JP7006704B2 - 情報処理装置、情報処理システム、情報処理方法、及び、プログラム - Google Patents

情報処理装置、情報処理システム、情報処理方法、及び、プログラム Download PDF

Info

Publication number
JP7006704B2
JP7006704B2 JP2019559611A JP2019559611A JP7006704B2 JP 7006704 B2 JP7006704 B2 JP 7006704B2 JP 2019559611 A JP2019559611 A JP 2019559611A JP 2019559611 A JP2019559611 A JP 2019559611A JP 7006704 B2 JP7006704 B2 JP 7006704B2
Authority
JP
Japan
Prior art keywords
data
policy
source
communication
frequency
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019559611A
Other languages
English (en)
Other versions
JPWO2019117052A1 (ja
Inventor
礼佳 鮫島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2019117052A1 publication Critical patent/JPWO2019117052A1/ja
Application granted granted Critical
Publication of JP7006704B2 publication Critical patent/JP7006704B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2135Metering

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)

Description

本発明は、情報の処理に関し、特に、送信元の検知に関連する情報を処理する情報処理装置などに関する。
インターネットなどのネットワークの普及に伴い、ネットワークを経由した不正なアクセスが、増加している。
企業などにおいて、ネットワーク及びネットワークに接続したシステムのセキュリティを実現するための組織が設置されている。これらの装置の一例として、IDS(Instruction Detection System)及びSOC(Security Operation Center)などがある。
さらに、IDSなどで用いられるネットワークにおけるセキュリティなどを実現するための技術が提案されている(例えば、特許文献1ないし4を参照)。
特許文献1に記載の技術は、予め保持する「トラフィックルール」を用いて異常を検出する。
特許文献2に記載の技術は、予め保持する「シグネシャ」を用いて異常を検出する。
特許文献3に記載の技術は、予め保持する「異常パケット情報」を用いて、設定された秒/分間隔で収集したパケットのヘッダーを判定する。
特許文献4に記載の技術は、モニタ対象のパケットを用いた統計処理を実行する。
特開2008-085819号公報 特開2009-171431号公報 特開2009-231876号公報 特開2005-051809号公報
システム及びネットワークを安全に運用するためには、不正な侵害は、1回たりとも発生させないことが望ましい。
しかし、特許文献1ないし3に記載した技術は、過去に発生した侵入などの異常に関する情報(例えば、トラフィックルール、シグネシャ、又は、異常パケット情報)を用いて、異常を検出する。つまり、特許文献1ないし3に記載の技術は、少なくとも一度は不正に侵入されるなど異常状態が必要である。
なお、特許文献4に記載の技術は、異常の検出を開示していない。
このように、特許文献1ないし4に記載の技術は、不正な侵入の前には、不審者などからの通信を特定できないという問題点があった。
本発明の目的は、上記問題点を解決し、不正な侵入を必要とせずに、不審な通信を検知するための情報を提供する情報処理装置などを提供することにある。
本発明の一形態における情報処理装置は、送信元に関連する第1の頻度の集計に用いる第1の処理データを通信データから抽出するための方針である第1のデータ抽出方針に基づいて通信データから第1の処理データを抽出するデータ抽出手段と、第1の処理データにおける送信元に関する第1の頻度を集計するための方針である第1の集計方針に基づいて第1の処理データにおける送信元に関連する第1の頻度を集計する集計手段と、送信元を抽出するための方針である第1の送信元抽出方針と第1の頻度とに基づいて送信元を抽出する送信元抽出手段とを含む。
本発明の一形態における情報処理システムは、上記の情報処理装置と、第1のデータ抽出方針、第1の集計方針、及び第1の送信元抽出方針の少なくとの一つを情報処理装置に指示する指示装置と、情報処理装置が抽出した送信元を受信して表示する表示装置と、情報処理装置から受信した送信元に関する通信を阻止するファイアウォールとを含む。
本発明の一形態における情報処理方法は、送信元に関連する第1の頻度の集計に用いる第1の処理データを通信データから抽出するための方針である第1のデータ抽出方針に基づいて通信データから第1の処理データを抽出し、第1の処理データにおける送信元に関する第1の頻度を集計するための方針である第1の集計方針に基づいて第1の処理データにおける送信元に関連する第1の頻度を集計し、送信元を抽出するための方針である第1の送信元抽出方針と第1の頻度とに基づいて送信元を抽出する。
本発明の一形態におけるプログラムは、送信元に関連する第1の頻度の集計に用いる第1の処理データを通信データから抽出するための方針である第1のデータ抽出方針に基づいて通信データから第1の処理データを抽出処理と、第1の処理データにおける送信元に関する第1の頻度を集計するための方針である第1の集計方針に基づいて第1の処理データにおける送信元に関連する第1の頻度を集計する処理と、送信元を抽出するための方針である第1の送信元抽出方針と第1の頻度とに基づいて送信元を抽出する処理とをコンピュータに実行させる
本発明に基づけば、不正な侵入を必要とせずに、不審な通信を検知するとの効果を奏することができる。
図1は、本発明における第1の実施形態に係る情報処理装置の構成の一例を示すブロック図である。 図2は、第1の実施形態に係る情報処理装置の動作の一例を示すフローチャートである。 図3は、第1の実施形態に係る情報処理装置の動作の説明に用いる通信データを示す図である。 図4は、第1の実施形態に係るデータ抽出部における抽出動作を説明するための図である。 図5は、第1の実施形態に係る集計部における動作を説明するための図である。 図6は、第1の実施形態に係る送信元抽出部における動作を説明するための図である。 図7は、第2の実施形態に係る情報処理装置の構成の一例を示すブロック図である。 図8は、第2の実施形態に係る情報処理装置の動作の一例を示すフローチャートである。 図9は、第2の実施形態に係る情報処理装置の第2の処理データの一例を示す図である。 図10は、実施形態の概要の構成である情報処理装置の構成の一例を示すブロック図である。 図11は、情報処理装置のハードウェア構成の一例を示すブロック図である。 図12は、情報処理装置を含む情報処理システムの構成の一例を示すブロック図である。 図13は、ある通信データにおいて、送信元ごとに観測期間と観測回数とを集計した結果を示した図である。
以下、図面を参照して、本発明における実施形態について説明する。
なお、各図面は、本発明における実施形態を説明するためのものである。ただし、各実施形態は、各図面の記載に限られるわけではない。また、各図面の同様の構成には、同じ番号を付し、その繰り返しの説明を、省略する場合がある。また、以下の説明に用いる図面において、実施形態の説明に関係しない部分の構成については、記載を省略し、図示しない場合もある。
<発明に関連する技術>
まず、本発明に関連する技術を説明する。
一般的なIDSなど不正を検知する装置又は組織(以下、単に「IDS」と呼ぶ)は、不正な侵入そのものを遮断することを目的としている。具体的には、IDSは、受信した通信データを、直接的に判定して、不正な通信データの遮断を実現する。
そのため、IDSにおける通信に対する継続的な監視時間としては、比較的短い期間(一般的に、数分から数時間、長くても1日程度)のデータを用いる。
しかし、不正な侵入を企てる侵害者は、不正な侵入を実現するために、侵入の前に対象となるシステムにおける侵入可能となっている侵入口を探索する。そして、侵入口が見つかると、侵害者は、見つけた侵入口からシステムに不正に侵入する。
この探索には、侵入先に悟られないため、通常の通信と区別がつかない通信(不正と判断されない通信)が用いられる。
また、この探索は、ある程度の回数を必要とする。ただし、同じ宛先への短期間における連続的な探索は、不正と判断される可能性が高くなる。そこで、この探索は、一般的に、人手ではなく、コンピュータなどを利用して、ある程度の長い間隔(例えば、数日、1か月、又は数か月)に渡って繰り返される。なお、探索に用いられる間隔は、検出されにくくするため、ある程度の変動を含む場合がある。
図13は、ある通信データにおいて、送信元ごとに観測期間と観測回数とを集計した結果を示した図である。
ここで、観測期間とは、最初の通信があった時間(初回時間)から最後の通信までの時間(最終時間)である。
図13において楕円で囲まれた範囲のデータは、他のデータとは明らかに異なる分布(つまり、動作)となっている。この範囲のデータは、2500万から3000万秒(約9.6か月から11.6か月)の期間において、数十回の通信が発生している。つまり、平均すると、月に1回から数回の通信が発生している。このような通信は、一般的な通信では想定しにくい通信であり、また、不正侵入の探索としては想定される通信の一つである。つまり、このような通信の送信元は、不正に侵入するための探索の通信を実行している可能性がある。
このように、長い期間における通信データを用いた解析は、不正な送信元の特定に有効である。
このような探索の可能性がある不審な通信を検知するためには、上記のような比較的長い期間(例えば、上記の場合、数か月間から1年間)における通信のデータを用いた解析が必要となる。つまり、長期間における通信のデータを用いての解析は、侵入前の探索と想定されるような不審な通信を実行する送信元を見つけることができる可能性がある。
しかし、一般的なネットワークにおいて通信されるデータ(通信データ)は、非常に多い。例えば、単一の組織(例えば、数名から数十名からなる部門)において、一日当たりの通信量は、数GB(Giga-Byte)から数十GBとなる。一月当たりの通信量は、数十GBから、数百GBとなる。そして、通信量は、これからも、さらに増加すると考えられている。なお、通信データは、平均的に数Kバイトの長さである。
そのため、数か月から1年のような長期間にわたるネットワークにおいて通信されている通信データをそのまま処理しようとすると、非常に大きなデータ量の処理が必要となる。
例えば、数か月間における通信データを処理しようとすると、数百GBのデータを用いた処理(例えば、統計処理)が必要となる。このような処理は、IDSなどの装置では、実効的な時間内で実行することが難しかった。
そのため、IDSのような一般的な監視装置は、不審な通信の送信元を検知するような、数か月から数年のような長期間における通信データの解析を扱うことができなかった。
しかし、不正な侵害を防ぐためには、不正な侵害が発生する前、言い換えると不正な侵害を必要としないで侵害者などの探索に用いられる不審な通信を検知するための情報の提供が望まれている。このような検知には、数か月から数年の通信データを処理することが必要である。
本発明における実施形態は、以下で説明する構成及び動作を用いて、長期間におけるデータを用いた不審な通信を検知するための情報を提供できる。つまり、本発明における実施形態は、不正な侵害を必要とせずに、長期間におけるデータを用いた不審な通信を検知するための情報の提供を実現することができる。
<第1の実施形態>
以下、図面を参照して、本発明における第1の実施形態に係る情報処理装置10について説明する。
なお、第1の実施形態に係る情報処理装置10における処理の対象となるデータは、限定されない。情報処理装置10は、ネットワークにおいて通信されたデータ(通信データ)を処理してもよい。あるいは、情報処理装置10は、記憶装置(例えば、RAID(Redundant Arrays of Inexpensive(Independent) Disks))におけるアクセスデータを処理してもよい。以下の説明では、一例として、処理対象のデータとして「通信データ」を用いる。ただし、これは、処理対象のデータを通信データに限定するものではない。
本発明における第1の実施形態に係る情報処理装置10は、通信データから少量(例えば、数バイトから数十バイト)のデータ(以下、「処理データ」と呼ぶ)を抽出する。
そして、情報処理装置10は、抽出した処理データを用いて、長期間(例えば、数日から数年)の通信データにおける不審な通信を検知するための情報(例えば、不正と思われる通信の送信元)を抽出する。より詳細には、情報処理装置10は、処理データにおける送信元に関連する頻度を集計する。そして、情報処理装置10は、頻度を用いて処理データから所定の送信元を抽出する。あるいは、情報処理装置10は、頻度を用いて通信データから所定の送信元を抽出してもよい。
なお、情報処理装置10は、自装置が受信した通信データを処理してもよい。あるいは、情報処理装置10は、他の装置又は組織が送信及び受信した通信データを処理してもよい。
例えば、情報処理装置10は、通信データにおける不審な送信元を検知するための処理データとして、通信データにおける「送信元、宛先、及び通信時間」を抽出する。
一般的な通信データは、ヘッダーとペイロードとを含む。そして、一般的に、ヘッダーが、送信元及び宛先を含む。そのため、情報処理装置10は、ヘッダーから送信元と宛先を抽出すればよい。
また、通信時間は、送信元が通信データを送信した時間でもよく、宛先が通信データを受信した時間でもよい。以下の説明では一例として、通信時間は、送信元が通信データを送信した時間とする。送信元が送信した時間は、一般的に、ヘッダーに含まれる。そのため、情報処理装置10は、ヘッダーから通信時間を抽出すればよい。
ただし、これは、本実施形態に係る情報処理装置10における処理データとして抽出するデータを制限するものではない。例えば、情報処理装置10は、通信データのヘッダーに限らず、ペイロードに含まれる所定のデータを抽出してもよい。
さらに、情報処理装置10は、通信データ以外のデータを用いる場合、処理データとして他の部分のデータを用いてもよい。例えば、情報処理装置10は、所定の記憶装置に対するアクセスに用いられるデータを用いる場合、そのデータにおけるアクセス元、アクセス先、及びアクセス時間を用いてもよい。
[構成の説明]
まず、図面を参照して、第1の実施形態に係る情報処理装置10の構成について、説明する。
図1は、本発明における第1の実施形態に係る情報処理装置10の構成の一例を示すブロック図である。
情報処理装置10は、データ抽出部110と、集計部120と、送信元抽出部130とを含む。なお、情報処理装置10は、各構成部の結果を保存する記憶部140を含んでもよい。この場合、各構成部は、結果を記憶部140に保存し、必要な情報(データ)を記憶部140から取得する。ただし、各構成部は、必要な情報(データ)を他の構成部から取得してもよい。そこで、以下の説明は、記憶部140についての説明を省略する。そのため、図1は、破線を用いて記憶部140を示している。
データ抽出部110は、データ抽出方針に基づいて、処理データとして、通信データに含まれる所定のデータを抽出する。
データ抽出方針とは、データ抽出部110が、集計部120が送信元に関連する頻度を集計するために用いる処理データを、通信データから抽出するための方針である。データ抽出方針は、限定されない。例えば、集計部120が集計に送信元と宛先と通信時間とを用いる場合、データ抽出部110は、「送信元と、宛先と、通信時間とを抽出する」とのデータ抽出方針を用いればよい。なお、データ抽出方針は、抽出の期間など、期間に関する方針を含んでもよい。
なお、情報処理装置10が処理する通信データは、限定されない。例えば、情報処理装置10は、所定の装置、又は、所定の組織に対する通信データを処理してもよい。この場合、通信データにおいて、宛先は、同じである。そのため、データ抽出部110は、処理データとして、「送信元及び通信時間」を抽出してもよい。この場合、データ抽出方針は、「送信元及び通信時間」を含む。
データ抽出方針は、対象となる通信データ及び抽出したい送信元などを基に決定されればよい。例えば、上記のデータ抽出方針は、少なくとも通信データにおける送信元及び通信時間を含む。
データ抽出部110は、予め、データ抽出方針を保存してもよい。あるいは、データ抽出部110は、処理データを抽出する際に、ユーザなどから指示として、データ抽出方針を受信してもよい。
以下の説明では、一例として、データ抽出部110は、「通信データから、送信元と宛先と通信時間とを抽出する」とのデータ抽出方針を用いる。
データ抽出部110は、抽出した処理データを、集計部120に送信する。
集計部120は、集計方針に基づいて、処理データに関連する頻度を集計する。
集計方針とは、処理データに含まれる送信元に関する頻度を集計するための方針である。集計方針は、限定されない。例えば、集計部120は、集計対象として「送信元」の出現頻度を集計してもよい。あるいは、集計部120は、集計対象として「送信元と宛先との組合せ」の出現頻度を集計してもよい。
あるいは、集計方針は、集計に関連する期間(例えば、集計を開始する時間と終了する時間)を含んでもよい。さらに、集計方針は、複数の期間を含んでもよい。例えば、集計部120は、1日を増加単位とする複数の期間(1日、2日、3日、・・・、1か月、・・・、1年)における頻度を集計してもよい。
以下の説明では、一例として、集計部120は、「送信元と宛先との組合せに関連する頻度を集計する」との集計方針を用いる。
さらに、集計部120は、頻度に、その他のデータを含めてもよい。例えば、集計部120は、「送信元と宛先との組合せ」の出現頻度に、「送信元と宛先との組合せ」の通信における「初回時間」と「最終時間」とを含めてもよい。
また、集計部120の集計のタイミングは、限定されない。例えば、集計部120は、データ抽出部110が抽出した処理データを受信して、受信ごとに頻度を集計してもよい。あるいは、集計部120は、所定の記憶部(例えば、記憶部140)に保存された処理データを用いて頻度を集計してもよい。
なお、集計部120は、予め、集計方針を保存してもよい。あるいは、集計部120は、頻度を集計する際には、ユーザなどから指示として、集計方針を受信してもよい。
集計部120は、集計した頻度を、送信元抽出部130に送信する。
送信元抽出部130は、送信元抽出方針と受信した頻度とに基づいて、送信元を抽出する。
送信元抽出方針とは、頻度を用いて送信元を抽出するための方針である。送信元抽出方針は、限定されない。例えば、送信元抽出方針は、抽出対象となる送信元に関する頻度の閾値又は頻度範囲を含む方針である。例えば、送信元抽出部130は、所定の閾値より頻度が多い送信元を抽出してもよい。さらに、頻度及び/又は送信元抽出方針が他のデータを含む場合、送信元抽出部130は、他のデータを用いて送信元を抽出してもよい。例えば、送信元抽出方針が期間と閾値とを含む場合、送信元抽出部130は、その期間における頻度が所定の閾値を越えた送信元を抽出してもよい。閾値は、複数でもよい。例えば、送信元抽出方針は、2つの閾値に挟まれた範囲を含んでもよい。この場合、送信元抽出部130は、所定の範囲(2つの閾値の範囲)に含まれる頻度を用いてもよい。
ここで、情報処理装置10が方針として不審な通信を検知するための方針を用いる場合、情報処理装置10が抽出した送信元は、不審な通信を検知するための情報である。例えば、情報処理装置10の利用者は、不審な通信の候補として、抽出された送信元に関する通信データを分析対象とする。
情報処理装置10は、データ抽出部110が抽出した処理データ(通信データに対してデータ量が少ないデータ)を用いる。そのため、情報処理装置10は、長期間(例えば、数日から数年)における処理データを用いて送信元を抽出できる。言い換えると、情報処理装置10は、所定の方針に基づいて、長期間の通信における送信元を検知できる。このような長期間の通信データを用いた検知は、不正な侵入前における不審な通信を検知できる。情報処理装置10は、方針(データ抽出方針、集計方針、送信元抽出方針)に基づいて、長期間の通信データにおける不審な通信を検知するための情報(例えば、送信元)を抽出する。
情報処理装置10の利用者は、情報処理装置10から、長期間における通信データにおいける所定の方針(データ抽出方針、集計方針、送信元抽出方針)に基づいて抽出された送信元を取得できる。
ただし、送信元は、不審な通信を検知するための情報の一例である。例えば、IP(Internet Protocol)アドレスは、ある程度、地域に沿って割り振られている。そこで、情報処理装置10が方針として不審な通信の送信地域(例えば、IPアドレスの範囲)を用いる場合、情報処理装置10は、不審な通信を検知するための情報として、送信地域(例えば、IPアドレスの範囲)を抽出する。
なお、送信元抽出部130は、送信元の抽出において、頻度及び送信元抽出方針に加え、処理データを用いてもよい。
そして、送信元抽出部130は、抽出した送信元を所定の装置又は構成に送信する。あるいは、送信元抽出部130が図示しない表示部を含む場合、送信元抽出部130は、抽出した送信元を表示してもよい。
なお、送信元抽出部130は、通信データから、抽出した送信元に関連する通信データを抽出してもよい。例えば、送信元抽出部130は、通信データから、送信元又は宛先として、抽出した送信元を含む通信データを抽出してもよい。そして、送信元抽出部130は、抽出した送信元に合わせて、抽出した通信データを出力してもよい。この場合、情報処理装置10の利用者は、所定の方針(データ抽出方針、集計方針、送信元抽出方針)に基づいて抽出された送信元に関連する通信データを取得できる。
図1は、破線を用いて、この動作を示している。
[動作の説明]
次に、第1の実施形態に係る情報処理装置10の動作について、図面を参照して説明する。
図2は、第1の実施形態に係る情報処理装置10の動作の一例を示すフローチャートである。
まず、データ抽出部110は、データ抽出方針を基に、通信データから処理データを抽出する(ステップS210)。今の場合、情報処理装置10は、不審な通信を検知するための情報として、送信元を抽出する。そのため、データ抽出方針は、少なくとも送信元と通信時間とを含む。データ抽出方針は、他のデータ(例えば、宛先)を含んでもよい。
図3は、第1の実施形態に係る情報処理装置10の動作の説明に用いる通信データを示す図である。
図3は、通信データの一例として、一般的なTCP/IP(Transmission Control Protocol/Internet Protocol)に用いられるデータの一部を示している。なお、図3などの以下の説明におけるデータは、図示の関係で、数日の通信データを示しているが、これは、本実施形態を限定するものではない。第1の実施形態に係る情報処理装置10は、図3に示されている通信データより多くの通信データを処理できる。例えば、図13は、本実施形態に係る情報処理装置10が集計した頻度を基に分布を表示したものである。
図4は、第1の実施形態に係るデータ抽出部110における抽出動作を説明するための図である。図4に示される例では、データ抽出部110は、「送信元と宛先と通信時間とを抽出する」とのデータ抽出方針に基づいて、図3に示されている通信データから、送信元と宛先と通信時間とを含む処理データを抽出している。なお、図4において、図示の関係から、通信データの内容の表示を省略した。
図2を参照した説明に戻る。
集計部120は、集計方針を基に処理データに関連する頻度を集計する(ステップS220)。詳細には、集計部120は、処理データにおける送信元に関する頻度を集計する。集計部120は、送信元と他のデータ(例えば、宛先、プロトコル、及び/又はポート)との組合せに関する頻度を集計してもよい。
図5は、第1の実施形態に係る集計部120における動作を説明するための図である。図5に示されている例では、集計部120は、「送信元及び宛先の組合せごとに、頻度と、初回時間と、終了期間とを集計する」との集計方針に基づいた頻度(図5の頻度データ)を集計している。
図2を参照した説明に戻る。
送信元抽出部130は、送信元抽出方針と頻度とを基に、送信元を抽出する(ステップS230)。言い換えると、送信元抽出部130は、集計された頻度(例えば、図5の頻度データ)において送信元抽出方針を満たす送信元を抽出する。
図6は、第1の実施形態に係る送信元抽出部130における動作を説明するための図である。図6に示されている例では、送信元抽出部130は、「7日以上複数の宛先に通信した送信元を抽出する」との送信元抽出方針に基づいて、頻度データから送信元「A」を抽出している。
さらに、送信元抽出部130は、抽出した送信元を用いた動作を実行してもよい。例えば、送信元抽出部130は、送信元又は宛先が抽出した送信元(ここでは送信元「A」)となっている通信データを抽出してもよい。
[効果の説明]
このように、第1の実施形態に係る情報処理装置10は、不正な侵入を必要とせずに、不審な通信を検知するための情報(例えば、通信の送信元)を得るとの効果を奏することができる。
その理由は、次のとおりである。
情報処理装置10は、データ抽出部110と、集計部120と、送信元抽出部130とを含む。データ抽出部110は、送信元に関連する頻度の集計に用いる処理データを通信データから抽出するための方針であるデータ抽出方針に基づいて、通信データから処理データを抽出する。集計部120は、処理データにおける送信元に関する頻度を集計するための方針である集計方針に基づいて、処理データにおける送信元に関連する頻度を集計する。送信元抽出部130は、送信元を抽出するための方針である送信元抽出方針と頻度とに基づいて、送信元を抽出する。
一般的に、1つの通信データの単位(例えば、パケット)は、ヘッダーとペイロードとを合わせると平均的に数千バイトとなる。さらに、一般的な単一の組織における一月当たりの通信量は、数十GBから、数百GBとなる。通信データをそのまま用いる場合、その処理は、多くのデータを処理する必要がある。
しかし、データ抽出部110は、処理データとして、多くのデータを含む通信データから、データ抽出方針に基づいて一部のデータ(例えば、通信時間と送信元と宛先)を抽出する。各処理データは、数バイトから十数バイトのデータである。
そのため、集計部120は、集計方針を基に、長期間(例えば、数日から数か月)に渡る処理データにおける送信元に関連する頻度を集計できる。
さらに、その結果として、送信元抽出部130は、送信元抽出方針に基づいて、長期間における送信元の所定の通信状態(例えば、所定の期間における所定の閾値以上の通信頻度)を基に、送信元を抽出できる。
情報処理装置10は、上記の動作を基に、不審な通信を検知するための方針を用いて、長期間での通信データから送信元を抽出する。ただし、データ抽出部110が扱う通信データは、実際の不正な侵入などを含む必要がない。つまり、第1の実施形態に係る情報処理装置10は、不正な侵入を必要とせずに、不審な通信を検知するための情報(例えば、通信の送信元)を得るとの効果を奏することができる。
<第2の実施形態>
情報処理装置10が抽出した送信元を用いて通信データを選択すると、選択後の通信データは、所定の方針に基づいて抽出された送信元に関連する通信データである。
さらに、選択後の通信データの数は、全体の通信データの数より削減される。
情報処理装置10が送信元を用いた選択後の通信データを用いる場合、データ抽出部110がより多くのデータを処理データに含めても、集計部120の処理対象となる処理データの量は、全ての通信データを用いた場合に比べ削減できる。さらに、この場合、集計部120は、特定の送信元に関連する通信データにおいて、より多くのデータに関連した頻度を集計できる。また、送信元抽出部130は、より多くのデータを用いて抽出された頻度を用いて送信元を抽出できる。つまり、集計部120及び送信元抽出部130は、送信元に関してより多くのデータを用いることができる。
そこで、第2の実施形態として、第1の実施形態において抽出された送信元を用いた処理を含む情報処理装置11について説明する。
第2の実施形態に係る情報処理装置11は、まず、第1の実施形態に係る情報処理装置10と同様の動作を実行する。以下、第1の実施形態と同様の動作を、「1回目の動作」とも呼ぶ。さらに、1回目の動作に用いる方針(データ抽出方針、集計方針、送信元抽出方針)をそれぞれ第1の方針(第1のデータ抽出方針、第1の集計方針、第1の送信元抽出方針)と呼ぶ。
そして、第2の実施形態に係る情報処理装置11は、1回目の方針に基づいて抽出した送信元を用いて、方針(データ抽出方針、集計方針、送信元抽出方針)の少なくとも一部を変更した動作を実行する。以下、抽出した送信元を用いた動作を「2回目の動作」とも呼ぶ。さらに、2回目の動作に用いる方針(データ抽出方針、集計方針、送信元抽出方針)をそれぞれ第2の方針(第2のデータ抽出方針、第2の集計方針、第2の送信元抽出方針)と呼ぶ。なお、第2の方針の少なくとも一部は、第1の方針と同じでもよく、第1の方針に含まれていなくてもよい。
[構成の説明]
まず、第2の実施形態に係る情報処理装置11の構成について、図面を参照して説明する。
図7は、第2の実施形態に係る情報処理装置11の構成の一例を示すブロック図である。
情報処理装置11は、データ抽出部111と、集計部121と、送信元抽出部131とを含む。情報処理装置11は、記憶部140を含んでもよく、含まなくてもよい。
まず、情報処理装置11の構成は、情報処理装置10の構成と同様に動作する。
すなわち、データ抽出部111は、第1の実施形態に係るデータ抽出部110と同様に、第1のデータ抽出方針に基づいて、通信データから処理データ(以下、「第1の処理データ」と呼ぶ)を抽出する。
そして、集計部121は、第1の実施形態に係る集計部121と同様に、第1の集計方針に基づいて、第1の処理データにおける送信元に関連する頻度(以下、「第1の頻度」と呼ぶ)を集計する。
そして、送信元抽出部131は、第1の実施形態に係る送信元抽出部130と同様に、第1の頻度と第1の送信元抽出方針とを基に、送信元を抽出する。
ここまでの動作(1回目の動作)は、第1の実施形態と同様である。
送信元抽出部131は、抽出した送信元をデータ抽出部111に送信する。
データ抽出部111は、受信した送信元に関連する通信データを処理対象として、第2のデータ抽出方針を基に処理データ(以下、「第2の処理データ」と呼ぶ)を抽出する。詳細には、データ抽出部111は、受信した送信元を用いて通信データを選択し、選択した通信データにおいて第2のデータ抽出方針に基づく第2の処理データを抽出する。
第2のデータ抽出方針は、限定されない。ただし、第2のデータ抽出方針は、通信データに含まれるデータの中で第1の処理データに含まれないデータを少なくとも一つ含む方針である。つまり、第2の処理データは、第1の処理データに含まれないデータを少なくとも一つ含むデータである。
第1の処理データに含まれないデータの一例は、「第1の処理データに含まれなかった各通信データに含まれるデータ」である。
例えば、通信データが「送信元、通信時間、宛先、及びプロトコル」を含み、第1の処理データが「送信元及び通信時間」を含む場合、「第1の処理データに含まれなかった通信データに含まれるデータ」は、「宛先」及び/又は「プロトコル」である。例えば、データ抽出部111は、第2のデータ抽出方針として、「通信時間と、送信元と、宛先と、プロトコルと、宛先ポート」を用いてもよい。
ただし、第2のデータ抽出方針は、第1のデータ抽出方針に対して、「第1の処理データに含まれなかった各通信データに含まれるデータ」を追加する方針に限られない。
例えば、第1の処理データに含まれないデータは、「第1の処理データの抽出に用いられなかった通信データ」でもよい。
例えば、第2のデータ抽出方針は、第1のデータ抽出方針に対して、抽出期間などを変更した方針でもよい。例えば、第1の処理データが所定の期間から抽出された場合、「第1の処理データの抽出に用いられなかった通信データ」は、別の期間の通信データでもよい。詳細には、例えば、データ抽出部111は、通信データを抽出する期間を変更し、変更した抽出期間に含まれる通信データにおいて送信元を用いて対象となる通信データを選択する。なお、抽出期間の変更は、期間の移動、期間の縮小、又は、期間の拡大などである。
さらに、データ抽出部111は、受信した送信元に関連する通信データ、つまり抽出の対象となる通信データを、限定されない。例えば、データ抽出部111は、送信元として、受信した送信元を含む通信データを抽出対象としてもよい。あるいは、データ抽出部111は、送信元又は宛先として、受信した送信元を含む通信データを抽出対象としてもよい。
集計部121は、第2の集計方針に基づいて、第2の処理データに関連する送信元に関連する頻度(以下、「第2の頻度」と呼ぶ)を集計する。
第2の集計方針は、第2の処理データにおける送信元に関連する第2の頻度を集計するための方針である。第2の集計方針は、限定されない。第2の集計方針は、次に抽出する送信元などに沿って決定されればよい。第2の集計方針は、第1の集計方針と同じでもよい。
なお、集計部121は、2回目の動作において、第2の頻度を集計しなくてもよい。つまり、情報処理装置11は、第2の集計方針を用いなくてもよい。
送信元抽出部131は、第2の送信元抽出方針に基づいて、第2の頻度を用いて送信元を抽出する。
第2の送信元抽出方針は、限定されない。例えは、第2の送信元抽出方針は、送信元に加え、宛先等に関する方針を含んでもよい。
集計部121が第2の頻度を集計しない場合、送信元抽出部131は、第2の頻度を用いずに、第2の処理データと第2の送信元抽出方針とを用いて送信元を抽出すればよい。この場合、第2の送信元抽出方針は、第2の処理データから送信元を抽出するための方針である。
なお、集計部121が頻度を集計する場合でも、送信元抽出部131は、送信元の抽出において、第2の頻度と第2の送信元抽出方針とに加え、第2の処理データを用いてもよい。
さらに、情報処理装置11は、上記の「2回目の動作」を繰り返してもよい。例えば、情報処理装置11は、方針(データ抽出方針、集計方針、送信元抽出方針)を3つ用意し、2回目と同様に3回目の動作を実行してもよい。あるいは、情報処理装置11は、3つを超える方針を用いて、送信元の抽出を繰り返してもよい。
なお、3回目以降の動作において、データ抽出部111が通信データの選択に用いる送信元の範囲は、限定されない。
例えば、データ抽出部111は、抽出対象とする通信データの選択に、直前に抽出された送信元を用いてもよい。この場合、送信元を用いて選択される通信データの数は、直前に抽出された送信元に従って変化する。つまり、3回目以降の抽出対象となる通信データの数は、前回より多くなる場合もあり、少なくなる場合もある。
あるいは、3回目以降の動作において、データ抽出部111は、抽出対象とする通信データの選択に、それまでに抽出した全ての送信元を用いてもよい。この場合、送信元を用いて選択された通信データの数は、単調減少となる。
そこで、例えば、情報処理装置11は、データ抽出方針に、処理対象となる通信データの選択に用いる送信元に関する情報を含んでもよい。
[動作の説明]
次に、図面を参照して、第2の実施形態に係る情報処理装置11の動作について説明する。
図8は、第2の実施形態に係る情報処理装置11の動作の一例を示すフローチャートである。図8において、図2と同様の動作には、同じ符号を付してある。同様の動作の詳細な説明については、適宜省略する。
(1回目の動作)
まず、データ抽出部111は、通信データ全体を、抽出対象とする(ステップS240)。
そして、データ抽出部111は、第1のデータ抽出方針に基づいて、第1の処理データを抽出する(ステップS210)。
集計部121は、第1の集計方針に基づいて、第1の処理データに関連する第1の頻度を集計する(ステップS220)。例えば、集計部121は、第1の処理データの出現頻度を集計する。
送信元抽出部131は、第1の頻度と第1の送信元抽出方針とに基づいて、送信元を抽出する(ステップS230)。
情報処理装置10は、終了か否かを判定する(ステップS290)。
終了の場合(ステップS290でYes)、情報処理装置11は、処理を終了する。
終了でない場合(ステップS290でNo)、送信元抽出部131は、抽出した送信元をデータ抽出部111に送信し、ステップS250に進む。
(2回目の動作)
データ抽出部111は、送信元(例えば、送信元「A」)を用いて通信データから抽出対象の通信データを選択する(ステップS250)。なお、送信元抽出部131が、抽出した送信元を用いて通信データを選択している場合、データ抽出部111は、そのデータを用いてもよい。
そして、データ抽出部111は、第2のデータ抽出方針に基づいて、選択した通信データから第2の処理データを抽出する(ステップS210)。
集計部121は、第2の集計方針を基に、第2の処理データに関連する第2の頻度を集計する(ステップS220)。例えば、集計部121は、第2の処理データの出現頻度を集計する。
送信元抽出部131は、第2の頻度と第2の送信元抽出方針とを基に、送信元を抽出する(ステップS230)。
なお、情報処理装置11は、2回目のステップS220の動作を省略してもよい。図8は、破線を用いてこの場合を示している。この場合、送信元抽出部131は、第2の処理データと第2の送信元抽出方針とを基に、送信元を抽出する。
具体的なデータを用いて情報処理装置11の動作を説明する。
まず、情報処理装置11は、1回目の処理として、「送信元A」を抽出しているとする。さらに、データ抽出部111は、抽出された送信元(A)を、送信元又は宛先として含む通信データを選択するとする。さらに、データ抽出部111は、第2のデータ抽出方針として「通信時間と、送信元と、宛先と、プロトコルと、宛先ポートとを抽出する」を用いるとする。
この場合、データ抽出部111は、抽出された送信元(A)を、送信元又は宛先として含む通信データを選択する。そして、データ抽出部111は、第2のデータ抽出方針を基に、第2の処理データを抽出する。
具体的には、データ抽出部111は、図3に示されている通信データから、送信元Aと第2のデータ抽出方針とを用いて第2の処理データを抽出する。
図9は、第2の実施形態に係る情報処理装置11における第2の処理データ(2回目の処理データ)の一例を示す図である。
図9に示されている第2の処理データは、図4などに示されている処理データ(第1の処理データ)に加え、プロトコルと宛先ポートとを含む。プロトコル及び宛先ポートは、数バイトのデータである。ただし、第2の処理データは、送信元又は宛先に「送信元のアドレスA」を含むデータであり、第1の処理データに含まれる「G→B」などに関連するデータを含まない。
図9を参照すると、宛先Cが応答すると、送信元Aは、宛先Cに対して連続的に通信を実行している。そこで、情報処理装置11は、第2の送信元抽出方針として「送信元に応答した宛先に対して所定の送信を実行した送信元を抽出する」を採用すると、このように動作する送信元を抽出できる。より詳細には、第2の送信元抽出方針は、例えば、「応答した宛先に対して複数の送信を実行する送信元を抽出する」となる。なお、上記の第2の送信元抽出方針は、一例である。例えば、「複数の送信」は、送信元に関する送信の一例である。第2の送信元抽出方針は、送信元に関する送信として、「複数の送信」のような回数に限らず、例えば、「所定のプロトコルの送信」又は「所定のポートへの送信」のような通信の種類を含んでもよい。
なお、この場合の送信元の抽出は、集計部120における頻度の集計を必要としない。そのため、この場合、情報処理装置11は、第2の集計方針を用いなくてもよい。ただし、情報処理装置11の動作は、これに限定されない。
[効果の説明]
このように、第2の実施形態に係る情報処理装置11は、第1の実施形態の効果に加え、さらに送信元を限定するとの効果を得ることができる。
その理由は、次のとおりである。
情報処理装置11は、データ抽出部111と、集計部121と、送信元抽出部131とを含む。情報処理装置11の構成は、情報処理装置10の構成と同様に動作する。さらに、送信元抽出部131は、抽出した送信元をデータ抽出部111に送信する。データ抽出部111は、受信した送信元を用いて対象となる通信データを選択し、選択した通信データから第2の処理データを抽出する。そして、集計部121及び送信元抽出部131が、送信元を用いて限定された第2の処理データを用いて頻度の集計及び送信元の抽出を実行する。そのため、情報処理装置11は、さらに送信元を限定できる。
<実施形態の概要>
次に、図面を参照して、情報処理装置10及び情報処理装置11の概要を説明する。
図10は、実施形態の概要の構成である情報処理装置12の構成の一例を示すブロック図である。
情報処理装置12は、データ抽出部110と、集計部120と、送信元抽出部130とを含む。データ抽出部110は、送信元に関連する第1の頻度の集計に用いる第1の処理データを通信データから抽出するための方針である第1のデータ抽出方針に基づいて、通信データから第1の処理データを抽出する。集計部120は、第1の処理データにおける送信元に関する第1の頻度を集計するための方針である第1の集計方針に基づいて、第1の処理データにおける送信元に関連する第1の頻度を集計する。送信元抽出部130は、送信元を抽出するための方針である第1の送信元抽出方針と第1の頻度とに基づいて、送信元を抽出する。
このように構成された情報処理装置12は、情報処理装置10と同様の効果を奏する。
その理由は、情報処理装置12に含まれる構成が、情報処理装置10に含まれる構成と同様の動作するためである。
なお、情報処理装置12は、本発明における実施形態の最小構成である。
<ハードウェア構成>
情報処理装置10、11、及び12にハードウェア構成について、情報処理装置10を用いて説明する。
情報処理装置10は、次のように構成される。
例えば、情報処理装置10の各構成部は、ハードウェア回路で構成されてもよい。
あるいは、情報処理装置10において、各構成部は、ネットワークを介して接続した複数の装置を用いて、構成されてもよい。
あるいは、情報処理装置10において、複数の構成部は、1つのハードウェアで構成されてもよい。
あるいは、情報処理装置10は、CPU(Central Processing Unit)と、ROM(Read Only Memory)と、RAM(Random Access Memory)とを含むコンピュータ装置として実現されてもよい。情報処理装置10は、上記構成に加え、さらに、入出力接続回路(IOC:Input and Output Circuit)を含むコンピュータ装置として実現されてもよい。情報処理装置10は、上記構成に加え、さらに、ネットワークインターフェース回路(NIC:Network Interface Circuit)を含むコンピュータ装置として実現されてもよい。
図11は、情報処理装置10のハードウェア構成の一例である情報処理装置60の構成の一例を示すブロック図である。
情報処理装置60は、CPU610と、ROM620と、RAM630と、内部記憶装置640と、IOC650と、NIC680とを含み、コンピュータ装置を構成している。
CPU610は、ROM620からプログラムを読み込む。そして、CPU610は、読み込んだプログラムに基づいて、RAM630と、内部記憶装置640と、IOC650と、NIC680とを制御する。そして、CPU610を含むコンピュータは、これらの構成を制御し、図1に示されている、データ抽出部110と、集計部120と、送信元抽出部130としての各機能を実現する。
CPU610は、各機能を実現する際に、RAM630又は内部記憶装置640を、プログラムの一時記憶媒体として使用してもよい。
また、CPU610は、コンピュータで読み取り可能にプログラムを記憶した記憶媒体700が含むプログラムを、図示しない記憶媒体読み取り装置を用いてRAM630又は内部記憶装置640に読み込んでもよい。あるいは、CPU610は、NIC680を介して、図示しない外部の装置からプログラムを受け取り、RAM630又は内部記憶装置640に保存してもよい。そして、CPU610は、読み込んだ又は保存したプログラムを基に動作してもよい。
ROM620は、CPU610が実行するプログラム及び固定的なデータを記憶する。ROM620は、例えば、P-ROM(Programmable-ROM)又はフラッシュROMである。
RAM630は、CPU610が実行するプログラム及びデータを一時的に記憶する。RAM630は、例えば、D-RAM(Dynamic-RAM)である。
内部記憶装置640は、情報処理装置60が長期的に保存するデータ及びプログラムを記憶する。また、内部記憶装置640は、CPU610の一時記憶装置として動作してもよい。内部記憶装置640は、例えば、ハードディスク装置、光磁気ディスク装置、SSD(Solid State Drive)又はディスクアレイ装置である。内部記憶装置640は、記憶部140として動作してもよい。
ここで、ROM620と内部記憶装置640は、不揮発性(non-transitory)の記憶媒体である。一方、RAM630は、揮発性(transitory)の記憶媒体である。そして、CPU610は、ROM620、内部記憶装置640、又は、RAM630に記憶されているプログラムを基に動作可能である。つまり、CPU610は、不揮発性記憶媒体又は揮発性記憶媒体を用いて動作可能である。
IOC650は、CPU610と、入力機器660及び表示機器670とのデータを仲介する。IOC650は、例えば、IOインターフェースカード又はUSB(Universal Serial Bus)カードである。さらに、IOC650は、USBのような有線に限らず、無線を用いてもよい。
入力機器660は、情報処理装置60の操作者からの入力指示を受け取る機器である。入力機器660は、例えば、キーボード、マウス又はタッチパネルである。情報処理装置60は、入力機器660から、一部又は全ての方針を受信してもよい。
表示機器670は、情報処理装置60の操作者に情報を表示する機器である。表示機器670は、例えば、液晶ディスプレイである。情報処理装置60は、抽出した送信元を表示機器670に表示してもよい。
NIC680は、ネットワークを介した図示しない外部の装置とのデータのやり取りを中継する。NIC680は、例えば、LAN(Local Area Network)カードである。さらに、NIC680は、有線に限らず、無線を用いてもよい。情報処理装置60は、NIC680を介して、一部又は全ての方針を受信してもよい。あるいは、情報処理装置60は、NIC680を介して、抽出した送信元を出力してもよい。
このように構成された情報処理装置60は、情報処理装置10と同様の効果を得ることができる。
その理由は、情報処理装置60のCPU610が、プログラムに基づいて情報処理装置10と同様の機能を実現できるためである。
<情報処理システム>
次に、図面を参照して、情報処理装置10を含む情報処理システム50について説明する。
図12は、情報処理装置10を含む情報処理システム50の構成の一例を示すブロック図である。
情報処理システム50は、情報処理装置10と、指示装置20と、表示装置30と、ファイアウォール40とを含む。情報処理システム50は、さらに、外部記憶装置70を含んでもよい。
なお、情報処理システム50は、情報処理装置10に替えて、情報処理装置11又は12を含んでもよい。
外部記憶装置70は、通信データを保存している。例えば、ファイアウォール40が、受信した通信データを外部記憶装置70に保存してもよい。あるいは、情報処理装置10又は指示装置20が、図示しない装置から通信データを受信して保存してもよい。
指示装置20は、情報処理装置10に方針(データ抽出方針、集計方針、及び送信元抽出方針)の少なくとも一部を指示(送信)する。例えば、情報処理システム50のユーザは、指示装置20を操作して、情報処理装置10に全ての方針を設定してもよい。ただし、情報処理装置10は、一部の方針を保持し、残りの方針を受信してもよい。あるいは、ユーザは、指示装置20を用いて、方針を変更してもよい。
情報処理装置10は、指示装置20から受信した方針及び/又は保持している方針に基づいて、通信データから送信元を抽出する。外部記憶装置70が通信データを保存している場合、情報処理装置10は、外部記憶装置70に保存されている通信データを用いてもよい。あるいは、情報処理装置10は、指示装置20から指示された通信データを処理してもよい。
そして、情報処理装置10は、抽出した送信元を表示装置30及びファイアウォール40に送信する。情報処理装置10は、送信元に加え、送信元の通信に関連する情報(例えば、通信データ、処理データ、及び/又は、頻度)を表示装置30及び/又はファイアウォール40に送信してもよい。
表示装置30は、受信した送信元を表示する。通信データ及び/又は頻度などを受信する場合、表示装置30は、送信元に合わせて、通信データ及び/又は頻度などを表示してもよい。
情報処理システム50の利用者は、表示装置30に表示された送信元などを基に、指示装置20を操作して、情報処理装置10に対して方針などを変更した処理を依頼してもよい。例えば、利用者は、指示装置20を操作して、不正な通信を実行している恐れのある送信元を探してもよい。
ファイアウォール40は、外部ネットワーク90と情報処理システム50内の図示しない装置との通信を中継し、情報処理システム50の安全性を確保するために、所定の通信を阻止する。詳細には、ファイアウォール40は、少なくとも、情報処理装置10から受信した送信元に関する通信を阻止する。例えば、ファイアウォール40は、受信した送信元からの全ての通信を阻止する。あるいは、ファイアウォール40は、受信した送信元と、送信元に関連するプロトコルとを受信し、送信元からの受信したプロトコルに関連する通信データを阻止してもよい。このような動作を基に、ファイアウォール40は、情報処理装置10が抽出した送信元に関する通信を阻止し、情報処理システム50の安全性を確保できる。
なお、情報処理装置10は、情報処理システム50の内部の装置でもよく、外部の装置でもよい。
情報処理システム50の構成は、図12の構成に限定されない。情報処理装置10は、指示装置20、表示装置30、ファイアウォール40、及び/又は、外部記憶装置70を含んでもよい。
また、各装置の接続は、限定されない。各装置は、図12に示されているように直接的に接続されてもよく、図示しないネットワーク(例えば、イントラネットワーク)などを介して接続されてもよい。
以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成及び詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
この出願は、2017年12月13日に出願された日本出願特願2017-238516を基礎とする優先権を主張し、その開示の全てをここに取り込む。
10 情報処理装置
11 情報処理装置
12 情報処理装置
20 指示装置
30 表示装置
40 ファイアウォール
50 情報処理システム
60 情報処理装置
70 外部記憶装置
90 外部ネットワーク
110 データ抽出部
111 データ抽出部
120 集計部
121 集計部
130 送信元抽出部
131 送信元抽出部
140 記憶部
610 CPU
620 ROM
630 RAM
640 内部記憶装置
650 IOC
660 入力機器
670 表示機器
680 NIC
700 記憶媒体

Claims (8)

  1. 送信元に関する第1の頻度の集計に用いる第1の処理データを通信データから抽出するための方針である第1のデータ抽出方針に基づいて、前記通信データから前記第1の処理データを抽出するデータ抽出手段と、
    前記第1の処理データにおける前記送信元に関する前記第1の頻度を集計するための方針である第1の集計方針に基づいて、前記第1の処理データにおける前記送信元に関する前記第1の頻度を集計する集計手段と、
    前記送信元を抽出するための方針である第1の送信元抽出方針と前記第1の頻度とに基づいて、前記送信元を抽出する送信元抽出手段と
    を含み、
    前記通信データが、通常の通信と区別がつかず不正と判断されないデータであり、
    前記第1のデータ抽出方針が、前記通信データにおけるヘッダーのデータであり、前記ヘッダーに含まれる前記送信元と通信時間とを含む数バイトから数十バイトのデータである前記第1の処理データを抽出する方針であり、
    前記第1の集計方針が、少なくとも前記第1の処理データにおける前記送信元に関する前記第1の頻度と、初回時間と、最終時間とを含む方針であり、
    前記第1の送信元抽出方針が、二日以上の期間と、前記第1の頻度の閾値とを含む方針である
    情報処理装置。
  2. 前記データ抽出手段が、
    前記通信データにおける前記ヘッダーのデータであり、プロトコル及びポートの少なくとも一方と前記送信元と前記通信時間とを含む数バイトから数十バイトのデータであり前記送信元に関する第2の頻度を集計するための第2の処理データを抽出するための方針である第2のデータ方針に基づいて、前記送信元抽出手段が抽出した前記送信元を含む前記通信データにおける前記ヘッダーから前記第2の処理データを抽出し、
    前記集計手段が、
    前記第2の処理データにおける前記送信元に関する前記第2の頻度を集計するための方針である第2の集計方針に基づいて、前記第2の処理データにおける前記送信元に関する前記第2の頻度を集計し、
    前記送信元抽出手段が、
    前記送信元を抽出するための方針である第2の送信元抽出方針と前記第2の頻度とに基づいて前記送信元を抽出する
    請求項1に記載の情報処理装置。
  3. 前記データ抽出手段が、
    前記通信データにおける前記ヘッダーのデータであり、プロトコル及びポートの少なくとも一方と前記送信元と前記通信時間とを含む数バイトから数十バイトのデータであり、前記送信元に関する第2の頻度を集計するための第2の処理データを抽出するための方針である第2のデータ方針に基づいて、前記送信元抽出手段が抽出した前記送信元を含む前記通信データにおける前記ヘッダーから前記第2の処理データを抽出し、
    前記送信元抽出手段が、
    前記第2の処理データから前記送信元を抽出するための方針である第2の送信元抽出方針と前記第2の処理データとに基づいて、前記送信元を抽出する
    請求項1に記載の情報処理装置。
  4. 前記第1のデータ抽出方針が、さらに、前記通信データにおける宛先を含み、
    前記第1の集計方針が、前記第1の頻度として、前記送信元と前記宛先との組合せに関する頻度を含む
    請求項1ないし3のいずれか1項に記載の情報処理装置。
  5. 前記第1のデータ抽出方針が、さらに、前記通信データにおける宛先を含み、
    前記第2の送信元抽出方針が、
    前記送信元に応答した前記宛先に対して複数の送信を実行する前記送信元を抽出する方針を含む
    請求項2又は3に記載の情報処理装置。
  6. 請求項1ないし5のいずれか1項に記載の情報処理装置と、
    前記第1のデータ抽出方針、前記第1の集計方針、及び前記第1の送信元抽出方針の少なくとも一つを前記情報処理装置に指示する指示装置と、
    前記情報処理装置が抽出した前記送信元を受信して表示する表示装置と、
    前記情報処理装置から受信した前記送信元に関する通信を阻止するファイアウォールと
    を含む情報処理システム。
  7. 送信元に関する第1の頻度の集計に用いる第1の処理データを通信データから抽出するための方針である第1のデータ抽出方針に基づいて、前記通信データから前記第1の処理データを抽出し、
    前記第1の処理データにおける前記送信元に関する前記第1の頻度を集計するための方針である第1の集計方針に基づいて、前記第1の処理データにおける前記送信元に関する前記第1の頻度を集計し、
    前記送信元を抽出するための方針である第1の送信元抽出方針と前記第1の頻度とに基づいて、前記送信元を抽出し、
    前記通信データが、通常の通信と区別がつかず不正と判断されないデータであり、
    前記第1のデータ抽出方針が、前記通信データにおけるヘッダーのデータであり、前記ヘッダーに含まれる前記送信元と通信時間とを含む数バイトから数十バイトのデータである前記第1の処理データを抽出する方針であり、
    前記第1の集計方針が、少なくとも前記第1の処理データにおける前記送信元に関する前記第1の頻度と、初回時間と、最終時間とを含む方針であり、
    前記第1の送信元抽出方針が、二日以上の期間と、前記第1の頻度の閾値とを含む方針である
    情報処理方法。
  8. 送信元に関する第1の頻度の集計に用いる第1の処理データを通信データから抽出するための方針である第1のデータ抽出方針に基づいて、前記通信データから前記第1の処理データを抽出処理と、
    前記第1の処理データにおける前記送信元に関する前記第1の頻度を集計するための方針である第1の集計方針に基づいて、前記第1の処理データにおける前記送信元に関する前記第1の頻度を集計する処理と、
    前記送信元を抽出するための方針である第1の送信元抽出方針と前記第1の頻度とに基づいて、前記送信元を抽出する処理と
    をコンピュータに実行させ、
    前記通信データが、通常の通信と区別がつかず不正と判断されないデータであり、
    前記第1のデータ抽出方針が、前記通信データにおけるヘッダーのデータであり、前記ヘッダーに含まれる前記送信元と通信時間とを含む数バイトから数十バイトのデータである前記第1の処理データを抽出する方針であり、
    前記第1の集計方針が、少なくとも前記第1の処理データにおける前記送信元に関する前記第1の頻度と、初回時間と、最終時間とを含む方針であり、
    前記第1の送信元抽出方針が、二日以上の期間と、前記第1の頻度の閾値とを含む方針である
    プログラム。
JP2019559611A 2017-12-13 2018-12-10 情報処理装置、情報処理システム、情報処理方法、及び、プログラム Active JP7006704B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2017238516 2017-12-13
JP2017238516 2017-12-13
PCT/JP2018/045202 WO2019117052A1 (ja) 2017-12-13 2018-12-10 情報処理装置、情報処理システム、情報処理方法、及び、記録媒体

Publications (2)

Publication Number Publication Date
JPWO2019117052A1 JPWO2019117052A1 (ja) 2020-11-19
JP7006704B2 true JP7006704B2 (ja) 2022-01-24

Family

ID=66820261

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019559611A Active JP7006704B2 (ja) 2017-12-13 2018-12-10 情報処理装置、情報処理システム、情報処理方法、及び、プログラム

Country Status (4)

Country Link
US (1) US11461463B2 (ja)
EP (1) EP3726817B1 (ja)
JP (1) JP7006704B2 (ja)
WO (1) WO2019117052A1 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012015684A (ja) 2010-06-30 2012-01-19 Mitsubishi Electric Corp 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム
WO2015141630A1 (ja) 2014-03-19 2015-09-24 日本電信電話株式会社 分析ルール調整装置、分析ルール調整システム、分析ルール調整方法および分析ルール調整プログラム
JP2015198301A (ja) 2014-03-31 2015-11-09 株式会社ラック ログ分析システム
WO2018225667A1 (ja) 2017-06-05 2018-12-13 日本電気株式会社 情報処理装置、情報処理システム、情報処理方法、及び、記録媒体

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2351175C (en) 1998-11-24 2016-05-03 Niksun, Inc. Apparatus and method for collecting and analyzing communications data
JP2008085819A (ja) 2006-09-28 2008-04-10 Oki Electric Ind Co Ltd ネットワーク異常検出システム、ネットワーク異常検出方法及びネットワーク異常検出プログラム
JP2009171431A (ja) 2008-01-18 2009-07-30 Oki Electric Ind Co Ltd トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム
JP4983671B2 (ja) 2008-03-19 2012-07-25 沖電気工業株式会社 トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム
US8776226B2 (en) 2010-01-26 2014-07-08 Bae Systems Information And Electronic Systems Integration Inc. Method and apparatus for detecting SSH login attacks

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012015684A (ja) 2010-06-30 2012-01-19 Mitsubishi Electric Corp 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム
WO2015141630A1 (ja) 2014-03-19 2015-09-24 日本電信電話株式会社 分析ルール調整装置、分析ルール調整システム、分析ルール調整方法および分析ルール調整プログラム
JP2015198301A (ja) 2014-03-31 2015-11-09 株式会社ラック ログ分析システム
WO2018225667A1 (ja) 2017-06-05 2018-12-13 日本電気株式会社 情報処理装置、情報処理システム、情報処理方法、及び、記録媒体

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
鮫島 礼佳、他4名,長期間の観測データを用いたサイバー攻撃と推定される通信を分析する手法の提案,2018年 暗号と情報セキュリティシンポジウム(SCIS2018)予稿集,一般社団法人電子情報通信学会,2018年01月26日,pp.1-7

Also Published As

Publication number Publication date
US11461463B2 (en) 2022-10-04
EP3726817B1 (en) 2024-02-07
US20200302055A1 (en) 2020-09-24
EP3726817A4 (en) 2020-10-28
WO2019117052A1 (ja) 2019-06-20
EP3726817A1 (en) 2020-10-21
JPWO2019117052A1 (ja) 2020-11-19

Similar Documents

Publication Publication Date Title
US10530796B2 (en) Graph database analysis for network anomaly detection systems
US10063574B2 (en) Apparatus method and medium for tracing the origin of network transmissions using N-gram distribution of data
CN109889547B (zh) 一种异常网络设备的检测方法及装置
TWI627553B (zh) 於專用電腦網路上對進階持續性威脅攻擊之偵測
CN107465648B (zh) 异常设备的识别方法及装置
US9817969B2 (en) Device for detecting cyber attack based on event analysis and method thereof
US20130298254A1 (en) Methods and systems for detecting suspected data leakage using traffic samples
US20090013407A1 (en) Intrusion detection system/intrusion prevention system with enhanced performance
US8839406B2 (en) Method and apparatus for controlling blocking of service attack by using access control list
US9992209B1 (en) System and method for characterizing security entities in a computing environment
US20230412591A1 (en) Traffic processing method and protection system
JP2017117224A (ja) ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム
US10237287B1 (en) System and method for detecting a malicious activity in a computing environment
JP7006704B2 (ja) 情報処理装置、情報処理システム、情報処理方法、及び、プログラム
JP7031667B2 (ja) 情報処理装置、情報処理システム、情報処理方法、及び、プログラム
US9794274B2 (en) Information processing apparatus, information processing method, and computer readable medium
JP5926413B1 (ja) 情報処理装置、情報処理方法及びプログラム
CN112953957A (zh) 一种入侵防御方法、系统及相关设备
JP6145588B2 (ja) 情報処理装置、情報処理方法及びプログラム
JP5992643B2 (ja) 情報処理装置、情報処理方法及びプログラム
US10362062B1 (en) System and method for evaluating security entities in a computing environment
JP6088700B2 (ja) 情報処理装置、情報処理方法及びプログラム
CN117914550A (zh) 网络攻击处理方法和装置、计算机设备及存储介质
KR20180042608A (ko) 네트워크 악성행위 분석 장치 및 방법
TW201909592A (zh) 駭客反向連線行為偵測方法

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200519

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200519

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210615

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210721

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211005

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20211022

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211122

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211207

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211220