WO2019244629A1 - 通信分析装置、通信分析方法、通信環境分析装置、通信環境分析方法、およびプログラム - Google Patents

通信分析装置、通信分析方法、通信環境分析装置、通信環境分析方法、およびプログラム Download PDF

Info

Publication number
WO2019244629A1
WO2019244629A1 PCT/JP2019/022295 JP2019022295W WO2019244629A1 WO 2019244629 A1 WO2019244629 A1 WO 2019244629A1 JP 2019022295 W JP2019022295 W JP 2019022295W WO 2019244629 A1 WO2019244629 A1 WO 2019244629A1
Authority
WO
WIPO (PCT)
Prior art keywords
communication
information
index information
sensor device
output
Prior art date
Application number
PCT/JP2019/022295
Other languages
English (en)
French (fr)
Inventor
佑樹 芦野
礼佳 鮫島
Original Assignee
日本電気株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本電気株式会社 filed Critical 日本電気株式会社
Priority to US17/254,491 priority Critical patent/US20210126933A1/en
Priority to JP2020525479A priority patent/JP7070678B2/ja
Priority to DE112019003139.2T priority patent/DE112019003139T5/de
Publication of WO2019244629A1 publication Critical patent/WO2019244629A1/ja

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/065Generation of reports related to network devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0817Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

ネットワーク上のセンサー装置で観測された通信について、当該通信の動作を示す動作情報と、当該通信の発信源を示す発信源情報と、を含む通信情報を取得する取得部(110)と、取得された通信情報を動作情報に基づいて分類する分類部(120)と、動作情報に基づく通信情報の分類結果を、発信源情報と共に出力する出力部(130)と、を有する。

Description

通信分析装置、通信分析方法、通信環境分析装置、通信環境分析方法、およびプログラム
 本発明は、サイバーセキュリティ技術に関する。
 ネットワーク上でのサイバー攻撃が年々増加しており、サイバー攻撃に対するセキュリティ対策の重要性が高まっている。
 サイバーセキュリティに関する技術の一例が、下記特許文献1に開示されている。下記特許文献1には、通信ネットワーク上を流通するパケットを解析し、アクセス元からのホストアクセス、ポートアクセス、アクセス時間間隔、アクセスポリシー違反等から当該アクセス元の悪意の度合いを定量化し、その悪意の度合いに応じた処理を実行する技術が開示されている。
特開2005-175714号公報
 上述の特許文献1の技術では、ある通信について悪意があるか否かを、既知の(すなわち、実際に被害が表面化した)サイバー攻撃の分析結果に基づいて判断している。言い換えると、サイバー攻撃による被害が表面化しない限り、そのサイバー攻撃に係る通信の悪意性を判断することは難しい。その結果、未知のサイバー攻撃が既知となるまで、被害が拡大していってしまう。未知のサイバー攻撃を早期に発見してその被害を抑える技術が望まれる。
 本発明は、上記の課題に鑑みてなされたものである。本発明の目的の一つは、未知のサイバー攻撃を早期に発見し、そのサイバー攻撃による被害の拡大を抑える技術を提供することである。
 本発明の通信分析装置は、
 ネットワーク上のセンサー装置で観測された通信について、当該通信の動作を示す動作情報と、当該通信の発信源を示す発信源情報と、を含む通信情報を取得する取得手段と、
 前記動作情報に基づいて、取得された前記通信情報を分類する分類手段と、
 前記動作情報に基づく前記通信情報の分類結果を、前記発信源情報と共に出力する出力手段と、
 を有する。
 本発明の通信分析方法は、
 コンピュータが、
 ネットワーク上のセンサー装置で観測された通信について、当該通信の動作を示す動作情報と、当該通信の発信源を示す発信源情報と、を含む通信情報を取得し、
 前記動作情報に基づいて、取得された前記通信情報を分類し、
 前記動作情報に基づく前記通信情報の分類結果を、前記発信源情報と共に出力する、
 ことを含む。
 本発明の第1のプログラムは、コンピュータに、上述の通信分析方法を実行させる。
 本発明の通信環境分析装置は、
 ネットワーク上のセンサー装置で観測された通信に基づく、当該センサー装置のネットワーク環境の健全性を測る指標となる指標情報を取得する取得手段と、
 取得された前記指標情報と、基準となるネットワーク環境の指標情報である基準指標情報との類似性を判断する判断手段と、
 前記類似性の判断結果に基づく出力を行う出力手段と、
 を備える。
 本発明の通信環境分析方法は、
 コンピュータが、
 ネットワーク上のセンサー装置で観測された通信に基づく、当該センサー装置のネットワーク環境の健全性を測る指標となる指標情報を取得し、
 取得された前記指標情報と、基準となるネットワーク環境の指標情報である基準指標情報との類似性を判断し、
 前記類似性の判断結果に基づく出力を行う、
 ことを含む。
 本発明の第2のプログラムは、コンピュータに、上述の通信環境分析方法を実行させる。
 本発明によれば、未知のサイバー攻撃を早期に発見し、そのサイバー攻撃による被害の拡大を抑えることができる。
 上述した目的、およびその他の目的、特徴および利点は、以下に述べる好適な実施の形態、およびそれに付随する以下の図面によってさらに明らかになる。
第1実施形態の通信分析装置が行う処理を概念的に示す図である。 第1実施形態に係る通信分析装置の機能構成例を示すブロック図である。 通信分析装置のハードウエア構成を例示するブロック図である。 第1実施形態に係る通信分析装置によって実行される処理の流れを例示するフローチャートである。 動作情報の生成ルールを定義するルール情報の一例を示す図である。 センサー装置における通信の観測結果の一例を概念的に示す図である。 図6に示される通信の観測結果を基に生成される通信情報の一例を示す図である。 所定の記憶領域に蓄積される通信情報の一例を示す図である。 通信時間分布情報を表示する出力用画面の一例を示す図である。 第2実施形態の通信環境分析装置が行う処理を概念的に示す図である。 第2実施形態に係る通信環境分析装置の機能構成を概念的に例示する図である。 通信環境分析装置ハードウエア構成を例示するブロック図である。 第2実施形態に係る通信環境分析装置によって実行される処理の流れを例示するフローチャートである。 指標情報の生成ルールを定義するルール情報の一例を示す図である。 取得部により取得される指標情報の一例を示す図である。 判断基準となるセンサー装置の基準指標情報の一例を示す図である。 分析対象となるセンサー装置の指標情報の一例を示す図である。 分析対象となるセンサー装置の指標情報の一例を示す図である。 指標情報と基準指標情報との類似度を示す情報を含む画面の一例を示す図である。
 以下、本発明の実施形態について、図面を用いて説明する。尚、すべての図面において、同様な構成要素には同様の符号を付し、適宜説明を省略する。また、特に説明する場合を除き、各ブロック図において、各ブロックは、ハードウエア単位の構成ではなく、機能単位の構成を表している。
 [第1実施形態]
 <概要>
 図1は、第1実施形態の通信分析装置10が行う処理を概念的に示す図である。通信分析装置10は、センサー装置30における通信の観測(受信)結果に基づいて、通信リスクを判断する指標となる情報を出力する機能を有する。センサー装置30は、ネットワーク上の図示しない発信源(通信装置)からの通信を観測するための装置である。センサー装置30は、ネットワーク上の発信源からの通信について観測した結果を、例えば予め決められたタイミングで通信分析装置10または図示しない外部記憶装置に出力する。なお、図1では描かれていないが、複数のセンサー装置30がネットワーク上に存在し得る。
 通信分析装置10は、センサー装置30で観測された通信を発信源別に分析し、その通信の動作を示す情報(以下、「動作情報」とも表記)を得ることができる。なお、この分析は、センサー装置30で行われてもよい。その場合、センサー装置30は、分析の結果(動作情報)を含む情報を、通信分析装置10または図示しない外部記憶装置に出力する。
 通信分析装置10は、取得した動作情報に基づいて、センサー装置30で観測された通信を分類する。そして、通信分析装置10は、動作情報を基に通信を分類した結果を、その通信の発信源を示す情報(以下、「発信源情報」とも表記)と共に出力する。
 <作用・効果>
 本実施形態の通信分析装置10では、動作情報を基に通信を分類した結果が、その通信の発信源を示す情報と共に出力される。この通信分析装置10から出力された情報は、ネットワークセキュリティの管理者にとって、未知のサイバー攻撃を見つけ出す手がかりとなり得る。例えば、動作情報に基づく通信の分類結果は、その通信で行われる動作がありふれた動作であるのか、或いは、通常ではあり得ない(今までにない)特殊な動作であるのかを示す指標となる。さらに、今までにない特殊な動作の通信が、サイバー攻撃と思しき通信を頻繁に行う発信源から行われたのであれば、その通信は未知のサイバー攻撃の可能性がある。ネットワークセキュリティの管理者は、例えばこのような分析を、通信分析装置10の出力結果を使って行うことができる。そして、ネットワークセキュリティの管理者は、未知のサイバー攻撃の被害が拡大しないように、早めの対策を講じることができる。
 <通信分析装置10の機能構成例>
 図2は、第1実施形態に係る通信分析装置10の機能構成例を示すブロック図である。図2に示されるように、通信分析装置10は、取得部110、分類部120、および出力部130を備える。
 取得部110は、ネットワーク上のセンサー装置30で観測された通信について、動作情報と発信源情報とを含む通信情報を取得する。ここで、ネットワーク上のセンサー装置30は、発信源に実装されている何らかのプログラムの動作に応じて当該発信源とセンサー装置30との間で発生した通信を観測(受信)する。動作情報は、センサー装置30で観測(受信)された通信の動作を示す情報である。また、発信源情報は、通信を行った発信源を示す(識別する)情報である。分類部120は、動作情報に基づいて通信情報を分類する。出力部130は、動作情報に基づく通信情報の分類結果を、発信源情報と共に出力する。
 〔通信分析装置10のハードウエア構成例〕
 通信分析装置10の各機能構成部は、各機能構成部を実現するハードウエア(例:ハードワイヤードされた電子回路など)で実現されてもよいし、ハードウエアとソフトウエアとの組み合わせ(例:電子回路とそれを制御するプログラムの組み合わせなど)で実現されてもよい。以下、通信分析装置10の各機能構成部がハードウエアとソフトウエアとの組み合わせで実現される場合について、さらに説明する。
 図3は、通信分析装置10のハードウエア構成を例示するブロック図である。図3に示されるように、通信分析装置10は、バス1010、プロセッサ1020、メモリ1030、ストレージデバイス1040、入出力インタフェース1050、及びネットワークインタフェース1060を有する。
 バス1010は、プロセッサ1020、メモリ1030、ストレージデバイス1040、入出力インタフェース1050、及びネットワークインタフェース1060が、相互にデータを送受信するためのデータ伝送路である。ただし、プロセッサ1020などを互いに接続する方法は、バス接続に限定されない。
 プロセッサ1020は、CPU(Central Processing Unit) やGPU(Graphics Processing Unit)などで実現されるプロセッサである。
 メモリ1030は、RAM(Random Access Memory)などで実現される主記憶装置である。
 ストレージデバイス1040は、HDD(Hard Disk Drive)、SSD(Solid State Drive)、メモリカード、又はROM(Read Only Memory)などで実現される補助記憶装置である。ストレージデバイス1040は通信分析装置10の各機能(取得部110、分類部120、出力部130など)を実現するプログラムモジュールを記憶している。プロセッサ1020がこれら各プログラムモジュールをメモリ1030上に読み込んで実行することで、そのプログラムモジュールに対応する各機能が実現される。
 入出力インタフェース1050は、通信分析装置10と各種入出力デバイスとを接続するためのインタフェースである。入出力インタフェース1050には、キーボードやマウスといった入力装置、スピーカーやディスプレイといった出力装置などが接続され得る。
 ネットワークインタフェース1060は、通信分析装置10をネットワークに接続するためのインタフェースである。このネットワークは、例えばLAN(Local Area Network)やWAN(Wide Area Network)である。ネットワークインタフェース1060がネットワークに接続する方法は、無線接続であってもよいし、有線接続であってもよい。通信分析装置10は、ネットワークインタフェース1060を介して、ネットワーク上のセンサー装置30や図示しない他の外部装置などと通信することができる。
 なお、図3はあくまで例示であり、通信分析装置10のハードウエア構成は図3に例示される構成に限定されない。
 <処理の流れ>
 図4は、第1実施形態に係る通信分析装置10によって実行される処理の流れを例示するフローチャートである。以下、図4のフローチャートに沿って、通信分析装置10によって実行される処理について説明する。
 まず、取得部110は、センサー装置30による通信の観測結果を基に、動作情報と発信源情報とを含む通信情報を取得する(S102)。取得部110は、例えば、次のように動作する。
 まず、取得部110は、センサー装置30が観測(受信)した通信パケットの生データを取得する。通信パケットの中には、TCP(Transmission Control Protocol)に関する情報またはUDP(User Datagram Protocol)やIP(Internet Protocol)に関する情報が含まれている。取得部110は、これらの情報を基に、通信の動作を示す動作情報および発信源を示す発信源情報を取得することができる。ここで、TCPまたはUDPに関する情報は、通信パケットのTCPヘッダまたはUDPヘッダに含まれている。通信パケットに含まれるTCPに関する情報は、例えば、宛先TCPポート番号やTCPパケットのコントロールフラグなどである。通信パケットに含まれるUDPに関する情報は、例えば、宛先UDPポート番号などである。また、IPに関する情報は、通信パケットのIPヘッダに含まれている。通信パケットに含まれるIPに関する情報は、例えば、発信元IPアドレスや宛先IPアドレスなどである。
 ここで、通信パケットに含まれる、宛先ポート番号(宛先TCPポート番号や宛先UDPポート番号)、TCPパケットのコントロールフラグ、および、宛先IPアドレスなどの情報は、通信の動作を示す情報として活用できる。例えば、「叩かれる宛先ポート番号の種類(組み合わせ)」、「宛先ポート番号が叩かれる順番」、「TCPパケットのコントロールフラグのパターン」、「宛先IPアドレスの変化」などは、実装(プログラム)に依存することが分かっている。
 TCPやUDPにおいて、ポート番号は、サービスに応じて割り当てられている(例えば、HTTP(Hypertext Transfer Protocol)のポート番号は80番など)。そのため、「叩かれる宛先ポート番号の種類(組み合わせ)」、「宛先ポート番号が叩かれる順番や回数」などは、発信源で利用されているプログラムがどのような目的のプログラムであるかを推測する手がかりとなる。
 また、ある発信源から、同一の宛先IPアドレスかつ同一の宛先TCPポート番号に向けられた通信パケットについて、TCPパケットのコントロールフラグが特定の並び順(パターン)となることがある。具体例として、スリーウェイハンドシェイクを行って、ある発信源とセンサー装置30との間のコネクションを確立させる場合を考える。この場合の通常の動作として、発信源は、まず、SYN(synchronize)フラグが設定された通信パケットをセンサー装置30に向けて送信する。センサー装置30が当該通信パケットに応答すると、発信源は、ACK(acknowledge)フラグが設定された通信パケットを更に送信する。その後、データ本体を送信する場合には、発信源はPSH(push)フラグが設定された通信パケットを更に送信する。つまり、通常のスリーウェイハンドシェイクの通信動作では、「SYN→ACK」または「SYN→ACK→PSH」という、TCPパケットのコントロールフラグのパターンが表れることになる。しかし、上述のパターンとは異なる特殊なパターンで通信パケットを送ってくる発信源が観測されることもある。例えば、SYNフラグが設定された通信パケットの後に、RST(reset)フラグが設定された通信パケットを送ってくる発信源や、ACKフラグが設定された通信パケットを何回も繰り返して送ってくる発信源などが観測される場合もある。そのような発信源においては、特殊な目的で用いるプログラム(マルウェア)が動いている可能性がある。このように、TCPパケットのコントロールフラグのパターンも、発信源で利用されているプログラムがどのような目的のプログラムであるかを推測する手がかりとなる。
 また、発信源で利用されているプログラムにより、それぞれ異なる宛先IPアドレスに向けられた複数の通信パケットが、その発信源から短期間に送信されることもある。これらの複数の通信パケットの各々から、宛先IPアドレスを抽出することにより、発信源がどのような通信を行っているかを示す情報を得ることができる。例えば、宛先IPアドレスを規則的に変化させている(例えば、1つずつ宛先IPアドレスをずらしている等)、または、宛先IPアドレスをランダムに変化させている、といった情報を得ることができる。これらの情報は、発信源で利用されているプログラムがどのような目的のプログラムであるかを推測する手がかりとなる。
 そこで、取得部110は、宛先ポート番号、TCPパケットのコントロールフラグ、および、宛先IPアドレスの少なくともいずれか1つに関する情報を、動作情報として取得する。
 具体的には、取得部110は、所定のルール(例:図5)に従って、動作情報を取得する。図5は、動作情報の生成ルールを定義するルール情報の一例を示す図である。図5に例示される情報は、例えば、メモリ1030やストレージデバイス1040などの記憶領域に予め記憶されている。図5の例において、各レコードは、「ルールID(identifier)」、「条件」、および、「生成ルール」という3つのカラムを含んで構成されている。「ルールID」は、各ルール情報を識別するための情報である。「条件」は、1つの動作情報を生成するためのデータの範囲を特定するための情報であり、任意の情報が設定され得る。例えば、図5の1および2行目には「初回パケットの観測から30秒以内」という条件が設定されている。この場合、「初回パケットの観測から30秒以内」という時間的な区切りの中で観測された1以上の通信パケット(初回パケットを含む)が、1つの動作情報を生成するためのデータとして特定される。なお、「1以上の通信パケット」は、発信源別に特定される。「生成ルール」は、動作情報の生成ルールを定義するための情報であり、任意の情報が設定され得る。取得部110は、「生成ルール」の定義に従って、上述の「1以上の通信パケット」から動作情報を取得する。例えば、図5の例の1行目の「生成ルール」が適用される場合、取得部110は、1以上の通信パケットの各々から宛先TCPポート番号を抽出して、宛先TCPポート番号の組み合わせを示す動作情報を取得する。
 ここで、図6を用いて取得部110の具体的な動作を説明する。なお、ここでは、取得部110が図5に例示される情報を利用すると仮定する。図6は、センサー装置30における通信の観測結果の一例を概念的に示す図である。本図に示される例において、センサー装置30は、少なくとも5つの通信パケット(通信パケットA~E)を観測している。図6の例において、通信パケットA~Dは、発信源「a.a.a.5」から送信された通信パケットであり、通信パケットEは、発信源「b.b.b.6」から送信された通信パケットである。
 取得部110は、図6に示すようなデータを取得した場合、発信源「a.a.a.5」について最初に観測された通信パケットAを「初回パケット」として認識する。また、取得部110は、通信パケットAの観測時刻との差分に基づいて、同じ発信源「a.a.a.5」について観測された通信パケットBおよび通信パケットCを、「初回パケットの観測から30秒以内」に観測されたパケットとして認識する。また、取得部110は、通信パケットAの観測時刻との差分に基づいて、同じ発信源「a.a.a.5」について観測された通信パケットDを、通信パケットAとは異なる新たな「初回パケット」として認識する。また、取得部110は、「初回パケットの観測から30秒以内」に観測された通信パケットであっても、発信源が異なる通信パケットEについては、発信源「b.b.b.6」に関する「初回パケット」として認識する。つまり、図6の例において、取得部110は、通信パケットA~Cを、1つの動作情報を生成するためのデータの範囲として特定する。なお図示されていないが、取得部110は、通信パケットDおよび通信パケットEについても、通信パケットA~Cの場合と同様にして、1つの動作情報を生成するためのデータの範囲を特定する。
 そして、取得部110は動作情報を取得する。具体的には、取得部110は、図5の1行目の生成ルールに基づいて、宛先TCPポート番号の組み合わせを示す動作情報(例えば、「23、80、8080」など)を通信パケットA~Cから取得することができる。また、取得部110は、図5の2行目の生成ルールに基づいて、宛先TCPポートの出現回数および出現順序を示す動作情報(例えば、「23(1)→80(1)→8080(1)」など)を通信パケットA~Cから取得することができる。
 そして、取得部110は、動作情報と発信源情報とを対応付けることにより、通信情報を生成する(例:図7)。図7は、図6に示される通信の観測結果を基に生成される通信情報の一例を示す図である。図7の例において、各レコードは、「通信情報ID」、「発信源情報」、「着信時刻」、「ルールID」、および、「動作情報」という5つのカラムを含んで構成されている。「通信情報ID」は、各通信情報を識別するための情報である。「通信情報ID」は、通信情報の生成時に、その通信情報固有の値として自動的に割り当てられる。「発信源情報」は、各通信情報に対応する発信源を示す情報である。「発信源情報」には、例えば通信パケットのIPヘッダに含まれる送信元IPアドレスなど、通信の発信源を識別可能な情報が設定される。「着信時刻」は、各通信情報に対応する通信が行われた時刻に関する情報である。着信時刻には、例えば、初回パケットの観測時刻が設定される。「ルールID」は、通信情報に含まれる動作情報を生成する際に適用した生成ルールを示す情報である。「動作情報」には、「ルールID」で示される生成ルールによって生成された、動作情報が格納される。取得部110は、例えば図8に例示されるように、生成した通信情報を所定の記憶領域(例えば、ストレージデバイス1040)に記憶する。図8は、所定の記憶領域に蓄積される通信情報の一例を示す図である。但し、通信情報は、図8の例に制限されない。例えば、取得部110は、発信源情報を基に取得可能な詳細情報(例えば、発信元IPアドレスを基に取得可能なWHOIS情報など)を、通信情報に含めてもよい。WHOIS情報は、ネットワーク管理者が通信リスクを分析する際に有用な情報となる。
 図4に戻り、分類部120は、動作情報を基に通信情報を分類する(S104)。具体的には、分類部120は、S102の処理で取得された通信情報の中から一の通信情報を選択し、当該選択した通信情報に含まれる動作情報を、その他の通信情報の動作情報と比較する。例えば、図8に例示されるような通信情報が蓄積されており、分類部120が、通信情報ID「0501」の通信情報を選択したとする。この場合、分類部120は、当該通信情報に対応する動作情報「443」と同一の動作情報を有する通信情報が存在しない(すなわち、その通信動作が初めて観測された)ことを特定できる。この場合、分類部120は、通信情報ID「0501」の通信情報を、今までにないグループとして分類する。例えば、分類部120は、通信情報ID「0501」の通信情報に含まれる動作情報が属する分類を一意に示すフラグ情報を新たに生成し、新たに生成したフラグ情報をその通信情報に付与する。これにより、センサー装置30において今までに観測されたことがなかった通信動作に対応する分類が新たに生成される。また、分類部120が、通信情報ID「0401」の通信情報を選択したとする。この場合、分類部120は、当該通信情報に対応する動作情報「23、80、8080」と同一の動作情報を有する通信情報(通審情報ID「0001」の通信情報)を1つ特定することができる。この場合、分類部120は、通信情報ID「0401」の通信情報を、通信ID「0001」の通信情報と同一のグループとして分類する。例えば、分類部120は、ID「0001」の通信情報に付与されたフラグ情報と同一のフラグ情報を、通信情報ID「0401」の通信情報に付与することで、これらの通信情報を同一のグループに分類することができる。
 そして、出力部130は、動作情報に基づく分類の結果を、発信源情報と共に出力する(S106)。例えば、出力部130は、ネットワーク管理者用の出力装置40(ディスプレイなど)に、「発信源a.a.a.5が行った通信動作は通算で2回観測されています。」や「発信源b.b.b.6が行った通信動作は今までにない動作です。」といったメッセージを出力することができる。このような情報に基づいて、ネットワーク管理者が、通信のリスクを判断することができる。
 また、図7に例示されるように、通信情報に通信時刻に関する情報が含まれている場合、出力部130は、動作情報に基づいて決定される各分類に属する通信の出現間隔を、その通信時刻に基づいて更に出力してもよい。例えば、出力部130は、「発信源a.a.a.5が行った通信動作はXX日ぶり2回目です。」といったメッセージを出力することができる。このようにすることで、ネットワーク管理者に、リスク分析用に有益な情報を提供することができる。
 また、通信情報に通信時刻に関する情報が含まれている場合、出力部130は、各通信情報の通信時刻を用いて、動作情報に基づいて決定される分類別に通信時間分布情報を出力するように構成されていてもよい。ここで、通信時間分布情報は、動作情報に基づいて決定される分類別の通信が行われた時間分布を示す情報である。具体的には、出力部130は、時刻を示す軸を少なくとも有する多次元空間において、分類別の通信を各通信情報の通信時間に基づいてプロットすることによって、通信時間分布情報を出力するように構成されていてもよい。このような情報を基に、ネットワーク管理者が、分類別の通信の傾向を容易に把握することができる。
 図9に、通信時間分布情報の具体的な出力例を示す。図9は、通信時間分布情報を表示する出力用画面の一例を示す図である。図9では、縦軸を時間軸、横軸を発信元IPアドレスの軸として有する2次元空間Aが例示されている。なお、図9の例示されている2次元空間Aにおいて、縦の解像度および横の解像度は、それぞれ、「3」および「4」である。また、図9に例示される画面の2次元空間Aは、ある日の「12:20:00」から「12:50:00」までの期間における、発信元IPアドレス別の通信の観測結果を示している。
 本実施形態の通信分析装置10は、例えば次のようにして、図9に例示されるような画面を出力することができる。まず、分類部120が、2次元空間A上に表示させる情報の基となる「通信データ」を収集する。ここで、分類部120は、「通信データ」を動作情報に基づく分類別に収集する。具体的な例として、分類部120は、「宛先TCPポート番号の組み合わせ」が同一の通信について、その通信の時刻および発信元IPアドレスに関するデータを取得する。その結果、図9の「通信データ」に例示されるようなデータが収集される。そして、分類部120は、収集された「通信データ」の中からデータを1つ選択する。そして、分類部120は、選択したデータの「時刻」または「発信元IPアドレス」に基づいて、2次元空間Aの領域(ブロック)を特定する。具体的な例として、時刻が「12:34:56」および発信元IPアドレスが「12.34.x.x」であるデータを、分類部120が選択した場合を考える。この場合、分類部120は、図中点線で囲った領域を、選択したデータに対応する領域として特定することができる。そして、分類部120は、特定した領域(ブロック)に含まれるデータの数として定義された変数をインクリメントする。分類部120は、上述の動作を各通信データに対して実行することによって、最終的に、図9に例示されるような通信時間分布情報を描画するデータを生成することができる。そして、出力部130は、分類部120により生成された描画用のデータを基に、通信時間分布情報を出力する。このとき、出力部130は、図9に例示されるように、2次元空間Aの領域毎のデータ数に応じて、各領域のカラーパターンを変えてもよい。このようにすることで、ネットワークセキュリティの監理者が、分類別の通信の傾向(時間的な分布状況)をより直観的に把握できる。なお、図9では、領域毎のデータ数が多いほど、その領域がより濃い色で表示される例が示されている。
 但し、出力部130による出力内容は、図9の例に制限されない。例えば、出力部130は、「時間」を示す第1の軸および「宛先TCPポート番号の組み合わせ」の第2の軸を有する2次元空間を使って、通信時間分布情報を出力してもよい。ここで、「宛先TCPポート番号の組み合わせ」は、動作情報に基づく分類の一例である。この場合、宛先TCPポート番号の組み合わせ別(例えば、「23、80、8080」や「443」など)の通信の出現状況を時系列に示す情報を含む画面が出力される。
 また、時間軸を有さない多次元空間が用いられてもよい。例えば、送信元ポート番号を示す第1の軸と、宛先ポート番号を示す第2の軸と、を有する2次元空間が用いられてもよい。この場合、出力部130は、送信元ポート番号と宛先ポート番号との組み合わせ別に、通信の出現頻度を示す情報を出力できる。
 [第2実施形態]
 <概要>
 図10は、第2実施形態の通信環境分析装置20が行う処理を概念的に示す図である。通信環境分析装置20は、センサー装置30において観測(受信)された通信の内容を分析し、その分析結果からセンサー装置30のリスクを判断する機能を有する。センサー装置30は、第1実施形態と同様に、ネットワーク上の図示しない発信源(通信装置)からの通信を観測するための装置である。センサー装置30は、ネットワーク上の発信源からの通信について観測した結果を、例えば予め決められたタイミングで通信環境分析装置20または図示しない外部記憶装置に出力する。なお、図10では描かれていないが、複数のセンサー装置30がネットワーク上に存在し得る。
 通信環境分析装置20は、センサー装置30で観測された通信を分析し、そのセンサー装置30のネットワーク環境の健全性を測る指標となる情報(以下、「指標情報」とも表記)を取得する。なお、この分析は、センサー装置30で行われてもよい。その場合、センサー装置30は、分析の結果(指標情報)を含む情報を、通信環境分析装置20または図示しない外部記憶装置に出力する。
 通信環境分析装置20は、取得した指標情報と、健全性の判断基準となるネットワーク環境の指標情報(以下、「基準指標情報」と表記)とを比較する。そして、通信環境分析装置20は、その比較結果に基づいて、センサー装置30の指標情報と基準指標情報との類似性を判断する。そして、通信環境分析装置20は、センサー装置30の指標情報と基準指標情報との類似性の判断結果を、例えばネットワークセキュリティの管理者用端末に出力する。例えば、健全性が高いと既に分かっている第1のセンサー装置30があり、その第1のセンサー装置30の指標情報が基準指標情報として用いられたと仮定する。この場合、通信環境分析装置20は、第1のセンサー装置30の指標情報(基準指標情報)との類似性が高いほど、比較対象となった第2のセンサー装置30の健全性が高いと推測できる。また、健全性が低いと既に分かっている第1のセンサー装置があり、の指標情報が基準指標情報として用いられたと仮定する。この場合、通信環境分析装置20は、第1のセンサー装置30の指標情報(基準指標情報)との類似性が高いほど、比較対象のセンサー装置30の健全性が低いと推測できる。
 <作用・効果>
 本実施形態の通信環境分析装置20によれば、センサー装置30のネットワーク環境の健全性を測る指標情報と、健全性の判断基準となる基準指標情報との類似性の判断結果が出力される。この通信環境分析装置20から出力された情報は、ネットワークセキュリティの管理者にとって、未知のサイバー攻撃を見つけ出す手がかりとなり得る。例えば、頻繁にサイバー攻撃の標的となっているセンサー装置30の指標情報を基準指標情報として用いた場合には、その基準指標情報に近い傾向を示すほど、未知のサイバー攻撃の標的となる可能性が高い。ネットワークセキュリティの管理者は、例えばこのような分析を、通信環境分析装置20の出力結果を使って行うことができる。そして、ネットワークセキュリティの管理者は、未知のサイバー攻撃の被害が拡大しないように、ネットワーク環境の健全性を高めるための対策を早期に講じることができる。
 <機能構成例>
 図11は、第2実施形態に係る通信環境分析装置20の機能構成を概念的に例示する図である。図11に示されるように、通信環境分析装置20は、取得部210、判断部220、および出力部230を有する。
 取得部210は、ネットワーク上のセンサー装置30で観測された通信に基づく指標情報を取得する。指標情報は、当該センサー装置30のネットワーク環境の健全性を測る指標となる情報である。判断部220は、取得部210により取得された指標情報と基準指標情報との類似性を判断する。基準指標情報は、基準となるネットワーク環境の指標情報である。出力部230は、判断部220による類似性の判断結果に基づいて、出力を行う。
 〔通信分析装置10のハードウエア構成例〕
 通信環境分析装置20の各機能構成部は、各機能構成部を実現するハードウエア(例:ハードワイヤードされた電子回路など)で実現されてもよいし、ハードウエアとソフトウエアとの組み合わせ(例:電子回路とそれを制御するプログラムの組み合わせなど)で実現されてもよい。以下、通信環境分析装置20の各機能構成部がハードウエアとソフトウエアとの組み合わせで実現される場合について、さらに説明する。
 図12は、通信環境分析装置20ハードウエア構成を例示するブロック図である。図12に示されるように、通信環境分析装置20は、バス2010、プロセッサ2020、メモリ2030、ストレージデバイス2040、入出力インタフェース2050、及びネットワークインタフェース2060を有する。
 バス2010は、プロセッサ2020、メモリ2030、ストレージデバイス2040、入出力インタフェース2050、及びネットワークインタフェース2060が、相互にデータを送受信するためのデータ伝送路である。ただし、プロセッサ2020などを互いに接続する方法は、バス接続に限定されない。
 プロセッサ2020は、CPU(Central Processing Unit) やGPU(Graphics Processing Unit)などで実現されるプロセッサである。
 メモリ2030は、RAM(Random Access Memory)などで実現される主記憶装置である。
 ストレージデバイス2040は、HDD(Hard Disk Drive)、SSD(Solid State Drive)、メモリカード、又はROM(Read Only Memory)などで実現される補助記憶装置である。ストレージデバイス2040は通信環境分析装置20の各機能(取得部210、判断部220、出力部230など)を実現するプログラムモジュールを記憶している。プロセッサ2020がこれら各プログラムモジュールをメモリ2030上に読み込んで実行することで、そのプログラムモジュールに対応する各機能が実現される。
 入出力インタフェース2050は、通信環境分析装置20と各種入出力デバイスとを接続するためのインタフェースである。入出力インタフェース2050には、キーボードやマウスといった入力装置、スピーカーやディスプレイといった出力装置などが接続され得る。
 ネットワークインタフェース2060は、通信環境分析装置20をネットワークに接続するためのインタフェースである。このネットワークは、例えばLAN(Local Area Network)やWAN(Wide Area Network)である。ネットワークインタフェース1060がネットワークに接続する方法は、無線接続であってもよいし、有線接続であってもよい。通信環境分析装置20は、ネットワークインタフェース2060を介して、ネットワーク上のセンサー装置30や図示しない他の外部装置などと通信することができる。
 なお、図12はあくまで例示であり、通信環境分析装置20のハードウエア構成は図12に例示される構成に限定されない。
 <処理の流れ>
 図13は、第2実施形態に係る通信環境分析装置20によって実行される処理の流れを例示するフローチャートである。以下、図13のフローチャートに沿って、通信環境分析装置20によって実行される処理について説明する。
 まず、取得部210は、センサー装置30による通信の観測結果を基に、指標情報を取得する(S202)。取得部210は、例えば、次のように動作する。
 まず、取得部210は、センサー装置30が観測(受信)した通信パケットの生データを取得する。通信パケットの中には、TCP(Transmission Control Protocol)またはUDP(User Datagram Protocol)に関する情報やIP(Internet Protocol)に関する情報が含まれている。取得部210は、これらの情報を基に、指標情報を取得することができる。例えば、取得部210は、通信パケットに含まれる、宛先ポート番号(宛先TCPポート番号や宛先UDPポート番号)、TCPパケットのコントロールフラグ、宛先IPアドレス、送信元IPアドレスなどの情報を基に、指標情報を取得することができる。
 具体的には、取得部210は、所定のルール(例:図14)に従って、指標情報を取得する。図14は、指標情報の生成ルールを定義するルール情報の一例を示す図である。図14に例示される情報は、例えば、メモリ2030やストレージデバイス2040などの記憶領域に予め記憶されている。図14の例において、各レコードは、「ルールID(identifier)」、「条件」、および、「生成ルール」という3つのカラムを含んで構成されている。「ルールID」は、各ルール情報を識別するための情報である。「条件」は、1つの指標情報を生成するためのデータの範囲を特定するための情報であり、任意の情報が設定され得る。例えば、図14の1および2行目には「毎年1月1日から12月31日まで」という条件が設定されている。この場合、「毎年1月1日から12月31日まで」という時間的な区切りの中で観測された1以上の通信パケットが、1つの指標上情報を生成するためのデータとして特定される。「生成ルール」は、動作情報の生成ルールを定義するための情報であり、任意の情報が設定され得る。取得部210は、「生成ルール」の定義に従って、上述の「1以上の通信パケット」から指標情報を取得する。例えば、図14の例の1行目の「生成ルール」が適用される場合、取得部210は、1以上の通信パケットの各々から発信元IPアドレスを抽出する。
 取得部210は、対象となるセンサー装置30毎に指標情報を取得し、所定の記憶領域に記憶する(例:図15)。図15は、取得部210により取得される指標情報の一例を示す図である。図15の例において、各レコードは、「指標情報ID」、「センサーID」、「年を示す情報」、「ルールID」、および、「指標情報」という5つのカラムを含んで構成されている。「指標情報ID」は、各指標情報を識別するための情報である。「指標情報ID」は、指標情報の生成時に、その指標情報固有の値として自動的に割り当てられる。「センサーID」は、センサー装置30毎に固有の識別子である。「年を示す情報」は、指標情報が生成された年を示す情報である。この情報は、1つの指標情報を生成するためのデータの範囲を特定するための「条件」によって変わり得る。「ルールID」は、通信情報に含まれる動作情報を生成する際に適用した生成ルールを示す情報である。「指標情報」には、「ルールID」で示される生成ルールによって生成された、指標情報が格納される。
 図13に戻り、判断部220は、基準指標情報を取得する(S204)。例えば、基準となるセンサー装置30が予め設定されている場合、判断部220は、そのセンサー装置30の指標情報を基準指標情報として取得することができる。また、囮のセンサー装置30を試験的に運用した結果として得られる指標情報を、基準指標情報としてストレージデバイス2040などに用意しておいてもよい。
 そして、判断部220は、指標情報と基準指標情報との類似性を判断する。判断部220は、例えば、次のように動作する。判断部220は、まず、指標情報と基準指標情報との類似度を算出する(S206)。一例として、判断部220は、指標情報と基準指標情報とに基づいて、当該指標情報および基準指標情報の双方に含まれる送信元IPアドレスを特定する。言い換えると、判断部220は、分析対象のセンサー装置30および判断基準となるセンサー装置の双方において共通して観測された発信源(送信元IPアドレス)を特定する。そして、判断部220は、基準指標情報に含まれる全ての送信元IPアドレスに対して、上記で特定した送信元IPアドレスが占める割合を、基準指標情報との類似度として算出する。他の一例として、判断部220は、指標情報と基準指標情報とに基づいて、当該指標情報および基準指標情報の双方に含まれる宛先TCPポート番号を特定する。言い換えると、判断部220は、分析対象のセンサー装置30および判断基準となるセンサー装置の双方において共通して観測された宛先TCPポート番号を特定する。そして、判断部220は、基準指標情報に含まれる全ての宛先ポート番号に対して、上記で特定した宛先TCPポート番号が占める割合を、基準指標情報との類似度として算出する。
 そして、判断部220は、S206の処理で算出した類似度が所定の閾値を超えているか否かを判定する(S208)。この閾値は、例えば、判断部220のプログラムモジュールにおいて予め定義される。
 ここで、図16乃至図18を用いて、判断部220が指標情報と基準指標情報との類似性を判断する具体的な流れについて説明する。図16は、判断基準となるセンサー装置30の基準指標情報の一例を示す図である。図17および図18は、分析対象となるセンサー装置30の指標情報の一例を示す図である。図16乃至図18では、宛先TCPポート番号を指標情報として用いる例が示されている。
 ここで、図16の基準指標情報に含まれる宛先TCPポート番号は、出現頻度の降順で、「22、23、80、8080、5900、12001、25」である。また、図17の指標情報に含まれる宛先TCPポート番号は、出現頻度の降順で、「22、23、525、25、12111、65000、80」である。また、図18の指標情報に含まれる宛先TCPポート番号は、出現頻度の降順で、「22、23、80、8080、8081、8082、9999」である。
 この場合において、判断部220は、宛先ポート番号の出現頻度について基準指標情報と指標情報との一致度合を、類似度として算出することができる。例えば、判断部220は、図16の基準指標情報と図17の指標情報との類似度および図16の基準指標情報と図18の指標情報との類似度を、それぞれ、「2/7」および「4/7」と算出することができる。この場合、判断部220は、図17の指標情報よりも、図18の指標情報の方が、基準指標情報に近いと判断することができる。更に、所定の閾値が「50%」であったと仮定する。この場合、判断部220は「図17の指標情報および基準指標情報は類似していない」と判断することができる。また、判断部220は、「図18の指標情報および基準指標情報は類似している」と判断することができる。
 図13に戻り、判断部220は、類似度が所定の閾値を超えたか否かについて、出力部230に通知する。出力部230は、判断部220から受け取った通知に応じた出力動作を行う。なお、ここでは、健全性の低いセンサー装置30の指標情報が基準識別情報として設定されていると仮定する。類似度が所定の閾値を超えたことを示す通知を判断部220から受け取った場合(S208:YES)、分析対象のセンサー装置30の健全性について警告情報を出力する(S210)。例えば、出力部230は、ネットワークセキュリティの監理者用端末に対して、分析対象のセンサー装置30のネットワーク環境に対する早期対策を促すメッセージなどを出力する。一方、類似度が所定の閾値を超えていないことを示す通知を判断部220から受け取った場合(S208:NO)、出力部230は、警告情報を出力しない。この場合において、出力部230は、分析対象のセンサー装置30のネットワーク環境に問題がない旨のメッセージを、ネットワークセキュリティの監理者用端末に出力してもよい。
 また、本実施形態の通信環境分析装置20は、第1実施形態で説明した通信時間分布情報を指標情報として取得し、上述の処理を実行してもよい。具体的には、取得部210は、分析対象のセンサー装置30毎の通信時間分布情報を取得する。判断部220は、分析対象のセンサー装置30毎に、通信時間分布情報と、基準指標情報として利用される通信時間分布情報との類似性を判断する。なお、基準指標情報として利用される通信時間分布情報は、例えば、上述の囮のセンサー装置30を試験的に運用した結果として得られる通信時間分布情報などである。このような基準指標情報は、例えばストレージデバイス2040などに予め記憶されている。具体的な例として、判断部220は、次のように類似性を判断することができる。ます、判断部220は、領域毎にカウントしたデータ数について基準指標情報との差分を算出する。そして、判断部220は、領域毎に算出した差分に基づいて、差分が所定の閾値以下に収まる領域を特定する。そして、判断部220は、特定された領域が全体の領域数に対して占める割合を、基準指標情報との類似度として算出することができる。そして、出力部230は、指標情報と基準指標情報との類似度を示す情報として、例えば、図19に示すような画面を出力する。図19は、指標情報と基準指標情報との類似度を示す情報を含む画面の一例を示す図である。出力部230は、例えば、縦軸を時間軸、横軸を発信元IPアドレスの軸として有する2次元空間Aにおいて、基準指標情報と類似した結果が得られた領域に所定の印(例えば、図中点線で示す枠B)を付与する。図19に例示されるような情報によれば、センサー装置30の指標情報と基準指標情報との間で共通する部分が容易に把握できる。
 以上、図面を参照して本発明の実施形態について述べたが、これらは本発明の例示であり、上記以外の様々な構成を採用することもできる。
 また、上述の説明で用いた複数のフローチャートでは、複数の工程(処理)が順番に記載されているが、各実施形態で実行される工程の実行順序は、その記載の順番に制限されない。各実施形態では、図示される工程の順番を内容的に支障のない範囲で変更することができる。また、上述の各実施形態は、内容が相反しない範囲で組み合わせることができる。
 上記の実施形態の一部または全部は、以下の付記のようにも記載されうるが、以下に限られない。
1.
 ネットワーク上のセンサー装置で観測された通信について、当該通信の動作を示す動作情報と、当該通信の発信源を示す発信源情報と、を含む通信情報を取得する取得手段と、
 前記動作情報に基づいて、取得された前記通信情報を分類する分類手段と、
 前記動作情報に基づく前記通信情報の分類結果を、前記発信源情報と共に出力する出力手段と、
 を有する通信分析装置。
2.
 前記動作情報は、宛先ポート番号、TCP(Transmission Control Protocol)パケットのコントロールフラグ、および、宛先IP(Internet Protocol)アドレスの中の少なくとも1つに関する情報を含む、
 1.に記載の通信分析装置。
3.
 前記通信情報には、通信時刻の情報が更に含まれており、
 前記出力手段は、前記通信時刻の情報を用いて、前記動作情報に基づく分類別に、通信が行われた時間の分布を示す通信時間分布情報を出力する、
 1.または2.に記載の通信分析装置。
4.
 前記出力手段は、時刻を示す軸を少なくとも有する多次元空間を使って、前記通信時間分布情報を出力する、
 3.に記載の通信分析装置。
5.
 前記出力手段は、前記通信時刻の情報を用いて、前記動作情報に基づいて決定される各分類の通信の出現間隔を示す情報を出力する、
 3.に記載の通信分析装置。
6.
 コンピュータが、
 ネットワーク上のセンサー装置で観測された通信について、当該通信の動作を示す動作情報と、当該通信の発信源を示す発信源情報と、を含む通信情報を取得し、
 前記動作情報に基づいて、取得された前記通信情報を分類し、
 前記動作情報に基づく前記通信情報の分類結果を、前記発信源情報と共に出力する、
 ことを含む通信分析方法。
7.
 前記動作情報は、宛先ポート番号、TCP(Transmission Control Protocol)パケットのコントロールフラグ、および、宛先IP(Internet Protocol)アドレスの中の少なくとも1つに関する情報を含む、
 6.に記載の通信分析方法。
8.
 前記通信情報には、通信時刻の情報が更に含まれており、
 前記コンピュータが、前記通信時刻の情報を用いて、前記動作情報に基づく分類別に、通信が行われた時間の分布を示す通信時間分布情報を出力する、
 ことを含む6.または7.に記載の通信分析方法。
9.
 前記コンピュータが、時刻を示す軸を少なくとも有する多次元空間を使って、前記通信時間分布情報を出力する、
 ことを含む8.に記載の通信分析方法。
10.
 前記コンピュータが、前記通信時刻の情報を用いて、前記動作情報に基づいて決定される各分類の通信の出現間隔を示す情報を出力する、
 ことを含む8.に記載の通信分析方法。
11.
 コンピュータに、6.から10.のいずれか1つに記載の通信分析方法を実行させるプログラム。
12.
 ネットワーク上のセンサー装置で観測された通信に基づく、当該センサー装置のネットワーク環境の健全性を測る指標となる指標情報を取得する取得手段と、
 取得された前記指標情報と、基準となるネットワーク環境の指標情報である基準指標情報との類似性を判断する判断手段と、
 前記類似性の判断結果に基づく出力を行う出力手段と、
 を備える通信環境分析装置。
13.
 前記指標情報は、宛先ポート番号の情報および発信元IP(Internet Protocol)アドレスの情報の少なくとも一方を含む、
 12.に記載の通信環境分析装置。
14.
 前記判断手段は、
  宛先ポート番号および発信元IPアドレスの少なくともいずれか一方について、前記指標情報および前記基準指標情報の双方に共通する情報の数を特定し、
  前記基準指標情報に含まれる全ての情報数に対して前記特定した数の占める割合を、前記類似性を示す情報として算出する、
 13.に記載の通信環境分析装置。
15.
 コンピュータが、
 ネットワーク上のセンサー装置で観測された通信に基づく、当該センサー装置のネットワーク環境の健全性を測る指標となる指標情報を取得し、
 取得された前記指標情報と、基準となるネットワーク環境の指標情報である基準指標情報との類似性を判断し、
 前記類似性の判断結果に基づく出力を行う、
 ことを含む通信環境分析方法。
16.
 前記コンピュータが、宛先ポート番号の情報および発信元IP(Internet Protocol)アドレスの情報の少なくとも一方を含む、
 15.に記載の通信環境分析方法。
17.
 前記コンピュータが、
  宛先ポート番号および発信元IPアドレスの少なくともいずれか一方について、前記指標情報および前記基準指標情報の双方に共通する情報の数を特定し、
  前記基準指標情報に含まれる全ての情報数に対して前記特定した数の占める割合を、前記類似性を示す情報として算出する、
 ことを含む16.に記載の通信環境分析方法。
18.
 コンピュータに、15.から17.のいずれか1つに記載の通信環境分析方法を実行させるプログラム。
 この出願は、2018年6月22日に出願された日本出願特願2018-118955号を基礎とする優先権を主張し、その開示の全てをここに取り込む。

Claims (18)

  1.  ネットワーク上のセンサー装置で観測された通信について、当該通信の動作を示す動作情報と、当該通信の発信源を示す発信源情報と、を含む通信情報を取得する取得手段と、
     前記動作情報に基づいて、取得された前記通信情報を分類する分類手段と、
     前記動作情報に基づく前記通信情報の分類結果を、前記発信源情報と共に出力する出力手段と、
     を有する通信分析装置。
  2.  前記動作情報は、宛先ポート番号、TCP(Transmission Control Protocol)パケットのコントロールフラグ、および、宛先IP(Internet Protocol)アドレスの中の少なくとも1つに関する情報を含む、
     請求項1に記載の通信分析装置。
  3.  前記通信情報には、通信時刻の情報が更に含まれており、
     前記出力手段は、前記通信時刻の情報を用いて、前記動作情報に基づく分類別に、通信が行われた時間の分布を示す通信時間分布情報を出力する、
     請求項1または2に記載の通信分析装置。
  4.  前記出力手段は、時刻を示す軸を少なくとも有する多次元空間を使って、前記通信時間分布情報を出力する、
     請求項3に記載の通信分析装置。
  5.  前記出力手段は、前記通信時刻の情報を用いて、前記動作情報に基づいて決定される各分類の通信の出現間隔を示す情報を出力する、
     請求項3に記載の通信分析装置。
  6.  コンピュータが、
     ネットワーク上のセンサー装置で観測された通信について、当該通信の動作を示す動作情報と、当該通信の発信源を示す発信源情報と、を含む通信情報を取得し、
     前記動作情報に基づいて、取得された前記通信情報を分類し、
     前記動作情報に基づく前記通信情報の分類結果を、前記発信源情報と共に出力する、
     ことを含む通信分析方法。
  7.  前記動作情報は、宛先ポート番号、TCP(Transmission Control Protocol)パケットのコントロールフラグ、および、宛先IP(Internet Protocol)アドレスの中の少なくとも1つに関する情報を含む、
     請求項6に記載の通信分析方法。
  8.  前記通信情報には、通信時刻の情報が更に含まれており、
     前記コンピュータが、前記通信時刻の情報を用いて、前記動作情報に基づく分類別に、通信が行われた時間の分布を示す通信時間分布情報を出力する、
     ことを含む請求項6または7に記載の通信分析方法。
  9.  前記コンピュータが、時刻を示す軸を少なくとも有する多次元空間を使って、前記通信時間分布情報を出力する、
     ことを含む請求項8に記載の通信分析方法。
  10.  前記コンピュータが、前記通信時刻の情報を用いて、前記動作情報に基づいて決定される各分類の通信の出現間隔を示す情報を出力する、
     ことを含む請求項8に記載の通信分析方法。
  11.  コンピュータに、請求項6から10のいずれか1項に記載の通信分析方法を実行させるプログラム。
  12.  ネットワーク上のセンサー装置で観測された通信に基づく、当該センサー装置のネットワーク環境の健全性を測る指標となる指標情報を取得する取得手段と、
     取得された前記指標情報と、基準となるネットワーク環境の指標情報である基準指標情報との類似性を判断する判断手段と、
     前記類似性の判断結果に基づく出力を行う出力手段と、
     を備える通信環境分析装置。
  13.  前記指標情報は、宛先ポート番号の情報および発信元IP(Internet Protocol)アドレスの情報の少なくとも一方を含む、
     請求項12に記載の通信環境分析装置。
  14.  前記判断手段は、
      宛先ポート番号および発信元IPアドレスの少なくともいずれか一方について、前記指標情報および前記基準指標情報の双方に共通する情報の数を特定し、
      前記基準指標情報に含まれる全ての情報数に対して前記特定した数の占める割合を、前記類似性を示す情報として算出する、
     請求項13に記載の通信環境分析装置。
  15.  コンピュータが、
     ネットワーク上のセンサー装置で観測された通信に基づく、当該センサー装置のネットワーク環境の健全性を測る指標となる指標情報を取得し、
     取得された前記指標情報と、基準となるネットワーク環境の指標情報である基準指標情報との類似性を判断し、
     前記類似性の判断結果に基づく出力を行う、
     ことを含む通信環境分析方法。
  16.  前記コンピュータが、宛先ポート番号の情報および発信元IP(Internet Protocol)アドレスの情報の少なくとも一方を含む、
     請求項15に記載の通信環境分析方法。
  17.  前記コンピュータが、
      宛先ポート番号および発信元IPアドレスの少なくともいずれか一方について、前記指標情報および前記基準指標情報の双方に共通する情報の数を特定し、
      前記基準指標情報に含まれる全ての情報数に対して前記特定した数の占める割合を、前記類似性を示す情報として算出する、
     ことを含む請求項16に記載の通信環境分析方法。
  18.  コンピュータに、請求項15から17のいずれか1項に記載の通信環境分析方法を実行させるプログラム。 
PCT/JP2019/022295 2018-06-22 2019-06-05 通信分析装置、通信分析方法、通信環境分析装置、通信環境分析方法、およびプログラム WO2019244629A1 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
US17/254,491 US20210126933A1 (en) 2018-06-22 2019-06-05 Communication analysis apparatus, communication analysis method, communication environment analysis apparatus, communication environment analysis method, and program
JP2020525479A JP7070678B2 (ja) 2018-06-22 2019-06-05 通信分析装置、通信分析方法、通信環境分析装置、通信環境分析方法、およびプログラム
DE112019003139.2T DE112019003139T5 (de) 2018-06-22 2019-06-05 Kommunikationsanalysevorrichtung, kommunikationsanalyseverfahren, kommunikationsumgebungsvorrichtung, kommunikationsumgebungsanalyseverfahren und programm

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2018-118955 2018-06-22
JP2018118955 2018-06-22

Publications (1)

Publication Number Publication Date
WO2019244629A1 true WO2019244629A1 (ja) 2019-12-26

Family

ID=68984032

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2019/022295 WO2019244629A1 (ja) 2018-06-22 2019-06-05 通信分析装置、通信分析方法、通信環境分析装置、通信環境分析方法、およびプログラム

Country Status (5)

Country Link
US (1) US20210126933A1 (ja)
JP (1) JP7070678B2 (ja)
DE (1) DE112019003139T5 (ja)
TW (1) TW202001653A (ja)
WO (1) WO2019244629A1 (ja)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005236862A (ja) * 2004-02-23 2005-09-02 Kddi Corp ログ分析装置、ログ分析プログラムおよび記録媒体

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8578480B2 (en) * 2002-03-08 2013-11-05 Mcafee, Inc. Systems and methods for identifying potentially malicious messages
ATE374493T1 (de) * 2002-03-29 2007-10-15 Global Dataguard Inc Adaptive verhaltensbezogene eindringdetektion
US9235704B2 (en) * 2008-10-21 2016-01-12 Lookout, Inc. System and method for a scanning API
US20120137367A1 (en) * 2009-11-06 2012-05-31 Cataphora, Inc. Continuous anomaly detection based on behavior modeling and heterogeneous information analysis
WO2013015835A1 (en) * 2011-07-22 2013-01-31 Seven Networks, Inc. Mobile application traffic optimization
US20120135751A1 (en) * 2010-11-30 2012-05-31 Google Inc. Use of location tagging in data communications
US8418249B1 (en) * 2011-11-10 2013-04-09 Narus, Inc. Class discovery for automated discovery, attribution, analysis, and risk assessment of security threats
US9747440B2 (en) * 2012-08-15 2017-08-29 Qualcomm Incorporated On-line behavioral analysis engine in mobile device with multiple analyzer model providers
US9491187B2 (en) * 2013-02-15 2016-11-08 Qualcomm Incorporated APIs for obtaining device-specific behavior classifier models from the cloud
US9509707B2 (en) * 2014-06-24 2016-11-29 Qualcomm Incorporated Methods and systems for thwarting side channel attacks
US10320813B1 (en) * 2015-04-30 2019-06-11 Amazon Technologies, Inc. Threat detection and mitigation in a virtualized computing environment
US9578049B2 (en) * 2015-05-07 2017-02-21 Qualcomm Incorporated Methods and systems for using causal analysis for boosted decision stumps to identify and respond to non-benign behaviors
US9729571B1 (en) * 2015-07-31 2017-08-08 Amdocs Software Systems Limited System, method, and computer program for detecting and measuring changes in network behavior of communication networks utilizing real-time clustering algorithms
US10673870B2 (en) * 2017-01-27 2020-06-02 Splunk Inc. Security monitoring of network connections using metrics data
EP3407235A1 (en) * 2017-05-22 2018-11-28 Leap in Value S.L. A computer-implemented method, a system and a computer program for identifying malicious uri data items
US10812509B2 (en) * 2017-10-30 2020-10-20 Micro Focus Llc Detecting anomolous network activity based on scheduled dark network addresses
WO2019135830A1 (en) * 2018-01-08 2019-07-11 All Purpose Networks, Inc. Internet of things system with efficient and secure communications network

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005236862A (ja) * 2004-02-23 2005-09-02 Kddi Corp ログ分析装置、ログ分析プログラムおよび記録媒体

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
OKINO, KOJI ET AL.: "Temporal change in the attack on 80/TCP port", COMPUTER SECURITY SYMPOSIUM 2015, 21 October 2015 (2015-10-21), pages 807 - 814, XP055665090 *
SAMEJIMA, AYAKA ET AL.: "Proposal of a method for analyzing communications presumed to be cyber attacks using long-term observation data", PROCEEDINGS OF THE 2018 SYMPOSIUM ON CRYPTOGRAPHY AND INFORMATION SECURITY (SCIS 2018), 23 January 2018 (2018-01-23) *

Also Published As

Publication number Publication date
JP7070678B2 (ja) 2022-05-18
JPWO2019244629A1 (ja) 2021-06-24
US20210126933A1 (en) 2021-04-29
DE112019003139T5 (de) 2021-03-11
TW202001653A (zh) 2020-01-01

Similar Documents

Publication Publication Date Title
JP6001689B2 (ja) ログ分析装置、情報処理方法及びプログラム
US10257224B2 (en) Method and apparatus for providing forensic visibility into systems and networks
US10454792B2 (en) Apparatus and method for utilizing fourier transforms to characterize network traffic
EP2961111B1 (en) Network monitoring device, network monitoring method, and network monitoring program
US7752307B2 (en) Technique of analyzing an information system state
CN106878314B (zh) 基于可信度的网络恶意行为检测方法
CN109194608B (zh) 一种基于流的DDoS攻击与闪拥事件检测方法
JP6174520B2 (ja) 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム
JP2008176753A (ja) データ類似性検査方法及び装置
EP2854362A1 (en) Software network behavior analysis and identification system
US20220263846A1 (en) METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF
JP2018026747A (ja) 攻撃検知装置、攻撃検知システムおよび攻撃検知方法
US20220311793A1 (en) Worm Detection Method and Network Device
WO2019043804A1 (ja) ログ分析装置、ログ分析方法及びコンピュータ読み取り可能記録媒体
WO2020027250A1 (ja) 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム
EP3826242B1 (en) Cyber attack information analyzing program, cyber attack information analyzing method, and information processing device
US11895146B2 (en) Infection-spreading attack detection system and method, and program
WO2019244629A1 (ja) 通信分析装置、通信分析方法、通信環境分析装置、通信環境分析方法、およびプログラム
US9794274B2 (en) Information processing apparatus, information processing method, and computer readable medium
JP2009089224A (ja) 異常検知装置、プログラム、および記録媒体
US20150222648A1 (en) Apparatus for analyzing the attack feature dna and method thereof
JP5926413B1 (ja) 情報処理装置、情報処理方法及びプログラム
US9049170B2 (en) Building filter through utilization of automated generation of regular expression
EP3964988B1 (en) Sensing device, sensing method, and sensing program
JP7396368B2 (ja) 方法、システム及び変換装置

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 19822972

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2020525479

Country of ref document: JP

Kind code of ref document: A

122 Ep: pct application non-entry in european phase

Ref document number: 19822972

Country of ref document: EP

Kind code of ref document: A1