JP4773332B2 - セキュリティ管理装置及びセキュリティ管理方法及びプログラム - Google Patents
セキュリティ管理装置及びセキュリティ管理方法及びプログラム Download PDFInfo
- Publication number
- JP4773332B2 JP4773332B2 JP2006353624A JP2006353624A JP4773332B2 JP 4773332 B2 JP4773332 B2 JP 4773332B2 JP 2006353624 A JP2006353624 A JP 2006353624A JP 2006353624 A JP2006353624 A JP 2006353624A JP 4773332 B2 JP4773332 B2 JP 4773332B2
- Authority
- JP
- Japan
- Prior art keywords
- scenario
- security
- incident
- occurrence
- meta information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Description
本発明は、不正アクセスを含むセキュリティインシデントが発生した場合に、セキュリティインシデントの発生シナリオを特定する技術に関する。
近年、インターネットの普及に伴い、ネットワークを介して様々なサービスが提供されるようになってきている。
例えば、インターネットを介して銀行と取引を行うオンラインバンキングや、自宅のPC(Personal Computer)や携帯端末からでも買い物が可能なインターネットショッピングなど、身近なところでも、サービスが提供されている。
このように、インターネットや情報技術が社会インフラとして、その重要性が増す一方で、ネットワーク経由の不正アクセスも増加の一途を辿っており、深刻な問題となっている。
例えば、インターネットを介して銀行と取引を行うオンラインバンキングや、自宅のPC(Personal Computer)や携帯端末からでも買い物が可能なインターネットショッピングなど、身近なところでも、サービスが提供されている。
このように、インターネットや情報技術が社会インフラとして、その重要性が増す一方で、ネットワーク経由の不正アクセスも増加の一途を辿っており、深刻な問題となっている。
こうした、ネットワーク経由の不正アクセスに対する対策技術のひとつに、侵入検知技術がある。
侵入検知技術は、監視対象上で不正アクセスが発生した際に、それを検知するための技術である。
侵入検知技術は、その検出方式の違いから、不正検出方式と異常検出方式とに分類される。
不正検出方式では、個々の不正アクセスの特徴から不正アクセスを検出するためのパターン(シグネチャ)を定義し、定義したシグネチャと一致するデータやログが発生した場合に、不正アクセスの発生として検出する。
一方の、異常検出方式では、不正アクセスが発生した場合には、監視対象システム上で、通常とは異なる何らかの異常が観測されるという考えに基づいて、監視対象システムの通常状態を定義して、定義した通常状態と、観測された状態との差異を検出することによって不正アクセスの発生を検出する。
侵入検知技術は、監視対象上で不正アクセスが発生した際に、それを検知するための技術である。
侵入検知技術は、その検出方式の違いから、不正検出方式と異常検出方式とに分類される。
不正検出方式では、個々の不正アクセスの特徴から不正アクセスを検出するためのパターン(シグネチャ)を定義し、定義したシグネチャと一致するデータやログが発生した場合に、不正アクセスの発生として検出する。
一方の、異常検出方式では、不正アクセスが発生した場合には、監視対象システム上で、通常とは異なる何らかの異常が観測されるという考えに基づいて、監視対象システムの通常状態を定義して、定義した通常状態と、観測された状態との差異を検出することによって不正アクセスの発生を検出する。
現在、一般に普及している侵入検知装置では、不正検出方式に基づいている。
不正検出方式では、検出用のシグネチャと観測データとの単純なパターンマッチングにより不正アクセスを検出できるため、高速処理が可能であり、かつ、不正アクセスの特徴をシグネチャとして正しく定義できれば、検知精度が高いという利点がある。
しかしながら、不正アクセスを検出できるかどうかは、検出するためのシグネチャが定義され、侵入検知装置に設定されているかどうかで決まるため、新規に発生した攻撃や、ワームの亜種など、侵入検知装置に設定されているシグネチャと一部でも特徴の異なる攻撃については検出できないという課題がある。
ここで、ワームの亜種とは、既に出回っているワームの一部を変更して作られたウイルスのことを指す。基本的な動作は、オリジナルのワームと同様であるが、一部が変更されたことによって、オリジナルのワームを検知するためのシグネチャでは検知できないため、亜種を不正検出方式で検知するためには、新たなシグネチャが必要となる。
不正検出方式では、検出用のシグネチャと観測データとの単純なパターンマッチングにより不正アクセスを検出できるため、高速処理が可能であり、かつ、不正アクセスの特徴をシグネチャとして正しく定義できれば、検知精度が高いという利点がある。
しかしながら、不正アクセスを検出できるかどうかは、検出するためのシグネチャが定義され、侵入検知装置に設定されているかどうかで決まるため、新規に発生した攻撃や、ワームの亜種など、侵入検知装置に設定されているシグネチャと一部でも特徴の異なる攻撃については検出できないという課題がある。
ここで、ワームの亜種とは、既に出回っているワームの一部を変更して作られたウイルスのことを指す。基本的な動作は、オリジナルのワームと同様であるが、一部が変更されたことによって、オリジナルのワームを検知するためのシグネチャでは検知できないため、亜種を不正検出方式で検知するためには、新たなシグネチャが必要となる。
これに対して、異常検出方式では、不正アクセスによってシステムで発生する異常を検出することによって不正アクセスを検出するため、個々の不正アクセスの特徴を抽出したシグネチャによらず、不正アクセスを検出できるため、新規に発生した攻撃であっても早期検出が可能であることから、近年、注目を浴びている。
異常検出方式に基づく侵入検知装置による、不正アクセス検知および対策技術としては、例えば、図2に示すような、特許文献1に開示の技術がある。
従来技術1では、パッシブホストセンサ11と呼ばれる、一種のおとりシステムを異常検出方式に基づく侵入検知装置として利用する。
おとりシステムとは、脆弱性があるように見せかけた(あるいは、実際に脆弱性のある)端末をネットワーク上に非公開で設置しておき、端末に対するアクセスを観察することによって、不正アクセスの手法を詳細化するためのシステムである。
非公開であるため、通常は、おとりシステムの端末に対するアクセスは発生しないと考えられる。したがって、おとりシステムの端末に対するアクセスは、全て、悪意を持って行われていると推定されるため、おとりシステムの端末に対するアクセス(=異常)を検出することによって不正アクセスを検出する。
特許文献1の技術では、不正アクセス検知後の対策として、パッシブホストセンサ11での観測結果を元に、不正アクセスを検知するためのシグネチャを自動で生成し、以後の攻撃を不正検出方式に基づく侵入検知装置で検知できるようにしている。
特開2005−316779号公報
従来技術1では、パッシブホストセンサ11と呼ばれる、一種のおとりシステムを異常検出方式に基づく侵入検知装置として利用する。
おとりシステムとは、脆弱性があるように見せかけた(あるいは、実際に脆弱性のある)端末をネットワーク上に非公開で設置しておき、端末に対するアクセスを観察することによって、不正アクセスの手法を詳細化するためのシステムである。
非公開であるため、通常は、おとりシステムの端末に対するアクセスは発生しないと考えられる。したがって、おとりシステムの端末に対するアクセスは、全て、悪意を持って行われていると推定されるため、おとりシステムの端末に対するアクセス(=異常)を検出することによって不正アクセスを検出する。
特許文献1の技術では、不正アクセス検知後の対策として、パッシブホストセンサ11での観測結果を元に、不正アクセスを検知するためのシグネチャを自動で生成し、以後の攻撃を不正検出方式に基づく侵入検知装置で検知できるようにしている。
しかしながら、特許文献1の技術を含め、一般に、異常検出方式に基づく侵入検知装置では、監視対象上で検出された異常を、不正アクセスとしてひとくくりで捉えているため、それがどのような不正アクセスであるのか、例えば、既知のワームに関する亜種によるアクセスなのか、それとも、新規のワームによるアクセスなのかなど、検知した不正アクセスの詳細を特定するためには、記録されているログや、セキュリティ関連の情報を、収集・分析しなければならず、不正アクセスの詳細を特定するのに時間がかかってしまうという課題がある。
本発明は、上記のような課題を解決することを主な目的の一つとし、例えば異常検出方式に基づく侵入検知において、なんらかの不正アクセスに関する異常を検出した場合に、それが、どのような不正アクセスを検出したものであるのかを特定することを主な目的とする。
本発明に係るセキュリティ管理装置は、
監視対象におけるセキュリティインシデントの発生を検知する検知装置に接続されたセキュリティ管理装置であって、
セキュリティインシデントの発生シナリオの要素となるシナリオ要素と当該シナリオ要素に関連するセキュリティ属性とを示すインシデントメタ情報を、複数記憶するインシデントメタ情報データベースと、
前記検知装置にて検知された検知セキュリティインシデントのセキュリティ属性を示す検知セキュリティインシデント情報を、前記検知装置から受信する検知セキュリティインシデント情報受信部と、
前記検知セキュリティインシデント情報に示される検知セキュリティインシデントのセキュリティ属性と所定の範囲で一致するセキュリティ属性が示されているインシデントメタ情報を抽出するインシデントメタ情報抽出部と、
前記インシデントメタ情報抽出部により抽出されたインシデントメタ情報に示されるシナリオ要素を用いて検知セキュリティインシデントの発生シナリオを生成する発生シナリオ生成部とを有することを特徴とする。
監視対象におけるセキュリティインシデントの発生を検知する検知装置に接続されたセキュリティ管理装置であって、
セキュリティインシデントの発生シナリオの要素となるシナリオ要素と当該シナリオ要素に関連するセキュリティ属性とを示すインシデントメタ情報を、複数記憶するインシデントメタ情報データベースと、
前記検知装置にて検知された検知セキュリティインシデントのセキュリティ属性を示す検知セキュリティインシデント情報を、前記検知装置から受信する検知セキュリティインシデント情報受信部と、
前記検知セキュリティインシデント情報に示される検知セキュリティインシデントのセキュリティ属性と所定の範囲で一致するセキュリティ属性が示されているインシデントメタ情報を抽出するインシデントメタ情報抽出部と、
前記インシデントメタ情報抽出部により抽出されたインシデントメタ情報に示されるシナリオ要素を用いて検知セキュリティインシデントの発生シナリオを生成する発生シナリオ生成部とを有することを特徴とする。
本発明によれば、セキュリティ属性に対応させてシナリオ要素を示すインシデントメタ情報を蓄積し、セキュリティインシデントが検知された場合に、検知されたセキュリティインシデントのセキュリティ属性に一致するセキュリティ属性のシナリオ要素を抽出し、抽出したシナリオ要素を用いて検知セキュリティインシデントの発生シナリオを生成するので、検知セキュリティインシデントのセキュリティ属性に対応した適切な発生シナリオを生成することができ、これにより、セキュリティインシデントの検知直後に当該セキュリティインシデントの詳細を特定できるため、セキュリティインシデントに対して、早期に最善の対策が可能となる。
実施の形態1.
不正アクセスを含めて、一般に、監視対象ネットワーク上で発生するセキュリティ上の問題として捉えられる事象のことを、セキュリティインシデントと呼ぶ。セキュリティインシデントの例としては、不正アクセスの他、例えば、トラフィック異常、踏み台、SPAMメール、サービス妨害行為、データの破壊、意図しない情報の開示や、さらにそれらに至るための行為(事象)などである。
セキュリティインシデントは、“いつ、どこで、誰が、なぜ、何が、どうやって”発生したのかについて説明するために、様々な情報要素によって構成される一連の発生シナリオとして、詳細化される。
そこで、本実施の形態では、例えば、異常検出方式に基づく侵入検知において、なんらかのセキュリティインシデント発生に起因する異常が検知された場合に、発生した可能性の高いセキュリティインシデントについての発生シナリオを、普段から収集しているセキュリティ関連情報に基づいて生成することにより、発生したセキュリティインシデントの内容を特定、詳細化する。
なお、以下、発生シナリオをインシデントシナリオ、合成シナリオ又は単にシナリオともいう。
不正アクセスを含めて、一般に、監視対象ネットワーク上で発生するセキュリティ上の問題として捉えられる事象のことを、セキュリティインシデントと呼ぶ。セキュリティインシデントの例としては、不正アクセスの他、例えば、トラフィック異常、踏み台、SPAMメール、サービス妨害行為、データの破壊、意図しない情報の開示や、さらにそれらに至るための行為(事象)などである。
セキュリティインシデントは、“いつ、どこで、誰が、なぜ、何が、どうやって”発生したのかについて説明するために、様々な情報要素によって構成される一連の発生シナリオとして、詳細化される。
そこで、本実施の形態では、例えば、異常検出方式に基づく侵入検知において、なんらかのセキュリティインシデント発生に起因する異常が検知された場合に、発生した可能性の高いセキュリティインシデントについての発生シナリオを、普段から収集しているセキュリティ関連情報に基づいて生成することにより、発生したセキュリティインシデントの内容を特定、詳細化する。
なお、以下、発生シナリオをインシデントシナリオ、合成シナリオ又は単にシナリオともいう。
図1は、本実施の形態に係るシステム構成例を示すシステム構成図である。
図1において、100はインターネット、101は監視対象ネットワーク、110は侵入検知装置(検知装置)、111はセキュリティインシデント特定装置(セキュリティ管理装置)、112はセキュリティ情報収集装置を表している。
なお、本実施の形態における侵入検知装置110は、特に断らない限り、異常検出方式に基づいて不正アクセスの検知を行うものとして、説明を進める。
これは、本実施の形態が、異常検出方式に基づく侵入検知装置で検知された不正アクセスの内容についての詳細化に主眼をおいているためである。
しかしながら、侵入検知装置110が、不正検出方式に基づいて不正アクセスの検知を行うようにしてもよい。
図1において、100はインターネット、101は監視対象ネットワーク、110は侵入検知装置(検知装置)、111はセキュリティインシデント特定装置(セキュリティ管理装置)、112はセキュリティ情報収集装置を表している。
なお、本実施の形態における侵入検知装置110は、特に断らない限り、異常検出方式に基づいて不正アクセスの検知を行うものとして、説明を進める。
これは、本実施の形態が、異常検出方式に基づく侵入検知装置で検知された不正アクセスの内容についての詳細化に主眼をおいているためである。
しかしながら、侵入検知装置110が、不正検出方式に基づいて不正アクセスの検知を行うようにしてもよい。
図1において、侵入検知装置110は、監視対象ネットワーク101上で観測した様々なデータを元に、セキュリティインシデントの発生を検出する。以降では、セキュリティインシデントとして、不正アクセスが検知された場合を例にして説明する。
侵入検知装置110が分析対象とするデータに関しては、システムへ導入した侵入検知装置の実装に依存し、本明細書では、侵入検知装置110が分析するデータについて、特に制限するものではないが、例えば、ネットワークトラフィックに関するデータ、監視対象ネットワーク101上に設定された、ファイアウォール、侵入検知装置(検出方式は問わない)などのセキュリティ監視装置で記録されたデータ(セキュリティログ)、監視対象ネットワーク101に接続されている各端末内部から収集されたデータなどがある。
侵入検知装置110が分析対象とするデータに関しては、システムへ導入した侵入検知装置の実装に依存し、本明細書では、侵入検知装置110が分析するデータについて、特に制限するものではないが、例えば、ネットワークトラフィックに関するデータ、監視対象ネットワーク101上に設定された、ファイアウォール、侵入検知装置(検出方式は問わない)などのセキュリティ監視装置で記録されたデータ(セキュリティログ)、監視対象ネットワーク101に接続されている各端末内部から収集されたデータなどがある。
セキュリティ情報収集装置112は、インターネット100上の情報サイトから、セキュリティに関係する情報を逐次、もしくは、定期的に収集している。
セキュリティインシデント特定装置111は、監視対象ネットワーク101を監視している侵入検知装置110が、監視対象ネットワーク101上における不正アクセスの発生を検知した場合に、インシデントメタ情報を元に、発生したセキュリティインシデントの発生シナリオを特定する。
ここで、インシデントメタ情報とは、セキュリティ情報収集装置112が収集した情報に加え、例えば、メンテナンス情報などの監視対象ネットワーク固有の情報も含め、セキュリティインシデント発生のシナリオの構成要素となる、種々の情報を指している。
インシデントメタ情報は、セキュリティインシデントの発生シナリオの要素となるシナリオ要素を示すとともに、当該シナリオ要素に関連するセキュリティ属性を示すタグ情報が含まれる。
詳細は後述するが、例えば、図4に示すワーム情報411、脆弱性情報412、セキュリティ情勢情報413のそれぞれがインシデントメタ情報である。
ワーム情報411のうち「ワーム名」の欄に示される情報がシナリオ要素である。同様に、脆弱性情報412では、「脆弱性ID」の欄に示される情報がシナリオ要素であり、セキュリティ情勢情報413では、「内容」の欄に示される情報がシナリオ要素である。セキュリティインシデント特定装置111は、これらのシナリオ要素を組み合わせてセキュリティインシデントの発生シナリオを生成する。
また、ワーム情報411のうち421で示す矩形で囲まれた部分が、タグ情報であり、「ワーム名」に示されるワームのセキュリティ属性を示している。
同様に、脆弱性情報412では422で示す矩形で囲まれた部分がタグ情報であり、セキュリティ情勢情報413では423で示す矩形で囲まれた部分がタグ情報である。
なお、インシデントメタ情報は、略してメタ情報と表記する場合もある。
ここで、インシデントメタ情報とは、セキュリティ情報収集装置112が収集した情報に加え、例えば、メンテナンス情報などの監視対象ネットワーク固有の情報も含め、セキュリティインシデント発生のシナリオの構成要素となる、種々の情報を指している。
インシデントメタ情報は、セキュリティインシデントの発生シナリオの要素となるシナリオ要素を示すとともに、当該シナリオ要素に関連するセキュリティ属性を示すタグ情報が含まれる。
詳細は後述するが、例えば、図4に示すワーム情報411、脆弱性情報412、セキュリティ情勢情報413のそれぞれがインシデントメタ情報である。
ワーム情報411のうち「ワーム名」の欄に示される情報がシナリオ要素である。同様に、脆弱性情報412では、「脆弱性ID」の欄に示される情報がシナリオ要素であり、セキュリティ情勢情報413では、「内容」の欄に示される情報がシナリオ要素である。セキュリティインシデント特定装置111は、これらのシナリオ要素を組み合わせてセキュリティインシデントの発生シナリオを生成する。
また、ワーム情報411のうち421で示す矩形で囲まれた部分が、タグ情報であり、「ワーム名」に示されるワームのセキュリティ属性を示している。
同様に、脆弱性情報412では422で示す矩形で囲まれた部分がタグ情報であり、セキュリティ情勢情報413では423で示す矩形で囲まれた部分がタグ情報である。
なお、インシデントメタ情報は、略してメタ情報と表記する場合もある。
ここで、本実施の形態に係るセキュリティインシデント特定装置111の動作例を概説しておく。
セキュリティインシデント特定装置111は、セキュリティ情報収集装置112が収集したセキュリティ情報等からタグ情報を抽出し、タグ情報とともにセキュリティ情報をインシデントメタ情報として複数蓄積記憶している。
侵入検知装置110にて検知された不正アクセス(検知セキュリティインシデント)の特徴パラメータ(セキュリティ属性)を示す特徴パラメータ情報(検知セキュリティインシデント情報)を侵入検知装置110から受信した場合に、セキュリティインシデント特定装置111は、特徴パラメータ情報に示される不正アクセスの特徴パラメータと所定の範囲で一致するタグ情報(セキュリティ属性)が含まれているインシデントメタ情報を抽出する。
そして、セキュリティインシデント特定装置111は、抽出したインシデントメタ情報に示されるシナリオ要素を用いて検知された不正アクセスの発生シナリオを生成する。
具体的には、セキュリティインシデント特定装置111は、通常二つ以上のインシデントメタ情報を抽出し、抽出した二つ以上のインシデントメタ情報に示されるシナリオ要素のうち相関関係にあるシナリオ要素同士を組み合わせて発生シナリオを生成する。
また、セキュリティインシデント特定装置111は、生成した発生シナリオに対するシナリオスコア(評価値)を設定し、生成した発生シナリオと当該発生シナリオのシナリオスコアを表示する。
セキュリティインシデント特定装置111は、セキュリティ情報収集装置112が収集したセキュリティ情報等からタグ情報を抽出し、タグ情報とともにセキュリティ情報をインシデントメタ情報として複数蓄積記憶している。
侵入検知装置110にて検知された不正アクセス(検知セキュリティインシデント)の特徴パラメータ(セキュリティ属性)を示す特徴パラメータ情報(検知セキュリティインシデント情報)を侵入検知装置110から受信した場合に、セキュリティインシデント特定装置111は、特徴パラメータ情報に示される不正アクセスの特徴パラメータと所定の範囲で一致するタグ情報(セキュリティ属性)が含まれているインシデントメタ情報を抽出する。
そして、セキュリティインシデント特定装置111は、抽出したインシデントメタ情報に示されるシナリオ要素を用いて検知された不正アクセスの発生シナリオを生成する。
具体的には、セキュリティインシデント特定装置111は、通常二つ以上のインシデントメタ情報を抽出し、抽出した二つ以上のインシデントメタ情報に示されるシナリオ要素のうち相関関係にあるシナリオ要素同士を組み合わせて発生シナリオを生成する。
また、セキュリティインシデント特定装置111は、生成した発生シナリオに対するシナリオスコア(評価値)を設定し、生成した発生シナリオと当該発生シナリオのシナリオスコアを表示する。
次に、図3を用いて、セキュリティインシデント特定装置111内部の構成例を説明する。
図3は、セキュリティインシデント特定装置111内部の構成例を表している。
図3において、110は侵入検知装置(検知装置)、111はセキュリティインシデント特定装置(セキュリティ管理装置)、112はセキュリティ情報収集装置、300はデータベース管理部、301はユーザ入力部、302はインシデントメタ情報データベース、303は不正アクセス特徴パラメータ抽出部(検知セキュリティインシデント情報受信部)、304はインシデントメタ情報抽出部、305はインシデントシナリオ合成部(発生シナリオ生成部)、306はシナリオスコア計算部(評価値設定部)、307は合成シナリオデータベース、308は合成シナリオ表示部(表示部)を表している。
図3は、セキュリティインシデント特定装置111内部の構成例を表している。
図3において、110は侵入検知装置(検知装置)、111はセキュリティインシデント特定装置(セキュリティ管理装置)、112はセキュリティ情報収集装置、300はデータベース管理部、301はユーザ入力部、302はインシデントメタ情報データベース、303は不正アクセス特徴パラメータ抽出部(検知セキュリティインシデント情報受信部)、304はインシデントメタ情報抽出部、305はインシデントシナリオ合成部(発生シナリオ生成部)、306はシナリオスコア計算部(評価値設定部)、307は合成シナリオデータベース、308は合成シナリオ表示部(表示部)を表している。
データベース管理部300は、セキュリティ情報収集装置112によってインターネットの情報サイトから収集されたセキュリティに関連する情報や、ユーザ入力部301を介してユーザによって入力される監視対象ネットワーク固有の情報といった、セキュリティインシデント発生のシナリオの構成要素となる種々の情報を、インシデントメタ情報データベース302へ、逐次、もしくは、定期的に投入する。
また、その際に、格納する情報に関するタグ情報を抽出し、検索および取り出し可能な形式でデータベースに投入する。
ここで、タグ情報とは、収集したセキュリティ情報が、どのような情報に関するものであるのかを、手動、もしくは、自動で抽出したものであり、例えば、ワームに関する情報であれば、種別(ワーム)、発見日時、悪用する脆弱性の識別子、感染拡散形式(メールによる拡散、ネットワークから直接感染など)、攻撃に使用するプロトコル/ポート番号、発生地域といったセキュリティ属性(コンピュータセキュリティに関する属性・特徴)に関する情報が、タグ情報となる。
加えて、対策が明確化されている場合には、対策情報(脆弱性の修正パッチに関する情報、セキュリティ機器の設定内容など)と対応づけしておく。
データベース管理部300で付与されたタグは、インシデントメタ情報抽出部304において、侵入検知装置110で検知された不正アクセスに関連する可能性があるインシデントメタ情報を抽出する際に、キーワード検索の対象となる。
また、その際に、格納する情報に関するタグ情報を抽出し、検索および取り出し可能な形式でデータベースに投入する。
ここで、タグ情報とは、収集したセキュリティ情報が、どのような情報に関するものであるのかを、手動、もしくは、自動で抽出したものであり、例えば、ワームに関する情報であれば、種別(ワーム)、発見日時、悪用する脆弱性の識別子、感染拡散形式(メールによる拡散、ネットワークから直接感染など)、攻撃に使用するプロトコル/ポート番号、発生地域といったセキュリティ属性(コンピュータセキュリティに関する属性・特徴)に関する情報が、タグ情報となる。
加えて、対策が明確化されている場合には、対策情報(脆弱性の修正パッチに関する情報、セキュリティ機器の設定内容など)と対応づけしておく。
データベース管理部300で付与されたタグは、インシデントメタ情報抽出部304において、侵入検知装置110で検知された不正アクセスに関連する可能性があるインシデントメタ情報を抽出する際に、キーワード検索の対象となる。
ユーザ入力部301は、ユーザによる、上記、監視対象ネットワーク固有のインシデントメタ情報のデータベース投入、手動によるタグ情報付与、インシデントメタ情報データベースの管理を可能とするユーザインタフェースである。
インシデントメタ情報データベース302では、セキュリティ情報収集装置112で収集されたセキュリティ関連情報、および、ユーザ入力部301からユーザによって入力された情報に対して、データベース管理部300でタグ付けされたインシデントメタ情報データを検索可能な形式で保存する。
不正アクセス特徴パラメータ抽出部303では、侵入検知装置110で検知された不正アクセスに関する特徴パラメータ情報(検知セキュリティインシデント情報)を受信し、受信した特徴パラメータ情報に示される特徴パラメータ(セキュリティ属性)を抽出する。
特徴パラメータとしては、例えば、ネットワーク不正アクセスを検知した場合には、検知時刻、通信プロトコル、宛先ポート番号、発信元および宛先IPアドレス、発信元および宛先の地域や国名、組織情報、攻撃種別(ワーム、DoS:Denial of Service、スキャン)がある。
特徴パラメータとしては、例えば、ネットワーク不正アクセスを検知した場合には、検知時刻、通信プロトコル、宛先ポート番号、発信元および宛先IPアドレス、発信元および宛先の地域や国名、組織情報、攻撃種別(ワーム、DoS:Denial of Service、スキャン)がある。
インシデントメタ情報抽出部304は、不正アクセス特徴パラメータ抽出部303で特定された不正アクセスの特徴パラメータを、単体、もしくは、複数組み合わせて検索キーとして、インシデントメタ情報データベースに保存されているインシデントメタ情報に付与されたタグ部分を検索し、侵入検知装置110が検出した不正アクセスと関係する可能性があるインシデントメタ情報を抽出する。
つまり、インシデントメタ情報抽出部304は、特徴パラメータ情報に示される特徴パラメータと所定の範囲で一致するタグ情報が示されているインシデントメタ情報を抽出する。
つまり、インシデントメタ情報抽出部304は、特徴パラメータ情報に示される特徴パラメータと所定の範囲で一致するタグ情報が示されているインシデントメタ情報を抽出する。
インシデントシナリオ合成部305では、インシデントメタ情報抽出部304で抽出された個々のインシデントメタ情報を組み合わせて、セキュリティインシデントのシナリオを合成する。
ただし、シナリオ合成の際には、シナリオとして明らかに冗長となるものは削除することにより、合成されるシナリオ数を抑える。
冗長なシナリオであるかどうかの判断は、インシデントメタ情報間の相関関係によって行う。
相関関係とは、新しいインシデントメタ情報が、既存のあるインシデントメタ情報と関係がある場合に、それ関係を形式的に表したものである。相関関係は、概念的には、新しいインシデントメタ情報から、既存のあるインシデントメタ情報へのリンク(一方向)となる。新しいインシデントメタ情報が、既存の複数のインシデントメタ情報と関係がある場合には、それぞれのインシデントメタ情報へのリンク(新しいインシデントメタ情報を中心とした、スター型)となる。
ただし、シナリオ合成の際には、シナリオとして明らかに冗長となるものは削除することにより、合成されるシナリオ数を抑える。
冗長なシナリオであるかどうかの判断は、インシデントメタ情報間の相関関係によって行う。
相関関係とは、新しいインシデントメタ情報が、既存のあるインシデントメタ情報と関係がある場合に、それ関係を形式的に表したものである。相関関係は、概念的には、新しいインシデントメタ情報から、既存のあるインシデントメタ情報へのリンク(一方向)となる。新しいインシデントメタ情報が、既存の複数のインシデントメタ情報と関係がある場合には、それぞれのインシデントメタ情報へのリンク(新しいインシデントメタ情報を中心とした、スター型)となる。
図11は、インシデントメタ情報間の相関関係を示している。
例えば、図11(a)では、インシデントメタ情報Bは、別のあるインシデントメタ情報Aに関する追加情報であり、インシデントメタ情報Cはインシデントメタ情報Bの追加情報である場合、メタ情報Cとメタ情報Bのシナリオ要素の両者が同時に含まれるシナリオ及びメタ情報Bとメタ情報Aのシナリオ要素の両者が同時に含まれるシナリオは残すが、Cのシナリオ要素は含むがメタ情報Bのシナリオ要素は含まないシナリオは削除し(シナリオとして採用しない)、メタ情報Bのシナリオ要素は含むがメタ情報Aのシナリオ要素は含まないシナリオは削除する(シナリオとして採用しない)例を示している。
図11(b)の例では、同時に含まれるべきインシデントメタ情報のシナリオ要素同士が同一シナリオに含まれていない場合は、このようなシナリオは不要であるため、削除することが示されている。
つまり、メタ情報Aとメタ情報B、および、メタ情報Aとメタ情報Cは相関関係にあるため、メタ情報B、もしくは、メタ情報Cを含むシナリオのうち、これらと相関関係にあるメタ情報Aが含まれていないシナリオは冗長なシナリオであるため削除される。
なお、メタ情報Bとメタ情報Cの間には相関関係はないため、同一シナリオに同時に含まれていてもよい。
このような、インシデントメタ情報間の相関関係を示す相関関係情報が、インシデントメタ情報データベース302に格納されている。
そして、以上のような合成シナリオ数削減ポリシに従って、例えば、図11(c)に示すように、相関関係情報では、特定攻撃Bの情報(例えば、特定のワームのメタ情報)と脆弱性Aの情報(例えば、特定攻撃Bが攻撃対象とする脆弱性のメタ情報)とは相関関係があると記述する。
これは、特定攻撃Bのインシデントメタ情報のシナリオ要素がシナリオに含まれるならば、特定攻撃Bが攻撃対象とする脆弱性Aのインシデントメタ情報のシナリオ要素も必ずシナリオに含まれることになる一方で、特定攻撃Bが攻撃対象としていない(つまり相関関係のない)脆弱性Cのインシデントメタ情報のシナリオ要素は、特定攻撃Bのインシデントメタ情報のシナリオ要素と同じシナリオに含まれてはならず、このようなシナリオは削除の対象となる。
例えば、図11(a)では、インシデントメタ情報Bは、別のあるインシデントメタ情報Aに関する追加情報であり、インシデントメタ情報Cはインシデントメタ情報Bの追加情報である場合、メタ情報Cとメタ情報Bのシナリオ要素の両者が同時に含まれるシナリオ及びメタ情報Bとメタ情報Aのシナリオ要素の両者が同時に含まれるシナリオは残すが、Cのシナリオ要素は含むがメタ情報Bのシナリオ要素は含まないシナリオは削除し(シナリオとして採用しない)、メタ情報Bのシナリオ要素は含むがメタ情報Aのシナリオ要素は含まないシナリオは削除する(シナリオとして採用しない)例を示している。
図11(b)の例では、同時に含まれるべきインシデントメタ情報のシナリオ要素同士が同一シナリオに含まれていない場合は、このようなシナリオは不要であるため、削除することが示されている。
つまり、メタ情報Aとメタ情報B、および、メタ情報Aとメタ情報Cは相関関係にあるため、メタ情報B、もしくは、メタ情報Cを含むシナリオのうち、これらと相関関係にあるメタ情報Aが含まれていないシナリオは冗長なシナリオであるため削除される。
なお、メタ情報Bとメタ情報Cの間には相関関係はないため、同一シナリオに同時に含まれていてもよい。
このような、インシデントメタ情報間の相関関係を示す相関関係情報が、インシデントメタ情報データベース302に格納されている。
そして、以上のような合成シナリオ数削減ポリシに従って、例えば、図11(c)に示すように、相関関係情報では、特定攻撃Bの情報(例えば、特定のワームのメタ情報)と脆弱性Aの情報(例えば、特定攻撃Bが攻撃対象とする脆弱性のメタ情報)とは相関関係があると記述する。
これは、特定攻撃Bのインシデントメタ情報のシナリオ要素がシナリオに含まれるならば、特定攻撃Bが攻撃対象とする脆弱性Aのインシデントメタ情報のシナリオ要素も必ずシナリオに含まれることになる一方で、特定攻撃Bが攻撃対象としていない(つまり相関関係のない)脆弱性Cのインシデントメタ情報のシナリオ要素は、特定攻撃Bのインシデントメタ情報のシナリオ要素と同じシナリオに含まれてはならず、このようなシナリオは削除の対象となる。
シナリオスコア計算部306では、インシデントシナリオ合成部305で合成された各シナリオに対して、そのシナリオが特定したい侵入検知装置で検出した不正アクセスのセキュリティインシデント発生シナリオであるかどうかを判断するための指標となるシナリオスコア(評価値)を計算して付与する。
シナリオスコアは、発生シナリオを構成しているシナリオ要素のインシデントメタ情報の新しさ、インシデントメタ情報の数、および、重み係数に基づいて定量化する。
例えば、不正アクセスの検知時刻と、合成したシナリオを構成している個々のシナリオ要素のインシデントメタ情報の日付の差分(ただし、検知時刻>情報の日付)の逆数に対して、それぞれの情報の重み係数を掛け合わせたものを、足し合わせるといった方法で定量化する。
すなわち、より新しい情報や、より多くの情報、より重み係数の高い情報を含むシナリオに対しては、高いスコアで表されるようにする。
これは、セキュリティインシデントの特性上、過去に発生したセキュリティインシデントに対しては、順次対策が実施されることにより、時間の経過とともに、発生しにくくなることに基づいている。
ただし、侵入検知装置110で検知した不正アクセスに関する情報がどこにも存在しない場合(完全に未知の不正アクセスであった場合)、インシデントシナリオ合成部305で、正しくセキュリティインシデントの発生シナリオが生成されていない場合も考えられる。
そこで、シナリオスコアに閾値を設定し、閾値を越えるシナリオスコアを持つシナリオが合成されなかった場合には、“未知の不正アクセスが発生”というシナリオを生成して、シナリオスコアとして、閾値と同じ値を付与する。これにより、完全に未知の攻撃を検知した場合であっても、誤った発生シナリオによって、セキュリティインシデントの内容を特定することを防ぐ。
シナリオスコアは、発生シナリオを構成しているシナリオ要素のインシデントメタ情報の新しさ、インシデントメタ情報の数、および、重み係数に基づいて定量化する。
例えば、不正アクセスの検知時刻と、合成したシナリオを構成している個々のシナリオ要素のインシデントメタ情報の日付の差分(ただし、検知時刻>情報の日付)の逆数に対して、それぞれの情報の重み係数を掛け合わせたものを、足し合わせるといった方法で定量化する。
すなわち、より新しい情報や、より多くの情報、より重み係数の高い情報を含むシナリオに対しては、高いスコアで表されるようにする。
これは、セキュリティインシデントの特性上、過去に発生したセキュリティインシデントに対しては、順次対策が実施されることにより、時間の経過とともに、発生しにくくなることに基づいている。
ただし、侵入検知装置110で検知した不正アクセスに関する情報がどこにも存在しない場合(完全に未知の不正アクセスであった場合)、インシデントシナリオ合成部305で、正しくセキュリティインシデントの発生シナリオが生成されていない場合も考えられる。
そこで、シナリオスコアに閾値を設定し、閾値を越えるシナリオスコアを持つシナリオが合成されなかった場合には、“未知の不正アクセスが発生”というシナリオを生成して、シナリオスコアとして、閾値と同じ値を付与する。これにより、完全に未知の攻撃を検知した場合であっても、誤った発生シナリオによって、セキュリティインシデントの内容を特定することを防ぐ。
合成シナリオデータベース307では、インシデントシナリオ合成部305で合成されたシナリオ、および、それぞれのシナリオに対して、シナリオスコア計算部306で付与されたシナリオスコアを対応付けて保存しておく。
合成シナリオ表示部308では、合成シナリオデータベース307に保存されている合成シナリオ及びシナリオスコアを読み出して、ユーザに表示する。
次に、図3、図4及び図8〜図11のフローチャートを用いて、セキュリティインシデント特定装置111の動作について説明する。
以下の説明では、例として、監視対象ネットワーク101上で、Aワームの亜種(Aワームから派生して作成されたワーム)が発生し、侵入検知装置110で、Aワームの亜種が発生したことによって引き起こされた異常を検知した場合を想定する。
ただし、侵入検知装置110での異常検知時点では、検知した異常が、Aワームの亜種が発生したことによって引き起こされたことは、不明であることに注意する。
以下の説明では、例として、監視対象ネットワーク101上で、Aワームの亜種(Aワームから派生して作成されたワーム)が発生し、侵入検知装置110で、Aワームの亜種が発生したことによって引き起こされた異常を検知した場合を想定する。
ただし、侵入検知装置110での異常検知時点では、検知した異常が、Aワームの亜種が発生したことによって引き起こされたことは、不明であることに注意する。
まず、セキュリティインシデント特定装置111の通常時(不正アクセス未検知時)の動作例について、図8のフローチャートを参照しながら説明する。
セキュリティインシデント特定装置111では、通常時、データベース管理部300が、セキュリティ情報収集装置112からのセキュリティ情報を受信し、また、ユーザ入力部301を介してユーザからの情報を入力する(S801)。
そして、データベース管理部300は、収集されたセキュリティ情報からタグ情報を抽出し(S802)、タグ情報を抽出したセキュリティ情報をインシデントメタ情報のレコードとしてインシデントメタ情報データベース302に登録する(S803)。
セキュリティインシデント特定装置111では、通常時、データベース管理部300が、セキュリティ情報収集装置112からのセキュリティ情報を受信し、また、ユーザ入力部301を介してユーザからの情報を入力する(S801)。
そして、データベース管理部300は、収集されたセキュリティ情報からタグ情報を抽出し(S802)、タグ情報を抽出したセキュリティ情報をインシデントメタ情報のレコードとしてインシデントメタ情報データベース302に登録する(S803)。
図4の例では、ワーム情報411(ワーム名:Aワーム、Bワーム)や、脆弱性情報412(脆弱性ID:XX_123、XX_125)等のインシデントメタ情報が収集され、インシデントメタ情報データベース302へ登録されている状態にある。
次に、監視対象ネットワーク101を監視している侵入検知装置110で、不正アクセスの発生が検知された場合の、セキュリティインシデント特定装置111の動作例を図9を参照しながら説明する。
まず、侵入検知装置110が検知した不正アクセスの内容が、セキュリティインシデント特定装置111に特徴パラメータ情報として通知され、セキュリティインシデント特定装置111では、不正アクセス特徴パラメータ抽出部303が特徴パラメータ情報を受信する(S901)(検知セキュリティインシデント情報受信ステップ)。
セキュリティインシデント特定装置111では、次に、不正アクセス特徴パラメータ抽出部303が、侵入検知装置110が検知した不正アクセスの特徴パラメータ情報から、特徴パラメータを抽出する(S902)。
図4に示す例では、特徴パラメータ情報400から(1)検知した日付は2006年10月10日 10時10分00秒である、(2)不正アクセスの宛先はTCP/80ポート宛である、(3)攻撃種別はワームである、という特徴パラメータが抽出される。
まず、侵入検知装置110が検知した不正アクセスの内容が、セキュリティインシデント特定装置111に特徴パラメータ情報として通知され、セキュリティインシデント特定装置111では、不正アクセス特徴パラメータ抽出部303が特徴パラメータ情報を受信する(S901)(検知セキュリティインシデント情報受信ステップ)。
セキュリティインシデント特定装置111では、次に、不正アクセス特徴パラメータ抽出部303が、侵入検知装置110が検知した不正アクセスの特徴パラメータ情報から、特徴パラメータを抽出する(S902)。
図4に示す例では、特徴パラメータ情報400から(1)検知した日付は2006年10月10日 10時10分00秒である、(2)不正アクセスの宛先はTCP/80ポート宛である、(3)攻撃種別はワームである、という特徴パラメータが抽出される。
次に、インシデントメタ情報抽出部304が、得られた特徴パラメータを検索キーとしてインシデントメタ情報データベース302を検索して侵入検知装置110が検知した侵入イベント(不正アクセス)と関連したインシデントメタ情報を抽出する(S903)(データベース検索ステップ)(インシデントメタ情報抽出ステップ)。
図4の例では、上記で抽出された(1)、(2)、(3)の特徴パラメータを検索キーとして、インシデントメタ情報データベース302を検索とすると、(A)Aワームに関する情報、(B)脆弱性XX_123に関する情報、(C)脆弱性XX_125に関する情報、(D)Aワーム流行の警告、に関する情報の、4つのインシデントメタ情報が抽出される。
つまり、ワーム情報411では、(2)不正アクセスの宛先はTCP/80ポート宛である、(3)攻撃種別はワームである、との特徴パラメータに合致する、プロトコル:TCP、関連ポート:80、攻撃種別:ワームというタグ情報を有する(A)Aワームに関する情報が抽出される。
同様に、脆弱性情報412では、(2)不正アクセスの宛先はTCP/80ポート宛である、(3)攻撃種別はワームである、との特徴パラメータに合致する、プロトコル:TCP、関連ポート:80、攻撃種別:−(攻撃種別は問わない)というタグ情報を有する(B)脆弱性XX_123に関する情報、(C)脆弱性XX_125に関する情報が抽出される。
同様に、セキュリティ情勢情報413では、(2)不正アクセスの宛先はTCP/80ポート宛である、(3)攻撃種別はワームである、との特徴パラメータに合致する、プロトコル:TCP、関連ポート:80、攻撃種別:ワームというタグ情報を有する(D)Aワーム流行の警告、に関する情報が抽出される。
図4の例では、上記で抽出された(1)、(2)、(3)の特徴パラメータを検索キーとして、インシデントメタ情報データベース302を検索とすると、(A)Aワームに関する情報、(B)脆弱性XX_123に関する情報、(C)脆弱性XX_125に関する情報、(D)Aワーム流行の警告、に関する情報の、4つのインシデントメタ情報が抽出される。
つまり、ワーム情報411では、(2)不正アクセスの宛先はTCP/80ポート宛である、(3)攻撃種別はワームである、との特徴パラメータに合致する、プロトコル:TCP、関連ポート:80、攻撃種別:ワームというタグ情報を有する(A)Aワームに関する情報が抽出される。
同様に、脆弱性情報412では、(2)不正アクセスの宛先はTCP/80ポート宛である、(3)攻撃種別はワームである、との特徴パラメータに合致する、プロトコル:TCP、関連ポート:80、攻撃種別:−(攻撃種別は問わない)というタグ情報を有する(B)脆弱性XX_123に関する情報、(C)脆弱性XX_125に関する情報が抽出される。
同様に、セキュリティ情勢情報413では、(2)不正アクセスの宛先はTCP/80ポート宛である、(3)攻撃種別はワームである、との特徴パラメータに合致する、プロトコル:TCP、関連ポート:80、攻撃種別:ワームというタグ情報を有する(D)Aワーム流行の警告、に関する情報が抽出される。
次に、インシデントシナリオ合成部305が、検索の結果抽出されたインシデントメタ情報を組み合わせてインシデントシナリオを合成する(S904)(発生シナリオ生成ステップ)。
インシデントシナリオ合成の詳細な手順は、図10のフローチャートとともに後述する。
ここでは、図4の例を用いて、インシデントシナリオ合成の概念を説明する。
抽出されたインシデントメタ情報(A)、(B)、(C)、(D)のそれぞれに含まれているシナリオ要素を組み合わせてセキュリティインシデントの発生シナリオを合成する。
単純には15通り(2の4乗―1)の組み合わせが存在するが、シナリオの組み合わせとして冗長となるものを、インシデントメタ情報間の相関関係を元に、削除する。
図4の例でいえば、(D)は(A)に関する追加情報であり、(D)と(A)のシナリオ要素が同時に含まれているシナリオのみを残し、(A)もしくは(D)が、単体で含まれているシナリオは削除の対象となる。
また、(A)は(B)の脆弱性を攻撃するワームに関する情報であるため(A)が含まれるシナリオには必ず(B)が含まれるといえる。つまり、(A)と(B)のシナリオ要素が同時に含まれているシナリオのみを残し、(A)もしくは(B)が、単体で含まれているシナリオは削除の対象となる。
また、逆に、(A)は(C)の脆弱性を攻撃するワームではないため(A)と(C)を同時に含むシナリオは事実に矛盾している。このため、(A)と(C)のシナリオ要素が同時に含まれているシナリオは削除の対象となる。
前述したように、このようなインシデントメタ情報間の相関関係は、相関関係情報に示されており、インシデントシナリオ合成部305は、相関関係情報を参照して、シナリオの生成を行う。
上記に基づき、合成シナリオを絞り込むと、シナリオ1:(A)―(B)―(D)、シナリオ2:(B)―(C)、シナリオ3:(B)、シナリオ4:(C)に加えて、シナリオ5:“インシデントメタ情報を1つも含まないシナリオ”(=未知ワーム発生のシナリオ)の、計5つのシナリオに絞り込まれる。これらを、分かりやすく文章形式のシナリオに置き換えたのが、図5である。
インシデントシナリオ合成の詳細な手順は、図10のフローチャートとともに後述する。
ここでは、図4の例を用いて、インシデントシナリオ合成の概念を説明する。
抽出されたインシデントメタ情報(A)、(B)、(C)、(D)のそれぞれに含まれているシナリオ要素を組み合わせてセキュリティインシデントの発生シナリオを合成する。
単純には15通り(2の4乗―1)の組み合わせが存在するが、シナリオの組み合わせとして冗長となるものを、インシデントメタ情報間の相関関係を元に、削除する。
図4の例でいえば、(D)は(A)に関する追加情報であり、(D)と(A)のシナリオ要素が同時に含まれているシナリオのみを残し、(A)もしくは(D)が、単体で含まれているシナリオは削除の対象となる。
また、(A)は(B)の脆弱性を攻撃するワームに関する情報であるため(A)が含まれるシナリオには必ず(B)が含まれるといえる。つまり、(A)と(B)のシナリオ要素が同時に含まれているシナリオのみを残し、(A)もしくは(B)が、単体で含まれているシナリオは削除の対象となる。
また、逆に、(A)は(C)の脆弱性を攻撃するワームではないため(A)と(C)を同時に含むシナリオは事実に矛盾している。このため、(A)と(C)のシナリオ要素が同時に含まれているシナリオは削除の対象となる。
前述したように、このようなインシデントメタ情報間の相関関係は、相関関係情報に示されており、インシデントシナリオ合成部305は、相関関係情報を参照して、シナリオの生成を行う。
上記に基づき、合成シナリオを絞り込むと、シナリオ1:(A)―(B)―(D)、シナリオ2:(B)―(C)、シナリオ3:(B)、シナリオ4:(C)に加えて、シナリオ5:“インシデントメタ情報を1つも含まないシナリオ”(=未知ワーム発生のシナリオ)の、計5つのシナリオに絞り込まれる。これらを、分かりやすく文章形式のシナリオに置き換えたのが、図5である。
次に、合成されたシナリオに対して、シナリオスコア計算部306が、シナリオスコアを計算する(S905)。
簡単化のために、重み係数を1、閾値を0.0111とした場合のシナリオスコア(不正アクセスの検知時刻と、合成したシナリオを構成している個々インシデントメタ情報の日付の差分の和)を計算すると、シナリオ1:1.1444、シナリオ2:0.0889、シナリオ3:0.0333、シナリオ4:0.0555となる。また、シナリオ5に対するシナリオスコアは、定義より閾値と同値なので、0.0111となる。
従って、説明に用いた例では、シナリオ1に対して最も高いスコアが付与される。
簡単化のために、重み係数を1、閾値を0.0111とした場合のシナリオスコア(不正アクセスの検知時刻と、合成したシナリオを構成している個々インシデントメタ情報の日付の差分の和)を計算すると、シナリオ1:1.1444、シナリオ2:0.0889、シナリオ3:0.0333、シナリオ4:0.0555となる。また、シナリオ5に対するシナリオスコアは、定義より閾値と同値なので、0.0111となる。
従って、説明に用いた例では、シナリオ1に対して最も高いスコアが付与される。
図12に、各シナリオに対するシナリオスコアの算出式を示す。
シナリオ1を例にしてシナリオスコアの算出式を説明する。
シナリオ1の生成には、メタ情報(A)、(B)、(D)のシナリオ要素が用いられている。
メタ情報(A)の日付は、2006年10月1日であり、特徴パラメータの日付は2006年10月10日であり、両者の日付の差異は、9日である。メタ情報(B)では、30日の差、メタ情報(C)では、1日の差である。これらの日付の差異の逆数を加算して、図11に示すように、1.1444とのシナリオスコアが得られる。
シナリオ2〜4についても、同様の計算によりシナリオスコアが得られる。
シナリオ5については、メタ情報がなく、シナリオスコアが0になってしまうので、閾値である0.0111(この例では、90日の逆数を閾値としている)を設定している。
シナリオ1を例にしてシナリオスコアの算出式を説明する。
シナリオ1の生成には、メタ情報(A)、(B)、(D)のシナリオ要素が用いられている。
メタ情報(A)の日付は、2006年10月1日であり、特徴パラメータの日付は2006年10月10日であり、両者の日付の差異は、9日である。メタ情報(B)では、30日の差、メタ情報(C)では、1日の差である。これらの日付の差異の逆数を加算して、図11に示すように、1.1444とのシナリオスコアが得られる。
シナリオ2〜4についても、同様の計算によりシナリオスコアが得られる。
シナリオ5については、メタ情報がなく、シナリオスコアが0になってしまうので、閾値である0.0111(この例では、90日の逆数を閾値としている)を設定している。
このように、シナリオスコア計算部306は、発生シナリオの生成に用いられたシナリオ要素ごとに、対応するインシデントメタ情報に示されたタグ情報(上記の例では日付)と特徴パラメータ情報に示された不正アクセスの特徴パラメータ(上記の例では日付)との近似度合いに基づいて評価値(上記の例では日数差の逆数)を設定し、シナリオ要素ごとの評価値を加算して発生シナリオの評価値(シナリオスコア)を設定する。
また、シナリオスコア計算部306は、新しいシナリオ要素ほど高い値を付与して、シナリオ要素ごとに評価値を設定し、シナリオ要素ごとの評価値を加算して発生シナリオの評価値を設定している。
更に、シナリオスコア計算部306は、発生シナリオの評価値に対する閾値を設定しており、いずれかの発生シナリオの評価値が閾値を下回っている場合に、当該発生シナリオの評価値を閾値と同じ値に設定している。
なお、上記の例では、説明を簡単にするために、日付を最小単位として差分をとっているが、最小単位として、時、分、秒などより細かい単位で差分をとってもよい。このように、最小単位を細かい単位にすれば、インシデントメタ情報の作成時と不正アクセス発生時との間の時間差に対応させて、より詳細にシナリオスコアを規定することができる。
また、シナリオスコア計算部306は、新しいシナリオ要素ほど高い値を付与して、シナリオ要素ごとに評価値を設定し、シナリオ要素ごとの評価値を加算して発生シナリオの評価値を設定している。
更に、シナリオスコア計算部306は、発生シナリオの評価値に対する閾値を設定しており、いずれかの発生シナリオの評価値が閾値を下回っている場合に、当該発生シナリオの評価値を閾値と同じ値に設定している。
なお、上記の例では、説明を簡単にするために、日付を最小単位として差分をとっているが、最小単位として、時、分、秒などより細かい単位で差分をとってもよい。このように、最小単位を細かい単位にすれば、インシデントメタ情報の作成時と不正アクセス発生時との間の時間差に対応させて、より詳細にシナリオスコアを規定することができる。
次に、合成されたシナリオ、および、それらに対して計算されたシナリオスコアは、合成シナリオデータベース307に保存され(S906)、合成シナリオ表示部308を通じてユーザに表示される。
次に、図10を参照して、インシデントシナリオ合成処理(発生シナリオ生成ステップ)における動作を説明する。
先ず、インシデントシナリオ合成部305は、抽出されたN個のインシデントメタ情報のシナリオ要素を単純に組み合わせてシナリオ候補を合成する(S1001)。
次に、インシデントシナリオ合成部305は、合成されたシナリオ候補の中から1つのシナリオ候補を選択し(S1002)、選択したシナリオ候補を構成するインシデントメタ情報において相関関係情報が存在するインシデントメタ情報があるか否かを判断する(S1003)。
相関関係情報が存在するインシデントメタ情報がない場合は、インシデントシナリオ合成部305は、S1009に進み、当該シナリオ候補を合成シナリオのリストに追加する。
他方、相関関係情報が存在するインシデントメタ情報がある場合は、インシデントシナリオ合成部305は、相関関係情報が存在するインシデントメタ情報のうちの一つを選択し(S1004)、選択したインシデントメタ情報の相関関係情報において当該インシデントメタ情報と相関関係にあるとされているインシデントメタ情報がS1002で選択されたシナリオ候補に含まれているか否かを判断する(S1005)。
先ず、インシデントシナリオ合成部305は、抽出されたN個のインシデントメタ情報のシナリオ要素を単純に組み合わせてシナリオ候補を合成する(S1001)。
次に、インシデントシナリオ合成部305は、合成されたシナリオ候補の中から1つのシナリオ候補を選択し(S1002)、選択したシナリオ候補を構成するインシデントメタ情報において相関関係情報が存在するインシデントメタ情報があるか否かを判断する(S1003)。
相関関係情報が存在するインシデントメタ情報がない場合は、インシデントシナリオ合成部305は、S1009に進み、当該シナリオ候補を合成シナリオのリストに追加する。
他方、相関関係情報が存在するインシデントメタ情報がある場合は、インシデントシナリオ合成部305は、相関関係情報が存在するインシデントメタ情報のうちの一つを選択し(S1004)、選択したインシデントメタ情報の相関関係情報において当該インシデントメタ情報と相関関係にあるとされているインシデントメタ情報がS1002で選択されたシナリオ候補に含まれているか否かを判断する(S1005)。
S1005で「いいえ」の場合、当該シナリオ候補には、相関関係にあるシナリオ要素が含まれていないので、削除の対象となり、インシデントシナリオ合成部305は、S1010に進み、全てのシナリオ候補に対して冗長の調査を行っていれば、処理を終了し、調査を行っていないシナリオ候補が残っていれば、S1002に戻り、次のシナリオ候補の調査を行う。
一方、S1005で「はい」の場合、更に、インシデントシナリオ合成部305は、選択されたインシデントメタ情報が特定の脆弱性を攻撃する攻撃(ワームなど)についての攻撃情報であるか否かを判断し(S1006)、そうであれば、更に、当該インシデントメタ情報が対象としている攻撃が攻撃する脆弱性以外の脆弱性情報が含まれるか否かを判断する(S1007)。
ここでは、説明を簡単にするため、インシデントメタ情報を特定の攻撃に関する情報である攻撃情報(例えば、図4の(A)Aワームに関する情報、(D)Aワーム流行の警告)と特定の脆弱性に関する情報である脆弱性情報(例えば、(B)脆弱性XX_123に関する情報、(C)脆弱性XX_125に関する情報)に分けて説明している。相関関係情報では、特定の攻撃情報と特定の脆弱性情報との間で相関関係があることが示されている。
S1006において「いいえ」である場合、つまり、攻撃対象としていない脆弱性のインシデントメタ情報のシナリオ要素がシナリオ候補に含まれていない場合は、相関関係情報を持つインシデントメタ情報が当該シナリオ候補内に他に存在するか否かを判断し(S1008)、相関関係情報を持つ全てのインシデント情報についての検証が終了している場合は、検証の対象としているシナリオ候補を合成シナリオのリストへ追加する。
そして、インシデントシナリオ合成部305は、S1010に進み、全てのシナリオ候補に対して冗長の調査を行っていれば、処理を終了し、調査を行っていないシナリオ候補が残っていれば、S1002に戻り、次のシナリオ候補の調査を行う。
他方、S1007で「はい」だった場合は、当該シナリオは削除対象なので、合成シナリオのリストへの追加を行わずに、S1010に進む。
以上の手順にて、インシデントシナリオ合成部305は、シナリオの合成を行って、図5に示すようなシナリオを完成させる。
一方、S1005で「はい」の場合、更に、インシデントシナリオ合成部305は、選択されたインシデントメタ情報が特定の脆弱性を攻撃する攻撃(ワームなど)についての攻撃情報であるか否かを判断し(S1006)、そうであれば、更に、当該インシデントメタ情報が対象としている攻撃が攻撃する脆弱性以外の脆弱性情報が含まれるか否かを判断する(S1007)。
ここでは、説明を簡単にするため、インシデントメタ情報を特定の攻撃に関する情報である攻撃情報(例えば、図4の(A)Aワームに関する情報、(D)Aワーム流行の警告)と特定の脆弱性に関する情報である脆弱性情報(例えば、(B)脆弱性XX_123に関する情報、(C)脆弱性XX_125に関する情報)に分けて説明している。相関関係情報では、特定の攻撃情報と特定の脆弱性情報との間で相関関係があることが示されている。
S1006において「いいえ」である場合、つまり、攻撃対象としていない脆弱性のインシデントメタ情報のシナリオ要素がシナリオ候補に含まれていない場合は、相関関係情報を持つインシデントメタ情報が当該シナリオ候補内に他に存在するか否かを判断し(S1008)、相関関係情報を持つ全てのインシデント情報についての検証が終了している場合は、検証の対象としているシナリオ候補を合成シナリオのリストへ追加する。
そして、インシデントシナリオ合成部305は、S1010に進み、全てのシナリオ候補に対して冗長の調査を行っていれば、処理を終了し、調査を行っていないシナリオ候補が残っていれば、S1002に戻り、次のシナリオ候補の調査を行う。
他方、S1007で「はい」だった場合は、当該シナリオは削除対象なので、合成シナリオのリストへの追加を行わずに、S1010に進む。
以上の手順にて、インシデントシナリオ合成部305は、シナリオの合成を行って、図5に示すようなシナリオを完成させる。
以上のように、セキュリティに関連する情報や、監視対象ネットワークに固有の情報などをインシデントメタ情報データベースへ登録しておき、異常検出方式に基づく侵入検知装置110において、不正アクセスを検出した場合に、その不正アクセスと関連があるインシデントメタ情報を抽出し、さらに、抽出されたインシデントメタ情報を元に発生したシナリオを合成することによって、セキュリティインシデントの発生シナリオを特定することができる。
また、合成されたセキュリティインシデントの発生シナリオに対しては、シナリオスコアが付与されており、合成されたシナリオから実際に発生したセキュリティインシデントのシナリオを絞り込む際の指標とすることができる。
そして、これにより、不正アクセスの検知直後に、発生したセキュリティインシデントの詳細を特定できるため、不正アクセスに対して、早期に最善の対策が可能となる。
また、合成されたセキュリティインシデントの発生シナリオに対しては、シナリオスコアが付与されており、合成されたシナリオから実際に発生したセキュリティインシデントのシナリオを絞り込む際の指標とすることができる。
そして、これにより、不正アクセスの検知直後に、発生したセキュリティインシデントの詳細を特定できるため、不正アクセスに対して、早期に最善の対策が可能となる。
以上、本実施の形態では、以下の機能を備えた、セキュリティインシデント特定装置について説明した。
1)インターネットから収集されたセキュリティ関連情報や、ユーザ入力機能によって入力された情報に対して、タグ付けして、インシデントメタ情報データベースへ格納するためのデータベース管理機能、
2)インシデントメタ情報データベースからインシデントメタ情報を抽出する際の検索キーとする不正アクセスの特徴パラメータを、侵入検知装置で検知した異常検知イベントに含まれる情報から抽出するための、不正アクセス特徴パラメータ抽出機能、
3)不正アクセス特徴パラメータ抽出機能で抽出された不正アクセス特徴パラメータを検索キーとして、インシデントメタ情報データベースから侵入検知装置で検知した不正アクセスに関連するインシデントメタ情報を抽出するための、インシデントメタ情報抽出機能、
4)インシデントメタ情報抽出機能で抽出したインシデントメタ情報を組み合わせて、セキュリティインシデントの発生シナリオを合成するための、インシデントシナリオ合成機能、
5)インシデントシナリオ合成機能によって合成されたシナリオに対して、シナリオ内容の評価指標となるシナリオスコアを付与する、シナリオスコア計算機能、
6)インシデントシナリオ合成機能で合成されたシナリオ、および、シナリオに値して付与されたシナリオスコアを保存しておくための、合成シナリオデータベース、
7)合成シナリオデータベースから合成シナリオを抽出して、ユーザに表示する、合成シナリオ表示機能。
1)インターネットから収集されたセキュリティ関連情報や、ユーザ入力機能によって入力された情報に対して、タグ付けして、インシデントメタ情報データベースへ格納するためのデータベース管理機能、
2)インシデントメタ情報データベースからインシデントメタ情報を抽出する際の検索キーとする不正アクセスの特徴パラメータを、侵入検知装置で検知した異常検知イベントに含まれる情報から抽出するための、不正アクセス特徴パラメータ抽出機能、
3)不正アクセス特徴パラメータ抽出機能で抽出された不正アクセス特徴パラメータを検索キーとして、インシデントメタ情報データベースから侵入検知装置で検知した不正アクセスに関連するインシデントメタ情報を抽出するための、インシデントメタ情報抽出機能、
4)インシデントメタ情報抽出機能で抽出したインシデントメタ情報を組み合わせて、セキュリティインシデントの発生シナリオを合成するための、インシデントシナリオ合成機能、
5)インシデントシナリオ合成機能によって合成されたシナリオに対して、シナリオ内容の評価指標となるシナリオスコアを付与する、シナリオスコア計算機能、
6)インシデントシナリオ合成機能で合成されたシナリオ、および、シナリオに値して付与されたシナリオスコアを保存しておくための、合成シナリオデータベース、
7)合成シナリオデータベースから合成シナリオを抽出して、ユーザに表示する、合成シナリオ表示機能。
実施の形態2.
以上の実施の形態1では、侵入検知装置で不正アクセスが検知された後に、不正アクセス特徴パラメータを元に、インシデントメタ情報データベースから関連するインシデントメタ情報を抽出して、セキュリティインシデントの発生シナリオを合成するものであるが、抽出されるインシデントメタ情報の数によっては、組み合わせの数が増加し、シナリオの合成に時間がかかってしまうことも考えられる。
以上の実施の形態1では、侵入検知装置で不正アクセスが検知された後に、不正アクセス特徴パラメータを元に、インシデントメタ情報データベースから関連するインシデントメタ情報を抽出して、セキュリティインシデントの発生シナリオを合成するものであるが、抽出されるインシデントメタ情報の数によっては、組み合わせの数が増加し、シナリオの合成に時間がかかってしまうことも考えられる。
そこで、本実施の形態では、通常時に、インシデントメタ情報データベースへの情報の登録と平行して、シナリオ合成処理を行い、合成したシナリオを合成シナリオデータベースに保存しておき、侵入検知装置110で不正アクセスを検知した場合に、既に合成済みのシナリオから関連するシナリオを抽出することによって、検知した不正アクセスに関するセキュリティインシデントの発生シナリオを特定する。
また、通常時から、シナリオが合成され、合成シナリオデータベースに保存されているため、ユーザは、適宜、合成シナリオデータベースから、シナリオを読み出して、今後、起こる可能性のセキュリティインシデントのシナリオを元に、事前の対策をとることができる。
また、通常時から、シナリオが合成され、合成シナリオデータベースに保存されているため、ユーザは、適宜、合成シナリオデータベースから、シナリオを読み出して、今後、起こる可能性のセキュリティインシデントのシナリオを元に、事前の対策をとることができる。
図6は、本実施の形態に係るセキュリティインシデント特定装置111の構成例を示す。
図6では、図3の構成と比較して、インシデントシナリオ選択部309(発生シナリオ選択部)が追加されている。他の構成要素は、図3において説明したものと同様なので説明を省略する。なお、本実施の形態では、合成シナリオデータベース307は、発生シナリオデータベースとして機能する。
インシデントシナリオ選択部309は、侵入検知装置110が不正アクセスを検知し、特徴パラメータ情報が送信された際に、合成シナリオデータベース307に格納されているインシデントシナリオから特徴パラメータに合致するインシデントシナリオを選択する。合成シナリオデータベースに蓄積されているインシデントシナリオは、予めインシデントシナリオ合成部305で生成されたものである。
図6では、図3の構成と比較して、インシデントシナリオ選択部309(発生シナリオ選択部)が追加されている。他の構成要素は、図3において説明したものと同様なので説明を省略する。なお、本実施の形態では、合成シナリオデータベース307は、発生シナリオデータベースとして機能する。
インシデントシナリオ選択部309は、侵入検知装置110が不正アクセスを検知し、特徴パラメータ情報が送信された際に、合成シナリオデータベース307に格納されているインシデントシナリオから特徴パラメータに合致するインシデントシナリオを選択する。合成シナリオデータベースに蓄積されているインシデントシナリオは、予めインシデントシナリオ合成部305で生成されたものである。
つまり、本実施の形態では、不正アクセスの検知前、例えば、インシデントメタ情報データベース302に新たなインシデントメタ情報が格納された際に、インシデントメタ情報抽出部304が、インシデントメタ情報データベースを検索し、新たなインシデントメタ情報のタグ情報(セキュリティ属性)と所定の範囲で一致するタグ情報を有するインシデントメタ情報を抽出する(データベース検索ステップ)。
たとえば、“Aワーム流行の警告”に関するインシデントメタ情報が収集された場合には、関連するタグ情報として、日付、プロトコル、関連ポート、攻撃種別などが得られる(侵入検知時と同等な情報)ので、これをインシデントメタ情報抽出に用いて、タグ情報が一致するインシデントメタ情報を抽出する。
そして、実施の形態1と同様の手順で、インシデントシナリオ合成部305が、抽出されたインシデントメタ情報のシナリオ要素のうち新たなインシデントメタ情報のシナリオ要素と相関関係にあるシナリオ要素を判断し、これらシナリオ要素同士を組み合わせて発生シナリオを生成する(発生シナリオ生成ステップ)。
また、インシデントシナリオ合成部305は、それぞれのシナリオの生成に用いたインシデントメタ情報のタグ情報と、それぞれのシナリオを対応づける。つまり、例えば、図5に示すシナリオ1(組み合わせパターン:(A)−(B)−(D))が生成された場合は、このシナリオ1と図4に示す(A)Aワームに関する情報のタグ情報421の該当部分、(B)脆弱性XX_123に関する情報のタグ情報422の該当部分、(D)Aワーム流行の警告のタグ情報423の該当部分とを対応づける。
次に、インシデントシナリオ合成部305は、生成したシナリオを合成シナリオデータベースに格納する(データベース格納ステップ)。
そして、不正アクセス特徴パラメータ抽出部303が、侵入検知装置110から特徴パラメータ情報を受信した際に(セキュリティインシデント情報受信ステップ)、インシデントシナリオ選択部309が、特徴パラメータ情報に示される不正アクセスの特徴パラメータと、それぞれの発生シナリオの生成に用いられたシナリオ要素に関連するタグ情報(セキュリティ属性)とに基づいて、合成シナリオデータベース307に格納されている発生シナリオの中から特定の発生シナリオを選択する(発生シナリオ選択ステップ)。
インシデントシナリオ選択部309は、特徴パラメータ情報に示された特徴パラメータ(日付、プロトコル、宛先ポート、攻撃種別など)に一致するタグ情報(日付、プロトコル、関連ポート、攻撃種別など)が対応づけられているシナリオを選択する。
以降は、実施の形態1と同様に、シナリオスコア計算部306が、選択されたシナリオに対してシナリオスコアを付与し、合成シナリオ表示部308が、選択されたシナリオとそのシナリオスコアを表示する。
たとえば、“Aワーム流行の警告”に関するインシデントメタ情報が収集された場合には、関連するタグ情報として、日付、プロトコル、関連ポート、攻撃種別などが得られる(侵入検知時と同等な情報)ので、これをインシデントメタ情報抽出に用いて、タグ情報が一致するインシデントメタ情報を抽出する。
そして、実施の形態1と同様の手順で、インシデントシナリオ合成部305が、抽出されたインシデントメタ情報のシナリオ要素のうち新たなインシデントメタ情報のシナリオ要素と相関関係にあるシナリオ要素を判断し、これらシナリオ要素同士を組み合わせて発生シナリオを生成する(発生シナリオ生成ステップ)。
また、インシデントシナリオ合成部305は、それぞれのシナリオの生成に用いたインシデントメタ情報のタグ情報と、それぞれのシナリオを対応づける。つまり、例えば、図5に示すシナリオ1(組み合わせパターン:(A)−(B)−(D))が生成された場合は、このシナリオ1と図4に示す(A)Aワームに関する情報のタグ情報421の該当部分、(B)脆弱性XX_123に関する情報のタグ情報422の該当部分、(D)Aワーム流行の警告のタグ情報423の該当部分とを対応づける。
次に、インシデントシナリオ合成部305は、生成したシナリオを合成シナリオデータベースに格納する(データベース格納ステップ)。
そして、不正アクセス特徴パラメータ抽出部303が、侵入検知装置110から特徴パラメータ情報を受信した際に(セキュリティインシデント情報受信ステップ)、インシデントシナリオ選択部309が、特徴パラメータ情報に示される不正アクセスの特徴パラメータと、それぞれの発生シナリオの生成に用いられたシナリオ要素に関連するタグ情報(セキュリティ属性)とに基づいて、合成シナリオデータベース307に格納されている発生シナリオの中から特定の発生シナリオを選択する(発生シナリオ選択ステップ)。
インシデントシナリオ選択部309は、特徴パラメータ情報に示された特徴パラメータ(日付、プロトコル、宛先ポート、攻撃種別など)に一致するタグ情報(日付、プロトコル、関連ポート、攻撃種別など)が対応づけられているシナリオを選択する。
以降は、実施の形態1と同様に、シナリオスコア計算部306が、選択されたシナリオに対してシナリオスコアを付与し、合成シナリオ表示部308が、選択されたシナリオとそのシナリオスコアを表示する。
以上の実施の形態2では、不正アクセスが検知されるよりも前に、あらかじめセキュリティインシデント発生のシナリオを生成しておくことによって、不正アクセス検知後のセキュリティインシデントの発生シナリオの特定を高速化できる。
加えて、ユーザは、事前に合成されたシナリオを見ることによって、今後、起こりえるセキュリティインシデントに関するリスク分析が可能となり、事前の対策をとることができる。
加えて、ユーザは、事前に合成されたシナリオを見ることによって、今後、起こりえるセキュリティインシデントに関するリスク分析が可能となり、事前の対策をとることができる。
実施の形態2では、以下の機能を備えた、セキュリティインシデント特定装置について説明した。
1)インターネットから収集されたセキュリティ関連情報や、ユーザ入力機能によって入力された情報に対して、タグ付けして、インシデントメタ情報データベースへ格納するためのデータベース管理機能、
2)インシデントメタ情報データベースへ新規に追加されたインシデントメタ情報のタグ情報を検索キーとして、インシデントメタ情報データベースから、関連するインシデントメタ情報を抽出するための、インシデントメタ情報抽出機能、
3)インシデントメタ情報抽出機能で抽出したインシデントメタ情報を組み合わせて、セキュリティインシデントの発生シナリオを合成するための、インシデントシナリオ合成機能、
4)インシデントシナリオ合成機能で合成されたシナリオ、および、シナリオに値して付与されたシナリオスコアを保存しておくための、合成シナリオデータベース、
5)合成シナリオデータベースから合成シナリオを抽出する際の検索キーとする不正アクセスの特徴パラメータを侵入検知装置で検知した異常検知イベントに含まれる情報から抽出するための、不正アクセス特徴パラメータ抽出機能、
6)合成シナリオデータベースから抽出されたシナリオに対して、シナリオ内容の評価指標となるシナリオスコアを付与する、シナリオスコア計算機能、
7)抽出された合成シナリオを、ユーザに表示する、合成シナリオ表示機能。
1)インターネットから収集されたセキュリティ関連情報や、ユーザ入力機能によって入力された情報に対して、タグ付けして、インシデントメタ情報データベースへ格納するためのデータベース管理機能、
2)インシデントメタ情報データベースへ新規に追加されたインシデントメタ情報のタグ情報を検索キーとして、インシデントメタ情報データベースから、関連するインシデントメタ情報を抽出するための、インシデントメタ情報抽出機能、
3)インシデントメタ情報抽出機能で抽出したインシデントメタ情報を組み合わせて、セキュリティインシデントの発生シナリオを合成するための、インシデントシナリオ合成機能、
4)インシデントシナリオ合成機能で合成されたシナリオ、および、シナリオに値して付与されたシナリオスコアを保存しておくための、合成シナリオデータベース、
5)合成シナリオデータベースから合成シナリオを抽出する際の検索キーとする不正アクセスの特徴パラメータを侵入検知装置で検知した異常検知イベントに含まれる情報から抽出するための、不正アクセス特徴パラメータ抽出機能、
6)合成シナリオデータベースから抽出されたシナリオに対して、シナリオ内容の評価指標となるシナリオスコアを付与する、シナリオスコア計算機能、
7)抽出された合成シナリオを、ユーザに表示する、合成シナリオ表示機能。
実施の形態3.
以上の、実施の形態1及び実施の形態2では、セキュリティインシデント特定装置111で合成されたセキュリティインシデントの発生シナリオは、合成シナリオデータベース307に登録され、それを、ユーザからの要求、もしくは、自動で画面に表示している。
しかしながら、この場合、検知した不正アクセスに対して、実際に被害を抑えるための対策をとるのは、ユーザとなるため、運用コストが高く、また、対策をとるまでの間に、被害が拡大してしまう恐れもある。
そこで、実施の形態3では、実施の形態1及び実施の形態2に記載のセキュリティインシデント特定装置111の機能に加え、自動対策機能を備えることにより、導出したセキュリティインシデントの発生シナリオに応じて、監視対象ネットワーク上の対策手段(Firewall、ルータ、IDS(Intrusion Detection System)を含む、一般的なセキュリティ対策機器)と連携して対策をとることを可能とする。
以上の、実施の形態1及び実施の形態2では、セキュリティインシデント特定装置111で合成されたセキュリティインシデントの発生シナリオは、合成シナリオデータベース307に登録され、それを、ユーザからの要求、もしくは、自動で画面に表示している。
しかしながら、この場合、検知した不正アクセスに対して、実際に被害を抑えるための対策をとるのは、ユーザとなるため、運用コストが高く、また、対策をとるまでの間に、被害が拡大してしまう恐れもある。
そこで、実施の形態3では、実施の形態1及び実施の形態2に記載のセキュリティインシデント特定装置111の機能に加え、自動対策機能を備えることにより、導出したセキュリティインシデントの発生シナリオに応じて、監視対象ネットワーク上の対策手段(Firewall、ルータ、IDS(Intrusion Detection System)を含む、一般的なセキュリティ対策機器)と連携して対策をとることを可能とする。
図7は、本実施の形態に係るセキュリティインシデント特定装置111の構成例を示す。
図7では、図3の構成と比較して、対策措置実施部310が追加されている。他の構成要素は、図3において説明したものと同様なので説明を省略する。
なお、図7では、図3の構成に対策措置実施部310を追加したものであるが、図6の構成に対策措置実施部310を追加するようにしてもよい。
本実施の形態に係るセキュリティインシデント特定装置111では、インシデントメタ情報の収集管理、シナリオの生成、シナリオスコア計算に関する処理は、実施の形態1及び実施の形態2と同じである。
図7では、図3の構成と比較して、対策措置実施部310が追加されている。他の構成要素は、図3において説明したものと同様なので説明を省略する。
なお、図7では、図3の構成に対策措置実施部310を追加したものであるが、図6の構成に対策措置実施部310を追加するようにしてもよい。
本実施の形態に係るセキュリティインシデント特定装置111では、インシデントメタ情報の収集管理、シナリオの生成、シナリオスコア計算に関する処理は、実施の形態1及び実施の形態2と同じである。
対策措置実施部310は、シナリオスコア計算部306によりシナリオスコアが設定された発生シナリオのうちスコアが最も高い発生シナリオに対応させてセキュリティインシデントに対処するための対策措置を実施する。
具体的には、対策措置実施部310は、監視対象ネットワーク101上に設置された、Firewall、ルータ、IDSといった、セキュリティ対策機器へリモートから接続して、アクセス制御設定などを変更する。
例えば、実施の形態1で記載した例では、図5で示した、5つのシナリオが生成されるが、その中で、シナリオスコアが最も高かった(シナリオスコア=1.1444)組み合わせパターン(A)−(B)−(D)のシナリオに沿って対策を行う場合、対策措置実施部310は、Firewall、ルータでは、TCP/80ポートのトラフィックを一次的に帯域制御するよう設定(ワームによる影響を抑止する目的)したり、IDSでは、Aワームのシグネチャがあれば有効化したり、といった対策を自動で実施する。
具体的には、対策措置実施部310は、監視対象ネットワーク101上に設置された、Firewall、ルータ、IDSといった、セキュリティ対策機器へリモートから接続して、アクセス制御設定などを変更する。
例えば、実施の形態1で記載した例では、図5で示した、5つのシナリオが生成されるが、その中で、シナリオスコアが最も高かった(シナリオスコア=1.1444)組み合わせパターン(A)−(B)−(D)のシナリオに沿って対策を行う場合、対策措置実施部310は、Firewall、ルータでは、TCP/80ポートのトラフィックを一次的に帯域制御するよう設定(ワームによる影響を抑止する目的)したり、IDSでは、Aワームのシグネチャがあれば有効化したり、といった対策を自動で実施する。
以上の実施の形態3では、セキュリティインシデント特定装置で合成されたセキュリティインシデントの発生シナリオに応じて、監視対象ネットワーク上の対策手段(Firewall、ルータ、IDSを含む、一般的なセキュリティ対策機器)と連携して対策をとることを可能としているため、被害拡大の軽減を目的とした早期対策を、人的コストをかけずに実現できる。
本実施の形態では、自動対策機能を備えることにより、特定したセキュリティインシデントに対して、監視対象ネットワーク上の対策手段(Firewall、ルータなど)と連携して対策をとることが可能な、セキュリティインシデント特定装置について説明した。
最後に、実施の形態1〜3で説明した侵入検知装置110、セキュリティインシデント特定装置111、セキュリティ情報収集装置112のハードウェア構成例について説明する。
図13は、実施の形態1〜3に示す侵入検知装置110、セキュリティインシデント特定装置111、セキュリティ情報収集装置112のハードウェア資源の一例を示す図である。なお、図13の構成は、あくまでも侵入検知装置110、セキュリティインシデント特定装置111、セキュリティ情報収集装置112のハードウェア構成の一例を示すものであり、侵入検知装置110、セキュリティインシデント特定装置111、セキュリティ情報収集装置112のハードウェア構成は図13に記載の構成に限らず、他の構成であってもよい。
図13は、実施の形態1〜3に示す侵入検知装置110、セキュリティインシデント特定装置111、セキュリティ情報収集装置112のハードウェア資源の一例を示す図である。なお、図13の構成は、あくまでも侵入検知装置110、セキュリティインシデント特定装置111、セキュリティ情報収集装置112のハードウェア構成の一例を示すものであり、侵入検知装置110、セキュリティインシデント特定装置111、セキュリティ情報収集装置112のハードウェア構成は図13に記載の構成に限らず、他の構成であってもよい。
図13において、侵入検知装置110、セキュリティインシデント特定装置111、セキュリティ情報収集装置112は、プログラムを実行するCPU911(Central Processing Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介して、例えば、ROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、表示装置901、キーボード902、マウス903、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。更に、CPU911は、FDD904(Flexible Disk Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907と接続していてもよい。また、磁気ディスク装置920の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。
通信ボード915、キーボード902、スキャナ装置907、FDD904などは、入力部、入力装置の一例である。
また、通信ボード915、表示装置901、プリンタ装置906などは、出力部、出力装置の一例である。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。
通信ボード915、キーボード902、スキャナ装置907、FDD904などは、入力部、入力装置の一例である。
また、通信ボード915、表示装置901、プリンタ装置906などは、出力部、出力装置の一例である。
通信ボード915は、図1に示すように、ネットワークに接続されている。例えば、通信ボード915は、LAN(ローカルエリアネットワーク)、インターネット、WAN(ワイドエリアネットワーク)などに接続されていても構わない。
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
上記プログラム群923には、実施の形態1〜3の説明において「〜部」、「〜機能」として説明している機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
ファイル群924には、実施の形態1〜3の説明において、「〜の判断」、「〜の計算」、「〜の比較」、「〜の評価」、「〜の抽出」、「〜の更新」、「〜の設定」、「〜の合成」、「〜の生成」、「〜の登録」等として説明している処理の結果を示す情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリになどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、実施の形態1〜3で示すフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
ファイル群924には、実施の形態1〜3の説明において、「〜の判断」、「〜の計算」、「〜の比較」、「〜の評価」、「〜の抽出」、「〜の更新」、「〜の設定」、「〜の合成」、「〜の生成」、「〜の登録」等として説明している処理の結果を示す情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリになどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、実施の形態1〜3で示すフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
また、実施の形態1〜3の説明において「〜部」、「〜機能」として説明しているものは、「〜回路」、「〜装置」、「〜機器」、であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」、「〜機能」として説明しているものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、実施の形態1〜3の「〜部」、「〜機能」としてコンピュータを機能させるものである。あるいは、実施の形態1〜3の「〜部」、「〜機能」の手順や方法をコンピュータに実行させるものである。
このように、実施の形態1〜3に示す侵入検知装置110、セキュリティインシデント特定装置111、セキュリティ情報収集装置112は、処理装置たるCPU、記憶装置たるメモリ、磁気ディスク等、入力装置たるキーボード、マウス、通信ボード等、出力装置たる表示装置、通信ボード等を備えるコンピュータであり、上記したように「〜部」、「〜機能」として示された機能をこれら処理装置、記憶装置、入力装置、出力装置を用いて実現するものである。
100 インターネット、101 監視対象ネットワーク、110 侵入検知装置、111 セキュリティインシデント特定装置、112 セキュリティ情報収集装置、300 データベース管理部、301 ユーザ入力部、302 インシデントメタ情報データベース、303 不正アクセス特徴パラメータ抽出部、304 インシデントメタ情報抽出部、305 インシデントシナリオ合成部、306 シナリオスコア計算部、307 合成シナリオデータベース、308 合成シナリオ表示部、309 インシデントシナリオ選択部、310 対策措置実施部。
Claims (15)
- 監視対象におけるセキュリティインシデントの発生を検知する検知装置に接続されたセキュリティ管理装置であって、
セキュリティインシデントの発生シナリオの要素となるシナリオ要素と当該シナリオ要素に関連するセキュリティ属性とを示すインシデントメタ情報を、複数記憶するインシデントメタ情報データベースと、
前記検知装置にて検知された検知セキュリティインシデントのセキュリティ属性を示す検知セキュリティインシデント情報を、前記検知装置から受信する検知セキュリティインシデント情報受信部と、
前記検知セキュリティインシデント情報に示される検知セキュリティインシデントのセキュリティ属性と所定の範囲で一致するセキュリティ属性が示されているインシデントメタ情報を抽出するインシデントメタ情報抽出部と、
前記インシデントメタ情報抽出部により抽出されたインシデントメタ情報に示されるシナリオ要素を用いて検知セキュリティインシデントの発生シナリオを生成する発生シナリオ生成部と、
前記発生シナリオ生成部により生成された発生シナリオに対する評価値を設定する評価値設定部とを有することを特徴とするセキュリティ管理装置。 - 前記インシデントメタ情報抽出部は、
二つ以上のインシデントメタ情報を抽出し、
前記発生シナリオ生成部は、
前記インシデントメタ情報抽出部により抽出された二つ以上のインシデントメタ情報に示されるシナリオ要素のうち相関関係にあるシナリオ要素同士を組み合わせて発生シナリオを生成することを特徴とする請求項1に記載のセキュリティ管理装置。 - 前記セキュリティ管理装置は、更に、
前記発生シナリオ生成部により生成された発生シナリオと当該発生シナリオに対して前記評価値設定部により設定された評価値とを表示する表示部を有することを特徴とする請求項1に記載のセキュリティ管理装置。 - 監視対象におけるセキュリティインシデントの発生を検知する検知装置に接続されたセキュリティ管理装置であって、
セキュリティインシデントの発生シナリオの要素となるシナリオ要素と当該シナリオ要素に関連するセキュリティ属性とを示すインシデントメタ情報を、複数記憶するインシデントメタ情報データベースと、
前記複数のインシデントメタ情報に示されるシナリオ要素のうちセキュリティ属性が所定の範囲で一致し相関関係にある二つ以上のシナリオ要素同士を組み合わせてセキュリティインシデントの発生シナリオを生成する発生シナリオ生成部と、
前記発生シナリオ生成部により生成された発生シナリオを記憶する発生シナリオデータベースと、
前記検知装置にて検知された検知セキュリティインシデントのセキュリティ属性を示す検知セキュリティインシデント情報を、前記検知装置から受信する検知セキュリティインシデント情報受信部と、
前記検知セキュリティインシデント情報に示される検知セキュリティインシデントのセキュリティ属性と、それぞれの発生シナリオの生成に用いられたシナリオ要素に関連するセキュリティ属性とに基づいて、前記発生シナリオデータベースに格納されている発生シナリオの中から特定の発生シナリオを選択する発生シナリオ選択部とを有することを特徴とするセキュリティ管理装置。 - 前記セキュリティ管理装置は、更に、
前記発生シナリオ選択部により選択された発生シナリオに対する評価値を設定する評価値設定部とを有することを特徴とする請求項4に記載のセキュリティ管理装置。 - 前記セキュリティ管理装置は、更に、
前記発生シナリオ選択部により選択された発生シナリオと当該発生シナリオに対して前記評価値設定部により設定された評価値とを表示する表示部を有することを特徴とする請求項5に記載のセキュリティ管理装置。 - 前記評価値設定部は、
評価値設定対象の発生シナリオの生成に用いられたシナリオ要素ごとに、対応するインシデントメタ情報に示されたセキュリティ属性と前記検知セキュリティインシデント情報に示された検知セキュリティインシデントのセキュリティ属性との近似度合いに基づいて評価値を設定し、シナリオ要素ごとの評価値を加算して発生シナリオの評価値を設定することを特徴とする請求項1又は5に記載のセキュリティ管理装置。 - 前記評価値設定部は、
新しいシナリオ要素ほど高い値を付与して、評価値設定対象の発生シナリオの生成に用いられたシナリオ要素ごとに評価値を設定し、シナリオ要素ごとの評価値を加算して発生シナリオの評価値を設定することを特徴とする請求項1又は5に記載のセキュリティ管理装置。 - 前記評価値設定部は、
発生シナリオの評価値に対する閾値を設定しており、いずれかの発生シナリオの評価値が前記閾値を下回っている場合に、当該発生シナリオの評価値を前記閾値と同じ値に設定することを特徴とする請求項1又は5に記載のセキュリティ管理装置。 - 前記セキュリティ管理装置は、更に、
前記評価値設定部により評価値が設定された発生シナリオに対応させて前記検知セキュリティインシデントに対処するための対策措置を実施する対策措置実施部を有することと特徴とする請求項1又は5に記載のセキュリティ管理装置。 - 前記対策措置実施部は、
前記評価値設定部により評価値が設定された発生シナリオが複数存在する場合に、評価値が最も高い発生シナリオに対応させて前記検知セキュリティインシデントに対処するための対策措置を実施することを特徴とする請求項10に記載のセキュリティ管理装置。 - 監視対象におけるセキュリティインシデントの発生を検知する検知装置に接続されたコンピュータを用いるセキュリティ管理方法であって、
コンピュータが、前記検知装置にて検知された検知セキュリティインシデントのセキュリティ属性を示す検知セキュリティインシデント情報を、前記検知装置から受信する検知セキュリティインシデント情報受信ステップと、
セキュリティインシデントの発生シナリオの要素となるシナリオ要素と当該シナリオ要素に関連するセキュリティ属性とを示すインシデントメタ情報を複数記憶するインシデントメタ情報データベースから、コンピュータが、前記検知セキュリティインシデント情報に示される検知セキュリティインシデントのセキュリティ属性と所定の範囲で一致するセキュリティ属性が示されているインシデントメタ情報を抽出するインシデントメタ情報抽出ステップと、
コンピュータが、前記インシデントメタ情報抽出ステップにより抽出されたインシデントメタ情報に示されるシナリオ要素を用いて検知セキュリティインシデントの発生シナリオを生成する発生シナリオ生成ステップと、
コンピュータが、前記発生シナリオ生成ステップにより生成された発生シナリオに対する評価値を設定する評価値設定ステップとを有することを特徴とするセキュリティ管理方法。 - 監視対象におけるセキュリティインシデントの発生を検知する検知装置に接続され、セキュリティインシデントの発生シナリオの要素となるシナリオ要素と当該シナリオ要素に関連するセキュリティ属性とを示すインシデントメタ情報を複数記憶するコンピュータ
を用いるセキュリティ管理方法であって、
コンピュータが、前記複数のインシデントメタ情報に示されるシナリオ要素のうちセキュリティ属性が所定の範囲で一致し相関関係にある二つ以上のシナリオ要素同士を組み合わせてセキュリティインシデントの発生シナリオを生成する発生シナリオ生成ステップと、
コンピュータが、前記発生シナリオ生成ステップにより生成された発生シナリオを発生シナリオデータベースに格納するデータベース格納ステップと、
コンピュータが、前記検知装置にて検知された検知セキュリティインシデントのセキュリティ属性を示す検知セキュリティインシデント情報を、前記検知装置から受信する検知セキュリティインシデント情報受信ステップと、
コンピュータが、前記検知セキュリティインシデント情報に示される検知セキュリティインシデントのセキュリティ属性と、それぞれの発生シナリオの生成に用いられたシナリオ要素に関連するセキュリティ属性とに基づいて、前記発生シナリオデータベースに格納されている発生シナリオの中から特定の発生シナリオを選択する発生シナリオ選択ステップとを有することを特徴とするセキュリティ管理方法。 - 監視対象におけるセキュリティインシデントの発生を検知する検知装置に接続されたコンピュータに、
前記検知装置にて検知された検知セキュリティインシデントのセキュリティ属性を示す検知セキュリティインシデント情報を、前記検知装置から受信する検知セキュリティインシデント情報受信処理と、
セキュリティインシデントの発生シナリオの要素となるシナリオ要素と当該シナリオ要素に関連するセキュリティ属性とを示すインシデントメタ情報を複数記憶するインシデントメタ情報データベースから、前記検知セキュリティインシデント情報に示される検知セキュリティインシデントのセキュリティ属性と所定の範囲で一致するセキュリティ属性が示されているインシデントメタ情報を抽出するインシデントメタ情報抽出処理と、
前記インシデントメタ情報抽出処理により抽出されたインシデントメタ情報に示されるシナリオ要素を用いて検知セキュリティインシデントの発生シナリオを生成する発生シナリオ生成処理と、
前記発生シナリオ生成処理により生成された発生シナリオに対する評価値を設定する評価値設定処理とを実行させることを特徴とするプログラム。 - 監視対象におけるセキュリティインシデントの発生を検知する検知装置に接続され、セキュリティインシデントの発生シナリオの要素となるシナリオ要素と当該シナリオ要素に関連するセキュリティ属性とを示すインシデントメタ情報を複数記憶するコンピュータに、
前記複数のインシデントメタ情報に示されるシナリオ要素のうちセキュリティ属性が所定の範囲で一致し相関関係にある二つ以上のシナリオ要素同士を組み合わせてセキュリティインシデントの発生シナリオを生成する発生シナリオ生成処理と、
前記発生シナリオ生成処理により生成された発生シナリオを発生シナリオデータベースに格納するデータベース格納処理と、
前記検知装置にて検知された検知セキュリティインシデントのセキュリティ属性を示す検知セキュリティインシデント情報を、前記検知装置から受信する検知セキュリティインシデント情報受信処理と、
前記検知セキュリティインシデント情報に示される検知セキュリティインシデントのセキュリティ属性と、それぞれの発生シナリオの生成に用いられたシナリオ要素に関連するセキュリティ属性とに基づいて、前記発生シナリオデータベースに格納されている発生シナリオの中から特定の発生シナリオを選択する発生シナリオ選択処理とを実行させることを特徴とするプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006353624A JP4773332B2 (ja) | 2006-12-28 | 2006-12-28 | セキュリティ管理装置及びセキュリティ管理方法及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006353624A JP4773332B2 (ja) | 2006-12-28 | 2006-12-28 | セキュリティ管理装置及びセキュリティ管理方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008167099A JP2008167099A (ja) | 2008-07-17 |
| JP4773332B2 true JP4773332B2 (ja) | 2011-09-14 |
Family
ID=39695944
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006353624A Expired - Fee Related JP4773332B2 (ja) | 2006-12-28 | 2006-12-28 | セキュリティ管理装置及びセキュリティ管理方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4773332B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3287928A1 (en) | 2016-08-26 | 2018-02-28 | Fujitsu Limited | Non-transitory recording medium recording cyber-attack analysis supporting program, cyber-attack analysis supporting method, and cyber-attack analysis supporting apparatus |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5015279B2 (ja) * | 2010-02-23 | 2012-08-29 | 日本電信電話株式会社 | トラヒック量変化検知と連携した原因特定システム、方法、装置、及びプログラム |
| JP6053948B2 (ja) * | 2013-10-24 | 2016-12-27 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
| JP6104149B2 (ja) * | 2013-12-24 | 2017-03-29 | 三菱電機株式会社 | ログ分析装置及びログ分析方法及びログ分析プログラム |
| WO2015128896A1 (ja) | 2014-02-26 | 2015-09-03 | 三菱電機株式会社 | 攻撃検知装置、攻撃検知方法、及び攻撃検知プログラム |
| JP6282217B2 (ja) * | 2014-11-25 | 2018-02-21 | 株式会社日立システムズ | 不正プログラム対策システムおよび不正プログラム対策方法 |
| JP2019101448A (ja) * | 2017-11-28 | 2019-06-24 | 株式会社 インターコム | セキュリティ管理システム及びセキュリティ管理方法 |
| WO2019180989A1 (ja) * | 2018-03-20 | 2019-09-26 | 日本電気株式会社 | ヒアリングシステム、脅威対応システム、方法およびプログラム |
| WO2020105156A1 (ja) * | 2018-11-21 | 2020-05-28 | 三菱電機株式会社 | シナリオ生成装置、シナリオ生成方法およびシナリオ生成プログラム |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20040035572A (ko) * | 2002-10-22 | 2004-04-29 | 최운호 | 정보 인프라에서의 종합 침해사고 대응시스템 및 그운영방법 |
| JP3999188B2 (ja) * | 2003-10-28 | 2007-10-31 | 富士通株式会社 | 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム |
| JP4723466B2 (ja) * | 2006-12-19 | 2011-07-13 | 三菱電機株式会社 | データ処理装置及びデータ処理方法及びプログラム |
-
2006
- 2006-12-28 JP JP2006353624A patent/JP4773332B2/ja not_active Expired - Fee Related
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3287928A1 (en) | 2016-08-26 | 2018-02-28 | Fujitsu Limited | Non-transitory recording medium recording cyber-attack analysis supporting program, cyber-attack analysis supporting method, and cyber-attack analysis supporting apparatus |
| US10476904B2 (en) | 2016-08-26 | 2019-11-12 | Fujitsu Limited | Non-transitory recording medium recording cyber-attack analysis supporting program, cyber-attack analysis supporting method, and cyber-attack analysis supporting apparatus |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2008167099A (ja) | 2008-07-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4773332B2 (ja) | セキュリティ管理装置及びセキュリティ管理方法及びプログラム | |
| US11444786B2 (en) | Systems and methods for digital certificate security | |
| US11687653B2 (en) | Methods and apparatus for identifying and removing malicious applications | |
| US8181248B2 (en) | System and method of detecting anomaly malicious code by using process behavior prediction technique | |
| JP5557623B2 (ja) | 感染検査システム及び感染検査方法及び記録媒体及びプログラム | |
| JP5972401B2 (ja) | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム | |
| US9300682B2 (en) | Composite analysis of executable content across enterprise network | |
| US8621624B2 (en) | Apparatus and method for preventing anomaly of application program | |
| JP5144488B2 (ja) | 情報処理システムおよびプログラム | |
| JP6717206B2 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム | |
| WO2012063493A1 (ja) | 脆弱性診断装置 | |
| JP5656266B2 (ja) | ブラックリスト抽出装置、抽出方法および抽出プログラム | |
| JP5791548B2 (ja) | アドレス抽出装置 | |
| Roschke et al. | Using vulnerability information and attack graphs for intrusion detection | |
| WO2020246227A1 (ja) | ルール生成装置、ルール生成方法、及びコンピュータ読み取り可能な記録媒体 | |
| JP7000271B2 (ja) | 車両不正アクセス対策装置、及び車両不正アクセス対策方法 | |
| KR100961870B1 (ko) | 네트워크 계층별 검사를 통한 웹 보안 시스템 및 방법 | |
| JP7078562B2 (ja) | 計算機システム、インシデントによる業務システムへの影響の分析方法、及び分析装置 | |
| CN115134106A (zh) | 检测黑客攻击的方法及计算机程序产品 | |
| JP7033560B2 (ja) | 分析装置および分析方法 | |
| Kaushik et al. | Perspectives on Ethical Hacking and Penetration Testing | |
| RU2769651C2 (ru) | Способ формирования сигнатуры для обнаружения неправомерного доступа к компьютеру, получаемого с помощью средств удаленного администрирования, и реализующая его система | |
| JP7409978B2 (ja) | リスク評価システムおよびリスク評価方法 | |
| Al Shamsi | Mapping, Exploration, and Detection Strategies for Malware Universe | |
| JP6105792B1 (ja) | 情報処理装置、情報処理方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20091001 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110322 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110412 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110513 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110621 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110623 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140701 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4773332 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |