特許第6626039号(P6626039)IP Force 特許公報掲載プロジェクト 2015.5.11 β版

知財求人 - 知財ポータルサイト「IP Force」

▶ 日本電信電話株式会社の特許一覧
特許6626039ブラックリスト設定装置、ブラックリスト設定方法およびブラックリスト設定プログラム
<>
  • 特許6626039-ブラックリスト設定装置、ブラックリスト設定方法およびブラックリスト設定プログラム 図000002
  • 特許6626039-ブラックリスト設定装置、ブラックリスト設定方法およびブラックリスト設定プログラム 図000003
  • 特許6626039-ブラックリスト設定装置、ブラックリスト設定方法およびブラックリスト設定プログラム 図000004
  • 特許6626039-ブラックリスト設定装置、ブラックリスト設定方法およびブラックリスト設定プログラム 図000005
  • 特許6626039-ブラックリスト設定装置、ブラックリスト設定方法およびブラックリスト設定プログラム 図000006
  • 特許6626039-ブラックリスト設定装置、ブラックリスト設定方法およびブラックリスト設定プログラム 図000007
  • 特許6626039-ブラックリスト設定装置、ブラックリスト設定方法およびブラックリスト設定プログラム 図000008
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6626039
(24)【登録日】2019年12月6日
(45)【発行日】2019年12月25日
(54)【発明の名称】ブラックリスト設定装置、ブラックリスト設定方法およびブラックリスト設定プログラム
(51)【国際特許分類】
   H04L 12/66 20060101AFI20191216BHJP
   G06F 21/55 20130101ALI20191216BHJP
【FI】
   H04L12/66 B
   G06F21/55
【請求項の数】5
【全頁数】11
(21)【出願番号】特願2017-115917(P2017-115917)
(22)【出願日】2017年6月13日
(65)【公開番号】特開2019-4249(P2019-4249A)
(43)【公開日】2019年1月10日
【審査請求日】2018年10月16日
(73)【特許権者】
【識別番号】000004226
【氏名又は名称】日本電信電話株式会社
(74)【代理人】
【識別番号】110002147
【氏名又は名称】特許業務法人酒井国際特許事務所
(72)【発明者】
【氏名】寺本 泰大
(72)【発明者】
【氏名】永渕 幸雄
(72)【発明者】
【氏名】小山 高明
(72)【発明者】
【氏名】張 一凡
(72)【発明者】
【氏名】佐伯 拓也
(72)【発明者】
【氏名】胡 博
(72)【発明者】
【氏名】三好 潤
【審査官】 羽岡 さやか
(56)【参考文献】
【文献】 特開2004−030286(JP,A)
【文献】 米国特許出願公開第2008/0115221(US,A1)
【文献】 特開2014−064216(JP,A)
【文献】 特開2014−093027(JP,A)
【文献】 特開2015−179979(JP,A)
【文献】 特開2017−182520(JP,A)
【文献】 特開2005−293509(JP,A)
【文献】 特開2008−187229(JP,A)
【文献】 特開2010−141655(JP,A)
【文献】 特開2015−207795(JP,A)
【文献】 石田 千枝 CHIE ISHIDA,ベイズ推測を用いた不正侵入イベント増減予測 Forecast of Increasing or Decreasing Intrusion Event Counts Using Bayesian Inference,情報処理学会論文誌 第46巻 第11号 IPSJ Journal,日本,社団法人情報処理学会 Information Processing Society of Japan,2005年11月17日,第46巻,p.2704-2713
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/00〜12/955
G06F 21/00〜21/88
(57)【特許請求の範囲】
【請求項1】
インターネット上で観測された攻撃元IPアドレスからのサイバー攻撃の情報を取得する取得部と、
前記取得部によって取得されたサイバー攻撃の情報から、攻撃元IPアドレス毎の時系列の攻撃頻度を算出する算出部と、
前記算出部によって算出された攻撃頻度から、各攻撃元IPアドレスの攻撃頻度について、予め設定された複数の攻撃パターンのうち、いずれかの攻撃パターンに分類し、分類した攻撃パターンに応じて、各攻撃元IPアドレスについて、現在から所定時間後の攻撃頻度を予測する予測部と、
前記予測部によって予測された攻撃頻度に応じて、ネットワーク機器のブラックリストに設定する攻撃元IPアドレスを選択する選択部と
を備えることを特徴とするブラックリスト設定装置。
【請求項2】
前記予測部は、前記攻撃元IPアドレス毎の時系列の攻撃頻度から、各攻撃元IPアドレスの攻撃頻度について、時間により攻撃頻度がほぼ変化しない定常状態、直近に攻撃頻度が大幅に増加して今後も攻撃が継続すると予測される活動状態、直近に攻撃頻度が減少して今後もその状態が継続されると予測される休眠状態、特定の周期変動パターンで変化している周期変動状態、他の状態のいずれにも分類できない不定形のうち、いずれかの攻撃パターンに分類し、分類した攻撃パターンに応じて、前記攻撃頻度を予測することを特徴とする請求項1に記載のブラックリスト設定装置。
【請求項3】
前記選択部は、複数の攻撃元IPアドレスのうち、前記予測部によって予測された攻撃頻度が多い攻撃元IPアドレスから順に、前記ネットワーク機器のブラックリストに設定可能な数だけ選択することを特徴とする請求項1に記載のブラックリスト設定装置。
【請求項4】
ブラックリスト設定装置によって実行されるブラックリスト設定方法であって、
インターネット上で観測された攻撃元IPアドレスからのサイバー攻撃の情報を取得する取得工程と、
前記取得工程によって取得されたサイバー攻撃の情報から、攻撃元IPアドレス毎の時系列の攻撃頻度を算出する算出工程と、
前記算出工程によって算出された攻撃頻度から、各攻撃元IPアドレスの攻撃頻度について、予め設定された複数の攻撃パターンのうち、いずれかの攻撃パターンに分類し、分類した攻撃パターンに応じて、各攻撃元IPアドレスについて、現在から所定時間後の攻撃頻度を予測する予測工程と、
前記予測工程によって予測された攻撃頻度に応じて、ネットワーク機器のブラックリストに設定する攻撃元IPアドレスを選択する選択工程と
を含んだことを特徴とするブラックリスト設定方法。
【請求項5】
インターネット上で観測された攻撃元IPアドレスからのサイバー攻撃の情報を取得する取得ステップと、
前記取得ステップによって取得されたサイバー攻撃の情報から、攻撃元IPアドレス毎の時系列の攻撃頻度を算出する算出ステップと、
前記算出ステップによって算出された攻撃頻度から、各攻撃元IPアドレスの攻撃頻度について、予め設定された複数の攻撃パターンのうち、いずれかの攻撃パターンに分類し、分類した攻撃パターンに応じて、各攻撃元IPアドレスについて、現在から所定時間後の攻撃頻度を予測する予測ステップと、
前記予測ステップによって予測された攻撃頻度に応じて、ネットワーク機器のブラックリストに設定する攻撃元IPアドレスを選択する選択ステップと
をコンピュータに実行させるブラックリスト設定プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ブラックリスト設定装置、ブラックリスト設定方法およびブラックリスト設定プログラムに関する。
【背景技術】
【0002】
従来、インターネット上で観測したサイバー攻撃の情報をもとに生成したブラックリストをファイアウォール機器等のネットワーク機器に設定することで、ネットワーク機器器によるサイバー攻撃を検知する技術が知られている。
【0003】
また、ファイアウォール機器等のネットワーク機器には、設定可能なルール数が予め決まっているが、サイバー攻撃は増加傾向にあるため、既知の攻撃元IPアドレスの数は一般的なファイアウォール機器に設定可能なルール数を超えている。このため、例えば、一定期間において攻撃頻度が高かったIPアドレスを選択してブラックリストに設定する方法が知られている。
【先行技術文献】
【非特許文献】
【0004】
【非特許文献1】小山高明他、「グローバルな脅威情報基盤を用いたセキュリティオーケストレーションの実現」、NTT技術ジャーナル 2015.10、pp.23-26.
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、従来の技術では、効率よくサイバー攻撃を検知することができない場合があるという課題があった。例えば、一定期間において攻撃頻度が高かったIPアドレスを選択してブラックリストに設定する方法では、サイバー攻撃の攻撃頻度が同一攻撃元IPアドレスであっても常に一定ではないため、防御効果に偏りが生じる場合があった。
【課題を解決するための手段】
【0006】
上述した課題を解決し、目的を達成するために、本発明のブラックリスト設定装置は、インターネット上で観測された攻撃元IPアドレスからのサイバー攻撃の情報を取得する取得部と、前記取得部によって取得されたサイバー攻撃の情報から、攻撃元IPアドレス毎の時系列の攻撃頻度を算出する算出部と、前記算出部によって算出された攻撃頻度に基づいて、各攻撃元IPアドレスについて、現在から所定時間後の攻撃頻度を予測する予測部と、前記予測部によって予測された攻撃頻度に応じて、ネットワーク機器のブラックリストに設定する攻撃元IPアドレスを選択する選択部とを備えることを特徴とする。
【0007】
また、本発明のブラックリスト設定方法は、ブラックリスト設定装置によって実行されるブラックリスト設定方法であって、インターネット上で観測された攻撃元IPアドレスからのサイバー攻撃の情報を取得する取得工程と、前記取得工程によって取得されたサイバー攻撃の情報から、攻撃元IPアドレス毎の時系列の攻撃頻度を算出する算出工程と、前記算出工程によって算出された攻撃頻度に基づいて、各攻撃元IPアドレスについて、現在から所定時間後の攻撃頻度を予測する予測工程と、前記予測工程によって予測された攻撃頻度に応じて、ネットワーク機器のブラックリストに設定する攻撃元IPアドレスを選択する選択工程とを含んだことを特徴とする。
【0008】
また、本発明のブラックリスト設定プログラムは、インターネット上で観測された攻撃元IPアドレスからのサイバー攻撃の情報を取得する取得ステップと、前記取得ステップによって取得されたサイバー攻撃の情報から、攻撃元IPアドレス毎の時系列の攻撃頻度を算出する算出ステップと、前記算出ステップによって算出された攻撃頻度に基づいて、各攻撃元IPアドレスについて、現在から所定時間後の攻撃頻度を予測する予測ステップと、前記予測ステップによって予測された攻撃頻度に応じて、ネットワーク機器のブラックリストに設定する攻撃元IPアドレスを選択する選択ステップとをコンピュータに実行させることを特徴とする。
【発明の効果】
【0009】
本発明によれば、効率よくサイバー攻撃を検知することができるという効果を奏する。
【図面の簡単な説明】
【0010】
図1図1は、第一の実施の形態に係るブラックリスト設定装置の構成を示すブロック図である。
図2図2は、攻撃情報記憶部に記憶される情報の一例を示す図である。
図3図3は、予測情報記憶部に記憶される情報の一例を示す図である。
図4図4は、各攻撃元IPアドレスの攻撃頻度を予測する処理例を説明する図である。
図5図5は、攻撃頻度に応じて、ファイアウォール機器のブラックリストに設定する攻撃元IPアドレスを選択する処理例を説明する図である。
図6図6は、第一の実施の形態に係るブラックリスト設定装置による処理を説明するフローチャートである。
図7図7は、ブラックリスト設定プログラムを実行するコンピュータを示す図である。
【発明を実施するための形態】
【0011】
以下に、本願に係るブラックリスト設定装置、ブラックリスト設定方法およびブラックリスト設定プログラムの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態により本願に係るブラックリスト設定装置、ブラックリスト設定方法およびブラックリスト設定プログラムが限定されるものではない。
【0012】
[第一の実施の形態]
以下の実施の形態では、第一の実施の形態に係るブラックリスト設定装置の構成、通信システムにおける全体の処理の流れを順に説明し、最後に第一の実施の形態による効果を説明する。
【0013】
[ブラックリスト設定装置の構成]
図1を用いて、第一の実施の形態に係るブラックリスト設定装置10の構成を説明する。図1は、第一の実施の形態に係るブラックリスト設定装置の構成を示すブロック図である。図1に示すように、このブラックリスト設定装置10は、通信処理部11、制御部12および記憶部13を有する。以下にこれらの各部の処理を説明する。
【0014】
通信処理部11は、インターネット上におけるサイバー攻撃を観測する外部の観測装置や、ファイアウォール機器等のネットワーク機器との間でやり取りする各種情報に関する通信を制御する。例えば、通信処理部11は、インターネット上で観測された攻撃元IPアドレスからのサイバー攻撃の情報を観測装置から受信する。また、例えば、通信処理部11は、ネットワーク機器のブラックリストに設定する攻撃元IPアドレスをファイアウォール機器に送信する。
【0015】
また、記憶部13は、制御部12による各種処理に必要なデータおよびプログラムを格納するが、特に本発明に密接に関連するものとしては、攻撃情報記憶部13aおよび予測情報記憶部13bを有する。例えば、記憶部13は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。
【0016】
攻撃情報記憶部13aは、インターネット上で観測された攻撃元IPアドレスからのサイバー攻撃の情報を記憶する。例えば、攻撃情報記憶部13aは、図2に例示するように、サイバー攻撃が観測された「時刻」と、インターネット上で観測された「攻撃元IPアドレス」とを対応付けて記憶する。図2は、攻撃情報記憶部に記憶される情報の一例を示す図である。
【0017】
予測情報記憶部13bは、各攻撃元IPアドレスについて、現在から所定時間後の攻撃頻度をタイムスロット(TS)ごとに記憶する。なお、以下では、攻撃頻度として、単位時間当たりの攻撃回数を記憶する場合を説明するが、攻撃回数に代えて攻撃時間を記憶するようにしてもよい。なお、タイムスロットの時間幅として、例えば「1時間」と設定されている場合を例に以下では説明するが、これに限定されるものではなく、例えば、「1日」や「1週間」等と設定してもよい。
【0018】
例えば、予測情報記憶部13bは、図3に例示するように、各攻撃元IPアドレス「IP1」、「IP2」、「IP3」、「IP4」・・・について、タイムスロット(TS1〜TS3)ごとに攻撃頻度を記憶する。図3は、予測情報記憶部に記憶される情報の一例を示す図である。図3の例を挙げて説明すると、予測情報記憶部13bは、タイムスロット「TS1」において、攻撃元IPアドレス「IP1」の攻撃頻度として「5」を記憶し、攻撃元IPアドレス「IP2」の攻撃頻度として「7」を記憶し、攻撃元IPアドレス「IP3」、「IP4」の攻撃頻度として「0」を記憶する。
【0019】
制御部12は、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行するが、特に本発明に密接に関連するものとしては、取得部12a、算出部12b、予測部12cおよび選択部12dを有する。
【0020】
取得部12aは、インターネット上で観測された攻撃元IPアドレスからのサイバー攻撃の情報を取得する。例えば、取得部12aは、インターネット上におけるサイバー攻撃を観測する外部の観測装置から、攻撃元IPアドレスからのサイバー攻撃の情報を取得し、攻撃情報記憶部13aに格納する。また、取得部12aは、サイバー攻撃の情報を取得するタイミングとして、例えば、所定時間間隔であってもよいし、ユーザの指示を受け付けた際であってもよいし、所定の条件を満たした際であってもよい。
【0021】
算出部12bは、取得部12aによって取得されたサイバー攻撃の情報から、攻撃元IPアドレス毎の時系列の攻撃頻度を算出する。例えば、算出部12bは、攻撃情報記憶部13aからサイバー攻撃の情報を読み出して、攻撃元IPアドレスごとに、単位時間当たりの攻撃回数を集計することで、攻撃元IPアドレス毎の時系列の攻撃頻度を算出する。
【0022】
予測部12cは、算出部12bによって算出された攻撃頻度に基づいて、各攻撃元IPアドレスについて、現在から所定時間後の攻撃頻度を予測する。また、予測部12cは、予測した攻撃頻度を予測情報記憶部13bに格納する。
【0023】
例えば、予測部12cは、攻撃元IPアドレス毎の時系列の攻撃頻度から、各攻撃元IPアドレスの攻撃頻度について、時間により攻撃頻度がほぼ変化しない「定常状態」、直近に攻撃頻度が大幅に増加して今後も攻撃が継続すると予測される「活動状態」、直近に攻撃頻度が減少して今後もその状態が継続されると予測される「休眠状態」、平日のみ休日のみ等特定の周期変動パターンで変化している「周期変動状態」、前述の4つの状態のいずれにも分類できない「不定形」のうち、いずれかの攻撃パターンに分類する。なお、攻撃パターンは上記の5つに限定されるものではない。
【0024】
そして、予測部12cは、分類した攻撃パターンに応じて、攻撃頻度を予測する。例えば、予測部12cは、攻撃パターンが「定常状態」に分類された場合には、今後の攻撃頻度も変化がないものとして予測する。また、予測部12cは、攻撃パターンが「活動状態」に分類された場合には、増加した攻撃頻度が継続するものとして予測する。また、予測部12cは、攻撃パターンが「休眠状態」に分類された場合には、減少した攻撃頻度が継続するものとして予測する。また、予測部12cは、攻撃パターンが「周期変動状態」に分類された場合には、攻撃頻度が変動する周期を解析して未来の攻撃頻度を予測する。なお、予測部12cは、攻撃パターンが「不定形」に分類された場合には、例えば、手動により未来の攻撃頻度を予測するようにしてもよいし、既知の予測アルゴリズムを用いて予測するようにしてもよい。
【0025】
ここで、図4を用いて、各攻撃元IPアドレスの攻撃頻度を予測する処理を説明する。図4は、各攻撃元IPアドレスの攻撃頻度を予測する処理例を説明する図である。図4の例では、攻撃元IPアドレス「IP1」〜「IP4」それぞれについて、単位時間当たりの攻撃回数が集計されることで、攻撃元IPアドレス毎の時系列の攻撃頻度を算出されているものとする。また、図4に示すように、攻撃元IPアドレス「IP1」の観測期間における攻撃数の総数が「100」であり、攻撃元IPアドレス「IP2」の観測期間における攻撃数の総数が「10」であり、攻撃元IPアドレス「IP3」の観測期間における攻撃数の総数が「150」であり、攻撃元IPアドレス「IP4」の観測期間における攻撃数の総数が「30」である。
【0026】
そして、図4の例では、予測部12cは、攻撃元IPアドレス「IP1」の攻撃頻度について、攻撃パターンを「定常状態」に分類して、今後の攻撃頻度も直近のものと比べて変化がないものとして「TS1」〜「TS3」の予測期間の攻撃頻度を予測する。また、予測部12cは、攻撃元IPアドレス「IP2」の攻撃頻度について、攻撃パターンを「活動状態」に分類して、増加した攻撃頻度が継続するものとして「TS1」〜「TS3」の予測期間の攻撃頻度を予測する。
【0027】
また、予測部12cは、攻撃元IPアドレス「IP3」の攻撃頻度について、攻撃パターンを「休眠状態」に分類して、減少した攻撃頻度が継続するものとして「TS1」〜「TS3」の予測期間の攻撃頻度を予測する。また、予測部12cは、攻撃元IPアドレス「IP4」の攻撃頻度について、攻撃パターンを「周期変動状態」に分類して、攻撃頻度が変動する周期を解析して「TS1」〜「TS3」の予測期間の攻撃頻度を予測する。
【0028】
選択部12dは、予測部12cによって予測された攻撃頻度に応じて、ファイアウォール機器のブラックリストに設定する攻撃元IPアドレスを選択する。具体的には、選択部12dは、予測情報記憶部13bから予測部12cによって予測された各攻撃元IPアドレスの攻撃頻度を読み出す。そして、選択部12dは、複数の攻撃元IPアドレスのうち、予測部12cによって予測された攻撃頻度が多い攻撃元IPアドレスから順に、ファイアウォール機器のブラックリストに設定可能な数だけ選択する。
【0029】
ここで、図5を用いて、攻撃頻度に応じて、ファイアウォール機器のブラックリストに設定する攻撃元IPアドレスを選択する処理を説明する。図5は、攻撃頻度に応じて、ファイアウォール機器のブラックリストに設定する攻撃元IPアドレスを選択する処理例を説明する図である。
【0030】
図5の例では、ファイアウォール機器(FW機器)20のブラックリストに設定可能な攻撃元IPアドレスが「2」であるものとする。図5に示すように、「TS1」の予測期間において予測された攻撃頻度が、攻撃元IPアドレス「IP1」については「5」であり、攻撃元IPアドレス「IP2」については「7」であり、攻撃元IPアドレス「IP3」については「0」であり、攻撃元IPアドレス「IP4」については「0」である。この場合には、選択部12dは、攻撃頻度の多かった、攻撃元IPアドレス「IP2」および攻撃元IPアドレス「IP1」を選択し、実際にTS1の期間になった際にはFW機器20のブラックリストに設定する。
【0031】
また、「TS2」の予測期間において予測された攻撃頻度が、攻撃元IPアドレス「IP1」については「5」であり、攻撃元IPアドレス「IP2」については「7」であり、攻撃元IPアドレス「IP3」については「0」であり、攻撃元IPアドレス「IP4」については「10」である。この場合には、選択部12dは、攻撃頻度の多かった、攻撃元IPアドレス「IP4」および攻撃元IPアドレス「IP2」を選択し、実際にTS2の期間になった際にはFW機器20のブラックリストに設定する。
【0032】
また、「TS3」の予測期間において予測された攻撃頻度が、攻撃元IPアドレス「IP1」については「5」であり、攻撃元IPアドレス「IP2」については「7」であり、攻撃元IPアドレス「IP3」については「0」であり、攻撃元IPアドレス「IP4」については「0」である。この場合には、選択部12dは、攻撃頻度の多かった、攻撃元IPアドレス「IP2」および攻撃元IPアドレス「IP1」を選択し、実際にTS3の期間になった際にはFW機器20のブラックリストに設定する。
【0033】
このように、ブラックリスト設定装置10は、定期的にブラックリストを書き換えることにより、ブラックリスト設定可能数が有限であるファイアウォール機器において検知率を最大化することが可能である。
【0034】
[ブラックリスト設定装置の処理の流れ]
次に、図6を用いて、第一の実施の形態に係るブラックリスト設定装置10の処理の流れを説明する。図6は、第一の実施の形態に係るブラックリスト設定装置による処理を説明するフローチャートである。なお、下記の処理は、所定時間間隔で定期的に実行されてもよいし、ユーザの指示を受け付けたことをトリガとして実行してもよいし、所定の条件を満たしたことをトリガとして実行してもよい。
【0035】
図6に示すように、ブラックリスト設定装置10の取得部12aは、インターネット上で観測された攻撃元IPアドレスからのサイバー攻撃の情報を取得する(ステップS101)。例えば、取得部12aは、インターネット上におけるサイバー攻撃を観測する外部の観測装置から、攻撃元IPアドレスからのサイバー攻撃の情報を取得し、攻撃情報記憶部13aに格納する。
【0036】
そして、算出部12bは、取得部12aによって取得されたサイバー攻撃の情報から、攻撃元IPアドレス毎の時系列の攻撃頻度を算出する(ステップS102)。例えば、算出部12bは、攻撃情報記憶部13aからサイバー攻撃の情報を読み出して、攻撃元IPアドレスごとに、単位時間当たりの攻撃回数を集計することで、攻撃元IPアドレス毎の時系列の攻撃頻度を算出する。
【0037】
続いて、予測部12cは、算出部12bによって算出された攻撃頻度に基づいて、各攻撃元IPアドレスについて、現在から所定時間後の攻撃頻度を予測する(ステップS103)。例えば、予測部12cは、攻撃元IPアドレス毎の時系列の攻撃頻度から、各攻撃元IPアドレスの攻撃頻度について、「定常状態」、「活動状態」、「休眠状態」、「周期変動状態」、「不定形」のうち、いずれかの攻撃パターンに分類し、分類した攻撃パターンに応じて、攻撃頻度を予測する。
【0038】
そして、選択部12dは、予測部12cによって予測された攻撃頻度に応じて、ファイアウォール機器のブラックリストに設定する攻撃元IPアドレスを選択する(ステップS104)。具体的には、選択部12dは、予測情報記憶部13bから予測部12cによって予測された各攻撃元IPアドレスの攻撃頻度を読み出す。そして、選択部12dは、複数の攻撃元IPアドレスのうち、予測部12cによって予測された攻撃頻度が多い攻撃元IPアドレスから順に、ファイアウォール機器のブラックリストに設定可能な数だけ選択する。なお、選択部12dは、現在時刻が予測期間に相当する時刻になった際に、FW機器20のブラックリストに選択した攻撃元IPアドレスを設定する。
【0039】
[第一の実施の形態の効果]
このように、第一の実施の形態に係るブラックリスト設定装置10は、インターネット上で観測された攻撃元IPアドレスからのサイバー攻撃の情報を取得し、取得されたサイバー攻撃の情報から、攻撃元IPアドレス毎の時系列の攻撃頻度を算出する。そして、ブラックリスト設定装置10は、算出された攻撃頻度に基づいて、各攻撃元IPアドレスについて、現在から所定時間後の攻撃頻度を予測し、予測された攻撃頻度に応じて、ネットワーク機器のブラックリストに設定する攻撃元IPアドレスを選択する。このため、ブラックリスト設定装置10は、効率よくサイバー攻撃を検知することが可能である。
【0040】
つまり、ブラックリスト設定装置10は、攻撃元IPアドレスごとに、攻撃頻度を時系列に観察し、そこから将来の攻撃頻度を予測し、攻撃頻度の多い攻撃元IPアドレスから、ファイアウォール機器のブラックリストに登録し、優先的に攻撃元IPアドレスをブロックする。このため、ファイアウォール機器に設定可能な数まで攻撃元IPアドレスの設定数を減らしつつ、検知漏れを最小限に抑えることが可能である。
【0041】
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、複数の装置が、取得部12a、算出部12b、予測部12cおよび選択部12dの全部または一部を有していてもよい。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
【0042】
また、本実施の形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
【0043】
[プログラム]
図7は、ブラックリスト設定プログラムを実行するコンピュータを示す図である。コンピュータ1000は、例えば、メモリ1010、CPU(Central Processing Unit)1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
【0044】
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1051、キーボード1052に接続される。ビデオアダプタ1060は、例えばディスプレイ1061に接続される。
【0045】
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、ブラックリスト設定装置10の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、装置における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
【0046】
また、上述した実施の形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
【0047】
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク、WANを介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
【符号の説明】
【0048】
10 ブラックリスト設定装置
11 通信処理部
12 制御部
12a 取得部
12b 算出部
12c 予測部
12d 選択部
13 記憶部
13a 攻撃情報記憶部
13b 予測情報記憶部
20 FW機器
図1
図2
図3
図4
図5
図6
図7