JP7170955B1 - 情報処理装置、情報処理方法及び情報処理プログラム - Google Patents
情報処理装置、情報処理方法及び情報処理プログラム Download PDFInfo
- Publication number
- JP7170955B1 JP7170955B1 JP2022553624A JP2022553624A JP7170955B1 JP 7170955 B1 JP7170955 B1 JP 7170955B1 JP 2022553624 A JP2022553624 A JP 2022553624A JP 2022553624 A JP2022553624 A JP 2022553624A JP 7170955 B1 JP7170955 B1 JP 7170955B1
- Authority
- JP
- Japan
- Prior art keywords
- access
- true
- attack
- normal
- positive
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
正常分類部(101)は、攻撃目的のアクセスであることが判明しており検知部(102)が攻撃目的のアクセスであると判定した真陽性アクセスを抽出する。修正部(107)は、正常なアクセスであることが判明しており検知部(102)が正常なアクセスであると判定した真陰性アクセスの特徴を用いて、真陽性アクセスの特徴を修正する。
Description
本開示は、攻撃検知技術に関する。
近年、特定の企業又は組織を狙った標的型攻撃が増加している。制御システムのネットワーク化に伴い、発電プラント、ガスプラント等の重要インフラストラクチャーへのサイバー攻撃が脅威となり、国家の安全保障を揺るがす重大な懸念事項となっている。
一方、セキュリティ監視の現場においては、専門的な知識を必要とするスタッフが不足していることが常態化してしまっている。そのため、少ないスタッフでもサイバー攻撃を高精度かつ効率よく検知することができる技術が必要である。
一方、セキュリティ監視の現場においては、専門的な知識を必要とするスタッフが不足していることが常態化してしまっている。そのため、少ないスタッフでもサイバー攻撃を高精度かつ効率よく検知することができる技術が必要である。
サイバー攻撃を監視する技術としては、ルールベースの検知技術が従来からよく知られている。ルールベースの検知技術では、既知の不正なパターンを検出するルール(シグネチャ)、又は攻撃手口又は攻撃者のふるまいを検知するルールが用いられる。
しかし、攻撃の高度化及び未知攻撃の増加により、あらかじめルールを定義することが困難となり、SOC(Security Operation Center)のスタッフを悩ましている。また、監視対象システムごとにルールを手作業で調整する必要があり、ルールベースの検知技術の限界が近づいている。このため、あらかじめルールを定義する必要のない、もしくは、正常と異常とを識別する境界が自動的に決められる高度な検知技術が望まれる。このような高度な検知技術を実現する技術として機械学習などのArtificial Intelligence(以下、AIと略す)が考えられる。AIはあらかじめ用意された複数のクラスのデータを学習し、クラス間を切り分ける境界を自動的に見つけ出す。クラスごとのデータを大量に用意することができれば、AIは適切に境界を見つけることができる。AIをサイバー攻撃の監視に応用することができれば、これまで専門的な知識やスキルを持つスタッフが行ってきたルールの定義及び更新をAIが代替してくれると期待される。
しかし、ネットワークセキュリティにおいては、AIで最も重要なクラスごとのデータを大量に用意することが困難であるという課題がある。攻撃の発生は稀であり、攻撃データを学習用に大量に用意することは非常に難しい。そのため攻撃データを何らかの方法で増やし学習に利用していく必要がある。
また、攻撃者の能力は日々高まっている。昨今の攻撃者は、攻撃対象の組織の情報をよく調査し、理解した上で、攻撃検知システムに気づかれないように攻撃を仕掛けてくる。内部犯行も増えており、攻撃対象の組織の情報を活用した巧妙な攻撃が今後増えてくると考えられる。検知を回避するために正常な状態によく似た特徴を持つよう巧妙に設計および開発された攻撃にも対応できるよう、攻撃データの巧妙さも必要となってくる。
検知を回避するような異常(攻撃)データを大量に用意することが困難であるという課題を解決するための技術として、検知を回避する攻撃サンプルを数多く自動生成することで、攻撃検知技術の精度向上につなげる技術が存在する。
しかし、攻撃の高度化及び未知攻撃の増加により、あらかじめルールを定義することが困難となり、SOC(Security Operation Center)のスタッフを悩ましている。また、監視対象システムごとにルールを手作業で調整する必要があり、ルールベースの検知技術の限界が近づいている。このため、あらかじめルールを定義する必要のない、もしくは、正常と異常とを識別する境界が自動的に決められる高度な検知技術が望まれる。このような高度な検知技術を実現する技術として機械学習などのArtificial Intelligence(以下、AIと略す)が考えられる。AIはあらかじめ用意された複数のクラスのデータを学習し、クラス間を切り分ける境界を自動的に見つけ出す。クラスごとのデータを大量に用意することができれば、AIは適切に境界を見つけることができる。AIをサイバー攻撃の監視に応用することができれば、これまで専門的な知識やスキルを持つスタッフが行ってきたルールの定義及び更新をAIが代替してくれると期待される。
しかし、ネットワークセキュリティにおいては、AIで最も重要なクラスごとのデータを大量に用意することが困難であるという課題がある。攻撃の発生は稀であり、攻撃データを学習用に大量に用意することは非常に難しい。そのため攻撃データを何らかの方法で増やし学習に利用していく必要がある。
また、攻撃者の能力は日々高まっている。昨今の攻撃者は、攻撃対象の組織の情報をよく調査し、理解した上で、攻撃検知システムに気づかれないように攻撃を仕掛けてくる。内部犯行も増えており、攻撃対象の組織の情報を活用した巧妙な攻撃が今後増えてくると考えられる。検知を回避するために正常な状態によく似た特徴を持つよう巧妙に設計および開発された攻撃にも対応できるよう、攻撃データの巧妙さも必要となってくる。
検知を回避するような異常(攻撃)データを大量に用意することが困難であるという課題を解決するための技術として、検知を回避する攻撃サンプルを数多く自動生成することで、攻撃検知技術の精度向上につなげる技術が存在する。
検知を回避する攻撃サンプルを生成する既存の技術として、特許文献1の技術および特許文献2の技術がある。
特許文献1では、セキュリティ製品の評価のために、正常な状態によく似た特徴を持つよう作られた巧妙な攻撃サンプルを自動的に生成する技術が開示されている。特許文献2では、セキュリティ製品の評価のために、本来検知すべきではない正常な事象を検知してしまう誤検知(False Positive:FP)と、本来検知すべき事象を検知しない検知漏れ(False Negative:FN)を自動生成する技術が開示されている。
両技術では、ともに、正常データのふるまいを学習した正常モデルの決定境界を越えるように攻撃の特徴ベクトルを変更していく。また、両技術では、境界を越えた特徴ベクトルに対応する特徴を持つように模擬環境上で攻撃を生成する。両技術によれば、環境、攻撃等の制約及び攻撃機能の有無等を確認することでリアリティのある巧妙な攻撃を生成することができる。
特許文献1では、セキュリティ製品の評価のために、正常な状態によく似た特徴を持つよう作られた巧妙な攻撃サンプルを自動的に生成する技術が開示されている。特許文献2では、セキュリティ製品の評価のために、本来検知すべきではない正常な事象を検知してしまう誤検知(False Positive:FP)と、本来検知すべき事象を検知しない検知漏れ(False Negative:FN)を自動生成する技術が開示されている。
両技術では、ともに、正常データのふるまいを学習した正常モデルの決定境界を越えるように攻撃の特徴ベクトルを変更していく。また、両技術では、境界を越えた特徴ベクトルに対応する特徴を持つように模擬環境上で攻撃を生成する。両技術によれば、環境、攻撃等の制約及び攻撃機能の有無等を確認することでリアリティのある巧妙な攻撃を生成することができる。
特許文献1の技術及び特許文献2の技術では、特徴空間上で検知システムの決定境界をまたぐように特徴ベクトルを修正し、検知を回避するサンプルを探索する。このため、特徴空間が非線形かつ高次元な攻撃検知技術には、これら技術を効率的に適用することが困難であった。
一般的に、高精度な攻撃検知システムになればなるほど、特徴空間が超高次元かつ非線形であり、特徴空間上の表現から実空間の情報に逆変換することは困難になる。それゆえ、特徴空間上で発見した検知を回避する攻撃サンプルから実空間上に存在するサンプルを取得することが困難であり、場当たり的で非効率な探索になると予想される。
一般的に、高精度な攻撃検知システムになればなるほど、特徴空間が超高次元かつ非線形であり、特徴空間上の表現から実空間の情報に逆変換することは困難になる。それゆえ、特徴空間上で発見した検知を回避する攻撃サンプルから実空間上に存在するサンプルを取得することが困難であり、場当たり的で非効率な探索になると予想される。
本開示は、以上に鑑み、実空間で実際に存在し得る、検知を回避する攻撃を効率的に探索できるようにすることを主な目的とする。
本開示に係る情報処理装置は、
攻撃目的のアクセスであることが判明しており攻撃検知システムが攻撃目的のアクセスであると判定した真陽性アクセスを抽出する抽出部と、
正常なアクセスであることが判明しており前記攻撃検知システムが正常なアクセスであると判定した真陰性アクセスの特徴を用いて、前記真陽性アクセスの特徴を修正する修正部とを有する。
攻撃目的のアクセスであることが判明しており攻撃検知システムが攻撃目的のアクセスであると判定した真陽性アクセスを抽出する抽出部と、
正常なアクセスであることが判明しており前記攻撃検知システムが正常なアクセスであると判定した真陰性アクセスの特徴を用いて、前記真陽性アクセスの特徴を修正する修正部とを有する。
本開示によれば、実空間で実際に存在し得る、検知を回避する攻撃を効率的に探索することができる。
以下、実施の形態を図を用いて説明する。以下の実施の形態の説明及び図面において、同一の符号を付したものは、同一の部分又は相当する部分を示す。
実施の形態1.
***概要***
***概要***
以下では、正常なアクセスである正常アクセスであることが判明しており、攻撃検知システムが正常アクセスであると判定したアクセスを真陰性アクセスという。
また、攻撃アクセスであることが判明しており、攻撃検知システムが攻撃アクセスであると判定したアクセスを真陽性アクセスという。
また、攻撃目的の攻撃アクセスであることが判明しているが、攻撃検知システムが誤って正常アクセスであると判定したアクセスを偽陰性アクセスという。偽陰性アクセスは、検知漏れを生じさせるアクセスである。
また、正常アクセスであることが判明しているが、攻撃検知システムが誤って攻撃アクセスであると判定したアクセスを偽陽性アクセスという。偽陽性アクセスは、誤検知を生じさせるアクセスである。
また、攻撃アクセスであることが判明しており、攻撃検知システムが攻撃アクセスであると判定したアクセスを真陽性アクセスという。
また、攻撃目的の攻撃アクセスであることが判明しているが、攻撃検知システムが誤って正常アクセスであると判定したアクセスを偽陰性アクセスという。偽陰性アクセスは、検知漏れを生じさせるアクセスである。
また、正常アクセスであることが判明しているが、攻撃検知システムが誤って攻撃アクセスであると判定したアクセスを偽陽性アクセスという。偽陽性アクセスは、誤検知を生じさせるアクセスである。
本実施の形態では、正常アクセスの特徴が示される正常ログと、攻撃アクセスの特徴が示される攻撃ログが用いられる。正常ログには、複数のフィールドが含まれており、各フィールドに正常アクセスの特徴を表す値が記述されている。同様に、攻撃ログには、正常ログと同じ複数のフィールドが含まれており、各フィールドに攻撃アクセスの特徴を表す値が記述されている。
そして、本実施の形態では、正常ログから真陰性アクセスのログを抽出し、攻撃ログから真陽性アクセスのログを抽出する。更に、本実施の形態では、真陰性アクセスの特徴を用いて、真陽性アクセスの特徴を修正する。本実施の形態では、特徴が修正された後の真陽性アクセスである修正真陽性アクセスを攻撃検知システムが正常なアクセスであると判定するように、真陽性アクセスの特徴を修正する。つまり、本実施の形態では、真陽性アクセスが偽陰性アクセスとなるように真陽性アクセスの特徴を修正する。このように、本実施の形態では、真陽性アクセスの特徴を修正することにより、攻撃検知システムによる検知を回避できる偽陰性アクセスの攻撃サンプルを得る。
そして、本実施の形態では、正常ログから真陰性アクセスのログを抽出し、攻撃ログから真陽性アクセスのログを抽出する。更に、本実施の形態では、真陰性アクセスの特徴を用いて、真陽性アクセスの特徴を修正する。本実施の形態では、特徴が修正された後の真陽性アクセスである修正真陽性アクセスを攻撃検知システムが正常なアクセスであると判定するように、真陽性アクセスの特徴を修正する。つまり、本実施の形態では、真陽性アクセスが偽陰性アクセスとなるように真陽性アクセスの特徴を修正する。このように、本実施の形態では、真陽性アクセスの特徴を修正することにより、攻撃検知システムによる検知を回避できる偽陰性アクセスの攻撃サンプルを得る。
***構成の説明***
図1は、本実施の形態に係る攻撃ログ生成装置100のハードウェア構成例を示す。また、図2は、本実施の形態に係る攻撃ログ生成装置100の機能構成例を示す。
本実施の形態に係る攻撃ログ生成装置100は、コンピュータである。攻撃ログ生成装置100は、情報処理装置に相当する。また、攻撃ログ生成装置100の動作手順は、情報処理方法に相当する。また、攻撃ログ生成装置100の動作を実現するプラグラムは、情報処理プログラムに相当する。
図1は、本実施の形態に係る攻撃ログ生成装置100のハードウェア構成例を示す。また、図2は、本実施の形態に係る攻撃ログ生成装置100の機能構成例を示す。
本実施の形態に係る攻撃ログ生成装置100は、コンピュータである。攻撃ログ生成装置100は、情報処理装置に相当する。また、攻撃ログ生成装置100の動作手順は、情報処理方法に相当する。また、攻撃ログ生成装置100の動作を実現するプラグラムは、情報処理プログラムに相当する。
図1に示すように、攻撃ログ生成装置100は、ハードウェアとして、プロセッサ901、主記憶装置902、補助記憶装置903、キーボード904、マウス905及びディスプレイ装置906を備える。
補助記憶装置903には、図2に示す正常分類部101、検知部102、攻撃生成部103、近傍抽出部104、傾向抽出部105及び特徴修正部106の機能を実現するプログラムが記憶されている。
これらプログラムは、補助記憶装置903から主記憶装置902にロードされる。そして、プロセッサ901がこれらプログラムを実行して、後述する正常分類部101、検知部102、攻撃生成部103、近傍抽出部104、傾向抽出部105及び特徴修正部106の動作を行う。
図3では、プロセッサ901が正常分類部101、検知部102、攻撃生成部103、近傍抽出部104、傾向抽出部105及び特徴修正部106の機能を実現するプログラムを実行している状態を模式的に表している。
また、図2に示す検知回避攻撃ログDB(Database)111、正常ログDB112、攻撃ログDB113、正常ログ統計情報DB114、真陰性正常ログDB115、近傍真陰性正常ログDB116及び真陰性正常ログ傾向DB117は、主記憶装置902又は補助記憶装置903により実現される。
キーボード904及びマウス905は、攻撃ログ生成装置100のユーザからの指示を受け付ける。ディスプレイ装置906は、攻撃ログ生成装置100のユーザに各種情報を表示する。
なお、図1には示していないが、攻撃ログ生成装置100は通信装置を備えていてもよい。
補助記憶装置903には、図2に示す正常分類部101、検知部102、攻撃生成部103、近傍抽出部104、傾向抽出部105及び特徴修正部106の機能を実現するプログラムが記憶されている。
これらプログラムは、補助記憶装置903から主記憶装置902にロードされる。そして、プロセッサ901がこれらプログラムを実行して、後述する正常分類部101、検知部102、攻撃生成部103、近傍抽出部104、傾向抽出部105及び特徴修正部106の動作を行う。
図3では、プロセッサ901が正常分類部101、検知部102、攻撃生成部103、近傍抽出部104、傾向抽出部105及び特徴修正部106の機能を実現するプログラムを実行している状態を模式的に表している。
また、図2に示す検知回避攻撃ログDB(Database)111、正常ログDB112、攻撃ログDB113、正常ログ統計情報DB114、真陰性正常ログDB115、近傍真陰性正常ログDB116及び真陰性正常ログ傾向DB117は、主記憶装置902又は補助記憶装置903により実現される。
キーボード904及びマウス905は、攻撃ログ生成装置100のユーザからの指示を受け付ける。ディスプレイ装置906は、攻撃ログ生成装置100のユーザに各種情報を表示する。
なお、図1には示していないが、攻撃ログ生成装置100は通信装置を備えていてもよい。
図2において、正常分類部101は、真陰性アクセスを抽出する。より具体的には、正常分類部101は、正常ログDB112内の正常ログから、検知部102により正常と判定された真陰性の正常ログを抽出する。正常ログには、複数のフィールドにおいて正常アクセスの特徴が記述されている。つまり、正常ログにより、正常アクセスが定義づけられる。このため、正常分類部101により抽出された真陰性の正常ログ(以下、真陰性正常ログという)により、真陰性アクセスが定義づけられる。正常分類部101は、抽出した真陰性正常ログを真陰性正常ログDB115に格納する。
また、正常分類部101は、攻撃ログから真陽性アクセスを抽出する。より具体的には、正常分類部101は、攻撃ログDB113内の攻撃ログから、検知部102により攻撃と判定された真陽性の攻撃ログを抽出する。攻撃ログには、攻撃生成部103により生成された攻撃アクセスの特徴が複数のフィールドにおいて記述されている。つまり、攻撃ログにより、攻撃アクセスが定義づけられる。このため、正常分類部101により抽出される真陽性の攻撃ログ(以下、真陽性攻撃ログという)により、真陽性アクセスが定義づけられる。正常分類部101は、抽出した真陽性攻撃ログを近傍抽出部104に出力する。
正常分類部101は、抽出部に相当する。また、正常分類部101により行われる処理は抽出処理に相当する。
また、正常分類部101は、攻撃ログから真陽性アクセスを抽出する。より具体的には、正常分類部101は、攻撃ログDB113内の攻撃ログから、検知部102により攻撃と判定された真陽性の攻撃ログを抽出する。攻撃ログには、攻撃生成部103により生成された攻撃アクセスの特徴が複数のフィールドにおいて記述されている。つまり、攻撃ログにより、攻撃アクセスが定義づけられる。このため、正常分類部101により抽出される真陽性の攻撃ログ(以下、真陽性攻撃ログという)により、真陽性アクセスが定義づけられる。正常分類部101は、抽出した真陽性攻撃ログを近傍抽出部104に出力する。
正常分類部101は、抽出部に相当する。また、正常分類部101により行われる処理は抽出処理に相当する。
検知部102は、攻撃検知システムとして機能する。
より具体的には、検知部102は、機械学習を利用して攻撃アクセスを検知する。前述したように、検知部102により正常と判定された正常ログは正常分類部101により真陰性正常ログとして真陰性正常ログDB115に格納される。また、検知部102により攻撃と判定された攻撃ログは正常分類部101により真陽性攻撃ログとして近傍抽出部104に出力される。
より具体的には、検知部102は、機械学習を利用して攻撃アクセスを検知する。前述したように、検知部102により正常と判定された正常ログは正常分類部101により真陰性正常ログとして真陰性正常ログDB115に格納される。また、検知部102により攻撃と判定された攻撃ログは正常分類部101により真陽性攻撃ログとして近傍抽出部104に出力される。
攻撃生成部103は、攻撃シナリオに従って攻撃アクセスを生成する。そして、攻撃生成部103は、攻撃アクセスの特徴を表すログを攻撃ログとして攻撃ログDB113に格納する。
近傍抽出部104、傾向抽出部105及び特徴修正部106をまとめて修正部107という。
修正部107は、正常分類部101により抽出された真陰性アクセスの特徴を用いて、正常分類部101により抽出された真陽性アクセスの特徴を修正する。より具体的には、修正部107は、特徴が修正された後の真陽性アクセスである修正真陽性アクセスを検知部102が正常アクセスであると判定するように、真陽性アクセスの特徴を修正する。また、修正部107は、修正真陽性アクセスを検知部102が攻撃アクセスであると判定した場合には、真陰性アクセスの特徴を用いて、修正真陽性アクセスの特徴を修正する。
修正部107により行われる処理は、修正処理に相当する。
修正部107は、正常分類部101により抽出された真陰性アクセスの特徴を用いて、正常分類部101により抽出された真陽性アクセスの特徴を修正する。より具体的には、修正部107は、特徴が修正された後の真陽性アクセスである修正真陽性アクセスを検知部102が正常アクセスであると判定するように、真陽性アクセスの特徴を修正する。また、修正部107は、修正真陽性アクセスを検知部102が攻撃アクセスであると判定した場合には、真陰性アクセスの特徴を用いて、修正真陽性アクセスの特徴を修正する。
修正部107により行われる処理は、修正処理に相当する。
近傍抽出部104は、真陰性正常ログDB115から、正常分類部101により抽出された真陽性攻撃ログの近傍の真陰性正常ログ(以下、近傍真陰性正常ログという)を抽出する。
より具体的には、近傍抽出部104は、真陰性正常ログDB115に含まれる真陰性正常ログのうち真陽性攻撃ログの特徴に近似する特徴を有する真陰性正常ログを近傍真陰性正常ログとして抽出する。
より具体的には、近傍抽出部104は、真陰性正常ログDB115に含まれる真陰性正常ログのうち真陽性攻撃ログの特徴に近似する特徴を有する真陰性正常ログを近傍真陰性正常ログとして抽出する。
傾向抽出部105は、真陽性攻撃ログに複数の特徴がある場合に、真陽性攻撃ログの複数の特徴の各々の重要度(feature importance)を算出する。傾向抽出部105は、真陰性アクセスと真陽性アクセスとを区別する度合いが高い特徴の重要度が高くなるように真陽性攻撃ログの複数の特徴の各々の重要度を算出する。
また、傾向抽出部105は、真陽性攻撃ログの複数の特徴から、重要度が選択条件に合致する特徴を選択する。
また、傾向抽出部105は、真陽性攻撃ログの複数の特徴から、重要度が選択条件に合致する特徴を選択する。
特徴修正部106は、傾向抽出部105により選択された真陽性攻撃ログの特徴を、真陰性正常ログの対応する特徴を用いて修正する。
そして、特徴修正部106は、修正後の真陽性攻撃ログを検知回避攻撃ログとして検知回避攻撃ログDB111に格納する。
そして、特徴修正部106は、修正後の真陽性攻撃ログを検知回避攻撃ログとして検知回避攻撃ログDB111に格納する。
検知回避攻撃ログDB111は、検知回避攻撃ログを記憶する。
正常ログDB112は、正常ログを記憶する。
攻撃ログDB113は、攻撃ログを記憶する。
正常ログ統計情報DB114は、正常ログの統計情報(以下、正常ログ統計情報という)を記憶する。
真陰性正常ログDB115は、真陰性正常ログを記憶する。
近傍真陰性正常ログDB116は、近傍抽出部104により抽出された、近傍真陰性正常ログを記憶する。
真陰性正常ログ傾向DB117は、近傍抽出部104により抽出された近傍真陰性正常ログの傾向(以下、真陰性正常ログ傾向という)を記憶する。
***動作の説明***
次に、図3を参照して、本実施の形態に係る攻撃ログ生成装置100の動作例を説明する。
次に、図3を参照して、本実施の形態に係る攻撃ログ生成装置100の動作例を説明する。
先ず、正常分類部101が正常ログから真陰性正常ログを抽出する(ステップS1_1)。
具体的には、正常ログDB112にあらかじめ蓄積されている大量の正常ログを検知部102が解析し、検知部102が、正常ログで定義されるアクセスが正常アクセスに該当するか攻撃アクセスに該当するかを判定する。そして、正常分類部101は、検知部102が正常アクセスと判定した正常ログを真陰性正常ログとして抽出する。
そして、正常分類部101は、抽出した真陰性正常ログを真陰性正常ログDB115に格納する。
具体的には、正常ログDB112にあらかじめ蓄積されている大量の正常ログを検知部102が解析し、検知部102が、正常ログで定義されるアクセスが正常アクセスに該当するか攻撃アクセスに該当するかを判定する。そして、正常分類部101は、検知部102が正常アクセスと判定した正常ログを真陰性正常ログとして抽出する。
そして、正常分類部101は、抽出した真陰性正常ログを真陰性正常ログDB115に格納する。
次に、攻撃生成部103が攻撃を実行し、攻撃ログを生成する(ステップS1_2)。
つまり、攻撃生成部103が攻撃アクセスを行い、攻撃アクセスの特徴が示される攻撃ログを生成する。そして、攻撃生成部103は、生成した攻撃ログを攻撃ログDB113に格納する。
つまり、攻撃生成部103が攻撃アクセスを行い、攻撃アクセスの特徴が示される攻撃ログを生成する。そして、攻撃生成部103は、生成した攻撃ログを攻撃ログDB113に格納する。
次に、検知部102が、攻撃ログを解析し、攻撃ログで定義されるアクセスが正常アクセスに該当するか攻撃アクセスに該当するかを判定する(ステップS1_3)。
検知部102が攻撃ログで定義されるアクセスを正常アクセスに該当すると判定した場合(ステップS1_3でNO)は、処理がステップS1_8に進む。
ステップS1_8では、検知部102が正常アクセスに該当すると判定したアクセスは、検知部102の検知を回避できる攻撃アクセス(偽陰性アクセス)であるため、正常分類部101が、該当する真陽性攻撃ログを検知回避攻撃ログとして検知回避攻撃ログDB111に格納する。
一方、検知部102が攻撃ログで定義されるアクセスを攻撃アクセスに該当すると判定した場合(ステップS1_3でYES)は、処理がステップS1_4に進む。つまり、検知部102が攻撃アクセスに該当すると判定したアクセスは、検知部102で検知される攻撃アクセス(真陽性アクセス)である。このため、検知部102の検知を回避できるように真陽性攻撃ログの特徴を修正する必要がある。
ステップS1_4では、近傍抽出部104が、近傍真陰性正常ログを抽出する。つまり、近傍抽出部104が、ステップS1_3により得られた攻撃ログ(真陽性攻撃ログ)の近傍の真陰性正常ログを真陰性正常ログDB115から抽出する。
ステップS1_4の詳細は後述する。
ステップS1_4の詳細は後述する。
次に、傾向抽出部105が、ステップS1_4で取得された近傍真陰性正常ログの特徴の傾向を算出する(ステップS1_5)。
次に、特徴修正部106が、真陽性攻撃ログに近傍真陰性正常ログの特徴の傾向が含まれるように真陽性攻撃ログを修正する(ステップS1_6)。
つまり、特徴修正部106は、傾向抽出部105により算出された近傍真陰性正常ログの特徴の傾向が多く含まれるように真陽性攻撃ログの各フィールドを修正する。
つまり、特徴修正部106は、傾向抽出部105により算出された近傍真陰性正常ログの特徴の傾向が多く含まれるように真陽性攻撃ログの各フィールドを修正する。
次に、検知部102が、特徴修正部106により修正された後の真陽性攻撃ログ(修正真陽性攻撃ログ)で定義されるアクセス(修正真陽性アクセス)が正常アクセスに該当するか攻撃アクセスに該当するかを判定する(ステップS1_7)。
検知部102が修正真陽性アクセスが正常アクセスに該当すると判定した場合(ステップS1_7でNO)は、正常分類部101が修正真陽性攻撃ログを検知回避攻撃ログとして検知回避攻撃ログDB111に格納する(ステップS1_8)。
修正真陽性攻撃ログに基づく修正真陽性アクセスを検知部102は攻撃として検知できないので、修正真陽性アクセスは攻撃検知システムの検知を回避可能な攻撃アクセスである。このため、正常分類部101は、修正真陽性攻撃ログを検知回避攻撃ログとして検知回避攻撃ログDB111に格納する。
修正真陽性攻撃ログに基づく修正真陽性アクセスを検知部102は攻撃として検知できないので、修正真陽性アクセスは攻撃検知システムの検知を回避可能な攻撃アクセスである。このため、正常分類部101は、修正真陽性攻撃ログを検知回避攻撃ログとして検知回避攻撃ログDB111に格納する。
一方、検知部102が修正真陽性アクセスが攻撃アクセスに該当すると判定した場合(ステップS1_7でYES)は、処理がステップS1_6に戻る。そして、特徴修正部106が更に修正真陽性攻撃ログを近傍真陰性正常ログの特徴を用いて修正する(ステップS1_6)。
以上が攻撃ログ生成装置100の動作のおおまかな流れである。
以下では、正常分類部101、検知部102、攻撃生成部103、近傍抽出部104、傾向抽出部105及び特徴修正部106の動作の詳細を説明する。
以下では、正常分類部101、検知部102、攻撃生成部103、近傍抽出部104、傾向抽出部105及び特徴修正部106の動作の詳細を説明する。
正常分類部101は、正常ログDB112にあらかじめ用意している大量の正常ログの正常/異常を検知部102に判定させる。検知部102は、正常ログが正常か異常かを判定する。つまり、検知部102は、正常ログに記述される特徴が正常アクセスの特徴に該当するか、攻撃アクセスの特徴に該当するかを判定する。
正常分類部101は、検知部102による判定において正常と判定された正常ログを真陰性正常ログとして抽出する。そして、正常分類部101は、抽出した真陰性正常ログを真陰性正常ログDB115に格納する。このとき、正常分類部101は、正常ログのカテゴリデータ(ドメイン、メソッド、ステータスコードなど)に対し、カテゴリデータごとに、ユニークな値の出現頻度及びパーセンタイルを算出する。そして、正常分類部101は、ユニークな値とパーセンタイルとのペアで構成される辞書を正常ログ統計情報として正常ログ統計情報DB114に格納する。パーセンタイルは、ユニークな値の出現頻度を小さいほうから順番に並べ、当該ユニークな値が何パーセント目にあたるかを示す指標である。正常分類部101は、ユニークな値とパーセンタイルとのペアに代えて、ユニークな値と出現頻度のペアで構成される辞書を正常ログ統計情報として正常ログ統計情報DB114に格納してもよい。
正常分類部101は、検知部102による判定において正常と判定された正常ログを真陰性正常ログとして抽出する。そして、正常分類部101は、抽出した真陰性正常ログを真陰性正常ログDB115に格納する。このとき、正常分類部101は、正常ログのカテゴリデータ(ドメイン、メソッド、ステータスコードなど)に対し、カテゴリデータごとに、ユニークな値の出現頻度及びパーセンタイルを算出する。そして、正常分類部101は、ユニークな値とパーセンタイルとのペアで構成される辞書を正常ログ統計情報として正常ログ統計情報DB114に格納する。パーセンタイルは、ユニークな値の出現頻度を小さいほうから順番に並べ、当該ユニークな値が何パーセント目にあたるかを示す指標である。正常分類部101は、ユニークな値とパーセンタイルとのペアに代えて、ユニークな値と出現頻度のペアで構成される辞書を正常ログ統計情報として正常ログ統計情報DB114に格納してもよい。
検知部102は、正常分類部101からログ(正常ログ又は攻撃ログ)を取得する。そして、検知部102は、ログから特徴を抽出し、抽出した特徴を機械学習アルゴリズムに入力するための表現(特徴ベクトル)に変換する。そして、検知部102は、特徴ベクトルを学習済みの検知モデルに適用する。これにより、検知部102は、ログが属するクラスを推測する。
学習データが正常アクセス及び攻撃アクセスのいずれのクラスに属するかが示される教師情報(ラベル)を与えた学習データを用いて検知モデルを学習する手法を教師有学習と呼ぶ。教師有学習が用いられる場合は、検知部102は、学習済みの検知モデルを利用して特徴ベクトルが正常アクセスと攻撃アクセスのどちらのクラスに属するかを推測する。
教師情報は用意せず、正常データのみを学習データとして用いて検知モデルを学習する手法を教師無学習と呼ぶ。教師無学習が用いられる場合は、検知部102は、学習済みの検知モデルを利用して特徴ベクトルが正常アクセスのクラスに属するか否かを推測する。
学習データが正常アクセス及び攻撃アクセスのいずれのクラスに属するかが示される教師情報(ラベル)を与えた学習データを用いて検知モデルを学習する手法を教師有学習と呼ぶ。教師有学習が用いられる場合は、検知部102は、学習済みの検知モデルを利用して特徴ベクトルが正常アクセスと攻撃アクセスのどちらのクラスに属するかを推測する。
教師情報は用意せず、正常データのみを学習データとして用いて検知モデルを学習する手法を教師無学習と呼ぶ。教師無学習が用いられる場合は、検知部102は、学習済みの検知モデルを利用して特徴ベクトルが正常アクセスのクラスに属するか否かを推測する。
図4は、攻撃生成部103の内部構成例を示す。
図4に示すように、攻撃生成部103は、模擬環境1031、攻撃実行部1032、攻撃モジュール1033、攻撃シナリオDB1034及びログ収集部1035から構成される。
図4に示すように、攻撃生成部103は、模擬環境1031、攻撃実行部1032、攻撃モジュール1033、攻撃シナリオDB1034及びログ収集部1035から構成される。
模擬環境1031の構成例を図5に示す。
模擬環境1031は、企業又は組織の業務ネットワークを模擬した仮想環境である。
模擬環境1031は、例えば、プロキシサーバ、ファイアウォール、ファイルサーバ、AD(Active Directory)サーバ、社内Webサーバ、ユーザ端末、踏み台端末及び疑似インターネットから構成される。疑似インターネットには攻撃者のコマンド&コントロール(Command and Control)サーバが含まれる。
模擬環境1031は、企業又は組織の業務ネットワークを模擬した仮想環境である。
模擬環境1031は、例えば、プロキシサーバ、ファイアウォール、ファイルサーバ、AD(Active Directory)サーバ、社内Webサーバ、ユーザ端末、踏み台端末及び疑似インターネットから構成される。疑似インターネットには攻撃者のコマンド&コントロール(Command and Control)サーバが含まれる。
攻撃モジュール1033は、Cyber Kill Chainにおける、偵察(Reconnaissance)、武器化(Weaponization)、デリバリー(Delivery)、エクスプロイト(Exploitation)、インストール(Installation)、コマンド&コントロール(Command and Control)、侵入拡大(Lateral Movement)、目的の実行(Actions on Objective)の各ステップを実現する、複数の基本モジュールである。
偵察は、公開情報などから、標的の情報(メールアドレスなど)を収集するステップである。
武器化は、攻撃のためのエクスプロイトキットやマルウェア等を生成するステップである。
デリバリーは、マルウェアを添付したメール又は悪意あるリンク付きメールを標的に送信する、標的のシステムへ直接アクセスする等のステップである。
エクスプロイトは、標的にマルウェアなどの攻撃ファイルを実行させる、標的に悪意あるリンクにアクセスさせる等のステップである。
インストールは、エクスプロイトを成功させ、標的にマルウェアに感染させるステップである。
コマンド&コントロール(C&C)は、マルウェアとC&Cサーバが通信可能となり、C&Cサーバがリモートから標的への操作を行うステップである。
侵入拡大は、C&Cサーバがローカルのパスワードハッシュを使い他のコンピュータに侵入するステップである。
目的の実行は、情報搾取、改ざん、データ破壊、サービス停止等、攻撃者の目的が実行されるステップである。
攻撃モジュール1033は、これらの機能を実現するプログラムである。
偵察は、公開情報などから、標的の情報(メールアドレスなど)を収集するステップである。
武器化は、攻撃のためのエクスプロイトキットやマルウェア等を生成するステップである。
デリバリーは、マルウェアを添付したメール又は悪意あるリンク付きメールを標的に送信する、標的のシステムへ直接アクセスする等のステップである。
エクスプロイトは、標的にマルウェアなどの攻撃ファイルを実行させる、標的に悪意あるリンクにアクセスさせる等のステップである。
インストールは、エクスプロイトを成功させ、標的にマルウェアに感染させるステップである。
コマンド&コントロール(C&C)は、マルウェアとC&Cサーバが通信可能となり、C&Cサーバがリモートから標的への操作を行うステップである。
侵入拡大は、C&Cサーバがローカルのパスワードハッシュを使い他のコンピュータに侵入するステップである。
目的の実行は、情報搾取、改ざん、データ破壊、サービス停止等、攻撃者の目的が実行されるステップである。
攻撃モジュール1033は、これらの機能を実現するプログラムである。
攻撃シナリオDB1034は、攻撃シナリオを記憶する。
攻撃シナリオは、一般的な標的型攻撃に合わせて、攻撃モジュール1033の組合せ及びパラメータ(例えば、通信頻度、通信先ドメイン、感染端末など)が定義された情報である。攻撃にバリエーションを持たすために数多くの攻撃シナリオが攻撃シナリオDB1034に用意される。
攻撃シナリオは、一般的な標的型攻撃に合わせて、攻撃モジュール1033の組合せ及びパラメータ(例えば、通信頻度、通信先ドメイン、感染端末など)が定義された情報である。攻撃にバリエーションを持たすために数多くの攻撃シナリオが攻撃シナリオDB1034に用意される。
攻撃実行部1032は、攻撃シナリオDB1034で記憶されている攻撃シナリオを1つ選択する。そして、攻撃実行部1032は、選択した攻撃シナリオに従い、模擬環境1031上で攻撃モジュール1033を実行する。
ログ収集部1035は、攻撃実行時の模擬環境1031上のログを収集し、収集したログを攻撃ログとして攻撃ログDB113に格納する。
攻撃ログには、例えば、プロキシサーバログ、ADサーバログ、ファイルサーバログ、ファイアウォールログ等が含まれる。
攻撃ログには、例えば、プロキシサーバログ、ADサーバログ、ファイルサーバログ、ファイアウォールログ等が含まれる。
図6は、近傍抽出部104の内部構成例を示す。
近傍抽出部104は、特徴抽出部1041、特徴表現部1042、近傍算出部1043から構成される。また、近傍抽出部104は、正常ログDB112、真陰性正常ログDB115及び近傍真陰性正常ログDB116を用いる。
近傍抽出部104は、特徴抽出部1041、特徴表現部1042、近傍算出部1043から構成される。また、近傍抽出部104は、正常ログDB112、真陰性正常ログDB115及び近傍真陰性正常ログDB116を用いる。
特徴抽出部1041は、x個(仮に1つとする)の真陽性攻撃ログ及びy個の真陰性正常ログから規定の特徴を抽出する。yはxよりも十分大きな数である。
特徴表現部1042は、真陽性攻撃ログ及び真陰性正常ログから抽出した特徴を機械学習アルゴリズムで処理しやすい形式(特徴ベクトル)に変換する。特徴表現部1042は、ドメイン、メソッド、ステータスコードなどのカテゴリデータを、例えば、One-hotエンコーディング又は、以下の参考文献に記載されているFrequency Encodingに変換する。
参考文献:Steve T.K. Jan、et al、Throwing Darts in the Dark? Detecting Bots with Limited Data using Neural Data Augmentation, Security & Privacy 2020 (https://people.cs.vt.edu/vbimal/publications/syntheticdata-sp20.pdf)
参考文献:Steve T.K. Jan、et al、Throwing Darts in the Dark? Detecting Bots with Limited Data using Neural Data Augmentation, Security & Privacy 2020 (https://people.cs.vt.edu/vbimal/publications/syntheticdata-sp20.pdf)
また、特徴表現部1042は、数値データを正規化又は標準化する。数値データを正規化又は標準化することで、特徴表現部1042は、特徴の種別間で数値データの大きさをそろえる。
更に、近傍算出部1043は、真陽性攻撃ログの特徴ベクトルと真陰性正常ログの特徴ベクトルを用い、真陽性攻撃ログそれぞれの近傍K0個の近傍真陰性正常ログを特定する。x個の真陽性攻撃ログの近傍の真陰性正常ログの総数をK1個とする。K1≧K0である。そして、近傍算出部1043は、特定したK1個の近傍真陰性正常ログを近傍真陰性正常ログDB116に格納する。
近傍算出部1043は、例えば、KNN(K-nearest neighbor)法を利用して、K1個の近傍真陰性正常ログを特定する。近傍算出部1043がK1個の近傍真陰性正常ログを特定する際に利用する特徴又は特徴表現は検知部102が用いる特徴又は特徴表現と異なっていてもよい。また、近傍算出部1043は、距離尺度としてEuclid距離などを用いる。
近傍算出部1043は、例えば、KNN(K-nearest neighbor)法を利用して、K1個の近傍真陰性正常ログを特定する。近傍算出部1043がK1個の近傍真陰性正常ログを特定する際に利用する特徴又は特徴表現は検知部102が用いる特徴又は特徴表現と異なっていてもよい。また、近傍算出部1043は、距離尺度としてEuclid距離などを用いる。
図7は、傾向抽出部105の内部構成例を示す。
傾向抽出部105は、特徴抽出部1051、特徴表現部1052、重要度算出部1053、傾向算出部1054から構成される。また、傾向抽出部105は、近傍真陰性正常ログDB116と真陰性正常ログ傾向DB117を用いる。
傾向抽出部105は、特徴抽出部1051、特徴表現部1052、重要度算出部1053、傾向算出部1054から構成される。また、傾向抽出部105は、近傍真陰性正常ログDB116と真陰性正常ログ傾向DB117を用いる。
特徴抽出部1051は、近傍真陰性正常ログDB116からK1個の近傍真陰性正常ログを取得する。また、特徴抽出部1051は、例えば、近傍抽出部104からx個(仮に1つとする)真陽性攻撃ログを取得する。
そして、特徴抽出部1051は、特徴抽出部1041と同様に、K1個の近傍真陰性正常ログと、x個の真陽性攻撃ログとから、規定の特徴を抽出する。
そして、特徴抽出部1051は、特徴抽出部1041と同様に、K1個の近傍真陰性正常ログと、x個の真陽性攻撃ログとから、規定の特徴を抽出する。
特徴表現部1052も、特徴表現部1042と同様に、K1個の近傍真陰性正常ログとx個の真陽性攻撃ログから抽出した特徴を機械学習アルゴリズムで処理しやすい形式(特徴ベクトル)に変換する。特徴表現部1052が特徴ベクトルに変換する特徴又は特徴表現は検知部102が用いる特徴又は特徴表現と異なっていてもよい。
重要度算出部1053は、特徴表現部1052により得られた特徴ベクトルを用いて、K1個の近傍真陰性正常ログと、x個の真陽性攻撃ログとを区別する識別器(C1)を学習する。重要度算出部1053は、識別器(C1)がK1個の近傍真陰性正常ログとx個(例えば1個)の真陽性攻撃ログとを区別する度合いである特徴の重要度(feature importance)を真陽性攻撃ログの特徴ベクトルの各々について算出する。重要度算出部1053は、近傍真陰性正常ログと真陽性攻撃ログとを区別する度合いが高い特徴の重要度が高くなるように特徴ベクトルの各々の重要度を算出する。
そして、重要度算出部1053は、重要度の大きい上位n1件の特徴F11~F1n1を抽出する。n1は1以上である。重要度算出部1053は、例えば、ランダムフォレストを用いて重要度を算出する。
そして、重要度算出部1053は、重要度の大きい上位n1件の特徴F11~F1n1を抽出する。n1は1以上である。重要度算出部1053は、例えば、ランダムフォレストを用いて重要度を算出する。
傾向算出部1054は、K1個の近傍真陰性正常ログにおける特徴F11~F1n1についての統計情報を取得する。傾向算出部1054は、カテゴリデータである特徴については、カテゴリデータのパーセンタイルの中央値(メディアン、med1)と最頻値(モード、mod1)を統計情報として取得する。また、傾向算出部1054は、数値データである特徴については、数値データの平均(μ1)と標準偏差(σ1)を統計情報として取得する。
そして、傾向算出部1054は、統計情報を真陰性正常ログ傾向DB117に格納する。
そして、傾向算出部1054は、統計情報を真陰性正常ログ傾向DB117に格納する。
図8は、特徴修正部106の内部構成例を示す。
特徴修正部106は、データ修正部1061及び検証部1062から構成される。特徴修正部106は、検知回避攻撃ログDB111を用いる。
特徴修正部106は、データ修正部1061及び検証部1062から構成される。特徴修正部106は、検知回避攻撃ログDB111を用いる。
図9はデータ修正部1061及び検証部1062の動作例を示す。
先ず、データ修正部1061は、特徴F11~F1n1の中で未確認の特徴があるかを確認する(ステップS2_1)。
未確認の特徴がある場合(ステップS2_1でYES)は、データ修正部1061は、未確認の特徴F1i(iは1~n1のうちのいずれか)を選択する(ステップS2_2)。
以下では、特徴F1iが特徴F11である場合を例にしてデータ修正部1061の動作を記載する。
以下では、特徴F1iが特徴F11である場合を例にしてデータ修正部1061の動作を記載する。
データ修正部1061は、次に、真陽性攻撃ログの対応するフィールドから特徴F11の実際の値を取得する(ステップS2_3)。
そして、データ修正部1061は、リスト11を生成する(ステップS2_4)。リスト11には、真陽性攻撃ログの特徴F11の実際の値を、近傍真陰性正常ログの特徴F11の実際の値で修正した後の修正値が含まれる。つまり、リスト11には、K1個の近傍真陰性正常ログの特徴F11の値が反映された複数の修正値が含まれる。
なお、リスト11の生成方法は後述する。
そして、データ修正部1061は、リスト11を生成する(ステップS2_4)。リスト11には、真陽性攻撃ログの特徴F11の実際の値を、近傍真陰性正常ログの特徴F11の実際の値で修正した後の修正値が含まれる。つまり、リスト11には、K1個の近傍真陰性正常ログの特徴F11の値が反映された複数の修正値が含まれる。
なお、リスト11の生成方法は後述する。
データ修正部1061は、他の特徴F12~F1n1についてもステップS2_2からステップS2_4の処理を行う。
特徴F11~F1n1の全てにステップS2_2からステップS2_4の処理が行われると(ステップS2_1でNO)、データ修正部1061は、特徴F11~F1n1のリスト11~リスト1n1に含まれる修正値を全て組合せ、組合せごとに対応する攻撃ログ(修正真陽性攻撃ログ)を生成する(ステップS2_5)。リスト11~リスト1n1の各リストに含まれる修正値の数がr1j(jは1~n1)の場合、生成される攻撃ログ(修正真陽性攻撃ログ)の種類はN=Πr1jとなる。特徴F11~F1n1に対応しないフィールドでは真陽性攻撃ログの実際の値が保持される。
次に、検証部1062が、各修正真陽性攻撃ログを検証する(ステップS2_6)。
具体的には、検証部1062は、検知部102に各修正真陽性攻撃ログで定義されるアクセスが正常アクセス及び攻撃アクセスのいずれに該当するかを判定させる。
具体的には、検証部1062は、検知部102に各修正真陽性攻撃ログで定義されるアクセスが正常アクセス及び攻撃アクセスのいずれに該当するかを判定させる。
そして、検証部1062は、検知部102により正常アクセスと判定された修正真陽性攻撃ログを検知回避攻撃ログとして検知回避攻撃ログDB111に格納する(ステップS2_7)。検証部1062は、X>1の場合、全ての真陽性攻撃ログに対して同じ方法で検知回避攻撃ログを作成する。
次に、図9のステップS2_4に示されるリスト(リスト11~リスト1n1)の生成方法を図10及び図11を用いて説明する。ここでも、特徴F11についてのリスト11を生成する例を説明する。
データ修正部1061は、特徴F11がカテゴリデータであるか、数値データであるかを判定する(ステップS3_1)。
カテゴリデータは、ドメイン、メソッド、ステータスコード等である。数値データは、リクエストサイズ、時間間隔等である。
カテゴリデータは、ドメイン、メソッド、ステータスコード等である。数値データは、リクエストサイズ、時間間隔等である。
特徴F11がカテゴリデータである場合は、データ修正部1061は、正常ログ統計情報の辞書から特徴F11のカテゴリデータのパーセンタイルの値を取得し、取得したパーセンタイルの値をcat11に設定する(ステップS3_2)。また、データ修正部1061は、真陰性正常ログ傾向DB117からK1個の近傍真陰性正常ログにおける特徴F11の統計情報として最頻値mod11を参照する(ステップS3_2)。
次に、データ修正部1061は、cat11の値とmod11の値とを比較する(ステップS3_3)。
cat11の値がmod11の値より大きい場合(ステップS3_3でNO、ステップS3_4でNO、ステップS3_5でYES)は、データ修正部1061は、cat11の値がmod11の値にΔ11ずつ近づくよう(小さくなるよう)にcat11の値を更新し、更新後のcat11の値をリスト11に追加する(ステップS3_6)。既にリスト11にcat11の値が記載されている場合は、データ修正部1061は、既に記載されているcat11の値を新たなcat11の値で上書きする。なお、Δ11は規定の値である。
データ修正部1061は、cat11の値がmod11の値以上である間(ステップS3_5でYES)、ステップS3_6の処理を繰り返す。
cat11の値がmod11の値未満になったら(ステップS3_4でNO)、処理がステップS3_9に進む。
cat11の値がmod11の値より大きい場合(ステップS3_3でNO、ステップS3_4でNO、ステップS3_5でYES)は、データ修正部1061は、cat11の値がmod11の値にΔ11ずつ近づくよう(小さくなるよう)にcat11の値を更新し、更新後のcat11の値をリスト11に追加する(ステップS3_6)。既にリスト11にcat11の値が記載されている場合は、データ修正部1061は、既に記載されているcat11の値を新たなcat11の値で上書きする。なお、Δ11は規定の値である。
データ修正部1061は、cat11の値がmod11の値以上である間(ステップS3_5でYES)、ステップS3_6の処理を繰り返す。
cat11の値がmod11の値未満になったら(ステップS3_4でNO)、処理がステップS3_9に進む。
cat11の値がmod11の値と等しい場合(ステップS3_3でNO、ステップS3_4でYES)は、処理がステップS3_9に進む。
また、cat11の値がmod11の値よりも小さい場合(ステップS3_3でYES、ステップS3_7でYES)、データ修正部1061は、cat11の値がmod11の値にΔ11ずつ近づくよう(大きくなるよう)にcat11の値を更新し、更新後のcat11の値をリスト11に追加する(ステップS3_8)。既にリスト11にcat11の値が記載されている場合は、データ修正部1061は、既に記載されているcat11の値を新たなcat11の値で上書きする。
データ修正部1061は、cat11の値がmod11の値以下である間(ステップS3_7でNO)、ステップS3_8の処理を繰り返す。
cat11の値がmod11の値よりも大きくなったら(ステップS3_7でYES)、処理がステップS3_9に進む。
データ修正部1061は、cat11の値がmod11の値以下である間(ステップS3_7でNO)、ステップS3_8の処理を繰り返す。
cat11の値がmod11の値よりも大きくなったら(ステップS3_7でYES)、処理がステップS3_9に進む。
ステップS3_9では、データ修正部1061は、リスト11を確定する。
ステップS3_1において特徴F11が数値データである場合は、データ修正部1061は、特徴F11の数値データの値をnum11に設定する(ステップS3_10)。更に、データ修正部1061は、真陰性正常ログ傾向DB117からK1個の近傍真陰性正常ログにおける特徴F11の統計情報として平均μ11と標準偏差σ11を参照する(ステップS3_10)。
次に、データ修正部1061は、num11の値とμ11の値とを比較する(ステップS3_11)。
num11の値がμ11の値よりも大きい場合(ステップS3_11でNO、ステップS3_12でNO、ステップS3_13でYES)に、データ修正部1061は、num11の値がμ11の値にΔ11ずつ近づくよう(小さくなるよう)にnum11値を更新し、更新後のnum11の値をリスト11に追加する(ステップS3_14)。既にリスト11にnum11の値が記載されている場合は、データ修正部1061は、既に記載されているnum11の値を新たなnum11の値で上書きする。
なお、Δ11は規定の値である。このΔ11は、特徴F11がカテゴリデータである場合に用いるΔ11と同じ値でもよいし、異なる値でもよい。
データ修正部1061は、num11の値が(μ11-τ11)の値以上である間(ステップS3_13でYES)、ステップS3_14の処理を繰り返す。τ11も規定の値である。τ11は、例えば、3×σ11ように特徴F11に関わる統計値から定義することが考えられる。
num11の値が(μ11-τ11)未満になったら(ステップS3_13でNO)、処理がステップS3_17に進む。
num11の値がμ11の値よりも大きい場合(ステップS3_11でNO、ステップS3_12でNO、ステップS3_13でYES)に、データ修正部1061は、num11の値がμ11の値にΔ11ずつ近づくよう(小さくなるよう)にnum11値を更新し、更新後のnum11の値をリスト11に追加する(ステップS3_14)。既にリスト11にnum11の値が記載されている場合は、データ修正部1061は、既に記載されているnum11の値を新たなnum11の値で上書きする。
なお、Δ11は規定の値である。このΔ11は、特徴F11がカテゴリデータである場合に用いるΔ11と同じ値でもよいし、異なる値でもよい。
データ修正部1061は、num11の値が(μ11-τ11)の値以上である間(ステップS3_13でYES)、ステップS3_14の処理を繰り返す。τ11も規定の値である。τ11は、例えば、3×σ11ように特徴F11に関わる統計値から定義することが考えられる。
num11の値が(μ11-τ11)未満になったら(ステップS3_13でNO)、処理がステップS3_17に進む。
num11の値がμ11の値と等しい場合(ステップS3_11でNO、ステップS3_12でYES)は、処理がステップS3_17に進む。
また、num11の値がμ11の値より小さい場合(ステップS3_11でYES、ステップS3_15でYES)は、データ修正部1061は、num11の値がμ1の値1に近づくよう(大きくなるよう)にΔ11ずつnum11を更新し、更新後のnum11の値をリスト11に追加する(ステップS3_16)。既にリスト11にnum11の値が記載されている場合は、データ修正部1061は、既に記載されているnum11の値を新たなnum11の値で上書きする。
データ修正部1061は、num11の値が(μ11+τ11)の値以下である間(ステップS3_15でYES)、ステップS3_16の処理を繰り返す。
num11の値が(μ11-τ11)よりも大きくなったら(ステップS3_15でNO)、処理がステップS3_17に進む。
データ修正部1061は、num11の値が(μ11+τ11)の値以下である間(ステップS3_15でYES)、ステップS3_16の処理を繰り返す。
num11の値が(μ11-τ11)よりも大きくなったら(ステップS3_15でNO)、処理がステップS3_17に進む。
ステップS3_17では、データ修正部1061は、リスト11を確定する。
その後、データ修正部1061は、特徴F12~F1n1についても同様の手順にて、リスト12~リスト1n1を生成する。リスト11~リスト1n1の生成が完了したら、データ修正部1061は、図9のステップS2_5を行う。
なお、図10では、カテゴリデータの最頻値(mod)を用いる例を示したが、最頻値(mod)の代わりに中央値(med)等の他の統計情報を利用してもよい。
***実施の形態の効果の説明***
以上のように、本実施の形態では、特徴が修正された後の真陽性アクセスである修正真陽性アクセスを攻撃検知システムが正常アクセスであると判定するように、真陰性アクセスの特徴を用いて、真陽性アクセスの特徴を修正する。このため、本実施の形態によれば、攻撃検知システムによる検知を回避できる偽陰性アクセスの攻撃サンプルを得ることができる。従って、本実施の形態によれば、実空間で実際に存在し得る、検知を回避する攻撃を効率的に探索することができる。
以上のように、本実施の形態では、特徴が修正された後の真陽性アクセスである修正真陽性アクセスを攻撃検知システムが正常アクセスであると判定するように、真陰性アクセスの特徴を用いて、真陽性アクセスの特徴を修正する。このため、本実施の形態によれば、攻撃検知システムによる検知を回避できる偽陰性アクセスの攻撃サンプルを得ることができる。従って、本実施の形態によれば、実空間で実際に存在し得る、検知を回避する攻撃を効率的に探索することができる。
また、本実施の形態では、特徴空間上での特徴ベクトルの修正ではなく、実空間上でログの項目を修正し、修正後のログの項目を特徴ベクトルに変換する。そして、変換により得られた特徴ベクトルを用いて特徴空間上で攻撃が検知を回避する否かを確認する。しかし、このままでは場当たり的な探索になる。このため、本実施の形態では、新たに生成する特徴空間上で真陽性攻撃ログの近傍の真陰性正常ログを特定し、真陰性正常ログに多く見られる特徴の値を持つように真陽性攻撃ログを修正する。このようにすることで、場当たり的な探索になることを防ぐ。
実施の形態2.
実施の形態1では、真陽性攻撃ログの近傍の真陰性正常ログに多く見られる特徴の値を持つように真陽性攻撃ログを修正して、検知を回避することができる攻撃ログを効率的に生成している。実施の形態2では、真陰性正常ログに加えて、偽陽性の正常ログ(以下、偽陽性正常ログという)も用いて、検知を回避することができる攻撃ログを効率的に生成する例を説明する。
なお、偽陽性正常ログは、偽陽性アクセスの特徴が複数のフィールドに記述される正常ログである。偽陽性アクセスとは、前述したとおり、正常アクセスであることが判明しているが、攻撃検知システムが誤って攻撃アクセスであると判定したアクセスである。偽陽性アクセスは、攻撃検知システムでの誤検知を生じさせるアクセスである。
実施の形態1では、真陽性攻撃ログの近傍の真陰性正常ログに多く見られる特徴の値を持つように真陽性攻撃ログを修正して、検知を回避することができる攻撃ログを効率的に生成している。実施の形態2では、真陰性正常ログに加えて、偽陽性の正常ログ(以下、偽陽性正常ログという)も用いて、検知を回避することができる攻撃ログを効率的に生成する例を説明する。
なお、偽陽性正常ログは、偽陽性アクセスの特徴が複数のフィールドに記述される正常ログである。偽陽性アクセスとは、前述したとおり、正常アクセスであることが判明しているが、攻撃検知システムが誤って攻撃アクセスであると判定したアクセスである。偽陽性アクセスは、攻撃検知システムでの誤検知を生じさせるアクセスである。
本実施の形態では、主に実施の形態1との差異を説明する。
なお、以下で説明していない事項は、実施の形態1と同様である。
なお、以下で説明していない事項は、実施の形態1と同様である。
***構成の説明**
図12は、本実施の形態に係る攻撃ログ生成装置100の機能構成例を示す。
図12では、図2と比較して、偽陽性正常ログDB118、近傍偽陽性正常ログDB119及び偽陽性正常ログ傾向DB120が追加されている。
図12は、本実施の形態に係る攻撃ログ生成装置100の機能構成例を示す。
図12では、図2と比較して、偽陽性正常ログDB118、近傍偽陽性正常ログDB119及び偽陽性正常ログ傾向DB120が追加されている。
偽陽性正常ログDB118は、偽陽性正常ログを記憶する。
近傍偽陽性正常ログDB119は、真陽性攻撃ログの近傍の偽陽性正常ログである近傍偽陽性正常ログを記憶する。
偽陽性正常ログ傾向DB120は、偽陽性正常ログの統計情報(以下、偽陽性正常ログ統計情報という)を記憶する。
偽陽性正常ログDB118、近傍偽陽性正常ログDB119及び偽陽性正常ログ傾向DB120は、例えば、主記憶装置902又は補助記憶装置903により実現される。
近傍偽陽性正常ログDB119は、真陽性攻撃ログの近傍の偽陽性正常ログである近傍偽陽性正常ログを記憶する。
偽陽性正常ログ傾向DB120は、偽陽性正常ログの統計情報(以下、偽陽性正常ログ統計情報という)を記憶する。
偽陽性正常ログDB118、近傍偽陽性正常ログDB119及び偽陽性正常ログ傾向DB120は、例えば、主記憶装置902又は補助記憶装置903により実現される。
本実施の形態では、正常分類部101は、正常ログDB112に蓄積されている正常ログを真陰性正常ログと偽陽性正常ログに分類する。
また、本実施の形態では、修正部107は、真陰性アクセスの特徴と偽陽性アクセスの特徴とを用いて真陽性アクセスの特徴を修正する。つまり、修正部107は、近傍真陰性正常ログの特徴と近傍偽陽性正常ログの特徴を用いて、真陽性攻撃ログの特徴を修正する。より具体的には、修正部107は、近傍真陰性正常ログの特徴のうち近傍偽陽性正常ログの特徴と重複する特徴を排除した後の近傍真陰性正常ログの特徴を用いて、真陽性攻撃ログの特徴を修正する。
本実施の形態でも、修正部107は、修正真陽性攻撃ログで定義される修正真陽性アクセスを検知部102(攻撃検知システム)が攻撃アクセスであると判定した場合に、近傍真陰性正常ログの特徴と近傍偽陽性正常ログの特徴とを用いて、修正真陽性攻撃ログの特徴を修正する。
図12に示す他の構成要素は図2に示すものと同様であるため、説明を省略する。
本実施の形態でも、修正部107は、修正真陽性攻撃ログで定義される修正真陽性アクセスを検知部102(攻撃検知システム)が攻撃アクセスであると判定した場合に、近傍真陰性正常ログの特徴と近傍偽陽性正常ログの特徴とを用いて、修正真陽性攻撃ログの特徴を修正する。
図12に示す他の構成要素は図2に示すものと同様であるため、説明を省略する。
***動作の説明***
図13を用いて、本実施の形態に係る攻撃ログ生成装置100の動作例を説明する。
図13を用いて、本実施の形態に係る攻撃ログ生成装置100の動作例を説明する。
先ず、正常分類部101が正常ログを真陰性正常ログと偽陽性正常ログに分類する(ステップS4_1)。
具体的には、正常ログDB112にあらかじめ蓄積されている大量の正常ログを検知部102が解析し、検知部102が、正常ログで定義されるアクセスが正常アクセスに該当するか攻撃アクセスに該当するかを判定する。そして、正常分類部101は、検知部102が正常アクセスと判定した正常ログを真陰性正常ログに分類する。また、正常分類部101は、検知部102が攻撃アクセスと判定した正常ログを偽陽性正常ログに分類する。
そして、正常分類部101は、真陰性正常ログを真陰性正常ログDB115に格納し、偽陽性正常ログを偽陽性正常ログDB118に格納する。
具体的には、正常ログDB112にあらかじめ蓄積されている大量の正常ログを検知部102が解析し、検知部102が、正常ログで定義されるアクセスが正常アクセスに該当するか攻撃アクセスに該当するかを判定する。そして、正常分類部101は、検知部102が正常アクセスと判定した正常ログを真陰性正常ログに分類する。また、正常分類部101は、検知部102が攻撃アクセスと判定した正常ログを偽陽性正常ログに分類する。
そして、正常分類部101は、真陰性正常ログを真陰性正常ログDB115に格納し、偽陽性正常ログを偽陽性正常ログDB118に格納する。
次に、攻撃生成部103が攻撃を実行し、攻撃ログを生成する(ステップS4_2)。
つまり、攻撃生成部103が攻撃アクセスを行い、攻撃アクセスの特徴が示される攻撃ログを生成する。そして、攻撃生成部103は、生成した攻撃ログを攻撃ログDB113に格納する。
つまり、攻撃生成部103が攻撃アクセスを行い、攻撃アクセスの特徴が示される攻撃ログを生成する。そして、攻撃生成部103は、生成した攻撃ログを攻撃ログDB113に格納する。
次に、検知部102が、攻撃ログを解析し、攻撃ログで定義されるアクセスが正常アクセスに該当するか攻撃アクセスに該当するかを判定する(ステップS4_3)。
検知部102が攻撃ログで定義されるアクセスを正常アクセスに該当すると判定した場合(ステップS4_3でNO)は、処理がステップS4_8に進む。
ステップS4_8では、検知部102が正常アクセスに該当すると判定したアクセスは、検知部102の検知を回避できる攻撃アクセス(偽陰性アクセス)であるため、正常分類部101が、該当する攻撃ログを検知回避攻撃ログとして検知回避攻撃ログDB111に格納する。
一方、検知部102が攻撃ログで定義されるアクセスを攻撃アクセスに該当すると判定した場合(ステップS4_3でYES)は、処理がステップS4_4に進む。
ステップS4_4では、近傍抽出部104が、ステップS4_3により得られた攻撃ログ(真陽性攻撃ログ)近傍の真陰性正常ログと偽陽性正常ログを真陰性正常ログDB115と偽陽性正常ログDB118から抽出する(ステップS4_4)。
次に、傾向抽出部105が、ステップS4_4で抽出された近傍真陰性正常ログと近傍偽陽性正常ログの特徴の傾向を算出する(ステップS4_5)。
次に、特徴修正部106が、真陽性攻撃ログに近傍真陰性正常ログの特徴の傾向が多く含まれるが近傍偽陽性正常ログの特徴の傾向は含まれないように真陽性攻撃ログを修正する(ステップS4_6)。
つまり、特徴修正部106は、近傍真陰性正常ログの特徴のうち近傍偽陽性正常ログの特徴と重複する特徴を排除した後の近傍真陰性正常ログの特徴を用いて真陽性攻撃ログの各フィールドを修正する。
つまり、特徴修正部106は、近傍真陰性正常ログの特徴のうち近傍偽陽性正常ログの特徴と重複する特徴を排除した後の近傍真陰性正常ログの特徴を用いて真陽性攻撃ログの各フィールドを修正する。
次に、検知部102が、特徴修正部106により修正された後の真陽性攻撃ログ(修正真陽性攻撃ログ)で定義されるアクセス(修正真陽性アクセス)が正常アクセスに該当するか攻撃アクセスに該当するかを判定する(ステップS4_7)。
検知部102が修正真陽性アクセスが正常アクセスに該当すると判定した場合(ステップS4_7でNO)は、正常分類部101が修正真陽性攻撃ログを検知回避攻撃ログとして検知回避攻撃ログDB111に格納する(ステップS4_8)。
修正真陽性攻撃ログに基づく修正真陽性アクセスを検知部102は攻撃として検知できないので、修正真陽性アクセスは攻撃検知システムの検知を回避可能な攻撃アクセスである。このため、正常分類部101は、修正真陽性攻撃ログを検知回避攻撃ログとして検知回避攻撃ログDB111に格納する。
修正真陽性攻撃ログに基づく修正真陽性アクセスを検知部102は攻撃として検知できないので、修正真陽性アクセスは攻撃検知システムの検知を回避可能な攻撃アクセスである。このため、正常分類部101は、修正真陽性攻撃ログを検知回避攻撃ログとして検知回避攻撃ログDB111に格納する。
一方、検知部102が修正真陽性アクセスが攻撃アクセスに該当すると判定した場合(ステップS4_7でYES)は、処理がステップS4_6に戻る。そして、特徴修正部106が更に修正真陽性攻撃ログを近傍真陰性正常ログの特徴と近傍偽陽性正常ログの特徴を用いて修正する(ステップS4_6)。
以上が本実施の形態に係る攻撃ログ生成装置100の動作のおおまかな流れである。
以下では、本実施の形態に係る正常分類部101、攻撃生成部103、近傍抽出部104、傾向抽出部105及び特徴修正部106の動作の詳細を説明する。
以下では、本実施の形態に係る正常分類部101、攻撃生成部103、近傍抽出部104、傾向抽出部105及び特徴修正部106の動作の詳細を説明する。
正常分類部101は、正常ログDB112にあらかじめ用意している大量の正常ログの正常/異常を検知部102に判定させる。検知部102は、正常ログが正常か異常かを判定する。つまり、検知部102は、正常ログに記述される特徴が正常アクセスの特徴に該当するか、攻撃アクセスの特徴に該当するかを判定する。
正常分類部101は、検知部102による判定において正常と判定された正常ログを真陰性正常ログとして抽出する。そして、正常分類部101は、抽出した真陰性正常ログを真陰性正常ログDB115に格納する。また、正常分類部101は、検知部102による判定において異常と判定された正常ログを偽陽性正常ログとして抽出する。そして、正常分類部101は、抽出した偽陽性正常ログを偽陽性正常ログDB118に格納する。
また、正常分類部101は、実施の形態1と同様に、正常ログ統計情報を正常ログ統計情報DB114に格納する。正常ログ統計情報の生成手順及び格納手順は実施の形態1に示した通りなので、説明を省略する。
正常分類部101は、検知部102による判定において正常と判定された正常ログを真陰性正常ログとして抽出する。そして、正常分類部101は、抽出した真陰性正常ログを真陰性正常ログDB115に格納する。また、正常分類部101は、検知部102による判定において異常と判定された正常ログを偽陽性正常ログとして抽出する。そして、正常分類部101は、抽出した偽陽性正常ログを偽陽性正常ログDB118に格納する。
また、正常分類部101は、実施の形態1と同様に、正常ログ統計情報を正常ログ統計情報DB114に格納する。正常ログ統計情報の生成手順及び格納手順は実施の形態1に示した通りなので、説明を省略する。
図14は、近傍抽出部104の内部構成例を示す。
近傍抽出部104は、実施の形態1と同様に、特徴抽出部1041、特徴表現部1042、近傍算出部1043から構成される。本実施の形態では、近傍抽出部104は、正常ログDB112、真陰性正常ログDB115、近傍真陰性正常ログDB116、偽陽性正常ログDB118及び近傍偽陽性正常ログDB119を用いる。
近傍抽出部104は、実施の形態1と同様に、特徴抽出部1041、特徴表現部1042、近傍算出部1043から構成される。本実施の形態では、近傍抽出部104は、正常ログDB112、真陰性正常ログDB115、近傍真陰性正常ログDB116、偽陽性正常ログDB118及び近傍偽陽性正常ログDB119を用いる。
特徴抽出部1041は、真陽性攻撃ログ、真陰性正常ログ及び偽陽性正常ログから規定の特徴を抽出する。
特徴表現部1042は、x個の真陽性攻撃ログ、y0個の真陰性正常ログ及びy1個の偽陽性正常ログから抽出した特徴を機械学習アルゴリズムで処理しやすい形式(特徴ベクトル)に変換する。y0およびy1はxよりも十分大きな数である。特徴ベクトルへの変換手法は実施の形態1に示した通りなので説明を省略する。
近傍算出部1043は、真陽性攻撃ログの特徴ベクトルと真陰性正常ログの特徴ベクトルを用い、真陽性攻撃ログそれぞれの近傍K0個の近傍真陰性正常ログを特定する。x個の真陽性攻撃ログの近傍の真陰性正常ログの総数をK1個とする。K1≧K0である。そして、近傍算出部1043は、特定したK1個の近傍真陰性正常ログを近傍真陰性正常ログDB116に格納する。
また、近傍算出部1043は、真陽性攻撃ログの特徴ベクトルと偽陽性正常ログの特徴ベクトルを用い、真陽性攻撃ログそれぞれの近傍K0個の近傍偽陽性正常ログを特定する。x個の真陽性攻撃ログの近傍の偽陽性正常ログの総数をK2個とする。K2≧K0である。そして、近傍算出部1043は、特定したK2個の近傍偽陽性正常ログを近傍偽陽性正常ログDB119に格納する。
近傍を特定する手法として、実施の形態1と同様に、近傍算出部1043は、例えば、KNN法を利用することができる。
また、近傍算出部1043は、真陽性攻撃ログの特徴ベクトルと偽陽性正常ログの特徴ベクトルを用い、真陽性攻撃ログそれぞれの近傍K0個の近傍偽陽性正常ログを特定する。x個の真陽性攻撃ログの近傍の偽陽性正常ログの総数をK2個とする。K2≧K0である。そして、近傍算出部1043は、特定したK2個の近傍偽陽性正常ログを近傍偽陽性正常ログDB119に格納する。
近傍を特定する手法として、実施の形態1と同様に、近傍算出部1043は、例えば、KNN法を利用することができる。
図15は、傾向抽出部105の内部構成例を示す。
傾向抽出部105は、実施の形態1と同様に、特徴抽出部1051、特徴表現部1052、重要度算出部1053、傾向算出部1054から構成される。本実施の形態では、傾向抽出部105は、近傍真陰性正常ログDB116、真陰性正常ログ傾向DB117、近傍偽陽性正常ログDB119及び偽陽性正常ログ傾向DB120を用いる。
傾向抽出部105は、実施の形態1と同様に、特徴抽出部1051、特徴表現部1052、重要度算出部1053、傾向算出部1054から構成される。本実施の形態では、傾向抽出部105は、近傍真陰性正常ログDB116、真陰性正常ログ傾向DB117、近傍偽陽性正常ログDB119及び偽陽性正常ログ傾向DB120を用いる。
特徴抽出部1051は、近傍真陰性正常ログDB116からK1個の近傍真陰性正常ログを取得する。また、特徴抽出部1051は、例えば、近傍抽出部104からx個(仮に1つとする)真陽性攻撃ログを取得する。
特徴抽出部1051は、実施の形態1に、K1個の近傍真陰性正常ログと、x個の真陽性攻撃ログとから、規定の特徴を抽出する。
更に、特徴抽出部1051は、近傍偽陽性正常ログDB119からK2個の近傍偽陽性正常ログを取得する。また、特徴抽出部1051は、例えば、近傍抽出部104からx個(仮に1つとする)真陽性攻撃ログを取得する。
そして、特徴抽出部1051は、K2個の近傍偽陽性正常ログと、x個の真陽性攻撃ログとから、規定の特徴を抽出する。
特徴抽出部1051は、実施の形態1に、K1個の近傍真陰性正常ログと、x個の真陽性攻撃ログとから、規定の特徴を抽出する。
更に、特徴抽出部1051は、近傍偽陽性正常ログDB119からK2個の近傍偽陽性正常ログを取得する。また、特徴抽出部1051は、例えば、近傍抽出部104からx個(仮に1つとする)真陽性攻撃ログを取得する。
そして、特徴抽出部1051は、K2個の近傍偽陽性正常ログと、x個の真陽性攻撃ログとから、規定の特徴を抽出する。
特徴表現部1052は、実施の形態1と同様に、K1個の真陰性正常ログとx個の真陽性攻撃ログから抽出した特徴を機械学習アルゴリズムで処理しやすい形式(特徴ベクトル)に変換する。
更に、特徴表現部1052は、K2個の偽陽性正常ログとx個の真陽性攻撃ログから抽出した特徴を機械学習アルゴリズムで処理しやすい形式(特徴ベクトル)に変換する。
更に、特徴表現部1052は、K2個の偽陽性正常ログとx個の真陽性攻撃ログから抽出した特徴を機械学習アルゴリズムで処理しやすい形式(特徴ベクトル)に変換する。
重要度算出部1053は、実施の形態1と同様に、識別器(C1)を学習して特徴の重要度を算出し、重要度の大きい上位n1件の特徴F11~F1n1を抽出する。
更に、重要度算出部1053は、特徴表現部1052により得られた特徴ベクトルを用いて、K2個の近傍偽陽性正常ログと、x個の真陽性攻撃ログとを区別する識別器(C2)を学習する。重要度算出部1053は、識別器(C2)がK2個の近傍偽陽性正常ログとx個(例えば1個)の真陽性攻撃ログとを区別する度合いである特徴の重要度を真陽性攻撃ログの特徴ベクトルの各々について算出する。重要度算出部1053は、近傍偽陽性正常ログと真陽性攻撃ログとを区別する度合いが高い特徴の重要度が高くなるように特徴ベクトルの各々の重要度を算出する。
そして、重要度算出部1053は、重要度の大きい上位n2件の特徴F21~F2n1を抽出する。N2は1以上である。重要度算出部1053は、例えば、ランダムフォレストを用いて重要度を算出する。
更に、重要度算出部1053は、特徴表現部1052により得られた特徴ベクトルを用いて、K2個の近傍偽陽性正常ログと、x個の真陽性攻撃ログとを区別する識別器(C2)を学習する。重要度算出部1053は、識別器(C2)がK2個の近傍偽陽性正常ログとx個(例えば1個)の真陽性攻撃ログとを区別する度合いである特徴の重要度を真陽性攻撃ログの特徴ベクトルの各々について算出する。重要度算出部1053は、近傍偽陽性正常ログと真陽性攻撃ログとを区別する度合いが高い特徴の重要度が高くなるように特徴ベクトルの各々の重要度を算出する。
そして、重要度算出部1053は、重要度の大きい上位n2件の特徴F21~F2n1を抽出する。N2は1以上である。重要度算出部1053は、例えば、ランダムフォレストを用いて重要度を算出する。
傾向算出部1054は、実施の形態1と同様に、K1個の近傍真陰性正常ログにおける特徴F11~F1n1についての統計情報を取得する。傾向算出部1054は、統計情報を真陰性正常ログ傾向DB117に格納する。
更に、傾向算出部1054は、K2個の近傍偽陽性正常ログにおける特徴F21~F2n1についての統計情報を取得する。傾向算出部1054は、統計情報を偽陽性正常ログ傾向DB120に格納する。
実施の形態1と同様に、傾向算出部1054は、カテゴリデータである特徴については、カテゴリデータのパーセンタイルの中央値(メディアン、med2)と最頻値(モード、mod2)を統計情報として取得する。また、傾向算出部1054は、数値データである特徴については、数値データの平均(μ2)と標準偏差(σ2)を統計情報として取得する。
更に、傾向算出部1054は、K2個の近傍偽陽性正常ログにおける特徴F21~F2n1についての統計情報を取得する。傾向算出部1054は、統計情報を偽陽性正常ログ傾向DB120に格納する。
実施の形態1と同様に、傾向算出部1054は、カテゴリデータである特徴については、カテゴリデータのパーセンタイルの中央値(メディアン、med2)と最頻値(モード、mod2)を統計情報として取得する。また、傾向算出部1054は、数値データである特徴については、数値データの平均(μ2)と標準偏差(σ2)を統計情報として取得する。
図16は、特徴修正部106の内部構成例を示す。
特徴修正部106は、実施の形態1と同様に、データ修正部1061及び検証部1062から構成される。本実施の形態では、特徴修正部106は、検知回避攻撃ログDB111、真陰性正常ログ傾向DB117及び偽陽性正常ログ傾向DB120を用いる。
特徴修正部106は、実施の形態1と同様に、データ修正部1061及び検証部1062から構成される。本実施の形態では、特徴修正部106は、検知回避攻撃ログDB111、真陰性正常ログ傾向DB117及び偽陽性正常ログ傾向DB120を用いる。
図17はデータ修正部1061及び検証部1062の動作例を示す。
ステップS5_1~ステップS5_4は、図9のステップS2_1~ステップS2_4と同様であるため、説明を省略する。また、ステップS5_4のリスト1iの生成方法は図10及び図11に示す通りである。
次に、データ修正部1061は、特徴F12~F1n1についても特徴F11~F1n1と同様の処理を行って、リスト21~リスト2n1を生成する。
具体的には、先ず、データ修正部1061は、特徴F21~F2n1の中で未確認の特徴があるかを確認する(ステップS5_5)。
未確認の特徴がある場合(ステップS5_5でYES)は、データ修正部1061は、未確認の特徴F2i(iは1~n1のうちのいずれか)を選択する(ステップS5_6)。以下では、特徴F2iが特徴F21である場合を例にしてデータ修正部1061の動作を記載する。
データ修正部1061は、次に、真陽性攻撃ログの対応するフィールドから特徴F21の実際の値を取得する(ステップS5_7)。
そして、データ修正部1061は、リスト21を生成する(ステップS5_8)。リスト21には、真陽性攻撃ログの特徴F21の実際の値を、近傍偽陽性正常ログの特徴F21の実際の値で修正した後の修正値が含まれる。つまり、リスト21には、K2個の近傍偽陽性正常ログの特徴F21の値が反映された複数の修正値が含まれる。
なお、リスト21の生成方法は後述する。
そして、データ修正部1061は、リスト21を生成する(ステップS5_8)。リスト21には、真陽性攻撃ログの特徴F21の実際の値を、近傍偽陽性正常ログの特徴F21の実際の値で修正した後の修正値が含まれる。つまり、リスト21には、K2個の近傍偽陽性正常ログの特徴F21の値が反映された複数の修正値が含まれる。
なお、リスト21の生成方法は後述する。
データ修正部1061は、他の特徴F22~F2n1についてもステップS5_5からステップS5_8の処理を行う。
次に、データ修正部1061は、特徴F11~F1n1のリストF11~リストと、特徴F21~F2n2のリスト21~リスト2n1をマージする(ステップS5_9)。マージの方法は後述する。
次に、データ修正部1061は、マージ後のリストF11~リスト1n1に含まれる修正値を全て組合せ、組合せごとに対応する攻撃ログ(修正真陽性攻撃ログ)を生成する(ステップS5_10)。特徴F11~F1n1及び特徴F21~F2n2に対応しないフィールドでは真陽性攻撃ログの実際の値が保持される。
次に、検証部1062が、各修正真陽性攻撃ログを検証する(ステップS5_11)。
具体的には、検証部1062は、検知部102に各修正真陽性攻撃ログで定義されるアクセスが正常アクセス及び攻撃アクセスのいずれに該当するかを判定させる。
具体的には、検証部1062は、検知部102に各修正真陽性攻撃ログで定義されるアクセスが正常アクセス及び攻撃アクセスのいずれに該当するかを判定させる。
そして、検証部1062は、検知部102により正常アクセスと判定された修正真陽性攻撃ログを検知回避攻撃ログとして検知回避攻撃ログDB111に格納する(ステップS5_12)。検証部1062は、X>1の場合、全ての真陽性攻撃ログに対して同じ方法で検知回避攻撃ログを作成する。
次に、図17のステップS5_8に示されるリスト(リスト21~リスト2n1)の生成方法を図18及び図19を用いて説明する。ここでも、特徴F21についてのリスト21を生成する例を説明する。
データ修正部1061は、特徴F21がカテゴリデータであるか、数値データであるかを判定する(ステップS6_1)。
カテゴリデータは、ドメイン、メソッド、ステータスコード等である。数値データは、リクエストサイズ、時間間隔等である。
カテゴリデータは、ドメイン、メソッド、ステータスコード等である。数値データは、リクエストサイズ、時間間隔等である。
特徴F21がカテゴリデータである場合は、データ修正部1061は、正常ログ統計情報の辞書から特徴F21のカテゴリデータのパーセンタイルの値を取得し、取得したパーセンタイルの値をcat21に設定する(ステップS6_2)。また、データ修正部1061は、偽陽性正常ログ傾向DB120からK2個の近傍偽陽性正常ログにおける特徴F21の統計情報として最頻値をmod21を参照する(ステップS6_2)。
次に、データ修正部1061は、cat21の値とmod21の値とを比較する(ステップS6_3)。
cat21の値がmod21の値以上である場合に(ステップS6_3でNO)、データ修正部1061は、cat21の値と(mod21+τ21)を比較する(ステップS6_4)。τ21は規定の値である。
cat21の値が(mod21+τ21)以下である場合は、データ修正部1061は、cat21の値がmod21の値にΔ21ずつ遠ざかるよう(大きくなるよう)にcat21の値を更新し、更新後のcat21の値をリスト21に追加する(ステップS6_5)。既にリスト21にcat21の値が記載されている場合は、データ修正部1061は、既に記載されているcat21の値を新たなcat21の値で上書きする。なお、Δ21は規定の値である。
データ修正部1061は、cat21の値が(mod21+τ21)の値以下である間(ステップS6_4でYES)、ステップS6_5の処理を繰り返す。
cat21の値が(mod21+τ21)よりも大きくなったら(ステップS6_4でNO)、処理がステップS6_8に進む。
データ修正部1061は、cat21の値が(mod21+τ21)の値以下である間(ステップS6_4でYES)、ステップS6_5の処理を繰り返す。
cat21の値が(mod21+τ21)よりも大きくなったら(ステップS6_4でNO)、処理がステップS6_8に進む。
また、cat21の値がmod21の値よりも小さい場合(ステップS6_3でYES)は、データ修正部1061は、cat21の値と(mod21-τ21)を比較する(ステップS6_6)。
cat21の値が(mod21-τ21)以上である場合は、データ修正部1061は、cat21の値がmod21の値にΔ21ずつ遠ざかるよう(小さくなるよう)にcat21の値を更新し、更新後のcat21の値をリスト21に追加する(ステップS6_7)。既にリスト21にcat21の値が記載されている場合は、データ修正部1061は、既に記載されているcat21の値を新たなcat21の値で上書きする。
データ修正部1061は、cat21の値が(mod21-τ21)の値以上である間(ステップS6_6でYES)、ステップS6_7の処理を繰り返す。
cat21の値が(mod21-τ21)よりも小さくなったら(ステップS6_6でNO)、処理がステップS6_8に進む。
データ修正部1061は、cat21の値が(mod21-τ21)の値以上である間(ステップS6_6でYES)、ステップS6_7の処理を繰り返す。
cat21の値が(mod21-τ21)よりも小さくなったら(ステップS6_6でNO)、処理がステップS6_8に進む。
ステップS6_8では、データ修正部1061は、リスト21を確定する。
ステップS6_1において特徴F21が数値データである場合は、データ修正部1061は、特徴F21の数値データの値をnum21に設定する(ステップS6_9)。更に、データ修正部1061は、偽陽性正常ログ傾向DB120からK2個の近傍偽陽性正常ログにおける特徴F21の統計情報として平均μ21と標準偏差σ21を参照する(ステップS6_9)。
次に、データ修正部1061は、num21の値とμ21の値とを比較する(ステップS6_10)。
num21の値がμ21の値以上である場合(ステップS6_10でNO)は、データ修正部1061は、num21の値と(μ21+τ21)を比較する(ステップS6_11)。
num21の値が(μ21+τ21)以下である場合(ステップS6_11でYES)は、データ修正部1061は、num21の値がμ21の値にΔ21ずつ遠ざかるよう(大きくなるよう)にnum21の値を更新し、更新後のnum21の値をリスト21に追加する(ステップS6_12)。既にリスト21にnum21の値が記載されている場合は、データ修正部1061は、既に記載されているnum21の値を新たなnum21の値で上書きする。なお、Δ21は規定の値である。このΔ21は、特徴F21がカテゴリデータである場合に用いるΔ21と同じ値でもよいし、異なる値でもよい。τ21も規定の値である。τ21は、例えば、3×σ21ように特徴F21に関わる統計値から定義することが考えられる。
データ修正部1061は、num21の値が(μ21+τ21)以下である間(ステップS6_11でYES)、ステップS6_12の処理を繰り返す。
データ修正部1061は、num21の値が(μ21+τ21)以下である間(ステップS6_11でYES)、ステップS6_12の処理を繰り返す。
num21の値が(μ21+τ21)よりも大きくなったら(ステップS6_11でNO)、処理がステップS6_15に進む。
また、num21の値がμ21の値より小さい場合(ステップS6_10でYES)は、データ修正部1061は、num21の値と(μ21-τ21)を比較する(ステップS6_13)。
num21の値が(μ21-τ21)以上である場合(ステップS6_13でYES)は、データ修正部1061は、num21の値がμ2の値1に遠ざかるよう(小さくなるよう)にΔ21ずつnum21を更新し、更新後のnum21の値をリスト21に追加する(ステップS6_14)。既にリスト21にnum21の値が記載されている場合は、データ修正部1061は、既に記載されているnum21の値を新たなnum21の値で上書きする。
データ修正部1061は、num21の値が(μ21-τ21)以上である間(ステップS6_13でYES)、ステップS6_14の処理を繰り返す。
データ修正部1061は、num21の値が(μ21-τ21)以上である間(ステップS6_13でYES)、ステップS6_14の処理を繰り返す。
num21の値が(μ21-τ21)未満になったら(ステップS6_13でNO)、処理がステップS6_15に進む。
ステップS6_15では、データ修正部1061は、リスト21を確定する。
その後、データ修正部1061は、特徴F22~F2n1についても同様の手順にて、リスト22~リスト2n1を生成する。
なお、図18では、カテゴリデータの最頻値(mod)を用いる例を示したが、最頻値(mod)のっ代わりに中央値(med)等の他の統計情報を利用してもよい。
次に、特徴F11~F1n1のリストF11~リストと、特徴F21~F2n2のリスト21~リスト2n1をマージする手順を説明する。以下は真陽性攻撃ログの数(X)が1の場合を想定して説明するが、X>1の場合についても、全ての真陽性攻撃ログに対して同じ方法でマージを行う。つまり、同一の真陽性攻撃ログから生成された特徴F11~F1n1のリストF11~リストF1n1と、特徴F21~F2n2のリスト21~リスト2n1をマージする。
先ず、データ修正部1061は、特徴F11~F1n1と特徴F21~F2n2とで共通する特徴を探す。ここでは、特徴F11と特徴F23が共通しているものとする。
F11およびF23がカテゴリデータの場合、データ修正部1061は、偽陽性正常ログ傾向DB120からF23に対応する最頻値(mod23)を参照する。F23の特徴リストlist23の要素の最小値および最大値をそれぞれmin(list23)とmax(list23)と表現する。mod23がmin(list23)より小さい場合、データ修正部1061は、list11の要素のうち、mod23-α以上かつmin(list23) +α以下の要素をリストlist11から削除する。mod23がmax(list23)より大きい場合、データ修正部1061は、list11の要素のうち、max(list23) -α以上かつmod23+α以下の要素をリストlist11から削除する。αは規定の値である。
F11およびF23が数値データの場合、データ修正部1061は、偽陽性正常ログ傾向DB120からF23に対応する平均値(μ23)を参照する。F23の特徴リストlist23の要素の最小値および最大値をそれぞれmin(list23)とmax(list23)と表現する。μ23がmin(list23)より小さい場合、データ修正部1061は、list11の要素のうち、mod23-β以上かつmin(list23)+β以下の要素をリストlist11から削除する。μ23がmax(list23)より大きい場合、データ修正部1061は、list11の要素のうち、max(list23)-α以上かつmod23+α以下の要素をリストlist11から削除する。βは規定の値であり、例えば、3×σ23ようにF23に関わる統計値から定義しても良い。
データ修正部1061は、共通しない特徴F1iのリスト1iと特徴F2iのリスト2iは、単純にマージ(結合)する。
F11およびF23が数値データの場合、データ修正部1061は、偽陽性正常ログ傾向DB120からF23に対応する平均値(μ23)を参照する。F23の特徴リストlist23の要素の最小値および最大値をそれぞれmin(list23)とmax(list23)と表現する。μ23がmin(list23)より小さい場合、データ修正部1061は、list11の要素のうち、mod23-β以上かつmin(list23)+β以下の要素をリストlist11から削除する。μ23がmax(list23)より大きい場合、データ修正部1061は、list11の要素のうち、max(list23)-α以上かつmod23+α以下の要素をリストlist11から削除する。βは規定の値であり、例えば、3×σ23ようにF23に関わる統計値から定義しても良い。
データ修正部1061は、共通しない特徴F1iのリスト1iと特徴F2iのリスト2iは、単純にマージ(結合)する。
***実施の形態の効果の説明***
本実施の形態でも、攻撃検知システムによる検知を回避できる偽陰性アクセスの攻撃サンプルを得ることができる。また、本実施の形態では、近傍真陰性正常ログの特徴のうち近傍偽陽性正常ログの特徴と重複する特徴を排除した後の近傍真陰性正常ログの特徴を用いて、真陽性攻撃ログの特徴を修正する。このため、実施の形態1に比べて、より巧妙に検知を回避できる偽陰性アクセスの攻撃サンプルを得ることができる。
本実施の形態でも、攻撃検知システムによる検知を回避できる偽陰性アクセスの攻撃サンプルを得ることができる。また、本実施の形態では、近傍真陰性正常ログの特徴のうち近傍偽陽性正常ログの特徴と重複する特徴を排除した後の近傍真陰性正常ログの特徴を用いて、真陽性攻撃ログの特徴を修正する。このため、実施の形態1に比べて、より巧妙に検知を回避できる偽陰性アクセスの攻撃サンプルを得ることができる。
以上、実施の形態1及び2を説明したが、これら2つの実施の形態を組み合わせて実施しても構わない。
あるいは、これら2つの実施の形態のうち、1つを部分的に実施しても構わない。
あるいは、これら2つの実施の形態を部分的に組み合わせて実施しても構わない。
また、これら2つの実施の形態に記載された構成及び手順を必要に応じて変更してもよい。
あるいは、これら2つの実施の形態のうち、1つを部分的に実施しても構わない。
あるいは、これら2つの実施の形態を部分的に組み合わせて実施しても構わない。
また、これら2つの実施の形態に記載された構成及び手順を必要に応じて変更してもよい。
***ハードウェア構成の補足説明***
最後に、攻撃ログ生成装置100のハードウェア構成の補足説明を行う。
図1に示すプロセッサ901は、プロセッシングを行うIC(Integrated Circuit)である。
プロセッサ901は、CPU(Central Processing Unit)、DSP(Digital Signal Processor)等である。
図1に示す主記憶装置902は、RAM(Random Access Memory)である。
図1に示す補助記憶装置903は、ROM(Read Only Memory)、フラッシュメモリ、HDD(Hard Disk Drive)等である。
最後に、攻撃ログ生成装置100のハードウェア構成の補足説明を行う。
図1に示すプロセッサ901は、プロセッシングを行うIC(Integrated Circuit)である。
プロセッサ901は、CPU(Central Processing Unit)、DSP(Digital Signal Processor)等である。
図1に示す主記憶装置902は、RAM(Random Access Memory)である。
図1に示す補助記憶装置903は、ROM(Read Only Memory)、フラッシュメモリ、HDD(Hard Disk Drive)等である。
また、補助記憶装置903には、OS(Operating System)も記憶されている。
そして、OSの少なくとも一部がプロセッサ901により実行される。
プロセッサ901はOSの少なくとも一部を実行しながら、正常分類部101、検知部102、攻撃生成部103、近傍抽出部104、傾向抽出部105及び特徴修正部106の機能を実現するプログラムを実行する。
プロセッサ901がOSを実行することで、タスク管理、メモリ管理、ファイル管理、通信制御等が行われる。
また、正常分類部101、検知部102、攻撃生成部103、近傍抽出部104、傾向抽出部105及び特徴修正部106の処理の結果を示す情報、データ、信号値及び変数値の少なくともいずれかが、主記憶装置902、補助記憶装置903、プロセッサ901内のレジスタ及びキャッシュメモリの少なくともいずれかに記憶される。
また、正常分類部101、検知部102、攻撃生成部103、近傍抽出部104、傾向抽出部105及び特徴修正部106の機能を実現するプログラムは、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD等の可搬記録媒体に格納されていてもよい。そして、正常分類部101、検知部102、攻撃生成部103、近傍抽出部104、傾向抽出部105及び特徴修正部106の機能を実現するプログラムが格納された可搬記録媒体を流通させてもよい。
そして、OSの少なくとも一部がプロセッサ901により実行される。
プロセッサ901はOSの少なくとも一部を実行しながら、正常分類部101、検知部102、攻撃生成部103、近傍抽出部104、傾向抽出部105及び特徴修正部106の機能を実現するプログラムを実行する。
プロセッサ901がOSを実行することで、タスク管理、メモリ管理、ファイル管理、通信制御等が行われる。
また、正常分類部101、検知部102、攻撃生成部103、近傍抽出部104、傾向抽出部105及び特徴修正部106の処理の結果を示す情報、データ、信号値及び変数値の少なくともいずれかが、主記憶装置902、補助記憶装置903、プロセッサ901内のレジスタ及びキャッシュメモリの少なくともいずれかに記憶される。
また、正常分類部101、検知部102、攻撃生成部103、近傍抽出部104、傾向抽出部105及び特徴修正部106の機能を実現するプログラムは、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD等の可搬記録媒体に格納されていてもよい。そして、正常分類部101、検知部102、攻撃生成部103、近傍抽出部104、傾向抽出部105及び特徴修正部106の機能を実現するプログラムが格納された可搬記録媒体を流通させてもよい。
また、正常分類部101、検知部102、攻撃生成部103、近傍抽出部104、傾向抽出部105及び特徴修正部106の「部」を、「回路」又は「工程」又は「手順」又は「処理」又は「サーキットリー」に読み替えてもよい。
また、攻撃ログ生成装置100は、処理回路により実現されてもよい。処理回路は、例えば、ロジックIC(Integrated Circuit)、GA(Gate Array)、ASIC(Application Specific Integrated Circuit)、FPGA(Field-Programmable Gate Array)である。
この場合は、正常分類部101、検知部102、攻撃生成部103、近傍抽出部104、傾向抽出部105及び特徴修正部106は、それぞれ処理回路の一部として実現される。
なお、本明細書では、プロセッサと処理回路との上位概念を、「プロセッシングサーキットリー」という。
つまり、プロセッサと処理回路とは、それぞれ「プロセッシングサーキットリー」の具体例である。
また、攻撃ログ生成装置100は、処理回路により実現されてもよい。処理回路は、例えば、ロジックIC(Integrated Circuit)、GA(Gate Array)、ASIC(Application Specific Integrated Circuit)、FPGA(Field-Programmable Gate Array)である。
この場合は、正常分類部101、検知部102、攻撃生成部103、近傍抽出部104、傾向抽出部105及び特徴修正部106は、それぞれ処理回路の一部として実現される。
なお、本明細書では、プロセッサと処理回路との上位概念を、「プロセッシングサーキットリー」という。
つまり、プロセッサと処理回路とは、それぞれ「プロセッシングサーキットリー」の具体例である。
100 攻撃ログ生成装置、101 正常分類部、102 検知部、103 攻撃生成部、104 近傍抽出部、105 傾向抽出部、106 特徴修正部、107 修正部、111 検知回避攻撃ログDB、112 正常ログDB、113 攻撃ログDB、114 正常ログ統計情報DB、115 真陰性正常ログDB、116 近傍真陰性正常ログDB、117 真陰性正常ログ傾向DB、118 偽陽性正常ログDB、119 近傍偽陽性正常ログDB、120 偽陽性正常ログ傾向DB、901 プロセッサ、902 主記憶装置、903 補助記憶装置、904 キーボード、905 マウス、1031 模擬環境、1032 攻撃実行部、1033 攻撃モジュール、1034 攻撃シナリオDB、1035 ログ収集部、1041 特徴抽出部、1042 特徴表現部、1043 近傍算出部、1051 特徴抽出部、1052 特徴表現部、1053 重要度算出部、1054 傾向算出部、1061 データ修正部、1062 検証部。
Claims (12)
- 攻撃目的のアクセスであることが判明しており攻撃検知システムが攻撃目的のアクセスであると判定した真陽性アクセスを抽出する抽出部と、
正常なアクセスであることが判明しており前記攻撃検知システムが正常なアクセスであると判定した真陰性アクセスの特徴を用いて、前記真陽性アクセスの特徴を修正する修正部とを有する情報処理装置。 - 前記修正部は、
特徴が修正された後の前記真陽性アクセスである修正真陽性アクセスを前記攻撃検知システムが正常なアクセスであると判定するように、前記真陽性アクセスの特徴を修正する請求項1に記載の情報処理装置。 - 前記修正部は、
特徴が修正された後の前記真陽性アクセスである修正真陽性アクセスを前記攻撃検知システムが攻撃目的のアクセスであると判定した場合に、前記真陰性アクセスの特徴を用いて、前記修正真陽性アクセスの特徴を修正する請求項1に記載の情報処理装置。 - 前記修正部は、
正常なアクセスであることが判明しており前記攻撃検知システムが正常なアクセスであると判定したアクセスのうち前記真陽性アクセスの特徴に近似する特徴を有するアクセスを前記真陰性アクセスとして抽出し、
抽出した前記真陰性アクセスの特徴を用いて、前記真陽性アクセスの特徴を修正する請求項1に記載の情報処理装置。 - 前記修正部は、
前記真陽性アクセスに複数の特徴がある場合に、前記複数の特徴から選択条件に合致する特徴を選択し、
選択した特徴を、前記真陰性アクセスの特徴を用いて修正する請求項1に記載の情報処理装置。 - 前記修正部は、
前記真陽性アクセスと前記真陰性アクセスとを区別する度合いである特徴の重要度を、前記複数の特徴の各々について算出し、
前記複数の特徴から、重要度が前記選択条件に合致する特徴を選択する請求項5に記載の情報処理装置。 - 前記修正部は、
前記真陽性アクセスと前記真陰性アクセスとを区別する度合いが高い特徴の重要度が高くなるように前記複数の特徴の各々の重要度を算出する請求項6に記載の情報処理装置。 - 前記修正部は、
正常なアクセスであることが判明しているが前記攻撃検知システムが誤って攻撃目的のアクセスであると判定した偽陽性アクセスの特徴と、前記真陰性アクセスの特徴とを用いて、前記真陽性アクセスの特徴を修正する請求項1に記載の情報処理装置。 - 前記修正部は、
特徴が修正された後の前記真陽性アクセスである修正真陽性アクセスを前記攻撃検知システムが攻撃目的のアクセスであると判定した場合に、前記偽陽性アクセスの特徴と前記真陰性アクセスの特徴とを用いて、前記修正真陽性アクセスの特徴を修正する請求項8に記載の情報処理装置。 - 前記修正部は、
前記真陰性アクセスの特徴のうち前記偽陽性アクセスの特徴と重複する特徴を排除した後の前記真陰性アクセスの特徴を用いて、前記真陽性アクセスの特徴を修正する請求項8に記載の情報処理装置。 - コンピュータが、攻撃目的のアクセスであることが判明しており攻撃検知システムが攻撃目的のアクセスであると判定した真陽性アクセスを抽出し、
前記コンピュータが、正常なアクセスであることが判明しており前記攻撃検知システムが正常なアクセスであると判定した真陰性アクセスの特徴を用いて、前記真陽性アクセスの特徴を修正する情報処理方法。 - 攻撃目的のアクセスであることが判明しており攻撃検知システムが攻撃目的のアクセスであると判定した真陽性アクセスを抽出する抽出処理と、
正常なアクセスであることが判明しており前記攻撃検知システムが正常なアクセスであると判定した真陰性アクセスの特徴を用いて、前記真陽性アクセスの特徴を修正する修正処理とをコンピュータに実行させる情報処理プログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2020/045452 WO2022123623A1 (ja) | 2020-12-07 | 2020-12-07 | 情報処理装置、情報処理方法及び情報処理プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2022123623A1 JPWO2022123623A1 (ja) | 2022-06-16 |
| JP7170955B1 true JP7170955B1 (ja) | 2022-11-14 |
Family
ID=81974303
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022553624A Active JP7170955B1 (ja) | 2020-12-07 | 2020-12-07 | 情報処理装置、情報処理方法及び情報処理プログラム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20230262075A1 (ja) |
| JP (1) | JP7170955B1 (ja) |
| CN (1) | CN116569168A (ja) |
| DE (1) | DE112020007653T5 (ja) |
| WO (1) | WO2022123623A1 (ja) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160381042A1 (en) * | 2015-06-29 | 2016-12-29 | Fortinet, Inc. | Emulator-based malware learning and detection |
| WO2018100718A1 (ja) * | 2016-12-01 | 2018-06-07 | 三菱電機株式会社 | 評価装置、セキュリティ製品の評価方法および評価プログラム |
| US20190080089A1 (en) * | 2017-09-11 | 2019-03-14 | Intel Corporation | Adversarial attack prevention and malware detection system |
| WO2019073557A1 (ja) * | 2017-10-11 | 2019-04-18 | 三菱電機株式会社 | サンプルデータ生成装置、サンプルデータ生成方法およびサンプルデータ生成プログラム |
| JP2019197549A (ja) * | 2013-06-24 | 2019-11-14 | サイランス・インコーポレイテッドCylance Inc. | 機械学習を使用した生成的マルチモデルマルチクラス分類および類似度分析のための自動システム |
-
2020
- 2020-12-07 JP JP2022553624A patent/JP7170955B1/ja active Active
- 2020-12-07 WO PCT/JP2020/045452 patent/WO2022123623A1/ja active Application Filing
- 2020-12-07 CN CN202080107438.3A patent/CN116569168A/zh active Pending
- 2020-12-07 DE DE112020007653.9T patent/DE112020007653T5/de active Pending
-
2023
- 2023-04-07 US US18/297,035 patent/US20230262075A1/en active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019197549A (ja) * | 2013-06-24 | 2019-11-14 | サイランス・インコーポレイテッドCylance Inc. | 機械学習を使用した生成的マルチモデルマルチクラス分類および類似度分析のための自動システム |
| US20160381042A1 (en) * | 2015-06-29 | 2016-12-29 | Fortinet, Inc. | Emulator-based malware learning and detection |
| WO2018100718A1 (ja) * | 2016-12-01 | 2018-06-07 | 三菱電機株式会社 | 評価装置、セキュリティ製品の評価方法および評価プログラム |
| US20190080089A1 (en) * | 2017-09-11 | 2019-03-14 | Intel Corporation | Adversarial attack prevention and malware detection system |
| WO2019073557A1 (ja) * | 2017-10-11 | 2019-04-18 | 三菱電機株式会社 | サンプルデータ生成装置、サンプルデータ生成方法およびサンプルデータ生成プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022123623A1 (ja) | 2022-06-16 |
| JPWO2022123623A1 (ja) | 2022-06-16 |
| US20230262075A1 (en) | 2023-08-17 |
| DE112020007653T5 (de) | 2023-08-03 |
| CN116569168A (zh) | 2023-08-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11012472B2 (en) | Security rule generation based on cognitive and industry analysis | |
| Kaur et al. | Hybrid intrusion detection and signature generation using deep recurrent neural networks | |
| Martins et al. | Host-based IDS: A review and open issues of an anomaly detection system in IoT | |
| US20230291755A1 (en) | Enterprise cybersecurity ai platform | |
| Khasawneh et al. | EnsembleHMD: Accurate hardware malware detectors with specialized ensemble classifiers | |
| Nahmias et al. | Deep feature transfer learning for trusted and automated malware signature generation in private cloud environments | |
| Malik et al. | [Retracted] An Improved Deep Belief Network IDS on IoT‐Based Network for Traffic Systems | |
| Atefi et al. | Anomaly analysis for the classification purpose of intrusion detection system with K-nearest neighbors and deep neural network | |
| Imran et al. | Intrusion detection in networks using cuckoo search optimization | |
| CN112884204B (zh) | 网络安全风险事件预测方法及装置 | |
| Gorment et al. | Machine learning algorithm for malware detection: Taxonomy, current challenges, and future directions | |
| Alam et al. | Looking beyond IoCs: Automatically extracting attack patterns from external CTI | |
| Atawodi | A machine learning approach to network intrusion detection system using K nearest neighbor and random forest | |
| Seth et al. | MIDS: Metaheuristic based intrusion detection system for cloud using k-NN and MGWO | |
| Eid et al. | Comparative study of ML models for IIoT intrusion detection: impact of data preprocessing and balancing | |
| Alsajri et al. | Intrusion Detection System Based on Machine Learning Algorithms:(SVM and Genetic Algorithm) | |
| BN et al. | Revolutionizing ransomware detection and criticality assessment: multiclass hybrid machine learning and semantic similarity-based end2end solution | |
| Ren et al. | APT Attack Detection Based on Graph Convolutional Neural Networks | |
| US20230222215A1 (en) | System and method for differential malware scanner | |
| Kejia et al. | A classification model based on svm and fuzzy rough set for network intrusion detection | |
| JP7170955B1 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| Patil et al. | Learning to detect phishing web pages using lexical and string complexity analysis | |
| Marimuthu et al. | Intelligent antiphishing framework to detect phishing scam: A hybrid classification approach | |
| Shah | Understanding and study of intrusion detection systems for various networks and domains | |
| Gasu | Threat detection in cyber security using data mining and machine learning Techniques |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220906 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20220906 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221004 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221101 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7170955 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |