JP6894003B2 - Apt攻撃に対する防御 - Google Patents

Apt攻撃に対する防御 Download PDF

Info

Publication number
JP6894003B2
JP6894003B2 JP2019552980A JP2019552980A JP6894003B2 JP 6894003 B2 JP6894003 B2 JP 6894003B2 JP 2019552980 A JP2019552980 A JP 2019552980A JP 2019552980 A JP2019552980 A JP 2019552980A JP 6894003 B2 JP6894003 B2 JP 6894003B2
Authority
JP
Japan
Prior art keywords
stage
data
event
threat data
threat
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019552980A
Other languages
English (en)
Other versions
JP2020515962A (ja
Inventor
友 ▲クン▼ 陳
友 ▲クン▼ 陳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Technologies Co Ltd
Original Assignee
New H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Technologies Co Ltd filed Critical New H3C Technologies Co Ltd
Publication of JP2020515962A publication Critical patent/JP2020515962A/ja
Application granted granted Critical
Publication of JP6894003B2 publication Critical patent/JP6894003B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

[関連する出願の参照]
本願は、2017年3月27日に提出された中国特許出願第201710188038.Xであり、発明名称が「APT攻撃に対する防御方法及びシステム」である中国特許出願の優先権を主張し、当該出願の内容は全て本願に取り込まれる。
APT(Advanced Persistent Threat:高度で持続的な脅威)攻撃、通常、プロのハッカー組織および国家を背景とした攻撃組織によって実施され、政府、エネルギー、金融領域および企業に対する攻撃である。APT攻撃には、常に十分に計画された完全な攻撃プロセスがある。
本願の実施例による方法のフローチャートである。 本願の実施例による不審なIPアドレスに対してAPTDSの動作軌跡分析概略図である。 本願の実施例による論理ブロック図である。 本願の実施例によるシステムのハードウェアアーキテクチャ図である。
以下、本開示の実施例における図面を結合し、本開示の実施例における技術方案を明瞭かつ完全に記述する。明らかに、記述される実施例は、ただ本開示の一部の実施例であり、全部の実施例ではない。本願の範囲から逸脱することなく本願の実施例に基づいて当業者によって得られる他のすべての実施例は、本願の範囲である。
APT攻撃の特性は次のとおりである。
(1)攻撃の目的はますます明確になり、攻撃の範囲はますます集中するようになり、攻撃領域は単純なコンピューターネットワークから産業用制御システムまで広がり、大企業や国のインフラストラクチャおよび重要な機器に向ける傾向がある。(2)攻撃の動作を検出するのは困難である。APT攻撃は、通常、ゼロデー脆弱性、新しいトロイの木馬、およびフィッシング手法を利用しているため、特徴に基づくセキュリティ検出手法によってこれに対して効果的に検出することは非常に困難である。たとえば、Flameウイルスにはワーム、バックドア、トロイの木馬、ボットネット、ソーシャルエンジニアリングなどの特徴があり、Flameウイルスのプログラムのコードサイズは650,000行に達し、通常のスパイウェアの100倍である。(3)非常に隠されており、長期間持続する。APT攻撃は、発生前に防衛施設からの検出を避けることができ、潜伏期間はますます長くなり、大量の機密情報を収集する。その隠蔽に基づいて、他の未発見の脅威が大量に存在する可能性があるため、国家安全保障と市民権を深刻に脅かす。
APT攻撃の特性に基づいて、キルチェーンの概念が本願の実施形態で言及され、キルチェーンには「発見⇒測位⇒追跡⇒照準⇒交戦⇒評価」の完全なプロセスを含む。キルチェーンの点から、APT攻撃プロセスは7つの段階に分ける。
第1段階は偵察(Reconnaissance)である。ソーシャルエンジニアリングを利用してターゲットネットワークを選択および理解し、スキャン手法を利用して宛先の脆弱性を探す。
第2段階は武器化(Weaponization)である。主に、悪意のあるコードを含むpdfファイルまたはオフィスファイルなどである標的型攻撃ツールを作成する。
第3段階は配送(Delivery)である。攻撃ツールを被攻撃対象システムへ配信する。一般的に利用される方法には、メール添付ファイル、ウェブサイト(例えば、トロイの木馬)や、Uディスクなどを含む。
第4段階はエクスプロイト(Exploitation)である。ターゲットシステムのアプリケーションまたはオペレーティングシステムの脆弱性を利用し、ターゲットシステムで攻撃ツールの行いをトリガーする。
第5段階:インストール(Installation)である。リモート制御プログラム(トロイの木馬や、悪意プラグインなど)をインストールする。
第6段階:指令&制御(Command and Control)である。インターネット制御サーバー(例えば、トロイの木馬を制御するサーバー)に通信チャネルを確立する。
第7段階:対象に対しての動作(Actions on Objectives)である。必要な攻撃動作を行い、例えば、情報の盗用、情報の改ざんや他の妨害活動の行いなどである。
しかし、上記の7つの段階の各段階において検出されるわけではない。例えば、武器化段階では、ネットワークにトレースが存在しない可能性があるため、検出されることはできない。したがって、本願には、上記のキルチェーンモデルに基づいて、APT攻撃プロセスを新たな複数の検出可能のAPT攻撃段階に区分し、ネットワークに現す脅威を相応的に検出可能のATP攻撃段階に分類し、各APT攻撃段階に分類された脅威に対して特定の防御対策を採用する。
以下では、図1を参照し、本願に係る方法について説明する。
図1は、本願に係る方法のフローチャートである。当該方法は、例として、本願に係るAPT攻撃防御システム(APT Defense System、以降APTDSと呼び)に適用可能である。図1に示すように、この方法は、下記のステップを含む。
ステップ101:APTDSはネットワークにおける通信データを取得する。
本願の例で、通信データはイベントと、トラフィックと、脅威情報と、脆弱性データとを含む。さらに、イベントはセキュリティイベントと、オペレーティングシステムイベントと、データベースイベントと、アプリケーションイベントと、認証イベントとを含む。トラフィックは、APT攻撃に関する元のトラフィックと、ネットワークアクセス通信動作を記録するためのトラフィックログとを含む。
次に、上記の各種通信データの収集プロセスについて説明する。APTDSが積極的に各通信データ源から通信データを取得してもよく、各通信データ源が積極的に新しい通信データをAPTDSへ送信してもよく、本願に限定されない。
(1)イベントの収集
イベントはセキュリティ検出機能を持つエンティティからのものであってもよく、例えば、FW(Firewall:ファイアウォール)やIPS(Intrusion Prevention System:侵入防止システム)、オペレーティングシステム(例えば、Windows(登録商標))、データベース、AAA(Authentication, Authorization and Accounting:認証・許可・課金)サーバー、アプリケーションなどである。前記エンティティは、異常な状況を発見した場合、或いは、注意が必要なイベントを検出した場合、対応の記録を行う。
例えば、FWまたはIPSは、いずれの送信元IP(Internet Protocol)アドレスからのDDOS(Distributed Denial of Service:分散型サービス停止)攻撃があると判断すると、セキュリティイベントとして、DDOS攻撃の送信元IPアドレスや、攻撃された対象的IPアドレスなどの情報を記録する。AAAサーバーは、いずれのIPアドレスが認証を行っていることを検出すると、認証イベントとして、認証状況(例えば、成功または失敗、パスワードを推測する動作があるかどうか)をローカルサーバーに記録する。アプリケーションは、配置データがいずれのIPアドレスによって盗取されることや変更されること、削除されることなどの脅威動作を検出すると、アプリケーションイベントとして記録する。データベースは、特権の昇格や、SQL(Structured Query Language:構造化照会言語)の埋め込みなどの当該データベースに対する脅威動作を検出すると、データベースイベントとして記録する。
イベントが生成された後、前記セキュリティ検出機能を持つエンティティは、標準的なSyslog(システムログに記録する機能を持つ関数)にてイベントをAPTDSへ送信してもよい。あるいは、前記セキュリティ検出機能を持つエンティティがイベントをローカルファイルに記録し、且つ、HTTP(HyperText Transfer Protocol:ハイパーテキスト転送プロトコル)や、FTP(File Transfer Protocol:ファイル転送プロトコルなどのプロトコルを介して、APTDSに取得されてもよい。あるいは、APTDSプロキシが実現され、APTDSプロキシを前記セキュリティ検出機能が持たれるエンティティにインストールしてイベントを取得し、且つ、APTDSプロキシとAPTDSと間の独自プロトコル(例えば、UDP(User Datagram Protocol:ユーザーデータレポートプロトコル)に基づく独自プロトコル)を介して当該イベントをAPTDSへ発信してもよい。APTDSによって収集されたイベントタイプと、対応する収集ポイント及び収集技術を表1に示す。
Figure 0006894003
APTDSは、イベントを取得した後、イベントをフォーマット標準化にする。即ち、各元のイベントをAPTDSの標準形式のイベントとしており、ローカルデータベースに書き込む。
(2)トラフィックの収集
トラフィック収集は、攻撃の証拠の保存及び審査のために、攻撃に関する元のトラフィックを収集することを含む。一方、ネットワークに異常があるかどうかの判断及びその後のデータ分析のために、ユーザーネットワークアクセス通信動作を記録するトラフィックログを収集することを含む。
ここでは、攻撃に関する元のトラフィックを収集することは以下の通りである。セキュリティイベントを送信するエンティティネットワークデバイスによって、攻撃に関するイベントに応じる元のトラフィックをファイルに書き込み、そのファイルをFTPでAPTDSにアップロードし、APTDSがそのファイルを受信して後で利用できるようにローカルデータベースに保存する。
トラフィックログを収集することは以下の通りである。一般的に、FWやIPS、スイッチ、ルーターなどのネットワークデバイスによって、ハードウェアカードまたはデバイスソフトウェアに処理されたトラフィックをトラフィックログに記録して,トラフィックログをAPTDSに転送する。普通に、トラフィックログの形式は、NetFlow形式や、NetStream形式などがある。APTDSは、受信されたトラフィックログを分析し、フォーマットを正規化し、ローカルデータベースに書き込む。
(3)脅威情報の収集
脅威情報には、主に、脅威があるIPアドレスや、ドメイン名、URL(Uniform Resource Locator:ユニフォームリソースロケータ)、イベント証拠、脅威解決案などの情報を記録する。APTDSは、STIX(Structured Threat Information eXpression)またはTAXII(Trusted Automated eXchangeof Indicator Information)プロトコルを介して、脅威情報元と対話し、脅威情報データを取得してローカルデータベースに書き込む。脅威情報元は、例えば、ThreatBookや360Securityなどがある。
APTDSは、脅威情報に記録されたIPアドレスとドメイン名とURLを、ネットワーク内のイベントと関連付け、ネットワークの脅威をより速くかつ正確に検出できる。
(4)脆弱性データの収集
本願の例で、APT攻撃が、ホスト、Web、データベースの脆弱性を利用してターゲットネットワークを侵害する可能性を考慮する。このため、APTDSは、事前に脆弱性スキャンを行ってネットワークにおいてAPT攻撃に利用されやすい脆弱性があるかどうかを判断する。脆弱性スキャンの内容は、ホスト、Web、データベース、ネットワークデバイスにおける脆弱性と、ホストにおける違法プログラムとを含み、APT攻撃に利用されやすい脆弱性は、システム配置不備や、システムパッチの更新がタイムリーではないこと、弱いパスワード、インストールすべきでないソフトウェア、発生すべきでないプロセスが存在することなどを含む。
APTDSは、脆弱性スキャンサーバーとして脆弱性スキャンの作業を行ってスキャン結果を取得してもよく、脆弱性スキャンソフトウェアにより提供される外部インターフェイスを介して脆弱性スキャンソフトウェアのスキャン結果を取得してもよい。APTDSは、スキャン結果を取得してローカルデータベースに書き込む。
ステップ102:APTDSは、通信データに対して関連分析を行い、関連分析の結果に基づいて、通信データ中の脅威データを選出する。
関連分析は、データ融合技術であり、データ間の相互関係を検討し、脅威データに対する過少申告率及び偽陽性率を低減するように、マルチソースデータの結合、相関、組合が行われる。
例えば、脅威情報に記録されたIPアドレスとドメイン名とURLに基づいて、同一IPアドレスや同一ドメイン名や同一URLに係るイベント及びトラフィックログ記録を通信データから選出して脅威データとして表記する。
また、例えば、キーワード検索によってデリケートな言葉に関するログ記録をトラフィックログ中から選出し、ログ記録に記載された送信元IPアドレスや、ソースポートなどの情報に基づいて、関連イベントを通信データ中から選出して脅威データとして表記する。
ステップ103:APTDSは、選出された脅威データのそれぞれを、対応するAPT攻撃段階にマッピングする。APT攻撃段階は、キルチェーンモデルに従って定義されたものである。
上述のように、本願の例で、キルチェーンモデルに基づいて、事前にAPT攻撃プロセスを複数の検出可能なAPT攻撃段階に分けることができる。APTDSは、選出された各脅威データを、その特性に基づいて、対応するAPT攻撃段階にマッピングする。
APT攻撃プロセスを複数のAPT攻撃段階に分ける実現形式が多数あるが、簡単な実現形式を次に示す。
一実施形態で、APT攻撃プロセスは、以下の5つの段階に分けられる。
(1)環境認識段階では、ネットワークにおける攻撃者に利用されやすい脆弱性を検出する。
APT攻撃が、ホスト、Web、データベースの脆弱性を利用して被攻撃対象ネットワークへ攻撃できるので、APTDSは、予め脆弱性スキャンを行い、スキャン結果の脆弱性データに基づいて、ネットワークにおいて攻撃者に利用されやすい脆弱性があるか否かを判断する。脅威データにおいて脆弱性データを含む場合、APTDSが脅威データにおける脆弱性データを環境認識段階にマッピングする。
(2)調査・スニッフィング段階では、攻撃者が被攻撃対象の脆弱性を検出する。
攻撃者は、システムスキャンやポートスキャン、脆弱性スキャン、プロトコルスキャンなどを利用し、被攻撃対象に脆弱性があるかどうか、攻撃される可能性があるかどうかを確認する。したがって、APTDSは、脅威データに含まれるイベントのタイプ(ポートスキャン、過剰なpingパケットなど)を選出し、イントラネットスキャン動作に関するイベントを調査・スニッフィング段階にマッピングする。
(3)標的型攻撃段階では、攻撃者が被攻撃対象に対して攻撃を開始する。
攻撃者は、被攻撃対象に対して攻撃を開始する場合、ホストブラストやPing to Dealth、ICMP(Internet Control Message Protocol:Internet制御メッセージプロトコル)フラッディングなどの手段によって、被攻撃対象にログインすることや被攻撃対象にDOS攻撃することなどの破壊活動を行う。これらの攻撃は、FWによって発見され、APTDSに報告される。APTDSは、脅威データに含まれるこれらのタイプのイベントを、標的型攻撃段階にマッピングする。
(4)ツール設置段階では、攻撃者が被攻撃対象の脆弱性を利用して被攻撃対象に攻撃ツールを埋め込む。
攻撃者が被攻撃対象の脆弱性を利用して被攻撃対象に攻撃ツールを埋め込む動作は、IPSまたはWAF(Web Appllication Firewall)デバイスによって発見され、APTDSに報告される。APTDSは、脅威データにおける拡張スクリプト攻撃、バッファオーバーフロー攻撃、SQL埋め込む攻撃のイベントを、ツール設置段階にマッピングする。
(5)不審な活動段階では、攻撃者が被攻撃対象を制御してネットワークにおけるデータを取得し、また、その他の破壊活動を行う。
この段階による攻撃は、ワーム攻撃や、スパイソフトウェア攻撃や、違法データ転送などがある。ワーム攻撃や、スパイソフトウェア攻撃などは、IPSによって発見され、APTDSに報告される。APTDSは、収集されたトラフィックログを分析して、違法データ転送があるかどうかを判断する。例えば、APTDSは、海外へ送信禁止の社内給与ファイルが海外のIPアドレスに送信されたことを、審査して発見した場合、違法データ転送イベントとして確認する。APTDSは、脅威データにおけるワーム攻撃、スパイソフトウェア攻撃、違法データ転送的イベントを、不審な活動段階にマッピングする。
APTDSは、脅威データを識別してAPT攻撃段階にマッピングした後、各APT攻撃段階について脅威データ統計及び画面表示を行う。例えば、APTDSは、1日を予定の複数の期間に分割し、画面の所定の位置にある各ドットは、対応する日付の対応する期間においてAPT攻撃段階に対応する脅威データが現れたことを示す。統計された脅威データの量が多いほど、ドットのサイズが大きくなる。
ステップ104:APTDSは、各脅威データについて、前記脅威データがマッピングされた前記APT攻撃段階に対応する防御対策に従って、前記脅威データに関するネットワークエンティティに対して防御を行う。
本願の例で、事前に分けられた複数のAPT攻撃段階について、それぞれ防御対策を定義される。
例えば、APT攻撃プロセスを、環境認識段階、調査・スニッフィング段階、標的型攻撃段階、ツール設置段階、不審な活動段階という5段階に分ける前記の例で、次のように、APTDSにおいて事前に防御対策を定義する。
(1)脅威データが環境認識段階にマッピングされた場合、APTDSは、当該脅威データに基づいて脆弱性があるネットワークエンティティを特定する。脆弱性アラームを発出することにより、特定されたネットワークエンティティに対し、パッチの適用や配置不備の解消、ウイルスの排除などの作業するように、ユーザーへ促す。
(2)脅威データが調査・スニッフィング段階にマッピングされた場合、APTDSは、設定されたACL(Access Control List:アクセス制御リスト)またはセキュリティ対策をFWとIPSへ発信し、且つ、当該脅威データに関する攻撃者のIPアドレスを脅威データに関するネットワークノードのブラックリストに記入する。ここでは、前記ネットワークノードは、ネットワークにおける制御機能や認証機能、転送機能、ルーティング機能、サービス提供機能などの機能を持つデバイスであり、例えば、スイッチやルーター、データベースサーバー、SDNコントローラー、認証サーバー、Webサーバー、Windowsサーバー、Linux(登録商標)サーバーなどを含む。一実施形態で、前記ネットワークノードは、制御ノードである。例えば、外部ネットワークからの脅威データの場合、制御ノードはFWであり、内部ネットワークからの脅威データの場合、制御ノードはAAAサーバーFWである。APTDSと、FWおよびIPSと間の通信プロトコルは、TelnetやSSH、NetConf(ネットワーク配置プロトコル)などを含む。APTDSは、REST(Representational State Transfer)、API(Application Programming Interface)を介してAAAサーバーを配置する。
(3)脅威データが標的型攻撃段階にマッピングされた場合、APTDSは、設定されたACLとセキュリティ対策をFW及びIPSに発信し、AAAサーバーと脅威データに関するサーバーとを強化し、且つ、当該脅威データに関する攻撃者のIPアドレスを脅威データに関する制御ノードのブラックリストに追加する。AAAサーバーと脅威データに関するサーバーとを強化する作業は、サーバーへのパッチの適用や、ポートのクローズ作業などを含む。
(4)脅威データがツール設置段階にマッピングされた場合、APTDSは、設定されたACL、またはセキュリティ対策をFW及びIPSに送信し、AAAサーバーと脅威データに関するサーバーとを強化し、WAF対策をWAFデバイスに送信し、且つ当該脅威データに関する攻撃者のIPアドレスを脅威データに関する制御ノードのブラックリストに追加する。APTDSは、REST、APIを介して、WAFデバイスを配置する。
(5)脅威データが不審な活動段階にマッピングされた場合、APTDSは、設定されたACL、またはセキュリティ対策を、FW及びIPSに発信し、AAAサーバーと脅威データに関するサーバーとを強化し、且つ当該脅威データに関する攻撃者のIPアドレスを脅威データに関する制御ノードのブラックリストに追加する。
ここまでは、図1に示すフローを完成する。
図1に示すフローからわかるように、本願の例で、イベントや、トラフィックや、脅威情報や、脆弱性データなどのマルチソースデータを収集したので、より多い種類のデータを収集され、データ関連分析によって脅威データを選出し、選出された脅威データが対応するAPT攻撃段階にマッピングされ、異なるAPT攻撃段階に対して対応する防御対策が採用されるため、APT攻撃処理はよりターゲットを絞り、APT攻撃に対してより効果的に検出して対応することができる。
本願の例では、APTDSは、取得されたネットワーク内の通信データに対して以下の分析のうちの1つ以上を行い、APT攻撃をより完全に特徴付けて提示することができる。
(1)動作軌跡分析
調査・スニッフィング段階、標的型攻撃段階、ツール設置段階、不審な活動段階にマッピングされた各脅威データについて、APTDSは、脅威データに関する不審なIPアドレスを特定し、取得されたすべての通信データから不審なIPアドレスに関するイベント及びトラフィックログを照会し、照会されたイベント及びトラフィックログを時系列で表示する。
このように、不審なIPアドレスに関するすべての通信データが選出され、完全なAPT攻撃タイムチェーンに形成される。
図2は、本願の例によるAPTDSが不審なIPアドレスに対して動作軌跡分析を行う概略図である。図2からわかるように、APTDSによる動作軌跡分析は、複数のデータ源、複数の種類のタイプのイベントまたはログデータを統合し、不審なIPアドレスの視点からそれに関する全てのイベント及びログデータを表示できる。そのうち、脅威データが選出された際に、選出されないデータ(図2で、08:02:13のAAA認証OKのイベント、及び08:02:18の10.153.89.82へログインOKのイベント)も含まれる。
(2)マルチディメンション分析
APTDSは1日に数十万の通信データを収集する場合があり、ユーザーは各通信データに注意を払う時間がないため、APTDSは、ネットワークリスク評価とセキュリティアラーム生成のために、これらの通信データを異なるディメンションから分析する。したがって、ユーザーはネットワークのセキュリティ状況とAPT攻撃ステータスを完全に認識する。具体的には、以下のディメンションを含む。
ディメンション1はイベント関係分析である。イベントタイプが異なる、関連する被攻撃対象のIPアドレスが同じである複数のイベントを関連付け、且つ、脅威情報に記録されたIPアドレス、ドメイン名、URLに基づいて、同一IPアドレス、同一ドメイン名、同一URLに関するイベントを見つける。
イベント関係分析は、標的型ブラストやDDOS攻撃、不審な特権の昇格動作などのセキュリティイベントとその他のタイプイベントと間の関係を分析する。例えば、ファイアウォールが、t時点においてネットワークにDDOS攻撃があると報告することを想定し、APTDSは正規表現によって、ローカルデータベースからt時点の後で報告された、且つDDOS攻撃の攻撃目標のIPアドレスに関するイベントを照会する。APTDSは、ホストのCPU(Central Processing Unit)の利用率が高すぎになったこと、且つ、当該ホストのIPアドレスと当該DDOS攻撃の攻撃目標のIPアドレスとが同じであることと報告するために用いられるオペレーティングシステムイベントを照会された場合に、当該DDOS攻撃が達成になったと確認する。
一方、イベント関係分析は、脅威情報データとネットワーク内イベントとの関係を分析する。例えば、APTDSは、脅威情報元によって配信された悪意IPアドレス、悪意ドメイン名、悪意URLに関するイベントがネットワーク内において現すことを検出すれば、すぐにセキュリティアラームを発生する。
ディメンション2はAPT攻撃段階のデータマイニング分析である。同一APT攻撃段階にマッピングされた脅威データに対し、傾向分析や、円グラフ分析などの分析を行う。
APTDSは、調査対象のAPT攻撃段階を特定し、ローカルデータベースからAPT攻撃段階にマッピングされた履歴脅威データを選出する。このとき、すべでの履歴脅威データを選出してもよく、設定期間内の履歴脅威データを選出してもよい。その後、APTDSは、脅威データをさまざまな調査観点から整理して表現する。この調査観点は、ユーザーがAPTDSのインターフェイスを介して配置される。
例えば、APTDSは、将来の特定の時間に標的型攻撃の発生数を調査する場合、ローカルデータベースから連続した複数日にわたる脅威データを選出し、既存の傾向分析ツールに利用し、例えば、傾向線であり、標的型攻撃段階に関する脅威データ的増減変動方向と幅を取得し、将来の標的型攻撃の発生数を取得する。APTDSは、標的型攻撃の発生源を調査する場合、選出された標的型攻撃段階に関する脅威データに基づいて、関連するネットワークセグメントから開始された標的型攻撃の数の統計結果を円グラフ形式で表現し、標的型攻撃の数が多いネットワークセグメントについて調査することを、ユーザーへ促す。
ディメンション3はホストのディメンション分析である。通信データにおけるオペレーティングシステムイベントに対して統計分析と傾向分析を行う。
APTDSは、ローカルデータベースからオペレーティングシステムイベントを選出し、選出されたオペレーティングシステムイベントをさまざまな調査観点から整理して表現する。
例えば、イベントのレベル(警告レベルや通知レベル、エラーレベルなど)の観点から、或いは、イベントのタイプ(オペレーティングシステムのログインやオペレーティングシステムの登録解除、アカウントの追加、アカウントの変更など)の観点から、或いは、オペレーティングシステムのタイプ(WindowsシステムやLinuxシステムなど)の観点から、選出された通信データのそれぞれを分類し、分類結果に基づいて円グラフを描画し、さまざまな観点での各オペレーティングシステムイベントの割合を取得する。
ディメンション4:アプリケーションのディメンション分析では、通信データにおけるアプリケーションイベントに対して統計分析と傾向分析を行う。
APTDSは、ネットワーク内にアプリケーションによって報告されたアプリケーションイベントを選出し、選出されたアプリケーションイベントを、さまざまな調査観点から整理して表現する。
例えば、イベントのレベルがエラーレベルまたは警告レベルであるアプリケーションイベントを選出し、アプリケーションのタイプ(ソーシャルアプリケーション類や地図ナビゲーション類、通話通信類、オンラインショッピングの支払い類など)の観点から、選出されたアプリケーションイベントを分類し、どのタイプのアプリケーションが攻撃に最も弱いであるか統計し、そのタイプのアプリケーションの保護を強化するようユーザーへ促す。
ディメンション5はデータベースのディメンション分析である。通信データにおけるデータベースイベントについて統計分析と傾向分析を行う。
APTDSは、ネットワーク内のデータベースによって報告されたデータベースイベントを選出し、選出されたデータベースイベントを、さまざまな調査観点から整理して表現する。
例えば、イベントのレベルがエラーレベルまたは警告レベルであるデータベースイベントを選出し、脅威のタイプ(特権の利用や特権の昇格、SQL埋め込み、不十分な認証、バックアップデータの公開など)の観点から、選出されたアプリケーションイベントを分類し、各データベース脅威のタイプにおいてデータベースイベントの発生回数を統計し、どのタイプの脅威がデータベースへの影響が最大であるかを、ユーザーへ示す。
以上、本願による方法を説明した。以下、本願によるシステムを説明する。
図4は、本願の実施例によるAPT攻撃に対する防御のシステムのハードウェア構成図である。APT攻撃に対する防御のシステム40は、プロセッサ41と、機械可読記憶媒体42とを含む。プロセッサ41と機械可読記憶媒体42とは、システムバス43を介して通信する。そして、プロセッサ41は、機械可読記憶媒体42に記憶されたAPT攻撃に対する防御の論理30に対応する機械実行可能命令を読出して実行することにより、前記APT攻撃に対する防御方法を行う。
ここで、機械可読記憶媒体42は、電子、磁気、光学または他の物理的記憶装置であってもよく、情報(例えば、実行可能な命令、データ)を格納や記憶してもよい。例えば、前記機械可読記憶媒体42は、 揮発性メモリ、不揮発性メモリ、その他のタイプ記憶媒体のうち少なくとも1つのタイプの記憶媒体を含む。例えば、可読記憶媒体は、RAM(Random Access Memory)、フラッシュメモリ、ストレージドライブ(例えば、ハードディスクドライバ)、ソリッドステートドライブ、ストレージディスク(例えば、コンパクトディスク、DVD)である。
図3は、本願によるAPT攻撃に対する防御のシステムの機能モジュールの論理ブロック図である。その中には、
ネットワークにおける通信データを取得するデータ取得ユニット301と、
前記通信データに対して関連分析を行い、関連分析の結果に基づいて前記通信データ中の脅威データを選出するデータ関連ユニット302と、
キルチェーンモデルに従って、選出された各脅威データを対応するAPT攻撃段階にそれぞれマッピングするキルチェーン分析ユニット303と、
複数の前記APT攻撃段階に対応する防御対策に基づいて、各脅威データに関するネットワークエンティティに対して防御を行う防御配備ユニット304と、を含む。
一実施形態では、前記APT攻撃段階は、ネットワークにおける、攻撃者によって利用される脆弱性を検出する環境認識段階と、攻撃者が被攻撃対象に脆弱性があるかどうか検出する調査・スニッフィング段階と、攻撃者は被攻撃対象へ攻撃を開始する標的型攻撃段階と、攻撃者が被攻撃対象の脆弱性を利用して被攻撃対象に攻撃ツールを埋込むツール設置段階と、攻撃者が被攻撃対象を制御してネットワークにおけるデータを取得したり、その他の破壊活動を行ったりする不審な活動段階と、を含む。
一実施形態では、前記通信データは、イベント、トラフィック、脅威情報、脆弱性データのうち少なくとも一つを含む。前記イベントは、セキュリティイベント、オペレーティングシステムイベント、データベースイベント、アプリケーションイベント、認証イベントのうち少なくとも一つを含む。前記トラフィックは、攻撃に関する元のトラフィック、ネットワークアクセス通信動作を記録するトラフィックログのうち少なくとも一つを含む。
一実施形態では、前記防御対策は、
脅威データが環境認識段階にマッピングされた場合、前記防御配備ユニット304は、脅威データに基づいて、脆弱性があるネットワークエンティティを特定し、特定されたネットワークエンティティに対し、パッチ適用、安全でない配置の解消、ウイルスの排除作業のうち少なくとも一つ作業を行い、
脅威データが調査・スニッフィング段階にマッピングされた場合、前記防御配備ユニット304は、設定されたACL、またはセキュリティ対策を、FW及びIPSへ発信し、且つ、脅威データに関する攻撃者のIPアドレスを、前記脅威データに関する制御ノードのブラックリストに追加し、
脅威データが標的型攻撃段階にマッピングされた場合、前記防御配備ユニット304は、設定されたACL、またはセキュリティ対策を、FW及びIPSへ発信し、AAAサーバーと前記脅威データに関するサーバーとを強化し、且つ、脅威データに関する攻撃者のIPアドレスを、前記脅威データに関する制御ノードのブラックリストに追加し、
脅威データがツール設置段階にマッピングされた場合、前記防御配備ユニット304は、設定されたACL、またはセキュリティ対策を、FW及びIPSへ発信し、AAAサーバーと前記脅威データに関するサーバーを強化し、WAF対策WAFデバイスへ発信し、且つ、脅威データに関する攻撃者のIPアドレスを前記脅威データに関する制御ノードのブラックリストに追加し、
脅威データが不審な活動段階にマッピングされた場合、前記防御配備ユニット304は、設定されたACL、またはセキュリティ対策を、FW及びIPSへ発信し、AAAサーバーと前記脅威データに関するサーバーとを強化し、且つ、脅威データに関する攻撃者のIPアドレスを、前記脅威データに関する制御ノードのブラックリストに追加する。
一実施形態では、前記システムは、動作軌跡分析ユニットを更に含む。
動作軌跡分析ユニットは、調査・スニッフィング段階、標的型攻撃段階、ツール設置段階、不審な活動段階にマッピング的各脅威データについて、当該脅威データに関する不審なIPアドレスを特定し、前記通信データ中から当該不審なIPアドレスに関するイベント及びトラフィックログを照会し、照会されたとイベント及びトラフィックログを時系列で表現する。
一実施形態で、前記システムは、マルチディメンション分析ユニットを更に含む。
マルチディメンション分析ユニットは、ネットワークリスク評価とセキュリティアラーム生成のために、以下のうち少なくとも1つの分析を行う。
前記少なくとも1つの分析は、イベント関係分析と、APT攻撃段階のデータマイニング分析、ホストディメンション分析と、アプリケーションディメンション分析と、データベースディメンション分析とを含む。
イベント関係分析では、イベントタイプの異なる、関連する被攻撃対象のIPアドレスが同じである複数のイベントを関連付け、且つ、脅威情報に記録されたIPアドレス、ドメイン名、URLに基づいて、同一IPアドレス、同一ドメイン名、同一URLに関するイベントを見つける。
APT攻撃段階のデータマイニング分析では、同一APT攻撃段階にマッピングされた脅威データに対し、それぞれ分析を行う。
ホストのディメンション分析では、前記通信データにおけるオペレーティングシステムイベントに対し、統計分析と傾向分析を行う。
アプリケーションのディメンション分析では、前記通信データにおけるアプリケーションイベントに対し、統計分析と傾向分析を行う。
データベースのディメンション分析では、前記通信データにおけるデータベースイベントに対し、統計分析と傾向分析を行う。
ここまでは、図3に示すシステムの説明を完成する。
装置実施例は、基本的に方法実施例に対応するため、関連箇所は、方法実施例の部分の説明を参照すれば良い。以上記述された装置実施例は、ただ模式的なものであり、その中で記載された分離部品として説明されたユニットは、物理的に分かれていてもいなくても良く、ユニットとして表示された部品は、物理ユニットであってもなくても良く、即ち、一つの場所に位置しても良く、又は複数のネットワークユニットに分布されても良い。実際の必要に基づいてそのうち一部又は全部のモジュールを選んで本実施例の方案の目的を実現する。当業者は、進歩性に値する労働をせずに、理解し実施可能である。
説明すべきことは、本明細書において、第1、第2等のような関係用語は、ただ一つの実体又は操作を、他の実体又は操作と区別するためであり、必ずしもこれらの実体又は操作の間に、如何なるこのような実際的な関係又は手順が存在することを要求又は暗示するものではない。用語である「含む」、「含有」又はその如何なる変形は、非排他的な含有を網羅することを意図し、従って一連の要素を含む過程、方法、品物又は設備が、これらの要素だけでなく、明確に列挙されていない他の要素も含むか、或いは、このような過程、方法、品物又は設備に固有の要素を更に含むようにする。更なる制限がない場合、文章である「一つの……を含む」により限定される要素は、前記要素を含む過程、方法、品物又は設備の中に、別の同一の要素が更に存在することを排除しない。
以上、本開示の実施例が提供する方法及び装置を詳細に紹介し、本文において具体的な例を応用して本開示の原理及び実施形態に対して記述した。以上の実施例の説明は、ただ本開示の発明メカニズム及びその核となる思想の理解を促進するために用いられる。一方、本分野における通常の知識を有する者にとって、本開示の思想に基づいて、具体的な実施形態及び応用範囲上で変更箇所があるだろう。要約すると、本明細書の内容は、本開示に対する制限として理解されるべきではない。

Claims (15)

  1. 高度で持続的な脅威(APT)攻撃に対する防御方法であって、APT攻撃防御システムに用いられる前記防御方法は、
    ネットワークにおける通信データを取得することと、
    前記通信データに対して関連分析を行い、関連分析の結果に基づいて、前記通信データ中の脅威データを選出することと、
    キルチェーンモデルに従って、選出された各脅威データを対応するAPT攻撃段階にそれぞれマッピングすることと、
    複数の前記APT攻撃段階に対応する防御対策に基づいて、各脅威データに関するネットワークエンティティに対して防御を行うことと、を含むことを特徴とする防御方法。
  2. 前記APT攻撃段階は、環境認識段階と、調査・スニッフィング段階と、標的型攻撃段階と、ツール設置段階と、不審な活動段階とを含み、
    前記環境認識段階では、ネットワークにおける、攻撃者によって利用される脆弱性を検出し、
    前記調査・スニッフィング段階では、前記攻撃者が被攻撃対象の脆弱性を検出し、
    前記標的型攻撃段階では、前記攻撃者が前記被攻撃対象に対して攻撃を開始し、
    前記ツール設置段階では、前記攻撃者が前記被攻撃対象の脆弱性を利用して前記被攻撃対象に攻撃ツールを埋め込み、
    前記不審な活動段階では、前記攻撃者が前記被攻撃対象を制御し、ネットワークにおけるデータを取得し、また、破壊活動を行うことを特徴とする請求項1に記載の方法。
  3. 前記通信データは、イベントと、トラフィックと、脅威情報と、脆弱性データとのうち少なくとも一つを含み、
    前記イベントは、セキュリティイベントと、オペレーティングシステムイベントと、データベースイベントと、アプリケーションイベントと、認証イベントとのうち少なくとも一つを含み、
    前記トラフィックは、攻撃に関する元のトラフィックと、ネットワークアクセス通信動作を記録するトラフィックログとのうち少なくとも一つを含むことを特徴とする請求項1に記載の方法。
  4. 前記防御対策は、
    脅威データが環境認識段階にマッピングされた場合、当該脅威データに基づいて脆弱性があるネットワークエンティティを特定し、特定されたネットワークエンティティに対し、パッチの適用と、安全でない配置の解消と、ウイルスの排除とのうち少なくとも一つ作業を行うことを含み、
    脅威データが調査・スニッフィング段階にマッピングされた場合、設定されたアクセス制御リストACLまたはセキュリティ対策をファイアウォールFW及び侵入防止システムIPSへ発信し、且つ、当該脅威データに関する攻撃者のインターネットプロトコル(IP)アドレスを前記脅威データに関する制御ノードのブラックリストに追加し、
    脅威データが標的型攻撃段階にマッピングされた場合、設定されたACLまたはセキュリティ対策をFW及びIPSへ発信し、AAAサーバーと前記脅威データに関するサーバーとを強化し、且つ、当該脅威データに関する攻撃者のIPアドレスを前記脅威データに関する制御ノードのブラックリストに追加し、
    脅威データがツール設置段階にマッピングされた場合、設定されたACLまたはセキュリティ対策をFW及びIPSへ発信し、AAAサーバーと前記脅威データに関するサーバーとを強化し、ウェブサイトアプリケーションファイアウォール(WAF)対策をWAFデバイスへ発信し、且つ、当該脅威データに関する攻撃者のIPアドレスを前記脅威データに関する制御ノードのブラックリストに追加し、
    脅威データが不審な活動段階にマッピングされた場合、設定されたACLまたはセキュリティ対策をFW及びIPSへ発信し、AAAサーバーと前記脅威データに関するサーバーとを強化し、且つ、当該脅威データに関する攻撃者のIPアドレスを前記脅威データに関する制御ノードのブラックリストに追加することを特徴とする請求項2に記載の方法。
  5. 前記防御方法は、
    調査・スニッフィング段階、標的型攻撃段階、ツール設置段階、不審な活動段階にマッピングされた各脅威データについて、
    当該脅威データに関する不審なIPアドレスを特定することと、
    前記通信データ中から、当該不審なIPアドレスに関するイベント及びトラフィックログを照会することと、
    照会されたイベント及びトラフィックログを時系列で表現することと、を更に含むことを特徴とする請求項2に記載の方法。
  6. 前記防御方法においてネットワークリスク評価及びセキュリティアラーム生成のために、イベント関係分析と、APT攻撃段階のデータマイニング分析と、ホストディメンション分析と、アプリケーションのディメンション分析と、データベースのディメンション分析とのうち少なくとも一つ分析を行うことを更に含み、
    前記イベント関係分析では、イベントタイプの異なる、関連する被攻撃対象のIPアドレスが同じである複数のイベントを関連付け、且つ、脅威情報に記録されたIPアドレス、ドメイン名、URLに基づいて、同一IPアドレス、同一ドメイン名、同一URLに関するイベントを見つけ、
    前記APT攻撃段階のデータマイニング分析では、同一APT攻撃段階にマッピングされた脅威データに対し、それぞれ分析を行い、
    前記ホストのディメンション分析では、前記通信データにおけるオペレーティングシステムイベントに対し、統計分析と傾向分析を行い、
    前記アプリケーションのディメンション分析では、前記通信データにおけるアプリケーションイベントに対し、統計分析と傾向分析を行い、
    前記データベースのディメンション分析では、前記通信データにおけるデータベースイベントに対し、統計分析と傾向分析を行うことを特徴とする請求項3に記載の方法。
  7. 前記制御ノードは、FWと、AAAサーバーと、Windowsサーバーと、Linuxサーバーとのうち少なくとも一つを含むことを特徴とする請求項4に記載の方法。
  8. 高度で持続的な脅威(APT)攻撃に対する防御システムであって、
    プロセッサと機械可読記憶媒体と、
    前記機械可読記憶媒体には、前記プロセッサが実行する機械実行可能命令を記憶しており、前記プロセッサは、前記機械実行可能命令を実行することにより、
    ネットワークにおける通信データを取得することと、
    前記通信データに対して関連分析を行い、関連分析の結果に基づいて、前記通信データ中の脅威データを選出することと、
    キルチェーンモデルに従って、選出された各脅威データを対応するAPT攻撃段階にそれぞれマッピングすることと、
    複数の前記APT攻撃段階に対応する防御対策に基づいて、各脅威データに関するネットワークエンティティに対して防御を行うことと、を実行させることを特徴とする防御システム。
  9. 前記APT攻撃段階は、環境認識段階と、調査・スニッフィング段階と、標的型攻撃段階と、ツール設置段階と、不審な活動段階とを含み、
    前記環境認識段階では、ネットワークにおける、攻撃者によって利用される脆弱性を検査し、
    前記調査・スニッフィング段階では、前記攻撃者が被攻撃対象の脆弱性を検出し、
    前記標的型攻撃段階では、前記攻撃者が前記被攻撃対象に対して攻撃を開始し、
    前記ツール設置段階では、攻撃者が前記被攻撃対象の脆弱性を利用して前記被攻撃対象に攻撃ツールを埋め込み、
    前記不審な活動段階では、前記攻撃者が前記被攻撃対象を制御し、ネットワークにおけるデータを取得し、また、破壊活動を行うことを特徴とする請求項8に記載のシステム。
  10. 前記通信データは、イベントと、トラフィックと、脅威情報と、脆弱性データとのうち少なくとも一つを含み、
    前記イベントは、セキュリティイベントと、オペレーティングシステムイベントと、データベースイベントと、アプリケーションイベントと、認証イベントとのうち少なくとも一つを含み、
    前記トラフィックは、攻撃に関する元のトラフィックと、ネットワークアクセス通信動作を記録するトラフィックログとのうち少なくとも一つを含むことを特徴とする請求項8に記載のシステム。
  11. 前記防御対策は、
    脅威データが環境認識段階にマッピングされた場合、当該脅威データに基づいて脆弱性があるネットワークエンティティを特定し、特定されたネットワークエンティティに対し、パッチの適用と、安全でない配置の解消と、ウイルスの排除とのうち少なくとも一つ作業を行うことを含み、
    脅威データが調査・スニッフィング段階にマッピングされた場合、設定されたアクセス制御リストACLまたはセキュリティ対策をファイアウォールFW及び侵入防止システムIPSへ発信し、且つ、当該脅威データに関する攻撃者のインターネットプロトコル(IP)アドレスを前記脅威データに関する制御ノードのブラックリストに追加し、
    脅威データが標的型攻撃段階にマッピングされた場合、設定されたACLまたはセキュリティ対策をFW及びIPSへ発信し、AAAサーバーと前記脅威データに関するサーバーとを強化し、且つ、当該脅威データに関する攻撃者のIPアドレスを前記脅威データに関する制御ノードのブラックリストに追加し、
    脅威データがツール設置段階にマッピングされた場合、設定されたACLまたはセキュリティ対策をFW及びIPSへ発信し、AAAサーバーと前記脅威データに関するサーバーとを強化し、ウェブサイトアプリケーションファイアウォール(WAF)対策をWAFデバイスへ発信し、且つ、当該脅威データに関する攻撃者のIPアドレスを、前記脅威データに関する制御ノードのブラックリストに追加し、
    脅威データが不審な活動段階にマッピングされた場合、設定されたACLまたはセキュリティ対策をFW及びIPSへ発信し、AAAサーバーと前記脅威データに関するサーバーとを強化し、且つ、当該脅威データに関する攻撃者のIPアドレスを前記脅威データに関する制御ノードのブラックリストに追加することを特徴とする請求項9に記載のシステム。
  12. 前記プロセッサは、更に、前記機械実行可能命令を実行することにより、
    調査・スニッフィング段階、標的型攻撃段階、ツール設置段階、不審な活動段階にマッピング的各脅威データについて、当該脅威データに関する不審なIPアドレスを特定することと、
    前記通信データ中から当該不審なIPアドレスに関するイベント及びトラフィックログを照会することと、
    照会されたイベント及びトラフィックログを時系列で表現することと、を実行させることを特徴とする請求項9に記載のシステム。
  13. 前記プロセッサは、更に、前記機械実行可能命令を実行することにより、
    ネットワークリスク評価及びセキュリティアラーム生成のために、イベント関係分析と、APT攻撃段階のデータマイニング分析と、ホストディメンション分析と、アプリケーションのディメンション分析と、データベースのディメンション分析とのうち少なくとも一つ分析を行うことをさらに実行させ、
    前記イベント関係分析では、イベントタイプの異なる、関連する被攻撃対象のIPアドレスが同じである複数のイベントを関連付け、且つ、脅威情報に記録されたIPアドレス、ドメイン名、URLに基づいて、同一IPアドレス、同一ドメイン名、同一URLに関するイベントを見つけ、
    前記APT攻撃段階のデータマイニング分析では、同一APT攻撃段階にマッピングされた脅威データに対し、それぞれ分析を行い、
    前記ホストのディメンション分析では、前記通信データにおけるオペレーティングシステムイベントに対し、統計分析と傾向分析を行い、
    前記アプリケーションのディメンション分析では、前記通信データにおけるアプリケーションイベントに対し、統計分析と傾向分析を行い、
    前記データベースのディメンション分析では、前記通信データにおけるデータベースイベントに対し、統計分析と傾向分析を行うことを特徴とする請求項10に記載のシステム。
  14. 前記制御ノードは、FWと、AAAサーバーと、Windowsサーバーと、Linuxサーバーとのうち少なくとも一つを含むことを特徴とする請求項11に記載のシステム。
  15. 機械実行可能命令を記憶する機械可読記憶媒体であって、高度で持続的な脅威(APT)攻撃に対する防御システムのプロセッサは、機械実行可能命令を呼び出し実行することにより、
    ネットワークにおける通信データを取得することと、
    前記通信データに対して関連分析を行い、関連分析の結果に基づいて、前記通信データ中の脅威データを選出することと、
    キルチェーンモデルに従って、選出された各脅威データを対応するAPT攻撃段階にそれぞれマッピングすることと、
    複数の前記APT攻撃段階に対応する防御対策に基づいて、各脅威データに関するネットワークエンティティに対して防御を行うことと、を実行させることを特徴とする機械可読記憶媒体。
JP2019552980A 2017-03-27 2018-03-23 Apt攻撃に対する防御 Active JP6894003B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201710188038.X 2017-03-27
CN201710188038.XA CN108259449B (zh) 2017-03-27 2017-03-27 一种防御apt攻击的方法和系统
PCT/CN2018/080223 WO2018177210A1 (zh) 2017-03-27 2018-03-23 防御apt攻击

Publications (2)

Publication Number Publication Date
JP2020515962A JP2020515962A (ja) 2020-05-28
JP6894003B2 true JP6894003B2 (ja) 2021-06-23

Family

ID=62721770

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019552980A Active JP6894003B2 (ja) 2017-03-27 2018-03-23 Apt攻撃に対する防御

Country Status (5)

Country Link
US (1) US11405419B2 (ja)
EP (1) EP3588898B1 (ja)
JP (1) JP6894003B2 (ja)
CN (1) CN108259449B (ja)
WO (1) WO2018177210A1 (ja)

Families Citing this family (68)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10812521B1 (en) * 2018-08-10 2020-10-20 Amazon Technologies, Inc. Security monitoring system for internet of things (IOT) device environments
CN109088899B (zh) * 2018-10-30 2021-04-27 福州大学 一种针对xss攻击的apt预警方法
CN109067815B (zh) * 2018-11-06 2021-11-19 深信服科技股份有限公司 攻击事件溯源分析方法、系统、用户设备及存储介质
US11411967B2 (en) * 2018-11-30 2022-08-09 Cisco Technology, Inc. Synergistic DNS security update
CN109660539B (zh) * 2018-12-20 2020-12-25 北京神州绿盟信息安全科技股份有限公司 失陷设备识别方法、装置、电子设备及存储介质
CN109922069B (zh) * 2019-03-13 2020-12-25 中国科学技术大学 高级持续性威胁的多维关联分析方法及系统
CN110191083B (zh) * 2019-03-20 2020-09-25 中国科学院信息工程研究所 面向高级持续性威胁的安全防御方法、装置与电子设备
JP7180500B2 (ja) * 2019-03-29 2022-11-30 オムロン株式会社 制御システム、および設定方法
CN111030973B (zh) * 2019-03-29 2023-02-24 安天科技集团股份有限公司 一种基于标识文件定位攻击的方法、装置及存储设备
US11343263B2 (en) * 2019-04-15 2022-05-24 Qualys, Inc. Asset remediation trend map generation and utilization for threat mitigation
US11334666B2 (en) * 2019-04-15 2022-05-17 Qualys Inc. Attack kill chain generation and utilization for threat analysis
US11431734B2 (en) * 2019-04-18 2022-08-30 Kyndryl, Inc. Adaptive rule generation for security event correlation
CN110149319B (zh) * 2019-04-26 2021-11-23 奇安信科技集团股份有限公司 Apt组织的追踪方法及装置、存储介质、电子装置
CN110191118B (zh) * 2019-05-28 2021-06-01 哈尔滨工程大学 一种面向网络安全设备的统一指控方法及系统
CN110224947A (zh) * 2019-06-05 2019-09-10 东软集团股份有限公司 一种多核转发系统中的报文处理方法、装置及设备
CN112152962B (zh) * 2019-06-26 2022-10-28 北京观成科技有限公司 一种威胁检测方法及系统
CN110602042B (zh) * 2019-08-07 2022-04-29 中国人民解放军战略支援部队信息工程大学 基于级联攻击链模型的apt攻击行为分析检测方法及装置
CN110677400B (zh) * 2019-09-20 2020-09-29 武汉思普崚技术有限公司 一种局域网环境中主机和服务的攻击暴露面分析方法及系统
CN112702300B (zh) * 2019-10-22 2023-03-28 华为技术有限公司 一种安全漏洞的防御方法和设备
CN112822147B (zh) * 2019-11-18 2022-12-06 上海云盾信息技术有限公司 一种用于分析攻击链的方法、系统及设备
CN111104670B (zh) * 2019-12-11 2023-09-01 国网甘肃省电力公司电力科学研究院 一种apt攻击的识别和防护方法
CN111339398A (zh) * 2019-12-19 2020-06-26 杭州安恒信息技术股份有限公司 一种多元化大数据情报分析系统及其分析方法
CN111147504B (zh) * 2019-12-26 2022-11-22 深信服科技股份有限公司 威胁检测方法、装置、设备和存储介质
CN113139180B (zh) * 2020-01-20 2023-12-01 中国电信股份有限公司 注入攻击检测模型生成装置、注入攻击检测装置及方法
US11729198B2 (en) * 2020-05-21 2023-08-15 Tenable, Inc. Mapping a vulnerability to a stage of an attack chain taxonomy
CN113486351A (zh) * 2020-06-15 2021-10-08 中国民用航空局空中交通管理局 一种民航空管网络安全检测预警平台
CN111880884A (zh) * 2020-07-30 2020-11-03 北京微步在线科技有限公司 一种告警显示系统及显示方法
CN114257391B (zh) * 2020-09-24 2024-01-26 中国电信股份有限公司 风险评估方法、装置及计算机可读存储介质
CN112291260A (zh) * 2020-11-12 2021-01-29 福建奇点时空数字科技有限公司 一种面向apt攻击的网络安全威胁隐蔽目标识别方法
CN112532631A (zh) * 2020-11-30 2021-03-19 深信服科技股份有限公司 一种设备安全风险评估方法、装置、设备及介质
JP7427574B2 (ja) 2020-11-30 2024-02-05 株式会社日立製作所 状態診断装置、及び状態診断方法
CN114697052B (zh) * 2020-12-25 2023-10-27 北京国双千里科技有限公司 网络防护方法及装置
CN112565300B (zh) * 2020-12-25 2023-04-07 联通(广东)产业互联网有限公司 基于行业云黑客攻击识别与封堵方法、系统、装置及介质
CN114697057B (zh) * 2020-12-28 2023-02-10 华为技术有限公司 获取编排剧本信息的方法、装置及存储介质
CN113037713B (zh) * 2021-02-07 2023-02-03 深信服科技股份有限公司 网络攻击的对抗方法、装置、设备及存储介质
US20220286475A1 (en) * 2021-03-08 2022-09-08 Tenable, Inc. Automatic generation of vulnerabity metrics using machine learning
CN113037785B (zh) * 2021-05-26 2021-09-21 杭州海康威视数字技术股份有限公司 多层次全周期物联网设备僵尸网络防御方法、装置及设备
CN113364750B (zh) * 2021-05-26 2022-06-24 浙江工业大学 一种基于Snort和OpenFlow启发式诱导APT攻击引入蜜罐的方法
CN113452700B (zh) 2021-06-25 2022-12-27 阿波罗智联(北京)科技有限公司 处理安全信息的方法、装置、设备以及存储介质
CN113746832B (zh) * 2021-09-02 2022-04-29 华中科技大学 多方法混合的分布式apt恶意流量检测防御系统及方法
CN113868656B (zh) * 2021-09-30 2022-05-13 中国电子科技集团公司第十五研究所 一种基于行为模式的apt事件同源判定方法
CN114143064A (zh) * 2021-11-26 2022-03-04 国网四川省电力公司信息通信公司 一种多源网络安全告警事件溯源与自动处置方法及装置
CN114172709A (zh) * 2021-11-30 2022-03-11 中汽创智科技有限公司 一种网络多步攻击检测方法、装置、设备及存储介质
CN114205166A (zh) * 2021-12-17 2022-03-18 浙江泰嘉光电科技有限公司 病毒防护系统
US11874933B2 (en) 2021-12-29 2024-01-16 Qualys, Inc. Security event modeling and threat detection using behavioral, analytical, and threat intelligence attributes
CN113992454A (zh) * 2021-12-30 2022-01-28 北京微步在线科技有限公司 一种攻击溯源方法及装置
CN114363036B (zh) * 2021-12-30 2023-05-16 绿盟科技集团股份有限公司 一种网络攻击路径获取方法、装置及电子设备
US20230224275A1 (en) * 2022-01-12 2023-07-13 Bank Of America Corporation Preemptive threat detection for an information system
CN114584351A (zh) * 2022-02-21 2022-06-03 北京恒安嘉新安全技术有限公司 一种监控方法、装置、电子设备以及存储介质
CN114553588B (zh) * 2022-03-07 2022-11-08 鼎惠(上海)科技有限公司 一种基于人工智能的互联网金融数据防护方法及服务器
CN115225304B (zh) * 2022-03-24 2023-05-05 国家计算机网络与信息安全管理中心 一种基于概率图模型的网络攻击路径预测方法及系统
CN114726623B (zh) * 2022-04-08 2023-11-28 北京天融信网络安全技术有限公司 一种高级威胁攻击评估方法、装置、电子设备及存储介质
CN114915452B (zh) * 2022-04-11 2022-12-06 中国信息通信研究院 一种网络实体威胁标签的标定方法、系统及存储介质
CN114760140A (zh) * 2022-04-21 2022-07-15 湖南三湘银行股份有限公司 一种基于聚类分析的apt攻击溯源图分析方法及装置
CN114928493B (zh) * 2022-05-23 2023-04-21 禅境科技股份有限公司 基于威胁攻击大数据的威胁情报生成方法及ai安全系统
CN114866329B (zh) * 2022-05-24 2023-02-07 北京皓宽网络科技有限公司 应用ai和大数据分析的威胁态势预测方法及威胁感知系统
CN114866330B (zh) * 2022-05-25 2023-01-31 深圳微言科技有限责任公司 采用ai和大数据分析的威胁攻击防护决策方法及ai系统
CN115001849B (zh) * 2022-07-06 2023-11-10 湖北集防科技有限公司 针对大数据安全漏洞挖掘的漏洞修复方法及漏洞修复系统
CN115208684B (zh) * 2022-07-26 2023-03-14 中国电子科技集团公司第十五研究所 一种基于超图关联的apt攻击线索拓展方法和装置
CN115001868B (zh) * 2022-08-01 2022-10-11 北京微步在线科技有限公司 Apt攻击同源分析方法、装置、电子设备及存储介质
CN115664708A (zh) * 2022-09-16 2023-01-31 深信服科技股份有限公司 一种攻击确定方法、装置、设备及介质
CN115643116A (zh) * 2022-12-23 2023-01-24 北京六方云信息技术有限公司 网络设备的防护方法、系统、终端设备以及存储介质
CN116319077B (zh) * 2023-05-15 2023-08-22 鹏城实验室 网络攻击检测方法和装置、设备、存储介质和产品
CN116506208B (zh) * 2023-05-17 2023-12-12 河南省电子信息产品质量检验技术研究院 一种基于局域网内计算机软件信息安全维护系统
CN116506225A (zh) * 2023-06-27 2023-07-28 武汉中科通达高新技术股份有限公司 协作式DDoS攻击检测方法、系统、设备及存储介质
CN116827697B (zh) * 2023-08-30 2023-11-03 北京安天网络安全技术有限公司 网络攻击事件的推送方法、电子设备及存储介质
CN117411669A (zh) * 2023-09-14 2024-01-16 广州大学 一种基于时间卷积网络的apt攻击阶段检测方法、系统、介质及设备
CN116996326B (zh) * 2023-09-26 2023-12-26 国网江西省电力有限公司信息通信分公司 基于蜜网的协同式主动防御方法

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3999188B2 (ja) * 2003-10-28 2007-10-31 富士通株式会社 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム
US9310323B2 (en) * 2009-05-16 2016-04-12 Rapiscan Systems, Inc. Systems and methods for high-Z threat alarm resolution
CN101610174B (zh) * 2009-07-24 2011-08-24 深圳市永达电子股份有限公司 一种日志事件关联分析系统与方法
US10069854B2 (en) * 2012-11-17 2018-09-04 The Trustees Of Columbia University In The City Of New York Methods, systems and media for evaluating layered computer security products
US9628507B2 (en) * 2013-09-30 2017-04-18 Fireeye, Inc. Advanced persistent threat (APT) detection center
JP6104149B2 (ja) * 2013-12-24 2017-03-29 三菱電機株式会社 ログ分析装置及びログ分析方法及びログ分析プログラム
CN103916385A (zh) * 2014-03-13 2014-07-09 南京理工大学 一种基于智能算法的waf安全监测系统
CN105024976B (zh) * 2014-04-24 2018-06-26 中国移动通信集团山西有限公司 一种高级持续威胁攻击识别方法及装置
CN103916406B (zh) * 2014-04-25 2017-10-03 上海交通大学 一种基于dns日志分析的apt攻击检测方法
WO2015178933A1 (en) * 2014-05-23 2015-11-26 Hewlett-Packard Development Company, L.P. Advanced persistent threat identification
US10084813B2 (en) * 2014-06-24 2018-09-25 Fireeye, Inc. Intrusion prevention and remedy system
CN104283889B (zh) * 2014-10-20 2018-04-24 国网重庆市电力公司电力科学研究院 基于网络架构的电力系统内部apt攻击检测及预警系统
US20160110819A1 (en) * 2014-10-21 2016-04-21 Marc Lauren Abramowitz Dynamic security rating for cyber insurance products
WO2016089567A1 (en) * 2014-12-01 2016-06-09 Empow Cyber Security Ltd. A cyber-security system and methods thereof for detecting and mitigating advanced persistent threats
US10438207B2 (en) * 2015-04-13 2019-10-08 Ciena Corporation Systems and methods for tracking, predicting, and mitigating advanced persistent threats in networks
US9654485B1 (en) * 2015-04-13 2017-05-16 Fireeye, Inc. Analytics-based security monitoring system and method
US9699205B2 (en) * 2015-08-31 2017-07-04 Splunk Inc. Network security system
US20170223034A1 (en) * 2016-01-29 2017-08-03 Acalvio Technologies, Inc. Classifying an email as malicious
US20170223030A1 (en) * 2016-01-29 2017-08-03 Splunk Inc. Detection of security transactions
CN106209867B (zh) * 2016-07-15 2020-09-01 北京元支点信息安全技术有限公司 一种高级威胁防御方法及系统
CN106357689B (zh) * 2016-11-07 2019-07-09 北京奇虎科技有限公司 威胁数据的处理方法及系统
US10812499B2 (en) * 2017-11-09 2020-10-20 Accenture Global Solutions Limited Detection of adversary lateral movement in multi-domain IIOT environments
CN107888607B (zh) 2017-11-28 2020-11-06 新华三技术有限公司 一种网络威胁检测方法、装置及网络管理设备

Also Published As

Publication number Publication date
JP2020515962A (ja) 2020-05-28
CN108259449A (zh) 2018-07-06
EP3588898A4 (en) 2020-02-19
WO2018177210A1 (zh) 2018-10-04
EP3588898B1 (en) 2023-07-12
US11405419B2 (en) 2022-08-02
CN108259449B (zh) 2020-03-06
EP3588898A1 (en) 2020-01-01
US20210112092A1 (en) 2021-04-15

Similar Documents

Publication Publication Date Title
JP6894003B2 (ja) Apt攻撃に対する防御
US11310285B2 (en) Adaptive network security policies
US11068588B2 (en) Detecting irregularities on a device
US10230761B1 (en) Method and system for detecting network compromise
JP6104149B2 (ja) ログ分析装置及びログ分析方法及びログ分析プログラム
US9641550B2 (en) Network protection system and method
EP2715975B1 (en) Network asset information management
US8931099B2 (en) System, method and program for identifying and preventing malicious intrusions
US9667589B2 (en) Logical / physical address state lifecycle management
US10726125B2 (en) Malware detection using clustering with malware source information
CN109495443B (zh) 一种基于主机蜜罐对抗勒索软件攻击的方法和系统
US10320814B2 (en) Detection of advanced persistent threat attack on a private computer network
US20100199345A1 (en) Method and System for Providing Remote Protection of Web Servers
CN105915532A (zh) 一种失陷主机的识别方法及装置
Zhang et al. User intention-based traffic dependence analysis for anomaly detection
Yamada et al. RAT-based malicious activities detection on enterprise internal networks
AT&T
Hatada et al. Finding new varieties of malware with the classification of network behavior
Kumar et al. Recent advances in intrusion detection systems: An analytical evaluation and comparative study
Karie et al. Cybersecurity Incident Response in the Enterprise
Alukwe Enhancing Cybersecurity: Smart Intrusion Detection in File Server SYSTEMS
CN116074022A (zh) 基于过程管控和人工智能的自动识别横向移动的方法
CN112637217A (zh) 基于诱饵生成的云计算系统的主动防御方法及装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190926

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200925

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201006

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210105

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210525

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210602

R150 Certificate of patent or registration of utility model

Ref document number: 6894003

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150