TW202018566A

TW202018566A - 資訊處理裝置、資訊處理方法及資訊處理程式產品

Info

Publication number: TW202018566A
Application number: TW108107785A
Authority: TW
Inventors: 山本匠; 島邉遼佑; 浅井健志; 河內清人
Original assignee: 日商三菱電機股份有限公司
Priority date: 2018-11-01
Filing date: 2019-03-08
Publication date: 2020-05-16
Also published as: US20210224397A1; JPWO2020090077A1; WO2020090077A1; JP6847326B2

Abstract

本發明之評估樹產生部(101)產生針對依據使用謂詞邏輯的推理之資訊系統的攻擊樹作為評估樹。黃金樹產生部(102)使用顯示資訊系統的網路構成之網路構成資訊、與對於資訊系統的侵駭顯示假設的侵駭順序之侵駭順序資訊，網羅對資訊系統的侵駭路徑並產生反映對資訊系統的侵駭順序之黃金樹。樹比較部(103)比較評估樹與黃金樹。

Description

資訊處理裝置、資訊處理方法及資訊處理程式產品

本發明為有關一種攻擊樹的評估。

近年來，根據機密資訊或個人資訊的洩漏事件、藉由勒索軟體的被害等，增加處理資訊資產之企業的資安重要性。又，伴隨控制系統的網路化，對發電廠、燃氣廠等重要公共設施的虛擬攻擊逐漸變成威脅。此等虛擬攻擊變成動搖國家安全保障的重大關心事項。作為對於重要公共設施的攻擊代表事例，舉例如在伊朗的核能發電設備發生的超級病毒(Stuxnet)。在本事例中，可以說是經由USB記憶體使操作控制系統的內部網路機器感染到惡意軟體，再竄改控制離心分離裝置的程式，根據該裝置的不正當運作而對濃縮鈾的製造產生影響。雖然遠心分離裝置等沒有與網路連接(air-gapped；氣隙)，但是作為攻擊路徑之一，被報告出有內部工作人員利用的USB記憶體。從此事得知，必須預先假設各種威脅提升安全。

為了提升安全，首先，清楚了解對於攻擊目標的威脅及其風險之安全分析為重要的。在安全分析中，將對於攻擊目標的威脅作成一覽表。其次，對於發生頻率高且具有重大影響的威脅分配高風險值。接著，對於分配有高風險值的威脅優先實施適當對策。在將威脅作成一覽表時，若一覽表有缺漏就沒有意義。為此，進行使用攻擊樹等工具，系統性擷取出對攻擊目標的侵駭順序。習知以來，攻擊樹的作成是透過人力予以進行的。為此，作成的攻擊樹品質依存於作成者的創造力、經驗、技巧。也會有在作成時摻雜錯誤的可能性，針對作成的攻擊樹之網羅性通常都帶有疑問。因此，考量利用Prolog等謂詞邏輯的推理引擎，以被給予的前提知識為根基，推理出對於攻擊目標的侵駭順序，從推理過程自動產生攻擊樹的技術(例如非專利文獻1及非專利文獻2)。之後，這般之自動產生攻擊樹的技術稱為攻擊樹自動產生技術。根據攻擊樹自動產生技術，由於在攻擊樹的產生過程中沒有透過人力，因此攻擊樹的網羅性不會依存人的創造性及經驗。在本技術中，以事前準備的前提知識與推理規則為根基，推理出設定的攻擊目標是否成功。在測試過所有的組合，只以成功的推理過程為根基產生攻擊樹。由於攻擊樹的作成沒有透過人力，因此難以受到根據作成者的能力或錯誤之影響。但是，即使在攻擊樹自動產生技術中，施予到推理引擎之知識或推理規則必須利用人力予以準備。因此，即使針對使用攻擊樹自動產生技術產生的攻擊樹也無法強力主張網羅性的根據。又，在非專利文獻3中，利用形式證明評估攻擊樹。攻擊樹為在某一模型(Transition system model；轉換系統模型)之中予以產生的。因此攻擊樹的網羅性及健全性在該模型中可以被保證。但是，由於該模型是由人力作成的，因此會發生根據經驗及知識差異之模型偏差。又，在模型作成時摻雜人為錯誤的可能性為高。因此，對於在模型中所保證的網羅性及健全性仍令人懷疑。非專利文獻

非專利文獻1 歐新明(Xinming Ou)、古明達娃加拉斯哈卡(Sudhakar Govindavajhala)、艾普爾安卓 W. (Andrew W. Appel)在2005年SSYM會議第14屆USENIX安全研討會會議發表之MulVAL:基於邏輯的網絡安全分析器(MulVAL: A Logic-based Network Security Analyzer)-第14卷非專利文獻2 淺井健志、島邊遼佑、河內清人在SCIS2018 密碼與資訊安全研討論發表之虛擬攻擊對策選定取向之攻擊樹自動產生，1C1-1 非專利文獻3 奧迪努馬克斯梅(Maxime Audinot)、皮奇那蘇菲(Sophie Pinchinat)、柯爾迪芭芭拉(Barbara Kordy)在2017年CoRR abs/1706.08507增訂版發表之我的攻擊樹正確嗎?(Is my attack tree correct?)

發明欲解決之課題

如此一來，在習知的技術中，會有對於已產生的攻擊樹之網羅性有所懷疑的課題。本發明以解決這樣的課題為主要目的。具體而言，本發明以提高攻擊樹的網羅性為主要目的。用以解決課題之手段

有關本發明之資訊處理裝置，具有：第1攻擊樹取得部，其取得針對根據使用謂詞邏輯之推理的資訊系統之攻擊樹作為第1攻擊樹；第2攻擊樹產生部，其使用顯示前述資訊系統的網路構成之網路構成資訊、與對於前述資訊系統的侵駭顯示假設的侵駭順序之侵駭順序資訊，網羅對前述資訊系統的侵駭路徑並產生反映對前述資訊系統的侵駭順序之攻擊樹作為第2攻擊樹；及樹比較部，其比較前述第1攻擊樹與前述第2攻擊樹。發明效果

在本發明中，由於將第1攻擊樹、與網羅對資訊系統的侵駭路徑並反映對資訊系統的侵駭順序之第2攻擊樹進行比較，因此可以評估第1攻擊樹的網羅性。為此，可以將評估結果反饋到第1攻擊樹產生順序，可以提高第1攻擊樹的網羅性。

以下，針對本發明之實施形態，使用圖面進行說明。在以下的實施形態之說明及圖面中，附予相同符號者表示同一部分或相當的部分。

實施形態1. ＊＊＊構成說明＊＊＊第1圖顯示有關本實施形態之網羅性評估裝置100的硬體構成例之圖面。網羅性評估裝置100相當於資訊處理裝置。又，根據網羅性評估裝置100所進行的動作相當於資訊處理方法及資訊處理程式產品。

有關本實施形態之網羅性評估裝置100為電腦。網羅性評估裝置100作為硬體，具備：處理器901、主記憶裝置902、輔助記憶裝置903、通訊設備904、鍵盤905、滑鼠906及顯示器907。在輔助記憶裝置903中，記憶有實現使用第2圖後述之評估樹產生部101、黃金樹產生部102、及樹比較部103的機能之程式。該程式從輔助記憶裝置903裝載到主記憶裝置902。接著，處理器901執行該程式，進行後述之評估樹產生部101、黃金樹產生部102、及樹比較部103的動作。在主記憶裝置902或輔助記憶裝置903中，儲存評估樹產生部101、黃金樹產生部102、及樹比較部103所用的資料。又，在主記憶裝置902或輔助記憶裝置903中，儲存顯示評估樹產生部101、黃金樹產生部102、及樹比較部103的處理結果之資料。通訊設備904例如透過LAN(Local Area Network；區域網路)而與網路連接。鍵盤905及滑鼠906用於網羅性評估裝置100的使用者將各種指示輸入到網羅性評估裝置100。顯示器907用於對網羅性評估裝置100的使用者顯示各種資訊。

第2圖顯示有關本實施形態之網羅性評估裝置100的機能構成例。

網羅性評估裝置100具有：評估樹產生部101、黃金樹產生部102、及樹比較部103。如前述所示，評估樹產生部101、黃金樹產生部102、及樹比較部103例如利用程式予以實現。接著，該程式利用處理器901予以執行。在第2圖中，模式顯示處理器901在執行實現評估樹產生部101、黃金樹產生部102、及樹比較部103的機能之程式的狀態。

評估樹產生部101依據使用Prolog等謂詞邏輯的推理，產生針對攻擊對象之資訊系統的攻擊樹。評估樹產生部101所產生的攻擊樹稱為評估樹。評估樹產生部101例如使用非專利文獻1或非專利文獻2的技術產生評估樹。在評估樹中，包含複數個含有複數個攻擊步驟的攻擊路徑(以下也簡稱為路徑)。又，評估樹相當於第1攻擊樹。為此，評估樹產生部101相當於第1攻擊樹取得部。又，利用評估樹產生部101所進行的處理相當於第1攻擊樹取得處理。

黃金樹產生部102網羅攻擊對象的資訊系統之侵駭路徑並產生反映對該資訊系統的侵駭順序之攻擊樹。黃金樹產生部102所產生的攻擊樹稱為黃金樹。在黃金樹中與評估樹相同，包含複數個含有複數個攻擊步驟的攻擊路徑。黃金樹相當於第2攻擊樹。為此，黃金樹產生部102相當於第2攻擊樹產生部。又，利用黃金樹產生部102所進行的處理相當於第2攻擊樹產生處理。

樹比較部103比較評估樹及黃金樹。樹比較部103在包含於黃金樹之特定攻擊路徑所包含的複數個攻擊步驟沒有以與黃金樹相同的順序被包含在評估樹的情況下，將該特定的攻擊路徑輸出到顯示器907。利用樹比較部103所進行的處理相當於樹比較處理。

又，作為評估樹產生部101及黃金樹產生部102於攻擊樹產生所用的資料，有系統知識104、攻擊知識105、初期侵駭模板106、侵駭順序模板107、及侵駭順序轉換表108。系統知識104、攻擊知識105、初期侵駭模板106、侵駭順序模板107、及侵駭順序轉換表108儲存在主記憶裝置902或輔助記憶裝置903。在處理器901作為評估樹產生部101及黃金樹產生部102動作時，處理器901讀出系統知識104、攻擊知識105、初期侵駭模板106、侵駭順序模板107、及侵駭順序轉換表108。系統知識104、攻擊知識105、初期侵駭模板106、侵駭順序模板107、及侵駭順序轉換表108的詳細之後敘述。

第3圖為顯示有關本實施形態之網羅性評估裝置100的動作例。參照第3圖，說明有關本實施形態之網羅性評估裝置100的動作例。

在步驟S101中，評估樹產生部101產生評估樹。評估樹產生部101藉由使用Prolog等謂詞邏輯的推理基礎產生評估樹。如前述所示，評估樹產生部101例如使用非專利文獻1或非專利文獻2的技術產生評估樹。因為是推理基礎的攻擊樹產生技術，因此把推理過程作為記錄予以輸出。在Prolog中，進行利用回歸動作搜尋設定的命題(攻擊目標)是否成立之反向推理。所謂推理過程的記錄，就是在反向推理中記述成功的規則、失敗的規則之記錄。在網羅性評估裝置100中，預先準備表現攻擊對象資訊系統的知識(網路構成、脆弱性處、攻擊者的前提條件)、推理規則。具體而言，將第2圖所示之系統知識104作為表現攻擊對象資訊系統的知識，將其準備在網羅性評估裝置100中。在針對系統知識104內之攻擊對象的資訊系統網路構成之知識中，顯示資訊系統的網路構成。為此，該知識相當於網路構成資訊。又，將第2圖所示之攻擊知識105、初期侵駭模板106及侵駭順序模板107作為推理規則，將其等準備在網羅性評估裝置100中。又，在初期侵駭模板106及侵駭順序模板107中，顯示攻擊的侵駭順序。為此，初期侵駭模板106及侵駭順序模板107相當於侵駭順序資訊。當將攻擊目標輸入到評估樹產生部101時，評估樹產生部101利用前述的知識、推理規則，根據反向推理導出攻擊目標成立的所有情形(攻擊路徑)。接著，評估樹產生部101藉由連結所有的攻擊路徑而產生攻擊樹。

參照第4圖及第5圖，說明攻擊樹產生所必要的知識與規則。第4圖顯示攻擊知識105的例示。第5圖顯示系統知識104的例示。第4圖及第5圖雖然是依照Prolog的表記方法予以表記，但是表記方法不限於第4圖及第5圖所示的方法。將攻擊知識105與系統知識104輸入到評估樹產生部101，例如在「manipulateProg(a, c)(攻擊者a可以改寫機器c的程式)」的詢問時，Prolog的推理過程可以利用如第6圖的樹結構予以表現。在第6圖中，推理失敗過程的記載在主體部所寫之目標為首次失敗的階段就停止。在「manipulateProg(a, c)」為真(成立)的情況下，進行藉由回歸動作搜尋之反向推理。當從第6圖的樹結構只選出推理成功的路徑時，得到第7圖的樹結構。經過此般順序後產生評估樹。在第7圖的樹結構情況，推理出2個攻擊路徑。第1個路徑為從第7圖的左下方節點延伸的路徑。換言之，第1個路徑為「攻擊者a盜取密碼p1」(stealPass(a, p1)=True)、「攻擊者a具有機器m1的密碼p1」(hasPass(a, p1)=True pass(m1, p1)=True)、「機器m1與機器c的網路位址相同，攻擊者a可以物理性控制機器m1」(network(m1, net1)=True network(c, net1)=True physicallyControllable(a, m1)=True)、「可以從機器m1對機器c物理性存取，在機器m1具有遠端操作工具，機器m1可以被攻擊者控制」(accessible(m1, c)=True hasRemoteTool(m1)=True controllable(a, m1)=True)、「攻擊者a可以從位於遠端之機器m1控制機器c」(remoteControllable(a, M, c)=True (M=m1))、「攻擊者a可以控制機器c」(controllable(a, c)=True)、「攻擊者a可以改寫機器c的程式」(manipulateProg(a, c)=True)。第2個路徑為從第7圖的右下方節點延伸的路徑。換言之，第2個路徑為「攻擊者a盜取密碼p3」(stealPass(a, p3)=True)、「攻擊者a具有機器c的密碼p3」(hasPass(a, c)=True pass(c, p3)=True)、「攻擊者a可以物理性控制機器c」(physicallyControllable(a, c)=True)、「攻擊者a可以控制機器c」(controllable(a, c)=True)、「攻擊者a可以改寫機器c的程式」(manipulateProg(a, c)=True)。

其次，在步驟S102中，黃金樹產生部102產生黃金樹。更具體而言，黃金樹產生部102從系統知識104將網路的侵駭路徑全部一覽表化。接著，黃金樹產生部102利用初期侵駭模板106與侵駭順序模板107，網羅對資訊系統的侵駭路徑並產生反映對資訊系統的侵駭順序之黃金樹。

最後，在步驟S103中，樹比較部103比較評估樹與黃金樹，擷取出差分。

第8圖顯示黃金樹產生部102的內部構成例。如第8圖所示，黃金樹產生部102由網路網羅部1021與模板適用部1022構成。又，黃金樹產生部102使用系統知識104、初期侵駭模板106與侵駭順序模板107，產生黃金樹。

第9圖顯示黃金樹產生部102的動作例。

首先，在步驟S1021中，網路網羅部1021從系統知識104擷取出攻擊對象之資訊系統的資訊(網路構成、脆弱性處、攻擊者的前提條件)。系統知識104為了使評估樹產生部101利用推理基礎導出攻擊路徑，例如會以XML格式等機械可讀取的格式予以構成。網路網羅部1021擷取出針對存在於攻擊對象之資訊系統的所有機器之資訊。

其次，在步驟S1022中，網路網羅部1021列舉出在資訊系統內的某機器成為攻擊對象時可取得之直到該機器之不含重複的所有侵駭路徑。在系統知識104中包含資訊系統的網路構成資訊。網路網羅部1021使用資訊系統的網路構成資訊，可以邏輯性及物理性擷取出沒有矛盾的侵駭路徑。

第10圖顯示簡略化的控制系統之網路構成作為資訊系統的網路構成之一例。在第10圖的控制系統中，控制控制機器之控制器C與控制網路及保養網路連接。保養控制器C之保養電腦B與保養網路連接。監視控制器C與控制網路之顯示用顯示電腦A與控制網路連接。以下，顯示電腦A、保養電腦B、及控制器C分別簡稱為A、B、C。在第10圖的例示中，「A、B、C」為機器清單。在攻擊對象的機器為控制器C的情況下，不考量網路構成之直到控制器C之不含重複可取得的所有侵駭路徑為「C、CB、CBA、CA、CAB」。理論上的路徑數為「1+₂ P₁ +₂ P₂ 」(P意指排列)。上述「C、CB、CBA、CA、CAB」之中，單體「C」意指攻擊者直接操作控制器C進行攻擊。「CB」意指攻擊者直接操作保養電腦B侵駭控制器C，攻擊控制器C。「CBA」意指攻擊者直接操作顯示電腦A侵駭保養電腦B再侵駭控制器C，攻擊控制器C。對於「CA、CAB」亦同。當考量網路構成，排除邏輯性及物理性明顯矛盾的路徑時，侵駭路徑的組合為「C、CB、CA」。

其次，在步驟S1023中，網路網羅部1021集合擷取出的侵駭路徑，產生網羅侵駭路徑的樹結構。在第10圖的控制系統之情況下，網羅考量過網路構成的侵駭路徑之樹結構如第11圖所示。在本實施形態中，不論各節點之在階層上的位置所在(不論各節點為終端節點或中間節點)，假設攻擊者直接操作各節點侵駭到上代節點。又，在第11圖中，為了便於說明，在顯示電腦A之下配置有企業網路的節點。

其次，在步驟S1024中，模板適用部1022利用初期侵駭模板106與侵駭順序模板107，產生反映侵駭順序之樹結構。第12圖顯示初期侵駭模板106的例示。在初期侵駭中，考量了利用盜取到的密碼之登錄、經由USB記憶體之惡意軟體感染等順序。在第13圖顯示記述具體順序之初期侵駭模板106的例示。第14圖顯示侵駭順序模板107的例示。侵駭順序模板107為對每一機器形態列舉出侵駭順序的模板。根據緩衝器溢流之任意程式的執行、利用盜取到的密碼之遠端桌上型電腦連接等順序為侵駭的順序。在2個機器之間存在有複數個網路之情況下，除了機器形態，在侵駭順序模板107對每一網路形態列舉出侵駭順序亦可。在第15圖顯示記述具體順序之侵駭順序模板107的例示。記載於侵駭順序模板107及初期侵駭模板106之順序可以從參考文獻1、參考文獻2等格式化的公開資料庫擷取、利用。在第16圖顯示於第11圖的樹結構適用第13圖的初期侵駭模板106與第15圖的侵駭順序模板107後之樹結構。又，在第17圖顯示記述具體順序之樹結構。又，第18圖顯示將第17圖的記載變更為機器可讀的記載之樹結構例示。在第18圖中，「顯示電腦A」表記為「Machine A」，「保養電腦B」表記為「Machine B」。又，第18圖相當於黃金樹。參考文獻1:MITER、ATT&CK、https://attack.mitre.org/wiki/Main_Page 參考文獻2:CAPEC、https://capec.mitre.org/index.html

又，雖然也可以將控制系統內所有的節點指定為攻擊對象，對每一節點產生黃金樹，但是由於沒有效率，因此在本實施形態中，黃金樹產生部102只指定位於評估樹頂端的節點所記載之機器為攻擊對象，產生黃金樹。侵駭順序模板107及初期侵駭模板106對於所有機器為共通使用亦可。又，將侵駭順序模板107及初期侵駭模板106備於通常的PC(Personal Computer；個人電腦)、伺服器、控制器等之每一機器形態亦可。再者，將侵駭順序模板107及初期侵駭模板106備於安裝在機器之OS(Operating System；作業系統)或應用程式的每一版本亦可。

第19圖顯示樹比較部103的內部構成例。如第19圖所示，樹比較部103由路徑擷取部1031及路徑比較部1032構成。又，樹比較部103參照侵駭順序轉換表108。

第20圖顯示樹比較部103的動作例。首先，在步驟S1031中，路徑擷取部1031從黃金樹擷取出路徑。路徑擷取部1031藉由走向上代節點從黃金樹的葉節點到根節點擷取出路徑。從第18圖的黃金樹擷取出以下的10個路徑。又，在以下省略第18圖的一部分表記。 1)remoteLogin(_,machineA,passwordA)⇒manipulateProgram(machineA,controllerC,tool) 2)remoteExploit(_,machineA,vul1)⇒manipulateProgram(machineA,controllerC,tool) 3)remoteExploit(_,machineA,Vul2)⇒manipulateProgram(machineA,controllerC,tool) 4)localControl(_,machineA,passwordA)⇒manipulateProgram(machineA,controllerC,tool) 5)usbMalwareRun(_,machineA,_)⇒manipulateProgram(machineA,controllerC,tool) 6)maliciousEmailClick(_,machineA)⇒manipulateProgram(machineA,controllerC,tool) 7)usbMalwareRun(_,machineB)⇒manipulateProgram(machineB,controllerC,tool) 8)localControl(_,machineB,passwordB)⇒manipulateProgram(machineB,controllerC,tool) 9)changeProgram(_,controllerC,usb) 10)localControl(_,controllerC,passwordC)

其次，在步驟S1032中，路徑擷取部1031從評估樹擷取出路徑。路徑擷取部1031藉由走向上代節點從評估樹的葉節點到根節點擷取出路徑。又，關於本實施形態之評估樹雖然只是以OR節點予以構成，但是在評估樹也可能夠包含AND節點。在該情況下，路徑擷取部1031針對與AND節點連結之下代節點(AND條件)擷取出所有組合順序的路徑。例如在第28圖的例示中，擷取出以下6個路徑。路徑擷取部1031回歸性求出從各節點到終端節點之路徑，因應與上代節點的關係(OR或AND)，藉由變更與上代節點之路徑連結方法的要領，擷取出所有路徑。 1) A→B→D→C 2) A→B→E→F→G→C 3) A→B→E→G→F→C 4) A→C→B→D 5) A→C→B→E→F→G 6) A→C→B→E→G→F 對於第10圖的控制系統，利用評估樹產生部101產生第21圖所示之評估樹。為了易於進行與黃金樹的比較，在第22圖顯示將第21圖的記載變更為第18圖的記載格式之樹結構。從第22圖的評估樹擷取出以下的7個路徑。又，在以下省略第22圖的一部分表記。又，針對攻擊成攻所用的細微條件或規則也省略記載。 A)remoteExploit(_,machineA,vul1)⇒remoteControl(_,machineA,_)⇒control(_,machineA,_)⇒manipulateProgram(machineA,controllerC,Tool)⇒manipulateProgram(_,controllerC,_) B)remoteLogin(_,machineA,passwordA)⇒remoteControl(_,machineA,_)⇒control(_,machineA,_)⇒manipulateProgram(machineA,controllerC,tool)⇒manipulateProgram(_,controllerC,_) C)usbMalwareRun(_,machineA,_)⇒malwareInfection(_,machineA,_)⇒remoteControl(_,machineA,_)⇒control(_,machineA,_)⇒manipulateProgram(machineA,controllerC,tool)⇒manipulateProgram(_,controllerC,_) D)maliciousEmailClick(_,machineA,_)⇒malwareInfection(_,machineA,_)⇒remoteControl(_,machineA,_)⇒control(_,machineA,_)⇒manipulateProgram(machineA,controllerC,tool)⇒manipulateProgram(_,controllerC,_) E)localControl(_,machineB,passwordB)⇒control(_,machineB,_)⇒manipulateProgram(machineB,controllerC,tool)⇒manipulateProgram(_,controllerC,_) F)usbMalwareRun(_,machineB,_)⇒malwareInfection(_,machineB,_)⇒control(_,machineB,_)⇒manipulateProgram(machineB,controllerC,tool)⇒manipulateProgram(_,controllerC,_) G)changeProgram(_,controllerC,usb)⇒manipulateProgram(_,controllerC,_)

在步驟S1033中，路徑比較部1032比較分別從黃金樹與評估樹擷取出的路徑。接著，路徑比較部1032從評估樹擷取出一定包含在黃金樹的路徑中之攻擊步驟的路徑。為了說明，將從黃金樹擷取出的攻擊路徑之攻擊步驟以gStep(構件為a, nf, nt, i, s)表示。攻擊步驟gStep意指主體gStep.s利用侵駭順序gStep.a，使用補充資訊gStep.i，從攻擊起始節點gStep.nf攻擊攻擊目的節點gStep.nt。在malEmailClick(m1, x, , )的情況下，gStep.a為malEmailClick。gStep.nf為x。gStep.nt為m1。gStep.i為「」(隨意項)。gStep.s為「」(隨意項)。同樣，將從評估樹擷取出的攻擊路徑之攻擊步驟以aStep(構件為a, nf, nt, i,侵駭順序s)表示。攻擊步驟aStep意指主體aStep.s利用侵駭順序aStep.a，使用補充資訊aStep.i，從攻擊起始節點aStep.nf攻擊攻擊目的節點aStep.nt。在remExp(a, x, m1, vul1)的情況下，aStep.a為remExp。aStep.s為a。aStep.nf為x。aStep.nt為m1。aStep.i為vul1。如「access(x, m1, , _)、clickMalEmaill(a, x, m1, _)、control(a, x, _, _)」所示，也會有在1個攻擊步驟之中包含複數個侵駭順序(或是條件)的情況。這般的攻擊步驟與要件個數無關，將其以侵駭順序的集合進行處理。從黃金樹擷取出的各攻擊路徑為使攻擊步驟(侵駭順序)為要件之順序表。從評估樹擷取出的各攻擊路徑為使攻擊步驟(侵駭順序的集合)為要件之順序表。路徑比較部1032如以下所示，比較黃金樹的攻擊路徑與評估樹的攻擊路徑。

路徑比較部1032將從黃金樹擷取出的攻擊路徑1個個撿選，進一步將從評估樹擷取出的攻擊路徑1個個撿選。其次，路徑比較部1032從評估樹搜尋依序包含被包含在黃金樹的攻擊路徑之所有要件(侵駭順序)的攻擊路徑。以侵駭順序的集合表現評估樹攻擊路徑的各要件。為此，路徑比較部1032判定黃金樹攻擊步驟的侵駭順序是否包含在評估樹的侵駭順序之集合。

為了黃金樹與評估樹所利用的侵駭順序(侵入手法及侵駭手法)格式不同的情況(例如malEmailClick(x, m1)與clickMalEmaill(a, x, m1))，以取得侵駭順序間的對應關係之方式準備侵駭順序轉換表108。在各自的侵駭手法中，預先關聯有CAPE或ATT&CK等攻擊手法的辨別碼。在侵駭順序轉換表108中，除了對應的攻擊手法名、主體、補充資訊、攻擊起始節點、攻擊目的節點，也記載對應的辨識碼(CAPE或ATT&CK)。藉由路徑比較部1032比較黃金樹的攻擊路徑與評估樹的攻擊路徑，以字典格式輸出與黃金樹的攻擊路徑對應之評估樹的攻擊路徑。將這般的路徑比較部1032之比較動作稱為matchedAttackPathDict。

在第23圖顯示實現路徑比較部1032的比較動作之疑似碼(compareAttackPaths)。在matchedAttackPathDict中，成為空集合(ψ)之各登錄(gPath)為欲求出的差分(包含在黃金樹但沒有包含在評估樹之攻擊路徑)。

最後，在步驟S1034中，路徑比較部1032輸出評估結果。例如，在評估樹中存在有無法網羅的路徑之情況下，路徑比較部1032將在評估樹中無法網羅的路徑顯示於顯示器907。網羅性評估裝置100的使用者分析顯示於顯示器907的路徑後，可以訂正系統知識104、攻擊知識105等，可以提升評估路徑的網羅性。

＊＊＊實施形態的效果說明＊＊＊在本實施形態中，由於將評估樹、與網羅對資訊系統的侵駭路徑並反映對資訊系統的侵駭順序之黃金樹進行比較，可以評估評估樹的網羅性。又，在本實施形態中，可以擷取出利用評估樹無法網羅的路徑，將擷取出的路徑提示給網羅性評估裝置100的使用者。為此，使用者可以將提示內容反饋到評估樹的產生順序，該結果為可以提高評估樹的網羅性。

實施形態2. 在實施形態1中，在擷取出利用評估樹無法網羅的路徑之情況下，只將擷取出的路徑提示給使用者。在本實施形態中，在擷取出利用評估樹無法網羅的路徑之情況下，說明顯示該路徑無法利用評估樹網羅的理由之構成。

＊＊＊構成之說明＊＊＊在本實施形態亦同，網羅性評估裝置100的硬體構成例如第1圖所示。又，網羅性評估裝置100的機能構成例如第2圖所示。在本實施形態中，樹比較部103的內部構成例與實施形態1不同。第24圖顯示有關本實施形態之樹比較部103的內部構成例。

在第24圖中，與第19圖的構成相比，追加失敗樹產生部1033。失敗樹產生部1033針對資訊系統之使用謂詞邏輯的推理中，產生包含推理失敗的要件之攻擊樹。換言之，失敗樹產生部1033在根據評估樹產生部101之評估樹產生過程中，產生利用推理失敗的路徑所構成的攻擊樹。失敗樹產生部1033所產生的攻擊樹稱為失敗樹。在失敗樹中與評估樹相同，包含複數個含有複數個攻擊步驟之攻擊路徑。失敗樹產生部1033相當於失敗樹取得部。

在本實施形態中，路徑擷取部1031也從失敗樹擷取出路徑。又，在本實施形態中，路徑比較部1032比較評估樹與黃金樹的同時，也比較黃金樹與失敗樹。接著，路徑比較部1032在包含於黃金樹的特定攻擊路徑所包含之複數個攻擊步驟沒有以與黃金樹相同的順序被包含在評估樹及失敗樹的任一個之情況下，將該特定的攻擊路徑輸出到顯示器907。再者，路徑比較部1032將推測出使用謂詞邏輯的推理之前提，即系統知識104、攻擊知識105等有缺陷之通知的訊息輸出到顯示器907。又，路徑比較部1032在包含於黃金樹之特定攻擊路徑所包含的複數個攻擊步驟以與黃金樹相同的順序沒有被包含在評估樹，但是被包含在失敗樹的情況下亦同，將該特定的攻擊路徑輸出到顯示器907。再者，路徑比較部1032將推測出使用謂詞邏輯的推理之前提，即系統知識104、攻擊知識105等沒有缺陷之通知的訊息輸出到顯示器907。

＊＊＊動作說明＊＊＊第25圖顯示有關本實施形態之樹比較部103的動作例。

首先，步驟S2031中，失敗樹產生部1033產生失敗樹。藉由修正評估樹產生部101的處理，可以實現失敗樹產生部1033。在評估樹產生部101中，利用系統知識104、攻擊知識105等，導出根據反向推理使攻擊目標成立的所有情形 (攻擊路徑)。當評估樹產生部101利用第4圖與第5圖記載的攻擊知識105及系統知識104時，經過第6圖的推理過程，可以擷取出第7圖的攻擊樹。其中，在第6圖的推理過程中也包含推理失敗的過程。為此，當失敗樹產生部1033只選出推理失敗的路徑時，可以得到失敗樹。具體而言，評估樹產生部101對每一為真(True)的推理過程進行推理過程的分割。又，評估樹產生部101排除為假(Fail)的推理過程。藉由如此，評估樹產生部101產生評估樹。另一方面，失敗樹產生部1033並不是對每一為True的推理過程進行推理過程的分割，而是對每一為Fail的推理過程進行推理過程的分割。接著，失敗樹產生部1033排除為True的推理過程。在第26圖顯示從第6圖的樹結構只撿選失敗路徑後進行整形而得到之失敗樹的例示。失敗樹產生部1033在失敗路徑的撿選最先判斷為失敗(條件為False)的時點就結束處理。當合併第7圖的評估樹與第26圖的失敗樹時可以得到第6圖的樹結構，可以得知評估樹與失敗樹為互補的。

在步驟S2032及S2033中，路徑擷取部1031從黃金樹與評估樹擷取出路徑。由於步驟S2032及S2033與在實施形態1說明的步驟S1032及S1033相同，省略詳細說明。

其次，在步驟S2034中，路徑擷取部1031從失敗樹擷取出路徑。由於步驟S2034的處理與步驟S2032及S2033相等，省略詳細說明。

其次，在步驟S2035中，路徑比較部1032比較分別從黃金樹與評估樹擷取出的路徑。接著，路徑比較部1032利用第23圖所示的比較順序，取得matchedAttackPathDict作為比較結果。

其次，在步驟S2036中，路徑比較部1032利用相同的方法比較分別從黃金樹與失敗樹擷取出的路徑。步驟S2036的順序基本上與步驟S2035相同。但是，在步驟S2036中，即使是直到中途與黃金樹的攻擊路徑都相配之失敗樹攻擊路徑、及黃金樹的該攻擊路徑的比較亦可之點有所不同。失敗樹攻擊路徑之攻擊步驟以fStep(構成為a, nf, nt, i, s)表示。藉由路徑比較部1032比較黃金樹的攻擊路徑與失敗樹的攻擊路徑，以字典格式輸出與黃金樹的攻擊路徑對應之失敗樹的攻擊路徑。將這般之路徑比較部1032的比較動作稱為matchedFailedAttackPathDict。第27圖顯示實現路徑比較部1032的比較動作之疑似碼(compareFailedPaths)。

在步驟S2037中，路徑比較部1032利用matchedAttackPathDict及matchedFailedAttackPathDict，產生評估結果。路徑比較部1032從matchedAttackPathDict得到2種資訊。第1種資訊為針對評估樹中之覆蓋黃金樹的攻擊路徑之資訊。針對該攻擊路徑的資訊為matchedAttackPathDic中之非空集合(ψ)的各登錄(gPath)所定義之評估樹的攻擊路徑(aPath)集合(COVERED_ATTACK_PATH_SET)之資訊。該集合定義為黃金樹攻擊路徑與對應的評估樹攻擊路徑之配對((gPath, aPath))集合。在對於黃金樹的1個攻擊路徑使評估樹有複數個攻擊路徑對應之情況下，評估樹的複數個配對被包含在集合中({(gPath1, aPath1), (gPath1, aPath2), (gPath1, aPath3)})。第2種資訊為針對在評估樹中沒有覆蓋之攻擊路徑的資訊。針對該攻擊路徑之資訊為matchedAttackPathDic中空集合(ψ)之各登錄(gPath)的集合(UNCOVERED_PATH_SET)之資訊。在攻擊樹自動產生所必要的推理規則或前提知識中，雖然也有包含原本就沒有覆蓋亦可之攻擊路徑的可能性，但是也有由於推理規則或前提知識的設定錯誤而使原本非覆蓋不可的路徑被排除之可能性。從matchedFailedAttackPathDict可以得到1種資訊。從matchedFailedAttackPathDict得到的資訊為失敗樹中之直到中途都覆蓋黃金樹的攻擊路徑之資訊。該攻擊路徑之資訊為matchedFailedAttackPathDict中之非空集合(ψ)的各登錄(gPath)所定義的失敗樹攻擊路徑(fPath)之集合(COVERED_FAILED_PATH_SET)的資訊。該集合定義為黃金樹攻擊路徑與對應的失敗樹攻擊路徑之配對((gPath, fPath))集合。在對於黃金樹的1個攻擊路徑使失敗樹有複數個攻擊路徑對應之情況下，失敗樹的複數個配對包含在集合中({(gPath1, fPath1), (gPath1, fPath2), (gPath1, fPath3)})。其中，若包含在UNCOVERED_PATH_SET之gPath被包含在COVERED_FAILED_PATH_SET時，該gPath之對應的fPath中之最後的侵駭順序(條件)為失敗的證據(導出失敗的條件)。該gPath與fPath的配對集合稱為NORMAL_UNCOVERED_PATH_SET。若包含在UNCOVERED_PATH_SET之gPath不被包含在COVERED_FAILED_PATH_SET時，預測為給予到推理引擎之前提知識或推理規則有某種不合宜。該gPath的集合稱為ABNORMAL_UNCOVERED_PATH_SET。

最後，在步驟S2038中，路徑比較部1032將評估結果輸出到顯示器907。具體而言，路徑比較部1032顯示NORMAL_UNCOVERED_PATH_SET與ABNORMAL_UNCOVERED_PATH_SET作為評估結果。針對NORMAL_UNCOVERED_PATH_SET，路徑比較部1032在存在有失敗證據之情況下也顯示失敗證據。針對ABNORMAL_UNCOVERED_PATH_SET，由於系統知識104、攻擊知識105等有缺陷，路徑比較部1032可以將該路徑有從評估樹被遺漏的可能性乙事提示給使用者。

＊＊＊實施形態之效果說明＊＊＊根據本實施形態，在擷取出利用評估樹無法網羅的路徑之情況下，可以將該路徑利用評估樹無法網羅的理由提示給使用者。換言之，針對包含在PATH_PAIR_SET2的路徑，可以將系統知識104、攻擊知識105等沒有缺陷，從評估樹正當排除乙事提示給使用者。另一方面，存在有UNCOVERED_PATH_SET的情況下，由於系統知識104、攻擊知識105等有缺陷，可以將該路徑有從評估樹被遺漏的可能性乙事提示給使用者。

＊＊＊其他＊＊＊在實施形態1中，評估樹產生部101產生評估樹。取而代之，使網羅性評估裝置100的外部機器利用與評估樹產生部101相同的方法產生評估樹亦可。在該情況下，在網羅性評估裝置100中設置取得利用外部所產生的評估樹之構成(評估樹取得部)。評估樹取得部相當於第1攻擊樹取得部。

又，在實施形態2中，失敗樹產生部1033產生失敗樹。取而代之，網羅性評估裝置100的外部機器利用與失敗樹產生部1033相同的方法產生失敗樹亦可。在該情況下，在網羅性評估裝置100中設置取得利用外部所產生的失敗樹之構成(失敗樹取得部)。

以上，雖然針對本發明之實施形態進行說明，但是組合此等2個實施形態進行實施亦可。或是，此等2個實施形態之中，即使部分性實施1個亦可。或是，部分性組合此等2個實施形態進行實施亦可。又，本發明並非限定於此等實施形態者，因應必要可進行各種變更。

＊＊＊硬體構成之說明＊＊＊最後，進行網羅性評估裝置100的硬體構成之補充說明。第1圖所示之處理器901為進行處理之IC(Integrated Circuit；積體電路)。處理器901為CPU(Central Processing Unit；中央處理單元)、DSP(Digital Signal Processor；數位訊號處理器)等。第1圖所示之主記憶裝置902為RAM(Random Access Memory；隨機存取記憶體)。第1圖所示之輔助記憶裝置903為ROM(Read Only Memory；唯讀記憶體)、快閃記憶體、HDD(Hard Disk Drive；硬碟裝置)等。第1圖所示之通訊設備904為執行資料通訊處理之電子電路。通訊設備904例如是通訊晶片或NIC(Network Interface Card；網路介面卡)。

又，在輔助記憶裝置903中也記憶有OS。接著，將OS的至少一部分裝載到主記憶裝置902，利用處理器901予以執行。處理器901一邊執行OS的至少一部分，一邊執行實現評估樹產生部101、黃金樹產生部102及樹比較部103的機能之程式。藉由處理器901執行OS，可以進行工作管理、記憶管理、檔案管理、通訊控制等。又，顯示評估樹產生部101、黃金樹產生部102及樹比較部103的處理結果之資訊、資料、訊號值及變數值的至少任一個記憶在主記憶裝置902、輔助記憶裝置903、處理器901內的暫存器及快取記憶體的至少任一個。又，實現評估樹產生部101、黃金樹產生部102及樹比較部103的機能之程式儲存在磁碟、軟體、光碟、壓縮光碟、藍光(商標登錄)光碟、DVD等可搬送記錄媒體亦可。

又，將評估樹產生部101、黃金樹產生部102及樹比較部103的「部」改讀為「電路」或「工程」或「順序」或「處理」亦可。又，網羅性評估裝置100藉由處理電路予以實現亦可。處理電路例如為邏輯IC(Integrated Circuit；積體電路)、GA(Gate Array；閘陣列)、ASIC(Application Specific Integrated Circuit；特殊應用積體電路)、FPGA(Filed-Programmable Gate Array；現場可程式化閘陣列)。在該情況下，評估樹產生部101、黃金樹產生部102及樹比較部103分別作為處理電路的一部分予以實現。又，在本案說明書中，將處理器與處理電路的上位概念稱為「處理電路系統(Processing Circuitry)」。也就是，處理器與處理電路分別為「處理電路系統」的具體例。

100:網羅性評估裝置 101:評估樹產生部 102:黃金樹產生部 103:樹比較部 104:系統知識 105:攻擊知識 106:初期侵駭模板 107:侵駭順序模板 108:侵駭順序轉換表 901:處理器 902:主記憶裝置 903:輔助記憶裝置 904:通訊設備 905:鍵盤 906:滑鼠 907:顯示器 1021:網路網羅部 1022:模板適用部 1031:路徑擷取部 1032:路徑比較部 1033:失敗樹產生部

第1圖為顯示有關實施形態1之網羅性評估裝置的硬體構成例之圖面。第2圖為顯示有關實施形態1之網羅性評估裝置的機能構成例之圖面。第3圖為顯示有關實施形態1之網羅性評估裝置的動作例之流程圖。第4圖為顯示有關實施形態1之攻擊知識的例示之圖面。第5圖為顯示有關實施形態1之系統知識的例示之圖面。第6圖為顯示有關實施形態1之表現推理過程的樹結構例示之圖面。第7圖為顯示有關實施形態1之攻擊樹的例示之圖面。第8圖為顯示有關實施形態1之黃金樹產生部的內部構成例之圖面。第9圖為顯示有關實施形態1之黃金樹產生部的動作例之流程圖。第10圖為顯示有關實施形態1之控制系統的網路構成例之圖面。第11圖為顯示有關實施形態1之網羅有侵駭路徑的樹結構例示之圖面。第12圖為顯示有關實施形態1之初期侵駭模板的例示之圖面。第13圖為顯示有關實施形態1之初期侵駭模板的例示之圖面。第14圖為顯示有關實施形態1之侵駭順序模板的例示之圖面。第15圖為顯示有關實施形態1之侵駭順序模板的例示之圖面。第16圖為顯示有關實施形態1之初期侵駭模板及侵駭順序模板的適用後樹結構例示之圖面。第17圖為顯示有關實施形態1之初期侵駭模板及侵駭順序模板的適用後樹結構例示之圖面。第18圖為顯示有關實施形態1之初期侵駭模板及侵駭順序模板的適用後樹結構例示之圖面。第19圖為顯示有關實施形態1之樹比較部的內部構成例之圖面。第20圖為顯示有關實施形態1之樹比較部的動作例之流程圖。第21圖為顯示有關實施形態1之評估樹的例示之圖面。第22圖為顯示有關實施形態1之評估樹的例示之圖面。第23圖為顯示有關實施形態1之實現比較動作的疑似碼之圖面。第24圖為顯示有關實施形態2之樹比較部的內部構成例之圖面。第25圖為顯示有關實施形態2之樹比較部的動作例之流程圖。第26圖為顯示有關實施形態2之失敗樹的例示之圖面。第27圖為顯示有關實施形態2之實現比較動作的疑似碼之圖面。第28圖為顯示有關實施形態1之包含且(AND)節點與或(OR)節點之評估樹的例示之圖面。

100:網羅性評估裝置

101:評估樹產生部

102:黃金樹產生部

103:樹比較部

104:系統知識

105:攻擊知識

106:初期侵駭模板

107:侵駭順序模板

108:侵駭順序轉換表

901:處理器

Claims

一種資訊處理裝置，具有：第1攻擊樹取得部，其取得針對依據使用謂詞邏輯的推理之資訊系統的攻擊樹作為第1攻擊樹；第2攻擊樹產生部，其使用顯示前述資訊系統的網路構成之網路構成資訊、與對於前述資訊系統的侵駭顯示假設的侵駭順序之侵駭順序資訊，網羅對前述資訊系統的侵駭路徑並產生反映對前述資訊系統的侵駭順序之攻擊樹作為第2攻擊樹；及樹比較部，其比較前述第1攻擊樹與前述第2攻擊樹。
如申請專利範圍第1項之資訊處理裝置，其中，前述第1攻擊樹取得部，其取得包含複數個含有複數個攻擊步驟之攻擊路徑的攻擊樹作為前述第1攻擊樹，前述第2攻擊樹產生部，其產生包含複數個含有複數個攻擊步驟之攻擊路徑的攻擊樹作為前述第2攻擊樹，前述樹比較部，其在包含於前述第2攻擊樹之特定攻擊路徑所包含的複數個攻擊步驟沒有以與前述第2攻擊樹相同的順序被包含在前述第1攻擊樹的情況下，輸出前述特定攻擊路徑。
如申請專利範圍第1項之資訊處理裝置，其中，前述資訊處理裝置進一步具有：失敗樹取得部，其在針對前述資訊系統之使用前述謂詞邏輯的推理中，取得包含推理失敗的要件之攻擊樹作為失敗樹，前述樹比較部，其比較前述第2攻擊樹、前述第1攻擊樹、及前述失敗樹。
如申請專利範圍第3項之資訊處理裝置，其中，前述第1攻擊樹取得部，其取得包含複數個含有複數個攻擊步驟之攻擊路徑的攻擊樹作為前述第1攻擊樹，前述第2攻擊樹產生部，其產生包含複數個含有複數個攻擊步驟之攻擊路徑的攻擊樹作為前述第2攻擊樹，前述失敗樹取得部，其取得包含複數個含有複數個攻擊步驟之攻擊路徑的攻擊樹作為前述失敗樹，前述樹比較部，其在包含於前述第2攻擊樹之特定攻擊路徑所包含的複數個攻擊步驟沒有以與前述第2攻擊樹相同的順序被包含在前述第1攻擊樹及前述失敗樹的任一個之情況下，輸出前述特定攻擊路徑。
如申請專利範圍第4項之資訊處理裝置，其中，前述樹比較部，其輸出通知推測為使用前述謂詞邏輯的推理之前提有缺陷乙事的訊息。
如申請專利範圍第3項之資訊處理裝置，其中，前述樹比較部，其在包含於前述第2攻擊樹之特定攻擊路徑所包含的複數個攻擊步驟以與前述第2攻擊樹相同的順序沒有被包含在前述第1攻擊樹，但是被包含在前述失敗樹的情況下，輸出前述特定攻擊路徑。
如申請專利範圍第6項之資訊處理裝置，其中，前述樹比較部，其輸出通知推測為使用前述謂詞邏輯的推理之前提沒有缺陷乙事的訊息。
一種資訊處理方法，電腦取得針對依據使用謂詞邏輯的推理之資訊系統的攻擊樹作為第1攻擊樹，前述電腦使用顯示前述資訊系統的網路構成之網路構成資訊、與對於前述資訊系統的侵駭顯示假設的侵駭順序之侵駭順序資訊，網羅對前述資訊系統的侵駭路徑並產生反映對前述資訊系統的侵駭順序之攻擊樹作為第2攻擊樹，前述電腦比較前述第1攻擊樹與前述第2攻擊樹。
一種資訊處理程式產品，其為使電腦執行以下處理：第1攻擊樹取得處理，其取得針對依據使用謂詞邏輯的推理之資訊系統的攻擊樹作為第1攻擊樹；第2攻擊樹產生處理，其使用顯示前述資訊系統的網路構成之網路構成資訊、與對於前述資訊系統的侵駭顯示假設的侵駭順序之侵駭順序資訊，網羅對前述資訊系統的侵駭路徑並產生反映對前述資訊系統的侵駭順序之攻擊樹作為第2攻擊樹；及樹比較處理，其比較前述第1攻擊樹與前述第2攻擊樹。