DE112019003139T5 - Kommunikationsanalysevorrichtung, kommunikationsanalyseverfahren, kommunikationsumgebungsvorrichtung, kommunikationsumgebungsanalyseverfahren und programm - Google Patents

Kommunikationsanalysevorrichtung, kommunikationsanalyseverfahren, kommunikationsumgebungsvorrichtung, kommunikationsumgebungsanalyseverfahren und programm Download PDF

Info

Publication number
DE112019003139T5
DE112019003139T5 DE112019003139.2T DE112019003139T DE112019003139T5 DE 112019003139 T5 DE112019003139 T5 DE 112019003139T5 DE 112019003139 T DE112019003139 T DE 112019003139T DE 112019003139 T5 DE112019003139 T5 DE 112019003139T5
Authority
DE
Germany
Prior art keywords
information
communication
behavior
index information
sensor device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112019003139.2T
Other languages
English (en)
Inventor
Yuki Ashino
Ayaka SAMEJIMA
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of DE112019003139T5 publication Critical patent/DE112019003139T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/065Generation of reports related to network devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0817Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Die vorliegende Erfindung enthält eine Erlangungseinheit (110), die für eine durch eine Sensorvorrichtung auf einem Netzwerk beobachtete Kommunikation Kommunikationsinformation erlangt, die Verhaltensinformation enthält, die ein Verhalten der Kommunikation anzeigt, und Sendequelleninformation, die eine Sendequelle der Kommunikation anzeigt, eine Klassifizierungseinheit (120), die die erlangte Kommunikationsinformation klassifiziert, basierend auf der Verhaltensinformation, und eine Ausgabeeinheit (130), die ein Klassifizierungsergebnis der Kommunikationsinformation basierend auf der Verhaltensinformation zusammen mit der Sendequelleninformation ausgibt.

Description

  • [Technisches Gebiet]
  • Die vorliegende Erfindung betrifft eine Cybersicherheitstechnik.
  • [Stand der Technik]
  • Cyberangriffe auf Netzwerke werden Jahr für Jahr mehr und die Wichtigkeit von Sicherheitsmaßnahmen gegenüber einem Cyberangriff wird größer.
  • Ein Beispiel für eine Technik in Bezug auf Cybersicherheit ist in nachstehend beschriebener PTL1 offenbart. Nachstehend beschriebene PTL1 offenbart eine Technik zum Analysieren eines auf einem Netzwerk verteilten Pakets, zum Quantifizieren eines Ausmaßes an Böswilligkeit einer Zugriffsquelle basierend auf einem Hostzugriff, einem Portzugriff, einem Zugriffszeitintervall, einem Verstoß gegen Zugriffsrichtlinien und ähnlichem von der Zugriffsquelle und zum Durchführen eines Prozesses gemäß dem Ausmaß an Böswilligkeit.
  • [Literaturstellenliste]
  • [Patentliteratur]
  • [PTL1] Japanische Patentanmeldungsveröffentlichung Nr. 2005-175714
  • [Zusammenfassung der Erfindung]
  • [Technisches Problem]
  • Die in oben beschriebener PTL1 Technik bestimmt, ob eine bestimmte Kommunikation böswillig ist, basierend auf einem Analyseergebnis eines Cyberangriffs, der bekannt ist (d.h. der tatsächlich veranlasst, dass ein Schaden an die Oberfläche gelangt). Anders ausgerückt ist es schwierig, eine Böswilligkeit von Kommunikation in Bezug auf einen Cyberangriff zu bestimmen, so lange wie ein Schaden durch den Cyberangriff nicht an die Oberfläche gelangt. Als Ergebnis dehnt sich ein Schaden aus, bevor ein unbekannter Cyberangriff bekannt wird. Es ist eine Technik zum Finden eines unbekannten Cyberangriffs in einer frühen Stufe und zum Unterdrücken eines Schadens durch den Cyberangriff erwünscht.
  • Die vorliegende Erfindung ist angesichts des oben beschriebenen Problems gemacht worden. Eine von Aufgaben der vorliegenden Erfindung besteht im Bereitstellen einer Technik zum Finden eines unbekannten Cyberangriffs in einer frühen Stufe und zum Unterdrücken einer Ausdehnung eines Schadens durch den Cyberangriff.
  • [Lösung für das Problem]
  • Kommunikationsanalysevorrichtung gemäß der vorliegenden Erfindung, welche Vorrichtung folgendes enthält:
    • eine Erlangungseinheit zum Erlangen von Kommunikationsinformation einschließlich Verhaltensinformation, die ein Verhalten der Kommunikation anzeigt, und Sendequelleninformation, die eine Sendequelle der Kommunikation anzeigt, für durch eine Sensorvorrichtung auf einem Netzwerk beobachtete Kommunikation;
    • eine Klassifizierungseinheit zum Klassifizieren der erlangten Kommunikationsinformation basierend auf der Verhaltensinformation; und
    • eine Ausgabeeinheit zum Ausgeben eines Klassifizierungsergebnisses der Kommunikationsinformation basierend auf der Verhaltensinformation zusammen mit der Sendequelleninformation.
  • Kommunikationsanalyseverfahren, das durch einen Computer durchgeführt wird, gemäß der vorliegenden Erfindung, wobei das Verfahren folgendes enthält:
  • Erlangen von Kommunikationsinformation einschließlich Verhaltensinformation, die ein Verhalten der Kommunikation anzeigt, und Sendequelleninformation, die eine Sendequelle der Kommunikation anzeigt, für durch eine Sensorvorrichtung auf einem Netzwerk beobachtete Kommunikation;
  • Klassifizieren der erlangten Kommunikationsinformation basierend auf der Verhaltensinformation; und
    Ausgeben eines Klassifizierungsergebnisses der Kommunikationsinformation basierend auf der Verhaltensinformation zusammen mit der Sendequelleninformation.
  • Ein erstes Programm gemäß der vorliegenden Erfindung veranlasst, dass ein Computer das oben beschriebene Kommunikationsanalyseverfahren ausführt.
  • Kommunikationsumgebungsanalysevorrichtung gemäß der vorliegenden Erfindung, welche Vorrichtung folgendes enthält:
    • eine Erlangungseinheit zum Erlangen von Indexinformation, die als ein Index zum Messen, basierend auf durch eine Sensorvorrichtung auf einem Netzwerk beobachteter Kommunikation, von Unversehrtheit einer Netzwerkumgebung der Sensorvorrichtung dient;
    • eine Bestimmungseinheit zum Bestimmen von Ähnlichkeit zwischen der erlangten Indexinformation und von Referenzindexinformation, die Indexinformation einer Netzwerkumgebung ist, die als eine Referenz dient; und
    • eine Ausgabeeinheit zum Durchführen eines Ausgebens basierend auf einem Bestimmungsergebnis der Ähnlichkeit.
  • Kommunikationsumgebungsanalyseverfahren, das durch einen Computer durchgeführt wird, gemäß der vorliegenden Erfindung, wobei das Verfahren folgendes enthält:
    • Erlangen von Indexinformation, die als ein Index zum Messen, basierend auf durch eine Sensorvorrichtung auf einem Netzwerk beobachteter Kommunikation, von Unversehrtheit einer Netzwerkumgebung der Sensorvorrichtung dient;
    • Bestimmen von Ähnlichkeit zwischen der erlangten Indexinformation und von Referenzindexinformation, die Indexinformation einer Netzwerkumgebung ist, die als eine Referenz dient; und
    • Durchführen eines Ausgebens basierend auf einem Bestimmungsergebnis der Ähnlichkeit.
  • Ein zweites Programm gemäß der vorliegenden Erfindung veranlasst, dass ein Computer das oben beschriebene Kommunikationsumgebungsanalyseverfahren ausführt.
  • [Vorteilhafte Effekte der Erfindung]
  • Die vorliegende Erfindung ist dazu fähig, einen unbekannten Cyberangriff in einer frühen Stufe zu finden und eine Ausdehnung eines Schadens durch den Cyberangriff zu unterdrücken.
  • Figurenliste
  • Die oben beschriebene Aufgabe, die anderen Aufgaben, Merkmale und Vorteile werden aus nachstehend beschriebenen geeigneten beispielhaften Ausführungsformen und den folgenden beigefügten Zeichnungen offensichtlicher werden.
    • [1] 1 ist eine graphische Darstellung, die eine durch eine Kommunikationsanalysevorrichtung gemäß einer ersten beispielhaften Ausführungsform durchgeführte Verarbeitung schematisch darstellt.
    • [2] 2 ist ein Blockdiagramm, das ein Funktionskonfigurationsbeispiel der Kommunikationsanalysevorrichtung gemäß der ersten beispielhaften Ausführungsform darstellt.
    • [3] 3 ist ein Blockdiagramm, das eine Hardwarekonfiguration der Kommunikationsanalysevorrichtung darstellt.
    • [4] 4 ist ein Ablaufdiagramm, das einen durch die Kommunikationsanalysevorrichtung gemäß der ersten beispielhaften Ausführungsform durchgeführten Verarbeitungsablauf darstellt.
    • [5] 5 ist eine graphische Darstellung, die ein Beispiel von Regelinformation darstellt, die eine Erzeugungsregel von Verhaltensinformation definiert.
    • [6] 6 ist eine graphische Darstellung, die ein Beispiel eines Beobachtungsergebnis von Kommunikation in einer Sensorvorrichtung schematisch darstellt.
    • [7] 7 ist eine graphische Darstellung, die ein Beispiel von basierend auf dem in 6 dargestellten Beobachtungsergebnis der Kommunikation erzeugter Kommunikationsinformation darstellt.
    • [8] 8 ist eine graphische Darstellung, die ein Beispiel von in einem vorbestimmten Speicherbereich angehäufter bzw. akkumulierter Kommunikationsinformation darstellt.
    • [9] 9 ist eine graphische Darstellung, die ein Beispiel eines Ausgabebildschirms darstellt, der Kommunikationszeitverteilungsinformation anzeigt.
    • [10] 10 ist eine graphische Darstellung, die eine durch einen Kommunikationsumgebungsanalysevorrichtung gemäß einer zweiten beispielhaften Ausführungsform durchgeführte Verarbeitung schematisch darstellt.
    • [11] 11 ist eine graphische Darstellung, die eine Funktionskonfiguration der Kommunikationsumgebungsanalysevorrichtung gemäß der zweiten beispielhaften Ausführungsform schematisch darstellt.
    • [12] 12 ist ein Blockdiagramm, das eine Hardwarekonfiguration der Kommunikationsumgebungsanalysevorrichtung darstellt.
    • [13] 13 ist ein Ablaufdiagramm, das einen durch die Kommunikationsumgebungsanalysevorrichtung gemäß der zweiten beispielhaften Ausführungsform durchgeführten Verarbeitungsablauf darstellt.
    • [14] 14 ist eine graphische Darstellung, die ein Beispiel von Regelinformation darstellt, die eine Erzeugungsregel von Indexinformation definiert.
    • [15] 15 ist eine graphische Darstellung, die ein Beispiel von durch eine Erlangungseinheit erlangter Indexinformation darstellt.
    • [16] 16 Ist eine graphische Darstellung, die ein Beispiel von Referenzindexinformation einer Sensorvorrichtung darstellt, die als Bestimmungsreferenz dient.
    • [17] 17 ist eine graphische Darstellung, die ein Beispiel von Indexinformation der zu analysierenden Sensorvorrichtung darstellt.
    • [18] 18 ist eine graphische Darstellung, die ein Beispiel der Indexinformation der zu analysierenden Sensorvorrichtung darstellt.
    • [19] 19 ist eine Graphische Darstellung, die ein Beispiel eines Bildschirms darstellt, der Information enthält, die ein Ausmaß an Ähnlichkeit zwischen der Indexinformation und der Referenzindexinformation anzeigt.
  • [Beispielhafte Ausführungsform]
  • Hierin nachfolgend werden beispielhafte Ausführungsformen der vorliegenden Erfindung unter Verwendung von Zeichnungen beschrieben werden. Es ist zu beachten, dass in allen der Zeichnungen dieselben Komponenten dieselben Bezugszeichen haben und eine Beschreibung davon weggelassen werden wird, wo es geeignet ist. Weiterhin stellt jeder Block in jedem Blockdiagramm eine Konfiguration einer Funktionseinheit anstelle einer Konfiguration einer Hardwareeinheit dar, solange es nicht anders beschrieben ist.
  • <Erste beispielhafte Ausführungsform>
  • <Übersicht>
  • 1 ist eine graphische Darstellung, die eine durch einen Kommunikationsanalysevorrichtung 10 gemäß einer ersten beispielhaften Ausführungsform durchgeführte Verarbeitung schematisch darstellt. Die Kommunikationsanalysevorrichtung 10 enthält eine Funktion zum Ausgeben von Information, die als ein Index dient, der ein Kommunikationsrisiko bestimmt, basierend auf einem Beobachtungs-(Empfangs-)Ergebnis von Kommunikation in einer Sensorvorrichtung 30. Die Sensorvorrichtung 30 ist eine Vorrichtung zum Beobachten von Kommunikation von einer Sendequelle (Kommunikationsvorrichtung), die nicht dargestellt ist, auf einem Netzwerk. Die Sensorvorrichtung 30 gibt ein Ergebnis eines Beobachtens von Kommunikation von der Sendequelle auf dem Netzwerk zum Beispiel zu der Kommunikationsanalysevorrichtung 10 oder einer nicht dargestellten externen Speichervorrichtung zu einer vorbestimmten Zeitgabe aus. Es ist zu beachten, dass, obwohl es in 1 nicht dargestellt ist, eine Vielzahl von Sensorvorrichtungen 30 auf dem Netzwerk vorhanden sein kann.
  • Die Kommunikationsanalysevorrichtung 10 kann durch die Sensorvorrichtung 30 beobachtete Kommunikation durch eine Sendequelle analysieren und Information (die hierin nachfolgend auch als „Verhaltensinformation“ ausgedrückt wird) erlangen, die ein Verhalten der Kommunikation anzeigt. Es ist zu beachten, dass die Analyse in der Sensorvorrichtung 30 durchgeführt werden kann. In diesem Fall gibt die Sensorvorrichtung 30 Information einschließlich eines Ergebnisses der Analyse (Verhaltensinformation) zu der Kommunikationsanalysevorrichtung 10 oder der nicht dargestellten externen Speichervorrichtung aus.
  • Die Kommunikationsanalysevorrichtung 10 klassifiziert die durch die Sensorvorrichtung 30 beobachtete Kommunikation basierend auf der erlangten Verhaltensinformation. Dann gibt die Kommunikationsanalysevorrichtung 10 ein Ergebnis eines Klassifizierens der Kommunikation basierend auf der Verhaltensinformation zusammen mit Information (die hierin nachfolgend auch als „Sendequelleninformation“ ausgedrückt wird), die eine Sendequelle der Kommunikation anzeigt, aus.
  • <Aktion und Effekt>
  • Die Kommunikationsanalysevorrichtung 10 gemäß der vorliegenden beispielhaften Ausführungsform gibt ein Ergebnis eines Klassifizierens von Information basierend auf Verhaltensinformation zusammen mit Information, die eine Sendequelle der Kommunikation anzeigt, aus. Die von der Kommunikationsanalysevorrichtung 10 ausgegebene Information kann ein Hinweis für einen Administrator einer Netzwerksicherheit sein, um einen unbekannten Cyberangriff zu finden. Zum Beispiel ist ein Klassifizierungsergebnis von Kommunikation basierend auf Verhaltensinformation ein Index, der anzeigt, ob durch die Kommunikation durchgeführtes Verhalten ein gewöhnliches Verhalten oder ein spezielles Verhalten ist, das im Normalzustand unmöglich ist (das beispiellos ist). Weiterhin ist es dann, wenn Kommunikation von beispiellosem speziellem Verhalten von einer Sendequelle durchgeführt wird, die häufig Kommunikation durchführt, von der angenommen wird, dass sie ein Cyberangriff ist, für die Kommunikation wahrscheinlich, dass sie ein unbekannter Cyberangriff ist. Ein Administrator der Netzwerksicherheit kann zum Beispiel eine solche Analyse durch Verwenden eines ausgegebenen Ergebnisses der Kommunikationsanalysevorrichtung 10 durchführen. Dann kann der Administrator der Netzwerksicherheit im Voraus Maßnahmen auf solche Weise ergreifen, um zu verhindern, dass sich ein Schaden eines unbekannten Cyberangriffs ausbreitet.
  • <Funktionskonfigurationsbeispiel der Kommunikationsanalysevorrichtung 10>
  • 2 ist ein Blockdiagramm, das ein Funktionskonfigurationsbeispiel der Kommunikationsanalysevorrichtung 10 gemäß der ersten beispielhaften Ausführungsform darstellt. Wie es in 2 dargestellt ist, enthält die Kommunikationsanalysevorrichtung 10 eine Erlangungseinheit 110, eine Klassifizierungseinheit 120 und eine Ausgabeeinheit 130.
  • Die Erlangungseinheit 110 erlangt Kommunikationsinformation einschließlich Verhaltensinformation und Sendequelleninformation für durch die Sensorvorrichtung 30 auf einem Netzwerk beobachtete Kommunikation. Hier beobachtet (empfängt) die Sensorvorrichtung 30 auf dem Netzwerk Kommunikation, die zwischen einer Sendequelle und der Sensorvorrichtung 30 auftritt, in Reaktion auf eine Operation von einer gewissen Art von Programm, das auf der Sendequelle implementiert ist. Die Verhaltensinformation ist Information, die ein Verhalten der durch die Sensorvorrichtung 30 beobachteten (empfangenen) Kommunikation anzeigt. Weiterhin ist die Sendequelleninformation Information, die die Sendequelle anzeigt (identifiziert), die die Kommunikation durchführt. Die Klassifizierungseinheit 120 klassifiziert die Kommunikationsinformation basierend auf der Verhaltensinformation. Die Ausgabeeinheit 130 gibt ein Klassifizierungsergebnis der Kommunikationsinformation basierend auf der Verhaltensinformation zusammen mit der Sendequelleninformation aus.
  • <Hardwarekonfigurationsbeispiel der Kommunikationsanalysevorrichtung 10>
  • Jede Funktionskomponenteneinheit der Kommunikationsanalysevorrichtung 10 kann durch Hardware (zum Beispiel eine hartverdrahtete elektronische Schaltung und ähnliches) erreicht werden, die jede Funktionskomponenteneinheit erreicht, und kann durch eine Kombination (zum Beispiel eine Kombination aus einer elektronischen Schaltung und einem Programm, das die elektronische Schaltung steuert, und ähnliches) aus Hardware und Software erreicht werden. Hierin nachfolgend wird ein Fall weiter beschrieben werden, bei welchem jede Funktionskomponenteneinheit der Kommunikationsanalysevorrichtung 10 durch die Kombination aus Hardware und Software erreicht wird.
  • 3 ist ein Blockdiagramm, das eine Hardwarekonfiguration der Kommunikationsanalysevorrichtung 10 darstellt. Wie es in 3 dargestellt ist, enthält die Kommunikationsanalysevorrichtung 10 einen Bus 1010, einen Prozessor 1020, einen Arbeitsspeicher 1030, eine Speichervorrichtung 1040, eine Eingabe/Ausgabe-Schnittstelle 1050 und eine Netzwerkschnittstelle 1060.
  • Der Bus 1010 ist ein Datenübertragungspfad zum Zulassen, dass der Prozessor 1030, die Speichervorrichtung 1040, die Eingabe/Ausgabe-Schnittstelle 1050 und die Netzwerkschnittstelle 1060 Daten untereinander senden und empfangen. Jedoch ist eine Methode zum Verbinden des Prozessors und von ähnlichem miteinander nicht auf eine Busverbindung beschränkt.
  • Der Prozessor 1020 ist ein Prozessor, der durch eine zentrale Prozessoreinheit (CPU), eine Grafikprozessoreinheit (GPU) und ähnliches erreicht wird.
  • Der Arbeitsspeicher 1030 ist eine Hauptspeichervorrichtung, die durch einen Direktzugriffsspeicher (RAM) und ähnliches erreicht wird.
  • Die Speichervorrichtung 1040 ist eine Hilfsspeichervorrichtung, die durch ein Festplattenlaufwerk (HDD), einen Festkörperspeicher (SSD), eine Speicherkarte, einen Nurlesespeicher (ROM) oder ähnliches erreicht wird. Die Speichervorrichtung 1040 speichert ein Programmmodul, das jede Funktion (wie beispielsweise die Erlangungseinheit 110, die Klassifizierungseinheit 120 und die Ausgabeeinheit 130)) der Kommunikationsanalysevorrichtung 10 erreicht. Der Prozessor 1020 liest jedes Programmmodul auf den Arbeitsspeicher 1030 und führt das Programmmodul aus und somit wird jede mit dem Programmmodul assoziierte Funktion erreicht.
  • Die Eingabe/Ausgabe-Schnittstelle 1050 ist eine Schnittstelle zum Verbinden der Kommunikationsanalysevorrichtung 10 und verschiedener Typen von Eingabe/Ausgabe-Vorrichtung. Eine Eingabevorrichtung, wie beispielsweise eine Tastatur und eine Maus, und eine Ausgabevorrichtung, wie beispielsweise ein Lautsprecher und eine Anzeige, können mit der Eingabe/Ausgabe-Schnittstelle 1050 verbunden sein.
  • Die Netzwerkschnittstelle 1060 ist eine Schnittstelle zum Verbinden der Kommunikationsanalysevorrichtung 10 mit einem Netzwerk. Das Netzwerk ist zum Beispiel ein lokales Netz (LAN) und ein Weitverkehrsnetz (WAN). Eine Methode für das Verbinden der Netzwerkschnittstelle 1060 mit dem Netzwerk kann eine drahtlose Verbindung oder eine verdrahtete Verbindung sein. Die Kommunikationsanalysevorrichtung 10 kann mit der Sensorvorrichtung 30 auf dem Netzwerk, einer anderen nicht dargestellten externen Vorrichtung oder ähnlichem über die Netzwerkschnittstelle 1060 kommunizieren.
  • Es ist zu beachten, dass 3 lediglich ein erläuterndes Beispiel ist und die Hardwarekonfiguration der Kommunikationsanalysevorrichtung 10 nicht auf die in 3 dargestellte Konfiguration beschränkt ist.
  • <Verarbeitungsablauf>
  • 4 ist ein Ablaufdiagramm, das einen durch die Kommunikationsanalysevorrichtung 10 gemäß der ersten beispielhaften Ausführungsform durchgeführten Verarbeitungsablauf darstellt. Hierin nachfolgend wird die durch die Kommunikationsanalysevorrichtung 10 durchgeführte Verarbeitung entlang dem Ablaufdiagramm in 4 beschrieben werden.
  • Zuerst erlangt die Erlangungseinheit 110 Kommunikationsinformation einschließlich Verhaltensinformation und Sendequelleninformation basierend auf dem Beobachtungsergebnis von Kommunikation, die durch die Sensorvorrichtung 30 durchgeführt ist (S102). Die Erlangungseinheit 110 arbeitet zum Beispiel wie folgt.
  • Zuerst erlangt die Erlangungseinheit 110 Rohdaten eines Kommunikationspakets, das durch die Sensorvorrichtung 30 beobachtet (empfangen) ist. Das Kommunikationspaket enthält Information in Bezug auf ein Übertragungssteuerungsprotokoll (TCP) oder Information in Bezug auf ein Anwender-Datagramm-Protokoll bzw. User Datagram Protocol (UDP) und ein Internetprotokoll (IP). Basierend auf den Informationsstücken kann die Erlangungseinheit 110 Verhaltensinformation, die ein Verhalten einer Kommunikation anzeigt, und Sendequelleninformation, die eine Sendequelle anzeigt, erlangen. Hierin ist die Information in Bezug auf TCP oder UDP in einem TCP-Anfangsblock oder einem UDP-Anfangsblock des Kommunikationspakets enthalten. Die im Kommunikationspaket enthaltene Information in Bezug auf das TCP ist zum Beispiel einen Zielort-TCP-Portnummer, ein Steuer-Flag eines TCP-Pakets und ähnliches. Die im Kommunikationspaket enthaltene Information in Bezug auf das UDP ist zum Beispiel eine Zielort-UDP-Portnummer und ähnliches. Weiterhin ist die Information in Bezug auf das IP in einem IP-Anfangsblock des Kommunikationspakets enthalten. Die im Kommunikationspaket enthaltene Information in Bezug auf das IP ist zum Beispiel eine Quellen-IP-Adresse, eine Zielort-IP-Adresse und ähnliches.
  • Hierin kann Information, die im Kommunikationspaket enthalten ist, wie beispielsweise eine Zielort-Portnummer (Zielort-TCP-Portnummer oder Zielort-UDP-Portnummer), ein Steuer-Flag eines TCP-Pakets und eine Zielort-IP-Adresse als Information verwendet werden, die ein Verhalten von Kommunikation anzeigt. Zum Beispiel ist es bekannt, dass ein „Typ (eine Kombination) von verwendeten Zielort-Portnummern“, eine „Reihenfolge einer verwendeten Zielort-Portnummer“, ein „Muster eines Steuer-Flags eines TCP-Pakets“, eine „Änderung bei einer Zielort-IP-Adresse“ und ähnliches von einer Implementierung (einem Programm) abhängen.
  • Bei dem TCP und dem UDP ist eine Portnummer gemäß einem Dienst zugeordnet (zum Beispiel ist eine Portnummer eines Hypertext-Übertragungsprotokolls (HTTP) 80). Aus diesem Grund sind ein „Typ (eine Kombination) von verwendeten Zielort-Portnummern“, eine „Reihenfolge und die Anzahl von Malen einer verwendeten Zielort-Portnummer“ und ähnliches Hinweise auf eine Vermutung, welche Art von Zweck ein bei einer Sendequelle gerade verwendetes Programm hat.
  • Weiterhin können für Kommunikationspakete von einer bestimmten Sendequelle in Richtung zu derselben Zielort-IP-Adresse und derselben Zielort-TCP-Portnummer Steuer-Flags eines TCP-Pakets in einer spezifischen Anordnungsreihenfolge (einem Muster) angeordnet sein. Als ein spezifisches Beispiel wird ein Fall betrachtet, bei welchem ein Drei-Wege-Handschlag durchgeführt wird und eine Verbindung zwischen einer bestimmten Sendequelle und der Sensorvorrichtung 30 aufgebaut wird. Als normales Verhalten in diesem Fall sendet die Sendequelle zuerst ein Kommunikationspaket einschließlich eines gesetzten Synchronisierungs-(SYN-)Flags in Richtung zur Sensorvorrichtung 30. Wenn die Sensorvorrichtung 30 auf das Kommunikationspaket reagiert bzw. antwortet, sendet die Sendequelle weiterhin eine Kommunikationspaket einschließlich eines gesetzten Bestätigungs-(ACK-)Flags. Darauffolgend sendet die Sendequelle dann, wenn ein Datenkörper gesendet wird, weiterhin ein Kommunikationspaket einschließlich eines gesetzten Push-(PSH-)Flags. Anders ausgedrückt erscheint ein Muster des Steuer-Flags des TCP-Pakets, wie beispielsweise „SYN → ACK“ oder „SYN → ACK → PSH“ im normalen Kommunikationsverhalten des Drei-Wege-Handschlags. Jedoch kann eine Sendequelle beobachtet werden, die ein Kommunikationspaket in einem speziellen Muster sendet, das unterschiedlich von dem oben beschriebenen Muster ist. Zum Beispiel können eine Sendequelle, die ein Kommunikationspaket einschließlich eines gesetzten Rücksetz-(RST-)Flags nach einem Kommunikationspaket einschließlich eines gesetzten SYN-Flags sendet, eine Sendequelle, die ein Kommunikationspaket einschließlich eines gesetzten ACK-Flags für mehrere Male wiederholt sendet, und ähnliche beobachtet werden. Bei einer solchen Sendequelle ist es wahrscheinlich, dass ein für einen speziellen Zweck verwendetes Programm (Schadprogramm) in Betrieb ist. Auf diese Weise ist ein Muster eines Steuer-Flags eines TCP-Pakets auch ein Hinweis auf eine Vermutung, welche Art von Zweck ein bei einer Sendequelle gerade verwendetes Programm hat.
  • Weiterhin kann eine Vielzahl von Kommunikationspaketen in Richtung zu unterschiedlichen Zielort-IP-Adressen von der Sendequelle in einer kurzen Zeitperiode durch ein in einer Sendequelle verwendetes Programm gesendet werden. Durch Extrahieren der Zielort-IP-Adresse aus jedem der Vielzahl von Kommunikationspaketen kann Information erlangt werden, die anzeigt, welche Art von Kommunikation durch die Sendequelle durchgeführt wird. Zum Beispiel kann Information erlangt werden, die anzeigt, dass eine Zielort-IP-Adresse regelmäßig geändert wird (zum Beispiel wird eine Zielort-IP-Adresse eine nach der anderen verschoben) oder eine Zielort-IP-Adresse zufällig geändert wird. Die Information ist ein Hinweis auf eine Vermutung, welche Art von Zweck ein bei einer Sendequelle gerade verwendetes Programm hat.
  • Somit erlangt die Erlangungseinheit 110 als Verhaltensinformation Information in Bezug auf wenigstens eines von einer Zielort-Portnummer, einem Steuer-Flag eines TCP-Pakets und einer Zielort-IP-Adresse.
  • Spezifisch erlangt die Erlangungseinheit 110 die Verhaltensinformation gemäß einer vorbestimmten Regel (zum Beispiel: 5). 5 ist eine graphische Darstellung, die ein Beispiel von Regelinformation darstellt, die eine Erzeugungsregel der Verhaltensinformation definiert. Die in 5 dargestellte Information wird zum Beispiel im Voraus in einem Speicherbereich, wie beispielsweise dem Arbeitsspeicher 1030 und der Speichervorrichtung 1040 gespeichert. Bei dem Beispiel in 5 ist jede Aufzeichnung aus drei Spalten ausgebildet, die ein „Regel-Identifizierer (ID)“, eine „Bedingung“ und eine „Erzeugungsregel“ sind. Der „Regel-ID“ ist Information zum Identifizieren jedes Stücks von Regelinformation. Die „Bedingung“ ist Information zum Bestimmen eines Bereichs von Daten zum Erzeugen von einem Stück von Verhaltensinformation und irgendeine Information kann eingestellt werden. Zum Beispiel ist eine Bedingung, die „Innerhalb von 30 Sekunden ab einer Beobachtung eines ersten Pakets“ ist, in einer ersten und einer zweiten Reihe in 5 eingestellt. In diesem Fall wird oder werden ein oder mehr Kommunikationspakete (einschließlich eines ersten Pakets), die in einem Abschnitt in Bezug auf Zeit, der „Innerhalb von 30 Sekunden ab einer Beobachtung eines ersten Pakets“ ist, als Daten zum Erzeugen von einem Stück von Verhaltensinformation bestimmt. Es ist zu beachten, dass „ein oder mehr Kommunikationspakete“ durch eine Sendequelle bestimmt wird oder werden. Die „Erzeugungsregel“ ist Information zum Definieren einer Erzeugungsregel von Verhaltensinformation und irgendeine Information kann eingestellt werden. Die Erlangungseinheit 110 erlangt Verhaltensinformation aus dem oder den oben beschriebenen „einen oder mehreren Kommunikationspaketen“ gemäß einer Definition der „Erzeugungsregel“. Wenn zum Beispiel die „Erzeugungsregel“ in der ersten Reihe bei dem Beispiel in 5 angewendet wird, extrahiert die Erlangungseinheit 110 eine Zielort-TCP-Portnummer aus jedem von einem oder mehreren Kommunikationspaketen und erlangt Verhaltensinformation, die ein Kombination der Zielort-TCP-Portnummern anzeigt.
  • Hierin wird eine spezifische Operation der Erlangungseinheit 110 unter Verwendung von 6 beschrieben werden. Es ist zu beachten, dass angenommen ist, dass die Erlangungseinheit 110 die in 5 dargestellte Information verwendet. 6 ist eine graphische Darstellung, die ein Beispiel eines Beobachtungsergebnisses von Kommunikation in der Sensorvorrichtung 30 schematisch darstellt. Bei dem in 6 dargestellten Beispiel beobachtet die Sensorvorrichtung 30 wenigstens fünf Kommunikationspakete (Kommunikationspakete A bis E). Bei dem Beispiel in 6 sind die Kommunikationspakete A bis D von einer Sendequelle „a.a.a.5“ gesendete Kommunikationspakete und ist das Kommunikationspaket E ein von einer Sendequelle „b.b.b.6“ gesendetes Kommunikationspaket.
  • Wenn die Erlangungseinheit 110 Daten erlangt, wie es in 6 dargestellt ist, erkennt die Erlangungseinheit 110 das zuerst für die Sendequelle „a.a.a.5“ beobachtete Kommunikationspaket A als ein „erstes Paket“. Weiterhin erkennt die Erlangungseinheit 110 das Kommunikationspaket B und das Kommunikationspaket C, die für dieselbe Sendequelle „a.a.a.5“ beobachtet sind, als ein Paket, das „Innerhalb von 30 Sekunden ab der Beobachtung des ersten Pakets“ beobachtet ist, basierend auf einem Unterschied von einer Beobachtungszeit des Kommunikationspakets A. Weiterhin erkennt die Erlangungseinheit 110 das für dieselbe Sendequelle „a.a.a.5“ beobachtete Kommunikationspaket D als ein neues „erstes Paket“, das unterschiedlich von dem Kommunikationspaket A ist, basierend auf einem Unterschied von der Beobachtungszeit des Kommunikationspakets A. Weiterhin erkennt die Erlangungseinheit 110 als ein „erstes Paket“ in Bezug auf des Sendequelle „b.b.b.6“ das Kommunikationspaket E, das ein Kommunikationspaket ist, das „Innerhalb von 30 Sekunden ab der Beobachtung des ersten Pakets“ beobachtet ist, aber eine unterschiedliche Sendequelle hat. Anders ausgedrückt bestimmt die Erlangungseinheit 110 bei dem Beispiel in 6 die Kommunikationspakete A bis C als einen Bereich von Daten zum Erzeugen von einem Stück von Verhaltensinformation. Es ist zu beachten, dass die Erlangungseinheit 110, obwohl es nicht dargestellt ist, auch einen Bereich von Daten zum Erzeugen von einem Stück von Verhaltensinformation für das Kommunikationspaket D und das Kommunikationspaket E ähnlich bzw. gleich dem Fall der Kommunikationspakete A bis C bestimmt.
  • Dann erlangt die Erlangungseinheit 110 Verhaltensinformation. Spezifisch kann die Erlangungseinheit 110 Verhaltensinformation (zum Beispiel „23, 80, 8080“), die eine Kombination von Zielort-TCP-Portnummern anzeigt, aus den Kommunikationspaketen A bis C basierend auf der Erzeugungsregel in der ersten Reihe in 5 erlangen. Weiterhin kann die Erlangungseinheit 110 Verhaltensinformation (zum Beispiel „23(1) → 80(1) → 8080(1)“), die die Anzahl von Auftrittszeiten und eine Auftrittsreihenfolge des Zielort-TCP-Ports anzeigt, aus den Kommunikationspaketen A bis C basierend auf der Erzeugungsregel in der zweiten Reihe in 5 erlangen.
  • Dann erzeugt die Erlangungseinheit 110 Kommunikationsinformation durch Assoziieren der Verhaltensinformation und der Sendequelleninformation miteinander (zum Beispiel: 7). 7 ist eine graphische Darstellung, die ein Beispiel von Kommunikationsinformation darstellt, die basierend auf dem Beobachtungsergebnis der in 6 dargestellten Kommunikation erzeugt ist. Bei dem Beispiel in 7 ist jede Aufzeichnung aus fünf Spalten ausgebildet, die ein „Kommunikationsinformations-ID“, „Sendequelleninformation“, eine „Eingangszeit“, ein „Regel-ID“ und „Verhaltensinformation“ sind. Der „Kommunikationsinformations-ID“ ist Information zum Identifizieren jedes Stücks von Kommunikationsinformation. Der „Kommunikationsinformations-ID“ wird während einer Erzeugung der Kommunikationsinformation automatisch als ein Wert zugeordnet, der eindeutig für Kommunikationsinformation ist. Die „Sendequelleninformation“ ist Information, die eine mit jedem Stück von Kommunikationsinformation assoziierte Sendequelle anzeigt. Information, die eine Sendequelle von Kommunikation identifizieren kann, wie beispielsweise ein in einem IP-Anfangsblock eines Kommunikationspakets enthaltene Quellen-IP-Adresse, wird zum Beispiel für „Sendequelleninformation“ eingestellt. Die „Eingangszeit“ ist Information in Bezug auf eine Zeit, zu welcher mit jedem Stück von Kommunikationsinformation assoziierte Kommunikation durchgeführt wird. Zum Beispiel wird eine Beobachtungszeit eines ersten Pakets als eine Eingangszeit eingestellt. Der „Regel-ID“ ist Information, die eine Erzeugungsregel anzeigt, die angewendet wird, wenn in Kommunikationsinformation enthaltene Verhaltensinformation erzeugt wird. Die durch den „Regel-ID“ angezeigte durch eine Erzeugungsregel erzeugt Verhaltensinformation wird in der „Verhaltensinformation“ gespeichert. Zum Beispiel speichert die Erlangungseinheit 110, wie es in 8 dargestellt ist, erzeugte Kommunikationsinformation in einem vorbestimmten Speicherbereich (zum Beispiel der Speichervorrichtung 1040). 8 ist eine graphische Darstellung, die ein Beispiel von in dem vorbestimmten Speicherbereich akkumulierter Kommunikationsinformation darstellt. Jedoch ist die Kommunikationsinformation nicht auf das Beispiel in 8 beschränkt. Zum Beispiel kann die Erlangungseinheit 110 in der Kommunikationsinformation detaillierte Information (zum Beispiel WHOIS-Information, die basierend auf einer Quellen-IP-Adresse erlangt werden kann, und ähnliches) enthalten, die basierend auf Sendequelleninformation erlangt werden kann. Die WHOIS-Information ist Information, die effektiv ist, wenn ein Netzwerkadministrator ein Kommunikationsrisiko analysiert.
  • Wendet man sich wieder der 4 zu, klassifiziert die Klassifizierungseinheit 120 die Kommunikationsinformation basierend auf der Verhaltensinformation (S104). Spezifisch wählt die Klassifizierungseinheit 120 ein Stück von Kommunikationsinformation aus der durch die Verarbeitung in S102 erlangten Kommunikationsinformation aus und vergleicht ein Stück von in der ausgewählten Kommunikationsinformation enthaltener Verhaltensinformation mit einem Stück von Verhaltensinformation anderer Kommunikationsinformation. Zum Beispiel ist, wie es in 8 dargestellt ist, angenommen, dass die Kommunikationsinformation akkumuliert ist und die Klassifizierungseinheit 120 Kommunikationsinformation mit einem Kommunikationsinformations-ID von „0501“ auswählt. In diesem Fall kann die Klassifizierungseinheit 120 bestimmen, dass es keine Kommunikationsinformation gibt, die dieselbe Verhaltensinformation wie Verhaltensinformation „443“ enthält, die mit der Kommunikationsinformation assoziiert ist (d.h. das Kommunikationsverhalten der Kommunikationsinformation wird zuerst beobachtet). In diesem Fall klassifiziert die Klassifizierungseinheit 120 die Kommunikationsinformation mit dem Kommunikationsinformations-ID von „0501“ als eine beispiellose Gruppe. Zum Beispiel erzeugt die Klassifizierungseinheit 120 erneut Flag-Information, die eine Klassifizierung eindeutig anzeigt, zu welcher Verhaltensinformation gehört, die in der Kommunikationsinformation mit dem Kommunikationsinformations-ID von „0501“ enthalten ist, und stellt die neu erzeugte Flag-Information der Kommunikationsinformation zur Verfügung. Auf diese Weise wird eine Klassifizierung neu erzeugt, die mit dem Kommunikationsverhalten assoziiert ist, das in der Sensorvorrichtung 30 niemals beobachtet worden ist. Weiterhin ist angenommen, dass die Klassifizierungseinheit 120 Kommunikationsinformation mit einer Kommunikationsinformations-ID von „0401“ auswählt. In diesem Fall kann die Klassifizierungseinheit 120 ein Stück von Kommunikationsinformation (Kommunikationsinformation mit einem Kommunikationsinformations-ID von „0001“) bestimmen, die dieselbe Verhaltensinformation wie diejenige der Verhaltensinformation „23, 80, 8080“ enthält, die mit der Kommunikationsinformation assoziiert ist. In diesem Fall klassifiziert die Klassifizierungseinheit 120 die Kommunikationsinformation mit dem Kommunikationsinformations-ID von „0401“ als dieselbe Gruppe wie die Kommunikationsinformation mit dem Kommunikations-ID von „0001“. Zum Beispiel kann die Klassifizierungseinheit 120 durch Bereitstellen derselben Flag-Information wie Flag-Information, die der Kommunikationsinformation mit dem ID von „0001“ bereitgestellt ist, zur Kommunikationsinformation mit dem Kommunikationsinformations-ID von „0401“ die Stücke von Kommunikationsinformation in dieselbe Gruppe klassifizieren.
  • Dann gibt die Ausgabeeinheit 130 ein Ergebnis einer Klassifizierung basierend auf der Verhaltensinformation zusammen mit der Sendequelleninformation aus (S106). Zum Beispiel kann die Ausgabeeinheit 130 zu einer Ausgabevorrichtung 40 (einer Anzeige und ähnlichem) für einen Netzwerkadministrator eine Nachricht, wie beispielsweise „Durch Sendequelle a.a.a.5 durchgeführtes Kommunikationsverhalten ist insgesamt zweimal beobachtet.“ und „Durch Sendequelle b.b.b.6 durchgeführtes Kommunikationsverhalten ist beispielloses Verhalten.“, ausgeben. Ein Netzwerkadministrator kann ein Risiko der Kommunikation basierend auf solcher Information bestimmen.
  • Weiterhin kann, wie es in 7 dargestellt ist, die Ausgabeeinheit 130 dann, wenn Information in Bezug auf eine Kommunikationszeit in Kommunikationsinformation enthalten ist, basierend auf der Kommunikationszeit weiterhin eine Auftrittsintervall von Kommunikation ausgeben, die zu jeweiliger Klassifizierung gehört, die basierend auf Verhaltensinformation bestimmt ist. Zum Beispiel kann die Ausgabeeinheit 130 eine Nachricht, wie beispielsweise „Durch Sendequelle a.a.a.5 durchgeführtes Kommunikationsverhalten ist zweite Zeit nach einem Verstreichen von XX Tagen.“, ausgeben. Auf diese Weise kann ein Netzwerkadministrator vorteilhafte Information für eine Risikoanalyse bereitstellen.
  • Weiterhin kann dann, wenn Information in Bezug auf eine Kommunikationszeit in Kommunikationsinformation enthalten ist, die Ausgabeeinheit 130 auf solche Weise konfiguriert sein, um Kommunikationszeitverteilungsinformation durch eine Klassifizierung, die basierend auf Verhaltensinformation bestimmt ist, durch Verwenden der Kommunikationszeit jedes Stücks der Kommunikationsinformation auszugeben. Hierin ist Kommunikationszeitverteilungsinformation Information, die eine Verteilung von Zeit, zu welcher Kommunikation durchgeführt wird, durch eine Klassifizierung, die basierend auf Verhaltensinformation bestimmt ist, anzeigt. Spezifisch kann die Ausgabeeinheit 130 auf solche Weise konfiguriert sein, um Kommunikationszeitverteilungsinformation durch Auswerten bzw. Aufzeichnen von Kommunikation durch Klassifizierung, basierend auf der Kommunikationszeit jedes Stücks der Kommunikationsinformation, in einem multidimensionalen Raum auszugeben, der wenigstens eine Achse enthält, die eine Zeit anzeigt. Ein Netzwerkadministrator kann basierend auf solcher Information auf einfache Weise einen Trend der Kommunikation durch Klassifizierung erkennen.
  • 9 stellt ein spezifisches Ausgabebeispiel von Kommunikationszeitverteilungsinformation dar. 9 ist eine graphische Darstellung, die ein Beispiel eines Ausgabebildschirms darstellt, der die Kommunikationszeitverteilungsinformation anzeigt. 9 stellt einen zweidimensionalen Raum A einschließlich einer vertikalen Achse als eine Zeitachse und einer horizontalen Achse als eine Achse einer Quellen-IP-Adresse dar. Es ist zu beachten, dass eine vertikale Auflösung und eine horizontale Auflösung in dem in 9 dargestellten zweidimensionalen Raum A jeweils „3“ und „4“ sind. Weiterhin zeigt der zweidimensionale Raum A in dem in 9 dargestellten Bildschirm ein Beobachtungsergebnis von Kommunikation durch Quellen-IP-Adresse in einer Periode von „12:20:00“ bis „12:50:00“ an einem bestimmten Tag an.
  • Die Kommunikationsanalysevorrichtung 10 gemäß der vorliegenden beispielhaften Ausführungsform kann den Bildschirm, wie er in 9 dargestellt ist, zum Beispiel wie folgt ausgeben. Zuerst sammelt die Klassifizierungseinheit 120 „Kommunikationsdaten“, die als eine Basis von Information dienen, um auf dem zweidimensionalen Raum A angezeigt zu werden. Hierin sammelt die Klassifizierungseinheit die „Kommunikationsdaten“ durch Klassifizierung basierend auf Verhaltensinformation. Als ein spezifisches Beispiel erlangt die Klassifizierungseinheit 120 für eine Kommunikation mit derselben „Kombination von Zielort-TCP-Portnummern“ Daten in Bezug auf eine Zeit und eine Quellen-IP-Adresse der Kommunikation. Als Ergebnis werden Daten gesammelt, wie es in den „Kommunikationsdaten“ in 9 dargestellt ist. Dann wählt die Klassifizierungseinheit 120 ein Stück von Daten aus den gesammelten „Kommunikationsdaten“ aus. Dann bestimmt die Klassifizierungseinheit 120 einen Bereich (Block) des zweidimensionalen Raums A basierend auf einer „Zeit“ oder einer „Quellen-IP-Adresse“ der ausgewählten Daten. Als ein spezifisches Beispiel wird ein Fall betrachtet, in welchem die Klassifizierungseinheit 120 Daten auswählt, deren Zeit „12:34:56“ ist und deren Quellen-IP-Adresse „12.34.x.x“ ist. In diesem Fall kann die Klassifizierungseinheit 120 einen Bereich, der in der graphischen Darstellung durch eine gepunktete Linie umgeben ist, als einen mit den ausgewählten Daten assoziierten Bereich bestimmen. Dann inkrementiert die Klassifizierungseinheit 120 eine Variable, die als die Anzahl von Stücken von Daten definiert ist, die im bestimmten Bereich (Block) enthalten sind. Die Klassifizierungseinheit 120 kann möglicherweise Daten zum Zeichnen der Kommunikationszeitverteilungsinformation erzeugen, wie es in 9 dargestellt ist, durch Durchführen der oben beschriebenen Operation an jedem Stück von Kommunikationsdaten. Dann gibt die Ausgabeeinheit 130 die Kommunikationszeitverteilungsinformation basierend auf den durch die Klassifizierungseinheit 120 erzeugten Zeichnungsdaten aus. Zu dieser Zeit kann, wie es in 9 dargestellt ist, die Ausgabeeinheit 130 ein Farbmuster jedes Bereichs in Reaktion auf die Anzahl von Stücken von Daten für jeden Bereich im zweidimensionalen Raum A ändern. Auf diese Weise kann ein Vorgesetzter einer Netzwerksicherheit einen Trend (eine Verteilungssituation in Bezug auf Zeit) von Kommunikation durch Klassifizierung weiter intuitiv erkennen. Es ist zu beachten, dass 9 ein Beispiel darstellt, bei welchem dann, wenn die Anzahl von Stücken von Daten für jeden Bereich größer wird, der Bereich in einer dunkleren Farbe angezeigt ist.
  • Jedoch ist eine Ausgabeinhalt durch die Ausgabeeinheit 130 nicht auf das Beispiel in 9 beschränkt. Zum Beispiel kann die Ausgabeeinheit 130 Kommunikationszeitverteilungsinformation durch Verwenden eines zweidimensionalen Raums ausgeben, der eine erste Achse enthält, die ein „Zeit“ anzeigt, und eine zweite Achse von einer „Kombination von Zielort-TCP-Portnummern“. Hierin ist die „Kombination von Zielort-TCP-Portnummern“ ein Beispiel einer Klassifizierung basierend auf Verhaltensinformation. In diesem Fall wird ein Bildschirm ausgegeben, der Information enthält, die in zeitlicher Serie eine Auftrittssituation einer Kommunikation durch eine Kombination von Zielort-TCP-Portnummern (zum Beispiel „23, 80, 8080“, „433“ und ähnliches) anzeigt.
  • Weiterhin kann ein multidimensionaler Rum verwendet werden, der keine Zeitachse enthält. Zum Beispiel kann ein zweidimensionaler Raum verwendet werden, der eine erste Achse enthält, die ein Quellen-Portnummer anzeigt, und eine zweite Achse, die eine Zielort-Portnummer enthält. In diesem Fall kann die Ausgabeeinheit 130 Information ausgeben, die eine Auftrittshäufigkeit von Kommunikation durch eine Kombination der Quellen-Portnummer und der Zielort-Portnummer anzeigt.
  • <Zweite beispielhafte Ausführungsform>
  • <Übersicht>
  • 10 ist eine graphische Darstellung, die eine durch eine Kommunikationsumgebungsanalysevorrichtung 20 gemäß einer zweiten beispielhaften Ausführungsform durchgeführte Verarbeitung darstellt. Die Kommunikationsumgebungsanalysevorrichtung 20 enthält Funktionen zum Analysieren eines Inhalts von Kommunikation, die in einer Sensorvorrichtung 30 beobachtet (empfangen) ist, und zum Bestimmen eines Risikos der Sensorvorrichtung 30 aus dem Analyseergebnis. Ähnlich bzw. gleich der ersten beispielhaften Ausführungsform ist die Sensorvorrichtung 30 eine Vorrichtung zum Beobachten von Kommunikation von einer Sendequelle (Kommunikationsvorrichtung), die nicht dargestellt ist, auf einem Netzwerk. Die Sensorvorrichtung 30 gibt zum Beispiel ein Ergebnis eines Beobachtens von Kommunikation von der Sendequelle auf dem Netzwerk zu der Kommunikationsumgebungsanalysevorrichtung 20 oder einer nicht dargestellten externen Speichervorrichtung zu einer vorbestimmten Zeitgabe aus. Es ist zu beachten, dass, obwohl es in 10 nicht dargestellt ist, die Vielzahl von Sensorvorrichtungen 30 auf dem Netzwerk vorhanden sein kann.
  • Die Kommunikationsumgebungsanalysevorrichtung 20 analysiert in der Sensorvorrichtung 30 beobachtete Kommunikation und erlangt Information (die hierin nachfolgend auch als „Indexinformation“ ausgedrückt wird), die als ein Index zum Messen einer Unversehrtheit einer Netzwerkumgebung der Sensorvorrichtung 30 dient. Es ist zu beachten, dass die Analyse in der Sensorvorrichtung 30 durchgeführt werden kann. In diesem Fall gibt die Sensorvorrichtung 30 Information einschließlich eines Ergebnisses der Analyse (Indexinformation) zu der Kommunikationsumgebungsanalysevorrichtung 20 oder der nicht dargestellten externen Speichervorrichtung aus.
  • Die Kommunikationsumgebungsanalysevorrichtung 20 vergleicht die erlangte Indexinformation mit Indexinformation (die hierin nachfolgend als „Referenzindexinformation“ ausgedrückt wird) über eine Netzwerkumgebung, die als eine Bestimmungsreferenz von Unversehrtheit dient. Dann bestimmt die Kommunikationsumgebungsanalysevorrichtung 20 eine Ähnlichkeit zwischen der Indexinformation der Sensorvorrichtung 30 und der Referenzindexinformation basierend auf dem Vergleichsergebnis. Dann gibt die Kommunikationsumgebungsanalysevorrichtung 20 ein Bestimmungsergebnis der Ähnlichkeit zwischen der Indexinformation der Sensorvorrichtung 30 und der Referenzindexinformation zum Beispiel zu einem Endgerät für einen Administrator einer Netzwerksicherheit aus. Zum Beispiel ist angenommen, dass es eine erste Sensorvorrichtung 30 gibt, für die bereits bekannt gewesen ist, dass die eine hohe Unversehrtheit hat, und Indexinformation der ersten Sensorvorrichtung 30 als Referenzindexinformation verwendet wird. In diesem Fall kann die Kommunikationsumgebungsanalysevorrichtung 20 vermuten, dass eine zu vergleichende zweite Sensorvorrichtung 30 mit einer höheren Ähnlichkeit zu der Indexinformation (Referenzindexinformation) der ersten Sensorvorrichtung 30 eine höhere Unversehrtheit hat. Weiterhin ist angenommen, dass es eine erste Sensorvorrichtung 30 gibt, für die bereits bekannt gewesen ist, dass sie eine niedrige Unversehrtheit hat, und Indexinformation der ersten Sensorvorrichtung 30 als Referenzindexinformation verwendet wird. In diesem Fall kann die Kommunikationsumgebungsanalysevorrichtung 20 vermuten, dass eine zu vergleichende Sensorvorrichtung 30 mit einer höheren Ähnlichkeit zu der Indexinformation (Referenzindexinformation) der ersten Sensorvorrichtung 30 eine niedrigere Unversehrtheit hat.
  • <Aktion und Effekt>
  • Die Kommunikationsumgebungsanalysevorrichtung 20 gemäß der vorliegenden beispielhaften Ausführungsform gibt ein Bestimmungsergebnis einer Ähnlichkeit zwischen Indexinformation, die eine Unversehrtheit einer Netzwerkumgebung der Sensorvorrichtung 30 misst, und Referenzindexinformation, die als eine Bestimmungsreferenz der Unversehrtheit dient, aus. Die Informationsausgabe durch die Kommunikationsumgebungsanalysevorrichtung 20 kann ein Hinweis für einen Administrator einer Netzwerksicherheit sein, um einen unbekannten Cyberangriff zu finden. Wenn zum Beispiel Indexinformation der Sensorvorrichtung 30, die häufig Ziel eines Cyberangriffs ist, als Referenzindexinformation verwendet wird, gibt es eine höhere Wahrscheinlichkeit dafür, dass sie ein Ziel eines unbekannten Cyberangriffs ist, da ein Trend näher zur Referenzindexinformation angezeigt wird. Ein Administrator der Netzwerksicherheit kann zum Beispiel eine solche Analyse durch Verwenden eines Ausgabeergebnisses der Kommunikationsumgebungsanalysevorrichtung 20 durchführen. Dann kann ein Administrator der Netzwerksicherheit im Voraus Maßnahmen zum Erhöhen einer Unversehrtheit einer Netzwerkumgebung auf eine solche Weise vornehmen, um zu verhindern, dass sich ein Schaden eines unbekannten Cyberangriffs ausbreitet.
  • <Funktionskonfigurationsbeispiel>
  • 11 ist eine graphische Darstellung, die eine Funktionskonfiguration der Kommunikationsumgebungsanalysevorrichtung 20 gemäß der zweiten beispielhaften Ausführungsform schematisch darstellt. Wie es in 11 dargestellt ist, enthält die Kommunikationsumgebungsanalysevorrichtung 20 eine Erlangungseinheit 210, eine Bestimmungseinheit 220 und eine Ausgabeeinheit 230.
  • Die Erlangungseinheit 210 erlangt Indexinformation basierend auf durch die Sensorvorrichtung 30 auf einem Netzwerk beobachteter Kommunikation. Die Indexinformation ist Information, die als ein Index zum Messen einer Unversehrtheit einer Netzwerkumgebung der Sensorvorrichtung 30 dient. Die Bestimmungseinheit 220 bestimmt eine Ähnlichkeit zwischen der durch die Erlangungseinheit 210 erlangten Indexinformation und Referenzindexinformation. Die Referenzindexinformation ist Indexinformation einer Netzwerkumgebung, die als eine Referenz dient. Die Ausgabeeinheit 230 führt ein Ausgeben basierend auf einem Bestimmungsergebnis einer Ähnlichkeit durch die Bestimmungseinheit 220 durch.
  • <Hardwarekonfigurationsbeispiel der Kommunikationsanalysevorrichtung 10>
  • Jede Funktionskomponenteneinheit der Kommunikationsumgebungsanalysevorrichtung 20 kann durch Hardware (zum Beispiel eine hartverdrahtete elektronische Schaltung und ähnliches) erreicht werden, die jede Funktionskomponenteneinheit erreicht, und kann durch eine Kombination (zum Beispiel eine Kombination aus einer elektronischen Schaltung und einem Programm, das die elektronische Schaltung steuert, und ähnliches) aus Hardware und Software erreicht werden. Hierin nachfolgend wird ein Fall weiter beschrieben werden, bei welchem jede Funktionskomponenteneinheit der Kommunikationsumgebungsanalysevorrichtung 20 durch die Kombination aus Hardware und Software erreicht wird.
  • 12 ist ein Blockdiagramm, das eine Hardwarekonfiguration der Kommunikationsumgebungsanalysevorrichtung 20 darstellt. Wie es in 12 dargestellt ist, enthält die Kommunikationsumgebungsanalysevorrichtung 20 einen Bus 2010, einen Prozessor 2020, einen Arbeitsspeicher 2030, eine Speichervorrichtung 2040, eine Eingabe/Ausgabe-Schnittstelle 2050 und eine Netzwerkschnittstelle 2060.
  • Der Bus 2010 ist ein Datenübertragungspfad zum Zulassen, dass der Prozessor 2030, die Speichervorrichtung 2040, die Eingabe/Ausgabe-Schnittstelle 2050 und die Netzwerkschnittstelle 2060 Daten untereinander senden und empfangen. Jedoch ist eine Methode zum Verbinden des Prozessors 2020 und von ähnlichem miteinander nicht auf eine Busverbindung beschränkt.
  • Der Prozessor 2020 ist ein Prozessor, der durch eine zentrale Prozessoreinheit (CPU), eine Grafikprozessoreinheit (GPU) und ähnliches erreicht wird.
  • Der Arbeitsspeicher 2030 ist ein Hauptspeicher, der mit einem Direktzugriffsspeicher (RAM) und ähnlichem konfiguriert ist.
  • Die Speichervorrichtung 2040 ist ein Hilfsspeicher, der mit einem ein Festplattenlaufwerk (HDD), einem Festkörperspeicher (SSD), einer Speicherkarte, einem Nurlesespeicher (ROM) oder ähnlichem konfiguriert ist. Die Speichervorrichtung 2040 speichert ein Programmmodul, das jede Funktion (wie beispielsweise die Erlangungseinheit 210, die Bestimmungseinheit 220 und die Ausgabeeinheit 230) der Kommunikationsumgebungsanalysevorrichtung 20 erreicht. Der Prozessor 2020 liest jedes Programmmodul auf den Arbeitsspeicher 2030 und führt das Programmmodul aus und somit wird jede mit dem Programmmodul assoziierte Funktion erreicht.
  • Die Eingabe/Ausgabe-Schnittstelle 2050 ist eine Schnittstelle zum Verbinden der Kommunikationsumgebungsanalysevorrichtung 20 und verschiedener Typen von Eingabe/Ausgabe-Vorrichtung. Eine Eingabevorrichtung, wie beispielsweise eine Tastatur und eine Maus, und eine Ausgabevorrichtung, wie beispielsweise ein Lautsprecher und eine Anzeige, können mit der Eingabe/Ausgabe-Schnittstelle 2050 verbunden sein.
  • Die Netzwerkschnittstelle 2060 ist eine Schnittstelle zum Verbinden der Kommunikationsumgebungsanalysevorrichtung 20 mit einem Netzwerk. Das Netzwerk ist zum Beispiel ein lokales Netz (LAN) und ein Weitverkehrsnetz (WAN). Eine Methode für das Verbinden der Netzwerkschnittstelle 1060 mit dem Netzwerk kann eine drahtlose Verbindung oder eine verdrahtete Verbindung sein. Die Kommunikationsumgebungsanalysevorrichtung 20 kann mit der Sensorvorrichtung 30 auf dem Netzwerk, einer anderen nicht dargestellten externen Vorrichtung oder ähnlichem über die Netzwerkschnittstelle 2060 kommunizieren.
  • Es ist zu beachten, dass 12 lediglich ein erläuterndes Beispiel ist und die Hardwarekonfiguration der Kommunikationsumgebungsanalysevorrichtung 20 nicht auf die in 12 dargestellte Konfiguration beschränkt ist.
  • <Verarbeitungsablauf>
  • 13 ist ein Ablaufdiagramm, das einen durch die Kommunikationsumgebungsanalysevorrichtung 20 gemäß der zweiten beispielhaften Ausführungsform durchgeführten Verarbeitungsablauf darstellt. Hierin nachfolgend wird die durch die Kommunikationsumgebungsanalysevorrichtung 20 durchgeführte Verarbeitung entlang dem Ablaufdiagramm in 13 beschrieben werden.
  • Zuerst erlangt die Erlangungseinheit 210 Indexinformation basierend auf einem Beobachtungsergebnis von Kommunikation, die durch die Sensorvorrichtung 30 durchgeführt ist (S202). Die Erlangungseinheit 210 arbeitet zum Beispiel wie folgt.
  • Zuerst erlangt die Erlangungseinheit 210 Rohdaten eines Kommunikationspakets, das durch die Sensorvorrichtung 30 beobachtet (empfangen) ist. Das Kommunikationspaket enthält Information in Bezug auf ein Übertragungssteuerungsprotokoll (TCP) oder ein Anwender-Datagramm-Protokoll bzw. User Datagram Protocol (UDP) und Information in Bezug auf ein Internetprotokoll (IP). Basierend auf den Informationsstücken kann die Erlangungseinheit 210 Indexinformation erlangen. Zum Beispiel kann die Erlangungseinheit 210 Indexinformation, basierend auf Information, die in einem Kommunikationspaket enthalten ist, wie beispielsweise eine Zielort-Portnummer (Zielort-TCP-Portnummer oder Zielort-UDP-Portnummer), ein Steuer-Flag eines TCP-Pakets, eine Zielort-IP-Adresse und eine Quellen-IP-Adresse, erlangen.
  • Spezifisch erlangt die Erlangungseinheit 210 die Indexinformation gemäß einer vorbestimmten Regel (zum Beispiel: 14). 14 ist eine graphische Darstellung, die ein Beispiel von Regelinformation darstellt, die eine Erzeugungsregel von Indexinformation definiert. Die in 14 dargestellte Information wird zum Beispiel im Voraus in einem Speicherbereich, wie beispielsweise dem Arbeitsspeicher 2030 und der Speichervorrichtung 2040 gespeichert. Bei dem Beispiel in 14 ist jede Aufzeichnung aus drei Spalten ausgebildet, die ein „Regel-Identifizierer (ID)“, eine „Bedingung“ und eine „Erzeugungsregel“ sind. Der „Regel-ID“ ist Information zum Identifizieren jedes Stücks von Regelinformation. Die „Bedingung“ ist Information zum Bestimmen eines Bereichs von Daten zum Erzeugen von einem Stück von Indexinformation und irgendeine Information kann darin eingestellt werden. Zum Beispiel ist eine Bedingung, die „Vom 1-ten Januar bis zum 31-ten Dezember jedes Jahr“ ist, in einer ersten und einer zweiten Reihe in 14 eingestellt. In diesem Fall wird oder werden ein oder mehr Kommunikationspakete, die in einem zeitlichen Abschnitt von „Vom 1-ten Januar bis zum 31-ten Dezember jedes Jahr“ beobachtet sind, als Daten zum Erzeugen eines Stücks von Indexinformation bestimmt. Die „Erzeugungsregel“ ist Information zum Definieren einer Erzeugungsregel von Verhaltensinformation und irgendeine Information kann darin eingestellt werden. Die Erlangungseinheit 210 erlangt Indexinformation aus dem oder den oben beschriebenen „einen oder mehreren Kommunikationspaketen“ gemäß einer Definition der „Erzeugungsregel“. Wenn zum Beispiel die „Erzeugungsregel“ in der ersten Reihe bei dem Beispiel in 14 angewendet wird, extrahiert die Erlangungseinheit 210 eine Quellen-IP-Adresse aus jedem von einem oder mehreren Kommunikationspaketen.
  • Die Erlangungseinheit 210 erlangt Indexinformation für jede Sensorvorrichtung 30, die ein Ziel ist, und speichert die Indexinformation in einem vorbestimmten Speicherbereich (zum Beispiel: 15). 15 ist eine graphische Darstellung, die ein Beispiel von Indexinformation darstellt, die durch die Erlangungseinheit 210 erlangt ist. Bei dem Beispiel in 15 ist jede Aufzeichnung bzw. jeder Eintrag aus fünf Spalten ausgebildet, die ein „Indexinformations-ID“, ein „Sensor-ID“, eine „ein Jahr anzeigende Information“, ein „Regel-ID“ und „Indexinformation“ sind. Der „Indexinformations-ID“ ist Information zum Identifizieren jedes Stücks von Indexinformation. Der „Indexinformations-ID“ wird während einer Erzeugung der Indexinformation automatisch als ein Wert zugeordnet, der eindeutig für Indexinformation ist. Der „Sensor-ID“ ist ein Identifizierer, der eindeutig für jede Sensorvorrichtung 30 ist. Die „ein Jahr anzeigende Information“ ist Information, die ein Jahr anzeigt, in welchem Indexinformation erzeugt ist. Die Information kann durch die „Bedingung“ zum Bestimmen eines Bereichs von Daten zum Erzeugen eines Stücks von Indexinformation geändert werden. Der „Regel-ID“ ist Information, die eine Erzeugungsregel anzeigt, die angewendet wird, wenn in Kommunikationsinformation enthaltene Verhaltensinformation erzeugt wird. Die Indexinformation, die durch die Erzeugungsregel erzeugt ist, die durch den „Regel-ID“ angezeigt wird, ist in der „Indexinformation“ gespeichert.
  • Wendet man sich wieder der 13 zu, erlangt die Bestimmungseinheit 220 Referenzindexinformation (S204). Wenn zum Beispiel die Sensorvorrichtung 30 als Referenz voreingestellt ist, kann die Bestimmungseinheit 220 Indexinformation der Sensorvorrichtung 30 als Referenzindexinformation erlangen. Weiterhin kann Indexinformation, die als ein Ergebnis eines experimentellen Betreibens der Sensorvorrichtung 30 als ein Lockmittel erlangt ist, als Referenzindexinformation in der Speichervorrichtung 2040 und ähnlichem vorbereitet sein.
  • Dann bestimmt die Bestimmungseinheit 220 eine Ähnlichkeit zwischen der Indexinformation und der Referenzindexinformation. Die Bestimmungseinheit 220 arbeitet zum Beispiel wie folgt. Die Bestimmungseinheit 220 berechnet zuerst ein Ausmaß an Ähnlichkeit zwischen der Indexinformation und der Referenzindexinformation (S206). Als ein Beispiel bestimmt die Bestimmungseinheit 220 eine Quellen-IP-Adresse, die in sowohl der Indexinformation als auch der Referenzindexinformation enthalten ist, basierend auf der Indexinformation und der Referenzindexinformation. Anders ausgedrückt bestimmt die Bestimmungseinheit 220 eine Sendequelle (Quellen-IP-Adresse), die gemeinsam in sowohl der zu analysierenden Sensorvorrichtung 30 als auch einer Sensorvorrichtung, die eine Bestimmungsreferenz ist, beobachtet ist. Dann berechnet die Bestimmungseinheit 220 als ein Ausmaß an Ähnlichkeit zu der Referenzindexinformation einen Anteil der Quellen-IP-Adresse, die oben zu allen Quellen-IP-Adressen bestimmt ist, die in der Referenzindexinformation enthalten sind. Als ein weiteres Beispiel bestimmt die Bestimmungseinheit 220 eine Zielort-TCP-Portnummer, die in sowohl der Indexinformation als auch der Referenzindexinformation enthalten ist, basierend auf der Indexinformation und der Referenzindexinformation. Anders ausgedrückt bestimmt die Bestimmungseinheit 220 eine Zielort-TCP-Portnummer, die gemeinsam in sowohl der zu analysierenden Sensorvorrichtung 30 als auch einer Sensorvorrichtung, die eine Bestimmungsreferenz ist, beobachtet ist. Dann berechnet die Bestimmungseinheit 220 als ein Ausmaß an Ähnlichkeit zu der Referenzindexinformation einen Anteil der Zielort-TCP-Portnummer, der oben zu allen Zielort-Portnummern bestimmt ist, die in der Referenzindexinformation enthalten sind.
  • Dann bestimmt die Bestimmungseinheit 220, ob das Ausmaß an Ähnlichkeit, das bei der Verarbeitung in S206 berechnet ist, einen vorbestimmten Schwellenwert übersteigt (S208). Der vorbestimmte Schwellenwert ist zum Beispiel in einem Programmmodul der Bestimmungseinheit 220 vordefiniert.
  • Hierin wird ein spezifischer Ablauf eines Bestimmens einer Ähnlichkeit zwischen Indexinformation und Referenzindexinformation durch die Bestimmungseinheit 220 unter Verwendung der 16 bis 18 beschrieben werden. 16 ist eine graphische Darstellung, die ein Beispiel von Referenzindexinformation der Sensorvorrichtung 30 darstellt, die als eine Bestimmungsreferenz dient. Die 17 und 18 sind graphische Darstellungen, die jeweils ein Beispiel von Indexinformation der zu analysierenden Sensorvorrichtung 30 darstellen. Die 16 bis 18 stellen ein Beispiel eines Verwendens einer Zielort-TCP-Portnummer als Indexinformation dar.
  • Hierin sind Zielort-TCP-Portnummern, die in der Referenzindexinformation in 16 enthalten sind, „22, 23, 80, 8080, 5900, 12001, 25“ in absteigender Reihenfolge einer Auftrittshäufigkeit. Weiterhin sind in der Indexinformation in 17 enthaltene Zielort-TCP-Portnummern „22, 23, 525, 25, 12111, 65000, 80“ in absteigender Reihenfolge einer Auftrittshäufigkeit. Weiterhin sind in der Indexinformation in 18 enthaltene Zielort-TCP-Portnummern „22, 23, 80, 8080, 8081, 8082, 9999“ in absteigender Reihenfolge einer Auftrittshäufigkeit.
  • In diesem Fall kann die Bestimmungseinheit 220 als ein Ausmaß an Ähnlichkeit ein Ausmaß an Koinzidenz zwischen der Referenzindexinformation und der Indexinformation für die Auftrittshäufigkeit der Zielort-Portnummer berechnen. Zum Beispiel kann die Bestimmungseinheit 220 ein Ausmaß an Ähnlichkeit zwischen der Referenzindexinformation in 16 und der Indexinformation in 17 und ein Ausmaß an Ähnlichkeit zwischen der der Referenzindexinformation in 16 und der Indexinformation in 18 jeweils derart berechnen, dass sie „2/7“ und „4/7“ sind. In diesem Fall kann die Bestimmungseinheit 220 bestimmen, dass die Indexinformation in 18 näher an der Referenzindexinformation ist als es die Indexinformation in 17 ist. Weiterhin ist angenommen, dass ein vorbestimmter Schwellenwert „50%“ ist. In diesem Fall kann die Bestimmungseinheit 220 bestimmen, dass die „Indexinformation in 17 und die Referenzindexinformation nicht ähnlich sind“. Weiterhin kann die Bestimmungseinheit 220 bestimmen, dass die „Indexinformation in 18 und die Referenzindexinformation ähnlich sind“.
  • Wendet man sich wieder der 13 zu, benachrichtigt die Bestimmungseinheit 220 die Ausgabeeinheit 230 darüber, ob das Ausmaß an Ähnlichkeit den vorbestimmten Schwellenwert übersteigt. Die Ausgabeeinheit 230 führt eine Ausgabeoperation gemäß der von der Bestimmungseinheit 220 empfangenen Benachrichtigung durch. Es ist zu beachten, dass hierin angenommen ist, dass Indexinformation der Sensorvorrichtung 30 mit niedriger Unversehrtheit als Referenzindexinformation eingestellt ist. Wenn die Ausgabeeinheit 230 die Benachrichtigung, die anzeigt, dass das Ausmaß an Ähnlichkeit dien vorbestimmten Schwellenwert übersteigt, von der Bestimmungseinheit 220 empfängt (S208: JA), gibt die Ausgabeeinheit 230 Warnungsinformation über Unversehrtheit der zu analysierenden Sensorvorrichtung 30 aus (S210). Zum Beispiel gibt die Ausgabeeinheit 230 zu einem Endgerät für einen Vorgesetzten einer Netzwerksicherheit eine Nachricht aus, die zu Vorlaufmaßnahmen für eine Netzwerkumgebung der zu analysierenden Sensorvorrichtung 30 und ähnlichem anregt. Wenn die Ausgabeeinheit 230 andererseits die Benachrichtigung, die anzeigt, dass das Ausmaß an Ähnlichkeit den vorbestimmten Schwellenwert nicht übersteigt, von der Bestimmungseinheit 220 empfängt (S208: NEIN), gibt die Ausgabeeinheit 230 keine Warnungsinformation aus. In diesem Fall kann die Ausgabeeinheit 230 eine Nachricht, die anzeigt, dass die Netzwerkumgebung der zu analysierenden Sensorvorrichtung 30 kein Problem hat, zu dem Endgerät für einen Vorgesetzten der Netzwerksicherheit ausgeben.
  • Weiterhin kann die Kommunikationsumgebungsanalysevorrichtung 20 gemäß der vorliegenden beispielhaften Ausführungsform die Kommunikationszeitverteilungsinformation, die bei der ersten beispielhaften Ausführungsform beschrieben ist, als Indexinformation erlangen und die oben beschriebene Verarbeitung durchführen. Spezifisch erlangt die Erlangungseinheit 210 die Kommunikationszeitverteilungsinformation für jede zu analysierende Sensorvorrichtung 30. Die Bestimmungseinheit 220 bestimmt eine Ähnlichkeit zwischen der Kommunikationszeitverteilungsinformation und als Referenzindexinformation für jede zu analysierende Sensorvorrichtung 30 verendete Kommunikationszeitverteilungsinformation. Es ist zu beachten, dass die als die Referenzindexinformation verwendete Kommunikationszeitverteilungsinformation zum Beispiel Kommunikationszeitverteilungsinformation ist, die als ein Ergebnis eines experimentellen Betreibens der Sensorvorrichtung 30 als ein Lockmittel erlangt ist, was oben beschrieben ist, und ähnliches. Solche Referenzindexinformation wird zum Beispiel im Voraus in der Speichervorrichtung 2040 und ähnlichem gespeichert. Als ein spezifisches Beispiel kann die Bestimmungseinheit 220 eine Ähnlichkeit wie folgt bestimmen. Zuerst berechnet die Bestimmungseinheit 220 eine Differenz bzw. einen Unterschied von Referenzindexinformation bezüglich einer Anzahl von Stücken von Daten, gezählt für jeden Bereich. Dann bestimmt die Bestimmungseinheit 220 einen Bereich, in welchem die Differenz gleich einem vorbestimmten Schwellenwert oder kleiner als dieser ist, basierend auf der für jeden Bereich berechneten Differenz. Dann kann die Bestimmungseinheit 220 als ein Ausmaß an Ähnlichkeit zu der Referenzindexinformation einen Anteil des bestimmten Bereichs zu einen Gesamtanzahl von Bereichen berechnen. Dann gibt die Ausgabeeinheit 230 zum Beispiel einen Bildschirm, wie er in 19 dargestellt ist, als Information aus, die das Ausmaß an Ähnlichkeit zwischen Indexinformation und der Referenzindexinformation anzeigt. 19 ist eine graphische Darstellung, die ein Beispiel eines Bildschirms darstellt, der Information enthält, die ein Ausmaß an Ähnlichkeit zwischen Indexinformation und Referenzindexinformation anzeigt. Die Ausgabeeinheit 230 stellt eine vorbestimmte Markierung (zum Beispiel einen Rahmen B, der durch eine gepunktete Linie in 19 angezeigt ist) einem Bereich, in welchem ein Ergebnis ähnlich der Referenzindexinformation erlangt ist, in einem zweidimensionalen Raum A zur Verfügung, der zum Beispiel eine vertikale Achse als eine Zeitachse und eine horizontale Achse als eine Achse einer Quellen-IP-Adresse enthält. Gemäß der Information, wie sie in 19 dargestellt ist, kann ein gemeinsamer Anteil zwischen der Indexinformation der Sensorvorrichtung 30 und der Referenzindexinformation auf einfache Weise erkannt werden.
  • Während die beispielhaften Ausführungsformen der vorliegenden Erfindung unter Bezugnahme auf die Zeichnung beschrieben worden sind, sind die beispielhaften Ausführungsformen nur beispielhafte Darstellungen der vorliegenden Erfindung und verschiedene Konfigurationen, die andere als die oben beschriebenen beispielhaften Ausführungsformen sind, können auch verwendet werden.
  • Weiterhin ist die Vielzahl von Schritten (Verarbeitung) in einer Reihenfolge in der Vielzahl von Ablaufdiagrammen beschrieben, die in der oben beschriebenen Beschreibung verwendet sind, aber eine Ausführungsreihenfolge von in jeder der beispielhaften Ausführungsformen durchgeführten Schritten ist nicht auf die beschriebene Reihenfolge beschränkt. Bei jeder der beispielhaften Ausführungsformen kann eine Reihenfolge von dargestellten Schritten innerhalb eines Ausmaßes derart geändert werden, dass es keinen Schaden bezüglich des Zusammenhangs gibt. Weiterhin kann jede der oben beschriebenen beispielhaften Ausführungsformen innerhalb eines Ausmaßes kombiniert werden, das ein Inhalt nicht inkonsistent ist.
  • Ein Teil oder das gesamte der oben angegebenen beispielhaften Ausführungsform kann auch in ergänzenden Anmerkungen nachstehend beschrieben werden, welches nicht darauf beschränkt ist.
  • 1.
  • Kommunikationsanalysevorrichtung, die folgendes enthält:
    • eine Erlangungseinheit zum Erlangen, für eine durch eine Sensorvorrichtung auf einem Netzwerk beobachtete Kommunikation, von Kommunikationsinformation einschließlich Verhaltensinformation, die ein Verhalten der Kommunikation anzeigt, und Sendequelleninformation, die eine Sendequelle der Kommunikation anzeigt;
    • eine Klassifizierungseinheit zum Klassifizieren der erlangten Kommunikationsinformation basierend auf der Verhaltensinformation; und
    • eine Ausgabeeinheit zum Ausgeben eines Klassifizierungsergebnisses der Kommunikationsinformation basierend auf der Verhaltensinformation zusammen mit der Sendequelleninformation.
  • 2.
  • Kommunikationsanalysevorrichtung gemäß der ergänzenden Anmerkung 1, wobei die Verhaltensinformation Information in Bezug auf wenigstens eines von einer Zielort-Portnummer, einem Steuer-Flag eines Übertragungssteuerungsprotokoll-(TCP-)Pakets und einer Zielort-Internetprotokoll-(IP-)Adresse enthält.
  • 3.
  • Kommunikationsanalysevorrichtung gemäß der ergänzenden Anmerkung 1 oder 2, wobei
    Information über eine Kommunikationszeit in der Kommunikationsinformation enthalten ist, wobei
    die Ausgabeeinheit durch Verwenden der Information über die Kommunikationszeit Kommunikationszeitverteilungsinformation ausgibt, die eine Verteilung von Zeit anzeigt, zu welcher Kommunikation durchgeführt wird, durch Klassifizierung basierend auf der Verhaltensinformation.
  • 4.
  • Kommunikationsanalysevorrichtung gemäß der ergänzenden Anmerkung 3, wobei
    die Ausgabeeinheit die Kommunikationszeitverteilungsinformation durch Verwenden eines multidimensionalen Raums ausgibt, der wenigstens eine Achse enthält, die eine Zeit anzeigt.
  • 5.
  • Kommunikationsanalysevorrichtung gemäß der ergänzenden Anmerkung 3, wobei
    die Ausgabeeinheit durch Verwenden der Information über die Kommunikationszeit Information ausgibt, die ein Auftrittsintervall von Kommunikation bei jeder basierend auf der Verhaltensinformation bestimmten Klassifizierung anzeigt.
  • 6.
  • Kommunikationsanalyseverfahren, das durch einen Computer durchgeführt wird, wobei das Verfahren folgendes enthält:
    • Erlangen, für eine durch eine Sensorvorrichtung auf einem Netzwerk beobachtete Kommunikation, von Kommunikationsinformation einschließlich Verhaltensinformation, die ein Verhalten der Kommunikation anzeigt, und Sendequelleninformation, die eine Sendequelle der Kommunikation anzeigt;
    • Klassifizieren der erlangten Kommunikationsinformation basierend auf der Verhaltensinformation; und
    • Ausgeben eines Klassifizierungsergebnisses der Kommunikationsinformation basierend auf der Verhaltensinformation zusammen mit der Sendequelleninformation.
  • 7.
  • Kommunikationsanalyseverfahren gemäß der ergänzenden Anmerkung 6, wobei
    die Verhaltensinformation Information in Bezug auf wenigstens eines von einer Zielort-Portnummer, einem Steuer-Flag eines Übertragungssteuerungsprotokoll-(TCP-)Pakets und einer Zielort-Internetprotokoll-(IP-)Adresse enthält.
  • 8.
  • Kommunikationsanalyseverfahren gemäß der ergänzenden Anmerkung 6 oder 7, wobei
    Information über eine Kommunikationszeit in der Kommunikationsinformation enthalten ist, wobei das Verfahren folgendes enthält:
    • Ausgeben, durch den Computer, durch Verwenden der Information über die Kommunikationszeit von Kommunikationszeitverteilungsinformation, die eine Verteilung von Zeit anzeigt, zu welcher Kommunikation durchgeführt wird, durch Klassifizierung basierend auf der Verhaltensinformation.
  • 9.
  • Kommunikationsanalyseverfahren gemäß der ergänzenden Anmerkung 8, das weiterhin folgendes enthält:
    • Ausgeben, durch den Computer, der Kommunikationszeitverteilungsinformation durch Verwenden eines multidimensionalen Raums, der wenigstens eine Achse enthält, die eine Zeit anzeigt.
  • 10.
  • Kommunikationsanalyseverfahren gemäß der ergänzenden Anmerkung 8, das weiterhin folgendes enthält:
    • Ausgeben, durch den Computer, durch Verwenden der Information über die Kommunikationszeit von Information, die ein Auftrittsintervall von Kommunikation bei jeder basierend auf der Verhaltensinformation bestimmten Klassifizierung anzeigt.
  • 11.
  • Programm, das veranlasst, dass ein Computer das Kommunikationsanalyseverfahren gemäß einer der ergänzenden Anmerkungen 6 bis 10 ausführt.
  • 12.
  • Kommunikationsumgebungsanalysevorrichtung, die folgendes enthält:
    • eine Erlangungseinheit zum Erlangen von Indexinformation, die als ein Index zum Messen, basierend auf einer durch eine Sensorvorrichtung auf einem Netzwerk beobachteten Kommunikation, einer Unversehrtheit einer Netzwerkumgebung der Sensorvorrichtung dient;
    • eine Bestimmungseinheit zum Bestimmen einer Ähnlichkeit zwischen der erlangten Indexinformation und Referenzindexinformation, die Indexinformation einer Netzwerkumgebung ist, die als eine Referenz dient; und
    • eine Ausgabeeinheit zum Durchführen eines Ausgebens basierend auf einem Bestimmungsergebnis der Ähnlichkeit.
  • 13.
  • Kommunikationsumgebungsanalysevorrichtung gemäß der ergänzenden Anmerkung 12, wobei
    die Indexinformation wenigstens eines von Information über eine Zielort-Portnummer und von Information über eine Quellen-Internetprotokoll-(IP-)Adresse enthält.
  • 14.
  • Kommunikationsumgebungsanalysevorrichtung gemäß der ergänzenden Anmerkung 13, wobei
    die Bestimmungseinheit
    • eine Anzahl von Stücken von Information bestimmt, die gemeinsam für sowohl die Indexinformation als auch die Referenzindexinformation für wenigstens eines von einer Zielort-Portnummer und oder einer Quellen-IP-Adresse sind, und
    • als Information, die die Ähnlichkeit anzeigt, einen Anteil der bestimmten Anzahl an einer Gesamtanzahl von Stücken von in der Referenzindexinformation enthaltener Information berechnet.
  • 15.
  • Kommunikationsumgebungsanalyseverfahren, das durch einen Computer durchgeführt wird, wobei das Verfahren folgendes enthält:
    • Erlangen von Indexinformation, die als ein Index zum Messen, basierend auf einer durch eine Sensorvorrichtung auf einem Netzwerk beobachteten Kommunikation, einer Unversehrtheit einer Netzwerkumgebung der Sensorvorrichtung dient;
    • Bestimmen einer Ähnlichkeit zwischen der erlangten Indexinformation und Referenzindexinformation, die Indexinformation einer Netzwerkumgebung ist, die als eine Referenz dient; und
    • Durchführen eines Ausgebens basierend auf einem Bestimmungsergebnis der Ähnlichkeit.
  • 16.
  • Kommunikationsumgebungsanalyseverfahren gemäß der ergänzenden Anmerkung 15, wobei
    der Computer wenigstens eines von Information über eine Zielort-Portnummer und von Information über eine Quellen-Internetprotokoll-(IP-)Adresse enthält.
  • 17.
  • Kommunikationsumgebungsanalyseverfahren gemäß der ergänzenden Anmerkung 16, das weiterhin folgendes enthält:
    • durch den Computer
    • Bestimmen einer Anzahl von Stücken von Information, die gemeinsam für sowohl die Indexinformation als auch die Referenzindexinformation für wenigstens eines von einer Zielort-Portnummer und oder einer Quellen-IP-Adresse sind, und
    • Berechnen als Information, die die Ähnlichkeit anzeigt, eines Anteils der bestimmten Anzahl an einer Gesamtanzahl von Stücken von in der Referenzindexinformation enthaltener Information.
  • 18.
  • Programm, das veranlasst, dass ein Computer das Kommunikationsumgebungsanalyseverfahren gemäß einer der ergänzenden Anmerkungen 15 bis 17 ausführt.
  • Diese Anmeldung basiert auf dem und beansprucht den Vorteil einer Priorität aus der japanischen Patentanmeldung Nr. 2018-118955 , eingereicht am 22. Juni 2018, deren Offenbarung hierin durch Bezugnahme in ihrer Gesamtheit enthalten ist.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 2018118955 [0103]

Claims (18)

  1. Kommunikationsanalysevorrichtung, die folgendes enthält: eine Erlangungseinheit zum Erlangen, für eine durch eine Sensorvorrichtung auf einem Netzwerk beobachtete Kommunikation, von Kommunikationsinformation einschließlich Verhaltensinformation, die ein Verhalten der Kommunikation anzeigt, und Sendequelleninformation, die eine Sendequelle der Kommunikation anzeigt; eine Klassifizierungseinheit zum Klassifizieren der erlangten Kommunikationsinformation basierend auf der Verhaltensinformation; und eine Ausgabeeinheit zum Ausgeben eines Klassifizierungsergebnisses der Kommunikationsinformation basierend auf der Verhaltensinformation zusammen mit der Sendequelleninformation.
  2. Kommunikationsanalysevorrichtung gemäß Anspruch 1, wobei die Verhaltensinformation Information in Bezug auf wenigstens eines von einer Zielort-Portnummer, einem Steuer-Flag eines Übertragungssteuerungsprotokoll-(TCP-)Pakets und einer Zielort-Internetprotokoll-(IP-)Adresse enthält.
  3. Kommunikationsanalysevorrichtung gemäß Anspruch 1 oder 2, wobei Information über eine Kommunikationszeit in der Kommunikationsinformation enthalten ist, wobei die Ausgabeeinheit durch Verwenden der Information über die Kommunikationszeit Kommunikationszeitverteilungsinformation ausgibt, die eine Verteilung von Zeit anzeigt, zu welcher Kommunikation durchgeführt wird, durch Klassifizierung basierend auf der Verhaltensinformation.
  4. Kommunikationsanalysevorrichtung gemäß Anspruch 3, wobei die Ausgabeeinheit die Kommunikationszeitverteilungsinformation durch Verwenden eines multidimensionalen Raums ausgibt, der wenigstens eine Achse enthält, die eine Zeit anzeigt.
  5. Kommunikationsanalysevorrichtung gemäß Anspruch 3, wobei die Ausgabeeinheit durch Verwenden der Information über die Kommunikationszeit Information ausgibt, die ein Auftrittsintervall von Kommunikation bei jeder basierend auf der Verhaltensinformation bestimmten Klassifizierung anzeigt.
  6. Kommunikationsanalyseverfahren, das durch einen Computer durchgeführt wird, wobei das Verfahren folgendes enthält: Erlangen, für eine durch eine Sensorvorrichtung auf einem Netzwerk beobachtete Kommunikation, von Kommunikationsinformation einschließlich Verhaltensinformation, die ein Verhalten der Kommunikation anzeigt, und Sendequelleninformation, die eine Sendequelle der Kommunikation anzeigt; Klassifizieren der erlangten Kommunikationsinformation basierend auf der Verhaltensinformation; und Ausgeben eines Klassifizierungsergebnisses der Kommunikationsinformation basierend auf der Verhaltensinformation zusammen mit der Sendequelleninformation.
  7. Kommunikationsanalyseverfahren gemäß Anspruch 6, wobei die Verhaltensinformation Information in Bezug auf wenigstens eines von einer Zielort-Portnummer, einem Steuer-Flag eines Übertragungssteuerungsprotokoll-(TCP-)Pakets und einer Zielort-Internetprotokoll-(IP-)Adresse enthält.
  8. Kommunikationsanalyseverfahren gemäß Anspruch 6 oder 7, wobei Information über eine Kommunikationszeit in der Kommunikationsinformation enthalten ist, wobei das Verfahren folgendes enthält: Ausgeben, durch den Computer, durch Verwenden der Information über die Kommunikationszeit von Kommunikationszeitverteilungsinformation, die eine Verteilung von Zeit anzeigt, zu welcher Kommunikation durchgeführt wird, durch Klassifizierung basierend auf der Verhaltensinformation.
  9. Kommunikationsanalyseverfahren gemäß Anspruch 8, das weiterhin folgendes enthält: Ausgeben, durch den Computer, der Kommunikationszeitverteilungsinformation durch Verwenden eines multidimensionalen Raums, der wenigstens eine Achse enthält, die eine Zeit anzeigt.
  10. Kommunikationsanalyseverfahren gemäß Anspruch 8, das weiterhin folgendes enthält: Ausgeben, durch den Computer, durch Verwenden der Information über die Kommunikationszeit von Information, die ein Auftrittsintervall von Kommunikation bei jeder basierend auf der Verhaltensinformation bestimmten Klassifizierung anzeigt.
  11. Programm, das veranlasst, dass ein Computer das Kommunikationsanalyseverfahren gemäß einem der Ansprüche 6 bis 10 ausführt.
  12. Kommunikationsumgebungsanalysevorrichtung, die folgendes enthält: eine Erlangungseinheit zum Erlangen von Indexinformation, die als ein Index zum Messen, basierend auf einer durch eine Sensorvorrichtung auf einem Netzwerk beobachteten Kommunikation, einer Unversehrtheit einer Netzwerkumgebung der Sensorvorrichtung dient; eine Bestimmungseinheit zum Bestimmen einer Ähnlichkeit zwischen der erlangten Indexinformation und Referenzindexinformation, die Indexinformation einer Netzwerkumgebung ist, die als eine Referenz dient; und eine Ausgabeeinheit zum Durchführen eines Ausgebens basierend auf einem Bestimmungsergebnis der Ähnlichkeit.
  13. Kommunikationsumgebungsanalysevorrichtung gemäß Anspruch 12, wobei die Indexinformation wenigstens eines von Information über eine Zielort-Portnummer und von Information über eine Quellen-Internetprotokoll-(IP-)Adresse enthält.
  14. Kommunikationsumgebungsanalysevorrichtung gemäß Anspruch 13, wobei die Bestimmungseinheit eine Anzahl von Stücken von Information bestimmt, die gemeinsam für sowohl die Indexinformation als auch die Referenzindexinformation für wenigstens eines von einer Zielort-Portnummer und oder einer Quellen-IP-Adresse sind, und als Information, die die Ähnlichkeit anzeigt, einen Anteil der bestimmten Anzahl an einer Gesamtanzahl von Stücken von in der Referenzindexinformation enthaltener Information berechnet.
  15. Kommunikationsumgebungsanalyseverfahren, das durch einen Computer durchgeführt wird, wobei das Verfahren folgendes enthält: Erlangen von Indexinformation, die als ein Index zum Messen, basierend auf einer durch eine Sensorvorrichtung auf einem Netzwerk beobachteten Kommunikation, einer Unversehrtheit einer Netzwerkumgebung der Sensorvorrichtung dient; Bestimmen einer Ähnlichkeit zwischen der erlangten Indexinformation und Referenzindexinformation, die Indexinformation einer Netzwerkumgebung ist, die als eine Referenz dient; und Durchführen eines Ausgebens basierend auf einem Bestimmungsergebnis der Ähnlichkeit.
  16. Kommunikationsumgebungsanalyseverfahren gemäß Anspruch 15, wobei der Computer wenigstens eines von Information über eine Zielort-Portnummer und von Information über eine Quellen-Internetprotokoll-(IP-)Adresse enthält.
  17. Kommunikationsumgebungsanalyseverfahren gemäß Anspruch 16, das weiterhin folgendes enthält: durch den Computer Bestimmen einer Anzahl von Stücken von Information, die gemeinsam für sowohl die Indexinformation als auch die Referenzindexinformation für wenigstens eines von einer Zielort-Portnummer und oder einer Quellen-IP-Adresse sind, und Berechnen als Information, die die Ähnlichkeit anzeigt, eines Anteils der bestimmten Anzahl an einer Gesamtanzahl von Stücken von in der Referenzindexinformation enthaltener Information.
  18. Programm, das veranlasst, dass ein Computer das Kommunikationsumgebungsanalyseverfahren gemäß einem der Ansprüche 15 bis 17 ausführt.
DE112019003139.2T 2018-06-22 2019-06-05 Kommunikationsanalysevorrichtung, kommunikationsanalyseverfahren, kommunikationsumgebungsvorrichtung, kommunikationsumgebungsanalyseverfahren und programm Pending DE112019003139T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2018-118955 2018-06-22
JP2018118955 2018-06-22
PCT/JP2019/022295 WO2019244629A1 (ja) 2018-06-22 2019-06-05 通信分析装置、通信分析方法、通信環境分析装置、通信環境分析方法、およびプログラム

Publications (1)

Publication Number Publication Date
DE112019003139T5 true DE112019003139T5 (de) 2021-03-11

Family

ID=68984032

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112019003139.2T Pending DE112019003139T5 (de) 2018-06-22 2019-06-05 Kommunikationsanalysevorrichtung, kommunikationsanalyseverfahren, kommunikationsumgebungsvorrichtung, kommunikationsumgebungsanalyseverfahren und programm

Country Status (5)

Country Link
US (1) US20210126933A1 (de)
JP (1) JP7070678B2 (de)
DE (1) DE112019003139T5 (de)
TW (1) TW202001653A (de)
WO (1) WO2019244629A1 (de)

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8578480B2 (en) * 2002-03-08 2013-11-05 Mcafee, Inc. Systems and methods for identifying potentially malicious messages
ATE374493T1 (de) * 2002-03-29 2007-10-15 Global Dataguard Inc Adaptive verhaltensbezogene eindringdetektion
JP4160002B2 (ja) 2004-02-23 2008-10-01 Kddi株式会社 ログ分析装置、ログ分析プログラムおよび記録媒体
US9235704B2 (en) * 2008-10-21 2016-01-12 Lookout, Inc. System and method for a scanning API
US20120137367A1 (en) * 2009-11-06 2012-05-31 Cataphora, Inc. Continuous anomaly detection based on behavior modeling and heterogeneous information analysis
WO2013015835A1 (en) * 2011-07-22 2013-01-31 Seven Networks, Inc. Mobile application traffic optimization
US20120135751A1 (en) * 2010-11-30 2012-05-31 Google Inc. Use of location tagging in data communications
US8418249B1 (en) * 2011-11-10 2013-04-09 Narus, Inc. Class discovery for automated discovery, attribution, analysis, and risk assessment of security threats
US9747440B2 (en) * 2012-08-15 2017-08-29 Qualcomm Incorporated On-line behavioral analysis engine in mobile device with multiple analyzer model providers
US9491187B2 (en) * 2013-02-15 2016-11-08 Qualcomm Incorporated APIs for obtaining device-specific behavior classifier models from the cloud
US9509707B2 (en) * 2014-06-24 2016-11-29 Qualcomm Incorporated Methods and systems for thwarting side channel attacks
US10320813B1 (en) * 2015-04-30 2019-06-11 Amazon Technologies, Inc. Threat detection and mitigation in a virtualized computing environment
US9578049B2 (en) * 2015-05-07 2017-02-21 Qualcomm Incorporated Methods and systems for using causal analysis for boosted decision stumps to identify and respond to non-benign behaviors
US9729571B1 (en) * 2015-07-31 2017-08-08 Amdocs Software Systems Limited System, method, and computer program for detecting and measuring changes in network behavior of communication networks utilizing real-time clustering algorithms
US10673870B2 (en) * 2017-01-27 2020-06-02 Splunk Inc. Security monitoring of network connections using metrics data
EP3407235A1 (de) * 2017-05-22 2018-11-28 Leap in Value S.L. Computerimplementiertes verfahren, system und computerprogramm zur erkennung bösartiger uri-datenelemente
US10812509B2 (en) * 2017-10-30 2020-10-20 Micro Focus Llc Detecting anomolous network activity based on scheduled dark network addresses
WO2019135830A1 (en) * 2018-01-08 2019-07-11 All Purpose Networks, Inc. Internet of things system with efficient and secure communications network

Also Published As

Publication number Publication date
US20210126933A1 (en) 2021-04-29
WO2019244629A1 (ja) 2019-12-26
JP7070678B2 (ja) 2022-05-18
TW202001653A (zh) 2020-01-01
JPWO2019244629A1 (ja) 2021-06-24

Similar Documents

Publication Publication Date Title
DE102005010923B4 (de) System, computerverwendbares Medium und Verfahren zum Überwachen einer Netzwerkaktivität
EP3097506B1 (de) Verfahren und system zur gewinnung und analyse von forensischen daten in einer verteilten rechnerinfrastruktur
DE60214994T2 (de) Verfahren und system zur verringerung von falschalarmen in netzwerkfehlermanagementsystemen
DE69817176T2 (de) Verfahren und Vorrichtung zur Eindringdetektion in Rechnern und Rechnernetzen
DE202018006616U1 (de) Beschleunigung des Arbeitsablaufs von Cyberanalysen
EP1223709A2 (de) Verfahren und Vorrichtung zum rechnergestützten Überwachen eines Telekommunikationsnetzes
DE102022201746A1 (de) Verwaltung von rechenzentren mit maschinellem lernen
DE112020004651B4 (de) Multi-tenant-etl-ressourcenaufteilung
DE102019208514A1 (de) Synchronisiervorrichtung, synchronisationsverfahren und synchronisationsprogramm
DE102010028884A1 (de) Ursachenanalyse für Verarbeitung komplexer Ereignisse
DE10327949A1 (de) Verfahren und Vorrichtung zum Ansprechen auf Schwellenereignisse von Heterogenen Meßquellen
DE112021005651B4 (de) Informationsverarbeitungsvorrichtung, Informationsverarbeitungsverfahren und Programm
DE102013209934A1 (de) Systemverwaltungsvorrichtung, Systemverwaltungsverfahren und Speichermedien
DE112015006287T5 (de) Informationsverarbeitungs-Vorrichtung
DE112019003139T5 (de) Kommunikationsanalysevorrichtung, kommunikationsanalyseverfahren, kommunikationsumgebungsvorrichtung, kommunikationsumgebungsanalyseverfahren und programm
EP3824612B1 (de) Penetrationstestverfahren, computerprogramm und vorrichtung zur datenverarbeitung
DE10338073A1 (de) Verfahren und Vorrichtung zum Vordringen zu Meßdaten von allgemein angezeigten heterogenen Meßquellen
EP1652340B1 (de) Nachrichtenanalyseeinrichtung und verfahren zum analysieren
EP3641231A1 (de) Verfahren und vorrichtung zur überwachung einer datenkommunikation
DE102019131038B4 (de) Detektion von Ereignisstürmen
DE102021123618A1 (de) Informationsübermittlungsvorrichtung, Server und Informationsübermittlungsverfahren
EP2164021A1 (de) Verfahren zum Erkennen eines unerwünschten Zugriffs und Netz-Servereinrichtung
DE202017105807U1 (de) Fenster-Abweichungsanalysierer
DE102004048167B4 (de) Verfahren zur inhaltsbezogenen Handhabung eines Datenstroms
DE102016107647B4 (de) Verfahren und Speichermedium zur Absicherung/Überwachung eines Netzwerkes

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012700000

Ipc: H04L0047000000