JP2018196054A - 評価プログラム、評価方法および情報処理装置 - Google Patents

評価プログラム、評価方法および情報処理装置 Download PDF

Info

Publication number
JP2018196054A
JP2018196054A JP2017100104A JP2017100104A JP2018196054A JP 2018196054 A JP2018196054 A JP 2018196054A JP 2017100104 A JP2017100104 A JP 2017100104A JP 2017100104 A JP2017100104 A JP 2017100104A JP 2018196054 A JP2018196054 A JP 2018196054A
Authority
JP
Japan
Prior art keywords
cyber
cyber attack
feature information
evaluation
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017100104A
Other languages
English (en)
Other versions
JP7005936B2 (ja
Inventor
谷口 剛
Takeshi Taniguchi
剛 谷口
竜介 益岡
Ryusuke Masuoka
竜介 益岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2017100104A priority Critical patent/JP7005936B2/ja
Priority to GB1915481.4A priority patent/GB2575755B/en
Priority to PCT/JP2018/012692 priority patent/WO2018211827A1/ja
Publication of JP2018196054A publication Critical patent/JP2018196054A/ja
Priority to US16/672,016 priority patent/US11455389B2/en
Application granted granted Critical
Publication of JP7005936B2 publication Critical patent/JP7005936B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/031Protect user input by software means
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Abstract

【課題】サイバー攻撃の分析を容易に行うことを可能とする。【解決手段】実施形態のサイバー攻撃に関する評価プログラムは、評価する処理と、応答する処理とをコンピュータに実行させる。評価する処理は、複数種類のサイバー攻撃情報を収集して、サイバー攻撃の特徴情報について、サイバー攻撃の特徴情報が出現するサイバー攻撃の種類の多少を評価する。応答する処理は、サイバー攻撃の特徴情報の指定を受けると、指定されたサイバー攻撃の特徴情報が出現するサイバー攻撃の種類の多少の評価結果を応答する。【選択図】図1

Description

本発明の実施形態は、評価プログラム、評価方法および情報処理装置に関する。
近年、ネットワークを経由した不正アクセスなどのサイバー攻撃が深刻な問題となっている。このサイバー攻撃については、監視対象である通信装置に対するアクセス履歴を取得し、取得したアクセス履歴に基いてネットワーク攻撃を判断する従来技術が知られている。
また、サイバー攻撃を行う攻撃者は、ターゲットを絞ってより洗練された攻撃を行ってくる。このような洗練されたサイバー攻撃には、他組織が受けたサイバー攻撃の情報を共有し、新たな攻撃へ備えておかないと、対処することが難しい。サイバー攻撃に関する攻撃者や目的、攻撃手法・手口などをセンサーなどが自動的に発行するアラートだけではなく、アナリストの分析も含めレポート等にまとめたサイバー攻撃にかかる情報をサイバー脅威インテリジェンスという。このサイバー脅威インテリジェンスについては、共有を行うための標準化やプラットフォームの構築などが進みつつあり、大量のサイバー脅威インテリジェンスを利用するための基盤が整ってきている。
特開2016−152594号公報 特開2005−128946号公報 特開2007−208861号公報 特開2001−155020号公報
しかしながら、より洗練されたサイバー攻撃に対応するために、サイバー脅威インテリジェンスからサイバー攻撃の分析を行うことは容易なことではない。例えば、単純に1つのサイバー脅威インテリジェンスを見ているだけでは、そのサイバー攻撃で観測された事象が、よく使われている手法により使いまわされているような観測事象であるか否かを区別することは困難である。また、サイバー攻撃は日々発生し、また進化しているため、大量のサイバー脅威インテリジェンスを人間が読んで分析するのは容易ではない。
1つの側面では、サイバー攻撃の分析を容易に行うことを可能とする評価プログラム、評価方法および情報処理装置を提供することを目的とする。
第1の案では、サイバー攻撃に関する評価プログラムは、評価する処理と、応答する処理とをコンピュータに実行させる。評価する処理は、複数種類のサイバー攻撃情報を収集して、サイバー攻撃の特徴情報について、サイバー攻撃の特徴情報が出現するサイバー攻撃の種類の多少を評価する。応答する処理は、サイバー攻撃の特徴情報の指定を受けると、指定されたサイバー攻撃の特徴情報が出現するサイバー攻撃の種類の多少の評価結果を応答する。
1つの側面では、サイバー攻撃の分析を容易に行うことができる。
図1は、実施形態にかかる情報処理装置の機能構成例を示すブロック図である。 図2は、サイバー脅威インテリジェンスを説明する説明図である。 図3は、サイバー脅威インテリジェンスの要素の組み合わせの重み付けを説明する説明図である。 図4は、要素の抽出処理を例示するフローチャートである。 図5は、要素の抽出例を説明する説明図である。 図6は、サブグループの構築処理を例示するフローチャートである。 図7は、要素の評価処理を例示するフローチャートである。 図8は、サブグループに対する要素の組み合わせの重み情報を説明する説明図である。 図9は、重みの計算例を説明する説明図である。 図10は、要素の評価処理の変形例を示すフローチャートである。 図11は、重みの計算例を説明する説明図である。 図12は、実施形態にかかる情報処理装置のハードウエア構成の一例を示すブロック図である。
以下、図面を参照して、実施形態にかかる評価プログラム、評価方法および情報処理装置を説明する。実施形態において同一の機能を有する構成には同一の符号を付し、重複する説明は省略する。なお、以下の実施形態で説明する評価プログラム、評価方法および情報処理装置は、一例を示すに過ぎず、実施形態を限定するものではない。また、以下の各実施形態は、矛盾しない範囲内で適宜組みあわせてもよい。
図1は、実施形態にかかる情報処理装置の機能構成例を示すブロック図である。実施形態にかかる情報処理装置1は、例えば、PC(パーソナルコンピュータ)などのコンピュータである。図1に示すように、情報処理装置1は、サイバー脅威インテリジェンス収集部10、サイバー脅威インテリジェンスDB20、評価部30、入力部40および出力部50を有する。
サイバー脅威インテリジェンス収集部10は、インターネットなどを介してアナリストなどが提供している各種のサイバー脅威インテリジェンスを収集し、収集したサイバー脅威インテリジェンスをサイバー脅威インテリジェンスDB20に格納する。サイバー脅威インテリジェンスDB20は、サイバー脅威インテリジェンス収集部10により収集されたサイバー脅威インテリジェンスを格納するデータベースである。
例えば、サイバー脅威インテリジェンス収集部10は、予め設定されたインターネット上のサイトを巡回(クロール)することで、各種のサイバー脅威インテリジェンスを収集する。次いで、サイバー脅威インテリジェンス収集部10は、収集したサイバー脅威インテリジェンスを、サイバー脅威インテリジェンスごとに識別情報(例えばID)や収集時刻などの付加情報を加えた上でサイバー脅威インテリジェンスDB20に格納する。
図2は、サイバー脅威インテリジェンスを説明する説明図である。図2に示すように、サイバー脅威インテリジェンス11では、STIX(Structured Threat Information eXpression)などの形式でサイバー攻撃の情報が記述される。例えば、STIXは、サイバー攻撃活動(Campaigns)、攻撃者(Threat_Actors)、攻撃手口(TTPs)、検知指標(Indicators)、観測事象(Observables)、インシデント(Incidents)、対処措置(Courses_Of_Action)、攻撃対象(Exploit_Targets)の8つの情報群から構成される。
すなわち、サイバー脅威インテリジェンス11は、サイバー攻撃情報の一例である。また、STIXバージョン1.1.1時点では、図2のように、XML(eXtensible Markup Language)形式で記述される。
例えば、「Observables」のタグで囲まれた領域11aには、観測されたIPやdomainマルウェアのハッシュ値などが記述される。「Indicators」のタグで囲まれた領域11bには、サイバー攻撃イベントを特徴づける指標を示す情報が個別に記述される。具体的には、領域11bでは、検知指標のタイプ、検知指標に関連する観測事象、攻撃段階フェーズ、痕跡などから検知指標を作成するために使用したツールと共に、サイバー攻撃を特徴づける指標について記述される。
また、「TTPs」のタグで囲まれた領域11cには、利用された攻撃手法、例えばスパムメールやマルウェア、水飲み場攻撃などが記述される。また、「Exploit_Targets」のタグで囲まれた領域11dには、脆弱性、脆弱性の種類、設定や構成などの視点から、攻撃の対象となりうるソフトウェアやシステムの弱点など、サイバー攻撃イベントにおいて攻撃の対象となる資産の弱点を示す情報が個別に記述される。
また、「Campaigns」のタグで囲まれた領域11eには、一連の攻撃につけられる名前などが記述される。すなわち、領域11eには、サイバー攻撃の種類にかかる情報が記述される。
また、「Threat_Actors」のタグで囲まれた領域11fには、サイバー攻撃の攻撃者のタイプ、攻撃者の同期、攻撃者の熟練度、攻撃者の意図などの視点からサイバー攻撃に寄与している人/組織についての情報が個別に記述される。具体的には、領域11fでは、不正アクセス元(送信元)のIPアドレス、またはメールアドレス、ソーシャルネットワークサービスのアカウントの情報が記述される。
このように、サイバー脅威インテリジェンス11の領域11a〜11fには、サイバー攻撃の観測事象(IP、domain、ハッシュ値等)やTTP等のサイバー攻撃の特徴を示す情報、すなわちサイバー攻撃の特徴情報が記述される。なお、サイバー脅威インテリジェンス11を共有するためのソースとしては、AlienVaultが提供するフリーで利用可能なOTX(Open Threat Exchange)やFireEyeが提供するiSIGHT Partnersなどが存在する。また、一般に公開されているプラットフォームを利用すれば、サイバー脅威インテリジェンス11の内容を確認したり、サイバー脅威インテリジェンス11間の関連を見たりすることも可能である。
評価部30は、要素抽出部31、サブグループ構築部32および要素評価部33を有する。評価部30は、サイバー脅威インテリジェンスDB20を参照し、サイバー攻撃の観測事象(IP、domain、ハッシュ値等)やTTP等のサイバー攻撃の特徴を示す各要素について、要素が出現するサイバー攻撃の種類(キャンペーンやマルウェア)の多少を評価する。
具体的には、評価部30は、入力部40からのユーザ入力により要素の指定を受け付けると、指定された要素が出現するサイバー攻撃の種類の多少の評価結果を出力部50に出力する。一例として、評価部30は、キャンペーンやマルウェアなどのサイバー攻撃の種類を示すサブグループごとに、サブグループに対する要素の組み合わせの重み(W)、すなわち、要素の出現の多少に応じた重み値W(出現が多いほど重い値とする)を出力する。
ここで、評価部30の詳細について説明する。図3は、サイバー脅威インテリジェンスの要素の組み合わせの重み付けを説明する説明図である。
要素抽出部31は、抽出対象とする要素のリストを入力部40より受け付ける。そして、要素抽出部31は、図3に示すように、入力されたリストに含まれる抽出対象の要素をサイバー脅威インテリジェンスDB20より検索して抽出する。次いで、要素抽出部31は、サイバー脅威インテリジェンスDB20より抽出された要素の項目を示す要素リスト31aを要素評価部33に出力する。これにより、要素抽出部31は、入力されたリストに含まれる、サイバー攻撃の観測事象(IP、domain、ハッシュ値等)やTTP等のサイバー攻撃の特徴を示す各要素を抽出し、要素リスト31aを要素評価部33に出力する。
図4は、要素の抽出処理を例示するフローチャートである。図4に示すように、抽出処理が開始されると、要素抽出部31は、サイバー脅威インテリジェンスDB20に格納された各サイバー脅威インテリジェンス11に出現する観測事象(IP、domain、ハッシュ値等)やTTP等を要素として抽出する(S1)。次いで、要素抽出部31は、抽出した要素を要素リスト31aとして格納し(S2)、要素リスト31aを要素評価部33へ出力する。
例えば、要素抽出部31は、要素を抽出する際に、図2のようなSTIXなどの標準規格でサイバー脅威インテリジェンス11が構造化されている場合には、XMLパーサなどを利用してパースした後に、入力されたリストに含まれる抽出対象の要素を抽出する。
図5は、要素の抽出例を説明する説明図である。なお、入力されたリストには、抽出対象の要素として観測事象のIP addressの記述があるものとする。
図5に示すように、STIX形式のサイバー脅威インテリジェンス11の場合、要素抽出部31は、パーサによってXML形式で記述されたサイバー脅威インテリジェンス11の内容をパースする。これにより、要素抽出部31は、「AddressObj:Address_Value」というタグで囲まれた部分から、「XXX.XXX.XXX.XXX」、「YYY.YYY.YYY.YYY」などのIP address値を抽出する。次いで、要素抽出部31は、抽出したIP address値を重複のないようにリストにして要素リスト31aに記述する。
また、要素抽出部31は、Domainの他、MD5、SHA1、SHA256といったマルウェアのハッシュ値に関してもIP address値と同様に抽出し、要素リスト31aに格納する。
なお、要素抽出部31は、サイバー脅威インテリジェンス11が標準規格などで構造化されておらず、テキストによるレポート形式などである場合は、既存の自然言語処理ツールを用いて抽出対象の要素を抽出する。次いで、要素抽出部31は、抽出した要素を要素リスト31aに格納する。
図3に戻り、サブグループ構築部32は、キャンペーンやマルウェアなどのサイバー攻撃の種類を示すサブグループとして構築するグループのリストを入力部40より受け付ける。次いで、サブグループ構築部32は、図3に示すように、サイバー脅威インテリジェンスDB20を参照し、受け付けたリストに含まれるサブグループについて、サイバー脅威インテリジェンスDB20に格納されたサイバー脅威インテリジェンス11に該当するものを構築する。次いで、サブグループ構築部32は、構築したサブグループ32a(サブグループ(1)、サブグループ(2)…サブグループ(i))を要素評価部33に出力する。
図6は、サブグループの構築処理を例示するフローチャートである。図6に示すように、構築処理が開始されると、サブグループ構築部32は、構築するサブグループのリストに記述されているキャンペーンやマルウェアを1つ選択する。次いで、サブグループ構築部32は、サイバー脅威インテリジェンスDB20を参照し、選択したキャンペーン等に関連するサイバー脅威インテリジェンス11を収集する(S11)。
例えばリストから「Campaign1」を選択したものとする。この場合、サブグループ構築部32は、サイバー脅威インテリジェンスDB20を参照し、図5に示すような、「campaign:Title」というタグに囲まれた部分に「Campaign1」という記述があるサイバー脅威インテリジェンス11を、条件に合うものとして収集する。
次いで、サブグループ構築部32は、収集したサイバー脅威インテリジェンス11をサブグループ32aとして格納し(S12)、構築するサブグループのリストにおいて未選択のキャンペーン等が存在するか否かを判定する(S13)。未選択のキャンペーン等が存在する場合(S13:YES)、サブグループ構築部32は、S11へ処理を戻す。未選択のキャンペーン等が存在しない場合(S13:NO)、サブグループ構築部32は、サブグループ32aを要素評価部33へ出力して処理を終了する。
図3に戻り、要素評価部33は、要素抽出部31から出力された要素リスト31aおよびサブグループ構築部32より出力されたサブグループ32aを受け付け、サブグループに対する要素の組み合わせの重み(W)を評価して出力する。
図7は、要素の評価処理を例示するフローチャートである。図7に示すように、評価処理が開始されると、要素評価部33は、要素リスト31aに含まれる要素の中から未選択の要素の組み合わせを生成する(S21)。ここでいう要素の組み合わせとは、例えば単独のIPであってもよいし、複数のIPの組み合わせであってもよい。
次いで、要素評価部33は、S21で生成した要素の組み合わせに対し、その要素の組み合わせが記述されているサイバー脅威インテリジェンス11を最も多く含むサブグループ32aを選択する(S22)。例えば、要素評価部33は、STIX形式のサイバー脅威インテリジェンス11においては、パーサなどを用いて要素の組み合わせに該当するタグの値を抽出してマッチング処理を行う。これにより、要素評価部33は、例えばIPの組み合わせがサイバー脅威インテリジェンス11に含まれるか否かを調べることができる。次いで、要素評価部33は、要素の組み合わせを含むサイバー脅威インテリジェンス11数の多いサブグループ32aを選択する。
次いで、要素評価部33は、S22で選択したサブグループに対し、その要素の組み合わせが含まれるサイバー脅威インテリジェンス11の数(N)をカウントする(S23)。次いで、要素評価部33は、選択したサブグループ以外の全てのサブグループに対し、その要素の組み合わせが含まれるサイバー脅威インテリジェンス11の数(M)をカウントする(S24)。
次いで、要素評価部33は、S23、S24でカウントした値(N、M)を用いて、サブグループに対する要素の組み合わせの重み(W)を計算し、計算結果を出力データとしてメモリなどに格納する(S25)。
具体的には、要素評価部33は、サブグループに対する要素の組み合わせの重み(W)を、以下の式(1)のように評価(計算)する。
式(1):重み(W)=N/(N+M)
この式(1)では、限られたサブグループで観測(出現)された観測事象(要素の組み合わせ)のほうが、重みが1に近づく。また、様々なサブグループに出現し、Mが大きくなるほど、重み(W)は1から離れて小さくなっていく。
次いで、要素評価部33は、要素リスト31aに含まれる要素の中から未選択の要素の組み合わせが存在するか否かを判定する(S26)。存在する場合(S26:YES)、要素評価部33は、S21へ処理を戻す。存在しない場合(S26:NO)、要素評価部33は、処理を終了する。
図8は、サブグループに対する要素の組み合わせの重み情報を説明する説明図である。上記の評価処理を要素評価部33が行うことで、図8に示すような、サブグループごとの、サブグループに対する要素の組み合わせの重み(W)を計算した出力データ34がメモリなどに格納され、出力部50へ渡される。
図1に戻り、入力部40は、ファイル入力やキーボードなどによる操作入力をユーザから受け付ける。具体的には、入力部40は、要素抽出部31が抽出する要素の項目リストや、サブグループ構築部32が構築するキャンペーンやマルウェアなどのサブグループのリストの入力を受け付ける。入力部40は、入力された要素の項目リストを要素抽出部31へ出力する。また、入力部40は、入力されたサブグループのリストをサブグループ構築部32へ出力する。
出力部50は、評価部30により出力された評価結果、すなわち、サブグループに対する要素の組み合わせの重み(W)を計算した出力データ34をファイルやディスプレイなどへ出力する。例えば、出力部50は、評価部30により出力された評価結果の表示画面をディスプレイなどへ表示する。これにより、ユーザは、評価結果の内容を確認することができる。
図9は、重みの計算例を説明する説明図である。図9に示すように、ケースC1では、「AAA.AAA.AAA.AAA」のIPが記述されたサイバー脅威インテリジェンス11がDGA(Domain Generation Algorithm)関連で5件、DGA以外で6件カウントされている。この場合、重み(W)は、式(1)により、5/(5+6)=0.455となる。
また、ケースC2では、「BBB.BBB.BBB.BBB」のIPが記述されたサイバー脅威インテリジェンス11がKelihos関連で38件カウントされ、Kelihos以外ではカウントされなかった。この場合、重み(W)は、式(1)により、38/(38+0)=1.000となる。
このように、本実施形態では、限られたサブグループで観測された観測事象の方が、重みが1に近づき、様々なサブグループに出現する観測事象の方が、重みが1から離れて小さくなっていく。よって、ユーザは、重み値を確認することで、サイバー攻撃で観測された事象が、よく使われている手法により使いまわされているような観測事象であるか否かを区別することができる。
(変形例)
なお、重み付けについては、上記の方法に限定されるものではなく、TF−IDFのような指標を用いてもよい。しかしながら、サイバー脅威インテリジェンス11では(STIX形式などで構造化されている場合は特に)、文書の中の重要なキーワードのように、各要素が同じ文書で繰り返し出現されることは少ない。例えば、1つのサイバー脅威インテリジェンス11には、1つの要素が登録される。したがって、TF−IDFのような指標ではそもそも頻度が低くて評価が高くならない要素も、上記の方法では重みを高く評価できる場合がある。
上記のような観点に基づく、要素の評価処理の変形例を説明する。図10は、要素の評価処理の変形例を示すフローチャートである。
図10に示すように、評価処理が開始されると、要素評価部33は、要素リスト31aに含まれる要素の中から未選択の要素の組み合わせを生成する(S31)。次いで、要素評価部33は、各サブグループ32aに対し、その要素の組み合わせが含まれるサイバー脅威インテリジェンス11が存在するか否かを確認する(S32)。
次いで、要素評価部33は、要素の組み合わせが含まれるサブグループの数(S)をもとに要素の組み合わせの重みを計算し、計算結果を出力データ34としてメモリなどに格納する(S33)。
具体的には、要素評価部33は、要素評価部33は、重み(W)を、以下の式(2)のように評価(計算)する。
式(2):重み(W)=1/S
次いで、要素評価部33は、要素リスト31aに含まれる要素の中から未選択の要素の組み合わせが存在するか否かを判定する(S34)。存在する場合(S34:YES)、要素評価部33は、S31へ処理を戻す。存在しない場合(S34:NO)、要素評価部33は、処理を終了する。
図11は、重みの計算例を説明する説明図である。図11に示すように、例えば、ケースC3におけるIP「XXX.XXX.XXX.XXX」は、「Kelihos」のサブグループに含まれ、他のサブグループには含まれない。よって、IP「XXX.XXX.XXX.XXX」における重みは1.000となる。
これに対し、ケースC4におけるIP「YYYY.YYY.YYY.YYY」は、3種類のサブグループに含まれるため、重みは1/3=0.333と評価する。また、ケースC5におけるIP「ZZZ.ZZZ.ZZZ.ZZZ」のように、より多くのサブグループに含まれる要素ほど重みが低くなる。よって、ユーザは、変形例のように算出された重み値を確認することで、サイバー攻撃の特徴情報(要素)が観測されたサイバー攻撃の種類の数を把握することができる。
以上のように、情報処理装置1のサイバー脅威インテリジェンス収集部10は、インターネット等よりサイバー脅威インテリジェンス11を収集してサイバー脅威インテリジェンスDB20に格納する。情報処理装置1の評価部30は、サイバー脅威インテリジェンスDB20を参照し、サイバー攻撃の特徴情報について、サイバー攻撃の特徴情報が出現するサイバー攻撃の種類の多少を評価する。また、評価部30は、入力部40よりサイバー攻撃の特徴情報の指定を受けると、指定されたサイバー攻撃の特徴情報が出現するサイバー攻撃の種類の多少の評価結果を応答する。情報処理装置1の出力部50は、評価部30により応答された評価結果をファイルやディスプレイなどに出力する。
これにより、ユーザは、例えば、サイバー攻撃で観測された事象が、よく使われている手法により使いまわされているような観測事象であるか否かを区別することができ、サイバー攻撃の分析を容易に行うことができる。
また、情報処理装置1は、評価結果の応答の際に、指定されたサイバー攻撃の特徴情報が出現するサイバー攻撃の種類をあわせて応答する。例えば、図9の例では、「AAA.AAA.AAA.AAA」、「BBB.BBB.BBB.BBB」などのサイバー攻撃の特徴を示すIPとともに、「DGA関連」、「kelihos関連」などのサイバー攻撃の種類に対応するサブグループも合わせて出力されている。これにより、ユーザは、サイバー攻撃の特徴情報と、その特徴情報が出現するサイバー攻撃の種類との関係を容易に確認することができる。
また、情報処理装置1は、サイバー攻撃の種類ごとの、指定されたサイバー攻撃の特徴情報が出現する度合いを示す重み値を応答する。例えば、図11のケースC4では、「DGA」、「Angler」、「Pony」などのサイバー攻撃の種類に対応するサブグループごとに、サイバー攻撃の特徴を示す「YYY.YYY.YYY.YYY」などのIPの出現度合いを示す重みが出力されている。これにより、ユーザは、サイバー攻撃の種類ごとの、サイバー攻撃の特徴情報が出現する度合いを容易に確認することができる。
なお、図示した各装置の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。
また、情報処理装置1で行われる各種処理機能は、CPU(またはMPU、MCU(Micro Controller Unit)等のマイクロ・コンピュータ)上で、その全部または任意の一部を実行するようにしてもよい。また、各種処理機能は、CPU(またはMPU、MCU等のマイクロ・コンピュータ)で解析実行されるプログラム上、またはワイヤードロジックによるハードウエア上で、その全部または任意の一部を実行するようにしてもよいことは言うまでもない。また、情報処理装置1で行われる各種処理機能は、クラウドコンピューティングにより、複数のコンピュータが協働して実行してもよい。
ところで、上記の実施形態で説明した各種の処理は、予め用意されたプログラムをコンピュータで実行することで実現できる。そこで、以下では、上記の実施形態と同様の機能を有するプログラムを実行するコンピュータ(ハードウエア)の一例を説明する。図12は、実施形態にかかる情報処理装置1のハードウエア構成の一例を示すブロック図である。
図12に示すように、情報処理装置1は、各種演算処理を実行するCPU101と、データ入力を受け付ける入力装置102と、モニタ103と、スピーカ104とを有する。また、情報処理装置1は、記憶媒体からプログラム等を読み取る媒体読取装置105と、各種装置と接続するためのインタフェース装置106と、有線または無線により外部機器と通信接続するための通信装置107とを有する。また、情報処理装置1は、各種情報を一時記憶するRAM108と、ハードディスク装置109とを有する。また、情報処理装置1内の各部(101〜109)は、バス110に接続される。
ハードディスク装置109には、上記の実施形態で説明した各種の処理を実行するためのプログラム111が記憶される。また、ハードディスク装置109には、プログラム111が参照する各種データ112が記憶される。入力装置102は、例えば、操作者から操作情報の入力を受け付ける。モニタ103は、例えば、操作者が操作する各種画面を表示する。インタフェース装置106は、例えば印刷装置等が接続される。通信装置107は、LAN(Local Area Network)等の通信ネットワークと接続され、通信ネットワークを介した外部機器との間で各種情報をやりとりする。
CPU101は、ハードディスク装置109に記憶されたプログラム111を読み出して、RAM108に展開して実行することで、各種の処理を行う。なお、プログラム111は、ハードディスク装置109に記憶されていなくてもよい。例えば、情報処理装置1が読み取り可能な記憶媒体に記憶されたプログラム111を読み出して実行するようにしてもよい。情報処理装置1が読み取り可能な記憶媒体は、例えば、CD−ROMやDVDディスク、USB(Universal Serial Bus)メモリ等の可搬型記録媒体、フラッシュメモリ等の半導体メモリ、ハードディスクドライブ等が対応する。また、公衆回線、インターネット、LAN等に接続された装置にこのプログラム111を記憶させておき、情報処理装置1がこれらからプログラム111を読み出して実行するようにしてもよい。
以上の実施形態に関し、さらに以下の付記を開示する。
(付記1)複数種類のサイバー攻撃情報を収集して、サイバー攻撃の特徴情報について、該サイバー攻撃の特徴情報が出現するサイバー攻撃の種類の多少を評価し、
サイバー攻撃の特徴情報の指定を受けると、指定された該サイバー攻撃の特徴情報が出現するサイバー攻撃の種類の多少の評価結果を応答する、
処理をコンピュータに実行させることを特徴とするサイバー攻撃に関する評価プログラム。
(付記2)前記評価結果の応答の際に、指定された前記サイバー攻撃の特徴情報が出現するサイバー攻撃の種類をあわせて応答する、
ことを特徴とする付記1記載のサイバー攻撃に関する評価プログラム。
(付記3)前記応答する処理は、前記サイバー攻撃の種類ごとの、指定された該サイバー攻撃の特徴情報が出現する度合いを示す重み値を応答する、
ことを特徴とする付記1または2に記載のサイバー攻撃に関する評価プログラム。
(付記4)前記応答する処理は、前記サイバー攻撃の特徴情報の組み合わせの指定を受け付けると、指定された該サイバー攻撃の特徴情報の組み合わせが出現するサイバー攻撃の種類の多少の評価結果を応答する、
ことを特徴とする付記1乃至3のいずれか一に記載のサイバー攻撃に関する評価プログラム。
(付記5)複数種類のサイバー攻撃情報を収集して、サイバー攻撃の特徴情報について、該サイバー攻撃の特徴情報が出現するサイバー攻撃の種類の多少を評価し、
サイバー攻撃の特徴情報の指定を受けると、指定された該サイバー攻撃の特徴情報が出現するサイバー攻撃の種類の多少の評価結果を応答する、
処理をコンピュータが実行することを特徴とするサイバー攻撃に関する評価方法。
(付記6)前記評価結果の応答の際に、指定された前記サイバー攻撃の特徴情報が出現するサイバー攻撃の種類をあわせて応答する、
ことを特徴とする付記5記載のサイバー攻撃に関する評価方法。
(付記7)前記応答する処理は、前記サイバー攻撃の種類ごとの、指定された該サイバー攻撃の特徴情報が出現する度合いを示す重み値を応答する、
ことを特徴とする付記5または6に記載のサイバー攻撃に関する評価方法。
(付記8)前記応答する処理は、前記サイバー攻撃の特徴情報の組み合わせの指定を受け付けると、指定された該サイバー攻撃の特徴情報の組み合わせが出現するサイバー攻撃の種類の多少の評価結果を応答する、
ことを特徴とする付記5乃至7のいずれか一に記載のサイバー攻撃に関する評価方法。
(付記9)複数種類のサイバー攻撃情報を収集して、サイバー攻撃の特徴情報について、該サイバー攻撃の特徴情報が出現するサイバー攻撃の種類の多少を評価する評価部と、
サイバー攻撃の特徴情報の指定を受けると、指定された該サイバー攻撃の特徴情報が出現するサイバー攻撃の種類の多少の評価結果を出力する出力部と、
を有することを特徴とする情報処理装置。
(付記10)前記出力部は、指定された前記サイバー攻撃の特徴情報が出現するサイバー攻撃の種類をあわせて出力する、
ことを特徴とする付記9記載の情報処理装置。
(付記11)前記出力部は、前記サイバー攻撃の種類ごとの、指定された該サイバー攻撃の特徴情報が出現する度合いを示す重み値を出力する、
ことを特徴とする付記9または10に記載の情報処理装置。
(付記12)前記出力部は、前記サイバー攻撃の特徴情報の組み合わせの指定を受け付けると、指定された該サイバー攻撃の特徴情報の組み合わせが出現するサイバー攻撃の種類の多少の評価結果を出力する、
ことを特徴とする付記9乃至11のいずれか一に記載の情報処理装置。
1…情報処理装置
10…サイバー脅威インテリジェンス収集部
11…サイバー脅威インテリジェンス
11a〜11f…領域
20…サイバー脅威インテリジェンスDB
30…評価部
31…要素抽出部
31a…要素リスト
32…サブグループ構築部
32a…サブグループ
33…要素評価部
34…出力データ
40…入力部
50…出力部
101…CPU
102…入力装置
103…モニタ
104…スピーカ
105…媒体読取装置
106…インタフェース装置
107…通信装置
108…RAM
109…ハードディスク装置
110…バス
111…プログラム
112…各種データ
C1〜C5…ケース

Claims (6)

  1. 複数種類のサイバー攻撃情報を収集して、サイバー攻撃の特徴情報について、該サイバー攻撃の特徴情報が出現するサイバー攻撃の種類の多少を評価し、
    サイバー攻撃の特徴情報の指定を受けると、指定された該サイバー攻撃の特徴情報が出現するサイバー攻撃の種類の多少の評価結果を応答する、
    処理をコンピュータに実行させることを特徴とするサイバー攻撃に関する評価プログラム。
  2. 前記評価結果の応答の際に、指定された前記サイバー攻撃の特徴情報が出現するサイバー攻撃の種類をあわせて応答する、
    ことを特徴とする請求項1記載のサイバー攻撃に関する評価プログラム。
  3. 前記応答する処理は、前記サイバー攻撃の種類ごとの、指定された該サイバー攻撃の特徴情報が出現する度合いを示す重み値を応答する、
    ことを特徴とする請求項1または2に記載のサイバー攻撃に関する評価プログラム。
  4. 前記応答する処理は、前記サイバー攻撃の特徴情報の組み合わせの指定を受け付けると、指定された該サイバー攻撃の特徴情報の組み合わせが出現するサイバー攻撃の種類の多少の評価結果を応答する、
    ことを特徴とする請求項1乃至3のいずれか一項に記載のサイバー攻撃に関する評価プログラム。
  5. 複数種類のサイバー攻撃情報を収集して、サイバー攻撃の特徴情報について、該サイバー攻撃の特徴情報が出現するサイバー攻撃の種類の多少を評価し、
    サイバー攻撃の特徴情報の指定を受けると、指定された該サイバー攻撃の特徴情報が出現するサイバー攻撃の種類の多少の評価結果を応答する、
    処理をコンピュータが実行することを特徴とするサイバー攻撃に関する評価方法。
  6. 複数種類のサイバー攻撃情報を収集して、サイバー攻撃の特徴情報について、該サイバー攻撃の特徴情報が出現するサイバー攻撃の種類の多少を評価する評価部と、
    サイバー攻撃の特徴情報の指定を受けると、指定された該サイバー攻撃の特徴情報が出現するサイバー攻撃の種類の多少の評価結果を出力する出力部と、
    を有することを特徴とする情報処理装置。
JP2017100104A 2017-05-19 2017-05-19 評価プログラム、評価方法および情報処理装置 Active JP7005936B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2017100104A JP7005936B2 (ja) 2017-05-19 2017-05-19 評価プログラム、評価方法および情報処理装置
GB1915481.4A GB2575755B (en) 2017-05-19 2018-03-28 Evaluation program, evaluation method, and information processing apparatus
PCT/JP2018/012692 WO2018211827A1 (ja) 2017-05-19 2018-03-28 評価プログラム、評価方法および情報処理装置
US16/672,016 US11455389B2 (en) 2017-05-19 2019-11-01 Evaluation method, information processing apparatus, and storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017100104A JP7005936B2 (ja) 2017-05-19 2017-05-19 評価プログラム、評価方法および情報処理装置

Publications (2)

Publication Number Publication Date
JP2018196054A true JP2018196054A (ja) 2018-12-06
JP7005936B2 JP7005936B2 (ja) 2022-02-10

Family

ID=64273801

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017100104A Active JP7005936B2 (ja) 2017-05-19 2017-05-19 評価プログラム、評価方法および情報処理装置

Country Status (4)

Country Link
US (1) US11455389B2 (ja)
JP (1) JP7005936B2 (ja)
GB (1) GB2575755B (ja)
WO (1) WO2018211827A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021033506A1 (ja) 2019-08-21 2021-02-25 株式会社日立製作所 ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラムが記録された記憶媒体
JP7468298B2 (ja) 2020-10-28 2024-04-16 富士通株式会社 情報処理プログラム、情報処理方法、および情報処理装置

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220092186A1 (en) * 2019-01-25 2022-03-24 Nec Corporation Security information analysis device, system, method and program
US20220201028A1 (en) * 2019-05-17 2022-06-23 Nippon Telegraph And Telephone Corporation Caution-needed ip address estimation apparatus, monitoring system, caution-needed ip address providing method and program
US20210286879A1 (en) * 2020-03-13 2021-09-16 International Business Machines Corporation Displaying Cyber Threat Data in a Narrative

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009081736A (ja) * 2007-09-26 2009-04-16 Toshiba Corp パケット転送装置及びパケット転送プログラム
JP2010086311A (ja) * 2008-09-30 2010-04-15 Toshiba Corp 脆弱性対応優先度表示装置及びプログラム
JP2011176434A (ja) * 2010-02-23 2011-09-08 Nippon Telegr & Teleph Corp <Ntt> トラヒック量変化検知と連携した原因特定システム、方法、装置、及びプログラム
JP2013085124A (ja) * 2011-10-11 2013-05-09 Nippon Telegr & Teleph Corp <Ntt> 攻撃情報管理システム、攻撃情報管理装置、攻撃情報管理方法及びプログラム
JP2015216549A (ja) * 2014-05-12 2015-12-03 富士通株式会社 表示方法、表示装置および表示プログラム
US20170006054A1 (en) * 2015-06-30 2017-01-05 Norse Networks, Inc. Systems and platforms for intelligently monitoring risky network activities

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001155020A (ja) 1999-11-25 2001-06-08 Toshiba Corp 類似文書検索装置、類似文書検索方法及び記録媒体
JP2005128946A (ja) 2003-10-27 2005-05-19 Kddi Corp ログ分析装置、ログ分析方法およびログ分析プログラム
JP4774307B2 (ja) 2006-02-06 2011-09-14 アラクサラネットワークス株式会社 不正アクセス監視装置及びパケット中継装置
KR100798923B1 (ko) * 2006-09-29 2008-01-29 한국전자통신연구원 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법 및 이를수행하는 프로그램을 기록한 기록 매체
US8813228B2 (en) * 2012-06-29 2014-08-19 Deloitte Development Llc Collective threat intelligence gathering system
US9686308B1 (en) * 2014-05-12 2017-06-20 GraphUS, Inc. Systems and methods for detecting and/or handling targeted attacks in the email channel
US9432393B2 (en) * 2015-02-03 2016-08-30 Cisco Technology, Inc. Global clustering of incidents based on malware similarity and online trustfulness
JP6528448B2 (ja) 2015-02-19 2019-06-12 富士通株式会社 ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム
US10284587B1 (en) * 2016-09-14 2019-05-07 Symantec Corporation Systems and methods for responding to electronic security incidents
US10341377B1 (en) * 2016-10-13 2019-07-02 Symantec Corporation Systems and methods for categorizing security incidents
US10333960B2 (en) * 2017-05-03 2019-06-25 Servicenow, Inc. Aggregating network security data for export

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009081736A (ja) * 2007-09-26 2009-04-16 Toshiba Corp パケット転送装置及びパケット転送プログラム
JP2010086311A (ja) * 2008-09-30 2010-04-15 Toshiba Corp 脆弱性対応優先度表示装置及びプログラム
JP2011176434A (ja) * 2010-02-23 2011-09-08 Nippon Telegr & Teleph Corp <Ntt> トラヒック量変化検知と連携した原因特定システム、方法、装置、及びプログラム
JP2013085124A (ja) * 2011-10-11 2013-05-09 Nippon Telegr & Teleph Corp <Ntt> 攻撃情報管理システム、攻撃情報管理装置、攻撃情報管理方法及びプログラム
JP2015216549A (ja) * 2014-05-12 2015-12-03 富士通株式会社 表示方法、表示装置および表示プログラム
US20170006054A1 (en) * 2015-06-30 2017-01-05 Norse Networks, Inc. Systems and platforms for intelligently monitoring risky network activities

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
鈴木 将吾 SHOGO SUZUKI: "複数国ダークネット観測による攻撃の局地性分析 Analysis on Local Characteristics of Cyber Attacks fro", CSS2014 コンピュータセキュリティシンポジウム2014 論文集 合同開催 マルウェア対策研究人, vol. 第2014巻, JPN6018024444, 15 October 2014 (2014-10-15), JP, pages 40 - 47, ISSN: 0004576907 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021033506A1 (ja) 2019-08-21 2021-02-25 株式会社日立製作所 ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラムが記録された記憶媒体
JP7468298B2 (ja) 2020-10-28 2024-04-16 富士通株式会社 情報処理プログラム、情報処理方法、および情報処理装置

Also Published As

Publication number Publication date
US11455389B2 (en) 2022-09-27
GB201915481D0 (en) 2019-12-11
WO2018211827A1 (ja) 2018-11-22
US20200065482A1 (en) 2020-02-27
JP7005936B2 (ja) 2022-02-10
GB2575755A (en) 2020-01-22
GB2575755B (en) 2022-04-27

Similar Documents

Publication Publication Date Title
Sun et al. Data-driven cybersecurity incident prediction: A survey
JP6786960B2 (ja) サイバー攻撃分析支援プログラム、サイバー攻撃分析支援方法およびサイバー攻撃分析支援装置
US11570204B2 (en) Detecting and mitigating golden ticket attacks within a domain
WO2018211827A1 (ja) 評価プログラム、評価方法および情報処理装置
US11570209B2 (en) Detecting and mitigating attacks using forged authentication objects within a domain
EP3287927B1 (en) Non-transitory computer-readable recording medium storing cyber attack analysis support program, cyber attack analysis support method, and cyber attack analysis support device
US11218510B2 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
CN102171657B (zh) 实体信誉评分的简化传送
EP2498198B1 (en) Information system security based on threat vectors
CN111786950B (zh) 基于态势感知的网络安全监控方法、装置、设备及介质
US11757920B2 (en) User and entity behavioral analysis with network topology enhancements
US11057411B2 (en) Log analysis device, log analysis method, and log analysis program
CN104509034A (zh) 模式合并以识别恶意行为
US20220210202A1 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
US20230362200A1 (en) Dynamic cybersecurity scoring and operational risk reduction assessment
JP6933112B2 (ja) サイバー攻撃情報処理プログラム、サイバー攻撃情報処理方法および情報処理装置
JP6977625B2 (ja) 評価プログラム、評価方法および評価装置
KR102366637B1 (ko) 전자 장치의 사이버 위협 탐지 방법
US20210152573A1 (en) Cyberattack information analysis program, cyberattack information analysis method, and information processing apparatus
WO2018211835A1 (ja) 評価プログラム、評価方法および情報処理装置
JP7424395B2 (ja) 分析システム、方法およびプログラム
JP7078562B2 (ja) 計算機システム、インシデントによる業務システムへの影響の分析方法、及び分析装置
KR20140044954A (ko) 툴바를 통한 이중 안티 피싱 방법 및 서버
CN114143105B (zh) 网空威胁行为体的溯源方法、装置、电子设备及存储介质
Pak Near real-time risk assessment using hidden Markov models

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200213

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210209

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210412

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210824

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210929

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211207

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211220

R150 Certificate of patent or registration of utility model

Ref document number: 7005936

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150