JP7412164B2 - 情報処理装置、情報処理方法及び情報処理プログラム - Google Patents
情報処理装置、情報処理方法及び情報処理プログラム Download PDFInfo
- Publication number
- JP7412164B2 JP7412164B2 JP2019233384A JP2019233384A JP7412164B2 JP 7412164 B2 JP7412164 B2 JP 7412164B2 JP 2019233384 A JP2019233384 A JP 2019233384A JP 2019233384 A JP2019233384 A JP 2019233384A JP 7412164 B2 JP7412164 B2 JP 7412164B2
- Authority
- JP
- Japan
- Prior art keywords
- attribute
- anomaly
- analysis
- information
- alert
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000010365 information processing Effects 0.000 title claims description 16
- 238000003672 processing method Methods 0.000 title claims description 3
- 238000004458 analytical method Methods 0.000 claims description 228
- 230000005856 abnormality Effects 0.000 claims description 43
- 238000000034 method Methods 0.000 claims description 19
- 238000001514 detection method Methods 0.000 description 37
- 238000010586 diagram Methods 0.000 description 12
- 238000004891 communication Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 8
- 239000000284 extract Substances 0.000 description 7
- 230000004044 response Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
これに対し、例えば、特許文献1では、第1のアラートと、第1のアラートに先立って通知された第2のアラートとの間の類似度を求め、当該類似度を示す類似度情報を提示する技術が開示されている。
つまり、特許文献1の技術では、新たに検知されたアノマリが過去に検知されたアノマリに類似していない場合は、アノマリ検知後の対応を補助する情報を提示することができないという課題がある。
新たに検知されたアノマリである新規アノマリの複数の属性の各々の過去のアノマリ分析での分析状況に基づき、前記複数の属性の中から、前記新規アノマリの分析で重視することを推奨する属性を推奨属性として選択する属性選択部と、
前記属性選択部により選択された前記推奨属性を提示する属性提示部とを有する。
***構成の説明***
図1は、本実施の形態に係るシステム構成例を示す。
図1に示すように、本実施の形態に係るシステムは、監視対象システム301、アノマリ検知装置303及び分析補助装置100で構成される。
分析補助装置100は、情報処理装置に相当する。また、分析補助装置100の動作手順は、情報処理方法に相当する。また、分析補助装置100の動作を実現するプログラムは、情報処理プログラムに相当する。
ログ採取装置302は、監視対象システム301内で発生した端末ログ、通信ログなどの対象システムログ106を採取する。また、ログ採取装置302は、採取した対象システムログ106をアノマリ検知装置303に送信する。
類似度判定部304は、ログ採取装置302から送信された対象システムログ106を、ルール、機械学習等のアノマリ(異常)の判定ロジックを用いて、過去に収集された対象システムログと比較して分析する。そして、類似度判定部304は、分析結果を示すアラート情報107を生成し、アラート情報107を分析補助装置100に送信する。
また、類似度判定部304は、対象システムログ106から取得される複数の属性の各々に対して個別の異常度を算出する機能を備える。また、類似度判定部304は、新たなアラート情報107に類似する過去のアラート情報を抽出する機能を備える。
アラート情報107には、アラートID(Identifier)、異常度(全体)、類似アラートID、識別子、属性、属性値、異常度が含まれる。
アラートIDには、アラート情報107を一意に識別可能な識別子が示される。
属性には、対象システムログ106に示された属性が示される。属性はアノマリの特徴である。
識別子には、属性を一意に識別可能な識別子が示される。
属性値には、属性の具体的な値が示される。
異常度には、属性ごとの異常度が示される。
異常度(全体)には、属性ごとの異常度を統合した異常度が示される。
類似アラートIDには、アラート情報107に類似する過去のアラート情報のアラートIDが記述される。アラート情報107に類似するアラート情報がない場合は、類似アラートIDの欄は空欄である。
分析補助装置100は、ハードウェアとして、プロセッサ201、メモリ202、通信インタフェース203、補助記憶装置204及び入出力インタフェース205を備える。
補助記憶装置204には、後述する属性選択部101、属性提示部103及び分析結果取得部104の機能を実現するプログラムが記憶されている。
これらプログラムは、補助記憶装置204からメモリ202にロードされる。そして、プロセッサ201がこれらプログラムを実行して、後述する属性選択部101、属性提示部103及び分析結果取得部104の動作を行う。
図2では、プロセッサ201が属性選択部101、属性提示部103及び分析結果取得部104の機能を実現するプログラムを実行している状態を模式的に表している。
通信インタフェース203は、アノマリ検知装置303からアラート情報107を受信する。
入出力インタフェース205は、分析補助装置100を利用するアナリストに、後述する分析結果入力画面700を提示する。また、入出力インタフェース205は、アナリストによる分析結果入力画面700への入力内容を取得する。また、入出力インタフェース205は、後述するアラート提示情報1000又はアラート提示情報1001をアナリストに提示する。
図3に示すように、分析補助装置100は、属性選択部101、分析結果記憶部102、属性提示部103及び分析結果取得部104で構成される。
分析結果情報108は、アラートID、判定結果及び識別子/異常度で構成される。
アラートIDには、アノマリ検知装置303から送信された過去のアラート情報107のアラートIDが示される。
判定結果には、過去のアラート情報107に対してアナリストが下した判定結果が示される。アナリストがアラート情報107を分析した結果、サイバー攻撃が発生していると判定した場合は、判定結果の欄に「攻撃」が記述される。一方、アナリストがアラート情報107を分析した結果、誤検知であると判定した場合は、判定結果の欄に「誤検知」が記述される。
識別子/異常度には、アナリストが判定を下す際に重視(着目)した属性の識別子と、当該識別子についてアラート情報107に記述されていた異常度が示される。
ベース値情報109には、属性の識別子ごとにベース値が記述されている。
識別子には、過去に受信された全てのアラート情報107から抽出された属性の識別子が示される。
ベース値は、アナリストがアノマリ分析において属性を重視した度合を示す。つまり、過去のアノマリ分析においてアナリストに重視された回数が多い属性ほどベース値が高くなる。アノマリ分析とは、アナリストがアラート情報107に示されるアノマリの属性を分析して、アラート情報107で示されるアノマリが誤検知に基づくものなのか、サイバー攻撃によるものなのかを判定する手順である。
つまり、属性選択部101は、アノマリ検知装置303から新たなアラート情報107を取得する。そして、属性選択部101は、取得した新たなアラート情報107の類似アラートIDの欄に過去の類似するアラート情報のアラートIDが記載されているか否かを判定する。つまり、属性選択部101は、新規アノマリに類似する、過去に検知されたアノマリが存在するか否かを判定する。
そして、新たなアラート情報107の類似アラートIDの欄にアラートIDが示されている場合、つまり、新規アノマリに類似する、過去に検知されたアノマリが存在する場合は、属性選択部101は、当該アラートIDに対応する分析結果情報108を分析結果記憶部102から取得する。更に、属性選択部101は、取得した分析結果情報108に記載されている属性の識別子とアラート情報107を属性提示部103に出力する。
一方、新たなアラート情報107の類似アラートIDの欄にアラートIDが示されていない場合、つまり、新規アノマリに類似する、過去に検知されたアノマリが存在しない場合は、属性選択部101は、アラート情報107で通知された複数の属性の中から推奨属性を選択する。具体的には、属性選択部101は、アラート情報107で通知された複数の属性のうち、ベース値情報109においてベース値が高い属性を推奨属性として選択する。そして、属性選択部101は、選択した推奨属性の識別子とアラート情報107を属性提示部103に出力する。
なお、属性選択部101により行われる処理は、属性選択処理に相当する。
属性提示部103により行われる処理は、属性提示処理に相当する。
より具体的には、分析結果取得部104は、図6に示す分析結果入力画面700を入出力インタフェース205を介してアナリストに提示する。そして、分析結果取得部104は、分析結果入力画面700へのアナリストの入力内容に基づいて、分析結果情報108及びベース値情報109を生成する。
なお、図6の詳細は、後述する。
次に、図4及び図5を参照して、本実施の形態に係る分析補助装置100の動作例を説明する。
図4は、新たなアラート情報107を取得した際の分析補助装置100の動作例を示す。
図5は、アナリストがアノマリ分析を完了した際の分析補助装置100の動作例を示す。
具体的には、属性選択部101は、取得したアラート情報107の類似アラートIDの欄に過去の類似するアラート情報のアラートIDが示されているか否かを判定する。
取得したアラート情報107の類似アラートIDの欄にアラートIDが示されている場合(ステップS102でYES)は、処理がステップS103に移行する。一方、取得したアラート情報107の類似アラートIDの欄にアラートIDが示されていない場合(ステップS102でNO)は、処理がステップS104に移行する。
より具体的には、属性選択部101は、アラート情報107に類似するアラート情報の分析結果情報108を分析結果記憶部102から取得する。そして、属性選択部101は、取得した分析結果情報108に記載されている属性を取得する。
属性選択部101は、取得した属性とアラート情報107を属性提示部103に出力する。
より具体的には、属性選択部101は、分析結果記憶部102からベース値情報109を取得する。そして、属性選択部101は、アラート情報107に含まれる属性のうちベース値の高い属性を推奨属性として選択する。
属性選択部101は、例えば、アラート情報107に含まれる属性のうちベース値が閾値(例えば、「0.5」)よりも高い属性を推奨属性として選択する。また、属性選択部101は、ベース値が高い順にn個(nは2以上の任意の整数)を推奨属性として選択してもよい。
属性選択部101は、選択した推奨属性とアラート情報107を属性提示部103に出力する。
属性選択部101により分析結果情報108に含まれる属性とアラート情報107が出力された場合は、属性提示部103は、分析結果情報108に含まれる属性とアラート情報107が示されるアラート提示情報を生成する。
一方、属性選択部101により推奨属性とアラート情報107が出力された場合は、属性提示部103は、推奨属性とアラート情報107が示されるアラート提示情報を生成する。
そして、属性選択部101は、抽出した分析結果情報108に記載されている識別子の中から、アラート情報107に含まれている識別子を抽出する。ここでは、属性選択部101は、R1、R7、R10、R11及びR12を抽出する。
属性選択部101は、アラート情報107と、分析結果情報108から抽出した識別子を属性提示部103に出力する。
属性提示部103は、アラート情報107と、分析結果情報108から抽出された識別子を用いて、アラート提示情報1000を生成する。
アラート提示情報1000には、アラート情報107の「アラートID:1003」と「異常度(全体):95%」とが示される。また、アラート提示情報1000には、分析結果情報108から抽出された識別子(R1、R7、R10、R11、R12)とこれら識別子に対応する属性と属性値とが示される。更に、アラート提示情報1000には、アラート情報107に示された各識別子に対応する異常度も示される。
属性選択部101は、アラート情報107の「類似アラートID:なし」により、分析結果記憶部102からベース値情報109を取得する。
そして、属性選択部101は、ベース値情報109から、アラート情報107に含まれている識別子のうちベース値が0.5以上の識別子を抽出する。ここでは、属性選択部101は、R1、R5及びR10を抽出する。なお、これらR1、R5及びR10に対応する属性が推奨属性に該当する。
属性選択部101は、アラート情報107と、ベース値情報109から抽出した識別子とベース値を属性提示部103に出力する。
属性提示部103は、アラート情報107と、ベース値情報109から抽出された識別子とベース値を用いて、アラート提示情報1001を生成する。
アラート提示情報1001には、アラート情報107の「アラートID:1005」と「異常度(全体):95%」とが示される。また、アラート提示情報1001には、ベース値情報109から抽出された識別子(R1、R5及びR10)とこれら識別子に対応する属性と属性値とが示される。更に、アラート提示情報1001には、アラート情報107に示された各識別子に対応する異常度と、ベース値情報109から抽出した各識別子に対応するベース値も示される。
より具体的には、分析結果取得部104は、分析結果入力画面700を入出力インタフェース205を介してアナリストに提示し、アナリストに分析結果入力画面700の必要項目に分析結果を入力させる。
また、分析結果取得部104は、対応するアラート情報107を属性提示部103から取得する。
分析結果入力画面700では、アラート情報107の「アラートID:1001」が示される。また、アラート情報107に含まれる「異常度(全体):95%」が示される。更に、アラート情報107に示される識別子(R1、R2、R3等)と属性(Method、Scheme、Host等)と属性値(GET、http、www等)が示される。
更に、識別子ごとにチェックボックス701が設けられている。アナリストは、アノマリ分析において重視(着目)した属性の識別子のチェックボックス701にチェックをつける。アナリストは、複数のチェックボックスを選択可能である。
また、アナリストは、サイバー攻撃有無の判定結果をプルダウンリスト702を操作して指定する。図6では、「誤検知」が示されているが、アナリストはプルダウンにより「誤検知」と「攻撃」とを選択することができる。
アナリストは、入力内容が確定したら、確定ボタン703を押す。
なお、図6では、一例として、プルダウン形式及びチェックボックス形式が用いられているが、分析結果入力画面700における入力形式は問わない。
より具体的には、分析結果取得部104は、分析結果入力画面700においてアナリストにより選択された(チェックボックス701にチェックがつけられた)識別子とその異常度と、プルダウンリスト702により指定されたサイバー攻撃有無の判定結果と、アラートIDとを用いて、図8に示す分析結果情報108を生成する。
つまり、分析結果取得部104は、分析結果入力画面700に示されるアラートIDを分析結果情報108に記述する。また、分析結果取得部104は、分析結果入力画面700のプルダウンリスト702で指定された判定結果を分析結果情報108に記述する。また、分析結果取得部104は、分析結果入力画面700においてチェックボックスにチェックがつけられた識別子を分析結果情報108に記述する。また、分析結果取得部104は、アラート情報107に示される異常度を分析結果情報108に記述する。
そして、分析結果取得部104は、生成した分析結果情報108とアラート情報107を分析結果記憶部102に格納する。
より具体的には、分析結果取得部104は、分析結果入力画面700でチェックボックスにチェックがつけられた識別子についてベース値を計算し、ベース値情報109を更新する。
分析結果取得部104は、識別子ごとに、以下の(式1)に従ってベース値を算出する。
識別子が重視(着目)された総回数÷アラート情報の総発行数 (式1)
(式1)において、「識別子が重視(着目)された総回数」は、これまで分析結果入力画面700においてチェックボックスにチェックがつけられた総回数である。分析結果記憶部102は、ステップS108の実施前の「識別子が重視(着目)された総回数」を記憶している。分析結果取得部104は、分析結果記憶部102から、ステップS108の実施前の「識別子が重視(着目)された総回数」を取得し、取得した「識別子が重視(着目)された総回数」に1を追加して、最新の「識別子が重視(着目)された総回数」を得る。
また、(式1)において、「アラート情報の総発行数」は、これまでにアノマリ検知装置303から発行されたアラート情報の総数である。属性選択部101はアラート情報107を受信する度に「アラート情報の総発行数」をカウントアップする。そして、分析結果記憶部102は、属性選択部101により計数された「アラート情報の総発行数」を記憶している。分析結果取得部104は、分析結果記憶部102から「アラート情報の総発行数」を取得し、(式1)に従って、属性ごとにベース値を算出する。
その後、分析結果取得部104は、更新後のベース値が示されるベース値情報109を分析結果記憶部102に格納する。
本実施の形態によれば、アラート情報107に類似する過去のアラート情報がない場合でも、アナリストによるアノマリ分析を補助する情報として、推奨属性を提示することができる。
例えば、アノマリ検知装置303におけるアノマリ検知ロジックが未熟であった場合を考える。この場合に、当該ロジックを見直すまでの間、アノマリの検知に強く寄与した属性として、攻撃の成否の判定にアナリストがあまり用いない属性をアノマリ検知装置303が提示してしまう可能性がある。また、ログの分析においては、アノマリの検知に寄与した属性と、攻撃の成否の分析に用いられる特徴は異なることがある。
他の例では、アノマリ検知装置303が「普段アクセスしないような時間にサイトへアクセスした」というアノマリを検知した場合は、当該アノマリの検知に強く寄与した属性は「時間」になると考えられる。しかし、前述のように、アナリストは「アクセス先」、「リファラー」等をまず確認する。このため、この例でも、アノマリの検知に寄与した属性と攻撃の成否の分析に用いられる属性とが一致しない。
本実施の形態では、過去の攻撃の成否の分析(アノマリ分析)において経験豊富なアナリストが重視(着目)した属性を推奨属性として提示するため、経験の浅いアナリストであっても、推奨属性に絞って効率的に攻撃の成否の分析を行うことができる。
本実施の形態では、主に実施の形態1との差異を説明する。
なお、以下で説明していない事項は、実施の形態1と同様である。
本実施の形態においても、システム構成例は、図1に示す通りである。
また、分析補助装置100のハードウェア構成例は図2に示す通りであり、分析補助装置100の機能構成例は図3に示す通りである。
但し、本実施の形態では、分析結果記憶部102は図14に例示する相関値情報110を記憶している。相関値情報110では、属性の識別子ごとに相関値が示される。相関値は、異常度の高さと攻撃が発生しているとの判定結果との相関を表す。つまり、アラート情報107に異常度が高い属性が記載されており、当該属性の相関値が高いときには、サイバー攻撃が発生している可能性が高いと考えられる。
属性選択部101は、ベース値が高い属性に加えて、アナリストによる過去のアノマリ分析により異常度が高い場合にはサイバー攻撃に関係する可能性が高いと推測されている属性を推奨属性として選択する。より具体的には、属性選択部101は、ベース値は高くないが、異常度が高く、異常度と攻撃が発生しているとの判定結果との間に強い相関がある属性を推奨属性として選択する。属性選択部101は、分析結果記憶部102で記憶されている相関値情報110を参照して、攻撃が発生しているとの判定結果に強い相関がある属性を抽出する。
図12は、本実施の形態に係る、新たなアラート情報107を取得した際の分析補助装置100の動作例を示す。
具体的には、属性選択部101は、ステップS104で選択されていない属性のうち、新たなアラート情報107で閾値よりも高い異常度が示されている属性を抽出する。そして、属性選択部101は、抽出した属性の相関値が閾値よりも高い場合は、当該属性を推奨属性として選択する。
図13において、ステップS106~S108は、図5に示すものと同じであるため、説明を省略する。
具体的には、分析結果取得部104は、図6に示す分析結果入力画面700のプルダウンリスト702で指定されている分析結果が「攻撃」であるか「誤検知」であるかを確認する。分析結果が「攻撃」である場合(ステップS110でYES)は、処理がステップS111に進む。一方、分析結果が「誤検知」である場合(ステップS110でNO)は、処理が終了する。
より具体的には、分析結果取得部104は、アナリストに「攻撃」と判定されたアラート情報107の異常度に基づき、相関値を更新し、更新後の相関値が示される相関値情報110を生成する。
例えば、分析結果取得部104は、属性ごとに、以下の(式2)に従って相関値を算出する。
属性の異常度が0.5以上で「攻撃」と判定されたアラート情報の総数÷当該属性が含まれるアラート情報の総数 (式2)
(式2)において、「属性の異常度が0.5以上で「攻撃」と判定されたアラート情報の総数」は、計算対象の属性(例えば、R1の属性)が含まれており、当該属性(R1の属性)の異常度が0.5以上であり、アナリストにより分析結果入力画面700において「攻撃」と判定されたアラート情報の総数である。
分析結果記憶部102は、ステップS111の実施前の「属性の異常度が0.5以上で「攻撃」と判定されたアラート情報の総数」を記憶している。分析結果取得部104は、分析結果記憶部102から、ステップS111の実施前の「属性の異常度が0.5以上で「攻撃」と判定されたアラート情報の総数」を取得する。そして、分析結果取得部104は、取得した「属性の異常度が0.5以上で「攻撃」と判定されたアラート情報の総数」に1を追加して、最新の「属性の異常度が0.5以上で「攻撃」と判定されたアラート情報の総数」を得る。
また、(式2)において、「当該属性が含まれるアラート情報の総数」は、計算対象の属性(例えば、R1の属性)が含まれるアラート情報107の総数である。「当該属性が含まれるアラート情報の総数」は、当該属性(例えば、R1の属性)が記述される全てのアラート情報107が対象になる(異常度が0.5未満のアラート情報107、アナリストにより「誤検知」と判定されたアラート情報107も対象)。
分析結果記憶部102は、ステップS111の実施前の「当該属性が含まれるアラート情報の総数」を記憶している。分析結果取得部104は、分析結果記憶部102から、ステップS111の実施前の「当該属性が含まれるアラート情報の総数」を取得する。そして、分析結果取得部104は、取得した「当該属性が含まれるアラート情報の総数」に1を追加して、最新の「当該属性が含まれるアラート情報の総数」を得る。
そして、分析結果取得部104は、(式2)に従って、属性ごとに相関値を算出する。
その後、分析結果取得部104は、更新後の相関値が示される相関値情報110を分析結果記憶部102に格納する。また、分析結果取得部104は、最新の「属性の異常度が0.5以上で「攻撃」と判定されたアラート情報の総数」と最新の「当該属性が含まれるアラート情報の総数」を分析結果記憶部102に格納する。
以上のように、本実施の形態では、過去のアノマリ分析により異常度が高い場合には攻撃と強い相関があると判明している属性が高い異常度とともにアラート情報107に出現した場合は、当該属性も推奨属性としてアナリストに提示することができる。
このため、本実施の形態によれば、普段はアノマリ分析において着目されない属性が攻撃に関係している可能性が高い場合には、当該属性もアノマリ分析の対象とすることができる。
アノマリ検知装置303におけるアノマリ検知ロジックが未熟な場合、誤検知が多く出ることが想定される。このため、アナリストが「アクセス先」及び「リファラー」を確認して正常だった場合は、「誤検知」と判定する。
アノマリ検知ロジックが未熟な場合でも、例えば「アクセス回数」に関しては、異常度の大きさと真に攻撃であるとの判定に相関があるとする。ここで、「一般サイトへのアクセスの増加」とのアノマリが検知された場合を想定する。この場合は、アノマリ検知に寄与した属性は「アクセス回数」だと考えられる。本実施の形態では、「アクセス先」及び「リファラー」に加えて、「アクセス回数」が推奨属性として提示されるため、「アクセス先」及び「リファラー」が正常でも、アナリストは、「アクセス回数」に着目した分析を行うことができる。例えば、アナリストは、一般サイトを隠れ蓑にした攻撃通信の可能性を想定した分析を行うことができる。
本実施の形態では、主に実施の形態1との差異を説明する。
なお、以下で説明していない事項は、実施の形態1と同様である。
また、分析補助装置100のハードウェア構成例は図2に示す通りであり、分析補助装置100の機能構成例は図3に示す通りである。
アナリストは、実施の形態1で説明した項目への記入に加え、属性ごとの分析方法を記入する。
図15は、本実施の形態に係る分析結果入力画面750の例を示す。図15の分析結果入力画面750は、アナリストによる入力が完了した状態を示す。
図15に示す分析結果入力画面750では、図6に示す分析結果入力画面700と比較して、属性ごとに、分析方法751が記入されている。
そして、分析結果取得部104は、図15の分析結果入力画面750を分析結果記憶部102に格納する。
図16のアラート提示情報1050は、図11のアラート提示情報1001と比較して、分析方法1051の行が追加されている。そして、分析方法1051の行では、属性ごとに、過去のアノマリ分析での分析方法が示される。
属性提示部103は、図15の分析結果入力画面750により得られた過去のアノマリ分析での分析方法751の記述をアラート提示情報1050に反映させる。
なお、図16のアラート提示情報1050は、図11のアラート提示情報1001に分析方法1051の行が追加されているが、図10のアラート提示情報1000に分析方法1051の行を追加してもよい。
本実施の形態では、主に実施の形態1との差異を説明する。
なお、以下で説明していない事項は、実施の形態1と同様である。
このような特定のイベントが発生する期間では、毎年、同様なアラート情報が発生することが想定される。
そこで、本実施の形態では、分析結果取得部104は、ベース値の算出のための期間を設定する。そして、分析結果取得部104は、期間ごとに、期間内に取得したアラート情報に基づいてベース値を算出する。例えば、分析結果取得部104は、月単位でベース値を算出する。そして、分析結果取得部104は、期間ごとのベース値が示されるベース値情報109を生成し、生成したベース値情報109を分析結果記憶部102に格納する。
本実施の形態では、属性選択部101は、新たなアラート情報107に類似する過去のアラート情報が存在しない場合は、現在に対応する期間のベース値を用いて推奨属性を選択する。例えば、現在が4月であれば、属性選択部101は、同様のイベントが発生していたと考えられる昨年の4月のベース値を用いて、推奨属性を選択する。
あるいは、これらの実施の形態のうち、1つを部分的に実施しても構わない。
あるいは、これらの実施の形態のうち、2つ以上を部分的に組み合わせて実施しても構わない。
なお、本発明は、これらの実施の形態に限定されるものではなく、必要に応じて種々の変更が可能である。
例えば、アラート情報107に類似する過去のアラート情報が存在し、類似する過去のアラート情報について「攻撃」と判定されている場合は、アラート提示情報1000に攻撃の進行度を表すフェーズ情報を記載してもよい。また、アラート提示情報1000に攻撃名を記載してもよい。また、過去のアラート情報に含まれる属性と新たなアラート情報107に含まれる属性との間の類似度をアラート提示情報1000に記載してもよい。更に、属性間の類似度を数値で表してもよいし、棒グラフ等で可視化してもよい。
最後に、分析補助装置100のハードウェア構成の補足説明を行う。
図2に示すプロセッサ201は、プロセッシングを行うIC(Integrated Circuit)である。
プロセッサ201は、CPU(Central Processing Unit)、DSP(Digital Signal Processor)等である。
図2に示すメモリ202は、RAM(Random Access Memory)である。
図2に示す補助記憶装置204は、ROM(Read Only Memory)、フラッシュメモリ、HDD(Hard Disk Drive)等である。
図2に示す通信インタフェース203は、データの通信処理を実行する電子回路である。
通信インタフェース203は、例えば、通信チップ又はNIC(Network Interface Card)である。
図2に示す入出力インタフェース205は、例えば、ディスプレイ装置、マウス、キーボード、タッチパネル等である。
そして、OSの少なくとも一部がプロセッサ201により実行される。
プロセッサ201はOSの少なくとも一部を実行しながら、属性選択部101、属性提示部103及び分析結果取得部104の機能を実現するプログラムを実行する。
プロセッサ201がOSを実行することで、タスク管理、メモリ管理、ファイル管理、通信制御等が行われる。
また、属性選択部101、属性提示部103及び分析結果取得部104の処理の結果を示す情報、データ、信号値及び変数値の少なくともいずれかが、メモリ202、補助記憶装置204、プロセッサ201内のレジスタ及びキャッシュメモリの少なくともいずれかに記憶される。
また、属性選択部101、属性提示部103及び分析結果取得部104の機能を実現するプログラムは、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD等の可搬記録媒体に格納されていてもよい。そして、属性選択部101、属性提示部103及び分析結果取得部104の機能を実現するプログラムが格納された可搬記録媒体を流通させてもよい。
また、分析補助装置100は、処理回路により実現されてもよい。処理回路は、例えば、ロジックIC(Integrated Circuit)、GA(Gate Array)、ASIC(Application Specific Integrated Circuit)、FPGA(Field-Programmable Gate Array)である。
この場合は、属性選択部101、属性提示部103及び分析結果取得部104は、それぞれ処理回路の一部として実現される。
なお、本明細書では、プロセッサと処理回路との上位概念を、「プロセッシングサーキットリー」という。
つまり、プロセッサと処理回路とは、それぞれ「プロセッシングサーキットリー」の具体例である。
Claims (9)
- 新たに検知されたアノマリである新規アノマリの複数の属性の各々の過去のアノマリ分析での分析状況に基づき、前記複数の属性の中から、前記新規アノマリでの異常度が高く、過去のアノマリ分析により異常度が高い場合にはサイバー攻撃に関係する可能性が高いと推測されている属性を、前記新規アノマリの分析で重視することを推奨する推奨属性として選択する属性選択部と、
前記属性選択部により選択された前記推奨属性を提示する属性提示部とを有する情報処理装置。 - 前記属性選択部は、
前記新規アノマリに類似する、過去に検知されたアノマリが存在するか否かを判定し、
前記新規アノマリに類似する、過去に検知されたアノマリが存在しない場合に、前記推奨属性を選択する請求項1に記載の情報処理装置。 - 前記属性選択部は、
前記新規アノマリの前記複数の属性を通知するアラート情報が発行された場合に、前記アラート情報で通知された前記複数の属性の中から前記推奨属性を選択する請求項1に記載の情報処理装置。 - 前記属性選択部は、
過去のアノマリ分析において重視された回数が多い属性を前記推奨属性として選択する請求項1に記載の情報処理装置。 - 前記属性提示部は、
過去のアノマリ分析で行われた属性ごとの分析方法を提示する請求項1に記載の情報処理装置。 - 前記属性選択部は、
特定の期間に行われたアノマリ分析での分析状況に基づき、前記推奨属性を選択する請求項1に記載の情報処理装置。 - 前記属性選択部は、
特定のイベントが発生する特定の期間に行われたアノマリ分析での分析状況に基づき、前記推奨属性を選択する請求項6に記載の情報処理装置。 - コンピュータが、新たに検知されたアノマリである新規アノマリの複数の属性の各々の過去のアノマリ分析での分析状況に基づき、前記複数の属性の中から、前記新規アノマリでの異常度が高く、過去のアノマリ分析により異常度が高い場合にはサイバー攻撃に関係する可能性が高いと推測されている属性を、前記新規アノマリの分析で重視することを推奨する推奨属性として選択し、
前記コンピュータが、選択された前記推奨属性を提示する情報処理方法。 - 新たに検知されたアノマリである新規アノマリの複数の属性の各々の過去のアノマリ分析での分析状況に基づき、前記複数の属性の中から、前記新規アノマリでの異常度が高く、過去のアノマリ分析により異常度が高い場合にはサイバー攻撃に関係する可能性が高いと推測されている属性を、前記新規アノマリの分析で重視することを推奨する推奨属性として選択する属性選択処理と、
前記属性選択処理により選択された前記推奨属性を提示する属性提示処理とをコンピュータに実行させる情報処理プログラム。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019233384A JP7412164B2 (ja) | 2019-12-24 | 2019-12-24 | 情報処理装置、情報処理方法及び情報処理プログラム |
PCT/JP2020/031034 WO2021131146A1 (ja) | 2019-12-24 | 2020-08-17 | 情報処理装置、情報処理方法及び情報処理プログラム |
CN202080085152.XA CN114787807A (zh) | 2019-12-24 | 2020-08-17 | 信息处理装置、信息处理方法和信息处理程序 |
US17/731,646 US20220253529A1 (en) | 2019-12-24 | 2022-04-28 | Information processing apparatus, information processing method, and computer readable medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019233384A JP7412164B2 (ja) | 2019-12-24 | 2019-12-24 | 情報処理装置、情報処理方法及び情報処理プログラム |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2021103359A JP2021103359A (ja) | 2021-07-15 |
JP2021103359A5 JP2021103359A5 (ja) | 2022-10-07 |
JP7412164B2 true JP7412164B2 (ja) | 2024-01-12 |
Family
ID=76575814
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019233384A Active JP7412164B2 (ja) | 2019-12-24 | 2019-12-24 | 情報処理装置、情報処理方法及び情報処理プログラム |
Country Status (4)
Country | Link |
---|---|
US (1) | US20220253529A1 (ja) |
JP (1) | JP7412164B2 (ja) |
CN (1) | CN114787807A (ja) |
WO (1) | WO2021131146A1 (ja) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016012240A (ja) | 2014-06-30 | 2016-01-21 | 株式会社日立製作所 | 異常検知システム |
US20180219876A1 (en) | 2017-01-31 | 2018-08-02 | Hewlett Packard Enterprise Development Lp | Determining contextual information for alerts |
-
2019
- 2019-12-24 JP JP2019233384A patent/JP7412164B2/ja active Active
-
2020
- 2020-08-17 WO PCT/JP2020/031034 patent/WO2021131146A1/ja active Application Filing
- 2020-08-17 CN CN202080085152.XA patent/CN114787807A/zh active Pending
-
2022
- 2022-04-28 US US17/731,646 patent/US20220253529A1/en active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016012240A (ja) | 2014-06-30 | 2016-01-21 | 株式会社日立製作所 | 異常検知システム |
US20180219876A1 (en) | 2017-01-31 | 2018-08-02 | Hewlett Packard Enterprise Development Lp | Determining contextual information for alerts |
Non-Patent Citations (1)
Title |
---|
KHALILI, Mina et al.,Monitoring and Improving Managed Security Services inside a Security Operation Center,EAI Endorsed Transactions on Security and Safety,EAI,2019年01月25日,Volume 5, Issue 18,pp. 1-20,[検索日 2023.10.26], インターネット<URL: https://eudl.eu/doi/10.4108/eai.8-4-2019.157413> |
Also Published As
Publication number | Publication date |
---|---|
JP2021103359A (ja) | 2021-07-15 |
US20220253529A1 (en) | 2022-08-11 |
WO2021131146A1 (ja) | 2021-07-01 |
CN114787807A (zh) | 2022-07-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6669156B2 (ja) | アプリケーション自動制御システム、アプリケーション自動制御方法およびプログラム | |
JP6106340B2 (ja) | ログ分析装置、攻撃検知装置、攻撃検知方法およびプログラム | |
JP6048038B2 (ja) | 情報処理装置,プログラム,情報処理方法 | |
JP6919569B2 (ja) | ログ分析システム、方法、及び記録媒体 | |
US11418534B2 (en) | Threat analysis system and threat analysis method | |
JP6780655B2 (ja) | ログ分析システム、方法およびプログラム | |
JP2007242002A (ja) | ネットワーク管理装置及びネットワーク管理方法及びプログラム | |
JP6988304B2 (ja) | 運用管理システム、監視サーバ、方法およびプログラム | |
JP2018206316A (ja) | プラント運転監視システム及びプラント運転監視方法 | |
KR102550043B1 (ko) | 트래픽 분석 장치 및 그 방법 | |
JP5891875B2 (ja) | 情報処理装置及び情報処理プログラム | |
JP7412164B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
CN115146263B (zh) | 用户账号的失陷检测方法、装置、电子设备及存储介质 | |
JP2011186706A (ja) | 情報処理装置、情報処理方法およびプログラム | |
JP2006099249A (ja) | 障害管理装置および障害管理方法 | |
JP6340990B2 (ja) | メッセージ表示方法、メッセージ表示装置、およびメッセージ表示プログラム | |
JP2018132787A (ja) | ログ分析支援装置およびログ分析支援方法 | |
KR100567813B1 (ko) | 텐덤 시스템의 트랜잭션 분석 시스템 | |
JP6508202B2 (ja) | 情報処理装置、情報処理方法、及び、プログラム | |
JP6547341B2 (ja) | 情報処理装置、方法及びプログラム | |
WO2024116314A1 (en) | Recommending apparatus, recommending method, and non-transitory computer-readable storage medium | |
JP7409978B2 (ja) | リスク評価システムおよびリスク評価方法 | |
JP2013003681A (ja) | サービス運用管理装置 | |
EP4350549A1 (en) | Calculator system and cyber security information evaluation method | |
JP7159552B2 (ja) | データ出力プログラム、装置、及び方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220929 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220929 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20231031 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231121 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231205 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231226 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7412164 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |