网络监视装置、网络监视方法以及网络监视程序

技术领域

本发明涉及用于协助检测来自互联网等外部网络的网络攻击或向外部网络的信 息泄漏的技术。

背景技术

近年来，对经由网络提供的各种服务或基础设施等进行攻击的非法通信(网络攻 击)向使用多种各种方法的方式日益发展，威胁不断增大。作为针对这样的非法通信 的对策技术，例如公知有FW(FireWall：防火墙)或IDS(Intrusion Detection System： 入侵检测系统)、IPS(Intrusion Prevention System：入侵防御系统)等。图8是用于 说明现有技术的对策技术的一例的图。

例如，如图8所示，FW作为路由器等网络装置的分组过滤功能或专用装置而配 置在内部网络与外部网络的连接点。而且，例如，FW由内部网络中包含的终端的用 户设定规则，以仅使内部网络中包含的终端向外部网络的终端提供的服务的分组以及 用于供内部网络的终端利用外部网络的终端提供的服务的分组通过，将其它分组屏 蔽。

此外，例如IDS或IPS作为路由器等网络装置的功能或专用装置而被提供。此处， 例如，如图8所示，IDS或IPS存在如下类型：签名型，将取得的分组与预先定义的 攻击分组的模式进行匹配，由此检测攻击；以及异常型，使用取得的分组或从网络设 备收集到的各种日志、统计信息，来监视通信量，分析监视数据，由此检测异常的通 信量。

举出一例，在签名型中，如图8所示，在FW通过后的地点取得分组，判定该分 组中是否含有非法比特串，在存在非法比特串的情况下，检测为异常。此外，例如， 在异常型中，对内部网络的终端中的资源的附加或通信量等行为定义正常状态，在偏 离该状态的情况下，检测为异常。例如，如图8所示，在上述技术中检测出异常时， 通过输出警报来向网络管理者通知异常。

现有技术文献

专利文献

专利文献1：日本特开2008-219149号公报

专利文献2：日本特开2006-115007号公报

专利文献3：日本特开2005-210601号公报

发明内容

发明要解决的问题

但是，在上述现有技术中，作为针对非法通信的对策技术，存在一定的限制。例 如，在FW中，按每一分组决定能否通过，如果单一地观察关于攻击成功时通过的分 组的日志，则不能区分出攻击者的通信等，作为对策技术，存在一定的限制。此外， 例如，在IDS或IPS的签名型中，也基于预先定义的模式，因此，对未知的攻击应对 迟缓，作为对策技术，存在一定的限制。此外，例如，在IDS或IPS的异常型中，如 果将正常状态定义得较严格，则产生很多误检测，难以无遗漏地检测非法通信，作为 对策技术，存在一定的限制。

因此，本申请的技术是鉴于上述现有技术问题而完成的，目的在于提供能够高精 度地检测非法通信的网络监视装置、网络监视方法以及网络监视程序。

用于解决问题的手段

为了解决上述问题、达成目的，本申请的网络监视装置设置在网络内，检测有非 法嫌疑的通信，所述网络具有设置在与外部网络之间的连接点以及内部的区段分割点 中的至少一方的防火墙以及Web访问用的代理服务器，传输IP分组，该网络监视装 置具有：日志收集部，其从所述防火墙及所述代理服务器中的至少一方收集日志数据 并保存；以及日志分析部，其向所述日志收集部进行日志数据的询问，按照设定的分 析条件分析所述日志数据，输出分析结果；由所述日志收集部保存的日志数据是包含 五元组、发送大小、接收大小、从http报头提取出的信息、时间戳中的至少一个以上 的信息，从所述http报头提取出的信息包含目的地URL、User-Agent名以及请求方 法中的至少一个以上。

发明效果

本申请的网络监视装置能够高精度地检测非法通信。

附图说明

图1是示出包含第1实施方式的网络监视装置的网络的结构的一例的图。

图2是示出第1实施方式的网络监视装置的结构的一例的图。

图3是示出由第1实施方式的日志DB(数据库)存储的日志信息的一例的图。

图4是示出第1实施方式的网络监视装置的处理的步骤的流程图。

图5是示出用于检测非法访问或入侵而进行防御的系统的结构的一例的图。

图6是示出第2实施方式的检查装置的结构的框图。

图7是示出应用了第2实施方式的检查装置的网络的结构的一例的图。

图8是用于说明现有技术的对策技术的一例的图。

具体实施方式

以下参照附图，对本申请的网络监视装置、网络监视方法以及网络监视程序的实 施方式进行详细说明。此外，本申请的网络监视装置、网络监视方法以及网络监视程 序不受以下的实施方式限定。

(第1实施方式)

[包含第1实施方式的网络监视装置的网络的结构]

首先，对第1实施方式的包含网络监视装置100的网络的结构进行说明。图1 是示出包含第1实施方式的网络监视装置100的网络的结构的一例的图。例如，包含 第1实施方式的网络监视装置的网络为企业内NW(Network：网络)，与互联网(适 当记作外部网络)连接。

此处，如图1所示，企业内NW包含网络监视装置100、FW(FireWall)200、 代理服务器300。此外，如图1所示，企业内NW包含用户PC、文件服务器、SW(Switch： 交换机)/路由器、IDS/IPS等。例如，在企业内NW中，从用户PC访问文件服务器， 或者，从用户PC经由FW 200访问互联网。此外，例如，在企业内NW中，从用户 PC经由代理服务器300访问互联网。

FW 200监视在企业内NW中包含的用户PC以及文件服务器与互联网上的终端 以及服务器之间执行的通信中的分组。具体而言，FW 200基于由用户预先定义的条 件，控制互联网与企业内NW之间的分组的传输。例如，FW 200基于分组的5-tuple (五元组)的信息(目的地IP(互联网协议(Internet Protocol))地址、发送源IP地 址、目的地端口、发送端口以及协议)，判定是否是非法通信的分组，在判定为非法 通信的情况下，丢弃分组。此外，FW 200将企业内NW中包含的用户PC、文件服 务器与互联网的连接控制成经由代理服务器300的连接。即，FW 200将企业内NW 中包含的用户PC、文件服务器控制成不直接与互联网连接。

此外，FW 200监视在企业内NW中包含的用户PC与文件服务器之间执行的通 信中的分组。具体而言，FW 200基于由用户定义的条件，控制用户PC与文件服务 器之间的分组的传输。例如，FW 200基于分组的5-tuple的信息，判定是否是非法通 信的分组，在判定为非法通信的情况下，丢弃分组。

此处，FW 200针对通过自身的分组，输出各种日志。例如，FW 200输出通过自 身的分组的5-tuple的信息、该分组的通过时刻(分组通过的时间戳)的信息、以及 针对该分组的判定结果(能否通过的结果)的信息等。此外，上述信息只是一例，FW 200能够根据设备适当输出其它信息。此外，FW 200也可以输出各种日志，存储各 种日志。

代理服务器300代理企业内NW中包含的用户PC以及文件服务器与互联网中包 含的终端以及服务器之间的通信。即，在企业内NW中包含的用户PC或文件服务器 访问互联网的情况下，代理服务器300以代理的方式执行与访问目的地的终端或服务 器之间的通信。

此外，代理服务器300在与互联网中包含的终端以及服务器的通信中，将一次读 入的文件保持(缓存)一定期间，在从企业内NW中包含的用户PC或文件服务器发 出相同的连接请求的情况下，提供缓存的文件。此外，代理服务器300基于分组的目 的地URL(Uniform Resource Locator：统一资源定位符)等，限制互联网上的连接目 的地的Web站点或连接源的用户终端。

此处，代理服务器300存储自身代理的通信中的分组的日志。例如，代理服务器 300存储通信的连接时间、连接源的用户终端、连接结果、分组的收发大小、访问方 法、访问目的地的URL的信息、进行通信的时刻(执行通信的时间戳)的信息等。 此外，上述信息只是一例，代理服务器300也可以根据设备而适当存储其它信息。

网络监视装置100监视在企业内NW中传输的分组，高精度地检测非法通信。 具体而言，如图1所示，网络监视装置100从FW 200以及代理服务器300收集分组 的信息，检测非法通信。例如，如图1所示，网络监视装置100从FW 200或代理服 务器300收集日志信息(适当记作“日志数据”)并进行分析，由此，进行如下检测 等：“1：在企业内NW中，在感染了病毒等的感染用户PC与互联网上的恶意站点之 间执行的通信”；“2：企业内NW的内部的非法通信的调查”；以及“3：互联网上的 攻击者与企业内NW中包含的服务器等的通信以及攻击者的数据窃取”。

[第1实施方式的网络监视装置的结构]

接下来，对第1实施方式的网络监视装置的结构进行说明。图2是示出第1实施 方式的网络监视装置100的结构的一例的图。如图2所示，网络监视装置100与FW 200以及代理服务器300连接，监视企业内NW中的通信。此外，在图2中，FW 200 以及代理服务器300分别各示出1台，而实际上，任意台数的FW 200以及代理服务 器300与网络监视装置100连接。

如图2所示，网络监视装置100具有通信控制I/F部110、输入部120、显示部 130、存储部140和控制部150。进而，网络监视装置100从企业内NW中包含的FW 200以及代理服务器300收集日志信息，基于收集到的日志信息，监视企业内NW中 的通信。

通信控制I/F部110控制关于在企业内NW中包含的FW 200以及代理服务器300 与控制部150之间交换的各种信息的通信。例如，通信控制I/F部110控制与来自FW 200以及代理服务器300的日志收集相关的通信。此外，通信控制I/F部110控制输 入部120以及显示部130与控制部150之间的各种信息的交换。

输入部120例如为键盘或鼠标等，受理用户进行的各种信息的输入处理。举出一 例，输入部120受理用于分析日志信息的条件等的输入处理等。此外，关于用于分析 日志信息的条件，将在后面记述。显示部130例如为显示器等，向用户显示输出处理 结果。举出一例，显示部130显示输出与用于分析日志信息的条件对应的日志信息。 即，显示部130显示输出与企业内NW中的非法通信相关的日志信息。

如图1所示，存储部140具有日志DB141、分析信息DB142和分析结果DB143。 存储部140例如为硬盘、光盘等存储装置、或者RAM(Random Access Memory：随 机存取存储器)、闪速存储器(Flash Memory)等半导体存储器元件，存储由网络监 视装置100执行的各种程序等。

日志DB141存储通过后述的控制部150从FW 200以及代理服务器300中的至 少一方收集到的日志。具体而言，日志DB141存储由后述的控制部150从FW 200 以及代理服务器300中的至少一方收集并进行标准化后的日志信息。例如，日志 DB141存储如下这样的日志信息，该日志信息是对包含通过FW 200或代理服务器 300的分组的5-tuple的信息(目的地IP地址、发送源IP地址、目的地端口、发送端 口以及协议)或通信的连接时间、连接结果、分组的收发大小、访问目的地URL信 息、时间戳的信息进行标准化而得到的。

图3是示出由第1实施方式的日志DB141存储的日志信息的一例的图。例如， 如图3所示，日志DB141基于时间戳的信息，存储使各分组的信息按时间顺序排列 而成的日志信息。即，如图3所示，在日志DB141中，存储如下这样的日志信息， 在该日志信息中，目的地IP地址、发送源IP地址、目的地端口、发送端口、协议、 发送大小、接收大小、目的地URL、用户代理、请求方法、判定结果与“日期/时刻” 对应起来。

此处，图3所示的“日期/时刻”表示分组通过FW 200的时刻、或代理服务器 300执行通信的时刻。此外，图3所示的“目的地IP地址”表示分组的目的地的终 端(企业内NW的用户PC、互联网上的终端等)、或服务器(企业内NW的文件服 务器、互联网上的服务器等)的IP地址。此外，图3所示的“发送源IP地址”表示 分组的发送源的终端(企业内NW的用户PC、互联网上的终端等)或服务器(企业 内NW的文件服务器、互联网上的服务器等)的IP地址。

此外，图3所示的“目的地端口”表示作为分组的目的地的终端(企业内NW的 用户PC、互联网上的终端等)或服务器(企业内NW的文件服务器、互联网上的服 务器等)的端口。此外，图3所示的“发送端口”表示作为分组的发送源的终端(企 业内NW的用户PC、互联网上的终端等)或服务器(企业内NW的文件服务器、互 联网上的服务器等)的端口。此外，图3所示的“协议”表示在分组的收发中使用的 通信协议。

此外，图3所示的“发送大小”表示FW 200或代理服务器300发送的分组的大 小。此外，图3所示的“接收大小”表示FW 200或代理服务器300接收到的分组的 大小。此外，图3所示的“目的地URL”表示由终端(企业内NW的用户PC、互联 网上的终端等)访问的服务器(企业内NW的文件服务器、互联网上的服务器等) 上的站点的URL。

此外，图3所示的“用户代理”表示访问服务器(企业内NW的文件服务器或 互联网上的服务器等)上的站点的终端(企业内NW的用户PC或互联网上的终端等) 的浏览器的信息。例如，在用户请求阅览Web站点时，从浏览器向主管站点的服务 器发送一系列的报头。各报头包含用于在服务器侧决定提供被请求阅览的信息的最佳 方法的详细信息。此处，“用户代理”是用于识别向服务器请求信息的应用程序的报 头。举出一例，在“用户代理”中包含请求阅览Web站点的终端的浏览器、浏览器 的版本、OS等信息。

此外，图3所示的“请求方法”表示从终端(企业内NW的用户PC、互联网上 的终端等)向(企业内NW的文件服务器、互联网上的服务器等)发送的请求。作 为“请求方法”，例如有浏览器向服务器请求取得Web站点“GET”或仅请求报头的 信息的“HEAD”、向服务器请求上传文件的“PUT”、“POST”等。

此外，图3所示的“判定结果”表示FW 200或代理服务器300的判定结果。例 如，“判定结果”包含如下结果：基于由用户预先定义的条件的、用户PC与互联网 之间的分组的传输控制的结果。此外，“判定结果”例如包含如下结果：基于分组的 目的地URL等的、互联网上的连接目的地的Web站点或连接源的用户终端的连接限 制的结果。

如上所述，日志DB141存储由后述的控制部150收集的、图3示出的日志信息。 此处，图3所示的日志信息只是一例，实施方式不限于此。即，日志DB141也可以 存储其它信息作为日志信息。此外，针对全部分组，并非收集图3所示的全部信息， 例如，收集与输出日志的日志输出设备对应的日志。换言之，根据日志输出设备的种 类，有时不收集某些信息。

返回图2，分析信息DB142存储后述的控制部150的分析中使用的信息。具体 而言，分析信息DB142存储从由日志DB141存储的日志信息中提取满足规定条件的 日志信息时的各种信息。例如，分析信息DB142存储根据分组的报头中包含的信息 来提取日志信息的情况下的作为关键字(key)的信息。举出一例，分析信息DB142 存储根据用户代理中包含的字符串来提取日志信息的情况下的作为关键字的信息。例 如，分析信息DB142存储用于提取日志信息的规定字符串，该日志信息的用户代理 中包含规定字符串以外的字符串。此外，上述例子只是一例，由分析信息DB142存 储的信息不限于此。即，关于分析信息DB142，只要是能够在从日志DB141存储的 日志信息中提取满足规定条件的日志信息时使用的信息，则可以存储任意的信息。

分析结果DB143存储后述的控制部150的分析结果。具体而言，分析结果DB143 存储如下这样的日志信息：该日志信息是后述的控制部150根据规定的条件从存储在 日志DB141的日志信息中提取的。更具体而言，分析结果DB143存储如下这样的日 志信息：通过随时间的经过而分析日志DB141中存储的日志信息而提取出的、在规 定期间中满足规定条件。

控制部150具有日志收集部151、日志分析部152和输出控制部153。控制部150 例如为CPU(Central Processing Unit：中央处理器)、MPU(Micro Processing Unit： 微处理单元)等电子电路、ASIC(Application Specific Integrated Circuit：专用集成电 路)或FPGA(Field Programmable Gate Array：现场可编程门阵列)等集成电路，执 行网络监视装置100的整体控制。

日志收集部151针对在企业内NW中传输的分组，从企业内NW中包含的从FW 200以及代理服务器300中的至少一方，收集与通过的分组相关的日志。具体而言， 日志收集部151从FW 200收集分组的5-tuple的信息、该分组的通过时刻(分组通过 的时间戳)的信息、针对该分组的判定结果(是否为非法通信的结果)的信息等。此 外，日志收集部151从代理服务器300收集通信的连接时间、连接源的用户终端、连 接结果、分组的收发大小、访问方法、访问目的地的URL的信息、进行通信的时刻 (执行通信的时间戳)的信息等。

然后，日志收集部151对收集到的信息进行标准化，由此，将形式不同的日志文 件转换为统一的共通形式的日志信息。然后，日志收集部151将标准化后的日志信息 保存在日志DB141中。例如，日志收集部151将对上述日志的信息进行标准化后的 日志信息保存在日志DB141中(参照图3)。即，日志收集部151将包含有在企业内 NW中传输的分组中的目的地IP地址、发送源IP地址、目的地端口、发送端口、协 议、分组的收发大小、分组的目的地URL、用户代理、请求方法、FW 200或代理服 务器300的判定结果和时刻信息的日志信息作为日志信息而保存在日志DB141中。

此处，日志收集部151还能够根据后述的日志分析部152的日志信息的分析条件， 选择要收集的日志信息。例如，日志收集部151收集包含有在网络中传输的分组中的 目的地IP地址、发送源IP地址、目的地端口、发送端口、协议和时刻信息(时间戳) 的日志。或者，日志收集部151收集包含有在网络中传输的分组中的目的地IP地址、 发送源IP地址、目的地端口、发送端口、协议、分组的收发大小和时刻信息(时间 戳)的信息。或者，日志收集部151收集包含有在网络中传输的分组中的目的地IP 地址、发送源IP地址、目的地端口、发送端口、协议、分组的目的地URL、用户代 理、请求方法和时刻信息(时间戳)的信息作为日志信息。即，通过选择被收集的日 志信息，由日志收集部151保存到日志DB141中的日志信息的结构适当变化。

日志分析部152随时间的经过而分析由日志收集部151收集到的日志信息，由此， 提取在规定期间中满足规定条件的日志信息。具体而言，日志分析部152基于由日志 收集部151收集到的日志信息，提取在规定期间中通信的连接数以及间隔满足规定条 件的日志信息。例如，日志分析部152使用由日志收集部151收集到的日志信息的目 的地IP地址、发送源IP地址、目的地端口、发送端口、协议和时刻信息，从日志 DB141存储的日志信息中提取如下日志信息：通信的连接数为“10次”、且其时间间 隔每“30秒”产生的通信持续了规定期间。然后，日志分析部152将提取出的日志 信息保存在分析结果DB143中。

此外，日志分析部152基于由日志收集部151收集到的日志信息，提取在规定期 间中分组的收发大小满足所述规定条件的日志信息。例如，日志分析部152使用由日 志收集部151收集到的日志信息的目的地IP地址、发送源IP地址、目的地端口、发 送端口、协议、分组的收发大小和时刻信息，从日志DB141存储的日志信息中提取 分组的收发大小分别超过规定字节数的通信持续了规定期间的日志信息。然后，日志 分析部152将提取出的日志信息保存在分析结果DB143中。

此外，日志分析部152基于由日志收集部151收集到的日志信息，提取在规定期 间中日志包含的原始的通信的报头信息满足规定条件的日志信息。例如，日志分析部 152使用由日志收集部151收集到的日志信息的目的地IP地址、发送源IP地址、目 的地端口、发送端口、协议、分组的目的地URL、用户代理、请求方法和时刻信息， 提取用户代理中包含的字符串为未存储在分析信息DB142中的字符串的通信持续了 规定期间的日志信息。然后，日志分析部152将提取出的日志信息保存在分析结果 DB143中。

这样，日志分析部152随时间的经过而分析由日志收集部151收集到的日志信息， 由此，提取在规定期间中满足规定条件的日志信息。此处，上述提取的例子只是一例， 用户能够任意设定提取日志信息的条件。例如，也可以对多个信息(例如图3所示的 各信息)设定各种条件，提取满足设定的条件的通信持续规定期间的日志信息。此外， 关于这些条件的设定，可以是如下情况：在分析日志信息时用户经由输入部120输入， 或者也可以是如下情况：日志分析部152读出预先设定的条件。此处，用户通过设定 各种被类推为非法通信的条件而进行分析，能够检测出非法通信的可能性较高的日志 信息。

输出控制部153进行控制，以向显示部130显示输出由日志分析部152分析后存 储在分析结果DB143中的分析结果。即，输出控制部153显示输出根据由用户设定 的条件而提取出的日志信息。因此，用户通过设定各种被类推为非法通信的条件，由 此，能够在显示部130中确认非法通信的可能性较高的信息。

[第1实施方式的网络监视装置的处理的步骤]

接下来，使用图4，对第1实施方式的网络监视装置100的处理的步骤进行说明。 图4是示出第1实施方式的网络监视装置100的处理的步骤的流程图。如图4所示， 在第1实施方式的网络监视装置100中，日志收集部151从FW 200以及代理服务器 300收集日志信息(步骤S101)，将收集到的日志信息标准化，保存在日志DB141中 (步骤S102)。

然后，在输入部120从操作者受理了分析条件时(步骤S103：肯定)，日志分析 部152提取与受理的分析条件对应的日志信息(步骤S104)。然后，日志分析部152 将作为提取出的日志信息的分析结果保存在分析结果DB143中(步骤S105)。此外， 持续执行日志信息的收集，直到日志分析部152受理到分析条件为止(步骤S103： 否定)。

然后，输出控制部153在显示部130中显示输出分析结果DB143中存储的分析 结果(步骤S106)。

[第1实施方式的效果]

如上所述，根据第1实施方式，日志收集部151针对在企业NW中传输的分组， 从企业NW中包含的FW 200以及代理服务器300的至少一方收集日志信息。然后， 日志分析部152随时间的经过而分析由日志收集部151收集到的日志信息，由此，提 取在规定期间中满足规定条件的日志信息。因此，第1实施方式的网络监视装置100 基于满足规定条件的日志信息的随时间变化来提取日志信息，由此，能够检测出此前 看漏的非法通信的候选，能够高效地确定非法通信。

例如，在现有技术的FW中，按每个分组决定能否通过，如果单一地观察关于攻 击成功时的通过的分组的日志，则不能区分出攻击者的通信，有时对持续进化的未知 的攻击应对迟缓。此外，例如，在现有技术的IDS或IPS的签名型中，也是基于预先 定义的模式，因此，有时对未知的攻击的应对迟缓。与此相对，在本申请的网络监视 装置100中，通过进行满足规定条件的日志信息的随时间经过的分析，能够检测出以 往不能检测的攻击等，能够高效地确定非法通信。

此外，例如，在本申请的网络监视装置100中，通过灵活地改变与FW 200或代 理服务器300中存储的多个日志的信息相关的规定条件，能够大范围地检测出非法通 信。

此外，根据第1实施方式，日志收集部151收集包含有在企业NW中传输的分 组中的目的地IP地址、发送源IP地址、目的地端口、发送端口、协议和时间戳的信 息作为日志信息。进而，日志分析部152基于由日志收集部151收集到的日志信息， 提取在规定期间中通信的连接数以及间隔满足规定条件的日志信息。因此，第1实施 方式的网络监视装置100例如能够检测出与恶意站点持续执行的通信或互联网上的 攻击者的数据窃取等非法通信。

此外，根据第1实施方式，日志收集部151收集包含有在网络中传输的分组中的 目的地IP地址、发送源IP地址、目的地端口、发送端口、协议、分组的收发大小和 时间戳的信息作为日志信息。此外，日志分析部152基于由日志收集部151收集到的 日志信息，提取在规定期间中分组的收发大小满足规定条件的日志信息。因此，第1 实施方式的网络监视装置100例如能够检测从互联网上的攻击者对企业NW内的文 件服务器的攻击等非法通信。

此外，根据第1实施方式，日志收集部151收集包含有在企业NW中传输的分 组中的目的地IP地址、发送源IP地址、目的地端口、发送端口、协议、分组的目的 地URL、用户代理、请求方法和时间戳的信息作为日志信息。日志分析部152基于 由日志收集部151收集到的日志信息，提取在规定期间中日志包含的原始的通信的报 头信息满足规定条件的日志信息。因此，第1实施方式的网络监视装置100例如能够 检测包含非法HTTP报头信息的非法通信。

(第2实施方式)

接下来，对第2实施方式的检查装置(对应于第1实施方式的网络监视装置)进 行说明。在第2实施方式的检查装置中，能够检测出目前难以检测的网络攻击，此外， 能够检测出攻击成功后的与攻击者之间的通信或信息泄漏等现象。

目前，使企业内网络等内部网络与互联网等外部网络连接来利用在外部网络上展开 的各种服务是非常普遍的。另一方面，针对经由网络的各种服务或基础设施(社会基础 设施)的网络攻击日益进化为使用多种各种方法的顽固的方式，这些威胁日益增大。

作为这些威胁的一例，存在如下方式：从外部网络非法地访问设置在内部网络内 的服务器，盗取机密信息。还存在如下方式：不仅简单地从外部网络非法地访问内部 网络，还对与内部网络连接的PC(个人计算机)非法地植入恶意软件，即，通过恶 意软件感染PC，使用该感染后的软件从内部网络内的服务器非法收集信息，发送给 外部。此外，还存在如下方式：通过从外部网络向内部网络发送非法分组，由此妨碍 内部网络内的服务器的正常动作。

为了使内部网络防御这样的威胁，在外部网络与内部网络的连接点设置防火墙 (FW)，并配备IDS/IPS。IDS/IPS是如下系统：检测来自怀疑是外部的入侵的现象， 此外，在检测出这样的现象的情况下，执行通信的切断等必要的防御对策。

图5是示出用于检测非法访问或入侵并进行防御的系统的结构的一例的图。此 处，内部网络62与外部网络61连接。任意一个网络均传输IP分组，使用TCP(传 输控制协议(Transmission Control Protocol))或UDP(用户数据协议(User Datagram  Protocol))作为IP的上位层协议。

在外部网络61与内部网络62之间设置有防火墙71，防火墙71用于通过进行分 组过滤来防止非法通信。防火墙71基于分组报头中包含的所谓五元组(5-tuple)，执 行分组过滤的处理。五元组是5个参数的组合，该5个参数由IP分组的报头中包含 的发送源IP地址、目的地IP地址和协议、TCP分组或UDP分组的报头中包含的发 送源端口编号以及目的地端口编号构成。防火墙71具有日志功能，能够向管理者提 供与要通过的分组能否通过相关的日志。

在内部网络62内设置有例如服务器75、76，并且，为了检测和防御防火墙71 无法阻止的非法访问或入侵等网络攻击，还设置有IDS/IPS73。IDS/IPS73在检测出 非法访问或入侵等时，向网络的管理者63发出警报。

作为为了检测非法访问或入侵而在IDS/IPS73中使用的检测方法，大致分为签名 型和异常型。在签名型的检测方法中，以非法访问或入侵等为特征的比特串是已知的， 检查通过网络内的某地点的分组，在其中存在非法比特串的情况下，检测为异常。另 一方面，在异常型中，针对资源的负载或通信量、用户的行为等定义正常状态，监视 各种日志、统计信息、负载量或通信量等，在网络或与其连接的服务器的状态偏离正 常状态的情况下，检测为异常。签名型基于与预先定义的模式之间的匹配，前提是非 法比特串是已知的，因此，具有对未知的攻击的应对迟缓这样的问题。另一方面，在 异常型中，在将正常状态定义得较严格时，误检测增多，因此，存在难以无遗漏地发 现非法通信的问题。

网络攻击的方法在进化而变得多样化，如果依靠观察判断来自防火墙的日志或者 通过使用IDS/IPS等与签名或模式文件的匹配来进行防御的方法，则难以应对持续进 化的网络攻击。因此，依靠现有的防火墙或IDS/IPS这样的安全设备的防御是不够的， 需要无遗漏地检测网络攻击的新技术。此外，也存在将通信流量超过阈值的情况或者 偏离预先设定的模式的情况检测为异常的安全设备，但存在如下等问题：不能检测出 内部网络上的感染终端(被植入了恶意软件的终端)与外部网络侧的攻击者之间的持 续通信等。

因此，在第2实施方式的检查装置中，通过检测目前难以检测的上述进化的网络攻 击并检测攻击成功后的与攻击者之间的通信或信息泄漏等现象，由此，解决上述问题。

接下来，参照附图，对第2实施方式的检查装置进行说明。图6是示出第2实施 方式的检查装置的结构的框图。

图6所示的检查装置20设置在传输IP分组的内部网络中。内部网络经由防火墙 41与作为外部网络的互联网连接，此外，在内部网络内设置有用于Web访问的代理 服务器44。代理服务器44对从内部网络内的终端向互联网上的网站的访问进行代理， 根据需要进行访问限制，尤其是，进行基于http(超文本传输协议：Hypertext  Transmission Protocol)或https(http secure)的消息的代理响应、传输控制。第2实 施方式的检查装置20与IDS/IPS这样的现有安全设备独立地设置。检查装置20使用 防火墙41和来自代理服务器44的日志，进行着眼于日志的时间顺序的相关分析，从 其分析结果中提取非法模式，由此检测网络攻击或信息泄漏的产生。着眼于时间顺序 的相关分析优选长期地进行。检查装置20在从防火墙41以及代理服务器44取得的 日志中，特别使用五元组、发送大小、接收大小、目的地URL、User-Agent名、请 求方法以及时间戳。此处，发送大小以及接收大小可以从防火墙41的日志中得到， 也可以从http报头中得到。目的地URL、User-Agent名以及请求方法均从http报头 或https报头中得到。时间戳是与防火墙41、代理服务器44等设备中的日志的记录 相关的时刻信息，例如表示与日志对应的事件的产生时刻或实际记录日志的时刻。

如图6所示，这样的检查装置20大体由日志收集部21和日志分析部22构成， 日志收集部21从防火墙41以及代理服务器44收集日志数据并进行存储，日志分析 部22进行日志收集部21中存储的日志数据的分析。

日志收集部21具有：收集执行部31，其从防火墙41以及代理服务器44收集日 志数据；标准化部32，其进行日志数据的标准化，以便容易地进行分析；日志管理 存储部33，其保存标准化后的日志数据；以及日志提取部34，其根据来自日志分析 部22的询问，检索日志管理存储部33内的日志数据，受理来自日志管理存储部33 的检索结果的响应，发送给日志分析部22。收集执行部31收集的日志数据例如除了 包含目的地IP地址、发送源IP地址、目的地端口、发送端口、协议的五元组的信息 以外，还包含发送大小、接收大小、目的地URL、User-Agent名、请求方法、时间 戳的信息。此外，日志数据还可以包含判定结果(将其称作设备判定结果)或者防火 墙41和代理服务器44的各个装置ID等信息，其中，判定结果表示在防火墙41和代 理服务器44中是使作为对象的分组或http消息通过了、还是视为非法而拒绝了。在 从防火墙41或代理服务器44输出的日志数据的格式统一的情况下，即使不进行标准 化处理也可容易地进行分析，因此，可以不设置标准化部32，而直接将收集执行部 31收集到的日志数据保存在日志管理存储部33中。

另一方面，日志分析部22具有：日志取得部35，其向日志收集部21的日志提 取部34进行询问，取得日志；分析执行部36，其向日志取得部35请求日志数据， 受理其响应，根据设定的分析条件，进行日志数据的分析；以及分析结果DB(数据 库)37，其保存从分析执行部36输出的分析结果。此外，为了进行灵活的分析以及 提高分析精度，日志分析部22还可以具有保存网络(NW)信息的存储部38(适当 记作“NW信息38”)以及保存各种分析规则作为分析条件的存储部39(适当记作“分 析规则39”)。网络信息是监视对象的网络的拓扑或地址以及子网等的信息，被用于 在日志取得部35从日志收集部21取得日志数据时，判别与日志数据相关的通信方向 是哪个方向(是从内部网络朝向外部网络的通信、还是其反方向，或者是局限于内部 网络的通信)。判别出的通信方向与日志数据一同被发送给分析执行部36。

在该检查装置20中，分析执行部36能够从存储部39读入多个分析规则，所述 分析规则不针对单一的日志数据而针对多个日志数据分析时序相关性。在读入多个分 析规则的情况下，分析执行部36将日志收集部21蓄积的日志数据中的由各分析规则 规定的项目的值用于分析，输出各分析规则的分析结果。进而，分析执行部36根据 各分析规则的分析结果的组合模式，识别非法通信的候选，输出该候选。

接下来，对该检查装置20的动作进行说明。

从内部网络内的防火墙41以及代理服务器44随时发送日志数据，在日志收集部 21中，收集执行部31收集这些日志数据，传输给标准化部32，标准化部32进行日 志数据的标准化，保存在日志管理存储部33内。另一方面，在日志分析部22中，分 析执行部36向日志取得部35发送日志数据请求，日志取得部35基于日志数据请求， 向日志收集部21内的日志提取部34进行询问，日志提取部34基于询问，检索日志 管理存储部33内的日志数据。针对该检索的结果响应从日志管理存储部33发送给日 志提取部34，由此，日志取得部35从日志提取部34取得日志数据。接下来，日志 取得部35基于NW信息38内的网络信息，判定与取得的日志数据相关的通信的通 信方向，将日志数据和通信方向的判定结果作为日志数据响应而发送给分析执行部 36。于是，分析执行部36将从分析规则39读出的单一或多个分析规则应用于日志数 据，通过时序相关分析，提取非法通信的候选。尤其是，在应用了多个分析规则的情 况下，分析执行部36解析根据多个分析规则得到的分析结果的输出频度或模式，由 此，更高精度地检测非法通信。提取出的非法通信的候选被蓄积在分析结果DB37中。

在企业内的多个内部网络中，能够通过防火墙的分组的协议或端口编号是受限定 的。能够通过的数量少的协议/端口编号的代表性例子是用于Web访问的http消息。 因此，可认为在使内部网络上的终端感染恶意的软件、使用该软件盗取内部网络上的 终端或服务器内的数据的情况下，攻击者会利用http消息。在第2实施方式的检查装 置20中，除了使用来自防火墙41的日志数据以外，还使用来自Web访问用的代理 服务器44的日志数据，由此，能够检测出可疑的http通信，尤其是，能够检测出感 染终端与攻击者之间的通信或者有可能发生信息泄漏的通信。

在第2实施方式的检查装置20中，作为其使用的日志数据自身，能够利用从现 有的装置输出的日志数据，因此，能够在不会给网络结构带来较大影响的情况下导入。

以下，针对能够在第2实施方式的检查装置20中利用的分析规则的例子进行说 明，特别是，对能够用于检测感染终端与攻击者之间的通信或有可能发生信息泄漏的 通信、能够对日志数据分析时序相关的分析规则的例子进行说明。

(1)着眼于http连接的发送字节数，基于日志收集部21中蓄积的日志数据中的 至少五元组的信息、发送字节数和时间戳的信息，参照时间戳的时刻信息，将在设定 的期间内发送字节数的值与正常值存在差异的通信作为有非法嫌疑的通信。

(2)着眼于http连接的数量，基于日志收集部21中蓄积的日志数据中的至少五 元组的信息和目的地URL、时间戳的信息，参照时间戳的时刻信息，将在设定的期 间内同一通信的组的连接数与正常值存在差异的通信作为有非法嫌疑的通信。

(3)假定在内部网络预先设定有策略，着眼于违反策略的连接，基于日志收集 部21中蓄积的日志数据中的至少五元组的信息、上述的设备判定结果、时间戳的信 息，参照时间戳的时刻信息，将在设定的期间内同一通信的组的连接中的违反策略的 产生频度与正常值存在差异的通信作为有非法嫌疑的通信。

(4)着眼于http连接的收发字节数的差分，基于日志收集部21中蓄积的日志数 据中的至少五元组的信息、发送字节数、接收字节数和时间戳的信息，参照时间戳的 时刻信息，将在设定的期间内发送字节数与接收字节数之差的值和正常值存在差异的 通信作为有非法嫌疑的通信。

(5)着眼于http通信的报头的信息中的User-Agent名，基于日志收集部21中 蓄积的日志数据中的至少五元组的信息、User-Agent名、时间戳的信息，参照时间戳 的时刻信息，将在设定的期间内User-Agent名与正常值存在差异的通信作为有非法 嫌疑的通信。

(6)着眼于http通信的报头的信息中的请求方法和收发字节数，基于日志收集部 21中蓄积的日志数据中的至少五元组的信息、发送字节数、接收字节数、请求方法和 时间戳的信息，参照时间戳的时刻信息，将在设定的期间内特定的请求方法以及伴随 于其通信的收发字节数之差的值和正常值存在差异的通信作为有非法嫌疑的通信。

(7)着眼于目的地URL，基于日志收集部21中蓄积的日志数据中的至少五元 组的信息、目的地URL和时间戳的信息，参照时间戳的时刻信息，将在设定的期间 内目的地URL存在异常的通信作为有非法嫌疑的通信。

例如，第2实施方式的检查装置20可以构成为专用硬件，但也可以通过如下方 式实现：利用具有微处理器或存储器、通信接口等的通用的计算机，使执行检查装置 20的功能的计算机程序在该计算机上执行。此外，第1实施方式的网络监视装置100 也相同。

图7是示出应用了第2实施方式的检查装置的网络的结构的一例的图。作为内部 网络的企业内网络12与互联网11连接，在企业内网络12与互联网11的连接点设置 有防火墙41。在企业内网络12内，设置有与防火墙41连接的交换机(SW)/路由器 42，对于交换机/路由器42，设置有IDS/IPS43、代理服务器44、文件服务器45、46、 作为终端的用户PC47～49。而且，上述检查装置20被设置为从防火墙41以及代理 服务器44接收日志数据。虽未图示，在企业内网络12中，该网络也可以进一步分割 为几个区段，在区段分割点设置有内部防火墙。如果内部防火墙的日志数据也被提供 给检查装置20，则能够检测出以企业内网络12内为始点/终点的有非法嫌疑的通信。

假设在互联网11中存在恶意站点51，此外，还存在攻击者52。此处，用户PC47～ 49中的由双重线的框所示的用户PC49为被植入恶意软件的感染终端。在攻击者要从 企业内网络12内窃取信息的情况下，在典型的例子中，首先，如[1]所示，用户PC49 与恶意站点51进行通信，受到调查文件服务器45、46的指示，进而，如[2]所示， 用户PC49进行内部的调查活动，从文件服务器45、46取得信息，最后，如[3]所示， 作为感染终端的用户PC49作为攻击者52进行通信，将非法取得的数据发送给攻击 者52，由此，将数据带出到互联网11侧。通过使用第2实施方式的检查装置20，应 用上述那样的分析规则，无论在图中的[1]、[2]、[3]所示的哪个阶段，都能基于来自 防火墙41以及内部防火墙中的至少一方的日志数据、来自代理服务器44的日志数据， 检测出有非法嫌疑的通信。

这样，在第2实施方式的检查装置中，使用来自防火墙以及代理服务器这种现有 的通常会设置在网络中的装置的日志数据，组合这些日志数据，由此，具有能够检测 出有非法嫌疑的通信、尤其是能够检测出攻击成功后的与攻击者之间的通信或信息泄 漏等现象的效果。

(第3实施方式)

至此，对第1实施方式以及第2实施方式进行了说明，但本申请的实施例不限于 第1实施方式以及第2实施方式。即，这些实施例能够以其它各种各样方式来实施， 能够进行各种省略、置换、变更。

例如，各装置的分散/整合的具体方式(例如图2的方式)不限于图示的方式， 能够根据各种负载或使用状况等，以任意单位在功能上或物理上对其全部或一部分进 行分散/整合。举出一例，可以将日志DB141和分析结果DB143整合为1个DB，另 一方面，也可以是使日志收集部151分散成收集日志的收集部与进行标准化处理的标 准化处理部。此外，关于存储部140，也可以是利用现有的管理系统或利用外部的 DB的情况。即，也可以是如下情况：现有的管理系统的DB或外部的DB具有存储 部140中包含的日志DB141、分析信息DB142以及分析结果DB143，控制部150访 问现有的管理系统的DB或外部的DB，执行信息的读写。

此外，可以将控制部150作为网络监视装置100的外部装置，经由网络进行连接， 或者，也可以是，不同的装置分别具有日志收集部151和日志分析部152，与网络连 接而进行协作，由此，实现上述网络监视装置100的功能。

在上述第1实施方式中，以在互联网与企业NW之间收发分组的情况为1例而 进行了说明。但是，实施方式不限于此，例如，如果是在多个网络之间收发分组的环 境，则无论怎样的环境均可应用。

在上述第1实施方式中，如图1所示，对企业NW中包含2台FW 200和1台代 理服务器300的情况进行了说明。但是，实施方式不限于此，各装置的台数可根据网 络而任意变更。即，网络监视装置100从配置在监视的网络内的FW 200以及代理服 务器300分别收集日志信息。

在上述第1实施方式中，对从FW 200以及代理服务器300分别收集日志信息的 情况进行了说明。但是，实施方式不限于此，例如，也可以是从其中任意一方收集日 志信息的情况。

这些实施例或其变形与本申请公开的技术中同样地包含在专利请求的范围所述 的发明及其等同范围中。

标号说明

11互联网；12企业内网络；20检查装置；21、151日志收集部；22、152日 志分析部；31收集执行部；32标准化部；33日志管理存储部；34日志提取部；35 日志取得部；36分析执行部；37、143分析结果数据库(DB)；38保存网络(NW) 信息的存储部；39保存分析规则的存储部；41、200防火墙(FW)；42开关/路由器； 43IDS/IPS；44、300代理服务器；45、46文件服务器；47～49用户PC；100网络 监视装置；141日志DB；142分析信息DB；153输出控制部。