WO2022079921A1

WO2022079921A1 - 検出装置、検出方法及び検出プログラム

Info

Publication number: WO2022079921A1
Application number: PCT/JP2020/039193
Authority: WO
Inventors: 先之上川; 榮太朗塩治; 俊樹芝原; 満昭秋山
Original assignee: 日本電信電話株式会社
Priority date: 2020-10-16
Filing date: 2020-10-16
Publication date: 2022-04-21
Also published as: JPWO2022079921A1; US20230316114A1

Abstract

検出装置（１０）は、ネットワークに関する複数の情報のそれぞれを論理式に変換する。検出装置（１０）は、論理式と推論規則を充足する解集合を推論によって得る。解集合を基にネットワーク構成の変化を検知することができる。

Description

検出装置、検出方法及び検出プログラム

　本発明は、検出装置、検出方法及び検出プログラムに関する。

　情報セキュリティサービスの１つにマネジメントセキュリティサービス（ＭＳＳ：Managed　Security　Service）がある。ＭＳＳは、セキュリティオペレーションセンタ（ＳＯＣ：Security　Operation　Center）により提供される商用サービスである。例えば、ＳＯＣは、ＭＳＳにおいて、顧客からセキュリティログを受け取り、高度な分析により、その中に潜むセキュリティ脅威等の発見を行っている。

　ＭＳＳにおける分析では、顧客のネットワーク（ＮＷ：Network）構成の把握が重要である。ＮＷ構成を推定するために、ＮＷをアクティブにスキャンする方法が知られているが、アクティブなスキャンはＮＷに影響を与える場合がある。

　そこで、従来、パッシブな情報からＮＷ構成を推定する技術が提案されている。例えば、ＩＰパケットの情報を基にＮＷ構成を推定する技術が知られている（例えば、非特許文献１を参照）。また、例えば、イベントログを基にＮＷ構成を推定する技術が知られている（例えば、非特許文献２を参照）。

Eriksson,　B.,　Barford,　P.　and　Nowak,　R.:　Network　Discovery　from　Passive　Measurements,　Proc.　SIGCOMM'08,　pp.291--302　(2008). Azodi,　A.,　Cheng,　F.　and　Meinel,　C.:　Event　Driven　Network　Topology　Discovery　and　Inventory　Listing　Using　REAMS,　Wireless　Personal　Communications,　Volume　94,　Issue　3,　pp.415--430,　DOI:　10.1007/s11277-0153061-3　(2017).

　しかしながら、従来の技術には、組織内の詳細なＮＷ構成の変化をパッシブな情報から検出することが難しい場合があるという問題がある。

　例えば、非特許文献１に記載の技術はインターネットトポロジの解析技術であり、組織内のＮＷ構成を推定するものではない。また、例えば、非特許文献２に記載の技術はエンドポイント又はサービスに寄った推定を行うものであり、機器同士の関係を詳細に推定することができない場合がある。

　上述した課題を解決し、目的を達成するために、検出装置は、ネットワークに関する複数の情報のそれぞれを所定の形式の推論規則に変換する変換部と、前記所定の形式の推論規則とあらかじめ設定された推論規則の両方を充足する解集合を推論によって得る推論部と、を有することを特徴とする。

　本発明によれば、組織内の詳細なＮＷ構成の変化をパッシブな情報から検出することができる。

図１は、第１の実施形態に係る検出方法の概要を説明する図である。図２は、ＮＷ構成の例を示す図である。図３は、推論規則及び解集合の例を示す図である。図４は、第１の実施形態に係る検出装置の構成例を示す図である。図５は、第１の実施形態に係る検出装置の処理の流れを示すフローチャートである。図６は、検出プログラムを実行するコンピュータの一例を示す図である。

　以下に、本願に係る検出装置、検出方法及び検出プログラムの実施形態を図面に基づいて詳細に説明する。なお、本発明は、以下に説明する実施形態により限定されるものではない。

［第１の実施形態］
　図１を用いて、検出装置によって実行される検出方法の概要を説明する。図１は、第１の実施形態に係る検出方法の概要を説明する図である。

　図１に示すように、まず、検出装置１０は、セキュリティログの入力を受け付ける（ステップＳ１１）。また、検出装置１０は、ＮＷ構成情報の入力を受け付ける（ステップＳ１２）。なお、実施形態における「推論」は、論理学の用語であり、reasoning又はinference等に相当する。

　ここで、セキュリティログは、ＮＷに関する情報の一例である。検出装置１０には、セキュリティログの代わりに各ＮＷ機器が出力するログ及びトラヒックデータ等が入力されてもよい。

　ここで、検出装置１０は、セキュリティログとＮＷ構成情報に対し述語変換を行う（ステップＳ１３、ステップＳ１４）。述語変換は、解集合プログラミング（ＡＳＰ：Answer　Set　Programming）において行われる処理であって、所定の情報を論理式に変換する処理である。これにより、検出装置１０は、ネットワークに関する複数の情報のそれぞれを所定の形式の推論規則、すなわちファクトに変換する。
　参考文献：clingo　and　gringo　|　Potassco,　the　Potsdam　Answer　Set　Solving　Collection,　The　University　of　Potsdam,　available　from　<　https://potassco.org/clingo/>

　次に、検出装置１０は、述語変換によって得られた述語、及びあらかじめ設定された推論規則を基に、推論エンジンを動作させる（ステップＳ１５）。推論エンジンは、解集合プログラミングにおける推論を実行するためのエンジンである。つまり、検出装置１０は、変換によって得られるファクト、及びあらかじめ設定された導出ルール、制約ルールを充足する解集合を推論により得る。

　検出装置１０は、推論によって得られた解集合に基づく検出結果を出力する（ステップＳ１６）。例えば、検出装置１０によって解集合が１つも得られなかった場合、セキュリティログとＮＷ構成情報が相違しているとみなすことができる。例えば、分析官は、このことを利用してＮＷ構成の変化を検出することができる。

　ここで、検出装置１０による推論の対象となるＮＷ構成の例を図２に示す。図２は、ＮＷ構成の例を示す図である。図２に示すように、ＮＷは、インターネットに接続されたＩＤＳ（Intrusion　Detection　System）２１、ＩＤＳ２１に接続されたプロキシサーバ２２、プロキシサーバ２２に接続された端末３１及び端末３２を有する。

　また、ＩＤＳ２１及びプロキシサーバはdmz（DeMilitarized　Zone）に配置されている。また、端末３１及び端末３２は、localに配置されている。localは、例えば会社等の組織内において構築されるロールエリアネットワークである。

　また、ＮＷ構成情報には、アドレスが「10.0.1.2」であるclient、及びアドレスが「192.168.10.33」であるclientが存在していることが示されているものとする。ここで、ＮＷ構成情報は、例えば分析官が顧客から入手する情報であり、必ずしも正確であるとは限らないものとする。

　ここで、検出装置１０は、セキュリティログを基に、アドレス「10.0.1.2」がproxyであることを示す第１の述語、及び、アドレス「192.168.10.33」がclientであることを示す第２の述語を推論により導出したものとする。図２に示すように、「10.0.1.2」は、プロキシサーバ２２のアドレスである。また、「192.168.10.33」は端末３１のアドレスである。

　ＮＷ構成情報には、アドレス「192.168.10.33」がclientであることが示されている。これは、アドレス「192.168.10.33」がclientであることを示す第２の述語と矛盾しない。

　一方、ＮＷ構成情報には、アドレス「10.0.1.2」がclientであることが示されている。このため、検出装置１０は、アドレス「10.0.1.2」がproxyであることを示す第１の述語と、アドレス「10.0.1.2」がclientであることを示す述語を解集合に含めない。なお、ここでは、あるノードがclientかつproxyであることは、推論規則の１つである制約ルールによって制約されているものとする。また、述語を導出するための導出ルール及び制約ルールの詳細については後述する。

　また、例えば、検出装置１０が出力日時が異なる複数のセキュリティログについて推論を行った結果を参照し、分析官はＮＷ構成の変更を検出することができる。

　例えば、ある時点のセキュリティログを基に、検出装置１０が、アドレス「192.168.10.44」がclientであることを示す第３の述語を導出したものとする、そして、さらに後の時点のセキュリティログを基に、検出装置１０が、アドレス「192.168.10.44」がproxyであることを示す第４の述語を導出したものとする。しかし、これらの導出された述語は、制約ルールによって制約されるため、解集合に含まれない。

　ここで、図３を用いて、検出装置１０による推論及び検出について詳細に説明する。図３は、推論規則及び解集合の例を示す図である。プログラムとは、解集合プログラミングにおけるルールの集合である。ルールには、ファクト及び推論規則が含まれる。さらに、本実施形態では、推論規則には、導出ルール及び制約ルールが含まれるものとする。なお、以降の説明では、解集合プログラミングにおけるプログラムを、単にプログラムと表記する場合がある。

　ここで、ルールにおけるボディは、左向き矢印の右側部分に相当する。また、ルールにおけるヘッドは、左向き矢印の左側部分に相当する。また、リテラルとは、述語の肯定形又は否定形である。先頭に記号「￢」が付された述語は否定形のリテラルである。

　ファクトは、ボディが空で、ヘッドが単一のリテラルのみのルールであり、前提なしでヘッドが真であることを意味する。例えば、述語「node（10.0.1.2）」は、「10.0.1.2がノードとして存在する」ことを意味する。このため、図３のファクト「node（10.0.1.2）←」は、「「10.0.1.2がノードとして存在すること」は無条件で正しい」ことを意味する。

　図３の述語「located（192.168.10.33,local）」は「192.168.10.33がlocalに存在する」ことを意味する。また、述語「located（10.0.1.2,dmz）」は、「10.0.1.2がdmzに存在する」ことを意味する。また、述語「listen（10.0.1.2,8080）」は、「10.0.1.2がポート8080で受信している」ことを意味する。

　また、述語「client（10.0.1.2）」は、「10.0.1.2がclientである」ことを意味する。このため、図３のファクト「client（10.0.1.2）←」は、「「10.0.1.2がclientであること」は無条件で正しい」ことを意味する。

　ファクトは、検出装置１０がセキュリティログ等のＮＷに関する情報を変換することによって得られる。例えば、図３に示すように、検出装置１０は、ノードとして存在するアドレスの情報、アドレスが存在するネットワーク上の領域を示す情報、アドレスとリッスンしているポートを対応付けた情報のうちの少なくともいずれかを述語に変換する。

　例えば、変換部１３１は、ノードとして存在するアドレスの情報を変換することで、述語nodeを得る。また、例えば、変換部１３１は、アドレスが存在するネットワーク上の領域を示す情報を変換することで、述語locatedを得る。また、例えば、変換部１３１は、アドレスとリッスンしているポートを対応付けた情報を変換することで、述語listenを得る。

　導出ルールは、述語を導出するための推論規則である。導出ルールは、第１の推論規則の一例である。例えば、図３の導出ルール「proxy（X）←listen（X,8080）」は、「ポート8080で受信しているXはproxyである」ことを意味する。

　例えば、検出装置１０は、ファクト「listen（10.0.1.2,8080）←」に導出ルール「proxy（X）←listen（X,8080）」を適用することで、述語「proxy（10.0.1.2）」を導出する。

　また、例えば、検出装置１０は、ファクト「located（192.168.10.33,local）←」等に導出ルール「client（X）←located（X,local）,not　proxy（X）」を適用することで、述語「client（192.168.10.33）」を導出する。

　このように、検出装置１０は、ＮＷに関する情報を変換して得られた述語から、導出ルールによって解集合の候補として述語の組み合わせを導出する。また、導出ルールは、図３に示した前件肯定型のものに限られず、対偶的な推論を行う後件否定型のものであってもよい。また、導出ルールのヘッドの述語は、解集合に含まれる述語の候補になる。

　また、制約ルールは、制約としての推論規則である。制約ルールは、第２の推論規則の一例である。制約ルールによれば、推論結果として明示的に矛盾を導出できる。

　ここで、図３に示す制約ルール「←node（N）,located（N,X）,located（N,Y）,X≠Y」は、「ノードNが互いに異なる領域Xと領域Yに存在する」ことを意味する。なお、推論規則によって制約される述語とは、制約ルールのボディを満たす述語である。逆に、推論規則によって制約されない述語とは、制約ルールのボディを満たさない述語である。

　例えば、図３の例では、検出装置１０は、制約ルール「←node（N）,located（N,X）,located（N,Y）,X≠Y」に基づき、述語「node（192.168.10.33）」及び述語「node（10.0.1.2）」を含む述語の集合を解集合の候補として得る。

　仮に、ファクト「located（192.168.10.33,local）←」とファクト「located（192.168.10.33,dmz）←」の両方が存在する場合、検出装置１０は、制約ルール「←node（N）,located（N,X）,located（N,Y）,X≠Y」に基づき、述語「node（192.168.10.33）」、述語「located（192.168.10.33,local）」及び述語「located（192.168.10.33,dmz）←」を含む述語の組み合わせを矛盾する組み合わせとして解集合の候補から除外し、それ以外に解集合がない場合、推論結果として充足不可能であることを出力する。

　このように、検出装置１０は、導出ルールによって導出された解集合から、制約ルールによって制約される述語の組み合わせを除外する。また、解集合の候補とされる述語は、少なくとも１つの制約ルールによって制約されない述語であり、複数の制約ルールを組み合わせることで最終的な解集合から除外される場合がある。

　ここで、ＮＷ構成情報からファクト「client（10.0.1.2）←」が得られる場合、検出装置１０は、述語「client（10.0.1.2）」を解集合に含める述語の候補とする。また、セキュリティログからファクト「listen（10.0.1.2,8080）←」が得られる場合、検出装置１０は、述語「proxy（10.0.1.2）」を解集合に含める述語の候補として導出する。

　また、制約ルール「←proxy（X）,client（X）」は、「Xがproxyとclientの両方であることはない」ことを意味する。このため、述語「client（10.0.1.2）」と述語「proxy（10.0.1.2）」は、制約ルール「←proxy（X）,client（X）」に基づき矛盾しているということができる。このように、これら２つの述語の組み合わせにおいて制約ルールを適用することで、検出装置１０は矛盾を検出することができる。

　解集合は、検出装置１０によって無矛盾であると推論された述語の集合である。また、解集合は、解集合プログラミングにおけるプログラムの出力ということができる。また、解集合は、ファクト及び推論規則を充足する述語の組み合わせということができる。また、厳密には、解集合となり得る述語の組み合わせは、理論的には一定の性質を満たしているものとなる。例えば、あってもなくてもよい述語は解集合に含まれない。

　１つのプログラムに対して複数の解集合が得られる場合や、解集合が１つも得られない場合（解なし）もある。例えば、導出ルールを基にファクトから導出される述語が存在せず、かつ全てのファクトが制約ルールに基づき矛盾しているとみなされた場合、解集合は１つも得られない。

［第１の実施形態の構成］
　図４を用いて、第１の実施形態に係る検出装置の構成について説明する。図４は、第１の実施形態に係る検出装置の構成例を示す図である。検出装置１０は、セキュリティログ等のＮＷに関する情報の入力を受け付け、推論を行い、推論結果を出力する。図１に示すように、検出装置１０は、入出力部１１、記憶部１２及び制御部１３を有する。

　入出力部１１は、データの入出力を行うためのインタフェースである。例えば、入出力部１１は、ネットワークを介して他の装置との間でデータ通信を行うためのＮＩＣ（Network　Interface　Card）等の通信インタフェースであってもよい。また、入出力部１１は、マウス、キーボード等の入力装置、及びディスプレイ等の出力装置を接続するためのインタフェースであってもよい。

　記憶部１２は、ＨＤＤ（Hard　Disk　Drive）、ＳＳＤ（Solid　State　Drive）、光ディスク等の記憶装置である。なお、記憶部１２は、ＲＡＭ（Random　Access　Memory）、フラッシュメモリ、ＮＶＳＲＡＭ（Non　Volatile　Static　Random　Access　Memory）等のデータを書き換え可能な半導体メモリであってもよい。記憶部１２は、検出装置１０で実行されるＯＳ（Operating　System）や各種プログラムを記憶する。

　記憶部１２は、ルール情報１２１を記憶する。ルール情報１２１は、導出ルール及び制約ルールを含む推論規則である。

　制御部１３は、検出装置１０全体を制御する。制御部１３は、例えば、ＣＰＵ（Central　Processing　Unit）、ＭＰＵ（Micro　Processing　Unit）、ＧＰＵ（Graphics　Processing　Unit）等の電子回路や、ＡＳＩＣ（Application　Specific　Integrated　Circuit）、ＦＰＧＡ（Field　Programmable　Gate　Array）等の集積回路である。また、制御部１３は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部１３は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部１３は、変換部１３１、推論部１３２及び検出部１３３を有する。

　変換部１３１は、ネットワークに関する複数の情報のそれぞれを所定の形式の推論規則、すなわちファクトに変換する。例えば、変換部１３１は、ネットワークに関する情報を解集合プログラミングの述語に変換する。また、例えば、変換部１３１は、ノードとして存在するアドレスの情報、アドレスが存在するネットワーク上の領域を示す情報、アドレスとリッスンしているポートを対応付けた情報のうちの少なくともいずれかをファクトに変換する。

　推論部１３２は、ファクト及びあらかじめ設定された推論規則からなるプログラムを充足する述語の組み合わせを推論により得る。例えば、推論部１３２は、変換部１３１によって得られた述語から、推論規則（例えば、導出ルール）によって導出される述語を解集合に含める述語の候補として得る。また、例えば、推論部１３２は、変換部１３１によって得られた述語及び推論部１３２によって導出された述語のうち、推論規則（例えば、制約ルール）と矛盾しない述語の組み合わせを解集合として得る。

　図３の例では、ファクト「client（10.0.1.2）←」は所定の形式の推論規則の一例である。また、ファクト「listen（10.0.1.2,8080）←」はあらかじめ設定された推論規則の一例である。また、「client（10.0.1.2）」及び「proxy（10.0.1.2）」は、第１の推論規則（導出ルール）を基に導出された述語の一例である。ただし、これらの述語は、第２の推論規則（制約ルール）に基づき、最終的に出力される解集合から除外される場合がある。

（推論規則の例）
　図３等で例示したもの以外にも、検出装置１０は、下記の（１）～（５）に示すような推論規則を用いることができる。（１）～（５）は、あるノードがプロキシであるか否かを導出するための導出ルールの例である。
（１）proxy（X）←tcp_dest（X,8080）,not　￢proxy（X）
（２）proxy（X）←tcp_dest（X,8000）,not　￢proxy（X）
（３）proxy（X）←has_xff_header（X）
（４）proxy（YA）←http_req（XA,XP,YA,YP,URL）,http_req（YA,YP′,ZA,ZP,URL）
（５）￢proxy（X）←in_global（X）

　「not」は真でないこと（真であることが確認できないこと）を意味するので、例えば（１）は、「ＴＣＰ通信の宛先がXのポート8080であり、Xがプロキシでないことが確認できなければ、Xはプロキシである」ことを意味する。

　http_reqの各引数は、左からＨＴＴＰリクエストの送信元アドレス、送信元ポート、宛先アドレス、宛先ポート、URLに相当する。つまり、（４）は、「第１のＨＴＴＰリクエストの送信元アドレスと第２のＨＴＴＰリクエストの宛先アドレスYAが一致し、かつ両者のURLが一致する場合、YAはプロキシである可能性がある」ことを意味する。ただし、（４）については、XA、XP等のYA以外の引数に他の条件が要求される場合がある。

　なお、has_xff_header（X）は、Xが送信するＨＴＴＰリクエストにX-Forwarded-Forヘッダが付加されていることを意味する。また、in_global（X）は、ノードXがグローバルエリアネットワーク上に存在することを意味する。

［第１の実施形態の処理］
　図５は、第１の実施形態に係る検出装置の処理の流れを示すフローチャートである。まず、検出装置１０は、複数のＮＷ情報の入力を受け付ける（ステップＳ１０１）。次に、検出装置１０は、各ＮＷ情報を述語に変換する（ステップＳ１０２）。

　例えば、複数のＮＷ情報は、ＮＷ構成情報とセキュリティログであってもよいし、出力日時が異なる複数のセキュリティログであってもよい。

　ここで、検出装置１０は、述語を基に推論を実行する（ステップＳ１０３）。例えば、検出装置１０は、導出ルールを基に、ファクトから述語を導出し、述語の組み合わせを解集合の候補として得る。また、例えば、検出装置１０は、制約ルールを基に、矛盾する述語の組み合わせを含む解集合の候補を除外する。

　そして、検出装置１０は、推論によって得られた解集合を出力する（ステップＳ１０４）。例えば、分析官は、出力された解集合を参照してＮＷ構成の変化を検出することができる。例えば、解集合が１つも出力されなかった場合、分析官はＮＷ構成が変化したことを検出する。

［第１の実施形態の効果］
　これまで説明してきたように、変換部１３１は、ネットワークに関する情報を所定の形式の推論規則（ファクト）に変換する。推論部１３２は、所定の形式の推論規則（ファクト）とあらかじめ設定された推論規則（導出ルール、制約ルール）とを充足する解集合を推論によって得る。このように、検出装置１０は、ネットワークに関する情報を推論規則に変換するため、異なる情報から論理的な推論手法によりネットワーク構成に関する情報を得ることができる。この結果、本実施形態によれば、組織内の詳細なＮＷ構成の変化をパッシブな情報から把握することができる。

　ここで、ＭＳＳを実施するにあたり、顧客先においてＮＷ構成が正確に把握されていないことや、ＮＷ構成が社外秘であることから、分析官が詳細なＮＷ図等を入手できない場合がある。そのような場合であっても、本実施形態によれば、分析官は、セキュリティログ等の入手可能な限られた情報からＮＷ図の誤りを検出することができる。

　また、入手した情報に、記載に誤りがある、変更が反映されていない、分析に必要な情報が記載されていない、必要以上の情報が記載されている等の問題がある場合がある。そのような場合であっても、本実施形態によれば、適切な推論規則を設定しておくことにより、分析官は必要な粒度のＮＷ構成を把握することができる。

　変換部１３１は、ネットワークに関する情報を解集合プログラミングの述語に変換する。推論部１３２は、変換部１３１によって得られた述語から、導出ルールによって解集合に含める述語を導出し、解集合の候補として述語の組み合わせを得る。これにより、検出装置１０は、ファクトに明に含まれていない情報を導出することができる。

　推論部１３２は、導出ルールによって導出された解集合の候補から、制約ルールによって制約される述語の組み合わせを除外する。これにより、検出装置１０は、ファクトに含まれる実際のＮＷ構成と矛盾する組み合わせを除外することができる。

　なお、推論部１３２は、明示的に設定された制約ルール以外にも、暗黙的な制約ルールによって述語の組み合わせを除外してもよい。この場合、例えば、推論部１３２は、proxy(a)と￢proxy(a)といった、相反する述語の組み合わせを除外する。

　変換部１３１は、ノードとして存在するアドレスの情報、アドレスが存在するネットワーク上の領域を示す情報、アドレスとリッスンしているポートを対応付けた情報のうちの少なくともいずれかをファクトに変換する。これにより、検出装置１０は、クライアントからプロキシ、又はプロキシからクライアントへの役割の変化を検出することができる。

［システム構成等］
　また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散及び統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散又は統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、ＣＰＵ（Central　Processing　Unit）及び当該ＣＰＵにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。なお、プログラムは、ＣＰＵだけでなく、ＧＰＵ等の他のプロセッサによって実行されてもよい。

　また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。

［プログラム］
　一実施形態として、検出装置１０は、パッケージソフトウェアやオンラインソフトウェアとして上記の検出処理を実行する検出プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の検出プログラムを情報処理装置に実行させることにより、情報処理装置を検出装置１０として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やＰＨＳ（Personal　Handyphone　System）等の移動体通信端末、さらには、ＰＤＡ（Personal　Digital　Assistant）等のスレート端末等がその範疇に含まれる。

　また、検出装置１０は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の検出処理に関するサービスを提供する検出サーバ装置として実装することもできる。例えば、推論サーバ装置は、セキュリティログを入力とし、検出結果を出力とする検出サービスを提供するサーバ装置として実装される。この場合、検出サーバ装置は、Ｗｅｂサーバとして実装することとしてもよいし、アウトソーシングによって上記の検出処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。

　図６は、検出プログラムを実行するコンピュータの一例を示す図である。コンピュータ１０００は、例えば、メモリ１０１０、ＣＰＵ１０２０を有する。また、コンピュータ１０００は、ハードディスクドライブインタフェース１０３０、ディスクドライブインタフェース１０４０、シリアルポートインタフェース１０５０、ビデオアダプタ１０６０、ネットワークインタフェース１０７０を有する。これらの各部は、バス１０８０によって接続される。

　メモリ１０１０は、ＲＯＭ（Read　Only　Memory）１０１１及びＲＡＭ（Random　Access　Memory）１０１２を含む。ＲＯＭ１０１１は、例えば、ＢＩＯＳ（Basic　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、ハードディスクドライブ１０９０に接続される。ディスクドライブインタフェース１０４０は、ディスクドライブ１１００に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ１１００に挿入される。シリアルポートインタフェース１０５０は、例えばマウス１１１０、キーボード１１２０に接続される。ビデオアダプタ１０６０は、例えばディスプレイ１１３０に接続される。

　ハードディスクドライブ１０９０は、例えば、ＯＳ１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３、プログラムデータ１０９４を記憶する。すなわち、検出装置１０の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール１０９３として実装される。プログラムモジュール１０９３は、例えばハードディスクドライブ１０９０に記憶される。例えば、検出装置１０における機能構成と同様の処理を実行するためのプログラムモジュール１０９３が、ハードディスクドライブ１０９０に記憶される。なお、ハードディスクドライブ１０９０は、ＳＳＤ（Solid　State　Drive）により代替されてもよい。

　また、上述した実施形態の処理で用いられる設定データは、プログラムデータ１０９４として、例えばメモリ１０１０やハードディスクドライブ１０９０に記憶される。そして、ＣＰＵ１０２０は、メモリ１０１０やハードディスクドライブ１０９０に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてＲＡＭ１０１２に読み出して、上述した実施形態の処理を実行する。

　なお、プログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０９０に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ１１００等を介してＣＰＵ１０２０によって読み出されてもよい。あるいは、プログラムモジュール１０９３及びプログラムデータ１０９４は、ネットワーク（ＬＡＮ（Local　Area　Network）、ＷＡＮ（Wide　Area　Network）等）を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール１０９３及びプログラムデータ１０９４は、他のコンピュータから、ネットワークインタフェース１０７０を介してＣＰＵ１０２０によって読み出されてもよい。

　１０　検出装置
　１１　入出力部
　１２　記憶部
　１３　制御部
　１２１　ルール情報
　１３１　変換部
　１３２　推論部

Claims

　ネットワークに関する複数の情報のそれぞれを所定の形式の推論規則に変換する変換部と、
　前記所定の形式の推論規則とあらかじめ設定された推論規則の両方を充足する解集合を推論によって得る推論部と、
　を有することを特徴とする検出装置。
　前記変換部は、前記ネットワークに関する情報を解集合プログラミングの述語に変換し、
　前記推論部は、前記変換部によって得られた述語から、第１の推論規則によって解集合の候補として述語の組み合わせを導出することを特徴とする請求項１に記載の検出装置。
　前記推論部は、前記第１の推論規則によって導出された解集合の候補から、第２の推論規則によって制約される述語の組み合わせを除外することを特徴とする請求項２に記載の検出装置。
　前記変換部は、ノードとして存在するアドレスの情報、アドレスが存在するネットワーク上の領域を示す情報、アドレスとリッスンしているポートを対応付けた情報のうちの少なくともいずれかを論理式に変換することを特徴とする請求項１に記載の検出装置。
　検出装置によって実行される検出方法であって、
　ネットワークに関する複数の情報のそれぞれを所定の形式の推論規則に変換する変換工程と、
　前記所定の形式の推論規則とあらかじめ設定された推論規則の両方を充足する解集合を推論によって得る推論工程と、
　を含むことを特徴とする検出方法。
　コンピュータを、請求項１から４のいずれか１項に記載の検出装置として機能させるための検出プログラム。