JP7311354B2 - ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム - Google Patents

ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム Download PDF

Info

Publication number
JP7311354B2
JP7311354B2 JP2019150912A JP2019150912A JP7311354B2 JP 7311354 B2 JP7311354 B2 JP 7311354B2 JP 2019150912 A JP2019150912 A JP 2019150912A JP 2019150912 A JP2019150912 A JP 2019150912A JP 7311354 B2 JP7311354 B2 JP 7311354B2
Authority
JP
Japan
Prior art keywords
darknet
traffic
organization
honeypot
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019150912A
Other languages
English (en)
Other versions
JP2021034807A (ja
Inventor
克哉 西嶋
倫宏 重本
哲郎 鬼頭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2019150912A priority Critical patent/JP7311354B2/ja
Priority to EP20855709.0A priority patent/EP4020906A4/en
Priority to PCT/JP2020/028939 priority patent/WO2021033506A1/ja
Priority to US17/631,126 priority patent/US20220279008A1/en
Publication of JP2021034807A publication Critical patent/JP2021034807A/ja
Application granted granted Critical
Publication of JP7311354B2 publication Critical patent/JP7311354B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワーク上におけるサイバー攻撃を監視する技術に関する。
近年、ランサムウェアやIoT(Internet of things)ボットによる大規模感染に代表される、大規模かつ高度なサイバー攻撃が、企業や国家にとって大きな脅威となっている。サイバー攻撃を事前に防ぐためには、サイバー攻撃の予兆を掴み、自組織がサイバー攻撃を受ける前に防止策を施すことが重要となる。以上の背景から、脆弱性のスキャンや感染活動といった攻撃情報を収集/分析し、事前に対策を施すことが求められている。
例えば、特許文献1には、サイバー攻撃の分析を容易に行うことを可能とするため、複数種類のサイバー攻撃情報を収集して、サイバー攻撃の特徴情報について、サイバー攻撃の特徴情報が出現するサイバー攻撃の種類の多少を評価するシステムが開示されている。
特開2018-196054号公報
特許文献1の技術を用いることで、サイバー攻撃の特徴情報(要素)が観測されたサイバー攻撃の種類の数を把握できる。しかし、特許文献1の技術ではSTIX(Structured Threat Information eXpression)等で整理された情報が共有されるまでに攻撃される可能性がある。また、得られたサイバー攻撃情報のいずれに対する対策を優先すればよいかを容易に把握することができない。
本発明は、上記事情に鑑みなされたものであり、その目的は、サイバー攻撃の予兆を適切に検出でき、検出されたサイバー攻撃への対策の優先度を適切に算出することのできる技術を提供することにある。
上記目的を達成するため、一観点に係るネットワーク監視装置は、プロセッサ部を備え、ネットワークにおけるサイバー攻撃を監視するネットワーク監視装置であって、プロセッサ部は、ネットワークにおけるダークネットトラフィックの増加点を検出し、検出された増加点に対応するダークネットトラフィックに関して、ダークネットトラフィックがネットワーク監視装置の所属する組織である自組織内での検知であること、増加点に対応するダークネットトラフィックを観測した観測地点と、自組織との間のダークネットトラフィックの関連性を示す相関スコアが閾値以上であること、送信元IPアドレスがブラックリストに存在すること、脅威インテリジェンスに攻撃情報として存在すること、アクセスに応答するように構成されたハニーポットにダークネットトラフィックと対応するログが存在すること、前記ログが存在するハニーポットが自組織内のハニーポットであること、ダークネットトラフィックの対象についての脆弱性のCVSS(Common Vulnerability Scoring System)スコアが閾値以上であること、対象となる脆弱性を持つ製品が自組織内に存在すること、の内の少なくとも1つの条件に該当するか否かに基づいて、サイバー攻撃への対策の優先度を示す評価値を算出する。
本発明によれば、サイバー攻撃の予兆を適切に検出でき、検出されたサイバー攻撃への対策の優先度を適切に算出することができる。
図1は、一実施形態に係る計算機システムの全体構成例を示す図である。 図2は、一実施形態に係る変化点検出データの一例を示す図である。 図3は、一実施形態に係る製品ポートデータの一例を示す図である。 図4は、一実施形態に係るハニーポットログデータの一例を示す図である。 図5は、一実施形態に係るサイバー脅威インテリジェンスデータの一例を示す図である。 図6は、一実施形態に係る脆弱性データの一例を示す図である。 図7は、一実施形態に係る構成データの一例を示す図である。 図8は、一実施形態に係るIPブラックリストデータの一例を示す図である。 図9は、一実施形態に係る相関スコアデータの一例を示す図ある。 図10は、一実施形態に係る対策優先度スコア提示処理のフローチャートである。 図11は、一実施形態に係る変化点スコア算出処理のシーケンス図である。 図12は、一実施形態に係る対策優先度スコア算出処理のフローチャートである。 図13は、一実施形態に係る対策優先度スコア提示画面の一例を示す図である。 図14は、一実施形態に係るスコア内訳画面の一例を示す図である。 図15は、一実施形態に係る詳細情報提示画面の一例を示す図である。
ランサムウェアやIoTボットの脅威に対応するためには、ダークネットトラフィックを分析し、攻撃の予兆をつかみ、自組織がサイバー攻撃を受ける前に防止策を施すことが重要である。しかし、ダークネットトラフィックだけでは攻撃の原因や影響がわからず、どのイベントから優先して対応すべきかが判断できない。そこで、本実施形態では、事前に収集した各種情報と、検知した攻撃の予兆を突合せることにより、攻撃の早期発見、および、攻撃の対策における優先度(対策優先度)の算出を行う。これにより、監視者は、重要なイベントから優先的に対策を行うことが可能となる。
以下において、実施形態について、図面を参照して説明する。なお、以下に説明する実施形態は特許請求の範囲に係る発明を限定するものではなく、また実施形態の中で説明されている諸要素及びその組み合わせの全てが発明の解決手段に必須であるとは限らない。
以下の説明では、「AAAデータ」の表現にて情報を説明することがあるが、情報は、どのようなデータ構造で表現されていてもよい。すなわち、情報がデータ構造に依存しないことを示すために、「AAAデータ」を「AAA情報」と呼ぶことができる。
また、以下の説明では、「プロセッサ部」は、1以上のプロセッサを含む。少なくとも1つのプロセッサは、典型的には、CPU(Central Processing Unit)のようなマイクロプロセッサである。1以上のプロセッサの各々は、シングルコアでもよいしマルチコアでもよい。
また、以下の説明では、「プログラム」を動作主体として処理を説明する場合があるが、プログラムは、プロセッサ部によって実行されることで、定められた処理を、適宜に記憶部及びインターフェース部のうちの少なくとも1つを用いながら行うため、処理の主語が、プロセッサ部(或いは、プロセッサ部を有する計算機又は計算機システム)とされてもよい。プログラムは、プログラムソースから計算機にインストールされてもよい。プログラムソースは、例えば、プログラム配布サーバ又は計算機が読み取り可能な記憶メディアであってもよい。また、以下の説明において、2以上のプログラムが1つのプログラムとして実現されてもよいし、1つのプログラムが2以上のプログラムとして実現されてもよい。また、プログラムが実行されることによって実現される処理のうちの少なくとも一部が、ハードウェア回路(例えばASIC(Application Specific Integrated Circuit)又はFPGA(Field-Programmable Gate Array))によって実現されてもよい。
図1は、一実施形態に係る計算機システムの全体構成例を示す図である。
計算機システム1は、ネットワーク監視装置100と、ダークネット観測装置131と、ハニーポット132と、ダークネット観測装置135と、ハニーポット136とを有する。
ネットワーク監視装置100と、ダークネット観測装置131と、ハニーポット132とは、或る組織内に設置されており、組織内のネットワーク130を介して接続されている。ネットワーク130は、例えば、有線LAN(Local Area Network)や無線LANなどである。
ダークネット観測装置135と、ハニーポット136とは、ネットワーク監視装置100が所属する組織の外(組織外)に設置されており、ネットワーク134を介して接続されている。ネットワーク134は、例えば、有線LANや無線LANなどである。
ネットワーク130と、ネットワーク134とは、インターネット133を介して接続されている。したがって、ネットワーク監視装置100は、ネットワーク130、インターネット133、及びネットワーク134を介して、ダークネット観測装置135及びハニーポット136と通信可能となっている。なお、インターネット133には、図示しない種々の計算機が接続されている。
ダークネット観測装置131は、例えば、自装置にIPパケットが到達可能なダークネットに対するトラフィック(ダークネットトラフィック)を観測する。ここで、ダークネットとは、インターネット上で到達可能なIPアドレスのうち、特定のホストが割り当てられていないアドレス空間のことをいう。ダークネット観測装置131は、ダークネットの内の組織内のアドレス空間に対するIPパケットを受信可能である。
ダークネット観測装置135は、例えば、自装置にIPパケットが到達可能なダークネットに対するトラフィックを観測する。ダークネット観測装置135は、インターネット上に存在するダークネットの内のダークネット観測装置135が所属する組織内のアドレス空間に対するIPパケットを受信可能である。
ハニーポット132、ハニーポット136は、サイバー攻撃のおとり用の装置であり、自装置宛のIPパケットを受信し、IPパケットに対して応答を返す。
ネットワーク監視装置100は、通信インターフェース(通信IF)101と、プロセッサ部の一例としてのCPU102と、入出力インターフェース(入出力IF)103と、メインメモリ104と、記憶装置105と、各部101~105を接続する通信路107とを備える。
通信路107は、例えば、バスやケーブルなどの情報伝達媒体である。
通信IF101は、例えば、有線LANカードや無線LANカードなどのインターフェースであり、ネットワーク130、インターネット133、及びネットワーク134を介して他の装置(例えば、ハニーポット132,136、ダークネット観測装置131,135)と通信する。入出力IF103は、キーボード、ディスプレイなどの入出力を行うための入出力装置106と接続され、データの入出力を仲介する。
メインメモリ104は、例えば、RAM(Random Access Memory)であり、CPU102で実行されるプログラムや、必要なデータを記憶する。本実施形態では、メインメモリ104は、情報収集プログラム108と、変化点検出プログラム109と、相関スコア算出プログラム110と、データフィルタリングプログラム111と、対策優先度スコア算出プログラム112と、対策優先度スコア提示プログラム113とを記憶する。
CPU102は、メインメモリ104及び/又は記憶装置105に格納されているプログラムに従って各種処理を実行する。
CPU102は、情報収集プログラム108を実行することにより、ダークネットトラフィックデータ、ハニーポットログデータ、サイバー脅威インテリジェンスデータ、脆弱性データ、製品ポートデータ、構成データ、IPブラックリストデータについてのデータを収集し、記憶装置105へ保存する処理を行う。CPU102は、変化点検出プログラム109を実行することによりダークネットトラフィックデータの変化点を検出する処理を行う。
CPU102は、相関スコア算出プログラム110を実行することにより、他組織と自組織のダークネットトラフィックの相関スコアを算出する処理を行う。CPU102は、データフィルタリングプログラム111を実行することにより、変化点検出データと各種データとの突合せ処理を行う。CPU102は、対策優先度スコア算出プログラム112を実行することにより、対策優先度スコアを算出する処理(対策優先度スコア算出処理:図12参照)を行う。CPU102は、対策優先度スコア提示プログラム113を実行することにより、対策優先度スコアをネットワーク監視装置100を使用する監視者に提示する処理を行う。
記憶装置105は、例えば、HDD(ハードディスクドライブ)やSSD(ソリッドステートドライブ)などであり、CPU102で実行されるプログラムや、CPU102に利用されるデータを記憶する。
本実施形態では、記憶部105は、ダークネットトラフィックデータ114と、相関スコアデータ115と、ハニーポットログデータ116と、サイバー脅威インテリジェンスデータ117と、脆弱性データ118と、製品ポートデータ119と、構成データ120と、IPブラックリストデータ121と、変化点検出データ122とを記憶する。
ダークネットトラフィックデータ114は、組織内のダークネット観測装置131及び組織外のダークネット観測装置135から得られるデータである。相関スコアデータ115は、相関スコア算出プログラム110により算出される組織内外のダークネットトラフィックデータの相関スコアのデータである。ハニーポットログデータ116は、組織内のハニーポット132及び組織外のハニーポット136から得られるデータである。サイバー脅威インテリジェンスデータ117は、セキュリティ研究者などにより提供されるデータである。脆弱性データ118は、公的機関などが提供しているデータである。製品ポートデータ119は、製品名とその製品の利用ポートとの対応を示すデータである。構成データ120は、組織内にある製品名とその製品のバージョンとのデータである。IPブラックリストデータ121は、リスクの高いIPアドレスをリスト(ブラックリスト)化したデータである。変化点検出データ122は、ダークネットトラフィックの変化点を検出したイベントをリスト化したデータである。
上記したプログラムやデータは、予めメインメモリ104または記憶装置105に格納されていてもよいし、必要な時に、入出力IF103を介して入出力装置106から、または、通信IF101を介して他の装置からインストール(又はロード)されてもよい。
次に、記憶装置105に格納されている各種データについて詳細に説明する。
ダークネットトラフィックデータ114は、各ダークネット観測装置131,135において受信(観測)されたIPパケットに対応するエントリを含む。ダークネットトラフィックデータ114のエントリは、例えば、ダークネット観測装置IDと、宛先Port/プロトコルと、検出時刻と、送信元IPとを含む。ダークネット観測装置IDは、エントリに対応するIPパケットを受信したダークネット観測装置のIDである。宛先Port/プロトコルは、IPパケットの対象とする宛先のポート及びプロトコルである。検出時刻は、IPパケットを受信した時刻である。送信元IPは、IPパケットの送信元のIPアドレスである。
図2は、一実施形態に係る変化点検出データの一例を示す図である。
変化点検出データ122は、ダークネットトラフィックの変化点を検出したイベント(事象:攻撃又は攻撃の予兆)を要約したエントリを含む。変化点検出データ122のエントリは、ID201と、国名202と、業界203と、組織規模204と、組織内外205と、宛先port/プロトコル206と、検出時刻207と、送信元IP208と、を含む。
ID201は、変化点検出データ122の1つのエントリを一意に識別できる識別子である。国名202は、変化点を検出したダークネット観測装置が設置されている国名である。業界203は、変化点を検出したダークネット観測装置が設置されている組織に対応する業界である。組織規模204は、変化点を検出したダークネット観測装置が設置されている組織の規模(組織規模)である。組織内外205は、変化点を検出したダークネット観測装置が設置されているのが、ネットワーク監視装置100の属する組織に対して組織内外のいずれであるかを表す。宛先port/プロトコル206は、ダークネットトラフィックにおける宛先port番号及びプロトコルである。検出時刻207は、変化点を検出した時刻である。送信元IP208は、ダークネットトラフィックの送信元のIPアドレス(送信元IPアドレス:送信元IPということもある)である。
なお、送信元IP208は、ダークネットトラフィックのすべてのIPパケットの送信元IPアドレスでもよいし、アクセス数を降順にソートした結果での上位のいくつかの送信元IPアドレスであってよい。
変化点検出データ122は、相関スコア算出プログラム110が相関スコアを算出する処理や、対策優先度スコア算出プログラム112が対策優先度スコアを算出する処理で利用される。対策優先度スコア算出プログラム112の具体的な処理については、図12を用いて後述する。
図3は、一実施形態に係る製品ポートデータの一例を示す図である。
製品ポートデータ119は、port番号及びプロトコルから製品名を判断するためのデータであり、製品ポートデータ119のエントリは、port/プロトコル301と、製品名302と、を含む。port/プロトコル301は、port番号及びプロトコル情報である。製品名302は、エントリにおけるport/プロトコル301を利用する製品名である。
製品ポートデータ119において、同一のport/プロトコルに対して複数の製品名が対応付けられていてもよい。製品ポートデータ119の各エントリは、情報収集プログラム108により定期的に収集/更新されてもよく、または、監視者により必要に応じて、入力または更新されてもよい。
製品ポートデータ119は、CPU102により実行される対策優先度スコア算出プログラム112が、対策優先度スコアを算出する処理で使用される。対策優先度算出プログラム112の具体的な処理については、図12を用いて後述する。
図4は、一実施形態に係るハニーポットログデータの一例を示す図である。
ハニーポットログデータ116のエントリは、組織内外401と、時刻402と、宛先port/プロトコル403と、送信元IP404と、攻撃名405とを含む。組織内外401は、ハニーポットが設置されているのが組織内外のいずれであるかを表す。時刻402は、ハニーポットログが生成された際のタイムスタンプである。宛先port/プロトコル403は、ハニーポットへ送信されたIPパケットの宛先port及びプロトコルである。送信元IP404は、ハニーポットログにおける送信元IPアドレス、すなわち、ハニーポットへのIPパケットの送信元のIPアドレスである。攻撃名405は、ハニーポットに対する具体的な攻撃名である。なお、ハニーポットログデータ116は、情報収集プログラム108により定期的に収集/更新される。
ハニーポットログデータ116は、対策優先度スコア算出プログラム112が、対策優先度スコアを算出する処理で使用される。対策優先度算出プログラム112の具体的な処理については、図12を用いて後述する。
図5は、一実施形態に係るサイバー脅威インテリジェンスデータの一例を示す図である。
サイバー脅威インテリジェンスデータ117のエントリは、登録時刻501と、製品名502と、送信元IP503と、宛先port/プロトコル504と、CVE(Common Vulnerabilities and Exposures)505とを含む。
登録時刻501は、エントリに対応するデータが登録された時刻である。製品名502は、攻撃の対象である製品名である。送信元IP503は、攻撃の接続元のIPアドレスである。宛先port/プロトコル504は、攻撃対象のポート番号及びプロトコルである。CVE505は、攻撃に利用された脆弱性のCVE番号である。
なお、サイバー脅威インテリジェンスデータ117の各エントリは、情報収集プログラム108により定期的に収集/更新されてもよく、監視者により必要に応じて入力または更新されてもよい。
サイバー脅威インテリジェンスデータ117は、対策優先度スコア算出プログラム112が、対策優先度スコアを算出する処理で使用される。対策優先度算出プログラム112の具体的な処理については、図12を用いて後述する。
図6は、一実施形態に係る脆弱性データの一例を示す図である。
脆弱性データ118のエントリは、CVE601と、CVSSスコア602と、登録時刻603と、製品名604と、該当バージョン605とを含む。
CVE601は、CVEである。CVSSスコア602は、エントリのCVE601に対応するCVSSスコアである。登録時刻603は、CVEが登録された時刻である。製品名604は、CVE601に該当する製品の名前(製品名)である。該当バージョン605は、CVE601に該当する製品のバージョンである。
なお、脆弱性データ118の各エントリは、情報収集プログラム108により定期的に収集/更新されてもよく、または、監視者により必要に応じて、入力または更新されてもよい。
脆弱性データ118は、対策優先度スコア算出プログラム112が、対策優先度スコアを算出する処理で使用される。対策優先度スコア算出プログラム112の具体的な処理については、図12を用いて後述する。
図7は、一実施形態に係る構成データの一例を示す図である。
構成データ120の各エントリは、製品名701と、バージョン702と、を含む。製品名701は、組織内に導入されている製品の製品名である。バージョン702は、エントリの製品名701のバージョンである。
なお、構成データ120の各エントリは、情報収集プログラム108により定期的に収集/更新されてもよく、または、監視者により必要に応じて、入力または更新されてもよい。
構成データ120は、対策優先度スコア算出プログラム112が、対策優先度スコアを算出する処理で利用される。対策優先度スコア算出プログラム112の具体的な処理については、図12を用いて後述する。
図8は、一実施形態に係るIPブラックリストデータの一例を示す図である。
IPブラックリストデータ121のエントリは、IPアドレス801を含む。IPアドレス801は、攻撃を行うリスクの高いIPアドレスである。
なお、IPブラックリストデータ121の各エントリは、情報収集プログラム108により定期的に収集/更新されてもよく、または、監視者により必要に応じて、入力または更新されてもよい。
IPブラックリストデータ121は、対策優先度スコア算出プログラム112が、対策優先度スコアを算出する処理で使用される。対策優先度スコア算出プログラム112の具体的な処理については、図12を用いて後述する。
図9は、一実施形態に係る相関スコアデータの一例を示す図ある。
相関スコアデータ115のエントリは、国名901と、業界902と、組織規模903と、相関スコア904とを含む。国名901は、相関スコアの算出対象であるダークネット観測装置が存在する国の国名である。業界902は、相関スコアの算出対象であるダークネット観測装置を設置している組織の業界である。組織規模903は、相関スコアの算出対象であるダークネット観測装置を設置している組織の規模である。相関スコア904は、エントリに対応するダークネット観測装置のダークネットトラフィックとの相関を示すスコア(相関スコア)である。この相関スコアは、相関スコア算出プログラム110により算出される。
なお、相関スコアデータ115のエントリは、監視者により必要に応じて、入力または更新されてもよい。
相関スコアデータ115は、対策優先度スコア算出プログラム112が、対策優先度スコアを算出する処理で使用される。対策優先度スコア算出プログラム112の具体的な処理については、図12を用いて後述する。
次に、一実施形態に係る計算機システム1における対策優先度スコア提示処理について説明する。
図10は、一実施形態に係る対策優先度スコア提示処理のフローチャートである。
まず、変化点検出プログラム109(厳密には、変化点検出プログラム109を実行するCPU102)は、ダークネットトラフィックの変化点スコアを算出する変化点スコア算出処理(図11参照)を実行する(ステップ1001)。
次に、ステップ1001で変化点スコアが算出されたダークネットトラフィックの対象ごとに、以下のステップ1002~ステップ1011の処理を実行する。
変化点検出プログラム109は、変化点スコア算出処理により算出された変化点スコアが、予め設定されている閾値を超えているか否かを判定する(ステップ1002)。
この結果、変化点スコアが閾値を超えていない場合(ステップ1002:No)には、ダークネットトラフィックの増加点ではないことを示しているので、変化点検出プログラム109は、処理を終了する。
一方、変化点スコアが閾値を超えている場合(ステップ1002:Yes)は、変化点検出プログラム109は、変化点スコアが閾値を超えているダークネットトラフィックデータ114に基づいて、変化点検出データ122のエントリを生成し、記憶装置105に格納する(ステップ1003)。
次いで、変化点検出プログラム109は、相関スコア算出プログラム110を起動し、起動された相関スコア算出プログラム110は、自組織内のダークネットトラフィックと、生成した変化点検出データ122のエントリについての観測地点(ダークネット観測装置:対象観測地点という)のダークネットトラフィックとの間の相関スコアを算出し、対象観測地点に対応する相関スコアデータ115のエントリの相関スコアを、算出した相関スコアに更新する(ステップ1004)。
具体的には、相関スコア算出プログラム110は、以下の式(1)に従って相関スコアを算出する。
相関スコア=M/N・・・(1)
ここで、Nは、対象観測地点において、過去(例えば、過去の所定の期間(例えば1年)以内)に検出された宛先port/プロトコルのユニーク値(重複を排除した値)の数であり、Mは、自組織内で過去(例えば、過去の所定の期間(例えば1年)以内)に検出された宛先port/プロトコルのユニーク値と、対象観測地点で過去に検出された宛先port/プロトコルのユニーク値とで共通する宛先port/プロトコルのユニーク値の数である。
この相関スコアは、対象観測地点で発生するダークネットトラフィックと、自組織で発生するダークネットトラフィックとの相関関係を示しており、相関スコアが高いほど、対象観測地点と同じ攻撃が、自組織に対して行われる可能性が高いことを意味している。
次に、データフィルタリングプログラム111が、変化点検出データ122と製品ポートデータ119を突合せることにより、ダークネットトラフィックの対象と想定される製品名の絞り込みを行う(ステップ1005)。具体的には、データフィルタリングプログラム111は、変化点検出データ122のエントリの宛先port/プロトコル206と、製品ポートデータ119のエントリの宛先port/プロトコル301とを突合わせる。
次に、データフィルタリングプログラム111は、変化点検出データ122とサイバー脅威インテリジェンスデータ117とを突合せることにより、ダークネットトラフィックに関するCVEの絞り込みを行う(ステップ1006)。具体的には、データフィルタリングプログラム111は、変化点検出データ122のエントリの宛先port/プロトコル206と、サイバー脅威インテリジェンスデータ117のエントリの宛先port/プロトコル504との突合せ、変化点検出データ122のエントリの送信元IP208とサイバー脅威インテリジェンスデータ117のエントリの送信元IP503との突合せ、ステップ1005で得られた製品名とサイバー脅威インテリジェンスデータ117のエントリの製品名502との突合せのいずれかを行うか、あるいはそれらを組み合わせて行う。
次に、データフィルタリングプログラム111は、変化点検出データ122とハニーポットログデータ116を突合せることにより、ハニーポットログデータ116のうちのダークネットトラフィックの増加点への攻撃の予兆に対応するエントリ(ハニーポットログ)の絞り込みを行う(ステップ1007)。具体的には、データフィルタリングプログラム111は、変化点検出データ122のエントリの宛先port/プロトコル206とハニーポットログデータ116のエントリの宛先port/プロトコル403との突合せ、変化点検出データ122のエントリの送信元IP208とハニーポットログデータ116のエントリの送信元IP404の突合せのいずれかを行うか、あるいはそれらを組み合わせて行う。なお、ハニーポットログデータ116の攻撃名405が不明なエントリについては、絞り込みの対象から除外する。
次に、データフィルタリングプログラム111は、変化点検出データ122と脆弱性データ118を突合せることにより、脆弱性データ118の増加点におけるアクセス対象の製品に対応するエントリの絞り込みを行う(ステップ1008)。具体的には、データフィルタリングプログラム111は、ステップ1005で得られた製品名と、脆弱性データ118のエントリの製品名604とを突き合わせる。
次に、データフィルタリングプログラム111は、変化点検出データ122と構成データ120を突合せることにより、自組織における脆弱性が含まれる製品の絞り込みを行う(ステップ1009)。具体的には、データフィルタリングプログラム111は、ステップ1008で得られたエントリの製品名604と該当バージョン605との組み合わせと、脆弱性データ118のエントリの製品名701とバージョン702との組み合わせとを突き合わせる。
次に、対策優先度スコア算出プログラム112は、ステップ1003からステップ1009の処理で得られた結果を受信して、対策優先度スコアを算出する対策優先度スコア算出処理(図12参照)を実行する(ステップ1010)。
次に、対策優先度スコア提示プログラム113は、対策優先度スコア算出処理で得られた結果を受信し、対策優先度スコアに関する情報を含む対策優先度スコア提示画面1300(図13参照)を入出力装置106等に表示し(ステップ1011)、処理を終了する。
次に、変化点スコア算出処理(ステップ1001)について詳細に説明する。
図11は、一実施形態に係る変化点スコア算出処理のシーケンス図である。
まず、情報収集プログラム108(厳密には、情報収集プログラム108を実行するCPU102)は、組織外のダークネット観測装置135に対して、観測結果の送信要求(観測結果要求)を送信する(ステップ1101a)。次に、ダークネット観測装置135は、観測結果要求を受信すると、自身が観測したダークネットトラフィックデータを情報収集プログラム108に送信する(ステップ1102a)。次に、情報収集プログラム108は、ダークネット観測装置135から受信したダークネットトラフィックデータを記憶装置105に書き込む(ステップ1103a)。
次に、変化点検出プログラム109は、記憶装置105に対して、ダークネットトラフィックデータの送信要求を送る(ステップ1104a)。次に、送信要求を受け取った記憶装置105は、記録したダークネットトラフィックデータを変化点検出プログラム109に送信する(ステップ1105a)。
次に、変化点検出プログラム109は、受信したダークネットトラフィックデータを宛先ポート/プロトコル毎に集計し、集計結果が過去データと比較してどれほど変化したのかを示す指標である変化点スコアを算出する(ステップ1106a)。ここで、変化点スコアは、例えば、過去データの集計結果(集計数)に対する、今回の集計結果(集計数)の割合でもよい。
次に、組織内のダークネット観測装置131を対象として、組織外のダークネット観測装置135に対する処理から始まる処理(ステップ1101a~1106a)と同様な処理を行う(ステップ1101b~1106b)。
次に、対策優先度スコア算出処理(ステップ1011)について詳細に説明する。
図12は、一実施形態に係る対策優先度スコア算出処理のフローチャートである。
対策優先度スコア算出プログラム112は、変化点検出データ122の各エントリを対象に、対策優先度スコア算出処理を実行する。ここで、変化点検出データ122の処理対象のエントリを対象エントリということとする。
まず、対策優先度スコア算出プログラム112(厳密には、対策優先度スコア算出プログラム112を実行するCPU102)は、対象エントリの組織内外205が組織内外のいずれであるかを判定する(ステップ1202)。判定の結果、組織内外205が組織内である場合(ステップ1202:Yes)、対策優先度スコア算出プログラム112は、組織内のダークネットに対するアクセスであることを示す自組織内ダークネット指標のスコアを上昇(1加算)させ、対象エントリに対する対策優先度スコアを上昇(例えば、1加算)させ(ステップ1201a)、処理をステップ1203に進める。一方、判定の結果、組織内外205が組織内でない場合(ステップ1202:No)、対策優先度スコア算出プログラム112は、処理をステップ1203に進める。
ステップ1203では、対策優先度スコア算出プログラム112は、対象エントリに対応する相関スコアデータ115のエントリの相関スコア904が予め定めた所定の閾値以上であるか否かを判定する。判定の結果、相関スコア904が閾値以上である場合(ステップ1203:Yes)、対策優先度スコア算出プログラム112は、相関スコアが閾値以上であることを示す相関指標のスコアを上昇(例えば、1加算)させ、対象エントリに対する対策優先度スコアを上昇(例えば、1加算)させ(ステップ1201b)、処理をステップ1204に進める。一方、相関スコア904が閾値以上でない場合(ステップ1203:No)、対策優先度スコア算出プログラム112は、処理をステップ1204に進める。
ステップ1204では、対策優先度スコア算出プログラム112は、対象エントリの送信元IP208が、IPブラックリストデータ121のエントリのIPアドレス801に含まれているか否かを判定する。判定の結果、送信元IP208がIPアドレス801に含まれている場合(ステップ1204:Yes)、対策優先度スコア算出プログラム112は、IPブラックリストに含まれていることを示すIPブラックリスト指標のスコアを上昇(例えば、1加算)させ、対象エントリに対する対策優先度スコアを上昇(例えば、1加算)させ(ステップ1201c)、処理をステップ1205に進める。一方、送信元IP208がIPアドレス801に含まれていない場合(ステップ1204:No)、対策優先度スコア算出プログラム112は、処理をステップ1205に進める。
ステップ1205では、対策優先度スコア算出プログラム112は、ステップ1006における絞り込みによって、対象エントリに対応するサイバー脅威インテリジェンスデータ117のエントリが存在するか否かを判定する。判定の結果、関連するサイバー脅威インテリジェンスデータ117のエントリが存在する場合(ステップ1205:Yes)、対策優先度スコア算出プログラム112は、サイバー脅威インテリジェンスのエントリが存在することを示す脅威インテリジェンス指標のスコアを上昇(例えば、1加算)させ、対象エントリに対する対策優先度スコアを上昇(例えば、1加算)させ(ステップ1201d)、処理をステップ1206に進める。一方、関連するサイバー脅威インテリジェンスデータのエントリが存在しない場合(ステップ1205:No)、対策優先度スコア算出プログラム112は、処理をステップ1206に進める。
ステップ1206では、対策優先度スコア算出プログラム112は、ステップ1007における絞り込みの結果に基づいて、対象エントリに関連するハニーポットログデータ116のエントリが存在するか否かを判定する。判定の結果、関連するハニーポットログデータ116のエントリが存在する場合(ステップ1206:Yes)、対策優先度スコア算出プログラム112は、関連するハニーポットログデータのエントリが存在することを示すハニーポット指標のスコアを上昇(例えば、1加算)させ、対象エントリに対する対策優先度スコアを上昇(例えば、1加算)させ(ステップ1201e)、処理をステップ1207に進める。一方、関連するハニーポットログデータのエントリが存在しない場合(ステップ1206:No)、対策優先度スコア算出プログラム112は、処理をステップ1208に進める。
ステップ1207では、対策優先度スコア算出プログラム112は、対象エントリに関連するハニーポットログデータ116のエントリが、自組織内のハニーポット132のデータであるか否かを判定する。判定の結果、関連するハニーポットログデータ116のエントリが、自組織内のハニーポット132のデータである場合(ステップ1207:Yes)、対策優先度スコア算出プログラム112は、関連するハニーポットログデータのエントリが自組織内のハニーポット132のデータであることを示す自組織内ハニーポット指標のスコアを上昇(例えば、1加算)させ、対象エントリに対する対策優先度スコアを上昇(例えば、1加算)させ(ステップ1201f)、処理をステップ1208に進める。一方、関連するハニーポットログデータのエントリが自組織内のハニーポット132のデータでない場合(ステップ1207:No)、対策優先度スコア算出プログラム112は、処理をステップ1208に進める。
ステップ1208では、対策優先度スコア算出プログラム112は、対象エントリに関連する脆弱性データ118のエントリのCVSSスコアの602が予め定められた閾値以上であるか否かを判定する。判定の結果、CVSSスコア602が閾値以上である場合(ステップ1208:Yes)、対策優先度スコア算出プログラム112は、CVSSスコアが閾値以上であることを示すCVSS指標のスコアを上昇(例えば、1加算)させ、対象エントリに対する対策優先度スコアを上昇(例えば、1加算)させ(ステップ1201g)、処理をステップ1209に進める。一方、CVSSスコア602が閾値以上でない場合(ステップ1208:No)、対策優先度スコア算出プログラム112は、処理をステップ1209に進める。
ステップ1209では、対策優先度スコア算出プログラム112は、ステップ1009での絞り込みの結果に基づいて、脆弱性を持つ製品が自組織内に存在するか否かを判定する。判定の結果、脆弱性を持つ製品が自組織内に存在する場合(ステップ1209:Yes)、対策優先度スコア算出プログラム112は、脆弱性を持つ製品が自組織内に存在することを示す構成情報指標のスコアを上昇(例えば、1加算)させ、対象エントリに対する対策優先度スコアを上昇(例えば、1加算)させ(ステップ1201h)、処理を終了する。一方、脆弱性を持つ製品が自組織内に存在しない場合(ステップ1209:No)、対策優先度スコア算出プログラム112は、処理を終了する。
この対策優先度スコア算出処理によると、変化点検出データ122の各エントリに対応する事象(攻撃又は攻撃の予兆)についての対策優先度スコアを適切に算出することができる。
次に、対策優先度スコア提示画面1300について説明する。
図13は、一実施形態に係る対策優先度スコア提示画面の一例を示す図である。
対策優先度スコア提示画面1300には、ダークネットトラフィックの変化点が検出されたそれぞれの事象(攻撃又は攻撃の予兆)についてのID1301と、国名1302と、業界1303と、組織規模1304と、組織内外1305と、宛先port/プロトコル1306と、検出時刻1307と、スパークライン1308と、対応優先度スコア1309とが表示される。
ID1301と、国名1302と、業界1303と、組織規模1304と、組織内外1305と、宛先port/プロトコル1306と、検出時刻1307とは、それぞれ、その事象に対応する変化点検出データ122のエントリのID201と、国名202と、業界203と、組織規模204と、組織内外205と、宛先port/プロトコル206と、検出時刻207と対応する。スパークライン1308は、エントリに対応する観測したダークネットトラフィックの推移のグラフ(例えば、折れ線グラフ)である。対応優先度スコア1309は、エントリの事象に対して対策優先度スコア算出処理により算出された対策優先度スコアである。
対策優先度スコア提示画面1300においては、表示されている対策優先度スコア1309に対して選択操作(例えば、入出力装置106のマウスによるクリック操作)を行うことにより、スコア内訳画面1400(図14参照)や詳細情報提示画面1500(図15参照)をさらに表示させることができる。
対策優先度スコア提示画面1300によると、監視者は、変化点が検出された各事象についての対策優先度スコアを容易に把握することができ、いずれの事象から対応すべきかを適切に判断することができる。
次に、スコア内訳画面1400について説明する。
図14は、一実施形態に係るスコア内訳画面の一例を示す図である。
スコア内訳画面1400は、対策優先度スコア提示画面1300において選択操作により選択された事象の対策優先度スコアの内訳を表示する画面である。スコア内訳画面1400には、各指標1401と、スコア1402とが表示される。指標1401は、対策優先度スコアを算出するための各指標である。スコア1402は、各指標1401に対するスコアである。
スコア内訳画面1400によると、対策優先度スコアについての内訳である各指標に対するスコアを確認することができる。
次に、詳細情報提示画面1500について説明する。
図15は、一実施形態に係る詳細情報提示画面の一例を示す図である。
詳細情報提示画面1500には、トラフィック推移1501と、接続元IP上位1502と、ダークネット相関スコア1503と、ハニーポットログ1504と、サイバー脅威インテリジェンス1505と、CVE候補1506とが表示される。
トラフィック推移1501は、選択された事象についての観測されたダークネットトラフィックの推移を示すグラフである。接続元IP上位1502は、選択された事象についてのアクセス数が上位の送信元のIPアドレスについての情報である。接続元IP上位1502には、例えば、日時、総数、送信元IP、IPブラックリスト、アクセス数の情報が含まれる。日時は、アクセス数の集計開始時刻である。総数は、観測したダークネットトラフィックの総数である。送信元IPは、送信元のIPアドレスである。IPブラックリストは、送信元IPがIPブラックリストデータ121に登録されているか否かの情報である。アクセス数は、送信元IP毎のトラフィック数である。
ダークネット相関スコア1503は、選択された事象についての相関スコアに関する情報である。相関スコアに関する情報は、相関スコアデータ115のエントリに含まれる情報と、事象に対応する変化点検出データ122のエントリの組織内外205とを含んでもよい。ハニーポットログ1504は、選択された事象に対応するハニーポットのログである。ハニーポットのログは、ハニーポットログデータ116のエントリに含まれる情報と同様である。サイバー脅威インテリジェンス1505は、選択された事象に対応するサイバー脅威インテリジェンスの情報である。サイバー脅威インテリジェンスの情報は、サイバー脅威インテリジェンスデータ117のエントリに含まれる情報と同様である。CVE候補1506は、選択された攻撃に対応するCVE候補の情報である。CVE候補1506は、脆弱性データ118のエントリに含まれる情報や、CVEに対応する構成が自組織内に含まれているか否かを示す情報を含んでいる。
次に、図10から図12に示す処理について具体的な例を挙げて説明する。
例えば、組織内のダークネット観測装置131のport445/TCPに対するアクセス数が急変し、ステップ1001の処理により算出された変化点スコアが閾値以上となった場合には、ステップ1003において、図2の変化点検出データ122のID201=「1」のエントリが生成される。以下、変化点検出データ122のID201=「1」のエントリが生成された場合の後続の処理について説明する。
ステップ1004では、変化点検出データ122のID201=「1」のエントリについては、変化点を検出した観測地点が自組織であるため、相関スコアは1となる。
ステップ1005では、変化点検出データ122のID201=「1」のエントリの宛先port/プロトコル206の「445/TCP」と、製品ポートデータ119のエントリのport/プロトコル301とが突合される。この結果、製品名302として「製品AAA」と「製品BBB」との2つに絞り込まれる。
ステップ1006では、サイバー脅威インテリジェンスデータ117の製品名502、送信元IP503、及び宛先port/プロトコル504と、ステップ1005で得られた製品名302=「製品AAA」,「製品BBB」、変化点検出データ122のエントリの送信元IP208=「AAA.AAA.AAA.AAA」,「BBB.BBB.BBB.BBB」,「CCC.CCC.CCC.CCC」、宛先port/プロトコル206=「445/TCP」、のそれぞれ、あるいは組み合わせと、が突合される。この結果、該当するものがないため、この例では何も抽出されない。
ステップ1007では、ハニーポットログデータ116のエントリの宛先port/プロトコル403及び送信元IP404と、変化点検出データ122のエントリの送信元IP208=「AAA.AAA.AAA.AAA」,「BBB.BBB.BBB.BBB」,「CCC.CCC.CCC.CCC」、宛先port/プロトコル206=「445/TCP」、のそれぞれ、あるいは組み合わせとが突合される。この結果、ハニーポットログデータ116からは、攻撃名405が「攻撃A」のエントリが抽出される。
ステップ1008では、脆弱性データ118のエントリの製品名604と、ステップ1005で得られた製品名302=「製品AAA」,「製品BBB」とが突合される。この結果、CVE601が「CVE-20XX-AAAA」と、「CVD-20XX-BBBB」との2つのエントリが抽出される。
ステップ1009では、構成データ120のエントリの製品名701とバージョン702の組み合わせと、ステップ1008で抽出されたエントリの製品名604=「製品BBB」と該当バージョン605=「1.X」,「2.X」との組み合わせとが突合される。この結果、製品名701が「製品BBB」である構成データ120のエントリが抽出される。
次に、ステップ1010で対策優先度スコア算出処理(図12)が実行され、ステップ1202では、変化点検出データ122のID201=「1」のエントリは、自組織内のダークネット観測装置131により検知されたイベントに対応するため、真(Yes)と判定されて、ステップ1201aで対策優先度スコアの上昇が行われる。
次に、ステップ1203では、相関スコアは1であり、例えば、相関スコアの閾値が0.8と設定されているとした場合、相関スコアは、閾値以上であるため、真(Yes)と判定されて、ステップ1201bで対策優先度スコアの上昇が行われる。
次に、ステップ1204では、変化点検出データ122のID201=「1」のエントリの接続元IP208=「AAA.AAA.AAA.AAA」,「BBB.BBB.BBB.BBB」が、IPアドレス801に含まれるため、真(Yes)と判定されて、ステップ1201cで対策優先度スコアの上昇が行われる。
次に、ステップ1205では、ステップ1006において脅威インテリジェンスデータのエントリが抽出されなかったため、偽(No)と判定されて、ステップ1201dは実施されずに、処理がステップ1206に進む。
次に、ステップ1206では、ステップ1007においてハニーポットログデータ116の攻撃名405=「攻撃A」のエントリが抽出されているため、真(Yes)と判定されて、ステップ1201eで対策優先度スコアの上昇が行われる。
次に、ステップ1207では、抽出されたハニーポットログデータ116のエントリの組織内外401=「組織内」であるため、真(Yes)と判定されて、ステップ1201fで対策優先度スコアの上昇が行われる。
次に、ステップ1208では、ステップ1008で抽出されたエントリのCVE601=「CVE-20XX-AAAA」が9であり、例えばCVSSスコアの閾値が8と設定されている場合、CVSSスコアが閾値以上であるため、真(Yes)と判定されて、ステップ1201gで対策優先度スコアの上昇が行われる。
次に、ステップ1209では、構成データ120に、脆弱性を含む製品である、製品名604=「製品BBB」と該当バージョン605=「1.X」に対応するエントリが存在する、すなわち、脆弱性を含む製品が自組織内に存在するため、真(Yes)と判定されて、ステップ1201hで対策優先度スコアの上昇が行われる。この結果、対策優先度スコアは、7となる。これにより、対策優先度スコア算出処理が終了する。
次に、ステップ1011において、対策優先度スコアを含む対策優先度スコア提示画面1300が提示される。ステップ1011においては、対策優先度スコア提示画面1300において、ID1301=「1」の行が新たに追加される。
この対策優先度スコア提示画面1300において、ID1301=「1」の行における対策優先度スコアの表示領域が選択指示されると、スコア内訳画面1400と、詳細情報提示画面1500とが提示される。
詳細情報提示画面1500では、変化点を検出した宛先port/プロトコルのトラフィック推移や、送信元IP毎のアクセス数、自組織とのダークネット相関スコア、関連するハニーポットログ、関連するサイバー脅威インテリジェンス、関連するCVEが一覧で提示される。なお、本例では、関連するサイバー脅威インテリジェンスが無いため、値が表示されていない。
なお、組織外のダークネット観測装置135で変化点を検出した場合には、上記した組織内のダークネット観測装置131で変化点を検出した場合と同様な処理を行う。
ここで、組織外のダークネット観測装置135に対する処理におけるステップ1004のダークネットトラフィック相関データを更新する処理について、宛先port/プロトコル=「80/TCP」のダークネットトラフィックが増加し、変化点スコアが閾値以上となった場合を例に説明する。なお、ダークネットトラフィックの観測地点は、国202=「アメリカ」、業界203=「鉄道」、組織規模205=「中」であるとする。また、観測地点では、例えば過去一年間に変化が検出された宛先port/プロトコルが「23/TCP,445/TCP,7001/TCP,12345/TCP」であるとする。
この例においては、過去一年間に変化が検出された宛先port/プロトコルに対して、今回検出された「80/TCP」を加えたリストが、観測地点における検出リストとなる。したがって、要素数N=「5」となる。また、過去一年間に自組織と他組織で共通して検出された宛先port/プロトコルが、「23/TCP,445/TCP」であるとする。この場合には、要素数M=「2」となる。これにより、観測地点と、自組織との相関スコアは、式(1)により、0.4と算出される。
なお、本発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化することができる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成することができる。例えば、実施形態に示される全構成要素からいくつかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。
例えば、上記実施形態では、対策優先度スコアを、ステップ1202~ステップ1209の8つの条件の判定に基づいて算出するようにしていたが、本発明はこれに限られず、これらの条件の1つ以上を用いて対策優先度スコアを算出するようにしてもよい。また、上記実施形態では、1つの条件を満たした場合の対策優先度スコアの上昇を同一の値としていたが、本発明はこれに限られず、条件に応じて上昇幅を異ならせてもよい。
また、上記実施形態では、ダークネットトラフィックデータをポート及びプロトコルを単位として集計して、増加点を検出するようにしていたが、本発明はこれに限られず、例えば、ポート単位で集計してもよく、また、IPアドレス単位で集計してもよい。
1…計算機システム、100…ネットワーク監視装置、102…CPU、104…メインメモリ、105…記憶装置、131,135…ダークネット観測装置、132,136…ハニーポット

Claims (9)

  1. プロセッサ部を備え、ネットワークにおけるサイバー攻撃を監視するネットワーク監視装置であって、
    前記プロセッサ部は、
    ネットワークにおけるダークネットトラフィックの増加点を検出し、
    検出された増加点に対応するダークネットトラフィックに関して、
    ダークネットトラフィックがネットワーク監視装置の所属する組織である自組織内での検知であること、
    増加点に対応するダークネットトラフィックを観測した観測地点と、自組織との間のダークネットトラフィックの関連性を示す相関スコアが閾値以上であること、
    送信元IPアドレスがブラックリストに存在すること、
    脅威インテリジェンスに攻撃情報として存在すること、
    アクセスに応答するように構成されたハニーポットに前記ダークネットトラフィックと対応するログが存在すること、
    前記ログが存在するハニーポットが自組織内のハニーポットであること、
    前記ダークネットトラフィックの対象についての脆弱性のCVSSスコアが閾値以上であること、
    対象となる脆弱性を持つ製品が自組織内に存在すること、の内の前記相関スコアが閾値以上であることを含む1つ以上の条件に該当するか否かに基づいて、サイバー攻撃への対策の優先度を示す評価値を算出し、
    前記増加点に対応するダークネットトラフィックの観測地点における過去の対象の種類の数に対する、当該観測地点と前記自組織内とで共通する対象の種類の数に基づいて、前記相関スコアを算出する
    ネットワーク監視装置。
  2. プロセッサ部を備え、ネットワークにおけるサイバー攻撃を監視するネットワーク監視装置であって、
    前記プロセッサ部は、
    ネットワークにおけるダークネットトラフィックの増加点を検出し、
    検出された増加点に対応するダークネットトラフィックに関して、
    ダークネットトラフィックがネットワーク監視装置の所属する組織である自組織内での検知であること、
    増加点に対応するダークネットトラフィックを観測した観測地点と、自組織との間のダークネットトラフィックの関連性を示す相関スコアが閾値以上であること、
    送信元IPアドレスがブラックリストに存在すること、
    脅威インテリジェンスに攻撃情報として存在すること、
    アクセスに応答するように構成されたハニーポットに前記ダークネットトラフィックと対応するログが存在すること、
    前記ログが存在するハニーポットが自組織内のハニーポットであること、
    前記ダークネットトラフィックの対象についての脆弱性のCVSSスコアが閾値以上であること、
    対象となる脆弱性を持つ製品が自組織内に存在すること、の内の前記ダークネットトラフィックが前記自組織内での検知であることを含む1つ以上の条件に該当するか否かに基づいて、サイバー攻撃への対策の優先度を示す評価値を算出する
    ネットワーク監視装置。
  3. プロセッサ部を備え、ネットワークにおけるサイバー攻撃を監視するネットワーク監視装置であって、
    前記プロセッサ部は、
    ネットワークにおけるダークネットトラフィックの増加点を検出し、
    検出された増加点に対応するダークネットトラフィックに関して、
    ダークネットトラフィックがネットワーク監視装置の所属する組織である自組織内での検知であること、
    増加点に対応するダークネットトラフィックを観測した観測地点と、自組織との間のダークネットトラフィックの関連性を示す相関スコアが閾値以上であること、
    送信元IPアドレスがブラックリストに存在すること、
    脅威インテリジェンスに攻撃情報として存在すること、
    アクセスに応答するように構成されたハニーポットに前記ダークネットトラフィックと対応するログが存在すること、
    前記ログが存在するハニーポットが自組織内のハニーポットであること、
    前記ダークネットトラフィックの対象についての脆弱性のCVSSスコアが閾値以上であること、
    対象となる脆弱性を持つ製品が自組織内に存在すること、の内の脆弱性のCVSSスコアが閾値以上であること及び脆弱性を持つ製品が自組織内に存在することを含む複数の条件に該当するか否かに基づいて、サイバー攻撃への対策の優先度を示す評価値を算出する
    ネットワーク監視装置。
  4. 前記プロセッサ部は、
    算出した前記評価値を表示させる
    請求項1に記載のネットワーク監視装置。
  5. 前記プロセッサ部は、
    前記評価値の内訳を示す情報を表示させる
    請求項に記載のネットワーク監視装置。
  6. 前記プロセッサ部は、
    前記ダークネットトラフィックの送信元の情報を表示させる
    請求項に記載のネットワーク監視装置。
  7. 前記プロセッサ部は、
    複数の前記条件の全てに基づいて前記評価値を算出する
    請求項1に記載のネットワーク監視装置。
  8. ネットワークにおけるサイバー攻撃を監視するネットワーク監視装置によるネットワーク監視方法であって、
    ネットワークにおけるダークネットトラフィックの増加点を検出し、
    検出された増加点に対応するダークネットトラフィックに関して、
    ダークネットトラフィックがネットワーク監視装置の所属する組織である自組織内での検知であること、
    増加点に対応するダークネットトラフィックを観測した観測地点と、自組織との間のダークネットトラフィックの関連性を示す相関スコアが閾値以上であること、
    送信元IPアドレスがブラックリストに存在すること、
    脅威インテリジェンスに攻撃情報として存在すること、
    アクセスに応答するように構成されたハニーポットに前記ダークネットトラフィックと対応するログが存在すること、
    前記ログが存在するハニーポットが自組織内のハニーポットであること、
    前記ダークネットトラフィックの攻撃対象についての脆弱性のCVSSスコアが閾値以上であること、
    対象となる脆弱性を持つ製品が自組織内に存在すること、の内の前記相関スコアが閾値以上であることを含む1つ以上の条件に該当するか否かに基づいて、サイバー攻撃への対策の優先度を示す評価値を算出し、
    前記増加点に対応するダークネットトラフィックの観測地点における過去の対象の種類の数に対する、当該観測地点と前記自組織内とで共通する対象の種類の数に基づいて、前記相関スコアを算出する
    ネットワーク監視方法。
  9. プロセッサ部を備え、ネットワークにおけるサイバー攻撃を監視する計算機に実行させるネットワーク監視プログラムであって、
    前記計算機に、
    ネットワークにおけるダークネットトラフィックの増加点を検出させ、
    検出された増加点に対応するダークネットトラフィックに関して、
    ダークネットトラフィックがネットワーク監視装置の所属する組織である自組織内での検知であること、
    増加点に対応するダークネットトラフィックを観測した観測地点と、自組織との間のダークネットトラフィックの関連性を示す相関スコアが閾値以上であること、
    送信元IPアドレスがブラックリストに存在すること、
    脅威インテリジェンスに攻撃情報として存在すること、
    アクセスに応答するように構成されたハニーポットに前記ダークネットトラフィックと対応するログが存在すること、
    前記ログが存在するハニーポットが自組織内のハニーポットであること、
    前記ダークネットトラフィックの対象についての脆弱性のCVSSスコアが閾値以上であること、
    対象となる脆弱性を持つ製品が自組織内に存在すること、の内の前記相関スコアが閾値以上であることを含む1つ以上の条件に該当するか否かに基づいて、サイバー攻撃への対策の優先度を示す評価値を算出させ、
    前記増加点に対応するダークネットトラフィックの観測地点における過去の対象の種類の数に対する、当該観測地点と前記自組織内とで共通する対象の種類の数に基づいて、前記相関スコアを算出させる
    ネットワーク監視プログラム。
JP2019150912A 2019-08-21 2019-08-21 ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム Active JP7311354B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2019150912A JP7311354B2 (ja) 2019-08-21 2019-08-21 ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム
EP20855709.0A EP4020906A4 (en) 2019-08-21 2020-07-28 NETWORK MONITORING DEVICE, NETWORK MONITORING METHOD, AND STORAGE MEDIUM ON WHICH NETWORK MONITORING PROGRAM IS STORED
PCT/JP2020/028939 WO2021033506A1 (ja) 2019-08-21 2020-07-28 ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラムが記録された記憶媒体
US17/631,126 US20220279008A1 (en) 2019-08-21 2020-07-28 Network monitoring device, network monitoring method, and storage medium having recorded thereon network monitoring program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019150912A JP7311354B2 (ja) 2019-08-21 2019-08-21 ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム

Publications (2)

Publication Number Publication Date
JP2021034807A JP2021034807A (ja) 2021-03-01
JP7311354B2 true JP7311354B2 (ja) 2023-07-19

Family

ID=74660797

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019150912A Active JP7311354B2 (ja) 2019-08-21 2019-08-21 ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム

Country Status (4)

Country Link
US (1) US20220279008A1 (ja)
EP (1) EP4020906A4 (ja)
JP (1) JP7311354B2 (ja)
WO (1) WO2021033506A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210344690A1 (en) * 2020-05-01 2021-11-04 Amazon Technologies, Inc. Distributed threat sensor analysis and correlation
KR20230095351A (ko) 2021-12-22 2023-06-29 남서울대학교 산학협력단 보안 이벤트를 스케줄링하는 장치, 방법 및 컴퓨터 프로그램
CN114491533A (zh) * 2022-01-24 2022-05-13 烽台科技(北京)有限公司 数据处理方法、装置、服务器及存储介质
CN114598512B (zh) * 2022-02-24 2024-02-06 烽台科技(北京)有限公司 一种基于蜜罐的网络安全保障方法、装置及终端设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180083988A1 (en) 2016-09-19 2018-03-22 Ntt Innovation Institute, Inc. Threat scoring system and method
US20180191765A1 (en) 2017-01-03 2018-07-05 Korea Internet & Security Agency Method and apparatus for calculating risk of cyber attack
WO2018143097A1 (ja) 2017-01-31 2018-08-09 日本電信電話株式会社 判定装置、判定方法、および、判定プログラム

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7644026B2 (en) * 2006-10-25 2010-01-05 Hewlett-Packard Development Company, L.P. Ranking systems based on a risk
WO2009041686A1 (ja) * 2007-09-28 2009-04-02 Nippon Telegraph And Telephone Corporation ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
US8413238B1 (en) * 2008-07-21 2013-04-02 Zscaler, Inc. Monitoring darknet access to identify malicious activity
US9489497B2 (en) * 2012-12-28 2016-11-08 Equifax, Inc. Systems and methods for network risk reduction
US20160036837A1 (en) * 2014-08-04 2016-02-04 Microsoft Corporation Detecting attacks on data centers
US9942250B2 (en) * 2014-08-06 2018-04-10 Norse Networks, Inc. Network appliance for dynamic protection from risky network activities
US10425432B1 (en) * 2016-06-24 2019-09-24 EMC IP Holding Company LLC Methods and apparatus for detecting suspicious network activity
US10372915B2 (en) * 2016-07-29 2019-08-06 Jpmorgan Chase Bank, N.A. Cybersecurity vulnerability management systems and method
AU2018269049A1 (en) * 2017-05-18 2019-11-21 Expanse, Inc. Correlation-driven threat assessment and remediation
JP7005936B2 (ja) 2017-05-19 2022-02-10 富士通株式会社 評価プログラム、評価方法および情報処理装置
JP6977625B2 (ja) * 2018-03-07 2021-12-08 富士通株式会社 評価プログラム、評価方法および評価装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180083988A1 (en) 2016-09-19 2018-03-22 Ntt Innovation Institute, Inc. Threat scoring system and method
US20180191765A1 (en) 2017-01-03 2018-07-05 Korea Internet & Security Agency Method and apparatus for calculating risk of cyber attack
WO2018143097A1 (ja) 2017-01-31 2018-08-09 日本電信電話株式会社 判定装置、判定方法、および、判定プログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
秋吉 亮, 小谷 大祐, 岡部 寿男,低対話型ハニーポットとダークネットの関連付けによる新たなスキャン活動の検知手法の検討 Investigation,電子情報通信学会技術研究報告 Vol.117 No.294,日本,一般社団法人電子情報通信学会,2017年12月11日,p.13~18

Also Published As

Publication number Publication date
EP4020906A1 (en) 2022-06-29
WO2021033506A1 (ja) 2021-02-25
US20220279008A1 (en) 2022-09-01
EP4020906A4 (en) 2023-09-06
JP2021034807A (ja) 2021-03-01

Similar Documents

Publication Publication Date Title
JP7311354B2 (ja) ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム
US11212306B2 (en) Graph database analysis for network anomaly detection systems
US10270803B2 (en) Method and apparatus for detecting malware infection
EP2953298B1 (en) Log analysis device, information processing method and program
EP3192232B1 (en) Dynamic quantification of cyber-security risks in a control system
US9386036B2 (en) Method for detecting and preventing a DDoS attack using cloud computing, and server
US8312536B2 (en) Hygiene-based computer security
US11882137B2 (en) Network security blacklist derived from honeypot statistics
EP3068095B1 (en) Monitoring apparatus and method
US11057411B2 (en) Log analysis device, log analysis method, and log analysis program
US10972490B2 (en) Specifying system, specifying device, and specifying method
JP2004318552A (ja) Idsログ分析支援装置、idsログ分析支援方法及びidsログ分析支援プログラム
JP2019021294A (ja) DDoS攻撃判定システムおよび方法
CN108369541B (zh) 用于安全威胁的威胁风险评分的系统和方法
JP7204247B2 (ja) 脅威対応自動化方法
JP6407184B2 (ja) 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム
JP6106861B1 (ja) ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム
KR20130116418A (ko) Ip 평판 분석 장치, 방법 및 컴퓨터 판독 가능한 기록 매체
CN114172707B (zh) Fast-Flux僵尸网络检测方法、装置、设备及存储介质
CN113055362B (zh) 异常行为的预防方法、装置、设备及存储介质
CN110830518B (zh) 溯源分析方法、装置、电子设备及存储介质
EP3964988A1 (en) Sensing device, sensing method, and sensing program
Priya et al. Network Attack Detection using Machine Learning
CN114024736A (zh) 威胁源关联性识别处理方法、装置及电子设备、存储介质
Vetrivel et al. Birds of a Feather? A Comparative Analysis of DDoS Victimisation by IoT Botnet and Amplification Attacks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220328

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230104

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230303

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230620

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230706

R150 Certificate of patent or registration of utility model

Ref document number: 7311354

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150