JP7099533B2 - 影響範囲推定装置、影響範囲推定方法、及びプログラム - Google Patents

影響範囲推定装置、影響範囲推定方法、及びプログラム Download PDF

Info

Publication number
JP7099533B2
JP7099533B2 JP2020547647A JP2020547647A JP7099533B2 JP 7099533 B2 JP7099533 B2 JP 7099533B2 JP 2020547647 A JP2020547647 A JP 2020547647A JP 2020547647 A JP2020547647 A JP 2020547647A JP 7099533 B2 JP7099533 B2 JP 7099533B2
Authority
JP
Japan
Prior art keywords
malware
node
scenario
probability
range estimation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020547647A
Other languages
English (en)
Other versions
JPWO2020065737A1 (ja
Inventor
圭吾 木村
太地 羽角
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2020065737A1 publication Critical patent/JPWO2020065737A1/ja
Application granted granted Critical
Publication of JP7099533B2 publication Critical patent/JP7099533B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Description

本発明は、ネットワークシステムにマルウェアが侵入した際に、それによってネットワークシステムが受ける影響の範囲を推定する、影響範囲推定装置、及び影響範囲推定方法に関し、更には、これらを実現するためのプログラムに関する。
近年、企業、官庁等のネットワークシステムに、マルウェアと呼ばれる不正なプログラムを侵入させて、技術情報、個人情報等の秘密情報を不正に取得する、標準型攻撃が増加している。標準型攻撃を受けると、企業、官庁等においては、多大な損害が生じたり、コンピュータシステムの運用が妨害されたりする。
このような場合においては、一旦、コンピュータシステムを停止させれば、簡単に、マルウェアの感染を止めることができると共に、マルウェアを完全に除去することができる。しかし、企業、官庁等において、コンピュータシステムを停止させることは、現実的には不可能である。このため、マルウェアの感染によって影響を受ける範囲を正確に推定することが求められている。
このような求めに対応するため、例えば、特許文献1は、マルウェアの二次感染に対するリスクを評価する装置を開示している。具体的には、特許文献1に開示された装置は、マルウェアに感染したとされる端末から、マルウェアが別の端末へと感染する際の感染経路を特定し、そして、ネットワーク上の各機器のセキュリティ機能の情報に基づいて、特定した感染経路のリスクを評価する。特許文献1に開示された装置によれば、システムを止めることなく、マルウェアの影響を受けた範囲の推定が可能となる。
また、特許文献2は、ネットワークシステムにマルウェアが侵入した際のマルウェアの影響範囲を特定するための装置を開示している。特許文献2に開示された装置は、ネットワークの構成情報を時系列に沿って記録し、それを保持する。また、特許文献2に開示された装置は、特定の端末がマルウェアに侵入されると、侵入された時点を特定し、更に、特定した時点に対応する構成情報を抽出し、抽出した構成情報を、ネットワークシステムの管理者に提示する。
特許文献2に開示された装置によれば、対象となるネットワークシステムのネットワーク構成が変更されても、管理者は、マルウェアが侵入された時点のネットワーク構成を知ることができるので、その影響範囲を特定できる。
特開2015-095159号公報 特開2016-184870号公報
しかしながら、特許文献1に開示された装置は、マルウェアに感染している端末からの感染先のルートについては評価を行っているが、当該端末の感染元のルートについては評価を行っていない。このため、特許文献1に開示された装置では、マルウェアの影響を受けた範囲を推定する際の精度は低いと考えられる。
また、特許文献2に開示された装置では、ネットワークシステムの管理者が、マルウェアの感染当時のネットワーク構成に基づいて、人手でマルウェアの影響範囲を特定する必要があり、管理者の負担が大きいという問題がある。
本発明の目的の一例は、上記問題を解消し、ネットワークシステムにマルウェアが侵入した際に、管理者に負担をかけることなく、マルウェアの影響を受けた範囲を推定する際の精度の向上を図り得る、影響範囲推定装置、影響範囲推定方法、及びプログラムを提供することにある。
上記目的を達成するため、本発明の一側面における影響範囲推定装置は、複数のノードを有するネットワークシステムおいて、マルウェアの感染による影響の範囲を推定するための装置であって、
特定のノードが前記マルウェアに感染した場合に、前記マルウェアによる攻撃のパターンを特定するシナリオ情報と、前記マルウェアの感染前の前記ネットワークシステムにおける通信ログとに基づいて、前記特定のノード以外の他のノード毎に、当該他のノードから前記特定のノードに前記マルウェアが伝搬する確率を算出する、逆伝搬確率算出部と、
算出された前記確率を用いて、前記特定のノードに前記マルウェアが伝搬されるシミュレーションを複数回実行して、前記確率が算出された前記他のノード毎に、当該他のノードが前記マルウェアの伝搬元となる回数を算出する、シミュレーション実行部と、
を備えている、ことを特徴とする。
また、上記目的を達成するため、本発明の一側面における影響範囲推定方法は、複数のノードを有するネットワークシステムおいて、マルウェアの感染による影響の範囲を推定するための方法であって、
(a)特定のノードが前記マルウェアに感染した場合に、前記マルウェアによる攻撃のパターンを特定するシナリオ情報と、前記マルウェアの感染前の前記ネットワークシステムにおける通信ログとに基づいて、前記特定のノード以外の他のノード毎に、当該他のノードから前記特定のノードに前記マルウェアが伝搬する確率を算出する、ステップと、
(b)算出された前記確率を用いて、前記特定のノードに前記マルウェアが伝搬されるシミュレーションを複数回実行して、前記確率が算出された前記他のノード毎に、当該他のノードが前記マルウェアの伝搬元となる回数を算出する、ステップと、
を有する、
ことを特徴とする。
更に、上記目的を達成するため、本発明の一側面におけるプログラムは、コンピュータによって、複数のノードを有するネットワークシステムおいて、マルウェアの感染による影響の範囲を推定するための、プログラムであって、
前記コンピュータに、
(a)特定のノードが前記マルウェアに感染した場合に、前記マルウェアによる攻撃のパターンを特定するシナリオ情報と、前記マルウェアの感染前の前記ネットワークシステムにおける通信ログとに基づいて、前記特定のノード以外の他のノード毎に、当該他のノードから前記特定のノードに前記マルウェアが伝搬する確率を算出する、ステップと、
(b)算出された前記確率を用いて、前記特定のノードに前記マルウェアが伝搬されるシミュレーションを複数回実行して、前記確率が算出された前記他のノード毎に、当該他のノードが前記マルウェアの伝搬元となる回数を算出する、ステップと、
実行させる、
ことを特徴とする。
以上のように、本発明によれば、ネットワークシステムにマルウェアが侵入した際に、管理者に負担をかけることなく、マルウェアの影響を受けた範囲を推定する際の精度の向上を図ることができる。
図1は、本発明の実施の形態1における影響範囲推定装置の概略構成を示すブロック図である。 図2は、本発明の実施の形態1における影響範囲推定装置10が推定対象とするネットワークシステムの一例を示す図である。 図3は、本発明の実施の形態1における影響範囲推定装置の構成をより具体的に示すブロック図である。 図4は、本発明の実施の形態1で用いられるシナリオ情報の一例を示す図である。 図5は、本発明の実施の形態1で用いられる通信履歴の一例を示す図である。 図6(a)~(d)は、本発明の実施の形態1における逆伝搬確率及び逆伝搬回数の算出処理の一例を説明する図であり、それぞれ、一連の主なステップを示している。 図7は、本発明の実施の形態1における影響範囲推定装置の動作を示すフロー図である。 図8は、本発明の実施の形態2における影響範囲推定装置の構成を示すブロック図である。 図9(a)~(d)は、本発明の実施の形態2における伝搬確率及び伝搬回数の算出処理の一例を説明する図であり、それぞれ、一連の主なステップを示している。 図10は、本発明の実施の形態2における影響範囲推定装置の動作を示すフロー図である。 図11は、本発明の実施の形態3における影響範囲推定装置の構成を示すブロック図である。 図12は、本実施の形態3においてシナリオの選択処理を説明するための図である。 図13は、本発明の実施の形態3における影響範囲推定装置の動作を示すフロー図である。 図14は、本発明の実施の形態1~3における影響範囲推定装置を実現するコンピュータの一例を示すブロック図である。
(実施の形態1)
以下、本発明の実施の形態1における、影響範囲推定装置、影響範囲推定方法、及びコンピュータ読み取り可能な記録媒体について、図1~図7を参照しながら説明する。
[装置構成]
最初に、本実施の形態1における影響範囲推定装置10の概略構成について説明する。図1は、本発明の実施の形態1における影響範囲推定装置の概略構成を示すブロック図である。
図1に示す、本実施の形態1における影響範囲推定装置10は、複数のノードを有するネットワークシステムおいて、マルウェアの感染による影響の範囲を推定するための装置である。図1に示すように、影響範囲推定装置10は、逆伝搬確率算出部11と、シミュレーション実行部12とを備えている。
逆伝搬確率算出部11は、特定のノードがマルウェアに感染した場合に、シナリオ情報と、通信ログとに基づいて、特定のノード以外の他のノード毎に、他のノードから特定のノードにマルウェアが伝搬する確率(以下「逆伝搬確率」と表記する。)を算出する。また、シナリオ情報は、マルウェアによる攻撃のパターンを特定する情報である。更に、通信ログは、マルウェアの感染前のネットワークシステムにおける通信ログである。
シミュレーション実行部12は、逆伝搬確率算出部11によって算出された確率を用いて、特定のノードにマルウェアが伝搬されるシミュレーションを複数回実行して、確率が算出された他のノード毎に、各他のノードがマルウェアの伝搬元となる回数を算出する。
このように、本実施の形態では、影響範囲推定装置10は、特定のノードがマルウェアに感染すると、それ以外の他のノードが、マルウェアの伝搬元になる可能性を示す指標として、伝搬元になり得る「回数」を算出する。このため、本実施の形態によれば、ネットワークシステムにマルウェアが侵入した際に、管理者に負担をかけることなく、管理者がマルウェアの影響を受けた範囲を推定する際の精度の向上を図ることができる。
続いて、図2~図6を用いて、本実施の形態1における影響範囲推定装置10の具体的構成について説明する。図2は、本発明の実施の形態1における影響範囲推定装置10が推定対象とするネットワークシステムの一例を示す図である。図3は、本発明の実施の形態1における影響範囲推定装置の構成をより具体的に示すブロック図である。
図2に示すように、本実施の形態では、ネットワークシステム20は、複数のスイッチ21と、複数のノード(端末装置)22と、管理装置23と、これらを接続するLAN(Local Area Network)等のネットワーク24とを備えている。影響範囲推定装置10は、ネットワーク24に接続されている。ネットワークシステム20において、各ノード22は、スイッチ21を経由してネットワーク24に接続されている。また、管理装置23は、各ノード22のマルウェアの感染状況を管理している。
具体的には、管理装置23は、各ノード22に組み込まれているセキュリティソフトウェアから送られてくる情報を収集し、収集した情報に基づいて、各ノード22がマルウェアに感染していないかどうかを判定する。そして、管理装置23は、いずれかのノード22がマルウェアに感染していると判定した場合は、マルウェアに感染したノードを特定する情報(以下「感染情報」と表記する。)を、ネットワーク24をして、影響範囲推定装置10に送信する。
また、図3に示すように、本実施の形態1における影響範囲推定装置10は、上述した逆伝搬確率算出部11及びシミュレーション実行部12に加えて、シナリオ情報データベース13と、通信履歴データベース14とを備えている。
シナリオ情報データベース13は、例えば、図4に示すシナリオ情報を格納している。図4は、本発明の実施の形態1で用いられるシナリオ情報の一例を示す図である。図4に示すように、シナリオ情報は、マルウェアの攻撃のパターン毎に設定された複数のシナリオで構成されており、各シナリオは、名称、潜在時間、重み付けルールセットを含んでいる。
図4の例では、各シナリオにおいて、名称は、マルウェアの名称と、マルウェアの潜在時間の傾向(長期又は短期)と、マルウェアに対応する重み付けルールセットの番号とを組み合わせて構成されている。また、潜在時間は、マルウェアが感染してから活動を開始するまでの時間を示している。
重み付けルールセットは、マルウェアによる攻撃のパターンに応じて、逆伝搬確率を計算するためのルールである。また、重み付けルールセットは、マルウェアによる攻撃のパターンとして、マルウェアに感染したノードの送信先ポートを特定している。
通信履歴データベース14は、例えば、図5に示す通信ログの履歴(以下「通信履歴」と表記する。)を格納している。図5は、本発明の実施の形態1で用いられる通信履歴の一例を示す図である。図5に示すように、通信履歴は、通信ログ毎に、セッション開始時刻(Time)、セッション持続時間(Duration)、送り元IP(Src IP)、送り元ポート(Src Port)、送信先IP(Dst IP)、送信先ポート(Dst Port)、プロトコル番号(Protocol)、パケット数(Packet Number)、送信バイト(Sent Byte)、及び受信バイト(Receive Byte)で構成されている。
逆伝搬確率算出部11は、本実施の形態では、まず、管理装置23から送信されてきた感染情報を取得し、取得した感染情報から、マルウェアに感染したノード(以下「感染ノード」と表記する。)と、そのノードが感染した時刻(以下「感染時刻」と表記する。)とを特定する。
続いて、逆伝搬確率算出部11は、通信履歴データベース14に格納されている通信履歴から、感染時刻より過去の通信ログを抽出する。また、逆伝搬確率算出部11は、抽出した通信ログにおける通信の方向、即ち、sourceとdestinationとを特定する。
そして、逆伝搬確率算出部11は、通信の方向の入れ替え、つまりsourceとdestinationとの入れ替えを行う。更に、逆伝搬確率算出部11は、この状態で、シナリオ情報データベース13に格納されているシナリオ情報の重み付けルールセットを適用して、感染ノード以外の他のノード毎に、逆伝搬確率を算出する。算出された逆伝搬確率は、他のノードが感染ノードにマルウェアを伝搬させた確率を示している。なお、本実施の形態1では、シナリオ情報に含まれる複数のシナリオの中から、予め使用されるシナリオが指定されているものとする。
シミュレーション実行部12は、本実施の形態では、感染ノード以外の他のノード毎に、算出された逆伝搬確率を用いて、感染ノードにマルウェアが伝搬されるシミュレーションを設定回数実行し、他のノードが感染ノードにマルウェアを伝搬させた回数(以下「逆伝搬回数」と表記する。)を算出する。
ここで、図6を用いて、逆伝搬確率算出部11及びシミュレーション実行部12による処理を具体的に説明する。図6(a)~(d)は、本発明の実施の形態1における逆伝搬確率及び逆伝搬回数の算出処理の一例を説明する図であり、それぞれ、一連の主なステップを示している。また、図6(a)~(d)において、円形の図形は、各ノードを示している。
図6(a)に示すように、管理装置23が感染情報を送信すると、逆伝搬確率算出部11は、送信されてきた感染情報に基づいて、マルウェアに感染している感染ノード及び感染時刻を特定する。
次に、図6(b)に示すように、逆伝搬確率算出部11は、通信履歴データベース14に格納されている通信履歴に基づいて、感染ノードが感染した時刻より過去における通信ログを抽出する。図6(b)において、矢印の向きは通信の方向を示している。
次に、逆伝搬確率算出部11は、シナリオ情報データベース13から、指定されているシナリオを取得する。そして、逆伝搬確率算出部11は、抽出した通信ログ毎に、sourceとdestinationとを入れ替え、入れ替えた状態の通信ログを、取得したシナリオの重み付けルールセットに適用して、逆伝搬確率を算出する。これにより、図6(c)に示すように、感染ノードが感染した時刻より過去において、感染ノードと通信を行った他のノード毎に、逆伝搬確率が算出される。
例えば、シナリオとして、「WinRM / 短期 / ルール1」が指定されているとする。このシナリオにおいて、潜在時間は1時間であり、重み付けルールセットは「if session dst port = 5985 || = 5986 ; edge weight = 0.7;else edge weight=0.2」である。
この場合、逆伝搬確率算出部11は、感染ノードがマルウェアに感染した時刻Tから過去1時間以内の通信ログを抽出し、抽出した通信ログにおいて、受信ノードと送信ノードとの情報を入れ替える。具体的には、逆伝搬確率算出部11は、「SrcIP」と「DstIP」とを入れ替え、更に、「SrcPort」と「DstPort」とを入れ替える。なお、通信ログに、仮に、オペレーティングシステム、機器、ソフトウェアの情報が含まれている場合は、これらの情報も入れ替えられる。
そして、逆伝搬確率算出部11は、入れ替えが済んだ通信ログを、シナリオ「WinRM / 短期 / ルール1」の重み付けルールセットに当てはめて、逆伝搬確率を算出する。結果、「DstPort」が5985又は5986となるノードの逆伝搬確率は0.7と算出され、そうでないノードの逆伝搬確率は0.2と算出される。この結果、図6(c)に示すように、情報伝搬モデルが構築される。
次に、図6(d)に示すように、シミュレーション実行部12は、感染ノード以外の他のノード毎に、図6(c)に示す情報伝搬モデルを用いて、例えば100回のシミュレーションを実行し、シミュレーションにおいて、他のノードが感染ノードにマルウェアを伝搬させた逆伝搬回数を算出する。
具体的には、シミュレーションの実行回数が100であるので、シミュレーション実行部12は、t=0,1,2,・・100までのそれぞれ毎に、各ノードの逆伝搬確率に基づいて、各ノードが感染ノードをマルウェアに感染させたかどうかを判定し、マルウェアに感染させたと判定した回数を逆伝搬回数とする。
また、シミュレーション実行部12は、算出されたノード毎の逆伝搬回数を、例えば、ネットワークシステム20の管理者が使用する端末装置の画面上に表示する。この結果、ネットワークシステム20の管理者は、表示された各ノードの結果から、マルウェアの影響を受けた範囲を推定することができる。
[装置動作]
次に、本発明の実施の形態1における影響範囲推定装置10の動作について図7を用いて説明する。図7は、本発明の実施の形態1における影響範囲推定装置の動作を示すフロー図である。以下の説明においては、適宜図1~図6を参酌する。また、本実施の形態1では、影響範囲推定装置10を動作させることによって、影響範囲推定方法が実施される。よって、本実施の形態1における影響範囲推定方法の説明は、以下の影響範囲推定装置10の動作説明に代える。
図7に示すように、最初に、逆伝搬確率算出部11は、管理装置23から送信されてきた感染情報を取得し、取得した感染情報から、マルウェアに感染した感染ノードを特定する(ステップA1)。また、ステップA1では、逆伝搬確率算出部11は、感染ノードがマルウェアに感染した感染時刻も特定する。
次に、逆伝搬確率算出部11は、通信履歴データベース14に格納されている通信履歴に基づいて、感染時刻より過去の通信ログを抽出する(ステップA2)。また、ステップA2では、逆伝搬確率算出部11は、抽出した通信ログにおける通信の方向、即ち、sourceとdestinationとを特定する。
次に、逆伝搬確率算出部11は、ステップA2で抽出した通信ログにおける通信の方向を入れ替え、その状態で、指定されているシナリオの重み付けルールセットを適用して、感染ノード以外の他のノード毎に、逆伝搬確率を算出する(ステップA3)。
次に、シミュレーション実行部12は、感染ノード以外の他のノード毎に、ステップA3で算出された逆伝搬確率を用いて、感染ノードにマルウェアが伝搬されるシミュレーションを設定回数実行する。そして、シミュレーション実行部12は、シミュレーションの結果から、他のノード毎に、シミュレーションにおいて、そのノードが感染ノードにマルウェアを伝搬させた逆伝搬回数を算出する(ステップA4)。
その後、シミュレーション実行部12は、ステップA4で算出されたノード毎の逆伝搬回数を、例えば、ネットワークシステム20の管理者が使用する端末装置の画面上に表示する(ステップA5)。ステップA5の実行により、影響範囲推定装置10における処理は一旦終了するが、新たに別のノードがマルウェアに感染すると、再度ステップA1が実行される。
[実施の形態1における効果]
以上のように、本実施の形態1では、影響範囲推定装置10は、あるノードが感染ノードになると、シミュレーションを実行して、それ以外の他のノード毎に逆伝搬回数を算出し、算出した逆伝搬回数を、ネットワークシステム20の管理者に提示する。このため、ネットワークシステム20の管理者は、表示された回数から、マルウェアの影響を受けた範囲を推定することができる。本実施の形態によれば、ネットワークシステムにマルウェアが侵入した際に、管理者に負担をかけることなく、管理者がマルウェアの影響を受けた範囲を推定する際の精度の向上を図ることができる。
[プログラム]
本実施の形態に1おけるプログラムは、コンピュータに、図7に示すステップA1~A5を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態1における影響範囲推定装置10と影響範囲推定方法とを実現することができる。この場合、コンピュータのプロセッサは、逆伝搬確率算出部11、及びシミュレーション実行部12として機能し、処理を行なう。
また、本実施の形態1では、シナリオ情報データベース13及び通信履歴データベース14は、コンピュータに備えられたハードディスク等の記憶装置に、これらを構成するデータファイルを格納することによって実現できる。
更に、本実施の形態1におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されても良い。この場合は、例えば、各コンピュータが、それぞれ、逆伝搬確率算出部11、及びシミュレーション実行部12のいずれかとして機能しても良い。また、シナリオ情報データベース13及び通信履歴データベース14は、本実施の形態1におけるプログラムを実行するコンピュータとは別のコンピュータ上に構築されていても良い。
(実施の形態2)
次に、本発明の実施の形態2における、影響範囲推定装置、影響範囲推定方法、及びコンピュータ読み取り可能な記録媒体について、図8~図10を参照しながら説明する。
[装置構成]
最初に、本実施の形態2における影響範囲推定装置30の構成について説明する。図8は、本発明の実施の形態2における影響範囲推定装置の構成を示すブロック図である。
図8に示すように、本実施の形態2における影響範囲推定装置30は、逆伝搬確率算出部31と、シミュレーション実行部32と、シナリオ情報データベース33と、通信履歴データベース34とを備えている。これらは、実施の形態1において図3に示した、逆伝搬確率算出部11、シミュレーション実行部12、シナリオ情報データベース13、及び通信履歴データベース14と同様の機能を備えている。本実施の形態2における影響範囲推定装置30は、上記の点で、図3に示した実施の形態1における影響範囲推定装置10と同様である。
但し、本実施の形態2においては、影響範囲推定装置30は、上述の構成に加えて、伝搬確率算出部35と、スコア算出部36とを更に備えており、この点で、実施の形態1における影響範囲推定装置10と異なっている。以下、実施の形態1との相違点を中心に説明する。
伝搬確率算出部35は、特定のノードがマルウェアに感染した場合に、シナリオ情報と、マルウェアの感染後の通信ログとに基づいて、感染ノード以外の他のノード毎に、そのノードにマルウェアが伝搬する確率(以下「伝搬確率」と表記する。)を算出する。
具体的には、伝搬確率算出部35は、まず、管理装置23から送信されてきた感染情報を取得し、取得した感染情報から、マルウェアに感染したノード(以下「感染ノード」と表記する。)と、そのノードが感染した時刻(以下「感染時刻」と表記する。)とを特定する。
続いて、伝搬確率算出部35は、通信履歴データベース14に格納されている通信履歴から、感染時刻より未来の通信ログを抽出する。そして、伝搬確率算出部35は、抽出した通信ログに、シナリオ情報データベース13に格納されているシナリオ情報の重み付けルールセットを適用して、感染ノード以外の他のノード毎に、伝搬確率を算出する。算出された伝搬確率は、感染ノードがノード群にマルウェアを伝搬させた確率を示している。なお、本実施の形態2においても、シナリオ情報に含まれる複数のシナリオの中から、予め使用されるシナリオが指定されているものとする。
シミュレーション実行部32は、本実施の形態2では、逆伝搬回数の算出に加えて、感染ノード以外の他のノードがマルウェアの伝搬先となる回数(以下「伝搬回数」と表記する。)の算出も実行する。具体的には、シミュレーション実行部32は、算出された伝搬確率を用いて、感染ノードから他のノードにマルウェアが伝搬するシミュレーションを複数回実行し、伝搬確率が算出された他のノード毎に、伝搬回数を算出する。
ここで、図9を用いて、伝搬確率算出部35及びシミュレーション実行部32による処理を具体的に説明する。図9(a)~(d)は、本発明の実施の形態2における伝搬確率及び伝搬回数の算出処理の一例を説明する図であり、それぞれ、一連の主なステップを示している。また、図9(a)~(d)において、円形の図形は、各ノードを示している。
図9(a)に示すように、管理装置23が感染情報を送信すると、伝搬確率算出部35は、逆伝搬確率算出部31と同様に、送信されてきた感染情報に基づいて、マルウェアに感染している感染ノード及び感染時刻を特定する。なお、感染ノード及び感染時刻の特定は、逆伝搬確率算出部31と伝搬確率算出部35とのうち一方のみが実行し、他方は、一方から、特定された感染ノード及び感染時刻の情報を取得しても良い。
次に、図9(b)に示すように、伝搬確率算出部35は、通信履歴データベース34に格納されている通信履歴に基づいて、感染ノードの感染時刻より未来における通信ログを抽出する。図9(b)においても、矢印の向きは通信の方向を示している。
次に、伝搬確率算出部35は、シナリオ情報データベース33から、指定されているシナリオを取得する。そして、伝搬確率算出部35は、抽出した通信ログ毎に、取得したシナリオの重み付けルールセットに適用して、伝搬確率を算出する。これにより、図9(c)に示すように、感染ノードが感染した時刻より未来において、感染ノードと通信を行った他のノード毎に、伝搬確率が算出される。
例えば、シナリオとして、実施の形態1の図6の例と同様に、「WinRM / 短期 / ルール1」が指定されているとする。このシナリオにおいて、潜在時間は1時間であり、重み付けルールセットは「if session dst port = 5985 || = 5986 ; edge weight = 0.7;else edge weight=0.2」である。
この場合、伝搬確率算出部35は、感染ノードがマルウェアに感染した時刻Tから1時間以降の通信ログを抽出する。そして、伝搬確率算出部35は、抽出した通信ログを、シナリオ「WinRM / 短期 / ルール1」の重み付けルールセットに当てはめて、伝搬確率を算出する。結果、「DstPort」が5985又は5986となるノードの伝搬確率は0.7と算出され、そうでないノードの逆伝搬確率は0.2と算出される。この結果、図9(c)に示すように、情報伝搬モデルが構築される。
次に、図9(d)に示すように、シミュレーション実行部32は、感染ノード以外の他のノード毎に、図9(c)に示す情報伝搬モデルを用いて、例えば100回のシミュレーションを実行し、シミュレーションにおいて、感染ノードが他のノードにマルウェアを伝搬させた伝搬回数を算出する。
具体的には、シミュレーションの実行回数が100であるので、シミュレーション実行部32は、t=0,1,2,・・100までのそれぞれ毎に、各ノードの伝搬確率に基づいて、各ノードに感染ノードがマルウェアを感染させたかどうかを判定し、マルウェアに感染させたと判定した回数を伝搬回数とする。
スコア算出部36は、感染ノード以外の他のノード毎に、逆伝搬回数と伝搬回数とを用いて、スコアSを算出する。具体的には、ノードの識別子をi(iは任意の自然数)、「逆伝搬回数/シミュレーション実行回数」をS(i)、「伝搬回数/シミュレーション実行回数」をS(i)とすると、スコア算出部36は、下記の数1又は数2を用いて、スコアSを算出する。なお、数1は、逆伝搬回数と伝搬回数との平均値に基づいてスコアを算出する場合に用いられる。数2は、重みα(∈[0,1])を付与してスコアを算出する場合に用いられる。
Figure 0007099533000001
Figure 0007099533000002
[装置動作]
次に、本発明の実施の形態2における影響範囲推定装置30の動作について図10を用いて説明する。図10は、本発明の実施の形態2における影響範囲推定装置の動作を示すフロー図である。以下の説明においては、適宜図8及び9を参酌する。また、本実施の形態2では、影響範囲推定装置30を動作させることによって、影響範囲推定方法が実施される。よって、本実施の形態2における影響範囲推定方法の説明は、以下の影響範囲推定装置30の動作説明に代える。
図10に示すように、最初に、逆伝搬確率算出部31は、管理装置23から送信されてきた感染情報を取得し、取得した感染情報から、マルウェアに感染した感染ノードを特定する(ステップB1)。また、ステップB1では、逆伝搬確率算出部31は、感染ノードがマルウェアに感染した感染時刻も特定する。ステップB1は、図7に示したステップA1と同様のステップである。
次に、逆伝搬確率算出部31は、通信履歴データベース34に格納されている通信履歴に基づいて、感染時刻より過去の通信ログを抽出する(ステップB2)。また、ステップB2では、逆伝搬確率算出部31は、抽出した通信ログにおける通信の方向、即ち、sourceとdestinationとを特定する。ステップB2は、図7に示したステップA2と同様のステップである。
次に、逆伝搬確率算出部31は、ステップB2で抽出した通信ログにおける通信の方向を入れ替え、その状態で、指定されているシナリオの重み付けルールセットを適用して、感染ノード以外の他のノード毎に、逆伝搬確率を算出する(ステップB3)。ステップB3は、図7に示したステップA3と同様のステップである。
次に、シミュレーション実行部32は、感染ノード以外の他のノード毎に、ステップB3で算出された逆伝搬確率を用いて、感染ノードにマルウェアが伝搬されるシミュレーションを設定回数実行する。そして、シミュレーション実行部32は、シミュレーションの結果から、他のノード毎に、シミュレーションにおいて、そのノードが感染ノードにマルウェアを伝搬させた逆伝搬回数を算出する(ステップB4)。ステップB4は、図7に示したステップA4と同様のステップである。
次に、伝搬確率算出部35は、ステップB1で特定された感染ノード及び感染時刻の情報を受け取り、通信履歴データベース34に格納されている通信履歴に基づいて、感染時刻より未来の通信ログを抽出する(ステップB5)。
次に、伝搬確率算出部35は、ステップB5で抽出した通信ログに、指定されているシナリオの重み付けルールセットを適用して、感染ノード以外の他のノード毎に、伝搬確率を算出する(ステップB6)。
次に、シミュレーション実行部32は、感染ノード以外の他のノード毎に、ステップB6で算出された伝搬確率を用いて、感染ノードから他のノードにマルウェアが伝搬されるシミュレーションを設定回数実行する。そして、シミュレーション実行部32は、シミュレーションの結果から、他のノード毎に、シミュレーションにおいて、そのノードに感染ノードからマルウェアが伝搬した伝搬回数を算出する(ステップB7)。
次に、スコア算出部36は、感染ノード以外の他のノード毎に、ステップB4で算出した逆伝搬回数とステップB7で算出した伝搬回数とを用いて、スコアSを算出する(ステップB8)。
その後、スコア算出部36は、ステップB8で算出されたノード毎のスコアを、例えば、ネットワークシステム20の管理者が使用する端末装置の画面上に表示する(ステップB9)。ステップB9の実行により、影響範囲推定装置10における処理は一旦終了するが、新たに別のノードがマルウェアに感染すると、再度ステップB1が実行される。
[実施の形態2における効果]
以上のように、本実施の形態2では、影響範囲推定装置30は、あるノードが感染ノードになると、シミュレーションを実行して逆伝搬回数と伝搬回数とを算出し、更に、これらからスコアを算出して、ネットワークシステム20の管理者に提示する。このため、ネットワークシステム20の管理者は、表示された各スコアから、マルウェアの影響を受けた範囲を推定することができる。従って、本実施の形態2を用いた場合も、実施の形態1と同様に、ネットワークシステムにマルウェアが侵入した際に、管理者に負担をかけることなく、管理者がマルウェアの影響を受けた範囲を推定する際の精度の向上を図ることができる。
[プログラム]
本実施の形態に2おけるプログラムは、コンピュータに、図10に示すステップB1~B9を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態2における影響範囲推定装置30と影響範囲推定方法とを実現することができる。この場合、コンピュータのプロセッサは、逆伝搬確率算出部31、シミュレーション実行部32、伝搬確率算出部35、及びスコア算出部36として機能し、処理を行なう。
また、本実施の形態2では、シナリオ情報データベース33及び通信履歴データベース34は、コンピュータに備えられたハードディスク等の記憶装置に、これらを構成するデータファイルを格納することによって実現できる。
更に、本実施の形態2におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されても良い。この場合は、例えば、各コンピュータが、それぞれ、逆伝搬確率算出部31、シミュレーション実行部32、伝搬確率算出部35、及びスコア算出部36のいずれかとして機能しても良い。また、シナリオ情報データベース33及び通信履歴データベース34は、本実施の形態2におけるプログラムを実行するコンピュータとは別のコンピュータ上に構築されていても良い。
(実施の形態3)
次に、本発明の実施の形態3における、影響範囲推定装置、影響範囲推定方法、及びコンピュータ読み取り可能な記録媒体について、図11~図13を参照しながら説明する。
[装置構成]
最初に、本実施の形態3における影響範囲推定装置40の構成について説明する。図11は、本発明の実施の形態3における影響範囲推定装置の構成を示すブロック図である。
図11に示すように、本実施の形態3における影響範囲推定装置40は、逆伝搬確率算出部41と、シミュレーション実行部42と、シナリオ情報データベース43と、通信履歴データベース44と、伝搬確率算出部45と、スコア算出部46とを備えている。これらは、実施の形態2において、図8に示した、逆伝搬確率算出部31、シミュレーション実行部32、シナリオ情報データベース33、通信履歴データベース34、伝搬確率算出部35、及びスコア算出部36と同様の機能を備えている。本実施の形態3における影響範囲推定装置40は、上記の点で、図8に示した実施の形態2における影響範囲推定装置30と同様である。
但し、本実施の形態3においては、影響範囲推定装置40は、上述の構成に加えて、シナリオ選択部47を更に備えており、この点で、実施の形態2における影響範囲推定装置30と異なっている。以下、実施の形態2との相違点を中心に説明する。
まず、図4に示すように、本実施の形態3においても、シナリオ情報は、マルウェアによる攻撃のパターン毎の複数のシナリオを含んでいる。シナリオ選択部47は、この場合において機能する。
シナリオ選択部47は、まず、管理装置23から、マルウェアに感染している感染ノードを特定する感染情報を取得する。次いで、シナリオ選択部47は、取得した感染情報を用いて、シナリオ毎に、それがマルウェアによる現実の攻撃のパターンに適合する可能性を、シナリオ適合スコアとして算出する。
そして、シナリオ選択部47は、算出したシナリオ適合スコアが最も高いシナリオを適合シナリオとして選択する。また、本実施の形態3では、逆伝搬確率算出部41及び伝搬確率算出部45は、シナリオ選択部47によって選択されたシナリオを用いて算出処理を実行する。
ここで、図12を用いて、シナリオ選択部47による処理を具体的に説明する。図12は、本実施の形態3においてシナリオの選択処理を説明するための図である。図12においては、ネットワークシステム20を構成するノードのうち、一部については管理装置23によって観測が行われ、マルウェアに感染しているかどうかが判定されている。この場合、管理装置23は、観測を行った各ノードにおけるマルウェアの感染の有無を示す感染情報を、影響範囲推定装置40に送信する。
シナリオ選択部47は、感染情報が送信されてくると、まず、用意されている複数のシナリオのうちの1つを選択する。次に、シナリオ選択部47は、観測されているノードの範囲内で、選択されたシナリオ用いて、逆伝搬確率算出部41、伝搬確率算出部45、シミュレーション実行部42、及びスコア算出部46に処理を実行させて、各ノードのスコアを算出させる。また、この場合、シナリオ選択部47は、ランダムに観測されたノードを選択し、選択したノードについてのみスコアを算出させることもできる。更に、シナリオ選択部47は、未だ選択していない残りのシナリオについても同様の処理を行ってスコアを算出する。
次に、シナリオ選択部47は、シナリオ毎に、各ノードのスコアを下記の数3に適用して、シナリオ適合スコアDCGを算出する。そして、シナリオ選択部47は、シナリオ適合スコアDCGが最も高いシナリオを適合シナリオとして選択する。なお、Pは、観測されているノードの数を示している。「rel」は、感染しているノードの場合は「1」となり、感染していないノードの場合は「0」となる。
Figure 0007099533000003
[装置動作]
次に、本発明の実施の形態3における影響範囲推定装置40の動作について図13を用いて説明する。図13は、本発明の実施の形態3における影響範囲推定装置の動作を示すフロー図である。以下の説明においては、適宜図11及び12を参酌する。また、本実施の形態3では、影響範囲推定装置40を動作させることによって、影響範囲推定方法が実施される。よって、本実施の形態3における影響範囲推定方法の説明は、以下の影響範囲推定装置40の動作説明に代える。
図13に示すように、最初に、シナリオ選択部47は、管理装置23から、マルウェアに感染している感染ノードを特定する感染情報を取得する(ステップC1)。次に、シナリオ選択部47は、シナリオ情報データベースに格納されているシナリオ情報から、1つのシナリオを選択する(ステップC2)。
次に、シナリオ選択部47は、ステップC2で選択したシナリオと、ステップC1で取得した感染情報とを用いて、シナリオ適合スコアを算出する(ステップC3)。具体的には、ステップC3では、シナリオ選択部47は、観測されているノードの範囲内で、ステップC2で選択したシナリオ用いて、逆伝搬確率算出部41、伝搬確率算出部45、シミュレーション実行部42、及びスコア算出部46に処理を実行させて、各ノードのスコアを算出させる。更に、シナリオ選択部47は、各ノードのスコアを上記数3に適用して、シナリオ適合スコアを算出する。
次に、シナリオ選択部47は、シナリオ情報データベースに格納されている全シナリオについて処理が終了しているかどうかを判定する(ステップC4)。ステップC4の判定の結果、シナリオ情報データベースに格納されている全シナリオについて処理が終了していない場合は、シナリオ選択部47は、再度ステップC2を実行する。
一方、ステップC4の判定の結果、シナリオ情報データベースに格納されている全シナリオについて処理が終了している場合は、シナリオ適合スコアが最も高いシナリオを特定し、特定したシナリオを適合シナリオとして選択する(ステップC5)。
ステップC5が終了すると、逆伝搬確率算出部41、シミュレーション実行部42、伝搬確率算出部45、及びスコア算出部46によって、上記ステップC5で選択された適合シナリオを用いて、実施の形態2において図10に示したステップB1~B9が実行される。
[実施の形態3における効果]
以上のように、本実施の形態3では、適切なシナリオが自動的に選択されるので、ネットワークシステムの管理者における負担がよりいっそう軽減される。また、本実施の形態3においても、実施の形態2と同様の効果を得ることができる。
[プログラム]
本実施の形態に3おけるプログラムは、コンピュータに、図10に示すステップB1~B9、図13に示すステップC1~C5を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態3における影響範囲推定装置40と影響範囲推定方法とを実現することができる。この場合、コンピュータのプロセッサは、逆伝搬確率算出部41、シミュレーション実行部42、伝搬確率算出部45、スコア算出部46、及びシナリオ選択部47として機能し、処理を行なう。
また、本実施の形態3では、シナリオ情報データベース43及び通信履歴データベース44は、コンピュータに備えられたハードディスク等の記憶装置に、これらを構成するデータファイルを格納することによって実現できる。
更に、本実施の形態3におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されても良い。この場合は、例えば、各コンピュータが、それぞれ、逆伝搬確率算出部41、シミュレーション実行部42、伝搬確率算出部45、スコア算出部46、及びシナリオ選択部47のいずれかとして機能しても良い。また、シナリオ情報データベース43及び通信履歴データベース44は、本実施の形態3におけるプログラムを実行するコンピュータとは別のコンピュータ上に構築されていても良い。
(物理構成)
ここで、実施の形態1~3におけるプログラムを実行することによって、影響範囲推定装置を実現するコンピュータについて図14を用いて説明する。図14は、本発明の実施の形態1~3における影響範囲推定装置を実現するコンピュータの一例を示すブロック図である。
図14に示すように、コンピュータ110は、CPU(Central Processing Unit)111と、メインメモリ112と、記憶装置113と、入力インターフェイス114と、表示コントローラ115と、データリーダ/ライタ116と、通信インターフェイス117とを備える。これらの各部は、バス121を介して、互いにデータ通信可能に接続される。なお、コンピュータ110は、CPU111に加えて、又はCPU111に代えて、GPU(Graphics Processing Unit)、又はFPGA(Field-Programmable Gate Array)を備えていても良い。
CPU111は、記憶装置113に格納された、本実施の形態におけるプログラム(コード)をメインメモリ112に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ112は、典型的には、DRAM(Dynamic Random Access Memory)等の揮発性の記憶装置である。また、本実施の形態におけるプログラムは、コンピュータ読み取り可能な記録媒体120に格納された状態で提供される。なお、本実施の形態におけるプログラムは、通信インターフェイス117を介して接続されたインターネット上で流通するものであっても良い。
また、記憶装置113の具体例としては、ハードディスクドライブの他、フラッシュメモリ等の半導体記憶装置が挙げられる。入力インターフェイス114は、CPU111と、キーボード及びマウスといった入力機器118との間のデータ伝送を仲介する。表示コントローラ115は、ディスプレイ装置119と接続され、ディスプレイ装置119での表示を制御する。
データリーダ/ライタ116は、CPU111と記録媒体120との間のデータ伝送を仲介し、記録媒体120からのプログラムの読み出し、及びコンピュータ110における処理結果の記録媒体120への書き込みを実行する。通信インターフェイス117は、CPU111と、他のコンピュータとの間のデータ伝送を仲介する。
また、記録媒体120の具体例としては、CF(Compact Flash(登録商標))及びSD(Secure Digital)等の汎用的な半導体記憶デバイス、フレキシブルディスク(Flexible Disk)等の磁気記録媒体、又はCD-ROM(Compact Disk Read Only Memory)などの光学記録媒体が挙げられる。
なお、本実施の形態1~3における影響範囲推定装置は、プログラムがインストールされたコンピュータではなく、各部に対応したハードウェアを用いることによっても実現可能である。更に、影響範囲推定装置は、一部がプログラムで実現され、残りの部分がハードウェアで実現されていてもよい。
上述した実施の形態の一部又は全部は、以下に記載する(付記1)~(付記15)によって表現することができるが、以下の記載に限定されるものではない。
(付記1)
複数のノードを有するネットワークシステムおいて、マルウェアの感染による影響の範囲を推定するための装置であって、
特定のノードが前記マルウェアに感染した場合に、前記マルウェアによる攻撃のパターンを特定するシナリオ情報と、前記マルウェアの感染前の前記ネットワークシステムにおける通信ログとに基づいて、前記特定のノード以外の他のノード毎に、当該他のノードから前記特定のノードに前記マルウェアが伝搬する確率を算出する、逆伝搬確率算出部と、
算出された前記確率を用いて、前記特定のノードに前記マルウェアが伝搬されるシミュレーションを複数回実行して、前記確率が算出された前記他のノード毎に、当該他のノードが前記マルウェアの伝搬元となる回数を算出する、シミュレーション実行部と、
を備えている、
ことを特徴とする影響範囲推定装置。
(付記2)
付記1に記載の影響範囲推定装置であって、
前記特定のノードが前記マルウェアに感染した場合に、前記シナリオ情報と、前記マルウェアの感染後の前記通信ログとに基づいて、前記他のノード毎に、当該他のノードに前記マルウェアが伝搬する第2の確率を算出する、伝搬確率算出部を更に備え、
前記シミュレーション実行部が、更に、算出された前記第2の確率を用いて、前記特定のノードから前記他のノードに前記マルウェアが伝搬するシミュレーションを複数回実行して、前記第2の確率が算出された前記他のノード毎に、当該他のノードが前記マルウェアの伝搬先となる回数を算出する、
ことを特徴とする影響範囲推定装置。
(付記3)
付記2に記載の影響範囲推定装置であって、
前記他のノード毎に、当該他のノードが前記マルウェアの伝搬元となる回数と、当該他のノードが前記マルウェアの伝搬先となる回数とを用いて、スコアを算出する、スコア算出部を更に備えている、
ことを特徴とする影響範囲推定装置。
(付記4)
付記2または3に記載の影響範囲推定装置であって、
前記シナリオ情報が、前記マルウェアによる攻撃のパターン毎の複数のシナリオを含む場合に、前記マルウェアに感染しているノードを特定する情報を取得し、
取得した前記情報を用いて、複数の前記シナリオそれぞれ毎に、当該シナリオが、前記マルウェアによる現実の攻撃のパターンに適合する可能性を、シナリオ適合スコアとして算出し、
算出した前記シナリオ適合スコアが最も高いシナリオを選択する、シナリオ選択部を更に備え、
前記逆伝搬確率算出部及び前記伝搬確率算出部が、選択された前記シナリオを用いる、
ことを特徴とする影響範囲推定装置。
(付記5)
付記1~4のいずれかに記載の影響範囲推定装置であって、
前記シナリオ情報が、前記マルウェアによる攻撃のパターンとして、前記マルウェアに感染したノードの送信先ポートを特定している、
ことを特徴とする影響範囲推定装置。
(付記6)
複数のノードを有するネットワークシステムおいて、マルウェアの感染による影響の範囲を推定するための方法であって、
(a)特定のノードが前記マルウェアに感染した場合に、前記マルウェアによる攻撃のパターンを特定するシナリオ情報と、前記マルウェアの感染前の前記ネットワークシステムにおける通信ログとに基づいて、前記特定のノード以外の他のノード毎に、当該他のノードから前記特定のノードに前記マルウェアが伝搬する確率を算出する、ステップと、
(b)算出された前記確率を用いて、前記特定のノードに前記マルウェアが伝搬されるシミュレーションを複数回実行して、前記確率が算出された前記他のノード毎に、当該他のノードが前記マルウェアの伝搬元となる回数を算出する、ステップと、
を有する、
ことを特徴とする影響範囲推定方法。
(付記7)
付記6に記載の影響範囲推定方法であって、
(c)前記特定のノードが前記マルウェアに感染した場合に、前記シナリオ情報と、前記マルウェアの感染後の前記通信ログとに基づいて、前記他のノード毎に、当該他のノードに前記マルウェアが伝搬する第2の確率を算出する、ステップと、
(d)算出された前記第2の確率を用いて、前記特定のノードから前記他のノードに前記マルウェアが伝搬するシミュレーションを複数回実行して、前記第2の確率が算出された前記他のノード毎に、当該他のノードが前記マルウェアの伝搬先となる回数を算出する、ステップと、
を更に有する、
ことを特徴とする影響範囲推定方法。
(付記8)
付記7に記載の影響範囲推定方法であって、
(e)前記他のノード毎に、当該他のノードが前記マルウェアの伝搬元となる回数と、当該他のノードが前記マルウェアの伝搬先となる回数とを用いて、スコアを算出する、ステップを更に有している、
ことを特徴とする影響範囲推定方法。
(付記9)
付記7または8に記載の影響範囲推定方法であって、
(f)前記シナリオ情報が、前記マルウェアによる攻撃のパターン毎の複数のシナリオを含む場合に、前記マルウェアに感染しているノードを特定する情報を取得し、
取得した前記情報を用いて、複数の前記シナリオそれぞれ毎に、当該シナリオが、前記マルウェアによる現実の攻撃のパターンに適合する可能性を、シナリオ適合スコアとして算出し、
算出した前記シナリオ適合スコアが最も高いシナリオを選択する、ステップを更に有し、
前記(a)のステップ及び前記(c)のステップにおいて、選択された前記シナリオを用いる、
ことを特徴とする影響範囲推定方法。
(付記10)
付記6~9のいずれかに記載の影響範囲推定方法であって、
前記シナリオ情報が、前記マルウェアによる攻撃のパターンとして、前記マルウェアに感染したノードの送信先ポートを特定している、
ことを特徴とする影響範囲推定方法。
(付記11)
コンピュータによって、複数のノードを有するネットワークシステムおいて、マルウェアの感染による影響の範囲を推定するための、プログラムであって、
前記コンピュータに、
(a)特定のノードが前記マルウェアに感染した場合に、前記マルウェアによる攻撃のパターンを特定するシナリオ情報と、前記マルウェアの感染前の前記ネットワークシステムにおける通信ログとに基づいて、前記特定のノード以外の他のノード毎に、当該他のノードから前記特定のノードに前記マルウェアが伝搬する確率を算出する、ステップと、
(b)算出された前記確率を用いて、前記特定のノードに前記マルウェアが伝搬されるシミュレーションを複数回実行して、前記確率が算出された前記他のノード毎に、当該他のノードが前記マルウェアの伝搬元となる回数を算出する、ステップと、
実行させる、プログラム。
(付記12)
付記11に記載のプログラムであって、
記コンピュータに、
(c)前記特定のノードが前記マルウェアに感染した場合に、前記シナリオ情報と、前記マルウェアの感染後の前記通信ログとに基づいて、前記他のノード毎に、当該他のノードに前記マルウェアが伝搬する第2の確率を算出する、ステップと、
(d)算出された前記第2の確率を用いて、前記特定のノードから前記他のノードに前記マルウェアが伝搬するシミュレーションを複数回実行して、前記第2の確率が算出された前記他のノード毎に、当該他のノードが前記マルウェアの伝搬先となる回数を算出する、ステップと、
更に実行させる、
ことを特徴とするプログラム
(付記13)
付記12に記載のプログラムであって、
記コンピュータに、
(e)前記他のノード毎に、当該他のノードが前記マルウェアの伝搬元となる回数と、当該他のノードが前記マルウェアの伝搬先となる回数とを用いて、スコアを算出する、ステップを更に実行させる、
ことを特徴とするプログラム
(付記14)
付記12または13に記載のプログラムであって、
記コンピュータに、
(f)前記シナリオ情報が、前記マルウェアによる攻撃のパターン毎の複数のシナリオを含む場合に、前記マルウェアに感染しているノードを特定する情報を取得し、
取得した前記情報を用いて、複数の前記シナリオそれぞれ毎に、当該シナリオが、前記マルウェアによる現実の攻撃のパターンに適合する可能性を、シナリオ適合スコアとして算出し、
算出した前記シナリオ適合スコアが最も高いシナリオを選択する、ステップを更に実行させ、
前記(a)のステップ及び前記(c)のステップにおいて、選択された前記シナリオを用いる、
ことを特徴とするプログラム
(付記15)
付記11~14のいずれかに記載のプログラムであって、
前記シナリオ情報が、前記マルウェアによる攻撃のパターンとして、前記マルウェアに感染したノードの送信先ポートを特定している、
ことを特徴とするプログラム
以上、実施の形態を参照して本願発明を説明したが、本願発明は上記実施の形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
以上のように、本発明によれば、ネットワークシステムにマルウェアが侵入した際に、管理者に負担をかけることなく、マルウェアの影響を受けた範囲を推定する際の精度の向上を図ることができる。本発明は、種々のネットワークシステムに有用である。
10 影響範囲推定装置(実施の形態1)
11 逆伝搬確率算出部
12 シミュレーション実行部
13 シナリオ情報データベース
14 通信履歴データベース
20 ネットワークシステム
21 スイッチ
22 ノード
23 管理装置
30 影響範囲推定装置(実施の形態2)
31 逆伝搬確率算出部
32 シミュレーション実行部
33 シナリオ情報データベース
34 通信履歴データベース
35 伝搬確率算出部
36 スコア算出部
40 影響範囲推定装置(実施の形態3)
41 逆伝搬確率算出部
42 シミュレーション実行部
43 シナリオ情報データベース
44 通信履歴データベース
45 伝搬確率算出部
46 スコア算出部
47 シナリオ選択部
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス

Claims (7)

  1. 複数のノードを有するネットワークシステムおいて、マルウェアの感染による影響の範囲を推定するための装置であって、
    特定のノードが前記マルウェアに感染した場合に、前記マルウェアによる攻撃のパターンを特定するシナリオ情報と、前記マルウェアの感染前の前記ネットワークシステムにおける通信ログとに基づいて、前記特定のノード以外の他のノード毎に、当該他のノードから前記特定のノードに前記マルウェアが伝搬する確率を算出する、逆伝搬確率算出部と、 算出された前記確率を用いて、前記特定のノードに前記マルウェアが伝搬されるシミュレーションを複数回実行して、前記確率が算出された前記他のノード毎に、当該他のノードが前記マルウェアの伝搬元となる回数を算出する、シミュレーション実行部と、
    を備えている、
    ことを特徴とする影響範囲推定装置。
  2. 請求項1に記載の影響範囲推定装置であって、
    前記特定のノードが前記マルウェアに感染した場合に、前記シナリオ情報と、前記マルウェアの感染後の前記通信ログとに基づいて、前記他のノード毎に、当該他のノードに前記マルウェアが伝搬する第2の確率を算出する、伝搬確率算出部を更に備え、
    前記シミュレーション実行部が、更に、算出された前記第2の確率を用いて、前記特定のノードから前記他のノードに前記マルウェアが伝搬するシミュレーションを複数回実行して、前記第2の確率が算出された前記他のノード毎に、当該他のノードが前記マルウェアの伝搬先となる回数を算出する、
    ことを特徴とする影響範囲推定装置。
  3. 請求項2に記載の影響範囲推定装置であって、
    前記他のノード毎に、当該他のノードが前記マルウェアの伝搬元となる回数と、当該他のノードが前記マルウェアの伝搬先となる回数とを用いて、スコアを算出する、スコア算出部を更に備えている、
    ことを特徴とする影響範囲推定装置。
  4. 請求項2または3に記載の影響範囲推定装置であって、
    前記シナリオ情報が、前記マルウェアによる攻撃のパターン毎の複数のシナリオを含む場合に、前記マルウェアに感染しているノードを特定する情報を取得し、
    取得した前記情報を用いて、複数の前記シナリオそれぞれ毎に、当該シナリオが、前記マルウェアによる現実の攻撃のパターンに適合する可能性を、シナリオ適合スコアとして算出し、
    算出した前記シナリオ適合スコアが最も高いシナリオを選択する、シナリオ選択部を更に備え、
    前記逆伝搬確率算出部及び前記伝搬確率算出部が、選択された前記シナリオを用いる、
    ことを特徴とする影響範囲推定装置。
  5. 請求項1~4のいずれかに記載の影響範囲推定装置であって、
    前記シナリオ情報が、前記マルウェアによる攻撃のパターンとして、前記マルウェアに感染したノードの送信先ポートを特定している、
    ことを特徴とする影響範囲推定装置。
  6. コンピュータが、複数のノードを有するネットワークシステムおける、マルウェアの感染による影響の範囲を推定するための方法であって、
    (a)特定のノードが前記マルウェアに感染した場合に、前記マルウェアによる攻撃のパターンを特定するシナリオ情報と、前記マルウェアの感染前の前記ネットワークシステムにおける通信ログとに基づいて、前記特定のノード以外の他のノード毎に、当該他のノードから前記特定のノードに前記マルウェアが伝搬する確率を算出する、ステップと、
    (b)算出された前記確率を用いて、前記特定のノードに前記マルウェアが伝搬されるシミュレーションを複数回実行して、前記確率が算出された前記他のノード毎に、当該他のノードが前記マルウェアの伝搬元となる回数を算出する、ステップと、
    を有する、
    ことを特徴とする影響範囲推定方法。
  7. コンピュータによって、複数のノードを有するネットワークシステムおいて、マルウェアの感染による影響の範囲を推定するための、プログラムであって、
    前記コンピュータに、
    (a)特定のノードが前記マルウェアに感染した場合に、前記マルウェアによる攻撃のパターンを特定するシナリオ情報と、前記マルウェアの感染前の前記ネットワークシステムにおける通信ログとに基づいて、前記特定のノード以外の他のノード毎に、当該他のノードから前記特定のノードに前記マルウェアが伝搬する確率を算出する、ステップと、
    (b)算出された前記確率を用いて、前記特定のノードに前記マルウェアが伝搬されるシミュレーションを複数回実行して、前記確率が算出された前記他のノード毎に、当該他のノードが前記マルウェアの伝搬元となる回数を算出する、ステップと、
    実行させる、プログラム。
JP2020547647A 2018-09-25 2018-09-25 影響範囲推定装置、影響範囲推定方法、及びプログラム Active JP7099533B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2018/035512 WO2020065737A1 (ja) 2018-09-25 2018-09-25 影響範囲推定装置、影響範囲推定方法、及びコンピュータ読み取り可能な記録媒体

Publications (2)

Publication Number Publication Date
JPWO2020065737A1 JPWO2020065737A1 (ja) 2021-08-30
JP7099533B2 true JP7099533B2 (ja) 2022-07-12

Family

ID=69950377

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020547647A Active JP7099533B2 (ja) 2018-09-25 2018-09-25 影響範囲推定装置、影響範囲推定方法、及びプログラム

Country Status (3)

Country Link
US (1) US11729208B2 (ja)
JP (1) JP7099533B2 (ja)
WO (1) WO2020065737A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2599375B (en) * 2020-09-29 2022-11-02 British Telecomm Malware infection mitigation of critical computer systems
JP7319326B2 (ja) * 2021-06-24 2023-08-01 株式会社日立製作所 ストレージシステム及びストレージシステムのファイル配置方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014087597A1 (ja) 2012-12-07 2014-06-12 キヤノン電子株式会社 ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム
JP2017211978A (ja) 2016-05-18 2017-11-30 株式会社日立製作所 業務処理システム監視装置および監視方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1528452A1 (en) 2003-10-27 2005-05-04 Alcatel Recursive virus detection, protection and disinfecting of nodes in a data network
KR100922582B1 (ko) * 2007-07-20 2009-10-21 한국전자통신연구원 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템 및방법
US8745703B2 (en) * 2008-06-24 2014-06-03 Microsoft Corporation Identifying exploitation of vulnerabilities using error report
JP6076881B2 (ja) 2013-11-13 2017-02-08 日本電信電話株式会社 評価方法及び評価装置
JP6461992B2 (ja) * 2014-11-05 2019-01-30 キヤノン電子株式会社 特定装置、その制御方法、及びプログラム
US9930065B2 (en) * 2015-03-25 2018-03-27 University Of Georgia Research Foundation, Inc. Measuring, categorizing, and/or mitigating malware distribution paths
JP6441725B2 (ja) 2015-03-26 2018-12-19 株式会社エヌ・ティ・ティ・データ ネットワーク情報出力システム及びネットワーク情報出力方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014087597A1 (ja) 2012-12-07 2014-06-12 キヤノン電子株式会社 ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム
JP2017211978A (ja) 2016-05-18 2017-11-30 株式会社日立製作所 業務処理システム監視装置および監視方法

Also Published As

Publication number Publication date
US20220038467A1 (en) 2022-02-03
WO2020065737A1 (ja) 2020-04-02
JPWO2020065737A1 (ja) 2021-08-30
US11729208B2 (en) 2023-08-15

Similar Documents

Publication Publication Date Title
US9129108B2 (en) Systems, methods and computer programs providing impact mitigation of cyber-security failures
JP5972401B2 (ja) 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム
US20210392152A1 (en) Intrusion detection using robust singular value decomposition
JP6312578B2 (ja) リスク評価システムおよびリスク評価方法
US20170006053A1 (en) Automatically preventing and remediating network abuse
US10320833B2 (en) System and method for detecting creation of malicious new user accounts by an attacker
CN109194684B (zh) 一种模拟拒绝服务攻击的方法、装置及计算设备
US20230362200A1 (en) Dynamic cybersecurity scoring and operational risk reduction assessment
JP2016143299A (ja) リスク評価システムおよびリスク評価方法
US11765196B2 (en) Attack scenario simulation device, attack scenario generation system, and attack scenario generation method
US11652824B2 (en) Trustworthiness evaluation of network devices
US20210133076A1 (en) System and method for detecting anomalies based on feature signature of task workflows
JP7099533B2 (ja) 影響範囲推定装置、影響範囲推定方法、及びプログラム
JP6282217B2 (ja) 不正プログラム対策システムおよび不正プログラム対策方法
JP7424470B2 (ja) 分析システム、方法およびプログラム
US10965693B2 (en) Method and system for detecting movement of malware and other potential threats
JP7207536B2 (ja) ルール生成装置、ルール生成方法、及びプログラム
US11516138B2 (en) Determining network flow direction
CN112910825B (zh) 一种蠕虫检测方法及网络设备
JP5592303B2 (ja) 実行環境構築装置および実行環境構築システム
CN113518086B (zh) 网络攻击预测的方法、装置及存储介质
JP6800744B2 (ja) ホワイトリスト作成装置
CN116235172A (zh) 使用安全度量对资产进行优先级排序
WO2020255359A1 (ja) セキュリティ訓練支援装置、セキュリティ訓練支援方法、及びコンピュータ読み取り可能な記録媒体
WO2020161780A1 (ja) 行動計画推定装置、行動計画推定方法、及びコンピュータ読み取り可能な記録媒体

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210315

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210315

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220322

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220518

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220531

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220613

R151 Written notification of patent or utility model registration

Ref document number: 7099533

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151