WO2019163154A1

WO2019163154A1 - ルール生成装置およびルール生成プログラム

Info

Publication number: WO2019163154A1
Application number: PCT/JP2018/023568
Authority: WO
Inventors: 秀明居城; 河内　清人; 卓也庄谷; 加藤　淳; 洋光白井; 寿志福田
Original assignee: 三菱電機株式会社
Priority date: 2018-02-26
Filing date: 2018-06-21
Publication date: 2019-08-29
Also published as: US20200342095A1; JP6719492B2; JP2019148894A

Abstract

分類部（１１２）は、複数の攻撃ログデータについて攻撃ログデータ毎に、攻撃ログデータに含まれる１つ以上のログ情報を第１要素の値と第２要素の値との値組別に分類することによって、１つ以上のログ情報グループを生成する。集約部（１１３）は、ログ情報グループ毎に、ログ情報グループに含まれる１つ以上のログ情報を集約することによって、集約データを生成する。抽出部（１１４）は、１つ以上の値組のうち前記複数の攻撃ログデータに共通する値組毎に、前記複数の攻撃ログデータに対応する複数の集約データから共通情報を抽出する。生成部（１１５）は、１つ以上の共通情報に基づいて１つ以上の攻撃検知ルールを生成する。

Description

ルール生成装置およびルール生成プログラム

　本発明は、攻撃検知ルールを生成するための技術に関するものである。

　サイバー攻撃では、ログインパスワードの総当たり攻撃または不正な権限昇格などのさまざまな攻撃活動が実施される。
　セキュリティ監視では、これらの攻撃活動の痕跡を検知するための検知ルールが作成される。そして、情報システムで発生するログまたはセキュリティ製品から発せられるアラート情報などが検知ルールに合致するか分析される。検知ルールに合致する事象が発生した場合には、アラートがオペレータに通知され、対処される。
　攻撃活動のための新たな手法が日々発見されるため、検知ルールの作成は継続的に実施する必要がある。

　検知ルールを作成するためには、攻撃活動の痕跡が監視対象のどこに、どのような形で残るかを特定する必要がある。
　しかし、痕跡の特定には高度なセキュリティの知識が必要であり、一般的な知識しか持っていない作業者には検知ルールの作成は困難である。

　特許文献１は、ログから攻撃の特徴を検知するために検知ルールを作成する技術を開示している。
　本技術では、複数のマルウェアの実行結果を基に得られたログから共通の特徴が抽出され、仮の検知ルールが作成される。そして、仮の検知ルールを用いて正常なソフトウェアに対する誤検知数が計測され、仮の検知ルールの採用可否が誤検知数に応じて決定される。

特開２０１３－０９２９８１号公報

　特許文献１に開示された技術では、各攻撃に共通する特徴を抽出することができない。具体的には、出現回数または周期性などを抽出することができない。例えば、正常なユーザがアクセスする特定の宛先に対する大量のアクセスを特徴として抽出することができない。
　また、環境または条件に応じたパラメータの変化により、攻撃本来の特徴でないものが抽出される可能性がある。例えば、特定の宛先に大量にアクセスする攻撃についての検知ルールを作成するために、情報システム内の特定の端末Ａに対する大量のアクセスが行われ、ログが収集される。この場合、攻撃本来の特徴は「宛先の端末に依らず大量にアクセスすること」である。しかし、「端末Ａへ大量にアクセスすること」という誤った特徴が抽出される可能性がある。

　本発明は、複数の攻撃ログデータに共通する情報に基づいて攻撃検知ルールを生成できるようにすることを目的とする。

　本発明のルール生成装置は、
　複数の攻撃ログデータについて攻撃ログデータ毎に、攻撃ログデータに含まれる１つ以上のログ情報を第１要素の値と第２要素の値との値組別に分類することによって、１つ以上のログ情報グループを生成する分類部と、
　ログ情報グループ毎に、ログ情報グループに含まれる１つ以上のログ情報を集約することによって、集約データを生成する集約部と、
　１つ以上の値組のうち前記複数の攻撃ログデータに共通する値組毎に、前記複数の攻撃ログデータに対応する複数の集約データから共通情報を抽出する抽出部と、
　１つ以上の共通情報に基づいて１つ以上の攻撃検知ルールを生成する生成部とを備える。

　本発明によれば、複数の攻撃ログデータに共通する情報に基づいて攻撃検知ルールを生成することができる。

実施の形態１におけるルール生成システム２００の構成図。実施の形態１におけるルール生成装置１００の構成図。実施の形態１におけるルール生成方法のフローチャート。実施の形態１における攻撃ログファイル３００を示す図。実施の形態１における分類処理（Ｓ１２０）のフローチャート。実施の形態１における第２要素リスト３１０を示す図。実施の形態１における集約処理（Ｓ１３０）のフローチャート。実施の形態１における代替値リスト３２０を示す図。実施の形態１における集約ファイル３３０を示す図。実施の形態１における抽出処理（Ｓ１４０）のフローチャート。実施の形態１におけるステップＳ１４４のフローチャート。実施の形態１における共通ファイル３４０を示す図。実施の形態１における生成処理（Ｓ１５０）のフローチャート。実施の形態１におけるステップＳ１５１のフローチャート。実施の形態１における仮検知ルールファイル３５０を示す図。実施の形態１における分析結果ファイル３６０を示す図。実施の形態１における攻撃実行環境２１０の構成図。実施の形態１におけるユーザ端末２１１の構成情報を示す図。実施の形態１における攻撃手段を示す図。実施の形態２におけるルール生成方法のフローチャート。実施の形態２における生成処理（Ｓ２５０）のフローチャート。実施の形態２におけるステップＳ２５１のフローチャート。実施の形態２における共通ファイル３４０を示す図。実施の形態２における仮検知ルールファイル３５０を示す図。実施の形態３におけるルール生成方法のフローチャート。実施の形態３における抽出処理（Ｓ３４０）のフローチャート。実施の形態３におけるステップＳ３４４のフローチャート。実施の形態３における生成処理（Ｓ３５０）のフローチャート。実施の形態３におけるステップＳ３５１のフローチャート。実施の形態４における定義ファイル３７０を示す図。実施の形態４におけるルール生成方法のフローチャート。実施の形態４における集約処理（Ｓ４３０）のフローチャート。実施の形態４における抽出処理（Ｓ４４０）のフローチャート。実施の形態４におけるステップＳ４４４のフローチャート。実施の形態４における生成処理（Ｓ４５０）のフローチャート。実施の形態４におけるステップＳ１５１のフローチャート。実施の形態５におけるルール生成装置１００の構成図。実施の形態５における攻撃実行環境２１０の構成図。実施の形態５における取得処理（Ｓ５００）のフローチャート。実施の形態におけるルール生成装置１００のハードウェア構成図。

　実施の形態および図面において、同じ要素および対応する要素には同じ符号を付している。同じ符号が付された要素の説明は適宜に省略または簡略化する。図中の矢印はデータの流れ又は処理の流れを主に示している。

　実施の形態１．
　攻撃検知ルールを生成するための形態について、図１から図１９に基づいて説明する。

＊＊＊構成の説明＊＊＊
　図１に基づいて、ルール生成システム２００の構成を説明する。
　ルール生成システム２００は、ルール生成装置１００と攻撃実行環境２１０とログ分析装置２２０とを備える。
　ルール生成装置１００は、攻撃実行環境２１０とログ分析装置２２０と通信を行う。

　攻撃実行環境２１０は、攻撃ログファイル３００を得るための環境である。攻撃実行環境２１０はログ取得環境とも呼ぶ。
　ルール生成装置１００は、攻撃実行環境２１０によって得られる攻撃ログファイル３００に基づいて、仮検知ルールファイル３５０を生成する。

　ログ分析装置２２０は、仮検知ルールファイル３５０を分析するための装置である。
　ルール生成装置１００は、ログ分析装置２２０によって得られる分析結果ファイル３６０に基づいて、攻撃検知ルールを生成する。

　図２に基づいて、ルール生成装置１００の構成を説明する。
　ルール生成装置１００は、プロセッサ１０１とメモリ１０２と補助記憶装置１０３と通信装置１０４といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。

　プロセッサ１０１は、演算処理を行うＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）であり、他のハードウェアを制御する。例えば、プロセッサ１０１は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）、またはＧＰＵ（Ｇｒａｐｈｉｃｓ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。
　メモリ１０２は揮発性の記憶装置である。メモリ１０２は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ１０２はＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）である。メモリ１０２に記憶されたデータは必要に応じて補助記憶装置１０３に保存される。
　補助記憶装置１０３は不揮発性の記憶装置である。例えば、補助記憶装置１０３は、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）、またはフラッシュメモリである。補助記憶装置１０３に記憶されたデータは必要に応じてメモリ１０２にロードされる。
　通信装置１０４はレシーバ及びトランスミッタである。例えば、通信装置１０４は通信チップまたはＮＩＣ（Ｎｅｔｗｏｒｋ　Ｉｎｔｅｒｆａｃｅ　Ｃａｒｄ）である。

　ルール生成装置１００は、受付部１１１と分類部１１２と集約部１１３と抽出部１１４と生成部１１５といった要素を備える。これらの要素はソフトウェアで実現される。

　補助記憶装置１０３には、受付部１１１と分類部１１２と集約部１１３と抽出部１１４と生成部１１５としてコンピュータを機能させるためのルール生成プログラムが記憶されている。ルール生成プログラムは、メモリ１０２にロードされて、プロセッサ１０１によって実行される。
　さらに、補助記憶装置１０３にはＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）が記憶されている。ＯＳの少なくとも一部は、メモリ１０２にロードされて、プロセッサ１０１によって実行される。
　つまり、プロセッサ１０１は、ＯＳを実行しながら、ルール生成プログラムを実行する。
　ルール生成プログラムを実行して得られるデータは、メモリ１０２、補助記憶装置１０３、プロセッサ１０１内のレジスタまたはプロセッサ１０１内のキャッシュメモリといった記憶装置に記憶される。

　補助記憶装置１０３は記憶部１２０として機能する。但し、他の記憶装置が、補助記憶装置１０３の代わりに、又は、補助記憶装置１０３と共に、記憶部１２０として機能してもよい。

　ルール生成装置１００は、プロセッサ１０１を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ１０１の役割を分担する。

　ルール生成プログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータで読み取り可能に記録（格納）することができる。

＊＊＊動作の説明＊＊＊
　ルール生成装置１００の動作はルール生成方法に相当する。また、ルール生成方法の手順はルール生成プログラムの手順に相当する。

　図３に基づいて、ルール生成方法を説明する。
　ステップＳ１１０において、受付部１１１は、攻撃実行環境２１０から攻撃ログファイル３００を受け付ける。
　そして、受付部１１１は、攻撃ログファイル３００を記憶部１２０に記憶する。

　図４に基づいて、攻撃ログファイル３００を説明する。
　攻撃ログファイル３００は、複数の攻撃ログデータを含む。複数の攻撃ログデータは、攻撃活動の複数の実施によって得られる。図４の攻撃ログファイル３００は、４つの攻撃ログデータを含んでいる。
　攻撃ログデータを特定しない場合、それぞれを攻撃ログデータ３０１と称する。

　攻撃ログデータ３０１は、攻撃手段Ｎｏ．と攻撃時間と１つ以上のログ情報とを含んでいる。
　攻撃手段Ｎｏ．は、攻撃手段を識別する番号である。
　攻撃時間は、攻撃が実施された時間の長さである。
　ログ情報を特定しない場合、それぞれをログ情報３０２と称する。

　ログ情報３０２は、１つ以上の要素のそれぞれの値を有する。各要素の値を要素値と呼ぶ。
　図４のログ情報３０２は、ログ種別と取得元ホストとＩＤ（ｉｄｅｎｔｉｆｉｅｒ）と
いった各要素について要素値を有する。
　ログ種別は、ログ情報３０２の種別である。図４において、「ＴＹＰＥ」はログ種別を意味する。ログ種別の一例は端末イベントである。
　取得元ホストは、ログを取得したホストである。図４において、「ＨＯＳＴ」は取得元ホストを意味する。取得元ホストの一例は、ホストＰＣ＿Ｖ１である。
　ＩＤは、端末イベントを識別する識別子である。

　図３に戻り、ステップＳ１２０から説明を続ける。
　ステップＳ１２０において、分類部１１２は、複数の攻撃ログデータ３０１について攻撃ログデータ３０１毎に、攻撃ログデータ３０１に含まれる１つ以上のログ情報３０２を第１要素の値と第２要素の値との値組別に分類する。
　これにより、分類部１１２は、攻撃ログデータ３０１毎に１つ以上のログ情報グループを生成する。
　ログ情報グループは、同じ第１要素の値と同じ第２要素の値とを有する１つ以上のログ情報３０２である。
　分類処理（Ｓ１２０）の詳細については後述する。

　ステップＳ１３０において、集約部１１３は、複数の攻撃ログデータ３０１のそれぞれのログ情報グループ毎に、ログ情報グループに含まれる１つ以上のログ情報３０２を集約する。
　これにより、集約部１１３は、ログ情報グループ毎に集約データを生成する。
　集約データは、ログ情報グループに含まれる１つ以上のログ情報３０２の特徴を示す。
　集約処理（Ｓ１３０）の詳細については後述する。

　ステップＳ１４０において、抽出部１１４は、１つ以上の値組のうち複数の攻撃ログデータ３０１に共通する値組毎に、複数の攻撃ログデータ３０１に対応する複数の集約データから共通情報を抽出する。
　共通情報は、複数の攻撃ログデータ３０１に対応する複数の集約データに共通する情報である。
　抽出処理（Ｓ１４０）の詳細については後述する。

　ステップＳ１５０において、生成部１１５は、ステップＳ１４０で抽出された１つ以上の共通情報に基づいて１つ以上の攻撃検知ルールを生成する。
　攻撃検知ルールは、攻撃活動の特徴を示す。
　生成処理（Ｓ１５０）の詳細については後述する。
　ステップＳ１４０で共通情報が抽出されなかった場合、受け付けられた攻撃ログファイル３００から同じ攻撃活動に関する複数の攻撃ログデータ３０１に共通する特徴を抽出できないため、ルール生成方法の処理は終了する。

　図５に基づいて、分類処理（Ｓ１２０）の手順を説明する。
　ステップＳ１２１において、分類部１１２は、攻撃ログファイル３００から、未選択の攻撃ログデータ３０１を１つ選択する。
　例えば、分類部１１２は、図４の攻撃ログファイル３００から、攻撃ログデータ３０１Ａを選択する。

　ステップＳ１２２からステップＳ１２５は、ステップＳ１２１で選択された攻撃ログデータ３０１のために実行される。

　ステップＳ１２２において、分類部１１２は、攻撃ログデータ３０１に含まれる１つ以上のログ情報３０２を第１要素値別に分類する。第１要素値は第１要素の値である。
　これにより、分類部１１２は、第１要素値別の１つ以上の仮情報グループを生成する。
　仮情報グループは、同じ第１要素値を有する１つ以上のログ情報３０２である。

　図４の攻撃ログファイル３００において、攻撃ログデータ３０１Ａの第１要素はログ種別（ＴＹＰＥ）である。
　攻撃ログデータ３０１Ａは、１００個のログ情報３０２Ａを含んでいる。
　全てのログ情報３０２Ａにおいて、ログ種別は端末イベントである。
　この場合、分類部１１２は、１つの仮情報グループを生成する。この仮情報グループは、ログ種別が端末イベントである１００個のログ情報３０２である。

　図５に戻り、ステップＳ１２３から説明を続ける。
　ステップＳ１２３において、分類部１１２は、仮情報グループ毎に第１要素値に対応する第２要素を選択する。
　具体的には、分類部１１２は、第２要素リスト３１０から、第１要素値に対応する第２要素を取得する。

　図６に基づいて、第２要素リスト３１０を説明する。
　第２要素リスト３１０は、各第１要素値に対応する第２要素を示す。
　ログ種別が第１要素であり、ログ種別の値が第１要素値であり、分類軸が第２要素である。

　第１要素値が端末イベントである場合、分類部１１２は、端末イベントに対応する分類軸を第２要素リスト３１０から取得する。取得される分類軸は取得元ホストおよびＩＤである。取得元ホストとＩＤとのそれぞれが第２要素である。

　図５に戻り、ステップＳ１２４から説明を続ける。
　ステップＳ１２４において、分類部１１２は、攻撃ログデータ３０１に含まれる１つ以上のログ情報３０２を第１要素値と第２要素値との値組別に分類する。第２要素値は第２要素の値である。
　これにより、分類部１１２は、第１要素値と第２要素値との値組別の１つ以上のログ情報グループを生成する。
　ログ情報グループは、同じ第１要素値と同じ第２要素値とを有する１つ以上のログ情報３０２である。

　図４の攻撃ログファイル３００において、攻撃ログデータ３０１Ａの第１要素はログ種別（ＴＹＰＥ）である。
　攻撃ログデータ３０１Ａは、１００個のログ情報３０２Ａを含んでいる。
　全てのログ情報３０２Ａにおいて、ログ種別は端末イベントである。
　図６の第２要素リスト３１０において、端末イベントに対応する第２要素は取得元ホストおよびＩＤである。
　図４の全てのログ情報３０２Ａにおいて、取得元ホスト（ＨＯＳＴ）はＰＣ＿Ｖ１であり、ＩＤは１２３４である。
　この場合、分類部１１２は、１つのログ情報グループを生成する。このログ情報グループは、ログ種別が端末イベントであり、取得元ホストがＰＣ＿Ｖ１であり、ＩＤが１２３４である１００個のログ情報３０２である。

　図５に戻り、ステップＳ１２５から説明を続ける。
　ステップＳ１２５において、分類部１１２は、未選択の攻撃ログデータが有るか判定する。ステップＳ１２５において未選択の攻撃ログデータ３０１を未選択データと呼ぶ。
　未選択データが有る場合、処理はステップＳ１２１に進む。
　未選択データが無い場合、処理は終了する。

　図７に基づいて、集約処理（Ｓ１３０）を説明する。
　ステップＳ１３１において、集約部１１３は、複数の攻撃ログデータ３０１のそれぞれのログ情報グループから、未選択のログ情報グループを１つ選択する。

　ステップＳ１３２からステップＳ１３８は、ステップＳ１３１で選択されたログ情報グループのために実行される。

　ステップＳ１３２において、集約部１１３は、ログ情報グループに含まれるログ情報３０２の数を数える。

　ステップＳ１３３において、集約部１１３は、ログ情報グループに含まれる１つ以上のログ情報３０２を集約する。
　これにより、集約部１１３は集約データを生成する。

　集約部１１３は、集約データを以下のように生成する。
　集約部１１３は、ログ情報グループに対応する攻撃ログデータ３０１のデータ識別子を取得する。具体的には、集約部１１３は、攻撃ログデータ３０１から攻撃手段Ｎｏ．を抽出する。
　集約部１１３は、ログ情報グループのいずれかのログ情報３０２から第１要素値と第２要素値とを抽出する。抽出される第１要素値は、ログ情報グループに含まれる全てのログ情報３０２に共通する。抽出される第２要素値は、ログ情報グループに含まれる全てのログ情報３０２に共通する。
　そして、集約部１１３は、データ識別子と第１要素値と第２要素値とログ情報３０２の数とを含んだデータを生成する。生成されるデータが集約データである。

　ステップＳ１３４において、集約部１１３は、第２要素値が置き換え対象値と一致するか判定する。
　置き換え対象値は、代替値への置き換えの対象となる値である。
　代替値は、置き換え対象値の代替となる値である。

　集約部１１３は、以下のように判定を行う。
　代替値リスト３２０が記憶部１２０に予め記憶されている。代替値リスト３２０は、１つ以上の代替値と１つ以上の置き換え対象値とを互いに対応付ける。
　集約部１１３は、第２要素値と一致する置き換え対象値が代替値リスト３２０に含まれるか判定する。

　第２要素値が置き換え対象値と一致する場合、処理はステップＳ１３５に進む。
　第２要素値が置き換え対象値と一致しない場合、処理はステップＳ１３６に進む。

　図８に基づいて、代替値リスト３２０を説明する。
　代替値リスト３２０は、攻撃手段Ｎｏ．と１つ以上の代替値と１つ以上の置き換え対象値とを互いに対応付けている。

　図４の攻撃ログファイル３００において、攻撃ログデータ３０１Ａの攻撃手段Ｎｏ．は「１－１」である。攻撃ログデータ３０１Ａは１００個のログ情報３０２Ａを含んでいる。攻撃ログデータ３０１Ａのログ情報グループは１００個のログ情報３０２Ａである。攻撃ログデータ３０１Ａにおいて、第１要素値は「端末イベント」である。
　図６の第２要素リスト３１０において、「端末イベント」に対応する第２要素は取得元
ホスト（ＨＯＳＴ）とＩＤとのそれぞれである。
　図４の攻撃ログデータ３０１Ａにおいて、第２要素値は「ＰＣ＿Ｖ１」と「１２３４」とのそれぞれである。
　集約部１１３は、図８の代替値リスト３２０から、攻撃手段Ｎｏ．「１－１」に対応する４つの置き換え対象値を選択する。選択される４つの置き換え対象値は「ＰＣ＿Ａ１」、「ＰＣ＿Ｖ１」、「１９２．１６８．１．１」および「１９２．１６８．１．１０１」である。
　そして、集約部１１３は、選択した４つの置き換え対象値に第２要素値と一致する置き換え対象値が含まれるか判定する。
　第２要素値「１２３４」は４つの置き換え対象値のいずれとも一致しないが、第２要素値「ＰＣ＿Ｖ１」は置き換え対象値「ＰＣ＿Ｖ１」と一致する。
　この場合、集約部１１３は、第２要素値が置き換え対象値と一致すると判定する。

　図７に戻り、ステップＳ１３５から説明を続ける。
　ステップＳ１３５において、集約部１１３は、集約データの中の第２要素値を代替値に置き換える。

　集約部１１３は、以下のように置き換えを行う。
　まず、集約部１１３は、第２要素値と一致する置き換え対象値に対応する代替値を代替値リスト３２０から抽出する。
　そして、集約部１１３は、集約データの中の第２要素値を代替値に置き換える。

　ステップＳ１３６において、集約部１１３は、未選択のログ情報グループが有るか判定する。ステップＳ１３６において、未選択のログ情報グループを未選択グループと呼ぶ。
　未選択グループが有る場合、処理はステップＳ１３１に進む。
　未選択グループが無い場合、処理は終了する。

　図９に基づいて、集約ファイル３３０を説明する。
　集約ファイル３３０は、各ログ情報グループの集約データを含んでいる。
　集約部１１３は、各ログ情報グループの集約データを用いて集約ファイル３３０を生成し、集約ファイル３３０を記憶部１２０に記憶する。

　各集約データは、攻撃手段Ｎｏ．とログ種別と分類軸と出現回数とを含んでいる。
　攻撃手段Ｎｏ．は、ログ情報グループに対応する攻撃ログデータ３０１のデータ識別子に相当する。
　ログ種別は第１要素に相当し、ログ種別の値は第１要素値に相当する。
　分類軸は第２要素に相当し、分類軸の値は第２要素値に相当する。
　出現回数は、ログ情報グループに含まれるログ情報３０２の数に相当する。

　攻撃手段Ｎｏ．が「１－１」である集約データにおいて、取得元ホストの元の値は「ＰＣ＿Ｖ１」であった。
　図８の代替値リスト３２０において、「ＰＣ＿Ｖ１」は置き換え対象値であり、「ＰＣ＿Ｖ１」に対応する代替値は「ｖｉｃｔｉｍ＿ｈｏｓｔ」である。
　そのため、攻撃手段Ｎｏ．が「１－１」である集約データ（図９参照）において、取得元ホストの値は「ｖｉｃｔｉｍ＿ｈｏｓｔ」に置き換えられている。

　攻撃手段Ｎｏ．が「１－２」「１－３」または「１－４」である集約データについても、攻撃手段Ｎｏ．が「１－１」である集約データと同様に、取得元ホストの値が「ｖｉｃｔｉｍ＿ｈｏｓｔ」に置き換えられている。

　図１０に基づいて、抽出処理（Ｓ１４０）を説明する。
　ステップＳ１４１において、抽出部１１４は、集約ファイル３３０を検索することによって、複数の攻撃ログデータ３０１に共通する値組を見つける。値組は、第１要素値と第２要素値との組である。
　ステップＳ１４２以降の処理において、複数の攻撃ログデータ３０１に共通する値組を共通値組と呼ぶ。

　ステップＳ１４２において、抽出部１１４は、検索結果に基づいて、共通値組が有るか判定する。
　共通値組が有る場合、処理はステップＳ１４３に進む。
　共通値組が無い場合、処理は終了する。

　図９の集約ファイル３３０において、４つの集約データのそれぞれは、共通する第１要素値「端末イベント」と共通する第２要素値「ｖｉｃｔｉｍ＿ｈｏｓｔ」「１２３４」とを有する。
　したがって、第１要素値「端末イベント」と第２要素値「ｖｉｃｔｉｍ＿ｈｏｓｔ」「１２３４」との組は、共通値組である。

　図１０に戻り、ステップＳ１４３から説明を続ける。
　ステップＳ１４３において、抽出部１１４は、未選択の共通値組を１つ選択する。

　ステップＳ１４４は、ステップＳ１４３で選択された共通値組のために実行される。

　ステップＳ１４４において、抽出部１１４は、共通値組に対応する複数の集約データに基づいて、共通データを生成する。
　複数の集約データのそれぞれは、共通値組を含む。
　共通データは、共通情報を含む。
　ステップＳ１４４の詳細については後述する。

　ステップＳ１４５において、抽出部１１４は、未選択の共通値組が有るか判定する。
　ステップＳ１４５において、未選択の共通値組を未選択組と呼ぶ。
　未選択組が有る場合、処理はステップＳ１４３に進む。
　未選択組が無い場合、処理は終了する。

　図１１に基づいて、ステップＳ１４４を説明する。
　ステップＳ１４４１において、抽出部１１４は、複数の集約データに含まれる複数のログ情報数に基づいて、ログ情報数の代表値を決定する。
　ログ情報数は、ログ情報３０２の数である。

　具体的には、抽出部１１４は、複数のログ情報数から最小のログ情報数を選択する。選択されるログ情報数が代表値である。
　但し、抽出部１１４は、最小のログ情報数以外の値を代表値に決定してもよい。例えば、抽出部１１４は、最大のログ情報数またはログ情報数の平均を代表値に決定してもよい。

　図９の集約ファイル３３０において、４つの集約データのいずれのログ情報数も１００個である。
　この場合、抽出部１１４は、１００個をログ情報数の代表値に決定する。

　図１１に戻り、ステップＳ１４４２から説明を続ける。
　ステップＳ１４４２において、抽出部１１４は、複数の集約データから共通情報を抽出する。
　具体的には、抽出部１１４は、第１要素値と第２要素値とを抽出する。

　図９の集約ファイル３３０の場合、抽出部１１４は、ログ種別「端末イベント」と分類軸「取得元ホスト＝ｖｉｃｔｉｍ＿ｈｏｓｔ」「ＩＤ＝１２３４」とを抽出する。

　図１１に戻り、ステップＳ１４４３から説明を続ける。
　ステップＳ１４４３において、抽出部１１４は、代替値が共通情報に含まれるか判定する。
　代替値が共通情報に含まれる場合、処理はステップＳ１４４４に進む。
　代替値が共通情報に含まれない場合、処理はステップＳ１４４５に進む。

　ステップＳ１４４４において、抽出部１１４は、共通情報から代替値を削除する。

　図９の集約ファイル３３０において、共通情報は「端末イベント」「取得元ホスト＝ｖｉｃｔｉｍ＿ｈｏｓｔ」「ＩＤ＝１２３４」である。図８に示すように、「ｖｉｃｔｉｍ＿ｈｏｓｔ」は代替値である。
　したがって、抽出部１１４は、共通情報から「取得元ホスト＝ｖｉｃｔｉｍ＿ｈｏｓｔ」を削除する。

　但し、抽出部１１４は、共通情報から代替値を削除する代わりに、共通情報の中の代替値を、「代替値を含む要素が取りうる任意の値」と変更してもよい。
　例えば、図９の集約ファイル３３０において、抽出部１１４は、代替値「ｖｉｃｔｉｍ＿ｈｏｓｔ」を任意値「ＡＮＹ」と変更する。つまり、抽出部１１４は、「取得元ホスト＝ｖｉｃｔｉｍ＿ｈｏｓｔ」を「取得元ホスト＝ＡＮＹ」に変更する。ここで任意値「ＡＮＹ」とは、要素名が取りうる値の範囲における任意の値であることを表す。この場合、共通情報は「端末イベント」「ＩＤ＝１２３４」という情報を含む。そして、この共通情報は、ある固定の取得元ホスト名を有するログ情報３０２の出現回数が１００件であることを意味する。

　図１１に戻り、ステップＳ１４４５を説明する。
　ステップＳ１４４５において、抽出部１１４は、共通情報とログ情報数の代表値とを含んだデータを生成する。生成されるデータが共通データである。
　そして、抽出部１１４は、共通データを記憶部１２０に記憶する。

　図１２に基づいて、共通ファイル３４０を説明する。
　共通ファイル３４０は、１つ以上の共通データを含む。抽出部１１４は、共通ファイル３４０を生成し、共通ファイル３４０を記憶部１２０に記憶する。

　図１２の共通ファイル３４０は、１つの共通データを含んでいる。
　共通データは、共通情報と出現回数とを含んでいる。
　共通情報は、ログ種別の値と分類軸の値とを含んでいる。ログ種別の値は第１要素値に相当する。分類軸の値は第２要素値に相当する。
　出現回数は、ログ情報数の代表値に相当する。

　共通情報の分類軸の欄から、代替値「ｖｉｃｔｉｍ＿ｈｏｓｔ」を含む「取得元ホスト＝ｖｉｃｔｉｍ＿ｈｏｓｔ」が削除されている。

　図１３に基づいて、生成処理（Ｓ１５０）を説明する。
　ステップＳ１５１において、生成部１１５は、共通情報毎に仮検知ルールを生成する。
　仮検知ルールは、攻撃検知ルールの候補である。

　図１４に基づいて、ステップＳ１５１の手順を説明する。
　ステップＳ１５１１において、生成部１１５は、複数の攻撃ログデータ３０１に対応する複数の攻撃時間の代表値を決定する。

　具体的には、生成部１１５は、複数の攻撃ログデータ３０１から複数の攻撃時間を取得し、複数の攻撃時間から最長の攻撃時間を選択する。選択される攻撃時間が代表値である。
　但し、生成部１１５は、最長の攻撃時間以外の攻撃時間を代表値に決定してもよい。例えば、生成部１１５は、最短の攻撃時間または攻撃時間の平均を代表値に決定してもよい。

　図４の攻撃ログファイル３００において、最長の攻撃時間は１５秒である。
　この場合、生成部１１５は、１５秒を攻撃時間の代表値に決定する。

　図１４に戻り、ステップＳ１５１２から説明を続ける。
　ステップＳ１５１２において、生成部１１５は、未選択の共通データを１つ選択する。

　ステップＳ１５１３は、ステップＳ１５１２で選択された共通データのために実行される。

　ステップＳ１５１３において、生成部１１５は、共通データと攻撃時間の代表値とに基づいて、仮検知ルールを生成する。
　仮検知ルールは、共通情報とログ情報数の代表値と攻撃時間の代表値とを含む。

　ステップＳ１５１４において、生成部１１５は、未選択の共通データが有るか判定する。ステップＳ１５１４において、未選択の共通データを未選択データと呼ぶ。
　未選択データが有る場合、処理はステップＳ１５１２に進む。
　未選択データが無い場合、処理は終了する。

　図１５に基づいて、仮検知ルールファイル３５０を説明する。
　仮検知ルールファイル３５０は、１つ以上の仮検知ルールを含む。生成部１１５は、仮検知ルールファイル３５０を生成し、仮検知ルールファイル３５０を記憶部１２０に記憶する。

　図１５の仮検知ルールファイル３５０は、１つの仮検知ルールを含んでいる。
　図１２の共通ファイル３４０は、１つの共通データを含んでいる。この共通データにおいて、共通情報は「端末イベント」「１２３４」であり、ログ情報数の代表値は「１００」である。
　図４の攻撃ログファイル３００において、攻撃時間の代表値は「１５秒」である。
　図１５の仮検知ルールファイル３５０において、仮検知ルールはこれらの値を含んでいる。この仮検知ルールは、「ログ種別が端末イベントであり、且つ、ＩＤが１２３４であるログ情報が１５秒以内に１００回出現した」という条件を示している。

　図１３に戻り、ステップＳ１５２から説明を続ける。
　ステップＳ１５２において、生成部１１５は、仮検知ルール毎に検知数を取得する。
　検知数は、仮検知ルールに該当する事象が検知される回数である。

　具体的には、生成部１１５は、仮検知ルールファイル３５０をログ分析装置２２０に送信し、ログ分析装置２２０から分析結果ファイル３６０を受信する。

　図１６に基づいて、分析結果ファイル３６０を説明する。
　分析結果ファイル３６０は、各仮検知ルールの検知数を示す。
　検知数は、仮検知ルールに該当する事象が一定時間内に発生する回数である。検知数は、仮検知ルールに該当する事象についてのログ情報が一定時間内に出現する回数に相当する。

　図１３に戻り、ステップＳ１５３を説明する。
　ステップＳ１５３において、生成部１１５は、採用条件を満たす検知数に対応する仮検知ルールを選択する。選択される仮検知ルールが攻撃検知ルールとして採用される。
　採用条件は、検知数についての条件であり、予め決められる。

　例えば、採用条件は閾値を示す。そして、生成部１１５は、検知数が閾値より小さい仮検知ルールを攻撃検知ルールとして選択する。
　図１６の分析結果ファイル３６０は、１つの仮検知ルールを含んでいる。この仮検知ルールの検知数は１０である。採用条件が示す閾値が１５である場合、この仮検知ルールの検知数は閾値より小さい。そのため、生成部１１５は、この仮検知ルールを攻撃検知ルールとして選択する。

＊＊＊構成の追加説明＊＊＊
　次に、攻撃実行環境２１０について説明する。
　攻撃実行環境２１０は、複数の攻撃手段を実行し、ログ情報３０２を収集する。
　攻撃実行環境２１０は、各攻撃手段に従った攻撃を実行可能な１つ以上の構成要素で構成される。
　攻撃実行環境２１０は、各攻撃手段を実行した際に各構成要素で発生したログ情報３０２を収集する機能を有する。
　攻撃実行環境２１０は、攻撃時間を計測する機能を有する。攻撃時間は、攻撃手段の実行を開始してから攻撃手段の実行を終了するまでの経過時刻である。

　攻撃手段は、攻撃活動を実施する具体的な手段である。つまり、攻撃手段は、攻撃活動を実施するために攻撃元、攻撃先および攻撃内容などの情報を具体化したものである。
　例えば、「ログインパスワードの総当たり攻撃」という攻撃活動の攻撃手段として、「ホストＡからホストＢに対して異なるパスワードで１００回のログインを試行する」ための手段が挙げられる。
　攻撃手段は、攻撃活動のための少なくとも何らかの実施手段を具体化する要素を有していればよい。例えば、攻撃手段は「ホストＡからログインパスワードの総当たり攻撃を実施する」ための手段でもよい。また、攻撃手段は「ホストＡからホストＢに対して、ツールＣを利用して異なるパスワードで１００回のログインを試行する」ための手段でもよい。

　攻撃実行環境２１０は、一般的な情報システムの一部または全部を模擬した模擬情報システムで構成することができる。

　図１７に基づいて、攻撃実行環境２１０の構成を説明する。
　攻撃実行環境２１０は、１つ以上のユーザ端末２１１を備える。
　さらに、攻撃実行環境２１０は、ファイアウォール２１２とプロキシサーバ２１３と侵入検知装置２１４と通信模擬装置２１５とログ分析装置２１６と時間計測装置２１７とを備える。

　各ユーザ端末２１１、ファイアウォール２１２、プロキシサーバ２１３、侵入検知装置２１４およびログ分析装置２１６は、互いに接続されている。
　通信模擬装置２１５は、ファイアウォール２１２を経由して、他の構成要素と接続されている。

　通信模擬装置２１５は、攻撃実行環境２１０と外部との通信を模擬する。
　具体的には、通信模擬装置２１５は、攻撃実行環境２１０の外部と通信を試行する構成要素に対して疑似的な応答を返す。また、通信模擬装置２１５は、外部から攻撃実行環境２１０への疑似的な通信を生成する。
　通信模擬装置２１５は、既存技術で実現可能である。

　ログ分析装置２１６は、情報システムによって生成された複数種類のログ情報３０２を収集し、複数種類のログ情報３０２を分析する。分析技術の具体例は、ＳＩＥＭ（Ｓｅｃｕｒｉｔｙ　Ｉｎｆｏｒｍａｔｉｏｎ　ａｎｄ　Ｅｖｅｎｔ　Ｍａｎａｇｅｍｅｎｔ）である。

　時間計測装置２１７は攻撃時刻を計測する。

　模擬情報システムを構成する各要素は、攻撃手段の実行によって生じた動作を可能な限りログ情報３０２として記録可能な状態である。
　例えば、各ユーザ端末２１１は、ログオンの試行またはデータへのアクセスなどについて、端末イベントのログ情報３０２を記録する。また、侵入検知装置２１４は、攻撃手段の実行により発生するアラート情報をログ情報３０２として記録する。

　攻撃実行環境２１０の構成は、必ずしも図１７に示される構成でなくてもよい。つまり、必要に応じて、要素の追加または要素の削除が行われてもよい。また、攻撃実行環境２１０が通信模擬装置２１５を備えず、攻撃実行環境２１０が外部に接続されてもよい。外部とは、例えば、インターネットである。
　攻撃実行環境２１０は、ログ情報３０２を収集する機能と攻撃時間を計測する機能とを有していれば模擬情報システムである必要はない。例えば、実際の情報システムの一部または全部が攻撃実行環境２１０として利用されてもよい。あるいは、実際の情報システムにおける応答およびログ情報と同等の応答およびログ情報を再現可能な仮想的な装置が攻撃実行環境２１０として利用されてもよい。また、これらの組み合わせが攻撃実行環境２１０として利用されてもよい。

　図１８に、攻撃実行環境２１０の構成要素に関する構成情報の一例として、各ユーザ端末２１１の構成情報を示す。
　図１８において、第１端末から第４端末のそれぞれはユーザ端末２１１を意味する。
　ユーザ端末２１１の構成情報は、ホスト名とＩＰアドレスとを有する。ＩＰはＩｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌの略称である。

　図１９に、攻撃手段の一例を示す。
　第１攻撃活動は「ログインパスワードの総当たり」である。第１攻撃活動についての４つの攻撃手段が図１９に示されている。４つ攻撃手段において、攻撃元と攻撃先との組が互いに異なる。
　図４の攻撃ログファイル３００において、図１９に示す４つの攻撃手段の実行によって得られる攻撃ログファイルの例である。

　攻撃手段に基づく攻撃活動を実施する場合、利用者が攻撃手段に従って攻撃活動を実施
してもよいし、攻撃装置を活用して攻撃活動が実施されてもよい。攻撃装置は、攻撃手段に従って攻撃活動を実施する装置である。例えば、攻撃装置は攻撃実行環境２１０に設けられる。

　次に、ログ分析装置２２０について説明する。
　ログ分析装置２２０は、攻撃実行環境２１０のログ分析装置２１６と同様の装置である。つまり、ログ分析装置２２０は、情報システムが生成した複数種類のログ情報を収集し、複数種類のログ情報を分析する。
　ログ分析装置２２０は、ルール生成装置１００から仮検知ルールファイル３５０を受信し、仮検知ルールファイル３５０に含まれる各仮検知ルールに合致する事象が発生したことを検出する。仮検知ルールに合致する事象が発生することを、仮検知ルールによる検知という。また、仮検知ルールによる検知が行える状態にすることを、仮検知ルールの適用という。
　ログ分析装置２２０は、適用した仮検知ルールに合致する事象が発生した回数を記録する。
　攻撃実行環境２１０のログ分析装置２１６が上記の機能を有していれば、ログ分析装置２１６と同じ種類の装置がログ分析装置２２０として使用されてもよい。また、上記の機能と同様の機能をもつ別の装置がログ分析装置２２０として使用されてもよい。

　ログ分析装置２２０によって得られる分析結果ファイル３６０は、正常ログに対して適用された仮検知ルールの検知数を集計して得られる結果である。
　正常ログは、情報システムを構成する１つ以上の構成要素を持つ環境を攻撃手段ではない何らかの手段によって動作させたことにより発生するログ情報である。例えば、正常ログは、ユーザが企業の業務システムを利用している間に発生するログ情報である。正常ログは、攻撃実行環境２１０における構成と同じ構成、または、攻撃実行環境２１０における構成と可能な限り類似した構成、または、攻撃実行環境２１０におけるログ情報と同等なログ情報を取得可能な構成を有する環境から取得されることが望ましい。
　正常ログが、情報システムを構成する１つ以上の構成要素を持つ環境が本来の目的で使用された場合のログ情報、あるいは、その環境が本来の目的で使用された場合のログ情報を再現したログ情報であることが望ましい。例えば、当該環境が企業の業務システムであると仮定する。業務システムの本来の目的は、ユーザによって業務に利用されることである。そのため、正常ログが、ユーザが業務システムを業務に利用している間に発生するログ情報、あるいは、そのログ情報を再現したログ情報であることが望ましい。
　但し、正常ログが、情報システムを構成する１つ以上の構成要素を持つ環境を本来の目的で使用された場合のログ情報、あるいは、その環境を本来の目的で使用された場合のログ情報を再現したログ情報であることは必須ではない。

＊＊＊実施の形態１の効果＊＊＊
　複数の攻撃手段を実行して得られた攻撃ログファイル３００を入力として、複数の攻撃手段の間で共通する特徴に基づく１つ以上の仮検知ルールを生成することができる。そして、正常ログに基づく検知数が一定の条件を満たす仮検知ルールを攻撃検知ルールとして得ることができる。
　これにより、作業者は、攻撃検知ルールを得るために、検知対象の攻撃活動について正常な活動と異なる攻撃活動の特徴が監視対象のどこにどのような形で残るかを特定する必要がない。したがって、一般的な知識しか持たない作業者が攻撃検知ルールを作成することが可能となる。

　実施の形態２．
　複数の共通情報に基づいて１つの仮検知ルールを生成する形態について、主に実施の形態１と異なる点を図２０から図２４に基づいて説明する。

＊＊＊構成の説明＊＊＊
　ルール生成システム２００の構成は、実施の形態１における構成と同じである（図１参照）。
　ルール生成装置１００の構成は、実施の形態１における構成と同じである（図２参照）。

＊＊＊動作の説明＊＊＊
　図２０に基づいて、ルール生成方法を説明する。
　ステップＳ２１０からステップＳ２４０は、実施の形態１におけるステップＳ１１０からステップＳ１４０と同じである（図３参照）。

　ステップＳ２５０において、生成部１１５は、ステップＳ２４０で抽出された複数の共通情報に基づいて１つ以上の攻撃検知ルールを生成する。
　ステップＳ２４０で共通情報が抽出されなかった場合、受け付けられた攻撃ログファイル３００から同じ攻撃活動に関する複数の攻撃ログデータ３０１に共通する特徴を抽出できないため、ルール生成方法の処理は終了する。

　図２１に基づいて、生成処理（Ｓ２５０）を説明する。
　ステップＳ２５１において、生成部１１５は、共通情報の組毎に仮検知ルールを生成する。
　ステップＳ２５１の詳細については後述する。

　ステップＳ２５２およびステップＳ２５３は、実施の形態１におけるステップＳ１５２およびステップＳ１５３と同じである（図１３参照）。

　図２２に基づいて、ステップＳ２５１を説明する。
　ステップＳ２５１１において、生成部１１５は、攻撃時間の代表値を決定する。
　ステップＳ２５１１は、実施の形態１におけるステップＳ１５１１と同じである（図１４参照）。

　ステップＳ２５１２において、生成部１１５は、複数の共通データから得られる１つ以上の共通データ組から、未選択の共通データ組を１つ選択する。
　共通データ組は、２つ以上の共通データである。例えば、共通データ組は２つの共通データである。但し、共通データ組は３つ以上の共通データであってもよい。

　図２３に基づいて、共通ファイル３４０を説明する。
　共通ファイル３４０は、２つ以上の共通データを含む。図２３の共通ファイル３４０は、２つの共通データを含んでいる。
　生成部１１５は、２つの共通データを共通データ組として選択する。

　図２２に戻り、ステップＳ２５１３から説明を続ける。
　ステップＳ２５１３は、ステップＳ２５１２で選択された共通データ組のために実行される。

　ステップＳ２５１３において、生成部１１５は、共通データ組と攻撃時間の代表値とに基づいて仮検知ルールを生成する。
　仮検知ルールは、攻撃時間の代表値と、共通データ組の各共通データの共通情報とログ情報の代表値とを含む。

　ステップＳ２５１４において、生成部１１５は、未選択の共通データ組が有るか判定する。ステップＳ２５１４において、未選択の共通データ組を未選択組と呼ぶ。
　未選択組が有る場合、処理はステップＳ２５１２に進む。
　未選択組が無い場合、処理は終了する。

　図２４に基づいて、仮検知ルールファイル３５０を説明する。
　図２４の仮検知ルールファイル３５０は、１つの仮検知ルールを含んでいる。
　この仮検知ルールは、「条件（Ａ）と条件（Ｂ）とが１５秒以内に満たされた」という条件を示している。
　条件（Ａ）は、図２３の共通ファイル３４０の中の１つ目の共通データに基づく条件である。具体的には、条件（Ａ）は「ログ種別が端末イベントであり、且つ、ＩＤが１２３４であるログ情報が１００回出現した」という条件である。
　条件（Ｂ）は、図２３の共通ファイル３４０の中の２つ目の共通データに基づく条件である。具体的には、条件（Ｂ）は「ログ種別がプロキシであり、送信元ＩＰが１９２．１６８．１．５０であるログ情報が１０回出現した」という条件である。

＊＊＊実施の形態２の効果＊＊＊
　複数の共通情報を組み合わることにより、より厳しい条件についての仮検知ルールを生成することができる。そして、より厳しい条件についての攻撃検知ルールを生成することができる。つまり、正常ログに基づく検知数がより少ない仮検知ルールおよび攻撃検知ルールを生成することが可能となる。

　実施の形態３．
　出現周期の条件を含んだ仮検知ルールを生成する形態について、主に実施の形態１と異なる点を図２５から図２９に基づいて説明する。

＊＊＊動作の説明＊＊＊
　図２５に基づいて、ルール生成方法を説明する。
　ステップＳ３１０からステップＳ３３０は、実施の形態１におけるステップＳ１１０からステップＳ１３０と同じである（図３参照）。

　ステップＳ３４０において、抽出部１１４は、共通する値組毎に複数の集約データから共通情報を抽出する。
　抽出処理（Ｓ３４０）の詳細については後述する。

　ステップＳ３５０において、生成部１１５は、ステップＳ３４０で抽出された１つ以上の共通情報に基づいて１つ以上の攻撃検知ルールを生成する。
　ステップＳ３４０で共通情報が抽出されなかった場合、受け付けられた攻撃ログファイル３００から同じ攻撃活動に関する複数の攻撃ログデータ３０１に共通する特徴を抽出できないため、ルール生成方法の処理は終了する。
　生成処理（Ｓ３５０）の詳細については後述する。

　図２６に基づいて、抽出処理（Ｓ３４０）を説明する。
　ステップＳ３４１からステップＳ３４５の手順は、実施の形態１におけるステップＳ１
４１からステップＳ１４５の手順と同じである。
　但し、ステップＳ３４４の処理の一部が、実施の形態１におけるステップＳ１４４の処理と異なる。

　ステップＳ３４４において、抽出部１１４は、共通値組に対応する複数の集約データに基づいて、共通データを生成する。

　図２７に基づいて、ステップＳ３４４を説明する。
　ステップＳ３４４１からステップＳ３４４６は、実施の形態１におけるステップＳ１４４１からステップＳ１４４６と同じである（図１１参照）。

　ステップＳ３４４６において、抽出部１１４は、ログ情報３０２の出現周期を算出する。

　抽出部１１４は、ログ情報３０２の出現周期を以下のように算出する。
　各ログ情報３０２は出現時刻を含んでいる。
　抽出部１１４は、攻撃ログデータ３０１毎に、１つ以上のログ情報３０２のそれぞれの出現時刻に基づいて、ログ情報３０２の出現間隔について平均および分散を算出する。算出される平均および分散が出現周期に相当する。但し、抽出部１１４は、平均および分散以外の統計値を出現周期として算出してもよい。

　ステップＳ３４４７において、抽出部１１４は、ログ情報３０２の出現周期が周期条件を満たすか判定する。
　周期条件は、ログ情報３０２の出現周期についての条件であり、予め決められる。

　具体的には、抽出部１１４は以下のように判定を行う。
　抽出部１１４は、ログ情報３０２の出現間隔についての各攻撃ログデータ３０１の平均を比較し、平均の差を算出する。平均の差は、最小の平均と最大の平均との差である。
　抽出部１１４は、ログ情報３０２の出現間隔についての各攻撃ログデータ３０１の分散を比較し、分散の差を算出する。分散の差は、最小の分散と最大の分散との差である。
　抽出部１１４は、平均の差を平均用の閾値と比較し、分散の差を分散用の閾値と比較する。
　そして、平均の差が平均用の閾値以下であり、且つ、分散の差が分散用の閾値以下である場合に、抽出部１１４は、ログ情報３０２の出現周期が周期条件を満たすと判定する。

　ログ情報３０２の出現周期が周期条件を満たす場合、処理はステップＳ３４４８に進む。
　ログ情報３０２の出現周期が周期条件を満たさない場合、処理は終了する。

　ステップＳ３４４８において、抽出部１１４は、ログ情報３０２の出現周期を共通データに追加する。

　図２８に基づいて、生成処理（Ｓ３５０）を説明する。
　ステップＳ３５１において、生成部１１５は、共通情報の組毎に仮検知ルールを生成する。
　ステップＳ３５１の詳細については後述する。

　ステップＳ３５２およびステップＳ３５３は、実施の形態１におけるステップＳ１５２およびステップＳ１５３と同じである（図１３参照）。

　図２９に基づいて、ステップＳ３５１を説明する。
　ステップＳ３５１１からステップＳ３５１３は、実施の形態１におけるステップＳ１５１１からステップＳ１５１３と同じである（図１４参照）。

　ステップＳ３５１４において、生成部１１５は、共通データが出現周期を含んでいるか判定する。
　共通データが出現周期を含んでいる場合、処理はステップＳ３５１５に進む。
　共通データが出現周期を含んでいない場合、処理はステップＳ３５１６に進む。

　ステップＳ３５１５において、生成部１１５は、出現周期に基づいて付加ルールを生成する。
　付加ルールは、主要ルールに付加されるルールである。
　主要ルールは、仮検知ルールおよび攻撃検知ルールである。

　生成部１１５は、付加ルールを以下のように生成する。
　生成部１１５は、ログ情報３０２の出現間隔についての各攻撃ログデータ３０１の平均とログ情報３０２の出現間隔についての各攻撃ログデータ３０１の分散との少なくともいずれかに基づいて、ログ情報の出現間隔の許容範囲を決定する。そして、生成部１１５は、決定した許容範囲を含むルールを生成する。生成されるルールが付加ルールである。この付加ルールは「主要ルールに該当する各ログ情報の出現間隔が許容範囲に含まれる」という条件を示す。

　ステップＳ３５１６は、実施の形態１におけるステップＳ１５１４と同じである（図１４参照）。

＊＊＊実施の形態３の効果＊＊＊
　共通情報を含む複数のログ情報が共通の周期性を有する場合に、周期性情報についてのルールを追加することができる。これにより、攻撃手段のより多くの特徴を表す仮検知ルールおよび攻撃検知ルールを生成することが可能となる。

　実施の形態４．
　共通情報の統計値に基づいて仮検知ルールを生成する形態について、主に実施の形態１と異なる点を図３０から図３６に基づいて説明する。

＊＊＊構成の説明＊＊＊
　ルール生成システム２００の構成は、実施の形態１における構成と同じである（図１参照）。
　ルール生成装置１００の構成は、実施の形態１における構成と同じである（図２参照）。
　但し、定義ファイル３７０が記憶部１２０に予め記憶される。

　図３０に基づいて、定義ファイル３７０を説明する。
　定義ファイル３７０は、ログ種別値と識別要素値と値タイプ情報とを互いに対応付ける。
　ログ種別値は、ログ種別の値である。ログ種別値は、第１要素値に相当する。
　識別要素値は、ログ情報３０２に含まれる要素値の１つである。
　値タイプ情報は、各要素の値タイプを示す。
　値タイプは、ログ情報３０２に含まれる各要素値の種類である。

　具体的には、値タイプは、離散値または連続値である。
　離散値の具体例は文字列である。例えば、ホスト名は離散値である。
　連続値の具体例は数値である。例えば、データ量は連続値である。

＊＊＊動作の説明＊＊＊
　図３１に基づいて、ルール生成方法を説明する。
　ステップＳ４１０およびステップＳ４２０は、実施の形態１におけるステップＳ１１０およびステップＳ１２０と同じである（図３参照）。

　ステップＳ４３０において、集約部１１３は、ログ情報グループ毎に集約データを生成する。
　集約処理（Ｓ４３０）の詳細については後述する。

　ステップＳ４４０において、抽出部１１４は、共通する値組毎に複数の集約データから共通情報を抽出する。
　抽出処理（Ｓ４４０）の詳細については後述する。

　ステップＳ４５０において、生成部１１５は、ステップＳ４４０で抽出された１つ以上の共通情報に基づいて１つ以上の攻撃検知ルールを生成する。
　ステップＳ４５０で共通情報が抽出されなかった場合、受け付けられた攻撃ログファイル３００から同じ攻撃活動に関する複数の攻撃ログデータ３０１に共通する特徴を抽出できないため、ルール生成方法の処理は終了する。
　生成処理（Ｓ４５０）の詳細については後述する。

　図３２に基づいて、集約処理（Ｓ４３０）を説明する。
　ステップＳ４３１において、集約部１１３は、未選択のログ情報グループを１つ選択する。

　ステップＳ４３２からステップＳ４３４は、ステップＳ４３１で選択されたログ情報グループのために実行される。

　ステップＳ４３２において、集約部１１３は、ログ情報グループに含まれる第１要素値と識別要素値との組に対応する値タイプ情報を定義ファイル３７０から取得する。
　具体的には、集約部１１３は、ログ情報グループから第１要素値と識別要素値との組を取得し、取得した組に対応する値タイプ情報を定義ファイル３７０から取得する。

　ステップＳ４３３において、集約部１１３は、値タイプ情報に基づいて、ログ情報グループから各要素の集約情報を取得する。

　集約部１１３は、値タイプが離散値である要素の集約情報を以下のように取得する。
　集約部１１３は、ログ情報グループから要素値の集合を取得する。要素値の集合を示す情報が集約情報である。要素値の集合は１つ以上の要素値である。要素値の集合は、同じ値の複数の要素値を含まない。
　例えば、送信元ＩＰの値タイプは離散値である。ログ情報グループに「１９２．１６８．１．１」と「１９２．１６８．１．２」と「１９２．１６８．１．３」との３種類の送信元ＩＰが含まれると仮定する。この場合、送信元ＩＰの集約情報は「１９２．１６８．１．１」と「１９２．１６８．１．２」と「１９２．１６８．１．３」とを示す。

　集約部１１３は、値タイプが連続値である要素の集約情報を以下のように取得する。
　まず、集約部１１３は、ログ情報グループから各要素値を取得する。次に、集約部１１３は、取得された１つ以上の要素値をグループ分けする。そして、集約部１１３は、各要
素値グループの統計値を算出する。各要素値グループの統計値を示す情報が集約情報である。グループ分けのための方法の具体例はクラスター分析である。統計値の具体例は平均または分散である。

　ステップＳ４３４において、集約部１１３は、各要素の集約情報を含むデータを生成する。生成されるデータが集約データである。

　ステップＳ４３５において、集約部１１３は、未選択のログ情報グループが有るか判定する。ステップＳ４３５において、未選択のログ情報グループを未選択グループと呼ぶ。
　未選択グループが有る場合、処理はステップＳ４３１に進む。
　未選択グループが無い場合、処理は終了する。

　図３３に基づいて、抽出処理（Ｓ４４０）を説明する。
　ステップＳ４４１からステップＳ４４５の手順は、実施の形態１におけるステップＳ１４１からステップＳ１４５の手順と同じである。
　但し、ステップＳ４４１の処理が、実施の形態１におけるステップＳ１４１の処理と異なる。また、ステップＳ４４４の処理が、実施の形態１におけるステップＳ１４４の処理と異なる。

　ステップＳ４４１において、抽出部１１４は、識別要素値が等しい各攻撃ログデータ３０１の集約ファイル３３０から、共通値組を見つける。
　具体的には、抽出部１１４は、集約ファイル３３０に含まれる各要素に対する複数の値を各攻撃ログデータ３０１間で比較する。そして、抽出部１１４は、各攻撃ログデータ３０１の全てに共通して含まれる値を抽出する。
　要素値のタイプが離散値である場合、抽出部１１４は、共通して同じ要素値が含まれているかどうかについて、各攻撃ログデータ３０１を比較する。
　要素値のタイプが連続値である場合、抽出部１１４は、各攻撃ログデータ３０１において平均および分散が一定の範囲に含まれる要素を抽出する。

　図３４に基づいて、ステップＳ４４４を説明する。
　ステップＳ４４４１において、抽出部１１４は、共通値組に対応する集約データから、１つ以上の要素を選択する。
　選択した各要素の要素値が複数ある場合、抽出部１１４は、１つ以上の要素値を選択する。

　集約データが「ホスト名＝ＰＣ＿Ｖ１、ＰＣ＿Ｖ２、送信元ＩＰ＝１９２．１６８．１．１、１９２．１６８．１．２、１９２．１６８．１．３」である場合、抽出部１１４は、例えば、「ホスト名＝ＰＣ＿Ｖ１、送信元ＩＰ＝１９２．１６８．１．３」を選択する。

　ステップＳ４４４２において、抽出部１１４は、選択した１つ以上の要素の中に連続値の要素が有るか判定する。
　選択した１つ以上の要素の中に連続値の要素が有る場合、処理はステップＳ４４４３に進む。
　選択した１つ以上の要素の中に連続値の要素が無い場合、処理はステップＳ４４４６に進む。

　ステップＳ４４４３において、抽出部１１４は、共通値組を含む１つ以上のログ情報３０２をログ情報グループから抽出する。
　ステップＳ４４４１で選択された１つ以上の要素の中に離散値の要素が含まれる場合、
抽出部１１４は、共通値組と選択された要素の離散値とを含むログ情報３０２をログ情報グループから抽出する。

　ステップＳ４４４４において、抽出部１１４は、抽出した１つ以上のログ情報３０２から１つ以上の連続値を抽出し、抽出した１つ以上の連続値の統計値を算出する。

　ステップＳ４４４５において、抽出部１１４は、算出した統計値とステップＳ４４４１で選択した要素の少なくともいずれかの連続値との間に有意差が有るか判定する。
　有意差が有る場合、処理は終了する。
　有意差が無い場合、処理はステップＳ４４４７に進む。

　ステップＳ４４４６において、抽出部１１４は、共通値組と選択値とを含む１つ以上のログ情報３０２をログ情報グループから抽出する。
　選択値は、ステップＳ４４４１で選択された各要素値である。

　ステップＳ４４４７において、抽出部１１４は、共通値組と選択値と出現回数とを含んだデータを生成する。生成されるデータが共通データである。
　出現回数は、ステップＳ４４４３またはステップＳ４４４６で抽出されたログ情報グループについてのログ情報数の代表値である。実施の形態１におけるステップＳ１４４１（図１１参照）で説明したように、具体的な代表値は最小のログ情報数である。

　ステップＳ４４４８において、抽出部１１４は、代替値が共通値組に含まれる場合に代替値を共通データから削除する。

　図３５に基づいて、生成処理（Ｓ４５０）を説明する。
　ステップＳ４５１において、生成部１１５は、共通情報毎に仮検知ルールを生成する。
　ステップＳ４５１の詳細については後述する。

　ステップＳ４５２およびステップＳ４５３は、実施の形態１におけるステップＳ１５２およびステップＳ１５３と同じである（図１３参照）。

　図３６に基づいて、ステップＳ４５１を説明する。
　ステップＳ４５１１およびステップＳ４５１２は、実施の形態１におけるステップＳ１５１１およびステップＳ１５１２と同じである。

　ステップＳ４５１３において、生成部１１５は、共通データの中の共通情報に連続値が含まれるか判定する。
　連続値が含まれる場合、処理はステップＳ４５１４に進む。
　連続値が含まれない場合、処理はステップＳ４５１５に進む。

　ステップＳ４５１４において、生成部１１５は、共通データの中の共通情報に連続値が含まれることを考慮し、共通データと攻撃時間の代表値とに基づいて、仮検知ルールを生成する。
　例えば、生成部１１５は「攻撃時間（代表値）以内に、共通情報の離散値と同じ値が含まれるログ情報が共通情報の出現回数以上出現し、共通情報の全ての連続値が共通情報の範囲内である事象が検出される」という仮検知ルールを生成する。共通情報の連続値に関する条件は他の条件であってもよい。例えば、共通情報の連続値にいくらかの許容誤差を与えてもよい。

　ステップＳ４５１５において、生成部１１５は、共通データの中の共通情報に連続値が
含まれないことを考慮し、仮検知ルールを生成する。
　具体的には、生成部１１５は、実施の形態１のステップＳ１５１３における方法と同じ方法で仮検知ルールを生成する（図１４参照）。

　ステップＳ４５１６において、生成部１１５は、未選択の共通データが有るか判定する。ステップＳ４５１６において、未選択の共通データを未選択データと呼ぶ。
　未選択データが有る場合、処理はステップＳ４５１２に進む。
　未選択データが無い場合、処理は終了する。

＊＊＊実施の形態４の効果＊＊＊
　ログ情報に含まれる分類軸以外の要素を含めて共通情報を生成することができる。そして、その共通情報に基づいて仮検知ルールおよび攻撃検知ルールを生成することができる。これにより、攻撃手段のより多くの特徴を表す仮検知ルールおよび攻撃検知ルールを生成することが可能となる。

　実施の形態５．
　代替値リスト３２０の生成を補助する形態について、主に実施の形態１と異なる点を図３７から図３９に基づいて説明する。

＊＊＊構成の説明＊＊＊
　ルール生成システム２００の構成は、実施の形態１における構成と同じである（図１参照）。

　図３７に基づいて、ルール生成装置１００の構成を説明する。
　ルール生成装置１００は、さらに、登録部１１６という要素を備える。
　ルール生成プログラムは、さらに、登録部１１６としてコンピュータを機能させる。

　図３８に基づいて、攻撃実行環境２１０の構成を説明する。
　攻撃実行環境２１０は、さらに、攻撃装置２１８を備える。
　攻撃装置２１８は、攻撃手段に従って攻撃活動を実施する。

　攻撃装置２１８は動作ログを記録できる。動作ログは、動作の結果が記録されたログ情報である。
　動作ログには、攻撃元および攻撃先などの攻撃に関する具体的な情報が記載される。動作ログの形式は既知であり、指定される要素名に対応した値を動作ログから取得することが可能である。

＊＊＊動作の説明＊＊＊
　図３９に基づいて、取得処理（Ｓ５００）を説明する。
　取得処理（Ｓ５００）は、１つ以上の置き換え対象値を取得するための処理であり、登録部１１６によって実行される。

　ステップＳ５０１において、登録部１１６は、攻撃装置２１８を用いて、各攻撃手段に対応する攻撃活動を実行する。
　具体的には、登録部１１６は、攻撃実行を攻撃装置２１８に要求する。そして、攻撃装置２１８が、各攻撃手段に従って攻撃活動を実行する。

　ステップＳ５０２において、登録部１１６は、攻撃活動の実行によって発生する１つ以上の動作ログを攻撃装置２１８から取得する。

　ステップＳ５０３において、登録部１１６は、１つ以上の動作ログから１つ以上の置き換え対象値を抽出する。
　具体的には、登録部１１６は、指定箇所に記載された情報を各動作ログから抽出する。抽出される情報が置き換え対象値である。指定箇所は、動作ログの中の特定の箇所であり、動作ログのログ形式に基づいて指定される。

　ステップＳ５０４において、登録部１１６は、１つ以上の置き換え対象値を代替値リスト３２０に登録する。

＊＊＊実施の形態５の効果＊＊＊
　１つ以上の置き換え対象値を取得することができる。そのため、代替値リスト３２０の作成が容易となる。その結果、ルール生成装置１００を動作させるのに必要な準備コストを下げるという効果を奏する。

＊＊＊実施の形態の補足＊＊＊
　図４０に基づいて、ルール生成装置１００のハードウェア構成を説明する。
　ルール生成装置１００は処理回路１０９を備える。
　処理回路１０９は、受付部１１１と分類部１１２と集約部１１３と抽出部１１４と生成部１１５と記憶部１２０とを実現するハードウェアである。
　処理回路１０９は、専用のハードウェアであってもよいし、メモリ１０２に格納されるプログラムを実行するプロセッサ１０１であってもよい。

　処理回路１０９が専用のハードウェアである場合、処理回路１０９は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ＡＳＩＣ、ＦＰＧＡまたはこれらの組み合わせである。
　ＡＳＩＣはＡｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔの略称であり、ＦＰＧＡはＦｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ
　Ａｒｒａｙの略称である。
　ルール生成装置１００は、処理回路１０９を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路１０９の役割を分担する。

　処理回路１０９において、一部の機能が専用のハードウェアで実現されて、残りの機能がソフトウェアまたはファームウェアで実現されてもよい。

　このように、処理回路１０９はハードウェア、ソフトウェア、ファームウェアまたはこれらの組み合わせで実現することができる。

　実施の形態は、好ましい形態の例示であり、本発明の技術的範囲を制限することを意図するものではない。実施の形態は、部分的に実施してもよいし、他の形態と組み合わせて実施してもよい。フローチャート等を用いて説明した手順は、適宜に変更してもよい。

　１００　ルール生成装置、１０１　プロセッサ、１０２　メモリ、１０３　補助記憶装置、１０４　通信装置、１０９　処理回路、１１１　受付部、１１２　分類部、１１３　集約部、１１４　抽出部、１１５　生成部、１１６　登録部、１２０　記憶部、２００　ルール生成システム、２１０　攻撃実行環境、２１１　ユーザ端末、２１２　ファイアウォール、２１３　プロキシサーバ、２１４　侵入検知装置、２１５　通信模擬装置、２１６　ログ分析装置、２１７　時間計測装置、２１８　攻撃装置、２２０　ログ分析装置、３００　攻撃ログファイル、３０１　攻撃ログデータ、３０２　ログ情報、３１０　第２要素リスト、３２０　代替値リスト、３３０　集約ファイル、３４０　共通ファイル、３５０　仮検知ルールファイル、３６０　分析結果ファイル、３７０　定義ファイル。

Claims

　複数の攻撃ログデータについて攻撃ログデータ毎に、攻撃ログデータに含まれる１つ以上のログ情報を第１要素の値と第２要素の値との値組別に分類することによって、１つ以上のログ情報グループを生成する分類部と、
　ログ情報グループ毎に、ログ情報グループに含まれる１つ以上のログ情報を集約することによって、集約データを生成する集約部と、
　１つ以上の値組のうち前記複数の攻撃ログデータに共通する値組毎に、前記複数の攻撃ログデータに対応する複数の集約データから共通情報を抽出する抽出部と、
　１つ以上の共通情報に基づいて１つ以上の攻撃検知ルールを生成する生成部と
を備えるルール生成装置。
　前記集約部は、前記ログ情報グループに含まれるログ情報の数であるログ情報数を数え、前記ログ情報数を前記集約データに含める
請求項１に記載のルール生成装置。
　前記抽出部は、前記複数の集約データに含まれる複数のログ情報数に基づいてログ情報数の代表値を決定し、前記共通情報と前記ログ情報数の代表値とを含む共通データを生成し、
　前記生成部は、１つ以上の共通データに基づいて１つ以上の攻撃検知ルールを生成する請求項２に記載のルール生成装置。
　前記集約部は、各集約データに含まれる置き換え対象値を代替値に置き換える
請求項１に記載のルール生成装置。
　前記抽出部は、前記共通情報に前記代替値が含まれる場合に前記代替値を前記共通情報から削除する、あるいは前記代替値を任意値に変更する
請求項４に記載のルール生成装置。
　前記生成部は、共通情報毎に共通情報に基づいて仮検知ルールを生成し、仮検知ルール毎に仮検知ルールに該当する事象が検知される回数である検知数を取得し、採用条件を満たす検知数に対応する仮検知ルールを前記攻撃検知ルールとして選択する
請求項１に記載のルール生成装置。
　前記生成部は、共通情報の組毎に共通情報に基づいて仮検知ルールを生成し、仮検知ルール毎に仮検知ルールに該当する事象が検知される回数である検知数を取得し、採用条件を満たす検知数に対応する仮検知ルールを前記攻撃検知ルールとして選択する
請求項１に記載のルール生成装置。
　各ログ情報が出現時刻を含み、
　前記抽出部は、攻撃ログデータ毎に各ログ情報の出現時刻に基づいてログ情報の出現周期を算出し、前記共通情報と前記出現周期とを含む共通データを生成し、
　前記生成部は、１つ以上の共通データに基づいて１つ以上の攻撃検知ルールを生成する請求項１に記載のルール生成装置。
　前記集約部は、第１要素値と識別要素値との組と各要素の値タイプを示す値タイプ情報とを互いに対応付ける定義ファイルから前記ログ情報グループに含まれる第１要素値と識別要素値との組に対応する値タイプ情報を取得し、取得した値タイプ情報に基づいて前記ログ情報グループから各要素の集約情報を取得し、各要素の集約情報を含む前記集約データを生成する
請求項１に記載のルール生成装置。
　前記ルール生成装置は、ログ取得環境で得られる１つ以上のログ情報のそれぞれから指定箇所に記載された置き換え対象値を抽出し、抽出した各置き換え対象値を、１つ以上の代替値と１つ以上の置き換え対象値とを互いに対応付ける代替値リストに登録する登録部を備え、
　前記集約部は、前記集約データに含まれる第２要素値が前記代替値リストに含まれる置き換え対象値と一致する場合、前記第２要素値と一致する置き換え対象値に対応する代替値を前記代替値リストから取得し、前記集約データに含まれる第２要素値を、取得した代替値に置き換える
請求項１に記載のルール生成装置。
　複数の攻撃ログデータについて攻撃ログデータ毎に、攻撃ログデータに含まれる１つ以上のログ情報を第１要素の値と第２要素の値との値組別に分類することによって、１つ以上のログ情報グループを生成する分類処理と、
　ログ情報グループ毎に、ログ情報グループに含まれる１つ以上のログ情報を集約することによって、集約データを生成する集約処理と、
　１つ以上の値組のうち前記複数の攻撃ログデータに共通する値組毎に、前記複数の攻撃ログデータに対応する複数の集約データから共通情報を抽出する抽出処理と、
　１つ以上の共通情報に基づいて１つ以上の攻撃検知ルールを生成する生成処理と
をコンピュータに実行させるためのルール生成プログラム。