JP6879367B2 - 攻撃状況可視化装置、攻撃状況可視化方法及びプログラム - Google Patents

攻撃状況可視化装置、攻撃状況可視化方法及びプログラム Download PDF

Info

Publication number
JP6879367B2
JP6879367B2 JP2019526056A JP2019526056A JP6879367B2 JP 6879367 B2 JP6879367 B2 JP 6879367B2 JP 2019526056 A JP2019526056 A JP 2019526056A JP 2019526056 A JP2019526056 A JP 2019526056A JP 6879367 B2 JP6879367 B2 JP 6879367B2
Authority
JP
Japan
Prior art keywords
source
destination
image
communication
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019526056A
Other languages
English (en)
Other versions
JPWO2019003373A1 (ja
Inventor
将 川北
将 川北
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2019003373A1 publication Critical patent/JPWO2019003373A1/ja
Priority to JP2021075502A priority Critical patent/JP2021119500A/ja
Application granted granted Critical
Publication of JP6879367B2 publication Critical patent/JP6879367B2/ja
Priority to JP2022193377A priority patent/JP7494895B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/20Arrangements for monitoring or testing data switching networks the monitoring system or the monitored elements being virtualised, abstracted or software-defined entities, e.g. SDN or NFV
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Debugging And Monitoring (AREA)
  • Information Transfer Between Computers (AREA)

Description

本発明は、サイバー攻撃の状況をわかりやすく可視化する技術に関する。
サイバー攻撃等のセキュリティに関する攻撃の分析においては、収集した情報を可視化することがある。例えば、以下の特許文献1、2には、サイバー攻撃に関連する情報を表示する技術が記載されている。
特許文献1(特開2015−26182号公報)には、セキュリティに関する攻撃を表す情報を収集し、あるセキュリティサービスのユーザに対して、そのサービスにより防御可能な攻撃を可視化する技術が記載されている。
特許文献2(特開2015−216549号公報)には、サイバー攻撃が検知された装置を表す画像と、地球を表す画像との間に、サイバー攻撃のレベルを示す画像を表示する技術が記載されている。
なお、特許文献3(特開2014−230041号公報)には、ネットワークの構成及び動作を可視化する技術が記載されている。
特開2015−26182号公報 特開2015−216549号公報 特開2014−230041号公報
サイバー攻撃の増加及び高度化により、サイバー攻撃に関連して可視化される情報の量が増大し、表示する情報の内容も複雑化している。
上記特許文献1に記載された技術は、あるセキュリティサービスにより防御可能な攻撃を表示する技術に過ぎない。上記特許文献2に記載された技術は、攻撃対象と攻撃元との双方を特定可能なログが与えられることを前提とした技術である。特許文献3に記載された技術は、ネットワーク構成の可視化技術に過ぎない。
サイバー攻撃に関する情報には、必ずしも攻撃対象と、攻撃元との両方を特定可能な情報が常に含まれるとは限らない。このような状況の場合、例えば、上記各特許文献に記載された技術を用いても、サイバー攻撃の状況等を適切に表示することは困難である。
本開示に係る技術は、このような事情を鑑みて開発されたものである。即ち、本開示は、サイバー攻撃等のセキュリティに関する攻撃の状況をわかりやすく可視化する技術を提供することを、主たる目的の一つとする。
上記目的を達成すべく、本開示の一態様に係る攻撃状況可視化装置は、以下のような構成を備える。即ち、本開示の一態様に係る攻撃状況可視化装置は、サイバー攻撃に関する情報が記録されたログを解析し、上記サイバー攻撃に関する通信の送信元と、上記サイバー攻撃に関する通信の送信先との少なくとも一方を特定するログ解析部と、地図を表す画像と、上記送信元を示す送信元画像と、上記送信先を示す送信先画像と、を上記地図上に配置した画像を表示可能な表示情報を生成する表示情報生成部と、を備える。攻撃状況可視化装置における上記表示情報生成部は、ある上記送信元と、その上記送信元から上記サイバー攻撃に関する通信が送信された上記送信先と間の対応関係が特定されている場合、その上記送信元と、その上記送信先との間の上記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む上記表示情報を生成するよう構成される。
また、本開示の他の一態様に係る攻撃状況可視化方法は、以下のような構成を備える。即ち、本開示の一態様に係る攻撃状況可視化方法は、サイバー攻撃に関する情報が記録されたログを解析し、上記サイバー攻撃に関する通信の送信元と、上記サイバー攻撃に関する通信の送信先との少なくとも一方を特定し、地図を表す画像と、上記送信元を示す送信元画像と、上記送信先を示す送信先画像と、を上記地図上に配置した画像を表示可能な表示情報を生成し、ある上記送信元と、その上記送信元から上記サイバー攻撃に関する通信が送信された上記送信先と間の対応関係が特定されている場合、その上記送信元と、その上記送信先との間の上記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む上記表示情報を生成することを含む。
また、上記目的は、上記構成を有する攻撃状況可視化装置、攻撃状況可視化方法等をコンピュータによって実現するコンピュータ・プログラム(攻撃状況可視化プログラム)、及び、そのコンピュータ・プログラムが格納されているコンピュータ読み取り可能な記録媒体等によっても達成される。
本開示の他の一態様に係る攻撃状況可視化プログラムは、以下のような構成を備える。即ち、本開示の一態様に係る攻撃状況可視化プログラムは、サイバー攻撃に関する情報が記録されたログを解析し、上記サイバー攻撃に関する通信の送信元と、上記サイバー攻撃に関する通信の送信先との少なくとも一方を特定する処理と、地図を表す画像と、上記送信元を示す送信元画像と、上記送信先を示す送信先画像と、を上記地図上に配置した画像を表示可能な表示情報を生成する処理と、ある上記送信元と、その上記送信元から上記サイバー攻撃に関する通信が送信された上記送信先と間の対応関係が特定されている場合、その上記送信元と、その上記送信先との間の上記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む上記表示情報を生成する処理と、をコンピュータに実行させる。なお、本開示の一態様に係る記録媒体には、上記したコンピュータ・プログラムが記録されてもよい。
本開示によれば、サイバー攻撃等のセキュリティに関する攻撃の状況をわかりやすく可視化することができる。
図1は、本開示の第1実施形態における攻撃状況可視化装置の機能的な構成を例示するブロック図である。 図2は、本開示の第1実施形態における攻撃状況可視化装置により可視化された攻撃状況の具体例を示す説明図である。 図3は、攻撃線の具体例を示す説明図である。 図4は、本開示の第1実施形態における攻撃状況可視化装置の動作の一例を示すフローチャートである。 図5は、本開示の第2実施形態における攻撃状況可視化装置の機能的な構成を例示するブロック図である。 図6は、本開示の第2実施形態における攻撃状況可視化装置に含まれる構成要素(ログ解析部)の機能的な構成を例示するブロック図である。 図7は、本開示の第2実施形態における攻撃状況可視化装置に含まれる他の構成要素(表示情報生成部)の機能的な構成を例示するブロック図である。 図8は、ログの具体例を示す説明図である。 図9は、送信元IPアドレスから、送信先のIPアドレスを特定する過程の具体例を示す説明図である。 図10は、送信元表示画像及び送信先表示画像の具体例を示す説明図である。 図11は、ログ種別テーブルの具体例を示す説明図である。 図12は、攻撃者テーブルの具体例を示す説明図である。 図13は、被害者テーブルの具体例を示す説明図である。 図14は、配色テーブルの具体例を示す説明図である。 図15は、送信先画像の表示形態を例示する説明図である。 図16は、送信元画像の表示形態を例示する説明図である。 図17は、送信先画像の他の表示形態を例示する説明図である。 図18は、送信元画像の他の表示形態を例示する説明図である。 図19は、攻撃状況画像の具体例を示す説明図である。 図20は、本開示の第2実施形態における攻撃状況可視化装置の動作の一例を示すフローチャートである。 図21は、本開示の第2実施形態における攻撃状況可視化装置により可視化された攻撃状況の具体例を示す説明図である。 図22は、本開示の第3実施形態における攻撃状況可視化装置の機能的な構成を例示するブロック図である。 図23は、本開示の第3実施形態における攻撃状況可視化装置に含まれる構成要素(外部情報照会部)の機能的な構成を例示するブロック図である。 図24は、分析モデルの具体例を示す説明図である。 図25は、各実施形態を実現可能なハードウェアの構成を例示する説明図である。
各実施形態の詳細な説明に先立って、本開示に関する技術的な検討事項等について詳細に説明する。以下、説明の便宜上、悪意のあるソフトウェア・プログラムを総称して、マルウェアと記載する。また、サイバー空間におけるセキュリティに関連する攻撃を総称して、サイバー攻撃と記載する。
コンピュータ等の情報通信機器等に対して不正な指令を与えるサイバー攻撃が発生した際、分析者は、そのサイバー攻撃に関する情報を収集し、分析する。分析者は、例えば、攻撃元及び攻撃対象が存在する国や地域を特定し、実行されているサイバー攻撃の規模や頻度を分析することで、サイバー攻撃に関する有用な情報が得られる可能性がある。ここで、攻撃元は、例えば、攻撃に関する通信の送信元(source)を表し、攻撃対象は、攻撃に関する通信の送信先(destination)を表す。
その一方、あるサイバー攻撃に関する情報(例えばログ等)に、送信元及び送信先の両方が必ずしも含まれるとは限らず、いずれか一方の情報しか含まれない場合がある。更に、攻撃者は、サイバー攻撃の送信元を隠蔽することがある。即ち、サイバー攻撃に関する通信の送信元情報は、偽装される可能性がある。また、所謂踏み台マシン、ボットなどを介して攻撃が実行された場合、サイバー攻撃に関する通信の直接的な送信元の情報(例えば、IP(Internet Protocol)アドレスの送信元フィールド)が、必ずしも信用できるとは限らない。
上記のような状況から、本発明者らは、あるサイバー攻撃について送信元及び送信先の少なくともいずれかの情報が得られた場合に、当該サイバー攻撃に関する状況を適切に可視化可能な、本開示に係る技術を着想するに至った。
以下において説明する本開示に係る技術の一態様である装置は、例えば、サイバー攻撃に関する情報が記録されたログを解析し、そのサイバー攻撃に関する通信の送信元と、そのサイバー攻撃に関する通信の送信先との少なくとも一方を特定するよう構成されてもよい。また、係る装置は、例えば、地図を表す画像と、サイバー攻撃に関する通信の送信元を示す送信元画像と、送信先を示す送信先画像と、を地図上に配置した画像情報を生成するよう構成されてもよい。係る装置は、また、ある送信元と、ある送信先との間の接続関係に応じて、その送信元と、その送信先との間のサイバー攻撃に関する通信の通信量及び通信頻度の少なくとも一方を可視化した攻撃状況画像を表示するような画像情報を生成してもよい。なお、送信元画像、送信先画像、及び、攻撃状況画像は、静止画に限定されず、アニメーションのような動きを含む画像であってもよい。
上記のような構成を含む本開示に係る技術によれば、例えば、サイバー攻撃等のセキュリティに関する攻撃の状況をわかり易く可視化することができる。その理由は、あるサイバー攻撃に関する情報から、送信元及び送信先のいずれか一方しか特定できない場合であっても、送信元又は送信先における攻撃の状況を示す画像を表示することができるからである。また、あるサイバー攻撃に関する送信元と送信先との接続関係を特定できた場合には、サイバー攻撃に関する通信の通信量及び通信頻度を可視化した画像をわかりやすく表示することができるからである。
以下、本開示に係る技術について、具体的な実施形態を用いて具体的に説明する。以下の具体的な実施形態(及びその変形例)の構成は例示であり、本開示に係る技術の技術範囲は、それらには限定されない。以下の各実施形態を構成する構成要素の分割(例えば、機能的な単位による分割)は、その実施形態を実現可能な一例である。各実施形態を実現可能な構成は、以下の例示に限定されず、様々な構成が想定され得る。以下の各実施形態を構成する構成要素は、更に分割されてもよく、また、以下の各実施形態を構成する1以上の構成要素が統合されてもよい。
以下に例示する各実施形態が1以上の物理的装置、仮想的装置、及びその組合せを用いて実現される場合、1以上の構成要素が1以上の装置により実現されてもよく、1つの構成要素が複数の装置を用いて実現されてもよい。なお、各実施形態を実現可能な装置のハードウェア構成の具体例については、後述する。
<第1実施形態>
以下、本開示に係る技術の第1実施形態について説明する。
〔構成〕
図1は、本実施形態における攻撃状況可視化装置100の機能的な構成を例示するブロック図である。
攻撃状況可視化装置100には、例えば、各種のセキュリティに関連する情報(例えばログ)が供給される。攻撃状況可視化装置100に提供される情報には、例えば、各種サーバ(例えば、ウェブサーバ、プロキシサーバ、ファイルサーバ)において記録されたログ、各種ネットワーク機器(例えば、ルータ、スイッチ、アクセスポイント等)において記録されたログ、及び、各種セキュリティ機器(例えば、ファイアウォール、侵入検知装置、侵入防止装置、セキュリティアプライアンス等)において記録されたログ等が含まれてもよい。
攻撃状況可視化装置100は、上記した各種装置及びシステムからログを取得してもよい。また、攻撃状況可視化装置100は、上記したログが記録されたデータベースサーバやファイルサーバ等から、それらのログを取得してもよい。以下、攻撃状況可視化装置100にログを提供可能な各種装置、システム等を総称して、単に「ログ提供元」と記載することがある。
攻撃状況可視化装置100に提供されるログは、特に限定されず、様々な種類のログが含まれてよい。係るログには、典型的には、サイバー攻撃に関連する可能性がある各種通信に関するログが含まれてよい。
具体的には、ログには、あるサイバー攻撃に関する通信の送信元(発信源)を特定可能な情報が含まれてもよい。また、ログには、あるサイバー攻撃に関する通信の送信先を表す情報が含まれてもよい。一つのログに、送信元を表す情報と、送信先を表す情報との両方が含まれてもよく、いずれか一方のみが含まれてもよい。送信元又は送信先を表す情報は、典型的には、IP(Internet Protocol)アドレスであってもよいが、これには限定されない。通信データの送信元又は送信先を表す情報として、例えば、ホスト名、MAC(Media Access Control)アドレス、URL(Uniform Resource Locator)等が用いられてもよい。また、ログには、上記送信元及び送信先以外の種々の情報(例えば、通信データの内容、通信の制御、等)が適宜記録されてよい。
以下、本実施形態における攻撃状況可視化装置100の機能的な構成要素について説明する。図1に例示するように、本実施形態における攻撃状況可視化装置100は、ログ解析部101と、表示情報生成部102と、を備える。攻撃状況可視化装置100を構成するこれらの機能的な構成要素は、適切な通信方法により相互に通信可能に接続されていてよい。なお、図1に描画された構成要素間の接続線は、構成要素の主な接続関係を例示しており、構成要素間におけるデータ、信号及び制御等の通信は、これに限定されるものではない。
ログ解析部101(ログ解析手段)は、ログ提供元から提供されたログを解析し、サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定するよう構成される。
ログ解析部101は、提供されたログの形式等に応じた適切な解析方法を適宜用いて、係るログを解析するよう構成される。そのような解析方法には、例えば、パターンマッチング、正規表現を用いた解析等が含まれてもよい。ログ解析部101は、ログのフォーマットが既知である場合には、そのフォーマットに応じて、ログに記録された情報を適宜抽出してもよい。
ログ解析部101は、一態様として、ログを解析することで得られた、通信データの送信元及び送信先を表す情報を用いて、その送信元及び送信先が配置された地理的な位置(地域、国)等を特定するよう構成されてもよい。具体例として、送信元を特定可能な情報と、送信先を表す情報とが、IPアドレスを含む場合を想定する。この場合、ログ解析部101は、例えば、DNS(Domain Name System)、WHOISサービス等を用いて、当該IPアドレスが割り当てられた地域や国を特定することができる。
ログ解析部101は、一態様として、ログを解析することで、あるサイバー攻撃に関する通信の送信元と、その送信元から攻撃されている送信先と、の対応関係を特定するよう構成されてもよい。ログ解析部101は、例えば、あるサイバー攻撃に関する通信の送信元について、その送信元から通信データが送信されている送信先を特定することで、その送信元と送信先とを紐づけてもよい。
ログ解析部101は、一態様として、ログを解析することで、ある送信元から送信された通信に関する通信量と、通信が実行された頻度(通信頻度)とを、算出するよう構成されてもよい。ログ解析部101は、例えば、1以上のログのうち、ある特定の時間範囲(例えば単位時間)において、送信元から送信された通信に関する記録(レコード)を抽出し、抽出したレコードに記録された通信データのサイズから、通信量を算出することができる。ログ解析部101は、また、抽出されたレコードの数を計数することで、通信頻度を算出することができる。ログ解析部101は、同様に、ログを解析することで、ある送信先に対して送信された通信に関する通信量と、通信が実行された頻度(通信頻度)とを、算出するよう構成されてもよい。通信量及び通信頻度の算出方法は、周知技術を含め、適宜選択可能である。
ログ解析部101は、あるサイバー攻撃に関する送信元と、その送信元から攻撃されている送信先との対応関係が特定されている場合には、それらの間の通信量及び通信頻度を算出してもよい。ログ解析部101は、上記と同様の方法で通信量及び通信頻度を算出可能である。
表示情報生成部102(表示情報生成手段)は、地図を表す画像と、上記した送信元を示す送信元画像と、上記した送信先を示す送信先画像と、が地図上に配置された表示画像を表示可能な表示情報を生成するよう構成される。
表示情報は、例えば、表示する表示画像そのものを表す画像データであってもよく、表示画像の生成に用いられる各種のデータであってもよい。表示情報には、例えば、表示画像の生成処理を実行可能なスクリプトや実行可能バイナリ等が含まれてもよい。表示情報には、例えば、表示画像が表示される表示装置を制御する制御信号が含まれてもよい。
表示画像の形式は特に限定されず、適宜選択可能である。表示画像は、例えば、ベクタ形式の画像データを用いて表されてもよく、ラスタ形式の画像データを用いて表されてもよい。
表示画像は静止画像に限定されず、各種の動画像(アニメーションを含む)を含んでもよい。即ち、送信元を示す送信元画像と、送信先を示す送信先画像とは、静止画像を用いて表示されてもよく、アニメーションなどの動画像を用いて表示されてもよい。
表示情報生成部102は、ある送信元と、ある送信先との間の対応関係に応じて、その送信元と、その送信先との間のサイバー攻撃の状況を可視化した攻撃状況画像を表示する表示情報を生成してもよい。攻撃状況画像は、例えば、サイバー攻撃に関する通信の通信量と、通信頻度との少なくとも一方を可視化可能な画像であってよい。攻撃状況画像は、また、ある送信元と、ある送信先との間の通信の方向を可視化可能な画像であってもよい。
以下、表示情報生成部102が生成する表示情報に応じて表示される表示画像について、具体例を用いて説明する。図2は、表示情報生成部102により生成された表示情報に応じて表示された表示画像201を含むユーザインタフェース200の具体例を示す説明図である。なお、図2は、説明のための具体例を示す図であり、本実施形態はこれに限定されるものではない。
ユーザインタフェース200は、例えば、表示画面を備える各種の情報処理装置(コンピュータ、携帯端末等)において提供されるGUI(Graphical User Interface)の一部として表示されてもよい。表示画面の種類は特に限定されない。なお、表示画面を備える情報処理装置は、攻撃状況可視化装置100と同じ装置であってもよく、異なる装置であってもよい。
ユーザインタフェース200は、例えば、各種情報処理装置において実行されるアプリケーションを構成する画面の一部として表示されてもよい。係るアプリケーションは、例えば、各種のセキュリティ対策ソフトウェアであってもよく、ブラウザ等の一般的なアプリケーションであってもよい。
表示情報生成部102は、ユーザインタフェース200に表示される表示画像そのものを表す表示情報(即ち画像データ)を生成してもよい。また、表示情報生成部102は、ユーザインタフェース200に表示される表示画像を生成するために用いられる各種データを生成してもよい。係るデータには、例えば、表示画像に含まれる各画像に関する形状(サイズ(大きさ)含む、以下同様)、色彩、位置、頂点情報等が含まれてもよいが、これには限定されない。また、表示情報には、ユーザインタフェース200を表示するアプリケーションに対して表示画像の生成処理を実行させるスクリプトや実行可能バイナリ等が含まれてもよい。この場合、係る表示情報を受けつけたアプリケーションが、表示情報に含まれるスクリプトや実行可能バイナリを解釈(又は実行)することで、ユーザインタフェース200に表示画像が表示されてもよい。
図2に例示するように、表示画像201には、地図(図2の201f)が表示される。地図201f上に、サイバー攻撃の送信元を表す送信元画像(図2の201b、201d)と、送信先画像(図2の201a、201c)とが表示される。また、あるサイバー攻撃に関する送信元と、送信先との対応関係が特定されている場合、送信元画像(図2の201d)と、送信先画像(201c)との間に、攻撃状況画像(図2の201e)が表示される。
地図201fは、例えば、メルカトル図法で描かれた世界地図を、白地図として表示した画像であってよい。表示情報生成部102は、例えば、視認性を向上するため、世界地図の一部をデフォルメ(例えば、簡略化)した地図201fを作成してもよい。表示情報生成部102は、設定等により、地図201fの中心として表示される地域を変更可能であってもよい。表示情報生成部102は、国境線や地域の区割り線等が表示された地図201fを生成してもよい。なお、図2に示す具体例の場合、地図201fは平面地図であるが、本実施形態はこれに限定されない。例えば、地図201fとして、地球儀状の地図が表示されてもよい。
図2に示す具体例の場合、送信元画像として、送信元画像201bと、送信元画像201dとが例示されている。
送信元画像201bは、ある1以上のログから、サイバー攻撃の送信元のみが特定された場合に、その送信元を表す画像である。表示情報生成部102は、例えば、あるサイバー攻撃に関する通信の送信元のみが特定され、その通信の送信先が特定できない場合に、その送信元を表す画像として送信元画像201bが表示されるよう、表示情報を生成してもよい。
送信元画像201dは、ある1以上のログから、サイバー攻撃の送信元と、送信先との対応関係が特定された場合に、その送信元を表す画像である。表示情報生成部102は、例えば、あるサイバー攻撃に関する通信の送信元と送信先との両方が特定できた場合に、その送信元を表す画像として送信元画像201dが表示されるよう、表示情報を生成してもよい。
図2に示すように、送信元画像201bと、送信元画像201dとは、区別可能な表示形態により表示される。図2に示す具体例の場合、送信元画像201bと、送信元画像201dとは、その形状が異なる。これに限定されず、送信元画像201bと、送信元画像201dとは、形状以外の表示形態が異なる画像であってもよい。即ち、送信元画像201bと、送信元画像201dとは、例えば、形状、模様、色彩、サイズ、アニメーション方法等のうちの少なくともいずれかが異なる画像であってよい。
表示情報生成部102は、送信元画像201bと、送信元画像201dとについて、上記したような異なる画像が表示されるように、表示情報を生成する。これにより、送信元と送信先とが特定されていない場合であっても、ユーザは、ある送信元がなんらかの攻撃を実行していることを容易に視認することが可能である。
表示情報生成部102は、一態様として、送信元から送信された通信に関する通信量(送信元通信量)及び通信頻度(送信元通信頻度)の少なくとも一方に応じて、送信元画像201b又は送信元画像201dの表示形態を変化させるような表示情報を生成してもよい。
なお、図2に例示する送信元画像201b及び送信元画像201dの形状は、説明のための具体例であり、本実施形態はこれには限定されない。
図2に示す具体例の場合、送信先画像として、送信先画像201aと、送信先画像201cと、が例示されている。
送信先画像201aは、ある1以上のログから、サイバー攻撃の送信先のみが特定された場合に、その送信先を表す画像である。表示情報生成部102は、例えば、あるサイバー攻撃に関する通信の送信先のみが特定され、その通信の送信元が特定できない場合に、その送信先を表す画像として送信先画像201aが表示されるよう、表示情報を生成してよい。
送信先画像201cは、ある1以上のログから、サイバー攻撃に関する通信の送信元と、送信先との対応関係が特定された場合に、その送信先を表す画像である。表示情報生成部102は、例えば、あるサイバー攻撃に関する通信の送信元と送信先との両方が特定できた場合に、その送信先を表す画像として送信先画像201cが表示されるよう、表示情報を生成してよい。
図2に示すように、送信先画像201aと、送信先画像201cとは、区別可能な表示形態により表示される。図2に示す具体例の場合、送信先画像201aと、送信先画像201cとは、その形状が異なる。これに限定されず、送信先画像201aと、送信先画像201cとは、形状以外の表示形態が異なる画像であってもよい。即ち、送信先画像201aと、送信先画像201cとは、例えば、形状、模様、色彩、アニメーション方法のうちの少なくともいずれかが異なる画像であってよい。
表示情報生成部102は、送信先画像201aと、送信先画像201cとについて、上記したような異なる画像が表示されるように表示情報を生成する。これにより、送信元と送信先とが特定されていない場合であっても、ユーザは、ある送信先がなんらかの攻撃を受けていることを容易に視認することが可能である。
表示情報生成部102は、一態様として、送信先における通信量及び通信頻度の少なくとも一方に応じて、送信先画像201a又は送信先画像201cの表示形態を変化させるような表示情報を生成してもよい。なお、図2に例示する送信先画像201a及び送信先画像201cの形状は、説明のための具体例であり、本実施形態はこれには限定されない。
攻撃状況画像201eは、あるサイバー攻撃に関する通信の送信元と、送信先との対応関係が特定されている場合に、送信元と送信先との間の攻撃状況を可視化した画像である。具体的には、攻撃状況画像201eは、送信元と送信先との間の通信量及び通信頻度の少なくとも一方を可視化した画像である。攻撃状況画像201eは、送信元と、送信先との間の通信量及び通信頻度の少なくとも一方に応じて、異なる表示形態により表示される。表示情報生成部102は、例えば、送信元と、送信先との間の通信量及び通信頻度の少なくとも一方に応じて、攻撃状況画像201eの形状、模様、色彩、アニメーション方法等のうちの少なくともいずれかを変化させるような表示情報を生成する。
攻撃状況画像201eは、ある送信元から送信先に向けた攻撃を表す描画要素(画像中に描画されるオブジェクト、以下「攻撃線」と記載する)を含む。図2の場合、攻撃線は、矢印状の形状を有するが、本実施形態はこれには限定されない。攻撃線は、例えば、送信元と、送信先とをリンクする適切な線(直線、曲線)を用いて表されてもよい。攻撃状況画像201eは、例えば、攻撃線の表示形態が動的に変化するアニメーション画像であってもよい。以下、説明の便宜上、図2に示す略矢印状の形状を有する攻撃線を具体例として説明する。
一例として、攻撃状況画像201eは、一つの攻撃線(矢印状画像)の移動を間欠的に表示するアニメーション画像であってもよく、複数の攻撃線の移動を連続的に表示するアニメーション画像であってもよい。他の一例として、攻撃状況画像201eは、例えば、攻撃線自体は移動せずに、攻撃線の色彩のグラデーション又は模様が変化するアニメーション画像であってもよい。更に他の一例として、攻撃状況画像201eは、一つの攻撃線(例えば、一つの矢印)が、送信元画像201dと、送信先画像201cとの間を接続するように伸びるアニメーション画像であってもよい。攻撃状況画像201eは上記に限定されず、他のアニメーション方法を採用したアニメーション画像であってもよい。
図2に示す具体例の場合、攻撃線として矢印形状の描画要素が用いられているが、本実施形態はこれには限定されない。即ち、攻撃線の表示形態は特に限定されず、攻撃の方向(即ち、送信元から送信先へ向かう方向)を特定可能な各種の表示形態を適宜採用することができる。一例として、攻撃線は、送信先側から送信元側にかけて、色彩(又は輝度)及び形状の少なくとも一方が変化する描画要素を用いて表されてもよい。そのような描画要素の具体例を図3に例示する。図3の(A)部分に示す具体例の場合、攻撃線における送信先側(図3の201c側)から、送信元側(図3の201d側)にかけて形状が変化している。図3の(B)部分に示す具体例の場合、攻撃線における送信先側(図3の201c側)から、送信元側(図3の201d側)にかけて色彩が変化している。なお、図3の(B)部分に示す具体例の場合、攻撃線における送信先側(図3の201c側)から、送信元側(図3の201d側)にかけて輝度、模様が変化していてもよい。図3の(C)に例示する具体例の場合、攻撃線における送信先側(図3の201c側)から、送信元側(図3の201d側)にかけて色彩及び形状が変化している。
図2における具体例の場合、攻撃状況画像201eは、送信元と、送信先との間の通信量に応じて、異なる表示形態により表示されてもよい。一具体例として、表示情報生成部102は、送信元と、送信先との間の通信量の増大に応じて、攻撃線の形状(図2の場合は矢印のサイズ)が大きくなる(拡大する)ように、表示情報を生成してもよい。表示情報生成部102は、同様に、送信元と、送信先との間の通信量の減少に応じて、攻撃線の形状(図2の場合は矢印のサイズ)が小さくなる(縮小する)ように、表示情報を生成してもよい。
図2における具体例の場合、攻撃状況画像201eは、送信元と、送信先との間の通信頻度に応じて、異なる表示形態により表示されてもよい。一具体例として、表示情報生成部102は、送信元と、送信先との間の通信頻度に応じて、攻撃状況画像201eのアニメーション(図2の場合は攻撃線のアニメーション)の内容が変化するように表示情報を生成してもよい。表示情報生成部102は、例えば、送信元と、送信先との間の通信頻度の増大に応じて、攻撃状況画像201eのアニメーションの速度(即ち、攻撃線が動的に変化する速度)が速くなるような表示情報を生成してもよい。表示情報生成部102は、同様に、送信元と、送信先との間の通信頻度の減少に応じて、攻撃状況画像201eのアニメーションの速度が遅くなるような表示情報を生成してもよい。これにより、送信元と、送信先との間の通信頻度の変化に応じて、攻撃線(矢印状画像)の移動速度が変化するアニメーション画像が、攻撃状況画像201eとして表示される。
他の例として、通信頻度の変化に応じて、攻撃線における色彩のグラデーション又は模様の変更速度が変化する画像が、攻撃状況画像201eとして表示されてもよい。他の例として、例えば、攻撃線が伸びる速度が変化するアニメーション画像が、攻撃状況画像201eとして表示されてもよい。
上記のような構成により、ユーザは、送信元と送信先との間の攻撃状況を容易に視認することができる。ユーザは、例えば、ユーザインタフェース200に表示された攻撃状況画像201eのサイズから、送信元と送信先との間の攻撃の規模(通信量)を視認することが可能である。ユーザは、また、例えば、ユーザインタフェース200に表示された攻撃状況画像201eのアニメーション速度から、送信元と送信先との間の攻撃の頻度(通信頻度)を視認することが可能である。
〔動作〕
上記のように構成された攻撃状況可視化装置100の動作について説明する。図4は、攻撃状況可視化装置100の動作の一例を示すフローチャートである。
攻撃状況可視化装置100は、1以上のログを解析する(ステップS401)。具体的には、攻撃状況可視化装置100におけるログ解析部101が、各種ログ提供元から提供されたログを解析する。
攻撃状況可視化装置100は、ログを解析した結果から、1以上のサイバー攻撃について、送信元と、送信先との少なくとも一方を特定する(ステップS402)。なお、攻撃状況可視化装置100は、あるサイバー攻撃に関する、送信元と送信先との対応関係を特定可能であってもよい。また、攻撃状況可視化装置100は、特定した送信元及び送信先が配置されている地理的な位置を特定可能であってもよい。
攻撃状況可視化装置100は、ステップS401及びS402における解析の結果に応じて、1以上のサイバー攻撃に関する攻撃状況を可視化する。具体的には、攻撃状況可視化装置100は、送信元を示す送信元画像と、送信先を示す送信先画像とがそれぞれ地図上に配置された画像を表示可能な表示情報を生成する(ステップS403)。また、攻撃状況可視化装置100は、あるサイバー攻撃について、送信元と、送信先との間の対応関係が特定されている場合には、その送信元と、送信先との間のサイバー攻撃に関する通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む表示情報を生成する(ステップS404)。送信元画像、送信先画像、及び、攻撃状況画像の具体的な表示方法は、上記説明した通りである。
一例として、ある送信元について、複数のサイバー攻撃(具体的にはサイバー攻撃に関する通信)が、ログに記録されている場合を想定する。この場合、攻撃状況可視化装置100は、例えば、各サイバー攻撃について、順次送信元画像を表示させる表示情報を生成してもよい。同様に、一例として、ある送信先について、複数のサイバー攻撃(具体的にはサイバー攻撃に関する通信)が、ログに記録されている場合を想定する。この場合、攻撃状況可視化装置100は、例えば、各サイバー攻撃について、順次送信先画像を表示させる表示情報を生成してもよい。同様に、送信元と送信先との対応関係が複数特定された場合(即ち、1以上の送信元と1以上の送信先との間で複数のサイバー攻撃が実行されている場合)、攻撃状況可視化装置100は、例えば、各サイバー攻撃について、攻撃状況画像を順次切り替えて表示させる表示情報を生成してもよい。
上記のように構成された本実施形態における攻撃状況可視化装置100によれば、サイバー攻撃等のセキュリティに関する攻撃の状況をわかりやすく可視化することができる。その理由は、以下の通りである。
攻撃状況可視化装置100は、各種ログ提供元から提供されたログを解析することで、あるサイバー攻撃について、送信元、送信先の少なくとも一方を地図上に表示する画像を生成可能である。ログ提供元から提供されるログには、必ずしも、あるサイバー攻撃に関する送信元と送信先との両方を特定可能な情報が記録されているとは限らない。このような状況であっても、例えば、攻撃状況可視化装置100のユーザは、送信元あるいは送信先において、なんらかのサイバー攻撃に関連し得る事象(インシデント)が発生していることを、容易に視認することが可能である。
攻撃状況可視化装置100は、あるサイバー攻撃に関する送信元と送信先との対応関係が特定されている場合、それらの間の攻撃状況(特には、通信量及び通信頻度)を可視化した画像(攻撃状況画像)を生成可能である。これにより、例えば、攻撃状況可視化装置100のユーザは、送信元と送信先との間における、あるサイバー攻撃に関する状況を容易に視認することができる。
上記のように構成された攻撃状況可視化装置100を用いることで、ユーザは、例えば、各送信元、送信先におけるサイバー攻撃の頻度や、各送信元と送信先と間の通信量及び通信頻度などから、サイバー攻撃の深刻度を判断することが可能となる。
<第2実施形態>
以下、上記第1実施形態を基本とした、本開示に係る技術の第2実施形態について説明する。
〔構成〕
図5は、本実施形態における攻撃状況可視化装置500の機能的な構成を例示するブロック図である。図5に例示するように、攻撃状況可視化装置500は、ログ提供元510、情報源520、及び、表示装置530と通信可能に接続される。
ログ提供元510は、各種サーバ(例えば、ウェブサーバ、プロキシサーバ、ファイルサーバ)であってもよく、各種ネットワーク機器(例えば、ルータ、スイッチ、アクセスポイント等)であってもよく、各種セキュリティ機器(例えば、ファイアウォール、侵入検知装置、侵入防止装置等のセキュリティアプライアンス)であってもよい。ログ提供元510は、例えば、上記した各種システムやサーバにおいて記録されたログを蓄積する、データベースやファイルサーバであってもよい。攻撃状況可視化装置500は、ログ提供元510から提供されたログを受け付ける。
情報源520は、例えば、あるリクエスト(クエリ)に応じて、レスポンスとして各種情報を提供可能な、各種の情報提供サービスであってよい。例えば、攻撃状況可視化装置500は、情報源520に対して、あるセキュリティ情報(例えば、IPアドレス等)を含む検索リクエストを送信する。情報源520は、係るリクエストに応じて、そのセキュリティ情報に関連する他のセキュリティ情報(例えば、あるIPアドレスに関する他のIPアドレスや、あるIPアドレスに関連する通信を実行するマルウェアの情報等)を、攻撃状況可視化装置500に提供する。
本実施形態における情報源520は特に限定されない。情報源520は、例えば、セキュリティ及び通信ネットワークに関する情報を提供可能な、各種の情報提供サービス等であってもよい。一例として、情報源520には、DNS、WHOIS等のIPネットワークに関する情報を提供する各種の外部サービスが含まれてもよい。他の一例として、情報源520には、例えば、セキュリティベンダやセキュリティ関連の組織により運営される、セキュリティ関連情報(各種脆弱性、サイバー攻撃、マルウェア等)を提供するサービスが含まれてもよい。更に他の一例として、情報源520には、例えば、セキュリティベンダ等により運営される、オンラインのセキュリティ分析サービス(例えば、マルウェア検査、悪質なサイト(URL)の検査等)が含まれてもよい。更に他の一例として、情報源520には、セキュリティに関連する情報を発信する、現在では一般的なソーシャルネットワーキングサービス等が含まれてもよい。更に他の一例として、情報源520には、セキュリティに関するコンテンツを提供するWeb(World Wide Web)サイト、セキュリティに関する情報が蓄積されたデータベース、等が含まれてもよい。
表示装置530は、例えば、表示画面を備える各種の情報処理装置(コンピュータ、携帯端末等)である。表示装置530は、例えば、攻撃状況可視化装置500により生成された表示情報に応じて、あるサイバー攻撃に関する状況を表示する。なお、表示装置530は、攻撃状況可視化装置500の一部として含まれてもよい。
以下、攻撃状況可視化装置500を構成する機能的な構成要素について説明する。
図5に例示するように、攻撃状況可視化装置500は、ログ解析部501と、表示情報生成部502と、ログ収集部503と、外部情報照会部504と、を備える。攻撃状況可視化装置500を構成するこれらの機能的な構成要素は、適切な通信方法により相互に通信可能に接続されていてよい。なお、図5に描画された構成要素間の接続線は、構成要素の主な接続関係を例示しており、構成要素間におけるデータ、信号及び制御等の通信は、これに限定されるものではない。
ログ収集部503(ログ収集手段)は、ログ提供元510において提供されるログを収集する。ログの収集方法は特に限定されず、ログ提供元510の構成等に応じて、適宜選択可能である。ログ収集部503は、例えば、ログ提供元510においてログが記録されたファイルを収集してもよく、特定のプロトコル(例えばsyslog等)を用いてログ提供元510からログを収集してもよい。
ログ収集部503が、ログ提供元510からログを収集するタイミングは、特に限定されない。ログ収集部503は、定期的にログを収集するよう構成されてもよく、ユーザ等の指示に応じてログを収集してもよく、特定のタイミングでログを収集してもよい。
本実施形態において収集されるログは、例えば、第1実施形態同様としてよい。以下、説明の便宜上、サイバー攻撃に関連し得る通信に関する情報がログに記録されることを想定する。また、以下、説明のための具体例として、ある通信に関する送信元を表す情報(送信元特定情報)、及び、送信先を表す情報(送信先特定情報)として、それらのIPアドレスが用いられることを想定する。即ち、ログには、ある通信に関する送信元のIPアドレス(又はIPアドレスを特定可能な他の情報)が記録されてもよい。また、ログには、ある通信に関する送信先のIPアドレス(又はIPアドレスを特定可能な他の情報)が記録されてもよい。
IPアドレスを特定可能な他の情報として、例えばFQDN(Fully Qualified Domain Name)、URL等が含まれてもよい。この場合、攻撃状況可視化装置500は、例えば、DNS等を用いて、これらの情報からIPアドレスを特定することができる。なお、ログには、上記以外の情報(例えば、通信データの内容、通信の制御、等)が適宜記録されてよい。
図8は、ログ収集部503により収集されるログの一例を示す説明図である。なお、図8は、説明のための具体例であり、本実施形態におけるログはこれに限定されるものではない。図8に示す具体例の場合、ログ800には1以上のレコード801が含まれる。各レコードには、レコードが記録された日時、送信元IPアドレス、送信先IPアドレス、送信先ポート番号、及び、通信量(通信データのサイズ)等が記録される。各レコードには、そのレコードを特定可能なシーケンス番号が付与されてもよい。送信元IPアドレスは、レコードに記録された通信に関する送信元のIPアドレスを表す。送信先IPアドレスは、レコードに記録された通信に関する送信先のIPアドレスを表す。レコードには、送信元IPアドレスのみが記録されてもよく、送信先IPアドレスのみが記録されてもよく、その両方が記録されてもよい。
ログ解析部501は、ログ収集部503により収集されたログを解析するよう構成される。ログ解析部501は、第1実施形態におけるログ解析部101に相当する。ログ解析部501の機能は、第1実施形態におけるログ解析部101から拡張されている。
一例として、ログ解析部501は、図6に例示するように、ログ判別部501aと、対応関係推測部501bと、領域特定部501cと、位置特定部501dと、情報格納部501jと、通信解析部501kと、を含むよう構成される。なお、図6に描画された構成要素間の接続線は、構成要素の主な接続関係を例示しており、構成要素間におけるデータ、信号及び制御等の通信は、これに限定されるものではない。
ログ判別部501aは、あるログに含まれるレコードに、送信元IPアドレスが記録されているか否か、及び、送信先IPアドレスが記録されているか否か、を判定するよう構成される。例えば、レコードのフォーマットが既知である場合、ログ判別部501aは、そのフォーマットに応じて、送信元IPアドレス及び送信先IPアドレスが記録された部分(フィールド)を特定してもよい。上記に限定されず、ログ判別部501aは、例えば、上記第1実施形態におけるログ解析部101と同様、パターンマッチングや、正規表現を用いた解析方法等を用いてレコードを解析することで、送信元IPアドレス(又は送信先IPアドレス)が記録された部分を特定してもよい。
ログ判別部501aは、あるレコードに送信元IPアドレス及び送信先IPアドレスの双方が記録されている場合、係るレコードを攻撃ログテーブル501gに格納する。攻撃ログテーブル501gは、例えば、データベースやファイル等を用いて実現されてよい。なお、攻撃ログテーブル501gは、テーブル構造に限定されず、他の適切なデータ構造を用いてレコードを格納するよう構成されてよい。
ログ判別部501aは、あるレコードに送信元IPアドレスのみが含まれる場合、そのレコードを送信元ログテーブル501eに格納する。送信元ログテーブル501eは、攻撃ログテーブル501gと同様、データベースやファイル等を用いて実現されてよい。送信元ログテーブル501eも、テーブル構造に限定されず、他の適切なデータ構造を用いてレコードを格納するよう構成されてよい。
ログ判別部501aは、あるレコードに送信先IPアドレスのみが含まれる場合、そのレコードを送信先ログテーブル501fに格納する。送信先ログテーブル501fは、攻撃ログテーブル501gと同様、データベースやファイル等を用いて実現されてよい。送信先ログテーブル501fも、テーブル構造に限定されず、他の適切なデータ構造を用いてレコードを格納するよう構成されてよい。
対応関係推測部501bは、ある期間内に送信元ログテーブル501eに格納されたレコードと、送信先ログテーブル501fに格納されたレコードとの間の関連性を、外部情報照会部504(後述)を用いて推測する。より具体的には、対応関係推測部501bは、ある期間内に送信元ログテーブル501eに格納されたレコードに含まれる送信元IPアドレスと、送信先ログテーブル501fに格納されたレコードに含まれる送信先IPアドレスとの対応関係を、外部情報照会部504の機能を用いて推測する。係る処理により、対応関係推測部501bは、例えば、あるサイバー攻撃に関する通信の送信元と、送信先とを紐づける(関連付ける)ことができる。送信元IPアドレスと、送信先IPアドレスの対応関係を推測する具体的な処理については後述する。
送信元ログテーブル501eに格納されたレコードの送信元IPアドレスと、送信先ログテーブル501fに格納されたレコードの送信先IPアドレスとが紐づけられた場合、対応関係推測部501bは、それらのレコードを統合し、攻撃ログテーブル501gに格納する。新たに攻撃ログテーブル501gに格納されるレコードには、対応関係が特定された送信元IPアドレスと、送信先IPアドレスと、が少なくとも含まれる。係るレコードには、対応関係が特定された送信元IPアドレスが記録されたレコードに含まれる他の情報が更に含まれてもよい。係るレコードには、また、対応関係が特定された送信先IPアドレスが記録されたレコードに含まれる他の情報が更に含まれてもよい。
領域特定部501cは、送信元ログテーブル501e、送信先ログテーブル501f、及び、攻撃ログテーブル501gに記録された各レコードを参照し、ある送信元IPアドレスを有する送信元が配置された地理的な領域を特定する。領域特定部501cは、同様に、ある送信先IPアドレスを有する送信先が配置された地理的な位置を特定する。送信元又は送信先が配置された地理的な位置は、ある特定の地点を表してもよく、ある特定の領域(例えば、国、都市、地域等)で表してもよい。
一例として、領域特定部501cは、送信元が配置されている国及び都市の名称、並びに、送信先が配置されている国名及び都市の名称を特定してもよい。この際、領域特定部501cは、例えば、WHOIS等のサービスを利用して、あるIPアドレスを有するホストが配置された地理的な位置を特定してもよい。領域特定部501cは、また、IPアドレスと、地理的な位置を表す情報(例えば、国名、都市名等)との対応関係を格納した領域テーブル501hを参照することで、あるIPアドレスを有するホストが配置された地理的な位置を特定してもよい。
領域テーブル501hは、例えば、あるIPアドレスと、そのIPアドレスを有するホストが配置された所在地と、を関連付けて保持する。領域テーブル501hには、例えば、IPアドレスとそのIPアドレスを有するホストが配置された所在地とが予め登録されていてもよい。領域テーブル501hは、テーブル構造に限定されず、他の適切なデータ構造を用いて上記対応関係を保持するよう構成されてもよい。なお、領域テーブル501hは、例えば、攻撃状況可視化装置500の外部において提供されてもよい。
位置特定部501dは、領域特定部501cにおいて特定された地理的な位置を表す情報を、緯度及び経度を表す情報に変換するよう構成される。具体的には、位置特定部501dは、例えば、ある送信元が配置された国及び都市名から、その送信元が配置された場所の緯度及び経度を得る。位置特定部501dは、同様に、ある送信先が配置された国及び都市名から、その送信が配置された場所の緯度及び経度を得る。
具体的には、位置特定部501dは、地理的な位置と、その緯度及び経度と対応関係が格納された位置変換テーブル501iを参照することで、送信元又は送信先が配置された緯度及び経度を特定することができる。位置変換テーブル501iには、例えば、ある地理的な位置を表す情報(例えば、国及び都市)と、その位置を表す緯度及び経度との対応関係が、予め登録されていてもよい。位置変換テーブル501iは、テーブル構造に限定されず、他の適切なデータ構造を用いて上記対応関係を保持するよう構成されてもよい。なお、位置変換テーブル501iは、例えば、攻撃状況可視化装置500の外部において提供されてもよい。
位置特定部501dは、ある送信元及び送信先について特定した緯度及び経度を、後述する表示情報生成部502に適宜提供するよう構成されてもよい。一例として、位置特定部501dは、送信元IPアドレス又は送信先IPアドレスと、特定された緯度及び経度とを関連付けたテーブルを、表示情報生成部502に提供してもよい。また、位置特定部501dは、送信元ログテーブル501e、送信先ログテーブル501f、及び、攻撃ログテーブル501gに含まれるレコードについて、緯度及び経度を表す情報を追記してもよい。
情報格納部501jは、各種データを格納(ストア)可能な格納領域である。情報格納部501jは、例えば、1以上のデータベースや、ファイル等を用いて実現されてよい。情報格納部501jは、例えば、上記説明した、送信元ログテーブル501e、送信先ログテーブル501f、攻撃ログテーブル501g、領域テーブル501h、位置変換テーブル501i、を格納してもよい。ログ解析部501は、情報格納部501jに格納された各種情報を、表示情報生成部502に提供してもよい。この場合、情報格納部501jは、表示情報生成部502から参照可能に構成されてよい。なお、情報格納部501jは、ログ解析部501とは別の構成要素として攻撃状況可視化装置500に含まれてもよい。
通信解析部501kは、上記第1実施形態におけるログ解析部101と同様に、ログ(より具体的には、各ログテーブルに格納されたログのレコード)を解析することで、ある通信に関する通信量及び通信頻度を算出するよう構成される。通信解析部501kは、例えば、各ログテーブルに記録された送信元IPアドレスごとに、その送信元IPアドレスから送信された通信に関する通信量及び通信頻度を算出してもよい。通信解析部501kは、例えば、各ログテーブルに記録された送信先IPアドレスごとに、その送信先IPアドレスに対して送信された通信に関する通信量及び通信頻度を算出してもよい。通信解析部501kは、攻撃ログテーブルに格納されているレコードに記録された送信元IPアドレスと、送信先IPアドレスとの間の通信に関する通信量及び通信頻度を算出してもよい。ある通信に関する通信量及び通信頻度を算出する具体的な方法は、第1実施形態と同様としてもよい。
通信解析部501kは、算出した通信量及び通信頻度を、後述する表示情報生成部502に提供するよう構成されてもよい。一例として、通信解析部501kは、送信元IPアドレス又は送信先IPアドレスと、算出された通信量及び通信頻度とを関連付けたテーブルを、表示情報生成部502に提供してもよい。また、通信解析部501kは、送信元ログテーブル501e、送信先ログテーブル501f、及び、攻撃ログテーブル501gの何れかに含まれるレコードについて、通信量及び通信頻度を表す情報を追記してもよい。
外部情報照会部504(外部情報照会手段)は、外部の情報源520を利用して、ある通信(特には、サイバー攻撃に関する通信)に関する送信元IPアドレスと、送信先IPアドレスとの対応関係を特定する処理を実行するよう構成される。以下、外部情報照会部504が提供する機能について説明する。
外部情報照会部504は、送信元ログテーブル501eに格納されたレコードに記録された送信元IPアドレス(「送信元指定IPアドレス」と記載することがある)と、送信先ログテーブル501fに格納されたレコードに記録された送信先IPアドレス(「送信先指定IPアドレス」と記載することがある)と、をそれぞれ1以上受け付ける。送信元指定IPアドレスは、送信元IPアドレスのみを含むレコードに記録された送信元のIPアドレスである。また、送信先指定IPアドレスは、送信先IPアドレスのみを含むレコードに記録された送信先のIPアドレスである。
本実施形態の場合、外部情報照会部504は、例えば、対応関係推測部501bから、送信元指定IPアドレス及び送信先指定IPアドレスを提供されてもよい。なお、外部情報照会部504は、送信元ログテーブル501eに格納されたレコードと、送信先ログテーブル501fに格納されたレコードとを直接参照して、送信元指定IPアドレスと、送信先指定IPアドレスとを収集してもよい。
外部情報照会部504は、送信元指定IPアドレスが提供された場合、その送信元指定IPアドレスを検索用情報(検索キー)として、情報源520に対して問合せ(クエリ)を発行する。複数の情報源520を利用可能である場合、外部情報照会部504は、各情報源520に対して順次クエリを送信してもよく、複数の情報源520に対して並行してクエリを送信してもよい。外部情報照会部504は、例えば、設定等により与えられたルールに基づいて、1以上の情報源520を選択してもよい。情報源520は、例えば、係る問い合わせに関する検索を実行することで得られた情報を、レスポンスとして外部情報照会部504に提供する。
情報源520から得られるレスポンスには、各種の情報が含まれる。一例として、レスポンスには、送信元指定IPアドレスに関連する他のIPアドレス、URL等が含まれてもよい。レスポンスには、また、送信元指定IPアドレスに関連するドメイン名及びホスト名等が含まれてもよい。レスポンスには、また、送信元指定IPアドレスに関連する通信を実行するマルウェアを特定可能な情報が含まれてもよい。レスポンスには、また、送信元指定IPアドレスに関連する脆弱性を表す情報が含まれてもよい。
外部情報照会部504は、情報源520から提供されたレスポンスを解析する。具体的には、外部情報照会部504は、レスポンスにテキストデータが含まれる場合、係るテキストデータに対して各種の文字列解析処理、パターンマッチング処理等を実行することで、レスポンスを解析してよい。また、レスポンスにバイナリデータが含まれる場合、外部情報照会部504は、各種バイナリ解析(フォーマット解析)や、バイナリに対するパターンマッチング等を実行することで、レスポンスを解析してよい。テキストデータ及びバイナリデータを解析する具体的な方法は、周知技術を含め、適宜選択可能である。
外部情報照会部504は、レスポンスに含まれる各種データを、中間情報として記憶する。係る中間情報は、例えば、レスポンスに含まれるIPアドレス、マルウェアの検体名、ホスト名、ドメイン名、URL等を含んでもよい。
外部情報照会部504は、中間情報として記憶された情報に、対応関係推測部501bから提供された送信先指定IPアドレスが含まれるか否かを確認する。外部情報照会部504は、例えば、対応関係推測部501bから提供された送信先指定IPアドレスと一致するIPアドレスが、中間情報として記憶されているか否かを判定してもよい。
外部情報照会部504は、送信先指定IPアドレスと一致するIPアドレスが中間情報に含まれていない場合、中間情報を検索用情報(検索キー)として用いて、情報源520に対して再度問合せ(クエリ)を送信する。外部情報照会部504は、対応関係推測部501bから提供された送信先指定IPアドレスと一致するIPアドレスが得られるまで、上記処理を繰り返し実行してもよい。なお、外部情報照会部504は、提供された送信先指定IPアドレスと一致するIPアドレスが得られない場合、ある特定の回数で、上記処理を打ち切ってもよい。係る特定の回数は、例えば、設定等により予め定められていてもよい。この場合、外部情報照会部504は、送信元指定IPアドレスと、送信先指定IPアドレスとの間の対応関係が特定されなかったことを、対応関係推測部501bに通知してもよい。
外部情報照会部504は、上記処理により、送信先指定IPアドレスと一致するIPアドレスが中間情報として得られた場合、その送信先指定IPアドレスと、クエリとして用いられた送信元指定IPアドレスとを紐づけた(関連付けた)情報を、対応関係推測部501bに提供する。外部情報照会部504は、例えば、対応関係推測部501bから提供された全ての送信元指定IPアドレスについて上記処理を実行し、その結果を対応関係推測部501bに提供してもよい。
外部情報照会部504は、また、送信先指定IPアドレスを検索用情報(検索キー)として、情報源520に対して問合せ(クエリ)を発行してもよい。この場合、外部情報照会部504は、送信元指定IPアドレスの代わりに、送信先指定IPアドレスを検索用情報(検索キー)として使用することで、上記と同様の処理を実行してよい。外部情報照会部504は、情報源520から取得したレスポンスを解析することで得られた中間情報に、送信元指定IPアドレスと一致する情報が含まれるか否かを確認することができる。
外部情報照会部504は、上記処理により、送信元指定IPアドレスと一致するIPアドレスが中間情報として得られなかった場合、送信先指定IPアドレスに対応する送信元指定IPアドレスが特定されなかったことを、対応関係推測部501bに通知してもよい。外部情報照会部504は、上記処理により送信元指定IPアドレスと一致するIPアドレスが中間情報として得られた場合、その送信元指定IPアドレスと、クエリとして用いられた送信先指定IPアドレスとを紐づけた(関連付けた)情報を、対応関係推測部501bに提供してもよい。外部情報照会部504は、例えば、対応関係推測部501bから提供された全ての送信先指定IPアドレスについて上記処理を実行し、その結果を対応関係推測部501bに提供してもよい。
上記のような処理により、外部情報照会部504は、例えば、送信元IPアドレスしか含まれないレコードから出発して、他のレコードに記録された、その送信元IPアドレスに関連する送信先IPアドレスを特定することができる。外部情報照会部504は、同様に、送信先IPアドレスしか含まれないレコードから出発して、他のレコードに記録された、その送信先IPアドレスに関連する送信元IPアドレスを特定することができる。これにより、外部情報照会部504は、送信元IPアドレスと、送信先IPアドレスとの一方しか含まれないログに基づいて、送信元IPアドレスと、送信先IPアドレスとの対応関係を特定することが可能である。
なお、外部情報照会部504は、対応関係推測部501bから提供された、ある送信元IPアドレスと、ある送信先IPアドレスとの間の対応関係が特定できた場合、その対応関係の信頼度を、対応関係推測部501bに提供してもよい。
外部情報照会部504は、例えば、ある送信元IPアドレスと、ある送信先IPアドレスとの間に一方向の対応関係が成立する場合、それらに対して一方向の対応関係を表す信頼度(第1信頼度)を設定してもよい。一方向の対応関係は、送信元IPアドレスから送信先IPアドレスを特定できるものの、その送信先IPアドレスから元の送信元IPアドレスを特定できない場合(またはその逆の場合)の、送信元IPアドレスと送信先IPアドレスとの対応関係を表す。
外部情報照会部504は、例えば、ある送信元IPアドレスと、ある送信先IPアドレスとの間に双方向の対応関係が成立する場合、それらに対して双方向の対応関係を表す信頼度(第2信頼度)を設定してもよい。双方向の対応関係は、送信元IPアドレスから送信先IPアドレスを特定でき、かつ、その送信先IPアドレスから元の送信元IPアドレスを特定できる場合の、送信元IPアドレスと送信先IPアドレスとの対応関係を表す。この場合、双方向の対応関係を示す信頼度には、一方向の対応関係を示す信頼度よりも大きな値が設定されてよい。
以下、図9に例示する具体例を用いて、送信元IPアドレスと送信先IPアドレスと対応関係を特定する機能について説明する。図9に例示する具体例の場合、送信元IPアドレス(図9の901)が、外部情報照会部504に提供される。
外部情報照会部504は、情報源520(DNS及びWHOIS)から、送信元IPアドレス901に関する情報を取得する。これにより、中間情報として、例えば、ドメイン名(図9の902)及び、国情報(図9の903)が得られる。これらの中間情報には、送信先のIPアドレスが含まれていない。このため、外部情報照会部504は、更に、情報源520(例えば、セキュリティ情報提供サイト)からドメイン名902に関する情報を取得する。これにより、中間情報として、マルウェアに関する情報(図9の904)が得られる。この中間情報には、送信先のIPアドレスが含まれていない。これより、外部情報照会部504は、更に、情報源520(例えば、セキュリティ情報提供サイト)から、マルウェア904に関する情報を取得する。これにより、中間情報として、例えば、IPアドレス(図9の905)が得られる。情報源520は、得られたIPアドレス905が、対応関係推測部501bにより提供された1以上の送信先IPアドレスに含まれるか判定し、その結果を対応関係推測部501bに提供する。外部情報照会部504は、送信元IPアドレス901の代わりに、送信先IPアドレスが提供された場合も、概ね同様の処理を実行することが可能である。これにより、外部情報照会部504は、ある送信先IPアドレスに基づいて得られたIPアドレスが、対応関係推測部501bにより提供された1以上の送信元IPアドレスに含まれるか判定し、その結果を対応関係推測部501bに提供する。
表示情報生成部502は、送信元を示す送信元画像と、送信先を示す送信先画像と、送信元と送信先との間のサイバー攻撃の状況を示す画像とのいずれか一つ以上が地図上に配置された表示画像を表示させる表示情報を生成する。表示情報生成部502は、第1実施形態における表示情報生成部102に相当する。表示情報生成部502の機能は、第1実施形態における表示情報生成部102から拡張されている。
一例として、表示情報生成部502は、図7に例示するように、位置変換部502a、配置画像生成部502b、攻撃線生成部502c、背景画像生成部502d、合成部502eとを含むよう構成される。表示情報生成部502は、変換テーブル格納部502fを含むよう構成されてもよい。表示情報生成部502に含まれるこれらの構成要素の間は、適宜通信可能に接続されていてよい。なお、図7に描画された構成要素間の接続線は、構成要素の主な接続関係を例示しており、構成要素間におけるデータ、信号及び制御等の通信は、これに限定されるものではない。
表示情報生成部502は、各ログテーブル(送信元ログテーブル501e、送信先ログテーブル501f、及び攻撃ログテーブル501g)に格納されたレコードのうち、表示情報を生成するログを適宜特定してもよい。表示情報生成部502は、表示情報を生成するレコードとして、各ログテーブルに記録された全てのレコードを選択してもよく、一部のレコードを選択してもよい。一例として、特定の時間範囲内に記録されたレコードを、表示情報を生成するログとして選択してもよい。
位置変換部502aは、各ログテーブルに記録された送信元及び送信先について、表示画像(特には、表示画像に含まれる地図上)に表示する位置を算出する。具体的には、位置変換部502aは、ログ解析部501(特には位置特定部501d)により特定された、送信元及び送信先の緯度及び経度を、表示画像上の座標に変換する。緯度及び経度を、平面地図(例えば、メルカトル図法による地図)上の座標に変換する方法は、周知技術を用いて良い。
配置画像生成部502bは、表示画像に表示される送信元を示す送信元画像と、表示画像に表示される送信先を示す送信先画像と、を表す画像配置情報を生成する。係る画像配置情報は、表示情報の一部を構成する情報であってよい。即ち、画像配置情報は、送信元画像及び送信先画像そのものを表す画像データであってもよく、表示画像の生成に用いられる各種のデータであってもよい。以下、説明の便宜上、配置画像生成部502bが、送信元画像を表示可能な画像配置情報を生成することを、単に、「配置画像生成部502bが送信元画像を生成する」と記載することがある。また、配置画像生成部502bが送信先画像を表示可能な画像配置情報を生成することを、単に、「配置画像生成部502bが送信先画像を生成する」と記載することがある。
送信元画像は、上記第1実施形態同様、サイバー攻撃の送信元を示す画像である。より具体的には、送信元画像は、送信元ログテーブル501e及び攻撃ログテーブル501gに含まれるレコードに記録された送信元IPアドレスにより特定される送信元を示す画像である。送信先画像は、上記第1実施形態同様、サイバー攻撃の送信先を示す画像である。より具体的には、送信先画像は、送信先ログテーブル501f及び攻撃ログテーブル501gに含まれるレコードに記録された送信先IPアドレスにより特定される送信先を示す画像である。
配置画像生成部502bは、ある通信に関する送信元のみが特定されている場合、その送信元を示す第1送信元画像を表示可能な配置画像情報を生成する。より具体的には、配置画像生成部502bは、送信元ログテーブル501eにのみ含まれるレコードに記録された送信元IPアドレスにより特定される送信元について、第1送信元画像を表示可能な配置画像情報を生成する。
配置画像生成部502bは、ある通信に関する送信元及び送信先の両方が特定されている場合、その送信元を示す第2送信元画像を表示可能な配置画像情報を生成する。より具体的には、配置画像生成部502bは、攻撃ログテーブル501gに含まれるレコードに記録された送信元IPアドレスにより特定される送信元について、第2送信元画像を表示可能な配置画像情報を生成する。第1送信元画像と、第2送信元画像とは、異なる画像であってよい。
配置画像生成部502bは、ある通信に関する送信先のみが特定されている場合、その送信先を示す第1送信先画像を表示可能な配置画像情報を生成する。より具体的には、配置画像生成部502bは、送信先ログテーブル501fにのみ含まれるレコードに記録された送信先IPアドレスにより特定される送信先について、第1送信先画像を表示可能な配置画像情報を生成する。
配置画像生成部502bは、ある通信に関する送信元及び送信先の両方が特定されている場合、その送信先を示す第2送信先画像を表示可能な配置画像情報を生成する。より具体的には、配置画像生成部502bは、攻撃ログテーブル501gに含まれるレコードに記録された送信先IPアドレスにより特定される送信先について、第2送信先画像を表示可能な配置画像情報を生成する。第1送信先画像と、第2送信先画像とは、異なる画像であってよい。
第1送信先画像、第2送信先画像、第1送信元画像、及び第2送信元画像は、ユーザにとって識別可能な形態により表示可能であればよく、具体的な表示形態は特に限定されない。即ち、配置画像生成部502bは、第1送信先画像、第2送信先画像、第1送信元画像、及び第2送信元画像として、形状、色彩、模様、アニメーション方法等の表示形態のうちの少なくともいずれかが異なる画像を適宜生成してよい。
上記をまとめると、配置画像生成部502bは、あるレコードが含まれる種別(以下「ログ種別」と記載する)に応じて、異なる送信元画像、異なる送信先画像を生成する。以下、送信先IPアドレスのみを含むレコード(即ち、送信先ログテーブル501fに格納されたレコード)のログ種別を、「ログタイプA」と記載することがある。また、送信元IPアドレスのみを含むレコード(即ち、送信元ログテーブル501eに格納されたレコード)のログ種別を、「ログタイプB」と記載することがある。また、送信元及び送信先の両方を含むレコードのログ種別を、「ログタイプC」と記載することがある。なお、ログ種別は、例えば、図11に例示するような形式のログ種別テーブル502gに記憶されていてもよい。
図10に例示する具体例を用いて、配置画像生成部502bが生成する送信元画像及び送信先画像について説明する。なお、図10は、説明のための具体例であり、本実施形態はこれに限定されるものではない。
配置画像生成部502bは、ログタイプAの場合の第1送信先画像として、例えば、図10の(A)部分に示す第1送信先画像1001を生成してよい。配置画像生成部502bは、ログタイプBの場合の第1送信元画像として、例えば、図10の(B)部分に示す第1送信元画像1002を生成してよい。配置画像生成部502bは、ログタイプCの場合の第2送信先画像として、例えば、第2送信先画像1003を生成してよい。配置画像生成部502bは、ログタイプCの場合の第2送信元画像として、例えば、第2送信元画像1004を生成してよい。図10に示す具体例の場合、配置画像生成部502bは、第1送信先画像1001、第2送信先画像1003、第1送信元画像1002、第2送信元画像1004について、異なる表示形態(図10の場合は形状及び色彩)の画像を生成する。
配置画像生成部502bは、図10に示す具体例に限定されず、形状、色彩、模様、アニメーション方法などが異なる画像を適宜生成してよい。一例として、配置画像生成部502bは、第1送信先画像1001、第2送信先画像1003、第1送信元画像1002、第2送信元画像1004として、送信元又は送信先が配置された地図上の地点を中心として、描線が放射状に広がる(例えば、波紋状に広がる)アニメーション画像を表示してもよい。この場合、配置画像生成部502bは、例えば、第1送信先画像1001、第2送信先画像1003、第1送信元画像1002、第2送信元画像1004について、それぞれ描線の形状、模様、色彩、アニメーション速度等を変更してもよい。
上記のような処理により、配置画像生成部502bは、例えば、送信元のみが特定されたサイバー攻撃、送信先のみが特定されたサイバー攻撃、及び、送信元と送信先とが関連付けされたサイバー攻撃を、ユーザが容易に区別可能な画像を生成することができる。
配置画像生成部502bは、また、ある送信元から送信された通信に関する通信量及び通信頻度に応じて、その送信元を示す送信元画像(第1送信元画像及び第2送信元画像)の表示形態を変化させるような表示情報を生成してもよい。配置画像生成部502bは、同様に、ある送信先に送信された通信に関する通信量及び通信頻度に応じて、その送信先を示す送信先画像(第1送信先画像及び第2送信先画像)の表示形態(形状、色彩、模様、アニメーション方法等)を変化させるような表示情報を生成してもよい。なお、ある送信元又は送信先に関する通信量及び通信頻度は、例えば、通信解析部501kから提供されてもよく、配置画像生成部502bが、各種ログテーブルに格納されたレコードから算出してもよい。
一例として、配置画像生成部502bは、ある送信元から送信された通信に関する通信量に応じて、その送信元を示す送信元画像(第1送信元画像及び第2送信元画像)のサイズ(大きさ)を変更してもよい。この場合、配置画像生成部502bは、例えば、通信量に比例するように、送信元画像のサイズを変更してもよい。配置画像生成部502bは、例えば、ある送信先に送信された通信に関する通信量に応じて、その送信先を示す送信先画像(第1送信先画像及び第2送信先画像)のサイズを変更してもよい。この場合、配置画像生成部502bは、例えば、通信量に比例するように、送信先画像のサイズを変更してもよい。上記の場合、送信元及び送信先に関する通信量は、当該送信元又は送信先における、特定の通信に関する通信量の総和であってもよい。
一例として、送信元画像と、送信先画像とが、形状、色彩、模様等が動的に変更されるアニメーション画像であることを想定する。この場合、配置画像生成部502bは、ある送信元から送信された通信に関する通信頻度に応じて、その送信元を示す送信元画像(第1送信元画像及び第2送信元画像)のアニメーション速度を変更してもよい。配置画像生成部502bは、例えば、通信頻度に比例するように、送信元画像のアニメーション速度を変更してもよい。配置画像生成部502bは、例えば、ある送信先に送信された通信に関する通信頻度に応じて、その送信先を示す送信先画像(第1送信先画像及び第2送信先画像)のアニメーション速度を変更してもよい。配置画像生成部502bは、例えば、通信頻度に比例するように、送信先画像のアニメーション速度を変更してもよい。
一例として、配置画像生成部502bは、ある送信元が属する攻撃者に応じて、その送信元を表す送信元画像(第1送信元画像、第2送信元画像)の色彩を変更してもよい。具体的には、配置画像生成部502bは、例えば、図12に示すような攻撃者テーブル502hを参照し、各ログテーブルに格納されたレコードに記録された送信元IPアドレス及び送信先ポート番号から、ある送信元が属する攻撃者を特定する。攻撃者テーブル502hは、例えば、送信元IPアドレスと、送信先ポート番号とから、攻撃者(例えば、攻撃者の名称や、攻撃者を特定する識別子等)を特定可能な変換テーブルである。配置画像生成部502bは、例えば、図14に例示するような配色テーブル502jを参照し、送信元が属する攻撃者に割り当てられた配色を特定してよい。
配置画像生成部502bは、同様に、ある送信先が属する被害者に応じて、その送信先を表す送信先画像(第1送信先画像、第2送信先画像)の色彩を変更してもよい。配置画像生成部502bは、例えば、図13に示すような被害者テーブル502iを参照し、各ログテーブルに格納されたレコードに記録された送信先IPアドレスから、ある送信先が属する被害者(例えば、被害者の名称や、被害者を特定する識別子等)を特定してよい。被害者テーブル502iは、例えば、送信先IPアドレスから被害者を特定可能な変換テーブルである。配置画像生成部502bは、例えば、図14に例示するような配色テーブル502jを参照し、送信先が属する被害者に割り当てられた配色を特定する。
配置画像生成部502bは、上記のように特定した配色を用いて、送信元画像(第1送信元画像、第2送信元画像)及び送信先画像(第1送信先画像、第2送信先画像)の色彩を変更することができる。上記限定されず、配置画像生成部502bは、ある送信元が属する攻撃者に応じて送信元画像の模様を変更してもよく、ある送信先が属する被害者に応じて、送信先画像の模様を変更してもよい。
攻撃者テーブル502h、被害者テーブル502i、及び、配色テーブル502jには予め必要なデータが設定されていてよい。なお、攻撃者テーブル502hは、図12の具体例に限定されず、ある一つの攻撃者に対して、送信元IPアドレス及び送信先ポート番号の組が複数関連付けされてもよい。被害者テーブル502iも同様に、ある一つの被害者に対して、複数の送信先IPアドレスが関連付けされてもよい。
配置画像生成部502bにより生成される第1送信先画像、第2送信先画像、第1送信元画像、及び、第2送信元画像の具体例を、図15〜図18に示す。
図15に例示するように、第1送信先画像1001のサイズは、送信先に送信された通信量を表し、その色彩は、送信先が属する被害者を表す(図15の(A)部分)。また、第1送信先画像1001がアニメーション画像である場合、そのアニメーション速度は、通信頻度を表す(図15の(B)部分)。
図16に例示するように、第1送信元画像1002のサイズは、送信元から送信された通信量を表し、その色彩は、送信元が属する攻撃者を表す(図16の(A)部分)。また、第1送信元画像1002がアニメーション画像である場合、そのアニメーション速度は、通信頻度を表す(図16の(B)部分)。
図17に例示するように、第2送信先画像1003のサイズは、送信先に送信された通信量を表し、その色彩は、送信先が属する被害者を表す(図17の(A)部分)。また、第2送信先画像1003がアニメーション画像である場合、そのアニメーション速度は、通信頻度を表す(図17の(B)部分)。
図18に例示するように、第2送信元画像1004のサイズは、送信元から送信された通信量を表し、その色彩は、送信元が属する攻撃者を表す(図18の(A)部分)。また、第2送信元画像1004がアニメーション画像である場合、そのアニメーション速度は、通信頻度を表す(図18の(B)部分)。
上記のような処理により、配置画像生成部502bは、例えば、ある送信元に関する通信量と、その送信元が属する攻撃者とを、ユーザが容易に認識可能な送信元画像を生成することが可能である。また、配置画像生成部502bは、ある送信元に関する通信頻度を、ユーザが容易に認識可能な送信元画像を生成することも可能である。また、上記のような処理により、配置画像生成部502bは、例えば、ある送信先に関する通信量と、その送信先が属する被害者とを、ユーザが容易に認識可能な送信先画像を生成することが可能である。また、配置画像生成部502bは、ある送信先に関する通信頻度を、ユーザが容易に認識可能な送信先画像を生成することも可能である。
攻撃線生成部502cは、第1実施形態における表示情報生成部102と同様、ある送信元から送信先に向けた攻撃を表す攻撃状況画像を生成する。以下においては、攻撃線生成部502cが、攻撃状況画像として、攻撃線の表示形態が動的に変化するアニメーション画像を生成することを想定する。
攻撃線生成部502cは、例えば、ある期間において、同一の送信元と送信先との間で実行された通信に関する通信量及び通信頻度に応じて、攻撃線の表示形態(例えば、形状、色彩、模様、アニメーション方法等)を変更するよう構成される。なお、ある送信元又は送信先に関する通信量及び通信頻度は、例えば、通信解析部501kから提供されてもよく、攻撃線生成部502cが、各種ログテーブルに格納されたレコードから算出してもよい。
攻撃線生成部502cは、第1実施形態における表示情報生成部102と同様の方法により、攻撃線を含む攻撃状況画像を生成してもよい。
一例として、攻撃線生成部502cは、ある期間において送信元と送信先との間で実行された通信に関する通信量に応じて、攻撃線のサイズ(大きさ、長さ、太さ等)を変更してもよい。攻撃線が送信元と送信先との間をリンクする線(直線、曲線、矢印等)として表される場合、攻撃線生成部502cは、例えば、通信量に比例して、係る線の太さを増大(又は減少)させてもよい。
一例として、攻撃線生成部502cは、ある期間において、送信元と送信先との間で実行された通信に関する通信頻度に応じて、攻撃線のアニメーション速度を変更してもよい。攻撃線生成部502cは、例えば、通信頻度に比例して、送信元から送信先へ伸びる線のアニメーション速度を増大(又は減少)させてもよい。
攻撃線生成部502cは、また、攻撃ログテーブル501gに格納されたレコードに記録された送信先のポート番号に応じて、攻撃線の色彩を変更してもよい。攻撃線生成部502cは、例えば、図14に例示するような配色テーブル502jを参照し、送信先のポート番号毎に割り当てられた配色を特定してよい。
攻撃線生成部502cにより生成される、攻撃状況画像(特には攻撃線)の具体例を、図19に示す。図19に示す具体例の場合、攻撃線は、略矢印状の形状を有する描画要素として描画される。図19に示す具体例の場合、攻撃線のサイズは、ある送信元と、送信先との間の通信に関する通信量を表し、攻撃線の色は、送信先のポート番号を表す(図19の(A)部分)。具体的には、攻撃線生成部502cは、通信量に比例して矢印の線分部分(シャフト部分)の幅(又は径)が増大するように攻撃線を生成してもよく、矢印の面積全体が増大するように攻撃線を生成してもよい。この場合の通信量は、送信元と送信先との間の単位時間当たりの通信量であってもよく、ある期間内の総通信量であってもよい。また、攻撃線がアニメーション表示される場合、そのアニメーション速度は、通信頻度を表す(図19の(B)部分)。この場合の通信頻度は、単位時間当たりの通信頻度であってもよい。
上記のような処理により、攻撃線生成部502cは、例えば、ある送信元と、送信先との間のサイバー攻撃の状況(特には、通信量及び通信頻度)を、ユーザが容易に認識可能な攻撃状況画像を生成することが可能である。
背景画像生成部502dは、表示画像において背景画像として表示される地図画像を生成する。背景画像生成部502dは、上記第1実施形態における表示情報生成部102と同様に、地図画像として、メルカトル図法で描かれた世界地図を白地図として表示した画像を生成してもよい。
合成部502eは、配置画像生成部502bにおいて生成された送信元画像及び送信先画像、攻撃線生成部502cにおいて生成された攻撃状況画像(特には攻撃線)、並びに、背景画像生成部502dにおいて生成された地図画像を合成した表示画像を表示させる、表示情報を生成する。第1実施形態と同様、表示情報は、例えば、表示する表示画像そのものを表す画像データであってもよく、表示画像の生成に用いられる各種のデータであってもよい。表示情報には、例えば、表示画像の生成処理を実行させるスクリプトや実行可能バイナリ等が含まれてもよい。表示情報には、例えば、表示装置を制御する制御信号が含まれてもよい。
変換テーブル格納部502fは、各種変換テーブルを格納可能な格納領域である。変換テーブル格納部502fは、例えば、1以上のデータベースや、ファイル等により実現可能である。変換テーブル格納部502fは、例えば、上記説明した、ログ種別テーブル502g、攻撃者テーブル502h、被害者テーブル502i、及び、配色テーブル502jを格納してもよい。なお、変換テーブル格納部502fは、表示情報生成部502とは別の構成要素として攻撃状況可視化装置500に含まれてもよい。
〔動作〕
上記のように構成された、攻撃状況可視化装置500の動作について説明する。図20は、攻撃状況可視化装置500の動作の一例を示すフローチャートである。
攻撃状況可視化装置500(特には、ログ収集部503)は、ログ提供元510から各種ログを収集する(ステップS2001)。ログ収集部503における具体的な処理は、上記説明した通りである。
攻撃状況可視化装置500(特には、ログ解析部501)は、収集したログを解析する(ステップS2002)。上記説明したように、ログ解析部501は、収集したログに含まれる各レコードを解析し、送信先IPアドレスを含むか否か、送信元IPアドレスを含むか否かを判定する。ログ解析部501は、その判定の結果に応じて、各レコードを、送信元ログテーブル501e、送信先ログテーブル501f、及び、攻撃ログテーブル501gのいずれかに格納する。
攻撃状況可視化装置500(特には、ログ解析部501)は、各ログテーブルに格納されたレコードに記録された、送信元と送信先との間の対応関係を特定する(ステップS2003)。上記したように、攻撃ログテーブル501gに格納されたレコードには、送信元IPアドレスと、送信先IPアドレスとが記録されている。これよりログ解析部501は、攻撃ログテーブル501gに格納されたレコードに記録された送信元IPアドレスと、送信先IPアドレスとを関連付ける。
ログ解析部501は、また、送信元ログテーブル501e、送信先ログテーブル501fに格納された、ある期間内に取得された複数のレコード間の関連性を特定する。より具体的には、ログ解析部501は、外部情報照会部504を用いて情報源520への問合せを実行することにより、送信元ログテーブル501eに格納されたレコードに含まれる送信元と、送信先ログテーブル501fに格納されたレコードに含まれる送信先との対応関係を特定する。
ログ解析部501は、上記説明したように、例えば、送信元IPアドレス又は送信先IPアドレスを検索用のキーとして、情報源520に対する問合せを実行し、そのレスポンスを解析することで中間情報を抽出する。ログ解析部501は、例えば、送信元ログテーブル501eに格納された送信元IPアドレスをキーとして情報源520から得られた検索結果に、送信先ログテーブル501fに格納された送信先IPアドレスが含まれる場合、それらを関連付ける。同様に、ログ解析部501は、例えば、送信先ログテーブル501fに格納された送信先IPアドレスをキーとして情報源520から得られた検索結果に、送信元ログテーブル501eに格納された送信先IPアドレスが含まれる場合、それらを関連付ける。ログ解析部501は、対応関係が特定された送信元と送信先とを含むレコードを、攻撃ログテーブル501gに格納してよい。
攻撃状況可視化装置500(特には、ログ解析部501)は、送信元画像、送信先画像、及び、攻撃状況画像の生成に用いられるデータを算出する(ステップS2004)。上記説明したように、ログ解析部501は、例えば、送信元IPアドレス又は送信先IPアドレスから、その送信元又は送信先が配置された地理的な位置(例えば、国や都市)を特定し、その位置を表す緯度及び経度を算出してよい。ログ解析部501は、また、ある送信元から送信された通信に関する通信量及び通信頻度を算出してよい。ログ解析部501は、また、ある送信先に対して送信された通信に関する通信量及び通信頻度を算出してよい。ログ解析部501は、対応関係が特定された送信元と、送信先との間の通信量及び通信頻度を算出してもよい。ログ解析部501は、算出した各種データを、表示情報生成部502に提供してもよい。
攻撃状況可視化装置500(特には、表示情報生成部502)は、送信元を示す送信元画像と、送信先を示す送信先画像と、が地図上に配置された画像を表示可能な表示情報を生成する(ステップS2005)。表示情報生成部502は、例えば、各ログテーブルに格納されたレコードから、日時と、送信元IPアドレス及び送信先IPアドレスの少なくとも一方と、送信先ポート番号と,通信量とを取得してよい。表示情報生成部502は、例えば、送信元IPアドレスが記録されているか否か、及び、送信先IPアドレスが記録されている否かに基づいて、各レコードに関するログ種別を特定することができる。表示情報生成部502は、送信元IPアドレス、及び、送信先ポート番号から、ある送信元が属する攻撃者を特定することができる。表示情報生成部502は、また、送信先IPアドレスから、ある送信先が属する被害者を特定することができる。
表示情報生成部502は、また、ある送信元から送信された通信に関する通信量及び通信頻度を取得する。表示情報生成部502は、ログ解析部501において算出されたデータを取得してもよい。なお、表示情報生成部502は、例えば、一定期間(例えば”d”)に同一の攻撃者から送信された通信量の総和として、送信元通信量”m1”を求めてもよい。なお、通信量”m1”を一定期間”d”で除算することにより,単位時間あたりの通信量を算出することも可能である。また、表示情報生成部502は、例えば、一定期間内に記録された同一の攻撃者(送信元)に関するレコードの個数を、”d”で除算することにより、単位時間当たりの通信頻度を算出することも可能である。
表示情報生成部502は、ある送信元について、その送信元が記録されたレコードのログ種別、その送信元が属する攻撃者、並びに、その送信元に関する通信量及び通信頻度に基づいて、送信元画像を生成する。
表示情報生成部502は、同様に、ある送信先に対して送信された通信に関する通信量及び通信頻度を取得する。表示情報生成部502は、ログ解析部501において算出されたデータを取得してもよい。なお、表示情報生成部502は、例えば、一定期間”d”に同一の被害者に対して送信された通信量の総和として、送信先通信量”m2”を求めてもよい。なお、通信量”m2を”一定期間”d”で除算することにより,単位時間あたりの通信量を算出することも可能である。また、表示情報生成部502は、例えば、一定期間内に記録された同一の被害者(送信先)に関するレコードの個数を、”d”で除算することにより、単位時間当たりの通信頻度を算出することも可能である。
表示情報生成部502は、ある送信先について、その送信先が記録されたレコードのログ種別、その送信先が属する被害者、並びに、その送信先に関する通信量及び通信頻度に基づいて、送信先画像を生成する。
攻撃状況可視化装置500(特には、表示情報生成部502)は、対応関係が特定された送信元及び送信先について、攻撃状況を表す攻撃状況画像を含む表示情報を生成する(ステップS2006)。具体的には、表示情報生成部502は、対応関係が特定された送信元と、送信先との間で実行された通信に関する通信量及び通信頻度を取得する。表示情報生成部502は、ログ解析部501において算出されたデータを取得してもよい。なお、表示情報生成部502は、例えば、攻撃ログテーブル501gに格納されたレコードから、一定期間”d”内に、同一の攻撃者及び被害者の間で実行された通信量の総和として、攻撃総通信量”m3”を求めてもよい。なお、通信量”m3”を一定期間”d”で除算することにより,単位時間あたりの通信量を算出することも可能である。表示情報生成部502は、攻撃ログテーブル501gに格納された、一定期間”d”内に同一の攻撃者及び被害者の間で実行された通信に関するレコードの個数を、”d”で除算することにより,単位時間あたりの通信頻度を算出することも可能である。
表示情報生成部502は、送信先ポート番号,送信元が属する攻撃者,送信先が属する被害者,送信元と送信先との間の通信量(総通信量及び単位時間あたりの通信量)、並びに、単位時間あたりのログ頻度に基づいて、攻撃線を含む攻撃状況画像を生成する。攻撃線を生成する具体的な方法は、上記説明した通りである。
攻撃状況可視化装置500は、例えば、ステップS2005及びS2006において生成された表示情報を表示装置530に提供することで、表示装置530に表示画像を表示させてもよい。
〔表示画像の具体例〕
以下、攻撃状況可視化装置500が生成した表示情報により表示される表示画像の具体例について、図21を参照して説明する。図21は、攻撃状況可視化装置500により生成された表示情報に応じて、表示装置530に表示されたユーザインタフェース2100の具体例を示す説明図である。ユーザインタフェース2100には、表示画像2101が表示されている。なお、図21は、説明のための具体例を示す図であり、本実施形態はこれに限定されるものではない。
表示画像2101には地図(図21の2101k)が表示される。地図2101k上に、サイバー攻撃の送信元を表す送信元画像(図21の2101e、2101f、2101g、2101h)と、送信先画像(図21の2101a、2101b、2101c、2101d)とが表示される。また、あるサイバー攻撃に関する送信元と、送信先との対応関係が特定されている場合、送信元画像と、送信先画像との間に、攻撃状況画像(図21の2101i、2101j)が表示される。更に、地図上に、昼夜の境界線2101lが表示されてもよい。
送信先画像2101a、2101bは、ログから送信先のみが特定された場合の送信先画像であり、送信先画像2101c、2101dは、ログから送信元と送信先との対応関係が特定された場合の送信先画像である。即ち、ログ種別に応じて、異なる送信先画像が表示される。
送信元画像2101g、2101hは、ログから送信元のみが特定された場合の送信元画像であり、送信元画像2101e、2101fは、ログから送信元と送信先との対応関係が特定された場合の送信元画像である。即ち、ログ種別に応じて、異なる送信元画像が表示される。
また、送信先画像2101cは、2101dよりも面積が大きい画像として表示される。これは、送信先画像2101cにより表される送信先の方が、送信先画像2101dにより表される送信先より通信量が多いことを表す。同様に、送信先画像2101bにより表される送信先の方が、送信先画像2101aにより表される送信先より通信量が多いことを表す。送信元画像2101e、2101f、2101g及び2101hについても同様である。
なお、上記したように、各送信元画像の色彩により、その送信元が属する攻撃者を表すことが可能であり、各送信先画像の色彩により、その送信先が属する被害者を表すことが可能である。また、送信元画像がアニメーション画像である場合、そのアニメーション速度により、その送信元における通信頻度を表すことが可能である。同様に、送信先画像がアニメーション画像である場合、そのアニメーション速度により、その送信先における通信頻度を表すことが可能である。
また、攻撃状況画像2101iの攻撃線は、攻撃状況画像2101jの攻撃線よりも面積が大きい画像として表示される。これは、攻撃状況画像2101iにより表される通信量が、攻撃状況画像2101jにより表される通信量よりも多いことを表す。また、攻撃線がアニメーションとして表示される場合、そのアニメーション速度により、送信元と送信先との間の通信頻度を表すことが可能である。
なお、昼夜の境界線2101lを表示することにより、攻撃の送信元及び送信先が配置された地域の昼夜を判別することが可能である。これにより、例えば、ユーザは、あるサイバー攻撃が実行される時間帯の傾向等を視覚的に把握することが可能である。
上記のように構成された本実施形態における攻撃状況可視化装置500によれば、サイバー攻撃等セキュリティに関する攻撃の状況をわかりやすく可視化することができる。その理由は、以下の通りである。
攻撃状況可視化装置500は、第1実施形態における攻撃状況可視化装置100と同様、各種ログ提供元から提供されたログを解析することで、あるサイバー攻撃について、送信元、送信先、及び攻撃状況を表す画像を生成可能である。
攻撃状況可視化装置500は、更に、ある通信に関する送信元のみが特定されているログと、ある通信に関する送信先のみが特定されているログとから、外部の各種情報源を利用することで、送信元と送信先との対応関係を特定することが可能である。
ログ提供元から提供されるログには、必ずしも、あるサイバー攻撃に関する送信元と送信先との両方を特定可能な情報が記録されているとは限らない。このような状況であっても、攻撃状況可視化装置500は、例えば、外部情報照会部504を用いて、情報源520に対する問合せを繰り返し実行することにより、送信元と送信先との対応関係を特定することが可能である。
一般的に、サイバー攻撃の発信源は隠蔽される傾向にあり、送信元が偽装される可能性がある。また、踏み台マシンやボット等を介して攻撃が実行される可能性がある。送信元が偽装されている場合、ある通信データ(パケット)に記録された送信元から、真の攻撃者を特定できるとは限らない。即ち、ある通信データに直接的に含まれる送信元を特定する方法(例えば、上記各特許文献)では、真の攻撃者を特定できるとは限らない。踏み台マシンやボット等の仲介者を介して攻撃が実行された場合も同様である。また、送信元が広く分散している場合、表示される内容が煩雑になり過ぎる可能性がある。
これに対して、攻撃状況可視化装置500は、例えば、情報源520として各種セキュリティベンダ等により提供されるセキュリティに関する情報や、ネットワークサービスに関する情報を取得することが可能である。情報源520から得られた各種情報を解析することにより、攻撃状況可視化装置500は、あるサイバー攻撃に関して、攻撃者をより適切に特定できる可能性がある。
攻撃状況可視化装置500は、また、ある送信元から送信された通信に関する通信量、通信頻度、及びある送信元が属する攻撃者に応じて、その送信元を表す送信元画像の表示形態を調整することが可能である。攻撃状況可視化装置500は、同様に、ある送信先に対して送信された通信に関する通信量、通信頻度、及びある送信先が属する被害者に応じて、その送信先を表す送信先画像の表示形態を調整することが可能である。具体的には、攻撃状況可視化装置500は、例えば、送信元画像及び送信先画像の形状(サイズ含む)、配色、アニメーション速度の少なくともいずれかを適宜変更することが可能である。これにより、ユーザは、送信元及び送信先における攻撃の状況を視認することが可能である。
攻撃状況可視化装置500は、また、送信元と送信先との間の通信量、通信頻度、送信先ポート番号等に応じて、攻撃状況画像の表示形態を調整することができる。具体的には、攻撃状況可視化装置500は、例えば、攻撃状況画像に含まれる攻撃線の形状(サイズ含む)、配色、アニメーション速度の少なくともいずれかを適宜変更することが可能である。これにより、ユーザは、送信元と送信先との間の攻撃の状況を視認することが可能である。
上記のように構成された攻撃状況可視化装置500を用いることで、ユーザは、例えば、あるサイバー攻撃に関する攻撃者及び被害者を容易に認識することができる。また、ユーザは、そのサイバー攻撃に関する通信の頻度及び通信量等から、攻撃の深刻度を認識することができる。
<第2実施形態の変形例>
以下、上記第2実施形態の変形例について説明する。本変形例における攻撃状況可視化装置500の機能的な構成は、上記第2実施形態と同様としてよい。本変形例においては、表示情報生成部502(特には、攻撃線生成部502c)の機能が拡張されている。
本変形例における攻撃線生成部502cは、ある送信元と送信先との間の信頼度に応じて、攻撃線の表示形態を変更する。具体的には、攻撃線生成部502cは、外部情報照会部504を用いて特定された送信元と送信先との間の対応関係が、一方向の対応関係である場合と、双方向対応関係である場合と、に応じて、それぞれ異なる表示形態の攻撃線を生成する。一例として、攻撃線生成部502cは、それぞれの場合に応じて、攻撃線の模様を変更してもよい。攻撃線生成部502cは、上記に限定されず、送信元と送信先との間の通信量、通信頻度、及び送信先ポート番号を表す表現方法(例えば、形状、アニメーション速度、色彩)とは異なる適切な表現方法を用いて、攻撃線の表示形態を適宜変更してよい。
これにより、攻撃状況可視化装置500のユーザは、例えば、あるサイバー攻撃に関して特定された送信元と送信先との間の対応関係の信頼度を視認することが可能である。
<第3実施形態>
以下、本開示に係る技術の第3実施形態について説明する。本実施形態は、上記第2実施形態に基づいて、その機能の一部を拡張した実施形態である。以下、第2実施形態と同様の構成については、同じ参照符号を付することで、詳細な説明を省略する。
図22は本実施形態における攻撃状況可視化装置2200の機能的な構成を例示するブロック図である。攻撃状況可視化装置2200は、第2実施形態における攻撃状況可視化装置500から、外部情報照会部2201の機能が拡張されている。攻撃状況可視化装置2200におけるその他の構成は、第2実施形態における攻撃状況可視化装置500と同様としてよい。以下、外部情報照会部2201について説明する。
図23は、外部情報照会部2201の機能的な構成を例示するブロック図である。図23に例示するように、外部情報照会部2201は、クエリ処理部2201a、分析モデル記憶部2201b、及び、情報収集部2201cを含む。
クエリ処理部2201aは、送信元指定IPアドレス及び送信先指定IPアドレスを検索キーとして受けつけ、その検索キーを用いたクエリを実行するクローラ(後述)を、分析モデル(後述)を用いて選択するよう構成される。クエリ処理部2201aは、また、選択したクローラにより実行されたクエリに対するレスポンスを解析することで、送信元指定IPアドレスと送信先指定IPアドレスとの間の対応関係を特定するよう構成される。クエリ処理部2201aの具体的な処理については後述する。
分析モデル記憶部2201bは、分析モデルを記憶する。分析モデルは、検索キーを入力として受けつけ、その検索キーを用いて情報源520に対する問合せを実行可能な各クローラのスコアを算出するよう構成されたモデルである。分析モデルの具体例については、後述する。
情報収集部2201cは、1以上のクローラを有する。クローラは、例えば、ある情報源520に対して検索キーを用いた問合せ処理を実行し、その結果をクエリ処理部2201aに提供するよう構成される。1つの情報源520に対して、1以上のクローラが割り当てられてもよく、1つのクローラが、複数の情報源520に割り当てられてもよい。
クローラは、情報源520ごとに適切な方法を用いて問合せ処理を実行するよう構成される。一例として、クローラは、情報源520に対して、検索用のクエリを送信し、そのクエリに対するレスポンスを受信するよう構成されてもよい。他の一例として、クローラは、情報源520が提供するコンテンツを取得し、取得したコンテンツの中から中間情報を検索するよう構成されてもよい。
〔分析モデル〕
以下、分析モデルについて説明する。図24は、分析モデルの概要を示す説明図である。図24に示す分析モデルは、説明のための具体例であり、本実施形態における分析モデルは、これに限定されるものではない。
図24に例示するように、本実施形態における分析モデルは、全体としてニューラルネットワークを用いて構成される。具体的には、分析モデルは、第1モデルと、第2モデルと組み合わせたニューラルネットワークとして構成される。
第1モデルとしては、例えば、検索キーを表すデータの静的な特徴(例えばパターン)を学習可能なモデルが用いられる。例えば、第1モデルは、検索キーに含まれる、ある種のデータ(例えば、IPアドレス、ホスト名等)を畳み込むことで、類似するデータ(例えば、一部が異なるIPアドレス)を、同様の意味を有するデータとして扱えるよう変換することができる。本実施形態においては、第1モデルとして、隣接する中間層に含まれるユニット(ニューラルネットワークを構成するノード)のうち、特定のユニットの間が結合されるよう構成された畳み込みニューラルネットワーク(CNN:Convolutional Neural Network)を用いる。
第2モデルとしては、情報源520に対するクエリを繰り返し実行することで、中間情報を取得する過程を学習可能なモデルが用いられる。本実施形態においては、クエリを繰り返し実行する過程を学習可能な第2モデルとして、再帰型ニューラルネットワーク(RNN:Recurrent Neural Network)が用いられる。
以下、第1モデル(CNN)について説明する。CNNは、一般的には、1以上の畳み込み層を含むニューラルネットワークである。CNNは、畳み込み層に加え、プーリング層を含んでもよい。畳み込み層は、一般的に、入力されたデータに何からの処理(フィルタ)を実行して、入力されたデータを変換したデータ(マップデータ)を生成するよう構成される。例えば、畳み込み層において、あるデータのパターンを抽出可能なフィルタが形成された場合、具体的な入力データから、特定のパターンの特徴を表すデータ(特徴データ)がマップデータとして得られる。畳み込み層においては、入力データの全領域についてフィルタが適用されることから、入力データに含まれるデータの位置や、個数等を事前に考慮することなく、入力データから特徴データを抽出することができる。プーリング層は、一般的に、畳み込み層から出力されたマップデータに含まれる領域(プーリング領域)から、代表値を抽出するよう構成される。プーリング層を設けることにより、畳み込み層から出力されたマップデータに含まれる特徴的な値を保存しながら、データの次元を削減することができる。
以下、第2モデル(RNN)について説明する。RNNは、一般的に、帰還ループを有する中間層を少なくとも1層以上備えるニューラルネットワークである。RNNにおいて、帰還ループを有する中間層は、ある状態より前の状態における中間層からの出力を、ある状態における中間層への入力として提供することができる。これにより、RNNは、ある入力データに関する出力データを計算する際、過去に受けとった入力データの影響を反映することが可能である。本実施形態においては、第2モデルとして、例えば、長期短期記憶(LSTM:Long Short Term Memory)を採用したRNNが用いられてもよい。
上記のような第1、第2モデルを用いて構成される分析モデルの入力層には、検索キーを表すデータが入力される。検索キーは、上記したように、送信元指定IPアドレスであってもよく、送信先指定IPアドレスであってもよい。検索キーは、また、ある情報源520へのクエリに対するレスポンスを解析することで得られた中間情報であってもよい。入力層のユニット数は、検索キーのサイズや性質に応じて適宜選択してよい。例えば、検索キーがテキストデータにより表される場合、入力層には、そのテキストデータから抽出する文字数(一具体例として、1024文字等)と同じ数のユニットが含まれてもよい。
分析モデルの出力層からは、各クローラについてのスコアが出力される。出力層のユニット数は、クローラの数に応じて適切に選択されてよい。例えば、クローラの数が”m”個(”m”は自然数)である場合、出力層のユニット数は”m”個であってもよい。なお、”m”個のクローラから、0個以上”m”個以下のクローラを選択する組合せは”2”個存在することから、出力層の各ユニット数は”2”個であってもよい。
入力された検索キーから分析モデルが算出する各クローラのスコアは、各クローラを用いて、入力された検索キーに関するクエリを実行することの有用性(適切性)を表す情報である。即ち、ある検索キーに関して算出されたスコアが高い程、そのクローラを用いたクエリにより、有用な中間情報(又は、所望のIPアドレス)が得られる可能性が高いことを表す。有用な中間情報とは、例えば、送信元と送信先との間の対応関係の特定に用いられる情報である。一例として、そのような中間情報は、送信元指定IPアドレスに対応する送信先のIPアドレスであってもよく、送信先指定IPアドレスに対応する送信元のIPアドレスであってもよい。また、そのような中間情報は、送信元指定IPアドレスに対応する送信先のIPアドレスの取得、及び、送信先指定IPアドレスに対応する送信元のIPアドレスの取得に直接的又は間接的に役立つその他の情報(例えば、ホスト名、URL、マルウェア名等)であってもよい。
上記のような分析モデルは、例えば、概略以下のような学習処理を実行することで作成可能である。以下、説明の便宜上、攻撃状況可視化装置2200とは異なる装置(「学習装置」と記載する)を用いて、分析モデルを作成することを想定する。なお、説明の便宜上、学習装置には、情報収集部2201cに含まれる各クローラと同様のクローラが備えられていることを想定する。
学習装置には、分析モデルを学習するための訓練データとして、例えば、対応関係が予め特定されている、送信元指定IPアドレスと、送信先指定IPアドレスと、を含むデータが含まれてよい。係る訓練データは、例えば、各ログテーブルに格納されたレコードを、分析者が人手で確認することにより作成されてもよい。この場合、訓練データには、分析者の知見が反映されているとも考えられる。
学習装置は、例えば、強化学習の一つの手法である、Q学習(Q−Learning)の枠組みを用いて、分析モデルを学習することができる。以下、概要を説明する。
学習装置は、例えば、学習過程の分析モデルに対する入力(検索キー)として、訓練データに含まれる送信元指定IPアドレスを入力し、各クローラに関するスコアを算出する。学習装置は、例えば、所定の確率で、スコアが最も高いクローラを選択するか、又は、ランダムにクローラを選択する。学習装置は、選択したクローラを用いて、情報源520に対するクエリを実行する。検索キーは、強化学習における状態に相当し、クローラの選択及びクエリの実行が強化学習における行動に相当する。学習装置は、クエリに対するレスポンスを解析し、中間情報を抽出する。学習装置は、中間情報の有用性に応じた報酬を算出する。中間情報と報酬との関係は、適宜設計されてよい。学習装置は、中間情報を新たな検索キーとして分析モデルに入力した場合の、各クローラのスコアの最大値を算出する。学習装置は、算出した最大値と、前回選択したクローラのスコアとの差分が小さくなるように、分析モデルを学習する。これにより、例えば、ある検索キーを用いたクエリを実行することにより有用性が高い中間情報を取得可能なクローラに対して、比較的高いスコアが算出されるように、分析モデルが学習される。なお、ニューラルネットワークを用いたQ学習の学習アルゴリズムとしては、下記参考文献1に記載された方法を採用してもよい。
[参考文献1]
Volodymyr Mnih, Koray Kavukcuoglu, David Silve, Alex Graves, Ioannis Antonoglou, Daan Wierstra, Martin A. Riedmiller, ”Playing Atari with Deep Reinforcement Learning”, Neural Information Processing Systems (NIPS) Deep Learning Workshop, 2013 (オンライン版:[online],[2017年1月9日検索]、インターネット<URL:http://arxiv.org/abs/1312.5602).
攻撃状況可視化装置2200には、例えば、学習装置により予め学習処理が実行された、学習済みの分析モデルが提供され、係る分析モデルが分析モデル記憶部2201bに記憶されていてもよい。
〔動作〕
外部情報照会部2201(特には、クエリ処理部2201a)の動作について説明する。
クエリ処理部2201aは、ログ解析部から、1以上の送信元指定IPアドレス及び送信先指定IPアドレスを受け付ける。
クエリ処理部2201aは、分析モデルに対して、送信元指定IPアドレスを入力し、各クローラに関するスコアを算出する。
クエリ処理部2201aは、算出されたスコアが最も高いクローラを選択し、問合せ(クエリ)の実行を要求する。選択されたクローラは、そのクローラに関連付けされた情報源520に対して、送信元指定IPアドレスを検索キーとしたクエリを実行し、そのレスポンスをクエリ処理部2201aに提供する。
クエリ処理部2201aは、レスポンスを解析することで得られた各種データを、中間情報として記憶する。レスポンスを解析する処理は、上記第1実施形態における外部情報照会部504と同様としてよい。
クエリ処理部2201aは、上記第1実施形態における外部情報照会部504と同様、中間情報として記憶された情報に、対応関係推測部501bから提供された送信先指定IPアドレスが含まれるか否かを確認する。
クエリ処理部2201aは、送信先指定IPアドレスと一致するIPアドレスが中間情報に含まれていない場合、中間情報を検索用情報(検索キー)として分析モデルに入力し、各クローラに関するスコアを算出する。クエリ処理部2201aは、算出されたスコアが最も高いクローラを選択し、再度問合せ(クエリ)の実行を要求する。選択されたクローラは、そのクローラに関連付けされた情報源520に対して、中間情報を検索キーとしたクエリを実行し、そのレスポンスをクエリ処理部2201aに提供する。
クエリ処理部2201aは、送信先指定IPアドレスと一致するIPアドレスが得られるまで、上記処理を繰り返し実行してもよい。なお、クエリ処理部2201aは、提供された送信先指定IPアドレスと一致するIPアドレスが得られない場合、ある特定の回数で上記処理を打ち切ってもよい。この場合、クエリ処理部2201aは、送信元指定IPアドレスと、送信先指定IPアドレスとの間の対応関係が特定されなかったことを、ログ解析部501に通知してもよい。
クエリ処理部2201aは、上記処理により、送信先指定IPアドレスと一致するIPアドレスが中間情報として得られた場合、その送信先指定IPアドレスと、クエリとして用いられた送信元指定IPアドレスとを紐づけた情報を、ログ解析部501に提供してもよい。クエリ処理部2201aは、例えば、対応関係推測部501bから提供された、全ての送信元指定IPアドレスについて上記処理を実行し、その結果を対応関係推測部501bに提供してもよい。
クエリ処理部2201aは、また、送信先指定IPアドレスを検索用情報(検索キー)として、上記と同様の処理を実行してよい。
上記のような処理により、クエリ処理部2201aは、ログ解析部501から提供された送信元指定IPアドレスと、送信先指定IPアドレスとの間の対応関係を特定することが可能である。
上記のように構成された攻撃状況可視化装置2200は、送信元のみを特定可能な1以上のレコードと、送信先のみを特定可能な1以上のレコードとから、送信元と送信先との対応関係を、より適切に特定することが可能である。その理由は、攻撃状況可視化装置2200(特には、外部情報照会部2201)が、分析モデルを用いることで、情報源520に対するクエリを実行するクローラを適切に選択することができるからである。分析モデルは、入力として受けつけた検索キーから、目的とするIPアドレスを含むレスポンスが得られる可能性が高いクエリを実行可能なクローラに対して、より高いスコアを算出するよう構成される。このため、攻撃状況可視化装置2200は、例えば、分析モデルが出力するスコアに応じて、より適切なクローラを選択することができる。
<ハードウェア及びソフトウェア・プログラム(コンピュータ・プログラム)の構成>
以下、上記説明した各実施形態及び変形例を実現可能なハードウェア構成について説明する。以下の説明においては、上記各実施形態において説明した各攻撃状況可視化装置(100、500、2200)を、まとめて「攻撃状況可視化装置」と記載する。
上記各実施形態において説明した各攻撃状況可視化装置は、1つ又は複数の専用のハードウェア装置により構成されてもよい。その場合、上記各図(例えば、図1、5−7、22、23)に示した各構成要素は、一部又は全部を統合したハードウェア(処理ロジックを実装した集積回路等)として実現してもよい。例えば、攻撃状況可視化装置をハードウェア装置により実現する場合、攻撃状況可視化装置の構成要素は、それぞれの機能を提供可能な集積回路(例えば、SoC(System on a Chip)等)として実装されてもよい。この場合、例えば、攻撃状況可視化装置の構成要素が有するデータは、SoCに統合されたRAM(Random Access Memory)領域やフラッシュメモリ領域に記憶されてもよい。
この場合、攻撃状況可視化装置は、例えば、ログ解析部(101、501)、表示情報生成部(102、502)、ログ収集部503、及び、外部情報照会部(504、2201)の機能を実現可能な1以上の処理回路(processing circuitry)、通信回路、及び記憶回路等を用いて実現されてよい。なお、攻撃状況可視化装置を実現する回路構成の実装においては、様々なバリエーションが想定される。攻撃状況可視化装置を複数のハードウェア装置により構成する場合、それぞれのハードウェア装置の間は、適切な通信方法(有線、無線、またはそれらの組み合わせ)により通信可能に接続されていてもよい。
また、上述した攻撃状況可視化装置は、図25に例示するような汎用のハードウェア装置2500と、ハードウェア装置2500によって実行される各種ソフトウェア・プログラム(コンピュータ・プログラム)とによって構成されてもよい。この場合、攻撃状況可視化装置は、1以上の適切な数のハードウェア装置2500及びソフトウェア・プログラムにより構成されてもよい。
図25におけるプロセッサ2501は、例えば、汎用のCPU(中央処理装置:Central Processing Unit)やマイクロプロセッサである。プロセッサ2501は、例えば、後述する不揮発性記憶装置2503に記憶された各種ソフトウェア・プログラムをメモリ2502に読み出し、そのソフトウェア・プログラムに従って処理を実行してもよい。この場合、上記各実施形態における攻撃状況可視化装置の構成要素は、例えば、プロセッサ2501により実行されるソフトウェア・プログラムとして実現可能である。
この場合、上記各実施形態における攻撃状況可視化装置は、例えば、ログ解析部(101、501)、表示情報生成部(102、502)、ログ収集部503、及び、外部情報照会部(504、2201)の機能を実現可能な1以上のプログラムにより実現されてよい。なお、係るプログラムの実装においては、様々なバリエーションが想定される。
メモリ2502は、プロセッサ2501から参照可能な、RAM等のメモリデバイスであり、ソフトウェア・プログラムや各種データ等を記憶する。なお、メモリ2502は、揮発性のメモリデバイスであってもよい。
不揮発性記憶装置2503は、例えば磁気ディスクドライブや、半導体記憶装置(フラッシュメモリ等)のような、不揮発性の記憶装置である。不揮発性記憶装置2503は、各種ソフトウェア・プログラムやデータ等を記憶可能である。上記攻撃状況可視化装置において、ログ解析部501及び表示情報生成部502に保持される各種テーブルは、例えば、不揮発性記憶装置2503に記憶されてもよい。
リーダライタ2504は、例えば、後述する記録媒体2505に対するデータの読み込みや書き込みを処理する装置である。攻撃状況可視化装置は、例えば、リーダライタ2504を介して、記録媒体2505に記録されたログを読み込んでもよい。
記録媒体2505は、例えば光ディスク、光磁気ディスク、半導体フラッシュメモリ等、データを記録可能な記録媒体である。本開示において、記録媒体の種類及び記録方法(フォーマット)は、特に限定されず、適宜選択されてよい。
ネットワークインタフェース2506は、通信ネットワークに接続するインタフェース装置であり、例えば有線及び無線のLAN(Local Area Network)接続用インタフェース装置等を採用してもよい。攻撃状況可視化装置は、ネットワークインタフェース2506を介して、情報源520及びログ提供元510と通信可能に接続されてよい。
入出力インタフェース2507は、外部装置との間の入出力を制御する装置である。外部装置は、例えば、ユーザからの入力を受け付け可能な入力機器(例えば、キーボード、マウス、タッチパネル等)であってもよい。また、外部装置は、例えばユーザに対して各種出力を提示可能出力機器であってもよい(例えば、モニタ画面、タッチパネル等)。攻撃状況可視化装置は、例えば、入出力インタフェースを介して、表示装置530に表示されるユーザインタフェースを制御してもよい。
本開示に係る技術は、例えば、ハードウェア装置2500に対して供給されたソフトウェア・プログラムを、プロセッサ2501が実行することによって、実現されてもよい。この場合、ハードウェア装置2500で稼働しているオペレーティングシステムや、データベース管理ソフト、ネットワークソフト等のミドルウェアなどが、各処理の一部を実行してもよい。
上述した各実施形態において、上記各図に示した各部は、上述したハードウェアにより実行されるソフトウェア・プログラムの機能(処理)の単位である、ソフトウェアモジュールとして実現されてもよい。例えば、上記各部をソフトウェアモジュールとして実現する場合、これらのソフトウェアモジュールは、不揮発性記憶装置2503に記憶されてもよい。そして、プロセッサ2501が、それぞれの処理を実行する際に、これらのソフトウェアモジュールをメモリ2502に読み出してもよい。また、これらのソフトウェアモジュールは、共有メモリやプロセス間通信等の適宜の方法により、相互に各種データを伝達できるように構成されてもよい。
更に、上記各ソフトウェア・プログラムは、記録媒体2505に記録されてもよい。この場合、上記各ソフトウェア・プログラムは、適当な治具(ツール)を利用してハードウェア装置2500内にインストールされてもよい。また、各種ソフトウェア・プログラムは、インターネット等の通信回線を介して外部からダウンロードされてもよい。ソフトウェア・プログラムを供給する方法として、各種の一般的な手順を採用することができる。
このような場合において、本開示に係る技術は、ソフトウェア・プログラムを構成するコード、あるいはコードが記録されたところの、コンピュータ読み取り可能な記録媒体によって構成されてもよい。この場合、記録媒体は、ハードウェア装置2500と独立した非一時的な記録媒体であってもよく、LANやインターネットなどにより伝送されたソフトウェア・プログラムをダウンロードして記憶又は一時記憶した記録媒体であってもよい。
また、上述した攻撃状況可視化装置、あるいは、当該攻撃状況可視化装置の構成要素は、図25に例示するハードウェア装置2500を仮想化した仮想環境と、その仮想環境において実行されるソフトウェア・プログラム(コンピュータ・プログラム)とによって構成されてもよい。この場合、図25に例示するハードウェア装置2500の構成要素は、仮想環境における仮想デバイスとして提供される。
以上、上述した実施形態を模範的な例として本発明を説明した。しかしながら、本発明は、上述した実施形態には限定されない。即ち、本発明は、本発明のスコープ内において、当業者が理解し得る様々な態様を適用することができる。
なお、上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限定されない。
(付記1)
サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定するログ解析手段と、
地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成する表示情報生成手段と、を備え、
前記表示情報生成手段は、ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先との間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成する、攻撃状況可視化装置。
(付記2)
前記表示情報生成手段は、
前記ログから前記サイバー攻撃に関する通信の前記送信元が特定され、前記サイバー攻撃に関する通信の前記送信先が特定されていない場合、その前記送信元を表す前記送信元画像である第1送信元画像を表示可能な前記表示情報を生成し、
前記ログから、前記サイバー攻撃に関する通信の前記送信元と前記送信先との両方が特定された場合、その前記送信元を表す前記送信元画像である、前記第1送信元画像とは異なる第2送信元画像を表示可能な前記表示情報を生成する
付記1に記載の攻撃状況可視化装置。
(付記3)
前記表示情報生成手段は、
前記ログから前記サイバー攻撃に関する通信の前記送信先が特定され、前記サイバー攻撃に関する通信の前記送信元が特定されていない場合、その前記送信先を表す前記送信先画像である第1送信先画像を表示可能な前記表示情報を生成し、
前記ログから、前記サイバー攻撃に関する通信の前記送信元と前記送信先との両方が特定された場合、その前記送信先を表す前記送信先画像である、前記第1送信先画像とは異なる第2送信先画像を表示可能な前記表示情報を生成する
付記1又は付記2に記載の攻撃状況可視化装置。
(付記4)
前記ログ解析手段は、前記ログから、前記サイバー攻撃に関する前記送信元と前記送信先との両方が特定された場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信量を算出し、
前記表示情報生成手段は、通信量の変化に応じて、前記攻撃状況画像の形状が変化する前記表示情報を生成する
付記1乃至付記3のいずれかに記載の攻撃状況可視化装置。
(付記5)
前記ログ解析手段は、前記ログから、前記サイバー攻撃に関する前記送信元と前記送信先との両方が特定された場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信頻度を算出し、
前記表示情報生成手段は、通信頻度の変化に応じて、前記攻撃状況画像のアニメーション速度が変化する前記表示情報を生成する
付記1乃至付記4のいずれかに記載の攻撃状況可視化装置。
(付記6)
前記ログ解析手段は、前記ログから、前記送信元から送信された前記サイバー攻撃に関する通信の通信量である送信元通信量と、前記送信先に対して送信された前記サイバー攻撃に関する通信の通信量である送信先通信量と、を算出し、
前記表示情報生成手段は、前記送信元通信量の変化に応じて前記送信元画像の形状が変化し、前記送信先通信量の変化に応じて前記送信先画像の形状が変化する前記表示情報を生成する
付記4又は付記5に記載の攻撃状況可視化装置。
(付記7)
前記表示情報生成手段は、前記送信元が属する攻撃者を表す情報に応じて、前記送信元画像の色彩が変化し、前記送信先が属する被害者を表す情報に応じて、前記送信先画像の色彩が変化する前記表示情報を生成する
付記4乃至付記6のいずれかに記載の攻撃状況可視化装置。
(付記8)
前記ログ解析手段は、前記ログから、前記送信元から送信された前記サイバー攻撃に関する通信の通信頻度である送信元通信頻度と、前記送信先に対して送信された前記サイバー攻撃に関する通信の通信頻度である送信先通信頻度と、を算出し、
前記表示情報生成手段は、前記送信元通信頻度の変化に応じて前記送信元画像のアニメーション速度が変化し、前記送信先通信頻度の変化に応じて前記送信先画像のアニメーション速度が変化する前記表示情報を生成する
付記4乃至付記7のいずれかに記載の攻撃状況可視化装置。
(付記9)
前記ログのうち、前記サイバー攻撃に関する通信の前記送信元のみを特定可能なログに記録された前記送信元を表す送信元特定情報を含むリクエストを、通信ネットワークを介して受け付けたリクエストに応じて情報を提供する1以上の情報源に送信し、前記情報源から受信したレスポンスに、前記ログのうち、前記サイバー攻撃に関する通信の前記送信先のみを特定可能なログに記録された前記送信先を表す送信先特定情報が含まれない場合、前記レスポンスに含まれる特定の情報を含む前記リクエストを前記情報源に送信する処理を繰り返すことで、前記送信先特定情報が含まれる前記レスポンスを受信し、前記送信元特定情報と、前記レスポンスに含まれる前記送信先特定情報とを関連付ける、外部情報照会手段を更に備え、
前記表示情報生成手段は、前記外部情報照会手段により関連付けされた前記送信元特定情報と、前記送信先特定情報との間の前記サイバー攻撃に関する前記攻撃状況画像を含む前記表示情報を生成する
付記1乃至付記8のいずれかに記載の攻撃状況可視化装置。
(付記10)
前記ログのうち、前記サイバー攻撃に関する通信の前記送信先のみを特定可能なログに記録された前記送信先を表す送信先特定情報を含むリクエストを、通信ネットワークを介して受け付けたリクエストに応じて情報を提供する1以上の情報源に送信し、前記情報源から受信したレスポンスに、前記ログのうち、前記サイバー攻撃に関する通信の前記送信元のみを特定可能なログに記録された前記送信元を表す送信元特定情報が含まれない場合は、前記レスポンスに含まれる特定の情報を含む前記リクエストを前記情報源に送信する処理を繰り返すことで、前記送信元特定情報が含まれる前記レスポンスを受信し、前記送信先特定情報と、前記レスポンスに含まれる前記送信元特定情報とを関連付ける、外部情報照会手段を更に備え、
前記表示情報生成手段は、前記外部情報照会手段により関連付けされた前記送信元特定情報と、前記送信先特定情報との間の前記サイバー攻撃に関する前記攻撃状況画像を含む前記表示情報を生成する
付記1乃至付記8のいずれかに記載の攻撃状況可視化装置。
(付記11)
前記外部情報照会手段は、
前記情報源に対して前記リクエストを送信し、その前記リクエストに対する前記レスポンスを受信することで、前記情報源に関する検索を実行する1以上のクローラと、
前記リクエストに含まれる情報を入力として受けつけ、その前記リクエストを送信可能なそれぞれの前記クローラについてスコアを算出する分析モデルと、を有し、
前記リクエストの送信に際して、その前記リクエストに含まれる情報を前記分析モデルに入力することで算出された前記スコアが最も高い前記クローラを選択し、選択した前記クローラを用いて前記情報源に対して前記リクエストを送信する、
付記9又は付記10に記載の攻撃状況可視化装置。
(付記12)
前記分析モデルは、
対応関係が予め特定されている前記送信元特定情報と、前記送信先特定情報とを1以上含む訓練データを用いて、
1以上の前記クローラの内、ある前記訓練データに含まれる前記送信元特定情報と前記送信先特定情報の一方を含む前記リクエストを前記情報源に送信することで、その前記訓練データに含まれる前記送信元特定情報と前記送信先特定情報との他方が含まれる前記レスポンスを取得することができる前記前記クローラに関する前記スコアが大きくなるように学習されたモデルである、
付記11に記載の攻撃状況可視化装置。
(付記13)
前記ログのうち、前記サイバー攻撃に関する通信の前記送信元のみを特定可能なログに記録された前記送信元を表す送信元特定情報と、前記ログのうち、前記サイバー攻撃に関する通信の前記送信先のみを特定可能なログに記録された前記送信先を表す送信先特定情報との少なくとも一方を、通信ネットワークを介して受け付けたリクエストに応じて情報を提供する1以上の情報源に送信することで得られるレスポンスに応じて、前記送信元と、前記送信先とを関連付け外部情報照会手段を更に備え、
前記表示情報生成手段は、前記外部情報照会手段により関連付けされた前記送信元特定情報と、前記送信先特定情報との間の前記サイバー攻撃に関する前記攻撃状況画像を含む前記表示情報を生成する
付記1乃付記8のいずれかに記載の攻撃状況可視化装置。
(付記14)
サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定し、
地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成し、
ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先と間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成する
攻撃状況可視化方法。
(付記15)
サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定する処理と、
地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成する処理と、
ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先と間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成する処理と、をコンピュータに実行させる
攻撃状況可視化プログラムが記録された記録媒体。
100 攻撃状況可視化装置
101 ログ解析部
102 表示情報生成部
500 攻撃状況可視化装置
501 ログ解析部
502 表示情報生成部
503 ログ収集部
504 外部情報照会部
2200 攻撃状況可視化装置
2201 外部情報照会部
2501 プロセッサ
2502 メモリ
2503 不揮発性記憶装置
2504 リーダライタ
2505 記録媒体
2506 ネットワークインタフェース
2507 入出力インタフェース

Claims (18)

  1. サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定するログ解析手段と、
    地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成する表示情報生成手段と、
    を備え、
    前記表示情報生成手段は、
    ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先との間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成し、
    前記ログから前記サイバー攻撃に関する通信の前記送信元が特定され、前記サイバー攻撃に関する通信の前記送信先が特定されていない場合、その前記送信元を表す前記送信元画像である第1送信元画像を表示可能な前記表示情報を生成し、
    前記ログから、前記サイバー攻撃に関する通信の前記送信元と前記送信先との両方が特定された場合、その前記送信元を表す前記送信元画像である、前記第1送信元画像とは異なる第2送信元画像を表示可能な前記表示情報を生成する、
    攻撃状況可視化装置。
  2. サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定するログ解析手段と、
    地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成する表示情報生成手段と、
    を備え、
    前記表示情報生成手段は、
    ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先との間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成し、
    前記ログから前記サイバー攻撃に関する通信の前記送信先が特定され、前記サイバー攻撃に関する通信の前記送信元が特定されていない場合、その前記送信先を表す前記送信先画像である第1送信先画像を表示可能な前記表示情報を生成し、
    前記ログから、前記サイバー攻撃に関する通信の前記送信元と前記送信先との両方が特定された場合、その前記送信先を表す前記送信先画像である、前記第1送信先画像とは異なる第2送信先画像を表示可能な前記表示情報を生成する、
    攻撃状況可視化装置。
  3. サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定するログ解析手段と、
    地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成する表示情報生成手段と、
    を備え、
    前記表示情報生成手段は、ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先との間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成し、
    前記ログ解析手段は、前記ログから、前記サイバー攻撃に関する前記送信元と前記送信先との両方が特定された場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信頻度を算出し、
    前記表示情報生成手段は、算出された前記通信頻度の変化に応じて、前記攻撃状況画像のアニメーション速度が変化する前記表示情報を生成する、
    攻撃状況可視化装置。
  4. サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定するログ解析手段と、
    地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成する表示情報生成手段と、を備え、
    前記表示情報生成手段は、ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先との間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成し、
    前記ログ解析手段は、前記ログから、前記サイバー攻撃に関する前記送信元と前記送信先との両方が特定された場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信量を算出し、
    前記表示情報生成手段は、通信量の変化に応じて、前記攻撃状況画像の形状が変化する前記表示情報を生成し、
    前記ログ解析手段は、前記ログから、前記送信元から送信された前記サイバー攻撃に関する通信の通信量である送信元通信量と、前記送信先に対して送信された前記サイバー攻撃に関する通信の通信量である送信先通信量と、を算出し、
    前記表示情報生成手段は、前記送信元通信量の変化に応じて前記送信元画像の形状が変化し、前記送信先通信量の変化に応じて前記送信先画像の形状が変化する前記表示情報を生成する
    攻撃状況可視化装置。
  5. サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定するログ解析手段と、
    地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成する表示情報生成手段と、を備え、
    前記表示情報生成手段は、ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先との間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成し、
    前記ログ解析手段は、前記ログから、前記サイバー攻撃に関する前記送信元と前記送信先との両方が特定された場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信量を算出し、
    前記表示情報生成手段は、通信量の変化に応じて、前記攻撃状況画像の形状が変化する前記表示情報を生成し、
    前記表示情報生成手段は、前記送信元が属する攻撃者を表す情報に応じて、前記送信元画像の色彩が変化し、前記送信先が属する被害者を表す情報に応じて、前記送信先画像の色彩が変化する前記表示情報を生成する
    攻撃状況可視化装置。
  6. サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定するログ解析手段と、
    地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成する表示情報生成手段と、を備え、
    前記表示情報生成手段は、ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先との間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成する、
    前記ログ解析手段は、前記ログから、前記サイバー攻撃に関する前記送信元と前記送信先との両方が特定された場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信量を算出し、
    前記表示情報生成手段は、通信量の変化に応じて、前記攻撃状況画像の形状が変化する前記表示情報を生成し、
    前記ログ解析手段は、前記ログから、前記送信元から送信された前記サイバー攻撃に関する通信の通信頻度である送信元通信頻度と、前記送信先に対して送信された前記サイバー攻撃に関する通信の通信頻度である送信先通信頻度と、を算出し、
    前記表示情報生成手段は、前記送信元通信頻度の変化に応じて前記送信元画像のアニメーション速度が変化し、前記送信先通信頻度の変化に応じて前記送信先画像のアニメーション速度が変化する前記表示情報を生成する
    攻撃状況可視化装置。
  7. コンピュータが、
    サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定する処理と、
    地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成する処理と、
    ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先と間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成する処理と、
    前記ログから前記サイバー攻撃に関する通信の前記送信元が特定され、前記サイバー攻撃に関する通信の前記送信先が特定されていない場合、その前記送信元を表す前記送信元画像である第1送信元画像を表示可能な前記表示情報を生成する処理と、
    前記ログから、前記サイバー攻撃に関する通信の前記送信元と前記送信先との両方が特定された場合、その前記送信元を表す前記送信元画像である、前記第1送信元画像とは異なる第2送信元画像を表示可能な前記表示情報を生成する処理と、
    を実行する攻撃状況可視化方法
  8. コンピュータが、
    サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定する処理と、
    地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成する処理と、
    ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先と間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成する処理と、
    前記ログから前記サイバー攻撃に関する通信の前記送信先が特定され、前記サイバー攻撃に関する通信の前記送信元が特定されていない場合、その前記送信先を表す前記送信先画像である第1送信先画像を表示可能な前記表示情報を生成する処理と、
    前記ログから、前記サイバー攻撃に関する通信の前記送信元と前記送信先との両方が特定された場合、その前記送信先を表す前記送信先画像である、前記第1送信先画像とは異なる第2送信先画像を表示可能な前記表示情報を生成する処理と、
    を実行する攻撃状況可視化方法。
  9. コンピュータが、
    サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定する処理と、
    地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成する処理と、
    ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先と間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成する処理と、
    前記ログから、前記サイバー攻撃に関する前記送信元と前記送信先との両方が特定された場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信頻度を算出する処理と、
    算出された前記通信頻度の変化に応じて、前記攻撃状況画像のアニメーション速度が変化する前記表示情報を生成する処理と、
    を実行する攻撃状況可視化方法。
  10. コンピュータが、
    サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定する処理と、
    地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成する処理と、
    ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先と間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成する処理と、
    前記ログから、前記サイバー攻撃に関する前記送信元と前記送信先との両方が特定された場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信量を算出する処理と、
    算出された前記通信量の変化に応じて、前記攻撃状況画像の形状が変化する前記表示情報を生成する処理と、
    前記ログから、前記送信元から送信された前記サイバー攻撃に関する通信の通信量である送信元通信量と、前記送信先に対して送信された前記サイバー攻撃に関する通信の通信量である送信先通信量と、を算出する処理と、
    前記送信元通信量の変化に応じて前記送信元画像の形状が変化し、前記送信先通信量の変化に応じて前記送信先画像の形状が変化する前記表示情報を生成する処理と、
    を実行する攻撃状況可視化方法。
  11. コンピュータが、
    サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定する処理と、
    地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成する処理と、
    ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先と間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成する処理と、
    前記ログから、前記サイバー攻撃に関する前記送信元と前記送信先との両方が特定された場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信量を算出する処理と、
    算出された前記通信量の変化に応じて、前記攻撃状況画像の形状が変化する前記表示情報を生成する処理と、
    前記送信元が属する攻撃者を表す情報に応じて、前記送信元画像の色彩が変化し、前記送信先が属する被害者を表す情報に応じて、前記送信先画像の色彩が変化する前記表示情報を生成する処理と、
    を実行する攻撃状況可視化方法。
  12. コンピュータが、
    サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定する処理と、
    地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成する処理と、
    ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先と間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成する処理と、
    前記ログから、前記サイバー攻撃に関する前記送信元と前記送信先との両方が特定された場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信量を算出する処理と、
    算出された前記通信量の変化に応じて、前記攻撃状況画像の形状が変化する前記表示情報を生成する処理と、
    前記ログから、前記送信元から送信された前記サイバー攻撃に関する通信の通信頻度である送信元通信頻度と、前記送信先に対して送信された前記サイバー攻撃に関する通信の通信頻度である送信先通信頻度と、を算出する処理と、
    前記送信元通信頻度の変化に応じて前記送信元画像のアニメーション速度が変化し、前記送信先通信頻度の変化に応じて前記送信先画像のアニメーション速度が変化する前記表示情報を生成する処理と、
    を実行する攻撃状況可視化方法。
  13. サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定する処理と、
    地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成する処理と、
    ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先と間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成する処理と、
    前記ログから前記サイバー攻撃に関する通信の前記送信元が特定され、前記サイバー攻撃に関する通信の前記送信先が特定されていない場合、その前記送信元を表す前記送信元画像である第1送信元画像を表示可能な前記表示情報を生成する処理と、
    前記ログから、前記サイバー攻撃に関する通信の前記送信元と前記送信先との両方が特定された場合、その前記送信元を表す前記送信元画像である、前記第1送信元画像とは異なる第2送信元画像を表示可能な前記表示情報を生成する処理と、
    をコンピュータに実行させる攻撃状況可視化プログラム。
  14. サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定する処理と、
    地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成する処理と、
    ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先と間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成する処理と、
    前記ログから前記サイバー攻撃に関する通信の前記送信先が特定され、前記サイバー攻撃に関する通信の前記送信元が特定されていない場合、その前記送信先を表す前記送信先画像である第1送信先画像を表示可能な前記表示情報を生成する処理と、
    前記ログから、前記サイバー攻撃に関する通信の前記送信元と前記送信先との両方が特定された場合、その前記送信先を表す前記送信先画像である、前記第1送信先画像とは異なる第2送信先画像を表示可能な前記表示情報を生成する処理と、
    をコンピュータに実行させる攻撃状況可視化プログラム。
  15. サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定する処理と、
    地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成する処理と、
    ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先と間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成する処理と、
    前記ログから、前記サイバー攻撃に関する前記送信元と前記送信先との両方が特定された場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信頻度を算出する処理と、
    算出された前記通信頻度の変化に応じて、前記攻撃状況画像のアニメーション速度が変化する前記表示情報を生成する処理と、
    をコンピュータに実行させる攻撃状況可視化プログラム。
  16. サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定する処理と、
    地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成する処理と、
    ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先と間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成する処理と、
    前記ログから、前記サイバー攻撃に関する前記送信元と前記送信先との両方が特定された場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信量を算出する処理と、
    算出された前記通信量の変化に応じて、前記攻撃状況画像の形状が変化する前記表示情報を生成する処理と、
    前記ログから、前記送信元から送信された前記サイバー攻撃に関する通信の通信量である送信元通信量と、前記送信先に対して送信された前記サイバー攻撃に関する通信の通信量である送信先通信量と、を算出する処理と、
    前記送信元通信量の変化に応じて前記送信元画像の形状が変化し、前記送信先通信量の変化に応じて前記送信先画像の形状が変化する前記表示情報を生成する処理と、
    をコンピュータに実行させる攻撃状況可視化プログラム。
  17. サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定する処理と、
    地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成する処理と、
    ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先と間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成する処理と、
    前記ログから、前記サイバー攻撃に関する前記送信元と前記送信先との両方が特定された場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信量を算出する処理と、
    算出された前記通信量の変化に応じて、前記攻撃状況画像の形状が変化する前記表示情報を生成する処理と、
    前記送信元が属する攻撃者を表す情報に応じて、前記送信元画像の色彩が変化し、前記送信先が属する被害者を表す情報に応じて、前記送信先画像の色彩が変化する前記表示情報を生成する処理と、
    をコンピュータに実行させる攻撃状況可視化プログラム。
  18. サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定する処理と、
    地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成する処理と、
    ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先と間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成する処理と、
    前記ログから、前記サイバー攻撃に関する前記送信元と前記送信先との両方が特定された場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信量を算出する処理と、
    算出された前記通信量の変化に応じて、前記攻撃状況画像の形状が変化する前記表示情報を生成する処理と、
    前記ログから、前記送信元から送信された前記サイバー攻撃に関する通信の通信頻度である送信元通信頻度と、前記送信先に対して送信された前記サイバー攻撃に関する通信の通信頻度である送信先通信頻度と、を算出する処理と、
    前記送信元通信頻度の変化に応じて前記送信元画像のアニメーション速度が変化し、前記送信先通信頻度の変化に応じて前記送信先画像のアニメーション速度が変化する前記表示情報を生成する処理と、
    をコンピュータに実行させる攻撃状況可視化プログラム。
JP2019526056A 2017-06-29 2017-06-29 攻撃状況可視化装置、攻撃状況可視化方法及びプログラム Active JP6879367B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2021075502A JP2021119500A (ja) 2017-06-29 2021-04-28 攻撃状況可視化装置、攻撃状況可視化方法及びプログラム
JP2022193377A JP7494895B2 (ja) 2017-06-29 2022-12-02 攻撃状況可視化装置、攻撃状況可視化方法及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2017/023889 WO2019003373A1 (ja) 2017-06-29 2017-06-29 攻撃状況可視化装置、攻撃状況可視化方法及び記録媒体

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2021075502A Division JP2021119500A (ja) 2017-06-29 2021-04-28 攻撃状況可視化装置、攻撃状況可視化方法及びプログラム

Publications (2)

Publication Number Publication Date
JPWO2019003373A1 JPWO2019003373A1 (ja) 2020-04-16
JP6879367B2 true JP6879367B2 (ja) 2021-06-02

Family

ID=64741260

Family Applications (3)

Application Number Title Priority Date Filing Date
JP2019526056A Active JP6879367B2 (ja) 2017-06-29 2017-06-29 攻撃状況可視化装置、攻撃状況可視化方法及びプログラム
JP2021075502A Pending JP2021119500A (ja) 2017-06-29 2021-04-28 攻撃状況可視化装置、攻撃状況可視化方法及びプログラム
JP2022193377A Active JP7494895B2 (ja) 2017-06-29 2022-12-02 攻撃状況可視化装置、攻撃状況可視化方法及びプログラム

Family Applications After (2)

Application Number Title Priority Date Filing Date
JP2021075502A Pending JP2021119500A (ja) 2017-06-29 2021-04-28 攻撃状況可視化装置、攻撃状況可視化方法及びプログラム
JP2022193377A Active JP7494895B2 (ja) 2017-06-29 2022-12-02 攻撃状況可視化装置、攻撃状況可視化方法及びプログラム

Country Status (3)

Country Link
US (1) US11611575B2 (ja)
JP (3) JP6879367B2 (ja)
WO (1) WO2019003373A1 (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6928265B2 (ja) * 2018-04-04 2021-09-01 日本電信電話株式会社 情報処理装置及び情報処理方法
JP7111249B2 (ja) * 2019-03-28 2022-08-02 日本電気株式会社 分析システム、方法およびプログラム
WO2020195228A1 (ja) * 2019-03-28 2020-10-01 日本電気株式会社 分析システム、方法およびプログラム
CN111817871A (zh) * 2020-03-16 2020-10-23 北京安码科技有限公司 描述网络安全攻防可视化的设计方法、系统、电子设备及存储介质
US11475634B2 (en) 2020-07-02 2022-10-18 Meta Platforms Technologies, Llc Generating an extended-reality lobby window for communication between networking system users
KR102393656B1 (ko) * 2020-10-16 2022-05-04 주식회사 스틸리언 공방전 방식으로 해킹 테스트를 수행하는 방법 및 그 방법을 위한 관리서버
CN112256791A (zh) * 2020-10-27 2021-01-22 北京微步在线科技有限公司 一种网络攻击事件的展示方法及存储介质
US11921970B1 (en) 2021-10-11 2024-03-05 Meta Platforms Technologies, Llc Coordinating virtual interactions with a mini-map
WO2023175953A1 (ja) * 2022-03-18 2023-09-21 日本電気株式会社 情報処理装置、情報処理方法、及びコンピュータ読み取り可能な記録媒体
CN114629815B (zh) * 2022-05-16 2022-08-16 中电云数智科技有限公司 一种云安全数据可视化方法及终端设备
CN116614321B (zh) * 2023-07-20 2023-10-20 北京立思辰安科技术有限公司 一种用于网络攻击的界面展示方法、电子设备及存储介质

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6470386B1 (en) * 1997-09-26 2002-10-22 Worldcom, Inc. Integrated proxy interface for web based telecommunications management tools
US7149798B2 (en) * 2000-09-06 2006-12-12 Xanboo, Inc. Method and system for adaptively setting a data refresh interval
EP1717755B1 (en) * 2005-03-08 2011-02-09 Oculus Info Inc. System and method for large scale information analysis using data visualization techniques
US20060288296A1 (en) * 2005-05-12 2006-12-21 David Rosenbluth Receptor array for managing network traffic data
US7930752B2 (en) * 2005-11-18 2011-04-19 Nexthink S.A. Method for the detection and visualization of anomalous behaviors in a computer network
US8745191B2 (en) * 2009-01-28 2014-06-03 Headwater Partners I Llc System and method for providing user notifications
US10200541B2 (en) * 2009-01-28 2019-02-05 Headwater Research Llc Wireless end-user device with divided user space/kernel space traffic policy system
JP6173748B2 (ja) 2013-04-05 2017-08-02 エヌ・ティ・ティ・コミュニケーションズ株式会社 データ動的表示装置、データ動的表示方法、及びデータ動的表示プログラム
JP5769208B2 (ja) 2013-05-21 2015-08-26 国立研究開発法人情報通信研究機構 ネットワークの構成及び動作の可視化システム
JP2015026182A (ja) 2013-07-25 2015-02-05 エヌ・ティ・ティ・コミュニケーションズ株式会社 セキュリティサービス効果表示システム、セキュリティサービス効果表示方法、及びセキュリティサービス効果表示プログラム
US20150121523A1 (en) * 2013-10-25 2015-04-30 MSA Security, Inc. Systems and methods for facilitating remote security threat detection
JP6559402B2 (ja) 2014-05-12 2019-08-14 富士通株式会社 表示方法、表示装置および表示プログラム
US10142353B2 (en) * 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters

Also Published As

Publication number Publication date
JP7494895B2 (ja) 2024-06-04
US20230199013A1 (en) 2023-06-22
JP2023021223A (ja) 2023-02-10
WO2019003373A1 (ja) 2019-01-03
US20200128033A1 (en) 2020-04-23
US11611575B2 (en) 2023-03-21
JP2021119500A (ja) 2021-08-12
JPWO2019003373A1 (ja) 2020-04-16

Similar Documents

Publication Publication Date Title
JP6879367B2 (ja) 攻撃状況可視化装置、攻撃状況可視化方法及びプログラム
US10291653B2 (en) Visually intuitive interactive network management
US7705829B1 (en) System and method for providing computer input
CN103843004B (zh) 装置定制白名单
US20170099319A1 (en) Identifying phishing websites using dom characteristics
US11720742B2 (en) Detecting webpages that share malicious content
US20170257393A1 (en) Webpage security
US20220300659A1 (en) Data breach prevention and remediation
CN111600850A (zh) 一种检测挖矿虚拟货币的方法、设备及存储介质
JP2006520940A (ja) インターネット検索エンジンにおける無効クリック検出方法および装置
CN111859368A (zh) 弱密码生成方法、密码检测方法、装置及电子设备
CN105938531B (zh) 识别恶意网络基础设施
CN106357835B (zh) 一种用于确定目标ip地址所属地域的方法与设备
US20170244741A1 (en) Malware Identification Using Qualitative Data
CN106250761B (zh) 一种识别web自动化工具的设备、装置及方法
CN105786581A (zh) 用于进行网络数据操作的多级服务器和方法
KR20190099816A (ko) 웹 페이지 위변조 탐지 방법 및 시스템
WO2020066084A1 (ja) 検知装置、検知方法および検知プログラム
KR102032958B1 (ko) 취약점 점검 장치, 방법 및 시스템
CN114745280B (zh) 资产信息管理方法、装置、设备及可读存储介质
US12126641B2 (en) Attack situation visualization device, attack situation visualization method and recording medium
Kumar et al. A brief investigation on web usage mining tools (WUM)
CN114826727A (zh) 流量数据采集方法、装置、计算机设备、存储介质
CN114866434A (zh) 网络资产的安全评估方法及应用
Algwil Click-based Captcha paradigm as a web service

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191209

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191209

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210112

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210310

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210330

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210412

R150 Certificate of patent or registration of utility model

Ref document number: 6879367

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150