特許 5885631 攻撃ホストの挙動解析装置、方法及びプログラム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】5885631

(24)【登録日】2016年2月19日

(45)【発行日】2016年3月15日

(54)【発明の名称】攻撃ホストの挙動解析装置、方法及びプログラム

(51)【国際特許分類】

   H04L 12/70 20130101AFI20160301BHJP

【ＦＩ】

   H04L12/70 100Z

【請求項の数】8

【全頁数】11

(21)【出願番号】特願2012-208951(P2012-208951)

(22)【出願日】2012年9月21日

(65)【公開番号】特開2014-64216(P2014-64216A)

(43)【公開日】2014年4月10日

【審査請求日】2015年1月22日

【国等の委託研究の成果に係る記載事項】（出願人による申告）平成２４年度、総務省、「国際連携によるサイバー攻撃の予知技術の研究開発」委託研究、産業技術力強化法第１９条の適用を受ける特許出願

(73)【特許権者】

【識別番号】599108264

【氏名又は名称】株式会社ＫＤＤＩ研究所

(74)【代理人】

【識別番号】100106002

【弁理士】

【氏名又は名称】正林 真之

(74)【代理人】

【識別番号】100120891

【弁理士】

【氏名又は名称】林 一好

(72)【発明者】

【氏名】澤谷 雪子

(72)【発明者】

【氏名】窪田 歩

【審査官】 森田 充功

(56)【参考文献】

【文献】 特開２０１２−１１４７１９（ＪＰ，Ａ）

【文献】 特開２００５−３４１２１７（ＪＰ，Ａ）

【文献】 特開２００７−２４３４５９（ＪＰ，Ａ）

【文献】 特開２００４−１８６８７８（ＪＰ，Ａ）

【文献】 米国特許出願公開第２００５／０１３８２０１（ＵＳ，Ａ１）

【文献】 石田 千枝 CHIE ISHIDA，ベイズ推測を用いた不正侵入イベント増減予測 Forecast of Increasing or Decreasing Intrusion Event Counts Using Bayesian Inference，情報処理学会論文誌 IPSJ Journal，日本，社団法人情報処理学会 Information Processing Society of Japan，２００５年１１月１５日，第46巻 第11号，p.2704-2713

【文献】 澤谷 雪子，トラフィックの統計解析によるＤｏＳ攻撃事例モデル化の検討，電子情報通信学会２０１２年総合大会講演論文集 通信２，日本，社団法人電子情報通信学会，２０１２年 ３月 ６日，206

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｈ０４Ｌ １２／７０

(57)【特許請求の範囲】

【請求項1】

既知の攻撃ホストからの送信データに関して、当該送信データそれぞれの送信時刻を取得する取得部と、
指定された時刻から第１時間内における、同一の攻撃ホストに関する前記送信時刻の分布を示す分布データを生成する生成部と、
複数のホストに対応する複数の前記分布データの中から、前記送信時刻の分布の特徴が類似する第１分布データをクラスタリングし、１以上のクラスタを生成する分類部と、
前記クラスタに対応するホストに関して、前記第１分布データの生成対象時刻の後の第２時間内に対して生成された第２分布データの集合から前記送信時刻の分布の特徴を抽出し、特徴データを当該クラスタに関連付けて記憶する関連付け部と、
ある時刻以前の第１時間内に前記クラスタのいずれかに分類される新たな分布データが生成された場合、当該時刻以降に同一の攻撃ホストがデータ送信する時刻に関する挙動の推定データとして、前記クラスタに関連付けられている前記特徴データを出力する出力部と、を備える攻撃ホストの挙動解析装置。

【請求項2】

前記分布データは、前記第１時間を所定数に分割した時間帯毎の送信データの有無を示すデータである請求項１に記載の攻撃ホストの挙動解析装置。

【請求項3】

前記分布データは、前記時間帯毎の送信データの有無を要素とするベクトルであり、
前記特徴データは、前記分布データとしてのベクトルの集合の中心を示すベクトルである請求項２に記載の攻撃ホストの挙動解析装置。

【請求項4】

前記関連付け部は、前記第２分布データの集合をクラスタリングし、要素数が最大のクラスタに対して、前記特徴データを生成する請求項１から請求項３のいずれかに記載の攻撃ホストの挙動解析装置。

【請求項5】

前記第１時間、及び当該第１時間を分割する所定数を、指定入力に基づいて調整する調整部を備える請求項１から請求項４のいずれかに記載の攻撃ホストの挙動解析装置。

【請求項6】

前記送信データは、迷惑メールである請求項１から請求項５のいずれかに記載の攻撃ホストの挙動解析装置。

【請求項7】

既知の攻撃ホストからの送信データに関して、当該送信データそれぞれの送信時刻を取得する取得ステップと、
指定された時刻から第１時間内における、同一の攻撃ホストに関する前記送信時刻の分布を示す分布データを生成する生成ステップと、
複数のホストに対応する複数の前記分布データの中から、前記送信時刻の分布の特徴が類似する第１分布データをクラスタリングし、１以上のクラスタを生成する分類ステップと、
前記クラスタに対応するホストに関して、前記第１分布データの生成対象時刻の後の第２時間内に対して生成された第２分布データの集合から前記送信時刻の分布の特徴を抽出し、特徴データを当該クラスタに関連付けて記憶する関連付けステップと、
ある時刻以前の第１時間内に前記クラスタのいずれかに分類される新たな分布データが生成された場合、当該時刻以降に同一の攻撃ホストがデータ送信する時刻に関する挙動の推定データとして、前記クラスタに関連付けられている前記特徴データを出力する出力ステップと、をコンピュータが実行する攻撃ホストの挙動解析方法。

【請求項8】

既知の攻撃ホストからの送信データに関して、当該送信データそれぞれの送信時刻を取得する取得ステップと、
指定された時刻から第１時間内における、同一の攻撃ホストに関する前記送信時刻の分布を示す分布データを生成する生成ステップと、
複数のホストに対応する複数の前記分布データの中から、前記送信時刻の分布の特徴が類似する第１分布データをクラスタリングし、１以上のクラスタを生成する分類ステップと、
前記クラスタに対応するホストに関して、前記第１分布データの生成対象時刻の後の第２時間内に対して生成された第２分布データの集合から前記送信時刻の分布の特徴を抽出し、特徴データを当該クラスタに関連付けて記憶する関連付けステップと、
ある時刻以前の第１時間内に前記クラスタのいずれかに分類される新たな分布データが生成された場合、当該時刻以降に同一の攻撃ホストがデータ送信する時刻に関する挙動の推定データとして、前記クラスタに関連付けられている前記特徴データを出力する出力ステップと、をコンピュータに実行させるための攻撃ホストの挙動解析プログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、攻撃ホストによるデータ送信の挙動を解析する装置、方法及びプログラムに関する。

【背景技術】

【0002】

従来、迷惑メール（スパムメール）への対策として、メール本文の特徴から迷惑メールを判定する方式（例えば、非特許文献１又は２参照）と、ホスト若しくはメールアドレスの情報から迷惑メールを判定する方式（例えば、非特許文献３、４又は５参照）とが知られている。

【先行技術文献】

【非特許文献】

【0003】

【非特許文献1】ＳｐａｍＡｓｓａｓｓｉｎ、［ｏｎｌｉｎｅ］、［平成２４年６月２０日検索］、インターネット＜ｈｔｔｐ：／／ｓｐａｍａｓｓａｓｓｉｎ．ａｐａｃｈｅ．ｏｒｇ／ｉｎｄｅｘ．ｈｔｍｌ＞

【非特許文献2】ＴｒａｎｓＷＡＲＥ、［ｏｎｌｉｎｅ］、［平成２４年６月２０日検索］、インターネット＜ｈｔｔｐ：／／ｗｗｗ．ｔｒａｎｓｗａｒｅ．ｃｏ．ｊｐ／ｐｒｏｄｕｃｔ／ａｈ／ｓｖｍ．ｈｔｍｌ＞

【非特許文献3】Ｓｐａｍｈａｕｓ、［ｏｎｌｉｎｅ］、［平成２４年６月２０日検索］、インターネット＜ｈｔｔｐ：／／ｗｗｗ．ｓｐａｍｈａｕｓ．ｏｒｇ／＞

【非特許文献4】ＳＰＦ、［ｏｎｌｉｎｅ］、［平成２４年６月２０日検索］、インターネット＜ｈｔｔｐ：／／ｗｗｗ．ｉｅｔｆ．ｏｒｇ／ｒｆｃ／ｒｆｃ４４０８．ｔｘｔ＞

【非特許文献5】Ｓ２５Ｒ、［ｏｎｌｉｎｅ］、［平成２４年６月２０日検索］、インターネット＜ｈｔｔｐ：／／ｈｔｔｐ：／／ｗｗｗ．ｇａｂａｃｈｏ−ｎｅｔ．ｊｐ／ａｎｔｉ−ｓｐａｍ／ａｎｔｉ−ｓｐａｍ−ｓｙｓｔｅｍ．ｈｔｍｌ＞

【発明の概要】

【発明が解決しようとする課題】

【0004】

ところで、上述の迷惑メールへの対策は、受信した迷惑メールを検知するものである。したがって、迷惑メールを検知した後、さらに攻撃が継続するのか否か、継続する場合には、ネットワーク及び設備がどの程度逼迫するのか等、今後の動向を把握することは難しかった。

【0005】

本発明は、攻撃ホストが今後どのような挙動を示すかを予測できる攻撃ホストの挙動解析装置、方法及びプログラムを提供することを目的とする。

【課題を解決するための手段】

【0006】

本発明では、以下のような解決手段を提供する。

【0007】

（１）既知の攻撃ホストからの送信データに関して、当該送信データそれぞれの送信時刻を取得する取得部と、指定された時刻から第１時間内における、同一の攻撃ホストに関する前記送信時刻の分布を示す分布データを生成する生成部と、複数のホストに対応する複数の前記分布データの中から、分布の特徴が類似する第１分布データをクラスタリングし、１以上のクラスタを生成する分類部と、前記クラスタに対応するホストに関して、前記第１分布データの生成対象時刻の後の第２時間内に対して生成された第２分布データの集合から分布の特徴を抽出し、特徴データを当該クラスタに関連付けて記憶する関連付け部と、ある時刻以前の第１時間内に前記クラスタのいずれかに分類される新たな分布データが生成された場合、当該時刻以降に同一の攻撃ホストがデータ送信する挙動の推定データとして、前記クラスタに関連付けられている前記特徴データを出力する出力部と、を備える攻撃ホストの挙動解析装置。

【0008】

このような構成によれば、攻撃ホストの挙動解析装置は、既知の攻撃ホストの過去の挙動を分類したクラスタと、未来の挙動を示す特徴データとを関連付けて記憶する。したがって、攻撃ホストの挙動解析装置は、あるホストについて、いずれかのクラスタに分類される挙動が確認できた場合、このクラスタに関連付けられている特徴データによって、このホストの未来の挙動を予測できる。

【0009】

この結果、攻撃ホストの挙動解析装置は、未来の挙動の予測に基づいて、例えば、今後も定常的に迷惑メールが送信されると予測されれば、対象の攻撃ホストとの通信を遮断する等、判断を下すことができる。
さらに、ネットワークの管理者は、ネットワークの構成変更又は設備増設等を行う際に、攻撃ホストの挙動を見積もり、トラフィック量の概算を計算できるので、無駄な設備投資を抑制できる。

【0010】

（２）前記分布データは、前記第１時間を所定数に分割した時間帯毎の送信データの有無を示すデータである（１）に記載の攻撃ホストの挙動解析装置。

【0011】

このような構成によれば、攻撃ホストの挙動解析装置は、過去の挙動を示す分布データとして、時間帯毎の送信データの有無を示す数値データを用いて、容易にクラスタリング及び特徴データの関連付けを行うことができる。

【0012】

（３）前記分布データは、前記時間帯毎の送信データの有無を要素とするベクトルであり、前記特徴データは、前記分布データとしてのベクトルの集合の中心を示すベクトルである（２）に記載の攻撃ホストの挙動解析装置。

【0013】

このような構成によれば、攻撃ホストの挙動解析装置は、過去の挙動を示す分布データとして、時間帯毎の送信データの有無を示すベクトルを用いて、容易にクラスタリング及び特徴データの関連付けを行うことができる。

【0014】

（４）前記関連付け部は、前記第２分布データの集合をクラスタリングし、要素数が最大のクラスタに対して、前記特徴データを生成する（１）から（３）のいずれかに記載の攻撃ホストの挙動解析装置。

【0015】

このような構成によれば、攻撃ホストの挙動解析装置は、過去の挙動を示すクラスタに対応する未来の挙動を示すベクトルの集合をクラスタリングし、最大要素のクラスタを選択することにより、ノイズを抑制して、予測精度を向上できる。

【0016】

（５）前記第１時間、及び当該第１時間を分割する所定数を、指定入力に基づいて調整する調整部を備える（１）から（４）のいずれかに記載の攻撃ホストの挙動解析装置。

【0017】

このような構成によれば、攻撃ホストの挙動解析装置は、分布データを生成する第１時間及び分割数を調整できる。したがって、管理者は、攻撃ホストの挙動解析装置を運用する上で、状況に応じて適切な期間及び分割数を設定し、予測精度を向上できる。

【0018】

（６）前記送信データは、迷惑メールである（１）から（５）のいずれかに記載の攻撃ホストの挙動解析装置。

【0019】

このような構成によれば、攻撃ホストの挙動解析装置は、迷惑メールの送信サーバの未来の挙動を予測できる。

【0020】

（７）既知の攻撃ホストからの送信データに関して、当該送信データそれぞれの送信時刻を取得する取得ステップと、指定された時刻から第１時間内における、同一の攻撃ホストに関する前記送信時刻の分布を示す分布データを生成する生成ステップと、複数のホストに対応する複数の前記分布データの中から、分布の特徴が類似する第１分布データをクラスタリングし、１以上のクラスタを生成する分類ステップと、前記クラスタに対応するホストに関して、前記第１分布データの生成対象時刻の後の第２時間内に対して生成された第２分布データの集合から分布の特徴を抽出し、特徴データを当該クラスタに関連付けて記憶する関連付けステップと、ある時刻以前の第１時間内に前記クラスタのいずれかに分類される新たな分布データが生成された場合、当該時刻以降に同一の攻撃ホストがデータ送信する挙動の推定データとして、前記クラスタに関連付けられている前記特徴データを出力する出力ステップと、をコンピュータが実行する攻撃ホストの挙動解析方法。

【0021】

このような構成によれば、攻撃ホストの挙動解析方法をコンピュータが実行することにより、（１）と同様の効果が期待できる。

【0022】

（８）既知の攻撃ホストからの送信データに関して、当該送信データそれぞれの送信時刻を取得する取得ステップと、指定された時刻から第１時間内における、同一の攻撃ホストに関する前記送信時刻の分布を示す分布データを生成する生成ステップと、複数のホストに対応する複数の前記分布データの中から、分布の特徴が類似する第１分布データをクラスタリングし、１以上のクラスタを生成する分類ステップと、前記クラスタに対応するホストに関して、前記第１分布データの生成対象時刻の後の第２時間内に対して生成された第２分布データの集合から分布の特徴を抽出し、特徴データを当該クラスタに関連付けて記憶する関連付けステップと、ある時刻以前の第１時間内に前記クラスタのいずれかに分類される新たな分布データが生成された場合、当該時刻以降に同一の攻撃ホストがデータ送信する挙動の推定データとして、前記クラスタに関連付けられている前記特徴データを出力する出力ステップと、をコンピュータに実行させるための攻撃ホストの挙動解析プログラム。

【0023】

このような構成によれば、攻撃ホストの挙動解析プログラムをコンピュータに実行させることにより、（１）と同様の効果が期待できる。

【発明の効果】

【0024】

本発明によれば、攻撃ホストが今後どのような挙動を示すかを予測できる。

【図面の簡単な説明】

【0025】

【図1】実施形態に係る解析装置を含むシステムの概要図である。

【図2】実施形態に係る解析装置の機能構成を示す図である。

【図3】実施形態に係るベクトルの一例を示す図である。

【図4】実施形態に係る解析データの生成処理を示すフローチャートである。

【図5】実施形態に係る攻撃ホストの挙動の予測処理を示すフローチャートである。

【発明を実施するための形態】

【0026】

本発明の実施形態の一例について説明する。
本実施形態に係る解析装置１（攻撃ホストの挙動解析装置）は、ネットワーク上のトラフィックフローデータから、既知の攻撃ホストの挙動を解析することにより、今後の攻撃ホストの挙動を予測するサーバ装置である。なお、攻撃ホストとは、例えば、迷惑メール又は攻撃パケット等のデータを送信するサーバである。以下、送信データは、迷惑メールであるとして説明する。

【0027】

図１は、本実施形態に係る解析装置１を含むシステムの概要図である。
攻撃ホスト２（メールサーバ）から送信される迷惑メールは、バックボーンネットワークのルータ４を通過する。収集サーバ３は、このルータ４から、攻撃ホスト２のＩＰアドレスに関するトラフィック情報をして、トラフィックフローデータ又はパケットキャプチャデータ等を収集し、解析装置１へ提供する。

【0028】

図２は、本実施形態に係る解析装置１の機能構成を示す図である。
解析装置１は、制御部１０と、記憶部２０と、通信部３０と、入力部４０と、表示部５０とを備える。

【0029】

制御部１０は、解析装置１の全体を制御する部分であり、記憶部２０に記憶された各種プログラムを適宜読み出して実行することにより、前述のハードウェアと協働し、本実施形態における各種機能を実現している。制御部１０は、ＣＰＵ（Ｃｅｎｔｒａｌ Ｐｒｏｃｅｓｓｉｎｇ Ｕｎｉｔ）であってよい。なお、制御部１０が備える各部の機能は後述する。

【0030】

記憶部２０は、ハードウェア群を解析装置１として機能させるための各種プログラム、本実施形態の各種機能を制御部１０に実行させるためのプログラム、及び各種データ等を記憶する。なお、記憶部２０が記憶する各種データは後述する。

【0031】

通信部３０は、解析装置１が他の装置と情報を送受信する場合のネットワーク・アダプタであり、収集サーバ３又はネットワーク内のルータ４等に直接アクセスし、ネットワークフローデータ又はパケットキャプチャデータ等のトラフィック情報を取得して制御部１０へ提供する。

【0032】

入力部４０は、解析装置１に対するユーザからの指示入力を受け付けるインタフェース装置である。入力部４０は、例えばキー操作部又はタッチパネル等により構成される。

【0033】

表示部５０は、ユーザにデータの入力を受け付ける画面を表示したり、解析装置１による処理結果の画面を表示したりするものである。表示部５０は、液晶ディスプレイや有機ＥＬディスプレイであってよい。

【0034】

前述の制御部１０は、取得部１１と、生成部１２と、分類部１３と、関連付け部１４と、出力部１５と、調整部１６とを備える。また、記憶部２０は、トラフィック情報２１と、解析データ２２とを記憶する。

【0035】

取得部１１は、ＩＰアドレスで特定される既知の攻撃ホスト２からの送信データに関して、この送信データそれぞれの送信時刻を含むトラフィック情報２１を、通信部３０を介して取得し、記憶部２０に記憶する。
既知の攻撃ホスト２のＩＰアドレスは、例えば、既存のブラックリストやコンテンツフィルタによって迷惑メールと判定されたメールの送信ホストを抽出することにより取得される。

【0036】

生成部１２は、トラフィック情報２１に基づいて、指定された時刻（Ｔ）から第１時間（Ｄ）内における、同一の攻撃ホスト２に関する送信時刻の分布を示す分布データを生成する。
具体的には、分布データは、第１時間（Ｄ）を所定数に分割した時間帯（例えば、１時間）毎の送信データの有無を要素とするベクトルである。

【0037】

図３は、本実施形態に係る分布データとしてのベクトルの一例を示す図である。
時刻Ｔから第１時間Ｄの間について、１時間毎に攻撃ホスト２から迷惑メールが送信されたか否かがトラフィック情報２１に基づいて判定される。各時間帯がそれぞれベクトルの要素１つとなり、迷惑メールが送信された時間帯に対応する要素の値は「１」、迷惑メールが送信されなかった時間帯に対応する要素の値は「０」となる。

【0038】

例えば、時刻Ｔから時刻Ｔ＋１までは迷惑メールが送信されなかったので、ベクトルの第１項は「０」、時刻Ｔ＋１から時刻Ｔ＋２までは迷惑メールが送信されなかったので、ベクトルの第２項は「１」となる。
なお、解析装置１は、攻撃ホスト２から送信されたメールは全て迷惑メールとみなしてベクトルを生成することにより、処理負荷が低減される。

【0039】

分類部１３は、複数のホストに対応する複数のベクトルの中から、分布の特徴が類似するベクトル（第１分布データ）をクラスタリングし、１以上のクラスタを生成する。
具体的には、分類部１３は、例えば、ｋ−ｍｅａｎｓ又はＸ−ｍｅａｎｓ等の教師なしのクラスタリングアルゴリズムを用いて、クラスタを生成する。これにより、攻撃ホスト２の過去の挙動が複数パターンに分類される。

【0040】

また、分類部１３は、各クラスタに含まれるベクトルの集合の中心を示すベクトル（例えば、重心ベクトル）によってクラスタの特徴を表す意味付け（例えば、メールを送り続ける、メールを送り続けた後に停止する、メールを一時的（バースト状）に送る等）を行う。

【0041】

また、生成部１２は、各クラスタに対応するホストに関して、ベクトル（第１分布データ）の生成対象時刻（時刻Ｔから時刻Ｔ＋Ｄ）の後の第２時間内（例えば、時刻Ｔ＋Ｄから時刻Ｔ＋Ｄ＋Ｄまで）に対して新たにベクトル（第２分布データ）を生成する。

【0042】

関連付け部１４は、新たに生成されたベクトル（第２分布データ）の集合から分布の特徴を抽出し、特徴データをクラスタに関連付けて解析データ２２として記憶する。

【0043】

ここで、特徴データは、ベクトル（第２分布データ）の集合の中心を示すベクトル（例えば、重心ベクトル）であってよい。このとき、関連付け部は、生成されたベクトル（第２分布データ）の集合をクラスタリングし、要素数が最大のクラスタに対して、特徴データを生成する。
これにより、過去の挙動（第１分布データの特徴）と、この過去の挙動の後に現れる未来の挙動（第２分布データの特徴）との関連付けが記憶される。

【0044】

出力部１５は、解析データ２２が記憶された後、ある時刻以前の第１時間（Ｄ）内に前記クラスタのいずれかに分類される新たな分布データが生成された場合、この時刻以降に同一の攻撃ホスト２がデータ送信する挙動の推定データとして、分類されたクラスタに関連付けられている特徴データを出力する。
出力部１５は、表示部５０へ、又は通信部３０を介して外部端末へ攻撃ホスト２の未来の挙動の推定データを出力する。

【0045】

調整部１６は、第１時間（Ｄ）、及びこの第１時間を分割する所定数、すなわち迷惑メールの送信の有無を判断する時間間隔（例えば、１時間）を、通信部３０又は入力部４０等からの指定入力に基づいて調整する。

【0046】

図４は、本実施形態に係る解析データ２２の生成処理を示すフローチャートである。
ステップＳ１において、取得部１１は、既知の攻撃ホスト２からの送信データそれぞれのトラフィック情報２１を、通信部３０を介して取得し、記憶部２０に記憶する。

【0047】

ステップＳ２において、生成部１２は、ステップＳ１で記憶されたトラフィック情報２１に基づいて、指定された時刻（Ｔ）から第１時間（Ｄ）内における、同一の攻撃ホストに関する送信時刻の分布を示すベクトル（第１分布データ）を生成する。

【0048】

ステップＳ３において、分類部１３は、ステップＳ２で生成されたベクトル（第１分布データ）を、所定のアルゴリズムによりクラスタリングし、１以上のクラスタを生成する。

【0049】

ステップＳ４において、生成部１２は、ステップＳ３で生成されたクラスタそれぞれについて、ベクトル（第１分布データ）の生成対象時刻（時刻Ｔから時刻Ｔ＋Ｄ）の後の第２時間内（例えば、時刻Ｔ＋Ｄから時刻Ｔ＋Ｄ＋Ｄまで）に対して新たにベクトル（第２分布データ）を生成する。

【0050】

ステップＳ５において、関連付け部１４は、ステップＳ４で生成されたベクトル（第２分布データ）の集合から分布の特徴を抽出し、特徴データを対応するクラスタに関連付けて解析データ２２として記憶する。

【0051】

図５は、本実施形態に係る攻撃ホスト２の挙動の予測処理を示すフローチャートである。
ステップＳ１１において、取得部１１は、解析対象の攻撃ホスト２に関するトラフィック情報２１を、通信部３０を介して取得し、記憶部２０に記憶する。

【0052】

ステップＳ１２において、生成部１２は、ステップＳ１１で記憶されたトラフィック情報２１に基づいて、ある時刻までの第１時間（Ｄ）内における、迷惑メールの送信時刻の分布を示すベクトルを生成する。

【0053】

ステップＳ１３において、出力部１５は、ステップＳ１２で生成されたベクトルに類似したクラスタ、すなわちベクトルが分類され得るクラスタが解析データ２２にあるか否かを判定する。この判定がＹＥＳの場合、処理はステップＳ１４に移り、判定がＮＯの場合、処理は終了する。

【0054】

ステップＳ１４において、出力部１５は、ステップＳ１３で判定されたクラスタに関連付けられている特徴データを、攻撃ホスト２の未来の挙動の推定データとして出力する。なお、ステップＳ１３において、いずれのクラスタにも分類されなかった場合、出力部１５は、推定データを出力しない。

【0055】

以上のように、本実施形態によれば、解析装置１は、既知の攻撃ホスト２の過去の挙動を分類したクラスタと、未来の挙動を示す特徴データとを関連付けて記憶する。したがって、解析装置１は、あるホストについて、いずれかのクラスタに分類される挙動が確認できた場合、このクラスタに関連付けられている特徴データによって、このホストの未来の挙動を予測できる。

【0056】

この結果、解析装置１は、未来の挙動の予測に基づいて、例えば、今後も定常的に迷惑メールが送信されると予測されれば、対象の攻撃ホスト２との通信を遮断する等、判断を下すことができる。
さらに、ネットワークの管理者は、ネットワークの構成変更又は設備増設等を行う際に、攻撃ホスト２の挙動を見積もり、トラフィック量の概算を計算できるので、無駄な設備投資を抑制できる。

【0057】

また、解析装置１は、過去の挙動を示す分布データとして、時間帯毎の送信データの有無を示す数値データ、具体的にはベクトルを用いて、容易にクラスタリング及び特徴データの関連付けを行うことができる。

【0058】

また、解析装置１は、過去の挙動を示すクラスタに対応する未来の挙動を示すベクトルの集合をクラスタリングし、最大要素のクラスタを選択することにより、ノイズを抑制して、予測精度を向上できる。

【0059】

また、解析装置１は、分布データを生成する期間（第１時間＝Ｄ）及び分割数を調整できる。したがって、管理者は、解析装置１を運用する上で、状況に応じて適切な期間及び分割数を設定し、予測精度を向上できる。

【0060】

以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、本実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本実施形態に記載されたものに限定されるものではない。

【0061】

解析装置１は、ネットワークに接続可能な情報処理装置の一例であり、サーバ装置又はＰＣ（Ｐｅｒｓｏｎａｌ Ｃｏｍｐｕｔｅｒ）等、様々な情報処理装置（コンピュータ）であってよく、前述の各機能は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、上記情報処理装置にインストールされる。また、これらのプログラムは、ＣＤ−ＲＯＭのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。

【符号の説明】

【0062】

１ 解析装置（攻撃ホストの挙動解析装置）
１０ 制御部
１１ 取得部
１２ 生成部
１３ 分類部
１４ 関連付け部
１５ 出力部
１６ 調整部
２０ 記憶部
２１ トラフィック情報
２２ 解析データ
３０ 通信部
４０ 入力部
５０ 表示部

【図1】

【図2】

【図3】

【図4】

【図5】