知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】5926413
(24)【登録日】2016年4月28日
(45)【発行日】2016年5月25日
(54)【発明の名称】情報処理装置、情報処理方法及びプログラム
(51)【国際特許分類】
H04L 12/70 20130101AFI20160516BHJP
G06F 21/55 20130101ALI20160516BHJP
G06F 13/00 20060101ALI20160516BHJP
【FI】
H04L12/70 100Z
G06F21/55 320
G06F13/00 353U
【請求項の数】6
【全頁数】15
(21)【出願番号】特願2015-27777(P2015-27777)
(22)【出願日】2015年2月16日
【審査請求日】2016年1月19日
【早期審査対象出願】
(73)【特許権者】
【識別番号】500072884
【氏名又は名称】株式会社ラック
(74)【代理人】
【識別番号】100104880
【弁理士】
【氏名又は名称】古部 次郎
(74)【代理人】
【識別番号】100118108
【弁理士】
【氏名又は名称】久保 洋之
(72)【発明者】
【氏名】初田 淳一
【審査官】
安藤 一道
(56)【参考文献】
【文献】
特開2015−179979(JP,A)
【文献】
特開2015−222471(JP,A)
【文献】
特開2004−302656(JP,A)
【文献】
国際公開第2015/141640(WO,A1)
【文献】
国際公開第2015/186155(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/70
G06F 13/00
G06F 21/55
(57)【特許請求の範囲】
【請求項1】
監視対象とするネットワーク上で対象期間内に検知された通信に含まれる情報を取得する取得手段と、
前記取得手段にて取得された情報により、前記通信のうち少なくとも当該通信におけるデータの送信先が同一である通信を抽出する抽出手段と、
前記抽出手段にて抽出された通信について、前記対象期間を予め定められた第1期間ごとに順に区切り、区切られた複数の当該第1期間のうち、当該第1期間内で最初の通信と最後の通信との間隔が予め定められた第2期間よりも長い当該第1期間の数をカウントするカウント手段と、
前記カウント手段によるカウント数に基づく情報を出力する出力手段と
を備える情報処理装置。
前記取得手段にて取得された情報により、前記通信のうち少なくとも当該通信におけるデータの送信先が同一である通信を抽出する抽出手段と、
前記抽出手段にて抽出された通信について、前記対象期間を予め定められた第1期間ごとに順に区切り、区切られた複数の当該第1期間のうち、当該第1期間内で最初の通信と最後の通信との間隔が予め定められた第2期間よりも長い当該第1期間の数をカウントするカウント手段と、
前記カウント手段によるカウント数に基づく情報を出力する出力手段と
を備える情報処理装置。
【請求項2】
前記出力手段は、前記カウント手段によるカウント数をもとに、前記抽出手段にて抽出された前記送信先ごとの通信を、当該カウント数に基づく順番で並べて表示すること
を特徴とする請求項1に記載の情報処理装置。
を特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記出力手段は、前記抽出手段にて抽出された前記送信先ごとの通信のうち、前記カウント手段によるカウント数が予め定められた基準を満たす通信について、当該通信に関する情報を出力すること
を特徴とする請求項1または2に記載の情報処理装置。
を特徴とする請求項1または2に記載の情報処理装置。
【請求項4】
前記抽出手段は、通信におけるデータの送信先及び送信元が同一である通信を抽出すること
を特徴とする請求項1乃至3のいずれか1項に記載の情報処理装置。
を特徴とする請求項1乃至3のいずれか1項に記載の情報処理装置。
【請求項5】
監視対象とするネットワーク上で対象期間内に検知された通信に含まれる情報を取得するステップと、
取得された前記情報により、前記通信のうち少なくとも当該通信におけるデータの送信先が同一である通信を抽出するステップと、
抽出された前記通信について、前記対象期間を予め定められた第1期間ごとに順に区切り、区切られた複数の当該第1期間のうち、当該第1期間内で最初の通信と最後の通信との間隔が予め定められた第2期間よりも長い当該第1期間の数をカウントするステップと、
カウント数に基づく情報を出力するステップと
を含む情報処理方法。
取得された前記情報により、前記通信のうち少なくとも当該通信におけるデータの送信先が同一である通信を抽出するステップと、
抽出された前記通信について、前記対象期間を予め定められた第1期間ごとに順に区切り、区切られた複数の当該第1期間のうち、当該第1期間内で最初の通信と最後の通信との間隔が予め定められた第2期間よりも長い当該第1期間の数をカウントするステップと、
カウント数に基づく情報を出力するステップと
を含む情報処理方法。
【請求項6】
コンピュータに、
監視対象とするネットワーク上で対象期間内に検知された通信に含まれる情報を取得する機能と、
取得された前記情報により、前記通信のうち少なくとも当該通信におけるデータの送信先が同一である通信を抽出する機能と、
抽出された前記通信について、前記対象期間を予め定められた第1期間ごとに順に区切り、区切られた複数の当該第1期間のうち、当該第1期間内で最初の通信と最後の通信との間隔が予め定められた第2期間よりも長い当該第1期間の数をカウントする機能と、
カウント数に基づく情報を出力する機能と
を実現させるためのプログラム。
監視対象とするネットワーク上で対象期間内に検知された通信に含まれる情報を取得する機能と、
取得された前記情報により、前記通信のうち少なくとも当該通信におけるデータの送信先が同一である通信を抽出する機能と、
抽出された前記通信について、前記対象期間を予め定められた第1期間ごとに順に区切り、区切られた複数の当該第1期間のうち、当該第1期間内で最初の通信と最後の通信との間隔が予め定められた第2期間よりも長い当該第1期間の数をカウントする機能と、
カウント数に基づく情報を出力する機能と
を実現させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置、情報処理方法及びプログラムに関する。
【背景技術】
【0002】
近年、コンピュータウイルスに代表されるマルウェアは、侵入方法、攻撃手法の何れにおいても高度化かつ巧妙化しており、その被害を未然に防ぐことや被害を局所化することが困難になりつつある。従来のマルウェアの場合は、その攻撃と被害の関係が容易に推測でき、対処の難易度の違いはあれど、比較的早期に発見できた。しかし、現在のマルウェアの場合は、その侵入に気が付き難く、発見されるまでに甚大な被害が生じてしまっている。
【0003】
マルウェアを検出する技術として、例えば、特許文献1には、異常外部通信を所定時間内に所定回数以上行っている内部端末間で、異常内部通信が所定回数以上行われている場合に、内部ネットワーク内でマルウェアが発生していると判断するマルウェア検出装置が開示されている。
【0004】
また、例えば、特許文献2には、端末からの社内ネットワークに対する接続要求毎に、接続要求を行った端末における最終接続時刻からの経過時間を算出し、予め設定された許容時間と比較し、最終接続時刻からの経過時間が許容時間を超える場合に、接続要求を行った端末を不適合端末として社内ネットワークへの接続を禁止する技術が開示されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2012−84994号公報
【特許文献2】特開2008−160249号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
マルウェアに感染した端末は、攻撃者からの指令に従って処理を実行するために、外部にある攻撃者のサーバとの間で例えば定期的に繰り返して通信を行う場合がある。しかし、このような通信は、インターネット向けのほかの通信に紛れてしまい、発見するのが非常に困難であった。本発明の目的は、監視対象とするネットワーク上で繰り返し行われる通信の把握を容易にすることにある。
【課題を解決するための手段】
【0007】
かかる目的のもと、本発明は、監視対象とするネットワーク上で対象期間内に検知された通信に含まれる情報を取得する取得手段と、取得手段にて取得された情報により、通信のうち少なくとも通信におけるデータの送信先が同一である通信を抽出する抽出手段と、抽出手段にて抽出された通信について、対象期間を予め定められた第1期間ごとに順に区切り、区切られた複数の第1期間のうち、第1期間内で最初の通信と最後の通信との間隔が予め定められた第2期間よりも長い第1期間の数をカウントするカウント手段と、カウント手段によるカウント数に基づく情報を出力する出力手段とを備える、情報処理装置を提供する。ここで、出力手段は、カウント手段によるカウント数をもとに、抽出手段にて抽出された送信先ごとの通信を、カウント数に基づく順番で並べて表示するもの、であってよい。
また、出力手段は、抽出手段にて抽出された送信先ごとの通信のうち、カウント手段によるカウント数が予め定められた基準を満たす通信について、通信に関する情報を出力するもの、であってよい。
さらに、抽出手段は、通信におけるデータの送信先及び送信元が同一である通信を抽出するもの、であってよい。
さらに、本発明は、監視対象とするネットワーク上で対象期間内に検知された通信に含まれる情報を取得するステップと、取得された情報により、通信のうち少なくとも通信におけるデータの送信先が同一である通信を抽出するステップと、抽出された通信について、対象期間を予め定められた第1期間ごとに順に区切り、区切られた複数の第1期間のうち、第1期間内で最初の通信と最後の通信との間隔が予め定められた第2期間よりも長い第1期間の数をカウントするステップと、カウント数に基づく情報を出力するステップとを含む、情報処理方法も提供する。
そして、本発明は、コンピュータに、監視対象とするネットワーク上で対象期間内に検知された通信に含まれる情報を取得する機能と、取得された情報により、通信のうち少なくとも通信におけるデータの送信先が同一である通信を抽出する機能と、抽出された通信について、対象期間を予め定められた第1期間ごとに順に区切り、区切られた複数の第1期間のうち、第1期間内で最初の通信と最後の通信との間隔が予め定められた第2期間よりも長い第1期間の数をカウントする機能と、カウント数に基づく情報を出力する機能とを実現させるための、プログラムも提供する。
【発明の効果】
【0008】
本発明によれば、監視対象とするネットワーク上で繰り返し行われる通信の把握が容易になる。
【図面の簡単な説明】
【0009】
【図1】本実施の形態が適用されるコンピュータシステムの全体構成例を示した図である。
【図2】本実施の形態に係る通信分析装置の機能構成例を示したブロック図である。
【図3】通信分析装置を適用するのに好適なコンピュータのハードウェア構成の一例を示した図である。
【図4】通信ログをもとにカウント数に基づく情報を出力する手順の一例を示したフローチャートである。
【図5】通信ログ取得部が取得する通信ログの一例を示す図である。
【図6】(a)〜(d)は、カウント部によるカウント処理の具体例を説明するための図である。
【図7】カウント部によるカウント数に基づく情報を出力する処理の具体例を説明するための図である。
【発明を実施するための形態】
【0010】
以下、添付図面を参照して、本発明の実施の形態について詳細に説明する。<システム構成>
まず、本実施の形態が適用されるコンピュータシステムについて説明する。図1は、本実施の形態が適用されるコンピュータシステムの全体構成例を示した図である。図示するように、このコンピュータシステムでは、クライアント端末10a、10b、10cが社内LAN(Local Area Network)40に接続されている。また、通信分析装置20が社内LAN40及びインターネット50の両方に接続されている。さらに、攻撃者サーバ30がインターネット50に接続されている。
【0011】
クライアント端末10a、10b、10cは、ユーザが使用するコンピュータであり、例えば、パーソナルコンピュータやワークステーション、その他のコンピュータ装置にて実現される。また、本実施の形態において、クライアント端末10a、10b、10cは、マルウェアに感染することがあるものとする。ここで、マルウェアとは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称である。例えば、マルウェアの一つであるボットは、コンピュータに感染した後、C&C(コマンド&コントロール)サーバと呼ばれる制御用サーバに接続して攻撃者からの指令を待ち、感染したコンピュータ上で指令どおりの処理を実行する。
【0012】
なお、図1では、クライアント端末10a、10b、10cを示したが、これらを区別する必要がない場合にはクライアント端末10と称することもある。また、図1には3台のクライアント端末10しか示していないが、クライアント端末10の台数は図示の3台には限定されない。
【0013】
通信分析装置20は、社内LAN40とインターネット50との間のネットワークを監視対象とし、監視対象とするネットワーク上で検知された通信について、通信間隔に基づく情報を出力する。出力される通信間隔に基づく情報は、攻撃である可能性の高い不正な通信を検出するためのものである。具体的には、通信分析装置20は、クライアント端末10から社内LAN40を介してインターネット50へアクセスする通信を対象に、マルウェアによる不正通信を検出するための情報を出力する。また、通信分析装置20は、例えば、クライアント端末10から社内LAN40を介してインターネット50へアクセスする際に経由するように設置されたプロキシサーバ(不図示)に蓄えられている通信のログなどをもとに情報の出力を行う。
【0014】
この通信分析装置20は、ゲートウェイ等の通信装置の中に設けられても良いし、通信装置とは独立に設けられても良い。また、図1では、通信分析装置20を社内LAN40とインターネット50との間の通信回線上にインラインで設置するのではなく、例えば、プロキシサーバなどから通信分析装置20が通信ログを取得するような構成にしているが、通信分析装置20をインラインで設置した構成にしても良い。本実施の形態では、情報処理装置の一例として、通信分析装置20が用いられる。
【0015】
攻撃者サーバ30は、マルウェアに感染したクライアント端末10が通信の接続先とするサーバであり、攻撃者が運営しているものである。この攻撃者サーバ30は、例えばクライアント端末10がボットに感染した場合には、クライアント端末10が攻撃者からの指令を待つために接続する接続先の制御用サーバに該当する。また、図1には1台の攻撃者サーバ30しか示していないが、2台以上の攻撃者サーバ30が存在する場合もあるものとする。
【0016】
社内LAN40は、会社内のコンピュータやプリンタを専用回線等で接続し、これらの間でデータを送受信できるようにしたネットワークである。
【0017】
インターネット50は、TCP/IP(Transmission Control Protocol/Internet Protocol)を用いて全世界のネットワークを相互に接続した巨大なネットワークである。
【0018】
上述したように、本実施の形態において、クライアント端末10は、マルウェアに感染した場合、不正なサーバである攻撃者サーバ30に接続する。その際、クライアント端末10は、攻撃者サーバ30からの指令に従って処理を実行するために、例えば10秒などの間隔で、繰り返して攻撃者サーバ30との間で通信を行う場合がある。そこで、通信分析装置20は、クライアント端末10から社内LAN40を介してインターネット50へアクセスする通信を対象にその通信間隔を調べて、攻撃者サーバ30との間の通信である可能性がある、繰り返し行われる通信を検出するための情報を出力する。
【0020】
図示するように、通信分析装置20は、社内LAN40(図1参照)とインターネット50(図1参照)との間のネットワーク上で検知された通信のログを取得する通信ログ取得部21と、取得された通信ログのうち分析の対象とする通信ログを抽出する通信ログ抽出部22とを備えている。また、通信分析装置20は、通信ログの取得対象とした期間を予め定められた期間である第1期間の長さで区切り、各第1期間について、最初の通信と最後の通信との間隔が予め定められた期間である第2期間を超えていればカウントするカウント部23と、カウント部23によるカウントの処理に用いられる第1期間及び第2期間の設定値を記憶する設定値記憶部24と、カウント部23によるカウント数に基づく情報を出力する情報出力部25とを備えている。
【0021】
取得手段の一例としての通信ログ取得部21は、社内LAN40とインターネット50との間のネットワークを監視対象とし、監視対象とするネットワーク上で検知された通信のログを取得する。ここで、通信ログ取得部21は、例えば管理者の操作を契機として、クライアント端末10から社内LAN40を介してインターネット50へアクセスする通信のログをプロキシサーバ(不図示)から取得する。
【0022】
通信ログとしては、例えば管理者が指定した期間や1週間などの予め定められた期間を取得の対象期間として、その対象期間内に検知されたものが取得される。また、通信ログには、例えば、その通信におけるデータの送信先の情報、データの送信元の情報、通信が行われた日時等の情報が含まれている。なお、通信ログは、プロキシサーバから取得するような構成に限られず、例えば、通信分析装置20がインラインで設置された場合に通信分析装置20内で格納しておいても良い。
【0023】
抽出手段の一例としての通信ログ抽出部22は、通信ログ取得部21が取得した通信ログのうち、分析対象とする通信ログの集合を抽出する。ここで、通信ログ抽出部22は、通信ログ取得部21が取得した各通信ログについて、データの送信先を識別可能な情報(以下、送信先情報と称する)及びデータの送信元を識別可能な情報(以下、送信元情報と称する)を特定する。送信先情報には、例えば、データの送信先である装置のドメイン名やIPアドレス、送信先のURL(Uniform Resource Locator)などの情報が含まれる。また、送信元情報には、例えば、データの送信元であるクライアント端末10のIPアドレス、クライアント端末10を使用するユーザとして設定されているユーザ名、クライアント端末10に設定されているコンピュータ名などの情報が含まれる。
【0024】
そして、通信ログ抽出部22は、各通信ログの送信先情報及び送信元情報をもとに、送信先及び送信元のペアが同一である複数の通信ログを分析対象として、それぞれのペアごとに抽出する。例えば、通信ログ取得部21が取得した通信ログのうち、送信先のドメインが「ドメインA」で、送信元のユーザ名が「ユーザA」である通信ログが1000個存在する場合、通信ログ抽出部22は、その1000個の通信ログの集合を分析対象として抽出する。
【0025】
また、以下では、通信ログ抽出部22は、送信先及び送信元のペアが同一である複数の通信ログを分析対象として抽出する場合について説明するが、少なくともデータの送信先が同一である通信ログを分析対象として抽出しても良い。この場合、例えば、送信先のドメインが「ドメインA」の通信ログが2000個あれば、その2000個の通信ログが分析対象としてまとめて抽出されることとなる。
【0026】
カウント手段の一例としてのカウント部23は、通信ログ抽出部22が分析対象として抽出した通信ログの集合について、取得の対象期間の前から順番に第1期間の長さで区切っていく。そして、カウント部23は、区切られた第1期間のそれぞれについて、第1期間内の最初の通信と最後の通信との間隔が第2期間よりも長いか否かを判定する。ここで、最初の通信と最後の通信との間隔が第2期間を超えていれば、カウント部23はカウント数を1増やす処理を行う。一方、最初の通信と最後の通信との間隔が第2期間を超えていなければ、カウント部23はカウントしない。
【0027】
例えば、区切られた第1期間が100個存在する場合、カウント部23は、その100個の第1期間のそれぞれについて、分析対象とした通信ログの最初の通信と最後の通信との間隔が第2期間よりも長いか否かを判定する。そして、カウント部23は、第2期間を超えていると判定するごとにカウントする。例えば、100個の第1期間のうち最初の通信と最後の通信との間隔が第2期間を超えているものが60個存在すれば、カウント数は60となる。
【0028】
設定値記憶部24は、カウント部23によるカウントの処理に用いられる第1期間及び第2期間の設定値を記憶する。第1期間としては、例えば、10分、5分、1分などの期間が設定される。また、第2期間は、第1期間よりも短く、例えば、第1期間が10分の場合には第2期間は8分、第1期間が5分の場合には第2期間は4分、第1期間が1分の場合には第2期間は40秒などのように設定される。このような第1期間及び第2期間の値は、例えば管理者の入力により予め設定されるものとする。
【0029】
出力手段の一例としての情報出力部25は、カウント部23によるカウント数に基づく情報を出力する。ここで、情報出力部25は、通信ログ抽出部22が分析対象として抽出した通信ログの集合について、カウント部23がカウントしたカウント数を取得する。そして、情報出力部25は、取得したカウント数に基づく情報を出力する。例えば、情報出力部25は、通信ログの集合を、カウント数が多い順番や少ない順番などのカウント数に基づく順番で並べて表示部(不図示)に表示する。
【0030】
また、情報出力部25は、カウント数が予め定められた基準を満たす通信について、その通信に関する情報を表示部に表示しても良い。例えば、情報出力部25は、カウント数が予め定められた閾値を超える通信ログの集合について、その通信が不正通信の可能性があることを示す表示をしたり、アラートを表示したりする。また、例えば、情報出力部25は、カウント数が予め定められた閾値以下である通信ログの集合について、その通信が正常な通信であることを示す表示を行う。
【0031】
<通信分析装置のハードウェア構成例>次に、本実施の形態に係る通信分析装置20のハードウェア構成について説明する。図3は、通信分析装置20を適用するのに好適なコンピュータのハードウェア構成の一例を示した図である。図示するように、通信分析装置20は、演算手段であるCPU(Central Processing Unit)20aと、主記憶手段であるメモリ20cを備える。また、外部デバイスとして、磁気ディスク装置(HDD:Hard Disk Drive)20g、ネットワーク・インターフェイス20f、ディスプレイ装置を含む表示機構20d、音声機構20h、キーボードやマウス等の入力デバイス20i等を備える。
【0032】
図3に示す構成例では、メモリ20cおよび表示機構20dは、システム・コントローラ20bを介してCPU20aに接続されている。また、ネットワーク・インターフェイス20f、磁気ディスク装置20g、音声機構20hおよび入力デバイス20iは、I/Oコントローラ20eを介してシステム・コントローラ20bと接続されている。各構成要素は、システム・バスや入出力バス等の各種のバスによって接続される。
【0033】
また、図3において、磁気ディスク装置20gにはOSのプログラムやアプリケーション・プログラムが格納されている。そして、これらのプログラムがメモリ20cに読み込まれてCPU20aに実行されることにより、本実施の形態に係る通信分析装置20の通信ログ取得部21、通信ログ抽出部22、カウント部23、情報出力部25の機能が実現される。また、例えば、磁気ディスク装置20g等の記憶する手段により、設定値記憶部24が実現される。
【0034】
なお、図3は、本実施の形態が適用されるのに好適なコンピュータのハードウェア構成を例示するに過ぎない。本実施の形態は、カウント数に基づく情報を出力する装置に広く適用できるものであり、図示の構成においてのみ本実施の形態が実現されるのではない。
【0035】
<通信分析装置の処理手順>次に、通信分析装置20が通信ログをもとにカウント数に基づく情報を出力する処理の手順について説明する。図4は、通信ログをもとにカウント数に基づく情報を出力する手順の一例を示したフローチャートである。
【0036】
まず、通信ログ取得部21は、社内LAN40とインターネット50との間のネットワーク上で取得の対象期間内に検知された通信のログであり、クライアント端末10からインターネット50へアクセスする通信のログをプロキシサーバから取得する(ステップ101)。次に、通信ログ抽出部22は、通信ログ取得部21が取得した通信ログのうち、分析対象とする通信ログの集合を抽出する(ステップ102)。ここで、通信ログ抽出部22は、各通信ログの送信先情報及び送信元情報をもとに、送信先及び送信元のペアが同一である複数の通信ログをまとめて抽出する。また、通常、対象期間内の通信ログは多数蓄積されており、送信元及び送信先のペアも多数存在する。そのため、通信ログ抽出部22は、送信先及び送信元のペアごとに、通信ログの集合を抽出する。
【0037】
次に、カウント部23は、抽出された通信ログの集合のうち1つを選択する(ステップ103)。そして、カウント部23は、選択した通信ログの集合について、対象期間の前から順番に第1期間の長さで区切っていく(ステップ104)。次に、カウント部23は、区切られた第1期間のうち1つを選択する(ステップ105)。そして、カウント部23は、通信ログの発生日時をもとに、選択した第1期間内で発生した最初の通信と最後の通信との間隔を計算し、計算した間隔が第2期間を超えているか否かを判定する(ステップ106)。
【0038】
最初の通信と最後の通信との間隔が第2期間を超えていると判定された場合(ステップ106でYes)、カウント部23はカウント数を1増やす(ステップ107)。一方、最初の通信と最後の通信との間隔が第2期間を超えていないと判定された場合(ステップ106でNo)、カウント部23はカウント数を増やさずそのままとする。
【0039】
次に、カウント部23は、ステップ104で区切られた第1期間の全てを選択したか否かを判定する(ステップ108)。まだ選択されていない第1期間があると判定された場合(ステップ108でNo)、ステップ105に移行する。一方、全ての第1期間が選択されたと判定された場合(ステップ108でYes)、カウント部23は、ステップ102で抽出された通信ログの集合の全てを選択したか否かを判定する(ステップ109)。
【0040】
まだ選択されていない通信ログの集合があると判定された場合(ステップ109でNo)、ステップ103に移行する。一方、通信ログの集合の全てが選択されたと判定された場合(ステップ109でYes)、次に、情報出力部25は、通信ログの集合ごとにカウント数を取得し、取得したカウント数に基づく情報を出力する(ステップ110)。ここで、情報出力部25は、通信ログの集合ごとに、ステップ105〜108にてカウントされたカウント数を取得し、取得したカウント数に基づく情報を出力する。例えば、情報出力部25は、通信ログの集合をカウント数が多い順番に並べて表示したり、カウント数が予め定められた閾値を超える通信ログの集合についてその通信が不正通信の可能性がある旨を表示したりする。そして、本処理フローは終了する。
【0042】
図5に示す通信ログには、データの送信先である装置のIPアドレス、データの送信元であるクライアント端末10のIPアドレス、送信元であるクライアント端末10のユーザ名、送信元であるクライアント端末10のコンピュータ名、通信が発生した日時の情報が含まれる。例えば、番号1の通信ログにおいて、送信先である装置のIPアドレスは「50.1.1.1」、送信元のクライアント端末10のIPアドレスは「111.22.33.44」である。また、送信元のクライアント端末10のユーザ名は「UserA」、送信元のクライアント端末10のコンピュータ名は「LAN−PC1」、通信の発生日時は「2015年1月1日10時」である。
【0043】
また、例えば、番号1、番号3及び番号4の通信ログについて、送信先のIPアドレスは「50.1.1.1」、送信元のIPアドレスは「111.22.33.44」であり、送信先及び送信元のペアが同一である。そのため、通信ログ抽出部22は、図5に示す通信ログから分析対象とする通信ログの集合を抽出する場合、番号1、番号3及び番号4の通信ログを抽出する。
【0044】
ここで、図5に示す通信ログでは、送信元情報として、送信元IPアドレス、送信元ユーザ名、送信元コンピュータ名が存在し、通信ログ抽出部22は、これらの送信元情報のうちのいずれかの情報を用いて通信ログの集合を抽出すれば良い。ただし、例えばDHCP(Dynamic Host Configuration Protocol)により自動的にクライアント端末10にIPアドレスが割り当てられるような場合、同じクライアント端末10であっても異なるIPアドレスで通信を行う場合がある。そのような場合には、通信ログ抽出部22は、送信元コンピュータ名や送信元ユーザ名等をもとに送信元であるクライアント端末10を識別して、通信ログの集合を抽出すれば良い。なお、通信ログに含まれる情報の種類は図5に示すものに限られるわけではなく、例えば、送信先情報として送信先である装置のドメイン名を用いても良い。
【0045】
<カウント処理の具体例>次に、カウント部23によるカウント処理について、具体例を挙げて説明する。図6(a)〜(d)は、カウント部23によるカウント処理の具体例を説明するための図である。図示の例では2つの第1期間を示しているが、以下では、1つ目の第1期間内の通信について説明する。
【0046】
まず、図6(a)に示す例では、繰り返し通信が行われ、第1期間内で8回の通信が発生している。そして、最初の通信と最後の通信との間隔が第2期間を超えている。そのため、カウント部23はカウント数を1増やす処理を行う。図6(b)に示す例では、第1期間内で2回の通信が発生しており、最初の通信と最後の通信との間隔が第2期間を超えている。そのため、図6(b)の場合には、図6(a)の場合よりも通信の発生回数は少ないが、カウント部23はカウント数を1増やす処理を行う。
【0047】
図6(c)に示す例では、第1期間内で5回の通信が発生しているが、短時間に5回の通信が行われており、最初の通信と最後の通信との間隔が第2期間を超えていない。そのため、カウント部23はカウントしない。図6(d)に示す例では、第1期間内で10回の通信が発生しており、最初の通信と最後の通信との間隔が第2期間を超えている。そのため、カウント部23はカウント数を1増やす処理を行う。
【0048】
ここで、図示の例で、第1期間を1分、第2期間を40秒とすると、図6(a)の例では、8秒ほどの間隔で繰り返し通信が発生している。上述したように、クライアント端末10がマルウェアに感染した場合、攻撃者サーバ30との間で繰り返し通信を行う場合がある。このような繰り返し行われる通信が発生した場合、ある第1期間においてカウント部23によるカウントが行われれば、他の第1期間においてもカウントが行われる可能性が高い。そのため、カウント数が多い通信であることを示す情報が出力されることで、繰り返し行われる通信であってマルウェアによる通信の可能性があるものとして把握される。
【0049】
また、図6(b)に示す例では、第1期間内に2回の通信が発生しており、マルウェアにより繰り返し発生したものか、マルウェアとは関係なく正常な通信として単発で発生したものかの判別はされない。ここで、2回の通信が単発で発生したものであれば、継続して他の第1期間でもカウントされる可能性は低い。そのため、正常な通信として単発で発生したものについては、カウント数が少ない通信であることを示す情報が出力されることとなる。一方、2回の通信がマルウェアにより繰り返し発生した通信であれば、他の第1期間においてもカウントが行われる可能性が高い。そのため、図6(a)に示す場合と同様に、カウント数が多い通信であることを示す情報が出力され、繰り返し行われる通信であってマルウェアによる通信の可能性があるものとして把握される。
【0050】
ここで、マルウェアにより繰り返し発生する通信であっても、その通信間隔が第1期間の1分を超える場合には、第1期間内で2回以上通信が行われることがないため、カウント部23によるカウントが行われないこととなる。このような場合には、第1期間の設定値を長くするように変更すれば、カウント部23によるカウントが行われる。
【0051】
次に、図6(c)に示す例は、ユーザが、例えばインターネット経由でウェブページを閲覧することにより、正常な通信が短時間に連続して発生した場合を示す。第1期間内で何度も通信が発生しているが、最初の通信と最後の通信との間隔が第2期間よりも短いため、カウント部23によるカウントは行われない。即ち、例えば定期的に繰り返し行われる通信ではなく、短時間に連続して発生する正常な通信については、カウントが行われず、カウント数が少ない通信であることを示す情報が出力される。
【0052】
一方、図6(d)に示す例は、ユーザが、例えばウェブページを閲覧した後にさらに違うウェブページを閲覧することにより、短時間に連続して通信が発生した後にさらに連続して通信が発生した場合を示す。この場合、マルウェアにより繰り返し行われる通信ではなく正常な通信であるが、最初の通信と最後の通信との間隔が第2期間を超えているため、カウント部23はカウント数を1増やす処理を行う。
【0053】
このように、ユーザがウェブページを閲覧する際、様々なウェブページを閲覧することにより連続する通信が複数箇所で発生し、最初の通信と最後の通信との間隔が第2期間を超える場合がある。ただし、ウェブページの閲覧において、通常、ユーザは閲覧するウェブページを頻繁に変えて連続する通信が常に複数箇所で発生するわけではない。また、ユーザがウェブページを閲覧する時間も例えば数時間など限られた時間であると考えられる。そのため、ある第1期間においてカウント部23によるカウントが行われても、他の第1期間でもカウントされるとは限らない。さらに、カウントされるのはユーザがウェブページを閲覧する時間に限られており、繰り返し行われる通信と比較するとカウント数は少なくなる。結果として、第1期間内に連続する正常な通信が複数箇所で発生した場合には、カウント数が少ない通信であることを示す情報が出力されることとなる。
【0054】
このようにして、カウント部23は、第1期間内で最初の通信と最後の通信との間隔が第2期間を超えていれば、カウント数を1増やす処理を行う。そのため、マルウェアにより繰り返し通信が行われている場合、第1期間においてカウントされてカウント数が増えることにより、マルウェアによる不正通信の可能性があるものとして管理者に把握され易くなる。
【0055】
一方、繰り返し行われる通信ではなく、単発で通信が発生した場合や連続する通信が複数箇所で発生した場合にも、カウント部23によりカウントされる場合がある。しかし、そのような通信のカウント数は継続して加算される可能性が低く、通信ログを取得する対象期間を長くすればするほど、繰り返し行われる通信と比較してカウント数が少なくなる。
【0056】
<カウント数に基づく情報を出力する処理の具体例>次に、カウント部23によるカウント数に基づく情報を出力する処理について、具体例を挙げて説明する。図7は、カウント部23によるカウント数に基づく情報を出力する処理の具体例を説明するための図である。図7に示す例は、例えば1日間で蓄積された通信ログのうち、送信先IPアドレス及び送信元IPアドレスのペアが同一である通信ログの集合を分析対象とし、カウント数が多い順番に各集合を上から並べたものである。
【0057】
例えば、番号1に示す通信ログの集合として、送信先IPアドレスが「50.1.1.1」、送信元IPアドレスが「111.22.33.44」の通信ログの集合について、カウント数が1000であることが示されている。同様に、他の通信ログの集合についてもカウント数が示され、カウント数が多い順番に各集合が上から並べられている。このように表示されることにより、管理者は、例えば、カウント数が多い通信ログは不正通信の可能性があると判断し、例えば該当の通信ログを詳細に調べる等の対応をすれば良い。
【0058】
また、情報出力部25は、カウント数が予め定められた閾値を超えていれば、その通信ログの集合について不正通信の可能性があることを示す表示を行うこととしても良い。例えば、予め定められた閾値を500とすれば、図7に示す番号1〜4の通信ログの集合が、不正通信の可能性があるものとして表示される。
【0059】
以上説明したように、本実施の形態に係る通信分析装置20は、監視対象とするネットワーク上で検知された通信のログについて、第1期間ごとに最初の通信と最後の通信との間隔を計算し、計算した間隔が第2期間を超えているか否かを判定する。そして、通信分析装置20は、計算した間隔が第2期間を超えていればカウント数を1増やし、それぞれの第1期間を対象として加算したカウント数に基づいて情報を出力する。
【0060】
そのため、マルウェアに感染したクライアント端末10が繰り返し通信を行うことにより、カウント数が多くなり、管理者は、出力された情報をもとに不正通信の可能性があるものとして把握し易くなる。ここで、繰り返し発生する通信はマルウェアによるものに限られるわけではなく、例えば、ウィルス対策用ソフトウェアの更新のために行われる正常な通信等も繰り返し行われる場合がある。本実施の形態では、マルウェアによるものではなく繰り返し行われる正常な通信も、カウント数が多くなり、不正通信の可能性があるものとして把握される場合がある。ただし、そのような正常な通信について、管理者は、例えば、予め正常なものとして登録したり、送信先IPアドレスをもとに正常なものと判断して登録したりすれば良い。そして、正常なものとして登録された通信については、例えば、カウントの対象から除外したり、管理者へ報知する表示画面には正常な通信として表示したりすれば良い。
【0061】
また、通信分析装置20は、プロキシサーバ等に蓄積された通信ログではなく、現在ネットワーク上に流れているトラフィックを対象にカウントすることとしても良い。この場合、通信分析装置20は、送信先及び送信元のペアごとに第1期間内の通信を把握し、カウントするか否かを判定してカウント数を増やしていく。そして、情報出力部25は、例えば、カウント数が予め定められた閾値を超えた時点で、表示機構20d等にアラートを表示して管理者に報知する。
【0062】
なお、本発明の実施の形態を実現するプログラムは、磁気記録媒体(磁気テープ、磁気ディスクなど)、光記録媒体(光ディスクなど)、光磁気記録媒体、半導体メモリなどのコンピュータが読取可能な記録媒体に記憶した状態で提供し得る。また、インターネットなどの通信手段を用いて提供することも可能である。
【0063】
また、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態には限定されない。本発明の精神及び範囲から逸脱することなく様々に変更したり代替態様を採用したりすることが可能なことは、当業者に明らかである。
【符号の説明】
【0064】
10a,10b,10c…クライアント端末、20…通信分析装置、21…通信ログ取得部、22…通信ログ抽出部、23…カウント部、24…設定値記憶部、25…情報出力部、30…攻撃者サーバ
【要約】
【課題】監視対象とするネットワーク上で繰り返し行われる通信の把握を容易にする。【解決手段】通信分析装置20は、監視対象とするネットワーク上で検知された通信のログを取得する通信ログ取得部21と、取得された通信ログのうち分析の対象とする通信ログを抽出する通信ログ抽出部22と、通信ログの取得対象とした期間を予め定められた第1期間の長さで区切り、各第1期間について、最初の通信と最後の通信との間隔が予め定められた第2期間を超えていればカウントするカウント部23と、カウント部23によるカウントの処理に用いられる第1期間及び第2期間の設定値を記憶する設定値記憶部24と、カウント部23によるカウント数に基づく情報を出力する情報出力部25とを備える。
【選択図】図2