JP2016206943A - サイバー攻撃分析装置及びサイバー攻撃分析方法 - Google Patents
サイバー攻撃分析装置及びサイバー攻撃分析方法 Download PDFInfo
- Publication number
- JP2016206943A JP2016206943A JP2015087821A JP2015087821A JP2016206943A JP 2016206943 A JP2016206943 A JP 2016206943A JP 2015087821 A JP2015087821 A JP 2015087821A JP 2015087821 A JP2015087821 A JP 2015087821A JP 2016206943 A JP2016206943 A JP 2016206943A
- Authority
- JP
- Japan
- Prior art keywords
- graph
- suspicious activity
- terminal
- cyber attack
- suspicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】標的型攻撃やマルウェアの活動を検知する検知装置と接続されたサイバー攻撃分析装置は、前記検知装置から送信された、標的型攻撃やマルウェアの活動内容を表現する構造である複数の不審活動グラフを記憶する記憶部と、クライアント端末の要求に応じて前記複数の不審活動グラフの類似度を算出する制御部と、前記複数の不審活動グラフの類似度の算出結果を前記クライアント端末に表示させる出力部と、を備える。
【選択図】図1
Description
図1は本実施の形態にかかるサイバー攻撃分析システムの構成を示すブロック図である。図1に示すように、サイバー攻撃分析システムは、サイバー攻撃分析装置10、不審活動検知装置A20a、不審活動検知装置B20b、不審活動検知装置C20c、検索クライアント30a、動向予測クライアント30b、通信ネットワーク40a及び通信ネットワーク40bから構成される。
図2は、サイバー攻撃分析装置10のハードウェア構成を示している。なお、不審活動検知装置20や検索クライアント30a、動向予測クライアント30bのハードウェア構成もサイバー攻撃分析装置10のハードウェア構成と同様である。
図3に、不審活動グラフの概念図を示す。図3の不審活動グラフは、あるネットワーク内で行われた標的型攻撃・マルウェア感染の流れを表現する。図3に示す不審活動グラフは、ノード(N−1、N−2、N−3及びN−4)と、ノード間を繋ぐエッジ(E−1、E−2及びE−3)により構成される。
図4A及び図4Bを参照して、不審活動グラフDB100について説明する。不審活動グラフDB100は、各不審活動検知装置から収集した不審活動グラフを保管するデータベースである。
次に、図8〜図11を参照して、サイバー攻撃分析処理の詳細について説明する。以下説明するように、図8に示すように、正規化グラフ構築部500により不審活動検知装置20から受信した不審活動グラフが不審活動グラフDB100に保管され、正規化される。続いて、図9に示すように、情報正規化機能部600により、ポリシーDB200及び振舞いルールDB300を用いて、不審活動グラフの固有名称が一般名称に変換される。そして、図10に示すように、グラフ検索部700により、検索クライアント30aから受け付けた類似グラフの検索リクエストに対して、類似グラフに関する情報が返信される。さらに、動向予測部800により、動向予測クライアント30bからの、不審活動グラフの今後の動向予測のリクエストに対して、予測結果を返信する。
(条件2)検索対象グラフの正規化グラフには無いノード及びエッジを分組んでいるものである。
上記実施の形態によれば、サイバー攻撃分析装置10は、標的型攻撃やマルウェアの活動を検知する不審活動検知装置20から送信された、標的型攻撃やマルウェアの活動内容を表現する構造である複数の不審活動グラフを不審活動グラフDB100に記憶して、検索クライアント30aの要求に応じて、複数の不審活動グラフの類似度を算出し、前記複数の不審活動グラフの類似度の算出結果を検索クライアント30aに表示させる。これにより、検知結果間の比較や今後の攻撃動向の分析を行って、標的型攻撃及びマルウェアの活動の分析、及び、今後の攻撃の動向を予測することができる。
20a 不審活動検知装置A
20b 不審活動検知装置B
20c 不審活動検知装置C
30a 検索クライアント
30b 動向予測クライアント
40a 通信ネットワーク
40b 通信ネットワーク
100 不審活動グラフDB
200 ポリシーDB
300 振舞いルールDB
400 正規化グラフDB
500 正規化グラフ構築部
600 情報正規化機能部
700 グラフ検索部
800 動向予測部
Claims (11)
- 標的型攻撃やマルウェアの活動を検知する検知装置と接続されたサイバー攻撃分析装置であって、
前記検知装置から送信された、標的型攻撃やマルウェアの活動内容を表現する構造である複数の不審活動グラフを記憶する記憶部と、
クライアント端末の要求に応じて前記複数の不審活動グラフの類似度を算出する制御部と、
前記複数の不審活動グラフの類似度の算出結果を前記クライアント端末に表示させる出力部と、
を備えることを特徴とする、サイバー攻撃分析装置。 - 前記不審活動グラフは、標的型攻撃やマルウェアが侵入した端末をノード、侵入経路をエッジ、前記端末内での活動記録をラベルとするグラフ構造である
ことを特徴とする、請求項1に記載のサイバー攻撃分析装置。 - 前記制御部は、
前記不審活動グラフのノード、グラフ、ラベルの各要素に固有の記述である正規化前識別子を、予め定義された抽象的または一般的な記述である正規化後識別子に変換して正規化グラフを構築し、構築した前記正規化グラフ間のグラフ構造の類似度を算出する
ことを特徴とする、請求項2に記載のサイバー攻撃分析装置。 - 前記制御部は、
前記正規化前識別子から前記正規化後識別子への変換に際して、両識別子の対応情報を有することを特徴とする、請求項3に記載の前記サイバー攻撃分析装置。 - 前記記憶部には、前記不審活動グラフを正規化するための情報が記憶されており、
前記制御部は、
前記不審活動グラフを正規化するための情報をもとに、前記不審活動グラフの前記ラベルの情報に含まれる実行ファイルの挙動情報や通信情報に対応する前記正規化後識別子を選択する
ことを特徴とする、請求項4に記載の前記サイバー攻撃分析装置。 - 前記制御部は、
前記不審活動グラフのグラフ構造を、任意のルールに基づいて重複ノードやエッジの削除などのグラフ構造の変形処理を行う
ことを特徴とする、請求項5に記載の前記サイバー攻撃分析装置。 - 前記制御部は、
任意の不審活動グラフに類似する他の不審活動グラフの形状をもとに、任意の不審活動グラフの今後の形状変化を予測する
ことを特徴とする、請求項1に記載の前記サイバー攻撃分析装置。 - 前記制御部は、
予測対象の不審活動グラフに類似し、かつ、予測対象には含まれない要素を有する不審活動グラフであるスーパーグラフを特定し、前記類度算出機能を用いて求め、前記スーパーグラフと前記予測対象グラフの差分を、攻撃の動向予測結果として求める
ことを特徴とする、請求項7に記載の前記サイバー攻撃分析装置。 - 前記制御部は、
外部のクライアント端末からの類似グラフ検索要求及びグラフ動向予測要求を受け付け
前記出力部は、
類似グラフ検索結果及びグラフ動向予測結果を前記クライアント端末に出力させる
ことを特徴とする、請求項8に記載の前記サイバー攻撃分析装置。 - 前記サイバー攻撃分析装置は、前記クライアント端末がもつアクセス権限に応じて、前記類似グラフ検索結果及び前記グラフ動向予測結果を前記クライアント端末に出力させる際に、前記不審活動グラフの情報を表示させるかを判断する
ことを特徴とする、請求項9に記載の前記サイバー攻撃分析装置。 - 標的型攻撃やマルウェアの活動を検知する検知装置と接続されたサイバー攻撃分析装置におけるサイバー攻撃分析方法であって、
前記検知装置から送信された、標的型攻撃やマルウェアの活動内容を表現する構造である複数の不審活動グラフを記憶するステップと、
クライアント端末の要求に応じて前記複数の不審活動グラフの類似度を算出するステップと、
前記複数の不審活動グラフの類似度の算出結果を前記クライアント端末に表示させるステップと、
を含むことを特徴とする、サイバー攻撃分析方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015087821A JP6285390B2 (ja) | 2015-04-22 | 2015-04-22 | サイバー攻撃分析装置及びサイバー攻撃分析方法 |
PCT/JP2016/062721 WO2016171243A1 (ja) | 2015-04-22 | 2016-04-22 | サイバー攻撃分析装置及びサイバー攻撃分析方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015087821A JP6285390B2 (ja) | 2015-04-22 | 2015-04-22 | サイバー攻撃分析装置及びサイバー攻撃分析方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016206943A true JP2016206943A (ja) | 2016-12-08 |
JP6285390B2 JP6285390B2 (ja) | 2018-02-28 |
Family
ID=57144006
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015087821A Active JP6285390B2 (ja) | 2015-04-22 | 2015-04-22 | サイバー攻撃分析装置及びサイバー攻撃分析方法 |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP6285390B2 (ja) |
WO (1) | WO2016171243A1 (ja) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101759535B1 (ko) | 2017-01-10 | 2017-07-19 | 한국인터넷진흥원 | 침해 사고 그래프 데이터베이스 생성 방법 및 그 장치 |
KR101764674B1 (ko) | 2017-01-06 | 2017-08-03 | 한국인터넷진흥원 | 침해 자원에 대한 그래프 데이터베이스 생성 방법 및 그 장치 |
KR101780933B1 (ko) * | 2017-01-05 | 2017-09-26 | 한국인터넷진흥원 | 침해 자원 사이의 연관 관계 시각화 방법 및 그 장치 |
KR20180099238A (ko) * | 2017-02-28 | 2018-09-05 | 한국인터넷진흥원 | 침해 사고 예측 방법 및 그 장치 |
KR101910787B1 (ko) | 2017-02-28 | 2018-10-23 | 한국인터넷진흥원 | 침해 사고 그래프 데이터베이스에서의 사이버 킬 체인 분류 방법 및 그 장치 |
JP2020013532A (ja) * | 2018-06-29 | 2020-01-23 | エーオー カスペルスキー ラブAo Kaspersky Lab | コンピュータシステムにおける不正行為を検出するためのシステム及び方法 |
EP3674943A1 (en) * | 2018-12-28 | 2020-07-01 | AO Kaspersky Lab | System and method of detecting a source of malicious activity in a computer system |
CN111382435A (zh) * | 2018-12-28 | 2020-07-07 | 卡巴斯基实验室股份制公司 | 检测计算机系统中的恶意活动的来源的系统和方法 |
WO2023032015A1 (ja) * | 2021-08-30 | 2023-03-09 | 日本電気株式会社 | 攻撃分析支援装置、攻撃分析支援方法、およびコンピュータ読み取り可能な記録媒体 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114006766A (zh) * | 2021-11-04 | 2022-02-01 | 杭州安恒信息安全技术有限公司 | 网络攻击检测方法、装置、电子设备及可读存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005341217A (ja) * | 2004-05-27 | 2005-12-08 | Fujitsu Ltd | 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置 |
US20130031625A1 (en) * | 2011-07-29 | 2013-01-31 | Electronics And Telecommunications Research Institute | Cyber threat prior prediction apparatus and method |
WO2014045827A1 (ja) * | 2012-09-19 | 2014-03-27 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
WO2014112185A1 (ja) * | 2013-01-21 | 2014-07-24 | 三菱電機株式会社 | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6053948B2 (ja) * | 2013-10-24 | 2016-12-27 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
JP6267089B2 (ja) * | 2014-09-25 | 2018-01-24 | 株式会社日立製作所 | ウイルス検知システム及び方法 |
-
2015
- 2015-04-22 JP JP2015087821A patent/JP6285390B2/ja active Active
-
2016
- 2016-04-22 WO PCT/JP2016/062721 patent/WO2016171243A1/ja active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005341217A (ja) * | 2004-05-27 | 2005-12-08 | Fujitsu Ltd | 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置 |
US20130031625A1 (en) * | 2011-07-29 | 2013-01-31 | Electronics And Telecommunications Research Institute | Cyber threat prior prediction apparatus and method |
WO2014045827A1 (ja) * | 2012-09-19 | 2014-03-27 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
WO2014112185A1 (ja) * | 2013-01-21 | 2014-07-24 | 三菱電機株式会社 | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101780933B1 (ko) * | 2017-01-05 | 2017-09-26 | 한국인터넷진흥원 | 침해 자원 사이의 연관 관계 시각화 방법 및 그 장치 |
KR101764674B1 (ko) | 2017-01-06 | 2017-08-03 | 한국인터넷진흥원 | 침해 자원에 대한 그래프 데이터베이스 생성 방법 및 그 장치 |
KR101759535B1 (ko) | 2017-01-10 | 2017-07-19 | 한국인터넷진흥원 | 침해 사고 그래프 데이터베이스 생성 방법 및 그 장치 |
KR20180099238A (ko) * | 2017-02-28 | 2018-09-05 | 한국인터넷진흥원 | 침해 사고 예측 방법 및 그 장치 |
KR101910787B1 (ko) | 2017-02-28 | 2018-10-23 | 한국인터넷진흥원 | 침해 사고 그래프 데이터베이스에서의 사이버 킬 체인 분류 방법 및 그 장치 |
KR101959213B1 (ko) * | 2017-02-28 | 2019-03-18 | 한국인터넷진흥원 | 침해 사고 예측 방법 및 그 장치 |
JP2020013532A (ja) * | 2018-06-29 | 2020-01-23 | エーオー カスペルスキー ラブAo Kaspersky Lab | コンピュータシステムにおける不正行為を検出するためのシステム及び方法 |
JP7264631B2 (ja) | 2018-06-29 | 2023-04-25 | エーオー カスペルスキー ラブ | コンピュータシステムにおける不正行為を検出するためのシステム及び方法 |
EP3674943A1 (en) * | 2018-12-28 | 2020-07-01 | AO Kaspersky Lab | System and method of detecting a source of malicious activity in a computer system |
CN111382435A (zh) * | 2018-12-28 | 2020-07-07 | 卡巴斯基实验室股份制公司 | 检测计算机系统中的恶意活动的来源的系统和方法 |
JP2020109611A (ja) * | 2018-12-28 | 2020-07-16 | エーオー カスペルスキー ラボAO Kaspersky Lab | コンピュータシステム内の悪意のあるアクティビティの源を検出するシステムおよび方法 |
US11403398B2 (en) | 2018-12-28 | 2022-08-02 | AO Kaspersky Lab | System and method of detecting a source of malicious activity in a computer system |
WO2023032015A1 (ja) * | 2021-08-30 | 2023-03-09 | 日本電気株式会社 | 攻撃分析支援装置、攻撃分析支援方法、およびコンピュータ読み取り可能な記録媒体 |
Also Published As
Publication number | Publication date |
---|---|
JP6285390B2 (ja) | 2018-02-28 |
WO2016171243A1 (ja) | 2016-10-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6285390B2 (ja) | サイバー攻撃分析装置及びサイバー攻撃分析方法 | |
CN111935192B (zh) | 网络攻击事件溯源处理方法、装置、设备和存储介质 | |
Milajerdi et al. | Poirot: Aligning attack behavior with kernel audit records for cyber threat hunting | |
Montasari et al. | Next-generation digital forensics: Challenges and future paradigms | |
US11941054B2 (en) | Iterative constraint solving in abstract graph matching for cyber incident reasoning | |
US11184374B2 (en) | Endpoint inter-process activity extraction and pattern matching | |
Sibiya et al. | Digital forensic framework for a cloud environment | |
KR102079687B1 (ko) | 공격 그래프 기반의 사이버 위협 예측 시스템 및 그 방법 | |
Ghafir et al. | Proposed approach for targeted attacks detection | |
US9369478B2 (en) | OWL-based intelligent security audit | |
US20230205891A1 (en) | Systems and methods for prioritizing security findings using machine learning models | |
JP5650617B2 (ja) | 攻撃情報管理システム、攻撃情報管理装置、攻撃情報管理方法及びプログラム | |
Watson et al. | The honeynet project: Data collection tools, infrastructure, archives and analysis | |
Kim et al. | CyTIME: Cyber Threat Intelligence ManagEment framework for automatically generating security rules | |
US9871810B1 (en) | Using tunable metrics for iterative discovery of groups of alert types identifying complex multipart attacks with different properties | |
Saibharath et al. | Design and Implementation of a forensic framework for Cloud in OpenStack cloud platform | |
Dodia et al. | Exposing the rat in the tunnel: Using traffic analysis for tor-based malware detection | |
JP5656266B2 (ja) | ブラックリスト抽出装置、抽出方法および抽出プログラム | |
Kara | Cyber-espionage malware attacks detection and analysis: A case study | |
US20170331841A1 (en) | Automatic Categorization of IDPS Signatures from multiple different idps systems | |
US20220237302A1 (en) | Rule generation apparatus, rule generation method, and computer-readable recording medium | |
Choi et al. | Understanding Internet of Things malware by analyzing endpoints in their static artifacts | |
Frank et al. | Location, location, location: mapping potential Canadian targets in online hacker discussion forums | |
Anwar et al. | Understanding internet of things malware by analyzing endpoints in their static artifacts | |
Chauhan et al. | Emphasizing on various security issues in cloud forensic framework |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20171109 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171205 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180112 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180123 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180201 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6285390 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |