JP6671557B2 - アラート頻度制御装置およびアラート頻度制御プログラム - Google Patents

アラート頻度制御装置およびアラート頻度制御プログラム Download PDF

Info

Publication number
JP6671557B2
JP6671557B2 JP2019542896A JP2019542896A JP6671557B2 JP 6671557 B2 JP6671557 B2 JP 6671557B2 JP 2019542896 A JP2019542896 A JP 2019542896A JP 2019542896 A JP2019542896 A JP 2019542896A JP 6671557 B2 JP6671557 B2 JP 6671557B2
Authority
JP
Japan
Prior art keywords
activity
attack
interval
alert
scenario
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019542896A
Other languages
English (en)
Other versions
JPWO2019058489A1 (ja
Inventor
秀明 居城
秀明 居城
河内 清人
清人 河内
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of JPWO2019058489A1 publication Critical patent/JPWO2019058489A1/ja
Application granted granted Critical
Publication of JP6671557B2 publication Critical patent/JP6671557B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • H04L41/064Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis involving time analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、一連の攻撃活動の発生に関するアラートの頻度を制御する技術に関するものである。
標的型攻撃における一連の攻撃活動を検知するための手法として、攻撃シナリオに基づくログ分析手法が存在する。この手法は主にセキュリティ監視に適用される。
攻撃シナリオは、一連の攻撃活動における攻撃活動の流れを示す。
標的型攻撃は、複数のフェーズにわたって実行される。
そのため、個々の攻撃活動を分析するだけでは標的型攻撃の誤検知が多数発生してしまう。
一方、攻撃シナリオに合致する一連の攻撃活動を監視することにより、標的型攻撃らしい一連の攻撃活動を検知することが可能となる。
特許文献1は、攻撃シナリオに沿ってログを分析することによってサイバー攻撃の検知漏れを減らす技術を開示している。
特開2015−121968号公報
特許文献1に開示された技術により、標的型攻撃らしい一連の攻撃活動の検知漏れを減らすことができる。一方で、検知される一連の攻撃活動の数が増大する可能性がある。
標的型攻撃らしい一連の攻撃活動が検知された場合、オペレータが検知された一連の攻撃活動に対処する。
検知される一連の攻撃活動の数が増大すると、オペレータによる対処が困難となる。その結果、標的型攻撃が放置されてしまう可能性がある。
しかし、オペレータによる対処を可能とするために、検知される一連の攻撃活動の数を減らしすぎると、標的型攻撃の検知漏れが増えてしまう。
本発明は、一連の攻撃活動の発生に関する各アラートに対処することが可能な程度にアラートの頻度を制御することを目的とする。
本発明のアラート頻度制御装置は、
サイバー攻撃の複数のフェーズのうちのいずれかのフェーズに属する攻撃活動が検知された場合に、フェーズ毎に1つ以上の攻撃活動のそれぞれの発生間隔を含む活動間隔データを用いて、各フェーズの代表の攻撃活動で構成される攻撃シナリオについて発生間隔を算出する算出部と、
前記攻撃シナリオの前記発生間隔に基づいて、アラートの要否を判定する判定部とを備える。
本発明によれば、一連の攻撃活動の発生に関する各アラートに対処することが可能な程度にアラートの頻度を制御することが可能となる。
その結果、サイバー攻撃の検知漏れが増えず、且つ、サイバー攻撃の対処漏れが減ることとなる。
実施の形態1におけるアラート頻度制御装置100の構成図。 実施の形態1における攻撃シナリオを説明するための図。 実施の形態1におけるアラート頻度制御方法のフローチャート。 実施の形態1における受付処理(S110)のフローチャート。 実施の形態1における活動データ201を示す図。 実施の形態1における端末ファイル210の概要図。 実施の形態1における活動登録データ202を示す図。 実施の形態1における活動間隔データ220を示す図。 実施の形態1における算出処理(S120)のフローチャート。 実施の形態1における攻撃活動一覧230を示す図。 実施の形態1における活動間隔算出処理(S122)のフローチャート。 実施の形態1における更新処理(S123)のフローチャート。 実施の形態1におけるシナリオ間隔算出処理(S124)のフローチャート。 実施の形態1における判定処理(S130)のフローチャート。 実施の形態1における判定結果処理(S140)のフローチャート。 実施の形態2における活動登録データ202を示す図。 実施の形態2におけるシナリオ間隔算出処理(S124)のフローチャート。 実施の形態2における端末ファイル210の概要図。 実施の形態3における活動登録データ202を示す図。 実施の形態3における登録処理(S122)のフローチャート。 実施の形態3におけるシナリオ間隔算出処理(S124)のフローチャート。 実施の形態4における端末ファイル210の概要図。 実施の形態4におけるアラート頻度制御方法のフローチャート。 実施の形態4におけるシナリオ間隔算出処理(S124)のフローチャート。 実施の形態4における暫定間隔更新処理(S1249)のフローチャート。 実施の形態5におけるアラート頻度制御装置100の構成図。 実施の形態5におけるアラート頻度制御方法のフローチャート。 実施の形態5における決定処理(S200)のフローチャート。 実施の形態5における第1時間および第2時間を説明するための図。 実施の形態5における更新処理(S240)のフローチャート。 実施の形態5における更新処理(S240)のフローチャート。 実施の形態6におけるアラート頻度制御装置100の構成図。 実施の形態6における調整処理(S300)のフローチャート。 実施の形態におけるアラート頻度制御装置100のハードウェア構成図。
実施の形態および図面において、同じ要素および対応する要素には同じ符号を付している。同じ符号が付された要素の説明は適宜に省略または簡略化する。図中の矢印はデータの流れ又は処理の流れを主に示している。
実施の形態1.
一連の攻撃活動の発生に関するアラートの頻度を制御するための形態について、図1から図15に基づいて説明する。
***構成の説明***
図1に基づいて、アラート頻度制御装置100の構成を説明する。
アラート頻度制御装置100は、プロセッサ901とメモリ902と補助記憶装置903と通信装置904といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
プロセッサ901は、演算処理を行うIC(Integrated Circuit)であり、他のハードウェアを制御する。例えば、プロセッサ901は、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、またはGPU(Graphics Processing Unit)である。
メモリ902は揮発性の記憶装置である。メモリ902は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ902はRAM(Random Access Memory)である。メモリ902に記憶されたデータは必要に応じて補助記憶装置903に保存される。
補助記憶装置903は不揮発性の記憶装置である。例えば、補助記憶装置903は、ROM(Read Only Memory)、HDD(Hard Disk Drive)、またはフラッシュメモリである。補助記憶装置903に記憶されたデータは必要に応じてメモリ902にロードされる。
通信装置904は通信を行う装置、すなわち、レシーバ及びトランスミッタである。例えば、通信装置904は通信チップまたはNIC(Network Interface
Card)である。
アラート頻度制御装置100は、管理部110と算出部120と判定部130と通知部140といった要素を備える。これらの要素はソフトウェアで実現される。
補助記憶装置903には、管理部110と算出部120と判定部130と通知部140としてコンピュータを機能させるためのアラート頻度制御プログラムが記憶されている。アラート頻度制御プログラムは、メモリ902にロードされて、プロセッサ901によって実行される。
さらに、補助記憶装置903にはOS(Operating System)が記憶されている。OSの少なくとも一部は、メモリ902にロードされて、プロセッサ901によって実行される。
つまり、プロセッサ901は、OSを実行しながら、アラート頻度制御プログラムを実行する。
アラート頻度制御プログラムを実行して得られるデータは、メモリ902、補助記憶装置903、プロセッサ901内のレジスタまたはプロセッサ901内のキャッシュメモリといった記憶装置に記憶される。
メモリ902はデータを記憶する記憶部191として機能する。但し、他の記憶装置が、メモリ902の代わりに、又は、メモリ902と共に、記憶部191として機能してもよい。
通信装置904はデータを受信する受信部192として機能する。また、通信装置904はデータを送信する送信部193として機能する。
アラート頻度制御装置100は、プロセッサ901を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ901の役割を分担する。
アラート頻度制御プログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータ読み取り可能に記録することができる。
アラート頻度制御装置100は、発生した攻撃シナリオの発生間隔に基づいてアラートの要否を判定する。
図2に基づいて、攻撃シナリオについて説明する。
サイバー攻撃は複数のフェーズから成り、複数のフェーズによってサイバー攻撃が行われる。フェーズは、攻撃過程における段階を意味する。サイバー攻撃の具体例は標的型攻撃である。
例えば、サイバー攻撃は、第1フェーズから第3フェーズで構成される。第1フェーズは初期侵入と呼ばれる段階であり、第2フェーズは基盤構築と呼ばれる段階であり、第3フェーズは内部調査と呼ばれる段階である。
但し、第1フェーズから第3フェーズが上記の通りに分類される必要はない。つまり、第1フェーズから第3フェーズは、別の分類方法、より細分化された分類方法または別の名称を用いた分類方法などで分類されてもよい。また、第1フェーズから第3フェーズのうちの一部のフェーズによってサイバー攻撃が構成される場合がある。また、第4フェーズ以降のフェーズがサイバー攻撃に含まれる場合がある。
攻撃シナリオは、サイバー攻撃となる一連の攻撃活動における攻撃活動の流れを示す。
それぞれの攻撃活動は、いずれかのフェーズに属する。
攻撃シナリオ(A)は、攻撃活動1−1と攻撃活動2−1と攻撃活動3−1とで構成される。攻撃活動1−1は、「指示を受信」という攻撃活動であり、第1フェーズに属する。「指示を受信」において、端末に感染したマルウェアは外部からの指示を受信する。攻撃活動2−1は、「端末を調査」という攻撃活動であり、第2フェーズに属する。「端末を調査」において、マルウェアは端末に記憶されているデータを調査する。攻撃活動3−1は、「サーバへのアクセス権を入手」という攻撃活動であり、第3フェーズに属する。「サーバへのアクセス権を入手」において、マルウェアはサーバにアクセスする権利を端末から入手する。
但し、第1フェーズから第3フェーズのうちの一部のフェーズに対応する一部の攻撃活動によって攻撃シナリオが構成される場合がある。また、第4フェーズ以降のフェーズに属する攻撃活動が攻撃シナリオに含まれる場合がある。
例えば、攻撃シナリオ(B)は、攻撃活動2−2と攻撃活動3−2とで構成される。攻撃活動2−2は第2フェーズに属し、攻撃活動3−2は第3フェーズに属する。また、攻撃シナリオ(C)は、攻撃活動1−3と攻撃活動3−3とで構成される。攻撃活動1−3は第1フェーズに属し、攻撃活動3−3は第3フェーズに属する。
***動作の説明***
アラート頻度制御装置100の動作はアラート頻度制御方法に相当する。また、アラート頻度制御方法の手順はアラート頻度制御プログラムの手順に相当する。
図3に基づいて、アラート頻度制御方法を説明する。
ステップS110において、管理部110は活動データを受け付ける。
活動データは、検知された攻撃活動の情報を含んだデータである。
受付処理(S110)は、攻撃活動が検知されて活動データがアラート頻度制御装置100に入力される毎に実行される。
具体的には、ネットワーク監視装置が従来の監視方法によって攻撃活動を検知し、検知された攻撃活動の活動データをアラート頻度制御装置100へ送信する。そして、送信された活動データがアラート頻度制御装置100に到達すると受付処理(S110)が実行される。
図4に基づいて、受付処理(S110)の手順を説明する。
ステップS111において、受信部192は活動データを受信する。
図5に基づいて、活動データ201を説明する。
活動データ201は、活動名称と発生端末と発生時刻などの情報を含んでいる。
活動名称は、検知された攻撃活動の種類を識別する。活動データ201に示される活動名称は「スケジュールされたタスクの実行」である。
発生端末は、検知された攻撃活動が発生した端末である。活動データ201に示される発生端末は「端末A」である。
発生時刻は、検知された攻撃活動が発生した時刻である。活動データ201に示される発生時刻は「2017/05/23 12:34」である。
図4に戻り、ステップS112から説明を続ける。
ステップS112からステップS114における発生端末は、受信された活動データに示される発生端末を意味する。
ステップS112において、管理部110は、発生端末用の端末ファイルが記憶部191に記憶されているか判定する。
発生端末用の端末ファイルが記憶部191に記憶されている場合、処理はステップS113に進む。
発生端末用の端末ファイルが記憶部191に記憶されていない場合、処理はステップS114に進む。
図6に基づいて、端末ファイル210を説明する。
端末ファイル210は、端末毎に作成される活動登録ファイルであり、記憶部191に記憶されている。
端末ファイル210には、フェーズ毎に当該フェーズに属する各攻撃活動の活動登録データが登録されている。つまり、攻撃活動の種類(活動名称)ごとに、攻撃活動の活動登録データが、攻撃活動が属するフェーズに対応付けられて、端末ファイル210に登録されている。活動登録データは、活動データに含まれる情報を基に生成される。
図6において、端末ファイル210には、攻撃活動E11と攻撃活動E12と攻撃活動E22とのそれぞれの活動登録データが登録されている。
図7に基づいて、活動登録データ202を説明する。
活動登録データ202は、活動名称と発生端末とを示している。
図4に戻り、ステップS113から説明を続ける。
ステップS113において、管理部110は、発生端末用の端末ファイルを記憶部191から選択する。
ステップS114において、管理部110は、発生端末用の端末ファイルを生成する。そして、記憶部191は、発生端末用の端末ファイルを記憶する。
図3に戻り、ステップS120を説明する。
ステップS120以降の処理において、検知された攻撃活動を検知活動という。また、ステップS110で受け付けられた活動データを検知活動の活動データという。
ステップS120において、算出部120はシナリオ間隔を算出する。
シナリオ間隔は、攻撃シナリオの発生間隔である。つまり、シナリオ間隔は、攻撃シナリオが発生する間隔を示す時間である。
その攻撃シナリオは、各フェーズの代表の攻撃活動とで構成される。
図2において第3フェーズに属するいずれかの攻撃活動が検知された場合、例えば、攻撃シナリオ(A)の発生間隔が算出される。攻撃シナリオ(A)は、攻撃活動1−1と攻撃活動2−1と攻撃活動3−1とで構成される。攻撃シナリオ(A)において、攻撃活動3−1は、検知活動が属する第3フェーズの攻撃活動である。また、攻撃活動2−1は第3フェーズより前の第2フェーズの攻撃活動であり、攻撃活動1−1は第3フェーズより前の第1フェーズの攻撃活動である。
具体的には、算出部120は、活動間隔データを用いてシナリオ間隔を算出する。
活動間隔データは、フェーズ毎に1つ以上の攻撃活動のそれぞれの発生間隔を含むデータである。活動間隔データは記憶部191に記憶されている。
図8に基づいて、活動間隔データ220を説明する。
活動間隔データ220は、端末と各フェーズの攻撃活動との組に対応付けて活動間隔と発生回数と前回時刻とを含む。図8において、活動間隔データ220に示している値は活動間隔である。
活動間隔は、攻撃活動の発生間隔である。つまり、活動間隔は、攻撃活動が発生する間隔を示す時間である。具体的には、活動間隔は、攻撃活動の平均の発生間隔である。
例えば、攻撃活動E11および攻撃活動E12は第1フェーズに属する。端末Aにおける攻撃活動E11の発生間隔は72分であり、端末Aにおける攻撃活動E12の発生間隔は65分である。
例えば、攻撃活動E21および攻撃活動E22は第2フェーズに属し、端末Aにおける攻撃活動E21の発生間隔は96分であり、端末Aにおける攻撃活動E22の発生間隔は110分である。
発生回数は、攻撃活動が発生した回数である。
前回時刻は、攻撃活動が前回発生した時刻である。
図9に基づいて、算出処理(S120)の手順を説明する。
ステップS121において、算出部120は検知活動のフェーズを判定する。
検知活動のフェーズは、検知活動が属するフェーズである。
具体的には、算出部120は、攻撃活動一覧を用いて検知活動のフェーズを判定する。
図10に基づいて、攻撃活動一覧230を説明する。
攻撃活動一覧230は、活動名称とフェーズ番号とを互いに対応付けている。
活動名称は、攻撃活動を識別する。
フェーズ番号は、フェーズを識別する。
例えば、攻撃活動E11および攻撃活動E12は第1フェーズに属し、攻撃活動E21および攻撃活動E22は第2フェーズに属する。
図9に戻り、ステップS121の説明を続ける。
算出部120は、検知活動のフェーズを以下のように判定する。
まず、算出部120は、検知活動の活動データから活動名称を取得する。取得された活動名称を検知活動の活動名称という。
次に、算出部120は、検知活動の活動名称と同じ活動名称を攻撃活動一覧から選択する。
そして、算出部120は、選択された活動名称に対応付けられたフェーズ番号を攻撃活動一覧から取得する。取得されたフェーズ番号で識別されるフェーズが、検知活動のフェーズである。
ステップS122において、算出部120は、検知活動の検知活動と同じ種類の攻撃活動の活動登録データが発生端末用の端末ファイルに登録されていない場合、検知活動の活動登録データを発生端末用の端末ファイルに登録する。
図11に基づいて、登録処理(S122)の手順を説明する。
ステップS1221において、算出部120は、検知活動のフェーズに対応付けられた活動登録データ群を発生端末用の端末ファイルから選択する。
図11において、検知活動のフェーズを対象フェーズといい、対象フェーズに対応付けられた活動登録データ群を対象フェーズの活動登録データ群という。
活動登録データ群は1つ以上の活動登録データである。
発生端末用の端末ファイルは、図4のステップS113で選択された端末ファイルまたは図4のステップS114で生成された端末ファイルである。
ステップS1222において、算出部120は、検知活動と同じ種類の攻撃活動の活動登録データが対象フェーズの活動登録データ群に含まれるか判定する。
図11において、検知活動と同じ種類の攻撃活動を対象活動という。
対象活動の活動登録データが対象フェーズの活動登録データ群に含まれる場合、処理は終了する。
対象活動の活動登録データが対象フェーズの活動登録データ群に含まれない場合、処理はステップS1223に進む。
ステップS1223において、算出部120は、検知活動の活動データを用いて対象活動の活動登録データを生成し、対象活動の活動登録データを対象フェーズに対応付けて発生端末用の端末ファイルに登録する。
図9に戻り、ステップS123から説明を続ける。
ステップS123において、算出部120は、検知活動に関して活動間隔データを更新する。
図12に基づいて、更新処理(S123)を説明する。
ステップS1231において、算出部120は、発生端末と対象活動とに対応付けられた情報が活動間隔データに登録されているか判定する。対象活動は、検知活動と同じ種類の攻撃活動である。
図12において、発生端末と対象活動とに対応付けられた情報を対象情報という。
対象情報が活動間隔データに登録されている場合、処理はステップS1233に進む。
対象情報が活動間隔データに登録されていない場合、処理はステップS1232に進む。
ステップS1232において、算出部120は、対象情報を生成し、対象情報を活動間隔データに登録する。
登録される対象情報において、活動間隔はゼロであり、発生回数はゼロであり、前回時刻は初期時刻である。初期時刻は予め決められた時刻である。
ステップS1233において、算出部120は、新たな活動間隔を算出し、対象情報に含まれる活動間隔を新たな活動間隔に更新する。
新たな活動間隔は、以下の式で表すことができる。
新たな活動間隔 = (総活動期間+経過時間)/(発生回数+1)
総活動期間 = 発生回数 × 活動間隔
経過時間 = 発生時刻 − 前回時刻
発生時刻は、検知された攻撃活動が発生した時刻であり、検知活動の活動データに含まれる。
ステップS1234において、算出部120は、対象情報に含まれる発生回数を更新する。具体的には、算出部120は、対象情報に含まれる発生回数に1を加える。
ステップS1235において、算出部120は、対象情報に含まれる前回時刻を検知活動の発生時刻に更新する。検知活動の発生時刻は、検知活動の活動データに含まれる。
図9に戻り、ステップS124から説明を続ける。
ステップS124において、算出部120は、活動間隔データを用いてシナリオ間隔を算出する。
具体的には、算出部120は、各フェーズの代表の発生間隔を活動間隔データから選択する。そして、算出部120は、選択された代表の発生間隔の合計を算出する。算出される合計がシナリオ間隔である。
図13に基づいて、シナリオ間隔算出処理(S124)の手順を説明する。
ステップS1241において、算出部120は、活動間隔データにおける最大フェーズ番号を変数nに設定する。
活動間隔データにおける最大フェーズ番号は、活動間隔データにおいて活動間隔が登録されているフェーズの中で最大のフェーズを識別する番号である。
図13において、変数nに設定されている値を変数nの値という。
ステップS1242において、算出部120は、第nフェーズにおける代表の活動間隔を活動間隔データから選択する。
第nフェーズは、変数nの値で識別されるフェーズである。
具体的には、算出部120は、第nフェーズにおける代表の活動間隔を以下のように選択する。
まず、算出部120は、第nフェーズの各攻撃活動に対応付けられた活動間隔を活動間隔データから取得する。
そして、算出部120は、取得された活動間隔から最長の活動間隔を選択する。選択される最長の活動間隔が第nフェーズにおける代表の活動間隔である。
ステップS1243において、算出部120は変数nの値から1を引く。
ステップS1244において、算出部120は、変数nの値が1以上であるか判定する。
変数nの値が1以上である場合、処理はステップS1245に進む。
変数nの値が1未満である場合、処理はステップS1246に進む。
ステップS1245において、算出部120は、第nフェーズの攻撃活動に対応付けられた活動間隔が活動間隔データに登録されているか判定する。
第nフェーズの攻撃活動に対応付けられた活動間隔が活動間隔データに登録されている場合、処理はステップS1242に進む。
第nフェーズの攻撃活動に対応付けられた活動間隔が活動間隔データに登録されていない場合、処理はステップS1243に進む。
ステップS1246において、算出部120は、ステップS1242で選択された代表の活動間隔の合計を算出する。算出される合計がシナリオ間隔である。
図3に戻り、ステップS130を説明する。
ステップS130において、判定部130は、シナリオ間隔に基づいてアラートの要否を判定する。
具体的には、判定部130は、シナリオ間隔が基準時間より長い場合にアラートが必要であると判定する。
基準時間は予め決められた時間である。
図14に基づいて、判定処理(S130)の手順を説明する。
ステップS131において、判定部130は、シナリオ間隔を基準時間と比較する。
シナリオ間隔が基準時間以上である場合、処理はステップS132に進む。
シナリオ間隔が基準時間未満である場合、処理はステップS133に進む。
ステップS132において、判定部130は、アラートが必要であると判定する。
ステップS133において、判定部130は、アラートが不要であると判定する。
図3に戻り、ステップS140を説明する。
ステップS140において、管理部110および通知部140は、判定結果に応じて処理を行う。つまり、管理部110および通知部140は、アラートの要否に応じて処理を行う。
図15に基づいて、判定結果処理(S140)の手順を説明する。
ステップS130でアラートが必要であると判定された場合、処理はステップS141に進む。
ステップS130でアラートが不要であると判定された場合、処理は終了する。
ステップS141において、通知部140は、オペレーションセンタにアラートを通知する。
例えば、通知部140は、以下の(1)のデータまたは(2)の情報などを含んだアラートデータを生成し、生成されたアラートデータを送信部193を介してオペレーションセンタへ送信する。
(1)図3のステップS110で受け付けられた活動データ。
(2)図3のステップS120で算出されたシナリオ間隔に対応する攻撃シナリオに関する情報。攻撃シナリオに関する情報とは、攻撃シナリオを構成する各攻撃活動の活動名称などである。
ステップS142において、管理部110は、発生端末用の端末ファイルを記憶部191から削除する。
発生端末用の端末ファイルは、図4のステップS113で選択された端末ファイルまたは図4のステップS114で生成された端末ファイルである。
***実施の形態1の補足***
図13のシナリオ間隔算出処理(S124)は次のような理論に基づく。
正常な活動と攻撃活動とを正確に識別することは困難である。そのため、正常な活動を攻撃活動として誤検知する可能性がある。誤検知がランダムなタイミングで発生すると仮定した場合、検知される攻撃活動の発生間隔は指数分布に従う。このとき、各攻撃活動が次に発生するまでの時間は、各攻撃活動の平均発生間隔で表現できる。
さらに、各攻撃活動が独立な指数分布に従って発生すると仮定すると、各フェーズの攻撃活動がフェーズ順に発生する間隔は、指数分布の無記憶性により、各攻撃活動の平均発生間隔の和で表現することができる。
***実施の形態1の効果***
一連の攻撃活動の発生に関する各アラートに対処することが可能な程度に、アラートの頻度を制御することが可能となる。
その結果、サイバー攻撃の検知漏れが増えず、且つ、サイバー攻撃の対処漏れが減ることとなる。
***他の構成***
活動間隔またはシナリオ間隔といった発生間隔は、発生頻度の逆数に相当する。言い換えると、発生頻度は発生間隔の逆数に相当する。発生頻度は、単位時間当たりの発生回数である。例えば、10分という発生間隔は1時間当たり6回という発生頻度に相当する。
そのため、各発生間隔は発生頻度に変換されてもよい。その場合、基準時間の代わりに基準頻度が用いられる。基準頻度は基準時間の逆数に相当する。
実施の形態2.
各フェーズの攻撃活動が時系列順に発生する組み合わせについてシナリオ間隔を算出する形態について、主に実施の形態1と異なる点を図16から図18に基づいて説明する。
***構成の説明***
アラート頻度制御装置100の構成は、実施の形態1における構成(図1参照)と同じである。
図16に基づいて、活動登録データ202を説明する。
活動登録データ202は、シナリオ間隔を含んでいる。
***動作の説明***
アラート頻度制御方法の手順は、実施の形態1における手順(図3参照)と同じである。
但し、算出処理(S120)の一部が実施の形態1における処理と異なる。具体的には、図9の算出処理(S120)において、シナリオ間隔算出処理(S124)が実施の形態1における処理と異なる。
図17に基づいて、シナリオ間隔算出処理(S124)の手順を説明する。
ステップS1241において、算出部120は、検知活動のフェーズを識別する番号を変数nに設定する。
図13において、検知活動のフェーズを識別する番号を対象フェーズ番号という。また、変数nに設定されている値を変数nの値という。
ステップS1242において、算出部120は、検知活動に対応する活動間隔を活動間隔データから取得する。
具体的には、算出部120は、発生端末と対象活動との組に対応付けられた活動間隔を活動間隔データから取得する。対象活動は、検知活動と同じ種類の攻撃活動である。
ステップS1243において、算出部120は変数nの値から1を引く。
ステップS1244において、算出部120は、変数nの値が1以上であるか判定する。
変数nの値が1以上である場合、処理はステップS1245に進む。
変数nの値が1未満である場合、処理はステップS1248に進む。
ステップS1245において、算出部120は、第nフェーズの活動登録データ群が発生端末用の端末ファイルに登録されているか判定する。第nフェーズは、変数nの値で識別されるフェーズである。活動登録データ群は、1つ以上の活動登録データである。
第nフェーズの活動登録データ群が発生端末用の端末ファイルに登録されている場合、処理はステップS1246に進む。
第nフェーズの活動登録データ群が発生端末用の端末ファイルに登録されていない場合、処理はステップS1243に進む。
ステップS1246において、算出部120は、第nフェーズにおける代表のシナリオ間隔を第nフェーズの活動登録データ群から選択する。
具体的には、算出部120は、第nフェーズにおける代表のシナリオ間隔を以下のように選択する。
まず、算出部120は、第nフェーズの各活動登録データのシナリオ間隔を比較する。
次に、算出部120は、第nフェーズの代表の活動登録データを選択する。第nフェーズの代表の活動登録データは、第nフェーズの活動登録データ群の中で最長のシナリオ間隔が設定されている活動登録データである。
そして、算出部120は、第nフェーズの代表の活動登録データからシナリオ間隔を取得する。取得されるシナリオ間隔が第nフェーズにおける代表のシナリオ間隔である。
ステップS1247において、算出部120は、検知活動に対応する活動登録データにシナリオ間隔を設定する。
検知活動に対応する活動登録データは、検知活動と同じ種類の攻撃活動の活動登録データである。
具体的には、算出部120は以下のように動作する。
まず、算出部120は、ステップS1242で取得された活動間隔とステップS1246で選択された代表のシナリオ間隔との合計を算出する。算出される合計を合計間隔という。
次に、算出部120は、検知活動に対応する活動登録データを発生端末用の端末ファイルから選択する。
そして、算出部120は、検知活動に対応する活動登録データに合計間隔をシナリオ間隔として設定する。
検知活動に対応する活動登録データにシナリオ間隔が既に設定されていた場合、算出部120はシナリオ間隔の値を合計間隔に更新する。
ステップS1248において、算出部120は、検知活動に対応する活動登録データにシナリオ間隔を設定する。
検知活動に対応する活動登録データは、検知活動と同じ種類の攻撃活動の活動登録データである。
具体的には、算出部120は以下のように動作する。
まず、算出部120は、検知活動に対応する活動登録データを発生端末用の端末ファイルから選択する。
そして、算出部120は、検知活動に対応する活動登録データに検知活動に対応する活動間隔(ステップS1242で取得)をシナリオ間隔として設定する。
ステップS1247またはステップS1248で検知活動に対応する活動登録データに設定されたシナリオ間隔が、シナリオ間隔算出処理(S124)で算出されたシナリオ間隔である。
図18に基づいて、シナリオ間隔の概要を説明する。
検知活動(E31)のフェーズは第3フェーズである。また、検知活動(E31)に対応する活動間隔の値は118である。
第2フェーズにおいて、攻撃活動E21の活動間隔の値は168であり、攻撃活動E22の活動間隔の値は182である。したがって、第2フェーズにおける代表の活動間隔の値は182(>168)である。
この場合、検知活動(E31)に対応する活動登録データにはシナリオ間隔の値として300(=118+182)が設定される。
***実施の形態2の補足***
第nフェーズにおける最長の活動間隔(代表の活動間隔)を選択することは、第nフェーズまでの各フェーズの攻撃活動の組み合わせのうち最も発生間隔が長い組み合わせを選択することに相当する。フェーズ番号nの昇順は時系列順に対応し、選択された組み合わせの各フェーズの攻撃活動はフェーズ番号nの順に発生したことになる。
***実施の形態2の効果***
各フェーズの攻撃活動が時系列順に発生する組み合わせについてシナリオ間隔を算出することができる。
実施の形態3.
アラートの通知時にオペレータに情報を提供することを可能とする形態について、主に実施の形態2と異なる点を図19から図21に基づいて説明する。
***構成の説明***
アラート頻度制御装置100の構成は、実施の形態1における構成(図1参照)と同じである。
図19に基づいて、活動登録データ202を説明する。
活動登録データ202は、発生時刻リストと対応シナリオといった情報を含んでいる。
発生時刻リストは、対象活動の発生時刻のリストである。つまり、端末ファイルの生成後において対象活動が発生した時刻のリストである。対象活動は、活動登録データ202に含まれる活動名称で識別される攻撃活動である。
対応シナリオは、シナリオ間隔に対応するシナリオにおける各フェーズの攻撃活動の活動名称を示す。
シナリオ間隔は、対応シナリオが発生する間隔である。
***動作の説明***
アラート頻度制御方法の手順は、実施の形態1における手順(図3参照)と同じである。
但し、算出処理(S120)の一部が実施の形態1における処理と異なる。具体的には、図9の算出処理(S120)において、登録処理(S122)およびシナリオ間隔算出処理(S124)が実施の形態1における処理と異なる。
図20に基づいて、登録処理(S122)を説明する。
ステップS1221からステップS1223は、実施の形態1(図11参照)で説明した通りである。
ステップS1223の後、処理はステップS1224に進む。
ステップS1224において、算出部120は、検知活動の発生時刻を対象活動の活動登録データに追加する。
具体的には、算出部120は、検知活動の活動データから発生時刻を取得する。取得される発生時刻が検知活動の発生時刻である。そして、算出部120は、対象活動の活動登録データの中の発生時刻リストに検知活動の発生時刻を追加する。
図21に基づいて、シナリオ間隔算出処理(S124)を説明する。
ステップS1241からステップ1246は、実施の形態2(図17)における処理と同じである。
ステップS1247およびステップS1248は、実施の形態2(図17)における処理と一部異なる。
ステップS1247において、算出部120は、検知活動に対応する活動登録データを更新する。
検知活動に対応する活動登録データは、検知活動と同じ種類の攻撃活動の活動登録データである。
具体的には、算出部120は、検知活動に対応する活動登録データにシナリオ間隔を設定する。この処理は、実施の形態2(図17)におけるステップS1247と同じである。設定されたシナリオ間隔が、シナリオ間隔算出処理(S124)で算出されたシナリオ間隔である。
さらに、算出部120、検知活動に対応する活動登録データに含まれる対応シナリオを以下のように更新する。
まず、算出部120は、第nフェーズにおける代表の活動登録データから対応シナリオを取得する。取得される対応シナリオを代表シナリオという。
第nフェーズにおける代表の活動登録データは、第nフェーズにおける代表のシナリオ間隔が設定されている活動登録データである(ステップS1246を参照)。
次に、算出部120は、検知活動に対応する活動登録データに代表シナリオを対応シナリオとして設定する。検知活動に対応する活動登録データに対応シナリオが既に設定されていた場合、算出部120は、設定されている対応シナリオを削除した後に代表シナリオを対応シナリオとして設定する。
そして、算出部120は、検知活動に対応する活動登録データの中の対応シナリオに検知活動のフェーズの欄を追加し、追加した欄に検知活動の活動名称を設定する。
ステップS1248において、算出部120は、検知活動に対応する活動登録データを更新する。
検知活動に対応する活動登録データは、検知活動と同じ種類の攻撃活動の活動登録データである。
具体的には、算出部120は、検知活動に対応する活動登録データにシナリオ間隔を設定する。この処理は、実施の形態2(図17)におけるステップS1248と同じである。設定されたシナリオ間隔が、シナリオ間隔算出処理(S124)で算出されたシナリオ間隔である。
さらに、算出部120、検知活動に対応する活動登録データに検知活動のフェーズの欄を対応シナリオとして追加し、追加した欄に検知活動の活動名称を設定する。
***実施の形態3の補足***
ステップS141(図15参照)において、通知部140は、検知活動に対応する活動登録データから発生時刻リストと対応シナリオといった情報を取得し、取得した情報をアラートに含めて通知する。
***実施の形態3の効果***
発生時刻リストおよび対応シナリオがオペレータに通知されることにより、オペレータの対応を迅速化させる効果が得られる。通知される情報は、発生時刻リストと対応シナリオとの一方であってもよい。
実施の形態4.
判定処理(S130)の回数を減らす形態について、主に実施の形態3と異なる点を図22から図25に基づいて説明する。
***構成の説明***
アラート頻度制御装置100の構成は、実施の形態1における構成(図1参照)と同じである。
図22に基づいて、端末ファイル210を説明する。
端末ファイル210は、暫定間隔を含んでいる。
暫定間隔は、暫定のシナリオ間隔である。
***動作の説明***
図23に基づいて、アラート頻度制御方法を説明する。
ステップS120においてアラートが不要であると判定された場合、処理はステップS140に進む。
ステップS120においてアラートが不要であると判定されなかった場合、処理はステップS130に進む。
図24に基づいて、シナリオ間隔算出処理(S124)を説明する。
ステップS1241からステップS1248は、実施の形態3(図21)における処理と同じである。
ステップS1249において、算出部120は、発生端末に対応する暫定間隔を更新する。
発生端末に対応する暫定間隔は、発生端末用の端末ファイルに登録されている暫定間隔である。
図25に基づいて、暫定間隔更新処理(S1249)を説明する。
暫定間隔更新処理(S1249)において、ステップS1247またはステップS1248で検知活動に対応する活動登録データに設定されたシナリオ間隔を検知活動に対応するシナリオ間隔という。
検知活動に対応するシナリオ間隔は、シナリオ間隔算出処理(S124)で算出されたシナリオ間隔となる。
ステップS12491において、算出部120は、検知活動に対応するシナリオ間隔を発生端末に対応する暫定間隔と比較する。
シナリオ間隔が暫定間隔より大きい場合、処理はステップS12492に進む。
シナリオ間隔が暫定間隔以下である場合、処理はステップS12493に進む。
ステップS12492において、算出部120は、発生端末に対応する暫定間隔を検知活動に対応するシナリオ間隔に更新する。
ステップS12493において、算出部120は、アラートが不要であると判定する。
***実施の形態4の効果***
発生端末に対応する暫定間隔が更新された場合にだけ判定処理(S130)が実行される。これにより、判定処理(S130)の回数を減らすことができる。そして、計算リソースを削減することが可能となる。
なお、実施の形態4は、実施の形態1または実施の形態2に適用してもよい。
実施の形態5.
基準時間を決定する形態について、主に実施の形態1と異なる点を図26から図31に基づいて説明する。
***構成の説明***
図26に基づいて、アラート頻度制御装置100の構成を説明する。
アラート頻度制御装置100は、さらに、決定部150を備える。
アラート頻度制御プログラムは、さらに、決定部150としてコンピュータを機能させる。
***動作の説明***
図27に基づいて、アラート頻度制御方法を説明する。
ステップS200において、決定部150は基準時間を決定する。
ステップS200は、アラート頻度制御方法において基準時間を決定するための前処理として行われる。
例えば、ステップS200は、アラート頻度制御装置100の運用が始まる前の試験期間に行われる。
ステップS200では、模擬された複数の活動データが用いられる。但し、使用されるデータが、模擬されたデータに限定されるわけではない。つまり、実データが用いられてもよい。例えば、既存の装置からアラート頻度制御装置100に実データをコピーすることにより、実データを用いることが可能となる。
基準時間は以下のように決定される。
算出部120は、1つ以上の攻撃シナリオのそれぞれの仮発生間隔を算出する。仮発生間隔は、ステップS200で算出される発生間隔、つまり、基準時間が決定される前に算出される発生間隔である。
各仮発生間隔が暫定時間より長い場合、判定部130は、アラートが必要であると判定する。暫定時間は、基準時間に相当する時間である。
そして、決定部150は、アラートが必要であると判定された頻度を推定頻度として計測し、推定頻度に基づいて基準時間を決定する。
具体的には、基準時間は以下のように決定される。
推定頻度が更新停止条件を満たす場合、決定部150は暫定時間を基準時間に決定する。更新停止条件は、暫定時間の更新が停止される条件として予め決められた条件である。
推定頻度が更新停止条件を満たさない場合、決定部150は、暫定時間を更新する。
暫定時間が更新された後、算出部120は、1つ以上の新たな仮発生間隔を算出する。
各新たな仮発生間隔が更新後の暫定時間より長い場合、判定部130は、アラートが必要であると判定する。
決定部150は、暫定時間が更新された後にアラートが必要であると判定された頻度を新たな推定頻度として計測する。
そして、新たな推定頻度が更新停止条件を満たす場合、決定部150は更新後の暫定時間を基準時間に決定する。
図28に基づいて、決定処理(S200)の詳細を説明する。
ステップS210において、決定部150は、暫定時間と第1時間と第2時間とを初期化する。
第1時間と第2時間とについて以下に説明する。
第1時間は、現在の暫定時間より短い過去の暫定時間のうち最も長い過去の暫定時間である。つまり、第1時間は、現在の暫定時間より短くて現在の暫定時間に長さが最も近い過去の暫定時間である。
第2時間は、現在の暫定時間より長い過去の暫定時間のうち最も短い過去の暫定時間である。つまり、第2時間は、現在の暫定時間より長くて現在の暫定時間に長さが最も近い過去の暫定時間である。
図29に基づいて、第1時間および第2時間を説明する。
暫定時間TCは、現在の暫定時間である。暫定時間T1から暫定時間T10は、過去の暫定時間である。
第1時間は、暫定時間TCより短い暫定時間T1から暫定時間T5のうち最も長い暫定時間T5である。
第2時間は、暫定時間TCより長い暫定時間T6から暫定時間T10のうち最も短い暫定時間T6である。
図28に戻り、ステップS210の説明を続ける。
具体的には、決定部150は、暫定時間と第1時間と第2時間とのそれぞれに初期値を設定する。
例えば、決定部150は、暫定時間に1を設定し、第1時間に0を設定し、第2時間に無限大を設定する。
ステップS220において、決定部150は推定頻度を計測する。
具体的には、予め決められた計測時間の間、模擬された各活動データがアラート頻度制御装置100に入力される。そして、管理部110、算出部120および判定部130が、模擬された各活動データに対する処理を行う。その処理は、実際の各活動データに対する処理(S110〜S140)と同じである。
ステップS220で算出部120によって算出される発生間隔を仮発生間隔という。各仮発生間隔が暫定時間より長い場合、判定部130はアラートが必要であると判定する。
決定部150は、アラートが必要であると判定された頻度を計測する。計測される頻度が推定頻度である。
具体的には、決定部150は、アラートが必要であると判定されたアラート回数を数え、計測時間を単位時間で割って得られる値でアラート回数を割る。その結果、得られる値が推定頻度である。
ステップS230において、決定部150は、推定頻度が更新停止条件を満たすか判定する。
具体的には、更新停止条件は次の式で表すことができる。
0 < (λ−λ) < (0.05×λ
λは推定頻度である。
λは基準頻度である。基準頻度は予め決められた頻度である。具体的には、基準頻度は、オペレーションセンタで各アラートを処理することが可能なアラート頻度である。
つまり、決定部150は、推定頻度が基準頻度より大きく基準頻度の1.05倍より小さいか判定する。
推定頻度が基準頻度より大きく基準頻度の1.05倍より小さい場合、推定頻度が更新停止条件を満たす。
推定頻度が更新停止条件を満たす場合、処理は終了する。このときの暫定時間が基準時間となる。
推定頻度が更新停止条件を満たさない場合、処理はステップS240に進む。
ステップS240において、決定部150は暫定時間を更新する。
具体的には、暫定時間は以下のように更新される。
推定頻度が基準頻度以下である場合、決定部150は暫定時間を縮める。
推定頻度が基準頻度の1.05倍以上である場合、決定部150は暫定時間を延ばす。
ステップS240の後、処理はステップS220に進む。
図30および図31に基づいて、更新処理(S240)の手順を説明する。
ステップS241(図30参照)において、決定部150は、推定頻度を基準頻度と比較する。
推定頻度が基準頻度より大きい場合、処理はステップS242に進む。
推定頻度が基準頻度以下である場合、処理はステップS246(図31参照)に進む。
ステップS242において、決定部150は、第1時間を暫定時間に更新する。
ステップS242は次の式で表すことができる。
Smax = Tp
Tpは暫定時間である。
Smaxは第1時間である。
ステップS243において、決定部150は、第2時間が第2時間用の初期値(無限大)であるか判定する。
第2時間が第2時間用の初期値(無限大)である場合、処理はステップS244に進む。
第2時間が第2時間用の初期値(無限大)でない場合、処理はステップS245に進む。
ステップS244において、決定部150は、暫定時間を倍の時間に更新する。
ステップS244は次の式で表すことができる。
Tp = 2Tp
Tpは暫定時間である。
ステップS245において、決定部150は、暫定時間と第2時間との中間の時間に暫定時間を更新する。
ステップS245は次の式で表すことができる。
Tp = (Lmin+Tp)/2
Tpは暫定時間である。
Lminは第2時間である。
ステップS246(図31参照)において、決定部150は、第2時間を暫定時間に更新する。
ステップS246は以下の式で表すことができる。
Lmin = Tp
Tpは暫定時間である。
Lminは第2時間である。
ステップS247において、決定部150は、第1時間が第1時間用の初期値(無限大)であるか判定する。
第1時間が第1時間用の初期値(無限大)である場合、処理はステップS248に進む。
第1時間が第1時間用の初期値(無限大)でない場合、処理はステップS249に進む。
ステップS248において、決定部150は、暫定時間を半分の時間に更新する。
ステップS248は次の式で表すことができる。
Tp = Tp/2
Tpは暫定時間である。
ステップS249において、決定部150は、第1時間と暫定時間との中間の時間に暫定時間を更新する。
ステップS249は次の式で表すことができる。
Tp = (Smax+Tp)/2
Tpは暫定時間である。
Smaxは第1時間である。
図27に戻り、ステップS200の後の処理を説明する。
ステップS200の後、ステップS110からステップS140が実行される。
ステップS110からステップS140は、実施の形態1(図3参照)で説明した通りである。ステップS130では、ステップS200で決定された基準時間が用いられる。
***実施の形態5の効果***
実施の形態1に適した基準時間を自動で決定することができる。
その結果、より適切にアラートの頻度を制御することが可能となる。そして、サイバー攻撃の検知漏れが増えず、且つ、サイバー攻撃の対処漏れが減ることとなる。
実施の形態6.
基準時刻を調整する形態について、主に実施の形態1と異なる点を図32および図33に基づいて説明する。
***構成の説明***
図32に基づいて、アラート頻度制御装置100の構成を説明する。
アラート頻度制御装置100は、さらに、調整部160を備える。
アラート頻度制御プログラムは、さらに、調整部160としてコンピュータを機能させる。
***動作の説明***
調整部160は、指定された調整期間の間、調整処理(S300)を実行する。調整期間の満了後、調整部160は、アラート頻度制御装置100を調整処理(S300)の実行前の状態に戻す。
例えば、調整部160は、アラート頻度制御装置100が運用される日ごとに、運用終了時刻の1時間前に調整処理(S300)を実行し、運用終了時刻にアラート頻度制御装置100を調整処理(S300)の実行前の状態に戻す。
調整処理(S300)において、調整部160は基準時間を調整する。
具体的には、調整部160は、基準時間に基づいてアラートが必要であると判定された頻度を現在頻度として計測し、現在頻度に基づいて基準時間を調整する。
図33に基づいて、調整処理(S300)の手順を説明する。
ステップS310において、調整部160は現在頻度を計測する。
具体的には、調整部160は、運用開始時刻から調整時刻までのアラート回数を数える。アラート回数は、アラートが必要であると判定された回数である。そして、調整部160は、運用開始時刻から調整時刻までの時間を単位時間で割って得られる値でアラート回数を割る。その結果、得られる値が現在頻度である。
ステップS320において、調整部160は、現在頻度が調整条件を満たすか判定する。
調整条件は、基準時間が調整される条件として予め決められた条件である。
具体的には、調整条件は次の式で表すことができる。
λ < λ
λは現在頻度である。
λは基準頻度である。基準頻度は予め決められた頻度である。具体的には、基準頻度は、オペレーションセンタで各アラートを処理することが可能なアラート頻度である。
つまり、調整部160は、現在頻度が基準頻度未満であるか判定する。
現在頻度が基準頻度未満である場合、現在頻度が調整条件を満たす。
現在頻度が調整条件を満たす場合、処理はステップS330に進む。
現在頻度が調整条件を満たさない場合、処理は終了する。この場合、基準時間は調整されない。
ステップS330において、調整部160は基準時間を調整する。
具体的には、調整部160は基準時間を縮める。
例えば、調整部160は、単位時間ごとに基準時間を一定時間短くし、単位時間ごとに現在頻度を算出する。現在頻度が調整条件を満たさなくなった場合、調整部160は基準時間を元の値に戻す。そして、調整部160は、ふたたび単位時間ごとに基準時間を一定時間短くする。
具体的には、調整部160は、1分ごとに基準時間を1小さくし、1分ごとに現在頻度を計算する。現在頻度が調整条件を満たさなくなった場合、調整部160は基準時間を元の値に戻す。
例えば、調整部160は、次の式を計算することによって基準頻度を更新する。
λ = λ + (λ − λ
次に、調整部160は、実施の形態5の方法を適用して、複数の基準頻度に対する基準時間を予め求める。
そして、調整部160は、更新された基準頻度を超えず、且つ、更新された基準頻度に最も近い基準頻度に対応する基準時間を調整後の基準時間とする。
***実施の形態6の効果***
各アラートに対処することが可能な程度に基準時間を自動で調整することができる。
その結果、サイバー攻撃の検知漏れを減らすことができる。
***他の構成***
図33の調整処理(S300)において、現在頻度が基準頻度を超える場合、調整部160は基準時間を延ばしてもよい。
アラート頻度制御装置100は、実施の形態5のように決定部150を備えてもよい。つまり、運用の開始前に決定部150によって基準時間が自動で決定されてもよい。
***実施の形態の補足***
図34に基づいて、アラート頻度制御装置100のハードウェア構成を説明する。
アラート頻度制御装置100は処理回路990を備える。
処理回路990は、管理部110と算出部120と判定部130と通知部140と決定部150と調整部160との全部または一部を実現するハードウェアである。
処理回路990は、専用のハードウェアであってもよいし、メモリ902に格納されるプログラムを実行するプロセッサ901であってもよい。
処理回路990が専用のハードウェアである場合、処理回路990は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC、FPGAまたはこれらの組み合わせである。
ASICはApplication Specific Integrated Circuitの略称であり、FPGAはField Programmable Gate
Arrayの略称である。
アラート頻度制御装置100は、処理回路990を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路990の役割を分担する。
アラート頻度制御装置100において、一部の機能が専用のハードウェアで実現されて、残りの機能がソフトウェアまたはファームウェアで実現されてもよい。
このように、処理回路990はハードウェア、ソフトウェア、ファームウェアまたはこれらの組み合わせで実現することができる。
実施の形態は、好ましい形態の例示であり、本発明の技術的範囲を制限することを意図するものではない。実施の形態は、部分的に実施してもよいし、他の形態と組み合わせて実施してもよい。フローチャート等を用いて説明した手順は、適宜に変更してもよい。
100 アラート頻度制御装置、110 管理部、120 算出部、130 判定部、140 通知部、150 決定部、160 調整部、191 記憶部、192 受信部、193 送信部、201 活動データ、202 活動登録データ、210 端末ファイル、220 活動間隔データ、230 攻撃活動一覧、901 プロセッサ、902 メモリ、903 補助記憶装置、904 通信装置、990 処理回路。

Claims (11)

  1. サイバー攻撃の複数のフェーズのうちのいずれかのフェーズに属する攻撃活動が検知された場合に、フェーズ毎に1つ以上の攻撃活動のそれぞれの発生間隔を含む活動間隔データを用いて、各フェーズの代表の攻撃活動で構成される攻撃シナリオについて発生間隔を算出する算出部と、
    前記攻撃シナリオの前記発生間隔に基づいて、アラートの要否を判定する判定部と
    を備えるアラート頻度制御装置。
  2. 前記算出部は、各フェーズの代表の発生間隔を前記活動間隔データから選択し、選択された代表の発生間隔の合計を前記攻撃シナリオの前記発生間隔として算出する
    請求項1に記載のアラート頻度制御装置。
  3. 前記算出部は、検知された攻撃活動に対応する発生間隔を前記活動間隔データから取得し、フェーズ毎に各攻撃活動に対応するシナリオ間隔を含む活動登録ファイルから、前記検知された攻撃活動が属するフェーズの前のフェーズにおける代表のシナリオ間隔を選択し、前記検知された攻撃活動に対応する前記発生間隔と前記代表のシナリオ間隔との合計を前記攻撃シナリオの前記発生間隔として算出する
    請求項1に記載のアラート頻度制御装置。
  4. 前記算出部は、前記活動登録ファイルに前記攻撃シナリオの前記発生間隔を前記検知された攻撃活動に対応するシナリオ間隔として設定する
    請求項3に記載のアラート頻度制御装置。
  5. 前記活動登録ファイルは、フェーズ毎に各攻撃活動に対応する攻撃シナリオの情報である対応シナリオを含み、
    前記算出部は、前記検知された攻撃活動が属するフェーズの前のフェーズにおける代表の対応シナリオを前記活動登録ファイルから取得し、前記活動登録ファイルに前記代表の対応シナリオと前記検知された攻撃活動とを前記検知された攻撃活動に対応する対応シナリオとして設定する
    請求項4に記載のアラート頻度制御装置。
  6. 前記判定部は、前記攻撃シナリオの前記発生間隔が基準時間より長い場合にアラートが必要であると判定する
    請求項1から請求項5のいずれか1項に記載のアラート頻度制御装置。
  7. 前記算出部は、前記攻撃シナリオの前記発生間隔を暫定間隔と比較し、前記攻撃シナリオの前記発生間隔が前記暫定間隔より大きい場合に前記暫定間隔を前記攻撃シナリオの前記発生間隔に更新し、前記攻撃シナリオの前記発生間隔が前記暫定間隔より大きい場合にアラートが不要であると判定し、
    前記判定部は、アラートが不要であると判定された場合にアラートの要否を判定しない請求項6に記載のアラート頻度制御装置。
  8. 前記アラート頻度制御装置は、前記基準時間を決定する決定部を備え、
    前記算出部は、前記基準時間が決定される前に、1つ以上の攻撃シナリオのそれぞれの仮発生間隔を算出し、
    前記判定部は、各仮発生間隔が暫定時間より長い場合にアラートが必要であると判定し、
    前記決定部は、前記基準時間が決定される前にアラートが必要であると判定された頻度を推定頻度として計測し、前記推定頻度に基づいて前記基準時間を決定する
    請求項6または請求項7に記載のアラート頻度制御装置。
  9. 前記決定部は、前記推定頻度が更新停止条件を満たす場合に前記暫定時間を前記基準時間に決定し、前記推定頻度が前記更新停止条件を満たさない場合に前記暫定時間を更新し、
    前記算出部は、前記暫定時間が更新された後に、1つ以上の新たな仮発生間隔を算出し、
    前記判定部は、各新たな仮発生間隔が更新後の暫定時間より長い場合にアラートが必要であると判定し、
    前記決定部は、前記暫定時間が更新された後にアラートが必要であると判定された頻度を新たな推定頻度として計測し、前記新たな推定頻度が前記更新停止条件を満たす場合に前記更新後の暫定時間を前記基準時間に決定する
    請求項8に記載のアラート頻度制御装置。
  10. 前記基準時間に基づいてアラートが必要であると判定された頻度を現在頻度として計測し、前記現在頻度が調整条件を満たす場合に前記基準時間を調整する調整部を備える
    請求項6から請求項9のいずれか1項に記載のアラート頻度制御装置。
  11. サイバー攻撃の複数のフェーズのうちのいずれかのフェーズに属する攻撃活動が検知された場合に、フェーズ毎に1つ以上の攻撃活動のそれぞれの発生間隔を含む活動間隔データを用いて、各フェーズの代表の攻撃活動で構成される攻撃シナリオについて発生間隔を算出する算出処理と、
    前記攻撃シナリオの前記発生間隔に基づいて、アラートの要否を判定する判定処理と
    をコンピュータに実行させるためのアラート頻度制御プログラム。
JP2019542896A 2017-09-21 2017-09-21 アラート頻度制御装置およびアラート頻度制御プログラム Active JP6671557B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2017/034167 WO2019058489A1 (ja) 2017-09-21 2017-09-21 アラート頻度制御装置およびアラート頻度制御プログラム

Publications (2)

Publication Number Publication Date
JPWO2019058489A1 JPWO2019058489A1 (ja) 2019-12-26
JP6671557B2 true JP6671557B2 (ja) 2020-03-25

Family

ID=65810742

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019542896A Active JP6671557B2 (ja) 2017-09-21 2017-09-21 アラート頻度制御装置およびアラート頻度制御プログラム

Country Status (5)

Country Link
US (1) US20210014262A1 (ja)
EP (1) EP3657372A4 (ja)
JP (1) JP6671557B2 (ja)
CN (1) CN111108495A (ja)
WO (1) WO2019058489A1 (ja)

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3999188B2 (ja) * 2003-10-28 2007-10-31 富士通株式会社 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム
JP4160002B2 (ja) * 2004-02-23 2008-10-01 Kddi株式会社 ログ分析装置、ログ分析プログラムおよび記録媒体
US8516596B2 (en) * 2010-01-26 2013-08-20 Raytheon Company Cyber attack analysis
JP5868514B2 (ja) * 2012-09-19 2016-02-24 三菱電機株式会社 情報処理装置及び情報処理方法及びプログラム
US9124618B2 (en) * 2013-03-01 2015-09-01 Cassidian Cybersecurity Sas Process of reliability for the generation of warning messages on a network of synchronized data
JP6104149B2 (ja) 2013-12-24 2017-03-29 三菱電機株式会社 ログ分析装置及びログ分析方法及びログ分析プログラム
JP6000495B2 (ja) * 2014-02-26 2016-09-28 三菱電機株式会社 攻撃検知装置、攻撃検知方法、及び攻撃検知プログラム

Also Published As

Publication number Publication date
EP3657372A4 (en) 2020-06-03
JPWO2019058489A1 (ja) 2019-12-26
CN111108495A (zh) 2020-05-05
WO2019058489A1 (ja) 2019-03-28
EP3657372A1 (en) 2020-05-27
US20210014262A1 (en) 2021-01-14

Similar Documents

Publication Publication Date Title
US11223625B2 (en) System and method for detecting malicious device by using a behavior analysis
US10291630B2 (en) Monitoring apparatus and method
US9952921B2 (en) System and method for detecting and predicting anomalies based on analysis of time-series data
US10354197B2 (en) Pattern analytics for real-time detection of known significant pattern signatures
US20180307832A1 (en) Information processing device, information processing method, and computer readable medium
US20170139759A1 (en) Pattern analytics for real-time detection of known significant pattern signatures
US8813229B2 (en) Apparatus, system, and method for preventing infection by malicious code
US20160212157A1 (en) System and method for analyzing large-scale malicious code
US9355005B2 (en) Detection apparatus and detection method
JP6400255B2 (ja) 侵入検知装置および侵入検知プログラム
US20210117538A1 (en) Information processing apparatus, information processing method, and computer readable medium
JP7127525B2 (ja) 検知装置、検知方法、および、検知プログラム
JP6671557B2 (ja) アラート頻度制御装置およびアラート頻度制御プログラム
US10984105B2 (en) Using a machine learning model in quantized steps for malware detection
US20210010950A1 (en) Inspection device, inspection method, and computer readable medium
JP2017068691A (ja) 診断プログラム、診断方法および診断装置
WO2020170500A1 (ja) 検知ルール群調整装置および検知ルール群調整プログラム
US10599509B2 (en) Management system and management method for computer system
US20170185772A1 (en) Information processing system, information processing method, and program
CN109150871B (zh) 安全检测方法、装置、电子设备及计算机可读存储介质
CN113704749A (zh) 一种恶意挖矿检测处理方法和装置
US10810098B2 (en) Probabilistic processor monitoring
KR20200021277A (ko) 공격검출장치 및 방법
JP7023433B2 (ja) インシデント対応効率化システム、インシデント対応効率化方法およびインシデント対応効率化プログラム
JP2016024506A (ja) データ処理装置及びデータ処理方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191007

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20191007

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20191107

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191113

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200204

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200303

R150 Certificate of patent or registration of utility model

Ref document number: 6671557

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250