JPWO2014045827A1 - 情報処理装置及び情報処理方法及びプログラム - Google Patents
情報処理装置及び情報処理方法及びプログラム Download PDFInfo
- Publication number
- JPWO2014045827A1 JPWO2014045827A1 JP2014536717A JP2014536717A JPWO2014045827A1 JP WO2014045827 A1 JPWO2014045827 A1 JP WO2014045827A1 JP 2014536717 A JP2014536717 A JP 2014536717A JP 2014536717 A JP2014536717 A JP 2014536717A JP WO2014045827 A1 JPWO2014045827 A1 JP WO2014045827A1
- Authority
- JP
- Japan
- Prior art keywords
- attack
- progress
- event
- sequence
- occurrence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
Abstract
相関ルールを用いることなく、情報システムに対する攻撃が行われている可能性がある場合は、攻撃の進行状況を可視化して、利用者に警告を表示する。テーブル記憶部1001は、過去事例における事象の発生パターンに従って攻撃の進行度であるフェーズ値を連結して得られたフェーズ列が示される過去事例テーブルを記憶する。フェーズ列生成部1002は、情報システムにおいて発生した事象の発生パターンに従ってフェーズ値を連結してフェーズ列を得る。類似度算出部1003は、フェーズ列生成部1002により得られたフェーズ列と、過去事例テーブルに示されるフェーズ列との類似度を算出する。攻撃状況可視化部1004は、フェーズ列生成部1002により得られたフェーズ列と、類似度算出部1003による類似度の算出結果とに基づき、情報システムに対する攻撃の進行状況を可視化する。
Description
情報システムに対する脅威を可視化する技術に関する。
従来の脅威可視化方式は、脅威と考えられる事象の発生順序を規定する相関ルールによって、脅威の発生を判断し、この相関ルールに合致する事象群を画面に表示して利用者に警告を行っている(例えば、特許文献1)。
従来の脅威可視化方式は、相関ルールに規定されている事象が揃わないと、利用者に対して警告画面が表示されないという課題がある。
相関ルールに規定されている事象は、ネットワーク機器や、サーバ及びPC(Personal Computer)などの計算機で発生する、悪意のある振舞いと考えられる異常な事象である。
このような事象を例えばセンサが検知し、利用者が画面を監視する装置に、検知した事象を通知するが、センサでのこれら異常な事象の検知には、検知漏れが発生することが考えられる。
このため、従来の脅威可視化方式では、実際には情報システムに対して攻撃が行われているにもかかわらず、1つの事象の検知漏れにより、相関ルールが満足されずに、利用者に警告が表示されないという課題がある。
相関ルールに規定されている事象は、ネットワーク機器や、サーバ及びPC(Personal Computer)などの計算機で発生する、悪意のある振舞いと考えられる異常な事象である。
このような事象を例えばセンサが検知し、利用者が画面を監視する装置に、検知した事象を通知するが、センサでのこれら異常な事象の検知には、検知漏れが発生することが考えられる。
このため、従来の脅威可視化方式では、実際には情報システムに対して攻撃が行われているにもかかわらず、1つの事象の検知漏れにより、相関ルールが満足されずに、利用者に警告が表示されないという課題がある。
この発明は上記のような課題を解決することを主な目的としており、相関ルールを用いることなく、情報システムに対する攻撃が行われている可能性がある場合は、攻撃の進行状況を可視化して、利用者に警告を表示することを主な目的とする。
本発明に係る情報処理装置は、
情報システムに対する攻撃によって発生する複数の事象の各々に対して、各事象が発生したときの攻撃の進行度が示される攻撃事象テーブルを記憶する攻撃事象テーブル記憶部と、
攻撃シーケンスにおける事象の発生パターンに従って対応する事象の進行度を連結して得られた文字列が、攻撃事象進行度列として示される攻撃事象進行度列テーブルを記憶する攻撃事象進行度列テーブル記憶部と、
前記情報システムにおいて発生した事象の発生パターンに従って対応する事象の進行度を連結し、文字列である発生事象進行度列を導出する発生事象進行度列導出部と、
前記発生事象進行度列導出部により導出された発生事象進行度列と、前記攻撃事象進行度列テーブルに示される攻撃事象進行度列との類似度を算出する類似度算出部と、
前記発生事象進行度列導出部により得られた発生事象進行度列と、前記類似度算出部による類似度の算出結果とに基づき、前記情報システムに対する攻撃の進行状況を可視化する攻撃状況可視化部とを有することを特徴とする。
情報システムに対する攻撃によって発生する複数の事象の各々に対して、各事象が発生したときの攻撃の進行度が示される攻撃事象テーブルを記憶する攻撃事象テーブル記憶部と、
攻撃シーケンスにおける事象の発生パターンに従って対応する事象の進行度を連結して得られた文字列が、攻撃事象進行度列として示される攻撃事象進行度列テーブルを記憶する攻撃事象進行度列テーブル記憶部と、
前記情報システムにおいて発生した事象の発生パターンに従って対応する事象の進行度を連結し、文字列である発生事象進行度列を導出する発生事象進行度列導出部と、
前記発生事象進行度列導出部により導出された発生事象進行度列と、前記攻撃事象進行度列テーブルに示される攻撃事象進行度列との類似度を算出する類似度算出部と、
前記発生事象進行度列導出部により得られた発生事象進行度列と、前記類似度算出部による類似度の算出結果とに基づき、前記情報システムに対する攻撃の進行状況を可視化する攻撃状況可視化部とを有することを特徴とする。
本発明では、情報システムにおいて発生した事象の発生パターンに従って発生事象進行度列を導出し、また、発生事象進行度列と攻撃事象進行度列との類似度を算出する。
更に、本発明では、発生事象進行度列と類似度の算出結果とに基づき、情報システムに対する攻撃の進行状況を可視化する。
このため、本発明によれば、相関ルールを用いる必要がなく、1つの事象の検知漏れにより相関ルールが満足されずに、利用者に警告が表示されないという事態を回避することができ、攻撃が行われている可能性がある場合は、利用者に警告を表示することができる。
更に、本発明では、発生事象進行度列と類似度の算出結果とに基づき、情報システムに対する攻撃の進行状況を可視化する。
このため、本発明によれば、相関ルールを用いる必要がなく、1つの事象の検知漏れにより相関ルールが満足されずに、利用者に警告が表示されないという事態を回避することができ、攻撃が行われている可能性がある場合は、利用者に警告を表示することができる。
実施の形態1.
本実施の形態では、個々の異常な事象の検知漏れが発生した場合でも、攻撃が行われている可能性がある場合は、利用者に警告を表示する構成を説明する。
本実施の形態では、個々の異常な事象の検知漏れが発生した場合でも、攻撃が行われている可能性がある場合は、利用者に警告を表示する構成を説明する。
図1は、本実施の形態に係る情報システムの構成例を示す。
本実施の形態に係る情報システムは、例えば、脅威可視化システム100、LAN(Local Area Network)110、ログサーバ111、PC112、認証サーバ113、ファイルサーバ114、メールサーバ115、IDS(Intrusion Detection System)/IPS(Intrusion Prevention System)116、ネットワークプロキシ117、ファイアウォール118で構成される。
脅威可視化システム100は、情報システムに対する脅威を可視化するコンピュータであり、情報処理装置の例に相当する。
本実施の形態に係る情報システムは、例えば、脅威可視化システム100、LAN(Local Area Network)110、ログサーバ111、PC112、認証サーバ113、ファイルサーバ114、メールサーバ115、IDS(Intrusion Detection System)/IPS(Intrusion Prevention System)116、ネットワークプロキシ117、ファイアウォール118で構成される。
脅威可視化システム100は、情報システムに対する脅威を可視化するコンピュータであり、情報処理装置の例に相当する。
脅威可視化システム100は、LAN110に接続されている。
LAN110には、ログサーバ111、PC112、認証サーバ113、ファイルサーバ114、メールサーバ115、IDS/IPS116、ネットワークプロキシ117、ファイアウォール118が接続されている。
ファイアウォール118は、インターネット119に接続されている。
PC112は、通常複数台存在する。
PC112は、端末装置の例に相当する。
LAN110には、ログサーバ111、PC112、認証サーバ113、ファイルサーバ114、メールサーバ115、IDS/IPS116、ネットワークプロキシ117、ファイアウォール118が接続されている。
ファイアウォール118は、インターネット119に接続されている。
PC112は、通常複数台存在する。
PC112は、端末装置の例に相当する。
脅威可視化システム100は、図2に示すように、CPU101、RAM(Random Access Memory)102、ROM(Read Only Memory)103、ハードディスク104、表示ディスプレイ105、キーボード106、マウス107、通信ボード108を備え、これらはバス109に接続されている。
また、脅威可視化システム100は、図5に示す機能構成を有する。
図5において、テーブル記憶部1001は、情報システムに対する脅威を可視化するために用いられる各種のテーブルを記憶する。
各種テーブルの詳細は後述する。
テーブル記憶部1001は、攻撃事象テーブル記憶部及び攻撃事象進行度列テーブル記憶部の例に相当する。
なお、テーブル記憶部1001は、図2のRAM102及びハードディスク104により実現される。
各種テーブルの詳細は後述する。
テーブル記憶部1001は、攻撃事象テーブル記憶部及び攻撃事象進行度列テーブル記憶部の例に相当する。
なお、テーブル記憶部1001は、図2のRAM102及びハードディスク104により実現される。
フェーズ列生成部1002は、情報システムにおいて発生した事象の発生パターンに従って、事象の進行度であるフェーズ値を連結して、フェーズ列(発生事象進行度列)を生成する。
フェーズ列生成部1002は、発生事象進行度列導出部の例に相当する。
なお、フェーズ列生成部1002は、例えばプログラムとして構成され、図2のCPU101によりフェーズ列生成部1002を実現するプログラムが実行される。
フェーズ列生成部1002は、発生事象進行度列導出部の例に相当する。
なお、フェーズ列生成部1002は、例えばプログラムとして構成され、図2のCPU101によりフェーズ列生成部1002を実現するプログラムが実行される。
類似度算出部1003は、フェーズ列生成部1002により得られたフェーズ列(発生事象進行度列)と、後述する過去事例テーブル又は攻撃シナリオテーブルに示されるフェーズ列(攻撃事象進行度列)との類似度を算出する。
類似度算出部1003も、例えばプログラムとして構成され、図2のCPU101により類似度算出部1003を実現するプログラムが実行される。
類似度算出部1003も、例えばプログラムとして構成され、図2のCPU101により類似度算出部1003を実現するプログラムが実行される。
攻撃状況可視化部1004は、フェーズ列生成部1002により得られたフェーズ列と、類似度算出部1003よる類似度の算出結果とに基づき、情報システムに対する攻撃の進行状況を可視化する。
攻撃状況可視化部1004も、例えばプログラムとして構成され、図2のCPU101により攻撃状況可視化部1004を実現するプログラムが実行される。
攻撃状況可視化部1004も、例えばプログラムとして構成され、図2のCPU101により攻撃状況可視化部1004を実現するプログラムが実行される。
入力部1005は、脅威可視化システム100のユーザから各種データを入力する。
入力部1005は、図2のキーボード106及びマウス107により実現される。
入力部1005は、図2のキーボード106及びマウス107により実現される。
出力部1006は、脅威可視化システム100のユーザに対して各種データを表示する。
例えば、出力部1006は、攻撃状況可視化部1004により可視化された攻撃の進行状況をユーザに対して表示する。
出力部1006は、図2の表示ディスプレイ105により実現される。
例えば、出力部1006は、攻撃状況可視化部1004により可視化された攻撃の進行状況をユーザに対して表示する。
出力部1006は、図2の表示ディスプレイ105により実現される。
通信部1007は、LAN110を通じて他の装置と通信を行う。
例えば、通信部1007は、ログサーバ111からログデータを受信する。
通信部1007は、図2の通信ボード108により実現される。
例えば、通信部1007は、ログサーバ111からログデータを受信する。
通信部1007は、図2の通信ボード108により実現される。
図3に、図2のハードディスク104に格納するテーブルを示す。
ハードディスク104には、攻撃事象テーブル201、過去事例テーブル202、攻撃シナリオテーブル203、脅威可視化プログラム204が格納されている。
脅威可視化プログラム204は、図5のフェーズ列生成部1002、類似度算出部1003及び攻撃状況可視化部1004を実現するプログラムである。
脅威可視化プログラム204はRAM102にロードされ、CPU101が、RAM102から脅威可視化プログラム204を読み出し、脅威可視化プログラム204を実行して、図5のフェーズ列生成部1002、類似度算出部1003及び攻撃状況可視化部1004の機能を実現する。
また、図3では図示を省略しているが、ハードディスク104はOS(Operating System)を格納しており、CPU101はOSを利用して脅威可視化プログラム204を実行する。
ハードディスク104には、攻撃事象テーブル201、過去事例テーブル202、攻撃シナリオテーブル203、脅威可視化プログラム204が格納されている。
脅威可視化プログラム204は、図5のフェーズ列生成部1002、類似度算出部1003及び攻撃状況可視化部1004を実現するプログラムである。
脅威可視化プログラム204はRAM102にロードされ、CPU101が、RAM102から脅威可視化プログラム204を読み出し、脅威可視化プログラム204を実行して、図5のフェーズ列生成部1002、類似度算出部1003及び攻撃状況可視化部1004の機能を実現する。
また、図3では図示を省略しているが、ハードディスク104はOS(Operating System)を格納しており、CPU101はOSを利用して脅威可視化プログラム204を実行する。
図4に、RAM102上に生成されるテーブルを示す。
RAM102上には、脅威可視化プログラム204により、攻撃フェーズテーブル301が生成される。
RAM102上には、脅威可視化プログラム204により、攻撃フェーズテーブル301が生成される。
図6に、攻撃事象テーブル201の構成を示す。
攻撃事象テーブル201は、情報システムに対する攻撃によって発生する複数の事象の各々に対して、各事象が発生したときの攻撃の進行度が示されるテーブルである。
図6に示すように、攻撃事象テーブル201は、攻撃で発生する各事象について、機器種別401、事象ID402、事象説明403、フェーズ404を有する。
機器種別401には、事象の発生元の機器(PC112、認証サーバ113等)が示される。
事象ID402の欄には、各事象の識別子が示される。
事象説明403の欄には、各事象の概要が示される。
フェーズ404の欄には、攻撃の進行度、段階を表すフェーズの値が示される。
例えば、攻撃が「侵入」段階にあるときに観測される事象をフェーズ「1」とし、攻撃が「探索」段階にあるときに観測される事象をフェーズ「2」とし、攻撃が「権限昇格」段階にあるときに観測される事象をフェーズ「3」とし、攻撃が「情報窃取」段階にあるときに観測される事象をフェーズ「4」とすることが考えられる。
攻撃事象テーブル201は、情報システムに対する攻撃によって発生する複数の事象の各々に対して、各事象が発生したときの攻撃の進行度が示されるテーブルである。
図6に示すように、攻撃事象テーブル201は、攻撃で発生する各事象について、機器種別401、事象ID402、事象説明403、フェーズ404を有する。
機器種別401には、事象の発生元の機器(PC112、認証サーバ113等)が示される。
事象ID402の欄には、各事象の識別子が示される。
事象説明403の欄には、各事象の概要が示される。
フェーズ404の欄には、攻撃の進行度、段階を表すフェーズの値が示される。
例えば、攻撃が「侵入」段階にあるときに観測される事象をフェーズ「1」とし、攻撃が「探索」段階にあるときに観測される事象をフェーズ「2」とし、攻撃が「権限昇格」段階にあるときに観測される事象をフェーズ「3」とし、攻撃が「情報窃取」段階にあるときに観測される事象をフェーズ「4」とすることが考えられる。
図7に、過去事例テーブル202の構成を示す。
過去事例テーブル202は、過去の攻撃事例(攻撃シーケンス)で発生した事象が発生順に示されるテーブルである。
過去事例テーブル202は、過去事例ID501、事象ID列502、フェーズ列503を有する。
過去事例ID501の欄には、過去事例の識別子が示される。
事象ID列502の欄には、過去の攻撃事例で発生した事象の事象IDが発生順に示される。
フェーズ列503の欄には、事象ID列502の欄に示される各事象IDに対応するフェーズ404の値を発生順に連結した文字列(フェーズ列)が示される。
フェーズ列503の欄に示される文字列は、攻撃事象進行度列の例に相当する。
過去事例テーブル202は、攻撃事象進行度列テーブルの例に相当する。
過去事例テーブル202は、過去の攻撃事例(攻撃シーケンス)で発生した事象が発生順に示されるテーブルである。
過去事例テーブル202は、過去事例ID501、事象ID列502、フェーズ列503を有する。
過去事例ID501の欄には、過去事例の識別子が示される。
事象ID列502の欄には、過去の攻撃事例で発生した事象の事象IDが発生順に示される。
フェーズ列503の欄には、事象ID列502の欄に示される各事象IDに対応するフェーズ404の値を発生順に連結した文字列(フェーズ列)が示される。
フェーズ列503の欄に示される文字列は、攻撃事象進行度列の例に相当する。
過去事例テーブル202は、攻撃事象進行度列テーブルの例に相当する。
図8に、攻撃シナリオテーブル203の構成を示す。
攻撃シナリオテーブル203は、想定される攻撃(攻撃シーケンス)で発生すると想定される事象が発生順に示されるテーブルである。
実際には発生していないが、発生が想定される攻撃を攻撃シナリオという。
例えば、過去に実際に発生した攻撃の一部を変形させた攻撃を攻撃シナリオとして用いることが考えられる。
攻撃シナリオテーブル203は、シナリオID601、事象ID列602、フェーズ列603を有する。
シナリオID601の欄には、攻撃シナリオの識別子が示される。
事象ID列602の欄には、攻撃が行われた場合に発生が想定される事象の事象IDが発生順に示される。
フェーズ列603の欄には、事象ID列602の欄に示される各事象IDに対応するフェーズ404の値を発生順に連結した文字列(フェーズ列)が示される。
フェーズ列603の欄に示される文字列は、攻撃事象進行度列の例に相当する。
攻撃シナリオテーブル203も、攻撃事象進行度列テーブルの例に相当する。
攻撃シナリオテーブル203は、想定される攻撃(攻撃シーケンス)で発生すると想定される事象が発生順に示されるテーブルである。
実際には発生していないが、発生が想定される攻撃を攻撃シナリオという。
例えば、過去に実際に発生した攻撃の一部を変形させた攻撃を攻撃シナリオとして用いることが考えられる。
攻撃シナリオテーブル203は、シナリオID601、事象ID列602、フェーズ列603を有する。
シナリオID601の欄には、攻撃シナリオの識別子が示される。
事象ID列602の欄には、攻撃が行われた場合に発生が想定される事象の事象IDが発生順に示される。
フェーズ列603の欄には、事象ID列602の欄に示される各事象IDに対応するフェーズ404の値を発生順に連結した文字列(フェーズ列)が示される。
フェーズ列603の欄に示される文字列は、攻撃事象進行度列の例に相当する。
攻撃シナリオテーブル203も、攻撃事象進行度列テーブルの例に相当する。
図9に、攻撃フェーズテーブル301の構成を示す。
攻撃フェーズテーブル301は、フェーズ列生成部1002がログサーバ111からのログデータを解析し、情報システムにおいて発生した事象の発生パターンに従って生成するテーブルである。
攻撃フェーズテーブル301は、デバイスID701、フェーズ列702、最大フェーズ703、更新日時704、過去事例ID705、事例類似度706、シナリオID707、シナリオ類似度708を有する。
デバイスID701の欄には、PC112のIP(Internet Protocol)アドレスが通常示される(デバイスID701は、IPアドレスに限らず、PCを一意に識別できるものであれば、MAC(Media Access Control)アドレスなどであってもよい)。
フェーズ列702の欄には、ログデータの解析によって抽出された各事象に対応するフェーズ404の値を発生順に連結した文字列が示される。
最大フェーズ703の欄には、フェーズ列702の中の最も大きな値が示される。
更新日時704の欄には、フェーズ列生成部1002が最後に参照したログデータに記述されている日時が示される。
過去事例ID705の欄には、事例類似度706の欄に示される類似度の算出元となった過去事例の過去事例ID501が示される。
事例類似度706の欄には、フェーズ列702に対して類似度算出部1003が算出した過去事例の類似度のうち最大の類似度が示される。
シナリオID707の欄には、シナリオ類似度708の欄に示される類似度の算出元となった攻撃シナリオのシナリオID601が示される。
シナリオ類似度708の欄には、フェーズ列702に対して類似度算出部1003が算出した攻撃シナリオの類似度のうち最大の類似度が示される。
攻撃フェーズテーブル301は、フェーズ列生成部1002がログサーバ111からのログデータを解析し、情報システムにおいて発生した事象の発生パターンに従って生成するテーブルである。
攻撃フェーズテーブル301は、デバイスID701、フェーズ列702、最大フェーズ703、更新日時704、過去事例ID705、事例類似度706、シナリオID707、シナリオ類似度708を有する。
デバイスID701の欄には、PC112のIP(Internet Protocol)アドレスが通常示される(デバイスID701は、IPアドレスに限らず、PCを一意に識別できるものであれば、MAC(Media Access Control)アドレスなどであってもよい)。
フェーズ列702の欄には、ログデータの解析によって抽出された各事象に対応するフェーズ404の値を発生順に連結した文字列が示される。
最大フェーズ703の欄には、フェーズ列702の中の最も大きな値が示される。
更新日時704の欄には、フェーズ列生成部1002が最後に参照したログデータに記述されている日時が示される。
過去事例ID705の欄には、事例類似度706の欄に示される類似度の算出元となった過去事例の過去事例ID501が示される。
事例類似度706の欄には、フェーズ列702に対して類似度算出部1003が算出した過去事例の類似度のうち最大の類似度が示される。
シナリオID707の欄には、シナリオ類似度708の欄に示される類似度の算出元となった攻撃シナリオのシナリオID601が示される。
シナリオ類似度708の欄には、フェーズ列702に対して類似度算出部1003が算出した攻撃シナリオの類似度のうち最大の類似度が示される。
図10に、セキュリティ脅威分布画面の画面例を示す。
セキュリティ脅威分布画面801は、フェーズ表示802、合計数表示803、過去事例表示選択ボックス804、攻撃シナリオ表示選択ボックス805、類似度表示領域806を有する。
フェーズ表示802は、フェーズ名を表示する。
合計数表示803は、フェーズに属するデバイスの合計数を表示する。
過去事例表示選択ボックス804は、過去事例との類似性を表示することを選択するためのチェックボックスである。
攻撃シナリオ表示選択ボックス805は、攻撃シナリオとの類似性を表示することを選択するためのチェックボックスである。
類似度表示領域806は、フェーズに属するデバイスを類似度に従って表示する。
セキュリティ脅威分布画面801は、攻撃状況可視化部1004により生成され、出力部1006により表示される。
セキュリティ脅威分布画面801は、フェーズ表示802、合計数表示803、過去事例表示選択ボックス804、攻撃シナリオ表示選択ボックス805、類似度表示領域806を有する。
フェーズ表示802は、フェーズ名を表示する。
合計数表示803は、フェーズに属するデバイスの合計数を表示する。
過去事例表示選択ボックス804は、過去事例との類似性を表示することを選択するためのチェックボックスである。
攻撃シナリオ表示選択ボックス805は、攻撃シナリオとの類似性を表示することを選択するためのチェックボックスである。
類似度表示領域806は、フェーズに属するデバイスを類似度に従って表示する。
セキュリティ脅威分布画面801は、攻撃状況可視化部1004により生成され、出力部1006により表示される。
類似度表示領域806において、△は過去事例との類似度を示し、□は攻撃シナリオとの類似度を示す。
△及び□のそれぞれは、PC112を表している。
類似度表示領域806の横軸は、類似度の値(0.0〜1.0)を示し、縦軸は、PC112の個数を示す。
セキュリティ脅威分布画面801では、攻撃フェーズテーブル(図9)のデバイスIDごとに、最大フェーズ703の値に対応するフェーズの類似度表示領域806内に、事例類似度706の値に対応する位置に△がプロットされ、シナリオ類似度708の値に対応する位置に□がプロットされている。
例えば、図9の一行目のレコード(デバイスID:ID1)では、最大フェーズ703が「3」であり、事例類似度706が「0.57」なので、例えば、図10の符号807の位置に△がプロットされる(図10では、フェーズ3の攻撃シナリオ表示選択ボックス805はチェックされていないので、シナリオ類似度708の「0.66」に対する□は表示されない)。
同様に、図9の二行目のレコード(デバイスID:ID2)では、最大フェーズ703が「2」であり、事例類似度706が「0.57」なので、例えば、図10の符号808の位置に△がプロットされる(図10では、フェーズ2の攻撃シナリオ表示選択ボックス805はチェックされていないので、シナリオ類似度708の「0.5」に対する□は表示されない)。
このように、セキュリティ脅威分布画面801において、PC112ごとに抽出した最大フェーズ703と最大の類似度(事例類似度706、シナリオ類似度708)との関係をプロットし、複数のPC112における最大フェーズ703と最大の類似度の分布が示されるグラフを表示することで、情報システムに対する攻撃の進行状況を可視化することができる。
△及び□のそれぞれは、PC112を表している。
類似度表示領域806の横軸は、類似度の値(0.0〜1.0)を示し、縦軸は、PC112の個数を示す。
セキュリティ脅威分布画面801では、攻撃フェーズテーブル(図9)のデバイスIDごとに、最大フェーズ703の値に対応するフェーズの類似度表示領域806内に、事例類似度706の値に対応する位置に△がプロットされ、シナリオ類似度708の値に対応する位置に□がプロットされている。
例えば、図9の一行目のレコード(デバイスID:ID1)では、最大フェーズ703が「3」であり、事例類似度706が「0.57」なので、例えば、図10の符号807の位置に△がプロットされる(図10では、フェーズ3の攻撃シナリオ表示選択ボックス805はチェックされていないので、シナリオ類似度708の「0.66」に対する□は表示されない)。
同様に、図9の二行目のレコード(デバイスID:ID2)では、最大フェーズ703が「2」であり、事例類似度706が「0.57」なので、例えば、図10の符号808の位置に△がプロットされる(図10では、フェーズ2の攻撃シナリオ表示選択ボックス805はチェックされていないので、シナリオ類似度708の「0.5」に対する□は表示されない)。
このように、セキュリティ脅威分布画面801において、PC112ごとに抽出した最大フェーズ703と最大の類似度(事例類似度706、シナリオ類似度708)との関係をプロットし、複数のPC112における最大フェーズ703と最大の類似度の分布が示されるグラフを表示することで、情報システムに対する攻撃の進行状況を可視化することができる。
図11に、セキュリティ成長過程表示画面の画面例を示す。
セキュリティ成長過程表示画面901は、特定のデバイスについての事象の発生過程を、類似する過去事例の発生過程とあわせて表示する成長過程表示領域902、これらの発生過程の類似度を表示する類似度表示903を有する。
つまり、セキュリティ成長過程表示画面901では、成長過程表示領域902において、特定のPC112のフェーズ列702におけるフェーズ値の遷移と、過去事例ID705に示される過去事例のフェーズ列603におけるフェーズ値の遷移とがグラフ表示される。
また、類似度表示903において、当該PC112の事例類似度706の値が示される。
図9では、特定のデバイスについての事象の発生過程を、類似する過去事例の発生過程とあわせて表示する例を示しているが、特定のデバイスについての事象の発生過程を、類似する攻撃シナリオの発生過程とあわせて表示するようにしてもよい。
セキュリティ成長過程表示画面901では、このような形式により、情報システムに対する攻撃の進行状況が可視化される。
セキュリティ成長過程表示画面901は、特定のデバイスについての事象の発生過程を、類似する過去事例の発生過程とあわせて表示する成長過程表示領域902、これらの発生過程の類似度を表示する類似度表示903を有する。
つまり、セキュリティ成長過程表示画面901では、成長過程表示領域902において、特定のPC112のフェーズ列702におけるフェーズ値の遷移と、過去事例ID705に示される過去事例のフェーズ列603におけるフェーズ値の遷移とがグラフ表示される。
また、類似度表示903において、当該PC112の事例類似度706の値が示される。
図9では、特定のデバイスについての事象の発生過程を、類似する過去事例の発生過程とあわせて表示する例を示しているが、特定のデバイスについての事象の発生過程を、類似する攻撃シナリオの発生過程とあわせて表示するようにしてもよい。
セキュリティ成長過程表示画面901では、このような形式により、情報システムに対する攻撃の進行状況が可視化される。
次に動作について説明する。
一般の利用者は、PC112を使用して、認証サーバ113にアクセスし、ユーザIDとパスワードによる認証を行ったあと、ファイルサーバ114にアクセスする。
また、当該利用者は、PC112を使用して、メールサーバ115にアクセスし、メールの読み書きを行う。
また、当該利用者は、PC112を使用して、ネットワークプロキシ117を介して、さらに、ファイアウォール118を介して、インターネット119にアクセスする。
PC112、認証サーバ113、ファイルサーバ114、メールサーバ115、ネットワークプロキシ117、ファイアウォール118は、一般の利用者のこれら操作において、所定のログデータ(以下、単にログともいう)を出力する。
また、IDS/IPS116は、LAN110上に所定の条件に合致するパケットの通信が観測された場合に所定のログデータを出力する。
これら機器のログデータは、ログサーバ111に送られ、ログサーバ111において、ログデータに記述されている時刻の時系列に従って記録される。
一般の利用者は、PC112を使用して、認証サーバ113にアクセスし、ユーザIDとパスワードによる認証を行ったあと、ファイルサーバ114にアクセスする。
また、当該利用者は、PC112を使用して、メールサーバ115にアクセスし、メールの読み書きを行う。
また、当該利用者は、PC112を使用して、ネットワークプロキシ117を介して、さらに、ファイアウォール118を介して、インターネット119にアクセスする。
PC112、認証サーバ113、ファイルサーバ114、メールサーバ115、ネットワークプロキシ117、ファイアウォール118は、一般の利用者のこれら操作において、所定のログデータ(以下、単にログともいう)を出力する。
また、IDS/IPS116は、LAN110上に所定の条件に合致するパケットの通信が観測された場合に所定のログデータを出力する。
これら機器のログデータは、ログサーバ111に送られ、ログサーバ111において、ログデータに記述されている時刻の時系列に従って記録される。
脅威可視化システム100では、ハードディスク104上に格納されている脅威可視化プログラム204が、ハードディスク104からバス109を経由してRAM102上にロードされ、CPU101で実行される。
脅威可視化プログラム204は、LAN110を経由してログサーバ111に時系列で記録されているログを順次取り出す。
ログサーバ111からのログは、記録する個々の発生事象についての、事象発生日時、ログ種別、事象ID、装置ID、事象説明が含まれている。
事象発生日時は、ログに記録されている事象が発生した日時を示す。
ログ種別は、ログに記録されている事象が発生した機器の種別を示す。
事象IDは、個々の発生事象の種別を一意に識別できるIDを示す。
装置IDは、事象の発生した装置を一意に識別するIDを示す。
また、パケットなどの通過を記録したログの場合には、送信元の装置IDと送信先の装置IDの2つの装置IDを含む。
事象説明は、発生した個々の事象の詳細についての説明を示す。
脅威可視化プログラム204は、LAN110を経由してログサーバ111に時系列で記録されているログを順次取り出す。
ログサーバ111からのログは、記録する個々の発生事象についての、事象発生日時、ログ種別、事象ID、装置ID、事象説明が含まれている。
事象発生日時は、ログに記録されている事象が発生した日時を示す。
ログ種別は、ログに記録されている事象が発生した機器の種別を示す。
事象IDは、個々の発生事象の種別を一意に識別できるIDを示す。
装置IDは、事象の発生した装置を一意に識別するIDを示す。
また、パケットなどの通過を記録したログの場合には、送信元の装置IDと送信先の装置IDの2つの装置IDを含む。
事象説明は、発生した個々の事象の詳細についての説明を示す。
図12は、取り出したログに記録されている発生事象の一つ一つについて、脅威可視化システム100が実行する処理の大まかな流れを示したものである。
図12に示すステップS1001〜S1003の処理は、例えば、5分周期で繰り返し実行される。
なお、5分周期は単なる例示であり、情報システムの規模やセキュリティポリシーに応じて任意の周期とすることが可能である。
なお、図12〜図18のフローチャートでは、フェーズ列生成部1002、類似度算出部1003及び攻撃状況可視化部1004の動作として処理手順を説明する。
また、図13〜図18で説明する変数値やカウンタ値は、例えば、CPU101のレジスタやRAM102で管理される。
図12に示すステップS1001〜S1003の処理は、例えば、5分周期で繰り返し実行される。
なお、5分周期は単なる例示であり、情報システムの規模やセキュリティポリシーに応じて任意の周期とすることが可能である。
なお、図12〜図18のフローチャートでは、フェーズ列生成部1002、類似度算出部1003及び攻撃状況可視化部1004の動作として処理手順を説明する。
また、図13〜図18で説明する変数値やカウンタ値は、例えば、CPU101のレジスタやRAM102で管理される。
ステップS1001では、フェーズ列生成部1002が、取り出したログに記録されている発生事象を元にPC112についての攻撃フェーズ列(詳細は後述)を作成する。
次に、ステップS1002において、類似度算出部1003が、ステップS1001で作成した攻撃フェーズ列と過去事例との類似度、ステップS1001で作成した攻撃フェーズ列と攻撃シナリオとの類似度を算出する。
さらに、ステップS1003で、攻撃状況可視化部1004が、ステップS1001で作成した攻撃フェーズ列とステップS1002で算出した類似度を表示ディスプレイ105上に表示する。
次に、ステップS1002において、類似度算出部1003が、ステップS1001で作成した攻撃フェーズ列と過去事例との類似度、ステップS1001で作成した攻撃フェーズ列と攻撃シナリオとの類似度を算出する。
さらに、ステップS1003で、攻撃状況可視化部1004が、ステップS1001で作成した攻撃フェーズ列とステップS1002で算出した類似度を表示ディスプレイ105上に表示する。
図13は、ステップS1001の処理を詳しく説明したものである。
ステップS2001では、フェーズ列生成部1002は、取り出したログに記録されている発生事象の装置IDに該当するPC112に関する最大フェーズ703が0かを判定する。
ステップS2001で最大フェーズ703が0の場合には、フェーズ列生成部1002は、ステップS2004を実行する。
ステップS2001で最大フェーズ703が0の場合には、フェーズ列生成部1002は、ステップS2004を実行する。
ステップS2001で最大フェーズ703が0でない場合には、フェーズ列生成部1002は、ステップS2002で、事象発生日時とPC112に関する更新日時704との差がT1以上かを判定する。
ステップS2002で、日時の差がT1以上の場合には、フェーズ列生成部1002は、ステップS2003で、攻撃フェーズテーブル301上のPC112に関する記録を初期化する。
具体的には、フェーズ列生成部1002は、フェーズ列702を0に、最大フェーズ703を0に、更新日時704を記録なし(―)に更新する。
ステップS2002で、日時の差がT1以上の場合には、フェーズ列生成部1002は、ステップS2003で、攻撃フェーズテーブル301上のPC112に関する記録を初期化する。
具体的には、フェーズ列生成部1002は、フェーズ列702を0に、最大フェーズ703を0に、更新日時704を記録なし(―)に更新する。
ステップS2002で、日時の差がT1に満たない場合には、フェーズ列生成部1002は、ステップS2004を実行する。
ステップS2004では、フェーズ列生成部1002は、取り出したログに記録されている発生事象の事象IDと一致する事象IDが攻撃事象テーブル201にあるかを事象ID402により判定する。
ステップS2004で、ログに記録されている発生事象の事象IDに一致する事象IDが攻撃事象テーブル201にない場合には、フェーズ列生成部1002は処理を終了する。
ステップS2004では、フェーズ列生成部1002は、取り出したログに記録されている発生事象の事象IDと一致する事象IDが攻撃事象テーブル201にあるかを事象ID402により判定する。
ステップS2004で、ログに記録されている発生事象の事象IDに一致する事象IDが攻撃事象テーブル201にない場合には、フェーズ列生成部1002は処理を終了する。
一方、ステップS2004で、ログに記録されている発生事象の事象IDと一致する事象IDが攻撃事象テーブル201にある場合には、フェーズ列生成部1002は、ステップS2005で、該当する事象のフェーズ値を、攻撃フェーズテーブル301上のPC112に関する記録のフェーズ列702の最後に追加する。
次に、フェーズ列生成部1002は、ステップS2006で、攻撃事象テーブル201から得られた先のフェーズ値と、攻撃フェーズテーブル301上のPC112に関する記録の最大フェーズ703と比較する。
ステップS2006で、フェーズ値が最大フェーズ703より大きくない場合には、フェーズ列生成部1002は、ステップS2008で、攻撃フェーズテーブル301上のPC112に関する記録の、更新日時704を発生事象の事象発生日時で置き換えて更新し、処理を終了する。
次に、フェーズ列生成部1002は、ステップS2006で、攻撃事象テーブル201から得られた先のフェーズ値と、攻撃フェーズテーブル301上のPC112に関する記録の最大フェーズ703と比較する。
ステップS2006で、フェーズ値が最大フェーズ703より大きくない場合には、フェーズ列生成部1002は、ステップS2008で、攻撃フェーズテーブル301上のPC112に関する記録の、更新日時704を発生事象の事象発生日時で置き換えて更新し、処理を終了する。
一方、ステップS2006で、フェーズ値が最大フェーズ703より大きい場合には、フェーズ列生成部1002は、ステップS2007で、攻撃フェーズテーブル301上のPC112に関する記録の最大フェーズ703を、このフェーズ値で置き換えて更新したあと、ステップS2008を実行する。
図14は、ステップS1002の処理を詳しく説明したものである。
ステップS3001では、類似度算出部1003は、過去事例テーブル202の過去事例ID501を記憶するための変数Aを最初のIDである0001で、類似度を記憶するための変数Bを0で、それぞれ初期化する。
次に、類似度算出部1003は、ステップS3002で、変数Aの過去事例IDのフェーズ列503とPC112のフェーズ列702との類似度Sを算出する。
類似度Sの算出は、具体的には、挿入、削除、置換を1つの編集操作として2つの文字列間の編集距離を算出するレーベンシュタイン編集距離算出関数をDとし、変数Aの過去事例IDのフェーズ列503をP1、PC112のフェーズ列702をP2とした場合に、次の式により行う。
なお次式において、|x|は、文字列xの長さ、Max()は、複数の引数のうち、引数の値が大きい方を返す関数である。
次に、類似度算出部1003は、ステップS3002で、変数Aの過去事例IDのフェーズ列503とPC112のフェーズ列702との類似度Sを算出する。
類似度Sの算出は、具体的には、挿入、削除、置換を1つの編集操作として2つの文字列間の編集距離を算出するレーベンシュタイン編集距離算出関数をDとし、変数Aの過去事例IDのフェーズ列503をP1、PC112のフェーズ列702をP2とした場合に、次の式により行う。
なお次式において、|x|は、文字列xの長さ、Max()は、複数の引数のうち、引数の値が大きい方を返す関数である。
次に、類似度算出部1003は、ステップS3003で、ステップS3002で算出した類似度Sが、変数Bの類似度より大きいかを判定する。
ステップS3003で、類似度Sの方が変数Bの類似度より大きい場合には、類似度算出部1003は、ステップS3004で、攻撃フェーズテーブル301のPC112に関する事例類似度706と変数Bを類似度Sで更新し、攻撃フェーズテーブル301のPC112に関する過去事例ID705を変数Aで更新する。
次に、類似度算出部1003は、ステップS3005で、変数Aが過去事例テーブル202の最後の過去事例IDであるかをチェックし、最後の過去事例IDでない場合には、ステップS3006で変数Aを過去事例テーブル202の次の過去事例IDに更新し、ステップS3002以降の処理を繰り返す。
ステップS3003で、類似度Sの方が変数Bの類似度より大きい場合には、類似度算出部1003は、ステップS3004で、攻撃フェーズテーブル301のPC112に関する事例類似度706と変数Bを類似度Sで更新し、攻撃フェーズテーブル301のPC112に関する過去事例ID705を変数Aで更新する。
次に、類似度算出部1003は、ステップS3005で、変数Aが過去事例テーブル202の最後の過去事例IDであるかをチェックし、最後の過去事例IDでない場合には、ステップS3006で変数Aを過去事例テーブル202の次の過去事例IDに更新し、ステップS3002以降の処理を繰り返す。
一方、ステップS3005で、変数Aが過去事例テーブル202の最後の過去事例IDの場合には、次にステップS3007を実行する。
類似度算出部1003は、ステップS3007では、攻撃シナリオテーブル203のシナリオID601を記憶するための変数Cを最初のIDである0001で、類似度を記憶するための変数Eを0で、それぞれ初期化する。
次に、類似度算出部1003は、ステップS3008で、変数CのシナリオIDのフェーズ列603とPC112のフェーズ列702との類似度Sを算出する。
類似度Sの算出は、ステップS3002と同じ式により算出する。
類似度算出部1003は、ステップS3007では、攻撃シナリオテーブル203のシナリオID601を記憶するための変数Cを最初のIDである0001で、類似度を記憶するための変数Eを0で、それぞれ初期化する。
次に、類似度算出部1003は、ステップS3008で、変数CのシナリオIDのフェーズ列603とPC112のフェーズ列702との類似度Sを算出する。
類似度Sの算出は、ステップS3002と同じ式により算出する。
次に、類似度算出部1003は、ステップS3009で、ステップS3008で算出した類似度Sが、変数Eの類似度より大きいかを判定する。
ステップS3009で、類似度Sの方が変数Eの類似度より大きい場合には、類似度算出部1003は、ステップS3010で、攻撃フェーズテーブル301のPC112に関するシナリオ類似度708と変数Eを類似度Sで更新し、攻撃フェーズテーブル301のPC112に関するシナリオID707を変数Cの値で更新する。
次に、類似度算出部1003は、ステップS3011で、変数Aが攻撃シナリオテーブル203の最後の過去事例IDであるかをチェックし、最後のシナリオIDでない場合には、ステップS3012で変数Cを攻撃シナリオテーブル203の次のシナリオIDに更新し、ステップS3008以降の処理を繰り返す。
一方、ステップS3011で、変数Cが攻撃シナリオテーブル203の最後のシナリオIDの場合には、処理を終了する。
ステップS3009で、類似度Sの方が変数Eの類似度より大きい場合には、類似度算出部1003は、ステップS3010で、攻撃フェーズテーブル301のPC112に関するシナリオ類似度708と変数Eを類似度Sで更新し、攻撃フェーズテーブル301のPC112に関するシナリオID707を変数Cの値で更新する。
次に、類似度算出部1003は、ステップS3011で、変数Aが攻撃シナリオテーブル203の最後の過去事例IDであるかをチェックし、最後のシナリオIDでない場合には、ステップS3012で変数Cを攻撃シナリオテーブル203の次のシナリオIDに更新し、ステップS3008以降の処理を繰り返す。
一方、ステップS3011で、変数Cが攻撃シナリオテーブル203の最後のシナリオIDの場合には、処理を終了する。
図15〜図17は、ステップS1003の処理を詳しく説明したものである。
ステップS4001では、攻撃状況可視化部1004は、デバイスID用変数Fに0001をセットし、4つのカウンタN1〜N4を0に初期化する(図15)。
次に、攻撃状況可視化部1004は、ステップS4002で、変数FのデバイスIDが最後のデバイスIDより大きいかをチェックする(図15)。
ステップS4002で、変数FのデバイスIDが最後のデバイスIDより大きい場合には、攻撃状況可視化部1004は、ステップS4025で、カウンタN1からN4の値をフェーズ1から4の合計表示803に表示する(図15)。
ステップS4002で変数FのデバイスIDが最後のデバイスIDより大きくない場合には、ステップS4003で最大フェーズ703の値により、次の処理を変える。
次に、攻撃状況可視化部1004は、ステップS4002で、変数FのデバイスIDが最後のデバイスIDより大きいかをチェックする(図15)。
ステップS4002で、変数FのデバイスIDが最後のデバイスIDより大きい場合には、攻撃状況可視化部1004は、ステップS4025で、カウンタN1からN4の値をフェーズ1から4の合計表示803に表示する(図15)。
ステップS4002で変数FのデバイスIDが最後のデバイスIDより大きくない場合には、ステップS4003で最大フェーズ703の値により、次の処理を変える。
最大フェーズ703が1の場合には、攻撃状況可視化部1004は、ステップS4004で、フェーズ1の過去事例表示選択ボックス804がチェックされているか確認する(図16)。
ステップS4004で過去事例表示選択ボックス804がチェックされている場合には、攻撃状況可視化部1004は、ステップS4005で、フェーズ1の類似度表示領域806内の事例類似度706の値に対応する位置に‘△’を描画する(図16)。
次に、攻撃状況可視化部1004は、ステップS4006で、フェーズ1の攻撃シナリオ表示選択ボックス805がチェックされているか確認する(図16)。
ステップS4006で攻撃シナリオ表示選択ボックス805がチェックされている場合には、攻撃状況可視化部1004は、ステップS4007で、フェーズ1の類似度表示領域806内のシナリオ類似度708の値に対応する位置に‘□’を描画する(図16)。
次に、攻撃状況可視化部1004は、ステップS4008でカウンタN1を1増加する(図16)。
この後、攻撃状況可視化部1004は、ステップS4024で、デバイスIDを記憶している変数Fを1増加し、ステップS4002以降の処理を繰り返す。
ステップS4004で過去事例表示選択ボックス804がチェックされている場合には、攻撃状況可視化部1004は、ステップS4005で、フェーズ1の類似度表示領域806内の事例類似度706の値に対応する位置に‘△’を描画する(図16)。
次に、攻撃状況可視化部1004は、ステップS4006で、フェーズ1の攻撃シナリオ表示選択ボックス805がチェックされているか確認する(図16)。
ステップS4006で攻撃シナリオ表示選択ボックス805がチェックされている場合には、攻撃状況可視化部1004は、ステップS4007で、フェーズ1の類似度表示領域806内のシナリオ類似度708の値に対応する位置に‘□’を描画する(図16)。
次に、攻撃状況可視化部1004は、ステップS4008でカウンタN1を1増加する(図16)。
この後、攻撃状況可視化部1004は、ステップS4024で、デバイスIDを記憶している変数Fを1増加し、ステップS4002以降の処理を繰り返す。
ステップS4003で最大フェーズが、2、3、4の場合も、図16及び図17に示すように同様の処理を行う。
最大フェーズが、2、3、4の場合も、攻撃状況可視化部1004の動作は同じなので、説明は省略する。
最大フェーズが、2、3、4の場合も、攻撃状況可視化部1004の動作は同じなので、説明は省略する。
一方で、ステップS4003で最大フェーズが0の場合には、攻撃状況可視化部1004は、ステップS4024で、デバイスIDを記憶している変数Fを1増加し、ステップS4002以降の処理を繰り返す。
図18は、図10のセキュリティ脅威分布表示に表示されている△または□をマウス107で選択した際に表示されるセキュリティ成長過程表示画面901を表示する際の処理を説明したものである。
攻撃状況可視化部1004は、ステップS5001で、攻撃フェーズテーブル301から、選択されたデバイスIDに関するフェーズ列702を取得する。
次に、攻撃状況可視化部1004は、ステップS5002で、先に取得したフェーズ列702に従いグラフを成長過程表示領域902に表示する。
次に、攻撃状況可視化部1004は、ステップS5003で、選択されたのが過去事例かをチェックする。
ステップS5003のチェックで選択されたものが過去事例の場合には、攻撃状況可視化部1004は、ステップS5004で、攻撃フェーズテーブル301から選択されたデバイスIDに関する過去事例ID705を取得する。
次に、ステップS5005で、攻撃状況可視化部1004は、過去事例テーブル202から過去事例ID705に対応するフェーズ列503を取得する。
次に、攻撃状況可視化部1004は、ステップS5006で、フェーズ列503に従いグラフを成長過程表示領域902に表示する。
次に、攻撃状況可視化部1004は、ステップS5007で、事例類似度706を類似度表示903に表示し、処理を終了する。
次に、攻撃状況可視化部1004は、ステップS5002で、先に取得したフェーズ列702に従いグラフを成長過程表示領域902に表示する。
次に、攻撃状況可視化部1004は、ステップS5003で、選択されたのが過去事例かをチェックする。
ステップS5003のチェックで選択されたものが過去事例の場合には、攻撃状況可視化部1004は、ステップS5004で、攻撃フェーズテーブル301から選択されたデバイスIDに関する過去事例ID705を取得する。
次に、ステップS5005で、攻撃状況可視化部1004は、過去事例テーブル202から過去事例ID705に対応するフェーズ列503を取得する。
次に、攻撃状況可視化部1004は、ステップS5006で、フェーズ列503に従いグラフを成長過程表示領域902に表示する。
次に、攻撃状況可視化部1004は、ステップS5007で、事例類似度706を類似度表示903に表示し、処理を終了する。
ステップS5003で、選択されたのが過去事例でない場合には、攻撃状況可視化部1004は、ステップS5008からステップS5011の処理を実行し、フェーズ列603に従いグラフを成長過程表示領域902に表示し、シナリオ類似度708を類似度表示903に表示する(処理はステップS5004からS5007と同様のため、省略する。)。
以上のように、本実施の形態に係る脅威可視化システムは、脅威の成長過程を攻撃のフェーズに分けて、過去の事例や攻撃シナリオとの類似性に基づいて可視化して表示するので、ユーザは、脅威の重大さを類似性を元に判断することができる。
また、本実施の形態に係る脅威可視化システムは、脅威の成長過程を可視化して表示するので、ユーザは、脅威がどの程度成長しているのかを把握することが可能である。
また、本実施の形態に係る脅威可視化システムは、脅威の成長過程を可視化して表示するので、ユーザは、脅威がどの程度成長しているのかを把握することが可能である。
以上、本実施の形態では、
脅威を攻撃のフェーズに分けた攻撃事象テーブルと、過去事例で発生した事象を攻撃のフェーズに分けて記録した過去事例テーブルとを用い、フェーズ毎に過去事例との類似度に基づいて進行中の脅威を表示する脅威可視化方式を説明した。
脅威を攻撃のフェーズに分けた攻撃事象テーブルと、過去事例で発生した事象を攻撃のフェーズに分けて記録した過去事例テーブルとを用い、フェーズ毎に過去事例との類似度に基づいて進行中の脅威を表示する脅威可視化方式を説明した。
また、本実施の形態では、
脅威を攻撃のフェーズに分けた攻撃事象テーブルと、攻撃シナリオに基づき発生する事象を攻撃のフェーズに分けて記録する攻撃シナリオテーブルとを用い、フェーズ毎に攻撃シナリオとの類似度に基づいて進行中の脅威を表示する脅威可視化方法を説明した。
脅威を攻撃のフェーズに分けた攻撃事象テーブルと、攻撃シナリオに基づき発生する事象を攻撃のフェーズに分けて記録する攻撃シナリオテーブルとを用い、フェーズ毎に攻撃シナリオとの類似度に基づいて進行中の脅威を表示する脅威可視化方法を説明した。
また、本実施の形態では、
進行中の脅威の発生しているデバイスを、侵攻した攻撃のフェーズ毎に合計して表示する、脅威可視化方法を説明した。
進行中の脅威の発生しているデバイスを、侵攻した攻撃のフェーズ毎に合計して表示する、脅威可視化方法を説明した。
また、本実施の形態では、
脅威の成長過程を、類似する過去事例の成長過程とあわせてグラフで表示する、脅威可視化方法を説明した。
脅威の成長過程を、類似する過去事例の成長過程とあわせてグラフで表示する、脅威可視化方法を説明した。
また、本実施の形態では、
脅威の成長過程を、類似する攻撃シナリオの成長過程とあわせてグラフで表示する、脅威可視化方法を説明した。
脅威の成長過程を、類似する攻撃シナリオの成長過程とあわせてグラフで表示する、脅威可視化方法を説明した。
100 脅威可視化システム、1001 テーブル記憶部、1002 フェーズ列生成部、1003 類似度算出部、1004 攻撃状況可視化部、1005 入力部、1006 出力部、1007 通信部。
Claims (10)
- 情報システムに対する攻撃によって発生する複数の事象の各々に対して、各事象が発生したときの攻撃の進行度が示される攻撃事象テーブルを記憶する攻撃事象テーブル記憶部と、
攻撃シーケンスにおける事象の発生パターンに従って対応する事象の進行度を連結して得られた文字列が、攻撃事象進行度列として示される攻撃事象進行度列テーブルを記憶する攻撃事象進行度列テーブル記憶部と、
前記情報システムにおいて発生した事象の発生パターンに従って対応する事象の進行度を連結し、文字列である発生事象進行度列を導出する発生事象進行度列導出部と、
前記発生事象進行度列導出部により導出された発生事象進行度列と、前記攻撃事象進行度列テーブルに示される攻撃事象進行度列との類似度を算出する類似度算出部と、
前記発生事象進行度列導出部により得られた発生事象進行度列と、前記類似度算出部による類似度の算出結果とに基づき、前記情報システムに対する攻撃の進行状況を可視化する攻撃状況可視化部とを有することを特徴とする情報処理装置。 - 前記攻撃事象進行度列テーブル記憶部は、
複数の攻撃シーケンスの各々に対して、各攻撃シーケンスにおける事象の発生パターンに従って対応する事象の進行度を連結して得られた文字列が、攻撃事象進行度列として示される攻撃事象進行度列テーブルを記憶し、
前記類似度算出部は、
前記発生事象進行度列導出部により導出された発生事象進行度列と、前記攻撃事象進行度列テーブルに示される複数の攻撃事象進行度列の各々との類似度を算出し、
前記攻撃状況可視化部は、
前記発生事象進行度列導出部により導出された発生事象進行度列に含まれる進行度の中から最大の進行度を抽出し、
前記類似度算出部により算出された複数の類似度の中から最大の類似度を抽出し、
抽出した最大進行度と最大類似度とを用いて、前記情報システムに対する攻撃の進行状況を可視化することを特徴とする請求項1に記載の情報処理装置。 - 前記情報処理装置は、
複数の端末装置が含まれる情報システムを対象とし、
前記発生事象進行度列導出部は、
前記情報システムに含まれる端末装置ごとに、各端末装置において発生した事象の発生パターンに従って対応する事象の進行度を連結し、文字列である発生事象進行度列を導出し、
前記類似度算出部は、
端末装置ごとに、前記発生事象進行度列導出部により導出された発生事象進行度列と、前記攻撃事象進行度列テーブルに示される複数の攻撃事象進行度列の各々との類似度を算出し、
前記攻撃状況可視化部は、
端末装置ごとに、前記発生事象進行度列導出部により導出された発生事象進行度列に含まれる進行度の中から最大の進行度を抽出し、
端末装置ごとに、前記類似度算出部により算出された複数の類似度の中から最大の類似度を抽出し、
端末装置ごとに抽出した最大進行度と最大類似度とを用いて、前記情報システムに対する攻撃の進行状況を可視化することを特徴とする請求項2に記載の情報処理装置。 - 前記攻撃状況可視化部は、
端末装置ごとに抽出した最大進行度と最大類似度との関係をプロットし、前記複数の端末装置における最大進行度と最大類似度の分布が示されるグラフを表示して、前記情報システムに対する攻撃の進行状況を可視化することを特徴とする請求項3に記載の情報処理装置。 - 前記攻撃状況可視化部は、
進行度ごとに、その進行度が最大進行度となっている端末装置の数を表示して、前記情報システムに対する攻撃の進行状況を可視化することを特徴とする請求項4に記載の情報処理装置。 - 前記情報処理装置は、
複数の端末装置が含まれる情報システムを対象とし、
前記攻撃事象進行度列テーブル記憶部は、
複数の攻撃シーケンスの各々に対して、各攻撃シーケンスにおける事象の発生パターンに従って対応する事象の進行度を連結して得られた文字列が、攻撃事象進行度列として示される攻撃事象進行度列テーブルを記憶し、
前記発生事象進行度列導出部は、
前記情報システムに含まれる端末装置ごとに、各端末装置において発生した事象の発生パターンに従って対応する事象の進行度を連結し、文字列である発生事象進行度列を導出し、
前記類似度算出部は、
端末装置ごとに、前記発生事象進行度列導出部により得られた発生事象進行度列と、前記攻撃事象進行度列テーブルに示される複数の攻撃事象進行度列の各々との類似度を算出し、
前記攻撃状況可視化部は、
特定の端末装置に対して算出された複数の類似度の中で最大の類似度の算出に用いられた攻撃事象進行度列を選択し、
前記特定の端末装置の発生事象進行度列における進行度の遷移と、選択した攻撃事象進行度列における進行度の遷移とを示すグラフを表示して、前記情報システムに対する攻撃の進行状況を可視化することを特徴とする請求項1〜5のいずれかに記載の情報処理装置。 - 前記攻撃事象進行度列テーブル記憶部は、
過去の攻撃の攻撃シーケンスに対して、攻撃事象進行度列が示される攻撃事象進行度列テーブルを記憶することを特徴とする請求項1〜6のいずれかに記載の情報処理装置。 - 前記攻撃事象進行度列テーブル記憶部は、
想定される攻撃の攻撃シーケンスに対して、攻撃事象進行度列が示される攻撃事象進行度列テーブルを記憶することを特徴とする請求項1〜7のいずれかに記載の情報処理装置。 - 情報システムに対する攻撃によって発生する複数の事象の各々に対して、各事象が発生したときの攻撃の進行度が示される攻撃事象テーブルを記憶する攻撃事象テーブル記憶部と、
攻撃シーケンスにおける事象の発生パターンに従って対応する事象の進行度を連結して得られた文字列が、攻撃事象進行度列として示される攻撃事象進行度列テーブルを記憶する攻撃事象進行度列テーブル記憶部とを有するコンピュータが行う情報処理方法であって、
前記コンピュータが、前記情報システムにおいて発生した事象の発生パターンに従って対応する事象の進行度を連結し、文字列である発生事象進行度列を導出し、
前記コンピュータが、導出された発生事象進行度列と、前記攻撃事象進行度列テーブルに示される攻撃事象進行度列との類似度を算出し、
前記コンピュータが、導出された発生事象進行度列と、類似度の算出結果とに基づき、前記情報システムに対する攻撃の進行状況を可視化する攻撃状況可視化ステップとを有することを特徴とする情報処理方法。 - コンピュータを、請求項1に記載された情報処理装置として機能させることを特徴とするプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014536717A JP5868514B2 (ja) | 2012-09-19 | 2013-08-29 | 情報処理装置及び情報処理方法及びプログラム |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012205836 | 2012-09-19 | ||
| JP2012205836 | 2012-09-19 | ||
| PCT/JP2013/073197 WO2014045827A1 (ja) | 2012-09-19 | 2013-08-29 | 情報処理装置及び情報処理方法及びプログラム |
| JP2014536717A JP5868514B2 (ja) | 2012-09-19 | 2013-08-29 | 情報処理装置及び情報処理方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP5868514B2 JP5868514B2 (ja) | 2016-02-24 |
| JPWO2014045827A1 true JPWO2014045827A1 (ja) | 2016-08-18 |
Family
ID=50341149
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014536717A Expired - Fee Related JP5868514B2 (ja) | 2012-09-19 | 2013-08-29 | 情報処理装置及び情報処理方法及びプログラム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20150205956A1 (ja) |
| EP (1) | EP2899665B1 (ja) |
| JP (1) | JP5868514B2 (ja) |
| CN (1) | CN104620252B (ja) |
| WO (1) | WO2014045827A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2021043676A (ja) * | 2019-09-10 | 2021-03-18 | 沖電気工業株式会社 | 異常検知装置、異常検知プログラム、及び異常検知方法 |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6677169B2 (ja) * | 2014-12-10 | 2020-04-08 | 日本電気株式会社 | 通信監視システム、重要度算出装置及びその算出方法、提示装置、並びにコンピュータ・プログラム |
| US10805337B2 (en) * | 2014-12-19 | 2020-10-13 | The Boeing Company | Policy-based network security |
| JP6285390B2 (ja) * | 2015-04-22 | 2018-02-28 | 株式会社日立製作所 | サイバー攻撃分析装置及びサイバー攻撃分析方法 |
| US20190018959A1 (en) * | 2015-12-09 | 2019-01-17 | Nec Corporation | Diagnosis device, diagnosis method, and non-transitory recording medium |
| US10754719B2 (en) | 2015-12-09 | 2020-08-25 | Nec Corporation | Diagnosis device, diagnosis method, and non-volatile recording medium |
| JP2017129894A (ja) * | 2016-01-18 | 2017-07-27 | 三菱電機株式会社 | サイバー攻撃検知システム |
| US20170272453A1 (en) * | 2016-03-15 | 2017-09-21 | DataVisor Inc. | User interface for displaying network analytics |
| US9973522B2 (en) * | 2016-07-08 | 2018-05-15 | Accenture Global Solutions Limited | Identifying network security risks |
| JP6786959B2 (ja) | 2016-08-26 | 2020-11-18 | 富士通株式会社 | サイバー攻撃分析支援プログラム、サイバー攻撃分析支援方法およびサイバー攻撃分析支援装置 |
| KR102152218B1 (ko) * | 2016-12-16 | 2020-09-07 | 미쓰비시덴키 가부시키가이샤 | 검색 시스템 |
| JP6671557B2 (ja) * | 2017-09-21 | 2020-03-25 | 三菱電機株式会社 | アラート頻度制御装置およびアラート頻度制御プログラム |
| GB201812171D0 (en) * | 2018-07-26 | 2018-09-12 | Senseon Tech Ltd | Cyber defence system |
| JP6984761B2 (ja) * | 2018-10-10 | 2021-12-22 | 日本電信電話株式会社 | 情報処理装置及び情報処理プログラム |
| WO2021059520A1 (ja) * | 2019-09-27 | 2021-04-01 | 日本電気株式会社 | 分析システム、方法およびプログラム |
| US20240086523A1 (en) * | 2019-10-28 | 2024-03-14 | Nec Corporation | Information processing device, display method, and non-transitory computer readable medium |
| WO2023228399A1 (ja) * | 2022-05-27 | 2023-11-30 | 三菱電機株式会社 | セキュリティ分析装置、セキュリティ分析方法及びセキュリティ分析プログラム |
| US20240061937A1 (en) * | 2022-08-16 | 2024-02-22 | Upsight Security Inc. | Anti-malware behavioral graph engines, systems and methods |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003216577A (ja) * | 2002-01-18 | 2003-07-31 | Komu Square:Kk | セキュリティレベル情報提供方法及びシステム |
| JP2004054706A (ja) * | 2002-07-22 | 2004-02-19 | Sofutekku:Kk | セキュリティリスク管理システム、そのプログラムおよび記録媒体 |
| JP2005136526A (ja) * | 2003-10-28 | 2005-05-26 | Fujitsu Ltd | 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0985995B1 (en) * | 1998-09-09 | 2003-08-13 | International Business Machines Corporation | Method and apparatus for intrusion detection in computers and computer networks |
| US6681331B1 (en) * | 1999-05-11 | 2004-01-20 | Cylant, Inc. | Dynamic software system intrusion detection |
| WO2001084285A2 (en) | 2000-04-28 | 2001-11-08 | Internet Security Systems, Inc. | Method and system for managing computer security information |
| US7324108B2 (en) * | 2003-03-12 | 2008-01-29 | International Business Machines Corporation | Monitoring events in a computer network |
| US8539546B2 (en) * | 2010-10-22 | 2013-09-17 | Hitachi, Ltd. | Security monitoring apparatus, security monitoring method, and security monitoring program based on a security policy |
| CN102236764B (zh) * | 2011-06-30 | 2013-10-30 | 北京邮电大学 | 用于Android系统的抵御桌面信息攻击的方法和监控系统 |
| JP5832951B2 (ja) * | 2012-04-27 | 2015-12-16 | 日本電信電話株式会社 | 攻撃判定装置、攻撃判定方法及び攻撃判定プログラム |
-
2013
- 2013-08-29 US US14/420,079 patent/US20150205956A1/en not_active Abandoned
- 2013-08-29 WO PCT/JP2013/073197 patent/WO2014045827A1/ja active Application Filing
- 2013-08-29 CN CN201380046779.4A patent/CN104620252B/zh not_active Expired - Fee Related
- 2013-08-29 JP JP2014536717A patent/JP5868514B2/ja not_active Expired - Fee Related
- 2013-08-29 EP EP13839403.6A patent/EP2899665B1/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003216577A (ja) * | 2002-01-18 | 2003-07-31 | Komu Square:Kk | セキュリティレベル情報提供方法及びシステム |
| JP2004054706A (ja) * | 2002-07-22 | 2004-02-19 | Sofutekku:Kk | セキュリティリスク管理システム、そのプログラムおよび記録媒体 |
| JP2005136526A (ja) * | 2003-10-28 | 2005-05-26 | Fujitsu Ltd | 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2021043676A (ja) * | 2019-09-10 | 2021-03-18 | 沖電気工業株式会社 | 異常検知装置、異常検知プログラム、及び異常検知方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2899665A4 (en) | 2016-05-25 |
| CN104620252B (zh) | 2017-06-23 |
| WO2014045827A1 (ja) | 2014-03-27 |
| JP5868514B2 (ja) | 2016-02-24 |
| CN104620252A (zh) | 2015-05-13 |
| US20150205956A1 (en) | 2015-07-23 |
| EP2899665A1 (en) | 2015-07-29 |
| EP2899665B1 (en) | 2020-03-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5868514B2 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
| US20160164916A1 (en) | Automated responses to security threats | |
| US8549637B2 (en) | Website defacement incident handling system, method, and computer program storage device | |
| US11824883B2 (en) | Variable DCF security scores and data threat portfolio views | |
| JP7005936B2 (ja) | 評価プログラム、評価方法および情報処理装置 | |
| CN111183620B (zh) | 入侵调查 | |
| WO2015112495A1 (en) | Systems and methods for determining overall risk modification amounts | |
| Altulaihan et al. | Email Security Issues, Tools, and Techniques Used in Investigation | |
| JP2015026182A (ja) | セキュリティサービス効果表示システム、セキュリティサービス効果表示方法、及びセキュリティサービス効果表示プログラム | |
| KR101940512B1 (ko) | 공격특성 dna 분석 장치 및 그 방법 | |
| JPWO2016092834A1 (ja) | 通信監視システム、重要度算出装置及びその算出方法、提示装置、並びにコンピュータ・プログラムが格納された記録媒体 | |
| CN105912927B (zh) | 用于生成应用控制规则的系统和方法 | |
| US20170200011A1 (en) | System and Method for Tracing Data Access and Detecting Abnormality in the Same | |
| Johansen | Digital Forensics and Incident Response: Incident response tools and techniques for effective cyber threat response | |
| Pinguelo et al. | Virtual crimes, real damages part II: What businesses can do today to protect themselves from cybercrime, and what public-private partnerships are attempting to achieve for the nation of tomorrow | |
| WO2021059471A1 (ja) | セキュリティリスク分析支援装置、方法、及びコンピュータ可読媒体 | |
| JP5117555B2 (ja) | 脅威分析支援装置及び脅威分析支援プログラム | |
| Haggerty et al. | Visualization of system log files for post-incident analysis and response | |
| JP4620138B2 (ja) | 脅威分析支援装置および脅威分析支援処理プログラム | |
| Haraszti | Access controlled: The shaping of power, rights, and rule in cyberspace | |
| Hakkala et al. | Personal data protection in the age of mass surveillance | |
| Dodds | When is the right time to outsource your security function? | |
| Yamagishi et al. | HOUND: Log analysis support for threat hunting by log visualization | |
| Wirth | Responding to Ever-Evolving Threats | |
| Kumar et al. | Secure provenance-based communication using visual encryption |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20151208 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160105 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5868514 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |