知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024031017
(43)【公開日】2024-03-07
(54)【発明の名称】情報処理装置、情報処理方法、およびプログラム
(51)【国際特許分類】
H04L 43/04 20220101AFI20240229BHJP
【FI】
H04L43/04
【審査請求】未請求
【請求項の数】9
【出願形態】OL
(21)【出願番号】P 2022134294
(22)【出願日】2022-08-25
(71)【出願人】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100106909
【弁理士】
【氏名又は名称】棚井 澄雄
(74)【代理人】
【識別番号】100134544
【弁理士】
【氏名又は名称】森 隆一郎
(74)【代理人】
【識別番号】100149548
【弁理士】
【氏名又は名称】松沼 泰史
(74)【代理人】
【識別番号】100162868
【弁理士】
【氏名又は名称】伊藤 英輔
(72)【発明者】
【氏名】高岡 大樹
(57)【要約】
【課題】記録する通信フローのデータサイズを最小化することができる情報処理装置、情報処理方法、およびプログラムを提供することを目的とする。
【解決手段】情報処理装置は、通信フローデータを、通信の送信元と通信の宛先に関する情報と通信内容を示す情報である2点間情報と、通信フローデータをキャプチャした箇所を示す情報を有する付加情報と、通信の発生日時とパケット数とオクテット数を有する統計情報とに分離し、2点間情報が新規であるか否かを確認すると共に2点間情報および統計情報の記録処理を行う記憶処理部と、2点間情報を集約し、最適化処理を実行する管理部と、を備える。
【選択図】図1
【解決手段】情報処理装置は、通信フローデータを、通信の送信元と通信の宛先に関する情報と通信内容を示す情報である2点間情報と、通信フローデータをキャプチャした箇所を示す情報を有する付加情報と、通信の発生日時とパケット数とオクテット数を有する統計情報とに分離し、2点間情報が新規であるか否かを確認すると共に2点間情報および統計情報の記録処理を行う記憶処理部と、2点間情報を集約し、最適化処理を実行する管理部と、を備える。
【選択図】図1
【特許請求の範囲】
【請求項1】
通信フローデータを、通信の送信元と通信の宛先に関する情報と通信内容を示す情報である2点間情報と、前記通信フローデータをキャプチャした箇所を示す情報を有する付加情報と、通信の発生日時とパケット数とオクテット数を有する統計情報とに分離し、前記2点間情報が新規であるか否かを確認すると共に前記2点間情報および前記統計情報の記録処理を行う記憶処理部と、
前記2点間情報を集約し、最適化処理を実行する管理部と、
を備える情報処理装置。
前記2点間情報を集約し、最適化処理を実行する管理部と、
を備える情報処理装置。
【請求項2】
前記管理部は、
前記2点間情報に含まれている送信元ポート番号、および宛先ポート番号のいずれかがウェルノウンポートを示す値か、または指定されている特定サービスを示すポート番号値であるか否かを確認し、
前記2点間情報に固定ポートが含まれていた場合、含まれていた通信の対向となるポート番号を通信のために一時的に割り当てられたエフェメラルポートであると判断し、前記ポート番号を前記2点間情報の変数として変数化の処理を行い、
前記変数化の対象となった前記ポート番号の値に、統計情報に付加する、
請求項1に記載の情報処理装置。
前記2点間情報に含まれている送信元ポート番号、および宛先ポート番号のいずれかがウェルノウンポートを示す値か、または指定されている特定サービスを示すポート番号値であるか否かを確認し、
前記2点間情報に固定ポートが含まれていた場合、含まれていた通信の対向となるポート番号を通信のために一時的に割り当てられたエフェメラルポートであると判断し、前記ポート番号を前記2点間情報の変数として変数化の処理を行い、
前記変数化の対象となった前記ポート番号の値に、統計情報に付加する、
請求項1に記載の情報処理装置。
【請求項3】
前記管理部は、
前記変数化の判断と処理を実施した後、前記2点間情報と同一の情報がすでに第1記憶部に記憶されているか否かを確認し、
同一情報が記憶されていない場合、前記2点間情報を前記第1記憶部に記録させ、
前記変数化の処理が実施されている場合、通信状態を表すリスクレベルを1に設定し、
前記変数化の処理が実施されていない場合、前記リスクレベルを2に設定する、
請求項2に記載の情報処理装置。
前記変数化の判断と処理を実施した後、前記2点間情報と同一の情報がすでに第1記憶部に記憶されているか否かを確認し、
同一情報が記憶されていない場合、前記2点間情報を前記第1記憶部に記録させ、
前記変数化の処理が実施されている場合、通信状態を表すリスクレベルを1に設定し、
前記変数化の処理が実施されていない場合、前記リスクレベルを2に設定する、
請求項2に記載の情報処理装置。
【請求項4】
前記管理部は、
前記付加情報と同一の情報がすでに前記第1記憶部に記憶されているか否かを確認し、
同一情報が存在しない場合、前記付加情報を前記第1記憶部に記憶させる、
請求項3に記載の情報処理装置。
前記付加情報と同一の情報がすでに前記第1記憶部に記憶されているか否かを確認し、
同一情報が存在しない場合、前記付加情報を前記第1記憶部に記憶させる、
請求項3に記載の情報処理装置。
【請求項5】
前記管理部は、
前記2点間情報と前記付加情報を識別する識別情報を取得し、取得した前記識別情報を前記統計情報に付加して第2記憶部に記録させ、
前記2点間情報と前記付加情報が前記第2記憶部にすでに記憶されていた場合、前記2点間情報と前記付加情報を識別する前記識別情報とポート番号の変数を付加した前記統計情報を前記第2記憶部に記憶させる、
請求項4に記載の情報処理装置。
前記2点間情報と前記付加情報を識別する識別情報を取得し、取得した前記識別情報を前記統計情報に付加して第2記憶部に記録させ、
前記2点間情報と前記付加情報が前記第2記憶部にすでに記憶されていた場合、前記2点間情報と前記付加情報を識別する前記識別情報とポート番号の変数を付加した前記統計情報を前記第2記憶部に記憶させる、
請求項4に記載の情報処理装置。
【請求項6】
前記2点間情報を元にネットワークセキュリティの観点で懸念がないかを判定し、通信状態を表すリスクレベルの変更または決定を行う判定部と、
前記判定部が決定した前記リスクレベルに対し、対処を実行する対処部と、
をさらに備える請求項1から請求項5のうちのいずれか1項に記載の情報処理装置。
前記判定部が決定した前記リスクレベルに対し、対処を実行する対処部と、
をさらに備える請求項1から請求項5のうちのいずれか1項に記載の情報処理装置。
【請求項7】
前記判定部は、
前記2点間情報を記憶する第1記憶部と、前記2点間情報と前記付加情報を記憶する第2記憶部において、一定期間の前記通信フローデータが記録されてから処理動作を開始し、
前記第1記憶部に記録されている前記2点間情報の前記リスクレベルの値に応じてセキュリティ観点でのリスク判定処理を実施する、
請求項6に記載の情報処理装置。
前記2点間情報を記憶する第1記憶部と、前記2点間情報と前記付加情報を記憶する第2記憶部において、一定期間の前記通信フローデータが記録されてから処理動作を開始し、
前記第1記憶部に記録されている前記2点間情報の前記リスクレベルの値に応じてセキュリティ観点でのリスク判定処理を実施する、
請求項6に記載の情報処理装置。
【請求項8】
記憶処理部が、通信フローデータを、通信の送信元と通信の宛先に関する情報と通信内容を示す情報である2点間情報と、前記通信フローデータをキャプチャした箇所を示す情報を有する付加情報と、通信の発生日時とパケット数とオクテット数を有する統計情報とに分離し、前記2点間情報が新規であるか否かを確認すると共に前記2点間情報および前記統計情報の記録処理を行い、
管理部が、前記2点間情報を集約し、最適化処理の実行を行う、
情報処理方法。
管理部が、前記2点間情報を集約し、最適化処理の実行を行う、
情報処理方法。
【請求項9】
コンピューターに、
通信フローデータを、通信の送信元と通信の宛先に関する情報と通信内容を示す情報である2点間情報と、前記通信フローデータをキャプチャした箇所を示す情報を有する付加情報と、通信の発生日時とパケット数とオクテット数を有する統計情報とに分離させ、前記2点間情報が新規であるか否かを確認させると共に前記2点間情報および前記統計情報の記録処理を行わせ、
前記2点間情報を集約させ、最適化処理の実行を行わせる、
プログラム。
通信フローデータを、通信の送信元と通信の宛先に関する情報と通信内容を示す情報である2点間情報と、前記通信フローデータをキャプチャした箇所を示す情報を有する付加情報と、通信の発生日時とパケット数とオクテット数を有する統計情報とに分離させ、前記2点間情報が新規であるか否かを確認させると共に前記2点間情報および前記統計情報の記録処理を行わせ、
前記2点間情報を集約させ、最適化処理の実行を行わせる、
プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置、情報処理方法、およびプログラムに関する。
【背景技術】
【0002】
近年、サイバー攻撃の多様化、複雑化が進んでいる一方で、企業ネットワークでは、クラウドサービスの利用やリモートアクセスが増え、また、IoT(Internet of Things)デバイスやモバイル端末など、新たなIT機器の接続数が増加してきている。このような状況の中で、企業内ネットワークであってもセキュリティの警戒を怠らないゼロトラスト・セキュリティモデルの考え方が叫ばれるようになってきており、ネットワークセキュリティの重要性がさらに高まってきている。
【0003】
一方で、セキュリティインシデントが発生した場合、迅速にその原因を究明し、影響範囲を明らかにした上で、現在のネットワークに対する課題に対処していくことで、セキュリティインシデントを発生させなくする一連の行動に対しての重要性が高まってきている。この一連の行動は、ネットワークフォレンジックと呼ばれ、ネットワークの通信状況を示す様々な記録を残すことが基本となっている。なお、企業内ネットワークにつながるIT機器は増加する一方で、かつ、通信のデータ量も拡大しているため、通信内容をすべて記録、保全するためには、コンピューターの高いリソース(処理性能、ストレージ容量)が必要となり、すべての記録、保全を行うには膨大なコストが発生する。
【0004】
企業内ネットワークのセキュリティ対策としては、一般的に、外部ネットワークとの境目にあたる箇所にファイアウォール機器を配置したり、Webサービスを提供するサーバーの前にWebサービス専用のファイアウォールであるWAF(Web Application Firewall)機器を配置したりして、外部からの攻撃に対応する。また、セキュリティ対策は、不正侵入検知・防御のための機器であるIDS(Intrusion Detection System)やIPS(Intrusion Prevention System)を配置してセキュリティレベルを高める構成も多くとられている。これらの機器は、通信内容の細かな分析を目的としているため、処理諸元に制限があり、企業内ネットワークを流れるすべての通信をこれらの機器に流し分析することができない。また、これらは、一般的に高価な機器であるため、企業内ネットワークの様々な箇所に配置することも困難である。そのため、多くの場合で、外部から企業ネットワークに入ってくる通信だけをセキュリティ対策の対象とせざるおえない状況となっている。
【0005】
このため、企業内ネットワークの広範囲にわたる大量な通信データを、コンピューターリソースを抑えて効率的に記録、保全するための技術、および、企業内ネットワークの広範囲の通信状況を分析し、セキュリティリスクを検知できる技術が求められている。
【0006】
これに対して、例えば特許文献1には、通信状態を表す状態量の履歴データを集約項目毎に集約して履歴空間データを生成し、生成された履歴空間データを基準として通信状態を表す状態量の観測データに生じた差異に基づいて情報通信ネットワークの通信状態の変化を検出する技術が開示されている。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2008-252427号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかしながら、特許文献1に記載の技術では、分析負荷が高く、高性能な処理環境を準備する必要があるため、費用面で、広範囲の複数配置が難しい。
【0009】
本発明の目的の一例は、上記の課題を解決する情報処理装置、情報処理方法、およびプログラムを提供することを目的としている。
【課題を解決するための手段】
【0010】
本発明の第1の態様の情報処理装置は、通信フローデータを、通信の送信元と通信の宛先に関する情報と通信内容を示す情報である2点間情報と、前記通信フローデータをキャプチャした箇所を示す情報を有する付加情報と、通信の発生日時とパケット数とオクテット数を有する統計情報とに分離し、前記2点間情報が新規であるか否かを確認すると共に前記2点間情報および前記統計情報の記録処理を行う記憶処理部と、前記2点間情報を集約し、最適化処理を実行する管理部と、を備える。
【0011】
本発明の第2の態様の情報処理方法は、記憶処理部が、通信フローデータを、通信の送信元と通信の宛先に関する情報と通信内容を示す情報である2点間情報と、前記通信フローデータをキャプチャした箇所を示す情報を有する付加情報と、通信の発生日時とパケット数とオクテット数を有する統計情報とに分離し、前記2点間情報が新規であるか否かを確認すると共に前記2点間情報および前記統計情報の記録処理を行い、管理部が、前記2点間情報を集約し、最適化処理の実行を行う。
【0012】
本発明の第3の態様のプログラムは、コンピューターに、通信フローデータを、通信の送信元と通信の宛先に関する情報と通信内容を示す情報である2点間情報と、前記通信フローデータをキャプチャした箇所を示す情報を有する付加情報と、通信の発生日時とパケット数とオクテット数を有する統計情報とに分離させ、前記2点間情報が新規であるか否かを確認させると共に前記2点間情報および前記統計情報の記録処理を行わせ、前記2点間情報を集約させ、最適化処理の実行を行わせる。
【発明の効果】
【0013】
本発明によれば、通信フローのデータから通信を行う2点間の情報を抽出し、2点間情報と統計情報(オクテット数、パケット数)を分離して管理することで、記録する通信フローのデータサイズを最小化することができる。
【図面の簡単な説明】
【0014】
【図1】実施形態に係る情報処理装置の基本構成例を示す図である。
【図2】実施形態に係る情報処理システムの構成例を示す図である。
【図3】実施形態に係る情報処理装置の構成例を示す図である。
【図4】実施形態に係る通信フローデータの例を示す図である。
【図5】実施形態に係る2点間情報リストの例を示す図である。
【図6】実施形態に係る付加情報の例を示す図である。
【図7】実施形態に係る統計情報の例を示す図である。
【図8】実施形態に係る通信フローデータの記録処理手順例を示すフローチャートである。
【図9】実施形態に係るデータ検索部が行う処理手順例を示すフローチャートである。
【図10】実施形態に係る変数化処理手順例のフローチャートである。
【図11】変数化処理前の2点間情報を示す図である。
【図12】変数化処理後の2点間情報を示す図である。
【図13】各リスクレベルの値の例を示す図である。
【図14】実施形態に係るリスクレベル1の2点間情報に対するリスク検査部の処理手順例のフローチャートである。
【図15】実施形態に係るリスクレベル2の2点間情報に対するリスク検査部の処理手順例のフローチャートである。
【図16】分割していない通信フローデータの各項目のデータサイズ例を示す図である。
【図17】通信フローデータを分割したうちの2点間情報の各項目のデータサイズ例を示す図である。
【図18】通信フローデータを分割したうちの付加情報の各項目のデータサイズ例を示す図である。
【図19】通信フローデータを分割したうちの統計情報の各項目のデータサイズ例を示す図である。
【発明を実施するための形態】
【0015】
以下、本発明の実施形態を説明するが、以下の実施形態は請求の範囲にかかる発明を限定するものではない。また、実施形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。
【0016】
【0017】
記憶処理部2は、ネットワークからの通信フローデータを受信し処理を行う。記憶処理部2は、通信フローデータを2点間情報と統計情報とに分離し、新規の2点間情報か否かを確認すると共に2点間情報、統計情報の記録処理を行う。
【0018】
管理部3は、記録されている2点間情報をさらに集約、最適化する処理の実行や、運用者が時系列の通信フローデータを検索、閲覧することができる仕組みを提供する。
【0019】
なお、各部は、独立して動作するが、2点間情報を介して処理が連動している。また、各部は、互いに通信が可能であれば、同一のハードウェア、または、オペレーションシステム上に配置しても、配置しなくてもよい。また、図1に示した構成は一例であり、これに限らない。
【0020】
本実施形態の構成によれば、通信フローのデータから通信を行う2点間の情報を抽出し、2点間情報と統計情報(オクテット数、パケット数)を分離して管理することで、記録する通信フローのデータサイズを最小化することができる。
【0021】
[情報処理システムの構成例]
図2は、本実施形態に係る情報処理システムの構成例を示す図である。図2に示すように、情報処理装置1は、ネットワークNWから通信フローデータを収集して、処理を行う。ネットワークNWは、例えば、ルーターR1~R4、サーバーSe1~Se3、および端末C1~C6を備える。
図2は、本実施形態に係る情報処理システムの構成例を示す図である。図2に示すように、情報処理装置1は、ネットワークNWから通信フローデータを収集して、処理を行う。ネットワークNWは、例えば、ルーターR1~R4、サーバーSe1~Se3、および端末C1~C6を備える。
【0022】
サーバーSe1~Se3は、ネットワークNWを介してサービスを提供する。
端末C1~C6は、ネットワークNWを介してサービスを利用する。
なお、端末やサーバーのネットワーク接続に関しては、有線接続であっても、無線接続
であってもよい。また、図2に示した構成は一例であり、ルーター、サーバー、端末の数は、これに限らない。
端末C1~C6は、ネットワークNWを介してサービスを利用する。
なお、端末やサーバーのネットワーク接続に関しては、有線接続であっても、無線接続
であってもよい。また、図2に示した構成は一例であり、ルーター、サーバー、端末の数は、これに限らない。
【0023】
[情報処理装置の構成例]
図3は、本実施形態に係る情報処理装置の構成例を示す図である。図3に示したように、情報処理装置1Aは、例えば、記憶処理部2と、管理部3と、判定部4と、対処部5と、第1記憶部6を備える。
記憶処理部2は、例えば、通信フローデータ受信部21と、2点間情報抽出部22を備える。
管理部3は、例えば、データ検索部31と、2点間情報検査部32と、第2記憶部33を備える。
判定部4は、例えば、リスク検査部41と、第3記憶部42を備える。
対処部5は、例えば、アクション実行部51を備える。
図3は、本実施形態に係る情報処理装置の構成例を示す図である。図3に示したように、情報処理装置1Aは、例えば、記憶処理部2と、管理部3と、判定部4と、対処部5と、第1記憶部6を備える。
記憶処理部2は、例えば、通信フローデータ受信部21と、2点間情報抽出部22を備える。
管理部3は、例えば、データ検索部31と、2点間情報検査部32と、第2記憶部33を備える。
判定部4は、例えば、リスク検査部41と、第3記憶部42を備える。
対処部5は、例えば、アクション実行部51を備える。
【0024】
第1記憶部6は、2点間情報を記憶する。なお、本実施形態において、2点間情報とは、通信の送信元、宛先に関する情報と通信内容を示す情報である。なお、第1記憶部6が記憶する情報については、後述する。
【0025】
通信フローデータ受信部21は、ルーターから、例えば、sFlow、NetFlow、IPFIX等の通信フローデータを受信する。または、通信フローデータ受信部21は、ルーターの特定インターフェイスを流れる通信をパケットキャプチャし、通信の一連のフローをまとめた通信フローデータを生成して、生成された通信フローデータを受信する。
【0026】
2点間情報抽出部22は、受信した通信フローデータを2点間情報、付加情報、統計情報の3つに分割する。なお、本実施形態において、付加情報とは、通信フローデータをキャプチャした箇所を示す情報、例えば「R1のインターフェイス1」等の情報である。また、本実施形態において、統計情報とは、通信の発生日時、パケット数、オクテット数等の情報である。
【0027】
2点間情報抽出部22は、2点間情報に含まれている送信元ポート番号、および、宛先ポート番号のいずれかが1023番以下のウェルノウンポート(Well Known Ports)を示す値か、または運用者が指定する特定サービスを示すポート番号値を確認する。なお、ウェルノウンポートとは、サービスやプロトコルが利用するために予約されているポートである。2点間情報抽出部22は、2点間情報に固定ポートが含まれていた場合、その通信の対向となるポート番号を通信のために一時的に割り当てられたエフェメラルポートであると判断し、そのポート番号を2点間情報の変数として処理する。なお、エフェメラルポートとは、例えば、特定の用途やプロトコルによって固定的に使用することが想定されておらず、ソフトウェアやプロトコルからも自由に利用することができるポートである。また、2点間情報抽出部22は、変数化の対象となったポート番号の値である場合、統計情報に付加する。
【0028】
2点間情報抽出部22は、変数化の判断、処理を実施した後、第1記憶部6に問い合わせ、抽出した2点間情報と同一の情報がすでに存在するか否かを確認する。2点間情報抽出部22は、同一情報が存在しない場合、第1記憶部6に2点間情報を記録する。この時、2点間情報抽出部22は、変数化処理を実施していた場合、リスクレベルに例えば1を指定する。2点間情報抽出部22は、変数化処理を実施していない場合(送信元、宛先の両ポートとも固定ポートと判断できない場合)、リスクレベルに例えば2を指定する。なお、リスクレベルとは、後述するように通信状態を表す。
【0029】
2点間情報抽出部22は、第1記憶部6に問い合わせ、抽出した付加情報と同一の情報がすでに存在するか否かを確認する。2点間情報抽出部22は、同一情報が存在しない場合、第1記憶部6に付加情報を記録する。
【0030】
2点間情報抽出部22は、2点間情報と付加情報を識別するIDを取得し、統計情報に付加して、管理部3の第2記録部33に統計情報を記憶させる。2点間情報抽出部22は、2点間情報、付加情報の記録がすでに存在していた場合、2点間情報と付加情報を識別するID、ポート番号の変数を付加した統計情報を、第2記録部33に記憶させる。
【0031】
データ検索部31は、記録された通信フローデータを、一般的な装置が使用している形式と同じ形式で閲覧できるように組み立てる処理を行う。データ検索部31は、例えば運用者が指定した検索条件に従い、2点間情報や統計情報を検索し、各情報のID(識別情報)を利用して結合して出力する。
【0032】
2点間情報検査部32は、第1記憶部6に記録されたリスクレベル2の2点間情報に対し、送信元ポート番号、または、宛先ポート番号の変数化が可能かを検査する。なお、処理方法については、後述する。
【0033】
第2記憶部33は、記憶処理部2の2点間情報抽出部22が抽出した情報等を記憶する。
【0034】
判定部4は、2点間情報を元にネットワークセキュリティの観点で懸念がないかを判定する。判定部4は、過去に同様の2点間の通信が存在していないか、2点間情報が一定数の発生頻度を満たしているか、通信プロトコルに従った通信挙動か否か等を踏まえて、セキュリティリスクのレベルを決定する。
【0035】
リスク検査部41は、第1記憶部6に記録されている2点間情報のリスクレベル値に応じて処理を行う。リスク検査部41は、例えば、リスクレベル1以上の2点間情報に対して、セキュリティ観点でのリスク判定処理を行う。その際、リスク検査部41は、第3記憶部42に登録されている各種プロトコルの動作仕様に関する情報や運用者が事前に登録した禁止する通信内容(IPアドレス、ポート番号、プロトコル)の情報と照らし合わせる。リスク検査部41は、リスク判定結果に基づいて、アクション実行部51を介して、例えば運用者に警戒が必要な通信が発生していることを通知する。または、リスク検査部41は、リスク判定結果に基づいて、アクション実行部51を介して、例えば運用者が事前に登録している処理を経路に対して実行する。
【0036】
第3記憶部42は、各種プロトコルの動作仕様に関する情報や運用者が事前に登録した禁止する通信内容の情報を記憶する。
【0037】
対処部5は、判定部4が決定したリスクレベルに対し、対処を実行する。ここでの対処とは、例えば、運用者へのディスプレイ表示、音、光などによる通知やメール送信による通知、ルーターへのアクセスコントロールリストの設定や通信経路の変更設定の経路制御等の実行などが含まれる。
【0038】
アクション実行部51は、リスク検査部41が出力する情報を通知する。アクション実行部51は、リスク検査部41が出力する経路に対する処理を行う。
【0039】
本実施形態によれば、記憶処理部2と管理部3が、通信フローのデータから通信を行う2点間の情報を抽出し、2点間情報と統計情報(オクテット数、パケット数)を分離して管理することで、記録する通信フローのデータサイズを最小化することができる。
また、本実施形態によれば、判定部4によって、すべての通信フローのデータではなく、抽出された2点間情報を分析することにより、効率的に、普段とは異なる通信挙動を検出することができる。
また、本実施形態によれば、判定部4によって、すべての通信フローのデータではなく、抽出された2点間情報を分析することにより、効率的に、普段とは異なる通信挙動を検出することができる。
【0040】
[通信フローデータ例]
次に、通信フローデータの例を説明する。
図4は、本実施形態に係る通信フローデータの例を示す図である。図4に示しように、通信フローデータは、例えば、送信元IP(Internet Protocol)アドレス、送信元ポート番号、送信元ネットマスク、送信元AS(Autonomous System)番号、宛先IPアドレス、宛先ポート番号、宛先ネットマスク、宛先AS番号、ToS(Type of Service)、プロトコルを示す情報、TCPフラグ、キャプチャ箇所を示す情報、パケット数、オクテット数、通信時間(ms)、および発生日時を示す情報を有する。
次に、通信フローデータの例を説明する。
図4は、本実施形態に係る通信フローデータの例を示す図である。図4に示しように、通信フローデータは、例えば、送信元IP(Internet Protocol)アドレス、送信元ポート番号、送信元ネットマスク、送信元AS(Autonomous System)番号、宛先IPアドレス、宛先ポート番号、宛先ネットマスク、宛先AS番号、ToS(Type of Service)、プロトコルを示す情報、TCPフラグ、キャプチャ箇所を示す情報、パケット数、オクテット数、通信時間(ms)、および発生日時を示す情報を有する。
【0041】
上記のうち、送信元IPアドレス、送信元ポート番号、送信元ネットマスク、送信元AS番号、宛先IPアドレス、宛先ポート番号、宛先ネットマスク、宛先AS番号、ToS、プロトコルを示す情報、およびTCPフラグは、2点間情報(g11)である。
キャプチャ箇所を示す情報は、付加情報(g12)である。
パケット数、オクテット数、通信時間、および発生日時を示す情報は、統計情報(g13)である。
なお、図4に示した例は一例であり、通信フローデータはこれに限らない。
キャプチャ箇所を示す情報は、付加情報(g12)である。
パケット数、オクテット数、通信時間、および発生日時を示す情報は、統計情報(g13)である。
なお、図4に示した例は一例であり、通信フローデータはこれに限らない。
【0042】
[2点間情報リスト例]
次に、第1記憶部6が記憶する2点間情報リストの例を説明する。
図5は、本実施形態に係る2点間情報リストの例を示す図である。図5に示すように、2点間情報リストは、例えば、ID(識別情報)に、送信元IPアドレス、送信元ポート番号、送信元ネットマスク、送信元AS番号、宛先IPアドレス、宛先ポート番号、宛先ネットマスク、宛先AS番号、ToS、プロトコルを示す情報、TCPフラグ、およびリスクレベルが関連付けられている。なお、TCPフラグにおいて、SYNは通信フローの中でコネクション確立要求の通信実績があることを示すフラグであり、ACKは通信フローの中で受信応答の通信実績があることを示すフラグであり、FINは通信フローの中でコネクション終了要求の通信実績があることを示すフラグである。
なお、図5に示した例は一例であり、2点間情報リストはこれに限らない。
次に、第1記憶部6が記憶する2点間情報リストの例を説明する。
図5は、本実施形態に係る2点間情報リストの例を示す図である。図5に示すように、2点間情報リストは、例えば、ID(識別情報)に、送信元IPアドレス、送信元ポート番号、送信元ネットマスク、送信元AS番号、宛先IPアドレス、宛先ポート番号、宛先ネットマスク、宛先AS番号、ToS、プロトコルを示す情報、TCPフラグ、およびリスクレベルが関連付けられている。なお、TCPフラグにおいて、SYNは通信フローの中でコネクション確立要求の通信実績があることを示すフラグであり、ACKは通信フローの中で受信応答の通信実績があることを示すフラグであり、FINは通信フローの中でコネクション終了要求の通信実績があることを示すフラグである。
なお、図5に示した例は一例であり、2点間情報リストはこれに限らない。
【0043】
[リスクレベル]
ここで、リスクレベルについて、図5を参照しつつ説明する。本実施形態では、リスクレベルを、例えば、0、1、2、3、4とする。リスクレベルは、判定部4のリスク検査部41が設定する。
ここで、リスクレベルについて、図5を参照しつつ説明する。本実施形態では、リスクレベルを、例えば、0、1、2、3、4とする。リスクレベルは、判定部4のリスク検査部41が設定する。
【0044】
例えば、リスク検査部41は、変数化処理を実施していた場合、リスクレベルを1に設定する。リスク検査部41は、変数化処理を実施していない場合(送信元、宛先の両ポートとも固定ポートと判断できない場合)は、リスクレベルを2に設定する。なお、変数化処理については、後述する。
【0045】
[付加情報例]
次に、付加情報の例を説明する。
図6は、本実施形態に係る付加情報の例を示す図である。図6の示すように、付加情報は、キャプチャ箇所に関する情報であり、例えばルーターのインターフェイスの箇所を示す情報である。付加情報は、例えば、「ルーターR1のインターフェイス1」、「ルーターR1のインターフェイス10」、「ルーターR4のインターフェイス2」、…である。また、図6のように、付加情報には、IDが付与されている。
次に、付加情報の例を説明する。
図6は、本実施形態に係る付加情報の例を示す図である。図6の示すように、付加情報は、キャプチャ箇所に関する情報であり、例えばルーターのインターフェイスの箇所を示す情報である。付加情報は、例えば、「ルーターR1のインターフェイス1」、「ルーターR1のインターフェイス10」、「ルーターR4のインターフェイス2」、…である。また、図6のように、付加情報には、IDが付与されている。
【0046】
[統計情報リスト例]
次に、第2記憶部33に記憶される統計情報の例を説明する。
図7は、本実施形態に係る統計情報の例を示す図である。図7のように、統計情報は、例えば、発生日時を表す情報、2点間情報のID、キャプチャ箇所のID、パケット数、オクテット数、通信時間(ms)、および変数を有する。
なお、図7に示した例は一例であり、統計情報はこれに限らない。
次に、第2記憶部33に記憶される統計情報の例を説明する。
図7は、本実施形態に係る統計情報の例を示す図である。図7のように、統計情報は、例えば、発生日時を表す情報、2点間情報のID、キャプチャ箇所のID、パケット数、オクテット数、通信時間(ms)、および変数を有する。
なお、図7に示した例は一例であり、統計情報はこれに限らない。
【0047】
[通信フローデータの記録処理手順例]
次に、通信フローデータの記録処理手順例を説明する。図8は、本実施形態に係る通信フローデータの記録処理手順例を示すフローチャートである。
次に、通信フローデータの記録処理手順例を説明する。図8は、本実施形態に係る通信フローデータの記録処理手順例を示すフローチャートである。
【0048】
(ステップS1)記憶処理部2の通信フローデータ受信部21は、ネットワークNWから通信フローデータを取得する。
【0049】
(ステップS2)記憶処理部2の2点間情報抽出部22は、取得された通信フローデータに含まれる送信元ポートと宛先ポートを抽出する。2点間情報抽出部22は、送信元ポート番号、および宛先ポート番号のいずれかが1023番以下のウェルノウンポートを示す値か、または運用者が指定する特定サービスを示すポート番号値かを判別する。なお、本実施形態においては、1023番以下のウェルノウンポート、および運用者が指定する特定サービスを示すポートを「固定ポート」という。すなわち、2点間情報抽出部22は、送信元ポートと宛先ポートのうちのいずれかが固定ポートであるか否かを判別する。2点間情報抽出部22は、送信元ポートと宛先ポートのうちのいずれかが固定ポートである場合(ステップS2;YES)、ステップS3の処理に進める。2点間情報抽出部22は、送信元ポートと宛先ポートが固定ポートではない場合(ステップS2;NO)、ステップS4の処理に進める。
【0050】
(ステップS3)2点間情報抽出部22は、2点間情報に固定ポートが含まれていたため、その通信の対向となるポート番号を通信のために一時的に割り当てられたエフェメラルポートだと判断する。2点間情報抽出部22は、固定ポートのポート番号を2点間情報の変数として処理する。
【0051】
(ステップS4)2点間情報抽出部22は、第1記憶部6を参照し、抽出した2点間情報と同一の情報がすでに第1記憶部6に記憶されているか否かを確認する。2点間情報抽出部22は、抽出した2点間情報と同一の情報がすでに第1記憶部6に記憶されている場合(ステップS4;YES)、ステップS9の処理に進める。2点間情報抽出部22は、抽出した2点間情報と同一の情報が第1記憶部6に記憶されていない場合(ステップS4;NO)、ステップS5の処理に進める。
【0052】
(ステップS5)2点間情報抽出部22は、変数化処理を行っているか否かを判別する。2点間情報抽出部22は、変数化処理を行っていない場合(ステップS5;NO)、ステップS6の処理に進める。2点間情報抽出部22は、変数化処理を行っている場合(ステップS5;YES)、ステップS7の処理に進める。
【0053】
(ステップS6)2点間情報抽出部22は、変数化処理を実施していない(送信元、宛先の両ポートとも固定ポートと判断できない)ため、リスクレベルを2に設定する。処理後、2点間情報抽出部22は、ステップS8の処理に進める。
【0054】
(ステップS7)2点間情報抽出部22は、変数化処理を実施しているため、リスクレベルを1に設定する。処理後、2点間情報抽出部22は、ステップS8の処理に進める。
【0055】
(ステップS8)2点間情報抽出部22は、設定したリスクレベルを2点間情報に関連付けて第1記憶部6に記憶させる。この時、記憶した2点間情報に対するIDが、第1記憶部6によって採番される。
【0056】
(ステップS9)2点間情報抽出部22は、ステップS8で記憶させた2点間情報に対するIDを取得する。または、2点間情報抽出部22は、ステップS4で同一と判断した2点間情報に対するIDを取得する。
【0057】
(ステップS10)2点間情報抽出部22は、第1記憶部6を参照し、付加情報と同一の情報がすでに第1記憶部6に記憶されているか否かを確認する。2点間情報抽出部22は、抽出した付加情報と同一の情報がすでに第1記憶部6に記憶されている場合(ステップS10;YES)、ステップS12の処理に進める。2点間情報抽出部22は、抽出した付加情報と同一の情報が第1記憶部6に記憶されていない場合(ステップS10;NO)、ステップS11の処理に進める。
【0058】
(ステップS11)2点間情報抽出部22は、同一情報が存在しないため、第1記憶部6に付加情報を記憶させる。この時、記憶した付加情報に対するIDが第1記憶部6によって採番される。
【0059】
(ステップS12)2点間情報抽出部22は、ステップS11で記憶させた付加情報に対するIDを取得する。または、2点間情報抽出部22は、ステップS10で同一と判断した付加情報に対するIDを取得する。
【0060】
(ステップS13)2点間情報抽出部22は、統計情報に、2点間情報と、付加情報のIDを紐付ける。
【0061】
(ステップS14)2点間情報抽出部22は、紐付けた統計情報を第2記憶部33に記憶させる。
【0062】
[データ検索部が行う処理例]
次に、管理部3のデータ検索部31が行う処理例を説明する。図9は、本実施形態に係るデータ検索部が行う処理手順例を示すフローチャートである。
次に、管理部3のデータ検索部31が行う処理例を説明する。図9は、本実施形態に係るデータ検索部が行う処理手順例を示すフローチャートである。
【0063】
(ステップS101)データ検索部31は、2点間情報が処理対象であるリスクレベル2であるか否かを判別する。データ検索部31は、リスクレベルが2である場合(ステップS101;YES)、ステップS102の処理に進める。データ検索部31は、リスクレベルが2ではない場合(ステップS101;NO)、処理を終了する。
【0064】
(ステップS102)データ検索部31は、同一の宛先IPアドレスと宛先ポート番号の組み合わせ情報を持つ2点間情報が他に存在するか否かを判別する。データ検索部31は、同一の宛先IPアドレスと宛先ポート番号の組み合わせ情報を持つ2点間情報が他に存在する場合(ステップS102;YES)、ステップS103の処理に進める。データ検索部31は、同一の宛先IPアドレスと宛先ポート番号の組み合わせ情報を持つ2点間情報が他に存在しない場合(ステップS102;NO)、処理を終了する。
【0065】
(ステップS103)データ検索部31は、同一の宛先IPアドレスと宛先ポート番号の組み合わせ情報を持つ2点間情報の数が一定数以上であるか否かを判別する。データ検索部31は、同一の宛先IPアドレスと宛先ポート番号の組み合わせ情報を持つ2点間情報の数が一定数以上である場合(ステップS103;YES)、ステップS104の処理に進める。データ検索部31は、同一の宛先IPアドレスと宛先ポート番号の組み合わせ情報を持つ2点間情報の数が一定数未満である場合(ステップS103;NO)、処理を終了する。
【0066】
(ステップS104)データ検索部31は、宛先となるIPアドレスに紐づくポート番号を、特定サービスを提供する固定ポートと判断し、変数化のための処理を実行する。
【0067】
[変数化処理例]
次に、変数化処理例を説明する。図10は、本実施形態に係る変数化処理手順例のフローチャートである。
次に、変数化処理例を説明する。図10は、本実施形態に係る変数化処理手順例のフローチャートである。
【0068】
(ステップS201)2点間情報抽出部22は、2点間情報において、固定ポートだと判断した宛先ポート番号の対向となる送信元ポート番号を抜き出して、2点間情報の変数とする(変数化)。
【0069】
(ステップS202)2点間情報抽出部22は、変数化した2点間情報のリスクレベル1に変更する。
【0070】
(ステップS203)2点間情報抽出部22は、処理を行った2点間情報のIDに紐づけられている統計情報を検索する。
【0071】
(ステップS204)2点間情報抽出部22は、探索して見つけた統計情報の変数値として抜き出した送信元ポート番号を変数値として記録する。
【0072】
(ステップS205)2点間情報抽出部22は、変数化の処理を行った2点間情報と同じ内容が第1記憶部6に存在しているか否かを確認する。2点間情報抽出部22は、変数化した2点間情報と同じ内容が第1記憶部6に存在している場合(ステップS205;YES)、ステップS206の処理に進める。2点間情報抽出部22は、変数化した2点間情報と同じ内容が第1記憶部6に存在していない場合(ステップS205;NO)、処理を終了する。
【0073】
(ステップS206)2点間情報抽出部22は、先に採番されているIDを残し、後に採番したIDの2点間情報を削除する。
【0074】
(ステップS207)2点間情報抽出部22は、第2記憶部33の削除したIDに紐づく統計情報を探索する。
【0075】
(ステップS208)2点間情報抽出部22は、探索して見つかった2点間情報のID値を残したID値に変更する。
【0076】
このように、2点間情報抽出部22は、固定ポートと判断した同一のIPアドレス、および、ポート番号で送信を行っている2点間情報の宛先ポート番号に対する変数化処理を、図10のように実施する。
【0077】
変数化処理の例を、図11、図12を用いて説明する。図11は、変数化処理前の2点間情報を示す図である。図12は、変数化処理後の2点間情報を示す図である。
図11、12に示す例では、IPアドレス「172.31.1.200」のポート番号「23457」を固定ポートであると判断し、2点間情報のID「5」、「6」、「10」、「11」、「15」、「16」に対し、変数化の処理を実施している。そして、この例においては、図11、12のように、変数化の処理後、「5」と「10」、「6」と「11」の2点間情報が同一となったため、「10」、「11」の2点間情報を削除している。
図11、12に示す例では、IPアドレス「172.31.1.200」のポート番号「23457」を固定ポートであると判断し、2点間情報のID「5」、「6」、「10」、「11」、「15」、「16」に対し、変数化の処理を実施している。そして、この例においては、図11、12のように、変数化の処理後、「5」と「10」、「6」と「11」の2点間情報が同一となったため、「10」、「11」の2点間情報を削除している。
【0078】
フローデータ記録装置33と管理部3の動作により、通信フローデータは、2点間情報、付加情報、および、統計情報と分離され、最適化された形式で記録される。本実施形態では、記録された通信フローデータを図4に示した形式で閲覧できるように組み立てる処理をデータ検索部31が行うようにした。データ検索部31は、運用者が指定した検索条件に従い、2点間情報や統計情報を検索し、各情報のIDを利用して結合し、出力する。これらの仕組みにより、本実施形態によれば、記録するデータサイズを削減しつつ、視認性のある通信フローデータの記録が実現できる。
【0079】
[リスクレベル]
次に、リスクレベルの例を説明する。
判定部4は、第1記憶部6、および第2記憶部33において、一定期間の通信フローデータが記録されてから処理動作を開始する。リスク検査部41は、第1記憶部6に記録されている2点間情報のリスクレベル値に応じて処理を実施する。図13は、各リスクレベルの値の例を示す図である。
次に、リスクレベルの例を説明する。
判定部4は、第1記憶部6、および第2記憶部33において、一定期間の通信フローデータが記録されてから処理動作を開始する。リスク検査部41は、第1記憶部6に記録されている2点間情報のリスクレベル値に応じて処理を実施する。図13は、各リスクレベルの値の例を示す図である。
【0080】
図13のように、リスクレベル「0」は、「日常的な正常な通信であることを示す。」レベルである。リスクレベル「1」は、「固定ポートによる通信で、日常的な正常な通信であるか否かを判断できていないことを示す。」レベルである。リスクレベル「2」は、「不明なポートによる通信で、日常的な正常な通信であるか否かを判断できていないことを示す。」レベルである。リスクレベル「3」は、「セキュリティ観点で警戒すべきリスクがあると判断した通信であることを示す。」レベルである。リスクレベル「4」は、「セキュリティ観点で対策すべきリスクがあると判断した通信であることを示す。」レベルである。リスクレベル「10」は、「例外的な通信であることを示す。」レベルである。なお、図13の示したリスクレベルの値や内容は一例であり、これに限らない。
【0081】
まず、リスクレベル1の2点間情報に対するリスク検査部の処理について説明する。図14は、本実施形態に係るリスクレベル1の2点間情報に対するリスク検査部の処理手順例のフローチャートである。
【0082】
リスク検査部41は、リスクレベル1の2点間情報を検索し、順番にリスク状況を確認していく。
(ステップS301)リスク検査部41は、プロトコルの値を確認し、プロトコルがTCPであるか否かを確認する。リスク検査部41は、プロトコルがTCPである場合(ステップS301;YES)、ステップS302の処理に進める。リスク検査部41は、プロトコルがTCPではない場合(ステップS301;NO)、ステップS305の処理に進める。
(ステップS301)リスク検査部41は、プロトコルの値を確認し、プロトコルがTCPであるか否かを確認する。リスク検査部41は、プロトコルがTCPである場合(ステップS301;YES)、ステップS302の処理に進める。リスク検査部41は、プロトコルがTCPではない場合(ステップS301;NO)、ステップS305の処理に進める。
【0083】
(ステップS302)TCPであった場合、リスク検査部41は、TCP固有の確認を実施する。具体的には、リスク検査部41は、TCPフラグの値から、プロトコル仕様に従ったコネクション処理が正しく実施されているかを確認する。
【0084】
(ステップS303)通信フローデータには、一連の通信処理を時間で分割してキャプチャされる場合がある。このため、リスク検査部41は、TCPフラグ値が、「SYN、ACK、FIN」ではなかった場合、TCPフラグ値以外がすべて同値の2点間情報を検索し、当該2点間情報のTCPフラグ値と統合して、コネクション処理の状況を確認する。この処理によってリスク検査部41は、TCPフラグの値が不正であるか否かを確認する。リスク検査部41は、TCPフラグの値が不正である場合(ステップS303;YES)、ステップS304の処理に進める。リスク検査部41は、TCPフラグの値が不正ではなかった場合(ステップS303;NO)、ステップS306の処理に進める。
【0085】
(ステップS304)TCPフラグ値が不正な場合、リスク検査部41は、例えば、SYNのみやFINのみの場合は不正と判断し、2点間情報のリスクレベルを4に変更する。リスク検査部41は、処理後、リスクレベルに関する処理を終了する。
【0086】
(ステップS305)プロトコルがTCP以外の場合、リスク検査部41は、第3記憶部42に登録されている各種プロトコル動作仕様の情報と照らし合わせて、ポート番号、またはプロトコルの値から、往復の通信が発生する仕様、すなわち返信処理を行う通信であるか否かを確認する。例えば、ポート番号が「53」でプロトコルが「UDP」の場合は、Domain Name System(DNS)への名前解決要求などの通信であることが分かるため、要求に対する返信を示す通信が発生する。リスク検査部41は、返信処理を行う通信である場合(ステップS305;YES)、ステップS306の処理に進める。リスク検査部41は、返信処理を行う通信ではない場合(ステップS305;NO)、ステップS308の処理に進める。
【0087】
(ステップS306)このような2点間情報の場合、リスク検査部41は、プロトコル仕様に従い、返信処理を示す2点間情報が存在しているか否かを検索する。リスク検査部41は、返信処理を示す2点間情報が存在して無い場合(ステップS306;YES)、ステップS307の処理に進める。リスク検査部41は、返信処理を示す2点間情報が存在している場合(ステップS306;NO)、ステップS308の処理に進める。
【0088】
(ステップS307)返信処理を示す2点間情報が存在しない場合、リスク検査部41は、リスクレベルを3に変更する。ただし、例えば本システムとは別に運用されているネットワーク監視装置から、障害発生により応答の通信が発生できない状況にあったとの情報が共有されていた場合は、この情報を加味してリスクレベルを0にすることも可能である。リスク検査部41は、処理後、リスクレベルに関する処理を終了する。
【0089】
(ステップS308)リスク検査部41は、プロトコル値によらず、プロトコル仕様に従った通信を行っていることが確認できた2点間情報に対して、それに紐づく統計情報を第2記憶部33から取得し、通信頻度(一定期間中の2点間情報の発生頻度)を確認する。
【0090】
(ステップS309)リスク検査部41は、宛先IPアドレスと宛先ポート番号が同一で、送信元IPアドレス、送信元ポート番号が異なる2点間情報の有無を確認する。
【0091】
(ステップS310)リスク検査部41は、通信頻度が、同一の宛先IPアドレスと宛先ポート番号に対する一定数以上であるか否かを判別する。リスク検査部41は、通信頻度が一定数以上である場合(ステップS310;YES)、ステップS311の処理に進める。リスク検査部41は、通信頻度が一定数未満の場合(ステップS310;NO)、リスクレベルに関する処理を終了する。
【0092】
(ステップS311)リスク検査部41は、同一の宛先IPアドレスと宛先ポート番号に対する一定数以上の通信が確認できた場合、日常的な正常な通信と判断し、リスクレベルを0に変更する。ただし、リスク検査部41は、第3記憶部42に登録されている禁止する通信に合致した場合、リスクレベルを3、または4に変更する。リスク検査部41は、処理後、リスクレベルに関する処理を終了する。
【0093】
次に、リスクレベル2の2点間情報に対するリスク検査部の処理について説明する。図15は、本実施形態に係るリスクレベル2の2点間情報に対するリスク検査部の処理手順例のフローチャートである。
【0094】
リスク検査部41は、リスクレベル2の2点間情報を検索し、順番にリスク状況を確認していく。
(ステップS401)リスク検査部41は、送信元IPアドレスと宛先IPアドレスが同一の2点間情報の有無を第1記憶部6から検索する。
(ステップS401)リスク検査部41は、送信元IPアドレスと宛先IPアドレスが同一の2点間情報の有無を第1記憶部6から検索する。
【0095】
(ステップS402)リスク検査部41は、該当する2点間情報が見つかった場合、その中で宛先ポート番号が固定ポートを示すものがあるか否かを判別する。リスク検査部41は、宛先ポート番号が固定ポートを示すものがある場合(ステップS402;YES)、ステップS403の処理に進める。リスク検査部41は、宛先ポート番号が固定ポートを示すものがない場合(ステップS402;NO)、ステップS406の処理に進める。
【0096】
(ステップS403)リスク検査部41は、固定ポートが示す通信サービス仕様を、第3記憶部42の情報から確認する。
【0097】
(ステップS404)リスク検査部41は、エフェメラルポートを利用する通信を実施し、当該2点間情報と動作が合致するか否かを判別する。リスク検査部41は、2点間情報と動作が合致する場合(ステップS404;YES)、ステップS405の処理に進める。リスク検査部41は、2点間情報と動作が合致する場合(ステップS404;NO)、ステップS406の処理に進める。
【0098】
(ステップS405)送信側、宛先側でエフェメラルポートを利用して別途、通信を開始する仕様の通信サービスが見つかった場合、2点間情報は、当該通信サービスによる副次的な通信であり、正常な通信と判断できる。例えば、TFTP(Trivial File Transfer Protocol)による一連の通信動作を行った場合は、本ケースに該当する。しかしながら、毎回同じポート番号とはならないため、リスク検査部41は、このような2点間情報に対して、リスクレベルを0ではなく、例外を意味する10に変更する。リスク検査部41は、処理後、リスクレベルに関する処理を終了する。
【0099】
(ステップS406)2点間情報が、他の2点間情報の通信による副次的な通信処理であることが判断できない場合、リスク検査部41は、警戒すべき通信として、リスクレベルを3に変更する。また、リスクレベル3の2点間情報に対するすべての処理でリスクレベルを変更した場合、リスク検査部41は、合わせて、同じIPアドレス、ポート番号を利用する逆方向の通信を示す2点間情報の有無を確認する。存在していた場合、リスク検査部41は、当該2点間情報が、応答用の通信と判断できるため、これに対してもリスクレベルを同値に変更する。
【0100】
なお、リスク検査部41は、リスクレベル3以上の2点間情報を見つけた場合、対処部5のアクション実行部51を介して、運用者に警戒が必要な通信が発生していることを通知する。通知方法は、例えば、ディスプレイへの表示や、音、光の点灯、メール送信など様々な方法を運用者が選択することができる。
リスクレベル4の2点間情報に対しては、例えば、運用者が事前に登録している対処を実行することができる。実行する対処としては、例えば、ルーターへのアクセスコントロールリストの設定や通信経路の変更設定などが考えられる。または、実行する対処としては、ネットワークをコントロールするSDN(Software Defined Networking)コントローラーを介したネットワークへの接続や通信経路の操作も可能である。
リスクレベル4の2点間情報に対しては、例えば、運用者が事前に登録している対処を実行することができる。実行する対処としては、例えば、ルーターへのアクセスコントロールリストの設定や通信経路の変更設定などが考えられる。または、実行する対処としては、ネットワークをコントロールするSDN(Software Defined Networking)コントローラーを介したネットワークへの接続や通信経路の操作も可能である。
【0101】
例えば、情報処理装置1Aの運用者は、通知のあった2点間情報の内容を、フローデータ管理装置を介して確認する。リスクのない正常な通信と判断した場合、運用者は、情報処理装置1Aを操作してリスクレベルを変更することができる。運用者は、情報処理装置1Aを操作して例えば、リスクレベル3を2や0に変更することができる。また、加えて、運用者は、情報処理装置1Aを操作して、判定部4の第3記憶部42に問題のない2点間情報として登録することができる。第3記憶部42に問題のない2点間情報として登録された場合、運用者は、リスク検査部41での検査処理において、リスクレベルを自動的に0に変更することができる。なお、リスクレベルが3の2点間情報に対しては、時間経過の中で、新たに発生した2点間情報に対するリスクレベル1や2、または、変数化の処理を受けて、リスクレベルが0や1に変更される場合がある。
【0102】
以上の様に、判定部4、および対処部5の動作では、受信したすべての通信フローデータを対象とするのではなく、重複する情報を排除し、対象をセキュリティリスクのある2点間情報に絞り込んでから、セキュリティ観点での分析や対処を実施するようにした。これにより、本実施形態によれば、例えば、1秒間に数万、数十万件もの通信フローデータが発生する環境であっても分析処理を行うことが可能になる。
【0103】
[通信フローデータのデータサイズ]
ここで、通信フローデータのデータサイズ例を説明する。
図16は、分割していない通信フローデータの各項目のデータサイズ例を示す図である。図16のように、送信元IPアドレスが4バイト、送信元ポート番号が2バイト、送信元ネットマスクが1バイト、送信元AS番号が4バイト、宛先IPアドレスが4バイト、宛先ポート番号が2バイト、宛先ネットマスクが1バイト、宛先AS番号が4バイトである。さらに、ToSが1バイト、プロトコルが1バイト、TCPプラグが1バイト、キャプチャ箇所が8バイト、パケット数が4バイト、オクテット数が4バイト、通信時間[ms]が2バイト、発生日時が8バイトである。なお、図16では、図面の都合により通信フローデータを上下に分けて示しているが、実際には分割されていない1つのデータである。このように、通信フローデータ1件あたりのデータサイズは、51バイトである。
ここで、通信フローデータのデータサイズ例を説明する。
図16は、分割していない通信フローデータの各項目のデータサイズ例を示す図である。図16のように、送信元IPアドレスが4バイト、送信元ポート番号が2バイト、送信元ネットマスクが1バイト、送信元AS番号が4バイト、宛先IPアドレスが4バイト、宛先ポート番号が2バイト、宛先ネットマスクが1バイト、宛先AS番号が4バイトである。さらに、ToSが1バイト、プロトコルが1バイト、TCPプラグが1バイト、キャプチャ箇所が8バイト、パケット数が4バイト、オクテット数が4バイト、通信時間[ms]が2バイト、発生日時が8バイトである。なお、図16では、図面の都合により通信フローデータを上下に分けて示しているが、実際には分割されていない1つのデータである。このように、通信フローデータ1件あたりのデータサイズは、51バイトである。
【0104】
図17は、通信フローデータを分割したうちの2点間情報の各項目のデータサイズ例を示す図である。図17のように、2点間情報は、IDが4バイト、送信元IPアドレスが4バイト、送信元ポート番号が2バイト、送信元ネットマスクが1バイト、送信元AS番号が4バイト、宛先IPアドレスが4バイト、宛先ポート番号が2バイトである。さらに、宛先ネットマスクが1バイト、宛先AS番号が4バイト、ToSが1バイト、プロトコルが1バイト、TCPプラグが1バイト、リスクレベルが1バイトである。なお、図17では、図面の都合により2点間情報を上下に分けて示しているが、実際には分割されていない1つのデータである。
このように通信フローデータを本実施形態の手法で分割した場合、2点間情報は、図17のように30バイトである。
このように通信フローデータを本実施形態の手法で分割した場合、2点間情報は、図17のように30バイトである。
【0105】
図18は、通信フローデータを分割したうちの付加情報の各項目のデータサイズ例を示す図である。図18のように、付加情報は、IDが4バイト、キャプチャ箇所が8バイトである。
このように通信フローデータを本実施形態の手法で分割した場合、付加情報は、図18のように12バイトである。
このように通信フローデータを本実施形態の手法で分割した場合、付加情報は、図18のように12バイトである。
【0106】
図19は、通信フローデータを分割したうちの統計情報の各項目のデータサイズ例を示す図である。図19のように、統計情報は、発生日時が8バイト、2点間情報IDが4バイト、キャプチャ箇所IDが4バイト、パケット数が4バイト、オクテット数が4バイト、通信時間[ms]が2バイト、変数が2バイトである。
このように通信フローデータを本実施形態の手法で分割した場合、付加情報は、図18のように28バイトである。
このように通信フローデータを本実施形態の手法で分割した場合、付加情報は、図18のように28バイトである。
【0107】
このように、総バイト数は、通信フローデータの分割前の51バイトに対して、分割後は18バイト大きくなる。しかしながら、検証した結果、同様な2点間の通信が何度も繰り返される一般的な企業内ネットワークの場合、本実施形態の手法で記録するデータサイズは、通信フローデータを分割しない場合の約55%となる。
【0108】
例えば、同じ2点間情報の通信が100万件記録される環境で、通信フローをキャプチャする箇所(付加情報の件数)が1000箇所、1秒当たり2万件の通信フローが流れると仮定する。この環境に対し、本実施形態の手法を用いて通信フローデータを記録した場合の1日のデータサイズは、2点間情報が29メガバイトで、付加情報が12キロバイトとなる。そして、統計情報は、約45ギガバイトとなる。通信データフローを分化しない形式で記録する場合のデータサイズは、1日あたり約82ギガバイトである。このため、この例において、本実施形態によれば、約55%のデータサイズに低減できた。
【0109】
このように、本実施形態では、記憶処理部2、および管理部3による通信フローデータを記録、管理の動作によって、受信した通信フローデータの記録に必要なデータサイズを、通信フローデータを分割しない場合の半分に近いサイズに削減することができる。
【0110】
また、本実施形態の判定部、および対処部5によるセキュリティ観点での分析や対処の動作では、分析対象とする通信フローデータを大幅に削減することができる。例えば、業務開始時に端末を起動した際、自動的に勤怠システムに業務開始情報を登録する仕組みを利用している企業があった場合、従業員数が1万人(端末台数が1万台)の環境では、業務開始の時間帯に少なくとも1万件の通信フローが発生する。また、通信フローをキャプチャする箇所が複数あり、重複して通信フローをキャプチャした場合は、さらに数倍の件数になる可能性がある。
【0111】
このような環境であっても、本実施形態の手法を適用した場合は、この通信フローを示す2点間情報をリスクレベル0に設定するため、セキュリティ観点での分析対象から除外することになる。そして、本実施形態によれば、このように大量に通信フローデータが発生している環境においても、日常的に発生する正常な通信フローを、運用の中で選別され、自動的に分析対象から除外することができる。そして、本実施形態によれば、普段には見られない通信フローに対し、集中して分析処理を行うことができるため、処理コストを抑えることが可能となる。また、本実施形態によれば、運用の中で、定期的に流れる通信フローや運用者の判断内容を学習していくため、特別なスキルを要さなくとも運用していくことができる。
【0112】
[変形例]
実施形態において、リスク検査部41は、最初に付与されたリスクレベルの値ごとにリスクレベルの判定処理を実施し、対処の実施判定を行う役割を担っている。変形例では、この役割を拡張して、第1記憶部6に記録されている全2点間情報から、サービス提供するサーバー機器を検出し、サーバー機器が提供するサービス内容(ポート番号)やサービス数からセキュリティ観点でのリスクがないかを判定するようにしてもよい。
実施形態において、リスク検査部41は、最初に付与されたリスクレベルの値ごとにリスクレベルの判定処理を実施し、対処の実施判定を行う役割を担っている。変形例では、この役割を拡張して、第1記憶部6に記録されている全2点間情報から、サービス提供するサーバー機器を検出し、サーバー機器が提供するサービス内容(ポート番号)やサービス数からセキュリティ観点でのリスクがないかを判定するようにしてもよい。
【0113】
変形例では、例えば、2点間情報のリストを宛先IPアドレスで並べ替え、宛先ポート番号が変数ではなく、固定ポートになっている情報を抜き出すことで、宛先のIPアドレスの機器がサーバー機器だと判断することができる。
また、変形例では、抜き出した宛先IPアドレスが、どの固定ポート番号で通信を受信しているかを調べることで、サービスの内容や数を知ることができる。変形例では、この情報を、リスク対処装置を介して運用者に通知することで、運用者が意図しないサービスの通信を受けているかどうかを判断することができる。また、変形例では、各サーバー機器の役割(許可する通信のポート番号)を第3記憶部42に登録させておくことで、運用者の判断なしに、自動的にセキュリティリスクを判定し、対処に移すことができる。
また、変形例では、抜き出した宛先IPアドレスが、どの固定ポート番号で通信を受信しているかを調べることで、サービスの内容や数を知ることができる。変形例では、この情報を、リスク対処装置を介して運用者に通知することで、運用者が意図しないサービスの通信を受けているかどうかを判断することができる。また、変形例では、各サーバー機器の役割(許可する通信のポート番号)を第3記憶部42に登録させておくことで、運用者の判断なしに、自動的にセキュリティリスクを判定し、対処に移すことができる。
【0114】
また、変形例では、管理部3において、第1記憶部6の2点間情報と第2記憶部33の統計情報の発生日時データとを組み合わせることで、2点間情報(特定の2点間通信)の時間経過に対する発生状況を調べることができる。そして、2点間情報の発生状況に周期性がある場合、変形例では、例えばホルト・ウィンタース(Holt-Winters)法などを利用することで、当該2点間情報の未来の発生状況を予測することができる。また、変形例では、予測値に対し、実際の状況がどうだったのかを比較することで、普段とは異なる通信状況の変化を一早く検出することができる。このように、変形例は、セキュリティ観点での分析だけではなく、障害検知などへの応用運用もできる。
【0115】
上述の情報処理装置1(または1A)は内部に、コンピューターシステムを有していてもよい。そして、情報処理装置1(または1A)に上述した各処理を行わせるためのプログラムは、当該情報処理装置1(または1A)のコンピューター読み取り可能な記録媒体に記憶されており、このプログラムを情報処理装置1(または1A)のコンピューターが読み出して実行することによって、上記処理が行われるようにしてもよい。ここでコンピューター読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD-ROM、DVD-ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピューターに配信し、この配信を受けたコンピューターが当該プログラムを実行するようにしてもよい。
また、上記プログラムは、前述した各処理部の機能の一部を実現するためのものであってもよい。さらに、前述した機能をコンピューターシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
また、上記プログラムは、前述した各処理部の機能の一部を実現するためのものであってもよい。さらに、前述した機能をコンピューターシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
【0116】
情報処理装置1(または1A)のコンピューターシステムは、例えば、CPU(中央演算装置)と、主記憶装置と、補助記憶装置と、インターフェイスと、不揮発性記録媒体とを備えるようにしてもよい。CPUは、プログラムに従って、情報処理装置1(または1A)が行う処理を行うようにしてもよい。
【0117】
以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
【符号の説明】
【0118】
1,1A…情報処理装置、
2…記憶処理部、
3…管理部、
4…判定部、
5…対処部、
6…第1記憶部、
21…通信フローデータ受信部、
22…2点間情報抽出部、
31…データ検索部、
32…2点間情報検査部、
33…第2記憶部、
41…リスク検査部、
42…第3記憶部、
51…アクション実行部、
2…記憶処理部、
3…管理部、
4…判定部、
5…対処部、
6…第1記憶部、
21…通信フローデータ受信部、
22…2点間情報抽出部、
31…データ検索部、
32…2点間情報検査部、
33…第2記憶部、
41…リスク検査部、
42…第3記憶部、
51…アクション実行部、
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】