JP2019050477A - インシデント分析装置およびその分析方法 - Google Patents
インシデント分析装置およびその分析方法 Download PDFInfo
- Publication number
- JP2019050477A JP2019050477A JP2017172985A JP2017172985A JP2019050477A JP 2019050477 A JP2019050477 A JP 2019050477A JP 2017172985 A JP2017172985 A JP 2017172985A JP 2017172985 A JP2017172985 A JP 2017172985A JP 2019050477 A JP2019050477 A JP 2019050477A
- Authority
- JP
- Japan
- Prior art keywords
- attack
- estimated
- handling
- information
- countermeasure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
図1は実施例1におけるシステム構成の例を示す図である。図1に示すシステムは、監視装置100、不正接続検知装置110、フィルタリング装置120、不正侵入検知装置130、制御装置140、および装置150によって構成される。
図2は、システムを構成する各装置のハードウェア構成の例を示す図である。ここでの装置は、監視装置100、不正接続検知装置110、フィルタリング装置120、不正侵入検知装置130、および装置150である。
図3に、実施例1におけるサイバー攻撃対処のシナリオの例をシーケンス図で示す。図3に示すシーケンスでは、装置(A)150−1,装置(B)150−2、あるいは装置(C)150−3への不正アクセスが検知された状態で、攻撃経路推定部101が今後予測される攻撃を推定する。
図5に対処情報テーブル104の例を示す。対処情報テーブル104の各レコードは、攻撃経路501、対処内容502、対処先装置503、および対処回数504の各フィールドで構成される。図5の例においては、テーブルの行がレコード、列がフィールドである。
図7に監視装置100が収集したアラートのデータの例を示す。アラートは、アラートの発生時刻を表す「TIME」、アラートの検知メッセージを表す「MSG」、アラートの検知対象となった通信パケットの送信元IPアドレスを表す「SRC」と送信先IPアドレスを表す「DST」、およびアラートを検知した検知装置180のIPアドレスを表す「SIP」で構成される。
図8Aから図8Cは、監視装置100がステップS309において表示する画面の例を示す図である。図8Aに示す画面801は、ステップS404にて対処情報が存在すると判定された後、ステップS406にて閾値を超えていると判定されるか、あるいはステップS409にて対処情報が一つであると判定された場合の例である。
実施例1では対処情報テーブル104に対処情報が登録されている例を説明したが、実施例2では対処情報を生成する例を説明する。図9は実施例2におけるシステム構成の例を示す図である。
図10に、対処情報生成部904の処理の例をフローチャートで示す。図10に示すフローチャートは、図4のステップS404において、アラートから生成された攻撃経路を含む対処情報が対処情報テーブル104内に存在しないと判定された場合に実行される処理である。
実施例1、2ではアラートから抽出された攻撃経路が1つの例を説明したが、実施例3ではアラートから抽出された攻撃経路が複数の例を説明する。図11は実施例3におけるシステム構成の例を示す図である。
図12に、実施例3におけるサイバー攻撃対処のシナリオの例をシーケンス図で示す。図12に示すシーケンスでは、二種類のサイバー攻撃すなわち第1のサイバー攻撃と第2のサイバー攻撃が発生したものとする。これらのサイバー攻撃により異常が検知され、図12に示したステップS304、ステップS305、ステップS306と進む。
101・・・攻撃経路推定部、
904・・・対処情報生成部、
1105・・・対処順序決定部
Claims (15)
- ネットワークで接続された複数のノードが通信する制御システムのインシデント分析装置であって、
CPUと、
推定攻撃経路と対処回数を対応付けた対処情報テーブルが格納され、前記CPUにより実行されるプログラムが格納されたメモリと、
を備え、
前記CPUは、
攻撃元ノードと攻撃先ノードの情報を含むアラートを受信し、
受信されたアラートの情報に基づいて、攻撃元ノードと攻撃先ノードを含む攻撃経路を特定し、
特定された攻撃経路を含む推定攻撃経路を、前記対処情報テーブルで検索し、
検索結果の1以上の推定攻撃経路それぞれと対応付けられた1以上の対処回数を、前記対処情報テーブルから取得し、
取得された1以上の対処回数に基づいて、優先度を設定し、
設定された優先度に基づいて、検索結果の1以上の推定攻撃経路の中から推定攻撃経路を選択すること
を特徴とするインシデント分析装置。 - 請求項1に記載のインシデント分析装置であって、
前記CPUは、
取得された1以上の対処回数の合計に対する各対処回数の割合を算出し、
取得された1以上の対処回数のそれぞれ、および算出された割合のそれぞれに基づいて、優先度を設定すること
を特徴とするインシデント分析装置。 - 請求項2に記載のインシデント分析装置であって、
前記CPUは、
取得された1以上の対処回数の中の第1の対処回数が第1の閾値を超え、前記第1の対処回数の算出された割合が第2の閾値を超えると判定すると、前記第1の対処回数と対応付けられた推定攻撃経路の優先度を設定すること
を特徴とするインシデント分析装置。 - 請求項3に記載のインシデント分析装置であって、
前記CPUは、
特定された攻撃経路を含む複数の推定攻撃経路を検索結果として得て、
検索結果の複数の推定攻撃経路それぞれと対応付けられた複数の対処回数を、前記対処情報テーブルから取得し、
取得された複数の対処回数の中の第2の対処回数と前記第1の対処回数が第1の閾値を超え、前記第2の対処回数の算出された割合と前記第1の対処回数の算出された割合が第2の閾値を超えると判定し、前記第1の対処回数が前記第2の対処回数より多いと判定すると、前記第1の対処回数と対応付けられた推定攻撃経路の優先度を、前記第2の対処回数と対応付けられた推定攻撃経路の優先度より高く設定すること
を特徴とするインシデント分析装置。 - 請求項4に記載のインシデント分析装置であって、
前記メモリは、
推定攻撃経路と対処回数へ対処内容がさらに対応付けられた対処情報テーブルが格納され、
前記CPUは、
優先度が高く設定された推定攻撃経路に対応付けられた対処内容を送信するように制御し、
送信された対処内容に対する応答を受信するように制御し、
応答を受信すると、優先度が高く設定された推定攻撃経路に対応付けられた対処回数を増やすこと
を特徴とするインシデント分析装置。 - 請求項1に記載のインシデント分析装置であって、
前記CPUは、
選択された推定攻撃経路を表示するように制御すること
を特徴とするインシデント分析装置。 - 請求項6に記載のインシデント分析装置であって、
前記CPUは、
特定された攻撃経路を含む1つの推定攻撃経路を検索結果として得て、
検索結果である1つの推定攻撃経路と対応付けられた1つの対処回数を、前記対処情報テーブルから取得し、
取得された1つの対処回数が第1の閾値を超えないと判定すると、選択された推定攻撃経路の代わりに、検索結果である1つの推定攻撃経路を表示するように制御すること
を特徴とするインシデント分析装置。 - 請求項7に記載のインシデント分析装置であって、
前記メモリは、
推定攻撃経路と対処回数へ対処内容がさらに対応付けられた対処情報テーブルが格納され、
前記CPUは、
検索結果である1つの推定攻撃経路に対応付けられた対処内容を送信するように制御し、
送信された対処内容に対する応答を受信するように制御し、
応答を受信すると、検索結果である1つの推定攻撃経路に対応付けられた対処回数を増やすこと
を特徴とするインシデント分析装置。 - 請求項1に記載のインシデント分析装置であって、
前記メモリは、
推定攻撃経路として複数のノードの情報が順番に格納され、
前記CPUは、
受信されたアラートの情報から、第1の攻撃元ノード、第1の攻撃先ノード、第2の攻撃元ノード、および第2の攻撃先ノードの情報を取得し、
前記第1の攻撃先ノードと前記第2の攻撃元ノードの情報が同じノードである場合、攻撃経路を、前記第1の攻撃元ノード、前記第1の攻撃先ノード、および前記第2の攻撃先ノードの3つのノードのこの順番であると特定し、
前記第1の攻撃元ノード、前記第1の攻撃先ノード、および前記第2の攻撃先ノードの3つのノードのこの順番が、複数のノードの情報の順番に含まれる推定攻撃経路を、前記対処情報テーブルで検索すること
を特徴とするインシデント分析装置。 - 請求項1に記載のインシデント分析装置であって、
前記メモリは、
推定攻撃経路として複数のノードの情報が順番に格納され、
推定攻撃経路と対処回数へ対処内容がさらに対応付けられた対処情報テーブルが格納され、
前記CPUは、
検索結果として、特定された攻撃経路が前記対処情報テーブルの推定攻撃経路に含まれない場合、受信されたアラートに含まれる攻撃先ノードの情報を取得し、取得された攻撃先ノードの情報を含む推定攻撃経路を、前記対処情報テーブルで検索すること
を特徴とするインシデント分析装置。 - 請求項10に記載のインシデント分析装置であって、
前記CPUは、
取得された攻撃先ノードの情報を含む推定攻撃経路を、前記対処情報テーブルで検索した結果の1以上の推定攻撃経路それぞれと対応付けられた1以上の対処回数を、前記対処情報テーブルから取得し、
取得された1以上の対処回数の中で他の対処回数より多い対処回数に対応付けられた対処内容を選択すること
を特徴とするインシデント分析装置。 - 請求項1に記載のインシデント分析装置であって、
前記CPUは、
前記対処情報テーブルから取得された1以上の対処回数に基づいて、対処優先度を設定し、
設定された対処優先度に基づいて、検索結果の1以上の推定攻撃経路を順番に表示するように制御すること
を特徴とするインシデント分析装置。 - 請求項12に記載のインシデント分析装置であって、
前記CPUは、
取得された1以上の対処回数の中で他の対処回数より多い対処回数に対応付けられた推定攻撃経路の対処優先度を、他の対処回数に対応付けられた推定攻撃経路の対処優先度より高く設定すること
を特徴とするインシデント分析装置。 - ネットワークで接続された複数のノードが通信する制御システムのインシデント分析方法であって、
CPUと、
推定攻撃経路と対処回数を対応付けた対処情報テーブルが格納され、前記CPUにより実行されるプログラムが格納されたメモリと、
を備えたコンピュータが前記ネットワークに接続され、
前記CPUは、
攻撃元ノードと攻撃先ノードの情報を含むアラートを受信し、
受信されたアラートの情報に基づいて、攻撃元ノードと攻撃先ノードを含む攻撃経路を特定し、
特定された攻撃経路を含む推定攻撃経路を、前記対処情報テーブルで検索し、
検索結果の1以上の推定攻撃経路それぞれと対応付けられた1以上の対処回数を、前記対処情報テーブルから取得し、
取得された1以上の対処回数に基づいて、優先度を設定し、
設定された優先度に基づいて、検索結果の1以上の推定攻撃経路の中から推定攻撃経路を選択すること
を特徴とするインシデント分析方法。 - 請求項14に記載のインシデント分析方法であって、
前記CPUは、
取得された1以上の対処回数の合計に対する各対処回数の割合を算出し、
取得された1以上の対処回数のそれぞれ、および算出された割合のそれぞれに基づいて、優先度を設定すること
を特徴とするインシデント分析方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017172985A JP6831763B2 (ja) | 2017-09-08 | 2017-09-08 | インシデント分析装置およびその分析方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017172985A JP6831763B2 (ja) | 2017-09-08 | 2017-09-08 | インシデント分析装置およびその分析方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019050477A true JP2019050477A (ja) | 2019-03-28 |
JP6831763B2 JP6831763B2 (ja) | 2021-02-17 |
Family
ID=65905935
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017172985A Active JP6831763B2 (ja) | 2017-09-08 | 2017-09-08 | インシデント分析装置およびその分析方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6831763B2 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020195230A1 (ja) * | 2019-03-28 | 2020-10-01 | 日本電気株式会社 | 分析システム、方法およびプログラム |
JP2021117568A (ja) * | 2020-01-23 | 2021-08-10 | 株式会社デンソー | サイバー攻撃分析支援装置 |
WO2022181495A1 (ja) * | 2021-02-26 | 2022-09-01 | Nttセキュリティ・ジャパン株式会社 | 情報処理システム、情報処理方法、及びプログラム |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2023147061A (ja) | 2022-03-29 | 2023-10-12 | パナソニックIpマネジメント株式会社 | 攻撃経路生成方法および攻撃経路生成装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004046742A (ja) * | 2002-07-15 | 2004-02-12 | Ntt Data Corp | 攻撃分析装置、センサ、攻撃分析方法及びプログラム |
JP2007259223A (ja) * | 2006-03-24 | 2007-10-04 | Fujitsu Ltd | ネットワークにおける不正アクセスに対する防御システム、方法およびそのためのプログラム |
WO2009037333A2 (en) * | 2007-09-19 | 2009-03-26 | Alcatel Lucent | Intrusion detection method and system |
WO2016076207A1 (ja) * | 2014-11-10 | 2016-05-19 | 日本電信電話株式会社 | 最適化装置、最適化方法および最適化プログラム |
-
2017
- 2017-09-08 JP JP2017172985A patent/JP6831763B2/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004046742A (ja) * | 2002-07-15 | 2004-02-12 | Ntt Data Corp | 攻撃分析装置、センサ、攻撃分析方法及びプログラム |
JP2007259223A (ja) * | 2006-03-24 | 2007-10-04 | Fujitsu Ltd | ネットワークにおける不正アクセスに対する防御システム、方法およびそのためのプログラム |
WO2009037333A2 (en) * | 2007-09-19 | 2009-03-26 | Alcatel Lucent | Intrusion detection method and system |
WO2016076207A1 (ja) * | 2014-11-10 | 2016-05-19 | 日本電信電話株式会社 | 最適化装置、最適化方法および最適化プログラム |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020195230A1 (ja) * | 2019-03-28 | 2020-10-01 | 日本電気株式会社 | 分析システム、方法およびプログラム |
JPWO2020195230A1 (ja) * | 2019-03-28 | 2020-10-01 | ||
JP7164016B2 (ja) | 2019-03-28 | 2022-11-01 | 日本電気株式会社 | 分析システム、方法およびプログラム |
JP2021117568A (ja) * | 2020-01-23 | 2021-08-10 | 株式会社デンソー | サイバー攻撃分析支援装置 |
JP7359002B2 (ja) | 2020-01-23 | 2023-10-11 | 株式会社デンソー | サイバー攻撃分析支援装置 |
WO2022181495A1 (ja) * | 2021-02-26 | 2022-09-01 | Nttセキュリティ・ジャパン株式会社 | 情報処理システム、情報処理方法、及びプログラム |
Also Published As
Publication number | Publication date |
---|---|
JP6831763B2 (ja) | 2021-02-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6201614B2 (ja) | ログ分析装置、方法およびプログラム | |
EP1665011B1 (en) | Method and system for displaying network security incidents | |
JP6831763B2 (ja) | インシデント分析装置およびその分析方法 | |
Khamphakdee et al. | Improving intrusion detection system based on snort rules for network probe attack detection | |
CN109962891B (zh) | 监测云安全的方法、装置、设备和计算机存储介质 | |
JP5972401B2 (ja) | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム | |
EP3221794B1 (en) | Method and system for detecting threats using metadata vectors | |
EP2953298B1 (en) | Log analysis device, information processing method and program | |
Briesemeister et al. | Detection, correlation, and visualization of attacks against critical infrastructure systems | |
CN106576099A (zh) | 支持攻击检测和缓解的数据中心架构 | |
WO2018198733A1 (ja) | セキュリティ監視システム及びセキュリティ監視方法 | |
US20190319974A1 (en) | Incident effect range estimation device, incident effect range estimation method, storage medium, and system | |
JP2016184870A (ja) | ネットワーク情報出力システム及びネットワーク情報出力方法 | |
JP2015173406A (ja) | 分析システム、分析装置、及び分析プログラム | |
JPWO2018146757A1 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
JP2018196054A (ja) | 評価プログラム、評価方法および情報処理装置 | |
Lupton et al. | Analysis and prevention of security vulnerabilities in a smart city | |
Pashaei et al. | Improving the IDS performance through early detection approach in local area networks using industrial control systems of honeypot | |
Tanaka et al. | IoT system security issues and solution approaches | |
JP7331948B2 (ja) | 分析装置、分析方法及び分析プログラム | |
JP2018169643A (ja) | セキュリティ運用システム、セキュリティ運用管理装置およびセキュリティ運用方法 | |
KR101518233B1 (ko) | 기업 내부 전산환경의 위협탐지를 위한 보안 장치 | |
Zhang et al. | Toward comprehensive network verification: Practices, challenges and beyond | |
JPWO2020195229A1 (ja) | 分析システム、方法およびプログラム | |
JPWO2021130933A5 (ja) | 分析装置、分析方法及び分析プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200127 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201113 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210105 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210129 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6831763 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |