(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024018221
(43)【公開日】2024-02-08
(54)【発明の名称】中継処理装置
(51)【国際特許分類】
H04L 47/12 20220101AFI20240201BHJP
H04L 61/4511 20220101ALI20240201BHJP
【FI】
H04L47/12
H04L61/4511
【審査請求】未請求
【請求項の数】4
【出願形態】OL
(21)【出願番号】P 2022121412
(22)【出願日】2022-07-29
(71)【出願人】
【識別番号】304020498
【氏名又は名称】サクサ株式会社
(74)【代理人】
【識別番号】100098394
【弁理士】
【氏名又は名称】山川 茂樹
(72)【発明者】
【氏名】小林 史人
(72)【発明者】
【氏名】木村 隆昭
【テーマコード(参考)】
5K030
【Fターム(参考)】
5K030GA13
5K030LC11
5K030MB09
(57)【要約】
【課題】簡便かつ柔軟にアクセス制限を行うことのできるアクセス制限技術を提供する。
【解決手段】本発明の中継処理装置(10)では、情報処理端末(20)からアドレス解決要求を受信した場合に、接続された通信網へのアクセス状態が輻輳状態にあると判定され、アドレス解決要求におけるドメインへのアクセス回数が所定の閾値よりも低い場合に、当該アドレス解決要求のアドレス解決を制限する。
【選択図】 図4
【解決手段】本発明の中継処理装置(10)では、情報処理端末(20)からアドレス解決要求を受信した場合に、接続された通信網へのアクセス状態が輻輳状態にあると判定され、アドレス解決要求におけるドメインへのアクセス回数が所定の閾値よりも低い場合に、当該アドレス解決要求のアドレス解決を制限する。
【選択図】 図4
【特許請求の範囲】
【請求項1】
ユーザ端末から送信された所定のドメインに対するアクセス回数を記憶する記憶部と、
接続された通信網へのアクセス状態と、前記ユーザ端末から送信された任意のドメインに係るアドレス解決要求におけるドメイン名の前記アクセス回数とに基づいて、前記アドレス解決要求のアドレス解決を行うか否かを判定するように構成された制御部とを備え、
前記制御部は、前記通信網へのアクセス状態が所定の条件の下で輻輳状態にあると判定された場合であって、前記アドレス解決要求におけるドメイン名の前記アクセス回数が所定の閾値よりも低い場合に、当該アドレス解決要求のアドレス解決を制限すること
を特徴とする中継処理装置。
接続された通信網へのアクセス状態と、前記ユーザ端末から送信された任意のドメインに係るアドレス解決要求におけるドメイン名の前記アクセス回数とに基づいて、前記アドレス解決要求のアドレス解決を行うか否かを判定するように構成された制御部とを備え、
前記制御部は、前記通信網へのアクセス状態が所定の条件の下で輻輳状態にあると判定された場合であって、前記アドレス解決要求におけるドメイン名の前記アクセス回数が所定の閾値よりも低い場合に、当該アドレス解決要求のアドレス解決を制限すること
を特徴とする中継処理装置。
【請求項2】
前記記憶部には、前記所定のドメイン毎の前記アクセス回数を記憶するカウントテーブルが記憶され、
前記カウントテーブルは、アドレス解決後の最初のドメインへのアクセスに関わるTCPシーケンスを、前記アクセス回数のカウントアップの対象とせず、アドレス解決後の2度目以降のドメインへのアクセスに関わるTCPシーケンスを、前記アクセス回数のカウントアップの対象とすること
を特徴とする請求項1に記載の中継処理装置。
前記カウントテーブルは、アドレス解決後の最初のドメインへのアクセスに関わるTCPシーケンスを、前記アクセス回数のカウントアップの対象とせず、アドレス解決後の2度目以降のドメインへのアクセスに関わるTCPシーケンスを、前記アクセス回数のカウントアップの対象とすること
を特徴とする請求項1に記載の中継処理装置。
【請求項3】
前記記憶部には、前記所定のドメイン毎の前記アクセス回数を記憶するカウントテーブルが記憶され、
前記カウントテーブルは、アドレス解決後の最初のドメインへのアクセスに関わるUDPシーケンスを、前記アクセス回数のカウントアップの対象とせず、ドメインからのデータの受信が行われた場合のUDPシーケンスを、前記アクセス回数のカウントアップの対象とし、アドレス解決後の2度目以降のドメインへのアクセスに関わるUDPシーケンスを、前記アクセス回数のカウントアップの対象とすること
を特徴とする請求項1に記載の中継処理装置。
前記カウントテーブルは、アドレス解決後の最初のドメインへのアクセスに関わるUDPシーケンスを、前記アクセス回数のカウントアップの対象とせず、ドメインからのデータの受信が行われた場合のUDPシーケンスを、前記アクセス回数のカウントアップの対象とし、アドレス解決後の2度目以降のドメインへのアクセスに関わるUDPシーケンスを、前記アクセス回数のカウントアップの対象とすること
を特徴とする請求項1に記載の中継処理装置。
【請求項4】
前記カウントテーブルは、所定の期間における前記所定のドメイン毎の前記アクセス回数の集計結果に基づいて更新されること
を特徴とする請求項2または3に記載の中継処理装置。
を特徴とする請求項2または3に記載の中継処理装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ルータにおけるアドレス解決処理の制限技術に関する。
【背景技術】
【0002】
情報処理装置が設置されたLANと通信網との間に設置されたルータ等の中継処理装置において、情報処理装置から所定のドメイン名のアドレス解決要求を受信した場合には、アドレス解決要求を所定のDNSサーバに送信し、DNSサーバからのアドレス通知を、アドレス解決要求を送信した情報処理装置に送信する。これにより、情報処理装置は、所定のドメイン名のサイトにアクセスすることができる。
【0003】
ここで、上記のアドレス解決が行われた結果、情報処理装置において表示されたドメインのサイトに広告等の他のドメインが含まれる場合には、広告等の他のドメインについてのアドレス解決処理が行われる。そのため、表示されたドメインのサイトに多数の広告が含まれる場合には、それに応じて多数のアドレス解決要求が送信されることとなり、アドレス解決に伴うパケットの送受信によるトラヒックが、ユーザが閲覧したい広告等に対するアクセスに影響を与えることもある。
【0004】
従来から、このような問題に対応するために、所定のドメインへのアクセスを制限する技術が提案されている。例えば、特許文献1では、アクセスが許可されていないドメイン名のリストを予め登録しておき、アクセスが許可されていないドメイン名のアドレス解決要求に対して、存在しないまたは利用不可能なアドレスを回答する。これにより、特定のドメインに対するアクセス制限を行うことができる。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特許第6006788号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
特許文献1のように、予め登録したドメインへのアクセスを制限するリストに基づいてアクセスを制限する場合、特定のドメインに関わる通信負荷になりやすい不要なトラヒックを制限することができる。一方で、このリストが更新されない場合には、ネットワークの状態に関わらずアクセス制限が固定的になるという問題がある。ネットワークの状態に応じて、簡便かつ柔軟にアクセス制限を行うことのできるアクセス制限技術が望ましい。
【0007】
本発明はこのような課題を解決するためのものであり、ネットワークの状態に応じて、簡便かつ柔軟にアクセス制限を行うことのできるアクセス制限技術を提供することを目的としている。
【課題を解決するための手段】
【0008】
このような目的を達成するために、本発明に係る中継処理装置は、ユーザ端末から送信されたドメインに対するアクセス回数を記憶するように構成された記憶部と、接続された通信網へのアクセス状態と、前記ユーザ端末から送信された任意のドメインに係るアドレス解決要求におけるドメイン名の前記アクセス回数とに基づいて、前記アドレス解決要求のアドレス解決を行うか否かを判定するように構成された制御部とを備え、前記制御部は、前記通信網へのアクセス状態が所定の条件の下で輻輳状態にあると判定された場合であって、前記アドレス解決要求におけるドメイン名の前記アクセス回数が所定の閾値よりも低い場合に、当該アドレス解決要求のアドレス解決を制限する。
【0009】
本発明に係る上記中継処理装置の一構成例は、前記記憶部には、前記所定のドメイン毎のアクセス回数を記憶するカウントテーブルが記憶され、前記カウントテーブルは、アドレス解決後の最初のドメインへのアクセスに関わるTCPシーケンスを、前記アクセス回数のカウントアップの対象とせず、アドレス解決後の2度目以降のドメインへのアクセスに関わるTCPシーケンスを、前記アクセス回数のカウントアップの対象とするように構成されている。
【0010】
本発明に係る上記中継処理装置の一構成例は、前記記憶部には、前記所定のドメイン毎の前記アクセス回数を記憶するカウントテーブルが記憶され、前記カウントテーブルは、アドレス解決後の最初のドメインへのアクセスに関わるUDPシーケンスを、前記アクセス回数のカウントアップの対象とせず、ドメインからのデータの受信が行われた場合のUDPシーケンスを、前記アクセス回数のカウントアップの対象とし、アドレス解決後の2度目以降のドメインへのアクセスに関わるUDPシーケンスを、前記アクセス回数のカウントアップの対象とするよう構成されている。
【0011】
本発明に係る上記中継処理装置の一構成例は、前記カウントテーブルが、所定の期間における前記所定のドメイン毎の前記アクセス回数の集計結果に基づいて更新されるように構成される。
【発明の効果】
【0012】
本発明によれば、ネットワークの状態に応じて簡便かつ柔軟にアクセス制限を行うことのできるアクセス制限技術を提供することが可能となる。
【図面の簡単な説明】
【0013】
【発明を実施するための形態】
【0014】
本発明の実施の形態について図面を参照して説明する。本発明は様々な形態で実施可能であり、以下に説明する発明の実施の形態に限定されるものではない。
【0015】
<本発明のアクセス制限の特徴>
図1は、本発明の実施の形態に係る中継処理装置の構成を示すブロック図である。中継処理装置10は、配下のローカルエリアネットワークLAN(以下、LANという)に接続されたPCやスマートフォンなどの情報処理装置20から送信されたパケットを通信網NW上のHTTPサーバやDNSサーバに中継するルーティング機能を有するとともに、情報処理装置20からのアドレス解決要求を通信網NWへのアクセス状態に応じて制限するDNS処理機能を有するように構成されている。
図1は、本発明の実施の形態に係る中継処理装置の構成を示すブロック図である。中継処理装置10は、配下のローカルエリアネットワークLAN(以下、LANという)に接続されたPCやスマートフォンなどの情報処理装置20から送信されたパケットを通信網NW上のHTTPサーバやDNSサーバに中継するルーティング機能を有するとともに、情報処理装置20からのアドレス解決要求を通信網NWへのアクセス状態に応じて制限するDNS処理機能を有するように構成されている。
【0016】
中継処理装置10は、情報処理装置20から所定のドメインのアドレス解決要求を受信した場合には、アドレス解決要求を所定のDNSサーバ30に送信し、DNSサーバ30からのアドレス通知を、アドレス解決要求を送信した情報処理装置20に送信する。これにより、情報処理装置20は、所定のドメインに対応するアドレスを取得しアクセスを行うことができる。
【0017】
ここで、情報処理装置20において表示されたドメインに、広告等の他のドメインが含まれる場合には、このような他のドメインについてのアドレス解決処理が行われる。そのため、表示されたドメインに多数の広告のドメインが含まれる場合には、多数のアドレス解決要求が送信されることとなり、アドレス解決に伴うパケットの送受信のトラヒックが、ユーザが閲覧したい広告等に対するアクセス等の優先度の高いトラヒックに対して影響を与える場合がある。
【0018】
本発明では、アドレス解決に伴うパケットの送受信のトラヒックが優先度の高いトラヒックに対する影響を低減するために、中継処理装置においてアドレス解決に伴うパケットの送受信を制限するように構成したものである。
【0019】
具体的には、情報処理装置20から所定のドメインに対するアドレス解決要求を受信した場合に、通信網NWのアクセス状態が輻輳状態であると判定した場合に、制限対象のドメインに対するアドレス解決要求を制限するように構成されている。
【0020】
制限対象のドメインであるか否かの判定は、ドメイン毎のアクセス回数をカウントしたカウントテーブルに基づいて行う。アクセス回数の多いドメインは、ユーザが閲覧したい要望が多いドメインであり、アクセス制限を行うべきでない優先度の高いドメインであると判断される。
【0021】
一方で、アクセス回数の少ないドメインは、優先度の低いドメインであり、アクセス制限をしても問題がないと考えられる。アクセス回数の少ないドメインについて、アクセス回数をカウントした結果、アクセス回数が所定の閾値を超えた場合には、アクセス制限を行うべきでない優先度の高いドメインであると判断されることになる。
【0022】
このようなドメインのアクセス制限を行うことで、アクセス制限が固定的になることを防止し、ネットワークの状態に応じて、簡便かつ柔軟にアクセス制限を行うことのできるアクセス制限技術を提供することが可能となる。
【0023】
<中継処理装置の構成>
中継処理装置10は、配下のLANに接続された情報処理装置20を、インターネットなどの通信網NWに中継接続する経路上に設置される。中継処理装置10は、図1に示すように、主な回路構成として、網側I/F11、LAN側I/F12、記憶部13、および制御部14を備えている。
中継処理装置10は、配下のLANに接続された情報処理装置20を、インターネットなどの通信網NWに中継接続する経路上に設置される。中継処理装置10は、図1に示すように、主な回路構成として、網側I/F11、LAN側I/F12、記憶部13、および制御部14を備えている。
【0024】
<網側I/F、LAN側I/F>
網側I/F11は、通信回線Lを介してインターネットなどの通信網NWとデータ通信を行うためのI/Fである。通信網NWには、ドメインネームのアドレス解決を行うDNSサーバ30、様々なドメインへのアクセスに対応してサービスを提供するHTTPサーバ40が接続されている。
網側I/F11は、通信回線Lを介してインターネットなどの通信網NWとデータ通信を行うためのI/Fである。通信網NWには、ドメインネームのアドレス解決を行うDNSサーバ30、様々なドメインへのアクセスに対応してサービスを提供するHTTPサーバ40が接続されている。
【0025】
LAN側I/F12は、LANを介して情報処理装置20とデータ通信を行うためのI/Fである。LAN側I/F12には、情報処理装置20を接続するための複数のポートが備えられている。
【0026】
<記憶部>
記憶部13は、全体として半導体メモリなどの記憶部からなり、制御部14で実行するルーティング処理やDNS処理に用いるルーティングテーブル13A、カウントテーブル13B、プログラム13Pを記憶するように構成されている。
記憶部13は、全体として半導体メモリなどの記憶部からなり、制御部14で実行するルーティング処理やDNS処理に用いるルーティングテーブル13A、カウントテーブル13B、プログラム13Pを記憶するように構成されている。
【0027】
プログラム13Pは、制御部14のCPUと協働することにより、制御部14のルーティング処理やDNS処理を実行するための各種処理部を実現し、コンピュータを中継処理装置として機能させるための処理プログラムである。
【0028】
記憶部13に記憶されている主な情報の1つとして、ルーティングテーブル13Aがある。ルーティングテーブル13Aは、情報処理装置20のIPアドレスと接続ポートの対応関係が保存されているテーブルである。ルーティングテーブル13Aを参照することにより、網側I/F11から受信したパケットをLAN側I/Fのポートに出力するかが決定される。
【0029】
記憶部13に記憶されている主な情報の1つとして、カウントテーブル13Bがある。カウントテーブル13Bは、ドメイン毎のアクセス回数のデータが記憶されているテーブルである。アドレス解決要求が送信されたドメインについてネットワークへの送信を制限するか否かを判断する際に用いられる。カウントテーブル13Bは、所定の条件に従ってカウントアップされ、ドメインへのアクセス状況に応じて動的に変更される。
【0030】
<制御部の構成>
制御部14は、CPUとその周辺回路を有し、CPUと記憶部13のプログラム13Pとを協働させることにより、通信網NWとLANの間のパケットのルーティング処理を行うルーティング処理部14Aや、通信処理装置から送信されたアドレス解決要求を処理するDNS処理を実行するためのDNS処理部14B等の各種処理部を備える。
制御部14は、CPUとその周辺回路を有し、CPUと記憶部13のプログラム13Pとを協働させることにより、通信網NWとLANの間のパケットのルーティング処理を行うルーティング処理部14Aや、通信処理装置から送信されたアドレス解決要求を処理するDNS処理を実行するためのDNS処理部14B等の各種処理部を備える。
【0031】
制御部14のDNS処理部14Bは、情報処理装置20から所定のドメインに対するアドレス解決要求を受信した場合に、所定の条件の下で通信網NWへのアクセス状態が輻輳状態であるかを判定し、輻輳状態であると判定した場合に、制限対象のドメインに対するアドレス解決要求を制限するように構成されている。
【0032】
通信網NWへのアクセス状態が輻輳状態でない場合は、アドレス解決に伴うパケットの送受信のトラヒックが、優先度の高いトラヒックに対して影響を与えることはないと考えられるので、アドレス解決処理を制限する必要はない。一方、通信網NWへのアクセスが輻輳状態にある場合は、アクセス回数の少ないドメインへのアクセスを制限することで、優先度の高いアクセス回数の多いドメインへのアクセスへの影響を低減させることができる。
【0033】
通信網NWへのアクセス状態が輻輳状態であるかは、例えば、IPconntrackテーブルにおけるパケットの蓄積量が所定の閾値を超えたか否かにより判断することができる。より具体的には、例えば、IPconntrackテーブルの蓄積量が80%を超えた場合に、輻輳状態にあると判定することができる。
【0034】
アドレス解決処理を制限するか否かの判定は、ドメイン毎のアクセス回数をカウントしたカウントテーブルに基づいて行う。アクセス回数の多いドメインは、ユーザが閲覧したい要望が多いドメインであり、アクセス制限を行うべきでない優先度の高いドメインであると判断される。
【0035】
一方で、アクセス回数の少ないドメインは、優先度の低いドメインであり、アクセス制限をしても問題がないと考えられる。アクセス回数の少ないドメインについて、アクセス回数をカウントした結果、アクセス回数が所定の閾値を超えた場合には、アクセス制限を行うべきでない優先度の高いドメインであると判断されることになる。
【0036】
【0037】
情報処理装置20は、所定のドメイン[****.co.jp]にアクセスした場合(ステップ100)、中継処理装置に対して、ドメイン[****.co.jp]のドメインのアドレス解決要求を送信する。中継処理装置10は、DNSサーバ30に対して、アドレス解決要求を送信し、DNSサーバ30から受信したドメイン[****.co.jp]に対応するIPアドレスを情報処理装置20に送信する。このアドレス解決処理により、情報処理装置20は、ドメイン[****.co.jp]にアクセスすることができる(ステップ101-105)。
【0038】
情報処理装置20は、受信したIPアドレスを用いて、ドメイン[****.co.jp]に対応するHTTPサーバ40にアクセスすることができる。TCPの接続確立処理(ステップ106-111)が行われた後に、HTTPサーバ40へのアクセス処理が行われる(ステップ201-204)。
【0039】
HTTPサーバ40へのアクセス処理の終了後に、TCPの接続終了処理が行われる(ステップ205-208)。これらの一連の処理により、情報処理装置20の画面には、HTTPサーバ40から受信したドメイン[****.co.jp]の情報が表示される。
【0040】
図3は、所定のドメインに含まれる他のドメインにアクセスした際のシーケンスの一例である。図3に示すように、所定のドメイン[****.co.jp]に、広告等の他のドメインが含まれていた場合には(ステップ300)、この他のドメインについてのアドレス解決処理が行われる(ステップ301-305)。
【0041】
アドレス解決処理の後は、図2と同様にして、TCPの接続確立処理(ステップ306-311)、HTTPサーバ40へのアクセス処理(ステップ401-404)、TCPの接続終了処理(ステップ405-408)が行われる。この一連の処理により、所定のドメイン[****.co.jp]に含まれる広告等の他のドメインの情報が、情報処理装置20の画面に表示される。
【0042】
所定のドメイン[****.co.jp]に複数の他のドメインが含まれている場合には、他のドメインのアドレス解決処理が繰り返される。解決できるドメインのアドレスがなくなるまで、アドレス解決処理が繰り返されることにより、所定のドメイン[****.co.jp]に含まれる解決可能な全てのドメインのアドレス解決処理が行われる。
【0043】
<アドレス解決制限処理のシーケンス>
図4-図6を用いて、アドレス解決制限処理のシーケンスについて説明する。図2-3で説明したように、所定のドメイン[****.co.jp]に複数の他のドメインが含まれている場合には、この複数の他のドメインのアドレス解決処理が行われる。このため、アドレス解決処理を制限しない場合には、複数の他のドメインについて、アドレス解決処理、TCPの接続確立処理、HTTPサーバへのアクセス処理、TCPの接続終了処理が繰り返し行われることとなる。
図4-図6を用いて、アドレス解決制限処理のシーケンスについて説明する。図2-3で説明したように、所定のドメイン[****.co.jp]に複数の他のドメインが含まれている場合には、この複数の他のドメインのアドレス解決処理が行われる。このため、アドレス解決処理を制限しない場合には、複数の他のドメインについて、アドレス解決処理、TCPの接続確立処理、HTTPサーバへのアクセス処理、TCPの接続終了処理が繰り返し行われることとなる。
【0044】
このため、所定のドメイン[****.co.jp]に、多数の広告等の他のドメインが含まれる場合には、多数のアドレス解決処理が実行されることとなり、上述したアドレス解決に伴うパケットの送受信のトラヒックが増大し、優先度の高いトラヒックに対して影響を与えることになる。本実施の形態では、優先度の高いトラヒックに対する影響を低減するために、アドレス解決に伴うパケットの送受信を制限するように構成したものである。
【0045】
図4は、本発明の実施の形態に係るアドレス解決制限処理のシーケンスの一例である。図4の例では、情報処理装置20から所定のドメインに含まれる広告のドメインについてのアドレス解決要求を受信した場合に(ステップ501)、通信網NWへのアクセス状態が輻輳状態を判定し(ステップ502)、輻輳状態であると判定した場合に、アドレス解決の対象であるドメインが制限対象のドメインであるかを判定し(ステップ503)、制限対象であるドメインであった場合には、制限対象のドメインに対するアドレス解決要求に対して[Refused]を送信する(ステップ504、505)。
【0046】
通信網NWへのアクセス状態が輻輳状態であるかは、例えば、IPconntrackテーブルにおけるパケットの蓄積量が所定の閾値を超えたか否かにより判断することができる。より具体的には、例えば、IPconntrackテーブルの蓄積量が80%を超えた場合に、輻輳状態にあると判定することができる。
【0047】
アドレス解決の対象であるドメインが制限対象のドメインであるか否かの判定は、ドメイン毎のアクセス回数をカウントしたカウントテーブルに基づいて行う。アクセス回数の多いドメインは、ユーザが閲覧したい要望が多いドメインであり、アクセス制限を行うべきでない優先度の高いドメインであると判断される。
【0048】
一方で、アクセス回数の少ないドメインは、優先度の低いドメインであり、アクセス制限をしても問題がないと考えられる。なお、アクセス回数の少ないドメインについては、所定の期間においてアクセス回数をカウントした結果、アクセス回数が所定の閾値を超えた場合には、アクセス制限を行うべきでない優先度の高いドメインであると判断されることになる。
【0049】
<カウントテーブルの構成>
図5は、本発明の実施の形態に係るカウントテーブルの構成例である。図5の構成例では、ドメイン[www.gggg.co.jp]、[www.yyyy.co.jp]、[www.kk11.co.jp]、[www.wiwi.co.jp]、[www.kk22.co.jp]について、所定の期間におけるアクセス回数のデータが記憶されている。
図5は、本発明の実施の形態に係るカウントテーブルの構成例である。図5の構成例では、ドメイン[www.gggg.co.jp]、[www.yyyy.co.jp]、[www.kk11.co.jp]、[www.wiwi.co.jp]、[www.kk22.co.jp]について、所定の期間におけるアクセス回数のデータが記憶されている。
【0050】
各ドメインにおけるアクセス回数は、TCP、UDPのプロトコル別にカウントされる。パケットの送受信の態様は、プロトコルに応じて異なるため、TCP、UDPのそれぞれにおいてアクセス回数をカウントすることで、TCP、UDPのパケットの送受信の特徴に応じた柔軟なアクセス制限を行うことができる。
【0051】
図5の構成例において、例えば、アクセス回数の閾値を[100]とした場合、TCPのアクセス回数が[100]を超えているドメイン[www.gggg.co.jp]、[www.yyyy.co.jp]は、制限対象のドメインではないと判定し、TCPのアクセス回数が[100]を下回っている[www.kk11.co.jp]、[www.kk22.co.jp]は、制限対象のドメインであると判定する。[www.wiwi.co.jp]については、UDPのアクセス回数が[100]を超えているので制限対象のドメインではないと判定される。
【0052】
このカウントテーブルは、各ドメインに対するアクセス回数の変動に応じて、動的に変動するように構成されており、ある所定の期間において、制限対象であったドメインが、アクセス回数が増大して所定の閾値を超えた場合には、制限対象のドメインではないと判定される。
【0053】
一方、ある所定の期間において、制限対象でなかったドメインが、アクセス回数が減少して所定の閾値を下回った場合には、制限対象のドメインであると判定されることになる。カウントテーブルを、各ドメインに対するアクセス回数の変動に応じて、動的に変動させることで、トラヒックの状況に応じた柔軟なアドレス解決制限処理を実現することができる。
【0054】
<アドレス解決制限処理のフローチャート>
図6は、本発明の実施の形態に係るアドレス解決制限処理のフローチャートの一例である。中継処理装置10では、情報処理装置20から所定のドメインに含まれる広告のドメインについてアドレス解決要求を受信した場合(ステップS1-1)、通信網NWへのアクセス状態が輻輳状態であるかを判定し(ステップS1-2)、輻輳状態であると判定した場合に(ステップS1-2:YES)、カウントテーブルに基づいて、アドレス解決の対象であるドメインが制限対象のドメインであるかを判定し(ステップS1-3)、アドレス解決の対象であるドメインが制限対象のドメインであった場合には(ステップS1-3:YES)、制限対象のドメインに対するアドレス解決要求に対して[Refused]を送信する(ステップS1-5)。
図6は、本発明の実施の形態に係るアドレス解決制限処理のフローチャートの一例である。中継処理装置10では、情報処理装置20から所定のドメインに含まれる広告のドメインについてアドレス解決要求を受信した場合(ステップS1-1)、通信網NWへのアクセス状態が輻輳状態であるかを判定し(ステップS1-2)、輻輳状態であると判定した場合に(ステップS1-2:YES)、カウントテーブルに基づいて、アドレス解決の対象であるドメインが制限対象のドメインであるかを判定し(ステップS1-3)、アドレス解決の対象であるドメインが制限対象のドメインであった場合には(ステップS1-3:YES)、制限対象のドメインに対するアドレス解決要求に対して[Refused]を送信する(ステップS1-5)。
【0055】
通信網NWへのアクセス状態が輻輳状態でないと判定した場合や(ステップS1-2:NO)、アドレス解決の対象であるドメインが制限対象でない場合には(ステップS1-3:NO)、中継処理装置10は、アドレス解決要求をDNSサーバに送信して、通常のアドレス解決処理を行う(ステップS1-4)。
【0056】
<カウントテーブルにおけるアクセス回数のカウントアップ>
図7-図9を用いて、カウントテーブルにおけるアクセス回数のカウントアップについて説明する。図7、図8は、本発明の実施の形態に係るカウントテーブルのカウントアップ(TCP)を説明するための図である。
図7-図9を用いて、カウントテーブルにおけるアクセス回数のカウントアップについて説明する。図7、図8は、本発明の実施の形態に係るカウントテーブルのカウントアップ(TCP)を説明するための図である。
【0057】
【0058】
図7に示すように、広告のドメインに対するアドレス解決処理後の最初のTCPシーケンス、すなわちTCPの接続確立から、HTTPサーバアクセス、TCPの接続終了までの一連のTCPシーケンスは、カウントテーブルのカウントアップの対象としない。
【0059】
その理由は、所定のドメインに含まれる広告等についての最初のアドレス解決処理後のHTTPサーバへのアクセスは、情報処理装置20のユーザが意図してアクセスしたものではないため、ユーザが閲覧したい広告等に対するアクセス等の優先度の高いトラヒックか否か判定できないからである。
【0060】
一方、図8に示すように、アドレス解決済の広告等の他のドメインに対してアクセスした場合の一連のTCPシーケンスは、カウントテーブルのカウントアップの対象となる。この場合の広告等に対するアクセスは、情報処理装置20のユーザが意図してアクセスしたものであることが明らかであり、ユーザが閲覧したい広告等に対するアクセス等の優先度の高いトラヒックとなる可能性があるからである。
【0061】
このように、TCPの場合、アドレス解決直後のドメインへのアクセスに関わるTCPシーケンスは、カウントアップの対象としないが、アドレス解決後の2度目以降のドメインへのアクセスに関わるTCPシーケンスはカウントアップの対象となる。このようなカウントテーブルのカウントアップを行うことで、優先度の高いドメインへのアクセスか否かを適切に判断することのできるカウントテーブルを構成することができる。
【0062】
図9は、本発明の実施の形態に係るカウントテーブルのカウントアップ(UDP)を説明するための図である。図9は、NTPサーバにアクセスした場合のカウントテーブルのカウントアップの一例である。図5に示したように、カウントテーブルには、TCPのアクセス回数とUDPのアクセス回数がそれぞれ記憶されている。
【0063】
図9の例では、NTPサーバのアドレスの解決処理を行った後(ステップ801-805)、NTPサーバにUDPでアクセスしている(ステップ806-807)。この段階では、UDPシーケンスは、カウントテーブルのカウントアップの対象としない。その理由は、UDPは、TCPと異なり送信のみを行う場合が多いため、優先度の高いトラヒックに対して通信負荷となる可能性があるからである。
【0064】
一方、図9のステップ808-809に示すように、NTPサーバからNTP結果が通知された場合には、この場合のUDPシーケンスは、カウントテーブルのカウントアップの対象となる。この場合のUDPシーケンスは、単なるUDPのパケットの送信ではなく、通信相手に対して応答を返す動作を行っていることから、優先度の高いトラヒックとなる可能性があるからである。
【0065】
さらに、NTP結果を受信した後に、NTPサーバに対してアクセスしている場合に、この場合のUDPシーケンスは、カウントテーブルのカウントアップの対象とする(ステップ810-811)。この場合のUDPシーケンスは、NTP結果を受けて継続的に通信を行っており、優先度の高いトラヒックとなり得るからである。
【0066】
このように、UDPの場合、アドレス解決直後のドメインへのアクセスに関わるUDPシーケンスは、カウントアップの対象としないが、UDPによるサーバからのデータの受信が行われた場合には、カウントアップの対象となる。さらに、アドレス解決後の2度目以降のドメインへのアクセスに関わるUDPシーケンスはカウントアップの対象となる。
【0067】
このように、パケットの送受信の態様は、プロトコルに応じて異なるため、TCP、UDPのそれぞれにおいてアクセス回数をカウントすることで、TCP、UDPのパケットの送受信の特徴に応じた柔軟なアクセス制限を行うことができる。
【0068】
<カウントテーブルの更新>
図10-図13を用いて、カウントテーブルの更新について説明する。図10、11は、所定の期間におけるドメイン毎のアクセス回数の変動を説明するための図である。図10、図11の例では、各ドメインに対するアクセス回数をカウントして、各一週間のアクセス回数の集計結果を用いて、カウントテーブルの更新を行う。
図10-図13を用いて、カウントテーブルの更新について説明する。図10、11は、所定の期間におけるドメイン毎のアクセス回数の変動を説明するための図である。図10、図11の例では、各ドメインに対するアクセス回数をカウントして、各一週間のアクセス回数の集計結果を用いて、カウントテーブルの更新を行う。
【0069】
図12、図13は、図10、図11のアクセス回数のデータに基づいて作成されたカウントテーブルの構成である。図12は、図10のデータに基づく更新前のカウントテーブルであり、図13は、図11のデータに基づく更新後のカウントテーブルである。
【0070】
このように、カウントテーブルを所定の期間におけるドメイン毎のアクセス回数の集計結果に基づいて動的に更新することで、各ドメインのアクセス状況に応じて、適切にアクセス制限するドメインの判定を行うことができる。また、短期的なアクセス回数の集計結果ではなく、所定の期間におけるアクセス回数の変動傾向により、各ドメインのアドレス解決を制限するかを判定することで、トラヒックの状況に応じてドメインの優先度を判定し、適切なアドレス解決制限処理を行うことができる。
【0071】
<本実施の形態の効果>
このように、本実施の形態は、中継処理装置10の制御部14が、接続された通信網NWへのアクセス状態と、ユーザ端末から送信された任意のドメインに係るアドレス解決要求におけるドメイン名のアクセス回数とに基づいて、アドレス解決処理を行うか否かを判定するように構成され、通信網NWへのアクセス状態が所定の条件の下で輻輳状態にあると判定された場合であって、アドレス解決要求におけるドメイン名のアクセス回数が所定の閾値よりも低い場合に、当該アドレス解決処理を制限するように構成されている。
このように、本実施の形態は、中継処理装置10の制御部14が、接続された通信網NWへのアクセス状態と、ユーザ端末から送信された任意のドメインに係るアドレス解決要求におけるドメイン名のアクセス回数とに基づいて、アドレス解決処理を行うか否かを判定するように構成され、通信網NWへのアクセス状態が所定の条件の下で輻輳状態にあると判定された場合であって、アドレス解決要求におけるドメイン名のアクセス回数が所定の閾値よりも低い場合に、当該アドレス解決処理を制限するように構成されている。
【0072】
このようなドメインのアクセス制限を行うことで、アクセス制限が固定的になることを防止し、ネットワークの状態に応じて、簡便かつ柔軟にアクセス制限を行うことのできるアクセス制限技術を提供することが可能となる。
【0073】
また、各ドメインにおいて、TCP、UDPのそれぞれにおいてアクセス回数をカウントし、カウントアップの条件をTCP、UDPのそれぞれにおいて設定することで、TCP、UDPのパケットの送受信の特徴に応じた柔軟なアクセス制限を行うことができる。
【0074】
また、ドメインのアドレス解決を制限するかを判断するためのカウントテーブルを、所定の期間における所定のドメイン毎のアクセス回数の集計結果に基づいて更新することで、トラヒックの状況に応じてドメインの優先度を判定し、適切なアドレス解決制限処理を行うことができる。
【0075】
<実施の形態の拡張>
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。
【符号の説明】
【0076】
10…中継処理装置、11…網側I/F、12…LAN側I/F、13…記憶部、13A…ルーティングテーブル、13B…カウントテーブル、13P…プログラム、14…制御部、20…情報処理装置、30…DNSサーバ、40…HTTPサーバ、L…通信回線、LAN…ローカルエリアネットワーク、NW…通信網。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】