WO2019159809A1

WO2019159809A1 - アクセス分析システム及びアクセス分析方法

Info

Publication number: WO2019159809A1
Application number: PCT/JP2019/004453
Authority: WO
Inventors: 悠介浦田; 信也白井; 末田　欣子
Original assignee: 日本電信電話株式会社
Priority date: 2018-02-16
Filing date: 2019-02-07
Publication date: 2019-08-22
Also published as: JP6890559B2; JP2019144693A; US20210006565A1; US11722493B2

Abstract

アクセス分析システムは、ネットワークを介したアクセスに関するユーザによる端末の操作の特徴に基づいて、前記ユーザの正当性を分析する第１の分析部と、前記アクセスに関する通信に基づいて、前記通信の正常性を分析する第２の分析部と、前記第１の分析部による分析結果と、前記第２の分析部による分析結果とに基づいて、前記アクセスの正当性を判別する判別部と、を有することで、ネットワークを介したアクセスの正当性の判別精度を向上させる。

Description

アクセス分析システム及びアクセス分析方法

　本発明は、アクセス分析システム及びアクセス分析方法に関する。

　サイバー攻撃の一種である不正アクセスによる年間平均被害額は、不正アクセス以外のサイバー攻撃に比べて甚大な額となっている。不正アクセスの１つに不正アクセス者が第三者のＩＤ／パスワードなどのログイン情報を乗っ取り、重要情報へアクセスするなどの「なりすまし」があるが、このような、不正アクセス行為を行う目的で他人の識別符号を入手した者が不正アクセス行為に及ぶことを阻止することは極めて困難である。また、なりすまし以外にも、ＳＱＬインジェクションやＯＳインジェクションなど、「異常通信」により、Ｗｅｂサーバ等に対して攻撃を行う不正アクセス手法による被害も多い。

　不正アクセスに対する既存の本人認証技術では、ＩＤ／パスワードや秘密の質問など本人しか知りえない情報による認証（知識認証）や、ＩＣカードや電子証明書など本人しか所有していない情報による認証（所有物認証）があるが、第三者にそれらの情報を盗まれてしまった場合、容易になりすましが可能である。また、指紋認証や虹彩認証など身体的な特徴を元にした認証（生体認証）についても、機器等が読み取ったユーザの身体的特徴を数値化し、あらかじめ登録された数値と照合する方法であるため、その数値をあらかじめ盗聴し、サーバへ当該数値を送信することで登録ユーザになりすますことが可能である。第三者になりすまされた場合、これらの従来技術では、本人以外が認証しているにも関わらず常に正常であると判定されてしまうため、なりすましを発見することは困難である。

　また、不正アクセスに対する既存の異常通信検知技術では、ＩＤＳ（Intrusion Detection System）やＩＰＳ（Intrusion Prevention System）といった、ネットワークの振る舞いを監視し、通常とは異なる振る舞いを検知する技術がある。ＩＤＳやＩＰＳでは、ネットワークを流れるパケット数やプロトコルの使用状況の統計データを正常状態としており、あらかじめ設定された正常状態から外れる通信は常に異常とみなすため、高い精度で異常通信を検知することが困難である。

　一方、不正アクセスに対する最新の本人認証技術では、ＰＣ端末のマウス操作やキーボード操作、スマートフォンのスワイプ操作など、ユーザの振る舞い情報をもとに、ユーザ認証を行う技術（Ｂｅｈａｖｉｏｒａｌ　Ｂｉｏｍｅｔｒｉｃｓ技術／Ｐａｓｓｗｏｒｄ　Ｆｒｅｅ技術）がある（非特許文献１）。これらの技術では「ユーザの振る舞い」といった第三者には正確に模擬することが困難な情報を認証要素として用いているため、上記の技術と比較して、第三者が本人になりすますことが困難である。また、本人以外がアクセスしている場合はその振る舞いの違いから本人以外であることを判別するため、従来技術よりもなりすましを発見しやすい。

　また、不正アクセスに対する最新の異常通信検知技術では、ネットワークトラフィックを分析し、異常通信を検知する技術（ＵＥＢＡ（User and Entity Behavior Analytics）技術）がある。ＵＥＢＡ技術では、ＩＤＳやＩＰＳなどの従来技術にマシンラーニングを加えることで、より高い精度で異常通信を検知することが可能である。

Yoshitomo Matsubara他, "Keyboard Dependency of Personal Identification Performance by Keystroke Dynamics in Free Text Typing", Journal of Information Security, 2015, 6, 229-240．山内一将他, "C&Cトラフィック分類のための機械学習手法の評価", 情報処理学会論文誌, Vol.56, No.9, 1745-1753, 2015年9月．

　しかしながら、Ｂｅｈａｖｉｏｒａｌ　Ｂｉｏｍｅｔｒｉｃｓ技術／Ｐａｓｓｗｏｒｄ　Ｆｒｅｅ技術は、従来技術と比較して、なりすましを発見しやすいという利点があるが、端末を通常と異なる使い方などをすると、その端末を本人以外が使用していると誤認識してしまうことがあるなど、本人か本人以外かを正確に判別することは困難である。

　また、ＵＥＢＡ技術は、従来技術と比較して、より高い精度で異常通信を検知することが可能であるが、正常通信であるにも関わらず、定常状態から外れた通信は異常通信と誤認識してしまう場合があるなど、正常通信か異常通信かを正確に判別することは困難である。

　本発明は、上記の点に鑑みてなされたものであって、ネットワークを介したアクセスの正当性の判別精度を向上させることを目的とする。

　そこで上記課題を解決するため、アクセス分析システムは、ネットワークを介したアクセスに関するユーザによる端末の操作の特徴に基づいて、前記ユーザの正当性を分析する第１の分析部と、前記アクセスに関する通信に基づいて、前記通信の正常性を分析する第２の分析部と、前記第１の分析部による分析結果と、前記第２の分析部による分析結果とに基づいて、前記アクセスの正当性を判別する判別部と、を有する。

　ネットワークを介したアクセスの正当性の判別精度を向上させることができる。

本発明の実施の形態におけるアクセス分析システムの構成例を示す図である。マトリクステーブルの構成例を示す図である。本発明の実施の形態におけるネットワーク制御装置１０のハードウェア構成例を示す図トラフィック詳細分析部７１が実行する処理手順の一例を説明するためのフローチャートである。アクセス分析システムにおいて実行される処理手順の一例を説明するための図である。

　以下、図面に基づいて本発明の実施の形態を説明する。図１は、本発明の実施の形態におけるアクセス分析システムの構成例を示す図である。図１において、アクセス分析システムは、１以上のモバイル端末２０ａ、１以上のＰＣ端末２０ｂ、１以上のネットワーク装置３０、サーバ４０、ユーザ操作分析装置５０、通信分析装置６０、ネットワーク制御装置１０及びトラフィック詳細分析装置７０等を含む。

　ネットワーク装置３０は、モバイル端末２０ａ、ＰＣ端末２０ｂ、サーバ４０、通信分析装置６０、トラフィック詳細分析装置７０及びネットワーク制御装置１０とネットワークを介して接続される。ユーザ操作分析装置５０は、モバイル端末２０ａ、サーバ４０及びネットワーク制御装置１０とネットワークを介して接続される。通信分析装置６０及びトラフィック詳細分析装置７０は、ネットワーク制御装置１０とネットワークを介して接続される。

　モバイル端末２０ａ及びＰＣ端末２０ｂは、ユーザが利用する端末である。但し、ユーザの正当性は保証されない。なお、モバイル端末２０ａとは、例えば、スマートフォン又はタブレット端末等である。

　モバイル端末２０ａは、ＰＦスコア分析部２１を有する。ＰＦスコア分析部２１は、サーバ４０に対するアクセスごとに、当該アクセスに係るユーザの操作をＰａｓｓｗｏｒｄ　Ｆｒｅｅ技術（以下、「ＰＦ技術」という。）に基づいて分析し、モバイル端末２０ａのユーザの正当性に関するスコア（ＰＦ技術に基づくスコア）を計算する。ＰＦスコア分析部２１は、当該スコアを、ユーザ操作分析装置５０へ送信する。サーバ４０に対するアクセスとは、例えば、サーバ４０への要求単位での通信である。

　なお、ＰＦ技術は、モバイル端末２０ａに対応した技術であるため、ＰＣ端末２０ｂは、ＰＦスコア分析部２１を有さない。

　ネットワーク装置３０は、例えば、ルータである。すなわち、ネットワーク装置３０は、ネットワーク上を流通する情報を宛先に応じた経路に転送する装置である。

　サーバ４０は、Ｗｅｂサーバ等、ユーザに対して何らかのサービスを提供する１以上のコンピュータである。サーバ４０は、サービスを提供するための機能部の他に、ＢＢ情報収集部４１を有する。ＢＢ情報収集部４１は、サーバ４０がＰＣ端末２０ｂに提供するＷｅｂページ等に関連して行われるＰＣ端末２０ｂに対するユーザの操作の特徴を示す情報（以下、「操作情報」という。）を収集する。操作情報は、Ｂｅｈａｖｉｏｒａｌ　Ｂｉｏｍｅｔｒｉｃｓ技術（以下、「ＢＢ技術」という。）によって有効な入力情報であればよい。以下、当該操作情報を「ＢＢ情報」という。ＢＢ情報収集部４１は、サーバ４０に対するアクセスごとのＢＢ情報を、ユーザ操作分析装置５０へ送信する。なお、サーバ４０は、不正アクセスの攻撃対象となりうる。

　ユーザ操作分析装置５０は、ＰＦスコア受信部５１及びＢＢスコア分析部５２を有する１以上のコンピュータである。ＰＦスコア受信部５１は、モバイル端末２０ａからＰＦスコアを受信し、当該ＰＦスコアをネットワーク制御装置１０へ送信する。

　ＢＢスコア分析部５２は、サーバ４０のＢＢ情報収集部４１から送信されるＢＢ情報を受信し、当該ＢＢ情報をＢＢ技術を利用して分析することで、ＰＣ端末２０ｂのユーザの正当性に関するスコア（ＢＢ技術に基づくスコア）を、サーバ４０へのアクセスごとに算出する。ＢＢスコア分析部５２は、アクセスごとのスコアをネットワーク制御装置１０へ送信する。

　通信分析装置６０は、通信情報収集部６１及び通信分析部６２等を有する１以上のコンピュータである。通信情報収集部６１は、モバイル端末２０ａ又はＰＣ端末２０ｂによるサーバ４０へのアクセスに関する通信について、ネットワーク装置３０によって転送される通信情報をネットワーク装置３０から収集する。通信分析部６２は、例えば、ＵＥＢＡ（User and Entity Behavior Analytics）技術を利用して、通信情報収集部６１によって収集された通信情報を分析することで、モバイル端末２０ａ又はＰＣ端末２０ｂによるサーバ４０への各アクセスの通信の正常性を判定する。通信分析部６２は、アクセスごとに分析した通信の正常性を示す情報（正常域、注意域又は異常域）を、ネットワーク制御装置１０へ送信する。

　ネットワーク制御装置１０は、アクセス分類部１１、詳細分析手法選定部１２、ネットワーク制御部１３、ユーザ操作分析結果記憶部１１１、通信分析結果記憶部１１２、マトリクステーブル記憶部１１３等を有する１以上のコンピュータである。

　ユーザ操作分析結果記憶部１１１には、ユーザ操作分析装置５０のＰＦスコア受信部５１又はＢＢスコア分析部５２から送信されるスコアが記憶される。すなわち、ユーザ操作分析結果記憶部１１１には、サーバ４０に対するアクセスごとに、当該アクセスに関して算出された、ユーザの正当性に関するスコアが記憶される。

　通信分析結果記憶部１１２には、通信分析装置６０の通信分析部６２から送信される分析結果が記憶される。すなわち、通信分析結果記憶部１１２には、サーバ４０に対するアクセスごとに、当該アクセスに関する通信分析部６２による分析結果（正常域、注意域又は異常域）が記憶される。

　マトリクステーブル記憶部１１３には、ユーザの正当性のレベルと、通信の正常性のレベルとの組み合わせに応じて、サーバ４０に対するアクセスについて、正当アクセスであるか不正アクセスであるかを判別できる範囲と、判別できない範囲とを明確化するテーブルであるマトリクステーブルが記憶されている。

　図２は、マトリクステーブルの構成例を示す図である。図２において、マトリクステーブルは、列方向に通信の正常性のレベルが割り当てられ、行方向にユーザの正当性（ユーザが本人である可能性）のレベルが割り当てられている。

　すなわち、列方向は、当該アクセスに係る通信の正常性について、正常域、注意域及び異常域の３つのレベル（３つの段階）に分類され、行方向は、当該アクセスに係るユーザの正当性について、正常域、注意域及び異常域の３つのレベル（３つの段階）に分類されている。マトリクステーブルの各要素の値は、通信の正常性のレベルと、ユーザの正当性のレベルとの組み合わせに応じて、（１）～（９）の値である。（１）～（９）のそれぞれは、以下の意味を有する。
（１）「本人」かつ「正常通信」
（２）「本人」かつ「正常又は異常通信」
（３）「本人」かつ「異常通信」
（４）「本人又は本人でない」かつ「正常通信」
（５）「本人又は本人でない」かつ「正常又は異常通信」
（６）「本人又は本人でない」かつ「異常通信」
（７）「本人でない」かつ「正常通信」
（８）「本人でない」かつ「正常又は異常通信」
（９）「本人でない」かつ「異常通信」
　ここで、（１）は、正当アクセス、（９）は、不正アクセス、（２）～（８）は、正当アクセスか不正アクセスかの判別がつかないアクセスの範囲である。

　なお、分類学上「である」、「でない」の２×２マトリクスで分類（本実施の形態の例では「本人である」、「本人でない」／「正常通信である」、「正常通信でない」で分類）することが分析する上で最も効果的であるが、公知のセキュリティ技術では、それらの判別を行うことが困難であるため、判別のつかないアクセスの領域を設け、３×３マトリクスとした。

　アクセス分類部１１は、アクセスごとに、当該アクセスに関してユーザ操作分析結果記憶部１１１に記憶されたユーザの正当性に関する分析結果（スコア）と、当該アクセスに関して通信分析結果記憶部１１２に記憶された通信の正常性に関する分析結果とを、マトリクステーブル記憶部１１３に記憶されているマトリクステーブル（図２）に当てはめて、当該アクセスの正当性を（１）～（９）に分類する（すなわち、当該アクセスの正当性を判別する。）。具体的には、アクセス分類部１１は、ユーザの正当性に関するスコアに対する２つの閾値（正常域と注意域とを区分する第１の閾値と、注意域と異常域とを区分する第２の閾値）に基づいて、当該スコアを、正常域、注意域、異常域に分類する。アクセス分類部１１は、また、通信の正常性に関する分析結果（正常域、注意域、異常域）を、そのまま、マトリクステーブルの正常域、注意域、異常域に当てはめる。

　なお、各アクセスの異同は、アクセス元のモバイル端末２０ａ又はＰＣ端末２０ｂ（送信元）の識別情報（例えば、ＩＰアドレス）と、アクセス先のサーバ４０の識別情報（例えば、ＩＰアドレス）との組によって区別される。又は、ＴＣＰの５ｔｕｐｌｅによって、各アクセスの異同が区別されてもよい。更に、アクセスの内容（例えば、要求の内容）の同一性も考慮して、各アクセスの異同が区別されてもよい。

　詳細分析手法選定部１２は、アクセス分類部１１による分類結果が、（２）～（８）のいずれかであるアクセス（すなわち、正当アクセスか不正アクセスかの判別がつかないアクセス）について、当該アクセスを（１）又は（９）へ分類するための詳細分析の手法を選定し、選定した手法の実施を、例えば、トラフィック詳細分析装置７０等へ指示する。

　ネットワーク制御部１３は、アクセス分類部１１によって（９）へ分類されたアクセス、又は詳細分析手法選定部１２によって選定された手法の実施によって（９）に該当すると判定されたアクセスに係る通信の制御（遮断等）を行う。

　トラフィック詳細分析装置７０は、トラフィック詳細分析部７１を有する１以上のコンピュータである。トラフィック詳細分析部７１は、例えば、詳細分析手法選定部１２から指示されたアクセスに係る通信について、詳細な分析を実行する。例えば、簡易分析ＵＥＢＡ技術では、パケットのヘッダ部分について分析が行われるところ、トラフィック詳細分析部７１は、パケットのペイロード部分の分析等を行うことにより、当該アクセスにおける不正な情報の有無等を分析する。

　図３は、本発明の実施の形態におけるネットワーク制御装置１０のハードウェア構成例を示す図である。図３のネットワーク制御装置１０は、それぞれバスＢで相互に接続されているドライブ装置１００、補助記憶装置１０２、メモリ装置１０３、ＣＰＵ１０４、及びインタフェース装置１０５等を有する。

　ネットワーク制御装置１０での処理を実現するプログラムは、ＣＤ－ＲＯＭ等の記録媒体１０１によって提供される。プログラムを記憶した記録媒体１０１がドライブ装置１００にセットされると、プログラムが記録媒体１０１からドライブ装置１００を介して補助記憶装置１０２にインストールされる。但し、プログラムのインストールは必ずしも記録媒体１０１より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置１０２は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。

　メモリ装置１０３は、プログラムの起動指示があった場合に、補助記憶装置１０２からプログラムを読み出して格納する。ＣＰＵ１０４は、メモリ装置１０３に格納されたプログラムに従ってネットワーク制御装置１０に係る機能を実行する。インタフェース装置１０５は、ネットワークに接続するためのインタフェースとして用いられる。

　なお、ネットワーク制御装置１０以外の各装置も、図３に示されるようなハードウェア構成を有してもよい。

　また、図１におけるネットワーク制御装置１０のアクセス分類部１１、詳細分析手法選定部１２及びネットワーク制御部１３は、ネットワーク制御装置１０にインストールされた１以上のプログラムが、ＣＰＵ１０４に実行させる処理により実現される。ユーザ操作分析結果記憶部１１１、通信分析結果記憶部１１２及びマトリクステーブル記憶部１１３は、例えば、補助記憶装置１０２、又はネットワーク制御装置１０にネットワークを介して接続可能な記憶装置等を用いて実現可能である。

　また、図１におけるＰＦスコア分析部２１、ＢＢ情報収集部４１、ＰＦスコア受信部５１、ＢＢスコア分析部５２、通信情報収集部６１、通信分析部６２及びトラフィック詳細分析部７１等は、各部を有する装置にインストールされた１以上のプログラムが、当該装置のＣＰＵに実行させる処理により実現される。

　以下、アクセス分析システムにおいて実行される処理手順について説明する。図４は、トラフィック詳細分析部７１が実行する処理手順の一例を説明するためのフローチャートである。図４においては、或る特定のアクセス（以下、「対象アクセス」という。）が処理対象であるとする。

　ステップＳ１０１において、トラフィック詳細分析部７１は、対象アクセスについてのアクセス分類部１１による分類結果に基づいて、処理を分岐させる。なお、分類結果は、マトリクステーブル（図２）における（１）～（９）のいずれかを示す情報である。

　分類結果が（１）である場合、トラフィック詳細分析部７１は、対象アクセスに対応する変数ｋに１を加算する（Ｓ１０２）。変数ｋは、アクセスごとに用意され、初期値が０の変数である。続いて、トラフィック詳細分析部７１は、当該変数ｋの値が閾値ｎ以上であるか否かを判定する（Ｓ１０３）。当該変数ｋの値が閾値ｎ未満である場合（Ｓ１０３でＮｏ）、ステップＳ１０１に戻る。すなわち、この場合、トラフィック詳細分析部７１は、対象アクセスと同一の新たなアクセスの分類結果に基づいて処理を実行する。当該変数ｋの値が閾値ｎ以上である場合（Ｓ１０３でＹｅｓ）、トラフィック詳細分析部７１は、対象アクセスが正当アクセスであることをネットワーク制御部１３に通知する（Ｓ１０４）。

　また、分類結果が（４）又は（７）である場合、トラフィック詳細分析部７１は、「人（ユーザ）」の正当性に関する詳細分析を実施する（Ｓ１０５、Ｓ１０６）。当該詳細分析の内容は所定のものに限定されない。例えば、対象アクセスに関して、ＰＦスコア分析部２１又はＢＢスコア分析部５２による分析が継続されてもよいし、他の方法によって分析が行われてもよい。斯かる詳細分析の結果、対象アクセスが正当アクセス又は不正アクセスのいずれかに判別される。

　また、分類結果が、（２）又は（３）である場合、トラフィック詳細分析部７１は、通信の正常性に関する詳細分析を実施する（Ｓ１０７、Ｓ１０８）。当該詳細分析の内容は所定のものに限定されない。例えば、トラフィック詳細分析部７１に対して、対象アクセスに関するペイロード部分の分析が指示されてもよい。斯かる詳細分析の結果、対象アクセスが正当アクセス又は不正アクセスのいずれかに判別される。

　また、分類結果が、（５）、（６）又は（８）である場合、トラフィック詳細分析部７１は、「人（ユーザ）」の正当性に関する詳細分析、及び通信の正常性に関する詳細分析を実施する（Ｓ１０９、Ｓ１１０、Ｓ１１１）。当該詳細分析の内容は所定のものに限定されない。例えば、ステップＳ１０５又はＳ１０６と、ステップＳ１０７～Ｓ１０９のいずれかとを組み合わせた分析が行われてもよい。斯かる詳細分析の結果、対象アクセスが正当アクセス又は不正アクセスのいずれかに判別される。

　ステップＳ１０５～Ｓ１１１に続いて、トラフィック詳細分析部７１は、詳細分析の結果をネットワーク制御部１３に通知する（Ｓ１１２）。

　また、分類結果が（９）である場合、トラフィック詳細分析部７１は、対象アクセスが不正アクセスであることをネットワーク制御部１３に通知する（Ｓ１１３）。

　なお、ネットワーク制御部１３は、トラフィック詳細分析部７１から不正アクセスであることを通知されたアクセスについて、例えば、ネットワーク装置３０に対して遮断指示を送信する。

　続いて、アクセス分析システムにおいて実行される処理手順について、一つの具体例を説明する。

　図５は、アクセス分析システムにおいて実行される処理手順の一例を説明するための図である。図５では、ＰＣ端末２０ｂが攻撃元であり、サーバ４０を宛先とするパケットのペイロード部分にマルウェアを仕込んだアクセスを発生させているとする。したがって、サーバ４０が攻撃対象である。

　ステップＳ２０１において、ＰＣ端末２０ｂが、パケットのペイロード部分にマルウェアを仕込んだアクセス（以下、「対象アクセス」という。）をサーバ４０に対して行う。なお、この際、対象アクセスに関する操作情報が、サーバ４０のＢＢ情報収集部４１によって収集され、収集された操作情報がユーザ操作分析装置５０のＢＢスコア分析部５２へ送信される。

　ステップＳ２０２において、ユーザ操作分析装置５０のＢＢスコア分析部５２は、当該操作情報に基づいて、対象アクセスに関するユーザの正当性をＢＢ技術を利用して分析して、スコアを算出する。ＢＢスコア分析部５２は、当該スコアを対象アクセスに関するスコアとして、ネットワーク制御装置１０へ送信する（Ｓ２０３）。当該スコアは、対象アクセスの識別情報に関連付けられてユーザ操作分析結果記憶部１１１へ記憶される。

　一方、ステップＳ２０２、Ｓ２０３等と並行して、通信分析装置６０の通信情報収集部６１は、対象アクセスに関する通信情報をネットワーク装置３０から収集する（Ｓ２０４）。通信分析部６２は、例えば、ＵＥＢＡ技術を利用して、通信情報収集部６１によって収集された通信情報を分析することで、当該通信の正常性を分析し（Ｓ２０５）、分析結果をネットワーク制御装置１０へ送信する（Ｓ２０６）。

　続いて、ネットワーク制御装置１０のアクセス分類部１１は、対象アクセスに関するユーザの正当性の分析結果（スコア）と、対象アクセスに関する通信の正常性のスコアとの分析結果とをマトリクステーブル（図２）に当てはめて、対象アクセスを（１）～（９）のいずれかへ分類する。ここでは、（７）へ分類されたこととする。

　対象アクセスが（７）へ分類されたことに応じ、詳細分析手法選定部１２は、対象アクセスをトラフィック詳細分析装置７０へミラーリングするための設定をネットワーク装置３０に対して実行する（Ｓ２０８）。その結果、対象アクセスに関するトラフィック（通信）が、トラフィック詳細分析装置７０へミラーリングされる（Ｓ２０９）。

　続いて、トラフィック詳細分析装置７０のトラフィック詳細分析部７１は、対象アクセスのパケットのペイロード部を分析等することで、当該ペイロード部にマルウェアが含まれていることを検出する（Ｓ２１０）。そこで、トラフィック詳細分析部７１は、対象アクセスが不正アクセスであると判別し、当該判別結果をネットワーク制御装置１０の詳細分析手法選定部１２に送信する（Ｓ２１１）。ネットワーク制御装置１０のネットワーク制御部１３は、当該判別結果に基づいて、対象アクセスの遮断をネットワーク装置３０へ指示する（Ｓ２１２）。

　なお、上記では、ユーザの正当性を判別するための技術として、ＢＢ技術を利用する例について説明したが、他の技術（例えば、知識認証、所有物認証、生体認証等）が利用されてもよい。

　また、上記では、通信の正常性を判別するための技術として、ＵＥＢＡ技術を利用する例について説明したが、他の技術（例えば、ＩＤＳ（Intrusion Detection System）、ＩＰＳ（Intrusion Prevention System）等）が利用されてもよい。

　但し、ＢＢ技術及びＵＥＢＡ技術を利用することで、高精度にアクセスの正当性を判別できることが期待できる。

　上述したように、本実施の形態によれば、ネットワークを介したアクセスについて、当該アクセスに係るユーザの正当性と、当該アクセスに係る通信の正常性とに基づいて、正当アクセスであるか否か（正当性）が判定される。したがって、ユーザの正当性又は通信の正常性のみに基づいて当該アクセスの正当性を判別する場合に比べて、当該正当性の判別精度を向上させることができる。

　なお、本実施の形態において、ＢＢスコア分析部５２及びＰＦスコア分析部２１は、第１の分析部の一例である。通信分析部６２は、第２の分析部の一例である。アクセス分類部１１は、判別部の一例である。トラフィック詳細分析部７１は、第３の分析部の一例である。

　以上、本発明の実施の形態について詳述したが、本発明は斯かる特定の実施形態に限定されるものではなく、請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。

１０　　　　　ネットワーク制御装置
１１　　　　　アクセス分類部
１２　　　　　詳細分析手法選定部
１３　　　　　ネットワーク制御部
２０ａ　　　　モバイル端末
２０ｂ　　　　ＰＣ端末
２１　　　　　ＰＦスコア分析部
３０　　　　　ネットワーク装置
４０　　　　　サーバ
４１　　　　　ＢＢ情報収集部
５０　　　　　ユーザ操作分析装置
５１　　　　　ＰＦスコア受信部
５２　　　　　ＢＢスコア分析部
６０　　　　　通信分析装置
６１　　　　　通信情報収集部
６２　　　　　通信分析部
７０　　　　　トラフィック詳細分析装置
７１　　　　　トラフィック詳細分析部
１００　　　　ドライブ装置
１０１　　　　記録媒体
１０２　　　　補助記憶装置
１０３　　　　メモリ装置
１０４　　　　ＣＰＵ
１０５　　　　インタフェース装置
１１１　　　　ユーザ操作分析結果記憶部
１１２　　　　通信分析結果記憶部
１１３　　　　マトリクステーブル記憶部
Ｂ　　　　　　バス

Claims

　ネットワークを介したアクセスに関するユーザによる端末の操作の特徴に基づいて、前記ユーザの正当性を分析する第１の分析部と、
　前記アクセスに関する通信に基づいて、前記通信の正常性を分析する第２の分析部と、
　前記第１の分析部による分析結果と、前記第２の分析部による分析結果とに基づいて、前記アクセスの正当性を判別する判別部と、
を有することを特徴とするアクセス分析システム。
　前記判別部は、ユーザの正当性の分析結果において当該ユーザが正当であるレベルと、通信の正常性の分析結果において当該通信が正常であるレベルとの組み合わせに応じて、ネットワークを介したアクセスの正当性を示すマトリクステーブルに、前記第１の分析部による分析結果と、前記第２の分析部による分析結果とを当てはめて、前記アクセスの正当性を判別する、
ことを特徴とする請求項１記載のアクセス分析システム。
　前記判別部によって正当であるか不正であるかを判別できないアクセスに係る通信について、前記第２の分析部よりも詳細な分析を実行する第３の分析部を有する、
ことを特徴とする請求項１又は２記載のアクセス分析システム。
　１以上のコンピュータが、
　ネットワークを介したアクセスに関するユーザによる端末の操作の特徴に基づいて、前記ユーザの正当性を分析する第１の分析手順と、
　前記アクセスに関する通信に基づいて、前記通信の正常性を分析する第２の分析手順と、
　前記第１の分析手順による分析結果と、前記第２の分析手順による分析結果とに基づいて、前記アクセスの正当性を判別する判別手順と、
を実行することを特徴とするアクセス分析方法。
　前記判別手順は、ユーザの正当性の分析結果において当該ユーザが正当であるレベルと、通信の正常性の分析結果において当該通信が正常であるレベルとの組み合わせに応じて、ネットワークを介したアクセスの正当性を示すマトリクステーブルに、前記第１の分析手順による分析結果と、前記第２の分析手順による分析結果とを当てはめて、前記アクセスの正当性を判別する、
ことを特徴とする請求項４記載のアクセス分析方法。
　前記１以上のコンピュータが、
　前記判別手順において正当であるか不正であるかを判別できないアクセスに係る通信について、前記第２の分析手順よりも詳細な分析を実行する第３の分析手順を実行する、
ことを特徴とする請求項４又は５記載のアクセス分析方法。