JPWO2015059791A1 - 情報処理装置及び情報処理方法及びプログラム - Google Patents

情報処理装置及び情報処理方法及びプログラム Download PDF

Info

Publication number
JPWO2015059791A1
JPWO2015059791A1 JP2015543647A JP2015543647A JPWO2015059791A1 JP WO2015059791 A1 JPWO2015059791 A1 JP WO2015059791A1 JP 2015543647 A JP2015543647 A JP 2015543647A JP 2015543647 A JP2015543647 A JP 2015543647A JP WO2015059791 A1 JPWO2015059791 A1 JP WO2015059791A1
Authority
JP
Japan
Prior art keywords
event
information
stage
observation
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015543647A
Other languages
English (en)
Other versions
JP6053948B2 (ja
Inventor
河内 清人
清人 河内
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Application granted granted Critical
Publication of JP6053948B2 publication Critical patent/JP6053948B2/ja
Publication of JPWO2015059791A1 publication Critical patent/JPWO2015059791A1/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

攻撃活動定義情報データベース111は、情報システムに対する攻撃が行われる過程において情報システムで観測されるイベントと、イベントが観測されるための前提条件である事前条件と、イベントが観測された後の事象である達成事象とが記述される攻撃活動定義情報を、複数のイベントに対して記憶している。イベント受信部108は、情報システムで観測された観測イベントを通知する観測イベント通知情報を受信する。攻撃活動予測部105は、観測イベント通知情報で通知されている観測イベントが記述されている攻撃活動定義情報から達成事象を取得し、取得した観測イベントの達成事象に合致する事前条件が記述されている攻撃活動定義情報に基づき、情報システムで今後観測されると予測されるイベントを抽出する。

Description

本発明は、情報システムに対する攻撃を検知する技術に関する。
従来のIDS(Intrusion Detection System)に代表される攻撃検知システムは、単一のイベントが発生した時点で、情報システムに対する攻撃が行われていると判断していた。
しかし、近年マルウェアにより端末が乗っ取られ、マルウェアが端末のユーザに成りすまして行う攻撃が主流になりつつある。
このため、昨今では、単一のイベントだけでは情報システムに対する攻撃が行われていると判定することが難しくなってきている。
単一のイベントでは攻撃が行われているかどうかの判定が難しい場合に、一連の攻撃活動によって発生することが予想されるイベント列(攻撃シナリオ)を定義し、攻撃シナリオに合致するようにイベントが発生した場合に、攻撃が行われているとみなす方式が提案されている(例えば特許文献1)。
また、検知したい攻撃事象を根とし、攻撃事象の前段で発生しうる事象を節又は葉に持つロジックツリーを定義し、発生した事象をロジックツリー上にマッピングした結果、攻撃事象が成立した場合に攻撃が行われているとみなす方式が提案されている(例えば特許文献2)。
また、侵入検知装置からの攻撃通知に対して事前条件と結果を定義しておき、複数の攻撃通知が上がった時に、先行して上がった攻撃通知の結果が、後続の攻撃通知の事前条件を満足させるとき、これらの攻撃通知には関連があるとみなす方式も提案されている(例えば非特許文献1)。
特許第4020912号 特開2006−350543
Ning, Peng, Yun Cui, and Douglas S. Reeves. "Constructing attack scenarios through correlation of intrusion alerts." Proceedings of the 9th ACM conference on Computer and communications security. ACM, 2002.
しかし、例えば特許文献1に示される攻撃検知システムでは、攻撃判定の基準となる攻撃シナリオを事前に定義しておく必要がある。
発生し得る攻撃シナリオは、攻撃の順番や想定する攻撃手法を若干入れ替えるだけで無数に発生するため、全ての攻撃シナリオを網羅することは困難である。
また、新たな監視対象装置の導入や、新たな攻撃手法の発見などにより、発生するイベントに追加があった場合、既存のシナリオ全てに変更を加えなければならないという課題がある。
また、特許文献2に示される攻撃検知システムも、発生するイベントに追加があった場合に、既存のロジックツリーに変更を加えなければならないという課題がある。
非特許文献1の方法では、これらの制約は無いものの、まだ次のような課題が残っている。
ユーザに成りすまして行われる攻撃を検知するためには、時として監視対象装置に非常に負荷がかかるような監視や、大量の誤検知を生み出す可能性がある監視を実施しなければならない場合がある。
このような監視を常時実施することは計算機コストあるいは運用コストが必要であるため現実的ではない。
そのためこのような監視は、監視がどうしても必要な場合(監視すればイベントを検知できる可能性が高い場合)に限り、かつ監視対象を極力限定して(例えば特定の端末だけに監視対象を絞って)行うことが望まれる。
しかし、非特許文献1では、次にどのような攻撃通知が起きそうかを予想することは無いため、このような、必要に応じて監視設定を変更することはできない。
この発明は、上記のような課題を解決することを主な目的としており、事前に攻撃シナリオやロジックツリーを用意しなくても、情報システムで今後観測されるイベントを予測することができる構成を実現することを主な目的とする。
本発明に係る情報処理装置は、
情報システムに対する攻撃が行われる過程において前記情報システムで観測されるイベントと、前記イベントが観測される前の攻撃の進展段階であるイベント前段階と、前記イベントが観測された後の攻撃の進展段階であるイベント後段階とが記述されるイベント段階情報を、複数のイベントに対して記憶するイベント段階情報記憶部と、
前記情報システムで観測された観測イベントを通知する観測イベント通知情報を受信する観測イベント通知情報受信部と、
前記観測イベント通知情報で通知されている観測イベントが記述されているイベント段階情報を前記イベント段階情報記憶部から検索し、検索したイベント段階情報から前記観測イベントのイベント後段階を取得し、取得した前記観測イベントのイベント後段階に合致するイベント前段階が記述されているイベント段階情報を前記イベント段階情報記憶部から検索し、検索したイベント段階情報に基づき、前記情報システムで今後観測されると予測されるイベントを観測予測イベントとして抽出する観測予測イベント抽出部とを有することを特徴とする。
本発明では、観測イベントが記述されているイベント段階情報を検索し、検索したイベント段階情報から観測イベントのイベント後段階を取得し、観測イベントのイベント後段階に合致するイベント前段階が記述されているイベント段階情報を検索し、検索したイベント段階情報に基づき、情報システムで今後観測されると予測されるイベントを抽出する。
このため、事前に攻撃シナリオやロジックツリーを用意しなくても、情報システムで今後観測されるイベントを予測することができる。
実施の形態1に係るシステム構成例を示す図。 実施の形態1に係る攻撃検知装置の構成例を示す図。 実施の形態1に係る攻撃予測方式の概要を示す図。 実施の形態1に係る攻撃活動定義情報の例を示す図。 実施の形態1に係る攻撃活動定義情報の例を示す図。 実施の形態1に係る攻撃活動状況情報の例を示す図。 実施の形態1に係る攻撃検知装置の動作例を示すフローチャート図。 実施の形態1に係る達成事象データベースの例を示す図。 実施の形態1に係る推論ルールデータベースの例を示す図。 実施の形態1に係る攻撃活動状況情報検索処理の詳細を示すフローチャート図。 実施の形態1に係る検索サブルーチンの詳細を示すフローチャート図。 実施の形態1に係る検索サブルーチンの詳細を示すフローチャート図。 実施の形態1に係る事前条件未達情報削除処理の詳細を示すフローチャート図。 実施の形態1に係る攻撃発生判定処理の詳細を示すフローチャート図。 実施の形態1に係る達成事象算出・登録処理の詳細を示すフローチャート図。 実施の形態1に係る派生達成事象算出処理の詳細を示すフローチャート図。 実施の形態1に係る攻撃活動予測処理の詳細を示すフローチャート図。 実施の形態1に係る実行可能活動探索処理の詳細を示すフローチャート図。 実施の形態1に係る実行可能活動探索処理の詳細を示すフローチャート図。 実施の形態1に係る攻撃検知装置のハードウェア構成例を示す図。 実施の形態2に係る攻撃活動定義情報の例を示す図。 実施の形態2に係る事前条件未達情報削除処理の詳細を示すフローチャート図。 実施の形態3に係るシステム構成例を示す図。 実施の形態3に係る事前条件未達情報削除処理の詳細を示すフローチャート図。 実施の形態3に係る事前条件未達情報削除処理の詳細を示すフローチャート図。 実施の形態3に係る過去イベント検索処理の詳細を示すフローチャート図。 実施の形態3に係る過去イベント検索処理の詳細を示すフローチャート図。 実施の形態4に係るシステム構成例を示す図。 実施の形態5に係るシステム構成例を示す図。 実施の形態2に係るイベント列を示す図。
実施の形態1.
本実施の形態では、事前に攻撃シナリオやツリーを網羅的に用意しなくても、一連の攻撃活動が発生した場合に攻撃を検知可能とする攻撃検知装置を説明する。
また、新たな監視装置の導入や、新たな攻撃手法の発見などにより、発生するイベントに追加があった場合にも、柔軟に対応できるようにする攻撃検知装置を説明する。
さらに、常時実施するには高コストな監視を、必要な時に限って実施できるようにする攻撃検知装置を説明する。
図1は、本実施の形態に係るシステム構成例を示す。
図1において、攻撃検知装置101は、ネットワーク123を介して、情報システムを構成する機器である監視対象装置と接続されている。
攻撃検知装置101は、情報処理装置の例に相当する。
図1では、例として攻撃検知装置101は2台の監視対象装置116、119に接続されているが、攻撃検知装置101に接続する監視対象装置の台数は2台に限定されるものではない。
監視対象装置としては、IDS、ファイアウォール、認証サーバ、ファイルサーバ、SIEM(Security Information Event Management)などが考えられるが、監視対象装置はこれらに限定されるものではない。
各監視対象装置内には、監視対象装置が観測したイベント(観測イベントともいう)を通知する観測イベント通知情報を生成する機能(イベント生成部118、121)と、生成された観測イベント通知情報を攻撃検知装置101に送信する機能(イベント送信部117、120)が含まれている。
なお、監視対象装置が観測したイベントには、監視対象装置内で発生したイベントも含まれる。
つまり、観測イベント通知情報は、監視対象内で発生したイベントも通知する。
図2は、攻撃検知装置101の構成例を示す。
イベント受信部108は、監視対象装置116、119から送信されてきた観測イベント通知情報を受信する。
なお、以下では、「観測イベント通知情報を受信する」ことを、「イベントを受信する」とも表記する。
攻撃活動状況情報検索部107は、受信した観測イベント通知情報をもとに、該当する攻撃活動状況情報(後述)を検索もしくは新規に作成する。
攻撃発生判定部106は、観測イベントに対応する攻撃活動状況情報から攻撃の発生有無を判定する。
判定の結果、情報システムに対する攻撃が行われていると判断した場合には、攻撃発生判定部106は、表示部115を通じてユーザに攻撃が行われている旨の通知を行う。
攻撃活動予測部105は、受信した観測イベント通知情報から、もし観測イベントが一連の攻撃の1ステップとして実行されたものであるならば情報システム(監視対象装置116、119)で今後観測される可能性のあるイベント(観測予測イベント)を予測する。
攻撃活動予測部105が予測したイベントは、攻撃活動候補記憶部104によって記憶される。
推論実施部103は、攻撃活動予測部105等から呼び出され、述語論理等の推論演算を実施する。
達成事象算出・登録部102は、観測イベントが記述されている攻撃活動状況情報の記述内容をもとに、述語論理式で達成事象を生成し、生成した達成事象を達成事象データベース109に登録する。
推論ルールデータベース110には、あらかじめ管理者によって推論ルールが格納されている。
推論ルールには推論ロジックが記述されており、推論実施部103は推論ロジックを参照して推論を実施する。
攻撃活動定義情報データベース111は、攻撃活動定義情報(後述)と呼ばれる攻撃活動を定義する情報を格納している。
攻撃活動定義情報は、イベント段階情報の例に相当する。
構成情報データベース112には、情報システムの構成に関する情報である構成情報が格納されている。
構成情報には、例えばホスト名とIP(Internet Protocol)アドレスの対応関係や、ユーザ名とユーザが所属するグループとの対応関係などが記述されている。
構成情報・推論ルール編集部113は、構成情報データベース112や、推論ルールデータベース110の内容を登録し、また、更新する。
攻撃活動定義情報編集部114は、攻撃活動定義情報データベース111内の攻撃活動定義情報を追加・削除・修正するためのユーザインタフェースを提供する。
イベント生成設定変更部122は、予測されたイベントを検出するために監視対象装置116、119に監視設定を変更するよう要求する。
なお、攻撃活動候補記憶部104及び攻撃活動定義情報データベース111は、イベント段階情報記憶部の例に相当する。
また、達成事象データベース109は、段階記憶部の例に相当する。
また、イベント受信部108は、観測イベント通知情報受信部の例に相当する。
また、推論実施部103、攻撃活動予測部105、攻撃発生判定部106、攻撃活動状況情報検索部107、イベント生成設定変更部122は、観測予測イベント抽出部の例に相当する。
また、攻撃活動予測部105は、イベント段階情報加工部の例にも相当する。
次に、本実施の形態に係る動作について説明する。
攻撃検知装置101は、監視対象装置116、119から送信されてきた観測イベント通知情報から、観測イベントが攻撃に起因して発生したと仮定した場合に、次に監視対象装置116、119で観測される可能性のあるイベントを予測する。
そして、攻撃検知装置101は、一定回数以上において予測が現実のものとなった場合に、攻撃が発生したとみなす。
以下では、イベントの予測方式の概略を、図3、図4及び図5を用いながら説明する。
図3は、本実施の形態に係るイベント予測方式の概要を示す図である。
図中の要素201〜206は攻撃活動定義情報を示している。
図4及び図5は、攻撃活動定義情報の例を示す。
図4の攻撃活動定義情報301のように、攻撃活動定義情報は、事前条件303、イベント304、達成事象308、攻撃確度309で構成されている。
また、図5の攻撃活動定義情報302のように、攻撃活動定義情報は、監視設定317を含む場合もある。
事前条件303には、攻撃発生時にイベント304が発生するための前提条件が述語論理の形式で記述されている。
つまり、事前条件304には、イベント304が観測される前の攻撃の進展段階(イベント前段階)が記述されている。
例えば図4の符号310で示す述語論理は、事前条件として、「AがHにログインしている」段階であることを表している。
なお、符号310で示されるA、Hは変数であり、観測イベントから得られた値などによって具体的な値(例えば“user001”等)に束縛される。
イベント304は、情報システムに対する攻撃が行われる過程において情報システムで観測されるイベントである。
イベント304に対して、イベント発生源305、イベント種別306、イベントパラメータ307が定義されている。
イベント発生源305は、攻撃活動定義情報301が対象とするイベント発生源を示している。
符号311は、発生源として許される値を示しており、この例では変数Hによって事前条件310と関連付けられている(「$H」の冒頭にあるドルマーク($)は、Hが変数であることを示している)。
イベント種別306は、攻撃活動定義情報301が対象としているイベントの種別を指定している。
具体的なイベント種別は符号312のように指定される。
イベントパラメータ307は、イベントのパラメータを示す。
イベントパラメータ307では、攻撃活動定義情報301が対象とする値が指定されている。
図4に示した例では、USERという名称のパラメータが符号310で示されている変数Aと同じ値をとることが求められている。
観測イベント通知情報では、図4の攻撃活動定義情報301と同様に、イベント発生源、イベント種別、イベントパラメータが通知される。
図4の攻撃活動定義情報301では、イベント発生源305、イベントパラメータ307の各変数の値は特定されていないが、観測イベント通知情報では、イベント発生源、イベントパラメータの各変数の値が特定されている。
達成事象308は、攻撃活動定義情報301の符号305〜307の項目に合致するイベントが発生した時に、攻撃者が達成した事象を述語論理で示している。
つまり、達成事象308には、符号305〜307の項目に合致するイベントが観測された後の攻撃の進展段階(イベント後段階)が記述されている。
図4の例では、「ユーザAがホストHの機密を入手した」段階であることが示されている。
攻撃確度309は、攻撃活動定義情報301の符号305〜307の項目に合致するイベントが発生した時の、情報システムに対する攻撃の確度を示している。
図4の例では符号315で示すように、確度値を0.5と定義している。
なお、図5の符号316に示すようにアンダースコア(“_”)一文字で示される変数は、任意の値をとれることを示している。
図5の監視設定317は、コマンド318、監視対象装置319、起動確度323及びコマンドパラメータ320で構成されている。
コマンド318は、攻撃活動定義情報302で定義されているイベントを観測するために監視対象装置に監視設定を変更させるために使用するコマンドである。
監視対象装置319は、コマンドの送信先の監視対象装置を指定する。
コマンドの送信先の監視対象装置が変数で表されている場合は、続く述語論理(322)を満たす値が選択される。
起動確度323は、監視設定を変更するために、最低限必要となる累積の攻撃確度値(後述)を示す。
起動確度323は、監視対象装置に所定の監視操作を開始させるための閾値であり、監視操作開始閾値の例に相当する。
コマンドパラメータ320は、コマンドに付与するパラメータ情報である。
具体的な情報は、符号321に示されるように名称=値で指定される。
図3に戻り、本実施の形態における攻撃予測方式を説明する。
図3は、攻撃活動定義情報205に記述されているイベント220にマッチするイベントが監視対象装置116又は監視対象装置119で観測された状況を示している。
イベント220にマッチするイベントが観測されると、攻撃検知装置101は、観測されたイベントと同じイベント220が記述されている攻撃活動定義情報205を検索する。
次に、攻撃検知装置101は、検索した攻撃活動定義情報205に記述されている達成事象に依存している、他の攻撃活動定義情報を検索する。
ここで、攻撃活動定義情報Aが攻撃活動定義情報Bに依存しているとは、攻撃活動定義情報Aの事前条件の一部または全部が、攻撃活動定義情報Bの達成事象によって満たされることを意味する。
つまり、攻撃活動定義情報Aが攻撃活動定義情報Bに依存しているとは、攻撃活動定義情報Bの達成事象が、事前条件として攻撃活動定義情報Aに記述されていることを意味する。
図3では、このような依存関係を実線矢印207〜211で示している。
具体的には、攻撃活動定義情報204は、攻撃活動定義情報205にのみ依存している。
また、攻撃活動定義情報201は、攻撃活動定義情報202と攻撃活動定義情報205に依存している。
また、攻撃活動定義情報202は、攻撃活動定義情報203と攻撃活動定義情報206に依存している。
なお、破線矢印212〜216は、攻撃検知装置101による攻撃活動定義情報の検索方向を示している。
攻撃検知装置101は、攻撃活動定義情報205に記述されている達成事象に依存している、他の攻撃活動定義情報201、204を検索すると、次に、既に攻撃活動定義情報201、204の各々ついて、全ての事前条件が満たされているかどうかをチェックする。
攻撃活動定義情報204では、観測されたイベントにより得られる達成事象以外に事前条件が無いので、全ての事前条件が満たされている。
そして、攻撃検知装置101は、攻撃活動定義情報204に記載されているイベント219を、次に発生し得るイベント(観測予測イベント)の一つとして抽出する。
一方、攻撃活動定義情報201では、観測されたイベントにより得られる達成事象以外に事前条件があるので、全ての事前条件が満たされている訳ではない。
そして、攻撃検知装置101は、満たされていない事前条件を満たすような達成事象が定義されている攻撃活動定義情報(図3の例では攻撃活動定義情報202)を検索する。
さらに、攻撃検知装置101は、攻撃活動定義情報202の事前条件が全て満たされているかどうかをチェックする。
図3の例では、攻撃活動定義情報202の事前条件は2つあるが、2つの事前条件はどちらも満たされていない。
このため、攻撃検知装置101は、それぞれの事前条件を満たすような達成事象が定義されている攻撃活動定義情報(図3の例では攻撃活動定義情報203と攻撃活動定義情報206)を検索する。
攻撃検知装置101は、このように再帰的に攻撃活動定義情報を検索し、既に全ての事前条件が満たされている攻撃活動定義情報を見つけたら、その攻撃活動定義情報に定義されているイベントを次に発生し得るイベント(観測予測イベント)として抽出する(図3ではイベント217とイベント218を抽出する)。
抽出されたイベントは、後述する攻撃活動状況情報に記述され、攻撃活動状況情報が攻撃検知装置101内で保持される。
次に、攻撃活動状況情報を、図6を参照して説明する。
図6に示す通り、攻撃活動状況情報401は、攻撃活動定義情報402、束縛済み変数情報403、累積攻撃確度404で構成されている。
攻撃活動定義情報402は、図4及び図5で示した攻撃活動定義情報と同一である。
束縛済み変数情報403は、攻撃活動定義情報中の各変数が束縛されている値(変数値)を格納しているテーブルである。
束縛済み変数情報403は、変数名405と束縛値406の2列で構成されている。
累積攻撃確度404には、攻撃活動状況情報401が生成された時点における累積の攻撃確度値が格納されている。
図6に示すように、攻撃活動状況情報401では、イベントに関連する束縛値(変数値)と、累算された攻撃確度値とが、攻撃活動定義情報402(イベント段階情報)に対応付けられている。
図7を参照しながら、より具体的に本発明本実施の形態に係る攻撃検知装置101の動作について説明する。
図7は、本実施の形態に係る攻撃検知装置101の動作の概要を示すフローチャートである。
S502で、イベント受信部108が、監視対象装置から観測イベント通知情報を受信する。
前述したように、観測イベント通知情報では、図4の攻撃活動定義情報301のイベント発生源305、イベント種別306、イベントパラメータ307に対応させて、イベント発生源、イベント種別、イベントパラメータの値が特定されている。
次に、S503で、攻撃活動状況情報検索部107が、観測イベント通知情報で通知される観測イベント(イベント種別、イベント発生源、イベントパラメータ)に合致する攻撃活動状況情報401を攻撃活動候補記憶部104内において検索する。
具体的には、攻撃活動状況情報検索部107は、観測イベント通知情報で通知される観測イベントのイベント種別に合致するイベント種別が攻撃活動定義情報402のイベント種別(図4のイベント種別305)の欄に記述され、観測イベント通知情報で通知される観測イベントを特定する変数値(イベント発生源の変数値とイベントパラメータの変数値)に合致する変数値が束縛済み変数情報403に記述されている攻撃活動状況情報401を検索する。
なお、観測イベントに合致する攻撃活動状況情報401が攻撃活動候補記憶部104内に存在しない場合は、攻撃活動状況情報検索部107は、当該観測イベントのイベント種別が記述されている攻撃活動定義情報を検索する。
そして、攻撃活動状況情報検索部107は、検索した攻撃活動定義情報に観測イベント通知情報で通知されたイベント発生源の変数値とイベントパラメータの変数値を束縛済み変数情報403に設定して新たな攻撃活動状況情報を生成する。
S504では、攻撃発生判定部106が、攻撃活動状況情報401の累積攻撃確度404の値に、攻撃活動状況情報401内の攻撃活動定義情報402に記述されている攻撃確度の値(図4の攻撃確度309に相当)を加算して、累積攻撃確度404の値を更新する。
S505では、攻撃発生判定部106が、S503で更新された累積攻撃確度404の値と攻撃判定閾値とを比較する。
累積攻撃確度404の値が、攻撃判定閾値よりも大きかった場合は、S506において、攻撃発生判定部106は、表示部115を通じてユーザに攻撃の発生を通知する。
S507以降は、次に発生する可能性のあるイベントを予測するための処理である。
S507では、攻撃活動状況情報検索部107が、S503で得られた攻撃活動状況情報401で達成される事象を、攻撃活動状況情報401内の達成事象及び束縛済み変数情報から求め、求めた事象に依存する攻撃活動定義情報を検索する。
S508では、推論実施部103が、検索の結果見つかった攻撃活動定義情報の事前条件が既に成立しているかを確認する。
具体的には、推論実施部103は、攻撃活動定義情報の事前条件の全てについて、合致する達成事象が達成事象データベースに登録されているかどうかを判断する。
攻撃活動定義情報の事前条件の全てが既に成立しているならば、この攻撃活動定義情報に記述されているイベントが次に観測されると予測されるイベントである。
攻撃活動予測部105が、S510において、この攻撃活動定義情報から攻撃活動状況情報を生成し、生成した攻撃活動状況情報を攻撃活動候補記憶部104に登録する。
これにより、次に観測されると予測されるイベントが記述された攻撃活動状況情報が攻撃活動候補記憶部104に登録される。
なお、攻撃活動予測部105は、具体的には、攻撃活動定義情報に、S503で更新された累積攻撃確度404の値と、S502で受信された観測イベント通知情報に記述されている変数値とを対応付けて、新たな攻撃活動状況情報を生成する。
一方、いずれかの事前条件が未成立だった場合は、S509で、攻撃活動状況情報検索部107が、事前条件を満たす達成事象が記述されている攻撃活動定義情報を検索する。
S511において、そのような攻撃活動定義情報が存在しないことが判明した場合、攻撃活動予測部105は、次に観測されるイベントの予測は行わない。
そして、再びS502にて、イベント受信部108が新たな観測イベント通知情報の到着を待つ。
一方、S511で、事前条件を満たす達成事象が記述されている攻撃活動定義情報が見つかった場合には、攻撃活動予測部105が、再びS508において、見つけた攻撃活動定義情報の事前条件が成立しているかを確認する。
このようにしてS508からS511までを繰り返すことで、図3で示したようなイベント予測が行われる。
事前条件が成立しているかどうかは、推論実施部103で判断される。
本実施の形態に係る推論実施部103では、達成事象データベース109、推論ルールデータベース110、構成情報データベース112に述語論理の形で記述された情報に基づき事前条件が成立しているか否かの判断を行う。
達成事象データベース109には、図8の符号601に示すように、達成した事象を表す述語論理が格納されている。
例えば、符号602はユーザ“alice”がホスト“host001”にログインした、という事象を示している。
構成情報データベース112も同様に情報システムの構成に関する情報が述語論理として格納される。
推論ルールデータベース110には、常に成立するような推論ルールが記録される。
推論ルールデータベース110は、図9の符号701に示すように、ゴール702と条件703の二つの列で構成されている。
ゴール702には、条件703が成立した時に何が成立するかが定義される。
ゴール702、条件703ともに述語論理を用いて定義される。
符号704、705は推論ルールデータベース110に格納される情報の例を示している。
この例では、ファイルFの読取権限を持つグループがGであり、ユーザUがグループGに属している(705)ならば、ユーザUはファイルFを読むことが可能である(704)旨を表している。
次に、図7で示した各処理について、より詳細に説明する。
はじめに図7のS503の詳細を図10〜図13に示すフローチャートを用いながら説明する。
図10〜図13の処理は攻撃活動状況情報検索部107で実行される。
先ず、攻撃活動状況情報検索部107は、受信された観測イベント通知情報で通知されている観測イベント(イベント種別、イベント発生源、イベントパラメータ)を変数Eに格納する。
次に、S803で、攻撃活動状況情報検索部107は、攻撃活動候補記憶部104に記憶されている攻撃活動状況情報の一覧を取得する。
次に、S804で、攻撃活動状況情報検索部107は、検索サブルーチン(後述)を呼び出し、観測イベントに合致する攻撃活動状況情報の検索を行う。
検索サブルーチンの検索結果は二つの集合からなる。
一つは検索によってヒットした既存の攻撃活動状況情報401であり、S804では変数Hitに格納される。
もう一つは変数Hitに含まれる攻撃活動状況情報401の複製であり、攻撃活動状況情報401に含まれる束縛済み変数情報403が、観測イベントに含まれていた内容によって更新された後のものである。
Hitに含まれている攻撃活動状況情報401は既に事前条件が成立しているため、S805において当該攻撃活動状況情報401は攻撃活動候補記憶部104から削除される。
もし、攻撃活動状況情報401中の攻撃活動定義情報402に監視設定317が定義されていた場合には、攻撃活動状況情報検索部107は、監視設定317の解除を、イベント生成設定変更部122を通じて監視コマンド設定対象の監視対象装置に送信する。
次に、S806において、攻撃活動状況情報検索部107は、攻撃活動定義情報データベース111に記憶された攻撃活動定義情報の一覧をロードする。
次に、S807において、攻撃活動状況情報検索部107は、集合CLを初期化する。
S808とS812はループを示している。
S808は、ロードされた全ての攻撃活動定義情報に対しループ内の処理が行われることを示している。
ループを回る毎に変数Dに各攻撃活動定義情報が代入される。
S809、S810では、攻撃活動状況情報検索部107は、変数Dを雛型として新たな攻撃活動状況情報を作成している。
作成した新たな攻撃活動状況情報はS811において、S807で初期化された集合CLに格納される。
S813では検索サブルーチンが呼び出され、上記のように作成された集合CL内の攻撃活動状況情報から、受信した観測イベントに合致する攻撃活動状況情報が検索される。
しかし、検索された攻撃活動状況情報の中には事前条件が満たされていないものが含まれる可能性があるため、攻撃活動状況情報検索部107は、S814において事前条件未達情報削除処理(後述)を呼出す。
そして、攻撃活動状況情報検索部107は、検索にヒットした攻撃活動状況情報から事前条件を満たしていない攻撃活動状況情報を取り除いた結果を、再び集合Ret2に代入する。
最後に、攻撃活動状況情報検索部107は、S804で得られた集合Retと、S814で得られた集合Ret2の和集合をとり、和集合を呼び出し元へ返す(S815)。
次に、図11、図12を参照しながら検索サブルーチン(図10のS804、S813)の処理について説明する。
図11、図12は、検索サブルーチンの詳細を示すフローチャートである。
図11、図12の検索サブルーチンは、図2に図示していない、攻撃活動状況情報検索部107の内部要素である検索サブルーチン実行部が行う。
初めに、検索サブルーチン実行部は、S901において、引数として受信した観測イベントE及び検索範囲の攻撃活動状況情報の集合CLを受け取る。
S902において、戻り値を格納する変数が初期化された後、S903から始まるループで集合CL内の各攻撃活動状況情報Cが観測イベントEに合致するかの確認が行われる。
ループでは、検索サブルーチン実行部は、まずS904において確認対象の攻撃活動状況情報Cを複製し、複製した攻撃活動状況情報Cを変数C’に格納する。
S905から始まるループは、ループ変数attrに、集合{“イベント発生源”、“イベント種別”}の各要素が代入されることを示している。
S906で、確認対象の攻撃活動状況情報C’内の攻撃活動定義情報で定義されているattrに対応する要素の値が定数ならば、処理はS907に分岐し、変数valに定数値が代入される。
attrに対応する要素の値が定数でなければ、処理はS909に分岐し、検索サブルーチン実行部は、この要素の値として参照されている変数が束縛済みかどうかを、確認対象の攻撃活動状況情報C’内の束縛済み変数情報を参照して確認する。
もし変数が束縛済みであれば、処理はS910に分岐し、変数valに、当該変数が束縛されている値が代入される。
もし変数がまだ束縛されていない状態であったならば、処理はS911に分岐し、検索サブルーチン実行部は、当該変数を、観測イベントEの対応する値で束縛するよう、確認対象の攻撃活動状況情報C’内の束縛済み変数情報を更新する。
S907及びS910のように、当該変数に対して既に何らかの値が割り当てられていた場合には、S908において、検索サブルーチン実行部は、その値が観測イベントEの対応する値と一致するかどうかを比較する。
もし一致しない場合(S908でNO)には、検索サブルーチン実行部は、確認対象の攻撃活動状況情報C’は観測イベントEに合致しないと判断し、S918を経て、次の攻撃活動状況情報に対する確認へと移る。
検索サブルーチン実行部が、S908において確認対象の攻撃活動状況情報C’のイベント発生源及びイベント種別が、観測イベントEのイベント発生源及びイベント種別と一致することを確認したならば(S908でYES)、処理はS913の(A)を経由して図12のS1001に移る。
図12では、確認対象の攻撃活動状況情報C’内の攻撃活動定義情報に含まれるイベントパラメータが、観測イベントEのイベントパラメータに合致するかどうかが確認される。
処理の流れはS905からS912に示した内容と殆ど同一であるが、比較対象がイベントパラメータになっている点だけが異なる。
なお、S1003やS1005などで使われている括弧(“[“、”]”)表記は、括弧の左側に位置する変数から、括弧内の変数が示すイベントパラメータを取り出す操作を意味している。
確認対象の攻撃活動状況情報C’のイベントパラメータと観測イベントEのイベントパラメータとが一致していることが確認されたならば、S1010の(B)を経て、処理が図11のS914へと戻る。
検索サブルーチン実行部が、確認対象の攻撃活動状況情報C’のイベントパラメータと観測イベントEのイベントパラメータとが一致していないことを確認した場合は、処理が、S1011の(C)を経て図11のS917へと戻る。
処理が図11のS915に到達した時点で、確認対象の攻撃活動状況情報C’は観測イベントEに合致するとみなされ、確認対象の攻撃活動状況情報C’はS915、S916において戻り値となる集合に格納される。
全ての攻撃活動状況情報に対して確認が終了したら、検索サブルーチン実行部は、S919にて戻り値集合を呼び出し元へ返し、処理を終了する。
次に、図13を参照しながら事前条件未達情報削除処理(図10のS814)について説明する。
図13は、事前条件未達情報削除処理の詳細を示すフローチャートである。
図13の事前条件未達情報削除処理は、図2に図示していない、攻撃活動状況情報検索部107の内部要素である事前条件未達情報削除処理部が行う。
事前条件未達情報削除処理部は、S1101において調査対象とする攻撃活動状況情報の集合CLを引数として呼び出される。
S1102で、戻り値となる変数が初期化された後、S1103から始まるループにより、攻撃活動状況情報の集合CL内の各攻撃活動状況情報に対し事前条件が成立しているかどうかが確認される。
S1104では、事前条件未達情報削除処理部が、確認対象である攻撃活動状況情報Cの攻撃活動定義情報から事前条件を取り出す。
そして、攻撃活動状況情報Cの束縛済み変数情報に値が登録されていれば、事前条件未達情報削除処理部は、事前条件内の変数をその値で置換する。
次に、S1105において、推論実施部103が呼出され、推論実施部103が、事前条件式が成立しているかを確認する。
事前条件が成立していなければ、処理がS1108へ分岐し、次の攻撃活動状況情報の確認に移行する。
事前条件が成立していた場合は、推論実施部103は、事前条件中の未束縛の変数に対し、具体的な値を事前条件未達情報削除処理部に返す。
そこで、S1106において、事前条件未達情報削除処理部は、未束縛の変数が推論実施部103から得られた値で束縛されるように攻撃活動状況情報Cの束縛済み変数情報を更新する。
その後、事前条件未達情報削除処理部は、S1107において、戻り値変数に攻撃活動状況情報Cを登録し、S1108を経て、次の攻撃活動状況情報の確認に移行する。
攻撃活動状況情報の集合CL内の全ての攻撃活動状況情報に対する確認が終了したら、事前条件未達情報削除処理部は、S1109において戻り値変数に格納された攻撃活動状況情報の集合を呼び出し元へ返し、処理を終了する。
次に、図7のS504、S505の処理の詳細を図14のフローチャートを参照して説明する。
図14の処理は攻撃発生判定部106で実行される。
S1201において、攻撃発生判定部106は、攻撃活動状況情報検索部107で得られた攻撃活動状況情報の集合CLを引数として呼び出される。
攻撃発生判定部106は、S1202で、攻撃が行われていると判定された攻撃活動状況情報を格納する戻り値変数Retを初期化した後、S1203から始まるループで攻撃活動状況情報の集合CL中の各攻撃活動状況情報について攻撃判定を行う。
まずS1204〜S1206にて、攻撃発生判定部106は、対象となっている攻撃活動状況情報Cの累積攻撃確度値に、攻撃活動状況情報Cの攻撃活動定義情報内で定義されている攻撃確度値を加算する。
そして、攻撃発生判定部106は、S1207で、加算結果であるgと事前に定義された攻撃判定閾値とを比較する。
加算結果gが攻撃判定閾値を超えた場合に、処理がS1208に分岐し、攻撃発生判定部106は、戻り値変数Retへ攻撃活動状況情報Cを格納する。
攻撃活動状況情報の集合CL内の全ての攻撃活動状況情報について判定が終了すると、攻撃発生判定部106は、S1210にて戻り値変数Retを呼び出し元へ返し、処理を終了する。
図14の処理により攻撃が行われていると判定された攻撃時活動状況情報は、図7のS506にてユーザに通知される。
次に、図7のS507以降の処理、すなわち次に観測されるイベントを予測する処理の詳細を図15〜図19を参照しながら説明する。
なお、S507以降の処理は、S503で得られた観測イベントに合致する攻撃活動状況情報の集合に含まれる各攻撃活動状況情報に対して個別に実施される。
まず、達成事象算出・登録部102により、達成事象が達成事象データベース109に登録される。
図15は、達成事象算出・登録部102の動作例を示すフローチャートである。
達成事象算出・登録部102は、S1301において、達成事象の更新対象である攻撃活動状況情報Cを引数として呼び出される。
達成事象算出・登録部102は、S1302で、達成事象を呼び出し元に返すための変数Retを初期化する。
そして、達成事象算出・登録部102は、S1303において、攻撃活動状況情報Cの束縛済み変数情報の内容を取り出す。
次に、達成事象算出・登録部102は、S1304で、攻撃活動状況情報C中の攻撃活動定義情報で定義されている達成事象を取り出す。
更に、達成事象算出・登録部102は、S1305にて、取り出した達成事象で参照されている各変数に、各変数が束縛されている値を代入する。
そして、達成事象算出・登録部102は、S1306にて、代入結果を戻り値変数Retに代入する。
次に、S1307において、達成事象算出・登録部102は、派生達成事象算出処理を呼び出す。
そして、派生達成事象算出処理により得られた、推論ルールを介して得られる達成事象を戻り値変数Retに付け加え、S1308において呼び出し元へ戻り値変数Retを返し、処理を終了する。
図16を参照しながら派生達成事象算出処理(図15のS1307)を説明する。
図16は、派生達成事象算出処理の詳細を示すフローチャートである。
なお、図16の派生達成事象算出処理は、図2に図示していない、達成事象算出・登録部102の内部要素である派生達成事象算出処理部が行う。
派生達成事象算出処理部は、S1401において、達成事象集合Consを引数として呼び出される。
派生達成事象算出処理部は、まず、引数として与えられた達成事象が成立する以前から、既に成立している達成事象をS1402〜S1406で求め、引数として与えられた達成事象が成立した後に成立している事象をS1407〜S1412で求め、S1402〜S1406で求めた達成事象とS1407〜S1412で求めた達成事象との差分を求める。
これにより、派生達成事象算出処理部は、引数として与えられた達成事象集合により、新たに達成された達成事象を求める。
S1402では、派生達成事象算出処理部は、既に成立している達成事象の集合を格納する変数G0を初期化する。
また、派生達成事象算出処理部は、S1403から開始されるループで、推論ルールデータベース110中の各レコードに含まれるゴールが、成立しているかを確認する(S1404)。
ゴールが既に成立していたら、処理がS1405に分岐し、派生達成事象算出処理部は、成立しているゴールの変数が全て具体値で置換された述語の集合を、変数G0に格納する。
次に、派生達成事象算出処理部は、S1407で、引数として与えられた達成事象集合を達成事象データベース109へ登録する。
これにより、推論実施部103は、新たに達成された事象を、推論に反映することが可能となる。
次に、派生達成事象算出処理部は、S1408において、達成事象登録後に得られた達成事象を格納する変数G1に、達成事象登録後に得られた達成事象を格納する。
そして、派生達成事象算出処理部は、S1409からのループで再び推論ルールデータベース110中の各レコードに含まれるゴールが、成立しているかを確認する(S1410)。
派生達成事象算出処理部は、S1411において、成立しているゴールの変数が全て具体値で置換された述語の集合を、変数G1に格納する。
最後にS1413において、派生達成事象算出処理部は、変数G1と変数G0との差分をとり、Cons登録後に成立した達成事象の述語を求め、達成事象集合Cons登録後に成立した達成事象の述語を呼び出し元に返し、処理を終了する。
図15に示す手順にて達成事象が取得された後、攻撃活動予測部105が呼び出され、次に観測される可能性のあるイベントの予測が行われる。
攻撃活動予測部105の動作を図17、図18及び図19を参照しながら説明する。
図17は、攻撃活動予測部105の処理を示すフローチャートである。
攻撃活動予測部105は、S1501において、予測対象となる攻撃活動状況情報C0と、達成事象算出・登録部102から返された達成事象集合Consを引数として呼び出される。
攻撃活動予測部105は、S1502で、予測された攻撃活動状況情報Retを初期化し、S1503で、攻撃活動定義情報データベース111内の攻撃活動定義情報を全て取り出す。
攻撃活動予測部105は、S1504から始まるループで各攻撃活動定義情報Dを取り出し、次に観測されると予測されるイベントを示す攻撃活動状況情報を生成していく。
まず、攻撃活動予測部105は、S1505で、攻撃活動定義情報Dの事前条件を取り出す。
次に、攻撃活動予測部105は、S1506で、引数として与えられた達成事象と同じ述語を使った項が、S1505で取り出した事前条件に存在するかを確認する。
もし該当する項が存在したならば、攻撃活動予測部105は、攻撃活動定義情報Dが達成事象に依存する攻撃活動定義情報であるとみなし、処理がS1507に分岐する。
攻撃活動予測部105は、S1507、S1508で、攻撃活動定義情報Dを含んだ攻撃活動状況情報Cを生成する。
また、攻撃活動予測部105は、S1509で、実行可能活動検索処理(後述)が呼び出す。
実行可能活動検索処理により、攻撃活動状況情報Cが依存している攻撃活動定義情報の中から、現在事前条件を満たしている攻撃活動定義情報が検索され、攻撃活動予測部105は、検索された攻撃活動定義情報を内包する攻撃活動状況情報の集合を得る。
攻撃活動予測部105は、S1510で、実行可能活動検索処理から得た攻撃活動状況情報の集合を戻り値変数Retに追加する。
また、攻撃活動予測部105は、S1511で、次の攻撃活動定義情報に対し同様な処理を行う。
全ての攻撃活動定義情報についてループが終了すると、S1512において、攻撃活動予測部105は、戻り値変数Retに登録された各攻撃活動状況情報の累積攻撃確度値に、引数C0に格納されている累積攻撃確度値を代入する。
そして、攻撃活動予測部105は、S1513にて、戻り値変数Retを呼び出し元へ返し、処理を終了する。
次に、図18及び図19を参照しながら実行可能活動検索処理(図17のS1509)の詳細を説明する。
図18及び図19は実行可能活動検索処理の内容を示すフローチャートである。
なお、図18及び図19の実行可能活動検索処理は、図2に図示していない、攻撃活動予測部105の内部要素である実行可能活動検索処理部が行う。
実行可能活動検索処理部はS1601において、攻撃活動定義情報を探索する起点となる攻撃活動状況情報Cを引数として開始される。
実行可能活動検索処理部は、S1602で戻り値変数を初期化した後、S1603で、攻撃活動状況情報Cの事前条件を取り出す。
次に、実行可能活動検索処理部は、攻撃活動状況情報Cの事前条件の各変数を攻撃活動状況情報Cの束縛済み変数情報に記載された情報で置換し、変数が置換された後の事前条件が成立しているかどうか推論実施部103を用いて確認する(S1604)。
もし既に事前条件が成立しているならば、処理がS1605に分岐し、実行可能活動検索処理部は、事前条件中で束縛されていない変数の具体値(推論実施部103が返す具体値)を、攻撃活動状況情報Cの束縛済み変数情報に記録する。
そして、実行可能活動検索処理部は、攻撃活動状況情報Cを戻り値変数Retに格納し、S1616で、戻り値変数Retが呼び出し元へ返され、実行可能活動検索処理部の処理が終了する。
S1604において事前条件が未成立だった場合(S1604でNO)は、端子(D)により、処理がS1607へと分岐する。
S1607から始まるループでは、攻撃活動状況情報Cの事前条件(変数は束縛済み)に含まれる各項がそれぞれ達成事象データベース109内の達成事象により成立可能かどうかを推論実施部103でテストし、達成事象データベース109内の達成事象で成立しない項tに対して処理が行われる。
S1608では、実行可能活動検索処理部は、攻撃活動定義情報データベース111を検索し、項tを達成事象として含み得る攻撃活動定義情報D2の集合を取得する。
次に、実行可能活動検索処理部は、S1609から始まるループの中で、取得した各攻撃活動定義情報D2に対し、S1610、S1611で攻撃活動定義情報D2を内包する攻撃活動状況情報を作成する。
さらに、実行可能活動検索処理部は、S1612において、攻撃活動状況情報C2の達成事象のうち、tで示される項の既に束縛済みの変数を、攻撃活動状況情報C2の束縛済み変数情報へ登録する。
こうして得られた攻撃活動状況情報C2を引数として、実行可能活動検索処理部は、S1613にて実行可能活動検索処理部自身を再帰的に呼出す。
そして、実行可能活動検索処理部は、得られた結果を戻り値変数Retに追加し、S1614にて、ループの先頭へ戻り、次の攻撃活動定義情報について同様な処理を行う。
最終的に全ての項tに対して処理を終了した時点で、S1616が実行され、戻り値変数Retが呼び出し元に返され、実行可能活動検索処理部の処理が終了する。
以上の処理によって抽出された攻撃活動状況情報は攻撃活動候補記憶部104に登録される。
もし、抽出された攻撃活動状況情報の中に、監視設定317を含む攻撃活動状況情報が存在する場合には、イベント生成設定変更部122により、監視設定317の起動確度323よりも攻撃活動状況情報の累積攻撃確度値が上回っているかが確認される。
攻撃活動状況情報の累積攻撃確度値が起動確度323を上回っている場合は、イベント生成設定変更部122は、監視対象装置319の内容に従って監視対象装置を選択し、監視設定のコマンド318及びコマンドパラメータ320の内容を、選択した監視対象装置に送信する。
累積攻撃確度値が、起動確度323以下の場合には、当該攻撃活動状況情報は、攻撃活動候補記憶部104への登録も行われない。
以上のように、本実施の形態に係る攻撃検知装置は、事前条件、達成事象を述語論理で定義した攻撃活動定義情報を用い、イベント観測時に、観測されたイベントに対応する攻撃活動定義情報を攻撃活動定義情報データベースから検索する攻撃活動状況情報検索部と、検索結果から得られた攻撃活動定義情報内の事前条件、達成事象から、推論実施部を使って次に観測されるイベントの候補を予測する攻撃活動予測部とを有する。
そして、攻撃活動状況情報検索部及び攻撃活動予測部により、事前に全ての攻撃シナリオを定義することなく、複数のステップを経て実施される攻撃を検知できるという効果がある。
また、新たな監視対象装置を追加したり、新たな攻撃手法が明らかになったりした場合でも、攻撃活動定義情報編集部が、対応する攻撃活動定義情報を追加するだけで監視対象装置の追加及び新たな攻撃手法に対応可能である、という効果がある。
また、本実施の形態では、攻撃活動定義情報に監視設定を定義し、攻撃活動が予測された場合にのみイベント生成設定変更部を通じて監視対象装置を必要な設定に変更して監視を行う。
このため、常時実施するには高コストな監視を、必要な時に限って実施することができる、という効果がある。
また、本実施の形態では、推論を実施する際に、推論ルールデータベースも参照するため、達成事象算出・登録部は、達成事象から推論の結果得られる達成事象も得ることができる。
このため、各攻撃活動定義情報には最低限の達成事象のみを記述するだけでよい、という効果がある。
また、本実施の形態では、構成情報データベースに、監視対象の情報システムの構成を表す述語論理を格納し、推論の際に推論実施部が構成情報データベースを参照する。
このため、イベント上には現れない情報システムの構成に関する情報も考慮した事前条件を記述できる、という効果がある。
また、本実施の形態では、攻撃活動定義情報に攻撃確度値が定義され、また攻撃活動状況情報内で累積の攻撃確度値が管理され、累積の攻撃確度値が攻撃判定閾値を超えた場合に攻撃が発生した旨が通知される。
このため、攻撃者の挙動に近い一連のイベントが発生した場合のみユーザに攻撃の発生を通知することが可能となり、誤検知を低減できるという効果がある。
また、本実施の形態では、構成情報・推論ルール編集部により、構成情報データベース及び推論ルールデータベースをユーザが編集できるという効果がある。
また、表示部により、攻撃の発生をユーザに通知できるという効果がある。
なお、本実施の形態では攻撃検知装置内に構成されている各部、データベースを、ネットワーク等で接続した別装置上に実装することも、もちろん可能である。
以上、本実施の形態では、
事前条件、達成事象、イベント内容を含んだ攻撃活動定義情報と、
攻撃活動定義情報を格納する攻撃活動定義情報データベースと、
発生したイベントに対応する攻撃活動定義情報を検索し、検索した攻撃活動定義情報の達成事象に依存する攻撃活動定義情報を検索し、検索した攻撃活動定義情報から、次に発生するイベントを予測する攻撃活動予測部とを説明した。
また、本実施の形態では、攻撃活動定義情報には、攻撃活動が予測された場合にのみ攻撃設定を変更できるよう、監視設定という項目が含まれており、イベント生成設定変更部が、攻撃活動定義情報に含まれる監視設定に従い、監視対象装置に設定変更を要求することを説明した。
また、本実施の形態では、攻撃活動定義情報には、累積の攻撃確度値の増分を定義する攻撃確度値が含まれ、攻撃発生判定部が、予測に沿ったイベントが発生するごとに、累積の攻撃確度値を増加させていき、累積の攻撃確度値が、ある閾値を超えた時点でユーザに攻撃の発生を通知することを説明した。
また、本実施の形態では、監視対象の情報システムの構成を表す情報を格納した構成情報データベースと、常に成立する推論ルールを定義した推論ルールデータベースを説明した。
また、本実施の形態では、事前条件、達成事象、推論ルール、構成情報、監視設定に述語論理を使用することを説明した。
実施の形態2.
以上の実施の形態1では、イベントが発生しても、そのイベントの事前条件が成立しない限り、発生したイベントは無視される(図13のS1105でNOの場合)。
つまり、実施の形態1では、図3に示すイベント220が発生した際に、攻撃活動定義情報205に記述されている事前条件が成立していないと、イベント220の次に発生するイベントを予測する処理は行われない。
本実施の形態では、発生したイベントの攻撃活動定義情報205に記述されている事前条件が不成立であっても、次に発生するイベントを予測する処理を実施する例を説明する。
本実施の形態では、図21に示すように、攻撃活動定義情報の事前条件に、条件成立を必須とするかどうかを定義する真偽値情報(成立必須フラグ2116とフラグ値2117)を付加する。
成立必須フラグ2116のフラグ値2117がTrueであれば、事前条件が不成立の場合は、次に発生するイベントを予測する処理は行われない。
成立必須フラグ2116のフラグ値2117がFalseであれば、事前条件が不成立の場合でも、次に発生するイベントを予測する処理は行われる。
つまり、Falseのフラグ値2117は、事前条件(イベント前段階)が不成立であっても観測予測イベントを抽出する処理を実施する旨を示す識別子であり、処理実施識別子の例に相当する。
図21の攻撃活動定義情報の要素のうち、成立必須フラグ2116とフラグ値2117以外の要素は、図4に示したものと同様であり、説明を省略する。
また、本実施の形態に係るシステム構成は図1に示すものと同様であり、また、本実施の形態に係る攻撃検知装置101の構成例は図2に示すものと同様である。
以下では、主に実施の形態1との違いを説明する。
以下で説明していない事項は、実施の形態1と同様である。
図22は、本実施の形態に係る事前条件未達情報削除処理部(攻撃活動状況情報検索部107の内部要素)の処理を示すフローチャートである。
図22のフローは、実施の形態1で説明した図13のフローの代わりに行われる。
事前条件未達情報削除処理部は、成立必須フラグ2116のフラグ値2117がFalseの場合は、事前条件が不成立であっても、観測イベント通知情報で通知されたイベントを図13で説明した変数Retに格納する。
具体的な処理は、図22を参照しながら以下に説明する。
S2201からS2205までの処理は、図13のS1101からS1105までの処理と同じである。
S2205でNOに分岐した場合、すなわち、観測イベント通知情報で通知されたイベントの攻撃活動定義2101に記述されている事前条件2103が不成立の場合に、事前条件未達情報削除処理部は、成立必須フラグ2116のフラグ値2117を参照する(S2210)。
フラグ値2117がTrueであった場合には、事前条件未達情報削除処理部の処理は、S2208へと分岐し、実施の形態1と同様に、観測イベント通知情報で通知されたイベントは無視され、観測予測イベントを抽出する処理が行われない。
フラグ値2117がFalseであった場合には、処理はS2211へと分岐する。
S2211では、事前条件未達情報削除処理部は、S2204において変数が束縛値に置換された事前条件式の各項のうち、未束縛の変数を含まない項を達成事象データベースに登録し、S2207へと進む。
その後、S504以降の処理が行われ(図21は、図7のS503の詳細を示す図10のS814の詳細を示すため)、実施の形態1で示した手順にて、観測予測イベントを抽出する処理が行われる。
このように、事前条件未達情報削除処理部は、事前条件は成立していないが、イベントが発生した背景に事前条件を満たすような活動が行われたと推定して、処理を行う。
以上のように、本実施の形態によれば、事前条件が未達成の状態で発生したイベントに対して、その事前条件のうちの未束縛の変数を含まない項を達成事象データベースに登録することができる。
このため、その後の攻撃活動予測において、従来は予測されなかったイベントの発生も予測することができるという効果がある。
また、本実施の形態では、成立必須フラグのフラグ値がFalseの場合のみ上記処理を行うので、事前条件が満たされていない全てのイベントの事前条件を達成事象データベースに登録する必要がない効果がある。
実施の形態3.
以上の実施の形態1及び2では、監視対象装置から観測イベント通知情報で通知されたイベントに基づいて将来のイベントを予測していた。
本実施の形態では、監視対象装置からの観測イベント通知情報で通知されなかったイベントを含む、監視対象装置での観測された全てのイベントを用いて、事前条件の成立有無を判断する例を説明する。
図23は、本実施の形態に係るシステム構成例を示す。
本実施の形態では、攻撃検知装置101に接続する監視対象装置2303と監視対象装置2308の構成が、実施の形態1と異なる。
攻撃検知装置101の内部構成例は、図2に示す通りである。
以下では、主に実施の形態1及び実施の形態2との違いを説明する。
以下で説明していない事項は、実施の形態1又は実施の形態2と同様である。
監視対象装置2303と監視対象装置2308において、イベント送信部2304、2309は、図1に示すイベント送信部117、120と同じである。
また、イベント生成部2305、2310も、図1に示すイベント生成部118、121と同じである。
但し、イベント生成部118、121は、観測された全てのイベントを観測イベント通知情報で攻撃検知装置101に通知していたが、イベント生成部2305、2310は、観測されたイベントのうち特定のイベントのみを観測イベント通知情報で攻撃検知装置101に通知する。
観測イベント通知情報で通知するイベントは、攻撃検知装置101のイベント生成設定変更部122が設定する。
例えば、監視に要するコストが一定レベル以下のイベントのみを観測イベント通知情報で通知するように設定することが考えられる。
前述したように、実施の形態1では、例えば、図3に示すイベント220が発生した際に、攻撃活動定義情報205に記述されている事前条件が成立していないと、イベント220の次に発生するイベントを予測する処理は行われず、また、攻撃確度値の累算も行われない。
攻撃検知装置101は、イベント220よりも以前に観測イベント通知情報で通知されているイベントに基づいて、攻撃活動定義情報205に記述されている事前条件が成立しているか否かの判定を行う。
すなわち、攻撃検知装置101は、通知されていないイベント(例えば高コストのイベント)によってイベント220の事前条件が成立している場合であっても、イベント220の事前条件は成立していないと判定し、また、攻撃確度値の累算も行わない。
しかしながら、通知されていないイベント(例えば高コストのイベント)によってイベント220の事前条件が成立している場合は、実際に攻撃活動が進行しているので、イベント220が含まれる攻撃活動に高い累積攻撃確度値が与えられるべきである。
このように、実際は攻撃活動が進行していても、観測イベント通知情報でイベントが通知されていないと、攻撃活動の検知が行われない場合や、攻撃活動の検知が遅れてしまう場合がある。
本実施の形態では、入力蓄積部2306、2311が、観測イベント通知情報で通知されなかったイベントを含む監視対象装置2303、2308でのイベントを導出可能なイベント導出情報を蓄積している。
そして、過去入力検索部2307、2312が、入力蓄積部2306、2311に蓄積されているイベント導出情報を検索する。
入力蓄積部2306、2308には、イベント導出情報として、イベントの元になる監視対象装置2303、2308への入力情報が蓄積される。
例えば、IDS(Intrusion Detection System)のようにパケットを監視して、攻撃を見つけるような監視対象装置の場合は、入力蓄積部2306、2308には、パケットが蓄積される。
同様に、サーバ等で発生するログを監視して、攻撃を見つけるような監視対象装置の場合は、入力蓄積部2306、2308には、ログが蓄積される。
本実施の形態では、蓄積されたパケットや、ログを(コストの関係でリアルタイムでは行えない方法で)再調査することにより、埋もれていたイベントを見つけられるようにしている。
本実施の形態に係る攻撃検知装置101では、攻撃活動状況情報検索部107の内部要素である事前条件未達情報削除処理部が、過去入力検索部2307、2312を用いて、入力蓄積部2306、2311のイベント導出情報を解析する。
つまり、事前条件未達情報削除処理部は、入力蓄積部2306、2311のイベント導出情報を解析して、観測イベント通知情報で通知されていないイベントを含むいずれかのイベントによって図3のイベント220の事前条件が成立しているか否かを判定する。
そして、図3のイベント220の事前条件が成立している場合に、事前条件未達情報削除処理部は、更に、入力蓄積部2306、2311のイベント導出情報を時間的に遡って、依存関係にあるイベントを検出する。
そして、事前条件未達情報削除処理部は、検出したイベント列の先頭から順次イベント220まで攻撃確度値を累算する。
例えば、図30に示すように、イベント220の攻撃活動定義情報205の事前条件がイベント231の攻撃活動定義情報241の達成事象に記述さているとする。
また、イベント231の攻撃活動定義情報241の事前条件がイベント232の攻撃活動定義情報242の達成事象に記述さているとする。
同様に、イベント232の攻撃活動定義情報242の事前条件がイベント233の攻撃活動定義情報243の達成事象に記述さているとする。
事前条件未達情報削除処理部は、イベント220から遡って、順に、イベント231、イベント232、イベント233というイベント列を検出する。
更に、事前条件未達情報削除処理部は、イベント233、イベント232、イベント231、イベント220の攻撃確度値を累算する。
そして、攻撃発生判定部106が、攻撃確度値の累算値が閾値を超えている場合に、表示部115を通じて、ユーザに攻撃の発生を通知する(図7のS506)。
図24を用いて、本実施の形態に係る事前条件未達情報削除処理部の動作を説明する。
S2401からS2405までは、図13のS1101からS1105までと同じである。
S2405において、事前条件式が成立していなかった場合は、事前条件未達情報削除処理部は、S2410にて攻撃活動状況情報Cに対する過去イベント検索処理を呼び出し、過去イベント検索処理の結果を変数Rに格納する。
図26と図27を用いて過去イベント検索処理について説明する。
S2601に示す通り、過去イベント検索処理は検索対象とする攻撃活動状況情報Cを引数として呼び出される。
次に、S2602で、攻撃活動状況情報Cの事前条件を構成している各項の中で、未成立の項の集合が変数TSに代入される。
S2603で、添え字変数i及び戻り値を格納する変数CSが初期化される。
S2604で、変数ADBに攻撃活動定義情報データベースに記憶された攻撃活動定義情報一覧が代入される。
ループS2605〜S2616では、変数TS中の項が順番に取り出されて変数tに代入されて、処理が行われる。
S2606では、変数evsが空の配列で、また変数effectsが空の集合で初期化される。
ループS2607〜S2613では、変数ADB中の攻撃活動定義情報が順番に取り出され、変数eに代入され、処理が行われる。
S2608では、現在の監視対象装置の設定で変数eの値が検知可能かどうかが確認される。
既に変数eの値が検知可能な状態であった場合、処理がYESに分岐し、S2613を経てループの先頭S2607に処理が戻り、変数eの次の値に対して処理が継続される。
S2608で処理がNOに分岐すると、次にS2609において、変数eの達成事象が変数tで表される項にマッチ可能かが確認される。
変数eの達成事象が変数tで表される項にマッチしない場合は、S2609から処理がNOに分岐し、S2613を経てループの先頭S2607に処理が戻り、変数eの次の値に対して処理が継続される。
S2609で処理がYESに分岐すると、次にS2610で変数eの達成事象で使用されている変数が、変数t中の値で束縛される。
次に、S2611で、変数eにマッチするイベントが過去に発生していないかの検索が行われる。
この検索は以下にて実施される。
変数e中のイベントの中で使用されている変数のうち、S2610で束縛された変数を束縛値で置換し、置換後のイベントを監視対象装置上の過去入力検索部に入力して過去入力検索部を呼び出す。
そして、過去入力検索部が入力蓄積部に蓄積されている情報を検索する。
検索の結果該当するイベントが検出された場合に、検出されたイベントの内容を反映した攻撃活動状況情報が作成され、作成された攻撃活動状況情報が変数Cpに代入される。
変数Cpに代入される攻撃活動状況情報の攻撃活動定義情報は、変数eで表される攻撃活動定義情報と同じである。
変数eで表される攻撃活動定義情報中のイベントの記述に使用されている変数は、検索されたイベントの内容で束縛される。
検索の結果、変数Cpが見つかった場合、つまり、変数eにマッチするイベントが見つかった場合に、S2612で処理がYESに分岐し、端子(I)を経て図27のS2701に処理が移る。
S2612で処理がNOに分岐した場合は、S2613を経てループの先頭S2607に処理が戻り、変数eの次の値に対して処理が行われる。
図27のS2701では、変数Cpの事前条件が満たされているかが確認される。
変数Cpの事前条件が満たされていた場合は、処理がYESに分岐し、S2702にて、変数Cpを唯一の要素として持つ配列が作成され、作成された配列が変数evsに代入される。
その後、S2703にて、変数effectsに変数Cpの達成事象が追加され、端子(K)へと処理が遷移する。
S2701で処理がNOに分岐すると、S2704で、変数Cpを引数として過去イベント検索処理が再帰的に呼び出される。
過去イベント検索処理の結果は変数Esに格納される。
変数Esは、攻撃活動状況情報のツリーの配列である。
S2705にて変数EsがNULLであった場合、処理がYESに分岐し、S2706にて変数Cpの成立必須フラグがFalseかどうかが確認される。
変数Cpの成立必須フラグがFalseであった場合、処理がYESに分岐し、端子(J)を経て処理がS2614に進む。
S2706で処理がNOに分岐した場合は、S2707において変数effectsに変数Cpの事前条件の各項のうち、未束縛の変数を含まない項が追加される。
その後、S2708にて変数effectsに変数Cpの達成事象が追加され、端子(J)へと処理が遷移する。
S2705で処理がNOに分岐した場合は、S2709で、変数Cpの累積攻撃確度値が、変数Es中の全ての配列中の各ツリーの根ノードの攻撃活動状況情報の累積攻撃確度値と、各ツリーの根ノードの攻撃確度値を足し合わせた値に更新される。
その後、S2710で、変数Cpを根ノードとし、変数Esの各要素(要素の一つ一つが木構造のデータとなっている)を子ノードとするツリーが作成され、作成されたツリーが変数evsに代入される。
その後、S2711で、変数effectsに、変数Cpの達成事象が追加され、端子(J)へと処理が遷移する。
端子(J)から、あるいはループS2607〜S2613の終了により、図26のS2614が実行され、変数evsが空かどうか検査される。
変数evsが空だった場合は、処理がYESに分岐し、S2618で、呼び出し元にnullが返され、処理が終了する。
S2614で処理がNOに分岐した場合は、変数CSのi番目の要素として変数evsの値が格納され、iに1が加算される。
その後、S2616を経て処理がループS2605に戻り、変数tの次の値について処理が行われる。
全ての変数tについて処理が完了したら、S2617で、変数CSと変数effectsが呼び出し元に返され、処理が終了する。
再び図24に戻り、S2410以降の処理について説明する。
S2410で返された結果がnullであった場合は、S2411から処理がYESに分岐し、処理がS2412に進む。
以降の動作は実施の形態2と同様である。
S2411から処理がNOに分岐した場合は、端子(H)を経て図25のS2501に処理が進む。
S2501では、変数Rに格納されている攻撃活動状況情報と達成事象集合がそれぞれ変数Es及び変数effectsに代入される。
次に、S2502において、変数Cの累積攻撃確度値が、変数Es中の全ての配列中の各ツリーの根ノードの攻撃活動状況情報の累積攻撃確度値と各ツリーの根ノードの攻撃確度値を足し合わせた値に更新される。
その後、S2503にて、変数Es内の全攻撃活動状況情報が変数Retに追加され、さらに、S2504にて、変数effectsに格納された達成事象が達成事象データベースへ登録される。
その後端子(G)を経て処理がS2407に戻る。
以上のように、本実施の形態では、事前条件が未達成の状態で発生したイベントに対し、当該イベントの事前条件を満たすようなイベントが発生していないか、監視対象装置に蓄積された情報を検索して確認する。
このため、実施の形態1及び実施の形態2では、本来はより高い累積攻撃確度値が与えられるべき一連の攻撃活動が、実際よりも低い累積攻撃確度値になってしまい、攻撃活動の検知から漏れるあるいは検知が遅れるという課題を解決できるという効果がある。
実施の形態4.
実施の形態1〜3では、攻撃活動定義情報中の攻撃確度値は、攻撃活動定義情報の作成者が定義する必要があった。
次に、本実施の形態では、平常時のイベントの発生頻度から攻撃確度値を自動決定する例を説明する。
本実施の形態のシステム構成例を図28に示す。
図28において、攻撃検知装置2801は、実施の形態1で示した攻撃検知装置101に攻撃確度値決定部2802及びモード切り換え部2803を追加した構成となっている。
つまり、本実施の形態に係る攻撃検知装置2801は、図2に示す構成に、攻撃確度値決定部2802及びモード切り換え部2803を追加した構成となっている。
攻撃確度値決定部2802は、攻撃活動定義情報に記述される攻撃確度値を、観測イベント通知情報の受信頻度に基づき決定する。
モード切り換え部2803は、攻撃検知装置2801の動作モードを切り換える。
監視対象装置116、119は、実施の形態1で示したものと同じである。
以下では、主に実施の形態1との違いを説明する。
以下で説明していない事項は、実施の形態1と同様である。
本実施の形態に係る攻撃活動定義情報の攻撃確度値を決定する動作を説明する。
はじめに管理者は攻撃検知装置2801のモード切り換え部2803を通じて攻撃検知装置2801の動作モードを通常運用モードから攻撃確度値決定モードに切り換える。
この攻撃確度値決定モードでは、監視対象装置116、119からの観測イベント通知情報は攻撃確度値決定部2802に送られる。
観測イベント通知情報を受け取った攻撃確度値決定部2802は、実施の形態1に記載の検索サブルーチン(図10のS804、S813)を呼び出し、該当する攻撃活動定義情報の集合を取得する。
また、攻撃確度値決定部2802は、攻撃活動定義情報ごとにカウンタを管理しており(初期値は0)、攻撃確度値決定モード中に観測イベント通知情報を受信するごとに、該当する攻撃活動定義情報に対応するカウンタの値を1増加させる。
一定時間経過後、管理者が再びモード切り換え部2803を操作して攻撃検知装置2801の動作モードを攻撃確度値決定モードから通常運用モードに切り換える。
攻撃確度値決定部2802は、通常運用モードへの切り換えまでに計数された各攻撃活動定義情報のカウンタ値を基に、各攻撃活動定義情報の攻撃確度値を決定する。
攻撃確度値は、例えば次のような算出式により決定することができる。
攻撃確度値=1/(カウンタ値+1)
このように、本実施の形態では、攻撃検知装置2801に、攻撃確度値決定部2802及びモード切り換え部2803を設けている。
本実施の形態によれば、攻撃確度値の決定を自動化することができる、という効果がある。
なお、攻撃確度値の算出式は、上記の式に限定されるものではない。
また、観測イベント通知情報の受信時に増加させるカウンタ値も1に限定されるものではない。
実施の形態5.
実施の形態1では、構成情報は、構成情報・推論ルール編集部113を通じて、管理者が入力する必要があった。
次に、本実施の形態では、ネットワーク上に接続されているアカウント管理サーバ装置や構成管理データベースから構成情報を自動で入手できる構成を説明する。
図29は、本実施の形態におけるシステム構成例を示す図である。
本実施の形態における攻撃検知装置2901は、実施の形態1で示した攻撃検知装置101に構成情報収集部2902を追加した構成となっている。
つまり、本実施の形態に係る攻撃検知装置2901は、図2に示す構成に、構成情報収集部2902を追加した構成となっている。
構成情報収集部2902は、情報システムに含まれる構成管理データベース2906及びアカウント管理サーバ装置2907から構成情報を収集する。
監視対象装置116、119は、実施の形態1で示したものと同じである。
構成管理データベース2906は、ネットワーク123上の機器の製品名やバージョン、IPアドレス、ホスト名等を管理するデータベースである。
また、アカウント管理サーバ装置2907は、ネットワーク123を利用しているユーザのアカウント情報を管理するサーバである。
本実施の形態において、攻撃検知装置2901では、初期化時あるいは定期的に、構成情報収集部2902が、構成管理データベース2906にアクセスし、ネットワーク123上で稼働している機器の種別やIPアドレス等を収集し、収集した情報を述語論理による表現に変換する。
そして、構成情報収集部2902は、述語論理表現に変換後の収集情報(構成情報)を構成情報データベース112に格納する。
同様に、構成情報収集部2902は、初期化時あるいは定期的にアカウント管理サーバ装置2907にもアクセスし、ユーザ名やグループの情報を収集し、収集した情報を述語論理による表現に変換する。
そして、構成情報収集部2902は、述語論理表現に変換後の収集情報(構成情報)を構成情報データベース112に格納する。
このように、本実施の形態によれば、構成情報収集部2902が構成管理データベース2906やアカウント管理サーバ装置2907から構成情報を自動的に収集するため、構成情報データベース112を手動で編集する必要が無くなるという効果がある。
最後に、実施の形態1〜5に示した攻撃検知装置101のハードウェア構成例を図20を参照して説明する。
攻撃検知装置101はコンピュータであり、攻撃検知装置101の各要素をプログラムで実現することができる。
攻撃検知装置101のハードウェア構成としては、バスに、演算装置901、外部記憶装置902、主記憶装置903、通信装置904、入出力装置905が接続されている。
演算装置901は、プログラムを実行するCPU(Central Processing Unit)である。
外部記憶装置902は、例えばROM(Read Only Memory)やフラッシュメモリ、ハードディスク装置である。
主記憶装置903は、RAM(Random Access Memory)である。
通信装置904は、イベント受信部108の物理層に対応する。
入出力装置905は、例えばマウス、キーボード、ディスプレイ装置等である。
プログラムは、通常は外部記憶装置902に記憶されており、主記憶装置903にロードされた状態で、順次演算装置901に読み込まれ、実行される。
プログラムは、図2等に示す「〜部」(攻撃活動候補記憶部104を除く、以下も同様)として説明している機能を実現するプログラムである。
更に、外部記憶装置902にはオペレーティングシステム(OS)も記憶されており、OSの少なくとも一部が主記憶装置903にロードされ、演算装置901はOSを実行しながら、図2等に示す「〜部」の機能を実現するプログラムを実行する。
また、実施の形態1〜5の説明において、「〜の判断」、「〜の判定」、「〜の抽出」、「〜の検知」、「〜の設定」、「〜の登録」、「〜の予測」、「〜の選択」、「〜の生成」、「〜の入力」、「〜の出力」等として説明している処理の結果を示す情報やデータや信号値や変数値が主記憶装置903にファイルとして記憶されている。
また、暗号鍵・復号鍵や乱数値やパラメータが、主記憶装置903にファイルとして記憶されてもよい。
なお、図20の構成は、あくまでも攻撃検知装置101のハードウェア構成の一例を示すものであり、攻撃検知装置101のハードウェア構成は図20に記載の構成に限らず、他の構成であってもよい。
また、実施の形態1〜5に示した監視対象装置も、図20のハードウェア構成をしていてもよいし、他のハードウェア構成であってもよい。
また、実施の形態1〜5に示す手順により、本発明に係る情報処理方法を実現可能である。
101 攻撃検知装置、102 達成事象算出・登録部、103 推論実施部、104 攻撃活動候補記憶部、105 攻撃活動予測部、106 攻撃発生判定部、107 攻撃活動状況情報検索部、108 イベント受信部、109 達成事象データベース、110 推論ルールデータベース、111 攻撃活動定義情報データベース、112 構成情報データベース、113 構成情報・推論ルール編集部、114 攻撃活動定義情報編集部、115 表示部、116 監視対象装置、117 イベント送信部、118 イベント生成部、119 監視対象装置、120 イベント送信部、121 イベント生成部、122 イベント生成設定変更部、123 ネットワーク、2303 監視対象装置、2304 イベント送信部、2305 イベント生成部、2306 入力蓄積部、2307 過去入力検索部、2308 監視対象装置、2309 イベント送信部、2310 イベント生成部、2311 入力蓄積部、2312 過去入力検索部、2801 攻撃検知装置、2802 攻撃確度値決定部、2803 モード切り換え部、2901 攻撃検知装置、2902 構成情報収集部、2906 構成管理データベース、2907 アカウント管理サーバ装置。
事前条件303には、攻撃発生時にイベント304が発生するための前提条件が述語論理の形式で記述されている。
つまり、事前条件303には、イベント304が観測される前の攻撃の進展段階(イベント前段階)が記述されている。
例えば図4の符号310で示す述語論理は、事前条件として、「AがHにログインしている」段階であることを表している。
なお、符号310で示されるA、Hは変数であり、観測イベントから得られた値などによって具体的な値(例えば“user001”等)に束縛される。
実行可能活動検索処理はS1601において、攻撃活動定義情報を探索する起点となる攻撃活動状況情報Cを引数として開始される。
S2201からS2205までの処理は、図13のS1101からS1105までの処理と同じである。
S2205でNOに分岐した場合、すなわち、観測イベント通知情報で通知されたイベントの攻撃活動定義2101に記述されている事前条件2103が不成立の場合に、事前条件未達情報削除処理部は、成立必須フラグ2116のフラグ値2117を参照する(S2210)。
フラグ値2117がTrueであった場合には、事前条件未達情報削除処理部の処理は、S2208へと分岐し、実施の形態1と同様に、観測イベント通知情報で通知されたイベントは無視され、観測予測イベントを抽出する処理が行われない。
フラグ値2117がFalseであった場合には、処理はS2211へと分岐する。
S2211では、事前条件未達情報削除処理部は、S2204において変数が束縛値に置換された事前条件式の各項のうち、未束縛の変数を含まない項を達成事象データベースに登録し、S2207へと進む。
その後、S504以降の処理が行われ(図22は、図7のS503の詳細を示す図10のS814の詳細を示すため)、実施の形態1で示した手順にて、観測予測イベントを抽出する処理が行われる。
本実施の形態では、入力蓄積部2306、2311が、観測イベント通知情報で通知されなかったイベントを含む監視対象装置2303、2308でのイベントを導出可能なイベント導出情報を蓄積している。
そして、過去入力検索部2307、2312が、入力蓄積部2306、2311に蓄積されているイベント導出情報を検索する。
入力蓄積部2306、2311には、イベント導出情報として、イベントの元になる監視対象装置2303、2308への入力情報が蓄積される。
例えば、IDS(Intrusion Detection System)のようにパケットを監視して、攻撃を見つけるような監視対象装置の場合は、入力蓄積部2306、2311には、パケットが蓄積される。
同様に、サーバ等で発生するログを監視して、攻撃を見つけるような監視対象装置の場合は、入力蓄積部2306、2311には、ログが蓄積される。
本実施の形態では、蓄積されたパケットや、ログを(コストの関係でリアルタイムでは行えない方法で)再調査することにより、埋もれていたイベントを見つけられるようにしている。

Claims (18)

  1. 情報システムに対する攻撃が行われる過程において前記情報システムで観測されるイベントと、前記イベントが観測される前の攻撃の進展段階であるイベント前段階と、前記イベントが観測された後の攻撃の進展段階であるイベント後段階とが記述されるイベント段階情報を、複数のイベントに対して記憶するイベント段階情報記憶部と、
    前記情報システムで観測された観測イベントを通知する観測イベント通知情報を受信する観測イベント通知情報受信部と、
    前記観測イベント通知情報で通知されている観測イベントが記述されているイベント段階情報を前記イベント段階情報記憶部から検索し、検索したイベント段階情報から前記観測イベントのイベント後段階を取得し、取得した前記観測イベントのイベント後段階に合致するイベント前段階が記述されているイベント段階情報を前記イベント段階情報記憶部から検索し、検索したイベント段階情報に基づき、前記情報システムで今後観測されると予測されるイベントを観測予測イベントとして抽出する観測予測イベント抽出部とを有することを特徴とする情報処理装置。
  2. 前記情報処理装置は、更に、
    前記観測イベント通知情報受信部により観測イベント通知情報が受信され、前記観測予測イベント抽出部により観測イベントのイベント後段階が取得される度に、取得されたイベント後段階を記憶する段階記憶部を有し、
    前記イベント段階情報記憶部は、
    1つ以上のイベント前段階が記述されているイベント段階情報を記憶しており、
    前記観測予測イベント抽出部は、
    前記観測イベントのイベント後段階に基づいて検索したイベント段階情報に記述されているイベント前段階と前記段階記憶部に記憶されているイベント後段階とを比較し、検索したイベント段階情報に記述されている全てのイベント前段階に合致するイベント後段階が前記段階記憶部に記憶されている場合に、検索したイベント段階情報に記述されているイベントを、前記観測予測イベントとして抽出することを特徴とする請求項1に記載の情報処理装置。
  3. 前記観測予測イベント抽出部は、
    前記観測イベントのイベント後段階に基づいて検索したイベント段階情報に記述されているイベント前段階と前記段階記憶部に記憶されているイベント後段階とを比較した結果、検索したイベント段階情報に記述されている少なくとも1つのイベント前段階に対して、合致するイベント後段階が前記段階記憶部に記憶されていない場合に、
    合致するイベント後段階が前記段階記憶部に記憶されていないイベント前段階に合致するイベント後段階が記述されているイベント段階情報を検索し、
    検索したイベント段階情報に記述されているイベント前段階と前記段階記憶部に記憶されているイベント後段階とを比較し、
    検索したイベント段階情報に記述されている全てのイベント前段階に合致するイベント後段階が前記段階記憶部に記憶されている場合に、検索したイベント段階情報に記述されているイベントを、前記観測予測イベントとして抽出し、
    検索したイベント段階情報に記述されている少なくとも1つのイベント前段階に対して、合致するイベント後段階が前記段階記憶部に記憶されていない場合に、合致するイベント後段階が前記段階記憶部に記憶されていないイベント前段階に合致するイベント後段階が記述されているイベント段階情報を検索することを特徴とする請求項2に記載の情報処理装置。
  4. 前記イベント段階情報記憶部は、
    イベントが観測された際の前記情報システムに対する攻撃の確度を示す攻撃確度値が記述されるイベント段階情報を記憶し、
    前記情報処理装置は、更に、
    前記観測予測イベント抽出部により観測予測イベントが抽出される度に、抽出された観測予測イベントが記述されているイベント段階情報に、抽出された観測予測イベントに先行して抽出された観測予測イベントが前記情報システムで観測される度に累算された攻撃確度値の累算値を対応付けるイベント段階情報加工部を有し、
    前記観測予測イベント抽出部は、
    前記観測イベント通知情報受信部により受信された観測イベント通知情報で通知されている観測イベントが記述されているイベント段階情報を検索し、検索したイベント段階情報に攻撃確度値の累算値が対応付けられている場合に、
    検索したイベント段階情報に対応付けられている攻撃確度値の累算値に、検索したイベント段階情報に記述されている攻撃確度値を累算して、攻撃確度値の累算値を更新し、
    更新後の攻撃確度値の累算値が攻撃判定閾値を超えている場合に、前記情報システムに対する攻撃が行われていると判定することを特徴とする請求項1に記載の情報処理装置。
  5. 前記イベント段階情報加工部は、
    前記観測予測イベント抽出部により前記観測イベントに基づいて新たな観測予測イベントが抽出された場合に、前記新たな観測予測イベントが記述されているイベント段階情報に、前記更新後の攻撃確度値の累算値を対応付けることを特徴とする請求項4に記載の情報処理装置。
  6. 前記観測予測イベント抽出部は、
    前記情報システムに対する攻撃が行われていると判定した場合に、前記情報システムに対する攻撃が行われていることを通知する通知メッセージを出力することを特徴とする請求項4に記載の情報処理装置。
  7. 前記観測イベント通知情報受信部は、
    観測イベントの種別と、観測イベントを特定する変数値とを通知する観測イベント通知情報を受信し、
    前記イベント段階情報加工部は、
    前記観測イベント通知情報受信部により観測イベント通知情報が受信され、前記観測予測イベント抽出部により観測予測イベントが抽出される度に、
    抽出された観測予測イベントが記述されているイベント段階情報に、抽出された観測予測イベントに先行して抽出された観測予測イベントが前記情報システムで観測される度に累算された攻撃確度値の累算値を対応付けるとともに、抽出された観測予測イベントの抽出に用いられた観測イベント通知情報で通知された変数値を対応付け、
    前記観測予測イベント抽出部は、
    前記観測イベント通知情報受信部により受信された観測イベント通知情報で通知されている観測イベントの種別に対応するイベントが記述されているイベント段階情報を検索し、検索したイベント段階情報に対応付けられている変数値と前記観測イベント通知情報で通知されている変数値とを比較し、
    検索したイベント段階情報に対応付けられている変数値と前記観測イベント通知情報で通知されている変数値とが一致する場合に、検索したイベント段階情報に対応付けられている攻撃確度値の累算値に、検索したイベント段階情報に記述されている攻撃確度値を累算して、攻撃確度値の累算値を更新することを特徴とする請求項4に記載の情報処理装置。
  8. 前記イベント段階情報記憶部は、
    前記情報システムに含まれる機器に所定の監視操作を開始させるための監視操作開始閾値が記述されているイベント段階情報を記憶し、
    前記観測予測イベント抽出部は、
    更新後の攻撃確度値の累算値が前記監視操作開始閾値を超えている場合に、前記情報システムに含まれる機器に前記監視操作を開始させることを特徴とする請求項4に記載の情報処理装置。
  9. 前記観測予測イベント抽出部は、
    推論ロジックが記述されている推論ルール情報を参照して、検索したイベント段階情報に記述されているイベント前段階と前記段階記憶部に記憶されているイベント後段階とを比較することを特徴とする請求項2に記載の情報処理装置。
  10. 前記情報システムの構成が記述されている構成情報を参照して、検索したイベント段階情報に記述されているイベント前段階と前記段階記憶部に記憶されているイベント後段階とを比較することを特徴とする請求項2に記載の情報処理装置。
  11. 前記イベント段階情報記憶部は、
    前記イベント前段階及び前記イベント後段階の少なくともいずれかが述語論理により記述されているイベント段階情報を記憶していることを特徴とする請求項1に記載の情報処理装置。
  12. 前記イベント段階情報記憶部は、
    いずれかのイベントに対して、イベント前段階が不成立であっても観測予測イベントを抽出する処理を実施する旨を示す識別子である処理実施識別子が記述されているイベント段階情報を記憶し、
    前記観測予測イベント抽出部は、
    前記観測イベント通知情報受信部により受信された観測イベント通知情報で通知されている観測イベントが記述されているイベント段階情報を検索し、
    検索したイベント段階情報に処理実施識別子が記述されている場合に、検索したイベント段階情報に記述されているイベント前段階が不成立であっても、検索したイベント段階情報から前記観測イベントのイベント後段階を取得し、取得した前記観測イベントのイベント後段階に合致するイベント前段階が記述されているイベント段階情報を前記イベント段階情報記憶部から検索し、検索したイベント段階情報に基づき、前記観測予測イベントを抽出し、
    検索したイベント段階情報に処理実施識別子が記述されていない場合に、検索したイベント段階情報に記述されているイベント前段階が不成立であれば、観測予測イベントを抽出する処理を行わないことを特徴とする請求項1に記載の情報処理装置。
  13. 前記情報システムは、
    前記観測イベント通知情報で通知されなかったイベントを含む前記情報システムでのイベントを導出可能なイベント導出情報を蓄積しており、
    前記観測予測イベント抽出部は、
    前記観測イベント通知情報受信部により受信された観測イベント通知情報で通知されている観測イベントが記述されているイベント段階情報を検索し、
    前記情報システムに蓄積されているイベント導出情報に基づき、検索したイベント段階情報に記述されているイベント前段階の成立有無の判定を行い、
    前記イベント前段階が成立している場合に、検索したイベント段階情報から前記観測イベントのイベント後段階を取得し、取得した前記観測イベントのイベント後段階に合致するイベント前段階が記述されているイベント段階情報を前記イベント段階情報記憶部から検索し、検索したイベント段階情報に基づき、前記観測予測イベントを抽出することを特徴とする請求項1に記載の情報処理装置。
  14. 前記イベント段階情報記憶部は、
    イベントが観測された際の前記情報システムに対する攻撃の確度を示す攻撃確度値が記述されるイベント段階情報を記憶し、
    前記観測予測イベント抽出部は、
    前記情報システムに蓄積されているイベント導出情報に基づき、検索したイベント段階情報に記述されているイベント前段階の成立有無の判定を行った結果、前記イベント前段階が成立している場合に、
    前記情報システムに蓄積されているイベント導出情報を解析して前記イベント段階情報記憶部に記憶されている複数のイベント段階情報の中から1つ以上のイベント段階情報を選択し、選択したイベント段階情報に記述されている攻撃確度値と、検索したイベント段階情報に記述されている攻撃確度値とを累算して、攻撃確度値の累算値を得ることを特徴とする請求項13に記載の情報処理装置。
  15. 前記情報処理装置は、更に、
    前記イベント段階情報に記述される攻撃確度値を、前記観測イベント通知情報受信部による前記観測イベント通知情報の受信頻度に基づき決定する攻撃確度値決定部を有することを特徴とする請求項4又は14に記載の情報処理装置。
  16. 前記情報処理装置は、更に、
    前記情報システムから前記構成情報を収集する構成情報収集部を有することを特徴とする請求項10に記載の情報処理装置。
  17. 情報システムに対する攻撃が行われる過程において前記情報システムで観測されるイベントと、前記イベントが観測される前の攻撃の進展段階であるイベント前段階と、前記イベントが観測された後の攻撃の進展段階であるイベント後段階とが記述されるイベント段階情報を、複数のイベントに対して記憶するコンピュータが行う情報処理方法であって、
    前記コンピュータが、前記情報システムで観測された観測イベントを通知する観測イベント通知情報を受信し、
    前記コンピュータが、前記観測イベント通知情報で通知されている観測イベントが記述されているイベント段階情報を検索し、検索したイベント段階情報から前記観測イベントのイベント後段階を取得し、取得した前記観測イベントのイベント後段階に合致するイベント前段階が記述されているイベント段階情報を検索し、検索したイベント段階情報に基づき、前記情報システムで今後観測されると予測されるイベントを観測予測イベントとして抽出することを特徴とする情報処理方法。
  18. 情報システムに対する攻撃が行われる過程において前記情報システムで観測されるイベントと、前記イベントが観測される前の攻撃の進展段階であるイベント前段階と、前記イベントが観測された後の攻撃の進展段階であるイベント後段階とが記述されるイベント段階情報を、複数のイベントに対して記憶するコンピュータに、
    前記情報システムで観測された観測イベントを通知する観測イベント通知情報を受信する観測イベント通知情報受信処理と、
    前記観測イベント通知情報で通知されている観測イベントが記述されているイベント段階情報を検索し、検索したイベント段階情報から前記観測イベントのイベント後段階を取得し、取得した前記観測イベントのイベント後段階に合致するイベント前段階が記述されているイベント段階情報を検索し、検索したイベント段階情報に基づき、前記情報システムで今後観測されると予測されるイベントを観測予測イベントとして抽出する観測予測イベント抽出処理とを実行させることを特徴とするプログラム。
JP2015543647A 2013-10-24 2013-10-24 情報処理装置及び情報処理方法及びプログラム Active JP6053948B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2013/078774 WO2015059791A1 (ja) 2013-10-24 2013-10-24 情報処理装置及び情報処理方法及びプログラム

Publications (2)

Publication Number Publication Date
JP6053948B2 JP6053948B2 (ja) 2016-12-27
JPWO2015059791A1 true JPWO2015059791A1 (ja) 2017-03-09

Family

ID=52992428

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015543647A Active JP6053948B2 (ja) 2013-10-24 2013-10-24 情報処理装置及び情報処理方法及びプログラム

Country Status (5)

Country Link
US (1) US10282542B2 (ja)
EP (1) EP3062258A4 (ja)
JP (1) JP6053948B2 (ja)
CN (1) CN105683987B (ja)
WO (1) WO2015059791A1 (ja)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3113061B1 (en) * 2014-02-26 2018-11-28 Mitsubishi Electric Corporation Attack detection device, attack detection method, and attack detection program
US20170277887A1 (en) * 2014-11-14 2017-09-28 Mitsubishi Electric Corporation Information processing apparatus, information processing method, and computer readable medium
JP6285390B2 (ja) * 2015-04-22 2018-02-28 株式会社日立製作所 サイバー攻撃分析装置及びサイバー攻撃分析方法
US10462160B2 (en) * 2015-12-09 2019-10-29 Check Point Software Technologies Ltd. Method and system for identifying uncorrelated suspicious events during an attack
US10193906B2 (en) * 2015-12-09 2019-01-29 Checkpoint Software Technologies Ltd. Method and system for detecting and remediating polymorphic attacks across an enterprise
US10880316B2 (en) 2015-12-09 2020-12-29 Check Point Software Technologies Ltd. Method and system for determining initial execution of an attack
US10440036B2 (en) 2015-12-09 2019-10-08 Checkpoint Software Technologies Ltd Method and system for modeling all operations and executions of an attack and malicious process entry
CN108351939A (zh) * 2015-12-14 2018-07-31 三菱电机株式会社 信息处理装置、信息处理方法和信息处理程序
JP6400255B2 (ja) * 2016-06-23 2018-10-03 三菱電機株式会社 侵入検知装置および侵入検知プログラム
US11120131B2 (en) 2018-07-30 2021-09-14 Rubrik, Inc. Ransomware infection detection in filesystems
JP7152657B2 (ja) * 2018-09-14 2022-10-13 富士通株式会社 監視装置、監視方法及び監視プログラム
WO2020161780A1 (ja) * 2019-02-04 2020-08-13 日本電気株式会社 行動計画推定装置、行動計画推定方法、及びコンピュータ読み取り可能な記録媒体
JP7186637B2 (ja) * 2019-02-21 2022-12-09 三菱電機株式会社 検知ルール群調整装置および検知ルール群調整プログラム
WO2021144859A1 (ja) * 2020-01-14 2021-07-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 侵入経路分析装置および侵入経路分析方法
US20230297620A1 (en) * 2020-06-16 2023-09-21 Nec Corporation Information search apparatus, information search method, and computer-readable recording medium

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2143815B (en) 1983-05-19 1988-01-20 Ciba Geigy Ag Process for the preparation of micro biocidal 1-triazolylethyl ether derivatives
US7163713B2 (en) * 1999-07-31 2007-01-16 The Regents Of The University Of California Method for making dense crack free thin films
AU2001262958A1 (en) 2000-04-28 2001-11-12 Internet Security Systems, Inc. Method and system for managing computer security information
US7603709B2 (en) * 2001-05-03 2009-10-13 Computer Associates Think, Inc. Method and apparatus for predicting and preventing attacks in communications networks
US7042852B2 (en) * 2002-05-20 2006-05-09 Airdefense, Inc. System and method for wireless LAN dynamic channel change with honeypot trap
WO2003100619A1 (fr) 2002-05-28 2003-12-04 Fujitsu Limited Dispositif, programme et procede de detection d'acces non autorise
US6952779B1 (en) * 2002-10-01 2005-10-04 Gideon Cohen System and method for risk detection and analysis in a computer network
JP2004145413A (ja) 2002-10-22 2004-05-20 Mitsubishi Electric Corp セキュリティホール診断システム
US7234166B2 (en) 2002-11-07 2007-06-19 Stonesoft Corporation Event sequence detection
JP2005316779A (ja) 2004-04-28 2005-11-10 Intelligent Cosmos Research Institute 不正アクセス検出装置ならびに検知ルール生成装置、検知ルール生成方法および検知ルール生成プログラム
JP4371905B2 (ja) * 2004-05-27 2009-11-25 富士通株式会社 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置
JP2006350543A (ja) 2005-06-14 2006-12-28 Mitsubishi Electric Corp ログ分析装置
US7716739B1 (en) * 2005-07-20 2010-05-11 Symantec Corporation Subjective and statistical event tracking incident management system
US7762076B2 (en) * 2005-10-20 2010-07-27 United Technologies Corporation Attachment of a ceramic combustor can
US8776217B2 (en) * 2006-11-03 2014-07-08 Alcatel Lucent Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis
JP4773332B2 (ja) * 2006-12-28 2011-09-14 三菱電機株式会社 セキュリティ管理装置及びセキュリティ管理方法及びプログラム
CN101075917B (zh) 2007-07-16 2010-08-25 华为技术有限公司 一种预测网络攻击行为的方法及装置
JP5111073B2 (ja) 2007-11-27 2012-12-26 Kddi株式会社 ポリシ生成システム、プログラム、および記録媒体
ES2401456T3 (es) 2007-12-28 2013-04-19 Essilor International (Compagnie Generale D'optique) Método para seleccionar curvas de base para una lente oftálmica y método de fabricación de lentes de gafas relacionadas
US8612372B2 (en) * 2008-08-29 2013-12-17 International Business Machines Corporation Detection rule-generating facility
KR101039717B1 (ko) 2009-07-07 2011-06-09 한국전자통신연구원 사이버위협을 예측하기 위한 사이버위협 예측 엔진 시스템 및 상기 시스템을 이용한 사이버위협 예측 방법
US8566956B2 (en) * 2010-06-23 2013-10-22 Salesforce.Com, Inc. Monitoring and reporting of data access behavior of authorized database users
JP2012068903A (ja) 2010-09-24 2012-04-05 Dts Kk ウェブアプリケーションファイアーウォールプログラム
JP2012133407A (ja) 2010-12-17 2012-07-12 Ntt Comware Corp 不正アクセス検出装置、不正アクセス検出システム、不正アクセス検出方法及びプログラム
US20130019309A1 (en) * 2011-07-12 2013-01-17 Raytheon Bbn Technologies Corp. Systems and methods for detecting malicious insiders using event models
DE102014213752A1 (de) * 2014-07-15 2016-01-21 Siemens Aktiengesellschaft Rechenvorrichtung und Verfahren zum Erkennen von Angriffen auf ein technisches System anhand von Ereignissen einer Ereignisfolge
US10356109B2 (en) * 2014-07-21 2019-07-16 Entit Software Llc Security indicator linkage determination
US10015189B2 (en) * 2016-02-09 2018-07-03 International Business Machine Corporation Detecting and predicting cyber-attack phases in adjacent data processing environment regions
US10735439B2 (en) * 2016-09-06 2020-08-04 Radware, Ltd. System and method for attack sequence matching

Also Published As

Publication number Publication date
CN105683987A (zh) 2016-06-15
US10282542B2 (en) 2019-05-07
CN105683987B (zh) 2018-11-16
JP6053948B2 (ja) 2016-12-27
EP3062258A4 (en) 2017-05-31
EP3062258A1 (en) 2016-08-31
WO2015059791A1 (ja) 2015-04-30
US20160239661A1 (en) 2016-08-18

Similar Documents

Publication Publication Date Title
JP6053948B2 (ja) 情報処理装置及び情報処理方法及びプログラム
US10911470B2 (en) Detecting anomalies in a computer network based on usage similarity scores
US10205735B2 (en) Graph-based network security threat detection across time and entities
CN108280367B (zh) 数据操作权限的管理方法、装置、计算设备及存储介质
JP6239215B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
EP3113061B1 (en) Attack detection device, attack detection method, and attack detection program
CN111277637B (zh) 会话群组的合并方法、装置、终端及存储介质
JP5542859B2 (ja) ログ管理装置、ログ蓄積方法、ログ検索方法、およびプログラム
CN103984891A (zh) 网络安全系统和方法
JP6031597B2 (ja) 特定装置、特定方法、および特定プログラム
US11728928B2 (en) Securely sharing public and private blockchain data
JP2014235632A (ja) 文書管理システム、文書管理システムの制御方法、及び、プログラム
CN109388970A (zh) 数据处理方法和装置
CN111931203A (zh) 一种敏感数据分析方法、装置、设备及存储介质
CN117194205A (zh) 业务系统运行质量信息确定方法、故障注入任务创建方法
CN114666203A (zh) 规则处理方法、装置、电子设备和介质
CN118132374A (zh) 应用程序的后台启动检测方法、装置和计算机设备

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161101

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161129

R150 Certificate of patent or registration of utility model

Ref document number: 6053948

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250