特許 5655191 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】5655191

(24)【登録日】2014年12月5日

(45)【発行日】2015年1月21日

(54)【発明の名称】特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム

(51)【国際特許分類】

   G06F 21/55 20130101AFI20141225BHJP

   H04L 12/66 20060101ALI20141225BHJP

【ＦＩ】

   G06F21/00 155B

   H04L12/66 B

【請求項の数】9

【全頁数】21

(21)【出願番号】特願2011-142902(P2011-142902)

(22)【出願日】2011年6月28日

(65)【公開番号】特開2013-11949(P2013-11949A)

(43)【公開日】2013年1月17日

【審査請求日】2013年10月4日

(73)【特許権者】

【識別番号】000004226

【氏名又は名称】日本電信電話株式会社

(73)【特許権者】

【識別番号】504139662

【氏名又は名称】国立大学法人名古屋大学

(74)【代理人】

【識別番号】100089118

【弁理士】

【氏名又は名称】酒井 宏明

(74)【代理人】

【識別番号】100112656

【弁理士】

【氏名又は名称】宮田 英毅

(72)【発明者】

【氏名】八木 毅

(72)【発明者】

【氏名】高倉 弘喜

【審査官】 宮司 卓佳

(56)【参考文献】

【文献】 特開２０１１−０７６１８８（ＪＰ，Ａ）

【文献】 特開２０１１−０８７１８９（ＪＰ，Ａ）

【文献】 特開２０１１−０８６１９２（ＪＰ，Ａ）

【文献】 特開２００６−１３３９９２（ＪＰ，Ａ）

【文献】 特開２００５−０１１２３４（ＪＰ，Ａ）

【文献】 米国特許出願公開第２０１１／００８３１８０（ＵＳ，Ａ１）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０６Ｆ ２１／５５

Ｈ０４Ｌ １２／６６

(57)【特許請求の範囲】

【請求項1】

特定種類の通信の特徴を示す特徴情報として、前記特定種類の通信において用いられる変数へ入力される入力値を記憶する特徴情報記憶部と、
前記特徴情報を含む通信情報を特定し、該特定された通信情報から、所定のルールに従って、前記特徴情報の情報種別である入力値と情報種別が異なる別の特徴情報を抽出する別特徴情報抽出部と、
前記別特徴情報抽出部によって抽出された別の特徴情報を含む通信情報を特定し、該特定された通信情報から、前記特徴情報と同じ情報種別である入力値を新たな特徴情報として抽出する新特徴情報抽出部と、
前記新特徴情報抽出部によって抽出された新たな特徴情報を前記特徴情報記憶部に登録する登録部と、
を有することを特徴とする特徴情報抽出装置。

【請求項2】

特定種類の通信の特徴を示す特徴情報として、前記特定種類の通信において用いられるパスに関するパス情報を記憶する特徴情報記憶部と、
前記特徴情報を含む通信情報を特定し、該特定された通信情報から、所定のルールに従って、前記特徴情報の情報種別であるパス情報と情報種別が異なる別の特徴情報を抽出する別特徴情報抽出部と、
前記別特徴情報抽出部によって抽出された別の特徴情報を含む通信情報を特定し、該特定された通信情報から、前記特徴情報と同じ情報種別であるパス情報を新たな特徴情報として抽出する新特徴情報抽出部と、
前記新特徴情報抽出部によって抽出された新たな特徴情報を前記特徴情報記憶部に登録する登録部と、
を有することを特徴とする特徴情報抽出装置。

【請求項3】

前記別特徴情報抽出部は、前記登録部によって登録された新たな特徴情報を取得し、該新たな特徴情報を含む通信情報を特定し、該特定された通信情報から、所定のルールに従って、前記特徴情報と情報種別が異なる別の特徴情報を抽出し、
前記新特徴情報抽出部は、前記別特徴情報抽出部によって抽出された別の特徴情報を含む通信情報を特定し、該特定された通信情報から、前記特徴情報と同じ情報種別の情報を新たな特徴情報として抽出し、
前記登録部は、前記新特徴情報抽出部によって抽出された新たな特徴情報を前記特徴情報記憶部に登録するものであって、
前記新特徴情報抽出部によって抽出された新たな特徴情報について、該新たな特徴情報が抽出されるまでに前記新特徴情報抽出部が繰り返した抽出処理の回数である多段回数に基づいて、前記新たな特徴情報の信頼度を示すスコアを算出するスコア算出部と、
前記スコア算出部によって算出されたスコアに基づいて、前記特徴情報記憶部に記憶された複数の特徴情報から一部の特徴情報を選定する特徴情報選定部と、
をさらに有することを特徴とする請求項１または２に記載の特徴情報抽出装置。

【請求項4】

前記新特徴情報抽出部によって抽出された新たな特徴情報について、該新たな特徴情報によって前記特定種類の通信が検知された回数である検知回数に基づいて、前記新たな特徴情報が前記特定種類の信頼度を示すスコアを算出するスコア算出部と、
前記スコア算出部によって算出されたスコアに基づいて、前記特徴情報記憶部に記憶された複数の特徴情報から一部の特徴情報を選定する特徴情報選定部と、
をさらに有することを特徴とする請求項１または２に記載の特徴情報抽出装置。

【請求項5】

前記別特徴情報抽出部は、前記登録部によって新たな特徴情報が前記特徴情報記憶部に登録されると、さらに異なる新たな特徴情報を含む通信情報を特定し、該特定された通信情報から、所定のルールに従って、前記登録部によって登録された新たな特徴情報と情報種別が異なる別の特徴情報を抽出し、
前記新特徴情報抽出部は、前記別特徴情報抽出部によって抽出された別の特徴情報を含む通信情報を特定し、該特定された通信情報から、前記特徴情報と同じ情報種別の情報を新たな特徴情報として抽出することを特徴とする請求項１〜４のいずれか一つに記載の特徴情報抽出装置。

【請求項6】

前記登録部は、前記別特徴情報抽出部によって抽出された別の特徴情報を前記特徴情報記憶部に登録することを特徴とする請求項１〜５のいずれか一つに記載の特徴情報抽出装置。

【請求項7】

特徴情報抽出装置で実行される特徴情報抽出方法であって、
前記特徴情報抽出装置は、特定種類の通信の特徴を示す特徴情報を含む通信情報を特定し、該特定された通信情報から、所定のルールに従って、前記特徴情報の情報種別である変数へ入力される入力値と情報種別が異なる別の特徴情報を抽出する別特徴情報抽出工程と、
前記特徴情報抽出装置は、前記別特徴情報抽出工程によって抽出された別の特徴情報を含む通信情報を特定し、該特定された通信情報から、前記特徴情報と同じ情報種別である入力値を新たな特徴情報として抽出する新特徴情報抽出工程と、
前記特徴情報抽出装置は、前記新特徴情報抽出工程によって抽出された新たな特徴情報を特徴情報記憶部に登録する登録工程と、
を含んだことを特徴とする特徴情報抽出方法。

【請求項8】

特徴情報抽出装置で実行される特徴情報抽出方法であって、
前記特徴情報抽出装置は、特定種類の通信の特徴を示す特徴情報を含む通信情報を特定し、該特定された通信情報から、所定のルールに従って、前記特徴情報の情報種別であるパスに関するパス情報と情報種別が異なる別の特徴情報を抽出する別特徴情報抽出工程と、
前記特徴情報抽出装置は、前記別特徴情報抽出工程によって抽出された別の特徴情報を含む通信情報を特定し、該特定された通信情報から、前記特徴情報と同じ情報種別であるパス情報を新たな特徴情報として抽出する新特徴情報抽出工程と、
前記特徴情報抽出装置は、前記新特徴情報抽出工程によって抽出された新たな特徴情報を特徴情報記憶部に登録する登録工程と、
を含んだことを特徴とする特徴情報抽出方法。

【請求項9】

コンピュータを請求項１〜６のいずれか一つに記載の特徴情報抽出装置として機能させるための特徴情報抽出プログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラムに関する。

【背景技術】

【0002】

近年、インターネットの普及に伴い、個人情報の管理やアプリケーションの配信を実施するサーバに対するサイバー攻撃が急増している。サイバー攻撃の代表例としては、攻撃者が正規ユーザのサーバや端末に不正アクセスするために用いる攻撃ツールプログラムであるマルウェアを利用したＤＤｏＳ（Distributed Denial of Service）攻撃やスパム送信や情報盗難などが挙げられる。

【0003】

従来、これらの脅威に対処するために、例えば、ファイアウォール機能や通信機能やアンチウィルス機能およびセキュリティアプライアンス機能をルータなどのパケット転送装置に実装することで、サーバ監視機能を構築していた。このようなパケット転送装置をサーバの前段に配置することで、送受信されるデータの内容やパケットヘッダの内容およびファイルの内容等に応じて通信を制御するアクセス制御技術が知られている。

【0004】

このような技術では、サーバ監視機能を開発したセキュリティベンダが、既知のソフトウェア脆弱性やマルウェアを解析することで、攻撃者がサーバに対して取りうる送信メッセージパターンをシグネチャ化し、シグネチャにマッチする送信メッセージをサーバ監視機能でフィルタする。これにより、攻撃者の不正アクセスからサーバを防御する。

【先行技術文献】

【特許文献】

【0005】

【特許文献1】特開２０１０−１９８３８６号公報

【非特許文献1】八木毅、谷本直人、浜田雅樹、伊藤光恭「プロバイダによるＷｅｂサイトへのマルウェア配布防御方式」、信学技報ＩＮ２００９−３４

【発明の概要】

【発明が解決しようとする課題】

【0006】

しかしながら、上記した従来の技術では、ユーザ端末やユーザサーバへの未知の攻撃を適切に検知することができないという課題があった。つまり、サーバ監視装置が、シグネチャにマッチしない通信についてはネットワークの通過を許容するため、この通過可能な通信サービスを悪用した不正アクセスを完全に阻止することは困難である。この結果、例えば、セキュリティベンダにとって未知となるソフトウェアの脆弱性や、セキュリティベンダが解析していないソフトウェアの脆弱性に基づいた攻撃には対応できないとういう問題あった。

【0007】

なお、脆弱性があるソフトウェアを故意に搭載した囮システムをサーバ監視機能配下に配置し、サーバ監視機能で囮システムへのアクセスを監視することで、未知の攻撃を収集する方法が考えられる。しかし、特定のサーバに保存されている情報を不正入手する攻撃が囮システムに送信される可能性が低く、収集可能な攻撃が制限される結果、未知の攻撃を適切に検知することができなかった。

【0008】

そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、ユーザ端末やユーザサーバへの未知の攻撃を適切に検知することを目的とする。

【課題を解決するための手段】

【0009】

上述した課題を解決し、目的を達成するために、本発明に係る特徴情報抽出装置は、特定種類の通信の特徴を示す特徴情報を記憶する特徴情報記憶部と、前記特徴情報を含む通信情報を特定し、該特定された通信情報から、所定のルールに従って、前記特徴情報と情報種別が異なる別の特徴情報を抽出する別特徴情報抽出部と、前記別特徴情報抽出部によって抽出された別の特徴情報を含む通信情報を特定し、該特定された通信情報から、前記特徴情報と同じ情報種別の情報を新たな特徴情報として抽出する新特徴情報抽出部と、前記新特徴情報抽出部によって抽出された新たな特徴情報を前記特徴情報記憶部に登録する登録部と、を有することを特徴とする。

【0010】

また、本発明に係る特徴情報抽出方法は、特徴情報を含む通信情報を特定し、該特定された通信情報から、所定のルールに従って、前記特徴情報と情報種別が異なる別の特徴情報を抽出する別特徴情報抽出工程と、前記別特徴情報抽出工程によって抽出された別の特徴情報を含む通信情報を特定し、該特定された通信情報から、前記特徴情報と同じ情報種別の情報を新たな特徴情報として抽出する新特徴情報抽出工程と、前記新特徴情報抽出工程によって抽出された新たな特徴情報を特徴情報記憶部に登録する登録工程と、を含んだことを特徴とする。

【発明の効果】

【0011】

開示の装置、方法およびプログラムによれば、ユーザ端末やユーザサーバへの未知の攻撃を適切に検知することを可能にする。

【図面の簡単な説明】

【0012】

【図1】図１は、実施例１に係る情報収集配信サーバを適用するネットワーク構成の一例を示す図である。

【図2】図２は、実施例１に係る情報収集配信サーバの構成の一例を説明するための図である。

【図3】図３は、特徴情報管理テーブルの一例を示す図である。

【図4】図４は、パス名と変数を特徴情報としている場合に、新たに特徴情報を抽出する処理を説明する図である。

【図5】図５は、特徴情報の範囲をオペレータが手動で設定する処理を説明する図である。

【図6】図６は、変数への入力値を特徴情報としている場合に、新たに特徴情報を抽出する処理を説明する図である。

【図7】図７は、通信情報の収集処理と特徴情報の配信処理とを説明する図である。

【図8】図８は、囮サーバのトラヒックから新たなシグネチャを生成する処理を説明する図である。

【図9】図９は、ユーザサーバへの通信から新たなシグネチャを生成する処理を説明する図である。

【図10】図１０は、通信の宛先ＵＲＬから攻撃を検知する処理を説明する図である。

【図11】図１１は、実施例１に係る情報収集配信サーバの処理手順を説明するためのフローチャートである。

【図12】図１２は、囮端末へのトラヒックから新たなシグネチャを生成する処理を説明する図である。

【図13】図１３は、囮端末へのトラヒックから新たなシグネチャを生成する処理を説明する図である。

【図14】図１４は、ファイルから特徴情報を抽出する処理を説明する図である。

【図15】図１５は、本実施例に係る特徴情報抽出プログラムを実行するコンピュータを示す図である。

【発明を実施するための形態】

【0013】

以下に添付図面を参照して、この発明に係る特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラムの実施例を詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。

【実施例1】

【0014】

［実施例１に係るファイル収集監視装置の構成］
まず、実施例１に係るファイル収集監視装置の構成について説明する。図１は、実施例１に係る情報収集配信サーバを適用するネットワーク構成の一例を示す図である。

【0015】

図１に示すように、ネットワーク１は、ネットワーク２〜５を収容する。ネットワーク１は、インターネットのように広域なネットワークであってもよいし、企業ネットワークのように比較的狭域ネットワークであってもよい。

【0016】

ネットワーク１とネットワーク２との間は、パケット転送部２９によって接続されている。また、ネットワーク１とネットワーク３との間は、パケット転送部３７によって接続されている。また、ネットワーク１とネットワーク４との間は、パケット転送部４２によって接続されている。また、ネットワーク１とネットワーク５との間は、パケット転送部５３によって接続されている。また、ネットワーク２内のサーバや端末との間は、パケット転送部２５、２６によって接続されている。また、ネットワーク３内のサーバや端末との間は、パケット転送部３５、３６によって接続されている。

【0017】

囮サーバ２１および囮端末２２は、サーバや端末に不正アクセスするために用いる攻撃ツールプログラムであるマルウェアを利用したＤＤｏＳ（Distributed Denial of Service）攻撃やスパム送信などの特定種類の通信（以下、適宜「攻撃」という）を収集する。そして、囮サーバ２１および囮端末２２は、収集した特定種類の通信のログ情報を所定の記憶領域に保存している。

【0018】

各ユーザサーバ２３、２４、３３、３４やユーザ端末３１、３４は、ネットワーク１〜５を介して通信を行う。各ユーザサーバ２３、２４、３３、３４やユーザ端末３１、３４は、攻撃者端末４１や悪性サーバ５１などからの攻撃を受けたことを確認したい対象であり、フィルタ処理による防御対象である。また、各ユーザサーバ２３、２４、３３、３４やユーザ端末３１、３４は、通信のログ情報を所定の記憶領域に保存している。

【0019】

攻撃者端末４１は、各ユーザサーバ２３、２４、３３、３４やユーザ端末３１、３４を攻撃する。悪性サーバ５１は、アクセスしたユーザ端末３１、３２を攻撃するために他のサーに転送する。マルウェア配布サーバ５２は、アクセスしたユーザ端末３１、３２にマルウェアを配布する。

【0020】

パケット転送部２５、２６、２９、３５〜３７、４２、５３は、スイッチやルータなどの機器であって、スイッチ機能、ルータ機能、ポートフォワ−ディング機能、ハイパーテキスト転送プロトコル（ＨＴＴＰ：HyperText Transfer Protocol）転送機能などを有する。パケット転送部２５、２６、２９、３５〜３７、４２、５３は、ＭＡＣアドレスやＩＰアドレス、ポート番号、ＨＴＴＰヘッダなどのヘッダの情報を参照して転送先を決定してパケットを出力する。

【0021】

通信監視部２７、２８は、ネットワーク２において配置される装置である。また、通信監視部３７ａは、パケット転送部３７内の一機能として配置される。通信監視部２７、２８、３７ａは、セキュリティアプライアンスやプロキシ、アンチウィルスなどが適用され、転送に用いられる情報およびパケットペイロードを監視する。

【0022】

また、通信監視部２７、２８、３７ａは、特定種類の通信を特定するための特徴情報を保有し、特徴情報と一致する通信を検知し、検知した通信を遮断するとともに、図示しない外部端末に転送して検疫させる。また、通信監視部２７、２８、３７ａは、検知した通信を遮断するとともに、通信を情報袖手配信サーバ１０に送信する。また、通信監視部２７、２８、３７ａは、トラヒックのログ情報を保存している。

【0023】

情報収集配信サーバ１０は、各通信監視部２７、２８、３７ａや、各ユーザサーバ２３、２４、３３、３４、各ユーザ端末３１、３４により保存された通信のログ情報を収集し、収集した情報を解析して新たな特徴情報を抽出し、抽出された新たな特徴情報を各通信監視部２７、２８、３７ａや、各ユーザサーバ２３、２４、３３、３４、各ユーザ端末３１、３４に配布する。なお、情報収集配信サーバ１０についての詳しい説明は、以下に説明する。

【0024】

［情報収集配信サーバの構成］
次に、図２を用いて、図１に示した情報収集配信サーバ１０の構成を説明する。図２は、実施例１に係る情報収集配信サーバ１０の構成を示すブロック図である。図２に示すように、この情報収集配信サーバ１０は通信制御Ｉ／Ｆ１１、制御部１２、記憶部１３を有する。以下にこれらの各部の処理を説明する。

【0025】

通信制御Ｉ／Ｆ１１は、接続される各通信監視部２７、２８、３７ａ、各ユーザサーバ２３、２４、３３、３４、各ユーザ端末３１、３４との間でやり取りする各種情報に関する通信を制御する。具体的には、ＷＷＷブラウザ制御Ｉ／Ｆ１１は、各通信監視部２７、２８、３７ａ、各ユーザサーバ２３、２４、３３、３４、各ユーザ端末３１、３４から通信のログ情報を受信し、また、各通信監視部２７、２８、３７ａ、各ユーザサーバ２３、２４、３３、３４、各ユーザ端末３１、３４へ特徴情報を送信する。

【0026】

記憶部１３は、制御部１２による各種処理に要するデータや、制御部１２による各種処理結果を記憶し、ＵＲＬリスト１３ａ、特徴情報管理テーブル１３ｂを有する。また、記憶部１３は、例えば、ＲＡＭ（Random Access Memory）、ＲＯＭ（Read Only Memory）、フラッシュメモリ（Flash Memory）等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置である。

【0027】

ＵＲＬリスト１３ａは、後述する通信情報収集部１２ａによって収集された通信のログ情報のうち、ＨＴＴＰの宛先統一資源位置指定子であるＵＲＬが保存されている。例えば、ＵＲＬリスト１３ａには、通信に利用されたＵＲＬとして「http://host#1/d-A/d-B/d-C/file?para=value」が保存される。

【0028】

特徴情報管理テーブル１３ｂは、特定種類の通信の特徴を示す特徴情報を記憶する。具体的には、特徴情報管理テーブル１３ｂは、図３に示すように、特徴情報を一意に識別する「番号」と、特定種類の通信の特徴を示す「特徴情報」と、特徴情報の属性を示す「属性情報」と、特徴情報の信頼度を示す「スコア」と、特徴情報を抽出するまでに行った抽出処理の回数を示す「多段回数」と、特徴情報を保有する通信を検知した回数を示す「検知回数」とをそれぞれ対応付けて記憶する。

【0029】

ここで、属性情報には、ブラックとグレーが存在する。ブラックの属性情報の方がグレーの属性情報よりも信頼度が高い。すわなち、属性情報がブラックである特徴情報で検知された通信は、攻撃者端末４１等からの攻撃である可能性が高いことを意味している。例えば、囮サーバ２１や囮端末２２で攻撃から抽出した特徴情報の属性情報については、多段回数が「０」であり、攻撃である可能性が高いため、「ブラック」が設定される。また、それ以外の属性情報は、ブラックよりも信頼度が低い「グレー」に設定される。なお、属性情報は、ブラックとグレーの２種類に限らず、３種類以上あってもよい。また、属性情報を「ブラック」または「グレー」のいずれかにするかの選別は、オペレータによって適宜変更することが可能である。つまり、ブラックやグレーの設定は、例えば、多段回数に基づいて設定してもよい。

【0030】

また、ここでスコアとは、各特徴情報の信頼度を示した値あり、値が大きいほど信頼度も大きい。なお、スコアの算出方法については、後述するスコア算出部１２ｄの処理の説明で詳述する。このように、特徴情報管理テーブル１３ｂにおいて、各特徴情報には、属性情報やスコアが設定されている。例えば、通信監視部２７、２８、３７ａでは、監視対象として設定可能な特徴情報の数や容量に制限がある場合があり、設定する特徴情報を選定するために、属性情報やスコアが利用される。

【0031】

つまり、設定可能な特徴情報の数や容量に制限がある場合には、通信監視部２７、２８、３７ａは、属性情報が「ブラック」の特徴情報のみを設定したり、所定の閾値以上のスコアの特徴情報のみを設定したりする。なお、特徴情報の選定には、主に属性情報を使用し、詳細な粒度が必要な際には、スコアを使うようにする。例えば、「ブラック」の特徴情報から順に特徴情報を設定し、設定容量に空きがある場合には、「グレー」の特徴情報を順に設定してもよい。さらに、「グレー」、「ブラック」のそれぞれの中の優先順位は、スコアや多段回数や検知回数によって、さらに順位付けされてもよい。

【0032】

また、検知回数の計測方法としては、トラフィック情報を抽出したログのような情報を用意し、情報収集配信サーバ１０が生成した特徴情報で、このトラフィック情報のフィルタリングを行って検知回数を計測してもよいし、ＩＤＳ（侵入検知システム）などに、生成した特徴情報を適用して、実際に流れているトラフィック情報をＩＤＳなどで検知して検知回数を計測するようにしてもよい。

【0033】

制御部１２は、制御プログラム、各種の処理手順等を規定したプログラム及び所要データを格納するための内部メモリを有し、通信情報収集部１２ａと、別特徴情報抽出部１２２ｂと、新特徴情報抽出部１２ｃと、スコア算出部１２ｄと、特徴情報配信部１２ｅとを有する。また、制御部１２は、例えば、ＡＳＩＣ（Application Specific Integrated Circuit）やＦＰＧＡ（Field Programmable Gate Array）等の集積回路、又は、ＣＰＵ（Central Processing Unit）やＭＰＵ（Micro Processing Unit）等の電子回路である。

【0034】

通信情報収集部１２ａは、各通信監視部２７、２８、３７ａ、各ユーザサーバ２３、２４、３３、３４、各ユーザ端末３１、３４から通信のログ情報を収集する。具体的には、通信情報収集部１２ａは、各通信監視部２７、２８、３７ａ、各ユーザサーバ２３、２４、３３、３４、各ユーザ端末３１、３４から通信のログ情報を収集し、ログ情報からＵＲＬを抽出して、ＵＲＬリスト１３ａに格納する。

【0035】

別特徴情報抽出部１２ｂは、特徴情報を含む通信情報を特定し、特定された通信情報から、所定のルールに従って、特徴情報と情報種別が異なる別の特徴情報を抽出する。具体的には、別特徴情報抽出部１２ｂは、ＵＲＬリスト１３ａから通信に利用された全ＵＲＬを読み出すとともに、特徴情報管理テーブル１３ａから特徴情報を１つ読み出す。そして、別特徴情報抽出部１２ｂは、読み出した特徴情報を含むＵＲＬを特定し、特定されたＵＲＬから、所定のルールに従って、特徴情報と情報種別が異なる別の特徴情報を抽出する。そして、別特徴情報抽出部１２ｂは、抽出した別の特徴情報と全ＵＲＬを新特徴情報抽出部１２ｃに通知する。

【0036】

ここで、所定のルールに従って、別の特徴情報を抽出する処理の一例について説明する。例えば、別特徴情報抽出部１２ｂは、ルールとして、「?」以降にある「=」より先の文字を抽出するルールを保持している。そして、別特徴情報抽出部１２ｂは、特徴情報「d-A/d-B/d-C/file-a?para=」を含むＵＲＬ「http://host#1/d-A/d-B/d-C/file-a?para=value」を特定し、ＵＲＬ「http://host#1/d-A/d-B/d-C/file-a?para=value」をＵＲＬリスト１３ａから読み出した場合に、ルールに従って、「value」を別の特徴情報として抽出する。

【0037】

新特徴情報抽出部１２ｃは、抽出された別の特徴情報を含む通信情報を特定し、特定された通信情報から、特徴情報と同じ、つまり、抽出された別の特徴情報とは異なる情報種別の情報を新たな特徴情報として抽出する。そして、新特徴情報抽出部１２ｃは、抽出された新たな特徴情報を特徴情報管理テーブル１３ｂに登録する。具体的には、新特徴情報抽出部１２ｃは、別特徴情報抽出部１２ｂから別の特徴情報と全ＵＲＬを受信すると、別の特徴情報を含むＵＲＬを特定する。

【0038】

そして、新特徴情報抽出部１２ｃは、特定されたＵＲＬから、特徴情報と同じ情報種別の情報を新たな特徴情報として抽出する。例えば、新特徴情報抽出部１２ｃは、特徴情報の情報種別として、パス名および変数が設定されている場合には、特定されたＵＲＬのパス名および変数を新たな特徴情報として抽出する。その後、新特徴情報抽出部１２ｃは、抽出した新たな特徴情報を特徴情報管理テーブル１３ａに登録するとともに、新たな特徴情報をスコア算出部１２ｄに通知する。

【0039】

ここで、図４を用いて、上述した別の特徴情報を抽出する処理および新たな特徴情報を抽出する処理について具体例を挙げて説明する。図４は、パス名と変数を特徴情報としている場合に、新たに特徴情報を抽出する処理を説明する図である。まず、別の特徴情報を抽出する処理および新たな特徴情報を抽出する処理を説明する前に、ＵＲＬの文字列について説明する。

【0040】

図４に例示するように、ＵＲＬ「http://host#1/d-A/d-B/d-C/file-a?para=value」は、アクセス手段の特徴を示すアクセス手段識別子である「http:」と、アクセス先のホスト名である「host#1」と、アクセス先のプログラムの配置箇所を示すパス名「/d-A/d-B/d-C/file-a?」と、パス名に含まれるファイル名「file-a?」と、プログラムへ情報を入力する場合の入力先の変数名である「para=」と、プログラムへ情報を入力する場合の入力値である「value」とから構成される。なお、ＦＴＰ（File Transfer Protocol）の通信では、アクセス手段識別子が「ＦＴＰ」となる。また、プログラムへの入力には、ヘッダの環境変数やペイロードが使用されてもよい。

【0041】

以下に説明する図４の例では、特徴情報の情報種別として、「パス名」および「変数名」が設定され、別の特徴情報として「入力値」を抽出する場合について説明する。別特徴情報抽出部１２ｂは、ＵＲＬリスト１３ａから通信に利用された全ＵＲＬを読み出すとともに、特徴情報管理テーブル１３ａから事前に登録された特徴情報であるパス名および変数名「E/F/G?H=」を読み出す。なお、この例では、「E/F/G?」がパス名に該当し、「H=」が変数名に該当する。

【0042】

そして、別特徴情報抽出部１２ｂは、読み出した特徴情報「E/F/G?H=」を含むＵＲＬ「http://A.B.C.D/E/F/G?H=IJK」を特定する。続いて、別特徴情報抽出部１２ｂは、特定されたＵＲＬ「http://A.B.C.D/E/F/G?H=IJK」から、ルールに従って、パス名および変数名と情報種別が異なる入力値「IJK」を別の特徴情報として抽出する（図４の（１）参照）。

【0043】

そして、新特徴情報抽出部１２ｃは、別の特徴情報「IJK」を含むＵＲＬ「http://A.B.C.D/L/M/N?H=IJK」を特定し、特定されたＵＲＬ「http://A.B.C.D/L/M/N?H=IJK」から、特徴情報と同じ情報種別であるパス名および変数名「L/M/N?H=」を新たな特徴情報として抽出する（図４の（２）参照）。その後、新特徴情報抽出部１２ｃは、抽出した新たな特徴情報「L/M/N?H=」を特徴情報管理テーブル１３ａに登録する。

【0044】

また、通信監視部２７、２８、３７ａは、別の特徴情報「IJK」を含むＵＲＬ「http://O.P.Q.R/S/T/U?H=IJK」を特定した場合にも、特定されたＵＲＬ「http://O.P.Q.R/S/T/U?H=IJK」から、特徴情報と同じ情報種別であるパス名および変数名「S/T/U?H=」を新たな特徴情報として抽出する（図４の（３）参照）。

【0045】

このように、新たな特徴情報が自動的に追加されることで、例えば、通信監視部２７、２８、３７ａが新たな特徴情報「L/M/N?H=」を攻撃の検知に使用することができる。このため、通信監視部２７、２８、３７ａは、新たな特徴情報を含むＵＲＬが使用される通信を攻撃として検知する結果、攻撃の遮断や検疫を適切に行うことが可能となる。

【0046】

その後、別特徴情報抽出部１２ｂおよび新特徴情報抽出部１２ｃは、異なる新たな特徴情報を抽出する処理を繰り返すことを自動的に行う。なお、繰り返しの終了条件は、例えば、予め設定した上限値に抽出した新たな特徴情報の多段回数が到達するまで、または、全てのルールを用いて新たな特徴を抽出する処理を行うまで、新たな特徴を抽出する処理を繰り返し行う等の条件とする。

【0047】

また、新たな特徴情報とすべき情報の範囲については、オペレータが目的に応じて手動で設定するようにしてもよい。ここで、図５を用いて、新たな特徴情報とすべき情報の範囲をオペレータが目的に応じて手動で設定する場合について説明する。図５は、特徴情報の範囲をオペレータが手動で設定する処理を説明する図である。

【0048】

図５に示すように、別特徴情報抽出部１２ｂは、特定されたＵＲＬ「http://A.B.C.D/E/F/G?H=IJK」から、ルールに従って、パス名と情報種別が異なる入力値「IJK」を別の特徴情報として抽出する（図５の（１）参照）。

【0049】

そして、新特徴情報抽出部１２ｃは、別の特徴情報「IJK」を含むＵＲＬ「http://A.B.C.D/L/M/N?H=IJK」を特定し、特定されたＵＲＬ「http://A.B.C.D/L/M/N?H=IJK」から、特徴情報と同じ情報種別であるパス名「L/M/N?」を新たな特徴情報として抽出する（図５の（２）参照）。その後、新たな特徴情報の範囲を変数名まで拡大する旨の指示を受け付けると、新特徴情報抽出部１２ｃは、変数名まで含んだ「L/M/N?H=」を新たな特徴情報として特徴情報管理テーブル１３ａに登録する（図５の（３）参照）。

【0050】

また、図４の例では、パス名と変数名とを特徴情報とし、入力値を別の特徴情報として新たな特徴情報を抽出する処理について説明したが、図６に示すように、入力値を特徴情報とし、パス名と変数名とを別の特徴情報として新たな特徴情報を抽出するようにしてもよい。図６は、変数への入力値を特徴情報としている場合に、新たに特徴情報を抽出する処理を説明する図である。

【0051】

図６に示すように、別特徴情報抽出部１２ｂは、特定されたＵＲＬ「http://A.B.C.D/W/X/Y?Z=IJK」から、ルールに従って、入力値と情報種別が異なるパス名および変数名「W/X/Y?Z=」を別の特徴情報として抽出する（図６の（１）参照）。そして、新特徴情報抽出部１２ｃは、別の特徴情報「W/X/Y?Z=」を含むＵＲＬ「http://A.B.C.D/W/X/Y?Z=abc」を特定し、特定されたＵＲＬ「http://A.B.C.D/W/X/Y?Z=abc」から、特徴情報と同じ情報種別である入力値「abc」を新たな特徴情報として抽出する（図６の（２）参照）。

【0052】

また、新特徴情報抽出部１２ｃは、新たな特徴情報を特徴情報管理テーブル１３ｂに登録するとともに、別特徴情報抽出部１２ｂによって抽出された別の特徴情報を登録するようにしてもよい。別の特徴情報も登録することで、特徴情報の量を増加させることができる。

【0053】

図２の説明に戻って、スコア算出部１２ｄは、各特徴情報について、多段回数および検知回数に応じて、特徴情報が攻撃を検出する信頼度の値であるスコアを算出する。具体的には、スコア算出部１２ｄは、新特徴情報抽出部１２ｃから新たな特徴情報を受信した場合、または、オペレータからスコア算出指示を受け付けた場合に、スコア算出対象となる特徴情報の多段回数および検知回数に関する情報を図示しない記憶領域から取得する。そして、スコア算出部１２ｄは、取得した多段回数および検知回数に応じて、スコアを算出する。

【0054】

例えば、スコア算出部１２ｄは、多段回数が大きいほどスコアを低くなるように算出する。これは、既定の特徴情報からの関係性が、多段回数が多くなるにつれて薄くなるからである。また、スコア算出部１２ｄは、検知回数が大きいほどスコアが高くなるように算出する。例えば、スコア算出部１２は、スコアの算出方法を「スコア＝（多段に使用した回数に関する閾値を境とする単調減少するステップ関数１）＋（検知回数で単調増加する関数２）」と表すことができる。なお、ステップ関数１がある閾値未満では大きな値をとり、この閾値以上では非常に小さな値をとり、この値の幅が関数２の値よりも大きなものとしてもよい。

【0055】

つまり、例えば、検知回数よりも多段回数の方がスコアへの影響が強く、スコアに基づいて、ブラック／ホワイトを判定することが可能となる。また、スコア＝α＊（多段に使用した回数）＋β／（検知回数）として、スコアが小さいものほど、高精度としてもよいものである（α、βは重み付けの値）。ここで、「ブラック」は、シグネチャとして通信監視部２７、２８、３７ａに設定可、「グレー」は、シグネチャとして使用するには信用度が不十分な可能性があるものとして通信監視部２７、２８、３７ａに設定不可としてもよいし、スコアの高い順で通信監視部２７、２８、３７ａに設定してもよい。

【0056】

特徴情報配信部１２ｄは、特徴情報を各通信監視部２７、２８、３７ａ、各ユーザサーバ２３、２４、３３、３４、各ユーザ端末３１、３４に配信する。具体的には、特徴情報配信部１２ｄは、特徴情報管理テーブル１３ｂから特徴情報を読み出し、特徴情報の属性情報およびスコアに基づいて、複数の特徴情報から一部の特徴情報を選定する。そして、特徴情報配信部１２ｄは、選定した特徴情報をリスト化して、各通信監視部２７、２８、３７ａ、各ユーザサーバ２３、２４、３３、３４、各ユーザ端末３１、３４に配信する。

【0057】

ここで、図７を用いて、通信情報収集部１２ａが通信のログ情報を収集し、特徴情報配信部１２ｄが特徴情報を配信する処理について説明する。図７に例示するように、通信情報収集部１２ａは、通信監視部３７ａ、ユーザサーバ３３およびユーザ端末３１が搭載するアンチウィルスソフトなどにより保存された通信のログ情報を収集する。ここで、通信情報収集部１２ａは、例えば、通信監視部３７ａから通信のログ情報を収集する方法として、フックやポートミラーリングなどにより通信のログ情報を収集している。

【0058】

また、特徴情報配信部１２ｄは、特徴情報をリスト化し、通信監視部３７ａ、ユーザサーバ３３およびユーザ端末３１が搭載するアンチウィルスソフトなどに配信する。ここで、特徴情報配信部１２ｄは、上述したように、属性情報やスコアに応じて、特徴情報を選別して配信するようにしてもよいし、特徴情報のリストに属性情報やスコアの情報を含めて、通信監視部３７ａ等に配信し、通信監視部３７ａ側で採用する特徴情報を選別するようにしてもよい。

【0059】

また、情報収集配信サーバ１０は、セキュリティベンダが配信した特徴情報以外の情報から、新たな特徴情報を抽出できる。例えば、囮サーバ２１や囮端末２２を利用することで、セキュリティベンダが配信した特徴情報以外の情報から新たな特徴情報を抽出することができる。ここで、情報収集配信サーバ１０が新たな特徴情報を抽出し、ユーザサーバ等に配信することで、攻撃者端末等からの攻撃をより精度良く検知することができる例について図８〜図１０を用いて説明する。図８は、囮サーバのトラヒックから新たなシグネチャを生成する処理を説明する図である。図９は、ユーザサーバへの通信から新たなシグネチャを生成する処理を説明する図である。図１０は、通信の宛先ＵＲＬから攻撃を検知する処理を説明する図である。

【0060】

ここで、図８〜図１０を用いた説明の前提として、セキュリティベンダが配信する特徴情報とユーザサーバ３３上で機能するアンチウィルスソフトとの関係について説明する。図８〜図１０の例では、図示しないセキュリティベンダが、特定種類の通信を攻撃として特定した場合に、攻撃を特定するための特徴情報を生成し、当該特徴情報をユーザサーバ３３上のアンチウィルスソフト等に配信している。これにより、ユーザサーバ３３が、ユーザサーバ３３が攻撃を受けた場合には、ユーザサーバ３３上のアンチウィルスソフト等で攻撃を検知することを前提にしている。本実施例では、これに加えて、実施例１に係る情報収集配信サーバ１０が、例えば、囮サーバ２１や囮端末２２を利用して、セキュリティベンダが配信した特徴情報以外の情報から、新たな特徴情報を抽出し、ユーザサーバ３３に新たな特徴情報を配信することができる。このような前提をもとに、情報収集配信サーバ１０が、攻撃者端末等からの攻撃をより精度良く検知することができる例について図８〜図１０を用いて以下に説明する。

【0061】

図８に示すように、パスと変数が特徴情報の情報種別である場合に、特徴情報収集配信サーバ１０は、パスと変数で構成される情報ａと変数への入力値ｏを記述した囮サーバ２１に対する攻撃３０１を収集し、情報ａを特徴情報として登録し、ユーザサーバ３３に配信する。これにより、ユーザサーバ３３は、情報ａを保有する攻撃３０２を検知することができる。このように、囮サーバ２１や囮端末２２を併用することで、セキュリティベンダが配信した特徴情報以外の情報から、新たな特徴情報を抽出できる。

【0062】

さらに、実施例１に係る情報収集配信サーバ１０では、囮サーバ２１がパスと変数で構成される情報ｃと変数への入力値ｑとを記述した攻撃３０４を収集した場合には、入力値ｑを別の特徴情報として抽出する。そして、ユーザサーバ３３が攻撃３０３を受信した際に、変数への入力値が別の特徴情報と一致する「ｑ」であることから、情報収集配信サーバ１０は、パスと変数で構成される情報ｂを新たな特徴情報として登録および配信することで、その後ユーザサーバ３３が攻撃３０３を検知できるようになる。

【0063】

また、図９の例を用いて、囮サーバ２１や囮端末２２がない場合について説明する。図９に示すように、パスと変数で構成される情報ｂを特徴情報として使用している場合に、ユーザサーバ３３が上述したように攻撃３０３を検知できるとともに、パスと変数で構成される情報ｂと入力値ｒを記述した攻撃３０５を検知できる。さらに、情報収集配信サーバ１０は、攻撃３０５の入力値ｒを別の特徴情報とすることで、パスと変数で構成される情報ｄと入力値ｒを記述した攻撃３０６を受信した際に、入力値がｒであることから、パスと変数で構成される情報ｄを新たな特徴情報として、パスと変数で構成される情報ｄを新たな特徴情報として登録および配信する。これにより、その後、ユーザサーバ３３が攻撃３０６を検知できるようになる。

【0064】

また、ユーザサーバ３３に対する攻撃として、変数への入力値に、マルウェアを配布するマルウェア配布サーバ５２のＵＲＬが記述されていることがある。これにより、ユーザサーバ３３にマルウェア感染を引き起こすための通信を行わせる場合がある。そこで、このような攻撃に対処する例として、変数への入力値を特徴情報とするとともに、ユーザサーバ３３から送信される通信の宛先ＵＲＬが特徴情報である入力値の一部に記述された文字列と一致するか否かを検査させるようにしてもよい。

【0065】

例えば、図１０に例示するように、ユーザサーバ３３は、通信３０７〜３０９において、ユーザサーバ３３から送信される通信の宛先ＵＲＬが、図８および図９において攻撃に使用されていた変数の入力値ｏ、ｐ、ｑの一部に記述されていた文字列と一致するか検査する。この結果、一致する場合には、当該通信が攻撃である可能性が高いため、ユーザサーバ３３は、通信の遮断等を行って防御する。これにより、ユーザサーバ３３にマルウェア感染を引き起こすための通信を遮断することができる。

【0066】

［情報収集配信サーバによる処理］
次に、図１１を用いて、実施例１に係る情報収集配信サーバ１０による処理を説明する。図１１は、実施例１に係る情報収集配信サーバの処理動作を示すフローチャートである。

【0067】

図１１に示すように、情報収集配信サーバ１０の別特徴情報抽出部１２ｂは、オペレータからの特徴情報抽出処理の開始指示を受け付けると、ＵＲＬリスト１３ａから特徴情報を含むＵＲＬ（例えば、ＵＲＬ「http://A.B.C.D/W/X/Y?Z=IJK」）を特定し、オペレータが設定したルールに基づいて、特徴情報（例えば、ＵＲＬの入力値である特徴情報「IJK」）と情報種別（例えば、ＵＲＬの入力値）が異なる別の特徴情報を抽出する（ステップＳ１０１）。上記の例を用いて説明すると、別特徴情報抽出部１２ｂは、特定されたＵＲＬ「http://A.B.C.D/W/X/Y?Z=IJK」から、ルールに従って、入力値と情報種別が異なるパス名および変数名「W/X/Y?Z=」を別の特徴情報として抽出する。

【0068】

そして、新特徴情報抽出部１２ｃは、抽出した別の特徴情報を用いて、予め記憶しているＵＲＬリスト１３ａから新たな特徴情報を抽出する（ステップＳ１０２）。例えば、新特徴情報抽出部１２ｃは、別の特徴情報「W/X/Y?Z=」を含むＵＲＬ「http://A.B.C.D/W/X/Y?Z=abc」を特定し、特定されたＵＲＬ「http://A.B.C.D/W/X/Y?Z=abc」から、特徴情報と同じ情報種別である入力値「abc」を新たな特徴情報として抽出する。

【0069】

続いて、新特徴情報抽出部１２ｃは、新たな特徴情報を特徴情報管理テーブル１３ｂに記憶されている既定の特徴情報に追加する（ステップＳ１０３）。その後、新特徴情報抽出部１２ｃは、終了条件を満たすか判定する（ステップＳ１０４）。ここで、終了条件としては、例えば、ステップＳ１０１〜１０３の繰り返し回数が一定回数以上となったことや、特徴情報の数や容量が一定数以上となったことが条件として適用される。

【0070】

この結果、新特徴情報抽出部１２ｃは、終了条件を満たしていないと判定した場合には（ステップＳ１０４否定）、ステップＳ１０１に戻って、ステップＳ１０１〜１０３の処理を繰り返す。また、新特徴情報抽出部１２ｃは、終了条件を満たしたと判定した場合には（ステップＳ１０４肯定）、処理を終了する。

【0071】

[実施例１の効果]
上述してきたように、情報収集配信サーバ１０は、特徴情報を含む通信情報を特定し、特定された通信情報から、所定のルールに従って、特徴情報と情報種別が異なる別の特徴情報を抽出する。そして、情報収集配信サーバ１０は、抽出された別の特徴情報を含む通信情報を特定し、該特定された通信情報から、特徴情報と同じ情報種別の情報を新たな特徴情報として抽出し、抽出された新たな特徴情報を特徴情報管理テーブル１３ｂに登録する。このため、既知の特徴情報以外の新たな特徴情報を自動的に生成して登録することができるので、ユーザ端末やユーザサーバへの未知の攻撃を適切に検知することが可能である。

【0072】

また、実施例１によれば、情報収集配信サーバ１０は、特徴情報を含むＵＲＬを特定し、特定されたＵＲＬから別の特徴情報を抽出し、抽出された別の特徴情報を含むＵＲＬを特定し、特定されたＵＲＬから、特徴情報と同じ情報種別である入力値を新たな特徴情報として抽出する。このため、既知の特徴情報以外の新たな入力値の特徴情報を自動的に生成して登録することができるので、入力値を特徴情報として攻撃を検知する際に、ユーザ端末やユーザサーバへの未知の攻撃を適切に検知することが可能である。なお、パスを特徴情報として攻撃を検知するよりも入力値を特徴情報として攻撃を検知する方が相対的に精度が高い。

【0073】

また、実施例１によれば、情報収集配信サーバ１０は、特徴情報を含むＵＲＬを特定し、特定されたＵＲＬから別の特徴情報を抽出し、抽出された別の特徴情報を含むＵＲＬを特定し、特定されたＵＲＬから、特徴情報と同じ情報種別であるパス情報を新たな特徴情報として抽出する。このため、既知の特徴情報以外の新たなパス名の特徴情報を自動的に生成して登録することができるので、パスを特徴情報として攻撃を検知する際に、ユーザ端末やユーザサーバへの未知の攻撃を適切に検知することが可能である。

【0074】

また、実施例１によれば、情報収集配信サーバ１０は、抽出された新たな特徴情報について、新たな特徴情報が抽出されるまでに実行された多段に使用された処理の回数である多段回数に基づいて、新たな特徴情報が特定種類の通信の特徴である信頼度を示すスコアを算出する。そして、情報収集配信サーバ１０は、算出されたスコアに基づいて、特徴情報管理テーブル１３ｂに記憶された複数の特徴情報から一部の特徴情報を選定する。このため、精度の良い特徴情報のみを採用することが可能である。

【0075】

また、実施例１によれば、情報収集配信サーバ１０は、抽出された新たな特徴情報について、該新たな特徴情報によって特定種類の通信が検知された回数である検知回数に基づいて、新たな特徴情報の信頼度を示すスコアを算出する。そして、情報収集配信サーバ１０は、算出されたスコアに基づいて、特徴情報管理テーブル１３ｂに記憶された複数の特徴情報から一部の特徴情報を選定する。このため、精度の良い特徴情報のみを採用することが可能である。

【0076】

また、実施例１によれば、情報収集配信サーバ１０は、抽出された新たな特徴情報について、新たな特徴情報が抽出されるまでに実行された多段に使用された処理の回数である多段回数と、該新たな特徴情報によって特定種類の通信が検知された回数である検知回数とに基づいて、特徴情報管理テーブル１３ｂに記憶された複数の特徴情報から一部の特徴情報を選定する。このため、精度の良い特徴情報のみを採用することが可能である。

【0077】

また、実施例１によれば、情報収集配信サーバ１０は、新たな特徴情報が前記特徴情報記憶部に登録されると、さらに異なる新たな特徴情報を含む通信情報を特定し、特定された通信情報から、所定のルールに従って、特徴情報と情報種別が異なる別の特徴情報を抽出する。そして、情報収集配信サーバ１０は、抽出された別の特徴情報を含む通信情報を特定し、該特定された通信情報から、特徴情報と同じ情報種別の情報を新たな特徴情報として抽出する。このため、情報収集配信サーバ１０は、既知の特徴情報以外の新たな特徴情報を自動的に増やしていくことができるので、ユーザ端末やユーザサーバへの未知の攻撃を適切に検知することが可能である。

【0078】

また、実施例１によれば、抽出された別の特徴情報を特徴情報管理テーブル１３ｂに登録するので、特徴情報を増やすことができ、ユーザ端末やユーザサーバへの未知の攻撃を適切に検知することが可能である。

【実施例2】

【0079】

ところで、上記の実施例１では、通信に利用されたＵＲＬを用いて、新たな特徴情報を抽出する場合を説明したが、本発明はこれに限定されるものではなく、コンテンツの内容やＨＴＴＰリクエストメッセージの内容、ファイルの内容等を用いて、新たな特徴情報を抽出するようにしてもよい。

【0080】

そこで、以下の実施例２では、コンテンツの内容やＨＴＴＰリクエストメッセージの内容、ファイルの内容等を用いて、新たな特徴情報を抽出する場合として、図１２〜図１４を用いて、実施例２における情報収集配信サーバの処理について説明する。図１２は、囮端末へのトラヒックから新たなシグネチャを生成する処理を説明する図である。図１３は、囮端末へのトラヒックから新たなシグネチャを生成する処理を説明する図である。図１４は、ファイルから特徴情報を抽出する処理を説明する図である。

【0081】

まず、図１２を参照しつつ、コンテンツの内容を用いて、新たな特徴情報を抽出する場合について説明する。例えば、図１２に示すように、囮端末２２がマルウェア感染を引き起こすための通信５０１および５０４を行った場合に、情報収集配信サーバ１０は、通信５０１および５０４に関する情報として、コンテンツの内容を収集するようにしてもよい。

【0082】

そして、情報収集配信サーバ１０は、マルウェア感染を引き起こすための通信を検知するための特徴情報として、コンテンツの内容をユーザ端末３１等に配布する。これにより、ユーザ端末３１は、配布されたコンテンツの内容が部分一致する通信５０２、５０３を検知する。なお、情報収集配信サーバ１０は、通信５０２、５０３のコンテンツの内容以外の情報を別の特徴情報とし、別の特徴情報を含む通信情報を特定し、特定された通信情報から、コンテンツの内容を抽出して新たな特徴情報とするようにしてもよい。

【0083】

次に、図１３を参照しつつ、ＨＴＴＰリクエストメッセージの内容を用いて、新たな特徴情報を抽出する場合について説明する。例えば、ＨＴＴＰを用いた通信では、囮端末２２への攻撃および攻撃を引き起こすための通信がＨＴＴＰレスポンスメッセージである場合があり、このような場合には、当該レスポンスの原因となったＨＴＴＰリクエストメッセージが存在する。このため、囮端末２２から送信されたＨＴＴＰリクエストメッセージに起因して囮端末２２への攻撃が発生した場合には、ＨＴＴＰリクエストメッセージから攻撃の原因となった通信６０１〜６０４を特定できる。

【0084】

このような場合に、情報収集配信サーバ１０は、通信６０１〜６０４のログ情報から、ＨＴＴＰリクエストメッセージの一致する部分を抽出し、新たな特徴情報として登録し、ユーザサーバ３３等に配信する。これにより、ユーザサーバ３３は、配布されたＨＴＴＰリクエストメッセージの内容が部分一致する通信６０１〜６０４を検知し、通信を遮断することができる。

【0085】

次に、図１４を参照しつつ、ファイルの内容を用いて、新たな特徴情報を抽出する場合について説明する。例えば、図１４に示すように、情報収集配信サーバ１０は、既定の特徴情報「#!bot@pscan<ip>」２１７が記述されているファイル２１８を受信した際に、ルールに従って、ファイル２１８に記述されている別の特徴情報「#!bot@htflood」２１９を抽出する。ここで、ルールとは、予めファイル内の位置を指定しておき、該当する位置にある行や文字列を抽出対象とする、または予め決めておいた文字列を含む行や文字列を抽出対象とするなどのルールである。

【0086】

そして、情報収集配信サーバ１０は、別の特徴情報「#!bot@htflood」２１９を含むファイルを受信した際に、ファイルを送受信する通信を特定種類の通信とするとともに、ファイルに記述されている特徴情報「#!bot@uflood」を新たな特徴情報として抽出し、新たな特徴情報として登録し、ユーザサーバ３３等に配信する。

【0087】

このように、コンテンツの内容やＨＴＴＰリクエストメッセージの内容、ファイルの内容等を用いて、新たな特徴情報を抽出することで、特徴情報の量を増やし、ユーザ端末やユーザサーバへの未知の攻撃を適切に検知することが可能である。

【実施例3】

【0088】

さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では実施例３として本発明に含まれる他の実施例を説明する。

【0089】

［システム構成］
また、本実施例において説明した各処理の内、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上述文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。

【0090】

また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。

【0091】

[プログラム]
上記実施例で説明した情報収集配信サーバ１０は、あらかじめ用意されたプログラムをコンピュータで実行することで実現することもできる。そこで、以下では、図２に示した情報収集配信サーバ１０と同様の機能を実現する特徴情報抽出プログラムを実行するコンピュータの一例を説明する。

【0092】

図１５は、本実施例に係る特徴情報抽出プログラムを実行するコンピュータ１０００を示す図である。図１５に示すように、コンピュータ１０００は、例えば、メモリ１０１０と、ＣＰＵ（Central Processing Unit）１０２０と、ハードディスクドライブインタフェース１０３０と、ディスクドライブインタフェース１０４０と、シリアルポートインタフェース１０５０と、ビデオアダプタ１０６０と、ネットワークインタフェース１０７０とを有する。これらの各部は、バス１０８０によって接続される。

【0093】

メモリ１０１０は、ＲＯＭ（Read Only Memory）１０１１およびＲＡＭ（Random Access Memory）１０１２を含む。ＲＯＭ１０１０は、例えば、ＢＩＯＳ（Basic Input Output System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、ハードディスクドライブ１０９０に接続される。ディスクドライブインタフェース１０４０は、ディスクドライブ１１００に接続される。ディスクドライブ１１００には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース１０５０には、例えば、マウス１１１０およびキーボード１１２０が接続される。ビデオアダプタ１０６０には、例えば、ディスプレイ１１３０が接続される。

【0094】

ここで、図１５に示すように、ハードディスクドライブ１０９０は、例えば、ＯＳ（Operating System）１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３およびプログラムデータ１０９４を記憶する。本実施例に係るファイル収集監視プログラムは、例えば、コンピュータ１０００によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ１０９０に記憶される。

【0095】

また、ファイル収集監視プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えば、ハードディスクドライブ１０９０に記憶される。そして、ＣＰＵ１０２０が、ハードディスクドライブ１０９０に記憶されたプログラムモジュールやプログラムデータを必要に応じてＲＡＭ１０１２に読み出して、各種の手順を実行する。

【0096】

なお、特徴情報抽出プログラムに係るプログラムモジュールやプログラムデータは、ハードディスクドライブ１０９０に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ１１００等を介してＣＰＵ１０２０によって読み出されてもよい。あるいは、情報送受信プログラムに係るプログラムモジュールやプログラムデータは、ＬＡＮ（Local Area Network）やＷＡＮ（Wide Area Network）等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース１０７０を介してＣＰＵ１０２０によって読み出されてもよい。

【0097】

これらの実施例やその変形は、本願が開示する技術に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。

【0098】

［その他］
なお、本実施例で説明したアクセス制御プログラムは、インターネットなどのネットワークを介して配布することができる。また、制御プログラムは、ハードディスク、フレキシブルディスク（ＦＤ）、ＣＤ−ＲＯＭ、ＭＯ、ＤＶＤなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。

【符号の説明】

【0099】

１０ 情報収集配信サーバ
１１ 通信制御Ｉ／Ｆ
１２ 制御部
１２ａ 通信情報収集部
１２ｂ 別特徴情報抽出部
１２ｃ 新特徴情報抽出部
１２ｄ スコア算出部
１２ｅ 特徴情報配信部
１３ 記憶部
１３ａ ＵＲＬリスト
１３ｂ 特徴情報管理テーブル
２１ 囮サーバ
２２ 囮端末
２３、２４、３３、３４ ユーザサーバ
２５、２６、２９、３７、３５、３６、４２、５３ パケット転送部
２７、２８、３７ａ 通信監視部
３１、３２ ユーザ端末
４１ 攻撃者端末
５１ 悪性サーバ
５２ マルウェア配布サーバ

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】

【図7】

【図8】

【図9】

【図10】

【図11】

【図12】

【図13】

【図14】

【図15】