特開 2024-34362 不審検知装置、不審検知方法および不審検知プログラム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】公開特許公報(A)

(11)【公開番号】P2024034362

(43)【公開日】2024-03-13

(54)【発明の名称】不審検知装置、不審検知方法および不審検知プログラム

(51)【国際特許分類】

   G06F 21/55 20130101AFI20240306BHJP

   H04L 41/16 20220101ALI20240306BHJP

   H04L 43/02 20220101ALI20240306BHJP

   H04L 67/2871 20220101ALI20240306BHJP

   G06N 20/10 20190101ALI20240306BHJP

【ＦＩ】

G06F21/55

H04L41/16

H04L43/02

H04L67/2871

G06N20/10

【審査請求】未請求

【請求項の数】10

【出願形態】ＯＬ

(21)【出願番号】P 2022138554

(22)【出願日】2022-08-31

(71)【出願人】

【識別番号】000004237

【氏名又は名称】日本電気株式会社

(74)【代理人】

【識別番号】100080816

【弁理士】

【氏名又は名称】加藤 朝道

(74)【代理人】

【識別番号】100098648

【弁理士】

【氏名又は名称】内田 潔人

(72)【発明者】

【氏名】蛭田 将平

(57)【要約】

【課題】暗号通信を復号することなく不審であるかどうかを判定すること。
【解決手段】不審検知装置は、暗号通信から抽出された情報を組織外部から組織内部への通信と組織内部から組織外部への通信とで区別して管理するデータベースと、暗号通信の特徴量を入力とし、当該暗号通信が不審であるか否かを判定する機械学習モデルと、受信した暗号通信の情報を用いて前記データベースを参照し、前記受信した暗号通信に関して得られた特徴量を前記機械学習モデルへ入力し、前記受信した暗号通信が不審であるか否かを判定し、判定結果を前記データベースに記録する判定部と、前記組織内部から組織外部への暗号通信の判定結果に基づいて、前記データベースに記録されている前記組織外部から組織内部への暗号通信の判定結果を再判定する、再判定部と、を備える。
【選択図】図１

【特許請求の範囲】

【請求項1】

暗号通信から抽出された情報を組織外部から組織内部への通信と組織内部から組織外部への通信とで区別して管理するデータベースと、
暗号通信の特徴量を入力とし、当該暗号通信が不審であるか否かを判定する機械学習モデルと、
受信した暗号通信の情報を用いて前記データベースを参照し、前記受信した暗号通信に関して得られた特徴量を前記機械学習モデルへ入力し、前記受信した暗号通信が不審であるか否かを判定し、判定結果を前記データベースに記録する判定部と、
前記組織内部から組織外部への暗号通信の判定結果に基づいて、前記データベースに記録されている前記組織外部から組織内部への暗号通信の判定結果を再判定する、再判定部と、
を備える不審検知装置。

【請求項2】

前記再判定部は、不審であると判定された前記組織外部から組織内部への暗号通信の宛先アドレスと、不審であると判定された前記組織内部から組織外部への暗号通信の送信元アドレスを比較し、一致した場合に前記組織外部から組織内部への暗号通信を不審であると判定し、一致しない場合に前記組織外部から組織内部への暗号通信を不審でないと判定する、請求項１に記載の不審検知装置。

【請求項3】

前記データベースは、暗号通信のセッション情報を管理する暗号通信情報管理テーブルと、暗号通信から生成された特徴量を管理する暗号通信特徴量管理テーブルと、不審と判定された暗号通信のフラグを管理する暗号通信フラグ管理テーブルとを有する、請求項１に記載の不審検知装置。

【請求項4】

前記判定部は、不審であると判定された前記組織外部から組織内部への暗号通信に関して前記暗号通信フラグ管理テーブルにおけるフラグを変更する、請求項３に記載の不審検知装置。

【請求項5】

前記暗号通信特徴量管理テーブルが管理する特徴量は、送信元IPアドレス・宛先IPアドレス・宛先ポート番号の組み合わせごとに送信バイト数・受信バイト数・送信パケット数・受信パケット数・通信時間からそれぞれ最大値・最小値・平均値・中央値・累計を求めたものである、請求項３に記載の不審検知装置。

【請求項6】

前記暗号通信特徴量管理テーブルは、前記組織外部から組織内部への暗号通信と前記組織内部から組織外部への暗号通信とを分けて管理されている、請求項３に記載の不審検知装置。

【請求項7】

暗号通信から抽出された情報を組織外部から組織内部への通信と組織内部から組織外部への通信とで区別して管理するデータベースと、暗号通信の特徴量を入力とし、当該暗号通信が不審であるか否かを判定する機械学習モデルとを備える情報処理装置が、
受信した暗号通信の情報を用いて前記データベースを参照し、
前記受信した暗号通信に関して得られた特徴量を前記機械学習モデルへ入力し、
前記受信した暗号通信が不審であるか否かを判定し、判定結果を前記データベースに記録し、
前記組織内部から組織外部への暗号通信の判定結果に基づいて、前記データベースに記録されている前記組織外部から組織内部への暗号通信の判定結果を再判定する、不審検知方法。

【請求項8】

前記情報処理装置は、不審であると判定された前記組織外部から組織内部への暗号通信の宛先アドレスと、不審であると判定された前記組織内部から組織外部への暗号通信の送信元アドレスを比較し、一致した場合に前記組織外部から組織内部への暗号通信を不審であると判定し、一致しない場合に前記組織外部から組織内部への暗号通信を不審でないと判定する、請求項７に記載の不審検知方法。

【請求項9】

暗号通信から抽出された情報を組織外部から組織内部への通信と組織内部から組織外部への通信とで区別して管理するデータベースと、暗号通信の特徴量を入力とし、当該暗号通信が不審であるか否かを判定する機械学習モデルとを備える情報処理装置が実行するプログラムであって、
受信した暗号通信の情報を用いて前記データベースを参照するステップと、
前記受信した暗号通信に関して得られた特徴量を前記機械学習モデルへ入力するステップと、
前記受信した暗号通信が不審であるか否かを判定し、判定結果を前記データベースに記録するステップと、
前記組織内部から組織外部への暗号通信の判定結果に基づいて、前記データベースに記録されている前記組織外部から組織内部への暗号通信の判定結果を再判定するステップと、を有するプログラム。

【請求項10】

前記再判定は、不審であると判定された前記組織外部から組織内部への暗号通信の宛先アドレスと、不審であると判定された前記組織内部から組織外部への暗号通信の送信元アドレスを比較し、一致した場合に前記組織外部から組織内部への暗号通信を不審であると判定し、一致しない場合に前記組織外部から組織内部への暗号通信を不審でないと判定する処理である、請求項９に記載のプログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、不審検知装置、不審検知方法および不審検知プログラムに関するものである。

【背景技術】

【0002】

現在の通信において暗号通信が増加傾向にある。しかしながら、暗号通信では侵入検知システム(IDS)のシグネチャが反応できないため、警報を発することができない。そこで、暗号通信を利用した攻撃かどうかを判定する手法が求められている。

【0003】

既存の暗号通信解析手法は大きく分けて２種類の方法が知られている。一つ目の方法は、出口で復号し解析してから再度暗号化する方法である。ただし、復号してから解析する手法では暗号通信を復号している間の通信はセキュアではない。そのため攻撃者にとっての攻撃面が増加している。もう一つの方法は、暗号化されていない情報(e.g. ヘッダ、TLSハンドシェイク)を用いて解析する方法である。例えば、特許文献１には、暗号通信のヘッダから送信元IPアドレスを抽出し、送信元IPアドレスの信頼度を算出することで、上記暗号通信が攻撃であるか攻撃でないかを判定する手法が記載されている。ただし、暗号化されていない情報を用いて解析する手法は攻撃者が容易に回避可能であるという弱点もある。攻撃者は異なるIPアドレスを使用することが可能であり、また、正常なTLSハンドシェイクを模擬することも可能である。

【先行技術文献】

【特許文献】

【0004】

【特許文献1】特開２００７－３２５２９３号公報

【発明の概要】

【発明が解決しようとする課題】

【0005】

なお、上記先行技術文献の各開示を、本書に引用をもって組み込むものとする。以下の分析は、本発明者らによってなされたものである。

【0006】

ところで、暗号通信を復号することなく不審であるかどうかを判定する場合、判定精度についても課題がある。まず、暗号通信を復号することなく判定するので、ペイロードの情報を判定に用いることができない。よって、暗号通信を復号することなく判定する場合、統計的情報を頼りに不審な通信であるか否かを判定することになる。

【0007】

また、インバウンドの暗号通信では判定精度が低いという問題もある。判定の予備実験によると、アウトバウンドの暗号通信では攻撃目的の不審な通信では特徴的傾向があるものの、インバウンドの暗号通信では攻撃目的の不審な通信に特徴的傾向が見られない。これによって、インバウンドの暗号通信では判定精度が低くなることがある。

【0008】

本発明の目的は、上述した課題を鑑み、暗号通信を復号することなく不審であるかどうかを判定することに寄与する不審検知装置、不審検知方法および不審検知プログラムを提供することである。

【課題を解決するための手段】

【0009】

本発明の第１の視点では、暗号通信から抽出された情報を組織外部から組織内部への通信と組織内部から組織外部への通信とで区別して管理するデータベースと、暗号通信の特徴量を入力とし、当該暗号通信が不審であるか否かを判定する機械学習モデルと、受信した暗号通信の情報を用いて前記データベースを参照し、前記受信した暗号通信に関して得られた特徴量を前記機械学習モデルへ入力し、前記受信した暗号通信が不審であるか否かを判定し、判定結果を前記データベースに記録する判定部と、前記組織内部から組織外部への暗号通信の判定結果に基づいて、前記データベースに記録されている前記組織外部から組織内部への暗号通信の判定結果を再判定する、再判定部と、を備える不審検知装置が提供される。

【0010】

本発明の第２の視点では、暗号通信から抽出された情報を組織外部から組織内部への通信と組織内部から組織外部への通信とで区別して管理するデータベースと、暗号通信の特徴量を入力とし、当該暗号通信が不審であるか否かを判定する機械学習モデルとを備える情報処理装置が、受信した暗号通信の情報を用いて前記データベースを参照し、前記受信した暗号通信に関して得られた特徴量を前記機械学習モデルへ入力し、前記受信した暗号通信が不審であるか否かを判定し、判定結果を前記データベースに記録し、前記組織内部から組織外部への暗号通信の判定結果に基づいて、前記データベースに記録されている前記組織外部から組織内部への暗号通信の判定結果を再判定する、不審検知方法が提供される。

【0011】

本発明の第３の視点では、暗号通信から抽出された情報を組織外部から組織内部への通信と組織内部から組織外部への通信とで区別して管理するデータベースと、暗号通信の特徴量を入力とし、当該暗号通信が不審であるか否かを判定する機械学習モデルとを備える情報処理装置が実行するプログラムであって、受信した暗号通信の情報を用いて前記データベースを参照するステップと、前記受信した暗号通信に関して得られた特徴量を前記機械学習モデルへ入力するステップと、前記受信した暗号通信が不審であるか否かを判定し、判定結果を前記データベースに記録するステップと、前記組織内部から組織外部への暗号通信の判定結果に基づいて、前記データベースに記録されている前記組織外部から組織内部への暗号通信の判定結果を再判定するステップと、を有するプログラムが提供される。
なお、このプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。記憶媒体は、半導体メモリ、ハードディスク、磁気記録媒体、光記録媒体等の非トランジェント（non-transient）なものとすることができる。本発明は、コンピュータプログラム製品として具現することも可能である。

【発明の効果】

【0012】

本発明の各視点によれば、暗号通信を復号することなく不審であるかどうかを判定することに寄与する不審検知装置、不審検知方法および不審検知プログラムを提供することができる。

【図面の簡単な説明】

【0013】

【図1】図１は、本発明の実施形態の基本構成を示す概略図である。

【図2】図２は、本発明の実施形態に係る不審検知装置を利用する環境例を示す概略図である。

【図3】図３は、暗号通信情報管理テーブルの例を示す図である。

【図4】図４は、暗号通信特徴量管理テーブルの例を示す図である。

【図5】図５は、暗号通信フラグ管理テーブルの例を示す図である。

【図6】図６は、不審フラグの例を示す図である。

【図7】図７は、不審フラグの変更例を示す図である。

【図8】図８は、本発明の実施形態に係る不審検知方法の手順を示すフローチャートである。

【図9】図９は、不審検知装置のハードウェア構成例を示す図である。

【発明を実施するための形態】

【0014】

以下、図面を参照しながら、本発明の実施形態について説明する。ただし、以下に説明する実施形態により本発明が限定されるものではない。また、各図面において、同一または対応する要素には適宜同一の符号を付している。さらに、図面は模式的なものであり、各要素の寸法の関係、各要素の比率などは、現実のものとは異なる場合があることに留意する必要がある。図面の相互間においても、互いの寸法の関係や比率が異なる部分が含まれている場合がある。

【0015】

［不審検知装置］
図１は、本発明の実施形態の基本構成を示す概略図である。図１に示すように、本発明の実施形態に係る不審検知装置１０は、判定部１１と再判定部１２と機械学習モデル１３と暗号通信データベース１４とを備えている。

【0016】

暗号通信データベース１４は、暗号通信から抽出された情報を管理するデータベースである。機械学習モデル１３は、暗号通信の特徴量を入力とし、当該暗号通信が不審であるか否かを判定する判定アルゴリズムである。

【0017】

判定部１１は、受信した暗号通信の情報を用いて前記データベースを参照し、前記受信した暗号通信に関して得られた特徴量を前記機械学習モデルへ入力し、前記受信した暗号通信が不審であるか否かを判定する。一方、再判定部１２は、組織内部から組織外部への暗号通信の判定結果に基づいて、組織外部から組織内部への暗号通信を再判定する。

【0018】

以下、判定部１１、再判定部１２、機械学習モデル１３および暗号通信データベース１４の構成および機能を具体例に基づいて説明する。

【0019】

図２は、本発明の実施形態に係る不審検知装置を利用する環境例を示す概略図である。図２に示すように、本発明の実施形態に係る不審検知装置１０は、組織内ネットワークに接続された情報処理装置１０ａから１０ｃがインターネットを介して組織外ネットワークに接続された情報処理装置１０Ａから１０Ｄと通信する際に組織内ネットワークの入口で通信を中継する役割を担っている。組織内ネットワークは組織内部に属し、組織外ネットワークは組織外部に属している。不審検知装置１０は、組織内ネットワークと組織外ネットワークの間における通信を受信する。ここで、組織内ネットワークに接続された情報処理装置１０ａから１０ｃには、それぞれＩＰアドレスＸからＩＰアドレスＺが割り当てられており、組織外ネットワークに接続された情報処理装置１０Ａから１０Ｄには、それぞれＩＰアドレスＡからＩＰアドレスＤが割り当てられている。不審検知装置１０は、これらのＩＰアドレスを用いて、通信がインバウンドであるかアウトバウンドであるかを判定することができる。なお、通信がインバウンドであるとは、組織外ネットワークから組織内ネットワークへの通信であり、通信がアウトバウンドであるとは、組織内ネットワークから組織外ネットワークへの通信であることをいう。

【0020】

暗号通信データベース１４は、暗号通信のセッション情報を管理する暗号通信情報管理テーブルと、暗号通信から生成された特徴量を管理する暗号通信特徴量管理テーブルと、不審と判定された暗号通信のフラグを管理する暗号通信フラグ管理テーブルとを有する。図３は、暗号通信情報管理テーブルの例を示す図である。

【0021】

図３に示すように、暗号通信情報管理テーブルは、各レコードが暗号通信の開始から終了までの統計情報であるセッション情報を示している。判定対象識別IDは、送信元IPアドレス・宛先IPアドレス・宛先ポート番号の組み合わせごとに同じIDを割り当てており、各レコードには、時刻、送信元ＩＰアドレス、宛先ＩＰアドレス、送信元ポート番号、宛先ポート番号、送信バイト数、受信バイト数、送信パケット数、受信パケット数、通信時間、向き、判定対象識別ＩＤが記録されている。

【0022】

暗号通信のセッションの向きに応じて異なる判定対象識別IDを割り当てる。例えば、送信元IPアドレスがIPアドレスAで、宛先IPアドレスがIPアドレスXで、宛先ポート番号が443であれば、組織外部から組織内部への暗号通信であることが解るので、インバウンドの判定対象識別IDであるF_in1を割り当てる。

【0023】

図４は、暗号通信特徴量管理テーブルの例を示す図である。暗号通信特徴量管理テーブルは、暗号通信から生成された特徴量を管理しており、各レコードは、判定対象識別IDごとの特徴量が記録されている。図４に示すように、例えば、暗号通信特徴量管理テーブルが管理する特徴量は、送信元IPアドレス・宛先IPアドレス・宛先ポート番号の組み合わせごとに送信バイト数・受信バイト数・送信パケット数・受信パケット数・通信時間からそれぞれ最大値・最小値・平均値・中央値・累計を求めたものである。また、図４に示す暗号通信特徴量管理テーブルは、通信の向きがインバウンドであるものとアウトバウンドであるもので２つに分けて管理している。

【0024】

図５は、暗号通信フラグ管理テーブルの例を示す図である。暗号通信フラグ管理テーブルは、不審と判定された暗号通信のフラグを管理している。暗号通信フラグ管理テーブルにおける不審フラグは、判定の結果が不審である場合に１とし、判定の結果が不審でない場合に０とする。また、図５に示す暗号通信フラグ管理テーブルは、通信の向きがインバウンドであるものとアウトバウンドであるもので２つに分けて管理している。

【0025】

このように、暗号通信データベース１４は、暗号通信のセッション情報を管理する暗号通信情報管理テーブルと、暗号通信から生成された特徴量を管理する暗号通信特徴量管理テーブルと、不審と判定された暗号通信のフラグを管理する暗号通信フラグ管理テーブルとを有し、判定部１１は、受信した暗号通信の情報を用いて前記データベースを参照し、受信した暗号通信の特徴量を取得することができる。また、暗号通信が不審であるか否かを判定部１１が判定した結果を暗号通信フラグ管理テーブルに記録することができる。さらに、暗号通信データベース１４は、再判定部１２が判定した結果を再判定するための情報を与える。

【0026】

機械学習モデル１３は、暗号通信の特徴量を入力とし、当該暗号通信が不審であるか否かを判定する。例えば、機械学習モデル１３は、このような判定を行う判定アルゴリズムである。あるいは、機械学習モデル１３は、このような判定に用いられる判定式である。機械学習モデル１３へ入力する特徴量は、暗号通信データベース１４の暗号通信特徴量管理テーブルに記録されている特徴量である。判定部１１は、受信した暗号通信の情報を用いて暗号通信データベース１４の暗号通信特徴量管理テーブルを参照し、受信した暗号通信の特徴量を取得する。そして、判定部１１は、取得した特徴量を機械学習モデル１３に入力する。

【0027】

機械学習モデル１３は、暗号通信の特徴量を入力として与えることで、不審がどうかを判定することができる機械学習モデルであれば、特に限定されない。例えば、正常な暗号通信の特徴量を学習し、外れ値である暗号通信を不審と判定するモデルや、不審な暗号通信の特徴量を学習し、類似である暗号通信を不審と判定するモデルや、正常な暗号通信と不審な暗号通信を学習し、2値分類を行うモデルなどを採用することができる。

【0028】

判定部１１は、受信した暗号通信の情報を用いて暗号通信データベース１４を参照し、得られた特徴量を機械学習モデル１３へ入力し、受信した暗号通信が不審であるか否かを判定する。最初に判定部１１は、受信した暗号通信の情報を用いて暗号通信データベース１４の暗号通信情報管理テーブルを参照し、受信した暗号通信の判定対象識別IDを取得する。その後、判定部１１は、取得した判定対象識別IDを用いて暗号通信データベース１４の暗号通信特徴量管理テーブルを参照し、受信した暗号通信の特徴量を取得する。そして、判定部１１は、取得した暗号通信の特徴量を機械学習モデル１３へ入力し、受信した暗号通信が不審であるか否かを判定する。

【0029】

機械学習モデル１３を用いた判定結果が得られた後に、判定部１１は、インバウンドおよびアウトバウンドの暗号通信フラグ管理テーブルを参照し、不審と判定された判定対象識別IDの不審フラグを1に変更する。例えば、判定対象識別IDがF_in1, F_in2, F_out1の暗号通信が不審と判定された場合、図６に示すように、F_in1, F_in2, F_out1の暗号通信の不審フラグを１に変更する。

【0030】

再判定部１２は、組織内部から組織外部への暗号通信の判定結果に基づいて、組織外部から組織内部への暗号通信を再判定する。再判定部１２は、暗号通信データベース１４のインバウンド暗号通信フラグ管理テーブルを参照し、不審フラグが１である判定対象識別ID(F_in)を取得する。そして、再判定部１２は、暗号通信情報管理テーブルを参照し、上記判定対象識別ID(F_in)と合致する宛先IPアドレスを取得する。さらに、再判定部１２は、暗号通信情報管理テーブルを参照し、以下の条件に合致する判定対象識別ID(F_out)を取得する。
・向きのフィールドが outbound
・F_outの送信元IPアドレス = F_inの宛先IPアドレス

【0031】

次に、再判定部１２は、アウトバウンド暗号通信フラグ管理テーブルを参照し、上記判定対象識別ID(F_out)の不審フラグを取得する。そして、不審フラグに応じて、上記判定対象識別ID(F_out)の不審フラグの値を更新する。不審フラグが1であるF_outが存在する場合、F_inの不審フラグを１に変更する。一方、不審フラグが1であるF_outが存在しない場合、F_inの不審フラグを０に変更する。例えば、図６に示したようにF_in1, F_in2, F_out1の暗号通信の不審フラグが１であれば、条件に合致するのはF_in1, F_out1であるので、図７に示すように、F_in1の不審フラグを１のまま変更せずに、F_in2の不審フラグを０に変更する。つまり、再判定の結果、F_in2に対する不審の判定が見直されて不審フラグが０に変更された。

【0032】

［不審検知方法］
次に、本発明の実施形態に係る不審検知方法の説明を行う。本発明の実施形態に係る不審検知方法は、暗号通信から抽出された情報を管理するデータベースと、暗号通信の特徴量を入力とし、当該暗号通信が不審であるか否かを判定する機械学習モデルとを備える情報処理装置が、受信した暗号通信の情報を用いて前記データベースを参照し、前記受信した暗号通信に関して得られた特徴量を前記機械学習モデルへ入力し、前記受信した暗号通信が不審であるか否かを判定し、組織内部から組織外部への暗号通信の判定結果に基づいて、組織外部から組織内部への暗号通信を再判定するものである。不審検知方法の実施は、装置構成に限定されるものではないが、説明を容易にするために図１に示した不審検知装置１０の構成を用いて不審検知方法の説明を行う。

【0033】

図８は、本発明の実施形態に係る不審検知方法の手順を示すフローチャートである。図８に示すように、不審検知方法の手順は、判定対象識別ID取得（ステップＳ１）と特徴量取得（ステップＳ２）と判定（ステップＳ３）と不審判定の判断（ステップＳ４）と不審フラグの変更（ステップＳ５）と不審フラグが１である判定対象識別ID(F_in)取得（ステップＳ６）と宛先ＩＰアドレス取得（ステップＳ７）と判定対象識別ID(F_out)取得（ステップＳ８）と判定対象識別ID(F_out)の存在判断（ステップＳ９）と判定対象識別ID(F_out)の不審フラグの判定（ステップＳ１０）と不審フラグの変更（ステップＳ１１）とを有している。

【0034】

判定部１１は、受信した暗号通信の情報を用いて暗号通信データベース１４を参照し、受信した暗号通信に関して得られた特徴量を機械学習モデル１３へ入力し、受信した暗号通信が不審であるか否かを判定する。具体的には、判定部１１は、受信した暗号通信の情報を用いて暗号通信データベース１４の暗号通信情報管理テーブルを参照し、判定対象識別IDを取得する（ステップＳ１）。そして、判定対象識別IDを用いて暗号通信データベース１４の暗号通信特徴量管理テーブルを参照し、受信した暗号通信に関する特徴量を取得する（ステップＳ２）。その後、判定部１１は、受信した暗号通信に関して得られた特徴量を機械学習モデル１３へ入力し、受信した暗号通信が不審であるか否かを判定する（ステップＳ３）。判定結果が不審である場合（ステップＳ４；Ｙｅｓ）、判定部１１は、暗号通信データベース１４の暗号通信フラグ管理テーブルにおける判定対象識別IDの不審フラグを１に変更する（ステップＳ５）。判定結果が不審でない場合（ステップＳ４；Ｎｏ）、再判定の処理へ進む。

【0035】

再判定部１２は組織内部から組織外部への暗号通信の判定結果に基づいて、組織外部から組織内部への暗号通信を再判定する。具体的には、再判定部１２は、暗号通信データベース１４の暗号通信フラグ管理テーブルにおいて不審フラグが１である判定対象識別ID(F_in)を取得する（ステップＳ６）。そして、再判定部１２は、暗号通信データベース１４の暗号通信情報管理テーブルを参照し、不審フラグが１である判定対象識別IDに対応する宛先ＩＰアドレスを取得する（ステップＳ７）。さらに、再判定部１２は、暗号通信データベース１４の暗号通信情報管理テーブルを参照し、向きのフィールドが outboundであり、F_outの送信元IPアドレス = F_inの宛先IPアドレスである判定対象識別ID(F_out)を取得する（ステップＳ８）。

【0036】

そして、判定対象識別ID(F_out)が存在する場合（ステップＳ９；Ｙｅｓ）、再判定部１２は、暗号通信データベース１４の暗号通信フラグ管理テーブルを参照し、判定対象識別ID(F_out)の不審フラグが１であるか否かを調べる。そして、判定対象識別ID(F_out)の不審フラグが１である場合（ステップＳ１０；Ｙｅｓ）、再判定の処理を終了する。一方、判定対象識別ID(F_out)が存在しない場合（ステップＳ９；Ｎｏ）、または判定対象識別ID(F_out)の不審フラグが１ではない場合（ステップＳ１０；Ｎｏ）、判定対象識別ID(F_in)に対する不審フラグを０に変更する（ステップＳ１１）。

【0037】

［ハードウェア構成例］
図９は、不審検知装置のハードウェア構成例を示す図である。図９に示すハードウェア構成を採用した情報処理装置（コンピュータ）は、上記説明した不審検知装置１０の各機能を実現することを可能にする。ただし、図９に示すハードウェア構成例は、不審検知装置１０の各機能を実現するハードウェア構成の一例であり、不審検知装置１０のハードウェア構成を限定する趣旨ではない。不審検知装置１０は、図９に示さないハードウェアを含むことができる。

【0038】

図９に示すように、不審検知装置１０が採用し得るハードウェア構成４０は、例えば内部バスにより相互に接続される、ＣＰＵ（Central Processing Unit）４１、主記憶装置４２、補助記憶装置４３、およびＩＦ（Interface）部４４を備える。

【0039】

ＣＰＵ４１は、不審検知装置１０が実行するプログラムに含まれる各指令を実行する。主記憶装置４２は、例えばＲＡＭ（Random Access Memory）であり、不審検知装置１０が実行する各種プログラムなどをＣＰＵ４１が処理するために一時記憶する。

【0040】

補助記憶装置４３は、例えば、ＨＤＤ（Hard Disk Drive）であり、不審検知装置１０が実行する各種プログラムなどを中長期的に記憶しておくことが可能である。各種プログラムは、非一時的なコンピュータ可読記録媒体（non-transitory computer-readable storage medium）に記録されたプログラム製品として提供することができる。補助記憶装置４３は、非一時的なコンピュータ可読記録媒体に記録された各種プログラムを中長期的に記憶することに利用することが可能である。ＩＦ部４４は、不審検知装置１０の通信に関するインターフェイスを提供する。

【0041】

上記のようなハードウェア構成４０を採用した情報処理装置は、不審検知装置１０の各機能を実現することができる。

【0042】

上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
［付記１］
暗号通信から抽出された情報を組織外部から組織内部への通信と組織内部から組織外部への通信とで区別して管理するデータベースと、
暗号通信の特徴量を入力とし、当該暗号通信が不審であるか否かを判定する機械学習モデルと、
受信した暗号通信の情報を用いて前記データベースを参照し、前記受信した暗号通信に関して得られた特徴量を前記機械学習モデルへ入力し、前記受信した暗号通信が不審であるか否かを判定し、判定結果を前記データベースに記録する判定部と、
前記組織内部から組織外部への暗号通信の判定結果に基づいて、前記データベースに記録されている前記組織外部から組織内部への暗号通信の判定結果を再判定する、再判定部と、
を備える不審検知装置。
［付記２］
前記再判定部は、不審であると判定された前記組織外部から組織内部への暗号通信の宛先アドレスと、不審であると判定された前記組織内部から組織外部への暗号通信の送信元アドレスを比較し、一致した場合に前記組織外部から組織内部への暗号通信を不審であると判定し、一致しない場合に前記組織外部から組織内部への暗号通信を不審でないと判定する、付記１に記載の不審検知装置。
［付記３］
前記データベースは、暗号通信のセッション情報を管理する暗号通信情報管理テーブルと、暗号通信から生成された特徴量を管理する暗号通信特徴量管理テーブルと、不審と判定された暗号通信のフラグを管理する暗号通信フラグ管理テーブルとを有する、付記１に記載の不審検知装置。
［付記４］
前記判定部は、不審であると判定された前記組織外部から組織内部への暗号通信に関して前記暗号通信フラグ管理テーブルにおけるフラグを変更する、付記３に記載の不審検知装置。
［付記５］
前記暗号通信特徴量管理テーブルが管理する特徴量は、送信元IPアドレス・宛先IPアドレス・宛先ポート番号の組み合わせごとに送信バイト数・受信バイト数・送信パケット数・受信パケット数・通信時間からそれぞれ最大値・最小値・平均値・中央値・累計を求めたものである、付記３に記載の不審検知装置。
［付記６］
前記暗号通信特徴量管理テーブルは、前記組織外部から組織内部への暗号通信と前記組織内部から組織外部への暗号通信とを分けて管理されている、付記３に記載の不審検知装置。
［付記７］
暗号通信から抽出された情報を組織外部から組織内部への通信と組織内部から組織外部への通信とで区別して管理するデータベースと、暗号通信の特徴量を入力とし、当該暗号通信が不審であるか否かを判定する機械学習モデルとを備える情報処理装置が、
受信した暗号通信の情報を用いて前記データベースを参照し、
前記受信した暗号通信に関して得られた特徴量を前記機械学習モデルへ入力し、
前記受信した暗号通信が不審であるか否かを判定し、判定結果を前記データベースに記録し、
前記組織内部から組織外部への暗号通信の判定結果に基づいて、前記データベースに記録されている前記組織外部から組織内部への暗号通信の判定結果を再判定する、不審検知方法。
［付記８］
前記情報処理装置は、不審であると判定された前記組織外部から組織内部への暗号通信の宛先アドレスと、不審であると判定された前記組織内部から組織外部への暗号通信の送信元アドレスを比較し、一致した場合に前記組織外部から組織内部への暗号通信を不審であると判定し、一致しない場合に前記組織外部から組織内部への暗号通信を不審でないと判定する、付記７に記載の不審検知方法。
［付記９］
暗号通信から抽出された情報を組織外部から組織内部への通信と組織内部から組織外部への通信とで区別して管理するデータベースと、暗号通信の特徴量を入力とし、当該暗号通信が不審であるか否かを判定する機械学習モデルとを備える情報処理装置が実行するプログラムであって、
受信した暗号通信の情報を用いて前記データベースを参照するステップと、
前記受信した暗号通信に関して得られた特徴量を前記機械学習モデルへ入力するステップと、
前記受信した暗号通信が不審であるか否かを判定し、判定結果を前記データベースに記録するステップと、
前記組織内部から組織外部への暗号通信の判定結果に基づいて、前記データベースに記録されている前記組織外部から組織内部への暗号通信の判定結果を再判定するステップと、を有するプログラム。
［付記１０］
前記再判定は、不審であると判定された前記組織外部から組織内部への暗号通信の宛先アドレスと、不審であると判定された前記組織内部から組織外部への暗号通信の送信元アドレスを比較し、一致した場合に前記組織外部から組織内部への暗号通信を不審であると判定し、一致しない場合に前記組織外部から組織内部への暗号通信を不審でないと判定する処理である、付記９に記載のプログラム。

【0043】

本発明で、アルゴリズム、ソフトウエア、ないしフローチャート或いは自動化されたプロセスステップが示された場合、コンピュータが用いられることは自明であり、またコンピュータにはプロセッサ及びメモリないし記憶装置が付設されることも自明である。よってその明示を欠く場合にも、本願には、これらの要素が当然記載されているものと解される。

【0044】

また、引用した上記の特許文献等の各開示は、本書に引用をもって繰り込むものとする。本発明の全開示（請求の範囲を含む）の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の全開示の枠内において種々の開示要素（各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む）の多様な組み合わせ、ないし、選択（部分的削除を含む）が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。さらに、上記引用した文献の各開示事項は、必要に応じ、本発明の趣旨に則り、本発明の開示の一部として、その一部又は全部を、本書の記載事項と組み合わせて用いることも、本願の開示事項に含まれるものと、みなされる。

【符号の説明】

【0045】

１０ 不審検知装置
１１ 判定部
１２ 再判定部
１３ 機械学習モデル
１４ 暗号通信データベース
１０ａ～１０ｃ，１０Ａ～１０Ｄ 情報処理装置
４０ ハードウェア構成
４１ ＣＰＵ
４２ 主記憶装置
４３ 補助記憶装置
４４ ＩＦ部

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】

【図7】

【図8】

【図9】