JPWO2017103974A1 - 情報処理装置、情報処理方法及び情報処理プログラム - Google Patents
情報処理装置、情報処理方法及び情報処理プログラム Download PDFInfo
- Publication number
- JPWO2017103974A1 JPWO2017103974A1 JP2017547012A JP2017547012A JPWO2017103974A1 JP WO2017103974 A1 JPWO2017103974 A1 JP WO2017103974A1 JP 2017547012 A JP2017547012 A JP 2017547012A JP 2017547012 A JP2017547012 A JP 2017547012A JP WO2017103974 A1 JPWO2017103974 A1 JP WO2017103974A1
- Authority
- JP
- Japan
- Prior art keywords
- event
- scenario
- participation
- monitoring
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
Description
しかし、従来の統合ログ監視では、攻撃の検知漏れと誤検知とのバランスをとれるように検知ルールをチューニングすることが困難であった。
これに対し、攻撃者が行う活動によって観測されるイベントの推移をシナリオとして定義しておき、シナリオにそったイベントの発生が観測された場合に攻撃が発生したとみなす手法が提案されている(例えば、特許文献1)。
具体的には、特許文献1の手法では、標的型攻撃において発生すると考えられる複数のイベントのそれぞれに対して、攻撃活動定義情報が定義される。攻撃活動定義情報には、イベントの内容やイベントが発生するための事前条件、イベントの発生によって攻撃者が得ると期待される新たな知識や状態を示す達成状態等が定義される。標的型攻撃の検知は、標的型攻撃検知S/W(Software)が、SIEM(Security Information and Event Management)等のセキュリティ機器から送られてくるイベントを受信し、標的型攻撃の確度が高いと判断した場合に管理者へ警報を行う。
警報を行う程の確度に達していなかった場合は、標的型攻撃検知S/Wは、受信したイベントに対応する攻撃活動定義情報を活用して次に発生するイベントの予測を行う。また、標的型攻撃検知S/Wは、予測したイベントを必要に応じて用い、より詳細な監視が行えるようSIEMや監視対象ネットワーク上の機器に対して監視設定を変更する。
また、次に発生するイベントの予測を行う際も、束縛済み変数情報と併せて条件付きの監視を行うことで、正常なユーザの活動を攻撃活動と誤検知することを防いでいる。
例えば、攻撃者がある計算機端末2台に不正に侵入した場合を想定する。このとき、攻撃者が一方の計算機端末Aからファイルサーバのログインパスワードを取得したことを検知できた場合に、特許文献1の手法では攻撃活動定義情報と束縛済み変数情報を用いて、次に攻撃者が計算機端末Aからファイルサーバへログインすることを予測し、計算機端末Aからファイルサーバへログインを監視することができる。
しかし、このとき、他方の計算機端末Bにも侵入している攻撃者は、計算機端末Aで不正に取得したパスワードを用いて計算機端末Bからファイルサーバに不正にログインすることも可能である。
特許文献1の手法では計算機端末Aからのログインのみを予測し監視しているため、計算機端末Bからのファイルサーバへの攻撃の検知漏れが発生し得る。
このように、特許文献1の手法では、検知された攻撃イベントの発生に関与したシステム構成要素のみを監視対象とするため、他のシステム構成要素を介した攻撃を検知できないという課題がある。
複数のシステム構成要素が含まれる情報システムを攻撃する攻撃イベントが検知され、検知された攻撃イベントである検知イベントと前記検知イベントの発生に関与したシステム構成要素であるイベント関与要素とが通知された場合に、前記検知イベントの次に、前記イベント関与要素の関与により発生し得る攻撃イベントを監視イベントとして指定する監視イベント指定部と、
前記複数のシステム構成要素のうち前記イベント関与要素以外に前記監視イベントの発生に関与し得るシステム構成要素を関与候補要素として指定する関与候補要素指定部とを有する。
***構成の説明***
図1は、本実施の形態に係るシステム構成例を示す。
本実施の形態では、情報システム200と監視装置500と情報処理装置100がネットワーク600で接続されている。
情報システム200には、複数のシステム構成要素300が含まれる。
システム構成要素300には、端末装置、サーバ装置といった計算機要素が含まれる。
また、システム構成要素300には、端末装置を利用するユーザ、情報システム200を管理するシステム管理者といった人的要素が含まれる。
更に、システム構成要素300には、ファイル、テーブル、関数、変数、定数といったデータ要素が含まれる。
また、情報システム200ではイベントが発生し、監視装置500により情報システム200への攻撃又は攻撃の兆候となるイベント(以下、攻撃イベントという)が検知される。
図1では、監視装置500は情報システム200外に配置されているが、監視装置500が情報システム200内に配置されていてもよい。
監視装置500は、情報システム200を監視する。
なお、監視装置500における「監視」とは、情報システム200への攻撃の進展度合いを解析するためにイベントの発生有無を定期的又は不定期にログ検索等により調査することである。
監視装置500は、例えばSIEM等のセキュリティ機器である。
監視装置500によって検知された攻撃イベントは、検知アラート400として、情報処理装置100に通知される。
情報処理装置100は、アラート受信部101、イベント属性情報検索部102、シナリオ管理部103、シナリオ制御部104、イベント属性情報記憶部105、シナリオ記憶部106が含まれる。
また、図3に示すように、シナリオ管理部103には、監視イベント指定部131、攻撃イベント登録部132、監視指示部133が含まれ、シナリオ制御部104には、シナリオ検索部141、シナリオ更新部142、関与候補要素指定部143が含まれる。
記憶装置902には、アラート受信部101、イベント属性情報検索部102、シナリオ管理部103、シナリオ制御部104の機能を実現するプログラムが記憶されている。
そして、プロセッサ901がこれらプログラムを実行して、後述するアラート受信部101、イベント属性情報検索部102、シナリオ管理部103、シナリオ制御部104の動作を行う。
図4では、プロセッサ901がアラート受信部101、イベント属性情報検索部102、シナリオ管理部103、シナリオ制御部104の機能を実現するプログラムを実行している状態を模式的に表している。
また、イベント属性情報記憶部105及びシナリオ記憶部106は、記憶装置902により実現される。
レシーバー903及びトランスミッター904は、監視装置500との間で通信を行う。
まず、本実施の形態に係る情報処理装置100の動作の詳細を説明する前に、図5を参照して、情報処理装置100により行われる動作の概要を説明する。
なお、図5に示される手順は、情報処理方法及び情報処理プログラムの例に相当する。
検知アラート400では、監視装置500で検知された攻撃イベント(以下、検知イベントという)と、検知イベントの発生に関与したシステム構成要素300(以下、イベント関与要素という)とが通知される。
なお、「関与」とは、検知イベントの発生主体になること、検知イベントの客体となること、検知イベントでパラメータとして利用されること等を含む意味である。従って、「検知イベントの発生に関与したシステム構成要素300」は、検知イベントの発生主体のシステム構成要素300、検知イベントの客体となるシステム構成要素300、検知イベントでパラメータとして利用されているシステム構成要素300等を意味する。
より具体的には、監視イベント指定部131は、検知アラート400で通知された検知イベントとイベント関与要素とに基づき、シナリオ検索部141を用いて、シナリオ記憶部106内のシナリオを検索して、監視イベントを指定する。
シナリオ記憶部106は、監視装置500で検知された攻撃イベントのイベント属性情報を、検知された攻撃イベントの発生に関与したシステム構成要素と対応付けて、シナリオとして記憶する。
イベント属性情報は、攻撃イベントの属性値が示される情報であり、イベント属性情報記憶部105で記憶されている。
イベント属性情報記憶部105は、複数の攻撃イベントについて、攻撃イベントごとに、イベント属性情報を記憶している。
なお、シナリオ及びイベント属性情報の詳細は後述する。
関与候補要素は、複数のシステム構成要素のうちイベント関与要素以外に監視イベントの発生に関与し得るシステム構成要素である。
より具体的には、シナリオ更新部114は、監視イベントのイベント属性情報(以下、監視イベント情報という)を、イベント関与要素のシナリオと関与候補要素のシナリオに追加する。
なお、シナリオ更新部114は、監視イベント情報のイベント関与要素のシナリオへの追加は、ステップS12とステップS13との間で行うようにしてもよい。
監視装置500では、監視指示部133からの指示に基づき、イベント関与要素及び関与候補要素について、定期的又は不定期にログを検索することで監視イベントが発生したか否かを判定する。
図6は検知アラート受信後のイベント属性情報8の例であり、図32は検知アラート受信前のイベント属性情報の例である。
以下、図6を参照してイベント属性情報8の詳細を説明する。
図6に示すように、イベント属性情報8は、事前条件9、イベント10、達成状態11、束縛済み変数情報12で構成されている。
事前条件9には、攻撃イベントが発生するための前提条件が述語論理の形式で記述されている。
つまり、事前条件9には、攻撃イベントが観測される前の攻撃の進展段階(イベント前段階)が記述されている。
例えば、図6の符号13で示す述語論理「login(A,H)」は、攻撃イベントの発生のための事前条件として、「AがHにログインしている」状態が必要であることを表している。なお、符号13で示される「A」及び「H」は変数であり、検知アラート400から得られた具体的な値などは束縛済み変数情報12の欄に保持される。
イベント10は、情報システム200に対する攻撃が行われる過程において情報システム200で観測される攻撃イベントを表す。
イベント10には、イベント発生源14、イベント種別15、イベントパラメータ16が含まれる。
イベント発生源14は、イベント属性情報8が対象とする攻撃イベントのイベント発生源を示している。
符号17は、イベント発生源として許される値を示しており、図6の例では、イベント発生源14が変数Hによって事前条件13と関連付けられている(「$H」の冒頭にあるドルマーク($)は、Hが変数であることを示している)。
イベント種別15は、イベント属性情報8が対象としている攻撃イベントの種別を示す。
具体的には、イベント種別15は、符号18のように指定される。
イベント種別15の具体値(符号18)は、イベント種別情報ともいう。
イベントパラメータ16は、イベントのパラメータを示す。
イベントパラメータ16では、イベント属性情報8が対象とする値が指定されている。
図6の例では、符号19で、「USER」という名称のパラメータが符号13で示されている変数Aと同じ値をとることが求められている。
達成状態11は、イベント属性情報8の符号14〜16の項目に合致する攻撃イベントが発生した時に、攻撃者が達成した状態を述語論理で示している。
つまり、達成状態11には、符号14〜16の項目に合致する攻撃イベントが検知された後の攻撃の進展段階(イベント後段階)が記述されている。
達成状態11は、進展状態ともいう。
図6の例では、符号20の「hasSecret(A,H)」は、「ユーザAがホストHの機密情報を入手した」段階であることを示している。
前述したように検知アラートの受信前、すなわち、イベント属性情報記憶部105で記憶されているイベント属性情報では、図32のように、束縛済み変数情報12には、値が記述されていない(束縛済み変数情報12は空欄である)。
アラート受信部101が検知アラート400を受信した際に、アラート受信部101が、検知アラート400に記述されている変数の値を束縛済み変数情報12に追記し、図6のイベント属性情報8が得られる。
図6のイベント属性情報8では、イベント発生源17、イベントパラメータ19の各変数の値は特定されていないが、検知アラート400では、イベント発生源、イベントパラメータの各変数の値が特定されている。
図6は、アラート受信部101が、変数「A」の具体値として「USER1」が記述され、変数「H」の具体値として「H_1」が記述されている検知アラート400を受信した場合に生成される束縛済み変数情報12を表している。
つまり、図6の例では、アラート受信部101は、変数「A」の具体値である「USER1」を束縛済み変数情報12の変数名「A」に対する束縛値に記述し、変数「H」の具体値である「H_1」を束縛済み変数情報12の変数名「H」に対する束縛値に記述している。
なお、束縛済み変数情報12の欄に記載されている束縛値である「USER1」、「H_1」は、情報システム200に含まれるシステム構成要素300である。
つまり、シナリオは、システム構成要素300別にグルーピングされた、検知イベントのイベント属性情報の集合である。
シナリオAについては、イベント種別が「ANOMALOUS_FILE_ACCESS」であるイベント属性情報8とイベント種別が「SEND_LARGE_FILES」であるイベント属性情報8とが格納されている。
これらのイベント属性情報8は、ともに変数Aの束縛値が「USER1」であり、変数Hの束縛値が「H_1」であるため、攻撃者による一連の攻撃活動として同じシナリオに格納されている。
一方で、シナリオBにはイベント種別が「ANOMALOUS_FILE_ACCESS」であるイベント属性情報8が格納されている。
イベント種別が「ANOMALOUS_FILE_ACCESS」であるイベント属性情報8はシナリオAにも格納されているが、格納されている束縛済み変数情報12が異なっているため、異なるシナリオBに格納されている。
検知アラート400には、情報システム200への攻撃の一環として送信された可能性のあるパケットの送信元の識別子(IPアドレス及びポート番号等)、送信先の識別子(IPアドレス及びポート番号等)が含まれる。
更に、検知アラート400には、TCP(Transmission Control
Protocol)やUDP(User Datagram Protocol)などのプロトコル、検知された攻撃イベント(ログイン、ポートスキャン等)のイベント種別情報が含まれている。
前述したように、検知アラート400で通知された、検知された攻撃イベントが検知イベントであり、攻撃の一環として送信された可能性のあるパケットの送信元のシステム構成要素及び送信先のシステム構成要素は、イベント関与要素である。
検知アラート400の一例として、IDS(Intrusion Detection
System)アラートがある。
また、アラート受信部101は、検知アラート400で通知された検知イベントのイベント種別情報をイベント属性情報検索部102に出力し、検知イベントに対応するイベント属性情報8をイベント属性情報検索部102を介してイベント属性情報記憶部105から受信する。
また、アラート受信部101は、検知アラート400から得られた変数の具体値を、イベント属性情報記憶部105から受信した検知イベントのイベント属性情報402の束縛済み変数情報12に記述する。
また、アラート受信部101は、変数の具体値が束縛済み変数情報12に記述された検知イベントのイベント属性情報402をシナリオ管理部103内の攻撃イベント登録部132に出力する。
そして、イベント属性情報検索部102は、イベント属性情報記憶部105から受信したイベント属性情報402を、アラート受信部101に出力する。
そして、攻撃イベント登録部132は、受信した検知イベントのイベント属性情報402をシナリオ制御部104内のシナリオ検索部141に送信する。
シナリオ検索部141は、後述するように、検知イベントのイベント属性情報402をシナリオ記憶部106内のシナリオに追加する。
より具体的には、監視イベント指定部131は、シナリオ更新部142から検知イベントのイベント属性情報を受信し、受信した検知イベントのイベント属性情報から達成状態の述語論理を抽出する。そして、監視イベント指定部131は、検知イベントのイベント属性情報から抽出した述語論理が事前条件に記述されているイベント属性情報を、イベント属性情報検索部102を介して、イベント属性情報記憶部105から取得する。該当するイベント属性情報が複数ある場合は、監視イベント指定部131は、複数のイベント属性情報を取得する。
次に、監視イベント指定部131は、取得したイベント属性情報がシナリオに追加されているか否か、更に、取得したイベント属性情報の事前条件が、検知イベントのイベント属性情報の達成状態によって満たされているか否かを確認する。
取得したイベント属性情報がシナリオに未だ追加されておらず、かつ、取得したイベント属性情報の事前条件が、検知イベントのイベント属性情報の達成状態によって満たされている場合に、取得したイベント属性情報が対象としている攻撃イベントを監視イベントに指定する。
更に、監視イベント指定部131は、監視イベントのイベント属性情報の束縛済み変数情報12に、検知イベントのイベント属性情報の束縛済み変数情報12の具体値を格納する。
以降、束縛済み変数情報12に具体値が記述された後の監視イベントのイベント属性情報を、監視イベント情報という。
監視イベント情報には、イベント関与要素のシナリオに追加する監視イベント情報と、関与候補要素のシナリオに追加する監視イベント情報の二種類がある。以下では、イベント関与要素のシナリオに追加する監視イベント情報をイベント関与要素の監視イベント情報といい、関与候補要素のシナリオに追加する監視イベント情報を関与候補要素の監視イベント情報という。
監視イベント指定部131は、イベント関与要素の監視イベント情報を関与候補要素指定部143に送信する。
また、監視イベント指定部131は、関与候補要素指定部143から関与候補要素の監視イベント情報と関与候補要素のシナリオを受信する。
また、監視イベント指定部131は、関与候補要素指定部143から受信した関与候補要素の監視イベント情報と関与候補要素のシナリオをシナリオ更新部142に送信する。
シナリオ更新部142は、関与候補要素のシナリオを更新する。具体的には、シナリオ更新部142は、関与候補要素のシナリオに関与候補要素の監視イベント情報を追加する。
なお、監視イベント指定部131により行われる処理は、監視イベント指定処理という。
図8に示すように、監視イベント情報27は、図6のイベント属性情報8に含まれる項目に加え、符号28に示される「状態」属性が含まれる。
符号29に示されるように、「状態」属性は「監視中」となっており、検知アラート400で通知された検知イベントのイベント属性情報と区別される。
なお、イベント関与要素の監視イベント情報27と、関与候補要素の監視イベント情報27では、束縛済み変数情報の束縛値が異なっている。
つまり、イベント関与要素の監視イベント情報27の束縛済み変数情報には、検知アラート400に記述されている具体値が記述されている。
一方、関与候補要素の監視イベント情報27の束縛済み変数情報には、関与候補要素のシナリオ内のイベント属性情報の束縛済み変数情報の束縛値が記述されている。
より具体的には、監視指示部133は、監視イベント指定部131から、イベント関与要素の監視イベント情報27と関与候補要素の監視イベント情報27を取得し、取得したイベント関与要素の監視イベント情報27と関与候補要素の監視イベント情報27をトランスミッター904を介して監視装置500に送信する。
更に、シナリオ検索部141は、関与候補要素指定部143からイベント関与要素の監視イベント情報27を取得し、イベント関与要素の監視イベント情報27に基づき、関与候補要素のシナリオをシナリオ記憶部106から取得する。また、シナリオ検索部141は、関与候補要素のシナリオを関与候補要素指定部143に出力する。
また、シナリオ更新部142はシナリオ検索部141から検知イベントのイベント属性情報402のみを受信した場合は、イベント関与要素のシナリオを新規に生成する。そして、シナリオ更新部142は新規に生成したイベント関与要素のシナリオに検知イベントのイベント属性情報402を追加し、イベント関与要素のシナリオをシナリオ記憶部106に格納する。
更に、シナリオ更新部142は、監視イベント指定部131からイベント関与要素の監視イベント情報27とイベント関与要素のシナリオを取得した場合に、イベント関与要素の監視イベント情報27をイベント関与要素のシナリオに追加して、イベント関与要素のシナリオを更新する。そして、シナリオ更新部142は、更新後のイベント関与要素のシナリオをシナリオ記憶部106に格納する。
また、シナリオ更新部142は、監視イベント指定部131から関与候補要素の監視イベント情報27と関与候補要素のシナリオを取得した場合に、関与候補要素の監視イベント情報27を関与候補要素のシナリオに追加して、関与候補要素のシナリオを更新する。そして、シナリオ更新部142は、更新後の関与候補要素のシナリオをシナリオ記憶部106に格納する。
また、関与候補要素指定部143は、取得した関与候補要素のシナリオ内の、連携予測条件を達成状態に持つイベント属性情報の束縛済み変数情報の束縛値で、イベント関与要素の監視イベント情報27の束縛済み変数情報を書き換えて、関与候補要素の監視イベント情報27を得る。
そして、関与候補要素指定部143は、関与候補要素の監視イベント情報27と関与候補要素のシナリオを、監視イベント指定部131に送信する。
なお、関与候補要素指定部143により行われる処理は、関与候補要素指定処理という。
図9の監視イベント情報27には連携予測条件30として、符号31に示される「suspiciousConnection(H)」が記述されている。連携予測条件30は、監視イベントに関連する攻撃イベントの属性値である。
前述したように、関与候補要素指定部143は、イベント関与要素の監視イベント情報27に連携予測条件30が含まれる場合は、イベント関与要素の監視イベント情報27をシナリオ検索部141に送信する。そして、シナリオ検索部141は、達成状態に連携予測条件30の述語論理が記述されているイベント属性情報が含まれるシナリオを関与候補要素のシナリオとして抽出する。図9の例では、シナリオ検索部141は、達成条件に「suspiciousConnection(H)」が記述されているイベント属性情報が含まれるシナリオを関与候補要素のシナリオとして抽出する。
また、前述したように、関与候補要素指定部143は、関与候補要素のシナリオ内のイベント属性情報のうち、連携予測条件30と同じ述語論理が達成状態に記述されているイベント属性情報の束縛済み変数情報の束縛値を用いて、関与候補要素の監視イベント情報27を生成する。図9の例では、関与候補要素指定部143は、達成条件に「suspiciousConnection(H)」が記述されているイベント属性情報の束縛済み変数情報の束縛値を用いて、関与候補要素の監視イベント情報27を生成する。
図10及び図11は、本実施の形態に係る情報処理装置100の全体の処理の流れを示すフローチャートである。
検知アラート400は、前述のとおり、監視装置500から送信される警告メッセージである。
次に、ステップS102において、アラート受信部101は、検知アラート400のイベント種別情報(例えば、ANOMALOUS_FILE_ACCESS)をイベント属性情報検索部102に入力する。
次に、ステップS103において、イベント属性情報検索部102がイベント種別情報に該当するイベント属性情報をイベント属性情報記憶部105から取得し、アラート受信部101に入力する。
具体的には、イベント属性情報検索部102は、イベント種別情報のイベント種別と同じイベント種別が記述されているイベント属性情報を取得する。
次に、ステップS104において、アラート受信部101はイベント属性情報の束縛済み変数情報に具体値を代入する。具体的には、アラート受信部101は、検知アラート400から得られたイベント発生源の具体値、イベントパラメータの具体値を、イベント属性情報検索部102から得られたイベント属性情報の束縛済み変数情報に代入する。
次に、ステップS106において、シナリオ管理部103はシナリオ制御部104を用いて、シナリオ記憶部106内のシナリオの更新またはシナリオの生成を行う。
次に、ステップS107において、シナリオ管理部103はシナリオ制御部104及びイベント属性情報検索部102を用いて監視イベントを指定し、監視イベント情報401を生成する。
次に、ステップS108において、シナリオ管理部103は監視イベント情報401を監視装置500に送信する。
動作の流れは、図12、図13、図14及び図15を参照して説明する。
図12、図13、図14及び図15は、本実施の形態に係る情報処理装置100におけるシナリオ管理部103及びシナリオ制御部104の詳細な構成の動作の流れを示すフローチャートである。
図12、図13、図14及び図15では、ステップS201がステップS105に、ステップS202〜S206がステップS106に、ステップS207〜S217がステップS107に、ステップS218がステップS108に対応している。
次に、ステップS202において、攻撃イベント登録部132は、受信したイベント属性情報をシナリオ検索部141に入力する。
次に、ステップS203において、シナリオ検索部141はシナリオ記憶部106から条件に合ったシナリオを検索し、検索により得られたシナリオをシナリオ更新部142に出力する。
具体的な処理の流れは、図16及び図17を参照して説明する。
図16及び図17は、シナリオ検索部141が攻撃イベント登録部132からイベント属性情報を受信した場合に、シナリオ記憶部106から条件に合ったシナリオを取得する動作の流れを説明したフローチャートである。
次に、ステップS302において、シナリオ検索部141は、受信したイベント属性情報とイベント種別が共通する監視イベント情報が含まれるシナリオを、シナリオ記憶部106から検索する。
次に、ステップS303において、ステップS302の結果、シナリオ検索部141がシナリオを取得したかどうかで処理が分かれる。シナリオ検索部141がシナリオを取得した場合はS304が実施される。一方、シナリオ検索部141がシナリオを取得しない場合はS306が実施される。
次に、ステップS305において、シナリオ検索部141は、受信したイベント属性情報と束縛済み変数情報が共通する監視イベント情報が含まれるシナリオをシナリオ更新部142に出力し、処理を終了する。
ステップS306では、シナリオ検索部141は、受信したイベント属性情報に記述されている事前条件の述語論理と同じ述語論理が達成状態に記述されるイベント属性情報が含まれるシナリオを、シナリオ記憶部106から検索する。
次に、ステップS307において、S306の結果、シナリオ検索部141がシナリオを取得したかどうかで処理が分かれる。シナリオ検索部141がシナリオを取得した場合はS308が実施される。一方、シナリオ検索部141がシナリオを取得しない場合は処理が終了する。
ステップS308では、シナリオ検索部141は、S306で得られたシナリオに含まれる該当するイベント属性情報と、受信したイベント属性情報の束縛済み変数情報を比較する。
次に、ステップS309において、シナリオ検索部141は、受信したイベント属性情報と束縛済み変数情報が共通するイベント属性情報が含まれるシナリオをシナリオ更新部142に出力し、処理を終了する。
ステップS205では、シナリオ更新部142がシナリオを更新する。より具体的には、シナリオ検索部141が、取得したシナリオ及びステップS201で受信したイベント属性情報をシナリオ更新部142に入力し、シナリオ更新部142が、入力されたイベント属性情報を入力されたシナリオに追加する。このとき、追加するイベント属性情報と同じイベント種別情報をもつ監視イベント情報がシナリオに含まれている場合は、監視イベント情報を削除し、入力されたイベント属性情報をシナリオに追加する。そして、シナリオ更新部142は、イベント属性情報が追加されたシナリオでシナリオ記憶部106のシナリオを更新する。
ステップS206では、シナリオ更新部142がシナリオを生成し、入力されたイベント属性情報をシナリオに追加する。より具体的には、シナリオ検索部141が、ステップS201で受信されたイベント属性情報をシナリオ更新部142に入力し、シナリオ更新部142がシナリオを新規に生成し、入力されたイベント属性情報を生成したシナリオに追加する。そして、シナリオ更新部142は、イベント属性情報が追加されたシナリオをシナリオ記憶部106に登録する。
次に、ステップS208において、監視イベント指定部131は、シナリオ更新部142により入力されたイベント属性情報の達成状態を抽出し、抽出した達成状態をイベント属性情報検索部102に入力する。
次に、ステップS209において、監視イベント指定部131はイベント属性情報検索部102から、イベント属性情報検索部102に入力した達成状態を事前条件に持つイベント属性情報を取得する。
次に、ステップS210において、監視イベント指定部131は取得したイベント属性情報から未だシナリオに追加されていないイベント属性情報を監視イベント情報の候補として抽出する。
次に、ステップS211において、監視イベント指定部131は監視イベント情報の候補のうち、事前条件がすべて満たされているものをイベント関与要素の監視イベント情報として選択し、イベント関与要素の監視イベント情報を関与候補要素指定部143に入力する。
なお、イベント関与要素の監視イベント情報のイベント種別の欄に記述されているイベントが監視イベントである。
連携予測条件が記述されている監視イベント情報が存在するか否かによって、以降の処理が分かれる。連携予測条件が記述されている監視イベント情報が存在する場合はステップS213が実施され、連携予測条件が記述されている監視イベント情報が存在しない場合はS218が実施される。
ステップS213では、関与候補要素指定部143は、連携予測条件が記述されている監視イベント情報をシナリオ検索部141に入力する。シナリオ検索部141は監視イベント情報に含まれる連携予測条件に基づいてシナリオを検索する。
シナリオ検索部14の具体的な処理の流れを、図18を参照して説明する。
図18は、シナリオ検索部141が関与候補要素指定部143から監視イベント情報を受信した場合に、シナリオ記憶部106から条件に合ったシナリオを取得する動作の流れを説明したフローチャートである。
次に、ステップS402において、シナリオ検索部141は、監視イベント情報に含まれる連携予測条件の述語論理と同じ述語論理を達成状態に持つイベント属性情報が含まれるシナリオをシナリオ記憶部106から検索する。シナリオ検索部141は、束縛済み変数情報は考慮せずに、監視イベント情報に含まれる連携予測条件の述語論理と同じ述語論理を達成状態に持つイベント属性情報が含まれるシナリオを検索する。
次に、ステップS403において、S402の検索の結果、該当するシナリオを取得したかどうかで処理が分かれる。シナリオ検索部141がシナリオを取得した場合は、S404が実施され、シナリオ検索部141がシナリオを取得しなかった場合は、処理が終了する。
ステップS404では、シナリオ検索部141は、取得したシナリオ(関与候補要素のシナリオ)を関与候補要素指定部143に出力し、処理を終了する。
ステップS215では、関与候補要素指定部143は取得結果のシナリオごとに束縛済み変数情報を設定した関与候補要素の監視イベント情報を生成し、生成した関与候補要素の監視イベント情報と関与候補要素のシナリオを監視イベント指定部131に出力する。より具体的には、関与候補要素指定部143は、ステップS214で取得したシナリオから、連携予測条件の述語論理が達成状態に記述されているイベント属性情報を抽出し、抽出したイベント属性情報の束縛済み変数情報の具体値を、ステップS212で取得したイベント関与要素の監視イベントの束縛済み変数情報に設定して、関与候補要素の監視イベント情報を生成する。そして、関与候補要素指定部143は、生成した関与候補要素の監視イベント情報と、関与候補要素のシナリオを監視イベント指定部131に出力する。
なお、ステップS214で関与候補要素指定部143が取得したシナリオが対象としているシステム構成要素が関与候補要素に相当する。
次に、ステップS217において、シナリオ更新部142は関与候補要素のシナリオに関与候補要素の監視イベント情報を追加し、関与候補要素の監視イベント情報が追加された関与候補要素のシナリオでシナリオ記憶部106の関与候補要素のシナリオを更新する。
次に、ステップS218において、監視指示部133が監視イベント情報401を監視装置500に送信する。具体的には、監視イベント指定部131がイベント関与要素の監視イベント情報401と関与候補要素の監視イベント情報401を監視指示部133に入力し、監視指示部133がイベント関与要素の監視イベント情報401と関与候補要素の監視イベント情報401を監視装置500に送信する。
なお、ステップS212でNOの場合、ステップS214でNOの場合は、関与候補要素の監視イベント情報401は生成されないので、監視指示部133はイベント関与要素の監視イベント情報401のみを監視装置500に送信する。
このように、本実施の形態では、関与候補要素指定部は、イベント関与要素の監視イベント情報に、連携予測条件として、監視イベントに関連する攻撃イベントの属性値が記述されている場合に、イベント関与要素以外のシステム構成要素のうち、イベント関与要素の監視イベント情報に記述されている属性値と同じ属性値が達成状態の状態値に記述されているイベント属性情報がシナリオに含まれるシステム構成要素を、関与候補要素として指定する。
つまり、本実施の形態では、関与候補要素指定部が、イベント関与要素以外に監視イベントの発生に関与し得るシステム構成要素を関与候補要素として指定するため、関与候補要素での監視イベントの監視を可能にする。
例えば、攻撃者が計算機端末Aからファイルサーバのログインパスワードを取得したことが検知イベントとして検知された場合を想定する。本実施の形態に係る情報処理装置は、次に攻撃者が計算機端末Aからファイルサーバへログインすることを監視イベントとして予測し、計算機端末A以外に監視イベントの発生に関与する可能性のある計算機端末Bを関与候補要素として指定し、計算機端末Aからファイルサーバへのログインと、計算機端末Bからのファイルサーバへのログインとを監視装置に監視させることができる。
このように、本実施の形態によれば、イベント関与要素以外のシステム構成要素を介した攻撃を検知することができ、検知漏れを防ぐことができる。
***構成の説明***
本実施の形態では、イベント関与要素のシナリオと関与候補要素のシナリオとを統合する構成を説明する。
以下では、主に実施の形態1との差異を説明する。以下で説明していない事項は、実施の形態1と同様である。
本実施の形態においても、システム構成例は図1に示す通りである。
また、本実施の形態においても、情報処理装置100の機能構成例は図2に示す通りであるが、シナリオ制御部104の内部構成例が実施の形態1とは異なる。
図19は、本実施の形態に係るシナリオ管理部103及びシナリオ制御部104の詳細な構成の例を示す。
図19に示すように、シナリオ管理部103は実施の形態1と同様の構成であり、シナリオ制御部104には実施の形態1の構成に加え、シナリオ統合部144が配置されている。
シナリオ統合部144は、シナリオ記憶部106のイベント関与要素のシナリオと関与候補要素のシナリオとを統合する。
より具体的には、シナリオ統合部144は、シナリオ記憶部106にイベント関与要素のシナリオと、関与候補要素のシナリオが記憶されており、監視装置500からの検知アラート400において、新たに検知された攻撃イベントとして監視イベントが通知され、監視イベントの発生に関与したシステム構成要素として関与候補要素が通知された場合に、イベント関与要素のシナリオと関与候補要素のシナリオとを統合する。
なお、本実施の形態でも、情報処理装置100は、図4に示すように、例えばプロセッサ901、記憶装置902、レシーバー903、トランスミッター904というハードウェアで構成される。
次に、実施の形態2に係る情報処理装置100の動作例を図20及び図21を参照して説明する。
図20及び図21は、実施の形態2に係る情報処理装置100のシナリオ管理部103及びシナリオ制御部104の詳細動作の流れを示すフローチャートである。
まず、ステップS201〜S203が行われる。なお、S201〜S203は図12に示したものと同様であるため、説明を省略する。
次に、ステップS501では、S203においてシナリオ検索部141がシナリオ記憶部106からシナリオを取得できたかどうかによって処理が分かれる。シナリオ検索部141がシナリオを取得できた場合はS502が実施され、シナリオ検索部141がシナリオを取得できない場合はS206が実施される。
ステップS502では、シナリオ更新部142がシナリオ検索部141から得られたシナリオ及び攻撃イベント登録部132から入力されたイベント属性情報をシナリオ統合部144に入力する。
次に、ステップS503において、シナリオ検索部141が取得したシナリオに関与候補要素の監視イベント情報が含まれるか否かで処理が分かれる。シナリオ検索部141が取得したシナリオに関与候補要素の監視イベント情報が含まれる場合、すなわち、検知アラート400で通知された検知イベントが監視イベントであり、検知アラート400で通知された検知イベントの発生に関与したシステム構成要素が関与候補要素である場合には、ステップS504が実施される。一方、シナリオ検索部141が取得したシナリオに関与候補要素の監視イベント情報が含まれない場合は、ステップS205が実施される。
なお、シナリオ統合部144は、連携予測IDが記述される監視イベント情報がシナリオに含まれるか否かを確認することでS504の判定を行うことができる。
図22に連携予測IDを含む監視イベント情報の例を示す。
符号35の主IDは、関与候補要素のシナリオへの関与候補要素の監視イベント情報の追加の起点となった監視イベント情報(イベント関与要素の監視イベント情報)のIDである。主IDは、関与候補要素指定部143が、他のシナリオ(関与候補要素のシナリオ)に監視イベント情報を追加可能となった際に、起点となった監視イベント情報(イベント関与要素の監視イベント情報)に付与する。なお、主IDに付与する値は、主IDごとに個別の値とする。
符号35の子IDは、主IDが付与された監視イベント情報(イベント関与要素の監視イベント情報)から派生した監視イベント情報(関与候補要素の監視イベント情報)のIDである。
子IDは、関与候補要素指定部143が、関与候補要素の監視イベント情報を関与要素のシナリオに追加する際に、関与候補要素の監視イベント情報に付与する。なお、子IDに付与する値は、子IDごとに個別の値とする。
以下では、主IDが付与されている監視イベント情報(イベント関与要素の監視イベント情報)を派生元の監視イベント情報ともいい、子IDが付与されている監視イベント情報(関与候補要素の監視イベント情報)を派生先の監視イベント情報ともいう。
一方、連携予測ID34に主IDのみであれば、シナリオ統合部144はステップS503でNOと判定する。
ステップS504の具体的な処理の流れは、図23を参照して説明する。
図23は、シナリオ統合部144が関与候補要素の監視イベント情報の派生元の監視イベント情報(イベント関与要素の監視イベント情報)が含まれるシナリオ(イベント関与情報のシナリオ)を検索する動作の流れを示す。
次に、ステップS602において、シナリオ検索部141は、関与候補要素の監視イベント情報内の連携予測IDの主IDと同じ主IDが記述されるが、子IDは記述されていない監視イベント情報を含むシナリオを検索する。
次に、ステップS603において、S602の検索の結果、シナリオ検索部141がシナリオを取得したかどうかで処理が分かれる。シナリオ検索部141がシナリオを取得した場合は、S604が実行され、シナリオ検索部141がシナリオを取得しなかった場合は、処理が終了する。
ステップS604において、シナリオ検索部141は、S602の検索で取得したシナリオをシナリオ統合部144に出力し、処理を終了する。
シナリオ統合部144は、2つのシナリオ内のイベント属性情報を1つのシナリオに集約させてシナリオを統合する。このとき、2つのシナリオに同じイベント種別情報が含まれている場合は、シナリオ統合部144は、イベント属性情報の束縛済み変数情報を集約させ、1つのイベント属性情報とする。
図24の例では、イベント属性情報36のうち、符号37に示される束縛変数情報において、符号38に示されるように、変数名A及び変数名Hの要素がそれぞれ「USER1
OR USER2」、「H_1 OR H_2」となっている。図24は、イベント種別として「ANOMALOUS_FILE_ACCESS」が記述されており、束縛済み変数情報に変数Aの束縛値として「USER1」が記述され、変数Hの束縛値として「H_1」が記述されているイベント属性情報と、イベント種別として「ANOMALOUS_FILE_ACCESS」が記述されており、束縛済み変数情報に変数Aの束縛値として「USER2」が記述され、変数Hの束縛値として「H_2」が記述されているイベント属性情報とを集約させた例を示す。シナリオ統合部144は、図24のように、束縛済み変数の異なる要素はORで統合する。
以上のように、本実施の形態では、実施の形態1によって新たに監視を開始した攻撃イベントを検知した際に、派生元のシナリオと、検知された攻撃イベントについてのシナリオとを統合することで、攻撃者の一連の攻撃活動を1つのシナリオで管理することができる。
これにより、例えば1つのシナリオ上で一定個数の攻撃イベントを検知した場合にサイバー攻撃が発生したとみなす検知システムでは、2以上のシナリオで管理していた攻撃者の活動が1つのシナリオに集約され、管理されることで、サイバー攻撃の検知精度を向上させることができる。
***構成の説明***
本実施の形態では、シナリオ統合部144によるシナリオの統合を許可するか否かを判定する構成を説明する。
以下では、主に実施の形態1及び実施の形態2との差異を説明する。以下で説明していない事項は、実施の形態1及び実施の形態2と同様である。
本実施の形態においても、システム構成例は図1に示す通りである。
また、本実施の形態においても、情報処理装置100の機能構成例は図2に示す通りであるが、シナリオ制御部104の内部構成例が実施の形態1及び実施の形態2とは異なる。
図25は、本実施の形態に係るシナリオ管理部103及びシナリオ制御部104の詳細な構成の例を示す。
図25に示すように、シナリオ管理部103は実施の形態1及び実施の形態2と同様の構成であり、シナリオ制御部104には実施の形態2の構成に加え、シナリオ統合判定部145が配置されている。
シナリオ統合判定部145は、シナリオ統合部144によるイベント関与要素のシナリオと関与候補要素のシナリオとの統合を許可するか否かを判定する。
なお、本実施の形態でも、情報処理装置100は、図4に示すように、例えばプロセッサ901、記憶装置902、レシーバー903、トランスミッター904というハードウェアで構成される。
実施の形態3に係る情報処理装置100の動作例を図27及び図28を参照して説明する。
図27及び図28は、実施の形態3に係る情報処理装置100のシナリオ管理部103及びシナリオ制御部104の詳細動作の流れを示すフローチャートである。
まず、図20におけるステップS503までの処理が行われ、更に、図21のS504の処理が行われて、シナリオ統合部144が派生元のシナリオを取得する。
次に、ステップS801において、シナリオ統合部144が、S502で取得したシナリオとS504で取得したシナリオを、シナリオ統合判定部145に入力する。
次に、ステップS802において、シナリオ統合判定部145は、双方のシナリオにおいて、共通するイベント属性情報にシナリオ統合除外識別子が記述されているかどうかを確認する。
双方のシナリオにおいて、共通するイベント属性情報にシナリオ統合除外識別子が記述されている場合は、ステップS205が実施される。つまり、シナリオ統合判定部145は、イベント関与要素のシナリオと関与候補要素のシナリオとの統合を許可せず、このため、シナリオ統合部144は、イベント関与要素のシナリオと関与候補要素のシナリオとを統合しない。
一方、共通するイベント属性情報にシナリオ統合除外識別子が記述されていない場合は、S505が実施される。つまり、シナリオ統合判定部145は、イベント関与要素のシナリオと関与候補要素のシナリオとの統合を許可し、このため、シナリオ統合部144は、イベント関与要素のシナリオと関与候補要素のシナリオとを統合する。
以降の処理は実施の形態2と同様である。
図26が示すように、イベント属性情報40には、符号41に示されるように、シナリオ統合除外識別子が含まれている。
前述したように、シナリオ統合判定部145は、2つのシナリオにおいて、共通するイベント属性情報にシナリオ統合除外識別子が記述されているかどうかを確認する。そして、共通するイベント属性情報にシナリオ統合除外識別子が記述されていなければ、シナリオ統合判定部145は、シナリオの統合を許可し、記述されていればシナリオの統合を許可しない。
なお、シナリオ統合判定部145は、共通するイベント属性情報にシナリオ統合除外識別子が記述されているか否かを確認する際は、イベント属性情報に含まれる束縛済み変数情報の違いは考慮せず、イベント種別のみを比較する。
以上のように、本実施の形態では、シナリオの統合を行わないことで、複数の攻撃者が存在した場合に攻撃者ごとのシナリオで攻撃活動を監視することが可能である。これにより、複数の攻撃活動を1人の攻撃者による攻撃活動と誤認してしまうことによる被害を防ぐことができる。複数の攻撃活動を1人の攻撃者による攻撃活動と誤認すると、各攻撃活動を有効に検知することができずに、被害が拡大してしまうが、本実施の形態ではこうした被害を未然に防止することができる。
***構成の説明***
本実施の形態では、シナリオ更新部142による関与候補要素の監視イベント情報の関与候補要素のシナリオへの追加を許可するか否かを判定する構成を説明する。
以下では、主に実施の形態1〜3との差異を説明する。以下で説明していない事項は、実施の形態1〜3と同様である。
本実施の形態においても、システム構成例は図1に示す通りである。
また、本実施の形態においても、情報処理装置100の機能構成例は図2に示す通りであるが、シナリオ制御部104の内部構成例が実施の形態1〜3とは異なる。
図29は、本実施の形態に係るシナリオ管理部103及びシナリオ制御部104の詳細な構成の例を示す。
図29に示すように、シナリオ管理部103は実施の形態1〜3と同様の構成であり、シナリオ制御部104には実施の形態3の構成に加え、シナリオ追加判定部146が配置されている。
シナリオ追加判定部146は、シナリオ更新部142による関与候補要素の監視イベント情報の関与候補要素のシナリオへの追加を許可するか否かを判定する。
なお、本実施の形態でも、情報処理装置100は、図4に示すように、例えばプロセッサ901、記憶装置902、レシーバー903、トランスミッター904というハードウェアで構成される。
実施の形態4に係る情報処理装置100の動作例を図30及び図31を参照して説明する。
図30及び図31は、実施の形態4に係る情報処理装置100のシナリオ管理部103及びシナリオ制御部104の詳細動作の流れを示すフローチャートである。
まず、図14におけるステップS213までの処理が行われ、更に、図14におけるステップS214の処理が行われる。
ステップS214において関与候補要素指定部143が検索結果のシナリオを取得した場合は、S701が実施され、関与候補要素指定部143が検索結果のシナリオを取得しない場合は、S215が実施される。
ステップS701では、関与候補要素指定部143が、シナリオ追加判定部146に、イベント関与要素のシナリオと関与候補要素のシナリオを入力する。
次に、ステップS702において、シナリオ追加判定部146は、双方のシナリオにおいて、共通するイベント属性情報にシナリオ統合除外識別子が記述されているかどうかを確認する。シナリオ統合除外識別子は、実施の形態3で説明したものと同様である。
双方のシナリオにおいて、共通するイベント属性情報にシナリオ統合除外識別子が記述されている場合は、ステップS703が実施される。つまり、シナリオ追加判定部146は、監視イベント情報の関与候補要素のシナリオへの追加を許可せず、このため、シナリオ更新部142は、関与候補要素のシナリオを破棄する。
一方、共通するイベント属性情報にシナリオ統合除外識別子が記述されていない場合は、S215が実施される。つまり、シナリオ追加判定部146は、監視イベント情報の関与候補要素のシナリオへの追加を許可し、このため、関与候補要素指定部143は、関与候補要素のシナリオごとに、監視イベント情報を生成し、監視イベント情報とシナリオを監視イベント指定部131に出力する。
以降の処理は実施の形態1と同様であり、シナリオ更新部142は関与候補要素の監視イベント情報を関与候補要素のシナリオに追加して、関与候補要素のシナリオを更新する。
以上のように、本実施の形態では、監視イベント情報の生成前に、監視イベント情報を関与候補要素のシナリオに追加するか否かを判定するため、不要な監視イベント情報の生成を削減することが可能である。
これにより、情報処理装置100の演算負荷を低減することができる。
あるいは、これらの実施の形態のうち、1つを部分的に実施しても構わない。
あるいは、これらの実施の形態のうち、2つ以上を部分的に組み合わせて実施しても構わない。
なお、本発明は、これらの実施の形態に限定されるものではなく、必要に応じて種々の変更が可能である。
最後に、情報処理装置100のハードウェア構成の補足説明を行う。
情報処理装置100はコンピュータである。
図4に示すプロセッサ901は、プロセッシングを行うIC(Integrated Circuit)である。
プロセッサ901は、CPU(Central Processing Unit)、DSP(Digital Signal Processor)等である。
図4に示す記憶装置902は、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ、HDD(Hard
Disk Drive)等である。
図4に示すレシーバー903はデータを受信し、トランスミッター904はデータを送信する。レシーバー903及びトランスミッター904は、例えば、通信チップ又はNIC(Network Interface Card)である。
そして、OSの少なくとも一部がプロセッサ901により実行される。
プロセッサ901はOSの少なくとも一部を実行しながら、アラート受信部101、イベント属性情報検索部102、シナリオ管理部103及びシナリオ制御部104(以下、これらをまとめて「部」という)の機能を実現するプログラムを実行する。
図4では、1つのプロセッサが図示されているが、情報処理装置100が複数のプロセッサを備えていてもよい。
また、「部」の処理の結果を示す情報やデータや信号値や変数値が、記憶装置902、又は、プロセッサ901内のレジスタ又はキャッシュメモリに記憶される。
また、「部」の機能を実現するプログラムは、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD等の可搬記憶媒体に記憶されてもよい。
「プロセッシングサーキットリー」又は「回路」は、プロセッサ901だけでなく、ロジックIC又はGA(Gate Array)又はASIC(Application Specific Integrated Circuit)又はFPGA(Field−Programmable Gate Array)といった他の種類の処理回路をも包含する概念である。
Claims (11)
- 複数のシステム構成要素が含まれる情報システムを攻撃する攻撃イベントが検知され、検知された攻撃イベントである検知イベントと前記検知イベントの発生に関与したシステム構成要素であるイベント関与要素とが通知された場合に、前記検知イベントの次に、前記イベント関与要素の関与により発生し得る攻撃イベントを監視イベントとして指定する監視イベント指定部と、
前記複数のシステム構成要素のうち前記イベント関与要素以外に前記監視イベントの発生に関与し得るシステム構成要素を関与候補要素として指定する関与候補要素指定部とを有する情報処理装置。 - 前記関与候補要素指定部は、
前記イベント関与要素以外のシステム構成要素のうち、前記監視イベントと関連する攻撃イベントが発生しているシステム構成要素を、前記関与候補要素として指定する請求項1に記載の情報処理装置。 - 前記情報処理装置は、更に、
複数の攻撃イベントについて、攻撃イベントごとに、攻撃イベントの属性値が示されるイベント属性情報を記憶するイベント属性情報記憶部と、
検知された攻撃イベントのイベント属性情報を、検知された攻撃イベントの発生に関与したシステム構成要素と対応付けて、シナリオとして記憶するシナリオ記憶部とを有し、
前記関与候補要素指定部は、
前記イベント属性情報記憶部に記憶されている複数のイベント属性情報のうち前記監視イベントのイベント属性情報を取得し、取得した前記監視イベントのイベント属性情報に前記監視イベントに関連する攻撃イベントの属性値が記述されている場合に、前記イベント関与要素以外のシステム構成要素のうち、前記監視イベントのイベント属性情報に記述されている属性値と同じ属性値が記述されているイベント属性情報がシナリオに含まれるシステム構成要素を、前記関与候補要素として指定する請求項2に記載の情報処理装置。 - 前記イベント属性情報記憶部は、
攻撃イベントの属性値として、攻撃イベントの発生後の状態を表す状態値が少なくとも示されるイベント属性情報を記憶しており、
前記関与候補要素指定部は、
前記監視イベントのイベント属性情報に前記状態値以外に前記監視イベントに関連する攻撃イベントの属性値が記述されている場合に、前記イベント関与要素以外のシステム構成要素のうち、前記監視イベントのイベント属性情報に記述されている属性値と同じ状態値が記述されているイベント属性情報がシナリオに含まれるシステム構成要素を、前記関与候補要素として指定する請求項3に記載の情報処理装置。 - 前記情報処理装置は、
前記監視イベントのイベント属性情報を、前記イベント関与要素のシナリオと前記関与候補要素のシナリオに追加するシナリオ更新部を有し、
前記シナリオ記憶部は、
前記監視イベントのイベント属性情報が追加された前記イベント関与要素のシナリオと、前記監視イベントのイベント属性情報が追加された前記関与候補要素のシナリオを記憶する請求項3に記載の情報処理装置。 - 前記情報処理装置は、更に、
前記シナリオ更新部による前記監視イベントのイベント属性情報の前記関与候補要素のシナリオへの追加を許可するか否かを判定するシナリオ追加判定部を有し、
前記シナリオ更新部は、
前記シナリオ追加判定部により前記監視イベントのイベント属性情報の前記関与候補要素のシナリオへの追加が許可された場合に、前記監視イベントのイベント属性情報を前記イベント関与要素のシナリオと前記関与候補要素のシナリオに追加し、
前記シナリオ追加判定部により前記監視イベントのイベント属性情報の前記関与候補要素のシナリオへの追加が許可されない場合に、前記監視イベントのイベント属性情報を前記イベント関与要素のシナリオにのみ追加する請求項5に記載の情報処理装置。 - 前記情報処理装置は、更に、
前記シナリオ記憶部に前記監視イベントのイベント属性情報が追加された前記イベント関与要素のシナリオと、前記監視イベントのイベント属性情報が追加された前記関与候補要素のシナリオが記憶されており、新たに検知された攻撃イベントとして前記監視イベントが通知され、前記監視イベントの発生に関与したシステム構成要素として前記関与候補要素が通知された場合に、前記シナリオ記憶部の前記イベント関与要素のシナリオと前記関与候補要素のシナリオとを統合するシナリオ統合部を有する請求項5に記載の情報処理装置。 - 前記情報処理装置は、更に、
前記シナリオ統合部による前記イベント関与要素のシナリオと前記関与候補要素のシナリオとの統合を許可するか否かを判定するシナリオ統合判定部を有し、
前記シナリオ統合部は、
前記シナリオ統合判定部により前記イベント関与要素のシナリオと前記関与候補要素のシナリオとの統合が許可された場合に、前記イベント関与要素のシナリオと前記関与候補要素のシナリオとを統合し、
前記シナリオ統合判定部により前記イベント関与要素のシナリオと前記関与候補要素のシナリオとの統合が許可されない場合に、前記イベント関与要素のシナリオと前記関与候補要素のシナリオとを統合しない請求項7に記載の情報処理装置。 - 前記情報処理装置は、更に、
前記情報システムを監視する監視装置に、前記イベント関与要素での前記監視イベントの監視と前記関与候補要素での前記監視イベントの監視を指示する監視指示部を有する請求項1に記載の情報処理装置。 - 複数のシステム構成要素が含まれる情報システムを攻撃する攻撃イベントが検知され、検知された攻撃イベントである検知イベントと前記検知イベントの発生に関与したシステム構成要素であるイベント関与要素とが通知された場合に、コンピュータが、前記検知イベントの次に、前記イベント関与要素の関与により発生し得る攻撃イベントを監視イベントとして指定し、
前記コンピュータが、前記複数のシステム構成要素のうち前記イベント関与要素以外に前記監視イベントの発生に関与し得るシステム構成要素を関与候補要素として指定する情報処理方法。 - 複数のシステム構成要素が含まれる情報システムを攻撃する攻撃イベントが検知され、検知された攻撃イベントである検知イベントと前記検知イベントの発生に関与したシステム構成要素であるイベント関与要素とが通知された場合に、前記検知イベントの次に、前記イベント関与要素の関与により発生し得る攻撃イベントを監視イベントとして指定する監視イベント指定処理と、
前記複数のシステム構成要素のうち前記イベント関与要素以外に前記監視イベントの発生に関与し得るシステム構成要素を関与候補要素として指定する関与候補要素指定処理とをコンピュータに実行させる情報処理プログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2015/084931 WO2017103974A1 (ja) | 2015-12-14 | 2015-12-14 | 情報処理装置、情報処理方法及び情報処理プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP6239215B2 JP6239215B2 (ja) | 2017-11-29 |
JPWO2017103974A1 true JPWO2017103974A1 (ja) | 2017-12-14 |
Family
ID=59056138
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017547012A Expired - Fee Related JP6239215B2 (ja) | 2015-12-14 | 2015-12-14 | 情報処理装置、情報処理方法及び情報処理プログラム |
Country Status (5)
Country | Link |
---|---|
US (1) | US20180307832A1 (ja) |
EP (1) | EP3373179B1 (ja) |
JP (1) | JP6239215B2 (ja) |
CN (1) | CN108351939A (ja) |
WO (1) | WO2017103974A1 (ja) |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2649793C2 (ru) | 2016-08-03 | 2018-04-04 | ООО "Группа АйБи" | Способ и система выявления удаленного подключения при работе на страницах веб-ресурса |
RU2671991C2 (ru) | 2016-12-29 | 2018-11-08 | Общество с ограниченной ответственностью "Траст" | Система и способ сбора информации для обнаружения фишинга |
RU2637477C1 (ru) * | 2016-12-29 | 2017-12-04 | Общество с ограниченной ответственностью "Траст" | Система и способ обнаружения фишинговых веб-страниц |
US10715545B2 (en) * | 2017-09-22 | 2020-07-14 | Microsoft Technology Licensing, Llc | Detection and identification of targeted attacks on a computing system |
RU2689816C2 (ru) | 2017-11-21 | 2019-05-29 | ООО "Группа АйБи" | Способ для классифицирования последовательности действий пользователя (варианты) |
RU2680736C1 (ru) | 2018-01-17 | 2019-02-26 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Сервер и способ для определения вредоносных файлов в сетевом трафике |
RU2677361C1 (ru) | 2018-01-17 | 2019-01-16 | Общество с ограниченной ответственностью "Траст" | Способ и система децентрализованной идентификации вредоносных программ |
RU2677368C1 (ru) | 2018-01-17 | 2019-01-16 | Общество С Ограниченной Ответственностью "Группа Айби" | Способ и система для автоматического определения нечетких дубликатов видеоконтента |
RU2668710C1 (ru) | 2018-01-17 | 2018-10-02 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Вычислительное устройство и способ для обнаружения вредоносных доменных имен в сетевом трафике |
RU2676247C1 (ru) | 2018-01-17 | 2018-12-26 | Общество С Ограниченной Ответственностью "Группа Айби" | Способ и компьютерное устройство для кластеризации веб-ресурсов |
RU2681699C1 (ru) | 2018-02-13 | 2019-03-12 | Общество с ограниченной ответственностью "Траст" | Способ и сервер для поиска связанных сетевых ресурсов |
RU2708508C1 (ru) | 2018-12-17 | 2019-12-09 | Общество с ограниченной ответственностью "Траст" | Способ и вычислительное устройство для выявления подозрительных пользователей в системах обмена сообщениями |
RU2701040C1 (ru) | 2018-12-28 | 2019-09-24 | Общество с ограниченной ответственностью "Траст" | Способ и вычислительное устройство для информирования о вредоносных веб-ресурсах |
WO2020176005A1 (ru) | 2019-02-27 | 2020-09-03 | Общество С Ограниченной Ответственностью "Группа Айби" | Способ и система идентификации пользователя по клавиатурному почерку |
JP2020160611A (ja) * | 2019-03-25 | 2020-10-01 | クラリオン株式会社 | テストシナリオ生成装置、テストシナリオ生成方法、テストシナリオ生成プログラム |
RU2728498C1 (ru) | 2019-12-05 | 2020-07-29 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система определения принадлежности программного обеспечения по его исходному коду |
RU2728497C1 (ru) | 2019-12-05 | 2020-07-29 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система определения принадлежности программного обеспечения по его машинному коду |
RU2743974C1 (ru) | 2019-12-19 | 2021-03-01 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Система и способ сканирования защищенности элементов сетевой архитектуры |
SG10202001963TA (en) | 2020-03-04 | 2021-10-28 | Group Ib Global Private Ltd | System and method for brand protection based on the search results |
US11475090B2 (en) | 2020-07-15 | 2022-10-18 | Group-Ib Global Private Limited | Method and system for identifying clusters of affiliated web resources |
RU2743619C1 (ru) | 2020-08-06 | 2021-02-20 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система генерации списка индикаторов компрометации |
US11947572B2 (en) | 2021-03-29 | 2024-04-02 | Group IB TDS, Ltd | Method and system for clustering executable files |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015059791A1 (ja) * | 2013-10-24 | 2015-04-30 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030084349A1 (en) * | 2001-10-12 | 2003-05-01 | Oliver Friedrichs | Early warning system for network attacks |
US8863293B2 (en) * | 2012-05-23 | 2014-10-14 | International Business Machines Corporation | Predicting attacks based on probabilistic game-theory |
-
2015
- 2015-12-14 WO PCT/JP2015/084931 patent/WO2017103974A1/ja active Application Filing
- 2015-12-14 EP EP15910665.7A patent/EP3373179B1/en not_active Not-in-force
- 2015-12-14 JP JP2017547012A patent/JP6239215B2/ja not_active Expired - Fee Related
- 2015-12-14 US US15/771,641 patent/US20180307832A1/en not_active Abandoned
- 2015-12-14 CN CN201580083932.XA patent/CN108351939A/zh not_active Withdrawn
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015059791A1 (ja) * | 2013-10-24 | 2015-04-30 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
Also Published As
Publication number | Publication date |
---|---|
JP6239215B2 (ja) | 2017-11-29 |
CN108351939A (zh) | 2018-07-31 |
EP3373179B1 (en) | 2019-08-07 |
EP3373179A1 (en) | 2018-09-12 |
US20180307832A1 (en) | 2018-10-25 |
WO2017103974A1 (ja) | 2017-06-22 |
EP3373179A4 (en) | 2018-09-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6239215B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
US10601848B1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
US10855700B1 (en) | Post-intrusion detection of cyber-attacks during lateral movement within networks | |
US10467411B1 (en) | System and method for generating a malware identifier | |
CN109992989B (zh) | 使用抽象语法树的用于查询注入检测的系统 | |
US9853994B2 (en) | Attack analysis system, cooperation apparatus, attack analysis cooperation method, and program | |
CN106537872B (zh) | 用于检测计算机网络中的攻击的方法 | |
US20180034837A1 (en) | Identifying compromised computing devices in a network | |
US9584541B1 (en) | Cyber threat identification and analytics apparatuses, methods and systems | |
TW201642135A (zh) | 文件檢測方法、裝置及系統 | |
US20160014148A1 (en) | Web anomaly detection apparatus and method | |
JP6058246B2 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
JP6524789B2 (ja) | ネットワーク監視方法、ネットワーク監視プログラム及びネットワーク監視装置 | |
JP5739034B1 (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
CN112073437A (zh) | 多维度的安全威胁事件分析方法、装置、设备及存储介质 | |
CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
US20220253430A1 (en) | Cloud-based Data Loss Prevention | |
JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
US20210374121A1 (en) | Data Loss Prevention via Indexed Document Matching | |
JP2010250607A (ja) | 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム | |
JP2017211806A (ja) | 通信の監視方法、セキュリティ管理システム及びプログラム | |
JP2019186686A (ja) | ネットワーク監視装置,ネットワーク監視プログラム及びネットワーク監視方法 | |
CN111079144B (zh) | 一种病毒传播行为检测方法及装置 | |
Kolokotronis et al. | Cyber-trust: The shield for IoT cyber-attacks | |
Hsiao et al. | Detecting stepping‐stone intrusion using association rule mining |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170906 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20170906 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20170925 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20171003 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20171031 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6239215 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |