JP7004477B2 - インシデントレスポンス補助システム、インシデントレスポンス補助方法およびインシデントレスポンス補助プログラム - Google Patents

インシデントレスポンス補助システム、インシデントレスポンス補助方法およびインシデントレスポンス補助プログラム Download PDF

Info

Publication number
JP7004477B2
JP7004477B2 JP2021561854A JP2021561854A JP7004477B2 JP 7004477 B2 JP7004477 B2 JP 7004477B2 JP 2021561854 A JP2021561854 A JP 2021561854A JP 2021561854 A JP2021561854 A JP 2021561854A JP 7004477 B2 JP7004477 B2 JP 7004477B2
Authority
JP
Japan
Prior art keywords
attack
log data
normal
log
scenario
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021561854A
Other languages
English (en)
Other versions
JPWO2021124528A1 (ja
Inventor
弘毅 西川
清人 河内
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of JPWO2021124528A1 publication Critical patent/JPWO2021124528A1/ja
Application granted granted Critical
Publication of JP7004477B2 publication Critical patent/JP7004477B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、インシデントレスポンスの効率化に関するものである。
サイバー攻撃による被害状況は依然深刻であり、サイバー攻撃によって発生するインシデントを完全に防ぐことは困難である。
各企業は、インシデント発生時の対応能力を有することが求められてきている。
特許文献1には、マルウェアを動的解析して得られたログから、マルウェア本来の挙動を効果的に抽出するための技術が開示されている。
特許文献1の技術では、マルウェア解析ログのうち正規ファイル解析ログに含まれないものがマルウェアに関するブラックログとして抽出される。
特開2015-225512号公報
特許文献1の技術では、正規ファイル解析ログを取得するために、正規ファイルまたは正規ファイルに関係づけられたプログラムが実行される。そのため、ブラックログを得るための処理負荷が大きい。
本発明は、インシデント対応のための情報として、通常時のログデータとサイバー攻撃時のログデータとの差分である痕跡ログデータを効率良く得られるようにすることを目的とする。
本発明のインシデントレスポンス補助システムは、
サイバー攻撃に伴う動作とは異なる通常動作の手順を示す通常シナリオと、サイバー攻撃の手順を示すアタックシナリオと、検証環境システムが指定される検証環境ファイルと、を受け付ける受付部と、
検証環境ファイルと通常シナリオとの組毎に通常ログデータが登録されたログデータベースで、受け付けられた検証環境ファイルと受け付けられた通常シナリオとの組と同じ組に対応する通常ログデータである該当通常ログデータを検索する通常ログ検索部と、
受け付けられたアタックシナリオにしたがって前記サイバー攻撃を前記検証環境システムに対して行う攻撃実行部と、
前記サイバー攻撃が行われている間に前記検証環境システムにおいて記録されたログデータを攻撃ログデータとして取得する攻撃ログ取得部と、
前記攻撃ログデータから前記該当通常ログデータとの差分を痕跡ログデータとして抽出する痕跡ログ抽出部と、を備える。
本発明によれば、過去に行われた通常動作と同じ通常動作を検証対象システムに行わせずに通常ログデータを取得することが可能となる。そして、取得した通常ログデータを利用して痕跡ログデータを抽出することができる。したがって、痕跡ログデータを効率良く得ることができる。
実施の形態1におけるインシデントレスポンス補助装置100の構成図。 実施の形態1におけるログデータベース180の構成図。 実施の形態1におけるインシデントレスポンス補助システム200の構成図。 実施の形態1におけるインシデントレスポンス補助方法のフローチャート。 実施の形態1におけるステップS120のフローチャート。 実施の形態1におけるステップS130のフローチャート。 実施の形態1におけるステップS140のフローチャート。 実施の形態1におけるステップS140のフローチャート。 実施の形態2におけるインシデントレスポンス補助装置100の構成図。 実施の形態2におけるログデータベース180の構成図。 実施の形態2におけるインシデントレスポンス補助システム200の構成図。 実施の形態2におけるインシデントレスポンス補助方法のフローチャート。 実施の形態2におけるアタックシナリオ推測処理のフローチャート。 実施の形態2におけるステップS220のフローチャートの一例。 実施の形態2におけるステップS220のフローチャートの一例。 実施の形態2におけるステップS220のフローチャートの一例。 実施の形態3におけるインシデントレスポンス補助装置100の構成図。 実施の形態3におけるログデータベース180の構成図。 実施の形態3におけるインシデントレスポンス補助方法のフローチャート。 実施の形態3におけるステップS320のフローチャート。 実施の形態におけるインシデントレスポンス補助装置100のハードウェア構成図。
実施の形態および図面において、同じ要素または対応する要素には同じ符号を付している。説明した要素と同じ符号が付された要素の説明は適宜に省略または簡略化する。図中の矢印はデータの流れ又は処理の流れを主に示している。
実施の形態1.
インシデントレスポンスの効率化を図るための形態について、図1から図8に基づいて説明する。
***構成の説明***
図1に基づいて、インシデントレスポンス補助装置100の構成を説明する。
インシデントレスポンス補助装置100は、プロセッサ101とメモリ102と補助記憶装置103と通信装置104と入出力インタフェース105といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
プロセッサ101は、演算処理を行うICであり、他のハードウェアを制御する。例えば、プロセッサ101は、CPU、DSPまたはGPUである。
ICは、Integrated Circuitの略称である。
CPUは、Central Processing Unitの略称である。
DSPは、Digital Signal Processorの略称である。
GPUは、Graphics Processing Unitの略称である。
メモリ102は揮発性または不揮発性の記憶装置である。メモリ102は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ102はRAMである。メモリ102に記憶されたデータは必要に応じて補助記憶装置103に保存される。
RAMは、Random Access Memoryの略称である。
補助記憶装置103は不揮発性の記憶装置である。例えば、補助記憶装置103は、ROM、HDDまたはフラッシュメモリである。補助記憶装置103に記憶されたデータは必要に応じてメモリ102にロードされる。
ROMは、Read Only Memoryの略称である。
HDDは、Hard Disk Driveの略称である。
通信装置104はレシーバ及びトランスミッタである。例えば、通信装置104は通信チップまたはNICである。
NICは、Network Interface Cardの略称である。
入出力インタフェース105は、入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース105はUSB端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。
USBは、Universal Serial Busの略称である。
インシデントレスポンス補助装置100は、受付部110と痕跡ログ導出部120と通常ログ検索部130といった要素を備える。痕跡ログ導出部120は、検証環境部121と通常動作部122と通常ログ取得部123と攻撃実行部124と攻撃ログ取得部125と痕跡ログ抽出部126といった要素を備える。これらの要素はソフトウェアで実現される。
補助記憶装置103には、受付部110と痕跡ログ導出部120と通常ログ検索部130としてコンピュータを機能させるためのインシデントレスポンス補助プログラムが記憶されている。インシデントレスポンス補助プログラムは、メモリ102にロードされて、プロセッサ101によって実行される。
補助記憶装置103には、さらに、OSが記憶されている。OSの少なくとも一部は、メモリ102にロードされて、プロセッサ101によって実行される。
プロセッサ101は、OSを実行しながら、インシデントレスポンス補助プログラムを実行する。
OSは、Operating Systemの略称である。
インシデントレスポンス補助プログラムの入出力データは記憶部190に記憶される。
メモリ102は記憶部190として機能する。但し、補助記憶装置103、プロセッサ101内のレジスタおよびプロセッサ101内のキャッシュメモリなどの記憶装置が、メモリ102の代わりに、又は、メモリ102と共に、記憶部190として機能してもよい。
記憶部190には、例えば、ログデータベース180などが記憶される。
インシデントレスポンス補助装置100は、プロセッサ101を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ101の機能を分担する。
インシデントレスポンス補助プログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータ読み取り可能に記録(格納)することができる。
図2に基づいて、ログデータベース180の構成を説明する。
ログデータベース180には、1つ以上の検証環境ファイル191と1つ以上の通常シナリオ192と1つ以上のアタックシナリオ194といったデータが登録される。
ログデータベース180には、1つ以上の通常ログデータ193と1つ以上の攻撃ログデータ195と1つ以上の痕跡ログデータ196といったデータが登録される。
各データは、名称などの識別子によって識別される。
各データの内容については後述する。
ログデータベース180には、さらに、通常ログ管理テーブル181が登録される。通常ログ管理テーブル181は、通常ログデータ193を管理するためのテーブルである。
通常ログ管理テーブル181は、検証環境ファイル191と通常シナリオ192との組毎に通常ログデータ193を示す。
これにより、ログデータベース180には、検証環境ファイル191と通常シナリオ192との組毎に通常ログデータ193が登録されることとなる。
図3に基づいて、インシデントレスポンス補助システム200の構成を説明する。
インシデントレスポンス補助システム200は、インシデントレスポンス補助装置100と、検証環境システム210と、を備える。
検証環境システム210は、監視対象システムを代替するシステムである。監視対象システムは、インシデントの発生を監視する対象となるシステムである。インシデントは、サイバー攻撃によって発生する。
検証環境システム210は仮想環境で構築される。例えば、検証環境システム210は、クライアント端末とウェブサーバとログサーバとを備える。クライアント端末とウェブサーバとログサーバとのそれぞれは、仮想マシンによって実現される。
インシデントレスポンス補助装置100は、検証環境システム210を操作し、検証環境システム210から通常ログデータ193と攻撃ログデータ195とを取得する。
そして、インシデントレスポンス補助装置100は、通常ログデータ193と攻撃ログデータ195とに基づいて、痕跡ログデータ196を生成する。
***動作の説明***
インシデントレスポンス補助システム200の動作の手順はインシデントレスポンス補助方法に相当する。また、インシデントレスポンス補助装置100の動作の手順はインシデントレスポンス補助プログラムによる処理の手順に相当する。
図4に基づいて、インシデントレスポンス補助方法を説明する。
利用者は、検証環境システム210を予め用意する。
具体的には、利用者は、検証環境システム210を仮想化技術によって実現するコンピュータを用意する。このコンピュータを「仮想化コンピュータ」と称する。
利用者は、検証環境ファイル191と通常シナリオ192と1つ以上のアタックシナリオ194をインシデントレスポンス補助装置100に入力する。
ステップS110からステップS140は、検証環境ファイル191と通常シナリオ192と1つ以上のアタックシナリオ194がインシデントレスポンス補助装置100に入力される毎に実行される。
ステップS110において、受付部110は、検証環境ファイル191と通常シナリオ192と1つ以上のアタックシナリオ194を受け付ける。
検証環境ファイル191は、検証環境システム210が指定されるファイルである。検証環境ファイル191は、初期状態における検証環境システム210のスナップショットを含む。検証環境ファイル191は、ansibleなどのツールを用いて生成される。
通常シナリオ192は通常動作の手順を示す。また、通常シナリオ192は、通常動作の開始条件と通常動作の終了条件とを示す。通常動作は、サイバー攻撃に伴う動作とは異なる動作である。
アタックシナリオ194はサイバー攻撃の手順を示す。また、アタックシナリオ194は、サイバー攻撃の開始条件とサイバー攻撃の終了条件とを示す。
受付部110は、検証環境ファイル191と通常シナリオ192と1つ以上のアタックシナリオ194をログデータベース180に登録する。
ステップS110で受け付けられた検証環境ファイル191を「対象検証環境ファイル」と称する。
ステップS110で受け付けられた通常シナリオ192を「対象通常シナリオ」と称する。
ステップS110で受け付けられた各アタックシナリオ194を「対象アタックシナリオ」と称する。
ステップS120において、痕跡ログ導出部120は、対象検証環境ファイルと対象通常シナリオとを用いて、通常ログデータ193を取得する。
図5に基づいて、ステップS120の手順を説明する。
ステップS121において、通常ログ検索部130は、ログデータベース180で該当通常ログデータを検索する。
該当通常ログデータは、対象検証環境ファイルと対象通常シナリオとの組と同じ組に対応する通常ログデータ193である。
該当通常ログデータは以下のように検索される。
通常ログ検索部130は、ログデータベース180に登録されている各検証環境ファイル191と対象検証環境ファイルを比較することによって、該当検証環境ファイルを探す。該当検証環境ファイルは、対象検証環境ファイルと同じ検証環境ファイル191である。具体的には、該当検証環境ファイルは、対象検証環境ファイルに含まれるスナップショットと同じスナップショットを含む検証環境ファイル191である。
通常ログ検索部130は、ログデータベース180に登録されている各通常シナリオ192と対象通常シナリオを比較することによって、該当通常シナリオを探す。該当通常シナリオは、対象通常シナリオと同じ通常シナリオ192である。
該当検証環境ファイルと該当通常シナリオとの両方が見つかった場合、通常ログ検索部130は、通常ログ管理テーブル181で該当管理レコードを検索する。該当管理レコードは、該当検証環境ファイルと該当通常シナリオとの組を示す通常ログ管理レコードである。
該当管理レコードに示される通常ログデータ193が該当通常ログデータである。
該当通常ログデータが見つかった場合、処理はステップS122に進む。
該当通常ログデータが見つからなかった場合、処理はステップS123に進む。
ステップS122において、攻撃ログ取得部125は、ログデータベース180から該当通常ログデータを取得する。
ステップS123において、検証環境部121は、対象検証環境ファイルを用いて検証環境システム210を初期化する。
具体的には、検証環境部121は、検証環境システム210を実現する仮想化コンピュータへ対象検証環境ファイルを送信する。そして、仮想化コンピュータが、対象検証環境ファイルに含まれるスナップショットを使用して検証環境システム210を初期化する。
ステップS124において、通常動作部122は、対象通常シナリオにしたがって通常動作を検証環境システム210に行わせる。
通常動作は以下のように行われる。
通常動作は1つ以上の工程で構成される。通常動作における各工程を通常工程と称する。
通常動作部122は、対象通常シナリオに示される手順にしたがって、各通常工程の実行命令を仮想化コンピュータの検証環境システム210へ送信する。仮想化コンピュータの検証環境システム210は、各実行命令にしたがって通常工程を実行する。
例えば、以下のような通常動作が行われる。
検証環境システム210は、ウェブサーバとクライアント端末を備える。通常動作は、クライアント端末からウェブサーバへの不定期のアクセスである。
ステップS125は、通常動作が終了した後に実行される。
ステップS125において、通常ログ取得部123は、検証環境システム210から通常ログデータ193を取得する。取得される通常ログデータ193を「検証通常ログデータ」と称する。
通常ログデータ193は、通常動作が行われている間に検証環境システム210において記録されるログデータである。
具体的には、通常ログ取得部123は、仮想化コンピュータの検証環境システム210と通信することによって、検証通常ログデータを取得する。
例えば、検証通常ログデータは以下のように取得される。
検証環境システム210は、通常ログデータ193を記録するログサーバを備える。
例えば、ウェブサーバへのアクセスが発生した場合、ウェブサーバはアクセスログをログサーバへ送信する。アクセスログは、ウェブサーバに対するアクセスの内容を示すログレコードである。ログサーバは、アクセスログを受信し、アクセスログを通常ログデータ193に登録する。
通常ログ取得部123は、ログサーバから通常ログデータ193を取得する。取得される通常ログデータ193が検証通常ログデータである。
検証通常ログデータは、scpコマンドなどのコマンドによって取得することが可能である。
ステップS126において、通常ログ取得部123は、検証通常ログデータをログデータベース180に登録する。
さらに、通常ログ取得部123は、検証通常ログデータのための通常ログ管理レコードを通常ログ管理テーブル181に登録する。
通常ログ管理レコードは、通常ログデータ193を管理するためのレコードである。通常ログ管理レコードには、検証環境ファイル191の識別子と通常シナリオ192の識別子と通常ログデータ193の識別子との組が設定される。通常ログ管理レコードによって、通常ログデータ193が検証環境ファイル191と通常シナリオ192との組に対応付けられる。
図4に戻り、ステップS130を説明する。
ステップS130において、痕跡ログ導出部120は、対象検証環境ファイルと対象通常シナリオと1つ以上の対象アタックシナリオとを用いて、1つ以上の攻撃ログデータ195を取得する。
図6に基づいて、ステップS130の手順を説明する。
ステップS131において、攻撃実行部124は、未選択のアタックシナリオ194を1つ選択する。
ステップS132において、検証環境部121は、検証環境ファイル191を用いて検証環境システム210を初期化する。
ステップS132は、ステップS121(図5参照)と同じである。
ステップS133において、通常動作部122は、通常シナリオ192にしたがって通常動作を検証環境システム210に行わせる。
ステップS133は、ステップS122(図5参照)と同じである。
ステップS134において、攻撃実行部124は、アタックシナリオ194にしたがってサイバー攻撃を検証環境システム210に対して行う。
サイバー攻撃は以下のように行われる。
サイバー攻撃は、1つ以上の工程で構成される。サイバー攻撃における各工程を攻撃工程と称する。
攻撃実行部124は、アタックシナリオ194に示される手順にしたがって、各攻撃工程の実行命令を仮想化コンピュータへ送信する。仮想化コンピュータは、各実行命令にしたがって攻撃工程を検証環境システム210に対して実行する。
例えば、以下のようなサイバー攻撃が行われる。
検証環境システム210はウェブサーバを備える。サイバー攻撃において、ウェブサーバの脆弱性を突くリクエストが外部からウェブサーバへ送信される。その結果、ウェブサーバは、リクエストを受けて情報を外部へ送信することとなる。
ステップS135は、通常動作およびサイバー攻撃が終了した後に実行される。
ステップS135において、攻撃ログ取得部125は、検証環境システム210から攻撃ログデータ195を取得する。
攻撃ログデータ195は、通常動作およびサイバー攻撃が行われている間に検証環境システム210において記録されるログデータである。
攻撃ログデータ195を取得する方法は、ステップS125(図5参照)において検証通常ログデータを取得する方法と同じである。
ステップS136において、攻撃ログ取得部125は、攻撃ログデータ195をログデータベース180に登録する。
ステップS137において、攻撃実行部124は、未選択のアタックシナリオ194があるか判定する。
未選択のアタックシナリオ194がある場合、処理はステップS131に進む。
未選択のアタックシナリオ194がない場合、処理は終了する。
図4に戻り、ステップS140を説明する。
ステップS140において、痕跡ログ抽出部126は、各攻撃ログデータ195から通常ログデータ193との差分を抽出する。抽出される差分が痕跡ログデータ196となる。
具体的には、ステップS121(図5参照)において該当通常ログデータが見つかった場合、痕跡ログ抽出部126は、各攻撃ログデータ195から該当通常ログデータとの差分を抽出する。
また、ステップS121(図5参照)において該当通常ログデータが見つからなかった場合、痕跡ログ抽出部126は、各攻撃ログデータ195から検証通常ログデータとの差分を抽出する。
通常ログデータ193と各攻撃ログデータ195は、1つ以上のログレコードを含む。
各ログレコードは、各時刻に発生した事象を特定する情報を示す。例えば、ログレコードは、日付、時刻、ホスト名およびメッセージなどの情報を示す。
攻撃ログデータ195は、通常ログデータ193の各ログレコードと共通するログレコードを含む。
攻撃ログデータ195と通常ログデータ193の差分は、攻撃ログデータ195のログレコードのうち通常ログデータ193のいずれのログレコードとも共通しないログレコードである。
図7および図8に基づいて、ステップS140の手順を説明する。
通常ログデータ193を「通常ログデータL」と称する。
通常ログデータLに含まれる各ログレコードを「通常ログレコード」と称する。
i番目の通常ログレコードを「通常ログレコードlb」と称する。
「i」は1以上M以下の整数である。「M」は通常ログレコードの数である。
通常ログデータLは以下のように定義される。
= [lb1,lb2,・・・,lbM
攻撃ログデータ195を「攻撃ログデータL」と称する。
攻撃ログデータLに含まれる各ログレコードを「攻撃ログレコード」と称する。
j番目の攻撃ログレコードを「攻撃ログレコードla」と称する。
「j」は1以上N以下の整数である。「N」は攻撃ログレコードの数である。
通常ログデータLは以下のように定義される。
= [la1,la2,・・・,laN
N > M
痕跡ログ抽出部126は、空の痕跡ログデータ196をログデータベース180に登録する。
ステップS141において、痕跡ログ抽出部126は、変数iと変数jを初期化する。
変数iと変数jとのそれぞれの初期値は「1」である。
ステップS142において、痕跡ログ抽出部126は、通常ログ取得部Lから通常ログレコードlbを抽出する。
ステップS143において、痕跡ログ抽出部126は、攻撃ログ取得部Lから攻撃ログレコードlaを抽出する。
ステップS144において、痕跡ログ抽出部126は、通常ログレコードlbと攻撃ログレコードlaとの類似度を算出する。類似度は任意の方法で算出することができる。
例えば、通常ログレコードlbと攻撃ログレコードlaとの類似度は以下のように算出される。
各ログレコードは、日付と時刻とホスト名とメッセージといった情報を示す。
痕跡ログ抽出部126は、通常ログレコードlbと攻撃ログレコードlaとのそれぞれをベクトルに変換する。各ログレコードのベクトルは各ログレコードの各情報を要素とする。各ログレコードのベクトルにおいて、各ログレコードの各情報は、数値、one-hot表現または分散表現など、データ特性に応じた表現で表される。
痕跡ログ抽出部126は、通常ログレコードlbのベクトルと攻撃ログレコードlaのベクトルとの類似度を算出する。類似度の具体例は、ユークリッド距離またはコサイン類似度などである。
ステップS145において、痕跡ログ抽出部126は、通常ログレコードlbと攻撃ログレコードlaとの類似度を閾値と比較する。
類似度が閾値以上である場合、処理はステップS146に進む。
類似度が閾値未満である場合、処理はステップS1491に進む。
ステップS146において、痕跡ログ抽出部126は、変数jをインクリメントする。
ステップS147において、痕跡ログ抽出部126は、変数jをレコード数Nと比較する。
変数jがレコード数N以下である場合、処理はステップS148に進む。
変数jがレコード数Nより大きい場合、処理は終了する。
ステップS148において、痕跡ログ抽出部126は、変数iをインクリメントする。
ステップS148の後、処理はステップS142に進む。
ステップS1491において、痕跡ログ抽出部126は、攻撃ログレコードlaを痕跡ログデータ196に登録する。
ステップS1492において、痕跡ログ抽出部126は、変数jをインクリメントする。
ステップS1493において、痕跡ログ抽出部126は、変数jをレコード数Nと比較する。
変数jがレコード数N以下である場合、処理はステップS143に進む。
変数jがレコード数Nより大きい場合、処理は終了する。
***実施例の説明***
通常、コンピュータ内では、数多くのプロセスが動作している。そして、どのような順番でアプリケーションプログラムが動作するかは、スケジュールに依存する。また、アプリケーションプログラム間に依存関係が存在する場合がある。そのため、同じ環境で同じ処理が行われてもログデータ内のログレコードの順番が同一になるとは限らない。
サイバー攻撃によってログレコードの数が減る場合がある。例えば、サービス停止攻撃が行われた場合、サービスが停止されなければ記録されたはずのログレコードが記録されない。そのため、1つの通常ログレコードと一つの攻撃ログレコードが単純に比較される方法では、適切な痕跡ログデータ196を抽出することができない可能性がある。
そこで、痕跡ログ抽出部126は、窓関数を用いる方法によって痕跡ログデータ196を抽出してもよい。窓関数によって、通常ログデータ193から複数の通常ログレコード群が取り出され、攻撃ログデータ195から複数の攻撃ログレコード群が取り出される。通常ログレコード群は、連続する複数の通常ログレコードである。攻撃ログレコード群は、連続する複数の攻撃ログレコードである。痕跡ログ抽出部126は、各通常ログレコード群を一つの通常ログベクトルとして扱い、各攻撃ログレコード群を一つの攻撃ログベクトルとして扱う。そして、痕跡ログ抽出部126は、各通常ログレコード群と各攻撃ログレコード群との類似度を算出し、閾値以下の類似度に対応する各攻撃ログレコード群を痕跡ログデータ196に登録する。
痕跡ログ抽出部126は、攻撃ログデータ195から通常ログデータ193との差分(痕跡ログデータ196)を別の方法によって抽出してもよい。
***実施の形態1の効果***
実施の形態1により、新たなサイバー攻撃の手順を示すアタックシナリオ194に対応する痕跡ログデータ196を導出することが可能となる。
そして、痕跡ログデータ196は、新たなサイバー攻撃に対するルールを定義するための足掛かりとなる情報として利用することができる。
新たなサイバー攻撃に対するルールが定義されることにより、新たなサイバー攻撃によって発生するインシデントに自動で対応することが可能となる。
したがって、インシデントレスポンスを効率化することが可能となる。
また、過去に行われた通常動作と同じ通常動作を検証対象システムに行わせずに通常ログデータ193を取得することが可能となる。そして、取得した通常ログデータ193を利用して痕跡ログデータ196を抽出することができる。
したがって、痕跡ログデータ196を効率良く得ることができる。
実施の形態2.
インシデントが発生した監視対象システムのログデータに基づいてアタックシナリオを推測する形態について、主に実施の形態1と異なる点を図9から図16に基づいて説明する。
***構成の説明***
図9に基づいて、インシデントレスポンス補助装置100の構成を説明する。
インシデントレスポンス補助装置100は、さらに、推測シナリオ検索部140を備える。
インシデントレスポンス補助プログラムは、さらに、推測シナリオ検索部140としてコンピュータを機能させる。
図10に基づいて、ログデータベース180の構成を説明する。
ログデータベース180には、さらに、アタックシナリオ管理テーブル182が登録される。
アタックシナリオ管理テーブル182は、アタックシナリオ194を管理するためのテーブルであり、痕跡ログデータ196毎に、対応するアタックシナリオ194を示す。アタックシナリオ管理テーブル182によって、各アタックシナリオ194が痕跡ログデータ196に対応付けられる。つまり、ログデータベース180には、痕跡ログデータ196毎にアタックシナリオ194が登録される。
図11に基づいて、インシデントレスポンス補助システム200の構成を説明する。
インシデントレスポンス補助システム200は、さらに、監視対象システム220を備える。
監視対象システム220は、インシデントの発生を監視する対象となるシステムである。インシデントは、サイバー攻撃によって発生する。
***動作の説明***
図12に基づいて、インシデントレスポンス補助方法を説明する。
ステップS201において、受付部110は、検証環境ファイル191と通常シナリオ192と1つ以上のアタックシナリオ194を受け付ける。
ステップS201は、実施の形態1におけるステップS110(図4参照)と同じである。
ステップS201で受け付けられた検証環境ファイル191を「対象検証環境ファイル」と称する。
ステップS201で受け付けられた通常シナリオ192を「対象通常シナリオ」と称する。
ステップS201で受け付けられた各アタックシナリオ194を「対象アタックシナリオ」と称する。
ステップS202において、痕跡ログ導出部120は、対象検証環境ファイルと対象通常シナリオとを用いて、通常ログデータ193を取得する。
ステップS202は、実施の形態1におけるステップS120(図4参照)と同じである。
ステップS203において、痕跡ログ導出部120は、対象検証環境ファイルと対象通常シナリオと1つ以上の対象アタックシナリオとを用いて、1つ以上の攻撃ログデータ195を取得する。
ステップS203は、実施の形態1におけるステップS130(図4参照)と同じである。
ステップS204において、痕跡ログ抽出部126は、各攻撃ログデータ195から通常ログデータ193との差分を抽出する。抽出される差分が痕跡ログデータ196となる。
痕跡ログ抽出部126は、各痕跡ログデータ196をログデータベース180に登録する。
ステップS204は、実施の形態1におけるステップS140(図4参照)と同じである。
ステップS205において、痕跡ログ抽出部126は、各痕跡ログデータ196に対応付けて、各対象アタックシナリオをログデータベース180に登録する。
具体的には、痕跡ログ抽出部126は、各対象アタックシナリオのためのアタックシナリオ管理レコードをアタックシナリオ管理テーブル182に登録する。
アタックシナリオ管理レコードは、アタックシナリオ194を管理するためのレコードである。アタックシナリオ管理レコードには、痕跡ログデータ196の識別子とアタックシナリオ194の識別子との組が設定される。アタックシナリオ管理レコードによって、アタックシナリオ194が痕跡ログデータ196に対応付けられる。
図13に基づいて、アタックシナリオ推測処理を説明する。
アタックシナリオ推測処理は、診断対象ログデータに基づいてアタックシナリオを推測するための処理である。
診断対象ログデータは、インシデントが発生した監視対象システム220のログデータである。
利用者は、診断対象ログデータをインシデントレスポンス補助装置100に入力する。
ステップS210において、受付部110は、診断対象ログデータを受け付ける。
ステップS220において、推測シナリオ検索部140は、ログデータベース180で、診断対象ログデータと類似する痕跡ログデータ196に対応するアタックシナリオ194を検索する。検索されるアタックシナリオ194を「推測シナリオ」と称する。
具体的には、推測シナリオ検索部140は、診断対象ログデータと各痕跡ログデータ196との類似度を算出し、各痕跡ログデータ196の類似度に基づいて診断対象ログデータに類似する痕跡ログデータ196を選択する。そして、推測シナリオ検索部140は、選択した痕跡ログデータ196に対応するアタックシナリオ194をログデータベース180から取得する。取得されるアタックシナリオ194が推測シナリオである。
図14に基づいて、ステップS220の手順の一例を説明する。
ステップS221Aにおいて、推測シナリオ検索部140は、未選択の痕跡ログデータ196を1つ選択する。
具体的には、推測シナリオ検索部140は、アタックシナリオ管理テーブル182からアタックシナリオ管理レコードを登録順に1つ選択する。選択されたアタックシナリオ管理レコードに示される痕跡ログデータ196が、ステップS221Aで選択された痕跡ログデータ196である。
ステップS222Aにおいて、推測シナリオ検索部140は、診断対象ログデータと痕跡ログデータ196との類似度を算出する。類似度は任意の方法で算出することができる。
ステップS223Aにおいて、推測シナリオ検索部140は、未選択の痕跡ログデータ196があるか判定する。
具体的には、推測シナリオ検索部140は、未選択のアタックシナリオ管理レコードがあるか判定する。未選択のアタックシナリオ管理レコードがある場合、未選択の痕跡ログデータ196がある。
未選択の痕跡ログデータ196がある場合、処理はステップS221Aに進む。
未選択の痕跡ログデータ196がない場合、処理はステップS224Aに進む。
ステップS224Aにおいて、推測シナリオ検索部140は、各痕跡ログデータ196の類似度に基づいて、該当痕跡ログデータを選択する。
該当痕跡ログデータは、最大の類似度に対応する痕跡ログデータ196である。
ステップS225Aにおいて、推測シナリオ検索部140は、該当痕跡ログデータに対応するアタックシナリオ194をログデータベース180から取得する。取得されるアタックシナリオ194が推測シナリオである。
具体的には、推測シナリオ検索部140は、該当痕跡ログデータを示すアタックシナリオ管理レコードを選択し、選択したアタックシナリオ管理レコードに示されるアタックシナリオ194を取得する。
図15に基づいて、ステップS220の手順の一例を説明する。
ステップS221Bにおいて、推測シナリオ検索部140は、未選択の痕跡ログデータ196を1つ選択する。
ステップS221Bは、ステップS221A(図14参照)と同じである。
ステップS222Bにおいて、推測シナリオ検索部140は、診断対象ログデータと痕跡ログデータ196との類似度を算出する。
ステップS222Bは、ステップS222A(図14参照)と同じである。
ステップS223Bにおいて、推測シナリオ検索部140は、類似度を閾値と比較する。
類似度が閾値より大きい場合、処理はステップS224Bに進む。
類似度が閾値以下である場合、処理はステップS225Bに進む。
ステップS224Bにおいて、推測シナリオ検索部140は、痕跡ログデータ196に対応するアタックシナリオ194をログデータベース180から取得する。取得方法はステップS225Aにおける方法と同じである。
ステップS224Bの後、処理は終了する。
ステップS225Bにおいて、推測シナリオ検索部140は、未選択の痕跡ログデータ196があるか判定する。
ステップS225Bは、ステップS223A(図14参照)と同じである。
未選択の痕跡ログデータ196がある場合、処理はステップS221Bに進む。
未選択の痕跡ログデータ196がない場合、推測シナリオが見つからず、処理は終了する。
図16に基づいて、ステップS220の手順の一例を説明する。
ステップS221CからステップS224Cは、ステップS221BからステップS224Bと同じである(図15参照)。
ステップS225Cにおいて、推測シナリオ検索部140は、未選択の痕跡ログデータ196があるか判定する。
ステップS225Cは、ステップS223B(図15参照)と同じである。
未選択の痕跡ログデータ196がある場合、処理はステップS221Cに進む。
未選択の痕跡ログデータ196がない場合、処理はステップS226Cに進む。
ステップS226Cにおいて、推測シナリオ検索部140は、各痕跡ログデータ196の類似度に基づいて1つ以上の痕跡ログデータ196を選択する。
具体的には、推測シナリオ検索部140は、類似度が高い順に1つ以上の痕跡ログデータ196を選択する。
ステップS227Cにおいて、推測シナリオ検索部140は、1つ以上の痕跡ログデータ196に対応する1つ以上のアタックシナリオ194を取得する。
各痕跡ログデータ196に対応するアタックシナリオ194を取得する方法は、ステップS225A(図14参照)における方法と同じである。
取得される各アタックシナリオ194を「候補シナリオ」と称する。候補シナリオは、推測シナリオの候補である。
図13に戻り、ステップS230を説明する。
ステップS230において、推測シナリオ検索部140は検索結果を出力する。例えば、推測シナリオ検索部140は、検索結果をディスプレイに表示する。
推測シナリオが見つかった場合、検索結果は推測シナリオを示す。
推測シナリオが見つからなかった場合、検索結果は推測シナリオがないことを示す。但し、1つ以上の候補シナリオが取得された場合、検索結果は、1つ以上の候補シナリオを示す。例えば、1つ以上の候補シナリオは、対応する痕跡ログデータ196の類似度が高い順に並べられる。
***実施の形態2の効果***
実施の形態2により、インシデントが発生した監視対象システム220のログデータに基づいてアタックシナリオを推測することができる。その結果、インシデントレスポンスを効率化することが可能となる。
実施の形態3.
インシデントが発生した監視対象システムのログデータに基づいてアタックシナリオを推測する形態について、主に実施の形態1および実施の形態2と異なる点を図17から図20に基づいて説明する。
***構成の説明***
図17に基づいて、インシデントレスポンス補助装置100の構成を説明する。
インシデントレスポンス補助装置100は、受付部110と痕跡ログ導出部120と推測シナリオ検索部140とを備えるが、通常ログ検索部130を備えない。
インシデントレスポンス補助プログラムは、受付部110と痕跡ログ導出部120と推測シナリオ検索部140としてコンピュータを機能させる。
図18に基づいて、ログデータベース180の構成を説明する。
ログデータベース180には、アタックシナリオ管理テーブル182が登録されるが、通常ログ管理テーブル181が登録されない。
インシデントレスポンス補助システム200の構成は、実施の形態2における構成(図11参照)と同じである。
***動作の説明***
図19に基づいて、インシデントレスポンス補助方法を説明する。
ステップS310において、受付部110は、検証環境ファイル191と通常シナリオ192と1つ以上のアタックシナリオ194を受け付ける。
ステップS310は、実施の形態1におけるステップS110(図4参照)と同じである。
ステップS310で受け付けられた検証環境ファイル191を「対象検証環境ファイル」と称する。
ステップS310で受け付けられた通常シナリオ192を「対象通常シナリオ」と称する。
ステップS310で受け付けられた各アタックシナリオ194を「対象アタックシナリオ」と称する。
ステップS320において、痕跡ログ導出部120は、対象検証環境ファイルと対象通常シナリオとを用いて、通常ログデータ193を取得する。取得される通常ログデータ193を「検証通常ログデータ」と称する。
図20に基づいて、ステップS320の手順を説明する。
ステップS321において、検証環境部121は、対象検証環境ファイルを用いて検証環境システム210を初期化する。
ステップS321は、実施の形態1におけるステップS123(図5参照)と同じである。
ステップS322において、通常動作部122は、対象通常シナリオにしたがって通常動作を検証環境システム210に行わせる。
ステップS322は、実施の形態1におけるステップS124(図5参照)と同じである。
ステップS323は、通常動作が終了した後に実行される。
ステップS323において、通常ログ取得部123は、検証環境システム210から通常ログデータ193を取得する。取得される通常ログデータ193が検証通常ログデータである。
ステップS323は、実施の形態1におけるステップS125(図5参照)と同じである。
ステップS324において、通常ログ取得部123は、検証通常ログデータをログデータベース180に登録する。
図19に戻り、ステップS330から説明を続ける。
ステップS330において、痕跡ログ導出部120は、検証環境ファイル191と通常シナリオ192と1つ以上のアタックシナリオ194とを用いて、1つ以上の攻撃ログデータ195を取得する。
ステップS330は、実施の形態1におけるステップS130(図4参照)と同じである。
ステップS340において、痕跡ログ抽出部126は、各攻撃ログデータ195から検証通常ログデータとの差分を抽出する。抽出される差分が痕跡ログデータ196となる。
差分を抽出する方法は、実施の形態1のステップS140(図4参照)における方法と同じである。
痕跡ログ抽出部126は、各痕跡ログデータ196をログデータベース180に登録する。
ステップS350において、痕跡ログ抽出部126は、各痕跡ログデータ196に対応付けて、各対象アタックシナリオをログデータベース180に登録する。
ステップS350は、実施の形態2におけるステップS205(図12参照)と同じである。
アタックシナリオ推測処理は、実施の形態2における処理(図13参照)と同じである。
***実施の形態3の効果***
実施の形態3により、インシデントが発生した監視対象システム220のログデータに基づいてアタックシナリオを推測することができる。その結果、インシデントレスポンスを効率化することが可能となる。
***実施の形態の補足***
図21に基づいて、インシデントレスポンス補助装置100のハードウェア構成を説明する。
インシデントレスポンス補助装置100は処理回路109を備える。
処理回路109は、受付部110と痕跡ログ導出部120と通常ログ検索部130と推測シナリオ検索部140とを実現するハードウェアである。
処理回路109は、専用のハードウェアであってもよいし、メモリ102に格納されるプログラムを実行するプロセッサ101であってもよい。
処理回路109が専用のハードウェアである場合、処理回路109は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC、FPGAまたはこれらの組み合わせである。
ASICは、Application Specific Integrated Circuitの略称である。
FPGAは、Field Programmable Gate Arrayの略称である。
インシデントレスポンス補助装置100は、処理回路109を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路109の機能を分担する。
処理回路109おいて、一部の機能が専用のハードウェアで実現されて、残りの機能がソフトウェアまたはファームウェアで実現されてもよい。
このように、インシデントレスポンス補助装置100の機能はハードウェア、ソフトウェア、ファームウェアまたはこれらの組み合わせで実現することができる。
各実施の形態は、好ましい形態の例示であり、本発明の技術的範囲を制限することを意図するものではない。各実施の形態は、部分的に実施してもよいし、他の形態と組み合わせて実施してもよい。フローチャート等を用いて説明した手順は、適宜に変更してもよい。
インシデントレスポンス補助装置100は、複数の装置で実現されてよい。
ログデータベース180は、インシデントレスポンス補助装置100によって管理されずに、外部の装置によって管理されてもよい。
インシデントレスポンス補助装置100の要素である「部」は「処理」または「工程」と読み替えてもよい。
100 インシデントレスポンス補助装置、101 プロセッサ、102 メモリ、103 補助記憶装置、104 通信装置、105 入出力インタフェース、109 処理回路、110 受付部、120 痕跡ログ導出部、121 検証環境部、122 通常動作部、123 通常ログ取得部、124 攻撃実行部、125 攻撃ログ取得部、126 痕跡ログ抽出部、130 通常ログ検索部、140 推測シナリオ検索部、180 ログデータベース、181 通常ログ管理テーブル、182 アタックシナリオ管理テーブル、190 記憶部、191 検証環境ファイル、192 通常シナリオ、193 通常ログデータ、194 アタックシナリオ、195 攻撃ログデータ、196 痕跡ログデータ、200 インシデントレスポンス補助システム、210 検証環境システム、220 監視対象システム。

Claims (8)

  1. サイバー攻撃に伴う動作とは異なる通常動作の手順を示す通常シナリオと、サイバー攻撃の手順を示すアタックシナリオと、検証環境システムが指定される検証環境ファイルと、を受け付ける受付部と、
    検証環境ファイルと通常シナリオとの組毎に通常ログデータが登録されたログデータベースで、受け付けられた検証環境ファイルと受け付けられた通常シナリオとの組と同じ組に対応する通常ログデータである該当通常ログデータを検索する通常ログ検索部と、
    受け付けられたアタックシナリオにしたがって前記サイバー攻撃を前記検証環境システムに対して行う攻撃実行部と、
    前記サイバー攻撃が行われている間に前記検証環境システムにおいて記録されたログデータを攻撃ログデータとして取得する攻撃ログ取得部と、
    前記攻撃ログデータから前記該当通常ログデータとの差分を痕跡ログデータとして抽出する痕跡ログ抽出部と、
    を備えるインシデントレスポンス補助システム。
  2. 前記インシデントレスポンス補助システムは、
    前記該当通常ログデータが見つからなかった場合に、前記受け付けられた通常シナリオにしたがって前記通常動作を前記検証環境システムに行わせる通常動作部と、
    前記通常動作が行われている間に前記検証環境システムにおいて記録された通常ログデータを検証通常ログデータとして取得する通常ログ取得部と、
    を備え、
    前記痕跡ログ抽出部は、前記該当通常ログデータが見つからなかった場合に、前記攻撃ログデータから前記検証通常ログデータとの差分を痕跡ログデータとして抽出する
    請求項1に記載のインシデントレスポンス補助システム。
  3. 前記インシデントレスポンス補助システムは、推測シナリオ検索部を備え、
    前記痕跡ログ抽出部は、抽出した痕跡ログデータに対応付けて前記受け付けられたアタックシナリオを前記ログデータベースに登録し、
    前記ログデータベースには、痕跡ログデータ毎にアタックシナリオが登録され、
    前記受付部は、インシデントが発生した監視対象システムのログデータを診断対象ログデータとして受け付け、
    前記推測シナリオ検索部は、前記ログデータベースで、前記診断対象ログデータと類似する痕跡ログデータに対応付けられたアタックシナリオを推測シナリオとして検索する
    請求項1または請求項2に記載のインシデントレスポンス補助システム。
  4. 受付部が、サイバー攻撃に伴う動作とは異なる通常動作の手順を示す通常シナリオと、サイバー攻撃の手順を示すアタックシナリオと、検証環境システムが指定される検証環境ファイルと、を受け付け、
    通常ログ検索部が、検証環境ファイルと通常シナリオとの組毎に通常ログデータが登録されたログデータベースで、受け付けられた検証環境ファイルと受け付けられた通常シナリオとの組と同じ組に対応する通常ログデータである該当通常ログデータを検索し、
    攻撃実行部が、受け付けられたアタックシナリオにしたがって前記サイバー攻撃を前記検証環境システムに対して行い、
    攻撃ログ取得部が、前記サイバー攻撃が行われている間に前記検証環境システムにおいて記録されたログデータを攻撃ログデータとして取得し、
    痕跡ログ抽出部が、前記攻撃ログデータから前記該当通常ログデータとの差分を痕跡ログデータとして抽出する
    インシデントレスポンス補助方法。
  5. サイバー攻撃に伴う動作とは異なる通常動作の手順を示す通常シナリオと、サイバー攻撃の手順を示すアタックシナリオと、検証環境システムが指定される検証環境ファイルと、を受け付ける受付処理と、
    検証環境ファイルと通常シナリオとの組毎に通常ログデータが登録されたログデータベースで、受け付けられた検証環境ファイルと受け付けられた通常シナリオとの組と同じ組に対応する通常ログデータである該当通常ログデータを検索する通常ログ検索処理と、
    受け付けられたアタックシナリオにしたがって前記サイバー攻撃を前記検証環境システムに対して行う攻撃実行処理と、
    前記サイバー攻撃が行われている間に前記検証環境システムにおいて記録されたログデータを攻撃ログデータとして取得する攻撃ログ取得処理と、
    前記攻撃ログデータから前記該当通常ログデータとの差分を痕跡ログデータとして抽出する痕跡ログ抽出処理と、
    をコンピュータに実行させるためのインシデントレスポンス補助プログラム。
  6. サイバー攻撃に伴う動作とは異なる通常動作の手順を示す通常シナリオと、サイバー攻撃の手順を示すアタックシナリオと、を受け付ける受付部と、
    受け付けられた通常シナリオにしたがって前記通常動作を検証環境システムに行わせる通常動作部と、
    前記通常動作が行われている間に前記検証環境システムにおいて記録されたログデータを通常ログデータとして取得する通常ログ取得部と、
    受け付けられたアタックシナリオにしたがって前記サイバー攻撃を前記検証環境システムに対して行う攻撃実行部と、
    前記サイバー攻撃が行われている間に前記検証環境システムにおいて記録されたログデータを攻撃ログデータとして取得する攻撃ログ取得部と、
    前記攻撃ログデータから前記通常ログデータとの差分を痕跡ログデータとして抽出する痕跡ログ抽出部と、
    を備えるインシデントレスポンス補助システムであって、
    前記インシデントレスポンス補助システムは、さらに、推測シナリオ検索部を備え、
    前記痕跡ログ抽出部は、抽出した痕跡ログデータに対応付けて前記受け付けられたアタックシナリオをログデータベースに登録し、
    前記ログデータベースには、痕跡ログデータ毎にアタックシナリオが登録され、
    前記受付部は、インシデントが発生した監視対象システムのログデータを診断対象ログデータとして受け付け、
    前記推測シナリオ検索部は、前記ログデータベースで、前記診断対象ログデータと類似する痕跡ログデータに対応付けられたアタックシナリオを推測シナリオとして検索する
    インシデントレスポンス補助システム。
  7. 受付部が、サイバー攻撃に伴う動作とは異なる通常動作の手順を示す通常シナリオと、サイバー攻撃の手順を示すアタックシナリオと、を受け付け、
    通常動作部が、受け付けられた通常シナリオにしたがって前記通常動作を検証環境システムに行わせ、
    通常ログ取得部が、前記通常動作が行われている間に前記検証環境システムにおいて記録されたログデータを通常ログデータとして取得し、
    攻撃実行部が、受け付けられたアタックシナリオにしたがって前記サイバー攻撃を前記検証環境システムに対して行い、
    攻撃ログ取得部が、前記サイバー攻撃が行われている間に前記検証環境システムにおいて記録されたログデータを攻撃ログデータとして取得し、
    痕跡ログ抽出部が、前記攻撃ログデータから前記通常ログデータとの差分を痕跡ログデータとして抽出し、抽出した痕跡ログデータに対応付けて前記受け付けられたアタックシナリオをログデータベースに登録し、
    前記ログデータベースには、痕跡ログデータ毎にアタックシナリオが登録され、
    前記受付部が、インシデントが発生した監視対象システムのログデータを診断対象ログデータとして受け付け、
    推測シナリオ検索部が、前記ログデータベースで、前記診断対象ログデータと類似する痕跡ログデータに対応付けられたアタックシナリオを推測シナリオとして検索する
    インシデントレスポンス補助方法。
  8. サイバー攻撃に伴う動作とは異なる通常動作の手順を示す通常シナリオと、サイバー攻撃の手順を示すアタックシナリオと、を受け付ける受付処理と、
    受け付けられた通常シナリオにしたがって前記通常動作を検証環境システムに行わせる通常動作処理と、
    前記通常動作が行われている間に前記検証環境システムにおいて記録されたログデータを通常ログデータとして取得する通常ログ取得処理と、
    受け付けられたアタックシナリオにしたがって前記サイバー攻撃を前記検証環境システムに対して行う攻撃実行処理と、
    前記サイバー攻撃が行われている間に前記検証環境システムにおいて記録されたログデータを攻撃ログデータとして取得する攻撃ログ取得処理と、
    前記攻撃ログデータから前記通常ログデータとの差分を痕跡ログデータとして抽出し、抽出した痕跡ログデータに対応付けて前記受け付けられたアタックシナリオをログデータベースに登録する痕跡ログ抽出処理と、
    インシデントが発生した監視対象システムのログデータを診断対象ログデータとして受け付ける受付処理と、
    前記ログデータベースで、前記診断対象ログデータと類似する痕跡ログデータに対応付けられたアタックシナリオを推測シナリオとして検索する推測シナリオ検索処理と、
    をコンピュータに実行させるためのインシデントレスポンス補助プログラム。
JP2021561854A 2019-12-19 2019-12-19 インシデントレスポンス補助システム、インシデントレスポンス補助方法およびインシデントレスポンス補助プログラム Active JP7004477B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2019/049946 WO2021124528A1 (ja) 2019-12-19 2019-12-19 インシデントレスポンス補助システム、インシデントレスポンス補助方法およびインシデントレスポンス補助プログラム

Publications (2)

Publication Number Publication Date
JPWO2021124528A1 JPWO2021124528A1 (ja) 2021-06-24
JP7004477B2 true JP7004477B2 (ja) 2022-01-21

Family

ID=76477392

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021561854A Active JP7004477B2 (ja) 2019-12-19 2019-12-19 インシデントレスポンス補助システム、インシデントレスポンス補助方法およびインシデントレスポンス補助プログラム

Country Status (2)

Country Link
JP (1) JP7004477B2 (ja)
WO (1) WO2021124528A1 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060075490A1 (en) 2004-10-01 2006-04-06 Boney Matthew L System and method for actively operating malware to generate a definition
JP2013218444A (ja) 2012-04-06 2013-10-24 Hitachi Ltd プログラム解析システムおよびプログラム解析方法
JP2015225512A (ja) 2014-05-28 2015-12-14 株式会社日立製作所 マルウェア特徴抽出装置、マルウェア特徴抽出システム、マルウェア特徴方法及び対策指示装置
JP2017123521A (ja) 2016-01-05 2017-07-13 Kddi株式会社 障害原因特定装置、及びプログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060075490A1 (en) 2004-10-01 2006-04-06 Boney Matthew L System and method for actively operating malware to generate a definition
JP2013218444A (ja) 2012-04-06 2013-10-24 Hitachi Ltd プログラム解析システムおよびプログラム解析方法
JP2015225512A (ja) 2014-05-28 2015-12-14 株式会社日立製作所 マルウェア特徴抽出装置、マルウェア特徴抽出システム、マルウェア特徴方法及び対策指示装置
JP2017123521A (ja) 2016-01-05 2017-07-13 Kddi株式会社 障害原因特定装置、及びプログラム

Also Published As

Publication number Publication date
JPWO2021124528A1 (ja) 2021-06-24
WO2021124528A1 (ja) 2021-06-24

Similar Documents

Publication Publication Date Title
JP6048038B2 (ja) 情報処理装置,プログラム,情報処理方法
TWI450103B (zh) 伺服器之遠端管理系統及方法,及其電腦程式產品
US7917481B1 (en) File-system-independent malicious content detection
RU2628921C1 (ru) Система и способ выполнения антивирусной проверки файла на виртуальной машине
US20180357214A1 (en) Log analysis system, log analysis method, and storage medium
WO2023115999A1 (zh) 设备状态监控方法、装置、设备及计算机可读存储介质
JP6473234B2 (ja) 分析方法、分析装置、および分析プログラム
US8813229B2 (en) Apparatus, system, and method for preventing infection by malicious code
US20130086683A1 (en) Selectively scanning objects for infection by malware
US9104448B2 (en) Restoring a previous version of a virtual machine image
CN110245074B (zh) 一种日志记录的生成方法、装置、存储介质和服务器
US20210256073A1 (en) Edge system, information processing method and computer readable medium
JP7004477B2 (ja) インシデントレスポンス補助システム、インシデントレスポンス補助方法およびインシデントレスポンス補助プログラム
EP3861433A1 (en) Upgrades based on analytics from multiple sources
US20220164703A1 (en) Model acceptance determination support system and model acceptance determination support method
EP4040323A1 (en) Transaction management device, transaction management program, and transaction management method
US20200412745A1 (en) Detecting malicious threats via autostart execution point analysis
CN115269288A (zh) 故障确定方法、装置、设备和存储介质
US11513884B2 (en) Information processing apparatus, control method, and program for flexibly managing event history
JP7492839B2 (ja) 構成管理装置、構成管理方法、及び、構成管理プログラム
JP6340990B2 (ja) メッセージ表示方法、メッセージ表示装置、およびメッセージ表示プログラム
JP6579995B2 (ja) 静観候補特定装置、静観候補特定方法及び静観候補特定プログラム
JP6508202B2 (ja) 情報処理装置、情報処理方法、及び、プログラム
US11797707B2 (en) Non-transitory computer-readable recording medium having stored therein information processing program, information processing method, and information processing apparatus
US20210224423A1 (en) Non-transitory computer-readable recording medium having stored therein information processing program, information processing method, and information processing apparatus

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211015

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20211015

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211207

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211229

R150 Certificate of patent or registration of utility model

Ref document number: 7004477

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150