JP6088700B2 - Information processing apparatus, information processing method, and program - Google Patents

Information processing apparatus, information processing method, and program Download PDF

Info

Publication number
JP6088700B2
JP6088700B2 JP2016159857A JP2016159857A JP6088700B2 JP 6088700 B2 JP6088700 B2 JP 6088700B2 JP 2016159857 A JP2016159857 A JP 2016159857A JP 2016159857 A JP2016159857 A JP 2016159857A JP 6088700 B2 JP6088700 B2 JP 6088700B2
Authority
JP
Japan
Prior art keywords
communication
period
information
communications
count
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016159857A
Other languages
Japanese (ja)
Other versions
JP2017005746A (en
Inventor
淳一 初田
淳一 初田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Lac Co Ltd
Original Assignee
Lac Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lac Co Ltd filed Critical Lac Co Ltd
Priority to JP2016159857A priority Critical patent/JP6088700B2/en
Publication of JP2017005746A publication Critical patent/JP2017005746A/en
Application granted granted Critical
Publication of JP6088700B2 publication Critical patent/JP6088700B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)

Description

本発明は、情報処理装置、情報処理方法及びプログラムに関する。   The present invention relates to an information processing apparatus, an information processing method, and a program.

近年、コンピュータウイルスに代表されるマルウェアは、侵入方法、攻撃手法の何れにおいても高度化かつ巧妙化しており、その被害を未然に防ぐことや被害を局所化することが困難になりつつある。従来のマルウェアの場合は、その攻撃と被害の関係が容易に推測でき、対処の難易度の違いはあれど、比較的早期に発見できた。しかし、現在のマルウェアの場合は、その侵入に気が付き難く、発見されるまでに甚大な被害が生じてしまっている。   In recent years, malware typified by computer viruses has become sophisticated and sophisticated in both intrusion methods and attack methods, and it is becoming difficult to prevent damage and to localize damage. In the case of conventional malware, the relationship between the attack and damage can be easily guessed, and it was discovered relatively early, although the degree of difficulty in dealing with it was different. However, in the case of current malware, it is difficult to notice the intrusion, and it has caused tremendous damage until it was discovered.

マルウェアを検出する技術として、例えば、特許文献1には、異常外部通信を所定時間内に所定回数以上行っている内部端末間で、異常内部通信が所定回数以上行われている場合に、内部ネットワーク内でマルウェアが発生していると判断するマルウェア検出装置が開示されている。   As a technique for detecting malware, for example, Patent Document 1 discloses an internal network in which abnormal internal communication is performed a predetermined number of times or more between internal terminals that perform the abnormal external communication a predetermined number of times or more within a predetermined time. A malware detection device that determines that malware is occurring in the network is disclosed.

また、例えば、特許文献2には、端末からの社内ネットワークに対する接続要求毎に、接続要求を行った端末における最終接続時刻からの経過時間を算出し、予め設定された許容時間と比較し、最終接続時刻からの経過時間が許容時間を超える場合に、接続要求を行った端末を不適合端末として社内ネットワークへの接続を禁止する技術が開示されている。   Also, for example, in Patent Document 2, for each connection request from the terminal to the in-house network, the elapsed time from the last connection time at the terminal that has made the connection request is calculated, compared with a preset allowable time, and the final A technique is disclosed in which when the elapsed time from the connection time exceeds the allowable time, the terminal that has requested connection is prohibited from being connected to the in-house network as a nonconforming terminal.

特開2012−84994号公報JP 2012-84994 A 特開2008−160249号公報JP 2008-160249 A

マルウェアに感染した端末は、攻撃者からの指令に従って処理を実行するために、外部にある攻撃者のサーバとの間で例えば定期的に繰り返して通信を行う場合がある。しかし、このような通信は、インターネット向けのほかの通信に紛れてしまい、発見するのが非常に困難であった。
本発明の目的は、監視対象とするネットワーク上で繰り返し行われる通信の把握を容易にすることにある。 In order for a terminal infected with malware to execute processing in accordance with an instruction from the attacker, there may be a case where the terminal periodically communicates with an external attacker's server, for example. However, such communications were confused with other communications for the Internet and were very difficult to find.
An object of the present invention is to facilitate grasping of communication that is repeatedly performed on a network to be monitored.

かかる目的のもと、本発明は、監視対象とするネットワーク上で対象期間内に検知された通信に含まれる情報を取得する取得手段と、前記取得手段にて取得された情報により、前記通信のうち当該通信における情報の少なくとも一部が共通する通信の集合を抽出する抽出手段と、前記抽出手段にて抽出された通信の集合について、前記対象期間に設定される第1期間内で特定の一の通信と特定の他の通信との間隔が当該第1期間とは異なる第2期間よりも長い当該第1期間の数であるカウント数に基づく情報を出力する出力手段とを備える情報処理装置を提供する。
ここで、前記出力手段は、前記抽出手段にて抽出された通信の集合を、前記カウント数に基づく順番で並べて表示するもの、であってよい。
また、前記出力手段は、前記抽出手段にて抽出された通信の集合のうち、前記カウント数が予め定められた基準を満たす集合について、当該集合に関する情報を出力するもの、であってよい。
さらに、前記抽出手段は、通信におけるデータの送信先及び送信元が同一である通信の集合を抽出するもの、であってよい。
また、本発明は、監視対象とするネットワーク上で対象期間内に検知された通信に含まれる情報を取得するステップと、取得された前記情報により、前記通信のうち当該通信における情報の少なくとも一部が共通する通信の集合を抽出するステップと、抽出された前記通信の集合について、前記対象期間に設定される第1期間内で特定の一の通信と特定の他の通信との間隔が当該第1期間とは異なる第2期間よりも長い当該第1期間の数であるカウント数に基づく情報を出力するステップとを含む情報処理方法も提供する。
そして、本発明は、コンピュータに、監視対象とするネットワーク上で対象期間内に検知された通信に含まれる情報を取得する機能と、取得された前記情報により、前記通信のうち当該通信における情報の少なくとも一部が共通する通信の集合を抽出する機能と、抽出された前記通信の集合について、前記対象期間に設定される第1期間内で特定の一の通信と特定の他の通信との間隔が当該第1期間とは異なる第2期間よりも長い当該第1期間の数であるカウント数に基づく情報を出力する機能とを実現させるためのプログラムも提供する。 For this purpose, the present invention provides an acquisition unit for acquiring information included in a communication detected within a target period on a network to be monitored, and information acquired by the acquisition unit. Among these, an extraction unit that extracts a set of communications in which at least a part of information in the communication is common, and a set of communications extracted by the extraction unit are specified within a first period set in the target period. An information processing apparatus comprising: an output unit that outputs information based on a count number that is a number of the first period longer than a second period in which an interval between the communication and the other specific communication is different from the first period provide.
Here, the output unit may display a set of communications extracted by the extraction unit in an order based on the count number.
The output unit may output information on the set of the communication sets extracted by the extraction unit for a set in which the count number satisfies a predetermined criterion.
Further, the extraction means may extract a set of communications in which the data transmission destination and the transmission source in the communication are the same.
In addition, the present invention provides a step of acquiring information included in a communication detected within a target period on a network to be monitored, and at least a part of the information in the communication among the communication by the acquired information Extracting a set of common communication, and for the extracted set of communication, an interval between a specific one communication and a specific other communication within the first period set in the target period is There is also provided an information processing method including a step of outputting information based on a count number that is a number of the first period longer than a second period different from the one period.
Then, the present invention provides a computer with a function of acquiring information included in a communication detected within a target period on a network to be monitored, and the acquired information. A function for extracting a set of communications that are at least partially in common, and an interval between a specific one communication and a specific other communication within the first period set as the target period for the extracted communication set A program for realizing a function of outputting information based on a count number which is the number of the first period longer than the second period different from the first period is also provided.

本発明によれば、監視対象とするネットワーク上で繰り返し行われる通信の把握が容易になる。   According to the present invention, it is possible to easily grasp communication that is repeatedly performed on a monitoring target network.

本実施の形態が適用されるコンピュータシステムの全体構成例を示した図である。It is a figure showing the example of whole composition of the computer system to which this embodiment is applied. 本実施の形態に係る通信分析装置の機能構成例を示したブロック図である。It is the block diagram which showed the function structural example of the communication analyzer which concerns on this Embodiment. 通信分析装置を適用するのに好適なコンピュータのハードウェア構成の一例を示した図である。It is the figure which showed an example of the hardware constitutions of the computer suitable for applying a communication analyzer. 通信ログをもとにカウント数に基づく情報を出力する手順の一例を示したフローチャートである。It is the flowchart which showed an example of the procedure which outputs the information based on a count number based on a communication log. 通信ログ取得部が取得する通信ログの一例を示す図である。It is a figure which shows an example of the communication log which a communication log acquisition part acquires. (a)〜(d)は、カウント部によるカウント処理の具体例を説明するための図である。(A)-(d) is a figure for demonstrating the specific example of the count process by a count part. カウント部によるカウント数に基づく情報を出力する処理の具体例を説明するための図である。It is a figure for demonstrating the specific example of the process which outputs the information based on the count number by a count part.

以下、添付図面を参照して、本発明の実施の形態について詳細に説明する。
<システム構成>
まず、本実施の形態が適用されるコンピュータシステムについて説明する。図1は、本実施の形態が適用されるコンピュータシステムの全体構成例を示した図である。図示するように、このコンピュータシステムでは、クライアント端末10a、10b、10cが社内LAN(Local Area Network)40に接続されている。また、通信分析装置20が社内LAN40及びインターネット50の両方に接続されている。さらに、攻撃者サーバ30がインターネット50に接続されている。 Embodiments of the present invention will be described below in detail with reference to the accompanying drawings.
<System configuration>
First, a computer system to which this embodiment is applied will be described. FIG. 1 is a diagram showing an example of the overall configuration of a computer system to which the present embodiment is applied. As shown in the figure, in this computer system, client terminals 10a, 10b, and 10c are connected to an in-house LAN (Local Area Network) 40. In addition, the communication analyzer 20 is connected to both the in-house LAN 40 and the Internet 50. Further, the attacker server 30 is connected to the Internet 50.

クライアント端末10a、10b、10cは、ユーザが使用するコンピュータであり、例えば、パーソナルコンピュータやワークステーション、その他のコンピュータ装置にて実現される。また、本実施の形態において、クライアント端末10a、10b、10cは、マルウェアに感染することがあるものとする。ここで、マルウェアとは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称である。例えば、マルウェアの一つであるボットは、コンピュータに感染した後、C&C(コマンド&コントロール)サーバと呼ばれる制御用サーバに接続して攻撃者からの指令を待ち、感染したコンピュータ上で指令どおりの処理を実行する。   The client terminals 10a, 10b, and 10c are computers used by users, and are realized by, for example, personal computers, workstations, and other computer devices. In the present embodiment, it is assumed that the client terminals 10a, 10b, and 10c may be infected with malware. Here, malware is a general term for malicious software and malicious code created with the intention of performing illegal and harmful operations. For example, a bot that is one type of malware, after infecting a computer, connects to a control server called a C & C (command and control) server, waits for instructions from the attacker, and performs processing as directed on the infected computer. Execute.

なお、図1では、クライアント端末10a、10b、10cを示したが、これらを区別する必要がない場合にはクライアント端末10と称することもある。また、図1には3台のクライアント端末10しか示していないが、クライアント端末10の台数は図示の3台には限定されない。   Although FIG. 1 shows the client terminals 10a, 10b, and 10c, they may be referred to as client terminals 10 when it is not necessary to distinguish them. Although only three client terminals 10 are shown in FIG. 1, the number of client terminals 10 is not limited to the three illustrated.

通信分析装置20は、社内LAN40とインターネット50との間のネットワークを監視対象とし、監視対象とするネットワーク上で検知された通信について、通信間隔に基づく情報を出力する。出力される通信間隔に基づく情報は、攻撃である可能性の高い不正な通信を検出するためのものである。具体的には、通信分析装置20は、クライアント端末10から社内LAN40を介してインターネット50へアクセスする通信を対象に、マルウェアによる不正通信を検出するための情報を出力する。また、通信分析装置20は、例えば、クライアント端末10から社内LAN40を介してインターネット50へアクセスする際に経由するように設置されたプロキシサーバ(不図示)に蓄えられている通信のログなどをもとに情報の出力を行う。   The communication analyzer 20 targets the network between the in-house LAN 40 and the Internet 50 and outputs information based on the communication interval for the communication detected on the network to be monitored. The information based on the output communication interval is for detecting unauthorized communication that is highly likely to be an attack. Specifically, the communication analysis device 20 outputs information for detecting unauthorized communication due to malware for communication accessing the Internet 50 from the client terminal 10 via the in-house LAN 40. In addition, the communication analysis device 20 also stores, for example, communication logs stored in a proxy server (not shown) installed so as to be accessed when the client terminal 10 accesses the Internet 50 via the in-house LAN 40. And output information.

この通信分析装置20は、ゲートウェイ等の通信装置の中に設けられても良いし、通信装置とは独立に設けられても良い。また、図1では、通信分析装置20を社内LAN40とインターネット50との間の通信回線上にインラインで設置するのではなく、例えば、プロキシサーバなどから通信分析装置20が通信ログを取得するような構成にしているが、通信分析装置20をインラインで設置した構成にしても良い。本実施の形態では、情報処理装置の一例として、通信分析装置20が用いられる。   The communication analysis device 20 may be provided in a communication device such as a gateway, or may be provided independently of the communication device. In FIG. 1, the communication analysis device 20 is not installed inline on the communication line between the in-house LAN 40 and the Internet 50, but the communication analysis device 20 acquires a communication log from a proxy server, for example. Although it is configured, the communication analyzer 20 may be configured inline. In the present embodiment, the communication analysis device 20 is used as an example of the information processing device.

攻撃者サーバ30は、マルウェアに感染したクライアント端末10が通信の接続先とするサーバであり、攻撃者が運営しているものである。この攻撃者サーバ30は、例えばクライアント端末10がボットに感染した場合には、クライアント端末10が攻撃者からの指令を待つために接続する接続先の制御用サーバに該当する。また、図1には1台の攻撃者サーバ30しか示していないが、2台以上の攻撃者サーバ30が存在する場合もあるものとする。   The attacker server 30 is a server to which the client terminal 10 infected with malware is a communication connection destination, and is operated by the attacker. For example, when the client terminal 10 is infected with a bot, the attacker server 30 corresponds to a connection control server to which the client terminal 10 is connected in order to wait for an instruction from the attacker. Although only one attacker server 30 is shown in FIG. 1, there may be two or more attacker servers 30 in some cases.

社内LAN40は、会社内のコンピュータやプリンタを専用回線等で接続し、これらの間でデータを送受信できるようにしたネットワークである。   The in-house LAN 40 is a network in which computers and printers in a company are connected by a dedicated line or the like so that data can be transmitted and received between them.

インターネット50は、TCP/IP(Transmission Control Protocol/Internet Protocol)を用いて全世界のネットワークを相互に接続した巨大なネットワークである。   The Internet 50 is a huge network that connects networks all over the world using TCP / IP (Transmission Control Protocol / Internet Protocol).

上述したように、本実施の形態において、クライアント端末10は、マルウェアに感染した場合、不正なサーバである攻撃者サーバ30に接続する。その際、クライアント端末10は、攻撃者サーバ30からの指令に従って処理を実行するために、例えば10秒などの間隔で、繰り返して攻撃者サーバ30との間で通信を行う場合がある。そこで、通信分析装置20は、クライアント端末10から社内LAN40を介してインターネット50へアクセスする通信を対象にその通信間隔を調べて、攻撃者サーバ30との間の通信である可能性がある、繰り返し行われる通信を検出するための情報を出力する。   As described above, in the present embodiment, when the client terminal 10 is infected with malware, the client terminal 10 connects to the attacker server 30 that is an unauthorized server. At that time, the client terminal 10 may repeatedly communicate with the attacker server 30 at intervals of, for example, 10 seconds in order to execute processing in accordance with a command from the attacker server 30. Therefore, the communication analysis device 20 examines the communication interval for communication accessing the Internet 50 from the client terminal 10 via the in-house LAN 40, and may be communication with the attacker server 30. Outputs information for detecting communication to be performed.

<通信分析装置の機能構成>
次に、通信分析装置20の機能構成について説明する。図2は、本実施の形態に係る通信分析装置20の機能構成例を示したブロック図である。 <Functional configuration of communication analyzer>
Next, the functional configuration of the communication analyzer 20 will be described. FIG. 2 is a block diagram illustrating a functional configuration example of the communication analysis device 20 according to the present embodiment.

図示するように、通信分析装置20は、社内LAN40(図1参照)とインターネット50(図1参照)との間のネットワーク上で検知された通信のログを取得する通信ログ取得部21と、取得された通信ログのうち分析の対象とする通信ログを抽出する通信ログ抽出部22とを備えている。また、通信分析装置20は、通信ログの取得対象とした期間を予め定められた期間である第1期間の長さで区切り、各第1期間について、最初の通信と最後の通信との間隔が予め定められた期間である第2期間を超えていればカウントするカウント部23と、カウント部23によるカウントの処理に用いられる第1期間及び第2期間の設定値を記憶する設定値記憶部24と、カウント部23によるカウント数に基づく情報を出力する情報出力部25とを備えている。   As illustrated, the communication analyzer 20 includes a communication log acquisition unit 21 that acquires a log of communication detected on the network between the in-house LAN 40 (see FIG. 1) and the Internet 50 (see FIG. 1). A communication log extracting unit 22 that extracts a communication log to be analyzed from the communication logs. In addition, the communication analyzer 20 divides the period for which the communication log is to be acquired by the length of the first period, which is a predetermined period, and the interval between the first communication and the last communication is set for each first period. A count unit 23 that counts if a second period, which is a predetermined period, is exceeded, and a set value storage unit 24 that stores set values for the first period and the second period that are used for the counting process by the count unit 23. And an information output unit 25 that outputs information based on the count number of the count unit 23.

取得手段の一例としての通信ログ取得部21は、社内LAN40とインターネット50との間のネットワークを監視対象とし、監視対象とするネットワーク上で検知された通信のログを取得する。ここで、通信ログ取得部21は、例えば管理者の操作を契機として、クライアント端末10から社内LAN40を介してインターネット50へアクセスする通信のログをプロキシサーバ(不図示)から取得する。   The communication log acquisition unit 21 as an example of an acquisition unit targets a network between the company LAN 40 and the Internet 50 and acquires a log of communication detected on the network to be monitored. Here, the communication log acquisition unit 21 acquires, from a proxy server (not shown), a communication log for accessing the Internet 50 from the client terminal 10 via the in-house LAN 40, for example, triggered by an administrator's operation.

通信ログとしては、例えば管理者が指定した期間や1週間などの予め定められた期間を取得の対象期間として、その対象期間内に検知されたものが取得される。また、通信ログには、例えば、その通信におけるデータの送信先の情報、データの送信元の情報、通信が行われた日時等の情報が含まれている。なお、通信ログは、プロキシサーバから取得するような構成に限られず、例えば、通信分析装置20がインラインで設置された場合に通信分析装置20内で格納しておいても良い。   As the communication log, for example, a period specified by the administrator or a predetermined period such as one week is acquired as a target period for acquisition, and data detected within the target period is acquired. In addition, the communication log includes, for example, information on the data transmission destination in the communication, information on the data transmission source, and information such as the date and time when the communication was performed. The communication log is not limited to the configuration obtained from the proxy server, and may be stored in the communication analysis device 20 when the communication analysis device 20 is installed inline, for example.

抽出手段の一例としての通信ログ抽出部22は、通信ログ取得部21が取得した通信ログのうち、分析対象とする通信ログの集合を抽出する。ここで、通信ログ抽出部22は、通信ログ取得部21が取得した各通信ログについて、データの送信先を識別可能な情報(以下、送信先情報と称する)及びデータの送信元を識別可能な情報(以下、送信元情報と称する)を特定する。送信先情報には、例えば、データの送信先である装置のドメイン名やIPアドレス、送信先のURL(Uniform Resource Locator)などの情報が含まれる。また、送信元情報には、例えば、データの送信元であるクライアント端末10のIPアドレス、クライアント端末10を使用するユーザとして設定されているユーザ名、クライアント端末10に設定されているコンピュータ名などの情報が含まれる。   The communication log extraction unit 22 as an example of an extraction unit extracts a set of communication logs to be analyzed from the communication logs acquired by the communication log acquisition unit 21. Here, for each communication log acquired by the communication log acquisition unit 21, the communication log extraction unit 22 can identify information (hereinafter referred to as transmission destination information) that can identify a data transmission destination and a data transmission source. Information (hereinafter referred to as source information) is specified. The destination information includes, for example, information such as the domain name and IP address of the device that is the data destination, and the URL (Uniform Resource Locator) of the destination. The transmission source information includes, for example, the IP address of the client terminal 10 that is the data transmission source, the user name set as the user who uses the client terminal 10, the computer name set in the client terminal 10, and the like. Contains information.

そして、通信ログ抽出部22は、各通信ログの送信先情報及び送信元情報をもとに、送信先及び送信元のペアが同一である複数の通信ログを分析対象として、それぞれのペアごとに抽出する。例えば、通信ログ取得部21が取得した通信ログのうち、送信先のドメインが「ドメインA」で、送信元のユーザ名が「ユーザA」である通信ログが1000個存在する場合、通信ログ抽出部22は、その1000個の通信ログの集合を分析対象として抽出する。   Then, the communication log extracting unit 22 analyzes a plurality of communication logs having the same transmission destination and transmission source pair as analysis targets based on the transmission destination information and transmission source information of each communication log. Extract. For example, if there are 1000 communication logs having the transmission destination domain “domain A” and the transmission source user name “user A” among the communication logs acquired by the communication log acquisition unit 21, the communication log extraction is performed. The unit 22 extracts the set of 1000 communication logs as an analysis target.

また、以下では、通信ログ抽出部22は、送信先及び送信元のペアが同一である複数の通信ログを分析対象として抽出する場合について説明するが、少なくともデータの送信先が同一である通信ログを分析対象として抽出しても良い。この場合、例えば、送信先のドメインが「ドメインA」の通信ログが2000個あれば、その2000個の通信ログが分析対象としてまとめて抽出されることとなる。   In the following description, the communication log extraction unit 22 describes a case where a plurality of communication logs having the same transmission destination and transmission source pair are extracted as analysis targets. However, at least the communication log having the same data transmission destination May be extracted as an analysis target. In this case, for example, if there are 2000 communication logs whose destination domain is “domain A”, the 2000 communication logs are collectively extracted as an analysis target.

カウント手段の一例としてのカウント部23は、通信ログ抽出部22が分析対象として抽出した通信ログの集合について、取得の対象期間の前から順番に第1期間の長さで区切っていく。そして、カウント部23は、区切られた第1期間のそれぞれについて、第1期間内の最初の通信と最後の通信との間隔が第2期間よりも長いか否かを判定する。ここで、最初の通信と最後の通信との間隔が第2期間を超えていれば、カウント部23はカウント数を1増やす処理を行う。一方、最初の通信と最後の通信との間隔が第2期間を超えていなければ、カウント部23はカウントしない。   The counting unit 23 as an example of a counting unit divides a set of communication logs extracted as an analysis target by the communication log extraction unit 22 in order of the length of the first period in order from the acquisition target period. Then, the count unit 23 determines whether or not the interval between the first communication and the last communication in the first period is longer than the second period for each of the divided first periods. Here, if the interval between the first communication and the last communication exceeds the second period, the count unit 23 performs a process of increasing the count number by one. On the other hand, if the interval between the first communication and the last communication does not exceed the second period, the counting unit 23 does not count.

例えば、区切られた第1期間が100個存在する場合、カウント部23は、その100個の第1期間のそれぞれについて、分析対象とした通信ログの最初の通信と最後の通信との間隔が第2期間よりも長いか否かを判定する。そして、カウント部23は、第2期間を超えていると判定するごとにカウントする。例えば、100個の第1期間のうち最初の通信と最後の通信との間隔が第2期間を超えているものが60個存在すれば、カウント数は60となる。   For example, when there are 100 divided first periods, the count unit 23 sets the interval between the first communication and the last communication of the communication log to be analyzed for each of the 100 first periods. It is determined whether or not it is longer than two periods. And the count part 23 counts whenever it determines with having exceeded the 2nd period. For example, if there are 60 of the 100 first periods in which the interval between the first communication and the last communication exceeds the second period, the count number is 60.

設定値記憶部24は、カウント部23によるカウントの処理に用いられる第1期間及び第2期間の設定値を記憶する。第1期間としては、例えば、10分、5分、1分などの期間が設定される。また、第2期間は、第1期間よりも短く、例えば、第1期間が10分の場合には第2期間は8分、第1期間が5分の場合には第2期間は4分、第1期間が1分の場合には第2期間は40秒などのように設定される。このような第1期間及び第2期間の値は、例えば管理者の入力により予め設定されるものとする。   The set value storage unit 24 stores the set values for the first period and the second period that are used in the counting process by the count unit 23. As the first period, for example, a period such as 10 minutes, 5 minutes, and 1 minute is set. The second period is shorter than the first period. For example, when the first period is 10 minutes, the second period is 8 minutes, and when the first period is 5 minutes, the second period is 4 minutes, When the first period is 1 minute, the second period is set to 40 seconds or the like. It is assumed that the values of the first period and the second period are set in advance by an administrator input, for example.

出力手段の一例としての情報出力部25は、カウント部23によるカウント数に基づく情報を出力する。ここで、情報出力部25は、通信ログ抽出部22が分析対象として抽出した通信ログの集合について、カウント部23がカウントしたカウント数を取得する。そして、情報出力部25は、取得したカウント数に基づく情報を出力する。例えば、情報出力部25は、通信ログの集合を、カウント数が多い順番や少ない順番などのカウント数に基づく順番で並べて表示部(不図示)に表示する。   The information output unit 25 as an example of an output unit outputs information based on the count number by the count unit 23. Here, the information output unit 25 acquires the count number counted by the counting unit 23 for the set of communication logs extracted as the analysis target by the communication log extracting unit 22. Then, the information output unit 25 outputs information based on the acquired count number. For example, the information output unit 25 displays a set of communication logs on a display unit (not shown) in an order based on the count number, such as the order with the largest count number or the order with the smallest count number.

また、情報出力部25は、カウント数が予め定められた基準を満たす通信について、その通信に関する情報を表示部に表示しても良い。例えば、情報出力部25は、カウント数が予め定められた閾値を超える通信ログの集合について、その通信が不正通信の可能性があることを示す表示をしたり、アラートを表示したりする。また、例えば、情報出力部25は、カウント数が予め定められた閾値以下である通信ログの集合について、その通信が正常な通信であることを示す表示を行う。   Moreover, the information output part 25 may display the information regarding the communication on a display part about the communication which satisfy | fills the reference | standard with which the count number was predetermined. For example, the information output unit 25 displays a message indicating that there is a possibility of unauthorized communication, or displays an alert for a set of communication logs whose count number exceeds a predetermined threshold. In addition, for example, the information output unit 25 performs a display indicating that the communication is normal communication for a set of communication logs whose count number is equal to or less than a predetermined threshold.

<通信分析装置のハードウェア構成例>
次に、本実施の形態に係る通信分析装置20のハードウェア構成について説明する。図3は、通信分析装置20を適用するのに好適なコンピュータのハードウェア構成の一例を示した図である。図示するように、通信分析装置20は、演算手段であるCPU(Central Processing Unit)20aと、主記憶手段であるメモリ20cを備える。また、外部デバイスとして、磁気ディスク装置(HDD:Hard Disk Drive)20g、ネットワーク・インターフェイス20f、ディスプレイ装置を含む表示機構20d、音声機構20h、キーボードやマウス等の入力デバイス20i等を備える。 <Hardware configuration example of communication analyzer>
Next, the hardware configuration of the communication analyzer 20 according to the present embodiment will be described. FIG. 3 is a diagram illustrating an example of a hardware configuration of a computer suitable for applying the communication analysis device 20. As shown in the figure, the communication analysis device 20 includes a CPU (Central Processing Unit) 20a that is a calculation means and a memory 20c that is a main storage means. As external devices, a hard disk drive (HDD) 20g, a network interface 20f, a display mechanism 20d including a display device, an audio mechanism 20h, an input device 20i such as a keyboard and a mouse, and the like are provided.

図3に示す構成例では、メモリ20cおよび表示機構20dは、システム・コントローラ20bを介してCPU20aに接続されている。また、ネットワーク・インターフェイス20f、磁気ディスク装置20g、音声機構20hおよび入力デバイス20iは、I/Oコントローラ20eを介してシステム・コントローラ20bと接続されている。各構成要素は、システム・バスや入出力バス等の各種のバスによって接続される。   In the configuration example shown in FIG. 3, the memory 20c and the display mechanism 20d are connected to the CPU 20a via the system controller 20b. The network interface 20f, the magnetic disk device 20g, the sound mechanism 20h, and the input device 20i are connected to the system controller 20b via the I / O controller 20e. Each component is connected by various buses such as a system bus and an input / output bus.

また、図3において、磁気ディスク装置20gにはOSのプログラムやアプリケーション・プログラムが格納されている。そして、これらのプログラムがメモリ20cに読み込まれてCPU20aに実行されることにより、本実施の形態に係る通信分析装置20の通信ログ取得部21、通信ログ抽出部22、カウント部23、情報出力部25の機能が実現される。また、例えば、磁気ディスク装置20g等の記憶する手段により、設定値記憶部24が実現される。   In FIG. 3, the magnetic disk device 20g stores an OS program and application programs. These programs are read into the memory 20c and executed by the CPU 20a, whereby the communication log acquisition unit 21, the communication log extraction unit 22, the count unit 23, and the information output unit of the communication analysis apparatus 20 according to the present embodiment. 25 functions are realized. Further, for example, the set value storage unit 24 is realized by a storage unit such as the magnetic disk device 20g.

なお、図3は、本実施の形態が適用されるのに好適なコンピュータのハードウェア構成を例示するに過ぎない。本実施の形態は、カウント数に基づく情報を出力する装置に広く適用できるものであり、図示の構成においてのみ本実施の形態が実現されるのではない。   FIG. 3 merely exemplifies a hardware configuration of a computer suitable for application of the present embodiment. The present embodiment can be widely applied to devices that output information based on the number of counts, and the present embodiment is not realized only in the illustrated configuration.

<通信分析装置の処理手順>
次に、通信分析装置20が通信ログをもとにカウント数に基づく情報を出力する処理の手順について説明する。図4は、通信ログをもとにカウント数に基づく情報を出力する手順の一例を示したフローチャートである。 <Processing procedure of communication analyzer>
Next, a procedure of processing in which the communication analysis apparatus 20 outputs information based on the count number based on the communication log will be described. FIG. 4 is a flowchart showing an example of a procedure for outputting information based on the count number based on the communication log.

まず、通信ログ取得部21は、社内LAN40とインターネット50との間のネットワーク上で取得の対象期間内に検知された通信のログであり、クライアント端末10からインターネット50へアクセスする通信のログをプロキシサーバから取得する(ステップ101)。次に、通信ログ抽出部22は、通信ログ取得部21が取得した通信ログのうち、分析対象とする通信ログの集合を抽出する(ステップ102)。ここで、通信ログ抽出部22は、各通信ログの送信先情報及び送信元情報をもとに、送信先及び送信元のペアが同一である複数の通信ログをまとめて抽出する。また、通常、対象期間内の通信ログは多数蓄積されており、送信元及び送信先のペアも多数存在する。そのため、通信ログ抽出部22は、送信先及び送信元のペアごとに、通信ログの集合を抽出する。   First, the communication log acquisition unit 21 is a log of communication detected in the acquisition target period on the network between the in-house LAN 40 and the Internet 50, and proxy the communication log for accessing the Internet 50 from the client terminal 10. Obtain from the server (step 101). Next, the communication log extraction unit 22 extracts a set of communication logs to be analyzed from the communication logs acquired by the communication log acquisition unit 21 (step 102). Here, the communication log extracting unit 22 collectively extracts a plurality of communication logs having the same transmission destination and transmission source pair based on the transmission destination information and transmission source information of each communication log. Usually, a large number of communication logs in the target period are accumulated, and there are a large number of pairs of transmission sources and transmission destinations. Therefore, the communication log extraction unit 22 extracts a set of communication logs for each pair of transmission destination and transmission source.

次に、カウント部23は、抽出された通信ログの集合のうち1つを選択する(ステップ103)。そして、カウント部23は、選択した通信ログの集合について、対象期間の前から順番に第1期間の長さで区切っていく(ステップ104)。次に、カウント部23は、区切られた第1期間のうち1つを選択する(ステップ105)。そして、カウント部23は、通信ログの発生日時をもとに、選択した第1期間内で発生した最初の通信と最後の通信との間隔を計算し、計算した間隔が第2期間を超えているか否かを判定する(ステップ106)。   Next, the count unit 23 selects one of the extracted set of communication logs (step 103). The count unit 23 then divides the set of selected communication logs by the length of the first period in order from before the target period (step 104). Next, the count unit 23 selects one of the divided first periods (step 105). Then, the count unit 23 calculates the interval between the first communication and the last communication that occurred within the selected first period based on the occurrence date and time of the communication log, and the calculated interval exceeds the second period. It is determined whether or not there is (step 106).

最初の通信と最後の通信との間隔が第2期間を超えていると判定された場合(ステップ106でYes)、カウント部23はカウント数を1増やす(ステップ107)。一方、最初の通信と最後の通信との間隔が第2期間を超えていないと判定された場合(ステップ106でNo)、カウント部23はカウント数を増やさずそのままとする。   When it is determined that the interval between the first communication and the last communication exceeds the second period (Yes in Step 106), the count unit 23 increases the count number by 1 (Step 107). On the other hand, when it is determined that the interval between the first communication and the last communication does not exceed the second period (No in step 106), the count unit 23 does not increase the count number.

次に、カウント部23は、ステップ104で区切られた第1期間の全てを選択したか否かを判定する(ステップ108)。まだ選択されていない第1期間があると判定された場合(ステップ108でNo)、ステップ105に移行する。一方、全ての第1期間が選択されたと判定された場合(ステップ108でYes)、カウント部23は、ステップ102で抽出された通信ログの集合の全てを選択したか否かを判定する(ステップ109)。   Next, the count unit 23 determines whether or not all of the first period divided in Step 104 has been selected (Step 108). When it is determined that there is a first period that has not yet been selected (No in Step 108), the process proceeds to Step 105. On the other hand, when it is determined that all the first periods have been selected (Yes in Step 108), the counting unit 23 determines whether or not all of the set of communication logs extracted in Step 102 have been selected (Step). 109).

まだ選択されていない通信ログの集合があると判定された場合(ステップ109でNo)、ステップ103に移行する。一方、通信ログの集合の全てが選択されたと判定された場合(ステップ109でYes)、次に、情報出力部25は、通信ログの集合ごとにカウント数を取得し、取得したカウント数に基づく情報を出力する(ステップ110)。ここで、情報出力部25は、通信ログの集合ごとに、ステップ105〜108にてカウントされたカウント数を取得し、取得したカウント数に基づく情報を出力する。例えば、情報出力部25は、通信ログの集合をカウント数が多い順番に並べて表示したり、カウント数が予め定められた閾値を超える通信ログの集合についてその通信が不正通信の可能性がある旨を表示したりする。そして、本処理フローは終了する。   If it is determined that there is a set of communication logs not yet selected (No in step 109), the process proceeds to step 103. On the other hand, when it is determined that all of the communication log set has been selected (Yes in Step 109), the information output unit 25 acquires a count number for each communication log set, and based on the acquired count number Information is output (step 110). Here, the information output unit 25 acquires the count number counted in steps 105 to 108 for each set of communication logs, and outputs information based on the acquired count number. For example, the information output unit 25 may display a set of communication logs arranged in order of increasing count number, or the communication log set having a count number exceeding a predetermined threshold may have unauthorized communication. Is displayed. Then, this processing flow ends.

<通信ログの例>
次に、通信ログ取得部21が取得する通信ログについて説明する。図5は、通信ログ取得部21が取得する通信ログの一例を示す図である。 <Example of communication log>
Next, the communication log acquired by the communication log acquisition unit 21 will be described. FIG. 5 is a diagram illustrating an example of a communication log acquired by the communication log acquisition unit 21.

図5に示す通信ログには、データの送信先である装置のIPアドレス、データの送信元であるクライアント端末10のIPアドレス、送信元であるクライアント端末10のユーザ名、送信元であるクライアント端末10のコンピュータ名、通信が発生した日時の情報が含まれる。例えば、番号1の通信ログにおいて、送信先である装置のIPアドレスは「50.1.1.1」、送信元のクライアント端末10のIPアドレスは「111.22.33.44」である。また、送信元のクライアント端末10のユーザ名は「UserA」、送信元のクライアント端末10のコンピュータ名は「LAN−PC1」、通信の発生日時は「2015年1月1日10時」である。   The communication log shown in FIG. 5 includes the IP address of the device that is the data transmission destination, the IP address of the client terminal 10 that is the data transmission source, the user name of the client terminal 10 that is the transmission source, and the client terminal that is the transmission source. 10 computer names and information on the date and time when communication occurred are included. For example, in the communication log of number 1, the IP address of the device that is the transmission destination is “50.1.1.1”, and the IP address of the client terminal 10 that is the transmission source is “111.2.33.34”. Further, the user name of the transmission source client terminal 10 is “UserA”, the computer name of the transmission source client terminal 10 is “LAN-PC1”, and the date and time of occurrence of communication is “10:00 on January 1, 2015”.

また、例えば、番号1、番号3及び番号4の通信ログについて、送信先のIPアドレスは「50.1.1.1」、送信元のIPアドレスは「111.22.33.44」であり、送信先及び送信元のペアが同一である。そのため、通信ログ抽出部22は、図5に示す通信ログから分析対象とする通信ログの集合を抽出する場合、番号1、番号3及び番号4の通信ログを抽出する。   For example, for the communication logs of number 1, number 3, and number 4, the destination IP address is “50.1.1.1”, and the source IP address is “111.2.33.34”. The destination and source pairs are the same. Therefore, when extracting a set of communication logs to be analyzed from the communication log illustrated in FIG. 5, the communication log extraction unit 22 extracts the communication logs of number 1, number 3, and number 4.

ここで、図5に示す通信ログでは、送信元情報として、送信元IPアドレス、送信元ユーザ名、送信元コンピュータ名が存在し、通信ログ抽出部22は、これらの送信元情報のうちのいずれかの情報を用いて通信ログの集合を抽出すれば良い。ただし、例えばDHCP(Dynamic Host Configuration Protocol)により自動的にクライアント端末10にIPアドレスが割り当てられるような場合、同じクライアント端末10であっても異なるIPアドレスで通信を行う場合がある。そのような場合には、通信ログ抽出部22は、送信元コンピュータ名や送信元ユーザ名等をもとに送信元であるクライアント端末10を識別して、通信ログの集合を抽出すれば良い。なお、通信ログに含まれる情報の種類は図5に示すものに限られるわけではなく、例えば、送信先情報として送信先である装置のドメイン名を用いても良い。   Here, in the communication log shown in FIG. 5, the transmission source information includes a transmission source IP address, a transmission source user name, and a transmission source computer name, and the communication log extraction unit 22 selects any of these transmission source information. A set of communication logs may be extracted using such information. However, for example, when an IP address is automatically assigned to the client terminal 10 by DHCP (Dynamic Host Configuration Protocol), communication may be performed with a different IP address even for the same client terminal 10. In such a case, the communication log extraction unit 22 may identify the client terminal 10 that is the transmission source based on the transmission source computer name, the transmission source user name, and the like and extract a set of communication logs. Note that the type of information included in the communication log is not limited to that shown in FIG. 5. For example, the domain name of the device that is the transmission destination may be used as the transmission destination information.

<カウント処理の具体例>
次に、カウント部23によるカウント処理について、具体例を挙げて説明する。図6(a)〜(d)は、カウント部23によるカウント処理の具体例を説明するための図である。図示の例では2つの第1期間を示しているが、以下では、1つ目の第1期間内の通信について説明する。 <Specific example of count processing>
Next, the counting process by the counting unit 23 will be described with a specific example. FIGS. 6A to 6D are diagrams for explaining a specific example of the counting process performed by the counting unit 23. FIG. In the example shown in the figure, two first periods are shown. However, communication in the first first period will be described below.

まず、図6(a)に示す例では、繰り返し通信が行われ、第1期間内で8回の通信が発生している。そして、最初の通信と最後の通信との間隔が第2期間を超えている。そのため、カウント部23はカウント数を1増やす処理を行う。
図6(b)に示す例では、第1期間内で2回の通信が発生しており、最初の通信と最後の通信との間隔が第2期間を超えている。そのため、図6(b)の場合には、図6(a)の場合よりも通信の発生回数は少ないが、カウント部23はカウント数を1増やす処理を行う。 First, in the example illustrated in FIG. 6A, communication is repeatedly performed, and communication is performed eight times within the first period. The interval between the first communication and the last communication exceeds the second period. Therefore, the count unit 23 performs a process of increasing the count number by one.
In the example shown in FIG. 6B, two communications occur within the first period, and the interval between the first communication and the last communication exceeds the second period. Therefore, in the case of FIG. 6B, the number of occurrences of communication is smaller than in the case of FIG.

図6(c)に示す例では、第1期間内で5回の通信が発生しているが、短時間に5回の通信が行われており、最初の通信と最後の通信との間隔が第2期間を超えていない。そのため、カウント部23はカウントしない。
図6(d)に示す例では、第1期間内で10回の通信が発生しており、最初の通信と最後の通信との間隔が第2期間を超えている。そのため、カウント部23はカウント数を1増やす処理を行う。 In the example shown in FIG. 6C, five communications occur within the first period, but five communications are performed in a short time, and the interval between the first communications and the last communications is The second period has not been exceeded. Therefore, the count unit 23 does not count.
In the example shown in FIG. 6D, 10 times of communication has occurred within the first period, and the interval between the first communication and the last communication exceeds the second period. Therefore, the count unit 23 performs a process of increasing the count number by one.

ここで、図示の例で、第1期間を1分、第2期間を40秒とすると、図6(a)の例では、8秒ほどの間隔で繰り返し通信が発生している。上述したように、クライアント端末10がマルウェアに感染した場合、攻撃者サーバ30との間で繰り返し通信を行う場合がある。このような繰り返し行われる通信が発生した場合、ある第1期間においてカウント部23によるカウントが行われれば、他の第1期間においてもカウントが行われる可能性が高い。そのため、カウント数が多い通信であることを示す情報が出力されることで、繰り返し行われる通信であってマルウェアによる通信の可能性があるものとして把握される。   Here, in the example shown in the figure, assuming that the first period is 1 minute and the second period is 40 seconds, in the example of FIG. 6A, communication repeatedly occurs at intervals of about 8 seconds. As described above, when the client terminal 10 is infected with malware, communication may be repeatedly performed with the attacker server 30. When such repeated communication occurs, if counting by the counting unit 23 is performed in a certain first period, it is highly possible that the counting is performed in another first period. Therefore, by outputting information indicating that the communication has a large number of counts, it is grasped that the communication is repeated and there is a possibility of communication by malware.

また、図6(b)に示す例では、第1期間内に2回の通信が発生しており、マルウェアにより繰り返し発生したものか、マルウェアとは関係なく正常な通信として単発で発生したものかの判別はされない。ここで、2回の通信が単発で発生したものであれば、継続して他の第1期間でもカウントされる可能性は低い。そのため、正常な通信として単発で発生したものについては、カウント数が少ない通信であることを示す情報が出力されることとなる。一方、2回の通信がマルウェアにより繰り返し発生した通信であれば、他の第1期間においてもカウントが行われる可能性が高い。そのため、図6(a)に示す場合と同様に、カウント数が多い通信であることを示す情報が出力され、繰り返し行われる通信であってマルウェアによる通信の可能性があるものとして把握される。   In the example shown in FIG. 6 (b), communication has occurred twice during the first period, and has occurred repeatedly due to malware, or has occurred as a single normal communication regardless of malware. Is not determined. Here, if two communications occur once, it is unlikely that they will continue to be counted even in other first periods. For this reason, information indicating that the communication is a single communication as a normal communication is a communication with a small number of counts. On the other hand, if the two communications are communications that repeatedly occur due to malware, there is a high possibility that the count will be performed in the other first period. Therefore, as in the case shown in FIG. 6A, information indicating that the communication has a large number of counts is output, and it is recognized that the communication is repeated and may be communicated by malware.

ここで、マルウェアにより繰り返し発生する通信であっても、その通信間隔が第1期間の1分を超える場合には、第1期間内で2回以上通信が行われることがないため、カウント部23によるカウントが行われないこととなる。このような場合には、第1期間の設定値を長くするように変更すれば、カウント部23によるカウントが行われる。   Here, even if the communication occurs repeatedly due to malware, if the communication interval exceeds 1 minute of the first period, the communication is not performed twice or more within the first period. Will not be counted. In such a case, if the setting value of the first period is changed to be longer, the counting by the counting unit 23 is performed.

次に、図6(c)に示す例は、ユーザが、例えばインターネット経由でウェブページを閲覧することにより、正常な通信が短時間に連続して発生した場合を示す。第1期間内で何度も通信が発生しているが、最初の通信と最後の通信との間隔が第2期間よりも短いため、カウント部23によるカウントは行われない。即ち、例えば定期的に繰り返し行われる通信ではなく、短時間に連続して発生する正常な通信については、カウントが行われず、カウント数が少ない通信であることを示す情報が出力される。   Next, the example illustrated in FIG. 6C illustrates a case where normal communication continuously occurs in a short time by a user browsing a web page via the Internet, for example. Although communication has occurred many times within the first period, since the interval between the first communication and the last communication is shorter than the second period, the counting by the counting unit 23 is not performed. That is, for example, normal communication that occurs continuously in a short time instead of periodically repeated communication is not counted, and information indicating that the communication has a small count is output.

一方、図6(d)に示す例は、ユーザが、例えばウェブページを閲覧した後にさらに違うウェブページを閲覧することにより、短時間に連続して通信が発生した後にさらに連続して通信が発生した場合を示す。この場合、マルウェアにより繰り返し行われる通信ではなく正常な通信であるが、最初の通信と最後の通信との間隔が第2期間を超えているため、カウント部23はカウント数を1増やす処理を行う。   On the other hand, in the example shown in FIG. 6 (d), for example, when a user browses a different web page after browsing a web page, the communication occurs continuously after a short period of continuous communication. Shows the case. In this case, although the communication is not normal communication repeated by the malware but normal communication, since the interval between the first communication and the last communication exceeds the second period, the count unit 23 performs a process of increasing the count number by one. .

このように、ユーザがウェブページを閲覧する際、様々なウェブページを閲覧することにより連続する通信が複数箇所で発生し、最初の通信と最後の通信との間隔が第2期間を超える場合がある。ただし、ウェブページの閲覧において、通常、ユーザは閲覧するウェブページを頻繁に変えて連続する通信が常に複数箇所で発生するわけではない。また、ユーザがウェブページを閲覧する時間も例えば数時間など限られた時間であると考えられる。そのため、ある第1期間においてカウント部23によるカウントが行われても、他の第1期間でもカウントされるとは限らない。さらに、カウントされるのはユーザがウェブページを閲覧する時間に限られており、繰り返し行われる通信と比較するとカウント数は少なくなる。結果として、第1期間内に連続する正常な通信が複数箇所で発生した場合には、カウント数が少ない通信であることを示す情報が出力されることとなる。   As described above, when the user browses the web page, continuous communication may occur at a plurality of locations by browsing various web pages, and the interval between the first communication and the last communication may exceed the second period. is there. However, in browsing a web page, usually, the user frequently changes the web page to browse and continuous communication does not always occur at a plurality of locations. In addition, the time for which the user browses the web page is also considered to be a limited time such as several hours. Therefore, even if counting by the counting unit 23 is performed in a certain first period, it is not always counted in another first period. Furthermore, the number of times counted is limited to the time when the user browses the web page, and the number of counts is reduced as compared with repeated communications. As a result, when normal communication that continues within the first period occurs at a plurality of locations, information indicating that the communication has a small number of counts is output.

このようにして、カウント部23は、第1期間内で最初の通信と最後の通信との間隔が第2期間を超えていれば、カウント数を1増やす処理を行う。そのため、マルウェアにより繰り返し通信が行われている場合、第1期間においてカウントされてカウント数が増えることにより、マルウェアによる不正通信の可能性があるものとして管理者に把握され易くなる。   In this way, the count unit 23 performs a process of incrementing the count number by 1 if the interval between the first communication and the last communication within the first period exceeds the second period. Therefore, when communication is repeatedly performed by malware, the number is counted in the first period and the number of counts is increased, so that the administrator can easily recognize that there is a possibility of unauthorized communication by malware.

一方、繰り返し行われる通信ではなく、単発で通信が発生した場合や連続する通信が複数箇所で発生した場合にも、カウント部23によりカウントされる場合がある。しかし、そのような通信のカウント数は継続して加算される可能性が低く、通信ログを取得する対象期間を長くすればするほど、繰り返し行われる通信と比較してカウント数が少なくなる。   On the other hand, the counting unit 23 may count even when communication occurs in a single shot or continuous communication occurs in a plurality of places instead of repeated communication. However, it is unlikely that the count number of such communication is continuously added, and the longer the target period for acquiring the communication log is, the smaller the count number is compared to the repeated communication.

<カウント数に基づく情報を出力する処理の具体例>
次に、カウント部23によるカウント数に基づく情報を出力する処理について、具体例を挙げて説明する。図7は、カウント部23によるカウント数に基づく情報を出力する処理の具体例を説明するための図である。図7に示す例は、例えば1日間で蓄積された通信ログのうち、送信先IPアドレス及び送信元IPアドレスのペアが同一である通信ログの集合を分析対象とし、カウント数が多い順番に各集合を上から並べたものである。 <Specific example of processing for outputting information based on count number>
Next, the process of outputting information based on the count number by the count unit 23 will be described with a specific example. FIG. 7 is a diagram for explaining a specific example of the process of outputting information based on the count number by the count unit 23. In the example illustrated in FIG. 7, for example, among communication logs accumulated in one day, a collection of communication logs having the same pair of transmission destination IP address and transmission source IP address is set as an analysis target. The set is arranged from the top.

例えば、番号1に示す通信ログの集合として、送信先IPアドレスが「50.1.1.1」、送信元IPアドレスが「111.22.33.44」の通信ログの集合について、カウント数が1000であることが示されている。同様に、他の通信ログの集合についてもカウント数が示され、カウント数が多い順番に各集合が上から並べられている。このように表示されることにより、管理者は、例えば、カウント数が多い通信ログは不正通信の可能性があると判断し、例えば該当の通信ログを詳細に調べる等の対応をすれば良い。   For example, as a set of communication logs indicated by number 1, for a set of communication logs having a transmission destination IP address “50.1.1.1” and a transmission source IP address “111.22.33.44”, the count number Is shown to be 1000. Similarly, count numbers are also shown for other communication log sets, and the sets are arranged from the top in order of increasing count numbers. By displaying in this way, the administrator determines, for example, that there is a possibility of unauthorized communication for a communication log with a large number of counts, and may take measures such as examining the corresponding communication log in detail.

また、情報出力部25は、カウント数が予め定められた閾値を超えていれば、その通信ログの集合について不正通信の可能性があることを示す表示を行うこととしても良い。例えば、予め定められた閾値を500とすれば、図7に示す番号1〜4の通信ログの集合が、不正通信の可能性があるものとして表示される。   Further, if the count number exceeds a predetermined threshold, the information output unit 25 may perform display indicating that there is a possibility of unauthorized communication for the set of communication logs. For example, if the predetermined threshold value is 500, a set of communication logs with numbers 1 to 4 shown in FIG. 7 is displayed as a possibility of unauthorized communication.

以上説明したように、本実施の形態に係る通信分析装置20は、監視対象とするネットワーク上で検知された通信のログについて、第1期間ごとに最初の通信と最後の通信との間隔を計算し、計算した間隔が第2期間を超えているか否かを判定する。そして、通信分析装置20は、計算した間隔が第2期間を超えていればカウント数を1増やし、それぞれの第1期間を対象として加算したカウント数に基づいて情報を出力する。   As described above, the communication analysis device 20 according to the present embodiment calculates the interval between the first communication and the last communication for each communication period for the communication log detected on the monitoring target network. Then, it is determined whether or not the calculated interval exceeds the second period. Then, if the calculated interval exceeds the second period, the communication analysis device 20 increases the count number by 1, and outputs information based on the count number added for each first period.

そのため、マルウェアに感染したクライアント端末10が繰り返し通信を行うことにより、カウント数が多くなり、管理者は、出力された情報をもとに不正通信の可能性があるものとして把握し易くなる。ここで、繰り返し発生する通信はマルウェアによるものに限られるわけではなく、例えば、ウィルス対策用ソフトウェアの更新のために行われる正常な通信等も繰り返し行われる場合がある。本実施の形態では、マルウェアによるものではなく繰り返し行われる正常な通信も、カウント数が多くなり、不正通信の可能性があるものとして把握される場合がある。ただし、そのような正常な通信について、管理者は、例えば、予め正常なものとして登録したり、送信先IPアドレスをもとに正常なものと判断して登録したりすれば良い。そして、正常なものとして登録された通信については、例えば、カウントの対象から除外したり、管理者へ報知する表示画面には正常な通信として表示したりすれば良い。   Therefore, when the client terminal 10 infected with malware repeatedly performs communication, the number of counts increases, and the administrator can easily grasp that there is a possibility of unauthorized communication based on the output information. Here, the communication that repeatedly occurs is not limited to that caused by malware. For example, normal communication that is performed for updating anti-virus software may be repeatedly performed. In the present embodiment, normal communication that is repeatedly performed instead of being caused by malware may be recognized as having a high number of counts and the possibility of unauthorized communication. However, for such normal communication, the administrator may register, for example, in advance as normal or determine that the communication is normal based on the transmission destination IP address. And about the communication registered as normal, what is necessary is just to exclude from the object of a count, for example, and to display as normal communication on the display screen alert | reported to an administrator.

また、通信分析装置20は、プロキシサーバ等に蓄積された通信ログではなく、現在ネットワーク上に流れているトラフィックを対象にカウントすることとしても良い。この場合、通信分析装置20は、送信先及び送信元のペアごとに第1期間内の通信を把握し、カウントするか否かを判定してカウント数を増やしていく。そして、情報出力部25は、例えば、カウント数が予め定められた閾値を超えた時点で、表示機構20d等にアラートを表示して管理者に報知する。   Further, the communication analysis device 20 may count the traffic currently flowing on the network instead of the communication log accumulated in the proxy server or the like. In this case, the communication analyzer 20 grasps the communication within the first period for each pair of the transmission destination and the transmission source, determines whether to count, and increases the count number. Then, for example, when the count number exceeds a predetermined threshold, the information output unit 25 displays an alert on the display mechanism 20d and notifies the administrator.

なお、本発明の実施の形態を実現するプログラムは、磁気記録媒体(磁気テープ、磁気ディスクなど)、光記録媒体(光ディスクなど)、光磁気記録媒体、半導体メモリなどのコンピュータが読取可能な記録媒体に記憶した状態で提供し得る。また、インターネットなどの通信手段を用いて提供することも可能である。   The program for realizing the embodiment of the present invention is a computer-readable recording medium such as a magnetic recording medium (magnetic tape, magnetic disk, etc.), an optical recording medium (optical disk, etc.), a magneto-optical recording medium, or a semiconductor memory. Can be provided in a state stored in the memory. It can also be provided using communication means such as the Internet.

また、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態には限定されない。本発明の精神及び範囲から逸脱することなく様々に変更したり代替態様を採用したりすることが可能なことは、当業者に明らかである。   Moreover, although this invention was demonstrated using embodiment, the technical scope of this invention is not limited to the said embodiment. It will be apparent to those skilled in the art that various modifications and alternative embodiments can be made without departing from the spirit and scope of the invention.

10a,10b,10c…クライアント端末、20…通信分析装置、21…通信ログ取得部、22…通信ログ抽出部、23…カウント部、24…設定値記憶部、25…情報出力部、30…攻撃者サーバ 10a, 10b, 10c ... Client terminal, 20 ... Communication analyzer, 21 ... Communication log acquisition unit, 22 ... Communication log extraction unit, 23 ... Count unit, 24 ... Setting value storage unit, 25 ... Information output unit, 30 ... Attack Server

Claims (6)

監視対象とするネットワーク上で対象期間内に検知された通信に含まれる情報を取得する取得手段と、
前記取得手段にて取得された情報により、前記通信のうち当該通信における情報の少なくとも一部が共通する通信の集合を抽出する抽出手段と、
前記抽出手段にて抽出された通信の集合について、前記対象期間に設定される第1期間内で特定の一の通信と特定の他の通信との間隔が当該第1期間とは異なる第2期間よりも長い当該第1期間の数であるカウント数に基づく情報を出力する出力手段と
を備える情報処理装置。 An acquisition means for acquiring information included in communications detected within a target period on a network to be monitored;
Extraction means for extracting a set of communications in which at least a part of the information in the communication is common among the communications based on the information obtained by the obtaining means;
For a set of communications extracted by the extraction means, a second period in which an interval between a specific communication and a specific other communication is different from the first period within a first period set in the target period An information processing apparatus comprising: output means for outputting information based on a count number that is a longer number of the first period. 前記出力手段は、前記抽出手段にて抽出された通信の集合を、前記カウント数に基づく順番で並べて表示すること
を特徴とする請求項1に記載の情報処理装置。 The information processing apparatus according to claim 1, wherein the output unit displays a set of communications extracted by the extraction unit in an order based on the count number. 前記出力手段は、前記抽出手段にて抽出された通信の集合のうち、前記カウント数が予め定められた基準を満たす集合について、当該集合に関する情報を出力すること
を特徴とする請求項1または2に記載の情報処理装置。 The output means outputs information related to the set of the communication sets extracted by the extracting means for a set whose count number satisfies a predetermined criterion. The information processing apparatus described in 1. 前記抽出手段は、通信におけるデータの送信先及び送信元が同一である通信の集合を抽出すること
を特徴とする請求項1乃至3のいずれか1項に記載の情報処理装置。 The information processing apparatus according to claim 1, wherein the extraction unit extracts a set of communications in which a data transmission destination and a transmission source in the communication are the same. 監視対象とするネットワーク上で対象期間内に検知された通信に含まれる情報を取得するステップと、
取得された前記情報により、前記通信のうち当該通信における情報の少なくとも一部が共通する通信の集合を抽出するステップと、
抽出された前記通信の集合について、前記対象期間に設定される第1期間内で特定の一の通信と特定の他の通信との間隔が当該第1期間とは異なる第2期間よりも長い当該第1期間の数であるカウント数に基づく情報を出力するステップと
を含む情報処理方法。 Obtaining information included in communications detected within a target period on a network to be monitored;
Extracting a set of communications in which at least a part of the information in the communication is common among the communications based on the acquired information;
For the extracted set of communication, the interval between the specific one communication and the specific other communication within the first period set in the target period is longer than the second period different from the first period. Outputting information based on a count that is the number of first periods. コンピュータに、
監視対象とするネットワーク上で対象期間内に検知された通信に含まれる情報を取得する機能と、
取得された前記情報により、前記通信のうち当該通信における情報の少なくとも一部が共通する通信の集合を抽出する機能と、
抽出された前記通信の集合について、前記対象期間に設定される第1期間内で特定の一の通信と特定の他の通信との間隔が当該第1期間とは異なる第2期間よりも長い当該第1期間の数であるカウント数に基づく情報を出力する機能と
を実現させるためのプログラム。 On the computer,
A function to acquire information included in communications detected within the target period on the network to be monitored;
A function of extracting a set of communications in which at least a part of the information in the communication is common among the communications based on the acquired information;
For the extracted set of communication, the interval between the specific one communication and the specific other communication within the first period set in the target period is longer than the second period different from the first period. A program for realizing a function of outputting information based on a count number which is the number of first periods.
JP2016159857A 2016-08-17 2016-08-17 Information processing apparatus, information processing method, and program Active JP6088700B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016159857A JP6088700B2 (en) 2016-08-17 2016-08-17 Information processing apparatus, information processing method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016159857A JP6088700B2 (en) 2016-08-17 2016-08-17 Information processing apparatus, information processing method, and program

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2016085190A Division JP5992643B2 (en) 2016-04-21 2016-04-21 Information processing apparatus, information processing method, and program

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2017018209A Division JP6145588B2 (en) 2017-02-03 2017-02-03 Information processing apparatus, information processing method, and program

Publications (2)

Publication Number Publication Date
JP2017005746A JP2017005746A (en) 2017-01-05
JP6088700B2 true JP6088700B2 (en) 2017-03-01

Family

ID=57754802

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016159857A Active JP6088700B2 (en) 2016-08-17 2016-08-17 Information processing apparatus, information processing method, and program

Country Status (1)

Country Link
JP (1) JP6088700B2 (en)

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3945438B2 (en) * 2003-03-28 2007-07-18 コニカミノルタビジネステクノロジーズ株式会社 Control program and control device
US9055093B2 (en) * 2005-10-21 2015-06-09 Kevin R. Borders Method, system and computer program product for detecting at least one of security threats and undesirable computer files
KR20130085570A (en) * 2011-12-22 2013-07-30 한국전자통신연구원 Method and terminal apparatus of cyber-attack prevention
JP6159018B2 (en) * 2014-03-19 2017-07-05 日本電信電話株式会社 Extraction condition determination method, communication monitoring system, extraction condition determination apparatus, and extraction condition determination program
JP5739034B1 (en) * 2014-03-19 2015-06-24 日本電信電話株式会社 Attack detection system, attack detection device, attack detection method, and attack detection program
JP6174520B2 (en) * 2014-05-22 2017-08-02 日本電信電話株式会社 Malignant communication pattern detection device, malignant communication pattern detection method, and malignant communication pattern detection program
WO2015186155A1 (en) * 2014-06-03 2015-12-10 三菱電機株式会社 Log analysis device and log analysis method

Also Published As

Publication number Publication date
JP2017005746A (en) 2017-01-05

Similar Documents

Publication Publication Date Title
RU2634211C1 (en) Method and system of protocols analysis of harmful programs interaction with control centers and detection of computer attacks
US9443075B2 (en) Interception and policy application for malicious communications
US10666680B2 (en) Service overload attack protection based on selective packet transmission
US8161538B2 (en) Stateful application firewall
EP3101580B1 (en) Website information extraction device, system, website information extraction method, and website information extraction program
JP2019021294A (en) SYSTEM AND METHOD OF DETERMINING DDoS ATTACKS
JP6502902B2 (en) Attack detection device, attack detection system and attack detection method
JP2019523584A (en) Network attack prevention system and method
JP5980968B2 (en) Information processing apparatus, information processing method, and program
JP6470201B2 (en) Attack detection device, attack detection system, and attack detection method
JP5926413B1 (en) Information processing apparatus, information processing method, and program
JP6145588B2 (en) Information processing apparatus, information processing method, and program
JP5992643B2 (en) Information processing apparatus, information processing method, and program
JP6088700B2 (en) Information processing apparatus, information processing method, and program
JP5966076B1 (en) Information processing apparatus, information processing method, and program
JP6007308B1 (en) Information processing apparatus, information processing method, and program
JP6105797B1 (en) Information processing apparatus, information processing method, and program
JP2011002916A (en) Infection activity detection apparatus, infection activity detection method and program
JP6105792B1 (en) Information processing apparatus, information processing method, and program
JP6063593B1 (en) Information processing apparatus, information processing method, and program
JP2012150658A (en) Information processing device, system, communication monitoring method and program
CN116436686A (en) Dynamic protection method and device for distributed denial of service attack
JP5086382B2 (en) Abnormal traffic analysis system, method and apparatus
TW201909592A (en) Method for detecting hacker reverse connection behavior capable of filtering out an abnormal external network connection by using a simple and fast statistical method
JP2016136745A (en) Information processing device, information processing method and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20161014

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20161014

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20161108

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170110

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170203

R150 Certificate of patent or registration of utility model

Ref document number: 6088700

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250