JP2019050477A - インシデント分析装置およびその分析方法 - Google Patents

インシデント分析装置およびその分析方法 Download PDF

Info

Publication number
JP2019050477A
JP2019050477A JP2017172985A JP2017172985A JP2019050477A JP 2019050477 A JP2019050477 A JP 2019050477A JP 2017172985 A JP2017172985 A JP 2017172985A JP 2017172985 A JP2017172985 A JP 2017172985A JP 2019050477 A JP2019050477 A JP 2019050477A
Authority
JP
Japan
Prior art keywords
attack
estimated
handling
information
countermeasure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017172985A
Other languages
English (en)
Other versions
JP6831763B2 (ja
Inventor
晃史 矢戸
Akishi Yato
晃史 矢戸
宏樹 内山
Hiroki Uchiyama
宏樹 内山
熊谷 洋子
Yoko Kumagai
洋子 熊谷
訓 大久保
Satoshi Okubo
訓 大久保
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2017172985A priority Critical patent/JP6831763B2/ja
Publication of JP2019050477A publication Critical patent/JP2019050477A/ja
Application granted granted Critical
Publication of JP6831763B2 publication Critical patent/JP6831763B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】複数の推定される攻撃が見つかっても、推定攻撃を特定できるインシデント分析装置を提供する。【解決手段】ネットワークで接続された複数のノードが通信する制御システムのインシデント分析装置であって、推定攻撃経路と対処回数を対応付けた対処情報テーブルが格納され、CPUにより実行されるプログラムが格納されたメモリと、を備える。CPUは、攻撃元ノードと攻撃先ノードの情報を含むアラートを受信し、受信されたアラートの情報に基づいて、攻撃元ノードと攻撃先ノードを含む攻撃経路を特定し、特定された攻撃経路を含む推定攻撃経路を、対処情報テーブルで検索し、検索結果の1以上の推定攻撃経路それぞれと対応付けられた1以上の対処回数を、対処情報テーブルから取得し、取得された1以上の対処回数に基づいて、優先度を設定し、設定された優先度に基づいて、検索結果の1以上の推定攻撃経路の中から推定攻撃経路を選択する。【選択図】図4

Description

本発明は、インシデント分析装置およびその分析方法に関するものである。
近年増加している制御システムを狙ったサイバー攻撃により、工場の生産設備の破壊や操業停止といった被害が発生している。そのため、制御システムに対するセキュリティ対策は信頼性確保の観点から重要視されている。現在、制御システム向けにサイバー攻撃進行前の対策を実施するためのセキュリティ製品がリリースされており、制御システムのネットワークへの不正接続を検知・遮断したり、攻撃の侵入を検知・遮断したりする事が行われている。
一方、サイバー攻撃の高度化により、完全に防御するのは困難となりつつあるため、サイバー攻撃進行前の対策だけではなく、サイバー攻撃進行直後の対策も必要となっている。サイバー攻撃進行直後の対策として、情報システム分野ではサイバー攻撃の初期段階を検知し、発生した大量のログやアラートを収集・分析する技術として、SIEM(Security Information and Event Management)が利用されている。
しかしながら、制御システム内部ではセキュリティ対策が十分になされていない場合が多く、サイバー攻撃の発生から機器の誤作動や破壊までが非常に短時間で行われてしまう可能性がある。そのため、多大なリソースと時間が必要なSIEMによるログ分析は、サイバー攻撃が発生しても即座に影響が広がらない情報システムでは有効であるが、検知から対処までの迅速性が求められる制御システムには適さない 。
特許文献1には、情報システムに対する標的型攻撃において、ログ分析のSIEMから発行された警告情報を基に、将来発生が予想される攻撃パターンを攻撃シナリオとして事前定義し、将来になった時点で事前定義された攻撃シナリオと合致するログを特定することで、ログ解析を効率化する技術が開示されている。
特許第5972401号(国際公開第2014/112185号)
しかしながら、特許文献1に開示の技術では、複数の攻撃シナリオがログと合致した場合の技術までは見当たらず、詳細にログを分析するオペレータが必要になる可能性がある。これに対して、制御システムの現場担当者はセキュリティの専門家ではない可能性が高い。
本発明は、上記の課題を解決するためになされたものであり、複数の推定(予想)される攻撃が見つかっても、推定攻撃を特定できるインシデント分析装置を提供することを一つの目的としている。
上記の目的を達成するために開示するインシデント分析装置は、ネットワークで接続された複数のノードが通信する制御システムのインシデント分析装置であって、CPUと、推定攻撃経路と対処回数を対応付けた対処情報テーブルが格納され、前記CPUにより実行されるプログラムが格納されたメモリと、を備え、前記CPUは、攻撃元ノードと攻撃先ノードの情報を含むアラートを受信し、受信されたアラートの情報に基づいて、攻撃元ノードと攻撃先ノードを含む攻撃経路を特定し、特定された攻撃経路を含む推定攻撃経路を、前記対処情報テーブルで検索し、検索結果の1以上の推定攻撃経路それぞれと対応付けられた1以上の対処回数を、前記対処情報テーブルから取得し、取得された1以上の対処回数に基づいて、優先度を設定し、設定された優先度に基づいて、検索結果の1以上の推定攻撃経路の中から推定攻撃経路を選択することを特徴とする。
本発明によれば、複数の推定される攻撃が見つかっても、推定攻撃を特定できるインシデント分析装置を提供することが可能になる。
実施例1におけるシステムの構成の例を示す図である。 各装置のハードウェア構成の例を示す図である。 実施例1におけるサイバー攻撃対処のシナリオの例を示すシーケンス図である。 実施例1における攻撃経路推定の処理の例を示すフローチャートである。 対処情報テーブルの例を示す図である。 構成情報テーブルの例を示す図である。 監視装置が収集したアラートのデータの例を示す図である。 監視装置の第1の表示画面の例を示す図である。 監視装置の第2の表示画面の例を示す図である。 監視装置の第3の表示画面の例を示す図である。 実施例2におけるシステム構成の例を示す図である。 対処情報生成の処理の例を示すフローチャートである。 実施例3におけるシステム構成の例を示す図である。 実施例3におけるサイバー攻撃対処のシナリオの例を示すシーケンス図である。
以下、本発明の実施形態を、図面に示す実施例を基に説明する。以下の実施例では、制御システム内の装置がUSBメモリ経由でマルウェアに感染し、制御装置を狙ってサイバー攻撃が進行する場合に、攻撃経路を推定し対処を実施する例について説明する。なお、以下の実施例において、対処の実施によってその後のサイバー攻撃の進行が止まったケースを対処成功と定義する。
(システム構成)
図1は実施例1におけるシステム構成の例を示す図である。図1に示すシステムは、監視装置100、不正接続検知装置110、フィルタリング装置120、不正侵入検知装置130、制御装置140、および装置150によって構成される。
なお、装置150は、装置(A)150−1から装置(I)150−9の中の1つを、いずれかを特定することなく表現したものであり、いずれかを特定する場合は、符号に枝番を付けて表記する。ここで「A」から「I」は装置150それぞれの名称である。
また、不正接続検知装置110、フィルタリング装置120、および不正侵入検知装置130の中の1つを、いずれかを特定することなく、検知装置180と称し、不正接続検知装置110とフィルタリング装置120の中の1つを、いずれかを特定することなく、対処先装置190と称する。
監視装置100、不正接続検知装置110、フィルタリング装置120、および装置(A)150−1から装置(D)150−4は、ネットワーク(J)160に接続し、フィルタリング装置120、制御装置140、および装置(E)150−5から装置(I)150−9はネットワーク(K)170に接続している。ここで「J」と「K」はネットワークの名称である。
監視装置100は、検知装置180から取得するアラートを基に今後(アラートを取得して以降)予想されサイバー攻撃の経路を推定(推定経路を特定)し、対処先装置190へ対処を指示する装置である。
監視装置100は、攻撃経路推定部101、対処情報表示部102、および対処情報更新部103の三種類の部(モジュール)と、対処情報テーブル104および構成情報テーブル105の二種類のテーブルとから構成される。
攻撃経路推定部101は、検知装置180から取得したアラートを基に対処情報テーブル104から合致する対処情報を取得し、攻撃経路を推定するモジュールである。対処情報表示部102は、攻撃経路推定部101から推定結果を取得し、対処情報と共に画面上に表示するモジュールである。また、対処実施完了の旨を入力する画面も表示する。対処情報更新部103は、対処情報表示部102から対処実施完了が入力された旨を受け取り、対処情報テーブル104に格納された対処回数を更新するモジュールである。
対処情報テーブル104は、サイバー攻撃の攻撃経路、対処内容、対処先装置、および対処回数の情報を含む対処情報を格納するテーブルである。構成情報テーブル105は、システムを構成する装置のIPアドレスと装置名を含むテーブルであり、攻撃経路推定部101がアラートと合致する対処情報を対処情報テーブル104から取得する際、アラートに含まれる検知装置180のIPアドレスを装置名に変換するために使用される。
検知装置180は、ネットワーク(J)160およびネットワーク(K)170経由でやり取りされる通信内容を基にシステム内の異常を検知し、アラートを生成する装置である。
不正接続検知装置110は、ネットワーク(J)160に接続された装置を検疫し、許可されていない装置をネットワーク(J)160から遮断すると共にアラートを生成する装置である。図1の例で不正接続検知装置110は、ネットワーク(J)160に接続しているが、ネットワーク(K)170に接続しても良い。
この検疫については、例えばネットワーク(J)160への接続許可リストを不正接続検知装置110内に保持し、ある装置がネットワーク(J)160に接続された際に、その装置から発信されるパケットの内容を基に判定を実施しても良い。
フィルタリング装置120は、ネットワーク(J)160とネットワーク(K)170との間を行き来し、フィルタリング装置120を通過するパケットを判定し、許可されていないパケットを遮断すると共にアラートを生成する装置である。パケットの通過許可の判定は、ファイアウォールなどで実施されるホワイトリストを用いた判定などでも良い。
不正侵入検知装置130は、フィルタリング装置120と制御装置140との間の通信を監視し、不審な挙動を検知するとアラートを生成する装置である。不審な挙動の検知は、IDS(Intrusion Detection System)などで実施されているように、通信の回数や周期性、データサイズやペイロードの内容などを分析して検知しても良い。
なお、不正侵入検知装置130は、図1に示すようにフィルタリング装置120に接続する形態を取る他、フィルタリング装置120のようにネットワーク(J)160とネットワーク(K)170の間に接続する形態を取っても良い。
制御装置140は、図示を省略したフィールド機器であって多数接続されたフィールド機器から、フィールド機器の稼動情報やセンシング情報を取得したり、フィールド機器へ動作を指示したりするといったフィードバック制御を実施する装置である。
制御装置140は主にPLC(Programmable Logic Controller)などのコントローラを指すが、通信インタフェースを有するセンサ装置や駆動装置などのフィールド機器そのものであっても良い。
装置150は、ネットワーク(J)160またはネットワーク(K)170に接続され、他の装置150または制御装置140との通信を実施する装置である。このため、装置150のそれぞれは、ネットワーク(J)160またはネットワーク(K)170の(ネットワーク)ノードである。
装置150の例としては、産業用コンピュータやHMI(Human Machine Interface)、生産管理サーバ、開発・保守用サーバ、あるいは制御サーバなどの、生産現場などで稼働する装置であっても良い。また、装置150の例としては、制御装置140を制御するためのデータを加工したり変換したりする装置であってもよい。
この制御するためのデータを加工しあり変換したりするために、データが複数の装置150を経由しても良い。例えば、制御するための元となるデータのデータフォーマットが第1の装置150で変換され、データフォーマットの変換されたデータに含まれる値が第2の装置150で変換されるなどしても良く、複数のデータフォーマットと複数の値がそれぞれ変換されるために、データはさらに多くの装置150を経由しても良い。
このようにデータが複数の装置150を経由すると、ネットワーク(J)160あるいはネットワーク(K)170にデータの通過する経路が生じる。データの通過する経路は、ネットワーク(J)160とネットワーク(K)170をまたがっても良い。
ネットワーク(J)160とネットワーク(K)170は、LAN(Local Area Network)や光ネットワークなどの専用線など、TCP/IPの通信を実現するネットワークであっても良い。
ネットワーク(J)160とネットワーク(K)170のそれぞれは、ネットワークスイッチとネットワークケーブル、あるいはそれらの集合であってもよく、ネットワークスイッチは不正接続検知装置110から指示に基づきネットワークスイッチのポートを遮断しても良い。
(システムを構成する装置のハードウェア構成)
図2は、システムを構成する各装置のハードウェア構成の例を示す図である。ここでの装置は、監視装置100、不正接続検知装置110、フィルタリング装置120、不正侵入検知装置130、および装置150である。
装置のハードウェアは、CPU(Central Processing Unit)201と、メモリ202と、外部記憶部203、通信部204、表示部205、入力部206、および外部媒体入出力部207の各部(デバイス)と、から構成され、バス208によって互いに接続されている。
CPU201は、メモリ202内に格納されたプログラムを実行する。特に、監視装置100におけるCPU201は、各モジュールに対応するプログラムを実行することにより、攻撃経路推定部101、対処情報表示部102、対処情報更新部103を実現する。
メモリ202は、CPU201により実行されるプログラムとデータが格納される。監視装置100におけるメモリ202は、各モジュールを実現するためのプログラムが格納され、検知装置180におけるメモリ202は、検知を実現するためのプログラムが格納される。攻撃経路推定部101などをハードウェアモジュールとみなし、攻撃経路推定部101などを実現するためのプログラムをソフトウェアモジュールとみなしても良い。
外部記憶部203は、HDD(Hard Disk Drive)などから構成され、データの長期記憶に用いられる。監視装置100における外部記憶部203は、対処情報テーブル104と構成情報テーブル105が記憶され、検知装置180における外部記憶部203は、生成したアラートが記憶される。
通信部204は、ネットワーク(J)160またはネットワーク(K)170に接続し、ネットワーク(J)160またはネットワーク(K)170を介してパケットを送受信する。表示部205は、CPU201がプログラムを実行した結果として得られた情報を表示する、例えばディスプレイである。
入力部206は。操作員が実施した操作内容をCPU201が実行するプログラムへ入力する、例えばマウスとキーボードである。外部媒体入出力部207は、メモリ202か外部記憶部203との間で情報をやりとりする、例えばUSB(Universal Serial Bus)メモリやフラッシュメモリである。バス208は、以上で説明した各部を接続し、各部間の情報のやりとりを実現する。
(サイバー攻撃対処のシナリオ)
図3に、実施例1におけるサイバー攻撃対処のシナリオの例をシーケンス図で示す。図3に示すシーケンスでは、装置(A)150−1,装置(B)150−2、あるいは装置(C)150−3への不正アクセスが検知された状態で、攻撃経路推定部101が今後予測される攻撃を推定する。
このために、不正アクセスを検知装置180が検知してアラートを生成し、このアラートを取得した監視装置100は、取得したアラートを基に今後予測される攻撃を推定する。そして、監視装置100は、対処先装置190へ対処を指示する。攻撃経路推定部101による今後予測される攻撃を推定については、図4を用いて後で説明する。以下では、まずシナリオで使用されるテーブルおよびデータの例を説明する。
(テーブルの構成)
図5に対処情報テーブル104の例を示す。対処情報テーブル104の各レコードは、攻撃経路501、対処内容502、対処先装置503、および対処回数504の各フィールドで構成される。図5の例においては、テーブルの行がレコード、列がフィールドである。
攻撃経路501は、サイバー攻撃が経由する装置150をその装置150の順序で示すフィールドである。図5に示すように、装置150の名称が順序付けられて列をなす。既に説明したように、制御装置140を制御するためのデータが複数の装置150を経由する場合があり、例えば複数の装置150を経由するデータをサイバー攻撃に利用されると、そのデータの経路にしたがって、サイバー攻撃が進行する。
また、サイバー攻撃を受けた装置150に他の装置150のIPアドレスがアドレス帳のように格納されていると、サイバー攻撃を受けた装置150を起点としてアドレス帳に格納されたIPアドレスの装置150へサイバー攻撃が進行する可能性もある。
攻撃経路501のフィールドは、予め設定されてもよい。予め設定されない場合の例については、実施例2で説明する。予め設定される場合と予め設定されない場合も含めて、攻撃経路501のフィールドの情報は、その情報が使用(参照)される時点においては、既に存在していて推定された情報であるので、推定攻撃経路と称しても良い。
対処内容502は、攻撃経路501で示されたサイバー攻撃に対し、実施する動作を示すフィールドである。対処先装置503は、対処内容502を実施する装置を示すフィールドである。対処内容502と対処先装置503のフィールドは、予め設定されてもよく、その設定はサイバー攻撃を初期段階で阻止するインシデント対応が望ましい。
攻撃経路501の「A、B、C、D」の場合、サイバー攻撃の最後の行き先が制御装置140であるとしても、例えば装置(A)150−1から装置(B)150−2へのサイバー攻撃が、制御装置140へのサイバー攻撃の予兆(インシデント)であり、この予兆に対してサイバー攻撃の進行を阻止する情報が対処内容502と対処先装置503のフィールドに設定されることが望ましい。予め設定されない場合の例については、実施例2で説明する。
対処回数504は、対処先装置503で示される装置に対して、対処内容502の動作を実施した回数を示すフィールドである。この回数は、実施回数を示す以外に、対処成功の回数を示しても良い。対処内容502の動作を実施した回数がカウントされる期間は予め設定されて良く、図7を用いて後で説明する。
なお、以上のような攻撃経路501を用いてサイバー攻撃の推定攻撃経路の処理を行う攻撃経路推定部101は、インシデントの分析とみなしても良く、監視装置100はインシデント分析装置と称しても良い。
図6に構成情報テーブル105の例を示す。構成情報テーブル105の各レコードは、IPアドレス601、装置名602、および接続ネットワーク603の各フィールドで構成される。IPアドレス601は、ネットワーク(J)160またはネットワーク(K)170に接続している装置のIPアドレスを示すフィールドである。
装置名602は、IPアドレス601で示されるIPアドレスを有する装置の名称を示すフィールドである。接続ネットワーク603は、IPアドレス601で示されるIPアドレスを有する装置が接続しているネットワーク(名称)を示すフィールドである。図6では、説明を理解しやすくするために、「A」と「J」などの名称に加えて「装置」と「ネットワーク」も記載している。
フィルタリング装置120は、ネットワーク(J)160とネットワーク(K)170のそれぞれに接続しているため、レコード608とレコード614のように、各ネットワークのIPアドレスごとに分けて登録されている。
(データの構成)
図7に監視装置100が収集したアラートのデータの例を示す。アラートは、アラートの発生時刻を表す「TIME」、アラートの検知メッセージを表す「MSG」、アラートの検知対象となった通信パケットの送信元IPアドレスを表す「SRC」と送信先IPアドレスを表す「DST」、およびアラートを検知した検知装置180のIPアドレスを表す「SIP」で構成される。
図7に示した例では、行701から行705までのアラートが時刻的にまとまって発生し、行701より時刻的に前には、行707に示すようにアラートが発生しておらず、行707より時刻的に前には行706のようにアラートが時刻的にまとまって発生している。図7に示した例のようにアラートは発生する場合があるため、対処回数504のためにカウントされる期間は行706と行707を含む期間であることが望ましい。
なお、この期間は、行706より時刻的にさらに前の時刻からの期間であっても良い。装置150の追加、取り外し、あるいは交換などのシステムの構成が変更された場合は、対処回数504のフィールドの値が0回にリセットされても良いし、監視装置100の外からの設定によりリセットされても良く、リセットされた時刻からの期間が開始されても良い。
期間を説明するために、図7に行706と行707を示したが、行706は削除されて無くても良いし、行706は処理済みを示すマークが付けられても良く、これらにより行706の検知メッセージなどが複数回処理対象とならないようにしても良い。
図3に説明を戻し、図3で、検知装置180は、不正接続検知装置110、フィルタリング装置120、または不正侵入検知装置130であり、対処先装置190は、不正接続検知装置110またはフィルタリング装置120である。
検知装置180は、ステップS304でネットワーク(J)160またはネットワーク(K)170経由でやり取りされる通信の内容を基にシステム内の異常を検知し、ステップS305で、検知した内容をアラートとして生成する。ステップS306は、検知装置180で生成されたアラートが、監視装置100へ送信される。
このステップS304で検知装置180は、ネットワーク(J)160への装置の不正接続、許可されていない通信、あるいは、その他数秒間で数百アクセスから数千アクセスといったアクセスを試みるDoS(Denial of Service attack)攻撃などの不審な挙動を異常として検知する。
監視装置100は、ステップS307で検知装置180からのアラートを取得し、ステップS308で、取得したアラートに基づき、予想されるサイバー攻撃の経路を推定する。ステップS309で監視装置100は、推定結果としてサイバー攻撃の経路および対処内容、対処先装置、対処回数といった情報を表示部205の画面上に表示する。
ステップS310は、ステップS308で推定された対処先装置190に対して対処内容が送信されて、対処の実施が指示される。対処実施の指示は、対処先装置の設定変更コマンドを送信するなどであっても良い。監視装置100は、ステップS311で送信された対処先装置190からの実施結果の応答を受け取り、ステップS312で対処情報に含まれる対処回数を更新する。
対処先装置190は、ステップS310で指示された対処内容に応じて対処の処理を実行する。ステップS311の実施結果応答は、ステップS310の対象実施指示の正常な受信を示す応答、対処先装置190の処理の単なる終了を示す応答、あるいは対処先装置190の処理が対処成功を示す応答であっても良い。
ここで、ステップS308で推定した結果は、推定されるサイバー攻撃に対する対処情報を対処情報テーブル104から取得したものである。すなわち、ここでの推定は、実際には発生途中の現象を特定し、その特定された現象に基づいた結果であることを意味する。また、ステップS312の対処回数の更新は、実施結果が対処完了であればステップS308で取得した対処情報に含まれる対処回数が値1を加算されて更新されても良い。
以上の一連のシナリオにおいて、ステップS308は攻撃経路推定部101が実行し、ステップS309およびステップS310は対処情報表示部102が実行し、ステップS312は対処情報更新部103が実行する。
図4に、実施例1における攻撃経路推定部101の処理の例をフローチャートで示す。図4に示すフローチャートは、図3のステップS308を詳細に説明するためのものである。ステップS401で攻撃経路推定部101は、取得したアラートから攻撃元情報、攻撃先情報、発生時刻を抽出する。図7におけるアラートの例では、攻撃元情報が「SRC」から抽出され、攻撃先情報が「DST」から抽出され、発生時刻が「TIME」から抽出される。
ステップS402で攻撃経路推定部101は、ステップS401で抽出された情報に含まれるIPアドレスを装置名へ変換する。この変換では、IPアドレスをキーとして構成情報テーブル105を検索して、装置名を取得する。
図7に示したアラートの例では、「SRC」および「DST」に含まれるIPアドレスは「192.168.0.1」、「192.168.0.2」、「192.168.0.3」であり、これらのIPアドレスがステップS402の実行によりそれぞれ装置名へ変換される。
図6に示した構成情報テーブル105を参照すると、IPアドレスの「192.168.0.1」はレコード604が検索でヒットするため、「A」(「装置(A)」)の装置名へ変換され、「192.168.0.2」はレコード605がヒットするため「B」へ変換され、「192.168.0.3」はレコード606がヒットするため「C」へ変換される。
その結果、図7に示した行701、行702、および行703の攻撃元情報は装置(A)150−1となって、攻撃先情報は装置(B)150−2となり、行704および行705の攻撃元情報は装置(B)150−2となって、攻撃先情報は装置(C)150−3となる。
ステップS403で攻撃経路推定部101は、ステップS402で変換された情報を基に、アラートの基となったサイバー攻撃が通過した攻撃経路を生成する。ステップS403は、2つのサブステップにより構成される。第1のサブステップは、攻撃元情報と攻撃先情報の組から重複する組を排除するサブステップである。
第2のサブステップは、攻撃元情報と攻撃先情報の組を発生時刻順に一列に並べ、ある発生時刻の攻撃先情報とその発生時刻の次の発生時刻の攻撃元情報で一致する情報は一つにまとめて、攻撃経路を生成する。
図7に示したアラートの例では、第1のサブステップで、いずれの行も攻撃元情報が装置(A)150−1であって攻撃先情報が装置(B)150−2であるため、行701と重複する行702と行703が排除される。また、いずれの行も攻撃元情報は装置(B)150−2であって攻撃先情報は装置(C)150−3であるため、行704と重複する行705が排除される。
その結果、行701の攻撃元情報である装置A150−1と攻撃先情報である装置B150−2、および行704の攻撃元情報である装置B150−2と攻撃先情報である装置C150−3が得られる。
そして、第2のサブステップで、攻撃元情報と攻撃先情報の組を発生時刻順に一列に並べると、装置(A)150−1と装置(B)150−2の組(行701の発生時刻が06:57)の後に、装置(B)150−2と装置(C)150−3の組(行704の発生時刻が7:55)が並べられるため、装置(A)150−1、装置(B)150−2、装置(B)150−2、装置(C)150−3、という列が得られる。
ここで、行701の攻撃先情報と行704の攻撃元情報が装置(B)150−2で一致するため、一つにまとめられる。その結果、装置(A)150−1、装置(B)150−2、装置(C)150−3という列となり、サイバー攻撃で通過した装置の攻撃経路が得られる。
ステップS404で攻撃経路推定部101は、ステップS403で生成された攻撃経路を含む対処情報について対処情報テーブル104を検索する。この検索は、対処情報テーブル104の攻撃経路501のフィールドに含まれる装置名とその順番が、ステップS403で生成された攻撃経路の装置名とその順番と一致するレコードの検索である。この一致は、攻撃経路501のフィールドに含まれる複数の装置名の一部の一致であっても、その順番が一致すれば良い。
この検索の結果、ヒットする対処情報が存在するか否かを判定する。ヒットする対処情報が存在すると判定した場合は、ステップS405へ進み、対処情報を取得する。ヒットする対処情報が存在しないと判定した場合は、推定処理を終了する。
ステップS406で攻撃経路推定部101は、ステップS405で取得した対処情報のそれぞれについて、対処回数および割合が予め設定された閾値を超えたものが存在するか否かを判定する。ここで、割合は、ステップS405で取得された対処情報の対処回数の合計で、それぞれの対処情報の対処回数を除算した値である。
閾値は攻撃経路推定部101の設定情報として予め設定された値であり、この例では対処回数の閾値が10回、対処割合の閾値が50%と設定されている。なお、ステップS406は、対処回数または割合のいずれか一方が予め設定された閾値を超えたものが存在するか否かを判定するステップであっても良いし、対処回数または割合の特定の一方が予め設定された閾値を超えたものが存在するか否かを判定するステップであっても良い。
ステップS406の判定の結果として閾値を超える対処情報が存在する場合、ステップウS407で攻撃経路推定部101は、閾値を超える対処情報の中で対処回数の最も多い対処情報の優先度を高く設定する。ステップS408で攻撃経路推定部101は、優先度が高い対処情報に含まれる攻撃経路を、今後予想されるサイバー攻撃の経路として推定する。すなわち、推定された今後予想されるサイバー攻撃の経路として設定(選択)する。
一方、閾値を超える対処情報が存在しないと判定した場合、ステップS409で攻撃経路推定部101は、ステップS405で取得した対処情報が一つであるか否かを判定する。対処情報が一つであると判定した場合、ステップS410で攻撃経路推定部101は、その対処情報に含まれる攻撃経路を今後予想されるサイバー攻撃の経路として推定(設定)し、対処情報が複数存在すると判定した場合は、推定処理を終了する。
図5の例では、ステップS404において対処情報テーブル104が検索され、ステップS405において、ステップS403で生成された攻撃経路「A、B、C」に合致する対処情報が取得されるため、攻撃経路501が「A、B、C、E、F、G」のレコード505、「A、B、C、D」のレコード506、「A、B、C、E、H、I」のレコード507が、対処情報として取得される。
取得されたレコード505〜507の対処回数504の回数の合計は49回であり、レコード505〜507の中で閾値の対処回数10回と割合50%を超える対処回数を実施しているものはレコード505(27回、55%)であるので、ステップS406において対処情報が存在すると判定される。
図5の例では、レコード506〜507は対処回数および割合が閾値を超えるものではないため、ステップS407において、レコード505の27回が最も多い対処回数となり、レコード505の優先度が高く設定される。
そして、ステップS408において、レコード505の対処情報に含まれる攻撃経路501の「A、B、C、E、F、G」が、推定された今後予想されるサイバー攻撃の経路として設定される。なお、推定された今後予想されるサイバー攻撃の経路としては、このような意味合いまたは名称の変数であっても良い。
そして、図3のシーケンス図において、ステップS308を実行した後、ステップS309では、レコード505の対処情報が表示部205の画面上に表示され、ステップS311で取得された実施結果の応答が対処完了であれば、ステップS312の対処回数更新においてレコード505の対処回数504の値が1回加算されて28回に更新される。
(表示画面)
図8Aから図8Cは、監視装置100がステップS309において表示する画面の例を示す図である。図8Aに示す画面801は、ステップS404にて対処情報が存在すると判定された後、ステップS406にて閾値を超えていると判定されるか、あるいはステップS409にて対処情報が一つであると判定された場合の例である。
画面801には、ステップS408またはステップS410で推定された経路を含む対処情報テーブル104のレコードにおける攻撃経路501と対処内容502と対処先装置503のフィールドに含まれる情報が表示される。
図8Bに示す画面802は、ステップS404にて対処情報が存在すると判定された後、ステップS406にて閾値を超えていないと判定され、かつステップS409にて対処情報は一つではないと判定された場合の例である。このように判定された場合、対処情報テーブル104の特定のレコードすなわち対処情報に絞れないため、画面802には、ステップS403で生成された攻撃経路が表示される。
この後、サイバー攻撃が進行するにつれて対処情報テーブル104の対処回数504の値が増え、ステップS406にて閾値を超えていると判定されれば、画面801が表示される。
図8Cに示す画面803は、ステップS404にて対処情報が存在しないと判定された場合の例である。このように判定された場合、対処情報テーブル104の特定のレコードすなわち対処情報に絞れないため、画面803は、ステップS403で生成された攻撃経路が表示され、新規のサイバー攻撃が発生している可能性がある旨が表示される。
以上が、実施例1においてサイバー攻撃対処のシナリオを実現するシーケンスの例である。本実施例では、対処情報に含まれる攻撃経路を装置名の列で示したが、構成情報テーブル105を用いたステップS402の変換を実施せず、IPアドレスの列で攻撃経路を表示しても良い。しかしながら、操作員がサイバー攻撃の状況を把握しやすく表示するという観点では、装置名で攻撃経路や対処先装置を表示する方が望ましい。
また、ステップS310およびステップS311では監視装置100が、対処先装置190に対して対処実施を指示し、実施結果の応答を受け取っているが、ステップS310およびステップS311は無くても良く、操作員が、図8Aの画面801に表示された推定攻撃経路、対象内容、および対処先装置の情報を基に対処の操作をしても良い。
この場合、ステップS311の代わりに、画面801において、監視装置100へ対策実施完了を指示するためのボタンが配置されても良く、操作員によりこのボタンが操作されたことが検出されてステップS312が実行され、対処回数が更新されても良い。
更に、画面801において、ステップS405で複数の対処情報が取得された場合の複数の対処情報、あるいはステップ406で閾値を超えた対処情報が複数存在すると判定された場合の複数の対処情報が表示され、推定された攻撃経路がレコード505である旨も表示されることで、複数の対処を操作員が選択できるようにしても良い。
この場合、対策実施完了を指示するためのボタンに加えて、各対処内容の横にチェックボックスが設けられ、チェックボックスにチェックが入れられてボタンが操作されたことが検出されてステップS312が実行され、チェックに対応する対処回数が更新されても良い。
本システムが導入直後であり、サイバー攻撃が発生せず対処が行なわれていない場合、事前に本システムに対して脅威分析などのリスクアセスメントが実施されても良い。これにより発生が予想される、もしくは影響が大きく対処が必要とされるサイバー攻撃と侵入経路、対処先装置および対処内容が策定され、対処回数が0回として対処情報テーブル104へ事前に登録されても良い。
その後サイバー攻撃が発生した場合、ステップS410により今後予想されるサイバー攻撃の経路が推定されれば、ステップS312により0回の対処回数も更新され、ステップS406で閾値を超えた対象情報が存在すると判定されることも可能である。
また、本実施例では、対象回数および割合が閾値を超えたと判定された場合に優先度が決定されているが、これ以外にも、閾値を設けずに対処回数の多いものから優先度が決定されても良い。
以上で説明したように、制御システムで特徴的な複数の装置150を経由するデータがある場合、そのデータを利用したサイバー攻撃に対して、サイバー攻撃の経路の初期段階で、サイバー攻撃の予兆(インシデント)を分析して、分析の時点以降に進行する推定攻撃経路を特定することができ、また対処の実施を指示することができる。
また、サイバー攻撃の経路の初期段階では攻撃経路が短く、複数の経路と合致してしまう場合であっても、優先度にしたがって推定攻撃経路を特定することができる。そして、サイバー攻撃の経路の初期段階で対処の実施を指示することができるため、先回りで早期対処を実現できるとともに、制御装置140を最後の行き先とするサイバー攻撃に対しては、制御装置140へのサイバー攻撃を事前に対処することが可能になる。
なお、制御システムにおいては、社会サイバー攻撃の対処により制御システム内の通信性能や機器性能に影響を与え、業務効率の低下を招く恐れがある。そのため、現場作業員はサイバー攻撃を受けた時の被害の大きさに加え、対処による業務への影響を考慮した上で、最も対処効果が大きい対処策を実施すると想定される。
このような対処策、すなわち対処内容と対処先装置と対処回数を対処情報テーブル104へ反映することにより、最も対処効果が大きくなるような攻撃経路を選定することが可能となる。
(システム構成)
実施例1では対処情報テーブル104に対処情報が登録されている例を説明したが、実施例2では対処情報を生成する例を説明する。図9は実施例2におけるシステム構成の例を示す図である。
図9に示すシステムは、監視装置100に対処情報生成部904が追加され、対処情報表示部102が対処情報表示部902に変更されて、監視装置100が監視装置900となった以外は、図1などを用いて説明した構成と同じである。
また、図4に示したフローチャートのステップS404において、アラートから生成された攻撃経路を含む対処情報が、対処情報テーブル104内に存在しないと判定された場合の処理が異なる。これら以外は実施例1の説明と同じであるので、実施例1と同じ説明は省略する。
対処情報生成部904は、対処情報テーブル104に存在しないサイバー攻撃が発生した場合、動的に攻撃経路および対処内容、対処先装置を含む対処情報を生成し、対処情報テーブル104へ登録するものである。
対処情報表示部902は、対処情報テーブル104に存在しないサイバー攻撃が発生した場合にも、対処情報生成部904が生成した対処内容および対処先装置を表示するものである。
(サイバー攻撃対処のシナリオ)
図10に、対処情報生成部904の処理の例をフローチャートで示す。図10に示すフローチャートは、図4のステップS404において、アラートから生成された攻撃経路を含む対処情報が対処情報テーブル104内に存在しないと判定された場合に実行される処理である。
ステップS1001で対処情報生成部904は、構成情報テーブル105の接続ネットワーク603の情報を取得し、アラートを基にした攻撃元情報と攻撃先情報すなわちステップS403で生成された攻撃経路が、どのネットワークを経由しているかを判定する。具体的には、攻撃経路が単一ネットワーク内で閉じているか、ネットワークをまたいでいるかを判定する。
その判定の結果、攻撃経路が単一ネットワーク内で閉じていると判定した場合、S1002で対処情報生成部904は、単一ネットワーク内の対策を実施する不正接続検知装置110を対処先装置に決定し、S1003で装置隔離を対処内容に決定する。
例えばステップS403で生成された攻撃経路が、装置(A)150−1、装置(D)150−4、装置(B)150−2の順番の場合、単一ネットワーク内に閉じていると判定され、ステップS1002とステップS1003が順次実行されて、装置(A)150−1、装置(D)150−4、および装置(B)150−2が隔離されても良い。
一方、攻撃経路がネットワークをまたいでいると判定した場合、ステップS1004で対処情報生成部904は、フィルタリング装置120を対処先装置に決定する。その後、ステップS1005で対処内容を決定するため、ステップS403で生成された攻撃経路の最後の攻撃先を基に、対処情報を対処情報テーブル104から取得する。
例えば、最初の攻撃元が装置(D)150−4、最後の攻撃先が装置(E)150−5の場合、対処情報生成部904は、攻撃経路501に「E」を含み、対処先装置503に「フィルタリング装置」を含む対処情報を対処情報テーブル104から取得する。そして、ステップS1006で対処情報生成部904は、取得した対処情報のうち、対処回数504の数が多い対処内容502の情報を対処内容に決定する。
ステップS1007で対処情報生成部904は、ステップS1002からステップS1006でそれぞれ決定した対処先装置および対処内容と、ステップS403で生成された攻撃経路を新たな対処情報として、対処情報テーブル104へ登録する。
また、その後更にサイバー攻撃が進行してアラートが発生した場合、ステップS1008で対処情報生成部904は、進行した攻撃経路をアラートから抽出し、対処情報テーブル104を更新する。攻撃経路をアラートから抽出する処理の内容は、ステップS403で説明したとおりである。
以上が、対処情報生成部904が実施する対処情報生成処理の例である。この後、図3に示したステップS309で対処情報表示部902は、対処情報生成部904が生成した対処情報を画面に表示する。この場合、推定された今後予想されるサイバー攻撃の経路は存在しないため、表示する画面は図8Aに示した画面801において、今後予想される経路に関する表示を省いたものになる。
以上で説明したように、対処情報テーブル104に存在しないサイバー攻撃が発生しても、発生したサイバー攻撃に基づいて、対処の実施を指示できるとともに、対処情報テーブル104に対処情報を登録することが可能となる。
(システム構成)
実施例1、2ではアラートから抽出された攻撃経路が1つの例を説明したが、実施例3ではアラートから抽出された攻撃経路が複数の例を説明する。図11は実施例3におけるシステム構成の例を示す図である。
図11に示すシステムは、監視装置900に対処順序決定部1105が追加され、対処情報表示部902が対処情報表示部1102に変更されて、監視装置900が監視装置1100になった以外は、図9などを用いて説明した構成と同じである。
また、図3に示したステップS308、ステップS309、およびステップS312の処理が異なる。これら以外は実施例1、2の説明と同じであるので、実施例1、2と同じ説明は省略する。
対処順序決定部1105は、複数のサイバー攻撃が発生した場合、対処回数を基にどのサイバー攻撃から順に対処するかを決定するモジュールであり、対処情報表示部1102は、複数のサイバー攻撃が発生した場合にも、対処順序決定部1105が生成した攻撃経路および対処回数を表示するモジュールである。
(サイバー攻撃対処のシナリオ)
図12に、実施例3におけるサイバー攻撃対処のシナリオの例をシーケンス図で示す。図12に示すシーケンスでは、二種類のサイバー攻撃すなわち第1のサイバー攻撃と第2のサイバー攻撃が発生したものとする。これらのサイバー攻撃により異常が検知され、図12に示したステップS304、ステップS305、ステップS306と進む。
そしてステップS307において、アラートから第1のサイバー攻撃の攻撃経路として装置(A)150−1、装置(B)150−2、装置(C)150−3、装置(E)150−5、装置(F)150−6が取得され、第2のサイバー攻撃の攻撃経路として装置(A)150−1、装置(B)150−2、装置(C)150−3、装置(E)150−5、装置(H)150−8が取得されたものとする。
ステップS308で攻撃経路推定部101は、第1のサイバー攻撃に対し推定された攻撃経路としてレコード505の「A、B、C、E、F、G」が特定され、第2のサイバー攻撃に対し推定された攻撃経路としてレコード507の「A、B、C、E、H、I」が特定される。
ステップS1212で対処順序決定部1105は、対処回数504のフィールドにおけるレコード505の「27回」とレコード507の「7回」を取得し、対処回数の多い方の優先度を高くするように、対処優先度を決定する。このため、第1のサイバー攻撃の対処優先度が第2のサイバー攻撃の対処優先度よりも高い優先度に決定される。
ステップS1212で決定された対処の優先度順に対処情報が画面上に表示される。このために、ステップS1213で対処情報表示部1102は、まだ表示されていない対処情報の中で最も対処優先度の高い対処情報を画面上に表示し、ステップS310とステップS311が実行された後、ステップS1214で、画面上に表示された対処情報の対処回数が更新されて、ステップS1213に戻り、まだ表示されていない次の対処優先度の対処情報が画面上に表示される。
例えばステップS1213で第1のサイバー攻撃の対処情報が表示され、処理がステップS1214まで進んでステップS1213に戻り、ステップS1213で第2のサイバー攻撃の対処情報が表示され、処理がステップS1214まで進むことにより、二種類のサイバー攻撃の対処が実現される。以上が、実施例3においてサイバー攻撃対処のシナリオを実現するシーケンスの例である。
以上で説明したように、アラートから抽出された攻撃経路が複数の場合であっても、複数の攻撃経路のそれぞれに対して対処優先度を設定し、対処優先度にしたがって対処することが可能になる。
100、900、1100・・・監視装置、
101・・・攻撃経路推定部、
904・・・対処情報生成部、
1105・・・対処順序決定部

Claims (15)

  1. ネットワークで接続された複数のノードが通信する制御システムのインシデント分析装置であって、
    CPUと、
    推定攻撃経路と対処回数を対応付けた対処情報テーブルが格納され、前記CPUにより実行されるプログラムが格納されたメモリと、
    を備え、
    前記CPUは、
    攻撃元ノードと攻撃先ノードの情報を含むアラートを受信し、
    受信されたアラートの情報に基づいて、攻撃元ノードと攻撃先ノードを含む攻撃経路を特定し、
    特定された攻撃経路を含む推定攻撃経路を、前記対処情報テーブルで検索し、
    検索結果の1以上の推定攻撃経路それぞれと対応付けられた1以上の対処回数を、前記対処情報テーブルから取得し、
    取得された1以上の対処回数に基づいて、優先度を設定し、
    設定された優先度に基づいて、検索結果の1以上の推定攻撃経路の中から推定攻撃経路を選択すること
    を特徴とするインシデント分析装置。
  2. 請求項1に記載のインシデント分析装置であって、
    前記CPUは、
    取得された1以上の対処回数の合計に対する各対処回数の割合を算出し、
    取得された1以上の対処回数のそれぞれ、および算出された割合のそれぞれに基づいて、優先度を設定すること
    を特徴とするインシデント分析装置。
  3. 請求項2に記載のインシデント分析装置であって、
    前記CPUは、
    取得された1以上の対処回数の中の第1の対処回数が第1の閾値を超え、前記第1の対処回数の算出された割合が第2の閾値を超えると判定すると、前記第1の対処回数と対応付けられた推定攻撃経路の優先度を設定すること
    を特徴とするインシデント分析装置。
  4. 請求項3に記載のインシデント分析装置であって、
    前記CPUは、
    特定された攻撃経路を含む複数の推定攻撃経路を検索結果として得て、
    検索結果の複数の推定攻撃経路それぞれと対応付けられた複数の対処回数を、前記対処情報テーブルから取得し、
    取得された複数の対処回数の中の第2の対処回数と前記第1の対処回数が第1の閾値を超え、前記第2の対処回数の算出された割合と前記第1の対処回数の算出された割合が第2の閾値を超えると判定し、前記第1の対処回数が前記第2の対処回数より多いと判定すると、前記第1の対処回数と対応付けられた推定攻撃経路の優先度を、前記第2の対処回数と対応付けられた推定攻撃経路の優先度より高く設定すること
    を特徴とするインシデント分析装置。
  5. 請求項4に記載のインシデント分析装置であって、
    前記メモリは、
    推定攻撃経路と対処回数へ対処内容がさらに対応付けられた対処情報テーブルが格納され、
    前記CPUは、
    優先度が高く設定された推定攻撃経路に対応付けられた対処内容を送信するように制御し、
    送信された対処内容に対する応答を受信するように制御し、
    応答を受信すると、優先度が高く設定された推定攻撃経路に対応付けられた対処回数を増やすこと
    を特徴とするインシデント分析装置。
  6. 請求項1に記載のインシデント分析装置であって、
    前記CPUは、
    選択された推定攻撃経路を表示するように制御すること
    を特徴とするインシデント分析装置。
  7. 請求項6に記載のインシデント分析装置であって、
    前記CPUは、
    特定された攻撃経路を含む1つの推定攻撃経路を検索結果として得て、
    検索結果である1つの推定攻撃経路と対応付けられた1つの対処回数を、前記対処情報テーブルから取得し、
    取得された1つの対処回数が第1の閾値を超えないと判定すると、選択された推定攻撃経路の代わりに、検索結果である1つの推定攻撃経路を表示するように制御すること
    を特徴とするインシデント分析装置。
  8. 請求項7に記載のインシデント分析装置であって、
    前記メモリは、
    推定攻撃経路と対処回数へ対処内容がさらに対応付けられた対処情報テーブルが格納され、
    前記CPUは、
    検索結果である1つの推定攻撃経路に対応付けられた対処内容を送信するように制御し、
    送信された対処内容に対する応答を受信するように制御し、
    応答を受信すると、検索結果である1つの推定攻撃経路に対応付けられた対処回数を増やすこと
    を特徴とするインシデント分析装置。
  9. 請求項1に記載のインシデント分析装置であって、
    前記メモリは、
    推定攻撃経路として複数のノードの情報が順番に格納され、
    前記CPUは、
    受信されたアラートの情報から、第1の攻撃元ノード、第1の攻撃先ノード、第2の攻撃元ノード、および第2の攻撃先ノードの情報を取得し、
    前記第1の攻撃先ノードと前記第2の攻撃元ノードの情報が同じノードである場合、攻撃経路を、前記第1の攻撃元ノード、前記第1の攻撃先ノード、および前記第2の攻撃先ノードの3つのノードのこの順番であると特定し、
    前記第1の攻撃元ノード、前記第1の攻撃先ノード、および前記第2の攻撃先ノードの3つのノードのこの順番が、複数のノードの情報の順番に含まれる推定攻撃経路を、前記対処情報テーブルで検索すること
    を特徴とするインシデント分析装置。
  10. 請求項1に記載のインシデント分析装置であって、
    前記メモリは、
    推定攻撃経路として複数のノードの情報が順番に格納され、
    推定攻撃経路と対処回数へ対処内容がさらに対応付けられた対処情報テーブルが格納され、
    前記CPUは、
    検索結果として、特定された攻撃経路が前記対処情報テーブルの推定攻撃経路に含まれない場合、受信されたアラートに含まれる攻撃先ノードの情報を取得し、取得された攻撃先ノードの情報を含む推定攻撃経路を、前記対処情報テーブルで検索すること
    を特徴とするインシデント分析装置。
  11. 請求項10に記載のインシデント分析装置であって、
    前記CPUは、
    取得された攻撃先ノードの情報を含む推定攻撃経路を、前記対処情報テーブルで検索した結果の1以上の推定攻撃経路それぞれと対応付けられた1以上の対処回数を、前記対処情報テーブルから取得し、
    取得された1以上の対処回数の中で他の対処回数より多い対処回数に対応付けられた対処内容を選択すること
    を特徴とするインシデント分析装置。
  12. 請求項1に記載のインシデント分析装置であって、
    前記CPUは、
    前記対処情報テーブルから取得された1以上の対処回数に基づいて、対処優先度を設定し、
    設定された対処優先度に基づいて、検索結果の1以上の推定攻撃経路を順番に表示するように制御すること
    を特徴とするインシデント分析装置。
  13. 請求項12に記載のインシデント分析装置であって、
    前記CPUは、
    取得された1以上の対処回数の中で他の対処回数より多い対処回数に対応付けられた推定攻撃経路の対処優先度を、他の対処回数に対応付けられた推定攻撃経路の対処優先度より高く設定すること
    を特徴とするインシデント分析装置。
  14. ネットワークで接続された複数のノードが通信する制御システムのインシデント分析方法であって、
    CPUと、
    推定攻撃経路と対処回数を対応付けた対処情報テーブルが格納され、前記CPUにより実行されるプログラムが格納されたメモリと、
    を備えたコンピュータが前記ネットワークに接続され、
    前記CPUは、
    攻撃元ノードと攻撃先ノードの情報を含むアラートを受信し、
    受信されたアラートの情報に基づいて、攻撃元ノードと攻撃先ノードを含む攻撃経路を特定し、
    特定された攻撃経路を含む推定攻撃経路を、前記対処情報テーブルで検索し、
    検索結果の1以上の推定攻撃経路それぞれと対応付けられた1以上の対処回数を、前記対処情報テーブルから取得し、
    取得された1以上の対処回数に基づいて、優先度を設定し、
    設定された優先度に基づいて、検索結果の1以上の推定攻撃経路の中から推定攻撃経路を選択すること
    を特徴とするインシデント分析方法。
  15. 請求項14に記載のインシデント分析方法であって、
    前記CPUは、
    取得された1以上の対処回数の合計に対する各対処回数の割合を算出し、
    取得された1以上の対処回数のそれぞれ、および算出された割合のそれぞれに基づいて、優先度を設定すること
    を特徴とするインシデント分析方法。
JP2017172985A 2017-09-08 2017-09-08 インシデント分析装置およびその分析方法 Active JP6831763B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017172985A JP6831763B2 (ja) 2017-09-08 2017-09-08 インシデント分析装置およびその分析方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017172985A JP6831763B2 (ja) 2017-09-08 2017-09-08 インシデント分析装置およびその分析方法

Publications (2)

Publication Number Publication Date
JP2019050477A true JP2019050477A (ja) 2019-03-28
JP6831763B2 JP6831763B2 (ja) 2021-02-17

Family

ID=65905935

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017172985A Active JP6831763B2 (ja) 2017-09-08 2017-09-08 インシデント分析装置およびその分析方法

Country Status (1)

Country Link
JP (1) JP6831763B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020195230A1 (ja) * 2019-03-28 2020-10-01 日本電気株式会社 分析システム、方法およびプログラム
JP2021117568A (ja) * 2020-01-23 2021-08-10 株式会社デンソー サイバー攻撃分析支援装置
WO2022181495A1 (ja) * 2021-02-26 2022-09-01 Nttセキュリティ・ジャパン株式会社 情報処理システム、情報処理方法、及びプログラム

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2023147061A (ja) 2022-03-29 2023-10-12 パナソニックIpマネジメント株式会社 攻撃経路生成方法および攻撃経路生成装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004046742A (ja) * 2002-07-15 2004-02-12 Ntt Data Corp 攻撃分析装置、センサ、攻撃分析方法及びプログラム
JP2007259223A (ja) * 2006-03-24 2007-10-04 Fujitsu Ltd ネットワークにおける不正アクセスに対する防御システム、方法およびそのためのプログラム
WO2009037333A2 (en) * 2007-09-19 2009-03-26 Alcatel Lucent Intrusion detection method and system
WO2016076207A1 (ja) * 2014-11-10 2016-05-19 日本電信電話株式会社 最適化装置、最適化方法および最適化プログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004046742A (ja) * 2002-07-15 2004-02-12 Ntt Data Corp 攻撃分析装置、センサ、攻撃分析方法及びプログラム
JP2007259223A (ja) * 2006-03-24 2007-10-04 Fujitsu Ltd ネットワークにおける不正アクセスに対する防御システム、方法およびそのためのプログラム
WO2009037333A2 (en) * 2007-09-19 2009-03-26 Alcatel Lucent Intrusion detection method and system
WO2016076207A1 (ja) * 2014-11-10 2016-05-19 日本電信電話株式会社 最適化装置、最適化方法および最適化プログラム

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020195230A1 (ja) * 2019-03-28 2020-10-01 日本電気株式会社 分析システム、方法およびプログラム
JPWO2020195230A1 (ja) * 2019-03-28 2020-10-01
JP7164016B2 (ja) 2019-03-28 2022-11-01 日本電気株式会社 分析システム、方法およびプログラム
JP2021117568A (ja) * 2020-01-23 2021-08-10 株式会社デンソー サイバー攻撃分析支援装置
JP7359002B2 (ja) 2020-01-23 2023-10-11 株式会社デンソー サイバー攻撃分析支援装置
WO2022181495A1 (ja) * 2021-02-26 2022-09-01 Nttセキュリティ・ジャパン株式会社 情報処理システム、情報処理方法、及びプログラム

Also Published As

Publication number Publication date
JP6831763B2 (ja) 2021-02-17

Similar Documents

Publication Publication Date Title
JP6201614B2 (ja) ログ分析装置、方法およびプログラム
EP1665011B1 (en) Method and system for displaying network security incidents
JP6831763B2 (ja) インシデント分析装置およびその分析方法
Khamphakdee et al. Improving intrusion detection system based on snort rules for network probe attack detection
CN109962891B (zh) 监测云安全的方法、装置、设备和计算机存储介质
JP5972401B2 (ja) 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム
EP3221794B1 (en) Method and system for detecting threats using metadata vectors
EP2953298B1 (en) Log analysis device, information processing method and program
Briesemeister et al. Detection, correlation, and visualization of attacks against critical infrastructure systems
CN106576099A (zh) 支持攻击检测和缓解的数据中心架构
WO2018198733A1 (ja) セキュリティ監視システム及びセキュリティ監視方法
US20190319974A1 (en) Incident effect range estimation device, incident effect range estimation method, storage medium, and system
JP2016184870A (ja) ネットワーク情報出力システム及びネットワーク情報出力方法
JP2015173406A (ja) 分析システム、分析装置、及び分析プログラム
JPWO2018146757A1 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
JP2018196054A (ja) 評価プログラム、評価方法および情報処理装置
Lupton et al. Analysis and prevention of security vulnerabilities in a smart city
Pashaei et al. Improving the IDS performance through early detection approach in local area networks using industrial control systems of honeypot
Tanaka et al. IoT system security issues and solution approaches
JP7331948B2 (ja) 分析装置、分析方法及び分析プログラム
JP2018169643A (ja) セキュリティ運用システム、セキュリティ運用管理装置およびセキュリティ運用方法
KR101518233B1 (ko) 기업 내부 전산환경의 위협탐지를 위한 보안 장치
Zhang et al. Toward comprehensive network verification: Practices, challenges and beyond
JPWO2020195229A1 (ja) 分析システム、方法およびプログラム
JPWO2021130933A5 (ja) 分析装置、分析方法及び分析プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200127

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201113

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210105

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210129

R150 Certificate of patent or registration of utility model

Ref document number: 6831763

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150