INFORMATION PROCESSING APPARATUS, UNAUTHORIZED ACTIVITY CLASSIFICATION METHOD AND PROGRAM FOR CLASSIFYING UNAUTHORIZED ACTIVITY

To provide an information processing apparatus capable of obtaining useful information for determining how dangerous a terminal is in a state, on the basis of a behavior of a communication performed by a terminal.SOLUTION: A network monitoring apparatus 20 comprises comparing means 251 for comparing a communication by a terminal connected to the network with a previously held pattern, deciding means 254 for deciding a phase of activity of the terminal according to the result of the comparison, determining means 257 for determining whether the terminal is performing an unauthorized activity or not, correlation analysis means 258 for determining a type of behavior by performing a correlation analysis between a first phase determined based on the first communication of the terminal and a second phase determined based on the second communication performed before or after the first communication, and classifying means 259 for classifying an unauthorized activity by the terminal on the basis of the type of behavior determined by the correlation analysis means, when it is determined that the terminal is conducting an unauthorized activity.SELECTED DRAWING: Figure 3 【課題】端末が行う通信の振る舞いに基づいて、当該端末がどれだけ危険な状態にあるかを判断するために役立つ情報を得ることが可能な情報処理装置を提供する。【解決手段】ネットワーク監視装置２０は、ネットワークに接続された端末による通信と予め保持されたパターンとを比較する比較手段２５１と、前記比較の結果に従って、前記端末の活動のフェーズを決定する決定手段２５４と、前記端末が不正な活動を行っているか否かを判定する判定手段２５７と、該端末の第一の通信に基づいて決定された第一のフェーズと、該第一の通信の前または後に行われた第二の通信に基づいて決定された第二のフェーズとの相関分析を行うことで、振る舞いの種類を決定する相関分析手段２５８と、前記端末が不正な活動を行っていると判定された場合に、前記相関分析手段によって決定された振る舞いの種類に基づいて、該端末による不正な活動を分類する分類手段２５９と、を備える。【選択図】図３