JP6671557B2 - アラート頻度制御装置およびアラート頻度制御プログラム - Google Patents
アラート頻度制御装置およびアラート頻度制御プログラム Download PDFInfo
- Publication number
- JP6671557B2 JP6671557B2 JP2019542896A JP2019542896A JP6671557B2 JP 6671557 B2 JP6671557 B2 JP 6671557B2 JP 2019542896 A JP2019542896 A JP 2019542896A JP 2019542896 A JP2019542896 A JP 2019542896A JP 6671557 B2 JP6671557 B2 JP 6671557B2
- Authority
- JP
- Japan
- Prior art keywords
- activity
- attack
- interval
- alert
- scenario
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000000694 effects Effects 0.000 claims description 430
- 238000000034 method Methods 0.000 claims description 121
- 238000001514 detection method Methods 0.000 description 57
- 238000012545 processing Methods 0.000 description 41
- 238000010586 diagram Methods 0.000 description 15
- 230000006870 function Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 8
- 230000004044 response Effects 0.000 description 4
- 239000013589 supplement Substances 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000010485 coping Effects 0.000 description 3
- 230000007423 decrease Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 238000005259 measurement Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000001174 ascending effect Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000009440 infrastructure construction Methods 0.000 description 1
- 238000011838 internal investigation Methods 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
- H04L41/064—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis involving time analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
攻撃シナリオは、一連の攻撃活動における攻撃活動の流れを示す。
そのため、個々の攻撃活動を分析するだけでは標的型攻撃の誤検知が多数発生してしまう。
一方、攻撃シナリオに合致する一連の攻撃活動を監視することにより、標的型攻撃らしい一連の攻撃活動を検知することが可能となる。
標的型攻撃らしい一連の攻撃活動が検知された場合、オペレータが検知された一連の攻撃活動に対処する。
検知される一連の攻撃活動の数が増大すると、オペレータによる対処が困難となる。その結果、標的型攻撃が放置されてしまう可能性がある。
しかし、オペレータによる対処を可能とするために、検知される一連の攻撃活動の数を減らしすぎると、標的型攻撃の検知漏れが増えてしまう。
サイバー攻撃の複数のフェーズのうちのいずれかのフェーズに属する攻撃活動が検知された場合に、フェーズ毎に1つ以上の攻撃活動のそれぞれの発生間隔を含む活動間隔データを用いて、各フェーズの代表の攻撃活動で構成される攻撃シナリオについて発生間隔を算出する算出部と、
前記攻撃シナリオの前記発生間隔に基づいて、アラートの要否を判定する判定部とを備える。
その結果、サイバー攻撃の検知漏れが増えず、且つ、サイバー攻撃の対処漏れが減ることとなる。
一連の攻撃活動の発生に関するアラートの頻度を制御するための形態について、図1から図15に基づいて説明する。
図1に基づいて、アラート頻度制御装置100の構成を説明する。
アラート頻度制御装置100は、プロセッサ901とメモリ902と補助記憶装置903と通信装置904といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
メモリ902は揮発性の記憶装置である。メモリ902は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ902はRAM(Random Access Memory)である。メモリ902に記憶されたデータは必要に応じて補助記憶装置903に保存される。
補助記憶装置903は不揮発性の記憶装置である。例えば、補助記憶装置903は、ROM(Read Only Memory)、HDD(Hard Disk Drive)、またはフラッシュメモリである。補助記憶装置903に記憶されたデータは必要に応じてメモリ902にロードされる。
Card)である。
さらに、補助記憶装置903にはOS(Operating System)が記憶されている。OSの少なくとも一部は、メモリ902にロードされて、プロセッサ901によって実行される。
つまり、プロセッサ901は、OSを実行しながら、アラート頻度制御プログラムを実行する。
アラート頻度制御プログラムを実行して得られるデータは、メモリ902、補助記憶装置903、プロセッサ901内のレジスタまたはプロセッサ901内のキャッシュメモリといった記憶装置に記憶される。
通信装置904はデータを受信する受信部192として機能する。また、通信装置904はデータを送信する送信部193として機能する。
図2に基づいて、攻撃シナリオについて説明する。
サイバー攻撃は複数のフェーズから成り、複数のフェーズによってサイバー攻撃が行われる。フェーズは、攻撃過程における段階を意味する。サイバー攻撃の具体例は標的型攻撃である。
例えば、サイバー攻撃は、第1フェーズから第3フェーズで構成される。第1フェーズは初期侵入と呼ばれる段階であり、第2フェーズは基盤構築と呼ばれる段階であり、第3フェーズは内部調査と呼ばれる段階である。
但し、第1フェーズから第3フェーズが上記の通りに分類される必要はない。つまり、第1フェーズから第3フェーズは、別の分類方法、より細分化された分類方法または別の名称を用いた分類方法などで分類されてもよい。また、第1フェーズから第3フェーズのうちの一部のフェーズによってサイバー攻撃が構成される場合がある。また、第4フェーズ以降のフェーズがサイバー攻撃に含まれる場合がある。
それぞれの攻撃活動は、いずれかのフェーズに属する。
攻撃シナリオ(A)は、攻撃活動1−1と攻撃活動2−1と攻撃活動3−1とで構成される。攻撃活動1−1は、「指示を受信」という攻撃活動であり、第1フェーズに属する。「指示を受信」において、端末に感染したマルウェアは外部からの指示を受信する。攻撃活動2−1は、「端末を調査」という攻撃活動であり、第2フェーズに属する。「端末を調査」において、マルウェアは端末に記憶されているデータを調査する。攻撃活動3−1は、「サーバへのアクセス権を入手」という攻撃活動であり、第3フェーズに属する。「サーバへのアクセス権を入手」において、マルウェアはサーバにアクセスする権利を端末から入手する。
但し、第1フェーズから第3フェーズのうちの一部のフェーズに対応する一部の攻撃活動によって攻撃シナリオが構成される場合がある。また、第4フェーズ以降のフェーズに属する攻撃活動が攻撃シナリオに含まれる場合がある。
例えば、攻撃シナリオ(B)は、攻撃活動2−2と攻撃活動3−2とで構成される。攻撃活動2−2は第2フェーズに属し、攻撃活動3−2は第3フェーズに属する。また、攻撃シナリオ(C)は、攻撃活動1−3と攻撃活動3−3とで構成される。攻撃活動1−3は第1フェーズに属し、攻撃活動3−3は第3フェーズに属する。
アラート頻度制御装置100の動作はアラート頻度制御方法に相当する。また、アラート頻度制御方法の手順はアラート頻度制御プログラムの手順に相当する。
ステップS110において、管理部110は活動データを受け付ける。
活動データは、検知された攻撃活動の情報を含んだデータである。
具体的には、ネットワーク監視装置が従来の監視方法によって攻撃活動を検知し、検知された攻撃活動の活動データをアラート頻度制御装置100へ送信する。そして、送信された活動データがアラート頻度制御装置100に到達すると受付処理(S110)が実行される。
ステップS111において、受信部192は活動データを受信する。
活動データ201は、活動名称と発生端末と発生時刻などの情報を含んでいる。
活動名称は、検知された攻撃活動の種類を識別する。活動データ201に示される活動名称は「スケジュールされたタスクの実行」である。
発生端末は、検知された攻撃活動が発生した端末である。活動データ201に示される発生端末は「端末A」である。
発生時刻は、検知された攻撃活動が発生した時刻である。活動データ201に示される発生時刻は「2017/05/23 12:34」である。
ステップS112からステップS114における発生端末は、受信された活動データに示される発生端末を意味する。
発生端末用の端末ファイルが記憶部191に記憶されている場合、処理はステップS113に進む。
発生端末用の端末ファイルが記憶部191に記憶されていない場合、処理はステップS114に進む。
端末ファイル210は、端末毎に作成される活動登録ファイルであり、記憶部191に記憶されている。
端末ファイル210には、フェーズ毎に当該フェーズに属する各攻撃活動の活動登録データが登録されている。つまり、攻撃活動の種類(活動名称)ごとに、攻撃活動の活動登録データが、攻撃活動が属するフェーズに対応付けられて、端末ファイル210に登録されている。活動登録データは、活動データに含まれる情報を基に生成される。
図6において、端末ファイル210には、攻撃活動E11と攻撃活動E12と攻撃活動E22とのそれぞれの活動登録データが登録されている。
活動登録データ202は、活動名称と発生端末とを示している。
ステップS113において、管理部110は、発生端末用の端末ファイルを記憶部191から選択する。
ステップS120以降の処理において、検知された攻撃活動を検知活動という。また、ステップS110で受け付けられた活動データを検知活動の活動データという。
シナリオ間隔は、攻撃シナリオの発生間隔である。つまり、シナリオ間隔は、攻撃シナリオが発生する間隔を示す時間である。
その攻撃シナリオは、各フェーズの代表の攻撃活動とで構成される。
図2において第3フェーズに属するいずれかの攻撃活動が検知された場合、例えば、攻撃シナリオ(A)の発生間隔が算出される。攻撃シナリオ(A)は、攻撃活動1−1と攻撃活動2−1と攻撃活動3−1とで構成される。攻撃シナリオ(A)において、攻撃活動3−1は、検知活動が属する第3フェーズの攻撃活動である。また、攻撃活動2−1は第3フェーズより前の第2フェーズの攻撃活動であり、攻撃活動1−1は第3フェーズより前の第1フェーズの攻撃活動である。
活動間隔データは、フェーズ毎に1つ以上の攻撃活動のそれぞれの発生間隔を含むデータである。活動間隔データは記憶部191に記憶されている。
活動間隔データ220は、端末と各フェーズの攻撃活動との組に対応付けて活動間隔と発生回数と前回時刻とを含む。図8において、活動間隔データ220に示している値は活動間隔である。
活動間隔は、攻撃活動の発生間隔である。つまり、活動間隔は、攻撃活動が発生する間隔を示す時間である。具体的には、活動間隔は、攻撃活動の平均の発生間隔である。
例えば、攻撃活動E11および攻撃活動E12は第1フェーズに属する。端末Aにおける攻撃活動E11の発生間隔は72分であり、端末Aにおける攻撃活動E12の発生間隔は65分である。
例えば、攻撃活動E21および攻撃活動E22は第2フェーズに属し、端末Aにおける攻撃活動E21の発生間隔は96分であり、端末Aにおける攻撃活動E22の発生間隔は110分である。
発生回数は、攻撃活動が発生した回数である。
前回時刻は、攻撃活動が前回発生した時刻である。
ステップS121において、算出部120は検知活動のフェーズを判定する。
検知活動のフェーズは、検知活動が属するフェーズである。
攻撃活動一覧230は、活動名称とフェーズ番号とを互いに対応付けている。
活動名称は、攻撃活動を識別する。
フェーズ番号は、フェーズを識別する。
例えば、攻撃活動E11および攻撃活動E12は第1フェーズに属し、攻撃活動E21および攻撃活動E22は第2フェーズに属する。
算出部120は、検知活動のフェーズを以下のように判定する。
まず、算出部120は、検知活動の活動データから活動名称を取得する。取得された活動名称を検知活動の活動名称という。
次に、算出部120は、検知活動の活動名称と同じ活動名称を攻撃活動一覧から選択する。
そして、算出部120は、選択された活動名称に対応付けられたフェーズ番号を攻撃活動一覧から取得する。取得されたフェーズ番号で識別されるフェーズが、検知活動のフェーズである。
ステップS1221において、算出部120は、検知活動のフェーズに対応付けられた活動登録データ群を発生端末用の端末ファイルから選択する。
図11において、検知活動のフェーズを対象フェーズといい、対象フェーズに対応付けられた活動登録データ群を対象フェーズの活動登録データ群という。
発生端末用の端末ファイルは、図4のステップS113で選択された端末ファイルまたは図4のステップS114で生成された端末ファイルである。
図11において、検知活動と同じ種類の攻撃活動を対象活動という。
対象活動の活動登録データが対象フェーズの活動登録データ群に含まれない場合、処理はステップS1223に進む。
ステップS123において、算出部120は、検知活動に関して活動間隔データを更新する。
ステップS1231において、算出部120は、発生端末と対象活動とに対応付けられた情報が活動間隔データに登録されているか判定する。対象活動は、検知活動と同じ種類の攻撃活動である。
図12において、発生端末と対象活動とに対応付けられた情報を対象情報という。
対象情報が活動間隔データに登録されている場合、処理はステップS1233に進む。
対象情報が活動間隔データに登録されていない場合、処理はステップS1232に進む。
登録される対象情報において、活動間隔はゼロであり、発生回数はゼロであり、前回時刻は初期時刻である。初期時刻は予め決められた時刻である。
新たな活動間隔 = (総活動期間+経過時間)/(発生回数+1)
総活動期間 = 発生回数 × 活動間隔
経過時間 = 発生時刻 − 前回時刻
発生時刻は、検知された攻撃活動が発生した時刻であり、検知活動の活動データに含まれる。
ステップS124において、算出部120は、活動間隔データを用いてシナリオ間隔を算出する。
具体的には、算出部120は、各フェーズの代表の発生間隔を活動間隔データから選択する。そして、算出部120は、選択された代表の発生間隔の合計を算出する。算出される合計がシナリオ間隔である。
ステップS1241において、算出部120は、活動間隔データにおける最大フェーズ番号を変数nに設定する。
活動間隔データにおける最大フェーズ番号は、活動間隔データにおいて活動間隔が登録されているフェーズの中で最大のフェーズを識別する番号である。
図13において、変数nに設定されている値を変数nの値という。
第nフェーズは、変数nの値で識別されるフェーズである。
まず、算出部120は、第nフェーズの各攻撃活動に対応付けられた活動間隔を活動間隔データから取得する。
そして、算出部120は、取得された活動間隔から最長の活動間隔を選択する。選択される最長の活動間隔が第nフェーズにおける代表の活動間隔である。
変数nの値が1以上である場合、処理はステップS1245に進む。
変数nの値が1未満である場合、処理はステップS1246に進む。
第nフェーズの攻撃活動に対応付けられた活動間隔が活動間隔データに登録されている場合、処理はステップS1242に進む。
第nフェーズの攻撃活動に対応付けられた活動間隔が活動間隔データに登録されていない場合、処理はステップS1243に進む。
ステップS130において、判定部130は、シナリオ間隔に基づいてアラートの要否を判定する。
具体的には、判定部130は、シナリオ間隔が基準時間より長い場合にアラートが必要であると判定する。
ステップS131において、判定部130は、シナリオ間隔を基準時間と比較する。
シナリオ間隔が基準時間以上である場合、処理はステップS132に進む。
シナリオ間隔が基準時間未満である場合、処理はステップS133に進む。
ステップS140において、管理部110および通知部140は、判定結果に応じて処理を行う。つまり、管理部110および通知部140は、アラートの要否に応じて処理を行う。
ステップS130でアラートが必要であると判定された場合、処理はステップS141に進む。
ステップS130でアラートが不要であると判定された場合、処理は終了する。
例えば、通知部140は、以下の(1)のデータまたは(2)の情報などを含んだアラートデータを生成し、生成されたアラートデータを送信部193を介してオペレーションセンタへ送信する。
(1)図3のステップS110で受け付けられた活動データ。
(2)図3のステップS120で算出されたシナリオ間隔に対応する攻撃シナリオに関する情報。攻撃シナリオに関する情報とは、攻撃シナリオを構成する各攻撃活動の活動名称などである。
発生端末用の端末ファイルは、図4のステップS113で選択された端末ファイルまたは図4のステップS114で生成された端末ファイルである。
図13のシナリオ間隔算出処理(S124)は次のような理論に基づく。
正常な活動と攻撃活動とを正確に識別することは困難である。そのため、正常な活動を攻撃活動として誤検知する可能性がある。誤検知がランダムなタイミングで発生すると仮定した場合、検知される攻撃活動の発生間隔は指数分布に従う。このとき、各攻撃活動が次に発生するまでの時間は、各攻撃活動の平均発生間隔で表現できる。
さらに、各攻撃活動が独立な指数分布に従って発生すると仮定すると、各フェーズの攻撃活動がフェーズ順に発生する間隔は、指数分布の無記憶性により、各攻撃活動の平均発生間隔の和で表現することができる。
一連の攻撃活動の発生に関する各アラートに対処することが可能な程度に、アラートの頻度を制御することが可能となる。
その結果、サイバー攻撃の検知漏れが増えず、且つ、サイバー攻撃の対処漏れが減ることとなる。
活動間隔またはシナリオ間隔といった発生間隔は、発生頻度の逆数に相当する。言い換えると、発生頻度は発生間隔の逆数に相当する。発生頻度は、単位時間当たりの発生回数である。例えば、10分という発生間隔は1時間当たり6回という発生頻度に相当する。
そのため、各発生間隔は発生頻度に変換されてもよい。その場合、基準時間の代わりに基準頻度が用いられる。基準頻度は基準時間の逆数に相当する。
各フェーズの攻撃活動が時系列順に発生する組み合わせについてシナリオ間隔を算出する形態について、主に実施の形態1と異なる点を図16から図18に基づいて説明する。
アラート頻度制御装置100の構成は、実施の形態1における構成(図1参照)と同じである。
活動登録データ202は、シナリオ間隔を含んでいる。
アラート頻度制御方法の手順は、実施の形態1における手順(図3参照)と同じである。
但し、算出処理(S120)の一部が実施の形態1における処理と異なる。具体的には、図9の算出処理(S120)において、シナリオ間隔算出処理(S124)が実施の形態1における処理と異なる。
ステップS1241において、算出部120は、検知活動のフェーズを識別する番号を変数nに設定する。
図13において、検知活動のフェーズを識別する番号を対象フェーズ番号という。また、変数nに設定されている値を変数nの値という。
具体的には、算出部120は、発生端末と対象活動との組に対応付けられた活動間隔を活動間隔データから取得する。対象活動は、検知活動と同じ種類の攻撃活動である。
変数nの値が1以上である場合、処理はステップS1245に進む。
変数nの値が1未満である場合、処理はステップS1248に進む。
第nフェーズの活動登録データ群が発生端末用の端末ファイルに登録されている場合、処理はステップS1246に進む。
第nフェーズの活動登録データ群が発生端末用の端末ファイルに登録されていない場合、処理はステップS1243に進む。
まず、算出部120は、第nフェーズの各活動登録データのシナリオ間隔を比較する。
次に、算出部120は、第nフェーズの代表の活動登録データを選択する。第nフェーズの代表の活動登録データは、第nフェーズの活動登録データ群の中で最長のシナリオ間隔が設定されている活動登録データである。
そして、算出部120は、第nフェーズの代表の活動登録データからシナリオ間隔を取得する。取得されるシナリオ間隔が第nフェーズにおける代表のシナリオ間隔である。
検知活動に対応する活動登録データは、検知活動と同じ種類の攻撃活動の活動登録データである。
まず、算出部120は、ステップS1242で取得された活動間隔とステップS1246で選択された代表のシナリオ間隔との合計を算出する。算出される合計を合計間隔という。
次に、算出部120は、検知活動に対応する活動登録データを発生端末用の端末ファイルから選択する。
そして、算出部120は、検知活動に対応する活動登録データに合計間隔をシナリオ間隔として設定する。
検知活動に対応する活動登録データにシナリオ間隔が既に設定されていた場合、算出部120はシナリオ間隔の値を合計間隔に更新する。
検知活動に対応する活動登録データは、検知活動と同じ種類の攻撃活動の活動登録データである。
まず、算出部120は、検知活動に対応する活動登録データを発生端末用の端末ファイルから選択する。
そして、算出部120は、検知活動に対応する活動登録データに検知活動に対応する活動間隔(ステップS1242で取得)をシナリオ間隔として設定する。
検知活動(E31)のフェーズは第3フェーズである。また、検知活動(E31)に対応する活動間隔の値は118である。
第2フェーズにおいて、攻撃活動E21の活動間隔の値は168であり、攻撃活動E22の活動間隔の値は182である。したがって、第2フェーズにおける代表の活動間隔の値は182(>168)である。
この場合、検知活動(E31)に対応する活動登録データにはシナリオ間隔の値として300(=118+182)が設定される。
第nフェーズにおける最長の活動間隔(代表の活動間隔)を選択することは、第nフェーズまでの各フェーズの攻撃活動の組み合わせのうち最も発生間隔が長い組み合わせを選択することに相当する。フェーズ番号nの昇順は時系列順に対応し、選択された組み合わせの各フェーズの攻撃活動はフェーズ番号nの順に発生したことになる。
各フェーズの攻撃活動が時系列順に発生する組み合わせについてシナリオ間隔を算出することができる。
アラートの通知時にオペレータに情報を提供することを可能とする形態について、主に実施の形態2と異なる点を図19から図21に基づいて説明する。
アラート頻度制御装置100の構成は、実施の形態1における構成(図1参照)と同じである。
活動登録データ202は、発生時刻リストと対応シナリオといった情報を含んでいる。
発生時刻リストは、対象活動の発生時刻のリストである。つまり、端末ファイルの生成後において対象活動が発生した時刻のリストである。対象活動は、活動登録データ202に含まれる活動名称で識別される攻撃活動である。
対応シナリオは、シナリオ間隔に対応するシナリオにおける各フェーズの攻撃活動の活動名称を示す。
シナリオ間隔は、対応シナリオが発生する間隔である。
アラート頻度制御方法の手順は、実施の形態1における手順(図3参照)と同じである。
但し、算出処理(S120)の一部が実施の形態1における処理と異なる。具体的には、図9の算出処理(S120)において、登録処理(S122)およびシナリオ間隔算出処理(S124)が実施の形態1における処理と異なる。
ステップS1221からステップS1223は、実施の形態1(図11参照)で説明した通りである。
ステップS1223の後、処理はステップS1224に進む。
具体的には、算出部120は、検知活動の活動データから発生時刻を取得する。取得される発生時刻が検知活動の発生時刻である。そして、算出部120は、対象活動の活動登録データの中の発生時刻リストに検知活動の発生時刻を追加する。
ステップS1241からステップ1246は、実施の形態2(図17)における処理と同じである。
ステップS1247およびステップS1248は、実施の形態2(図17)における処理と一部異なる。
検知活動に対応する活動登録データは、検知活動と同じ種類の攻撃活動の活動登録データである。
まず、算出部120は、第nフェーズにおける代表の活動登録データから対応シナリオを取得する。取得される対応シナリオを代表シナリオという。
第nフェーズにおける代表の活動登録データは、第nフェーズにおける代表のシナリオ間隔が設定されている活動登録データである(ステップS1246を参照)。
次に、算出部120は、検知活動に対応する活動登録データに代表シナリオを対応シナリオとして設定する。検知活動に対応する活動登録データに対応シナリオが既に設定されていた場合、算出部120は、設定されている対応シナリオを削除した後に代表シナリオを対応シナリオとして設定する。
そして、算出部120は、検知活動に対応する活動登録データの中の対応シナリオに検知活動のフェーズの欄を追加し、追加した欄に検知活動の活動名称を設定する。
検知活動に対応する活動登録データは、検知活動と同じ種類の攻撃活動の活動登録データである。
ステップS141(図15参照)において、通知部140は、検知活動に対応する活動登録データから発生時刻リストと対応シナリオといった情報を取得し、取得した情報をアラートに含めて通知する。
発生時刻リストおよび対応シナリオがオペレータに通知されることにより、オペレータの対応を迅速化させる効果が得られる。通知される情報は、発生時刻リストと対応シナリオとの一方であってもよい。
判定処理(S130)の回数を減らす形態について、主に実施の形態3と異なる点を図22から図25に基づいて説明する。
アラート頻度制御装置100の構成は、実施の形態1における構成(図1参照)と同じである。
端末ファイル210は、暫定間隔を含んでいる。
暫定間隔は、暫定のシナリオ間隔である。
図23に基づいて、アラート頻度制御方法を説明する。
ステップS120においてアラートが不要であると判定された場合、処理はステップS140に進む。
ステップS120においてアラートが不要であると判定されなかった場合、処理はステップS130に進む。
ステップS1241からステップS1248は、実施の形態3(図21)における処理と同じである。
発生端末に対応する暫定間隔は、発生端末用の端末ファイルに登録されている暫定間隔である。
暫定間隔更新処理(S1249)において、ステップS1247またはステップS1248で検知活動に対応する活動登録データに設定されたシナリオ間隔を検知活動に対応するシナリオ間隔という。
検知活動に対応するシナリオ間隔は、シナリオ間隔算出処理(S124)で算出されたシナリオ間隔となる。
シナリオ間隔が暫定間隔より大きい場合、処理はステップS12492に進む。
シナリオ間隔が暫定間隔以下である場合、処理はステップS12493に進む。
発生端末に対応する暫定間隔が更新された場合にだけ判定処理(S130)が実行される。これにより、判定処理(S130)の回数を減らすことができる。そして、計算リソースを削減することが可能となる。
なお、実施の形態4は、実施の形態1または実施の形態2に適用してもよい。
基準時間を決定する形態について、主に実施の形態1と異なる点を図26から図31に基づいて説明する。
図26に基づいて、アラート頻度制御装置100の構成を説明する。
アラート頻度制御装置100は、さらに、決定部150を備える。
アラート頻度制御プログラムは、さらに、決定部150としてコンピュータを機能させる。
図27に基づいて、アラート頻度制御方法を説明する。
ステップS200において、決定部150は基準時間を決定する。
例えば、ステップS200は、アラート頻度制御装置100の運用が始まる前の試験期間に行われる。
ステップS200では、模擬された複数の活動データが用いられる。但し、使用されるデータが、模擬されたデータに限定されるわけではない。つまり、実データが用いられてもよい。例えば、既存の装置からアラート頻度制御装置100に実データをコピーすることにより、実データを用いることが可能となる。
算出部120は、1つ以上の攻撃シナリオのそれぞれの仮発生間隔を算出する。仮発生間隔は、ステップS200で算出される発生間隔、つまり、基準時間が決定される前に算出される発生間隔である。
各仮発生間隔が暫定時間より長い場合、判定部130は、アラートが必要であると判定する。暫定時間は、基準時間に相当する時間である。
そして、決定部150は、アラートが必要であると判定された頻度を推定頻度として計測し、推定頻度に基づいて基準時間を決定する。
推定頻度が更新停止条件を満たす場合、決定部150は暫定時間を基準時間に決定する。更新停止条件は、暫定時間の更新が停止される条件として予め決められた条件である。
推定頻度が更新停止条件を満たさない場合、決定部150は、暫定時間を更新する。
暫定時間が更新された後、算出部120は、1つ以上の新たな仮発生間隔を算出する。
各新たな仮発生間隔が更新後の暫定時間より長い場合、判定部130は、アラートが必要であると判定する。
決定部150は、暫定時間が更新された後にアラートが必要であると判定された頻度を新たな推定頻度として計測する。
そして、新たな推定頻度が更新停止条件を満たす場合、決定部150は更新後の暫定時間を基準時間に決定する。
ステップS210において、決定部150は、暫定時間と第1時間と第2時間とを初期化する。
第1時間は、現在の暫定時間より短い過去の暫定時間のうち最も長い過去の暫定時間である。つまり、第1時間は、現在の暫定時間より短くて現在の暫定時間に長さが最も近い過去の暫定時間である。
第2時間は、現在の暫定時間より長い過去の暫定時間のうち最も短い過去の暫定時間である。つまり、第2時間は、現在の暫定時間より長くて現在の暫定時間に長さが最も近い過去の暫定時間である。
暫定時間TCは、現在の暫定時間である。暫定時間T1から暫定時間T10は、過去の暫定時間である。
第1時間は、暫定時間TCより短い暫定時間T1から暫定時間T5のうち最も長い暫定時間T5である。
第2時間は、暫定時間TCより長い暫定時間T6から暫定時間T10のうち最も短い暫定時間T6である。
具体的には、決定部150は、暫定時間と第1時間と第2時間とのそれぞれに初期値を設定する。
例えば、決定部150は、暫定時間に1を設定し、第1時間に0を設定し、第2時間に無限大を設定する。
具体的には、予め決められた計測時間の間、模擬された各活動データがアラート頻度制御装置100に入力される。そして、管理部110、算出部120および判定部130が、模擬された各活動データに対する処理を行う。その処理は、実際の各活動データに対する処理(S110〜S140)と同じである。
ステップS220で算出部120によって算出される発生間隔を仮発生間隔という。各仮発生間隔が暫定時間より長い場合、判定部130はアラートが必要であると判定する。
決定部150は、アラートが必要であると判定された頻度を計測する。計測される頻度が推定頻度である。
具体的には、決定部150は、アラートが必要であると判定されたアラート回数を数え、計測時間を単位時間で割って得られる値でアラート回数を割る。その結果、得られる値が推定頻度である。
0 < (λE−λS) < (0.05×λS)
λEは推定頻度である。
λSは基準頻度である。基準頻度は予め決められた頻度である。具体的には、基準頻度は、オペレーションセンタで各アラートを処理することが可能なアラート頻度である。
推定頻度が基準頻度より大きく基準頻度の1.05倍より小さい場合、推定頻度が更新停止条件を満たす。
推定頻度が更新停止条件を満たさない場合、処理はステップS240に進む。
具体的には、暫定時間は以下のように更新される。
推定頻度が基準頻度以下である場合、決定部150は暫定時間を縮める。
推定頻度が基準頻度の1.05倍以上である場合、決定部150は暫定時間を延ばす。
ステップS240の後、処理はステップS220に進む。
ステップS241(図30参照)において、決定部150は、推定頻度を基準頻度と比較する。
推定頻度が基準頻度より大きい場合、処理はステップS242に進む。
推定頻度が基準頻度以下である場合、処理はステップS246(図31参照)に進む。
Smax = Tp
Tpは暫定時間である。
Smaxは第1時間である。
第2時間が第2時間用の初期値(無限大)である場合、処理はステップS244に進む。
第2時間が第2時間用の初期値(無限大)でない場合、処理はステップS245に進む。
Tp = 2Tp
Tpは暫定時間である。
Tp = (Lmin+Tp)/2
Tpは暫定時間である。
Lminは第2時間である。
Lmin = Tp
Tpは暫定時間である。
Lminは第2時間である。
第1時間が第1時間用の初期値(無限大)である場合、処理はステップS248に進む。
第1時間が第1時間用の初期値(無限大)でない場合、処理はステップS249に進む。
Tp = Tp/2
Tpは暫定時間である。
Tp = (Smax+Tp)/2
Tpは暫定時間である。
Smaxは第1時間である。
ステップS200の後、ステップS110からステップS140が実行される。
ステップS110からステップS140は、実施の形態1(図3参照)で説明した通りである。ステップS130では、ステップS200で決定された基準時間が用いられる。
実施の形態1に適した基準時間を自動で決定することができる。
その結果、より適切にアラートの頻度を制御することが可能となる。そして、サイバー攻撃の検知漏れが増えず、且つ、サイバー攻撃の対処漏れが減ることとなる。
基準時刻を調整する形態について、主に実施の形態1と異なる点を図32および図33に基づいて説明する。
図32に基づいて、アラート頻度制御装置100の構成を説明する。
アラート頻度制御装置100は、さらに、調整部160を備える。
アラート頻度制御プログラムは、さらに、調整部160としてコンピュータを機能させる。
調整部160は、指定された調整期間の間、調整処理(S300)を実行する。調整期間の満了後、調整部160は、アラート頻度制御装置100を調整処理(S300)の実行前の状態に戻す。
例えば、調整部160は、アラート頻度制御装置100が運用される日ごとに、運用終了時刻の1時間前に調整処理(S300)を実行し、運用終了時刻にアラート頻度制御装置100を調整処理(S300)の実行前の状態に戻す。
具体的には、調整部160は、基準時間に基づいてアラートが必要であると判定された頻度を現在頻度として計測し、現在頻度に基づいて基準時間を調整する。
ステップS310において、調整部160は現在頻度を計測する。
具体的には、調整部160は、運用開始時刻から調整時刻までのアラート回数を数える。アラート回数は、アラートが必要であると判定された回数である。そして、調整部160は、運用開始時刻から調整時刻までの時間を単位時間で割って得られる値でアラート回数を割る。その結果、得られる値が現在頻度である。
調整条件は、基準時間が調整される条件として予め決められた条件である。
λN < λS
λNは現在頻度である。
λSは基準頻度である。基準頻度は予め決められた頻度である。具体的には、基準頻度は、オペレーションセンタで各アラートを処理することが可能なアラート頻度である。
現在頻度が基準頻度未満である場合、現在頻度が調整条件を満たす。
現在頻度が調整条件を満たさない場合、処理は終了する。この場合、基準時間は調整されない。
具体的には、調整部160は基準時間を縮める。
具体的には、調整部160は、1分ごとに基準時間を1小さくし、1分ごとに現在頻度を計算する。現在頻度が調整条件を満たさなくなった場合、調整部160は基準時間を元の値に戻す。
λS = λS + (λS − λN)
次に、調整部160は、実施の形態5の方法を適用して、複数の基準頻度に対する基準時間を予め求める。
そして、調整部160は、更新された基準頻度を超えず、且つ、更新された基準頻度に最も近い基準頻度に対応する基準時間を調整後の基準時間とする。
各アラートに対処することが可能な程度に基準時間を自動で調整することができる。
その結果、サイバー攻撃の検知漏れを減らすことができる。
図33の調整処理(S300)において、現在頻度が基準頻度を超える場合、調整部160は基準時間を延ばしてもよい。
図34に基づいて、アラート頻度制御装置100のハードウェア構成を説明する。
アラート頻度制御装置100は処理回路990を備える。
処理回路990は、管理部110と算出部120と判定部130と通知部140と決定部150と調整部160との全部または一部を実現するハードウェアである。
処理回路990は、専用のハードウェアであってもよいし、メモリ902に格納されるプログラムを実行するプロセッサ901であってもよい。
ASICはApplication Specific Integrated Circuitの略称であり、FPGAはField Programmable Gate
Arrayの略称である。
アラート頻度制御装置100は、処理回路990を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路990の役割を分担する。
Claims (11)
- サイバー攻撃の複数のフェーズのうちのいずれかのフェーズに属する攻撃活動が検知された場合に、フェーズ毎に1つ以上の攻撃活動のそれぞれの発生間隔を含む活動間隔データを用いて、各フェーズの代表の攻撃活動で構成される攻撃シナリオについて発生間隔を算出する算出部と、
前記攻撃シナリオの前記発生間隔に基づいて、アラートの要否を判定する判定部と
を備えるアラート頻度制御装置。 - 前記算出部は、各フェーズの代表の発生間隔を前記活動間隔データから選択し、選択された代表の発生間隔の合計を前記攻撃シナリオの前記発生間隔として算出する
請求項1に記載のアラート頻度制御装置。 - 前記算出部は、検知された攻撃活動に対応する発生間隔を前記活動間隔データから取得し、フェーズ毎に各攻撃活動に対応するシナリオ間隔を含む活動登録ファイルから、前記検知された攻撃活動が属するフェーズの前のフェーズにおける代表のシナリオ間隔を選択し、前記検知された攻撃活動に対応する前記発生間隔と前記代表のシナリオ間隔との合計を前記攻撃シナリオの前記発生間隔として算出する
請求項1に記載のアラート頻度制御装置。 - 前記算出部は、前記活動登録ファイルに前記攻撃シナリオの前記発生間隔を前記検知された攻撃活動に対応するシナリオ間隔として設定する
請求項3に記載のアラート頻度制御装置。 - 前記活動登録ファイルは、フェーズ毎に各攻撃活動に対応する攻撃シナリオの情報である対応シナリオを含み、
前記算出部は、前記検知された攻撃活動が属するフェーズの前のフェーズにおける代表の対応シナリオを前記活動登録ファイルから取得し、前記活動登録ファイルに前記代表の対応シナリオと前記検知された攻撃活動とを前記検知された攻撃活動に対応する対応シナリオとして設定する
請求項4に記載のアラート頻度制御装置。 - 前記判定部は、前記攻撃シナリオの前記発生間隔が基準時間より長い場合にアラートが必要であると判定する
請求項1から請求項5のいずれか1項に記載のアラート頻度制御装置。 - 前記算出部は、前記攻撃シナリオの前記発生間隔を暫定間隔と比較し、前記攻撃シナリオの前記発生間隔が前記暫定間隔より大きい場合に前記暫定間隔を前記攻撃シナリオの前記発生間隔に更新し、前記攻撃シナリオの前記発生間隔が前記暫定間隔より大きい場合にアラートが不要であると判定し、
前記判定部は、アラートが不要であると判定された場合にアラートの要否を判定しない請求項6に記載のアラート頻度制御装置。 - 前記アラート頻度制御装置は、前記基準時間を決定する決定部を備え、
前記算出部は、前記基準時間が決定される前に、1つ以上の攻撃シナリオのそれぞれの仮発生間隔を算出し、
前記判定部は、各仮発生間隔が暫定時間より長い場合にアラートが必要であると判定し、
前記決定部は、前記基準時間が決定される前にアラートが必要であると判定された頻度を推定頻度として計測し、前記推定頻度に基づいて前記基準時間を決定する
請求項6または請求項7に記載のアラート頻度制御装置。 - 前記決定部は、前記推定頻度が更新停止条件を満たす場合に前記暫定時間を前記基準時間に決定し、前記推定頻度が前記更新停止条件を満たさない場合に前記暫定時間を更新し、
前記算出部は、前記暫定時間が更新された後に、1つ以上の新たな仮発生間隔を算出し、
前記判定部は、各新たな仮発生間隔が更新後の暫定時間より長い場合にアラートが必要であると判定し、
前記決定部は、前記暫定時間が更新された後にアラートが必要であると判定された頻度を新たな推定頻度として計測し、前記新たな推定頻度が前記更新停止条件を満たす場合に前記更新後の暫定時間を前記基準時間に決定する
請求項8に記載のアラート頻度制御装置。 - 前記基準時間に基づいてアラートが必要であると判定された頻度を現在頻度として計測し、前記現在頻度が調整条件を満たす場合に前記基準時間を調整する調整部を備える
請求項6から請求項9のいずれか1項に記載のアラート頻度制御装置。 - サイバー攻撃の複数のフェーズのうちのいずれかのフェーズに属する攻撃活動が検知された場合に、フェーズ毎に1つ以上の攻撃活動のそれぞれの発生間隔を含む活動間隔データを用いて、各フェーズの代表の攻撃活動で構成される攻撃シナリオについて発生間隔を算出する算出処理と、
前記攻撃シナリオの前記発生間隔に基づいて、アラートの要否を判定する判定処理と
をコンピュータに実行させるためのアラート頻度制御プログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2017/034167 WO2019058489A1 (ja) | 2017-09-21 | 2017-09-21 | アラート頻度制御装置およびアラート頻度制御プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2019058489A1 JPWO2019058489A1 (ja) | 2019-12-26 |
JP6671557B2 true JP6671557B2 (ja) | 2020-03-25 |
Family
ID=65810742
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019542896A Active JP6671557B2 (ja) | 2017-09-21 | 2017-09-21 | アラート頻度制御装置およびアラート頻度制御プログラム |
Country Status (5)
Country | Link |
---|---|
US (1) | US20210014262A1 (ja) |
EP (1) | EP3657372A4 (ja) |
JP (1) | JP6671557B2 (ja) |
CN (1) | CN111108495A (ja) |
WO (1) | WO2019058489A1 (ja) |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3999188B2 (ja) * | 2003-10-28 | 2007-10-31 | 富士通株式会社 | 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム |
JP4160002B2 (ja) * | 2004-02-23 | 2008-10-01 | Kddi株式会社 | ログ分析装置、ログ分析プログラムおよび記録媒体 |
US8516596B2 (en) * | 2010-01-26 | 2013-08-20 | Raytheon Company | Cyber attack analysis |
JP5868514B2 (ja) * | 2012-09-19 | 2016-02-24 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
US9124618B2 (en) * | 2013-03-01 | 2015-09-01 | Cassidian Cybersecurity Sas | Process of reliability for the generation of warning messages on a network of synchronized data |
JP6104149B2 (ja) | 2013-12-24 | 2017-03-29 | 三菱電機株式会社 | ログ分析装置及びログ分析方法及びログ分析プログラム |
JP6000495B2 (ja) * | 2014-02-26 | 2016-09-28 | 三菱電機株式会社 | 攻撃検知装置、攻撃検知方法、及び攻撃検知プログラム |
-
2017
- 2017-09-21 EP EP17925578.1A patent/EP3657372A4/en not_active Withdrawn
- 2017-09-21 WO PCT/JP2017/034167 patent/WO2019058489A1/ja unknown
- 2017-09-21 US US16/634,813 patent/US20210014262A1/en not_active Abandoned
- 2017-09-21 CN CN201780094883.9A patent/CN111108495A/zh not_active Withdrawn
- 2017-09-21 JP JP2019542896A patent/JP6671557B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
EP3657372A4 (en) | 2020-06-03 |
JPWO2019058489A1 (ja) | 2019-12-26 |
CN111108495A (zh) | 2020-05-05 |
WO2019058489A1 (ja) | 2019-03-28 |
EP3657372A1 (en) | 2020-05-27 |
US20210014262A1 (en) | 2021-01-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11223625B2 (en) | System and method for detecting malicious device by using a behavior analysis | |
US10291630B2 (en) | Monitoring apparatus and method | |
US9952921B2 (en) | System and method for detecting and predicting anomalies based on analysis of time-series data | |
US10354197B2 (en) | Pattern analytics for real-time detection of known significant pattern signatures | |
US20180307832A1 (en) | Information processing device, information processing method, and computer readable medium | |
US20170139759A1 (en) | Pattern analytics for real-time detection of known significant pattern signatures | |
US8813229B2 (en) | Apparatus, system, and method for preventing infection by malicious code | |
US20160212157A1 (en) | System and method for analyzing large-scale malicious code | |
US9355005B2 (en) | Detection apparatus and detection method | |
JP6400255B2 (ja) | 侵入検知装置および侵入検知プログラム | |
US20210117538A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
JP7127525B2 (ja) | 検知装置、検知方法、および、検知プログラム | |
JP6671557B2 (ja) | アラート頻度制御装置およびアラート頻度制御プログラム | |
US10984105B2 (en) | Using a machine learning model in quantized steps for malware detection | |
US20210010950A1 (en) | Inspection device, inspection method, and computer readable medium | |
JP2017068691A (ja) | 診断プログラム、診断方法および診断装置 | |
WO2020170500A1 (ja) | 検知ルール群調整装置および検知ルール群調整プログラム | |
US10599509B2 (en) | Management system and management method for computer system | |
US20170185772A1 (en) | Information processing system, information processing method, and program | |
CN109150871B (zh) | 安全检测方法、装置、电子设备及计算机可读存储介质 | |
CN113704749A (zh) | 一种恶意挖矿检测处理方法和装置 | |
US10810098B2 (en) | Probabilistic processor monitoring | |
KR20200021277A (ko) | 공격검출장치 및 방법 | |
JP7023433B2 (ja) | インシデント対応効率化システム、インシデント対応効率化方法およびインシデント対応効率化プログラム | |
JP2016024506A (ja) | データ処理装置及びデータ処理方法及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191007 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20191007 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20191107 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191113 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200204 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200303 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6671557 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |