JP6918269B2 - 攻撃推定装置、攻撃制御方法、および攻撃推定プログラム - Google Patents
攻撃推定装置、攻撃制御方法、および攻撃推定プログラム Download PDFInfo
- Publication number
- JP6918269B2 JP6918269B2 JP2021504681A JP2021504681A JP6918269B2 JP 6918269 B2 JP6918269 B2 JP 6918269B2 JP 2021504681 A JP2021504681 A JP 2021504681A JP 2021504681 A JP2021504681 A JP 2021504681A JP 6918269 B2 JP6918269 B2 JP 6918269B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- tree
- abstract
- log
- threat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 70
- 238000012790 confirmation Methods 0.000 claims description 43
- 238000011084 recovery Methods 0.000 claims description 32
- 238000004458 analytical method Methods 0.000 claims description 18
- 238000001514 detection method Methods 0.000 claims description 18
- 238000011109 contamination Methods 0.000 claims description 12
- 238000012545 processing Methods 0.000 description 28
- 238000007726 management method Methods 0.000 description 22
- 238000010586 diagram Methods 0.000 description 6
- 238000007796 conventional method Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000001419 dependent effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 208000015181 infectious disease Diseases 0.000 description 2
- 238000011835 investigation Methods 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 238000013349 risk mitigation Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 239000013598 vector Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1415—Saving, restoring, recovering or retrying at system level
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/86—Event-based monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
上記のように、アタックツリーを用いた場合、既知の攻撃に対してしか攻撃および感染箇所を特定することができない課題がある。
図1は、本発明の実施の形態1における攻撃推定装置のハードウェア構成例を示す図である。図1に示す本実施の形態1に係る攻撃推定装置1は、ドライブ装置101と、補助記憶装置103と、メモリ装置104と、CPU105と、インタフェース装置106のそれぞれが、バスBで相互に接続されている。
図8は、本発明の実施の形態2における攻撃推定装置1の機能構成例である。図8に示した攻撃推定装置は、先の実施の形態1における図2のコンポーネントに加え、復旧作業特定部210および復旧手段情報記憶部211をさらに有する。そこで、新たに追加されたコンポーネントである復旧作業特定部210および復旧手段情報記憶部211の機能を中心に、以下に説明する。
Claims (4)
- 分析対象システムで事前に想定されうる攻撃手法と、脅威痕跡情報とが関連付けられたアタックツリーを保持するアタックツリー記憶部と、
前記攻撃手法と、前記攻撃手法の抽象度を上げた抽象的な攻撃名とが関連付けられた抽象アタックツリーを保持する抽象アタックツリー記憶部と、
前記抽象的な攻撃名と、ログを確認する機器と、前記ログの具体的な箇所とが関連付けられた確認ログ管理情報を保持する確認ログ管理情報記憶部と、
前記分析対象システムに対する攻撃が発生したことを知らせる検知アラートを受信した場合に、前記アタックツリー、前記抽象アタックツリー、および前記確認ログ管理情報を参照し、前記攻撃による汚染範囲を予測する予測部と
を備え、
前記予測部は、
前記検知アラートを受信した場合には、前記アタックツリーを参照することで、前記攻撃に対応する前記脅威痕跡情報を特定し、
前記攻撃に対応する前記脅威痕跡情報が特定できた場合には、前記攻撃として既知の攻撃が発生したと判断し、特定した前記脅威痕跡情報から前記汚染範囲を予測し、
前記攻撃に対応する前記脅威痕跡情報が特定できなかった場合には、前記攻撃として未知の攻撃が発生したと判断し、
前記未知の攻撃が発生したと判断した場合には、前記抽象アタックツリーを参照することで、前記抽象的な攻撃名を特定し、
特定した前記抽象的な攻撃名と、前記確認ログ管理情報とを参照することで、前記未知の攻撃による痕跡が残っている可能性が高い機器として前記ログを確認する機器を特定するとともに、特定した前記機器に対応して前記ログの具体的な箇所を特定することで前記未知の攻撃による前記汚染範囲を予測する
攻撃推定装置。 - 前記汚染範囲の復旧作業内容と、復旧作業時間とが対応付けられた復旧手段情報を保持する復旧手段情報記憶部と、
前記復旧手段情報を参照し、前記予測部により予測された前記汚染範囲を修復するために必要となる前記復旧作業内容および前記復旧作業時間を特定する復旧作業特定部と
をさらに備える請求項1に記載の攻撃推定装置。 - 分析対象システムで事前に想定されうる攻撃手法と、脅威痕跡情報とが関連付けられたアタックツリーと、前記攻撃手法と、前記攻撃手法の抽象度を上げた抽象的な攻撃名とが関連付けられた抽象アタックツリーと、前記抽象的な攻撃名と、ログを確認する機器と、前記ログの具体的な箇所とが関連付けられた確認ログ管理情報とを記憶部に保持させる記憶ステップと、
前記分析対象システムに対する攻撃が発生したことを知らせる検知アラートを受信した場合に、前記アタックツリー、前記抽象アタックツリー、および前記確認ログ管理情報を参照し、前記攻撃による汚染範囲を予測する予測ステップと
を有し、前記記憶ステップおよび前記予測ステップは、コンピュータにより実行され、
前記予測ステップは、
前記検知アラートを受信した場合には、前記アタックツリーを参照することで、前記攻撃に対応する前記脅威痕跡情報を特定し、
前記攻撃に対応する前記脅威痕跡情報が特定できた場合には、前記攻撃として既知の攻撃が発生したと判断し、特定した前記脅威痕跡情報から前記汚染範囲を予測し、
前記攻撃に対応する前記脅威痕跡情報が特定できなかった場合には、前記攻撃として未知の攻撃が発生したと判断し、
前記未知の攻撃が発生したと判断した場合には、前記抽象アタックツリーを参照することで、前記抽象的な攻撃名を特定し、
特定した前記抽象的な攻撃名と、前記確認ログ管理情報とを参照することで、前記未知の攻撃による痕跡が残っている可能性が高い機器として前記ログを確認する機器を特定するとともに、特定した前記機器に対応して前記ログの具体的な箇所を特定することで前記未知の攻撃による前記汚染範囲を予測する
攻撃推定方法。 - 分析対象システムで事前に想定されうる攻撃手法と、脅威痕跡情報とが関連付けられたアタックツリーと、前記攻撃手法と、前記攻撃手法の抽象度を上げた抽象的な攻撃名とが関連付けられた抽象アタックツリーと、前記抽象的な攻撃名と、ログを確認する機器と、前記ログの具体的な箇所とが関連付けられた確認ログ管理情報とを記憶部に保持させる記憶ステップと、
前記分析対象システムに対する攻撃が発生したことを知らせる検知アラートを受信した場合に、前記アタックツリー、前記抽象アタックツリー、および前記確認ログ管理情報を参照し、前記攻撃による汚染範囲を予測する予測ステップと
をコンピュータに実行させる攻撃推定プログラムであって、
前記予測ステップでは、
前記検知アラートを受信した場合には、前記アタックツリーを参照することで、前記攻撃に対応する前記脅威痕跡情報を特定し、
前記攻撃に対応する前記脅威痕跡情報が特定できた場合には、前記攻撃として既知の攻撃が発生したと判断し、特定した前記脅威痕跡情報から前記汚染範囲を予測し、
前記攻撃に対応する前記脅威痕跡情報が特定できなかった場合には、前記攻撃として未知の攻撃が発生したと判断し、
前記未知の攻撃が発生したと判断した場合には、前記抽象アタックツリーを参照することで、前記抽象的な攻撃名を特定し、
特定した前記抽象的な攻撃名と、前記確認ログ管理情報とを参照することで、前記未知の攻撃による痕跡が残っている可能性が高い機器として前記ログを確認する機器を特定するとともに、特定した前記機器に対応して前記ログの具体的な箇所を特定することで前記未知の攻撃による前記汚染範囲を予測する
攻撃推定プログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2019/010044 WO2020183615A1 (ja) | 2019-03-12 | 2019-03-12 | 攻撃推定装置、攻撃制御方法、および攻撃推定プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP6918269B2 true JP6918269B2 (ja) | 2021-08-11 |
JPWO2020183615A1 JPWO2020183615A1 (ja) | 2021-09-13 |
Family
ID=72427354
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021504681A Active JP6918269B2 (ja) | 2019-03-12 | 2019-03-12 | 攻撃推定装置、攻撃制御方法、および攻撃推定プログラム |
Country Status (4)
Country | Link |
---|---|
US (1) | US11893110B2 (ja) |
JP (1) | JP6918269B2 (ja) |
CN (1) | CN113544676B (ja) |
WO (1) | WO2020183615A1 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7427574B2 (ja) * | 2020-11-30 | 2024-02-05 | 株式会社日立製作所 | 状態診断装置、及び状態診断方法 |
CN112887303B (zh) * | 2021-01-25 | 2022-09-30 | 中国人民解放军92493部队参谋部 | 一种串入式威胁接入管控系统及方法 |
WO2023223515A1 (ja) * | 2022-05-19 | 2023-11-23 | 日本電信電話株式会社 | 攻撃経路推定システム、攻撃経路推定装置、攻撃経路推定方法及びプログラム |
Family Cites Families (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4265163B2 (ja) * | 2002-07-18 | 2009-05-20 | ソニー株式会社 | ネットワーク・セキュリティ・システム、情報処理装置及び情報処理方法、並びにコンピュータ・プログラム |
JP2005085158A (ja) * | 2003-09-10 | 2005-03-31 | Toshiba Corp | 不正アクセス検出装置およびコンピュータネットワーク上に於ける異常データ検出方法 |
US8646085B2 (en) | 2007-10-10 | 2014-02-04 | Telefonaktiebolaget L M Ericsson (Publ) | Apparatus for reconfiguration of a technical system based on security analysis and a corresponding technical decision support system and computer program product |
JP5264470B2 (ja) * | 2008-12-26 | 2013-08-14 | 三菱電機株式会社 | 攻撃判定装置及びプログラム |
US8863293B2 (en) * | 2012-05-23 | 2014-10-14 | International Business Machines Corporation | Predicting attacks based on probabilistic game-theory |
JP5972401B2 (ja) * | 2013-01-21 | 2016-08-17 | 三菱電機株式会社 | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム |
CN106062765B (zh) | 2014-02-26 | 2017-09-22 | 三菱电机株式会社 | 攻击检测装置和攻击检测方法 |
US9438623B1 (en) * | 2014-06-06 | 2016-09-06 | Fireeye, Inc. | Computer exploit detection using heap spray pattern matching |
US9882929B1 (en) * | 2014-09-30 | 2018-01-30 | Palo Alto Networks, Inc. | Dynamic selection and generation of a virtual clone for detonation of suspicious content within a honey network |
CA2981864A1 (en) * | 2015-04-10 | 2016-10-13 | PhishMe, Inc. | Suspicious message processing and incident response |
US10192051B2 (en) * | 2015-06-17 | 2019-01-29 | Accenture Global Services Limited | Data acceleration |
US9894090B2 (en) | 2015-07-14 | 2018-02-13 | Sap Se | Penetration test attack tree generator |
CN105100122A (zh) * | 2015-09-08 | 2015-11-25 | 南京联成科技发展有限公司 | 一种基于大数据分析的威胁检测和预警的方法及系统 |
US10609079B2 (en) * | 2015-10-28 | 2020-03-31 | Qomplx, Inc. | Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management |
US10193906B2 (en) * | 2015-12-09 | 2019-01-29 | Checkpoint Software Technologies Ltd. | Method and system for detecting and remediating polymorphic attacks across an enterprise |
JP6774881B2 (ja) * | 2016-05-18 | 2020-10-28 | 株式会社日立製作所 | 業務処理システム監視装置および監視方法 |
US10366229B2 (en) * | 2016-06-20 | 2019-07-30 | Jask Labs Inc. | Method for detecting a cyber attack |
US20180004958A1 (en) * | 2016-07-01 | 2018-01-04 | Hewlett Packard Enterprise Development Lp | Computer attack model management |
CN106375339B (zh) * | 2016-10-08 | 2019-07-09 | 电子科技大学 | 基于事件滑动窗口的攻击模式检测方法 |
US11146578B2 (en) * | 2016-12-16 | 2021-10-12 | Patternex, Inc. | Method and system for employing graph analysis for detecting malicious activity in time evolving networks |
CN107046543A (zh) * | 2017-04-26 | 2017-08-15 | 国家电网公司 | 一种面向攻击溯源的威胁情报分析系统 |
US20190222604A1 (en) * | 2018-01-12 | 2019-07-18 | Vimal Vaidya | Method and apparatus for measuring and predicting threat responsiveness |
US11258818B2 (en) * | 2018-01-31 | 2022-02-22 | Ironsdn Corp. | Method and system for generating stateful attacks |
US10944770B2 (en) * | 2018-10-25 | 2021-03-09 | EMC IP Holding Company LLC | Protecting against and learning attack vectors on web artifacts |
CN109067815B (zh) * | 2018-11-06 | 2021-11-19 | 深信服科技股份有限公司 | 攻击事件溯源分析方法、系统、用户设备及存储介质 |
US11431734B2 (en) * | 2019-04-18 | 2022-08-30 | Kyndryl, Inc. | Adaptive rule generation for security event correlation |
-
2019
- 2019-03-12 CN CN201980093613.5A patent/CN113544676B/zh active Active
- 2019-03-12 JP JP2021504681A patent/JP6918269B2/ja active Active
- 2019-03-12 WO PCT/JP2019/010044 patent/WO2020183615A1/ja active Application Filing
-
2021
- 2021-07-27 US US17/386,169 patent/US11893110B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US20210357501A1 (en) | 2021-11-18 |
CN113544676B (zh) | 2024-07-26 |
CN113544676A (zh) | 2021-10-22 |
WO2020183615A1 (ja) | 2020-09-17 |
US11893110B2 (en) | 2024-02-06 |
JPWO2020183615A1 (ja) | 2021-09-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2637121A1 (en) | A method for detecting and removing malware | |
JP6918269B2 (ja) | 攻撃推定装置、攻撃制御方法、および攻撃推定プログラム | |
JP6774881B2 (ja) | 業務処理システム監視装置および監視方法 | |
US20140053267A1 (en) | Method for identifying malicious executables | |
CN105408911A (zh) | 硬件和软件执行概况分析 | |
US8561179B2 (en) | Method for identifying undesirable features among computing nodes | |
CN113761519B (zh) | 一种Web应用程序的检测方法、装置及存储介质 | |
US10839074B2 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
WO2006092931A1 (ja) | ネットワーク接続制御プログラム、ネットワーク接続の制御方法及びネットワーク接続制御システム | |
US11425170B2 (en) | System and method for deploying and configuring cyber-security protection solution using portable storage device | |
CN108429746B (zh) | 一种面向云租户的隐私数据保护方法及系统 | |
CN113632432A (zh) | 一种攻击行为的判定方法、装置及计算机存储介质 | |
KR100745639B1 (ko) | 파일 시스템 및 레지스트리를 보호하는 방법 및 그 장치 | |
KR100745640B1 (ko) | 커널 메모리를 보호하는 방법 및 그 장치 | |
JP7019533B2 (ja) | 攻撃検知装置、攻撃検知システム、攻撃検知方法および攻撃検知プログラム | |
US11068594B2 (en) | Threat detection system | |
CN102073818A (zh) | 一种漏洞检测设备和方法 | |
CN113872959A (zh) | 一种风险资产等级判定和动态降级方法和装置及设备 | |
Xu et al. | DR@ FT: efficient remote attestation framework for dynamic systems | |
CN117081818A (zh) | 基于智能合约防火墙的攻击交易识别与拦截方法及系统 | |
US11449610B2 (en) | Threat detection system | |
RU2468427C1 (ru) | Система и способ защиты компьютерной системы от активности вредоносных объектов | |
US11960368B1 (en) | Computer-implemented system and method for recovering data in case of a computer network failure | |
JP2024098521A (ja) | ソースコード修正支援装置およびソースコード修正支援方法 | |
WO2018079867A1 (ko) | 지능형 지속위협 환경의 네트워크 복구 시스템을 이용한 복구 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210323 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20210323 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20210427 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210511 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210528 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210622 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210720 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6918269 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |