JP7019533B2 - Attack detection device, attack detection system, attack detection method and attack detection program - Google Patents

Attack detection device, attack detection system, attack detection method and attack detection program Download PDF

Info

Publication number
JP7019533B2
JP7019533B2 JP2018153468A JP2018153468A JP7019533B2 JP 7019533 B2 JP7019533 B2 JP 7019533B2 JP 2018153468 A JP2018153468 A JP 2018153468A JP 2018153468 A JP2018153468 A JP 2018153468A JP 7019533 B2 JP7019533 B2 JP 7019533B2
Authority
JP
Japan
Prior art keywords
attack
detection
risk value
detection rule
vulnerability information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018153468A
Other languages
Japanese (ja)
Other versions
JP2020028092A (en
Inventor
正將 石井
鐘治 桜井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2018153468A priority Critical patent/JP7019533B2/en
Publication of JP2020028092A publication Critical patent/JP2020028092A/en
Application granted granted Critical
Publication of JP7019533B2 publication Critical patent/JP7019533B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本願は、攻撃検知装置、攻撃検知システム、攻撃検知方法および攻撃検知プログラムに関するものである。 The present application relates to an attack detection device, an attack detection system, an attack detection method and an attack detection program.

近年、サイバー攻撃は高度化されつつあり、従来のファイアウォール、侵入検知システム(IDS:Intrusion Detecion System)または侵入防御システム(IPS:Intrusion Prevention System)といったセキュリティ機器の配備による入口対策だけでは防ぎきることが難しくなっている。高度化したサイバー攻撃の対策の1つに、セキュリティ情報およびイベント管理(SIEM:Security Information and Event Management)と呼ばれるシステムがある。SIEMとは、監視対象システム内にある計算機、サーバ、およびルータ等のネットワーク機器、ファイアウォールまたはIDS/IPSといったセキュリティ機器が出力したログを相関分析することで、サイバー攻撃を検知するシステムである。 In recent years, cyber attacks have become more sophisticated, and can be prevented only by deploying security devices such as conventional firewalls, intrusion detection systems (IDS) or intrusion prevention systems (IPS). It's getting harder. One of the countermeasures against advanced cyber attacks is a system called Security Information and Event Management (SIEM). SIEM is a system that detects cyber attacks by correlating logs output by network devices such as computers, servers, and routers in the monitored system, and security devices such as firewalls or IDS / IPS.

しかしながら、SIEMでは検索対象の全ログを読み込んで相関分析を行うため、監視対象システムの内部に多数の機器がある場合および並行して複数のサイバー攻撃を検知する場合に処理負荷が増大することになる。その場合、実時間では処理ができないという課題があった。 However, since SIEM reads all the logs to be searched and performs correlation analysis, the processing load will increase when there are many devices inside the monitored system and when multiple cyber attacks are detected in parallel. Become. In that case, there is a problem that processing cannot be performed in real time.

この課題を解決するために、不正通信を行うサイバー攻撃の検知において、監視対象システムの内部の機器からブラックリストにある通信先と通信した回数をカウントしておき、期間内に一定回数以上の通信が行われた場合に、サイバー攻撃を検知するといった手法が開示されている(例えば、特許文献1参照)。 In order to solve this problem, in the detection of cyber attacks that perform unauthorized communication, the number of communications from the device inside the monitored system to the communication destination on the blacklist is counted, and the number of communications is a certain number or more within the period. A method of detecting a cyber attack when the above is performed is disclosed (see, for example, Patent Document 1).

特開2015-179979号公報JP-A-2015-179979

上記特許文献1においては、ブラックリストにある通信先と通信した回数に応じてサイバー攻撃の検知を行うため、検知の実行回数を減らして、実時間での処理を可能としている。しかしながら、通信が一定回数以上行われるサイバー攻撃を想定しているため、監視対象システムの内部で行われる外部との通信を伴わないサイバー攻撃および通信頻度が低いサイバー攻撃の検出ができないという課題があった。また、ブラックリストを使用するため未知の通信先からのサイバー攻撃を検出できないという課題もあった。 In the above-mentioned Patent Document 1, since the cyber attack is detected according to the number of times of communication with the communication destination on the blacklist, the number of executions of the detection is reduced and the processing in real time is possible. However, since it is assumed that a cyber attack is performed more than a certain number of times, there is a problem that it is not possible to detect a cyber attack that does not involve communication with the outside and a cyber attack that is performed inside the monitored system and has a low communication frequency. rice field. In addition, since the blacklist is used, there is also a problem that cyber attacks from unknown communication destinations cannot be detected.

本願は前記のような課題を解決するためになされたものであり、外部との通信を伴わないサイバー攻撃および未知の通信先からのサイバー攻撃を含む脆弱性を悪用したサイバー攻撃を外部のシステムから得られた脆弱性情報を元に早期に検知し、検知ルールに従ったログの相関分析を行う実行周期を調整して処理負荷を低減することを目的とする。 This application was made to solve the above-mentioned problems, and a cyber attack that exploits vulnerabilities including a cyber attack that does not involve communication with the outside and a cyber attack from an unknown communication destination is carried out from an external system. The purpose is to reduce the processing load by adjusting the execution cycle for early detection based on the obtained vulnerability information and performing log correlation analysis according to the detection rules.

本願に開示される攻撃検知装置は、複数の構成機器を備えた監視対象システムで発生したログが格納されているログDBと、構成機器とログの相関分析の条件とが記録された検知ルールが格納されている検知ルールDBと、検知ルールに従ったログの相関分析を予め定められた実行周期で行うことによりサイバー攻撃を検知して出力する検知エンジンと、を備えた攻撃検知装置において、攻撃検知装置で過去に検知した脆弱性情報が格納されている脆弱性情報記録DBと、新規の脆弱性情報を取得する脆弱性情報取得部と、複数の構成機器に関する構成情報が格納されている構成情報DBと、新規の脆弱性情報と構成情報とから脆弱性のある構成機器を対象機器として判定する対象機器判定部と、対象機器判定部の判定結果と検知ルールDBに格納された検知ルールとから対象機器と構成機器とが一致する検知ルールを判定する検知ルール判定部と、新規の脆弱性情報から脆弱性のリスク値を計算するリスク値計算部と、リスク値が高まるのに応じて、検知ルール判定部で判定した検知ルールに従ったログの相関分析を行う実行周期が縮まるように更新する実行周期更新部とを備えたものである。 The attack detection device disclosed in the present application has a log database in which logs generated in a monitored system equipped with a plurality of constituent devices are stored, and a detection rule in which the conditions for correlation analysis between the constituent devices and the log are recorded. An attack detection device equipped with a stored detection rule DB and a detection engine that detects and outputs a cyber attack by performing correlation analysis of logs according to the detection rule in a predetermined execution cycle. A vulnerability information record database that stores vulnerability information detected in the past by the detection device, a vulnerability information acquisition unit that acquires new vulnerability information, and a configuration that stores configuration information related to multiple components. A target device determination unit that determines a vulnerable component device as a target device from an information DB, new vulnerability information and configuration information, and a detection rule stored in the determination result and detection rule DB of the target device determination unit. A detection rule judgment unit that determines the detection rule that matches the target device and the component device, and a risk value calculation unit that calculates the risk value of the vulnerability from new vulnerability information. It is provided with an execution cycle update unit that updates the execution cycle for performing correlation analysis of logs according to the detection rule determined by the detection rule determination unit.

本願に開示される攻撃検知装置によれば、脆弱性を悪用したサイバー攻撃を早期に検知することができ、検知ルールに従ったログの相関分析を行う実行周期を調整して処理負荷を低減することができる。 According to the attack detection device disclosed in the present application, cyber attacks that exploit vulnerabilities can be detected at an early stage, and the execution cycle for performing log correlation analysis according to the detection rules is adjusted to reduce the processing load. be able to.

実施の形態1に係る攻撃検知装置を含むシステム構成図である。FIG. 3 is a system configuration diagram including an attack detection device according to the first embodiment. 攻撃検知装置のハードウエアの一例を示す構成図である。It is a block diagram which shows an example of the hardware of an attack detection device. 実施の形態1に係る攻撃検知装置の処理を示すフローチャートである。It is a flowchart which shows the process of the attack detection apparatus which concerns on Embodiment 1. 実施の形態1に係る脆弱性情報を示す図である。It is a figure which shows the vulnerability information which concerns on Embodiment 1. FIG. 実施の形態1に係る構成情報を示す図である。It is a figure which shows the configuration information which concerns on Embodiment 1. 実施の形態1に係る検知ルールを示す図である。It is a figure which shows the detection rule which concerns on Embodiment 1. FIG. 実施の形態1に係るリスク値の計算方法を示す図である。It is a figure which shows the calculation method of the risk value which concerns on Embodiment 1. 実施の形態1に係る検知ルールの実行周期の更新内容を示す図である。It is a figure which shows the update content of the execution cycle of the detection rule which concerns on Embodiment 1. FIG. 実施の形態1に係る検知ルールの実行周期を変更した場合の検知ルールの実行タイミングを示す図である。It is a figure which shows the execution timing of the detection rule when the execution cycle of the detection rule which concerns on Embodiment 1 is changed. 実施の形態2に係る攻撃検知装置のシステム構成図である。It is a system configuration diagram of the attack detection device which concerns on Embodiment 2. FIG. 実施の形態2に係る攻撃検知装置の処理を示すフローチャートである。It is a flowchart which shows the process of the attack detection apparatus which concerns on Embodiment 2. 実施の形態2に係る攻撃シナリオを示す図である。It is a figure which shows the attack scenario which concerns on Embodiment 2. 実施の形態3に係る脆弱性情報の項目を示す図である。It is a figure which shows the item of the vulnerability information which concerns on Embodiment 3. 実施の形態3に係るリスク値の計算方法を示す図である。It is a figure which shows the calculation method of the risk value which concerns on Embodiment 3. 実施の形態4に係る構成情報を示す図である。It is a figure which shows the configuration information which concerns on Embodiment 4. 実施の形態4に係る脆弱性情報の項目を示す図である。It is a figure which shows the item of the vulnerability information which concerns on Embodiment 4. 実施の形態4に係るリスク値の計算方法を示す図である。It is a figure which shows the calculation method of the risk value which concerns on Embodiment 4.

以下、実施の形態の攻撃検知装置を図に基づいて説明するが、各図において同一、または相当部材、部位については同一符号を付して説明する。 Hereinafter, the attack detection device of the embodiment will be described with reference to the drawings, but the same or corresponding members and parts will be described with the same reference numerals in the drawings.

実施の形態1.
図1は実施の形態1に係る攻撃検知装置100を含むシステム構成図である。攻撃検知装置100は、監視対象システム200、脆弱性情報公開システム300、および監視端末400と接続されている。攻撃検知システム500は、攻撃検知装置100と監視端末400とで構成される。攻撃検知装置100はサイバー攻撃を検知する機能を有した装置であり、監視対象システム200の内部で発生するログを収集し、予め定められた実行周期にて検知ルールに従ったログの相関分析を行うことでサイバー攻撃を検知し、検知した結果を監視端末400に出力する。監視対象システム200は、計算機、サーバ、ネットワーク機器、セキュリティ機器などの複数の構成機器を備えた情報システムである。なお、図1において複数の構成機器は、機器A~機器Cとして示す。脆弱性情報公開システム300は、攻撃検知装置100の外部に設置されたシステムで、ソフトウェア(以下、S/Wと記す)の脆弱性情報を公開するシステムである。監視端末400は、攻撃検知装置100から出力されたサイバー攻撃の検知結果を表示する端末であり、監視員が使用する。 Embodiment 1.
FIG. 1 is a system configuration diagram including an attack detection device 100 according to the first embodiment. The attack detection device 100 is connected to the monitoring target system 200, the vulnerability information disclosure system 300, and the monitoring terminal 400. The attack detection system 500 includes an attack detection device 100 and a monitoring terminal 400. The attack detection device 100 is a device having a function of detecting a cyber attack, collects logs generated inside the monitored system 200, and performs correlation analysis of logs according to a detection rule in a predetermined execution cycle. By doing so, a cyber attack is detected, and the detected result is output to the monitoring terminal 400. The monitoring target system 200 is an information system including a plurality of constituent devices such as a computer, a server, a network device, and a security device. In FIG. 1, a plurality of constituent devices are shown as devices A to C. The vulnerability information disclosure system 300 is a system installed outside the attack detection device 100, and is a system that discloses vulnerability information of software (hereinafter referred to as S / W). The monitoring terminal 400 is a terminal that displays the detection result of the cyber attack output from the attack detection device 100, and is used by the observer.

攻撃検知装置100は、4つのデータベース(以下、DBと記す。脆弱性情報記録DB107、構成情報DB108、検知ルールDB109、ログDB110)と、検知ルールに従ったログの相関分析を行う実行周期(以下、検知ルールの実行周期と記す)の更新に係る脆弱性情報取得部101、対象機器判定部102、検知ルール判定部103、リスク値計算部104、実行周期更新部105と、検知エンジン106とを備える。 The attack detection device 100 has an execution cycle (hereinafter referred to as DB) that performs correlation analysis between four databases (hereinafter referred to as DB. Vulnerability information recording DB 107, configuration information DB 108, detection rule DB 109, log DB 110) and logs according to the detection rules. , The detection rule execution cycle), the vulnerability information acquisition unit 101, the target device determination unit 102, the detection rule determination unit 103, the risk value calculation unit 104, the execution cycle update unit 105, and the detection engine 106. Be prepared.

ログDB110には監視対象システム200で発生したログが格納され、検知ルールDB109には機器A~Cとログの相関分析の条件が記録された検知ルールが格納されている。検知エンジン106は、後述する実行周期の更新が可能な予め定められた実行周期にて検知ルールに従ったログの相関分析を行うことによりサイバー攻撃を検知し、検知した結果を監視端末400に出力する。 The log DB 110 stores the log generated in the monitored system 200, and the detection rule DB 109 stores the detection rule in which the conditions for the correlation analysis between the devices A to C and the log are recorded. The detection engine 106 detects a cyber attack by performing a log correlation analysis according to a detection rule in a predetermined execution cycle capable of updating the execution cycle described later, and outputs the detected result to the monitoring terminal 400. do.

攻撃検知装置100は、ハードウエアの一例を図2に示すように、プロセッサ111と記憶装置112から構成される。記憶装置112は、図示していないが、ランダムアクセスメモリ等の揮発性記憶装置と、フラッシュメモリ等の不揮発性の補助記憶装置とを具備する。また、フラッシュメモリの代わりにハードディスクの補助記憶装置を具備してもよい。プロセッサ111は、記憶装置112から入力されたプログラムを実行する。この場合、補助記憶装置から揮発性記憶装置を介してプロセッサ111にプログラムが入力される。また、プロセッサ111は、演算結果等のデータを記憶装置112の揮発性記憶装置に出力してもよいし、揮発性記憶装置を介して補助記憶装置にデータを保存してもよい。 As shown in FIG. 2, the attack detection device 100 includes a processor 111 and a storage device 112 as an example of hardware. Although not shown, the storage device 112 includes a volatile storage device such as a random access memory and a non-volatile auxiliary storage device such as a flash memory. Further, the auxiliary storage device of the hard disk may be provided instead of the flash memory. The processor 111 executes the program input from the storage device 112. In this case, a program is input from the auxiliary storage device to the processor 111 via the volatile storage device. Further, the processor 111 may output data such as a calculation result to the volatile storage device of the storage device 112, or may store the data in the auxiliary storage device via the volatile storage device.

次に、攻撃検知装置100における検知ルールの実行周期の更新動作について説明する。図3は、検知ルールの実行周期を更新する処理を示すフローチャートである。脆弱性情報記録DB107には、攻撃検知装置100で過去に検知した脆弱性情報が格納されている。脆弱性情報取得部101は、脆弱性情報公開システム300から脆弱性情報を取得する(ステップS100)。なお、脆弱性情報公開システム300は一般的にウェブで脆弱性情報が公開されているシステムであり、例えば情報処理推進機構(IPA)により運営されているJVNiPediaである。脆弱性情報には、例えば図4に示すように、脆弱性の概要、対象となるS/WとS/Wのバージョン、影響度などが記録されている。脆弱性情報取得部101は、過去の脆弱性情報を元に取得した脆弱性情報が新規の脆弱性情報かどうかを判定する(ステップS101)。判定において、取得した脆弱性情報が新規の脆弱性情報であった場合は、取得した新規の脆弱性情報を脆弱性情報記録DB107に記録するとともに、対象機器判定部102に通知する(ステップS102)。ステップS100からステップS102が脆弱性情報取得ステップとなる。取得した脆弱性情報が過去の脆弱性情報と同じであった場合は、実行周期の更新は行わずに更新動作を終了する。 Next, the operation of updating the execution cycle of the detection rule in the attack detection device 100 will be described. FIG. 3 is a flowchart showing a process of updating the execution cycle of the detection rule. Vulnerability information record DB 107 stores vulnerability information detected in the past by the attack detection device 100. The vulnerability information acquisition unit 101 acquires vulnerability information from the vulnerability information disclosure system 300 (step S100). The vulnerability information disclosure system 300 is a system in which vulnerability information is generally disclosed on the Web, and is, for example, JVN iPedia operated by the Information-technology Promotion Agency (IPA). As shown in FIG. 4, for example, the vulnerability information records an outline of the vulnerability, the target S / W and S / W versions, the degree of impact, and the like. The vulnerability information acquisition unit 101 determines whether the vulnerability information acquired based on the past vulnerability information is new vulnerability information (step S101). If the acquired vulnerability information is new vulnerability information in the determination, the acquired new vulnerability information is recorded in the vulnerability information record DB 107 and notified to the target device determination unit 102 (step S102). .. Steps S100 to S102 are vulnerability information acquisition steps. If the acquired vulnerability information is the same as the past vulnerability information, the update operation is terminated without updating the execution cycle.

構成情報DB108には、機器A~Cに関する構成情報が格納されている。例えば構成情報には、図5に示すように、構成機器とその機器で動作しているS/WとS/Wのバージョンが記録されている。対象機器判定部102では、通知された新規の脆弱性情報と構成情報とから脆弱性のある機器が監視対象システム200内で使用されているかを判定するステップを行う(ステップS103)。判定において、脆弱性のある機器が使用されている場合は、使用されている機器を対象機器として判定し、脆弱性情報と対象機器を検知ルール判定部103に通知する。図4に示した脆弱性情報および図5に示した構成情報においては、脆弱性の対象となるS/W(HogeSoftware Ver1.1)が機器Aで動作しているため、機器Aが脆弱性のある対象機器として判定される。脆弱性のある機器が使用されていない場合は、実行周期の更新は行わずに更新動作を終了する。 The configuration information DB 108 stores configuration information related to the devices A to C. For example, as shown in FIG. 5, the configuration information records the configuration device and the S / W and S / W versions operating on the device. The target device determination unit 102 performs a step of determining whether or not a vulnerable device is used in the monitored system 200 from the notified new vulnerability information and configuration information (step S103). If a vulnerable device is used in the determination, the device being used is determined as the target device, and the vulnerability information and the target device are notified to the detection rule determination unit 103. In the vulnerability information shown in FIG. 4 and the configuration information shown in FIG. 5, since the S / W (HogeSoft Ver1.1) targeted for the vulnerability is operating in the device A, the device A is vulnerable. It is judged as a certain target device. If the vulnerable device is not used, the update operation is terminated without updating the execution cycle.

検知ルール判定部103では、通知された対象機器判定部102の判定結果と検知ルールDB109に格納されている検知ルールとから対象機器と機器A~Cとを比較し、これらが一致する検知ルールを関連する検知ルールとして判定するステップを行う(ステップS104)。検知ルールには、例えば図6に示すように、機器Aと機器Aのログの相関分析の条件が記録されている。相関分析の条件の例としては、ログイン失敗回数n回発生(n値は条件設定時に決定)、またはログa5回連続発生後にログb発生などがあるが、これらに限るものではない。判定において、関連する検知ルールがあった場合は脆弱性情報をリスク値計算部104に通知する。ここでは対象機器が機器Aであり、図6に示した検知ルールでは構成機器が機器Aで双方が機器Aで一致するため、検知ルール判定部103は図6の検知ルールを関連する検知ルールとして判定し、リスク値計算部104に通知する。関連する検知ルールがない場合は、実行周期の更新は行わずに更新動作を終了する。 The detection rule determination unit 103 compares the target device and the devices A to C from the notified determination result of the target device determination unit 102 and the detection rule stored in the detection rule DB 109, and determines a detection rule that matches these. A step of determining as a related detection rule is performed (step S104). As shown in FIG. 6, for example, the detection rule records the conditions for correlation analysis between the device A and the log of the device A. Examples of the conditions for the correlation analysis include, but are not limited to, the number of login failures n times (the n value is determined when the condition is set), or the log a 5 times in a row and then the log b. If there is a related detection rule in the determination, the vulnerability information is notified to the risk value calculation unit 104. Here, the target device is the device A, and in the detection rule shown in FIG. 6, the constituent devices are the device A and both are the same as the device A. Therefore, the detection rule determination unit 103 uses the detection rule of FIG. 6 as the related detection rule. The determination is made and the risk value calculation unit 104 is notified. If there is no related detection rule, the update operation is terminated without updating the execution cycle.

リスク値計算部104では、通知された脆弱性情報から脆弱性のリスク値を計算し、計算したリスク値を実行周期更新部105に通知するステップを行う(ステップS105)。例えばリスク値の計算方法には、図7に示すように、脆弱性情報に含まれる影響度の項目を影響度に応じたリスク値に変換する方法がある。ここでは影響度が大きいほど、大きい自然数をリスク値として付与している。また、図7ではリスク値を1~3の3段階としているがこれに限るものではなく、監視対象システム200に応じてさらに複数の段階に変更しても構わない。 The risk value calculation unit 104 calculates the risk value of the vulnerability from the notified vulnerability information, and performs a step of notifying the calculated risk value to the execution cycle update unit 105 (step S105). For example, as a method of calculating a risk value, as shown in FIG. 7, there is a method of converting an item of the degree of impact included in the vulnerability information into a risk value according to the degree of impact. Here, the greater the degree of influence, the larger the natural number is given as the risk value. Further, in FIG. 7, the risk value is set to three stages of 1 to 3, but the risk value is not limited to this, and may be further changed to a plurality of stages according to the monitored system 200.

実行周期更新部105では、通知されたリスク値を元に検知ルール判定部103で判定した関連する検知ルールの実行周期を更新するステップを行う(ステップS106)。例えば検知ルールの実行周期の更新内容は、図8に示すように、得られたリスク値に応じて実行周期を1/N(Nは自然数)に更新する。図7ではリスク値をリスクが高まるほど大きい自然数としたので、図8ではNに図7で計算したリスク値を代入して更新する実行周期としている。リスク値が高まるほどNの値を大きくすることで実行周期が縮まるように更新されるため、サイバー攻撃の検知を早めることができる。検知ルールの実行周期の更新により、更新動作を終了する。 The execution cycle update unit 105 performs a step of updating the execution cycle of the related detection rule determined by the detection rule determination unit 103 based on the notified risk value (step S106). For example, as shown in FIG. 8, the update content of the execution cycle of the detection rule updates the execution cycle to 1 / N (N is a natural number) according to the obtained risk value. In FIG. 7, the risk value is a natural number that increases as the risk increases. Therefore, in FIG. 8, the risk value calculated in FIG. 7 is substituted into N and the execution cycle is set to update. As the risk value increases, the value of N is increased to shorten the execution cycle, so that the detection of cyber attacks can be accelerated. The update operation ends when the execution cycle of the detection rule is updated.

なお、Nを自然数ではない値として実行周期を更新した場合、サイバー攻撃の検知が遅くなることがある。図9は、検知ルールの実行周期を変更した場合の検知ルールの実行タイミングの1例を示す図である。ここでは検知ルールの実行周期を1/2(N=2)、もしくは2/3(N=1.5)としている。実行周期更新前は、図9の上段に示した1の時点でサイバー攻撃を検知している。実行周期を1/2とした場合、検知ルールの実行タイミングは図9の中段に示した2または3となり、サイバー攻撃発生がBのタイミングでは更新周期変更前と同じ3の時点で、サイバー攻撃発生がAのタイミングでは更新周期変更前よりも早い2の時点でサイバー攻撃を検知することができる。しかし、実行周期を2/3とした場合、検知ルールの実行タイミングは図9の下段に示した4もしくは5となるため、5の時点のように変更前の1の時点よりもサイバー攻撃を検知するタイミングが遅くなることがある。サイバー攻撃を検知するタイミングが遅くなることを避けるために、Nを自然数として実行周期を更新する。 If the execution cycle is updated with N as a non-natural number, the detection of cyber attacks may be delayed. FIG. 9 is a diagram showing an example of the execution timing of the detection rule when the execution cycle of the detection rule is changed. Here, the execution cycle of the detection rule is set to 1/2 (N = 2) or 2/3 (N = 1.5). Before updating the execution cycle, a cyber attack is detected at the time point 1 shown in the upper part of FIG. When the execution cycle is halved, the execution timing of the detection rule is 2 or 3 shown in the middle of FIG. 9, and when the cyber attack occurs at the timing of B, the cyber attack occurs at the same time as before the update cycle change. However, at the timing of A, a cyber attack can be detected at the time of 2 which is earlier than before the update cycle change. However, when the execution cycle is set to 2/3, the execution timing of the detection rule is 4 or 5 shown in the lower part of FIG. 9, so cyber attacks are detected more than the time of 1 before the change, such as the time of 5. The timing to do it may be delayed. In order to avoid delaying the timing of detecting a cyber attack, the execution cycle is updated with N as a natural number.

更新した実行周期を元に戻す方法としては、例えばS/Wのバージョンアップによる方法または脆弱性が解消された場合に手動で更新周期を戻す方法などがあるが、これらの方法に限るものではない。また、本実施の形態では検知ルールと構成機器を関連付けて対象機器に関連する検知ルールの実行周期を更新しているがこれに限るものではなく、検知ルールとS/Wを関連付けても構わない。 As a method of restoring the updated execution cycle, for example, there is a method of upgrading the S / W version or a method of manually returning the update cycle when the vulnerability is resolved, but the method is not limited to these methods. .. Further, in the present embodiment, the execution cycle of the detection rule related to the target device is updated by associating the detection rule with the constituent device, but the present invention is not limited to this, and the detection rule and the S / W may be associated with each other. ..

以上のように、この攻撃検知装置100では外部のシステムから得られた新規の脆弱性情報を元にリスク値を計算し、リスク値の高い脆弱性に関連する検知ルールを高頻度で実行するように実行周期を更新するため、脆弱性を悪用したサイバー攻撃を早期に検知することできる。また、サイバー攻撃検知のセキュリティを確保したまま検知ルールの実行回数を減らすことができるため、攻撃検知装置の処理負荷を低減することができる。 As described above, the attack detection device 100 calculates the risk value based on the new vulnerability information obtained from the external system, and frequently executes the detection rule related to the vulnerability with the high risk value. Since the execution cycle is updated, cyber attacks that exploit the vulnerability can be detected at an early stage. In addition, since the number of times the detection rule is executed can be reduced while ensuring the security of cyber attack detection, the processing load of the attack detection device can be reduced.

なお、攻撃検知装置100が実行する処理についてコンピュータが実行可能な言語で記述したプログラムを作成でき、コンピュータがプログラムを実行することにより、上記実施の形態と同等の効果を得ることができる。 It should be noted that a program described in a language that can be executed by a computer can be created for the process executed by the attack detection device 100, and by executing the program by the computer, the same effect as that of the above embodiment can be obtained.

実施の形態2.
実施の形態2における攻撃検知装置100の構成と動作について説明する。図10は実施の形態2に係る攻撃検知装置100を含むシステム構成図で、図11は攻撃検知装置100の検知ルールの実行周期を更新する処理を示すフローチャートである。実施の形態1では検知ルールの実行周期を更新することでサイバー攻撃検知のセキュリティの確保および処理負荷の低減を実現していたが、脆弱性によって引き起こされる事象がログに残らない場合は個々の検知ルールの実行周期を上げても脆弱性を悪用したサイバー攻撃の検知ができないため、実施の形態2では攻撃シナリオに基づいて、特定のサイバー攻撃に関連する一連の検知ルールの実行周期をまとめて更新するものである。なお、他の構成については、実施の形態1の記載と同様であるため同一の符号を付して説明を省略する。 Embodiment 2.
The configuration and operation of the attack detection device 100 according to the second embodiment will be described. FIG. 10 is a system configuration diagram including the attack detection device 100 according to the second embodiment, and FIG. 11 is a flowchart showing a process of updating the execution cycle of the detection rule of the attack detection device 100. In the first embodiment, the security of cyber attack detection and the reduction of the processing load are realized by updating the execution cycle of the detection rule, but if the event caused by the vulnerability does not remain in the log, each detection is performed. Even if the execution cycle of the rule is increased, it is not possible to detect a cyber attack that exploits the vulnerability. Therefore, in the second embodiment, the execution cycle of a series of detection rules related to a specific cyber attack is collectively updated based on the attack scenario. It is something to do. Since the other configurations are the same as those described in the first embodiment, the same reference numerals are given and the description thereof will be omitted.

攻撃検知装置100は、図10に示すように、図1に示した攻撃検知装置100に攻撃シナリオDB600を加えて5つのDBを備えたものである。他の構成は図1と同様である。攻撃シナリオDB600は、サイバー攻撃の攻撃フェーズ毎の内容と検知方法と構成機器と検知ルールとが記録された攻撃シナリオを格納する。 As shown in FIG. 10, the attack detection device 100 includes the attack detection device 100 shown in FIG. 1 plus the attack scenario DB 600 to provide five DBs. Other configurations are the same as in FIG. The attack scenario DB 600 stores an attack scenario in which the contents of each attack phase of a cyber attack, the detection method, the constituent devices, and the detection rules are recorded.

次に、攻撃検知装置100における検知ルールの実行周期の更新動作について、図11を参照して説明する。なお、脆弱性情報の取得から脆弱性の対象機器が監視対象システム内で使用されているかを判定するまでのステップS100からステップS103の処理は実施の形態1と同様であるため、説明を省略する。 Next, the operation of updating the execution cycle of the detection rule in the attack detection device 100 will be described with reference to FIG. Since the processing of steps S100 to S103 from the acquisition of the vulnerability information to the determination of whether the target device of the vulnerability is used in the monitored system is the same as that of the first embodiment, the description thereof will be omitted. ..

検知ルール判定部103では、通知された対象機器判定部102の判定結果と攻撃シナリオDB600に格納されている攻撃シナリオとから対象機器(実施の形態1と同様に機器Aとする)と構成機器とを比較し、これらが一致する攻撃シナリオを関連する攻撃シナリオとして判定するステップを行う(ステップS200)。例えば攻撃シナリオには、図12に示すように、サイバー攻撃を何段階かのフェーズに分類して、各フェーズの内容、検知方法、構成機器及び検知ルールが記録されている。図12は、機器Aのデータ漏えいを行うサイバー攻撃を侵入、感染、攻撃、外部通信の4段階のフェーズに分類した攻撃シナリオの例である。判定において、関連する攻撃シナリオがあった場合は脆弱性情報をリスク値計算部104に通知する。関連する攻撃シナリオがない場合は、実行周期の更新は行わずに更新動作を終了する。 The detection rule determination unit 103 uses the notified determination result of the target device determination unit 102 and the attack scenario stored in the attack scenario DB 600 to determine the target device (referred to as device A as in the first embodiment) and the constituent devices. Are compared, and an attack scenario in which they match is determined as a related attack scenario (step S200). For example, in the attack scenario, as shown in FIG. 12, cyber attacks are classified into several phases, and the contents, detection methods, constituent devices, and detection rules of each phase are recorded. FIG. 12 is an example of an attack scenario in which a cyber attack that leaks data of the device A is classified into four phases of intrusion, infection, attack, and external communication. If there is a related attack scenario in the determination, the vulnerability information is notified to the risk value calculation unit 104. If there is no related attack scenario, the update operation is terminated without updating the execution cycle.

リスク値計算部104では、通知された脆弱性情報から脆弱性のリスク値を計算し、計算したリスク値を実行周期更新部105に通知するステップを行う(ステップS105)。リスク値の計算方法は実施の形態1と同様であるため、説明を省略する。 The risk value calculation unit 104 calculates the risk value of the vulnerability from the notified vulnerability information, and performs a step of notifying the calculated risk value to the execution cycle update unit 105 (step S105). Since the method of calculating the risk value is the same as that of the first embodiment, the description thereof will be omitted.

実行周期更新部105では、通知されたリスク値が高まるのに応じて検知ルール判定部103で判定した関連する攻撃シナリオに紐付いた一連の検知ルールの実行周期が縮まるように更新するステップを行う(ステップS201)。図12の例では攻撃シナリオの構成機器に機器Aが存在するため、検知ルール(1)~(5)が一連の検知ルールとなり、機器Aおよびファイアウォールの双方の検知ルールが一連の検知ルールとなる。この場合、機器Aの検知ルールだけでなくファイアウォールの検知ルールの実行周期も変更されるため、サイバー攻撃の早期検知が可能となる。検知ルールの実行周期の更新内容は、実施の形態1と同様なため説明を省略する。実行周期の更新により、更新動作を終了する。 The execution cycle update unit 105 performs a step of updating so that the execution cycle of a series of detection rules associated with the related attack scenario determined by the detection rule determination unit 103 is shortened as the notified risk value increases ( Step S201). In the example of FIG. 12, since the device A exists in the constituent devices of the attack scenario, the detection rules (1) to (5) form a series of detection rules, and the detection rules of both the device A and the firewall form a series of detection rules. .. In this case, not only the detection rule of the device A but also the execution cycle of the detection rule of the firewall is changed, so that early detection of a cyber attack becomes possible. Since the content of updating the execution cycle of the detection rule is the same as that of the first embodiment, the description thereof will be omitted. The update operation is terminated by updating the execution cycle.

なお、本実施の形態では攻撃シナリオと構成機器を関連付けて対象機器に関連する攻撃シナリオに紐付いた一連の検知ルールの実行周期を更新しているがこれに限るものではなく、攻撃シナリオとS/Wを関連付けても構わない。 In this embodiment, the execution cycle of a series of detection rules associated with the attack scenario related to the target device is updated by associating the attack scenario with the constituent device, but the execution cycle is not limited to this, and the attack scenario and S / W may be associated.

以上のように、この攻撃検知装置100では攻撃シナリオDB600に格納された攻撃シナリオに基づいて、特定のサイバー攻撃に関連する一連の検知ルールの実行周期をまとめて更新するため、脆弱性によって引き起こされる事象がログに残らない場合でも、脆弱性を悪用したサイバー攻撃を早期に検知することができる。 As described above, since the attack detection device 100 collectively updates the execution cycle of a series of detection rules related to a specific cyber attack based on the attack scenario stored in the attack scenario DB 600, it is caused by a vulnerability. Even if the event is not recorded in the log, it is possible to detect a cyber attack that exploits the vulnerability at an early stage.

実施の形態3.
実施の形態3における攻撃検知装置100の動作について説明する。実施の形態1では脆弱性情報に含まれる影響度のみの項目から脆弱性のリスク値を計算していたが、脆弱性情報に複数の項目がある場合には脆弱性の実態に合った適切なリスク値の計算ができなくなるおそれがあるため、実施の形態3では脆弱性情報に含まれる複数の脆弱性に係る項目を利用してリスク値を計算するものである。なお、実施の形態3におけるシステム構成図およびフローチャートは実施の形態1と同様である。 Embodiment 3.
The operation of the attack detection device 100 according to the third embodiment will be described. In the first embodiment, the risk value of the vulnerability was calculated from only the item of the degree of impact included in the vulnerability information, but when there are multiple items in the vulnerability information, it is appropriate according to the actual situation of the vulnerability. Since there is a possibility that the risk value cannot be calculated, in the third embodiment, the risk value is calculated by using a plurality of items related to the vulnerability included in the vulnerability information. The system configuration diagram and the flowchart in the third embodiment are the same as those in the first embodiment.

攻撃検知装置100の検知ルールの実行周期の更新動作における脆弱性のリスク値の計算方法について、図13、図14を参照して説明する。図13は脆弱性情報の脆弱性に係る項目を示す図で、図14はリスク値の計算方法を示す図である。例えば脆弱性に係る項目は、図13に示すように、機密性への影響度、完全性への影響度、可用性への影響度、攻撃条件の複雑度という4つが設けられ、それぞれの項目のリスクの程度の段階は高、中、低の3段階とし、各影響度については懸念されるリスクが高いほど大きい自然数(ここでは1~3)をリスク値として付与している。リスク値の計算方法は、図14に示すように、まず脆弱性情報にある機密性への影響度、完全性への影響度、可用性への影響度の3つ項目の最大値を脆弱性の影響度として定義し、攻撃条件の複雑度と脆弱性の影響度を乗じた値をリスク値とする。例えば、攻撃条件の複雑度が低(容易に攻撃可能で付与した数値は3)で影響度が高い脆弱性(付与した数値は3)の場合、リスク値の計算結果は9で最大となる。逆に、攻撃条件の複雑度が高(攻撃が難しく付与した数値は1)で影響度の低い脆弱性(付与した数値は1)の場合、リスク値の計算結果は1で最小となる。このような計算方法とすることで、脆弱性の実体に合わせたリスク値の計算が可能となる。 A method of calculating the risk value of the vulnerability in the operation of updating the execution cycle of the detection rule of the attack detection device 100 will be described with reference to FIGS. 13 and 14. FIG. 13 is a diagram showing items related to the vulnerability of vulnerability information, and FIG. 14 is a diagram showing a method of calculating a risk value. For example, as shown in FIG. 13, there are four items related to vulnerabilities: the degree of impact on confidentiality, the degree of impact on integrity, the degree of impact on availability, and the complexity of attack conditions. There are three levels of risk, high, medium, and low, and for each degree of impact, the higher the risk of concern, the larger the natural number (here, 1 to 3) is given as the risk value. As shown in Fig. 14, the risk value is calculated by first setting the maximum value of the three items of the vulnerability information, that is, the degree of impact on confidentiality, the degree of impact on integrity, and the degree of impact on availability. It is defined as the degree of impact, and the value obtained by multiplying the complexity of the attack condition by the degree of impact of the vulnerability is used as the risk value. For example, if the complexity of the attack condition is low (the numerical value given because it can be easily attacked is 3) and the degree of influence is high (the given numerical value is 3), the calculation result of the risk value is the maximum at 9. On the contrary, when the complexity of the attack condition is high (the value given is 1 because it is difficult to attack) and the degree of influence is low (the value given is 1), the calculation result of the risk value is the minimum at 1. By using such a calculation method, it is possible to calculate the risk value according to the substance of the vulnerability.

なお、本実施の形態で示した脆弱性情報の項目およびリスク値の計算方法は1例でこれに限るものではなく、得られる脆弱性情報の項目、監視対象システム200に応じて変更しても構わない。 The item of vulnerability information and the calculation method of the risk value shown in this embodiment are not limited to this in one example, and may be changed according to the item of the obtained vulnerability information and the monitored system 200. I do not care.

以上のように、この攻撃検知装置100では脆弱性情報に含まれる複数の脆弱性に係る項目を利用してリスク値を計算するため、脆弱性の実体に合わせてリスク値を計算することができる。 As described above, since the attack detection device 100 calculates the risk value using a plurality of items related to the vulnerability included in the vulnerability information, the risk value can be calculated according to the substance of the vulnerability. ..

実施の形態4.
実施の形態4における攻撃検知装置100の動作について説明する。実施の形態1では脆弱性情報だけからリスク値を計算しており、各構成機器の役割に関わらず動作S/Wが同じ構成機器のリスク値は同じと考えられていたが、例えば重要データを格納するデータベースサーバと負荷分散のために多重化されているアプリケーションサーバのように役割の異なる構成機器ではサイバー攻撃を受けた際のシステムへの影響度が変わるため、実施の形態4では構成機器の役割から情報資産価値を事前に定義しておき、構成機器の情報資産価値と脆弱性情報を元にリスク値を計算するものである。なお、実施の形態4におけるシステム構成図およびフローチャートは実施の形態1と同様である。 Embodiment 4.
The operation of the attack detection device 100 according to the fourth embodiment will be described. In the first embodiment, the risk value is calculated only from the vulnerability information, and it is considered that the risk value of the component device having the same operation S / W is the same regardless of the role of each component device. Since the degree of influence on the system when a cyber attack is received changes in the component devices having different roles such as the database server to be stored and the application server multiplexed for load distribution, in the fourth embodiment, the component devices have different roles. The information asset value is defined in advance from the role, and the risk value is calculated based on the information asset value and vulnerability information of the component equipment. The system configuration diagram and the flowchart in the fourth embodiment are the same as those in the first embodiment.

攻撃検知装置100の検知ルールの実行周期の更新動作における脆弱性のリスク値の計算方法について、図15~図17を参照して説明する。図15は構成情報DB108に格納された構成情報を示す図で、図16は脆弱性情報の脆弱性に係る項目を示す図で、図17はリスク値の計算方法を示す図である。例えば構成情報には、図15に示すように、構成機器とその機器で動作しているS/WとS/Wのバージョンに加えて、情報資産価値が記録されている。情報資産価値は、各構成機器において機密性、完全性、可用性の3つの観点で、それぞれ高、中、低の3段階で設定されたものである。例えば、データベースサーバのように、格納されているデータの漏えいおよび改ざんが問題となる構成機器では、機密性、完全性の項目が高く設定され、セキュリティ機器のようにデータは保持しないが常時稼働していることが重要になる構成機器では可用性の項目が高く設定される。図15に示した構成機器は前者に相当するため、機密性、完全性の項目を高く設定している。 A method of calculating the risk value of the vulnerability in the operation of updating the execution cycle of the detection rule of the attack detection device 100 will be described with reference to FIGS. 15 to 17. FIG. 15 is a diagram showing the configuration information stored in the configuration information DB 108, FIG. 16 is a diagram showing items related to the vulnerability of the vulnerability information, and FIG. 17 is a diagram showing a method of calculating a risk value. For example, in the configuration information, as shown in FIG. 15, the information asset value is recorded in addition to the configuration device and the S / W and S / W versions operating on the device. The information asset value is set in three stages of high, medium, and low from the three viewpoints of confidentiality, integrity, and availability in each component device. For example, in a configuration device such as a database server where leakage and alteration of stored data is a problem, the items of confidentiality and integrity are set high, and data is not retained like a security device, but it is always in operation. The availability item is set high for the components where it is important to do so. Since the constituent equipment shown in FIG. 15 corresponds to the former, the items of confidentiality and integrity are set high.

例えば脆弱性に係る項目は、図16に示すように、機密性への影響度、完全性への影響度、可用性への影響度という3つが設けられ、それぞれの項目のリスクの程度の段階は高、中、低の3段階とし、各影響度については段階が高いほど大きい自然数(ここでは1~3)をリスク値として付与している。リスク値の計算方法は、図17に示すように、対象機器として判定された構成機器において、まず機密性、完全性、可用性のそれぞれについて、情報資産価値と脆弱性情報の影響度を乗じて情報資産への影響度を計算する。次に機密性、完全性、可用性のそれぞれの情報資産への影響度の中で、最大値をリスク値とする。このような計算方法とすることで、例えば機密性への影響の高い脆弱性が発生した場合、気密性についての情報資産価値が高い機器のリスク値が高くなり、構成機器の役割をリスク値に反映することが可能となる。 For example, as shown in Fig. 16, there are three items related to vulnerabilities: the degree of impact on confidentiality, the degree of impact on integrity, and the degree of impact on availability. There are three levels of high, medium, and low, and for each degree of influence, the higher the level, the larger the natural number (here, 1 to 3) is given as the risk value. As shown in FIG. 17, the risk value is calculated by multiplying the confidentiality, integrity, and availability of each of the constituent devices determined as the target device by the information asset value and the degree of influence of the vulnerability information. Calculate the degree of impact on assets. Next, the maximum value is taken as the risk value among the degrees of impact on each information asset of confidentiality, integrity, and availability. By using such a calculation method, for example, when a vulnerability with a high impact on confidentiality occurs, the risk value of the device with high information asset value regarding airtightness becomes high, and the role of the component device becomes the risk value. It will be possible to reflect.

なお、本実施の形態で示した情報資産価値の項目、脆弱性情報の項目およびリスクの計算方法は1例でこれに限るものではなく、得られる脆弱性情報の項目、監視対象システム200に応じて変更しても構わない。 The information asset value item, vulnerability information item, and risk calculation method shown in this embodiment are not limited to this one, but depend on the obtained vulnerability information item and the monitored system 200. You may change it.

以上のように、この攻撃検知装置100では構成機器の役割から情報資産価値を事前に定義しておき、構成機器の情報資産価値と脆弱性情報を元にリスク値を計算するため、構成機器の役割をリスク値に反映することができ、適切な検知ルールの実行周期を設定することができる。 As described above, in this attack detection device 100, the information asset value is defined in advance from the role of the component device, and the risk value is calculated based on the information asset value and the vulnerability information of the component device. The role can be reflected in the risk value, and the execution cycle of the appropriate detection rule can be set.

本願は、様々な例示的な実施の形態及び実施例が記載されているが、1つ、または複数の実施の形態に記載された様々な特徴、態様、及び機能は特定の実施の形態の適用に限られるのではなく、単独で、または様々な組み合わせで実施の形態に適用可能である。
従って、例示されていない無数の変形例が、本願明細書に開示される技術の範囲内において想定される。例えば、少なくとも1つの構成要素を変形する場合、追加する場合または省略する場合、さらには、少なくとも1つの構成要素を抽出し、他の実施の形態の構成要素と組み合わせる場合が含まれるものとする。 Although the present application describes various exemplary embodiments and examples, the various features, embodiments, and functions described in one or more embodiments are applications of a particular embodiment. It is not limited to, but can be applied to embodiments alone or in various combinations.
Therefore, innumerable variations not illustrated are envisioned within the scope of the techniques disclosed herein. For example, it is assumed that at least one component is modified, added or omitted, and further, at least one component is extracted and combined with the components of other embodiments.

100 攻撃検知装置、101 脆弱性情報取得部、102 対象機器判定部、103 検知ルール判定部、104 リスク値計算部、105 実行周期更新部、106 検知エンジン、107 脆弱性情報記録DB、108 構成情報DB、109 検知ルールDB、110 ログDB、111 プロセッサ、112 記憶装置、200 監視対象システム、300 脆弱性情報公開システム、400 監視端末、500 攻撃検知システム、600 攻撃シナリオDB 100 Attack detection device, 101 Vulnerability information acquisition unit, 102 Target device judgment unit, 103 Detection rule judgment unit, 104 Risk value calculation unit, 105 Execution cycle update unit, 106 Detection engine, 107 Vulnerability information recording DB, 108 Configuration information DB, 109 detection rule DB, 110 log DB, 111 processor, 112 storage device, 200 monitored system, 300 vulnerability information disclosure system, 400 monitoring terminal, 500 attack detection system, 600 attack scenario DB

Claims (7)

複数の構成機器を備えた監視対象システムで発生したログが格納されているログDBと、
前記構成機器と前記ログの相関分析の条件とが記録された検知ルールが格納されている検知ルールDBと、
前記検知ルールに従った前記ログの相関分析を予め定められた実行周期で行うことによりサイバー攻撃を検知して出力する検知エンジンと、を備えた攻撃検知装置において、
前記攻撃検知装置で過去に検知した脆弱性情報が格納されている脆弱性情報記録DBと、
新規の脆弱性情報を取得する脆弱性情報取得部と、
前記複数の構成機器に関する構成情報が格納されている構成情報DBと、
前記新規の脆弱性情報と前記構成情報とから脆弱性のある構成機器を対象機器として判定する対象機器判定部と、
前記対象機器判定部の判定結果と前記検知ルールDBに格納された前記検知ルールとから前記対象機器と前記構成機器とが一致する検知ルールを判定する検知ルール判定部と、
前記新規の脆弱性情報から脆弱性のリスク値を計算するリスク値計算部と、
前記リスク値が高まるのに応じて、前記検知ルール判定部で判定した検知ルールに従った前記ログの相関分析を行う実行周期が縮まるように更新する実行周期更新部と、を備えたことを特徴とする攻撃検知装置。 A log database that stores logs generated in a monitored system equipped with multiple components, and
A detection rule DB in which a detection rule in which the constituent devices and the conditions for correlation analysis of the log are recorded is stored, and
In an attack detection device equipped with a detection engine that detects and outputs a cyber attack by performing correlation analysis of the log according to the detection rule at a predetermined execution cycle.
Vulnerability information record DB that stores vulnerability information detected in the past by the attack detection device,
Vulnerability information acquisition department that acquires new vulnerability information,
A configuration information database that stores configuration information related to the plurality of configuration devices, and
A target device determination unit that determines a vulnerable component device as a target device from the new vulnerability information and the configuration information,
A detection rule determination unit that determines a detection rule in which the target device and the constituent device match from the determination result of the target device determination unit and the detection rule stored in the detection rule DB.
The risk value calculation unit that calculates the risk value of the vulnerability from the new vulnerability information,
It is characterized by including an execution cycle update unit that updates the execution cycle for performing correlation analysis of the log according to the detection rule determined by the detection rule determination unit as the risk value increases. Attack detection device. サイバー攻撃の攻撃フェーズ毎の内容と検知方法と構成機器と検知ルールとが記録された攻撃シナリオが格納されている攻撃シナリオDBをさらに備え、
前記検知ルール判定部は、前記対象機器判定部の判定結果と前記攻撃シナリオとから前記対象機器と前記構成機器とが一致する攻撃シナリオを判定し、
前記リスク値計算部は、前記新規の脆弱性情報から脆弱性のリスク値を計算し、
前記実行周期更新部は、前記リスク値が高まるのに応じて、前記検知ルール判定部で判定した攻撃シナリオに記録された検知ルールに従った前記ログの相関分析を行う実行周期が縮まるように更新することを特徴とする請求項1に記載の攻撃検知装置。 It also has an attack scenario DB that stores attack scenarios that record the contents of each attack phase of cyber attacks, detection methods, components, and detection rules.
The detection rule determination unit determines an attack scenario in which the target device and the constituent device match from the determination result of the target device determination unit and the attack scenario.
The risk value calculation unit calculates the risk value of the vulnerability from the new vulnerability information.
The execution cycle update unit updates the execution cycle for performing correlation analysis of the log according to the detection rule recorded in the attack scenario determined by the detection rule determination unit as the risk value increases. The attack detection device according to claim 1, wherein the attack detection device is to be used. 前記リスク値計算部は、前記新規の脆弱性情報が備える複数の脆弱性に係る項目に基づいて前記リスク値を計算することを特徴とする請求項1または請求項2に記載の攻撃検知装置。 The attack detection device according to claim 1 or 2, wherein the risk value calculation unit calculates the risk value based on items related to a plurality of vulnerabilities included in the new vulnerability information. 前記構成情報には前記構成機器の情報資産価値が含まれており、
前記リスク値計算部は、前記新規の脆弱性情報が備える複数の脆弱性に係る項目と前記情報資産価値とに基づいて前記リスク値を計算することを特徴とする請求項1から3のいずれか1項に記載の攻撃検知装置。 The configuration information includes the information asset value of the configuration device.
One of claims 1 to 3, wherein the risk value calculation unit calculates the risk value based on the items related to a plurality of vulnerabilities included in the new vulnerability information and the information asset value. The attack detection device according to item 1. 請求項1から4のいずれか1項に記載した攻撃検知装置と、前記攻撃検知装置から出力されたサイバー攻撃の検知結果を表示する監視端末とを備えたことを特徴とする攻撃検知システム。 An attack detection system comprising the attack detection device according to any one of claims 1 to 4 and a monitoring terminal for displaying a cyber attack detection result output from the attack detection device. サイバー攻撃を検知して出力する攻撃検知装置の攻撃検知方法において、
取得した新規の脆弱性情報と監視対象システムが備える複数の構成機器に関する構成情報とから脆弱性のある構成機器を対象機器として判定し、
前記構成機器と前記監視対象システムで発生したログの相関分析の条件とが記録された検知ルールと、前記対象機器の判定結果とから前記構成機器と前記対象機器とが一致する検知ルールを判定し、
前記新規の脆弱性情報から脆弱性のリスク値を計算し、
前記リスク値が高まるのに応じて、判定した検知ルールに従った前記ログの相関分析を行う実行周期が縮まるように更新することを特徴とする攻撃検知方法。 In the attack detection method of the attack detection device that detects and outputs cyber attacks
Based on the acquired new vulnerability information and the configuration information about multiple components of the monitored system, the vulnerable component is determined as the target device.
From the detection rule in which the condition of the correlation analysis of the log generated in the constituent device and the monitored system is recorded and the determination result of the target device, the detection rule in which the constituent device and the target device match is determined. ,
Calculate the risk value of the vulnerability from the new vulnerability information,
An attack detection method characterized in that, as the risk value increases, the execution cycle for performing correlation analysis of the log according to the determined detection rule is updated so as to be shortened. サイバー攻撃を検知して出力する攻撃検知装置の攻撃検知プログラムにおいて、
前記攻撃検知装置で過去に検知した脆弱性情報を元に新規の脆弱性情報を取得する脆弱性情報取得ステップと、
前記新規の脆弱性情報と監視対象システムが備える複数の構成機器に関する構成情報とから脆弱性のある構成機器を対象機器として判定する対象機器判定ステップと、
前記構成機器と前記監視対象システムで発生したログの相関分析の条件とが記録された検知ルールと、前記対象機器判定ステップの判定結果とから前記構成機器と前記対象機器とが一致する検知ルールを判定する検知ルール判定ステップと、
前記新規の脆弱性情報から脆弱性のリスク値を計算するリスク値計算ステップと、
前記リスク値が高まるのに応じて、前記検知ルール判定ステップで判定した検知ルールに従った前記ログの相関分析を行う実行周期が縮まるように更新する実行周期更新ステップと、を備えたことを特徴とする攻撃検知プログラム。 In the attack detection program of the attack detection device that detects and outputs cyber attacks
Vulnerability information acquisition step to acquire new vulnerability information based on the vulnerability information detected in the past by the attack detection device, and
A target device determination step for determining a vulnerable component device as a target device from the new vulnerability information and configuration information related to a plurality of component devices included in the monitored system.
From the detection rule in which the condition of the correlation analysis of the log generated in the constituent device and the monitored system is recorded and the judgment result of the target device determination step, the detection rule in which the constituent device and the target device match is determined. Judgment detection rule Judgment step and
The risk value calculation step for calculating the risk value of the vulnerability from the new vulnerability information,
It is characterized by including an execution cycle update step for updating the execution cycle for performing correlation analysis of the log according to the detection rule determined in the detection rule determination step as the risk value increases. Attack detection program.
JP2018153468A 2018-08-17 2018-08-17 Attack detection device, attack detection system, attack detection method and attack detection program Active JP7019533B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018153468A JP7019533B2 (en) 2018-08-17 2018-08-17 Attack detection device, attack detection system, attack detection method and attack detection program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018153468A JP7019533B2 (en) 2018-08-17 2018-08-17 Attack detection device, attack detection system, attack detection method and attack detection program

Publications (2)

Publication Number Publication Date
JP2020028092A JP2020028092A (en) 2020-02-20
JP7019533B2 true JP7019533B2 (en) 2022-02-15

Family

ID=69620477

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018153468A Active JP7019533B2 (en) 2018-08-17 2018-08-17 Attack detection device, attack detection system, attack detection method and attack detection program

Country Status (1)

Country Link
JP (1) JP7019533B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7384743B2 (en) * 2020-05-13 2023-11-21 株式会社日立製作所 Attack scenario risk assessment device and method
CN113037555B (en) * 2021-03-12 2022-09-20 中国工商银行股份有限公司 Risk event marking method, risk event marking device and electronic equipment
CN115987672B (en) * 2022-12-28 2023-09-26 北京天融信网络安全技术有限公司 Risk determination method, apparatus, device and medium for network device

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005135239A (en) 2003-10-31 2005-05-26 Fujitsu Social Science Laboratory Ltd Information security management program, device and method
US20060265324A1 (en) 2005-05-18 2006-11-23 Alcatel Security risk analysis systems and methods
CN101610174A (en) 2009-07-24 2009-12-23 深圳市永达电子股份有限公司 A kind of log correlation analysis system and method
WO2014112185A1 (en) 2013-01-21 2014-07-24 三菱電機株式会社 Attack analysis system, coordination device, attack analysis coordination method, and program
WO2018079439A1 (en) 2016-10-27 2018-05-03 日本電気株式会社 Incident effect range estimation device, incident effect range estimation method, storage medium, and system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005135239A (en) 2003-10-31 2005-05-26 Fujitsu Social Science Laboratory Ltd Information security management program, device and method
US20060265324A1 (en) 2005-05-18 2006-11-23 Alcatel Security risk analysis systems and methods
CN101610174A (en) 2009-07-24 2009-12-23 深圳市永达电子股份有限公司 A kind of log correlation analysis system and method
WO2014112185A1 (en) 2013-01-21 2014-07-24 三菱電機株式会社 Attack analysis system, coordination device, attack analysis coordination method, and program
WO2018079439A1 (en) 2016-10-27 2018-05-03 日本電気株式会社 Incident effect range estimation device, incident effect range estimation method, storage medium, and system

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
K.karen, M. Souppaya著, NRIセキュアテクノロジーズ株式会社監訳,コンピュータセキュリティログ管理ガイド,日本,米国国立標準技術研究所,2006年09月,pp.2-7,3-1,3-2,3-3,3-5,4-5,4-6,4-7,https://www.ipa.go.jp/files/000025363.pdf

Also Published As

Publication number Publication date
JP2020028092A (en) 2020-02-20

Similar Documents

Publication Publication Date Title
US10791133B2 (en) System and method for detecting and mitigating ransomware threats
KR101255359B1 (en) Efficient white listing of user-modifiable files
JP6774881B2 (en) Business processing system monitoring device and monitoring method
US10291630B2 (en) Monitoring apparatus and method
US20170061126A1 (en) Process Launch, Monitoring and Execution Control
US20130318615A1 (en) Predicting attacks based on probabilistic game-theory
JP7019533B2 (en) Attack detection device, attack detection system, attack detection method and attack detection program
US20140223566A1 (en) System and method for automatic generation of heuristic algorithms for malicious object identification
US20100014432A1 (en) Method for identifying undesirable features among computing nodes
US20170155683A1 (en) Remedial action for release of threat data
CN110868403B (en) Method and equipment for identifying advanced persistent Attack (APT)
US11893110B2 (en) Attack estimation device, attack estimation method, and attack estimation program
Rahman et al. A data mining framework to predict cyber attack for cyber security
CN111183620B (en) Intrusion investigation
JP2015179979A (en) Attack detection system, attack detection apparatus, attack detection method, and attack detection program
US11750634B1 (en) Threat detection model development for network-based systems
CN109543457A (en) The method and device called between control intelligent contract
JP6712207B2 (en) Security countermeasure device
CN113872959A (en) Risk asset grade judgment and dynamic degradation method, device and equipment
CN116663005A (en) Method, device, equipment and storage medium for defending composite Lesu virus
KR20190020523A (en) Apparatus and method for detecting attack by using log analysis
JP7168010B2 (en) Action plan estimation device, action plan estimation method, and program
KR101934381B1 (en) Method for detecting hacking tool, and user terminal and server for performing the same
Stavrou et al. Keep your friends close: the necessity for updating an anomaly sensor with legitimate environment changes
CN113836542B (en) Trusted white list matching method, system and device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210303

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20210303

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211109

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220105

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220202

R151 Written notification of patent or utility model registration

Ref document number: 7019533

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151