JP2019028891A - 情報処理装置、情報処理方法及び情報処理プログラム - Google Patents
情報処理装置、情報処理方法及び情報処理プログラム Download PDFInfo
- Publication number
- JP2019028891A JP2019028891A JP2017150179A JP2017150179A JP2019028891A JP 2019028891 A JP2019028891 A JP 2019028891A JP 2017150179 A JP2017150179 A JP 2017150179A JP 2017150179 A JP2017150179 A JP 2017150179A JP 2019028891 A JP2019028891 A JP 2019028891A
- Authority
- JP
- Japan
- Prior art keywords
- attack
- detected
- activities
- past
- activity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000010365 information processing Effects 0.000 title claims description 18
- 238000003672 processing method Methods 0.000 title claims description 3
- 230000000694 effects Effects 0.000 claims abstract description 176
- 238000004458 analytical method Methods 0.000 claims abstract description 159
- 238000001514 detection method Methods 0.000 claims abstract description 119
- 238000004891 communication Methods 0.000 claims description 40
- 230000000875 corresponding effect Effects 0.000 claims description 18
- 238000000034 method Methods 0.000 claims description 16
- 230000008685 targeting Effects 0.000 claims 1
- 238000004364 calculation method Methods 0.000 abstract description 52
- 238000012544 monitoring process Methods 0.000 description 38
- 238000012545 processing Methods 0.000 description 13
- 230000004044 response Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 7
- 238000009825 accumulation Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 238000012423 maintenance Methods 0.000 description 3
- 238000011960 computer-aided design Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000012806 monitoring device Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
【課題】攻撃活動に対して適切な対応処置がとられるようにする。
【解決手段】検知ルールを用いて攻撃活動が検知された場合に、分析情報算出部04は、検知された攻撃活動である現在の攻撃活動が検知された際の状況と、検知ルールを用いて過去に検知された複数の攻撃活動である複数の過去の攻撃活動のそれぞれが検知された際の状況と、検知ルールが前提としている状況とを分析し、分析結果に基づき、複数の過去の攻撃活動の中から任意数の攻撃活動を選択する。警告重要度推定部05は、分析情報算出部04により選択された攻撃活動に対して行われた対応処置を提示する。
【選択図】図2
【解決手段】検知ルールを用いて攻撃活動が検知された場合に、分析情報算出部04は、検知された攻撃活動である現在の攻撃活動が検知された際の状況と、検知ルールを用いて過去に検知された複数の攻撃活動である複数の過去の攻撃活動のそれぞれが検知された際の状況と、検知ルールが前提としている状況とを分析し、分析結果に基づき、複数の過去の攻撃活動の中から任意数の攻撃活動を選択する。警告重要度推定部05は、分析情報算出部04により選択された攻撃活動に対して行われた対応処置を提示する。
【選択図】図2
Description
本発明は、情報システムに対する攻撃活動を検知する技術に関する。
本発明に関連する技術として、特許文献1〜3に開示の技術がある。
特許文献1では、サーバーが送信するURL(Uniform Resource Locator)の宛先又は変数値から特徴量が算出され、監視装置が持つシグネチャに類似するURLであるかが判定される。これにより、監視装置が持つシグネチャに完全に一致しないURLの宛先又は変数値を用いた攻撃の通信を検知し、端末やサーバーへの未知の攻撃を検知することが可能である。特許文献1のシグネチャの類似を判定する機能の目的は新たな攻撃パターンを追加することである。
特許文献2では、CPU(Central Processing Unit)利用率に代表される計算機のリソース情報がセキュリティ侵害行為で変動することが多いことに着眼し、現在のCPU使用率と過去のCPU使用率の特徴量が算出される。そして、算出結果がリソース情報の条件を記載したルールと合致した場合に、異常と判定される。これにより、大量の様々なログ情報を分析することなく計算機システムへのセキュリティ侵害に対処することが可能である。
遠隔からメンテナンス指示を出す際に、監視画像ではメンテナンス箇所を誤りなく指示することが困難であるという課題がある。これに対して特許文献3では、監視対象設備の画像情報と設備のCAD(Computer−Aided Design)情報を組み合わせて座標情報が作成され、座標情報を用いてメンテナンス箇所が指示される。
攻撃活動を監視するセキュリティ監視センターでは、アナリストが、検知された攻撃活動への対応処置を決定する。より具体的には、アナリストはセキュリティ監視センターに保管されている過去の攻撃活動の履歴をもとに、検知された攻撃活動に対する対応処置を決定する。ただし、同じ攻撃活動であっても、監視先のネットワークの構成及び対処したアナリストの経験等により異なる対応処置が選択される。このため、同じ攻撃活動に対して対応処置が異なる履歴が複数存在することになる。
経験の浅いアナリストが対応にあたった場合に、対応処置が異なる複数の履歴のうちのどの履歴を参考にすべきかを適切に判断することが困難であるという課題がある。また、複数の履歴から現在の攻撃活動に適した履歴を選択できないと、誤った対応処置がとられ、攻撃活動に有効に対処できないという課題がある。
特許文献1〜3では、これらの課題を解決することはできない。
経験の浅いアナリストが対応にあたった場合に、対応処置が異なる複数の履歴のうちのどの履歴を参考にすべきかを適切に判断することが困難であるという課題がある。また、複数の履歴から現在の攻撃活動に適した履歴を選択できないと、誤った対応処置がとられ、攻撃活動に有効に対処できないという課題がある。
特許文献1〜3では、これらの課題を解決することはできない。
本発明は、上記の課題を解決することを主な目的とする。具体的には、検知された攻撃活動に対して適切な対応処置がとられるようにすることを主な目的する。
本発明に係る情報処理装置は、
検知ルールを用いて攻撃活動が検知された場合に、検知された攻撃活動である現在の攻撃活動が検知された際の状況と、前記検知ルールを用いて過去に検知された複数の攻撃活動である複数の過去の攻撃活動のそれぞれが検知された際の状況と、前記検知ルールが前提としている状況とを分析し、分析結果に基づき、前記複数の過去の攻撃活動の中から任意数の攻撃活動を選択する選択部と、
前記選択部により選択された攻撃活動に対して行われた対応処置を提示する対応処置提示部とを有する。
検知ルールを用いて攻撃活動が検知された場合に、検知された攻撃活動である現在の攻撃活動が検知された際の状況と、前記検知ルールを用いて過去に検知された複数の攻撃活動である複数の過去の攻撃活動のそれぞれが検知された際の状況と、前記検知ルールが前提としている状況とを分析し、分析結果に基づき、前記複数の過去の攻撃活動の中から任意数の攻撃活動を選択する選択部と、
前記選択部により選択された攻撃活動に対して行われた対応処置を提示する対応処置提示部とを有する。
本発明では、現在の攻撃活動が検知された際の状況と、複数の過去の攻撃活動のそれぞれが検知された際の状況と、検知ルールが前提とする状況とを分析する。そして、本発明では、複数の過去の攻撃活動の中から現在の攻撃活動に適した過去の攻撃活動が選択され、選択した過去の攻撃活動に対する対応処置が提示される。
このため、本発明によれば、アナリストは、検知された攻撃活動に適した対応処置をとることができる。
このため、本発明によれば、アナリストは、検知された攻撃活動に適した対応処置をとることができる。
以下、本発明の実施の形態について、図を用いて説明する。以下の実施の形態の説明及び図面において、同一の符号を付したものは、同一の部分または相当する部分を示す。
実施の形態1.
***構成の説明***
図1は、本実施の形態に係るネットワーク構成例を示す。
***構成の説明***
図1は、本実施の形態に係るネットワーク構成例を示す。
本実施の形態では、ファイアウォール11により、外部ネットワーク16と内部ネットワーク18とが区別されている。ファイアウォール11は、外部ネットワーク16とDMZ(DeMilitarized Zone)ネットワーク17と内部ネットワーク18とに接続されている。ファイアウォール11及びDMZネットワーク17により、外部ネットワーク16から内部ネットワーク18への攻撃活動を防ぐことができる。
DMZネットワーク17には、侵入検知装置12、プロキシサーバー13及び複数の監視対象14が含まれる。
侵入検知装置12はファイアウォール11と接続する。
侵入検知装置12は、ファイアウォール11を通過する外部ネットワーク16とDMZネットワーク17との通信と、外部ネットワーク16と内部ネットワーク18との通信を検知ルールを用いて調査する。そして、侵入検知装置12は、外部ネットワーク16からの攻撃活動を検知した場合に、当該攻撃活動を検知した際の状況が示される検知ログを生成する。
侵入検知装置12は、ファイアウォール11を通過する外部ネットワーク16とDMZネットワーク17との通信と、外部ネットワーク16と内部ネットワーク18との通信を検知ルールを用いて調査する。そして、侵入検知装置12は、外部ネットワーク16からの攻撃活動を検知した場合に、当該攻撃活動を検知した際の状況が示される検知ログを生成する。
プロキシサーバー13は、ファイアウォール11と接続する。
プロキシサーバー13は、内部ネットワーク18内の監視対象15から外部ネットワーク16への通信を中継する。さらに、プロキシサーバー13は、外部ネットワーク16から監視対象15への応答を中継する。
プロキシサーバー13は、内部ネットワーク18内の監視対象15から外部ネットワーク16への通信を中継する。さらに、プロキシサーバー13は、外部ネットワーク16から監視対象15への応答を中継する。
監視対象14はファイアウォール11と接続する。
監視対象14にはメールサーバー、Webサーバー等が含まれる。
監視対象14にはメールサーバー、Webサーバー等が含まれる。
外部ネットワーク16には、複数の監視対象15と攻撃活動分析支援装置01が含まれる。
監視対象15は、ファイアウォール11と接続する。
監視対象15には個人端末、ファイルサーバー、AD(Active Directory)サーバー等が含まれる。
監視対象15は、ファイアウォール11と接続する。
監視対象15には個人端末、ファイルサーバー、AD(Active Directory)サーバー等が含まれる。
攻撃活動分析支援装置01は、内部ネットワーク18に接続し、DMZネットワーク17に接続された監視対象14及び内部ネットワーク18に接続された監視対象15を監視する。
攻撃活動分析支援装置01は、監視対象14及び監視対象15への攻撃活動が検知された際の状況及び対応処置が示される分析履歴を記憶している。分析履歴の詳細は後述する。
外部ネットワーク16からDMZネットワーク17又は内部ネットワーク18に対する攻撃活動が発生した場合に、攻撃活動分析支援装置01は発生した攻撃活動に類似する過去の分析履歴を表示装置10を用いてオペレーターに提示する。
なお、攻撃活動とは、情報セキュリティ上の脅威を発生させるあらゆる活動である。攻撃活動には、各種の不正アクセス、「・・・攻撃」と称される攻撃、これら攻撃の予備動作等が含まれる。
なお、攻撃活動分析支援装置01は情報処理装置に相当する。また、攻撃活動分析支援装置01により行われる動作は、情報処理方法に相当する。
攻撃活動分析支援装置01は、監視対象14及び監視対象15への攻撃活動が検知された際の状況及び対応処置が示される分析履歴を記憶している。分析履歴の詳細は後述する。
外部ネットワーク16からDMZネットワーク17又は内部ネットワーク18に対する攻撃活動が発生した場合に、攻撃活動分析支援装置01は発生した攻撃活動に類似する過去の分析履歴を表示装置10を用いてオペレーターに提示する。
なお、攻撃活動とは、情報セキュリティ上の脅威を発生させるあらゆる活動である。攻撃活動には、各種の不正アクセス、「・・・攻撃」と称される攻撃、これら攻撃の予備動作等が含まれる。
なお、攻撃活動分析支援装置01は情報処理装置に相当する。また、攻撃活動分析支援装置01により行われる動作は、情報処理方法に相当する。
図2は、攻撃活動分析支援装置01の機能構成例を示し、図10は、攻撃活動分析支援装置01のハードウェア構成例を示す。
本実施の形態に係る攻撃活動分析支援装置01は、コンピュータである。
攻撃活動分析支援装置01は、ハードウェアとして、プロセッサ101、記憶装置102、ネットワークインタフェース103、表示インタフェース104及び入力インタフェース105を備える。
また、攻撃活動分析支援装置01は、機能構成として、警告情報収集部02、監視情報収集部03、分析情報算出部04、警告重要度推定部05、警告情報蓄積部06、監視情報蓄積部07及び分析履歴蓄積部08を備える。
記憶装置102には、警告情報収集部02、監視情報収集部03、分析情報算出部04及び警告重要度推定部05の機能を実現するプログラムが記憶されている。
そして、プロセッサ101がこれらプログラムを実行して、後述する警告情報収集部02、監視情報収集部03、分析情報算出部04及び警告重要度推定部05の動作を行う。
図10では、プロセッサ101が警告情報収集部02、監視情報収集部03、分析情報算出部04及び警告重要度推定部05の機能を実現するプログラムを実行している状態を模式的に表している。
警告情報収集部02、監視情報収集部03、分析情報算出部04及び警告重要度推定部05の機能を実現するプログラムは、情報処理プログラムに相当する。
また、警告情報蓄積部06、監視情報蓄積部07及び分析履歴蓄積部08は、記憶装置102により実現される。
ネットワークインタフェース103は、内部ネットワーク18の通信ケーブルとのインタフェースである。
表示インタフェース104は、表示装置10とのインタフェースである。
入力インタフェース105は、入力装置09とのインタフェースである。
攻撃活動分析支援装置01は、ハードウェアとして、プロセッサ101、記憶装置102、ネットワークインタフェース103、表示インタフェース104及び入力インタフェース105を備える。
また、攻撃活動分析支援装置01は、機能構成として、警告情報収集部02、監視情報収集部03、分析情報算出部04、警告重要度推定部05、警告情報蓄積部06、監視情報蓄積部07及び分析履歴蓄積部08を備える。
記憶装置102には、警告情報収集部02、監視情報収集部03、分析情報算出部04及び警告重要度推定部05の機能を実現するプログラムが記憶されている。
そして、プロセッサ101がこれらプログラムを実行して、後述する警告情報収集部02、監視情報収集部03、分析情報算出部04及び警告重要度推定部05の動作を行う。
図10では、プロセッサ101が警告情報収集部02、監視情報収集部03、分析情報算出部04及び警告重要度推定部05の機能を実現するプログラムを実行している状態を模式的に表している。
警告情報収集部02、監視情報収集部03、分析情報算出部04及び警告重要度推定部05の機能を実現するプログラムは、情報処理プログラムに相当する。
また、警告情報蓄積部06、監視情報蓄積部07及び分析履歴蓄積部08は、記憶装置102により実現される。
ネットワークインタフェース103は、内部ネットワーク18の通信ケーブルとのインタフェースである。
表示インタフェース104は、表示装置10とのインタフェースである。
入力インタフェース105は、入力装置09とのインタフェースである。
図2において、警告情報収集部02は、ネットワークインタフェース103を介して侵入検知装置12から検知ログを収集する。また、警告情報収集部02は、収集した検知ログを警告情報蓄積部06に格納する。
監視情報収集部03は、ネットワークインタフェース103を介してプロキシサーバー13からプロキシログを収集する。監視情報収集部03は、収集したプロキシログを監視情報蓄積部07に格納する。
分析情報算出部04は、侵入検知装置12により攻撃活動が検知された場合に、検知された攻撃活動である現在の攻撃活動が検知された際の状況と、検知ルールを用いて過去に検知された複数の攻撃活動である複数の過去の攻撃活動のそれぞれが検知された際の状況と、検知ルールが前提としている状況とを分析する。なお、複数の過去の攻撃活動のそれぞれが検知された際の状況は、分析履歴蓄積部08に蓄積されている分析履歴に記載されている。また、検知ルールが前提としている状況が示される情報は、例えば、記憶装置102で記憶されている。
分析情報算出部04は、具体的には、現在の攻撃活動が検知された際の状況と複数の過去の攻撃活動のそれぞれが検知された際の状況との類似度を分析し、また、複数の過去の攻撃活動のそれぞれが検知された際の状況と検知ルールが前提としている状況との類似度を分析する。例えば、分析情報算出部04は、現在の攻撃活動が検知された時刻と複数の過去の攻撃活動のそれぞれが検知された時間帯との類似度を分析する。また、分析情報算出部04は、現在の攻撃活動が検知された際の通信量と複数の過去の攻撃活動のそれぞれが検知された際の通信量との類似度を分析する。また、分析情報算出部04は、複数の過去の攻撃活動のそれぞれが検知された時間帯と検知ルールが前提とする時間帯との類似度を分析する。また、分析情報算出部04は、複数の過去の攻撃活動のそれぞれが検知された際の通信量と検知ルールが前提とする通信量との類似度を分析する。更に、分析情報算出部04は、複数の過去の攻撃活動のそれぞれのターゲットの機器の種類と検知ルールが前提とするターゲットの機器の種類との類似度を分析する。
そして、分析情報算出部04は、分析結果に基づき、複数の過去の攻撃活動の中から任意数の攻撃活動を選択する。
分析情報算出部04は選択部に相当する。また、分析情報算出部04により行われる処理は、選択処理に相当する。
分析情報算出部04は、具体的には、現在の攻撃活動が検知された際の状況と複数の過去の攻撃活動のそれぞれが検知された際の状況との類似度を分析し、また、複数の過去の攻撃活動のそれぞれが検知された際の状況と検知ルールが前提としている状況との類似度を分析する。例えば、分析情報算出部04は、現在の攻撃活動が検知された時刻と複数の過去の攻撃活動のそれぞれが検知された時間帯との類似度を分析する。また、分析情報算出部04は、現在の攻撃活動が検知された際の通信量と複数の過去の攻撃活動のそれぞれが検知された際の通信量との類似度を分析する。また、分析情報算出部04は、複数の過去の攻撃活動のそれぞれが検知された時間帯と検知ルールが前提とする時間帯との類似度を分析する。また、分析情報算出部04は、複数の過去の攻撃活動のそれぞれが検知された際の通信量と検知ルールが前提とする通信量との類似度を分析する。更に、分析情報算出部04は、複数の過去の攻撃活動のそれぞれのターゲットの機器の種類と検知ルールが前提とするターゲットの機器の種類との類似度を分析する。
そして、分析情報算出部04は、分析結果に基づき、複数の過去の攻撃活動の中から任意数の攻撃活動を選択する。
分析情報算出部04は選択部に相当する。また、分析情報算出部04により行われる処理は、選択処理に相当する。
警告重要度推定部05は、分析情報算出部04により選択された攻撃活動に対して行われた対応処置を表示装置10を通じてオペレーターに提示する。
分析情報算出部04により2以上の攻撃活動が選択された場合に、警告重要度推定部05は、選択された2以上の攻撃活動の間の序列を決定する。警告重要度推定部05は、例えば、選択された2以上の攻撃活動の各々の対応処置の重要度に基づき、選択された2以上の攻撃活動の間の序列を決定する。そして、警告重要度推定部05は、決定した序列に従って、選択された2以上の攻撃活動に対して行われた対応処置を提示する。
警告重要度推定部05は、対応処置提示部に相当する。また、警告重要度推定部05により行われる処理は、対応処置提示処理に相当する。
分析情報算出部04により2以上の攻撃活動が選択された場合に、警告重要度推定部05は、選択された2以上の攻撃活動の間の序列を決定する。警告重要度推定部05は、例えば、選択された2以上の攻撃活動の各々の対応処置の重要度に基づき、選択された2以上の攻撃活動の間の序列を決定する。そして、警告重要度推定部05は、決定した序列に従って、選択された2以上の攻撃活動に対して行われた対応処置を提示する。
警告重要度推定部05は、対応処置提示部に相当する。また、警告重要度推定部05により行われる処理は、対応処置提示処理に相当する。
警告情報蓄積部06は、検知ログを蓄積する。
監視情報蓄積部07は、プロキシログを蓄積する。
分析履歴蓄積部08は、分析履歴を蓄積する。
次に、本実施の形態で扱われるデータを説明する。
図4は、分析情報算出部04が生成する分析履歴テーブル203の例を示す。
図4に示すように、分析履歴テーブル203には、過去の攻撃活動を分析した結果である分析履歴が複数含まれる。図4の各レコードが分析履歴である。各分析履歴には、分析履歴番号、警告名、発生時間帯、対応処置、解析情報が含まれる。
分析履歴番号は、分析情報算出部04により自動的に設定される通し番号である。
対応処置は、攻撃活動分析支援装置01のオペレーターにより指定される。
対応処置は、攻撃活動分析支援装置01のオペレーターにより指定される。
警告名、発生時間帯は、侵入検知装置12から送信された検知ログから生成される。侵入検知装置12は、外部ネットワーク16から内部ネットワーク18への通信を検知ルールを用いて解析し、攻撃活動を検知した場合に、検知ルールに基づき、攻撃活動の種類を特定する。侵入検知装置12は、検知した攻撃の種類が、例えば、Dos攻撃、ポートスキャン、ファイル送信のうちのいずれであるかを特定する。そして、侵入検知装置12は、特定した攻撃の種類を警告名として検知ログに含ませる。また、侵入検知装置12は、攻撃活動を検知した日時を検知ログに含ませる。
また、解析情報の値も、検知ログから生成される。例えば、侵入検知装置12は、攻撃活動に用いられる通信データの送信先のIPアドレスから攻撃活動の通信先を特定し、特定した通信先の種類を検知ログに含ませる。また、侵入検知装置12は、攻撃活動に用いられる通信データの送信先のIPアドレスのみを検知ログに含ませるようにしてもよい。この場合は、分析情報算出部04が検知ログに含まれる送信先のIPアドレスから通信先の種類を特定する。より具体的には、分析情報算出部04は図5に例示する機器管理テーブル204を用いて通信先の種類を特定する。図5の機器管理テーブル204には、監視対象14及び監視対象15のそれぞれを構成する機器のIPアドレスが示され、IPアドレスごとに、各機器の用途が示される。機器の用途はメールサーバー、Webサーバー、個人端末、ファイルサーバー、ADサーバー等である。分析情報算出部04は、検知ログで示される送信先のIPアドレスを機器管理テーブル204と照合して、通信先の種類を特定する。
また、侵入検知装置12は、攻撃活動を検知した際のDMZネットワーク17または内部ネットワーク18の通信量を検知ログに含ませる。
なお、侵入検知装置12は、通信先の種類及び通信量の少なくともいずれか特定しなくてもよい。つまり、侵入検知装置12は、通信先の種類及び通信量の少なくともいずれかを検知ログに含めなくてもよい。この場合は、分析情報算出部04は、プロキシログから解析情報を生成する。
つまり、プロキシサーバー13は、通信先の種類及び攻撃活動が検知された際の通信量を特定し、特定した通信先の種類及び通信量をプロキシログに記載してもよい。
また、解析情報の値も、検知ログから生成される。例えば、侵入検知装置12は、攻撃活動に用いられる通信データの送信先のIPアドレスから攻撃活動の通信先を特定し、特定した通信先の種類を検知ログに含ませる。また、侵入検知装置12は、攻撃活動に用いられる通信データの送信先のIPアドレスのみを検知ログに含ませるようにしてもよい。この場合は、分析情報算出部04が検知ログに含まれる送信先のIPアドレスから通信先の種類を特定する。より具体的には、分析情報算出部04は図5に例示する機器管理テーブル204を用いて通信先の種類を特定する。図5の機器管理テーブル204には、監視対象14及び監視対象15のそれぞれを構成する機器のIPアドレスが示され、IPアドレスごとに、各機器の用途が示される。機器の用途はメールサーバー、Webサーバー、個人端末、ファイルサーバー、ADサーバー等である。分析情報算出部04は、検知ログで示される送信先のIPアドレスを機器管理テーブル204と照合して、通信先の種類を特定する。
また、侵入検知装置12は、攻撃活動を検知した際のDMZネットワーク17または内部ネットワーク18の通信量を検知ログに含ませる。
なお、侵入検知装置12は、通信先の種類及び通信量の少なくともいずれか特定しなくてもよい。つまり、侵入検知装置12は、通信先の種類及び通信量の少なくともいずれかを検知ログに含めなくてもよい。この場合は、分析情報算出部04は、プロキシログから解析情報を生成する。
つまり、プロキシサーバー13は、通信先の種類及び攻撃活動が検知された際の通信量を特定し、特定した通信先の種類及び通信量をプロキシログに記載してもよい。
図6は、類似履歴比較テーブル205の例を示す。
図6に示すように、類似履歴比較テーブル205は、分析履歴番号、検知ルールが前提とする状況、過去の攻撃活動の検知時の状況で構成される。
分析履歴番号は、図5の分析履歴番号を示す。
「検知ルールが前提とする状況」では、検知ルールが生成される際に前提とされた状況が示される。図6の例では、DoS攻撃を検知するための検知ルールが前提とする状況が示される。「検知ルールが前提とする状況」は、例えば、時間帯と通信量とターゲットの機器である。図6の例では、DoS攻撃が発生する時間帯が「10:00−12:00」であり、また、DoS攻撃が発生する際の通信量が5000アクセス/分であり、また、DoS攻撃がターゲットにする機器がWebサーバーであるとの前提で、DoS攻撃を検知するための検知ルールが生成されている。
「過去の攻撃活動の検知時の状況」では、DoS攻撃と判定された過去の攻撃活動、すなわち、Dos攻撃を検知するための検知ルールが適用されて検知された過去の攻撃活動の検知時の状況が示される。「過去の攻撃活動の検知時の状況」は、例えば、時間帯と通信量とターゲットの機器である。分析履歴番号:1のDoS攻撃が検知された時間帯は「10:00−12:00」であり、当該DoS攻撃が検知された際の通信量は5500アクセス/分であり、また、当該DoS攻撃がターゲットにした機器はWebサーバーである。
類似履歴比較テーブル205は、過去の攻撃活動ごとに、検知ルールが前提とする状況と、各攻撃活動が検知された際の状況との比較に用いられる。
分析履歴番号は、図5の分析履歴番号を示す。
「検知ルールが前提とする状況」では、検知ルールが生成される際に前提とされた状況が示される。図6の例では、DoS攻撃を検知するための検知ルールが前提とする状況が示される。「検知ルールが前提とする状況」は、例えば、時間帯と通信量とターゲットの機器である。図6の例では、DoS攻撃が発生する時間帯が「10:00−12:00」であり、また、DoS攻撃が発生する際の通信量が5000アクセス/分であり、また、DoS攻撃がターゲットにする機器がWebサーバーであるとの前提で、DoS攻撃を検知するための検知ルールが生成されている。
「過去の攻撃活動の検知時の状況」では、DoS攻撃と判定された過去の攻撃活動、すなわち、Dos攻撃を検知するための検知ルールが適用されて検知された過去の攻撃活動の検知時の状況が示される。「過去の攻撃活動の検知時の状況」は、例えば、時間帯と通信量とターゲットの機器である。分析履歴番号:1のDoS攻撃が検知された時間帯は「10:00−12:00」であり、当該DoS攻撃が検知された際の通信量は5500アクセス/分であり、また、当該DoS攻撃がターゲットにした機器はWebサーバーである。
類似履歴比較テーブル205は、過去の攻撃活動ごとに、検知ルールが前提とする状況と、各攻撃活動が検知された際の状況との比較に用いられる。
図6は、DoS攻撃についての類似履歴比較テーブル205を示すが、他の攻撃活動(ポートスキャン、ファイル送信等)についても、同様の類似履歴比較テーブル205が存在する。
図9は、侵入検知装置12が新たに攻撃活動を検知した際に侵入検知装置12から攻撃活動分析支援装置01に送信される検知ログ301の例を示す。
検知ログ301は、警告名、発生日時及び解析情報で構成される。
警告名、発生日時及び解析情報のそれぞれの意味は、図4に示すものと同じである。
図4に示す警告名、発生日時及び解析情報は、過去に検知された過去の攻撃活動の属性であるのに対し、図9に示す警告名、発生日時及び解析情報は、新たに検知された現在の攻撃活動の属性である。
図9では、解析情報の値も検知ログ301として侵入検知装置12から送信される例を示すが、前述したように、解析情報の値はプロキシログとしてプロキシサーバー13から送信されてもよい。
警告名、発生日時及び解析情報のそれぞれの意味は、図4に示すものと同じである。
図4に示す警告名、発生日時及び解析情報は、過去に検知された過去の攻撃活動の属性であるのに対し、図9に示す警告名、発生日時及び解析情報は、新たに検知された現在の攻撃活動の属性である。
図9では、解析情報の値も検知ログ301として侵入検知装置12から送信される例を示すが、前述したように、解析情報の値はプロキシログとしてプロキシサーバー13から送信されてもよい。
***動作の説明***
次に、本実施の形態に係る攻撃活動分析支援装置01の動作例を説明する。
図3は、攻撃活動分析支援装置01の動作例を示すフローチャートである。
次に、本実施の形態に係る攻撃活動分析支援装置01の動作例を説明する。
図3は、攻撃活動分析支援装置01の動作例を示すフローチャートである。
図4に示す分析履歴テーブル203が分析履歴蓄積部08に蓄積されていなければ、分析情報算出部04が初期設定として、分析履歴テーブル203を生成する(ステップS001)。
また、分析情報算出部04は、必要であれば、監視対象14と監視対象15の機器管理テーブル204を生成する。
また、分析情報算出部04は、必要であれば、監視対象14と監視対象15の機器管理テーブル204を生成する。
警告情報収集部02は侵入検知装置12から定期的に検知ログを受信し、受信した検知ログを警告情報蓄積部06に格納する(ステップS002)。
侵入検知装置12は、攻撃活動を検知していない場合にも検知ログを定期的に送信する。侵入検知装置12は、攻撃活動を検知していない場合は、攻撃活動を検知した場合の検知ログとは異なる検知ログを送信する。例えば、侵入検知装置12は、図9の警告名の欄が空欄の検知ログを送信する。
警告情報収集部02は、受信した検知ログが攻撃活動の検知を通知する検知ログが否かを判定する(ステップS003)。例えば、警告情報収集部02は、受信した検知ログの警告名の欄に値が設定されているか否かを判定する。
受信した検知ログが攻撃活動の検知を通知する検知ログであれば、処理がステップS004に移行する。一方、受信した検知ログが攻撃活動の検知を通知する検知ログでなければ、処理がステップS002に戻る。
ここでは、警告情報収集部02が図9に示す検知ログ301を受信したと仮定する。つまり、侵入検知装置12によりDoS攻撃が検知されたものとする。
侵入検知装置12は、攻撃活動を検知していない場合にも検知ログを定期的に送信する。侵入検知装置12は、攻撃活動を検知していない場合は、攻撃活動を検知した場合の検知ログとは異なる検知ログを送信する。例えば、侵入検知装置12は、図9の警告名の欄が空欄の検知ログを送信する。
警告情報収集部02は、受信した検知ログが攻撃活動の検知を通知する検知ログが否かを判定する(ステップS003)。例えば、警告情報収集部02は、受信した検知ログの警告名の欄に値が設定されているか否かを判定する。
受信した検知ログが攻撃活動の検知を通知する検知ログであれば、処理がステップS004に移行する。一方、受信した検知ログが攻撃活動の検知を通知する検知ログでなければ、処理がステップS002に戻る。
ここでは、警告情報収集部02が図9に示す検知ログ301を受信したと仮定する。つまり、侵入検知装置12によりDoS攻撃が検知されたものとする。
ステップS003がYESの場合、すなわち、侵入検知装置12において攻撃活動が検知された場合は、警告情報収集部02は、侵入検知装置12から受信した検知ログを分析情報算出部04に出力する。
分析情報算出部04は、分析履歴蓄積部08から、警告情報収集部02から取得した検知ログに示される警告名に対応する分析履歴テーブル203を取得する(ステップS004)。具体的には、分析情報算出部04は、図9の検知ログ301の警告名であるDoS攻撃に対応する図4の分析履歴テーブル203を取得する。
分析情報算出部04は、分析履歴蓄積部08から、警告情報収集部02から取得した検知ログに示される警告名に対応する分析履歴テーブル203を取得する(ステップS004)。具体的には、分析情報算出部04は、図9の検知ログ301の警告名であるDoS攻撃に対応する図4の分析履歴テーブル203を取得する。
次に、分析情報算出部04は、分析履歴テーブル203から、検知ログに示される通信先と共通の通信先が示される分析履歴を抽出する(ステップS005)。
図4の例では、分析情報算出部04は、通信先がWebサーバーである分析履歴番号1、3、4、5、10の分析履歴を抽出する。
図4の例では、分析情報算出部04は、通信先がWebサーバーである分析履歴番号1、3、4、5、10の分析履歴を抽出する。
次に、分析情報算出部04は、ステップS005で抽出した分析履歴の類似度を分析する(ステップS006)。
類似度の分析には、類似履歴比較テーブル205が用いられる。具体的には、分析情報算出部04は、検知ログに示される現在の攻撃活動が検知された時刻と、分析履歴番号1、3、4、5、10の「過去の攻撃活動の検知時の状況」の「発生時間帯」に示される時間帯との類似度を算出する。また、分析情報算出部04は、検知ログに示される現在の攻撃活動が検知された際の通信量と分析履歴番号1、3、4、5、10の「過去の攻撃活動の検知時の状況」の「通信量」に示される通信量との類似度を算出する。また、分析情報算出部04は、分析履歴番号1、3、4、5、10の「過去の攻撃活動の検知時の状況」の「発生時間帯」に示される時間帯と「検知ルールが前提とする状況」の「発生時間帯」に示される時間帯との類似度を算出する。また、分析情報算出部04は、分析履歴番号1、3、4、5、10の「過去の攻撃活動の検知時の状況」の「通信量」に示される通信量と「検知ルールが前提とする状況」の「通信量」に示される通信量との類似度を算出する。更に、分析情報算出部04は、分析履歴番号1、3、4、5、10の「過去の攻撃活動の検知時の状況」の「ターゲット」に示される機器の種類と「検知ルールが前提とする状況」「ターゲット」に示される機器の種類との類似度を算出する。
類似度の分析には、類似履歴比較テーブル205が用いられる。具体的には、分析情報算出部04は、検知ログに示される現在の攻撃活動が検知された時刻と、分析履歴番号1、3、4、5、10の「過去の攻撃活動の検知時の状況」の「発生時間帯」に示される時間帯との類似度を算出する。また、分析情報算出部04は、検知ログに示される現在の攻撃活動が検知された際の通信量と分析履歴番号1、3、4、5、10の「過去の攻撃活動の検知時の状況」の「通信量」に示される通信量との類似度を算出する。また、分析情報算出部04は、分析履歴番号1、3、4、5、10の「過去の攻撃活動の検知時の状況」の「発生時間帯」に示される時間帯と「検知ルールが前提とする状況」の「発生時間帯」に示される時間帯との類似度を算出する。また、分析情報算出部04は、分析履歴番号1、3、4、5、10の「過去の攻撃活動の検知時の状況」の「通信量」に示される通信量と「検知ルールが前提とする状況」の「通信量」に示される通信量との類似度を算出する。更に、分析情報算出部04は、分析履歴番号1、3、4、5、10の「過去の攻撃活動の検知時の状況」の「ターゲット」に示される機器の種類と「検知ルールが前提とする状況」「ターゲット」に示される機器の種類との類似度を算出する。
図9の検知ログ301では、発生時刻は「10:18」であり、通信量は「5500アクセス/分」である。このため、現在の攻撃活動との関係では、分析履歴番号1、3、4に高い類似度が付与される。また、図6の「検知ルールが前提とする状況」では発生時間帯は「10:00−12:00」であり、「通信量」は「5000」であり、「ターゲット」は「Web」である。このため、検知ルールとの関係でも、分析履歴番号1、3、4に高い類似度が付与される。なお、本実施の形態では、類似度の算出方法自体は問わない。
この結果、図6の例では、分析情報算出部04は、新規に発生した検知ログの分析に適した履歴として、類似度の高い分析履歴番号1、3、4の分析履歴を選択する。
そして、分析情報算出部04は、分析履歴番号1、3、4の分析履歴(図4の該当するレコード)を警告重要度推定部05に出力する。
この結果、図6の例では、分析情報算出部04は、新規に発生した検知ログの分析に適した履歴として、類似度の高い分析履歴番号1、3、4の分析履歴を選択する。
そして、分析情報算出部04は、分析履歴番号1、3、4の分析履歴(図4の該当するレコード)を警告重要度推定部05に出力する。
警告重要度推定部05は、分析情報算出部04から分析履歴を取得し、取得した分析履歴の重要度に従って、取得した分析履歴を表示装置10を介してオペレーターに提示する(ステップS007)。
警告重要度推定部05は、分析情報算出部04から取得した分析履歴が一つである場合は、取得した分析履歴を表示装置10を介してオペレーターに提示する。
一方、分析情報算出部04から取得した分析履歴が複数である場合は、警告重要度推定部05は、分析履歴の重要度を判定する。そして、警告重要度推定部05は、重要度の順に複数の分析履歴の間の序列を決定し、決定した序列に従って、複数の分析履歴を表示装置10を介してオペレーターに提示する。
分析履歴の重要度の判定方法は以下のとおりである。
まず、警告重要度推定部05は、分析履歴内の「対応処置」に記載された対策の要否の項目から、対策が必要であった分析履歴を上位に並べ替える。次に分析履歴内の「対応処置」に記載された処置内容の項目に「客先に通報」が記載されている分析履歴を上位に並べ替える。
図7は、警告重要度推定部05に通知された分析履歴の順序を示す。図7の例では、分析履歴番号1、3、4の順序で分析情報算出部04から警告重要度推定部05に通知されている。
図8は、警告重要度推定部05により順序が変更されたのちの分析履歴の順序を示す。図8の例では、分析歴番号3、1、4の順序に変更されている。つまり、「客先に通報」が記載されている分析履歴番号3の分析履歴が最も重要度が高く、「対策要」が記載されている分析履歴番号1の分析履歴が2番目に重要度が高い。
警告重要度推定部05は、図8に示す順序で複数の分析履歴をオペレーターに提示する。
オペレーターは、警告重要度推定部05から提示された分析履歴の「対応処置」の欄の記載を参考に、新たに検知された現在の攻撃活動に対する対応処置を検討することができる。
なお、新たに検知された現在の攻撃活動に対する対応処置がオペレーターにより決定された後に、分析情報算出部04は、図9の検知ログ301の記載内容とオペレータにより決定された対応処置とが示される新たなレコードを分析履歴テーブル203に追加する。
警告重要度推定部05は、分析情報算出部04から取得した分析履歴が一つである場合は、取得した分析履歴を表示装置10を介してオペレーターに提示する。
一方、分析情報算出部04から取得した分析履歴が複数である場合は、警告重要度推定部05は、分析履歴の重要度を判定する。そして、警告重要度推定部05は、重要度の順に複数の分析履歴の間の序列を決定し、決定した序列に従って、複数の分析履歴を表示装置10を介してオペレーターに提示する。
分析履歴の重要度の判定方法は以下のとおりである。
まず、警告重要度推定部05は、分析履歴内の「対応処置」に記載された対策の要否の項目から、対策が必要であった分析履歴を上位に並べ替える。次に分析履歴内の「対応処置」に記載された処置内容の項目に「客先に通報」が記載されている分析履歴を上位に並べ替える。
図7は、警告重要度推定部05に通知された分析履歴の順序を示す。図7の例では、分析履歴番号1、3、4の順序で分析情報算出部04から警告重要度推定部05に通知されている。
図8は、警告重要度推定部05により順序が変更されたのちの分析履歴の順序を示す。図8の例では、分析歴番号3、1、4の順序に変更されている。つまり、「客先に通報」が記載されている分析履歴番号3の分析履歴が最も重要度が高く、「対策要」が記載されている分析履歴番号1の分析履歴が2番目に重要度が高い。
警告重要度推定部05は、図8に示す順序で複数の分析履歴をオペレーターに提示する。
オペレーターは、警告重要度推定部05から提示された分析履歴の「対応処置」の欄の記載を参考に、新たに検知された現在の攻撃活動に対する対応処置を検討することができる。
なお、新たに検知された現在の攻撃活動に対する対応処置がオペレーターにより決定された後に、分析情報算出部04は、図9の検知ログ301の記載内容とオペレータにより決定された対応処置とが示される新たなレコードを分析履歴テーブル203に追加する。
***実施の形態の効果の説明***
このように、本実施の形態では、現在の攻撃活動が検知された際の状況と、複数の過去の攻撃活動のそれぞれが検知された際の状況と、検知ルールが前提とする状況とを分析する。そして、本実施の形態では、複数の過去の攻撃活動の中から現在の攻撃活動に適した過去の攻撃活動が選択され、選択された過去の攻撃活動に対する対応処置が提示される。このため、本実施の形態によれば、経験の浅いアナリスト(オペレーター)であっても、現在の攻撃活動に適した対応処置をとることができる。
このように、本実施の形態では、現在の攻撃活動が検知された際の状況と、複数の過去の攻撃活動のそれぞれが検知された際の状況と、検知ルールが前提とする状況とを分析する。そして、本実施の形態では、複数の過去の攻撃活動の中から現在の攻撃活動に適した過去の攻撃活動が選択され、選択された過去の攻撃活動に対する対応処置が提示される。このため、本実施の形態によれば、経験の浅いアナリスト(オペレーター)であっても、現在の攻撃活動に適した対応処置をとることができる。
***ハードウェア構成の説明***
最後に、攻撃活動分析支援装置01のハードウェア構成の補足説明を行う。
図10に示すプロセッサ101は、プロセッシングを行うIC(Integrated Circuit)である。
プロセッサ101は、CPU、DSP(Digital Signal Processor)等である。
図3に示す記憶装置102は、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ、HDD(Hard Disk Drive)等である。
図3に示すネットワークインタフェース103は、データの通信処理を実行する電子回路である。
ネットワークインタフェース103は、例えば、通信チップ又はNIC(Network Interface Card)である。
最後に、攻撃活動分析支援装置01のハードウェア構成の補足説明を行う。
図10に示すプロセッサ101は、プロセッシングを行うIC(Integrated Circuit)である。
プロセッサ101は、CPU、DSP(Digital Signal Processor)等である。
図3に示す記憶装置102は、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ、HDD(Hard Disk Drive)等である。
図3に示すネットワークインタフェース103は、データの通信処理を実行する電子回路である。
ネットワークインタフェース103は、例えば、通信チップ又はNIC(Network Interface Card)である。
また、記憶装置102には、OS(Operating System)も記憶されている。
そして、OSの少なくとも一部がプロセッサ101により実行される。
プロセッサ101はOSの少なくとも一部を実行しながら、警告情報収集部02、監視情報収集部03、分析情報算出部04及び警告重要度推定部05の機能を実現するプログラムを実行する。
プロセッサ101がOSを実行することで、タスク管理、メモリ管理、ファイル管理、通信制御等が行われる。
また、警告情報収集部02、監視情報収集部03、分析情報算出部04及び警告重要度推定部05の処理の結果を示す情報、データ、信号値及び変数値の少なくともいずれかが、記憶装置102、プロセッサ101内のレジスタ及びキャッシュメモリの少なくともいずれかに記憶される。
また、警告情報収集部02、監視情報収集部03、分析情報算出部04及び警告重要度推定部05の機能を実現するプログラムは、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD等の可搬記憶媒体に記憶されてもよい。
そして、OSの少なくとも一部がプロセッサ101により実行される。
プロセッサ101はOSの少なくとも一部を実行しながら、警告情報収集部02、監視情報収集部03、分析情報算出部04及び警告重要度推定部05の機能を実現するプログラムを実行する。
プロセッサ101がOSを実行することで、タスク管理、メモリ管理、ファイル管理、通信制御等が行われる。
また、警告情報収集部02、監視情報収集部03、分析情報算出部04及び警告重要度推定部05の処理の結果を示す情報、データ、信号値及び変数値の少なくともいずれかが、記憶装置102、プロセッサ101内のレジスタ及びキャッシュメモリの少なくともいずれかに記憶される。
また、警告情報収集部02、監視情報収集部03、分析情報算出部04及び警告重要度推定部05の機能を実現するプログラムは、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD等の可搬記憶媒体に記憶されてもよい。
また、警告情報収集部02、監視情報収集部03、分析情報算出部04及び警告重要度推定部05の「部」を、「回路」又は「工程」又は「手順」又は「処理」に読み替えてもよい。
また、攻撃活動分析支援装置01は、処理回路により実現されてもよい。処理回路は、例えば、ロジックIC(Integrated Circuit)、GA(Gate Array)、ASIC(Application Specific Integrated Circuit)、FPGA(Field−Programmable Gate Array)である。
この場合は、警告情報収集部02、監視情報収集部03、分析情報算出部04及び警告重要度推定部05は、それぞれ処理回路の一部として実現される。
なお、本明細書では、プロセッサと、メモリと、プロセッサとメモリの組合せと、処理回路との上位概念を、「プロセッシングサーキットリー」という。
つまり、プロセッサと、メモリと、プロセッサとメモリの組合せと、処理回路とは、それぞれ「プロセッシングサーキットリー」の具体例である。
また、攻撃活動分析支援装置01は、処理回路により実現されてもよい。処理回路は、例えば、ロジックIC(Integrated Circuit)、GA(Gate Array)、ASIC(Application Specific Integrated Circuit)、FPGA(Field−Programmable Gate Array)である。
この場合は、警告情報収集部02、監視情報収集部03、分析情報算出部04及び警告重要度推定部05は、それぞれ処理回路の一部として実現される。
なお、本明細書では、プロセッサと、メモリと、プロセッサとメモリの組合せと、処理回路との上位概念を、「プロセッシングサーキットリー」という。
つまり、プロセッサと、メモリと、プロセッサとメモリの組合せと、処理回路とは、それぞれ「プロセッシングサーキットリー」の具体例である。
01 攻撃活動分析支援装置、02 警告情報収集部、03 監視情報収集部、04 分析情報算出部、05 警告重要度推定部、06 警告情報蓄積部、07 監視情報蓄積部、08 分析履歴蓄積部、09 入力装置、10 表示装置、11 ファイアウォール、12 侵入検知装置、13 プロキシサーバー、14 監視対象、15 監視対象、16 外部ネットワーク、17 DMZネットワーク、18 内部ネットワーク、101 プロセッサ、102 記憶装置、103 ネットワークインタフェース、104 表示インタフェース、105 入力インタフェース。
Claims (9)
- 検知ルールを用いて攻撃活動が検知された場合に、検知された攻撃活動である現在の攻撃活動が検知された際の状況と、前記検知ルールを用いて過去に検知された複数の攻撃活動である複数の過去の攻撃活動のそれぞれが検知された際の状況と、前記検知ルールが前提としている状況とを分析し、分析結果に基づき、前記複数の過去の攻撃活動の中から任意数の攻撃活動を選択する選択部と、
前記選択部により選択された攻撃活動に対して行われた対応処置を提示する対応処置提示部とを有する情報処理装置。 - 前記選択部は、
前記現在の攻撃活動が検知された際の状況と前記複数の過去の攻撃活動のそれぞれが検知された際の状況との類似度を分析し、前記複数の過去の攻撃活動のそれぞれが検知された際の状況と前記検知ルールが前提としている状況との類似度を分析する請求項1に記載の情報処理装置。 - 前記選択部は、
前記現在の攻撃活動が検知された時刻と前記複数の過去の攻撃活動のそれぞれが検知された時間帯との類似度と、前記現在の攻撃活動が検知された際の通信量と前記複数の過去の攻撃活動のそれぞれが検知された際の通信量との類似度と、前記複数の過去の攻撃活動のそれぞれが検知された時間帯と前記検知ルールが前提とする時間帯との類似度と、前記複数の過去の攻撃活動のそれぞれが検知された際の通信量と前記検知ルールが前提とする通信量との類似度とを分析する請求項1に記載の情報処理装置。 - 前記選択部は、
前記複数の過去の攻撃活動のそれぞれのターゲットの機器の種類と、前記検知ルールが前提とするターゲットの機器の種類との類似度を分析する請求項3に記載の情報処理装置。 - 前記対応処置提示部は、
前記選択部により前記複数の過去の攻撃活動の中から2以上の攻撃活動が選択された場合に、選択された2以上の攻撃活動の間の序列を決定し、決定した序列に従って、選択された2以上の攻撃活動に対して行われた対応処置を提示する請求項1に記載の情報処理装置。 - 前記対応処置提示部は、
選択された2以上の攻撃活動の各々の対応処置の重要度に基づき、選択された2以上の攻撃活動の間の序列を決定する請求項4に記載の情報処理装置。 - 前記選択部は、
前記現在の攻撃活動の種類と同じ種類の複数の過去の攻撃活動であって、前記現在の攻撃活動のターゲットの機器の種類と同じ種類の機器をターゲットとする複数の過去の攻撃活動のそれぞれが検知された際の状況を分析する請求項1に記載の情報処理装置。 - 検知ルールを用いて攻撃活動が検知された場合に、コンピュータが、検知された攻撃活動である現在の攻撃活動が検知された際の状況と、前記検知ルールを用いて過去に検知された複数の攻撃活動である複数の過去の攻撃活動のそれぞれが検知された際の状況と、前記検知ルールが前提としている状況とを分析し、分析結果に基づき、前記複数の過去の攻撃活動の中から任意数の攻撃活動を選択する選択処理と、
前記コンピュータが、前記選択処理により選択された攻撃活動に対して行われた対応処置を提示する対応処置提示処理とを有する情報処理方法。 - 検知ルールを用いて攻撃活動が検知された場合に、検知された攻撃活動である現在の攻撃活動が検知された際の状況と、前記検知ルールを用いて過去に検知された複数の攻撃活動である複数の過去の攻撃活動のそれぞれが検知された際の状況と、前記検知ルールが前提としている状況とを分析し、分析結果に基づき、前記複数の過去の攻撃活動の中から任意数の攻撃活動を選択する選択処理と、
前記選択処理により選択された攻撃活動に対して行われた対応処置を提示する対応処置提示処理とをコンピュータに実行させる情報処理プログラム。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017150179A JP6656211B2 (ja) | 2017-08-02 | 2017-08-02 | 情報処理装置、情報処理方法及び情報処理プログラム |
| EP17920534.9A EP3657371A4 (en) | 2017-08-02 | 2017-12-06 | INFORMATION PROCESSING DEVICE, INFORMATION PROCESSING PROCESS AND INFORMATION PROCESSING PROGRAM |
| US16/634,832 US20210117538A1 (en) | 2017-08-02 | 2017-12-06 | Information processing apparatus, information processing method, and computer readable medium |
| CN201780093404.1A CN110959158A (zh) | 2017-08-02 | 2017-12-06 | 信息处理装置、信息处理方法和信息处理程序 |
| PCT/JP2017/043869 WO2019026310A1 (ja) | 2017-08-02 | 2017-12-06 | 情報処理装置、情報処理方法及び情報処理プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017150179A JP6656211B2 (ja) | 2017-08-02 | 2017-08-02 | 情報処理装置、情報処理方法及び情報処理プログラム |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2019028891A true JP2019028891A (ja) | 2019-02-21 |
| JP2019028891A5 JP2019028891A5 (ja) | 2019-09-12 |
| JP6656211B2 JP6656211B2 (ja) | 2020-03-04 |
Family
ID=65232423
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017150179A Active JP6656211B2 (ja) | 2017-08-02 | 2017-08-02 | 情報処理装置、情報処理方法及び情報処理プログラム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20210117538A1 (ja) |
| EP (1) | EP3657371A4 (ja) |
| JP (1) | JP6656211B2 (ja) |
| CN (1) | CN110959158A (ja) |
| WO (1) | WO2019026310A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023112382A1 (ja) * | 2021-12-15 | 2023-06-22 | パナソニックIpマネジメント株式会社 | 分析支援方法、分析支援装置、およびプログラム |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11736497B1 (en) * | 2018-03-19 | 2023-08-22 | Bedrock Automation Platforms Inc. | Cyber security platform and method |
| JP7276347B2 (ja) * | 2018-09-26 | 2023-05-18 | 日本電気株式会社 | 情報処理装置、制御方法、及びプログラム |
| JP7186637B2 (ja) * | 2019-02-21 | 2022-12-09 | 三菱電機株式会社 | 検知ルール群調整装置および検知ルール群調整プログラム |
| WO2021019636A1 (ja) * | 2019-07-29 | 2021-02-04 | オムロン株式会社 | セキュリティ装置、インシデント対応処理方法、プログラム、及び記憶媒体 |
| WO2021084567A1 (ja) * | 2019-10-28 | 2021-05-06 | 日本電気株式会社 | 情報処理装置、表示方法、及び非一時的なコンピュータ可読媒体 |
| CN112003824B (zh) * | 2020-07-20 | 2023-04-18 | 中国银联股份有限公司 | 攻击检测方法、装置及计算机可读存储介质 |
| JP7574668B2 (ja) * | 2021-01-27 | 2024-10-29 | セイコーエプソン株式会社 | 電子機器及び電子機器の制御方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011076161A (ja) * | 2009-09-29 | 2011-04-14 | Nomura Research Institute Ltd | インシデント管理システム |
| WO2016147403A1 (ja) * | 2015-03-19 | 2016-09-22 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及び情報処理プログラム |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4661512B2 (ja) | 2004-11-05 | 2011-03-30 | 株式会社日立製作所 | 遠隔メンテナンスシステム,モニタリングセンター計算機及びメンテナンス指示方法 |
| US8655823B1 (en) * | 2011-03-23 | 2014-02-18 | Emc Corporation | Event management system based on machine logic |
| JP5655191B2 (ja) | 2011-06-28 | 2015-01-21 | 日本電信電話株式会社 | 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム |
| US9043903B2 (en) * | 2012-06-08 | 2015-05-26 | Crowdstrike, Inc. | Kernel-level security agent |
| WO2014112185A1 (ja) * | 2013-01-21 | 2014-07-24 | 三菱電機株式会社 | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム |
| US9276945B2 (en) * | 2014-04-07 | 2016-03-01 | Intuit Inc. | Method and system for providing security aware applications |
| JP6574332B2 (ja) | 2015-03-26 | 2019-09-11 | 株式会社日立システムズ | データ分析システム |
-
2017
- 2017-08-02 JP JP2017150179A patent/JP6656211B2/ja active Active
- 2017-12-06 CN CN201780093404.1A patent/CN110959158A/zh not_active Withdrawn
- 2017-12-06 WO PCT/JP2017/043869 patent/WO2019026310A1/ja unknown
- 2017-12-06 EP EP17920534.9A patent/EP3657371A4/en not_active Withdrawn
- 2017-12-06 US US16/634,832 patent/US20210117538A1/en not_active Abandoned
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011076161A (ja) * | 2009-09-29 | 2011-04-14 | Nomura Research Institute Ltd | インシデント管理システム |
| WO2016147403A1 (ja) * | 2015-03-19 | 2016-09-22 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及び情報処理プログラム |
Non-Patent Citations (2)
| Title |
|---|
| 桜井 鐘治 ほか1名: "標的型攻撃監視における見える化の提案", 2013年 暗号と情報セキュリティシンポジウム概要集, JPN6019051717, 22 January 2013 (2013-01-22), pages 1 - 5, ISSN: 0004188108 * |
| 馬場 敏文: "検知/防御のメカニズムと活用のポイントがすべてわかる IDS/IPS完全教本 基本機能から導入・運用", NETWORK WORLD, vol. 第13巻3号, JPN6019051720, 1 March 2008 (2008-03-01), JP, pages 70 - 78, ISSN: 0004188109 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023112382A1 (ja) * | 2021-12-15 | 2023-06-22 | パナソニックIpマネジメント株式会社 | 分析支援方法、分析支援装置、およびプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019026310A1 (ja) | 2019-02-07 |
| JP6656211B2 (ja) | 2020-03-04 |
| EP3657371A1 (en) | 2020-05-27 |
| EP3657371A4 (en) | 2020-05-27 |
| US20210117538A1 (en) | 2021-04-22 |
| CN110959158A (zh) | 2020-04-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6656211B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| US11647039B2 (en) | User and entity behavioral analysis with network topology enhancement | |
| US11025674B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
| US11757920B2 (en) | User and entity behavioral analysis with network topology enhancements | |
| US10728264B2 (en) | Characterizing behavior anomaly analysis performance based on threat intelligence | |
| US12058177B2 (en) | Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance | |
| JP6201614B2 (ja) | ログ分析装置、方法およびプログラム | |
| TWI703468B (zh) | 用於產生可疑事件時序圖的可疑事件研判裝置與相關的電腦程式產品 | |
| JP6717206B2 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム | |
| WO2018211827A1 (ja) | 評価プログラム、評価方法および情報処理装置 | |
| JP2021027505A (ja) | 監視装置、監視方法、および監視プログラム | |
| CN108156127B (zh) | 网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体 | |
| JP2008158889A (ja) | トラブル要因検出プログラム、トラブル要因検出方法およびトラブル要因検出装置 | |
| US11811587B1 (en) | Generating incident response action flows using anonymized action implementation data | |
| JP2017211806A (ja) | 通信の監視方法、セキュリティ管理システム及びプログラム | |
| WO2022264650A1 (ja) | サイバーセキュリティ管理装置、サイバーセキュリティ管理方法及びサイバーセキュリティ管理システム | |
| CN114900375A (zh) | 一种基于ai图分析的恶意威胁侦测方法 | |
| JP7424395B2 (ja) | 分析システム、方法およびプログラム | |
| EP3679506A2 (en) | Advanced cybersecurity threat mitigation for inter-bank financial transactions | |
| CN113014601A (zh) | 一种通信检测方法、装置、设备和介质 | |
| US11503060B2 (en) | Information processing apparatus, information processing system, security assessment method, and security assessment program | |
| CN111832030A (zh) | 一种基于国产密码数据标识的数据安全审计装置及方法 | |
| JP2016181191A (ja) | 管理プログラム、管理装置及び管理方法 | |
| JP7405162B2 (ja) | 分析システム、方法およびプログラム | |
| EP4332804A2 (en) | System for automatically evaluating the quality of network traffic signatures |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190730 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190730 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200107 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200204 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6656211 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |