JP7202932B2 - サイバー攻撃検知装置 - Google Patents
サイバー攻撃検知装置 Download PDFInfo
- Publication number
- JP7202932B2 JP7202932B2 JP2019046668A JP2019046668A JP7202932B2 JP 7202932 B2 JP7202932 B2 JP 7202932B2 JP 2019046668 A JP2019046668 A JP 2019046668A JP 2019046668 A JP2019046668 A JP 2019046668A JP 7202932 B2 JP7202932 B2 JP 7202932B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- detection means
- detection
- information
- cyber
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本願は、サイバー攻撃検知装置に関するものである。
サイバー攻撃は、ITシステムだけでなく、電力制御システム等の制御系システムまたは制御機器等も標的となる。サイバー攻撃による攻撃を受けた機器は、データの改ざんおよび不正なプロセスの実行、サービス停止など、種々の侵害を受けるため、サイバー攻撃は速やかに検知し、対処することが求められる。従来、サイバー攻撃を検知するための手段として、例えば処理ログおよび操作ログなどの各種ログの分析が行われている(例えば、非特許文献1参照)。さらに、ログの分析によるサイバー攻撃検知としては、広域コンピュータネットワークに接続されたコンピュータシステム毎に、ネットワーク構成機器等のインシデントログを収集し、収集したインシデントログから取得されるイベントから不正アクセスのイベントを検知するシステムも提案されている(例えば、特許文献1参照)。また、ログの分析以外の従来のサイバー攻撃検知手段として、対象の機器にリモートログインして調査用コマンドを実行する(例えば、非特許文献2参照)、検査対象のポートに検査パケットを送信して反応を見る(例えば、非特許文献3参照)などの手段が挙げられる。
JPCERTコーディネーションセンター、"高度サイバー攻撃への対処におけるログの活用と分析方法"、[online]、最終更新2016年10月19日、[平成31年1月21日検索]、インターネット<URL:https://www.jpcert.or.jp/research/apt-loganalysis.html>
打越浩幸、デジタルアドバンテージ、"WindowsでWMIとwmcコマンドを使ってシステムを管理する(基本編)"、@IT、[online]、2015年7月10日、[平成31年1月21日検索]、インターネット<URL: http://www.atmarkit.co.jp/ait/articles/0804/18/news154.html>
NMAP.ORG、"Nmap Network Scanning ポートスキャンのテクニック"、[online]、 [平成31年1月21日検索]、インターネット<URL:https://nmap.org/man/ja/man-port-scanning-techniques.html>
しかしながら、ログの分析によるサイバー攻撃の検知は、ログの出力が前提となるため、ログを出力しない機器に対しては非特許文献1の手段を実施できない。これは、ネットワーク構成機器等のインシデントログを収集することにより不正アクセスのイベントを検知する特許文献1の技術についても同様である。また、非特許文献2に記載のリモートログインを行う手段、および非特許文献3に記載の検知パケットを用いる手段は、システムの処理に影響を及ぼす可能性があるため、システムの状況によっては実施不可能であったり、実施時間などに制限があったりする可能性がある。このように、サイバー攻撃を検知するための検知手段の実施には種々の制約があり、各検知手段の実施可能性および実施における制限を考慮しながら適時適切な検知手段を選択し実施することは困難な場合があり、サイバー攻撃の検知を迅速に行うことができない可能性がある。
本願は、上記のような課題を解決するための技術を開示するものであり、攻撃および異常を検知する検知手段を適時適切に選択し実施して、サイバー攻撃の検知を迅速に行うことができるサイバー攻撃検知装置を得ることを目的とする。
本願に開示されるサイバー攻撃検知装置は、システムを構成するそれぞれの構成要素について、構成要素に対する攻撃および構成要素に発生している異常を検知する検知手段を実施し、検知手段を実施した結果に基づいてサイバー攻撃の検知を行うサイバー攻撃検知装置であって、それぞれの構成要素に対する検知手段の実施可能性を示す情報である検知手段実施可能性情報をそれぞれの構成要素および検知手段と紐付けて構成した検知手段リストを保存する構成管理データベースと、構成要素に対して行われている攻撃に関する情報である先行攻撃情報を含む検知アラートを受信し、先行攻撃情報を検知アラートから取得する先行攻撃情報取得部と、先行攻撃情報に基づいて次の攻撃対象を予測し、予測した次の攻撃対象の識別情報を次攻撃対象情報として出力する次攻撃対象予測部と、次攻撃対象情報を検索キーとして構成管理データベースを参照し、次の攻撃対象と予測された構成要素についての検知手段リストを取得する検知手段リスト取得部と、予め定められた検知手段選択条件と、次の攻撃対象と予測された構成要素に紐付けられた検知手段実施可能性情報とに基づいて、次の攻撃対象と予測された構成要素に対して実施可能な検知手段を検知手段リストから選択する検知手段選択部と、検知手段選択部によって選択された検知手段を実施し、得られた検知結果を出力する検知手段実施部と、検知結果および予め定められた判定条件に基づいて、サイバー攻撃を受けているか否かを判定するサイバー攻撃判定部とを備えたものである。
本願に開示されるサイバー攻撃検知装置によれば、攻撃および異常を検知する検知手段を適時適切に選択し実施して、サイバー攻撃の検知を迅速に行うことができる。
実施の形態1.
以下に、実施の形態1を図1から図7に基づいて説明する。図1は、実施の形態1におけるサイバー攻撃検知装置を示す機能構成図である。サイバー攻撃検知装置10は、外部からの攻撃を示す検知アラート101を受信し、検知アラート101のデータ部分をアラートデータ102として取得するアラート受信部11と、次に攻撃対象となる機器をアラートデータ102に基づいて予測し、次に攻撃対象となる機器の識別情報を次攻撃対象103として出力する次攻撃対象予測部12と、例えば制御系システムなどのシステムを構成するそれぞれの機器について、セキュリティに関する情報を含む構成上の情報と、攻撃および異常を検知する検知手段に関する情報を保持する構成管理データベース(以下、構成管理DB)1011と、次攻撃対象103に応じた検索キー1011aを用いて構成管理DB1011を参照し、対応する検索結果1011bを取得するとともに、検索結果1011bから得られる検知手段リスト104を出力する構成管理DB参照部13と、実施する検知手段を検知手段リスト104から選択し、実施検知手段105として出力する検知手段選択部14とを備えている。
以下に、実施の形態1を図1から図7に基づいて説明する。図1は、実施の形態1におけるサイバー攻撃検知装置を示す機能構成図である。サイバー攻撃検知装置10は、外部からの攻撃を示す検知アラート101を受信し、検知アラート101のデータ部分をアラートデータ102として取得するアラート受信部11と、次に攻撃対象となる機器をアラートデータ102に基づいて予測し、次に攻撃対象となる機器の識別情報を次攻撃対象103として出力する次攻撃対象予測部12と、例えば制御系システムなどのシステムを構成するそれぞれの機器について、セキュリティに関する情報を含む構成上の情報と、攻撃および異常を検知する検知手段に関する情報を保持する構成管理データベース(以下、構成管理DB)1011と、次攻撃対象103に応じた検索キー1011aを用いて構成管理DB1011を参照し、対応する検索結果1011bを取得するとともに、検索結果1011bから得られる検知手段リスト104を出力する構成管理DB参照部13と、実施する検知手段を検知手段リスト104から選択し、実施検知手段105として出力する検知手段選択部14とを備えている。
また、サイバー攻撃検知装置10は、必要に応じて外部の連携セキュリティ装置91を利用することで実施検知手段105を実施し、得られる結果を検知結果106として出力する検知手段実施部15と、検知結果106に基づいてサイバー攻撃を受けているか否かを判定し、判定結果107として出力するサイバー攻撃判定部16と、判定結果107を出力データ108として外部に出力する結果出力部17を備えている。
図1に示した各機能部等は、図2に一例を示すハードウェア構成により実現される。サイバー攻撃検知装置10は、主に、プロセッサ71と、主記憶装置としてのメモリ72および補助記憶装置73から構成される。プロセッサ71は、例えばCPU(Central Processing Unit)、メモリ72はランダムアクセスメモリ等の揮発性記憶装置であり、補助記憶装置73は、フラッシュメモリ等の不揮発性記憶装置またはハードディスクなどである。補助記憶装置73には、プロセッサが実行する所定のプログラムが記憶されており、プロセッサ71は、このプログラムを適宜読み出して実行し、各種演算処理を行う。この際、補助記憶装置73からメモリ72に上記所定のプログラムが一時的にメモリ72に保存され、プロセッサ71はメモリ72からプログラムを読み出す。図1に示した各機能部による演算処理は、上記のようにプロセッサ71が所定のプログラムを実行することで実現される。プロセッサ71による演算処理の結果は、一旦メモリ72に記憶され、実行された演算処理の目的に応じて補助記憶装置73に記憶される。また、構成管理DB1011をサイバー攻撃検知装置10内で実現する場合、構成管理DB1011のデータは補助記憶装置73に保存される。
通信インターフェース74は、検知アラート101の通信パケットなどを外部から受信するとともに、連携セキュリティ装置91に対して実施命令1012を送信し、連携セキュリティ装置91から実施結果1013を受信する。また、外部の記憶装置を利用して構成管理DB1011を実現する場合、通信インターフェース74は検索キー1011aの送信および検索結果1011bの受信を行う。入出力インターフェース75は、例えばキーボート、マウス、タッチパネルなどの入力装置(図示なし)と接続され、ユーザーからの入力を受け付けるとともに、液晶ディスプレイなどの表示装置(図示なし)、印刷装置(図示なし)、または外部記憶装置(図示なし)と接続されて、出力データ108の出力を行う。
アラート受信部11は、検知アラート101をサイバー攻撃検知装置10の外部から受信し、必要に応じてデコード行って、検知アラート101のデータ部分であるペイロードを抽出する。検知アラート101は、例えばネットワーク侵入検知装置のアラートデータであり、通信ヘッダとペイロードから構成されるものである。検知アラート101のペイロードは、「ネットワークへの侵入を検知した機器の識別子」「侵入を検知した時刻」「攻撃対象の機器の識別子」「攻撃対象のポートのポート番号」「攻撃元の機器の識別子」「攻撃種別」「攻撃の重要度」「攻撃に関連する脆弱性の識別情報」などのデータを含んでいる。「攻撃に関連する脆弱性の識別情報」としては、例えばCVE(Common Vunerability Enumeration)番号が考えられる。このように、検知アラート101のペイロードには、先行する攻撃に関する情報である先行攻撃情報が含まれており、アラート受信部11は先行攻撃情報取得部に相当する。検知アラート101の通信ヘッダは、アラート受信部11により除去される。アラート受信部11は、抽出したペイロードをアラートデータ102として出力する。なお、実施の形態1では、現在攻撃されている、攻撃対象の機器を機器V(図示なし)とする。
次攻撃対象予測部12は、アラートデータ102が入力されて、アラートデータ102に含まれる先行攻撃情報から、次に攻撃される機器を予測する。また、次攻撃対象予測部12は、次の攻撃対象と予測した機器の識別情報を次攻撃対象103として出力する。次攻撃対象103は、次攻撃対象情報に相当し、次に攻撃対象となると予測された機器の識別子を含む、この識別子としては、IPアドレス、MACアドレス、およびホスト名などがある。また、次攻撃対象103は、攻撃対象のポート番号を含んでもよいし、攻撃に利用されている脆弱性に関する情報を含んでもよい。
なお、実施の形態1では、現在の攻撃対象が同一または他の攻撃手法により続けて攻撃される(次の攻撃対象も機器Vである)と予測されたと仮定し、以降の説明もこの仮定の下で行う。
なお、実施の形態1では、現在の攻撃対象が同一または他の攻撃手法により続けて攻撃される(次の攻撃対象も機器Vである)と予測されたと仮定し、以降の説明もこの仮定の下で行う。
構成管理DB参照部13は、次攻撃対象103が入力され、次攻撃対象103に含まれる識別情報を検索キー1011aとして構成管理DB1011を参照する。構成管理DB1011は検索キー1011aに応じた検索結果1011bを構成管理DB参照部13に返す。構成管理DB参照部13は、検索結果1011bを検知手段リスト104として出力する。この検索結果1011bには検知手段リスト104が含まれており、構成管理DB参照部13は、検索結果1011bから検知手段リスト104を取得し、出力する。このように、構成管理DB参照部13は、検知手段リスト取得部に相当する。なお上述したように、実施の形態1では次の攻撃対象も機器Vであるため、機器Vの識別情報が検索キー1011aとなり、後述する機器Vのエントリが検索結果1011bとして返される。
構成管理DB1011は、システムを構成するそれぞれの機器の情報を保持する。構成管理DB1011が保持する情報の例として、機器Vのエントリを図3に示す。構成管理DB1011が保持するエントリ81は、機器Vの構成に関する情報などを含むインベントリ82と、機器Vに対する攻撃および機器Vに発生している異常の検知に関する情報である検知関連情報83を含む。インベントリ82は、機器Vのハードウェア構成およびOS、インストールされているソフトウェアのソフトウェア構成を含む。なお、これらの構成には製品の型番およびバージョンを含む。さらに、インベントリ82は、機器Vに実施されているセキュリティ対策の情報を含む。具体的には、例えば適用しているパッチの情報、インストールされているアンチウィルス等の情報を含んでいる。また、残存している脆弱性を示す情報として、例えばCVE番号などの脆弱性識別情報をインベントリ82に含めてもよい。
検知関連情報83は、機器Vに対する攻撃および機器Vに発生している異常を検知する検知手段を示す検知手段項目83aと、検知手段項目83aが示す検知手段を実施できるか判断するための情報である状況83bと、関連する検知手段の実施の際に連携するセキュリティ装置の情報である連携セキュリティ装置情報83cを含む。機器Vに対して実施されうる検知手段が複数ある場合、それぞれの検知手段項目83aは図3のようにナンバリングされ、検知手段項目83aに示される検知手段と状況83bおよび連携セキュリティ装置情報83cが紐付けられた状態で検知関連情報83が構成されている。状況83bは、主に検知手段項目83aが示す検知手段の実施可能性および実施条件を示し、検知手段実施可能性情報に相当する。連携セキュリティ装置情報83cは、検知手段項目83aが示す検知手段を実施する際にサイバー攻撃検知装置10が連携する連携セキュリティ装置91に関する情報であり、連携セキュリティ装置91の識別情報を含む。図3で示す例について具体的に説明する。
(#1「機器のログの分析」)
#1「機器のログの分析」は、機器Vのログを取得して分析することにより、機器Vに対する攻撃および機器Vに発生している異常を検知する検知手段である。より具体的には、#1「機器のログの分析」により、機器Vに対する攻撃および機器Vに発生している異常が検知される。ここで、機器Vにおける異常の発生は、機器Vに対する攻撃が成功し、機器Vが何らかの侵害を受けている可能性があることを示すので、機器Vに発生している異常を検知することは、機器Vに対する攻撃を間接的に検知することになる。このように、#1「機器のログの分析」は、機器Vに対する攻撃を直接的または間接的に検知する。このように機器Vに対する攻撃を直接的または間接的に検知する点は、後述する#2から#5の検知手段でも同様である。
#1「機器のログの分析」は、機器Vのログを取得して分析することにより、機器Vに対する攻撃および機器Vに発生している異常を検知する検知手段である。より具体的には、#1「機器のログの分析」により、機器Vに対する攻撃および機器Vに発生している異常が検知される。ここで、機器Vにおける異常の発生は、機器Vに対する攻撃が成功し、機器Vが何らかの侵害を受けている可能性があることを示すので、機器Vに発生している異常を検知することは、機器Vに対する攻撃を間接的に検知することになる。このように、#1「機器のログの分析」は、機器Vに対する攻撃を直接的または間接的に検知する。このように機器Vに対する攻撃を直接的または間接的に検知する点は、後述する#2から#5の検知手段でも同様である。
#1「機器のログの分析」に対応する状況83bは「ログ有り」または「ログ無し」である。状況83bが「ログ有り」の場合は、機器Vに対する攻撃および機器Vに発生している異常を検知するために機器Vのログを利用でき、ログ分析を実施することができる。「ログ無し」の場合は機器Vのログを利用できず、ログ分析を実施することができない。また、ログの分析を実施する場合はログ分析装置と連携するため、連携セキュリティ装置情報83cは「ログ分析装置の識別子」となり、図1の連携セキュリティ装置91は、機器Vのログを保存し分析するログ分析装置となる。また、「ログ分析装置の識別子」としては、例えばHTTPサーバのURLなど、このログ分析装置で外部から検索を行うために利用される識別子である。
(#2「接続されているスイッチのログの分析」)
#2「接続されているスイッチのログの分析」は、機器Vに接続されているネットワークスイッチのログを取得して分析することにより、機器Vの通信状況から、機器Vに対する攻撃および機器Vに発生している異常を検知する検知手段である。
#2「接続されているスイッチのログの分析」は、機器Vに接続されているネットワークスイッチのログを取得して分析することにより、機器Vの通信状況から、機器Vに対する攻撃および機器Vに発生している異常を検知する検知手段である。
#2「接続されているスイッチのログの分析」に対応する状況83bは「ログ有り」または「ログ無し」である。状況83bが「ログ有り」の場合は、ネットワークスイッチのログの分析することにより機器Vに対する攻撃および機器Vに発生している異常を検知することができる。「ログ無し」の場合はネットワークスイッチのログを利用できず、ログ分析を実施することができない。また、ログ分析を実施する場合はログ分析装置と連携するため、連携セキュリティ装置情報83cは「ログ分析装置の識別子」となり、図1の連携セキュリティ装置91は、ネットワークスイッチのログを保存し分析するログ分析装置となる。
なお、ここでは「接続されているスイッチのログ」とし、一例として機器Vに接続されているネットワークスイッチのログとしているが、機器Vが接続されているネットワークの通信を監視または制御する機器のログであればよい。例えば、機器Vが接続されているネットワークの通信を制御するファイアウオール機器のログ、機器Vのネットワーク上の振る舞いを監視するセキュリティ機器のログであってもよい。#2「接続されているスイッチのログの分析」については、以降の説明でも同様である。
なお、ここでは「接続されているスイッチのログ」とし、一例として機器Vに接続されているネットワークスイッチのログとしているが、機器Vが接続されているネットワークの通信を監視または制御する機器のログであればよい。例えば、機器Vが接続されているネットワークの通信を制御するファイアウオール機器のログ、機器Vのネットワーク上の振る舞いを監視するセキュリティ機器のログであってもよい。#2「接続されているスイッチのログの分析」については、以降の説明でも同様である。
(#3「アクティブ検査」)
#3「アクティブ検査」は、能動的な検査により機器Vに対する攻撃および機器Vに発生している異常を検知する検知手段である。「アクティブ検査」の具体例としては、「検査パケットによる検査」「リモートログインによる検査」等がある。
「検査パケットによる検査」は、外部のセキュリティ検査装置から機器Vへ検査パケットを送信し、検査パケットに対する応答内容および応答タイミングなどをセキュリティ検査装置側で分析して機器Vに対する攻撃および機器Vに発生している異常を検知する。例えば、検査パケットに対する応答に異常があれば、先行する攻撃が成功し、機器Vに異常が発生しているとみなされる。
「リモートログインによる検査」は、外部のセキュリティ検査装置から機器Vにリモートログインして機器Vのリソースの消費状況等を調査し、リソース消費の異常の有無から機器Vおける攻撃または異常を検知する。また、「リモートログインによる検査」においては、リモートログイン中に検査用のOSコマンドを実行して情報を取得、分析することも考えられる。
#3「アクティブ検査」は、能動的な検査により機器Vに対する攻撃および機器Vに発生している異常を検知する検知手段である。「アクティブ検査」の具体例としては、「検査パケットによる検査」「リモートログインによる検査」等がある。
「検査パケットによる検査」は、外部のセキュリティ検査装置から機器Vへ検査パケットを送信し、検査パケットに対する応答内容および応答タイミングなどをセキュリティ検査装置側で分析して機器Vに対する攻撃および機器Vに発生している異常を検知する。例えば、検査パケットに対する応答に異常があれば、先行する攻撃が成功し、機器Vに異常が発生しているとみなされる。
「リモートログインによる検査」は、外部のセキュリティ検査装置から機器Vにリモートログインして機器Vのリソースの消費状況等を調査し、リソース消費の異常の有無から機器Vおける攻撃または異常を検知する。また、「リモートログインによる検査」においては、リモートログイン中に検査用のOSコマンドを実行して情報を取得、分析することも考えられる。
#3「アクティブ検査」に対応する状況83bは、アクティブ検査実施の可否(可もしくは不可)、実施可能な検査種別、検査に対する制限の有無および制限の内容などの情報である。制限の内容の例としては、例えば9時から12時および13時から17時はアクティブ検査の実施は不可とし、それ以外の時間帯では実施可とするなどの時間帯の制限が挙げられる。また、80番ポートのみ検査パケットを受け付けるなどのポート番号の制限も挙げられる。アクティブ検査に対してこのような制限が課されるのは、アクティブ検査の実施が機器Vの運用が妨げるような影響を機器Vに与え、業務に支障をきたす可能性があるためである。上記のようにアクティブ検査の実施に制限を課すことにより、機器Vの運用を妨げることなくアクティブ検査を実施することができる。また、「アクティブ検査」はネットワーク経由でセキュリティ検査を実施できるセキュリティ検査装置と連携するため、連携セキュリティ装置情報83cは、「セキュリティ検査装置の識別子」となり、図1の連携セキュリティ装置91は、各種のアクティブ検査を実施可能なセキュリティ検査装置となる。
(#4「常時監視データの分析」)
#4「常時監視データの分析」は、機器Vの常時監視データをログと同様に分析することで機器Vに対する攻撃および機器Vに発生している異常を検知する検知手段である。ここで「常時監視データ」は、機器Vのプロセッサ71およびメモリ72などのリソースを外部から定期的に監視することで得られたデータ、または特定のエラーの発生を定期的に監視することで得られたデータである。なお、#4「常時監視データの分析」を実施できるのは、上記のような監視を行う運用がなされ、常時監視データが蓄積されている場合である。
#4「常時監視データの分析」は、機器Vの常時監視データをログと同様に分析することで機器Vに対する攻撃および機器Vに発生している異常を検知する検知手段である。ここで「常時監視データ」は、機器Vのプロセッサ71およびメモリ72などのリソースを外部から定期的に監視することで得られたデータ、または特定のエラーの発生を定期的に監視することで得られたデータである。なお、#4「常時監視データの分析」を実施できるのは、上記のような監視を行う運用がなされ、常時監視データが蓄積されている場合である。
#4「常時監視データの分析」に対応する状況83bは「データ有り」または「データ無し」となる。状況83bが「データ有り」の場合は、機器Vに対する攻撃および機器Vに発生している異常を検知するために機器Vの常時監視データを利用でき、分析を実施することができる。「データ無し」の場合は機器Vの常時監視データを利用できず、分析を実施することができない。また、常時監視データの分析はログ分析装置で行うため、連携セキュリティ装置情報83cは「ログ分析装置の識別子」となり、図1の連携セキュリティ装置91は、機器Vの常時監視データをログとして保存し分析するログ分析装置となる。
(#5「連携関係のある機器の分析」)
#5「連携関係のある機器の分析」は、機器Vと連携関係のある機器Xの状態を分析することにより、機器Vに対する攻撃および機器Vに発生している異常を検知する検知手段である。ここで「連携関係」とは、「機器Vと機器Xがネットワークを介してデータを送受信する」「USBメモリを用いて機器Vと機器Xの間でデータ移動が行われる」「機器Vの利用者が機器Vの処理結果(例えばオン/オフ指令または数値)を用いて機器Xを操作する、あるいは機器Vの処理結果を機器Xに入力する」など、システム上の通信による連携だけでなく、人手を介した命令及びデータ入力のような業務フロー上の連携も含めた、広い意味での「連携関係」を意味している。「機器Xと機器Vは連携関係がある」場合、機器Vの処理結果および機器Vのデータが機器Xに影響を与え、機器Xの処理結果および機器Xのデータが機器Vに影響を与える可能性がある。この場合、一方に発生した異常または一方が受けた攻撃は、他方に対しても影響を与える可能性がある。このことを利用し、#5「連携関係のある機器の分析」は、機器Vと連携関係がある機器Xの状態から機器Vに対する攻撃および機器Vに発生している異常を検知する。
#5「連携関係のある機器の分析」は、機器Vと連携関係のある機器Xの状態を分析することにより、機器Vに対する攻撃および機器Vに発生している異常を検知する検知手段である。ここで「連携関係」とは、「機器Vと機器Xがネットワークを介してデータを送受信する」「USBメモリを用いて機器Vと機器Xの間でデータ移動が行われる」「機器Vの利用者が機器Vの処理結果(例えばオン/オフ指令または数値)を用いて機器Xを操作する、あるいは機器Vの処理結果を機器Xに入力する」など、システム上の通信による連携だけでなく、人手を介した命令及びデータ入力のような業務フロー上の連携も含めた、広い意味での「連携関係」を意味している。「機器Xと機器Vは連携関係がある」場合、機器Vの処理結果および機器Vのデータが機器Xに影響を与え、機器Xの処理結果および機器Xのデータが機器Vに影響を与える可能性がある。この場合、一方に発生した異常または一方が受けた攻撃は、他方に対しても影響を与える可能性がある。このことを利用し、#5「連携関係のある機器の分析」は、機器Vと連携関係がある機器Xの状態から機器Vに対する攻撃および機器Vに発生している異常を検知する。
#5「連携関係のある機器の分析」に対応する状況83bは「機器Xの識別情報」である。機器Xの識別情報は、機器Xの識別子、IPアドレス、MACアドレスおよびホスト名等を含む。また、連携関係のある機器(機器X)の分析を行う場合、攻撃または異常の検知自体は機器Xについて行い、機器Vにおいては機器Xについての検知結果を用いることとなるため、対応する連携セキュリティ装置情報83cは必要なく、「無し」でよい。
なお、実施の形態1では連携関係のある機器として分析する機器は機器Xのみであるが、「連携関係のある機器」が複数ある場合も同様である。全ての「連携関係のある機器」を分析対象としてもよいし、一部のみを分析対象としてもよい。
以上説明した各検知手段の情報を含む検知関連情報83が検知手段リスト104として構成管理DB参照部13から出力される。
検知手段選択部14は、検知手段リスト104および選択パラメータ1021が入力され、実施する検知手段を選択パラメータ1021に従って選択し、実施検知手段105として出力する。選択パラメータ1021は、予め定められた検知手段選択条件に相当する。
検知手段実施部15は、実施検知手段105および検知パラメータ1023が入力されて、検知パラメータ1023に従って実施検知手段105を実施する。この際、実施検知手段105に含まれる各検知手段について、各検知手段に応じた連携セキュリティ装置91に対して実施命令1012を送信し、実施結果1013を連携セキュリティ装置91から受信する。検知手段実施部15は、実施した各検知手段の実施結果1013を検知結果106として出力する。
サイバー攻撃判定部16は、検知結果106および判定パラメータ1022が入力されて、機器Vがサイバー攻撃を受けているか否かを検知結果106および判定パラメータ1022に基づいて判定し、判定結果107として出力する。判定パラメータ1022は、予め定められた判定条件に相当する。なお、実施の形態1における「サイバー攻撃」は、種々の検知手段により検知されたそれぞれの「攻撃または異常」により構成される。ただし、どの程度の「攻撃または異常」を「サイバー攻撃」と判定するかは後述する判定パラメータ1022による。1つの「攻撃または異常」のみでも「サイバー攻撃」と判定される可能性はある。
結果出力部17は、判定結果107が入力されて、入力された判定結果107を外部出力用にフォーマット化し、出力データ108としてサイバー攻撃検知装置10の外部に出力する。出力データ108は、例えば画像データ等の表示用データ、印刷用データ、ログデータなどのデータファイルなどである。また、サイバー攻撃検知装置10がsyslog機能を備えたOSを搭載している場合、出力データ108をsyslog通信データとしてもよい。このように、出力データ108のデータ形式は特に限られるものではない。
連携セキュリティ装置91は、検知手段実施部15からの実施命令1012を受け付け、実施結果1013を応答として返すインターフェースを備えている。このインターフェースは、例えばHTTP通信で実施命令1012を受け付け、HTTPで応答するようなインターフェースである。検知手段実施部15のインターフェースは、連携セキュリティ装置91のインターフェースに合わせて実装される。また、実施の形態1における連携セキュリティ装置91は、検知手段実施部15が実施する検知手段に応じて異なる種々のセキュリティ装置を含む。具体的には、ログ分析装置、アクティブ検査を実施可能なセキュリティ検査装置などである。これらの連携セキュリティ装置91の機能および上記したインターフェースは、各種のツールおよびソフトウェアライブラリにより実現される。
実施結果1013は、連携セキュリティ装置91による検知結果であり、「該当無し」以外の場合は、検知対象の機器に何らかの攻撃または異常が存在することを示す。実施結果1013は、検知対象となった機器の識別子、検知時刻、攻撃または異常の区分、重大度、備考等の情報を含むが、いずれの情報を含むかは個別の連携セキュリティ装置に依存する。但し、検知時刻は、共通して実施結果1013に含まれる。
次に、動作について説明する。図4は、実施の形態1におけるサイバー攻撃検知装置の動作を示すフロー図である。サイバー攻撃検知装置10において、まず、アラート受信部11が検知アラート101を受信し、検知アラート101からアラートデータ102を取得する(ステップST101)。アラート受信部11は、アラートデータ102を次攻撃対象予測部12に出力する。
次に、次攻撃対象予測部12は、次に攻撃される機器をアラートデータ102の内容から予測する(ステップST102)。上述したように、実施の形態1では、現在の攻撃対象が次の攻撃対象にもなると予測するケースを前提としており、この機器を機器Vとしている。次攻撃対象予測部12は、次の攻撃対象と予測した機器の識別情報である次攻撃対象103を構成管理DB参照部13に出力する。上述したとおり、実施の形態1では機器Vが次に攻撃されると予測するので、次攻撃対象103は機器Vの識別情報となる。
次に、構成管理DB参照部13は、構成管理DB1011を参照して検知手段リスト104を取得する(ステップST103)。構成管理DB参照部13は、次攻撃対象103を検索キー1011aとして構成管理DB1011を参照し、構成管理DB1011から返される検索結果1011bから検知手段リスト104を取得する。実施の形態1において、検索結果1011bは機器Vのエントリ81であるので、構成管理DB参照部13は、機器Vのエントリ81から検知関連情報83を抽出し、検知手段リスト104として検知手段選択部14に出力する。
次に、検知手段選択部14は、次の攻撃対象である機器Vに対して実施可能な検知手段を選択し(検知手段選択処理、ステップST104)、実施検知手段105として検知手段実施部15に出力する。選択される検知手段は1つの場合もあれば、複数の場合もある。検知手段選択処理の具体的な説明は後述する。
次に、検知手段実施部15は、実施検知手段105に含まれる検知手段を実施し(ステップST105)、得られた結果を検知結果106としてサイバー攻撃判定部16に出力する。検知手段実施部15により実施される検知手段の例は図3の検知手段項目83aに示したとおりである。検知結果106は、「実施された検知手段の数(nとする)」「実施されたそれぞれの検知手段のうち、実施の結果として攻撃または異常が検知された検知手段の数(mとする)」「検知された攻撃または異常の重要度」などの情報を含む。各検知手段の実施について、詳細な説明は後述する。
次に、サイバー攻撃判定部16は、機器Vがサイバー攻撃を受けているか否かを判定し(ステップST106)、得られた結果を判定結果107として結果出力部17に出力する。上述したように、サイバー攻撃判定部16は、検知結果106および判定パラメータ1022に基づいてサイバー攻撃を受けているか否かを判定する。例えば、判定パラメータ1022として閾値thを予め設定し、mが閾値thを上回るか否かでサイバー攻撃を受けているか否かを判定する。
なお、実施可能な検知手段は状況により変わるものであり、実施された検知手段の数であるnも状況により変わることを考慮すると、閾値thも状況に応じて変えることが考えられる。すなわち、判定パラメータ1022としては検出割合αを与えて閾値thの値をth=n×αで算出し、算出された閾値thを判定に用いることが考えられる。
なお、実施可能な検知手段は状況により変わるものであり、実施された検知手段の数であるnも状況により変わることを考慮すると、閾値thも状況に応じて変えることが考えられる。すなわち、判定パラメータ1022としては検出割合αを与えて閾値thの値をth=n×αで算出し、算出された閾値thを判定に用いることが考えられる。
次に、結果出力部17は、判定結果107を外部出力用にフォーマット化し、出力データ108としてサイバー攻撃検知装置10の外部に出力する(ステップST107)。出力データ108は、「サイバー攻撃を検知した時刻」「攻撃対象の機器の識別子」「攻撃元の識別子」「攻撃種別」「攻撃の重要度」「実施した検知手段」などの情報を含む。また、これらの情報の補足情報を含んでもよい。また、上述したとおり、出力データ108のデータ形式は特に限られるものではない。
なお、実施の形態1ではmが閾値thを上回るか否かでサイバー攻撃を受けているか否かを判定しているが、判定にあたって重要度を考慮し、検知した攻撃または異常の重要度の合計と閾値とを比較することで判定を行ってもよい。また、それぞれの検知手段ごとに異なる「重み」をつけ、攻撃または異常が検知された検知手段の「重み」の合計と閾値とを比較することで判定を行ってもよい。「重み」を定めるにあたり、「機器Vを直接分析している#1から#4の値を大きく、間接的な検知手段である#5の重みを小さくする」ことが考えられる。また、機器Vとの連携関係の内容を考慮して「重み」を設定してもよい。例えば、機器Vから機器Xにデータが流れているシステムにおいては、機器Xが機器Vの影響を受けやすく、機器Vに対する攻撃および機器Vに発生している異常の原因が機器Vにある可能性がより高いと想定されるので、このような場合は#5の「重み」を大きくし、データの流れが逆の場合は#5の「重み」小さくすることが考えられる。これは、特に機器Vと連携関係のある機器が複数ある場合に、より実態に即した判定を行うことを可能とする。
ステップST104の検知手段選択処理について説明する。図5は、実施の形態1に係る検知手段選択処理を示すフロー図である。検知手段選択処理では、選択パラメータ1021に従い、次の攻撃対象である機器Vに対して実施する検知手段を検知手段リスト104から選択する。なお、検知手段リスト104の内容は機器Vのエントリ81から抽出された検知関連情報83と同じであるので、図3で示した例に基づいて説明を行う。検知手段選択部14は、#1から#5までの検知手段の実施可能性を順に判定し、実施可能と判定した検知手段を選択して実施検知手段105に含める。また、実施の形態1では、選択パラメータ1021は「all(実施できるもの全て)」であるとし、実施可能と判定した検知手段は全て実施検知手段105に含めるとする。以下、#1から#5の各検知手段に対する処理について説明する。
(#1「機器のログの分析」)
検知手段選択部14は、対応する状況83bより、機器Vのログの有無を確認する(ステップST901)。機器Vのログがある場合はステップST902に進み、無い場合はステップST903に進む。
検知手段選択部14は、対応する状況83bより、機器Vのログの有無を確認する(ステップST901)。機器Vのログがある場合はステップST902に進み、無い場合はステップST903に進む。
機器Vのログがあることを確認した検知手段選択部14は、#1「機器のログの分析」を実施可能と判定し、実施検知手段105として選択する(ステップST902)。
(#2「接続されているスイッチのログの分析」)
検知手段選択部14は、対応する状況83bより、機器Vに接続されているネットワークスイッチのログの有無を確認する(ステップST903)。このネットワークスイッチのログがある場合はステップST904に進み、無い場合はステップST905に進む。
検知手段選択部14は、対応する状況83bより、機器Vに接続されているネットワークスイッチのログの有無を確認する(ステップST903)。このネットワークスイッチのログがある場合はステップST904に進み、無い場合はステップST905に進む。
機器Vに接続されているネットワークスイッチのログがあることを確認した検知手段選択部14は、#2「接続されているスイッチのログの分析」を実施可能と判定し、実施検知手段105として選択する(ステップST904)。なお、#1の検知手段「機器のログの分析」が選択されている場合は、新たに選択した#2の検知手段「接続されているスイッチのログの分析」を実施検知手段105に追加する。以降についても同様であり、選択済みの検知手段が既にある場合は、新たに選択した検知手段を実施検知手段105に追加していく。
(#3「アクティブ検査」)
検知手段選択部14は、対応する状況83bより、機器Vに対して何らかのアクティブ検査を実施可能であるか否かを判定する(ステップST905)。実施可能である場合はステップST906に進み、実施可能で無い場合はステップST909に進む。
検知手段選択部14は、対応する状況83bより、機器Vに対して何らかのアクティブ検査を実施可能であるか否かを判定する(ステップST905)。実施可能である場合はステップST906に進み、実施可能で無い場合はステップST909に進む。
アクティブ検査を実施可能であると判定した検知手段選択部14は、機器Vに対するアクティブ検査について検査種別または検査時間等に制限があるか否かを確認し(ステップST906)、制限がある場合はステップST907に、無い場合はステップST908に進む。
アクティブ検査の実施について検査種別等に制限がある場合、その制限に関する情報を取得する(ステップST907)。その後、検知手段選択部14は#3「アクティブ検査」を実施検知手段105として選択する(ステップST908)。
(#4「常時監視データの分析」)
検知手段選択部14は、対応する状況83bより、機器Vの常時監視データの有無を確認する(ステップST909)。機器Vの常時監視データがある場合はステップST910に進み、無い場合はステップST911に進む。
検知手段選択部14は、対応する状況83bより、機器Vの常時監視データの有無を確認する(ステップST909)。機器Vの常時監視データがある場合はステップST910に進み、無い場合はステップST911に進む。
機器Vの常時監視データがあることを確認した検知手段選択部14は、#4「常時監視データの分析」を実施可能と判定し、実施検知手段105として選択する(ステップST910)。
(#5「連携関係のある機器の分析」)
検知手段選択部14は、対応する状況83bより、機器Vと連携関係のある機器の有無を確認する(ステップST911)。連携関係のある機器がある場合はステップST912に進み、無い場合は検知手段選択処理を終了する。
検知手段選択部14は、対応する状況83bより、機器Vと連携関係のある機器の有無を確認する(ステップST911)。連携関係のある機器がある場合はステップST912に進み、無い場合は検知手段選択処理を終了する。
機器Vと連携関係のある機器Xがあることを確認した検知手段選択部14は、#5「連携関係のある機器の分析」を実施可能と判定し、実施検知手段105として選択して(ステップST912)、検知手段選択処理を終了する。
上述したように、検知手段選択処理により選択された検知手段は、実施検知手段105として検知手段実施部15に出力される。検知手段実施部15は、実施検知手段105に含まれている検知手段を順次実施する。また、#1から#5の検知手段について、過去の一定の期間において攻撃または異常を検知していたかを確認する。具体的には、アラートデータ102に含まれる「侵入を検知した時刻」(以下、検知時刻DT)を基準とし、検知時刻DTから予め定められた遡り時間ΔTだけ遡るまでの期間(DT-ΔT~DT)において攻撃または異常を検知していたかを確認する。これは、既にある検知結果106を参照してもよい。なお、#3「アクティブ検査」においては、DT-ΔT~DTの期間の間にアクティブ検査を実施し、かつ、異常を検知しているかを確認する。なお、遡り時間ΔTは特に限られるものではないが、例えば10分とすればよい。遡り時間ΔTは検知パラメータ1023の1つとして検知手段実施部15に入力される。検知手段実施部15は、検知時刻DTおよび遡り時間ΔTを実施命令1012に含めて連携セキュリティ装置91に送信する。連携セキュリティ装置91は、DT-ΔT~DTの期間におけるログ等を検索、分析するなどして、機器Vに対する攻撃または機器Vに発生している異常の有無を確認し実施結果1013として検知手段実施部15に返す。
また、将来の一定の期間について、予め定められた刻み時間で継続的に検知手段を実施してもよい。検知手段が#1、#2、または#4である(連携セキュリティ装置91がログ分析装置である)場合、「DT~DT+ΔT2」、「DT+ΔT2~DT+2×ΔT2」・・・というように、刻み時間ΔT2過ぎるまでの時間を指定し、各刻み時間経過の都度、実施命令1012を連携セキュリティ装置91に送信して分析等を実施させる。検知手段が#3の「アクティブ検査」である場合、DT、DT+ΔT2、DT+2×ΔT2・・・のように、刻み時間ΔT2おきに実施命令1012をセキュリティ検査装置に送信し、アクティブ検査を実施させる。なお、刻み時間ΔT2は特に限られるものではないが、例えば5分とすればよい。刻み時間ΔT2は検知パラメータ1023の1つとして検知手段実施部15に入力され、予めスケジューリングを設定することにより、将来の一定の期間において継続的に検知手段が実施される。
上記のように、将来の一定の期間についても検知手段を実施する場合、仮に検知時刻DTにおいて見過ごした攻撃または異常がある場合でも、次回以降の検知手段の実施により攻撃または異常を検知し、サイバー攻撃の検知をより確実に行うことができる
上記のように、将来の一定の期間についても検知手段を実施する場合、仮に検知時刻DTにおいて見過ごした攻撃または異常がある場合でも、次回以降の検知手段の実施により攻撃または異常を検知し、サイバー攻撃の検知をより確実に行うことができる
検知手段実施部15は、実施する検知手段に対応する連携セキュリティ装置情報83cを参照し、種々の連携セキュリティ装置91のうち、いずれの連携セキュリティ装置91と連携するかを決定する。
以下、各検知手段の実施処理について説明する。
以下、各検知手段の実施処理について説明する。
(#1「機器のログの分析」)
上述したように、#1「機器のログの分析」における連携セキュリティ装置91であるログ分析装置には、処理の状態を記録したログおよび認証エラー等のセキュリティのログ等が保存されている。検知手段実施部15は、ログ分析装置に対して実施命令1012を送信し、上記のログを分析させる。実施命令1012は、機器Vの識別子、検索期間(「DT~DT+ΔT」など)、機器V上での認証エラー等を検索するための検索式などを含んでいる。ログ分析装置は、実施命令1012によってログの分析を行った結果を実施結果1013として検知手段実施部15に返す。実施結果1013には、機器Vに対する攻撃または機器Vに発生している異常が検知されたか否かを示す情報が含まれる。
このように、#1「機器のログの分析」により、機器Vのログに痕跡が残る攻撃または異常を検知することができる。
上述したように、#1「機器のログの分析」における連携セキュリティ装置91であるログ分析装置には、処理の状態を記録したログおよび認証エラー等のセキュリティのログ等が保存されている。検知手段実施部15は、ログ分析装置に対して実施命令1012を送信し、上記のログを分析させる。実施命令1012は、機器Vの識別子、検索期間(「DT~DT+ΔT」など)、機器V上での認証エラー等を検索するための検索式などを含んでいる。ログ分析装置は、実施命令1012によってログの分析を行った結果を実施結果1013として検知手段実施部15に返す。実施結果1013には、機器Vに対する攻撃または機器Vに発生している異常が検知されたか否かを示す情報が含まれる。
このように、#1「機器のログの分析」により、機器Vのログに痕跡が残る攻撃または異常を検知することができる。
(#2「接続されているスイッチのログの分析」)
上述したように、#2「接続されているスイッチのログの分析」における連携セキュリティ装置91であるログ分析装置は、機器Vの通信先、通信量および通信頻度等の機器Vの通信状況に関する情報を含む通信ログが保存されている。検知手段実施部15は、ログ分析装置に対して実施命令1012を送信し、上記の通信ログを分析させる。実施命令1012は、機器Vの識別子、検索期間(「DT~DT+ΔT」など)、機器Vが行った異常な通信を検索するための検索式などを含んでいる。なお、異常な通信とは、例えば、機器Vに対するポートスキャンまたはDoS攻撃等がある。すなわち、短期間に複数のサービス(ポート)に接続を試みる通信または大量のパケットを送りつける通信である。ログ分析装置は、実施命令1012によって通信ログの分析を行った結果を実施結果1013として検知手段実施部15に返す。実施結果1013は、機器Vに対する攻撃または機器Vに発生している異常が検知されたか否かを示す情報を含んでいる。
このように、検知手段「接続されているスイッチのログの分析」により、機器Vに接続されているネットワークスイッチのログに痕跡が残る攻撃または異常を検知することができる。
上述したように、#2「接続されているスイッチのログの分析」における連携セキュリティ装置91であるログ分析装置は、機器Vの通信先、通信量および通信頻度等の機器Vの通信状況に関する情報を含む通信ログが保存されている。検知手段実施部15は、ログ分析装置に対して実施命令1012を送信し、上記の通信ログを分析させる。実施命令1012は、機器Vの識別子、検索期間(「DT~DT+ΔT」など)、機器Vが行った異常な通信を検索するための検索式などを含んでいる。なお、異常な通信とは、例えば、機器Vに対するポートスキャンまたはDoS攻撃等がある。すなわち、短期間に複数のサービス(ポート)に接続を試みる通信または大量のパケットを送りつける通信である。ログ分析装置は、実施命令1012によって通信ログの分析を行った結果を実施結果1013として検知手段実施部15に返す。実施結果1013は、機器Vに対する攻撃または機器Vに発生している異常が検知されたか否かを示す情報を含んでいる。
このように、検知手段「接続されているスイッチのログの分析」により、機器Vに接続されているネットワークスイッチのログに痕跡が残る攻撃または異常を検知することができる。
(#3「アクティブ検査」)
上述したように、#3「アクティブ検査」における連携セキュリティ装置91であるセキュリティ検査装置は、機器Vに対してネットワーク経由でアクティブ検査を実施するセキュリティ検査ツールを備えている。「アクティブ検査」には様々な方法があるが、検査パケットを用いる方法では、検査パケットを機器Vの特定のポートに送信することにより、TCPポートまたはUDPポートなどのうち、本来は開いていないはずのポートが開いている、あるいは本来開いているはずのポートが開いていないことなどを、検査パケットに対する応答をみることで確認する。例えば、本来なら開いているはずのTCPポートに対して検査パケットを送ることで接続を試みたが応答が無い場合、攻撃によって発生した異常によりTCPポートが応答しなくなったと判断する。また、リモートログインによる方法では、機器Vにリモートログインして起動プロセスを確認し、本来起動しないはずのプロセスが起動しているかなどを確認する。検知手段実施部15は、セキュリティ検査装置に対して実施命令1012を送信し、上記のアクティブ検査を実施させる。実施命令1012は、機器Vの識別子、状況83bに示された検査種別(検査パケットまたはリモートログイン等)、検査可能な時間帯などの、検査の制限に関する情報を含んでいる。セキュリティ検査装置は、実施命令1012によって実施したアクティブ検査の結果を実施結果1013として検知手段実施部15に返す。実施結果1013は、機器Vに対する攻撃または機器Vに発生している異常が検知されたか否かを示す情報を含んでいる。
このように、検知手段「アクティブ検査」により、ネットワーク経由型のセキュリティ検査ツールを用いた能動的な検査により攻撃または異常を検知し、攻撃の検知することができる。
上述したように、#3「アクティブ検査」における連携セキュリティ装置91であるセキュリティ検査装置は、機器Vに対してネットワーク経由でアクティブ検査を実施するセキュリティ検査ツールを備えている。「アクティブ検査」には様々な方法があるが、検査パケットを用いる方法では、検査パケットを機器Vの特定のポートに送信することにより、TCPポートまたはUDPポートなどのうち、本来は開いていないはずのポートが開いている、あるいは本来開いているはずのポートが開いていないことなどを、検査パケットに対する応答をみることで確認する。例えば、本来なら開いているはずのTCPポートに対して検査パケットを送ることで接続を試みたが応答が無い場合、攻撃によって発生した異常によりTCPポートが応答しなくなったと判断する。また、リモートログインによる方法では、機器Vにリモートログインして起動プロセスを確認し、本来起動しないはずのプロセスが起動しているかなどを確認する。検知手段実施部15は、セキュリティ検査装置に対して実施命令1012を送信し、上記のアクティブ検査を実施させる。実施命令1012は、機器Vの識別子、状況83bに示された検査種別(検査パケットまたはリモートログイン等)、検査可能な時間帯などの、検査の制限に関する情報を含んでいる。セキュリティ検査装置は、実施命令1012によって実施したアクティブ検査の結果を実施結果1013として検知手段実施部15に返す。実施結果1013は、機器Vに対する攻撃または機器Vに発生している異常が検知されたか否かを示す情報を含んでいる。
このように、検知手段「アクティブ検査」により、ネットワーク経由型のセキュリティ検査ツールを用いた能動的な検査により攻撃または異常を検知し、攻撃の検知することができる。
(#4「常時監視データの分析」)
上述したように、#4「常時監視データの分析」における連携セキュリティ装置91であるログ分析装置には、機器Vのプロセッサ71およびメモリ72などのリソース消費量、または特定のエラーの発生が定期的に記録された常時監視データがログとして保存されている。検知手段実施部15は、ログ分析装置に対して実施命令1012を送信し、上記の常時監視データを分析させる。実施命令1012は、機器Vの識別子、検索期間(「DT~DT+ΔT」など)、リソース消費量の異常値などを検索するための検索式などを含んでいる。ログ分析装置は、実施命令1012によって常時監視データ検索を行った結果を実施結果1013として検知手段実施部15に返す。実施結果1013は、機器Vに対する攻撃または機器Vに発生している異常が検知されたか否かを示す情報を含んでいる。機器Vが攻撃されてそのリソースが影響を受けると、プロセッサ等のリソースの消費量が異常な値を示す場合がある。実施命令1012中の検索式は、所定値のベースラインを上回るリソース消費量を抽出する検索式となっており、検索式を実行することで異常の有無の判定と異常値の抽出が行われる。なお、常時監視データを蓄積する段階で正常/異常の判定を定期的に行い、その結果も合わせて保存してもよく、この場合は異常と判定されたデータを検索すればよい。また、常時監視データとして特定のエラーの発生を記録している場合は、この特定のエラーの発生を示すデータを検索する検索式が用いられる。リソース消費における異常な値および特定のエラーの発生は、機器Vの異常を示し、機器Vが攻撃を受けていることを示す情報となる。
このように、検知手段「常時監視データの分析」により、機器Vのリソース消費に異常を発生させる攻撃および異常、および特定のエラーを発生させる攻撃および異常を検知することができる。
上述したように、#4「常時監視データの分析」における連携セキュリティ装置91であるログ分析装置には、機器Vのプロセッサ71およびメモリ72などのリソース消費量、または特定のエラーの発生が定期的に記録された常時監視データがログとして保存されている。検知手段実施部15は、ログ分析装置に対して実施命令1012を送信し、上記の常時監視データを分析させる。実施命令1012は、機器Vの識別子、検索期間(「DT~DT+ΔT」など)、リソース消費量の異常値などを検索するための検索式などを含んでいる。ログ分析装置は、実施命令1012によって常時監視データ検索を行った結果を実施結果1013として検知手段実施部15に返す。実施結果1013は、機器Vに対する攻撃または機器Vに発生している異常が検知されたか否かを示す情報を含んでいる。機器Vが攻撃されてそのリソースが影響を受けると、プロセッサ等のリソースの消費量が異常な値を示す場合がある。実施命令1012中の検索式は、所定値のベースラインを上回るリソース消費量を抽出する検索式となっており、検索式を実行することで異常の有無の判定と異常値の抽出が行われる。なお、常時監視データを蓄積する段階で正常/異常の判定を定期的に行い、その結果も合わせて保存してもよく、この場合は異常と判定されたデータを検索すればよい。また、常時監視データとして特定のエラーの発生を記録している場合は、この特定のエラーの発生を示すデータを検索する検索式が用いられる。リソース消費における異常な値および特定のエラーの発生は、機器Vの異常を示し、機器Vが攻撃を受けていることを示す情報となる。
このように、検知手段「常時監視データの分析」により、機器Vのリソース消費に異常を発生させる攻撃および異常、および特定のエラーを発生させる攻撃および異常を検知することができる。
(#5「連携関係のある機器の分析」)
#5「連携関係のある機器の分析」について、図6および図7に基づいて説明する。図6は、#5「連携関係のある機器の分析」を示す機能構成図であり、関連部分を図1から切り出した部分図である。また、図7は、#5「連携関係のある機器の分析」の処理の流れを示すフロー図である。#5「連携関係のある機器の分析」を実施する場合、検知手段実施部15は対応する状況83bを参照して機器Xの識別情報1031を取得し(ステップST501)、構成管理DB参照部13に送る。構成管理DB参照部13は、機器Xの識別情報1031を検索キー5011aとして構成管理DB1011を参照し、検索結果5011bから、機器Xに対する攻撃および機器Xに発生している異常を検知するための検知手段リスト504を得る(ステップST502)。検知手段選択部14は、機器Vの場合の検知手段選択処理と同様にして、機器Xに対して実施する検知手段を検知手段リスト504から選択し(ステップST503)、実施検知手段505として出力する。検知手段実施部15は、機器Xに対して実施検知手段505を実施し(ステップST504)、機器Xについての検知結果506を得る。
#5「連携関係のある機器の分析」について、図6および図7に基づいて説明する。図6は、#5「連携関係のある機器の分析」を示す機能構成図であり、関連部分を図1から切り出した部分図である。また、図7は、#5「連携関係のある機器の分析」の処理の流れを示すフロー図である。#5「連携関係のある機器の分析」を実施する場合、検知手段実施部15は対応する状況83bを参照して機器Xの識別情報1031を取得し(ステップST501)、構成管理DB参照部13に送る。構成管理DB参照部13は、機器Xの識別情報1031を検索キー5011aとして構成管理DB1011を参照し、検索結果5011bから、機器Xに対する攻撃および機器Xに発生している異常を検知するための検知手段リスト504を得る(ステップST502)。検知手段選択部14は、機器Vの場合の検知手段選択処理と同様にして、機器Xに対して実施する検知手段を検知手段リスト504から選択し(ステップST503)、実施検知手段505として出力する。検知手段実施部15は、機器Xに対して実施検知手段505を実施し(ステップST504)、機器Xについての検知結果506を得る。
機器Xについての検知結果506を得た検知手段実施部15は、機器Xについての検知結果506を機器Vについての検知結果106に含め、機器Vにおける攻撃または異常を検知する(ステップST505)。機器Xに対する攻撃または機器Xに発生している異常が検知された場合、これらの攻撃または異常は、機器Vへの攻撃または機器Vに発生している異常が波及した結果であるとみなし、機器Vへの攻撃または機器Vに発生している異常が検知されたとする。検知手段実施部15は、他の検知手段の結果と検知結果506を合わせ、検知結果106としてサイバー攻撃判定部16に出力する。
なお、機器Xと連携関係がある機器が機器V以外にもある場合、機器Xの分析において#5「連携関係のある機器の分析」が実施され、さらに別の機器に対しても分析が行われる可能性がある。機器Vに対する攻撃および機器Vに発生している異常の検知を行うために、互いに連携関係がある機器をどの範囲まで分析するかについては、検知パラメータ1023で定めればよい。例えば、「機器Vと直接連携関係がある機器のみを分析対象とする」とすればよい。
実施の形態1によれば、攻撃および異常を検知する検知手段を適時適切に選択し実施して、サイバー攻撃の検知を迅速に行うことができる。より具体的には、各検知手段の実施可能性に関する情報である検知手段実施可能性情報を各検知手段と紐付けて検知手段リストを構成し、各機器についての検知手段リストを保存する構成管理DBと、検知手段実施可能性情報を参照して、検知手段リストから実施可能な検知手段を選択する検知手段選択部を備えた。これにより、実施可能な検知手段の選択に時間と手間をかける必要が無くなったので、検知手段を適時適切に選択し実施して、サイバー攻撃の検知を迅速に行うことができる。このことは、必要時にサイバー攻撃の分析および対応をより迅速に実施することを可能としている。
また、サイバー攻撃の検知の実施が検知対象の機器の運用に影響を与えることを抑制することができる。より具体的には、上記した検知手段実施可能性情報は、例えば実施可能な時間帯など、各検知手段の実施における制約を含んでいる。各検知手段は、検知手段実施可能性情報に含まれる制約に従って実施されるため、サイバー攻撃の検知の実施が検知対象の機器の運用に影響を与えることが抑制される。
また、攻撃および異常を検知する検知手段を直接実施することに制約がある機器があっても、サイバー攻撃の検知を効果的に行うことができる。より具体的には、次の攻撃対象と予測される機器について、当該機器に対する攻撃および当該機器に発生している異常を検知するための検知手段を実施して検知結果を得る際に、当該機器と連携関係にある機器に対して検知手段を実施し、その結果を当該機器における検知結果に含める構成とした。当該機器と連携関係にある機器に対する攻撃または当該機器と連携関係にある機器に発生している異常が検知された場合は、当該機器における攻撃または異常が波及した結果であるとして、当該機器における攻撃または異常が間接的に検知されたとし、当該機器がサイバー攻撃を受けているか否かの判定において考慮される。これにより、攻撃および異常を検知する検知手段を直接実施することについて当該機器に制約があっても、当該機器に対するサイバー攻撃の検知を効果的に行うことができる。
実施の形態2.
以下に、実施の形態2を図8に基づいて説明する。なお、図1から図7と同一又は相当部分については同一の符号を付し、その説明を省略する。図8は、実施の形態2に係る構成管理データベースが保持する情報の例を示す図であり、機器Vのエントリである。エントリ81は、各機器の構成および状態を示すインベントリ82と、各機器に対する攻撃または異常の検知に関する情報である検知関連情報831を含む。インベントリ82については実施の形態1と同様である。
以下に、実施の形態2を図8に基づいて説明する。なお、図1から図7と同一又は相当部分については同一の符号を付し、その説明を省略する。図8は、実施の形態2に係る構成管理データベースが保持する情報の例を示す図であり、機器Vのエントリである。エントリ81は、各機器の構成および状態を示すインベントリ82と、各機器に対する攻撃または異常の検知に関する情報である検知関連情報831を含む。インベントリ82については実施の形態1と同様である。
検知関連情報831は、機器Vへのサイバー攻撃を検知するための検知手段に関する情報であり、実施の形態1の検知関連情報83に対応している。検知関連情報831は、検知手段項目831a、状況831bおよび連携セキュリティ装置情報831cに加え、優先順位情報831dを有している。優先順位情報831dは、対応する検知手段を実施する順序を示す。実施の形態1では、実施可能と判定された検知手段を全て実施し、全ての検知手段を実施した後に検知結果106をサイバー攻撃判定部16に出力していた。これに対し、実施の形態2では、1つの検知手段の実施が完了すると、その検知手段による検知結果106が検知手段実施部15からサイバー攻撃判定部16に出力され、サイバー攻撃を受けているかの否か判定が行われる。すなわち、1つの検知手段の実施が完了する都度、サイバー攻撃判定部16によりサイバー攻撃を受けているか否かの判定が行われる。サイバー攻撃を受けているとの判定結果107が出ない場合は次の検知手段を実施し、サイバー攻撃を受けているとの判定結果107が出た場合はその時点で検知手段の実施を終了する。以下、図8の例に基づき、具体的に説明する。なお、図8に示す各実施手段は全て実施可能であるとする。このため、実施検知手段105は、#1から#5までの全ての検知手段に関する情報を含むとする。
検知手段実施部15は、優先順位情報831dが示す順序(図8に示す例の場合、#2、#4、#1、#3、#5の順)に従って検知手段を実施していき、1つの検知手段の完了の都度、検知結果106としてサイバー攻撃判定部16に出力する。この検知結果106において機器Vに対する攻撃および機器Vに発生している異常が検知されていた場合、サイバー攻撃判定部16は、攻撃または異常が検知された検知手段の数であるmを1増やす。また、mが閾値thを超えた場合、サイバー攻撃判定部16はその時点で「機器Vがサイバー攻撃を受けている」と判定し、判定結果107を出力するとともに、判定が終了した旨を知らせる判定終了信号(図示なし)を検知手段実施部15に送信する。判定終了信号を受信した検知手段実施部15は、未完了の検知手段が残されていても実施検知手段105の実施を終了する。なお、サイバー攻撃判定部16における判定方法として別の方法を用いた場合も同様であり、サイバー攻撃判定部16が判定結果107を出力した時点で実施検知手段105の実施が終了される。
検知手段の優先順位の設定方法は特に限られるものではなく、例えば「攻撃を検知できる可能性が高い検知手段の優先順位を高くする」ことが考えられる。この場合、より早い段階で「サイバー攻撃を受けている」との判定結果107が得られ、判定が早期に完了するため、実施する検知手段の数を少なくすることができ、サイバー攻撃の検知をより効率的に行うことができる。また、「機器の運用へ与える影響が小さい検知手段の優先順位を高くする」ことも考えられる。この場合、検知手段の実施によるシステムへの影響をより小さくすることができる。
その他については実施の形態1と同様であるので、その説明を省略する。
その他については実施の形態1と同様であるので、その説明を省略する。
実施の形態2によれば、実施の形態1と同様の効果を得ることができる。
また、より効率よくサイバー攻撃の検知を行うことができる。より具体的には、各検知手段に優先順位をつけ、この優先順位に従って検知手段を実施するとともに、1つの検知手段が完了する都度、サイバー攻撃を受けているか否かの判定を行い、判定結果が出た時点で検知手段の実施を終了する構成とした。このため、実施可能と判定された検知手段を全て実施することは必ずしも必要ではなく、より効率良くサイバー攻撃の検知を行うことができる。
また、より効率よくサイバー攻撃の検知を行うことができる。より具体的には、各検知手段に優先順位をつけ、この優先順位に従って検知手段を実施するとともに、1つの検知手段が完了する都度、サイバー攻撃を受けているか否かの判定を行い、判定結果が出た時点で検知手段の実施を終了する構成とした。このため、実施可能と判定された検知手段を全て実施することは必ずしも必要ではなく、より効率良くサイバー攻撃の検知を行うことができる。
実施の形態3.
以下に、実施の形態3を図9に基づいてについて説明する。図1から図8と同一又は相当部分については同一の符号を付し、その説明を省略する。上述した実施の形態1、2では、次の攻撃対象と予測される機器が現在の攻撃対象と同じ機器Vであるとしていた。これとは異なり、実施の形態3では、次の攻撃対象と予測される機器が現在の攻撃対象とは異なる機器であるとする。図9は、実施の形態3におけるサイバー攻撃検知装置を示す機能構成図である。サイバー攻撃検知装置30において、次攻撃対象予測部32は、アラートデータ102が入力されて、先行攻撃情報であるアラートデータ102に含まれる情報と構成管理DBに保存されている情報を照合して、次に攻撃される機器を予測する。このため、実施の形態3においては、アラートデータ102と照合可能な情報(以下、照合可能情報)が構成管理DB3011に保存されている。照合可能情報は、インベントリ82に含めればよい(図示省略)。必要な照合可能情報は現在の攻撃の攻撃種別により異なるが、各機器のネットワークアドレス(あるいはIPアドレスとサブネットマスク)、残存する脆弱性のCVE番号、各機器で稼働しているサービスおよびこのサービスの稼働ために開く必要があるポートのポート番号などが考えられる。以下、具体的に説明する。
以下に、実施の形態3を図9に基づいてについて説明する。図1から図8と同一又は相当部分については同一の符号を付し、その説明を省略する。上述した実施の形態1、2では、次の攻撃対象と予測される機器が現在の攻撃対象と同じ機器Vであるとしていた。これとは異なり、実施の形態3では、次の攻撃対象と予測される機器が現在の攻撃対象とは異なる機器であるとする。図9は、実施の形態3におけるサイバー攻撃検知装置を示す機能構成図である。サイバー攻撃検知装置30において、次攻撃対象予測部32は、アラートデータ102が入力されて、先行攻撃情報であるアラートデータ102に含まれる情報と構成管理DBに保存されている情報を照合して、次に攻撃される機器を予測する。このため、実施の形態3においては、アラートデータ102と照合可能な情報(以下、照合可能情報)が構成管理DB3011に保存されている。照合可能情報は、インベントリ82に含めればよい(図示省略)。必要な照合可能情報は現在の攻撃の攻撃種別により異なるが、各機器のネットワークアドレス(あるいはIPアドレスとサブネットマスク)、残存する脆弱性のCVE番号、各機器で稼働しているサービスおよびこのサービスの稼働ために開く必要があるポートのポート番号などが考えられる。以下、具体的に説明する。
攻撃種別が「IPスキャンで」である場合、次攻撃対象予測部32は、現在の攻撃対象の機器の識別子から、現在の攻撃対象の機器が属するネットワークを特定し、同じネットワーク上の他の機器を次の攻撃対象と予測する。次に、次攻撃対象予測部32は、例えばネットワークアドレスなど、現在の攻撃対象の機器が属するネットワークの識別子を検索キー3011aとして構成管理DB3011を参照する。構成管理DB3011は、検索キー3011aのネットワークアドレスと、各機器のインベントリ82に含まれているネットワークアドレスを照合し、現在攻撃を受けている機器と同じネットワークに属する機器の識別情報を検索結果3011bとして次攻撃対象予測部32に返す。
攻撃種別が「特定の脆弱性を狙った攻撃」である場合、次攻撃対象予測部32は、現在狙われている脆弱性のCVE番号をアラートデータ102から取得し、現在狙われている脆弱性と同じ脆弱性を持つ他の機器を次の攻撃対象と予測する。次に、次攻撃対象予測部32は、現在狙われている脆弱性のCVE番号など、狙われている脆弱性を示す情報を検索キー3011aとして構成管理DB3011を参照する。構成管理DB3011は、検索キー3011aのCVE番号と、各機器のインベントリ82に含まれているCVE番号を照合し、現在狙われている脆弱性と同じ脆弱性を持つ機器の識別情報を検索結果3011bとして返す。
攻撃種別が「特定のポートへの不正アクセス」である場合、次攻撃対象予測部32は、不正アクセスされているポートのポート番号をアラートデータ102から取得し、同じポート番号のポートを開いている機器を次の攻撃対象と予測する。次に、次攻撃対象予測部32は、不正アクセスされているポートのポート番号を検索キー3011aとして構成管理DB3011を参照する。構成管理DB3011は、検索キー3011aのポート番号と、各機器のインベントリ82に含まれている、開いているポートのポート番号を照合し、現在不正アクセスされているポートと同じポート番号のポートを開いている機器の識別情報を検索結果3011bとして返す。なお、特定のポートへのアクセスが「不正アクセス」であるのか否かの判定は、「当該特定のポートに大量のパケットが送信されていないか」「通常では考えられないほどの異常な大きさのデータが送信されていないか」などを基準に考えればよい。また当該特定のポートに接続する際に認証が必要な場合は、「認証エラーが多発していないか」を基準にしてもよい。
次攻撃対象予測部32は、検索結果3011bに含まれる各機器の識別情報を次攻撃対象303として出力する。次攻撃対象303は構成管理DB参照部13に入力され、構成管理DB参照部13は、次攻撃対象303に含まれる機器の識別情報を検索キー1011aとして構成管理DB1011を参照し、検索結果1011bを得る。以降の動作については実施の形態1と同様であるので、その説明を省略する。なお、次攻撃対象303に複数の機器の識別情報が含まれている場合、全ての機器について処理を実施してもよいし、重要度が高いと判定された攻撃についてのみ処理を行ってもよい。
その他については実施の形態1と同様であるので、その説明を省略する。
その他については実施の形態1と同様であるので、その説明を省略する。
実施の形態3によれば、実施の形態1と同様の効果を得ることができる。また、より広い範囲で次の攻撃対象を予測し、より効果的にサイバー攻撃を検知することができる。より具体的には、現在攻撃されている攻撃対象のIPアドレス、狙われている脆弱性のCVE番号など、現在行われている攻撃の特徴を示す情報を検索キーとして参照した結果を次の攻撃対象として予測する。この際、構成管理DBは、現在行われている攻撃の特徴を示す情報と各機器の情報を照合した結果を検索結果として返しているため、現在行われている攻撃の特徴に基づいて次の攻撃対象が予測される構成となっている。これにより、現在の攻撃と同様の攻撃が行われる可能性がある他の機器を網羅的に把握し、より広い範囲で次の攻撃対象を予測することができる。このため、より広い範囲で次の攻撃対象を予測し、より効果的にサイバー攻撃を検知することができる。
実施の形態4.
以下に、実施の形態4について説明する。なお、実施の形態4におけるサイバー攻撃検知装置を示す機能構成図等は実施の形態1と同様であるので、図1および図3に基づいて説明を行う。実施の形態4は、実施可能な検知手段のうち、予め定められた特定の検知手段のみを実施するものである。例えば、#1「機器のログの分析」のみ、または#3「アクティブ検査」のみとする。実施する検知手段は、選択パラメータ1021で指定すればよい。実施する検知手段を複数した場合は、実施の形態2のように、実施する順序を指定してもよい。
その他については実施の形態1と同様であるので、その説明を省略する。
以下に、実施の形態4について説明する。なお、実施の形態4におけるサイバー攻撃検知装置を示す機能構成図等は実施の形態1と同様であるので、図1および図3に基づいて説明を行う。実施の形態4は、実施可能な検知手段のうち、予め定められた特定の検知手段のみを実施するものである。例えば、#1「機器のログの分析」のみ、または#3「アクティブ検査」のみとする。実施する検知手段は、選択パラメータ1021で指定すればよい。実施する検知手段を複数した場合は、実施の形態2のように、実施する順序を指定してもよい。
その他については実施の形態1と同様であるので、その説明を省略する。
実施の形態4によれば、実施の形態1と同様の効果を得ることができる。
また、実施する検知手段を予め指定するため、運用上の観点から検知手段を制限したい場合などに柔軟に対応することができる。
また、実施する検知手段を予め指定するため、運用上の観点から検知手段を制限したい場合などに柔軟に対応することができる。
なお、上記したそれぞれの実施の形態では、「攻撃対象」がシステムを構成する機器であることを前提としていたが、これに限られるものではなく、サブシステムまたはネットワークなど、システムを構成する構成要素であり、サイバー攻撃を受ける可能性があるものであれば「攻撃対象」として上記の実施の形態を適用することができる。
本願は、様々な例示的な実施の形態及び実施例が記載されているが、1つ、または複数の実施の形態に記載された様々な特徴、態様、及び機能は特定の実施の形態の適用に限られるのではなく、単独で、または様々な組み合わせで実施の形態に適用可能である。
従って、例示されていない無数の変形例が、本願に開示される技術の範囲内において想定される。例えば、少なくとも1つの構成要素を変形する場合、追加する場合または省略する場合、さらには、少なくとも1つの構成要素を抽出し、他の実施の形態の構成要素と組み合わせる場合が含まれるものとする。
従って、例示されていない無数の変形例が、本願に開示される技術の範囲内において想定される。例えば、少なくとも1つの構成要素を変形する場合、追加する場合または省略する場合、さらには、少なくとも1つの構成要素を抽出し、他の実施の形態の構成要素と組み合わせる場合が含まれるものとする。
10、30 サイバー攻撃検知装置、11 アラート受信部、12、32 次攻撃対象予測部、13 構成管理DB参照部、14 検知手段選択部、15 検知手段実施部、16 サイバー攻撃判定部、17 結果出力部、101 検知アラート、102 アラートデータ、103、303 次攻撃対象、104、504 検知手段リスト、105、505 実施検知手段、106、506 検知結果、107 判定結果、1011、3011 構成管理DB、1011a、3011a、5011a 検索キー、1011b、3011b、5011b 検索結果、 1021 選択パラメータ、1022 判定パラメータ、1023 検知パラメータ、81 エントリ、82 インベントリ、83、831 検知関連情報、83a、831a 検知手段項目、83b、831b 状況、83c、831c 連携セキュリティ装置情報、831d 優先順位情報、91 連携セキュリティ装置
Claims (9)
- システムを構成するそれぞれの構成要素について、前記構成要素に対する攻撃および前記構成要素に発生している異常を検知する検知手段を実施し、前記検知手段を実施した結果に基づいてサイバー攻撃の検知を行うサイバー攻撃検知装置であって、
前記それぞれの構成要素に対する前記検知手段の実施可能性を示す情報である検知手段実施可能性情報を前記それぞれの構成要素および前記検知手段と紐付けて構成した検知手段リストを保存する構成管理データベースと、
前記構成要素に対して行われている攻撃に関する情報である先行攻撃情報を含む検知アラートを受信し、前記先行攻撃情報を前記検知アラートから取得する先行攻撃情報取得部と、
前記先行攻撃情報に基づいて次の攻撃対象を予測し、予測した前記次の攻撃対象の識別情報を次攻撃対象情報として出力する次攻撃対象予測部と、
前記次攻撃対象情報を検索キーとして前記構成管理データベースを参照し、前記次の攻撃対象と予測された前記構成要素についての前記検知手段リストを取得する検知手段リスト取得部と、
予め定められた検知手段選択条件と、前記次の攻撃対象と予測された前記構成要素に紐付けられた前記検知手段実施可能性情報とに基づいて、前記次の攻撃対象と予測された前記構成要素に対して実施可能な前記検知手段を前記検知手段リストから選択する検知手段選択部と、
前記検知手段選択部によって選択された前記検知手段を実施し、得られた検知結果を出力する検知手段実施部と、
前記検知結果および予め定められた判定条件に基づいて、サイバー攻撃を受けているか否かを判定するサイバー攻撃判定部とを備えたことを特徴とするサイバー攻撃検知装置。 - 前記次の攻撃対象と予測された前記構成要素と連携関係がある構成要素がある場合に、前記連携関係がある構成要素に対して前記検知手段を実施して得た結果を前記検知結果に含める請求項1に記載のサイバー攻撃検知装置。
- 前記構成管理データベースは、それぞれの前記構成要素の情報として、前記先行攻撃情報と照合可能な情報を保存し、前記次攻撃対象予測部は、前記先行攻撃情報と前記照合可能な情報とを照合することにより前記次の攻撃対象を予測する請求項1または2に記載のサイバー攻撃検知装置。
- 前記検知手段リストは、前記検知手段の優先順位を示す優先順位情報を有し、前記検知手段実施部が前記優先順位にしたがって前記検知手段を実施するとともに、1つの前記検知手段の実施が完了する都度、前記サイバー攻撃判定部による前記判定を行い、前記判定の結果が出た時点で前記検知手段の実施を終了させる請求項1から3のいずれか1項に記載のサイバー攻撃検知装置。
- 前記検知手段選択条件は、予め定められた特定の前記検知手段を指定し、前記検知手段実施部は、前記特定の検知手段のみ実施する請求項1から4のいずれか1項に記載のサイバー攻撃検知装置。
- 前記検知手段は、それぞれに重みが予め設定され、前記サイバー攻撃判定部は、前記構成要素に対する攻撃または前記構成要素に発生している異常を検知した前記検知手段の前記重みが前記判定条件により定められた閾値を上回った場合に、サイバー攻撃を受けていると判定する請求項1から5のいずれか1項に記載のサイバー攻撃検知装置。
- 前記サイバー攻撃判定部は、前記構成要素に対する攻撃または前記構成要素に発生している異常を検知した前記検知手段の数が前記判定条件により定められた閾値を上回った場合に、サイバー攻撃を受けていると判定する請求項1から5のいずれか1項に記載のサイバー攻撃検知装置。
- 前記検知手段実施部は、予め定められた刻み時間で前記検知手段を継続的に実施する請求項1から7のいずれか1項に記載のサイバー攻撃検知装置。
- 前記検知手段実施部は、前記構成要素に対する攻撃または前記構成要素に発生している異常を、前記先行攻撃情報に含まれる検知時刻から予め定められた遡り時間だけ遡った時刻と前記検知時刻との間の期間において検知していたかを確認する請求項1から8のいずれか1項に記載のサイバー攻撃検知装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019046668A JP7202932B2 (ja) | 2019-03-14 | 2019-03-14 | サイバー攻撃検知装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019046668A JP7202932B2 (ja) | 2019-03-14 | 2019-03-14 | サイバー攻撃検知装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020149390A JP2020149390A (ja) | 2020-09-17 |
| JP7202932B2 true JP7202932B2 (ja) | 2023-01-12 |
Family
ID=72430587
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019046668A Active JP7202932B2 (ja) | 2019-03-14 | 2019-03-14 | サイバー攻撃検知装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7202932B2 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112788034B (zh) * | 2021-01-13 | 2023-04-07 | 泰康保险集团股份有限公司 | 对抗网络攻击的处理方法、装置、电子设备和存储介质 |
| TWI801293B (zh) * | 2022-07-21 | 2023-05-01 | 中華電信股份有限公司 | 用於監控端點設備的系統及其方法 |
| WO2024053613A1 (ja) * | 2022-09-06 | 2024-03-14 | パナソニックIpマネジメント株式会社 | アラート対応通知方法、アラート対応通知装置、及び、プログラム |
| JP7427146B1 (ja) | 2023-06-27 | 2024-02-02 | 三菱電機株式会社 | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010152773A (ja) | 2008-12-26 | 2010-07-08 | Mitsubishi Electric Corp | 攻撃判定装置及び攻撃判定方法及びプログラム |
| WO2014112185A1 (ja) | 2013-01-21 | 2014-07-24 | 三菱電機株式会社 | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム |
| JP2016184358A (ja) | 2015-03-26 | 2016-10-20 | 株式会社日立システムズ | データ分析システム |
| WO2017099062A1 (ja) | 2015-12-09 | 2017-06-15 | 日本電気株式会社 | 診断装置、診断方法、及び、診断プログラムが記録された記録媒体 |
| JP2017142744A (ja) | 2016-02-12 | 2017-08-17 | 日本電気株式会社 | 情報処理装置、ウィルス検出方法及びプログラム |
| JP2018169643A (ja) | 2017-03-29 | 2018-11-01 | 株式会社日立製作所 | セキュリティ運用システム、セキュリティ運用管理装置およびセキュリティ運用方法 |
-
2019
- 2019-03-14 JP JP2019046668A patent/JP7202932B2/ja active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010152773A (ja) | 2008-12-26 | 2010-07-08 | Mitsubishi Electric Corp | 攻撃判定装置及び攻撃判定方法及びプログラム |
| WO2014112185A1 (ja) | 2013-01-21 | 2014-07-24 | 三菱電機株式会社 | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム |
| JP2016184358A (ja) | 2015-03-26 | 2016-10-20 | 株式会社日立システムズ | データ分析システム |
| WO2017099062A1 (ja) | 2015-12-09 | 2017-06-15 | 日本電気株式会社 | 診断装置、診断方法、及び、診断プログラムが記録された記録媒体 |
| JP2017142744A (ja) | 2016-02-12 | 2017-08-17 | 日本電気株式会社 | 情報処理装置、ウィルス検出方法及びプログラム |
| JP2018169643A (ja) | 2017-03-29 | 2018-11-01 | 株式会社日立製作所 | セキュリティ運用システム、セキュリティ運用管理装置およびセキュリティ運用方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2020149390A (ja) | 2020-09-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7202932B2 (ja) | サイバー攻撃検知装置 | |
| CN106462702B (zh) | 用于在分布式计算机基础设施中获取并且分析电子取证数据的方法和系统 | |
| US10078317B2 (en) | Method, device and computer program for monitoring an industrial control system | |
| EP2953298B1 (en) | Log analysis device, information processing method and program | |
| US8850582B2 (en) | Security monitoring system and security monitoring method | |
| JP4523480B2 (ja) | ログ分析システム、分析方法及びログ分析装置 | |
| NL2002694C2 (en) | Method and system for alert classification in a computer network. | |
| US10547634B2 (en) | Non-intrusive digital agent for behavioral monitoring of cybersecurity-related events in an industrial control system | |
| US20050262237A1 (en) | Dynamic incident tracking and investigation in service monitors | |
| CN109167794B (zh) | 一种面向网络系统安全度量的攻击检测方法 | |
| CN114006723B (zh) | 基于威胁情报的网络安全预测方法、装置及系统 | |
| Black et al. | Cyber security metrics and measures | |
| CN113660115A (zh) | 基于告警的网络安全数据处理方法、装置及系统 | |
| KR101174635B1 (ko) | 자동화된 악성코드 긴급대응 시스템 및 방법 | |
| JP5503177B2 (ja) | 障害情報収集装置 | |
| CN106899977B (zh) | 异常流量检验方法和装置 | |
| JP6921776B2 (ja) | インシデント検知システムおよびその方法 | |
| CN115174189A (zh) | 异常检测方法、装置、电子设备及存储介质 | |
| JP6330280B2 (ja) | アラート出力装置、アラート出力方法、及び、アラート出力プログラム | |
| Fessi et al. | Data collection for information security system | |
| US20240086539A1 (en) | Host Level Data Analytics for Cyberattack Detection | |
| CN113110980A (zh) | 暴力破解行为的识别与拦截方法及装置 | |
| US11818028B2 (en) | Network diagnostic sampling in a distributed computing environment | |
| US20230097020A1 (en) | Network safety rules in a distributed computing environment | |
| García-Teodoro et al. | Automatic signature generation for network services through selective extraction of anomalous contents |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20211129 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20211129 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220824 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220913 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221011 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221206 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221226 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 7202932 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |