CN105683987B - 信息处理装置和信息处理方法 - Google Patents
信息处理装置和信息处理方法 Download PDFInfo
- Publication number
- CN105683987B CN105683987B CN201380080452.9A CN201380080452A CN105683987B CN 105683987 B CN105683987 B CN 105683987B CN 201380080452 A CN201380080452 A CN 201380080452A CN 105683987 B CN105683987 B CN 105683987B
- Authority
- CN
- China
- Prior art keywords
- event
- information
- attack
- session information
- events
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
攻击活动定义信息数据库(111)针对多个事件存储攻击活动定义信息,该事件阶段信息记述有在进行针对信息系统的攻击的过程中被信息系统观测到的事件、作为观测到事件的前提条件的事先条件、作为观测到事件后的现象的达成现象。事件接收部(108)接收通知由信息系统观测到的观测事件的观测事件通知信息。攻击活动预测部(105)从记述有由观测事件通知信息所通知的观测事件的攻击活动定义信息中取得达成现象,根据记述有与所取得的观测事件的达成现象对应的事先条件的攻击活动定义信息,提取预测为今后被信息系统观测到的事件。
Description
技术领域
本发明涉及检测针对信息系统的攻击的技术。
背景技术
由以往的IDS(Intrusion Detection SyStem:入侵检测系统)所代表的攻击检测系统在单一的事件产生的时刻判断为进行了针对信息系统的攻击。
但是,近年来,终端被恶意软件接替,恶意软件冒充终端的用户进行的攻击正成为主流。
因此,近来,仅利用单一的事件判定为进行了针对信息系统的攻击变得困难。
已提出了如下的方式:在利用单一的事件难以判定是否进行了攻击的情况下,对预测因一系列的攻击活动而产生的情况的事件序列(攻击场景)进行定义,在以与攻击场景一致的方式产生了事件的情况下,视为进行了攻击(例如专利文献1)。
并且,提出了如下的方式:定义以想检测的攻击现象为根、以在攻击现象的前级可能产生的现象为节或叶的逻辑树,将所产生的现象映射在逻辑树上,在其结果为攻击现象成立的情况下视为进行了攻击(例如专利文献2)。
并且,还提出如下的方式:针对来自入侵检测装置的攻击通知,定义了事先条件和结果,在出现多个攻击通知时,在先出现的攻击通知的结果满足后续的攻击通知的事先条件时,视为与这些攻击通知存在关联(例如非专利文献1)。
现有技术文献
专利文献
专利文献1:日本专利第4020912号
专利文献2:日本特开2006-350543
非专利文献
非专利文献1:Ning,Peng,Yun Cui,and DouglaS S.ReeveS.“ConStructingattack ScenarioS through correlation of intruSion alertS.”ProceedingS of the9th ACM conference on Computer and communicationS Security.ACM,2002.
发明内容
发明要解决的课题
但是,在例如专利文献1所示的攻击检测系统中,需要事先定义作为攻击判定基准的攻击场景。
关于可能产生的攻击场景,由于稍微更换攻击的顺序或假定的攻击手法就会产生无数,因此,网罗所有的攻击场景很困难。
并且,在因导入新的监视对象装置或发现新的攻击手法等而导致产生的事件追加的情况下,存在必须对现有的所有场景施加变更的课题。
并且,专利文献2所示的攻击检测系统也在产生的事件追加的情况下,存在必须对现有的逻辑树施加变更的课题。
在非专利文献1的方法中,虽然不存在这些制约,但还残留如下这样的课题。
为了检测冒充用户进行的攻击,有时必须实施偶尔对监视对象装置非常施加负荷的监视、或可能产生大量的错误检测的监视。
由于始终实施这样的监视需要计算机成本或者运营成本,因此并不现实。
因此,优选仅限于无论如何都需要监视的情况(如果监视则能够检测事件的可能性较高的情况)、且尽量限定监视对象(例如将监视对象锁定于确定的终端)进行这样的监视。
但是,在非专利文献1中,由于不会预测接下来可能出现怎样的攻击通知,因此无法这样地根据需要变更监视设定。
本发明的主要目的在于,解决上述这样的课题,实现如下的结构:即使不事先准备攻击场景或逻辑树,也可以预测今后由信息系统观测的事件。
用于解决课题的手段
本发明的信息处理装置的特征在于,具有:事件阶段信息存储部,其针对多个事件存储事件阶段信息,该事件阶段信息记述有在进行针对信息系统的攻击的过程中被所述信息系统观测到的事件、作为观测所述事件前的攻击的进展阶段的事件前阶段、和作为观测到所述事件后的攻击的进展阶段的事件后阶段;观测事件通知信息接收部,其接收通知被所述信息系统观测到的观测事件的观测事件通知信息;以及观测预测事件提取部,其从所述事件阶段信息存储部中检索记述有由所述观测事件通知信息通知的观测事件的事件阶段信息,从检索出的事件阶段信息取得所述观测事件的事件后阶段,从所述事件阶段信息存储部中检索记述有与所取得的所述观测事件的事件后阶段对应的事件前阶段的事件阶段信息,根据检索出的事件阶段信息提取预测为今后被所述信息系统观测到的事件作为观测预测事件。
发明效果
在本发明中,检索记述有观测事件的事件阶段信息,从检索出的事件阶段信息取得观测事件的事件后阶段,检索记述有与观测事件的事件后阶段对应的事件前阶段的事件阶段信息,根据检索出的事件阶段信息提取预测为由信息系统今后观测的事件。
因此,即使事先不准备攻击场景或逻辑树,也能够预测由信息系统今后观测的事件。
附图说明
图1是示出实施方式1的系统结构例的图。
图2是示出实施方式1的攻击检测装置的结构例的图。
图3是示出实施方式1的攻击预测方式的概要的图。
图4是示出实施方式1的攻击活动定义信息的例子的图。
图5是示出实施方式1的攻击活动定义信息的例子的图。
图6是示出实施方式1的攻击活动状况信息的例子的图。
图7是示出实施方式1的攻击检测装置的动作例的流程图。
图8是示出实施方式1的达成现象数据库的例子的图。
图9是示出实施方式1的推论规则数据库的例子图。
图10是示出实施方式1的攻击活动状况信息检索处理的详细情况的流程图。
图11是示出实施方式1的检索子程序的详细情况的流程图。
图12是示出实施方式1的检索子程序的详细情况的流程图。
图13是示出实施方式1的事先条件未达信息删除处理的详细情况的流程图。
图14是示出实施方式1的攻击产生判定处理的详细情况的流程图。
图15是示出实施方式1的达成现象计算/登记处理的详细情况的流程图。
图16是示出实施方式1的派生达成现象计算处理的详细情况的流程图。
图17是示出实施方式1的攻击活动预测处理的详细情况的流程图。
图18是示出实施方式1的可执行活动探索处理的详细情况的流程图。
图19是示出实施方式1的可执行活动探索处理的详细情况的流程图。
图20是示出实施方式1的攻击检测装置的硬件结构例的图。
图21是示出实施方式2的攻击活动定义信息的例子的图。
图22是示出实施方式2的事先条件未达信息删除处理的详细情况的流程图。
图23是示出实施方式3的系统结构例的图。
图24是示出实施方式3的事先条件未达信息删除处理的详细情况的流程图。
图25是示出实施方式3的事先条件未达信息删除处理的详细情况的流程图。
图26是示出实施方式3的过去事件检索处理的详细情况的流程图。
图27是示出实施方式3的过去事件检索处理的详细情况的流程图。
图28是示出实施方式4的系统结构例的图。
图29是示出实施方式5的系统结构例的图。
图30是示出实施方式2的事件序列的图。
具体实施方式
实施方式1.
在本实施方式中,对即使不事先网罗性地准备攻击场景或树也能够在一系列的攻击活动产生的情况下检测攻击的攻击检测装置进行说明。
并且,对在因导入新的监视装置或发现新的攻击手法等而使产生的事件追加的情况下也能够灵活地应对的攻击检测装置进行说明。
此外,对能够仅在必要时进行对于始终实施而言成本较高的监视的攻击检测装置进行说明。
图1是示出本实施方式的系统结构例。
在图1中,攻击检测装置101经由网络123与作为构成信息系统的设备的监视对象装置连接。
攻击检测装置101相当于信息处理装置的例子。
在图1中,作为例子,攻击检测装置101与两台监视对象装置116、119连接,但与攻击检测装置101连接的监视对象装置的台数不限于两台。
作为监视对象装置,可考虑IDS、防火墙、认证服务器、文件服务器、SIEM(SecurityInformation Event Management:安全信息事件管理)等,但监视对象装置不限于此。
在各监视对象装置内包含如下的功能:生成用于通知监视对象装置观测到的事件(也称为观测事件)的观测事件通知信息的功能(事件生成部118、121);以及将所生成的观测事件通知信息发送给攻击检测装置101的功能(事件发送部117、120)。
另外,监视对象装置观测到的事件还包括在监视对象装置内产生的事件。
即,观测事件通知信息还通知在监视对象内产生的事件。
图2示出攻击检测装置101的结构例。
事件接收部108接收从监视对象装置116、119发送来的观测事件通知信息。
另外,以下也将“接收观测事件通知信息”表述为“接收事件”。
攻击活动状况信息检索部107根据接收到的观测事件通知信息,检索或新生成相应的攻击活动状况信息(后述)。
攻击产生判定部106根据与观测事件对应的攻击活动状况信息,判定是否产生攻击。
在判定的结果是判断为进行了针对信息系统的攻击的情况下,攻击产生判定部106通过显示部115向用户通知进行了攻击的内容。
攻击活动预测部105根据接收到的观测事件通知信息,如果观测事件是作为一系列攻击的1个步骤而执行的,则预测可能被信息系统(监视对象装置116、119)今后观测到的事件(观测预测事件)。
攻击活动预测部105预测的事件由攻击活动候选存储部104存储。
推论实施部103由攻击活动预测部105等调用,实施谓词逻辑等的推论运算。
达成现象计算/登记部102根据记述有观测事件的攻击活动状况信息的记述内容,利用谓词逻辑式生成达成现象,将所生成的达成现象登记于达成现象数据库109。
由管理者预先在推论规则数据库110中存储推论规则。
在推论规则中记述有推论逻辑,推论实施部103参照推论逻辑实施推论。
攻击活动定义信息数据库111存储有定义被称为攻击活动定义信息(后述)的攻击活动的信息。
攻击活动定义信息相当于事件阶段信息的例子。
在结构信息数据库112中存储有结构信息,该结构信息是关于信息系统的结构的信息。
在结构信息中记述有例如主机名与IP(Internet Protocol)地址的对应关系、或用户名与用户所属的组的对应关系等。
结构信息/推论规则编辑部113登记并且更新结构信息数据库112、推论规则数据库110的内容。
攻击活动定义信息编辑部114提供用于追加/删除/修正攻击活动定义信息数据库111内的攻击活动定义信息的用户接口。
事件生成设定变更部122为了检测预测出的事件,向监视对象装置116、119请求变更监视设定。
另外,攻击活动候选存储部104和攻击活动定义信息数据库111相当于事件阶段信息存储部的例子。
并且,达成现象数据库109相当于阶段存储部的例子。
并且,事件接收部108相当于观测事件通知信息接收部的例子。
并且,推论实施部103、攻击活动预测部105、攻击产生判定部106、攻击活动状况信息检索部107、事件生成设定变更部122相当于观测预测事件提取部的例子。
并且,攻击活动预测部105也相当于事件阶段信息加工部的例子。
接下来,对本实施方式的动作进行说明。
攻击检测装置101在根据从监视对象装置116、119发送的观测事件通知信息假定为因攻击而产生了观测事件的情况下,预测接下来可能被监视对象装置116、119观测到的事件。
并且,在一定次数以上预测成为现实的情况下,攻击检测装置101视为产生了攻击。
以下,使用图3、图4和图5对事件的预测方式的概况进行说明。
图3是示出本实施方式的事件预测方式的概要的图。
图中的要素201~206表示攻击活动定义信息。
图4和图5示出攻击活动定义信息的例子。
如图4的攻击活动定义信息301那样,攻击活动定义信息由事先条件303、事件304、达成现象308、攻击概率309构成。
并且,如图5的攻击活动定义信息302那样,攻击活动定义信息有时包含监视设定317。
在事先条件303中以谓词逻辑的形式记述了在产生攻击时产生事件304的前提条件。
即,在事先条件303中记述有观测到事件304前的攻击的进展阶段(事件前阶段)。
例如,图4的标号310所示的谓词逻辑表示作为事先条件是“A登录到H”的阶段。
另外,标号310表示的A、H是变量,根据从观测事件得到的值等被约束为具体的值(例如“user001”等)。
事件304是在进行针对信息系统的攻击的过程中被信息系统观测到的事件。
针对事件304定义了事件产生源305、事件类别306、事件参数307。
事件产生源305表示以攻击活动定义信息301为对象的事件产生源。
标号311表示作为产生源允许的值,在该例中,通过变量H,与事先条件310相关联(位于“$H”的开头的美元标记($)表示H为变量)。
事件类别306指定了以攻击活动定义信息301为对象的事件的类别。
具体的事件类别如标号312那样被指定。
事件参数307表示事件的参数。
在事件参数307中,指定了以攻击活动定义信息301为对象的值。
在图4所示的例中,要求USER这样的名称的参数采用与标号310所示的变量A相同的值。
在观测事件通知信息中,与图4的攻击活动定义信息301同样地通知事件产生源、事件类别、事件参数。
在图4的攻击活动定义信息301中,没有确定事件产生源305、事件参数307的各变量的值,但在观测事件通知信息中,确定了事件产生源、事件参数的各变量的值。
达成现象308在产生了与攻击活动定义信息301的标号305~307的项目一致的事件时,用谓词逻辑表示攻击者达成的事件。
即,在达成现象308中记述有观测到与标号305~307的项目一致的事件之后的攻击的进展阶段(事件后阶段)。
在图4的例中,表示是“用户A取得主机H的机密”的阶段。
攻击概率309表示与攻击活动定义信息301的标号305~307的项目一致的事件产生时的针对信息系统的攻击的概率。
在图4的例子中如标号315所示,将概率值定义为0.5。
另外,如图5的标号316所示,下划线(“_”)一字符所表示的变量表示可采用任意的值。
图5的监视设定317由指令318、监视对象装置319、启动概率323以及指令参数320构成。
指令318是用于使监视对象装置变更监视设定以便观测由攻击活动定义信息302定义的事件的指令。
监视对象装置319指定指令的发送目的地的监视对象装置。
在指令的发送目的地的监视对象装置由变量表示的情况下,选择满足后续的谓词逻辑(322)的值。
启动概率323表示为了变更监视设定而所需最低限的累积的攻击概率值(后述)。
启动概率323是用于使监视对象装置开始规定的监视操作的阈值,相当于监视操作开始阈值的例子。
指令参数320是赋予给指令的参数信息。
具体的的信息如标号321所示那样由名称=值指定。
返回图3,对本实施方式的攻击预测方式进行说明。
图3示出被监视对象装置116或者监视对象装置119观测到与记述在攻击活动定义信息205中的事件220匹配的事件的状况。
如果观测到与事件220匹配的事件,则攻击检测装置101对记述有与观测到的事件相同的事件220的攻击活动定义信息205进行检索。
接下来,攻击检测装置101检索依赖于记述在检索出的攻击活动定义信息205中的达成现象的其它攻击活动定义信息。
这里,攻击活动定义信息A依赖于攻击活动定义信息B是指攻击活动定义信息B的达成现象满足攻击活动定义信息A的事先条件的一部分或者全部。
即,攻击活动定义信息A依赖于攻击活动定义信息B是指攻击活动定义信息B的达成现象作为事先条件记述在攻击活动定义信息A中。
在图3中,用实线箭头207~211表示这样的依赖关系。
具体而言,攻击活动定义信息204仅依赖于攻击活动定义信息205。
并且,攻击活动定义信息201依赖于攻击活动定义信息202和攻击活动定义信息205。
并且,攻击活动定义信息202依赖于攻击活动定义信息203和攻击活动定义信息206。
另外,虚线箭头212~216表示攻击检测装置101的攻击活动定义信息的检索方向。
攻击检测装置101检索到依赖于在攻击活动定义信息205中记述的达成现象的其它攻击活动定义信息201、204时,接下来,针对各个攻击活动定义信息201、204,分别确认是否已经满足所有的事先条件。
在攻击活动定义信息204中,由于除了通过观测到的事件得到的达成现象以外不存在事先条件,因此,满足所有的事先条件。
然后,攻击检测装置101提取在攻击活动定义信息204中记载的事件219作为接下来可能产生的事件(观测预测事件)之一。
另一方面,在攻击活动定义信息201中,由于除了通过观测到事件得到的达成现象以外存在事先条件,因此,不满足所有的事先条件。
然后,攻击检测装置101检索定义了满足所不满足的事先条件的达成现象的攻击活动定义信息(在图3的例子中,是攻击活动定义信息202)。
此外,攻击检测装置101确认攻击活动定义信息202的事先条件是否全部满足。
在图3的例子中,攻击活动定义信息202的事先条件有2个,2个事先条件都不满足。
因此,攻击检测装置101检索定义了满足各个事先条件的达成现象的攻击活动定义信息(在图3的例子中,是攻击活动定义信息203和攻击活动定义信息206)。
攻击检测装置101这样递归地检索攻击活动定义信息,在找出已经满足所有的事先条件的攻击活动定义信息之后,提取由该攻击活动定义信息定义的事件作为接下来可能产生的事件(观测预测事件)(在图3中提取事件217和事件218)。
提取出的事件记述在后述的攻击活动状况信息中,攻击活动状况信息保持在攻击检测装置101内。
接下来,参照图6对攻击活动状况信息进行说明。
如图6所示,攻击活动状况信息401由攻击活动定义信息402、已约束变量信息403、累积攻击概率404构成。
攻击活动定义信息402与图4、图5所示的攻击活动定义信息相同。
已约束变量信息403是存储有攻击活动定义信息中的各变量被约束的值(变量值)的表。
已约束变量信息403由变量名405与约束值406这2列构成。
在累积攻击概率404中存储有生成攻击活动状况信息401的时刻的累积的攻击概率值。
如图6所示,在攻击活动状况信息401中,与事件关联的约束值(变量值)和累积的攻击概率值对应于攻击活动定义信息402(事件阶段信息)。
一边参照图7一边更具体地对本发明本实施方式的攻击检测装置101的动作进行说明。
图7是示出本实施方式的攻击检测装置101的动作的概要的流程图。
在S502中,事件接收部108从监视对象装置接收观测事件通知信息。
如上所述,在观测事件通知信息中,与图4的攻击活动定义信息301的事件产生源305、事件类别306、事件参数307对应地确定事件产生源、事件类别、事件参数的值。
接下来,在S503中,攻击活动状况信息检索部107在攻击活动候选存储部104内检索与观测事件通知信息所通知的观测事件(事件类别、事件产生源、事件参数)一致的攻击活动状况信息401。
具体而言,攻击活动状况信息检索部107检索这样的攻击活动状况信息401:与观测事件通知信息通知的观测事件的事件类别一致的事件类别记述在攻击活动定义信息402的事件类别(图4的事件类别305)的栏中,与确定观测事件通知信息通知的观测事件的变量值(事件产生源的变量值和事件参数的变量值)一致的变量值记述在已约束变量信息403中。
另外,在与观测事件一致的攻击活动状况信息401不存在于攻击活动候选存储部104内的情况下,攻击活动状况信息检索部107检索记述有该观测事件的事件类别的攻击活动定义信息。
然后,攻击活动状况信息检索部107针对检索出的攻击活动定义信息将由观测事件通知信息通知的事件产生源的变量值和事件参数的变量值设定在已约束变量信息403中,生成新的攻击活动状况信息。
在S504中,攻击产生判定部106使由攻击活动状况信息401内的攻击活动定义信息402记述的攻击概率的值(相当于图4的攻击概率309)与攻击活动状况信息401的累积攻击概率404的值相加,更新累积攻击概率404的值。
在S505中,攻击产生判定部106对在S503中更新的累积攻击概率404的值和攻击判定阈值进行比较。
在累积攻击概率404的值比攻击判定阈值大的情况下,在S506中,攻击产生判定部106通过显示部115向用户通知攻击的产生。
S507以后的处理是用于对接下来可能产生的事件进行预测的处理。
在S507中,攻击活动状况信息检索部107根据攻击活动状况信息401内的达成现象和已约束变量信息求出由在S503中得到的攻击活动状况信息401达成的现象,检索依赖于求出的现象的攻击活动定义信息。
在S508中,推论实施部103确认作为检索结果而发现的攻击活动定义信息的事先条件是否已成立。
具体而言,推论实施部103对于攻击活动定义信息的所有的事先条件,判断一致的达成现象是否已登记在达成现象数据库中。
如果攻击活动定义信息的所有的事先条件已成立,则记述在该攻击活动定义信息中的事件是被预测为接下来观测到的事件。
攻击活动预测部105在S510中根据该攻击活动定义信息生成攻击活动状况信息,将所生成的攻击活动状况信息登记在攻击活动候选存储部104中。
由此,记述有预测为接下来观测到的事件的攻击活动状况信息被登记在攻击活动候选存储部104中。
另外,具体而言,攻击活动预测部105针对攻击活动定义信息,使在S503中更新的累积攻击概率404的值与在S502中接收到的观测事件通知信息中记述的变量值对应起来而生成新的攻击活动状况信息。
另一方面,在任意的事先条件未成立的情况下,在S509中,攻击活动状况信息检索部107检索记述有满足事先条件的达成现象的攻击活动定义信息。
在S511中,在判明为不存在这样的攻击活动定义信息的情况下,攻击活动预测部105不预测接下来观测的事件。
然后,再次在S502中由事件接收部108等待新的观测事件通知信息的到达。
另一方面,在S511中发现了记述有满足事先条件的达成现象的攻击活动定义信息的情况下,攻击活动预测部105再次在S508中确认发现的攻击活动定义信息的事先条件是否成立。
这样通过重复S508至S511,进行图3所示的事件预测。
事先条件是否成立由推论实施部103判断。
在本实施方式的推论实施部103中,根据以谓词逻辑的形式记述在达成现象数据库109、推论规则数据库110、结构信息数据库112中的信息,判断事先条件是否成立。
在达成现象数据库109中,如图8的标号601所示,存储有表示达成的现象的谓词逻辑。
例如,标号602表示用户“alice”登录到主机“host001”这样的现象。
结构信息数据库112也同样地存储有关于信息系统的结构的信息作为谓词逻辑。
在推论规则数据库110中记录始终成立的推论规则。
推论规则数据库110如图9的标号701所示,由目标702与条件703这两列构成。
在目标702中定义在条件703成立时什么成立。
与目标702、条件703一同使用谓词逻辑来定义。
标号704、705表示存储在推论规则数据库110中的信息的例子。
在该例子中,具有文件F的读取权限的组是G,如果用户U属于组G(705),则表示用户U能够读取文件F(704)。
接下来,更详细地说明图7所示的各处理。
首先,一边使用图10~图13所示的流程图一边说明图7的S503的详细情况。
图10~图13的处理由攻击活动状况信息检索部107执行。
首先,攻击活动状况信息检索部107将由接收到的观测事件通知信息通知的观测事件(事件类别、事件产生源、事件参数)存储在变量E中。
接下来,在S803中,攻击活动状况信息检索部107取得存储在攻击活动候选存储部104中的攻击活动状况信息的一览。
接下来,在S804中,攻击活动状况信息检索部107调用检索子程序(后述),检索与观测事件一致的攻击活动状况信息。
检索子程序的检索结果由两个集合构成。
一个是通过检索而选中的现有的攻击活动状况信息401,在S804中,存储在变量Hit中。
另一个是包含在变量Hit中的攻击活动状况信息401的复制,包含在攻击活动状况信息401中的已约束变量信息403是通过包含在观测事件中的内容而更新后的信息。
由于包含在Hit中的攻击活动状况信息401的事先条件已成立,因此,在S805中该攻击活动状况信息401从攻击活动候选存储部104删除。
如果在攻击活动状况信息401的攻击活动定义信息402中定义了监视设定317,则攻击活动状况信息检索部107通过事件生成设定变更部122将监视设定317的解除发送给监视指令设定对象的监视对象装置。
接下来,在S806中,攻击活动状况信息检索部107上传存储在攻击活动定义信息数据库111中的攻击活动定义信息的一览。
接下来,在S807中,攻击活动状况信息检索部107对集合CL进行初始化。
S808和S812表示循环。
S808表示对上传的所有的攻击活动定义信息进行循环内的处理。
在每个循环中将各攻击活动定义信息代入变量D。
在S809、S810中,攻击活动状况信息检索部107以变量D为雏形,生成新的攻击活动状况信息。
生成的新的攻击活动状况信息在S811中存储到在S807中初始化后的集合CL中。
在S813中调用检索子程序,从如上述那样生成的集合CL内的攻击活动状况信息中检索与接收到的观测事件一致的攻击活动状况信息。
但是,由于在检索出的攻击活动状况信息中可能包含不满足事先条件的信息,因此,攻击活动状况信息检索部107在S814中调用事先条件未达信息删除处理(后述)。
然后,攻击活动状况信息检索部107从在检索中选中的攻击活动状况信息中去除不满足事先条件的攻击活动状况信息,将其结果再次代入集合Ret2。
最后,攻击活动状况信息检索部107取得在S804中得到的集合Ret和在S814中得到的集合Ret2的和集合(sum-set),将和集合返回给调用源(S815)。
接下来,一边参照图11、图12一边对检索子程序(图10的S804、S813)的处理进行说明。
图11、图12是检索子程序的详细情况的流程图。
图11、图12的检索子程序由图2中未图示的作为攻击活动状况信息检索部107的内部要素的检索子程序执行部进行。
最初,检索子程序执行部在S901中取得作为自变量接收到的观测事件E和检索范围的攻击活动状况信息的集合CL。
在S902中将保存返回值的变量初始化之后,在从S903开始的循环中确认集合CL内的各攻击活动状况信息C是否与观测事件E一致。
在循环中,检索子程序执行部首先在S904中复制确认对象的攻击活动状况信息C,将复制的攻击活动状况信息C保存在变量C’中。
从S905开始的循环表示向循环变量attr代入集合{“事件产生源”,“事件类别”}的各要素。
在S906中,如果与由确认对象的攻击活动状况信息C’内的攻击活动定义信息定义的attr对应的要素的值是常数,则处理向S907分支,将常数值代入变量val。
如果与attr对应的要素的值不是常数,则处理向S909分支,检索子程序执行部参照确认对象的攻击活动状况信息C’内的已约束变量信息,确认作为该要素的值而被参照的变量是否已被约束。
如果变量已约束,则处理向S910分支,将该变量被约束的值代入变量val。
如果是变量未被约束的状态,则处理向S911分支,检索子程序执行部以使用观测事件E的对应的值约束该变量的方式更新确认对象的攻击活动状况信息C’内的已约束变量信息。
如S907和S910那样,在已经向该变量分配任意的值的情况下,在S908中,检索子程序执行部比较该值是否与观测事件E的对应的值一致。
在不一致的情况下(在S908中为“否”),检索子程序执行部判断为确认对象的攻击活动状况信息C’与观测事件E不一致,经由S918,转移到针对下一攻击活动状况信息的确认。
如果在S908中检索子程序执行部确认出确认对象的攻击活动状况信息C’的事件产生源以及事件类别与观测事件E的事件产生源以及事件类别一致(在S908中为“是”),则处理经由S913的(A)转移到图12的S1001。
在图12中,确认确认对象的攻击活动状况信息C’内的攻击活动定义信息中包含的事件参数是否与观测事件E的事件参数一致。
虽然处理的流程与S905至S912所示的内容几乎相同,但在比较对象为事件参数的方面不同。
另外,在S1003或S1005等中使用的括弧(“[“,”]”)标记是指从位于括弧左侧的变量中取出括弧内的变量所表示的事件参数的操作。
如果确认出确认对象的攻击活动状况信息C’的事件参数与观测事件E的事件参数一致,则处理经由S1010的(B),返回到图11的S914。
检索子程序执行部在确认出确认对象的攻击活动状况信息C’的事件参数与观测事件E的事件参数不一致的情况下,处理经由S1011的(C),返回到图11的S917。
在处理到达图11的S915的时刻,视为确认对象的攻击活动状况信息C’与观测事件E一致,确认对象的攻击活动状况信息C’在S915、S916中保存在作为返回值的集合中。
在针对所有的攻击活动状况信息的确认结束之后,检索子程序执行部在S919中将返回值集合返回给调用源,结束处理。
接下来,一边参照图13一边对事先条件未达信息删除处理(图10的S814)进行说明。
图13是事先条件未达信息删除处理的详细情况的流程图。
图13的事先条件未达信息删除处理由图2中未图示的作为攻击活动状况信息检索部107的内部要素的事先条件未达信息删除处理部进行。
在S1101中将作为调查对象的攻击活动状况信息的集合CL设为自变量,调用事先条件未达信息删除处理部。
在S1102中,在将作为返回值的变量初始化之后,通过从S1103开始的循环,确认对于攻击活动状况信息的集合CL内的各攻击活动状况信息,事先条件是否成立。
在S1104中,事先条件未达信息删除处理部从作为确认对象的攻击活动状况信息C的攻击活动定义信息中取出事先条件。
然后,如果在攻击活动状况信息C的已约束变量信息中登记有值,则事先条件未达信息删除处理部利用该值置换事先条件内的变量。
接下来,在S1105中,调用推论实施部103,推论实施部103确认事先条件式是否成立。
如果事先条件不成立,则处理向S1108分支,转移到下一攻击活动状况信息的确认。
在事先条件成立的情况下,推论实施部103对于事先条件中的未约束的变量,使具体的值返回事先条件未达信息删除处理部。
因此,在S1106中,事先条件未达信息删除处理部更新攻击活动状况信息C的已约束变量信息,以利用从推论实施部103得到的值来约束未约束的变量。
然后,事先条件未达信息删除处理部在S1107中在返回值变量中登记攻击活动状况信息C,经由S1108,转移到下一攻击活动状况信息的确认。
在针对攻击活动状况信息的集合CL内的所有的攻击活动状况信息的确认结束之后,事先条件未达信息删除处理部在S1109中将保存在返回值变量中的攻击活动状况信息的集合返回给调用源,结束处理。
接下来,参照图14的流程图,对图7的S504、S505的处理的详细情况进行说明。
图14的处理由攻击产生判定部106执行。
在S1201中,将由攻击活动状况信息检索部107得到的攻击活动状况信息的集合CL作为自变量,调用攻击产生判定部106。
攻击产生判定部106在S1202中将保存被判定为进行了攻击的攻击活动状况信息的返回值变量Ret初始化之后,在从S1203开始的循环中,对攻击活动状况信息的集合CL中的各攻击活动状况信息进行攻击判定。
首先,在S1204~S1206中,攻击产生判定部106使在攻击活动状况信息C的攻击活动定义信息内定义的攻击概率值与作为对象的攻击活动状况信息C的累积攻击概率值相加。
然后,攻击产生判定部106在S1207中比较作为相加结果的g和事先定义的攻击判定阈值。
在相加结果g超过攻击判定阈值的情况下,处理向S1208分支,攻击产生判定部106将攻击活动状况信息C保存到返回值变量Ret。
在对于攻击活动状况信息的集合CL内的所有的攻击活动状况信息结束判定后,攻击产生判定部106在S1210中将返回值变量Ret返回给调用源,结束处理。
通过图14的处理而判定为进行了攻击的攻击时活动状况信息在图7的S506中向用户通知。
接下来,一边参照图15~图19一边对图7的S507之后的处理、即预测接下来被观测的事件的处理的详细情况进行说明。
另外,针对在S503中得到的与观测事件一致的攻击活动状况信息的集合中包含的各攻击活动状况信息,单独地实施S507以后的处理。
首先,通过达成现象计算/登记部102将达成现象登记在达成现象数据库109中。
图15是示出达成现象计算/登记部102的动作例的流程图。
在S1301中,将作为达成现象的更新对象的攻击活动状况信息C设为自变量,调用达成现象计算/登记部102。
达成现象计算/登记部102在S1302中将用于使达成现象返回给调用源的变量Ret初始化。
然后,达成现象计算/登记部102在S1303中取出攻击活动状况信息C的已约束变量信息的内容。
接下来,达成现象计算/登记部102在S1304中取出由攻击活动状况信息C中的攻击活动定义信息所定义的达成现象。
进而,达成现象计算/登记部102在S1305中将各变量被约束的值代入由取出的达成现象参照的各变量。
然后,达成现象计算/登记部102在S1306中将代入结果代入返回值变量Ret。
接下来,在S1307中,达成现象计算/登记部102调用派生达成现象计算处理。
并且,向返回值变量Ret附加通过派生达成现象计算处理得到的经由推论规则得到的达成现象,在S1308中将返回值变量Ret返回给调用源,结束处理。
一边参照图16一边对派生达成现象计算处理(图15的S1307)进行说明。
图16是示出派生达成现象计算处理的详细情况的流程图。
另外,图16的派生达成现象计算处理由图2中未图示的作为达成现象计算/登记部102的内部要素的派生达成现象计算处理部进行。
在S1401中,将达成现象集合ConS作为自变量,调用派生达成现象计算处理部。
派生达成现象计算处理部首先在S1402~S1406中求出在被赋予为自变量的达成现象成立以前已成立的达成现象,在S1407~S1412中求出在被赋予为自变量的达成现象成立之后成立的现象,求出在S1402~S1406中求出的达成现象与在S1407~S1412中求出的达成现象之间的差。
由此,派生达成现象计算处理部根据被赋予为自变量的达成现象集合,求出新达成的达成现象。
在S1402中,派生达成现象计算处理部将存储已成立的达成现象的集合的变量G0初始化。
并且,派生达成现象计算处理部在从S1403开始的循环中确认推论规则数据库110中的各记录中包含的目标是否成立(S1404)。
在目标已成立之后,处理向S1405分支,派生达成现象计算处理部将成立的目标的变量全部由具体值置换的谓词的集合保存在变量G0中。
接下来,派生达成现象计算处理部在S1407中将被赋予为自变量的达成现象集合登记到达成现象数据库109。
由此,推论实施部103能够使新达成的现象事件反映到推论中。
接下来,派生达成现象计算处理部在S1408中在保存达成现象登记之后得到的达成现象的变量G1中保存达成现象登记之后得到的达成现象。
然后,派生达成现象计算处理部在从S1409开始的循环中再次确认推论规则数据库110中的各记录中包含的目标是否成立(S1410)。
派生达成现象计算处理部在S1411中将成立的目标的变量全部由具体值取代的谓词的集合保存在变量G1中。
最后,在S1413中,派生达成现象计算处理部取得变量G1与变量G0的差,求出在ConS登记后成立的达成现象的谓词,将在达成现象集合ConS登记后成立的达成现象的谓词返回给调用源,结束处理。
在按照图15所示的顺序取得达成现象之后,攻击活动预测部105被调用,预测可能接下来被观测的事件。
一边参照图17、图18和图19一边对攻击活动预测部105的动作进行说明。
图17是示出攻击活动预测部105的处理的流程图。
在S1501中,将作为预测对象的攻击活动状况信息C0和从达成现象计算/登记部102返回的达成现象集合ConS作为自变量,调用攻击活动预测部105。
攻击活动预测部105在S1502中将预测出的攻击活动状况信息Ret初始化,在S1503中,将攻击活动定义信息数据库111内的攻击活动定义信息全部取出。
攻击活动预测部105在从S1504开始的循环中取出各攻击活动定义信息D,生成表示预测为接下来被观测的事件的攻击活动状况信息。
首先,攻击活动预测部105在S1505中取出攻击活动定义信息D的事先条件。
接下来,攻击活动预测部105在S1506中确认使用与被赋予为自变量的达成现象相同的谓词的项是否存在于在S1505中取出的事先条件中。
如果相应的项存在,则攻击活动预测部105视为攻击活动定义信息D是依赖于达成现象的攻击活动定义信息,处理向S1507分支。
攻击活动预测部105在S1507、S1508中生成包含攻击活动定义信息D的攻击活动状况信息C。
并且,在S1509中,可执行活动检索处理(后述)调用攻击活动预测部105。
通过可执行活动检索处理,从攻击活动状况信息C所依赖的攻击活动定义信息中检索满足当前事先条件的攻击活动定义信息,攻击活动预测部105得到内置有检索出的攻击活动定义信息的攻击活动状况信息的集合。
攻击活动预测部105在S1510中,在返回值变量Ret中追加从可执行活动检索处理得到的攻击活动状况信息的集合。
另外,攻击活动预测部105在S1511中对下一攻击活动定义信息进行相同的处理。
如果对于所有的攻击活动定义信息结束了循环,则在S1512中,攻击活动预测部105向登记在返回值变量Ret中的各攻击活动状况信息的累积攻击概率值代入保存在自变量C0中的累积攻击概率值。
然后,攻击活动预测部105在S1513中,将返回值变量Ret返回给调用源,结束处理。
接下来,一边参照图18和图19一边对可执行活动检索处理(图17的S1509)的详细情况进行说明。
图18和图19是示出可执行活动检索处理的内容的流程图。
图18和图19的可执行活动检索处理由图2中未图示的作为攻击活动预测部105的内部要素的可执行活动检索处理部进行。
在S1601中,将作为探索攻击活动定义信息的起点的攻击活动状况信息C作为自变量,开始可执行活动检索处理。
可执行活动检索处理部在S1602中将返回值变量初始化之后,在S1603中取出攻击活动状况信息C的事先条件。
接下来,可执行活动检索处理部利用记载在攻击活动状况信息C的已约束变量信息中的信息取代攻击活动状况信息C的事先条件的各变量,使用推论实施部103确认变量被取代之后的事先条件是否成立(S1604)。
如果事先条件已成立,则处理向S1605分支,可执行活动检索处理部将未在事先条件中约束的变量的具体值(推论实施部103返回的具体值)记录在攻击活动状况信息C的已约束变量信息中。
然后,可执行活动检索处理部将攻击活动状况信息C保存在返回值变量Ret中,在S1616中,返回值变量Ret被返回给调用源,可执行活动检索处理部的处理结束。
当在S1604中事先条件未成立的情况下(在S1604中为“否”),通过端子(D),使处理向S1607分支。
在从S1607开始的循环中,利用推论实施部103测试包含在攻击活动状况信息C的事先条件(变量已约束)中的各项是否可通过达成现象数据库109内的达成现象而成立,对通过达成现象数据库109内的达成现象不成立的项t进行处理。
在S1608中,可执行活动检索处理部检索攻击活动定义信息数据库111,取得可能包含项t作为达成现象的攻击活动定义信息D2的集合。
接下来,可执行活动检索处理部在从S1609开始的循环中,针对所取得的各攻击活动定义信息D2,在S1610、S1611中,生成内置攻击活动定义信息D2的攻击活动状况信息。
进而,可执行活动检索处理部在S1612中将攻击活动状况信息C2的达成现象中的由t表示的项的已约束的变量登记到攻击活动状况信息C2的已约束变量信息中。
将这样得到的攻击活动状况信息C2作为自变量,可执行活动检索处理部在S1613中递归地调用可执行活动检索处理部自身。
然后,可执行活动检索处理部将所得到的结果追加到返回值变量Ret中,在S1614中返回到循环的开始端,对下一攻击活动定义信息进行相同的处理。
在最终对所有的项t结束处理的时刻,执行S1616,返回值变量Ret被返回给调用源,可执行活动检索处理部的处理结束。
通过以上的处理提取出的攻击活动状况信息登记在攻击活动候选存储部104中。
如果在提取的攻击活动状况信息中存在包含监视设定317的攻击活动状况信息,则通过事件生成设定变更部122确认攻击活动状况信息的累积攻击概率值是否超过监视设定317的启动概率323。
在攻击活动状况信息的累积攻击概率值超过启动概率323的情况下,事件生成设定变更部122根据监视对象装置319的内容选择监视对象装置,将监视设定的指令318和指令参数320的内容发送给选择出的监视对象装置。
在累积攻击概率值为启动概率323以下的情况下,该攻击活动状况信息不对攻击活动候选存储部104进行登记。
如上所述,本实施方式的攻击检测装置具有:攻击活动状况信息检索部,其使用通过谓词逻辑定义了事先条件、达成现象的攻击活动定义信息,在事件观测时,从攻击活动定义信息数据库检索与观测到的事件对应的攻击活动定义信息;以及攻击活动预测部,其根据从检索结果得到的攻击活动定义信息内的事先条件、达成现象,使用推论实施部预测接下来被观测的事件的候选。
并且,具有如下的效果:不必通过攻击活动状况信息检索部和攻击活动预测部事先定义所有的攻击场景,就能检测经过多个步骤实施的攻击。
并且,具有如下的效果:即使在追加了新的监视对象装置、或明确了新的攻击手法的情况下,攻击活动定义信息编辑部只需通过追加对应的攻击活动定义信息就能应对监视对象装置的追加和新的攻击手法。
并且,在本实施方式中,在攻击活动定义信息中定义了监视设定,仅在预测出攻击活动的情况下,通过事件生成设定变更部,使监视对象装置变更为所需的设定而进行监视。
因此,具有能够仅在必要时实施对于始终实施而言成本较高的监视的效果。
并且,在本实施方式中,由于在实施推论时还参照推论规则数据库,因此,达成现象计算/登记部也可以根据达成现象得到作为推论结果而得到的达成现象。
因此,具有可以在各攻击活动定义信息中仅记述最低限度的达成现象的效果。
并且,在本实施方式中,在结构信息数据库中保存表示监视对象的信息系统的结构的谓词逻辑,在推论时,推论实施部参照结构信息数据库。
因此,具有如下的效果:能够记述考虑到不会在事件上出现的关于信息系统结构的信息的事先条件。
并且,在本实施方式中,在攻击活动定义信息中定义攻击概率值,并且在攻击活动状况信息内管理累积的攻击概率值,在累积的攻击概率值超过攻击判定阈值的情况下通知产生了攻击。
因此,具有这样的效果:仅在与攻击者的举动相近的一系列事件产生的情况下能够向用户通知攻击的产生,减少误检测。
并且,在本实施方式中,具有用户能够通过结构信息/推论规则编辑部编辑结构信息数据库和推论规则数据库的效果。
并且,具有能够通过显示部向用户通知攻击的产生的效果。
另外,在本实施方式中,当然也可以将构成在攻击检测装置内的各部分、数据库安装在通过网络等连接的其它装置上。
以上,在本实施方式中,对如下部分进行了说明:
攻击活动定义信息,其包含事先条件、达成现象、事件内容;
攻击活动定义信息数据库,其保存攻击活动定义信息;以及
攻击活动预测部,其检索与产生的事件对应的攻击活动定义信息,检索依赖于检索出的攻击活动定义信息的达成现象的攻击活动定义信息,根据检索出的攻击活动定义信息预测接下来产生的事件。
并且,在本实施方式中,对如下情况进行了说明:在攻击活动定义信息中包含监视设定这样的项目,以便能够仅在预测到攻击活动的情况下变更攻击设定。事件生成设定变更部根据包含在攻击活动定义信息中的监视设定,向监视对象装置请求设定变更。
并且,在本实施方式中,对如下情况进行了说明:在攻击活动定义信息中包含定义累积攻击概率值的增量的攻击概率值,每当符合预测的事件产生时,攻击产生判定部增加累积的攻击概率值,在累积的攻击概率值超过某阈值的时刻向用户通知攻击的产生。
并且,在本实施方式中,对结构信息数据库和推论规则数据库进行了说明,该结构信息数据库保存表示监视对象的信息系统的结构的信息,该推论规则数据库定义了始终成立的推论规则。
并且,在本实施方式中,对在事先条件、达成现象、推论规则、结构信息、监视设定中使用谓词逻辑的情况进行了说明。
实施方式2.
在以上的实施方式1中,即使事件产生,只要该事件的事先条件不成立,也忽略所产生的事件(在图13的S1105中为“否”的情况)。
即,在实施方式1中,在图3所示的事件220产生时,如果记述在攻击活动定义信息205中的事先条件不成立,则不进行预测事件220的接下来产生的事件的处理。
在本实施方式中,对如下的例子进行说明:即使记述在所产生的事件的攻击活动定义信息205中的事先条件不成立,也实施预测接下来产生的事件的处理。
在本实施方式中,如图21所示,向攻击活动定义信息的事先条件追加真伪值信息(成立必须标记2116和标记值2117),该真伪值信息定义条件成立是否必须。
如果成立必须标记2116的标记值2117为True,则在事先条件不成立的情况下,不进行预测接下来产生的事件的处理。
如果成立必须标记2116的标记值2117为False,则即使在事先条件不成立的情况下,也进行预测接下来产生的事件的处理。
即,False的标记值2117是表示即使事先条件(事件前阶段)不成立也实施提取观测预测事件的处理的标识符,相当于处理实施标识符的例子。
图21的攻击活动定义信息的要素中的成立必须标记2116以及标记值2117以外的要素与图4所示的内容相同,省略说明。
并且,本实施方式的系统结构与图1所示的结构相同,并且本实施方式的攻击检测装置101的结构例与图2所示的结构相同。
以下,主要说明与实施方式1的差异。
以下未说明的事项与实施方式1相同。
图22是示出本实施方式的事先条件未达信息删除处理部(攻击活动状况信息检索部107的内部要素)的处理的流程图。
图22的流程取代实施方式1中说明的图13的流程而进行。
事先条件未达信息删除处理部在成立必须标记2116的标记值2117为False的情况下,即使事先条件不成立,也将观测事件通知信息所通知的事件保存在图13所说明的变量Ret中。
一边参照图22一边在以下对具体的处理进行说明。
S2201到S2205的处理与图13的S1101到S1105的处理相同。
在S2205中向“否”分支的情况下,即,记述在由观测事件通知信息通知的事件的攻击活动定义2101中的事先条件2103不成立的情况下,事先条件未达信息删除处理部参照成立必须标记2116的标记值2117(S2210)。
在标记值2117为True的情况下,事先条件未达信息删除处理部的处理向S2208分支,与实施方式1同样地忽略由观测事件通知信息通知的事件,不进行提取观测预测事件的处理。
在标记值2117为False的情况下,处理向S2211分支。
在S2211中,事先条件未达信息删除处理部将在S2204中变量被置换为约束值的事先条件式的各项中的不包含未约束的变量的项登记在达成现象数据库中,进入S2207。
然后,进行S504以后的处理(图22表示图10的S814的详细情况,图10表示图7的S503的详细情况),因此,按照实施方式1所示的顺序,进行提取观测预测事件的处理。
这样,虽然事先条件不成立,但事先条件未达信息删除处理部推定为进行了在产生了事件的背景下满足事先条件的活动,进行处理。
如上所述,根据本实施方式,针对在事先条件未达成的状态下产生的事件,能够将该事先条件中的不包含未约束的变量的项登记在达成现象数据库中。
因此,具有这样的效果:在之后的攻击活动预测中,能够预测出以往未预测出的事件的产生。
并且,在本实施方式中,具有如下的效果:由于仅在成立必须标记的标记值为False的情况下进行上述处理,因此,不需要将不满足事先条件的所有事件的事先条件登记在达成现象数据库中。
实施方式3.
在以上的实施方式1和2中,根据从监视对象装置利用观测事件通知信息而通知的事件,预测将来的事件。
在本实施方式中,对这样的例子进行说明:使用包括未被来自监视对象装置的观测事件通知信息通知的事件在内的、监视对象装置观测出的所有事件,判断事先条件是否成立。
图23示出本实施方式的系统结构例。
在本实施方式中,与攻击检测装置101连接的监视对象装置2303以及监视对象装置2308的结构与实施方式1不同。
攻击检测装置101的内部结构如图2所示。
以下,主要对实施方式1和实施方式2的差异进行说明。
以下未说明的事项与实施方式1或者实施方式2相同。
在监视对象装置2303和监视对象装置2308中,事件发送部2304、2309与图1所示的事件发送部117、120相同。
另外,事件生成部2305、2310也与图1所示的事件生成部118、121相同。
但是,事件生成部118、121利用观测事件通知信息向攻击检测装置101通知观测到的所有事件,但事件生成部2305、2310利用观测事件通知信息向攻击检测装置101仅通知观测到的事件中的特定事件。
由观测事件通知信息通知的事件由攻击检测装置101的事件生成设定变更部122设定。
例如,可考虑设定为,利用观测事件通知信息仅通知监视所需的成本为一定级别以下的事件。
如上所述,在实施方式1中,例如,在图3所示的事件220产生时,如果记述在攻击活动定义信息205中的事先条件不成立,则不进行预测事件220的接下来产生的事件的处理,并且,也不进行攻击概率值的累加。
攻击检测装置101根据在事件220之前由观测事件通知信息通知的事件,判定记述在攻击活动定义信息205中的事先条件是否成立。
即,即使在因未通知的事件(例如高成本的事件)而使事件220的事先条件成立的情况下,攻击检测装置101也判定为事件220的事先条件不成立,并且也不进行攻击概率值的累加。
然而,在因未通知的事件(例如高成本的事件)而使事件220的事先条件成立的情况下,由于实际上进行了攻击活动,应该对包含事件220的攻击活动赋予较高的累积攻击概率值。
这样,如果即使实际上进行了攻击活动也不利用观测事件通知信息通知事件,则有时不会进行攻击活动的检测、或者攻击活动的检测延迟。
在本实施方式中,输入蓄积部2306、2311蓄积有事件导出信息,该事件导出信息能够导出包括未被观测事件通知信息通知的事件在内的监视对象装置2303、2308的事件。
并且,过去输入检索部2307、2312检索在输入蓄积部2306、2311中蓄积的事件导出信息。
在输入蓄积部2306、2311中,蓄积成为事件源的针对监视对象装置2303、2308的输入信息,作为事件导出信息。
例如,在像IDS(Intrusion Detection System)那样监视分组而发现攻击这样的监视对象装置的情况下,在输入蓄积部2306、2311中蓄积分组。
同样,在监视由服务器等产生的日志而发现攻击这样的监视对象装置的情况下,在输入蓄积部2306、2311中蓄积日志。
在本实施方式中,通过对蓄积的分组、日志(因成本的关系无法实时地进行的方法)进行再调查,发现隐藏的事件。
在本实施方式的攻击检测装置101中,作为攻击活动状况信息检索部107的内部要素的事先条件未达信息删除处理部使用过去输入检索部2307、2312,解析输入蓄积部2306、2311的事件导出信息。
即,事先条件未达信息删除处理部对输入蓄积部2306、2311的事件导出信息进行解析,根据包含未由观测事件通知信息通知的事件在内的任意事件,判定图3的事件220的事先条件是否成立。
然后,在图3的事件220的事先条件成立的情况下,事先条件未达信息删除处理部还在时间上追溯输入蓄积部2306、2311的事件导出信息,检测处于依赖关系的事件。
然后,事先条件未达信息删除处理部从检测出的事件序列的开头,依次累加攻击概率值直到事件220。
例如,如图30所示,事件220的攻击活动定义信息205的事先条件记述在事件231的攻击活动定义信息241的达成现象中。
并且,事件231的攻击活动定义信息241的事先条件记述在事件232的攻击活动定义信息242的达成现象中。
同样,事件232的攻击活动定义信息242的事先条件记述在事件233的攻击活动定义信息243的达成现象中。
事先条件未达信息删除处理部从事件220追溯,依次检测事件231、事件232、事件233这样的事件序列。
此外,事先条件未达信息删除处理部对事件233、事件232、事件231、事件220的攻击概率值进行累加。
然后,攻击产生判定部106在攻击概率值的累加值超过阈值的情况下,通过显示部115向用户通知攻击的产生(图7的S506)。
使用图24对本实施方式的事先条件未达信息删除处理部的动作进行说明。
S2401到S2405与图13的S1101到S1105相同。
在S2405中,在事先条件式未成立的情况下,事先条件未达信息删除处理部在S2410中调用针对攻击活动状况信息C的过去事件检索处理,将过去事件检索处理的结果保存在变量R中。
使用图26和图27对过去事件检索处理进行说明。
如S2601所示,将作为检索对象的攻击活动状况信息C设为自变量,调用过去事件检索处理。
接下来,在S2602中,在构成攻击活动状况信息C的事先条件的各项中,将未成立的项的集合代入变量TS。
在S2603中,将下标变量i和保存返回值的变量CS初始化。
在S2604中,向变量ADB代入存储在攻击活动定义信息数据库中的攻击活动定义信息一览。
在循环S2605~S2616中,按顺序取出变量TS中的项而代入变量t,进行处理。
在S2606中,按照变量evs为空的排列、变量effects为空的集合的方式进行初始化。
在循环S2607~S2613中,按顺序取出变量ADB中的攻击活动定义信息,代入变量e,进行处理。
在S2608中,确认利用当前的监视对象装置的设定能否检测变量e的值。
在已经处于能够检测变量e的值的状态的情况下,处理向“是”分支,处理经由S2613返回到循环的开头S2607,对变量e的下一个值继续进行处理。
如果在S2608中处理向“否”分支,则接下来在S2609中,确认变量e的达成现象是否能够与变量t所表示的项匹配。
在变量e的达成现象不与由变量t表示的项匹配的情况下,处理从S2609向“否”分支,处理经由S2613返回到循环的开头S2607,对变量e的下一个值继续进行处理。
如果在S2609中处理向“是”分支,则接下来在S2610中利用变量t中的值约束变量e的达成现象所使用的变量。
接下来,在S2611中,检索与变量e匹配的事件是否在过去产生。
该检索按以下方式实施。
利用约束值置换变量e中的事件中所使用的变量中的在S2610中约束的变量,将置换后的事件输入到监视对象装置上的过去输入检索部而调用过去输入检索部。
然后,过去输入检索部对蓄积在输入蓄积部中的信息进行检索。
在检索的结果为检测出相应的事件的情况下,生成反映检测出的事件的内容的攻击活动状况信息,将生成的攻击活动状况信息代入变量Cp。
代入变量Cp的攻击活动状况信息的攻击活动定义信息与由变量e表示的攻击活动定义信息相同。
利用检索出的事件的内容约束在由变量e表示的攻击活动定义信息中的事件的记述中使用的变量。
在检索的结果为发现了变量Cp的情况下,即发现与变量e匹配的事件的情况下,在S2612中处理向“是”分支,处理经由端子(I)转移到图27的S2701。
在S2612中处理向“否”分支的情况下,处理经由S2613返回到循环的开头S2607,对变量e的下一个值进行处理。
在图27的S2701中,确认是否满足变量Cp的事先条件。
在满足变量Cp的事先条件的情况下,处理向“是”分支,在S2702中,生成具有变量Cp作为唯一要素的序列,将生成出的序列代入变量evs。
然后,在S2703中,向变量effects追加变量Cp的达成现象,处理迁移到端子(K)。
如果在S2701中处理向“否”分支,则在S2704中将变量Cp作为自变量递归地调用过去事件检索处理。
将过去事件检索处理的结果保存在变量ES中。
变量ES是攻击活动状况信息的树的排列。
在S2705中变量ES为NULL的情况下,处理向“是”分支,在S2706中确认变量Cp的成立必须标记是否为False。
在变量Cp的成立必须标记为False的情况下,处理向“是”分支,处理经由端子(J)进入S2614。
在S2706中处理向“否”分支的情况下,在S2707中向变量effects追加变量Cp的事先条件的各项中的不包含未约束的变量的项。
然后,在S2708中向变量effects追加变量Cp的达成现象,处理转移到端子(J)。
在S2705中处理向“否”分支的情况下,在S2709中,将变量Cp的累积攻击概率值更新为使变量ES中所有排列中的各树的根节点的攻击活动状况信息的累积攻击概率值与各树的根节点的攻击概率值相加而得到的值。
然后,在S2710中,生成将变量Cp设为根节点、将变量ES的各要素(要素一个一个成为树构造的数据)设为子节点的树,将生成出的树代入变量evs。
然后,在S2711中,向变量effects追加变量Cp的达成现象,处理迁移到端子(J)。
从端子(J)、或者因循环S2607~S2613的结束而执行图26的S2614,检查变量evs是否为空。
在变量evs为空的情况下,处理向“是”分支,在S2618中,将null返回给调用源,处理结束。
在S2614中处理向“否”分支的情况下,作为变量CS的第i个要素,保存变量evs的值,使i加1。
然后,处理经由S2616返回到循环S2605,对变量t的下一个值进行处理。
在针对所有的变量t结束处理之后,在S2617中,变量CS与变量effects被返回给调用源,处理结束。
再次返回图24,对S2410以后的处理进行说明。
在S2410中返回的结果为null的情况下,处理从S2411向“是”分支,处理进入S2412。
以后的动作与实施方式2相同。
在处理从S2411向“否”分支的情况下,处理经由端子(H)进入图25的S2501。
在S2501中,保存在变量R中的攻击活动状况信息与达成现象集合分别代入变量Es和变量effects。
接下来,在S2502中,将变量C的累积攻击概率值更新为使变量ES中的所有排列中的各树的根节点的攻击活动状况信息的累积攻击概率值与各树的根节点的攻击概率值相加得到的值。
然后,在S2503中,将变量Es内的全部攻击活动状况信息追加到变量Ret,此外,在S2504中,将保存在变量effects中的达成现象登记到达成现象数据库。
然后,处理经由端子(G)返回到S2407。
如上所述,在本实施方式中,相对于在事先条件未达成的状态下产生的事件,检索蓄积在监视对象装置中的信息来确认满足该事件的事先条件的事件是否未产生。
因此,在实施方式1和实施方式2中,具有能够解决如下的课题的效果:原本应该被赋予更高的累积攻击概率值的一系列攻击活动成为比实际低的累积攻击概率值,从攻击活动的检测中遗漏或者检测延迟。
实施方式4.
在实施方式1~3中,攻击活动定义信息中的攻击概率值需要由攻击活动定义信息的生成者定义。
接下来,在本实施方式中,对根据平常时的事件的产生频度而自动决定攻击概率值的例子进行说明。
在图28中示出本实施方式的系统结构例。
在图28中,攻击检测装置2801采用在实施方式1所示的攻击检测装置101中追加攻击概率值决定部2802和模式切换部2803的结构。
即,本实施方式的攻击检测装置2801采用在图2所示的结构中追加攻击概率值决定部2802和模式切换部2803的结构。
攻击概率值决定部2802根据观测事件通知信息的接收频度决定记述在攻击活动定义信息中的攻击概率值。
模式切换部2803切换攻击检测装置2801的动作模式。
监视对象装置116、119与实施方式1所示的装置相同。
以下,主要对与实施方式1的差异进行说明。
以下未说明的事项与实施方式1相同。
对本实施方式的决定攻击活动定义信息的攻击概率值的动作进行说明。
首先,管理者通过攻击检测装置2801的模式切换部2803将攻击检测装置2801的动作模式从通常运用模式切换到攻击概率值决定模式。
在该攻击概率值决定模式中,将来自监视对象装置116、119的观测事件通知信息发送给攻击概率值决定部2802。
接收到观测事件通知信息的攻击概率值决定部2802调用实施方式1中记载的检索子程序(图10的S804、S813),取得相应的攻击活动定义信息的集合。
另外,攻击概率值决定部2802对于每个攻击活动定义信息管理计数器(初始值为0),每次在攻击概率值决定模式中接收到观测事件通知信息时,使与相应的攻击活动定义信息对应的计数的值增加1。
在经过一定时间后,管理者再次操作模式切换部2803而将攻击检测装置2801的动作模式从攻击概率值决定模式切换到通常运用模式。
攻击概率值决定部2802根据直到向通常运用模式的切换之前计数出的各攻击活动定义信息的计数值,决定各攻击活动定义信息的攻击概率值。
攻击概率值例如能够通过下面这样的计算式决定。
攻击概率值=1/(计数值+1)
这样,在本实施方式中,在攻击检测装置2801中设置有攻击概率值决定部2802和模式切换部2803。
根据本实施方式,存在能够使攻击概率值的决定实现自动化的效果。
另外,攻击概率值的计算式不限于上述的式子。
并且,在观测事件通知信息的接收时增加的计数值也不限于1。
实施方式5.
在实施方式1中,结构信息需要由管理者通过结构信息/推论规则编辑部113输入。
接下来,在本实施方式中,对能够从在网络上连接的账户管理服务器装置或结构管理数据库自动取得结构信息的结构进行说明。
图29是示出本实施方式的系统结构例的图。
本实施方式的攻击检测装置2901采用在实施方式1所示的攻击检测装置101中追加结构信息收集部2902的结构。
即,本实施方式的攻击检测装置2901采用在图2所示的结构中追加结构信息收集部2902的结构。
结构信息收集部2902从包含在信息系统中的结构管理数据库2906和账户管理服务器装置2907收集结构信息。
监视对象装置116、119与实施方式1所示的装置相同。
结构管理数据库2906是管理网络123上的设备的商品名、版本、IP地址、主机名等的数据库。
并且,账户管理服务器装置2907是管理利用网络123的用户的账户信息的服务器。
在本实施方式中,在攻击检测装置2901中,结构信息收集部2902在初始化时或者定期性地访问结构管理数据库2906,收集在网络123上运行的设备的类别或IP地址等,将收集到的信息转换成基于谓词逻辑的表达。
并且,结构信息收集部2902将转换成谓词逻辑表达后的收集信息(结构信息)保存在结构信息数据库112中。
同样地,结构信息收集部2902也在初始化时或者定期性地访问账户管理服务器装置2907,收集用户名或群组的信息,将收集到的信息转换成基于谓词逻辑的表达。
然后,结构信息收集部2902将转换成谓词逻辑表达后的收集信息(结构信息)保存在结构信息数据库112中。
这样,根据本实施方式,由于结构信息收集部2902自动地从结构管理数据库2906或账户管理服务器装置2907收集结构信息,因此,具有不需要手动地编辑结构信息数据库112的效果。
最后,参照图20对实施方式1~5所示的攻击检测装置101的硬件结构例进行说明。
攻击检测装置101是计算机,能够利用程序实现攻击检测装置101的各要素。
作为攻击检测装置101的硬件结构,总线上连接有运算装置901、外部存储装置902、主存储装置903、通信装置904、输入输出装置905。
运算装置901是执行程序的CPU(Central Processing Unit)。
外部存储装置902例如是ROM(Read Only Memory)或闪存、硬盘装置。
主存储装置903是RAM(Random Access Memory)。
通信装置904与事件接收部108的物理层对应。
输入输出装置905例如是鼠标、键盘、显示器装置等。
程序通常存储于外部存储装置902,在上传到主存储装置903的状态下,依次由运算装置901读入、执行。
程序是实现作为图2等所示的“~部”(除了攻击活动候选存储部104之外,以下也相同)进行说明的功能的程序。
此外,在外部存储装置902中还存储有操作系统(OS),将OS的至少一部分上传到主存储装置903,运算装置901一边执行OS,一边执行实现图2等所示的“~部”的功能的程序。
并且,在实施方式1~5的说明中,表示作为“~的判断”、“~的判定”、“~的提取”、“~的检测”、“~的设定”、“~的登记”、“~的预测”、“~的选择”、“~的生成”、“~的输入”、“~的输出”等进行说明的处理的结果的信息、数据、信号值或变量值作为文件存储于主存储装置903。
并且,加密密匙/解密密匙、随机数或参数也可以作为文件存储于主存储装置903。
另外,图20的结构仅示出攻击检测装置101的硬件结构的一例,攻击检测装置101的硬件结构不限于图20中记载的结构,也可以是其他的结构。
并且,实施方式1~5所示的监视对象装置可以采用图20的硬件结构,也可以是其他的硬件结构。
并且,能够通过实施方式1~5所示的步骤实现本发明的信息处理方法。
标号说明
101:攻击检测装置;102:达成现象计算/登记部;103:推论实施部;104:攻击活动候选存储部;105:攻击活动预测部;106:攻击产生判定部;107:攻击活动状况信息检索部;108:事件接收部;109:达成现象数据库;110:推论规则数据库;111:攻击活动定义信息数据库;112:结构信息数据库;113:结构信息/推论规则编辑部;114:攻击活动定义信息编辑部;115:显示部;116:监视对象装置;117:事件发送部;118:事件生成部;119:监视对象装置;120:事件发送部;121:事件生成部;122:事件生成设定变更部;123:网络;2303:监视对象装置;2304:事件发送部;2305:事件生成部;2306:输入蓄积部;2307:过去输入检索部;2308:监视对象装置;2309:事件发送部;2310:事件生成部;2311:输入蓄积部;2312:过去输入检索部;2801:攻击检测装置;2802:攻击概率值决定部;2803:模式切换部;2901:攻击检测装置;2902:结构信息收集部;2906:结构管理数据库;2907:账户管理服务器装置。
Claims (17)
1.一种信息处理装置,其特征在于,其具有:
事件阶段信息存储部,其针对多个事件存储事件阶段信息,该事件阶段信息记述有在进行针对信息系统的攻击的过程中被所述信息系统观测到的事件、作为观测所述事件前的攻击的进展阶段的事件前阶段、和作为观测到所述事件后的攻击的进展阶段的事件后阶段;
观测事件通知信息接收部,其接收通知被所述信息系统观测到的观测事件的观测事件通知信息;以及
观测预测事件提取部,其从所述事件阶段信息存储部中检索记述有由所述观测事件通知信息通知的观测事件的事件阶段信息,从检索出的事件阶段信息取得所述观测事件的事件后阶段,从所述事件阶段信息存储部中检索记述有与所取得的所述观测事件的事件后阶段对应的事件前阶段的事件阶段信息,根据检索出的事件阶段信息提取预测为今后被所述信息系统观测到的事件作为观测预测事件。
2.根据权利要求1所述的信息处理装置,其特征在于,
所述信息处理装置还具有阶段存储部,每当通过所述观测事件通知信息接收部接收到观测事件通知信息、通过所述观测预测事件提取部取得了观测事件的事件后阶段时,该阶段存储部存储所取得的事件后阶段,
所述事件阶段信息存储部存储记述有1个以上的事件前阶段的事件阶段信息,
所述观测预测事件提取部对根据所述观测事件的事件后阶段检索出的事件阶段信息中记述的事件前阶段和存储在所述阶段存储部中的事件后阶段进行比较,在所述阶段存储部中存储了与检索出的事件阶段信息中记述的所有的事件前阶段对应的事件后阶段的情况下,提取记述在检索出的事件阶段信息中的事件作为所述观测预测事件。
3.根据权利要求2所述的信息处理装置,其特征在于,
在对根据所述观测事件的事件后阶段检索出的事件阶段信息中记述的事件前阶段和存储在所述阶段存储部中的事件后阶段进行比较的结果为对于检索出的事件阶段信息中记述的至少1个事件前阶段,未在所述阶段存储部中存储对应的事件后阶段的情况下,
所述观测预测事件提取部检索记述有与如下这样的事件前阶段对应的事件后阶段的事件阶段信息,其中,对于该事件前阶段,未在所述阶段存储部中存储有对应的事件后阶段,
对检索出的事件阶段信息中记述的事件前阶段与存储在所述阶段存储部中的事件后阶段进行比较,
在所述阶段存储部中存储了与检索出的事件阶段信息中记述的所有的事件前阶段对应的事件后阶段的情况下,提取记述在检索出的事件阶段信息中的事件作为所述观测预测事件,
在对于检索出的事件阶段信息中记述的至少1个事件前阶段,未在所述阶段存储部中存储对应的事件后阶段的情况下,检索记述有如下这样的事件后阶段的事件阶段信息,其中,该事件后阶段与未在所述阶段存储部中存储有对应的事件后阶段的事件前阶段对应。
4.根据权利要求1所述的信息处理装置,其特征在于,
所述事件阶段信息存储部存储记述有攻击概率值的事件阶段信息,该攻击概率值表示事件被观测到时的针对所述信息系统的攻击的概率,
所述信息处理装置还具有事件阶段信息加工部,该事件阶段信息加工部在每次通过所述观测预测事件提取部提取了观测预测事件时,将攻击概率值的累加值与记述有提取出的观测预测事件的事件阶段信息对应起来,该攻击概率值的累加值是在提取出的观测预测事件之前提取出的观测预测事件每次被所述信息系统观测到时累积而得到的,
所述观测预测事件提取部检索记述有通过所述观测事件通知信息接收部接收到的观测事件通知信息所通知的观测事件的事件阶段信息,在攻击概率值的累加值与检索出的事件阶段信息相对应的情况下,
将记述在检索出的事件阶段信息中的攻击概率值累加到与检索出的事件阶段信息相对应的攻击概率值的累加值中,更新攻击概率值的累加值,
在更新后的攻击概率值的累加值超过攻击判定阈值的情况下,判定为进行了针对所述信息系统的攻击。
5.根据权利要求4所述的信息处理装置,其特征在于,
在通过所述观测预测事件提取部根据所述观测事件提取出新的观测预测事件的情况下,所述事件阶段信息加工部将所述更新后的攻击概率值的累加值与记述有所述新的观测预测事件的事件阶段信息对应起来。
6.根据权利要求4所述的信息处理装置,其特征在于,
所述观测预测事件提取部在判定为进行了针对所述信息系统的攻击的情况下,输出通知进行了针对所述信息系统的攻击的通知消息。
7.根据权利要求4所述的信息处理装置,其特征在于,
所述观测事件通知信息接收部接收通知观测事件的类别和确定观测事件的变量值的观测事件通知信息,
在每次通过所述观测事件通知信息接收部接收到观测事件通知信息、且通过所述观测预测事件提取部提取出观测预测事件时,
所述事件阶段信息加工部将攻击概率值的累加值与记述有提取出的观测预测事件的事件阶段信息对应起来,并且将用于提取所提取出的观测预测事件的观测事件通知信息所通知的变量值与记述有提取出的观测预测事件的事件阶段信息对应起来,其中,该攻击概率值的累加值是在提取出的观测预测事件之前提取出的观测预测事件每次被所述信息系统观测到时累加而得到的,
所述观测预测事件提取部检索记述有与通过所述观测事件通知信息接收部接收到的观测事件通知信息所通知的观测事件的类别对应的事件的事件阶段信息,对与检索出的事件阶段信息相对应的变量值和由所述观测事件通知信息通知的变量值进行比较,
在与检索出的事件阶段信息相对应的变量值和由所述观测事件通知信息通知的变量值对应的情况下,将记述在检索出的事件阶段信息中的攻击概率值累加到与检索出的事件阶段信息相对应的攻击概率值的累加值中,更新攻击概率值的累加值。
8.根据权利要求4所述的信息处理装置,其特征在于,
所述事件阶段信息存储部存储记述有用于使包含在所述信息系统中的设备开始进行规定的监视操作的监视操作开始阈值的事件阶段信息,
所述观测预测事件提取部在更新后的攻击概率值的累加值超过所述监视操作开始阈值的情况下,使包含在所述信息系统中的设备开始进行所述监视操作。
9.根据权利要求2所述的信息处理装置,其特征在于,
所述观测预测事件提取部参照记述有推论逻辑的推论规则信息,对记述在检索出的事件阶段信息中的事件前阶段和存储在所述阶段存储部中的事件后阶段进行比较。
10.根据权利要求2所述的信息处理装置,其特征在于,
所述观测预测事件提取部参照记述有所述信息系统的结构的结构信息,对记述在检索出的事件阶段信息中的事件前阶段和存储在所述阶段存储部中的事件后阶段进行比较。
11.根据权利要求1所述的信息处理装置,其特征在于,
所述事件阶段信息存储部存储通过谓词逻辑记述了所述事件前阶段和所述事件后阶段中的至少任意一个的事件阶段信息。
12.根据权利要求1所述的信息处理装置,其特征在于,
所述事件阶段信息存储部存储记述有处理实施标识符的事件阶段信息,该处理实施标识符是表示对于任意的事件,即使事件前阶段针不成立也实施提取观测预测事件的处理的标识符,
所述观测预测事件提取部检索记述有通过所述观测事件通知信息接收部接收到的观测事件通知信息所通知的观测事件的事件阶段信息,
在检索出的事件阶段信息中记述有处理实施标识符的情况下,即使记述在检索出的事件阶段信息中的事件前阶段不成立,也从检索出的事件阶段信息中取得所述观测事件的事件后阶段,从所述事件阶段信息存储部检索记述有与所取得的所述观测事件的事件后阶段对应的事件前阶段的事件阶段信息,根据检索出的事件阶段信息提取所述观测预测事件,
在检索出的事件阶段信息中未记述处理实施标识符的情况下,如果记述在检索出的事件阶段信息中的事件前阶段不成立,则不进行提取观测预测事件的处理。
13.根据权利要求1所述的信息处理装置,其特征在于,
所述信息系统蓄积有事件导出信息,该事件导出信息能够导出包括未由所述观测事件通知信息通知的事件在内的所述信息系统中的事件,
所述观测预测事件提取部检索记述有通过所述观测事件通知信息接收部接收到的观测事件通知信息所通知的观测事件的事件阶段信息,
根据蓄积在所述信息系统中的事件导出信息,判定记述在检索出的事件阶段信息中的事件前阶段是否成立,
在所述事件前阶段成立的情况下,从检索出的事件阶段信息中取得所述观测事件的事件后阶段,从所述事件阶段信息存储部中检索记述有与所取得的所述观测事件的事件后阶段对应的事件前阶段的事件阶段信息,根据检索出的事件阶段信息提取所述观测预测事件。
14.根据权利要求13所述的信息处理装置,其特征在于,
所述事件阶段信息存储部存储记述有攻击概率值的事件阶段信息,该攻击概率值表示事件被观测到时的针对所述信息系统的攻击的概率,
在根据蓄积在所述信息系统中的事件导出信息而判定记述在检索出的事件阶段信息中的事件前阶段是否成立的结果为所述事件前阶段成立的情况下,
所述观测预测事件提取部对蓄积在所述信息系统中的事件导出信息进行解析,从存储在所述事件阶段信息存储部中的多个事件阶段信息中选择1个以上的事件阶段信息,对记述在选择出的事件阶段信息中的攻击概率值和记述在检索出的事件阶段信息中的攻击概率值进行累加,得到攻击概率值的累加值。
15.根据权利要求4或14所述的信息处理装置,其特征在于,
所述信息处理装置还具有攻击概率值决定部,该攻击概率值决定部根据所述观测事件通知信息接收部接收所述观测事件通知信息的接收频度,决定记述在所述事件阶段信息中的攻击概率值。
16.根据权利要求10所述的信息处理装置,其特征在于,
所述信息处理装置还具有结构信息收集部,该结构信息收集部从所述信息系统收集所述结构信息。
17.一种信息处理方法,其由计算机进行,该计算机针对多个事件存储事件阶段信息,该事件阶段信息记述有在进行针对信息系统的攻击的过程中被所述信息系统观测到的事件、作为观测所述事件前的攻击的进展阶段的事件前阶段、和作为观测到所述事件后的攻击的进展阶段的事件后阶段,该信息处理方法的特征在于,包括以下步骤:
所述计算机接收通知被所述信息系统观测到的观测事件的观测事件通知信息;
所述计算机检索记述有由所述观测事件通知信息通知的观测事件的事件阶段信息,从检索出的事件阶段信息取得所述观测事件的事件后阶段,检索记述有与所取得的所述观测事件的事件后阶段对应的事件前阶段的事件阶段信息,根据检索出的事件阶段信息,提取预测为今后被所述信息系统观测到的事件作为观测预测事件。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2013/078774 WO2015059791A1 (ja) | 2013-10-24 | 2013-10-24 | 情報処理装置及び情報処理方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105683987A CN105683987A (zh) | 2016-06-15 |
| CN105683987B true CN105683987B (zh) | 2018-11-16 |
Family
ID=52992428
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380080452.9A Active CN105683987B (zh) | 2013-10-24 | 2013-10-24 | 信息处理装置和信息处理方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10282542B2 (zh) |
| EP (1) | EP3062258A4 (zh) |
| JP (1) | JP6053948B2 (zh) |
| CN (1) | CN105683987B (zh) |
| WO (1) | WO2015059791A1 (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015128896A1 (ja) * | 2014-02-26 | 2015-09-03 | 三菱電機株式会社 | 攻撃検知装置、攻撃検知方法、及び攻撃検知プログラム |
| US20170277887A1 (en) * | 2014-11-14 | 2017-09-28 | Mitsubishi Electric Corporation | Information processing apparatus, information processing method, and computer readable medium |
| JP6285390B2 (ja) * | 2015-04-22 | 2018-02-28 | 株式会社日立製作所 | サイバー攻撃分析装置及びサイバー攻撃分析方法 |
| US10440036B2 (en) | 2015-12-09 | 2019-10-08 | Checkpoint Software Technologies Ltd | Method and system for modeling all operations and executions of an attack and malicious process entry |
| US10462160B2 (en) * | 2015-12-09 | 2019-10-29 | Check Point Software Technologies Ltd. | Method and system for identifying uncorrelated suspicious events during an attack |
| US10193906B2 (en) * | 2015-12-09 | 2019-01-29 | Checkpoint Software Technologies Ltd. | Method and system for detecting and remediating polymorphic attacks across an enterprise |
| US10880316B2 (en) | 2015-12-09 | 2020-12-29 | Check Point Software Technologies Ltd. | Method and system for determining initial execution of an attack |
| JP6239215B2 (ja) * | 2015-12-14 | 2017-11-29 | 三菱電機株式会社 | 情報処理装置、情報処理方法及び情報処理プログラム |
| US20190141059A1 (en) * | 2016-06-23 | 2019-05-09 | Mitsubishi Electric Corporation | Intrusion detection apparatus and computer readable medium |
| US11120131B2 (en) | 2018-07-30 | 2021-09-14 | Rubrik, Inc. | Ransomware infection detection in filesystems |
| JP7152657B2 (ja) * | 2018-09-14 | 2022-10-13 | 富士通株式会社 | 監視装置、監視方法及び監視プログラム |
| JP7168010B2 (ja) * | 2019-02-04 | 2022-11-09 | 日本電気株式会社 | 行動計画推定装置、行動計画推定方法、及びプログラム |
| JP7186637B2 (ja) * | 2019-02-21 | 2022-12-09 | 三菱電機株式会社 | 検知ルール群調整装置および検知ルール群調整プログラム |
| WO2021144859A1 (ja) * | 2020-01-14 | 2021-07-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 侵入経路分析装置および侵入経路分析方法 |
| US20230297620A1 (en) * | 2020-06-16 | 2023-09-21 | Nec Corporation | Information search apparatus, information search method, and computer-readable recording medium |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7716739B1 (en) * | 2005-07-20 | 2010-05-11 | Symantec Corporation | Subjective and statistical event tracking incident management system |
| CN102138130A (zh) * | 2008-08-29 | 2011-07-27 | 国际商业机器公司 | 检测规则生成装置、检测规则生成方法和计算机程序 |
Family Cites Families (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0126430B1 (de) | 1983-05-19 | 1991-08-28 | Ciba-Geigy Ag | Verfahren zur Herstellung von 1-Triazolylethylether-Derivaten, sowie mikrobizide Mittel enthaltende neue 1-triazolyl-phenoxyphenylethylether-derivate als Wirkstoffe und deren Verwendung |
| US7163713B2 (en) * | 1999-07-31 | 2007-01-16 | The Regents Of The University Of California | Method for making dense crack free thin films |
| EP1277326A2 (en) | 2000-04-28 | 2003-01-22 | Internet Security Systems, Inc. | Method and system for managing computer security information |
| US7603709B2 (en) * | 2001-05-03 | 2009-10-13 | Computer Associates Think, Inc. | Method and apparatus for predicting and preventing attacks in communications networks |
| US7042852B2 (en) * | 2002-05-20 | 2006-05-09 | Airdefense, Inc. | System and method for wireless LAN dynamic channel change with honeypot trap |
| WO2003100619A1 (fr) | 2002-05-28 | 2003-12-04 | Fujitsu Limited | Dispositif, programme et procede de detection d'acces non autorise |
| US6952779B1 (en) * | 2002-10-01 | 2005-10-04 | Gideon Cohen | System and method for risk detection and analysis in a computer network |
| JP2004145413A (ja) | 2002-10-22 | 2004-05-20 | Mitsubishi Electric Corp | セキュリティホール診断システム |
| US7234166B2 (en) * | 2002-11-07 | 2007-06-19 | Stonesoft Corporation | Event sequence detection |
| JP2005316779A (ja) | 2004-04-28 | 2005-11-10 | Intelligent Cosmos Research Institute | 不正アクセス検出装置ならびに検知ルール生成装置、検知ルール生成方法および検知ルール生成プログラム |
| JP4371905B2 (ja) * | 2004-05-27 | 2009-11-25 | 富士通株式会社 | 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置 |
| JP2006350543A (ja) | 2005-06-14 | 2006-12-28 | Mitsubishi Electric Corp | ログ分析装置 |
| US7762076B2 (en) * | 2005-10-20 | 2010-07-27 | United Technologies Corporation | Attachment of a ceramic combustor can |
| US8776217B2 (en) * | 2006-11-03 | 2014-07-08 | Alcatel Lucent | Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis |
| JP4773332B2 (ja) * | 2006-12-28 | 2011-09-14 | 三菱電機株式会社 | セキュリティ管理装置及びセキュリティ管理方法及びプログラム |
| CN101075917B (zh) | 2007-07-16 | 2010-08-25 | 华为技术有限公司 | 一种预测网络攻击行为的方法及装置 |
| JP5111073B2 (ja) * | 2007-11-27 | 2012-12-26 | Kddi株式会社 | ポリシ生成システム、プログラム、および記録媒体 |
| ES2401456T3 (es) | 2007-12-28 | 2013-04-19 | Essilor International (Compagnie Generale D'optique) | Método para seleccionar curvas de base para una lente oftálmica y método de fabricación de lentes de gafas relacionadas |
| KR101039717B1 (ko) * | 2009-07-07 | 2011-06-09 | 한국전자통신연구원 | 사이버위협을 예측하기 위한 사이버위협 예측 엔진 시스템 및 상기 시스템을 이용한 사이버위협 예측 방법 |
| US8566956B2 (en) * | 2010-06-23 | 2013-10-22 | Salesforce.Com, Inc. | Monitoring and reporting of data access behavior of authorized database users |
| JP2012068903A (ja) | 2010-09-24 | 2012-04-05 | Dts Kk | ウェブアプリケーションファイアーウォールプログラム |
| JP2012133407A (ja) | 2010-12-17 | 2012-07-12 | Ntt Comware Corp | 不正アクセス検出装置、不正アクセス検出システム、不正アクセス検出方法及びプログラム |
| US20130019309A1 (en) * | 2011-07-12 | 2013-01-17 | Raytheon Bbn Technologies Corp. | Systems and methods for detecting malicious insiders using event models |
| DE102014213752A1 (de) * | 2014-07-15 | 2016-01-21 | Siemens Aktiengesellschaft | Rechenvorrichtung und Verfahren zum Erkennen von Angriffen auf ein technisches System anhand von Ereignissen einer Ereignisfolge |
| US10356109B2 (en) * | 2014-07-21 | 2019-07-16 | Entit Software Llc | Security indicator linkage determination |
| US10015189B2 (en) * | 2016-02-09 | 2018-07-03 | International Business Machine Corporation | Detecting and predicting cyber-attack phases in adjacent data processing environment regions |
| US10601845B2 (en) * | 2016-09-06 | 2020-03-24 | Radware, Ltd. | System and method for predictive attack sequence detection |
-
2013
- 2013-10-24 JP JP2015543647A patent/JP6053948B2/ja active Active
- 2013-10-24 CN CN201380080452.9A patent/CN105683987B/zh active Active
- 2013-10-24 EP EP13896096.8A patent/EP3062258A4/en not_active Withdrawn
- 2013-10-24 WO PCT/JP2013/078774 patent/WO2015059791A1/ja active Application Filing
- 2013-10-24 US US15/025,153 patent/US10282542B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7716739B1 (en) * | 2005-07-20 | 2010-05-11 | Symantec Corporation | Subjective and statistical event tracking incident management system |
| CN102138130A (zh) * | 2008-08-29 | 2011-07-27 | 国际商业机器公司 | 检测规则生成装置、检测规则生成方法和计算机程序 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3062258A4 (en) | 2017-05-31 |
| JP6053948B2 (ja) | 2016-12-27 |
| JPWO2015059791A1 (ja) | 2017-03-09 |
| US10282542B2 (en) | 2019-05-07 |
| CN105683987A (zh) | 2016-06-15 |
| WO2015059791A1 (ja) | 2015-04-30 |
| EP3062258A1 (en) | 2016-08-31 |
| US20160239661A1 (en) | 2016-08-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105683987B (zh) | 信息处理装置和信息处理方法 | |
| JP7098775B2 (ja) | ナレッジグラフの生成方法、関係マイニング方法、装置、機器及び媒体 | |
| CN111935192B (zh) | 网络攻击事件溯源处理方法、装置、设备和存储介质 | |
| US11606379B1 (en) | Identifying threat indicators by processing multiple anomalies | |
| US11575693B1 (en) | Composite relationship graph for network security | |
| US10609059B2 (en) | Graph-based network anomaly detection across time and entities | |
| Xie et al. | Evaluating host-based anomaly detection systems: A preliminary analysis of adfa-ld | |
| CN105431844B (zh) | 用于搜索系统的第三方搜索应用 | |
| EP3113061B1 (en) | Attack detection device, attack detection method, and attack detection program | |
| US20240119319A1 (en) | Automatically-Generated Labels For Time Series Data And Numerical Lists To Use In Analytic And Machine Learning Systems | |
| CN109002521A (zh) | 搜索关键词的纠错方法、装置和存储介质 | |
| KR102095853B1 (ko) | 바이러스 데이터베이스 획득 방법 및 기기, 장비, 서버 그리고 시스템 | |
| US20210019323A1 (en) | Information processing apparatus, data management system, data management method, and non-temporary computer readable medium including data management program | |
| CN113364631B (zh) | 一种网络拓扑管理方法、装置、设备及计算机存储介质 | |
| CN116319077B (zh) | 网络攻击检测方法和装置、设备、存储介质和产品 | |
| CN103093147A (zh) | 一种识别信息的方法和电子装置 | |
| WO2013172780A2 (en) | Method, apparatus and computer program for analysing events in a computer system | |
| CN113392121A (zh) | 一种数据查询方法、装置、设备和存储介质 | |
| CN112100220B (zh) | 一种实现非法账号组实时监控的系统 | |
| Wang et al. | Research on awareness method of cloud user abnormal behavior based on log audit | |
| RU2803399C2 (ru) | Системы и способы детектирования поведенческих угроз | |
| RU2778630C1 (ru) | Системы и способы детектирования поведенческих угроз | |
| KR102238796B1 (ko) | 저작자 정보 통합 수집 방법, 장치 및 시스템 | |
| RU2772549C1 (ru) | Системы и способы детектирования поведенческих угроз | |
| CN116415233A (zh) | 信息检测方法、设备、计算机可读存储介质及程序产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |