WO2023286173A1

WO2023286173A1 - トラヒック分析装置、トラヒック分析方法、および、トラヒック分析プログラム

Info

Publication number: WO2023286173A1
Application number: PCT/JP2021/026341
Authority: WO
Inventors: 恭太服部; 智洋郡川; 英成大和田; 雅史清水; 直樹高谷
Original assignee: 日本電信電話株式会社
Priority date: 2021-07-13
Filing date: 2021-07-13
Publication date: 2023-01-19
Also published as: JPWO2023286173A1

Abstract

トラヒック分析装置（１）は、現時刻における実ネットワークシステム（２）上の各トラヒックを仮想空間上にミラーリングし、各トラヒックのプロトコル制御を仮想空間上で実行することで、次時刻における実ネットワークシステム（２）上のトラヒックの状態を計算するトラヒックエミュレータ（１３）と、ミラーリングされた各トラヒックについて、ラテラルムーブメント攻撃に感染されたと予測されるドメインを判定し、そのドメイン内のトラヒックの一部を、トラヒックエミュレータ（１３）の計算対象から除外するドメイン判定部（１１）と、を有する。

Description

トラヒック分析装置、トラヒック分析方法、および、トラヒック分析プログラム

　本発明は、トラヒック分析装置、トラヒック分析方法、および、トラヒック分析プログラムに関する。

　将来のトラヒック量を予測する技術が提案されている。例えば、特許文献１には、将来のユーザトラヒック量を予測し、通信サービスに必要な帯域設備量を算出する通信帯域算出装置が記載されている。これにより、過不足のない通信リソースの設備量を算出することで、通信サービスの供給者の経済性を向上させる。

特開２０２０－１５０５２４号公報

　将来のトラヒック量を予測する技術を、不正通信の検知に応用する場合を検討する。不正通信の検知には、特許文献１のようなトラヒック量という大まかな予測値よりも、個々のトラヒックをフロー単位で細かく予測するトラヒックエミュレーションが有効である。
　トラヒックエミュレータは、現時刻（t）の実網を流れる各トラヒックを仮想空間上に模擬（ミラーリング）し、現時刻（t）の各トラヒックを起点として、次時刻（t+1）の仮想空間上のプロトコル規約に適合した（理想的な）トラヒック状態を予測する。

　なお、現時刻（t）とは実網を観測するターゲット時刻であり、次時刻（t+1）とは現時刻の次のタイミングで実網を観測するターゲット時刻である。そして、トラヒックエミュレータは、次時刻の理想的なトラヒック状態と、次時刻の実空間上のユーザトラヒック状態とを比較することで、プロトコル規約に違反したユーザトラヒックを検出できる。

　しかし、大容量の基幹ネットワーク上を流れるトラヒック量は、１波長あたり10[Gbps],100[Gbps]など大量であるため、トラヒックエミュレータが計算対象とするトラヒックのフロー数も膨大である。そのため、現時刻（t）から次時刻（t+1）までの計算間隔を短縮化するほど（例えば１０秒ごと）、トラヒックエミュレータには非常に高い（リアルタイムな）計算能力が求められる。

　なお、不正通信のうち、同一ドメイン内で拡散するラテラルムーブメント（横展開）を行う攻撃は、同一ドメイン内に属する端末が次々に被害を受けるので、とくに対策が求められる。
　ラテラルムーブメントの代表的な攻撃事例として、WannaCryが挙げられる。WannaCryは、Microsoft Windows（登録商標）を標的としたワーム型ランサムウェアであり、SMBv1（Server Message Block version 1）を用いた横展開により、ドメイン内での攻撃が拡散される。

　図６は、ドメイン内に対するラテラルムーブメント攻撃の説明図である。
　社内ドメイン９０の外側にいる攻撃者は、攻撃端末８１を操作して、以下の手順で社内ドメイン９０への不正アクセスを行う。
　（手順１）攻撃端末８１からインターネット８２を介して、ＧＷ９１→ＳＷ９３→社員端末９６の侵入に成功する（矢印８３）。しかし、社員端末９６を扱う社員の権限が低かったので、その端末内（ローカル）には機密情報が存在せず、機密情報を管理する顧客サーバ９４へのアクセス権も存在しない。
　（手順２）社員端末９６を踏み台にして、部長端末９７に感染を拡大させる（矢印８４）。これにより、権限が高い部長端末９７から顧客サーバ９４へのアクセス権を取得する。
　（手順３）部長端末９７を踏み台にして、ＳＷ９３→ＧＷ９１→ＳＷ９２を経由して、顧客サーバ９４に感染を拡大させる（矢印８５）。これにより、顧客サーバ９４内の機密情報を取得する。

　以上、図６で説明したように、ラテラルムーブメント攻撃は、異常なトラヒックが短期間で次々に派生する特性を持っている。よって、個々の異常なトラヒックを詳細に検出するよりは、ドメインという大きな単位で、ラテラルムーブメント攻撃で感染しているドメインの検知数を増やすような分析が有効である。感染したドメインを予測できれば、そのドメイン単位でのネットワーク隔離などの大規模な対策が行えるからである。

　ここで、個々のトラヒックに対してプロトコル規約に違反したか否かという厳密な検出処理を実行してしまうと、計算量が膨大になり、計算完了時刻が次時刻（t+1）に間に合わない。よって、不正通信の検出結果を、不正通信の検知には応用できなくなってしまう。
　なお、特許文献１のような従来のトラヒック量を予測する技術では、このような厳しい計算時間の制約が存在しなかったので、ラテラルムーブメント攻撃を考慮して効果的に計算コストを低減することは検討されてこなかった。

　そこで、本発明は、現時刻（t）のトラヒック状態から次時刻（t+1）のトラヒック状態を予測するときに、ラテラルムーブメント攻撃を考慮して効果的に計算コストを低減することを主な課題とする。

　前記課題を解決するために、本発明のトラヒック分析装置は、以下の特徴を有する。
　本発明は、現時刻における実ネットワークシステム上の各トラヒックを仮想空間上にミラーリングし、各トラヒックのプロトコル制御を仮想空間上で実行することで、次時刻における前記実ネットワークシステム上のトラヒックの状態を計算するトラヒックエミュレータと、
　ミラーリングされた各トラヒックについて、ラテラルムーブメント攻撃に感染されたと予測されるドメインを判定し、そのドメイン内のトラヒックの一部を、前記トラヒックエミュレータの計算対象から除外するドメイン判定部と、を有することを特徴とする。

　本発明によれば、現時刻（t）のトラヒック状態から次時刻（t+1）のトラヒック状態を予測するときに、ラテラルムーブメント攻撃を考慮して効果的に計算コストを低減することができる。

本実施形態に係わるトラヒック分析装置の構成図である。本実施形態に係わるトラヒック分析装置のハードウェア構成図である。本実施形態に係わるトラヒック分析装置の処理の概要を示す説明図である。本実施形態に係わるトラヒック分析装置の処理を示すシーケンス図である。本実施形態に係わるトラヒック分析装置の効果を示す比較テーブルである。ドメイン内に対するラテラルムーブメント攻撃の説明図である。

　以下、本発明の一実施形態について、図面を参照して詳細に説明する。

　図１は、トラヒック分析装置１の構成図である。
　トラヒック分析装置１は、ドメイン判定部１１と、トラヒックモデル管理部１２と、トラヒックエミュレータ１３と、分析除外部１４と、トラヒック比較部１５と有する。
　実ネットワークシステム２は、トラヒック分析装置１の分析対象となる実際のネットワークシステムである。

　トラヒックエミュレータ１３は、現時刻（t）における実ネットワークシステム２上の各トラヒックを仮想空間上にミラーリングし、各トラヒックのプロトコル制御を仮想空間上で実行することで、次時刻（t+1）における実ネットワークシステム２上のトラヒックの状態を計算する。

　ドメイン判定部１１は、ミラーリングされた各トラヒックについて、ラテラルムーブメント攻撃に感染されたと予測されるドメインを判定し（詳細は図４の説明で後記）、そのドメイン内のトラヒックの一部を、トラヒックエミュレータ１３の計算対象から除外する旨を判定する。ドメイン判定部１１は、除外する旨の判定結果を分析除外部１４に出力する。
　分析除外部１４は、ドメイン判定部１１から通知されたトラヒックを、トラヒックエミュレータ１３の計算対象から除外する。

　トラヒックモデル管理部１２には、トラヒックエミュレータ１３が各トラヒックのプロトコル制御を仮想空間上で実行するための、プロトコルに規定された制御の情報が、トラヒックモデルとして管理されている。トラヒックエミュレータ１３はトラヒックモデル管理部１２からトラヒックのプロトコルごとにトラヒックモデルを読み出して、トラヒックの状態を計算するために使用する。
　トラヒック比較部１５は、次時刻における実ネットワークシステム２上のトラヒックの状態が、トラヒックエミュレータ１３の計算結果のトラヒックの状態と一致しない場合に、そのトラヒックを異常なトラヒックとして実ネットワークシステム２に通知する。

　図２は、トラヒック分析装置１のハードウェア構成図である。
　トラヒック分析装置１は、ＣＰＵ９０１と、ＲＡＭ９０２と、ＲＯＭ９０３と、ＨＤＤ９０４と、通信Ｉ／Ｆ９０５と、入出力Ｉ／Ｆ９０６と、メディアＩ／Ｆ９０７とを有するコンピュータ９００として構成される。
　通信Ｉ／Ｆ９０５は、外部の通信装置９１５と接続される。入出力Ｉ／Ｆ９０６は、入出力装置９１６と接続される。メディアＩ／Ｆ９０７は、記録媒体９１７からデータを読み書きする。さらに、ＣＰＵ９０１は、ＲＡＭ９０２に読み込んだプログラム（アプリケーションや、その略のアプリとも呼ばれる）を実行することにより、各処理部を制御する。そして、このプログラムは、通信回線を介して配布したり、ＣＤ－ＲＯＭ等の記録媒体９１７に記録して配布したりすることも可能である。

　図３は、トラヒック分析装置１の処理の概要を示す説明図である。
　状態１０１は、現時刻（t）の時点でトラヒックエミュレータ１３がミラーリングした３つのドメインA,B,C内の各トラヒックの計算時間を、棒グラフ表示したものである。
　ドメインA,Bの黒く塗られた棒グラフは、ラテラルムーブメント攻撃に感染した旨を示す。ドメインCの白い棒グラフは、ラテラルムーブメント攻撃に感染していない旨を示す。

　状態１０２は、状態１０１からドメインAのトラヒックを１つ除外したものである。ドメイン判定部１１は、仮想トラヒックのフロー数が最も多い（３フローの）ドメインAを、ラテラルムーブメント攻撃に感染されたと予測する。そして、ドメイン判定部１１は、シミュレーションの処理負荷が高くなった場合、ドメインA内の仮想トラヒックをトラヒックエミュレータ１３の計算対象から除外することで、計算量を削減する。ここでは、ドメイン判定部１１は、ドメインA内の３つの仮想トラヒックから、次時刻（t+1）までに計算が間に合わない仮想トラヒックを計算対象から除外した。
　このように、トラヒック分析装置１は、ラテラルムーブメント攻撃に感染されたドメインAの一部を計算対象から早期に除外することで、他のドメインB,C,D,…に計算能力を割り当て、次時刻（t+1）までに計算が間に合うドメイン数を増やすことができる。

　図４は、トラヒック分析装置１の処理を示すシーケンス図である。
　Ｓ１０１として、トラヒックエミュレータ１３は、現時刻における実トラヒック（またはその状態を示す情報）を実ネットワークシステム２から受信すると、その実トラヒックをＳ１０６の除外処理の候補として、分析除外部１４に通知する。

　Ｓ１０２ａとして、トラヒックエミュレータ１３は、Ｓ１０１で受信した現時刻における実トラヒックのプロトコル情報を検索キーとして、そのトラヒックの次時刻のプロトコル動作内容を、トラヒックモデル管理部１２から取得する。

　トラヒックエミュレータ１３は、実ネットワークシステム２上のトラヒックのフローごとのプロトコル動作を仮想空間上で模擬実行することで、現時刻のトラヒック状態から、次時刻のトラヒック状態を計算する。この計算過程は、Ｓ１０３ａの計算開始→Ｓ１０３ｂの計算中→Ｓ１０３ｃの計算完了の順に遷移する。
　Ｓ１０３ａの計算開始時点では、トラヒックエミュレータ１３は、Ｓ１０１で通知された現時刻における実トラヒックを、仮想空間上にミラーリングする。その後、トラヒックエミュレータ１３は、仮想空間上の各トラヒックについて、Ｓ１０２ａで取得したプロトコル動作内容を反映させることで、仮想空間のネットワーク条件が変更された次時刻のトラヒック状態に遷移させる計算を開始する。

　Ｓ１０４ａとして、トラヒックエミュレータ１３は、Ｓ１０３ａで仮想空間上にミラーリングした仮想トラヒックのリストを、分析対象としてドメイン判定部１１に通知する。ドメイン判定部１１は、通知された仮想トラヒックに対して、各トラヒックの宛先情報および送信元情報をもとに、ドメイン単位にトラヒックを分類する（Ｓ１０４ｂ：ドメイン別整理）。
　Ｓ１０４ｃとして、トラヒックエミュレータ１３は、現在の（Ｓ１０３ｂで計算中の）シミュレーション処理の負荷状況を、ドメイン判定部１１に適宜通知する。

　Ｓ１０５ａとして、ドメイン判定部１１は、判定式「負荷状況＞負荷閾値」により、現在の負荷状況がトラヒックエミュレータ１３の負荷閾値を超過したか否かを判定する。なお、負荷閾値とは、トラヒックエミュレータ１３の計算能力に応じて設定され、例えばトラヒックエミュレータ１３が次時刻までに計算完了できる一般的なフロー数である。この場合、負荷状況＝ミラーリングした仮想トラヒックのフロー数となる。
　例えば、判定式が（負荷状況のフロー数＝2000）＞（負荷閾値のフロー数＝1500）となるときには、次時刻までに500個のフロー数の計算が間に合わない（Ｓ１０５ａでYes）。よって、500個のフロー数を次時刻までに計算から除外する必要がある。

　Ｓ１０５ｂとして、ドメイン判定部１１は、計算が間に合わない（Ｓ１０５ａでYes）場合、Ｓ１０４ｂでドメイン単位に整理した仮想トラヒックのリストから、ラテラルムーブメント攻撃に感染されたと予測されるドメイン内の仮想トラヒックを、除外対象トラヒックとして分析除外部１４に通知する。以下、ラテラルムーブメント攻撃に感染されたドメインの判定方法を例示する。

　（判定方法１）ドメイン内のトラヒックのフロー数（またはトラヒックの通信量のドメイン別総和でもよい）が他のドメインよりも多いドメインほど、ラテラルムーブメント攻撃に感染されたと判定する。そして、ドメイン判定部１１は、トラヒックのフロー数が多い順番にドメインを並べて、フロー数の多いドメインから、順次、除外対象トラヒックとする。ドメイン判定部１１は、例えば、重みづけラウンドロビン等により、フロー数の多いドメインを優先的に、除外対象トラヒックを決定していく。

　（判定方法２）ドメイン内のトラヒックのフロー数の単位時間（時刻t-2→時刻t-1→時刻t→時刻t+1）あたりの増加率が他のドメインよりも多いドメインほど、ラテラルムーブメント攻撃に感染されたと判定する。その後は、（判定方法１）の「フロー数」を「増加率」に置き換えた処理を行う。

　（判定方法３）ドメイン内のトラヒック状態同士を比較し、互いに一致または類似するトラヒック状態の集合が他のドメインよりも多いドメインほど、ラテラルムーブメント攻撃に感染されたと判定する。ラテラルムーブメント攻撃では、同じ攻撃を受けた端末が複数存在するので、その同じ攻撃のトラヒックを除外対象トラヒックとして分析した結果も、同一の攻撃結果となる可能性が高いためである。

　Ｓ１０６として、分析除外部１４は、Ｓ１０５ｂで通知された除外対象トラヒックの一部または全部を、トラヒックエミュレータ１３の計算対象から除外することを決定する。ここで、分析除外部１４は、トラヒックを送受信する端末ごとに次時刻における優先度を事前に決めておき、その優先度に従って除外制御を行ってもよい。除外制御とは、例えば、優先度が低い端末のトラヒックほど、計算対象から除外されやすくする、または、早い順序でトラヒックの計算を中断させるなどである。

　Ｓ１０７として、分析除外部１４は、Ｓ１０６で決定したトラヒックを計算対象から除外する旨の指示をトラヒックエミュレータ１３に通知する。トラヒックエミュレータ１３は、Ｓ１０３ｂで計算中のトラヒックから、Ｓ１０７の除外指示を受けたトラヒックの計算を中断（または強制終了）する。
　これにより、トラヒックエミュレータ１３が動作する計算機の計算能力に生まれた余力を、除外しなかった他ドメインのトラヒックの計算に活用できるので、結果として、次時刻までに計算完了（Ｓ１０３ｃ）となるドメイン数を増やすことができる。

　Ｓ１０８として、トラヒックエミュレータ１３は、計算が完了した（Ｓ１０３ｃでYes）次時刻における仮想空間上の仮想トラヒックをトラヒック比較部１５に通知する。
　以上、Ｓ１０１～Ｓ１０８までの各処理が、現時刻（t）から次時刻（t+1）までの期間に実行される。以下、Ｓ１１１以降は次時刻（t+1）以降に実行される処理である。

　Ｓ１１１として、トラヒック比較部１５は、次時刻（t+1）における実トラヒックを実ネットワークシステム２から受信する。
　Ｓ１１２として、トラヒック比較部１５は、Ｓ１１１で受信した次時刻における実トラヒックと、Ｓ１０８で受信した次時刻における仮想トラヒックとを比較する。なお、比較結果が不一致なら、トラヒック比較部１５は、次時刻（t+1）における実トラヒックは異常なトラヒックであるとみなす。

　Ｓ１１３として、トラヒック比較部１５は、Ｓ１１１の比較結果で発見した異常なトラヒックに対し、異常の旨を示す異常フラグを付与する。なお、トラヒック比較部１５は、Ｓ１０５ｂでラテラルムーブメント攻撃に感染されたと予測されるドメイン内のトラヒックである場合、ラテラルムーブメント攻撃に感染されたと予測されるドメインであることや、その予測の根拠（判定方法１～３のどの判定方法を用いたかなど）を異常フラグとして付加してもよい。

　Ｓ１１４として、トラヒック比較部１５は、異常フラグを付与した次時刻の異常なトラヒックを実ネットワークシステム２に返信する。これにより、実ネットワークシステム２の各装置は、異常フラグが付与された実トラヒックを廃棄したり、異常フラグの内容を管理者の画面に表示したり、ラテラルムーブメント攻撃に感染されたドメインをネットワーク隔離したりするなどの異常対策を実行できる。
　または、実ネットワークシステム２の各ドメイン内に、トラヒック分析装置１とは別のドメイン内トラヒックを分析する第２分析装置を用意しておき、自ドメインがラテラルムーブメント攻撃に感染された旨の通知を受け、第２分析装置に自ドメイン内の異常なトラヒックを分析させてもよい。

　図５は、トラヒック分析装置１の効果を示す比較テーブルである。
　比較テーブルの第１列（時刻）は、計算中の各状態の時刻を示す。
　比較テーブルの第２列（実ネットワーク）は、実ネットワークシステム２上に存在する実トラヒックのリストである。実トラヒックの識別子（例えば「RTa(t)」）の１文字目は、実トラヒックのR(Real)または仮想トラヒックのV(Virtual)を付し、２文字目はトラヒックを示すT（Traffic）を付す。その後には、フローの識別子（a,b1,b2,…）、および、（t）など第１列の時刻の情報をカッコつきで示す。
　識別子の末尾に「感染」とあるトラヒックは、ラテラルムーブメント攻撃に感染されたドメイン内のトラヒックを示す。

　比較テーブルの第３列（仮想１）は、トラヒック分析装置１の計算能力が充分に供給される計算機環境（スーパーコンピュータなど）により、すべてのトラヒックが次時刻までに計算完了する場合の仮想トラヒックを示す。
　比較テーブルの第４，５列（仮想２，３）は、トラヒック分析装置１の計算能力が限定的な計算機環境（一般のパソコンなど）により、一部のトラヒックが次時刻までに計算完了しない場合の仮想トラヒックを示す。第４列（仮想２）と第５列（仮想３）との違いは、図３に示した一部のトラヒックを計算対象から除外する処理を適用しない場合（仮想２）か、適用した場合（仮想３）かである。

　比較テーブルの第１行は、現時刻（t）の実ネットワークシステム２上に存在する実トラヒックが、（仮想１，２，３）それぞれにミラーリングされている旨を示す。つまり、RTa(t)→VTa(t)、RTb1(t)→VTb1(t)、RTb2(t)→VTb2(t)という３組のミラーリングが行われる。
　なお、ドメインAのRTa(t)はラテラルムーブメント攻撃に感染しておらず、ドメインBのRTb1(t),RTb2(t)はラテラルムーブメント攻撃に感染しているものとする。

　比較テーブルの第２行は、次時刻（t+1）のトラヒック状態を示す。実ネットワークシステム２からは、ドメインAのRTa(t)は正常トラヒックとして変化なしだが、異常トラヒックとして、ドメインBにRTb3(t),RTb4(t)が派生したとする。
　次時刻（t+1）での（仮想１）は充分な計算能力により、VTa(t)→VTa(t+1)、VTb1(t)→VTb1(t+1)、VTb2(t)→VTb2(t+1)という３組のトラヒック状態を次時刻までに計算できる。よって、次時刻（t+1）の第２列と第３列との比較により、以下のように異常トラヒックを検出できる。
　・RTa(t+1)＝VTa(t+1)　→正常トラヒック
　・RTb1(t+1)＝VTb1(t+1)　→正常トラヒック
　・RTb2(t+1)＝VTb2(t+1)　→正常トラヒック
　・RTb3(t+1)の不一致　→異常トラヒック
　・RTb4(t+1)の不一致　→異常トラヒック

　次時刻（t+1）での（仮想２）は不充分な計算能力により、VTa(t)→VTa(t+1)という１組のトラヒック状態だけ次時刻までに計算した。よって、次時刻（t+1）の第２列と第４列との比較により、以下のように異常トラヒックを検出できる。
　・RTa(t+1)＝VTa(t+1)　→正常トラヒック
　・RTb1(t+1)の不一致　→異常トラヒック
　・RTb2(t+1)の不一致　→異常トラヒック
　・RTb3(t+1)の不一致　→異常トラヒック
　・RTb4(t+1)の不一致　→異常トラヒック

　次時刻（t+1）での（仮想３）は不充分な計算能力ではあるが、トラヒックを計算対象から除外する処理を適用した結果、VTa(t)→VTa(t+1)、VTb1(t)→VTb1(t+1)という２組のトラヒック状態を次時刻までに計算でき、かつ、VTb1(t+1)にラテラルムーブメント攻撃に感染した旨の異常フラグを付加できる。よって、次時刻（t+1）の第２列と第５列との比較により、以下のように異常トラヒックを検出できる。
　・RTa(t+1)＝VTa(t+1)　→正常トラヒック
　・RTb1(t+1)＝VTb1(t+1)　→異常トラヒック（感染したドメインB）
　・RTb2(t+1)の不一致　→異常トラヒック（感染したドメインB）
　・RTb3(t+1)の不一致　→異常トラヒック（感染したドメインB）
　・RTb4(t+1)の不一致　→異常トラヒック（感染したドメインB）
　つまり、（仮想１，２）の検出結果よりも、（仮想３）の検出結果のほうが、ラテラルムーブメント攻撃に感染した旨をドメイン単位で詳しく解析できた。

［効果］
　本発明のトラヒック分析装置１は、現時刻における実ネットワークシステム２上の各トラヒックを仮想空間上にミラーリングし、各トラヒックのプロトコル制御を仮想空間上で実行することで、次時刻における実ネットワークシステム２上のトラヒックの状態を計算するトラヒックエミュレータ１３と、
　ミラーリングされた各トラヒックについて、ラテラルムーブメント攻撃に感染されたと予測されるドメインを判定し、そのドメイン内のトラヒックの一部を、トラヒックエミュレータ１３の計算対象から除外するドメイン判定部１１と、を有することを特徴とする。

　これにより、現時刻（t）のトラヒック状態から次時刻（t+1）のトラヒック状態を予測するときに、ラテラルムーブメント攻撃に感染されたと予測されるドメイン内のトラヒックを計算から除外することで、ラテラルムーブメント攻撃を考慮して効果的に計算コストを低減できる。
　さらに、感染されたドメイン内の多くのトラヒックを重複計算して無駄に消費されていた計算リソースを、別のドメイン内のトラヒックに効率的に割り当てることで、ラテラルムーブメント攻撃で感染されたドメインの検知数を増加できる。

　本発明は、ドメイン判定部１１が、ドメイン内のトラヒックのフロー数が他のドメインよりも多いドメインほど、ラテラルムーブメント攻撃に感染されたドメインであると判定することを特徴とする。

　これにより、ラテラルムーブメント攻撃に感染されたドメインを、早期に特定できる。

　本発明は、ドメイン判定部１１が、ドメイン内のトラヒックのフロー数の増加率が他のドメインよりも多いドメインほど、ラテラルムーブメント攻撃に感染されたドメインであると判定することを特徴とする。

　これにより、ドメイン内のフロー数の不自然な増加を手がかりに、ラテラルムーブメント攻撃に感染されたドメインを、高精度に特定できる。

　本発明は、ドメイン判定部１１が、互いに一致または類似するトラヒック状態の集合が他のドメインよりも多いドメインほど、ラテラルムーブメント攻撃に感染されたドメインであると判定することを特徴とする。

　これにより、ラテラルムーブメント攻撃に感染されたトラヒック同士が類似する事象に基づき、ラテラルムーブメント攻撃に感染されたドメインを、高精度に特定できる。

　本発明は、トラヒック分析装置１が、さらに、トラヒック比較部１５を有しており、
　トラヒック比較部１５が、トラヒックエミュレータ１３が算出した次時刻におけるトラヒックの状態と、次時刻における実ネットワークシステム２上のトラヒックの状態とを比較し、不一致のトラヒックを異常なトラヒックとして実ネットワークシステム２に通知することを特徴とする。

　これにより、次時刻における実ネットワークシステム２上のトラヒックから、不正通信を検出できる。

　１　　　トラヒック分析装置
　２　　　実ネットワークシステム
　１１　　ドメイン判定部
　１２　　トラヒックモデル管理部
　１３　　トラヒックエミュレータ
　１４　　分析除外部
　１５　　トラヒック比較部

Claims

　現時刻における実ネットワークシステム上の各トラヒックを仮想空間上にミラーリングし、各トラヒックのプロトコル制御を仮想空間上で実行することで、次時刻における前記実ネットワークシステム上のトラヒックの状態を計算するトラヒックエミュレータと、
　ミラーリングされた各トラヒックについて、ラテラルムーブメント攻撃に感染されたと予測されるドメインを判定し、そのドメイン内のトラヒックの一部を、前記トラヒックエミュレータの計算対象から除外するドメイン判定部と、を有することを特徴とする
　トラヒック分析装置。
　前記ドメイン判定部は、ドメイン内のトラヒックのフロー数が他のドメインよりも多いドメインほど、ラテラルムーブメント攻撃に感染されたドメインであると判定することを特徴とする
　請求項１に記載のトラヒック分析装置。
　前記ドメイン判定部は、ドメイン内のトラヒックのフロー数の増加率が他のドメインよりも多いドメインほど、ラテラルムーブメント攻撃に感染されたドメインであると判定することを特徴とする
　請求項１に記載のトラヒック分析装置。
　前記ドメイン判定部は、互いに一致または類似するトラヒック状態の集合が他のドメインよりも多いドメインほど、ラテラルムーブメント攻撃に感染されたドメインであると判定することを特徴とする
　請求項１に記載のトラヒック分析装置。
　前記トラヒック分析装置は、さらに、トラヒック比較部を有しており、
　前記トラヒック比較部は、前記トラヒックエミュレータが算出した次時刻におけるトラヒックの状態と、次時刻における前記実ネットワークシステム上のトラヒックの状態とを比較し、不一致のトラヒックを異常なトラヒックとして前記実ネットワークシステムに通知することを特徴とする
　請求項１ないし請求項４のいずれか１項に記載のトラヒック分析装置。
　トラヒック分析装置は、トラヒックエミュレータと、ドメイン判定部と、を有しており、
　前記トラヒックエミュレータは、現時刻における実ネットワークシステム上の各トラヒックを仮想空間上にミラーリングし、各トラヒックのプロトコル制御を仮想空間上で実行することで、次時刻における前記実ネットワークシステム上のトラヒックの状態を計算し、
　前記ドメイン判定部は、ミラーリングされた各トラヒックについて、ラテラルムーブメント攻撃に感染されたと予測されるドメインを判定し、そのドメイン内のトラヒックの一部を、前記トラヒックエミュレータの計算対象から除外することを特徴とする
　トラヒック分析方法。
　コンピュータを、請求項１ないし請求項５のいずれか１項に記載のトラヒック分析装置として機能させるためのトラヒック分析プログラム。