分析装置、分析方法以及分析程序

技术领域

本发明涉及用于分析网络的通信的分析装置、分析方法以及分析程序。

背景技术

以往，为了无遗漏地监视网络的通信，有利用多个感测装置观测网络的通信并取得观测信息的技术。该观测信息是表示通信的观测结果的信息，包含该通信的发送源/发送目的地的IP地址、发送源/发送目的地的MAC地址等。

现有技术文献

专利文献

专利文献1：日本专利4809880号公报

发明内容

发明要解决的课题

但是，当利用多个感测装置观测网络的通信时，有时会利用多个感测装置观测到相同的通信。在这样的情况下，分析服务器从多个感测装置重复地接收相同通信的观测信息，观测信息的接收效率不高。

另外，在多个感测装置对跨越多个L3网络(Layer3 Network)的通信进行观测的情况下，对设置于网络的边界的路由器的接口分别设定不同的MAC地址。因此，分析服务器有时会从多个感测装置接收与IP地址相关联的MAC地址不同的观测信息。

在这样的情况下，分析服务器无法判别与IP地址相关联的MAC地址的不同是由于路由导致的还是由于终端的伪装导致的。因此，当分析服务器使用通信的观测信息所示的IP地址与MAC地址的对(pair)来进行伪装的终端的检测等时，有可能进行误检测。

因此，本发明的课题在于解决上述问题，适当地进行网络内的通信的监视。

用于解决课题的手段

为了解决上述课题，本发明为一种分析装置，其特征在于，具备：取得部，其从进行网络的通信的观测的各个通信观测装置取得包含所述通信中的发送源IP地址、发送源MAC地址、发送目的地IP地址以及发送目的地MAC地址在内的所述通信的观测信息；估计部，其基于取得的所述观测信息对所述网络的拓扑进行估计；分配部，其基于估计出的所述拓扑、所述通信观测装置的设置位置、以及从所述通信观测装置取得的通信的观测信息，针对流经所述网络的每个通信来分配所述通信观测装置，使得该通信的路径上的任意1个通信观测装置发送该通信的观测信息；列表生成部，其基于所述分配的结果，针对每个所述通信观测装置来生成示出了被该通信观测装置当作观测信息的发送对象的通信的监视列表；以及列表发送部，其将生成的每个所述通信观测装置的监视列表发送到各个所述通信观测装置。

发明的效果

根据本发明，能够适当地进行网络内的通信的监视。

附图说明

图1是用于说明分析系统的概要的图。

图2是示出分析系统的结构例的图。

图3是用于说明监视列表的图。

图4是用于说明路由器的MAC地址的估计1的图。

图5是用于说明路由器的MAC地址的估计2以及外部终端的IP地址的估计的图。

图6是用于说明拓扑的估计的图。

图7是示出分析系统的处理步骤的例子的时序图。

图8是示出图7的S13和S14的处理的详细内容的流程图。

图9是用于说明分析服务器对L2拓扑进行的估计的图。

图10是用于说明分析服务器对分层设置路由器的网络的拓扑进行的估计的图。

图11是示出由装配了感测装置的功能的白盒交换机(WB SW：white box switch)构成的网络的例子的图。

图12是示出执行分析程序的计算机的结构例的图。

具体实施方式

以下，参照附图对用于实施本发明的方式(实施方式)进行说明。本发明并不限定于以下说明的实施方式。

[概要]

首先，使用图1，对包含分析装置(分析服务器)10的分析系统1的动作概要进行说明。分析系统1具备感测装置2(例如，感测装置2A、2B、2C)和分析服务器10。另外，在网络内设置有SW(交换式集线器：switching hub。例如SW1、SW2、SW3)。

各感测装置(通信观测装置)2观测作为监视对象的网络内的通信。例如，各感测装置2通过端口镜像(port mirror)等观测经由作为监视对象的网络内的SW的PC(终端)间的通信，生成观测信息。然后，各感测装置2将生成的观测信息发送到分析服务器10。该观测信息例如包含作为观测对象的通信的发送源IP地址、发送源MAC地址、发送目的地IP地址、发送目的地MAC地址。

分析服务器10基于从各感测装置2接收到的观测信息来对作为监视对象的网络的拓扑(参照图1)进行估计。然后，分析服务器10基于估计出的拓扑，针对每个感测装置2来生成示出了应被该感测装置2当作观测信息的发送对象(收集对象)的通信的监视列表。

例如，分析服务器10基于估计出的拓扑，针对流经网络的每个通信来分配感测装置2A、2B、2C，使得该通信的路径上的任意1个感测装置2发送该通信的观测信息(参照标号100)。

然后，分析服务器10例如基于标号100所示的分配结果，针对每个感测装置2来生成示出了被该感测装置2当作观测信息的发送对象的通信的监视列表(例如，监视列表101、102、103)。然后，分析服务器10将所生成的监视列表发送到感测装置2A、2B、2C。

例如，分析服务器10向感测装置2A发送监视列表101，向感测装置2B发送监视列表102，向感测装置2C发送监视列表103。然后，感测装置2A、2B、2C分别基于从分析服务器10发送来的监视列表，将通信的观测信息发送到分析服务器10。

例如，在图1所示的通信中，感测装置2A基于监视列表101，将通信PC1→PC5和PC1→PC3的观测信息发送到分析服务器10。此外，感测装置2B基于监视列表102，将通信PC3→PC1的观测信息发送到分析服务器10。此外，感测装置2C基于监视列表103，将通信PC5→外部终端和外部终端→PC5的观测信息发送到分析服务器10。

由此，分析服务器10能够尽可能避免重复地从各感测装置2接收相同通信的观测信息。

此外，分析服务器10能够基于从各感测装置2接收到的观测信息，对网络的路由器的IP地址和MAC地址、设置在该网络外(即，由路由器划分的网络的外侧)的终端(外部终端)的IP地址进行估计。其结果是，分析服务器10在使用来自各感测装置2的观测信息所示的IP地址和MAC地址来检测伪装的终端时，能够减少误检测。

此外，分析服务器10针对每个感测装置2，将示出了应被该感测装置2当作观测信息的发送对象的通信的监视列表发送到该感测装置2。由此，各感测装置2能够在不询问其他装置的情况下判断应发送哪个观测信息。

[结构例]

接着，使用图2，对分析系统1的结构例进行说明。分析系统1具备多个感测装置2和分析服务器10。

感测装置2将从分析服务器10发送来的监视列表(参照图1的监视列表101～103)所示的通信的观测信息发送到分析服务器10。

分析服务器10具备通信部11、存储部12以及控制部13。通信部11负责与外部装置之间的通信接口。通信部11例如经由因特网等网络从感测装置2接收观测信息，向感测装置2发送监视列表。

存储部12存储控制部13执行各种处理时参照的数据、通过控制部13执行各种处理而生成的数据。例如，存储部12存储从各感测装置2取得的观测信息、由控制部13生成的表示网络的拓扑的信息(拓扑信息)。

控制部13负责分析服务器10整体的控制。控制部13包含取得部130、估计部131、分配部132、列表生成部133、列表发送部134、分析部135以及控制处理部136。

取得部130从各感测装置2取得通信的观测信息。取得部130将取得的观测信息存储于存储部12。

估计部131基于从各感测装置2取得的观测信息对网络的拓扑进行估计。即，估计部131对作为监视对象的网络的路由器、设备(例如，SW)、终端(例如，PC)如何配置、连接进行估计，另外，对分别分配了什么样的IP地址和MAC地址进行估计。另外，估计部131对作为监视对象的网络的外部终端经由哪个路由器连接、对外部终端分配了什么样的IP地址进行估计。

例如，估计部131基于从各感测装置2取得的观测信息间的差异，对作为监视对象的网络的终端的IP地址和MAC地址、路由器的IP地址和MAC地址、外部终端的IP地址进行估计。然后，估计部131使用该估计结果，对子网内的L2网络的拓扑(例如，图1所示的拓扑)进行估计。关于由该估计部131进行的拓扑的估计的详细内容，将使用附图在后面进行说明。

分配部132基于由估计部131估计出的拓扑、各感测装置2的设置位置、各感测装置2的通信的观测信息，对被各感测装置2当作观测信息的发送对象的通信进行分配。

例如，分配部132基于由估计部131估计出的拓扑、各感测装置2的设置位置、各感测装置2的通信的观测信息，针对流经网络的每个通信来分配各感测装置2，使得该通信的路径上的SW的感测装置2中的任意1个感测装置2发送该通信的观测信息。

例如，分配部132将图1所示的PC1→PC5的路径上的SW1、SW2、SW3的感测装置2(2A、2B、2C)中的感测装置2A分配为发送通信PC1→PC5的观测信息的感测装置2。此外，列表生成部133将PC5→PC1的路径上的SW1、SW2、SW3的感测装置2(2A、2B、2C)中的感测装置2C分配为发送通信PC5→PC1的观测信息的感测装置2。

分配部132针对流经网络的每个通信进行上述感测装置2的分配处理。由此，向各感测装置2分配应当作观测信息的发送对象的通信。

列表生成部133基于分配部132的分配结果，针对每个感测装置2生成示出了作为观测信息的发送对象的通信的监视列表。该监视列表例如如图1的监视列表101～103所示，是示出了被感测装置2当作观测信息的发送对象的通信的发送源IP地址和不是发送对象的通信的发送源IP地址的信息。

使用图3对监视列表进行详细说明。在此，考虑如下情况：列表生成部133生成图3所示的感测装置2A的监视列表301、感测装置2B的监视列表302，并生成感测装置2C的监视列表303。

例如，监视列表301示出了如下内容：发送源为PC1、PC2的通信是观测信息的发送对象，发送源为PC3、PC4、PC5的通信不是观测信息的发送对象。另外，示出了将发送源为PC3、PC4、PC5以外的全部通信当作观测信息的发送对象。

另外，监视列表302示出了如下内容：发送源为PC3、PC4的通信是观测信息的发送对象，发送源为PC1、PC2、PC5的通信不是观测信息的发送对象。另外，示出了将发送源为PC1、PC2、PC5以外的全部通信当作观测信息的发送对象。

此外，监视列表303示出了如下内容：发送源为PC5的通信是观测信息的发送对象，发送源为PC1、PC2、PC3、PC4的通信不是观测信息的发送对象。另外，示出了将发送源为PC1、PC2、PC3、PC4以外的全部通信当作观测信息的发送对象。

例如，感测装置2A基于监视列表301，向分析服务器10发送通信PC1→PC3的观测信息，但不向分析服务器10发送通信PC3→PC1的观测信息。

另外，感测装置2B基于监视列表302，向分析服务器10发送通信PC3→PC1的观测信息，但不向分析服务器10发送通信PC1→PC3的观测信息。

此外，感测装置2C基于监视列表303，向分析服务器10发送通信W2(外部终端)→PC5的观测信息和通信PC5→W2的观测信息。

由此，分析服务器10能够降低从各感测装置2重复接收相同通信的观测信息的可能性。此外，例如，如图3所示的W2-PC5间的通信那样，在通信路径上仅存在1个感测装置2的情况下，分析服务器10生成该感测装置2(即，感测装置2C)发送通信W2→PC5和PC5→W2的观测信息这样的监视列表303，并将该监视列表303发送到感测装置2C。由此，分析服务器10能够无遗漏地接收作为监视对象的网络内的通信的观测信息。

返回图2的说明。列表发送部134将由列表生成部133生成的监视列表发送到各感测装置2。例如，列表发送部134将图3所示的监视列表301发送到感测装置2A，将监视列表302发送到感测装置2B，将监视列表303发送到感测装置2C。

返回图2的说明。分析部135基于由取得部130取得的网络的各个通信的观测信息，对网络中的通信进行分析。

例如，当分析部135经由取得部130取得观测信息时，对该观测信息中的发送源IP地址与发送源MAC地址的对和存储在存储部12中的拓扑信息所示的各终端、路由器等的IP地址与MAC地址的对进行比较，由此对伪装的终端的通信进行检测。

此外，例如，分析部135基于由取得部130取得的通信的观测信息来检测拓扑的变化。例如，分析部135基于由取得部130取得的观测信息，将新估计出的拓扑与存储在存储部12中的拓扑进行比较，由此检测拓扑是否发生变化。然后，当检测到拓扑发生了变化时，分析部135输出检测结果(例如，网络中的哪个终端被添加，哪个终端发生了移动)。

由此，分析服务器10的用户能够获知有可能在网络上连接了非法终端、存在由终端、设备的移动引起的网络结构的变化。

控制处理部136对控制部13的各部进行控制。例如，在分析部135检测到网络的拓扑发生了变化的情况下，当分析服务器10的用户判断为该拓扑的变化并非非法时，控制处理部136指示分配部132基于新估计出的拓扑和观测信息，对被各感测装置2当作观测信息的发送对象的通信进行分配。

然后，列表生成部133根据该指示，基于新估计出的拓扑和观测信息，重新对被各感测装置2当作观测信息的发送对象的通信进行分配。接着，列表生成部133使用上述重新分配的结果，重新生成每个感测装置2的监视列表。然后，列表发送部134将重新生成的监视列表发送到各感测装置2。然后，各感测装置2基于新的监视列表来进行观测信息的发送。

由此，即便在网络结构发生了变化的情况下，分析服务器10也能够适当地从各感测装置2接收观测信息。

[处理例]

接着，使用图4～图6来说明由估计部131进行的网络的拓扑的估计和由列表生成部133进行的监视列表的生成。

(路由器的MAC地址的估计1)

首先，使用图4来说明估计部131对路由器的IP地址和与该IP地址相关联的MAC地址进行的估计。

在此，以感测装置2从标号401所示的网络内的SW1、SW2、SW3取得观测信息的情况为例进行说明。另外，标号401所示的箭头表示网络内的通信。另外，在标号401所示的网络中，W1、W2表示外部终端，RT表示路由器。

估计部131生成列表402，该列表402示出了由取得部130取得的、经由SW1、SW2、SW3的通信的观测信息(通信的发送源IP地址(Src IP)、发送源MAC地址(Src MAC)、发送目的地IP地址(Dst IP)、发送目的地MAC地址(Dst MAC))。然后，估计部131基于列表402，针对每个MAC地址来生成示出了与该MAC地址相关联的IP地址的列表403。

在此，路由器将作为路由对象的数据包的IP地址的MAC地址置换为分配给自身的路由器的MAC地址。因此，多个IP地址与分配给路由器的MAC地址相关联。因此，在列表403中，多个IP地址与路由器的MAC地址相关联。因此，估计部131将列表403中关联着多个IP地址的MAC地址即R1、R2估计为是路由器的MAC地址。

(路由器的MAC地址的估计2)

转移到图5的说明。接着，估计部131针对列表402中的(发送源IP地址(Src IP)，发送目的地IP地址(Dst IP))的每个对，生成示出了与该对对应的(发送源MAC地址(SrcMAC)，发送目的地MAC地址(Dst MAC))的对的列表501。

在此，在列表501中对于相同的(发送源IP地址，发送目的地IP地址)存在多个(发送源MAC地址，发送目的地MAC地址)的对、且在任意对中的发送目的地MAC地址是在图4中说明的(路由器的MAC地址的估计1)中估计出的路由器的MAC地址的情况下，可认为其他对的发送源MAC地址是路由器的出口IF(接口：interface)的MAC地址(参照标号502)。

例如，列表501中的针对(PC1，PC5)的(发送源MAC地址，发送目的地MAC地址)的对是(PC1，R1)和(R3，PC5)。其中，(PC1，R1)的对中的发送目的地MAC地址(R1)是在图4中说明的(路由器的MAC地址的估计1)中估计出的路由器的MAC地址。

在此，作为另一个对的(R3，PC5)中的发送源MAC地址(R3)在图4中说明的(路由器的MAC地址的估计1)中未被估计为是路由器的MAC地址，但可被认为是路由器的出口IF的MAC地址(参照标号502)。

因此，估计部131将上述的(R3，PC5)的对中的R3估计为是路由器的MAC地址(参照列表501中的(1))。估计部131通过进行上述的处理，也能够对在图4中说明的(路由器的MAC地址的估计1)中未能估计出的路由器的MAC地址进行估计。

(外部终端的估计)

另外，在图5所示的列表501中，在已知针对相同(发送源IP地址，发送目的地IP地址)的(发送源MAC地址，发送目的地MAC地址)的对仅为1个、且该对中的发送目的地MAC地址是路由器的MAC地址的情况下，可认为该(发送源IP地址，发送目的地IP地址)的对是与外部终端的IP地址形成的对(参照标号502和列表501中的(2))。

因此，例如，列表501中的IP地址的对(PC1，W1)和(PC1，W2)可分别被认为是表示与外部终端之间的通信的对。因此，估计部131将W1、W2估计为是外部终端的IP地址。

(拓扑的估计)

接着，使用图6，对由估计部131进行的网络的拓扑的估计进行说明。估计部131使用通过上述的处理估计出的路由器的MAC地址和外部终端的IP地址来估计网络的拓扑。

例如，估计部131使用图6的标号601所示的SW1、SW2、SW3的观测信息(通信的发送源IP地址(Src IP)、发送源MAC地址(Src MAC)、发送目的地IP地址(Dst IP)、发送目的地MAC地址(Dst MAC))和通过上述处理估计出的路由器的MAC地址及外部终端的IP地址，对标号602所示的网络的拓扑进行估计。

然后，分配部132基于估计出的拓扑，针对流经网络的每个通信来进行分配，使得能够发送该通信的观测信息的感测装置2中的任意1个感测装置2发送该通信的观测信息。

例如，在标号601所示的拓扑中，分配部132对SW1的感测装置2分配PC1、PC2的通信，对SW2的感测装置2分配PC3、PC4的通信，对SW3的感测装置2分配PC5的通信。

然后，列表生成部133基于上述分配结果来生成监视列表603～605。即，列表生成部133生成SW1的感测装置2的监视列表603，生成SW2的感测装置2的监视列表604，生成SW3的感测装置2的监视列表605。然后，列表发送部134将监视列表603～605发送到对象感测装置2。然后，各感测装置2将接收到的监视列表所示的通信的观测信息发送到分析服务器10。

由此，分析服务器10能够适当地从各感测装置2接收网络内的通信的观测信息。

[处理步骤的例子]

接着，使用图7，对分析系统1的处理步骤的例子进行说明。首先，分析服务器10的取得部130向各感测装置2发送通信的观测信息的发送指示(S1)。各感测装置2基于上述指示，生成经由作为监视对象的网络内的SW的通信的观测信息，并将观测信息发送到分析服务器10(S2)。

然后，分析服务器10的估计部131基于从各感测装置2发送来的通信的观测信息，针对作为监视对象的网络内的每个设备(例如，SW)，生成由该SW观测到的通信的列表(例如，参照图4的列表402)。

然后，估计部131基于生成的列表，通过在上述的(路由器的MAC地址的估计1)中说明的方法，对作为监视对象的网络内的路由器的MAC地址进行估计(S3：路由器估计1)。另外，估计部131通过在上述的(路由器的MAC地址的估计2)中说明的方法，对路由器的MAC地址进行估计(S4：路由器估计2)。由此，估计部131也能够对在S3中未能估计出的路由器的MAC地址进行估计。

进一步地，估计部131基于生成的列表，通过在上述的(外部终端的估计)中说明的方法，对外部终端的IP地址进行估计(S5：外部终端的估计)。然后，估计部131将通过上述的处理得到的路由器的MAC地址的估计结果和外部终端的IP地址的估计结果记录于上述的列表中(参照图6的列表601)。

在S5之后，在通过到S5为止的处理而在上述的列表中存在更新(例如，路由器的MAC地址的估计结果的更新、外部终端的IP地址的估计结果的更新)的情况下(S6：是)，估计部131再次执行S4之后的处理。

另一方面，在通过到S5为止的处理而在上述的列表中不存在更新(例如，路由器的MAC地址的估计结果的更新、外部终端的IP地址的估计结果的更新)的情况下(S6：否)，估计部131基于上述的列表来估计网络的拓扑(S7)。

在S7之后，分配部132基于S7中的拓扑的估计结果，对被各感测装置2当作观测信息的发送对象的通信进行分配。然后，列表生成部133基于上述分配结果，生成每个感测装置2的监视列表(S8)。然后，列表发送部134将每个感测装置2的监视列表发送到各感测装置2。

然后，各感测装置2基于发送来的监视列表开始进行通信的监视(S9)。然后，如果观测到的通信是监视列表所示的观测信息的发送对象(S10：是)，则各感测装置2将该通信的观测信息发送到分析服务器10。另一方面，如果观测到的通信不是发送对象(S10：否)，则各感测装置2继续监视(S11)，返回S10。

然后，当分析服务器10的取得部130从感测装置2接收到观测信息时(S12)，分析部135根据S7中的拓扑的估计结果(拓扑信息)来确定该观测信息中包含的设备(例如PC等)(S13)。然后，分析部135使用在S13中确定出的设备的信息，进行通信的异常的检测处理(S14)。分析部135在每次从感测装置2接收到观测信息时，执行上述S13和S14的处理。

使用图8对图7的S13和S14的处理进行详细说明。例如，分析部135根据在图7的S12中接收到的观测信息所示的感测装置2的装置ID、设备IP(设备的IP地址)、设备MAC(设备的MAC地址)，来确定设备ID和各设备的当前的设置场所(NW结构)(图8的S131)。

然后，分析部135判定在S131中确定出的NW结构与保存在存储部12中的拓扑信息之间是否存在差异(S132)。

在此，在分析部135判定为在S131中确定出的NW结构与保存在存储部12中的拓扑信息之间没有差异的情况下(S132：否)，进入S141。在后面对S141进行说明。

另一方面，在分析部135判断为在S131确定出的NW结构与保存在存储部12中的拓扑信息之间存在差异的情况下(S132：是)，经由通信部11输出与该差异相关的信息(S133)。由此，分析服务器10的用户能够获知作为监视对象的网络的结构发生了变更。然后，分析服务器10从用户受理该网络的结构的变更是否为正常的结构变更的判断结果的输入。在此，在从用户受理到表示该网络的结构的变更是正常的结构变更的输入的情况下(S134：是)，分析部135基于在S131确定出的NW结构对拓扑信息进行更新(S135)。

然后，分析部135基于在S135中更新后的拓扑信息和在图7的S12中接收到的观测信息，进行通信内容的检测处理(S141)。例如，在图7的S12中接收到的观测信息所示的终端的IP地址与MAC地址的对和拓扑信息所示的IP地址与MAC地址的对不一致的情况下，分析部135将该观测信息所示的通信检测为是由伪装的终端进行的通信。

然后，分析部135在通过S141的检测处理检测到通信内容的异常(例如，是由伪装的终端进行的通信)的情况下(S142：是)，经由通信部11通知检测到异常(S143：异常检测通知)。然后，用户基于该通知来应对网络的异常。

另一方面，在分析部135通过S141的检测处理未检测到通信内容的异常的情况下(S142：否)，如果在S135中已更新了拓扑信息(S151：是)，则前进到图7的S8。即，分配部132基于在S135中更新后的拓扑信息，重新对被各感测装置2当作观测信息的发送对象的通信进行分配。然后，列表生成部133基于上述的重新分配结果，重新生成每个感测装置2的监视列表(图7的S8)。然后，列表发送部134将重新生成的监视列表发送到各感测装置2。

另一方面，如果在S135中未更新拓扑信息(图8的S151：否)，则返回到图7的S12的处理。即，分析服务器10等待来自感测装置2的观测信息的送达。

另外，分析部135输出与在图8的S131中确定出的NW结构和保存在存储部12中的拓扑信息之间的差异相关的信息(S133)，在由用户判断为网络的结构的变更是某种异常的情况下(S134：否)，用户进行针对网络的异常的应对。

根据这样的分析服务器10，使用估计出的拓扑来进行各感测装置2的分配，使得通信路径上的任意1个SW的感测装置2发送该通信的观测信息。由此，分析服务器10能够减少从各感测装置2发送的观测信息的重复。

此外，例如，如上述的图3的W2-PC5间的通信那样，在仅存在1个能够发送该通信的观测信息的感测装置2的情况下，该感测装置2将该通信的观测信息发送到分析服务器10。即，图3中的感测装置2C将W2→PC5的观测信息和PC→W2的观测信息发送到分析服务器10。由此，分析服务器10能够无遗漏地接收作为监视对象的网络内的通信的观测信息。

另外，例如，如图9所示，在相同的子网内设置了多个SW(SW1、SW2、SW3)、且针对这些SW分别设置了感测装置2的情况下，分析服务器10能够通过比较各感测装置2(感测装置2A、2B、2C)的观测信息来估计L2拓扑。例如，分析服务器10能够通过在上述的(路由器的MAC地址的估计1)和(路由器的MAC地址的估计2)中说明的方法对观测信息进行比较，由此估计L2拓扑。

另外，分析服务器10能够通过在上述的(路由器的MAC地址的估计1)和(路由器的MAC地址的估计2)中说明的方法来比较观测信息，由此对路由器的IP地址和MAC地址、外部终端的IP地址进行估计。其结果是，分析服务器10在使用来自各感测装置2的观测信息所示的IP地址和MAC地址进行伪装的终端的检测时，能够减少误检测。

此外，根据分析服务器10，例如，如图10所示，在路由器(RT1、RT2)被分层设置、且在某个路由器(RT2)的下属未设置感测装置2的情况下，也能够通过与上述相同的算法来估计拓扑。

例如，图10所示的PC1、PC2是与SW1所属的网络不同的网络的终端，但以PC1、PC2作为发送源或发送目的地的通信必然由SW1的感测装置2A进行观测。由此，分析服务器10估计为PC1、PC2位于SW1的下属。然后，分析服务器10例如估计图10所示的拓扑作为网络的拓扑。

然后，分析服务器10使用上述拓扑的估计结果，例如生成标号1001所示的监视列表作为SW1的感测装置2A的监视列表。另外，分析服务器10例如生成标号1002所示的监视列表作为SW2的感测装置2B的监视列表。然后，分析服务器10从感测装置2A、2B取得基于上述监视列表发送来的观测信息。由此，分析服务器10能够取得PC1、PC2的通信的观测信息。

这样，分析服务器10还能够对如图10所示那样分层设置路由器的网络等复杂的网络中的终端间的通信进行监视。另外，在如现有技术那样仅将局域网作为监视对象的技术中，无法对如图10的PC1、PC2那样的位于局域网的外侧的终端的通信进行监视。但是，根据本实施方式的分析服务器10，能够对如图10的PC1、PC2那样的位于局域网的外侧的终端的通信进行监视。

另外，分析服务器10的分析部135也可以基于估计出的网络的拓扑和该网络中的感测装置2的设置位置的信息，输出网络的通信的监视不足的监视位置的信息。

例如，在图10所示的网络中，在当前的结构下无法取得PC1、PC2之间的通信的观测信息，因此分析部135推荐在能够监视PC1、PC2之间的通信的位置(例如RT2)设置新的感测装置2。由此，分析服务器10的用户能够获知为了无遗漏地监视网络内的各个通信而应将感测装置2追加到何处为好。

此外，根据分析服务器10，能够基于从各感测装置2发送来的观测信息，对与实际的网络结构不矛盾的拓扑进行估计。例如，有可能存在分析服务器10根据观测信息不足的情况、感测装置2的设置位置而无法准确地估计网络结构的位置，但也能够顺利地进行感测(从各感测装置2取得通信的观测信息)。

此外，即便由于信息不足而由分析服务器10进行的拓扑的估计不完整，由于至少1个以上的感测装置2针对各个通信发送观测信息，因此也不会发生观测信息的丢失。

另外，分析服务器10能够对新的观测信息、网络的结构变更进行检测，因此能够检测非法设备的连接、设备的移动。另外，分析服务器10能够在检测到网络的结构变更后更新拓扑信息，并基于更新后的该拓扑信息和通信的观测信息来进行通信的检测处理(参照图7的S141)。由此，分析服务器10能够适当地进行通信的检测处理。

此外，在检测到网络的结构变更后，分析服务器10能够基于更新后的拓扑信息来重新生成各感测装置2的监视列表并将监视列表进行发送。由此，分析服务器10能够适当地从各感测装置2接收观测信息。

另外，作为分析服务器10的监视对象的网络也可以是由装配了感测装置2的功能的白盒交换机(WB SW)构成的网络(图11)。在该情况下，分析服务器10向各WB SW发送监视列表。然后，各WB SW基于从分析服务器10发送来的监视列表，向分析服务器10发送通信的观测信息。分析服务器10基于从各WB SW发送来的通信的观测信息来进行网络的通信的监视。

[系统结构等]

另外，图示的各部的各结构要素是功能概念性的，不一定需要在物理上如图示那样构成。即，各装置的分散/整合的具体方式不限于图示的方式，能够根据各种负载、使用状况等，以任意的单位在功能上或物理上分散/整合地构成其全部或一部分。此外，由各装置进行的各处理功能的全部或任意的一部分能够通过CPU及由该CPU执行的程序来实现，或者作为基于布线逻辑的硬件来实现。

另外，在上述的实施方式中说明的处理中的作为自动地进行的处理而说明的处理的全部或者一部分也能够手动地进行，或者作为手动地进行的处理而说明的处理的全部或者一部分也能够通过公知的方法自动地进行。此外，关于上述记载中、附图中所示的处理步骤、控制步骤、具体名称、包含各种数据、参数的信息，除了特别记载的情况以外，能够任意地进行变更。

[程序]

上述的分析服务器10能够通过将程序作为套装软件、在线软件安装于期望的计算机来实现。例如，通过使信息处理装置执行上述的程序，能够使信息处理装置作为分析服务器10发挥功能。在此所说的信息处理装置包括台式或笔记本型的个人计算机。另外，信息处理装置还包括智能手机、移动电话机、PHS(Personal Handyphone System：个人手持电话系统)等移动通信终端、以及PDA(Personal Digital Assistant：个人数字助理)等终端等。

另外，分析服务器10也能够作为如下的服务器装置来实现，该服务器装置将用户使用的终端装置作为客户端，向该客户端提供与上述的处理相关的服务。在该情况下，服务器装置可以作为Web服务器来实现，也可以作为通过外包来提供与上述处理相关的服务的云来实现。

图12是示出执行分析程序的计算机的一例的图。计算机1000例如具有存储器1010、CPU1020。另外，计算机1000具有硬盘驱动器接口1030、盘驱动器接口1040、串行端口接口1050、视频适配器1060、网络接口1070。这些各部通过总线1080连接。

存储器1010包括ROM(Read Only Memory：只读存储器)1011和RAM(Random AccessMemory：随机存取存储器)1012。ROM1011例如存储BIOS(Basic Input Output System：基本输入输出系统)等引导程序。硬盘驱动器接口1030与硬盘驱动器1090连接。盘驱动器接口1040与盘驱动器1100连接。例如，磁盘、光盘等可装卸的存储介质被插入到盘驱动器1100。串行端口接口1050例如与鼠标1110、键盘1120连接。视频适配器1060例如与显示器1130连接。

硬盘驱动器1090例如存储OS1091、应用程序1092、程序模块1093、程序数据1094。即，对上述的分析服务器10执行的各处理进行规定的程序作为记述有可由计算机执行的代码的程序模块1093来实现。程序模块1093例如存储在硬盘驱动器1090中。例如，用于执行与分析服务器10中的功能结构相同的处理的程序模块1093存储于硬盘驱动器1090。此外，硬盘驱动器1090也可以由SSD(Solid State Drive：固态硬盘)代替。

另外，在上述的实施方式的处理中使用的数据作为程序数据1094例如存储于存储器1010、硬盘驱动器1090。然后，CPU1020根据需要将存储在存储器1010、硬盘驱动器1090中的程序模块1093、程序数据1094读出到RAM1012并执行。

另外，程序模块1093、程序数据1094不限于存储在硬盘驱动器1090中的情况，例如也可以存储在可装卸的存储介质中，由CPU1020经由盘驱动器1100等读出。或者，程序模块1093和程序数据1094也可以存储在经由网络(LAN(Local Area Network：局域网)、WAN(Wide Area Network：广域网)等)连接的其他计算机中。并且，程序模块1093和程序数据1094可以由CPU1020经由网络接口1070从其他计算机读出。

标号说明

1 分析系统

2(2A，2B，2C) 感测装置

10 分析服务器

11 通信部

12 存储部

13 控制部

130 取得部

131 估计部

132 分配部

133 列表生成部

134 列表发送部

135 分析部

136 控制处理部