WO2022024321A1

WO2022024321A1 - 通信処理装置、通信処理システム、通信処理方法、及びプログラム

Info

Publication number: WO2022024321A1
Application number: PCT/JP2020/029323
Authority: WO
Inventors: 佑樹芦野
Original assignee: 日本電気株式会社
Priority date: 2020-07-30
Filing date: 2020-07-30
Publication date: 2022-02-03
Also published as: JP7444260B2; US20230224315A1; JPWO2022024321A1

Abstract

通信解析に用いるべき通信データを適切に蓄積させる。　通信解析に用いるべき通信データを蓄積させる通信処理装置２００が、通信データに係る通信特性に基づいて、蓄積すべき通信データの少なくとも一部を削除するデータ処理部２３５を備える。

Description

通信処理装置、通信処理システム、通信処理方法、及びプログラム

　本発明は、通信処理装置、通信処理システム、通信処理方法、及びプログラムに関する。

　多数のコンピュータネットワークを相互に接続したグローバルなネットワークであるインターネット（the Internet）を介したデータ通信が活用されている。以上のようなデータ通信においては、ネットワーク上を流れる通信データ（トラヒック）に基づいて、セキュリティ解析等の種々の処理が実行される。

　例えば、特許文献１は、通信ネットワークを流れるトラヒックを監視してトラヒック情報を収集するトラヒック監視技術を開示する。特許文献１の技術では、トラヒック監視において、所定の条件に応じて通信プロトコルが変換される（例えば、ＧＲＥ（Generic Routing Encapsulation）トンネルのカプセル化が解除される）。

　また、特許文献２は、パケットをネットワークからコンピュータシステムに伝送する伝送技術を開示する。特許文献２の技術では、パケットのヘッダ部分に対して構文解析が実行され、構文解析の結果がパケットデータのリアセンブリングに用いられる。

特開２００６－０５０４３３号公報特表２００２－５３８７３３号公報

　セキュリティ解析等の通信解析において、必ずしも全ての通信データを通信解析に用いることができる訳ではない。例えば、通信データのうち暗号化されている箇所は、解読して通信解析に用いることが困難である。以上のような通信解析に不適合な箇所を含む通信データの全てを通信解析のために蓄積する構成では、蓄積先へのトラヒックが増大する上、蓄積用のストレージが大量に消費されてしまう。従量課金制のサービスが使用される場合、以上のシステム負荷がコストの増大にも繋がる。

　前述した特許文献１及び特許文献２に開示される技術は、以上の課題を解決するものではない。

　以上の事情に鑑み、本発明の目的は、通信解析に用いるべき通信データを適切に蓄積させることが可能な通信処理装置、通信処理システム、通信処理方法、及びプログラムを提供することにある。

　本発明の一態様に係る通信処理装置は、通信解析に用いるべき通信データを蓄積させる通信処理装置であって、前記通信データに係る通信特性に基づいて、蓄積すべき前記通信データの少なくとも一部を削除するデータ処理部を備える。

　本発明の一態様に係る通信処理システムは、通信解析に用いるべき通信データを蓄積する通信処理システムであって、前記通信データに係る通信特性に基づいて、蓄積すべき前記通信データの少なくとも一部を削除するデータ処理部が設けられた通信処理装置を備える。

　本発明の一態様に係る通信処理方法は、通信解析に用いるべき通信データを蓄積させる通信処理方法であって、前記通信データに係る通信特性に基づいて、蓄積すべき前記通信データの少なくとも一部を削除することを備える。

　本発明の一態様に係るプログラムは、コンピュータに、通信解析に用いるべき通信データを蓄積させることと、前記通信データに係る通信特性に基づいて、蓄積すべき前記通信データの少なくとも一部を削除することと、を実行させる。

　本発明によれば、通信解析に用いるべき通信データを適切に蓄積させることができる。なお、本発明により、当該効果の代わりに、又は当該効果とともに、他の効果が奏されてもよい。

本発明の第１実施形態に係る通信処理システムＳの概略的な構成を例示する説明図である。本発明の第１実施形態に係る通信解析サーバ１００の概略的な構成を示すブロック図である。本発明の第１実施形態に係る通信処理装置２００の概略的な構成を示すブロック図である。本発明の第１実施形態に係るウェブサーバ４００の概略的な構成を示すブロック図である。本発明の第１実施形態におけるデータ処理の流れを例示するフローチャートである。本発明の第１実施形態において蓄積される通信データ（ＰＣＡＰデータ）の構造を説明する説明図である。本発明の第１実施形態において通信観測部２３１が取得する通信データの例である。本発明の第１実施形態におけるパーサＤＢ２２１の構成を例示する説明図である。本発明の第１実施形態におけるポリシーＤＢ２２５の構成を例示する説明図である。本発明の第１実施形態によるデータ処理によって蓄積された通信データ（ＰＣＡＰデータ）を例示する説明図である。本発明の第１実施形態の変形例に係る通信処理装置２００の概略的な構成を示すブロック図である。本発明の第１実施形態の変形例における通信状態ＤＢ２２３の構成を例示する説明図である。本発明の第１実施形態の変形例におけるポリシーＤＢ２２５の構成を例示する説明図である。本発明の第２実施形態に係る通信処理システムＳａの概略的な構成を例示する説明図である。本発明の第２実施形態に係る通信処理装置２００ａの概略的な構成を示すブロック図である。

　以下、添付の図面を参照して本発明の実施形態を詳細に説明する。なお、本明細書及び図面において、同様に説明されることが可能な要素については、同一の又は対応する符号を付することにより重複した説明が省略され得る。

　以下に説明される各実施形態は、本発明を実現可能な構成の一例に過ぎない。以下の各実施形態は、本発明が適用される装置の構成や各種の条件に応じて適宜に修正又は変更することが可能である。以下の各実施形態に含まれる要素の組合せの全てが本発明を実現するに必須であるとは限られず、要素の一部を適宜に省略することが可能である。したがって、本発明の範囲は、以下の各実施形態に記載される構成によって限定されるものではない。相互に矛盾のない限りにおいて、実施形態内に記載された複数の構成を組み合わせた構成も採用可能である。

　本発明に係る説明は、以下の順序で行われる。
　１．　本発明の実施形態の概要
　２．　第１実施形態
　　２．１．　通信処理システムＳの構成
　　２．２．　通信解析サーバ１００の構成
　　２．３．　通信処理装置２００の構成
　　２．４．　ウェブサーバ４００の構成
　　２．５．　動作例
　　２．６．　変形例
　３．　第２実施形態
　　３．１．　通信処理システムＳａの構成
　　３．２．　通信処理装置２００ａの構成
　　３．３．　動作例
　４．　他の実施形態

＜＜１．　本発明の実施形態の概要＞＞
　まず、本発明の実施形態の概要を説明する。

（１）技術的課題
　多数のコンピュータネットワークを相互に接続したグローバルなネットワークであるインターネット（the Internet）を介したデータ通信が活用されている。以上のようなデータ通信においては、ネットワーク上を流れる通信データ（トラヒック）に基づいて、セキュリティ解析等の種々の処理が実行される。

　セキュリティ解析等の通信解析においては、必ずしも全ての通信データを通信解析に用いることができる訳ではない。例えば、通信データのうち暗号化されている箇所は、解読して通信解析に用いることが困難である。以上のような箇所を通信解析のために全て蓄積しておく構成では、蓄積先へのトラヒックが増大する上、蓄積用のストレージが大量に消費されてしまう。

　以上の事情に鑑み、本実施形態では、通信解析に用いるべき通信データを適切に蓄積させることを目的とする。

（２）技術的特徴
　本発明の実施形態では、通信解析に用いるべき通信データを蓄積させる通信処理装置が、上記通信データに係る通信特性に基づいて、蓄積すべき上記通信データの少なくとも一部を削除する。

　以上の構成によれば、通信解析に用いるべき通信データを適切に蓄積させることができる。なお、本発明により、当該効果の代わりに、又は当該効果とともに、他の効果が奏されてもよい。なお、上述した技術的特徴は本発明の実施形態の具体的な一例であり、当然ながら、本発明の実施形態は上述した技術的特徴に限定されない。

＜＜２．　第１実施形態＞＞
＜＜２．１．　通信処理システムＳの構成＞＞
　次いで、図１から図１０を参照して、本発明の第１実施形態を説明する。図１は、本発明の第１実施形態に係る通信処理システムＳの概略的な構成を例示する説明図である。図１に示すように、本実施形態の通信処理システムＳは、通信解析サーバ１００及び１つ以上の通信処理装置２００を有する。通信解析サーバ１００及び通信処理装置２００は、ネットワークＮＷを介して互いに通信できる。

　通信処理装置２００は、通信解析サーバ１００による制御の下、ネットワーク３００を介してウェブサーバ４００にアクセスできる。ウェブサーバ４００は、通信処理装置２００等の通信ノードからのアクセスに対して所定の応答を返送する。なお、ウェブサーバ４００は、コンテンツ配信ネットワーク（ＣＤＮ）であってもよい。

　概略的には、本実施形態の通信処理システムＳにおいて、通信処理装置２００とウェブサーバ４００との通信が通信解析サーバ１００に蓄積される。通信処理装置２００は、通信解析サーバ１００からの直接的及び／又は間接的な制御に基づいてウェブサーバ４００にアクセスし、送受信される通信データ（パケット）を通信解析サーバ１００に転送して蓄積させる。

　通信処理装置２００は、通信解析サーバ１００から供給される通信データをウェブサーバ４００に転送してもよいし、自らウェブサーバ４００にアクセスしてもよい。少なくとも１つの通信処理装置２００と通信解析サーバ１００とが一体的に構成されてもよい。

　本実施形態の通信処理システムＳは、所定のインターネット・プロトコル・スイート（例えば、Transmission Control Protocol / Internet Protocol, ＴＣＰ／ＩＰ）に従って通信する複数のノードを有するシステムである。なお、通信処理システムＳは、他の規格に準拠したシステムであってもよい。

＜＜２．２．　通信解析サーバ１００の構成＞＞
　本実施形態に係る通信解析サーバ１００は、通信処理装置２００とウェブサーバ４００との通信による通信データを蓄積し解析する。通信解析サーバ１００は、通信処理装置２００を制御してウェブサーバ４００にアクセスさせることができ、通信処理装置２００を介してウェブサーバ４００と通信データを送受信してもよい。

　図２は、通信解析サーバ１００の概略的な構成を示すブロック図である。図２に示すように、通信解析サーバ１００は、ネットワーク通信部１１０と記憶部１２０と制御部１３０とを有する。

　ネットワーク通信部１１０は、ネットワーク３００を介して通信処理装置２００等の他の装置と信号を送受信する要素である。ネットワーク通信部１１０は、例えば、ネットワークアダプタ及び／又はネットワークインターフェースカード（Network Interface Card, ＮＩＣ）によって実装され得る。

　記憶部１２０は、通信解析サーバ１００における種々の処理を実行するのに用いられるプログラム（命令）及びデータを一時的又は恒久的に格納する要素である。上記プログラムは、通信解析サーバ１００の動作のための１つ以上の命令を含む。記憶部１２０は、例えば、揮発性メモリ、不揮発性メモリ、若しくは磁気ディスク等の記憶媒体又はこれらの２種以上の組合せによって実装され得る。また、記憶部１２０が制御部１３０を構成する１以上のプロセッサと一体的に構成されてもよい。

　更に、記憶部１２０は、１つ以上の通信処理装置２００から送信された（転送された）通信データを蓄積する。蓄積される通信データの特徴については後述される。なお、通信処理装置２００からの通信データを蓄積する蓄積サーバが、通信解析サーバ１００と別個に設けられてもよい。

　制御部１３０は、通信解析サーバ１００の種々の機能を提供する要素であって、端末制御部１３１、通信データ取得部１３３、及び解析処理部１３５を機能ブロックとして有する。なお、制御部１３０は、以上の機能ブロック以外の構成要素を更に含んでよい。すなわち、制御部１３０は、以上の機能ブロックによる動作以外の動作を実行できる。例えば、制御部１３０は、データベースマネジメントシステム（ＤＢＭＳ）として機能し、記憶部１２０と共に動作して関係データベース（Relational Database, ＲＤＢ）を実現してよい。

　制御部１３０は、例えば、１以上のプロセッサによって実装され得る。制御部１３０は、記憶部１２０に記憶されたプログラムを記憶部１２０及び／又は不図示のシステムメモリに展開し実行することによって、後述される本実施形態の処理を実現してよい。なお、各機能ブロック（端末制御部１３１、通信データ取得部１３３、及び解析処理部１３５）が、制御部１３０とは別の１以上のプロセッサによって実現されてもよい。制御部１３０による処理の概略を以下に説明する。

　端末制御部１３１は、通信処理装置２００の制御（例えば、ウェブサーバ４００へのアクセス制御）を実行する。通信データ取得部１３３は、１つ以上の通信処理装置２００から通信データを取得して、記憶部１２０に蓄積する。解析処理部１３５は、記憶部１２０に蓄積された通信データに基づいて通信解析（例えば、セキュリティ解析）を実行する。

　なお、通信解析サーバ１００は、仮想化されていてもよい。すなわち、通信解析サーバ１００は、仮想マシンとして実装されてもよい。この場合に、通信解析サーバ１００（仮想マシン）は、プロセッサ及びメモリ等を含む物理マシン（ハードウェア）及びハイパーバイザ上で仮想マシンとして動作してもよい。

＜＜２．３．　通信処理装置２００の構成＞＞
　本実施形態に係る通信処理装置２００の各々は、通信解析サーバ１００からの直接的及び／又は間接的な制御に基づいてウェブサーバ４００にアクセスする通信端末であって、自機を通して送受信される通信データ（パケット）を通信解析サーバ１００に転送して蓄積させる。通信処理システムＳが有する１つ以上の通信処理装置２００は互いに同様に構成され得るので、以下、１つの通信処理装置２００を代表として説明する。

　図３は、通信処理装置２００の概略的な構成を示すブロック図である。図３に示すように、通信処理装置２００は、ネットワーク通信部２１０と記憶部２２０と制御部２３０とを有する。

　ネットワーク通信部２１０は、ネットワーク３００を介して他の装置（例えば、通信解析サーバ１００及びウェブサーバ４００）と信号を送受信する要素である。ネットワーク通信部２１０は、例えば、ネットワークアダプタ及び／又はネットワークインターフェースカードによって実装され得る。

　記憶部２２０は、通信処理装置２００における種々の処理を実行するのに用いられるプログラム（命令）及びデータを一時的又は恒久的に格納する要素である。上記プログラムは、通信処理装置２００の動作のための１つ以上の命令を含む。記憶部２２０は、例えば、揮発性メモリ、不揮発性メモリ、若しくは磁気ディスク等の記憶媒体又はこれらの２種以上の組合せによって実装され得る。また、記憶部２２０が制御部２３０を構成する１以上のプロセッサと一体的に構成されてもよい。

　加えて、記憶部２２０は、通信分析に用いられるパーサデータベース（パーサＤＢ）２２１及びデータ加工に用いられるポリシーデータベース（ポリシーＤＢ）２２５を含む。各データベースの詳細については後述される。

　制御部２３０は、通信処理装置２００の種々の機能を提供する要素であって、通信観測部２３１、通信分析部２３３、及びデータ処理部２３５を機能ブロックとして有する。なお、制御部２３０は、以上の機能ブロック以外の構成要素を更に含んでよい。すなわち、制御部２３０は、以上の機能ブロックによる動作以外の動作を実行できる。

　制御部２３０は、例えば、１以上のプロセッサによって実装され得る。制御部２３０は、記憶部２２０に記憶されたプログラムを記憶部２２０及び／又は不図示のシステムメモリに展開し実行することによって、後述される本実施形態の処理を実現してよい。なお、各機能ブロック（通信観測部２３１、通信分析部２３３、及びデータ処理部２３５）が、制御部２３０とは別の１以上のプロセッサによって実現されてもよい。制御部２３０による処理の概略を以下に説明する。

　通信観測部２３１は、通信処理装置２００（ネットワーク通信部２１０）を介して送受信される通信データを観測して取得し、通信分析部２３３に供給する。通信分析部２３３は、通信観測部２３１から供給された通信データをパーサＤＢ２２１を参照しつつ分析し、通信データに係る通信特性を示す分析結果をデータ処理部２３５に出力する。データ処理部２３５は、通信分析部２３３から供給された分析結果（通信特性）に基づいて、通信観測部２３１が取得した通信データをポリシーＤＢ２２５を参照しつつ処理する。処理された通信データは、ネットワーク通信部２１０を介して通信解析サーバ１００に送信される（転送される）。

　なお、通信観測部２３１は、通信処理装置２００を通して送受信される通信データではなく、他の装置を通して送受信される通信データを捕捉して取得し、通信分析部２３３に供給してもよい。

　通信処理装置２００は、プロキシサーバとして構成され得る。すなわち、通信解析サーバ１００等の他の装置からの通信を中継する際、通信処理装置２００がアクセスしている（通信処理装置２００のＩＰアドレスからのアクセスである）ように挙動することができる。

　なお、通信処理装置２００は、仮想化されていてもよい。すなわち、通信処理装置２００は、仮想マシンとして実装されてもよい。この場合に、通信処理装置２００（仮想マシン）は、プロセッサ及びメモリ等を含む物理マシン（ハードウェア）及びハイパーバイザ上で仮想マシンとして動作してもよい。

＜＜２．４．　ウェブサーバ４００の構成＞＞
　本実施形態に係るウェブサーバ４００は、通信処理装置２００からのアクセスに応答して通信データ（パケット）を送信する（返送する）。ウェブサーバ４００は、単体のサーバ装置であってもよいし、複数の配信サーバと配信サーバを制御する制御サーバとが設けられたコンテンツ配信ネットワークであってもよい。

　図４は、ウェブサーバ４００の概略的な構成を示すブロック図である。図４に示すように、ウェブサーバ４００は、ネットワーク通信部４１０と記憶部４２０と制御部４３０とを有する。

　ネットワーク通信部４１０は、ネットワーク３００を介して通信処理装置２００等の他の装置と信号を送受信する要素である。ネットワーク通信部２１０は、例えば、ネットワークアダプタ及び／又はネットワークインターフェースカードによって実装され得る。

　記憶部４２０は、ウェブサーバ４００における種々の処理を実行するのに用いられるプログラム（命令）及びデータを一時的又は恒久的に格納する要素である。上記プログラムは、ウェブサーバ４００の動作のための１つ以上の命令を含む。また、記憶部４２０は、通信処理装置２００に送信すべき通信データの生成に用いられるデータ（コンテンツデータ）を格納する。記憶部４２０は、例えば、揮発性メモリ、不揮発性メモリ、若しくは磁気ディスク等の記憶媒体又はこれらの２種以上の組合せによって実装され得る。また、記憶部４２０が制御部４３０を構成する１以上のプロセッサと一体的に構成されてもよい。

　制御部４３０は、ウェブサーバ４００の種々の機能を提供する要素であって、通信処理装置２００からのリクエストに応じて通信データを送信する通信処理部４３１を機能ブロックとして有する。なお、制御部４３０は、以上の機能ブロック以外の構成要素を更に含んでよい。すなわち、制御部４３０は、以上の機能ブロックによる動作以外の動作を実行できる。制御部４３０は、例えば、１以上のプロセッサによって実装され得る。制御部４３０は、記憶部４２０に記憶されたプログラムを記憶部４２０及び／又は不図示のシステムメモリに展開し実行することによって、後述される本実施形態の処理を実現してよい。なお、各機能ブロック（通信処理部４３１）が、制御部４３０とは別の１以上のプロセッサによって実現されてもよい。
＜＜２．５．　動作例＞＞
　図５から図１０を参照して、本発明の第１実施形態におけるデータ処理の例を説明する。図５は、本実施形態におけるデータ処理の流れを例示するフローチャートである。

　ステップＳ５０１において、通信処理装置２００の通信観測部２３１は、ウェブサーバ４００と送受信される通信データを観測し（すなわち、取得し）、通信分析部２３３に供給する。通信観測部２３１は、例えば、後述されるフレームを単位として通信データを通信分析部２３３に供給してよい。

　図６は、本実施形態において蓄積される通信データ（ＰＣＡＰデータ）の構造を説明する説明図である。本実施形態においては、ネットワーク上で送受信されるデータ単位（フレーム等）をペイロード（ＰＣＡＰペイロード）として含み、以上のペイロードにヘッダ（ＰＣＡＰヘッダ）が付与されたＰＣＡＰデータ（Packet CAPture Data）の形式で通信データが蓄積される。

　ＰＣＡＰデータは、例えば、単一の電子ファイルに連続的に記録される。ＰＣＡＰヘッダには、他のＰＣＡＰデータを参照するためのデータ（ポインタ等）は含まれない。ＰＣＡＰデータが、セキュリティ解析等の通信解析に用いられる。

　図６に示すように、ＰＣＡＰデータは複数のＰＣＡＰヘッダとＰＣＡＰペイロードとの対を含む。１つのＰＣＡＰペイロードは、１つの単位通信データ（例えば、ＭＡＣ（Media Access Control）レイヤのフレーム）に対応している。ＭＡＣレイヤのペイロードはＩＰレイヤのデータ単位であるパケット（ＩＰヘッダ＋ＩＰペイロード）を含む。ＩＰレイヤのペイロードはＴＣＰレイヤのデータ単位であるセグメント（ＴＣＰヘッダ＋ＴＣＰペイロード）を含む。なお、フレームは「イーサネット（登録商標）パケット」と呼称されてよく、パケットは「ＩＰパケット」と呼称されてよく、セグメントは「ＴＣＰパケット」と呼称されてよい。

　ステップＳ５０２において、通信処理装置２００の通信分析部２３３は、通信観測部２３１から供給された通信データをパーサＤＢ２２１を参照しつつ分析し、通信データに係る通信特性を示す分析結果をデータ処理部２３５に出力する。ステップＳ５０３において、通信処理装置２００のデータ処理部２３５は、通信分析部２３３から供給された分析結果（通信特性）に基づいて、通信観測部２３１が取得した通信データをポリシーＤＢ２２５を参照しつつ処理する。図７から図９を参照して、より詳細に説明する。

　図７は、本実施形態において通信観測部２３１が取得する通信データの例である。各行は、１つの単位通信データ（例えば、フレーム）に対応する。各列は、単位通信データに含まれる要素を項目別に示す。単位通信データには項番が割り振られる。図７に示すように、各単位通信データは、送信時刻、送信元ＩＰアドレス、宛先ＩＰアドレス、送信元ポート番号、宛先ポート番号、プロトコル、フラグ、及びデータを要素として有する。

　図８は、本実施形態におけるパーサＤＢ２２１の構成を例示する説明図である。パーサＤＢ２２１は、通信データ（単位通信データ）のパラメータと通信特性との対応関係を格納するデータベースである。例えば、図８の項番１に示すように、単位通信データの「送信元ポート番号」が「２２」又は「宛先ポート番号」が「２２」である場合、その単位通信データに係る通信特性（プロトコル名）は「ＳＳＨ（Secure SHell）」である。他の項番も同様に、ポート番号と通信特性（プロトコル名）との対応を示している。

　通信分析部２３３は、ステップＳ５０２においてパーサＤＢ２２１を参照して単位通信データの通信特性を特定し、特定された通信特性を示す分析結果をデータ処理部２３５に出力する。

　図９は、本実施形態におけるポリシーＤＢ２２５の構成を例示する説明図である。ポリシーＤＢ２２５は、通信データに係る通信特性（分析結果）と、その通信データに対する処理との対応関係を格納するデータベースである。例えば、図９の項番１に示すように、単位通信データの通信特性が「Ｔｅｌｎｅｔ」である場合、その単位通信データはすべて蓄積される。また、図９の項番２に示すように、単位通信データの通信特性が「ＳＳＨ」である場合、暗号化された部分（すなわち、通信解析に用いない部分）に相当するペイロードが削除された上で蓄積される。

　データ処理部２３５は、ステップＳ５０３においてポリシーＤＢを参照して、通信分析部２３３から供給された分析結果が示す通信特性に対応する処理を単位通信データに対して実行する。

　上記したステップＳ５０１～Ｓ５０３の処理は、例えば、通信処理装置２００を介した通信が実行される度に（すなわち、通信観測部２３１が通信データを取得する度に）実行されてよい。

　通信データが蓄積される場所は任意である。例えば、通信処理装置２００の記憶部２２０に一時的に通信データが蓄積された後に、所定時間おき（例えば、１週間おき）に通信データが通信処理装置２００から通信解析サーバ１００に転送され、記憶部１２０に蓄積されてよい。また、通信処理装置２００に通信データを蓄積せず、上記したステップＳ５０１～Ｓ５０３の処理が実行される度に通信処理装置２００から通信解析サーバ１００に通信データが転送されてもよい。

　図１０は、本実施形態による以上のデータ処理によって蓄積された通信データ（ＰＣＡＰデータ）を例示する説明図である。図１０は、１つのＰＣＡＰヘッダとＰＣＡＰペイロードの対を示し、特に、暗号化された部分（すなわち、通信解析に用いない部分）が削除された通信データの特徴を示している。

　まず、ＰＣＡＰペイロードに関して説明する。前述したように、データ処理部２３５は、ステップＳ５０３において、蓄積すべき通信データの暗号化された部分をポリシーＤＢ２２５に従って削除することがある。図１０の例では、単位通信データ（フレーム）のうち暗号化されたＴＣＰペイロードに相当する部分（図１０の非蓄積部分）が、データ処理部２３５によって削除される。単位通信データがＳＳＨによって暗号化されている場合、フレームの一部であるＴＣＰペイロード全体が暗号化される。削除された部分を除くフレーム（イーサネットヘッダ＋イーサネットペイロード）が、ＰＣＡＰペイロードに含まれる。

　次いで、ＰＣＡＰヘッダに関して説明する。ＰＣＡＰヘッダは、時刻データと処理前ペイロードサイズ（処理前サイズ情報）と処理後ペイロードサイズ（処理後サイズ情報）とを含む。時刻データは、ＰＣＡＰヘッダと対になるＰＣＡＰペイロードに対応するフレームが取得された時刻を示す。

　処理前ペイロードサイズは、ステップＳ５０３にて処理される前（削除前）の単位通信データのサイズを示す値である。他方、処理後ペイロードサイズは、ステップＳ５０３にて処理された後の単位通信データのサイズ（実際に蓄積されるＰＣＡＰペイロードのサイズ）を示す値である。

　ＰＣＡＰデータが処理前ペイロードサイズをＰＣＡＰヘッダに含むことによって、単位通信データのうち暗号化された部分を削除しても通信の特徴がＰＣＡＰデータ内に保持される。

　上記した本実施形態の構成によれば、通信解析に用いるべき通信データ（ＰＣＡＰデータ）を適切に通信解析サーバ１００に蓄積させることができる。より具体的には、削除等の処理がなされた通信データに処理前のサイズ情報が付与されているので、通信データの特徴に関する情報を維持しつつ通信データの容量を適切に削減することが可能である。

　例えば、ＴＣＰペイロードが暗号化されるＳＳＬ／ＴＬＳ（Secure Socket Layer / Transport Layer Security）を用いた通信を考える。理論上、１００ＭＢ（約７２，０００パケット）のＳＳＬ／ＴＬＳ通信において全ての通信データを蓄積する場合、暗号化された１００ＭＢのＴＣＰペイロードと、５ＭＢのヘッダ（ＰＣＡＰヘッダ、イーサネットヘッダ、ＩＰヘッダ）と合計した１０５ＭＢのＰＣＡＰファイルが蓄積される。他方、上記した本実施形態の構成を採用すると、暗号化された１００ＭＢのＴＣＰペイロードは蓄積されずヘッダのみが残るので、合計５ＭＢのＰＣＡＰファイルが蓄積される。なお、平文で構成される通信データは削除されずに蓄積されてよい。
＜＜２．６．　変形例＞＞
　上記した本実施形態は多様に変形される。具体的な変形の態様を以下に例示する。以上の実施形態及び以下の例示から任意に選択された２以上の態様は、相互に矛盾しない限り適宜に併合され得る。

　上記した構成では、パーサＤＢ２２１及びポリシーＤＢ２２５を参照して通信データの削除等の処理が実行される。他方、静的な情報のみに基づいて通信データを処理することが適切でないケースも想定され得る。例えば、暗号化手順での鍵交換シーケンスにおいては、公開鍵証明書等の暗号化されていないが暗号化に関連する平文データが送受信される。以上の平文データは、接続先サーバの種別や、接続元のユーザＩＤ等の暗号化関連情報を含むので、セキュリティ解析等の通信解析において重要である。

　しかしながら、静的な情報（例えば、ポート番号）のみに基づいて通信データを処理する構成では、以上のような暗号化関連情報を含む平文データが削除されてしまう可能性がある。したがって、以下の変形例では、パーサＤＢ２２１及びポリシーＤＢ２２５に加えて、通信状態データベース（通信状態ＤＢ）２２３も参照して通信データの削除等の処理が実行される。

　図１１は、本変形例に係る通信処理装置２００の概略的な構成を示すブロック図である。本変形例の記憶部２２０は、パーサＤＢ２２１及びポリシーＤＢ２２５に加えて、通信状態ＤＢ２２３を含む。他の要素に関しては、図３を参照して前述した第１実施形態の通信処理装置２００と同様に構成される。

　図１２は、本変形例における通信状態ＤＢ２２３の構成を例示する説明図である。通信状態ＤＢ２２３は、通信処理装置２００（通信観測部２３１）が観測する通信の状態を随時に格納する動的なデータベースである。例えば、図１２に示すように、通信状態ＤＢ２２３は、クライアントＩＰアドレス、サーバＩＰアドレス、及びプロトコルをキーとして、上りパケット数及び下りパケット数を記憶する。

　図１３は、本変形例におけるポリシーＤＢ２２５の構成を例示する説明図である。本変形例のポリシーＤＢ２２５は、通信データに係る通信特性（分析結果）と、その通信データに対する通信状態に応じた処理との対応関係を格納するデータベースである。本変形例の処理は、通信状態を参照する必要がある場合がある。

　本変形例のステップＳ５０２において、通信処理装置２００の通信分析部２３３は、通信データをパーサＤＢ２２１を参照して分析すると共に、通信データに基づいて通信状態を取得して通信状態ＤＢ２２３に書き込む。本変形例のステップＳ５０３において、通信処理装置２００のデータ処理部２３５は、通信分析部２３３から供給された通信特性と、通信状態ＤＢ２２３に格納されている通信状態とに基づいて、通信観測部２３１が取得した通信データをポリシーＤＢ２２５を参照しつつ処理する。

　例えば、パーサＤＢ２２１を参照して特定された通信特性が「ＳＳＬ／ＴＬＳ」（図８の項番４）である場合、データ処理部２３５は、本変形例のポリシーＤＢ２２５を参照して「ＳＳＬ／ＴＬＳ」の場合の処理を特定し、通信状態ＤＢ２２３に格納されている通信状態に基づいて、通信データを処理する。すなわち、データ処理部２３５は、上り通信に関しては鍵交換に必要な最初の３パケットまでペイロードを蓄積してその後の通信データを削除し、下り通信に関しては鍵交換に必要な最初の２パケットまでペイロードを蓄積してその後の通信データを削除する。

　以上の構成によれば、上記した実施形態と同様の技術的効果が奏される。加えて、通信状態ＤＢ２２３に基づく動的な通信データの蓄積制御が可能となる。

　以下、他の変形例について説明する。以下の変形例によっても、上記した実施形態と同様の技術的効果が奏される。

　上記した実施形態において、通信処理装置２００はウェブサーバ４００にアクセスしている。しかしながら、通信処理装置２００は任意の装置にアクセスすることができる。例えば、通信処理装置２００は、ソフトウェア電話に用いられるＳＩＰ（Session Initiation Protocol）サーバ、又は一般的な業務に使用される通常のＰＣ（パーソナルコンピュータ）にアクセスしてよい。

　本実施形態の通信解析サーバ１００は、複製された通信データを単に蓄積し解析する装置であってもよいし、以上の機能に加え、通信データを中継する中継装置としての機能を有してもよい。

　上記した実施形態における通信処理システムＳはインターネットに接続されている。しかしながら、通信処理システムＳは、インターネットに接続されていないネットワークであってよい。例えば、通信処理システムＳは、特定の工場内に構築された閉鎖的な工場ネットワークに接続していてよい。

　上記した実施形態の構成に対して、任意の暗号化方式を適用することが可能である。例えば、他のＰＣを遠隔的に操作するためのリモートデスクトップ機能は、ＳＳＬではない暗号化処理によって実現される。

　上記した実施形態において、データ処理部２３５は、通信データのうち暗号化されている部分を削除する。しかしながら、データ処理部２３５の動作は以上に限定されない。

　例えば、データ処理部２３５は、通信データのうちバイナリデータである部分を削除してよい。本構成によれば、暗号化されている可能性が高い部分（バイナリデータである部分）を、暗号化の判定をせずに削除することが可能となる。

　また、データ処理部２３５は、通信データのうち機密情報又は機微情報を含む部分を削除してよい。機密情報又は機微情報は、必ずしも暗号化されているとは限らないが、セキュリティ上秘匿されるべきである。本構成によれば、秘匿されるべき機密情報又は機微情報が削除されるので、セキュリティが向上する。

　他に、データ処理部２３５は、通信データが機密情報又は機微情報を含む場合、通信データの全体を蓄積しなくてもよい。本構成によれば、機密情報又は機微情報を含む通信自体が蓄積されないので、セキュリティがより向上する。

　上記した実施形態において、パーサＤＢ２２１には、ポート番号（送信元ポート番号又は宛先ポート番号）と通信特性との対応関係が格納されている。しかしながら、パーサＤＢ２２１は、他のパラメータと通信特性との対応関係を格納してもよい。例えば、パーサＤＢ２２１は、ＩＰアドレス（送信元ＩＰアドレス又は宛先ＩＰアドレス）と通信特性との対応関係を格納してよい。

　パーサＤＢ２２１がタグ付けの用途に用いられてもよい。例えば、送信元ＩＰアドレス及び宛先ＩＰアドレスがいずれもローカルＩＰアドレスである場合は、プロトコルではなく「社内通信」というタグが通信特性としてパーサＤＢ２２１において対応付けられてよい。この場合、ポリシーＤＢ２２５において、「社内通信はヘッダのみを蓄積する」と規定することができる。

　他に、パーサＤＢ２２１が、通信データのエントロピー（パラメータ）とエントロピーの高低を示すタグ（通信特性）との対応関係を格納していてもよい。

　同様に、ポリシーＤＢ２２５においても種々の処理を規定することが可能である。例えば、ある通信特性の通信データに対しては、「データ先頭からｘバイト分のデータを蓄積する」と規定してもよいし、「データ先頭からｙバイト以降のデータを蓄積する」と規定してもよい。

　他に、プロトコルが「ｚ」である場合は「イーサネットヘッダを蓄積する」と規定してもよいし、特定のタグが割当てられている場合は「ペイロードを記録しない」と規定してもよい。

　同様に、通信状態ＤＢ２２３においても種々の通信状態を格納することが可能である。例えば、通信状態ＤＢ２２３に、プロトコルを限定しない単位時間当たりのパケット量が随時に格納されてよい。この場合、ポリシーＤＢ２２５において、単位時間当たりのパケット量が所定の閾値を上回る場合、「ペイロードを削除してヘッダのみを蓄積する」と規定することができる。本構成によれば、全体的な通信量に応じた制御、いわゆる総量規制を実現することができる。

＜＜３．　第２実施形態＞＞
　次いで、図１４及び図１５を参照して、本発明の第２実施形態を説明する。上述した第１実施形態は具体的な実施形態であるが、第２実施形態はより一般化された実施形態である。

＜＜３．１．　通信処理システムＳａの構成＞＞
　図１４は、第２実施形態に係る通信処理システムＳａの概略的な構成を例示する説明図である。通信処理システムＳａは、通信解析に用いるべき通信データを蓄積する。図１４に示すように、通信処理システムＳａは通信処理装置２００ａを有する。

＜＜３．２．　通信処理装置２００ａの構成＞＞
　図１５は、第２実施形態に係る通信処理装置２００ａの概略的な構成を例示するブロック図である。図１５に示すように、通信処理装置２００ａはデータ処理部２３５ａを有する。

　データ処理部２３５ａは、１つ以上のプロセッサと、メモリ（例えば、不揮発性メモリ及び／若しくは揮発性メモリ）並びに／又はハードディスクとにより実装されてもよい。上記メモリは、上記１つ以上のプロセッサ内に含まれていてもよく、又は、上記１つ以上のプロセッサ外にあってもよい。

＜＜３．３．　動作例＞＞
　第２実施形態に係る動作例を説明する。通信処理装置２００ａ（データ処理部２３５ａ）は、通信データに係る通信特性に基づいて、蓄積すべき通信データの少なくとも一部を削除する。

　－第１実施形態との関係
　一例として、第２実施形態に係る通信処理装置２００ａが備えるデータ処理部２３５ａは、第１実施形態に係る通信処理装置２００が備えるデータ処理部２３５の動作を実行してもよい。以上の場合、第１実施形態についての説明が第２実施形態にも適用可能である。なお、第２実施形態は以上の例に限定されるものではない。

　上述した第２実施形態によれば、通信解析に用いるべき通信データを適切に蓄積させることができる。

＜＜４．　他の実施形態＞＞
　以上、本発明の実施形態を説明したが、本発明はこれらの実施形態に限定されるものではない。これらの実施形態は例示に過ぎないということ、及び、本発明のスコープ及び精神から逸脱することなく様々な変形が可能であるということは、当業者に理解されるであろう。

　例えば、本明細書に記載されている処理におけるステップは、必ずしもフローチャートに記載された順序に沿って時系列に実行されなくてよい。例えば、処理におけるステップは、上記した処理の結果が実現される限りにおいて、フローチャートとして記載した順序と異なる順序で実行されても、並列的に実行されてもよい。また、処理におけるステップの一部が削除されてもよく、さらなるステップが処理に追加されてもよい。

　また、本明細書において説明した通信処理装置の構成要素（例えば、通信観測部、通信分析部、及び／又はデータ処理部）を備える装置（例えば、通信処理装置を構成する複数の装置（又はユニット）のうちの１つ以上の装置（又はユニット）、又は上記複数の装置（又はユニット）のうちの１つのためのモジュール）が提供されてもよい。

　また、上記構成要素の処理を含む方法が提供されてもよく、上記構成要素の処理をプロセッサに実行させるためのプログラムが提供されてもよい。また、当該プログラムを記録したコンピュータに読み取り可能な非一時的記録媒体（Non-transitory computer readable medium）が提供されてもよい。当然ながら、このような装置、モジュール、方法、プログラム、及びコンピュータに読み取り可能な非一時的記録媒体も本発明に含まれる。

　上記実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。

（付記１）
　通信解析に用いるべき通信データを蓄積させる通信処理装置であって、
　前記通信データに係る通信特性に基づいて、蓄積すべき前記通信データの少なくとも一部を削除するデータ処理部を備える、
　通信処理装置。

（付記２）
　前記データ処理部は、前記通信特性に基づいて、前記通信データのうち前記通信解析に用いない非蓄積部分を削除する、
　付記１に記載の通信処理装置。

（付記３）
　前記データ処理部は、蓄積する前記通信データに対して、削除前の前記通信データの容量を示す処理前サイズ情報を付与する、
　付記１又は付記２に記載の通信処理装置。

（付記４）
　前記データ処理部は、前記通信データのうち暗号化されている部分を削除する、
　付記１から付記３のいずれか１項に記載の通信処理装置。

（付記５）
　前記データ処理部は、前記通信データのうちバイナリデータである部分を削除する、
　付記１から付記３のいずれか１項に記載の通信処理装置。

（付記６）
　前記データ処理部は、前記通信データのうち機密情報又は機微情報を含む部分を削除する、
　付記１から付記３のいずれか１項に記載の通信処理装置。

（付記７）
　前記データ処理部は、前記通信データが機密情報又は機微情報を含む場合、前記通信データの全体を蓄積しない、
　付記１から付記３のいずれか１項に記載の通信処理装置。

（付記８）
　前記通信データのパラメータと前記通信特性との対応関係を格納するパーサデータベースを参照して前記通信データの前記通信特性を特定する通信分析部を更に備える、
　付記１から付記７のいずれか１項に記載の通信処理装置。

（付記９）
　前記データ処理部は、前記通信データに係る前記通信特性と当該通信データに対する処理との対応関係を格納するポリシーデータベースを参照して前記通信データを処理する、
　付記８に記載の通信処理装置。

（付記１０）
　前記通信分析部は、前記通信データに基づいて通信状態を取得して通信状態データベースに格納し、
　前記データ処理部は、前記通信データに対して、前記ポリシーデータベースを参照して特定した前記処理を、前記通信状態データベースに格納された前記通信状態に基づいて実行する、
　付記９に記載の通信処理装置。

（付記１１）
　前記パーサデータベースに格納される前記通信データの前記パラメータは、送信時刻、送信元ＩＰアドレス、宛先ＩＰアドレス、送信元ポート番号、宛先ポート番号、プロトコル、及びフラグの少なくともいずれかを含む、
　付記８から付記１０のいずれか１項に記載の通信処理装置。

（付記１２）
　前記データ処理部は、処理された前記通信データを他の装置に転送して蓄積させる、
　付記１から付記１１のいずれか１項に記載の通信処理装置。

（付記１３）
　前記データ処理部は、処理された前記通信データを前記通信処理装置の内部に蓄積する、
　付記１から付記１１のいずれか１項に記載の通信処理装置。

（付記１４）
　通信解析に用いるべき通信データを蓄積する通信処理システムであって、
　前記通信データに係る通信特性に基づいて、蓄積すべき前記通信データの少なくとも一部を削除するデータ処理部が設けられた通信処理装置を備える、
　通信処理システム。

（付記１５）
　通信解析に用いるべき通信データを蓄積させる通信処理方法であって、
　前記通信データに係る通信特性に基づいて、蓄積すべき前記通信データの少なくとも一部を削除することを備える、
　通信処理方法。

（付記１６）
　コンピュータに、
　通信解析に用いるべき通信データを蓄積させることと、
　前記通信データに係る通信特性に基づいて、蓄積すべき前記通信データの少なくとも一部を削除することと、を実行させる
　プログラム。

　通信解析に用いるべき通信データを適切に蓄積させることができる。

　Ｓ　　　　解析システム
　１００　　通信解析サーバ
　２００　　通信処理装置
　２２１　　パーサＤＢ
　２２３　　通信状態ＤＢ
　２２５　　ポリシーＤＢ
　２３３　　通信分析部
　２３５　　データ処理部

Claims

　通信解析に用いるべき通信データを蓄積させる通信処理装置であって、
　前記通信データに係る通信特性に基づいて、蓄積すべき前記通信データの少なくとも一部を削除するデータ処理部を備える、
　通信処理装置。
　前記データ処理部は、前記通信特性に基づいて、前記通信データのうち前記通信解析に用いない非蓄積部分を削除する、
　請求項１に記載の通信処理装置。
　前記データ処理部は、蓄積する前記通信データに対して、削除前の前記通信データの容量を示す処理前サイズ情報を付与する、
　請求項１又は請求項２に記載の通信処理装置。
　前記データ処理部は、前記通信データのうち暗号化されている部分を削除する、
　請求項１から請求項３のいずれか１項に記載の通信処理装置。
　前記データ処理部は、前記通信データのうちバイナリデータである部分を削除する、
　請求項１から請求項３のいずれか１項に記載の通信処理装置。
　前記データ処理部は、前記通信データのうち機密情報又は機微情報を含む部分を削除する、
　請求項１から請求項３のいずれか１項に記載の通信処理装置。
　前記データ処理部は、前記通信データが機密情報又は機微情報を含む場合、前記通信データの全体を蓄積しない、
　請求項１から請求項３のいずれか１項に記載の通信処理装置。
　前記通信データのパラメータと前記通信特性との対応関係を格納するパーサデータベースを参照して前記通信データの前記通信特性を特定する通信分析部を更に備える、
　請求項１から請求項７のいずれか１項に記載の通信処理装置。
　前記データ処理部は、前記通信データに係る前記通信特性と当該通信データに対する処理との対応関係を格納するポリシーデータベースを参照して前記通信データを処理する、
　請求項８に記載の通信処理装置。
　前記通信分析部は、前記通信データに基づいて通信状態を取得して通信状態データベースに格納し、
　前記データ処理部は、前記通信データに対して、前記ポリシーデータベースを参照して特定した前記処理を、前記通信状態データベースに格納された前記通信状態に基づいて実行する、
　請求項９に記載の通信処理装置。
　前記パーサデータベースに格納される前記通信データの前記パラメータは、送信時刻、送信元ＩＰアドレス、宛先ＩＰアドレス、送信元ポート番号、宛先ポート番号、プロトコル、及びフラグの少なくともいずれかを含む、
　請求項８から請求項１０のいずれか１項に記載の通信処理装置。
　前記データ処理部は、処理された前記通信データを他の装置に転送して蓄積させる、
　請求項１から請求項１１のいずれか１項に記載の通信処理装置。
　前記データ処理部は、処理された前記通信データを前記通信処理装置の内部に蓄積する、
　請求項１から請求項１１のいずれか１項に記載の通信処理装置。
　通信解析に用いるべき通信データを蓄積する通信処理システムであって、
　前記通信データに係る通信特性に基づいて、蓄積すべき前記通信データの少なくとも一部を削除するデータ処理部が設けられた通信処理装置を備える、
　通信処理システム。
　通信解析に用いるべき通信データを蓄積させる通信処理方法であって、
　前記通信データに係る通信特性に基づいて、蓄積すべき前記通信データの少なくとも一部を削除することを備える、
　通信処理方法。
　コンピュータに、
　通信解析に用いるべき通信データを蓄積させることと、
　前記通信データに係る通信特性に基づいて、蓄積すべき前記通信データの少なくとも一部を削除することと、を実行させる
　プログラム。