CN104937605B - 攻击分析系统、协作装置、攻击分析协作方法 - Google Patents
攻击分析系统、协作装置、攻击分析协作方法 Download PDFInfo
- Publication number
- CN104937605B CN104937605B CN201380070764.1A CN201380070764A CN104937605B CN 104937605 B CN104937605 B CN 104937605B CN 201380070764 A CN201380070764 A CN 201380070764A CN 104937605 B CN104937605 B CN 104937605B
- Authority
- CN
- China
- Prior art keywords
- attack
- information
- analysis
- timetable
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
日志分析协作系统(1000)具有:日志记录器(901),其收集通信设备(904)的日志,将其存储在存储装置中;(SIEM)装置(902),其检测攻击;以及日志分析装置(903),对由日志记录器(901)收集的日志进行分析,在日志分析协作系统(1000)中,日志分析协作装置(1)将攻击情景(1104)存储在存储装置中,从(SIEM)装置(902)接收包含检测出的攻击的信息的警告信息(1201)’,基于警告信息(1201)’和攻击情景(1104),计算预计在检测出的攻击之后要发生的攻击的预计发生时期,向日志分析装置(903)发送时刻表检索(915),以按计算出的预计发生时期检索日志,日志分析装置(903)向日志记录器(901)发送时刻表检索(916),以按预计发生时期检索日志。
Description
技术领域
本发明涉及攻击分析系统、协作装置、攻击分析协作方法。尤其是,涉及与攻击检测系统和日志分析系统协作而高效地进行攻击分析的攻击分析系统。
背景技术
近年来,恶意软件将机密信息泄漏到组织外的事故成为问题。使用恶意软件的网络攻击逐渐高度化,例如存在非专利文献1所示的被称作APT(高度且持续的威胁:AdvancedPersistent Threat)的攻击等。
在APT中,通过邮件附件等入侵到组织中的恶意软件感染计算机,进而,与攻击者所运用的互联网上的C&C(Command&Control:命令和控制)服务器进行通信,下载新恶意软件或攻击工具或者更新自身。进而,侦测组织内部,找到文件服务器,将机密文件泄漏到C&C服务器。在将这些各活动视作攻击的情况下,各攻击耗费较长时间而按阶段进行。例如,感染了计算机的恶意软件在感染后1个月不活动而隐藏自身,1个月后才开始与C&C服务器进行通信。
这样,在APT中,多个攻击间隔地进行。
APT的对策存在各种方法。作为APT对策的产品,存在防止基于邮件的侵入的产品、防止信息泄漏的产品等。
此外,作为APT对策的方法之一,存在自动进行日志分析的方法。在自动进行日志分析的方法中,分析计算机、服务器、路由器等网络设备、防火墙、入侵检测系统等安全设备等的日志,调查相互的相关关系,或者从日志中找出异常记录。自动进行日志分析的方法是通过进行这样的分析来检测APT或观察经过过程的方法。
作为通过调查防火墙或入侵检测系统等安全设备的日志等的相关关系调来自动地检测异常的产品的例子,存在SIEM(安全信息和事件管理:Security Information andEvent Management)系统(参照专利文献1)。SIEM系统也被称作整合日志监视系统等。
此外,存在如下日志分析系统:通过各种关键词对各种日志进行向下钻取(drilldown),或者按时间顺序显示状况变化等,由此,人们发现异常。
在专利文献1中,提出了如下方法:在业务系统用服务器之外,导入中继服务器,在中继服务器中进行用户认证,并收集利用日志。
现有技术文献
专利文献
专利文献1:日本特表2004-537075号公报
[非专利文献]
[非专利文献1]「新しいタイプの攻撃」の对策に向けた設計/運用ガイド,改订第2版,IPA(面向“新型攻击”的对策的设计,运用指南,修订版第2版,IPA)。
发明内容
[发明要解决的问题]
在SIEM系统中,在内存中(on-memory)实时地监视事件(event),因此,实质不能进行复杂的相关分析或多发事件的相关分析,从而存在不能对APT采用足够的对策这样的问题。
此外,在日志分析系统中,能够对多个日志执行复杂的检索,但为了如相关分析那样实时地检测事件,需要短时间地反复执行检索。因此,存在为了同时执行多个检索条件而需要巨大的计算资源这样的问题。
即,存在如下问题:在基于对日志进行分析的方法的APT的检测中,无论是SIEM系统还是日志分析系统,无法单独地完全对应。
本发明是为了解决上述那样问题而完成的,其目的在于,针对通过SIEM系统检测出的攻击,基于攻击情景,与日志分析系统协作而高效地从日志中发现存在将要发生的可能性的攻击迹象。
[用于解决问题的手段]
本发明的攻击分析系统具有:
日志收集装置,其收集与监视对象网络连接的设备的日志信息;检测装置,其检测针对所述监视对象网络的攻击并发送包含发生了检测出的攻击的攻击发生时期的警告信息;协作装置,其存储表示针对所述监视对象网络预计要发生的多个攻击的攻击情景信息,基于从所述检测装置接收到的所述警告信息和所述攻击情景信息,计算在所述攻击发生时期的前后的时期预计要发生的攻击的预计发生时期,发送作为对计算出的所述预计发生时期的所述日志信息进行分析的请求的时刻表分析请求;以及
分析装置,其基于从所述协作装置发送的所述时刻表分析请求,对由所述日志收集装置收集的所述日志信息中的所述预计发生时期的所述日志信息进行分析。
[发明效果]
根据本发明的攻击分析系统,协作装置将攻击情景信息存储在存储装置中,从检测装置接收包含检测出的攻击的信息的警告信息,基于警告信息和攻击情景信息,计算在检测出的攻击之后预计要发生的攻击的预计发生时期,按计算出的预计发生时期来检索日志信息,向分析装置发送时刻表检索,从而使检测装置与分析装置协作,由此,起到如下效果:能够高效地从日志信息中发现存在将要发生的可能性的攻击的迹象。
附图说明
图1是示出实施方式1的日志分析协作系统1000的整体结构的图。
图2是示出实施方式1的日志分析协作装置1、日志记录器901、SIEM装置902、日志分析装置903的硬件结构的一例的图。
图3是示出实施方式1的日志分析协作装置1的结构和动作的概要的图。
图4是示出实施方式1的警告信息1201的结构的一例的图。
图5是示出实施方式1的攻击情景1104的结构的一例的图。
图6是示出实施方式1的对策信息1107的结构的一例的图。
图7是示出实施方式1的资产信息1109的结构的一例的图。
图8是示出实施方式1的攻击可否判定部107的攻击可否判定处理的流程图。
图9是示出实施方式2的日志分析协作装置1的结构和动作的概要的图。
图10是示出实施方式4的日志分析协作装置1的结构和动作的概要的图。
图11是示出实施方式4的认证服务器10的结构和动作的图。
图12是示出由实施方式4的密码复位装置11生成的电子邮件的一例的图。
图13是示出实施方式4的密码复位装置11的结构和动作的图。
图14是示出实施方式4的密码复位装置11的复位用密码8203和密码复位通知字面内容8202的生成方法的图。
具体实施方式
实施方式1.
图1是示出本实施方式的日志分析协作系统1000的整体结构的图。使用图1,对本实施方式的日志分析协作系统1000(攻击分析系统的一例)的整体结构和动作的概要进行说明。
在图1中,日志分析协作系统1000具有日志记录器901(日志收集装置的一例)、SIEM装置902(检测装置的一例)、日志分析装置903(分析装置的一例)、日志分析协作装置1(协作装置的一例)。
日志记录器901收集监视对象网络所具有的至少1个设备(通信设备904)的日志,并将其作为日志信息存储在存储装置中。
日志记录器901与监视对象的PC或服务器等计算机904a、路由器等网络设备904b、防火墙或入侵检测装置等安全设备904c、智能手机或平板PC等移动设备905连接。
日志记录器901收集并蓄积计算机904a、网络设备904b、安全设备904c、移动设备905等日志。
SIEM装置902对日志记录器901中蓄积的日志进行相关分析(correlationanalysis)等来检测异常。SIEM装置902具有检测规则912。SIEM装置902例如将检测规则912存储在存储装置中。
检测规则912是用于检测攻击等异常的日志分析的规则。检测规则912例如为相关分析的规则。
日志分析装置903根据操作者进行的操作,通过关键词检索对日志记录器901中蓄积的日志进行向下钻取等分析。此外,日志分析装置903根据操作者进行的操作,使对特定的服务器的访问状况可视化,以能够目视观察状况的方式进行显示。这样,在日志分析装置903中,根据操作者进行的操作,分析日志,使得操作者发现异常。
日志分析协作装置1位于SIEM装置902和日志分析装置903之间,与SIEM装置902连接,并与日志分析装置903连接。
日志分析协作装置1与SIEM装置902和日志分析装置903协作。
日志分析协作装置1具有攻击情景DB1013、资产DB1015、安全对策DB1014。
对日志分析协作装置1与SIEM装置902和日志分析装置903协作的动作的概要进行说明。
SIEM装置902从日志记录器901收集日志911,使用检测规则912执行实时的相关分析。这样,SIEM装置902始终执行异常检测。
以下,使用图1,对SIEM装置902检测到异常的情况下的动作(攻击分析协作方法)的一例进行说明。以下(1)~(8)对应于图1的(1)~(8)。
(1)SIEM装置902根据检测规则912中的检测规则B,检测攻击b(检测攻击)。
(2)SIEM装置902将“检测出攻击b”作为警告信息1201’通知给日志分析协作装置1(警告信息发送处理、警告信息发送步骤)。日志分析协作装置1接收警告信息(警告信息接收处理、警告信息接收步骤)。
(3)日志分析协作装置1从DB中检索在攻击b之后预计要发生的攻击c(下次攻击)。日志分析协作装置1根据攻击情景DB1013、资产DB1015、安全对策DB1014,判断在攻击b之后发生的攻击c的发生可能性。攻击情景DB1013、资产DB1015、安全对策DB1014例如被存储在日志分析协作装置1具有的存储装置1’中。
(4)日志分析协作装置1为了从日志中检索攻击c的迹象,向日志分析装置903请求时刻表检索915。换言之,日志分析协作装置1计算在攻击b(检测攻击、检测出的攻击)之后预计要发生的攻击c(下次攻击、分析对象攻击)预计将要发生的时期(预计发生时期),为了对攻击c(下次攻击)预计要发生的时期(预计发生时期)的日志进行时刻表检索,向日志分析装置903请求时刻表检索915((3)、(4)的处理是时刻表分析请求处理、时刻表分析请求步骤)。
(5)日志分析装置903基于时刻表检索915的请求,使日志记录器901执行时刻表检索916。
(6)日志分析装置903接收时刻表检索916的检索结果917。
(7)日志分析装置903将接收到的检索结果917作为检索结果918,发送给日志分析协作装置1。
(8)日志分析协作装置1接收(7)的结果,与执行与(7)的结果对应的处理(日志信息分析处理、日志信息分析步骤)。
在(7)的结果为未检测出攻击c的情况下,日志分析协作装置1判断为攻击c的发生时期有可能与攻击情景1104不相符。然后,日志分析协作装置1变更时刻表检索915的时机,进一步向日志分析装置903发出时刻表检索915。
在(7)的结果是检测出攻击c的情况下,日志分析协作装置1在GUI上向操作者通知“检索出攻击c”。操作者接收该通知,使用日志分析装置903,进一步对攻击c的详细迹象等进行分析。
由于CPU、存储器、线路等的制约,移动设备905(特定的设备)有时难以始终收集日志。因此,日志记录器901通常不对来自移动设备905的日志进行收集。或者,日志记录器901也可以以1日1次等定期的或不定期的方式从移动设备905收集日志。
当在(1)~(3)中判断为攻击c是在移动设备905中发生的情况下,日志分析协作装置1按照(4)的时刻表检索915的时机,在(4)的时刻表检索915之前,向日志分析装置903通知时刻表收集915’((4)’)。
日志分析装置903将从日志分析协作装置1通知的时刻表收集915’作为时刻表收集916’通知给日志记录器901((5)’)。
日志记录器901在从日志分析装置903被通知了时刻表收集916’时,向移动设备905通知时刻表收集916”((5)”),从移动设备905收集日志917”((6)”)。日志记录器901将来自移动设备905的日志的收集结果作为收集结果917’发送给日志分析装置903((6)’)。
日志分析装置903在从日志记录器901接收到收集结果917’时,将其作为收集结果918’发送给日志分析协作装置1((7)’)。
然后,日志分析协作装置1、日志分析装置903、日志记录器901执行上述(4)~(7)。
以上,结束了日志分析协作系统1000的整体结构和动作的概要的说明。
图2是示出本实施方式的日志分析协作装置1、日志记录器901、SIEM装置902、日志分析装置903的硬件结构的一例的图。
在图2中,日志分析协作装置1、日志记录器901、SIEM装置902、日志分析装置903是计算机,具有LCD1901(Liquid Crystal Display:液晶显示器)、键盘1902(K/B)、鼠标1903、FDD1904(Flexible Disc Drive:软盘驱动器)、CDD1905(Compact Disc Drive:CD驱动器)、打印机1906这样的硬件设备。这些硬件设备通过网线或信号线连接。也可以使用CRT(Cathode Ray Tube:阴极摄像管)或其它显示装置来替代LCD1901。也可以使用触摸面板、触摸板、轨迹球、手写板或其它定点设备来替代鼠标1903。
日志分析协作装置1、日志记录器901、SIEM装置902、日志分析装置903具有执行程序的CPU1911(Central Processing Unit:中央处理器)。CPU1911是处理装置的一例。CPU1911经由总线1912,与ROM1913(Read Only Memory:只读存储器)、RAM1914(RandomAccess Memory:随机存取存储器)、通信板1915、LCD1901、键盘1902、鼠标1903、FDD1904、CDD1905、打印机1906、HDD1920(Hard Disk Drive:硬盘驱动器)连接,来控制这些硬件设备。也可以使用闪速存储器、光盘装置、内存卡读写器或其它记录介质来替代HDD1920。
RAM1914是易失性存储器的一例。ROM1913、FDD1904、CDD1905、HDD1920是非易失性存储器的一例。它们是存储装置、存储部的一例。通信板1915、键盘1902、鼠标1903、FDD1904、CDD1905是输入装置的一例。此外,通信板1915、LCD1901、打印机1906是输出装置的一例。
通信板1915与LAN(Local Area Network:局域网)等连接。通信板1915不限于LAN,也可以连接到IP-VPN(Internet Protocol Virtual Private Network,IP虚拟专用网络)、广域LAN、ATM(Asynchronous Transfer Mode,异步传输模式)网络这样的WAN(Wide AreaNetwork:广域网)或互联网。LAN、WAN、互联网是网络的一例。
在HDD1920中存储有操作系统1921(OS),视窗系统1922、程序组1923、文件组1924。程序组1923的程序由CPU1911、操作系统1921、视窗系统1922执行。在程序组1923中,包含执行在本实施方式的说明中作为“~部”说明的功能的程序。程序由CPU1911读出并执行。在本实施方式的说明中作为“~数据”、“~信息”、“~ID(标识符)”、“~标志位”、“~结果”说明的数据、信息、信号值或变量值或参数作为“~文件”或“~数据库”或“~表”的各项目而包含在文件组1924中。“~文件”或“~数据库”或“~表”被存储在RAM1914或HDD1920等记录介质中。RAM1914或HDD1920等记录介质中存储的数据、信息、信号值、变量值或参数经由读写电路,由CPU1911读出至主存储器或高速缓存,在提取、检索、参照、比较、运算、计算、控制、输出、印刷、显示这样的CPU1911的处理(动作)中使用。在提取、检索、参照、比较、运算、计算、控制、输出、印刷、显示这样的CPU1911的处理中,数据、信息、信号值、变量值或参数暂时地中存储在主存储器、高速缓存或缓冲存储器中。
在本实施方式的说明中使用框图或流程图的箭头的部分主要表示数据或信号的输入/输出。数据或信号被记录在RAM1914等存储器、FDD1904软盘(FD)、CDD1905光盘(CD)、HDD1920磁盘、光盘、DVD(Digital Versatile Disc:数字通用光盘)或其它记录介质中。此外,数据或信号通过总线1912、信号线,网线或其它传输介质进行传输。
在本实施方式的说明中,作为“~部”说明的内容也可以是“~电路”、“~装置”、“~设备”,此外,也可以是“~步骤”、“~操作”、“~过程”、“~处理”。即,作为“~部”说明的内容可以由ROM1913中存储的固件实现。或者,作为“~部”说明的内容也可以仅由软件实现,或者仅由元件、设备、基板、布线这样的硬件实现。或者,作为“~部”说明的内容也可以由软件和硬件的组合或者软件、硬件和固件的组合来实现。固件和软件作为程序存储在软盘、光盘、磁盘、光盘、DVD等记录介质中。程序由CPU1911读出,由CPU1911执行。即,程序使计算机作为在本实施方式的说明中记述的“~部”而发挥功能。或者,程序使计算机执行在本实施方式的说明记述的“~部”的操作或方法。
图3是示出本实施方式的日志分析协作装置1的结构和动作的概要的图。
使用图3,对本实施方式的日志分析协作装置1的结构进行说明。在本实施方式中,日志分析协作装置1不使用时刻表收集部108、收集时刻表条件1204、外部协作部(收集)109。
如图3所示,日志分析协作装置1具有输入部101、警告解释部102、攻击情景DB检索部103、关联攻击提取部104、安全对策检索部105、资产DB检索部106、攻击可否判定部107、时刻表检索部1010、外部协作部(检索)1011、输出部1012。
此外,日志分析协作装置1将攻击情景DB1013、安全对策DB1014、资产DB1015存储在存储装置中。
输入部101输入警告信息1201’,输出数据1101。
警告解释部102输入数据1101,输出警告信息1102和资产检索信息1108。
攻击情景DB检索部103输入情景提取条件1202,使用攻击标识信息1103来检索攻击情景DB1013。攻击情景DB检索部103输入作为检索结果的攻击情景1104。此外,攻击情景DB检索部103将输入的攻击情景1104输出到关联攻击提取部104。
攻击情景DB1013将执行APT(高度且持续的威胁)的多个攻击的序列及其时间间隔等信息保存为情景。
攻击情景DB1013是预先将攻击情景信息存储在存储装置的攻击情景信息存储部的一例,攻击情景信息包含多个攻击标识符且包含多个攻击发生的序号和序号连续的两个攻击的发生间隔,多个攻击标识符用于识别预计要对监视对象网络发生的多个攻击中的各个攻击。
关联攻击提取部104输入关联攻击提取条件1203,将关联攻击信息1105输出到安全对策检索部105和攻击可否判定部107。
安全对策检索部105输入关联攻击信息1105,使用关联攻击检索信息1106来检索安全对策DB1014。进而,安全对策检索部105输入作为该检索结果的对策有无1107’。安全对策检索部105将对策有无1107’输出到攻击可否判定部107。
安全对策DB1014保存与由入侵检测/防御装置等的进行的针对攻击的对策实施相关的信息。
资产DB检索部106输入资产检索信息1108,使用资产检索信息1108来检索资产DB1015。资产DB检索部106输入作为其检索结果的资产信息1109。
资产DB1015保存PC或服务器等资产ID、IP地址、所使用的OS或应用程序、补丁应用状况等信息。
攻击可否判定部107输入资产信息1109、关联攻击信息1105和对策有无1107’,将日志检索信息1113输出到时刻表检索部1010。
攻击情景DB检索部103、关联攻击提取部104、资产DB检索部106、攻击可否判定部107是下次攻击信息取得部的一例。
时刻表检索部1010输入检索时刻表条件1205和日志检索信息1113,将检索命令1114输出到外部协作部(检索)1011。时刻表检索部1010输入作为针对检索命令1114的结果的检索结果1115。时刻表检索部1010是将作为对预计发生时期的日志信息进行分析的请求的检索命令1114(时刻表分析请求)发送给日志分析装置903的时刻表分析请求部的一例。
外部协作部(检索)1011从时刻表检索部1010输入检索命令1114,向外部输出检索命令1208。外部协作部(检索)1011输入作为检索命令1208的结果的检索结果1209,向时刻表检索部1010输出检索结果1115。
输出部1012从时刻表检索部1010输入检索结果1116,将检测结果1210输出到外部。
图4是示出本实施方式的警告信息1201的结构的一例的图。图5是示出本实施方式的攻击情景1104的结构的一例的图。图6是示出本实施方式的对策信息1107的结构的一例的图。图7是示出本实施方式的资产信息1109的结构的一例的图。
接下来,使用图1、图3~图7,对日志分析协作装置1的动作进行说明。
如图1和图3所示,输入部101从SIEM装置902输入警告信息1201’。
警告信息1201’是将图4所示的警告信息1201格式化后而得的信息。如图4所示,警告信息1201由以下的内容构成。
(a)日期时间:攻击发生的日期时间。
(b)攻击ID:标识攻击的信息。
(c)攻击类型:攻击的类型(例如DoS(Denial of Service:拒绝服务)攻击,权限提升等)。
(d)脆弱性ID:在攻击通过恶意使用软件等的脆弱性而成功的情况下,其标识信息(例如CVE编号(脆弱性标识编号))。
(e)攻击源信息:源IP/端口(Source IP/Port)、资产ID等与攻击源相关的信息。
(f)攻击目的地信息:目的地IP/端口(Destination IP/Port)、资产ID等与攻击目的地相关的信息。
日志分析协作装置1将警告信息1201’例如作为UDP或TCP包进行输入。警告信息1201’以将警告信息1201存储在包的主体部中的方式进行格式化。
输入部101从将警告信息1201格式化而得到的信息即警告信息1201’中取出作为包的主体部的数据1101,将其输出到警告解释部102。即,数据1101是警告信息1201。
警告解释部102输入作为警告信息1201的数据1101。警告解释部102将输入的数据1101分解(解析)成日期时间、攻击ID、攻击类型、脆弱性ID、攻击源信息、攻击目的地信息等构成要素。警告解释部102将该结果作为警告信息1102输出到攻击情景DB检索部103。警告信息1102的内容与警告信息1201的内容相同。
攻击情景DB检索部103从警告信息1102中提取攻击ID、攻击类型、脆弱性ID,将其作为攻击标识信息1103输出到攻击情景DB1013。
此时,攻击情景DB检索部103输入情景提取条件1202。情景提取条件1202是指定从攻击情景DB1013检索的攻击情景1104的数量的条件。作为情景提取条件1202,例如设1个、多个或指定的数量作为条件。此处,作为情景提取条件1202,将从攻击情景DB1013检索的攻击情景1104的数量指定为“1个”。
接下来,使用图5,对攻击情景1104进行说明。
在攻击情景DB1013中,基于攻击标识信息1103,检索包含攻击ID或脆弱性ID的攻击情景。
如图5所示,攻击情景1104构成为如下。
1104_e1:攻击情景要素1→1104_s1:间隔1→1104_e2:攻击情景要素2→1104_s2:间隔2→1104_e3:攻击情景要素3。
攻击情景要素1104_ei(i=1、2、3)为1个1个的攻击的信息。
各个攻击情景要素1104_ei(i=1、2、3)由攻击标识信息1104_a、攻击信息1104_b、对策标识信息1104_c、对策信息1104_d构成。这些信息是标识攻击的攻击标识符的一例。
如图5所示,攻击标识信息1104_a、攻击信息1104_b、对策标识信息1104_c、对策信息1104_d为以下的信息。
(a)攻击标识信息1104_a:攻击ID、攻击类型、脆弱性ID。
(b)攻击信息1104_b:受影响的产品(产品ID、版本信息、补丁ID)、所需的执行权限、关键词、其它信息。
(c)对策标识信息1104_c:对策ID。
(d)对策信息1104_d:补丁ID、避免措施ID、避免措施内容、其它信息。
此处,攻击信息1104_b的关键词表示在攻击发生中可能发生的现象,例如,如果发生OS的注册表的改写,则关键词为“OS、registry(注册表)、modify(改写)”。
图5所示的攻击情景1104示出了如下情景:首先发生攻击情景要素1:1104_e1,在间隔1:1104_s1之后,发生攻击情景要素2:1104_e2,在间隔2:1104_s2之后,发生攻击情景要素3:1104_e3。
间隔1:1104_s1为例如“24小时”。其表示,在攻击情景要素1:1104_e1之后的24小时后,发生了攻击情景要素2:1104_e2。
日志分析协作装置1具有攻击情景DB存储部(参照图3)。攻击情景DB存储部基于过去的事例,作成上述那样攻击情景1104,并保存在攻击情景DB1013中。
此外,构成攻击情景1104的攻击情景要素1104_ei可以1个以上,也可以为2个、3个或更多。
攻击情景DB检索部103使用攻击标识信息1103来检索攻击情景DB1013。在攻击情景DB检索部103中,例如,针对作为攻击标识信息1103的构成要素的攻击ID,检索“攻击情景要素1104_e的攻击标识信息1104_a中包含的攻击情景”。
攻击情景DB检索部103如果不能根据攻击ID得到检索结果,则根据脆弱性ID进行检索。
攻击情景DB检索部103从攻击情景DB1013提取如上述那样检索出的结果来作为攻击情景1104。
如上所述,日志分析协作装置1从攻击情景DB1013提取如下攻击情景1104,该攻击情景1104包含由从SIEM装置902接收到的警告信息1201’通知的攻击。
攻击情景DB检索部103将从攻击情景DB1013输入的攻击情景1104输出到关联攻击提取部104。
关联攻击提取部104输入攻击情景1104,通过处理装置对攻击情景1104进行分析。关联攻击提取部104提取与通知的攻击情景1104中包含的攻击相关的信息。
此时,关联攻击提取部104输入关联攻击提取条件1203。关联攻击提取条件1203为以下的内容。
(a)在通知的攻击之后发生的攻击:n个(1~all(全部)),或在通知的攻击之前发生的攻击:m个(1~all(全部))
例如,在关联攻击提取条件1203指定了“在通知的攻击之后发生的攻击:1个”的情况下,仅提取通知的攻击之后发生的攻击和与其间隔相关的信息。在指定了“all(全部)”的情况下,提取在通知的攻击之后发生的全部攻击和与其间隔相关的信息。
由关联攻击提取部104提取出的攻击是预计在通知的攻击的前后的时期要发生的分析对象攻击的一例。
例如,在关联攻击提取条件1203指定了“在通知的攻击之前发生的攻击:1个”的情况下,仅提取在通知的攻击之前发生的攻击和与其间隔相关的信息。在指定了“all”的情况下提取在通知的攻击之前发生的全部攻击和与其间隔相关的信息。
此处,假设关联攻击提取条件1203指定了“在通知的攻击之后发生的攻击:1个”。
例如,警告信息1102中包含的攻击ID为攻击情景要素2:1104_e2的攻击ID。
攻击情景DB检索部103从攻击情景DB1013提取图5所示的攻击情景1104。
进而,关联攻击提取部104输入作为关联攻击提取条件1203的“在通知的攻击之后发生的攻击:1个”,从攻击情景1104中提取“攻击情景要素3:1104_e3”作为攻击情景要素2:1104_e2(通知的攻击)之后的攻击,提取“间隔2:1104_s2”作为“间隔”。
即,在关联攻击提取部104提取出的关联攻击信息1105中,“在通知的攻击之后发生的攻击”(下次攻击)(分析对象攻击)为“攻击情景要素3:1104_e3”,“间隔”为“间隔2:1104_s2”(下次发生间隔)。
如上所述,关联攻击提取部104提取关联攻击信息1105。
接下来,关联攻击提取部104将关联攻击信息1105输出到安全对策检索部105。
安全对策检索部105使用输入的关联攻击信息1105来检索安全对策DB1014。具体而言,安全对策检索部105使用输入的关联攻击信息1105中包含的“攻击情景要素3:1104_e3”、“间隔2:1104_s2”,检索安全对策DB1014。
图6是示出安全对策DB1014中保存的对策信息1107的结构的图。
使用图6,对策信息1107的结构进行说明。
对策信息1107由攻击标识信息1107_a、攻击信息1107_b、对策标识信息1107_c、对策信息1107_d、对策实施信息1107_e构成。
攻击标识信息1107_a、攻击信息1107_b、对策标识信息1107_c、对策信息1107_d、对策实施信息1107_e的内容为如下信息。
(a)攻击标识信息1107_a:攻击ID、攻击类型、脆弱性ID。
(b)攻击信息1107_b:受影响的产品(产品ID、版本信息、补丁ID)、所需的执行权限、关键词、其它信息。
(c)对策标识信息1107_c:对策ID。
(d)对策信息1107_d:补丁ID、避免措施ID、避免措施内容、其它信息。
(e)对策实施信息1107_e:有无实施对策(当前,是否通过入侵检测装置等实施对策)。
安全对策检索部105使用输入的关联攻击信息1105,从安全对策DB1014中提取对应的对策信息1107。具体而言,安全对策检索部105从安全对策DB1014中提取对策信息1107的条目(entry),该对策信息1107的条目包含构成输入的关联攻击信息1105中包含的“攻击情景要素3:1104_e3”的“攻击标识信息1104_a”所包含的攻击ID或脆弱性ID。
安全对策检索部105提取所提取出的对策信息1107的条目中的对策实施信息1107_e。安全对策检索部105提取作为提取出的对策实施信息1107_e的内容的有无实施对策来作为对策有无1107’。
安全对策检索部105将从安全对策DB1014提取出的对策有无1107’输出到攻击可否判定部107。
资产DB检索部106从警告解释部102输入资产检索信息1108。
资产检索信息1108是警告信息1102(图4的警告信息1201相当)的一部分的信息,攻击目的地信息符合该情况。
攻击目的地信息是与目的地IP/端口(Destination IP/Port)、资产ID等攻击目的地相关的信息。
资产DB检索部106将该攻击目的地信息中的目的地IP(或MAC)、资产ID等能够确定资产的信息作为资产检索信息1108。
资产DB检索部106将资产检索信息1108输出到资产DB1015。
资产DB检索部106使用资产检索信息1108(能够确定资产的信息)来检索资产DB1015。
资产DB检索部106从资产DB1015提取与资产检索信息1108匹配的条目,作为资产信息1109。
图7是示出在资产DB1015中管理的资产信息1109的结构的图。
使用图7,对资产信息1109的结构进行说明。
资产信息1109由资产标识信息1109_a、资产OS信息1109_b、资产应用程序信息1109_c、资产执行信息1109_d、资产安全施策信息1109_e构成。构成资产信息1109的资产标识信息1109_a、资产OS信息1109_b、资产应用程序信息1109_c、资产执行信息1109_d、资产安全施策信息1109_e的内容例如为如下信息。
(a)资产标识信息1109_a:资产ID、IP地址、MAC地址、用户ID。
(b)资产OS信息1109_b:OS(产品ID、版本信息)、应用补丁(补丁ID)/应用避免措施(避免措施ID)。
(c)资产应用程序信息1109_c:应用程序(产品ID、版本信息)、应用补丁(补丁ID)/应用避免措施(避免措施ID)。
(d)资产执行信息1109_d:执行权限。
(e)资产安全施策信息1109_e:安全施策(安全设定、软件等)。
即,资产DB1015从自身保存的条目中检索资产检索信息1108(攻击目的地信息)的目的地IP(或者MAC)/资产ID与资产标识信息1109_a匹配的条目,并将其作为资产信息1109输出到资产DB检索部106。
资产DB检索部106将从资产DB1015输入的资产信息1109输出到攻击可否判定部107。
攻击可否判定部107输入资产信息1109、关联攻击信息1105、对策有无1107’,输出日志检索信息1113。
攻击可否判定部107通过执行攻击可否判定处理,输出日志检索信息1113。
图8是示出本实施方式的攻击可否判定部107的攻击可否判定处理的流程图。使用图8,对攻击可否判定部107的攻击可否判定处理进行说明。
在S107_1中,攻击可否判定部107使用对策有无1107’,通过处理装置判断在入侵检测装置等中是否对由关联攻击信息1105(攻击情景要素1104_e)中包含的攻击标识信息1104_a所标识的攻击是否实施了对策。以下,将由关联攻击信息1105(攻击情景要素1104_e)中包含的攻击标识信息1104_a所标识的攻击作为判定对象攻击。
具体而言,攻击可否判定部107使用对策有无1107’,通过处理装置,判断在入侵检测装置等中是否对由所通知的攻击(攻击情景要素2:1104_e2)的下次攻击(攻击情景要素3:1104_e3)的攻击标识信息1104_a所标识的攻击(判定对象攻击)实施了对策。
在攻击可否判定部107中,如果判定对象攻击为已实施对策(S107_1:是),则使处理进入到S107_9。在攻击可否判定部107中,如果判定对象攻击为未实施对策(S107_1:否),则使处理进入S107_2。
在S107_2中,攻击可否判定部107针对判定对象攻击,调查作为攻击对象的资产是否使用了相符的OS或应用程序。
该处理以如下方式执行。
如上所述,攻击可否判定部107输入与判定对象攻击对应的关联攻击信息1105。在关联攻击信息1105(攻击情景要素1104_e)中的攻击信息1104_b中,作为受影响的产品的信息而包含有“产品ID、版本信息、补丁ID”(参照图5)。
此外,如上所述,攻击可否判定部107输入与判定对象攻击对应的资产信息1109。
在资产信息1109中,包含:资产OS信息1109_b(OS(产品ID、版本信息)、应用补丁(补丁ID)/应用避免措施(避免措施ID))、资产应用程序信息1109_c(应用程序(产品ID、版本信息)、应用补丁(补丁ID)/应用避免措施(避免措施ID))。资产OS信息1109_b、资产应用程序信息1109_c中的应用避免措施(避免措施ID)也可以是措施实施设定。
攻击可否判定部107基于与判定对象攻击对应的关联攻击信息1105和与判定对象攻击对应的资产信息1109,通过处理装置,判断作为攻击的对象的资产是否使用了受影响的产品。
具体而言,攻击可否判定部107通过处理装置判定受攻击信息1104_b的影响的产品的信息“产品ID、版本信息、补丁ID”与资产OS信息1109_b的“OS(产品ID、版本信息)、应用补丁(补丁ID)”是否相符,或者是否与资产应用程序信息1109_c的“应用程序(产品ID、版本信息)、应用补丁(补丁ID)”相符。
即,“产品ID、版本信息、补丁ID”是攻击信息1104_b、资产OS信息1109_b、资产应用程序信息1109_c均包含的信息,因此,关于是否存在相符的信息,只要取得产品ID、版本信息、补丁ID的匹配,即可判断。
攻击可否判定部107在判断为作为攻击的对象的资产使用了受影响的产品的情况下(S107_2:是),使处理进入S107_3。在攻击可否判定部107判断为作为攻击的对象的资产未使用受影响的产品的情况下(S107_2:否),使处理进入S107_9。
在S107_3中,攻击可否判定部107通过处理装置判断针对关联攻击信息1105(与攻击情景要素1104_e相符)中包含的攻击标识信息1104_a所标识的攻击是否存在补丁。
其是通过在关联攻击信息1105(与攻击情景要素1104_e相符)中包含的对策信息1104_d的信息中是否存在补丁ID来判断的。
攻击可否判定部107在判断为存在补丁ID的情况下(S107_3:是),使处理进入S107_4。在攻击可否判定部107判断为不存在补丁ID的情况下(S107_3:否),使处理进入S107_5。
在S107_4中,攻击可否判定部107通过处理装置判断针对关联攻击信息1105(与攻击情景要素1104_e相符)中包含的攻击标识信息1104_a所标识的攻击是否应用了补丁。
其是通过关联攻击信息1105(与攻击情景要素1104_e相符)中包含的对策信息1104_d的信息中的补丁ID是否与资产信息1109的资产OS信息1109_b或资产应用程序信息1109_c中的补丁ID一致来判断的。
在攻击可否判定部107判断为补丁ID一致的情况下(S107_4:是),使处理进入S107_9。攻击可否判定部107在判断为补丁ID不一致的情况下(S107_4:否),使处理进入S107_5。
在S107_5中,攻击可否判定部107通过处理装置判断针对关联攻击信息1105(与攻击情景要素1104_e相符)中包含的攻击标识信息1104_a所标识的攻击是否存在避免措施。
其是通过在关联攻击信息1105(与攻击情景要素1104_e相符)中包含的对策信息1104_d的信息中是否存在避免措施ID来判断的。
攻击可否判定部107在判断为存在避免措施ID的情况下(S107_5:是),使处理进入S107_6。攻击可否判定部107在判断为不存在避免措施ID的情况下(S107_5:否),使处理进入S107_7。
在S107_6中,攻击可否判定部107通过处理装置判断作为攻击对象的资产是否实施了在S107_5中判断为存在的避免措施。
其是通过在资产信息1109中包含的资产OS信息1109_b或资产应用程序信息1109_c中,应用避免措施(避免措施ID)与在S107_5中标识出的避免措施ID是否一致来判断的。
攻击可否判定部107在判断为避免措施ID一致的情况下(S107_6:是),使处理进入S107_9。攻击可否判定部107在判断为避免措施ID不一致的情况下(S107_6:否),使处理进入S107_7。
在S107_7中,攻击可否判定部107通过处理装置判断作为攻击对象的资产是否是通过关联攻击信息1105(与攻击情景要素1104_e相符)中包含的攻击标识信息1104_a标识的攻击所需的执行权限执行的。
其可以通过处理装置判定攻击情景要素1104_e中包含的攻击信息1104_b的所需的执行权限与资产信息1109的资产执行信息1109_d的执行权限是否一致来得到。
在对攻击情景要素1104_e中包含的攻击信息1104_b和资产信息1109的资产执行信息1109_d授予执行权限的情况下,对执行权限的各个类型赋予ID(标识符),由此,执行权限的比较变得容易。
攻击可否判定部107在判断为执行权限一致的情况下(S107_7:是),使处理进入S107_8。攻击可否判定部107在判断为执行权限不一致的情况下(S107_7:否),使处理进入S107_9。
最后,在S107_8中,攻击可否判定部107作出“攻击成功”这样的判断。
此外,在S107_9中,攻击可否判定部107作出“攻击不成功”这样的判断。
以上,结束了基于攻击可否判定部107进行的攻击可否判定处理的说明。
如上所述,攻击可否判定部107执行图8所示的攻击可否判定处理,来执行攻击成功或攻击不成功的判断。
攻击可否判定部107在判断为攻击成功的情况下,生成日志检索信息1113,并将其输出到时刻表检索部1010。
攻击可否判定部107生成作为以下的信息的日志检索信息1113。
攻击可否判定部107根据关联攻击信息1105中的“间隔2:1104_s2”,计算攻击情景要素3下一次发生的时期。例如,如果在警告信息1201中通知的攻击(攻击情景要素2)的日期时间(攻击发生日期时间)为“2012/09/24,09:00:00”,“间隔2:1104_s2”为“24小时”,则计算出“2012/09/25,09:00:00”作为攻击发生预想日期时间。
攻击可否判定部107根据攻击发生预想日期时间和资产信息1109中的资产标识信息1109_a,生成检索日志的命令。
例如,从防火墙日志中检索对该资产的访问的情况下的防火墙日志检索命令为如下这样。
假定在判定对象攻击中,在防火墙日志中发生一部分拒绝(deny)。假设该信息被记录在作为攻击情景要素3的构成要素的攻击信息1104_b的关键词中。
<防火墙日志检索命令>
(a)检索条件:“攻击发生预想日期时间”and“IP地址(对应资产)为目的地地址”and“关键词(防火墙、拒绝)”
(b)检索对象日志:防火墙日志
此外,在检索在判定对象攻击中作为攻击的对象的资产的资产日志的情况下,资产日志检索命令为如下这样。
假定在判定对象攻击中在OS的日志中发生了注册表的改写。该信息记录在作为攻击情景要素3的构成要素的攻击信息1104_b中。
<资产日志检索命令>
(a)检索条件:“攻击发生预想日期时间”and“(“IP地址”or“MAC地址”or“资产ID”)(均为相符资产)”and“关键词(OS、registry(注册表)、modify(改写))”。
(b)检索对象日志:相符资产的日志(OS、应用程序等)。
如上所述,攻击可否判定部107将在攻击发生预想日期时间能够掌握对相符资产的访问、相符资产上的OS或应用程序的状况的日志作为对象,生成日志检索信息1113。
日志检索信息1113为上述防火墙日志检索命令、资产日志检索命令等。
攻击可否判定部107将生成的日志检索信息1113输出到时刻表检索部1010。
时刻表检索部1010从攻击可否判定部107输入日志检索信息1113。
此外,时刻表检索部1010输入检索时刻表条件1205。
检索时刻表条件1205是通过时刻表指定由日志分析装置903进行检索的情况下的条件。例如,从攻击发生预想日期时间起经过1小时,可以指定检索日志等条件。
此处,假设在检索时刻表条件1205中什么都不指定。
时刻表检索部1010输入日志检索信息1113和检索时刻表条件1205,将日志检索信息1113和检索时刻表条件1205转换为日志分析装置903能够解释的检索命令1114。时刻表检索部1010将转换后的检索命令1114输出到外部协作部(检索)1011。
外部协作部(检索)1011输入检索命令1114,将输入的检索命令1114作为检索命令1208,发送给存在于日志分析协作装置1的外部的日志分析装置903(日志分析系统)。该处理相当于与图1的(4)时刻表检索915。
日志分析装置903接收检索命令1208。日志分析装置903根据接收到的检索命令1208,按攻击发生预想日期时间来执行检索。该处理相当于与图1的(5)时刻表检索916。
日志分析装置903将是否根据时刻表检索检索出条目(有/无条目)作为检索结果1209发送给日志分析协作装置1。
日志分析协作装置1的外部协作部(检索)1011从日志分析装置903接收检索结果1209。外部协作部(检索)1011将接收到的检索结果1209作为检索结果1115输出到时刻表检索部1010。时刻表检索部1010例如作成以下这样的消息(检索结果1116)。
<检索结果1116>
(消息)“2012/09/25,09:00:00,在资产X中检测出攻击3”
攻击3是与攻击情景要素3对应的攻击的信息,是根据攻击情景而预想在攻击发生预想日期时间发生的攻击。资产X是受到攻击情景要素3的攻击的资产。
上述消息能够根据日志检索信息1113来生成。
时刻表检索部1010将上述消息作为检索结果1116输出到输出部1012。
输出部1012将检索结果1116作为检测结果1210显示在日志分析协作装置1的显示画面的GUI等中。
通过GUI显示该消息的、日志分析协作装置1的操作者能够向日志分析装置903(图3)的操作者进行如下指示:基于该消息使用日志分析装置903详细地分析日志或者作成报告等。
如上所述,在本实施方式的日志分析协作系统1000中,以SIEM装置902(SIEM系统)中能够检测到的攻击为基点,针对日志分析协作装置1(日志分析协作系统)下一次可能发生的攻击,使用攻击情景,求出攻击发生的预想日期时间。进而,日志分析协作装置1基于攻击发生的预想日期时间,对日志分析装置903(日志分析系统)进行时刻表检索,由此,起到能够高效地通过日志分析装置903(日志分析系统)检索攻击的迹象这样的效果。
实施方式2.
在本实施方式中,主要对实施方式1的差异进行说明。
图9是示出本实施方式的日志分析协作装置1的结构和动作的概要的图。图9是与图1对应的图,对于与图1相同的功能结构,标注相同的标号,省略其说明。
在本实施方式中,对移动设备905等那样因资源制约的关系而不能始终实施日志收集的情况下的日志分析方法的方式进行说明。
如图9所示,关于本实施方式的日志分析协作装置1的结构和动作,与实施方式1的差异是,增加了时刻表收集部108、外部协作部(收集)109和收集时刻表条件1204的使用。
与从输入部101起到攻击可否判定部107为止的处理和从输入部101起到攻击可否判定部107为止的处理相关的各信息和实施方式1相同,因此省略其说明。
攻击可否判定部107除了朝向日志检索信息1113的时刻表检索部1010进行输出以外,还将日志收集信息1110输出到时刻表收集部108。
攻击可否判定部107生成作为以下的信息的日志收集信息1110。攻击可否判定部107例如也可以输入收集时刻表条件1204,基于输入的收集时刻表条件1204,生成日志收集信息1110。
首先,攻击可否判定部107根据关联攻击信息1105中的“间隔2:1104_s2”,计算下一次攻击情景要素3发生的时期。例如,在警告信息1201中通知的攻击(攻击情景要素2)的日期时间(攻击发生日期时间)为“2012/09/24,09:00:00”,如果“间隔2:1104_s2”为“24小时”,则计算出“2012/09/25,09:00:00”作为攻击发生预想日期时间。
此外,攻击可否判定部107生成根据攻击发生预想日期时间和资产信息1109中的资产标识信息1109_a来收集日志的命令(日志收集命令)。
例如,日志收集命令为如下这样。
(a)收集条件:攻击发生预想日期时间。
(b)检索对象日志:“IP地址”or“MAC地址”or“资产ID”(均为相符资产)
攻击可否判定部107生成上述那样日志收集命令作为日志收集信息1110。
此外,收集时刻表条件1204例如是如下这样的附加条件:收集攻击发生预想日期时间的前后1小时的日志。收集时刻表条件1204进一步对日志收集信息1110增加条件。在该情况下,时刻表收集部108以如下方式加工日志收集信息1110。
(a)收集条件:攻击发生预想日期时间正负1小时。
(b)检索对象日志:“IP地址”or“MAC地址”or“资产ID”(均为相符资产)。
在攻击可否判定部107将日志收集信息1110输出到时刻表收集部108时,时刻表收集部108将日志收集信息1110转换为日志分析装置903能够解释的收集命令1111,并输出到外部协作部(收集)109。
外部协作部(收集)109向存在于日志分析协作装置1的外部的日志分析装置903发送收集命令1206。该处理相当于与图1的(4)’时刻表收集915’。
日志分析装置903根据接收到的收集命令1206,向日志记录器901发出指示,以在攻击发生预想日期时间(攻击发生预想日期时间的前后1小时)从相符资产执行日志收集(时刻表收集)。该处理相当于图1的(5)’时刻表收集916’。
日志记录器901通过时刻表收集,仅在攻击发生预想日期时间(攻击发生预想日期时间的前后1小时)从移动设备905收集日志。该处理相当于图1的(5)”时刻表收集916”、(6)”日志917”。
日志记录器901将收集日志的结果作为日志917”通知给日志分析装置903。日志分析装置903将从日志记录器901通知的日志917”作为收集结果1207发送给日志分析协作装置1。
日志分析协作装置1的外部协作部(收集)109输入收集结果1207,将其作为收集结果1112输出到时刻表收集部108。
通过以上那样的时刻表收集部108的处理,从移动设备905将日志时刻表收集到日志记录器901中。此后,执行实施方式1中的时刻表检索部1010、外部协作部(检索)1011、输出部1012的处理。
在本实施方式中,日志记录器901具有对移动设备905进行日志的收集的功能,例如考虑如下机制:在移动设备905中安装日志收集用代理,日志记录器901向移动设备905的日志收集用代理发出日志发送命令,由此,使日志记录器901发送移动设备905的日志。这样的机制可以使用现有技术,日志收集的机制不限于代理方式,也可以是非代理方式。此外,也可以是直接向日志记录器901发送收集命令1206那样的方式。
在本实施方式中,对于不能始终日志收集的移动设备仅收集此时分析所需的日志,因此,具有能够进行日志收集而不会对移动设备施加负担的效果。
实施方式3.
在本实施方式中,主要使用图9,对与实施方式1、2的差异进行说明。
在实施方式1中,对未对检索时刻表条件1205进行任何指定的情况进行说明。在本实施方式中,对如下方式进行说明:作为检索时刻表条件1205,例如通过如下这样进行指定,能够增加检索的变化。
时刻表检索部1010输入指定了“从攻击发生预想日期时间的前1小时起到攻击发生预想日期时间为止来进行检索”或“检索攻击发生预想日期时间的前后1小时”等条件来作为检索时刻表条件1205。
这些指定通过时刻表检索部1010反映到日志检索信息1113的检索条件中,生成检索命令1114。
此外,在判明在检索结果1115中未检索出条目的情况下,也可以指定进一步延长时刻表检索的指示作为预先检索时刻表条件1205。
例如,时刻表检索部1010输入检索时刻表条件1205,该检索时刻表条件1205指定“当在第1次检索结果1115中未检索出条目的情况下,每m小时进行n次相同的时刻表检索”。在该情况下,时刻表检索部1010将“m小时n次”这样的条件反映到检索条件的检索日期时间中,生成检索命令1114。
具体而言,当在检索时刻表条件1205中指定了“在第1次检索结果1115中未检索出条目的情况下,每1小时进行2次相同的时刻表检索”的情况下,执行如下(a)~(c)的时刻表检索。
(a)最初的检索的检索日期时间:2012/09/25,09:00:00。
(b)第2次检索的检索日期时间:2012/09/25、10:00:00。
(c)第3次检索的检索日期时间:2012/09/25、11:00:00。
此外,当在关联攻击提取条件1203中指定了“在检测出的攻击之前发生的攻击”的情况下,关联攻击提取部104从攻击情景1104提取可能在检测出的攻击之前发生的攻击的信息。在该情况下,检索时刻表条件1205以如下方式进行指定。由此,时刻表检索部1010(期间指定分析请求部)能够针对有可能在检测出的攻击之前发生的攻击的迹象,向日志分析装置903发送检索命令1114(检索命令1208),来请求检索。
例如,假设由SIEM装置902检测出的攻击(由警告信息1201’通知的攻击)与“攻击情景要素2:1104_e2”相符(参照图5)。在该情况下,“攻击情景要素1:1104_e1”(前次攻击)有可能在“攻击情景要素2:1104_e2”的攻击的发生日期时间的“间隔1:1104_s1”(前次发生间隔)之前的日期时间发生。
假设“间隔1:1104_s1”为“24小时”。利用该信息,例如在检索时刻表条件1205中,指定比警告信息1201’中的日期时间(攻击发生日期时间:2012/09/24,09:00:00)提前24小时的日期时间作为检索日期时间。即,在检索时刻表条件1205中,指定“检索2012/09/23,09:00:00”。
不过,在该情况下,由于是已经过去的时间段的检索,因此,指示为不通过调度方式(scheduling)进行检索,而立刻进行检索。
此外,用于检索的关键词等指定是与实施方式1相同的考虑方式,从攻击情景要素1:1104_e1(前阶段的攻击)引用。
攻击情景DB检索部103、关联攻击提取部104、资产DB检索部106、攻击可否判定部107是前次攻击信息取得部的一例。
在本实施方式中,通过指定检索时刻表条件1205,能够使检索日期时间具有范围,或者能够指定第1次检索中未检索出条目的情况之后的检索方法,其结果是,具有如下即使在偏离攻击发生预想日期时间的情况下也能够对应的效果。此外,从日志中调查检测出的攻击的前阶段的攻击的迹象,因此,通过参照攻击情景,利用攻击发生日期时间和攻击的间隔,能够将检索对象的时期指定为适当的过去时期,且能够针对相符的过去的攻击的迹象来检索日志。
实施方式4.
在本实施方式中,主要对与实施方式1~3的差异进行说明。
对于与在实施方式1~3中说明的功能结构相同的功能结构,有时标注相同的标号,省略其说明。
在本实施方式中,关于从SIEM装置902输出的警告信息1201’的攻击,预想会通过冒充进行的非法访问为预想下一次要发生的攻击,对该情况下的对策进行说明。
在APT中,有时使用“通过基于密码哈希的冒充进行的非法访问”。
“通过基于密码哈希的冒充进行的非法访问”为如下攻击。
在各种认证中,有时在存储器上缓存有密码的哈希或者在文件中保存有密码的哈希。如果盗取该密码的哈希,即使仅根据盗取的密码的哈希不能知晓密码自身,但有时冒充也会成功。
其恶意使用了如下情况:在认证中使用通过哈希对密码进行转换而得到的值的认证方式较多。黑客欲盗取该密码哈希而进行恶意使用,但是通常如果OS不以管理者权限工作,则恶意软件通常不能盗取密码哈希。
因此,在本实施方式中,对如下方式进行说明:在上述那样的预计要发生“通过基于密码哈希的冒充进行的非法访问”攻击的情况下,检测/防止恶意使用了密码哈希的冒充。
例如,在实施方式1中说明的预想的攻击(下次攻击)为“攻击情景要素3:1104_e3”,在“攻击情景要素3:1104_e3”中,“通过基于密码哈希的冒充进行的非法访问”如下这样进行定义。
<攻击情景要素3:1104_e3的内容>
(a)攻击标识信息1104_a:“攻击ID=1234”、“攻击类型=9(通过基于密码哈希的冒充进行的非法访问)”、“脆弱性ID=无”。
(b)攻击信息1104_b:“受影响的产品(产品ID=OS_○○○,版本信息=ver1、补丁ID=1、2、3、4、5)”、“所需的执行权限=管理者”、“关键词=无”、“其它信息=无”。
(c)对策标识信息ID1104_c:“对策ID=1234’”。
(d)对策信息1104_d:“补丁ID=无”、“避免措施ID=789”、“避免措施内容(停止管理者权限下的执行)”、“其它信息=无”。
在攻击标识信息1104_a的攻击类型中,赋予作为标识“通过基于密码哈希的冒充进行的非法访问”的ID的“9”。
此外,假设在攻击对象的资产X的资产信息1109中,攻击对象的资产的资产执行信息1109_d为“管理者”。
为了进行OS的补丁或应用程序的安装,往往需要管理者的权限,为了使方便性优先,有时以管理者权限执行。
图10是示出本实施方式的日志分析协作装置1的结构和动作的概要的图。图10是与图9对应的图,对于与图9相同的功能结构,标注相同的标号,省略其说明。
图10除了具有图9的结构,还具有外部协作部(对策)1071。
从输入部101起到资产DB检索部106为止的处理与在实施方式1中说明的内容相同,因此省略说明。
攻击可否判定部107在实施图8的攻击可否判定处理的流程时,在S107_7中,确认资产是以攻击所需的权限(管理者)执行的,因此,在S107_7中为“是”,成为S107_8的“攻击成功”的判断。
除了上述处理,在本实施方式中,在攻击类型为9“通过基于密码哈希的冒充进行的非法访问”的情况下,攻击可否判定部107还进行以下的处理。
在图10中,攻击可否判定部107生成以下的信息,输出到外部协作部(对策)1071。
(a)在权限变更命令1119:在资产X中,在以管理者权限执行的情况下,变更为以管理者权限以外的权限执行的命令。
(b)密码复位命令1117:变更资产X的管理者密码的命令。
外部协作部(对策)1071从攻击可否判定部107输入权限变更命令1119和密码复位命令1117。外部协作部(对策)1071将输入的权限变更命令1119转换为权限变更命令1211,并将输入的密码复位命令1117转换为密码复位命令1212,输出到日志分析协作装置1的外部。
监视对象系统具有认证服务器10(或者与认证服务器类似的管理系统)(认证装置)。认证服务器10通过认证信息来认证对监视对象系统、与监视对象系统连接的通信设备904、移动设备905等的访问权限。认证信息例如为用户ID、密码等。
外部协作部(对策)1071将权限变更命令1211和密码复位命令1212发送给管理系统整体的认证服务器10。
图11是示出本实施方式的认证服务器10的结构和动作的图。
如图11所示,认证服务器10从日志分析协作装置1接收权限变更命令1211,将相符的资产的执行权限变更为管理者以外(S1001)。认证服务器10具有根据输入的权限变更命令1211而将相符的资产的执行权限变更管理者以外的权限变更功能。
此外,如图11所示,认证服务器10具有密码复位装置11。认证服务器10从日志分析协作装置1输入密码复位命令1212,将输入的密码复位命令1212转换为密码复位命令8201,输入到密码复位装置11。
密码复位装置11在输入了密码复位命令8201时,生成用于使通信设备904的密码复位的复位用密码8203、密码复位通知字面内容8202。密码复位装置11将复位用密码8203、密码复位通知字面内容8202发送给通信设备904等(S1002、S1003)。后面,将对生成复位用密码8203和密码复位通知字面内容8202的处理的详细情况进行记述。
日志分析协作装置1的外部协作部(对策)1071将权限变更命令1119转换为上述权限变更功能所解释的权限变更命令1211。同样,外部协作部(对策)1071将密码复位命令1117转换为密码复位功能所解释的密码复位命令1212。
作为这样的权限变更功能、密码复位功能,例如,往往准备软件开发库等,或者公开了命令格式或通信方式。
将权限变更命令1211从外部协作部(对策)1071发送到认证服务器10(或者类似的管理系统)。认证服务器10使用权限变更功能,变更资产X的执行权限。
接下来,外部协作部(对策)1071将密码复位命令1212发送给认证服务器10(或者类似的管理系统)。
此时,在认证服务器10(或者类似的管理系统)中,按照该密码复位命令1212,调用安装有密码复位功能的模块。
在此,以下示出了接收密码复位命令1212并在认证服务器10(或者类似的管理系统)中调用的模块的处理。
该模块利用下述所示的复位用密码将资产X的管理者的密码复位,然后通过下述所示的字面内容将复位后的密码通知给用户。
此外,相符资产的密码的复位使用从认证服务器10(或者类似的管理系统)远程地执行的密码复位功能。
本实施方式的密码复位装置11具有用于密码复位的密码生成功能和通知复位后的密码的密码复位通知功能。
密码复位装置11为了进行密码的复位,执行如下处理。
(1)作为安全的密码,生成“pass_1”。
(2)针对作成的密码,应用预先准备的转换方法,生成新密码“pass_2”。
(3)使用转换后的密码“pass_2”,将相符资产的管理者的密码复位。
(4)将表示“pass_1”和在“(2)中应用的转换方法”的电子邮件发送给资产X的用户。
通过上述那样处理,在预计要发生“通过基于密码哈希的冒充进行的非法访问”攻击的情况下,在监视对象系统或监视对象设备中,自动地使密码复位,并将复位后的密码通过电子邮件等通知给用户。
图12是示出由本实施方式的密码复位装置11生成的电子邮件的图,(a)是电子邮件的一例,(b)是示出电子邮件的另一例的图。
图12(a)所示的“J9-n1*%4>^q”为“pass_1”。而且,“!J9-n1*%4>^q)”为“pass_2”。
如图12(a)所示,通过邮件的字面内容,指示:从“pass_1”到“pass_2”的转换方法(“在(2)中应用的转换方法”)为“请在下述的密码的紧前面追加‘!’,在末尾追加‘)’,来作为密码输入。”。
图13是示出本实施方式的密码复位装置11的结构和动作的图。
图12(a)所示的密码的复位字面内容是由图13所示的密码复位装置11生成的。
密码复位装置11具有密码生成部801、转换规则选择部802、转换参数值生成部803、文本模板选择部804、密码复位通知文本生成部805、转换规则文本模板DB806。
密码生成部801生成安全的密码。
转换规则选择部802选择转换密码生成部801生成的密码的规则。转换规则选择部802从转换规则文本模板DB806中检索并取得转换规则。
转换参数值生成部803生成在转换密码时使用的转换用参数。
文本模板选择部804从转换规则文本模板DB806中检索并取得与转换密码的规则成对的文本模板。
密码复位通知文本生成部805作成指示密码复位的文本,输出密码复位通知字面内容8202和复位用密码8203。
转换规则文本模板DB806是保存密码的转换规则与文本模板的对的DB。密码转换规则与文本模板的对(以下,记作密码转换规则+文本模板)通过标识该对的ID而如下这样进行保存/管理。
ID1:密码转换规则1+文本模板1
ID2:密码转换规则2+文本模板2
···
IDn:密码转换规则n+文本模板n
图14是示出本实施方式的密码复位装置11的复位用密码8203和密码复位通知字面内容8202的生成方法的图。
使用图13和图14,对密码复位装置11的动作进行说明。
密码复位装置11输入密码复位命令8201(认证服务器10(或者类似的管理系统)中的指示)。将输入的密码复位命令8201被输入到密码生成部801和转换规则选择部802。
密码生成部801利用规定的算法,生成安全的密码,并生成基本密码8101。
转换规则选择部802随机选择管理密码转换规则+文本模板的对的ID。例如,转换规则选择部802选择“ID1”。接下来,转换规则选择部802将选择出“ID1”发送给转换规则文本模板DB806,取得相符的条目、转换规则8106。
此处,如以下这样,根据与“ID1”对应的条目取得密码转换规则1。
ID1:密码转换规则1+文本模板1
转换规则选择部802将密码转换规则1作为密码转换规则8102输出到转换参数值生成部803。
此处,密码转换规则1记述为如下这样。
<密码转换规则1>
append
param1=top,’!’
param2=tail,’)’
接下来,转换参数值生成部803解析该密码转换规则1,如以下这样生成转换参数值8103(参照图14)。
append
param1=top,’!’
param2=tail,’)’
此处,param1和param2已经指定了值,因此,转换参数值生成部803将密码转换规则1直接作为转换参数值8103输出。
在参数中没有设定值的情况下,转换参数值生成部803在参数中设定值,生成参数值8103。
当在参数中没有设定值的情况下的转换参数值8103为如下这样。
append
param1=top,*
param2=tail,*
如上所述,当指定了在参数中没有设定值的情况下的转换参数值8103的情况下,转换参数值生成部803在这种情况下选择任意字符而填充。填充“*”。
例如,转换参数值生成部803如果选择’]’和’>’,则解释为
append
param1=top,’]’
param2=tail,’>’。
字符数只要为1字符以上即可。
在该情况下,复位用密码为“]J9-n1*%4>^q>”。
接下来,转换规则选择部802将选择出“ID1”作为ID8104输出到文本模板选择部804。
文本模板选择部804从转换规则选择部802输入ID8104(ID1)。文本模板选择部804使用输入的ID8104(ID1)来检索转换规则文本模板DB806。文本模板选择部804取得与ID8104(ID1)对应的文本模板1作为文本模板8107。此外,文本模板选择部804向密码复位通知文本生成部805输出取得的文本模板1。
此处,文本模板1记述为如下这样(参照图14)。
<文本模板1>
Instruction:
在下述的密码的where1中,do1value1,在where2中,do1value2,作为密码输入。
ToBeChanged:
where1、value1
where2、value2
do1
密码复位通知文本生成部805参照输入的转换参数值8103。
<转换参数值8103>
append
param1=top,’!’
param2=tail,’)’
此处,假设密码复位通知文本生成部805具有图14所示的转换表804a。
转换表804a例如记载了where的位置表示的变量和针对文本中的转换的对应。转换表804a例如记载有如下内容。
(a)top→起始:top转换为起始(图14*2)。
(b)tail→末尾:tail转换为末尾(图14*3)。
除了上述内容以外,例如指定以下的内容等(未示出)。
(c)1→从起始起第1个:1表示从起始起第1个。
(d)2→从起始起第2个:2表示从起始起第2个。
密码复位通知文本生成部805例如基于转换表804a,如下这样来解释上述转换参数值8103。
(1)由于是append,因此,将指定的值追加到指定的部位。
<指定的值>
根据param1,第1个:’!’
根据param2,第2个:’)’
<指定的部位>
根据param1,第1个:top→起始
根据param2,第2个:tail→末尾
进而,密码复位通知文本生成部805如下这样生成复位用的密码。
(1)针对基本密码8101(J9-n1*%4>^q)的复位用密码:“!J9-n1*%4>^q)”。
其在“J9-n1*%4>^q”的起始追加’!’,在末尾追加’)’。
接下来,密码复位通知文本生成部805参照输入的文本模板8105(文本模板1),以如下方式进行解释。
(1)Instruction:读取之后的字符串,解释为密码的转换指示的文本。
在下述的密码的where1中do1value1,在where2中do1value2,作为密码输入。
(2)确定ToBeChanged:的部位,逐行读入。
得到(where1、value1)、(where2、value2)、(do1)。
进而,密码复位通知文本生成部805解析以下内容。
在密码的转换指示的文本“在下述的密码的where1中do1value1,在where2中do1value2,作为密码输入”中,
利用表示第1个转换部位的字符串来置换与’where1’匹配的部位。
利用第1个转换用的值来置换与’value1’匹配的部位。
利用表示第2个转换部位的字符串来置换与’where2’匹配的部位。
利用第2个转换用的值来置换与’value2’匹配的部位。
利用表示转换方法的字符串置换的与’do1’匹配的部位。
接下来,密码复位通知文本生成部805参照转换参数值8103。
append
param1=top,’!’
param2=tail,’)’
该转换参数值8103已经如下这样解析。
(1)由于是append,因此,在指定的部位追加指定的值。
<指定的值>
根据param1,第1个:’!’
根据param2,第2个:’)’
<指定的部位>
根据param1,第1个:top→起始
根据param2,第2个:tail→末尾
由此,密码复位通知文本生成部805进行下一转换。
利用表示第1个转换部位的字符串置换与’where1’匹配的部位→起始’。
利用第1个转换用的值置换与’value1’匹配的部位→’!’。
其结果是,密码的转换指示的文本(以下,记作转换指示文本)如下这样进行转换。
转换指示文本:“在下述的密码的起始do1’!’,在where2中do1value2,作为密码输入”。
此处,“起始”和“’!’”为转换后的部分。
同样地,密码复位通知文本生成部805进行下一转换。
利用表示第2个转换部位的字符串置换与’where2’匹配的部位→’末尾’。
利用第2个转换用的值置换与’value2’匹配的部位→’)’。
其结果是,密码的转换指示文本转换为如下这样。
转换指示文本:“在下述的密码的起始处do1’!’,在末尾do1’)’,作为密码输入”。
此处,“末尾”和“’)’”为转换后的部分。
最后,密码复位通知文本生成部805进行下一转换。
利用作为转换指示的“append→’追加’”置换do1的部位。
其结果是,密码的转换指示文本转换为如下这样。
转换指示文本:“请在下述的密码的起始追加’!’,在末尾追加’)’,作为密码输入”。
此处,“追加”为转换后的部分。
密码复位通知文本生成部805最后在转换指示文本的末尾追加基本密码8101,最终如下这样生成密码复位文本(转换指示文本)(图12(参照a))。
转换指示文本:
在下述的密码的紧前面追加’!’,在末尾追加’)’,然后作为密码输入。
J9-n1*%4>^q
进而,密码复位通知文本生成部805将密码复位文本(转换指示文本)作为密码复位通知字面内容8202输出。此外,密码复位通知文本生成部805输出复位用密码8203。
认证服务器10(或者类似的管理系统)使用作为密码复位装置11的输出的复位用密码8203,将资产X的管理者用密码复位(图11的S1002)。
此外,认证服务器10(或者类似的管理系统)接收作为密码复位装置11的输出的密码复位通知字面内容8202,将密码复位通知字面内容8202作为邮件的字面内容,向资产X的用户发送电子邮件(图11的S1003)。
资产X的用户在接收到该电子邮件时,读取邮件的字面内容,按照指示,输入复位用密码作为复位后的密码。
也可以是,之后进一步由用户自身将密码复位。
接下来,对在密码复位装置11中密码复位处理的其它安装的方法进行说明。
如图12(b)所示,存在生成以下这样的字面内容来作为密码复位通知字面内容8202的方法。
图12(b)所示的邮件字面内容显示“与图像一致的动物的编号,在下述的密码的末尾追加其名字作为密码”,然后,显示基本密码“J9-n1*%4>^q”。此外,然后,附加鱼的图像,显示选择项“1.tiger(老虎)、2.snake(蛇)、3.fish(鱼)、4.Michel(米歇尔)”。鱼的图像和选择项的位置也可以颠倒。
在该情况下,在转换规则文本模板DB806中,如下进行管理。
ID1:密码转换规则g+文本模板g+图像模板g。
密码转换规则g为如下内容。
<密码转换规则g>
append
param1=tail,’fish’
文本模板g为如下内容。
<文本模板g>
Instruction:
选择与图像一致的动物的编号,在下述的密码的where1中do1其名字来作为密码。
ToBeChanged:
where1←value1为无。
do1
画像g为如下内容。
<画像g>
「鱼的图像」
「1.tiger(老虎)、2.snake(蛇)、3.fish(鱼)、4.Michel(米歇尔)」
密码生成部801、转换规则选择部802、转换参数值生成部803的处理与生成图12(a)的邮件的情况下的处理相同。
文本模板选择部804除了取得文本模板g以外,还取得图像模板g,并输出到密码复位通知文本生成部805。
密码复位通知文本生成部805与上述处理同样地,如下这样生成密码复位通知字面内容8202(转换指示文本)。不过,在文本模板g中,ToBeChanged的value1不存在,在Instruction的文本中也不存在与value1相当的部位,因此,不进行与该置换相关的处理。
密码复位通知文本生成部805在转换指示文本:“选择与图像一致的动物的编号,在下述的密码的末尾追加其名字作为密码”之后追加基本密码“J9-n1*%4>^q”。
接下来,密码复位通知文本生成部805在末尾追加图像模板g中的,’1.tiger、2.snake、3.fish、4.Michel’。
此外,密码复位通知文本生成部805在密码复位通知字面内容8202中附加鱼的图像。
如上所述,密码复位通知文本生成部805生成密码复位通知字面内容8202。此外,密码复位通知文本生成部805按照规则,生成“J9-n1*%4>^qfish”作为复位用密码8203。
上述方式是安装的一例,可考虑改变密码转换规则、文本模板的安装,或者改变针对基本密码的置换的方法,或者删除字符,或者将基本密码分割为一半而替换它们等各种密码生成方法。
如上述那样,对本实施方式的日志分析协作系统1000具有如下特征的情况进行说明。
在将来可能发生的攻击的信息中包含基于密码哈希进行的非法访问的情况下,日志分析协作装置向认证系统输出命令,该命令将基于管理者权限的资产的执行变更为基于其它权限的执行。
此外,日志分析协作装置通过在现有的认证系统中附加的装置生成新的管理者用密码,利用该密码,从认证系统将相符资产的密码复位。此外,利用邮件将通知复位后的密码的文章通知给相符资产的用户。此时,邮件的文章表示如下内容:“基本密码”、“基本密码的转换方法(文本)”、“对基本密码实施了由文本所示的转换方法后的密码是在复位中使用的密码”。
在上述密码生成方法中,特征部分在于“人如果不读取文本,则不能知晓密码生成方法”这点。恶意软件即使接收包含密码复位通知字面内容8202的邮件,也不能解释该转换规则,因此,防止了基于恶意软件进行的复位用密码的恶意使用。
如上所述,根据本实施方式的日志分析协作系统1000,在攻击情景中,在判断为将要发生通过基于密码哈希的冒充进行的非法访问的情况下,根据资产信息,调查攻击对象的资产的执行权限是否是管理者权限,在以管理者权限执行的情况下,经由认证服务器,将执行权限设为管理者权限以外,由此,具有防止密码哈希被恶意软件盗取而恶意使用于冒充的效果。
此外,根据本实施方式的日志分析协作系统1000,防止了冒充,因此,在将攻击对象的资产中的用户(管理者)的密码强制复位,利用邮件将该复位后的密码通知给攻击对象的资产中的用户(管理者)的情况下,如果人不能理解文章,则不能判断出复位后的密码,因此,具有如下效果:即使恶意软件获得密码的通知邮件,也不能知晓密码而不能恶意使用。
实施方式5.
在本实施方式中,主要对与实施方式1~4的差异进行说明。
对于与在实施方式1~4中说明的功能结构相同的功能结构,有时标注相同的标号,省略其说明。
在实施方式1~4中,对如下方式进行了说明:日志分析协作系统1000基于包含通过警告信息通知的攻击的攻击情景,按照预想发生攻击的时期从日志中检索将来可能发生的攻击的发生,或者针对攻击可能发生时期,从日志中检索过去可能发生攻击的迹象。
例如,考虑到:即使指定预想发生攻击的时期/可能发生攻击的时期来检索日志,也未检索出相符的攻击的迹象。
在本实施方式中,对如下处理进行说明:日志分析协作装置1在示出检索出的条目不存在的情况下,修正攻击情景1104,生成修正情景。
在图3的检索结果1209中不存在检索出的条目的情况下,日志分析协作装置1生成修正情景并追加到攻击情景DB1013中,其中,该生成修正情景是从此时参照的从攻击情景1104中删除向日志分析装置903请求检索的对象的攻击而得到的。
例如,对如下情况进行说明:在图5的攻击情景1104中,虽然进行日志的时刻表检索,但对“攻击情景要素3:1104_e3”未发现迹象。在该情况下,日志分析协作装置1从攻击情景1104中删除“攻击情景要素3:1104_e3”,生成新的攻击情景1104’。
新的攻击情景1104’为以下这样的内容。
攻击情景1104’:“1104_e1:攻击情景要素1→1104_s1:间隔1→1104_e2:攻击情景要素2”。
日志分析协作装置1将新生成的攻击情景1104’作为追加情景追加到攻击情景DB1013中。
此外,对如下情况进行说明:基于“1104_s2:间隔2”的值的预想发生攻击的时期实际上相对于在日志分析系统中检索出的时期靠前或靠后。
日志分析协作装置1可以将预想发生时期与实际发生时期的偏离反映(修正)到“1104_s2:间隔2”中,来修正攻击情景1104。例如,针对修正前“1104_s2:间隔2=24小时”的信息,以反映出预想发生时期与实际发生时期的偏离(例如24小时的偏差)的方式进行修正的结果是“1104_s2:间隔2=48小时”。
或者,也可以考虑预想发生时期与实际发生时期的偏离(例如24小时的偏差)而进行修正。在该情况下,以反映预想发生时期与实际发生时期的偏离(例如24小时的偏差)方式修正的结果可以是“1104_s2:间隔2=24~48小时”。
如上所述,根据本实施方式的日志分析协作系统1000,能够将预想发生时期与实际发生时期的偏离反映到攻击情景中,因此,能够执行精度高的时刻表检索。
实施方式6.
在本实施方式中,主要对与实施方式1~5的差异进行说明。
对于与在实施方式1~5中说明的功能结构相同的功能结构,有时标注相同的标号,省略其说明。
根据攻击的类型,有时关于攻击间隔的信息不明。在本实施方式中,记述使用在攻击情景1104中不包含间隔的情况下的情景的日志分析协作系统1000的动作。
在图5的攻击情景1104中,记述了间隔1:1104_s1、间隔2:1104_s2,而在本实施方式中,使用不包含间隔1、间隔2这样的攻击间的发生时间攻击情景1104。
即,在本实施方式中,攻击情景1104为以下这样。
攻击情景要素1:1104_e1→攻击情景要素2:1104_e2→攻击情景要素3:1104_e3。
以下,对实施方式1中的日志分析协作装置1的动作与本实施方式中的日志分析协作装置1的动作的差分进行说明。
在本实施方式中,在攻击情景中不包含间隔,因此,“攻击情景要素3:1104_e3”与关联攻击信息1105相符。
在实施方式1中,在日志检索信息1113中包含的攻击发生预想日期时间的生成中,使用了关联攻击信息1105中包含的间隔2,而在本实施方式中,没有“间隔”的信息。本实施方式的日志分析协作装置1在检索时刻表条件1205中,替代“间隔”的信息,而例如进行以下这样的指示。
<本实施方式的检索时刻表条件1205的具体例>
例1:“自攻击发生日期时间起,每m小时,按p小时的期间进行n次检索”。
例2:“自攻击发生日期时间起,1次检索,
第2次为第1次检索后1×m小时后p1小时的期间,
第3次为第2次检索后2×m小时后p2小时的期间,
第4次为第3次检索后3×m小时后p3小时的期间,
···同样进行n次检索”。在例2中,自检索到下一检索的期间逐渐变长。
例3:“自攻击发生日期时间起,1次检索,
第2次为第1次检索后1×m小时后的p1小时的期间,
第3次为第2次检索后2×m小时后的p2小时的期间,
第4次为第3次检索后4×m小时后的p3小时的期间,
···同样地进行n次检索”。在例3中,自检索起到下一检索为止的期间成倍地变长。
此外,p1、p2、p3可以相同,也可以不同。
此外,“自攻击发生日期时间起”这部分也可以置换为“自当前的时刻,”、“自现在之后的p小时起”、“自下一0时”等。
时刻表检索部1010接收这样进行时刻表检索的时期/期间/次数等信息作为检索时刻表条件1205,生成检索命令1114。
攻击发生预想日期时间是基于检索时刻表条件1205生成的。例如,当在检索时刻表条件1205中包含“自攻击发生日期时间起m小时”这样的条件的情况下,攻击发生预想日期时间为“攻击发生日期时间+m小时后”(以后m小时后)。
在本实施方式中,不在攻击可否判定部107中生成攻击发生预想日期时间,而在时刻表检索部1010中生成。因此,在实施方式1中,在攻击可否判定部107输出的日志检索信息1113中,包含检索的日期时间作为检索条件,而在本实施方式中不包含,由时刻表检索部1010生成/追加。
此外,在实施方式2中,攻击可否判定部107生成日志收集信息1110。在该日志收集信息1110中,包含基于攻击发生预想日期时间的收集条件作为收集条件。该攻击发生预想日期时间是基于攻击情景中包含的间隔计算出的。
另一方面,在本实施方式中,攻击发生预想日期时间是在时刻表收集部108中基于收集时刻表条件1204生成的。在该情况下,收集时刻表条件1204与本实施方式中的检索时刻表条件1205为相同的记述(“检索”这样的记述置换为“收集”)。
此外,也可以将本实施方式中的检索时刻表条件1205输入到攻击可否判定部107,攻击可否判定部107根据检索时刻表条件1205,计算用于检索的攻击发生预想日期时间。
此外,也可以将本实施方式中的收集时刻表条件1204输入到攻击可否判定部107,攻击可否判定部107根据收集时刻表条件1204计算用于收集的攻击发生预想日期时间。
此外,在上述例子中,将攻击发生日期时间设为未来,不过,在追溯过去而检索要发生的攻击或收集日志的情况下,只要将m(时间)指定为负值即可。
此外,在本实施方式中,示出了关联攻击信息1105中包含的攻击情景要素为“攻击情景要素3:1104_e3”的情况。
但是,例如,检索出的攻击情景1104有时为如以下这样,关联攻击信息1105中包含的攻击情景要素的数量为多个。
检索出的攻击情景1104:“攻击情景要素1:1104_e1→攻击情景要素2:1104_e2→攻击情景要素3:1104_e3→攻击情景要素4:1104_e4→攻击情景要素5:1104_e5”。
关联攻击信息1105中包含的攻击情景要素:“攻击情景要素3:1104_e3、攻击情景要素4:1104_e4、攻击情景要素5:1104_e5”。
即,关联攻击信息1105中包含的攻击情景要素为多个。
在该情况下,攻击可否判定部107、时刻表检索部1010、时刻表收集部108可以针对关联攻击信息1105中包含的这些多个攻击情景要素,进行与针对上述攻击情景要素3:1104_e3的处理相同的处理。
以下,示出处理的例子。
关联攻击信息1105中包含的攻击情景要素为多个,因此,对策信息1107、对策有无1107’通过安全对策检索部105返回与各攻击情景要素对应的内容。
攻击可否判定部107按照图8判定在由相符的资产信息1109所示的资产中是否发生各攻击情景要素中包含的攻击。
针对通过图8的处理判断为在由相符的资产信息1109所示的资产中发生的攻击情景要素,时刻表检索部1010执行日志检索。
接下来,对如下情况进行说明:判断为在相符的各资产信息1109所示的资产中发生攻击情景要素3:1104_e3、攻击情景要素4:1104_e4、攻击情景要素5:1104_e5中包含的各攻击。
首先,通过时刻表检索部1010,从日志中检索出与攻击情景要素3:1104_e3相符的攻击。然后,时刻表检索部1010将日志中记录的攻击情景要素3:1104_e3的攻击发生的日期时间作为攻击发生日期时间,应用进行检索时刻表条件1205中包含的时刻表检索的时期/期间/次数等,进一步对攻击情景要素4:1104_e4进行时刻表检索。
接下来,在从日志中检索出攻击情景要素4:1104_e4的情况下,时刻表检索部1010将发生了日志中记录的攻击情景要素4:1104_e4的攻击的日期时间作为攻击发生日期时间,应用进行检索时刻表条件1205中包含的时刻表检索的时期/期间/次数等,进一步对攻击情景要素5:1104_e5进行时刻表检索。
此外,时刻表检索部1010可以每当从日志中检索出各攻击情景要素时,将检索结果1116输出到输出部1012,也可以在检索出攻击情景要素5:1104_e5的情况下,汇总地输出全部检索结果。
在该情况下,关联攻击信息1105中包含的攻击情景要素为多个,时刻表收集部108可以与时刻表检索部1010的处理同样地,对有可能包含后续的攻击情景要素的日志进行时刻表收集。
此外,也可以是,在攻击可否判定部107判定为在攻击情景要素3:1104_e3、攻击情景要素4:1104_e4、攻击情景要素5:1104_e5中,仅发生了一部分的攻击情景要素攻击的情况下,将该判定为发生的攻击情景要素作为对象,由时刻表检索部1010进行处理。或者,与判定结果无关地,针对全部攻击情景要素3:1104_e3、攻击情景要素4:1104_e4、攻击情景要素5:1104_e5,由时刻表检索部1010进行处理。
如上所述,根据本实施方式的日志分析协作系统,即使所包含的攻击之间的发生间隔不明的攻击情景,在检索时刻表条件中,通过给出与检索时期或间隔相关的信息,能够计算攻击发生预想日期时间,进行时刻表检索。
此外,在收集时刻表条件中,通过给出与收集时期或间隔相关的信息,能够计算攻击发生预想日期时间,进行日志的时刻表收集。
实施方式7.
在本实施方式中,主要对与实施方式1~6的差异进行说明。
针对与在实施方式1~6中说明的功能结构相同的功能结构,有时标注相同的标号,省略其说明。
根据攻击的类型,间隔的信息或攻击之间联系有时是不明的。在本实施方式中,针对使用了如下情景的日志分析协作系统1000的动作进行记述:在攻击情景1104中,既不包含间隔,也不包含攻击之间的联系。
在图5的攻击情景1104中,作为间隔1:1104_s1、间隔2:1104_s2以及攻击之间的联系,通过→而依次记述,而在本实施方式中,使用了既不包含间隔1、间隔2这样的攻击间的发生时间也不包含攻击之间的联系的攻击情景1104。
即,攻击情景1104例如为以下这样。
攻击情景要素1:1104_e1、攻击情景要素2:1104_e2、攻击情景要素3:1104_e3、攻击情景要素4:1104_e4、攻击情景要素5:1104_e5。
这样,本实施方式的攻击情景1104表示以没有“间隔”且没有“→”的方式构成攻击情景的攻击组。
以下,对实施方式6中的日志分析协作装置1的动作的差分进行说明。
在本实施方式中,攻击情景DB检索部103将攻击标识信息1103(与实施方式1中的例子相同)输出到攻击情景DB1013,取得攻击情景1104。在该情况下,在攻击情景DB检索部103中,例如,针对作为攻击标识信息1103的构成要素的攻击ID而检索“攻击情景要素1104_e的攻击标识信息1104_a中包含的攻击情景”。
关联攻击提取部104输入攻击情景1104,通过处理装置对攻击情景1104进行分析。关联攻击提取部104提取与所通知的攻击情景1104中包含的攻击相关的信息。此时,关联攻击提取部104输入关联攻击提取条件1203。关联攻击提取条件1203为“除所通知的攻击以外的全部攻击”。
攻击情景1104为以下这样,警告信息1102中包含的攻击ID为攻击情景要素2:1104_e2的攻击ID。
“攻击情景要素1:1104_e1、攻击情景要素2:1104_e2、攻击情景要素3:1104_e3、攻击情景要素4:1104_e4、攻击情景要素5:1104_e5”。
由关联攻击提取部104提取出的关联攻击信息1105从攻击情景1104中除去了攻击情景要素2,成为以下这样。
“攻击情景要素1:1104_e1、攻击情景要素3:1104_e3、攻击情景要素4:1104_e4、攻击情景要素5:1104_e5”。
接下来,关联攻击提取部104、攻击可否判定部107、时刻表检索部1010、时刻表收集部108针对攻击情景要素1、攻击情景要素3、攻击情景要素4、攻击情景要素5,分别进行与实施方式6相同的处理。
即,在时刻表检索部1010中,针对各攻击情景要素,独立对攻击情景要素2:1104_e2的攻击发生日期时间应用检索时刻表条件1205所示的检索的时期/期间/次数,进行日志检索。进而,时刻表检索部1010输入针对各个攻击情景要素的检索结果1115。
此外,时刻表收集部108同样地进行日志的收集。
在本实施方式中,在检索时刻表条件1205中,例如添加了如下条件:“当在t小时以内由时刻表检索检索出攻击情景1104中的攻击情景要素的数量的s%的情况下,判断为进行了符合情景的攻击”。t可以是0、正(未来)、负(过去)或者正负(以攻击发生预想日期时间为基点的前后),也可以是0。
例如在s=60%、t=720的情况下,当在720小时(30日)以内检索出攻击情景要素1、攻击情景要素3、攻击情景要素4、攻击情景要素5中的任意一个两个以上(攻击情景要素2合计为3个以上)的情况下,时刻表检索部1010判断为进行符合攻击情景的攻击,并将检索结果1116输出到输出部1012。也可以与攻击进程的判断分开地,将每次检索结果作为检索结果1116输出。
或者也可以是,在检索时刻表条件1205中,如“当在t小时以内由时刻表检索检索出攻击情景1104中的攻击的s%的情况下,判断为进行符合情景的攻击,在相同的攻击为多次的情况也计数在内”所示那样,发出使多次检索出相同的攻击情景要素的情况也计数在内的指示。
如上所述,根据本实施方式的日志分析协作系统,针对所包含的攻击之间的发生间隔不明且之间的联系也不明的攻击情景,在检索时刻表条件中给出与检索时期或间隔相关的信息,将检索出攻击情景中包含的要素的一定个数作为攻击成立的条件,由此具有如下效果:针对符合情景的攻击,能够判断检索/攻击成立。
此外,根据本实施方式的日志分析协作系统,在收集时刻表条件中给出与收集时期或间隔相关的信息,由此,具有如下效果:能够计算攻击发生预想日期时间,进行日志的时刻表收集。在本实施方式中,在收集时刻表条件中给出的与收集时期或间隔相关的信息例如为“以攻击发生预想日期时间为基点的t小时以内”等信息,这点与实施方式6不同。
实施方式8.
在本实施方式中,主要对与实施方式1~7的差异进行说明。
针对与在实施方式1~7中说明的功能结构相同的功能结构,有时标注相同的标号,省略其说明。
在实施方式1中,攻击情景中的攻击对象为由警告信息1102表示的资产。但是,根据攻击,可能对其它资产进行攻击。
在本实施方式中,将目的地IP/Port、资产ID等作为资产检索信息1108的攻击目的地信息输入到资产DB检索部106,作为资产检索信息1108输出到资产DB1015的情况下,资产DB1015将关于从目的地IP或资产ID所示的资产以及能够从该目的地IP经由网络连接的其它资产的信息作为资产信息1109返回到资产DB检索部106。
当在资产检索信息1108示出了Port的情况下,资产DB1015返回使用该Port的资产的信息作为资产信息1109。
即,根据情况,资产信息1109为多个。
此外,资产DB1015也可以提取使用了与由目的地IP/Port、资产ID标识的资产相同的OS或应用程序(版本、补丁应用状态相同)的资产。
此外,资产DB检索部106可以输入关联攻击信息1105(未图示),根据所包含的攻击情景要素1104_e中的攻击信息1104_b中包含的受影响的产品(产品ID、版本信息、补丁ID)的信息等,将可能受到攻击的资产的信息包含在资产检索信息1108中,输出到资产DB1015。在该情况下,资产DB1015将使用了受到攻击影响的产品的资产作为作为资产信息1109输出。
此外,作为攻击信息1104_b中包含的关键词/其它信息,例如,在示出了认证服务器/文件服务器/DB服务器/路由器/开关这样的攻击对象的类型的情况下,资产DB1015可以基于其类型进行检索,输出资产信息1109。
此外,攻击情景要素1104_e可能为1个以上,因此,在该情况下针对各个攻击情景要素进行检索。
通过如上方式,能够得到作为接下来可能发生的攻击的对象的资产的信息。
进而,攻击可否判定部107针对1个以上的资产信息1109,分别进行与实施方式1相同的处理(攻击可否判定部107、时刻表检索部1010、时刻表收集部108、输出部1012)。
在本实施方式的日志分析协作装置1中,上述所示的例如“检索关于由目的地IP所示的资产和能够从该目的地IP连接的其它资产的信息”这样的条件作为资产检索条件(未图示)输入到资产DB检索部106。
如上所述,根据本实施方式的日志分析协作系统,除了能够检索受到了攻击的资产以外,还能够检索可能受到攻击的资产,因此具有如下效果:能够根据情景,针对可能受到攻击的资产,扩大日志检索的范围,降低日志检索的遗漏。
如上所述,在实施方式1~8中,对具有如下特征的日志分析协作系统1000进行了说明。
日志分析协作装置(日志分析系统)从SIEM装置(SIEM系统)接收攻击的检测。
日志分析协作装置参照从SIEM系统接收到的包含检测出的攻击的信息的攻击情景,提取该攻击情景所记载的将来可能发生的攻击的信息。
日志分析协作装置参照攻击对象的资产的资产信息,参照安全对策,与将来可能发生的攻击的信息进行对照,判定将来可能发生的攻击是否实际发生。
日志分析协作装置在判定为将来可能发生的攻击实际发生的情况下,指示日志分析系统,按时刻表方式执行如下命令:在预想的攻击发生时期,检索残留有攻击的迹象的日志。
日志分析协作装置根据攻击情景,取得过去有可能发生的攻击的信息,指示日志分析系统检索该迹象。
根据上述日志分析协作系统1000,在基于日志分析的APT(攻击)的检测/经过观察中,发挥SIEM系统和日志分析系统的特长,实现APT的检测/经过观察的效率化。因此,在日志分析协作系统1000中,将SIEM系统用于基于复杂/非多发的事件的相关分析进行的APT检测中。此外,针对后续的APT的攻击,按照APT攻击的情景,在后续的攻击的发生预想时期对日志分析系统进行时刻表检索,由此,能够实现日志分析的效率化。
此外,在实施方式1~8中,对具有如下特征的日志分析协作系统1000进行了说明。
在判定为将来可能发生的攻击实际发生的情况下,日志分析协作装置向日志分析系统(或者日志记录器等)输出如下命令:在预想的攻击发生时期收集残留有攻击的迹象的日志。
由此,即使在难以始终收集日志的设备中,也能够进行高效的日志收集。
此外,在这些实施方式中,记述了在安全对策DB1014或资产DB1015中检索出相符的条目的情况,但也存在相符的条目未登记的情况下或未检索出的情况。
在该情况下,可以设相符的对策有无1107’或资产信息1109为空,或者攻击可否判定部107将其作为发生了关联攻击信息1105而推进处理。也可以是,在关联攻击信息1105中包含多个攻击情景要素,针对一部分进行对策有无1107’或资产信息1109的检索而不对剩余的进行检索的情况下,针对未检索的攻击情景要素,作为发生了攻击而推进处理。
以上,对本发明的实施方式进行了说明,不过,也可以组合这些实施方式中的两个以上来实施。或者,也可以部分地实施这些实施方式中的1个。或者,也可以部分地组合这些实施方式中的两个以上来实施。此外,本发明不限于这些实施方式,也可以根据需要而进行各种变更。
标号说明
1 日志分析协作装置;10 认证服务器;11 密码复位装置;101 输入部;102 警告解释部;103 攻击情景DB检索部;104 关联攻击提取部;105 安全对策检索部;106 资产DB检索部;107 攻击可否判定部;108 时刻表收集部;109 外部协作部(收集);801 密码生成部;802 转换规则选择部;803 转换参数值生成部;804 文本模板选择部;804a 转换表;805密码复位通知文本生成部;806 转换规则文本模板DB;901 日志记录器;902 SIEM装置;903日志分析装置;904 通信设备;904a 计算机;904b 网络设备;904c 安全设备;905 移动设备;911 日志;912 检测规则;915、916 时刻表检索;917、918 检索结果;1000 日志分析协作系统;1010 时刻表检索部;1011 外部协作部(检索);1012 输出部;1013 攻击情景DB;1014 安全对策DB;1015 资产DB;1014 安全对策DB;1071 外部协作部(对策);1101 数据;1102 警告信息;1103 攻击标识信息;1104 攻击情景;1105 关联攻击信息;1106 关联攻击检索信息;1107 对策信息;1107’ 对策有无;1108 资产检索信息;1109 资产信息;1110 日志收集信息;1111 收集命令;1112 收集结果;1113 日志检索信息;1114 检索命令;1115检索结果;1116 检索结果;1117 密码复位命令;1119 权限变更命令;1201、1201’ 警告信息;1202 情景提取条件;1203 关联攻击提取条件;1204 收集时刻表条件;1205 检索时刻表条件;1206 收集命令;1207 收集结果;1208 检索命令;1209 检索结果;1211 权限变更命令;1212 密码复位命令;1901 LCD;1902 键盘;1903 鼠标;1904 FDD;1905 CDD;1906 打印机;1911 CPU;1912 总线;1913 ROM;1914 RAM;1915 通信板;1920 HDD;1921 操作系统;1922 视窗系统;1923 程序组;1924 文件组;8201 密码复位命令;8202 密码复位通知字面内容;8203 复位用密码。
Claims (16)
1.一种攻击分析系统,其具有:
日志收集装置,其收集与监视对象网络连接的设备的日志信息;
检测装置,其检测针对所述监视对象网络的攻击并发送包含发生了检测出的攻击的攻击发生时期的警告信息;
协作装置,其存储表示针对所述监视对象网络预计要发生的多个攻击的攻击情景信息,基于从所述检测装置接收到的所述警告信息和所述攻击情景信息,计算分析对象攻击的预计发生时期,发送作为对计算出的所述预计发生时期的所述日志信息进行分析的请求的时刻表分析请求,其中,该分析对象攻击是所述攻击情景信息中包含的所述多个攻击中的在所述攻击发生时期的之后的时期预计要发生的攻击,且为与所述检测出的攻击不同的攻击;以及
分析装置,其基于从所述协作装置发送的所述时刻表分析请求,对由所述日志收集装置收集的所述日志信息中的所述预计发生时期的所述日志信息进行分析。
2.根据权利要求1所述的攻击分析系统,其中,
所述协作装置具有:
攻击情景信息存储部,其预先将包含多个攻击标识符的所述攻击情景信息存储在存储装置中,其中,所述多个攻击标识符标识所述多个攻击中的各个攻击;以及
时刻表分析请求部,其基于从所述检测装置接收到的所述警告信息和由所述攻击情景信息存储部存储的所述攻击情景信息,通过处理装置来计算所述分析对象攻击预计要发生的预计发生时期,向所述分析装置发送时刻表分析请求,其中,该时刻表分析请求是对计算出的所述预计发生时期的所述日志信息进行分析的请求,
所述分析装置基于从所述协作装置的所述时刻表分析请求部发送的所述时刻表分析请求,对所述预计发生时期的所述日志信息进行分析。
3.根据权利要求2所述的攻击分析系统,其中,
所述协作装置具有下次攻击信息取得部,该下次攻击信息取得部从所述攻击情景信息中取得所述分析对象攻击的攻击标识符,
所述时刻表分析请求部将由所述下次攻击信息取得部取得的所述分析对象攻击的攻击标识符和所述预计发生时期包含在所述时刻表分析请求中进行发送,
所述分析装置基于从所述时刻表分析请求部发送的所述时刻表分析请求中包含的所述分析对象攻击的攻击标识符和所述预计发生时期,通过处理装置对所述预计发生时期的所述日志信息进行分析,判定在所述预计发生时期是否发生了所述分析对象攻击。
4.根据权利要求3所述的攻击分析系统,其中,
所述攻击情景信息存储部预先将所述攻击情景信息存储在存储装置中,其中,所述攻击情景信息包含所述多个攻击发生的序号和所述序号连续的两个攻击的发生间隔,
所述下次攻击信息取得部在从所述检测装置接收到所述警告信息时,基于接收到的所述警告信息和由所述攻击情景信息存储部存储的所述攻击情景信息,取得所述分析对象攻击的攻击标识符和下次发生间隔,所述分析对象攻击是由所述警告信息中包含的攻击标识符标识的攻击之后预计要发生的下次攻击,所述下次发生间隔是由所述警告信息中包含的攻击标识符标识的攻击与所述下次攻击之间的发生间隔,
所述时刻表分析请求部基于由所述下次攻击信息取得部取得的所述下次发生间隔和所述警告信息中包含的所述攻击发生时期,计算所述下次攻击预计要发生的所述预计发生时期。
5.根据权利要求4所述的攻击分析系统,其中,
所述协作装置具有:
前次攻击信息取得部,在从所述检测装置接收到所述警告信息时,该前次攻击信息取得部基于接收到的所述警告信息和由所述攻击情景信息存储部存储的所述攻击情景信息,取得前次攻击的攻击标识符和前次发生间隔,其中,所述前次攻击是所述攻击情景信息中包含的所述多个攻击中的有可能在由所述警告信息中包含的攻击标识符标识的攻击之前一次发生的攻击,所述前次发生间隔是所述前次攻击与由所述警告信息中包含的攻击标识符标识的攻击之间的发生间隔;以及,
期间指定分析请求部,其基于由所述前次攻击信息取得部取得的所述前次发生间隔和所述警告信息中包含的所述攻击发生时期,计算有可能发生所述前次攻击的发生可能时期,向所述分析装置发送作为对计算出的所述发生可能时期的所述日志信息进行分析的请求的期间指定分析请求,
所述分析装置基于从所述协作装置的所述期间指定分析请求部发送的所述期间指定分析请求,对所述发生可能时期的所述日志信息进行分析。
6.根据权利要求3所述的攻击分析系统,其中,
所述攻击情景信息存储部预先将包含所述多个攻击发生的序号的所述攻击情景信息存储在存储装置中,
所述下次攻击信息取得部在从所述检测装置接收到所述警告信息时,基于接收到的所述警告信息和由所述攻击情景信息存储部存储的所述攻击情景信息,将在由所述警告信息中包含的攻击标识符标识的攻击之后预计要发生的下次攻击作为所述分析对象攻击,取得所述分析对象攻击的攻击标识符,
所述时刻表分析请求部输入用于计算所述预计发生时期的检索时刻表条件,基于输入的检索时刻表条件和所述攻击发生时期,计算所述预计发生时期。
7.根据权利要求6所述的攻击分析系统,其中,
所述时刻表分析请求部输入包含以所述攻击发生时期为基点的检索时期和检索间隔的所述检索时刻表条件。
8.根据权利要求3所述的攻击分析系统,其中,
所述下次攻击信息取得部在从所述检测装置接收到所述警告信息时,基于接收到的所述警告信息和由所述攻击情景信息存储部存储的所述攻击情景信息,将由所述警告信息中包含的攻击标识符标识的攻击以外的攻击作为所述分析对象攻击,取得所述分析对象攻击的攻击标识符,
所述时刻表分析请求部输入用于计算所述预计发生时期的检索时刻表条件,基于输入的检索时刻表条件和所述攻击发生时期,计算所述预计发生时期。
9.根据权利要求8所述的攻击分析系统,其中,
所述时刻表分析请求部输入所述检索时刻表条件,该检索时刻表条件包含以所述攻击发生时期为基点的检索时期,且包含用于判定发生了所述分析对象攻击的判定条件,
所述时刻表分析请求部还将所述判定条件包含在所述时刻表分析请求中进行发送,
所述分析装置基于从所述时刻表分析请求部发送的所述时刻表分析请求中包含的所述分析对象攻击的攻击标识符、所述预计发生时期和所述判定条件,判定在所述预计发生时期是否发生了所述分析对象攻击。
10.根据权利要求6~9中的任意一项所述的攻击分析系统,其中,
所述警告信息还包含攻击对象资产的信息,该攻击对象资产是作为所述检测出的攻击的对象的资产,
所述下次攻击信息取得部进一步基于所述警告信息和由所述攻击情景信息存储部存储的所述攻击情景信息,提取由所述警告信息中包含的攻击标识符标识的攻击的攻击对象资产的信息,并且,使所述分析对象攻击中包含以对象关联资产为攻击对象的关联攻击,其中,所述对象关联资产是与提取出的所述攻击对象资产的信息相关联的资产的信息。
11.根据权利要求2~9中的任意一项所述的攻击分析系统,其中,
所述监视对象网络在所述日志收集装置接收到日志收集命令的情况下,连接待由所述日志收集装置收集日志的特定的设备,
所述时刻表分析请求部在向所述分析装置发送所述时刻表分析请求之前,向所述日志收集装置发送所述日志收集命令,该日志收集命令是收集所述特定的设备的所述预计发生时期的日志的命令,
所述日志收集装置在从所述时刻表分析请求部接收到所述日志收集命令时,基于接收到的所述日志收集命令,收集所述特定的设备的所述预计发生时期的日志,将收集的日志作为特定设备日志信息存储在存储装置中,并且,向所述协作装置发送针对所述日志收集命令的日志收集应答,
所述时刻表分析请求部在从所述日志收集装置接收到所述日志收集应答时,向所述分析装置发送特定设备分析请求,该特定设备分析请求是对所述预计发生时期的所述特定设备日志信息进行分析的请求。
12.根据权利要求4或5所述的攻击分析系统,其中,
所述下次攻击信息取得部通过处理装置,判定在由从所述检测装置接收到的所述警告信息中包含的攻击标识符标识的攻击之后预计要发生的下次攻击是否成功,在判定为所述下次攻击成功的情况下,取得所述下次攻击的攻击标识符与所述下次发生间隔。
13.根据权利要求12所述的攻击分析系统,其中,
所述监视对象网络具有认证装置,该认证装置通过认证信息认证对所述设备的访问权限,
所述下次攻击信息取得部在判定为所述下次攻击成功的情况下,通过处理装置判定所述下次攻击是否是通过冒充进行的非法访问,在判定为所述下次攻击是通过冒充进行的非法访问的情况下,向所述认证装置发送作为变更对所述设备的访问权限的请求的权限变更请求。
14.根据权利要求13所述的攻击分析系统,其中,
所述认证装置使用密码作为所述认证信息来进行认证,
所述下次攻击信息取得部在判定为所述下次攻击是通过冒充进行的非法访问的情况下,还向所述认证装置发送作为变更所述密码的请求的密码变更请求。
15.一种协作装置,其是攻击分析系统具有的协作装置,该攻击分析系统具有:日志收集装置,其收集与监视对象网络连接的设备的日志信息;检测装置,其检测针对所述监视对象网络的攻击并发送包含发生了检测出的攻击的攻击发生时期的警告信息;以及分析装置,其分析由所述日志收集装置收集的所述日志信息,其中:
所述协作装置存储表示针对所述监视对象网络预计要发生的多个攻击的攻击情景信息,基于从所述检测装置接收到的所述警告信息和所述攻击情景信息,计算分析对象攻击的预计发生时期,向所述分析装置发送时刻表分析请求,该时刻表分析请求是对计算出的所述预计发生时期的所述日志信息进行分析的请求,其中,该分析对象攻击是所述攻击情景信息中包含的所述多个攻击中的在所述攻击发生时期的之后的时期预计要发生的攻击,且为与所述检测出的攻击不同的攻击。
16.一种攻击分析协作方法,该攻击分析协作方法是攻击分析系统的攻击分析协作方法,该攻击分析系统具有:
日志收集装置,其收集与监视对象网络连接的设备的日志信息;
检测装置,其检测针对所述监视对象网络的攻击并发送包含发生了检测出的攻击的攻击发生时期的警告信息;
分析装置,其分析由所述日志收集装置收集的所述日志信息;以及
协作装置,其存储表示针对所述监视对象网络预计要发生的多个攻击的攻击情景信息,
所述协作装置基于从所述检测装置接收到的所述警告信息和所述攻击情景信息,计算分析对象攻击的预计发生时期,发送作为对计算出的所述预计发生时期的所述日志信息进行分析的请求的时刻表分析请求,其中,该分析对象攻击是所述攻击情景信息中包含的所述多个攻击中的在所述攻击发生时期的之后的时期预计要发生的攻击,且为与所述检测出的攻击不同的攻击,
所述分析装置基于从所述协作装置发送的所述时刻表分析请求,对由所述日志收集装置收集的所述日志信息中的所述预计发生时期的所述日志信息进行分析。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013-008724 | 2013-01-21 | ||
JP2013008724 | 2013-01-21 | ||
PCT/JP2013/080252 WO2014112185A1 (ja) | 2013-01-21 | 2013-11-08 | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104937605A CN104937605A (zh) | 2015-09-23 |
CN104937605B true CN104937605B (zh) | 2018-08-28 |
Family
ID=51209297
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380070764.1A Expired - Fee Related CN104937605B (zh) | 2013-01-21 | 2013-11-08 | 攻击分析系统、协作装置、攻击分析协作方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US9853994B2 (zh) |
EP (1) | EP2947595A4 (zh) |
JP (1) | JP5972401B2 (zh) |
CN (1) | CN104937605B (zh) |
WO (1) | WO2014112185A1 (zh) |
Families Citing this family (37)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10367827B2 (en) * | 2013-12-19 | 2019-07-30 | Splunk Inc. | Using network locations obtained from multiple threat lists to evaluate network data or machine data |
WO2015128896A1 (ja) * | 2014-02-26 | 2015-09-03 | 三菱電機株式会社 | 攻撃検知装置、攻撃検知方法、及び攻撃検知プログラム |
US10721267B1 (en) * | 2014-07-18 | 2020-07-21 | NortonLifeLock Inc. | Systems and methods for detecting system attacks |
JP6294847B2 (ja) * | 2015-03-12 | 2018-03-14 | 株式会社日立製作所 | ログ管理制御システムおよびログ管理制御方法 |
JP6285390B2 (ja) * | 2015-04-22 | 2018-02-28 | 株式会社日立製作所 | サイバー攻撃分析装置及びサイバー攻撃分析方法 |
US10454963B1 (en) * | 2015-07-31 | 2019-10-22 | Tripwire, Inc. | Historical exploit and vulnerability detection |
US9853940B2 (en) * | 2015-09-24 | 2017-12-26 | Microsoft Technology Licensing, Llc | Passive web application firewall |
JP6328595B2 (ja) * | 2015-09-29 | 2018-05-23 | 東芝テック株式会社 | 情報処理装置及びプログラム |
JP6714337B2 (ja) | 2015-10-16 | 2020-06-24 | キヤノン株式会社 | 情報処理装置、情報処理方法およびプログラム |
WO2017131622A1 (en) | 2016-01-25 | 2017-08-03 | Hewlett-Packard Development Company, L.P. | Notice of intrusion into firmware |
US10528725B2 (en) * | 2016-11-04 | 2020-01-07 | Microsoft Technology Licensing, Llc | IoT security service |
JP6903901B2 (ja) * | 2016-11-28 | 2021-07-14 | 富士通株式会社 | 攻撃検知装置、攻撃検知プログラム及び攻撃検知方法 |
JP6656211B2 (ja) * | 2017-08-02 | 2020-03-04 | 三菱電機株式会社 | 情報処理装置、情報処理方法及び情報処理プログラム |
US10708292B2 (en) * | 2017-11-28 | 2020-07-07 | Aetna Inc. | Vulnerability contextualization |
JP6824151B2 (ja) * | 2017-12-26 | 2021-02-03 | 三菱電機株式会社 | インシデント対応支援装置 |
JPWO2019181005A1 (ja) * | 2018-03-19 | 2021-03-11 | 日本電気株式会社 | 脅威分析システム、脅威分析方法および脅威分析プログラム |
JP6921776B2 (ja) * | 2018-03-22 | 2021-08-18 | 株式会社日立製作所 | インシデント検知システムおよびその方法 |
JP7213626B2 (ja) * | 2018-06-20 | 2023-01-27 | 三菱電機株式会社 | セキュリティ対策検討ツール |
JP7019533B2 (ja) * | 2018-08-17 | 2022-02-15 | 三菱電機株式会社 | 攻撃検知装置、攻撃検知システム、攻撃検知方法および攻撃検知プログラム |
KR102254142B1 (ko) * | 2018-10-02 | 2021-05-20 | 국방과학연구소 | 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 방법 및 장치 |
CN111224928B (zh) * | 2018-11-26 | 2021-11-30 | 中国移动通信集团辽宁有限公司 | 网络攻击行为的预测方法、装置、设备及存储介质 |
CN109784043A (zh) * | 2018-12-29 | 2019-05-21 | 北京奇安信科技有限公司 | 攻击事件还原方法、装置、电子设备及存储介质 |
US11405413B2 (en) | 2019-02-01 | 2022-08-02 | Microsoft Technology Licensing, Llc | Anomaly lookup for cyber security hunting |
WO2020183615A1 (ja) * | 2019-03-12 | 2020-09-17 | 三菱電機株式会社 | 攻撃推定装置、攻撃制御方法、および攻撃推定プログラム |
JP7202932B2 (ja) * | 2019-03-14 | 2023-01-12 | 三菱電機株式会社 | サイバー攻撃検知装置 |
CN112087414A (zh) * | 2019-06-14 | 2020-12-15 | 北京奇虎科技有限公司 | 挖矿木马的检测方法及装置 |
US11336682B2 (en) * | 2019-07-09 | 2022-05-17 | Nice Ltd. | System and method for generating and implementing a real-time multi-factor authentication policy across multiple channels |
US11632386B2 (en) * | 2019-07-19 | 2023-04-18 | Rochester Institute Of Technology | Cyberattack forecasting using predictive information |
US11290473B2 (en) | 2019-08-08 | 2022-03-29 | Microsoft Technology Licensing, Llc | Automatic generation of detection alerts |
JP7296470B2 (ja) * | 2019-10-29 | 2023-06-22 | 日立Astemo株式会社 | 分析装置及び分析方法 |
US10917401B1 (en) | 2020-03-24 | 2021-02-09 | Imperva, Inc. | Data leakage prevention over application programming interface |
US11652833B2 (en) | 2020-07-24 | 2023-05-16 | Microsoft Technology Licensing, Llc | Detection of anomalous count of new entities |
CN112187719B (zh) * | 2020-08-31 | 2023-04-14 | 新浪技术(中国)有限公司 | 被攻击服务器的信息获取方法、装置和电子设备 |
CN112114995B (zh) * | 2020-09-29 | 2023-12-12 | 中科安信(山西)科技有限公司 | 基于进程的终端异常分析方法、装置、设备及存储介质 |
CN112738071B (zh) * | 2020-12-25 | 2023-07-28 | 中能融合智慧科技有限公司 | 一种攻击链拓扑的构建方法及装置 |
CN113259361B (zh) * | 2021-05-20 | 2022-03-22 | 常州皓焱信息科技有限公司 | 互联网安全数据处理方法及系统 |
CN114301712B (zh) * | 2021-12-31 | 2023-04-07 | 西安交通大学 | 一种基于图方法的工业互联网告警日志关联分析方法及系统 |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
IL152502A0 (en) | 2000-04-28 | 2003-05-29 | Internet Security Systems Inc | Method and system for managing computer security information |
US9027121B2 (en) * | 2000-10-10 | 2015-05-05 | International Business Machines Corporation | Method and system for creating a record for one or more computer security incidents |
WO2003100619A1 (fr) | 2002-05-28 | 2003-12-04 | Fujitsu Limited | Dispositif, programme et procede de detection d'acces non autorise |
JP2006504178A (ja) | 2002-10-22 | 2006-02-02 | ウンホ チェ | Itインフラにおける総合侵害事故対応システムおよびその動作方法 |
JP2004318552A (ja) * | 2003-04-17 | 2004-11-11 | Kddi Corp | Idsログ分析支援装置、idsログ分析支援方法及びidsログ分析支援プログラム |
JP3999188B2 (ja) * | 2003-10-28 | 2007-10-31 | 富士通株式会社 | 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム |
JP4371905B2 (ja) * | 2004-05-27 | 2009-11-25 | 富士通株式会社 | 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置 |
US7594270B2 (en) | 2004-12-29 | 2009-09-22 | Alert Logic, Inc. | Threat scoring system and method for intrusion detection security networks |
US7716739B1 (en) * | 2005-07-20 | 2010-05-11 | Symantec Corporation | Subjective and statistical event tracking incident management system |
US8191149B2 (en) | 2006-11-13 | 2012-05-29 | Electronics And Telecommunications Research Institute | System and method for predicting cyber threat |
US7865954B1 (en) * | 2007-08-24 | 2011-01-04 | Louisiana Tech Research Foundation; A Division Of Louisiana Tech University Foundation, Inc. | Method to detect SYN flood attack |
KR100935861B1 (ko) * | 2007-11-12 | 2010-01-07 | 한국전자통신연구원 | 네트워크 보안 위험도 예측 방법 및 장치 |
-
2013
- 2013-11-08 EP EP13872002.4A patent/EP2947595A4/en not_active Withdrawn
- 2013-11-08 CN CN201380070764.1A patent/CN104937605B/zh not_active Expired - Fee Related
- 2013-11-08 US US14/433,560 patent/US9853994B2/en active Active
- 2013-11-08 WO PCT/JP2013/080252 patent/WO2014112185A1/ja active Application Filing
- 2013-11-08 JP JP2014557329A patent/JP5972401B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP5972401B2 (ja) | 2016-08-17 |
US20150256554A1 (en) | 2015-09-10 |
EP2947595A4 (en) | 2016-06-08 |
EP2947595A1 (en) | 2015-11-25 |
US9853994B2 (en) | 2017-12-26 |
WO2014112185A1 (ja) | 2014-07-24 |
JPWO2014112185A1 (ja) | 2017-01-19 |
CN104937605A (zh) | 2015-09-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104937605B (zh) | 攻击分析系统、协作装置、攻击分析协作方法 | |
US11831785B2 (en) | Systems and methods for digital certificate security | |
Stone-Gross et al. | Your botnet is my botnet: analysis of a botnet takeover | |
US9009829B2 (en) | Methods, systems, and media for baiting inside attackers | |
US7260844B1 (en) | Threat detection in a network security system | |
CN108780485A (zh) | 基于模式匹配的数据集提取 | |
CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
JP5144488B2 (ja) | 情報処理システムおよびプログラム | |
US20100058479A1 (en) | Method and system for combating malware with keystroke logging functionality | |
CN107612924A (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
JP2008257577A (ja) | セキュリティ診断システム、方法およびプログラム | |
CN101473314B (zh) | 在不可信机器上输入机密信息 | |
CN110855659A (zh) | redis蜜罐部署系统 | |
JP5413010B2 (ja) | 分析装置、分析方法およびプログラム | |
Halderman | Practical attacks on real-world e-voting | |
Ussath et al. | Pushing the limits of cyber threat intelligence: extending STIX to support complex patterns | |
WO2023053101A1 (en) | Systems and methods for malicious code neutralization in execution environments | |
JP5656266B2 (ja) | ブラックリスト抽出装置、抽出方法および抽出プログラム | |
Ostrovskaya et al. | Practical Memory Forensics: Jumpstart effective forensic analysis of volatile memory | |
Karlzén | An Analysis of Security Information and Event Management Systems-The Use or SIEMs for Log Collection, Management and Analysis | |
US20180285776A1 (en) | Network activity identification and characterization based on characteristic active directory (ad) event segments | |
KR102186212B1 (ko) | 공격 분류 맵 제공 장치 | |
Bakshi et al. | Improving threat detection capabilities in windows endpoints with osquery | |
CN114697057B (zh) | 获取编排剧本信息的方法、装置及存储介质 | |
CN115118456A (zh) | 一种内网web应用的未知攻击的确定方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180828 Termination date: 20201108 |
|
CF01 | Termination of patent right due to non-payment of annual fee |