WO2016171243A1 - サイバー攻撃分析装置及びサイバー攻撃分析方法 - Google Patents

サイバー攻撃分析装置及びサイバー攻撃分析方法 Download PDF

Info

Publication number
WO2016171243A1
WO2016171243A1 PCT/JP2016/062721 JP2016062721W WO2016171243A1 WO 2016171243 A1 WO2016171243 A1 WO 2016171243A1 JP 2016062721 W JP2016062721 W JP 2016062721W WO 2016171243 A1 WO2016171243 A1 WO 2016171243A1
Authority
WO
WIPO (PCT)
Prior art keywords
graph
suspicious activity
terminal
cyber attack
information
Prior art date
Application number
PCT/JP2016/062721
Other languages
English (en)
French (fr)
Inventor
信隆 川口
谷川 嘉伸
恒太 井手口
Original Assignee
株式会社日立製作所
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社日立製作所 filed Critical 株式会社日立製作所
Publication of WO2016171243A1 publication Critical patent/WO2016171243A1/ja

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】標的型攻撃及びマルウェアの活動の分析、及び、今後の攻撃の動向を予測する。 【解決手段】標的型攻撃やマルウェアの活動を検知する検知装置と接続されたサイバー攻撃分析装置は、前記検知装置から送信された、標的型攻撃やマルウェアの活動内容を表現する構造である複数の不審活動グラフを記憶する記憶部と、クライアント端末の要求に応じて前記複数の不審活動グラフの類似度を算出する制御部と、前記複数の不審活動グラフの類似度の算出結果を前記クライアント端末に表示させる出力部と、を備える。

Description

サイバー攻撃分析装置及びサイバー攻撃分析方法
 本発明は、サイバー攻撃分析装置及びサイバー攻撃分析方法に関し、複数の異なる標的型攻撃及びマルウェアの攻撃動向を分析するサイバー攻撃分析装置及びサイバー攻撃分析方法に適用して好適なるものである。
 近年、情報漏えいや不正アクセスなどの脅威をもたらすコンピュータウイルスやスパイウェア、ボットプログラムといった悪意ある不正プログラム(マルウェア)が増加している。マルウェアの脅威からシステムやネットワークを守るには、最初にマルウェアを検知する必要がある。マルウェアの検知方式はであるが、検知方式によっては検知するまでに時間がかかるという課題があった。また、高度なマルウェアに対しては検知精度が低下してしまうという課題があった。さらに、ここ数年では、高度なマルウェアを巧みに活用して特定の官庁や企業、組織のネットワークに侵入し、機密情報の窃取やシステム破壊を行う「標的型攻撃」が、セキュリティ上の大きな脅威となっている。
 これらのマルウェアや標的型攻撃による被害を最小化するには、まず、初期感染端末から、ソフトウェアの脆弱性などを悪用して、同ネットワーク内の他端末への感染を広げる活動を、何らかの方法によって「不審活動」として検知する必要がある。さらに、検知した「不審活動」について、過去に同一ネットワーク或いは別のネットワークで検知された不審活動との類似性・関係性を分析して、攻撃者が同一のものかどうかを判断したり、今後の攻撃の動向を予測したりする仕組みが必要となる。
 組織ネットワーク内で、これらの高度なマルウェアや標的型攻撃を、不審活動として検知する方法の1つとして、ネットワークや端末の挙動を詳細に観測し、観測結果を基に検知する方法がある。
 例えば、特許文献1では、プロセスが行う端末内活動や通信を観測し、その挙動が予め決められたルールに合致するとき、初めてマルウェアを検知する。特許文献2及び特許文献3では、特定の標的型攻撃が行われるときに生じる通信の特徴に着目した検知を行う。
 また、非特許文献1では、マルウェアが拡散活動を行うと通常の通信頻度が低い組織内端末間でコネクションが張られ、さらに、マルウェアの感染が広がると、このコネクションをエッジとするツリー構造が観測されることに着目する。そして、一定サイズ以上のツリー構造が発生した場合にマルウェアを検知する。
 また、非特許文献2では、ネットワーク内に同一種類の端末(例えばWEBサーバ)のグループが存在し、その一部のサブグループのレスポンスタイムやCPU負荷などが変動した場合に、変動の度合いを分析することで、個々のサーバの調子が偶然悪いのではなくサブグループが攻撃されていることを検知する。
特開2011-53893号公報 特開2014-86821号公報 特開2014-86822号公報
"サイレントワーム検知のためのアノマリーコネクションツリーメソッド", 情報処理学会論文誌48(2), pp.614-624, 2007 "Community Epidemic Detection Using Time-Correlated Anomalies", Springer Lecture Notes in Computer Science Volume 6307, 2010, pp 360-381
 しかし、上記特許文献1、特許文献2及び特許文献3では、予め決められたパターンに従う攻撃を検知するため、検知結果間の比較や今後の攻撃動向の分析を行うことが困難であった。また、上記非特許文献1で提示されている手法では、一連の攻撃活動をツリー構造として検出するが、異なるツリー間の類似度を求める方法が示されていない。また、非特許文献2で提示されている手法では、攻撃活動自体を提示できないため、攻撃の分析に用いることは困難であるという問題があった。
 本発明は以上の点を考慮してなされたもので、標的型攻撃及びマルウェアの活動の分析、及び、今後の攻撃の動向を予測することが可能なサイバー攻撃分析装置及びサイバー攻撃分析方法を提案しようとするものである。
 かかる課題を解決するために本発明においては、標的型攻撃やマルウェアの活動を検知する検知装置と接続されたサイバー攻撃分析装置であって、前記検知装置から送信された、標的型攻撃やマルウェアの活動内容を表現する構造である複数の不審活動グラフを記憶する記憶部と、クライアント端末の要求に応じて前記複数の不審活動グラフの類似度を算出する制御部と、前記複数の不審活動グラフの類似度の算出結果を前記クライアント端末に表示させる出力部と、を備えることを特徴とする、サイバー攻撃分析装置が提供される。
 かかる課題を解決するために本発明においては、標的型攻撃やマルウェアの活動を検知する検知装置と接続されたサイバー攻撃分析装置におけるサイバー攻撃分析方法であって、前記検知装置から送信された、標的型攻撃やマルウェアの活動内容を表現する構造である複数の不審活動グラフを記憶するステップと、クライアント端末の要求に応じて前記複数の不審活動グラフの類似度を算出するステップと、前記複数の不審活動グラフの類似度の算出結果を前記クライアント端末に表示させるステップと、を含むことを特徴とする、サイバー攻撃分析方法が提供される。
 本発明によれば、標的型攻撃及びマルウェアの活動の分析、及び、今後の攻撃の動向を予測することができる。
本発明の一実施形態に係るサイバー攻撃分析システムの概要を示す図である示す断面図である。 同実施形態にかかるサイバー攻撃分析装置の構成を示す図である。 同実施形態にかかる不審活動グラフを説明する概念図である。 同実施形態にかかる不審活動グラフDBレコードの内容を説明する図表である。 同実施形態にかかる不審活動グラフDBレコードの内容を説明する図表である。 同実施形態にかかるポリシーDBレコードの内容を説明する図表である。 同実施形態にかかるルールDBレコードの内容を説明する図表である。 同実施形態にかかる正規化グラフDBレコードの内容を説明する図表である。 同実施形態にかかる正規化グラフDBレコードの内容を説明する図表である。 同実施形態にかかる正規化グラフ構築処理の流れを示すフローチャートである。 同実施形態にかかる情報正規化処理の流れを示すフローチャートである。 同実施形態にかかるグラフ検索処理の流れを示すフローチャートである。 同実施形態にかかる動向予測処理の流れを示すフローチャートである。 同実施形態にかかるグラフ構造の正規化を説明する概念図である。 同実施形態にかかる攻撃元分析結果レコードの内容を説明する図表である。 同実施形態にかかる攻撃元分析結果の表示例を示す概念図である。
 以下、本発明の実施の形態を、図面を参照して説明する。本実施の形態では、3つの異なる組織A、B及びCから、標的型攻撃やマルウェアの不審活動に関する情報を収集して、類似度の高い活動を分析する。また、過去に発生した不審活動をもとに、今後の不審活動の動向の予測を行う。
 (1)サイバー攻撃分析システムの構成
 図1は本実施の形態にかかるサイバー攻撃分析システムの構成を示すブロック図である。図1に示すように、サイバー攻撃分析システムは、サイバー攻撃分析装置10、不審活動検知装置A20a、不審活動検知装置B20b、不審活動検知装置C20c、検索クライアント30a、動向予測クライアント30b、通信ネットワーク40a及び通信ネットワーク40bから構成される。
 サイバー攻撃分析装置10は、一般的なサーバであり、複数の組織から寄せられた、標的型攻撃及びマルウェアが実施した不審活動(以下、単に不審活動と称して説明する場合もある。)を収集し、その類似度の分析及び活動の動向予測を行う情報処理装置である。
 不審活動検知装置A20a、不審活動検知装置B20b及び不審活動検知装置C20c(以下、不審活動検知装置20と総称して説明する場合もある。)は、組織A、B及びCにそれぞれ配置されたサーバであり、標的型攻撃及びマルウェアが実施した不審活動を検知して、該不審活動をサイバー攻撃分析装置10に通知する。不審活動検知装置20は、該不審活動を不審活動グラフという形状で表現する。不審活動グラフについては後で詳細に説明する。
 検索クライアント30aは、ネットワーク40bを介してサイバー攻撃分析装置10にアクセスする一般的なPC(Personal computer)であり、ある特定の不審活動に類似する不審活動の検索リクエストを、サイバー攻撃分析装置10に依頼する。
 動向予測クライアント30bは、ネットワーク40bを介してサイバー攻撃分析装置10にアクセスする一般的なPCであり、ある特定の不審活動の、今後の動向の予測をサイバー攻撃分析装置10に依頼する。
 通信ネットワーク40aは、WAN(World Area Network)やLAN(Local Area Network)、携帯電話、PHS等の公衆回線網でもよい。サイバー攻撃分析装置10と、不審活動検知装置A20a、不審活動検知装置B20b及び不審活動検知装置C20cとの通信は、通信ネットワーク40aを介して行われる。
 通信ネットワーク40bは、WAN(World Area Network)やLAN(Local Area Network)、携帯電話、PHS等の公衆回線網でもよい。サイバー攻撃分析装置10と、検索クライアント30a及び動向予測クライアント30bとの通信は、通信ネットワーク40bを介して行われる。尚、通信ネットワーク40aと通信ネットワーク40bとは同一のものであってもよい。
 サイバー攻撃分析装置10には、図1に示すように、以下の機能部及びDB(Data Base)が含まれる。すなわち、不審活動グラフDB100、ポリシーDB200、振舞いルールDB300及び正規化グラフDB400と、正規化グラフ構築部500、情報正規化機能部600、グラフ検索部700及び動向予測部800とが含まれる。
 不審活動グラフDB100は、不審活動検知装置20から受け取った不審活動グラフの情報を保持するDBである。
 ポリシーDB200は、不審活動グラフDB100に保管されている不審活動グラフの情報を正規化するのに必要なポリシー情報が含まれている。なお、本実施の形態では、「正規化」という用語を、固有名称をその固有名称が属する一般名称に変換する作業一般として用いる。
 振舞いルールDB300は、不審活動グラフDB100に保管されている不審活動グラフの情報を正規化するのに必要な振舞いに関する情報が含まれている。振舞いルールDB300に含まれているレコードは、プログラム(ソフトウェア)の挙動情報をもとに、そのプログラムが属する一般名称を解決するために用いられる。
 正規化グラフDB400は、不審活動グラフDB100に含まれている不審活動グラフを正規化した正規化グラフを保管するためのDBである。
 正規化グラフ構築部500は、不審活動検知装置20から受信した不審活動グラフを不審活動グラフDB100に保管し正規化した後、正規化グラフDB400に保管する機能である。
 情報正規化機能部600は、ポリシーDB200及び振舞いルールDB300を用いて、不審活動グラフの固有名称を一般名称に変換する機能である。
 グラフ検索部700は、検索クライアント30aからの、類似グラフの検索リクエストを受け付け、類似グラフに関する情報を返信する。
 動向予測部800は、動向予測クライアント30bからの、不審活動グラフの今後の動向予測のリクエストを受付け、予測結果を返信する。
(2)ハードウェア構成
 図2は、サイバー攻撃分析装置10のハードウェア構成を示している。なお、不審活動検知装置20や検索クライアント30a、動向予測クライアント30bのハードウェア構成もサイバー攻撃分析装置10のハードウェア構成と同様である。
 図2に示すように、サイバー攻撃分析装置10のハードウェアは、CPU1、メモリ2、外部記憶装置3、インタフェース(IF)4、入出力装置5、バス6から構成される。
 CPU1は、メモリ内に保存されたプログラムを実行し、各機能部(正規化グラフ構築部500、情報正規化機能部600、グラフ検索部700または動向予測部800)として具現化させる。メモリ2は、各機能部を実現するのに必要な実行プログラムを含んでいる。
 外部記憶装置3は、HDD(Hard Disk Drive)などから構成され、データの長期記憶を行うのに用いられる。外部記憶装置3は、サイバー攻撃分析装置10に含まれるDB(不審活動グラフDB100、ポリシーDB200、振舞いルールDB300及び正規化グラフDB400)を格納する。
 インタフェース(図中IFと表記)4は、サイバー攻撃分析装置10を通信ネットワーク40a及び通信ネットワーク40bに接続する。
 入出力装置5は、サイバー攻撃分析装置10のユーザ及び管理者による各種情報の入力、及び、格納されている情報の出力を行う。
 バス6は、CPU1、メモリ2、外部記憶装置3、IF4及び入出力装置5を接続し、機能間の情報のやりとりを実現する。
(3)不審活動グラフの詳細
 図3に、不審活動グラフの概念図を示す。図3の不審活動グラフは、あるネットワーク内で行われた標的型攻撃・マルウェア感染の流れを表現する。図3に示す不審活動グラフは、ノード(N-1、N-2、N-3及びN-4)と、ノード間を繋ぐエッジ(E-1、E-2及びE-3)により構成される。
 グラフのノードは、攻撃が行われた端末(PCやサーバ)である。エッジは、攻撃者やマルウェアによる、端末の渡り歩きや感染拡大に利用された不審通信(TCP通信やUDP通信)を表現する。また、各ノードには、各端末内で行われた不審活動の情報が、ラベル(L-1、L-2、L-3及びL-4)として付与される。
 図3の例では、グラフは4つのノードN-1、N-2、N-3、N-4から構成され、各ノードは、端末A-1、端末A-2、端末A-3、端末A-4をそれぞれ示す。また、エッジE-1、E-2、E-3は、端末A-1から端末A-2への渡り歩きに利用された通信、端末A-2から端末A-3の渡り歩きに利用された通信、端末A-3から端末A-4に利用された通信の渡り歩きを意味する。また、ラベルL-1、L-2、L-3及びL-4は、各端末で行われた不審活動情報を、それぞれ示す。
 不審活動グラフは、不審活動検知装置20により検知される。各装置がどのような検知方式・アルゴリズムで不審活動を検知するかは、一般的な不審活動の検知システムを適用することができる。
(4)各種DBの構成
 図4A及び図4Bを参照して、不審活動グラフDB100について説明する。不審活動グラフDB100は、各不審活動検知装置から収集した不審活動グラフを保管するデータベースである。
 図4A及び図4Bに示すように、不審活動グラフDB100は、ID110、生成時間120、端末130、不審活動内容140及び不審通信先150から構成される。
 ID110は、各不審活動グラフを一意に識別するための識別子である。生成時間120は、各不審活動グラフの最初のノードが生成された時間を示す。端末130は、不審活動グラフにノードとして含まれる端末の一覧である。端末130は、図3のノードN-1~N-4が対応している。
 不審活動内容140は、各端末において実施された不審活動の情報である。これは、図3のラベルL-1~L-4が対応する。不審通信先150は、各端末に侵入した攻撃者・マルウェアが次に移動した端末識別子である。移動先が無い場合、“NONE”という文字列となる。不審通信先150は、図3のエッジE-1~E-3に対応する。
 このように、図4A及び図4Bには、3つの不審活動グラフが記録されている。例えば、図4Aでは、ID110=1のグラフは、「2014-07:17 10:55」に記録されたもので、組織Aに属する端末である端末A-1、端末A-2、端末A-3、端末A-4をノードとして持つことがわかる。
 端末A-1では、「ファイルa1-1.exeが、CONNECTメソッドで、外部サイトU-A1に対して60分間通信(2014-07-17 10:55)」「ファイルa1-2.exeが、端末A-2の管理ポートに対してアクセス(2014-07-17 10:55)」という2つの不審活動が記録される。また、端末A-1から端末A-2に対して不審通信が発生していることがわかる。
 端末A-2では、「ファイルa2-1.exeが、CONNECTメソッドで、外部サイトU-A1に対して60分間通信(2014-07-17 11:00)」「ファイルa2-2.exeが、端末A-3の管理ポートに対してアクセス(2014-07-17 11:00)」という2つの不審活動が記録される。また、端末A-2から端末A-3に対して不審通信が発生していることがわかる。
 端末A-3では、「ファイルa3-1.exeが、CONNECTメソッドで、外部サイトU-A1に対して60分間通信(2014-07-17 11:05)」「ファイルa3-2.exeが、端末A-4の管理ポートに対してアクセス(2014-07-17 11:05)」という2つの不審活動が記録される。また、端末A-3から端末A-4に対して不審通信が発生していることがわかる。
 端末A-4では、「ファイルa4―1.exeが、CONNECTメソッドで、外部サイトU-A1に対して60分間通信(2014-07-17 11:10)」「ファイルa4―2.exeが、POSTメソッドで、外部サイトU-A2に対して、100MBのデータをアップロード(2014-07-17 11:10)」という2つの不審活動が記録される。
 また、ID110=2のグラフは、「2013-07:17 10:55」に記録されたもので、組織Bに属する端末である端末B-1、端末B-2、端末B-3、端末B-4をノードとして持つことがわかる。
 端末B-1では、「ファイルb1-1.exeが、CONNECTメソッドで、外部サイトU-B1に対して60分間通信(2013-07-17 10:55)」「ファイルb1-2.exeが、端末B-2の管理ポートに対してアクセス(2013-07-17 10:55)」という2つの不審活動が記録される。また、端末B-1から端末B-2に対して不審通信が発生している。
 端末B-2では、「ファイルb2-1.exeが、CONNECTメソッドで、外部サイトU-B1に対して60分間通信(2013-07-17 11:00)」「ファイルb2-2.exeが、端末B-3の管理ポートに対してアクセス(2013-07-17 11:00)」という2つの不審活動が記録される。また、端末B-2から端末B-3に対して不審通信が発生していることがわかる。
 端末B-3では、「ファイルb3-1.exeが、CONNECTメソッドで、外部サイトU-B1に対して50分間通信(2013-07-17 11:05)」「ファイルb3-2.exeが、端末B-4の管理ポートに対してアクセス(2013-07-17 11:05)」という2つの不審活動が記録される。また、端末B-3から端末B-4に対して不審通信が発生していることがわかる。
 端末B-4では、「ファイルb4-1.exeが、CONNECTメソッドで、外部サイトU-B1に対して45分間通信(2013-07-17 11:10)」「ファイルb4-2.exeが、POSTメソッドで、外部サイトU-B2に対して、100MBのデータをアップロード(2013-07-17 11:10)」という2つの不審活動が記録される。
 また、ID110=3のグラフは、「2012-07:17 10:55」に記録されたもので、組織Cに属する端末である端末C-1、端末C-2、端末C-3、端末C-4、端末C-5をノードとして持つことがわかる。
 端末C-1では、「ファイルc1-1.exeが、CONNECTメソッドで、外部サイトU-C1に対して40分間通信(2012-07-17 10:55)」「ファイルc1-2.exeが、端末C-2の管理ポートに対してアクセス(2012-07-17 10:55)」という2つの不審活動が記録される。また、端末C-1から端末C-2に対して不審通信が発生している。
 端末C-2では、「ファイルc2-1.exeが、CONNECTメソッドで、外部サイトU-C1に対して50分間通信(2012-07-17 11:00)」「ファイルc2-2.exeが、端末C-3の管理ポートに対してアクセス(2012-07-17 11:00)」という2つの不審活動が記録される。また、端末C-2から端末C-3に対して不審通信が発生している。
 端末C-3では、「ファイルc3-1.exeが、CONNECTメソッドで、外部サイトU-C1に対して60分間通信(2012-07-17 11:05)」「ファイルc3-2.exeが、端末C-4の管理ポートに対してアクセス(2012-07-17 11:05)」という2つの不審活動が記録される。また、端末C-3から端末C-4に対して不審通信が発生している。
 端末C-4では、「ファイルc3-1.exeが、CONNECTメソッドで、外部サイトU-C1に対して55分間通信(2012-07-17 11:10)」「ファイルc4-2.exeが、POSTメソッドで、外部サイトU-C2対して、100MBのデータをアップロード(2012-07-17 11:10)」「ファイルc4-3.exeが、端末C-5の管理ポートに対してアクセス(2012-07-17 11:10)」という3つの不審活動が記録される。また、端末C-4から端末C-5に対して不審通信が発生している。
 端末C-5では、「ファイルc5-1.exeが、CONNECTメソッドで、外部サイトU-C2に対して45分間通信(2012-07-17 11:15)」「ファイルc5-2.exeが、POSTメソッドで、外部サイトU-C2に対して、100MBのデータをアップロード(2012-07-17 11:15)」という2つの不審活動が記録される。
 次に、図5を参照して、ポリシーDB200について説明する。ポリシーDB200内のレコードは、各不審活動グラフに示される端末名(ノード)及び不審活動内容(ラベル)に含まれる固有名称を一般名称へ正規化するのに用いられる。ポリシーDB200の各レコードは、各組織のセキュリティ担当者及びセキュリティ部門により予め作成される。
 図5に示すように、ポリシーDB200は、ID210、正規化前識別子220、識別子種類230、正規化後識別子240及びポリシー作成元250から構成される。
 ID210は、各ポリシーレコードを一意に識別するための識別子である。正規化前識別子220は、正規化対象となる固有名称である。識別子種類230は、正規化前識別子220の種類であり、「IPアドレス」、「ドメイン」または「実行ファイル」などがある。
 正規化後識別子240は、正規化前識別子220を正規化した場合の識別子となる。一般的に、正規化前識別子220の属性が、正規化後識別子240となる。ポリシー作成元250は、当該ポリシーレコードの作成元を示す。
 図5に示すポリシーDB200のレコード例では、17個のレコードが記録されている。例えば、ID210が1のレコードは、正規化前識別子220が「A-1」、識別子種類230が「IPアドレス」、正規化後識別子が「Client-Terminal(CT)」、ポリシー作成元250が「組織A」である。このレコードは、IPアドレス=A-1である端末は、組織Aにおいて「Client-Terminal(CT)」として動作しているということを意味する。
 ID210が2~13のレコードも同様に、各組織における端末のIPアドレスと属性情報の対応を記録している。このような情報は、各端末がどのような業務で使用されているかを知っている必要があるため、ポリシー作成元250は、各端末が属する組織となる。
 また、ID210が14のレコードは、正規化前識別子220が「U-B1」、識別子種類230が「ドメイン」、正規化後識別子が「C&Cサーバ」、ポリシー作成元250が「インターネットプロバイダ」である。このレコードは、ドメイン「U-B1」には、C&Cサーバ(攻撃者が遠隔操作を行う端末)が対応付けられ、この情報はインターネットプロバイダにより提供されたものであるということを示している。
 ID=15のレコードも同様に、ドメイン「U-C1」とそのドメインの属性「C&Cサーバ」の対応を示している。
 また、ID210が16のレコードは、正規化前識別子220が「a1-1.exe」、識別子種類230が「実行ファイル」、正規化後識別子24p0RATクライアント」、ポリシー作成元250=「セキュリティベンダ」である。このレコードは、実行ファイル「a1-1.exe」は、「RATクライアント」(C&Cサーバと通信を行うプログラム)であり、この情報はセキュリティベンダにより提供されたものであるということを示している。
 ID=17のレコードも同様に、実行ファイル「a1-2.exe」とその属性「遠隔操作ツール」の対応を示している。
 次に、図6を参照して、振舞いルールDB300について説明する。振舞いルールDB300は、端末の振る舞いに基づき、ポリシーDB200では変換できなかった実行ファイルやドメインを正規化するのに用いられる。
 図6に示すように、振舞いルールDB300は、ID310、ルール属性320、ルール定義330、正規化後識別子340及びルール作成元350から構成される。
 ID310は、振舞いルールDB300内のレコードを一意に識別するための識別子である。ルール属性320は、変換対象となる、正規化前識別子の種類を示す。ルール属性320は、ポリシーDB200の識別子種類230と同一となる。
 ルール定義330は、正規化対象となる識別子を定義する。ルール定義330の定義文は自然言語で記述してもよいし、コンピュータが理解可能な機械語で記述してもよい。正規化後識別子340は、正規化処理後の識別子を示す。ルール作成元350は、個々のルールDB300レコードの作成元を示す。ルールDB300は、実行ファイルやドメインの振る舞いに詳しいセキュリティベンダやソフトウェアベンダにより予め作成される。
 図5に示す振舞いルールDB300レコード例では、5種類の振舞いルールが示されている。例えば、ID310が1のレコードは、ルール属性320が「実行ファイル」、ルール定義330が「30分以上、ホワイトリストに載っていないドメインとCONNECT接続を行う」、正規化後識別子340が「RATツール」、ルール作成元350が「セキュリティベンダ」である。
 ID310が「2」のレコードは、ルール属性320が「実行ファイル」、ルール定義330が「他端末の管理ポートに対して接続を行う」、正規化後識別子340が「遠隔操作ツール」、ルール作成元350が「セキュリティベンダ」である。
 ID310が「3」のレコードは、ルール属性320が「実行ファイル」、ルール定義330が「30MB以上のファイルを、ホワイトリストに載っていないドメインに対してPOSTする」、正規化後識別子340が「ファイル転送ツール」、ルール作成元350が「セキュリティベンダ」である。
 ID310が「4」のレコードは、ルール属性320が「ドメイン」、ルール定義330が「RATツールから接続を受ける」、正規化後識別子340が「C&Cサーバ」、ルール作成元350が「セキュリティベンダ」である。
 ID310が「5」のレコードは、ルール属性320が「ドメイン」、ルール定義330が「ファイル転送ツールから接続を受け、かつその直前に同一端末からC&Cサーバへの通信がある」、正規化後識別子340が「情報窃取サーバ」、ルール作成元350が「セキュリティベンダ」である。
 次に、図7A及び図7Bを参照して、正規化グラフDB400について説明する。正規化グラフDB400は、不審活動グラフDB100内のレコードを、ポリシーDB200及び振舞いルールDB300内のレコードを用いて正規化したものである。
 図7Aに示すように、正規化グラフDB400は、ID410、変換元レコード420、生成時間430、端末440及び不審活動内容450及び不審通信先460から構成される。
 ID410は、正規化グラフDB400のレコードを一意に識別するための識別子である。変換元レコード420は、正規化のもととなった、不審活動グラフDB100のレコードのID110を指し示す。
 生成時間430は、変換元レコード420で示された、不審活動グラフDB100レコードの生成時間120である。
 端末440は、変換元レコード420で示された、不審活動グラフDB100レコードにある端末130を、ポリシーDB200または振舞いルールDB300を用いて正規化したものである。
 不審活動内容450は、変換元レコード420で示された、不審活動グラフDB100レコードの不審活動内容140を、ポリシーDB200または振舞いルールDB300を用いて正規化したものである。
 不審通信先460は、変換元レコード420で示された、不審活動グラフDB100レコードの不審通信先150を、ポリシーDB200または振舞いルールDB300を用いて正規化したものである。
 図7Aには、図4の不審活動グラフDB100に示されるレコードを、正規化した結果のレコードが記録されている。
 例えば、ID410が1のレコードは、ID110が1のレコードを正規化したものである。端末130で示された、端末A-1、端末A-2、端末A-3、端末A-4は、ポリシーDB200のID210=1~4のレコードによって、それぞれ、CT(1)、CT(2)、LDAP、DBに変換される。CT端末におけるカッコ内の値は、同種の端末を識別するための識別情報である。
 また、端末A-1の不審活動内容110にある「ファイルa1-1.exeが、CONNECTメソッドで、外部サイトU-A1に対して60分間通信(2014-07-17 10:55)」は、ポリシーDB200のID210が16、及び、振舞いルールDB300のID310が4のレコードによって、「RATツール→C&Cサーバ (2014-07-17 10:55)」に変換される。同様に、「ファイルa1-2.exeが、端末A-2の管理ポートに対してアクセス(2014-07-17 10:55)」は、ID310が2のルールDB300レコードによって、「遠隔操作ツール→CT(2)(2014-07-17 10:55)」に変換される。
 同様に、端末A-2の不審活動内容110にある「ファイルa2-1.exeが、CONNECTメソッドで、外部サイトU-A1に対して60分間通信(2014-07-17 11:00)」は、「RATツール→C&Cサーバ (2014-07-17 11:00)」に変換され、「ファイルa2-2.exeが、端末A-3の管理ポートに対してアクセス(2014-07-17 11:00)」は「遠隔操作ツール→LDAP(2014-07-17 11:00)」に変換される。
 同様に、端末A-3の不審活動内容110にある「ファイルa3-1.exeが、CONNECTメソッドで、外部サイトU-A1に対して60分間通信(2014-07-17 11:05)」は、「RATツール→C&Cサーバ(2014-07-17 11:05)」に変換され、「ファイルa3-2.exeが、端末A-4の管理ポートに対してアクセス(2014-07-17 11:05)」は「遠隔操作ツール→DB((2014-07-17 11:05)」に変換される。
 同様に、端末A-4の不審活動内容110にある「ファイルa4-1.exeが、CONNECTメソッドで、外部サイトU-A1に対して60分間通信(2014-07-17 11:10)」は、「RATツール→C&Cサーバ(2014-07-17 11:10)」に変換され、「ファイルa4-2.exeが、POSTメソッドで、外部サイトU-A2に対して、100MBのデータをアップロード(2014-07-17 11:10)」は「ファイル転送ツール→情報窃取サーバ(2014-07-17 11:10)」に変換される。
 ID410=2のレコードは、ID110=2のレコードを正規化したものである。端末130で示された、端末B-1、端末B-2、端末B-3、端末B-4は、ポリシーDB200のID210=5~8のレコードによって、それぞれ、CT(1)、CT(2)、LDAP、DBに変換される。
 端末B-1の不審活動内容110にある「ファイルb1-1.exeが、CONNECTメソッドで、外部サイトU-B1に対して60分間通信(2013-07-17 10:55)」は、「RATツール→C&Cサーバ (2013-07-17 10:55)」に変換され、「ファイルb1-2.exeが、端末B-2の管理ポートに対してアクセス(2013-07-17 10:55)」は「遠隔操作ツール→CT(2)(2013-07-17 10:55)」に変換される。
 同様に、端末B-2の不審活動内容110にある「ファイルb2-1.exeが、CONNECTメソッドで、外部サイトU-B1に対して60分間通信(2013-07-17 11:00)」は、「RATツール→C&Cサーバ (2013-07-17 11:00)」に変換され、「ファイルb2-2.exeが、端末B-3の管理ポートに対してアクセス(2013-07-17 11:00)」は「遠隔操作ツール→LDAP(2013-07-17 11:00)」に変換される。
 同様に、端末B-3の不審活動内容110にある「ファイルb3-1.exeが、CONNECTメソッドで、外部サイトU-B1に対して50分間通信(2013-07-17 11:05)」は、「RATツール→C&Cサーバ(2013-07-17 11:05)」に変換され、「ファイルb3-2.exeが、端末B-4の管理ポートに対してアクセス(2013-07-17 11:05)」は「遠隔操作ツール→DB((2013-07-17 11:05)」に変換される。
 同様に、端末B-4の不審活動内容110にある「ファイルb4-1.exeが、CONNECTメソッドで、外部サイトU-B1に対して45分間通信(2013-07-17 11:10)」は、「RATツール→C&Cサーバ(2013-07-17 11:10)」に変換され、「ファイルb4-2.exeが、POSTメソッドで、外部サイトU-B2に対して、100MBのデータをアップロード(2013-07-17 11:10)」は「ファイル転送ツール→情報窃取サーバ(2013-07-17 11:10)」に変換される。
 ID410=3のレコードは、ID110=3のレコードを正規化したものである。端末130で示された、端末C-1、端末C-2、端末C-3、端末C-4、端末C-5は、ポリシーDB200のID210=9~13のレコードによって、それぞれ、CT(1)、CT(2)、LDAP、DB(1)、DB(2)に変換される。
 端末C-1の不審活動内容110にある「ファイルc1-1.exeが、CONNECTメソッドで、外部サイトU-C1に対して40分間通信(2012-07-17 10:55)」は、「RATツール→C&Cサーバ (2012-07-17 10:55)」に変換され、「ファイルc1-2.exeが、端末C-2の管理ポートに対してアクセス(2012-07-17 10:55)」は「遠隔操作ツール→CT(2)(2012-07-17 10:55)」に変換される。
 同様に、端末C-2の不審活動内容110にある「ファイルc2-1.exeが、CONNECTメソッドで、外部サイトU-C1に対して50分間通信(2012-07-17 11:00)」は、「RATツール→C&Cサーバ (2012-07-17 11:00)」に変換され、「ファイルc2-2.exeが、端末C-3の管理ポートに対してアクセス(2012-07-17 11:00)」は「遠隔操作ツール→LDAP(2012-07-17 11:00)」に変換される。
 同様に、端末C-3の不審活動内容110にある「ファイルc3-1.exeが、CONNECTメソッドで、外部サイトU-C1に対して60分間通信(2012-07-17 11:05)」は、「RATツール→C&Cサーバ(2012-07-17 11:05)」に変換され、「ファイルc3-2.exeが、端末C-4の管理ポートに対してアクセス(2012-07-17 11:05)」は「遠隔操作ツール→DB(1)((2012-07-17 11:05)」に変換される。
 同様に、端末C-4の不審活動内容110にある「ファイルc4-1.exeが、CONNECTメソッドで、外部サイトU-C1に対して55分間通信(2012-07-17 11:10)」は、「RATツール→C&Cサーバ(2012-07-17 11:10)」に変換され、「ファイルc4-2.exeが、POSTメソッドで、外部サイトU-C2対して、100MBのデータをアップロード(2012-07-17 11:10)」は「ファイル転送ツール→情報窃取サーバ(2012-07-17 11:10)」に変換され、「ファイルc4-3.exeが、端末C-4の管理ポートに対してアクセス(2012-07-17 11:10)」は「遠隔操作ツール→DB(2)((2012-07-17 11:10)」に変換される。
 同様に、端末C-5の不審活動内容110にある「ファイルc5-1.exeが、CONNECTメソッドで、外部サイトU-C2に対して45分間通信(2012-07-17 11:15)」は、「RATツール→C&Cサーバ(2012-07-17 11:15)」に変換され、「ファイルc5-2.exeが、POSTメソッドで、外部サイトU-C2に対して、100MBのデータをアップロード(2012-07-17 11:15)」は「ファイル転送ツール→情報窃取サーバ(2012-07-17 11:15)」に変換される。
(5)サイバー攻撃分析処理の詳細
 次に、図8~図11を参照して、サイバー攻撃分析処理の詳細について説明する。以下説明するように、図8に示すように、正規化グラフ構築部500により不審活動検知装置20から受信した不審活動グラフが不審活動グラフDB100に保管され、正規化される。続いて、図9に示すように、情報正規化機能部600により、ポリシーDB200及び振舞いルールDB300を用いて、不審活動グラフの固有名称が一般名称に変換される。そして、図10に示すように、グラフ検索部700により、検索クライアント30aから受け付けた類似グラフの検索リクエストに対して、類似グラフに関する情報が返信される。さらに、動向予測部800により、動向予測クライアント30bからの、不審活動グラフの今後の動向予測のリクエストに対して、予測結果を返信する。
 まず、図8を参照して、正規化グラフ構築部500における正規化グラフ構築処理の詳細について説明する。
 図8に示すように、正規化グラフ構築部500は、不審活動検知装置A20a、不審活動検知装置B20b、不審活動検知装置C20cまたは他の機能部から、不審活動グラフを受信し、その内容を不審活動グラフDB100に保存する。(S101)。
 そして、正規化グラフ構築部500は、ステップS101で保存した不審活動グラフのプロパティ情報を抽出する(S102)。ここで、プロパティ情報とは、グラフのノード情報、エッジ情報及びラベル情報である。これらの情報は、不審活動グラフDB100の、端末130、不審通信先150及び不審活動内容140にそれぞれ該当する。
 そして、正規化グラフ構築部500は、情報正規化機能部600に、ステップS102で抽出したプロパティ情報の正規化を依頼する(S103)。
 そして、正規化グラフ構築部500は、情報正規化機能部600より正規化情報を受信し、プロパティ情報を正規化情報へ置き換える(S104)。ここで、正規化情報を受信できなかった項目、すなわち正規化が出来なかった項目があった場合には、当該情報を「正規化不可」などの値に変換する。
 ステップS104では、グラフ構造自体の正規化を行ってもよい。図12に、グラフ構造の正規化の例を示す。例えば、端末ノードが重複していたり、同一端末ノードに複数のエッジが伸びていたりする場合には、重複ノードやエッジを削除することで、グラフ構造を正規化する。構造の正規化により、後述のグラフ類似度算出にかかるコストの低減や、類似度検索の精度を向上させることができる。
 図8に戻り、正規化グラフ構築部500は、正規化したグラフを正規化グラフDB400に保存する(S105)。また、他の機能部から不審活動グラフを受信した場合は、正規化されたグラフを返信する。
 次に、図9を参照して、情報正規化機能部600における情報正規化処理の詳細について説明する。
 図9に示すように、情報正規化機能部600は、正規化グラフ構築部500から、不審活動グラフのプロパティ情報の正規化依頼を受信する(S201)。
 そして、情報正規化機能部600は、ポリシーDB200または振舞いルールBD300を参照して、正規化情報を取得する(S202)。具体的に、情報正規化機能部600は、ポリシーDB200を参照し、プロパティ情報の正規化を試みて、正規化に成功した場合、処理は完了する。一方、ポリシーDB200で正規化できない場合は、振舞いルールDB300を用いて正規化を試みる。
 情報正規化機能部600は、処理S2020で正規化した情報を正規化グラフ構築部500へ返す(S203)。
 次に、図10を参照して、グラフ検索部700における不審活動グラフの類似度分析を行う、グラフ検索処理の詳細について説明する。
 図10に示すように、グラフ検索部700は、検索対象グラフを検索クライアント30aあるいは他の機能部から受信する(S301)。検索対象グラフの表現形式は、不審活動グラフDB100内のレコード形式でもよいし、クライアント30a側で何らかの手段で正規化グラフDB400内のレコード形式に変換しておいてもよい。
 そして、グラフ検索部700は、検索対象グラフが予め正規化されていないものである場合、正規化グラフ構築部500に正規化を依頼し、正規化されたグラフを取得する(S302)。
 グラフ検索部700は、正規化グラフDB400から既存の正規化グラフを取得する(S303)。
 そして、グラフ検索部700は、ステップS302で取得した検索対象グラフと、ステップS303で取得した既存の正規化グラフの間の類似度を算出する(S304)。ステップS304における類似度の算出は、SimRankアルゴリズムなど、既存のグラフ類似度分析アルゴリズムを応用してもよい。
 ここで、グラフ類似度算出の一例について説明する。なお、ここでは、類似度が完全一致する場合には、類似度「1」となる。
 例えば、2つの正規化グラフG1及びG2が与えられた場合には、まず、以下の式1により、G1内のノードaとG2内のノードbの初期類似度(S_0(a,b))を演算する。
 以下では、不審活動グラフの正規化グラフをG1(V1、E1)、G2(V2、E2)とし、ノードa(a∈V1)とノードb(b∈V2)との類似度をs(a,b)とし、aの不審通信先の集合をO(a)としている。
Figure JPOXMLDOC01-appb-M000001
 初期類似度は、2つのノードのラベル(即ち、不審活動内容140)を各々集合と見なしたときの、2つの集合の類似度として求める。集合の類似度は、Jaccard係数など、既存の集合類似度指標を用いてよい。
 初期類似度が求められると、Simrankアルゴリズムを用いることで、任意のノード間の類似度(s(a、b))が、例えば以下の式2により求められる。
Figure JPOXMLDOC01-appb-M000002
 s(a,b)が求まれば、2つのグラフの類似度s(G1,G2)は、G1内のノードが最も類似するG2内のノードの類似度の平均値として求まる。すなわち、式3により、aと最も類似するV2ノードとの類似度が算出され、式4により、G1とG2の類似度が算出される。
Figure JPOXMLDOC01-appb-M000003
Figure JPOXMLDOC01-appb-M000004
 図10に戻り、グラフ検索部700は、類似度が閾値以上である既存正規化グラフを、検索クライアント30aまたは他の機能部に返信する(S305)。また、検索要求元のアクセス権限などに応じて、正規化グラフの元である不審活動グラフに関する情報を返してもよい。なお、正規化前のグラフには具体的な情報が含まれているため、検索要求元にとっては有用な情報であるが、当該情報には機密性が高い情報が含まれるため、アクセス権に応じて当該情報を開示するか否か判断する必要がある。
 ここで、一例として、図4AのID410が「1」である不審活動グラフの類似度検索を、検索クライアント30aが要求した場合について説明する。
 図7AのID410が「1」、ID410が「2」のグラフを比較すると、端末140、不審活動内容150、不審通信先160は完全に一致する為、類似度は1となる。
 一方、図7AのID410が「1」、図7BのID410が「3」のグラフを比較すると、1~3番目のノード(2つのCT端末、LDAP端末)の不審活動内容450、不審通信先460は一致する。しかし、4番目のノード(DB端末)において、ID410=3のグラフでは、ID410=1のグラフにはない不審活動内容(遠隔操作ツール→DB((2012-07-17 11:10))が存在する。また、5番目のノード(DB端末)は、ID410=3のグラフには存在するが、ID410=1のグラフには存在しない。このため、両グラフの類似度は「1」とはならないことがわかる。
 次に、図11を参照して、動向予測部800における、不審活動グラフの今後の変化を予測して攻撃の動向予測を行う、動向予測処理の詳細について説明する。
 図11に示すように、動向予測部800は、動向予測対象となる不審活動グラフを、動向予測クライアント30bより受信する(S401)。
 そして、動向予測部800は、ステップS401で受信した不審活動グラフの類似グラフの検索をグラフ検索部700に依頼する(S402)。ステップS402において、動向予測部800から依頼されたグラフ検索部700は、類似グラフ及び類似グラフの正規化グラフを返信する。
 そして、動向予測部800は、グラフ検索部700から返信された類似グラフの正規化グラフのうち、以下の2つの条件をもとにスーパーグラフであるものを選別する(S403)。
(条件1)検索対象グラフの正規化グラフのノード・エッジを一定割合以上含んでいる。
(条件2)検索対象グラフの正規化グラフには無いノード及びエッジを分組んでいるものである。
 ここで、例として、図4のID110が「1」である不審活動グラフの動向予測を、検索クライアント30bが要求した場合について説明する。この場合、ステップS402において、グラフ検索部700にて類似度グラフの検索が行われ、ID110が「2」、ID110が「3」のグラフが共に類似度閾値を満たし返信されたとする。
 この時、ステップS403においてスーパーグラフの選別が行われるが、ID110が「2」の正規化グラフは検索対象の正規グラフと同じであるため、(条件1)は満たすが、(条件2)は満たさない。一方、ID110=3のグラフの正規グラフは、(条件1)を満たすと共に、ID110が「1」のグラフの正規化グラフには無いノード及びエッジを持つ。このため、ID110が「3」のグラフがスーパーグラフとして選別される。
 続いて、動向予測部800は、ステップS404で選別されたスーパーグラフの時間変化を基に、検索対象グラフの今後の変化を予測する(S404)。具体的には、スーパーグラフと動向予測グラフの差分を予測対象とする。
 図4A、図4B、図7A及び図7Bの例では、両グラフの正規化グラフの差分は、IDが「3」のDB(1)において、「遠隔操作ツール→DB(2)」が発生する点と、DB(2)において「RATツール→C&Cサーバ」「ファイル転送ツール→情報窃取サーバ」が発生する点である。このため、動向予測部800は、「今後、組織Aのもう一つのDBに対して遠隔操作が行われ、さらに、そのDBから情報漏えいが発生する」と予測する。
 なお、複数のスーパーグラフが選別された場合には、最も類似度が高いものを基に予測してもよいし、複数のグラフの予測結果をまとめてもよい。
 最後に、動向予測部800は、ステップS404で求めた予測結果を検索クライアント30bに返信する(S405)。
 次に、図13及び図14を参照して、グラフ検索部700における類似度分析をもとに行われる分析結果について説明する。セイバー攻撃分析装置10は、出力部(図示せず)により分析結果を出力して、検索クライアント30aまたは動向予測クライアント30bなどの端末の表示装置に分析結果を表示させる。
 図13は、分析結果のレコード例を示す図表である。図13に示す分析結果のレコード例は、上記した各不審活動グラフに関連する分析結果である。図13に示すように、分析結果160のレコードには、ID161、不審活動グラフID162、予想攻撃元163及び検討情報164が対応付けられている。
 ID161は、各レコードを一意に識別する識別子である。不審活動グラフID162は、図4A及び図4BのID110に対応し、本レコードが何れの不審活動グラフに関するものであるかを示す。予想攻撃元163は、各不審活動グラフにつながる活動を実施した攻撃元に関する情報である。検討情報164は、不審活動グラフに関する種々の検討結果である。
 図13の例では、IDが「1」~「3」の不審活動グラフの予想攻撃元はA国であり、IDが「4」及び「5」の不審活動グラフの攻撃元はB国であることがわかる。図13の例では、予想攻撃元を「国」としたが、かかる例に限定されず、何らかの組織や個別の情報処理装置を予想攻撃元としてもよい。このように不審活動グラフから予想攻撃元を予想することにより、ある不審活動グラフがグラフID「1」~「3」の不審活動グラフと類似している場合は、同グラフもA国などの特定の攻撃元からの攻撃によって生じた可能性が高い、などの攻撃分析をすることが可能となる。
 図14は、サイバー攻撃分析システムにおけるユーザインタフェースの表示例を示すものである。図14に示す表示例は、サイバー攻撃分析装置10の出力部(図示せず)により出力され、検索クライアント30aまたは動向予測クライアント30bなどの端末の表示装置に表示される。
 ユーザは、検索対象グラフの情報を入力し、検索クライアント30aや動向予測クライアント30bを介して類似グラフ検索または攻撃動向予測を行う。ここで、グラフ情報の入力手段としては、XMLや独自のフォーマットのファイルを読み込んでもいいし、描画ツールなどによりインタラクティブに作成を行ってもよい。
 類似グラフを検索する場合、サイバー攻撃分析システムより、検索対象グラフの類似グラフ及びその正規化グラフが返される。さらに、対応する攻撃元分析結果レコードも返されるため、ユーザは、過去に発生した類似グラフのコンテキスト(攻撃元国など)を知ることが出来る。
 また、攻撃動向を予測する場合、検索対象グラフのスーパーグラフのうち類似度が一定以上であるグラフ及びその正規化グラフが返される。この場合、検索対象グラフと攻撃予測動向グラフの差分を基に、検索対象グラフの今後の動向予測が記述される。
 例えば、図14では、ユーザが入力した検索対象グラフの情報が、検索対象グラフ表示例901や、正規化された検索対象グラフが正規化グラフ表示例902として表示される。
 そして、ユーザにより類似グラフ検索ボタン904が押下されると、類似グラフの情報として、類似グラフの表示例906や、類似グラフの正規化グラフが正規化グラフ表示例907として表示される。また、類似グラフについて詳細情報908が表示され、例えば、攻撃された日時や攻撃元の情報などが表示される。
 また、ユーザにより攻撃動向予測905が押下されると、攻撃動向予測情報として、攻撃動向予測グラフの表示例909や、攻撃動向予測グラフの正規化グラフが正規化グラフ表示例910として表示される。また、今後の動向予測の詳細情報911が表示され、例えば、今後、攻撃される可能性がある対象の情報などが表示される。
(6)本実施の形態の効果
 上記実施の形態によれば、サイバー攻撃分析装置10は、標的型攻撃やマルウェアの活動を検知する不審活動検知装置20から送信された、標的型攻撃やマルウェアの活動内容を表現する構造である複数の不審活動グラフを不審活動グラフDB100に記憶して、検索クライアント30aの要求に応じて、複数の不審活動グラフの類似度を算出し、前記複数の不審活動グラフの類似度の算出結果を検索クライアント30aに表示させる。これにより、検知結果間の比較や今後の攻撃動向の分析を行って、標的型攻撃及びマルウェアの活動の分析、及び、今後の攻撃の動向を予測することができる。
 10  サイバー攻撃分析装置
 20a 不審活動検知装置A
 20b 不審活動検知装置B
 20c 不審活動検知装置C
 30a 検索クライアント
 30b 動向予測クライアント
 40a 通信ネットワーク
 40b 通信ネットワーク
 100 不審活動グラフDB
 200 ポリシーDB
 300 振舞いルールDB
 400 正規化グラフDB
 500 正規化グラフ構築部
 600 情報正規化機能部
 700 グラフ検索部
 800 動向予測部
 

Claims (11)

  1.  標的型攻撃やマルウェアの活動を検知する検知装置と接続されたサイバー攻撃分析装置であって、
     前記検知装置から送信された、標的型攻撃やマルウェアの活動内容を表現する構造である複数の不審活動グラフを記憶する記憶部と、
     クライアント端末の要求に応じて前記複数の不審活動グラフの類似度を算出する制御部と、
     前記複数の不審活動グラフの類似度の算出結果を前記クライアント端末に表示させる出力部と、
     を備えることを特徴とする、サイバー攻撃分析装置。
  2.  前記不審活動グラフは、標的型攻撃やマルウェアが侵入した端末をノード、侵入経路をエッジ、前記端末内での活動記録をラベルとするグラフ構造である
     ことを特徴とする、請求項1に記載のサイバー攻撃分析装置。
  3.  前記制御部は、
     前記不審活動グラフのノード、グラフ、ラベルの各要素に固有の記述である正規化前識別子を、予め定義された抽象的または一般的な記述である正規化後識別子に変換して正規化グラフを構築し、構築した前記正規化グラフ間のグラフ構造の類似度を算出する
     ことを特徴とする、請求項2に記載のサイバー攻撃分析装置。
  4.  前記制御部は、
     前記正規化前識別子から前記正規化後識別子への変換に際して、両識別子の対応情報を有することを特徴とする、請求項3に記載の前記サイバー攻撃分析装置。
  5.  前記記憶部には、前記不審活動グラフを正規化するための情報が記憶されており、
     前記制御部は、
     前記不審活動グラフを正規化するための情報をもとに、前記不審活動グラフの前記ラベルの情報に含まれる実行ファイルの挙動情報や通信情報に対応する前記正規化後識別子を選択する
     ことを特徴とする、請求項4に記載の前記サイバー攻撃分析装置。
  6.  前記制御部は、
     前記不審活動グラフのグラフ構造を、任意のルールに基づいて重複ノードやエッジの削除などのグラフ構造の変形処理を行う
     ことを特徴とする、請求項5に記載の前記サイバー攻撃分析装置。
  7.  前記制御部は、
     任意の不審活動グラフに類似する他の不審活動グラフの形状をもとに、任意の不審活動グラフの今後の形状変化を予測する
     ことを特徴とする、請求項1に記載の前記サイバー攻撃分析装置。
  8.  前記制御部は、
     予測対象の不審活動グラフに類似し、かつ、予測対象には含まれない要素を有する不審活動グラフであるスーパーグラフを特定し、前記類度算出機能を用いて求め、前記スーパーグラフと前記予測対象グラフの差分を、攻撃の動向予測結果として求める
     ことを特徴とする、請求項7に記載の前記サイバー攻撃分析装置。
  9.  前記制御部は、
     外部のクライアント端末からの類似グラフ検索要求及びグラフ動向予測要求を受け付け
     前記出力部は、
     類似グラフ検索結果及びグラフ動向予測結果を前記クライアント端末に出力させる
     ことを特徴とする、請求項8に記載の前記サイバー攻撃分析装置。
  10.  前記サイバー攻撃分析装置は、前記クライアント端末がもつアクセス権限に応じて、前記類似グラフ検索結果及び前記グラフ動向予測結果を前記クライアント端末に出力させる際に、前記不審活動グラフの情報を表示させるかを判断する
     ことを特徴とする、請求項9に記載の前記サイバー攻撃分析装置。
  11.  標的型攻撃やマルウェアの活動を検知する検知装置と接続されたサイバー攻撃分析装置におけるサイバー攻撃分析方法であって、
     前記検知装置から送信された、標的型攻撃やマルウェアの活動内容を表現する構造である複数の不審活動グラフを記憶するステップと、
     クライアント端末の要求に応じて前記複数の不審活動グラフの類似度を算出するステップと、
     前記複数の不審活動グラフの類似度の算出結果を前記クライアント端末に表示させるステップと、
     を含むことを特徴とする、サイバー攻撃分析方法。
     
PCT/JP2016/062721 2015-04-22 2016-04-22 サイバー攻撃分析装置及びサイバー攻撃分析方法 WO2016171243A1 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2015087821A JP6285390B2 (ja) 2015-04-22 2015-04-22 サイバー攻撃分析装置及びサイバー攻撃分析方法
JP2015-087821 2015-04-22

Publications (1)

Publication Number Publication Date
WO2016171243A1 true WO2016171243A1 (ja) 2016-10-27

Family

ID=57144006

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2016/062721 WO2016171243A1 (ja) 2015-04-22 2016-04-22 サイバー攻撃分析装置及びサイバー攻撃分析方法

Country Status (2)

Country Link
JP (1) JP6285390B2 (ja)
WO (1) WO2016171243A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114006766A (zh) * 2021-11-04 2022-02-01 杭州安恒信息安全技术有限公司 网络攻击检测方法、装置、电子设备及可读存储介质

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101780933B1 (ko) * 2017-01-05 2017-09-26 한국인터넷진흥원 침해 자원 사이의 연관 관계 시각화 방법 및 그 장치
KR101764674B1 (ko) 2017-01-06 2017-08-03 한국인터넷진흥원 침해 자원에 대한 그래프 데이터베이스 생성 방법 및 그 장치
KR101759535B1 (ko) 2017-01-10 2017-07-19 한국인터넷진흥원 침해 사고 그래프 데이터베이스 생성 방법 및 그 장치
KR101910787B1 (ko) 2017-02-28 2018-10-23 한국인터넷진흥원 침해 사고 그래프 데이터베이스에서의 사이버 킬 체인 분류 방법 및 그 장치
KR101959213B1 (ko) * 2017-02-28 2019-03-18 한국인터넷진흥원 침해 사고 예측 방법 및 그 장치
RU2697958C1 (ru) * 2018-06-29 2019-08-21 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения вредоносной активности на компьютерной системе
RU2724800C1 (ru) 2018-12-28 2020-06-25 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения источника вредоносной активности на компьютерной системе
EP3674943A1 (en) * 2018-12-28 2020-07-01 AO Kaspersky Lab System and method of detecting a source of malicious activity in a computer system
WO2023032015A1 (ja) * 2021-08-30 2023-03-09 日本電気株式会社 攻撃分析支援装置、攻撃分析支援方法、およびコンピュータ読み取り可能な記録媒体

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005341217A (ja) * 2004-05-27 2005-12-08 Fujitsu Ltd 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置
US20130031625A1 (en) * 2011-07-29 2013-01-31 Electronics And Telecommunications Research Institute Cyber threat prior prediction apparatus and method
WO2014045827A1 (ja) * 2012-09-19 2014-03-27 三菱電機株式会社 情報処理装置及び情報処理方法及びプログラム
WO2014112185A1 (ja) * 2013-01-21 2014-07-24 三菱電機株式会社 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム
WO2015059791A1 (ja) * 2013-10-24 2015-04-30 三菱電機株式会社 情報処理装置及び情報処理方法及びプログラム
JP2016066282A (ja) * 2014-09-25 2016-04-28 株式会社日立製作所 ウイルス検知システム及び方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005341217A (ja) * 2004-05-27 2005-12-08 Fujitsu Ltd 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置
US20130031625A1 (en) * 2011-07-29 2013-01-31 Electronics And Telecommunications Research Institute Cyber threat prior prediction apparatus and method
WO2014045827A1 (ja) * 2012-09-19 2014-03-27 三菱電機株式会社 情報処理装置及び情報処理方法及びプログラム
WO2014112185A1 (ja) * 2013-01-21 2014-07-24 三菱電機株式会社 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム
WO2015059791A1 (ja) * 2013-10-24 2015-04-30 三菱電機株式会社 情報処理装置及び情報処理方法及びプログラム
JP2016066282A (ja) * 2014-09-25 2016-04-28 株式会社日立製作所 ウイルス検知システム及び方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
YASUHIRO TERAMOTO: "Intrusion Path Prediction of Advanced Persistent Threat", IEICE TECHNICAL REPORT, vol. 115, no. 252, 8 October 2015 (2015-10-08), pages 7 - 12 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114006766A (zh) * 2021-11-04 2022-02-01 杭州安恒信息安全技术有限公司 网络攻击检测方法、装置、电子设备及可读存储介质

Also Published As

Publication number Publication date
JP2016206943A (ja) 2016-12-08
JP6285390B2 (ja) 2018-02-28

Similar Documents

Publication Publication Date Title
JP6285390B2 (ja) サイバー攻撃分析装置及びサイバー攻撃分析方法
CN111935192B (zh) 网络攻击事件溯源处理方法、装置、设备和存储介质
Milajerdi et al. Poirot: Aligning attack behavior with kernel audit records for cyber threat hunting
Montasari et al. Next-generation digital forensics: Challenges and future paradigms
US11941054B2 (en) Iterative constraint solving in abstract graph matching for cyber incident reasoning
Perdisci et al. Alarm clustering for intrusion detection systems in computer networks
US11184374B2 (en) Endpoint inter-process activity extraction and pattern matching
Ghafir et al. Proposed approach for targeted attacks detection
Sibiya et al. Digital forensic framework for a cloud environment
US9369478B2 (en) OWL-based intelligent security audit
KR102079687B1 (ko) 공격 그래프 기반의 사이버 위협 예측 시스템 및 그 방법
Watson et al. The honeynet project: Data collection tools, infrastructure, archives and analysis
Kim et al. Automated dataset generation system for collaborative research of cyber threat analysis
Zhang et al. Effective network vulnerability assessment through model abstraction
US11750634B1 (en) Threat detection model development for network-based systems
Seth et al. MIDS: Metaheuristic based intrusion detection system for cloud using k-NN and MGWO
Dodia et al. Exposing the rat in the tunnel: Using traffic analysis for tor-based malware detection
Alam et al. Looking beyond IoCs: Automatically extracting attack patterns from external CTI
Pitropakis et al. Till all are one: Towards a unified cloud IDS
US20220237302A1 (en) Rule generation apparatus, rule generation method, and computer-readable recording medium
Kumar et al. A zero-day resistant malware detection method for securing cloud using SVM and sandboxing techniques
Kara Cyber-espionage malware attacks detection and analysis: A case study
Patil et al. Roadmap of digital forensics investigation process with discovery of tools
Sun et al. Inferring the stealthy bridges between enterprise network islands in cloud using cross-layer bayesian networks
Choi et al. Understanding Internet of Things malware by analyzing endpoints in their static artifacts

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 16783264

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 16783264

Country of ref document: EP

Kind code of ref document: A1