知財求人 - 知財ポータルサイト「IP Force」
特許7444260通信処理装置、通信処理システム、通信処理方法、及びプログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-02-27
(45)【発行日】2024-03-06
(54)【発明の名称】通信処理装置、通信処理システム、通信処理方法、及びプログラム
(51)【国際特許分類】
H04L 43/024 20220101AFI20240228BHJP
【FI】
H04L43/024
【請求項の数】
15
(21)【出願番号】P 2022539919
(86)(22)【出願日】2020-07-30
(86)【国際出願番号】 JP2020029323
(87)【国際公開番号】W WO2022024321
(87)【国際公開日】2022-02-03
【審査請求日】2023-01-13
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100141519
【弁理士】
【氏名又は名称】梶田 邦之
(72)【発明者】
【氏名】芦野 佑樹
【審査官】和平 悠希
(56)【参考文献】
【文献】特開2020-017826(JP,A)
【文献】国際公開第2017/221979(WO,A1)
【文献】特開2009-089224(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/00-12/66
H04L 41/00-101/695
(57)【特許請求の範囲】
【請求項1】
通信解析に用いるべき通信データを蓄積させる通信処理装置であって、前記通信データに係る通信特性に基づいて、蓄積すべき前記通信データの少なくとも一部を削除するデータ処理手段と、
前記通信データのパラメータとしての前記通信データのエントロピーと、通信特性としての前記エントロピーの高低を示すタグとの対応関係を格納するパーサデータベースを参照して、前記通信データの前記通信特性を示す前記タグを特定する通信分析手段と、を備える、
通信処理装置。
【請求項2】
前記データ処理手段は、前記通信特性に基づいて、前記通信データのうち前記通信解析に用いない非蓄積部分を削除する、請求項1に記載の通信処理装置。
【請求項3】
前記データ処理手段は、蓄積する前記通信データに対して、削除前の前記通信データの容量を示す処理前サイズ情報を付与する、請求項1又は請求項2に記載の通信処理装置。
【請求項4】
前記データ処理手段は、前記通信データのうち暗号化されている部分を削除する、請求項1から請求項3のいずれか1項に記載の通信処理装置。
【請求項5】
前記データ処理手段は、前記通信データのうちバイナリデータである部分を削除する、請求項1から請求項3のいずれか1項に記載の通信処理装置。
【請求項6】
前記データ処理手段は、前記通信データのうち機密情報又は機微情報を含む部分を削除する、請求項1から請求項3のいずれか1項に記載の通信処理装置。
【請求項7】
前記データ処理手段は、前記通信データが機密情報又は機微情報を含む場合、前記通信データの全体を蓄積しない、請求項1から請求項3のいずれか1項に記載の通信処理装置。
【請求項8】
前記データ処理手段は、前記通信データに係る前記通信特性と当該通信データに対する処理との対応関係を格納するポリシーデータベースを参照して前記通信データを処理する、請求項7に記載の通信処理装置。
【請求項9】
前記通信分析手段は、前記通信データに基づいて通信状態を動的に取得して通信状態データベースに格納し、前記データ処理手段は、前記通信データに対して、前記ポリシーデータベースを参照して特定した前記処理を、前記通信状態データベースに格納された前記通信状態に基づいて実行する、
請求項8に記載の通信処理装置。
【請求項10】
前記パーサデータベースに格納される前記通信データの前記パラメータは、送信時刻、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル、及びフラグの少なくともいずれかを含む、請求項7から請求項9のいずれか1項に記載の通信処理装置。
【請求項11】
前記データ処理手段は、処理された前記通信データを他の装置に転送して蓄積させる、請求項1から請求項10のいずれか1項に記載の通信処理装置。
【請求項12】
前記データ処理手段は、処理された前記通信データを前記通信処理装置の内部に蓄積する、請求項1から請求項10のいずれか1項に記載の通信処理装置。
【請求項13】
通信解析に用いるべき通信データを蓄積する通信処理システムであって、前記通信データに係る通信特性に基づいて、蓄積すべき前記通信データの少なくとも一部を削除するデータ処理手段と、
前記通信データのパラメータとしての前記通信データのエントロピーと、通信特性としての前記エントロピーの高低を示すタグとの対応関係を格納するパーサデータベースを参照して、前記通信データの前記通信特性を示す前記タグを特定する通信分析手段と、が設けられた通信処理装置を備える、
通信処理システム。
【請求項14】
通信解析に用いるべき通信データを蓄積させる通信処理方法であって、前記通信データに係る通信特性に基づいて、蓄積すべき前記通信データの少なくとも一部を削除することと、
前記通信データのパラメータとしての前記通信データのエントロピーと、通信特性としての前記エントロピーの高低を示すタグとの対応関係を格納するパーサデータベースを参照して、前記通信データの前記通信特性を示す前記タグを特定することと、を備える、
通信処理方法。
【請求項15】
コンピュータに、通信解析に用いるべき通信データを蓄積させることと、
前記通信データに係る通信特性に基づいて、蓄積すべき前記通信データの少なくとも一部を削除することと、
前記通信データのパラメータとしての前記通信データのエントロピーと、通信特性としての前記エントロピーの高低を示すタグとの対応関係を格納するパーサデータベースを参照して、前記通信データの前記通信特性を示す前記タグを特定することと、を実行させる
プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信処理装置、通信処理システム、通信処理方法、及びプログラムに関する。
【背景技術】
【0002】
多数のコンピュータネットワークを相互に接続したグローバルなネットワークであるインターネット(the Internet)を介したデータ通信が活用されている。以上のようなデータ通信においては、ネットワーク上を流れる通信データ(トラヒック)に基づいて、セキュリティ解析等の種々の処理が実行される。
【0003】
例えば、特許文献1は、通信ネットワークを流れるトラヒックを監視してトラヒック情報を収集するトラヒック監視技術を開示する。特許文献1の技術では、トラヒック監視において、所定の条件に応じて通信プロトコルが変換される(例えば、GRE(Generic Routing Encapsulation)トンネルのカプセル化が解除される)。
【0004】
また、特許文献2は、パケットをネットワークからコンピュータシステムに伝送する伝送技術を開示する。特許文献2の技術では、パケットのヘッダ部分に対して構文解析が実行され、構文解析の結果がパケットデータのリアセンブリングに用いられる。
【先行技術文献】
【特許文献】
【0005】
【文献】特開2006-050433号公報
【文献】特表2002-538733号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
セキュリティ解析等の通信解析において、必ずしも全ての通信データを通信解析に用いることができる訳ではない。例えば、通信データのうち暗号化されている箇所は、解読して通信解析に用いることが困難である。以上のような通信解析に不適合な箇所を含む通信データの全てを通信解析のために蓄積する構成では、蓄積先へのトラヒックが増大する上、蓄積用のストレージが大量に消費されてしまう。従量課金制のサービスが使用される場合、以上のシステム負荷がコストの増大にも繋がる。
【0007】
前述した特許文献1及び特許文献2に開示される技術は、以上の課題を解決するものではない。
【0008】
以上の事情に鑑み、本発明の目的は、通信解析に用いるべき通信データを適切に蓄積させることが可能な通信処理装置、通信処理システム、通信処理方法、及びプログラムを提供することにある。
【課題を解決するための手段】
【0009】
本発明の一態様に係る通信処理装置は、通信解析に用いるべき通信データを蓄積させる通信処理装置であって、前記通信データに係る通信特性に基づいて、蓄積すべき前記通信データの少なくとも一部を削除するデータ処理部を備える。
【0010】
本発明の一態様に係る通信処理システムは、通信解析に用いるべき通信データを蓄積する通信処理システムであって、前記通信データに係る通信特性に基づいて、蓄積すべき前記通信データの少なくとも一部を削除するデータ処理部が設けられた通信処理装置を備える。
【0011】
本発明の一態様に係る通信処理方法は、通信解析に用いるべき通信データを蓄積させる通信処理方法であって、前記通信データに係る通信特性に基づいて、蓄積すべき前記通信データの少なくとも一部を削除することを備える。
【0012】
本発明の一態様に係るプログラムは、コンピュータに、通信解析に用いるべき通信データを蓄積させることと、前記通信データに係る通信特性に基づいて、蓄積すべき前記通信データの少なくとも一部を削除することと、を実行させる。
【発明の効果】
【0013】
本発明によれば、通信解析に用いるべき通信データを適切に蓄積させることができる。なお、本発明により、当該効果の代わりに、又は当該効果とともに、他の効果が奏されてもよい。
【図面の簡単な説明】
【0014】
【図1】本発明の第1実施形態に係る通信処理システムSの概略的な構成を例示する説明図である。
【図2】本発明の第1実施形態に係る通信解析サーバ100の概略的な構成を示すブロック図である。
【図3】本発明の第1実施形態に係る通信処理装置200の概略的な構成を示すブロック図である。
【図4】本発明の第1実施形態に係るウェブサーバ400の概略的な構成を示すブロック図である。
【図5】本発明の第1実施形態におけるデータ処理の流れを例示するフローチャートである。
【図6】本発明の第1実施形態において蓄積される通信データ(PCAPデータ)の構造を説明する説明図である。
【図7】本発明の第1実施形態において通信観測部231が取得する通信データの例である。
【図8】本発明の第1実施形態におけるパーサDB221の構成を例示する説明図である。
【図9】本発明の第1実施形態におけるポリシーDB225の構成を例示する説明図である。
【図10】本発明の第1実施形態によるデータ処理によって蓄積された通信データ(PCAPデータ)を例示する説明図である。
【図11】本発明の第1実施形態の変形例に係る通信処理装置200の概略的な構成を示すブロック図である。
【図12】本発明の第1実施形態の変形例における通信状態DB223の構成を例示する説明図である。
【図13】本発明の第1実施形態の変形例におけるポリシーDB225の構成を例示する説明図である。
【図14】本発明の第2実施形態に係る通信処理システムSaの概略的な構成を例示する説明図である。
【図15】本発明の第2実施形態に係る通信処理装置200aの概略的な構成を示すブロック図である。
【発明を実施するための形態】
【0015】
以下、添付の図面を参照して本発明の実施形態を詳細に説明する。なお、本明細書及び図面において、同様に説明されることが可能な要素については、同一の又は対応する符号を付することにより重複した説明が省略され得る。
【0016】
以下に説明される各実施形態は、本発明を実現可能な構成の一例に過ぎない。以下の各実施形態は、本発明が適用される装置の構成や各種の条件に応じて適宜に修正又は変更することが可能である。以下の各実施形態に含まれる要素の組合せの全てが本発明を実現するに必須であるとは限られず、要素の一部を適宜に省略することが可能である。したがって、本発明の範囲は、以下の各実施形態に記載される構成によって限定されるものではない。相互に矛盾のない限りにおいて、実施形態内に記載された複数の構成を組み合わせた構成も採用可能である。
【0017】
本発明に係る説明は、以下の順序で行われる。
1. 本発明の実施形態の概要
2. 第1実施形態
2.1. 通信処理システムSの構成
2.2. 通信解析サーバ100の構成
2.3. 通信処理装置200の構成
2.4. ウェブサーバ400の構成
2.5. 動作例
2.6. 変形例
3. 第2実施形態
3.1. 通信処理システムSaの構成
3.2. 通信処理装置200aの構成
3.3. 動作例
4. 他の実施形態
1. 本発明の実施形態の概要
2. 第1実施形態
2.1. 通信処理システムSの構成
2.2. 通信解析サーバ100の構成
2.3. 通信処理装置200の構成
2.4. ウェブサーバ400の構成
2.5. 動作例
2.6. 変形例
3. 第2実施形態
3.1. 通信処理システムSaの構成
3.2. 通信処理装置200aの構成
3.3. 動作例
4. 他の実施形態
【0018】
<<1. 本発明の実施形態の概要>>
まず、本発明の実施形態の概要を説明する。
まず、本発明の実施形態の概要を説明する。
【0019】
(1)技術的課題
多数のコンピュータネットワークを相互に接続したグローバルなネットワークであるインターネット(the Internet)を介したデータ通信が活用されている。以上のようなデータ通信においては、ネットワーク上を流れる通信データ(トラヒック)に基づいて、セキュリティ解析等の種々の処理が実行される。
多数のコンピュータネットワークを相互に接続したグローバルなネットワークであるインターネット(the Internet)を介したデータ通信が活用されている。以上のようなデータ通信においては、ネットワーク上を流れる通信データ(トラヒック)に基づいて、セキュリティ解析等の種々の処理が実行される。
【0020】
セキュリティ解析等の通信解析においては、必ずしも全ての通信データを通信解析に用いることができる訳ではない。例えば、通信データのうち暗号化されている箇所は、解読して通信解析に用いることが困難である。以上のような箇所を通信解析のために全て蓄積しておく構成では、蓄積先へのトラヒックが増大する上、蓄積用のストレージが大量に消費されてしまう。
【0021】
以上の事情に鑑み、本実施形態では、通信解析に用いるべき通信データを適切に蓄積させることを目的とする。
【0022】
(2)技術的特徴
本発明の実施形態では、通信解析に用いるべき通信データを蓄積させる通信処理装置が、上記通信データに係る通信特性に基づいて、蓄積すべき上記通信データの少なくとも一部を削除する。
本発明の実施形態では、通信解析に用いるべき通信データを蓄積させる通信処理装置が、上記通信データに係る通信特性に基づいて、蓄積すべき上記通信データの少なくとも一部を削除する。
【0023】
以上の構成によれば、通信解析に用いるべき通信データを適切に蓄積させることができる。なお、本発明により、当該効果の代わりに、又は当該効果とともに、他の効果が奏されてもよい。なお、上述した技術的特徴は本発明の実施形態の具体的な一例であり、当然ながら、本発明の実施形態は上述した技術的特徴に限定されない。
【0024】
<<2. 第1実施形態>>
<<2.1. 通信処理システムSの構成>>
次いで、図1から図10を参照して、本発明の第1実施形態を説明する。図1は、本発明の第1実施形態に係る通信処理システムSの概略的な構成を例示する説明図である。図1に示すように、本実施形態の通信処理システムSは、通信解析サーバ100及び1つ以上の通信処理装置200を有する。通信解析サーバ100及び通信処理装置200は、ネットワーク300を介して互いに通信できる。
<<2.1. 通信処理システムSの構成>>
次いで、図1から図10を参照して、本発明の第1実施形態を説明する。図1は、本発明の第1実施形態に係る通信処理システムSの概略的な構成を例示する説明図である。図1に示すように、本実施形態の通信処理システムSは、通信解析サーバ100及び1つ以上の通信処理装置200を有する。通信解析サーバ100及び通信処理装置200は、ネットワーク300を介して互いに通信できる。
【0025】
通信処理装置200は、通信解析サーバ100による制御の下、ネットワーク300を介してウェブサーバ400にアクセスできる。ウェブサーバ400は、通信処理装置200等の通信ノードからのアクセスに対して所定の応答を返送する。なお、ウェブサーバ400は、コンテンツ配信ネットワーク(CDN)であってもよい。
【0026】
概略的には、本実施形態の通信処理システムSにおいて、通信処理装置200とウェブサーバ400との通信が通信解析サーバ100に蓄積される。通信処理装置200は、通信解析サーバ100からの直接的及び/又は間接的な制御に基づいてウェブサーバ400にアクセスし、送受信される通信データ(パケット)を通信解析サーバ100に転送して蓄積させる。
【0027】
通信処理装置200は、通信解析サーバ100から供給される通信データをウェブサーバ400に転送してもよいし、自らウェブサーバ400にアクセスしてもよい。少なくとも1つの通信処理装置200と通信解析サーバ100とが一体的に構成されてもよい。
【0028】
本実施形態の通信処理システムSは、所定のインターネット・プロトコル・スイート(例えば、Transmission Control Protocol / Internet Protocol, TCP/IP)に従っ
て通信する複数のノードを有するシステムである。なお、通信処理システムSは、他の規格に準拠したシステムであってもよい。
て通信する複数のノードを有するシステムである。なお、通信処理システムSは、他の規格に準拠したシステムであってもよい。
【0029】
<<2.2. 通信解析サーバ100の構成>>
本実施形態に係る通信解析サーバ100は、通信処理装置200とウェブサーバ400との通信による通信データを蓄積し解析する。通信解析サーバ100は、通信処理装置200を制御してウェブサーバ400にアクセスさせることができ、通信処理装置200を介してウェブサーバ400と通信データを送受信してもよい。
本実施形態に係る通信解析サーバ100は、通信処理装置200とウェブサーバ400との通信による通信データを蓄積し解析する。通信解析サーバ100は、通信処理装置200を制御してウェブサーバ400にアクセスさせることができ、通信処理装置200を介してウェブサーバ400と通信データを送受信してもよい。
【0030】
【0031】
ネットワーク通信部110は、ネットワーク300を介して通信処理装置200等の他の装置と信号を送受信する要素である。ネットワーク通信部110は、例えば、ネットワークアダプタ及び/又はネットワークインターフェースカード(Network Interface Card, NIC)によって実装され得る。
【0032】
記憶部120は、通信解析サーバ100における種々の処理を実行するのに用いられるプログラム(命令)及びデータを一時的又は恒久的に格納する要素である。上記プログラムは、通信解析サーバ100の動作のための1つ以上の命令を含む。記憶部120は、例えば、揮発性メモリ、不揮発性メモリ、若しくは磁気ディスク等の記憶媒体又はこれらの2種以上の組合せによって実装され得る。また、記憶部120が制御部130を構成する1以上のプロセッサと一体的に構成されてもよい。
【0033】
更に、記憶部120は、1つ以上の通信処理装置200から送信された(転送された)通信データを蓄積する。蓄積される通信データの特徴については後述される。なお、通信処理装置200からの通信データを蓄積する蓄積サーバが、通信解析サーバ100と別個に設けられてもよい。
【0034】
制御部130は、通信解析サーバ100の種々の機能を提供する要素であって、端末制御部131、通信データ取得部133、及び解析処理部135を機能ブロックとして有する。なお、制御部130は、以上の機能ブロック以外の構成要素を更に含んでよい。すなわち、制御部130は、以上の機能ブロックによる動作以外の動作を実行できる。例えば、制御部130は、データベースマネジメントシステム(DBMS)として機能し、記憶部120と共に動作して関係データベース(Relational Database, RDB)を実現して
よい。
よい。
【0035】
制御部130は、例えば、1以上のプロセッサによって実装され得る。制御部130は、記憶部120に記憶されたプログラムを記憶部120及び/又は不図示のシステムメモリに展開し実行することによって、後述される本実施形態の処理を実現してよい。なお、各機能ブロック(端末制御部131、通信データ取得部133、及び解析処理部135)が、制御部130とは別の1以上のプロセッサによって実現されてもよい。制御部130による処理の概略を以下に説明する。
【0036】
端末制御部131は、通信処理装置200の制御(例えば、ウェブサーバ400へのアクセス制御)を実行する。通信データ取得部133は、1つ以上の通信処理装置200から通信データを取得して、記憶部120に蓄積する。解析処理部135は、記憶部120に蓄積された通信データに基づいて通信解析(例えば、セキュリティ解析)を実行する。
【0037】
なお、通信解析サーバ100は、仮想化されていてもよい。すなわち、通信解析サーバ100は、仮想マシンとして実装されてもよい。この場合に、通信解析サーバ100(仮想マシン)は、プロセッサ及びメモリ等を含む物理マシン(ハードウェア)及びハイパーバイザ上で仮想マシンとして動作してもよい。
【0038】
<<2.3. 通信処理装置200の構成>>
本実施形態に係る通信処理装置200の各々は、通信解析サーバ100からの直接的及び/又は間接的な制御に基づいてウェブサーバ400にアクセスする通信端末であって、自機を通して送受信される通信データ(パケット)を通信解析サーバ100に転送して蓄積させる。通信処理システムSが有する1つ以上の通信処理装置200は互いに同様に構成され得るので、以下、1つの通信処理装置200を代表として説明する。
本実施形態に係る通信処理装置200の各々は、通信解析サーバ100からの直接的及び/又は間接的な制御に基づいてウェブサーバ400にアクセスする通信端末であって、自機を通して送受信される通信データ(パケット)を通信解析サーバ100に転送して蓄積させる。通信処理システムSが有する1つ以上の通信処理装置200は互いに同様に構成され得るので、以下、1つの通信処理装置200を代表として説明する。
【0039】
【0040】
ネットワーク通信部210は、ネットワーク300を介して他の装置(例えば、通信解析サーバ100及びウェブサーバ400)と信号を送受信する要素である。ネットワーク通信部210は、例えば、ネットワークアダプタ及び/又はネットワークインターフェースカードによって実装され得る。
【0041】
記憶部220は、通信処理装置200における種々の処理を実行するのに用いられるプログラム(命令)及びデータを一時的又は恒久的に格納する要素である。上記プログラムは、通信処理装置200の動作のための1つ以上の命令を含む。記憶部220は、例えば、揮発性メモリ、不揮発性メモリ、若しくは磁気ディスク等の記憶媒体又はこれらの2種以上の組合せによって実装され得る。また、記憶部220が制御部230を構成する1以上のプロセッサと一体的に構成されてもよい。
【0042】
加えて、記憶部220は、通信分析に用いられるパーサデータベース(パーサDB)221及びデータ加工に用いられるポリシーデータベース(ポリシーDB)225を含む。各データベースの詳細については後述される。
【0043】
制御部230は、通信処理装置200の種々の機能を提供する要素であって、通信観測部231、通信分析部233、及びデータ処理部235を機能ブロックとして有する。なお、制御部230は、以上の機能ブロック以外の構成要素を更に含んでよい。すなわち、制御部230は、以上の機能ブロックによる動作以外の動作を実行できる。
【0044】
制御部230は、例えば、1以上のプロセッサによって実装され得る。制御部230は、記憶部220に記憶されたプログラムを記憶部220及び/又は不図示のシステムメモリに展開し実行することによって、後述される本実施形態の処理を実現してよい。なお、各機能ブロック(通信観測部231、通信分析部233、及びデータ処理部235)が、制御部230とは別の1以上のプロセッサによって実現されてもよい。制御部230による処理の概略を以下に説明する。
【0045】
通信観測部231は、通信処理装置200(ネットワーク通信部210)を介して送受信される通信データを観測して取得し、通信分析部233に供給する。通信分析部233は、通信観測部231から供給された通信データをパーサDB221を参照しつつ分析し、通信データに係る通信特性を示す分析結果をデータ処理部235に出力する。データ処理部235は、通信分析部233から供給された分析結果(通信特性)に基づいて、通信観測部231が取得した通信データをポリシーDB225を参照しつつ処理する。処理された通信データは、ネットワーク通信部210を介して通信解析サーバ100に送信される(転送される)。
【0046】
なお、通信観測部231は、通信処理装置200を通して送受信される通信データではなく、他の装置を通して送受信される通信データを捕捉して取得し、通信分析部233に供給してもよい。
【0047】
通信処理装置200は、プロキシサーバとして構成され得る。すなわち、通信解析サーバ100等の他の装置からの通信を中継する際、通信処理装置200がアクセスしている(通信処理装置200のIPアドレスからのアクセスである)ように挙動することができる。
【0048】
なお、通信処理装置200は、仮想化されていてもよい。すなわち、通信処理装置200は、仮想マシンとして実装されてもよい。この場合に、通信処理装置200(仮想マシン)は、プロセッサ及びメモリ等を含む物理マシン(ハードウェア)及びハイパーバイザ上で仮想マシンとして動作してもよい。
【0049】
<<2.4. ウェブサーバ400の構成>>
本実施形態に係るウェブサーバ400は、通信処理装置200からのアクセスに応答して通信データ(パケット)を送信する(返送する)。ウェブサーバ400は、単体のサーバ装置であってもよいし、複数の配信サーバと配信サーバを制御する制御サーバとが設けられたコンテンツ配信ネットワークであってもよい。
本実施形態に係るウェブサーバ400は、通信処理装置200からのアクセスに応答して通信データ(パケット)を送信する(返送する)。ウェブサーバ400は、単体のサーバ装置であってもよいし、複数の配信サーバと配信サーバを制御する制御サーバとが設けられたコンテンツ配信ネットワークであってもよい。
【0050】
【0051】
ネットワーク通信部410は、ネットワーク300を介して通信処理装置200等の他の装置と信号を送受信する要素である。ネットワーク通信部210は、例えば、ネットワークアダプタ及び/又はネットワークインターフェースカードによって実装され得る。
【0052】
記憶部420は、ウェブサーバ400における種々の処理を実行するのに用いられるプログラム(命令)及びデータを一時的又は恒久的に格納する要素である。上記プログラムは、ウェブサーバ400の動作のための1つ以上の命令を含む。また、記憶部420は、通信処理装置200に送信すべき通信データの生成に用いられるデータ(コンテンツデータ)を格納する。記憶部420は、例えば、揮発性メモリ、不揮発性メモリ、若しくは磁気ディスク等の記憶媒体又はこれらの2種以上の組合せによって実装され得る。また、記憶部420が制御部430を構成する1以上のプロセッサと一体的に構成されてもよい。
【0053】
制御部430は、ウェブサーバ400の種々の機能を提供する要素であって、通信処理装置200からのリクエストに応じて通信データを送信する通信処理部431を機能ブロックとして有する。なお、制御部430は、以上の機能ブロック以外の構成要素を更に含んでよい。すなわち、制御部430は、以上の機能ブロックによる動作以外の動作を実行できる。制御部430は、例えば、1以上のプロセッサによって実装され得る。制御部430は、記憶部420に記憶されたプログラムを記憶部420及び/又は不図示のシステムメモリに展開し実行することによって、後述される本実施形態の処理を実現してよい。なお、各機能ブロック(通信処理部431)が、制御部430とは別の1以上のプロセッサによって実現されてもよい。
<<2.5. 動作例>>
図5から図10を参照して、本発明の第1実施形態におけるデータ処理の例を説明する。図5は、本実施形態におけるデータ処理の流れを例示するフローチャートである。
<<2.5. 動作例>>
図5から図10を参照して、本発明の第1実施形態におけるデータ処理の例を説明する。図5は、本実施形態におけるデータ処理の流れを例示するフローチャートである。
【0054】
ステップS501において、通信処理装置200の通信観測部231は、ウェブサーバ400と送受信される通信データを観測し(すなわち、取得し)、通信分析部233に供給する。通信観測部231は、例えば、後述されるフレームを単位として通信データを通信分析部233に供給してよい。
【0055】
図6は、本実施形態において蓄積される通信データ(PCAPデータ)の構造を説明する説明図である。本実施形態においては、ネットワーク上で送受信されるデータ単位(フレーム等)をペイロード(PCAPペイロード)として含み、以上のペイロードにヘッダ(PCAPヘッダ)が付与されたPCAPデータ(Packet CAPture Data)の形式で通信
データが蓄積される。
データが蓄積される。
【0056】
PCAPデータは、例えば、単一の電子ファイルに連続的に記録される。PCAPヘッダには、他のPCAPデータを参照するためのデータ(ポインタ等)は含まれない。PCAPデータが、セキュリティ解析等の通信解析に用いられる。
【0057】
図6に示すように、PCAPデータは複数のPCAPヘッダとPCAPペイロードとの対を含む。1つのPCAPペイロードは、1つの単位通信データ(例えば、MAC(Media Access Control)レイヤのフレーム)に対応している。MACレイヤのペイロードはIPレイヤのデータ単位であるパケット(IPヘッダ+IPペイロード)を含む。IPレイヤのペイロードはTCPレイヤのデータ単位であるセグメント(TCPヘッダ+TCPペイロード)を含む。なお、フレームは「イーサネット(登録商標)パケット」と呼称されてよく、パケットは「IPパケット」と呼称されてよく、セグメントは「TCPパケット」と呼称されてよい。
【0058】
ステップS502において、通信処理装置200の通信分析部233は、通信観測部231から供給された通信データをパーサDB221を参照しつつ分析し、通信データに係る通信特性を示す分析結果をデータ処理部235に出力する。ステップS503において、通信処理装置200のデータ処理部235は、通信分析部233から供給された分析結果(通信特性)に基づいて、通信観測部231が取得した通信データをポリシーDB225を参照しつつ処理する。図7から図9を参照して、より詳細に説明する。
【0059】
図7は、本実施形態において通信観測部231が取得する通信データの例である。各行は、1つの単位通信データ(例えば、フレーム)に対応する。各列は、単位通信データに含まれる要素を項目別に示す。単位通信データには項番が割り振られる。図7に示すように、各単位通信データは、送信時刻、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル、フラグ、及びデータを要素として有する。
【0060】
図8は、本実施形態におけるパーサDB221の構成を例示する説明図である。パーサDB221は、通信データ(単位通信データ)のパラメータと通信特性との対応関係を格納するデータベースである。例えば、図8の項番1に示すように、単位通信データの「送信元ポート番号」が「22」又は「宛先ポート番号」が「22」である場合、その単位通信データに係る通信特性(プロトコル名)は「SSH(Secure SHell)」である。他の項番も同様に、ポート番号と通信特性(プロトコル名)との対応を示している。
【0061】
通信分析部233は、ステップS502においてパーサDB221を参照して単位通信データの通信特性を特定し、特定された通信特性を示す分析結果をデータ処理部235に出力する。
【0062】
図9は、本実施形態におけるポリシーDB225の構成を例示する説明図である。ポリシーDB225は、通信データに係る通信特性(分析結果)と、その通信データに対する処理との対応関係を格納するデータベースである。例えば、図9の項番1に示すように、単位通信データの通信特性が「Telnet」である場合、その単位通信データはすべて蓄積される。また、図9の項番2に示すように、単位通信データの通信特性が「SSH」である場合、暗号化された部分(すなわち、通信解析に用いない部分)に相当するペイロードが削除された上で蓄積される。
【0063】
データ処理部235は、ステップS503においてポリシーDBを参照して、通信分析部233から供給された分析結果が示す通信特性に対応する処理を単位通信データに対して実行する。
【0064】
上記したステップS501~S503の処理は、例えば、通信処理装置200を介した通信が実行される度に(すなわち、通信観測部231が通信データを取得する度に)実行されてよい。
【0065】
通信データが蓄積される場所は任意である。例えば、通信処理装置200の記憶部220に一時的に通信データが蓄積された後に、所定時間おき(例えば、1週間おき)に通信データが通信処理装置200から通信解析サーバ100に転送され、記憶部120に蓄積されてよい。また、通信処理装置200に通信データを蓄積せず、上記したステップS501~S503の処理が実行される度に通信処理装置200から通信解析サーバ100に通信データが転送されてもよい。
【0066】
図10は、本実施形態による以上のデータ処理によって蓄積された通信データ(PCAPデータ)を例示する説明図である。図10は、1つのPCAPヘッダとPCAPペイロードの対を示し、特に、暗号化された部分(すなわち、通信解析に用いない部分)が削除された通信データの特徴を示している。
【0067】
まず、PCAPペイロードに関して説明する。前述したように、データ処理部235は、ステップS503において、蓄積すべき通信データの暗号化された部分をポリシーDB225に従って削除することがある。図10の例では、単位通信データ(フレーム)のうち暗号化されたTCPペイロードに相当する部分(図10の非蓄積部分)が、データ処理部235によって削除される。単位通信データがSSHによって暗号化されている場合、フレームの一部であるTCPペイロード全体が暗号化される。削除された部分を除くフレーム(イーサネットヘッダ+イーサネットペイロード)が、PCAPペイロードに含まれる。
【0068】
次いで、PCAPヘッダに関して説明する。PCAPヘッダは、時刻データと処理前ペイロードサイズ(処理前サイズ情報)と処理後ペイロードサイズ(処理後サイズ情報)とを含む。時刻データは、PCAPヘッダと対になるPCAPペイロードに対応するフレームが取得された時刻を示す。
【0069】
処理前ペイロードサイズは、ステップS503にて処理される前(削除前)の単位通信データのサイズを示す値である。他方、処理後ペイロードサイズは、ステップS503にて処理された後の単位通信データのサイズ(実際に蓄積されるPCAPペイロードのサイズ)を示す値である。
【0070】
PCAPデータが処理前ペイロードサイズをPCAPヘッダに含むことによって、単位通信データのうち暗号化された部分を削除しても通信の特徴がPCAPデータ内に保持される。
【0071】
上記した本実施形態の構成によれば、通信解析に用いるべき通信データ(PCAPデータ)を適切に通信解析サーバ100に蓄積させることができる。より具体的には、削除等の処理がなされた通信データに処理前のサイズ情報が付与されているので、通信データの特徴に関する情報を維持しつつ通信データの容量を適切に削減することが可能である。
【0072】
例えば、TCPペイロードが暗号化されるSSL/TLS(Secure Socket Layer / Transport Layer Security)を用いた通信を考える。理論上、100MB(約72,000パケット)のSSL/TLS通信において全ての通信データを蓄積する場合、暗号化された100MBのTCPペイロードと、5MBのヘッダ(PCAPヘッダ、イーサネットヘッダ、IPヘッダ)と合計した105MBのPCAPファイルが蓄積される。他方、上記した本実施形態の構成を採用すると、暗号化された100MBのTCPペイロードは蓄積されずヘッダのみが残るので、合計5MBのPCAPファイルが蓄積される。なお、平文で構成される通信データは削除されずに蓄積されてよい。
<<2.6. 変形例>>
上記した本実施形態は多様に変形される。具体的な変形の態様を以下に例示する。以上の実施形態及び以下の例示から任意に選択された2以上の態様は、相互に矛盾しない限り適宜に併合され得る。
<<2.6. 変形例>>
上記した本実施形態は多様に変形される。具体的な変形の態様を以下に例示する。以上の実施形態及び以下の例示から任意に選択された2以上の態様は、相互に矛盾しない限り適宜に併合され得る。
【0073】
上記した構成では、パーサDB221及びポリシーDB225を参照して通信データの削除等の処理が実行される。他方、静的な情報のみに基づいて通信データを処理することが適切でないケースも想定され得る。例えば、暗号化手順での鍵交換シーケンスにおいては、公開鍵証明書等の暗号化されていないが暗号化に関連する平文データが送受信される。以上の平文データは、接続先サーバの種別や、接続元のユーザID等の暗号化関連情報を含むので、セキュリティ解析等の通信解析において重要である。
【0074】
しかしながら、静的な情報(例えば、ポート番号)のみに基づいて通信データを処理する構成では、以上のような暗号化関連情報を含む平文データが削除されてしまう可能性がある。したがって、以下の変形例では、パーサDB221及びポリシーDB225に加えて、通信状態データベース(通信状態DB)223も参照して通信データの削除等の処理が実行される。
【0075】
図11は、本変形例に係る通信処理装置200の概略的な構成を示すブロック図である。本変形例の記憶部220は、パーサDB221及びポリシーDB225に加えて、通信状態DB223を含む。他の要素に関しては、図3を参照して前述した第1実施形態の通信処理装置200と同様に構成される。
【0076】
図12は、本変形例における通信状態DB223の構成を例示する説明図である。通信状態DB223は、通信処理装置200(通信観測部231)が観測する通信の状態を随時に格納する動的なデータベースである。例えば、図12に示すように、通信状態DB223は、クライアントIPアドレス、サーバIPアドレス、及びプロトコルをキーとして、上りパケット数及び下りパケット数を記憶する。
【0077】
図13は、本変形例におけるポリシーDB225の構成を例示する説明図である。本変形例のポリシーDB225は、通信データに係る通信特性(分析結果)と、その通信データに対する通信状態に応じた処理との対応関係を格納するデータベースである。本変形例の処理は、通信状態を参照する必要がある場合がある。
【0078】
本変形例のステップS502において、通信処理装置200の通信分析部233は、通信データをパーサDB221を参照して分析すると共に、通信データに基づいて通信状態を取得して通信状態DB223に書き込む。本変形例のステップS503において、通信処理装置200のデータ処理部235は、通信分析部233から供給された通信特性と、通信状態DB223に格納されている通信状態とに基づいて、通信観測部231が取得した通信データをポリシーDB225を参照しつつ処理する。
【0079】
例えば、パーサDB221を参照して特定された通信特性が「SSL/TLS」(図8の項番4)である場合、データ処理部235は、本変形例のポリシーDB225を参照して「SSL/TLS」の場合の処理を特定し、通信状態DB223に格納されている通信状態に基づいて、通信データを処理する。すなわち、データ処理部235は、上り通信に関しては鍵交換に必要な最初の3パケットまでペイロードを蓄積してその後の通信データを削除し、下り通信に関しては鍵交換に必要な最初の2パケットまでペイロードを蓄積してその後の通信データを削除する。
【0080】
以上の構成によれば、上記した実施形態と同様の技術的効果が奏される。加えて、通信状態DB223に基づく動的な通信データの蓄積制御が可能となる。
【0081】
以下、他の変形例について説明する。以下の変形例によっても、上記した実施形態と同様の技術的効果が奏される。
【0082】
上記した実施形態において、通信処理装置200はウェブサーバ400にアクセスしている。しかしながら、通信処理装置200は任意の装置にアクセスすることができる。例えば、通信処理装置200は、ソフトウェア電話に用いられるSIP(Session Initiation Protocol)サーバ、又は一般的な業務に使用される通常のPC(パーソナルコンピュ
ータ)にアクセスしてよい。
ータ)にアクセスしてよい。
【0083】
本実施形態の通信解析サーバ100は、複製された通信データを単に蓄積し解析する装置であってもよいし、以上の機能に加え、通信データを中継する中継装置としての機能を有してもよい。
【0084】
上記した実施形態における通信処理システムSはインターネットに接続されている。しかしながら、通信処理システムSは、インターネットに接続されていないネットワークであってよい。例えば、通信処理システムSは、特定の工場内に構築された閉鎖的な工場ネットワークに接続していてよい。
【0085】
上記した実施形態の構成に対して、任意の暗号化方式を適用することが可能である。例えば、他のPCを遠隔的に操作するためのリモートデスクトップ機能は、SSLではない暗号化処理によって実現される。
【0086】
上記した実施形態において、データ処理部235は、通信データのうち暗号化されている部分を削除する。しかしながら、データ処理部235の動作は以上に限定されない。
【0087】
例えば、データ処理部235は、通信データのうちバイナリデータである部分を削除してよい。本構成によれば、暗号化されている可能性が高い部分(バイナリデータである部分)を、暗号化の判定をせずに削除することが可能となる。
【0088】
また、データ処理部235は、通信データのうち機密情報又は機微情報を含む部分を削除してよい。機密情報又は機微情報は、必ずしも暗号化されているとは限らないが、セキュリティ上秘匿されるべきである。本構成によれば、秘匿されるべき機密情報又は機微情報が削除されるので、セキュリティが向上する。
【0089】
他に、データ処理部235は、通信データが機密情報又は機微情報を含む場合、通信データの全体を蓄積しなくてもよい。本構成によれば、機密情報又は機微情報を含む通信自体が蓄積されないので、セキュリティがより向上する。
【0090】
上記した実施形態において、パーサDB221には、ポート番号(送信元ポート番号又は宛先ポート番号)と通信特性との対応関係が格納されている。しかしながら、パーサDB221は、他のパラメータと通信特性との対応関係を格納してもよい。例えば、パーサDB221は、IPアドレス(送信元IPアドレス又は宛先IPアドレス)と通信特性との対応関係を格納してよい。
【0091】
パーサDB221がタグ付けの用途に用いられてもよい。例えば、送信元IPアドレス及び宛先IPアドレスがいずれもローカルIPアドレスである場合は、プロトコルではなく「社内通信」というタグが通信特性としてパーサDB221において対応付けられてよい。この場合、ポリシーDB225において、「社内通信はヘッダのみを蓄積する」と規定することができる。
【0092】
他に、パーサDB221が、通信データのエントロピー(パラメータ)とエントロピーの高低を示すタグ(通信特性)との対応関係を格納していてもよい。
【0093】
同様に、ポリシーDB225においても種々の処理を規定することが可能である。例えば、ある通信特性の通信データに対しては、「データ先頭からxバイト分のデータを蓄積する」と規定してもよいし、「データ先頭からyバイト以降のデータを蓄積する」と規定してもよい。
【0094】
他に、プロトコルが「z」である場合は「イーサネットヘッダを蓄積する」と規定してもよいし、特定のタグが割当てられている場合は「ペイロードを記録しない」と規定してもよい。
【0095】
同様に、通信状態DB223においても種々の通信状態を格納することが可能である。例えば、通信状態DB223に、プロトコルを限定しない単位時間当たりのパケット量が随時に格納されてよい。この場合、ポリシーDB225において、単位時間当たりのパケット量が所定の閾値を上回る場合、「ペイロードを削除してヘッダのみを蓄積する」と規定することができる。本構成によれば、全体的な通信量に応じた制御、いわゆる総量規制を実現することができる。
【0096】
【0097】
<<3.1. 通信処理システムSaの構成>>
図14は、第2実施形態に係る通信処理システムSaの概略的な構成を例示する説明図である。通信処理システムSaは、通信解析に用いるべき通信データを蓄積する。図14に示すように、通信処理システムSaは通信処理装置200aを有する。
図14は、第2実施形態に係る通信処理システムSaの概略的な構成を例示する説明図である。通信処理システムSaは、通信解析に用いるべき通信データを蓄積する。図14に示すように、通信処理システムSaは通信処理装置200aを有する。
【0098】
<<3.2. 通信処理装置200aの構成>>
図15は、第2実施形態に係る通信処理装置200aの概略的な構成を例示するブロック図である。図15に示すように、通信処理装置200aはデータ処理部235aを有する。
図15は、第2実施形態に係る通信処理装置200aの概略的な構成を例示するブロック図である。図15に示すように、通信処理装置200aはデータ処理部235aを有する。
【0099】
データ処理部235aは、1つ以上のプロセッサと、メモリ(例えば、不揮発性メモリ及び/若しくは揮発性メモリ)並びに/又はハードディスクとにより実装されてもよい。上記メモリは、上記1つ以上のプロセッサ内に含まれていてもよく、又は、上記1つ以上のプロセッサ外にあってもよい。
【0100】
<<3.3. 動作例>>
第2実施形態に係る動作例を説明する。通信処理装置200a(データ処理部235a)は、通信データに係る通信特性に基づいて、蓄積すべき通信データの少なくとも一部を削除する。
第2実施形態に係る動作例を説明する。通信処理装置200a(データ処理部235a)は、通信データに係る通信特性に基づいて、蓄積すべき通信データの少なくとも一部を削除する。
【0101】
-第1実施形態との関係
一例として、第2実施形態に係る通信処理装置200aが備えるデータ処理部235aは、第1実施形態に係る通信処理装置200が備えるデータ処理部235の動作を実行してもよい。以上の場合、第1実施形態についての説明が第2実施形態にも適用可能である。なお、第2実施形態は以上の例に限定されるものではない。
一例として、第2実施形態に係る通信処理装置200aが備えるデータ処理部235aは、第1実施形態に係る通信処理装置200が備えるデータ処理部235の動作を実行してもよい。以上の場合、第1実施形態についての説明が第2実施形態にも適用可能である。なお、第2実施形態は以上の例に限定されるものではない。
【0102】
上述した第2実施形態によれば、通信解析に用いるべき通信データを適切に蓄積させることができる。
【0103】
<<4. 他の実施形態>>
以上、本発明の実施形態を説明したが、本発明はこれらの実施形態に限定されるものではない。これらの実施形態は例示に過ぎないということ、及び、本発明のスコープ及び精神から逸脱することなく様々な変形が可能であるということは、当業者に理解されるであろう。
以上、本発明の実施形態を説明したが、本発明はこれらの実施形態に限定されるものではない。これらの実施形態は例示に過ぎないということ、及び、本発明のスコープ及び精神から逸脱することなく様々な変形が可能であるということは、当業者に理解されるであろう。
【0104】
例えば、本明細書に記載されている処理におけるステップは、必ずしもフローチャートに記載された順序に沿って時系列に実行されなくてよい。例えば、処理におけるステップは、上記した処理の結果が実現される限りにおいて、フローチャートとして記載した順序と異なる順序で実行されても、並列的に実行されてもよい。また、処理におけるステップの一部が削除されてもよく、さらなるステップが処理に追加されてもよい。
【0105】
また、本明細書において説明した通信処理装置の構成要素(例えば、通信観測部、通信分析部、及び/又はデータ処理部)を備える装置(例えば、通信処理装置を構成する複数の装置(又はユニット)のうちの1つ以上の装置(又はユニット)、又は上記複数の装置(又はユニット)のうちの1つのためのモジュール)が提供されてもよい。
【0106】
また、上記構成要素の処理を含む方法が提供されてもよく、上記構成要素の処理をプロセッサに実行させるためのプログラムが提供されてもよい。また、当該プログラムを記録したコンピュータに読み取り可能な非一時的記録媒体(Non-transitory computer readable medium)が提供されてもよい。当然ながら、このような装置、モジュール、方法、プ
ログラム、及びコンピュータに読み取り可能な非一時的記録媒体も本発明に含まれる。
ログラム、及びコンピュータに読み取り可能な非一時的記録媒体も本発明に含まれる。
【0107】
上記実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
【0108】
(付記1)
通信解析に用いるべき通信データを蓄積させる通信処理装置であって、
前記通信データに係る通信特性に基づいて、蓄積すべき前記通信データの少なくとも一部を削除するデータ処理部を備える、
通信処理装置。
通信解析に用いるべき通信データを蓄積させる通信処理装置であって、
前記通信データに係る通信特性に基づいて、蓄積すべき前記通信データの少なくとも一部を削除するデータ処理部を備える、
通信処理装置。
【0109】
(付記2)
前記データ処理部は、前記通信特性に基づいて、前記通信データのうち前記通信解析に用いない非蓄積部分を削除する、
付記1に記載の通信処理装置。
前記データ処理部は、前記通信特性に基づいて、前記通信データのうち前記通信解析に用いない非蓄積部分を削除する、
付記1に記載の通信処理装置。
【0110】
(付記3)
前記データ処理部は、蓄積する前記通信データに対して、削除前の前記通信データの容量を示す処理前サイズ情報を付与する、
付記1又は付記2に記載の通信処理装置。
前記データ処理部は、蓄積する前記通信データに対して、削除前の前記通信データの容量を示す処理前サイズ情報を付与する、
付記1又は付記2に記載の通信処理装置。
【0111】
(付記4)
前記データ処理部は、前記通信データのうち暗号化されている部分を削除する、
付記1から付記3のいずれか1項に記載の通信処理装置。
前記データ処理部は、前記通信データのうち暗号化されている部分を削除する、
付記1から付記3のいずれか1項に記載の通信処理装置。
【0112】
(付記5)
前記データ処理部は、前記通信データのうちバイナリデータである部分を削除する、
付記1から付記3のいずれか1項に記載の通信処理装置。
前記データ処理部は、前記通信データのうちバイナリデータである部分を削除する、
付記1から付記3のいずれか1項に記載の通信処理装置。
【0113】
(付記6)
前記データ処理部は、前記通信データのうち機密情報又は機微情報を含む部分を削除する、
付記1から付記3のいずれか1項に記載の通信処理装置。
前記データ処理部は、前記通信データのうち機密情報又は機微情報を含む部分を削除する、
付記1から付記3のいずれか1項に記載の通信処理装置。
【0114】
(付記7)
前記データ処理部は、前記通信データが機密情報又は機微情報を含む場合、前記通信データの全体を蓄積しない、
付記1から付記3のいずれか1項に記載の通信処理装置。
前記データ処理部は、前記通信データが機密情報又は機微情報を含む場合、前記通信データの全体を蓄積しない、
付記1から付記3のいずれか1項に記載の通信処理装置。
【0115】
(付記8)
前記通信データのパラメータと前記通信特性との対応関係を格納するパーサデータベースを参照して前記通信データの前記通信特性を特定する通信分析部を更に備える、
付記1から付記7のいずれか1項に記載の通信処理装置。
前記通信データのパラメータと前記通信特性との対応関係を格納するパーサデータベースを参照して前記通信データの前記通信特性を特定する通信分析部を更に備える、
付記1から付記7のいずれか1項に記載の通信処理装置。
【0116】
(付記9)
前記データ処理部は、前記通信データに係る前記通信特性と当該通信データに対する処理との対応関係を格納するポリシーデータベースを参照して前記通信データを処理する、
付記8に記載の通信処理装置。
前記データ処理部は、前記通信データに係る前記通信特性と当該通信データに対する処理との対応関係を格納するポリシーデータベースを参照して前記通信データを処理する、
付記8に記載の通信処理装置。
【0117】
(付記10)
前記通信分析部は、前記通信データに基づいて通信状態を取得して通信状態データベースに格納し、
前記データ処理部は、前記通信データに対して、前記ポリシーデータベースを参照して特定した前記処理を、前記通信状態データベースに格納された前記通信状態に基づいて実行する、
付記9に記載の通信処理装置。
前記通信分析部は、前記通信データに基づいて通信状態を取得して通信状態データベースに格納し、
前記データ処理部は、前記通信データに対して、前記ポリシーデータベースを参照して特定した前記処理を、前記通信状態データベースに格納された前記通信状態に基づいて実行する、
付記9に記載の通信処理装置。
【0118】
(付記11)
前記パーサデータベースに格納される前記通信データの前記パラメータは、送信時刻、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル、及びフラグの少なくともいずれかを含む、
付記8から付記10のいずれか1項に記載の通信処理装置。
前記パーサデータベースに格納される前記通信データの前記パラメータは、送信時刻、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル、及びフラグの少なくともいずれかを含む、
付記8から付記10のいずれか1項に記載の通信処理装置。
【0119】
(付記12)
前記データ処理部は、処理された前記通信データを他の装置に転送して蓄積させる、
付記1から付記11のいずれか1項に記載の通信処理装置。
前記データ処理部は、処理された前記通信データを他の装置に転送して蓄積させる、
付記1から付記11のいずれか1項に記載の通信処理装置。
【0120】
(付記13)
前記データ処理部は、処理された前記通信データを前記通信処理装置の内部に蓄積する、
付記1から付記11のいずれか1項に記載の通信処理装置。
前記データ処理部は、処理された前記通信データを前記通信処理装置の内部に蓄積する、
付記1から付記11のいずれか1項に記載の通信処理装置。
【0121】
(付記14)
通信解析に用いるべき通信データを蓄積する通信処理システムであって、
前記通信データに係る通信特性に基づいて、蓄積すべき前記通信データの少なくとも一部を削除するデータ処理部が設けられた通信処理装置を備える、
通信処理システム。
通信解析に用いるべき通信データを蓄積する通信処理システムであって、
前記通信データに係る通信特性に基づいて、蓄積すべき前記通信データの少なくとも一部を削除するデータ処理部が設けられた通信処理装置を備える、
通信処理システム。
【0122】
(付記15)
通信解析に用いるべき通信データを蓄積させる通信処理方法であって、
前記通信データに係る通信特性に基づいて、蓄積すべき前記通信データの少なくとも一部を削除することを備える、
通信処理方法。
通信解析に用いるべき通信データを蓄積させる通信処理方法であって、
前記通信データに係る通信特性に基づいて、蓄積すべき前記通信データの少なくとも一部を削除することを備える、
通信処理方法。
【0123】
(付記16)
コンピュータに、
通信解析に用いるべき通信データを蓄積させることと、
前記通信データに係る通信特性に基づいて、蓄積すべき前記通信データの少なくとも一部を削除することと、を実行させる
プログラム。
コンピュータに、
通信解析に用いるべき通信データを蓄積させることと、
前記通信データに係る通信特性に基づいて、蓄積すべき前記通信データの少なくとも一部を削除することと、を実行させる
プログラム。
【産業上の利用可能性】
【0124】
通信解析に用いるべき通信データを適切に蓄積させることができる。
【符号の説明】
【0125】
S 通信処理システム
100 通信解析サーバ
200 通信処理装置
221 パーサDB
223 通信状態DB
225 ポリシーDB
233 通信分析部
235 データ処理部
100 通信解析サーバ
200 通信処理装置
221 パーサDB
223 通信状態DB
225 ポリシーDB
233 通信分析部
235 データ処理部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】