JP6058246B2 - 情報処理装置及び情報処理方法及びプログラム - Google Patents
情報処理装置及び情報処理方法及びプログラム Download PDFInfo
- Publication number
- JP6058246B2 JP6058246B2 JP2016558425A JP2016558425A JP6058246B2 JP 6058246 B2 JP6058246 B2 JP 6058246B2 JP 2016558425 A JP2016558425 A JP 2016558425A JP 2016558425 A JP2016558425 A JP 2016558425A JP 6058246 B2 JP6058246 B2 JP 6058246B2
- Authority
- JP
- Japan
- Prior art keywords
- event
- candidate
- information
- attack
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000010365 information processing Effects 0.000 title claims description 53
- 238000003672 processing method Methods 0.000 title claims description 4
- 238000012544 monitoring process Methods 0.000 claims description 280
- 230000007717 exclusion Effects 0.000 claims description 85
- 238000012545 processing Methods 0.000 claims description 80
- 238000001514 detection method Methods 0.000 claims description 66
- 238000000034 method Methods 0.000 claims description 58
- 238000009795 derivation Methods 0.000 claims description 18
- 239000000470 constituent Substances 0.000 claims description 7
- 238000011084 recovery Methods 0.000 description 19
- 230000000694 effects Effects 0.000 description 14
- 238000010586 diagram Methods 0.000 description 11
- 239000000284 extract Substances 0.000 description 6
- 238000000605 extraction Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 2
- 230000015556 catabolic process Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
標的型攻撃においては、攻撃者は正規のユーザに成りすまして活動を行うため、正規の活動と攻撃活動とを区別することが難しい。
正規の活動と攻撃活動とを正しく区別するためには、攻撃検知のための検知ルールをチューニングすることが必要である。
しかし、従来の統合ログ監視では、攻撃の検知漏れと誤検知とのバランスをとれるように検知ルールをチューニングすることが困難であった。
これに対し、攻撃者が行う活動によって観測されるイベントの推移をシナリオとして定義しておき、シナリオにそったイベントの発生が観測された場合に攻撃が発生したとみなす手法が提案されている(例えば、非特許文献1)。
具体的には、非特許文献1の手法では、標的型攻撃において発生すると考えられる複数のイベントのそれぞれに対して、攻撃活動定義情報が定義される。
攻撃活動定義情報には、イベントの内容やイベントが発生するための事前条件、イベントの発生によって攻撃者が得ると期待される新たな知識や状態を示す達成状態等が定義される。
標的型攻撃の検知は、標的型攻撃検知S/W(Software)が、SIEM(Security Information and Event Management)等のセキュリティ機器から送られてくるイベントを受信し、標的型攻撃の確度が高いと判断した場合に管理者へ警報を行う。
警報を行う程の確度に達していなかった場合は、標的型攻撃検知S/Wは、受信したイベントに対応する攻撃活動定義情報を活用して次に発生するイベントの予測を行う。
また、標的型攻撃検知S/Wは、予測したイベントを必要に応じて用い、より詳細な監視が行えるようSIEMや監視対象ネットワーク上の機器に対して監視設定を変更する。
つまり、非特許文献1の手法では、イベントの監視として、例えばログなどから攻撃の痕跡を分析する際に高い検索負荷がかかってしまうという課題があった。
これに対し、ホワイトリストを用いてあらかじめ監視対象外のイベントを定義しておく先行技術がある(例えば、特許文献1〜4)。
また、一度監視対象外としたイベントを後から監視対象にするための技術がある(特許文献5)。
標的型攻撃において発生すると考えられるイベントの数は膨大であり、イベントごとに定義されたホワイトリストと照合して、イベントを監視対象とするか否かを決定する手法では、多数のホワイトリストの中から照合対象のホワイトリストを検索する必要がある。
このため、ホワイトリストを用いる手法では、演算負荷が高く、また演算時間を長く要する。
複数のシステム構成要素が含まれる情報システムで発生することが予測されるイベントであって、監視対象の候補となるイベントを候補イベントとして導出する候補イベント導出部と、
前記複数のシステム構成要素のうち前記候補イベントの発生に関与するシステム構成要素を候補システム構成要素として導出し、前記候補システム構成要素の属性を特定する属性特定部と、
前記属性特定部により特定された前記候補システム構成要素の属性を解析して、前記候補イベントを監視対象とするか否かを決定する監視対象決定部とを有する。
このため、候補イベントを監視対象とするか否かの決定に要する演算負荷及び演算時間を軽減することができる。
***情報処理装置100の構成の説明***
図1は、本実施の形態に係る情報処理装置100と情報システム200の構成例を示す。
システム構成要素300には、端末装置、サーバ装置といった計算機要素が含まれる。
また、システム構成要素300には、端末装置を利用するユーザ、情報システム200を管理するシステム管理者といった人的要素が含まれる。
更に、システム構成要素300には、ファイル、テーブル、関数、変数、定数といったデータ要素が含まれる。
また、情報システム200ではイベントが発生し、情報システム200に含まれるSIEM等のセキュリティ機器によって情報システム200への攻撃の兆候となる攻撃兆候イベント(以下、攻撃イベントともいう)が検知される。
セキュリティ機器によって検知された攻撃兆候イベントは、情報処理装置100に通知される。
例えば、候補イベント導出部101は、情報システム200への攻撃がある場合に情報システム200で発生することが予測されるイベントを、候補イベントとして導出する。
より具体的には、情報システム200のセキュリティ機器から攻撃兆候イベントが通知された場合に、攻撃兆候イベントの次に情報システム200で発生することが予測されるイベントを、候補イベントとして導出する。
例えば、イベントAが発生した後にイベントBが発生した場合には、攻撃の進展段階がレベル1からレベル2に進展したと認定されるシナリオを想定する。
この場合に、イベントAが発生した後に、次に発生すると予測されるイベントBを監視対象とし、定期的又は不定期にログを検索することでイベントBが発生したか否かを判定する。
そして。イベントBが発生したことをログ検索によって確認できた場合には、攻撃の進展段階がレベル2に進展したことが判明する。
「関与」とは、候補イベントの発生主体のシステム構成要素、候補イベントの客体となるシステム構成要素、候補イベントでパラメータとして利用されているシステム構成要素等を含む意味である。
また、属性特定部102は、候補システム構成要素の属性を特定する。
次に、情報処理装置100の動作例を説明する。
図2は、情報処理装置100の動作例を示すフローチャート図である。
本実施の形態では、候補システム構成要素の属性に基づいて、候補イベントを監視対象とするか否かが決定される。
前述したように、候補イベント導出部101は、例えば、情報システム200内のセキュリティ機器から攻撃兆候イベントを通知された場合に、攻撃兆候イベントの次に発生することが予測されるイベントを、候補イベントとして導出する。
候補イベント導出部101による候補イベントの導出方法の詳細は後述する。
なお、S11を候補イベント導出処理という。
また、S13において、属性特定部102は、候補システム構成要素の属性を特定する。
候補システム構成要素の導出方法、候補システム構成要素の属性の判定方法の詳細は後述する。
なお、S12及びS13を、属性特定処理という。
なお、S14を監視対象決定処理という。
一方、監視対象とならなかった候補イベントは、攻撃の進展度合いを解析するためのログ検索の対象とはならない。
図3は、本実施の形態に係る攻撃イベント予測装置1の構成例を示す。
攻撃イベント予測装置1は、図1に示す情報処理装置100をより具体化した装置である。
発生可能判定部6は、図1に示した候補イベント導出部101に対応する。
監視イベント判定情報生成部7は、図1に示した属性特定部102に対応する。
監視イベント判定部9及び判定結果処理部10は、図1に示した監視対象決定部103に対応する。
また、攻撃イベント検索部2は、検知アラート400に対応する攻撃イベント定義情報を、攻撃イベントデータベース3から検索する。
また、攻撃イベント検索部2は、検知アラート400から得られた情報を、攻撃イベントデータベース3から得た攻撃イベント定義情報の束縛済み変数に記載する。
検知アラート400は、情報システム200に含まれる各種機器から送信される警告メッセージであり、攻撃兆候イベント(攻撃イベント)の発生を通知する。
検知アラート400の一例として、IDS(Intrusion Detection System)アラートがある。
検知アラート400には、情報システム200への攻撃の一環として送信された可能性のあるパケットの送信元のIPアドレス及びポート番号、送信先のIPアドレス及びポート番号、TCP(Transmission Control Protocol)やUDP(User Datagram Protocol)などのプロトコル、検知した攻撃イベント(ログイン、ポートスキャンなど)の情報が含まれている。
攻撃イベント定義情報は、攻撃イベントの詳細が予め定義された情報である。
図4に示すように、攻撃イベント定義情報12は、事前条件13、イベント14、達成状態15、束縛済み変数情報16で構成されている。
事前条件13には、攻撃イベントが発生するための前提条件が述語論理の形式で記述されている。
つまり、事前条件13には、攻撃イベントが観測される前の攻撃の進展段階(イベント前段階)が記述されている。
例えば、図4の符号17で示す述語論理「login(A,H)」は、攻撃イベントの発生のための事前条件として、「AがHにログインしている」状態が必要であることを表している。
なお、符号17で示される「A」及び「H」は変数であり、検知アラート400から得られた具体的な値などは束縛済み変数情報16の欄に保持される。
イベント14は、情報システム200に対する攻撃が行われる過程において情報システム200で観測される攻撃イベントを表す。
イベント14に対して、イベント発生源18、イベント種別19、イベントパラメータ20が定義されている。
イベント発生源18は、攻撃イベント定義情報12が対象とするイベント発生源を示している。
符号21は、発生源として許される値を示しており、この例では変数Hによって事前条件17と関連付けられている(「$H」の冒頭にあるドルマーク($)は、Hが変数であることを示している)。
イベント種別19は、攻撃イベント定義情報12が対象としているイベントの種別を指定している。
具体的なイベント種別は、符号22のように指定される。
イベントパラメータ20は、イベントのパラメータを示す。
イベントパラメータ20では、攻撃イベント定義情報12が対象とする値が指定されている。
図4に示した例では、符号23でUSERという名称のパラメータが符号17で示されている変数Aと同じ値をとることが求められている。
達成状態15は、攻撃イベント定義情報12の符号18〜20の項目に合致するイベントが発生した時に、攻撃者が達成した状態を述語論理で示している。
つまり、達成状態15には、符号18〜20の項目に合致するイベントが観測された後の攻撃の進展段階(イベント後段階)が記述されている。
達成状態15は、進展状態ともいう。
図4の例では、符号24の「hasSecret(A,H)」は、「ユーザAがホストHの機密を入手した」段階であることを示している。
検知アラート400では、図4の攻撃イベント定義情報12と同様に、イベント発生源、イベント種別、イベントパラメータが通知される。
図4の攻撃イベント定義情報12では、イベント発生源21、イベントパラメータ23の各変数の値は特定されていないが、検知アラート400では、イベント発生源、イベントパラメータの各変数の値が特定されている。
検知アラート400において特定されている値は束縛済み変数情報16の欄に格納される。
束縛済み変数情報16は、検知アラート400から得られた変数の具体値を束縛値として格納するための欄である。
例えば、図4の符号25では変数「A」が「USER1」に束縛されていることがわかる。
また、変数「H」が「H_1」に束縛されていることがわかる。
つまり、検知アラート400では、変数「A」の具体値として「USER1」が記述され、変数「H」の具体値として「H_1」が記述されている。
なお、束縛済み変数情報16への変数の具体値の格納は、攻撃イベント検索部2により行われる。
以上述べた攻撃イベント定義情報12は、標的型攻撃で発生すると考えられる複数の攻撃イベントに対して予め定義されており、攻撃イベントデータベース3内に検索可能な状態で格納されている。
なお、束縛済み変数情報16の欄に記載されている束縛値である「USER1」、「H_1」は、情報システム200に含まれるシステム構成要素300である。
達成状態情報は、攻撃イベントにより達成された状態、すなわち、攻撃の進展状態が示される情報である。
図5に示すように、達成状態情報26は、攻撃イベントによって既に達成された事象を表す述語論理が格納されている。
例えば、符号27の述語論理「Login(USER1、H_1)」は、ユーザ「USER1」がホスト「H_1」にログインした、という事象を示している。
検索の結果、該当する攻撃イベント定義情報が複数あった場合は、次イベント検索部5は、複数の攻撃イベント定義情報を取得する。
次イベント検索部5は、攻撃イベント定義情報の取得後、攻撃イベント検索部2から入力された攻撃イベント定義情報の達成状態に係る束縛済み変数情報(具体値)を、取得した攻撃イベント定義情報の束縛済み変数情報に格納する。
そして、次イベント検索部5は、束縛済み変数情報に具体値が記述された後の攻撃イベント定義情報を、次に発生するイベントの候補を表す仮候補イベント定義情報として出力する。
また、仮候補イベント定義情報で定義されているイベントを、仮候補イベントという。
後述する発生可能判定部6で選択されたイベントは、監視対象の候補イベントであり、次イベント検索部5により抽出された仮候補イベントは、候補イベントに選択される可能性あるイベントである。
具体的には、発生可能判定部6は、入力された仮候補イベント定義情報の事前条件に記載された述語論理の全てが、達成状態記憶部4に記憶されているかどうかを確認する。
発生可能判定部6は、入力された仮候補イベント定義情報の事前条件に記載された述語論理の全てが、達成状態記憶部4の達成状態情報に記述されている場合は、入力された仮候補イベント定義情報に記載されている仮候補イベントを候補イベントとして選択する。
発生可能判定部6は、候補イベントが記述されている仮候補イベント定義情報を、候補イベント定義情報として、監視イベント判定情報生成部7に出力する。
そして、監視イベント判定情報生成部7は、候補イベント定義情報の束縛済み変数情報から、候補イベントの発生に関与するシステム構成要素である候補システム構成要素を導出する。
更に、監視イベント判定情報生成部7は、候補システム構成要素の属性を特定する。
具体的には、監視イベント判定情報生成部7は、判定情報データベース8の判定情報を参照して、候補システム構成要素の属性を特定する。
判定情報には、システム構成要素ごとに、システム構成要素の属性が記述されている。
監視イベント判定情報生成部7は、判定情報から、候補システム構成要素の属性を得る。
そして、監視イベント判定情報生成部7は、候補システム構成要素情報の属性を監視イベント判定部9に通知する。
また、監視イベント判定情報生成部7は、発生可能判定部6から取得した候補イベント定義情報を監視イベント判定部9に出力する。
監視イベント判定部9は、判定結果と、監視イベント判定情報生成部7から取得した候補イベント定義情報を判定結果処理部10に出力する。
判定結果処理部10は、具体的には、監視イベント判定部9により候補イベントを監視対象とすることが決定されている場合は、候補イベント定義情報を監視イベント定義情報として監視イベント記憶部11に出力する。
一方、監視イベント判定部9により候補イベントを監視対象としないことが決定されている場合は、判定結果処理部10は、候補イベント定義情報を監視イベント記憶部11に出力しない。
判定結果処理部10は、候補イベント定義情報を消去してもよいし、また、監視イベント記憶部11以外の記憶領域に候補イベント定義情報を退避させてもよい。
なお、監視イベント判定部9が監視対象として決定した候補イベントを監視イベントという。
また、監視イベントの詳細が記述されている候補イベント定義情報を、監視イベント定義情報という。
次に、実施の形態1に係る攻撃イベント予測装置1の動作を、図6を参照して説明する。
図6は、実施の形態1に係る攻撃イベント予測装置1の処理の流れを示すフローチャートである。
検知アラート400は、前述のとおり、情報システム200内の機器から送信される警告メッセージである。
具体的には、攻撃イベント検索部2は、検知アラート400に記載されているイベント種別(例えば、ANOMALOUS_FILE_ACCESS)と同じイベント種別が記載されている攻撃イベント定義情報を取得する。
また、攻撃イベント検索部2は、検知アラート400から得られたイベント発生源の具体値、イベントパラメータの具体値を、取得した攻撃イベント定義情報の束縛済み変数情報に代入する。
攻撃イベント検索部2は、束縛済み変数情報に具体値が記述された攻撃イベント定義情報を次イベント検索部5に出力する。
そして、ステップS104において、攻撃イベント検索部2は、変数を束縛済み変数情報に記載された具体値で置き換えた後の達成状態情報を達成状態記憶部4に格納する。
具体的には、次イベント検索部5は、S105で得られた攻撃イベント定義情報の束縛済み変数情報に、S102で攻撃イベント検索部2から入力された攻撃イベント定義情報の束縛済み変数情報のうち、達成状態に用いられている値を代入する。
次イベント検索部5は、値が代入された後の攻撃イベント定義情報を仮候補イベント定義情報として、発生可能判定部6に出力する。
図8は、仮候補イベント定義情報29の例を示す。
図7の攻撃イベント定義情報28は、検知アラート400に基づいて、攻撃イベント検索部2によって得られた攻撃イベント定義情報の例である。
図8の仮候補イベント定義情報29は、攻撃イベント定義情報28に基づいて次イベント検索部5により得られた仮候補イベント定義情報の例である。
つまり、図8の仮候補イベント定義情報29では、図7の攻撃イベント定義情報の達成状態30の述語論理31「hasSecret(A,H)」と同じ述語論理が、事前条件32の述語論理33に記載されている。
また、達成条件30の述語論理31中の変数「A」及び変数「H」の具体値が、束縛済み変数情報37に束縛値として記載されている。
具体的には、変数「A」の束縛値は「USER1」であり、変数「H」の束縛値は「H_1である。
つまり、発生可能判定部6は、仮候補イベント定義情報29を取得し、取得した仮候補イベント定義情報29に示される仮候補イベントが現在発生可能となっているかどうかを確認する。
より具体的には、発生可能判定部6は仮候補イベントの事前条件32の述語論理33と束縛済み変数情報36を達成状態記憶部4に入力し、入力した述語論理33に該当する達成状態情報があるかどうかの検索を行う。
このとき、仮候補イベント定義情報29の事前条件32に含まれる変数の束縛値が拘束済み変数情報36に記述されている場合は、発生可能判定部6は、述語論理と束縛値の双方が一致する達成状態情報を検索する。
また、仮候補イベント定義情報29の束縛済み変数情報36に束縛値が記述されていない場合は、発生可能判定部6は、達成状態情報に記述されている具体値を、仮候補イベント定義情報29の束縛済み変数情報36に束縛値として記載する。
検索の結果、仮候補イベント定義情報29の事前条件32の述語論理33の全てが達成状態記憶部4に記憶されていた場合に、発生可能判定部6は、仮候補イベント定義情報29を候補イベント定義情報として監視イベント判定情報生成部7に出力する。
図10は、発生可能判定部6が生成した候補イベント定義情報の例を示す。
発生可能判定部6は、図8の仮候補イベント定義情報29の事前条件32に記載された述語論理33「hasSecret(A,H)」と「canRead(A,F)」と束縛済み変数情報36の束縛値との組合せに該当する達成状態情報が達成状態記憶部4に記憶されているかどうかを確認する。
「hasSecret(A,H)」については、述語論理と束縛値との組合せに一致する「hasSecret(“USER1”,“H_1”)」という達成状態情報が存在する。
一方、“canRead(A,F)”については、述語論理は一致するが、束縛値が存在しないため、発生可能判定部6は、達成状態記憶部4に記憶された述語論理40の具体値「File1」を束縛済み変数情報36の変数名「F」の束縛値として追記する。
図10の候補イベント定義情報39は、符号42で示すように、束縛済み変数情報41の変数名「F」の束縛値として「File1」が追記された後の候補イベント定義情報である。
なお、図10の候補イベント定義情報39の束縛済み変数情報41に記述されている束縛値である「USER1」、「H_1」、「File1」は、候補イベントの発生に関与するシステム構成要素300を示しており、候補システム構成要素に相当する。
そして、監視イベント判定情報生成部7は、候補イベント定義情報39の束縛済み変数情報41から、候補システム構成要素である「USER1」、「H_1」、「File1」を抽出する。
更に、監視イベント判定情報生成部7は、候補システム構成要素の属性を特定する。
具体的には、判定情報データベース8の判定情報を参照して、候補システム構成要素の属性を特定する。
判定情報には、システム構成要素ごとに、システム構成要素の属性が記述されている。
監視イベント判定情報生成部7は、判定情報から、候補システム構成要素の属性を得る。
そして、監視イベント判定情報生成部7は、候補システム構成要素情報の属性を監視イベント判定部9に通知する。
また、監視イベント判定情報生成部7は、発生可能判定部6から取得した候補イベント定義情報を監視イベント判定部9に出力する。
監視イベント判定部9は、判定結果と、監視イベント判定情報生成部7から取得した候補イベント定義情報を判定結果処理部10に出力する。
判定結果処理部10は、具体的には、監視イベント判定部9により候補イベントを監視対象とすることが決定されている場合は、候補イベント定義情報を監視イベント定義情報として監視イベント記憶部11に出力する。
一方、監視イベント判定部9により候補イベントを監視対象としないことが決定されている場合は、判定結果処理部10は、候補イベント定義情報を監視イベント記憶部11に出力しない。
以上のように、本実施の形態では、イベントに比べて大幅に個数が少ないシステム構成要素の属性に基づいて、候補イベントを監視対象とするか否かを決定している。
このため、候補イベントを監視対象とするか否かの決定に要する演算負荷及び演算時間を軽減することができ、イベント監視のためのリソースを効率的に活用することができる。
また、イベントの数が膨大であるため、イベントごとに監視対象外とするための条件をホワイトリストにおいて定義しておくことはシステム管理者にとって多大な負担となるが、本実施の形態によれば、システム構成要素の属性を用いて定義することで、システム管理者の負担を軽減することができる。
本実施の形態では、候補システム構成要素の属性の導出方法及び候補システム構成要素の属性を用いて候補イベントを監視対象とするか否かの決定方法の詳細を説明する。
以下では、主に実施の形態1との差異を説明する。
以下で説明していない事項は、実施の形態1と同じである。
本実施の形態においても、情報処理装置100の構成例は図1に示す通りである。
本実施の形態では、監視対象決定部103は、監視対象から除外されるイベントの条件がシステム構成要素の属性で定義されている除外ルールを取得する。
また、監視対象決定部103は、属性特定部102により特定された候補システム構成要素の属性と除外ルールに定義されているシステム構成要素の属性とを比較し、候補システム構成要素の属性が除外ルールに定義されているシステム構成要素の属性と一致する場合に、候補イベントを監視対象から除外する。
一方、監視対象決定部103は、候補システム構成要素の属性が除外ルールに定義されているシステム構成要素の属性と一致しない場合に、候補イベントを監視対象にする。
***攻撃イベント予測装置43の構成の説明***
図11は本実施の形態に係る攻撃イベント予測装置43を示す構成図である。
攻撃イベント予測装置43は、本実施の形態に係る情報処理装置100をより具体化した装置である。
攻撃イベント予測装置43は、実施の形態1の攻撃イベント予測装置1と同様に、外部から得られた検知アラート400に基づき監視対象の監視イベントを特定する。
しかし、攻撃イベント予測装置43は、攻撃イベント予測装置1と内部構成が異なる。
図11において、攻撃イベント検索部2、攻撃イベントデータベース3、達成状態記憶部4、次イベント検索部5、発生可能判定部6及び監視イベント記憶部11は、実施の形態1の攻撃イベント予測装置1の攻撃イベント検索部2、攻撃イベントデータベース3、達成状態記憶部4、次イベント検索部5、発生可能判定部6及び監視イベント記憶部11と同じである。
なお、本実施の形態では、発生可能判定部6が図1に示した候補イベント導出部101に対応し、監視イベント判定情報生成部44が図1に示した属性特定部102に対応し、監視イベント判定部46及び判定結果処理部48が図1に示した監視対象決定部103に対応する。
構成情報は、束縛値に記された候補システム構成要素の属性が示される情報である。
例えばファイルならば所属するネットワークグループや閲覧許可に関する制限事項など、ホスト名ならばIPアドレスやネットワークグループなど、ユーザならば保持する権限情報などが構成情報に記載されている。
監視イベント判定情報生成部44は、構成情報データベース45から構成情報を取得して、候補システム構成要素の属性を得る。
図12は束縛値「File1」に関する構成情報49を示す。
構成情報49は、種類50、ネットワークグループ51、閲覧許可52によって構成されている。
構成情報は種類ごとに異なる。
つまり、図12の構成情報49は種類50が「ファイル」の構成情報であり、図13の構成情報53は種類54が「ホスト」の構成情報であり、図14の構成情報58は種類59が「ユーザ」の構成情報である。
図12の構成情報49では、ファイル「File1」が属するネットワークグループ51は「N_1」であり、ファイル「File1」の閲覧許可は「管理職以上」にのみ認められるという属性が記載されている。
図13に示すホスト「H_1」の構成情報53は、種類54、IPアドレス55、ネットワークグループ56、脆弱性情報57によって構成される。
構成情報53では、ホスト「H_1」に付与されているIPアドレス55は「192.168.0.1」であり、ホスト「H_1」が属するネットワークグループ56は「N_2」であり、脆弱性情報57として「CVE−000−002」の対策がホスト「H_1」に未実施という属性が記載されている。
図14に示すユーザ「USER1」の構成情報58は、種類59、権限60によって構成される。
構成情報58では、ユーザ「USER1」の権限60が「一般」であるという属性が記載されている。
図15の構成情報61では、束縛値(例えばファイル名62、ホスト名63、ユーザ名64)ごとにシステム構成要素300の属性(例えば、ネットワークグループ65、閲覧許可66)が定義されている。
システム管理者がネットワーク構成などをもとに手動でシステム構成要素300の属性を入力してもよいし、ツールを用いて自動的にシステム構成要素300の属性を収集し、構成情報61を生成するようにしてもよい。
また、図16の構成情報67では、ホスト69ごとに、脆弱性情報68に対する対策の実施有無が定義されている。
なお、図16に記載されているCVEは、Common Vulnerabilities and Exposuresの意味である。
図16の構成情報67では、ホスト「H_1」に脆弱性情報CVE−000−001に対する対策が実施されていることが「Y」で表現されている。
一方で、ホスト「H_1」に脆弱性情報CVE−000−002に対する対策が実施されていないことが「N」で表現されている。
このように、構成情報61及び構成情報67には、システム構成要素300の属性が定義されている。
構成情報61を蓄積する構成情報データベース、構成情報67を蓄積する構成情報データベースのように、複数のデータベースが存在してもよい。
そして、監視イベント判定部46は、判定結果を判定結果処理部48へ出力する。
除外ルール一覧71にはID72ごとに、除外ルール73が記載されている。
図17の除外ルール一覧71では、除外ルール73は文章で表記されているが、構成情報と比較することができるルールであれば、形式はどのようなものでもよい。
例えば、除外ルール73が述語論理で記述されていてもよい。
判定結果処理部48は、監視イベント判定部46により監視が不要と判定された候補イベントを除外する処理を行う。
また、判定結果処理部48は、監視イベント判定部46により監視対象と判定された候補イベント定義情報を、監視イベント定義情報として監視イベント記憶部11に出力する。
次に、実施の形態2に係る攻撃イベント予測装置43の動作を、図18を参照して説明する。
図18は、実施の形態2に係る攻撃イベント予測装置43の全体の処理の流れを示すフローチャートである。
つまり、監視イベント判定情報生成部44は、候補システム構成要素の属性が示される構成情報を取得して、候補システム構成要素の属性を判定する。
次に、監視イベント判定情報生成部44は、構成情報データベース45から取得した構成情報を監視イベント判定部46に出力する。
前述したように、監視イベント判定部46は、候補システム構成要素の属性が除外ルールに定義されているシステム構成要素の属性と一致する場合に、候補イベントを監視不要と判定する。
一方、候補システム構成要素の属性が除外ルールに定義されているシステム構成要素の属性と一致しない場合は、監視イベント判定部46は、候補イベントを監視対象と判定する。
監視イベント判定部46は、判定結果を判定結果処理部48に出力する。
また、判定結果処理部48は、監視イベント判定部46で監視対象と判定された候補イベント定義情報を監視イベント定義情報として監視イベント記憶部11に出力する。
以下、構成情報を用いて、監視が不要な候補イベントを判定する処理の詳細を説明する。
監視不要の候補イベントを判定するための機能は、監視イベント判定情報生成部44、構成情報データベース45、監視イベント判定部46、除外ルールデータベース47、判定結果処理部48によって構成される。
また、監視イベント判定情報生成部44は、束縛済み変数抽出部74、構成情報取得部75によって構成される。
束縛済み変数抽出部74は、入力された候補イベント定義情報から、束縛済み変数情報の束縛値を抽出する。
構成情報取得部75は、束縛済み変数抽出部74が抽出した束縛値を入力として、束縛値に関する構成情報を構成情報データベース45から取得し、取得した構成情報を監視イベント判定部46に出力する。
図10の候補イベント定義情報39が監視イベント判定情報生成部44に入力された場合を想定する。
束縛済み変数抽出部74は、候補イベント定義情報39から束縛値「USER1」、「H_1」、「File1」を抽出する。
つまり、構成情報取得部75は、束縛値「USER1」、「H_1」、「File1」を構成情報データベース45に入力する。
例えば、構成情報取得部75は、図12の構成情報49、図13の構成情報53、図14の構成情報58を取得する。
例えば、図12の構成情報49、図13の構成情報53、図14の構成情報58に対して、監視イベント判定部46は、図17の除外ルール一覧71を取得する。
図12の構成情報49では、File1の閲覧許可52が「管理職以上」となっており、また、図14の構成情報58では、USER1の権限60が「一般」となっている。
このため、監視イベント判定部46は、除外ルール一覧71のうち、ID:001に対応する除外ルールである「「管理職以上の」閲覧許可の対象に対し、ユーザが必要な権限を持っていない」に該当すると判断する。
すべての候補イベントについてステップS302〜ステップS307の処理が完了していればステップS309が行われる。
いずれかの候補イベントについてステップS302〜ステップS307の処理が完了していない場合は、未処理の候補イベントについて、ステップS302〜ステップS307までの処理が行われる。
以上のように、本実施の形態では、候補イベントの束縛済み変数情報から構成情報を取得し、取得した構成情報に基づいて、あらかじめ定められた除外ルールと比較することで、監視が不要である候補イベントを特定することができる。
構成情報には、システム構成要素の属性が記述されており、また、除外ルールも、監視不要のイベントの条件がシステム構成要素の属性で記述されている。
このため、実施の形態1と同様に、イベントに比べて大幅に個数が少ないシステム構成要素の属性に基づいて、候補イベントを監視対象とするか否かを決定することができる。
このため、候補イベントを監視対象とするか否かの決定に要する演算負荷及び演算時間を軽減することができる。
また、システム管理者の負担を軽減することができる。
本実施の形態では、例えば脆弱性情報及びネットワーク情報等の更新により除外ルールが無効化された場合に、無効化された除外ルールによって監視対象外とされた候補イベントを、監視対象にする例を説明する。
以下では、主に実施の形態2との差異を説明する。
以下で説明していない事項は、実施の形態2と同じである。
本実施の形態においても、情報処理装置100の構成例は図1に示す通りである。
本実施の形態では、監視対象決定部103は、候補イベントを監視対象から除外した後に除外ルールが無効化された場合に、候補イベントを、監視対象にする。
図21は本実施の形態に係る攻撃イベント予測装置76を示す構成図である。
攻撃イベント予測装置76は、本実施の形態に係る情報処理装置100をより具体化した装置である。
攻撃イベント予測装置76は、実施の形態2の攻撃イベント予測装置43と同様に、外部から得られた検知アラート400に基づき監視対象の監視イベントを特定する。
しかし、図21では、図11と比較して、監視イベント回復処理部77と除外イベント記憶部78が追加されている。
図21において、攻撃イベント検索部2、攻撃イベントデータベース3、達成状態記憶部4、次イベント検索部5、発生可能判定部6及び監視イベント記憶部11は、実施の形態1の攻撃イベント予測装置1の攻撃イベント検索部2、攻撃イベントデータベース3、達成状態記憶部4、次イベント検索部5、発生可能判定部6及び監視イベント記憶部11と同じである。
また、構成情報データベース45、監視イベント判定部46、除外ルールデータベース47及び判定結果処理部48は、実施の形態2の攻撃イベント予測装置43の構成情報データベース45、監視イベント判定部46、除外ルールデータベース47及び判定結果処理部48と同じである。
なお、本実施の形態では、発生可能判定部6が図1に示した候補イベント導出部101に対応し、監視イベント判定情報生成部44が図1に示した属性特定部102に対応し、監視イベント判定部46、判定結果処理部48及び監視イベント回復処理部77が図1に示した監視対象決定部103に対応する。
また、監視イベント回復処理部77は、除外ルールデータベース47に対し、取得したIDに該当する除外ルールの無効化要求を行う。
また、監視イベント回復処理部77は、除外イベント記憶部78に記憶されている、監視対象から除外された候補イベントの候補イベント定義情報から、取得したIDに該当する除外ルールによって監視対象から除外された候補イベントの候補イベント定義情報を抽出する。
そして、監視イベント回復処理部77は、抽出した候補イベント定義情報を監視イベント記憶部11に格納する。
除外イベント記憶部78は、除外イベント情報テーブルを記憶している。
除外イベント情報テーブルは、除外ルールID80、事前条件81、イベント82、達成状態83、束縛済み変数情報84で構成される。
除外ルールID80は、候補イベントを監視対象から除外する判定の際に用いた除外ルールのIDである。
事前条件81、イベント82、達成状態83、束縛済み変数情報84は、候補イベント定義情報に記述されている情報である。
図22では例として、図10の候補イベントが監視対象から除外となった場合の除外イベント情報テーブルを示している。
次に、実施の形態3に係る攻撃イベント予測装置76の動作を、図23を参照して説明する。
図23は、実施の形態3に係る攻撃イベント予測装置76の全体の処理の流れを示すフローチャートである。
無効化要求を受けた除外ルールデータベース47は、該当するIDに対応する除外ルールを無効化する。
無効化された除外ルールは、監視イベント判定部46の判定には用いられない。
除外イベント記憶部78は、監視イベント回復処理部77に渡したエントリを除外イベント情報テーブルから削除する。
つまり、監視イベント回復処理部77は、ステップS403で取得したエントリに示されるイベント82の欄に示される候補イベントが、除外イベント情報テーブルの他のエントリに記載されているかどうかを確認する。
候補イベントが他の除外ルールにも該当して監視対象外とされた場合は、当該候補イベントが記載されているエントリがS403で取得されたエントリの他に存在する。
他のエントリが存在しない場合は、監視イベント回復処理部77は、S407の処理を行う。
他のエントリが存在する場合、監視イベント回復処理部77は、S406の処理を行う。
未確認の候補イベントがある場合は、監視イベント回復処理部77は、未確認の候補イベントに対して、ステップS404以降の処理を繰り返す。
全ての候補イベントに対する確認が完了すると、監視イベント回復処理部77は、候補イベントを監視イベントとして監視イベント記憶部11に出力する。
以上のように、本実施の形態では、一度監視対象外とした候補イベントを新たに監視対象として指定するため、脆弱性情報やネットワーク情報などが更新された結果、監視対象外とした候補イベントの監視が必要となった場合などに柔軟に対応することができる。
実施の形態1〜3では、監視対象として選択された候補イベント定義情報のみを監視イベント記憶部11に格納する例を説明した。
本実施の形態では、全ての監視イベント定義情報を監視イベント記憶部11に格納し、情報システム200に対する攻撃の進展状態に応じて、監視イベント記憶部11に格納されている監視イベント定義情報を監視対象から除外する例を説明する。
以下では、主に実施の形態1との差異を説明する。
以下で説明していない事項は、実施の形態1と同じである。
図24は、本実施の形態に係る情報処理装置150と情報システム200の構成例を示す。
情報システム200は、図1に示したものと同様であり、複数のシステム構成要素300が含まれる。
なお、情報システム200及びシステム構成要素300の説明は省略する。
より具体的には、候補イベント導出部151は、情報システム200への攻撃の兆候となる攻撃兆候イベントが発生した際に、攻撃兆候イベントの次に情報システム200で発生することが予測されるイベントを、候補イベントとして導出する。
また、候補イベント導出部151は、候補イベントが発生した場合の情報システム200への攻撃の進展状態である候補進展状態を導出する。
また、候補イベント導出部151は、複数のシステム構成要素300のうち候補イベントの発生に関与するシステム構成要素を候補システム構成要素として導出する。
また、情報記憶部152は、候補システム構成要素が示される候補システム構成要素情報1523を記憶する。
候補イベント情報1521は、具体的には、図10に示す符号1521の一点鎖線で囲まれた範囲の情報である。
候補進展状態情報1522は、具体的には、図10に示す符号1522の一点鎖線で囲まれた範囲の情報である。
候補システム構成要素情報1523は、具体的には、図10に示す符号1523の一点鎖線で囲まれた範囲の情報である。
より具体的には、進展状態検知部153は、情報システム200への攻撃の進展状態を、複数のシステム構成要素300のうちのいずれかのシステム構成要素300と対応付けて検知する。
より具体的には、候補進展状態情報1522に示される候補進展状態が、判定タイミングまでに進展状態検知部153により検知された検知進展状態と一致するか否か、及び、候補システム構成要素情報1523に示される候補システム構成要素が、判定タイミングまでに進展状態検知部153により検知された検知システム構成要素と一致するか否かを判定し、候補進展状態と検知進展状態とが一致し、候補システム構成要素と検知システム構成要素とが一致する場合に、情報記憶部152から候補イベント情報1521と候補進展状態情報1522と候補システム構成要素情報1523とを削除する。
次に、情報処理装置150の動作例を説明する。
図25は、情報処理装置150の動作例を示すフローチャート図である。
本実施の形態では、候補イベントを監視対象とするか否かの判定が行われずに、候補イベント情報1521等が情報記憶部152に格納され、現在の攻撃の進展状態から、既に監視が不要となった候補システムの候補イベント情報1521等が情報記憶部152から削除される。
候補イベント導出部101は、例えば、情報システム200内のセキュリティ機器から攻撃兆候イベントを通知された場合に、攻撃兆候イベントの次に発生することが予測されるイベントを、候補イベントとして導出する。
候補イベントの導出方法は、例えば、実施の形態1で示したとおりである。
S21を、候補イベント導出処理という。
候補進展状態は、S21で導出された候補イベントの達成状態である。
また、候補イベント導出部151は、複数のシステム構成要素300のうち候補イベントの発生に関与するシステム構成要素を候補システム構成要素として導出する。
また、情報記憶部152は、候補システム構成要素が示される候補システム構成要素情報1523を記憶する。
S23を、情報記憶処理という。
より具体的には、進展状態検知部153は、情報システム200への攻撃の進展状態を、複数のシステム構成要素300のうちのいずれかのシステム構成要素300と対応付けて検知する。
進展状態検知部153は、例えば、実施の形態1で説明した検知アラート400を受信し、検知アラート400を解析することで、情報システム200への攻撃の進展状態を検知する。
S24を、進展状態検知処理という。
S24の処理は、周期的または非周期に繰り返し行われる。
S25を、情報管理処理という。
図26は、本実施の形態に係る攻撃イベント予測装置85の構成例を示す。
攻撃イベント予測装置85は、図24に示す情報処理装置150をより具体化した装置である。
攻撃イベント予測装置85は、他の実施の形態の攻撃イベント予測装置と同様に、外部から得られた検知アラート400に基づき監視対象の監視イベントを特定する。
図26において、攻撃イベント検索部2、攻撃イベントデータベース3、達成状態記憶部4、次イベント検索部5、発生可能判定部6及び監視イベント記憶部11は、実施の形態1の攻撃イベント検索部2、攻撃イベントデータベース3、達成状態記憶部4、次イベント検索部5、発生可能判定部6及び監視イベント記憶部11と同じである。
監視イベント判定情報生成部86は、監視イベント記憶部11に記憶されている候補イベント定義情報をすべて取得し、また、達成状態記憶部4に記憶されている達成状態情報をすべて取得し、取得した候補イベント定義情報及び達成状態情報を監視イベント判定部87に出力する。
述語論理と束縛値との組合せに合致する達成状態が達成状態情報に存在する場合に、監視イベント判定部87は、該当する候補イベントの監視は不要であると判定する。
また、監視イベント判定情報生成部86、監視イベント判定部87及び判定結果処理部88が図24で示した情報管理部154に対応する。
次に、実施の形態4に係る攻撃イベント予測装置85の動作例を、図27を参照して説明する。
図27は、実施の形態4に係る攻撃イベント予測装置85の処理の流れを示すフローチャートである。
監視イベント記憶部11で記憶されている候補イベント定義情報を監視イベント定義情報という。
すなわち、本実施の形態では、実施の形態2で説明したように、除外ルールを用いて監視対象の候補イベントと監視対象外の候補イベントとの選別は行わない。
しかしながら、除外ルールを用いて監視対象の候補イベントと監視対象外の候補イベントとを選別するようにしても構わない。
また、監視イベント判定情報生成部86は、達成状態記憶部4から現在記憶されている達成状態情報をすべて取得する。
また、監視イベント判定情報生成部86は、取得した監視イベント定義情報及び達成状態情報を監視イベント判定部87に出力する。
達成状態の述語論理と束縛値との組合せに合致する達成状態が達成状態情報に存在する場合は、監視イベント判定部87は、S507の処理を行う。
達成状態の述語論理と束縛値との組合せに合致する達成状態が達成状態情報に存在しない場合は、監視イベント判定部87は、S508の処理を行う。
つまり、情報システム200に対する攻撃が進展した結果、監視イベントの達成状態が既に情報システム200において達成されているため、もはや、この監視イベントの監視を続ける必要がないため、監視イベント判定部87は、この監視イベントの監視を不要と判定する。
図28は、監視イベント判定情報生成部86が監視イベント記憶部11から取得した監視イベント定義情報89を示す。
また、図29は、監視イベント判定情報生成部86が取得した達成状態情報90を示す。
監視イベント定義情報89の達成状態91の述語論理「hasSecret(A、H)」と束縛済み変数情報93内の変数「A」及び変数「H」に関する束縛値94の値「USER1」、「H_1」との組合せは、達成状態情報90内にある述語論理95「hasSecret(“USER1”,“H_1”)に一致する。
したがって、監視イベント判定部87は、監視イベント定義情報89の[イベント]の欄で特定される監視イベントの監視を不要と判定する。
すべての監視イベント定義情報に対してS505〜S507の処理が実施された場合は、S509の処理を行う。
一つ以上の監視イベント定義情報に対してS505〜S507の処理が実施されていない場合は、監視イベント判定部87は、処理が実施されていない監視イベント定義情報に対しS505〜S507の処理を実施する。
以上のように、本実施の形態では、既に達成された状態と監視イベントにより達成される状態とを比較することで、ある攻撃によって既に達成された状態の前段階にあたる監視イベントを監視対象から除外することができ、イベント監視のためのリソースを効率的に活用することができる。
本実施の形態では、各種データベースを管理するための管理ツールを説明する。
図30に示すように、本実施の形態に係るデータベース管理ツール900は、編集画面950をユーザに提示し、ユーザからの指示を受け付けて、データベースに含まれる項目の編集を行う。
本実施の形態に係るデータベース管理ツール900は、実施の形態1の攻撃イベント予測装置1、実施の形態2の攻撃イベント予測装置43、実施の形態3の攻撃イベント予測装置76、実施の形態4の攻撃イベント予測装置85のいずれに実装されてもよい。
データベース管理ツールは、実施の形態1〜4に用いられる各種データベース(例えば、攻撃イベントデータベースなど)の内容の追加、削除、変更を行う。
データベース管理ツール900は、ルール編集ツールの例に相当する。
編集領域970は、ユーザが選択したデータベースの項目の詳細を表示し、編集内容の指示を受け付ける。
編集対象表示領域980は、編集対象選択領域960においてユーザが選択したデータベースを表示し、また、表示したデータベース内の項目をユーザが選択可能にする。
編集内容決定領域990は、ユーザが選択したデータベースに対する、内容の追加や変更、削除などの編集種別の指示を受け付ける。
次に、実施の形態5に係るデータベース管理ツール900の動作例を、図31を参照して説明する。
図31は、実施の形態5に係るデータベース管理ツール900の処理の流れを示すフローチャートである。
ユーザが編集を終了する場合は、処理は終了する。
ユーザが編集を行う場合は、S602の処理が行われる。
データベースに新たに項目の追加を行う(新規作成)場合は、S605の処理が行われる。
データベースの項目の変更またはデータベースの項目の削除の場合は、S608の処理が行われる。
ユーザは、編集領域970において当該項目を編集する。
変更の場合は、S606の処理が行われる。
削除の場合は、S610の処理が行われる。
その後、S601の処理が行われる。
図32は、攻撃イベント定義情報の編集のための編集画面951を示す。
図33は、除外ルールの編集のための編集画面952を示す。
図32は攻撃イベント定義情報を選択した状態の編集画面951の例を表している。
編集対象表示領域981には攻撃イベント定義情報の内訳が表示されている。
編集対象表示領域981には、項目ごとに、攻撃イベント定義情報のIDとイベント種別が表示されている。
編集対象表示領域981に表示されている項目をユーザが選択すると、攻撃イベント定義情報の詳細な情報が編集領域971に表示される。
図32では編集内容決定領域991において攻撃イベント定義情報の新規作成を選択した状態を表している。
編集対象表示領域981に符号9811の「EV003」が追加され、「EV003」が選択された状態となっている。
編集領域971には、編集対象表示領域981で選択された符号9811の「EV003」に関する編集画面が表示されている。
攻撃イベント定義情報のID9711に「EV003」が表示されており、他の欄は空欄となっている。
編集対象表示領域982には除外ルールの内訳が表示されている。
編集対象表示領域982には、項目ごとに、除外ルールのIDと除外ルール名称が表示されている。
編集対象表示領域982に表示されている項目をユーザが選択すると、除外ルールの詳細な情報が編集領域972に表示される。
図33では編集対象表示領域982において除外ルールの新規作成を選択した状態を表している。
編集対象表示領域982に符号9821の「RU003」が追加され、「RU003」が選択された状態となっている。
編集領域972には、編集対象表示領域982で選択された符号9821の「RU003」に関する編集画面が表示されている。
攻撃イベント定義情報のID9721に「RU003」が表示されており、他の欄は空欄となっている。
ルール名称9722では、除外ルールを表す名称が指定される。
ユーザは除外ルールの名称を任意に指定することができる。
ルールチェック対象9723では、除外ルールによる判定の対象となるイベントが指定される。
除外判定条件9724では、イベントを監視対象から除外するための条件が指定される。
以上のように、本実施の形態によれば、ユーザは実施の形態1から実施の形態4に係るデータベースの編集を容易にできる。
あるいは、これらの実施の形態のうち、1つを部分的に実施しても構わない。
あるいは、これらの実施の形態のうち、2つ以上を部分的に組み合わせて実施しても構わない。
なお、本発明は、これらの実施の形態に限定されるものではなく、必要に応じて種々の変更が可能である。
情報処理装置100等はコンピュータであり、情報処理装置100等の各要素をプログラムで実現することができる。
情報処理装置100等のハードウェア構成としては、バスに、演算装置901、外部記憶装置902、主記憶装置903、通信装置904、入出力装置905が接続されている。
外部記憶装置902は、例えばROM(Read Only Memory)やフラッシュメモリ、ハードディスク装置である。
主記憶装置903は、RAM(Random Access Memory)である。
通信装置904は、例えばNIC(Network Interface Card)である。
入出力装置905は、例えばマウス、キーボード、ディスプレイ装置等である。
プログラムは、図1に示す「〜部」(「〜記憶部」を除く、以下も同様)として説明している機能を実現するプログラムである。
更に、外部記憶装置902にはオペレーティングシステム(OS)も記憶されており、OSの少なくとも一部が主記憶装置903にロードされ、演算装置901はOSを実行しながら、図1に示す「〜部」の機能を実現するプログラムを実行する。
また、実施の形態1〜5の説明において、「判断する」、「判定する」、「決定する」、「特定する」、「解析する」、「取得する」、「導出する」、「抽出する」、「検知する」、「設定する」、「確認する」、「選択する」、「生成する」、「入力する」、「出力する」等として説明している処理の結果を示す情報やデータや信号値や変数値が主記憶装置903にファイルとして記憶されている。
Claims (14)
- 複数のシステム構成要素が含まれる情報システムで発生することが予測されるイベントであって、監視対象の候補となるイベントを候補イベントとして導出する候補イベント導出部と、
前記複数のシステム構成要素のうち前記候補イベントの発生に関与するシステム構成要素を候補システム構成要素として導出し、前記候補システム構成要素の属性を特定する属性特定部と、
監視対象から除外されるイベントの条件がシステム構成要素の属性で定義されている除外ルールを取得し、前記属性特定部により特定された前記候補システム構成要素の属性と前記除外ルールに定義されているシステム構成要素の属性とを比較して、前記候補イベントを監視対象とするか否かを決定する監視対象決定部とを有する情報処理装置。 - 前記候補イベント導出部は、
前記情報システムへの攻撃がある場合に前記情報システムで発生することが予測されるイベントを、前記候補イベントとして導出する請求項1に記載の情報処理装置。 - 前記候補イベント導出部は、
前記情報システムへの攻撃の兆候となる攻撃兆候イベントが発生した際に、前記攻撃兆候イベントの次に前記情報システムで発生することが予測されるイベントを、前記候補イベントとして導出する請求項2に記載の情報処理装置。 - 前記監視対象決定部は、
前記候補システム構成要素の属性が前記除外ルールに定義されているシステム構成要素の属性と一致する場合に、前記候補イベントを監視対象から除外する請求項1に記載の情報処理装置。 - 前記監視対象決定部は、
前記候補システム構成要素の属性が前記除外ルールに定義されているシステム構成要素の属性と一致しない場合に、前記候補イベントを監視対象にする請求項1に記載の情報処理装置。 - 前記監視対象決定部は、
前記候補イベントを監視対象から除外した後に前記除外ルールが無効化された場合に、
前記候補イベントを、監視対象にする請求項4に記載の情報処理装置。 - 前記情報処理装置は、更に、
前記除外ルールの編集を行うルール編集ツールを有する請求項4に記載の情報処理装置。 - 情報システムへの攻撃がある場合に前記情報システムで発生することが予測されるイベントを候補イベントとして導出し、前記候補イベントが発生した場合の前記情報システムへの攻撃の進展状態である候補進展状態を導出する候補イベント導出部と、
前記候補イベントの内容が示される候補イベント定義情報と、前記候補進展状態が示される候補進展状態情報を記憶する情報記憶部と、
前記情報システムへの攻撃の進展状態を検知する進展状態検知部と、
判定タイミングが到来した際に、前記候補進展状態情報に示される前記候補進展状態が、前記判定タイミングまでに前記進展状態検知部により検知された検知進展状態と一致するか否かを判定し、前記候補進展状態と前記検知進展状態とが一致する場合に、前記情報記憶部から前記候補イベント定義情報と前記候補進展状態情報とを削除する情報管理部とを有する情報処理装置。 - 前記候補イベント導出部は、
前記情報システムへの攻撃の兆候となる攻撃兆候イベントが発生した際に、前記攻撃兆候イベントの次に前記情報システムで発生することが予測されるイベントを、前記候補イベントとして導出する請求項8に記載の情報処理装置。 - 前記候補イベント導出部は、
複数のシステム構成要素が含まれる前記情報システムへの攻撃がある場合に前記情報システムで発生することが予測されるイベントを候補イベントとして導出し、
前記複数のシステム構成要素のうち前記候補イベントの発生に関与するシステム構成要素を候補システム構成要素として導出し、
前記情報記憶部は、
前記候補システム構成要素が示される候補システム構成要素情報を記憶し、
前記進展状態検知部は、
前記情報システムへの攻撃の進展状態を、前記複数のシステム構成要素のうちのいずれかのシステム構成要素と対応付けて検知し、
前記情報管理部は、
判定タイミングが到来した際に、前記候補進展状態情報に示される前記候補進展状態が、前記判定タイミングまでに前記進展状態検知部により検知された検知進展状態と一致するか否か、及び、前記候補システム構成要素情報に示される前記候補システム構成要素が、前記判定タイミングまでに前記進展状態検知部により検知された検知システム構成要素と一致するか否かを判定し、前記候補進展状態と前記検知進展状態とが一致し、前記候補システム構成要素と前記検知システム構成要素とが一致する場合に、前記情報記憶部から前記候補イベント定義情報と前記候補進展状態情報と前記候補システム構成要素情報とを削除する請求項9に記載の情報処理装置。 - コンピュータが、複数のシステム構成要素が含まれる情報システムで発生することが予測されるイベントであって、監視対象の候補となるイベントを候補イベントとして導出し、
前記コンピュータが、前記複数のシステム構成要素のうち前記候補イベントの発生に関与するシステム構成要素を候補システム構成要素として導出し、前記候補システム構成要素の属性を特定し、
前記コンピュータが、監視対象から除外されるイベントの条件がシステム構成要素の属性で定義されている除外ルールを取得し、特定された前記候補システム構成要素の属性と前記除外ルールに定義されているシステム構成要素の属性とを比較して、前記候補イベントを監視対象とするか否かを決定する情報処理方法。 - コンピュータが、情報システムへの攻撃がある場合に前記情報システムで発生することが予測されるイベントを候補イベントとして導出し、前記候補イベントが発生した場合の前記情報システムへの攻撃の進展状態である候補進展状態を導出し、
前記コンピュータが、前記候補イベントの内容が示される候補イベント定義情報と、前記候補進展状態が示される候補進展状態情報を記憶装置に記憶させ、
前記コンピュータが、前記情報システムへの攻撃の進展状態を検知し、
前記コンピュータが、判定タイミングが到来した際に、前記候補進展状態情報に示される前記候補進展状態が、前記判定タイミングまでに検知された検知進展状態と一致するか否かを判定し、前記候補進展状態と前記検知進展状態とが一致する場合に、前記記憶装置から前記候補イベント定義情報と前記候補進展状態情報とを削除する情報処理方法。 - 複数のシステム構成要素が含まれる情報システムで発生することが予測されるイベントであって、監視対象の候補となるイベントを候補イベントとして導出する候補イベント導出処理と、
前記複数のシステム構成要素のうち前記候補イベントの発生に関与するシステム構成要素を候補システム構成要素として導出し、前記候補システム構成要素の属性を特定する属性特定処理と、
監視対象から除外されるイベントの条件がシステム構成要素の属性で定義されている除外ルールを取得し、前記属性特定処理により特定された前記候補システム構成要素の属性と前記除外ルールに定義されているシステム構成要素の属性とを比較して、前記候補イベントを監視対象とするか否かを決定する監視対象決定処理とをコンピュータに実行させるプログラム。 - 情報システムへの攻撃がある場合に前記情報システムで発生することが予測されるイベントを候補イベントとして導出し、前記候補イベントが発生した場合の前記情報システムへの攻撃の進展状態である候補進展状態を導出する候補イベント導出処理と、
前記候補イベントの内容が示される候補イベント定義情報と、前記候補進展状態が示される候補進展状態情報を記憶装置に記憶させる情報記憶処理と、
前記情報システムへの攻撃の進展状態を検知する進展状態検知処理と、
判定タイミングが到来した際に、前記候補進展状態情報に示される前記候補進展状態が、前記判定タイミングまでに前記進展状態検知処理により検知された検知進展状態と一致するか否かを判定し、前記候補進展状態と前記検知進展状態とが一致する場合に、前記記憶装置から前記候補イベント定義情報と前記候補進展状態情報とを削除する情報管理処理とをコンピュータに実行させるプログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2014/080252 WO2016075825A1 (ja) | 2014-11-14 | 2014-11-14 | 情報処理装置及び情報処理方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP6058246B2 true JP6058246B2 (ja) | 2017-01-11 |
JPWO2016075825A1 JPWO2016075825A1 (ja) | 2017-04-27 |
Family
ID=55953938
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016558425A Active JP6058246B2 (ja) | 2014-11-14 | 2014-11-14 | 情報処理装置及び情報処理方法及びプログラム |
Country Status (4)
Country | Link |
---|---|
US (1) | US20170277887A1 (ja) |
JP (1) | JP6058246B2 (ja) |
CN (1) | CN107077563A (ja) |
WO (1) | WO2016075825A1 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11809550B2 (en) | 2018-11-19 | 2023-11-07 | Samsung Electronics Co., Ltd. | Electronic device and control method therefor |
US11899788B2 (en) | 2018-12-27 | 2024-02-13 | Mitsubishi Electric Corporation | Attack tree generation device, attack tree generation method, and computer readable medium |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10515062B2 (en) * | 2016-05-09 | 2019-12-24 | Sumo Logic, Inc. | Searchable investigation history for event data store |
TWI627859B (zh) * | 2017-04-21 | 2018-06-21 | 晨星半導體股份有限公司 | 應用於多媒體裝置的解碼電路及相關的解碼方法 |
JP7125317B2 (ja) * | 2018-09-28 | 2022-08-24 | アズビル株式会社 | 不正アクセス監視装置および方法 |
FR3104761A1 (fr) * | 2019-12-12 | 2021-06-18 | Orange | Procédé de surveillance de données transitant par un équipement utilisateur |
WO2023195307A1 (ja) * | 2022-04-08 | 2023-10-12 | 三菱電機株式会社 | 解析支援装置、解析支援プログラム、および、解析支援方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0512065A (ja) * | 1991-06-21 | 1993-01-22 | Hitachi Ltd | プログラム実行状況監視方法 |
JP2005202664A (ja) * | 2004-01-15 | 2005-07-28 | Mitsubishi Electric Corp | 不正アクセス統合対応システム |
JP2006053788A (ja) * | 2004-08-12 | 2006-02-23 | Ntt Docomo Inc | ソフトウェア動作監視装置及びソフトウェア動作監視方法 |
JP2008083751A (ja) * | 2006-09-25 | 2008-04-10 | Hitachi Information Systems Ltd | 不正アクセス対応ネットワークシステム |
JP2009123052A (ja) * | 2007-11-16 | 2009-06-04 | Kddi Corp | ポリシ生成システム、プログラム、および記録媒体 |
JP2012168686A (ja) * | 2011-02-14 | 2012-09-06 | Internatl Business Mach Corp <Ibm> | 異常検知装置、監視制御システム、異常検知方法、プログラムおよび記録媒体 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6681331B1 (en) * | 1999-05-11 | 2004-01-20 | Cylant, Inc. | Dynamic software system intrusion detection |
WO2008098321A1 (en) * | 2007-02-15 | 2008-08-21 | Security Agency Sigma Jsc | Mobile system and method for remote control and viewing |
US8751629B2 (en) * | 2008-06-18 | 2014-06-10 | Camber Defense Security And Systems Solutions, Inc. | Systems and methods for automated building of a simulated network environment |
US9130850B2 (en) * | 2012-07-20 | 2015-09-08 | Hitachi, Ltd. | Monitoring system and monitoring program with detection probability judgment for condition event |
CN105683987B (zh) * | 2013-10-24 | 2018-11-16 | 三菱电机株式会社 | 信息处理装置和信息处理方法 |
JP6000495B2 (ja) * | 2014-02-26 | 2016-09-28 | 三菱電機株式会社 | 攻撃検知装置、攻撃検知方法、及び攻撃検知プログラム |
-
2014
- 2014-11-14 CN CN201480083332.9A patent/CN107077563A/zh active Pending
- 2014-11-14 WO PCT/JP2014/080252 patent/WO2016075825A1/ja active Application Filing
- 2014-11-14 US US15/506,674 patent/US20170277887A1/en not_active Abandoned
- 2014-11-14 JP JP2016558425A patent/JP6058246B2/ja active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0512065A (ja) * | 1991-06-21 | 1993-01-22 | Hitachi Ltd | プログラム実行状況監視方法 |
JP2005202664A (ja) * | 2004-01-15 | 2005-07-28 | Mitsubishi Electric Corp | 不正アクセス統合対応システム |
JP2006053788A (ja) * | 2004-08-12 | 2006-02-23 | Ntt Docomo Inc | ソフトウェア動作監視装置及びソフトウェア動作監視方法 |
JP2008083751A (ja) * | 2006-09-25 | 2008-04-10 | Hitachi Information Systems Ltd | 不正アクセス対応ネットワークシステム |
JP2009123052A (ja) * | 2007-11-16 | 2009-06-04 | Kddi Corp | ポリシ生成システム、プログラム、および記録媒体 |
JP2012168686A (ja) * | 2011-02-14 | 2012-09-06 | Internatl Business Mach Corp <Ibm> | 異常検知装置、監視制御システム、異常検知方法、プログラムおよび記録媒体 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11809550B2 (en) | 2018-11-19 | 2023-11-07 | Samsung Electronics Co., Ltd. | Electronic device and control method therefor |
US11899788B2 (en) | 2018-12-27 | 2024-02-13 | Mitsubishi Electric Corporation | Attack tree generation device, attack tree generation method, and computer readable medium |
Also Published As
Publication number | Publication date |
---|---|
JPWO2016075825A1 (ja) | 2017-04-27 |
CN107077563A (zh) | 2017-08-18 |
WO2016075825A1 (ja) | 2016-05-19 |
US20170277887A1 (en) | 2017-09-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6058246B2 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
JP6239215B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
US11089046B2 (en) | Systems and methods for identifying and mapping sensitive data on an enterprise | |
US11444786B2 (en) | Systems and methods for digital certificate security | |
US9300682B2 (en) | Composite analysis of executable content across enterprise network | |
US9853994B2 (en) | Attack analysis system, cooperation apparatus, attack analysis cooperation method, and program | |
KR102079687B1 (ko) | 공격 그래프 기반의 사이버 위협 예측 시스템 및 그 방법 | |
CN111931173A (zh) | 一种基于apt攻击意图的操作权限控制方法 | |
JP2018005818A (ja) | 異常検知システム及び異常検知方法 | |
JP2016152594A (ja) | ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム | |
JP6523582B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
JP2016146114A (ja) | ブラックリストの管理方法 | |
WO2016121348A1 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体 | |
CN111183620B (zh) | 入侵调查 | |
CN115766258B (zh) | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 | |
WO2019193958A1 (ja) | 情報処理装置及び情報処理方法 | |
CN116451215A (zh) | 关联分析方法及相关设备 | |
WO2023163820A1 (en) | Graph-based analysis of security incidents | |
CN114900375A (zh) | 一种基于ai图分析的恶意威胁侦测方法 | |
CN114826727A (zh) | 流量数据采集方法、装置、计算机设备、存储介质 | |
CN113872959A (zh) | 一种风险资产等级判定和动态降级方法和装置及设备 | |
CN114528552A (zh) | 基于漏洞的安全事件关联方法及相关设备 | |
JP6258189B2 (ja) | 特定装置、特定方法および特定プログラム | |
CN110489611B (zh) | 一种智能的线索分析方法及系统 | |
KR101934381B1 (ko) | 해킹툴 탐지 방법 및 이를 수행하는 사용자 단말 및 서버 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160921 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160921 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20160921 |
|
TRDD | Decision of grant or rejection written | ||
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20161102 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161108 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161206 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6058246 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |