JP2010146160A - Communication management device, communication management method, and program - Google Patents
Communication management device, communication management method, and program Download PDFInfo
- Publication number
- JP2010146160A JP2010146160A JP2008320899A JP2008320899A JP2010146160A JP 2010146160 A JP2010146160 A JP 2010146160A JP 2008320899 A JP2008320899 A JP 2008320899A JP 2008320899 A JP2008320899 A JP 2008320899A JP 2010146160 A JP2010146160 A JP 2010146160A
- Authority
- JP
- Japan
- Prior art keywords
- information
- abnormality
- rule
- determination
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
Description
本発明は、ユーザが利用するユーザ端末と、WEBサイト等のサーバ装置との通信を管理する通信管理装置等に関するものである。 The present invention relates to a communication management device for managing communication between a user terminal used by a user and a server device such as a WEB site.
従来、企業等の組織内のユーザ端末から、インターネット等のネットワーク等を介して外部のWEBサーバに対して行われたアクセスについてのアクセスログを収集するアクセスログ収集システム等が知られていた(例えば、特許文献1参照)。
しかしながら、従来の技術においては、ユーザ端末とサーバ装置との間で行われる通信が正常なものであるか否かを、容易に判断することが非常に困難であるという課題があった。例えば、企業等において、社員が利用するユーザ端末があるWEBサイトにアクセスしている場合に、そのアクセスが業務中に許可されるべきものであるか否かを容易に判断することができない、という課題があった。例えば、ユーザ端末からのアクセスが適切なものであるか否かを判断するためには、通信を管理する管理者等が、ユーザ端末のアクセスログ等を見て、ユーザ端末がアクセスしたWEBサイトに実際にアクセスして、そのWEBサイトが業務中のアクセスに適切したものであるか否かを、確認する必要等があった。 However, in the related art, there is a problem that it is very difficult to easily determine whether or not communication performed between the user terminal and the server device is normal. For example, when a company is accessing a WEB site where a user terminal used by an employee is accessing, it cannot be easily determined whether the access should be permitted during business. There was a problem. For example, in order to determine whether or not the access from the user terminal is appropriate, an administrator who manages communication looks at the access log of the user terminal and the like to the WEB site accessed by the user terminal. There was a need to confirm whether or not the WEB site is actually suitable for access during business by actually accessing it.
本発明の通信管理装置は、ユーザ端末とサーバ装置との間で送受信される情報に関する情報である送受信関連情報を取得する送受信情報取得部と、通信に関する異常を判断するためのルールであって、異常の度合いを示す情報である異常度情報と対応付けられたルールである2以上の異常判断ルールが格納され得る異常判断ルール格納部と、前記送受信情報取得部が取得した送受信関連情報を用いて、ユーザ端末とサーバ装置との間の通信が、前記異常判断ルール格納部に格納されている2以上の異常判断ルールを満たすか否かを判断する異常通信判断部と、前記異常通信判断部が、ルールを満たすと判断した異常判断ルールに対応した異常度情報を取得する異常度情報取得部と、異常度情報取得部が取得した異常度情報が示す異常の度合いが、所定の度合いを超えたか否かを判断する異常度判断部と、前記異常度判断部の判断結果に応じて、異常な通信が行われたことを示す情報である異常通信情報を出力する出力部とを備えた通信管理装置である。 The communication management device of the present invention is a transmission / reception information acquisition unit that acquires transmission / reception related information that is information related to information transmitted / received between the user terminal and the server device, and a rule for determining an abnormality related to communication, Using an abnormality determination rule storage unit that can store two or more abnormality determination rules that are rules associated with abnormality degree information that is information indicating the degree of abnormality, and transmission / reception related information acquired by the transmission / reception information acquisition unit An abnormal communication determination unit that determines whether or not communication between the user terminal and the server device satisfies two or more abnormality determination rules stored in the abnormality determination rule storage unit, and the abnormal communication determination unit includes: The abnormality level information acquisition unit that acquires the abnormality level information corresponding to the abnormality determination rule that is determined to satisfy the rule, and the degree of abnormality indicated by the abnormality level information acquired by the abnormality level information acquisition unit , An abnormality degree determination unit that determines whether or not a predetermined degree has been exceeded, and an output that outputs abnormal communication information that is information indicating that abnormal communication has been performed according to a determination result of the abnormality degree determination unit A communication management device.
かかる構成により、ユーザ端末とサーバ装置との間で行われる通信が異常なものであるか否かを、容易に判断することが可能となる。 With this configuration, it is possible to easily determine whether or not communication performed between the user terminal and the server device is abnormal.
また、本発明の通信管理装置は、前記通信管理装置において、前記異常度の範囲を指定する情報である異常度範囲情報と、異常通信情報の1以上の通知先を指定する情報とを対応付けた通知先情報が格納され得る通知情報格納部を更に備え、前記出力部は、前記異常度情報取得部が取得した異常度情報が示す異常度の範囲を含む異常度範囲情報に対応した通知先情報を、前記通知情報格納部から取得し、当該取得した通知先情報が示す通知先に前記異常通信情報を通知する通信管理装置である。 In the communication management device according to the present invention, in the communication management device, the abnormality range information that is information for specifying the abnormality range is associated with information that specifies one or more notification destinations of the abnormal communication information. A notification information storage unit that can store the notification destination information, wherein the output unit is a notification destination corresponding to the abnormality degree range information including the abnormality degree range indicated by the abnormality degree information acquired by the abnormality degree information acquisition unit. It is a communication management apparatus that acquires information from the notification information storage unit and notifies the abnormal communication information to a notification destination indicated by the acquired notification destination information.
かかる構成により、異常の度合いに応じた適切な通知先に、異常な通信が行われたことを通知することができる。 With this configuration, it is possible to notify an appropriate notification destination according to the degree of abnormality that abnormal communication has been performed.
また、本発明の通信管理装置は、前記通信管理装置において、前記異常判断ルールは、同一のWEBサイトに対するアクセスに関するルールである通信管理装置である。 The communication management apparatus according to the present invention is the communication management apparatus, wherein the abnormality determination rule is a rule relating to access to the same WEB site.
かかる構成により、ユーザ端末とWEBサイトとの間で行われる通信が異常なものであるか否かを、容易に判断することが可能となる。 With this configuration, it is possible to easily determine whether or not communication performed between the user terminal and the WEB site is abnormal.
また、本発明の通信管理装置は、前記通信管理装置において、前記異常判断ルール格納部に格納されている異常判断ルールは、同一WEBサイトに対して所定の時間以上ログインしているというルール、および同一のWEBサイトに対して断続的にデータをアップロードしているというルールを含む通信管理装置である。 In the communication management device of the present invention, in the communication management device, the abnormality determination rule stored in the abnormality determination rule storage unit is a rule that a user logs in to the same WEB site for a predetermined time or more, and This is a communication management device including a rule that data is intermittently uploaded to the same WEB site.
かかる構成により、ユーザ端末から、異常なデータのアップロードが行われているか否かを判断して、WEBサイトとの間で行われる通信が異常なものであるか否かを、容易に判断することが可能となる。例えば、企業等においては、業務に関係のないデータが特定のWEBサイトにアップロードされている可能性や、企業内の情報が特定のWEBサイトに漏洩している可能性等を検出することが可能となる。 With this configuration, it is possible to easily determine whether or not communication with the WEB site is abnormal by determining whether or not abnormal data is uploaded from the user terminal. Is possible. For example, in a company, etc., it is possible to detect the possibility that data not related to business has been uploaded to a specific WEB site, the possibility that information in the company has been leaked to a specific WEB site, etc. It becomes.
また、本発明の通信管理装置は、前記通信管理装置において、前記異常判断ルール格納部に格納されている異常判断ルールは、同一WEBサイトに対して所定の時間以上ログインしているというルール、および同一のWEBサイトから断続的にデータをダウンロードしているというルールを含む通信管理装置である。 In the communication management device of the present invention, in the communication management device, the abnormality determination rule stored in the abnormality determination rule storage unit is a rule that a user logs in to the same WEB site for a predetermined time or more, and It is a communication management device including a rule that data is downloaded intermittently from the same WEB site.
かかる構成により、ユーザ端末から、異常なデータのダウンロードが行われているか否かを判断して、WEBサイトとの間で行われる通信が異常なものであるか否かを、容易に判断することが可能となる。例えば、企業等において、ユーザが、業務に関係のないデータを特定のWEBサイトからダウンロードしている可能性等を検出することが可能となる。 With this configuration, it is possible to easily determine whether or not communication with the WEB site is abnormal by determining whether or not abnormal data is being downloaded from the user terminal. Is possible. For example, in a company or the like, it is possible to detect the possibility that a user is downloading data unrelated to business from a specific WEB site.
また、本発明の通信管理装置は、前記通信管理装置において、前記異常判断ルール格納部に格納されている異常判断ルールは、同一WEBサイトに対して所定の時間帯にログインしているというルール、および同一のWEBサイトに対して断続的にデータをアップロードしているというルールを含む通信管理装置である。 Further, the communication management device of the present invention is the rule that the abnormality determination rule stored in the abnormality determination rule storage unit is logged in to the same WEB site in a predetermined time zone in the communication management device, And a communication management device including a rule that data is intermittently uploaded to the same WEB site.
かかる構成により、ユーザ端末から、異常なデータのアップロードが行われているか否かを判断して、WEBサイトとの間で行われる通信が異常なものであるか否かを、容易に判断することが可能となる。例えば、企業等において、通常の業務時間以外の時間、例えば夜間に、データが特定のWEBサイトに何度もアップロードされている場合に、ユーザが、業務と関係なく、例えば私用で、データのアップロードを行っていること等を検出することが可能となる。 With this configuration, it is possible to easily determine whether or not communication with the WEB site is abnormal by determining whether or not abnormal data is uploaded from the user terminal. Is possible. For example, when data is uploaded many times to a specific WEB site at a time other than normal business hours, such as at night, in a company, etc. It is possible to detect that the upload is being performed.
また、本発明の通信管理装置は、前記通信管理装置において、前記異常判断ルール格納部に格納されている異常判断ルールは、同一WEBサイトに対して所定の時間帯にログインしているというルール、および同一のWEBサイトから断続的にデータをダウンロードしているというルールを含む通信管理装置である。 Further, the communication management device of the present invention is the rule that the abnormality determination rule stored in the abnormality determination rule storage unit is logged in to the same WEB site in a predetermined time zone in the communication management device, And a communication management device including a rule that data is intermittently downloaded from the same WEB site.
かかる構成により、ユーザ端末から、異常なデータのダウンロードが行われているか否かを判断して、WEBサイトとの間で行われる通信が異常なものであるか否かを、容易に判断することが可能となる。例えば、企業等において、通常の業務時間以外の時間、例えば夜間に、データが特定のWEBサイトから何度もダウンロードしている場合に、ユーザが、業務と関係なく、例えば私用でデータのダウンロードを行っていること等を検出することが可能となる。 With this configuration, it is possible to easily determine whether or not communication with the WEB site is abnormal by determining whether or not abnormal data is being downloaded from the user terminal. Is possible. For example, when data is downloaded many times from a specific WEB site at a time other than normal business hours, such as at night, in a company, etc., the user downloads the data for private use regardless of the business. It is possible to detect that the operation is being performed.
また、本発明の通信管理装置は、前記通信管理装置において、前記異常判断ルール格納部に格納されている異常判断ルールは、同一WEBサイトに対して所定の時間以上ログインしているというルール、および同一のWEBサイトに対して所定のタイミングで更新処理を繰り返しているというルールを含む通信管理装置である。 In the communication management device of the present invention, in the communication management device, the abnormality determination rule stored in the abnormality determination rule storage unit is a rule that a user logs in to the same WEB site for a predetermined time or more, and It is a communication management apparatus including a rule that the update process is repeated at a predetermined timing for the same WEB site.
かかる構成により、ユーザ端末から、更新が不必要に行われているか否かを判断して、WEBサイトとの間で行われる通信が異常なものであるか否かを、容易に判断することが可能となる。例えば、企業等においては、一のWEBページを繰り返し更新しながら、長時間閲覧することはあまりないため、このような状況を検出することで、異常を判断することが可能となる。 With this configuration, it is possible to easily determine from the user terminal whether or not the update is performed unnecessarily and whether or not the communication performed with the WEB site is abnormal. It becomes possible. For example, since a company or the like rarely browses for a long time while repeatedly updating one WEB page, it is possible to determine an abnormality by detecting such a situation.
また、本発明の通信管理装置は、前記通信管理装置において、前記異常判断ルール格納部に格納されている異常判断ルールは、同一WEBサイトに対して、所定の期間当たり所定の回数以上アクセスしているというルール、および同一のWEBサイトに対して行われたアクセスのうちの所定の割合よりも多いアクセスの際に、データをアップロードしているというルールを含む通信管理装置である。 In the communication management device according to the present invention, in the communication management device, the abnormality determination rule stored in the abnormality determination rule storage unit accesses the same WEB site a predetermined number of times per predetermined period. And a rule that data is uploaded when there is more access than a predetermined percentage of accesses made to the same WEB site.
かかる構成により、アクセス回数に対するアップロードの割合が高い場合に、異常な通信が行われていることが判断可能である。例えば、通常、WEBサイトの利用においては、データをアップロードする回数は、WEBページを閲覧する回数に比べて非常に少ないため、このような割合によって、異常なアップロードが行われていることを検出することができる。 With this configuration, it is possible to determine that abnormal communication is being performed when the ratio of upload to the number of accesses is high. For example, normally, in the use of a WEB site, the number of times of uploading data is very small compared to the number of times of browsing a WEB page, and therefore, an abnormal upload is detected at such a ratio. be able to.
また、本発明の通信管理装置は、前記通信管理装置において、前記異常判断ルール格納部に格納されている異常判断ルールは、同一WEBサイトに対して、所定の期間当たり所定の回数以上アクセスしているというルール、および同一のWEBサイトに対して行われたアクセスのうちの所定の割合よりも多いアクセスの際に、データをダウンロードしているというルールを含む通信管理装置である。 In the communication management device according to the present invention, in the communication management device, the abnormality determination rule stored in the abnormality determination rule storage unit accesses the same WEB site a predetermined number of times per predetermined period. And a rule that data is downloaded when there is more access than a predetermined percentage of accesses made to the same WEB site.
かかる構成により、アクセス回数に対するダウンロードの割合が高い場合に、異常な通信が行われていることが判断可能である。例えば、通常、WEBサイトの利用においては、データをダウンロードする回数は、WEBページを閲覧する回数に比べて非常に少ないため、このような割合によって、異常なダウンロードが行われていることを検出することができる。 With this configuration, it is possible to determine that abnormal communication is being performed when the ratio of download to the number of accesses is high. For example, normally, in the use of the WEB site, the number of times data is downloaded is very small compared to the number of times the WEB page is browsed. Therefore, it is detected that an abnormal download is performed at such a ratio. be able to.
また、本発明の通信管理装置は、前記通信管理装置において、不適切なWEBページが含み得るキーワードを示す1以上のキーワード情報が格納され得る不適切キーワード情報格納部を更に備え、前記異常判断ルール格納部に格納されている異常判断ルールは、前記同一WEBサイトが、前記キーワード情報が示すキーワードを有するWEBページを含むサイトであるとするルールを更に含む通信管理装置である。 The communication management apparatus according to the present invention further includes an inappropriate keyword information storage unit that can store one or more keyword information indicating keywords that can be included in an inappropriate WEB page in the communication management apparatus, and the abnormality determination rule. The abnormality determination rule stored in the storage unit is a communication management device further including a rule that the same WEB site is a site including a WEB page having a keyword indicated by the keyword information.
かかる構成により、予め指定されたキーワードを含むWEBページにより構成されるWEBサイトに対する通信だけを、異常な通信の判断対象とすることができる。 With this configuration, only communication to a WEB site configured by a WEB page including a keyword specified in advance can be determined as an abnormal communication determination target.
また、本発明の通信管理装置は、前記通信管理装置において、不適切なWEBページを指定する情報である不適切ページ指定情報を受け付ける不適切ページ指定受付部と、前記不適切ページ指定情報が指定するWEBページの情報を取得する不適切ページ情報取得部と、前記不適切ページ情報取得部が取得したWEBページの情報から、不適切なWEBページが含み得るキーワードを取得し、当該キーワードを示すキーワード情報を、前記不適切キーワード情報格納部に蓄積する不適切キーワード取得部を更に備えた通信管理装置である。 Further, the communication management device of the present invention includes an inappropriate page designation receiving unit that accepts inappropriate page designation information that is information for designating an inappropriate WEB page in the communication management device, and the inappropriate page designation information is designated by the inappropriate page designation information. An inappropriate page information acquisition unit that acquires information on the WEB page to be acquired, and a keyword that can be included in the inappropriate WEB page from the information on the WEB page acquired by the inappropriate page information acquisition unit, and a keyword indicating the keyword The communication management apparatus further includes an inappropriate keyword acquisition unit that accumulates information in the inappropriate keyword information storage unit.
かかる構成により、不適切なWEBサイトを判断するためのキーワード情報を、追加していくことが可能となる。 With this configuration, it is possible to add keyword information for determining an inappropriate WEB site.
また、本発明の通信管理装置は、前記通信管理装置において、前記キーワード情報は、前記異常度情報と対応付けられており、前記異常度情報取得部は、前記異常通信判断部が前記同一WEBサイトを前記キーワード情報が示すキーワードを有するWEBページを含むサイトであると判断した場合、当該キーワード情報に対応付けられた異常度情報を取得する通信管理装置である。 In the communication management device according to the present invention, in the communication management device, the keyword information is associated with the abnormality level information, and the abnormality level information acquisition unit is configured so that the abnormal communication determination unit is connected to the same WEB site. Is a communication management device that acquires abnormality level information associated with the keyword information when it is determined that the site includes a WEB page having the keyword indicated by the keyword information.
かかる構成により、異常な通信が行われた場合、WEBページに含まれるキーワード情報に応じて、当該通信の異常度を決めることができる。 With this configuration, when abnormal communication is performed, the degree of abnormality of the communication can be determined according to the keyword information included in the WEB page.
また、本発明の通信管理装置は、前記通信管理装置において、前記出力部が出力する異常通信情報は、異常な通信を行ったユーザ端末に関する情報、異常な通信の通信先のWEBサイトに関する情報、異常な通信の開始時間の情報、または、異常な通信の内容に関する情報を含む通信管理装置である。 Further, in the communication management apparatus of the present invention, in the communication management apparatus, the abnormal communication information output by the output unit includes information on a user terminal that has performed abnormal communication, information on a WEB site that is a communication destination of abnormal communication, The communication management device includes information on the start time of abnormal communication or information on the content of abnormal communication.
かかる構成により、異常の詳細を通知することができる。 With such a configuration, the details of the abnormality can be notified.
本発明による通信管理装置等によれば、ユーザ端末とサーバ装置との間で行われる通信が異常なものであるか否かを、容易に判断することが可能となる。 According to the communication management device and the like according to the present invention, it is possible to easily determine whether or not the communication performed between the user terminal and the server device is abnormal.
以下、通信管理装置等の実施形態について図面を参照して説明する。なお、実施の形態において同じ符号を付した構成要素は同様の動作を行うので、再度の説明を省略する場合がある。 Hereinafter, embodiments of a communication management device and the like will be described with reference to the drawings. In addition, since the component which attached | subjected the same code | symbol in embodiment performs the same operation | movement, description may be abbreviate | omitted again.
(実施の形態)
図1は、本実施の形態における情報処理システムのブロック図である。情報処理システム10は、通信管理装置1、一以上のユーザ端末2、一以上のサーバ装置3を備えている。
(Embodiment)
FIG. 1 is a block diagram of an information processing system in the present embodiment. The
一以上のユーザ端末2および一以上のサーバ装置3は、それぞれ、通信回線やネットワーク等を介して、情報の送受信が可能となるよう接続されている。ネットワークは、例えば、インターネットや、無線や有線のLAN等のネットワークである。ただし、各装置間の接続方法は問わない。また、情報の送受信の手段は、通信手段でも、放送手段等でも良い。また、通信に用いられるプロトコル等は問わない。
One or
通信管理装置1は、ユーザ端末2とサーバ装置3との間でネットワーク等を介して送受信される情報を取得可能となるように配置される。例えば、通信管理装置1を、ユーザ端末2が接続されるルータやハブ等の集線装置や中継装置、あるいはファイアウォール装置等と接続するようにし、これらの装置に入出力される情報を取得、例えば受信するようにしても良い。また、ユーザ端末2とサーバ装置3との間のネットワークや通信回線に、いわゆるパケットキャプチャ装置または同等の機能を有する装置(図示せず)、例えばファイアウォール装置やIDS(不正侵入検知システム)やIPS(侵入防止システム)等を設け、当該パケットキャプチャ装置等が取得し、出力するパケット等を、通信管理装置1が受信できるようにしても良い。また、ユーザ端末2と、通信回線やネットワークとの間に、通信管理装置1を介在させ、ユーザ端末2からサーバ装置3に対して送信される情報が、一旦通信管理装置1に入力され、入力されたデータを、通信管理装置1が通信回線やネットワークに送信するようにしてもよい。この場合、サーバ装置3から送信される情報を、一旦通信管理装置1が受信し、受信した情報を、ユーザ端末2に送信するようにする。なお、1以上のユーザ端末2とネットワークとの間には、いわゆるイントラネット用のサーバ等が設けられていても良いことは言うまでもない。また、ネットワークは様々なWEBページ等のコンテンツ等の情報を提供するサーバ装置3以外に、図示していないDNSサーバ等の他の装置を備えていても良い。なお、通信管理装置1は、後述するユーザ端末2内に設けられていても良い。
The
ユーザ端末2は、例えば一の組織内の構成員であるユーザが利用する情報処理端末である。情報処理端末は、例えば、ネットワーク接続が可能であって、サーバ装置3から送信される情報を出力可能な装置である。情報処理端末は、例えば、コンピュータや、携帯電話や、PDA等である。一の組織とは、例えば、企業や、団体等である。ユーザ端末2の利用時には、通常、ユーザの識別情報等を用いて、ログインが行われる。ユーザ端末2は、例えばWEBブラウザ等のサーバ装置3が提供可能な情報、例えばWEBページ等にアクセスして閲覧可能なソフトウェアを実行可能なものである。WEBページとは、例えば、WWW(World Wide Web)システム等で提供される文書等の情報である。WEBページは、例えば、テキストデータやHTML(HyperText Markup Language)データによるレイアウト情報、文書中に埋め込まれた画像や音声、動画などから構成される。また、一以上のWEBページや、当該WEBページに関連付けられた情報等の集合体等をWEBサイトと呼ぶ。WEBページに関連付けられた情報は、例えばWEBページからダウンロード可能な情報等である。ユーザ端末2はインターネットを介してサーバ装置3と接続され、ユーザが、例えば、ユーザ端末2のWEBブラウザ等に、所定のサーバ装置3が提供可能な所定の情報を表示する指示を与えると、ユーザ端末2は、所定のサーバ装置3に、所定の情報を要求する指示をインターネットなどのネットワークを通じて送信する。そして、この要求に応じて所定のサーバ装置3が送信する所定の情報を受信し、WEBブラウザ等に出力(例えば表示)する。ユーザ端末2同士は、例えばローカルなネットワーク等で接続されていても良い。なお、このようなユーザ端末2の構成については、公知技術であるので、詳細な説明は省略する。
The
サーバ装置3は、ユーザ端末2等に、自装置の持っている機能やデータを提供する装置である。サーバ装置3は、例えば、コンピュータにより実現可能である。サーバ装置3は、具体的には、WEBサイトを提供するサーバ装置である。サーバ装置3は、具体的にはいわゆるWEBサーバである。なお、WEBページを提供可能、例えば送信可能なサーバであれば、ここでは、WEBサーバと考える。サーバ装置3は、例えば、HTMLデータや画像等により構成されるWEBページを出力するための情報を蓄積しておき、WEBブラウザなどのユーザ端末2で実行されるソフトウェアの要求に応じて、インターネットなどのネットワークを通じて、これらの情報をユーザ端末2に送信する。なお、このようなサーバ装置3の構成については、公知技術であるので、詳細な説明は省略する。
The
図2は、本実施の形態における通信管理装置1のブロック図である。
FIG. 2 is a block diagram of the
通信管理装置1は、送受信情報取得部100、取得情報格納部101、異常判断ルール格納部102、不適切キーワード情報格納部103、異常通信判断部104、異常度情報取得部105、異常度情報格納部106、異常度判断部107、出力部108、通知情報格納部109、不適切ページ指定受付部110、不適切ページ情報取得部111、及び不適切キーワード取得部112を備えている。
The
送受信情報取得部100は、一以上のユーザ端末2と一以上のサーバ装置3との間で送受信される情報に関する情報である送受信関連情報を取得する。送受信関連情報は、例えば、送受信の対象となる情報そのもの、例えば情報の送信を要求する情報や、当該要求に応じて送受信されるHTMLファイルや実行ファイル等の情報そのものであっても良い。また、送受信の対象となる情報に付加されるいわゆるヘッダ情報等であっても良い。また、例えば、ファイル名やURL等の送受信されたWEBページの情報を識別するための情報や、当該WEBページにより構成されるWEBサイトを識別するための情報(例えばサイト名やドメイン名やサブドメイン名)や、送受信を行うユーザ端末2やサーバ装置3のIPアドレスやURL等の、ユーザ端末2やサーバ装置3の送受信先を識別可能な情報である送受信先識別情報を有していても良い。また、送受信関連情報は、情報の送受信の開始や終了の時刻を示す情報や、送受信されている時間や、接続時間の情報等の時間に関する情報である時間関連情報を有していてもよい。また、送受信を行うユーザ端末2を操作するユーザのユーザ識別情報を取得しても良い。ユーザ識別情報は、例えばユーザ名や、ユーザの社員番号等である。また、送受信を行うサーバ装置3の識別情報等を取得しても良い。また、送受信されるデータサイズやデータ形式等のデータの属性を示すデータ属性情報等を含んでも良い。送受信関連情報は、送受信がどのような接続やプロトコルで行われたか等の接続状況を示す情報やデータが送受信されるポート番号等の通信の属性に関する情報である通信属性情報を含んでいても良い。これらの情報は、例えば送受信される情報を構成するヘッダ情報や送受信の対象となる情報等から取得可能である。また、送受信情報取得部100は、当該送受信情報取得部100が図示しない時計等から取得した、送受信関連情報を取得した時刻の情報も、送受信関連情報の一つとして取得しても良い。なお、時刻の情報は、正確性を保つことが好ましい。このため、時刻情報を時計等から取得する代わりに、好ましくは、送受信情報取得部100や通信管理装置1の時刻情報を取得するための取得部(図示せず)等が、定期的に正確な時刻情報をNTP(Network Time Protocol)サーバ(図示せず)等から取得するようにしても良い。また、送受信関連情報は、ユーザ端末2やサーバ装置3や図示しないパケットキャプチャリング装置や中継装置等が取得した、上記と同様の送受信される情報に関する情報のいずれかを含む情報、いわゆる履歴情報等であっても良い。履歴情報は、例えば、いわゆるログファイル等を含む概念である。例えば、ユーザ端末2やサーバ装置3が、上記と同様のそれぞれの装置が送受信した情報に関する情報、例えばファイル名等の送信した情報を識別する情報や、送信先の情報や、送信時刻の時刻や、接続時間の情報等を、履歴情報としてそれぞれ取得するようにし、送受信情報取得部100は、ユーザ端末2やサーバ装置3が取得した履歴情報を、送受信関連情報として取得するようにしてもよい。送受信情報取得部100は、例えば、一以上のユーザ端末2と一以上のサーバ装置3とが接続されているネットワークや通信回線と接続され、ユーザ端末2とサーバ装置3との間でネットワークや通信回線等を介して送受信される情報を受信する。例えば、送受信情報取得部100は、一以上のユーザ端末2と一以上のサーバ装置3との間でパケット化されて送受信される情報を取得する。また、例えば、ユーザ端末2やサーバ装置3等が作成し送信する履歴情報を取得しても良い。送受信情報取得部100がネットワークや通信回線と接続される形態等は問わない。また、送受信情報取得部100は、例えば、一以上のユーザ端末2と通信回線やインターネット等の間に設けられているルータやハブ等の中継装置や集線装置や分岐装置、ファイアフォール装置等と接続され、これらの装置が受信するユーザ端末2とサーバ装置3との間で送受信される情報に関する情報を取得しても良い。また、ユーザ端末2とローカルなネットワークで接続されるようにし、ユーザ端末2が送信するサーバ装置3との間で行われた情報の送受信の履歴情報を受信しても良い。送受信情報取得部100が情報を取得する処理や構成等は、例えば、パケットキャプチャリング等の技術として公知である。あるいは、送受信情報取得部100は、図示しないパケットキャプチャリング装置等が取得した送受信関連情報を取得しても良い。なお、ここでは例として、送受信情報取得部100が取得した送受信関連情報が、後述する取得情報格納部101等に蓄積される場合について説明する。送受信情報取得部100は、例えば、有線や無線の通信手段等により実現可能である。また、ユーザ端末2とサーバ装置3との間で送受信される情報から必要な情報を取得するための処理を実行するためのMPUやメモリ等を有していても良い。
The transmission / reception
なお、ここでは、上述した一以上のWEBページや、当該WEBページに関連付けられた情報等の集合体等をWEBサイトと考える。例えば、WEBサイトを、一または関連する複数のドメイン名により管理される複数のWEBページ等の情報の集まりと考えても良い。また、一のWEBページを、一のWEBサイトと考えるようにしても良い。また、WEBサイト内の一のWEBページ内に設けられたリンク等を辿ってダウンロード可能な情報も同じWEBサイト内の情報と考えるようにしても良い。また、WEBサイトを構成するWEBページ等の情報は、サーバ装置3内に格納され、サーバ装置3により提供される。一のWEBサイトは一または複数のサーバ装置3により提供される。また、一のサーバ装置3により複数のWEBサイトが提供されても良い。なお、一のWEBサイトを一のサーバ装置3と考えるようにしても良い。
Here, the one or more WEB pages described above and a collection of information associated with the WEB page are considered as a WEB site. For example, a WEB site may be considered as a collection of information such as a plurality of WEB pages managed by one or a plurality of related domain names. Further, one WEB page may be considered as one WEB site. Also, information that can be downloaded by following a link provided in one WEB page in the WEB site may be considered as information in the same WEB site. Further, information such as a WEB page constituting the WEB site is stored in the
取得情報格納部101には、送受信情報取得部100が取得した送受信関連情報が格納される。取得情報格納部101は、不揮発性の記録媒体でも、揮発性の記録媒体でも良い。
The acquisition
異常判断ルール格納部102には、通信に関する異常を判断するためのルールであって、異常の度合いを示す情報である異常度情報と対応付けられたルールである2以上の異常判断ルールが格納され得る。例えば、異常判断ルール格納部102には、異常判断ルールと異常度情報とが対応付けられて蓄積される。異常度情報は、異常の度合いを、例えば値で与える情報であっても良いし、度合いと対応付けられた文字列、例えば「大」、「小」や、「重度」、「軽度」等で与える情報であっても良い。ここで述べるルールとは、判断を行うための条件、あるいは条件を定義する情報と考えてもよい。異常判断ルールは、例えば、同一のWEBサイトに対するアクセスに関する異常を検出するためのルールであるである。後述する異常通信判断部104は、例えば、格納されている複数の異常判断ルールのうちの2以上の異常判断ルールと送受信関連情報とを用いて、異常な通信が行われたか否かを判断する。異常判断ルールは、結果的に通信に関する異常を判断することが可能なルールであればよく、例えば、異常判断ルールは、通信が正常に行われていることを判断するルールであっても良い。ただし、このような場合、その後の判断処理等は、結果的に同様の判断が下せるよう適宜変更するものとする。異常判断ルール格納部102に格納されている複数の異常判断ルールのうちの、後述する異常通信判断部104が異常な通信が行われたか否かの判断に用いる2以上の異常判断ルール同士は、互いに対応付けられて対や組を構成していると考えても良い。以下、ここでは、二以上の異常判断ルールにより構成されるグループを、ルール組と称す。
The abnormality determination
異常判断ルール格納部102に格納される2以上の異常判断ルールは、例えば、同一WEBサイトに対して所定の時間以上ログインしているという第一ルール、および同一のWEBサイトに対して断続的にデータをアップロードしているという第二ルールを含んでもよい(以下、この2つの異常判断ルールを第一のルール組と称す)。
The two or more abnormality determination rules stored in the abnormality determination
また、2以上の異常判断ルールは、例えば、同一WEBサイトに対して所定の時間帯にログインしているという第一ルール、および同一のWEBサイトに対して断続的にデータをアップロードしているという第二ルールを含んでもよい(以下、この2つの異常判断ルールを第二のルール組と称す)。所定の時間帯とは、例えば、ユーザによるログインが好ましくない時間帯等である。具体的には、夜間や、休日等である。 In addition, two or more abnormality determination rules are, for example, the first rule that the user logs in to the same WEB site in a predetermined time zone, and the data is intermittently uploaded to the same WEB site. A second rule may be included (hereinafter, these two abnormality determination rules are referred to as a second rule set). The predetermined time zone is, for example, a time zone in which login by the user is not preferable. Specifically, it is a night or a holiday.
また、2以上の異常判断ルールは、例えば、同一WEBサイトに対して所定の時間帯にログインしているという第一ルール、および同一のWEBサイトに対して断続的にデータをアップロードしているという第二ルールを含んでもよい(以下、この2つの異常判断ルールを第三のルール組と称す)。 In addition, two or more abnormality determination rules are, for example, the first rule that the user logs in to the same WEB site in a predetermined time zone, and the data is intermittently uploaded to the same WEB site. A second rule may be included (hereinafter, these two abnormality determination rules are referred to as a third rule set).
また、2以上の異常判断ルールは、例えば、同一WEBサイトに対して所定の時間帯にログインしているという第一ルール、および同一のWEBサイトから断続的にデータをダウンロードしているという第二ルールを含んでもよい(以下、この2つの異常判断ルールを第四のルール組と称す)。 The two or more abnormality determination rules include, for example, a first rule that a user logs in to a same WEB site at a predetermined time period, and a second rule that data is intermittently downloaded from the same WEB site. A rule may be included (hereinafter, these two abnormality determination rules are referred to as a fourth rule set).
また、2以上の異常判断ルールは、例えば、同一WEBサイトに対して所定の時間以上ログインしているという第一ルール、および同一のWEBサイトに対して所定のタイミングで更新処理を繰り返しているという第二ルールを含んでもよい(以下、この2つの異常判断ルールを第五のルール組と称す)。 The two or more abnormality determination rules are, for example, the first rule that the user has logged in to the same WEB site for a predetermined time or more, and the update process is repeated for the same WEB site at a predetermined timing. A second rule may be included (hereinafter, these two abnormality determination rules are referred to as a fifth rule set).
また、2以上の異常判断ルールは、例えば、同一WEBサイトに対して、所定の期間当たり所定の回数以上アクセスしているという第一ルール、および同一のWEBサイトに対して行われたアクセスのうちの所定の割合よりも多いアクセスの際に、データをアップロードしているという第二ルールを含んでも良い(以下、この2つの異常判断ルールを第六のルール組と称す)。所定の期間とは、例えば、一日当たりや、半日当たり、勤務時間内等の、予め指定された期間を示す。この期間を示す情報は、図示しない記憶媒体等に蓄積されている。 In addition, two or more abnormality determination rules include, for example, the first rule that the same WEB site is accessed a predetermined number of times per predetermined period, and the access made to the same WEB site. It is also possible to include a second rule that data is uploaded when the number of accesses exceeds a predetermined ratio (hereinafter, these two abnormality determination rules are referred to as a sixth rule set). The predetermined period indicates a period designated in advance, such as, for example, per day, per half day, or working hours. Information indicating this period is accumulated in a storage medium (not shown) or the like.
また、2以上の異常判断ルールは、例えば、同一WEBサイトに対して、所定の期間当たり所定の回数以上アクセスしているという第一ルール、および同一のWEBサイトに対して行われたアクセスのうちの所定の割合よりも多いアクセスの際に、データをダウンロードしているという第二ルールを含んでも良い(以下、この2つの異常判断ルールを第七のルール組と称す)。 In addition, two or more abnormality determination rules include, for example, the first rule that the same WEB site is accessed a predetermined number of times per predetermined period, and the access made to the same WEB site. It is also possible to include a second rule that data is downloaded when the number of accesses exceeds a predetermined ratio (hereinafter, these two abnormality determination rules are referred to as a seventh rule set).
なお、上述した二以上の異常判断ルールに加えて、当該二以上の異常判断ルールにおける同一のWEBサイトを、不適切キーワード情報格納部103に格納されているキーワード情報が示すキーワードを有するWEBページを含むサイトに限定する異常判断ルールを更に含むようにしても良い。この異常判断ルールをここではキーワード異常ルールと呼ぶ。 In addition to the two or more abnormality determination rules described above, the WEB page having the keyword indicated by the keyword information stored in the inappropriate keyword information storage unit 103 is the same WEB site in the two or more abnormality determination rules. You may make it further contain the abnormality determination rule limited to the site to include. This abnormality determination rule is referred to herein as a keyword abnormality rule.
なお、ここで述べるWEBサイトに対するアクセスとは、WEBサイトの情報、例えばWEBページの情報の読み書きを行うことである。WEBサイトに対して、何らかの情報、例えば、WEBページの情報の送信を要求する情報やコマンド等を送信すること等もアクセスと考えて良い。また、WEBサイトから何らかの情報を受信している場合もアクセスと考えても良い。 The access to the WEB site described here refers to reading / writing information on the WEB site, for example, information on the WEB page. Transmission of some information, for example, information requesting transmission of information on the WEB page, a command, or the like to the WEB site may be considered as access. Further, access may be considered when any information is received from the WEB site.
異常判断ルール格納部102に、異常判断ルールが蓄積される過程や、タイミング等は問わない。異常度については後述する。異常判断ルール格納部102は、不揮発性の記録媒体が好適であるが、揮発性の記録媒体でも実現可能である。
There is no limitation on the process, timing, or the like of storing the abnormality determination rules in the abnormality determination
不適切キーワード情報格納部103には、不適切なWEBページが含み得るキーワードを示す1以上のキーワード情報が格納され得る。キーワードは、例えば一文字以上の文字列である。なお、キーワード情報には、後述する異常度が対応付けられていても良い。例えば、キーワード情報は、異常度を示す異常度情報と対応付けられて、キーワード情報に格納されていてもよい。この異常度情報を、異常判断ルールに対応付けられた異常度情報の一つと考えるようにしても良い。不適切キーワード情報格納部103に、キーワード情報が蓄積される過程や、タイミング等は問わない。不適切キーワード情報格納部103は、不揮発性の記録媒体が好適であるが、揮発性の記録媒体でも実現可能である。 The inappropriate keyword information storage unit 103 can store one or more pieces of keyword information indicating keywords that can be included in an inappropriate WEB page. The keyword is, for example, a character string of one or more characters. The keyword information may be associated with a degree of abnormality described later. For example, the keyword information may be stored in the keyword information in association with the abnormality degree information indicating the abnormality degree. This abnormality level information may be considered as one of the abnormality level information associated with the abnormality determination rule. There is no limitation on the process or timing of the keyword information stored in the inappropriate keyword information storage unit 103. The inappropriate keyword information storage unit 103 is preferably a non-volatile recording medium, but can also be realized by a volatile recording medium.
異常通信判断部104は、送受信情報取得部100が取得した送受信関連情報を用いて、ユーザ端末2とサーバ装置3との間の通信が、異常判断ルール格納部102に格納されている2以上の異常判断ルールを満たすか否かを判断する。ここで述べる2以上の異常判断のルールとは、異常判断ルール格納部102に格納されている異常判断ルールのうちの、管理者等により予め指定された2以上の異常判断のルールである。具体的には、対や組をなす2以上の異常判断のルールである。つまり、異常通信判断部104が判断に用いる2以上の異常判断のルールは、3以上の複数の異常判断ルールのうちの、予め指定された2以上の異常判断のルールで構成される組のいずれかであってもよい。異常通信判断部104は、例えば、上述したような異常判断ルール格納部102に格納されている第一から第七のルール組のいずれかを構成する2以上の異常判断ルールがそれぞれ示すルールを満たすか否かを判断する。さらに、キーワード異常ルールを満たすか否かを判断するようにしても良い。ここでは、具体的には、異常通信判断部104は、ユーザ端末2とサーバ装置3との間の通信が、指定された2以上の異常判断ルールの全てを満たすか否かを判断する。異常判断ルールを満たすか否かの判断とは、結果的に同様の判断が可能であれば、異常判断ルールを満たさないか否かの判断も含む概念である。また、異常判断ルールは、判断処理等を適宜変更する(例えば反転させる)ことで結果的に同じ判断が可能であれば、正常な通信が行われたことを判断するためのルールであってもよい。
The abnormal
異常通信判断部104が、判断を行うタイミング等は問わない。例えば、送受信情報取得部100が送受信関連情報を取得するごとに、判断を行うようにしてもよいし、送受信情報取得部100が、異常判断ルール格納部102に蓄積した送受信関連情報を用いて、予め指定された定期または不定期の所定のタイミングで判断を行うようにしても良い。
The timing etc. which the abnormal
異常通信判断部104は、例えば、送受信情報取得部100が取得した送受信関連情報を用いて、2以上の異常判断ルールを満たすか否かの判断に用いられる情報である判断用情報を取得する。そして、当該判断用情報が、上述した第一〜第七のルール組のような、2以上の異常判断ルールの両方を満たすか否かの判断を行う。ここで取得する判断用情報は、異常通信判断部104が異常な通信の判断を行う際に利用する異常判断ルールに対応した判断用情報である。例えば、どのような判断用情報を取得するかを示す情報が、予め異常判断ルールと対応付けられて異常判断ルール格納部102等に格納されていても良い。なお、判断用情報を構成する処理を、異常判断ルールを満たすか否かの判断処理の一部と考えて良い。
For example, the abnormal
異常通信判断部104が取得する判断用情報は、例えば、ユーザ端末2がアクセスしているWEBサイトに関する情報である。また、この情報は、当該アクセスを行った時刻に関する情報を含んでいても良い。アクセスしているWEBサイトに関する情報とは、例えば、ユーザ端末2がアクセスしているWEBサイトを識別可能な、URLやドメイン名等の情報やサイト名等の識別情報である。異常通信判断部104は、例えば、送受信情報取得部100が取得した、ユーザ端末2からWEBサイトに対して送信される、WEBページの送信を要求する要求情報等の情報のヘッダ等の情報から、当該ヘッダ等の情報に含まれるWEBサイトを指定する情報、例えばWEBサイトのURLの情報や、WEBサイトを管理しているサーバ装置3のIPアドレス等のアドレス情報等であるWEBサイトに関する情報を取得する。アクセスを行った時刻の情報は、例えば、送受信情報取得部100が取得した、ユーザ端末2からWEBサイトに対して送信される、WEBページの送信を要求する要求情報等の情報のヘッダ等の情報等に含まれる時刻の情報や、WEBサイトを提供するサーバ装置3からユーザ端末2に送信されるWEBページの情報等の情報のヘッダ等に含まれる時刻の情報等から取得される。あるいは、送受信関連情報に含まれる、ユーザ端末2からWEBサイトに対して送信される情報等を送受信情報取得部100が取得した時刻の情報や、WEBサイトを提供するサーバ装置3からユーザ端末2に対して送信される情報等を送受信情報取得部100が取得した時刻の情報から、アクセスを行った時刻の情報を取得しても良い。
The determination information acquired by the abnormal
また、異常通信判断部104が取得する判断用情報は、例えば、アクセス時間を示す情報である。アクセス時間とは、一のWEBサイトの情報に対して情報の読み書きを開始してから、同一のWEBサイト内での情報の読み書きを終了するまでの時間である。同一のWEBサイトに対して送信した最後の情報を送信した時点を、情報の読み書きが終了した時刻と考えるようにしても良い。例えば、同一のWEBサイトのページAと、ページBと、ページCとに対して、順次、WEBページを要求する情報を送信したとすると、アクセス時間は、ページAに対する要求情報の送信時刻から、ページCに対する要求情報の送信時刻までの時間と考えても良い。あるいは、WEBサイトが、ユーザによる認証を要求するサイトである場合、ユーザがWEBサイトに認証してログインしてから、認証を解除してログアウトするまでの時間をアクセス時間と考えても良い。アクセス開始時刻や、アクセス終了時刻は、例えば、送受信情報取得部100が取得した、ユーザ端末2からWEBサイトに対して送信される、WEBページの送信を要求する要求情報等の情報のヘッダ等の情報等に含まれる時刻の情報や、WEBサイトを提供するサーバ装置3からユーザ端末2に送信されるWEBページの情報等の情報のヘッダ等に含まれる時刻の情報等から取得される。あるいは、送受信関連情報に含まれる、ユーザ端末2からWEBサイトに対して送信される情報等を送受信情報取得部100が取得した時刻の情報や、WEBサイトを提供するサーバ装置3からユーザ端末2に対して送信される情報等を送受信情報取得部100が取得した時刻の情報から、アクセス開始時刻や、アクセス終了時刻の情報を取得し、当該時刻の情報を用いて、アクセス時間を示す情報を取得しても良い。
The determination information acquired by the abnormal
また、異常通信判断部104が取得する判断用情報は、例えば、ユーザ端末2がWEBサイトから受信する情報に関する情報である。この情報は、ユーザ端末2が当該情報をWEBサイトから受信する時刻に関する情報を含んでいても良い。ここで述べるユーザ端末2が受信する情報とは、特にユーザ端末2がダウンロードした情報と考えても良い。ダウンロードした情報は、例えば、いわゆるプラグイン等の追加機能等を提供するプログラム等を用いなければ、ユーザ端末2においてブラウザ等のWEB閲覧用のプログラム等でそのまま表示できない情報である。また、ダウンロードした情報は、WEB閲覧用のプログラムで表示せずに取得することを指示して取得された情報である。ユーザ端末2が受信した情報に関する情報とは、例えば、ユーザ端末2がWEBサイトから情報をダウンロードしたか否かを示す情報である。例えば、送受信情報取得部100が、送受信関連情報として送受信される情報のデータタイプ等の情報を取得するようにし、送受信された情報が、予め指定された属性の情報、例えばユーザ端末2がWEBページの閲覧に利用するブラウザでいわゆるプラグイン等を利用せずに、そのまま直接、表示することが可能な情報であるか否かを、データタイプの情報、例えば拡張子等の情報を用いて判断し、表示可能な情報でなければ、ユーザ端末2は、WEBサイトから情報をダウンロードしたと判断する。そして、ダウンロードしたことを示す判断用情報を取得してもよい。あるいは、送受信情報取得部100がユーザ端末2とサーバ装置3との間で送受信関連情報として、送受信される情報自身を取得するようにし、当該取得した情報から送受信される情報のデータタイプの情報を送受信関連情報として取得するようにしても良い。そして、送受信関連情報が示す送受信される情報のデータタイプの情報が、予め指定された属性の情報、例えばユーザ端末2がWEBページの閲覧に利用するブラウザでいわゆるプラグイン等を利用せずに、そのまま直接、表示することが可能な情報のものであるか否かを、データタイプの情報、例えば拡張子等の情報を用いて判断し、表示可能な情報でなければ、ユーザ端末2は、WEBサイトから情報をダウンロードしたと判断する。そして、ダウンロードしたことを示す判断用情報を取得する。
Moreover, the information for determination which the abnormal
また、ユーザ端末2が受信する情報のヘッダ等を、送受信情報取得部100が送受信関連情報として取得するようにし、当該取得した送受信関連情報に含まれるポート番号等を取り出し、そのポート番号が、ダウンロードに利用されるポート番号、例えばFTPやストリーミングデータ等のダウンロードに利用されるポート番号であるか否かを判断し、これらのポート番号と一致する場合、ダウンロードしたことを示す判断用情報を取得しても良い。
Further, the transmission / reception
ユーザ端末2が情報をWEBサイトから受信する時刻に関する判断用情報とは、WEBサイトを提供するサーバ装置3が、ユーザ端末2がダウンロードする情報等の情報を、ユーザ端末2を送信した時刻の情報であっても良い。また、WEBサイトから送信される情報をユーザ端末2が受信した時刻の情報等であっても良い。これらの情報は、例えば、送受信情報取得部100が取得した、サーバ装置3からユーザ端末2に対して送信される情報のヘッダ等の情報や、ユーザ端末2がサーバ装置3に送信する、情報を受信したことを示す情報のヘッダ等から取得可能である。ユーザ端末2が情報をダウンロードしていることを示す情報が送受信情報取得部100に取得された時刻の情報を、送受信関連情報として送受信情報取得部100が取得している場合、当該送受信関連情報が示す時刻の情報を、ユーザ端末2が情報をWEBサイトから受信する時刻に関する情報である判断用情報として取得するようにしても良い。
Information for determination regarding the time at which the
また、異常通信判断部104が取得する判断用情報は、例えば、ユーザ端末2がWEBサイトに送信する情報に関する情報であってもよい。また、この情報は、当該情報を送信した時刻に関する情報を含んでいても良い。ここで述べるユーザ端末2が送信する情報とは、特にユーザ端末2がWEBサイトを提供するサーバ装置に、アップロードする情報と考えても良い。アップロードする情報は、例えば、要求情報や命令等の情報を除いた情報、即ち、WEBサイトにWEBページの情報の送信を要求する情報等を除いた情報と考えても良い。ユーザ端末2が送信した情報に関する情報とは、例えば、ユーザ端末2がWEBサイトに対して情報をアップロードしたか否かを示す情報である。例えば、送受信情報取得部100が送受信関連情報として、ユーザ端末2とサーバ装置3との間で送受信される情報のデータタイプ等の情報を取得するようにし、異常通信判断部104は送受信された情報が要求情報や命令であるか否かをデータタイプ等の情報や情報の内容から判断し、要求情報や命令でなければ、ユーザ端末2がWEBサイトに情報をアップロードしたと判断する。そして、データをアップロードしたことを示す判断用情報を取得してもよい。あるいは、送受信情報取得部100がユーザ端末2とサーバ装置3との間で送受信関連情報として、送受信される情報自身を取得するようにし、当該取得した情報から送受信される情報のデータタイプの情報を送受信関連情報として取得するようにしても良い。そして、送受信された情報が要求情報や命令であるか否かをデータタイプ等の情報や情報の内容から判断し、要求情報や命令でなければ、ユーザ端末2がWEBサイトに情報をアップロードしたと判断して、データをアップロードしたことを示す判断用情報を取得するようにしてもよい。
Moreover, the information for determination which the abnormal
また、ユーザ端末2が送信する情報のヘッダ等を、送受信情報取得部100が送受信関連情報として取得するようにし、当該取得した送受信関連情報に含まれるポート番号等を取り出し、そのポート番号が、アップロードに利用されるポート番号、例えばFTPに利用されるポート番号であるか否かを判断し、これらのポート番号と一致する場合、アップロードしたことを示す判断用情報を取得しても良い。
Further, the transmission / reception
ユーザ端末2が情報を送信する時刻に関する判断用情報とは、ユーザ端末2が情報を送信した時刻の情報であっても良い。また、この情報は、WEBサイトを提供するサーバ装置3が送信される情報を受信した時刻の情報等を含んでいても良い。これらの情報は、例えば、送受信情報取得部100が取得した、ユーザ端末2がサーバ装置3に送信する情報のヘッダ等や、サーバ装置3からユーザ端末2に対して送信される、アップロードされた情報を受信したことを示す情報のヘッダ等の情報から取得可能である。ユーザ端末2が情報をアップロードしていることを示す情報を、送受信情報取得部100が取得した時刻の情報を、送受信関連情報として送受信情報取得部100が取得している場合、当該送受信関連情報が示す時刻の情報を、ユーザ端末2が情報をWEBサイトに送信する時刻に関する情報である判断用情報として取得するようにしても良い。
The determination information regarding the time at which the
また、異常通信判断部104が取得する判断用情報は、例えば、ユーザ端末2がWEBサイトにログインしていることを示す情報であってもよい。WEBサイトにログインしたか否かは、例えば、送受信関連情報が、ユーザ端末2からログインのためのIDやパスワード等の情報を含む情報の送信が行われたことを示しているか否かや、ログアウトのための指示が送信されたか否か等により判断される。あるいは、暗号化された情報が送信された場合や、ログイン等に利用されるSSL等の特定のポート番号で情報が送信された場合に、ログインしたと判断しても良い。例えば、送受信関連情報が、ユーザ端末2から送信される情報そのものであった場合、当該送受信関連情報内に、「ID」や「ユーザID」、「アカウント」等の文字列と関連付けられた情報があるか否かを判断し、ある場合、ログインの情報の送信が行われたと判断するようにしても良い。同様に、ログアウトを命令する情報等が送信された場合に、ログアウトが行われたことを判断しても良い。上述したログインしていることを示す情報とは、例えば、ログインからログアウトまでの時間内であることを示す情報である。例えばログイン開始時刻とログイン終了時刻とを特定可能な情報により構成される情報である。ログインやログアウトを行った時刻の情報は、例えば、送受信情報取得部100が取得した、ユーザ端末2からWEBサイトに対して送信される、ログインやログアウトを行うための情報のヘッダ等の情報等に含まれる時刻の情報や、WEBサイトを提供するサーバ装置3からユーザ端末2に送信されるログインやログアウトが成功したことを示す情報のヘッダ等に含まれる時刻の情報等から取得される。あるいは、送受信関連情報に含まれる、ユーザ端末2からWEBサイトに対して送信されるログインやログアウトを行うための等を送受信情報取得部100が取得した時刻の情報や、WEBサイトを提供するサーバ装置3からユーザ端末2に対して送信されるログインやログアウトが成功したことを示す情報等を送受信情報取得部100が取得した時刻の情報から、ログインやログアウトが行われた時刻の情報を取得しても良い。
Further, the determination information acquired by the abnormal
また、異常通信判断部104が取得する判断用情報は、例えば、ユーザ端末2がWEBサイトに送信したWEBページを要求する情報に関する情報である。またこの情報は、当該要求する情報が送信された時刻に関する情報を含んでいても良い。WEBページを要求することは、WEBページを表示するための情報を要求することを意味する。ここでは、WEBページを更新する指示を送信することも、WEBページを要求する情報を送信したことと考える。WEBページを要求する情報に関する情報は、要求するWEBサイトやWEBページを指定する情報、例えばWEBサイト識別情報やWEBページ識別情報を含む情報である。例えば、送受信情報取得部100が送受信関連情報として、ユーザ端末2とサーバ装置3との間で送受信される情報がどのような情報であるかを示す情報を取得する場合、異常通信判断部104は、送信された情報がWEBページの送信を要求する情報であるか否かを判断し、送信を要求する情報である場合、送受信関連情報を用いてWEBページを要求する情報に関する情報、例えば送信を要求するWEBページを指定する情報等を取得する。あるいは、送受信情報取得部100がユーザ端末2とサーバ装置3との間で送受信関連情報として、送受信される情報自身を取得するようにし、当該取得した情報がWEBページを要求する情報であるか否かを判断し、要求する情報である場合、WEBページを指定する情報等のWEBページを要求する情報に関する情報を取得するようにしても良い。WEBページを要求する情報が送信された時刻に関する情報については、アクセス時刻の情報を取得する場合と同様であるので、ここでは説明を省略する。
なお、異常通信判断部104が、判断用情報を取得する処理は、上記のような処理に限るものではない。また、取得する判断用情報は、上記のような判断用情報に限るものではない。
The determination information acquired by the abnormal
Note that the process by which the abnormal
つぎに、上記のような判断用情報を用いて異常通信判断部104が行う、2以上の異常判断ルールの両方を満たすか否かの判断処理について説明する。ここでは、具体例として、判断処理に用いる異常判断ルールとして、上述した第一〜第七のいずれかのルール組に含まれる2以上の異常判断ルールを用いることが、予めユーザ等により指定されており、異常通信判断部104が当該指定された異常判断ルールを満たすか否かの判断処理を行う場合について説明する。但し、ここで述べる処理は一例であり、同様の判断が可能であれば、他の判断をおこなっても良い。
Next, a determination process performed by the abnormal
(1)第一のルール組が指定されている場合
まず、異常通信判断部104は、異常判断ルール格納部102に格納されている第一のルール組を構成する、「同一WEBサイトに対して所定の時間以上ログインしている」という第一ルール、および「同一のWEBサイトに対して断続的にデータをアップロードしている」という第二ルールを取得する。
(1) When the first rule set is designated First, the abnormal
次に、異常通信判断部104は、上述したような、ユーザ端末2からWEBサイトに対してログインしている時間についての判断用情報(以下、ログイン時間判断用情報と称す)と、ユーザ端末2からWEBサイトに対して送信している情報に関する判断用情報(以下、送信情報判断用情報と称す)とを取得する。
Next, the abnormal
そして、異常通信判断部104は、ログイン時間判断用情報の中に、上述した第一のルール組の第一ルールが示す条件を満たすようなログイン時間判断用情報が存在するか否かを判断する。即ち、一のWEBサイトに対して所定の時間以上ログインしていることを示すログイン時間判断用情報があるか否かを判断する。なお、第一ルールの所定の時間は、例えば、固定あるいは変動する値が予め指定されているものとする。なお、ここで述べるログインには、例えば予め指定されたWEBサイト、例えば自社のWEBサイトや、場合によってはイントラネット等のサーバへのログインを除外するようにしてもよい。例えば、予め格納されている除外したいWEBサイトのURLやIPアドレス等と、通信先のURLやIPアドレス等とをマッチングすることで、除外したいWEBサイトへのログインを除外できるようにしても良い。かかることは、他のルール等についても同様である。
Then, the abnormal
そして、所定時間以上ログインしていることを示すログイン時間判断用情報が存在する場合、異常通信判断部104は、当該ログイン時間判断用情報に対応するユーザ端末2に対応した送信情報判断用情報の中に、上述した第一のルール組の第二ルールが示す条件を満たすようなログイン時間判断用情報が存在するか否かを判断する。即ち、所定時間以上ログインしていると判断されたWEBサイトと同一のWEBサイトをデータの送信先として、データが断続的にアップロードされているか否かを、送信情報判断用情報を用いて判断する。好ましくは、ログインしている時間内にデータが断続的にアップロードされているか否かを判断する。断続的にアップロードとは、連続していないアップロードのことである。予め指定された時間内にアップロードが切れたり続いたりしていることと考えても良い。断続的にアップロードとは、例えば、複数回の情報のアップロードを行ったことを意味すると考えても良い。断続的にアップロードされたか否かは、予め指定された時間内に、予め指定された回数以上、ユーザ端末2から送信されたかを判断することで判断する。例えば、宛先を所定時間以上ログインしていると判断されたWEBサイトのアドレスとして、FTPに利用されるポート番号を指定して送信された情報が、ログインしている時間内に、予め指定された回数以上、ユーザ端末2から送信されたかを、送信情報判断用情報を用いて判断する。予め指定された回数は固定であっても良いし、ログインしている時間に応じて変化する回数であっても良い。送信された場合、断続的にアップロードされたと判断する。なお、情報の送信が予め指定された時間間隔以内の間隔で送信されている場合も断続的に送信されたと判断しても良い。
If there is login time determination information indicating that the user has logged in for a predetermined time or more, the abnormal
このようにして、第一のルール組の第一ルールと第二ルールとの両方を満たしたと判断された場合、結果的に、第一のルール組の異常判断ルールを満たしたと判断されたこととなる。 Thus, when it is determined that both the first rule and the second rule of the first rule set are satisfied, as a result, it is determined that the abnormality determination rule of the first rule set is satisfied. Become.
(2)第二のルール組が指定されている場合
まず、異常通信判断部104は、異常判断ルール格納部102に格納されている第二のルール組を構成する、「同一WEBサイトに対して所定の時間以上ログインしている」という第一ルール、および「同一のWEBサイトから断続的にデータをダウンロードしている」という第二ルールを取得する。
(2) When the second rule set is specified First, the abnormal
次に、異常通信判断部104は、上述したログイン時間判断用情報と、ユーザ端末2がWEBサイトから受信する情報に関する情報である判断用情報(以下、受信情報判断用情報と称す)とを取得する。
Next, the abnormal
そして、異常通信判断部104は、ログイン時間判断用情報の中に、上述した第二のルール組の第一ルールが示す条件を満たすようなログイン時間判断用情報が存在するか否かを判断する。第二のルール組の第一ルールは、第一のルール組の第一ルールと同様であるため、この判断処理は、第一のルール組の場合と同様である。
Then, the abnormal
そして、所定時間以上ログインしていることを示すログイン時間判断用情報が存在する場合、異常通信判断部104は、当該ログイン時間判断用情報に対応するユーザ端末2に対応した送信情報判断用情報の中に、上述した第二のルール組の第二ルールが示す条件を満たすようなログイン時間判断用情報が存在するか否かを判断する。即ち、所定時間以上ログインしていると判断されたWEBサイトと同一のWEBサイトからデータが断続的にダウンロードされているか否かを、受信情報判断用情報を用いて判断する。好ましくは、ログインしている時間内にデータが断続的にダウンロードされているか否かを判断する。断続的にダウンロードとは、例えば、複数回の情報のダウンロードを行ったことを意味する。断続的にダウンロードされたか否かは、予め指定された時間内に、予め指定された回数以上、WEBサイトからユーザ端末2に情報が送信されたかを判断することで判断する。例えば、送信元を所定時間以上ログインしていると判断されたWEBサイトのアドレスとし、送信先を当該サイトに所定時間ログインしていたユーザ端末2とした情報であって、FTPに利用されるポート番号を指定して送信された情報を、ユーザ端末2がログインしている時間内に予め指定された回数以上受信したか否かを、受信情報判断用情報を用いて判断する。予め指定された回数は固定であっても良いし、ログインしている時間に応じて変化する回数であっても良い。受信された場合、断続的にダウンロードされたと判断する。なお、情報の送信が予め指定された時間間隔以内の間隔で送信されている場合も断続的に送信されたと判断しても良い。
If there is login time determination information indicating that the user has logged in for a predetermined time or more, the abnormal
このようにして、第二のルール組の第一ルールと第二ルールとの両方を満たしたと判断された場合、結果的に、第二のルール組の異常判断ルールを満たしたと判断されたこととなる。 Thus, when it is determined that both the first rule and the second rule of the second rule set are satisfied, as a result, it is determined that the abnormality determination rule of the second rule set is satisfied. Become.
(3)第三のルール組が指定されている場合
異常通信判断部104は、異常判断ルール格納部102に格納されている第三のルール組を構成する、「同一WEBサイトに対して所定の時間帯にログインしている」という第一ルール、および「同一のWEBサイトから断続的にデータをアップロードしている」という第二ルールを取得する。
(3) When a third rule set is specified The abnormal
次に、異常通信判断部104は、上述したログイン時間判断用情報と、上述した送信情報判断用情報とを取得する。
Next, the abnormal
そして、異常通信判断部104は、ログイン時間判断用情報の中に、上述した第三のルール組の第一ルールが示す条件を満たすようなログイン時間判断用情報が存在するか否かを判断する。即ち、ログインされている時間帯が、所定の時間帯であることを示すログイン時間判断用情報が存在するか否かを判断する。所定の時間帯は、例えば、予め指定された時間帯であり、図示しない記憶媒体等に蓄積されているものとする。
Then, the abnormal
存在する場合、上述した第一のルール組の第二ルールを満たすか否かの判断と同様の判断を行うことで、ログインしたユーザが、断続的にデータをアップロードしたか否かの判断を行う。断続的にデータをアップロードしていると判断された場合、第三のルール組の第一ルールと第二ルールとの両方を満たしていることとなる。これにより、結果的に、第三のルール組の異常判断ルールを満たしたと判断されたこととなる。 If it exists, it is determined whether or not the logged-in user has intermittently uploaded data by performing the same determination as whether or not the second rule of the first rule set described above is satisfied. . When it is determined that data is intermittently uploaded, both the first rule and the second rule of the third rule set are satisfied. As a result, it is determined that the abnormality determination rule of the third rule set is satisfied.
(4)第四のルール組が指定されている場合
異常通信判断部104は、異常判断ルール格納部102に格納されている第四のルール組を構成する、「同一WEBサイトに対して所定の時間帯にログインしている」という第一ルール、および「同一のWEBサイトから断続的にデータをダウンロードしている」という第二ルールを取得する。
(4) When the fourth rule set is specified The abnormal
次に、異常通信判断部104は、上述したログイン時間判断用情報と、上述した受信情報判断用情報とを取得する。
Next, the abnormal
そして、異常通信判断部104は、ログイン時間判断用情報の中に、第四のルール組の第一ルールが示す条件を満たすようなログイン時間判断用情報が存在するか否かを判断する。この判断処理は、第三のルール組の場合と同様である。
Then, the abnormal
存在する場合、上述した第二のルール組の第二ルールを満たすか否かの判断と同様の判断を行うことで、ログインしたユーザが、断続的にデータをダウンロードしたか否かの判断を行う。断続的にデータをダウンロードしていると判断された場合、第四のルール組の第一ルールと第二ルールとの両方を満たしていることとなる。これにより、結果的に、第四のルール組の異常判断ルールを満たしたと判断されたこととなる。 If it exists, it is determined whether or not the logged-in user has intermittently downloaded data by performing the same determination as whether or not the second rule of the second rule set described above is satisfied. . If it is determined that data is downloaded intermittently, both the first rule and the second rule of the fourth rule set are satisfied. As a result, it is determined that the abnormality determination rule of the fourth rule set is satisfied.
(5)第五のルール組が指定されている場合
異常通信判断部104は、異常判断ルール格納部102に格納されている第五のルール組を構成する、「同一WEBサイトに対して所定の時間以上ログインしている」という第一ルール、および「同一のWEBサイトに対して所定のタイミングで更新処理を行っている」という第二ルールを取得する。
(5) In the case where the fifth rule set is designated The abnormal
次に、異常通信判断部104は、上述したログイン時間判断用情報と、ユーザ端末2からWEBサイトに対して送信している、WEBページの送信を要求する情報に関する情報である判断用情報(以下、要求判断用情報と称す)とを取得する。
Next, the abnormal
そして、異常通信判断部104は、ログイン時間判断用情報の中に、上述した第五のルール組の第一ルールが示す条件を満たすようなログイン時間判断用情報が存在するか否かを判断する。第五のルール組の第一ルールは、第一のルール組の第一ルールと同様であるため、この判断処理は、第一のルール組の場合と同様である。
Then, the abnormal
次に、所定時間以上ログインしていることを示すログイン時間判断用情報が存在する場合、異常通信判断部104は、当該ログイン時間判断用情報に対応するユーザ端末2に対応した要求情報判断用情報の中に、上述した第五のルール組の第二ルールが示す条件を満たすようなログイン時間判断用情報が存在するか否かを判断する。即ち、所定時間以上ログインしていると判断されたWEBサイトと同一のWEBサイトに対し、所定のタイミングで更新処理を行っているか否かを、受信情報判断用情報を用いて判断する。好ましくは、ログインしている時間内に所定のタイミングで更新処理を行っているか否かを判断する。所定のタイミングとは、例えば、予め指定された所定の時間間隔で二回以上繰り返し行われることである。所定の時間間隔は一定であっても不定であっても良い。所定のタイミングで更新処理を行っているか否かは、WEBページを要求する情報の送信時間に関する情報から、情報が送信された時間間隔を算出することで判断可能である。更新処理とは、例えば、WEBページのリロードである。更新処理は、同じWEBページのデータを再取得してWEBページを再描画する処理と考えても良い。更新処理を行ったことを判断する方法等は問わない。更新処理を行っているかは、例えば、直前に送信したWEBページの送信を要求する情報と、同じWEBページを要求する情報を送信したか否かにより判断される。具体的には、直前と同じWEBページを要求する情報を送信した場合、更新処理を行ったと判断する。あるいは、更新を要求する情報が送信されたか否かにより判断するようにしても良い。
Next, when there is login time determination information indicating that the user has logged in for a predetermined time or more, the abnormal
このようにして、第五のルール組の第一ルールと第二ルールとの両方を満たしたと判断された場合、結果的に、第五のルール組の異常判断ルールを満たしたと判断されたこととなる。 Thus, when it is determined that both the first rule and the second rule of the fifth rule set are satisfied, as a result, it is determined that the abnormality determination rule of the fifth rule set is satisfied. Become.
(6)第六のルール組が指定されている場合
異常通信判断部104は、異常判断ルール格納部102に格納されている第六のルール組を構成する、「同一WEBサイトに対して所定の期間当たり、所定回数以上アクセスしている」という第一ルール、および「同一のWEBサイトに対して行われたアクセスのうちの所定の割合より多いアクセスの際に、データをアップロードしている」という第二ルールを取得する。
(6) In the case where the sixth rule set is specified The abnormal
次に、異常通信判断部104は、ユーザ端末2がアクセスしているWEBサイトに関する情報である判断用情報(以下、アクセス判断用情報と称す)と、上述した送信情報判断用情報とを取得する。
Next, the abnormal
異常通信判断部104は、アクセス判断用情報が示す、アクセス先のWEBサイトのアドレス情報や、アクセスを行った時刻に関する情報を用いて、各ユーザ端末2から、予め指定された所定の期間内に、一のWEBサイトに対して、所定回数以上のアクセスが行われたか否かを判断する。所定の期間は予め指定されているものとする。例えば、同一のWEBサイトに対するアクセス数を、所定の期間の単位で分割することで、所定の期間当たりのアクセス数を算出することが可能である。あるいは、一の所定の期間内のアクセス数をカウントしても良い。所定回数を指定する情報は、いわゆる閾値と考えて良く、その値は、例えば、図示しない記憶部等に予め蓄積されている。
The abnormal
次に、一のWEBサイトに対して、予め指定された所定の期間内に所定回数以上のアクセスが行われたと判断された場合、異常通信判断部104は、送信情報判断用情報を用いて、所定回数以上のアクセスを行ったユーザ端末2の通信が、第六のルール組の第二ルールを満たすか否かを判断する。例えば、上述した所定の期間当たりのアクセス数と同様に、所定の期間当たりに情報がアップロードされた回数を算出し、上述した所定の期間内のアクセス数に対する所定の期間内のアップロード回数の割合を算出する。そしてその割合が、所定の割合よりも大きいか否かを判断し、大きい場合、同一のWEBサイトに対して行われたアクセスのうちの所定の割合より多いアクセスの際に、データをアップロードしていると判断する。
Next, when it is determined that a predetermined number of accesses have been made to a single WEB site within a predetermined period specified in advance, the abnormal
このようにして、第六のルール組の第一ルールと第二ルールとの両方を満たしたと判断された場合、結果的に、第六のルール組の異常判断ルールを満たしたと判断されたこととなる。 Thus, when it is determined that both the first rule and the second rule of the sixth rule set are satisfied, as a result, it is determined that the abnormality determination rule of the sixth rule set is satisfied. Become.
(7)第七のルール組が指定されている場合
異常通信判断部104は、異常判断ルール格納部102に格納されている第七のルール組を構成する、「同一WEBサイトに対して所定の期間当たり、所定回数以上アクセスしている」という第一ルール、および「同一のWEBサイトに対して行われたアクセスのうちの所定の割合より多いアクセスの際に、データをダウンロードしている」という第二ルールを取得する。
(7) When the Seventh Rule Set is Specified The abnormal
次に、異常通信判断部104は、上述したアクセス判断用情報と、上述した受信情報判断用情報とを取得する。
Next, the abnormal
異常通信判断部104は、第六のルール組の第一ルールの場合と同様に、各ユーザ端末2から、予め指定された所定の期間内に、一のWEBサイトに対して、所定回数以上のアクセスが行われたか否かを判断する。
As in the case of the first rule of the sixth rule set, the abnormal
次に、一のWEBサイトに対して、予め指定された所定の期間内に所定回数以上のアクセスが行われたと判断された場合、異常通信判断部104は、受信情報判断用情報を用いて、所定回数以上のアクセスを行ったユーザ端末2の通信が、第七のルール組の第二ルールを満たすか否かを判断する。例えば、上述した所定の期間当たりのアクセス数と同様に、所定の期間当たりに情報がダウンロードされた回数を算出し、上述した所定の期間内のアクセス数に対する所定の期間内のダウンロード回数の割合を算出する。そしてその割合が、所定の割合よりも大きいか否かを判断し、大きい場合、同一のWEBサイトに対して行われたアクセスのうちの所定の割合より多いアクセスの際に、データをダウンロードしたと判断する。
Next, when it is determined that a predetermined number of accesses have been made to a single WEB site within a predetermined period specified in advance, the abnormal
このようにして、第七のルール組の第一ルールと第二ルールとの両方を満たしたと判断された場合、結果的に、第七のルール組の異常判断ルールを満たしたと判断されたこととなる。 Thus, when it is determined that both the first rule and the second rule of the seventh rule set are satisfied, as a result, it is determined that the abnormality determination rule of the seventh rule set is satisfied. Become.
なお、上記第一〜第七のルール組を構成するルールの第一ルールと第二ルールとの処理順番は、適宜変更するようにしても良い。 Note that the processing order of the first rule and the second rule of the rules constituting the first to seventh rule sets may be changed as appropriate.
なお、上述した第一から第七のルール組の二以上の異常判断ルールに加えて、当該二以上の異常判断ルールにおける同一のWEBサイトを、不適切キーワード情報格納部103に格納されているキーワード情報が示すキーワードを有するWEBページを含むサイトに限定するキーワード異常ルールを更に読み出すようにし、このキーワード異常ルールをさらに満たすように上記の判断処理を行うようにしても良い。 In addition to the two or more abnormality determination rules of the first to seventh rule sets described above, the keywords stored in the inappropriate keyword information storage unit 103 are the same WEB sites in the two or more abnormality determination rules. The keyword abnormality rule limited to the site including the WEB page having the keyword indicated by the information may be further read, and the above determination process may be performed so as to further satisfy the keyword abnormality rule.
例えば、キーワード異常ルールに従って、キーワード情報を不適切キーワード情報格納部103から読み出し、上述した第一から第七のルール組の第一ルールや第二ルールを用いた判断において検出された同一のWEBサイトの情報、例えばWEBサイトのHTML情報を、取得情報格納部101等に格納されている送受信関連情報から取得して、このWEBサイトの情報内に、キーワード情報が示すキーワードを含むか否かを判断するようにし、キーワードを含む場合、このキーワード異常ルールを満たすと判断し、これに加えて他の第一ルールと第二ルールとが満たされた場合に、二以上の異常判断ルールが満たされたと判断するようにしても良い。なお、同一のWEBサイトの情報、例えばWEBサイトのHTML情報は、当該WEBサイトを提供するサーバ装置3に、WEBサイトを構成するWEBページの情報を要求することで、サーバ装置3から受信するようにしても良い。このような情報の送受信に用いられる送受信手段を、異常通信判断部104が備えていても良いし、通信管理装置1内にこのような送受信を行う送受信部を設けるようにしても良い。また、通信管理装置1内の他の送受信部を利用しても良い。
For example, in accordance with a keyword abnormality rule, keyword information is read from the inappropriate keyword information storage unit 103, and the same WEB site detected in the determination using the first rule and the second rule of the first to seventh rule sets described above Information, for example, HTML information of the WEB site is acquired from transmission / reception related information stored in the acquisition
なお、上記のいずれの判断の場合においても、第一から第七のルール組やキーワード異常ルールのいずれか一つでも条件を満たさない場合には、例えば、2以上の異常判断ルールを満たさず、通信が異常でないと判断されるようにして良い。 In any of the above determinations, if any one of the first to seventh rule groups and the keyword abnormality rule does not satisfy the condition, for example, two or more abnormality determination rules are not satisfied, It may be determined that the communication is not abnormal.
異常通信判断部104は、例えば、異常判断ルールを満たすか否かの判断結果を後述する異常度情報取得部105に出力する。二以上の異常判断ルールを満たすと判断した場合にだけ、判断結果を示す情報を出力するようにしてもよい。異常通信判断部104は、通常、MPUやメモリ等から実現され得る。異常通信判断部104の処理手順は、通常、ソフトウェアで実現され、当該ソフトウェアはROM等の記録媒体に記録されている。但し、ハードウェア(専用回路)で実現しても良い。
For example, the abnormal
異常度情報取得部105は、異常通信判断部104がルールを満たすと判断した異常判断ルールに対応付けられた異常度情報を取得する。例えば異常判断ルールに対応付けて異常判断ルール格納部102に格納されている異常度情報を取得する。ここでの異常判断ルールは、キーワード異常ルールを含むと考えてよい。異常度情報取得部105が取得する異常度情報は、二以上の異常判断ルールにそれぞれ対応付けられた異常度情報のいずれかまたは両方であってもよいし、二以上の異常判断ルールの組に対応付けられた異常度情報であってもよい。具体的には、異常度情報取得部105は、異常通信判断部104が判断に利用した異常判断ルールを検索キー等として、検索キーに合致する異常判断ルールと対応付けられた異常度情報を取得してもよい。二以上の異常判断ルールにそれぞれ対応付けられた異常度情報から異常度情報を取得する場合、異常度情報が示す異常度の度合いを累積した異常度を示す異常度情報を取得するようにしても良いし、最も高い異常度の度合いを示す異常度情報だけを取得するようにしても良い。
The abnormality level
また、異常度情報取得部105は、上述したようなキーワード異常ルールを満たすと判断した場合に、キーワード異常ルールにおいて利用したキーワード情報に対応した異常度情報を、異常判断ルールに対応付けられた異常度情報として取得するようにしても良い。例えば、異常度情報取得部105は、上述したような異常判断ルールを満たすか否かの判断の際に、異常通信判断部104がアクセス対象となる同一のWEBサイトを不適切キーワード情報格納部103に格納されているキーワード情報が示すキーワードを有するWEBページを含むサイトであると判断した場合、当該キーワード情報に対応付けられた異常度情報を取得するようにしてもよい。異常度情報取得部105が取得するキーワード情報に対応付けられた異常度情報は、例えば、不適切キーワード情報格納部103にキーワード情報と対応付けられて蓄積されている異常度情報である。具体的には、異常度情報取得部105は、異常通信判断部104が判断に利用したキーワード情報を検索キー等として異常度情報を取得する。上述した同一のWEBサイトのWEBページに、複数のキーワード情報が含まれる場合、複数のキーワード情報に対応付けられた異常度情報が示す異常度を累積していくようにしても良いし、最も高い異常度の度合いを示す異常度情報だけを取得するようにしてもよい。
In addition, when the abnormality level
異常度情報取得部105は、取得した異常度情報を、異常通信判断部104によりルールを満たすと判断された判断用情報と対応付けられたユーザ端末2を利用するユーザと対応付けて、後述する異常度情報格納部106に蓄積する。ユーザと対応付けることは、例えばユーザ識別情報と対応付けることと考えても良い。既にユーザと対応付けられた異常度情報が格納されている場合、格納されている異常度情報の異常度の度合いを、取得した異常度情報の度合いにより累積する。異常度の度合いが値である場合、累積は加算等と考えても良い。なお、ユーザ端末2の識別情報とユーザの識別情報とを特に区別する必要がない場合等には、ユーザ端末2と対応付けて、異常度情報を蓄積するようにしても良い。ユーザ端末2と対応付けることは、例えば、ユーザ端末2の識別情報と対応付けることと考えても良い。
The degree-of-abnormality
異常度情報取得部105は、通常、MPUやメモリ等から実現され得る。異常度情報取得部105の処理手順は、通常、ソフトウェアで実現され、当該ソフトウェアはROM等の記録媒体に記録されている。但し、ハードウェア(専用回路)で実現しても良い。
The degree-of-abnormality
異常度情報格納部106には、異常度情報が格納され得る。異常度情報格納部106には、例えば、ユーザ別あるいはユーザ端末2別に異常度情報が格納され得る。具体的には、ユーザ識別情報や、ユーザ端末2の識別情報と対応付けられて異常度情報が蓄積される。異常度情報格納部106は、不揮発性の記録媒体や、揮発性の記録媒体で実現可能である。
The abnormality degree
異常度判断部107は、異常度情報取得部105が取得した異常度情報が示す異常の度合いが、所定の度合いを超えたか否かを判断する。異常度判断部107は、ユーザ別、あるいはユーザ端末2別に異常度情報格納部106に格納されている異常度情報を読み出し、当該異常度情報が示す異常度の度合いと、予め用意された所定の異常度の度合いとを比較し、読み出した異常度情報が示す異常度の度合いが、所定の度合いを超えたか否かを判断する。所定の度合いは閾値と考えても良い。所定の度合いは、例えば図示しない記憶媒体等に予め格納されているようにする。異常度情報取得部105は、通常、MPUやメモリ等から実現され得る。異常度判断部107の処理手順は、通常、ソフトウェアで実現され、当該ソフトウェアはROM等の記録媒体に記録されている。但し、ハードウェア(専用回路)で実現しても良い。
The abnormality degree determination unit 107 determines whether or not the degree of abnormality indicated by the abnormality degree information acquired by the abnormality degree
出力部108は、異常度判断部107の判断結果に応じて、異常な通信が行われたことを示す情報である異常通信情報を出力する。出力部108は、例えば、予め指定された通知先に異常通信情報を送信しても良いし、異常通信情報は、結果的に、不適切なアクセスが行われたことを示すことが可能な情報であれば、どのような情報であっても良い。異常通信情報は、単に、異常な通信が行われたことを示す情報であっても良い。異常通信情報は、例えば、異常な通信が行われたことを示すメッセージ等の情報である。また、異常通信情報は、例えば、異常な通信を行ったユーザあるいはユーザ端末2に関する情報であってもよい。異常な通信を行ったユーザあるいはユーザ端末2に関する情報は、例えば、ユーザ識別情報やユーザ端末2の識別情報等を含む情報である。また、異常通信情報は、異常な通信の通信先のWEBサイトに関する情報であってもよい。異常な通信の通信先のWEBサイトに関する情報とは、例えば、WEBサイトのURLやドメイン名や、WEBサイトに含まれる一以上のWEBページの、内容、データサイズ等の情報を含む情報である。また、異常通信情報は、異常な通信が行われた日時や期間を示す情報を含んでもよい。異常な通信が行われた期間の情報は、例えば異常判断ルールを満たしたログインが行われていた期間や、異常判断ルールを満たしたアクセス等が行われた期間の情報である。異常な通信が行われた日時の情報は、例えば異常判断ルールを満たしたアクセスが開始された日付や日時の情報や、異常判断ルールを満たすログインの開始時間等を示す情報や、異常判断ルールを満たした情報の送受信が行われた日時を示す情報等である。また、異常通信情報は、異常な通信の内容に関する情報であってもよい。異常な通信の内容に関する情報とは、例えば、異常判断ルールを満たした通信において送受信された情報を識別する情報、例えばファイル名等であっても良いし、送受された情報のデータタイプやデータサイズ等の属性を示す情報であっても良い。例えば、ダウンロードやアップロードされたデータのファイル名等であってもよい。また、異常度判断部107が判断に用いた異常度の情報を含むようにしても良い。また、異常な通信の判断に用いられた異常判断ルールを示す情報を含むようにしても良い。
The
なお、出力部108がネットワーク等を介して外部の装置等に異常通信情報を通知、例えば送信する場合等においては、出力部108は、異常度情報取得部105が取得した異常度情報に応じた通知先を示す情報である通知先情報を取得し、当該取得した通知先情報が示す通知先に異常通信情報を通知するようにしてもよい。このようにすることで、異常度の度合いに応じた適切な通知先に、異常通信情報を通知することができる。異常度情報取得部105が取得した異常度情報とは、異常度情報格納部106に累積された異常度情報と考えてもよい。なお、通知先情報とは、例えば、通知先となる他の装置の、IPアドレスやMACアドレス、あるいはメールアドレス等の、宛先を指定する情報であるアドレス情報等である。
When the
この実施の形態においては、一例として、後述する通知情報格納部109に、異常度の度合いの範囲を指定する情報である異常度範囲情報と、異常通信情報の1以上の通知先を指定する情報とを対応付けた通知先情報を予め格納しておくようにし、出力部108は、異常度情報取得部105が取得した異常度情報が示す異常度が含まれる範囲を指定する異常度範囲情報に対応した通知先情報を通知情報格納部109から取得し、当該取得した通知先情報が示す通知先に異常通信情報を通知、具体的には送信する場合について説明する。
In this embodiment, as an example, in the notification
なお、異常度範囲情報は、異常度の上限および下限を指定する情報、もしくは上限値(あるいは下限値)と値の範囲を示す情報との組合せ等の、結果的に上限及び下限を指定可能な情報である。なお、異常度範囲情報が示す範囲は、一つの値だけの場合も含む概念である。異常度が含まれる異常度範囲情報とは、具体的には、異常度が示す値を含む値の範囲を示す異常度範囲情報である。 In addition, the abnormality level range information can specify the upper limit and the lower limit as a result, such as information specifying the upper limit and lower limit of the abnormality degree, or a combination of the upper limit value (or lower limit value) and the information indicating the value range. Information. The range indicated by the degree-of-abnormality range information is a concept including the case of only one value. The abnormality degree range information including the abnormality degree is specifically abnormality degree range information indicating a value range including a value indicated by the abnormality degree.
出力部108が出力を行うタイミング等は問わない。例えば、異常通信判断部104が判断を行った場合に、出力を行うようにしても良い。ここで述べる出力とは、ディスプレイへの表示、プロジェクターを用いた投影、プリンタへの印字、音出力、外部の装置への送信、記録媒体への蓄積、他の処理装置や他のプログラム等への処理結果の引渡し等を含む概念である。出力部108は、ディスプレイやプリンタ等の出力デバイスを含むと考えても含まないと考えても良い。出力部は、出力デバイスのドライバーソフトまたは、出力デバイスのドライバーソフトと出力デバイス等で実現され得る。
The timing at which the
通知情報格納部109には、異常度の範囲を指定する情報である上述した異常度範囲情報と、異常通信情報の1以上の通知先を指定する情報とを対応付けた通知先情報が格納され得る。異常度範囲情報は、例えば、異常度のレベルを設定する情報と考えても良い。また、通知先情報は、異常度範囲情報が示す異常度のレベルに対応した通知先を指定する情報を考えても良い。通知情報格納部109は、不揮発性の記録媒体が好適であるが、揮発性の記録媒体でも実現可能である。
The notification
不適切ページ指定受付部110は、一以上の不適切なWEBページを指定する情報である不適切ページ指定情報を受け付ける。不適切なWEBページとは、例えば、アクセスが不適切なWEBページである。不適切なWEBページは、アクセスが不適切なWEBサイトを構成するWEBページの一以上と考えても良い。不適切ページ指定情報は、結果的に、アクセスが不適切な1以上のWEBページを指定可能な情報であればよく、例えば、アクセスが不適切な1以上のWEBページを含むWEBサイトやサーバ装置3を指定可能な情報であっても良い。不適切ページ指定情報は、例えば、アクセスが不適切な1以上のWEBページや、WEBページを有するWEBサイトや、WEBページを提供するサーバ装置3等の所在を示す、URLやIPアドレス等のアドレスの情報等である。なお、不適切ページ指定受付部110は、不適切ページ指定情報をどのような経路や手段によって受け付けてもよい。例えば、不適切ページ指定受付部110は、ユーザ等が入力する不適切ページ指定情報を受け付けてもよい。また、異常通信判断部104が異常判断ルールを満たさないと判断した場合に、当該異常判断ルールを満たすか否かの判断対象としたWEBページのWEBページ指定情報を、異常通信判断部104等から受け付けるようにしても良い。ここで述べる受付とは、例えば、入力手段からの受付や、他の機器等から送信される入力信号の受信や、記録媒体等からの情報の読み出し等である。不適切ページ指定情報の入力手段は、テンキーやキーボードやマウスやメニュー画面によるもの等、何でも良い。テンキーやキーボード等の入力手段のデバイスドライバーや、メニュー画面の制御ソフトウェア等で実現され得る。
The inappropriate page designation receiving unit 110 receives inappropriate page designation information that is information for designating one or more inappropriate WEB pages. An inappropriate WEB page is, for example, a WEB page with inappropriate access. An inappropriate WEB page may be considered as one or more of the WEB pages constituting a WEB site with inappropriate access. As a result, the inappropriate page designation information may be information that can designate one or more WEB pages that are inappropriately accessed. For example, a WEB site or server device that includes one or more WEB pages that are inappropriately accessed. Information that can specify 3 may be used. The inappropriate page designation information is, for example, an address such as a URL or an IP address indicating the location of one or more WEB pages that are inappropriately accessed, a WEB site having a WEB page, the
不適切ページ情報取得部111は、不適切ページ指定受付部110が受け付けた不適切ページ指定情報が指定するWEBページの情報を取得する。例えば、不適切ページ情報取得部111は、不適切ページ指定情報が指定するアクセスが不適切なページのURL等の所在を示すアドレス情報等を取得し、当該アドレス情報に対応したサーバ装置3に対して、不適切ページ指定情報が指定するアクセスが不適切なWEBページを要求する指示を送信し、当該指示に応じて、サーバ装置3が送信するWEBページを構成する情報を取得する。WEBページの情報とは、例えばWEBページを表示するためのHTMLファイル等の情報である。不適切ページ情報取得部111が取得したアクセスが不適切なWEBページの情報は、例えば、不適切ページ情報取得部111により図示しない格納部等に蓄積される。不適切ページ情報取得部111は、通常、MPUやメモリ等から実現され得る。不適切ページ情報取得部111の処理手順は、通常、ソフトウェアで実現され、当該ソフトウェアはROM等の記録媒体に記録されている。但し、ハードウェア(専用回路)で実現しても良い。なお、不適切ページ情報取得部111は、インターネット等を介してWEBページの情報を取得するための送受信手段等を備えていても良いし、WEBページの情報を取得する際には図示しない送受信部等の他の通信手段を利用するようにしても良い。
The inappropriate page information acquisition unit 111 acquires information on the WEB page specified by the inappropriate page specification information received by the inappropriate page specification reception unit 110. For example, the inappropriate page information acquisition unit 111 acquires address information or the like indicating the location of a URL or the like of an inappropriate page specified by the inappropriate page specification information, and sends it to the
不適切キーワード取得部112は、不適切ページ情報取得部111が取得したWEBページの情報である不適切ページ情報から、不適切なWEBページが、WEBページ内に含み得るキーワードを取得し、当該キーワードを示す情報であるキーワード情報を、予め指定された異常度情報と対応付けて、不適切キーワード情報格納部103に蓄積する。なお、予め指定された異常度情報は、例えば、一定のものであってもよいし、キーワード情報が示すキーワードの出現頻度に応じて所定のルールに従って変換するものであっても良い。異常度情報は、不適切ページ指定情報を受け付ける際に受け付けるようにしても良い。不適切キーワード取得部112は、例えば、不適切ページ情報取得部111が取得したWEBページを構成するテキスト等に対して、自然言語処理を行うことでキーワード情報を取得する。例えば、不適切ページ情報取得部111が取得したWEBページのテキストを構成する語句について、形態素解析により、品詞や活用形等を判断する。そして、品詞が名詞や動詞である語句を検出し、当該検出した名詞の語句のうちの、WEBページ内での出現頻度の高いもの、例えば出現頻度が閾値以上のものを、不適切ページを示すキーワードとして取得する。また、予め指定された複数のWEBページにおいて、共通で出現する名詞の語句を、不適切ページを示すキーワードとして取得しても良い。あるいは、不適切ページ情報取得部111が取得したWEBページの情報のうちの、<H1>タグ等の所定のタグが付与されている要素を構成する語句のうちの、品詞が名詞である語句を、キーワードとして取得しても良い。なお、キーワードとキーワード情報とは同じ情報と考えても良い。また、予め図示しない格納部等に、適切なページに用いられるキーワードを用意しておき、不適切ページ情報取得部111が取得したWEBページを構成するテキストから検出された所定の品詞の語句のうちの、適切なページに用いられるキーワードを除外した語句を、不適切ページを示すキーワードとして取得しても良い。なお、不適切なWEBページのキーワードは、不適切なWEBページのソースコードから取得するようにしても良い。例えば、特定のタグを示す情報を、キーワード情報として取得してもよい。 The inappropriate keyword acquisition unit 112 acquires a keyword that an inappropriate WEB page can include in the WEB page from the inappropriate page information that is information of the WEB page acquired by the inappropriate page information acquisition unit 111, and the keyword Is stored in the inappropriate keyword information storage unit 103 in association with previously specified abnormality degree information. Note that the abnormality level information designated in advance may be, for example, constant or may be converted according to a predetermined rule according to the appearance frequency of the keyword indicated by the keyword information. The abnormality level information may be received when the inappropriate page designation information is received. For example, the inappropriate keyword acquisition unit 112 acquires keyword information by performing natural language processing on the text or the like constituting the WEB page acquired by the inappropriate page information acquisition unit 111. For example, the part of speech or the utilization form is determined by morphological analysis for the words constituting the text of the WEB page acquired by the inappropriate page information acquisition unit 111. Then, a phrase whose part of speech is a noun or a verb is detected, and a phrase having a high appearance frequency in the WEB page, for example, a phrase having an appearance frequency equal to or higher than a threshold is indicated as an inappropriate page. Get as a keyword. Moreover, you may acquire the phrase of the noun which appears in common in the some WEB page designated beforehand as a keyword which shows an inappropriate page. Alternatively, a phrase whose part of speech is a noun among words or phrases that constitute an element to which a predetermined tag such as the <H1> tag is included in the information on the WEB page acquired by the inappropriate page information acquisition unit 111. , May be acquired as a keyword. Note that the keyword and the keyword information may be considered as the same information. In addition, a keyword used for an appropriate page is prepared in advance in a storage unit (not shown), and the predetermined part-of-speech phrase detected from the text constituting the WEB page acquired by the inappropriate page information acquisition unit 111 A phrase that excludes a keyword used for an appropriate page may be acquired as a keyword indicating an inappropriate page. Note that an inappropriate WEB page keyword may be acquired from the source code of an inappropriate WEB page. For example, information indicating a specific tag may be acquired as keyword information.
なお、単語の品詞や、動詞の基本形や活用形を特定する技術は、形態素解析等の技術として公知である。形態素解析のシステムとしては、日本語の場合には、例えば、奈良先端科学技術大学院大学で開発された「ChaSen(茶筌)」(http://chasen.naist.jp)等が知られている。また、英語の場合には、英単語に品詞を付与するソフトウェアとして、例えば、「TnT」(http://www.coli.uni−saarland.de/〜thorsten/tnt/)や「Brill Tagger」(http://www.cs.jhu.edu/〜brill/)等が知られている。Brillの技術については、例えば、次の文献を参照されたい。「文献:Eric Brill、「Transformation−Based Error−Driven Learning and Natural Language Processing:A Case Study in Part−of−Speech Tagging」、Computational Linguistics,Vol.21,No.4,p.543−565、1995年」。 A technique for specifying a word part of speech, a basic form of a verb, and a utilization form is known as a technique such as morphological analysis. As a morphological analysis system, in the case of Japanese, for example, “ChaSen” (http://chasen.naist.jp) developed at Nara Institute of Science and Technology is known. In the case of English, examples of software that gives parts of speech to English words include “TnT” (http://www.coli.uni-saarland.de/˜thorsen/tnt/) and “Brill Tagger” ( http://www.cs.jhu.edu/˜brill/) and the like are known. See, for example, the following document for the Brill technique. “Literature: Eric Brill,“ Transformation-Based Error-Driving Learning and Natural Language Processing: A Case Study in Part-of-Speech Tagging, Computational Ls. ” 21, no. 4, p. 543-565, 1995 ".
不適切キーワード取得部112は、通常、MPUやメモリ等から実現され得る。不適切キーワード取得部112の処理手順は、通常、ソフトウェアで実現され、当該ソフトウェアはROM等の記録媒体に記録されている。但し、ハードウェア(専用回路)で実現しても良い。 The inappropriate keyword acquisition unit 112 can usually be realized by an MPU, a memory, or the like. The processing procedure of the inappropriate keyword acquisition unit 112 is usually realized by software, and the software is recorded in a recording medium such as a ROM. However, it may be realized by hardware (dedicated circuit).
次に、本実施の形態の通信管理装置の動作について図3のフローチャートを用いて説明する。 Next, the operation of the communication management apparatus according to the present embodiment will be described using the flowchart of FIG.
(ステップS301)送受信情報取得部100は、ユーザ端末2とサーバ装置3間において送受信される情報に関する送受信関連情報を取得したか否かを判断する。取得した場合、ステップS302に進み、取得していない場合ステップS308に進む。
(Step S301) The transmission / reception
(ステップS302)送受信情報取得部100は、ステップS301において取得した送受信関連情報を取得情報格納部101に蓄積する。
(Step S <b> 302) The transmission / reception
(ステップS303)異常通信判断部104は、現在の時刻が、異常な通信の判断を行うタイミングであるか否かを判断する。現在の時刻の情報は、例えば図示しない時計等から取得する。判断を行うタイミングである場合、ステップS304に進み、タイミングでない場合、ステップS301に戻る。
(Step S303) The abnormal
(ステップS304)通信管理装置1は、アクセス判断処理を行う。なお、この処理の詳細については、後述する。
(Step S304) The
(ステップS305)異常度判断部107は、異常度情報格納部106にユーザ識別情報と対応付けられて格納された異常度情報の中に、予め指定された閾値を超える異常度を示す異常度情報があるか否かを判断する。ある場合、ステップS306に進み、ない場合、ステップS2301に戻る。なお、ない場合、異常度情報格納部106に格納されている異常度情報は削除するようにしても良い。
(Step S305) The abnormality degree determination unit 107 includes abnormality degree information indicating an abnormality degree exceeding a predetermined threshold in the abnormality degree information stored in the abnormality degree
(ステップS306)出力部108は、ステップS305において判断された予め指定された閾値を超える異常度を示す異常度情報を用いて、ユーザ識別情報別に、通知情報格納部109から通知先情報を取得する。具体的には、閾値を超えると判断された各ユーザ識別情報に対応した異常度情報が示す異常度を含む範囲を示す異常度範囲情報を検出し、当該異常度範囲情報に対応付けられた通知先情報を通知情報格納部109から取得する。
(Step S306) The
(ステップS307)出力部108は、ステップS306において取得した通知先情報を用いて異常通信情報を出力する。そして、ステップS301に戻る。
(Step S307) The
(ステップS308)不適切ページ指定受付部110は、不適切ページ指定情報を受け付けたか否かを判断する。受け付けた場合、ステップS309に進み、受け付けていない場合、ステップS301に戻る。 (Step S308) The inappropriate page designation receiving unit 110 determines whether or not inappropriate page designation information has been received. If accepted, the process proceeds to step S309. If not accepted, the process returns to step S301.
(ステップS309)不適切ページ情報取得部111は、不適切ページ指定情報により指定されたWEBページの情報を取得する。 (Step S309) The inappropriate page information acquisition unit 111 acquires information on the WEB page designated by the inappropriate page designation information.
(ステップS310)不適切キーワード取得部112は、ステップS309において取得したWEBページの情報を用いて、キーワード情報を取得する。 (Step S310) The inappropriate keyword acquisition unit 112 acquires keyword information using the information on the WEB page acquired in Step S309.
(ステップS311)不適切キーワード取得部112は、ステップS310において取得したキーワード情報を、異常度情報と対応付けて、不適切キーワード情報格納部103に格納する。なお、異常度情報は、予め指定された異常度情報であっても良いし、キーワード情報に対応するキーワードの出現率等に応じて選択された異常度情報であっても良い。そして、ステップS301に戻る。 (Step S311) The inappropriate keyword acquisition unit 112 stores the keyword information acquired in step S310 in the inappropriate keyword information storage unit 103 in association with the abnormality degree information. The abnormality degree information may be abnormality degree information designated in advance, or may be abnormality degree information selected according to the appearance rate of the keyword corresponding to the keyword information. Then, the process returns to step S301.
なお、図3のフローチャートにおいて、電源オフや処理終了の割り込みにより処理は終了する。 In the flowchart of FIG. 3, the process ends when the power is turned off or the process is terminated.
次に、図3のステップS304において説明した、異常通信判断処理の詳細について図4のフローチャートを用いて説明する。 Next, details of the abnormal communication determination process described in step S304 of FIG. 3 will be described using the flowchart of FIG.
(ステップS401)異常通信判断部104は、通信管理装置1を管理する管理者等により予め指定されている2以上の異常判断ルールを、異常判断ルール格納部102から読み出す。2以上の異常判断ルールは、例えば、上述した第一から第七のルール組のいずれかである。なお、この例においては、当該ステップで読み出す異常判断ルールは、キーワード異常ルールを含まないものとしている。ただし、当該ステップでキーワード異常ルールを読み出すようにしても良い。
(Step S <b> 401) The abnormal
(ステップS402)異常通信判断部104は、取得情報格納部101に蓄積された送受信情報を用いて、ステップS401において読み出した2以上の異常判断ルールにそれぞれ応じた判断用情報を取得する。2以上の異常判断ルールにそれぞれ応じた判断用情報とは、具体的には、それぞれの異常判断ルールを用いた判断に利用される判断用情報である。異常通信判断部104は、例えば、送受信情報に含まれる送受信の対象となる1以上のデータ等を用いて、判断用情報を構成しても良いし、送受信情報に含まれる送受信の対象となる1以上のデータに付加されたヘッダ情報から判断用情報を構成しても良い。判断用情報は、通常、送信元あるいは送信先となるユーザ端末2に対応したユーザ識別情報や、送信元あるいは送信先となるWEBサイトを識別可能な情報等を有している。
(Step S402) The abnormal
(ステップS403)異常通信判断部104は、ステップS401において読み出した異常判断ルールのうちの、一番目の異常判断ルールを満たす判断用情報が存在するか否かを判断する。存在する場合、ステップS404に進み、存在しない場合、上位の処理にリターンする。なお、存在するか否かの判断が行われた判断用情報、あるいは一番目の異常判断ルールを満たすと判断された判断用情報については、例えば、判断済であることを示すフラグ情報等を付与するようにする。そして、再度このステップの処理を行う際には、このフラグ等が付与された判断用情報については判断を行わないようにする。判断対象から除外可能であれば、フラグ以外の方法を用いても良い。なお、2以上の異常判断ルールのうちの、一番目の異常判断ルール等の順番は、予め指定された2以上の異常判断ルールの組毎に予め指定されていても良いし、任意に決定するようにしても良い。例えば、n番目の異常判断ルールにおいて、n−1番目までの異常判断ルールを用いた判断結果から得られる情報を、条件のパラメータ等として用いる場合には、順番等は予め指定しておくことが好ましい。
(Step S403) The abnormal
(ステップS404)異常通信判断部104は、カウンターnに2を代入する。
(Step S404) The abnormal
(ステップS405)異常通信判断部104は、ステップS401において読み出したn番目の異常判断ルールを満たす判断用情報が、ステップS402において取得した一番目の異常判断ルールに応じて取得した判断用情報の中に存在するか否かを判断する。存在する場合、ステップS407に進み、存在しない場合、ステップS403に戻る。
(Step S405) The abnormal
(ステップS406)異常通信判断部104は、カウンターnを1インクリメントする。
(Step S406) The abnormal
(ステップS407)異常通信判断部104は、ステップS401において読み出した異常判断ルールにn番目の異常判断ルールがあるか否を判断する。ある場合、ステップS405に戻り、ない場合、ステップS408に進む。
(Step S407) The abnormal
(ステップS408)異常通信判断部104は、キーワード異常ルールを、異常判断ルール格納部102から読み出し、不適切キーワード情報格納部103から、キーワード情報を取得する。
(Step S <b> 408) The abnormal
(ステップS409)異常通信判断部104は、ステップS401において取得した2以上の異常判断ルールを満たすと判断された判断用情報が示す通信対象となるWEBサイトを構成するWEBページの情報が、ステップS408において取得したキーワード情報の少なくとも一つを含むか否かを判断する。なお、キーワード情報のうちの所定数以上を含むか否かを判断するようにしても良い。例えば、当該WEBサイトから送信されたWEBページの情報を、取得情報格納部101から取得して、当該WEBページの情報に、キーワード情報が示すキーワードが含まれるか否かを判断する。キーワード情報が示すキーワードを含む場合、ステップS409に進み、含まない場合、ステップS403に戻る。
(Step S409) The abnormal
(ステップS410)異常度情報取得部105は、ステップS409において、WEB頁に含まれると判断されたキーワード情報に対応した異常度情報を、異常判断ルールに対応した異常度情報として不適切キーワード情報格納部103から取得する。
(Step S410) The abnormality degree
(ステップS411)異常度情報取得部105は、取得した異常度情報を、2以上の異常判断ルールを満たすと判断された判断用情報が示すユーザ識別情報と対応付けて異常度情報格納部106に蓄積する。そして、ステップS403に戻る。
(Step S411) The degree-of-abnormality
なお、図4のフローチャートにおいては、ステップS410においてキーワード情報に対応付けられた異常度情報を用いる場合について説明したが、異常判断ルールに対応付けられた異常度情報を用いるようにしても良い。 In the flowchart of FIG. 4, the case where the abnormality degree information associated with the keyword information is used in step S410 has been described. However, the abnormality degree information associated with the abnormality determination rule may be used.
なお、図4のフローチャートにおいて、電源オフや処理終了の割り込みにより処理は終了する。 In the flowchart of FIG. 4, the process ends when the power is turned off or the process ends.
以下、本実施の形態における通信管理装置1の具体的な動作について説明する。通信管理装置1を備えた情報処理システムの概念図は図1である。なお、ここでは例として、ユーザ端末2と通信管理装置1とはローカルネットワークで接続されているものとし、当該ローカルネットが図示しないルータ等を介してインターネットに接続されているものとする。なお、ここでは、説明を簡単にするため、ユーザ端末2のIPアドレスがユーザ識別情報と同じである場合を例に挙げて説明する。ただし、ユーザ端末2のIPアドレスがユーザ識別情報とは異なっていても良い。異なっている場合、例えば、ユーザ端末2のIPアドレスと、当該ユーザ端末2を利用しているユーザのユーザ識別情報とが、ユーザがユーザ端末2を利用している利用時間等と対応付けて図示しない他の管理情報を用いて管理されているようにし、この管理情報を用いて、ユーザ端末2のIPアドレスと、利用時間とに応じたユーザ識別情報を取得することが可能である。あるいは、送受信される情報や、ヘッダ情報に、ユーザ識別情報を含ませるようにしても良い。
Hereinafter, a specific operation of the
ここでは、主として、異常判断ルールとして、上述した第一のルール組を構成する2つの異常判断ルールとキーワード異常ルールとを用いた場合について説明する。 Here, the case where the two abnormality determination rules and the keyword abnormality rule which comprise the 1st rule group mentioned above is mainly used as an abnormality determination rule is demonstrated.
まず送受信情報取得部100は、ローカルネットワーク等を介して送受信関連情報を順次取得する。そして取得した送受信関連情報を順次取得情報格納部101に蓄積する。ここで送受信情報取得部100が取得する送受信関連情報は、1以上のユーザ端末2と、1以上のサーバ装置3との間で送受信される情報、及び、当該情報に付加されているヘッダ情報から読み出された情報、およびこれらの情報を送受信情報取得部100が取得した時刻の情報であるとする。
First, the transmission / reception
図5は、取得情報格納部101に格納された送受信関連情報を管理する送受信関連情報管理表である。送受信関連情報管理表は、「ID」、「送信元」、「送信先」、「時刻」、「ポート番号」、「通信情報」という項目を有している。「ID」は、レコードを管理するために付与された情報である。送受信関連情報管理表においては、各行が1レコードであるとする。「送信元」は、情報を送信する送信元のユーザ端末2あるいはサーバ装置3を示す情報であり、ここでは、IPアドレスであるとする。なお、IPアドレスにおける英文字は任意の数字であることを示す。なお、「192.168〜」で始まるIPアドレスは、ここでは、ユーザ端末2のIPアドレスであるとし、その他は、サーバ装置3のIPアドレスであるとする。「時刻」は、送受信関連情報を取得した時刻である。「ポート番号」は、送受信される情報の通信に用いられるポート番号である。例えば、ここでは、ポート番号「20」は、通信がFTPを用いた通信であることを示し、ポート番号「80」は、通信がHTTPを用いた通信であることを示す。「通信情報」は、送信対象となる情報であり、例えば、ユーザ端末2からサーバ装置3に送信される要求情報や、WEBサーバにアップロードされる情報、サーバ装置3からユーザ端末2に送信されるWEBページの情報や、ユーザ端末2がサーバ装置3からダウンロードする情報である。
FIG. 5 is a transmission / reception related information management table for managing transmission / reception related information stored in the acquired
ここで、予め指定された異常な通信が行われたか否かの判断を行うタイミングになったとする。例えば、予め判断を行う日時や曜日等がスケジュールとして指定されており、このスケジュールにより指定されたタイミングになったか否かを判断する。 Here, it is assumed that it is time to determine whether or not abnormal communication specified in advance has been performed. For example, it is determined whether or not the date and day of the week to be determined in advance are specified as a schedule, and the timing specified by this schedule has come.
異常通信判断部104は、異常判断ルール格納部102に格納されている異常判断ルールのうちの、予め指定された2以上の異常判断ルールを読み出す。ここでは、上述したような第一のルール組を構成する2つの異常判断ルールが読み出されるものとする。即ち、同一WEBサイトに対して所定の時間以上ログインしているという第一ルール、および同一のWEBサイトに対して断続的にデータをアップロードしているという第二ルールを読み出す。
The abnormality
次に、異常通信判断部104は、取得情報格納部101に格納されている送受信関連情報を用いて、読み出した2つの異常判断ルールにそれぞれ応じた判断用情報を構成する。どのような判断用情報を構成するかについては、例えば、予め異常判断ルールに対応付けて、図示しない格納部や、異常判断ルール格納部102に格納しておき、読み出した異常判断ルールに応じて適宜読み出す。
Next, the abnormal
まず、第一のルール組の第一ルールに対応した判断用情報として、一のユーザが、一のWEBサイトにログインしている期間を示す判断用情報であるログイン時間判断用情報を、図5に示した送受信関連情報を用いて取得する。例えば、異常通信判断部104は、送受信関連情報の各レコードの中から、「通信情報」の情報が、「ユーザID」や「アカウント」や、「パスワード」や「ログイン」や、「LOGIN」等のログインを要求する情報に特徴的と考えられる文字列を含むHTMLファイル以外の情報であるレコードを検出し、当該レコードの「送信元」、「送信先」、および「時刻」の項目値をそれぞれ取得する。そして、当該レコードから取得した「送信元」および「送信先」の項目値と一致する「送信元」および「送信先」の項目値を有するレコードを、図5に示す送受信関連情報内において検出する。このレコードがログイン開始時に送受信された情報の送受信関連情報である。そして、検出したレコードのうちの、「通信情報」の情報が、「ログアウト」や「接続終了」等のログアウトを要求する情報に特徴的と考えられる文字列を含むHTMLファイル以外の情報であるレコードを検出する。そして、検出したレコードのうち、「時刻」の値が、上述したログインを要求する情報に特徴的と考えられる文字列を含む「通信情報」を有するレコードから取得した「時刻」が示す時刻に最も短いレコードを検出する。このレコードがログイン終了時に送受信された情報の送受信関連情報である。そして、ログイン終了時の送受信関連情報の「時刻」と、ログイン開始時の送受信関連情報の「時刻」と差を算出する。この差が、ログイン時間を示す情報である。そして、取得したログイン時間を示す情報と、ログイン終了時の送受信関連情報の「時刻」と、ログイン開始時の送受信関連情報の「時刻」と、「送信元」、および「送信先」の情報とを、対応付けた判断用情報を、図示しないメモリ等の記憶媒体に一時記憶する。同様にして、他の送受信関連情報についても、ログイン時間を求める処理を行う。
First, as determination information corresponding to the first rule of the first rule set, login time determination information, which is determination information indicating a period during which one user is logged in to one WEB site, is shown in FIG. It is acquired using the transmission / reception related information shown in. For example, the abnormal
例えば、図5の「ID」が「001」であるレコードの「通信情報」が、ユーザ端末二から送信された、「ログイン」と「パスワード」いう文字列を含むログインを要求する情報であったとする。この場合、異常通信判断部104は、このレコードの「送信元」の情報である「192.168.aaa,bbb」と、「送信先」の情報である「210.150.ccc.ddd」と、「時刻」の情報である「17AUG2010 10:20:24」を取得する。次に、送受信関連情報の他のレコードから、「送信元」の情報が「192.168.aaa,bbb」、「送信先」の情報が「210.150.ccc.ddd」であって、「通信情報」の情報が、「ログアウト」や「接続終了」等のログアウトを要求する情報に特徴的と考えられる文字列を含むHTML以外の情報であるレコードを、「時刻」の値が、「17AUG2010 10:20:24」以降の最も古いものから順に検出していく。ここでは、「ID」が「082」のレコードが、この条件に合致する最初に検出されたレコードであったとする。異常通信判断部104は、このレコードの「時刻」の値「17AUG2010 10:40:24」と、「ID」が「001」のレコードの「時刻」の値との差をログイン時間として算出する。そして、算出したログイン時間である「00:20:00」と、「ID」が「001」であるレコードの送信元」の情報である「192.168.aaa,bbb」と、「送信先」の情報である「210.150.ccc.ddd」と、「時刻」の情報である「17AUG2010 10:20:24」と、「ID」が「082」であるレコードの「時刻」の情報である「17AUG2010 10:40:24」とを対応付けた情報を、第一のルール組の第一ルールの判断用情報として、図示しない記憶媒体等に一時記憶する。なお、送信元のIPアドレスが、ローカルアドレスでない判断用情報は、除外するようにしても良い。
For example, it is assumed that “communication information” of the record whose “ID” is “001” in FIG. 5 is information requesting login including character strings “login” and “password” transmitted from the
図6は、異常通信判断部104が取得し、一時記憶させた第一のルール組の第一ルールに対応した判断用情報を管理する第一判断用情報管理表を示す図である。「ID」は、判断用情報を管理するための識別情報である。なお、ログイン開始時の送受信関連情報の「時刻」を、ここでは「ログイン開始時刻」、ログアウト時の送受信関連情報の「時刻」を、ここでは「ログイン終了時刻」とする。なお、時刻や時間は、本実施の形態では、「時:分:秒」で表している。第一のルール組の第一ルールの判断用情報を、以下、第一判断用情報と呼ぶ。
FIG. 6 is a diagram illustrating a first determination information management table for managing determination information corresponding to the first rule of the first rule set acquired and temporarily stored by the abnormal
次に、異常通信判断部104は、第一のルール組の第二ルールに対応した判断用情報として、データをアップロードしている状態を示す送受信関連情報に含まれる「送信元」の情報と、「送信先」の情報と、「時刻」の情報を、図5に示した送受信関連情報から取得する。ここではFTPで行われるデータの送信を、データのアップロードと判断することとする。このため、図5に示し送受信関連情報の中から、FTPでデータを送信していることを示す「ポート番号」が「80」であるレコードを検出し、検出したレコードの「送信元」、「送信先」、および「時刻」の情報を取得し、これらを対応付けた情報を、第一のルール組の第二ルールの判断用情報として、図示しない記憶媒体等に一時記憶する。
Next, the abnormal
図7は、異常通信判断部104が取得し、一時記憶させた第一のルール組の第二ルールに対応した判断用情報を管理する第二判断用情報管理表を示す図である。「ID」は、判断用情報を管理するための識別情報である。第一のルール組の第一ルールの判断用情報を、以下、第二判断用情報と呼ぶ。
FIG. 7 is a diagram showing a second determination information management table for managing determination information corresponding to the second rule of the first rule set acquired and temporarily stored by the abnormal
次に、異常通信判断部104は、第一のルール組の第一ルールを満たす第一判断用情報を検出する。即ち、同一のWEBサイトに所定の時間以上ログインしている第一判断用情報を検出する。所定の時間は予め15分に設定されているものとする。具体的には、図6に示した第一判断用情報管理表において、「ログイン時間」が15分以上のものを検出する。例えば、図6においては、まず、「ID」が「A01」であるレコードが、「ログイン時間」が15分以上のレコードとして検出されたとする。
Next, the abnormal
さらに、異常通信判断部104は、第一のルール組の第二ルールを満たす第二判断用情報を検出する。即ち、同一のWEBサイトに対して断続的にデータをアップロードしていることを示す第二判断用情報を検出する。ただし、ここでは、第一のルール組の第一ルールを満たすと判断された第一判断用情報に含まれる「送信先」の情報と同じIPアドレスのWEBサイトを、同一のWEBサイトと判断する。また、第一のルール組の第一ルールを満たすと判断された第一判断用情報に含まれる「送信元」のIPアドレスと同じIPアドレスのユーザ端末2からアップロードされていることを示す第二判断用情報だけを判断対象とする。
Furthermore, the abnormal
具体的には、異常通信判断部104が検出した第一判断用情報の「ID」が「A01」であるレコードの、「送信先」の情報である「210.150.ccc.ddd」を取得し、図7に示した第二判断用情報管理表から、「送信先」の情報が、第一判断用情報から取得した「210.150.ccc.ddd」と一致するIPアドレスであるレコードを全て検出する。
Specifically, “210.150.ccc.ddd”, which is the “destination” information, of the record whose “ID” of the first determination information detected by the abnormal
さらに、検出したレコードの中から、第一判断用情報の「ID」が「A01」であるレコードの、「送信元」の情報である「192.168.aaa,bbb」を取得し、図7に示した第二判断用情報管理表から、「送信元」の情報が、第一判断用情報から取得した「192.168.aaa,bbb」と一致するIPアドレスであるレコードを全て検出する。これにより、IPアドレスが「192.168.aaa,bbb」であるログインを行った装置、すなわちユーザ端末2から、IPアドレスが「210.150.ccc.ddd」であるログインを受け付ける装置、即ちサーバ装置3に、FTPでデータが送信された、即ちデータがアップロードされたことを示す第二判断用情報が全て検出されたこととなる。
Further, from the detected records, “192.168..aaa, bbb” which is the information of “transmission source” of the record whose “ID” of the first determination information is “A01” is acquired. In the second determination information management table shown in FIG. 4, all records having IP addresses whose “source” information matches “192.168..aaa, bbb” acquired from the first determination information are detected. As a result, a device that has logged in with an IP address of “192.168..aaa, bbb”, that is, a device that accepts a login with an IP address of “210.150.ccc.ddd” from a
さらに、検出したレコードのうち、「時刻」の情報が、第一判断用情報の「ID」が「A01」であるレコードの「ログイン開始時刻」と「ログイン終了時刻」との間の時刻を示すレコードを全て検出する。ここでは、検出されたレコード数が「12」であったとする。 Further, among the detected records, the information of “time” indicates the time between “login start time” and “login end time” of the record whose “ID” of the first determination information is “A01”. Detect all records. Here, it is assumed that the number of detected records is “12”.
そして、最終的に検出されたレコード数を、ログイン時間で除算した値が、予め指定された値より大きいか否かを判断して、予め指定された値より大きければ、断続的にアップロードが行われたと判断する。例えば、予め指定した数が1分当たり、「0.5」回であったとすると、今回検出されたレコード数「12」をログイン時間「20」分で除算した値は、「0.6」回となるため、断続的にアップロードが行われたと判断される。 Then, it is determined whether the value obtained by dividing the number of records finally detected by the login time is larger than a predetermined value. If the value is larger than the predetermined value, uploading is performed intermittently. Judge that it was broken. For example, if the number designated in advance is “0.5” times per minute, the value obtained by dividing the number of records “12” detected this time by the login time “20” minutes is “0.6” times. Therefore, it is determined that the upload has been performed intermittently.
これにより、異常通信判断部104は、第一のルール組の第一ルールおよび第二ルールを満たすと判断したこととなる。
Thereby, the abnormal
次に、異常通信判断部104は、キーワード異常ルールを、異常判断ルール格納部102から読み出す。そして、キーワード異常ルールを満たすか否かの判断処理を行う。具体的には、不適切キーワード情報格納部103に格納されているキーワード情報を読み出す。そして、上述した同一のWEBサイト、即ちログイン先のWEBサイトのIPアドレスである「210.150.ccc.ddd」を第二判断用情報等から取得し、図5に示した送受信関連情報管理表において、「送信元」の情報が、この取得したIPアドレス「210.150.ccc.ddd」と一致する1以上のレコードを検出する。そして検出したレコードに含まれる「通信情報」の情報の中から、HTMLファイルを取得する。そして、このHTMLファイル内に、キーワード情報が示すキーワードの少なくとも1以上が含まれるか否かを検索する。
Next, the abnormal
キーワードが検出された場合、キーワード異常ルールを満たしたと判断されたこととなる。これにより、ログインを行ったIPアドレスが「192.168.aaa,bbb」であるユーザ端末2を利用しているユーザによって、異常な通信が行われたと判断されたことを示している。このため、異常度情報取得部105は、検出されたキーワードに対応付けられた異常度情報を取得し、当該異常度情報と、ログインを行ったユーザ識別情報とを対応付けて、異常度情報格納部106に蓄積する。ユーザ識別情報は、ここでは、ユーザ端末2のIPアドレスを用いるため、異常度情報と、ログインを行ったIPアドレス「192.168.aaa,bbb」とが対応付けて蓄積される。
When the keyword is detected, it is determined that the keyword abnormality rule is satisfied. This indicates that the user using the
図8は、不適切キーワード情報格納部103に格納されているキーワード情報を管理するキーワード情報管理表である。キーワード情報管理表は、「キーワード情報」と「異常度情報」とを項目として有している。「キーワード情報」は、キーワード情報である。「異常度情報」は異常度情報であり、ここでは、異常度の度合いを示す値であるとする。この値は、値が大きいほど異常度が高いことを示している。 FIG. 8 is a keyword information management table for managing keyword information stored in the inappropriate keyword information storage unit 103. The keyword information management table has “keyword information” and “abnormality information” as items. “Keyword information” is keyword information. The “abnormality information” is abnormality degree information, and here is a value indicating the degree of abnormality. This value indicates that the larger the value is, the higher the degree of abnormality is.
例えば、図5に示した送受信関連情報管理表において、「送信元」の情報が「210.150.ccc.ddd」である「ID」が「002」であるレコードの「通信情報」がHTMLファイルであったとすると、異常通信判断部104は、図8に示したキーワード情報管理表において管理されているキーワード情報を順次読み出し、読み出したキーワード情報が示すキーワードが、「ID」が「002」であるレコードの「通信情報」がHTMLファイル内に含まれるか否かを検索する。そして、キーワードが含まれる場合、当該キーワードのキーワード情報と対応付けられた異常度情報の値を、ログインを行ったユーザのユーザ識別情報、即ちここでは、ログインを行ったユーザ端末2のIPアドレス「192.168.aaa,bbb」と対応付けて異常度情報格納部106に蓄積していく。ここでは、異常度情報は値であるため、既に、同じユーザ識別情報と対応付けられた異常度情報が格納されている場合、ここでは、新たに取得した異常度情報の値を累積、例えば加算していく。
For example, in the transmission / reception related information management table shown in FIG. 5, the “communication information” of the record whose “ID” is “002” is “HTML” and the “ID” is “210.150.ccc.ddd”. , The abnormal
図9は、「ID」が「002」であるレコードの「通信情報」の情報であるHTMLファイルの一例を示す図である。ここでは、例えば、「視聴料」というキーワードと、「動画」というキーワードとがHTMLファイルに含まれていたとすると、ユーザ識別情報である「192.168.aaa,bbb」と対応付けられて、「視聴料」に対応する異常度情報の値「3」と、「動画」に対応する異常度情報の値「1」とが加算されて蓄積される。なお、キーワードを含まない場合、データのアップロード先が不適切なWEBサイトでないと判断されることとなり、通信自体が、異常な通信と判断されない。 FIG. 9 is a diagram illustrating an example of an HTML file that is information of “communication information” of a record whose “ID” is “002”. Here, for example, if the keyword “viewing fee” and the keyword “moving image” are included in the HTML file, the user identification information “192.168..aaa, bbb” is associated with “ The abnormality level information value “3” corresponding to “viewing fee” and the abnormality level information value “1” corresponding to “moving image” are added and stored. If the keyword is not included, it is determined that the data upload destination is not an inappropriate WEB site, and the communication itself is not determined to be abnormal communication.
異常通信判断部104は、他の第一判断用情報および第二判断用情報等についても、上記のような2以上の異常判断ルールを満たすか否か等の判断を行い、その判断結果によって、上記と同様に異常度情報取得部105がユーザ識別情報と対応付けて異常度情報を蓄積していく。
The abnormal
図10は、異常度情報格納部106に格納された異常度情報を管理する異常度情報管理表である。異常度情報管理表は、レコードを管理する情報である「ID」と、通信を行ったユーザのユーザ識別情報である「ユーザ識別情報」と、累積された異常度情報を示す「異常度情報」という項目を有している。
FIG. 10 is an abnormality degree information management table for managing the abnormality degree information stored in the abnormality degree
異常通信判断部104による送受信関連情報についての、2以上の異常判断ルールに基づく判断処理等が終了した時点で、異常度判断部107は、図10に示したような異常度情報管理表において、「異常度情報」の値が所定の値(例えば閾値)より高いレコードを検出する。例えば所定の値が「8」であったとすると、「ID」が「U01」であるレコードを、「異常度情報」の値が所定の値より高いレコードとして検出する。この検出されたレコードの「ユーザ識別情報」が示すユーザの通信が、最終的に異常な通信であると判断されたこととなる。
At the time when the determination processing based on two or more abnormality determination rules for the transmission / reception related information by the abnormal
次に、出力部108は、異常度判断部107が検出したレコードの「異常度情報」の値を読み出し、この値を用いて、通知情報格納部109に格納されている通知先情報から、通知先を指定する情報を読み出す。
Next, the
図11は、通知情報格納部109に格納されている通知先情報の一例を示す図である。通知先情報は、「異常度範囲」および「通知先」という項目を有している。「異常度範囲」は、異常度の範囲を示す異常度範囲情報である。「通知先」は、通知先を示す情報であり、ここでは、通知先の名称を示す情報である。「管理者」とはユーザによる通信を管理したり監視したりする担当者のことである。「部長」は、ユーザの所属部長である。また、なお、ここでは、通知先の名称に対応する送信先のアドレス、例えば電子メールアドレス等が、通知先の名称と対応付けて、別途、図示しない格納部等において管理されているものとする。特に、通知先の名称である「部長」については、図示しないが、ユーザ端末を操作するユーザのユーザ識別情報と、当該ユーザが属する部署の部長の送信先のアドレス等が対応付けられて予め図示しない格納部等に格納されて管理されており、異常度判断部107等から所定の値より高い値を示す異常度情報と対応付けられたユーザ識別情報を受け取るようにし、当該ユーザ識別情報のユーザに対応する「部長」のアドレスが取得されるものとする。なお、通知先の名称は、「部長(携帯電話)」等の通知に利用する装置等を指定する情報等を含んでも良い。
FIG. 11 is a diagram illustrating an example of notification destination information stored in the notification
出力部108は、例えば、図11に示す通知先情報から、「異常度範囲」の示す値の範囲が、異常度判断部107が所定の値よりも高いと判断した異常度情報が示す値を含むレコードを検出する。そして、検出したレコードの「通知先」の情報を取得する。ここでは、異常度情報「12」は、図11の上から二番目のレコードの「異常度範囲」である「12〜20」の範囲に含まれるため、このレコードの「通知先」の値である「管理者」、および「部長」が取得される。そして、出力部108は「管理者」に対応する電子メールアドレスを図示しない格納部等から取得する。また、出力部108は、異常度判断部107から受け取ったユーザ識別情報「192.168.aaa.bbb」に対応する「部長」の電子メールアドレスを、図示しない格納部等から取得する。そして、取得した管理者と部長の電子メールアドレスを宛先として、異常度判断部117から受け取ったユーザ識別情報「192.168.aaa.bbb」に対応するユーザが、異常な通信を行っていることを示す異常通信情報を電子メールで送信する。具体的には、ユーザ識別情報とユーザ名や社員番号等の情報とを対応付けて図示しない格納部等に予め蓄積しておくようにし、この情報から、、異常度判断部117から受け取ったユーザ識別情報「192.168.aaa.bbb」に対応するユーザ名や社員番号等を取得する。また、ここでは、ログイン先のWEBサイトのIPアドレスを、図6に示した第一判断用情報管理表等から取得する。そして、取得したユーザ名や社員番号等、およびログイン先のWEBサイトのIPアドレス等を、予め用意されている、異常な通信を行っていることを示す文章のテンプレート等にはめ込むことで構成した異常通信情報を、電子メールで送信する。このように通知先情報を用いることで、異常度情報のレベルに応じた通知先に、異常な通信が行われていることを示す不適切ページアクセス情報を通知することが可能となる。
The
図12は、出力部108が電子メール等で送信する異常通信情報の表示例を示す図である。このような異常通信情報を受け取ることで、管理者等は、どのユーザが異常な通信を行っているかを容易に知ることができる。
FIG. 12 is a diagram illustrating a display example of abnormal communication information transmitted by the
ここで、不適切キーワード情報格納部103に格納されているキーワード情報を追加したり更新したりする処理について説明する。 Here, processing for adding or updating keyword information stored in the inappropriate keyword information storage unit 103 will be described.
まず、ユーザのWEBサイトに対する通信を管理する管理者等が、通信が不適切なWEBサイトのWEBページを指定する情報である不適切ページ指定情報と、これと同様のWEBページがアクセスされた場合の異常度の値を示す異常度情報とを、不適切ページ指定受付部110に入力する。不適切ページ指定情報は、例えば、WEBページやWEBサイトのURLである。ただし、不適切ページ指定情報は、これらのWEBサイトから取得したWEBページを構成するHTMLファイル等の情報であってもよい。 First, when an administrator who manages communication with a user's WEB site accesses inappropriate page designation information, which is information for designating a WEB site with inappropriate communication, and a WEB page similar to this The abnormal level information indicating the value of the abnormal level is input to the inappropriate page designation receiving unit 110. The inappropriate page designation information is, for example, a URL of a WEB page or a WEB site. However, the inappropriate page designation information may be information such as an HTML file constituting a WEB page acquired from these WEB sites.
不適切ページ情報取得部111は、不適切ページ指定受付部110が受け付けたURL等を用いて、管理者等により指定された通信が不適切なWEBサイトから、1以上のWEBページの情報である不適切ページ情報を取得する。なお、不適切ページ指定受付部110が、不適切なWEBページのHTMLファイル等を受け付けた場合、当該HTMLファイル等の情報をそのまま取得する。 The inappropriate page information acquisition unit 111 is information of one or more WEB pages from a WEB site with inappropriate communication specified by an administrator or the like using the URL received by the inappropriate page designation receiving unit 110 or the like. Get inappropriate page information. Note that when the inappropriate page designation receiving unit 110 receives an HTML file or the like of an inappropriate WEB page, information such as the HTML file is acquired as it is.
次に、不適切キーワード取得部112は、不適切ページ情報取得部111が取得した不適切ページ情報から、不適切なWEBページが含み得るキーワードの情報を取得する。例えば、形態素解析等により、名詞を取り出し、出現頻度の高い名詞を、キーワードとして取得する。ただし、予め取得しない名詞等は指定しておくようにし、これに一致する名詞は取得しない。例えば、不適切ページ情報に、「音楽」という名詞が、予め指定した回数以上出現した場合、「音楽」という名詞をキーワードとして取得する。一方で、「記事」という名詞が、所定回数以上出現したとしても、「記事」という名詞を取得しない名詞として予め指定しておくことで、この「記事」は、キーワードとして取得されない。 Next, the inappropriate keyword acquisition unit 112 acquires keyword information that can be included in an inappropriate WEB page from the inappropriate page information acquired by the inappropriate page information acquisition unit 111. For example, nouns are extracted by morphological analysis or the like, and nouns with high appearance frequencies are acquired as keywords. However, nouns that are not acquired in advance are specified, and nouns that match these are not acquired. For example, when the noun “music” appears in the inappropriate page information more than a predetermined number of times, the noun “music” is acquired as a keyword. On the other hand, even if the noun “article” appears more than a predetermined number of times, the “article” is not acquired as a keyword by designating it in advance as a noun that does not acquire the noun “article”.
そして、不適切キーワード取得部112は、取得したキーワード(例えば「音楽」)の情報をキーワード情報として、予め指定された異常度情報と対応付けて、不適切キーワード情報格納部103に蓄積する。これにより、例えば、図8に示したキーワード情報管理表にレコードが追加される。この結果、キーワード情報をデータベース化することが可能となる。なお、キーワードの出現頻度、例えば出現回数や情報のデータサイズに対する比率等と、値の異なる異常度情報とを予め対応付けて図示しない記憶媒体等の格納部に蓄積しておき、不適切ページ情報取得部111が取得したキーワードの出現頻度に対応した異常度情報を取得し、キーワード情報と対応付けて蓄積するようにしても良い。 Then, the inappropriate keyword acquisition unit 112 stores the acquired keyword information (for example, “music”) in the inappropriate keyword information storage unit 103 as keyword information in association with the abnormality level information specified in advance. Thereby, for example, a record is added to the keyword information management table shown in FIG. As a result, the keyword information can be made into a database. Inappropriate page information is stored in a storage unit such as a storage medium (not shown) in advance by associating the appearance frequency of the keyword, for example, the number of appearances and the ratio of the information with respect to the data size, and the abnormality degree information having different values in advance The degree of abnormality information corresponding to the keyword appearance frequency acquired by the acquisition unit 111 may be acquired and stored in association with the keyword information.
なお、異常通信判断部104がキーワード情報が示すキーワードを含むと判断したWEBページを指定する不適切ページ指定情報を、異常通信判断部104等が構成するようにし、不適切ページ指定受付部110は、この不適切ページ指定情報を受け付けるようにしても良い。
The abnormal
ここで、第一のルール組以外の、第二から第七のルール組を用いた場合の例について簡単に説明する。 Here, an example where the second to seventh rule groups other than the first rule group are used will be briefly described.
まず、上述した第二のルール組を用いる場合の例について説明する。第二のルール組を異常通信の判断に用いる場合、第一のルール組とは異なり、ログインしたWEBサイトからダウンロードしたことを判断することとなる。このため、ログイン時間中に、例えば、ログイン先のIPアドレス「210.150.ccc.ddd」を送信元、ログイン元のIPアドレス「192.168.aaa,bbb」を送信先としたデータが、FTPにより送信されたか否かを示す第二判断用情報を構成し、この第二判断用情報を用いて、第二のルール組の第二ルールを満たすか否かの判断を行うようにすればよい。その他の処理については、上記具体例と同様であるので、説明は省略する。 First, an example of using the above-described second rule set will be described. When the second rule set is used for the determination of abnormal communication, it is determined that it has been downloaded from the logged-in WEB site, unlike the first rule set. For this reason, during the login time, for example, data with the login destination IP address “210.150.ccc.ddd” as the transmission source and the login source IP address “192.168..aaa, bbb” as the transmission destination, If the second determination information indicating whether or not it is transmitted by FTP is configured, and the second determination information is used to determine whether or not the second rule of the second rule set is satisfied. Good. Other processes are the same as those in the above specific example, and thus the description thereof is omitted.
また、上述した第三のルール組を用いる場合、予め、第三のルール組の第一ルールの時間帯の開始時刻と終了時刻を指定しておく。そして、この指定された時間帯と、第一判断用情報の「ログイン開始時刻」と「ログインの終了時刻」とで挟まれた時間帯が重なるか否かを判断するようにし、重なる場合、第三のルール組の第一ルールを満たすと判断する。その他の第二ルールを満たすか否か等の判断処理等は、上記具体例と同様である。また、第四のルール組を用いる場合も第三のルール組を用いる場合と同様である。なお、この場合、第一判断用情報として、図6に示したような第一判断用情報から「ログイン時間」を省略した情報を取得しても良い。 When the third rule set described above is used, the start time and end time of the first rule time zone of the third rule set are designated in advance. Then, it is determined whether or not the specified time zone overlaps the time zone sandwiched between the “login start time” and the “login end time” of the first determination information. Judge that the first rule of the third rule set is satisfied. The determination process for determining whether or not other second rules are satisfied is the same as in the above specific example. The case where the fourth rule set is used is the same as the case where the third rule set is used. In this case, information obtained by omitting the “login time” from the first determination information as illustrated in FIG. 6 may be acquired as the first determination information.
また、上述した第五のルール組を用いる場合、第一のルール組を用いた場合において、第二判断用情報を用いてログインしたWEBサイトからデータをダウンロードしているか否かを判断する代わりに、まず、ログインしたWEBサイトの同一のページに対して、連続してWEBページを要求する情報を送信しているか否かを判断する。そして、送信している場合、さらにその送信の時間間隔が、所定のタイミングであるか否か、例えば予め指定した時間間隔以上であるか、あるいは以下であるかを判断するようにすればよい。その他の処理については、上記具体例と同様であるので、説明は省略する。なお、この場合、送受信関連情報として、「通信情報」のアドレス情報、例えば、WEBサイト内の「通信情報」が格納されているディレクトリ情報やファイル名等を含むアドレス情報を取得することが好ましい。 In addition, when the fifth rule set described above is used, instead of determining whether data is downloaded from the logged-in WEB site using the second determination information when the first rule set is used. First, it is determined whether or not information requesting a WEB page is continuously transmitted to the same page of the logged-in WEB site. Then, when transmitting, it may be determined whether or not the transmission time interval is a predetermined timing, for example, whether it is greater than or less than a predetermined time interval. Other processes are the same as those in the above specific example, and thus the description thereof is omitted. In this case, as transmission / reception related information, it is preferable to obtain address information including address information of “communication information”, for example, directory information or file names in which “communication information” in the WEB site is stored.
また、上述した第六のルール組を用いる場合、第一判断用情報等を用いて、所定の時間内において、同一の送信元から、同一の送信先に対して情報が送信された回数を算出し、その回数が予め指定した回数より多いか否かを判断し、多い場合に、第一ルールを満たすと判断する。さらに、第一のルール組の第二ルールの場合の判断処理と同様に同じ時間内のアップロード回数をカウントし、第一ルールにおいて算出した回数に対する情報がアップロードされている回数の割合を算出し、割合が所定の閾値を超えた場合に第二ルールを満たすと判断するようにすればよい。第七のルール組を用いる場合も、アップロードがダウンロードに変更になる点が異なる以外は同様であるため、説明は省略する。 In addition, when using the sixth rule set described above, the number of times information is transmitted from the same source to the same destination within a predetermined time is calculated using the first determination information and the like. Then, it is determined whether or not the number of times is greater than the number of times designated in advance, and if it is greater, it is determined that the first rule is satisfied. Furthermore, the number of uploads within the same time is counted as in the determination process in the case of the second rule of the first rule set, and the ratio of the number of times the information is uploaded to the number of times calculated in the first rule is calculated. What is necessary is just to judge that the 2nd rule is satisfy | filled when a ratio exceeds a predetermined threshold value. Since the seventh rule set is the same except that the upload is changed to the download, the description is omitted.
なお、ログインやログアウト等が行われたことや、WEBページの更新が行われたこと等を検出する処理は、上記具体例において説明した以外の処理であっても良い。 It should be noted that the processing for detecting that login or logout has been performed, that the WEB page has been updated, or the like may be processing other than that described in the specific example.
以上、本実施の形態によれば、2以上の通信判断ルールを用いて、ユーザ端末とWEBサイトを提供するサーバ装置との通信内容や通信の状況等から、ユーザ端末とサーバ装置との間で行われる通信が異常なものであるか否かを、容易に判断することができる。 As described above, according to the present embodiment, between the user terminal and the server apparatus, the communication content between the user terminal and the server apparatus that provides the WEB site, the communication situation, and the like using two or more communication determination rules. It is possible to easily determine whether or not the communication to be performed is abnormal.
また、上記各実施の形態において、各処理(各機能)は、単一の装置(システム)によって集中処理されることによって実現されてもよく、あるいは、複数の装置によって分散処理されることによって実現されてもよい。 In each of the above embodiments, each process (each function) may be realized by centralized processing by a single device (system), or by distributed processing by a plurality of devices. May be.
また、上記各実施の形態において、一の装置に存在する2以上の通信手段(情報送信部など)は、物理的に一の媒体で実現されても良いことは言うまでもない。 Further, in each of the above embodiments, it goes without saying that two or more communication means (such as an information transmission unit) existing in one apparatus may be physically realized by one medium.
また、上記実施の形態において、各構成要素が実行する処理に関係する情報、例えば、各構成要素が受け付けたり、取得したり、選択したり、生成したり、送信したり、受信したりする情報や、各構成要素が処理で用いるしきい値や数式、アドレス等の情報等は、上記説明で明記していない場合であっても、図示しない記録媒体において、一時的に、あるいは長期にわたって保持されていてもよい。また、その図示しない記録媒体への情報の蓄積を、各構成要素、あるいは、図示しない蓄積部が行ってもよい。また、その図示しない記録媒体からの情報の読み出しを、各構成要素、あるいは、図示しない読み出し部が行ってもよい。 In the above embodiment, information related to processing executed by each component, for example, information received, acquired, selected, generated, transmitted, and received by each component. In addition, information such as threshold values, mathematical formulas, addresses, etc. used by each component in processing is retained temporarily or over a long period of time on a recording medium (not shown) even when not explicitly stated in the above description. It may be. Further, the storage of information in the recording medium (not shown) may be performed by each component or a storage unit (not shown). Further, reading of information from the recording medium (not shown) may be performed by each component or a reading unit (not shown).
また、上記各実施の形態では、通信管理装置がスタンドアロンである場合について説明したが、通信管理装置は、スタンドアロンの装置であってもよく、サーバ・クライアントシステムにおけるサーバ装置であってもよい。後者の場合には、出力部や受付部は、通信回線を介して入力を受け付けたり、画面を出力したりすることになる。 Further, although cases have been described with the above embodiments where the communication management device is a stand-alone device, the communication management device may be a stand-alone device or a server device in a server / client system. In the latter case, the output unit or the reception unit receives an input or outputs a screen via a communication line.
また、上記各実施の形態において、各構成要素は専用のハードウェアにより構成されてもよく、あるいは、ソフトウェアにより実現可能な構成要素については、プログラムを実行することによって実現されてもよい。例えば、ハードディスクや半導体メモリ等の記録媒体に記録されたソフトウェア・プログラムをCPU等のプログラム実行部が読み出して実行することによって、各構成要素が実現され得る。 In each of the above embodiments, each component may be configured by dedicated hardware, or a component that can be realized by software may be realized by executing a program. For example, each component can be realized by a program execution unit such as a CPU reading and executing a software program recorded on a recording medium such as a hard disk or a semiconductor memory.
なお、上記各実施の形態における通信管理装置を実現するソフトウェアは、以下のようなプログラムである。つまり、このプログラムは、コンピュータを、ユーザ端末とサーバ装置との間で送受信される情報に関する情報である送受信関連情報を取得する送受信情報取得部と、前記送受信情報取得部が取得した送受信関連情報を用いて、ユーザ端末とサーバ装置との間の通信が、格納されている通信に関する異常を判断するためのルールであって、異常の度合いを示す情報である異常度情報と対応付けられたルールである2以上の異常判断ルールを満たすか否かを判断する異常通信判断部と、前記異常通信判断部が、ルールを満たすと判断した異常判断ルールに対応した異常度情報を取得する異常度情報取得部と、異常度情報取得部が取得した異常度情報が示す異常の度合いが、所定の度合いを超えたか否かを判断する異常度判断部と、前記異常度判断部の判断結果に応じて、異常な通信が行われたことを示す情報である異常通信情報を出力する出力部として機能させるためのプログラムである。 Note that the software that implements the communication management device in each of the above embodiments is the following program. That is, this program uses a computer to obtain a transmission / reception information acquisition unit that acquires transmission / reception related information that is information related to information transmitted and received between the user terminal and the server device, And a rule for determining whether or not the communication between the user terminal and the server device is an abnormality relating to the stored communication, and is associated with abnormality degree information that is information indicating the degree of abnormality. Abnormal communication determination unit that determines whether or not two or more abnormality determination rules are satisfied, and abnormality degree information acquisition that acquires abnormality degree information corresponding to the abnormality determination rule that the abnormal communication determination unit determines to satisfy the rule A degree of abnormality indicated by the degree-of-abnormality information acquired by the degree-of-abnormality-information acquiring unit exceeds a predetermined degree; Depending on the part of the determination result, a program for functioning as an output unit for outputting an abnormal communication information which is information indicating that abnormal communication is performed.
なお、上記プログラムにおいて、上記プログラムが実現する機能には、ハードウェアでしか実現できない機能は含まれない。例えば、情報を取得する取得部や、情報を出力する出力部などにおけるモデムやインターフェースカードなどのハードウェアでしか実現できない機能は、上記プログラムが実現する機能には含まれない。 In the program, the functions realized by the program do not include functions that can be realized only by hardware. For example, a function that can be realized only by hardware such as a modem or an interface card in an acquisition unit that acquires information or an output unit that outputs information is not included in the function realized by the program.
また、このプログラムを実行するコンピュータは、単数であってもよく、複数であってもよい。すなわち、集中処理を行ってもよく、あるいは分散処理を行ってもよい。 Further, the computer that executes this program may be singular or plural. That is, centralized processing may be performed, or distributed processing may be performed.
図13は、上記プログラムを実行して、上記実施の形態による通信管理装置を実現するコンピュータの外観の一例を示す模式図である。上記実施の形態は、コンピュータハードウェア及びその上で実行されるコンピュータプログラムによって実現されうる。 FIG. 13 is a schematic diagram illustrating an example of an external appearance of a computer that executes the program and realizes the communication management apparatus according to the embodiment. The above-described embodiment can be realized by computer hardware and a computer program executed on the computer hardware.
図13において、コンピュータシステム900は、CD−RW(Compact Disk Rewritable)ドライブ等の光ディスクドライブ905、FD(Floppy(登録商標) Disk)ドライブ906を含むコンピュータ901と、キーボード902と、マウス903と、モニタ904とを備える。
13, a
図14は、コンピュータシステム900の内部構成を示す図である。図14において、コンピュータ901は、光ディスクドライブ905、FDドライブ906に加えて、MPU(Micro Processing Unit)911と、ブートアッププログラム等のプログラムを記憶するためのROM912と、MPU911に接続され、アプリケーションプログラムの命令を一時的に記憶すると共に、一時記憶空間を提供するRAM(Random Access Memory)913と、アプリケーションプログラム、システムプログラム、及びデータを記憶するハードディスク914と、MPU911、ROM912等を相互に接続するバス915とを備える。なお、コンピュータ901は、LANへの接続を提供する図示しないネットワークカードを含んでいてもよい。
FIG. 14 is a diagram showing an internal configuration of the
コンピュータシステム900に、上記実施の形態によるアクセス管理装置の機能を実行させるプログラムは、CD−ROMや、CD−RW、DVD−ROM、DVD−RW等の光ディスク921、またはFD922に記憶されて、光ディスクドライブ905、またはFDドライブ906に挿入され、ハードディスク914に転送されてもよい。これに代えて、そのプログラムは、図示しないネットワークを介してコンピュータ901に送信され、ハードディスク914に記憶されてもよい。プログラムは実行の際にRAM913にロードされる。なお、プログラムは、光ディスク921やFD922、またはネットワークから直接、ロードされてもよい。
A program that causes the
プログラムは、コンピュータ901に、上記実施の形態による通信管理装置の機能を実行させるオペレーティングシステム(OS)、またはサードパーティプログラム等を必ずしも含んでいなくてもよい。プログラムは、制御された態様で適切な機能(モジュール)を呼び出し、所望の結果が得られるようにする命令の部分のみを含んでいてもよい。コンピュータシステム900がどのように動作するのかについては周知であり、詳細な説明は省略する。
The program does not necessarily include an operating system (OS) or a third-party program that causes the
本発明は、以上の実施の形態に限定されることなく、種々の変更が可能であり、それらも本発明の範囲内に包含されるものであることは言うまでもない。 The present invention is not limited to the above-described embodiment, and various modifications are possible, and it goes without saying that these are also included in the scope of the present invention.
以上のように、本発明にかかる通信管理装置等は、通信を管理する装置等として適しており、特に、WEBサイトを提供するサーバ装置に対して異常な通信が行われていることを検出する通信管理装置等として有用である。 As described above, the communication management device according to the present invention is suitable as a device for managing communication, and in particular, detects that abnormal communication is being performed with respect to a server device that provides a WEB site. It is useful as a communication management device.
1 通信管理装置
2 ユーザ端末
3 サーバ装置
10 情報処理システム
100 送受信情報取得部
101 取得情報格納部
102 異常判断ルール格納部
103 不適切キーワード情報格納部
104 異常通信判断部
105 異常度情報取得部
106 異常度情報格納部
107 異常度判断部
108 出力部
109 通知情報格納部
110 不適切ページ指定受付部
111 不適切ページ情報取得部
112 不適切キーワード取得部
DESCRIPTION OF
Claims (16)
通信に関する異常を判断するためのルールであって、異常の度合いを示す情報である異常度情報と対応付けられたルールである2以上の異常判断ルールが格納され得る異常判断ルール格納部と、
前記送受信情報取得部が取得した送受信関連情報を用いて、ユーザ端末とサーバ装置との間の通信が、前記異常判断ルール格納部に格納されている2以上の異常判断ルールを満たすか否かを判断する異常通信判断部と、
前記異常通信判断部が、ルールを満たすと判断した異常判断ルールに対応した異常度情報を取得する異常度情報取得部と、
異常度情報取得部が取得した異常度情報が示す異常の度合いが、所定の度合いを超えたか否かを判断する異常度判断部と、
前記異常度判断部の判断結果に応じて、異常な通信が行われたことを示す情報である異常通信情報を出力する出力部とを備えた通信管理装置。 A transmission / reception information acquisition unit that acquires transmission / reception related information that is information related to information transmitted / received between the user terminal and the server device;
An abnormality determination rule storage unit that can store two or more abnormality determination rules that are rules associated with abnormality level information that is information indicating the degree of abnormality, and is a rule for determining an abnormality related to communication;
Whether the communication between the user terminal and the server device satisfies two or more abnormality determination rules stored in the abnormality determination rule storage unit using the transmission / reception related information acquired by the transmission / reception information acquisition unit. An abnormal communication determination unit to determine;
The abnormality communication determination unit acquires abnormality level information corresponding to the abnormality determination rule determined to satisfy the rule,
An abnormality degree determination unit that determines whether or not the degree of abnormality indicated by the abnormality degree information acquired by the abnormality degree information acquisition unit exceeds a predetermined degree;
A communication management apparatus comprising: an output unit that outputs abnormal communication information that is information indicating that abnormal communication has been performed in accordance with a determination result of the abnormality degree determination unit.
前記出力部は、前記異常度情報取得部が取得した異常度情報が示す異常度の範囲を含む異常度範囲情報に対応した通知先情報を、前記通知情報格納部から取得し、当該取得した通知先情報が示す通知先に前記異常通信情報を通知する請求項1記載の通信管理装置。 A notification information storage unit capable of storing notification destination information in which abnormality degree range information, which is information specifying the abnormality degree range, and information specifying one or more notification destinations of abnormal communication information are stored;
The output unit acquires notification destination information corresponding to abnormality degree range information including the abnormality degree range indicated by the abnormality degree information acquired by the abnormality degree information acquisition unit from the notification information storage unit, and the acquired notification The communication management apparatus according to claim 1, wherein the abnormal communication information is notified to a notification destination indicated by the destination information.
前記異常判断ルール格納部に格納されている異常判断ルールは、前記同一WEBサイトが、前記キーワード情報が示すキーワードを有するWEBページを含むサイトであるとするルールを更に含む請求項4から請求項10いずれか記載の通信管理装置。 An inappropriate keyword information storage unit capable of storing one or more pieces of keyword information indicating keywords that can be included in an inappropriate WEB page;
11. The abnormality determination rule stored in the abnormality determination rule storage unit further includes a rule that the same WEB site is a site including a WEB page having a keyword indicated by the keyword information. Any one of the communication management apparatuses.
前記不適切ページ指定情報が指定するWEBページの情報を取得する不適切ページ情報取得部と、
前記不適切ページ情報取得部が取得したWEBページの情報から、不適切なWEBページが含み得るキーワードを取得し、当該キーワードを示すキーワード情報を、前記不適切キーワード情報格納部に蓄積する不適切キーワード取得部を更に備えた請求項11記載の通信管理装置。 An inappropriate page designation receiving unit for receiving inappropriate page designation information, which is information for designating an inappropriate WEB page;
An inappropriate page information acquisition unit that acquires information on a WEB page specified by the inappropriate page specification information;
An inappropriate keyword that acquires a keyword that can be included in an inappropriate WEB page from information on the WEB page acquired by the inappropriate page information acquisition unit and accumulates keyword information indicating the keyword in the inappropriate keyword information storage unit The communication management device according to claim 11, further comprising an acquisition unit.
前記異常度情報取得部は、前記異常通信判断部が前記同一WEBサイトを前記キーワード情報が示すキーワードを有するWEBページを含むサイトであると判断した場合、当該キーワード情報に対応付けられた異常度情報を取得する請求項12記載の通信管理装置。 The keyword information is associated with the abnormality level information,
When the abnormal communication determination unit determines that the abnormal communication determination unit is a site including the WEB page having the keyword indicated by the keyword information, the abnormal degree information associated with the keyword information The communication management device according to claim 12, which acquires
前記送受信情報取得部が、ユーザ端末とサーバ装置との間で送受信される情報に関する情報である送受信関連情報を取得する送受信情報取得ステップと、
異常通信判断部が、前記送受信情報取得ステップで取得した送受信関連情報を用いて、ユーザ端末とサーバ装置との間の通信が、前記異常判断ルール格納部に格納されている2以上の異常判断ルールを満たすか否かを判断する異常通信判断ステップと、
前記異常度情報取得部が、前記異常通信判断ステップで、ルールを満たすと判断した異常判断ルールに対応した異常度情報を取得する異常度情報取得ステップと、
前記異常度判断部が、前記異常度情報取得ステップで取得した異常度情報が示す異常の度合いが、所定の度合いを超えたか否かを判断する異常度判断ステップと、
前記出力部が、前記異常度判断ステップの判断結果に応じて、異常な通信が行われたことを示す情報である異常通信情報を出力する出力ステップとを備えた通信管理方法。 Abnormality determination that can store two or more abnormality determination rules that are rules associated with the transmission / reception information acquisition unit and abnormality level information that is information indicating the degree of abnormality. A communication management method performed using a rule storage unit, an abnormal communication determination unit, an abnormality level information acquisition unit, an abnormality level determination unit, and an output unit,
The transmission / reception information acquisition unit acquires transmission / reception information that is information related to information transmitted / received between the user terminal and the server device; and
Two or more abnormality determination rules in which the communication between the user terminal and the server device is stored in the abnormality determination rule storage unit using the transmission / reception related information acquired by the abnormal communication determination unit in the transmission / reception information acquisition step. Abnormal communication determination step for determining whether or not the condition is satisfied;
The abnormality level information acquisition unit acquires the abnormality level information corresponding to the abnormality determination rule determined to satisfy the rule in the abnormal communication determination step;
The abnormality degree determination unit determines whether or not the degree of abnormality indicated by the abnormality degree information acquired in the abnormality degree information acquisition step exceeds a predetermined degree;
A communication management method comprising: an output step in which the output unit outputs abnormal communication information that is information indicating that abnormal communication has been performed in accordance with a determination result of the abnormality degree determination step.
ユーザ端末とサーバ装置との間で送受信される情報に関する情報である送受信関連情報を取得する送受信情報取得部と、
前記送受信情報取得部が取得した送受信関連情報を用いて、ユーザ端末とサーバ装置との間の通信が、格納されている通信に関する異常を判断するためのルールであって、異常の度合いを示す情報である異常度情報と対応付けられたルールである2以上の異常判断ルールを満たすか否かを判断する異常通信判断部と、
前記異常通信判断部が、ルールを満たすと判断した異常判断ルールに対応した異常度情報を取得する異常度情報取得部と、
異常度情報取得部が取得した異常度情報が示す異常の度合いが、所定の度合いを超えたか否かを判断する異常度判断部と、
前記異常度判断部の判断結果に応じて、異常な通信が行われたことを示す情報である異常通信情報を出力する出力部として機能させるためのプログラム。 Computer
A transmission / reception information acquisition unit that acquires transmission / reception related information that is information related to information transmitted / received between the user terminal and the server device;
Information indicating the degree of abnormality, which is a rule for determining an abnormality related to communication stored between the user terminal and the server device, using the transmission / reception related information acquired by the transmission / reception information acquisition unit An abnormal communication determination unit that determines whether or not two or more abnormality determination rules that are rules associated with the abnormality degree information that is,
The abnormality communication determination unit acquires abnormality level information corresponding to the abnormality determination rule determined to satisfy the rule,
An abnormality degree determination unit that determines whether or not the degree of abnormality indicated by the abnormality degree information acquired by the abnormality degree information acquisition unit exceeds a predetermined degree;
A program for functioning as an output unit that outputs abnormal communication information, which is information indicating that abnormal communication has been performed, according to a determination result of the abnormality degree determination unit.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008320899A JP2010146160A (en) | 2008-12-17 | 2008-12-17 | Communication management device, communication management method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008320899A JP2010146160A (en) | 2008-12-17 | 2008-12-17 | Communication management device, communication management method, and program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2010146160A true JP2010146160A (en) | 2010-07-01 |
Family
ID=42566564
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008320899A Withdrawn JP2010146160A (en) | 2008-12-17 | 2008-12-17 | Communication management device, communication management method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2010146160A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017503293A (en) * | 2014-11-27 | 2017-01-26 | シャオミ・インコーポレイテッド | User action identification method, user action identification device, program, and recording medium |
JP2019149781A (en) * | 2018-02-28 | 2019-09-05 | 沖電気工業株式会社 | Security incident detection system |
JP2020101937A (en) * | 2018-12-20 | 2020-07-02 | ヤフー株式会社 | Calculation device, calculation method, and calculation program |
-
2008
- 2008-12-17 JP JP2008320899A patent/JP2010146160A/en not_active Withdrawn
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017503293A (en) * | 2014-11-27 | 2017-01-26 | シャオミ・インコーポレイテッド | User action identification method, user action identification device, program, and recording medium |
JP2019149781A (en) * | 2018-02-28 | 2019-09-05 | 沖電気工業株式会社 | Security incident detection system |
JP2020101937A (en) * | 2018-12-20 | 2020-07-02 | ヤフー株式会社 | Calculation device, calculation method, and calculation program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6003032A (en) | Data communication system | |
WO2009029589A1 (en) | Online evidence collection | |
WO2009011966A1 (en) | Network metric reporting system | |
JP4833305B2 (en) | Hot site presentation system | |
JP2010237751A (en) | Content sharing system and content shared method | |
JP2008158695A (en) | Information processing system and program for providing online service | |
JP2010146160A (en) | Communication management device, communication management method, and program | |
US7689575B2 (en) | Bitmask access for managing blog content | |
EP0848336A1 (en) | Server with automatic update tracking | |
KR101637904B1 (en) | Device and method for blocking execution of ward's application, ward-side terminal, guardian-side terminal, ward-side computer program and guardian-side computer program for blocking execution of ward's application | |
JP5887971B2 (en) | Portlet processing apparatus, portal server, portal system, portlet processing method, and computer program | |
CN109804349B (en) | System and method for reducing download requirements | |
JP5407336B2 (en) | Information processing device | |
US10412076B2 (en) | Identifying users based on federated user identifiers | |
JP2008225758A (en) | Mining system and mining method | |
JP2008108105A (en) | Information providing device, information providing method and information providing program | |
JP5863883B2 (en) | Job search information providing system, job search information providing system web server, job search information providing system control method, and program | |
US7099929B1 (en) | System and method for transferring information in a hypertext transfer protocol based system | |
US9613130B1 (en) | Method and apparatus of obtaining and organizing relevant user defined information | |
CN111723324B (en) | Updating method and device for website navigation, computer equipment and storage medium | |
JP2005109752A (en) | Information acquisition apparatus, program and information acquisition system | |
JPH11161603A (en) | Device and method of repeating data, information terminal device and method thereof, data communication system, and record medium | |
JP2010128734A (en) | Apparatus and method for access management, and program | |
JP5224935B2 (en) | Information processing apparatus, information processing method, and program | |
JP4759560B2 (en) | Viewing effect measuring system, measuring method and measuring terminal |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20120306 |