WO2022254729A1

WO2022254729A1 - 解析装置、解析方法、および、解析プログラム

Info

Publication number: WO2022254729A1
Application number: PCT/JP2021/021459
Authority: WO
Inventors: 翔介大庭; 和憲神谷; 博胡
Original assignee: 日本電信電話株式会社
Priority date: 2021-06-04
Filing date: 2021-06-04
Publication date: 2022-12-08
Also published as: JPWO2022254729A1; JP7556466B2

Abstract

解析装置は、NWフロー情報に基づき、NWフロー情報に示される各IPホストをノードとし、各IPホスト間の通信をエッジとしたグラフを生成する。そして、解析装置は、生成したグラフを用いて、着目しているIPホストと各IPホストとの関連度を計算する。次に、解析装置は、グラフに、着目しているIPホストから関連度が所定値以上のIPホストへのエッジが存在しない場合、エッジを追加し、着目しているIPホストから関連度が所定値未満のIPホストへのエッジが存在する場合、エッジを削除することで、当該グラフを補正する。その後、解析装置は、補正されたグラフを用いて、着目しているIPホストと各IPホストとの関連度を計算し、その計算結果を出力する。

Description

解析装置、解析方法、および、解析プログラム

　本発明は、着目しているIPホストとの関連度の高いIPホストを精度よく抽出するための、解析装置、解析方法、および、解析プログラムに関する。

　従来、NW（ネットワーク）フロー情報から、NWフロー情報に示される各IPホストをノードとし、各IPホスト間の通信をエッジとしたグラフを作成し、着目しているIPホストと各IPホストとの関連度を計算する技術がある。例えば、上記の技術として、スコア伝搬（非特許文献１参照）、グラフ埋め込み（非特許文献２参照）がある。

Glen　Jeh　and　Jennifer　Widom,　"Scaling　Personalized　Web　Search",　2003. Bryan　Perozzi,　Rami　Al-Rfou,　and　Steven　Skiena,　"DeepWalk:　Online　Learning　of　Social　Representations",　2014.

　ここで、従来のスコア伝搬による方法は、上記のグラフにおいて近距離に配置されるIPホスト間の関連度が過剰に高くなる。また、グラフ埋め込みによる方法は、上記のグラフにおいて遠距離に配置されるIPホスト間の関連度が過剰に高くなる。その結果、上記のグラフにおいて着目しているIPホスト（例えば、悪性のIPホスト）との関連度の高いIPホストを精度よく抽出できないという問題がある。

　そこで、本発明は、前記した問題を解決し、NWフロー情報から作成したグラフにおいて着目しているIPホストとの関連度の高いIPホストを精度よく抽出することを課題とする。

　前記した課題を解決するため、本発明は、ネットワークの通信情報に基づき、前記通信情報に示される各IPホストをノードとし、前記各IPホスト間の通信をエッジとしたグラフを生成するグラフ生成部と、生成した前記グラフを用いて、前記グラフ上の所定のIPホストと各IPホストとの関連度を計算する第１の関連度計算部と、前記グラフ上の所定のIPホストと各IPホストとの関連度に基づき、前記グラフ上の各IPホスト間を接続するエッジを追加または削除することにより、前記グラフを補正するグラフ補正部と、補正された前記グラフを用いて、前記所定のIPホストと各IPホストとの関連度を計算する第２の関連度計算部と、前記所定のIPホストと各IPホストとの関連度を出力する出力処理部と、を備えることを特徴とする。

　本発明によれば、NWフロー情報から作成したグラフにおいて、着目しているIPホストとの関連度の高いIPホストを精度よく抽出することができる。

図１は、解析装置の動作概要を説明するための図である。図２は、解析装置の構成例を示す図である。図３は、図２のグラフ生成部を説明するための図である。図４は、図２の第１の関連度計算部を説明するための図である。図５は、図２のグラフ補正部を説明するための図である。図６は、図２の第２の関連度計算部を説明するための図である。図７は、解析装置の処理手順の例を示すフローチャートである。図８は、解析プログラムを実行するコンピュータの例を示す図である。

　以下、図面を参照しながら、本発明を実施するための形態（実施形態）について説明する。本発明は以下に説明する実施形態に限定されない。

［動作概要］
　まず、図１を用いて本実施形態の解析装置の動作概要を説明する。ここでは解析装置が、悪性IPホストと関連度の高いIPホストを抽出する場合を例に説明する。

　まず、解析装置は、NWフロー情報（ネットワークの各IPホスト間の通信情報）に基づき、NWフロー情報に示される各IPホストをノードとし、各IPホスト間の通信をエッジとしたグラフを生成する。そして、解析装置は、生成したグラフ上における悪性IPホストのノードを記憶する。そして、解析装置は、生成したグラフを用いて、グラフ内の悪性IPホストと他の各IPホストとの関連度を計算する。

　次に、解析装置は、悪性IPホストと他の各IPホストとの関連度に基づき、グラフのエッジを補正する。例えば、解析装置は、グラフに、悪性IPホストから、当該悪性IPホストとの関連度が所定値以上のIPホストへのエッジが存在しない場合、悪性IPホストから当該IPホストへのエッジを追加する。例えば、図１に示すように、悪性IPホストとの関連度が所定値以上のIPホストＡ，Ｂへのエッジが存在しない場合、解析装置は、悪性IPホストからIPホストＡ，Ｂへのエッジを追加する。

　そして、解析装置は、上記のようにして補正したグラフを用いて、悪性IPホストと他の各IPホストとの関連度を計算する。このようにすることで解析装置は、NWフロー情報から作成したグラフにおいて悪性IPホストとの関連度の高いIPホストを精度よく抽出することができる。

　例えば、解析装置は、図１の元のグラフのエッジを補正したグラフを用いて、悪性IPホストと他の各IPホストとの関連度を計算することで、元のグラフにおいて悪性IPホストとの関連度が高くなかったIPホスト（例えば、IPホストＡ，Ｂに隣接するIPホストＣ）についても、関連度の高いIPホストとして抽出することができる。

[構成例]
　次に、図２を用いて、解析装置の構成例を説明する。解析装置１０は、入力部１１と、制御部１２と、出力部１３とを備える。

　入力部１１は、解析装置１０が用いる各種情報の入力を受け付ける。例えば、入力部１１はNWフロー情報、着目しているIPホスト（例えば、悪性IPホスト）のIPアドレス等の入力を受け付ける。

　制御部１２は、解析装置１０全体の制御を司る。制御部１２は、例えば、グラフ生成部１２１と、第１の関連度計算部１２２と、グラフ補正部１２３と、第２の関連度計算部１２４と、出力処理部１２５とを備える。

　グラフ生成部１２１は、NWフロー情報に基づき、IPホストをノードとし、IPホスト間の通信をエッジとしたグラフを生成する。また、グラフ生成部１２１は、生成したグラフ上における、着目しているIPホスト（例えば、悪性IPホスト）のノードを記憶しておく（図３参照）。

　第１の関連度計算部１２２は、グラフ生成部１２１により生成されたグラフを用いて、着目しているIPホストと他の各IPホストとの関連度を計算する。例えば、第１の関連度計算部１２２は、当該グラフを用いて、DeepWalk（非特許文献２参照）により、悪性IPホストと他の各IPホストとの関連度を計算する（図４参照）。

　グラフ補正部１２３は、第１の関連度計算部１２２により計算された、着目しているIPホストと他の各IPホストとの関連度に基づき、グラフ生成部１２１により生成されたグラフを補正する。

　例えば、グラフ補正部１２３は、グラフ生成部１２１により生成されたグラフに、着目しているIPホストから、関連度が所定値以上のIPホストへのエッジが存在しない場合、当該着目しているIPホストから関連度が所定値以上のIPホストへのエッジを追加する。

　例えば、図５に示すように、グラフ補正部１２３は、悪性IPホストとの関連度が所定値以上のIPホストＡ，Ｂについて、悪性IPホストからのエッジが存在しない場合、悪性IPホストから、IPホストＡ，Ｂへのエッジを追加する。

　また、グラフ補正部１２３は、グラフ生成部１２１により生成されたグラフに、着目しているIPホストから関連度が所定値未満のIPホストへのエッジが存在する場合、当該エッジを削除する。

　第２の関連度計算部１２４は、グラフ補正部１２３により補正されたグラフを用いて、着目しているIPホストと他の各IPホストとの関連度を計算する。例えば、第２の関連度計算部１２４は、図６に示すように、補正されたグラフを用いて、Personalized　PageRank（非特許文献１参照）により、悪性IPホストと他の各IPホストとの関連度を計算する。

　なお、着目しているIPホストとの他各IPホストとの関連度の計算に、第１の関連度計算部１２２は、DeepWalk（非特許文献２参照）を用い、第２の関連度計算部１２４は、Personalized　PageRank（非特許文献１参照）を用いることにしたのは、以下の理由による。

　すなわち、DeepWalkにより計算されるグラフ上のIPホスト間の関連度は、グラフ上で遠距離に配置されるIPホスト間でも、比較的高くなる傾向がある。また、Personalized　PageRankにより計算されるグラフ上のIPホスト間の関連度は、グラフ上で近距離に配置されるIPホスト間で、より高くなる傾向がある。

　したがって、第１の関連度計算部１２２が、DeepWalkを用いて、グラフ上のIPホスト間の関連度を計算した後、グラフ補正部１２３が、関連度の計算結果を用いてグラフの補正（エッジの追加、削除）を行い、第２の関連度計算部１２４が、補正されたグラフ上のIPホスト間の関連度の計算に、Personalized　PageRankを用いることで、解析装置１０は、グラフ上において着目しているIPホストから遠距離のIPホストおよび近距離のIPホストの両方を考慮した上で、着目しているIPホストとの関連度を計算することができる。

　なお、第１の関連度計算部１２２および第２の関連度計算部１２４が、グラフ上のIPホスト間の関連度の計算に用いる計算アルゴリズムは、解析装置１０のユーザにより設定可能であるものとする。また、前記した例では、第１の関連度計算部１２２および第２の関連度計算部１２４が用いる計算アルゴリズムはそれぞれ異なる場合について説明したが、それぞれ同じものでもよい。

　出力処理部１２５は、第２の関連度計算部１２４により計算された、着目しているIPホストと他の各IPホストとの関連度を出力する。なお、出力処理部１２５は、第２の関連度計算部１２４により計算された、着目しているIPホストとの関連度に基づき、着目しているIPホストと関連度が所定値以上のIPホストの識別情報を出力してもよい。

　出力部１３は、制御部１２により出力された情報を出力する。例えば、出力部１３は、出力処理部１２５により出力された、着目しているIPホストと他の各IPホストとの関連度を出力する。

　上記のとおり、解析装置１０は、NWフロー情報に示される各IPホストをノードとし、各IPホスト間の通信をエッジとしたグラフを作成し、着目しているIPホストと各IPホストとの関連度を計算する。そして、解析装置１０は、計算された関連度を用いて、グラフのエッジを補正する。つまり、解析装置１０は、着目しているIPホストとの関連度が所定値以上であるにもかかわらず、グラフ上で、着目しているIPホストとエッジで直接接続されていないIPホストがあれば、そのIPホストへのエッジを追加する。また、解析装置１０は、着目しているIPホストとの関連度が所定値未満であるにもかかわらず、グラフ上で、着目しているIPホストとエッジで直接接続されているIPホストがあれば、そのIPホストとのエッジを削除する。

　解析装置１０は、上記のようにしてエッジが補正されたグラフを用いて、着目しているIPホストと他の各IPホストとの関連度を再計算することで、以下のような効果が得られる。例えば、図１に示すように、補正前のグラフにおいて、着目しているIPホスト（悪性IPホスト）との関連度は高いが、その悪性IPホストと直接エッジで接続されていないIPホストＡ，Ｂがあり、また、そのIPホストＡ，ＢにはIPホストＣがエッジで接続される場合を考える。

　この場合、解析装置１０が、補正前のグラフを用いて、悪性IPホストとIPホストＣとの関連度を計算すると、悪性IPホストとの関連度はそれほど高くならない可能性がある。しかし、解析装置１０が上記のように、悪性IPホストとIPホストＡ，Ｂとをエッジで接続するよう補正したグラフを用いて、悪性IPホストと他の各IPホストとの関連度を再計算することにより、悪性IPホストと他の各IPホストとの関連度を精度よく計算することができる。その結果、例えば、解析装置１０は、図１のIPホストＡ，Ｂに隣接するIPホストＣについても悪性IPホストとの関連度の高いIPホストとして抽出することができる。

［処理手順の例］
　次に、図７を用いて、解析装置１０の処理手順の例を説明する。ここでは、解析装置１０が、NWフロー情報を用いて、悪性IPホストと各IPホストとの関連度を計算する場合を例に説明する。

　まず、解析装置１０のグラフ生成部１２１は、NWフロー情報の情報に基づき、NWフロー情報に示される各IPホストをノードとし、各IPホスト間の通信をエッジとしたグラフを生成する（Ｓ１）。また、グラフ生成部１２１は、生成したグラフ上の悪性IPホストに対応するノードを記憶しておく。次に、第１の関連度計算部１２２は、Ｓ１で生成されたグラフを用いて、悪性IPホストと他の各IPホストとの関連度を計算する（Ｓ２）。

　Ｓ２の後、グラフ補正部１２３は、Ｓ２で計算された関連度を用いて、Ｓ１で生成されたグラフを補正する（Ｓ３）。例えば、グラフ補正部１２３は、Ｓ１で生成されたグラフ上に、悪性IPホストから関連度が所定値以上のIPホストへのエッジが存在しない場合、悪性IPホストから当該IPホストへのエッジを追加する。また、グラフ補正部１２３は、Ｓ１で生成されたグラフ上に、悪性IPホストから関連度が所定値未満のIPホストへのエッジが存在する場合、当該エッジを削除する。

　Ｓ３の後、第２の関連度計算部１２４は、Ｓ３で補正されたグラフを用いて、悪性IPホストと各IPホストとの関連度を計算する（Ｓ４）。そして、出力処理部１２５は、Ｓ４で計算された悪性IPホストと他の各IPホストとの関連度を出力する（Ｓ５）。

　このようにすることで解析装置１０は、悪性IPホストと各IPホストとの関連度を精度よく計算することができる。

　なお、前記した実施形態において解析装置１０のグラフ補正部１２３は、第１の関連度計算部１２２により計算された、着目しているIPホストと他の各IPホストとの関連度に基づき、グラフ生成部１２１により生成されたグラフのエッジの追加および削除を行うこととしたが、エッジの追加のみ、あるいはエッジの削除のみを行ってもよい。

［システム構成等］
　また、図示した各部の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、ＣＰＵ及び当該ＣＰＵにて実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。

　また、前記した実施形態において説明した処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。

［プログラム］
　前記した解析装置１０は、パッケージソフトウェアやオンラインソフトウェアとしてプログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記のプログラムを情報処理装置に実行させることにより情報処理装置を解析装置１０として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS（Personal　Handyphone　System）等の移動体通信端末、さらには、PDA（Personal　Digital　Assistant）等の端末等がその範疇に含まれる。

　また、解析装置１０は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の処理に関するサービスを提供するサーバ装置として実装することもできる。この場合、サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。

　図８は、解析プログラムを実行するコンピュータの一例を示す図である。コンピュータ１０００は、例えば、メモリ１０１０、ＣＰＵ１０２０を有する。また、コンピュータ１０００は、ハードディスクドライブインタフェース１０３０、ディスクドライブインタフェース１０４０、シリアルポートインタフェース１０５０、ビデオアダプタ１０６０、ネットワークインタフェース１０７０を有する。これらの各部は、バス１０８０によって接続される。

　メモリ１０１０は、ROM（Read　Only　Memory）１０１１及びRAM（Random　Access　Memory）１０１２を含む。ROM１０１１は、例えば、BIOS（Basic　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、ハードディスクドライブ１０９０に接続される。ディスクドライブインタフェース１０４０は、ディスクドライブ１１００に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ１１００に挿入される。シリアルポートインタフェース１０５０は、例えばマウス１１１０、キーボード１１２０に接続される。ビデオアダプタ１０６０は、例えばディスプレイ１１３０に接続される。

　ハードディスクドライブ１０９０は、例えば、OS１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３、プログラムデータ１０９４を記憶する。すなわち、上記の解析装置１０が実行する各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール１０９３として実装される。プログラムモジュール１０９３は、例えばハードディスクドライブ１０９０に記憶される。例えば、解析装置１０における機能構成と同様の処理を実行するためのプログラムモジュール１０９３が、ハードディスクドライブ１０９０に記憶される。なお、ハードディスクドライブ１０９０は、SSD（Solid　State　Drive）により代替されてもよい。

　また、上述した実施形態の処理で用いられるデータは、プログラムデータ１０９４として、例えばメモリ１０１０やハードディスクドライブ１０９０に記憶される。そして、ＣＰＵ１０２０が、メモリ１０１０やハードディスクドライブ１０９０に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてRAM１０１２に読み出して実行する。

　なお、プログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０９０に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ１１００等を介してＣＰＵ１０２０によって読み出されてもよい。あるいは、プログラムモジュール１０９３及びプログラムデータ１０９４は、ネットワーク（LAN（Local　Area　Network）、WAN（Wide　Area　Network）等）を介して接続される他のコンピュータに記憶されてもよい。そして、プログラムモジュール１０９３及びプログラムデータ１０９４は、他のコンピュータから、ネットワークインタフェース１０７０を介してＣＰＵ１０２０によって読み出されてもよい。

１０　解析装置
１１　入力部
１２　制御部
１３　出力部
１２１　グラフ生成部
１２２　第１の関連度計算部
１２３　グラフ補正部
１２４　第２の関連度計算部
１２５　出力処理部

Claims

　ネットワークの通信情報に基づき、前記通信情報に示される各IPホストをノードとし、前記各IPホスト間の通信をエッジとしたグラフを生成するグラフ生成部と、
　生成した前記グラフを用いて、前記グラフ上の所定のIPホストと各IPホストとの関連度を計算する第１の関連度計算部と、
　前記グラフ上の所定のIPホストと各IPホストとの関連度に基づき、前記グラフ上の各IPホスト間を接続するエッジを追加または削除することにより、前記グラフを補正するグラフ補正部と、
　補正された前記グラフを用いて、前記所定のIPホストと各IPホストとの関連度を計算する第２の関連度計算部と
　前記所定のIPホストと各IPホストとの関連度を出力する出力処理部と、
　を備えることを特徴とする解析装置。
　前記グラフ補正部は、
　前記グラフに、前記所定のIPホストから前記関連度が所定値以上のIPホストへのエッジが存在しない場合、前記所定のIPホストから前記関連度が所定値以上のIPホストへのエッジを追加することにより、前記グラフを補正する
　ことを特徴とする請求項１に記載の解析装置。
　前記グラフ補正部は、
　前記グラフに、前記所定のIPホストから前記関連度が所定値未満のIPホストへのエッジが存在する場合、前記エッジを削除することにより、前記グラフを補正する
　ことを特徴とする請求項１に記載の解析装置。
　前記第１の関連度計算部および前記第２の関連度計算部は、
　それぞれ事前に設定された計算アルゴリズムにより、前記関連度を計算する
　ことを特徴とする請求項１に記載の解析装置。
　前記第１の関連度計算部は、
　Deep　Walkにより、前記グラフを用いて、前記所定のIPホストと各IPホストとの関連度を計算し、
　前記第２の関連度計算部は、
　Personalized　PageRankにより、補正された前記グラフを用いて、前記所定のIPホストと各IPホストとの関連度を計算する
　ことを特徴とする請求項１に記載の解析装置。
　前記所定のIPホストは、
　予め指定された悪性のIPホストである
　ことを特徴とする請求項１に記載の解析装置。
　解析装置により実行される解析方法であって、
　ネットワークの通信情報に基づき、前記通信情報に示される各IPホストをノードとし、前記各IPホスト間の通信をエッジとしたグラフを生成する工程と、
　生成した前記グラフを用いて、前記グラフ上の所定のIPホストと各IPホストとの関連度を計算する工程と、
　前記グラフ上の所定のIPホストと各IPホストとの関連度に基づき、前記グラフ上の各IPホスト間を接続するエッジを追加または削除することにより、前記グラフを補正する工程と、
　補正された前記グラフを用いて、前記所定のIPホストと各IPホストとの関連度を計算する工程と
　前記所定のIPホストと各IPホストとの関連度を出力する工程と、
　を含むことを特徴とする解析方法。
　ネットワークの通信情報に基づき、前記通信情報に示される各IPホストをノードとし、前記各IPホスト間の通信をエッジとしたグラフを生成する工程と、
　生成した前記グラフを用いて、前記グラフ上の所定のIPホストと各IPホストとの関連度を計算する工程と、
　生成した前記グラフを用いて、前記グラフ上の所定のIPホストと各IPホストとの関連度を計算する工程と、
　前記グラフ上の所定のIPホストと各IPホストとの関連度に基づき、前記グラフ上の各IPホスト間を接続するエッジを追加または削除することにより、前記グラフを補正する工程と、
　補正された前記グラフを用いて、前記所定のIPホストと各IPホストとの関連度を計算する工程と
　前記所定のIPホストと各IPホストとの関連度を出力する工程と、
　をコンピュータに実行させるための解析プログラム。