JP7309098B2 - 攻撃進捗評価装置、攻撃進捗評価方法、及び、攻撃進捗評価プログラム - Google Patents
攻撃進捗評価装置、攻撃進捗評価方法、及び、攻撃進捗評価プログラム Download PDFInfo
- Publication number
- JP7309098B2 JP7309098B2 JP2023518561A JP2023518561A JP7309098B2 JP 7309098 B2 JP7309098 B2 JP 7309098B2 JP 2023518561 A JP2023518561 A JP 2023518561A JP 2023518561 A JP2023518561 A JP 2023518561A JP 7309098 B2 JP7309098 B2 JP 7309098B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- progress
- information
- evaluation device
- progress evaluation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000011156 evaluation Methods 0.000 title claims description 64
- 238000012545 processing Methods 0.000 claims description 20
- 238000000034 method Methods 0.000 claims description 10
- 230000035515 penetration Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000012360 testing method Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 2
- 238000003745 diagnosis Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002250 progressing effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Description
本開示は、攻撃進捗評価装置、攻撃進捗評価方法、及び、攻撃進捗評価プログラムに関する。
セキュリティの弱点である脆弱性は社会的に問題となっており、近年では、システムのリリース前又は製品出荷前等に脆弱性の有無及び脆弱性の深刻度等を調査する脆弱性検査を実施することが求められている。脆弱性検査の一手法として知られているペネトレーションテストでは、対象システムに対して疑似的にサイバー攻撃を行うことにより、脆弱性の有無及び脆弱性を悪用されたときの深刻度、さらにはサイバー攻撃を検知することができるか否かを調査する。従来のペネトレーションテストは、専門的知識のあるペネトレーションテスターによって手動で行われていた。しかしながら、セキュリティ人材の不足が続いているために専門的知識がない人でもペネトレーションテストが行えるよう、ペネトレーションテストを自動実行する技術の開発が進んでいる。
特許文献1は、システムが持つ脆弱性に基づいてセキュリティ診断を実施する技術を開示している。本技術では、システムが脆弱性を持ち得るポイントに対して脆弱性を持つか否かを判断し、脆弱性を持つポイントから攻撃ルートを探索し、探索して発見された攻撃ルートにおいて到達することができる資産情報の重要度に応じてサイバー攻撃の被害規模を判定することによりセキュリティ診断を行う。
実際のサイバー攻撃では脆弱性を示す脆弱性情報だけでなく資産情報も活用して攻撃ルートが探索されることが多いものの、特許文献1の技術では、攻撃ルートを探索する際に、脆弱性情報を活用しているものの資産情報を活用していないという課題がある。
本開示は、脆弱性情報だけでなく資産情報も活用して攻撃ルートを探索することを目的とする。
本開示に係る攻撃進捗評価装置は、
情報を窃取するサイバー攻撃を模擬実行する攻撃進捗評価装置であって、
前記サイバー攻撃における目標を達成した度合いを示す目標達成度を、前記攻撃進捗評価装置が窃取した情報に基づいて算出する目標達成度演算部と、
前記目標達成度に応じて前記サイバー攻撃の攻撃ルートを変更するか否かを判断する攻撃ルート変更判断部と
を備える。
情報を窃取するサイバー攻撃を模擬実行する攻撃進捗評価装置であって、
前記サイバー攻撃における目標を達成した度合いを示す目標達成度を、前記攻撃進捗評価装置が窃取した情報に基づいて算出する目標達成度演算部と、
前記目標達成度に応じて前記サイバー攻撃の攻撃ルートを変更するか否かを判断する攻撃ルート変更判断部と
を備える。
本開示によれば、攻撃ルート変更判断部が目標達成度に応じてサイバー攻撃の攻撃ルートを変更するか否かを判断する。目標達成度はサイバー攻撃における目標を達成した度合いを示すため、典型的には資産情報に基づいて定まる。そのため、本開示によれば、脆弱性情報だけでなく資産情報も活用して攻撃ルートを探索することができる。
実施の形態の説明及び図面において、同じ要素及び対応する要素には同じ符号を付している。同じ符号が付された要素の説明は、適宜に省略又は簡略化する。図中の矢印はデータの流れ又は処理の流れを主に示している。また、「部」を、「回路」、「工程」、「手順」、「処理」又は「サーキットリー」に適宜読み替えてもよい。
実施の形態1.
以下、本実施の形態について、図面を参照しながら詳細に説明する。
以下、本実施の形態について、図面を参照しながら詳細に説明する。
***構成の説明***
図1は、本実施の形態に係る攻撃進捗評価装置100の構成例を示している。攻撃進捗評価装置100はサイバー攻撃進捗評価装置とも呼ばれる。攻撃進捗評価装置100は、情報を窃取するサイバー攻撃を模擬実行する。
攻撃進捗評価装置100は、攻撃実行部101と、攻撃結果収集部102と、関連情報収集部103と、攻撃進行度演算部104と、目標達成度演算部105と、攻撃ルート変更判断部106と、攻撃目標DB107と、関連情報DB108と、攻撃成果DB109と、脆弱性スコアDB110と、攻撃進行度スコアDB111と、目標達成度スコアDB112とから構成される。サイバー攻撃は、典型的には疑似的な又は模擬的なサイバー攻撃を指す。サイバー攻撃を単に攻撃と表記することもある。サイバー攻撃実行部101はサイバー攻撃実行部とも呼ばれる。攻撃結果収集部102はサイバー攻撃結果収集部とも呼ばれる。関連情報収集部103は攻撃目標関連情報収集部とも呼ばれる。関連情報DB108は攻撃目標関連情報DBとも呼ばれる。
図1は、本実施の形態に係る攻撃進捗評価装置100の構成例を示している。攻撃進捗評価装置100はサイバー攻撃進捗評価装置とも呼ばれる。攻撃進捗評価装置100は、情報を窃取するサイバー攻撃を模擬実行する。
攻撃進捗評価装置100は、攻撃実行部101と、攻撃結果収集部102と、関連情報収集部103と、攻撃進行度演算部104と、目標達成度演算部105と、攻撃ルート変更判断部106と、攻撃目標DB107と、関連情報DB108と、攻撃成果DB109と、脆弱性スコアDB110と、攻撃進行度スコアDB111と、目標達成度スコアDB112とから構成される。サイバー攻撃は、典型的には疑似的な又は模擬的なサイバー攻撃を指す。サイバー攻撃を単に攻撃と表記することもある。サイバー攻撃実行部101はサイバー攻撃実行部とも呼ばれる。攻撃結果収集部102はサイバー攻撃結果収集部とも呼ばれる。関連情報収集部103は攻撃目標関連情報収集部とも呼ばれる。関連情報DB108は攻撃目標関連情報DBとも呼ばれる。
攻撃実行部101は、現在取得している周囲の状況からサイバー攻撃の手段を選択し、選択した手段を実行することにより攻撃対象に対してサイバー攻撃を実行する。周囲の状況は、具体例として、発見した脆弱性又は攻撃対象のOS(Operating System)の種類である。
攻撃結果収集部102は、サイバー攻撃を実行した際に得られる情報を収集する。当該情報は、具体例として、発見した脆弱性情報、発見した開放ポートの情報、又は、窃取した認証情報である。攻撃結果収集部102が収集した情報は、攻撃成果DB109に格納される。
関連情報収集部103は、事前に定義された攻撃の目標に関連する情報を収集する。具体例として、攻撃の目標が「機密情報の奪取」であるとき、関連情報収集部103は、侵入した端末においてファイル又はメール等の情報を収集する。関連情報収集部103が収集した情報は、関連情報DB108に格納される。ここで、侵入した端末において関連情報収集部103が窃取する情報であって、ファイル又はメール等の情報は資産情報である。
攻撃進行度演算部104は、攻撃成果DB109が示す情報と、脆弱性スコアDB110が示す情報とを入力とし、サイバー攻撃の進行状況を示す攻撃進行度を算出する。攻撃進行度演算部104は、サイバー攻撃の対象である端末等における脆弱性を示す脆弱性情報に基づいて攻撃進行度を算出する。また、攻撃進行度演算部104は、攻撃成果情報に基づいて攻撃進行度を算出する。攻撃進行度は、ペネトレーションテスターに提示され、ペネトレーションテスターが攻撃の進行の度合いを確認することに活用される。攻撃成果情報は、攻撃進捗評価装置100が窃取した情報であって、サイバー攻撃の成果に相当する情報である
攻撃進行度の算出方法を以下に示す。まず、攻撃進行度演算部104は、ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)又はサイバーキルチェーン等を参考に攻撃の要素を抽出し、抽出した攻撃の要素を組み合わせて攻撃進行度の算出式を構築する。ここで、攻撃の目標が「機密情報の奪取」である場合における攻撃進行度の算出式の具体例を[数式1]に示す。
攻撃進行度の算出方法を以下に示す。まず、攻撃進行度演算部104は、ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)又はサイバーキルチェーン等を参考に攻撃の要素を抽出し、抽出した攻撃の要素を組み合わせて攻撃進行度の算出式を構築する。ここで、攻撃の目標が「機密情報の奪取」である場合における攻撃進行度の算出式の具体例を[数式1]に示す。
[数式1]
(攻撃進行度)=max(con_1,…,con_n,other_1,…,other_n)*((1)+(2)+(3)+(4))
(1)=(p_1+v_1+ser_1)+…+(p_(n+m)+v_(n+m)+ser_(n+m))+ip+os
(2)=cvss_1+…+cvss_at
(3)=f+(l_1*max(con_1,other_1))+…+(l_n*max(con_n,other_n))
(4)=(au_1+…+au_x)-(dau_1+…+dau_y)
(攻撃進行度)=max(con_1,…,con_n,other_1,…,other_n)*((1)+(2)+(3)+(4))
(1)=(p_1+v_1+ser_1)+…+(p_(n+m)+v_(n+m)+ser_(n+m))+ip+os
(2)=cvss_1+…+cvss_at
(3)=f+(l_1*max(con_1,other_1))+…+(l_n*max(con_n,other_n))
(4)=(au_1+…+au_x)-(dau_1+…+dau_y)
今回の目標は「機密情報の奪取」であるため、攻撃実行部101はファイルを攻撃対象の外部へ持ち出す必要がある。con_1からcon_nの各々はC&C(Command and Control)サーバと呼ばれるマルウェアに指令を出したりするサーバであって攻撃者が用意したサーバとの接続を表す二値変数である。other_1からother_nの各々はC&Cサーバ以外の外部接続を表す二値変数である。これら二値変数の値は、外部のサーバ等と接続していないときに0であり、外部のサーバ等と接続しているときに1である。nは攻撃実行部101が侵入した端末の数を表しており、一旦は侵入した全ての端末において外部接続が途切れた場合、攻撃進行度のスコア値は0となる。攻撃進行度のスコア値が0となった場合、攻撃実行部101は攻撃を終了してもよい。
(1)から(4)の各々は、攻撃成果情報に対応し、攻撃実行部101が攻撃手段を実行した際の攻撃の成果を表している。ここで、p_1からp_(n+m)の各々は各端末で発見された開放ポートの数を表す。v_1からv_(n+m)の各々は各端末で発見された脆弱性の数を表す。ser_1からser_(n+m)の各々は各端末で稼働しているサービスの数を表す。mは次の攻撃対象候補の数を表す。ipはIPアドレスが判明した端末の数を表す。osはOSのバージョンが判明した端末の数を表す。cvss_1からcvss_atの各々は攻撃が成功した脆弱性のスコアを表す。atは攻撃の成功数を表す。fは窃取したファイル数を表す。l_1からl_nの各々は端末ごとの権限のレベルを表す。au_1からau_xの各々は、窃取した認証情報に対応する値であって、認証情報が一時的なものであるか恒久的なものであるかによって勾配がつけられた値を表す。xは窃取した認証情報の数を表す。dau_1からdau_yの各々は、窃取した認証情報に対応する値であって、窃取した認証情報のうち使えなくなった認証情報に対して勾配がつけられた値を表す。yは、窃取した認証情報のうち使えなくなった認証情報の数を表す。攻撃進行度演算部104は、cvss_1からcvss_atの各々の値を、攻撃の目標に応じてCVSS(Common Vulnerability Scoring System)環境値を使用して再計算する。
(1)から(4)の各々は、攻撃成果情報に対応し、攻撃実行部101が攻撃手段を実行した際の攻撃の成果を表している。ここで、p_1からp_(n+m)の各々は各端末で発見された開放ポートの数を表す。v_1からv_(n+m)の各々は各端末で発見された脆弱性の数を表す。ser_1からser_(n+m)の各々は各端末で稼働しているサービスの数を表す。mは次の攻撃対象候補の数を表す。ipはIPアドレスが判明した端末の数を表す。osはOSのバージョンが判明した端末の数を表す。cvss_1からcvss_atの各々は攻撃が成功した脆弱性のスコアを表す。atは攻撃の成功数を表す。fは窃取したファイル数を表す。l_1からl_nの各々は端末ごとの権限のレベルを表す。au_1からau_xの各々は、窃取した認証情報に対応する値であって、認証情報が一時的なものであるか恒久的なものであるかによって勾配がつけられた値を表す。xは窃取した認証情報の数を表す。dau_1からdau_yの各々は、窃取した認証情報に対応する値であって、窃取した認証情報のうち使えなくなった認証情報に対して勾配がつけられた値を表す。yは、窃取した認証情報のうち使えなくなった認証情報の数を表す。攻撃進行度演算部104は、cvss_1からcvss_atの各々の値を、攻撃の目標に応じてCVSS(Common Vulnerability Scoring System)環境値を使用して再計算する。
目標達成度演算部105は、攻撃目標DB107が示す情報と、関連情報DB108が示す情報とを入力とし、サイバー攻撃における目標を達成した度合いを示す目標達成度を関連情報に基づいて算出する。関連情報は、攻撃進捗評価装置が窃取した情報であって、目標を達成することに関連する情報である。関連情報はアクセス権を示す情報を含んでもよい。
目標達成度の算出方法を以下に示す。目標達成度は、事前に定義した目標に基づき、現在までに取得している目標に関連する情報と、現在までに取得している目標に関する権限又は認証等とから算出される。
目標達成度の算出方法を以下に示す。目標達成度は、事前に定義した目標に基づき、現在までに取得している目標に関連する情報と、現在までに取得している目標に関する権限又は認証等とから算出される。
攻撃目標DB107に格納される攻撃の目標は、取得した情報が攻撃目標に関連する情報であるか否かを判定することができるようにテキストベースで事前に定義する。具体例として、攻撃の目標が「機密情報の奪取」である場合、まず、ペネトレーションテスターは目的である機密情報に関連するキーワードを抽出し、抽出したキーワードを単語リストに登録する。次に、ペネトレーションテスターは当該単語リストを攻撃の目標として攻撃目標DB107に格納しておく。
攻撃の目標が「機密情報の奪取」である場合における目標達成度の算出式の具体例を[数式2]に示す。
攻撃の目標が「機密情報の奪取」である場合における目標達成度の算出式の具体例を[数式2]に示す。
[数式2]
(目標達成度)=key_f+α*key_m+fs+lf+α*ms
(目標達成度)=key_f+α*key_m+fs+lf+α*ms
ここで、key_fは、窃取したファイルであってキーワードが出現したファイルの数を表す。key_mは、窃取したメールであってキーワードが出現したメールの数を表す。key_f及びkey_mの各々は、資産情報の一部、又は窃取した資産情報の量を示す情報である。fsは窃取したファイルサーバのアクセス権の種類を表す。lfは窃取したローカルファイルのアクセス権の種類を表す。msは窃取したメールサーバのアクセス権の種類を表す。αは0以上1以下の値を取る重みづけ変数である。メールに関する項目に重みづけ変数αを乗算している理由は、目標に関連するメールを発見するよりも目標に関連するファイルを発見する方がより目標に近づくと考えられるためである。
攻撃ルート変更判断部106は、目標達成度に応じてサイバー攻撃の攻撃ルートを変更するか否かを判断し、典型的には、目標達成度が増加するように攻撃ルートの変更を判断する。攻撃ルート変更判断部106は、攻撃進行度に応じてサイバー攻撃の攻撃ルートを変更するか否かを判断してもよい。
攻撃目標DB107は、事前に定義された攻撃の目標を格納する。
関連情報DB108は、攻撃の目標に関連して収集した情報を格納する。
攻撃成果DB109は、サイバー攻撃によって得られた情報である攻撃成果情報を格納する。
脆弱性スコアDB110は、脆弱性の危険度のスコア値を格納する。
攻撃進行度スコアDB111は、攻撃進行度のスコア値を格納する。
目標達成度スコアDB112は、目標達成度のスコア値を格納する。
図2は、攻撃目標DB107に攻撃目標情報113を格納する様子を示している。
図3は、脆弱性スコアDB110に脆弱性スコア情報114を格納する様子を示している。脆弱性スコア情報114は、各脆弱性の脅威度のスコア値でもある。
関連情報DB108は、攻撃の目標に関連して収集した情報を格納する。
攻撃成果DB109は、サイバー攻撃によって得られた情報である攻撃成果情報を格納する。
脆弱性スコアDB110は、脆弱性の危険度のスコア値を格納する。
攻撃進行度スコアDB111は、攻撃進行度のスコア値を格納する。
目標達成度スコアDB112は、目標達成度のスコア値を格納する。
図2は、攻撃目標DB107に攻撃目標情報113を格納する様子を示している。
図3は、脆弱性スコアDB110に脆弱性スコア情報114を格納する様子を示している。脆弱性スコア情報114は、各脆弱性の脅威度のスコア値でもある。
図4及び図5の各々は、攻撃進捗評価装置100のハードウェア構成例を示している。
図4に示すコンピュータ10は、演算手段であるプロセッサ10aと、主記憶装置10bと、USB(Universal Serial Bus)接続等を用いるキーボード10c及びマウス10dと、ユーザに対して表示出力を行う画面10eと、補助記憶装置10fと、外部との通信を行うために用いられるネットワークインターフェース10gとから構成される。コンピュータ10は複数のコンピュータから成ってもよい。
プロセッサ10aは、演算処理を行うIC(Integrated Circuit)であり、かつ、コンピュータが備えるハードウェアを制御する。コンピュータ10は、プロセッサ10aを代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ10aの役割を分担する。
主記憶装置10bは、典型的には揮発性の記憶装置であり、具体例としてRAM(Random Access Memory)である。
画面10eは、具体例として、LCD(Liquid Crystal Display)である。
補助記憶装置10fは、典型的には不揮発性の記憶装置である。補助記憶装置10fは、具体例として、ROM(Read Only Memory)、HDD(Hard Disk Drive)、又はフラッシュメモリである。補助記憶装置10fに記憶されたデータは、必要に応じて主記憶装置10bにロードされる。補助記憶装置10fは、攻撃進捗評価プログラムを記憶している。攻撃進捗評価プログラムは、攻撃進捗評価装置100が備える各部の機能をコンピュータに実現させるプログラムである。攻撃進捗評価プログラムは、主記憶装置10bにロードされて、プロセッサ10aによって実行される。攻撃進捗評価装置100が備える各部の機能は、ソフトウェアにより実現される。攻撃進捗評価プログラムは、コンピュータが読み取り可能な不揮発性の記録媒体に記録されていてもよい。不揮発性の記録媒体は、具体例として、光ディスク又はフラッシュメモリである。攻撃進捗評価プログラムは、プログラムプロダクトとして提供されてもよい。
ネットワークインターフェース10gは、具体例として、通信チップ又はNIC(Network Interface Card)である。
攻撃進捗評価装置100が図4に示すハードウェア構成で実現される場合、プログラム制御されたプロセッサ10aにおいて、攻撃実行部101と、攻撃結果収集部102と、関連情報収集部103と、攻撃進行度演算部104と、目標達成度演算部105と、攻撃ルート変更判断部106との各々が実現される。また、主記憶装置10b及び補助記憶装置10fにおいて、攻撃目標DB107と、関連情報DB108と、攻撃成果DB109と、脆弱性スコアDB110と、攻撃進行度スコアDB111と、目標達成度スコアDB112との各々が実現される。
図4に示すコンピュータ10は、演算手段であるプロセッサ10aと、主記憶装置10bと、USB(Universal Serial Bus)接続等を用いるキーボード10c及びマウス10dと、ユーザに対して表示出力を行う画面10eと、補助記憶装置10fと、外部との通信を行うために用いられるネットワークインターフェース10gとから構成される。コンピュータ10は複数のコンピュータから成ってもよい。
プロセッサ10aは、演算処理を行うIC(Integrated Circuit)であり、かつ、コンピュータが備えるハードウェアを制御する。コンピュータ10は、プロセッサ10aを代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ10aの役割を分担する。
主記憶装置10bは、典型的には揮発性の記憶装置であり、具体例としてRAM(Random Access Memory)である。
画面10eは、具体例として、LCD(Liquid Crystal Display)である。
補助記憶装置10fは、典型的には不揮発性の記憶装置である。補助記憶装置10fは、具体例として、ROM(Read Only Memory)、HDD(Hard Disk Drive)、又はフラッシュメモリである。補助記憶装置10fに記憶されたデータは、必要に応じて主記憶装置10bにロードされる。補助記憶装置10fは、攻撃進捗評価プログラムを記憶している。攻撃進捗評価プログラムは、攻撃進捗評価装置100が備える各部の機能をコンピュータに実現させるプログラムである。攻撃進捗評価プログラムは、主記憶装置10bにロードされて、プロセッサ10aによって実行される。攻撃進捗評価装置100が備える各部の機能は、ソフトウェアにより実現される。攻撃進捗評価プログラムは、コンピュータが読み取り可能な不揮発性の記録媒体に記録されていてもよい。不揮発性の記録媒体は、具体例として、光ディスク又はフラッシュメモリである。攻撃進捗評価プログラムは、プログラムプロダクトとして提供されてもよい。
ネットワークインターフェース10gは、具体例として、通信チップ又はNIC(Network Interface Card)である。
攻撃進捗評価装置100が図4に示すハードウェア構成で実現される場合、プログラム制御されたプロセッサ10aにおいて、攻撃実行部101と、攻撃結果収集部102と、関連情報収集部103と、攻撃進行度演算部104と、目標達成度演算部105と、攻撃ルート変更判断部106との各々が実現される。また、主記憶装置10b及び補助記憶装置10fにおいて、攻撃目標DB107と、関連情報DB108と、攻撃成果DB109と、脆弱性スコアDB110と、攻撃進行度スコアDB111と、目標達成度スコアDB112との各々が実現される。
図5に示すコンピュータ20は、プログラムを内蔵するメモリ20aと、演算手段であるCPU(Central Processing Unit)20bと、主記憶装置20cと、キーボード10cと、マウス10dと、画面10eと、補助記憶装置10fと、ネットワークインターフェース10gとから構成される。コンピュータ20は、基本的にはコンピュータ10と同じである。
攻撃進捗評価装置100が図5に示すハードウェア構成で実現される場合、メモリ20a及びCPU20bにおいて、攻撃実行部101と、攻撃結果収集部102と、関連情報収集部103と、攻撃進行度演算部104と、目標達成度演算部105と、攻撃ルート変更判断部106との各々が実現される。また、主記憶装置20c及び補助記憶装置20gにおいて、攻撃目標DB107と、関連情報DB108と、攻撃成果DB109と、脆弱性スコアDB110と、攻撃進行度スコアDB111と、目標達成度スコアDB112との各々が実現される。
攻撃進捗評価装置100が図5に示すハードウェア構成で実現される場合、メモリ20a及びCPU20bにおいて、攻撃実行部101と、攻撃結果収集部102と、関連情報収集部103と、攻撃進行度演算部104と、目標達成度演算部105と、攻撃ルート変更判断部106との各々が実現される。また、主記憶装置20c及び補助記憶装置20gにおいて、攻撃目標DB107と、関連情報DB108と、攻撃成果DB109と、脆弱性スコアDB110と、攻撃進行度スコアDB111と、目標達成度スコアDB112との各々が実現される。
***動作の説明***
攻撃進捗評価装置100の動作手順は、攻撃進捗評価方法に相当する。また、攻撃進捗評価装置100の動作を実現するプログラムは、攻撃進捗評価プログラムに相当する。
攻撃進捗評価装置100の動作手順は、攻撃進捗評価方法に相当する。また、攻撃進捗評価装置100の動作を実現するプログラムは、攻撃進捗評価プログラムに相当する。
図6は、攻撃進捗評価装置100によるサイバー攻撃の全体像の一例を示すフローチャートである。本図を用いて攻撃進捗評価装置100の動作を説明する。
(ステップS201)
攻撃実行部101は、現在侵入している端末又はネットワークセグメントの周囲の状況を調査する。周囲の状況の調査は、具体例として、Nmap(Network Mapper)又はNessus(登録商標)等のツールを用いて行われる。
攻撃実行部101は、現在侵入している端末又はネットワークセグメントの周囲の状況を調査する。周囲の状況の調査は、具体例として、Nmap(Network Mapper)又はNessus(登録商標)等のツールを用いて行われる。
(ステップS202)
攻撃実行部101は、現在侵入している端末とは別の端末への侵入を実施する。
攻撃実行部101は、現在侵入している端末とは別の端末への侵入を実施する。
(ステップS203)
攻撃実行部101は、ステップS202における侵入が成功したか否かを判断する。侵入が成功した場合、攻撃進捗評価装置100はステップS204に進む。それ以外の場合、攻撃進捗評価装置100はステップS202に戻る。
なお、攻撃実行部101が別の端末への侵入を実施する際、攻撃実行部101は、侵入が成功するまで侵入することができそうな端末への侵入を試みる。このとき、攻撃実行部101は、侵入を試みる端末を、現在侵入しているネットワークセグメント内の別の端末に途中で変更してもよい。
攻撃実行部101は、ステップS202における侵入が成功したか否かを判断する。侵入が成功した場合、攻撃進捗評価装置100はステップS204に進む。それ以外の場合、攻撃進捗評価装置100はステップS202に戻る。
なお、攻撃実行部101が別の端末への侵入を実施する際、攻撃実行部101は、侵入が成功するまで侵入することができそうな端末への侵入を試みる。このとき、攻撃実行部101は、侵入を試みる端末を、現在侵入しているネットワークセグメント内の別の端末に途中で変更してもよい。
(ステップS204)
関連情報収集部103は、侵入した端末内の情報を調査し、調査した結果に基づいて情報を収集する。
関連情報収集部103は、侵入した端末内の情報を調査し、調査した結果に基づいて情報を収集する。
(ステップS205)
攻撃進行度演算部104は、攻撃結果収集部102がこれまでに収集した情報と、事前に設定された算出式とに基づいて攻撃進行度を算出する。
攻撃進行度演算部104は、攻撃結果収集部102がこれまでに収集した情報と、事前に設定された算出式とに基づいて攻撃進行度を算出する。
(ステップS206)
目標達成度演算部105は、関連情報収集部103がこれまでに収集した情報と、事前に設定された算出式とに基づいて目標達成度を算出する。
目標達成度演算部105は、関連情報収集部103がこれまでに収集した情報と、事前に設定された算出式とに基づいて目標達成度を算出する。
(ステップS207)
攻撃ルート変更判断部106は、算出された目標達成度のスコア値に基づいて、現在侵入している端末のネットワークセグメントへの攻撃を継続するか否かを判断する。
当該ネットワークセグメントへの攻撃を継続する場合、攻撃進捗評価装置100はステップS208に進む。それ以外の場合、攻撃進捗評価装置100はステップS210に進む。
なお、攻撃ルート変更判断部106がペネトレーションテスターに目標達成度を提示し、攻撃ルート変更判断部106の代わりにペネトレーションテスターが攻撃を継続するか否かを判断してもよい。
攻撃ルート変更判断部106は、算出された目標達成度のスコア値に基づいて、現在侵入している端末のネットワークセグメントへの攻撃を継続するか否かを判断する。
当該ネットワークセグメントへの攻撃を継続する場合、攻撃進捗評価装置100はステップS208に進む。それ以外の場合、攻撃進捗評価装置100はステップS210に進む。
なお、攻撃ルート変更判断部106がペネトレーションテスターに目標達成度を提示し、攻撃ルート変更判断部106の代わりにペネトレーションテスターが攻撃を継続するか否かを判断してもよい。
(ステップS208)
攻撃実行部101は目的を実行する。具体例として、攻撃の目標が「機密情報の奪取」である場合、攻撃実行部101は権限の昇格又は認証情報の窃取等を実行する。
攻撃実行部101は目的を実行する。具体例として、攻撃の目標が「機密情報の奪取」である場合、攻撃実行部101は権限の昇格又は認証情報の窃取等を実行する。
(ステップS209)
攻撃実行部101は、目的の実行が成功したか否かを判定する。
目的の実行に成功した場合、攻撃進捗評価装置100は本フローチャートの処理を終了する、即ち、攻撃進捗評価装置100はサイバー攻撃を終了する。目的の実行に失敗した場合、攻撃進捗評価装置100はステップS201に戻る。
攻撃実行部101は、目的の実行が成功したか否かを判定する。
目的の実行に成功した場合、攻撃進捗評価装置100は本フローチャートの処理を終了する、即ち、攻撃進捗評価装置100はサイバー攻撃を終了する。目的の実行に失敗した場合、攻撃進捗評価装置100はステップS201に戻る。
(ステップS210)
攻撃ルート変更判断部106は攻撃のルートを変更する。
以後、攻撃実行部101は、別のネットワークセグメントの端末への侵入を試みる。
攻撃ルート変更判断部106は攻撃のルートを変更する。
以後、攻撃実行部101は、別のネットワークセグメントの端末への侵入を試みる。
図7は、攻撃ルート変更の具体例を示している。図7に示すように、攻撃実行部101が端末Aから端末Bへと横展開した後、攻撃ルート変更判断部106が攻撃ルートの変更を判断した場合、攻撃実行部101は、別のネットワークセグメント内の端末である端末Cへの侵入を試みる。このとき、攻撃進捗評価装置100は、侵入した端末と通信を行い動作してもよく、ハードウェア構成を持たずプログラムのみで構成され、侵入した端末のリソースを使って動作してもよい。
***実施の形態1の効果の説明***
以上のように、本実施の形態に係る攻撃進捗評価装置100は、サイバー攻撃の進行度を設定された算出式に従ってスコア化する攻撃進行度演算部104と、サイバー攻撃の目標達成度を設定された算出式に従ってスコア化する目標達成度演算部105と、目標達成度が増加するように攻撃ルートを修正する攻撃ルート変更判断部106とを備える。そのため、攻撃進捗評価装置100は、より目標に近づく攻撃ルートを選択することができる。
また、本実施の形態によれば、熟練したペネトレーションテスターが参照する資産情報を考慮することもでき、実際のサイバー攻撃により即した攻撃を自動的に行うことができる。
以上のように、本実施の形態に係る攻撃進捗評価装置100は、サイバー攻撃の進行度を設定された算出式に従ってスコア化する攻撃進行度演算部104と、サイバー攻撃の目標達成度を設定された算出式に従ってスコア化する目標達成度演算部105と、目標達成度が増加するように攻撃ルートを修正する攻撃ルート変更判断部106とを備える。そのため、攻撃進捗評価装置100は、より目標に近づく攻撃ルートを選択することができる。
また、本実施の形態によれば、熟練したペネトレーションテスターが参照する資産情報を考慮することもでき、実際のサイバー攻撃により即した攻撃を自動的に行うことができる。
***他の構成***
<変形例1>
攻撃進捗評価装置100は、目標達成度に基づき攻撃の目標に近づくように攻撃ルートを修正する代わりに、攻撃進行度のスコア値がある閾値を超えたら攻撃ルートを修正してもよい。具体例として、攻撃進行度のスコア値の閾値として90と、180と、270と、…を設定する。攻撃進行度が最初の閾値である90を超えた後における目標達成度のスコア値が上がる速度が一定値に達しなかった場合、攻撃ルート変更判断部106は別のネットワークセグメントの端末へ横展開を実行する。また、攻撃進行度が次の閾値である180を超えた後における目標達成度のスコア値が上がる速度が一定値に達しなかった場合、攻撃ルート変更判断部106は別のネットワークセグメントの端末へ横展開を実行する。即ち、攻撃ルート変更判断部106は、攻撃進行度が進行度閾値以上であり、かつ、過去単位時間における目標達成度の変化量が変化量閾値未満である場合に攻撃ルートを変更してもよい。
攻撃ルート変更判断部106は、本変形例に示すように、攻撃ルートの修正をアルゴリズム的に実施してもよい。
<変形例1>
攻撃進捗評価装置100は、目標達成度に基づき攻撃の目標に近づくように攻撃ルートを修正する代わりに、攻撃進行度のスコア値がある閾値を超えたら攻撃ルートを修正してもよい。具体例として、攻撃進行度のスコア値の閾値として90と、180と、270と、…を設定する。攻撃進行度が最初の閾値である90を超えた後における目標達成度のスコア値が上がる速度が一定値に達しなかった場合、攻撃ルート変更判断部106は別のネットワークセグメントの端末へ横展開を実行する。また、攻撃進行度が次の閾値である180を超えた後における目標達成度のスコア値が上がる速度が一定値に達しなかった場合、攻撃ルート変更判断部106は別のネットワークセグメントの端末へ横展開を実行する。即ち、攻撃ルート変更判断部106は、攻撃進行度が進行度閾値以上であり、かつ、過去単位時間における目標達成度の変化量が変化量閾値未満である場合に攻撃ルートを変更してもよい。
攻撃ルート変更判断部106は、本変形例に示すように、攻撃ルートの修正をアルゴリズム的に実施してもよい。
<変形例2>
攻撃実行部101は、複数の端末への侵入を並列に実施してもよい。
攻撃実行部101は、複数の端末への侵入を並列に実施してもよい。
<変形例3>
図8は、本変形例に係る攻撃進捗評価装置100のハードウェア構成例を示している。
攻撃進捗評価装置100は、プロセッサ10a、プロセッサ10aと主記憶装置10b、プロセッサ10aと補助記憶装置10f、あるいはプロセッサ10aと主記憶装置10bと補助記憶装置10fとに代えて、処理回路18を備える。
処理回路18は、攻撃進捗評価装置100が備える各部の少なくとも一部を実現するハードウェアである。
処理回路18は、専用のハードウェアであってもよく、また、主記憶装置10bに格納されるプログラムを実行するプロセッサであってもよい。
図8は、本変形例に係る攻撃進捗評価装置100のハードウェア構成例を示している。
攻撃進捗評価装置100は、プロセッサ10a、プロセッサ10aと主記憶装置10b、プロセッサ10aと補助記憶装置10f、あるいはプロセッサ10aと主記憶装置10bと補助記憶装置10fとに代えて、処理回路18を備える。
処理回路18は、攻撃進捗評価装置100が備える各部の少なくとも一部を実現するハードウェアである。
処理回路18は、専用のハードウェアであってもよく、また、主記憶装置10bに格納されるプログラムを実行するプロセッサであってもよい。
処理回路18が専用のハードウェアである場合、処理回路18は、具体例として、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)又はこれらの組み合わせである。
攻撃進捗評価装置100は、処理回路18を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路18の役割を分担する。
攻撃進捗評価装置100は、処理回路18を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路18の役割を分担する。
攻撃進捗評価装置100において、一部の機能が専用のハードウェアによって実現されて、残りの機能がソフトウェア又はファームウェアによって実現されてもよい。
処理回路18は、具体例として、ハードウェア、ソフトウェア、ファームウェア、又はこれらの組み合わせにより実現される。
プロセッサ10aと主記憶装置10bと補助記憶装置10fと処理回路18とを、総称して「プロセッシングサーキットリー」という。つまり、攻撃進捗評価装置100の各機能構成要素の機能は、プロセッシングサーキットリーにより実現される。
コンピュータ20も本変形例と同様の構成であってもよい。
プロセッサ10aと主記憶装置10bと補助記憶装置10fと処理回路18とを、総称して「プロセッシングサーキットリー」という。つまり、攻撃進捗評価装置100の各機能構成要素の機能は、プロセッシングサーキットリーにより実現される。
コンピュータ20も本変形例と同様の構成であってもよい。
***他の実施の形態***
実施の形態1について説明したが、本実施の形態のうち、複数の部分を組み合わせて実施しても構わない。あるいは、本実施の形態を部分的に実施しても構わない。その他、本実施の形態は、必要に応じて種々の変更がなされても構わず、全体としてあるいは部分的に、どのように組み合わせて実施されても構わない。
なお、前述した実施の形態は、本質的に好ましい例示であって、本開示と、その適用物と、用途の範囲とを制限することを意図するものではない。フローチャート等を用いて説明した手順は、適宜変更されてもよい。
実施の形態1について説明したが、本実施の形態のうち、複数の部分を組み合わせて実施しても構わない。あるいは、本実施の形態を部分的に実施しても構わない。その他、本実施の形態は、必要に応じて種々の変更がなされても構わず、全体としてあるいは部分的に、どのように組み合わせて実施されても構わない。
なお、前述した実施の形態は、本質的に好ましい例示であって、本開示と、その適用物と、用途の範囲とを制限することを意図するものではない。フローチャート等を用いて説明した手順は、適宜変更されてもよい。
10 コンピュータ、10a プロセッサ、10b 主記憶装置、10c キーボード、10d マウス、10e 画面、10f 補助記憶装置、10g ネットワークインターフェース、18 処理回路、20 コンピュータ、20a メモリ、20b CPU、20c 主記憶装置、20g 補助記憶装置、100 攻撃進捗評価装置、101 攻撃実行部、102 攻撃結果収集部、103 関連情報収集部、104 攻撃進行度演算部、105 目標達成度演算部、106 攻撃ルート変更判断部、107 攻撃目標DB、108 関連情報DB、109 攻撃成果DB、110 脆弱性スコアDB、111 攻撃進行度スコアDB、112 目標達成度スコアDB、113 攻撃目標情報、114 脆弱性スコア情報。
Claims (8)
- 情報を窃取するサイバー攻撃を模擬実行する攻撃進捗評価装置であって、
前記サイバー攻撃における目標を達成した度合いを示す目標達成度を、前記攻撃進捗評価装置が窃取した情報に基づいて算出する目標達成度演算部と、
前記目標達成度に応じて前記サイバー攻撃の攻撃ルートを変更するか否かを判断する攻撃ルート変更判断部と
を備える攻撃進捗評価装置。 - 前記目標達成度演算部は、前記目標達成度を、前記攻撃進捗評価装置が窃取した情報であって、前記目標を達成することに関連する情報である関連情報に基づいて算出する請求項1に記載の攻撃進捗評価装置。
- 前記関連情報は、アクセス権を示す情報を含み、
前記目標達成度演算部は、前記目標達成度を、前記関連情報が含むアクセス権の種類に応じて算出する請求項2に記載の攻撃進捗評価装置。 - 前記攻撃進捗評価装置は、さらに、
前記サイバー攻撃の対象における脆弱性を示す脆弱性情報に基づいて前記サイバー攻撃の進行状況を示す攻撃進行度を算出する攻撃進行度演算部
を備え、
前記攻撃ルート変更判断部は、前記攻撃進行度に応じて前記サイバー攻撃の攻撃ルートを変更するか否かを判断する請求項1から3のいずれか1項に記載の攻撃進捗評価装置。 - 前記攻撃進行度演算部は、前記攻撃進捗評価装置が窃取した情報であって前記サイバー攻撃の成果に相当する情報である攻撃成果情報に基づいて前記攻撃進行度を算出する請求項4に記載の攻撃進捗評価装置。
- 前記攻撃ルート変更判断部は、前記攻撃進行度が進行度閾値以上であり、かつ、過去単位時間における前記目標達成度の変化量が変化量閾値未満である場合に前記攻撃ルートを変更する請求項5に記載の攻撃進捗評価装置。
- 情報を窃取するサイバー攻撃を模擬実行する攻撃進捗評価装置が実行する攻撃進捗評価方法であって、
前記サイバー攻撃における目標を達成した度合いを示す目標達成度を、前記攻撃進捗評価装置が窃取した情報に基づいて算出し、
前記目標達成度に応じて前記サイバー攻撃の攻撃ルートを変更するか否かを判断する攻撃進捗評価方法。 - 情報を窃取するサイバー攻撃を模擬実行するコンピュータである攻撃進捗評価装置が実行する攻撃進捗評価プログラムであって、
前記サイバー攻撃における目標を達成した度合いを示す目標達成度を、前記攻撃進捗評価装置が窃取した情報に基づいて算出する目標達成度演算処理と、
前記目標達成度に応じて前記サイバー攻撃の攻撃ルートを変更するか否かを判断する攻撃ルート変更判断処理と
を前記攻撃進捗評価装置に実行させる攻撃進捗評価プログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2021/017427 WO2022234628A1 (ja) | 2021-05-07 | 2021-05-07 | 攻撃進捗評価装置、攻撃進捗評価方法、及び、攻撃進捗評価プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2022234628A1 JPWO2022234628A1 (ja) | 2022-11-10 |
| JP7309098B2 true JP7309098B2 (ja) | 2023-07-14 |
Family
ID=83932658
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2023518561A Active JP7309098B2 (ja) | 2021-05-07 | 2021-05-07 | 攻撃進捗評価装置、攻撃進捗評価方法、及び、攻撃進捗評価プログラム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20230421599A1 (ja) |
| JP (1) | JP7309098B2 (ja) |
| CN (1) | CN117223000A (ja) |
| DE (1) | DE112021007204T5 (ja) |
| WO (1) | WO2022234628A1 (ja) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015114833A (ja) | 2013-12-11 | 2015-06-22 | 三菱電機株式会社 | 検査システム、機器情報取得装置、検査指示装置、検査実行装置、機器検査方法及びプログラム |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008257577A (ja) | 2007-04-06 | 2008-10-23 | Lac Co Ltd | セキュリティ診断システム、方法およびプログラム |
-
2021
- 2021-05-07 DE DE112021007204.8T patent/DE112021007204T5/de active Pending
- 2021-05-07 JP JP2023518561A patent/JP7309098B2/ja active Active
- 2021-05-07 CN CN202180097647.9A patent/CN117223000A/zh active Pending
- 2021-05-07 WO PCT/JP2021/017427 patent/WO2022234628A1/ja active Application Filing
-
2023
- 2023-09-11 US US18/244,388 patent/US20230421599A1/en active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015114833A (ja) | 2013-12-11 | 2015-06-22 | 三菱電機株式会社 | 検査システム、機器情報取得装置、検査指示装置、検査実行装置、機器検査方法及びプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022234628A1 (ja) | 2022-11-10 |
| DE112021007204T5 (de) | 2024-01-04 |
| US20230421599A1 (en) | 2023-12-28 |
| JPWO2022234628A1 (ja) | 2022-11-10 |
| CN117223000A (zh) | 2023-12-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11436335B2 (en) | Method and system for neural network based data analytics in software security vulnerability testing | |
| CN1328638C (zh) | Windows环境下的主机入侵检测方法 | |
| US10372907B2 (en) | System and method of detecting malicious computer systems | |
| CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
| Valea et al. | Towards pentesting automation using the metasploit framework | |
| Sharma et al. | Advanced Persistent Threats (APT): evolution, anatomy, attribution and countermeasures | |
| CN114915475B (zh) | 攻击路径的确定方法、装置、设备及存储介质 | |
| CN113496033A (zh) | 访问行为识别方法和装置及存储介质 | |
| CN111581643A (zh) | 渗透攻击评价方法和装置、以及电子设备和可读存储介质 | |
| JPWO2016121348A1 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム | |
| CN116628705A (zh) | 一种数据安全处理方法、系统、电子设备及存储介质 | |
| CN116566674A (zh) | 自动化渗透测试方法、系统、电子设备及存储介质 | |
| CN114428962B (zh) | 漏洞风险优先级处置方法和装置 | |
| Zakaria et al. | Rentaka: A novel machine learning framework for crypto-ransomware pre-encryption detection | |
| Wang et al. | Threat Analysis of Cyber Attacks with Attack Tree+. | |
| CN113746781A (zh) | 一种网络安全检测方法、装置、设备及可读存储介质 | |
| Akram et al. | A systematic literature review: usage of logistic regression for malware detection | |
| JP7309098B2 (ja) | 攻撃進捗評価装置、攻撃進捗評価方法、及び、攻撃進捗評価プログラム | |
| Grégio et al. | An empirical analysis of malicious internet banking software behavior | |
| EP3252645B1 (en) | System and method of detecting malicious computer systems | |
| CN114640484A (zh) | 网络安全对抗方法、装置和电子设备 | |
| Lee et al. | APT attack behavior pattern mining using the FP-growth algorithm | |
| Kim | The impact of platform vulnerabilities in AI systems | |
| Rajalakshmi et al. | A survey of machine learning techniques used to combat against the advanced persistent threat | |
| CN112788009B (zh) | 一种网络攻击预警方法、装置、介质和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230323 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20230323 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230606 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230704 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7309098 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |