特許6078179 | 知財ポータル「IP Force」

知財求人 - 知財ポータルサイト「IP Force」

▶ 西日本電信電話株式会社の特許一覧

特許6078179セキュリティ脅威検出システム、セキュリティ脅威検出方法、及びセキュリティ脅威検出プログラム

書誌要約請求の範囲詳細な説明課題実施例実施するための形態図面の説明

目に優しい文字サイズ小中大 PDF Top

< >

1
2
3
4
5
6
7
8
9
10
11
12
13
14A
14B
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38A
38B
39
40
41
42
43A
43B
44A
44B
45A
45B
46A
46B
47A
47B
48A
48B
49A
49B
50
51
52
53
54
55A
55B
56A
56B
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B1)

(11)【特許番号】6078179

(24)【登録日】2017年1月20日

(45)【発行日】2017年2月8日

(54)【発明の名称】セキュリティ脅威検出システム、セキュリティ脅威検出方法、及びセキュリティ脅威検出プログラム

(51)【国際特許分類】

G06F 13/00 20060101AFI20170130BHJP

G06F 21/55 20130101ALI20170130BHJP

【ＦＩ】

G06F13/00 351Z

G06F21/55

【請求項の数】7

【全頁数】66

(21)【出願番号】特願2016-8831(P2016-8831)

(22)【出願日】2016年1月20日

【審査請求日】2016年1月20日

(73)【特許権者】

【識別番号】399041158

【氏名又は名称】西日本電信電話株式会社

(74)【代理人】

【識別番号】100083806

【弁理士】

【氏名又は名称】三好秀和

(74)【代理人】

【識別番号】100101247

【弁理士】

【氏名又は名称】高橋俊一

(74)【代理人】

【識別番号】100095500

【弁理士】

【氏名又は名称】伊藤正和

(74)【代理人】

【識別番号】100098327

【弁理士】

【氏名又は名称】高松俊雄

(72)【発明者】

【氏名】真田優一

(72)【発明者】

【氏名】柳本清

(72)【発明者】

【氏名】榎本悠佑

【審査官】木村雅也

(56)【参考文献】

【文献】国際公開第２０１６／００２９１５（ＷＯ，Ａ１）

【文献】特開２０１０−０１５５１３（ＪＰ，Ａ）

【文献】特開２０１４−１２３９９６（ＪＰ，Ａ）

【文献】特表２００８−５４５３４３（ＪＰ，Ａ）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０６Ｆ１３／００

Ｇ０６Ｆ２１／５５

(57)【特許請求の範囲】

【請求項1】

正常パケット及びセキュリティ攻撃パケットのレイヤ２、レイヤ３、及びレイヤ４のヘッダ情報を集約し、集約したヘッダ情報に基づいて、セキュリティ攻撃単位にセキュリティ攻撃の通信パターンを学習し、セキュリティ攻撃の特徴を捉える要素の値を生成する攻撃学習処理部と、
ネットワークを流れるパケットと前記攻撃学習処理部で生成した前記セキュリティ攻撃の特徴を捉える要素の値を照合して、セキュリティ脅威を検出する攻撃検知部と
を備え、
前記攻撃学習処理部は、
パケットキャプチャデータに対してセキュリティ攻撃の検知に必要な情報を抽出しPerPacket学習データテーブルに保存し、ヘッダ及びペイロードから攻撃を検出し、セキュリティ攻撃を特定し、前記PerPacket学習データテーブルに保存する攻撃パケット検知部と、
前記攻撃パケット検知部でパケット単位に抽出したヘッダの中のSrcIP及びDstIPをキーにして外部情報である国情報とマルウェアドメインリスト情報を検察して該当の国情報及びマルウェアドメイン情報を前記PerPacket学習データテーブルに保存する付加情報生成部と、
前記PerPacket学習データテーブルを、SrcIP、DstIP、Protocol、SrcPort、DstPortをキーにしてセッションごとに情報を集約することで、解析に必要となる要素をセッション単位で生成する説明変数生成部と、
前記説明変数生成部で生成した解析に必要となる要素ごとにセキュリティ攻撃を検出するための閾値を算出し、セキュリティ攻撃を検出するための攻撃判定基準テーブルを生成する攻撃解析学習部と
を備える
ことを特徴とするセキュリティ脅威検出システム。

【請求項2】

ネットワークを流れるパケットの送信元IPアドレス及び宛先IPアドレスのロケーション、又はTCPヘッダシーケンスの特徴からセキュリティ攻撃を検出することを特徴とする請求項１に記載のセキュリティ脅威検出システム。

【請求項3】

ネットワークを流れるパケットのペイロード部分を参照することなくセキュリティ攻撃を検出することを特徴とする請求項１又は２に記載のセキュリティ脅威検出システム。

【請求項4】

前記攻撃検知部は、
ネットワークを流れるパケットを受信するパケット受信部と、
バッファリングしたパケットをネットワークへ送信するパケット送信部と、
受信したパケットをメモリにバッファリングするパケットバッファリング部と、
バッファリングした受信パケットをヘッダに組み立て、組み立てたヘッダの中のSrcIP及びDstIPをキーにして外部情報である国情報とマルウェアドメインリスト情報を検察して該当の国情報及びマルウェアドメイン情報を生成し、セッション単位にセキュリティ攻撃を判定するために要素の値を検出して攻撃判定テーブルに情報を保存するセッション集約部と、
一定周期で前記セッション集約部で生成したセッション単位の攻撃判定テーブルから、セッションごとにセッション完了を判断し、セッションごとにセキュリティ攻撃の特徴を捉える要素の値を作成し、作成した要素の値と攻撃判定基準テーブルに格納された値を照合してセキュリティ脅威のパケットであるか判断する攻撃パターン照合部と
を備えることを特徴とする請求項１から３のいずれか１項に記載のセキュリティ脅威検出システム。

【請求項5】

前記攻撃検知部は、さらに、一定周期で前記攻撃パターン照合部で検知したセキュリティ攻撃結果をもとに攻撃者及び被害者を特定する攻撃者被害者特定部を備えることを特徴とする請求項４に記載のセキュリティ脅威検出システム。

【請求項6】

正常パケット及びセキュリティ攻撃パケットのレイヤ２、レイヤ３、及びレイヤ４のヘッダ情報を集約し、集約したヘッダ情報に基づいて、セキュリティ攻撃単位にセキュリティ攻撃の通信パターンを学習し、セキュリティ攻撃の特徴を捉える要素の値を生成する攻撃学習ステップと、
ネットワークを流れるパケットと前記攻撃学習ステップで生成した前記セキュリティ攻撃の特徴を捉える要素の値を照合して、セキュリティ脅威を検出する攻撃検知ステップと
を含み、
前記攻撃学習ステップは、
パケットキャプチャデータに対してセキュリティ攻撃の検知に必要な情報を抽出しPerPacket学習データテーブルに保存し、ヘッダ及びペイロードから攻撃を検出し、セキュリティ攻撃を特定し、前記PerPacket学習データテーブルに保存する攻撃パケット検知ステップと、
前記攻撃パケット検知ステップでパケット単位に抽出したヘッダの中のSrcIP及びDstIPをキーにして外部情報である国情報とマルウェアドメインリスト情報を検察して該当の国情報及びマルウェアドメイン情報を前記PerPacket学習データテーブルに保存する付加情報生成ステップと、
前記PerPacket学習データテーブルを、SrcIP、DstIP、Protocol、SrcPort、DstPortをキーにしてセッションごとに情報を集約することで、解析に必要となる要素をセッション単位で生成する説明変数生成ステップと、
前記説明変数生成ステップで生成した解析に必要となる要素ごとにセキュリティ攻撃を検出するための閾値を算出し、セキュリティ攻撃を検出するための攻撃判定基準テーブルを生成する攻撃解析学習ステップと
を含む
ことを特徴とするセキュリティ脅威検出方法。

【請求項7】

正常パケット及びセキュリティ攻撃パケットのレイヤ２、レイヤ３、及びレイヤ４のヘッダ情報を集約し、集約したヘッダ情報に基づいて、セキュリティ攻撃単位にセキュリティ攻撃の通信パターンを学習し、セキュリティ攻撃の特徴を捉える要素の値を生成する攻撃学習ステップと、
ネットワークを流れるパケットと前記攻撃学習ステップで生成した前記セキュリティ攻撃の特徴を捉える要素の値を照合して、セキュリティ脅威を検出する攻撃検知ステップと
をコンピュータに実行させるためのセキュリティ脅威検出プログラムであって、
前記攻撃学習ステップは、
パケットキャプチャデータに対してセキュリティ攻撃の検知に必要な情報を抽出しPerPacket学習データテーブルに保存し、ヘッダ及びペイロードから攻撃を検出し、セキュリティ攻撃を特定し、前記PerPacket学習データテーブルに保存する攻撃パケット検知ステップと、
前記攻撃パケット検知ステップでパケット単位に抽出したヘッダの中のSrcIP及びDstIPをキーにして外部情報である国情報とマルウェアドメインリスト情報を検察して該当の国情報及びマルウェアドメイン情報を前記PerPacket学習データテーブルに保存する付加情報生成ステップと、
前記PerPacket学習データテーブルを、SrcIP、DstIP、Protocol、SrcPort、DstPortをキーにしてセッションごとに情報を集約することで、解析に必要となる要素をセッション単位で生成する説明変数生成ステップと、
前記説明変数生成ステップで生成した解析に必要となる要素ごとにセキュリティ攻撃を検出するための閾値を算出し、セキュリティ攻撃を検出するための攻撃判定基準テーブルを生成する攻撃解析学習ステップと
を含む
ことを特徴とするセキュリティ脅威検出プログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、パブリック網に接続されたコンピュータ、サーバ、ネットワーク装置に対する攻撃や機密情報流出に対する検知や防止、及びパブリック網に流れ込むセキュリティ攻撃のトラヒックを網内に流入することを抑止するセキュリティ脅威検出システム、攻撃学習処理装置、攻撃検知装置、セキュリティ脅威検出方法、及びセキュリティ脅威検出プログラムに関する。

【背景技術】

【0002】

近年、サービス妨害、不正利用・なりすまし、盗聴、不正アクセス・不正侵入、改竄・書き換え、情報漏洩、ウイルス感染など多種多様なセキュリティ攻撃が問題となっている（例えば、特許文献１〜３参照）。これらの攻撃パケットがネットワーク内に流入することで本来の正常なパケット通信のトラヒックを圧迫している状況である。

【先行技術文献】

【特許文献】

【0003】

【特許文献1】特開２０１０−１５５１３号公報

【特許文献2】特開２０１４−１２３９９６号公報

【特許文献3】特表２００８−５４５３４３号公報

【発明の概要】

【発明が解決しようとする課題】

【0004】

上記原因を解決する方法には、図１に示すように、ネットワークを利用するＬＡＮ側でセキュリティ対策を実施するか、ネットワークキャリア側でＩＤＳを使用して流れているパケットをパターンマッチで照合して判別する必要がある。図中の符号１０１はネットワーク型ＩＰＳ／ＩＤＳであり、符号１０２，１０３はエンドユーザ端末である。しかし、ネットワーク型ＩＰＳ／ＩＤＳ１０１を使用する場合、パケットのペイロード部分（Ｌ７情報）の中身を解析するため、通信の秘密に抵触する恐れがある。更に、暗号化されたパケットについては中身の照合ができず、攻撃の検知が行えない課題がある。

【0005】

また、セキュリティ攻撃には多種多様なものがあり、よく用いられる攻撃手法は限られているものの、ＩＤＳで各種セキュリティ攻撃を検出する手法は、事前登録したウイルスパターンと照合させることによりマルウェアを検出する手法であり、登録したパターン以外の処理や機能によるセキュリティ攻撃や、暗号化されている場合には検出できない課題がある。更に、ＩＤＳによるパターンマッチの脅威判断では攻撃者及び被害者の特定ができない課題もある。

【0006】

本発明は、上述した従来の技術に鑑み、通信の秘密に抵触することなく且つペイロード暗号化されていても適切にセキュリティ攻撃を検出することができるセキュリティ脅威検出システム、攻撃学習処理装置、攻撃検知装置、セキュリティ脅威検出方法、及びセキュリティ脅威検出プログラムを提供することを目的とする。

【課題を解決するための手段】

【0007】

上記目的を達成するため、第１の態様に係る発明は、セキュリティ脅威検出システムであって、正常パケット及びセキュリティ攻撃パケットのレイヤ２、レイヤ３、及びレイヤ４のヘッダ情報を集約し、集約したヘッダ情報に基づいて、セキュリティ攻撃単位にセキュリティ攻撃の通信パターンを学習し、セキュリティ攻撃の特徴を捉える要素の値を生成する攻撃学習処理部と、ネットワークを流れるパケットと前記攻撃学習処理部で生成した前記セキュリティ攻撃の特徴を捉える要素の値を照合して、セキュリティ脅威を検出する攻撃検知部とを備え、前記攻撃学習処理部は、パケットキャプチャデータに対してセキュリティ攻撃の検知に必要な情報を抽出しPerPacket学習データテーブルに保存し、ヘッダ及びペイロードから攻撃を検出し、セキュリティ攻撃を特定し、前記PerPacket学習データテーブルに保存する攻撃パケット検知部と、前記攻撃パケット検知部でパケット単位に抽出したヘッダの中のSrcIP及びDstIPをキーにして外部情報である国情報とマルウェアドメインリスト情報を検察して該当の国情報及びマルウェアドメイン情報を前記PerPacket学習データテーブルに保存する付加情報生成部と、前記PerPacket学習データテーブルを、SrcIP、DstIP、Protocol、SrcPort、DstPortをキーにしてセッションごとに情報を集約することで、解析に必要となる要素をセッション単位で生成する説明変数生成部と、前記説明変数生成部で生成した解析に必要となる要素ごとにセキュリティ攻撃を検出するための閾値を算出し、セキュリティ攻撃を検出するための攻撃判定基準テーブルを生成する攻撃解析学習部とを備えることを要旨とする。

【0008】

第２の態様に係る発明は、第１の態様に係る発明において、ネットワークを流れるパケットの送信元IPアドレス及び宛先IPアドレスのロケーション、又はTCPヘッダシーケンスの特徴からセキュリティ攻撃を検出することを要旨とする。

【0009】

第３の態様に係る発明は、第１又は第２の態様に係る発明において、ネットワークを流れるパケットのペイロード部分を参照することなくセキュリティ攻撃を検出することを要旨とする。

【0012】

第４の態様に係る発明は、第１から第３のいずれか１つの態様に係る発明において、前記攻撃検知部は、ネットワークを流れるパケットを受信するパケット受信部と、バッファリングしたパケットをネットワークへ送信するパケット送信部と、受信したパケットをメモリにバッファリングするパケットバッファリング部と、バッファリングした受信パケットをヘッダに組み立て、組み立てたヘッダの中のSrcIP及びDstIPをキーにして外部情報である国情報とマルウェアドメインリスト情報を検察して該当の国情報及びマルウェアドメイン情報を生成し、セッション単位にセキュリティ攻撃を判定するために要素の値を検出して攻撃判定テーブルに情報を保存するセッション集約部と、一定周期で前記セッション集約部で生成したセッション単位の攻撃判定テーブルから、セッションごとにセッション完了を判断し、セッションごとにセキュリティ攻撃の特徴を捉える要素の値を作成し、作成した要素の値と攻撃判定基準テーブルに格納された値を照合してセキュリティ脅威のパケットであるか判断する攻撃パターン照合部とを備えることを要旨とする。

【0013】

第５の態様に係る発明は、第４の態様に係る発明において、前記攻撃検知部は、さらに、一定周期で前記攻撃パターン照合部で検知したセキュリティ攻撃結果をもとに攻撃者及び被害者を特定する攻撃者被害者特定部を備えることを要旨とする。

【0014】

第６の態様に係る発明は、セキュリティ脅威検出方法であって、正常パケット及びセキュリティ攻撃パケットのレイヤ２、レイヤ３、及びレイヤ４のヘッダ情報を集約し、集約したヘッダ情報に基づいて、セキュリティ攻撃単位にセキュリティ攻撃の通信パターンを学習し、セキュリティ攻撃の特徴を捉える要素の値を生成する攻撃学習ステップと、ネットワークを流れるパケットと前記攻撃学習ステップで生成した前記セキュリティ攻撃の特徴を捉える要素の値を照合して、セキュリティ脅威を検出する攻撃検知ステップとを含み、前記攻撃学習ステップは、パケットキャプチャデータに対してセキュリティ攻撃の検知に必要な情報を抽出しPerPacket学習データテーブルに保存し、ヘッダ及びペイロードから攻撃を検出し、セキュリティ攻撃を特定し、前記PerPacket学習データテーブルに保存する攻撃パケット検知ステップと、前記攻撃パケット検知ステップでパケット単位に抽出したヘッダの中のSrcIP及びDstIPをキーにして外部情報である国情報とマルウェアドメインリスト情報を検察して該当の国情報及びマルウェアドメイン情報を前記PerPacket学習データテーブルに保存する付加情報生成ステップと、前記PerPacket学習データテーブルを、SrcIP、DstIP、Protocol、SrcPort、DstPortをキーにしてセッションごとに情報を集約することで、解析に必要となる要素をセッション単位で生成する説明変数生成ステップと、前記説明変数生成ステップで生成した解析に必要となる要素ごとにセキュリティ攻撃を検出するための閾値を算出し、セキュリティ攻撃を検出するための攻撃判定基準テーブルを生成する攻撃解析学習ステップとを含むことを要旨とする。

【0015】

第７の態様に係る発明は、セキュリティ脅威検出プログラムであって、正常パケット及びセキュリティ攻撃パケットのレイヤ２、レイヤ３、及びレイヤ４のヘッダ情報を集約し、集約したヘッダ情報に基づいて、セキュリティ攻撃単位にセキュリティ攻撃の通信パターンを学習し、セキュリティ攻撃の特徴を捉える要素の値を生成する攻撃学習ステップと、ネットワークを流れるパケットと前記攻撃学習ステップで生成した前記セキュリティ攻撃の特徴を捉える要素の値を照合して、セキュリティ脅威を検出する攻撃検知ステップとをコンピュータに実行させるためのセキュリティ脅威検出プログラムであって、前記攻撃学習ステップは、パケットキャプチャデータに対してセキュリティ攻撃の検知に必要な情報を抽出しPerPacket学習データテーブルに保存し、ヘッダ及びペイロードから攻撃を検出し、セキュリティ攻撃を特定し、前記PerPacket学習データテーブルに保存する攻撃パケット検知ステップと、前記攻撃パケット検知ステップでパケット単位に抽出したヘッダの中のSrcIP及びDstIPをキーにして外部情報である国情報とマルウェアドメインリスト情報を検察して該当の国情報及びマルウェアドメイン情報を前記PerPacket学習データテーブルに保存する付加情報生成ステップと、前記PerPacket学習データテーブルを、SrcIP、DstIP、Protocol、SrcPort、DstPortをキーにしてセッションごとに情報を集約することで、解析に必要となる要素をセッション単位で生成する説明変数生成ステップと、前記説明変数生成ステップで生成した解析に必要となる要素ごとにセキュリティ攻撃を検出するための閾値を算出し、セキュリティ攻撃を検出するための攻撃判定基準テーブルを生成する攻撃解析学習ステップとを含むことを要旨とする。

【発明の効果】

【0016】

本発明によれば、通信の秘密に抵触することなく且つペイロード暗号化されていても適切にセキュリティ攻撃を検出することができるセキュリティ脅威検出システム、攻撃学習処理装置、攻撃検知装置、セキュリティ脅威検出方法、及びセキュリティ脅威検出プログラムを提供することが可能である。

【図面の簡単な説明】

【0017】

【図1】ネットワーク型ＩＰＳ／ＩＤＳを使用する場合の構成図である。

【図2】ポートスキャンの説明図である。

【図3】SYNフラッドの説明図である。

【図4】マルウェア感染の説明図である。

【図5】情報漏えいの説明図である。

【図6】不正アクセス、ログインの試みの説明図である。

【図7】DNSアンプの説明図である。

【図8】ルータ攻撃（DoS）の説明図である。

【図9】サーバ攻撃（DoS）の説明図である。

【図10】本発明の実施の形態におけるセキュリティ脅威検出システムの構成図である。

【図11】本発明の実施の形態におけるセキュリティ脅威検出システムの要部の機能ブロック図である。

【図12】本発明の実施の形態におけるセキュリティ脅威検出システムがセキュリティ攻撃を判断するための照合用データ（特徴）の説明図である。

【図13】攻撃パケット検知部１１の処理を示すフローチャートである。

【図14A】付加情報生成部１２の処理を示すフローチャートである。

【図14B】付加情報生成部１２の処理を示すフローチャートである。

【図15】説明変数生成部１３の処理を示すフローチャートである。

【図16】説明変数生成部１３の処理を示すフローチャートである。

【図17】説明変数生成部１３（攻撃1）の処理を示すフローチャートである。

【図18】説明変数生成部１３（攻撃2）の処理を示すフローチャートである。

【図19】説明変数生成部１３（攻撃3）の処理を示すフローチャートである。

【図20】説明変数生成部１３（攻撃4）の処理を示すフローチャートである。

【図21】説明変数生成部１３（攻撃5）の処理を示すフローチャートである。

【図22】説明変数生成部１３（攻撃6）の処理を示すフローチャートである。

【図23】説明変数生成部１３（攻撃7）の処理を示すフローチャートである。

【図24】説明変数生成部１３（攻撃8）の処理を示すフローチャートである。

【図25】攻撃解析学習部１４の処理を示すフローチャートである。

【図26】攻撃解析学習部１４（攻撃判定1）の処理を示すフローチャートである。

【図27】攻撃解析学習部１４（攻撃判定2）の処理を示すフローチャートである。

【図28】攻撃解析学習部１４（攻撃判定3）の処理を示すフローチャートである。

【図29】攻撃解析学習部１４（攻撃判定4）の処理を示すフローチャートである。

【図30】攻撃解析学習部１４（攻撃判定5）の処理を示すフローチャートである。

【図31】攻撃解析学習部１４（攻撃判定6）の処理を示すフローチャートである。

【図32】攻撃解析学習部１４（攻撃判定7）の処理を示すフローチャートである。

【図33】攻撃解析学習部１４（攻撃判定8）の処理を示すフローチャートである。

【図34】パケット受信部２１/パケット送信部２２〜パケットバッファリング部２３の処理を示すフローチャートである。

【図35】セッション集約部２４の処理を示すフローチャートである。

【図36】セッション集約部２４の処理を示すフローチャートである。

【図37】セッション集約部２４の処理を示すフローチャートである。

【図38A】セッション集約部２４（付加情報付与）の処理を示すフローチャートである。

【図38B】セッション集約部２４（付加情報付与）の処理を示すフローチャートである。

【図39】攻撃パターン照合部２５の処理を示すフローチャートである。

【図40】攻撃パターン照合部２５の処理を示すフローチャートである。

【図41】攻撃パターン照合部２５の処理を示すフローチャートである。

【図42】攻撃パターン照合部２５の処理を示すフローチャートである。

【図43A】攻撃パターン照合部２５（TCPセッション一次照合処理）の処理を示すフローチャートである。

【図43B】攻撃パターン照合部２５（TCPセッション一次照合処理）の処理を示すフローチャートである。

【図44A】攻撃パターン照合部２５（TCPセッション一次照合処理）の処理を示すフローチャートである。

【図44B】攻撃パターン照合部２５（TCPセッション一次照合処理）の処理を示すフローチャートである。

【図45A】攻撃パターン照合部２５（UDPセッション一次照合処理）の処理を示すフローチャートである。

【図45B】攻撃パターン照合部２５（UDPセッション一次照合処理）の処理を示すフローチャートである。

【図46A】攻撃パターン照合部２５（ICMPセッション一次照合処理）の処理を示すフローチャートである。

【図46B】攻撃パターン照合部２５（ICMPセッション一次照合処理）の処理を示すフローチャートである。

【図47A】攻撃パターン照合部２５（二次照合処理）を示すフローチャートである。

【図47B】攻撃パターン照合部２５（二次照合処理）を示すフローチャートである。

【図48A】攻撃パターン照合部２５（二次照合処理）を示すフローチャートである。

【図48B】攻撃パターン照合部２５（二次照合処理）を示すフローチャートである。

【図49A】攻撃パターン照合部２５（二次照合処理）を示すフローチャートである。

【図49B】攻撃パターン照合部２５（二次照合処理）を示すフローチャートである。

【図50】攻撃者被害者特定部２６（攻撃者、被害者特定）の処理を示すフローチャートである。

【図51】攻撃者被害者特定部２６（攻撃者、被害者特定）の処理を示すフローチャートである。

【図52】攻撃者被害者特定部２６（攻撃者、被害者特定）の処理を示すフローチャートである。

【図53】攻撃者被害者特定部２６（攻撃者、被害者特定）の処理を示すフローチャートである。

【図54】攻撃者被害者特定部２６（攻撃者、被害者特定）の処理を示すフローチャートである。

【図55A】攻撃者被害者特定部２６（攻撃者纏め）の処理を示すフローチャートである。

【図55B】攻撃者被害者特定部２６（攻撃者纏め）の処理を示すフローチャートである。

【図56A】攻撃者被害者特定部２６（被害者纏め）の処理を示すフローチャートである。

【図56B】攻撃者被害者特定部２６（被害者纏め）の処理を示すフローチャートである。

【図57】本発明の実施の形態におけるテーブルリストを示す図である。

【図58】（ａ）は、攻撃情報テーブルＴ１のテーブル定義を示す図であり、（ｂ）は、そのサンプル値を示す図である。

【図59】（ａ）は、国情報テーブルＴ２のテーブル定義を示す図であり、（ｂ）は、そのサンプル値を示す図である。

【図60】（ａ）は、マルウェアドメインリストテーブルＴ３のテーブル定義を示す図であり、（ｂ）は、そのサンプル値を示す図である。

【図61】PerPacket学習データテーブルＴ４のテーブル定義を示す図である。

【図62】PerPacket学習データテーブルＴ４のサンプル値を示す図である。

【図63】PerSession学習データテーブルＴ５のテーブル定義を示す図である。

【図64】PerSession学習データテーブルＴ５のサンプル値を示す図である。

【図65】攻撃判定基準テーブルＴ６のテーブル定義を示す図である。

【図66】攻撃判定基準テーブルＴ６のサンプル値を示す図である。

【図67】攻撃判定テーブルＴ７のテーブル定義を示す図である。

【図68】攻撃判定テーブルＴ７のテーブル定義のサンプル値を示す図である。

【図69】（ａ）は、照合結果テーブルＴ８のテーブル定義を示す図であり、（ｂ）は、そのサンプル値を示す図である。

【図70】（ａ）は、攻撃者テーブルＴ９のテーブル定義を示す図であり、（ｂ）は、そのサンプル値を示す図である。

【図71】（ａ）は、被害者テーブルＴ１０のテーブル定義を示す図であり、（ｂ）は、そのサンプル値を示す図である。

【発明を実施するための形態】

【0018】

以下、本発明の実施の形態について図面を参照して詳細に説明する。なお、以下の実施の形態は、この発明の技術的思想を具体化するためのセキュリティ脅威検出システムを例示するものであり、装置の構成やデータの構成等は以下の実施の形態に限定されるものではない。

【0019】

≪既存技術≫
まず、既存技術について詳細に説明する。

【0020】

＜概要＞
既に説明した通り、近年サーバやクライアントなどが電子的攻撃を受けることによって情報流出やサービス停止など被害が生じ問題となっている。この問題の原因に対処する方法には複数手法があるが、各々の手法には課題があった。検知方法としては、シグニチャ型とアノマリ型があり、設置方法としては、ホスト型とネットワーク型がある。

【0021】

シグニチャ型は、ベンダーの持つデータベース上のデータを参照してパターンマッチによってセキュリティ攻撃を検出する手法である。一度攻撃を受ける対象者が複数いることで得られる候補となるデータがないと検出できない問題点がある。同類の攻撃である亜種マルウェアの検出ができない問題点もある。また、パケットのペイロード部分を参照するため通信の秘密に抵触する、更にペイロード部分が暗号化されていると検出できない問題点もある。

【0022】

アノマリ型は、各種定義されたしきい値を超える挙動が検知され、異常と思われるものが脅威として検出される手法である（パスワードフィールドに制御文字や認証失敗の異常回数など）。異常挙動と思われるものの傾向を見ているので一定の誤検出や未検出が発生する問題点がある。パケットのペイロード部分を参照するため通信の秘密に抵触する問題点もある。更に、ペイロード部分が暗号化されていると検出できない問題点もある。

【0023】

ホスト型は、ホスト側に置くことで暗号化を解除したデータで解析を行う手法である。設置したホストのみしか検知できず全体把握ができない問題点がある。

【0024】

ネットワーク型は、全体的な検知が可能で費用対効果が高い手法である。ネットワークを流れるパケットのペイロード部分を参照するため、処理負荷が高い問題点がある。暗号化されたパケットについては検知できない問題点もある。

【0025】

＜既存技術の課題と本発明適用の効果＞
（１）ポートスキャン
ポートスキャン攻撃は宛先毎にUDP/TCPのポート番号がインクリメントされるため、セッション単位に攻撃を特定できず、閾値を設けることが難しい。よって、既存技術ではポートスキャン対策が難しく、使用しないポートは閉塞して運用している。

【0026】

本発明を適用すれば、ポートスキャンのセキュリティ攻撃を宛先、送信元の組み合わせで検知できるため、ポート閉塞による運用対策ではなく、偽装の攻撃者を含め網羅的に送信者、宛先の組み合わせによる検知が可能となる。

【0027】

（２）SYNフラッド
SYNフラッド攻撃はセッション単位に攻撃を特定できないため、既存技術では、宛先毎に一定期間のSYNフラッド回数の閾値を設ける対策が一般的である。よって、左記閾値を超えるセキュリティ攻撃があった場合、正常な通信も遮断される課題がある。

【0028】

本発明を適用すれば、SYNフラッドのセキュリティ攻撃を宛先、送信元の組み合わせで検知できるため、SYNフラッド回数の閾値による対策ではなく、偽装の攻撃者を含め網羅的に送信者、宛先の組み合わせによる検知が可能となり、セキュリティ攻撃があった場合でも正常の通信への影響はない。

【0029】

（３）マルウェア感染(C&C)
外部からの命令によりレジストリや各種設定の漏洩や改竄などのトロイの木馬系のウイルスは、亜種マルウェアが多く発生しており、シグネチャによるパターンマッチでは検知できない課題がある。

【0030】

本発明を適用すれば、外部からの命令や操作を実施する前の起動命令をシグネチャに依存せずパケットパターンで検知できるため、亜種マルウェアでも検知できる。

【0031】

（４）情報漏えい
情報漏えいを目的とした亜種マルウェアは多く発生しており、シグネチャによるパターンマッチでは検知できない課題がある。

【0032】

本発明を適用すれば、マルウェア感染後にC&Cサーバからの情報漏えいの実行命令を受けた端末の動作に関する特徴をシグネチャに依存せずパケットパターンで検知できるため、亜種マルウェアでも検知できる。

【0033】

（５）不正アクセス、ログインの試み
不正アクセス・ログインによく使用される文字列についてはシグネチャによるパターンマッチで検知可能であるが、辞書攻撃などあまり使用されない文字列を用いた不正アクセス・ログインについては検知ができない課題がある。

【0034】

本発明を適用すれば、不正アクセス、ログイン時に使用される文字列に依存せず、応答時間が大きく且つ複数回実行されるなどの攻撃時の動作をパケットパターンから検知できる。

【0035】

（６）DNSアンプ
DNSアンプはフレーム長の小さいDNS要求に対してフレーム長の大きいDNS返答が返るパターンを繰り返す。DNS要求に含まれる文字列をパターンマッチによって検出するため、要求される文字列が変化した場合に検知できない課題がある。

【0036】

本発明を適用すれば、DNS要求パケットと応答パケットのフレーム長の相関で検知できるため、DNS要求にふくまれる文字列に依存せず、DNSアンプ攻撃を検知できる。

【0037】

（７）ルータ攻撃（DoS）
ルータ攻撃はルータを通過するパケットによって実施されるため、攻撃を特定することが難しい。よって、既存技術では通過できるパケットの条件を制限して運用している。

【0038】

本発明を適用すれば、ルータ攻撃を宛先、送信元の組み合わせで検知できるため、パケットの条件制限による運用対策ではなく、偽装の攻撃者を含め網羅的に送信者、宛先、TTL、DFの値、フレーム長などの組み合わせによる検知が可能となる。

【0039】

（８）サーバ攻撃（DoS）
サーバ攻撃はサーバへのセッションをむやみに継続することでリソース不足を発生させるため、NW側での対策は難しく、サーバ側でのセッション維持時間などの設定により運用している。

【0040】

本発明を適用すれば、セッションの継続時間、パケット間隔やウィンドウサイズなどの組み合わせで攻撃者を特定できるため、運用での対処ではなくサーバへの攻撃をNW側で検知できる。

【0041】

＜攻撃１：ポートスキャン＞
図２は、ポートスキャンの説明図である。この図に示すように、ポートスキャンは、ポート閉塞や周辺装置のF/Wによって、パケットの廃棄もしくは攻撃対象ホストからのRST返信によりTCP 3ウェイ・ハンドシェイクによるセッションが確立しないため、以下の特徴を持つ。
・攻撃者からの送信パケットおよびその返信パケットの長さが極めて小さい。
・攻撃者から宛先到達不能(ICMP Type=3)と到達不能理由(Code=3(ポート到達不能)、Code=10(廃止予定)、Code=13(フィルタリングによる到達不能))のパケットが返される。
・TCPのフラグシーケンスがTCP SYN,TCP SYNで完了する。

【0042】

以上の特徴はフレーム長の最大値・平均値・合計値、TCPフラグの順序性、ICMPコード値のパケット比率で顕在化する。

【0043】

＜攻撃２：SYNフラッド＞
図３は、SYNフラッドの説明図である。この図に示すように、SYNフラッドは、送信元アドレスを詐称して大量のSYNパケットを送信することによって、メモリ領域を枯渇させるため、以下の特徴を持つ。
・攻撃者からの送信パケットおよびその返信パケットの長さが極めて小さい。
・セッションの両方向のフレーム長の最大値が小さくなる。

【0044】

以上の特徴はフレーム長の最大値・平均値・合計値、TCPフラグの順序性、両方向のフレーム長の最大値で顕在化する。

【0045】

＜攻撃３：マルウェア感染(C&C)＞
図４は、マルウェア感染の説明図である。この図に示すように、マルウェアに感染し、マルウェアが起動したタイミングでC&Cサーバに起動を通知するため、以下の特徴を持つ。
・UDP 1パケットで感染を通知する。
・両方向のフレーム長の最大値が極めて小さい。
・通知先のIPアドレスがブラックIPリストに登録されていることがある。

【0046】

以上の特徴はUDPのパケット数、フレーム長の最大値、ブラックIPリスト登録フラグで顕在化する。

【0047】

＜攻撃４：情報漏えい＞
図５は、情報漏えいの説明図である。この図に示すように、情報漏えいは、帯域を広げて機密情報ファイルの速やかな転送を試みるため、以下の特徴を持つ。
・TCPウィンドウサイズが大きくなる（TCPウィンドウ・スケール・オプションを拡張)
・送信側のTCPフラグのACKのみの比率が高くなる。

【0048】

以上の特徴はTCPウィンドウ・スケール・オプションの値、TCPフラグのACKのみ比率で顕在化する。

【0049】

＜攻撃５：不正アクセス、ログインの試み＞
図６は、不正アクセス、ログインの試みの説明図である。この図に示すように、不正アクセス、ログインの試みは事象が繰り返されるため、以下の特徴を持つ。
・存在しないID・パスワードでのログイン、存在しないファイルへのアクセスのため、正常な通信と比較して応答時間は大きくなる。
・応答メッセージのサイズは通常のWebコンテンツのダウンロードと比較して小さいため、応答パケット数が少なく、TCPフラグのPSH ACK比率が高くなる。

【0050】

以上の特徴は、パケット間隔の標準偏差、TCPフラグのPSH ACK比率で顕在化する。

【0051】

＜攻撃６：DNSアンプ＞
図７は、DNSアンプの説明図である。この図に示すように、DNSアンプは、DNS要求に対するDNS応答のパケットサイズが大きいため、以下の特徴を持つ。
・小さいパケットサイズのDNS要求に対して、DNS応答のパケットサイズが大きい。
・DNSの512バイト制限を越える応答パケットを生成させる。
・ポートはUDPの53(DNS)を使用する。

【0052】

以上の特徴は、UDPポート番号、パケットのフレーム長の順序性により顕在化する。

【0053】

＜攻撃７：ルータ攻撃（DoS）＞
図８は、ルータ攻撃（DoS）の説明図である。この図に示すように、ルータ攻撃（DoS）は、大量のTTLが小さいパケットや大量のジャンボフレームを送信し、ルータのCPU負荷をかけるため、以下の特徴を持つ。
・TTL値の小さいパケットを大量に送信し、経路中のルータにTTL超過(ICMP Type=11)を大量に発生させてルータにCPU負荷をかける。
・ジャンボフレームを送信し、ICMP到達不能メッセージ(ICMP Type=3 code=4)を大量に発生させてルータにCPU負荷をかける。

【0054】

以上の特徴は、パケットのTTL値、フレーム長、IPフラグの値、ICMPタイプのタイプ、コードにより顕在化する。

【0055】

＜攻撃８：サーバ攻撃（DoS）＞
図９は、サーバ攻撃（DoS）の説明図である。この図に示すように、サーバ攻撃（DoS）は、サーバのリソース不足を招く攻撃を行うため、以下の特徴を持つ。
・メモリ、帯域のリソースを不足させるため、TCPウィンドウサイズが大きくなる（TCPウィンドウ・スケール・オプションを拡張)
・TCPセッションのリソースを不足させるため、セッションを維持するためだけのパケットが一定周期で送信される。

【0056】

以上の特徴は、TCPウィンドウ・スケール・オプションの値、パケット間隔の値で顕在化する。

【0057】

≪セキュリティ脅威検出システム≫
次に、本発明の実施の形態におけるセキュリティ脅威検出システムについて説明する。

【0058】

＜システム構成＞
図１０は、本発明の実施の形態におけるセキュリティ脅威検出システムの構成図である。このセキュリティ脅威検出システムでは、パターンマッチングによるセキュリティ攻撃の検出方法と異なり、セキュリティ攻撃の通信パターンを通信の秘密に抵触する恐れがないペイロード部分を除いたパケットのIPアドレス、TCPフラグ、送信間隔などヘッダ部分で生成できる要素と、ネットワークを流れるパケットのヘッダ情報から事前に生成した要素とを照合し、セキュリティ攻撃を検出するようになっている。

【0059】

具体的には、図１０に示すように、攻撃学習処理部１０、攻撃検知部２０、攻撃判定基準テーブルＴ６等の各種データベースを備え、以下の処理を行う。これにより、事前に必要な情報をリスト化する必要がなく、高精度な検出を実現することが可能となる。
・ネットワークを流れるパケットの送信元IPアドレスのロケーションやTCPヘッダシーケンスや流量などのセキュリティ攻撃の特徴からセキュリティ攻撃を検出する。
・パケットのペイロード以外の部分を用いてセキュリティ攻撃を検出する。
・単一セッションのみならず、複数セッション（送信元/宛先IPアドレス）ごとでのセキュリティ攻撃を検出する。

【0060】

＜各機能部の説明＞
図１１は、本発明の実施の形態におけるセキュリティ脅威検出システムの要部の機能ブロック図である。この図に示すように、攻撃学習処理部１０は、攻撃パケット検知部１１と、付加情報生成部１２と、説明変数生成部１３と、攻撃解析学習部１４と、攻撃情報テーブルＴ１と、国情報テーブルＴ２（図示せず）と、マルウェアドメインリストテーブルＴ３（図示せず）と、PerPacket学習データテーブルＴ４と、PerSession学習データテーブルＴ５と、攻撃判定基準テーブルＴ６とを備える。また、攻撃検知部２０は、パケット受信部２１と、パケット送信部２２と、パケットバッファリング部２３と、セッション集約部２４と、攻撃パターン照合部２５と、攻撃者被害者特定部２６と、攻撃判定テーブルＴ７と、照合結果テーブルＴ８と、攻撃者テーブルＴ９と、被害者テーブルＴ１０とを備える。照合結果テーブルＴ８、攻撃者テーブルＴ９、被害者テーブルＴ１０には、セキュリティ攻撃の検知結果が保存される。なお、攻撃学習処理部１０、攻撃検知部２０、各テーブルＴ１〜Ｔ１０は、物理的に同一の装置に設けてもよいし、別々の装置に設けてもよい。

【0061】

攻撃学習処理部１０は、正常パケット及びセキュリティ攻撃パケットをL2/L3/L4ヘッダ情報を収集・集約し、セキュリティ攻撃（目的変数）単位にセキュリティ攻撃の通信パターンを学習し、セキュリティ攻撃の特徴を捉える要素（説明変数）の値を作成する。

【0062】

攻撃検知部２０は、ネットワークを流れるパケットと攻撃学習処理部で生成したセキュリティ攻撃（目的変数）単位にセキュリティ攻撃の特徴を捉える要素（説明変数）の値を照合して、セキュリティ脅威を検出する。

【0063】

攻撃パケット検知部１１は、パケットキャプチャデータに対してセキュリティ攻撃の検知に必要な情報（フレーム長、タイムスタンプ、L2・L3・L4ヘッダ）を抽出しPerPacket学習データテーブルＴ４に保存する。また、L2・L3・L4ヘッダ及びペイロードから攻撃を検出し、セキュリティ攻撃（目的変数）を特定し、PerPacket学習データテーブルＴ４に保存する。なお、L2・L3・L4の「L」はレイヤを意味し、「L2・L3・L4」又は「L2/L3/L4」は「L2、L3、及びL4」を意味する。

【0064】

付加情報生成部１２は、攻撃パケット検知部１１でパケット単位に抽出したL2・L3・L4ヘッダの中のSrcIP及びDstIPをキーにして外部情報である国情報とマルウェアドメインリスト情報を検察して該当の国情報及びマルウェアドメイン情報をPerPacket学習データテーブルＴ４に保存する。

【0065】

説明変数生成部１３は、PerPacket学習データテーブルＴ４を、SrcIP、DstIP、Protocol、SrcPort、DstPortをキーにしてセッションごとに情報を集約することで、解析に必要となる要素（説明変数）をセッション単位で生成する。

【0066】

攻撃解析学習部１４は、説明変数生成部１３で生成した解析に必要となる要素（説明変数）ごとにセキュリティ攻撃を検出するための閾値を算出し、セキュリティ攻撃を検出するための攻撃判定基準テーブルＴ６を生成する。

【0067】

パケット受信部２１は、ネットワークを流れるパケットを受信する。

【0068】

パケット送信部２２は、バッファリングしたパケットをネットワークへ送信する。

【0069】

パケットバッファリング部２３は、受信したパケットをメモリにバッファリング（保存）する。

【0070】

セッション集約部２４は、バッファリングした受信パケットをL2・L3・L4ヘッダに組み立て、組み立てたL2・L3・L4ヘッダの中のSrcIP及びDstIPをキーにして外部情報である国情報とマルウェアドメインリスト情報を検察して該当の国情報及びマルウェアドメイン情報を生成し、セッション単位にセキュリティ攻撃を判定するために要素（説明変数）の値を検出して攻撃判定テーブルＴ７に情報を保存する。

【0071】

攻撃パターン照合部２５は、一定周期でセッション集約部２４で生成したセッション単位の攻撃判定テーブルＴ７から、セッションごとにセッション完了を判断し、セッションごとにセキュリティ攻撃の特徴を捉える要素（説明変数）を作成する。作成した説明変数の値と、攻撃解析学習部１４で生成した攻撃判定基準テーブルＴ６に格納された説明変数の値を照合してセキュリティ脅威のパケットであるか判断する。

【0072】

攻撃者被害者特定部２６は、一定周期で攻撃パターン照合部２５で検知したセキュリティ攻撃結果をもとに攻撃者・被害者を特定し、攻撃者テーブルＴ９、被害者テーブルＴ１０に格納する。

【0073】

以上のように、本発明の実施の形態におけるセキュリティ脅威検出システムは、パケットのヘッダ情報（L4パケット）の通信パターンを分析してセキュリティ攻撃を検知する手法を用いて高精度な検出を実現する。具体的には、セキュリティ攻撃（目的変数）単位に攻撃の特徴を捉える要素（説明変数）をL2/L3/L4ヘッダ情報から生成し、ネットワークを流れるパケットとセキュリティ攻撃の特徴を捉えた要素を照合させ、セキュリティ攻撃を判定する機能を有することを特徴とする。また、単一セッション・複数のセッションごとでの攻撃検知を行うため、従来では難しい攻撃に対しての検知を実現する。

【0074】

言い換えると、ウイルスパターンとの照合による検出手法ではなく、流れているパケットのヘッダ情報だけで生成できる情報（要素）を利用して、セキュリティ攻撃の通信特徴をモデル化して、モデル化したルールと照合させてセキュリティ攻撃を検出する手法であり、ウイルスパターンの最新化や同類の亜種マルウェアについて通信の秘密に抵触することなく且つペイロード暗号化されていても適切にセキュリティ攻撃を検出することであり、また単一セッション・複数のセッションごとでの検知を実施することから、従来では検知不可である攻撃への対応も可能とする。

【0075】

＜特徴分類＞
図１２は、本発明の実施の形態におけるセキュリティ脅威検出システムがセキュリティ攻撃を判断するための照合用データ（特徴）の説明図である。この図に示すように、照合用データ（特徴）は、実値代入、算出値、シーケンスから構成される。

【0076】

1stTCP宛先ポート等の説明変数は、パケットのヘッダ情報、付加情報、その他（受信時刻情報とフレーム長）の値をそのまま代入する説明変数である。

【0077】

フレーム長合計値等の説明変数は、パケットのヘッダ情報、付加情報、その他（受信時刻情報とフレーム長）の値を用いた演算処理（例：各種平均値、標準偏差、最大値、最小値などの統計値算出や減算によるセッション継続時間の算出など）により算出する説明変数である。

【0078】

UDP長フレーム長シーケンス等の説明変数は、パケットのヘッダ情報、付加情報、その他（受信時刻情報とフレーム長）の値に順序性の概念を付与した説明変数である。

【0079】

＜効果＞
本セキュリティ脅威検出システムによれば、以下の効果が得られる。

【0080】

まず、上述した攻撃１〜攻撃８をリアルタイムに検知することで未然にセキュリティ攻撃を防ぐことができる。

【0081】

また、単一セッション・複数のセッションごとでの攻撃検知を行うため、従来では難しい攻撃に対しての検知ができる。

【0082】

また、パケットのペイロード部分を参照することなく、セキュリティ攻撃のパケットをネットワークに流入する直前で抑制し、不要なトラフィックの網内侵入を抑止できる。

【0083】

また、セキュリティ攻撃の検出処理の軽量化により、ネットワーク内でお客様単位でのセキュリティ攻撃の検出が可能となる。

【0084】

また、シグネチャを利用したパターンマッチによる検出を行わないため、既存セキュリティ攻撃と同類の亜種マルウェアについても検出が可能となる。

【0085】

また、セキュリティ攻撃の検出処理の軽量化により、ネットワークキャリア側でユーザ単位に既知、亜種マルウェアを検出することが可能となる。

【0086】

また、暗号化されているパケットに関してもセキュリティ攻撃の検出が可能となる。

【0087】

また、パケットを終端する必要がないため、エンドツーエンドのスループットへの影響が無い。

【0088】

また、攻撃者及び被害者の特定が可能となる。

【0089】

≪具体例≫
以下、本セキュリティ脅威検出システムをより具体的に説明する。

【0090】

＜攻撃パケット検知部１１の処理フロー＞
図１３は、攻撃パケット検知部１１の処理を示すフローチャートである。

【0091】

ステップＳ１：正常パケット又はセキュリティ攻撃パケットファイルを1パケット単位に読み込む。

【0092】

ステップＳ２〜Ｓ９：パケット数>0の間、ループする。

【0093】

ステップＳ３：フレーム長、タイムスタンプを取得する。

【0094】

ステップＳ４：L2/L3/L4ヘッダを組み立てる。

【0095】

ステップＳ５：PerPacket学習データテーブルＴ４へ必要なヘッダ情報を登録する（フレーム長、タイムスタンプ、L3/L4ヘッダ）。

【0096】

ステップＳ６：L2/L3/L4ヘッダ及びペイロードを攻撃情報とチェックする。

【0097】

ステップＳ７：攻撃判定ルールと一致するか判定する。

【0098】

ステップＳ８：攻撃判定ルールと一致する場合、PerPacket学習データテーブルＴ４に判定結果を登録する（攻撃分類）。

【0099】

＜付加情報生成部１２の処理フロー＞
図１４は、付加情報生成部１２の処理を示すフローチャートである。

【0100】

ステップＳ１１：PerPacket学習データテーブルＴ４を1レコード単位に読み込む。

【0101】

ステップＳ１２〜Ｓ２３：PerPacket学習データのレコード数＞０の間、ループする。

【0102】

ステップＳ１３：国情報テーブルＴ２のネットワーク、マスク、国名を読み込む。

【0103】

ステップＳ１４：PerPacket学習データの.ip.srcと国情報テーブルＴ２と.ネットワーク/マスクを照合する。

【0104】

ステップＳ１５：PerPacket学習データ.ip.src.国名に、国情報.国名を登録する。

【0105】

ステップＳ１６：PerPacket学習データ.のip.dstと国情報テーブルＴ２と.ネットワーク/マスクを照合する。

【0106】

ステップＳ１７：PerPacket学習データ.ip.dst.国名に、国情報.国名を登録する。

【0107】

ステップＳ１８：マルウェアドメインリストテーブルＴ３のIPアドレスを読み込む。

【0108】

ステップＳ１９：PerPacket学習データ.のip.srcとマルウェアドメインリストの.IPアドレスを照合する。

【0109】

ステップＳ２０：PerPacket学習データ.ip.src.MDフラグに「1」を登録する。

【0110】

ステップＳ２１：PerPacket学習データ.のip.ｄｓｔとマルウェアドメインリストの.IPアドレスを照合する。

【0111】

ステップＳ２２：PerPacket学習データ.ip.dst.MDフラグに、「1」を登録する。

【0112】

＜説明変数生成部１３の処理フロー＞
図１５及び図１６は、説明変数生成部１３の処理を示すフローチャートである。

【0113】

ステップＳ３１：PerPacket学習データテーブルＴ４からSeesionIDがNULLのレコードを読み込む。

【0114】

ステップＳ３２〜Ｓ３９：抽出したレコードのSessionIDがNULLのレコード数＞０の間、ループする。

【0115】

ステップＳ３３：PerPacket学習データのip.protoがICMP又はTCP、UDPか判定する。

【0116】

ステップＳ３４：TCPである場合、PerPacket学習データの複数データの中で同じセッションにユニークなセッションIDを付与する（ip.src、ip.dst、ip.proto、tcp.srcport、tcp.dstportが完全一致及びip.dstとIp.srcの値が逆でtcp.dstportとtcp.srcportの値が逆の条件で上記条件が一致する場合）。

【0117】

ステップＳ３５：UDPである場合、PerPacket学習データの複数データの中で同じセッションにユニークなセッションIDを付与する（ip.src、ip.dst、ip.proto、udp.srcport、udp.dstportが完全一致及びip.dstとIp.srcの値が逆でudp.dstportとudp.srcportの値が逆の条件で上記条件が一致する場合）。

【0118】

ステップＳ３６：ICMPである場合、PerPacket学習データの複数データの中で同じセッションにユニークなセッションIDを付与する（ip.src、ip.dst、ip.protoが完全一致及びip.dstとip.srcの値が逆の条件で上記条件が一致する場合）。

【0119】

ステップＳ３７：PerPacket学習データテーブルＴ４にユニークとなるセッションIDを登録する。

【0120】

ステップＳ３８：TCP/UDP/ICMP以外である場合、セッションIDとして「-」を付与し、処理済として登録する。

【0121】

ステップＳ４０〜Ｓ６０：PerPacket学習データの未処理セッションがある場合はループする。

【0122】

ステップＳ４１：PerPacket学習データの該当セッションIDのレコードを全て抽出する。

【0123】

ステップＳ４２：抽出したレコードの中のデータで攻撃分類が1-8の値が付与されているか判定する。

【0124】

ステップＳ５１〜Ｓ５９：正常又は攻撃１〜８の場合、PerPacket学習データから抽出した該当セッションIDのレコードを全て処理済として登録する。

【0125】

＜説明変数生成部１３（攻撃1）の処理フロー＞
図１７は、説明変数生成部１３（攻撃1）の処理を示すフローチャートである。

【0126】

ステップＳ６１：PerPacket学習データテーブルＴ４から抽出したプロトコル番号が6(TCP)/17(UDP)/1(ICMP)か判定する。

【0127】

ステップＳ６２：6(TCP)である場合、抽出したレコードの中でフレーム送受信時刻が最も過去のフレームのヘッダ情報等をPerSession学習データテーブルに登録する。

【0128】

ステップＳ６３：上記のパケットに加え、抽出したレコードの中でフレーム送受信時刻が二番目の過去のフレームのヘッダ情報等をPerSession学習データテーブルに登録する。

【0129】

ステップＳ６４：抽出したレコードの該当のフィールドから、合計値1、最大値1、最大値2、平均値、合計値2を計算し、登録する。
・合計値1：該当レコードの該当フィールドの値すべての合計値を登録
・最大値1：該当レコードの該当フィールドの最大値を登録
・最大値2：受信パケットがipdst=1st宛先IPアドレスの場合の該当フィールドの最大値を登録
・平均値：該当レコードの該当フィールドの平均値を登録
・合計値2：該当レコードの数を登録
ステップＳ６５：抽出したレコードから、フレーム送受信時刻が最も古い時刻と、新しい時刻のフレームを抽出し、その差分時間を計算し、PerSession学習データテーブルＴ５へ登録する。

【0130】

ステップＳ６６：17(UDP)である場合、抽出したレコードの中でフレーム送受信時刻が最も過去のフレームのヘッダ情報等をPerSession学習データテーブルに登録する。

【0131】

ステップＳ６７：抽出したレコードの該当のフィールドから、合計値1、最大値1、最大値2、平均値、合計値2を計算し、登録する。
・合計値1：該当レコードの該当フィールドの値すべての合計値を登録
・最大値1：該当レコードの該当フィールドの最大値を登録
・最大値2：受信パケットがipdst=1st宛先IPアドレスの場合の該当フィールドの最大値を登録
・平均値：該当レコードの該当フィールドの平均値を登録
・合計値2：該当レコードの数を登録
ステップＳ６８：抽出したレコードから、フレーム送受信時刻が最も古い時刻と、新しい時刻のフレームを抽出し、その差分時間を計算し、PerSession学習データテーブルＴ５へ登録する。

【0132】

ステップＳ６９：1(ICMP)である場合、抽出したレコードの中でフレーム送受信時刻が最も過去のフレームのヘッダ情報等をPerSession学習データテーブルに登録する。

【0133】

ステップＳ７０：抽出したレコードの該当のフィールドから、比率1〜4を計算し、登録する。
・比率1〜4：該当フィールドの値のパケット個数の比率

【0134】

＜説明変数生成部１３（攻撃2）の処理フロー＞
図１８は、説明変数生成部１３（攻撃2）の処理を示すフローチャートである。

【0135】

ステップＳ７１：PerPacket学習データテーブルＴ４から抽出したプロトコル番号が6(TCP）/1(ICMP)か判定する。

【0136】

ステップＳ７２：6(TCP）である場合、抽出したレコードの中でフレーム送受信時刻が最も過去のフレームのヘッダ情報等をPerSession学習データテーブルに登録する。

【0137】

ステップＳ７３：上記のパケットに加え、抽出したレコードの中でフレーム送受信時刻が二番目の過去のフレームのヘッダ情報等をPerSession学習データテーブルに登録する。

【0138】

ステップＳ７４：抽出したレコードの該当のフィールドから、合計値、最大値1、最大値2、平均値を計算し、登録する。
・合計値：該当レコードの該当フィールドの値すべての合計値を登録
・最大値1：該当レコードの該当フィールドの最大値を登録
・最大値2：該当レコードの内、ip.dst=1st宛先IPアドレスの該当フィールドの最大値を登録
・平均値：該当レコードの該当フィールドの平均値を登録
ステップＳ７５：1(ICMP)である場合、抽出したレコードの中でフレーム送受信時刻が最も過去のフレームのヘッダ情報等をPerSession学習データテーブルに登録する。

【0139】

ステップＳ７６：抽出したレコードの該当のフィールドから、比率1〜4を計算し、登録する。
・比率1〜4：該当フィールドの値のパケット個数の比率

【0140】

＜説明変数生成部１３（攻撃3）の処理フロー＞
図１９は、説明変数生成部１３（攻撃3）の処理を示すフローチャートである。

【0141】

ステップＳ８１：PerPacket学習データテーブルＴ４から抽出したプロトコル番号が17(UDP) か判定する。

【0142】

ステップＳ８２：17(UDP)である場合、抽出したレコードの中でフレーム送受信時刻が最も過去のフレームのヘッダ情報等をPerSession学習データテーブルに登録する。

【0143】

ステップＳ８３：抽出したレコードの該当のフィールドから、合計値1、最大値1、合計値2を計算し、登録する。
・合計値1：該当レコードの該当フィールドの値すべての合計値を登録
・合計値2：該当レコードの数を登録
・最大値1：該当レコードの該当フィールドの最大値を登録

【0144】

＜説明変数生成部１３（攻撃4）の処理フロー＞
図２０は、説明変数生成部１３（攻撃4）の処理を示すフローチャートである。

【0145】

ステップＳ９１：PerPacket学習データテーブルＴ４から抽出したプロトコル番号が6(TCP)か判定する。

【0146】

ステップＳ９２：6(TCP)である場合、抽出したレコードの中でフレーム送受信時刻が最も過去のフレームのヘッダ情報等をPerSession学習データテーブルに登録する。

【0147】

ステップＳ９３：上記のパケットに加え、抽出したレコードの中でフレーム送受信時刻が四番目の過去のフレーム長をPerSession学習データテーブルに登録する。

【0148】

ステップＳ９４：抽出したレコードの該当のフィールドから、中央値1、比率1、比率2、合計値1を計算し、登録する。
・中央値1：該当レコードの該当フィールドの中央値を登録
・比率1：該当レコードの内 ip.dst=1st宛先IPアドレスの場合の該当フィールド値のパケット個数の比率
・比率2：該当レコードの内 ip.dst=1st送信元IPアドレスの場合の該当フィールド値のパケット個数の比率
・合計値1：該当レコードの内 ip.dst=1st宛先IPアドレスの場合の該当フィールドの値すべての合計値を登録
ステップＳ９５：受信パケットのframe.timeから該当レコードの最終フレーム受信時刻（順方向）を減算し、その減算結果の中から最大の値を登録する。

【0149】

＜説明変数生成部１３（攻撃5）の処理フロー＞
図２１は、説明変数生成部１３（攻撃5）の処理を示すフローチャートである。

【0150】

ステップＳ１０１：PerPacket学習データテーブルＴ４から抽出したプロトコル番号が6(TCP)か判定する。

【0151】

ステップＳ１０２：6(TCP)である場合、抽出したレコードの中でフレーム送受信時刻が最も過去のフレームのヘッダ情報等をPerSession学習データテーブルに登録する。

【0152】

ステップＳ１０３：抽出したレコードの該当のフィールドから、比率1を計算し、登録する。
・比率1：該当レコードの内 ip.dst=1st宛先IPアドレスの場合の該当フィールドの値のパケット個数の比率
ステップＳ１０４：抽出したレコードの該当のフィールドから、標準偏差1を計算し、登録する。
・標準偏差1：該当レコードの内 ip.dst=1st宛先IPアドレスの場合、受信パケットのframe.timeから該当レコードの最終フレーム受信時刻を減算し、その減算結果から標準偏差を計算し、登録する。

【0153】

＜説明変数生成部１３（攻撃6）の処理フロー＞
図２２は、説明変数生成部１３（攻撃6）の処理を示すフローチャートである。

【0154】

ステップＳ１１１：PerPacket学習データテーブルＴ４から抽出したプロトコル番号が17(UDP) か判定する。

【0155】

ステップＳ１１２：17(UDP)である場合、抽出したレコードの中でフレーム送受信時刻が最も過去のフレームのヘッダ情報等をPerSession学習データテーブルに登録する。

【0156】

ステップＳ１１３：上記のパケットに加え、抽出したレコードの中でフレーム送受信時刻が二番目の過去のフレームのヘッダ情報等をPerSession学習データテーブルに登録する。

【0157】

＜説明変数生成部１３（攻撃7）の処理フロー＞
図２３は、説明変数生成部１３（攻撃7）の処理を示すフローチャートである。

【0158】

ステップＳ１２１：PerPacket学習データテーブルＴ４から抽出したプロトコル番号が6(TCP)/17(UDP)/1(ICMP)か判定する。

【0159】

ステップＳ１２２：6(TCP)である場合、抽出したレコードの中でフレーム送受信時刻が最も過去のフレームのヘッダ情報等をPerSession学習データテーブルに登録する。

【0160】

ステップＳ１２３：抽出したレコードの該当のフィールドから、最大値1、平均値1、平均値2、合計値1を計算し、登録する。
・最大値1：該当レコードの該当フィールドの最大値を登録
・平均値1：該当レコードの内 ip.dst=1st宛先IPアドレスの場合、該当フィールドの平均値を登録
・平均値2：該当レコードの内 ip.dst=1st宛先IPアドレスの場合、該当フィールドの平均値を登録
・合計値1：該当レコードの数を登録
ステップＳ１２４：17(UDP)である場合、抽出したレコードの中でフレーム送受信時刻が最も過去のフレームのヘッダ情報等をPerSession学習データテーブルに登録する。

【0161】

ステップＳ１２５：抽出したレコードの該当のフィールドから、最大値1、平均値1、平均値2、合計値1を計算し、登録する。
・最大値1：該当レコードの該当フィールドの最大値を登録
・平均値1：該当レコードの内 ip.dst=1st宛先IPアドレスの場合、該当フィールドの平均値を登録
・平均値2：該当レコードの内 ip.dst=1st宛先IPアドレスの場合、該当フィールドの平均値を登録
・合計値1：該当レコードの数を登録
ステップＳ１２６：1(ICMP)である場合、抽出したレコードの中でフレーム送受信時刻が最も過去のフレームのヘッダ情報等をPerSession学習データテーブルに登録する。

【0162】

ステップＳ１２７：抽出したレコードの該当のフィールドから、比率1〜4を計算し、登録する。
・比率1〜4：該当フィールドの値のパケット個数の比率

【0163】

＜説明変数生成部１３（攻撃8）の処理フロー＞
図２４は、説明変数生成部１３（攻撃8）の処理を示すフローチャートである。

【0164】

ステップＳ１３１：PerPacket学習データテーブルＴ４から抽出したプロトコル番号が6(TCP)か判定する。

【0165】

ステップＳ１３２：6(TCP)である場合、抽出したレコードの中でフレーム送受信時刻が最も過去のフレームのヘッダ情報等をPerSession学習データテーブルに登録する。

【0166】

ステップＳ１３３：抽出したレコードの該当のフィールドから、合計値1を計算し、登録する。
・合計値1：該当レコードの内 ip.dst=1st宛先IPアドレスの場合の該当フィールドの値すべての合計値を登録
ステップＳ１３４：受信パケットのframe.timeから該当レコードの最終フレーム受信時刻（順方向）を減算し、その減算結果の中から最大の値を登録する。

【0167】

＜攻撃解析学習部１４の処理フロー＞
図２５は、攻撃解析学習部１４の処理を示すフローチャートである。

【0168】

ステップＳ１４１：PerSession学習データテーブルＴ５から攻撃分類1から8までを順次処理する。

【0169】

ステップＳ１４２：PerSession学習データテーブルＴ５から該当の攻撃分類のレコードを全て抽出する。

【0170】

ステップＳ１４３：攻撃分類を判定する。

【0171】

ステップＳ１４４：攻撃分類が１である場合、攻撃判定1を処理する。

【0172】

ステップＳ１４５：攻撃分類が２である場合、攻撃判定2を処理する。

【0173】

ステップＳ１４６：攻撃分類が３である場合、攻撃判定3を処理する。

【0174】

ステップＳ１４７：攻撃分類が４である場合、攻撃判定4を処理する。

【0175】

ステップＳ１４８：攻撃分類が５である場合、攻撃判定5を処理する。

【0176】

ステップＳ１４９：攻撃分類が６である場合、攻撃判定6を処理する。

【0177】

ステップＳ１５０：攻撃分類が７である場合、攻撃判定7を処理する。

【0178】

ステップＳ１５１：攻撃分類が８である場合、攻撃判定8を処理する。

【0179】

＜攻撃解析学習部１４（攻撃判定1）の処理フロー＞
図２６は、攻撃解析学習部１４（攻撃判定1）の処理を示すフローチャートである。

【0180】

ステップＳ１６１：抽出した該当のレコードの中で1stプロトコル番号が6(TCP)のレコードだけを絞り込む。

【0181】

ステップＳ１６２：上記で絞り込んだ該当のレコードの中でSessionIDが最も小さいレコードのTCPフラグシーケンスの値を攻撃判定基準テーブルＴ６に登録する。

【0182】

ステップＳ１６３：抽出した該当のレコードの中で1stプロトコル番号が6(TCP)または17(UDP)のレコードだけを絞り込む。

【0183】

ステップＳ１６４：上記で抽出したレコードの該当のフィールドから、平均値と標準偏差を計算する。
・平均値：該当レコードの該当フィールドの値すべての平均値を登録
・標準偏差：該当レコードの該当フィールドの値すべての標準偏差を登録
ステップＳ１６５：抽出した該当のレコードの中で1stプロトコル番号が1(ICMP)のレコードだけを絞り込む。

【0184】

ステップＳ１６６：上記で抽出したレコードの該当のフィールドから、平均値と標準偏差を計算する。
・平均値：該当レコードの該当フィールドの値すべての平均値を登録
・標準偏差：該当レコードの該当フィールドの値すべての標準偏差を登録

【0185】

＜攻撃解析学習部１４（攻撃判定2）の処理フロー＞
図２７は、攻撃解析学習部１４（攻撃判定2）の処理を示すフローチャートである。

【0186】

ステップＳ１７１：抽出した該当のレコードの中で1stプロトコル番号が6(TCP)のレコードだけを絞り込む。

【0187】

ステップＳ１７２：上記で絞り込んだ該当のレコードの中でSessionIDが最も小さいレコードのTCPフラグシーケンスの値を攻撃判定基準テーブルＴ６に登録する。

【0188】

ステップＳ１７３：上記で抽出したレコードの該当のフィールドから、平均値と標準偏差を計算する。
・平均値：該当レコードの該当フィールドの値すべての平均値を登録
・標準偏差：該当レコードの該当フィールドの値すべての標準偏差を登録
ステップＳ１７４：抽出した該当のレコードの中で1stプロトコル番号が1(ICMP)のレコードだけを絞り込む。

【0189】

ステップＳ１７５：上記で抽出したレコードの該当のフィールドから、平均値と標準偏差を計算する。
・平均値：該当レコードの該当フィールドの値すべての平均値を登録
・標準偏差：該当レコードの該当フィールドの値すべての標準偏差を登録

【0190】

＜攻撃解析学習部１４（攻撃判定3）の処理フロー＞
図２８は、攻撃解析学習部１４（攻撃判定3）の処理を示すフローチャートである。

【0191】

ステップＳ１８１：抽出した該当のレコードの中で1stプロトコル番号が17(UDP)のレコードだけを絞り込む。

【0192】

ステップＳ１８２：上記で抽出したレコードの該当のフィールドから、平均値と標準偏差を計算する。
・平均値：該当レコードの該当フィールドの値すべての平均値を登録
・標準偏差：該当レコードの該当フィールドの値すべての標準偏差を登録

【0193】

＜攻撃解析学習部１４（攻撃判定4）の処理フロー＞
図２９は、攻撃解析学習部１４（攻撃判定4）の処理を示すフローチャートである。

【0194】

ステップＳ１９１：抽出した該当のレコードの中で1stプロトコル番号が6(TCP)のレコードだけを絞り込む。

【0195】

ステップＳ１９２：上記で絞り込んだ該当のレコードの中でSessionIDが最も小さいレコードの1stTCP宛先ポートの値を攻撃判定基準テーブルＴ６に登録する。

【0196】

ステップＳ１９３：上記で抽出したレコードの該当のフィールドから、平均値と標準偏差を計算する。
・平均値：該当レコードの該当フィールドの値すべての平均値を登録
・標準偏差：該当レコードの該当フィールドの値すべての標準偏差を登録

【0197】

＜攻撃解析学習部１４（攻撃判定5）の処理フロー＞
図３０は、攻撃解析学習部１４（攻撃判定5）の処理を示すフローチャートである。

【0198】

ステップＳ２０１：抽出した該当のレコードの中で1stプロトコル番号が6(TCP)のレコードだけを絞り込む。

【0199】

ステップＳ２０２：上記で絞り込んだ該当のレコードの中でSessionIDが最も小さいレコードの1stTCP宛先ポートの値を攻撃判定基準テーブルＴ６に登録する。

【0200】

ステップＳ２０３：上記で抽出したレコードの該当のフィールドから、平均値と標準偏差を計算する。
・平均値：該当レコードの該当フィールドの値すべての平均値を登録
・標準偏差：該当レコードの該当フィールドの値すべての標準偏差を登録

【0201】

＜攻撃解析学習部１４（攻撃判定6）の処理フロー＞
図３１は、攻撃解析学習部１４（攻撃判定6）の処理を示すフローチャートである。

【0202】

ステップＳ２１１：抽出した該当のレコードの中で1stプロトコル番号が6(TCP)のレコードだけを絞り込む。

【0203】

ステップＳ２１２：上記で絞り込んだ該当のレコードの中でSessionIDが最も小さいレコードの1stTCP宛先ポートとUDPフレーム長シーケンスの値を攻撃判定基準テーブルＴ６に登録する。

【0204】

＜攻撃解析学習部１４（攻撃判定7）の処理フロー＞
図３２は、攻撃解析学習部１４（攻撃判定7）の処理を示すフローチャートである。

【0205】

ステップＳ２２１：抽出した該当のレコードの中で1stプロトコル番号が6(TCP)または17(UDP)のレコードだけを絞り込む。

【0206】

ステップＳ２２２：上記で抽出したレコードの該当のフィールドから、平均値と標準偏差を計算する。
・平均値：該当レコードの該当フィールドの値すべての平均値を登録
・標準偏差：該当レコードの該当フィールドの値すべての標準偏差を登録
ステップＳ２２３：抽出した該当のレコードの中で1stプロトコル番号が1(ICMP)のレコードだけを絞り込む。

【0207】

ステップＳ２２４：上記で抽出したレコードの該当のフィールドから、平均値と標準偏差を計算する。
・平均値：該当レコードの該当フィールドの値すべての平均値を登録
・標準偏差：該当レコードの該当フィールドの値すべての標準偏差を登録

【0208】

＜攻撃解析学習部１４（攻撃判定8）の処理フロー＞
図３３は、攻撃解析学習部１４（攻撃判定8）の処理を示すフローチャートである。

【0209】

ステップＳ２３１：抽出した該当のレコードの中で1stプロトコル番号が6(TCP)のレコードだけを絞り込む。

【0210】

ステップＳ２３２：上記で抽出したレコードの該当のフィールドから、平均値と標準偏差を計算する。
・平均値：該当レコードの該当フィールドの値すべての平均値を登録
・標準偏差：該当レコードの該当フィールドの値すべての標準偏差を登録

【0211】

＜パケット受信部２１/パケット送信部２２〜パケットバッファリング部２３の処理フロー＞
図３４は、パケット受信部２１/パケット送信部２２〜パケットバッファリング部２３の処理を示すフローチャートである。

【0212】

ステップＳ２４１：該当パケットを受信する。

【0213】

ステップＳ２４２：パケット受信時刻を取得する。

【0214】

ステップＳ２４３：受信パケットのフレーム長を取得する。

【0215】

ステップＳ２４４：受信したパケットと、受信時刻と受信フレーム長をパケットバッファリング部２３にコピーする。

【0216】

ステップＳ２４５：受信パケットを送信する。

【0217】

（セッション集約部２４の処理フロー）
図３５〜図３７は、セッション集約部２４の処理を示すフローチャートである。

【0218】

ステップＳ２５１：パケットバッファリング部２３にコピーされた受信パケットをL2/L3/L4ヘッダに組み立てる。

【0219】

ステップＳ２５２：組み立てたL3ヘッダのip.protoがICMP又はTCP、UDPか判定する。

【0220】

ステップＳ２５３：TCPである場合、受信したパケットが攻撃判定テーブルＴ７の中に同一のセッションのレコードが存在するか判定する（ip.src、ip.dst、ip.proto、tcp.srcport、tcp.dstportが完全一致及びip.dstとIp.srcの値が逆でtcp.dstportとtcp.srcportの値が逆の条件で上記条件が一致する場合）。

【0221】

ステップＳ２５４：同一のセッションのレコードが存在しない場合、攻撃判定テーブルＴ７にユニークとなるセッションID、受信したパケットのフレームのヘッダ情報等をPerSession攻撃判定テーブルＴ７に登録する。

【0222】

ステップＳ２５５：付加情報付与処理を行う。

【0223】

ステップＳ２５６：UDPである場合受信したパケットが攻撃判定テーブルＴ７の中に同一のセッションのレコードが存在するか判定する（ip.src、ip.dst、ip.proto、tcp.srcport、tcp.dstportが完全一致及びip.dstとIp.srcの値が逆でudp.dstportとudp.srcportの値が逆の条件で上記条件が一致する場合）。

【0224】

ステップＳ２５７：同一のセッションのレコードが存在しない場合、攻撃判定テーブルＴ７にユニークとなるセッションID、受信したパケットのフレームのヘッダ情報等、1stパケットのフレーム長をPerSession攻撃判定テーブルＴ７に登録する。

【0225】

ステップＳ２５８：付加情報付与処理を行う。

【0226】

ステップＳ２５９：ICMPである場合、受信したパケットが攻撃判定テーブルＴ７の中に同一のセッションのレコードが存在するか判定する（ip.src、ip.dst、ip.proto、が完全一致及び ip.dstとIp.srcの値が逆の条件で上記条件が一致する場合）。

【0227】

ステップＳ２６０：同一のセッションのレコードが存在しない場合、攻撃判定テーブルＴ７にユニークとなるセッションIDを登録し、受信したパケットのフレームのヘッダ情報等をPerSession攻撃判定テーブルＴ７に登録する。

【0228】

ステップＳ２６１：付加情報付与処理を行う。

【0229】

ステップＳ２７１：受信したパケットが同一のセッションの2パケット目か、また、攻撃判定テーブルＴ７の合計フレーム数が１か判定する。

【0230】

ステップＳ２７２：合計フレーム数が１である場合、受信したパケットのフレームのヘッダ情報を、攻撃判定テーブルＴ７に登録する。

【0231】

ステップＳ２７３：受信したパケットが同一のセッションの4パケット目か、また、攻撃判定テーブルＴ７の合計フレーム数が3か判定する。

【0232】

ステップＳ２７４：合計フレーム数が3である場合、受信したパケットのフレーム長を、攻撃判定テーブルＴ７に登録する。

【0233】

ステップＳ２７５：受信したパケットの該当のフィールドから、最大値1、最大値2、最大値3を計算し、登録する。
・最大値1：該当レコードの該当フィールドの値より受信パケットのframe.lenが大きければその値を登録
・最大値2：受信パケットがipdst=1st宛先IPアドレス場合で、該当レコードの該当フィールドの値より受信パケットのframe.lenが大きければその値を登録
・最大値3：
(0)該当レコードの最終フレーム受信時刻が0の場合は0を登録
(1)受信パケットのframe.timeから該当レコードの最終フレーム受信時刻を減算する
(2)上の減算結果の値が該当レコードの該当フィールドの値より大きければその値を登録する
ステップＳ２７６：受信したパケットが同一のセッションの2パケット目か、また、攻撃判定テーブルＴ７の合計フレーム数が1か判定する。

【0234】

ステップＳ２７７：合計フレーム数が1である場合、受信したパケットのフレーム長をPerSession攻撃判定テーブルＴ７に登録する。

【0235】

ステップＳ２７８：受信したパケットの該当のフィールドから、最大値1、最大値2、最大値3を計算し、登録する。
・最大値1：該当レコードの該当フィールドの値より受信パケットのframe.lenが大きければその値を登録
・最大値2：受信パケットがipdst=1st宛先IPアドレス場合で、該当レコードの該当フィールドの値より受信パケットのframe.lenが大きければその値を登録
・最大値3：
(0)該当レコードの最終フレーム受信時刻が0の場合は0を登録
(1)受信パケットのframe.timeから該当レコードの最終フレーム受信時刻を減算する
(2)上の減算結果の値が該当レコードの該当フィールドの値より大きければその値を登録する
ステップＳ２７９：受信したパケットの該当のフィールドから、最大値1、最大値2、最大値3を計算し、登録する。
・最大値1：該当レコードの該当フィールドの値より受信パケットのframe.lenが大きければその値を登録
・最大値2：受信パケットがipdst=1st宛先IPアドレス場合で、該当レコードの該当フィールドの値より受信パケットのframe.lenが大きければその値を登録
・最大値3：
(0)該当レコードの最終フレーム受信時刻が0の場合は0を登録
(1)受信パケットのframe.timeから該当レコードの最終フレーム受信時刻を減算する
(2)上の減算結果の値が該当レコードの該当フィールドの値より大きければその値を登録する
ステップＳ２８１：受信したパケットの該当のフィールドから、合計値1、合計値2、合計値3、合計値4、合計値5、合計値6、合計値7、合計値8、合計値9、合計値10、合計値11、合計値12、合計値13、合計値14を計算し、登録する。
・合計値1：該当レコードの該当フィールドの値に受信パケットのframe.lenを加算して登録
・合計値2：該当レコードの数に1を加算して登録
・合計値3：受信パケットがipdst=1st宛先IPアドレス場合、該当レコードの数に1を加算して登録
・合計値4：受信パケットがipdst=1st送信元IPアドレス場合、該当レコードの数に1を加算して登録
・合計値5：該当レコードの受信パケットのframe.lenに該当するフィールドの値に1を加算して登録
・合計値6：受信パケットがipdst=1st宛先IPアドレス場合
(1)受信パケットのframe.timeから該当レコードの最終フレーム受信時刻（順方向）を減算
(2)上の減算結果の値を該当レコードの該当フィールドの値に加算して登録
・合計値7：受信パケットがipdst=1st宛先IPアドレス場合
(1)受信パケットのframe.timeから該当レコードの最終フレーム受信時刻（順方向）を減算
(2)上の減算結果の値を二乗し、該当レコードの該当フィールドの値に加算して登録
・合計値8：
(1)受信パケットのframe.timeから該当レコードの最終フレーム受信時刻を減算
(2)上の減算結果の値を該当レコードの該当フィールドの値に加算して登録
・合計値9：受信パケットがipdst=1st宛先IPアドレス場合、該当レコードの該当フィールドの値に受信パケットのTTL値を加算して登録
・合計値10：受信パケットがIPフラグDF=1の場合、該当レコードの数に1を加算して登録
・合計値11：受信パケットがipdst=1st宛先IPアドレスの場合でDSCPフィールド=2の場合、該当レコードの数に1を加算して登録
・合計値12：受信パケットがipdst=1st送信元IPアドレスの場合でTCPフラグがACKのみの場合、該当レコードの数に1を加算して登録
・合計値13：受信パケットがipdst=1st宛先IPアドレスの場合でTCPフラグがPSHACKの場合、該当レコードの数に1を加算して登録
・合計値14：受信パケットがipdst=1st宛先IPアドレスの場合でTCPウィンドウ・スケール・オプションshift=5の場合、該当レコードの数に1を加算して登録
ステップＳ２８２：受信したパケットの該当のフィールドから、合計値1、合計値2、合計値3、合計値5、合計値6、合計値7、合計値8、合計値9、合計値10、合計値11を計算し、登録する。
・合計値1：該当レコードの該当フィールドの値に受信パケットのframe.lenを加算して登録
・合計値2：該当レコードの数に1を加算して登録
・合計値3：受信パケットがipdst=1st宛先IPアドレス場合、該当レコードの数に1を加算して登録
・合計値5：該当レコードの受信パケットのframe.lenに該当するフィールドの値に1を加算して登録
・合計値6：受信パケットがipdst=1st宛先IPアドレス場合
(1)受信パケットのframe.timeから該当レコードの最終フレーム受信時刻（順方向）を減算
(2)上の減算結果の値を該当レコードの該当フィールドの値に加算して登録
・合計値7：受信パケットがipdst=1st宛先IPアドレス場合
(1)受信パケットのframe.timeから該当レコードの最終フレーム受信時刻（順方向）を減算
(2)上の減算結果の値を二乗し、該当レコードの該当フィールドの値に加算して登録
・合計値8：
(1)受信パケットのframe.timeから該当レコードの最終フレーム受信時刻を減算
(2)上の減算結果の値を該当レコードの該当フィールドの値に加算して登録
・合計値9：受信パケットがipdst=1st宛先IPアドレス場合、該当レコードの該当フィールドの値に受信パケットのTTL値を加算して登録
・合計値10：受信パケットがIPフラグDF=1の場合、該当レコードの数に1を加算して登録
・合計値11：受信パケットがipdst=1st宛先IPアドレスの場合でDSCPフィールド=2の場合、該当レコードの数に1を加算して登録
ステップＳ２８３：受信したパケットの該当のフィールドから、合計値1、合計値2、合計値3、合計値5、合計値6、合計値7、合計値8、合計値9、合計値10、合計値11、合計値15、合計値16、合計値17、合計値18、合計値19、合計値20を計算し、登録する。
・合計値1：該当レコードの該当フィールドの値に受信パケットのframe.lenを加算して登録
・合計値2：該当レコードの数に1を加算して登録
・合計値3：受信パケットがipdst=1st宛先IPアドレス場合、該当レコードの数に1を加算して登録
・合計値5：該当レコードの受信パケットのframe.lenに該当するフィールドの値に1を加算して登録
・合計値6：受信パケットがipdst=1st宛先IPアドレス場合
(1)受信パケットのframe.timeから該当レコードの最終フレーム受信時刻（順方向）を減算
(2)上の減算結果の値を該当レコードの該当フィールドの値に加算して登録
・合計値7：受信パケットがipdst=1st宛先IPアドレス場合
(1)受信パケットのframe.timeから該当レコードの最終フレーム受信時刻（順方向）を減算
(2)上の減算結果の値を二乗し、該当レコードの該当フィールドの値に加算して登録
・合計値8：
(1)受信パケットのframe.timeから該当レコードの最終フレーム受信時刻を減算
(2)上の減算結果の値を該当レコードの該当フィールドの値に加算して登録
・合計値9：受信パケットがipdst=1st宛先IPアドレス場合、該当レコードの該当フィールドの値に受信パケットのTTL値を加算して登録
・合計値10：受信パケットがIPフラグDF=1の場合、該当レコードの数に1を加算して登録
・合計値11：受信パケットがipdst=1st宛先IPアドレスの場合でDSCPフィールド=2の場合、該当レコードの数に1を加算して登録
合計値15：受信パケットがICMPタイプ=3の場合、該当レコードの数に1を加算して登録
合計値16：受信パケットがICMPタイプ=11の場合、該当レコードの数に1を加算して登録
合計値17：受信パケットがICMPタイプ=3、ICMPコード=3の場合、該当レコードの数に1を加算して登録
合計値18：受信パケットがICMPタイプ=3、ICMPコード=4の場合、該当レコードの数に1を加算して登録
合計値19：受信パケットがICMPタイプ=3、ICMPコード=10の場合、該当レコードの数に1を加算して登録
合計値20：受信パケットがICMPタイプ=3、ICMPコード=13の場合、該当レコードの数に1を加算して登録
ステップＳ２８４：受信したパケットの受信時刻を、PerSession攻撃判定テーブルＴ７の
（1）最終フレーム受信時刻に登録
（2）受信パケットがipdst=1st送信元IPアドレス場合、最終フレーム受信時刻（順方向）にも登録

【0236】

＜セッション集約部２４（付加情報付与）の処理フロー＞
図３８は、セッション集約部２４（付加情報付与）の処理を示すフローチャートである。

【0237】

ステップＳ２９１：国情報テーブルＴ２のネットワーク、マスク、国名を読み込む。

【0238】

ステップＳ２９２：受信パケットの.ip.srcと国情報テーブルＴ２と.ネットワーク/マスクを照合する。

【0239】

ステップＳ２９３：攻撃判定テーブルＴ７の1st送信元IPアドレス国名に、国情報.国名を登録する。

【0240】

ステップＳ２９４：受信パケットの.ip.dstと国情報テーブルＴ２と.ネットワーク/マスクを照合する。

【0241】

ステップＳ２９５：攻撃判定テーブルＴ７の.ip.dst.国名に、国情報.国名を登録する。

【0242】

ステップＳ２９６：マルウェアドメインリストテーブルＴ３のIPアドレスを読み込む。

【0243】

ステップＳ２９７：受信パケットのip.srcとマルウェアドメインリストの.IPアドレスを照合する。

【0244】

ステップＳ２９８：攻撃判定テーブルＴ７の1st送信元IPアドレスMDフラグに「1」を登録する。

【0245】

ステップＳ２９９：受信パケットのip.ｄｓｔとマルウェアドメインリストの.IPアドレスを照合する。

【0246】

ステップＳ３００：攻撃判定テーブルＴ７の1st宛先IPアドレスMDフラグに、「1」を登録する。

【0247】

＜攻撃パターン照合部２５の処理フロー＞
図３９〜図４２は、攻撃パターン照合部２５の処理を示すフローチャートである。

【0248】

ステップＳ３０１：外部ファイルにより、起動周期を定義する。

【0249】

ステップＳ３０２：現時刻を取得する。

【0250】

ステップＳ３０３：セッション完了フラグ=NULLのレコードを読み込む。

【0251】

ステップＳ３０４：セッション終了を判断する（最終フレーム受信時刻 + 起動周期 < 現時刻のレコードをすべて抽出）。

【0252】

ステップＳ３０５〜Ｓ３２１：抽出したレコードのセッション完了フラグが未処理の個数＞０の間、ループする。

【0253】

ステップＳ３０６：該当レコードにセッション完了フラグ=1を登録する。

【0254】

ステップＳ３０７：1stプロトコル番号を判定する。

【0255】

ステップＳ３０８：6(TCP)である場合、該当レコードのTCPフラグシーケンス1及びTCPフラグシーケンス2の値を結合(例：SYN_SYNなど)し、TCPフラグシーケンスへ登録する。

【0256】

ステップＳ３０９：17(UDP)である場合、該当レコードのUDPフレーム長シーケンス1及びUDPフレーム長シーケンス2の値を結合(例：100B台_900B台)し、UDPフレーム長シーケンスへ登録する。

【0257】

ステップＳ３１１：該当レコードの平均値1、平均値2、中央値、標準偏差、比率1、比率2、比率3を計算し、登録する。
・平均値1：該当レコードの該当フィールドの値にフレーム長合計値をパケット数で割った値を登録
・平均値2：該当レコードの該当フィールドの値にTTL合計値をパケット数（順方向）で割った値を登録
・中央値：フレーム長(N)別パケット数の値をNについて昇順で合算するときに、最初にパケット数/2を超えるNの値を登録。
・標準偏差：
(1)パケット間隔合計値（順方向）をパケット数（順方向）で割り、その値の二乗を算出
(2)パケット間隔平方合計値（順方向）をパケット数（順方向）で割る
(3)上記(2)の算出値から(1)の値を減算した値を該当レコードの該当フィールドに登録
・比率1：該当レコードの該当フィールドの値にDSCPフィールド2のパケット数（順方向）をパケット数（順方向）で割った値を登録
・比率2：該当レコードの該当フィールドの値にTCPフラグACKのみパケット数（逆方向）をパケット数（逆方向）で割った値を登録
・比率3：該当レコードの該当フィールドの値にTCPフラグPSHACKパケット数（順方向）をパケット数（順方向）で割った値を登録
ステップＳ３１２：該当レコードの平均値1、平均値2、中央値、標準偏差、比率1を計算し、登録する。
・平均値1：該当レコードの該当フィールドの値にフレーム長合計値をパケット数で割った値を登録
・平均値2：該当レコードの該当フィールドの値にTTL合計値をパケット数（順方向）で割った値を登録
・中央値：フレーム長(N)別パケット数の値をNについて昇順で合算するときに、最初にパケット数/2を超えるNの値を登録。
・標準偏差：
(1)パケット間隔合計値（順方向）をパケット数（順方向）で割り、その値の二乗を算出
(2)パケット間隔平方合計値（順方向）をパケット数（順方向）で割る
(3)上記(2)の算出値から(1)の値を減算した値を該当レコードの該当フィールドに登録
・比率1：該当レコードの該当フィールドの値にDSCPフィールド2のパケット数（順方向）をパケット数（順方向）で割った値を登録
ステップＳ３１３：該当レコードの平均値1、平均値2、中央値、標準偏差、比率1、比率4、比率5、比率6、比率7、比率8、比率9を計算し、登録する。
・平均値1：該当レコードの該当フィールドの値にフレーム長合計値をパケット数で割った値を登録
・平均値2：該当レコードの該当フィールドの値にTTL合計値をパケット数（順方向）で割った値を登録
・中央値：フレーム長(N)別パケット数の値をNについて昇順で合算するときに、最初にパケット数/2を超えるNの値を登録。
・標準偏差：
(1)パケット間隔合計値（順方向）をパケット数（順方向）で割り、その値の二乗を算出
(2)パケット間隔平方合計値（順方向）をパケット数（順方向）で割る
(3)上記(2)の算出値から(1)の値を減算した値を該当レコードの該当フィールドに登録
・比率1：該当レコードの該当フィールドの値にDSCPフィールド2のパケット数（順方向）をパケット数（順方向）で割った値を登録
・比率4：該当レコードの該当フィールドの値にICMPタイプ3パケット数をパケット数で割った値を登録
・比率5：該当レコードの該当フィールドの値にICMPタイプ11パケット数をパケット数で割った値を登録
・比率6：該当レコードの該当フィールドの値にICMPタイプ3コード3パケット数をパケット数で割った値を登録
・比率7：該当レコードの該当フィールドの値にICMPタイプ3コード4パケット数をパケット数で割った値を登録
・比率8：該当レコードの該当フィールドの値にICMPタイプ3コード10パケット数をパケット数で割った値を登録
・比率9：該当レコードの該当フィールドの値にICMPタイプ3コード13パケット数をパケット数で割った値を登録
ステップＳ３２２：攻撃判定テーブルＴ７から、セッション完了フラグ = 1 且つ照合処理完了フラグ = NULL のレコードを読み込む。

【0258】

ステップＳ３２３〜Ｓ３３９：抽出したレコード数＞０の間、ループする。

【0259】

ステップＳ３２４：照合結果テーブルＴ８に該当レコードのSessionID、最終フレーム受信時刻、セッション継続時間、1st宛先IPアドレス、1st送信元IPアドレス、1st宛先IPアドレス国名、1st送信元IPアドレス国名を登録する。

【0260】

ステップＳ３２５：照合結果テーブルＴ８の一次照合結果ビットを初期化登録（値 = 00000000 ）する。

【0261】

ステップＳ３２６：1stプロトコル番号を判定する。

【0262】

ステップＳ３２７：6(TCP)である場合、TCPセッション一次照合処理を行う。

【0263】

ステップＳ３２８：17(UDP)である場合、UDPセッション一次照合処理を行う。

【0264】

ステップＳ３２９：1(ICMP)である場合、ICMPセッション一次照合処理を行う。

【0265】

ステップＳ３３１：該当セッションが攻撃1から8に該当するか判定する。

【0266】

ステップＳ３３２：該当しない場合、1st送信元IPアドレス（MDフラグ = 1）を判定する。

【0267】

ステップＳ３３３：照合処理テーブルへ、攻撃判定結果 = 「SrcIPがブラックリストに登録」を登録する。

【0268】

ステップＳ３３４：1st宛先IPアドレス（MDフラグ = 1）を判定する。

【0269】

ステップＳ３３５：照合処理テーブルへ、攻撃判定結果 = 「DstIPがブラックリストに登録」を登録する。

【0270】

ステップＳ３３６：照合処理テーブルへ、攻撃判定結果 = 「正常」を登録する。

【0271】

ステップＳ３３７：１つのみ該当する場合、照合処理テーブルへ、攻撃判定結果 = 「該当の攻撃タイプ」を登録する。

【0272】

ステップＳ３３８：攻撃判定テーブルＴ７へ、一次照合処理完了フラグ= 1 を登録する。

【0273】

ステップＳ３４０：二次照合処理を行う。

【0274】

＜攻撃パターン照合部２５（TCPセッション一次照合処理）の処理フロー＞
図４３〜図４４は、攻撃パターン照合部２５（TCPセッション一次照合処理）の処理を示すフローチャートである。

【0275】

ステップＳ３４１：攻撃判定基準テーブルＴ６から、攻撃１照合用データを読み込む。

【0276】

ステップＳ３４２：攻撃判定テーブルＴ７の該当セッションの攻撃判定要素と、攻撃判定基準の攻撃判定要素の値が攻撃1の範囲にあるか判定する。

【0277】

ステップＳ３４３：攻撃1の範囲にある場合、照合結果テーブルＴ８の一次照合結果ビットの1ビット目に1を登録する。

【0278】

ステップＳ３４４：攻撃判定基準テーブルＴ６から、攻撃２照合用データを読み込む。

【0279】

ステップＳ３４５：攻撃判定テーブルＴ７の該当セッションの攻撃判定要素と、攻撃判定基準の攻撃判定要素の値が攻撃1の範囲にあるか判定する。

【0280】

ステップＳ３４６：攻撃1の範囲にある場合、照合結果テーブルＴ８の一次照合結果ビットの2ビット目に1を登録する。

【0281】

ステップＳ３４７：攻撃判定基準テーブルＴ６から、攻撃４照合用データを読み込む。

【0282】

ステップＳ３４８：攻撃判定テーブルＴ７の該当セッションの攻撃判定要素と、攻撃判定基準の攻撃判定要素の値が攻撃1の範囲にあるか判定する。

【0283】

ステップＳ３４９：攻撃1の範囲にある場合、照合結果テーブルＴ８の一次照合結果ビットの4ビット目に1を登録する。

【0284】

ステップＳ３５０：攻撃判定基準テーブルＴ６から、攻撃５照合用データを読み込む。

【0285】

ステップＳ３５１：攻撃判定テーブルＴ７の該当セッションの攻撃判定要素と、攻撃判定基準の攻撃判定要素の値が攻撃1の範囲にあるか判定する。

【0286】

ステップＳ３５２：攻撃1の範囲にある場合、照合結果テーブルＴ８の一次照合結果ビットの5ビット目に1を登録する。

【0287】

ステップＳ３６１：攻撃判定基準テーブルＴ６から、攻撃７照合用データを読み込む。

【0288】

ステップＳ３６２：攻撃判定テーブルＴ７の該当セッションの攻撃判定要素と、攻撃判定基準の攻撃判定要素の値が攻撃1の範囲にあるか判定する。

【0289】

ステップＳ３６３：攻撃1の範囲にある場合、照合結果テーブルＴ８の一次照合結果ビットの7ビット目に1を登録する。

【0290】

ステップＳ３６４：攻撃判定テーブルＴ７の該当セッションの攻撃判定要素と、攻撃判定基準の攻撃判定要素の値が攻撃1の範囲にあるか判定する。

【0291】

ステップＳ３６５：攻撃1の範囲にある場合、照合結果テーブルＴ８の一次照合結果ビットの7ビット目に1を登録する。

【0292】

ステップＳ３６６：攻撃判定基準テーブルＴ６から、攻撃８照合用データを読み込む。

【0293】

ステップＳ３６７：攻撃判定テーブルＴ７の該当セッションの攻撃判定要素と、攻撃判定基準の攻撃判定要素の値が攻撃1の範囲にあるか判定する。

【0294】

ステップＳ３６８：攻撃1の範囲にある場合、照合結果テーブルＴ８の一次照合結果ビットの8ビット目に1を登録する。

【0295】

＜攻撃パターン照合部２５（UDPセッション一次照合処理）の処理フロー＞
図４５は、攻撃パターン照合部２５（UDPセッション一次照合処理）の処理を示すフローチャートである。

【0296】

ステップＳ３７１：攻撃判定基準テーブルＴ６から、攻撃１照合用データを読み込む。

【0297】

ステップＳ３７２：攻撃判定テーブルＴ７の該当セッションの攻撃判定要素と、攻撃判定基準の攻撃判定要素の値が攻撃1の範囲にあるか判定する。

【0298】

ステップＳ３７３：攻撃1の範囲にある場合、照合結果テーブルＴ８の一次照合結果ビットの1ビット目に1を登録する。

【0299】

ステップＳ３７４：攻撃判定基準テーブルＴ６から、攻撃３照合用データを読み込む。

【0300】

ステップＳ３７５：攻撃判定テーブルＴ７の該当セッションの攻撃判定要素と、攻撃判定基準の攻撃判定要素の値が攻撃1の範囲にあるか判定する。

【0301】

ステップＳ３７６：攻撃1の範囲にある場合、照合結果テーブルＴ８の一次照合結果ビットの3ビット目に1を登録する。

【0302】

ステップＳ３７７：攻撃判定基準テーブルＴ６から、攻撃６照合用データを読み込む。

【0303】

ステップＳ３７８：攻撃判定テーブルＴ７の該当セッションの攻撃判定要素と、攻撃判定基準の攻撃判定要素の値が攻撃1の範囲にあるか判定する。

【0304】

ステップＳ３７９：攻撃1の範囲にある場合、照合結果テーブルＴ８の一次照合結果ビットの6ビット目に1を登録する。

【0305】

ステップＳ３８０：攻撃判定基準テーブルＴ６から、攻撃７照合用データを読み込む。

【0306】

ステップＳ３８１：攻撃判定テーブルＴ７の該当セッションの攻撃判定要素と、攻撃判定基準の攻撃判定要素の値が攻撃1の範囲にあるか判定する。

【0307】

ステップＳ３８２：攻撃1の範囲にある場合、照合結果テーブルＴ８の一次照合結果ビットの7ビット目に1を登録する。

【0308】

＜攻撃パターン照合部２５（ICMPセッション一次照合処理）の処理フロー＞
図４６は、攻撃パターン照合部２５（ICMPセッション一次照合処理）の処理を示すフローチャートである。

【0309】

ステップＳ３９１：攻撃判定基準テーブルＴ６から、攻撃１照合用データを読み込む。

【0310】

ステップＳ３９２：攻撃判定テーブルＴ７の該当セッションの攻撃判定要素と、攻撃判定基準の攻撃判定要素の値が攻撃1の範囲にあるか判定する。

【0311】

ステップＳ３９３：攻撃1の範囲にある場合、照合結果テーブルＴ８の一次照合結果ビットの1ビット目に1を登録する。

【0312】

ステップＳ３９４：攻撃判定基準テーブルＴ６から、攻撃２照合用データを読み込む。

【0313】

ステップＳ３９５：攻撃判定テーブルＴ７の該当セッションの攻撃判定要素と、攻撃判定基準の攻撃判定要素の値が攻撃1の範囲にあるか判定する。

【0314】

ステップＳ３９６：攻撃1の範囲にある場合、照合結果テーブルＴ８の一次照合結果ビットの2ビット目に1を登録する。

【0315】

ステップＳ３９７：攻撃判定基準テーブルＴ６から、攻撃７照合用データを読み込む。

【0316】

ステップＳ３９８：攻撃判定テーブルＴ７の該当セッションの攻撃判定要素と、攻撃判定基準の攻撃判定要素の値が攻撃1の範囲にあるか判定する。

【0317】

ステップＳ３９９：攻撃1の範囲にある場合、照合結果テーブルＴ８の一次照合結果ビットの2ビット目に1を登録する。

【0318】

＜攻撃パターン照合部２５（二次照合処理）の処理フロー＞
図４７〜図４９は、攻撃パターン照合部２５（二次照合処理）を示すフローチャートである。

【0319】

ステップＳ４０１：照合結果テーブルＴ８から二次照合の対象レコードを最終フレーム受信時刻＋（起動周期＊3）<現時刻の条件ですべて抽出する。

【0320】

ステップＳ４０２〜Ｓ４５４：抽出したレコードで照合結果テーブルＴ８の中で異なる1st送信元IPアドレスの処理及び異なる1st送信元IPアドレスの処理が完了するまでループする。

【0321】

ステップＳ４０３：抽出したレコードを対象に照合結果テーブルＴ８の1st送信元IPアドレスが同一のレコードに絞り込む。

【0322】

ステップＳ４０４：絞り込んだレコードの中でプロトコルがTCP、UDP、ICMPを含んで且つ一次照合結果ビットが10000000（攻撃１）であるか判定する。

【0323】

ステップＳ４０５：攻撃１である場合、該当のレコードの中で攻撃結果判定が行われていないレコードは攻撃１と判断し、照合結果テーブルＴ８の攻撃判定結果に攻撃１を登録する。

【0324】

ステップＳ４０６：攻撃１でない場合、絞り込んだレコードの中でプロトコルがTCP、UDP、ICMPを含んで且つ一次照合結果ビットが00000010（攻撃7）であるか判定する。

【0325】

ステップＳ４０７：攻撃7である場合、該当のレコードの中で攻撃結果判定が行われていないレコードは攻撃7と判断し、照合結果テーブルＴ８の攻撃判定結果に攻撃7を登録する。

【0326】

ステップＳ４０８：攻撃7でない場合、絞り込んだレコードの中でプロトコルがTCP、UDPを含んで且つ一次照合結果ビットが10000000（攻撃1）であるか判定する。

【0327】

ステップＳ４０９：攻撃1である場合、該当のレコードの中で攻撃結果判定が行われていないレコードは攻撃1と判断し、照合結果テーブルＴ８の攻撃判定結果に攻撃１を登録する。

【0328】

ステップＳ４１０：攻撃1でない場合、絞り込んだレコードの中でプロトコルがTCP、UDPを含んで且つ一次照合結果ビットが00000010（攻撃7）であるか判定する。

【0329】

ステップＳ４１１：攻撃7である場合、該当のレコードの中で攻撃結果判定が行われていないレコードは攻撃7と判断し、照合結果テーブルＴ８の攻撃判定結果に攻撃7を登録する。

【0330】

ステップＳ４１２：攻撃7でない場合、絞り込んだレコードの中でプロトコルがTCP、ICMPを含んで且つ一次照合結果ビットが01000000（攻撃2）であるか判定する。

【0331】

ステップＳ４１３：攻撃2である場合、該当のレコードの中で攻撃結果判定が行われていないレコードは攻撃2と判断し、照合結果テーブルＴ８の攻撃判定結果に攻撃2を登録する。

【0332】

ステップＳ４１４：攻撃2でない場合、絞り込んだレコードの中でプロトコルがTCP、ICMPを含んで且つ一次照合結果ビットが10000000（攻撃1）であるか判定する。

【0333】

ステップＳ４１５：攻撃1である場合、該当のレコードの中で攻撃結果判定が行われていないレコードは攻撃1と判断し、照合結果テーブルＴ８の攻撃判定結果に攻撃1を登録する。

【0334】

ステップＳ４１６：攻撃1でない場合、絞り込んだレコードの中でプロトコルがTCP、ICMPを含んで且つ一次照合結果ビットが00000010（攻撃7）であるか判定する。

【0335】

ステップＳ４１７：攻撃7である場合、該当のレコードの中で攻撃結果判定が行われていないレコードは攻撃7と判断し、照合結果テーブルＴ８の攻撃判定結果に攻撃7を登録する。

【0336】

ステップＳ４２１：攻撃7でない場合、絞り込んだレコードの中でプロトコルがUDP、ICMPを含んで且つ一次照合結果ビットが10000000（攻撃1）であるか判定する。

【0337】

ステップＳ４２２：攻撃1である場合、該当のレコードの中で攻撃結果判定が行われていないレコードは攻撃1と判断し、照合結果テーブルＴ８の攻撃判定結果に攻撃１を登録する。

【0338】

ステップＳ４２３：攻撃1でない場合、絞り込んだレコードの中でプロトコルがUDP、ICMPを含んで且つ一次照合結果ビットが00000010（攻撃7）であるか判定する。

【0339】

ステップＳ４２４：攻撃7である場合、該当のレコードの中で攻撃結果判定が行われていないレコードは攻撃7と判断し、照合結果テーブルＴ８の攻撃判定結果に攻撃7を登録する。

【0340】

ステップＳ４２５：攻撃7でない場合、1st送信元IPアドレス（MDフラグ =が1 であるか）を判定する。

【0341】

ステップＳ４２６：MDフラグ =が1 である場合、該当レコードの中で攻撃結果判定が行われていないレコードは、攻撃不明ながらも攻撃であると判断し、照合処理テーブルの攻撃判定結果に「SrcIPがブラックリストに登録」を登録する。

【0342】

ステップＳ４２７：MDフラグ =が1 でない場合、該当レコードの中で攻撃結果判定が行われていないレコードは正常であると判断し、照合処理テーブルの攻撃判定結果に「正常」を登録する。

【0343】

ステップＳ４２８：抽出したレコードを対象に照合結果テーブルＴ８の1st宛先IPアドレスが同一のレコードに絞り込む。

【0344】

ステップＳ４２９：絞り込んだレコードの中でプロトコルがTCP、UDP、ICMPを含んで且つ一次照合結果ビットが10000000（攻撃１）であるか判定する。

【0345】

ステップＳ４３０：攻撃１である場合、該当のレコードの中で攻撃結果判定が行われていないレコードは攻撃1と判断し、照合結果テーブルＴ８の攻撃判定結果に攻撃7を登録する。

【0346】

ステップＳ４３１：攻撃１でない場合、絞り込んだレコードの中でプロトコルがTCP、UDP、ICMPを含んで且つ一次照合結果ビットが00000010（攻撃7）であるか判定する。

【0347】

ステップＳ４３２：攻撃7である場合、該当のレコードの中で攻撃結果判定が行われていないレコードは攻撃7と判断し、照合結果テーブルＴ８の攻撃判定結果に攻撃2を登録する。

【0348】

ステップＳ４３３：攻撃7でない場合、絞り込んだレコードの中でプロトコルがTCP、UDPを含んで且つ一次照合結果ビットが10000000（攻撃1）であるか判定する。

【0349】

ステップＳ４３４：攻撃1である場合、該当のレコードの中で攻撃結果判定が行われていないレコードは攻撃1と判断し、照合結果テーブルＴ８の攻撃判定結果に攻撃1を登録する。

【0350】

ステップＳ４３５：攻撃1でない場合、絞り込んだレコードの中でプロトコルがTCP、UDPを含んで且つ一次照合結果ビットが00000010（攻撃7）であるか判定する。

【0351】

ステップＳ４３６：攻撃7である場合、該当のレコードの中で攻撃結果判定が行われていないレコードは攻撃7と判断し、照合結果テーブルＴ８の攻撃判定結果に攻撃7を登録する。

【0352】

ステップＳ４４１：攻撃7でない場合、絞り込んだレコードの中でプロトコルがTCP、ICMPを含んで且つ一次照合結果ビットが01000000（攻撃2）であるか判定する。

【0353】

ステップＳ４４２：攻撃2である場合、該当のレコードの中で攻撃結果判定が行われていないレコードは攻撃2と判断し、照合結果テーブルＴ８の攻撃判定結果に攻撃2を登録する。

【0354】

ステップＳ４４３：攻撃2でない場合、絞り込んだレコードの中でプロトコルがTCP、ICMPを含んで且つ一次照合結果ビットが10000000（攻撃1）であるか判定する。

【0355】

ステップＳ４４４：攻撃1である場合、該当のレコードの中で攻撃結果判定が行われていないレコードは攻撃1と判断し、照合結果テーブルＴ８の攻撃判定結果に攻撃1を登録する。

【0356】

ステップＳ４４５：攻撃1でない場合、絞り込んだレコードの中でプロトコルがTCP、ICMPを含んで且つ一次照合結果ビットが00000010（攻撃7）であるか判定する。

【0357】

ステップＳ４４６：攻撃7である場合、該当のレコードの中で攻撃結果判定が行われていないレコードは攻撃7と判断し、照合結果テーブルＴ８の攻撃判定結果に攻撃7を登録する。

【0358】

ステップＳ４４７：攻撃7でない場合、絞り込んだレコードの中でプロトコルがUDP、ICMPを含んで且つ一次照合結果ビットが10000000（攻撃1）であるか判定する。

【0359】

ステップＳ４４８：攻撃1である場合、該当のレコードの中で攻撃結果判定が行われていないレコードは攻撃1と判断し、照合結果テーブルＴ８の攻撃判定結果に攻撃1を登録する。

【0360】

ステップＳ４４９：攻撃1でない場合、絞り込んだレコードの中でプロトコルがUDP、UDP、ICMPを含んで且つ一次照合結果ビットが00000010（攻撃7）であるか判定する。

【0361】

ステップＳ４５０：攻撃7である場合、該当のレコードの中で攻撃結果判定が行われていないレコードは攻撃7と判断し、照合結果テーブルＴ８の攻撃判定結果に攻撃7を登録する。

【0362】

ステップＳ４５１：攻撃7でない場合、1st宛先IPアドレス（MDフラグ =が1 であるか）を判定する。

【0363】

ステップＳ４５２：MDフラグ =が1 である場合、該当レコードの中で攻撃結果判定が行われていないレコードは、攻撃不明ながらも攻撃であると判断し、照合処理テーブルの攻撃判定結果に「DstIPがブラックリストに登録」を登録する。

【0364】

ステップＳ４５３：MDフラグ =が1 でない場合、該当レコードの中で攻撃結果判定が行われていないレコードは正常であると判断し、照合処理テーブルの攻撃判定結果に「正常」を登録する。

【0365】

＜攻撃者被害者特定部２６（攻撃者、被害者特定）の処理フロー＞
図５０〜図５４は、攻撃者被害者特定部２６（攻撃者、被害者特定）の処理を示すフローチャートである。

【0366】

ステップＳ４６１：外部ファイルにより、起動周期を定義する。

【0367】

ステップＳ４６２：監視時間帯を設定（現在時刻−起動周期〜現在時刻）する。

【0368】

ステップＳ４６３：照合結果テーブルＴ８から、攻撃１と判定され、攻撃者・被害者の特定が未完了のレコードを読み込む。

【0369】

ステップＳ４６４〜Ｓ４６９：上記条件で抽出されたレコード毎にループする。

【0370】

ステップＳ４６５：プロトコル番号を判定する。

【0371】

ステップＳ４６６：6(TCP)である場合、1st宛先IPアドレスを被害者、1st送信元IPアドレスを攻撃者に登録する。

【0372】

ステップＳ４６７：17(UDP)である場合、1st宛先IPアドレスを被害者、1st送信元IPアドレスを攻撃者に登録する。

【0373】

ステップＳ４６８：1(ICMP)である場合、1st宛先IPアドレスを攻撃者、1st送信元IPアドレスを被害者に登録する。

【0374】

ステップＳ４７１：照合結果テーブルＴ８から、攻撃２と判定され、攻撃者・被害者の特定が未完了のレコードを読み込む。

【0375】

ステップＳ４７２〜Ｓ４７６：上記条件で抽出されたレコード毎にループする。

【0376】

ステップＳ４７３：プロトコル番号を判定する。

【0377】

ステップＳ４７４：6(TCP)である場合、1st宛先IPアドレスを被害者、1st送信元IPアドレスを攻撃者に登録する。

【0378】

ステップＳ４７５：1(ICMP)である場合、1st宛先IPアドレスを攻撃者、1st送信元IPアドレスを被害者に登録する。

【0379】

ステップＳ４７７：照合結果テーブルＴ８から、攻撃３と判定され、攻撃者・被害者の特定が未完了のレコードを読み込む。

【0380】

ステップＳ４７８〜Ｓ４８１：上記条件で抽出されたレコード毎にループする。

【0381】

ステップＳ４７９：プロトコル番号を判定する。

【0382】

ステップＳ４８０：17(UDP)である場合、1st宛先IPアドレスを攻撃者、1st送信元IPアドレスを被害者に登録する。

【0383】

ステップＳ４９１：照合結果テーブルＴ８から、攻撃４と判定され、攻撃者・被害者の特定が未完了のレコードを読み込む。

【0384】

ステップＳ４９２〜Ｓ４９５：上記条件で抽出されたレコード毎にループする。

【0385】

ステップＳ４９３：プロトコル番号を判定する。

【0386】

ステップＳ４９４：6(TCP)である場合、1st宛先IPアドレスを被害者、1st送信元IPアドレスを攻撃者に登録する。

【0387】

ステップＳ４９６：照合結果テーブルＴ８から、攻撃５と判定され、攻撃者・被害者の特定が未完了のレコードを読み込む。

【0388】

ステップＳ４９７〜Ｓ５００：上記条件で抽出されたレコード毎にループする。

【0389】

ステップＳ４９８：プロトコル番号を判定する。

【0390】

ステップＳ４９９：6(TCP)である場合、1st宛先IPアドレスを被害者、1st送信元IPアドレスを攻撃者に登録する。

【0391】

ステップＳ５０１：照合結果テーブルＴ８から、攻撃６と判定され、攻撃者・被害者の特定が未完了のレコードを読み込む。

【0392】

ステップＳ５０２〜Ｓ５０５：上記条件で抽出されたレコード毎にループする。

【0393】

ステップＳ５０３：プロトコル番号を判定する。

【0394】

ステップＳ５０４：17(UDP)である場合、1st宛先IPアドレスを攻撃者、1st送信元IPアドレスを被害者に登録する。

【0395】

ステップＳ５０６：照合結果テーブルＴ８から、攻撃７と判定され、攻撃者・被害者の特定が未完了のレコードを読み込む。

【0396】

ステップＳ５０７〜Ｓ５１２：上記条件で抽出されたレコード毎にループする。

【0397】

ステップＳ５０８：プロトコル番号を判定する。

【0398】

ステップＳ５０９：6(TCP)である場合、1st送信元IPアドレスを攻撃者に登録する。

【0399】

ステップＳ５１０：17(UDP)である場合、1st送信元IPアドレスを攻撃者に登録する。

【0400】

ステップＳ５１１：1(ICMP)である場合、1st宛先IPアドレスを攻撃者、1st送信元IPアドレスを被害者に登録する。

【0401】

ステップＳ５２１：照合結果テーブルＴ８から、攻撃８と判定され、攻撃者・被害者の特定が未完了のレコードを読み込む。

【0402】

ステップＳ５２２〜Ｓ５２５：上記条件で抽出されたレコード毎にループする。

【0403】

ステップＳ５２３：プロトコル番号を判定する。

【0404】

ステップＳ５２４：6(TCP)である場合、1st宛先IPアドレスを被害者、1st送信元IPアドレスを攻撃者に登録する。

【0405】

ステップＳ５２６：照合結果テーブルＴ８から、SrcIPがブラックリストと判定され、攻撃者・被害者の特定が未完了のレコードを読み込む。

【0406】

ステップＳ５２７〜Ｓ５２９：上記条件で抽出されたレコード毎にループする。

【0407】

ステップＳ５２８：1st宛先IPアドレスを被害者、1st送信元IPアドレスを攻撃者に登録する。

【0408】

ステップＳ５３０：照合結果テーブルＴ８から、DstIPがブラックリストと判定され、攻撃者・被害者の特定が未完了のレコードを読み込む。

【0409】

ステップＳ５３１〜Ｓ５３３：上記条件で抽出されたレコード毎にループする。

【0410】

ステップＳ５３２：1st宛先IPアドレスを攻撃者、1st送信元IPアドレスを被害者に登録する。

【0411】

＜攻撃者被害者特定部２６（攻撃者纏め）の処理フロー＞
図５５は、攻撃者被害者特定部２６（攻撃者纏め）の処理を示すフローチャートである。

【0412】

ステップＳ５４１：照合結果テーブルＴ８から、攻撃者として特定され、攻撃者、被害者纏め処理が未完了のレコードを読み込む。

【0413】

ステップＳ５４２〜Ｓ５７１：上記条件で抽出されたレコードを毎にループする。

【0414】

ステップＳ５４３〜Ｓ５７０：上記条件、及び攻撃者IPアドレスで集約されたレコード毎にループする。

【0415】

ステップＳ５４４：監視時間帯、攻撃者を登録する。

【0416】

ステップＳ５４５：攻撃判定結果が攻撃１のレコード数≧1であるか判定する。

【0417】

ステップＳ５４６：攻撃１のレコード数≧1である場合、攻撃１の有無を登録する。

【0418】

ステップＳ５４７：攻撃判定結果が攻撃２のレコード数≧1であるか判定する。

【0419】

ステップＳ５４８：攻撃２のレコード数≧1である場合、攻撃２の有無を登録する。

【0420】

ステップＳ５４９：攻撃判定結果が攻撃３のレコード数≧1であるか判定する。

【0421】

ステップＳ５５０：攻撃３のレコード数≧1である場合、攻撃３の有無を登録する。

【0422】

ステップＳ５５１：攻撃判定結果が攻撃４のレコード数≧1であるか判定する。

【0423】

ステップＳ５５２：攻撃４のレコード数≧1である場合、攻撃４の有無を登録する。

【0424】

ステップＳ５５３：攻撃判定結果が攻撃５のレコード数≧1であるか判定する。

【0425】

ステップＳ５５４：攻撃５のレコード数≧1である場合、攻撃５の有無を登録する。

【0426】

ステップＳ５６１：攻撃判定結果が攻撃６のレコード数≧1であるか判定する。

【0427】

ステップＳ５６２：攻撃６のレコード数≧1である場合、攻撃６の有無を登録する。

【0428】

ステップＳ５６３：攻撃判定結果が攻撃７のレコード数≧1であるか判定する。

【0429】

ステップＳ５６４：攻撃７のレコード数≧1である場合、攻撃７の有無を登録する。

【0430】

ステップＳ５６５：攻撃判定結果が攻撃８のレコード数≧1であるか判定する。

【0431】

ステップＳ５６６：攻撃８のレコード数≧1である場合、攻撃８の有無を登録する。

【0432】

ステップＳ５６７：攻撃判定結果のSrcIPがブラックリストに登録、又はDstIPがブラックリストに登録のレコード数≧1であるか判定する。

【0433】

ステップＳ５６８：ブラックリストに登録、又はレコード数≧1である場合、攻撃？の有無を登録する。

【0434】

ステップＳ５６９：攻撃者被害者特定完了フラグを登録する。

【0435】

＜攻撃者被害者特定部２６（被害者纏め）の処理フロー＞
図５６は、攻撃者被害者特定部２６（被害者纏め）の処理を示すフローチャートである。

【0436】

ステップＳ５８１：照合結果テーブルＴ８から、被害者として特定され、攻撃者、被害者纏め処理が未完了のレコードを読み込む。

【0437】

ステップＳ５８２〜Ｓ６１２：上記条件で抽出されたレコードを毎にループする。

【0438】

ステップＳ５８３〜Ｓ６１１：上記条件、及び被害者IPアドレスで集約されたレコード毎にループする。

【0439】

ステップＳ５８４：監視時間帯、被害者を登録する。

【0440】

ステップＳ５８５：攻撃判定結果が攻撃１のレコード数≧1であるか判定する。

【0441】

ステップＳ５８６：攻撃１のレコード数≧1である場合、攻撃１の有無を登録する。

【0442】

ステップＳ５８７：攻撃判定結果が攻撃２のレコード数≧1であるか判定する。

【0443】

ステップＳ５８８：攻撃２のレコード数≧1である場合、攻撃２の有無を登録する。

【0444】

ステップＳ５８９：攻撃判定結果が攻撃３のレコード数≧1であるか判定する。

【0445】

ステップＳ５９０：攻撃３のレコード数≧1である場合、攻撃３の有無を登録する。

【0446】

ステップＳ５９１：攻撃判定結果が攻撃４のレコード数≧1であるか判定する。

【0447】

ステップＳ５９２：攻撃４のレコード数≧1である場合、攻撃４の有無を登録する。

【0448】

ステップＳ５９３：攻撃判定結果が攻撃５のレコード数≧1であるか判定する。

【0449】

ステップＳ５９４：攻撃５のレコード数≧1である場合、攻撃５の有無を登録する。

【0450】

ステップＳ６０１：攻撃判定結果が攻撃６のレコード数≧1であるか判定する。

【0451】

ステップＳ６０２：攻撃６のレコード数≧1である場合、攻撃６の有無を登録する。

【0452】

ステップＳ６０３：攻撃判定結果が攻撃７のレコード数≧1であるか判定する。

【0453】

ステップＳ６０４：攻撃７のレコード数≧1である場合、攻撃７の有無を登録する。

【0454】

ステップＳ６０５：攻撃判定結果が攻撃８のレコード数≧1であるか判定する。

【0455】

ステップＳ６０６：攻撃８のレコード数≧1である場合、攻撃８の有無を登録する。

【0456】

ステップＳ６０７：攻撃判定結果のSrcIPがブラックリストに登録、又はDstIPがブラックリストに登録のレコード数≧1であるか判定する。

【0457】

ステップＳ６０８：ブラックリストに登録、又はレコード数≧1である場合、攻撃者テーブルＴ９の攻撃者に被害者IPアドレスが存在するか判定する。

【0458】

ステップＳ６０９：被害者IPアドレスが存在する場合、攻撃？の有無を更新する。

【0459】

ステップＳ６１０：攻撃者被害者特定完了フラグを登録する。

【0460】

＜データベース構成例＞
以下、図５７〜図７１を用いてデータベースの構成例を説明する。

【0461】

攻撃情報テーブルＴ１は、セキュリティの脅威を識別する情報を纏めたテーブルである。図５８（ａ）は、攻撃情報テーブルＴ１のテーブル定義を示し、図５８（ｂ）は、そのサンプル値を示している。

【0462】

国情報テーブルＴ２は、IPアドレスと国名を紐づけたテーブルである。図５９（ａ）は、国情報テーブルＴ２のテーブル定義を示し、図５９（ｂ）は、そのサンプル値を示している。

【0463】

マルウェアドメインリストテーブルＴ３は、スパムメール配信、フィッシング詐欺、マルウェア・スパイウェア配布を行っているIPアドレスのブラックリストを纏めたテーブルである。図６０（ａ）は、マルウェアドメインリストテーブルＴ３のテーブル定義を示し、図６０（ｂ）は、そのサンプル値を示している。

【0464】

PerPacket学習データテーブルＴ４は、攻撃パケット検知部１１でセキュリティの脅威と判定された情報と、分析に必要なL3/L4パケットの情報を纏めたテーブルである。図６１は、PerPacket学習データテーブルＴ４のテーブル定義を示し、図６２は、そのサンプル値を示している。

【0465】

PerSession学習データテーブルＴ５は、PerPacket学習データテーブルＴ４を元に、分析に必要な説明変数をセッション毎に計算し、集約したテーブルである。図６３は、PerSession学習データテーブルＴ５のテーブル定義を示し、図６４は、そのサンプル値を示している。

【0466】

攻撃判定基準テーブルＴ６は、攻撃分類毎の特徴（説明変数）と値を纏めたテーブルである。図６５は、攻撃判定基準テーブルＴ６のテーブル定義を示し、図６６は、そのサンプル値を示している。

【0467】

攻撃判定テーブルＴ７は、パケットバッファリング部２３で取得した情報を元に、分析に必要な説明変数をセッション毎に計算し、集約したテーブルである。図６７は、攻撃判定テーブルＴ７のテーブル定義を示し、図６８は、そのサンプル値を示している。

【0468】

照合結果テーブルＴ８は、攻撃パターン照合部２５でセキュリティの脅威と判定された結果を格納したテーブルである。図６９（ａ）は、照合結果テーブルＴ８のテーブル定義を示し、図６９（ｂ）は、そのサンプル値を示している。

【0469】

攻撃者テーブルＴ９は、攻撃パターン照合部２５で特定された攻撃者情報をレポート形式で出力するための情報を纏めたテーブルである。図７０（ａ）は、攻撃者テーブルＴ９のテーブル定義を示し、図７０（ｂ）は、そのサンプル値を示している。

【0470】

被害者テーブルＴ１０は、攻撃パターン照合部２５で特定された被害者情報をレポート形式で出力するための情報を纏めたテーブルである。図７１（ａ）は、被害者テーブルＴ１０のテーブル定義を示し、図７１（ｂ）は、そのサンプル値を示している。

【0471】

＜まとめ＞
以上説明したように、本発明の実施の形態におけるセキュリティ脅威検出システムは、正常パケット及びセキュリティ攻撃パケットのヘッダ情報に基づいて、セキュリティ攻撃単位にセキュリティ攻撃の通信パターンを学習し、セキュリティ攻撃の特徴を捉える要素の値を生成する攻撃学習処理部１０と、ネットワークを流れるパケットと攻撃学習処理部１０で生成したセキュリティ攻撃の特徴を捉える要素の値を照合して、セキュリティ脅威を検出する攻撃検知部２０とを備える。これにより、通信の秘密に抵触することなく且つペイロード暗号化されていても適切にセキュリティ攻撃を検出することが可能である。

【0472】

具体的には、ネットワークを流れるパケットの送信元IPアドレス及び宛先IPアドレスのロケーション、TCPヘッダシーケンス、パケットの流量のうちの少なくとも１つの特徴からセキュリティ攻撃を検出する。これにより、セキュリティ攻撃を精度よく検出することが可能である。

【0473】

また、ネットワークを流れるパケットのペイロード部分を参照することなくセキュリティ攻撃を検出する。これにより、通信の秘密に抵触することない効果が得られる。

【0474】

また、単一セッションのみならず複数セッションごとでのセキュリティ攻撃を検出する。これにより、従来では検知不可である攻撃への対応も可能とする。

【0475】

また、本発明の実施の形態における攻撃学習処理装置（攻撃学習処理部）１０は、パケットキャプチャデータに対してセキュリティ攻撃の検知に必要な情報を抽出しPerPacket学習データテーブルＴ４に保存し、ヘッダ及びペイロードから攻撃を検出し、セキュリティ攻撃を特定し、PerPacket学習データテーブルＴ４に保存する攻撃パケット検知部１１と、攻撃パケット検知部１１でパケット単位に抽出したヘッダの中のSrcIP及びDstIPをキーにして外部情報である国情報とマルウェアドメインリスト情報を検察して該当の国情報及びマルウェアドメイン情報をPerPacket学習データテーブルＴ４に保存する付加情報生成部１２と、PerPacket学習データテーブルＴ４を、SrcIP、DstIP、Protocol、SrcPort、DstPortをキーにしてセッションごとに情報を集約することで、解析に必要となる要素をセッション単位で生成する説明変数生成部１３と、説明変数生成部１３で生成した解析に必要となる要素ごとにセキュリティ攻撃を検出するための閾値を算出し、セキュリティ攻撃を検出するための攻撃判定基準テーブルＴ６を生成する攻撃解析学習部１４とを備える。これにより、正常パケット及びセキュリティ攻撃パケットのヘッダ情報に基づいて、セキュリティ攻撃単位にセキュリティ攻撃の通信パターンを学習し、セキュリティ攻撃の特徴を捉える要素の値を生成することが可能である。

【0476】

また、本発明の実施の形態における攻撃検知装置（攻撃検知部）２０は、ネットワークを流れるパケットを受信するパケット受信部２１と、バッファリングしたパケットをネットワークへ送信するパケット送信部２２と、受信したパケットをメモリにバッファリングするパケットバッファリング部２３と、バッファリングした受信パケットをヘッダに組み立て、組み立てたヘッダの中のSrcIP及びDstIPをキーにして外部情報である国情報とマルウェアドメインリスト情報を検察して該当の国情報及びマルウェアドメイン情報を生成し、セッション単位にセキュリティ攻撃を判定するために要素の値を検出して攻撃判定テーブルＴ７に情報を保存するセッション集約部２４と、一定周期でセッション集約部２４で生成したセッション単位の攻撃判定テーブルＴ７から、セッションごとにセッション完了を判断し、セッションごとにセキュリティ攻撃の特徴を捉える要素の値を作成し、作成した要素の値と攻撃判定基準テーブルＴ６に格納された値を照合してセキュリティ脅威のパケットであるか判断する攻撃パターン照合部２５とを備える。これにより、ネットワークを流れるパケットと攻撃学習処理部１０で生成したセキュリティ攻撃の特徴を捉える要素の値を照合して、セキュリティ脅威を検出することが可能である。

【0477】

さらに、一定周期で攻撃パターン照合部２５で検知したセキュリティ攻撃結果をもとに攻撃者及び被害者を特定する攻撃者被害者特定部２６を備える。これにより、また、攻撃者及び被害者の特定が可能となる。

【0478】

なお、本発明は、このようなセキュリティ脅威検出システムとして実現することができるだけでなく、このようなセキュリティ脅威検出システムが備える特徴的な機能部をステップとするセキュリティ脅威検出方法として実現したり、それらのステップをコンピュータに実行させるプログラムとして実現したりすることもできる。そして、そのようなプログラムは、ＣＤ−ＲＯＭ等の記録媒体やインターネット等の伝送媒体を介して配信することができるのはいうまでもない。

【符号の説明】

【0479】

１０…攻撃学習処理部（攻撃学習処理装置）
１１…攻撃パケット検知部
１２…付加情報生成部
１３…説明変数生成部
１４…攻撃解析学習部
２０…攻撃検知部（攻撃検知装置）
２１…パケット受信部
２２…パケット送信部
２３…パケットバッファリング部
２４…セッション集約部
２５…攻撃パターン照合部
２６…攻撃者被害者特定部
Ｔ１…攻撃情報テーブル
Ｔ２…国情報テーブル
Ｔ３…マルウェアドメインリストテーブル
Ｔ４…PerPacket学習データテーブル
Ｔ５…PerSession学習データテーブル
Ｔ６…攻撃判定基準テーブル
Ｔ７…攻撃判定テーブル
Ｔ８…照合結果テーブル
Ｔ９…攻撃者テーブル
Ｔ１０…被害者テーブル

【要約】

【課題】通信の秘密に抵触することなく且つペイロード暗号化されていても適切にセキュリティ攻撃を検出することができるセキュリティ脅威検出システム、攻撃学習処理装置、攻撃検知装置、セキュリティ脅威検出方法、及びセキュリティ脅威検出プログラムを提供する。
【解決手段】セキュリティ脅威検出システムは、正常パケット及びセキュリティ攻撃パケットのヘッダ情報に基づいて、セキュリティ攻撃単位にセキュリティ攻撃の通信パターンを学習し、セキュリティ攻撃の特徴を捉える要素の値を生成する攻撃学習処理部１０と、ネットワークを流れるパケットと攻撃学習処理部１０で生成したセキュリティ攻撃の特徴を捉える要素の値を照合して、セキュリティ脅威を検出する攻撃検知部２０とを備える。
【選択図】図１１

【図1】