特許第6860161号(P6860161)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 日本電気通信システム株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 日本電気通信システム株式会社の特許一覧

特許6860161不正通信監視装置、不正通信監視方法、不正通信監視プログラム、および不正通信監視システム
<>
  • 特許6860161-不正通信監視装置、不正通信監視方法、不正通信監視プログラム、および不正通信監視システム 図000002
  • 特許6860161-不正通信監視装置、不正通信監視方法、不正通信監視プログラム、および不正通信監視システム 図000003
  • 特許6860161-不正通信監視装置、不正通信監視方法、不正通信監視プログラム、および不正通信監視システム 図000004
  • 特許6860161-不正通信監視装置、不正通信監視方法、不正通信監視プログラム、および不正通信監視システム 図000005
  • 特許6860161-不正通信監視装置、不正通信監視方法、不正通信監視プログラム、および不正通信監視システム 図000006
  • 特許6860161-不正通信監視装置、不正通信監視方法、不正通信監視プログラム、および不正通信監視システム 図000007
  • 特許6860161-不正通信監視装置、不正通信監視方法、不正通信監視プログラム、および不正通信監視システム 図000008
  • 特許6860161-不正通信監視装置、不正通信監視方法、不正通信監視プログラム、および不正通信監視システム 図000009
  • 特許6860161-不正通信監視装置、不正通信監視方法、不正通信監視プログラム、および不正通信監視システム 図000010
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6860161
(24)【登録日】2021年3月30日
(45)【発行日】2021年4月14日
(54)【発明の名称】不正通信監視装置、不正通信監視方法、不正通信監視プログラム、および不正通信監視システム
(51)【国際特許分類】
   H04L 12/70 20130101AFI20210405BHJP
【FI】
   H04L12/70 100Z
【請求項の数】8
【全頁数】15
(21)【出願番号】特願2017-52563(P2017-52563)
(22)【出願日】2017年3月17日
(65)【公開番号】特開2018-157373(P2018-157373A)
(43)【公開日】2018年10月4日
【審査請求日】2020年2月12日
(73)【特許権者】
【識別番号】000232254
【氏名又は名称】日本電気通信システム株式会社
(74)【代理人】
【識別番号】100077838
【弁理士】
【氏名又は名称】池田 憲保
(74)【代理人】
【識別番号】100129023
【弁理士】
【氏名又は名称】佐々木 敬
(72)【発明者】
【氏名】鎌田 典彦
(72)【発明者】
【氏名】鈴木 直人
(72)【発明者】
【氏名】片岡 武
(72)【発明者】
【氏名】片岡 英俊
(72)【発明者】
【氏名】山本 裕明
(72)【発明者】
【氏名】高倉 良彰
(72)【発明者】
【氏名】實方 謙善
(72)【発明者】
【氏名】染谷 貴史
(72)【発明者】
【氏名】池川 佳鈴
【審査官】 宮島 郁美
(56)【参考文献】
【文献】 特開2007−013262(JP,A)
【文献】 国際公開第2014/129587(WO,A1)
【文献】 特開2016−184870(JP,A)
【文献】 特開2008−227931(JP,A)
【文献】 特開2010−161488(JP,A)
【文献】 米国特許出願公開第2017/0031741(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L12/00−12/26,12/50−12/955
(57)【特許請求の範囲】
【請求項1】
ネットワークを構成する端末−通信機器間および通信機器−通信機器間で送受信された通信パケットの通信履歴を受ける通信履歴受信部と、
前記通信パケットの通信履歴に基づいて、前記端末−前記通信機器間および前記通信機器−前記通信機器間で生じたマルウェアが発生させた不正通信を検出する不正通信検出部と、を備え
前記不正通信検出部は、前記通信パケットの通信履歴のうち、前記通信パケットの先頭から、当該通信パケットの通信に用いられた通信プロトコルに応じて定まる箇所までの範囲の情報に基づいて、前記不正通信を検出する不正通信監視装置。
【請求項2】
前記不正通信検出部の検出結果に基づいて、前記ネットワークにおける通信の様子を視覚的に表示する不正通信認識部を備える請求項1に記載の不正通信監視装置。
【請求項3】
前記不正通信認識部は、前記ネットワークで発生した通信の様子を示したネットワーク図を生成するネットワーク生成部を有する請求項に記載の不正通信監視装置。
【請求項4】
前記不正通信認識部は、前記マルウェアのネットワーク上での活動の様子を時系列で示すレポートを作成するレポート作成部を有する請求項2または3に記載の不正通信監視装置。
【請求項5】
ネットワークを構成する端末−通信機器間および通信機器−通信機器間で送受信された通信パケットの通信履歴を受けて、
前記通信パケットの通信履歴のうち、前記通信パケットの先頭から、当該通信パケットの通信に用いられた通信プロトコルに応じて定まる箇所までの範囲の情報に基づいて、前記端末−前記通信機器間および前記通信機器−前記通信機器間で生じたマルウェアが発生させた不正通信を検出する不正通信監視方法。
【請求項6】
前記不正通信の検出結果に基づいて、前記ネットワークにおける通信の様子を視覚的に表示する請求項に記載の不正通信監視方法。
【請求項7】
コンピュータに、
ネットワークを構成する端末−通信機器間および通信機器−通信機器間で送受信された通信パケットの通信履歴を受ける処理と、
前記通信パケット通信履歴のうち、前記通信パケットの先頭から、当該通信パケットの通信に用いられた通信プロトコルに応じて定まる箇所までの範囲の情報に基づいて、マルウェアが発生させた不正な通信を検出する処理と、を実行させる不正通信監視プログラム。
【請求項8】
通信履歴収集装置と、不正通信監視装置とを含み、
前記通信履歴収集装置は、
通信機器が送受信した通信パケットのうち、前記通信パケットの先頭から、当該通信パケットの通信に用いられた通信プロトコルに応じて定まる箇所までの範囲の情報に基づいて通信履歴を生成する通信パケット受信部と、
前記通信履歴を前記不正通信監視装置に送信する通信履歴送信部と、を備え、
前記不正通信監視装置は、
前記通信履歴を受ける通信履歴受信部と、
前記通信履歴を解析し、マルウェアが発生させた不正な通信を検出する不正通信検出部
と、を備える不正通信監視システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、不正通信監視装置、不正通信監視方法、不正通信監視プログラム、および不正通信監視システムに関する。
【背景技術】
【0002】
コンピュータウイルスやワーム等と呼ばれるマルウェアは、通信機器によって構成されるネットワークを介して接続された端末間の通信において、端末に不正な通信を実行させる。このようなマルウェアを検出する方法として、端末間を送受信される通信パケットを中継する通信機器で通信パケットを監視する方法が知られている。
【0003】
特許文献1は、ネットワークを監視し、ワームの感染源を特定するための情報を出力することで、ワームの検出を支援する感染防止システムを開示している。
【0004】
特許文献2は、通信機器間で送受信される通信パケットの流量、通信量の変動、および通信のパターン等を監視し、ワームを検出する方法を開示している。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2005−056243号公報
【特許文献2】特表2008−518323号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
特許文献1は、予めワームのパターンファイルを保持しており、そのパターンファイルと通信パケットのペイロードとを比較することで、マルウェアを検出している。そのため、特許文献1には、未知のワームや、既存のワームの一部を変更したワーム(亜種)を検出することができない、という課題がある。
【0007】
また、特許文献2は、通信パケットの流量、通信量の変動の傾向、および通信のパターン等を監視しているが、この方法ではワームの存在を推定するに留まってしまう。そのため、特許文献2には、ワームの存在を確定できない、という課題がある。
【0008】
本発明の目的は、未知のワームや亜種のワームを含むマルウェアを検出できる不正通信監視装置、不正通信監視方法、不正通信監視プログラム、および不正通信監視システムを提供することにある。
【課題を解決するための手段】
【0009】
本発明の第1の態様の不正通信監視装置は、ネットワークを構成する端末−通信機器間および通信機器−通信機器間で送受信された通信パケットの通信履歴を受ける通信履歴受信部と、前記通信パケットの通信履歴に基づいて、前記端末−前記通信機器間および前記通信機器−前記通信機器間で生じたマルウェアが発生させた不正通信を検出する不正通信検出部と、を備え、前記不正通信検出部は、前記通信パケットの通信履歴のうち、前記通信パケットの先頭から、当該通信パケットの通信に用いられた通信プロトコルに応じて定まる箇所までの範囲の情報に基づいて、前記不正通信を検出する。
【0010】
本発明の第2の態様の不正通信監視方法は、ネットワークを構成する端末−通信機器間および通信機器−通信機器間で送受信された通信パケットの通信履歴を受けて、前記通信パケットの通信履歴のうち、前記通信パケットの先頭から、当該通信パケットの通信に用いられた通信プロトコルに応じて定まる箇所までの範囲の情報に基づいて、前記端末−前記通信機器間および前記通信機器−前記通信機器間で生じたマルウェアが発生させた不正通信を検出する。
【0011】
本発明の第3の態様の不正通信監視プログラムは、コンピュータに、ネットワークを構成する端末−通信機器間および通信機器−通信機器間で送受信された通信パケットの通信履歴を受ける処理と、前記通信パケット通信履歴のうち、前記通信パケットの先頭から、当該通信パケットの通信に用いられた通信プロトコルに応じて定まる箇所までの範囲の情報に基づいて、マルウェアが発生させた不正な通信を検出する処理と、を実行させる。
【0012】
本発明の第4の態様の不正通信監視システムは、通信履歴収集装置と、不正通信監視装置とを含み、前記通信履歴収集装置は、通信機器が送受信した通信パケットのうち、前記通信パケットの先頭から、当該通信パケットの通信に用いられた通信プロトコルに応じて定まる箇所までの範囲の情報に基づいて通信履歴を生成する通信パケット受信部と、前記通信履歴を前記不正通信監視装置に送信する通信履歴送信部と、を備え、前記不正通信監視装置は、前記通信履歴を受ける通信履歴受信部と、前記通信履歴を解析し、マルウェアが発生させた不正な通信を検出する不正通信検出部と、を備える。
【発明の効果】
【0013】
本発明によれば、マルウェアが発生させた不正動作を迅速に検出することのできる不正通信監視装置、不正通信監視方法、不正通信監視プログラム、および不正通信監視システムを提供することができる。
【図面の簡単な説明】
【0014】
図1】本発明の第1の実施形態に係る不正通信監視装置の構成を示すブロック図である。
図2】本発明の第1の実施形態に係る不正通信監視装置の動作の流れを示すフローチャートである。
図3】本発明の第2の実施形態に係る不正通信監視システムの構成を示すブロック図である。
図4】本発明の第2の実施形態に係る不正通信監視システムにおける不正通信監視装置が生成するネットワーク図の一例を示す図である。
図5】本発明の第2の実施形態に係る不正通信監視システムにおける不正通信監視装置が生成するレポートの一例を示す図である。
図6】本発明の第2の実施形態に係る不正通信監視システムにおける不正通信監視装置が生成するレポートにおいて、不正通信を表示する方法の一例を示す図である。
図7】本発明の第2の実施形態に係る不正通信監視システムにおける通信履歴収集装置の動作の流れを示すフローチャートである。
図8】本発明の第2の実施形態に係る不正通信監視システムにおける不正通信監視装置の動作の流れを示すフローチャートである。
図9】本発明のその他の実施形態に係る通信履歴監視装置および不正通信監視装置の構成を示すブロック図である。
【発明を実施するための形態】
【0015】
以下、図面を参照しながら、本発明の実施形態について詳細に説明する。なお、各図において同一または相当する部分には同一の符号を付して適宜説明は省略する。
【0016】
[第1の実施形態]
図1は、本発明の第1の実施形態に係る不正通信監視装置の構成を示すブロック図である。
【0017】
本発明の不正通信監視装置20は、通信履歴受信部21と、不正通信検出部22とを備える。
【0018】
通信履歴受信部21は、ネットワークを構成する端末−通信機器間および通信機器−通信機器間で送受信された通信パケットの通信履歴を受ける。本実施形態において、「端末」とは、PC(Personal Computer)、サーバ、タブレット端末、スマートフォン等のことである。また、本実施形態において、「通信機器」とは、端末と、端末との間の通信を仲介する経路の役割を持つ機器である。具体的には、通信機器は、ルータ、ハブ、L2/L3スイッチ、無線LAN(Local Area Network)アクセスポイント、ロードバランサ等である。また、ファイアウォール、IPS(Intrusion Prevention System)、IDS(Intrusion Detection System)等のセキュリティ製品も、端末間の通信を仲介する機能があるので通信機器に含まれる。
【0019】
不正通信検出部22は、通信パケットの通信履歴に基づいて、通信機器による不正の通信を検出する。具体的には、不正通信検出部22は、通信パケットのヘッダに含まれている情報に基づいて、不正な通信を検出する。すなわち、不正通信検出部22は、マルウェアそのものを検出するのではなく、マルウェアが発生させる不正な通信を検出する。
【0020】
更に具体的に説明すると、通信パケットのヘッダには、送信元の通信機器のMAC(Media Access Control)アドレス、IP(Internet Protocol)アドレス、およびポート等に関する情報が含まれている。また、通信パケットのヘッダには、送信先の通信機器のMACアドレス、IPアドレス、およびポートに関する情報が含まれている。すなわち、不正通信検出部22は、通信パケットのヘッダを解析することで、送信元の通信機器および送信先の通信機器に関する情報を得ることができる。よって、不正通信検出部22は、ネットワークに接続された端末構成を把握することができる。なお、ネットワークに接続された端末構成とは、端末がどのようにネットワークに接続されているかを意味している。
【0021】
一方、マルウェアは送信先の端末に当該マルウェアをコピーさせるのが普通である。このことを利用して、不正通信検出部22は、例えば、通信パケットのヘッダに含まれる送信先の端末のIPアドレス、ポート番号等を解析し、存在しない端末のIPアドレス、ポート番号が含まれていた場合、その通信をマルウェアが発生させた不正な通信として検出することができる。これは、上述の通り、不正通信検出部22が、ネットワークに接続された端末構成を既に把握しているためである。このため、不正通信検出部22は、マルウェアを検出するために、パターンファイル等を必要としないため、未知のマルウェアや、既存のマルウェアの亜種が発生させた不正な通信をも検出することができる。
【0022】
更に言えば、不正通信検出部22は、マルウェアがネットワークを探索するために、無差別に送信した通信パケットのうち、宛先不明で通信に失敗したパケット等を検知することができる。すなわち、不正通信検出部22は、マルウェアの活動初期に見られるネットワークの探索活動を検出することができる。したがって、不正通信検出部22は、マルウェアを早期に発見することができる。
【0023】
[不正通信監視装置20の動作]
図2は、本発明の第1の実施形態に係る不正通信監視装置の動作の流れを示すフローチャートである。
【0024】
不正通信監視装置20において、まず、通信履歴受信部21が、端末−通信機器間および通信機器−通信機器間で送受信された通信パケットの通信履歴を受ける(ステップS101)。
【0025】
次に、不正通信検出部22は、通信履歴受信部21が受けた通信パケットの通信履歴に関する情報に基づいて、不正な通信を検出する(ステップS102)。
【0026】
[第2の実施形態]
図3は、本発明の第2の実施形態に係る不正通信監視システムの構成を示す模式図である。
【0027】
図3に示された不正通信監視システム100は、通信履歴収集装置10と、不正通信監視装置20Aとを含む。通信履歴収集装置10は、例えば、ネットワークを構成する各通信機器に接続されており、図3においては通信機器30に接続されている。不正通信監視装置20Aは、例えば、ネットワークを構成する各通信機器間のサーバである。通信履歴収集装置10と、不正通信監視装置20Aとは、ネットワーク40を介して接続されている。ネットワーク40は、有線であってもよいし、無線であってもよい。また、不正通信監視装置20Aには、複数の通信履歴収集装置10がネットワーク40を介して接続されていてもよい。なお、図3において、通信履歴収集装置10と、不正通信監視装置20Aとはネットワーク40を介して接続された別体の装置として記載しているが、これは例示であり、本発明を限定するものではない。通信履歴収集装置10と、不正通信監視装置20Aとは1つの装置として構成されていてもよいし、通信履歴収集装置10と、不正通信監視装置20Aとの少なくとも一方が、通信機器30と一体に構成されていてもよい。
【0028】
図示された通信履歴収集装置10は、通信パケット受信部11と、通信履歴送信部12とを備える。
【0029】
通信パケット受信部11は、通信機器30から、通信機器30が他の通信機器や端末と送受信した通信パケットを受ける。また、通信パケット受信部11は、通信パケットのうち、通信パケットの先頭から、マルウェアが発生させた不正な通信を解析するために必要な部分までを抽出する。不正な通信を解析するために必要な部分は、検知したいマルウェアがどのような通信を行うかにより異なる。例えば、マルウェアによってはHTTPプロトコルを用いて通信をするものもある。この場合、マルウェアの不正な通信を解析するために必要な部分とは、パケットの先頭からHTTPヘッダに含まれる接続先URLの情報を含む範囲までの長さとなる。なお、パケットの先頭からHTTPヘッダに含まれる接続先URLの情報を含む範囲を抽出することは、不正な通信の解析に、HTTPヘッダの情報のみ用いることを意味している訳ではない。具体的には、同じ通信パケットに含まれる下位のプロトコル情報、例えば、先頭からHTTPヘッダまでの間に含まれるIPヘッダおよびTCPヘッダの情報も不正通信の解析に用いることができる。同様に、TCPを使って通信するマルウェアの解析であれば、TCPヘッダの情報の他に、その下位のプロトコルであるIPヘッダの情報も解析に用いることができる。また、通信パケット受信部11は、解析に必要のない部分を削除する。さらに、通信パケット受信部11は、通信パケットから抽出した部分に基づいて、通信機器30の通信履歴に関する情報である通信履歴データを生成する。
【0030】
通信履歴送信部12は、ネットワーク40を介して通信履歴データを不正通信監視装置20Aに送信する。
【0031】
図3に示された不正通信監視装置20Aは、通信履歴受信部21と、不正通信検出部22と、不正通信認識部23とを備える。
【0032】
通信履歴受信部21は、通信履歴データを通信履歴送信部12から受ける。
【0033】
不正通信検出部22は、通信履歴受信部21が受けた通信履歴データに基づいて、通信機器30を経由した不正な通信を検出する。不正通信検出部22は、通信履歴データには通信機器30が中継した通信履歴が含まれているので、ネットワークに接続された端末構成の把握と、マルウェアが発生させた不正な通信等のセキュリティインシデントの検出を同時に行うことができる。
【0034】
また、図3には示されていないが、不正通信検出部22は、ネットワークを構成する各通信機器から通信パケットの通信履歴を受けている。すなわち、不正通信検出部22は、ネットワークを構成する各通信機器の通信履歴に基づいて、マルウェアの活動の痕跡を読み取ることができる。これは、マルウェアは、自身が感染した端末では自らの痕跡を消すことができる(ログ改ざん、消去、マルウェア自身の偽装や消去など)。しかしながら、マルウェアは、通信機器30で収集された通信履歴までをも消すことができないので、不正通信検出部22は、より確実にマルウェアの活動を検出することができる。不正通信検出部22の具体的な動作については、第1の実施形態で説明したとおりなので、説明は省略する。
【0035】
不正通信認識部23は、ユーザに対し、ネットワークにおける各通信機器間の通信の様子を示す。具体的には、不正通信認識部23は、ネットワークにおける不正な通信を視覚的に判断できるような情報を生成するとともに、生成した情報をユーザに対して表示することができる。このような不正通信認識部23は、例えば、ネットワーク図作成部231と、ネットワーク画面表示部232と、レポート作成部233と、レポート出力部234とを有する。
【0036】
ネットワーク図作成部231は、不正通信検出部22が検出したネットワークにおける各通信機器間の通信の検出結果に基づいて、通信機器30と各通信機器との通信の様子を表すネットワーク図を作成する。また、ネットワーク図作成部231は、生成したネットワーク図をネットワーク画面表示部232に表示させる。ネットワーク画面表示部232は、通常のディスプレイ等で構成することができる。なお、ネットワーク画面表示部232がディスプレイであるものとして説明するが、これは例示であり、本発明を限定するものではない。ネットワーク画面表示部232は、例えば、不正通信監視装置20Aとは別体の外部装置(図示しない)に設けられていてもよい。この場合、不正監視装置20Aは、ネットワーク図作成部231によって作成されたネットワーク図を外部装置に送信する。そして、外部装置は、ネットワーク図をユーザに対して表示する。なお、外部装置に特に制限はないが、例えば、パソコン、スマートフォン、タブレット端末で実現することができる。
【0037】
図4は、ネットワーク図作成部231が作成するネットワーク図の一例を示す図である。
【0038】
図4は、通信機器30と、通信機器30とは異なる通信機器である3台の外部機器との通信の様子を示している。具体的には、第1の通信41は、通信機器30と、第1の外部機器31との通信を示している。第2の通信42は、通信機器30と、第2の外部機器32との通信を示している。第3の通信43は、通信機器30と、第3の外部機器33との通信を示している。第1の通信41、第2の通信42、および第3の通信43において、矢印の向きは通信方向を示し、矢印の太さは通信量を示している。
【0039】
図4において、第1の通信41は、通信機器30から第1の外部機器31への一方向にのみ通信していることを示している。ここで、第1の外部機器31は、実際には存在しない端末(例えば、該当するアドレスが存在しない端末)であるとする。この場合、通信機器30から第1の外部機器31への通信は不正な通信、すなわち、第1の通信41はマルウェアによって引き起こされた通信であることを意味している。第2の通信42および第3の通信43は、双方向に矢印が向いているため、通常の通信である。また、図4には、第2の通信42よりも第3の通信43の方が太いので、通信機器30は第2の外部機器32よりも、第3の外部機器33との通信量の方が多いことも示されている。
【0040】
不正通信監視システム100は、図4に示すように、ネットワークにおける各通信機器間の様子および各端末と各通信機器間の様子を視覚的に判断しやすい形で表示することができる。また、通常の通信を青、不正な通信を赤で表示するなど、通信の状況に応じて色を変えることによって、ユーザは、不正な通信を判断することが容易になる。また、色を変えることに限定されず、例えば、通信に応じて線を波線、破線など線の表現方法を変えてもよいし、通信に応じて線を点滅させるなど線の表示方法を変えてもよい。すなわち、表示方法は、通信に応じて視覚的に違いが判断することができるような方法であれば、特に制限はない。すなわち、ユーザは、ネットワーク構成に不正通信および正常通信等を重ね合わせて表示したネットワーク図を視認することによって、ネットワークにおける通信の様子を迅速かつ正確に把握することができる。
【0041】
また、図3に示されたネットワーク図作成部231は、ネットワーク構成の図示とマルウェアの活動範囲(被害範囲)の図示において、通信元および通信先のそれぞれの、通信ポート番号、IPアドレス、MACアドレス、期間、ネットワークアドレス等の表示内容を自由に変更することができる。
【0042】
レポート作成部233は、マルウェアのネットワーク上での活動(例えば、ネットワーク探索、遠隔操作、感染拡大)の様子を時系列で示すレポートを生成する。具体的には、レポート作成部233は、通信履歴受信部21が通信機器30の通信パケットの通信履歴を受けているため、マルウェアの活動を時系列に沿って示すレポートを作成することができる。また、レポート作成部233は、作成したレポートをレポート出力部234に出力する。レポート出力部234は、通常のディスプレイ等で構成することができる。なお、レポート出力部234がディスプレイであるものとして説明するが、これは例示であり、本発明を限定するものではない。レポート出力部234は、例えば、不正通信監視装置20Aとは別体の外部装置(図示しない)に設けられていてもよい。この場合、不正監視装置20Aは、レポート作成部233によって作成されたネットワーク図を外部装置に送信する。そして、外部装置は、ネットワーク図をユーザに対して表示する。なお、外部装置に特に制限はないが、例えば、パソコン、スマートフォン、タブレット端末で実現することができる。
【0043】
図5は、レポート作成部233が作成するレポートの一例を示す図である。
【0044】
図5に示すように、レポート作成部233は、任意の指定期間内に各通信機器で発生した通信を視覚的に示すレポートを作成することができる。図5に示すレポートには、送信元の端末のIPアドレス、送信先のIPアドレス、日付、通信プロトコル、およびポート番号等が含まれている。ここで、レポート作成部233が作成するレポートのファイル形式に制限はなく、例えば、CSV形式やPDF形式である。
【0045】
具体的には、レポート作成部233は、各通信機器で発生した通信について通信プロトコルごとに区別して表示することができる。図5においては、TCP(Transmission Control Protocol)、UDP(User Datagram Protocol)、ICMP(Internet Control Message Protocol)、およびその他の通信プロトコルをユーザが区別できるように表示されている。また、それぞれの通信プロトコルには、その通信の際に使用したポート番号が併記されている。また、図5に示すレポートにおいては、セグメント内の通信を実線で表し、セグメント外の通信を破線で表すことで、その通信がセグメント内外の通信かユーザが一目で判断できるようになっている。なお、図5においては、セグメント外の通信を破線で表しているが、これは例示であり、本発明を限定するものではない。セグメント外の通信を表す表現は、セグメント内の通信と区別できる表現であればよく、セグメント内の通信を表す表現と線種や色等を変えればよい。図5には、セグメント外の通信として、1月20日に、端末「192.168.1.10」が送信先「10.11.244.80」に対し、ポート番号80を使用して通信したことが示されている。また、図5には、セグメント内の通信として、1月21日に、端末「192.168.1.11」が送信先「192.168.1.100」に対し、ポート番号80を使用して通信したことが示されている。すなわち、図5に示すレポートにおいては、ユーザは、プロトコル、ポート番号、IPアドレス等で送信先の絞込が可能となる。なお、レポート生成部233は、それぞれの送付先との通信に関して、ポート番号ごとに別行に分けたレポートを生成することも可能であり、1つの枠内に複数のポート番号を表示することも可能である。
【0046】
図5における不正通信について説明する。不正通信として、端末とサーバとの通信のような通常の通信ではなく、例えば、端末と端末との間を直接的に通信するような通常では発生しない通信をユーザに通知する。このような通信は、図5においては、送信先「192.168.1.59」を端末とした場合、1月21日および1月22日に発生した端末「192.168.1.10」と、送信先「192.168.1.59」との間の通信が不正通信となる。また、通常使用されることのないプロトコルによる通信や、通常使用されることのないポート番号を使用した通信も不正通信となる。図5においては、1月21日に発生した端末「192.168.1.13」と送信先「12.253.14.29」へのその他の通信(ARP(Address Resolution Protocol),DHCP(Dynamic Host Configuration Protocol)等)が不正通信となる。同様に、1月22日に発生した端末「192.168.1.13」と送信先「12.253.14.29」へのその他の通信(ARP,DHCP等)が不正通信となる。
【0047】
図6を参照し、不正通信をユーザに対して示す方法について説明する。図6はユーザに対しユーザに不正通信を示したレポートの一例である。
【0048】
レポート作成部233は、正常な通信と、不正通信とをユーザが判別できるように、例えば、不正通信を正常な通信とは異なる色や形状で表示したレポートを生成する。図6においては、不正な通信を塗りつぶして表示している。また、レポート作成部233は、不正通信を抽出し、抽出した不正通信のみからなるレポートを別途生成してもよい。
【0049】
[不正通信監視システム100の動作]
次に、不正通信監視システム100の動作の流れについて説明する。図7は、不正通信監視システム100において、通信履歴収集装置10の動作の流れを示すフローチャートである。
【0050】
通信履歴収集装置10において、まず、通信パケット受信部11は、通信機器30から通信パケットの通信履歴を受ける(ステップS201)。次いで、通信パケット受信部11は、通信パケットのうち、マルウェアが発生させた不正な通信を解析するために必要な部分までを抽出し、抽出した部分に基づいて、通信履歴データを生成する(ステップS202)。次いで、通信履歴送信部12は、通信履歴データを不正通信監視装置20Aに送信する(ステップS203)。
【0051】
図8は、不正通信監視システム100において、不正通信監視装置20Aの動作の流れを示すフローチャートである。
【0052】
不正通信監視装置20Aにおいて、まず、通信履歴受信部21は、通信履歴データを通信履歴送信部12から受ける(ステップS301)。次いで、不正通信検出部22は、通信履歴受信部21が受けた通信履歴データを解析する(ステップS302)。そして、不正通信検出部22は、解析結果に基づいて、マルウェアが発生させた不正な通信を検出する(ステップS303)。最後に、不正通信認識部23は、ネットワークにおける不正な通信を視覚的に判断できる情報をユーザに対して出力する(ステップS304)。
【0053】
[その他の実施形態]
不正通信監視システムを構成する通信履歴収集装置および不正通信監視装置は、ハードウエアによって実現してもよいし、ソフトウエアによって実現してもよい。また、商通信履歴収集装置および不正通信監視装置は、ハードウエアとソフトウエアの組み合わせによって実現してもよい。
【0054】
図9は、通信履歴収集装置および不正通信監視装置を構成する情報処理装置(コンピュータ)の一例を示すブロック図である。
【0055】
図9に示すように、情報処理装置200は、制御部(CPU:Central Processing Unit)210と、記憶部220と、ROM(Read Only Memory)230と、RAM(Random Access Memory)240と、通信インターフェース250と、ユーザインターフェース260とを備えている。
【0056】
制御部(CPU)210は、記憶部220またはROM230に格納されたプログラムをRAM240に展開して実行することで、通信履歴収集装置および不正通信監視装置の各種の機能を実現することができる。また、制御部(CPU)210は、データ等を一時的に格納できる内部バッファを備えていてもよい。
【0057】
記憶部220は、各種のデータを保持できる大容量の記憶媒体であって、HDD(Hard Disk Drive)、およびSSD(Solid State Drive)等の記憶媒体で実現することができる。また、記憶部220は、情報処理装置200が通信インターフェース250を介して通信ネットワークと接続されている場合には、通信ネットワーク上に存在するクラウドストレージであってもよい。また、記憶部220は、制御部(CPU)210が読み取り可能なプログラムを保持していてもよい。
【0058】
ROM230は、記憶部220と比べると小容量なフラッシュメモリ等で構成できる不揮発性の記憶装置である。また、ROM230は、制御部(CPU)210が読み取り可能なプログラムを保持していてもよい。なお、制御部(CPU)210が読み取り可能なプログラムは、記憶部220およびROM230の少なくとも一方が保持していればよい。
【0059】
なお、制御部(CPU)210が読み取り可能なプログラムは、コンピュータが読み取り可能な様々な記憶媒体に非一時的に格納した状態で、情報処理装置200に供給してもよい。このような記憶媒体は、例えば、磁気テープ、磁気ディスク、光磁気ディスク、CD−ROM、CD−R、CD−R/W、半導体メモリである。
【0060】
RAM240は、DRAM(Dynamic Random Access Memory)およびSRAM(Static Random Access Memory)等の半導体メモリであり、データ等を一時的に格納する内部バッファとして用いることができる。
【0061】
通信インターフェース250は、有線または無線を介して、情報処理装置200と、通信ネットワークとを接続するインターフェースである。
【0062】
ユーザインターフェース260は、例えば、ディスプレイ等の表示部、およびキーボード、マウス、タッチパネル等の入力部である。
【0063】
以上、本発明の実施の形態について説明したが、本発明は、上記した実施の形態に限られない。本発明は、実施の形態の一部または全部を適宜組み合わせた形態、その形態に適宜変更を加えた形態をも含む。
【0064】
上記の実施の形態の一部又は全部は、以下の付記のようにも記載され得るが以下には限られない。
【0065】
[付記1]
ネットワークを構成する端末−通信機器間および通信機器−通信機器間で送受信された通信パケットの通信履歴を受ける通信履歴受信部と、
前記通信パケットの通信履歴に基づいて、前記端末−前記通信機器間および前記通信機器−前記通信機器間で生じたマルウェアが発生させた不正通信を検出する不正通信検出部と、を備える不正通信監視装置。
【0066】
[付記2]
前記不正通信検出部は、前記通信パケットの通信履歴のうち、前記通信パケットの先頭から、前記マルウェアが発生させた不正な通信を解析するために必要な部分に基づいて、前記不正通信を検出する付記1に記載の不正通信監視装置。
【0067】
[付記3]
前記不正通信検出部の検出結果に基づいて、前記ネットワークにおける通信の様子を視覚的に表示する不正通信認識部を備える付記1または2に記載の不正通信監視装置。
【0068】
[付記4]
前記不正通信認識部は、前記ネットワークで発生した通信の様子を示したネットワーク図を生成するネットワーク生成部を有する付記3に記載の不正通信監視装置。
【0069】
[付記5]
前記不正通信認識部は、前記マルウェアのネットワーク上での活動の様子を時系列で示すレポートを作成するレポート作成部を有する付記3または4に記載の不正通信監視装置。
【0070】
[付記6]
ネットワークを構成する端末−通信機器間および通信機器−通信機器間で送受信された通信パケットの通信履歴を受けて、
前記通信パケットの通信履歴に基づいて、前記端末−前記通信機器間および前記通信機器−前記通信機器間で生じたマルウェアが発生させた不正通信を検出する不正通信監視方法。
【0071】
[付記7]
前記通信パケットの通信履歴のうち、前記通信パケットの先頭から、前記マルウェアが発生させた不正な通信を解析するために必要な部分に基づいて、前記不正通信を検出する付記6に記載の不正通信監視方法。
【0072】
[付記8]
前記不正通信検出部の検出結果に基づいて、前記ネットワークにおける通信の様子を視覚的に表示する付記6または7に記載の不正通信監視方法。
【0073】
[付記9]
前記ネットワークで発生した通信の様子を示したネットワーク図を生成するネットワーク生成部を有する付記8に記載の不正通信監視方法。
【0074】
[付記10]
前記マルウェアのネットワーク上での活動の様子を時系列で示すレポートを作成する付記8または9に記載の不正通信監視方法。
【0075】
[付記11]
コンピュータに、
ネットワークを構成する端末−通信機器間および通信機器−通信機器間で送受信された通信パケットの通信履歴を受ける処理と、
前記通信パケット通信履歴に基づいて、マルウェアが発生させた不正な通信を検出する処理と、を実行させる不正通信監視プログラム。
[付記12]
前記コンピュータに、
前記通信パケットの通信履歴のうち、前記通信パケットの先頭から、前記マルウェアが発生させた不正な通信を解析するために必要な部分に基づいて、前記不正通信を検出する処理を実行させる付記11に記載の不正通信監視プログラム。
【0076】
[付記13]
前記コンピュータに、
前記不正通信検出部の検出結果に基づいて、前記ネットワークにおける通信の様子を視覚的に表示する処理を実行させる付記11または12に記載の不正通信監視プログラム。
【0077】
[付記14]
前記コンピュータに、
前記ネットワークで発生した通信の様子を示したネットワーク図を生成する処理を実行させる付記13に記載の不正通信監視プログラム。
【0078】
[付記15]
前記コンピュータに、
前記マルウェアのネットワーク上での活動の様子を時系列で示すレポートを作成する処理を実行させる付記13または14に記載の不正通信監視プログラム。
【0079】
[付記16]
通信履歴収集装置と、不正通信監視装置とを含み、
前記通信履歴収集装置は、
通信機器が送受信した通信パケットのうち、前記通信パケットの先頭から、前記マルウェアが発生させた不正な通信を解析するために必要な部分に関する情報に基づいて通信履歴を生成する通信パケット受信部と、
前記通信履歴を前記不正通信装置に送信する通信履歴送信部と、を備え、
前記不正通信監視装置は、
前記通信履歴を受ける通信履歴受信部と、
前記通信履歴を解析し、マルウェアが発生させた不正な通信を検出する不正通信検出部と、を備える不正通信監視システム。
【符号の説明】
【0080】
10・・・通信履歴収集装置
11・・・通信パケット受信部
12・・・通信履歴送信部
20,20A・・・不正通信監視装置
21・・・通信履歴受信部
22・・・不正通信検出部
23・・・不正通信認識部
30・・・通信機器
31・・・第1の外部機器
32・・・第2の外部機器
33・・・第3の外部機器
41・・・第1の通信
42・・・第2の通信
43・・・第3の通信
231・・・ネットワーク図作成部
232・・・ネットワーク画面表示部
233・・・レポート作成部
234・・・レポート出力部
図1
図2
図3
図4
図5
図6
図7
図8
図9
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.