WO2019003373A1 - 攻撃状況可視化装置、攻撃状況可視化方法及び記録媒体 - Google Patents

攻撃状況可視化装置、攻撃状況可視化方法及び記録媒体 Download PDF

Info

Publication number
WO2019003373A1
WO2019003373A1 PCT/JP2017/023889 JP2017023889W WO2019003373A1 WO 2019003373 A1 WO2019003373 A1 WO 2019003373A1 JP 2017023889 W JP2017023889 W JP 2017023889W WO 2019003373 A1 WO2019003373 A1 WO 2019003373A1
Authority
WO
WIPO (PCT)
Prior art keywords
transmission destination
transmission source
attack
image
transmission
Prior art date
Application number
PCT/JP2017/023889
Other languages
English (en)
French (fr)
Inventor
将 川北
Original Assignee
日本電気株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本電気株式会社 filed Critical 日本電気株式会社
Priority to PCT/JP2017/023889 priority Critical patent/WO2019003373A1/ja
Priority to JP2019526056A priority patent/JP6879367B2/ja
Priority to US16/626,027 priority patent/US11611575B2/en
Publication of WO2019003373A1 publication Critical patent/WO2019003373A1/ja
Priority to JP2021075502A priority patent/JP2021119500A/ja
Priority to JP2022193377A priority patent/JP7494895B2/ja
Priority to US18/107,172 priority patent/US12126641B2/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/20Arrangements for monitoring or testing data switching networks the monitoring system or the monitored elements being virtualised, abstracted or software-defined entities, e.g. SDN or NFV
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Definitions

  • the present invention relates to a technology for visualizing the situation of a cyber attack in an easy-to-understand manner.
  • Patent Documents 1 and 2 listed below disclose techniques for displaying information related to a cyber attack.
  • Patent Document 1 Japanese Patent Laid-Open No. 2015-26182 describes a technique for collecting information representing an attack related to security and visualizing an attack that can be protected by the service for a user of a certain security service. .
  • Patent Document 2 Japanese Patent Laid-Open No. 2015-216549 describes a technique for displaying an image indicating the level of a cyber attack between an image representing a device in which a cyber attack is detected and an image representing the earth. ing.
  • Patent Document 3 Japanese Patent Laid-Open No. 2014-230041 describes a technique for visualizing the configuration and operation of a network.
  • Patent Document 1 is only a technology for displaying an attack that can be protected by a certain security service.
  • the technique described in Patent Document 2 is a technique on the premise that a log capable of specifying both an attack target and an attack source is given.
  • the technology described in Patent Document 3 is only a visualization technology of network configuration.
  • Information on cyber attacks does not always include information that can identify both the attack target and the attack source. In such a situation, for example, it is difficult to appropriately display the status of a cyber attack or the like even using the techniques described in the above-mentioned patent documents.
  • the technology according to the present disclosure has been developed in view of such circumstances. That is, the present disclosure has one of main purposes to provide a technology for visualizing the status of security related attacks such as cyber attacks in an easy-to-understand manner.
  • an attack situation visualization device has the following configuration. That is, the attack state visualization device according to an aspect of the present disclosure analyzes a log in which information about a cyber attack is recorded, and transmits at least one of a transmission source of communication regarding the cyber attack and a transmission destination of communication regarding the cyber attack.
  • the log analysis unit that specifies the image, the image representing the map, the transmission source image indicating the transmission source, and the transmission destination image indicating the transmission destination are generated to generate display information capable of displaying an image on the map And a display information generation unit.
  • the display information generation unit in the attack status visualization device performs the transmission. It is configured to generate the display information including an attack status image in which at least one of the communication amount and the communication frequency of the communication related to the cyber attack between the source and the transmission destination is visualized.
  • an attack status visualization method has the following configuration. That is, the attack status visualization method according to an aspect of the present disclosure analyzes a log in which information related to a cyber attack is recorded, and transmits at least one of a transmission source of communication related to the cyber attack and a transmission destination of communication related to the cyber attack.
  • the above object is also achieved by a computer program (attack situation visualization program) for realizing the attack situation visualization device having the above configuration, an attack situation visualization method and the like by a computer, and a computer readable program in which the computer program is stored. It is also achieved by a recording medium or the like.
  • An attack status visualization program has the following configuration. That is, the attack status visualization program according to an aspect of the present disclosure analyzes a log in which information about a cyber attack is recorded, and transmits at least one of a transmission source of communication regarding the cyber attack and a transmission destination of communication regarding the cyber attack. Processing for specifying an image representing a map, a transmission source image indicating the transmission source, and a transmission destination image indicating the transmission destination, to generate display information capable of displaying an image on the map If the correspondence between a certain transmission source and the transmission destination to which the communication regarding the cyber attack has been transmitted from the transmission source is specified, the correspondence between the transmission source and the transmission destination is determined. Processing of generating the display information including the attack status image visualizing at least one of the communication amount and the communication frequency of the communication related to the cyber attack of That.
  • the computer program described above may be recorded in a recording medium according to an aspect of the present disclosure.
  • FIG. 1 is a block diagram illustrating a functional configuration of an attack situation visualization device according to a first embodiment of the present disclosure.
  • FIG. 2 is an explanatory view showing a specific example of the attack situation visualized by the attack situation visualization device according to the first embodiment of the present disclosure.
  • FIG. 3 is an explanatory view showing a specific example of the attack line.
  • FIG. 4 is a flowchart illustrating an example of the operation of the attack status visualization device according to the first embodiment of the present disclosure.
  • FIG. 5 is a block diagram illustrating a functional configuration of the attack status visualization device according to the second embodiment of the present disclosure.
  • FIG. 6 is a block diagram illustrating a functional configuration of components (log analysis unit) included in the attack status visualization device according to the second embodiment of the present disclosure.
  • FIG. 7 is a block diagram illustrating the functional configuration of another component (display information generation unit) included in the attack status visualization device according to the second embodiment of the present disclosure.
  • FIG. 8 is an explanatory diagram of a specific example of the log.
  • FIG. 9 is an explanatory view showing a specific example of the process of specifying the IP address of the transmission destination from the transmission source IP address.
  • FIG. 10 is an explanatory view showing a specific example of the transmission source display image and the transmission destination display image.
  • FIG. 11 is an explanatory diagram of a specific example of the log type table.
  • FIG. 12 is an explanatory view of a specific example of the attacker table.
  • FIG. 13 is an explanatory view showing a specific example of the victim table.
  • FIG. 14 is an explanatory view showing a specific example of the color arrangement table.
  • FIG. 15 is an explanatory view illustrating a display mode of the transmission destination image.
  • FIG. 16 is an explanatory view illustrating a display mode of the transmission source image.
  • FIG. 17 is an explanatory view illustrating another display form of the transmission destination image.
  • FIG. 18 is an explanatory view illustrating another display form of the transmission source image.
  • FIG. 19 is an explanatory view of a specific example of the attack status image.
  • FIG. 20 is a flowchart illustrating an example of the operation of the attack state visualization device according to the second embodiment of the present disclosure.
  • FIG. 21 is an explanatory view showing a specific example of the attack situation visualized by the attack situation visualization device according to the second embodiment of the present disclosure.
  • FIG. 22 is a block diagram illustrating a functional configuration of the attack status visualization device in the third embodiment of the present disclosure.
  • FIG. 23 is a block diagram illustrating a functional configuration of components (external information inquiry unit) included in the attack status visualization device according to the third embodiment of the present disclosure.
  • FIG. 24 is an explanatory view showing a specific example of an analysis model.
  • FIG. 25 is an explanatory view exemplifying a hardware configuration capable of realizing each embodiment.
  • malware malicious software programs
  • cyber attacks related to security in cyber space
  • an analyst collects and analyzes information on the cyber attack.
  • Analysts may, for example, identify the source and target countries and regions, and analyze the size and frequency of cyber attacks being executed, which may provide useful information on cyber attacks.
  • the attack source represents, for example, a transmission source of a communication related to an attack
  • an attack target represents a transmission destination of a communication related to an attack.
  • information on a certain cyber attack may not necessarily include both the transmission source and the transmission destination, and may include only one of the information.
  • attackers may hide the source of cyber attacks. That is, the sender information of the communication related to the cyber attack may be disguised.
  • the information on the direct transmission source of the communication related to the cyber attack for example, the transmission source field of the IP (Internet Protocol) address
  • IP Internet Protocol
  • the present invention obtains information of at least one of a sender and a destination for a certain cyber attack
  • the present disclosure can appropriately visualize the situation regarding the cyber attack. I came up with the idea of such technology.
  • An apparatus which is an aspect of the technology according to the present disclosure described below analyzes, for example, a log in which information about a cyber attack is recorded, and a transmission source of communication regarding the cyber attack and a transmission destination of communication regarding the cyber attack. May be configured to identify at least one of the Further, the apparatus is configured to generate image information in which an image representing a map, a transmission source image indicating a transmission source of communication related to a cyber attack, and a transmission destination image indicating a transmission destination are arranged on the map, for example. It may be done. Also, according to the connection relationship between a certain transmission source and a certain transmission destination, such a device also determines at least one of the communication volume and communication frequency of communication related to a cyber attack between the transmission source and the transmission destination. Image information may be generated to display a visualized attack situation image. Note that the transmission source image, the transmission destination image, and the attack status image are not limited to still images, and may be images including motion such as animation.
  • the technology according to the present disclosure including the configuration as described above, for example, it is possible to easily visualize the status of an attack related to security such as a cyber attack.
  • the reason is that even if only one of the transmission source and the transmission destination can be identified from the information on a certain cyber attack, it is possible to display an image indicating the status of the attack at the transmission source or the transmission destination. .
  • the connection relationship between the transmission source and the transmission destination for a certain cyber attack can be specified, it is possible to display an image visualizing the communication amount and communication frequency of the communication regarding the cyber attack in an easy-to-understand manner.
  • FIG. 1 is a block diagram illustrating a functional configuration of the attack status visualization device 100 in the present embodiment.
  • the attack status visualization device 100 is supplied with, for example, various security related information (for example, logs).
  • the information provided to the attack status visualization apparatus 100 includes, for example, logs recorded in various servers (for example, web server, proxy server, file server), various network devices (for example, router, switch, access point, etc.) Logs recorded, logs recorded in various security devices (for example, firewall, intrusion detection device, intrusion prevention device, security appliance, etc.) may be included.
  • the attack state visualization device 100 may obtain logs from the various devices and systems described above.
  • the attack status visualization device 100 may acquire those logs from a database server, a file server, or the like in which the logs described above are recorded.
  • log provider various devices, systems and the like that can provide logs to the attack status visualization device 100 may be collectively referred to simply as “log provider”.
  • the logs provided to the attack status visualization device 100 are not particularly limited, and various types of logs may be included. Such logs may typically include logs related to various communications that may be associated with a cyber attack.
  • the log may include information that can identify the transmission source (source) of communication related to a certain cyber attack. Also, the log may include information indicating a transmission destination of communication regarding a certain cyber attack. One log may include both the information indicating the transmission source and the information indicating the transmission destination, or only one of them may be included.
  • the information representing the transmission source or the transmission destination may be typically an IP (Internet Protocol) address, but is not limited thereto. For example, a host name, a Media Access Control (MAC) address, a Uniform Resource Locator (URL), or the like may be used as the information indicating the transmission source or the transmission destination of the communication data.
  • various information other than the transmission source and the transmission destination for example, the content of communication data, control of communication, and the like may be appropriately recorded in the log.
  • the attack state visualization device 100 in the present embodiment includes a log analysis unit 101 and a display information generation unit 102. These functional components constituting the attack status visualization device 100 may be communicably connected to each other by an appropriate communication method.
  • the connection lines between the components depicted in FIG. 1 illustrate the main connection relationship of the components, and communication of data, signals, control, etc. between the components is not limited to this. Absent.
  • the log analysis unit 101 (log analysis means) is configured to analyze a log provided by the log provider and specify at least one of a transmission source of a communication related to a cyber attack and a transmission destination of a communication related to the cyber attack. Ru.
  • the log analysis unit 101 is configured to analyze such a log by appropriately using an appropriate analysis method according to the format and the like of the provided log.
  • Such an analysis method may include, for example, pattern matching, analysis using a regular expression, and the like. If the log format is known, the log analysis unit 101 may appropriately extract the information recorded in the log according to the format.
  • the log analysis unit 101 uses the information indicating the transmission source and the transmission destination of the communication data obtained by analyzing the log, and uses the geographical position where the transmission source and the transmission destination are arranged ( It may be configured to identify a region, a country, etc. As a specific example, it is assumed that the information that can specify the transmission source and the information that indicates the transmission destination include an IP address. In this case, the log analysis unit 101 can specify a region or a country to which the IP address is assigned, using, for example, a DNS (Domain Name System), a WHOIS service, or the like.
  • DNS Domain Name System
  • the log analysis unit 101 is configured to analyze the log to identify the correspondence between the transmission source of the communication related to a certain cyber attack and the transmission destination attacked by the transmission source. Good.
  • the log analysis unit 101 may associate the transmission source with the transmission destination by specifying the transmission destination to which the communication data is transmitted from the transmission source with respect to the transmission source of the communication regarding a certain cyber attack. .
  • the log analysis unit 101 is configured to calculate the communication amount related to the communication transmitted from a certain transmission source and the frequency (communication frequency) in which the communication is performed by analyzing the log. Good. For example, the log analysis unit 101 extracts a record (record) regarding communication transmitted from a transmission source in a specific time range (for example, unit time) among one or more logs, and is recorded in the extracted record The amount of communication can be calculated from the size of the communication data. The log analysis unit 101 can also calculate the communication frequency by counting the number of extracted records. Similarly, the log analysis unit 101 is configured to analyze the log to calculate the communication amount related to the communication transmitted to a certain transmission destination and the frequency (communication frequency) at which the communication is performed. It is also good. The calculation method of the communication amount and the communication frequency can be appropriately selected including the well-known technology.
  • the log analysis unit 101 calculates the amount of communication and the communication frequency between them. It is also good.
  • the log analysis unit 101 can calculate the communication amount and the communication frequency by the same method as described above.
  • the display information generation unit 102 (display information generation means) is a display image in which an image representing a map, a transmission source image indicating the transmission source described above, and a transmission destination image indicating the transmission destination described above are arranged on the map Configured to generate display information that can be displayed.
  • the display information may be, for example, image data representing the display image itself to be displayed, or may be various data used for generating the display image.
  • the display information may include, for example, a script capable of executing a process of generating a display image, an executable binary, and the like.
  • the display information may include, for example, a control signal for controlling a display device on which a display image is displayed.
  • the format of the display image is not particularly limited, and can be selected as appropriate.
  • the display image may be represented, for example, using image data of a vector format, or may be represented using image data of a raster format.
  • the display image is not limited to a still image, and may include various moving images (including animation). That is, the transmission source image indicating the transmission source and the transmission destination image indicating the transmission destination may be displayed using a still image or may be displayed using a moving image such as animation.
  • the display information generation unit 102 displays an attack status image in which the status of the cyber attack between the transmission source and the transmission destination is visualized according to the correspondence between the transmission source and the transmission destination. Display information may be generated.
  • the attack status image may be, for example, an image capable of visualizing at least one of the communication amount related to a cyber attack and the communication frequency.
  • the attack status image may also be an image capable of visualizing the direction of communication between a certain source and a certain destination.
  • FIG. 2 is an explanatory view showing a specific example of the user interface 200 including the display image 201 displayed according to the display information generated by the display information generation unit 102. As shown in FIG. In addition, FIG. 2 is a figure which shows the specific example for description, and this embodiment is not limited to this.
  • the user interface 200 may be displayed as part of, for example, a graphical user interface (GUI) provided in various information processing apparatuses (computers, portable terminals, etc.) having display screens.
  • GUI graphical user interface
  • the type of display screen is not particularly limited. Note that the information processing apparatus provided with the display screen may be the same apparatus as the attack situation visualization apparatus 100 or may be a different apparatus.
  • the user interface 200 may be displayed, for example, as part of a screen configuring an application executed in various information processing apparatuses.
  • the application may be, for example, various security software, or a general application such as a browser.
  • the display information generation unit 102 may generate display information (that is, image data) that represents the display image itself displayed on the user interface 200.
  • the display information generation unit 102 may generate various data used to generate a display image to be displayed on the user interface 200.
  • data may include, for example, a shape (including size (size), hereinafter the same), color, position, vertex information, and the like regarding each image included in the display image, but is not limited thereto.
  • the display information may include a script, an executable binary, or the like that causes the application that displays the user interface 200 to execute a process of generating a display image.
  • the display image may be displayed on the user interface 200 by the application receiving the display information interpreting (or executing) the script or the executable binary included in the display information.
  • a map (201 f in FIG. 2) is displayed on the display image 201.
  • transmission source images (201b and 201d in FIG. 2) representing transmission sources of the cyber attack and transmission destination images (201a and 201c in FIG. 2) are displayed.
  • an attack status image (FIG. 2) is displayed between the transmission source image (201d in FIG. 2) and the transmission destination image (201c).
  • the 2 201e) is displayed.
  • the map 201 f may be, for example, an image in which a world map drawn by Mercator projection is displayed as a blank map.
  • the display information generation unit 102 may create, for example, a map 201f in which a part of the world map is deformed (for example, simplified) in order to improve the visibility.
  • the display information generation unit 102 may be able to change the area displayed as the center of the map 201 f by setting or the like.
  • the display information generation unit 102 may generate a map 201 f in which a border line or a division line of a region is displayed.
  • the map 201f is a plane map, this embodiment is not limited to this.
  • a globe-like map may be displayed as the map 201f.
  • the transmission source image 201b and the transmission source image 201d are illustrated as the transmission source image.
  • the transmission source image 201b is an image representing the transmission source when only the transmission source of the cyber attack is specified from one or more logs. For example, when only the transmission source of the communication related to a certain cyber attack is specified and the transmission destination of the communication can not be specified, the display information generation unit 102 displays the transmission source image 201b as an image representing the transmission source. Display information may be generated.
  • the transmission source image 201d is an image representing the transmission source when the correspondence between the transmission source of the cyber attack and the transmission destination is specified from one or more logs. For example, when both the transmission source and the transmission destination of the communication related to a certain cyber attack can be specified, the display information generation unit 102 displays the display information so that the transmission source image 201 d is displayed as an image representing the transmission source. It may be generated.
  • the transmission source image 201 b and the transmission source image 201 d are displayed in distinguishable display forms.
  • the shapes of the transmission source image 201 b and the transmission source image 201 d are different.
  • the invention is not limited to this, and the transmission source image 201b and the transmission source image 201d may be images having different display forms other than the shape. That is, the transmission source image 201b and the transmission source image 201d may be, for example, images different in at least one of shape, pattern, color, size, animation method, and the like.
  • the display information generation unit 102 generates display information such that different images as described above are displayed for the transmission source image 201 b and the transmission source image 201 d. Thus, even when the transmission source and the transmission destination are not specified, the user can easily visually recognize that a certain transmission source is performing some sort of attack.
  • the display information generation unit 102 transmits the transmission source image 201b or the transmission source according to at least one of the communication amount (transmission source communication amount) and communication frequency (transmission source communication frequency) related to the communication transmitted from the transmission source. Display information that changes the display mode of the image 201d may be generated.
  • the shapes of the transmission source image 201b and the transmission source image 201d illustrated in FIG. 2 are specific examples for explanation, and the present embodiment is not limited to this.
  • a transmission destination image 201a and a transmission destination image 201c are illustrated as transmission destination images.
  • the transmission destination image 201a is an image representing the transmission destination when only the transmission destination of the cyber attack is specified from one or more logs. For example, when only the transmission destination of the communication related to a certain cyber attack is specified and the transmission source of the communication can not be specified, the display information generation unit 102 displays the transmission destination image 201a as an image representing the transmission destination. Display information may be generated.
  • the transmission destination image 201c is an image representing the transmission destination when the correspondence between the transmission source of the communication related to the cyber attack and the transmission destination is specified from one or more logs. For example, when both the transmission source and the transmission destination of the communication related to a certain cyber attack can be specified, the display information generation unit 102 displays the display information so that the transmission destination image 201c is displayed as an image representing the transmission destination. May generate.
  • the transmission destination image 201 a and the transmission destination image 201 c are displayed in a distinguishable display form.
  • the transmission destination image 201 a and the transmission destination image 201 c have different shapes.
  • the present invention is not limited to this, and the transmission destination image 201a and the transmission destination image 201c may be images different in display form other than the shape. That is, the transmission destination image 201a and the transmission destination image 201c may be, for example, images different from each other in at least one of a shape, a pattern, a color, and an animation method.
  • the display information generation unit 102 generates display information such that different images as described above are displayed for the transmission destination image 201a and the transmission destination image 201c. Thus, even when the transmission source and the transmission destination are not specified, the user can easily visually recognize that a certain transmission destination is under some sort of attack.
  • the display information generation unit 102 generates display information that changes the display mode of the transmission destination image 201 a or the transmission destination image 201 c according to at least one of the communication amount and the communication frequency at the transmission destination. Good.
  • the shapes of the transmission destination image 201a and the transmission destination image 201c illustrated in FIG. 2 are specific examples for explanation, and the present embodiment is not limited to this.
  • the attack status image 201e is an image that visualizes the attack status between the transmission source and the transmission destination when the correspondence between the transmission source of the communication related to a certain cyber attack and the transmission destination is specified.
  • the attack status image 201e is an image in which at least one of the communication amount and the communication frequency between the transmission source and the transmission destination is visualized.
  • the attack status image 201 e is displayed in different display forms according to at least one of the communication amount and the communication frequency between the transmission source and the transmission destination.
  • the display information generation unit 102 for example, according to at least one of the amount of communication between the transmission source and the transmission destination and the communication frequency, at least one of the shape, pattern, color, animation method, etc. of the attack status image 201e. Generate display information that changes the
  • the attack status image 201 e includes a drawing element (an object drawn in an image, hereinafter referred to as “attack line”) representing an attack directed from a certain source to a destination.
  • the attack line has an arrow-like shape, but the embodiment is not limited thereto.
  • the attack line may be represented, for example, using an appropriate line (straight line, curve) linking the source and the destination.
  • the attack status image 201e may be, for example, an animation image in which the display form of the attack line dynamically changes.
  • an attacking line having a substantially arrow shape shown in FIG. 2 will be described as a specific example.
  • the attack status image 201e may be an animation image that intermittently displays the movement of one attack line (an arrow-like image), and is an animation image that continuously displays the movement of a plurality of attack lines.
  • the attack situation image 201 e may be, for example, an animation image in which the gradation or pattern of the color of the attack line changes without moving the attack line itself.
  • the attack situation image 201e is an animation image in which one attack line (for example, one arrow) extends between the transmission source image 201d and the transmission destination image 201c. Good.
  • the attack status image 201e is not limited to the above, and may be an animation image adopting another animation method.
  • an arrow-shaped drawing element is used as the attack line, but the present embodiment is not limited to this. That is, the display form of the attack line is not particularly limited, and various display forms capable of specifying the direction of the attack (that is, the direction from the transmission source to the transmission destination) can be appropriately adopted.
  • the attack line may be expressed using a drawing element in which at least one of color (or luminance) and shape changes from the transmission destination side to the transmission source side.
  • a specific example of such a drawing element is illustrated in FIG. In the case of the specific example shown in part (A) of FIG. 3, the shape changes from the transmission destination side (201c side of FIG. 3) to the transmission source side (201d side of FIG. 3) in the attack line.
  • the color changes from the transmission destination side (201c side of FIG. 3) to the transmission source side (201d side of FIG. 3) in the attack line.
  • the luminance and pattern change from the transmission destination side (201c side of FIG. 3) to the transmission source side (201d side of FIG. 3) in the attack line. It is also good.
  • the color and shape change from the transmission destination side (201c side in FIG. 3) to the transmission source side (201d side in FIG. 3) on the attack line.
  • the attack status image 201 e may be displayed in different display forms according to the amount of communication between the transmission source and the transmission destination.
  • the display information generation unit 102 enlarges (enlarges the shape of the attack line (the size of the arrow in the case of FIG. 2) according to the increase in the amount of communication between the transmission source and the transmission destination. ) May generate display information.
  • the display information generation unit 102 reduces (reduces) the shape of the attack line (the size of the arrow in the case of FIG. 2) according to the decrease in the amount of communication between the transmission source and the transmission destination.
  • display information may be generated.
  • the attack status image 201 e may be displayed in different display forms according to the communication frequency between the transmission source and the transmission destination.
  • the display information generation unit 102 changes the contents of the animation of the attack status image 201e (the animation of the attack line in the case of FIG. 2) according to the communication frequency between the transmission source and the transmission destination. As such, display information may be generated.
  • the display information generation unit 102 is configured such that, for example, the animation speed of the attack status image 201e (that is, the speed at which the attack line dynamically changes) is fast according to the increase in the communication frequency between the transmission source and Display information may be generated.
  • the display information generation unit 102 may generate display information such that the animation speed of the attack status image 201 e is slowed in accordance with the decrease in the communication frequency between the transmission source and the transmission destination.
  • an animation image in which the moving speed of the attack line (arrow-like image) changes according to the change in the communication frequency between the transmission source and the transmission destination is displayed as the attack state image 201e.
  • an image in which the change speed of the gradation or pattern of the color at the attack line changes according to the change of the communication frequency may be displayed as the attack state image 201 e.
  • an animation image in which the speed at which the attack line extends changes may be displayed as the attack situation image 201 e.
  • the user can easily view the attack situation between the transmission source and the transmission destination.
  • the user can visually recognize the scale (the amount of communication) of the attack between the transmission source and the transmission destination from the size of the attack status image 201e displayed on the user interface 200.
  • the user can also visually recognize the frequency of the attack between the transmission source and the transmission destination (communication frequency) from the animation speed of the attack status image 201e displayed on the user interface 200, for example.
  • FIG. 4 is a flowchart showing an example of the operation of the attack state visualization device 100.
  • the attack status visualization device 100 analyzes one or more logs (step S401). Specifically, the log analysis unit 101 in the attack status visualization device 100 analyzes logs provided by various log providers.
  • the attack state visualization device 100 identifies at least one of a transmission source and a transmission destination for one or more cyber attacks from the analysis result of the log (step S402).
  • the attack status visualization device 100 may be able to specify the correspondence between the transmission source and the transmission destination regarding a certain cyber attack.
  • the attack status visualization device 100 may be able to specify the geographical position where the specified source and destination are located.
  • the attack state visualization device 100 visualizes the attack state related to one or more cyber attacks according to the analysis results in steps S401 and S402. Specifically, the attack status visualization device 100 generates display information capable of displaying an image in which a transmission source image indicating a transmission source and a transmission destination image indicating a transmission destination are arranged on a map (step S403). ). In addition, when the correspondence between the transmission source and the transmission destination is specified for a certain cyber attack, the attack state visualization device 100 communicates the cyber attack between the transmission source and the transmission destination. Display information including an attack status image in which at least one of the amount and the communication frequency is visualized is generated (step S404). The specific display method of the transmission source image, the transmission destination image, and the attack status image is as described above.
  • the attack state visualization device 100 may generate display information for sequentially displaying transmission source images for each cyber attack, for example.
  • a plurality of cyber attacks specifically, communication related to cyber attacks
  • the attack status visualization device 100 may generate display information for sequentially displaying transmission destination images for each cyber attack, for example.
  • a plurality of correspondence relationships between a transmission source and a transmission destination are identified (ie, a plurality of cyber attacks are executed between one or more transmission sources and one or more transmission destinations). If the attack state visualization device 100 switches the attack state image sequentially for each cyber attack, for example, the attack state visualization device 100 may generate display information.
  • the attack status visualization device 100 in the present embodiment configured as described above, it is possible to visualize the status of an attack relating to security such as a cyber attack in an easy-to-understand manner.
  • the reason is as follows.
  • the attack status visualization device 100 can generate an image that displays at least one of a transmission source and a transmission destination on a map for a certain cyber attack by analyzing logs provided by various log providing sources.
  • the log provided by the log provider does not necessarily include information that can identify both the sender and the destination regarding a certain cyber attack. Even in such a situation, for example, the user of the attack situation visualization device 100 easily recognizes that an event (incident) that may be related to any cyber attack has occurred at the transmission source or the transmission destination. It is possible.
  • the attack state visualization device 100 visualizes the attack state (especially, the amount of communication and the frequency of communication) among them (the attack state) Image) can be generated.
  • the attack status visualization device 100 can easily view the status regarding a certain cyber attack between the transmission source and the transmission destination.
  • the user can, for example, the frequency of cyber attacks at each transmission source and transmission destination, the amount of communication between each transmission source and transmission destination, and the like. Therefore, it is possible to determine the severity of cyber attacks.
  • FIG. 5 is a block diagram illustrating a functional configuration of the attack status visualization device 500 in the present embodiment. As illustrated in FIG. 5, the attack status visualization device 500 is communicably connected to the log provider 510, the information source 520, and the display device 530.
  • the log provision source 510 may be various servers (for example, web server, proxy server, file server) or various network devices (for example, router, switch, access point, etc.), various security devices (for example, For example, it may be a security appliance such as a firewall, an intrusion detection device, or an intrusion prevention device.
  • the log providing source 510 may be, for example, a database or file server that accumulates logs recorded in the various systems and servers described above.
  • the attack status visualization device 500 receives the log provided by the log provider 510.
  • the information source 520 may be, for example, various information providing services capable of providing various information as a response in response to a certain request (query).
  • the attack status visualization device 500 transmits, to the information source 520, a search request including certain security information (for example, an IP address or the like).
  • the information source 520 responds to the request to other security information related to the security information (eg, other IP address related to a certain IP address, information of malware performing communication related to a certain IP address, etc.) , Provide the attack status visualization device 500.
  • the information source 520 in the present embodiment is not particularly limited.
  • the information source 520 may be, for example, various information providing services that can provide information on security and communication networks.
  • the information source 520 may include various external services that provide information on the IP network such as DNS, WHOIS, etc.
  • the information source 520 may include, for example, a service that provides security related information (various vulnerabilities, cyber attacks, malware, etc.) operated by a security vendor or a security related organization.
  • the information source 520 may include, for example, an on-line security analysis service (eg, malware inspection, inspection of malicious site (URL), etc.) operated by a security vendor or the like.
  • an on-line security analysis service eg, malware inspection, inspection of malicious site (URL), etc.
  • the information source 520 may include now-general social networking services and the like that emit security related information.
  • the information source 520 may include a Web (World Wide Web) site that provides security content, a database in which security information is stored, and the like.
  • the display device 530 is, for example, various information processing devices (computer, portable terminal, etc.) provided with a display screen.
  • the display device 530 displays the situation regarding a certain cyber attack in accordance with the display information generated by the attack situation visualization device 500, for example.
  • the display device 530 may be included as part of the attack status visualization device 500.
  • the attack status visualization device 500 includes a log analysis unit 501, a display information generation unit 502, a log collection unit 503, and an external information inquiry unit 504. These functional components constituting the attack status visualization device 500 may be communicably connected to each other by an appropriate communication method. Note that the connection lines between the components depicted in FIG. 5 illustrate the main connection relationships of the components, and communication of data, signals, control, etc. between the components is limited to this. Absent.
  • the log collection unit 503 collects the logs provided by the log provider 510.
  • the method of collecting logs is not particularly limited, and can be selected appropriately according to the configuration of the log provider 510 and the like.
  • the log collection unit 503 may collect, for example, a file in which a log is recorded in the log provision source 510, or may collect logs from the log provision source 510 using a specific protocol (for example, syslog or the like).
  • the timing at which the log collection unit 503 collects logs from the log provider 510 is not particularly limited.
  • the log collection unit 503 may be configured to periodically collect the log, may collect the log according to an instruction from the user or the like, or may collect the log at a specific timing.
  • the logs collected in the present embodiment may be, for example, the same as in the first embodiment.
  • information related to communication that may be related to a cyber attack is recorded in a log.
  • the IP address is used as information representing a transmission source (transmission source identification information) relating to a certain communication and information representing a transmission destination (transmission destination identification information).
  • the IP address of the transmission source (or other information that can specify the IP address) regarding a certain communication may be recorded in the log.
  • the IP address (or other information that can specify the IP address) of the transmission destination regarding a certain communication may be recorded in the log.
  • IP address may include, for example, a fully qualified domain name (FQDN), a URL, and the like.
  • FQDN fully qualified domain name
  • URL a URL
  • the attack status visualization device 500 can specify an IP address from such information using, for example, DNS.
  • information other than the above for example, the contents of communication data, control of communication, and the like may be appropriately recorded in the log.
  • FIG. 8 is an explanatory diagram of an example of a log collected by the log collection unit 503. Note that FIG. 8 is a specific example for explanation, and the log in the present embodiment is not limited to this.
  • the log 800 includes one or more records 801. In each record, the date and time when the record was recorded, the transmission source IP address, the transmission destination IP address, the transmission destination port number, the communication amount (size of communication data), and the like are recorded. Each record may be assigned a sequence number capable of identifying the record.
  • the transmission source IP address represents the transmission source IP address for the communication recorded in the record.
  • the destination IP address represents the IP address of the destination of the communication recorded in the record. Only the transmission source IP address may be recorded in the record, only the transmission destination IP address may be recorded, or both of them may be recorded.
  • the log analysis unit 501 is configured to analyze the log collected by the log collection unit 503.
  • the log analysis unit 501 corresponds to the log analysis unit 101 in the first embodiment.
  • the function of the log analysis unit 501 is expanded from the log analysis unit 101 in the first embodiment.
  • the log analysis unit 501 analyzes the communication of the log determination unit 501 a, the correspondence estimation unit 501 b, the area specification unit 501 c, the position specification unit 501 d, the information storage unit 501 j, And a unit 501k.
  • the connection lines between the components depicted in FIG. 6 illustrate the main connection relationship of the components, and communication of data, signals, control, etc. between the components is not limited to this. Absent.
  • the log determination unit 501a is configured to determine whether a transmission source IP address is recorded in a record included in a certain log and whether a transmission destination IP address is recorded. For example, when the format of the record is known, the log determination unit 501a may specify a part (field) in which the transmission source IP address and the transmission destination IP address are recorded according to the format.
  • the present invention is not limited to the above, and, for example, as in the case of the log analysis unit 101 in the first embodiment, the log determination unit 501a performs transmission by analyzing records using pattern matching, an analysis method using a regular expression, or the like. The portion in which the source IP address (or destination IP address) is recorded may be specified.
  • the log determination unit 501a stores the record in the attack log table 501g.
  • the attack log table 501g may be realized, for example, using a database, a file, and the like.
  • the attack log table 501g is not limited to the table structure, and may be configured to store records using other suitable data structures.
  • the log determination unit 501a stores the record in the transmission source log table 501e.
  • the transmission source log table 501e may be realized using a database, a file, and the like as in the attack log table 501g.
  • the transmission source log table 501 e is also not limited to the table structure, and may be configured to store records using other suitable data structures.
  • the log determination unit 501a stores the record in the transmission destination log table 501f.
  • the transmission destination log table 501f may be realized using a database, a file, and the like, as in the attack log table 501g.
  • the destination log table 501f is also not limited to the table structure, and may be configured to store records using other suitable data structures.
  • the correspondence inferring unit 501b determines the relationship between the record stored in the transmission source log table 501e within a certain period and the record stored in the transmission destination log table 501f by the external information inquiry unit 504 (described later). Use to guess. More specifically, the correspondence estimating unit 501b transmits the transmission source IP address included in the record stored in the transmission source log table 501e within a certain period and the transmission included in the record stored in the transmission destination log table 501f. The correspondence relationship with the destination IP address is estimated using the function of the external information inquiry unit 504. By such processing, the correspondence estimation unit 501b can associate (associate) the transmission source of the communication related to a certain cyber attack with the transmission destination, for example. Specific processing for estimating the correspondence between the transmission source IP address and the transmission destination IP address will be described later.
  • the correspondence estimating unit 501 b are integrated and stored in the attack log table 501g.
  • the record newly stored in the attack log table 501g includes at least the transmission source IP address whose correspondence is specified and the transmission destination IP address.
  • the record may further include other information included in the record in which the transmission source IP address for which the correspondence relationship is specified is recorded.
  • the record may further include other information included in the record in which the transmission destination IP address whose correspondence is specified is recorded.
  • the area specifying unit 501c refers to the transmission source log table 501e, the transmission destination log table 501f, and each record recorded in the attack log table 501g, and geographically located at a transmission source having a certain transmission source IP address. Identify the area. Similarly, the area specifying unit 501c specifies a geographical position where a transmission destination having a certain transmission destination IP address is arranged. The geographical location where the source or destination is located may represent a particular point or may be represented by a particular area (eg, country, city, region, etc.).
  • the area specifying unit 501c may specify the name of the country and city in which the transmission source is arranged, and the name of the country and city in which the transmission destination is arranged. At this time, the area specifying unit 501c may specify a geographical position where a host having an IP address is located, using a service such as WHOIS, for example.
  • the area specifying unit 501c also refers to the area table 501h storing the correspondence between the IP address and the information (for example, country name, city name, etc.) representing the geographical position, and thus a host having an IP address. You may specify the geographical position where the was placed.
  • the area table 501 h associates and holds, for example, an IP address and a location where a host having the IP address is located.
  • an IP address and a location where a host having the IP address may be registered may be registered in advance.
  • the area table 501 h is not limited to the table structure, and may be configured to hold the above correspondence using another suitable data structure.
  • the area table 501 h may be provided, for example, outside the attack status visualization device 500.
  • the position specifying unit 501 d is configured to convert the information indicating the geographical position specified by the area specifying unit 501 c into information indicating latitude and longitude. Specifically, the position specifying unit 501d obtains, for example, the latitude and longitude of the location where the transmission source is located, from the country and city name in which a certain transmission source is located. Similarly, from the country and city name in which a certain transmission destination is arranged, the position specifying unit 501d obtains the latitude and longitude of the place in which the transmission source is arranged.
  • the position specifying unit 501d refers to the position conversion table 501i in which the correspondence between the geographical position and the latitude and the longitude is stored, and the latitude at which the transmission source or the transmission destination is arranged and the latitude and the transmission destination.
  • the longitude can be identified.
  • the position conversion table 501i for example, the correspondence between information (for example, a country and a city) indicating a certain geographical position and the latitude and longitude indicating the position may be registered in advance.
  • the position conversion table 501i is not limited to the table structure, and may be configured to hold the above correspondence using another suitable data structure.
  • the position conversion table 501i may be provided, for example, outside the attack status visualization device 500.
  • the position specifying unit 501d may be configured to appropriately provide the latitude and longitude specified for a certain transmission source and transmission destination to a display information generation unit 502 described later.
  • the position specifying unit 501d may provide the display information generation unit 502 with a table in which the transmission source IP address or the transmission destination IP address is associated with the specified latitude and longitude.
  • the position specifying unit 501d may additionally write information indicating latitude and longitude for the records included in the transmission source log table 501e, the transmission destination log table 501f, and the attack log table 501g.
  • the information storage unit 501 j is a storage area capable of storing various data.
  • the information storage unit 501j may be realized, for example, using one or more databases, files, and the like.
  • the information storage unit 501j may store, for example, the transmission source log table 501e, the transmission destination log table 501f, the attack log table 501g, the area table 501h, and the position conversion table 501i described above.
  • the log analysis unit 501 may provide the display information generation unit 502 with various information stored in the information storage unit 501j.
  • the information storage unit 501j may be configured to be referable from the display information generation unit 502.
  • the information storage unit 501 j may be included in the attack status visualization device 500 as a component different from the log analysis unit 501.
  • the communication analysis unit 501k analyzes the log (more specifically, the record of the log stored in each log table), and the communication amount related to a certain communication And configured to calculate the communication frequency. For example, the communication analysis unit 501k may calculate, for each transmission source IP address recorded in each log table, the communication amount and communication frequency regarding the communication transmitted from the transmission source IP address. For example, the communication analysis unit 501k may calculate, for each transmission destination IP address recorded in each log table, the communication amount and communication frequency regarding the communication transmitted to the transmission destination IP address. The communication analysis unit 501k may calculate the communication amount and communication frequency regarding communication between the transmission source IP address recorded in the record stored in the attack log table and the transmission destination IP address. The specific method of calculating the communication amount and communication frequency for a certain communication may be the same as in the first embodiment.
  • the communication analysis unit 501k may be configured to provide the calculated communication amount and communication frequency to the display information generation unit 502 described later.
  • the communication analysis unit 501k may provide the display information generation unit 502 with a table in which the transmission source IP address or the transmission destination IP address is associated with the calculated communication amount and communication frequency.
  • the communication analysis unit 501k may additionally write information indicating the communication amount and the communication frequency for the record included in any of the transmission source log table 501e, the transmission destination log table 501f, and the attack log table 501g.
  • the external information inquiring unit 504 uses the external information source 520 to set the correspondence between the transmission source IP address and the transmission destination IP address for a certain communication (in particular, a communication related to a cyber attack). It is configured to execute a process of identifying.
  • a communication related to a cyber attack in particular, a communication related to a cyber attack.
  • the external information inquiry unit 504 stores the transmission source IP address (which may be described as “transmission source designation IP address”) recorded in the record stored in the transmission source log table 501 e and the transmission destination log table 501 f.
  • One or more destination IP addresses (sometimes referred to as “destination designated IP addresses”) recorded in the record are received.
  • the transmission source designation IP address is a transmission source IP address recorded in a record including only the transmission source IP address.
  • the transmission destination designation IP address is the IP address of the transmission destination recorded in the record including only the transmission destination IP address.
  • the external information inquiry unit 504 may be provided with, for example, a transmission source designation IP address and a transmission destination designation IP address from the correspondence estimation unit 501b.
  • the external information inquiry unit 504 directly refers to the record stored in the transmission source log table 501e and the record stored in the transmission destination log table 501f, and transmits the transmission source designation IP address and the transmission destination designation IP address. And may be collected.
  • the external information inquiry unit 504 issues a query (query) to the information source 520, using the transmission source designation IP address as search information (search key).
  • search information search key
  • the external information inquiry unit 504 may transmit a query to each information source 520 sequentially, and transmits a query to the plurality of information sources 520 in parallel. May be
  • the external information inquiry unit 504 may select one or more information sources 520 based on, for example, a rule given by setting or the like.
  • the information source 520 for example, provides the external information inquiry unit 504 as a response with information obtained by executing a search for such a query.
  • the response obtained from the information source 520 includes various types of information.
  • the response may include another IP address, URL, etc. related to the sender specified IP address.
  • the response may also include a domain name and a host name associated with the sender specified IP address.
  • the response may also include information that can identify malware that executes communication related to the sender-specified IP address.
  • the response may also include information representing a vulnerability associated with the sender specified IP address.
  • the external information inquiry unit 504 analyzes the response provided by the information source 520. Specifically, when text data is included in the response, the external information inquiry unit 504 may analyze the response by executing various character string analysis processing, pattern matching processing, and the like on the text data. . In addition, when binary data is included in the response, the external information inquiry unit 504 may analyze the response by executing various binary analysis (format analysis), pattern matching on a binary, or the like. Specific methods for analyzing text data and binary data can be appropriately selected, including known techniques.
  • the external information inquiry unit 504 stores various data included in the response as intermediate information.
  • Such intermediate information may include, for example, an IP address included in the response, a malware sample name, a host name, a domain name, a URL, and the like.
  • the external information inquiry unit 504 confirms whether the information stored as the intermediate information includes the transmission destination designation IP address provided from the correspondence estimation unit 501b. For example, the external information inquiry unit 504 may determine whether an IP address that matches the transmission destination designation IP address provided from the correspondence estimation unit 501 b is stored as intermediate information.
  • the external information inquiry unit 504 uses the intermediate information as the search information (search key) to inquire back to the information source 520 ( Send a query).
  • the external information inquiry unit 504 may repeatedly execute the above process until an IP address that matches the transmission destination designation IP address provided from the correspondence estimation unit 501 b is obtained.
  • the external information inquiry unit 504 may abort the above process a certain number of times if an IP address that matches the provided destination IP address can not be obtained. The specific number of times may be determined in advance, for example, by setting or the like. In this case, the external information inquiry unit 504 may notify the correspondence estimation unit 501b that the correspondence between the transmission source designation IP address and the transmission destination designation IP address is not specified.
  • the external information inquiry unit 504 combines the transmission destination designation IP address and the transmission source designation IP address used as the query.
  • the linked (associated) information is provided to the correspondence estimation unit 501b.
  • the external information inquiry unit 504 may execute the above process for all the transmission source designation IP addresses provided from the correspondence estimation unit 501 b and provide the result to the correspondence estimation unit 501 b.
  • the external information inquiry unit 504 may also issue a query (query) to the information source 520, using the transmission destination designation IP address as search information (search key). In this case, the external information inquiry unit 504 may execute the same process as described above by using the transmission destination designation IP address as the search information (search key) instead of the transmission source designation IP address.
  • the external information inquiry unit 504 can confirm whether intermediate information obtained by analyzing the response acquired from the information source 520 includes information matching the transmission source designation IP address.
  • the external information inquiry unit 504 does not specify the transmission source designation IP address corresponding to the transmission destination designation IP address. May be notified to the correspondence estimation unit 501b. If the IP address matching the transmission source designation IP address is obtained as the intermediate information by the above process, the external information inquiry unit 504 ties the transmission source designation IP address and the transmission destination designation IP address used as the query.
  • the attached (associated) information may be provided to the correspondence estimation unit 501b. For example, the external information inquiring unit 504 may execute the above-described processing for all of the transmission destination designation IP addresses provided from the correspondence estimation unit 501 b and provide the result to the correspondence estimation unit 501 b.
  • the external information inquiry unit 504 starts from the record including only the transmission source IP address, and transmits to the transmission destination IP address related to the transmission source IP address recorded in another record. Can be identified. Similarly, the external information inquiry unit 504 can specify a transmission source IP address related to the transmission destination IP address recorded in another record, starting from the record including only the transmission destination IP address. . Thus, the external information inquiry unit 504 specifies the correspondence between the transmission source IP address and the transmission destination IP address based on the log including only one of the transmission source IP address and the transmission destination IP address. Is possible.
  • the external information inquiry unit 504 determines the reliability of the correspondence relation. , And may be provided to the correspondence estimation unit 501b.
  • the external information inquiring unit 504 is a reliability that represents the one-way correspondence relationship (No. 1) reliability may be set.
  • the one-way correspondence can specify the destination IP address from the source IP address, but can not specify the original source IP address from the destination IP address (or vice versa). Represents the correspondence between the IP address and the destination IP address.
  • the external information inquiring unit 504 is a reliability that indicates the bidirectional correspondence relationship (No. 2) Confidence may be set.
  • the bi-directional correspondence relationship when the transmission destination IP address can be specified from the transmission source IP address and the original transmission source IP address can be specified from the transmission destination IP address, the transmission source IP address and the transmission destination IP address Represents the correspondence of In this case, a value greater than the reliability indicating the one-way correspondence may be set as the reliability indicating the two-way correspondence.
  • the transmission source IP address (901 in FIG. 9) is provided to the external information inquiry unit 504.
  • the external information inquiry unit 504 acquires information on the transmission source IP address 901 from the information source 520 (DNS and WHOIS). Thus, for example, a domain name (902 in FIG. 9) and country information (903 in FIG. 9) are obtained as intermediate information. These pieces of intermediate information do not include the IP address of the transmission destination. Therefore, the external information inquiry unit 504 further acquires information on the domain name 902 from the information source 520 (for example, the security information provision site). As a result, information on malware (904 in FIG. 9) is obtained as intermediate information. This intermediate information does not include the IP address of the transmission destination. From this, the external information inquiry unit 504 further acquires information on the malware 904 from the information source 520 (for example, the security information provision site).
  • an IP address (905 in FIG. 9) can be obtained as intermediate information.
  • the information source 520 determines whether the obtained IP address 905 is included in the one or more transmission destination IP addresses provided by the correspondence estimation unit 501b, and provides the result to the correspondence estimation unit 501b.
  • the external information inquiry unit 504 can execute substantially the same processing even when the transmission destination IP address is provided instead of the transmission source IP address 901. Thereby, the external information inquiry unit 504 determines whether the IP address obtained based on a certain transmission destination IP address is included in the one or more transmission source IP addresses provided by the correspondence estimation unit 501b, and the result Are provided to the correspondence estimation unit 501b.
  • the display information generation unit 502 maps at least one of a transmission source image indicating the transmission source, a transmission destination image indicating the transmission destination, and an image indicating the status of the cyber attack between the transmission source and the transmission destination. It generates display information for displaying the display image arranged above.
  • the display information generation unit 502 corresponds to the display information generation unit 102 in the first embodiment.
  • the function of the display information generation unit 502 is expanded from the display information generation unit 102 in the first embodiment.
  • the display information generation unit 502 is configured to include a position conversion unit 502a, a placement image generation unit 502b, an attack line generation unit 502c, a background image generation unit 502d, and a combination unit 502e as illustrated in FIG. Ru.
  • the display information generation unit 502 may be configured to include the conversion table storage unit 502f. These components included in the display information generation unit 502 may be communicably connected as appropriate.
  • the connection lines between the components depicted in FIG. 7 illustrate the main connection relationship of the components, and the communication of data, signals, control, etc. between the components is not limited to this. Absent.
  • the display information generation unit 502 may appropriately specify a record for generating display information among the records stored in each log table (the transmission source log table 501e, the transmission destination log table 501f, and the attack log table 501g). .
  • the display information generation unit 502 may select all the records recorded in each log table as the records for generating the display information, or may select some of the records. As an example, a record recorded within a specific time range may be selected as a log for generating display information.
  • the position conversion unit 502a calculates the position to be displayed on the display image (in particular, on the map included in the display image) for the transmission source and the transmission destination recorded in each log table. Specifically, the position conversion unit 502a converts the latitude and longitude of the transmission source and the transmission destination specified by the log analysis unit 501 (in particular, the position specification unit 501d) into coordinates on the display image.
  • a method of converting the latitude and longitude into coordinates on a planar map may use a known technique.
  • the layout image generation unit 502b generates layout image information indicating a transmission source image indicating a transmission source displayed on the display image and a transmission destination image indicating a transmission destination displayed on the display image.
  • the arrangement image information may be information which constitutes a part of the display information. That is, the layout image information may be image data representing the transmission source image and the transmission destination image itself, or may be various data used to generate a display image.
  • the generation of the image arrangement information capable of displaying the transmission source image may be simply described as “the arrangement image generation unit 502b generates the transmission source image”. is there. Further, generation of image arrangement information capable of displaying the transmission destination image may be simply described as “the arrangement image generation unit 502 b generates the transmission destination image”.
  • the transmission source image is an image showing the transmission source of the cyber attack, as in the first embodiment. More specifically, the transmission source image is an image showing a transmission source specified by the transmission source IP address recorded in the records included in the transmission source log table 501e and the attack log table 501g.
  • the transmission destination image is an image showing the transmission destination of the cyber attack, as in the first embodiment. More specifically, the transmission destination image is an image indicating the transmission destination specified by the transmission destination IP address recorded in the records included in the transmission destination log table 501f and the attack log table 501g.
  • the layout image generation unit 502b When only the transmission source relating to a certain communication is identified, the layout image generation unit 502b generates layout image information capable of displaying a first transmission source image indicating the transmission source. More specifically, the layout image generation unit 502b can display a layout image capable of displaying the first transmission source image for the transmission source specified by the transmission source IP address recorded in the record included only in the transmission source log table 501e. Generate information.
  • the layout image generation unit 502b When both the transmission source and the transmission destination for a certain communication are specified, the layout image generation unit 502b generates layout image information capable of displaying a second transmission source image indicating the transmission source. More specifically, the layout image generation unit 502b displays layout image information capable of displaying the second transmission source image for the transmission source specified by the transmission source IP address recorded in the record included in the attack log table 501g. Generate The first transmission source image and the second transmission source image may be different images.
  • the layout image generation unit 502b When only the transmission destination related to a certain communication is specified, the layout image generation unit 502b generates layout image information capable of displaying a first transmission destination image indicating the transmission destination. More specifically, the arrangement image generation unit 502b can display an arrangement image capable of displaying the first transmission destination image for the transmission destination specified by the transmission destination IP address recorded in the record included only in the transmission destination log table 501f. Generate information.
  • the layout image generation unit 502b When both the transmission source and the transmission destination for a certain communication are specified, the layout image generation unit 502b generates layout image information capable of displaying a second transmission destination image indicating the transmission destination. More specifically, the layout image generation unit 502b can display layout image information capable of displaying the second transmission destination image for the transmission destination specified by the transmission destination IP address recorded in the record included in the attack log table 501g. Generate The first transmission destination image and the second transmission destination image may be different images.
  • the first transmission destination image, the second transmission destination image, the first transmission source image, and the second transmission source image may be displayed as long as they can be identified by the user, and the specific display form is not particularly limited. That is, the layout image generation unit 502b selects one of the display modes such as shape, color, pattern, animation method, etc. as the first transmission destination image, the second transmission destination image, the first transmission source image, and the second transmission source image. At least one image may be generated as appropriate.
  • the layout image generation unit 502b generates different transmission source images and different transmission destination images according to the type (hereinafter referred to as "log type") in which a certain record is included.
  • log type the log type of the record including only the transmission destination IP address
  • the log type of the record including only the transmission source IP address (that is, the record stored in the transmission source log table 501e)
  • log type B the log type of the record including both the transmission source and the transmission destination
  • the log type may be stored, for example, in a log type table 502g of a format as illustrated in FIG.
  • the transmission source image and the transmission destination image generated by the layout image generation unit 502b will be described using the specific example illustrated in FIG. FIG. 10 is a specific example for explanation, and the present embodiment is not limited to this.
  • the arrangement image generation unit 502 b may generate, for example, a first transmission destination image 1001 shown in the part (A) of FIG. 10 as the first transmission destination image in the case of the log type A.
  • the arrangement image generation unit 502b may generate, for example, a first transmission source image 1002 shown in the (B) portion of FIG. 10 as the first transmission source image in the case of the log type B.
  • the arrangement image generation unit 502 b may generate, for example, a second transmission destination image 1003 as a second transmission destination image in the case of the log type C.
  • the layout image generation unit 502 b may generate, for example, a second transmission source image 1004 as the second transmission source image in the case of the log type C.
  • the arrangement image generation unit 502b displays different display forms (the first transmission destination image 1001, the second transmission destination image 1003, the first transmission source image 1002, and the second transmission source image 1004). In the case of 10, an image of shape and color is generated.
  • the arrangement image generation unit 502b is not limited to the specific example illustrated in FIG. 10, and may appropriately generate images different in shape, color, pattern, animation method, and the like.
  • the layout image generation unit 502b may be configured as a first transmission destination image 1001, a second transmission destination image 1003, a first transmission source image 1002, and a second transmission source image 1004 on a map where transmission sources or transmission destinations are arranged.
  • An animation image in which a drawn line spreads radially may be displayed centered on the point of.
  • the arrangement image generation unit 502 b may draw the shapes, patterns, colors, etc. of the first transmission destination image 1001, the second transmission destination image 1003, the first transmission source image 1002, and the second transmission source image 1004.
  • the animation speed or the like may be changed.
  • the placement image generation unit 502b may be configured such that a cyber attack in which only the transmission source is identified, a cyber attack in which only the transmission destination is identified, and a cyber attack in which the transmission source and the transmission destination are associated. Can generate an image that can be easily distinguished by the user.
  • the layout image generation unit 502 b also displays a transmission source image (first transmission source image and second transmission source image) indicating the transmission source according to the communication amount and communication frequency regarding communication transmitted from a certain transmission source. Display information may be generated to change the form.
  • the layout image generation unit 502 b is configured to transmit a transmission destination image (a first transmission destination image and a second transmission destination image) indicating the transmission destination according to the communication amount and communication frequency regarding the communication transmitted to a certain transmission destination. Display information may be generated to change the display form (shape, color, pattern, animation method, etc.).
  • the communication amount and communication frequency regarding a certain transmission source or transmission destination may be provided by, for example, the communication analysis unit 501k, or may be calculated from the records stored in the various log tables by the layout image generation unit 502b. .
  • the layout image generation unit 502b is configured to transmit the size (size of the transmission source image (first transmission source image and second transmission source image) indicating the transmission source according to the amount of communication regarding communication transmitted from a certain transmission source. May be changed.
  • the layout image generation unit 502b may change the size of the transmission source image, for example, in proportion to the amount of communication.
  • the layout image generation unit 502 b changes the size of the transmission destination image (the first transmission destination image and the second transmission destination image) indicating the transmission destination, for example, according to the amount of communication related to the communication transmitted to a certain transmission destination. May be In this case, the arrangement image generation unit 502b may change the size of the transmission destination image, for example, in proportion to the amount of communication.
  • the communication amount related to the transmission source and the transmission destination may be a total of communication amounts related to specific communication in the transmission source or the transmission destination.
  • the arrangement image generation unit 502b sets the animation speed of the transmission source image (the first transmission source image and the second transmission source image) indicating the transmission source according to the communication frequency related to the communication transmitted from a certain transmission source. You may change it.
  • the layout image generation unit 502b may change the animation speed of the transmission source image so as to be proportional to the communication frequency.
  • the layout image generation unit 502b changes the animation speed of the transmission destination image (the first transmission destination image and the second transmission destination image) indicating the transmission destination, for example, according to the communication frequency regarding the communication transmitted to a certain transmission destination. You may The layout image generation unit 502b may change the animation speed of the transmission destination image, for example, in proportion to the communication frequency.
  • the layout image generation unit 502b may change the color of the transmission source image (the first transmission source image, the second transmission source image) representing the transmission source according to an attacker to which a certain transmission source belongs.
  • the placement image generation unit 502b refers to, for example, the attacker table 502h as shown in FIG. 12, and uses the transmission source IP address and the transmission destination port number recorded in the records stored in each log table. , Identify an attacker to which a certain source belongs.
  • the attacker table 502h is, for example, a conversion table capable of specifying an attacker (for example, a name of the attacker, an identifier for identifying the attacker, and the like) from the transmission source IP address and the transmission destination port number.
  • the layout image generation unit 502b may specify, for example, the color arrangement assigned to the attacker to which the transmission source belongs, with reference to the color arrangement table 502j illustrated in FIG.
  • the arrangement image generation unit 502b may change the color of the transmission destination image (the first transmission destination image, the second transmission destination image) representing the transmission destination according to the victim to which the certain transmission destination belongs.
  • the arrangement image generation unit 502b refers to, for example, the victim table 502i shown in FIG. 13, and from the transmission destination IP address recorded in the record stored in each log table, a victim to which a certain transmission destination belongs (for example, , The name of the victim, an identifier for identifying the victim, etc.) may be specified.
  • the victim table 502i is, for example, a conversion table capable of identifying the victim from the destination IP address.
  • the arrangement image generation unit 502b refers to the color arrangement table 502j illustrated in FIG. 14 and specifies the color arrangement assigned to the victim to which the transmission destination belongs.
  • the layout image generation unit 502 b uses the color arrangement specified as described above to transmit the transmission source image (first transmission source image, second transmission source image) and the transmission destination image (first transmission destination image, second transmission destination image).
  • the color of) can be changed.
  • the arrangement image generation unit 502b may change the pattern of the transmission source image according to the attacker who belongs to a certain transmission source, and the pattern of the transmission destination image may be changed according to the victim to which a certain transmission destination belongs. May be changed.
  • Necessary data may be set in advance in the attacker table 502h, the victim table 502i, and the color arrangement table 502j.
  • the attacker table 502h is not limited to the specific example of FIG. 12, and a plurality of sets of a transmission source IP address and a transmission destination port number may be associated with a certain attacker.
  • a plurality of transmission destination IP addresses may be associated with a single victim.
  • FIGS. 1-10 Specific examples of the first transmission destination image, the second transmission destination image, the first transmission source image, and the second transmission source image generated by the layout image generation unit 502b are illustrated in FIGS.
  • the size of the first transmission destination image 1001 represents the amount of communication transmitted to the transmission destination, and the color represents the victim to which the transmission destination belongs (part (A) in FIG. 15).
  • the animation speed indicates the communication frequency (part (B) in FIG. 15).
  • the size of the first transmission source image 1002 represents the amount of communication transmitted from the transmission source, and the color represents the attacker to which the transmission source belongs (part (A) in FIG. 16).
  • the animation speed indicates the communication frequency (part (B) in FIG. 16).
  • the size of the second transmission destination image 1003 represents the amount of communication transmitted to the transmission destination, and the color represents the victim to which the transmission destination belongs (part (A) in FIG. 17).
  • the animation speed indicates the communication frequency (part (B) in FIG. 17).
  • the size of the second transmission source image 1004 represents the amount of communication transmitted from the transmission source, and the color represents the attacker to which the transmission source belongs (part (A) in FIG. 18).
  • the animation speed indicates the communication frequency (part (B) in FIG. 18).
  • the layout image generation unit 502b can generate, for example, a transmission source image that allows the user to easily recognize the traffic associated with a certain transmission source and the attacker to which the transmission source belongs. It is.
  • the layout image generation unit 502b can also generate a transmission source image that allows the user to easily recognize the communication frequency regarding a certain transmission source. Further, by the processing as described above, for example, the layout image generation unit 502b may generate a transmission destination image in which the user can easily recognize the communication amount related to a certain transmission destination and the victim to which the transmission destination belongs. Is possible.
  • the layout image generation unit 502b can also generate a transmission destination image that allows the user to easily recognize the communication frequency regarding a certain transmission destination.
  • the attack line generation unit 502 c Similar to the display information generation unit 102 in the first embodiment, the attack line generation unit 502 c generates an attack status image representing an attack directed from a certain transmission source to a transmission destination. In the following, it is assumed that the attack line generation unit 502c generates, as an attack situation image, an animation image in which the display form of the attack line dynamically changes.
  • the attack line generation unit 502 c displays the attack line display form (for example, shape, color, and the like) according to the communication amount and communication frequency related to the communication performed between the same transmission source and transmission destination in a certain period. It is configured to change patterns, animation methods, etc.).
  • the communication amount and communication frequency regarding a certain transmission source or transmission destination may be provided by, for example, the communication analysis unit 501k, or may be calculated from records stored in various log tables by the attack line generation unit 502c. .
  • the attack line generation unit 502c may generate an attack situation image including an attack line by the same method as the display information generation unit 102 in the first embodiment.
  • the attack line generation unit 502c changes the size (size, length, thickness, etc.) of the attack line according to the amount of communication related to the communication performed between the transmission source and the transmission destination in a certain period. You may When the attack line is represented as a line (straight line, curved line, arrow, etc.) linking between the transmission source and the transmission destination, the attack line generation unit 502 c is, for example, proportional to the communication amount, the thickness of the line May be increased (or decreased).
  • the attack line generation unit 502c may change the animation speed of the attack line according to the communication frequency regarding the communication performed between the transmission source and the transmission destination in a certain period.
  • the attack line generation unit 502c may increase (or decrease) the animation speed of the line extending from the transmission source to the transmission destination, for example, in proportion to the communication frequency.
  • the attack line generation unit 502 c may also change the color of the attack line according to the port number of the transmission destination recorded in the record stored in the attack log table 501 g.
  • the attack line generation unit 502c may specify, for example, the color scheme assigned to each port number of the transmission destination with reference to the color scheme table 502j illustrated in FIG.
  • FIG. 19 A specific example of the attack status image (in particular, the attack line) generated by the attack line generation unit 502c is shown in FIG.
  • the attack line is drawn as a drawing element having a substantially arrow-like shape.
  • the size of the attack line represents the amount of communication related to communication between a certain transmission source and the transmission destination, and the color of the attack line represents the port number of the transmission destination (FIG. (A) part).
  • the attack line generation unit 502c may generate an attack line so that the width (or diameter) of the line segment portion (shaft portion) of the arrow increases in proportion to the communication amount, and the area of the arrow The attack line may be generated to increase the whole.
  • the communication amount in this case may be the communication amount per unit time between the transmission source and the transmission destination, or may be the total communication amount within a certain period.
  • the animation speed indicates the communication frequency (part (B) in FIG. 19).
  • the communication frequency in this case may be the communication frequency per unit time.
  • the attack line generation unit 502c can easily recognize, for example, the situation (in particular, the amount of communication and the frequency of communication) of a cyber attack between a certain transmission source and a transmission destination, for example. It is possible to generate an attack situation image.
  • the background image generation unit 502d generates a map image displayed as a background image in the display image. Similar to the display information generation unit 102 in the first embodiment, the background image generation unit 502d may generate an image in which a world map drawn by Mercator projection is displayed as a white map as a map image.
  • the synthesizing unit 502e generates the transmission source image and the transmission destination image generated by the layout image generating unit 502b, the attack status image (particularly the attack line) generated by the attack line generating unit 502c, and the background image generating unit 502d.
  • Display information is generated to display a display image obtained by combining the acquired map images.
  • the display information may be, for example, image data representing the display image itself to be displayed, or may be various data used for generating the display image.
  • the display information may include, for example, a script for executing a display image generation process, an executable binary, and the like.
  • the display information may include, for example, a control signal for controlling the display device.
  • the conversion table storage unit 502 f is a storage area capable of storing various conversion tables.
  • the conversion table storage unit 502f can be realized by, for example, one or more databases, files, and the like.
  • the conversion table storage unit 502f may store, for example, the log type table 502g, the attacker table 502h, the victim table 502i, and the color arrangement table 502j described above.
  • the conversion table storage unit 502 f may be included in the attack status visualization device 500 as a component different from the display information generation unit 502.
  • FIG. 20 is a flowchart illustrating an example of the operation of the attack status visualization device 500.
  • the attack status visualization device 500 collects various logs from the log provider 510 (step S2001).
  • the specific processing in the log collection unit 503 is as described above.
  • the attack status visualization device 500 analyzes the collected log (step S2002). As described above, the log analysis unit 501 analyzes each record included in the collected log, and determines whether the transmission destination IP address is included or not and the transmission source IP address is included. The log analysis unit 501 stores each record in any of the transmission source log table 501 e, the transmission destination log table 501 f, and the attack log table 501 g according to the result of the determination.
  • the attack status visualization device 500 (in particular, the log analysis unit 501) specifies the correspondence between the transmission source and the transmission destination recorded in the records stored in each log table (step S2003). As described above, the transmission source IP address and the transmission destination IP address are recorded in the record stored in the attack log table 501g. Thus, the log analysis unit 501 associates the transmission source IP address recorded in the record stored in the attack log table 501g with the transmission destination IP address.
  • the log analysis unit 501 also specifies the relationship between a plurality of records acquired within a certain period, which are stored in the transmission source log table 501e and the transmission destination log table 501f. More specifically, the log analysis unit 501 performs a query to the information source 520 using the external information inquiry unit 504, thereby transmitting the transmission source included in the record stored in the transmission source log table 501e, and The correspondence with the transmission destination included in the record stored in the previous log table 501 f is specified.
  • the log analysis unit 501 executes an inquiry to the information source 520 using, for example, the transmission source IP address or the transmission destination IP address as a search key, and extracts intermediate information by analyzing the response. Do.
  • the log analysis unit 501 includes the transmission destination IP address stored in the transmission destination log table 501f in the search result obtained from the information source 520 using the transmission source IP address stored in the transmission source log table 501e as a key. If so, associate them.
  • the log analysis unit 501 uses the transmission destination IP address stored in the transmission destination log table 501f as a key to the transmission destination IP stored in the transmission source log table 501e as the search result obtained from the information source 520. If addresses are included, associate them.
  • the log analysis unit 501 may store, in the attack log table 501g, a record including the transmission source and the transmission destination for which the correspondence relationship is specified.
  • the attack status visualization device 500 calculates the transmission source image, the transmission destination image, and data used to generate the attack status image (step S2004).
  • the log analysis unit 501 specifies, for example, from the transmission source IP address or the transmission destination IP address, a geographical position (for example, a country or a city) where the transmission source or the transmission destination is arranged, The latitude and longitude representing the position may be calculated.
  • the log analysis unit 501 may also calculate the communication amount and communication frequency regarding the communication transmitted from a certain transmission source.
  • the log analysis unit 501 may also calculate the communication amount and communication frequency regarding the communication transmitted to a certain transmission destination.
  • the log analysis unit 501 may calculate the amount of communication and the communication frequency between the transmission source whose correspondence is specified and the transmission destination.
  • the log analysis unit 501 may provide the calculated various data to the display information generation unit 502.
  • the attack status visualization device 500 displays display information capable of displaying an image in which a transmission source image indicating a transmission source and a transmission destination image indicating a transmission destination are arranged on a map. It generates (step S2005).
  • the display information generation unit 502 may obtain, for example, the date and time, at least one of the transmission source IP address and the transmission destination IP address, the transmission destination port number, and the communication amount from the records stored in each log table. .
  • the display information generation unit 502 can specify the log type of each record based on, for example, whether or not the transmission source IP address is recorded, and whether or not the transmission destination IP address is recorded.
  • the display information generation unit 502 can specify an attacker to which a certain transmission source belongs from the transmission source IP address and the transmission destination port number.
  • the display information generation unit 502 can also specify the victim to which a certain transmission destination belongs from the transmission destination IP address.
  • the display information generation unit 502 also acquires the communication amount and communication frequency related to the communication transmitted from a certain transmission source.
  • the display information generation unit 502 may acquire the data calculated by the log analysis unit 501.
  • the display information generation unit 502 may obtain the transmission source communication amount “m1”, for example, as the sum of the communication amounts transmitted from the same attacker in a predetermined period (for example, “d”). It is also possible to calculate the amount of communication per unit time by dividing the amount of communication "m1" by the fixed period "d”.
  • the display information generation unit 502 calculates the communication frequency per unit time by, for example, dividing by “d” the number of records regarding the same attacker (sender) recorded within a predetermined period. It is also possible.
  • the display information generation unit 502 generates a transmission source image based on the log type of the record in which the transmission source is recorded, the attacker to which the transmission source belongs, and the communication amount and communication frequency regarding the transmission source for a certain transmission source. Generate
  • the display information generation unit 502 acquires the communication amount and communication frequency regarding the communication transmitted to a certain transmission destination.
  • the display information generation unit 502 may acquire the data calculated by the log analysis unit 501.
  • the display information generation unit 502 may obtain, for example, the transmission destination communication amount “m2” as the sum of the communication amounts transmitted to the same victim during the fixed period “d”. It is also possible to calculate the amount of communication per unit time by dividing the amount of communication "m2" by "a fixed period” d.
  • the display information generation unit 502 calculates the communication frequency per unit time by, for example, dividing the number of records regarding the same victim (transmission destination) recorded in a predetermined period by “d”. It is also possible.
  • the display information generation unit 502 for a transmission destination, the transmission destination image based on the log type of the record in which the transmission destination is recorded, the victim to which the transmission destination belongs, and the communication amount and communication frequency regarding the transmission destination.
  • the attack status visualization device 500 (in particular, the display information generation unit 502) generates display information including an attack status image representing an attack status for the transmission source and the transmission destination for which the correspondence is specified (step S2006). Specifically, the display information generation unit 502 acquires the communication amount and the communication frequency regarding the communication performed between the transmission source for which the correspondence is specified and the transmission destination. The display information generation unit 502 may acquire the data calculated by the log analysis unit 501. Note that the display information generation unit 502 is, for example, the sum of the communication amounts executed between the same attacker and the victim within a fixed period “d” from the records stored in the attack log table 501g. The total communication amount "m3" may be determined.
  • the display information generation unit 502 divides the number of records related to the communication executed between the same attacker and the victim within the fixed period “d”, which is stored in the attack log table 501 g, by “d”. It is also possible to calculate the communication frequency per unit time.
  • the display information generation unit 502 includes a transmission destination port number, an attacker to which the transmission source belongs, a victim to which the transmission destination belongs, a communication amount between the transmission source and the transmission destination (total communication amount and communication amount per unit time), And, based on the log frequency per unit time, an attack situation image including an attack line is generated.
  • the specific method of generating an attack line is as described above.
  • the attack status visualization device 500 may cause the display device 530 to display a display image by, for example, providing the display device 530 with the display information generated in steps S2005 and S2006.
  • FIG. 21 is an explanatory diagram showing a specific example of the user interface 2100 displayed on the display device 530 according to the display information generated by the attack status visualization device 500.
  • a display image 2101 is displayed on the user interface 2100.
  • FIG. 21 is a diagram showing a specific example for explanation, and the present embodiment is not limited to this.
  • a map (2101k of FIG. 21) is displayed on the display image 2101.
  • transmission source images (2101 e, 2101 f, 2101 g, 2101 h in FIG. 21) and transmission destination images (2101 a, 2101 b, 2101 c, 2101 d in FIG. 21) representing transmission sources of cyber attacks are displayed.
  • an attack status image (2101 i, 2101 j in FIG. 21) is displayed between the transmission source image and the transmission destination image.
  • Ru Furthermore, a day and night border 21011 may be displayed on the map.
  • the transmission destination images 2101a and 2101b are transmission destination images when only the transmission destination is specified from the log, and the transmission destination images 2101c and 2101d are when the correspondence between the transmission source and the transmission destination is specified from the log. It is a transmission destination image. That is, different transmission destination images are displayed according to the log type.
  • the transmission source images 2101 g and 2101 h are transmission source images when only the transmission source is specified from the log, and the transmission source images 2101 e and 2101 f are when the correspondence between the transmission source and the transmission destination is specified from the log. It is a transmission source image. That is, different transmission source images are displayed according to the log type.
  • the transmission destination image 2101c is displayed as an image having a larger area than 2101d. This indicates that the transmission destination represented by the transmission destination image 2101c has a larger amount of communication than the transmission destination represented by the transmission destination image 2101d. Similarly, it indicates that the transmission destination represented by the transmission destination image 2101b has a larger communication volume than the transmission destination represented by the transmission destination image 2101a. The same applies to the transmission source images 2101 e, 2101 f, 2101 g, and 2101 h.
  • the color of each transmission source image can represent an attacker to which the transmission source belongs, and the color of each transmission destination image can represent a victim to which the transmission destination belongs. It is.
  • the transmission source image is an animation image
  • the animation speed can represent the communication frequency at the destination.
  • the attack line of the attack state image 2101i is displayed as an image having a larger area than the attack line of the attack state image 2101j. This represents that the traffic volume represented by the attack status image 2101i is larger than the traffic volume represented by the attack status image 2101j.
  • the attack line is displayed as an animation, it is possible to indicate the communication frequency between the transmission source and the transmission destination by the animation speed.
  • the attack status visualization device 500 in the present embodiment configured as described above, it is possible to visualize the status of an attack related to security such as a cyber attack in an easy-to-understand manner. The reason is as follows.
  • the attack status visualization apparatus 500 analyzes the logs provided by various log providers to determine the transmission source, the transmission destination, and the attack status for a certain cyber attack. It is possible to generate an image to represent.
  • the attack status visualization device 500 further transmits by using various external information sources from the log in which only the transmission source for a certain communication is specified and the log in which only the transmission destination for a certain communication is specified. It is possible to identify the correspondence between the source and the destination.
  • the log provided by the log provider does not necessarily include information that can identify both the sender and the destination regarding a certain cyber attack. Even in such a situation, the attack situation visualization device 500 specifies the correspondence between the transmission source and the transmission destination by repeatedly executing an inquiry to the information source 520 using, for example, the external information inquiry unit 504. It is possible.
  • the source of cyber attacks tends to be hidden, and the source may be disguised. Also, there is a possibility that an attack may be executed via a step machine or a bot.
  • the transmission source is spoofed, it is not always possible to identify the true attacker from the transmission source recorded in a certain communication data (packet). That is, the method of specifying the transmission source directly included in certain communication data (for example, the above-mentioned patent documents) does not necessarily identify the true attacker.
  • an attack is executed via an intermediary, such as a platform machine or bot.
  • the transmission sources are widely dispersed, the displayed content may be too complicated.
  • the attack status visualization device 500 can acquire, for example, information on security provided by various security vendors as the information source 520, and information on network services. By analyzing various types of information obtained from the information source 520, the attack status visualization device 500 may be able to more appropriately identify an attacker with respect to a certain cyber attack.
  • the attack status visualization device 500 also adjusts the display form of the transmission source image representing the transmission source according to the amount of communication regarding the communication transmitted from the transmission source, the communication frequency, and the attacker to which the transmission source belongs. It is possible. Similarly, the attack status visualization device 500 displays a display format of a transmission destination image representing the transmission destination according to the communication amount, the communication frequency, and the victim to which the transmission destination belongs to a transmission destination. It is possible to adjust Specifically, the attack status visualization device 500 can appropriately change, for example, the shape (including the size) of the transmission source image and the transmission destination image, the color arrangement, and the animation speed. This allows the user to view the attack situation at the transmission source and the transmission destination.
  • the attack status visualization device 500 can also adjust the display mode of the attack status image according to the amount of communication between the transmission source and the transmission destination, the communication frequency, the transmission destination port number, and the like. Specifically, the attack situation visualization device 500 can appropriately change, for example, at least one of the shape (including the size), the color scheme, and the animation speed of the attack line included in the attack situation image. Thereby, the user can visually recognize the situation of the attack between the transmission source and the transmission destination.
  • the user can easily recognize, for example, an attacker and a victim related to a certain cyber attack. Also, the user can recognize the severity of the attack from the frequency and amount of communication of the cyber attack.
  • the functional configuration of the attack status visualization device 500 in the present modification may be the same as that of the second embodiment.
  • the function of the display information generation unit 502 (in particular, the attack line generation unit 502c) is expanded.
  • the attack line generation unit 502 c in the present modification changes the display mode of the attack line according to the reliability between a certain transmission source and the transmission destination. Specifically, in the case where the correspondence between the transmission source and the transmission destination specified using the external information inquiry unit 504 is a one-way correspondence, the attack line generation unit 502 c has a two-way correspondence. In the case and the case, attack lines of different display forms are generated. As an example, the attack line generation unit 502c may change the pattern of the attack line according to each case.
  • the attack line generation unit 502 c is not limited to the above, and is different from the representation method (for example, shape, animation speed, color) representing the communication amount between the transmission source and the transmission destination, the communication frequency, and the transmission destination port number. An appropriate expression method may be used to appropriately change the display form of the attack line.
  • the user of the attack status visualization device 500 can, for example, view the reliability of the correspondence between the transmission source and the transmission destination specified for a certain cyber attack.
  • FIG. 22 is a block diagram illustrating a functional configuration of the attack status visualization device 2200 in the present embodiment.
  • the attack status visualization device 2200 has the function of the external information inquiry unit 2201 expanded from the attack status visualization device 500 in the second embodiment.
  • the other configuration of the attack status visualization device 2200 may be similar to that of the attack status visualization device 500 in the second embodiment.
  • the external information inquiry unit 2201 will be described below.
  • FIG. 23 is a block diagram illustrating a functional configuration of the external information inquiry unit 2201.
  • the external information inquiry unit 2201 includes a query processing unit 2201a, an analysis model storage unit 2201b, and an information collection unit 2201c.
  • the query processing unit 2201a receives the transmission source designation IP address and the transmission destination designation IP address as a search key, and selects a crawler (described later) that executes a query using the search key using an analysis model (described later). Configured The query processing unit 2201a is also configured to identify the correspondence between the transmission source designation IP address and the transmission destination designation IP address by analyzing the response to the query executed by the selected crawler. Specific processing of the query processing unit 2201a will be described later.
  • the analysis model storage unit 2201 b stores an analysis model.
  • the analysis model is a model configured to receive a search key as an input, and use the search key to calculate a score of each crawler capable of querying the information source 520. Specific examples of the analysis model will be described later.
  • the information collection unit 2201 c has one or more crawlers.
  • the crawler is configured to, for example, execute an inquiry process using a search key for a certain information source 520, and provide the result to the query processing unit 2201a.
  • One or more crawlers may be assigned to one information source 520, and one crawler may be assigned to a plurality of information sources 520.
  • the crawler is configured to perform query processing using an appropriate method for each information source 520.
  • the crawler may be configured to send a query for a search to the information source 520 and receive a response to the query.
  • the crawler may be configured to obtain content provided by the information source 520 and to search for intermediate information from the obtained content.
  • FIG. 24 is an explanatory view showing an outline of an analysis model.
  • the analysis model shown in FIG. 24 is a specific example for explanation, and the analysis model in the present embodiment is not limited to this.
  • the analysis model in the present embodiment is configured using a neural network as a whole. Specifically, the analysis model is configured as a neural network combined with the first model and the second model.
  • the first model for example, a model capable of learning static features (for example, patterns) of data representing a search key is used.
  • the first model is similar to the similar data (eg, partially different IP addresses) by convoluting certain data (eg, IP address, host name, etc.) included in the search key. It can be converted to be handled as data having.
  • a convolutional neural network CNN: Convolutional
  • CNN Convolutional
  • Use Neural Network a convolutional neural network
  • a model capable of learning the process of acquiring intermediate information is used by repeatedly executing a query on the information source 520.
  • a Recurrent Neural Network (RNN) is used as a second model capable of learning the process of repeatedly executing a query.
  • the CNN is generally a neural network that includes one or more convolutional layers.
  • the CNN may include a pooling layer in addition to the convolutional layer.
  • the convolutional layer is generally configured to perform processing (filtering) on the input data to generate data (map data) obtained by converting the input data. For example, when a filter capable of extracting a pattern of certain data is formed in the convolutional layer, data (feature data) representing a feature of a specific pattern is obtained as map data from specific input data.
  • a filter is applied to the entire region of the input data, so feature data can be extracted from the input data without considering in advance the position, number, etc. of the data contained in the input data. .
  • the pooling layer is generally configured to extract a representative value from a region (pooling region) included in map data output from the convolution layer. By providing the pooling layer, it is possible to reduce the dimension of data while preserving the characteristic values included in the map data output from the convolutional layer.
  • RNNs are generally neural networks comprising at least one or more intermediate layers with feedback loops.
  • an intermediate layer with a feedback loop can provide an output from the intermediate layer in a state prior to a state as an input to the intermediate layer in a state.
  • the RNN can reflect the influence of input data received in the past when calculating output data regarding certain input data.
  • an RNN employing Long Short Term Memory (LSTM) may be used as the second model.
  • Data representing a search key is input to the input layer of the analysis model configured using the first and second models as described above.
  • the search key may be a transmission source designation IP address or a transmission destination designation IP address.
  • the search key may also be intermediate information obtained by analyzing a response to a query to a certain information source 520.
  • the number of units in the input layer may be appropriately selected according to the size and the nature of the search key. For example, in the case where the search key is represented by text data, the input layer may include the same number of units as the number of characters (eg, 1024 characters) extracted from the text data.
  • the output layer of the analysis model outputs a score for each crawler.
  • the number of units of the output layer may be appropriately selected according to the number of crawlers. For example, when the number of crawlers is "m"("m" is a natural number), the number of units of the output layer may be “m”. Note that since there are “2 m “ combinations that select zero or more "m” crawlers from “m” crawlers, the number of units in the output layer is "2 m " It is also good.
  • the score of each crawler calculated by the analysis model from the input search key is information indicating the usefulness (appropriateness) of executing a query regarding the input search key using each crawler. That is, the higher the score calculated for a certain search key, the higher the probability that useful intermediate information (or desired IP address) can be obtained by a query using that crawler.
  • Useful intermediate information is, for example, information used to specify the correspondence between the transmission source and the transmission destination. As an example, such intermediate information may be the IP address of the transmission destination corresponding to the transmission source designation IP address, or may be the IP address of the transmission source corresponding to the transmission destination designation IP address.
  • Such intermediate information directly or indirectly serves to acquire the IP address of the transmission destination corresponding to the transmission source designation IP address and to acquire the IP address of the transmission source corresponding to the transmission destination designation IP address.
  • Other information for example, host name, URL, malware name, etc. may be used.
  • the analysis model as described above can be created, for example, by executing a learning process as outlined below.
  • an analysis model is created using an apparatus (described as “learning apparatus”) different from the attack situation visualization apparatus 2200.
  • learning apparatus includes crawlers similar to the crawlers included in the information collection unit 2201c.
  • the learning device may include, as training data for learning the analysis model, data including, for example, a transmission source designation IP address and a transmission destination designation IP address whose correspondence relationship is specified in advance.
  • the training data may be created, for example, by manually checking the records stored in each log table by the analyst. In this case, the training data may be considered to reflect the analyst's knowledge.
  • the learning device can learn an analysis model using, for example, a framework of Q-learning, which is one of reinforcement learning methods. The outline will be described below.
  • the learning device inputs, for example, a transmission source designation IP address included in the training data as an input (search key) to the analysis model in the learning process, and calculates a score regarding each crawler.
  • the learning device for example, selects the crawler with the highest score or randomly selects the crawler with a predetermined probability.
  • the learning device queries the information source 520 using the selected crawler.
  • the search key corresponds to the state in reinforcement learning, and the selection of the crawler and the execution of the query correspond to the action in reinforcement learning.
  • the learning device analyzes the response to the query and extracts intermediate information.
  • the learning device calculates a reward according to the usefulness of the intermediate information. The relationship between the interim information and the reward may be designed as appropriate.
  • the learning device calculates the maximum value of the score of each crawler when the intermediate information is input to the analysis model as a new search key.
  • the learning device learns the analysis model so that the difference between the calculated maximum value and the score of the crawler selected last time becomes small. Thereby, for example, the analysis model is learned such that a relatively high score is calculated for the crawler that can obtain intermediate information with high utility by executing a query using a certain search key.
  • the method described in the following reference 1 may be adopted.
  • the attack state visualization device 2200 may be provided with, for example, a learned analysis model on which a learning process has been previously performed by a learning device, and the analysis model may be stored in the analysis model storage unit 2201 b.
  • the query processing unit 2201a receives one or more transmission source designation IP addresses and transmission destination designation IP addresses from the log analysis unit.
  • the query processing unit 2201a inputs a transmission source designation IP address to the analysis model, and calculates a score related to each crawler.
  • the query processing unit 2201a selects a crawler with the highest calculated score, and requests execution of a query (query).
  • the selected crawler executes a query using the transmission source designation IP address as a search key to the information source 520 associated with the crawler, and provides the response to the query processing unit 2201a.
  • the query processing unit 2201a stores various data obtained by analyzing the response as intermediate information.
  • the process of analyzing the response may be similar to that of the external information inquiry unit 504 in the first embodiment.
  • the query processing unit 2201 a determines whether the information stored as intermediate information includes the transmission destination designation IP address provided from the correspondence estimation unit 501 b. Check.
  • the query processing unit 2201a inputs intermediate information as search information (search key) to the analysis model and calculates a score related to each crawler, when an IP address that matches the transmission destination designation IP address is not included in the intermediate information. .
  • the query processing unit 2201a selects a crawler with the highest calculated score, and requests execution of a query (query) again.
  • the selected crawler executes a query using the intermediate information as a search key with respect to the information source 520 associated with the crawler, and provides the response to the query processing unit 2201a.
  • the query processing unit 2201a may repeatedly execute the above processing until an IP address that matches the transmission destination designation IP address is obtained.
  • the query processing unit 2201a may abort the above process a certain number of times if an IP address that matches the provided destination IP address can not be obtained. In this case, the query processing unit 2201a may notify the log analysis unit 501 that the correspondence between the transmission source designation IP address and the transmission destination designation IP address has not been specified.
  • the query processing unit 2201 a When an IP address that matches the transmission destination designation IP address is obtained as intermediate information by the above processing, the query processing unit 2201 a ties the transmission destination designation IP address and the transmission source designation IP address used as the query.
  • the provided information may be provided to the log analysis unit 501.
  • the query processing unit 2201a may execute the above processing for all the transmission source designation IP addresses provided from the correspondence estimation unit 501b and provide the result to the correspondence estimation unit 501b.
  • the query processing unit 2201a may also execute the same process as described above, using the transmission destination designation IP address as search information (search key).
  • the query processing unit 2201a can specify the correspondence between the transmission source designation IP address provided from the log analysis unit 501 and the transmission destination designation IP address.
  • the attack status visualization device 2200 configured as described above corresponds the correspondence between the transmission source and the transmission destination from one or more records that can specify only the transmission source and one or more records that can specify only the transmission destination. Can be identified more appropriately.
  • the reason is that the attack situation visualization device 2200 (in particular, the external information inquiry unit 2201) can appropriately select the crawler that executes the query for the information source 520 by using the analysis model.
  • the analysis model is configured to calculate a higher score for the crawler capable of executing a query that is likely to obtain a response including the target IP address from the search key received as an input. Therefore, the attack state visualization device 2200 can select a more appropriate crawler according to, for example, the score output by the analysis model.
  • attack situation visualization device 100, 500, 2200
  • attack situation visualization device each attack situation visualization device (100, 500, 2200) described in each of the above embodiments is collectively referred to as "attack situation visualization device”.
  • Each attack situation visualization device described in each of the above embodiments may be configured by one or more dedicated hardware devices.
  • each component shown in the above-mentioned each figure (for example, FIG. 1, 5-7, 22, 23) is realized as hardware (an integrated circuit etc. on which processing logic is implemented) in which a part or all is integrated.
  • the attack status visualization device is realized by a hardware device
  • the components of the attack status visualization device may be implemented as integrated circuits (for example, SoC (System on a Chip) etc.) that can provide respective functions. Good.
  • SoC System on a Chip
  • data included in a component of the attack status visualization device may be stored in a random access memory (RAM) region integrated with the SoC or a flash memory region.
  • RAM random access memory
  • the attack status visualization device realizes, for example, the functions of a log analysis unit (101, 501), a display information generation unit (102, 502), a log collection unit 503, and an external information inquiry unit (504, 2201). It may be implemented using one or more possible processing circuitry, communication circuitry, storage circuitry and the like. In addition, various variations are assumed in the implementation of the circuit configuration for realizing the attack status visualization device.
  • each hardware device may be communicably connected by an appropriate communication method (wired, wireless, or a combination thereof).
  • attack status visualization device may be configured by a general-purpose hardware device 2500 as illustrated in FIG. 25 and various software programs (computer programs) executed by the hardware device 2500.
  • the attack status visualization device may be configured by one or more appropriate numbers of hardware devices 2500 and software programs.
  • the processor 2501 in FIG. 25 is, for example, a general-purpose CPU (Central Processing Unit) or a microprocessor.
  • the processor 2501 may, for example, read various software programs stored in the non-volatile storage device 2503 described later into the memory 2502 and execute processing in accordance with the software programs.
  • the components of the attack status visualization device in each of the above embodiments can be realized, for example, as a software program executed by the processor 2501.
  • the attack status visualization device in each of the above embodiments includes, for example, a log analysis unit (101, 501), a display information generation unit (102, 502), a log collection unit 503, and an external information inquiry unit (504, 2201). May be realized by one or more programs capable of realizing the function of. Note that various variations are assumed in the implementation of such a program.
  • the memory 2502 is a memory device such as a RAM that can be referred to by the processor 2501 and stores software programs, various data, and the like.
  • the memory 2502 may be a volatile memory device.
  • the non-volatile storage device 2503 is a non-volatile storage device such as, for example, a magnetic disk drive or a semiconductor storage device (flash memory or the like).
  • the non-volatile storage device 2503 can store various software programs, data, and the like.
  • various tables held in the log analysis unit 501 and the display information generation unit 502 may be stored in, for example, the non-volatile storage device 2503.
  • the reader / writer 2504 is, for example, a device that processes reading and writing of data to a recording medium 2505 described later.
  • the attack status visualization device may read the log recorded in the recording medium 2505 via the reader / writer 2504, for example.
  • the recording medium 2505 is a recording medium capable of recording data, such as an optical disk, a magneto-optical disk, a semiconductor flash memory, and the like.
  • the type of recording medium and the recording method (format) are not particularly limited, and may be appropriately selected.
  • the network interface 2506 is an interface device connected to a communication network, and may employ, for example, a wired or wireless LAN (Local Area Network) connection interface device or the like.
  • the attack status visualization device may be communicably connected to the information source 520 and the log provider 510 via the network interface 2506.
  • the input / output interface 2507 is a device that controls input and output with an external device.
  • the external device may be, for example, an input device (eg, a keyboard, a mouse, a touch panel, etc.) capable of receiving an input from a user.
  • the external device may be, for example, an output device capable of presenting various outputs to the user (for example, a monitor screen, a touch panel, etc.).
  • the attack situation visualization device may control a user interface displayed on the display device 530, for example, via an input / output interface.
  • the technology according to the present disclosure may be realized by, for example, the processor 2501 executing a software program supplied to the hardware device 2500.
  • a software program supplied to the hardware device 2500 In this case, an operating system operating on the hardware device 2500, middleware such as database management software, network software, etc. may execute part of each process.
  • each unit shown in the above-described drawings may be realized as a software module which is a unit of a function (process) of a software program executed by the above-described hardware.
  • these software modules may be stored in the non-volatile storage device 2503. Then, the processor 2501 may read these software modules into the memory 2502 when executing the respective processing. Also, these software modules may be configured to be able to transmit various data to each other by an appropriate method such as shared memory or inter-process communication.
  • each software program may be recorded on the recording medium 2505.
  • the above software programs may be installed in the hardware device 2500 using an appropriate tool (tool).
  • various software programs may be downloaded from the outside via a communication line such as the Internet.
  • Various general procedures can be employed as a method of supplying software programs.
  • the technology according to the present disclosure may be configured by a code that configures a software program, or a computer readable recording medium in which the code is recorded.
  • the recording medium may be a non-temporary recording medium independent of the hardware device 2500, or a recording medium obtained by downloading and storing or temporarily storing a software program transmitted by a LAN, the Internet, or the like. May be
  • attack status visualization device described above or the components of the attack status visualization device are a virtual environment obtained by virtualizing the hardware device 2500 illustrated in FIG. 25 and a software program (computer The program may be configured by In this case, the components of the hardware apparatus 2500 illustrated in FIG. 25 are provided as virtual devices in a virtual environment.
  • Log analysis means for analyzing a log in which information on a cyber attack is recorded, and identifying at least one of a transmission source of a communication on the cyber attack and a transmission destination of the communication on the cyber attack;
  • Display information generation means for generating display information capable of displaying an image in which an image representing a map, a transmission source image indicating the transmission source, and a transmission destination image indicating the transmission destination are arranged on the map; Equipped with When the correspondence between the certain transmission source and the transmission destination to which the communication related to the cyber attack has been transmitted from the certain transmission source is specified, the display information generation means determines the transmission source and the correspondence relationship
  • An attack situation visualizing apparatus which generates the display information including an attack situation image obtained by visualizing at least one of communication volume and communication frequency of communication related to the cyber attack with the transmission destination.
  • the display information generation means When the transmission source of the communication related to the cyber attack is specified from the log and the transmission destination of the communication related to the cyber attack is not specified, a first transmission source image which is the transmission source image representing the transmission source is selected Generating the display information that can be displayed, When both the transmission source and the transmission destination of the communication related to the cyber attack are specified from the log, a second transmission source image representing the transmission source, which is different from the first transmission source image.
  • the attack status visualization device according to appendix 1, which generates the display information capable of displaying a transmission source image.
  • the display information generation means When the transmission destination of the communication related to the cyber attack is specified from the log and the transmission source of the communication related to the cyber attack is not specified, a first transmission destination image which is the transmission destination image representing the transmission destination is selected. Generating the display information that can be displayed, When both the transmission source and the transmission destination of the communication related to the cyber attack are specified from the log, a second transmission image different from the first transmission destination image, which is the transmission destination image representing the transmission destination.
  • the attack status visualization device according to any one of Appendix 1 or 2, which generates the display information capable of displaying a transmission destination image.
  • the log analysis unit determines the amount of communication related to the cyber attack between the transmission source and the transmission destination. Calculate The attack status visualization device according to any one of appendices 1 to 3, wherein the display information generation unit generates the display information in which the shape of the attack status image changes in accordance with a change in the amount of communication.
  • the log analysis unit determines the communication frequency for the cyber attack between the transmission source and the transmission destination.
  • the display information generation unit generates the display information in which an animation speed of the attack situation image changes in accordance with a change in communication frequency.
  • the log analysis means from the log, a transmission source communication amount which is a communication amount of the communication related to the cyber attack transmitted from the transmission source, and a communication amount of the communication related to the cyber attack transmitted to the transmission destination Calculate the destination communication volume, which is
  • the display information generation unit changes the shape of the transmission source image according to the change of the transmission source communication amount, and changes the shape of the transmission destination image according to the change of the transmission destination communication amount
  • the attack situation visualization device according to Supplementary Note 4 or 5 that is generated.
  • the display information generation unit changes the color of the transmission source image according to the information indicating the attacker to which the transmission source belongs, and the display information generation unit generates the transmission destination image according to the information indicating the victim to which the transmission destination belongs.
  • the attack situation visualization device according to any one of appendices 4 to 6, which generates the display information whose color changes.
  • the log analysis means from the log, a transmission source communication frequency that is a communication frequency of the communication related to the cyber attack transmitted from the transmission source, and a communication frequency of the communication related to the cyber attack transmitted to the transmission destination Calculate the destination communication frequency, which is
  • the display information generation means changes the animation speed of the transmission source image according to the change of the transmission source communication frequency, and the display the animation speed of the transmission destination image changes according to the change of the transmission destination communication frequency
  • the attack situation visualization device according to any one of appendices 4 to 7, which generates information.
  • (Appendix 9) Information corresponding to the request accepted via the communication network, including the transmission source identification information representing the transmission source recorded in the log that can specify only the transmission source of the communication related to the cyber attack among the logs Representing the transmission destination recorded in a log that can specify only the transmission destination of the communication related to the cyber attack among the logs in the response received from the information source.
  • the transmission destination specifying information is not included, the process of transmitting the request including the specific information included in the response to the information source is repeated to receive the response including the transmission destination specifying information, and
  • the information processing apparatus further comprises external information inquiry means for associating transmission source identification information with the transmission destination identification information included in the response.
  • the display information generation means generates the display information including the attack situation image related to the cyber attack between the transmission source identification information correlated by the external information inquiry means and the transmission destination identification information.
  • the information processing apparatus further comprises external information inquiry means for associating the transmission destination identification information with the transmission source identification information included in the response.
  • the display information generation means generates the display information including the attack situation image related to the cyber attack between the transmission source identification information correlated by the external information inquiry means and the transmission destination identification information.
  • the external information inquiry means One or more crawlers that perform a search for the information source by sending the request to the information source and receiving the response to the request; Receiving an information contained in the request as an input, and calculating an score for each of the crawlers to which the request can be transmitted; When transmitting the request, the crawler having the highest score calculated by inputting the information included in the request into the analysis model is selected, and the crawler is used to select the crawler to the information source.
  • Send a request The attack status visualization device according to Supplementary Note 9 or 10.
  • the analytical model is Using training data including one or more of the transmission source identification information whose correspondence relationship is identified in advance and the transmission destination identification information, By transmitting the request including one of the transmission source identification information and the transmission destination identification information included in the training data among the one or more crawlers, the request included in the training data is transmitted.
  • the attack situation visualization device according to appendix 11.
  • transmission source identification information representing the transmission source recorded in the log that can identify only the transmission source of the communication related to the cyber attack, and the transmission destination only of the communication related to the cyber attack of the log Obtained by transmitting at least one of the transmission destination identification information representing the transmission destination recorded in the identifiable log to one or more information sources that provide information in response to the request accepted via the communication network Further comprising external information inquiring means for associating the transmission source with the transmission destination in accordance with the response.
  • the display information generation means generates the display information including the attack situation image related to the cyber attack between the transmission source identification information correlated by the external information inquiry means and the transmission destination identification information.
  • the attack status visualization device according to any one of Appendix 8.
  • Attack Situation Visualization Device 101 Log Analysis Unit 102 Display Information Generation Unit 500 Attack Situation Visualization Device 501 Log Analysis Unit 502 Display Information Generation Unit 503 Log Collection Unit 504 External Information Inquiry Unit 2200 Attack Situation Visualization Device 2201 External Information Inquiry Unit 2501 Processor 2502 Memory 2503 non-volatile storage device 2504 reader / writer 2505 recording medium 2506 network interface 2507 input / output interface

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Debugging And Monitoring (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

サイバー攻撃等のセキュリティに関する攻撃の状況をわかり易く可視化する。攻撃状況可視化装置は、サイバー攻撃に関する情報が記録されたログを解析し、サイバー攻撃に関する通信の送信元と、サイバー攻撃に関する通信の送信先との少なくとも一方を特定するログ解析部と、地図を表す画像と、送信元を示す送信元画像と、送信先を示す送信先画像と、を地図上に配置した画像を表示可能な表示情報を生成する表示情報生成部と、を備える。表示情報生成部は、ある送信元と、その送信元からサイバー攻撃に関する通信が送信された送信先と間の対応関係が特定されている場合、その送信元と、その送信先との間のサイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む表示情報を生成する。

Description

攻撃状況可視化装置、攻撃状況可視化方法及び記録媒体
 本発明は、サイバー攻撃の状況をわかりやすく可視化する技術に関する。
 サイバー攻撃等のセキュリティに関する攻撃の分析においては、収集した情報を可視化することがある。例えば、以下の特許文献1、2には、サイバー攻撃に関連する情報を表示する技術が記載されている。
 特許文献1(特開2015-26182号公報)には、セキュリティに関する攻撃を表す情報を収集し、あるセキュリティサービスのユーザに対して、そのサービスにより防御可能な攻撃を可視化する技術が記載されている。
 特許文献2(特開2015-216549号公報)には、サイバー攻撃が検知された装置を表す画像と、地球を表す画像との間に、サイバー攻撃のレベルを示す画像を表示する技術が記載されている。
 なお、特許文献3(特開2014-230041号公報)には、ネットワークの構成及び動作を可視化する技術が記載されている。
特開2015-26182号公報 特開2015-216549号公報 特開2014-230041号公報
 サイバー攻撃の増加及び高度化により、サイバー攻撃に関連して可視化される情報の量が増大し、表示する情報の内容も複雑化している。
 上記特許文献1に記載された技術は、あるセキュリティサービスにより防御可能な攻撃を表示する技術に過ぎない。上記特許文献2に記載された技術は、攻撃対象と攻撃元との双方を特定可能なログが与えられることを前提とした技術である。特許文献3に記載された技術は、ネットワーク構成の可視化技術に過ぎない。
 サイバー攻撃に関する情報には、必ずしも攻撃対象と、攻撃元との両方を特定可能な情報が常に含まれるとは限らない。このような状況の場合、例えば、上記各特許文献に記載された技術を用いても、サイバー攻撃の状況等を適切に表示することは困難である。
 本開示に係る技術は、このような事情を鑑みて開発されたものである。即ち、本開示は、サイバー攻撃等のセキュリティに関する攻撃の状況をわかりやすく可視化する技術を提供することを、主たる目的の一つとする。
 上記目的を達成すべく、本開示の一態様に係る攻撃状況可視化装置は、以下のような構成を備える。即ち、本開示の一態様に係る攻撃状況可視化装置は、サイバー攻撃に関する情報が記録されたログを解析し、上記サイバー攻撃に関する通信の送信元と、上記サイバー攻撃に関する通信の送信先との少なくとも一方を特定するログ解析部と、地図を表す画像と、上記送信元を示す送信元画像と、上記送信先を示す送信先画像と、を上記地図上に配置した画像を表示可能な表示情報を生成する表示情報生成部と、を備える。攻撃状況可視化装置における上記表示情報生成部は、ある上記送信元と、その上記送信元から上記サイバー攻撃に関する通信が送信された上記送信先と間の対応関係が特定されている場合、その上記送信元と、その上記送信先との間の上記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む上記表示情報を生成するよう構成される。
 また、本開示の他の一態様に係る攻撃状況可視化方法は、以下のような構成を備える。即ち、本開示の一態様に係る攻撃状況可視化方法は、サイバー攻撃に関する情報が記録されたログを解析し、上記サイバー攻撃に関する通信の送信元と、上記サイバー攻撃に関する通信の送信先との少なくとも一方を特定し、地図を表す画像と、上記送信元を示す送信元画像と、上記送信先を示す送信先画像と、を上記地図上に配置した画像を表示可能な表示情報を生成し、ある上記送信元と、その上記送信元から上記サイバー攻撃に関する通信が送信された上記送信先と間の対応関係が特定されている場合、その上記送信元と、その上記送信先との間の上記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む上記表示情報を生成することを含む。
 また、上記目的は、上記構成を有する攻撃状況可視化装置、攻撃状況可視化方法等をコンピュータによって実現するコンピュータ・プログラム(攻撃状況可視化プログラム)、及び、そのコンピュータ・プログラムが格納されているコンピュータ読み取り可能な記録媒体等によっても達成される。
 本開示の他の一態様に係る攻撃状況可視化プログラムは、以下のような構成を備える。即ち、本開示の一態様に係る攻撃状況可視化プログラムは、サイバー攻撃に関する情報が記録されたログを解析し、上記サイバー攻撃に関する通信の送信元と、上記サイバー攻撃に関する通信の送信先との少なくとも一方を特定する処理と、地図を表す画像と、上記送信元を示す送信元画像と、上記送信先を示す送信先画像と、を上記地図上に配置した画像を表示可能な表示情報を生成する処理と、ある上記送信元と、その上記送信元から上記サイバー攻撃に関する通信が送信された上記送信先と間の対応関係が特定されている場合、その上記送信元と、その上記送信先との間の上記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む上記表示情報を生成する処理と、をコンピュータに実行させる。なお、本開示の一態様に係る記録媒体には、上記したコンピュータ・プログラムが記録されてもよい。
 本開示によれば、サイバー攻撃等のセキュリティに関する攻撃の状況をわかりやすく可視化することができる。
図1は、本開示の第1実施形態における攻撃状況可視化装置の機能的な構成を例示するブロック図である。 図2は、本開示の第1実施形態における攻撃状況可視化装置により可視化された攻撃状況の具体例を示す説明図である。 図3は、攻撃線の具体例を示す説明図である。 図4は、本開示の第1実施形態における攻撃状況可視化装置の動作の一例を示すフローチャートである。 図5は、本開示の第2実施形態における攻撃状況可視化装置の機能的な構成を例示するブロック図である。 図6は、本開示の第2実施形態における攻撃状況可視化装置に含まれる構成要素(ログ解析部)の機能的な構成を例示するブロック図である。 図7は、本開示の第2実施形態における攻撃状況可視化装置に含まれる他の構成要素(表示情報生成部)の機能的な構成を例示するブロック図である。 図8は、ログの具体例を示す説明図である。 図9は、送信元IPアドレスから、送信先のIPアドレスを特定する過程の具体例を示す説明図である。 図10は、送信元表示画像及び送信先表示画像の具体例を示す説明図である。 図11は、ログ種別テーブルの具体例を示す説明図である。 図12は、攻撃者テーブルの具体例を示す説明図である。 図13は、被害者テーブルの具体例を示す説明図である。 図14は、配色テーブルの具体例を示す説明図である。 図15は、送信先画像の表示形態を例示する説明図である。 図16は、送信元画像の表示形態を例示する説明図である。 図17は、送信先画像の他の表示形態を例示する説明図である。 図18は、送信元画像の他の表示形態を例示する説明図である。 図19は、攻撃状況画像の具体例を示す説明図である。 図20は、本開示の第2実施形態における攻撃状況可視化装置の動作の一例を示すフローチャートである。 図21は、本開示の第2実施形態における攻撃状況可視化装置により可視化された攻撃状況の具体例を示す説明図である。 図22は、本開示の第3実施形態における攻撃状況可視化装置の機能的な構成を例示するブロック図である。 図23は、本開示の第3実施形態における攻撃状況可視化装置に含まれる構成要素(外部情報照会部)の機能的な構成を例示するブロック図である。 図24は、分析モデルの具体例を示す説明図である。 図25は、各実施形態を実現可能なハードウェアの構成を例示する説明図である。
 各実施形態の詳細な説明に先立って、本開示に関する技術的な検討事項等について詳細に説明する。以下、説明の便宜上、悪意のあるソフトウェア・プログラムを総称して、マルウェアと記載する。また、サイバー空間におけるセキュリティに関連する攻撃を総称して、サイバー攻撃と記載する。
 コンピュータ等の情報通信機器等に対して不正な指令を与えるサイバー攻撃が発生した際、分析者は、そのサイバー攻撃に関する情報を収集し、分析する。分析者は、例えば、攻撃元及び攻撃対象が存在する国や地域を特定し、実行されているサイバー攻撃の規模や頻度を分析することで、サイバー攻撃に関する有用な情報が得られる可能性がある。ここで、攻撃元は、例えば、攻撃に関する通信の送信元(source)を表し、攻撃対象は、攻撃に関する通信の送信先(destination)を表す。
 その一方、あるサイバー攻撃に関する情報(例えばログ等)に、送信元及び送信先の両方が必ずしも含まれるとは限らず、いずれか一方の情報しか含まれない場合がある。更に、攻撃者は、サイバー攻撃の送信元を隠蔽することがある。即ち、サイバー攻撃に関する通信の送信元情報は、偽装される可能性がある。また、所謂踏み台マシン、ボットなどを介して攻撃が実行された場合、サイバー攻撃に関する通信の直接的な送信元の情報(例えば、IP(Internet Protocol)アドレスの送信元フィールド)が、必ずしも信用できるとは限らない。
 上記のような状況から、本発明者らは、あるサイバー攻撃について送信元及び送信先の少なくともいずれかの情報が得られた場合に、当該サイバー攻撃に関する状況を適切に可視化可能な、本開示に係る技術を着想するに至った。
 以下において説明する本開示に係る技術の一態様である装置は、例えば、サイバー攻撃に関する情報が記録されたログを解析し、そのサイバー攻撃に関する通信の送信元と、そのサイバー攻撃に関する通信の送信先との少なくとも一方を特定するよう構成されてもよい。また、係る装置は、例えば、地図を表す画像と、サイバー攻撃に関する通信の送信元を示す送信元画像と、送信先を示す送信先画像と、を地図上に配置した画像情報を生成するよう構成されてもよい。係る装置は、また、ある送信元と、ある送信先との間の接続関係に応じて、その送信元と、その送信先との間のサイバー攻撃に関する通信の通信量及び通信頻度の少なくとも一方を可視化した攻撃状況画像を表示するような画像情報を生成してもよい。なお、送信元画像、送信先画像、及び、攻撃状況画像は、静止画に限定されず、アニメーションのような動きを含む画像であってもよい。
 上記のような構成を含む本開示に係る技術によれば、例えば、サイバー攻撃等のセキュリティに関する攻撃の状況をわかり易く可視化することができる。その理由は、あるサイバー攻撃に関する情報から、送信元及び送信先のいずれか一方しか特定できない場合であっても、送信元又は送信先における攻撃の状況を示す画像を表示することができるからである。また、あるサイバー攻撃に関する送信元と送信先との接続関係を特定できた場合には、サイバー攻撃に関する通信の通信量及び通信頻度を可視化した画像をわかりやすく表示することができるからである。
 以下、本開示に係る技術について、具体的な実施形態を用いて具体的に説明する。以下の具体的な実施形態(及びその変形例)の構成は例示であり、本開示に係る技術の技術範囲は、それらには限定されない。以下の各実施形態を構成する構成要素の分割(例えば、機能的な単位による分割)は、その実施形態を実現可能な一例である。各実施形態を実現可能な構成は、以下の例示に限定されず、様々な構成が想定され得る。以下の各実施形態を構成する構成要素は、更に分割されてもよく、また、以下の各実施形態を構成する1以上の構成要素が統合されてもよい。
 以下に例示する各実施形態が1以上の物理的装置、仮想的装置、及びその組合せを用いて実現される場合、1以上の構成要素が1以上の装置により実現されてもよく、1つの構成要素が複数の装置を用いて実現されてもよい。なお、各実施形態を実現可能な装置のハードウェア構成の具体例については、後述する。
 <第1実施形態>
 以下、本開示に係る技術の第1実施形態について説明する。
 〔構成〕
 図1は、本実施形態における攻撃状況可視化装置100の機能的な構成を例示するブロック図である。
 攻撃状況可視化装置100には、例えば、各種のセキュリティに関連する情報(例えばログ)が供給される。攻撃状況可視化装置100に提供される情報には、例えば、各種サーバ(例えば、ウェブサーバ、プロキシサーバ、ファイルサーバ)において記録されたログ、各種ネットワーク機器(例えば、ルータ、スイッチ、アクセスポイント等)において記録されたログ、及び、各種セキュリティ機器(例えば、ファイアウォール、侵入検知装置、侵入防止装置、セキュリティアプライアンス等)において記録されたログ等が含まれてもよい。
 攻撃状況可視化装置100は、上記した各種装置及びシステムからログを取得してもよい。また、攻撃状況可視化装置100は、上記したログが記録されたデータベースサーバやファイルサーバ等から、それらのログを取得してもよい。以下、攻撃状況可視化装置100にログを提供可能な各種装置、システム等を総称して、単に「ログ提供元」と記載することがある。
 攻撃状況可視化装置100に提供されるログは、特に限定されず、様々な種類のログが含まれてよい。係るログには、典型的には、サイバー攻撃に関連する可能性がある各種通信に関するログが含まれてよい。
 具体的には、ログには、あるサイバー攻撃に関する通信の送信元(発信源)を特定可能な情報が含まれてもよい。また、ログには、あるサイバー攻撃に関する通信の送信先を表す情報が含まれてもよい。一つのログに、送信元を表す情報と、送信先を表す情報との両方が含まれてもよく、いずれか一方のみが含まれてもよい。送信元又は送信先を表す情報は、典型的には、IP(Internet Protocol)アドレスであってもよいが、これには限定されない。通信データの送信元又は送信先を表す情報として、例えば、ホスト名、MAC(Media Access Control)アドレス、URL(Uniform Resource Locator)等が用いられてもよい。また、ログには、上記送信元及び送信先以外の種々の情報(例えば、通信データの内容、通信の制御、等)が適宜記録されてよい。
 以下、本実施形態における攻撃状況可視化装置100の機能的な構成要素について説明する。図1に例示するように、本実施形態における攻撃状況可視化装置100は、ログ解析部101と、表示情報生成部102と、を備える。攻撃状況可視化装置100を構成するこれらの機能的な構成要素は、適切な通信方法により相互に通信可能に接続されていてよい。なお、図1に描画された構成要素間の接続線は、構成要素の主な接続関係を例示しており、構成要素間におけるデータ、信号及び制御等の通信は、これに限定されるものではない。
 ログ解析部101(ログ解析手段)は、ログ提供元から提供されたログを解析し、サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定するよう構成される。
 ログ解析部101は、提供されたログの形式等に応じた適切な解析方法を適宜用いて、係るログを解析するよう構成される。そのような解析方法には、例えば、パターンマッチング、正規表現を用いた解析等が含まれてもよい。ログ解析部101は、ログのフォーマットが既知である場合には、そのフォーマットに応じて、ログに記録された情報を適宜抽出してもよい。
 ログ解析部101は、一態様として、ログを解析することで得られた、通信データの送信元及び送信先を表す情報を用いて、その送信元及び送信先が配置された地理的な位置(地域、国)等を特定するよう構成されてもよい。具体例として、送信元を特定可能な情報と、送信先を表す情報とが、IPアドレスを含む場合を想定する。この場合、ログ解析部101は、例えば、DNS(Domain Name System)、WHOISサービス等を用いて、当該IPアドレスが割り当てられた地域や国を特定することができる。
 ログ解析部101は、一態様として、ログを解析することで、あるサイバー攻撃に関する通信の送信元と、その送信元から攻撃されている送信先と、の対応関係を特定するよう構成されてもよい。ログ解析部101は、例えば、あるサイバー攻撃に関する通信の送信元について、その送信元から通信データが送信されている送信先を特定することで、その送信元と送信先とを紐づけてもよい。
 ログ解析部101は、一態様として、ログを解析することで、ある送信元から送信された通信に関する通信量と、通信が実行された頻度(通信頻度)とを、算出するよう構成されてもよい。ログ解析部101は、例えば、1以上のログのうち、ある特定の時間範囲(例えば単位時間)において、送信元から送信された通信に関する記録(レコード)を抽出し、抽出したレコードに記録された通信データのサイズから、通信量を算出することができる。ログ解析部101は、また、抽出されたレコードの数を計数することで、通信頻度を算出することができる。ログ解析部101は、同様に、ログを解析することで、ある送信先に対して送信された通信に関する通信量と、通信が実行された頻度(通信頻度)とを、算出するよう構成されてもよい。通信量及び通信頻度の算出方法は、周知技術を含め、適宜選択可能である。
 ログ解析部101は、あるサイバー攻撃に関する送信元と、その送信元から攻撃されている送信先との対応関係が特定されている場合には、それらの間の通信量及び通信頻度を算出してもよい。ログ解析部101は、上記と同様の方法で通信量及び通信頻度を算出可能である。
 表示情報生成部102(表示情報生成手段)は、地図を表す画像と、上記した送信元を示す送信元画像と、上記した送信先を示す送信先画像と、が地図上に配置された表示画像を表示可能な表示情報を生成するよう構成される。
 表示情報は、例えば、表示する表示画像そのものを表す画像データであってもよく、表示画像の生成に用いられる各種のデータであってもよい。表示情報には、例えば、表示画像の生成処理を実行可能なスクリプトや実行可能バイナリ等が含まれてもよい。表示情報には、例えば、表示画像が表示される表示装置を制御する制御信号が含まれてもよい。
 表示画像の形式は特に限定されず、適宜選択可能である。表示画像は、例えば、ベクタ形式の画像データを用いて表されてもよく、ラスタ形式の画像データを用いて表されてもよい。
 表示画像は静止画像に限定されず、各種の動画像(アニメーションを含む)を含んでもよい。即ち、送信元を示す送信元画像と、送信先を示す送信先画像とは、静止画像を用いて表示されてもよく、アニメーションなどの動画像を用いて表示されてもよい。
 表示情報生成部102は、ある送信元と、ある送信先との間の対応関係に応じて、その送信元と、その送信先との間のサイバー攻撃の状況を可視化した攻撃状況画像を表示する表示情報を生成してもよい。攻撃状況画像は、例えば、サイバー攻撃に関する通信の通信量と、通信頻度との少なくとも一方を可視化可能な画像であってよい。攻撃状況画像は、また、ある送信元と、ある送信先との間の通信の方向を可視化可能な画像であってもよい。
 以下、表示情報生成部102が生成する表示情報に応じて表示される表示画像について、具体例を用いて説明する。図2は、表示情報生成部102により生成された表示情報に応じて表示された表示画像201を含むユーザインタフェース200の具体例を示す説明図である。なお、図2は、説明のための具体例を示す図であり、本実施形態はこれに限定されるものではない。
 ユーザインタフェース200は、例えば、表示画面を備える各種の情報処理装置(コンピュータ、携帯端末等)において提供されるGUI(Graphical User Interface)の一部として表示されてもよい。表示画面の種類は特に限定されない。なお、表示画面を備える情報処理装置は、攻撃状況可視化装置100と同じ装置であってもよく、異なる装置であってもよい。
 ユーザインタフェース200は、例えば、各種情報処理装置において実行されるアプリケーションを構成する画面の一部として表示されてもよい。係るアプリケーションは、例えば、各種のセキュリティ対策ソフトウェアであってもよく、ブラウザ等の一般的なアプリケーションであってもよい。
 表示情報生成部102は、ユーザインタフェース200に表示される表示画像そのものを表す表示情報(即ち画像データ)を生成してもよい。また、表示情報生成部102は、ユーザインタフェース200に表示される表示画像を生成するために用いられる各種データを生成してもよい。係るデータには、例えば、表示画像に含まれる各画像に関する形状(サイズ(大きさ)含む、以下同様)、色彩、位置、頂点情報等が含まれてもよいが、これには限定されない。また、表示情報には、ユーザインタフェース200を表示するアプリケーションに対して表示画像の生成処理を実行させるスクリプトや実行可能バイナリ等が含まれてもよい。この場合、係る表示情報を受けつけたアプリケーションが、表示情報に含まれるスクリプトや実行可能バイナリを解釈(又は実行)することで、ユーザインタフェース200に表示画像が表示されてもよい。
 図2に例示するように、表示画像201には、地図(図2の201f)が表示される。地図201f上に、サイバー攻撃の送信元を表す送信元画像(図2の201b、201d)と、送信先画像(図2の201a、201c)とが表示される。また、あるサイバー攻撃に関する送信元と、送信先との対応関係が特定されている場合、送信元画像(図2の201d)と、送信先画像(201c)との間に、攻撃状況画像(図2の201e)が表示される。
 地図201fは、例えば、メルカトル図法で描かれた世界地図を、白地図として表示した画像であってよい。表示情報生成部102は、例えば、視認性を向上するため、世界地図の一部をデフォルメ(例えば、簡略化)した地図201fを作成してもよい。表示情報生成部102は、設定等により、地図201fの中心として表示される地域を変更可能であってもよい。表示情報生成部102は、国境線や地域の区割り線等が表示された地図201fを生成してもよい。なお、図2に示す具体例の場合、地図201fは平面地図であるが、本実施形態はこれに限定されない。例えば、地図201fとして、地球儀状の地図が表示されてもよい。
 図2に示す具体例の場合、送信元画像として、送信元画像201bと、送信元画像201dとが例示されている。
 送信元画像201bは、ある1以上のログから、サイバー攻撃の送信元のみが特定された場合に、その送信元を表す画像である。表示情報生成部102は、例えば、あるサイバー攻撃に関する通信の送信元のみが特定され、その通信の送信先が特定できない場合に、その送信元を表す画像として送信元画像201bが表示されるよう、表示情報を生成してもよい。
 送信元画像201dは、ある1以上のログから、サイバー攻撃の送信元と、送信先との対応関係が特定された場合に、その送信元を表す画像である。表示情報生成部102は、例えば、あるサイバー攻撃に関する通信の送信元と送信先との両方が特定できた場合に、その送信元を表す画像として送信元画像201dが表示されるよう、表示情報を生成してもよい。
 図2に示すように、送信元画像201bと、送信元画像201dとは、区別可能な表示形態により表示される。図2に示す具体例の場合、送信元画像201bと、送信元画像201dとは、その形状が異なる。これに限定されず、送信元画像201bと、送信元画像201dとは、形状以外の表示形態が異なる画像であってもよい。即ち、送信元画像201bと、送信元画像201dとは、例えば、形状、模様、色彩、サイズ、アニメーション方法等のうちの少なくともいずれかが異なる画像であってよい。
 表示情報生成部102は、送信元画像201bと、送信元画像201dとについて、上記したような異なる画像が表示されるように、表示情報を生成する。これにより、送信元と送信先とが特定されていない場合であっても、ユーザは、ある送信元がなんらかの攻撃を実行していることを容易に視認することが可能である。
 表示情報生成部102は、一態様として、送信元から送信された通信に関する通信量(送信元通信量)及び通信頻度(送信元通信頻度)の少なくとも一方に応じて、送信元画像201b又は送信元画像201dの表示形態を変化させるような表示情報を生成してもよい。
 なお、図2に例示する送信元画像201b及び送信元画像201dの形状は、説明のための具体例であり、本実施形態はこれには限定されない。
 図2に示す具体例の場合、送信先画像として、送信先画像201aと、送信先画像201cと、が例示されている。
 送信先画像201aは、ある1以上のログから、サイバー攻撃の送信先のみが特定された場合に、その送信先を表す画像である。表示情報生成部102は、例えば、あるサイバー攻撃に関する通信の送信先のみが特定され、その通信の送信元が特定できない場合に、その送信先を表す画像として送信先画像201aが表示されるよう、表示情報を生成してよい。
 送信先画像201cは、ある1以上のログから、サイバー攻撃に関する通信の送信元と、送信先との対応関係が特定された場合に、その送信先を表す画像である。表示情報生成部102は、例えば、あるサイバー攻撃に関する通信の送信元と送信先との両方が特定できた場合に、その送信先を表す画像として送信先画像201cが表示されるよう、表示情報を生成してよい。
 図2に示すように、送信先画像201aと、送信先画像201cとは、区別可能な表示形態により表示される。図2に示す具体例の場合、送信先画像201aと、送信先画像201cとは、その形状が異なる。これに限定されず、送信先画像201aと、送信先画像201cとは、形状以外の表示形態が異なる画像であってもよい。即ち、送信先画像201aと、送信先画像201cとは、例えば、形状、模様、色彩、アニメーション方法のうちの少なくともいずれかが異なる画像であってよい。
 表示情報生成部102は、送信先画像201aと、送信先画像201cとについて、上記したような異なる画像が表示されるように表示情報を生成する。これにより、送信元と送信先とが特定されていない場合であっても、ユーザは、ある送信先がなんらかの攻撃を受けていることを容易に視認することが可能である。
 表示情報生成部102は、一態様として、送信先における通信量及び通信頻度の少なくとも一方に応じて、送信先画像201a又は送信先画像201cの表示形態を変化させるような表示情報を生成してもよい。なお、図2に例示する送信先画像201a及び送信先画像201cの形状は、説明のための具体例であり、本実施形態はこれには限定されない。
 攻撃状況画像201eは、あるサイバー攻撃に関する通信の送信元と、送信先との対応関係が特定されている場合に、送信元と送信先との間の攻撃状況を可視化した画像である。具体的には、攻撃状況画像201eは、送信元と送信先との間の通信量及び通信頻度の少なくとも一方を可視化した画像である。攻撃状況画像201eは、送信元と、送信先との間の通信量及び通信頻度の少なくとも一方に応じて、異なる表示形態により表示される。表示情報生成部102は、例えば、送信元と、送信先との間の通信量及び通信頻度の少なくとも一方に応じて、攻撃状況画像201eの形状、模様、色彩、アニメーション方法等のうちの少なくともいずれかを変化させるような表示情報を生成する。
 攻撃状況画像201eは、ある送信元から送信先に向けた攻撃を表す描画要素(画像中に描画されるオブジェクト、以下「攻撃線」と記載する)を含む。図2の場合、攻撃線は、矢印状の形状を有するが、本実施形態はこれには限定されない。攻撃線は、例えば、送信元と、送信先とをリンクする適切な線(直線、曲線)を用いて表されてもよい。攻撃状況画像201eは、例えば、攻撃線の表示形態が動的に変化するアニメーション画像であってもよい。以下、説明の便宜上、図2に示す略矢印状の形状を有する攻撃線を具体例として説明する。
 一例として、攻撃状況画像201eは、一つの攻撃線(矢印状画像)の移動を間欠的に表示するアニメーション画像であってもよく、複数の攻撃線の移動を連続的に表示するアニメーション画像であってもよい。他の一例として、攻撃状況画像201eは、例えば、攻撃線自体は移動せずに、攻撃線の色彩のグラデーション又は模様が変化するアニメーション画像であってもよい。更に他の一例として、攻撃状況画像201eは、一つの攻撃線(例えば、一つの矢印)が、送信元画像201dと、送信先画像201cとの間を接続するように伸びるアニメーション画像であってもよい。攻撃状況画像201eは上記に限定されず、他のアニメーション方法を採用したアニメーション画像であってもよい。
 図2に示す具体例の場合、攻撃線として矢印形状の描画要素が用いられているが、本実施形態はこれには限定されない。即ち、攻撃線の表示形態は特に限定されず、攻撃の方向(即ち、送信元から送信先へ向かう方向)を特定可能な各種の表示形態を適宜採用することができる。一例として、攻撃線は、送信先側から送信元側にかけて、色彩(又は輝度)及び形状の少なくとも一方が変化する描画要素を用いて表されてもよい。そのような描画要素の具体例を図3に例示する。図3の(A)部分に示す具体例の場合、攻撃線における送信先側(図3の201c側)から、送信元側(図3の201d側)にかけて形状が変化している。図3の(B)部分に示す具体例の場合、攻撃線における送信先側(図3の201c側)から、送信元側(図3の201d側)にかけて色彩が変化している。なお、図3の(B)部分に示す具体例の場合、攻撃線における送信先側(図3の201c側)から、送信元側(図3の201d側)にかけて輝度、模様が変化していてもよい。図3の(C)に例示する具体例の場合、攻撃線における送信先側(図3の201c側)から、送信元側(図3の201d側)にかけて色彩及び形状が変化している。
 図2における具体例の場合、攻撃状況画像201eは、送信元と、送信先との間の通信量に応じて、異なる表示形態により表示されてもよい。一具体例として、表示情報生成部102は、送信元と、送信先との間の通信量の増大に応じて、攻撃線の形状(図2の場合は矢印のサイズ)が大きくなる(拡大する)ように、表示情報を生成してもよい。表示情報生成部102は、同様に、送信元と、送信先との間の通信量の減少に応じて、攻撃線の形状(図2の場合は矢印のサイズ)が小さくなる(縮小する)ように、表示情報を生成してもよい。
 図2における具体例の場合、攻撃状況画像201eは、送信元と、送信先との間の通信頻度に応じて、異なる表示形態により表示されてもよい。一具体例として、表示情報生成部102は、送信元と、送信先との間の通信頻度に応じて、攻撃状況画像201eのアニメーション(図2の場合は攻撃線のアニメーション)の内容が変化するように表示情報を生成してもよい。表示情報生成部102は、例えば、送信元と、送信先との間の通信頻度の増大に応じて、攻撃状況画像201eのアニメーションの速度(即ち、攻撃線が動的に変化する速度)が速くなるような表示情報を生成してもよい。表示情報生成部102は、同様に、送信元と、送信先との間の通信頻度の減少に応じて、攻撃状況画像201eのアニメーションの速度が遅くなるような表示情報を生成してもよい。これにより、送信元と、送信先との間の通信頻度の変化に応じて、攻撃線(矢印状画像)の移動速度が変化するアニメーション画像が、攻撃状況画像201eとして表示される。
 他の例として、通信頻度の変化に応じて、攻撃線における色彩のグラデーション又は模様の変更速度が変化する画像が、攻撃状況画像201eとして表示されてもよい。他の例として、例えば、攻撃線が伸びる速度が変化するアニメーション画像が、攻撃状況画像201eとして表示されてもよい。
 上記のような構成により、ユーザは、送信元と送信先との間の攻撃状況を容易に視認することができる。ユーザは、例えば、ユーザインタフェース200に表示された攻撃状況画像201eのサイズから、送信元と送信先との間の攻撃の規模(通信量)を視認することが可能である。ユーザは、また、例えば、ユーザインタフェース200に表示された攻撃状況画像201eのアニメーション速度から、送信元と送信先との間の攻撃の頻度(通信頻度)を視認することが可能である。
 〔動作〕
 上記のように構成された攻撃状況可視化装置100の動作について説明する。図4は、攻撃状況可視化装置100の動作の一例を示すフローチャートである。
 攻撃状況可視化装置100は、1以上のログを解析する(ステップS401)。具体的には、攻撃状況可視化装置100におけるログ解析部101が、各種ログ提供元から提供されたログを解析する。
 攻撃状況可視化装置100は、ログを解析した結果から、1以上のサイバー攻撃について、送信元と、送信先との少なくとも一方を特定する(ステップS402)。なお、攻撃状況可視化装置100は、あるサイバー攻撃に関する、送信元と送信先との対応関係を特定可能であってもよい。また、攻撃状況可視化装置100は、特定した送信元及び送信先が配置されている地理的な位置を特定可能であってもよい。
 攻撃状況可視化装置100は、ステップS401及びS402における解析の結果に応じて、1以上のサイバー攻撃に関する攻撃状況を可視化する。具体的には、攻撃状況可視化装置100は、送信元を示す送信元画像と、送信先を示す送信先画像とがそれぞれ地図上に配置された画像を表示可能な表示情報を生成する(ステップS403)。また、攻撃状況可視化装置100は、あるサイバー攻撃について、送信元と、送信先との間の対応関係が特定されている場合には、その送信元と、送信先との間のサイバー攻撃に関する通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む表示情報を生成する(ステップS404)。送信元画像、送信先画像、及び、攻撃状況画像の具体的な表示方法は、上記説明した通りである。
 一例として、ある送信元について、複数のサイバー攻撃(具体的にはサイバー攻撃に関する通信)が、ログに記録されている場合を想定する。この場合、攻撃状況可視化装置100は、例えば、各サイバー攻撃について、順次送信元画像を表示させる表示情報を生成してもよい。同様に、一例として、ある送信先について、複数のサイバー攻撃(具体的にはサイバー攻撃に関する通信)が、ログに記録されている場合を想定する。この場合、攻撃状況可視化装置100は、例えば、各サイバー攻撃について、順次送信先画像を表示させる表示情報を生成してもよい。同様に、攻撃状況可視化装置100は、送信元と送信先との対応関係が複数特定された場合(即ち、1以上の送信元と1以上の送信先との間で複数のサイバー攻撃が実行されている場合)、攻撃状況可視化装置100は、例えば、各サイバー攻撃について、攻撃状況画像を順次切り替えて表示させる表示情報を生成してもよい。
 上記のように構成された本実施形態における攻撃状況可視化装置100によれば、サイバー攻撃等のセキュリティに関する攻撃の状況をわかりやすく可視化することができる。その理由は、以下の通りである。
 攻撃状況可視化装置100は、各種ログ提供元から提供されたログを解析することで、あるサイバー攻撃について、送信元、送信先の少なくとも一方を地図上に表示する画像を生成可能である。ログ提供元から提供されるログには、必ずしも、あるサイバー攻撃に関する送信元と送信先との両方を特定可能な情報が記録されているとは限らない。このような状況であっても、例えば、攻撃状況可視化装置100のユーザは、送信元あるいは送信先において、なんらかのサイバー攻撃に関連し得る事象(インシデント)が発生していることを、容易に視認することが可能である。
 攻撃状況可視化装置100は、あるサイバー攻撃に関する送信元と送信先との対応関係が特定されている場合、それらの間の攻撃状況(特には、通信量及び通信頻度)を可視化した画像(攻撃状況画像)を生成可能である。これにより、例えば、攻撃状況可視化装置100のユーザは、送信元と送信先との間における、あるサイバー攻撃に関する状況を容易に視認することができる。
 上記のように構成された攻撃状況可視化装置100を用いることで、ユーザは、例えば、各送信元、送信先におけるサイバー攻撃の頻度や、各送信元と送信先と間の通信量及び通信頻度などから、サイバー攻撃の深刻度を判断することが可能となる。
 <第2実施形態>
 以下、上記第1実施形態を基本とした、本開示に係る技術の第2実施形態について説明する。
 〔構成〕
 図5は、本実施形態における攻撃状況可視化装置500の機能的な構成を例示するブロック図である。図5に例示するように、攻撃状況可視化装置500は、ログ提供元510、情報源520、及び、表示装置530と通信可能に接続される。
 ログ提供元510は、各種サーバ(例えば、ウェブサーバ、プロキシサーバ、ファイルサーバ)であってもよく、各種ネットワーク機器(例えば、ルータ、スイッチ、アクセスポイント等)であってもよく、各種セキュリティ機器(例えば、ファイアウォール、侵入検知装置、侵入防止装置等のセキュリティアプライアンス)であってもよい。ログ提供元510は、例えば、上記した各種システムやサーバにおいて記録されたログを蓄積する、データベースやファイルサーバであってもよい。攻撃状況可視化装置500は、ログ提供元510から提供されたログを受け付ける。
 情報源520は、例えば、あるリクエスト(クエリ)に応じて、レスポンスとして各種情報を提供可能な、各種の情報提供サービスであってよい。例えば、攻撃状況可視化装置500は、情報源520に対して、あるセキュリティ情報(例えば、IPアドレス等)を含む検索リクエストを送信する。情報源520は、係るリクエストに応じて、そのセキュリティ情報に関連する他のセキュリティ情報(例えば、あるIPアドレスに関する他のIPアドレスや、あるIPアドレスに関連する通信を実行するマルウェアの情報等)を、攻撃状況可視化装置500に提供する。
 本実施形態における情報源520は特に限定されない。情報源520は、例えば、セキュリティ及び通信ネットワークに関する情報を提供可能な、各種の情報提供サービス等であってもよい。一例として、情報源520には、DNS、WHOIS等のIPネットワークに関する情報を提供する各種の外部サービスが含まれてもよい。他の一例として、情報源520には、例えば、セキュリティベンダやセキュリティ関連の組織により運営される、セキュリティ関連情報(各種脆弱性、サイバー攻撃、マルウェア等)を提供するサービスが含まれてもよい。更に他の一例として、情報源520には、例えば、セキュリティベンダ等により運営される、オンラインのセキュリティ分析サービス(例えば、マルウェア検査、悪質なサイト(URL)の検査等)が含まれてもよい。更に他の一例として、情報源520には、セキュリティに関連する情報を発信する、現在では一般的なソーシャルネットワーキングサービス等が含まれてもよい。更に他の一例として、情報源520には、セキュリティに関するコンテンツを提供するWeb(World Wide Web)サイト、セキュリティに関する情報が蓄積されたデータベース、等が含まれてもよい。
 表示装置530は、例えば、表示画面を備える各種の情報処理装置(コンピュータ、携帯端末等)である。表示装置530は、例えば、攻撃状況可視化装置500により生成された表示情報に応じて、あるサイバー攻撃に関する状況を表示する。なお、表示装置530は、攻撃状況可視化装置500の一部として含まれてもよい。
 以下、攻撃状況可視化装置500を構成する機能的な構成要素について説明する。
 図5に例示するように、攻撃状況可視化装置500は、ログ解析部501と、表示情報生成部502と、ログ収集部503と、外部情報照会部504と、を備える。攻撃状況可視化装置500を構成するこれらの機能的な構成要素は、適切な通信方法により相互に通信可能に接続されていてよい。なお、図5に描画された構成要素間の接続線は、構成要素の主な接続関係を例示しており、構成要素間におけるデータ、信号及び制御等の通信は、これに限定されるものではない。
 ログ収集部503(ログ収集手段)は、ログ提供元510において提供されるログを収集する。ログの収集方法は特に限定されず、ログ提供元510の構成等に応じて、適宜選択可能である。ログ収集部503は、例えば、ログ提供元510においてログが記録されたファイルを収集してもよく、特定のプロトコル(例えばsyslog等)を用いてログ提供元510からログを収集してもよい。
 ログ収集部503が、ログ提供元510からログを収集するタイミングは、特に限定されない。ログ収集部503は、定期的にログを収集するよう構成されてもよく、ユーザ等の指示に応じてログを収集してもよく、特定のタイミングでログを収集してもよい。
 本実施形態において収集されるログは、例えば、第1実施形態同様としてよい。以下、説明の便宜上、サイバー攻撃に関連し得る通信に関する情報がログに記録されることを想定する。また、以下、説明のための具体例として、ある通信に関する送信元を表す情報(送信元特定情報)、及び、送信先を表す情報(送信先特定情報)として、それらのIPアドレスが用いられることを想定する。即ち、ログには、ある通信に関する送信元のIPアドレス(又はIPアドレスを特定可能な他の情報)が記録されてもよい。また、ログには、ある通信に関する送信先のIPアドレス(又はIPアドレスを特定可能な他の情報)が記録されてもよい。
 IPアドレスを特定可能な他の情報として、例えばFQDN(Fully Qualified Domain Name)、URL等が含まれてもよい。この場合、攻撃状況可視化装置500は、例えば、DNS等を用いて、これらの情報からIPアドレスを特定することができる。なお、ログには、上記以外の情報(例えば、通信データの内容、通信の制御、等)が適宜記録されてよい。
 図8は、ログ収集部503により収集されるログの一例を示す説明図である。なお、図8は、説明のための具体例であり、本実施形態におけるログはこれに限定されるものではない。図8に示す具体例の場合、ログ800には1以上のレコード801が含まれる。各レコードには、レコードが記録された日時、送信元IPアドレス、送信先IPアドレス、送信先ポート番号、及び、通信量(通信データのサイズ)等が記録される。各レコードには、そのレコードを特定可能なシーケンス番号が付与されてもよい。送信元IPアドレスは、レコードに記録された通信に関する送信元のIPアドレスを表す。送信先IPアドレスは、レコードに記録された通信に関する送信先のIPアドレスを表す。レコードには、送信元IPアドレスのみが記録されてもよく、送信先IPアドレスのみが記録されてもよく、その両方が記録されてもよい。
 ログ解析部501は、ログ収集部503により収集されたログを解析するよう構成される。ログ解析部501は、第1実施形態におけるログ解析部101に相当する。ログ解析部501の機能は、第1実施形態におけるログ解析部101から拡張されている。
 一例として、ログ解析部501は、図6に例示するように、ログ判別部501aと、対応関係推測部501bと、領域特定部501cと、位置特定部501dと、情報格納部501jと、通信解析部501kと、を含むよう構成される。なお、図6に描画された構成要素間の接続線は、構成要素の主な接続関係を例示しており、構成要素間におけるデータ、信号及び制御等の通信は、これに限定されるものではない。
 ログ判別部501aは、あるログに含まれるレコードに、送信元IPアドレスが記録されているか否か、及び、送信先IPアドレスが記録されているか否か、を判定するよう構成される。例えば、レコードのフォーマットが既知である場合、ログ判別部501aは、そのフォーマットに応じて、送信元IPアドレス及び送信先IPアドレスが記録された部分(フィールド)を特定してもよい。上記に限定されず、ログ判別部501aは、例えば、上記第1実施形態におけるログ解析部101と同様、パターンマッチングや、正規表現を用いた解析方法等を用いてレコードを解析することで、送信元IPアドレス(又は送信先IPアドレス)が記録された部分を特定してもよい。
 ログ判別部501aは、あるレコードに送信元IPアドレス及び送信先IPアドレスの双方が記録されている場合、係るレコードを攻撃ログテーブル501gに格納する。攻撃ログテーブル501gは、例えば、データベースやファイル等を用いて実現されてよい。なお、攻撃ログテーブル501gは、テーブル構造に限定されず、他の適切なデータ構造を用いてレコードを格納するよう構成されてよい。
 ログ判別部501aは、あるレコードに送信元IPアドレスのみが含まれる場合、そのレコードを送信元ログテーブル501eに格納する。送信元ログテーブル501eは、攻撃ログテーブル501gと同様、データベースやファイル等を用いて実現されてよい。送信元ログテーブル501eも、テーブル構造に限定されず、他の適切なデータ構造を用いてレコードを格納するよう構成されてよい。
 ログ判別部501aは、あるレコードに送信先IPアドレスのみが含まれる場合、そのレコードを送信先ログテーブル501fに格納する。送信先ログテーブル501fは、攻撃ログテーブル501gと同様、データベースやファイル等を用いて実現されてよい。送信先ログテーブル501fも、テーブル構造に限定されず、他の適切なデータ構造を用いてレコードを格納するよう構成されてよい。
 対応関係推測部501bは、ある期間内に送信元ログテーブル501eに格納されたレコードと、送信先ログテーブル501fに格納されたレコードとの間の関連性を、外部情報照会部504(後述)を用いて推測する。より具体的には、対応関係推測部501bは、ある期間内に送信元ログテーブル501eに格納されたレコードに含まれる送信元IPアドレスと、送信先ログテーブル501fに格納されたレコードに含まれる送信先IPアドレスとの対応関係を、外部情報照会部504の機能を用いて推測する。係る処理により、対応関係推測部501bは、例えば、あるサイバー攻撃に関する通信の送信元と、送信先とを紐づける(関連付ける)ことができる。送信元IPアドレスと、送信先IPアドレスの対応関係を推測する具体的な処理については後述する。
 送信元ログテーブル501eに格納されたレコードの送信元IPアドレスと、送信先ログテーブル501fに格納されたレコードの送信先IPアドレスとが紐づけられた場合、対応関係推測部501bは、それらのレコードを統合し、攻撃ログテーブル501gに格納する。新たに攻撃ログテーブル501gに格納されるレコードには、対応関係が特定された送信元IPアドレスと、送信先IPアドレスと、が少なくとも含まれる。係るレコードには、対応関係が特定された送信元IPアドレスが記録されたレコードに含まれる他の情報が更に含まれてもよい。係るレコードには、また、対応関係が特定された送信先IPアドレスが記録されたレコードに含まれる他の情報が更に含まれてもよい。
 領域特定部501cは、送信元ログテーブル501e、送信先ログテーブル501f、及び、攻撃ログテーブル501gに記録された各レコードを参照し、ある送信元IPアドレスを有する送信元が配置された地理的な領域を特定する。領域特定部501cは、同様に、ある送信先IPアドレスを有する送信先が配置された地理的な位置を特定する。送信元又は送信先が配置された地理的な位置は、ある特定の地点を表してもよく、ある特定の領域(例えば、国、都市、地域等)で表してもよい。
 一例として、領域特定部501cは、送信元が配置されている国及び都市の名称、並びに、送信先が配置されている国名及び都市の名称を特定してもよい。この際、領域特定部501cは、例えば、WHOIS等のサービスを利用して、あるIPアドレスを有するホストが配置された地理的な位置を特定してもよい。領域特定部501cは、また、IPアドレスと、地理的な位置を表す情報(例えば、国名、都市名等)との対応関係を格納した領域テーブル501hを参照することで、あるIPアドレスを有するホストが配置された地理的な位置を特定してもよい。
 領域テーブル501hは、例えば、あるIPアドレスと、そのIPアドレスを有するホストが配置された所在地と、を関連付けて保持する。領域テーブル501hには、例えば、IPアドレスとそのIPアドレスを有するホストが配置された所在地とが予め登録されていてもよい。領域テーブル501hは、テーブル構造に限定されず、他の適切なデータ構造を用いて上記対応関係を保持するよう構成されてもよい。なお、領域テーブル501hは、例えば、攻撃状況可視化装置500の外部において提供されてもよい。
 位置特定部501dは、領域特定部501cにおいて特定された地理的な位置を表す情報を、緯度及び経度を表す情報に変換するよう構成される。具体的には、位置特定部501dは、例えば、ある送信元が配置された国及び都市名から、その送信元が配置された場所の緯度及び経度を得る。位置特定部501dは、同様に、ある送信先が配置された国及び都市名から、その送信元が配置された場所の緯度及び経度を得る。
 具体的には、位置特定部501dは、地理的な位置と、その緯度及び経度とを対応関係が格納された位置変換テーブル501iを参照することで、送信元又は送信先が配置された緯度及び経度を特定することができる。位置変換テーブル501iには、例えば、ある地理的な位置を表す情報(例えば、国及び都市)と、その位置を表す緯度及び経度との対応関係が、予め登録されていてもよい。位置変換テーブル501iは、テーブル構造に限定されず、他の適切なデータ構造を用いて上記対応関係を保持するよう構成されてもよい。なお、位置変換テーブル501iは、例えば、攻撃状況可視化装置500の外部において提供されてもよい。
 位置特定部501dは、ある送信元及び送信先について特定した緯度及び経度を、後述する表示情報生成部502に適宜提供するよう構成されてもよい。一例として、位置特定部501dは、送信元IPアドレス又は送信先IPアドレスと、特定された緯度及び経度とを関連付けたテーブルを、表示情報生成部502に提供してもよい。また、位置特定部501dは、送信元ログテーブル501e、送信先ログテーブル501f、及び、攻撃ログテーブル501gに含まれるレコードについて、緯度及び経度を表す情報を追記してもよい。
 情報格納部501jは、各種データを格納(ストア)可能な格納領域である。情報格納部501jは、例えば、1以上のデータベースや、ファイル等を用いて実現されてよい。情報格納部501jは、例えば、上記説明した、送信元ログテーブル501e、送信先ログテーブル501f、攻撃ログテーブル501g、領域テーブル501h、位置変換テーブル501i、を格納してもよい。ログ解析部501は、情報格納部501jに格納された各種情報を、表示情報生成部502に提供してもよい。この場合、情報格納部501jは、表示情報生成部502から参照可能に構成されてよい。なお、情報格納部501jは、ログ解析部501とは別の構成要素として攻撃状況可視化装置500に含まれてもよい。
 通信解析部501kは、上記第1実施形態におけるログ解析部101と同様に、ログ(より具体的には、各ログテーブルに格納されたログのレコード)を解析することで、ある通信に関する通信量及び通信頻度を算出するよう構成される。通信解析部501kは、例えば、各ログテーブルに記録された送信元IPアドレスごとに、その送信元IPアドレスから送信された通信に関する通信量及び通信頻度を算出してもよい。通信解析部501kは、例えば、各ログテーブルに記録された送信先IPアドレスごとに、その送信先IPアドレスに対して送信された通信に関する通信量及び通信頻度を算出してもよい。通信解析部501kは、攻撃ログテーブルに格納されているレコードに記録された送信元IPアドレスと、送信先IPアドレスとの間の通信に関する通信量及び通信頻度を算出してもよい。ある通信に関する通信量及び通信頻度を算出する具体的な方法は、第1実施形態と同様としてもよい。
 通信解析部501kは、算出した通信量及び通信頻度を、後述する表示情報生成部502に提供するよう構成されてもよい。一例として、通信解析部501kは、送信元IPアドレス又は送信先IPアドレスと、算出された通信量及び通信頻度とを関連付けたテーブルを、表示情報生成部502に提供してもよい。また、通信解析部501kは、送信元ログテーブル501e、送信先ログテーブル501f、及び、攻撃ログテーブル501gの何れかに含まれるレコードについて、通信量及び通信頻度を表す情報を追記してもよい。
 外部情報照会部504(外部情報照会手段)は、外部の情報源520を利用して、ある通信(特には、サイバー攻撃に関する通信)に関する送信元IPアドレスと、送信先IPアドレスとの対応関係を特定する処理を実行するよう構成される。以下、外部情報照会部504が提供する機能について説明する。
 外部情報照会部504は、送信元ログテーブル501eに格納されたレコードに記録された送信元IPアドレス(「送信元指定IPアドレス」と記載することがある)と、送信先ログテーブル501fに格納されたレコードに記録された送信先IPアドレス(「送信先指定IPアドレス」と記載することがある)と、をそれぞれ1以上受け付ける。送信元指定IPアドレスは、送信元IPアドレスのみを含むレコードに記録された送信元のIPアドレスである。また、送信先指定IPアドレスは、送信先IPアドレスのみを含むレコードに記録された送信先のIPアドレスである。
 本実施形態の場合、外部情報照会部504は、例えば、対応関係推測部501bから、送信元指定IPアドレス及び送信先指定IPアドレスを提供されてもよい。なお、外部情報照会部504は、送信元ログテーブル501eに格納されたレコードと、送信先ログテーブル501fに格納されたレコードとを直接参照して、送信元指定IPアドレスと、送信先指定IPアドレスとを収集してもよい。
 外部情報照会部504は、送信元指定IPアドレスが提供された場合、その送信元指定IPアドレスを検索用情報(検索キー)として、情報源520に対して問合せ(クエリ)を発行する。複数の情報源520を利用可能である場合、外部情報照会部504は、各情報源520に対して順次クエリを送信してもよく、複数の情報源520に対して並行してクエリを送信してもよい。外部情報照会部504は、例えば、設定等により与えられたルールに基づいて、1以上の情報源520を選択してもよい。情報源520は、例えば、係る問い合わせに関する検索を実行することで得られた情報を、レスポンスとして外部情報照会部504に提供する。
 情報源520から得られるレスポンスには、各種の情報が含まれる。一例として、レスポンスには、送信元指定IPアドレスに関連する他のIPアドレス、URL等が含まれてもよい。レスポンスには、また、送信元指定IPアドレスに関連するドメイン名及びホスト名等が含まれてもよい。レスポンスには、また、送信元指定IPアドレスに関連する通信を実行するマルウェアを特定可能な情報が含まれてもよい。レスポンスには、また、送信元指定IPアドレスに関連する脆弱性を表す情報が含まれてもよい。
 外部情報照会部504は、情報源520から提供されたレスポンスを解析する。具体的には、外部情報照会部504は、レスポンスにテキストデータが含まれる場合、係るテキストデータに対して各種の文字列解析処理、パターンマッチング処理等を実行することで、レスポンスを解析してよい。また、レスポンスにバイナリデータが含まれる場合、外部情報照会部504は、各種バイナリ解析(フォーマット解析)や、バイナリに対するパターンマッチング等を実行することで、レスポンスを解析してよい。テキストデータ及びバイナリデータを解析する具体的な方法は、周知技術を含め、適宜選択可能である。
 外部情報照会部504は、レスポンスに含まれる各種データを、中間情報として記憶する。係る中間情報は、例えば、レスポンスに含まれるIPアドレス、マルウェアの検体名、ホスト名、ドメイン名、URL等を含んでもよい。
 外部情報照会部504は、中間情報として記憶された情報に、対応関係推測部501bから提供された送信先指定IPアドレスが含まれるか否かを確認する。外部情報照会部504は、例えば、対応関係推測部501bから提供された送信先指定IPアドレスと一致するIPアドレスが、中間情報として記憶されているか否かを判定してもよい。
 外部情報照会部504は、送信先指定IPアドレスと一致するIPアドレスが中間情報に含まれていない場合、中間情報を検索用情報(検索キー)として用いて、情報源520に対して再度問合せ(クエリ)を送信する。外部情報照会部504は、対応関係推測部501bから提供された送信先指定IPアドレスと一致するIPアドレスが得られるまで、上記処理を繰り返し実行してもよい。なお、外部情報照会部504は、提供された送信先指定IPアドレスと一致するIPアドレスが得られない場合、ある特定の回数で、上記処理を打ち切ってもよい。係る特定の回数は、例えば、設定等により予め定められていてもよい。この場合、外部情報照会部504は、送信元指定IPアドレスと、送信先指定IPアドレスとの間の対応関係が特定されなかったことを、対応関係推測部501bに通知してもよい。
 外部情報照会部504は、上記処理により、送信先指定IPアドレスと一致するIPアドレスが中間情報として得られた場合、その送信先指定IPアドレスと、クエリとして用いられた送信元指定IPアドレスとを紐づけた(関連付けた)情報を、対応関係推測部501bに提供する。外部情報照会部504は、例えば、対応関係推測部501bから提供された全ての送信元指定IPアドレスについて上記処理を実行し、その結果を対応関係推測部501bに提供してもよい。
 外部情報照会部504は、また、送信先指定IPアドレスを検索用情報(検索キー)として、情報源520に対して問合せ(クエリ)を発行してもよい。この場合、外部情報照会部504は、送信元指定IPアドレスの代わりに、送信先指定IPアドレスを検索用情報(検索キー)として使用することで、上記と同様の処理を実行してよい。外部情報照会部504は、情報源520から取得したレスポンスを解析することで得られた中間情報に、送信元指定IPアドレスと一致する情報が含まれるか否かを確認することができる。
 外部情報照会部504は、上記処理により、送信元指定IPアドレスと一致するIPアドレスが中間情報として得られなかった場合、送信先指定IPアドレスに対応する送信元指定IPアドレスが特定されなかったことを、対応関係推測部501bに通知してもよい。外部情報照会部504は、上記処理により送信元指定IPアドレスと一致するIPアドレスが中間情報として得られた場合、その送信元指定IPアドレスと、クエリとして用いられた送信先指定IPアドレスとを紐づけた(関連付けた)情報を、対応関係推測部501bに提供してもよい。外部情報照会部504は、例えば、対応関係推測部501bから提供された全ての送信先指定IPアドレスについて上記処理を実行し、その結果を対応関係推測部501bに提供してもよい。
 上記のような処理により、外部情報照会部504は、例えば、送信元IPアドレスしか含まれないレコードから出発して、他のレコードに記録された、その送信元IPアドレスに関連する送信先IPアドレスを特定することができる。外部情報照会部504は、同様に、送信先IPアドレスしか含まれないレコードから出発して、他のレコードに記録された、その送信先IPアドレスに関連する送信元IPアドレスを特定することができる。これにより、外部情報照会部504は、送信元IPアドレスと、送信先IPアドレスとの一方しか含まれないログに基づいて、送信元IPアドレスと、送信先IPアドレスとの対応関係を特定することが可能である。
 なお、外部情報照会部504は、対応関係推測部501bから提供された、ある送信元IPアドレスと、ある送信先IPアドレスとの間の対応関係が特定できた場合、その対応関係の信頼度を、対応関係推測部501bに提供してもよい。
 外部情報照会部504は、例えば、ある送信元IPアドレスと、ある送信先IPアドレスとの間に一方向の対応関係が成立する場合、それらに対して一方向の対応関係を表す信頼度(第1信頼度)を設定してもよい。一方向の対応関係は、送信元IPアドレスから送信先IPアドレスを特定できるものの、その送信先IPアドレスから元の送信元IPアドレスを特定できない場合(またはその逆の場合)の、送信元IPアドレスと送信先IPアドレスとの対応関係を表す。
 外部情報照会部504は、例えば、ある送信元IPアドレスと、ある送信先IPアドレスとの間に双方向の対応関係が成立する場合、それらに対して双方向の対応関係を表す信頼度(第2信頼度)を設定してもよい。双方向の対応関係は、送信元IPアドレスから送信先IPアドレスを特定でき、かつ、その送信先IPアドレスから元の送信元IPアドレスを特定できる場合の、送信元IPアドレスと送信先IPアドレスとの対応関係を表す。この場合、双方向の対応関係を示す信頼度には、一方向の対応関係を示す信頼度よりも大きな値が設定されてよい。
 以下、図9に例示する具体例を用いて、送信元IPアドレスと送信先IPアドレスと対応関係を特定する機能について説明する。図9に例示する具体例の場合、送信元IPアドレス(図9の901)が、外部情報照会部504に提供される。
 外部情報照会部504は、情報源520(DNS及びWHOIS)から、送信元IPアドレス901に関する情報を取得する。これにより、中間情報として、例えば、ドメイン名(図9の902)及び、国情報(図9の903)が得られる。これらの中間情報には、送信先のIPアドレスが含まれていない。このため、外部情報照会部504は、更に、情報源520(例えば、セキュリティ情報提供サイト)からドメイン名902に関する情報を取得する。これにより、中間情報として、マルウェアに関する情報(図9の904)が得られる。この中間情報には、送信先のIPアドレスが含まれていない。これより、外部情報照会部504は、更に、情報源520(例えば、セキュリティ情報提供サイト)から、マルウェア904に関する情報を取得する。これにより、中間情報として、例えば、IPアドレス(図9の905)が得られる。情報源520は、得られたIPアドレス905が、対応関係推測部501bにより提供された1以上の送信先IPアドレスに含まれるか判定し、その結果を対応関係推測部501bに提供する。外部情報照会部504は、送信元IPアドレス901の代わりに、送信先IPアドレスが提供された場合も、概ね同様の処理を実行することが可能である。これにより、外部情報照会部504は、ある送信先IPアドレスに基づいて得られたIPアドレスが、対応関係推測部501bにより提供された1以上の送信元IPアドレスに含まれるか判定し、その結果を対応関係推測部501bに提供する。
 表示情報生成部502は、送信元を示す送信元画像と、送信先を示す送信先画像と、送信元と送信先との間のサイバー攻撃の状況を示す画像とのいずれか一つ以上が地図上に配置された表示画像を表示させる表示情報を生成する。表示情報生成部502は、第1実施形態における表示情報生成部102に相当する。表示情報生成部502の機能は、第1実施形態における表示情報生成部102から拡張されている。
 一例として、表示情報生成部502は、図7に例示するように、位置変換部502a、配置画像生成部502b、攻撃線生成部502c、背景画像生成部502d、合成部502eとを含むよう構成される。表示情報生成部502は、変換テーブル格納部502fを含むよう構成されてもよい。表示情報生成部502に含まれるこれらの構成要素の間は、適宜通信可能に接続されていてよい。なお、図7に描画された構成要素間の接続線は、構成要素の主な接続関係を例示しており、構成要素間におけるデータ、信号及び制御等の通信は、これに限定されるものではない。
 表示情報生成部502は、各ログテーブル(送信元ログテーブル501e、送信先ログテーブル501f、及び攻撃ログテーブル501g)に格納されたレコードのうち、表示情報を生成するレコードを適宜特定してもよい。表示情報生成部502は、表示情報を生成するレコードとして、各ログテーブルに記録された全てのレコードを選択してもよく、一部のレコードを選択してもよい。一例として、特定の時間範囲内に記録されたレコードを、表示情報を生成するログとして選択してもよい。
 位置変換部502aは、各ログテーブルに記録された送信元及び送信先について、表示画像(特には、表示画像に含まれる地図上)に表示する位置を算出する。具体的には、位置変換部502aは、ログ解析部501(特には位置特定部501d)により特定された、送信元及び送信先の緯度及び経度を、表示画像上の座標に変換する。緯度及び経度を、平面地図(例えば、メルカトル図法による地図)上の座標に変換する方法は、周知技術を用いて良い。
 配置画像生成部502bは、表示画像に表示される送信元を示す送信元画像と、表示画像に表示される送信先を示す送信先画像と、を表す配置画像情報を生成する。係る配置画像情報は、表示情報の一部を構成する情報であってよい。即ち、配置画像情報は、送信元画像及び送信先画像そのものを表す画像データであってもよく、表示画像の生成に用いられる各種のデータであってもよい。以下、説明の便宜上、配置画像生成部502bが、送信元画像を表示可能な画像配置情報を生成することを、単に、「配置画像生成部502bが送信元画像を生成する」と記載することがある。また、配置画像生成部502bが送信先画像を表示可能な画像配置情報を生成することを、単に、「配置画像生成部502bが送信先画像を生成する」と記載することがある。
 送信元画像は、上記第1実施形態同様、サイバー攻撃の送信元を示す画像である。より具体的には、送信元画像は、送信元ログテーブル501e及び攻撃ログテーブル501gに含まれるレコードに記録された送信元IPアドレスにより特定される送信元を示す画像である。送信先画像は、上記第1実施形態同様、サイバー攻撃の送信先を示す画像である。より具体的には、送信先画像は、送信先ログテーブル501f及び攻撃ログテーブル501gに含まれるレコードに記録された送信先IPアドレスにより特定される送信先を示す画像である。
 配置画像生成部502bは、ある通信に関する送信元のみが特定されている場合、その送信元を示す第1送信元画像を表示可能な配置画像情報を生成する。より具体的には、配置画像生成部502bは、送信元ログテーブル501eにのみ含まれるレコードに記録された送信元IPアドレスにより特定される送信元について、第1送信元画像を表示可能な配置画像情報を生成する。
 配置画像生成部502bは、ある通信に関する送信元及び送信先の両方が特定されている場合、その送信元を示す第2送信元画像を表示可能な配置画像情報を生成する。より具体的には、配置画像生成部502bは、攻撃ログテーブル501gに含まれるレコードに記録された送信元IPアドレスにより特定される送信元について、第2送信元画像を表示可能な配置画像情報を生成する。第1送信元画像と、第2送信元画像とは、異なる画像であってよい。
 配置画像生成部502bは、ある通信に関する送信先のみが特定されている場合、その送信先を示す第1送信先画像を表示可能な配置画像情報を生成する。より具体的には、配置画像生成部502bは、送信先ログテーブル501fにのみ含まれるレコードに記録された送信先IPアドレスにより特定される送信先について、第1送信先画像を表示可能な配置画像情報を生成する。
 配置画像生成部502bは、ある通信に関する送信元及び送信先の両方が特定されている場合、その送信先を示す第2送信先画像を表示可能な配置画像情報を生成する。より具体的には、配置画像生成部502bは、攻撃ログテーブル501gに含まれるレコードに記録された送信先IPアドレスにより特定される送信先について、第2送信先画像を表示可能な配置画像情報を生成する。第1送信先画像と、第2送信先画像とは、異なる画像であってよい。
 第1送信先画像、第2送信先画像、第1送信元画像、及び第2送信元画像は、ユーザにとって識別可能な形態により表示可能であればよく、具体的な表示形態は特に限定されない。即ち、配置画像生成部502bは、第1送信先画像、第2送信先画像、第1送信元画像、及び第2送信元画像として、形状、色彩、模様、アニメーション方法等の表示形態のうちの少なくともいずれかが異なる画像を適宜生成してよい。
 上記をまとめると、配置画像生成部502bは、あるレコードが含まれる種別(以下「ログ種別」と記載する)に応じて、異なる送信元画像、異なる送信先画像を生成する。以下、送信先IPアドレスのみを含むレコード(即ち、送信先ログテーブル501fに格納されたレコード)のログ種別を、「ログタイプA」と記載することがある。また、送信元IPアドレスのみを含むレコード(即ち、送信元ログテーブル501eに格納されたレコード)のログ種別を、「ログタイプB」と記載することがある。また、送信元及び送信先の両方を含むレコードのログ種別を、「ログタイプC」と記載することがある。なお、ログ種別は、例えば、図11に例示するような形式のログ種別テーブル502gに記憶されていてもよい。
 図10に例示する具体例を用いて、配置画像生成部502bが生成する送信元画像及び送信先画像について説明する。なお、図10は、説明のための具体例であり、本実施形態はこれに限定されるものではない。
 配置画像生成部502bは、ログタイプAの場合の第1送信先画像として、例えば、図10の(A)部分に示す第1送信先画像1001を生成してよい。配置画像生成部502bは、ログタイプBの場合の第1送信元画像として、例えば、図10の(B)部分に示す第1送信元画像1002を生成してよい。配置画像生成部502bは、ログタイプCの場合の第2送信先画像として、例えば、第2送信先画像1003を生成してよい。配置画像生成部502bは、ログタイプCの場合の第2送信元画像として、例えば、第2送信元画像1004を生成してよい。図10に示す具体例の場合、配置画像生成部502bは、第1送信先画像1001、第2送信先画像1003、第1送信元画像1002、第2送信元画像1004について、異なる表示形態(図10の場合は形状及び色彩)の画像を生成する。
 配置画像生成部502bは、図10に示す具体例に限定されず、形状、色彩、模様、アニメーション方法などが異なる画像を適宜生成してよい。一例として、配置画像生成部502bは、第1送信先画像1001、第2送信先画像1003、第1送信元画像1002、第2送信元画像1004として、送信元又は送信先が配置された地図上の地点を中心として、描線が放射状に広がる(例えば、波紋状に広がる)アニメーション画像を表示してもよい。この場合、配置画像生成部502bは、例えば、第1送信先画像1001、第2送信先画像1003、第1送信元画像1002、第2送信元画像1004について、それぞれ描線の形状、模様、色彩、アニメーション速度等を変更してもよい。
 上記のような処理により、配置画像生成部502bは、例えば、送信元のみが特定されたサイバー攻撃、送信先のみが特定されたサイバー攻撃、及び、送信元と送信先とが関連付けされたサイバー攻撃を、ユーザが容易に区別可能な画像を生成することができる。
 配置画像生成部502bは、また、ある送信元から送信された通信に関する通信量及び通信頻度に応じて、その送信元を示す送信元画像(第1送信元画像及び第2送信元画像)の表示形態を変化させるような表示情報を生成してもよい。配置画像生成部502bは、同様に、ある送信先に送信された通信に関する通信量及び通信頻度に応じて、その送信先を示す送信先画像(第1送信先画像及び第2送信先画像)の表示形態(形状、色彩、模様、アニメーション方法等)を変化させるような表示情報を生成してもよい。なお、ある送信元又は送信先に関する通信量及び通信頻度は、例えば、通信解析部501kから提供されてもよく、配置画像生成部502bが、各種ログテーブルに格納されたレコードから算出してもよい。
 一例として、配置画像生成部502bは、ある送信元から送信された通信に関する通信量に応じて、その送信元を示す送信元画像(第1送信元画像及び第2送信元画像)のサイズ(大きさ)を変更してもよい。この場合、配置画像生成部502bは、例えば、通信量に比例するように、送信元画像のサイズを変更してもよい。配置画像生成部502bは、例えば、ある送信先に送信された通信に関する通信量に応じて、その送信先を示す送信先画像(第1送信先画像及び第2送信先画像)のサイズを変更してもよい。この場合、配置画像生成部502bは、例えば、通信量に比例するように、送信先画像のサイズを変更してもよい。上記の場合、送信元及び送信先に関する通信量は、当該送信元又は送信先における、特定の通信に関する通信量の総和であってもよい。
 一例として、送信元画像と、送信先画像とが、形状、色彩、模様等が動的に変更されるアニメーション画像であることを想定する。この場合、配置画像生成部502bは、ある送信元から送信された通信に関する通信頻度に応じて、その送信元を示す送信元画像(第1送信元画像及び第2送信元画像)のアニメーション速度を変更してもよい。配置画像生成部502bは、例えば、通信頻度に比例するように、送信元画像のアニメーション速度を変更してもよい。配置画像生成部502bは、例えば、ある送信先に送信された通信に関する通信頻度に応じて、その送信先を示す送信先画像(第1送信先画像及び第2送信先画像)のアニメーション速度を変更してもよい。配置画像生成部502bは、例えば、通信頻度に比例するように、送信先画像のアニメーション速度を変更してもよい。
 一例として、配置画像生成部502bは、ある送信元が属する攻撃者に応じて、その送信元を表す送信元画像(第1送信元画像、第2送信元画像)の色彩を変更してもよい。具体的には、配置画像生成部502bは、例えば、図12に示すような攻撃者テーブル502hを参照し、各ログテーブルに格納されたレコードに記録された送信元IPアドレス及び送信先ポート番号から、ある送信元が属する攻撃者を特定する。攻撃者テーブル502hは、例えば、送信元IPアドレスと、送信先ポート番号とから、攻撃者(例えば、攻撃者の名称や、攻撃者を特定する識別子等)を特定可能な変換テーブルである。配置画像生成部502bは、例えば、図14に例示するような配色テーブル502jを参照し、送信元が属する攻撃者に割り当てられた配色を特定してよい。
 配置画像生成部502bは、同様に、ある送信先が属する被害者に応じて、その送信先を表す送信先画像(第1送信先画像、第2送信先画像)の色彩を変更してもよい。配置画像生成部502bは、例えば、図13に示すような被害者テーブル502iを参照し、各ログテーブルに格納されたレコードに記録された送信先IPアドレスから、ある送信先が属する被害者(例えば、被害者の名称や、被害者を特定する識別子等)を特定してよい。被害者テーブル502iは、例えば、送信先IPアドレスから被害者を特定可能な変換テーブルである。配置画像生成部502bは、例えば、図14に例示するような配色テーブル502jを参照し、送信先が属する被害者に割り当てられた配色を特定する。
 配置画像生成部502bは、上記のように特定した配色を用いて、送信元画像(第1送信元画像、第2送信元画像)及び送信先画像(第1送信先画像、第2送信先画像)の色彩を変更することができる。上記限定されず、配置画像生成部502bは、ある送信元が属する攻撃者に応じて送信元画像の模様を変更してもよく、ある送信先が属する被害者に応じて、送信先画像の模様を変更してもよい。
 攻撃者テーブル502h、被害者テーブル502i、及び、配色テーブル502jには予め必要なデータが設定されていてよい。なお、攻撃者テーブル502hは、図12の具体例に限定されず、ある一つの攻撃者に対して、送信元IPアドレス及び送信先ポート番号の組が複数関連付けされてもよい。被害者テーブル502iも同様に、ある一つの被害者に対して、複数の送信先IPアドレスが関連付けされてもよい。
 配置画像生成部502bにより生成される第1送信先画像、第2送信先画像、第1送信元画像、及び、第2送信元画像の具体例を、図15~図18に示す。
 図15に例示するように、第1送信先画像1001のサイズは、送信先に送信された通信量を表し、その色彩は、送信先が属する被害者を表す(図15の(A)部分)。また、第1送信先画像1001がアニメーション画像である場合、そのアニメーション速度は、通信頻度を表す(図15の(B)部分)。
 図16に例示するように、第1送信元画像1002のサイズは、送信元から送信された通信量を表し、その色彩は、送信元が属する攻撃者を表す(図16の(A)部分)。また、第1送信元画像1002がアニメーション画像である場合、そのアニメーション速度は、通信頻度を表す(図16の(B)部分)。
 図17に例示するように、第2送信先画像1003のサイズは、送信先に送信された通信量を表し、その色彩は、送信先が属する被害者を表す(図17の(A)部分)。また、第2送信先画像1003がアニメーション画像である場合、そのアニメーション速度は、通信頻度を表す(図17の(B)部分)。
 図18に例示するように、第2送信元画像1004のサイズは、送信元から送信された通信量を表し、その色彩は、送信元が属する攻撃者を表す(図18の(A)部分)。また、第2送信元画像1004がアニメーション画像である場合、そのアニメーション速度は、通信頻度を表す(図18の(B)部分)。
 上記のような処理により、配置画像生成部502bは、例えば、ある送信元に関する通信量と、その送信元が属する攻撃者とを、ユーザが容易に認識可能な送信元画像を生成することが可能である。また、配置画像生成部502bは、ある送信元に関する通信頻度を、ユーザが容易に認識可能な送信元画像を生成することも可能である。また、上記のような処理により、配置画像生成部502bは、例えば、ある送信先に関する通信量と、その送信先が属する被害者とを、ユーザが容易に認識可能な送信先画像を生成することが可能である。また、配置画像生成部502bは、ある送信先に関する通信頻度を、ユーザが容易に認識可能な送信先画像を生成することも可能である。
 攻撃線生成部502cは、第1実施形態における表示情報生成部102と同様、ある送信元から送信先に向けた攻撃を表す攻撃状況画像を生成する。以下においては、攻撃線生成部502cが、攻撃状況画像として、攻撃線の表示形態が動的に変化するアニメーション画像を生成することを想定する。
 攻撃線生成部502cは、例えば、ある期間において、同一の送信元と送信先との間で実行された通信に関する通信量及び通信頻度に応じて、攻撃線の表示形態(例えば、形状、色彩、模様、アニメーション方法等)を変更するよう構成される。なお、ある送信元又は送信先に関する通信量及び通信頻度は、例えば、通信解析部501kから提供されてもよく、攻撃線生成部502cが、各種ログテーブルに格納されたレコードから算出してもよい。
 攻撃線生成部502cは、第1実施形態における表示情報生成部102と同様の方法により、攻撃線を含む攻撃状況画像を生成してもよい。
 一例として、攻撃線生成部502cは、ある期間において送信元と送信先との間で実行された通信に関する通信量に応じて、攻撃線のサイズ(大きさ、長さ、太さ等)を変更してもよい。攻撃線が送信元と送信先との間をリンクする線(直線、曲線、矢印等)として表される場合、攻撃線生成部502cは、例えば、通信量に比例して、係る線の太さを増大(又は減少)させてもよい。
 一例として、攻撃線生成部502cは、ある期間において、送信元と送信先との間で実行された通信に関する通信頻度に応じて、攻撃線のアニメーション速度を変更してもよい。攻撃線生成部502cは、例えば、通信頻度に比例して、送信元から送信先へ伸びる線のアニメーション速度を増大(又は減少)させてもよい。
 攻撃線生成部502cは、また、攻撃ログテーブル501gに格納されたレコードに記録された送信先のポート番号に応じて、攻撃線の色彩を変更してもよい。攻撃線生成部502cは、例えば、図14に例示するような配色テーブル502jを参照し、送信先のポート番号毎に割り当てられた配色を特定してよい。
 攻撃線生成部502cにより生成される、攻撃状況画像(特には攻撃線)の具体例を、図19に示す。図19に示す具体例の場合、攻撃線は、略矢印状の形状を有する描画要素として描画される。図19に示す具体例の場合、攻撃線のサイズは、ある送信元と、送信先との間の通信に関する通信量を表し、攻撃線の色は、送信先のポート番号を表す(図19の(A)部分)。具体的には、攻撃線生成部502cは、通信量に比例して矢印の線分部分(シャフト部分)の幅(又は径)が増大するように攻撃線を生成してもよく、矢印の面積全体が増大するように攻撃線を生成してもよい。この場合の通信量は、送信元と送信先との間の単位時間当たりの通信量であってもよく、ある期間内の総通信量であってもよい。また、攻撃線がアニメーション表示される場合、そのアニメーション速度は、通信頻度を表す(図19の(B)部分)。この場合の通信頻度は、単位時間当たりの通信頻度であってもよい。
 上記のような処理により、攻撃線生成部502cは、例えば、ある送信元と、送信先との間のサイバー攻撃の状況(特には、通信量及び通信頻度)を、ユーザが容易に認識可能な攻撃状況画像を生成することが可能である。
 背景画像生成部502dは、表示画像において背景画像として表示される地図画像を生成する。背景画像生成部502dは、上記第1実施形態における表示情報生成部102と同様に、地図画像として、メルカトル図法で描かれた世界地図を白地図として表示した画像を生成してもよい。
 合成部502eは、配置画像生成部502bにおいて生成された送信元画像及び送信先画像、攻撃線生成部502cにおいて生成された攻撃状況画像(特には攻撃線)、並びに、背景画像生成部502dにおいて生成された地図画像を合成した表示画像を表示させる、表示情報を生成する。第1実施形態と同様、表示情報は、例えば、表示する表示画像そのものを表す画像データであってもよく、表示画像の生成に用いられる各種のデータであってもよい。表示情報には、例えば、表示画像の生成処理を実行させるスクリプトや実行可能バイナリ等が含まれてもよい。表示情報には、例えば、表示装置を制御する制御信号が含まれてもよい。
 変換テーブル格納部502fは、各種変換テーブルを格納可能な格納領域である。変換テーブル格納部502fは、例えば、1以上のデータベースや、ファイル等により実現可能である。変換テーブル格納部502fは、例えば、上記説明した、ログ種別テーブル502g、攻撃者テーブル502h、被害者テーブル502i、及び、配色テーブル502jを格納してもよい。なお、変換テーブル格納部502fは、表示情報生成部502とは別の構成要素として攻撃状況可視化装置500に含まれてもよい。
 〔動作〕
 上記のように構成された、攻撃状況可視化装置500の動作について説明する。図20は、攻撃状況可視化装置500の動作の一例を示すフローチャートである。
 攻撃状況可視化装置500(特には、ログ収集部503)は、ログ提供元510から各種ログを収集する(ステップS2001)。ログ収集部503における具体的な処理は、上記説明した通りである。
 攻撃状況可視化装置500(特には、ログ解析部501)は、収集したログを解析する(ステップS2002)。上記説明したように、ログ解析部501は、収集したログに含まれる各レコードを解析し、送信先IPアドレスを含むか否か、送信元IPアドレスを含むか否かを判定する。ログ解析部501は、その判定の結果に応じて、各レコードを、送信元ログテーブル501e、送信先ログテーブル501f、及び、攻撃ログテーブル501gのいずれかに格納する。
 攻撃状況可視化装置500(特には、ログ解析部501)は、各ログテーブルに格納されたレコードに記録された、送信元と送信先との間の対応関係を特定する(ステップS2003)。上記したように、攻撃ログテーブル501gに格納されたレコードには、送信元IPアドレスと、送信先IPアドレスとが記録されている。これよりログ解析部501は、攻撃ログテーブル501gに格納されたレコードに記録された送信元IPアドレスと、送信先IPアドレスとを関連付ける。
 ログ解析部501は、また、送信元ログテーブル501e、送信先ログテーブル501fに格納された、ある期間内に取得された複数のレコード間の関連性を特定する。より具体的には、ログ解析部501は、外部情報照会部504を用いて情報源520への問合せを実行することにより、送信元ログテーブル501eに格納されたレコードに含まれる送信元と、送信先ログテーブル501fに格納されたレコードに含まれる送信先との対応関係を特定する。
 ログ解析部501は、上記説明したように、例えば、送信元IPアドレス又は送信先IPアドレスを検索用のキーとして、情報源520に対する問合せを実行し、そのレスポンスを解析することで中間情報を抽出する。ログ解析部501は、例えば、送信元ログテーブル501eに格納された送信元IPアドレスをキーとして情報源520から得られた検索結果に、送信先ログテーブル501fに格納された送信先IPアドレスが含まれる場合、それらを関連付ける。同様に、ログ解析部501は、例えば、送信先ログテーブル501fに格納された送信先IPアドレスをキーとして情報源520から得られた検索結果に、送信元ログテーブル501eに格納された送信先IPアドレスが含まれる場合、それらを関連付ける。ログ解析部501は、対応関係が特定された送信元と送信先とを含むレコードを、攻撃ログテーブル501gに格納してよい。
 攻撃状況可視化装置500(特には、ログ解析部501)は、送信元画像、送信先画像、及び、攻撃状況画像の生成に用いられるデータを算出する(ステップS2004)。上記説明したように、ログ解析部501は、例えば、送信元IPアドレス又は送信先IPアドレスから、その送信元又は送信先が配置された地理的な位置(例えば、国や都市)を特定し、その位置を表す緯度及び経度を算出してよい。ログ解析部501は、また、ある送信元から送信された通信に関する通信量及び通信頻度を算出してよい。ログ解析部501は、また、ある送信先に対して送信された通信に関する通信量及び通信頻度を算出してよい。ログ解析部501は、対応関係が特定された送信元と、送信先との間の通信量及び通信頻度を算出してもよい。ログ解析部501は、算出した各種データを、表示情報生成部502に提供してもよい。
 攻撃状況可視化装置500(特には、表示情報生成部502)は、送信元を示す送信元画像と、送信先を示す送信先画像と、が地図上に配置された画像を表示可能な表示情報を生成する(ステップS2005)。表示情報生成部502は、例えば、各ログテーブルに格納されたレコードから、日時と、送信元IPアドレス及び送信先IPアドレスの少なくとも一方と、送信先ポート番号と,通信量とを取得してよい。表示情報生成部502は、例えば、送信元IPアドレスが記録されているか否か、及び、送信先IPアドレスが記録されている否かに基づいて、各レコードに関するログ種別を特定することができる。表示情報生成部502は、送信元IPアドレス、及び、送信先ポート番号から、ある送信元が属する攻撃者を特定することができる。表示情報生成部502は、また、送信先IPアドレスから、ある送信先が属する被害者を特定することができる。
 表示情報生成部502は、また、ある送信元から送信された通信に関する通信量及び通信頻度を取得する。表示情報生成部502は、ログ解析部501において算出されたデータを取得してもよい。なお、表示情報生成部502は、例えば、一定期間(例えば”d”)に同一の攻撃者から送信された通信量の総和として、送信元通信量”m1”を求めてもよい。なお、通信量”m1”を一定期間”d”で除算することにより,単位時間あたりの通信量を算出することも可能である。また、表示情報生成部502は、例えば、一定期間内に記録された同一の攻撃者(送信元)に関するレコードの個数を、”d”で除算することにより、単位時間当たりの通信頻度を算出することも可能である。
 表示情報生成部502は、ある送信元について、その送信元が記録されたレコードのログ種別、その送信元が属する攻撃者、並びに、その送信元に関する通信量及び通信頻度に基づいて、送信元画像を生成する。
 表示情報生成部502は、同様に、ある送信先に対して送信された通信に関する通信量及び通信頻度を取得する。表示情報生成部502は、ログ解析部501において算出されたデータを取得してもよい。なお、表示情報生成部502は、例えば、一定期間”d”に同一の被害者に対して送信された通信量の総和として、送信先通信量”m2”を求めてもよい。なお、通信量”m2を”一定期間”d”で除算することにより,単位時間あたりの通信量を算出することも可能である。また、表示情報生成部502は、例えば、一定期間内に記録された同一の被害者(送信先)に関するレコードの個数を、”d”で除算することにより、単位時間当たりの通信頻度を算出することも可能である。
 表示情報生成部502は、ある送信先について、その送信先が記録されたレコードのログ種別、その送信先が属する被害者、並びに、その送信先に関する通信量及び通信頻度に基づいて、送信先画像を生成する。
 攻撃状況可視化装置500(特には、表示情報生成部502)は、対応関係が特定された送信元及び送信先について、攻撃状況を表す攻撃状況画像を含む表示情報を生成する(ステップS2006)。具体的には、表示情報生成部502は、対応関係が特定された送信元と、送信先との間で実行された通信に関する通信量及び通信頻度を取得する。表示情報生成部502は、ログ解析部501において算出されたデータを取得してもよい。なお、表示情報生成部502は、例えば、攻撃ログテーブル501gに格納されたレコードから、一定期間”d”内に、同一の攻撃者及び被害者の間で実行された通信量の総和として、攻撃総通信量”m3”を求めてもよい。なお、通信量”m3”を一定期間”d”で除算することにより,単位時間あたりの通信量を算出することも可能である。表示情報生成部502は、攻撃ログテーブル501gに格納された、一定期間”d”内に同一の攻撃者及び被害者の間で実行された通信に関するレコードの個数を、”d”で除算することにより,単位時間あたりの通信頻度を算出することも可能である。
 表示情報生成部502は、送信先ポート番号,送信元が属する攻撃者,送信先が属する被害者,送信元と送信先との間の通信量(総通信量及び単位時間あたりの通信量)、並びに、単位時間あたりのログ頻度に基づいて、攻撃線を含む攻撃状況画像を生成する。攻撃線を生成する具体的な方法は、上記説明した通りである。
 攻撃状況可視化装置500は、例えば、ステップS2005及びS2006において生成された表示情報を表示装置530に提供することで、表示装置530に表示画像を表示させてもよい。
 〔表示画像の具体例〕
 以下、攻撃状況可視化装置500が生成した表示情報により表示される表示画像の具体例について、図21を参照して説明する。図21は、攻撃状況可視化装置500により生成された表示情報に応じて、表示装置530に表示されたユーザインタフェース2100の具体例を示す説明図である。ユーザインタフェース2100には、表示画像2101が表示されている。なお、図21は、説明のための具体例を示す図であり、本実施形態はこれに限定されるものではない。
 表示画像2101には地図(図21の2101k)が表示される。地図2101k上に、サイバー攻撃の送信元を表す送信元画像(図21の2101e、2101f、2101g、2101h)と、送信先画像(図21の2101a、2101b、2101c、2101d)とが表示される。また、あるサイバー攻撃に関する送信元と、送信先との対応関係が特定されている場合、送信元画像と、送信先画像との間に、攻撃状況画像(図21の2101i、2101j)が表示される。更に、地図上に、昼夜の境界線2101lが表示されてもよい。
 送信先画像2101a、2101bは、ログから送信先のみが特定された場合の送信先画像であり、送信先画像2101c、2101dは、ログから送信元と送信先との対応関係が特定された場合の送信先画像である。即ち、ログ種別に応じて、異なる送信先画像が表示される。
 送信元画像2101g、2101hは、ログから送信元のみが特定された場合の送信元画像であり、送信元画像2101e、2101fは、ログから送信元と送信先との対応関係が特定された場合の送信元画像である。即ち、ログ種別に応じて、異なる送信元画像が表示される。
 また、送信先画像2101cは、2101dよりも面積が大きい画像として表示される。これは、送信先画像2101cにより表される送信先の方が、送信先画像2101dにより表される送信先より通信量が多いことを表す。同様に、送信先画像2101bにより表される送信先の方が、送信先画像2101aにより表される送信先より通信量が多いことを表す。送信元画像2101e、2101f、2101g及び2101hについても同様である。
 なお、上記したように、各送信元画像の色彩により、その送信元が属する攻撃者を表すことが可能であり、各送信先画像の色彩により、その送信先が属する被害者を表すことが可能である。また、送信元画像がアニメーション画像である場合、そのアニメーション速度により、その送信元における通信頻度を表すことが可能である。同様に、送信先画像がアニメーション画像である場合、そのアニメーション速度により、その送信先における通信頻度を表すことが可能である。
 また、攻撃状況画像2101iの攻撃線は、攻撃状況画像2101jの攻撃線よりも面積が大きい画像として表示される。これは、攻撃状況画像2101iにより表される通信量が、攻撃状況画像2101jにより表される通信量よりも多いことを表す。また、攻撃線がアニメーションとして表示される場合、そのアニメーション速度により、送信元と送信先との間の通信頻度を表すことが可能である。
 なお、昼夜の境界線2101lを表示することにより、攻撃の送信元及び送信先が配置された地域の昼夜を判別することが可能である。これにより、例えば、ユーザは、あるサイバー攻撃が実行される時間帯の傾向等を視覚的に把握することが可能である。
 上記のように構成された本実施形態における攻撃状況可視化装置500によれば、サイバー攻撃等セキュリティに関する攻撃の状況をわかりやすく可視化することができる。その理由は、以下の通りである。
 攻撃状況可視化装置500は、第1実施形態における攻撃状況可視化装置100と同様、各種ログ提供元から提供されたログを解析することで、あるサイバー攻撃について、送信元、送信先、及び攻撃状況を表す画像を生成可能である。
 攻撃状況可視化装置500は、更に、ある通信に関する送信元のみが特定されているログと、ある通信に関する送信先のみが特定されているログとから、外部の各種情報源を利用することで、送信元と送信先との対応関係を特定することが可能である。
 ログ提供元から提供されるログには、必ずしも、あるサイバー攻撃に関する送信元と送信先との両方を特定可能な情報が記録されているとは限らない。このような状況であっても、攻撃状況可視化装置500は、例えば、外部情報照会部504を用いて、情報源520に対する問合せを繰り返し実行することにより、送信元と送信先との対応関係を特定することが可能である。
 一般的に、サイバー攻撃の発信源は隠蔽される傾向にあり、送信元が偽装される可能性がある。また、踏み台マシンやボット等を介して攻撃が実行される可能性がある。送信元が偽装されている場合、ある通信データ(パケット)に記録された送信元から、真の攻撃者を特定できるとは限らない。即ち、ある通信データに直接的に含まれる送信元を特定する方法(例えば、上記各特許文献)では、真の攻撃者を特定できるとは限らない。踏み台マシンやボット等の仲介者を介して攻撃が実行された場合も同様である。また、送信元が広く分散している場合、表示される内容が煩雑になり過ぎる可能性がある。
 これに対して、攻撃状況可視化装置500は、例えば、情報源520として各種セキュリティベンダ等により提供されるセキュリティに関する情報や、ネットワークサービスに関する情報を取得することが可能である。情報源520から得られた各種情報を解析することにより、攻撃状況可視化装置500は、あるサイバー攻撃に関して、攻撃者をより適切に特定できる可能性がある。
 攻撃状況可視化装置500は、また、ある送信元から送信された通信に関する通信量、通信頻度、及びある送信元が属する攻撃者に応じて、その送信元を表す送信元画像の表示形態を調整することが可能である。攻撃状況可視化装置500は、同様に、ある送信先に対して送信された通信に関する通信量、通信頻度、及びある送信先が属する被害者に応じて、その送信先を表す送信先画像の表示形態を調整することが可能である。具体的には、攻撃状況可視化装置500は、例えば、送信元画像及び送信先画像の形状(サイズ含む)、配色、アニメーション速度の少なくともいずれかを適宜変更することが可能である。これにより、ユーザは、送信元及び送信先における攻撃の状況を視認することが可能である。
 攻撃状況可視化装置500は、また、送信元と送信先との間の通信量、通信頻度、送信先ポート番号等に応じて、攻撃状況画像の表示形態を調整することができる。具体的には、攻撃状況可視化装置500は、例えば、攻撃状況画像に含まれる攻撃線の形状(サイズ含む)、配色、アニメーション速度の少なくともいずれかを適宜変更することが可能である。これにより、ユーザは、送信元と送信先との間の攻撃の状況を視認することが可能である。
 上記のように構成された攻撃状況可視化装置500を用いることで、ユーザは、例えば、あるサイバー攻撃に関する攻撃者及び被害者を容易に認識することができる。また、ユーザは、そのサイバー攻撃に関する通信の頻度及び通信量等から、攻撃の深刻度を認識することができる。
 <第2実施形態の変形例>
 以下、上記第2実施形態の変形例について説明する。本変形例における攻撃状況可視化装置500の機能的な構成は、上記第2実施形態と同様としてよい。本変形例においては、表示情報生成部502(特には、攻撃線生成部502c)の機能が拡張されている。
 本変形例における攻撃線生成部502cは、ある送信元と送信先との間の信頼度に応じて、攻撃線の表示形態を変更する。具体的には、攻撃線生成部502cは、外部情報照会部504を用いて特定された送信元と送信先との間の対応関係が、一方向の対応関係である場合と、双方向対応関係である場合と、に応じて、それぞれ異なる表示形態の攻撃線を生成する。一例として、攻撃線生成部502cは、それぞれの場合に応じて、攻撃線の模様を変更してもよい。攻撃線生成部502cは、上記に限定されず、送信元と送信先との間の通信量、通信頻度、及び送信先ポート番号を表す表現方法(例えば、形状、アニメーション速度、色彩)とは異なる適切な表現方法を用いて、攻撃線の表示形態を適宜変更してよい。
 これにより、攻撃状況可視化装置500のユーザは、例えば、あるサイバー攻撃に関して特定された送信元と送信先との間の対応関係の信頼度を視認することが可能である。
 <第3実施形態>
 以下、本開示に係る技術の第3実施形態について説明する。本実施形態は、上記第2実施形態に基づいて、その機能の一部を拡張した実施形態である。以下、第2実施形態と同様の構成については、同じ参照符号を付することで、詳細な説明を省略する。
 図22は本実施形態における攻撃状況可視化装置2200の機能的な構成を例示するブロック図である。攻撃状況可視化装置2200は、第2実施形態における攻撃状況可視化装置500から、外部情報照会部2201の機能が拡張されている。攻撃状況可視化装置2200におけるその他の構成は、第2実施形態における攻撃状況可視化装置500と同様としてよい。以下、外部情報照会部2201について説明する。
 図23は、外部情報照会部2201の機能的な構成を例示するブロック図である。図23に例示するように、外部情報照会部2201は、クエリ処理部2201a、分析モデル記憶部2201b、及び、情報収集部2201cを含む。
 クエリ処理部2201aは、送信元指定IPアドレス及び送信先指定IPアドレスを検索キーとして受けつけ、その検索キーを用いたクエリを実行するクローラ(後述)を、分析モデル(後述)を用いて選択するよう構成される。クエリ処理部2201aは、また、選択したクローラにより実行されたクエリに対するレスポンスを解析することで、送信元指定IPアドレスと送信先指定IPアドレスとの間の対応関係を特定するよう構成される。クエリ処理部2201aの具体的な処理については後述する。
 分析モデル記憶部2201bは、分析モデルを記憶する。分析モデルは、検索キーを入力として受けつけ、その検索キーを用いて情報源520に対する問合せを実行可能な各クローラのスコアを算出するよう構成されたモデルである。分析モデルの具体例については、後述する。
 情報収集部2201cは、1以上のクローラを有する。クローラは、例えば、ある情報源520に対して検索キーを用いた問合せ処理を実行し、その結果をクエリ処理部2201aに提供するよう構成される。1つの情報源520に対して、1以上のクローラが割り当てられてもよく、1つのクローラが、複数の情報源520に割り当てられてもよい。
 クローラは、情報源520ごとに適切な方法を用いて問合せ処理を実行するよう構成される。一例として、クローラは、情報源520に対して、検索用のクエリを送信し、そのクエリに対するレスポンスを受信するよう構成されてもよい。他の一例として、クローラは、情報源520が提供するコンテンツを取得し、取得したコンテンツの中から中間情報を検索するよう構成されてもよい。
 〔分析モデル〕
 以下、分析モデルについて説明する。図24は、分析モデルの概要を示す説明図である。図24に示す分析モデルは、説明のための具体例であり、本実施形態における分析モデルは、これに限定されるものではない。
 図24に例示するように、本実施形態における分析モデルは、全体としてニューラルネットワークを用いて構成される。具体的には、分析モデルは、第1モデルと、第2モデルと組み合わせたニューラルネットワークとして構成される。
 第1モデルとしては、例えば、検索キーを表すデータの静的な特徴(例えばパターン)を学習可能なモデルが用いられる。例えば、第1モデルは、検索キーに含まれる、ある種のデータ(例えば、IPアドレス、ホスト名等)を畳み込むことで、類似するデータ(例えば、一部が異なるIPアドレス)を、同様の意味を有するデータとして扱えるよう変換することができる。本実施形態においては、第1モデルとして、隣接する中間層に含まれるユニット(ニューラルネットワークを構成するノード)のうち、特定のユニットの間が結合されるよう構成された畳み込みニューラルネットワーク(CNN:Convolutional Neural Network)を用いる。
 第2モデルとしては、情報源520に対するクエリを繰り返し実行することで、中間情報を取得する過程を学習可能なモデルが用いられる。本実施形態においては、クエリを繰り返し実行する過程を学習可能な第2モデルとして、再帰型ニューラルネットワーク(RNN:Recurrent Neural Network)が用いられる。
 以下、第1モデル(CNN)について説明する。CNNは、一般的には、1以上の畳み込み層を含むニューラルネットワークである。CNNは、畳み込み層に加え、プーリング層を含んでもよい。畳み込み層は、一般的に、入力されたデータに何からの処理(フィルタ)を実行して、入力されたデータを変換したデータ(マップデータ)を生成するよう構成される。例えば、畳み込み層において、あるデータのパターンを抽出可能なフィルタが形成された場合、具体的な入力データから、特定のパターンの特徴を表すデータ(特徴データ)がマップデータとして得られる。畳み込み層においては、入力データの全領域についてフィルタが適用されることから、入力データに含まれるデータの位置や、個数等を事前に考慮することなく、入力データから特徴データを抽出することができる。プーリング層は、一般的に、畳み込み層から出力されたマップデータに含まれる領域(プーリング領域)から、代表値を抽出するよう構成される。プーリング層を設けることにより、畳み込み層から出力されたマップデータに含まれる特徴的な値を保存しながら、データの次元を削減することができる。
 以下、第2モデル(RNN)について説明する。RNNは、一般的に、帰還ループを有する中間層を少なくとも1層以上備えるニューラルネットワークである。RNNにおいて、帰還ループを有する中間層は、ある状態より前の状態における中間層からの出力を、ある状態における中間層への入力として提供することができる。これにより、RNNは、ある入力データに関する出力データを計算する際、過去に受けとった入力データの影響を反映することが可能である。本実施形態においては、第2モデルとして、例えば、長期短期記憶(LSTM:Long Short Term Memory)を採用したRNNが用いられてもよい。
 上記のような第1、第2モデルを用いて構成される分析モデルの入力層には、検索キーを表すデータが入力される。検索キーは、上記したように、送信元指定IPアドレスであってもよく、送信先指定IPアドレスであってもよい。検索キーは、また、ある情報源520へのクエリに対するレスポンスを解析することで得られた中間情報であってもよい。入力層のユニット数は、検索キーのサイズや性質に応じて適宜選択してよい。例えば、検索キーがテキストデータにより表される場合、入力層には、そのテキストデータから抽出する文字数(一具体例として、1024文字等)と同じ数のユニットが含まれてもよい。
 分析モデルの出力層からは、各クローラについてのスコアが出力される。出力層のユニット数は、クローラの数に応じて適切に選択されてよい。例えば、クローラの数が”m”個(”m”は自然数)である場合、出力層のユニット数は”m”個であってもよい。なお、”m”個のクローラから、0個以上”m”個以下のクローラを選択する組合せは”2”個存在することから、出力層の各ユニット数は”2”個であってもよい。
 入力された検索キーから分析モデルが算出する各クローラのスコアは、各クローラを用いて、入力された検索キーに関するクエリを実行することの有用性(適切性)を表す情報である。即ち、ある検索キーに関して算出されたスコアが高い程、そのクローラを用いたクエリにより、有用な中間情報(又は、所望のIPアドレス)が得られる可能性が高いことを表す。有用な中間情報とは、例えば、送信元と送信先との間の対応関係の特定に用いられる情報である。一例として、そのような中間情報は、送信元指定IPアドレスに対応する送信先のIPアドレスであってもよく、送信先指定IPアドレスに対応する送信元のIPアドレスであってもよい。また、そのような中間情報は、送信元指定IPアドレスに対応する送信先のIPアドレスの取得、及び、送信先指定IPアドレスに対応する送信元のIPアドレスの取得に直接的又は間接的に役立つその他の情報(例えば、ホスト名、URL、マルウェア名等)であってもよい。
 上記のような分析モデルは、例えば、概略以下のような学習処理を実行することで作成可能である。以下、説明の便宜上、攻撃状況可視化装置2200とは異なる装置(「学習装置」と記載する)を用いて、分析モデルを作成することを想定する。なお、説明の便宜上、学習装置には、情報収集部2201cに含まれる各クローラと同様のクローラが備えられていることを想定する。
 学習装置には、分析モデルを学習するための訓練データとして、例えば、対応関係が予め特定されている、送信元指定IPアドレスと、送信先指定IPアドレスと、を含むデータが含まれてよい。係る訓練データは、例えば、各ログテーブルに格納されたレコードを、分析者が人手で確認することにより作成されてもよい。この場合、訓練データには、分析者の知見が反映されているとも考えられる。
 学習装置は、例えば、強化学習の一つの手法である、Q学習(Q-Learning)の枠組みを用いて、分析モデルを学習することができる。以下、概要を説明する。
 学習装置は、例えば、学習過程の分析モデルに対する入力(検索キー)として、訓練データに含まれる送信元指定IPアドレスを入力し、各クローラに関するスコアを算出する。学習装置は、例えば、所定の確率で、スコアが最も高いクローラを選択するか、又は、ランダムにクローラを選択する。学習装置は、選択したクローラを用いて、情報源520に対するクエリを実行する。検索キーは、強化学習における状態に相当し、クローラの選択及びクエリの実行が強化学習における行動に相当する。学習装置は、クエリに対するレスポンスを解析し、中間情報を抽出する。学習装置は、中間情報の有用性に応じた報酬を算出する。中間情報と報酬との関係は、適宜設計されてよい。学習装置は、中間情報を新たな検索キーとして分析モデルに入力した場合の、各クローラのスコアの最大値を算出する。学習装置は、算出した最大値と、前回選択したクローラのスコアとの差分が小さくなるように、分析モデルを学習する。これにより、例えば、ある検索キーを用いたクエリを実行することにより有用性が高い中間情報を取得可能なクローラに対して、比較的高いスコアが算出されるように、分析モデルが学習される。なお、ニューラルネットワークを用いたQ学習の学習アルゴリズムとしては、下記参考文献1に記載された方法を採用してもよい。
 [参考文献1]
 Volodymyr Mnih, Koray Kavukcuoglu, David Silve, Alex Graves, Ioannis Antonoglou, Daan Wierstra, Martin A. Riedmiller, ”Playing Atari with Deep Reinforcement Learning”, Neural Information Processing Systems (NIPS) Deep Learning Workshop, 2013 (オンライン版:[online],[2017年1月9日検索]、インターネット<URL:http://arxiv.org/abs/1312.5602).
 攻撃状況可視化装置2200には、例えば、学習装置により予め学習処理が実行された、学習済みの分析モデルが提供され、係る分析モデルが分析モデル記憶部2201bに記憶されていてもよい。
 〔動作〕
 外部情報照会部2201(特には、クエリ処理部2201a)の動作について説明する。
 クエリ処理部2201aは、ログ解析部から、1以上の送信元指定IPアドレス及び送信先指定IPアドレスを受け付ける。
 クエリ処理部2201aは、分析モデルに対して、送信元指定IPアドレスを入力し、各クローラに関するスコアを算出する。
 クエリ処理部2201aは、算出されたスコアが最も高いクローラを選択し、問合せ(クエリ)の実行を要求する。選択されたクローラは、そのクローラに関連付けされた情報源520に対して、送信元指定IPアドレスを検索キーとしたクエリを実行し、そのレスポンスをクエリ処理部2201aに提供する。
 クエリ処理部2201aは、レスポンスを解析することで得られた各種データを、中間情報として記憶する。レスポンスを解析する処理は、上記第1実施形態における外部情報照会部504と同様としてよい。
 クエリ処理部2201aは、上記第1実施形態における外部情報照会部504と同様、中間情報として記憶された情報に、対応関係推測部501bから提供された送信先指定IPアドレスが含まれるか否かを確認する。
 クエリ処理部2201aは、送信先指定IPアドレスと一致するIPアドレスが中間情報に含まれていない場合、中間情報を検索用情報(検索キー)として分析モデルに入力し、各クローラに関するスコアを算出する。クエリ処理部2201aは、算出されたスコアが最も高いクローラを選択し、再度問合せ(クエリ)の実行を要求する。選択されたクローラは、そのクローラに関連付けされた情報源520に対して、中間情報を検索キーとしたクエリを実行し、そのレスポンスをクエリ処理部2201aに提供する。
 クエリ処理部2201aは、送信先指定IPアドレスと一致するIPアドレスが得られるまで、上記処理を繰り返し実行してもよい。なお、クエリ処理部2201aは、提供された送信先指定IPアドレスと一致するIPアドレスが得られない場合、ある特定の回数で上記処理を打ち切ってもよい。この場合、クエリ処理部2201aは、送信元指定IPアドレスと、送信先指定IPアドレスとの間の対応関係が特定されなかったことを、ログ解析部501に通知してもよい。
 クエリ処理部2201aは、上記処理により、送信先指定IPアドレスと一致するIPアドレスが中間情報として得られた場合、その送信先指定IPアドレスと、クエリとして用いられた送信元指定IPアドレスとを紐づけた情報を、ログ解析部501に提供してもよい。クエリ処理部2201aは、例えば、対応関係推測部501bから提供された、全ての送信元指定IPアドレスについて上記処理を実行し、その結果を対応関係推測部501bに提供してもよい。
 クエリ処理部2201aは、また、送信先指定IPアドレスを検索用情報(検索キー)として、上記と同様の処理を実行してよい。
 上記のような処理により、クエリ処理部2201aは、ログ解析部501から提供された送信元指定IPアドレスと、送信先指定IPアドレスとの間の対応関係を特定することが可能である。
 上記のように構成された攻撃状況可視化装置2200は、送信元のみを特定可能な1以上のレコードと、送信先のみを特定可能な1以上のレコードとから、送信元と送信先との対応関係を、より適切に特定することが可能である。その理由は、攻撃状況可視化装置2200(特には、外部情報照会部2201)が、分析モデルを用いることで、情報源520に対するクエリを実行するクローラを適切に選択することができるからである。分析モデルは、入力として受けつけた検索キーから、目的とするIPアドレスを含むレスポンスが得られる可能性が高いクエリを実行可能なクローラに対して、より高いスコアを算出するよう構成される。このため、攻撃状況可視化装置2200は、例えば、分析モデルが出力するスコアに応じて、より適切なクローラを選択することができる。
 <ハードウェア及びソフトウェア・プログラム(コンピュータ・プログラム)の構成>
 以下、上記説明した各実施形態及び変形例を実現可能なハードウェア構成について説明する。以下の説明においては、上記各実施形態において説明した各攻撃状況可視化装置(100、500、2200)を、まとめて「攻撃状況可視化装置」と記載する。
 上記各実施形態において説明した各攻撃状況可視化装置は、1つ又は複数の専用のハードウェア装置により構成されてもよい。その場合、上記各図(例えば、図1、5-7、22、23)に示した各構成要素は、一部又は全部を統合したハードウェア(処理ロジックを実装した集積回路等)として実現してもよい。例えば、攻撃状況可視化装置をハードウェア装置により実現する場合、攻撃状況可視化装置の構成要素は、それぞれの機能を提供可能な集積回路(例えば、SoC(System on a Chip)等)として実装されてもよい。この場合、例えば、攻撃状況可視化装置の構成要素が有するデータは、SoCに統合されたRAM(Random Access Memory)領域やフラッシュメモリ領域に記憶されてもよい。
 この場合、攻撃状況可視化装置は、例えば、ログ解析部(101、501)、表示情報生成部(102、502)、ログ収集部503、及び、外部情報照会部(504、2201)の機能を実現可能な1以上の処理回路(processing circuitry)、通信回路、及び記憶回路等を用いて実現されてよい。なお、攻撃状況可視化装置を実現する回路構成の実装においては、様々なバリエーションが想定される。攻撃状況可視化装置を複数のハードウェア装置により構成する場合、それぞれのハードウェア装置の間は、適切な通信方法(有線、無線、またはそれらの組み合わせ)により通信可能に接続されていてもよい。
 また、上述した攻撃状況可視化装置は、図25に例示するような汎用のハードウェア装置2500と、ハードウェア装置2500によって実行される各種ソフトウェア・プログラム(コンピュータ・プログラム)とによって構成されてもよい。この場合、攻撃状況可視化装置は、1以上の適切な数のハードウェア装置2500及びソフトウェア・プログラムにより構成されてもよい。
 図25におけるプロセッサ2501は、例えば、汎用のCPU(中央処理装置:Central Processing Unit)やマイクロプロセッサである。プロセッサ2501は、例えば、後述する不揮発性記憶装置2503に記憶された各種ソフトウェア・プログラムをメモリ2502に読み出し、そのソフトウェア・プログラムに従って処理を実行してもよい。この場合、上記各実施形態における攻撃状況可視化装置の構成要素は、例えば、プロセッサ2501により実行されるソフトウェア・プログラムとして実現可能である。
 この場合、上記各実施形態における攻撃状況可視化装置は、例えば、ログ解析部(101、501)、表示情報生成部(102、502)、ログ収集部503、及び、外部情報照会部(504、2201)の機能を実現可能な1以上のプログラムにより実現されてよい。なお、係るプログラムの実装においては、様々なバリエーションが想定される。
 メモリ2502は、プロセッサ2501から参照可能な、RAM等のメモリデバイスであり、ソフトウェア・プログラムや各種データ等を記憶する。なお、メモリ2502は、揮発性のメモリデバイスであってもよい。
 不揮発性記憶装置2503は、例えば磁気ディスクドライブや、半導体記憶装置(フラッシュメモリ等)のような、不揮発性の記憶装置である。不揮発性記憶装置2503は、各種ソフトウェア・プログラムやデータ等を記憶可能である。上記攻撃状況可視化装置において、ログ解析部501及び表示情報生成部502に保持される各種テーブルは、例えば、不揮発性記憶装置2503に記憶されてもよい。
 リーダライタ2504は、例えば、後述する記録媒体2505に対するデータの読み込みや書き込みを処理する装置である。攻撃状況可視化装置は、例えば、リーダライタ2504を介して、記録媒体2505に記録されたログを読み込んでもよい。
 記録媒体2505は、例えば光ディスク、光磁気ディスク、半導体フラッシュメモリ等、データを記録可能な記録媒体である。本開示において、記録媒体の種類及び記録方法(フォーマット)は、特に限定されず、適宜選択されてよい。
 ネットワークインタフェース2506は、通信ネットワークに接続するインタフェース装置であり、例えば有線及び無線のLAN(Local Area Network)接続用インタフェース装置等を採用してもよい。攻撃状況可視化装置は、ネットワークインタフェース2506を介して、情報源520及びログ提供元510と通信可能に接続されてよい。
 入出力インタフェース2507は、外部装置との間の入出力を制御する装置である。外部装置は、例えば、ユーザからの入力を受け付け可能な入力機器(例えば、キーボード、マウス、タッチパネル等)であってもよい。また、外部装置は、例えばユーザに対して各種出力を提示可能出力機器であってもよい(例えば、モニタ画面、タッチパネル等)。攻撃状況可視化装置は、例えば、入出力インタフェースを介して、表示装置530に表示されるユーザインタフェースを制御してもよい。
 本開示に係る技術は、例えば、ハードウェア装置2500に対して供給されたソフトウェア・プログラムを、プロセッサ2501が実行することによって、実現されてもよい。この場合、ハードウェア装置2500で稼働しているオペレーティングシステムや、データベース管理ソフト、ネットワークソフト等のミドルウェアなどが、各処理の一部を実行してもよい。
 上述した各実施形態において、上記各図に示した各部は、上述したハードウェアにより実行されるソフトウェア・プログラムの機能(処理)の単位である、ソフトウェアモジュールとして実現されてもよい。例えば、上記各部をソフトウェアモジュールとして実現する場合、これらのソフトウェアモジュールは、不揮発性記憶装置2503に記憶されてもよい。そして、プロセッサ2501が、それぞれの処理を実行する際に、これらのソフトウェアモジュールをメモリ2502に読み出してもよい。また、これらのソフトウェアモジュールは、共有メモリやプロセス間通信等の適宜の方法により、相互に各種データを伝達できるように構成されてもよい。
 更に、上記各ソフトウェア・プログラムは、記録媒体2505に記録されてもよい。この場合、上記各ソフトウェア・プログラムは、適当な治具(ツール)を利用してハードウェア装置2500内にインストールされてもよい。また、各種ソフトウェア・プログラムは、インターネット等の通信回線を介して外部からダウンロードされてもよい。ソフトウェア・プログラムを供給する方法として、各種の一般的な手順を採用することができる。
 このような場合において、本開示に係る技術は、ソフトウェア・プログラムを構成するコード、あるいはコードが記録されたところの、コンピュータ読み取り可能な記録媒体によって構成されてもよい。この場合、記録媒体は、ハードウェア装置2500と独立した非一時的な記録媒体であってもよく、LANやインターネットなどにより伝送されたソフトウェア・プログラムをダウンロードして記憶又は一時記憶した記録媒体であってもよい。
 また、上述した攻撃状況可視化装置、あるいは、当該攻撃状況可視化装置の構成要素は、図25に例示するハードウェア装置2500を仮想化した仮想環境と、その仮想環境において実行されるソフトウェア・プログラム(コンピュータ・プログラム)とによって構成されてもよい。この場合、図25に例示するハードウェア装置2500の構成要素は、仮想環境における仮想デバイスとして提供される。
 以上、上述した実施形態を模範的な例として本発明を説明した。しかしながら、本発明は、上述した実施形態には限定されない。即ち、本発明は、本発明のスコープ内において、当業者が理解し得る様々な態様を適用することができる。
 なお、上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限定されない。
 (付記1)
 サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定するログ解析手段と、
 地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成する表示情報生成手段と、を備え、
 前記表示情報生成手段は、ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先との間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成する、攻撃状況可視化装置。
 (付記2)
 前記表示情報生成手段は、
  前記ログから前記サイバー攻撃に関する通信の前記送信元が特定され、前記サイバー攻撃に関する通信の前記送信先が特定されていない場合、その前記送信元を表す前記送信元画像である第1送信元画像を表示可能な前記表示情報を生成し、
  前記ログから、前記サイバー攻撃に関する通信の前記送信元と前記送信先との両方が特定された場合、その前記送信元を表す前記送信元画像である、前記第1送信元画像とは異なる第2送信元画像を表示可能な前記表示情報を生成する
付記1に記載の攻撃状況可視化装置。
 (付記3)
 前記表示情報生成手段は、
  前記ログから前記サイバー攻撃に関する通信の前記送信先が特定され、前記サイバー攻撃に関する通信の前記送信元が特定されていない場合、その前記送信先を表す前記送信先画像である第1送信先画像を表示可能な前記表示情報を生成し、
  前記ログから、前記サイバー攻撃に関する通信の前記送信元と前記送信先との両方が特定された場合、その前記送信先を表す前記送信先画像である、前記第1送信先画像とは異なる第2送信先画像を表示可能な前記表示情報を生成する
付記1又は付記2に記載の攻撃状況可視化装置。
 (付記4)
 前記ログ解析手段は、前記ログから、前記サイバー攻撃に関する前記送信元と前記送信先との両方が特定された場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信量を算出し、
 前記表示情報生成手段は、通信量の変化に応じて、前記攻撃状況画像の形状が変化する前記表示情報を生成する
付記1乃至付記3のいずれかに記載の攻撃状況可視化装置。
 (付記5)
 前記ログ解析手段は、前記ログから、前記サイバー攻撃に関する前記送信元と前記送信先との両方が特定された場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信頻度を算出し、
 前記表示情報生成手段は、通信頻度の変化に応じて、前記攻撃状況画像のアニメーション速度が変化する前記表示情報を生成する
付記1乃至付記4のいずれかに記載の攻撃状況可視化装置。
 (付記6)
 前記ログ解析手段は、前記ログから、前記送信元から送信された前記サイバー攻撃に関する通信の通信量である送信元通信量と、前記送信先に対して送信された前記サイバー攻撃に関する通信の通信量である送信先通信量と、を算出し、
 前記表示情報生成手段は、前記送信元通信量の変化に応じて前記送信元画像の形状が変化し、前記送信先通信量の変化に応じて前記送信先画像の形状が変化する前記表示情報を生成する
付記4又は付記5に記載の攻撃状況可視化装置。
 (付記7)
 前記表示情報生成手段は、前記送信元が属する攻撃者を表す情報に応じて、前記送信元画像の色彩が変化し、前記送信先が属する被害者を表す情報に応じて、前記送信先画像の色彩が変化する前記表示情報を生成する
付記4乃至付記6のいずれかに記載の攻撃状況可視化装置。
 (付記8)
 前記ログ解析手段は、前記ログから、前記送信元から送信された前記サイバー攻撃に関する通信の通信頻度である送信元通信頻度と、前記送信先に対して送信された前記サイバー攻撃に関する通信の通信頻度である送信先通信頻度と、を算出し、
 前記表示情報生成手段は、前記送信元通信頻度の変化に応じて前記送信元画像のアニメーション速度が変化し、前記送信先通信頻度の変化に応じて前記送信先画像のアニメーション速度が変化する前記表示情報を生成する
付記4乃至付記7のいずれかに記載の攻撃状況可視化装置。
 (付記9)
 前記ログのうち、前記サイバー攻撃に関する通信の前記送信元のみを特定可能なログに記録された前記送信元を表す送信元特定情報を含むリクエストを、通信ネットワークを介して受け付けたリクエストに応じて情報を提供する1以上の情報源に送信し、前記情報源から受信したレスポンスに、前記ログのうち、前記サイバー攻撃に関する通信の前記送信先のみを特定可能なログに記録された前記送信先を表す送信先特定情報が含まれない場合、前記レスポンスに含まれる特定の情報を含む前記リクエストを前記情報源に送信する処理を繰り返すことで、前記送信先特定情報が含まれる前記レスポンスを受信し、前記送信元特定情報と、前記レスポンスに含まれる前記送信先特定情報とを関連付ける、外部情報照会手段を更に備え、
 前記表示情報生成手段は、前記外部情報照会手段により関連付けされた前記送信元特定情報と、前記送信先特定情報との間の前記サイバー攻撃に関する前記攻撃状況画像を含む前記表示情報を生成する
付記1乃至付記8のいずれかに記載の攻撃状況可視化装置。
 (付記10)
 前記ログのうち、前記サイバー攻撃に関する通信の前記送信先のみを特定可能なログに記録された前記送信先を表す送信先特定情報を含むリクエストを、通信ネットワークを介して受け付けたリクエストに応じて情報を提供する1以上の情報源に送信し、前記情報源から受信したレスポンスに、前記ログのうち、前記サイバー攻撃に関する通信の前記送信元のみを特定可能なログに記録された前記送信元を表す送信元特定情報が含まれない場合は、前記レスポンスに含まれる特定の情報を含む前記リクエストを前記情報源に送信する処理を繰り返すことで、前記送信元特定情報が含まれる前記レスポンスを受信し、前記送信先特定情報と、前記レスポンスに含まれる前記送信元特定情報とを関連付ける、外部情報照会手段を更に備え、
 前記表示情報生成手段は、前記外部情報照会手段により関連付けされた前記送信元特定情報と、前記送信先特定情報との間の前記サイバー攻撃に関する前記攻撃状況画像を含む前記表示情報を生成する
付記1乃至付記8のいずれかに記載の攻撃状況可視化装置。
 (付記11)
 前記外部情報照会手段は、
  前記情報源に対して前記リクエストを送信し、その前記リクエストに対する前記レスポンスを受信することで、前記情報源に関する検索を実行する1以上のクローラと、
  前記リクエストに含まれる情報を入力として受けつけ、その前記リクエストを送信可能なそれぞれの前記クローラについてスコアを算出する分析モデルと、を有し、
  前記リクエストの送信に際して、その前記リクエストに含まれる情報を前記分析モデルに入力することで算出された前記スコアが最も高い前記クローラを選択し、選択した前記クローラを用いて前記情報源に対して前記リクエストを送信する、
付記9又は付記10に記載の攻撃状況可視化装置。
 (付記12)
 前記分析モデルは、
 対応関係が予め特定されている前記送信元特定情報と、前記送信先特定情報とを1以上含む訓練データを用いて、
 1以上の前記クローラの内、ある前記訓練データに含まれる前記送信元特定情報と前記送信先特定情報の一方を含む前記リクエストを前記情報源に送信することで、その前記訓練データに含まれる前記送信元特定情報と前記送信先特定情報との他方が含まれる前記レスポンスを取得することができる前記前記クローラに関する前記スコアが大きくなるように学習されたモデルである、
付記11に記載の攻撃状況可視化装置。
 (付記13)
 前記ログのうち、前記サイバー攻撃に関する通信の前記送信元のみを特定可能なログに記録された前記送信元を表す送信元特定情報と、前記ログのうち、前記サイバー攻撃に関する通信の前記送信先のみを特定可能なログに記録された前記送信先を表す送信先特定情報との少なくとも一方を、通信ネットワークを介して受け付けたリクエストに応じて情報を提供する1以上の情報源に送信することで得られるレスポンスに応じて、前記送信元と、前記送信先とを関連付け外部情報照会手段を更に備え、
 前記表示情報生成手段は、前記外部情報照会手段により関連付けされた前記送信元特定情報と、前記送信先特定情報との間の前記サイバー攻撃に関する前記攻撃状況画像を含む前記表示情報を生成する
付記1乃付記8のいずれかに記載の攻撃状況可視化装置。
 (付記14)
 サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定し、
 地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成し、
 ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先と間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成する
攻撃状況可視化方法。
 (付記15)
 サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定する処理と、
 地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成する処理と、
 ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先と間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成する処理と、をコンピュータに実行させる
攻撃状況可視化プログラムが記録された記録媒体。
 100  攻撃状況可視化装置
 101  ログ解析部
 102  表示情報生成部
 500  攻撃状況可視化装置
 501  ログ解析部
 502  表示情報生成部
 503  ログ収集部
 504  外部情報照会部
 2200  攻撃状況可視化装置
 2201  外部情報照会部
 2501  プロセッサ
 2502  メモリ
 2503  不揮発性記憶装置
 2504  リーダライタ
 2505  記録媒体
 2506  ネットワークインタフェース
 2507  入出力インタフェース

Claims (15)

  1.  サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定するログ解析手段と、
     地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成する表示情報生成手段と、を備え、
     前記表示情報生成手段は、ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先との間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成する、攻撃状況可視化装置。
  2.  前記表示情報生成手段は、
      前記ログから前記サイバー攻撃に関する通信の前記送信元が特定され、前記サイバー攻撃に関する通信の前記送信先が特定されていない場合、その前記送信元を表す前記送信元画像である第1送信元画像を表示可能な前記表示情報を生成し、
      前記ログから、前記サイバー攻撃に関する通信の前記送信元と前記送信先との両方が特定された場合、その前記送信元を表す前記送信元画像である、前記第1送信元画像とは異なる第2送信元画像を表示可能な前記表示情報を生成する
    請求項1に記載の攻撃状況可視化装置。
  3.  前記表示情報生成手段は、
      前記ログから前記サイバー攻撃に関する通信の前記送信先が特定され、前記サイバー攻撃に関する通信の前記送信元が特定されていない場合、その前記送信先を表す前記送信先画像である第1送信先画像を表示可能な前記表示情報を生成し、
      前記ログから、前記サイバー攻撃に関する通信の前記送信元と前記送信先との両方が特定された場合、その前記送信先を表す前記送信先画像である、前記第1送信先画像とは異なる第2送信先画像を表示可能な前記表示情報を生成する
    請求項1又は請求項2に記載の攻撃状況可視化装置。
  4.  前記ログ解析手段は、前記ログから、前記サイバー攻撃に関する前記送信元と前記送信先との両方が特定された場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信量を算出し、
     前記表示情報生成手段は、通信量の変化に応じて、前記攻撃状況画像の形状が変化する前記表示情報を生成する
    請求項1乃至請求項3のいずれかに記載の攻撃状況可視化装置。
  5.  前記ログ解析手段は、前記ログから、前記サイバー攻撃に関する前記送信元と前記送信先との両方が特定された場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信頻度を算出し、
     前記表示情報生成手段は、通信頻度の変化に応じて、前記攻撃状況画像のアニメーション速度が変化する前記表示情報を生成する
    請求項1乃至請求項4のいずれかに記載の攻撃状況可視化装置。
  6.  前記ログ解析手段は、前記ログから、前記送信元から送信された前記サイバー攻撃に関する通信の通信量である送信元通信量と、前記送信先に対して送信された前記サイバー攻撃に関する通信の通信量である送信先通信量と、を算出し、
     前記表示情報生成手段は、前記送信元通信量の変化に応じて前記送信元画像の形状が変化し、前記送信先通信量の変化に応じて前記送信先画像の形状が変化する前記表示情報を生成する
    請求項4又は請求項5に記載の攻撃状況可視化装置。
  7.  前記表示情報生成手段は、前記送信元が属する攻撃者を表す情報に応じて、前記送信元画像の色彩が変化し、前記送信先が属する被害者を表す情報に応じて、前記送信先画像の色彩が変化する前記表示情報を生成する
    請求項4乃至請求項6のいずれかに記載の攻撃状況可視化装置。
  8.  前記ログ解析手段は、前記ログから、前記送信元から送信された前記サイバー攻撃に関する通信の通信頻度である送信元通信頻度と、前記送信先に対して送信された前記サイバー攻撃に関する通信の通信頻度である送信先通信頻度と、を算出し、
     前記表示情報生成手段は、前記送信元通信頻度の変化に応じて前記送信元画像のアニメーション速度が変化し、前記送信先通信頻度の変化に応じて前記送信先画像のアニメーション速度が変化する前記表示情報を生成する
    請求項4乃至請求項7のいずれかに記載の攻撃状況可視化装置。
  9.  前記ログのうち、前記サイバー攻撃に関する通信の前記送信元のみを特定可能なログに記録された前記送信元を表す送信元特定情報を含むリクエストを、通信ネットワークを介して受け付けたリクエストに応じて情報を提供する1以上の情報源に送信し、前記情報源から受信したレスポンスに、前記ログのうち、前記サイバー攻撃に関する通信の前記送信先のみを特定可能なログに記録された前記送信先を表す送信先特定情報が含まれない場合、前記レスポンスに含まれる特定の情報を含む前記リクエストを前記情報源に送信する処理を繰り返すことで、前記送信先特定情報が含まれる前記レスポンスを受信し、前記送信元特定情報と、前記レスポンスに含まれる前記送信先特定情報とを関連付ける、外部情報照会手段を更に備え、
     前記表示情報生成手段は、前記外部情報照会手段により関連付けされた前記送信元特定情報と、前記送信先特定情報との間の前記サイバー攻撃に関する前記攻撃状況画像を含む前記表示情報を生成する
    請求項1乃至請求項8のいずれかに記載の攻撃状況可視化装置。
  10.  前記ログのうち、前記サイバー攻撃に関する通信の前記送信先のみを特定可能なログに記録された前記送信先を表す送信先特定情報を含むリクエストを、通信ネットワークを介して受け付けたリクエストに応じて情報を提供する1以上の情報源に送信し、前記情報源から受信したレスポンスに、前記ログのうち、前記サイバー攻撃に関する通信の前記送信元のみを特定可能なログに記録された前記送信元を表す送信元特定情報が含まれない場合は、前記レスポンスに含まれる特定の情報を含む前記リクエストを前記情報源に送信する処理を繰り返すことで、前記送信元特定情報が含まれる前記レスポンスを受信し、前記送信先特定情報と、前記レスポンスに含まれる前記送信元特定情報とを関連付ける、外部情報照会手段を更に備え、
     前記表示情報生成手段は、前記外部情報照会手段により関連付けされた前記送信元特定情報と、前記送信先特定情報との間の前記サイバー攻撃に関する前記攻撃状況画像を含む前記表示情報を生成する
    請求項1乃至請求項8のいずれかに記載の攻撃状況可視化装置。
  11.  前記外部情報照会手段は、
      前記情報源に対して前記リクエストを送信し、その前記リクエストに対する前記レスポンスを受信することで、前記情報源に関する検索を実行する1以上のクローラと、
      前記リクエストに含まれる情報を入力として受けつけ、その前記リクエストを送信可能なそれぞれの前記クローラについてスコアを算出する分析モデルと、を有し、
      前記リクエストの送信に際して、その前記リクエストに含まれる情報を前記分析モデルに入力することで算出された前記スコアが最も高い前記クローラを選択し、選択した前記クローラを用いて前記情報源に対して前記リクエストを送信する、
    請求項9又は請求項10に記載の攻撃状況可視化装置。
  12.  前記分析モデルは、
     対応関係が予め特定されている前記送信元特定情報と、前記送信先特定情報とを1以上含む訓練データを用いて、
     1以上の前記クローラの内、ある前記訓練データに含まれる前記送信元特定情報と前記送信先特定情報の一方を含む前記リクエストを前記情報源に送信することで、その前記訓練データに含まれる前記送信元特定情報と前記送信先特定情報との他方が含まれる前記レスポンスを取得することができる前記前記クローラに関する前記スコアが大きくなるように学習されたモデルである、
    請求項11に記載の攻撃状況可視化装置。
  13.  前記ログのうち、前記サイバー攻撃に関する通信の前記送信元のみを特定可能なログに記録された前記送信元を表す送信元特定情報と、前記ログのうち、前記サイバー攻撃に関する通信の前記送信先のみを特定可能なログに記録された前記送信先を表す送信先特定情報との少なくとも一方を、通信ネットワークを介して受け付けたリクエストに応じて情報を提供する1以上の情報源に送信することで得られるレスポンスに応じて、前記送信元と、前記送信先とを関連付け外部情報照会手段を更に備え、
     前記表示情報生成手段は、前記外部情報照会手段により関連付けされた前記送信元特定情報と、前記送信先特定情報との間の前記サイバー攻撃に関する前記攻撃状況画像を含む前記表示情報を生成する
    請求項1乃至請求項8のいずれかに記載の攻撃状況可視化装置。
  14.  サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定し、
     地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成し、
     ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先と間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成する
    攻撃状況可視化方法。
  15.  サイバー攻撃に関する情報が記録されたログを解析し、前記サイバー攻撃に関する通信の送信元と、前記サイバー攻撃に関する通信の送信先との少なくとも一方を特定する処理と、
     地図を表す画像と、前記送信元を示す送信元画像と、前記送信先を示す送信先画像と、を前記地図の上に配置した画像を表示可能な表示情報を生成する処理と、
     ある前記送信元と、その前記送信元から前記サイバー攻撃に関する通信が送信された前記送信先と間の対応関係が特定されている場合、その前記送信元と、その前記送信先との間の前記サイバー攻撃に関する通信の通信量と通信頻度との少なくとも一方を可視化した攻撃状況画像を含む前記表示情報を生成する処理と、をコンピュータに実行させる
    攻撃状況可視化プログラムが記録された記録媒体。
PCT/JP2017/023889 2017-06-29 2017-06-29 攻撃状況可視化装置、攻撃状況可視化方法及び記録媒体 WO2019003373A1 (ja)

Priority Applications (6)

Application Number Priority Date Filing Date Title
PCT/JP2017/023889 WO2019003373A1 (ja) 2017-06-29 2017-06-29 攻撃状況可視化装置、攻撃状況可視化方法及び記録媒体
JP2019526056A JP6879367B2 (ja) 2017-06-29 2017-06-29 攻撃状況可視化装置、攻撃状況可視化方法及びプログラム
US16/626,027 US11611575B2 (en) 2017-06-29 2017-06-29 Attack situation visualization device, attack situation visualization method and recording medium
JP2021075502A JP2021119500A (ja) 2017-06-29 2021-04-28 攻撃状況可視化装置、攻撃状況可視化方法及びプログラム
JP2022193377A JP7494895B2 (ja) 2017-06-29 2022-12-02 攻撃状況可視化装置、攻撃状況可視化方法及びプログラム
US18/107,172 US12126641B2 (en) 2023-02-08 Attack situation visualization device, attack situation visualization method and recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2017/023889 WO2019003373A1 (ja) 2017-06-29 2017-06-29 攻撃状況可視化装置、攻撃状況可視化方法及び記録媒体

Related Child Applications (2)

Application Number Title Priority Date Filing Date
US16/626,027 A-371-Of-International US11611575B2 (en) 2017-06-29 2017-06-29 Attack situation visualization device, attack situation visualization method and recording medium
US18/107,172 Continuation US12126641B2 (en) 2023-02-08 Attack situation visualization device, attack situation visualization method and recording medium

Publications (1)

Publication Number Publication Date
WO2019003373A1 true WO2019003373A1 (ja) 2019-01-03

Family

ID=64741260

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2017/023889 WO2019003373A1 (ja) 2017-06-29 2017-06-29 攻撃状況可視化装置、攻撃状況可視化方法及び記録媒体

Country Status (3)

Country Link
US (1) US11611575B2 (ja)
JP (3) JP6879367B2 (ja)
WO (1) WO2019003373A1 (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020195228A1 (ja) * 2019-03-28 2020-10-01 日本電気株式会社 分析システム、方法およびプログラム
WO2020195229A1 (ja) * 2019-03-28 2020-10-01 日本電気株式会社 分析システム、方法およびプログラム
CN111817871A (zh) * 2020-03-16 2020-10-23 北京安码科技有限公司 描述网络安全攻防可视化的设计方法、系统、电子设备及存储介质
KR20220050698A (ko) * 2020-10-16 2022-04-25 주식회사 스틸리언 공방전 방식으로 해킹 테스트를 수행하는 방법 및 그 방법을 위한 관리서버
US11475127B2 (en) * 2018-04-04 2022-10-18 Nippon Telegraph And Telephone Corporation Information processing device and information processing method
WO2023175953A1 (ja) * 2022-03-18 2023-09-21 日本電気株式会社 情報処理装置、情報処理方法、及びコンピュータ読み取り可能な記録媒体

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11475634B2 (en) 2020-07-02 2022-10-18 Meta Platforms Technologies, Llc Generating an extended-reality lobby window for communication between networking system users
CN112256791A (zh) * 2020-10-27 2021-01-22 北京微步在线科技有限公司 一种网络攻击事件的展示方法及存储介质
US11921970B1 (en) 2021-10-11 2024-03-05 Meta Platforms Technologies, Llc Coordinating virtual interactions with a mini-map
CN114629815B (zh) * 2022-05-16 2022-08-16 中电云数智科技有限公司 一种云安全数据可视化方法及终端设备
CN116614321B (zh) * 2023-07-20 2023-10-20 北京立思辰安科技术有限公司 一种用于网络攻击的界面展示方法、电子设备及存储介质

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6574661B1 (en) * 1997-09-26 2003-06-03 Mci Communications Corporation Integrated proxy interface for web based telecommunication toll-free network management using a network manager for downloading a call routing tree to client
US7149798B2 (en) * 2000-09-06 2006-12-12 Xanboo, Inc. Method and system for adaptively setting a data refresh interval
EP1717755B1 (en) * 2005-03-08 2011-02-09 Oculus Info Inc. System and method for large scale information analysis using data visualization techniques
US20060288296A1 (en) * 2005-05-12 2006-12-21 David Rosenbluth Receptor array for managing network traffic data
US7930752B2 (en) * 2005-11-18 2011-04-19 Nexthink S.A. Method for the detection and visualization of anomalous behaviors in a computer network
US8745191B2 (en) * 2009-01-28 2014-06-03 Headwater Partners I Llc System and method for providing user notifications
US10200541B2 (en) * 2009-01-28 2019-02-05 Headwater Research Llc Wireless end-user device with divided user space/kernel space traffic policy system
JP6173748B2 (ja) 2013-04-05 2017-08-02 エヌ・ティ・ティ・コミュニケーションズ株式会社 データ動的表示装置、データ動的表示方法、及びデータ動的表示プログラム
JP5769208B2 (ja) 2013-05-21 2015-08-26 国立研究開発法人情報通信研究機構 ネットワークの構成及び動作の可視化システム
JP2015026182A (ja) 2013-07-25 2015-02-05 エヌ・ティ・ティ・コミュニケーションズ株式会社 セキュリティサービス効果表示システム、セキュリティサービス効果表示方法、及びセキュリティサービス効果表示プログラム
US20150121523A1 (en) * 2013-10-25 2015-04-30 MSA Security, Inc. Systems and methods for facilitating remote security threat detection
JP6559402B2 (ja) 2014-05-12 2019-08-14 富士通株式会社 表示方法、表示装置および表示プログラム
US10142353B2 (en) * 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
DAISUKE WATANABE: "Koreja Zenbei ga Nakuze... Google ga Kokai shita Cyber Kogeki Map de Sekai no Akui ga Mieru", LIVEDOORNEWS, 24 October 2013 (2013-10-24), Retrieved from the Internet <URL:http://news.livedoor.com/article/detail/8187104> [retrieved on 20170914] *
HIROSHI MORI ET AL.: "Visualization of Various DoS Attacks Observed by Malware Sandbox Analysis", IEICE TECHNICAL REPORT ICCS2014-90, vol. 114, no. 489, March 2015 (2015-03-01), pages 163 - 168 *
YUSUKE HIDESHIMA ET AL.: "STARMINE:A Visualization System for Cyber Attacks", PROCEEDINGS OF THE 2006 ASIA-PACIFIC SYMPOSIUM ON INFORMATION VISUALISATION (APVIS '06), vol. 60, January 2006 (2006-01-01), pages 131 - 138, XP055558890 *

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11475127B2 (en) * 2018-04-04 2022-10-18 Nippon Telegraph And Telephone Corporation Information processing device and information processing method
WO2020195228A1 (ja) * 2019-03-28 2020-10-01 日本電気株式会社 分析システム、方法およびプログラム
JPWO2020195228A1 (ja) * 2019-03-28 2020-10-01
WO2020195229A1 (ja) * 2019-03-28 2020-10-01 日本電気株式会社 分析システム、方法およびプログラム
JPWO2020195229A1 (ja) * 2019-03-28 2021-12-23 日本電気株式会社 分析システム、方法およびプログラム
JP7107432B2 (ja) 2019-03-28 2022-07-27 日本電気株式会社 分析システム、方法およびプログラム
JP7111249B2 (ja) 2019-03-28 2022-08-02 日本電気株式会社 分析システム、方法およびプログラム
US12058164B2 (en) 2019-03-28 2024-08-06 Nec Corporation Analysis system, method, and program
CN111817871A (zh) * 2020-03-16 2020-10-23 北京安码科技有限公司 描述网络安全攻防可视化的设计方法、系统、电子设备及存储介质
KR20220050698A (ko) * 2020-10-16 2022-04-25 주식회사 스틸리언 공방전 방식으로 해킹 테스트를 수행하는 방법 및 그 방법을 위한 관리서버
KR102393656B1 (ko) * 2020-10-16 2022-05-04 주식회사 스틸리언 공방전 방식으로 해킹 테스트를 수행하는 방법 및 그 방법을 위한 관리서버
WO2023175953A1 (ja) * 2022-03-18 2023-09-21 日本電気株式会社 情報処理装置、情報処理方法、及びコンピュータ読み取り可能な記録媒体

Also Published As

Publication number Publication date
US20200128033A1 (en) 2020-04-23
JP2021119500A (ja) 2021-08-12
US20230199013A1 (en) 2023-06-22
JP7494895B2 (ja) 2024-06-04
JP6879367B2 (ja) 2021-06-02
US11611575B2 (en) 2023-03-21
JP2023021223A (ja) 2023-02-10
JPWO2019003373A1 (ja) 2020-04-16

Similar Documents

Publication Publication Date Title
JP7494895B2 (ja) 攻撃状況可視化装置、攻撃状況可視化方法及びプログラム
US11831785B2 (en) Systems and methods for digital certificate security
US20230344731A1 (en) Network security monitoring and correlation system and method of using same
US11811805B1 (en) Detecting fraud by correlating user behavior biometrics with other data sources
US7705829B1 (en) System and method for providing computer input
CN105052108B (zh) 自动欺骗性数字证书检测
CN103843004B (zh) 装置定制白名单
US9954894B2 (en) Webpage security
US20060176822A1 (en) Method, system, service, and computer program product for identifying incorrect domain name to internet protocol (IP) address mappings
US20210105298A1 (en) Detecting webpages that share malicious content
US20220300659A1 (en) Data breach prevention and remediation
CN111600850A (zh) 一种检测挖矿虚拟货币的方法、设备及存储介质
US20170244741A1 (en) Malware Identification Using Qualitative Data
US11315010B2 (en) Neural networks for detecting fraud based on user behavior biometrics
CN105938531A (zh) 识别恶意网络基础设施
JP2015026182A (ja) セキュリティサービス効果表示システム、セキュリティサービス効果表示方法、及びセキュリティサービス効果表示プログラム
US10924365B2 (en) Method and system for generating directed graphs
KR102032958B1 (ko) 취약점 점검 장치, 방법 및 시스템
US12126641B2 (en) Attack situation visualization device, attack situation visualization method and recording medium
Kumar et al. A brief investigation on web usage mining tools (WUM)
CN114826727A (zh) 流量数据采集方法、装置、计算机设备、存储介质
CN114866434A (zh) 网络资产的安全评估方法及应用
US20230262078A1 (en) Method and computing device for detection of malicious web resource
Skaggs-Schellenberg et al. A Secure Mixed Reality Framework for the Internet of Things
JP4567272B2 (ja) 良好なセキュリティを有するユーザアクション要求インジケータ

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17915711

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2019526056

Country of ref document: JP

Kind code of ref document: A

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 17915711

Country of ref document: EP

Kind code of ref document: A1