JP2016127533A - アドレス情報提供装置、アドレス監視システム、アドレス情報表示方法及びアドレス情報提供プログラム - Google Patents

アドレス情報提供装置、アドレス監視システム、アドレス情報表示方法及びアドレス情報提供プログラム Download PDF

Info

Publication number
JP2016127533A
JP2016127533A JP2015001615A JP2015001615A JP2016127533A JP 2016127533 A JP2016127533 A JP 2016127533A JP 2015001615 A JP2015001615 A JP 2015001615A JP 2015001615 A JP2015001615 A JP 2015001615A JP 2016127533 A JP2016127533 A JP 2016127533A
Authority
JP
Japan
Prior art keywords
communication
address
addresses
record
display data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015001615A
Other languages
English (en)
Inventor
典明 斉藤
Noriaki Saito
典明 斉藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2015001615A priority Critical patent/JP2016127533A/ja
Publication of JP2016127533A publication Critical patent/JP2016127533A/ja
Pending legal-status Critical Current

Links

Abstract

【課題】IPアドレス空間での通信ログの全体的な傾向の把握と詳細の確認とを容易に可能とする。
【解決手段】取得部241が、分析対象サーバ103と外部端末105との間のインターネット101を介した通信について、外部端末105のIPアドレスごとに、通信を行った時刻および通信内容を記述した通信ログ205を取得し、抽出部242が、取得された通信ログ205のなかから、特定された所定の条件を満たすIPアドレスの通信ログ205を抽出し、複数のIPアドレスの通信ログ205が抽出された場合には、生成部243が、各IPアドレスを含む所定範囲のアドレスを第1の軸、各通信ログ205における通信を行った時刻を含む所定範囲の時刻を第2の軸とするアドレス空間それぞれに対して取得された通信ログ205に記述されたIPアドレスをそれぞれプロットし、各アドレス空間を並列にした表示データを生成し、ユーザインタフェース部202が表示データを出力する。
【選択図】図1

Description

本発明は、アドレス情報提供装置、アドレス監視システム、アドレス情報表示方法及びアドレス情報提供プログラムに関する。
従来、IP(Internet Protocol)アドレスなどの通信アドレスを用いて端末間の通信を行うインターネットなどの通信システムでは、安全なネットワーク運用のために、不正アクセスの送信元に関する通信アドレスからの通信の有無などの監視を行う場合がある。
この監視には、不正アクセスの送信元のIPアドレスを表示画面に収まる範囲に集約したIPアドレス空間上にプロット表示する方法がある(非特許文献1参照)。また、IPアドレスを受け付けて、その受け付けたIPアドレスが不正アクセスの送信元のIPアドレスとマッチングするか否かを確認する方法がある(非特許文献2参照)。また、インターネット上で行われる攻撃を視覚的に映像化して、ネットワーク全体の挙動を監視する方法がある(非特許文献3参照)。また、通信ログに不正アクセスが含まれているかどうかを検査する方法がある(非特許文献4参照)。
「NICTERWEB」、[平成26年12月5日検索]、インターネット<URL:http://www.nicter.jp/nw_public/scripts/> 「aguse.」、[平成26年11月25日検索]、インターネット<URL:http://www.aguse.jp/> 「NICTオープンハウスレポート」、[平成26年11月27日検索]、インターネット<URL:http://www.atmarkit.co.jp/ait/articles/1212/04/news021.html> 「iLogScanner」、[平成26年11月27日検索]、インターネット<URL:https://www.ipa.go.jp/security/vuln/iLogScanner/>
広大なIPアドレス空間での不正アクセスの送信元に関する通信ログの全体像を鳥瞰するためには、通信ログを集約して表示する必要がある。しかしながら、通信ログを集約して表示すると、関連性の低い通信ログまで関連がある通信ログと区別できなくなる恐れがあった。一方、通信ログの詳細を確認できるように集約せずに表示すると、IPアドレス空間での通信ログの全体像を鳥瞰できず、通信ログの全体的な傾向を把握することができなかった。
本発明は、上記に鑑みてなされたものであって、IPアドレス空間での通信ログの全体的な傾向の把握と詳細の確認とが容易に可能なアドレス情報提供装置、アドレス監視システム、アドレス情報表示方法及びアドレス情報提供プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するために、本発明にかかるアドレス情報提供装置は、分析対象サーバと端末との間の通信ネットワークを介した通信について、該端末の通信アドレスごとに、通信を行った時刻を示す情報および通信内容を示す情報を記述した通信記録を取得する取得部と、前記取得部によって取得された通信記録のなかから、特定された所定の条件を満たす通信アドレスの通信記録を抽出する抽出部と、前記抽出部によって複数の通信記録が抽出された場合には、各通信記録における通信アドレスを含む所定範囲のアドレスを第1の軸、各通信記録における通信を行った時刻を含む所定範囲の時刻を第2の軸とするアドレス空間それぞれに対して前記取得部によって取得された通信記録に記述された通信アドレスをそれぞれプロットし、該通信アドレスがプロットされた各アドレス空間を並列にした表示データを生成する生成部と、前記生成部によって生成された表示データを出力する出力部と、を備えることを特徴とする。
本発明によれば、IPアドレス空間での通信ログの全体的な傾向の把握と詳細の確認とが容易に可能となる。
図1は、本発明の一実施形態にかかる通信システムの構成を例示する概略構成図である。 図2は、通信ログの一例を示す説明図である。 図3は、情報リストの一例を示す説明図である。 図4は、分析データのデータ構成の一例を示す模式図である。 図5は、通信ログの分析の一例を説明するための図である。 図6は、通信ログの分析の一例を説明するための図である。 図7は、IPアドレスの一例を示す説明図である。 図8は、IPアドレスの周辺のIPアドレス空間を説明するための図である。 図9は、IPアドレスの周辺のIPアドレス空間を説明するための図である。 図10は、通信システムの動作の一例を示すラダーチャートである。 図11は、IPアドレス空間への通信ログのプロットの一例を示す説明図である。 図12は、IPアドレス空間への通信ログおよび情報リストのマッピングの一例を示す説明図である。 図13は、IPアドレス空間への通信ログおよび情報リストのマッピングの一例を示す説明図である。 図14は、画面表示例を示す説明図である。 図15は、画面表示例を示す説明図である。 図16は、画面表示例を示す説明図である。 図17は、画面表示例を示す説明図である。 図18は、画面表示例を示す説明図である。 図19は、分析端末、分析対象サーバ、情報提供サーバおよび外部端末における処理がコンピュータを用いて具体的に実現されることを示す図である。
以下、添付図面を参照して、本発明の一実施形態にかかるアドレス情報提供装置、アドレス監視システム、アドレス情報表示方法及びアドレス情報提供プログラムを詳細に説明する。なお、以下の説明において、同様の構成要素には共通の符号を付与するとともに、重複する説明を省略する。
[通信システムの構成]
図1は、本実施形態にかかる通信システム1の構成を例示する概略構成図である。図1に示すように、アドレス監視システムとしての通信システム1には、インターネット101などの通信ネットワークを介して、アドレス情報提供装置としての分析端末102、分析対象サーバ103および情報提供サーバ104等の各種サーバ装置や、PC(Personal Computer)等の外部端末105(端末)が互いに通信可能に接続されている。
なお、インターネット101における分析端末102および外部端末105等の端末装置および各種サーバ装置(分析対象サーバ103および情報提供サーバ104等)にはIPアドレス等の通信アドレスが割り当てられている。そして、インターネット101における装置間の通信は、送信元の装置が送信先の装置の通信アドレスを指定して行う。
ここで、本実施形態では通信アドレスがIPv4(Internet Protocol version 4)である場合を例示するが、通信アドレスはIPv6(Internet Protocol version 6)やMAC(Media Access Control)アドレス等であってもよいことは言うまでもないことである。例えばIPv6では、IPv4と比べてIPアドレス空間の表現が多少異なるが(一例として16bit単位でのコロン区切り等)、IPv4のアドレスの前後に適当な数字を付け足して128bit長のIPv6を生成する場合(例えばIPv4互換アドレス、IPv4射影アドレス等)においては、IPv4と同様のIPアドレス空間として表現が可能であることから、IPv4の実施形態を容易に転用可能である。また、MACアドレスについては、IPv4と同様にオクテッド区切りであるが、同一ブロードキャストドメインでの利用が前提となることから、ローカルネットワーク内における端末の通信アドレスを解析するという点で有意義である。
分析対象サーバ103は、外部端末105などのアクセスを許容する例えばWebサーバ等のサーバ装置である。分析対象サーバ103は、自身と外部端末105との間の通信(外部端末105からアクセスされた通信)についての通信ログ205を記録する。具体的には、分析対象サーバ103は、インターネット101を介した外部端末105との間の通信について、送信元のIPアドレス、その通信を行った時刻を示す情報、および通信内容を示すアクセスパターンを記述した通信記録(通信ログ205)を記録する。
図2は、通信ログ205の一例を示す説明図である。図2に示すように、通信ログ205には、時刻251、アクセス元のIPアドレス252、および通信内容253が含まれ、いつ、どの外部端末105が、どのような通信内容で分析対象サーバ103にアクセスしたのかが記述される。ここで、図2では、1行が1つの通信ログに相当する。例えば、図2の例では、時刻251として2014年6月9日13時30分、IPアドレス252として「192.168.0.3」である外部端末105、通信内容253としてメッセージ「GET/HTTP1.1」が送信されたことが記述されている。なお、図2に例示した通信ログ205は一例であり、例えばWebの場合は「情報取得要求元」等が記述され、電子メールの場合は「送信元」等が記述される。
情報提供サーバ104は、インターネット101上の様々なサイトのIPアドレスを集めた情報リスト206を例えばHDD(Hard Disk Drive)等のストレージに記録しており、外部からの要求に応じて情報リスト206を提供するサーバ装置である。この情報リスト206には、例えば不正アクセスに関する送信元や送信先等を示したIPアドレス等の所定の通信アドレスが記述されている。
図3は、情報リスト206の一例を示す説明図である。図3に示すように、情報リスト206には、様々な条件で集められたIPアドレスの一覧が記述されている。IPアドレスの一覧には、悪性な情報を提供するWebサーバや悪意の操作者が使用する端末装置のIPアドレスを集めたもの、電子メールに記載されている接続先のIPアドレスを集めたもの、ユーザがアクセスしても安全なWebサイトのIPアドレスを集めたもの等が挙げられる。これらのIPアドレスは、集められた条件(種類)毎にセクション分けされて記述されてもよい。
[分析端末]
分析端末102は、通信ログ205を取得し、その通信ログ205に記述された情報をIPアドレス空間上にプロットした表示データを生成し、表示データをモニタに出力する装置(アドレス情報提供装置)である。具体的には、分析端末102は、コンピュータを用いて実現される機能構成として、通信処理部201と、ユーザインタフェース部202と、データ蓄積部203と、制御部204とを備える。
通信処理部201は、インターネット101を介した装置間の通信処理を行う。ユーザインタフェース部202は、キーボードやマウスなどの入力装置(不図示)や、通信処理部201の通信処理により通信接続された端末装置(不図示)からの操作者の操作入力を受け付ける。また、ユーザインタフェース部202は、出力部として、モニタやプリンタなどの出力装置(不図示)や、通信処理部201の通信処理により通信接続された端末装置(不図示)へ、表示データ等を出力する。
データ蓄積部203は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。データ蓄積部203は、後述する処理により分析対象サーバ103から取得された通信ログ205と、情報提供サーバ104から取得された情報リスト206とを蓄積する。また、データ蓄積部203は、後述する処理により生成された通信ログ205の分析データ207を蓄積する。なお、データ蓄積部203は、通信処理部201を介して制御部204と通信する構成でもよい。
制御部204は、メモリに記憶された処理プログラムを実行するCPU(Central Processing Unit)等を用いて実現され、分析端末102の動作を制御する。具体的に、制御部204は、処理プログラムを実行することにより、取得部241、抽出部242および生成部243として機能する。
取得部241は、分析対象サーバ103と端末との間の通信ネットワークを介した通信について、該端末の通信アドレスごとに、通信を行った時刻を示す情報および通信内容を示す情報を記述した通信記録を取得する。具体的に、取得部241は、分析対象サーバ103から通信処理部201を介して、分析対象サーバ103と外部端末105との間のインターネット101を介した通信について、外部端末105のIPアドレスごとに、通信を行った時刻251および通信内容253を記述した通信ログ205を取得する。
取得部241は、取得した通信ログ205をデータ蓄積部203に格納する。併せて、取得部241は、情報提供サーバ104から情報リスト206を取得して、データ蓄積部203に格納しておくとよい。
抽出部242は、取得部241によって取得された通信記録のなかから、特定された所定の条件を満たす通信アドレスの通信記録を抽出する。具体的に、抽出部242は、通信ログ205に記述された情報を分析した分析結果を記述した分析データ207を生成し、データ蓄積部203に格納する。分析および分析データ207については後述する。また、抽出部242は、所定の条件を満たして特定されたIPアドレスについての通信ログ205を抽出する。
ここで、所定の条件を満たして特定されたIPアドレスとは、後述するように、操作者に指定されたIPアドレスや、通信ログ205の分析データ207を参照して得られる通信内容253の分類に応じて特定されたIPアドレスや、情報リスト206に記述されたIPアドレスを意味する。なお、操作者によるIPアドレスの指定には、操作者が特定のIPアドレスの代わりにIPアドレスの周辺の領域を指定する場合も含むものとする。
生成部243は、抽出部242によって複数の通信アドレスの通信記録が抽出された場合には、各通信アドレスを含む所定範囲のアドレスを第1の軸、各通信記録における通信を行った時刻を含む所定範囲の時刻を第2の軸とするアドレス空間それぞれに対して前記取得部によって取得された通信記録に記述された通信アドレスをそれぞれプロットし、該通信アドレスがプロットされた各アドレス空間を並列にした表示データを生成する。
具体的に、生成部243は、抽出部242が、所定の条件を満たして特定され抽出した通信記録のIPアドレスが複数の場合に、特定された各IPアドレスの周辺の複数のアドレス空間それぞれに、通信ログ205の通信アドレス、すなわちアクセス元のIPアドレス252を時系列にプロットするための表示データを生成する。その際、生成部243は、各IPアドレス空間を一覧可能に並列に配置した表示データを生成する。このとき、情報リスト206のIPアドレスを併せてIPアドレス空間に表示させてもよい。ここで、特定されたIPアドレスの周辺のアドレス空間とは、特定された複数のIPアドレスのそれぞれの周辺のIPアドレスを第1の軸、各通信ログ205の時刻251を含み表示可能な範囲を第2の軸とする空間を意味する。詳細については後述する。
ここで生成される表示データは、Webブラウザの表示用に、例えばHTML(HyperText Markup Language)などでIPアドレス空間を表現したものであってよい。この場合、ユーザインタフェース部202を介して接続されたモニタでは、分析端末102より出力された表示データを、Webブラウザ上に表示して確認することができる。
また、生成部243は、表示データを生成する際、データ蓄積部203に蓄積された通信ログ205の分析データ207を参照し、通信ログ205の通信内容253の分類や同一の通信アドレスからのアクセス回数によりプロットする点の色や大きさ等の表示態様を変更する。また、生成部243は、操作者の要求に応じて、通信ログ205を参照し、指定されたIPアドレス252の通信ログの詳細(例えば、通信内容253等)を表示する表示データを生成する。
[通信ログの分析]
ここで、通信ログ205の分析について説明する。通信ログ205の第1の分析例として、抽出部242は、通信ログ205の日付を含む時刻251およびIPアドレス252を参照し、日付とIPアドレス252とが同じ組み合わせである通信ログの個数を、該IPアドレス252からのアクセス回数として計上する。例えば、図2に例示した通信ログ205について、IPアドレス252が同一の「192.168.0.3」であって、時刻251のうち日付が2014年6月10日の通信ログの個数が2つであれば、アクセス回数は2回と計上される。
また、抽出部242は、通信内容253を参照し、含まれる文字列等を抽出する。そして、抽出した文字列の特徴から、各通信ログ205のIPアドレス253を、安全、危険、判定不明等の分類項目で分類する。これは、特定の文字列を含むことにより、特定のアクセス手法によるアクセスであると判定できる場合があるからである。例えば、通信内容に文字列phpを含む場合に、危険と分類する。
抽出部242は、図4に例示するように、ここで分析された分析結果のIPアドレス252、日付271、アクセス回数272、通信内容の特徴273(例えば、含まれる文字列)、分類項目274等を、分析データ207としてデータ蓄積部203に格納する。図4には、例えば、日付が2014年6月9日、IPアドレスが「10.3.40.50」の通信ログ205について、アクセス回数が2回、通信内容の特徴273として、文字列phpを含むこと、分類項目274として危険なアクセスと分類されたことが例示されている。図4に示すアクセスパターン275については後述する。
なお、生成部243は、表示データを生成する際、この分析結果に応じてプロットの表示態様を変更する。具体的に、時刻251およびIPアドレス252で特定されるIPアドレス空間の座標位置に通信ログ205をプロットする際、同日のアクセス回数に応じてプロットする点の大きさを変更したり、分類項目に応じて異なる色を決定したり濃淡をつけたりする。例えば、図5に例示するように、x軸を時刻251に含まれる日付(例えば、2014年11月11日)、y軸をIPアドレス252(例えば、「192.168.0.1」)としたxy空間の座標位置に通信ログ205を示す点をプロットする。その際、アクセス回数が10回のIPアドレス252からの通信ログ205を示す点を2ptで表示させる。また、通信内容253に文字列phpを含み危険と分類された通信ログ205を示す点をオレンジ色で表示させる。
また、情報リスト206のIPアドレスをIPアドレス空間に表示させる際にも、予め分類された情報リストの安全、危険、判定不明等の分類項目に応じて、異なる色を決定したり濃淡をつけた表示にしたりして表示態様を変更するとよい。この場合、IPアドレスは時刻を表す軸に平行な直線で表される。これにより、通信ログ205と情報リスト206とがどのくらいマッチするのかが視覚的に把握できる。
通信ログ205の第2の分析例として、抽出部242は、IPアドレス252と時刻251のうちの日付とが同一である通信ログ205の通信内容253の時系列変化のパターン(以下、アクセスパターンと呼ぶ。)を分類する。アクセスパターンによって、特定のアクセス手法によるアクセスであると判定できる場合があるからである。取得部241は、通信ログ205の日付とIPアドレスとの組み合わせが同一のものの通信内容253を時系列に抽出してアクセスパターンとする。そして、抽出部242は、アクセスパターンが同じものを同一グループに分類し、各グループに属するIPアドレス252を抽出する。そして、抽出部242は、分析結果の各グループのアクセスパターンを識別するアクセスパターン識別情報275および各グループに属するIPアドレス252を、分析データ207としてデータ蓄積部203に格納する。
図6は、アクセスパターンの分類を説明するための図である。この図6には、例えば、抽出されたアクセスパターンAとアクセスパターンDとが同一であり、このアクセスパターンのアクセスパターン識別情報をアクセスパターン1と定義したことが示されている。この場合に、アクセスパターンAのIPアドレス252とアクセスパターンDのIPアドレス252とがアクセスパターン1に対応づけられて、分析データ207としてデータ蓄積部203に格納される。
例えば、前述した図4に示すように、分析データ207のIPアドレス252とアクセスパターン識別情報275とが対応づけられて記述される。この分析データ207をアクセスパターン識別情報275をキー情報にして並べ替えれば、アクセスパターンが同一の各グループに属するIPアドレス252を抽出することができる。
[特定IPアドレスの周辺のIPアドレス空間]
次に、特定されたIPアドレスの周辺のIPアドレス空間について、図7〜図9を参照して説明する。図7は、IPアドレスの一例を示す説明図である。図7に示すように、本実施形態におけるIPアドレス(IPv4)は、32bit長のIPv4アドレスを10進数表示したものである。このIPv4アドレス(図示例では「192.168.0.30」)は、上位から8bitずつ、第1オクテッド301(「192」)、第2オクテッド302(「168」)、第3オクテッド303(「0」)、第4オクテッド304(「30」)に区切ることができる。
ここで、IPアドレスの上位bitから表示にかかるビット長を長くするほどIPアドレスは細かくなる。例えば、第1の軸がIPアドレスの上位8bitとされた場合には、上位8bit長のIPアドレス空間にIPアドレスがプロットされるため、下位24bit分の識別はできなくなり、第1の軸がIPアドレスの上位16bitとされた場合と比較して、IPアドレスは粗くなる。
図8は、IPアドレスを上位から所定のビット長で区切って、各IPアドレスの周辺のIPアドレス空間を切り出すしくみを説明するための図である。図8に示すように、IPアドレスの粗さを変更すれば、特定されたIPアドレスの周辺のアドレス空間を切り出して表示することができる。
すなわち、図8(a)は、縦方向の軸で表されるIPアドレスが、第1オクテッド301と第2オクテッド302との上位16bitで指定されるIPアドレス空間である。図8(b)は、IPアドレスが、第1オクテッド301が特定(既定)され、第2オクテッド302と第3オクテッド303との16bitで指定されるIPアドレス空間である。また、図8(c)は、IPアドレスが、第1オクテッド301と第2オクテッド302とが特定され、第3オクテッド303と第4オクテッド304との16bitで指定されるIPアドレス空間である。ある特定のIPアドレスに対応する各IPアドレス空間の領域(例えば(a)および(b)に破線で囲んで示した領域)は、この特定のIPアドレスの周辺のIPアドレス空間ということができる。(a)、(b)、(c)の順に、IPアドレスが細かくなり、特定のIPアドレスの周辺のIPアドレス空間が詳細化されて切り出されている。
このように、第1〜第3オクテッドまでが特定され、第4オクテッド304の8bitでIPアドレスが指定されるIPアドレス空間において、特定のIPアドレスに対応する領域は、この特定のIPアドレスの周辺の8bitのIPアドレス空間である。例えば、図9に示すように、特定された通信ログ205のIPアドレス252が「10.20.1.4」である場合に、IPアドレス空間において「10.20.1」で表される領域は、IPアドレス「10.20.1.4」の周辺の8bitのIPアドレス空間に該当する。
[IPアドレスの特定]
次に、所定の条件を満たすIPアドレスの特定方法について説明する。特定されたIPアドレスとは、例えば、操作者に指定された1以上のIPアドレスを意味する。これには、操作者が特定のIPアドレスを指定する代わりにIPアドレスの周辺の領域を指定する場合も含む。また、情報リスト207特定されたIPアドレスとは、取得部241が情報提供サーバ104から取得した情報リスト207に記述されている1以上のIPアドレスを意味する。
また、特定されたIPアドレスとは、制御部204が、データ蓄積部203の分析データ207を参照し、分析結果に応じて特定した所定の条件を満たすIPアドレス252を意味する。例えば、抽出部242は、分析データ207として記録されている通信内容253の特徴273を参照し、通信内容253に特定の文字列を含むIPアドレス252を、特定されたIPアドレスとする。あるいは、抽出部242は、通信ログ205のアクセスパターンのアクセスパターン識別情報275が指定された場合に、指定されたアクセスパターンのアクセスパターン識別情報275に対応する1以上のIPアドレス252を、特定されたIPアドレスとする。
以上のように生成された表示データをもとにしてモニタへの表示を行うことで、モニタの表示画面上において、通信ログ205に記述された情報を、IPアドレス空間に時系列にプロットした表示を行うことが可能となる。その際、視認結果や通信ログ205の分析結果や情報リスト206に応じて、機械的に特定されたIPアドレスの周辺のIPアドレス空間を一覧表示することが可能となる。
[シーケンス]
図10は、本実施形態にかかる通信システム1の動作の一例を示すラダーチャートである。図10に示すように、S401の処理は、外部端末105から分析対象サーバ103への通信(アクセス)を行う場合のシーケンスを示している。このS401の処理では、外部端末105が分析対象サーバ103のIPアドレスを指定して、通信接続が行われる。分析対象サーバ103は、通信ログ205を記録してメモリ等に記憶する。
S402の処理は、分析端末102が分析対象サーバ103から通信ログ205を取得する場合のシーケンスを示している。このS402の処理では、制御部204の取得部241が、通信処理部201を介して、予めメモリ等に設定された分析対象サーバ103のIPアドレスを参照して分析対象サーバ103との通信を行って、分析対象サーバ103から通信ログ205の転送を受け付ける。制御部204は、転送された通信ログ205をデータ蓄積部203に蓄積する。このS402の処理は、例えば分析端末102の起動時や定時等に行われる他、所定の時間間隔(例えば1時間など)で行われるとよい。あるいは、分析対象サーバ103の通信ログ205が更新された場合などに通知を受けて行われてもよい。
S403の処理は、分析端末102が情報リスト206を取得する場合のシーケンスを示している。このS403の処理では、制御部204の取得部241が、通信処理部201を介して、予めメモリ等に設定された情報提供サーバ104のIPアドレスを参照して情報提供サーバ104との通信を行って、情報提供サーバ104から情報リスト206の転送を受け付ける。制御部204は、転送された情報リスト205をデータ蓄積部203に蓄積する。このS403の処理は、例えば分析端末102の起動時等に行われた後、所定の時間間隔(例えば1時間など)で行われるとよい。このように、制御部204が所定の時間間隔でS403の処理を行って、蓄積する情報リスト206を逐次更新してもよい。あるいは、情報提供サーバ104の情報リスト206の更新に応じて行われてもよい。
S404の処理は、分析端末102が操作者の要求に応じて、通信ログ205を分析する場合のシーケンスを示している。S404の処理では、ユーザインタフェース部202を介して操作者の要求を受け付けた制御部204の抽出部242が、データ蓄積部203に蓄積されている通信ログ205を読み出して分析し、分析結果を示す分析データ207をデータ蓄積部203に蓄積する。このS404の処理は、上記したS402の通信ログ205の取得処理が完了していることが確認された後に行われる。また、このS404の処理は、例えば上記S402の処理の後に引き続き行われてもよい。
S405の処理は、分析端末102が操作者の要求に応じて、IPアドレス空間に通信ログ205をプロットする表示データを生成して出力する場合のシーケンスを示している。このS405の処理では、ユーザインタフェース部202を介して操作者の要求を受け付けた制御部204の生成部243が、データ蓄積部203に蓄積されている通信ログ205、通信ログ205の分析データ207、または情報リスト206を参照して表示データを生成し、ユーザインタフェース部202が出力部として生成されたた表示データをモニタに出力する。このS405の処理は、上記したS404の処理が完了していることが確認された後に、操作者の要求に応じて行われる。
[アドレス情報表示]
次に、図11〜図13を参照して、本実施形態の分析端末102によるアドレス情報表示方法を具体的に説明する。なお、以下の各図に示すIPアドレス空間500は、縦方向のIPアドレス軸501と横方向の日付を示す時刻軸502とで構成される。
図11は、例えば、操作者の指定等により、あるいはアクセスパターンのアクセスパターン識別情報275の指定により特定された複数のIPアドレスを含む周辺の複数のIPアドレス空間500を切り出して一覧表示する場合を例示している。図11(a)は、IPアドレスが、第1オクテッド301と第2オクテッド302との上位16bitで指定されるIPアドレス空間に通信ログ205がプロットされたものである。図中に破線で囲んで示す3つの領域503は、特定された3つのIPアドレスのそれぞれに対応する領域(あるいは操作者に指定された領域)である。このように、本実施形態の分析端末102は、IPアドレスを粗くして、IPアドレス空間の全体を鳥瞰できるようにモニタに表示させる。
また、図11(b)は、特定された3つのIPアドレスのそれぞれに対応するIPアドレス空間500を並列に表示して、それぞれに通信ログ205をプロットしたものである。例えば、図11(a)において破線で囲んで示す3つの領域503が選択されると、図11(b)の画面に遷移する。3つのIPアドレス空間500のそれぞれは、IPアドレスが、第1オクテッド301、第2オクテッド302、および第3オクテッド303が特定され、第4オクテッド304の8bitで指定されるIPアドレス空間500である。この3つのIPアドレス空間500は、それぞれ、図11(a)に破線で囲んで示す3つの領域503のそれぞれに対応し、特定された3つのIPアドレスの周辺の8bitのIPアドレス空間500が切り出しされたものである。このように、本実施形態の分析端末102は、特定されたIPアドレスの周辺のIPアドレス空間500をIPアドレスを細かくして切り出して、各IPアドレス空間500の詳細を一覧できるように並列にモニタに表示する。
図11(c)は、いずれかの特定されたIPアドレスの通信ログ205の詳細504の画面表示例である。例えば、図11(b)において、いずれかのIPアドレス空間500の指定とともに不図示の詳細表示を指示するメニューが指定されると、図11(c)の画面に遷移する。そして、特定された通信ログ205の「GET/HTTP1.1」などの通信内容253や、アクセスパターンすなわち通信内容253の時系列変化パターン等の詳細504が表示される。このように、本実施形態の分析端末102は、必要に応じて特定されたIPアドレスの通信ログ205の詳細504を表示することができる。
図12は、例えば、情報リスト206の表示の指示に応じて、情報リスト206に記述されているIPアドレスを含む周辺のIPアドレス空間500を切り出して表示する場合を例示している。ここで、表示させる情報リスト206を指定してもよいし、情報リスト206の危険、安全等の分類項目を指定して分類項目ごとに表示させてもよい。
図12(a)は、IPアドレスが、第1オクテッド301と第2オクテッド302との上位16bitで指定されるIPアドレス空間500に、通信ログ205と情報リスト206のIPアドレスとがマッピングされたものである。図中に破線で囲んで示す領域は、情報リスト206のIPアドレスに対応する領域である。このように、本実施形態の分析端末102は、メイン画面ではIPアドレスを粗くして、IPアドレス空間の全体を鳥瞰できるようにモニタに表示する。
図12(b)は、情報リスト206のIPアドレスに対応するIPアドレス空間に、通信ログ205と情報リスト206のIPアドレスとがマッピングされたものである。例えば、図12(a)において破線で囲んで示す情報リスト206のIPアドレスの周辺の領域が選択されると、図12(b)の画面に遷移する。このIPアドレス空間は、第1オクテッド301が特定され、第2オクテッド302と第3オクテッド303との16bitでIPアドレスが指定され、情報リスト206のIPアドレスの周辺の16bitのIPアドレス空間が切り出されたものである。このように、本実施形態の分析端末102は、情報リスト206のIPアドレスの周辺のIPアドレス空間をIPアドレスを細かくして切り出して、詳細化してモニタに表示する。なお、図12(b)には、図12(a)で視認されなかった情報リスト206の2つの近接したIPアドレスが、詳細化されたために分離して表示された場合が例示されている。
図12(c)は、情報リスト206のIPアドレスに対応するIPアドレス空間に、通信ログ205と情報リスト206のIPアドレスとがマッピングされたものである。例えば、図12(b)において破線で囲んで示す情報リスト206のIPアドレスの周辺の領域が選択されると、図12(c)の画面に遷移する。このIPアドレス空間は、第1オクテッド301と第2オクテッド302とが特定され、第3オクテッド303と第4オクテッド304との16bitでIPアドレスが指定され、情報リスト206のIPアドレスの周辺の16bitのIPアドレス空間が切り出されたものである。このように、本実施形態の分析端末102は、情報リスト206のIPアドレスの周辺のIPアドレス空間をさらにIPアドレスを細かくして切り出し、詳細化してモニタに表示することができる。
図13は、例えば、操作者の指定等により、あるいはアクセスパターンの指定により特定された複数のIPアドレスを含む周辺の複数のIPアドレス空間を切り出して、情報リスト206のIPアドレスとともに一覧表示する場合を例示している。図13(a)は、図11(a)と同様に、IPアドレスが、第1オクテッド301と第2オクテッド302との上位16bitで指定されるIPアドレス空間に通信ログ205がプロットされたものである。図中に破線で囲んで示す3つの領域は、特定された3つのIPアドレスのそれぞれに対応する領域である。
図13(b)は、図11(b)と同様に、特定された3つのIPアドレスのそれぞれに対応するIPアドレス空間を並列に表示して、それぞれに図12(b)と同様に通信ログ205と情報リスト206のIPアドレスとがマッピングされたものである。例えば、図13(a)において破線で囲んで示す3つの領域が選択され、かつ情報リスト206の表示が指示されると、図13(b)の画面に遷移する。3つのIPアドレス空間のそれぞれは、IPアドレスが、第1オクテッド301、第2オクテッド302、および第3オクテッド303が特定され、第4オクテッド304の8bitで指定されるIPアドレス空間である。この3つのIPアドレス空間は、それぞれ、図13(a)に破線で囲んで示す3つの領域のそれぞれに対応し、特定された3つのIPアドレスの周辺の8bitのIPアドレス空間が切り出しされたものである。このように、本実施形態の分析端末102は、特定されたIPアドレスの周辺のIPアドレス空間をIPアドレスを細かくして切り出し、情報リスト206のIPアドレスを参照しつつ詳細を一覧できるように並列にモニタに表示する。
図13(c)は、図11(c)と同様に、いずれかの特定されたIPアドレスの通信ログ205の詳細を表示したものである。例えば、図13(b)においていずれかのプロットされた点が指定されると、図13(c)の画面に遷移する。そして、指定された通信ログ205の「GET/HTTP1.1」などの通信内容253やアクセスパターン等が表示される。このように、本実施形態の分析端末102は、必要に応じて特定されたIPアドレスの通信ログ205の詳細504、すなわち通信内容253またはアクセスパターン等を表示することができる。
[画面表示例]
次に、図14〜図18を参照して、分析端末102のモニタや分析端末102に通信処理部201を介して接続された端末装置のモニタにおける画面表示例を説明する。図14〜図18に示すように、生成部243が生成した表示データがモニタ上に表示される。
具体的に、図14に例示するように、メイン画面に表示されるIPアドレス空間500は、縦方向のIPアドレス軸501と横方向の時刻軸502とで構成される。時刻軸502は、日付を示し、本日(today)や1年ごとの日付(例えば、毎年1月1日)等のスケールが表示されている。IPアドレス軸501は、第1オクテッド301および第2オクテッド302により指定される16bit長である。このIPアドレス軸501には、8bit長ごとにスケールが表示されている。図14では、「1.0.*.*」、「2.0.*.*」、「3.0.*.*」のように、スケールが表示されている。なお、スケールとして表示されている各IPアドレス値には、IPアドレスの所有者(例えば、U.S.Army)等の付帯情報505が表示される。
この図14において、8bit長ごとに選択可能な領域503を操作者が選択すると、IPアドレスを細かくして詳細化されたIPアドレス空間500を表示する画面に遷移する。
操作者は、図14に示すメイン画面および以下に説明する図15〜図18の各画面表示例に表示されている操作メニュー506を用いて操作内容を指定できる。本実施例では、操作メニュー506のメニュー項目として、分析1、分析2、分析3等のメニュー項目が表示されている。例えば、分析1を指定すると、情報リスト206のIPアドレスを指定することができる。分析2を指定すると、通信ログ205のアクセスパターンを指定して、同一のアクセスパターンのIPアドレス252を特定することができる。分析3を指定すると、通信ログ205の通信内容253に特定の文字列が含まれており、特定の不正なアクセスと判定できたIPアドレス252を特定できる。ここで特定されたIPアドレス508は、この特定されたIPアドレス508の周辺のIPアドレス空間500において、線状に表示される。
なお、以下に説明する図15〜図18の画面は、例えば、図14のメイン画面に重畳して表示されてもよい。また、図14のメイン画面と一覧可能に表示されてもよい。なお、図15〜図18において、特定されたIPアドレス508の「a1」〜「a21」で示す第4オクテッドは、0〜255のうちいずれかの数値を意味する。
図15は、アクセスパターンを指定して特定された1つのIPアドレス252の周辺のIPアドレス空間500を表示する画面表示例である。図14に示すメイン画面において、操作メニュー506の分析2を選択すると、アクセスパターン識別情報275を指定できる選択メニュー507が、例えばポップアップして表示される。選択メニュー507で例えばアクセスパターン識別情報275として「アクセスパターン1」を指定すると、図15の画面に遷移する。すなわち、図15には、アクセスパターン1に対応付けられているIPアドレス252(「195.154.11.a1」)の周辺のIPアドレス空間500が表示される。このIPアドレス空間500において、特定されたIPアドレス508(「195.154.11.a1」)は、図に点線で示すように、日付軸502に平行な直線で表示されるとともに、この直線上に通信ログ205がプロットされる。また、必要に応じて、操作メニュー506に表示される詳細表示を指示するメニュー項目(不図示)を指定すると、特定されたIPアドレスの通信ログ205の詳細504としてアクセスパターン等が表示される。
図15において、プロットされている通信ログ205が危険なアクセスに分類されていること、ある時期から同じIPアドレスの連続したアクセスがあること、また、この同じIPアドレス空間500に安全と分類された通信ログ205が確認されないことが確認された。したがって、フィルタリング等によりこのIPアドレス空間からのアクセスを拒否してよいと判断できた。
図16は、アクセスパターンを指定して特定された複数のIPアドレス252の周辺のIPアドレス空間500を一覧できるように並列して表示する画面表示例である。図14に示すメイン画面において、操作メニュー506の分析2を選択すると、アクセスパターン識別情報275を指定できる選択メニュー507が、例えばポップアップして表示される。選択メニュー507で例えば「アクセスパターン2」を指定すると、図16の画面に遷移する。すなわち、図16には、アクセスパターン2に対応付けられている複数のIPアドレス252(「163.43.132.a2」、「176.31.234.a3」等)のそれぞれの周辺の複数のIPアドレス空間500が並列に表示される。
各IPアドレス空間500において、特定されたIPアドレス508(例えば、「163.43.132.a2」)は、図に点線で示すように、時刻軸502に平行な直線で表示されるとともに、この直線上に通信ログ205がプロットされる。
図16において、プロットされている通信ログ205が危険なアクセスに分類されていること、ある特定の日に複数のIPアドレスから同時にアクセスされたこと、また、同じIPアドレス空間500に安全と分類された通信ログ205が確認されないことが確認された。したがって、フィルタリング等によりこのIPアドレス空間からのアクセスを拒否してよいと判断できた。
図17は、通信ログ205の通信内容253に不正アクセスを意味する特定の文字列が含まれることで特定された複数のIPアドレス252の周辺のIPアドレス空間500を一覧できるように並列して表示する画面表示例である。図14に示すメイン画面において、操作メニュー506の分析3を選択すると、図17の画面に遷移する。すなわち、図17には、通信内容253に不正アクセスを意味する特定の文字列が含まれる複数のIPアドレス252(「31.222.163.a8」、「54.251.83.a9」等)のそれぞれの周辺の複数のIPアドレス空間500が並列に表示される。
各IPアドレス空間500において、特定されたIPアドレス508(例えば、「31.222.163.a8」)は、図に点線で示すように、時刻軸502に平行な直線で表示されるとともに、この直線上に通信ログ205がプロットされる。併せて、この通信ログ205がプロットされた日付が、不正アクセスのあった日509としてスケール表示される。
図17において、プロットされている通信ログ205が危険なアクセスに分類されていること、ある特定の日以降に多数のIPアドレスからのアクセスが発生していること、また、同じIPアドレス空間500に安全と分類された通信ログ205が確認されないことが確認された。したがって、フィルタリング等によりこのIPアドレス空間からのアクセスを拒否してよいと判断できた。さらに、特定の不正アクセス手法が、発覚した直後に使用されていることや、この特定の不正アクセス手法を使ったアクセスの拡大の様子等を確認することもできた。
図18は、情報リスト206に記述されている複数のIPアドレスの周辺のIPアドレス空間500を一覧できるように並列して表示する画面表示例である。図14に示すメイン画面において、操作メニュー506の分析1を選択すると、図18の画面に遷移する。すなわち、図18には、情報リスト206に記述されている複数のIPアドレス(「107.170.213.a15」、「107.191.116.a16」等)のそれぞれの周辺の複数のIPアドレス空間500が並列に表示される。
各IPアドレス空間500において、特定されたIPアドレス508(例えば、「107.170.213.a15」)は、図に点線で示すように、時刻軸502に平行な直線で表示されるとともに、各IPアドレス空間500上に通信ログ205がプロットされる。
図18において、表示されている情報リスト206には不正アクセス元のIPアドレスが記述されている。そして、プロットされている通信ログ205は、危険と分類されているものと判定不明と分類されているものとが混在する。そのうち、危険と分類されている通信ログ205のIPアドレス252は、情報リスト206のIPアドレスと一致していることが確認された。したがって、同じIPアドレス空間500内にプロットされている、分類項目が判定不明である通信ログ205は、潜在的に危険(不正)なアクセスであると判断できた。
以上、説明したように、本実施形態の分析端末102では、取得部241が、分析対象サーバ103から通信ログ205を取得して、データ蓄積部203に格納する。抽出部204は、通信ログ205に記述された情報を分析した分析結果を記述した分析データ207を生成し、データ蓄積部203に格納する。また、抽出部242は、所定の条件を満たして特定された複数IPアドレスの通信ログ205を抽出する。そして、生成部243は、抽出された複数のIPアドレスの周辺のIPアドレス252を第1の軸、時刻251を第2の軸とする複数のIPアドレス空間に、時系列に通信ログ205のIPアドレス252をプロットした表示データを生成する。その際、生成部243は、複数のIPアドレス空間を一覧できるように並列に表示する表示データを生成する。
これにより、生成された表示データをもとにしたモニタへの表示を行うことで、モニタの表示画面上において、通信ログ205に記述された情報を、IPアドレス空間に時系列にプロットした表示を行うことが可能となる。その際、視認結果や通信ログ205の分析結果や情報リスト206に応じて、機械的に特定されたIPアドレスの周辺のIPアドレス空間を一覧表示することが可能となる。これにより、IPアドレス空間での通信ログ205の鳥瞰と詳細の確認とが容易に行える。したがって、通信ログ205のIPアドレス空間での傾向や事象の意味(危険、安全等)を把握することができる。
[プログラム]
図19は、分析端末102、分析対象サーバ103、情報提供サーバ104および外部端末105における処理がコンピュータを用いて具体的に実現されることを示す図である。図19に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1041に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブに挿入される。シリアルポートインタフェース1050は、例えばマウス1051、キーボード1052に接続される。ビデオアダプタ1060は、例えばディスプレイ1061に接続される。
ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記のプログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、例えばハードディスクドライブ1031に記憶される。例えば、図1に例示した機能構成(通信処理部201、データ蓄積部203、ユーザインタフェース部202)と同様の情報処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。
また、上述した実施形態での処理に必要な設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1031に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。
1…通信システム、101…インターネット、102…分析端末、103…分析対象サーバ、104…情報提供サーバ、105…外部端末、201…通信処理部、202…ユーザインタフェース部、203…データ蓄積部、204…制御部、205…通信ログ、206…情報リスト、207…分析データ、241…取得部、242…抽出部、243…生成部、251…時刻、252…IPアドレス、253…通信内容、301…第1オクテッド、302…第2オクテッド、303…第3オクテッド、304…第4オクテッド、500…IPアドレス空間、501…IPアドレス軸、502…時刻軸、503…領域、504…通信ログの詳細、505…IPアドレスの付帯情報、506…操作メニュー、507…選択メニュー、508…特定されたIPアドレス、509…特定された日付。

Claims (8)

  1. 分析対象サーバと端末との間の通信ネットワークを介した通信について、該端末の通信アドレスごとに、通信を行った時刻を示す情報および通信内容を示す情報を記述した通信記録を取得する取得部と、
    前記取得部によって取得された通信記録のなかから、特定された所定の条件を満たす通信アドレスの通信記録を抽出する抽出部と、
    前記抽出部によって複数の通信アドレスの通信記録が抽出された場合には、各通信アドレスを含む所定範囲のアドレスを第1の軸、各通信記録における通信を行った時刻を含む所定範囲の時刻を第2の軸とするアドレス空間それぞれに対して前記取得部によって取得された通信記録に記述された通信アドレスをそれぞれプロットし、該通信アドレスがプロットされた各アドレス空間を並列にした表示データを生成する生成部と、
    前記生成部によって生成された表示データを出力する出力部と、
    を備えることを特徴とするアドレス情報提供装置。
  2. 前記通信記録の通信内容、または同一の通信アドレスについてプロットする点の数量に応じて、前記表示データのプロットの表示態様を変更することを特徴とする請求項1に記載のアドレス情報提供装置。
  3. 前記所定の条件を満たす通信アドレスは、操作者に指定された通信アドレス、前記通信記録に記述された通信内容により特定される通信アドレス、または前記取得部が取得した所定の通信アドレスが記述された情報リストに記述された通信アドレスであることを特徴とする請求項1または2に記載のアドレス情報提供装置。
  4. 前記生成部は、指定された前記通信記録の一部または全てを表示する表示データを生成することを特徴とする請求項1〜3のいずれか1項に記載のアドレス情報提供装置。
  5. 前記生成部は、Webブラウザで表示するための表示データを生成することを特徴とする請求項1〜4のいずれか1項に記載のアドレス情報提供装置。
  6. 通信ネットワークを介して互いに通信可能に接続されるアドレス監視システムであって、
    前記通信ネットワークを介した端末との間の通信について、該端末の通信アドレスごとに、通信を行った時刻を示す情報および通信内容を示す情報を記述した通信記録を記録する分析対象サーバ装置と、
    前記通信記録を取得する取得部と、前記取得部によって取得された通信記録のなかから、特定された所定の条件を満たす通信アドレスの通信記録を抽出する抽出部と、前記抽出部によって複数の通信アドレスの通信記録が抽出された場合には、各通信アドレスを含む所定範囲のアドレスを第1の軸、各通信記録における通信を行った時刻を含む所定範囲の時刻を第2の軸とするアドレス空間それぞれに対して前記取得部によって取得された通信記録に記述された通信アドレスをそれぞれプロットし、該通信アドレスがプロットされた各アドレス空間を並列にした表示データを生成する生成部と、前記生成部によって生成された表示データを出力する出力部とを有するアドレス情報提供装置と、
    を備えることを特徴とするアドレス監視システム。
  7. アドレス情報提供装置が行うアドレス情報表示方法であって、
    分析対象サーバと端末との間の通信ネットワークを介した通信について、該端末の通信アドレスごとに、通信を行った時刻を示す情報および通信内容を示す情報を記述した通信記録を取得する取得工程と、
    前記取得工程において取得された通信記録のなかから、特定された所定の条件を満たす通信アドレスの通信記録を抽出する抽出工程と、
    前記抽出工程において複数の通信アドレスの通信記録が抽出された場合には、各通信アドレスを含む所定範囲のアドレスを第1の軸、各通信記録における通信を行った時刻を含む所定範囲の時刻を第2の軸とするアドレス空間それぞれに対して前記取得工程において取得された通信記録に記述された通信アドレスをそれぞれプロットし、該通信アドレスがプロットされた各アドレス空間を並列にした表示データを生成する生成工程と、
    前記生成工程において生成された表示データを出力する出力工程と、
    を含むことを特徴とするアドレス情報表示方法。
  8. 分析対象サーバと端末との間の通信ネットワークを介した通信について、該端末の通信アドレスごとに、通信を行った時刻を示す情報および通信内容を示す情報を記述した通信記録を取得する取得ステップと、
    前記取得ステップにおいて取得された通信記録のなかから、特定された所定の条件を満たす通信アドレスの通信記録を抽出する抽出ステップと、
    前記抽出ステップにおいて複数の通信アドレスの通信記録が抽出された場合には、各通信アドレスを含む所定範囲のアドレスを第1の軸、各通信記録における通信を行った時刻を含む所定範囲の時刻を第2の軸とするアドレス空間それぞれに対して前記取得ステップにおいて取得された通信記録に記述された通信アドレスをそれぞれプロットし、該通信アドレスがプロットされた各アドレス空間を並列にした表示データを生成する生成ステップと、
    前記生成ステップにおいて生成された表示データを出力する出力ステップと、
    をコンピュータに実行させるためのアドレス情報提供プログラム。
JP2015001615A 2015-01-07 2015-01-07 アドレス情報提供装置、アドレス監視システム、アドレス情報表示方法及びアドレス情報提供プログラム Pending JP2016127533A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015001615A JP2016127533A (ja) 2015-01-07 2015-01-07 アドレス情報提供装置、アドレス監視システム、アドレス情報表示方法及びアドレス情報提供プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015001615A JP2016127533A (ja) 2015-01-07 2015-01-07 アドレス情報提供装置、アドレス監視システム、アドレス情報表示方法及びアドレス情報提供プログラム

Publications (1)

Publication Number Publication Date
JP2016127533A true JP2016127533A (ja) 2016-07-11

Family

ID=56359867

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015001615A Pending JP2016127533A (ja) 2015-01-07 2015-01-07 アドレス情報提供装置、アドレス監視システム、アドレス情報表示方法及びアドレス情報提供プログラム

Country Status (1)

Country Link
JP (1) JP2016127533A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107872347A (zh) * 2016-09-28 2018-04-03 本田技研工业株式会社 通信状态判定方法和通信状态判定装置
WO2019235403A1 (ja) * 2018-06-04 2019-12-12 日本電信電話株式会社 感染拡大攻撃検知システム及び方法、並びに、プログラム

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040189693A1 (en) * 2003-03-26 2004-09-30 Oracle International Corporation Approach for visually depicting web server activity on a graphical user interface
JP2008193538A (ja) * 2007-02-07 2008-08-21 Hitachi Ltd ネットワークへの攻撃監視装置および攻撃証跡管理装置
US20140280902A1 (en) * 2013-03-15 2014-09-18 Google Inc. IP Allocation Pools

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040189693A1 (en) * 2003-03-26 2004-09-30 Oracle International Corporation Approach for visually depicting web server activity on a graphical user interface
JP2008193538A (ja) * 2007-02-07 2008-08-21 Hitachi Ltd ネットワークへの攻撃監視装置および攻撃証跡管理装置
US20140280902A1 (en) * 2013-03-15 2014-09-18 Google Inc. IP Allocation Pools

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
尼子雄大,高田哲司: "情報視覚化によるDrive−by Download攻撃対策の一検討", 情報処理学会 研究報告 マルチメディア通信と分散処理(DPS) 2014−DPS−158 [ONLI, JPN6017041860, 27 February 2014 (2014-02-27), JP, pages 第1−7頁 *
斉藤典明: "インターネット空間の汚れ具合を観察するインタフェースの提案", 情報処理学会 研究報告 電子化知的財産・社会基盤(EIP) 2013−EIP−61 [ONLINE], JPN6017041859, 4 September 2013 (2013-09-04), JP, pages 第1−8頁 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107872347A (zh) * 2016-09-28 2018-04-03 本田技研工业株式会社 通信状态判定方法和通信状态判定装置
JP2018056785A (ja) * 2016-09-28 2018-04-05 本田技研工業株式会社 通信状態判定方法
CN107872347B (zh) * 2016-09-28 2021-07-20 本田技研工业株式会社 通信状态判定方法和通信状态判定装置
WO2019235403A1 (ja) * 2018-06-04 2019-12-12 日本電信電話株式会社 感染拡大攻撃検知システム及び方法、並びに、プログラム

Similar Documents

Publication Publication Date Title
EP3726410B1 (en) Interpretation device, interpretation method and interpretation program
JP6919569B2 (ja) ログ分析システム、方法、及び記録媒体
US11663500B2 (en) Visualizing cybersecurity incidents using knowledge graph data
CN1925423A (zh) 具有对网络流量进行解析功能的日志装置、系统与方法
CN112074834A (zh) 用于运营技术系统的分析装置、方法、系统和存储介质
CN104506351B (zh) 在线全自动配置合规性安全审计方法及系统
CN103888490A (zh) 一种全自动的web客户端人机识别的方法
JP5913145B2 (ja) ログ可視化装置及び方法及びプログラム
US10735492B2 (en) Reporting un-deployed application features
CN106534146A (zh) 一种安全监测系统及方法
CN111078455A (zh) 基于时间轴的异常行为序列关联处理方法以及装置、设备、存储介质
CN111176202A (zh) 工业控制网络的安全管理方法、装置、终端设备及介质
JP2016127533A (ja) アドレス情報提供装置、アドレス監視システム、アドレス情報表示方法及びアドレス情報提供プログラム
JP5922640B2 (ja) 閲覧制御装置、閲覧制御方法および閲覧制御プログラム
CN111031025B (zh) 一种自动化检测验证Webshell的方法及装置
CN117155667A (zh) 网络安全设备信息处理系统、方法、设备及存储介质
KR101384618B1 (ko) 노드 분석 기법을 이용한 위험요소 추출 시스템
JP2006350543A (ja) ログ分析装置
CN115865525A (zh) 日志数据处理方法、装置、电子设备和存储介质
CN106685702B (zh) 一种基于工业控制系统安全防护设备的大数据采集方法
JP5966076B1 (ja) 情報処理装置、情報処理方法及びプログラム
CN114397988A (zh) 安全分析数据的展示方法、装置、系统、电子设备和介质
JP2015046794A (ja) アドレス情報提供装置、アドレス監視システム、アドレス情報表示方法及びアドレス情報提供プログラム
CN111314308A (zh) 基于端口分析的系统安全检查方法及装置
JP2008193302A (ja) 通信ログ視覚化装置、通信ログ視覚化方法及び通信ログ視覚化プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20161226

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20171004

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20171107

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171218

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20180417