JP7207536B2 - ルール生成装置、ルール生成方法、及びプログラム - Google Patents
ルール生成装置、ルール生成方法、及びプログラム Download PDFInfo
- Publication number
- JP7207536B2 JP7207536B2 JP2021524736A JP2021524736A JP7207536B2 JP 7207536 B2 JP7207536 B2 JP 7207536B2 JP 2021524736 A JP2021524736 A JP 2021524736A JP 2021524736 A JP2021524736 A JP 2021524736A JP 7207536 B2 JP7207536 B2 JP 7207536B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- information
- history information
- rule
- successful
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
Description
攻撃対象のシステムを模擬した模擬システムから、前記模擬システムに構築された環境を表す環境情報と、前記模擬システムに記録された履歴情報と、前記模擬システムに対して実行された攻撃の有無及び成功失敗を表す攻撃情報とを収集する、収集部と、
前記攻撃情報を用いて前記環境情報から、攻撃成功時の環境情報と攻撃失敗時の環境情報とを抽出し、前記攻撃成功時の環境情報をすべて含む前記攻撃失敗時の環境情報と、当該攻撃成功時の環境情報との差分を求め、前記差分に攻撃に失敗したことを表す除外情報を付し、前記除外情報を付した差分を前記攻撃成功時の環境情報に追加して、攻撃成功条件を生成する、攻撃成功条件生成部と、
同じ前記攻撃成功時の環境情報ごとに、攻撃無し時の履歴情報と攻撃成功時の履歴情報との差分を求め、求めた前記攻撃成功時の前記差分に共通する攻撃成功時共通履歴情報、及び、同じ前記攻撃失敗時の環境情報ごとに、攻撃無し時の履歴情報と攻撃失敗時の履歴情報との差分を求め、求めた前記攻撃失敗時の前記差分に共通する攻撃失敗時共通履歴情報を抽出し、前記攻撃成功時共通履歴情報と前記攻撃失敗時共通履歴情報と用いて、攻撃時履歴情報を生成する、攻撃時履歴生成部と、
前記攻撃成功条件と前記履歴情報とを用いてルールを生成する、ルール生成部と、
を有することを特徴とする。
攻撃対象のシステムを模擬した模擬システムから、前記模擬システムに構築された環境を表す環境情報と、前記模擬システムに記録された履歴情報と、前記模擬システムに対して実行された攻撃の有無及び成功失敗を表す攻撃情報とを収集する、収集ステップと、
前記攻撃情報を用いて前記環境情報から、攻撃成功時の環境情報と攻撃失敗時の環境情報とを抽出し、前記攻撃成功時の環境情報をすべて含む前記攻撃失敗時の環境情報と、当該攻撃成功時の環境情報との差分を求め、前記差分に攻撃に失敗したことを表す除外情報を付し、前記除外情報を付した差分を前記攻撃成功時の環境情報に追加して、攻撃成功条件を生成する、攻撃成功条件生成ステップと、
同じ前記攻撃成功時の環境情報ごとに、攻撃無し時の履歴情報と攻撃成功時の履歴情報との差分を求め、求めた前記攻撃成功時の前記差分に共通する攻撃成功時共通履歴情報、及び、同じ前記攻撃失敗時の環境情報ごとに、攻撃無し時の履歴情報と攻撃失敗時の履歴情報との差分を求め、求めた前記攻撃失敗時の前記差分に共通する攻撃失敗時共通履歴情報を抽出し、前記攻撃成功時共通履歴情報と前記攻撃失敗時共通履歴情報と用いて、攻撃時履歴情報を生成する、攻撃時履歴生成ステップと、
前記攻撃成功条件と前記履歴情報とを用いてルールを生成する、ルール生成ステップと、
を有することを特徴とする方法。
コンピュータに、
攻撃対象のシステムを模擬した模擬システムから、前記模擬システムに構築された環境を表す環境情報と、前記模擬システムに記録された履歴情報と、前記模擬システムに対して実行された攻撃の有無及び成功失敗を表す攻撃情報とを収集する、収集ステップと、
前記攻撃情報を用いて前記環境情報から、攻撃成功時の環境情報と攻撃失敗時の環境情報とを抽出し、前記攻撃成功時の環境情報をすべて含む前記攻撃失敗時の環境情報と、当該攻撃成功時の環境情報との差分を求め、前記差分に攻撃に失敗したことを表す除外情報を付し、前記除外情報を付した差分を前記攻撃成功時の環境情報に追加して、攻撃成功条件を生成する、攻撃成功条件生成ステップと、
同じ前記攻撃成功時の環境情報ごとに、攻撃無し時の履歴情報と攻撃成功時の履歴情報との差分を求め、求めた前記攻撃成功時の前記差分に共通する攻撃成功時共通履歴情報、及び、同じ前記攻撃失敗時の環境情報ごとに、攻撃無し時の履歴情報と攻撃失敗時の履歴情報との差分を求め、求めた前記攻撃失敗時の前記差分に共通する攻撃失敗時共通履歴情報を抽出し、前記攻撃成功時共通履歴情報と前記攻撃失敗時共通履歴情報と用いて、攻撃時履歴情報を生成する、攻撃時履歴生成ステップと、
前記攻撃成功条件と前記履歴情報とを用いてルールを生成する、ルール生成ステップと、
を実行させることを特徴とする。
最初に、図1を用いて、実施形態1におけるルール生成装置1の構成について説明する。図1は、ルール生成装置の一例を示す図である。
図1に示すルール生成装置1は、セキュリティ業務に用いるルールを生成する装置である。また、図1に示すように、ルール生成装置1は、収集部2と、生成部3とを有する。
続いて、図2を用いて、実施形態1におけるルール生成装置1の構成をより具体的に説明する。図2は、ルール生成装置を有するシステムの一例を示す図である。
収集部2は、攻撃シナリオに基づいて攻撃された、攻撃実行環境部20に構築された模擬システム20aなどから情報を収集し、不図示の記憶部に記憶する。
(b)攻撃可能条件の論理式:
(wds7 or wds10) & ofc10 & (Login(user) or Login(admin))
(a)攻撃成功条件の論理式:
¬KB12345
(A)攻撃成功ルール
AttackSucceed (attacker, _host, _privilege, x) :-
NotSatisfy (_host, software, “KB12345”)
ExecuteAttack (_attacker, _host, _privilege, x)
攻撃可能ルール
ExecuteAttack (_attacker, _host, _privilege, x) :-
Satisfy (_host, software, “wds7”)
Satisfy (_host, software, “ofc10”)
LoginSucceed (_attacker, _host、_privilege)
(B)攻撃失敗ルール
AttackFail (_attacker, _host, _privilege, x) :-
Satisfy (_host, software, KB12345)
ExecuteAttack (_attacker, _privilege, _host, x)
(C)攻撃時観測ルール
Observe (_host, log, z1) :-
ExecuteAttack (_attacker, _host, _privilege, x)
(D)攻撃成功時観測ルール
Observe (_subnetA, _hostA, _hostB, z2) :-
AttackSucceed (_attacker, _hostA, _hostB, x)
BelongTo (_hostA, _subnetA)
Observe (_subnetB, _hostA, _hostB, z2) :-
AttackSucceed (_attacker, _hostA, _hostB, x)
BelongTo (_hostB, _subnetB)
(E)攻撃失敗時観測ルール
Observe (_host, log, z3) :-
AttackFail (_attacker, _host, _privilege, x)
(F)攻撃成功時結果ルール
Satisfy (_host, service, rdp, tcp, 3389) :-
AttackSucceed (_attacker, _host, _privilege, x)
変形例1について説明する。図2の例においては、分析部4と出力情報生成部5とを有するルール生成装置1について説明したが、変形例1では、分析部4と出力情報生成部5とをルール生成装置1から分離したシステムについて説明する。変形例1のシステムとしては、例えば、図6に示すような構成としてもよい。
次に、実施形態1におけるルール生成装置1の動作について図7を用いて説明する。図7は、ルール生成装置の動作の一例を示す図である。以下の説明においては、適宜図2から図6を参照する。また、実施形態1では、ルール生成装置1を動作させることによって、ルール生成方法が実施される。よって、実施形態1におけるルール生成方法の説明は、以下のルール生成装置の動作説明に代える。
図7に示すように、最初に、収集部2は、攻撃シナリオに基づいて攻撃された、攻撃実行環境部20に構築された模擬システム20aの環境情報と履歴情報と攻撃情報とを収集し、不図示の記憶部に記憶する(ステップA1)。
変形例1の動作について説明する。変形例1においては、ステップA4からA6の処理を、分析支援装置61の分析部4及び出力情報生成部5を用いて実行させる。また、変形例1においては、ステップA7の処理は、分析支援装置61を用いて、分析支援の処理を終了させる。
以上のように実施形態1によれば、攻撃シナリオを用いて模擬システムに攻撃を実行し、攻撃が実行された模擬システムから環境情報と履歴情報と攻撃情報とを収集し、収集したこれらの情報に基づいて、攻撃の分析(セキュリティ業務)に用いるルールが生成できる。すなわち、実施形態1においては、ドメイン知識を十分にカバーした実用的なルールを自動生成することができる。
実施形態1におけるプログラムは、コンピュータに、図7に示すステップA1からA7を実行させるプログラムであればよい。このプログラムをコンピュータにインストールし、実行することによって、実施形態1におけるルール生成装置とルール生成方法とを実現することができる。この場合、コンピュータのプロセッサは、収集部2、生成部3(攻撃成功ルール生成部3a、攻撃失敗ルール生成部3b、攻撃時観測ルール生成部3c、攻撃成功時観測ルール生成部3d、攻撃失敗時観測ルール生成部3e、攻撃成功時結果ルール生成部3f)、分析部4、出力情報生成部5として機能し、処理を行なう。
図8を用いて、実施形態2におけるルール生成装置100の構成について説明する。図8は、ルール生成装置の一例を示す図である。
ルール生成装置100は、攻撃を分析するために用いるルールを自動で生成する装置である。また、図8に示すように、ルール生成装置100は、収集部200と、攻撃成功条件生成部300と、攻撃時履歴生成部400と、ルール生成部500とを有する。ルール生成装置100は、例えば、サーバコンピュータなどの情報処理装置である。
攻撃情報#1-0 :攻撃M、攻撃無し
攻撃情報#1-1 :攻撃M、攻撃有り、攻撃成功#1
攻撃情報#2-0 :攻撃M、攻撃無し
攻撃情報#2-1 :攻撃M、攻撃有り、攻撃成功#2
攻撃情報#3-0 :攻撃M、攻撃無し
攻撃情報#3-1 :攻撃M、攻撃有り、攻撃失敗#1
攻撃情報#4-0 :攻撃M、攻撃無し
攻撃情報#4-1 :攻撃M、攻撃有り、攻撃失敗#2
ルール生成部500は、攻撃成功時共通履歴情報のうち、攻撃成功時のみに収集される履歴情報の要素を用いて攻撃成功時観測ルールを生成する。ルール生成部500は、例えば、数10に示すような攻撃成功時観測ルールを生成する。
SuccessAttack(_host, attack M):-
Observe(_host, network, p):-
ルール生成部500は、攻撃成功時において収集された履歴情報の要素がプロセスの挙動に関す要素である場合、攻撃成功条件を用いて攻撃成功時結果ルールを生成する。ルール生成部500は、例えば、数11に示すような攻撃成功時結果ルールを生成する。
ExecCode(_attacker, _host, p):-
Satisfy(_host, os, a)
Satisfy(_host, service, b)
Satisfy(_attacker, privilege, c)
Satisfy(_host, network, d)
NotSatisfy(_host, software, f)
ルール生成部500は、攻撃成功時共通履歴情報と攻撃失敗時共通履歴情報とに共通する履歴情報の要素を用いて攻撃時観測ルールを生成する。ルール生成部500は、例えば、数12に示すような攻撃成功時観測ルールを生成する。
ExecuteAttack(_host, attack M):-
Observe(_host, log, w):-
ルール生成部500は、攻撃失敗時共通履歴情報のうち、攻撃失敗時のみに収集される履歴情報の要素を用いて攻撃失敗時観測ルールを生成する。ルール生成部500は、例えば、数13に示すような攻撃失敗時観測ルールを生成する。
FailedAttack(_host, attack M):-
Observe(_host, log, q):-
図11を用いて、実施形態2におけるシステムの構成を説明する。図11は、ルール生成装置を有するシステムの一例を示す図である。ただし、出力装置23、実システム24については、実施形態1で説明をしたので、説明を省略する。
次に、実施形態2におけるルール生成装置100の動作について図12を用いて説明する。以下の説明においては、適宜図8から図11を参照する。また、実施形態2では、ルール生成装置100を動作させることによって、ルール生成方法が実施される。よって、実施形態2におけるルール生成方法の説明は、以下のルール生成装置の動作説明に代える。
図12に示すように、最初に、収集部200は、攻撃シナリオに基づいて攻撃された、模擬システム600の環境情報と履歴情報と攻撃情報とを収集し、不図示の記憶部に記憶する(ステップB1)。
以上のように実施形態2によれば、攻撃シナリオを用いて模擬システムに攻撃を実行し、攻撃が実行された模擬システムから環境情報と履歴情報と攻撃情報とを収集し、収集したこれらの情報に基づいて、攻撃の分析(セキュリティ業務)に用いるルールが生成できる。すなわち、実施形態2においては、ドメイン知識を十分にカバーした実用的なルールを自動生成することができる。
実施形態2におけるプログラムは、コンピュータに、図12に示すステップB1、B2、A3、B4、A5からA7を実行させるプログラムであればよい。このプログラムをコンピュータにインストールし、実行することによって、実施形態2におけるルール生成装置とルール生成方法とを実現することができる。この場合、コンピュータのプロセッサは、収集部200、生成部3(攻撃成功条件生成部300、攻撃時履歴生成部400、ルール生成部500)、分析部4、出力情報生成部5として機能し、処理を行なう。
ここで、実施形態におけるプログラムを実行することによって、ルール生成装置、分析支援装置を実現するコンピュータについて図13を用いて説明する。図13は、実施形態における、ルール生成装置、分析支援装置を実現するコンピュータの一例を示すブロック図である。
以上の実施の形態に関し、更に以下の付記を開示する。上述した実施の形態の一部又は全部は、以下に記載する(付記1)から(付記15)により表現することができるが、以下の記載に限定されるものではない。
攻撃対象のシステムを模擬した模擬システムから、前記模擬システムに構築された環境を表す環境情報と、前記模擬システムに記録された履歴情報と、前記模擬システムに対して実行された攻撃の有無及び成功失敗を表す攻撃情報とを収集する、収集部と、
前記攻撃情報を用いて前記環境情報から、攻撃成功時の環境情報と攻撃失敗時の環境情報とを抽出し、前記攻撃成功時の環境情報をすべて含む前記攻撃失敗時の環境情報と、当該攻撃成功時の環境情報との差分を求め、前記差分に攻撃に失敗したことを表す除外情報を付し、前記除外情報を付した差分を前記攻撃成功時の環境情報に追加して、攻撃成功条件を生成する、攻撃成功条件生成部と、
同じ前記攻撃成功時の環境情報ごとに、攻撃無し時の履歴情報と攻撃成功時の履歴情報との差分を求め、求めた前記攻撃成功時の前記差分に共通する攻撃成功時共通履歴情報、及び、同じ前記攻撃失敗時の環境情報ごとに、攻撃無し時の履歴情報と攻撃失敗時の履歴情報との差分を求め、求めた前記攻撃失敗時の前記差分に共通する攻撃失敗時共通履歴情報を抽出し、前記攻撃成功時共通履歴情報と前記攻撃失敗時共通履歴情報と用いて、攻撃時履歴情報を生成する、攻撃時履歴生成部と、
前記攻撃成功条件と前記履歴情報とを用いてルールを生成する、ルール生成部と、
を有することを特徴とするルール生成装置。
付記1に記載のルール生成装置であって、
前記ルール生成部は、前記攻撃成功時共通履歴情報のうち攻撃成功時のみに収集される履歴情報の要素を用いて攻撃成功時観測ルールを生成する
ことを特徴とするルール生成装置。
付記1又は2に記載のルール生成装置であって、
前記ルール生成部は、前記攻撃成功時共通履歴情報のうち攻撃成功時のみに収集される履歴情報の要素がプロセスの挙動に関す要素である場合、前記攻撃成功条件を用いて攻撃成功時結果ルールを生成する
ことを特徴とするルール生成装置。
付記1から3のいずれか一つに記載のルール生成装置であって、
前記ルール生成部は、前記攻撃成功時共通履歴情報と前記攻撃失敗時共通履歴情報とに共通する履歴情報の要素を用いて攻撃時観測ルールを生成する
ことを特徴とするルール生成装置。
付記1から4のいずれか一つに記載のルール生成装置であって、
前記ルール生成部は、前記攻撃成功時共通履歴情報のうち攻撃失敗時のみに収集される履歴情報の要素を用いて攻撃失敗時観測ルールを生成する
ことを特徴とするルール生成装置。
攻撃対象のシステムを模擬した模擬システムから、前記模擬システムに構築された環境を表す環境情報と、前記模擬システムに記録された履歴情報と、前記模擬システムに対して実行された攻撃の有無及び成功失敗を表す攻撃情報とを収集する、収集ステップと、
前記攻撃情報を用いて前記環境情報から、攻撃成功時の環境情報と攻撃失敗時の環境情報とを抽出し、前記攻撃成功時の環境情報をすべて含む前記攻撃失敗時の環境情報と、当該攻撃成功時の環境情報との差分を求め、前記差分に攻撃に失敗したことを表す除外情報を付し、前記除外情報を付した差分を前記攻撃成功時の環境情報に追加して、攻撃成功条件を生成する、攻撃成功条件生成ステップと、
同じ前記攻撃成功時の環境情報ごとに、攻撃無し時の履歴情報と攻撃成功時の履歴情報との差分を求め、求めた前記攻撃成功時の前記差分に共通する攻撃成功時共通履歴情報、及び、同じ前記攻撃失敗時の環境情報ごとに、攻撃無し時の履歴情報と攻撃失敗時の履歴情報との差分を求め、求めた前記攻撃失敗時の前記差分に共通する攻撃失敗時共通履歴情報を抽出し、前記攻撃成功時共通履歴情報と前記攻撃失敗時共通履歴情報と用いて、攻撃時履歴情報を生成する、攻撃時履歴生成ステップと、
前記攻撃成功条件と前記履歴情報とを用いてルールを生成する、ルール生成ステップと、
ことを特徴とするルール生成方法。
付記6に記載のルール生成方法であって、
前記ルール生成ステップにおいて、攻撃成功時共通履歴情報のうち攻撃成功時のみに収集される履歴情報の要素を用いて攻撃成功時観測ルールを生成する
ことを特徴とするルール生成方法。
付記6又は7に記載のルール生成方法であって、
前記ルール生成ステップにおいて、前記攻撃成功時共通履歴情報のうち攻撃成功時のみに収集される履歴情報の要素がプロセスの挙動に関す要素である場合、前記攻撃成功条件を用いて攻撃成功時結果ルールを生成する
ことを特徴とするルール生成方法。
付記6から8のいずれか一つに記載のルール生成方法であって、
前記ルール生成ステップにおいて、前記攻撃成功時共通履歴情報と前記攻撃失敗時共通履歴情報とに共通する履歴情報の要素を用いて攻撃時観測ルールを生成する
ことを特徴とするルール生成方法。
付記6から9のいずれか一つに記載のルール生成方法であって、
前記ルール生成ステップにおいて、前記攻撃成功時共通履歴情報のうち攻撃失敗時のみに収集される履歴情報の要素を用いて攻撃失敗時観測ルールを生成する
ことを特徴とするルール生成方法。
コンピュータに、
攻撃対象のシステムを模擬した模擬システムから、前記模擬システムに構築された環境を表す環境情報と、前記模擬システムに記録された履歴情報と、前記模擬システムに対して実行された攻撃の有無及び成功失敗を表す攻撃情報とを収集する、収集ステップと、
前記攻撃情報を用いて前記環境情報から、攻撃成功時の環境情報と攻撃失敗時の環境情報とを抽出し、前記攻撃成功時の環境情報をすべて含む前記攻撃失敗時の環境情報と、当該攻撃成功時の環境情報との差分を求め、前記差分に攻撃に失敗したことを表す除外情報を付し、前記除外情報を付した差分を前記攻撃成功時の環境情報に追加して、攻撃成功条件を生成する、攻撃成功条件生成ステップと、
同じ前記攻撃成功時の環境情報ごとに、攻撃無し時の履歴情報と攻撃成功時の履歴情報との差分を求め、求めた前記攻撃成功時の前記差分に共通する攻撃成功時共通履歴情報、及び、同じ前記攻撃失敗時の環境情報ごとに、攻撃無し時の履歴情報と攻撃失敗時の履歴情報との差分を求め、求めた前記攻撃失敗時の前記差分に共通する攻撃失敗時共通履歴情報を抽出し、前記攻撃成功時共通履歴情報と前記攻撃失敗時共通履歴情報と用いて、攻撃時履歴情報を生成する、攻撃時履歴生成ステップと、
前記攻撃成功条件と前記履歴情報とを用いてルールを生成する、ルール生成ステップと、
を実行させるプログラム。
付記11に記載のプログラムであって、
前記ルール生成ステップにおいて、攻撃成功時共通履歴情報のうち攻撃成功時のみに収集される履歴情報の要素を用いて攻撃成功時観測ルールを生成する
ことを特徴とするプログラム。
付記11又は12に記載のプログラムであって、
前記ルール生成ステップにおいて、前記攻撃成功時共通履歴情報のうち攻撃成功時のみに収集される履歴情報の要素がプロセスの挙動に関す要素である場合、前記攻撃成功条件を用いて攻撃成功時結果ルールを生成する
ことを特徴とするプログラム。
付記11から13のいずれか一つに記載のプログラムであって、
前記ルール生成ステップにおいて、前記攻撃成功時共通履歴情報と前記攻撃失敗時共通履歴情報とに共通する履歴情報の要素を用いて攻撃時観測ルールを生成する
ことを特徴とするプログラム。
付記11から14のいずれか一つに記載のプログラムであって、
前記ルール生成ステップにおいて、前記攻撃成功時共通履歴情報のうち攻撃失敗時のみに収集される履歴情報の要素を用いて攻撃失敗時観測ルールを生成する
ことを特徴とするプログラム。
2、200 収集部
3 生成部
3a 攻撃成功ルール生成部
3b 攻撃失敗ルール生成部
3c 攻撃時観測ルール生成部
3d 攻撃成功時観測ルール生成部
3e 攻撃失敗時観測ルール生成部
3f 攻撃成功時結果ルール生成部
4 分析部
5 出力情報生成部
20 攻撃実行環境部
20a 模擬システム
21 構築部
22 攻撃部
23 出力装置
24 実システム
61 分析支援装置
62 記憶部
150 コンピュータ
151 CPU
152 メインメモリ
153 記憶装置
154 入力インターフェイス
155 表示コントローラ
156 データリーダ/ライタ
157 通信インターフェイス
158 入力機器
159 ディスプレイ装置
160 記録媒体
161 バス
300 攻撃成功条件生成部
400 攻撃時履歴生成部
500 ルール生成部
600 模擬システム
Claims (15)
- 攻撃対象のシステムを模擬した模擬システムから、前記模擬システムに構築された環境を表す環境情報と、前記模擬システムに記録された履歴情報と、前記模擬システムに対して実行された攻撃の有無及び成功失敗を表す攻撃情報とを収集する、収集手段と、
前記攻撃情報を用いて前記環境情報から、攻撃成功時の環境情報と攻撃失敗時の環境情報とを抽出し、前記攻撃成功時の環境情報をすべて含む前記攻撃失敗時の環境情報と、当該攻撃成功時の環境情報との差分を求め、前記差分に攻撃に失敗したことを表す除外情報を付し、前記除外情報を付した差分を前記攻撃成功時の環境情報に追加して、攻撃成功条件を生成する、攻撃成功条件生成手段と、
同じ前記攻撃成功時の環境情報ごとに、攻撃無し時の履歴情報と攻撃成功時の履歴情報との差分を求め、求めた前記攻撃成功時の前記差分に共通する攻撃成功時共通履歴情報、及び、同じ前記攻撃失敗時の環境情報ごとに、攻撃無し時の履歴情報と攻撃失敗時の履歴情報との差分を求め、求めた前記攻撃失敗時の前記差分に共通する攻撃失敗時共通履歴情報を抽出し、前記攻撃成功時共通履歴情報と前記攻撃失敗時共通履歴情報と用いて、攻撃時履歴情報を生成する、攻撃時履歴生成手段と、
前記攻撃成功条件と前記攻撃時履歴情報とを用いてルールを生成する、ルール生成手段と、
を有するルール生成装置。 - 請求項1に記載のルール生成装置であって、
前記ルール生成手段は、前記攻撃成功時共通履歴情報のうち攻撃成功時のみに収集される履歴情報の要素を用いて攻撃成功時観測ルールを生成する
ルール生成装置。 - 請求項1又は2に記載のルール生成装置であって、
前記ルール生成手段は、前記攻撃成功時共通履歴情報のうち攻撃成功時のみに収集される履歴情報の要素がプロセスの挙動に関す要素である場合、前記攻撃成功条件を用いて攻撃成功時結果ルールを生成する
ルール生成装置。 - 請求項1から3のいずれか一つに記載のルール生成装置であって、
前記ルール生成手段は、前記攻撃成功時共通履歴情報と前記攻撃失敗時共通履歴情報とに共通する履歴情報の要素を用いて攻撃時観測ルールを生成する
ルール生成装置。 - 請求項1から4のいずれか一つに記載のルール生成装置であって、
前記ルール生成手段は、前記攻撃成功時共通履歴情報のうち攻撃失敗時のみに収集される履歴情報の要素を用いて攻撃失敗時観測ルールを生成する
ルール生成装置。 - コンピュータが、
攻撃対象のシステムを模擬した模擬システムから、前記模擬システムに構築された環境を表す環境情報と、前記模擬システムに記録された履歴情報と、前記模擬システムに対して実行された攻撃の有無及び成功失敗を表す攻撃情報とを収集し、
前記攻撃情報を用いて前記環境情報から、攻撃成功時の環境情報と攻撃失敗時の環境情報とを抽出し、前記攻撃成功時の環境情報をすべて含む前記攻撃失敗時の環境情報と、当該攻撃成功時の環境情報との差分を求め、前記差分に攻撃に失敗したことを表す除外情報を付し、前記除外情報を付した差分を前記攻撃成功時の環境情報に追加して、攻撃成功条件を生成し、
同じ前記攻撃成功時の環境情報ごとに、攻撃無し時の履歴情報と攻撃成功時の履歴情報との差分を求め、求めた前記攻撃成功時の前記差分に共通する攻撃成功時共通履歴情報、及び、同じ前記攻撃失敗時の環境情報ごとに、攻撃無し時の履歴情報と攻撃失敗時の履歴情報との差分を求め、求めた前記攻撃失敗時の前記差分に共通する攻撃失敗時共通履歴情報を抽出し、前記攻撃成功時共通履歴情報と前記攻撃失敗時共通履歴情報と用いて、攻撃時履歴情報を生成し、
前記攻撃成功条件と前記攻撃時履歴情報とを用いてルールを生成する
ルール生成方法。 - 請求項6に記載のルール生成方法であって、
前記ルールの生成において、攻撃成功時共通履歴情報のうち攻撃成功時のみに収集される履歴情報の要素を用いて攻撃成功時観測ルールを生成する
ルール生成方法。 - 請求項6又は7に記載のルール生成方法であって、
前記ルールの生成において、前記攻撃成功時共通履歴情報のうち攻撃成功時のみに収集される履歴情報の要素がプロセスの挙動に関す要素である場合、前記攻撃成功条件を用いて攻撃成功時結果ルールを生成する
ルール生成方法。 - 請求項6から8のいずれか一つに記載のルール生成方法であって、
前記ルールの生成において、前記攻撃成功時共通履歴情報と前記攻撃失敗時共通履歴情報とに共通する履歴情報の要素を用いて攻撃時観測ルールを生成する
ルール生成方法。 - 請求項6から9のいずれか一つに記載のルール生成方法であって、
前記ルールの生成において、前記攻撃成功時共通履歴情報のうち攻撃失敗時のみに収集される履歴情報の要素を用いて攻撃失敗時観測ルールを生成する
ルール生成方法。 - 攻撃対象のシステムを模擬した模擬システムから、前記模擬システムに構築された環境を表す環境情報と、前記模擬システムに記録された履歴情報と、前記模擬システムに対して実行された攻撃の有無及び成功失敗を表す攻撃情報とを収集し、
前記攻撃情報を用いて前記環境情報から、攻撃成功時の環境情報と攻撃失敗時の環境情報とを抽出し、前記攻撃成功時の環境情報をすべて含む前記攻撃失敗時の環境情報と、当該攻撃成功時の環境情報との差分を求め、前記差分に攻撃に失敗したことを表す除外情報を付し、前記除外情報を付した差分を前記攻撃成功時の環境情報に追加して、攻撃成功条件を生成し、
同じ前記攻撃成功時の環境情報ごとに、攻撃無し時の履歴情報と攻撃成功時の履歴情報との差分を求め、求めた前記攻撃成功時の前記差分に共通する攻撃成功時共通履歴情報、及び、同じ前記攻撃失敗時の環境情報ごとに、攻撃無し時の履歴情報と攻撃失敗時の履歴情報との差分を求め、求めた前記攻撃失敗時の前記差分に共通する攻撃失敗時共通履歴情報を抽出し、前記攻撃成功時共通履歴情報と前記攻撃失敗時共通履歴情報と用いて、攻撃時履歴情報を生成し、
前記攻撃成功条件と前記攻撃時履歴情報とを用いてルールを生成する
処理をコンピュータに実行させるプログラム。 - 請求項11に記載のプログラムであって、
前記ルールの生成において、攻撃成功時共通履歴情報のうち攻撃成功時のみに収集される履歴情報の要素を用いて攻撃成功時観測ルールを生成する
プログラム。 - 請求項11又は12に記載のプログラムであって、
前記ルールの生成において、前記攻撃成功時共通履歴情報のうち攻撃成功時のみに収集される履歴情報の要素がプロセスの挙動に関す要素である場合、前記攻撃成功条件を用いて攻撃成功時結果ルールを生成する
プログラム。 - 請求項11から13のいずれか一つに記載のプログラムであって、
前記ルールの生成において、前記攻撃成功時共通履歴情報と前記攻撃失敗時共通履歴情報とに共通する履歴情報の要素を用いて攻撃時観測ルールを生成させる
プログラム。 - 請求項11から14のいずれか一つに記載のプログラムであって、
前記ルールの生成において、前記攻撃成功時共通履歴情報のうち攻撃失敗時のみに収集される履歴情報の要素を用いて攻撃失敗時観測ルールを生成させる
プログラム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JPPCT/JP2019/022643 | 2019-06-06 | ||
PCT/JP2019/022643 WO2020246011A1 (ja) | 2019-06-06 | 2019-06-06 | ルール生成装置、ルール生成方法、及びコンピュータ読み取り可能な記録媒体 |
PCT/JP2020/019646 WO2020246227A1 (ja) | 2019-06-06 | 2020-05-18 | ルール生成装置、ルール生成方法、及びコンピュータ読み取り可能な記録媒体 |
Publications (3)
Publication Number | Publication Date |
---|---|
JPWO2020246227A1 JPWO2020246227A1 (ja) | 2020-12-10 |
JPWO2020246227A5 JPWO2020246227A5 (ja) | 2022-02-16 |
JP7207536B2 true JP7207536B2 (ja) | 2023-01-18 |
Family
ID=73653091
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021524736A Active JP7207536B2 (ja) | 2019-06-06 | 2020-05-18 | ルール生成装置、ルール生成方法、及びプログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US20220237302A1 (ja) |
JP (1) | JP7207536B2 (ja) |
WO (2) | WO2020246011A1 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10360378B2 (en) * | 2014-08-22 | 2019-07-23 | Nec Corporation | Analysis device, analysis method and computer-readable recording medium |
WO2023105613A1 (ja) * | 2021-12-07 | 2023-06-15 | 日本電気株式会社 | セキュリティ保証装置、セキュリティ保証方法、及びコンピュータ読み取り可能な記録媒体 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060191010A1 (en) | 2005-02-18 | 2006-08-24 | Pace University | System for intrusion detection and vulnerability assessment in a computer network using simulation and machine learning |
JP2017033286A (ja) | 2015-07-31 | 2017-02-09 | 株式会社日立製作所 | マルウェア動作環境推定方法、その装置およびシステム |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7941856B2 (en) * | 2004-12-06 | 2011-05-10 | Wisconsin Alumni Research Foundation | Systems and methods for testing and evaluating an intrusion detection system |
US20080098476A1 (en) * | 2005-04-04 | 2008-04-24 | Bae Systems Information And Electronic Systems Integration Inc. | Method and Apparatus for Defending Against Zero-Day Worm-Based Attacks |
US10089475B2 (en) * | 2016-11-25 | 2018-10-02 | Sap Se | Detection of security incidents through simulations |
WO2019225216A1 (ja) * | 2018-05-21 | 2019-11-28 | 日本電信電話株式会社 | 判定方法、判定装置および判定プログラム |
GB2593509A (en) * | 2020-03-25 | 2021-09-29 | British Telecomm | Computer vulnerability identification |
-
2019
- 2019-06-06 WO PCT/JP2019/022643 patent/WO2020246011A1/ja active Application Filing
-
2020
- 2020-05-18 JP JP2021524736A patent/JP7207536B2/ja active Active
- 2020-05-18 WO PCT/JP2020/019646 patent/WO2020246227A1/ja active Application Filing
- 2020-05-18 US US17/616,219 patent/US20220237302A1/en active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060191010A1 (en) | 2005-02-18 | 2006-08-24 | Pace University | System for intrusion detection and vulnerability assessment in a computer network using simulation and machine learning |
JP2017033286A (ja) | 2015-07-31 | 2017-02-09 | 株式会社日立製作所 | マルウェア動作環境推定方法、その装置およびシステム |
Also Published As
Publication number | Publication date |
---|---|
US20220237302A1 (en) | 2022-07-28 |
JPWO2020246227A1 (ja) | 2020-12-10 |
WO2020246227A1 (ja) | 2020-12-10 |
WO2020246011A1 (ja) | 2020-12-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11240262B1 (en) | Malware detection verification and enhancement by coordinating endpoint and malware detection systems | |
US11483318B2 (en) | Providing network security through autonomous simulated environments | |
JP5972401B2 (ja) | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム | |
RU2454705C1 (ru) | Система и способ защиты компьютерного устройства от вредоносных объектов, использующих сложные схемы заражения | |
RU2514140C1 (ru) | Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов | |
JP4938576B2 (ja) | 情報収集システムおよび情報収集方法 | |
RU2617654C2 (ru) | Система и способ формирования набора антивирусных записей, используемых для обнаружения вредоносных файлов на компьютере пользователя | |
JP6285390B2 (ja) | サイバー攻撃分析装置及びサイバー攻撃分析方法 | |
EP3352110B1 (en) | System and method for detecting and classifying malware | |
CN107463841B (zh) | 检测恶意计算机系统的系统和方法 | |
JP7207536B2 (ja) | ルール生成装置、ルール生成方法、及びプログラム | |
CN111183620B (zh) | 入侵调查 | |
JP6712207B2 (ja) | セキュリティ対策装置 | |
EP3688950B1 (en) | Intrusion detection | |
US10635811B2 (en) | System and method for automation of malware unpacking and analysis | |
RU2510530C1 (ru) | Способ автоматического формирования эвристических алгоритмов поиска вредоносных объектов | |
CN110659478A (zh) | 在隔离的环境中检测阻止分析的恶意文件的方法 | |
EP3252645B1 (en) | System and method of detecting malicious computer systems | |
CN113824748B (zh) | 一种资产特征主动探测对抗方法、装置、电子设备及介质 | |
US20240022589A1 (en) | Risk analysis device, analysis target element determination device, and method | |
JP7255679B2 (ja) | 攻撃グラフ加工装置、方法およびプログラム | |
JP7238987B2 (ja) | セキュリティ訓練支援装置、セキュリティ訓練支援方法、及びプログラム | |
JP6333763B2 (ja) | マルウェア解析装置およびマルウェア解析方法 | |
JP7168010B2 (ja) | 行動計画推定装置、行動計画推定方法、及びプログラム | |
WO2023032015A1 (ja) | 攻撃分析支援装置、攻撃分析支援方法、およびコンピュータ読み取り可能な記録媒体 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211118 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20211118 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20221011 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221121 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221206 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221219 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7207536 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |