL communication packets)} is equal to or smaller than a predetermined threshold value D is determined. Note that various values may be set as the predetermined threshold C and the predetermined threshold D, respectively.
As a result of this determination, if the traffic determination unit 33 determines that the above condition is satisfied (YES), the process proceeds to step S7. On the other hand, when the traffic determination unit 33 determines that the above condition is not satisfied, that is, {(number of UL communication packets) / (number of DL communication packets)} is greater than a predetermined threshold C, and If it is determined that {(number of DL communication packets) / (number of UL communication packets)} is greater than the predetermined threshold D (NO), the process proceeds to step S8.

(ステップS7)
トラヒック判定部33は、通信フロー構築部31により得られたフロー情報に対応する通信トラヒックはバックグラウンドトラヒックであると判定する。そして、トラヒック判定部33は、本フローの処理を終了する。
(ステップS8)
トラヒック判定部33は、通信フロー構築部31により得られたフロー情報に対応する通信トラヒックはフォアグラウンドトラヒックであると判定する。そして、トラヒック判定部33は、本フローの処理を終了する。
(Step S7)
The traffic determination unit 33 determines that the communication traffic corresponding to the flow information obtained by the communication flow construction unit 31 is background traffic. Then, the traffic determination unit 33 ends the process of this flow.
(Step S8)
The traffic determination unit 33 determines that the communication traffic corresponding to the flow information obtained by the communication flow construction unit 31 is foreground traffic. Then, the traffic determination unit 33 ends the process of this flow.

ここで、図2の例では、バックグラウンドトラヒックは、フォアグラウンドトラヒックと比べて、コンテンツの数が小さいという推定を用いている。一般的に、フォアグラウンドトラヒックは、バックグラウンドトラヒックと比べて、多くのコンテンツを同時に取得する傾向にある。一例として、フォアグラウンドトラヒックとして、人(利用者)により行われる操作で発生するWebページの閲覧などのトラヒックがある。   Here, in the example of FIG. 2, the background traffic uses an estimation that the number of contents is smaller than the foreground traffic. In general, foreground traffic tends to acquire more content at the same time than background traffic. As an example, foreground traffic includes traffic such as browsing of a web page generated by an operation performed by a person (user).

また、図2の例では、バックグラウンドトラヒックは、フォアグラウンドトラヒックと比べて、アクセスサーバの数が小さいという推定を用いている。一般的に、フォアグラウンドトラヒックは、バックグラウンドトラヒックと比べて、多くのコンテンツを同時に取得するために、多くのサーバに同時にアクセスする傾向にある。例えば、1枚のWebページを作成する場合においても、Webページ内の情報ごとにサーバが異なり得て、多数の送信先(リクエスト先)のサーバから情報を取得することがある。   Further, in the example of FIG. 2, the background traffic uses an estimation that the number of access servers is smaller than the foreground traffic. In general, foreground traffic tends to access many servers at the same time in order to obtain more content at the same time than background traffic. For example, even when a single Web page is created, the server may be different for each piece of information in the Web page, and information may be obtained from a number of destination (request destination) servers.

また、図2の例では、バックグラウンドトラヒックは、フォアグラウンドトラヒックと比べて、周期性があるという推定を用いている。一般的に、バックグラウンドトラヒックは、フォアグラウンドトラヒックと比べて、定期的な通信の有無の観点で、周期性を持つ傾向にある。一例として、バックグラウンドトラヒックとして、人(利用者)により行われる操作とは無関係に(自動的に)発生するソフトウェアの自動更新などのトラヒックがある。
例えば、バックグラウンドトラヒックでは、OSやアプリケーションなどによって、自動的に端末装置からサーバにアクセスして更新情報を取得する周期(例えば、10分に1回、20分に1回など)が異なる。一例として、目覚まし時計のアプリケーションでは、1日に1回、端末装置がサーバにアクセスして更新情報を取得するものがあり得る。他の一例として、メールのアプリケーションでは、所定の時間間隔で、端末装置がサーバにアクセスして、受信メールの存在の有無の確認や受信を行う場合がある。
逆に、フォアグラウンドトラヒックでは、人(利用者)により行われる操作に起因して、ランダムなタイミングで、(例えば大量の)トラヒックが発生する。
Further, in the example of FIG. 2, the estimation that the background traffic is periodic compared to the foreground traffic is used. In general, background traffic tends to have periodicity in terms of the presence or absence of regular communication as compared to foreground traffic. As an example, the background traffic includes traffic such as automatic software update that occurs (automatically) regardless of an operation performed by a person (user).
For example, in the background traffic, the period (for example, once every 10 minutes, once every 20 minutes, etc.) for automatically accessing the server from the terminal device and acquiring update information differs depending on the OS or application. As an example, an alarm clock application may be one in which a terminal device accesses a server and acquires update information once a day. As another example, in a mail application, a terminal device may access a server at a predetermined time interval to check whether there is a received mail or to receive it.
Conversely, in foreground traffic, traffic (for example, a large amount) occurs at random timing due to an operation performed by a person (user).

また、図2の例では、バックグラウンドトラヒックは、フォアグラウンドトラヒックと比べて、ULの通信パケットの数とDLの通信パケットの数との差が大きい(比率が偏っている)という推定を用いている。一般的に、バックグラウンドトラヒックは、フォアグラウンドトラヒックと比べて、アップロード量とダウンロード量のバランスに関して、いずれかに偏る傾向にある。一例として、サーバから端末装置へ天気などの情報を配信するサービスでは、ダウンロード量(DLの通信パケットの数)の方が多くなる。逆に、一例として、端末装置からサーバへ人(利用者)の測定情報などを送信してサーバで管理するサービスでは、アップロード量(ULの通信パケットの数)の方が多くなる。   In the example of FIG. 2, background traffic uses an estimation that the difference between the number of UL communication packets and the number of DL communication packets is large (the ratio is biased) compared to foreground traffic. . In general, background traffic tends to be biased toward either the amount of upload and the amount of download compared to foreground traffic. As an example, in a service that distributes information such as weather from a server to a terminal device, the amount of download (number of DL communication packets) is larger. Conversely, as an example, in a service in which measurement information of a person (user) is transmitted from the terminal device to the server and managed by the server, the upload amount (number of UL communication packets) is larger.

なお、図2の例は一例であり、フォアグラウンドトラヒックとバックグラウンドトラヒックを判定する条件としては、様々な条件が用いられてもよく、また、1個以上の様々な数の条件が用いられてもよい。また、フォアグラウンドトラヒックとバックグラウンドトラヒックを判定する条件としては、様々なパラメータを使用する条件が用いられてもよく、様々な統計的な情報やヒューリスティックな情報が用いられてもよい。また、フォアグラウンドトラヒックとバックグラウンドトラヒックを判定する方法としては、例えば、本実施形態のように、複数のパラメータのそれぞれごとに判定を行うフローが用いられてもよく、または、各パラメータに対して重み付けを与えて総和などした値について判定することで、複数のパラメータについて総合的に判定する方法が用いられてもよい。   The example of FIG. 2 is an example, and various conditions may be used as conditions for determining foreground traffic and background traffic, and one or more various conditions may be used. Good. In addition, as a condition for determining foreground traffic and background traffic, a condition using various parameters may be used, and various statistical information and heuristic information may be used. Further, as a method of determining foreground traffic and background traffic, for example, a flow for determining each of a plurality of parameters as in the present embodiment may be used, or each parameter may be weighted. A method of comprehensively determining a plurality of parameters may be used by determining the value obtained by giving the sum and the like.

フォアグラウンドトラヒックとバックグラウンドトラヒックを判定するための他の観点として、例えば、バックグラウンドトラヒックではアプリケーションごとに端末装置が通信する相手のサーバが1つまたは少数に限られる傾向にあるのに対して、フォアグラウンドトラヒックでは人(利用者)の嗜好に応じて端末装置が通信する相手のサーバが様々となる傾向にある、観点がある。
フォアグラウンドトラヒックとバックグラウンドトラヒックを判定するための他の観点として、例えば、バックグラウンドトラヒックは何らかのパターンを有しており、フォアグラウンドトラヒックは当該パターンを有していない傾向にある、観点がある。
As another viewpoint for determining the foreground traffic and the background traffic, for example, the background traffic tends to be limited to one or a small number of servers with which the terminal device communicates for each application, while the foreground traffic is limited. There is a viewpoint that the other party's server with which the terminal device communicates tends to vary depending on the preference of the person (user) in the traffic.
As another viewpoint for determining the foreground traffic and the background traffic, for example, there is an aspect in which the background traffic has some pattern and the foreground traffic tends not to have the pattern.

フォアグラウンドトラヒックとバックグラウンドトラヒックを判定する処理の他の例として、送信元の情報および送信先の情報の組み合わせごとにセッションをグループ分けし、グループごとに各セッションの生起タイミングに関する自己相関の計算結果に基づいてセッションを識別する(自己相関が高いとバックグラウンドトラヒックであると判定する)処理が用いられてもよい。また、異なるグループのセッションの間における生起タイミングに関する相互相関の計算結果も考慮してセッションを識別する(相互相関が高いとバックグラウンドトラヒックであると判定する)処理が用いられてもよい。また、バックグラウンドトラヒックであると識別されたセッションとの相互相関が高いセッションをバックグラウンドのものと識別する処理が用いられてもよい。
また、各セッションの生起タイミングの差が小さい場合にはフォアグラウンドトラヒックであると判定する処理が用いられてもよい。また、この処理における比較対象のセッションとしてフォアグラウンドトラヒックであると識別されたものを用いる処理が用いられてもよい。
As another example of the process of determining foreground traffic and background traffic, the sessions are grouped for each combination of source information and destination information, and the autocorrelation calculation results for the occurrence timing of each session for each group. A process of identifying a session based on it (determining that background traffic is high when autocorrelation is high) may be used. In addition, a process of identifying a session in consideration of a calculation result of cross-correlation between occurrence timings between sessions of different groups (determining that background traffic is high when the cross-correlation is high) may be used. In addition, a process for identifying a session having a high cross-correlation with a session identified as background traffic from the background may be used.
In addition, when the difference between the occurrence timings of the sessions is small, a process for determining that the foreground traffic is used may be used. In addition, a process using a session identified as foreground traffic may be used as a comparison target session in this process.

なお、フォアグラウンドトラヒックの傾向や、バックグラウンドトラヒックの傾向は、例えば、端末装置にインストールされているOSやアプリケーションなどに応じて異なり得る。フォアグラウンドトラヒックであってもその傾向を満たさないもの(例えば、バックグラウンドトラヒックの傾向を満たすもの)や、バックグラウンドトラヒックであってもその傾向を満たさないもの(例えば、フォアグラウンドトラヒックの傾向を満たすもの)もあり得るが、大きな傾向としては、ノイズとみなすことが可能であり、実用上で十分な精度の判定が可能である。   Note that the tendency of foreground traffic and the tendency of background traffic may differ depending on, for example, the OS or application installed in the terminal device. Foreground traffic that does not satisfy the trend (for example, that satisfies the background traffic trend), or for background traffic that does not satisfy the trend (for example, foreground traffic trend) However, as a large tendency, it can be regarded as noise, and a practically sufficient accuracy can be determined.

次に、端末個体識別情報分析部34により行われる分析について詳しく説明する。
本実施形態では、バックグラウンドトラヒックであると判定されたフロー情報について、端末個体識別情報分析部34により行われる分析により、通信プロトコル分析部12における通信プロトコルの情報の分析の結果が得られる。通信プロトコル分析部12は、この通信プロトコルの情報の分析により、通信プロトコルの情報中のOS情報などの端末情報を取得する。通信プロトコル分析部12は、取得した端末情報を端末識別情報データベース13に出力する。
本実施形態では、通信プロトコル分析部12は、通信プロトコルの情報の分析に際して、通信プロトコルの情報中のアプリケーションの情報などを取得し、取得したアプリケーションの情報などに基づいて、OS情報などの端末情報を取得する。この取得は、例えば、類推的に行われてもよい。
Next, the analysis performed by the terminal individual identification information analysis unit 34 will be described in detail.
In this embodiment, the analysis result of the communication protocol information in the communication protocol analysis unit 12 is obtained by the analysis performed by the terminal individual identification information analysis unit 34 on the flow information determined to be background traffic. The communication protocol analysis unit 12 acquires terminal information such as OS information in the communication protocol information by analyzing the communication protocol information. The communication protocol analysis unit 12 outputs the acquired terminal information to the terminal identification information database 13.
In the present embodiment, the communication protocol analysis unit 12 acquires application information or the like in the communication protocol information when analyzing communication protocol information, and terminal information such as OS information based on the acquired application information or the like. To get. This acquisition may be performed by analogy, for example.

ここで、一般に、通信プロトコルの情報には、その通信プロトコルを実行する端末装置の種類を示す情報(端末情報)を、そのアプリケーションの情報に、明示的に含むものが存在する。本実施形態では、端末個体識別情報分析部34は、このような端末情報を取得する。
また、通信プロトコルの情報から端末情報を取得する手順は、例えば、それぞれの通信プロトコルごとに、あらかじめ規定され、プログラムなどの形式で実現される。
このような端末個体識別情報分析部34の機能は、Deep Packet Inspectionの機能に相当する。
Here, in general, there is information in the communication protocol that explicitly includes information (terminal information) indicating the type of the terminal device that executes the communication protocol in the information of the application. In the present embodiment, the terminal individual identification information analysis unit 34 acquires such terminal information.
Further, the procedure for acquiring terminal information from communication protocol information is defined in advance for each communication protocol and is realized in the form of a program or the like.
Such a function of the terminal individual identification information analysis unit 34 corresponds to a function of Deep Packet Inspection.

ここで、端末情報としては、端末装置の種類を示す情報が用いられ、例えば、端末装置に搭載されたOSの種類を示す情報(OS情報)、端末装置の機種名を示す情報(機種名情報)、端末装置の番号を示す情報(番号情報)、などのうちの1つ以上を用いることができる。   Here, information indicating the type of the terminal device is used as the terminal information. For example, information indicating the type of OS installed in the terminal device (OS information), information indicating the model name of the terminal device (model name information) ), Information indicating the number of the terminal device (number information), or the like can be used.

一例として、TCP/IPの通信プロトコルを用いる場合を示す。TCP/IPの通信プロトコルのアプリケーションの情報として、アプリケーションレイヤプロトコルであるHTTP(Hyper Text Transfer Protocol)の情報を用いる。
通信フロー構築部31は、通信パケットに基づいて通信フローを再構築する処理として、得られた複数の通信パケット(通信パケット群)を並べ替えて、(再送の分を除いて、)TCP/IPのセッション(通信フロー)を再現する。そして、端末個体識別情報分析部34は、そのTCP/IPのセッション(通信フロー)の上に載っているアプリケーションレイヤプロトコル(HTTP)を分析する。これにより、端末個体識別情報分析部34は、アプリケーションレベルで通信プロトコルを分析して、端末情報を取得する。
As an example, a case where a TCP / IP communication protocol is used will be described. As application information of the TCP / IP communication protocol, HTTP (Hyper Text Transfer Protocol) information, which is an application layer protocol, is used.
The communication flow construction unit 31 rearranges the obtained plurality of communication packets (communication packet group) as a process of reconstructing the communication flow based on the communication packets, and removes the TCP / IP (except for retransmission). Reproduce the session (communication flow). Then, the terminal individual identification information analysis unit 34 analyzes the application layer protocol (HTTP) placed on the TCP / IP session (communication flow). Thereby, the terminal individual identification information analysis part 34 analyzes a communication protocol in an application level, and acquires terminal information.

具体的な一例として、HTTPのプロトコルにおいては、次のような形式のユーザエージェントヘッダ(User−Agent:ヘッダ)が含まれることが多い。   As a specific example, the HTTP protocol often includes a user agent header (User-Agent: header) in the following format.

(User−Agent:ヘッダの例)
User−Agent: Mozilla/5.0(*******; U; ******* NT 6.0; ja; rv:1.9.0.6) Gecko/2009011913 Firefox/3.0.6 (.NET CLR 3.5.30729)
(User-Agent: header example)
User-Agent: Mozilla / 5.0 (*********; U; ****** NT 6.0; ja; rv: 1.9.0.6) Gecko / 200901913 13 Firefox .0.6 (.NET CLR 3.5.30729)

ここで、「Mozilla/5.0」は、ブラウザのバージョン(ブラウザの種類)を示す情報である。
また、「******* NT 6.0」は、OSのバージョン(OSの種類)を示す情報である。
なお、上記した(User−Agent:ヘッダの例)およびその説明における「*******」としては、「Windows(登録商標)」という文字列が用いられる(但し、「(登録商標)」という部分は、便宜上付したものであり、前記文字列には含まれない。)。
Here, “Mozilla / 5.0” is information indicating the browser version (browser type).
Further, “******* NT 6.0” is information indicating the OS version (OS type).
Note that the character string “Windows (registered trademark)” is used as “***-***” in the above (User-Agent: header example) and description thereof (provided that “(registered trademark)”). ”Is added for convenience and is not included in the character string.)

この例では、User−Agent:ヘッダには、ブラウザのバージョンを示す情報に加えて、OSのバージョンを示す情報が含まれているため、端末個体識別情報分析部34は、このUser−Agent:ヘッダから、OS情報を得ることが可能である。   In this example, since the User-Agent: header includes information indicating the OS version in addition to the information indicating the browser version, the terminal individual identification information analysis unit 34 uses the User-Agent: header. From this, it is possible to obtain OS information.

また、他の例として、ある特定のOSだけに提供されているアプリケーションがある場合には、このアプリケーションを使用していることが特定されたときには、端末個体識別情報分析部34は、この特定のOSの情報を得ることができる。   As another example, when there is an application provided only to a specific OS, when it is specified that the application is used, the terminal individual identification information analysis unit 34 OS information can be obtained.

ここで、User−Agent:ヘッダには、アプリケーションの種類を示す情報や、バージョンを示す番号などの情報や、OSの種類を示す情報などが含まれている。そして、同一のUser−Agent(User−Agentに含まれる複数の情報の全てが同一であるもの)を使用する端末装置の数は少なく、1個である場合も多い。   Here, the User-Agent: header includes information indicating an application type, information such as a version number, information indicating an OS type, and the like. In addition, the number of terminal devices using the same User-Agent (all of the plurality of pieces of information included in the User-Agent are the same) is small, and there is often one.

具体例として、スマートフォンなどの端末装置では、様々なアプリケーションの中で、HTTPを使用していることが多い。一例として、ある端末装置においては「天気予報のアプリケーションであって、第2.3バージョンであるもの」を使用しており、他の端末装置においては「(前記と同じ)天気予報のアプリケーションであって、第4.0バージョンであるもの」を使用している、ということがあり、この場合、これら2つの端末装置を(同一の)天気予報のアプリケーションではあるがそのバージョンの違いで識別することができる。また、他の例として、端末装置が使用する同種のアプリケーション自体が異なる(例えば、天気予報のアプリケーション自体が異なる)ことに基づいて、各端末装置を識別することも可能である。
そして、このようなアプリケーションやバージョンの組み合わせが完全に同じである端末装置は少ないと考えられ、特に、複数のアプリケーションの組み合わせを考慮するとさらに少なくなり、これにより、ある程度(理想的には、1個ずつ)、端末装置を識別(特定)することが可能である。例えば、複数のUser−Agentの情報の組み合わせを用いると、同じ端末装置(例えば、同じIPアドレスを使用する端末装置)が使用した複数のアプリケーションに関する情報の組み合わせを識別(特定)することができる。
As a specific example, a terminal device such as a smartphone often uses HTTP in various applications. As an example, a terminal device uses a “weather forecast application that is the 2.3 version”, and other terminal devices use “(same as above) weather forecast application. In this case, these two terminal devices are identified by the difference in their versions even though they are (same) weather forecast applications. Can do. As another example, it is also possible to identify each terminal device based on the fact that the same kind of application used by the terminal device is different (for example, the weather forecast application itself is different).
And, it is considered that there are few terminal devices in which the combination of such applications and versions is completely the same, especially when considering the combination of a plurality of applications. The terminal device can be identified (specified). For example, when a combination of a plurality of User-Agent information is used, a combination of information on a plurality of applications used by the same terminal device (for example, a terminal device using the same IP address) can be identified (specified).

また、例えば、3GPPなどの携帯網のアドレス(例えば、IPアドレス)と、WiFi(Wireless Fidelity)網などのアドレス(例えば、IPアドレス)とは異なるため、これらについては、互いに紐付けすることが必要となる。本実施形態では、端末装置の個体を識別(特定)した後に、異なる複数のネットワークの間(例えば、異なる複数のネットワーク内識別子の間)の紐付けを行う。この紐付けは、本実施形態では、端末識別情報データベース13または端末個体識別部14で行う。   In addition, for example, an address of a mobile network such as 3GPP (for example, an IP address) and an address such as a WiFi (Wireless Fidelity) network (for example, an IP address) are different from each other. It becomes. In this embodiment, after identifying (specifying) an individual terminal device, linking between different networks (for example, between different intra-network identifiers) is performed. In this embodiment, this association is performed by the terminal identification information database 13 or the terminal individual identification unit 14.

また、端末個体識別情報分析部34は、例えば、HTTP以外にも、次のような(情報の例1)〜(情報の例5)のうちの1つ以上の情報を分析してその結果を出力する構成とすることもできて、好ましい。また、他の情報が用いられてもよい。
複数の異なるフィンガプリント(Fingerprint)の情報を組み合わせて用いると、精度をより高めることができる。
In addition, for example, the terminal individual identification information analysis unit 34 analyzes one or more of the following (Information Example 1) to (Information Example 5) in addition to HTTP, and obtains the result. It can also be set as the structure which outputs, and it is preferable. Other information may also be used.
When information of a plurality of different fingerprints (Fingerprint) is used in combination, the accuracy can be further improved.

(情報の例1)TCPのフィンガプリントの情報を用いることができる。
(情報の例2)ブラウザのフィンガプリントの情報を用いることができ、例えば、Webブラウザが出力するヘッダや、インストール済みのプラグインや、プラグインのバージョンなどの情報を用いることができる。
(情報の例3)端末装置のクロックスキュー(Clock Skew)のフィンガプリントの情報を用いることができ、例えば、クロックスキューを使用したデバイス(Device)のフィンガプリントの情報を用いることができる。
(情報の例4)端末装置のアクセス先のフィンガプリントの情報を用いることができ、例えば、アクセス先のホスト(Host)の情報を用いることができる。
(情報の例5)端末装置の(HTTP以外の)アプリケーションのフィンガプリントの情報を用いることができ、例えば、動画のアプリケーションの閲覧設定の情報を用いることができる。
(Information Example 1) Information on a fingerprint of TCP can be used.
(Example 2 of information) Information on the fingerprint of the browser can be used. For example, information such as a header output by the Web browser, an installed plug-in, and a plug-in version can be used.
(Example 3 of information) Fingerprint information of a clock skew of a terminal device can be used. For example, information of a fingerprint of a device using a clock skew (Device) can be used.
(Example 4 of information) Information on the fingerprint of the access destination of the terminal device can be used. For example, information on the host (Host) of the access destination can be used.
(Example 5 of information) The information of the fingerprint of the application (other than HTTP) of the terminal device can be used. For example, the information of the browsing setting of the application of the moving image can be used.

端末識別情報データベース13は、通信監視部11から入力されて得られた通信パケットの情報および通信プロトコル分析部12(本実施形態では、端末個体識別情報分析部34)から入力されて得られた端末情報に基づいて、これらに関する情報を併せて、端末識別情報として、記録して保持(記憶)する。これにより、端末識別情報データベース13において、端末識別情報のデータベースが作成される。
本実施形態では、端末識別情報データベース13は、端末識別情報として、通信プロトコル分析部12から入力されて得られた端末情報と、ネットワーク内識別子の情報を含むネットワーク関連情報(ネットワークに関連する情報)とを対応付けた情報を記録等する。
The terminal identification information database 13 is information obtained from the communication packet input from the communication monitoring unit 11 and the terminal obtained from the communication protocol analysis unit 12 (in this embodiment, the terminal individual identification information analysis unit 34). Based on the information, information related to these is also recorded and held (stored) as terminal identification information. Thereby, a terminal identification information database is created in the terminal identification information database 13.
In this embodiment, the terminal identification information database 13 is network-related information (information related to a network) including terminal information obtained by inputting from the communication protocol analysis unit 12 as terminal identification information and information on an in-network identifier. And the like are recorded.

ここで、ネットワーク内識別子とは、同一のネットワーク内で端末装置を識別することが可能な識別子であり、例えば、アドレスが用いられ、一般のIPネットワークではIPアドレスが用いられる。
また、ネットワーク関連情報として、例えば、ネットワーク内識別子の情報以外に、ネットワークの情報(ネットワーク情報)や、時刻の情報(時刻情報)を用いることができる。
Here, the intra-network identifier is an identifier that can identify a terminal device in the same network. For example, an address is used, and an IP address is used in a general IP network.
Further, as the network-related information, for example, network information (network information) and time information (time information) can be used in addition to the information on the in-network identifier.

ネットワーク関連情報は、例えば、端末識別情報データベース13において、通信監視部11から入力されて得られる通信パケットの情報から(または、通信プロトコル分析部12から入力されて得られる端末情報から)取得される。
本実施形態では、端末識別情報データベース13は、例えば、通信監視部11から入力されて得られた通信パケットの情報に基づいて得られる通信パケットの特徴を示す情報(例えば、ネットワーク関連情報など)を取得する機能を有する。この機能は、Shallow Packet Inspectionの機能に相当する。他の構成例として、通信監視部11にShallow Packet Inspectionの機能を備えて、その結果の情報を通信監視部11から端末識別情報データベース13に出力することも可能である。
For example, the network related information is acquired from the information of the communication packet obtained by being input from the communication monitoring unit 11 in the terminal identification information database 13 (or from the terminal information obtained by being input from the communication protocol analyzing unit 12). .
In the present embodiment, the terminal identification information database 13 includes, for example, information (for example, network related information) indicating the characteristics of a communication packet obtained based on the information of the communication packet obtained by being input from the communication monitoring unit 11. Has a function to acquire. This function corresponds to the function of Shallow Packet Inspection. As another configuration example, the communication monitoring unit 11 may have a Shallow Packet Inspection function, and information on the result may be output from the communication monitoring unit 11 to the terminal identification information database 13.

図3は、本発明の一実施形態に係る端末識別情報データベース13に記憶される端末識別情報の一例を示す図である。
本実施形態では、端末識別情報データベース13に記憶される端末識別情報は、ネットワーク関連情報と、端末情報とを対応付けて、構成されている。
図3の例では、ネットワーク関連情報として、端末装置に割り当てられたネットワーク内識別子を特定する情報(ネットワーク内識別子の情報)や、端末装置が使用したネットワークを特定する情報(ネットワークの情報)や、端末装置がネットワークを使用した時刻を特定する情報(時刻の情報)を用いている。なお、ネットワーク関連情報としては、様々なものが様々な組み合わせで用いられてもよい。
また、図3の例では、端末情報として、HTTPに関する情報や、TCPのフィンガプリントに関する情報や、Webブラウザの出力ヘッダに関する情報などを用いている。なお、端末情報としては、様々なものが様々な組み合わせで用いられてもよい。
FIG. 3 is a diagram showing an example of terminal identification information stored in the terminal identification information database 13 according to an embodiment of the present invention.
In the present embodiment, the terminal identification information stored in the terminal identification information database 13 is configured by associating network-related information with terminal information.
In the example of FIG. 3, as network-related information, information specifying an in-network identifier assigned to a terminal device (intra-network identifier information), information specifying a network used by the terminal device (network information), Information (time information) that identifies the time at which the terminal device used the network is used. Note that various pieces of network-related information may be used in various combinations.
In the example of FIG. 3, information relating to HTTP, information relating to a TCP fingerprint, information relating to an output header of a Web browser, and the like are used as terminal information. Various pieces of terminal information may be used in various combinations.

端末個体識別部14は、端末識別情報データベース13に記憶される端末識別情報を参照して、これに基づいて、同一の個体の端末装置である(例えば、そのように推定される)と判定(検出)した端末装置に関する情報を出力する。
本実施形態では、端末個体識別部14は、端末識別情報データベース13に蓄えられた情報を集計し、同一の個体の端末装置であると判定される端末装置ごとに、ネットワーク内識別子の情報を、時刻の情報(時刻情報)やネットワークの情報(ネットワーク情報)と対応付けて出力する。ネットワーク内識別子としては、例えば、異なるネットワークにおける2個以上のネットワーク内識別子の群であってもよい。
The terminal individual identification unit 14 refers to the terminal identification information stored in the terminal identification information database 13 and, based on this, determines that it is the terminal device of the same individual (for example, estimated as such) ( Information on the detected terminal device is output.
In this embodiment, the terminal individual identification part 14 totals the information stored in the terminal identification information database 13, and for each terminal device determined to be the terminal device of the same individual, The information is output in association with time information (time information) or network information (network information). The intra-network identifier may be, for example, a group of two or more intra-network identifiers in different networks.

ここで、同一の個体の端末装置であることは、例えば、端末識別情報における端末情報に含まれる複数の情報が全て一致したような場合に、判定する。
また、ネットワーク内識別子の情報や、時刻情報や、ネットワーク情報は、例えば、端末識別情報データベース13から入力されて得られる端末識別情報におけるネットワーク関連情報から取得される。
Here, the terminal device of the same individual is determined when, for example, all the pieces of information included in the terminal information in the terminal identification information match.
Further, the information on the identifier in the network, the time information, and the network information are acquired from the network related information in the terminal identification information obtained by being input from the terminal identification information database 13, for example.

一例として、図3の例に係る端末識別情報に基づいて、端末個体識別部14は、「あるユーザの端末装置は、時刻が00:00:00〜01:00:00の範囲にある時間帯においてはネットワークAにおいてアドレスaを使用した通信を行っていたが、時刻が03:00:00〜05:00:00の範囲にある時間帯においてはネットワークBにおいてアドレスbを使用した通信を行っていた」ということを判定して、その情報を出力する。この場合に、端末個体識別部14は、ネットワークAにおいてアドレスaを使用した通信を行っていた端末装置について得られた端末情報と、ネットワークBにおいてアドレスbを使用した通信を行っていた端末装置について得られた端末情報とが、全部について、または、あらかじめ定められた一部について、または、あらかじめ定められた閾値(例えば、個数、または、割合など)以上について、一致することを判定した場合に、これらの端末装置が同一の個体の端末装置であると判定する。
なお、具体例として、LTE(Long Term Evolution)のシステムや、WiFiのシステムなどでは、端末装置が収容されるときに、当該端末装置に一時的な識別情報(アドレス)が付与される。これにより、端末装置で使用される識別情報(アドレス)がシステム(ネットワーク)ごとに変化し得る。
As an example, based on the terminal identification information according to the example of FIG. 3, the terminal individual identification unit 14 determines that “a certain user's terminal device has a time period in the range of 00: 00: 00: 00 to 01: 00: 00: 00. In the network A, the communication using the address a is performed. However, the communication using the address b is performed in the network B in the time zone in which the time is in the range of 03: 00: 00: 00 to 05:00. And output the information. In this case, the terminal individual identification unit 14 uses the terminal information obtained for the terminal device that has performed communication using the address a in the network A and the terminal device that has performed communication using the address b in the network B. When it is determined that the obtained terminal information matches for all, a predetermined part, or a predetermined threshold (for example, the number or the ratio) or more, It is determined that these terminal devices are terminal devices of the same individual.
As a specific example, in a LTE (Long Term Evolution) system, a WiFi system, or the like, temporary identification information (address) is given to the terminal device when the terminal device is accommodated. Thereby, the identification information (address) used by the terminal device can change for each system (network).

以上のように、本実施形態に係る識別装置1では、例えば、通信内容の静的な監視を行い、Deep Packet Inspectionを用いて収集した各種の情報を組み合わせることで、端末装置の個体を識別する。本実施形態に係る識別装置1では、例えば、端末装置ごとに固有な通信方法の特徴などを利用することで、端末装置の個体を一意に識別する。これにより、本実施形態に係る識別装置1では、通信監視部11により得られた通信パケットを通信網(本実施形態では、回線2)に送信(送出)した端末装置の個体を識別することができる。   As described above, in the identification device 1 according to the present embodiment, for example, the communication device is statically monitored, and the individual pieces of terminal devices are identified by combining various information collected using Deep Packet Inspection. . In the identification device 1 according to the present embodiment, for example, an individual terminal device is uniquely identified by using a characteristic of a communication method unique to each terminal device. Thereby, in the identification device 1 according to the present embodiment, it is possible to identify the individual terminal device that has transmitted (sent) the communication packet obtained by the communication monitoring unit 11 to the communication network (line 2 in the present embodiment). it can.

このように、本実施形態に係る識別装置1によると、端末装置の個体識別を効果的に行うことができ、例えば、高速且つ高精度に、低コストで、端末装置の個体識別を行うことが可能となる。本実施形態に係る識別装置1によると、例えば、1個1個の端末装置を匿名化して特定することも可能である。また、本実施形態に係る識別装置1によると、例えば、3GPPなどの携帯網やWiFi網などのように、異なる複数のネットワークの間においても、同一の端末装置を紐付けすることが可能であり、ネットワークの改善に役立つことができる。   Thus, according to the identification device 1 according to the present embodiment, the individual identification of the terminal device can be performed effectively. For example, the individual identification of the terminal device can be performed at high speed, high accuracy, and low cost. It becomes possible. According to the identification device 1 according to the present embodiment, for example, it is possible to anonymize and specify each terminal device. In addition, according to the identification device 1 according to the present embodiment, it is possible to link the same terminal device between a plurality of different networks such as a mobile network such as 3GPP or a WiFi network. Can help improve the network.

また、本実施形態に係る識別装置1では、フォアグラウンドトラヒックとバックグラウンドトラヒックのうちで、バックグラウンドトラヒックの情報を用いて、端末装置の個体を識別する。
このように、本実施形態に係る識別装置1によると、端末装置の個体識別を精度良く行うことができる。
Further, in the identification device 1 according to the present embodiment, the individual terminal device is identified using the background traffic information among the foreground traffic and the background traffic.
Thus, according to the identification device 1 according to the present embodiment, the individual identification of the terminal device can be performed with high accuracy.

ここで、フォアグラウンドトラヒックとバックグラウンドトラヒックとを区別することについて、詳しく説明する。
例えば、端末装置の種類やOSを特定することばかりでなく、端末装置の個体識別を行うことは有効である。端末装置の個体識別は、例えば、当該端末装置の利用者の能動的なID登録等を必要とせず、通信内容の静的な監視を行う装置において、Deep Packet Inspectionを用いて収集した各種の情報を組み合わせることで、可能である。
ところで、スマートフォンやパーソナルコンピュータ(PC)などの端末装置では、様々なアプリケーションのトラヒックを発生させているが、このようなトラヒックはフォアグラウンドトラヒックとバックグラウンドトラヒックの二種類に大別される。端末装置の個体識別を行うためには、精度良く、通信パケットから端末装置の固有の特徴を抽出することが必要である。一般的には、フォアグラウンドトラヒックでは、端末装置の利用者の気分や関心に影響して、これらの変化によって特性にも変化が現れ、端末装置の個体識別の精度が悪化する場合があると考えられる。したがって、本実施形態では、端末装置の個体識別を行う場合に、すべてのトラヒックを用いるのではなく、バックグラウンドトラヒックのみを用いる構成とした。本実施形態に係る識別装置1では、例えば、端末装置の通信内容の静的な監視を行い、当該端末装置の利用者が意識せずに発生する通信パケットのみを抽出し、Deep Packet Inspectionを用いて収集した各種の情報を組み合わせて、端末装置の個体識別を行う。
Here, the distinction between foreground traffic and background traffic will be described in detail.
For example, it is effective not only to specify the type and OS of the terminal device but also to identify the terminal device individually. Individual identification of a terminal device is, for example, various information collected using Deep Packet Inspection in a device that performs static monitoring of communication contents without requiring active ID registration of the user of the terminal device. Is possible by combining
By the way, in terminal devices such as smartphones and personal computers (PCs), traffic of various applications is generated. Such traffic is roughly classified into two types, foreground traffic and background traffic. In order to perform individual identification of a terminal device, it is necessary to accurately extract a unique feature of the terminal device from a communication packet. In general, foreground traffic affects the mood and interest of the user of the terminal device, and these changes may cause changes in characteristics, which may deteriorate the accuracy of individual identification of the terminal device. . Therefore, in this embodiment, when individual identification of a terminal device is performed, not all traffic is used, but only background traffic is used. In the identification device 1 according to the present embodiment, for example, the communication contents of a terminal device are statically monitored, and only communication packets that occur without the user of the terminal device being conscious are extracted, and Deep Packet Inspection is used. The individual information of the terminal device is identified by combining various information collected in this way.

[以上の実施形態に係る構成例]
ここで、本実施形態に係る(構成例1)〜(構成例6)を示す。
(構成例1)
識別装置1は、監視対象の通信パケットの情報を取得する通信監視部11と、前記通信監視部11により取得される通信パケットの情報に基づいて通信フローを再構築する通信フロー構築部31と、前記通信フロー構築部31により再構築された通信フローについて、人により行われた操作に起因して発生したと推定される第1のトラヒック(本実施形態では、フォアグラウンドトラヒック)に対応するか、または、人により行われる操作に起因しないで発生したと推定される第2のトラヒック(本実施形態では、バックグラウンドトラヒック)に対応するかを判定するトラヒック判定部33と、前記トラヒック判定部33により前記第2のトラヒックに対応すると判定された前記通信フロー(のみ)の通信プロトコルを分析することで、前記通信パケットを送信した端末装置の個体識別に係る情報を取得する端末個体識別情報分析部34と、前記端末個体識別情報分析部34により取得される情報(例えば、端末情報)、および、前記通信監視部11により取得される通信パケットの情報に基づいて得られる前記通信パケットの特徴を示す情報(例えば、ネットワーク関連情報)を記憶する端末識別情報データベース(情報記憶部)13と、を備える。
[Configuration example according to the above embodiment]
Here, (Configuration Example 1) to (Configuration Example 6) according to the present embodiment are shown.
(Configuration example 1)
The identification device 1 includes a communication monitoring unit 11 that acquires information on a communication packet to be monitored, a communication flow building unit 31 that reconstructs a communication flow based on information on the communication packet acquired by the communication monitoring unit 11, The communication flow reconstructed by the communication flow construction unit 31 corresponds to the first traffic (foreground traffic in the present embodiment) that is estimated to have occurred due to an operation performed by a person, or The traffic determination unit 33 that determines whether or not the second traffic (background traffic in this embodiment) is estimated to have occurred without being caused by an operation performed by a person, and the traffic determination unit 33 By analyzing the communication protocol of the communication flow (only) determined to correspond to the second traffic, A terminal individual identification information analysis unit 34 for acquiring information related to individual identification of the terminal device that has transmitted the communication packet, information acquired by the terminal individual identification information analysis unit 34 (for example, terminal information), and the communication monitoring A terminal identification information database (information storage unit) 13 that stores information (for example, network-related information) indicating characteristics of the communication packet obtained based on the information of the communication packet acquired by the unit 11.

この(構成例1)に係る識別装置1では、端末識別情報データベース(情報記憶部)13に記憶される情報により、端末装置の個体を識別することができる。具体的には、この(構成例1)に係る識別装置1では、端末識別情報データベース(情報記憶部)13に記憶される情報を外部の装置などに出力することにより、当該外部の装置などにおいて、入力される当該情報に基づいて、端末装置の個体を識別することができる。
なお、この(構成例1)に係る識別装置1では、監視対象の通信パケットの情報を取得する通信監視部11は、例えば、回線(ネットワーク)上に流れる通信パケットを直接処理してもよく、または、他の構成例として、ファイル等に蓄えられた通信パケットの情報に対して処理を行ってもよい。
In the identification device 1 according to this (configuration example 1), an individual terminal device can be identified by information stored in the terminal identification information database (information storage unit) 13. Specifically, in the identification device 1 according to (Configuration Example 1), by outputting information stored in the terminal identification information database (information storage unit) 13 to an external device or the like, the external device or the like The individual terminal device can be identified based on the input information.
Note that, in the identification device 1 according to this (Configuration Example 1), the communication monitoring unit 11 that acquires information on the communication packet to be monitored may directly process the communication packet flowing on the line (network), for example, Alternatively, as another configuration example, processing may be performed on communication packet information stored in a file or the like.

(構成例2)
上記した(構成例1)に記載した識別装置1において、前記通信パケットの特徴を示す情報は、ネットワーク内識別子の情報を含み、さらに、前記端末識別情報データベース(情報記憶部)13に記憶される情報に基づいて、同一の端末装置個体であるとされる端末装置ごとに、ネットワーク内識別子の情報を出力する端末個体識別部14を備える。
(Configuration example 2)
In the identification device 1 described in the above (Configuration Example 1), the information indicating the characteristics of the communication packet includes information on an in-network identifier, and is further stored in the terminal identification information database (information storage unit) 13 A terminal individual identification unit 14 that outputs information on the identifier in the network is provided for each terminal device that is assumed to be the same terminal device individual based on the information.

(構成例3)
上記した(構成例2)に記載した識別装置1において、前記通信パケットの特徴を示す情報は、さらに、時刻の情報およびネットワークの情報を含み、前記端末個体識別部14は、前記ネットワーク内識別子の情報を、時刻の情報およびネットワークの情報と共に出力する。
(Configuration example 3)
In the identification device 1 described in (Configuration Example 2) described above, the information indicating the characteristics of the communication packet further includes time information and network information. The terminal individual identification unit 14 Information is output together with time information and network information.

(構成例4)
上記した(構成例1)から上記した(構成例3)のいずれか1つに記載した識別装置1において、前記端末個体識別情報分析部34は、HTTPプロトコルにおけるUser−Agentの情報、または、TCPのフィンガプリントの情報、または、Webブラウザが出力するヘッダの情報、インストール済みのプラグインの情報、およびそのプラグインのバージョンの情報、または、前記端末装置のクロックスキューの情報、または、前記端末装置のアクセス先のホストの情報、または、前記端末装置の動画のアプリケーションの閲覧設定の情報、のうちの1つ以上を取得する。
(Configuration example 4)
In the identification device 1 described in any one of (Configuration Example 1) to (Configuration Example 3) described above, the terminal individual identification information analysis unit 34 is configured to use User-Agent information in the HTTP protocol, or TCP Fingerprint information, header information output by a web browser, installed plug-in information, plug-in version information, clock skew information of the terminal device, or the terminal device One or more of the information of the access destination host or the browsing setting information of the moving image application of the terminal device is acquired.

(構成例5)
識別装置1において行われる識別方法では、通信監視部11が、監視対象の通信パケットの情報を取得し、通信フロー構築部31が、前記通信監視部11により取得される通信パケットの情報に基づいて通信フローを再構築し、トラヒック判定部33が、前記通信フロー構築部31により再構築された通信フローについて、人により行われた操作に起因して発生したと推定される第1のトラヒックに対応するか、または、人により行われる操作に起因しないで発生したと推定される第2のトラヒックに対応するかを判定し、端末個体識別情報分析部34が、前記トラヒック判定部33により前記第2のトラヒックに対応すると判定された前記通信フローの通信プロトコルを分析することで、前記通信パケットを送信した端末装置の個体識別に係る情報を取得し、端末識別情報データベース(情報記憶部)13が、前記端末個体識別情報分析部34により取得される情報、および、前記通信監視部11により取得される通信パケットの情報に基づいて得られる前記通信パケットの特徴を示す情報を記憶する。
(Configuration example 5)
In the identification method performed in the identification device 1, the communication monitoring unit 11 acquires information on the communication packet to be monitored, and the communication flow construction unit 31 is based on the communication packet information acquired by the communication monitoring unit 11. The communication flow is reconstructed, and the traffic determination unit 33 corresponds to the first traffic that is estimated to be generated due to the operation performed by the person with respect to the communication flow reconstructed by the communication flow construction unit 31. Or the terminal individual identification information analysis unit 34 uses the traffic determination unit 33 to determine whether the second traffic estimated to have occurred without being caused by an operation performed by a person. By analyzing the communication protocol of the communication flow determined to correspond to the traffic of the terminal device, it is possible to identify the individual terminal device that has transmitted the communication packet. The terminal identification information database (information storage unit) 13 based on the information acquired by the terminal individual identification information analysis unit 34 and the information of the communication packet acquired by the communication monitoring unit 11. Information indicating characteristics of the obtained communication packet is stored.

(構成例6)
識別装置1において用いられて実行されるプログラム(識別プログラム)は、通信監視部11が、監視対象の通信パケットの情報を取得するステップと、通信フロー構築部31が、前記通信監視部11により取得される通信パケットの情報に基づいて通信フローを再構築するステップと、トラヒック判定部33が、前記通信フロー構築部31により再構築された通信フローについて、人により行われた操作に起因して発生したと推定される第1のトラヒックに対応するか、または、人により行われる操作に起因しないで発生したと推定される第2のトラヒックに対応するかを判定するステップと、端末個体識別情報分析部34が、前記トラヒック判定部33により前記第2のトラヒックに対応すると判定された前記通信フローの通信プロトコルを分析することで、前記通信パケットを送信した端末装置の個体識別に係る情報を取得するステップと、端末識別情報データベース(情報記憶部)13が、前記端末個体識別情報分析部34により取得される情報、および、前記通信監視部11により取得される通信パケットの情報に基づいて得られる前記通信パケットの特徴を示す情報を記憶するステップと、をコンピュータに実行させる。
(Configuration example 6)
A program (identification program) that is used and executed in the identification device 1 is acquired by the communication monitoring unit 11 by the communication monitoring unit 11 and the communication flow construction unit 31 by the communication monitoring unit 11. The communication flow is reconstructed based on the information of the communication packet to be generated, and the traffic determination unit 33 generates the communication flow reconstructed by the communication flow construction unit 31 due to an operation performed by a person. Determining whether to correspond to the first traffic estimated to have occurred or to correspond to the second traffic estimated to have occurred without being caused by an operation performed by a person, and terminal individual identification information analysis A communication protocol of the communication flow determined by the traffic determination unit 33 to correspond to the second traffic. And the terminal identification information database (information storage unit) 13 is acquired by the terminal individual identification information analysis unit 34 by acquiring information relating to individual identification of the terminal device that has transmitted the communication packet. Storing the information and the information indicating the characteristics of the communication packet obtained based on the information of the communication packet acquired by the communication monitoring unit 11.

[以上の実施形態のまとめ]
ここで、以上の実施形態では、TCP/IPを用いた通信を例としたが、必ずしもそれに限定されるものではなく、例えば、通信サービス一般に広く適用することが可能である。
同様に、対象とする通信プロトコルについても、特定の通信プロトコルに限定されるものではなく、例えば、端末装置の個体(例えば、種類など)に係る情報を含む通信プロトコル一般に広く適用することが可能である。通信プロトコルの具体例としては、例えば、HTTP以外に、SMTP(Simple Mail Transfer Protocol)などに適用することが可能である。
[Summary of the above embodiments]
Here, in the above embodiment, communication using TCP / IP is taken as an example, but the present invention is not necessarily limited thereto, and can be widely applied to communication services in general.
Similarly, the target communication protocol is not limited to a specific communication protocol. For example, the target communication protocol can be widely applied to communication protocols including information related to individual terminal devices (for example, types). is there. As a specific example of the communication protocol, for example, it is possible to apply to SMTP (Simple Mail Transfer Protocol) other than HTTP.

また、以上の実施形態では、端末装置の種類を識別する情報として、OS情報、機種名情報、番号情報を例としたが、他の様々な情報が用いられてもよい。具体的には、端末装置の種類を識別する情報として、例えば、OSを主とする以外に、ミドルウェアのバージョン(ミドルウェアの種類)を示す情報や、特定のアプリケーションのバージョン(特定のアプリケーションの種類)を示す情報などを用いることも可能である。   In the above embodiment, the OS information, the model name information, and the number information are exemplified as information for identifying the type of the terminal device, but various other information may be used. Specifically, as information for identifying the type of the terminal device, for example, information indicating middleware version (middleware type) or a specific application version (specific application type) other than the OS as a main It is also possible to use information indicating

また、端末装置としては、様々なものが用いられてもよく、例えば、スマートフォンを含む携帯電話、パーソナルコンピュータ(PC)、ホームゲートウェイ、専用端末などの端末装置を用いることができる。   Various terminal devices may be used. For example, a terminal device such as a mobile phone including a smartphone, a personal computer (PC), a home gateway, or a dedicated terminal can be used.

以上、本発明の実施形態について図面を参照して詳述したが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。   As mentioned above, although embodiment of this invention was explained in full detail with reference to drawings, the concrete structure is not restricted to this embodiment, The design change etc. of the range which does not deviate from the summary of this invention are included.

また、以上に示した実施形態に係る識別装置1の全部または一部の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより、処理を行ってもよい。   Further, a program for realizing all or part of the functions of the identification device 1 according to the embodiment described above is recorded on a computer-readable recording medium, and the program recorded on the recording medium is stored in a computer system. Processing may be performed by reading and executing.

なお、ここで言う「コンピュータシステム」とは、オペレーティング・システム(Operating System;OS)や周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM(Read Only Memory)、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disk)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことを言う。
The “computer system” mentioned here may include an operating system (OS) and hardware such as peripheral devices.
The “computer-readable recording medium” means a flexible disk, a magneto-optical disk, a ROM (Read Only Memory), a writable nonvolatile memory such as a flash memory, a portable medium such as a DVD (Digital Versatile Disk), A storage device such as a hard disk built in a computer system.

さらに、「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記のプログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことを言う。
また、上記のプログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
Further, the “computer-readable recording medium” refers to a volatile memory (for example, DRAM (DRAM) inside a computer system that becomes a server or a client when a program is transmitted through a network such as the Internet or a communication line such as a telephone line. Dynamic Random Access Memory)) that holds a program for a certain period of time is also included.
The program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting a program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line.
Further, the above program may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer system, and what is called a difference file (difference program) may be sufficient.

1…識別装置、2…回線、11…通信監視部、12…通信プロトコル分析部、13…端末識別情報データベース(情報記憶部)、14…端末個体識別部、31…通信フロー構築部、32…フローデータベース、33…トラヒック判定部(フォアグラウンド/バックグラウンドトラヒック判定部)、34…端末個体識別情報分析部 DESCRIPTION OF SYMBOLS 1 ... Identification device, 2 ... Line, 11 ... Communication monitoring part, 12 ... Communication protocol analysis part, 13 ... Terminal identification information database (information storage part), 14 ... Terminal individual identification part, 31 ... Communication flow construction part, 32 ... Flow database, 33 ... traffic determination unit (foreground / background traffic determination unit), 34 ... terminal individual identification information analysis unit

Claims (6)

監視対象の通信パケットの情報を取得する通信監視部と、
前記通信監視部により取得される通信パケットの情報に基づいて通信フローを再構築する通信フロー構築部と、
前記通信フロー構築部により再構築された通信フローについて、人により行われた操作に起因して発生したと推定される第1のトラヒックに対応するか、または、人により行われる操作に起因しないで発生したと推定される第2のトラヒックに対応するかを判定するトラヒック判定部と、
前記トラヒック判定部により前記第2のトラヒックに対応すると判定された前記通信フローの通信プロトコルを分析することで、前記通信パケットを送信した端末装置の個体識別に係る情報を取得する端末個体識別情報分析部と、
前記端末個体識別情報分析部により取得される情報、および、前記通信監視部により取得される通信パケットの情報に基づいて得られる前記通信パケットの特徴を示す情報を記憶する情報記憶部と、
を備える識別装置。
A communication monitoring unit for acquiring information of a communication packet to be monitored;
A communication flow constructing unit for reconstructing a communication flow based on information of a communication packet acquired by the communication monitoring unit;
The communication flow reconstructed by the communication flow construction unit corresponds to the first traffic estimated to have occurred due to an operation performed by a person, or does not result from an operation performed by a person A traffic determination unit for determining whether the second traffic estimated to have occurred corresponds to the second traffic;
Terminal individual identification information analysis for acquiring information related to individual identification of the terminal device that has transmitted the communication packet by analyzing a communication protocol of the communication flow determined to correspond to the second traffic by the traffic determination unit And
An information storage unit that stores information acquired by the terminal individual identification information analysis unit, and information indicating characteristics of the communication packet obtained based on information of the communication packet acquired by the communication monitoring unit;
An identification device comprising:
前記通信パケットの特徴を示す情報は、ネットワーク内識別子の情報を含み、
さらに、前記情報記憶部に記憶される情報に基づいて、同一の端末装置個体であるとされる端末装置ごとに、ネットワーク内識別子の情報を出力する端末個体識別部を備える、
請求項1に記載の識別装置。
The information indicating the characteristics of the communication packet includes information on an in-network identifier,
Furthermore, based on the information stored in the information storage unit, for each terminal device that is assumed to be the same terminal device individual, a terminal individual identification unit that outputs information of the identifier in the network,
The identification device according to claim 1.
前記通信パケットの特徴を示す情報は、さらに、時刻の情報およびネットワークの情報を含み、
前記端末個体識別部は、前記ネットワーク内識別子の情報を、時刻の情報およびネットワークの情報と共に出力する、
請求項2に記載の識別装置。
The information indicating the characteristics of the communication packet further includes time information and network information,
The terminal individual identification unit outputs information on the in-network identifier together with time information and network information.
The identification device according to claim 2.
前記端末個体識別情報分析部は、
HTTPプロトコルにおけるUser−Agentの情報、
または、TCPのフィンガプリントの情報、
または、Webブラウザが出力するヘッダの情報、インストール済みのプラグインの情報、およびそのプラグインのバージョンの情報、
または、前記端末装置のクロックスキューの情報、
または、前記端末装置のアクセス先のホストの情報、
または、前記端末装置の動画のアプリケーションの閲覧設定の情報、
のうちの1つ以上を取得する、
請求項1から請求項3のいずれか1項に記載の識別装置。
The terminal individual identification information analysis unit,
User-Agent information in the HTTP protocol,
Or TCP fingerprint information,
Alternatively, header information output by the Web browser, information on installed plug-ins, and information on the versions of the plug-ins,
Or information on the clock skew of the terminal device,
Or information on the host to which the terminal device is accessed,
Or information on the viewing settings of the video application of the terminal device,
Get one or more of
The identification device according to any one of claims 1 to 3.
通信監視部が、監視対象の通信パケットの情報を取得し、
通信フロー構築部が、前記通信監視部により取得される通信パケットの情報に基づいて通信フローを再構築し、
トラヒック判定部が、前記通信フロー構築部により再構築された通信フローについて、人により行われた操作に起因して発生したと推定される第1のトラヒックに対応するか、または、人により行われる操作に起因しないで発生したと推定される第2のトラヒックに対応するかを判定し、
端末個体識別情報分析部が、前記トラヒック判定部により前記第2のトラヒックに対応すると判定された前記通信フローの通信プロトコルを分析することで、前記通信パケットを送信した端末装置の個体識別に係る情報を取得し、
情報記憶部が、前記端末個体識別情報分析部により取得される情報、および、前記通信監視部により取得される通信パケットの情報に基づいて得られる前記通信パケットの特徴を示す情報を記憶する、
識別方法。
The communication monitoring unit obtains information about the communication packet to be monitored,
The communication flow construction unit reconstructs the communication flow based on the information of the communication packet acquired by the communication monitoring unit,
The traffic determination unit corresponds to the first traffic estimated to be generated due to an operation performed by a person with respect to the communication flow reconstructed by the communication flow construction unit, or is performed by a person Determine whether it corresponds to the second traffic estimated to have occurred without being caused by the operation,
Information relating to the individual identification of the terminal device that has transmitted the communication packet by analyzing the communication protocol of the communication flow determined by the traffic determination unit to correspond to the second traffic by the terminal individual identification information analysis unit Get
An information storage unit stores information acquired by the terminal individual identification information analysis unit and information indicating characteristics of the communication packet obtained based on information of the communication packet acquired by the communication monitoring unit.
Identification method.
通信監視部が、監視対象の通信パケットの情報を取得するステップと、
通信フロー構築部が、前記通信監視部により取得される通信パケットの情報に基づいて通信フローを再構築するステップと、
トラヒック判定部が、前記通信フロー構築部により再構築された通信フローについて、人により行われた操作に起因して発生したと推定される第1のトラヒックに対応するか、または、人により行われる操作に起因しないで発生したと推定される第2のトラヒックに対応するかを判定するステップと、
端末個体識別情報分析部が、前記トラヒック判定部により前記第2のトラヒックに対応すると判定された前記通信フローの通信プロトコルを分析することで、前記通信パケットを送信した端末装置の個体識別に係る情報を取得するステップと、
情報記憶部が、前記端末個体識別情報分析部により取得される情報、および、前記通信監視部により取得される通信パケットの情報に基づいて得られる前記通信パケットの特徴を示す情報を記憶するステップと、
をコンピュータに実行させるための識別プログラム。
A communication monitoring unit acquiring information of a communication packet to be monitored;
A communication flow constructing unit reconstructing a communication flow based on information of a communication packet acquired by the communication monitoring unit;
The traffic determination unit corresponds to the first traffic estimated to be generated due to an operation performed by a person with respect to the communication flow reconstructed by the communication flow construction unit, or is performed by a person Determining whether it corresponds to second traffic estimated to have occurred without being caused by an operation;
Information relating to the individual identification of the terminal device that has transmitted the communication packet by analyzing the communication protocol of the communication flow determined by the traffic determination unit to correspond to the second traffic by the terminal individual identification information analysis unit Step to get the
An information storage unit storing information acquired by the terminal individual identification information analysis unit, and information indicating characteristics of the communication packet obtained based on information of the communication packet acquired by the communication monitoring unit; ,
Identification program for causing a computer to execute.
JP2014164250A 2014-08-12 2014-08-12 Identification device, identification method, and identification program Expired - Fee Related JP6280836B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014164250A JP6280836B2 (en) 2014-08-12 2014-08-12 Identification device, identification method, and identification program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014164250A JP6280836B2 (en) 2014-08-12 2014-08-12 Identification device, identification method, and identification program

Publications (2)

Publication Number Publication Date
JP2016040867A JP2016040867A (en) 2016-03-24
JP6280836B2 true JP6280836B2 (en) 2018-02-14

Family

ID=55541095

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014164250A Expired - Fee Related JP6280836B2 (en) 2014-08-12 2014-08-12 Identification device, identification method, and identification program

Country Status (1)

Country Link
JP (1) JP6280836B2 (en)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5655639B2 (en) * 2011-03-07 2015-01-21 富士通株式会社 Monitoring device, monitoring method, program, and monitoring system
US9253282B2 (en) * 2011-10-18 2016-02-02 Qualcomm Incorporated Method and apparatus for generating, using, or updating an enriched user profile
JP5820749B2 (en) * 2012-03-08 2015-11-24 Kddi株式会社 Identification device, identification method, and identification program

Also Published As

Publication number Publication date
JP2016040867A (en) 2016-03-24

Similar Documents

Publication Publication Date Title
Perdisci et al. Iotfinder: Efficient large-scale identification of iot devices via passive dns traffic analysis
US11849001B2 (en) Systems, methods, and apparatus to monitor mobile internet activity
CN107624233B (en) VPN transmission tunnel scheduling method and device and VPN client server
CN107409071B (en) Method, control module, and computer-readable storage medium for obtaining diagnostic test results
US9426049B1 (en) Domain name resolution
KR101722628B1 (en) Method and device for router-based networking control,router,program and recording medium
US20180308111A1 (en) Device identification systems and methods
US20130064109A1 (en) Analyzing Internet Traffic by Extrapolating Socio-Demographic Information from a Panel
WO2015024490A1 (en) Monitoring nat behaviors through uri dereferences in web browsers
CN104683124B (en) Terminal type recognition methods and device
US9785721B2 (en) System and method for programmatically creating resource locators
WO2016119420A1 (en) Method, apparatus and communication gateway for detecting malicious access to network resources
US10116535B1 (en) Monitoring internet usage on home networks of panelist users using a measurement device
US9203704B2 (en) Discovering a server device, by a non-DLNA device, within a home network
CN107592299B (en) Proxy internet access identification method, computer device and computer readable storage medium
JP6157189B2 (en) Identification device, identification method, and identification program
JP6110688B2 (en) Identification device, identification method, and identification program
US20120042067A1 (en) Method and system for identifying applications accessing http based content in ip data networks
JP6280836B2 (en) Identification device, identification method, and identification program
JP5820749B2 (en) Identification device, identification method, and identification program
CN109194706A (en) Internet resources dial testing method and terminal
US20130064108A1 (en) System and Method for Relating Internet Usage with Mobile Equipment
CN102918527B (en) Investigation method and system for web application hosting
CN110769065A (en) A remote management method, system, terminal device and server
EP3300335B1 (en) Device and method for data packet processing

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170127

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20170130

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20171115

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180109

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180122

R150 Certificate of patent or registration of utility model

Ref document number: 6280836

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees