JP6285390B2 - サイバー攻撃分析装置及びサイバー攻撃分析方法 - Google Patents
サイバー攻撃分析装置及びサイバー攻撃分析方法 Download PDFInfo
- Publication number
- JP6285390B2 JP6285390B2 JP2015087821A JP2015087821A JP6285390B2 JP 6285390 B2 JP6285390 B2 JP 6285390B2 JP 2015087821 A JP2015087821 A JP 2015087821A JP 2015087821 A JP2015087821 A JP 2015087821A JP 6285390 B2 JP6285390 B2 JP 6285390B2
- Authority
- JP
- Japan
- Prior art keywords
- graph
- suspicious activity
- terminal
- suspicious
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
図1は本実施の形態にかかるサイバー攻撃分析システムの構成を示すブロック図である。図1に示すように、サイバー攻撃分析システムは、サイバー攻撃分析装置10、不審活動検知装置A20a、不審活動検知装置B20b、不審活動検知装置C20c、検索クライアント30a、動向予測クライアント30b、通信ネットワーク40a及び通信ネットワーク40bから構成される。
図2は、サイバー攻撃分析装置10のハードウェア構成を示している。なお、不審活動検知装置20や検索クライアント30a、動向予測クライアント30bのハードウェア構成もサイバー攻撃分析装置10のハードウェア構成と同様である。
図3に、不審活動グラフの概念図を示す。図3の不審活動グラフは、あるネットワーク内で行われた標的型攻撃・マルウェア感染の流れを表現する。図3に示す不審活動グラフは、ノード(N−1、N−2、N−3及びN−4)と、ノード間を繋ぐエッジ(E−1、E−2及びE−3)により構成される。
図4A及び図4Bを参照して、不審活動グラフDB100について説明する。不審活動グラフDB100は、各不審活動検知装置から収集した不審活動グラフを保管するデータベースである。
次に、図8〜図11を参照して、サイバー攻撃分析処理の詳細について説明する。以下説明するように、図8に示すように、正規化グラフ構築部500により不審活動検知装置20から受信した不審活動グラフが不審活動グラフDB100に保管され、正規化される。続いて、図9に示すように、情報正規化機能部600により、ポリシーDB200及び振舞いルールDB300を用いて、不審活動グラフの固有名称が一般名称に変換される。そして、図10に示すように、グラフ検索部700により、検索クライアント30aから受け付けた類似グラフの検索リクエストに対して、類似グラフに関する情報が返信される。さらに、動向予測部800により、動向予測クライアント30bからの、不審活動グラフの今後の動向予測のリクエストに対して、予測結果を返信する。
(条件2)検索対象グラフの正規化グラフには無いノード及びエッジを分組んでいるものである。
上記実施の形態によれば、サイバー攻撃分析装置10は、標的型攻撃やマルウェアの活動を検知する不審活動検知装置20から送信された、標的型攻撃やマルウェアの活動内容を表現する構造である複数の不審活動グラフを不審活動グラフDB100に記憶して、検索クライアント30aの要求に応じて、複数の不審活動グラフの類似度を算出し、前記複数の不審活動グラフの類似度の算出結果を検索クライアント30aに表示させる。これにより、検知結果間の比較や今後の攻撃動向の分析を行って、標的型攻撃及びマルウェアの活動の分析、及び、今後の攻撃の動向を予測することができる。
20a 不審活動検知装置A
20b 不審活動検知装置B
20c 不審活動検知装置C
30a 検索クライアント
30b 動向予測クライアント
40a 通信ネットワーク
40b 通信ネットワーク
100 不審活動グラフDB
200 ポリシーDB
300 振舞いルールDB
400 正規化グラフDB
500 正規化グラフ構築部
600 情報正規化機能部
700 グラフ検索部
800 動向予測部
Claims (11)
- 標的型攻撃やマルウェアの活動を検知する検知装置と接続されたサイバー攻撃分析装置であって、
前記検知装置から送信された、標的型攻撃やマルウェアの活動内容を表現する構造である複数の不審活動グラフを記憶する記憶部と、
クライアント端末の要求に応じて前記複数の不審活動グラフの類似度を算出する制御部と、
前記複数の不審活動グラフの類似度の算出結果を前記クライアント端末に表示させる出力部と、
を備えることを特徴とする、サイバー攻撃分析装置。 - 前記不審活動グラフは、標的型攻撃やマルウェアが侵入した端末をノード、侵入経路をエッジ、前記端末内での活動記録をラベルとするグラフ構造である
ことを特徴とする、請求項1に記載のサイバー攻撃分析装置。 - 前記制御部は、
前記不審活動グラフのノード、グラフ、ラベルの各要素に固有の記述である正規化前識別子を、予め定義された抽象的または一般的な記述である正規化後識別子に変換して正規化グラフを構築し、構築した前記正規化グラフ間のグラフ構造の類似度を算出する
ことを特徴とする、請求項2に記載のサイバー攻撃分析装置。 - 前記制御部は、
前記正規化前識別子から前記正規化後識別子への変換に際して、両識別子の対応情報を有することを特徴とする、請求項3に記載のサイバー攻撃分析装置。 - 前記記憶部には、前記不審活動グラフを正規化するための情報が記憶されており、
前記制御部は、
前記不審活動グラフを正規化するための情報をもとに、前記不審活動グラフの前記ラベルの情報に含まれる実行ファイルの挙動情報や通信情報に対応する前記正規化後識別子を選択する
ことを特徴とする、請求項4に記載のサイバー攻撃分析装置。 - 前記制御部は、
前記不審活動グラフのグラフ構造について、任意のルールに基づいて重複ノードやエッジを削除する変形処理を行う
ことを特徴とする、請求項5に記載のサイバー攻撃分析装置。 - 前記制御部は、
任意の不審活動グラフに類似する他の不審活動グラフの形状をもとに、任意の不審活動グラフの今後の形状変化を予測する
ことを特徴とする、請求項1に記載のサイバー攻撃分析装置。 - 前記制御部は、
予測対象の不審活動グラフに類似し、かつ、予測対象には含まれない要素を有する不審活動グラフであるスーパーグラフを特定し、前記スーパーグラフと前記予測対象の不審活動グラフの差分を、攻撃の動向予測結果として求める
ことを特徴とする、請求項7に記載のサイバー攻撃分析装置。 - 前記制御部は、
外部のクライアント端末からの類似グラフ検索要求及びグラフ動向予測要求を受け付け
前記出力部は、
類似グラフ検索結果及びグラフ動向予測結果を前記クライアント端末に出力させる
ことを特徴とする、請求項8に記載のサイバー攻撃分析装置。 - 前記サイバー攻撃分析装置は、前記クライアント端末がもつアクセス権限に応じて、前記類似グラフ検索結果及び前記グラフ動向予測結果を前記クライアント端末に出力させる際に、前記不審活動グラフの情報を表示させるかを判断する
ことを特徴とする、請求項9に記載のサイバー攻撃分析装置。 - 標的型攻撃やマルウェアの活動を検知する検知装置と接続されたサイバー攻撃分析装置におけるサイバー攻撃分析方法であって、
前記検知装置から送信された、標的型攻撃やマルウェアの活動内容を表現する構造である複数の不審活動グラフを記憶するステップと、
クライアント端末の要求に応じて前記複数の不審活動グラフの類似度を算出するステップと、
前記複数の不審活動グラフの類似度の算出結果を前記クライアント端末に表示させるステップと、
を含むことを特徴とする、サイバー攻撃分析方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015087821A JP6285390B2 (ja) | 2015-04-22 | 2015-04-22 | サイバー攻撃分析装置及びサイバー攻撃分析方法 |
PCT/JP2016/062721 WO2016171243A1 (ja) | 2015-04-22 | 2016-04-22 | サイバー攻撃分析装置及びサイバー攻撃分析方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015087821A JP6285390B2 (ja) | 2015-04-22 | 2015-04-22 | サイバー攻撃分析装置及びサイバー攻撃分析方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016206943A JP2016206943A (ja) | 2016-12-08 |
JP6285390B2 true JP6285390B2 (ja) | 2018-02-28 |
Family
ID=57144006
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015087821A Active JP6285390B2 (ja) | 2015-04-22 | 2015-04-22 | サイバー攻撃分析装置及びサイバー攻撃分析方法 |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP6285390B2 (ja) |
WO (1) | WO2016171243A1 (ja) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101780933B1 (ko) * | 2017-01-05 | 2017-09-26 | 한국인터넷진흥원 | 침해 자원 사이의 연관 관계 시각화 방법 및 그 장치 |
KR101764674B1 (ko) | 2017-01-06 | 2017-08-03 | 한국인터넷진흥원 | 침해 자원에 대한 그래프 데이터베이스 생성 방법 및 그 장치 |
KR101759535B1 (ko) | 2017-01-10 | 2017-07-19 | 한국인터넷진흥원 | 침해 사고 그래프 데이터베이스 생성 방법 및 그 장치 |
KR101959213B1 (ko) * | 2017-02-28 | 2019-03-18 | 한국인터넷진흥원 | 침해 사고 예측 방법 및 그 장치 |
KR101910787B1 (ko) | 2017-02-28 | 2018-10-23 | 한국인터넷진흥원 | 침해 사고 그래프 데이터베이스에서의 사이버 킬 체인 분류 방법 및 그 장치 |
RU2697958C1 (ru) * | 2018-06-29 | 2019-08-21 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносной активности на компьютерной системе |
EP3674943A1 (en) * | 2018-12-28 | 2020-07-01 | AO Kaspersky Lab | System and method of detecting a source of malicious activity in a computer system |
RU2724800C1 (ru) | 2018-12-28 | 2020-06-25 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения источника вредоносной активности на компьютерной системе |
WO2023032015A1 (ja) * | 2021-08-30 | 2023-03-09 | 日本電気株式会社 | 攻撃分析支援装置、攻撃分析支援方法、およびコンピュータ読み取り可能な記録媒体 |
CN114006766A (zh) * | 2021-11-04 | 2022-02-01 | 杭州安恒信息安全技术有限公司 | 网络攻击检测方法、装置、电子设备及可读存储介质 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4371905B2 (ja) * | 2004-05-27 | 2009-11-25 | 富士通株式会社 | 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置 |
US20130031625A1 (en) * | 2011-07-29 | 2013-01-31 | Electronics And Telecommunications Research Institute | Cyber threat prior prediction apparatus and method |
JP5868514B2 (ja) * | 2012-09-19 | 2016-02-24 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
WO2014112185A1 (ja) * | 2013-01-21 | 2014-07-24 | 三菱電機株式会社 | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム |
CN105683987B (zh) * | 2013-10-24 | 2018-11-16 | 三菱电机株式会社 | 信息处理装置和信息处理方法 |
JP6267089B2 (ja) * | 2014-09-25 | 2018-01-24 | 株式会社日立製作所 | ウイルス検知システム及び方法 |
-
2015
- 2015-04-22 JP JP2015087821A patent/JP6285390B2/ja active Active
-
2016
- 2016-04-22 WO PCT/JP2016/062721 patent/WO2016171243A1/ja active Application Filing
Also Published As
Publication number | Publication date |
---|---|
JP2016206943A (ja) | 2016-12-08 |
WO2016171243A1 (ja) | 2016-10-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6285390B2 (ja) | サイバー攻撃分析装置及びサイバー攻撃分析方法 | |
CN111935192B (zh) | 网络攻击事件溯源处理方法、装置、设备和存储介质 | |
Milajerdi et al. | Poirot: Aligning attack behavior with kernel audit records for cyber threat hunting | |
US11750659B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
US20220014560A1 (en) | Correlating network event anomalies using active and passive external reconnaissance to identify attack information | |
US11941054B2 (en) | Iterative constraint solving in abstract graph matching for cyber incident reasoning | |
US11184374B2 (en) | Endpoint inter-process activity extraction and pattern matching | |
Ghafir et al. | Proposed approach for targeted attacks detection | |
Sibiya et al. | Digital forensic framework for a cloud environment | |
US9369478B2 (en) | OWL-based intelligent security audit | |
KR102079687B1 (ko) | 공격 그래프 기반의 사이버 위협 예측 시스템 및 그 방법 | |
US20210360032A1 (en) | Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance | |
Watson et al. | The honeynet project: Data collection tools, infrastructure, archives and analysis | |
US20230283641A1 (en) | Dynamic cybersecurity scoring using traffic fingerprinting and risk score improvement | |
US11750634B1 (en) | Threat detection model development for network-based systems | |
Dodia et al. | Exposing the rat in the tunnel: Using traffic analysis for tor-based malware detection | |
Pitropakis et al. | Till all are one: Towards a unified cloud IDS | |
US20170331841A1 (en) | Automatic Categorization of IDPS Signatures from multiple different idps systems | |
US20220237302A1 (en) | Rule generation apparatus, rule generation method, and computer-readable recording medium | |
Kara | Cyber-espionage malware attacks detection and analysis: A case study | |
Kumar et al. | A zero-day resistant malware detection method for securing cloud using SVM and sandboxing techniques | |
Frank et al. | Location, location, location: mapping potential Canadian targets in online hacker discussion forums | |
Anwar et al. | Understanding internet of things malware by analyzing endpoints in their static artifacts | |
JP2018120308A (ja) | 分類装置、分類方法及び分類プログラム | |
Patil et al. | E-Audit: Distinguishing and investigating suspicious events for APTs attack detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20171109 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171205 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180112 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180123 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180201 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6285390 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |