WO2014129587A1

WO2014129587A1 - ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム

Info

Publication number: WO2014129587A1
Application number: PCT/JP2014/054190
Authority: WO
Inventors: 健介中田
Original assignee: 日本電信電話株式会社
Priority date: 2013-02-21
Filing date: 2014-02-21
Publication date: 2014-08-28
Also published as: JP5844938B2; CN105027510B; JPWO2014129587A1; US9661008B2; EP2961111A1; US20160014146A1; EP2961111A4; EP2961111B1; CN105027510A

Abstract

　ネットワーク監視装置（１００）は、ログ収集部（１５１）と、ログ分析部（１５２）とを備える。ログ収集部（１５１）は、ネットワークを転送されるパケットについて、ネットワークに含まれるＦＷ（２００）及びプロキシサーバ（３００）のうち少なくとも一方から通過するパケットに関するログ情報を収集する。ログ分析部（１５２）は、ログ収集部（１５１）によって収集されたログ情報を経時的に分析することで、所定の期間において所定の条件を満たすログ情報を抽出する。

Description

ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム

　本発明は、インターネットなどの外部ネットワークからのサイバー攻撃や外部ネットワークへの情報漏えいの検出を支援するための技術に関する。

　近年、ネットワークを介して提供される各種サービスや、インフラなどに対して攻撃する不正な通信（サイバー攻撃）は、多種多様な手法を用いたものへと日々進化し、ますます脅威が増大している。このような不正な通信に対する対策技術としては、例えば、ＦＷ（FireWall：ファイアウォール）やＩＤＳ（Intrusion　Detection　System）、ＩＰＳ（Intrusion　Prevention　System）などが知られている。図８は、従来技術に係る対策技術の一例を説明するための図である。

　例えば、ＦＷは、図８に示すように、ルータ等のネットワーク装置のパケットフィルタリング機能、あるいは、専用装置として、内部ネットワークと外部ネットワークとの接続点に配置される。そして、例えば、ＦＷは、内部ネットワークに含まれる端末が外部ネットワークの端末に提供しているサービスのパケット、および、外部ネットワークの端末が提供しているサービスを内部ネットワークの端末が利用するためのパケットのみを通過させ、それ以外のパケットを遮断するように、内部ネットワークに含まれる端末のユーザによってルールが設定される。

　また、例えば、ＩＤＳやＩＰＳは、ルータ等のネットワーク装置の機能、あるいは、専用装置として提供される。ここで、ＩＤＳやＩＰＳには、例えば、図８に示すように、取得したパケットを、予め定義された攻撃パケットのパターンとマッチングすることによって攻撃を検出するシグネチャ型や、取得したパケット、又は、ネットワーク機器から収集した各種ログ、統計情報を用いてトラフィックを監視し、監視データを分析することによって異常なトラフィックを検出するアノマリ型が知られている。

　一例を挙げると、シグネチャ型では、図８に示すように、ＦＷ通過後の地点でパケットを取得して、当該パケットに不正なビット列が含まれるか否かを判定し、不正なビット列が存在する場合に異常と検出する。また、例えば、アノマリ型では、内部ネットワークの端末におけるリソースの付加や通信量などの振る舞いに正常状態を定義して、それを外れる場合に異常と検出する。上述した技術においては、異常を検出すると、例えば、図８に示すように、アラートを出力することでネットワーク管理者に異常を通知する。

特開２００８－２１９１４９号公報特開２００６－１１５００７号公報特開２００５－２１０６０１号公報

　しかしながら、上述した従来技術では、不正な通信に対する対策技術として一定の限界があった。例えば、ＦＷにおいては、パケットごとに通過の可否を決定しており、攻撃成功時の通過したパケットについてのログを単一で見るだけでは攻撃者の通信が見分けることができないなど、対策技術として一定の限界があった。また、例えば、ＩＤＳやＩＰＳのシグネチャ型においても、予め定義されたパターンに基づくため、未知の攻撃への対応が遅れ、対策技術として一定の限界があった。また、例えば、ＩＤＳやＩＰＳのアノマリ型では、正常状態の定義を厳密に定義すると誤検出が多発することとなり、不正な通信をもれなく検出することが困難であり、対策技術として一定の限界があった。

　そこで、本願に係る技術は、上述した従来技術の問題に鑑みてなされたものであって、不正な通信を高精度に検出することを可能にするネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラムを提供することを目的とする。

　上述した課題を解決し、目的を達成するため、本願に係るネットワーク監視装置は、外部ネットワークとの接続点及び内部のセグメント分割点の少なくとも一方に設けられるファイアウォールとウェブアクセス用のプロキシサーバとを備えてＩＰパケットを転送するネットワーク内に設けられ、不正の疑いがある通信を検出するネットワーク監視装置であって、前記ファイアウォール及び前記プロキシサーバの少なくとも一方からログデータを収集して格納するログ収集部と、前記ログ収集部に対してログデータの問い合わせを行い、設定された分析条件にしたがって前記ログデータを分析して分析結果を出力するログ分析部と、を備え、前記ログ収集部により格納されるログデータは、５－タプル、送信サイズ、受信サイズ、ｈｔｔｐヘッダから抽出された情報、タイムスタンプの少なくとも一つ以上を含む情報であり、前記ｈｔｔｐヘッダから抽出される情報は、宛先ＵＲＬ、Ｕｓｅｒ－Ａｇｅｎｔ名及びリクエストメソッドの少なくとも１つ以上を含んでいる。

　本願に係るネットワーク監視装置は、不正な通信を高精度に検出することを可能にする。

図１は、第１の実施形態に係るネットワーク監視装置が含まれるネットワークの構成の一例を示す図である。図２は、第１の実施形態に係るネットワーク監視装置の構成の一例を示す図である。図３は、第１の実施形態に係るログＤＢによって記憶されるログ情報の一例を示す図である。図４は、第１の実施形態に係るネットワーク監視装置による処理の手順を示すフローチャートである。図５は、不正なアクセスや侵入を検出して防御するためのシステムの構成の一例を示す図である。図６は、第２の実施形態に係る検出装置の構成を示すブロック図である。図７は、第２の実施形態に係る検出装置が適用されるネットワークの構成の一例を示す図である。図８は、従来技術に係る対策技術の一例を説明するための図である。

　以下に添付図面を参照して、本願に係るネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラムの実施形態を詳細に説明する。なお、本願に係るネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラムは、以下の実施形態により限定されるものではない。

（第１の実施形態）
［第１の実施形態に係るネットワーク監視装置を含むネットワークの構成］
　まず、第１の実施形態に係るネットワーク監視装置１００を含むネットワークの構成について説明する。図１は、第１の実施形態に係るネットワーク監視装置１００が含まれるネットワークの構成の一例を示す図である。例えば、第１の実施形態に係るネットワーク監視装置を含むネットワークは、図１に示すように、企業内ＮＷ（Network）であり、インターネット（適宜、外部ネットワークと記載）と接続される。

　ここで、企業内ＮＷは、図１に示すように、ネットワーク監視装置１００と、ＦＷ（FireWall）２００と、プロキシサーバ３００とを含む。また、企業内ＮＷは、図１に示すように、ユーザＰＣや、ファイルサーバ、ＳＷ（Switch）／ルータ、ＩＤＳ／ＩＰＳなどが含まれる。例えば、企業内ＮＷにおいては、ユーザＰＣからファイルサーバにアクセスされたり、或いは、ユーザＰＣからＦＷ２００を介してインターネットにアクセスされたりする。また、例えば、企業内ＮＷにおいては、ユーザＰＣからプロキシサーバ３００を介してインターネットにアクセスされる。

　ＦＷ２００は、企業内ＮＷに含まれるユーザＰＣ及びファイルサーバと、インターネット上の端末及びサーバとの間で実行される通信におけるパケットを監視する。具体的には、ＦＷ２００は、ユーザによって予め定義された条件に基づいて、インターネットと企業内ＮＷとの間のパケットの転送を制御する。例えば、ＦＷ２００は、パケットの５－ｔｕｐｌｅの情報（宛先ＩＰ（インターネットプロトコル(Internet　Protocol)）アドレス、送信元ＩＰアドレス、宛先ポート、送信ポート及びプロトコル）に基づいて、不正な通信に係るパケットか否かを判定して、不正な通信であると判定した場合には、パケットを破棄する。また、ＦＷ２００は、企業内ＮＷに含まれるユーザＰＣやファイルサーバとインターネットとの接続を、プロキシサーバ３００を介した接続となるように制御する。すなわち、ＦＷ２００は、企業内ＮＷに含まれるユーザＰＣやファイルサーバが、インターネットと直接接続されないように制御する。

　また、ＦＷ２００は、企業内ＮＷに含まれるユーザＰＣとファイルサーバとの間で実行される通信におけるパケットを監視する。具体的には、ＦＷ２００は、ユーザによって予め定義された条件に基づいて、ユーザＰＣとファイルサーバとの間のパケットの転送を制御する。例えば、ＦＷ２００は、パケットの５－ｔｕｐｌｅの情報に基づいて、不正な通信に係るパケットか否かを判定して、不正な通信であると判定した場合には、パケットを破棄する。

　ここで、ＦＷ２００は、自身を通過するパケットについて、各種ログを出力する。例えば、ＦＷ２００は、自身を通過したパケットの５－ｔｕｐｌｅの情報や、当該パケットの通過時刻（パケット通過のタイムスタンプ）の情報、さらには、当該パケットに対する判定結果（通過の可否の結果）の情報などを出力する。なお、上記した情報はあくまでも一例であり、ＦＷ２００は、機器によってその他の情報も適宜出力することが可能である。また、ＦＷ２００は、各種ログを出力するとともに、各種ログを記憶するものであってもよい。

　プロキシサーバ３００は、企業内ＮＷに含まれるユーザＰＣ及びファイルサーバと、インターネットに含まれる端末及びサーバとの通信を代理する。すなわち、プロキシサーバ３００は、企業内ＮＷに含まれるユーザＰＣ又はファイルサーバがインターネットにアクセスする場合に、アクセス先の端末又はサーバとの通信を代理で実行する。

　また、プロキシサーバ３００は、インターネットに含まれる端末及びサーバとの通信において一度読み込んだファイルを一定期間保持（キャッシュ）しておき、企業内ＮＷに含まれるユーザＰＣ又はファイルサーバから同様の接続要求があった場合に、キャッシュしたファイルを提供する。また、プロキシサーバ３００は、パケットの宛先ＵＲＬ（Uniform　Resource　Locator）などに基づいて、インターネット上の接続先のＷｅｂサイトや接続元のユーザ端末を制限したりする。

　ここで、プロキシサーバ３００は、自身が代理した通信におけるパケットのログを記憶する。例えば、プロキシサーバ３００は、通信の接続時間や、接続元のユーザ端末、接続結果、パケットの送受信サイズ、アクセス方法、アクセス先のＵＲＬの情報や、通信が行われた時刻（通信が実行されたタイムスタンプ）の情報などを記憶する。なお、上記した情報はあくまでも一例であり、プロキシサーバ３００は、機器によってその他の情報も適宜記憶することが可能である。

　ネットワーク監視装置１００は、企業内ＮＷにおいて転送されるパケットを監視して、不正な通信を高精度に検出する。具体的には、ネットワーク監視装置１００は、図１に示すように、ＦＷ２００及びプロキシサーバ３００からパケットの情報を収集して、不正な通信を検出する。例えば、ネットワーク監視装置１００は、ＦＷ２００やプロキシサーバ３００からログ情報（適宜、「ログデータ」と記載）を収集して分析することで、図１に示すように、「１：企業内ＮＷにおいてウィルス等に感染した感染ユーザＰＣとインターネット上の悪性サイトとの間で実行される通信」の検出や、「２：企業内ＮＷの内部での不正な通信の調査」、「３：インターネット上の攻撃者と企業内ＮＷに含まれるサーバ等との通信及び攻撃者によるデータの持ち出し」の検出などを行う。

［第１の実施形態に係るネットワーク監視装置の構成］
　次に、第１の実施形態に係るネットワーク監視装置の構成について説明する。図２は、第１の実施形態に係るネットワーク監視装置１００の構成の一例を示す図である。図２に示すように、ネットワーク監視装置１００は、ＦＷ２００及びプロキシサーバ３００に接続され、企業内ＮＷにおける通信を監視する。なお、図２においては、ＦＷ２００及びプロキシサーバ３００がそれぞれ１台ずつ示されているが、実際には、任意の台数のＦＷ２００及びプロキシサーバ３００がネットワーク監視装置１００に接続される。

　ネットワーク監視装置１００は、図２に示すように、通信制御Ｉ／Ｆ部１１０と、入力部１２０と、表示部１３０と、記憶部１４０と、制御部１５０とを有する。そして、ネットワーク監視装置１００は、企業内ＮＷに含まれるＦＷ２００及びプロキシサーバ３００からログ情報を収集して、収集したログ情報に基づいて、企業内ＮＷにおける通信を監視する。

　通信制御Ｉ／Ｆ部１１０は、企業内ＮＷに含まれるＦＷ２００及びプロキシサーバ３００と、制御部１５０との間でやり取りする各種情報に関する通信を制御する。例えば、通信制御Ｉ／Ｆ部１１０は、ＦＷ２００及びプロキシサーバ３００からのログ収集に係る通信を制御する。また、通信制御Ｉ／Ｆ部１１０は、入力部１２０及び表示部１３０と、制御部１５０との間での各種情報のやり取りを制御する。

　入力部１２０は、例えば、キーボードやマウスなどであり、ユーザによる種々の情報の入力処理を受付ける。一例を挙げると、入力部１２０は、ログ情報の分析するための条件などの入力処理などを受付ける。なお、ログ情報を分析するための条件については後述する。表示部１３０は、例えば、ディスプレイなどであり、ユーザに対して処理結果を表示出力する。一例を挙げると、表示部１３０は、ログ情報を分析するための条件に応じたログ情報を表示出力する。すなわち、表示部１３０は、企業内ＮＷにおける不正な通信に関するログ情報を表示出力する。

　記憶部１４０は、図１に示すように、ログＤＢ１４１と、分析情報ＤＢ１４２と、分析結果ＤＢ１４３とを有する。記憶部１４０は、例えば、ハードディスク、光ディスクなどの記憶装置、または、ＲＡＭ（Random　Access　Memory）、フラッシュメモリ（Flash　Memory）などの半導体メモリ素子であり、ネットワーク監視装置１００によって実行される各種プログラムなどを記憶する。

　ログＤＢ１４１は、後述する制御部１５０によってＦＷ２００及びプロキシサーバ３００のうち、少なくとも一方から収集されたログを記憶する。具体的には、ログＤＢ１４１は、後述する制御部１５０がＦＷ２００及びプロキシサーバ３００のうち少なくとも一方から収集し、正規化されたログ情報を記憶する。例えば、ログＤＢ１４１は、ＦＷ２００又はプロキシサーバ３００を通過したパケットの５－ｔｕｐｌｅの情報（宛先ＩＰアドレス、送信元ＩＰアドレス、宛先ポート、送信ポート及びプロトコル）や通信の接続時間や、接続結果、パケットの送受信サイズ、アクセス先のＵＲＬの情報や、タイムスタンプを含む情報が正規化されたログ情報を記憶する。

　図３は、第１の実施形態に係るログＤＢ１４１によって記憶されるログ情報の一例を示す図である。例えば、ログＤＢ１４１は、図３に示すように、タイムスタンプの情報に基づいて、各パケットの情報を時系列に並べたログ情報を記憶する。すなわち、ログＤＢ１４１は、図３に示すように、「日付／時刻」に宛先ＩＰアドレスと、送信元ＩＰアドレスと、宛先ポートと、送信ポートと、プロトコルと、送信サイズと、受信サイズと、宛先ＵＲＬと、ユーザエージェントと、リクエストメソッドと、判定結果とが対応付けられたログ情報を記憶する。

　ここで、図３に示す「日付／時刻」とは、パケットがＦＷ２００を通過した時刻、又は、プロキシサーバ３００が通信を実行した時刻を示す。また、図３に示す「宛先ＩＰアドレス」とは、パケットの宛先の端末（企業内ＮＷのユーザＰＣや、インターネット上の端末など）又はサーバ（企業内ＮＷのファイルサーバや、インターネット上のサーバなど）のＩＰアドレスを示す。また、図３に示す「送信元ＩＰアドレス」とは、パケットの送信元の端末（企業内ＮＷのユーザＰＣや、インターネット上の端末など）又はサーバ（企業内ＮＷのファイルサーバや、インターネット上のサーバなど）のＩＰアドレスを示す。

　また、図３に示す「宛先ポート」とは、パケットの宛先となる端末（企業内ＮＷのユーザＰＣや、インターネット上の端末など）又はサーバ（企業内ＮＷのファイルサーバや、インターネット上のサーバなど）のポートを示す。また、図３に示す「送信ポート」とは、パケットの送信元となる端末（企業内ＮＷのユーザＰＣや、インターネット上の端末など）又はサーバ（企業内ＮＷのファイルサーバや、インターネット上のサーバなど）のポートを示す。また、図３に示す「プロトコル」とは、パケットの送受信に用いられる通信プロトコルを示す。

　また、図３に示す「送信サイズ」とは、ＦＷ２００又はプロキシサーバ３００が送信したパケットのサイズを示す。また、図３に示す「受信サイズ」とは、ＦＷ２００又はプロキシサーバ３００が受信したパケットのサイズを示す。また、図３に示す「宛先ＵＲＬ」とは、端末（企業内ＮＷのユーザＰＣや、インターネット上の端末など）によってアクセスされるサーバ（企業内ＮＷのファイルサーバや、インターネット上のサーバなど）上のサイトのＵＲＬを示す。

　また、図３に示す「ユーザエージェント」とは、サーバ（企業内ＮＷのファイルサーバや、インターネット上のサーバなど）上のサイトにアクセスする端末（企業内ＮＷのユーザＰＣや、インターネット上の端末など）のブラウザの情報を示す。例えば、ユーザがＷｅｂサイトの閲覧を要求すると、サイトをホストするサーバに対してブラウザから一連のヘッダが送信される。各ヘッダは、閲覧が要求された情報を提供する最適な方法をサーバ側で決定するための詳細な情報を含む。ここで、「ユーザエージェント」は、サーバに対して情報を要求しているアプリケーションを識別するためのヘッダである。一例を挙げると、「ユーザエージェント」には、Ｗｅｂサイトの閲覧を要求した端末のブラウザや、ブラウザのバージョン、ＯＳなどの情報が含まれる。

　また、図３に示す「リクエストメソッド」とは、端末（企業内ＮＷのユーザＰＣや、インターネット上の端末など）から（企業内ＮＷのファイルサーバや、インターネット上のサーバなど）に発信される要求を示す。「リクエストメソッド」としては、例えば、ブラウザがサーバに対してＷｅｂサイトの取得を要求する「ＧＥＴ」や、ヘッダのみの情報を要求する「ＨＥＡＤ」、サーバにファイルのアップロードを要求する「ＰＵＴ」、「ＰＯＳＴ」などがある。

　また、図３に示す「判定結果」とは、ＦＷ２００や、プロキシサーバ３００による判定結果を示す。例えば、「判定結果」としては、ユーザによって予め定義された条件に基づくユーザＰＣとインターネットとの間のパケットの転送制御の結果を含む。また、「判定結果」としては、例えば、パケットの宛先ＵＲＬなどに基づくインターネット上の接続先のＷｅｂサイトや接続元のユーザ端末の接続制限の結果を含む。

　上述したように、ログＤＢ１４１は、後述する制御部１５０によって収集され、図３に示すようなログ情報を記憶する。ここで、図３に示すログ情報はあくまでも一例であり、実施形態はこれに限定されるものではない。すなわち、ログＤＢ１４１は、ログ情報としてその他の情報を記憶することも可能である。また、すべてのパケットについて、図３に示す全ての情報が収集されるわけではなく、例えば、ログを出力するログ出力機器に応じたログが収集される。言い換えると、ログ出力機器の種類によっては、いずれかの情報が収集されない場合もある。

　図２に戻って、分析情報ＤＢ１４２は、後述する制御部１５０による分析に用いられる情報を記憶する。具体的には、分析情報ＤＢ１４２は、ログＤＢ１４１によって記憶されるログ情報の中から、所定の条件を満たすログ情報を抽出する際の各種情報を記憶する。例えば、分析情報ＤＢ１４２は、パケットのヘッダに含まれる情報でログ情報を抽出する場合のキーとなる情報を記憶する。一例を挙げると、分析情報ＤＢ１４２は、ユーザエージェントに含まれる文字列によってログ情報を抽出する場合のキーとなる情報を記憶する。例えば、分析情報ＤＢ１４２は、所定の文字列以外の文字列がユーザエージェントに含まれるログ情報を抽出するための所定の文字列を記憶する。なお、上述した例は、あくまでも一例であり、分析情報ＤＢ１４２によって記憶される情報は、これに限られるものではない。すなわち、分析情報ＤＢ１４２は、ログＤＢ１４１によって記憶されるログ情報の中から、所定の条件を満たすログ情報を抽出する際に用いることができる情報であれば、どのような情報でも記憶することができる。

　分析結果ＤＢ１４３は、後述する制御部１５０による分析結果を記憶する。具体的には、分析結果ＤＢ１４３は、後述する制御部１５０がログＤＢ１４１に記憶されるログ情報から所定の条件に基づいて抽出したログ情報を記憶する。より具体的には、分析結果ＤＢ１４３は、ログＤＢ１４１に記憶されるログ情報が経時的に分析されることで抽出された、所定の期間において所定の条件を満たすログ情報を記憶する。

　制御部１５０は、ログ収集部１５１と、ログ分析部１５２と、出力制御部１５３とを有する。制御部１５０は、例えば、ＣＰＵ（Central　Processing　Unit）やＭＰＵ（Micro　Processing　Unit）などの電子回路やＡＳＩＣ（Application　Specific　Integrated　Circuit）やＦＰＧＡ（Field　Programmable　Gate　Array）などの集積回路であり、ネットワーク監視装置１００の全体制御を実行する。

　ログ収集部１５１は、企業内ＮＷを転送されるパケットについて、企業内ＮＷに含まれるＦＷ２００及びプロキシサーバ３００のうち少なくとも一方から通過するパケットに関するログを収集する。具体的には、ログ収集部１５１は、ＦＷ２００からパケットの５－ｔｕｐｌｅの情報や、当該パケットの通過時刻（パケット通過のタイムスタンプ）の情報、さらには、当該パケットに対する判定結果（不正な通信か否かの結果）の情報などを収集する。また、ログ収集部１５１は、プロキシサーバ３００から通信の接続時間や、接続元のユーザ端末、接続結果、パケットの送受信サイズ、アクセス方法、アクセス先のＵＲＬの情報や、通信が行われた時刻（通信が実行されたタイムスタンプ）の情報などを収集する。

　そして、ログ収集部１５１は、収集した情報を正規化することで形式の異なるログファイルを統一された共通の形式のログ情報に変換する。そして、ログ収集部１５１は、正規化したログ情報をログＤＢ１４１に格納する。例えば、ログ収集部１５１は、上述したログの情報を正規化したログ情報をログＤＢ１４１に格納する（図３参照）。すなわち、ログ収集部１５１は、ログ情報として、企業内ＮＷを転送されるパケットにおける宛先ＩＰアドレスと、送信元ＩＰアドレスと、宛先ポートと、送信ポートと、プロトコルと、パケットの送受信サイズと、パケットの宛先ＵＲＬと、ユーザエージェントと、リクエストメソッドと、ＦＷ２００又はプロキシサーバ３００による判定結果と、時刻情報とを含むログ情報をログＤＢ１４１に格納する。

　ここで、ログ収集部１５１は、後述するログ分析部１５２によるログ情報の分析の条件に応じて、収集するログ情報を選択することも可能である。例えば、ログ収集部１５１は、ネットワークを転送されるパケットにおける宛先ＩＰアドレスと、送信元ＩＰアドレスと、宛先ポートと、送信ポートと、プロトコルと、時刻情報（タイムスタンプ）とを含むログを収集する。或いは、ログ収集部１５１は、ネットワークを転送されるパケットにおける宛先ＩＰアドレスと、送信元ＩＰアドレスと、宛先ポートと、送信ポートと、プロトコルと、パケットの送受信サイズと、時刻情報（タイムスタンプ）とを含む情報を収集する。或いは、ログ収集部１５１は、ログ情報として、ネットワークを転送されるパケットにおける宛先ＩＰアドレスと、送信元ＩＰアドレスと、宛先ポートと、送信ポートと、プロトコルと、パケットの宛先ＵＲＬと、ユーザエージェントと、リクエストメソッドと、時刻情報（タイムスタンプ）とを含む情報を収集する。すなわち、収集されるログ情報が選択されることにより、ログ収集部１５１によってログＤＢ１４１に格納されるログ情報の構成は適宜変化することとなる。

　ログ分析部１５２は、ログ収集部１５１によって収集されたログ情報を経時的に分析することで、所定の期間において所定の条件を満たすログ情報を抽出する。具体的には、ログ分析部１５２は、ログ収集部１５１によって収集されたログ情報に基づいて、所定の期間において通信のコネクション数及び間隔が所定の条件を満たすログ情報を抽出する。例えば、ログ分析部１５２は、ログ収集部１５１によって収集されたログ情報の宛先ＩＰアドレスと、送信元ＩＰアドレスと、宛先ポートと、送信ポートと、プロトコルと、時刻情報とを用いて、ログＤＢ１４１に記憶されたログ情報の中から通信のコネクションの数が「１０回」であり、かつ、その時間間隔が「３０秒」ごとに発生する通信が所定の期間継続しているログ情報を抽出する。そして、ログ分析部１５２は、抽出したログ情報を分析結果ＤＢ１４３に格納する。

　また、ログ分析部１５２は、ログ収集部１５１によって収集されたログ情報に基づいて、所定の期間においてパケットの送受信サイズが前記所定の条件を満たすログ情報を抽出する。例えば、ログ分析部１５２は、ログ収集部１５１によって収集されたログ情報の宛先ＩＰアドレスと、送信元ＩＰアドレスと、宛先ポートと、送信ポートと、プロトコルと、パケットの送受信サイズと、時刻情報とを用いて、ログＤＢ１４１に記憶されたログ情報の中からパケットの送受信サイズがそれぞれ所定のバイト数を上回っている通信が所定の期間継続しているログ情報を抽出する。そして、ログ分析部１５２は、抽出したログ情報を分析結果ＤＢ１４３に格納する。

　また、ログ分析部１５２は、ログ収集部１５１によって収集されたログ情報に基づいて、所定の期間においてログに含まれる元の通信のヘッダ情報が所定の条件を満たすログ情報を抽出する。例えば、ログ分析部１５２は、ログ収集部１５１によって収集されたログ情報の宛先ＩＰアドレスと、送信元ＩＰアドレスと、宛先ポートと、送信ポートと、プロトコルと、パケットの宛先ＵＲＬと、ユーザエージェントと、リクエストメソッドと、時刻情報とを用いて、ユーザエージェントに含まれる文字列が分析情報ＤＢ１４２に記憶されていない文字列である通信が所定の期間継続しているログ情報を抽出する。そして、ログ分析部１５２は、抽出したログ情報を分析結果ＤＢ１４３に格納する。

　このように、ログ分析部１５２は、ログ収集部１５１によって収集されたログ情報を経時的に分析することで、所定の期間において所定の条件を満たすログ情報を抽出する。ここで、上述した抽出の例は、あくまでも一例であり、ログ情報を抽出する条件はユーザが任意に設定することができる。例えば、複数の情報（例えば、図３に示す各情報）に対して種々の条件を設定し、設定した条件を満たす通信が所定の期間継続するログ情報を抽出するようにしてもよい。また、これらの条件の設定は、ログ情報を分析する際に入力部１２０を介してユーザが入力する場合であってもよく、或いは、予め設定した条件をログ分析部１５２が読み出す場合であってもよい。ここで、ユーザが不正な通信と類推される条件を種々設定して、分析させることで不正通信の可能性が高いログ情報を検出することが可能となる。

　出力制御部１５３は、ログ分析部１５２によって分析され、分析結果ＤＢ１４３に記憶された分析結果を表示部１３０に表示出力するように制御する。すなわち、出力制御部１５３は、ユーザによって設定された条件で抽出されたログ情報を表示出力させる。従って、ユーザが不正な通信と類推される条件を種々設定することで、不正な通信の可能性が高い情報を表示部１３０に確認することができる。

［第１の実施形態に係るネットワーク監視装置による処理の手順］
　次に、第１の実施形態に係るネットワーク監視装置１００による処理の手順について、図４を用いて説明する。図４は、第１の実施形態に係るネットワーク監視装置１００による処理の手順を示すフローチャートである。図４に示すように、第１の実施形態に係るネットワーク監視装置１００においては、ログ収集部１５１が、ＦＷ２００及びプロキシサーバ３００からログ情報を収集し（ステップＳ１０１）、収集したログ情報を正規化してログＤＢ１４１に格納する（ステップＳ１０２）。

　そして、入力部１２０が操作者から分析の条件を受け付けると（ステップＳ１０３肯定）、ログ分析部１５２が、受け付けた分析の条件に応じたログ情報を抽出する（ステップＳ１０４）。その後、ログ分析部１５２は、抽出したログ情報である分析結果を分析結果ＤＢ１４３に格納する（ステップＳ１０５）。なお、ログ分析部１５２が分析の条件を受け付けるまで、ログ情報の収集が継続して実行される（ステップＳ１０３否定）。

　そして、出力制御部１５３が、分析結果ＤＢ１４３に記憶される分析結果を表示部１３０に表示出力する（ステップＳ１０６）。

［第１の実施形態の効果］
　上述したように、第１の実施形態によれば、ログ収集部１５１が、企業ＮＷを転送されるパケットについて、企業ＮＷに含まれるＦＷ２００及びプロキシサーバ３００のうち少なくとも一方からログ情報を収集する。そして、ログ分析部１５２が、ログ収集部１５１によって収集されたログ情報を経時的に分析することで、所定の期間において所定の条件を満たすログ情報を抽出する。従って、第１の実施形態に係るネットワーク監視装置１００は、所定の条件を満たすログ情報の経時的な変化に基づいてログ情報を抽出することで、これまでは見逃されていた不正な通信の候補を検出することができ、不正な通信を効率よく特定することを可能とする。

　例えば、従来技術のＦＷにおいては、パケットごとに通過の可否を決定しており、攻撃成功時の通過したパケットについてのログを単一で見るだけでは攻撃者の通信が見分けることができず、進化し続ける未知の攻撃に対して対応が遅れることがあった。また、例えば、従来技術のＩＤＳやＩＰＳのシグネチャ型においても、予め定義されたパターンに基づくため、未知の攻撃への対応が遅れる場合があった。これに対して、本願のネットワーク監視装置１００では、所定の条件を満たすログ情報の経時的な分析をすることで、これまでに検出できなかった攻撃などを検出することができ、不正な通信を効率よく特定することを可能とする。

　また、例えば、本願に係るネットワーク監視装置１００では、ＦＷ２００やプロキシサーバ３００に記憶された複数のログの情報に関する所定の条件を柔軟に変化させることで、不正な通信を幅広く検出することができる。

　また、第１の実施形態によれば、ログ収集部１５１は、ログ情報として、企業ＮＷを転送されるパケットにおける宛先ＩＰアドレスと、送信元ＩＰアドレスと、宛先ポートと、送信ポートと、プロトコルと、タイムスタンプとを含む情報を収集する。そして、ログ分析部１５２は、ログ収集部１５１によって収集されたログ情報に基づいて、所定の期間において通信のコネクション数及び間隔が所定の条件を満たすログ情報を抽出する。従って、第１の実施形態に係るネットワーク監視装置１００は、例えば、悪性サイトと継続して実行される通信や、インターネット上の攻撃者によるデータの持ち出しなどの不正な通信を検出することができる。

　また、第１の実施形態によれば、ログ収集部１５１は、ログ情報として、ネットワークを転送されるパケットにおける宛先ＩＰアドレスと、送信元ＩＰアドレスと、宛先ポートと、送信ポートと、プロトコルと、パケットの送受信サイズと、タイムスタンプとを含む情報を収集する。また、ログ分析部１５２は、ログ収集部１５１によって収集されたログ情報に基づいて、所定の期間においてパケットの送受信サイズが所定の条件を満たすログ情報を抽出する。従って、第１の実施形態に係るネットワーク監視装置１００は、例えば、インターネット上の攻撃者から企業ＮＷ内のファイルサーバへの攻撃などの不正な通信を検出することができる。

　また、第１の実施形態によれば、ログ収集部１５１は、ログ情報として、企業ＮＷを転送されるパケットにおける宛先ＩＰアドレスと、送信元ＩＰアドレスと、宛先ポートと、送信ポートと、プロトコルと、パケットの宛先ＵＲＬと、ユーザエージェントと、リクエストメソッドと、タイムスタンプとを含む情報を収集する。ログ分析部１５２は、ログ収集部１５１によって収集されたログ情報に基づいて、所定の期間においてログに含まれる元の通信のヘッダ情報が所定の条件を満たすログ情報を抽出する。従って、第１の実施形態に係るネットワーク監視装置１００は、例えば、不正なＨＴＴＰヘッダ情報を含む不正な通信を検出することができる。

（第２の実施形態）
　次に、第２の実施形態に係る検出装置（第１の実施形態に係るネットワーク監視装置に対応）について説明する。第２の実施形態に係る検出装置では、現状では検出が難しいサイバー攻撃を検出し、また、攻撃成功後の攻撃者との間の通信や情報漏えいなどの事象を検出することができる。

　従来、企業内ネットワークなどの内部ネットワークをインターネットなどの外部ネットワークに接続し、外部ネットワーク上に展開された各種のサービスを利用することは極めて一般的なこととなっている。その一方で、ネットワークを介しての各種のサービスやインフラストラクチャ（社会基盤）へのサイバー攻撃は多種多様な手法を用いた執拗なものへと日々進化しており、ますますそれらの脅威が増大している。

　それらの脅威の一例としては、内部ネットワーク内に設けられているサーバに対して外部ネットワークから不正にアクセスし、機密情報を盗み出す、というものがある。単純に外部ネットワークから内部ネットワークに不正にアクセスするだけではなく、内部ネットワークに接続されているＰＣ（パーソナルコンピュータ）に対し、悪意のあるソフトウェアを不正に埋め込み、すなわち悪意のあるソフトウェアによってＰＣを感染させ、その感染させたソフトウェアを用いて内部ネットワーク内のサーバから不正に情報を収集して外部に送信する、というものもある。また、不正なパケットを外部ネットワークから内部ネットワークに送りつけることによって、内部ネットワーク内のサーバの正常な動作を妨げる、というものもある。

　そのような脅威から内部ネットワークを防御するために、外部ネットワークと内部ネットワークとの接続点にファイアウォール（ＦＷ）を設けた上で、ＩＤＳ／ＩＰＳを配備するようになってきている。ＩＤＳ／ＩＰＳは、外部からの侵入を疑わせる事象を検出し、さらに、そのような事象を検出した場合に、通信の切断など、必要な防御策を実行するシステムである。

　図５は、不正なアクセスや侵入を検出して防御するためのシステムの構成の一例を示す図である。ここでは、外部ネットワーク６１に対して内部ネットワーク６２が接続している。いずれのネットワークもＩＰパケットを転送するものであり、ＩＰの上位レイヤのプロトコルとして、ＴＣＰ（伝送制御プロトコル(Transmission　Control　Protocol)）あるいはＵＤＰ（ユーザデータプロトコル(User　Datagram　Protocol)）が用いられている。

　外部ネットワーク６１と内部ネットワーク６２との間には、パケットフィルタリングを行うことによって不正な通信を防止するためのファイアウォール７１が設けられている。ファイアウォール７１は、パケットヘッダに含まれるいわゆる５－タプル（5-tuple）に基づいてパケットフィルタリングの処理を実行する。５－タプルは、ＩＰパケットのヘッダに含まれる送信元ＩＰアドレス、宛先ＩＰアドレス及びプロトコルと、ＴＣＰパケットあるいはＵＤＰパケットのヘッダに含まれる送信元ポート番号及び宛先ポート番号からなる５つのパラメータの組み合わせである。ファイアウォール７１は、ログ機能を有しており、通過しようとしたパケットについての通過の可否に関するログを管理者に提供できるようになっている。

　内部ネットワーク６２内には、例えばサーバ７５、７６が設けられるとともに、ファイアウォール７１では阻止できなかった不正アクセスや侵入などのサイバー攻撃を検出し防御するためにＩＤＳ／ＩＰＳ７３も設けられている。ＩＤＳ／ＩＰＳ７３は、不正なアクセスや侵入などを検出すると、ネットワークの管理者６３に対して警報を発する。

　不正アクセスや侵入を検出するためにＩＤＳ／ＩＰＳ７３に用いられる検出方法としては、大きく分けるとシグネチャ型とアノマリ型とがある。シグネチャ型の検出方法では、不正アクセスや侵入等を特徴づけるビット列が既知であるとして、ネットワーク内のある地点を通過するパケットを検査し、その中に不正なビット列が存在する場合に異常として検出する。一方、アノマリ型では、リソースの負荷や通信量、ユーザの振る舞いなどに関して正常状態を定義し、各種のログや統計情報、負荷量、通信量などを監視し、ネットワークやそこに接続されるサーバの状態が正常状態から外れる場合に異常として検出する。シグネチャ型は、予め定義されたパターンとのマッチングに基づくものであって、不正なビット列が既知であることが前提なので、未知の攻撃への対応が遅れがちになるという課題を有する。一方、アノマリ型では、正常状態を厳密に定義すると誤検知が多くなるので、もれなく不正な通信を見つけるのが難しい、という課題がある。

　サイバー攻撃の手法は進化し多様化しているが、ファイアウォールからのログを見て判断したり、ＩＤＳ／ＩＰＳなどを用いてシグネチャやパターンファイルとのマッチングによって防御したりする手法だけでは、進化し続けるサイバー攻撃に対応することが難しい。したがって、従来のファイアウォールやＩＤＳ／ＩＰＳといったセキュリティアプライアンスによる防御では十分ではなく、サイバー攻撃を取りこぼすことなく検出する新たな技術が必要である。また、トラフィック流量が閾値を超える場合や、あらかじめ定められたパターンとはずれた場合を異常として検知するセキュリティアプライアンスも存在するが、内部ネットワーク上の感染端末（悪意のあるソフトウェアが埋め込まれてしまった端末）と外部ネットワーク側の攻撃者との間の継続的な通信などは検出することができないという問題がある。

　そこで、第２の実施形態に係る検出装置では、現状では検出が難しい上述したような進化したサイバー攻撃を検出し、また、攻撃成功後の攻撃者との間の通信や情報漏えいなどの事象を検出することで、上記の問題を解決する。

　次に、第２の実施形態に係る検出装置について、図面を参照して説明する。図６は、第２の実施形態に係る検出装置の構成を示すブロック図である。

　図６に示す検出装置２０は、ＩＰパケットが転送される内部ネットワークに設けられるものである。内部ネットワークは、外部ネットワークであるインターネットに対してファイアウォール４１を介して接続しているものとし、また、内部ネットワーク内には、ウェブアクセスのためのプロキシサーバ４４が設けられているものとする。プロキシサーバ４４は、内部ネットワーク内の端末からインターネット上のウェブサイトへのアクセスを代理し必要に応じてアクセス制限を行うものであり、特に、ｈｔｔｐ（ハイパーテキスト転送プロトコル：Hypertext　Transmission　Protocol）やｈｔｔｐｓ(http　secure)によるメッセージの代理応答や転送制御を行う。第２の実施形態に係る検出装置２０は、ＩＤＳ／ＩＰＳといった従来のセキュリティアプライアンスとは別個に設けられるものである。検出装置２０は、ファイアウォール４１とプロキシサーバ４４からのログを用いて、ログの時系列に着目した相関分析を行い、その分析結果から不正なパターンを抽出することで、サイバー攻撃や情報漏えいの発生を検出する。時系列に着目した相関分析は長期にわたって行うことが好ましい。検出装置２０は、ファイアウォール４１及びプロキシサーバ４４から取得されるログにおいて、特に、５－タプルと、送信サイズ、受信サイズ、宛先ＵＲＬ、Ｕｓｅｒ－Ａｇｅｎｔ名、リクエストメソッド及びタイムスタンプとを使用する。ここで、送信サイズ及び受信サイズは、ファイアウォール４１のログからもｈｔｔｐヘッダからも得ることができるものである。宛先ＵＲＬ、Ｕｓｅｒ－Ａｇｅｎｔ名及びリクエストメソッドは、いずれも、ｈｔｔｐヘッダあるいはｈｔｔｐｓヘッダから得られるものである。タイムスタンプは、ファイアウォール４１やプロキシサーバ４４などの機器におけるログの記録に関する時刻情報であり、例えば、ログに対応するイベントの発生時刻、あるいは実際にログを記録した時刻を表すものである。

　このような検出装置２０は、図６に示すように、大別すると、ファイアウォール４１及びプロキシサーバ４４からログデータを収集して記憶するログ収集部２１と、ログ収集部２１に記憶されたログデータの分析を行うログ分析部２２とから構成されている。

　ログ収集部２１は、ファイアウォール４１及びプロキシサーバ４４からログデータを収集する収集実行部３１と、分析を容易にするためにログデータの正規化を行う正規化部３２と、正規化されたログデータが格納されるログ管理記憶部３３と、ログ分析部２２からの問合せに応じてログ管理記憶部３３内のログデータを検索し、ログ管理記憶部３３からの検索結果の応答を受け取ってログ分析部２２に渡すログ抽出部３４と、を備えている。収集実行部３１が収集するログデータは、例えば、宛先ＩＰアドレス、送信元ＩＰアドレス、宛先ポート、送信ポート、プロトコルの５－タプルの情報に加えて、送信サイズ、受信サイズ、宛先ＵＲＬ、Ｕｓｅｒ－Ａｇｅｎｔ名、リクエストメソッド、タイムスタンプの情報を含んでいる。さらにはログデータは、ファイアウォール４１及びプロキシサーバ４４において、対象とするパケットあるいはｈｔｔｐメッセージを通過させたかあるいは不正なものとして拒絶したかの判定結果（これを機器判定結果と呼ぶ）や、ファイアウォール４１及びプロキシサーバ４４の各々の装置ＩＤなどの情報を含んでいてもよい。ファイアウォール４１やプロキシサーバ４４から出力されるログデータの書式が統一されたものである場合などには、必ずしも正規化処理を行わなくても分析を容易に行えるので、正規化部３２を設けることなく収集実行部３１で収集したログデータを、直接、ログ管理記憶部３３に格納するようにしてもよい。

　一方、ログ分析部２２は、ログ収集部２１のログ抽出部３４に対して問合せを行ってログを取得するログ取得部３５と、ログ取得部３５に対してログデータを要求してその応答を受け取り、設定された分析条件に応じてログデータの分析を行う分析実行部３６と、分析実行部３６から出力される分析結果を格納する分析結果ＤＢ（データベース）３７と、を備えている。さらに、柔軟な分析及び分析精度向上のために、ログ分析部２２は、ネットワーク（ＮＷ）情報を格納する記憶部３８（適宜「ＮＷ情報３８」と記載）と、分析条件として各種の分析ルールを格納する記憶部３９（適宜「分析ルール３９」と記載）とを備えていてもよい。ネットワーク情報は、監視対象のネットワークのトポロジーやアドレス及びサブネットなどの情報であって、ログ取得部３５がログ収集部２１からログデータを取得した際に、ログデータに関係する通信の方向がどちらの方向であるのか（内部ネットワークから外部ネットワークに向かう通信か、その逆方向か、または内部ネットワークに閉じた通信か）を判別するために使用される。判別した通信方向は、ログデータとともに分析実行部３６に送られる。

　この検出装置２０では、分析実行部３６は、単一のログデータではなく複数のログデータについて時系列相関を分析するための分析ルールを記憶部３９から複数読み込むことができるようにすることができる。複数の分析ルールを読み込む場合には、分析実行部３６は、ログ収集部２１に蓄積されたログデータのうち、各分析ルールで定められた項目の値を分析に使用し、各分析ルールごとの分析結果を出力する。さらに分析実行部３６は、各分析ルールによる分析結果の組み合わせパターンから、不正な通信の候補を識別してその候補を出力する。

　次に、この検出装置２０の動作について説明する。

　内部ネットワーク内のファイアウォール４１及びプロキシサーバ４４からは、随時、ログデータが送信されており、ログ収集部２１において収集実行部３１がそれらのログデータを収集して正規化部３２に転送し、正規化部３２はログデータの正規化を行ってログ管理記憶部３３内に格納する。一方、ログ分析部２２において、分析実行部３６は、ログデータ要求をログ取得部３５に送り、ログ取得部３５は、ログデータ要求に基づいてログ収集部２１内のログ抽出部３４に問合せを行い、ログ抽出部３４は、問合せに基づいてログ管理記憶部３３内のログデータを検索する。この検索に対する結果応答がログ管理記憶部３３からログ抽出部３４に送られ、それにより、ログ取得部３５がログ抽出部３４からログデータを取得する。次にログ取得部３５は、ＮＷ情報３８内のネットワーク情報に基づいて、取得したログデータに関係する通信の通信方向を判定し、ログデータと通信方向の判定結果とをログデータ応答として分析実行部３６に送る。すると分析実行部３６は、分析ルール３９から読出した単一もしくは複数の分析ルールをログデータに適用し、時系列相関分析によって不正通信の候補を抽出する。特に、複数の分析ルールを適用した場合には、分析実行部３６は、複数の分析ルールから得られた分析結果の出力頻度やパターンを解析することで、より精度よく不正な通信を検出する。抽出された不正通信の候補は、分析結果ＤＢ３７に蓄積される。

　企業内多くの内部ネットワークでは、ファイアウォールを通過できるパケットのプロトコルやポート番号が限定されている。通過できる数少ないプロトコル／ポート番号の代表的なものが、ウェブアクセスのためのｈｔｔｐメッセージである。このため、悪意のあるソフトウェアを内部ネットワーク上の端末に感染させ、そのソフトウェアを用いて内部ネットワーク上の端末やサーバ内のデータを盗み出そうとする場合、攻撃者はｈｔｔｐメッセージを利用することが考えられる。第２の実施形態に係る検出装置２０では、ファイアウォール４１からのログデータに加え、ウェブアクセス用のプロキシサーバ４４からのログデータを用いることにより、不正の疑いがあるｈｔｔｐ通信を検出することができ、特に、感染端末と攻撃者との間の通信や、情報漏えいの恐れのある通信を検出することができる。

　第２の実施形態に係る検出装置２０は、その使用するログデータ自体としては既存の装置から出力されるものを利用できるので、ネットワーク構成に大きな影響を与えることなく、導入することが可能である。

　以下、第２の実施形態に係る検出装置２０において利用可能な分析ルール、とりわけ感染端末と攻撃者との間の通信や情報漏えいの恐れのある通信を検出するために利用することができ、ログデータについて時系列相関を分析することができる分析ルールの例について、説明する。

　（１）ｈｔｔｐコネクションの送信バイト数に着目し、ログ収集部２１に蓄積されたログデータのうち少なくとも５－タプルの情報と送信バイト数、タイムスタンプの情報とを基にして、タイムスタンプの時刻情報を参照し、設定された期間内で送信バイト数の値が正常値と差がある通信を不正の疑いがある通信とする。

　（２）ｈｔｔｐコネクションの数に着目し、ログ収集部２１に蓄積されたログデータのうちの少なくとも５－タプルの情報と宛先ＵＲＬ、タイムスタンプの情報とを基にして、タイムスタンプの時刻情報を参照し、設定された期間内で同一通信の組のコネクション数が正常値と差がある通信を不正の疑いがある通信とする。

　（３）内部ネットワークにあらかじめポリシーが設定されているとして、ポリシー違反のコネクションに着目し、ログ収集部２１に蓄積されたログデータのうち少なくとも５－タプルの情報と、上述の機器判定結果、タイムスタンプの情報とを基にして、タイムスタンプの時刻情報を参照し、設定された期間内で同一通信の組のコネクションにおけるポリシー違反の発生頻度が正常値と差がある通信を不正の疑いがある通信とする。

　（４）ｈｔｔｐコネクションの送受信バイト数の差分に着目し、ログ収集部２１に蓄積されたログデータのうち少なくとも５－タプルの情報と送信バイト数、受信バイト数、タイムスタンプの情報とを基にして、タイムスタンプの時刻情報を参照し、設定された期間内で、送信バイト数と受信バイト数の差の値が正常値と差がある通信を不正の疑いがある通信とする。

　（５）ｈｔｔｐ通信のヘッダの情報のうちＵｓｅｒ－Ａｇｅｎｔ名に着目し、ログ収集部２１に蓄積されるログデータのうち少なくとも５－タプルの情報とＵｓｅｒ－Ａｇｅｎｔ名、タイムスタンプの情報とを基にして、タイムスタンプの時刻情報を参照し、設定された期間内でＵｓｅｒ－Ａｇｅｎｔ名が正常値と差がある通信を不正の疑いがある通信とする。

　（６）ｈｔｔｐ通信のヘッダの情報のうちリクエストメソッドと送受信バイト数に着目し、ログ収集部２１に蓄積されたログデータのうち少なくとも５－タプルの情報と送信バイト数、受信バイト数、リクエストメソッド、タイムスタンプの情報とを基にして、タイムスタンプの時刻情報を参照し、設定された期間内で特定のリクエストメソッドとその通信に伴う送受信バイト数の差の値が正常値と差がある通信を不正の疑いがある通信とする。

　（７）宛先ＵＲＬに着目し、ログ収集部２１に蓄積されたログデータのうち少なくとも５－タプルの情報と宛先ＵＲＬ、タイムスタンプの情報とを基にして、タイムスタンプの時刻情報を参照し、設定された期間内で宛先ＵＲＬに異常がある通信を不正の疑いがある通信とする。

　例えば、第２の実施形態に係る検出装置２０は、専用ハードウェアとして構成することもできるが、マイクロプロセッサやメモリ、通信インタフェースなどを備える汎用のコンピュータを利用し、検査装置２０の機能を実行するコンピュータプログラムをこのコンピュータ上で実行させることによっても実現できる。なお、第１の実施形態に係るネットワーク監視装置１００についても同様である。

　図７は第２の実施形態に係る検出装置が適用されるネットワークの構成の一例を示す図である。内部ネットワークである企業内ネットワーク１２がインターネット１１に接続しており、企業内ネットワーク１２とインターネット１１との接続点にはファイアウォール４１が設けられている。企業内ネットワーク１２内では、ファイアウォール４１に接続するスイッチ（ＳＷ）／ルータ４２が設けられており、スイッチ／ルータ４２にはＩＤＳ／ＩＰＳ４３、プロキシサーバ４４、ファイルサーバ４５、４６、端末であるユーザＰＣ４７～４９が設けられている。そして上述した検査装置２０が、ファイアウォール４１及びプロキシサーバ４４からログデータを受け取るように設けられている。図には示されていないが、企業内ネットワーク１２では、そのネットワークがさらにいくつかのセグメントに分割されてセグメント分割点に内部ファイアウォールが設けられていてもよい。内部ファイアウォールのログデータも検査装置２０に提供されるようにすれば、企業内ネットワーク１２内を始終点とする不正の疑いがある通信を検出することができる。

　インターネット１１には、悪性サイト５１が存在し、また、攻撃者５２も存在するものとする。ここで、ユーザＰＣ４７～４９のうち、二重線の枠で示されているユーザＰＣ４９は、悪意のあるソフトウェアが埋め込まれた感染端末であるとする。攻撃者が企業内ネットワーク１２内から情報を窃取しようとする場合、典型的な例では、まず、［１］で示すように、ユーザＰＣ４９が悪性サイト５１と通信してファイルサーバ４５、４６の調査を指示され、次に、［２］に示すように、ユーザＰＣ４９が内部での調査活動を行ってファイルサーバ４５、４６から情報を入手し、最後に、［３］に示すように、感染端末であるユーザＰＣ４９が攻撃者５２として通信して、不正に入手したデータを攻撃者５２に送信することによりデータがインターネット１１側に持ち出される。第２の実施形態に係る検査装置２０を用い上述したような分析ルールを適用することによって、図において［１］、［２］、［３］で示すいずれの段階においても、ファイアウォール４１及び内部ファイアウォールの少なくとも一方からのログデータと、プロキシサーバ４４からのログデータとに基づいて、不正の疑いがある通信を検出することができる。

　このように、第２の実施形態に係る検出装置では、ファイアウォール及びプロキシサーバという既存のネットワークにおいて一般的に設けられている装置からのログデータを用い、これらのログデータを組み合わせることによって、不正の疑いがある通信を検出できるようになり、特に、攻撃成功後の攻撃者との間の通信や情報漏えいなどの事象を検出できるようになる、という効果がある。

（第３の実施形態）
　これまで第１の実施形態および第２の実施形態を説明したが、本願に係る実施例は、第１の実施形態および第２の実施形態に限定されるものではない。すなわち、これらの実施例は、その他の様々な形態で実施されることが可能であり、種々の省略、置き換え、変更を行うことができる。

　例えば、各装置の分散・統合の具体的形態（例えば、図２の形態）は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合することができる。一例を挙げると、ログＤＢ１４１と分析結果ＤＢ１４３とを１つのＤＢとして統合してもよく、一方、ログ収集部１５１を、ログを収集する収集部と、正規化処理を行う正規化処理部とに分散してもよい。また、記憶部１４０は、既存の管理システムや外部のＤＢを利用する場合であってもよい。すなわち、既存の管理システムのＤＢ、或いは、外部のＤＢが、記憶部１４０に含まれるログＤＢ１４１、分析情報ＤＢ１４２及び分析結果ＤＢ１４３を有し、制御部１５０が既存の管理システムのＤＢ、或いは、外部のＤＢに対してアクセスし、情報の読み書きを実行する場合であってもよい。

　また、制御部１５０をネットワーク監視装置１００の外部装置としてネットワーク経由で接続するようにしてもよく、或いは、ログ収集部１５１とログ分析部１５２とを別の装置がそれぞれ有し、ネットワークに接続されて協働することで、上述したネットワーク監視装置１００の機能を実現するようにしてもよい。

　上述した第１の実施形態においては、インターネットと企業ＮＷとの間でパケットがやり取りされる場合を１例に挙げて説明した。しかしながら、実施形態はこれに限定されるものではなく、例えば、複数のネットワーク間でパケットがやり取りされる環境であればどのような環境にも適用することができる。

　上述した第１の実施形態においては、図１に示すように、２台のＦＷ２００と、１台のプロキシサーバ３００が企業ＮＷに含まれる場合について説明した。しかしながら、実施形態はこれに限定されるものではなく、各装置の台数はネットワークによって任意に変更される。すなわち、ネットワーク監視装置１００は、監視するネットワーク内に配置されたＦＷ２００及びプロキシサーバ３００からそれぞれログ情報を収集する。

　上述した第１の実施形態においては、ＦＷ２００及びプロキシサーバ３００からそれぞれログ情報を収集する場合について説明した。しかしながら、実施形態はこれに限定されるものではなく、例えば、どちらか一方からログ情報を収集する場合であってもよい。

　これらの実施例やその変形は、本願が開示する技術に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。

　１１　インターネット
　１２　企業内ネットワーク
　２０　検出装置
　２１、１５１　ログ収集部
　２２、１５２　ログ分析部
　３１　収集実行部
　３２　正規化部
　３３　ログ管理記憶部
　３４　ログ抽出部
　３５　ログ取得部
　３６　分析実行部
　３７、１４３　分析結果データベース（ＤＢ）
　３８　ネットワーク（ＮＷ）情報を格納する記憶部
　３９　分析ルールを格納する記憶部
　４１、２００　ファイアウォール（ＦＷ）
　４２　スイッチ／ルータ
　４３　ＩＤＳ／ＩＰＳ
　４４、３００　プロキシサーバ
　４５、４６　ファイルサーバ
　４７～４９　ユーザＰＣ
　１００　ネットワーク監視装置
　１４１　ログＤＢ
　１４２　分析情報ＤＢ
　１５３　出力制御部

Claims

　外部ネットワークとの接続点及び内部のセグメント分割点の少なくとも一方に設けられるファイアウォールとウェブアクセス用のプロキシサーバとを備えてＩＰパケットを転送するネットワーク内に設けられ、不正の疑いがある通信を検出するネットワーク監視装置であって、
　前記ファイアウォール及び前記プロキシサーバの少なくとも一方からログデータを収集して格納するログ収集部と、
　前記ログ収集部に対してログデータの問い合わせを行い、設定された分析条件にしたがって前記ログデータを分析して分析結果を出力するログ分析部と、
　を備え、
　前記ログ収集部により格納されるログデータは、５－タプル、送信サイズ、受信サイズ、ｈｔｔｐヘッダから抽出された情報、タイムスタンプの少なくとも一つ以上を含む情報であり、前記ｈｔｔｐヘッダから抽出される情報は、宛先ＵＲＬ、Ｕｓｅｒ－Ａｇｅｎｔ名及びリクエストメソッドの少なくとも１つ以上を含んでいることを特徴とするネットワーク監視装置。
　前記ログ分析部は、複数の前記ログデータについて時系列相関を分析するための分析条件を複数設定可能であって、各分析条件にしたがって分析を実行することを特徴とする請求項１に記載のネットワーク監視装置。
　前記ログ分析部は、前記各分析条件での分析結果の組み合わせパターンから不正な通信の候補を検出して出力することを特徴とする請求項２に記載のネットワーク監視装置。
　前記ログ分析部において、監視対象のネットワークについての情報に基づきログデータの対象となる通信の方向を判別し、判別した方向と当該ログデータとに基づいて分析を実行することを特徴とする請求項１乃至３のいずれか１項に記載のネットワーク監視装置。
　前記ログ収集部は、前記ログデータとして、前記５－タプルと前記タイムスタンプとを含む情報を収集し、
　前記ログ分析部は、前記ログ収集部によって収集されたログデータに基づいて、所定の期間において通信のコネクション数及び間隔が所定の条件を満たすログデータを抽出することを特徴とする請求項３に記載のネットワーク監視装置。
　前記ログ収集部は、前記ログデータとして、前記５－タプルと前記送信サイズと前記受信サイズと前記タイムスタンプとを含む情報を収集し、
　前記ログ分析部は、前記ログ収集部によって収集されたログデータに基づいて、所定の期間において前記ＩＰパケットの送受信サイズが所定の条件を満たすログデータを抽出することを特徴とする請求項３に記載のネットワーク監視装置。
　前記ログ収集部は、前記ログデータとして、前記５－タプルと前記宛先ＵＲＬと前記Ｕｓｅｒ－Ａｇｅｎｔ名と前記リクエストメソッドと前記タイムスタンプとを含む情報を収集し、
　前記ログ分析部は、前記ログ収集部によって収集されたログデータに基づいて、所定の期間において前記ログデータに含まれる元の通信のヘッダ情報が所定の条件を満たすログデータを抽出することを特徴とする請求項３に記載のネットワーク監視装置。
　外部ネットワークとの接続点及び内部のセグメント分割点の少なくとも一方に設けられるファイアウォールとウェブアクセス用のプロキシサーバとを備えてＩＰパケットを転送するネットワーク内に設けられ、不正の疑いがある通信を検出するネットワーク監視装置で実行するネットワーク監視方法であって、
　前記ファイアウォール及び前記プロキシサーバの少なくとも一方からログデータを収集して格納するログ収集工程と、
　前記ログ収集工程に対してログデータの問い合わせを行い、設定された分析条件にしたがって前記ログデータを分析して分析結果を出力するログ分析工程と、
　を含み、
　前記ログ収集工程により格納されるログデータは、５－タプル、送信サイズ、受信サイズ、ｈｔｔｐヘッダから抽出された情報、タイムスタンプの少なくとも一つ以上を含む情報であり、前記ｈｔｔｐヘッダから抽出される情報は、宛先ＵＲＬ、Ｕｓｅｒ－Ａｇｅｎｔ名及びリクエストメソッドの少なくとも１つ以上を含んでいることを特徴とするネットワーク監視方法。
　外部ネットワークとの接続点及び内部のセグメント分割点の少なくとも一方に設けられるファイアウォールとウェブアクセス用のプロキシサーバとを備えてＩＰパケットを転送するネットワーク内に設けられ、不正の疑いがある通信を検出するネットワーク監視プログラムであって、
　前記ファイアウォール及び前記プロキシサーバの少なくとも一方からログデータを収集して格納するログ収集ステップと、
　前記ログ収集ステップに対してログデータの問い合わせを行い、設定された分析条件にしたがって前記ログデータを分析して分析結果を出力するログ分析ステップと、
　をコンピュータに実行させ、
　前記ログ収集ステップにより格納されるログデータは、５－タプル、送信サイズ、受信サイズ、ｈｔｔｐヘッダから抽出された情報、タイムスタンプの少なくとも一つ以上を含む情報であり、前記ｈｔｔｐヘッダから抽出される情報は、宛先ＵＲＬ、Ｕｓｅｒ－Ａｇｅｎｔ名及びリクエストメソッドの少なくとも１つ以上を含んでいることを特徴とするネットワーク監視プログラム。