WO2022137883A1

WO2022137883A1 - 攻撃情報生成装置、制御方法、及び非一時的なコンピュータ可読媒体

Info

Publication number: WO2022137883A1
Application number: PCT/JP2021/041829
Authority: WO
Inventors: 佑典高橋; 真悟安田
Original assignee: 日本電気株式会社; 国立研究開発法人情報通信研究機構
Priority date: 2020-12-24
Filing date: 2021-11-15
Publication date: 2022-06-30
Also published as: US20240054213A1; JPWO2022137883A1

Abstract

攻撃情報生成装置（２０００）は、対象攻撃の複数回の実行それぞれについて、その実行期間におけるログ（１０）を用いて、１つ以上のイベントそれぞれの出現数を特定する。攻撃情報生成装置（２０００）は、イベントごとに、対象攻撃の複数回の実行それぞれについて特定されたそのイベントの出現数が、所定条件を満たすか否かを判定する。攻撃情報生成装置（２０００）は、対象攻撃と、その出現数が所定条件を満たすと判定されたイベントとを対応づけた攻撃情報（３０）を生成する。

Description

攻撃情報生成装置、制御方法、及び非一時的なコンピュータ可読媒体

　本開示はコンピュータシステムに対する攻撃の解析に関する。

　コンピュータシステムに対する攻撃（サイバー攻撃）への対策として、コンピュータシステムの種々のログから未検知の攻撃の存在を検出する作業が行われている。そのため、ログから攻撃を検出するためのルールを生成する技術が開発されている。

　例えば特許文献１は、マルウエアの挙動ログから、特定の条件を満たす文字列を抽出し、抽出した文字列を時系列で表すマルウエア検知ルールを生成する技術を開示している。例えば文字列はシステムコールであり、マルウエア検知ルールはシステムコール列を表す。

特開２０１３－０９２９８１号公報

　特許文献１の発明では、マルウエアによって発生したイベントではないイベントが、マルウエア検知ルールに含まれてしまう蓋然性が高い。マルウエアが動作している間に発生したシステムコールの全てが、当該マルウエアに関係しているとは限らないためである。

　本開示は、上記の課題に鑑みてなされたものであり、その目的の一つは、攻撃に関連するイベントを特定するための新たな技術を提供することである。

　本開示の攻撃情報生成装置は、対象攻撃の複数回の実行それぞれについて、その実行期間におけるログを用いて、１つ以上のイベントそれぞれの出現数を特定する特定手段と、前記イベントごとに、前記対象攻撃の複数回の実行それぞれについて特定されたそのイベントの出現数が、所定条件を満たすか否かを判定する判定手段と、前記対象攻撃と、出現数が前記所定条件を満たすと判定された前記イベントとを対応づけた攻撃情報を生成する生成手段と、を有する。

　本開示の制御方法は、対象攻撃の複数回の実行それぞれについて、その実行期間におけるログを用いて、１つ以上のイベントそれぞれの出現数を特定する特定ステップと、前記イベントごとに、前記対象攻撃の複数回の実行それぞれについて特定されたそのイベントの出現数が、所定条件を満たすか否かを判定する判定ステップと、前記対象攻撃と、出現数が前記所定条件を満たすと判定された前記イベントとを対応づけた攻撃情報を生成する生成ステップと、を有する。

　本開示の非一時的なコンピュータ可読媒体には、本開示の制御方法をコンピュータに実行させるプログラムが格納されている。

　本開示によれば、攻撃に関連するイベントを特定するための新たな技術が提供される。

実施形態１の攻撃情報生成装置の動作の概要を例示する図である。実施形態１の攻撃情報生成装置の機能構成を例示するブロック図である。攻撃情報生成装置を実現するコンピュータのハードウエア構成を例示するブロック図である。実施形態１の攻撃情報生成装置によって実行される処理の流れを例示するフローチャートである。複数の対象攻撃それぞれについて攻撃情報が生成されるケースについて、攻撃情報生成装置によって実行される処理の流れを例示するフローチャートである。出現数をイベントごとに特定する方法を、概念的に例示する図である。攻撃ログをテーブル形式で例示する図である。イベン同定ルールをテーブル形式で例示する図である。攻撃情報の構成をテーブル形式で例示する図である。攻撃情報において各攻撃にその攻撃の時間長が対応づけられているケースを例示する図である。

　以下では、本開示の実施形態について、図面を参照しながら詳細に説明する。各図面において、同一又は対応する要素には同一の符号が付されており、説明の明確化のため、必要に応じて重複説明は省略される。また、特に説明しない限り、所定値や閾値などといった予め定められている値は、その値を利用する装置からアクセス可能な記憶装置などに予め格納されている。

　図１は、実施形態１の攻撃情報生成装置２０００の動作の概要を例示する図である。ここで、図１は、攻撃情報生成装置２０００の概要の理解を容易にするための図であり、攻撃情報生成装置２０００の動作は、図１に示したものに限定されない。

　攻撃情報生成装置２０００は、攻撃と、その攻撃が実行された場合に、その攻撃が実行された環境のログ（以下、ログ１０）に記録されるイベントとの対応付けを行う。以下、この対応付けを表す情報を攻撃情報３０と呼ぶ。また、攻撃情報３０の生成の対象となる攻撃のことを、対象攻撃と呼ぶ。

　ここでいうイベントとは、対象攻撃の実行環境で発生する任意の事象である。例えば、プロセスによるシステムコールや API（Application Programing Interface）の実行、レジストリやファイルシステムに対する操作、又はネットワークを介した通信などである。例えばイベントは、その主体、その客体、及びその内容の組み合わせ（何が、何に対して、何をしたのか）によって表される。ただし、イベントは、これらの３つの情報の組み合わせ以外によって表されてもよい。

　攻撃情報３０の生成は、ログ１０を利用して行われる。ログ１０は複数のエントリを有する。エントリは、発生したイベントに関する情報（イベントの主体、客体、内容、及び発生時点など）を示す。ログ１０は、例えば、OS（operating system）によって記録されるイベントのログや、ネットワークフローに関するログなどである。

　ログ１０には、対象攻撃の実行期間中に記録されたエントリが含まれる。このようなログを得るために、例えば、対象攻撃を実行可能なテスト環境を用意し、当該テスト環境において対象攻撃が実行される。そして、当該テスト環境において発生したイベントが記録されたログが、ログ１０として用いられる。

　攻撃情報生成装置２０００は、ログ１０から、対象攻撃の実行期間内に発生した各イベントを表すエントリを検出することで、各イベントの出現数を特定する。ここで、対象攻撃は複数回実行される。そのため、対象攻撃の複数回の実行それぞれについて、イベントの出現数が特定される。

　例えば図１において、対象攻撃の第１回目の実行については、イベントＩ１、イベントＩ２、及びイベントＩ３の出現数がそれぞれ、１回、３回、及び２回となっている。また、対象攻撃の第２回目の実行については、イベントＩ２、イベントＩ３、及びイベントＩ４の出現数がそれぞれ１回ずつとなっている。

　攻撃情報生成装置２０００は、イベントごとに、対象攻撃の各実行について特定されたそのイベントの出現数が所定条件を満たすか否かを判定する。所定条件は、対象攻撃の影響で発生するイベントについて満たされる条件である。このような所定条件を採用することで、イベントごとに、そのイベントが対象攻撃の影響で発生するものであるか否かを判定することができる。詳しくは後述するが、例えばこのような所定の条件としては、「イベントの出現数の統計値が閾値以上である」などといった条件を利用することができる。

　攻撃情報生成装置２０００は、その出現数が所定条件を満たすイベントと、対象攻撃とを対応づけて、攻撃情報３０を生成する。例えば図１の攻撃情報３０は、対象攻撃Ａ１が、イベントＩ２及びイベントＩ３と対応づけられている。この攻撃情報３０から、イベントＩ２とイベントＩ３が対象攻撃Ａ１の影響で発生することが分かる。

＜作用効果の一例＞
　本実施形態の攻撃情報生成装置２０００によれば、対象攻撃の複数回の実行それぞれについて、その実行期間に記録されたログ１０のエントリを用いて、各イベントの出現数が特定される。そして、対象攻撃の複数回の実行それぞれについて特定された出現数が所定条件を満たすイベントが、対象攻撃と対応づけられる。このように、攻撃情報生成装置２０００によれば、新たな手法により、攻撃に関連するイベントが特定される。

　特に、所定条件として、対象攻撃の影響で発生するイベントについて満たされる条件を利用するとする。このようにすると、対象攻撃の複数回の実行それぞれについて記録されたエントリに基づいて、対象攻撃に対し、当該対象攻撃の影響で発生するイベントを対応づけることができる。そして、このような対応付けを表す攻撃情報３０を利用して、新たに得られたログを解析すれば、ログを利用して、対象攻撃が行われた可能性があることを検出できるようになる。

　以下、本実施形態の攻撃情報生成装置２０００について、より詳細に説明する。

＜機能構成の例＞
　図２は、実施形態１の攻撃情報生成装置２０００の機能構成を例示するブロック図である。攻撃情報生成装置２０００は、特定部２０２０、判定部２０４０、及び生成部２０６０を有する。特定部２０２０は、対象攻撃の複数回の実行それぞれについて、１つ以上のイベントそれぞれの出現数を、その実行期間にログ１０に記録されたエントリを利用して特定する。判定部２０４０は、イベントごとに、対象攻撃の各実行について特定されたそのイベントの出現数が、所定条件を満たすか否かを判定する。生成部２０６０は、対象攻撃と、その出現数が所定条件を満たすイベントとを対応づけた攻撃情報３０を生成する。

＜ハードウエア構成の例＞
　攻撃情報生成装置２０００の各機能構成部は、各機能構成部を実現するハードウエア（例：ハードワイヤードされた電子回路など）で実現されてもよいし、ハードウエアとソフトウエアとの組み合わせ（例：電子回路とそれを制御するプログラムの組み合わせなど）で実現されてもよい。以下、攻撃情報生成装置２０００の各機能構成部がハードウエアとソフトウエアとの組み合わせで実現される場合について、さらに説明する。

　図３は、攻撃情報生成装置２０００を実現するコンピュータ５００のハードウエア構成を例示するブロック図である。コンピュータ５００は、任意のコンピュータである。例えばコンピュータ５００は、PC（Personal Computer）やサーバマシンなどといった、据え置き型のコンピュータである。その他にも例えば、コンピュータ５００は、スマートフォンやタブレット端末などといった可搬型のコンピュータである。コンピュータ５００は、攻撃情報生成装置２０００を実現するために設計された専用のコンピュータであってもよいし、汎用のコンピュータであってもよい。

　例えば、コンピュータ５００に対して所定のアプリケーションをインストールすることにより、コンピュータ５００で、攻撃情報生成装置２０００の各機能が実現される。上記アプリケーションは、攻撃情報生成装置２０００の機能構成部を実現するためのプログラムで構成される。なお、上記プログラムの取得方法は任意である。例えば、当該プログラムが格納されている記憶媒体（DVD ディスクや USB メモリなど）から、当該プログラムを取得することができる。その他にも例えば、当該プログラムが格納されている記憶装置を管理しているサーバ装置から、当該プログラムをダウンロードすることにより、当該プログラムを取得することができる。

　コンピュータ５００は、バス５０２、プロセッサ５０４、メモリ５０６、ストレージデバイス５０８、入出力インタフェース５１０、及びネットワークインタフェース５１２を有する。バス５０２は、プロセッサ５０４、メモリ５０６、ストレージデバイス５０８、入出力インタフェース５１０、及びネットワークインタフェース５１２が、相互にデータを送受信するためのデータ伝送路である。ただし、プロセッサ５０４などを互いに接続する方法は、バス接続に限定されない。

　プロセッサ５０４は、CPU（Central Processing Unit）、GPU（Graphics Processing Unit）、又は FPGA（Field－Programmable Gate Array）などの種々のプロセッサである。メモリ５０６は、RAM（Random Access Memory）などを用いて実現される主記憶装置である。ストレージデバイス５０８は、ハードディスク、SSD（Solid State Drive）、メモリカード、又は ROM（Read Only Memory）などを用いて実現される補助記憶装置である。

　入出力インタフェース５１０は、コンピュータ５００と入出力デバイスとを接続するためのインタフェースである。例えば入出力インタフェース５１０には、キーボードなどの入力装置や、ディスプレイ装置などの出力装置が接続される。

　ネットワークインタフェース５１２は、コンピュータ５００をネットワークに接続するためのインタフェースである。例えば攻撃情報生成装置２０００に対する攻撃は、このネットワークを介してコンピュータ５００と通信可能に接続されている他のマシンから行われる。なお、このネットワークは、LAN（Local Area Network）であってもよいし、WAN（Wide Area Network）であってもよい。

　ストレージデバイス５０８は、攻撃情報生成装置２０００の各機能構成部を実現するプログラム（前述したアプリケーションを実現するプログラム）を記憶している。プロセッサ５０４は、このプログラムをメモリ５０６に読み出して実行することで、攻撃情報生成装置２０００の各機能構成部を実現する。

　攻撃情報生成装置２０００は、１つのコンピュータ５００で実現されてもよいし、複数のコンピュータ５００で実現されてもよい。後者の場合において、各コンピュータ５００の構成は同一である必要はなく、それぞれ異なるものとすることができる。

＜処理の流れ＞
　図４は、実施形態１の攻撃情報生成装置２０００によって実行される処理の流れを例示するフローチャートである。Ｓ１０２からＳ１０８は、対象攻撃の複数回の実行それぞれについて行われるループ処理Ｌ１である。Ｓ１０２において、攻撃情報生成装置２０００は、対象攻撃の複数回の実行の全てについて、ループ処理Ｌ１が既に行われたか否かを判定する。対象攻撃の複数回の実行の全てについて、ループ処理Ｌ１が既に行われた場合、図４の処理はＳ１１２に進む。一方、対象攻撃の複数回の実行のうち、まだループ処理Ｌ１の対象となっていないものがある場合、攻撃情報生成装置２０００は、そのうちの１つを選択する。ここで選択される実行を、第ｉ回目の実行と呼ぶ。その後、図４の処理はＳ１０４に進む。

　特定部２０２０は、ログ１０から、対象攻撃の第ｉ回目の実行期間中に記録されたエントリを抽出する（Ｓ１０４）。特定部２０２０は、抽出されたエントリに基づいて、各イベントの出現数を特定する（Ｓ１０６）。Ｓ１０８はループ処理Ｌ１の終端であるため、図４の処理はＳ１０２に進む。

　Ｓ１１０からＳ１１４は、対象攻撃の実行期間中に発生した各イベントについて行われるループ処理Ｌ２である。Ｓ１１０において、攻撃情報生成装置２０００は、対象攻撃の実行期間中に発生した全てのイベントについて、ループ処理Ｌ２が既に行われたか否かを判定する。対象攻撃の実行期間中に発生した全てのイベントについて、ループ処理Ｌ２が既に行われた場合、図４の処理はＳ１１６に進む。一方、対象攻撃の実行期間中に発生したイベントの中に、まだループ処理Ｌ２の対象としていないものがある場合、攻撃情報生成装置２０００は、そのうちの１つを選択する。ここで選択されるイベントを、イベントｊと呼ぶ。その後、図４の処理はＳ１１２に進む。

　判定部２０４０は、対象攻撃の複数回の実行それぞれについて特定された、イベントｊの出現数が所定条件を満たすか否かを判定する（Ｓ１１２）。Ｓ１１４はループ処理Ｌ２の終端であるため、図４の処理はＳ１１０に進む。

　生成部２０６０は、対象攻撃と、その出現数が所定条件を満たすと判定されたイベントととを対応づけた攻撃情報３０を生成する（Ｓ１１６）。

　なお、図４のフローチャートでは、１つの対象攻撃について、攻撃情報３０においてその対象攻撃と対応づけるイベントの特定が行われている。しかしながら、対象攻撃は複数あってもよい。複数の対象攻撃それぞれについて攻撃情報３０が生成される場合、例えば図５に示すように、各対象攻撃についてＳ１０２からＳ１１６の処理が実行される。図５は、複数の対象攻撃それぞれについて攻撃情報３０が生成されるケースについて、攻撃情報生成装置２０００によって実行される処理の流れを例示するフローチャートである。

＜ログ１０について＞
　前述したように、ログ１０は、対象攻撃が実行される環境のログである。例えばログ１０は、１）対象攻撃を受けるマシン（以下、対象マシン）上で取得されるログと、２）他対象マシンと他のマシンとの間の通信経路上で取得されるログとに大別される。以下、１）のログをエンドポイントログと呼び、２０のログをネットワークログと呼ぶ。なお、対象マシンは物理マシンであってもよいし、仮想マシンであってもよい。

　エンドポイントログは、例えば、対象マシン上で動作する各プロセスの挙動のログ、レジストリに対するアクセスのログ、又はファイルシステムのログなどである。プロセスの挙動は、例えば、プロセスによって実行されたシステムコールその他の API（Application Programming Interface）などで表される。ネットワークログは、例えば、通信経路上に存在するプロキシサーバによって記録されるログ、ネットワークフローのログ、又はパケットキャプチャのログなどである。

　攻撃情報生成装置２０００は、前述した種々のログやその他のログのうち、いずれか１つのログをログ１０として用いてもよいし、複数のログをそれぞれログ１０として用いてもよい。

＜対象攻撃について＞
　対象攻撃は任意のサイバー攻撃である。例えば対象攻撃は、１つ又は複数のコマンドで構成される。ここで、対象攻撃は、特定の目的を達成するための一連の攻撃（以下、攻撃列）の一部であってもよい。例えば、標的組織内からの重要情報の奪取を目的とした攻撃者は、標的組織ネットワーク内の端末に侵入後、端末内に保管されたファイルの調査・収集を行なう。また、重要情報が保管されていそうな他端末の探索や、他端末に侵入を拡大するための認証情報の取得や脆弱性の探索を行ない、取得した認証情報や脆弱性情報を用いて、探索によって発見した他端末へ侵入し、重要情報の探索範囲を広げていく。重要情報を端末から取得した場合、攻撃者のサーバへ当該情報を持ち出し攻撃を終了する。

　対象攻撃は、悪意ある攻撃者によって行われる実際の攻撃である必要はなく、攻撃情報生成装置２０００の運用者などによって攻撃情報３０の生成等を目的として行われる擬似的な攻撃でよい。例えば攻撃情報３０の生成は、テスト環境において攻撃列の実行を複数回行い、その結果として得られるログ１０を利用して行われる。例えば攻撃列が攻撃Ａ１、Ａ２、及びＡ３で構成されているとする。この場合、攻撃Ａ１、Ａ２及びＡ３のそれぞれが、対象攻撃として扱われる。例えば図５のフローチャートでは、攻撃Ａ１を対象攻撃ｋとしたループ処理Ｌ３、攻撃Ａ２を対象攻撃ｋとしたループ処理Ｌ３、及び攻撃Ａ３を対象攻撃ｋとしたループ処理Ｌ３がそれぞれ実行される。こうすることで、攻撃情報生成装置２０００は、攻撃Ａ１と攻撃Ａ１の影響によって発生するイベントとを対応づけた攻撃情報３０、攻撃Ａ２と攻撃Ａ２の影響によって発生するイベントとを対応づけた攻撃情報３０、及び攻撃Ａ３と攻撃Ａ３の影響によって発生するイベントとを対応づけた攻撃情報３０を生成する。ただし、攻撃情報生成装置２０００は、攻撃列に含まれる一部の攻撃のみを、対象攻撃として扱ってもよい。

　ここで、対象攻撃の複数回の実行は、テスト環境の設定を変更しながら行われてもよい。言い換えれば、各実行がそれぞれ異なる設定のテスト環境で行われるようにしてもよい。変更しうるテスト環境の設定としては、例えば、ログの取得設定（どのようなタイプのイベントをログとして記録するかの設定）、ネットワークの構成、又はファイアウォールの設定などがある。このようにテスト環境の設定を様々に変えながら対象攻撃を実行することによって得られたログ１０を利用することにより、対象攻撃の影響で発生するイベントのうち、実行環境の影響が小さいイベントを、対象攻撃と対応づけることができる（言い換えれば、特定の実行環境でしか発生しないようなイベントを、対象攻撃と対応づけないようにすることができる）。

＜エントリの抽出とイベントの出現数の特定：Ｓ１０４、Ｓ１０６＞
　特定部２０２０は、対象攻撃の複数回の実行それぞれについて、その実行期間にログ１０に記録されたエントリを用いて、各イベントの出現数を特定する（Ｓ１０６）。そのために、例えば特定部２０２０は、対象攻撃の複数回の実行それぞれについて、ログ１０から、その実行期間に記録されたエントリを抽出する（Ｓ１０４）。以下、第ｉ回目の対象攻撃の実行期間についてログ１０から抽出されたエントリの集合を、エントリグループｉと呼ぶ。

　ここで、特定部２０２０がログ１０を取得する方法は任意である。例えば特定部２０２０は、特定部２０２０からアクセス可能な記憶装置からログ１０を取得する。その他にも例えば、特定部２０２０は、ログ１０を管理している装置（データベースサーバなど）に対してリクエストを送信し、そのレスポンスとして、ログ１０を取得してもよい。

　特定部２０２０は、各エントリグループについて、そのエントリグループに含まれるエントリを、イベントごとに分類する。図６は、各イベントの出現数を特定する方法を、概念的に例示する図である。この例では、対象攻撃が３回実行されている。第１回目から第３回目の対象攻撃の実行期間はそれぞれ、t11 から t12、t21 から t22、及び t31 から t32 である。そのため、第１回目の対象攻撃についてのエントリグループには、時点 t11 から時点 t12 までの間にログ１０に記録された各エントリが含まれる。同様に、第２回目の対象攻撃についてのエントリグループには、時点 t21 から時点 t22 までの間にログ１０に記録された各エントリが含まれ、第３回目の対象攻撃についてのエントリグループには、時点 t31 から時点 t32 までの間にログ１０に記録された各エントリが含まれる。

　特定部２０２０は、エントリグループごとに、エントリの集計を行う。図６では、第１回目の対象攻撃について生成されたエントリグループ１を集計する様子が例示されている。特定部２０２０は、エントリグループ１に含まれるエントリを、同一のイベントを表すエントリごとに分ける。この例では、エントリグループ１に含まれるエントリＥ１からＥ９が、「Ｅ１、Ｅ３、Ｅ５」、「Ｅ２、Ｅ７」、「Ｅ４、Ｅ６、Ｅ８」、及び「Ｅ９」に分類されている。ここで、エントリＥ１、Ｅ３、及びＥ５によって表されているイベントにはＩ１という識別子が割り当てられ、エントリＥ２及びＥ７によって表されているイベントにはＩ２という識別子が割り当てられ、エントリＥ４、Ｅ６、及びＥ８によって表されているイベントにはＩ３という識別子が割り当てられ、エントリＥ９によって表されているイベントにはＩ４という識別子が割り当てられている。

　特定部２０２０は、各イベントに対応するエントリの数に基づいて、イベントの出現数を特定する。例えば特定部２０２０は、或るイベントに対応するエントリの数を、そのイベントの出現数として扱う。例えば図６の例の場合、イベントＩ１からＩ４に対応するエントリの数はそれぞれ、３、２、３、及び１である。そのため、イベントＩ１からＩ４の出現数はそれぞれ、３、２、３、及び１となる。

　その他にも例えば、特定部２０２０は、或るイベントに対応するエントリが存在しなければ（エントリの数が０であれば）そのイベントの出現数を０とし、そのイベントに対応するエントリが存在すれば（エントリの数が１以上であれば）そのイベントの出現数を１としてもよい。すなわち、この場合には、各イベントの有無が対象攻撃ごとに把握されることとなる。例えば図６のケースでは、イベントＩ１からＩ４の出現数が、いずれも１として扱われる。

＜＜対象攻撃の実行期間の特定＞＞
　ログ１０から対象攻撃の実行期間中に記録されたエントリを抽出するためには、対象攻撃の実行期間を特定できる必要がある。そのために、例えば、対象攻撃が実行される際に、その実行の開始時点と終了時点を示す情報（以下、攻撃ログ）が、任意の記憶装置に格納されるようにしておく。特定部２０２０は、攻撃ログを利用することで、対象攻撃の実行期間を特定する。

　なお、攻撃の開始時点と終了時点を記録する技術には、既存の技術を利用することができる。例えば、実行開始時点が予めスケジュールされているスクリプトを利用して対象攻撃が実行される場合、そのスクリプトの実行開始時点としてスケジュールされていた時刻が、攻撃の開始時点として攻撃ログに記録されるようにする。また、この場合、スクリプトの実行の終了時点が、攻撃の終了時点として攻撃ログに記録されるようにする。その他にも例えば、運用者等が手動で対象攻撃の実行を行う場合、当該運用者等により、実行の開始時点と終了時点が攻撃ログに記録されるようにしてもよい。

　図７は、攻撃ログをテーブル形式で例示する図である。図７の攻撃ログ４０は、攻撃識別子４２及び実行期間４４を含む。攻撃識別子４２は、対象攻撃を特定可能な識別子を示す。実行期間４４は、対象攻撃の開始時点を示す開始時点４６と、対象攻撃の終了時点を示す終了時点４８を含む。

＜＜イベントの同定＞＞
　エントリをイベントごとに分けるためには、各エントリによって表されるイベントの同定を行う必要がある。すなわち、何らかの基準を用いて、複数のエントリが互いに同一のイベントを表しているのか、それとも、互いに異なるイベントを表しているのかを判定する必要がある。以下、その具体的な方法を例示する。

　例えば特定部２０２０は、１つ以上の所定の項目の値が互いに一致するエントリ同士を、互いに同じイベントを表しているものとして扱う。エントリの項目には、例えば、イベントの主体、客体、又は内容などを表す種々の項目が存在しうる。項目の値に基づいてイベントの同定を行う場合、どの項目を利用してイベントの同定を行うかを定めたルール（以下、イベント同定ルール）を、特定部２０２０によって取得可能な態様で任意の記憶装置に予め格納しておく。特定部２０２０は、エントリグループに含まれる複数のエントリを、イベント同定ルールを利用して、互いに同じイベントを表しているエントリの組み合わせに分割する。

　例えばログ１０の各エントリが５つの項目Ｂ１からＢ５を有しているとする。また、「項目Ｂ２とＢ４の値が互いに一致するエントリ同士は、互いに同じイベントを表している」というイベント同定ルールを定めておくとする。この場合、特定部２０２０は、エントリグループに含まれるエントリ同士で、項目Ｂ２の値の比較及び項目Ｂ４の値の比較を行う。そして、「項目Ｂ２の値が互いに同じであり、なおかつ、項目Ｂ４の値も互いに同じである」という条件が満たされる複数のエントリの組み合わせが、同一のイベントを表しているエントリの組み合わせとして抽出される。

　ここで、項目の値が互いに完全に一致するエントリ同士だけでなく、項目の値が互いに類似しているエントリ同士が、互いに同じイベントを表しているエントリとして扱われてもよい。例えば、「アクセスされたファイル」という項目については、複数のエントリにおいて、アクセスされたファイルの名前が完全に互いに一致している場合だけでなく、アクセスされたファイルが格納されているディレクトリが互いに一致してる場合（すなわち、ファイルのパスが途中まで一致する場合）や、アクセスされたファイルの種類が互いに一致する場合（例えば、ファイルの拡張子が一致する場合）でも、互いに同じイベントを表しているエントリとして扱うことが考えられる。

　ここで、ログに含まれる項目は、ログの種類ごとに異なりうる。そこで、ログ１０として複数種類のログを扱う場合、前述したイベント同定ルールは、ログの種類ごとに予め定めておく。

　図８は、イベント同定ルールをテーブル形式で例示する図である。イベント同定ルール５０は、ログ種別５２とルール５４を有する。ログ種別５２は、ルール５４に示すルールが適用されるログ１０の種類を示す。ルール５４は、項目名と同定の条件とのペアを１つ以上示す。例えば図８の例では、「項目Ｂ１の値が互いに一致し、なおかつ、項目Ｂ３に示されるファイルの種類が互いに一致する」という条件が満たされる複数のエントリの組み合わせが、互いに同じイベントを表しているエントリの組み合わせとして扱われる。

　ただし、ルール５４に複数のペアが示されている場合において、ルール５４が表す意味は、「各ペアの条件を全て満たす」という意味に限定されなくてもよい。例えば、「ペア１ and ペア２ or ペア３」などのような指定をルール５４において可能にすることにより、複数のペアによって柔軟なルールを設定できるようにしてもよい。

＜所定条件を満たすか否かの判定：Ｓ１１２＞
　判定部２０４０は、イベントごとに、そのイベントの出現数が所定条件を満たすか否かを判定する（Ｓ１１２）。例えば前述したように、所定条件としては、対象攻撃の影響で発生するイベントについて満たされる条件が利用される。ここで、あるイベントが対象攻撃の影響で発生するものである場合、対象攻撃の複数回の実行の全て又はその多くで、そのイベントが発生すると考えられる。そこで例えば、対象攻撃の影響で発生するイベントについて満たされる所定条件としては、対象攻撃の複数回の実行の全て又はその多くで出現しているイベントについて満たされる条件を利用できる。

　このような所定条件は、例えば、イベントの出現数の統計値（平均値、中央値、最頻値、又は最小値など）に関する条件で定められる。具体的には、「イベントの出現数の統計値が閾値以上である」といった条件である。この場合、判定部２０４０は、各イベントについて、対象攻撃の複数回の実行それぞれにおけるそのイベントの出現数の統計値を算出し、当該統計値が閾値以上であるか否かを判定する。あるイベントについて算出された上記統計値が閾値以上である場合、そのイベントの出現数については、所定条件が満たされていることとなる。一方、そのイベントについて算出された上記統計値が閾値より小さい場合、そのイベントの出現数については、所定条件を満たされていないこととなる。

＜攻撃情報３０の生成：Ｓ１１６＞
　生成部２０６０は、対象攻撃と、その出現数が所定条件を満たすと判定されたイベントとを対応づけた攻撃情報３０を生成する（Ｓ１１６）。所定条件として、対象攻撃の複数回の実行の全て又はその多くで出現しているイベントについて満たされる条件が利用される場合、攻撃情報３０は、対象攻撃と、その対象攻撃の影響で発生するイベントとを対応づけた情報となる。

　図９は、攻撃情報３０の構成をテーブル形式で例示する図である。図９において、攻撃情報３０は、攻撃識別子３２、ログ種別３４、及びイベント識別子３６を有する。攻撃識別子３２は、攻撃に割り当てられた識別子を示す。攻撃識別子３２には、攻撃を識別可能な任意の情報を利用することができる。例えば、攻撃識別子３２には、攻撃の名称が利用される。その他にも例えば、攻撃識別子３２は、攻撃の名称とその設定との組み合わせで表されてもよい。例えば、引数によってその動作が変化するコマンドを攻撃として利用する場合、「コマンド名、引数」という組み合わせで、攻撃識別子３２を表すことができる。

　ログ種別３４は、攻撃情報３０の生成に利用されたログの種別を示す。イベント識別子３６は、イベントを識別可能な任意の情報を利用することができる。例えばイベントの同定にイベント同定ルール５０が利用される場合、生成部２０６０は、ルール５４で指定されている項目の値に基づいて、イベント識別子３６を生成する。例えば、「プロセス名が一致し、なおかつ、アクセスされたファイルの種別が一致する」というルールに基づいて、イベントの同定が行われたとする。この場合、例えば、イベント識別子３６は、プロセス名とファイル種別のペアで表される。

　ここで、同一の対象攻撃及び同一のログ１０について、その出現数が所定条件を満たすイベントが複数特定された場合、イベント識別子３６には、これら複数のイベントそれぞれの識別子が示されている。すなわち、「対象攻撃、ログ種別」のペアに対して、複数のイベントが対応づけられている。これは、対象攻撃を実行することで、これら複数のイベントが発生するため、これら複数のイベントそれぞれを表すエントリが同一のログ１０に記録されることを表す。

　例えば図９の１行目は、「攻撃識別子＝攻撃Ａ１」と「ログ種別＝OS イベント」という組み合わせに対し、「イベント識別子＝OI2、OI3」が対応づけられている。そのため、OS イベントのログからイベント識別子が OI2 のイベントを表すエントリと、イベント識別子が OI3 のイベントを表すエントリの双方が含まれている場合に、攻撃Ａ１が実行された蓋然性が高いと言える。

＜攻撃情報３０の出力＞
　生成部２０６０は、任意の態様で攻撃情報３０を出力してもよい。例えば生成部２０６０は、攻撃情報生成装置２０００からアクセス可能な記憶装置に攻撃情報３０を格納する。例えば記憶装置に格納された攻撃情報３０は、後述する攻撃検出装置によって利用される。その他にも例えば、生成部２０６０は、攻撃情報生成装置２０００からアクセス可能なディスプレイ装置に、攻撃情報３０を表示させる。その他にも例えば、生成部２０６０は、任意の装置に攻撃情報３０を送信する。例えば攻撃情報３０の送信先は、後述する攻撃検出装置である。

＜攻撃情報３０を利用した攻撃の検出＞
　攻撃情報３０の利用方法の１つとして、コンピュータシステムの実際の運用環境で生成されたログから、当該システムに対して行われた可能性のある攻撃を検出する処理に利用することが考えられる。以下、攻撃情報３０を利用して、コンピュータシステムに対して行われた可能性のある攻撃を検出する方法について説明する。ここで、攻撃検出の対象となるコンピュータシステムを検査対象システムと呼び、検査対象システムの実行環境で得られるログを検査対象ログと呼ぶ。また、攻撃情報３０を利用して攻撃を検出する処理を行う装置を、攻撃検出装置と呼ぶ。

　攻撃検出装置は、攻撃情報生成装置２０００と一体として設けられてもよいし、別体として設けられてもよい。言い換えれば、攻撃検出装置は、攻撃情報生成装置２０００と共にコンピュータ５００で実現されてもよいし、別のコンピュータで実現されてもよい。後者の場合、攻撃情報生成装置２０００を実現するコンピュータは、例えばコンピュータ５００と同様に、図３に示すハードウエア構成を有する。

　例えば攻撃検出装置は、攻撃情報３０において同一の攻撃に対応づけられている１つ以上のイベント（以下、イベント群）を、検査対象ログから検出する。攻撃検出装置は、あるイベント群が検査対象ログから検出されたら、そのイベント群に対応づけられている攻撃を、検査対象システムに対して行われた可能性のある攻撃として検出する。なお、前述したように、攻撃情報３０は、複数のログ１０を利用して生成されうる。そこで攻撃検出装置は、検査対象システムの実行環境から得られたログのうち、ログ種別３４に示されている種類と同じ種類のログを検査対象ログとして用いて、イベント群の検出を行う。

　攻撃検出装置は、攻撃に要する時間をさらに考慮して、イベント群の検出を行ってもよい。すなわち、攻撃検出装置は、イベント群が特定の時間幅の中に含まれている場合のみ、そのイベント群に対応づけられている攻撃を、検査対象システムに対して実行された攻撃として検出してもよい。このように攻撃に要する時間を考慮して攻撃の検出を行うことにより、検査対象システム行われた可能性のある攻撃をより高い精度で検出することができる。

　攻撃の時間長は、全ての攻撃で共通であってもよいし、攻撃ごとに定められていてもよい。後者の場合、攻撃情報３０に、攻撃の時間長に関する情報を含めておく。図１０は、攻撃情報３０において各攻撃にその攻撃の時間長が対応づけられているケースを例示する図である。図１０の攻撃情報３０は、攻撃長３８を有する。攻撃長３８は、対応する攻撃の実行期間の長さを示す。

　図１０のように攻撃情報３０が攻撃長３８を含む場合、例えば生成部２０６０は、対象攻撃の実行期間の長さに基づいて、攻撃長３８に設定する値を決定する。例えば生成部２０６０は、攻撃ログ４０を利用して、対象攻撃の複数回の実行それぞれについて実行期間の長さを特定し、特定した実行期間の長さの統計値を攻撃長３８に設定する。例えば統計値は、平均値、中央値、最頻値、最大値、又は最小値などである。

　以上、実施の形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　なお、上述の例において、プログラムは、様々なタイプの非一時的なコンピュータ可読媒体（non-transitory computer readable medium）を用いて格納され、コンピュータに提供することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体（tangible storage medium）を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体（例えば、フレキシブルディスク、磁気テープ、ハードディスクドライブ）、光磁気記録媒体（例えば、光磁気ディスク）、CD-ROM、CD-R、CD-R/W、半導体メモリ（例えば、マスク ROM、PROM（Programmable ROM）、EPROM（Erasable PROM）、フラッシュROM、RAM）を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体（transitory computer readable medium）によってコンピュータに提供されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。

　上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
　（付記１）
　対象攻撃の複数回の実行それぞれについて、その実行期間におけるログを用いて、１つ以上のイベントそれぞれの出現数を特定する特定手段と、
　前記イベントごとに、前記対象攻撃の複数回の実行それぞれについて特定されたそのイベントの出現数が、所定条件を満たすか否かを判定する判定手段と、
　前記対象攻撃と、出現数が前記所定条件を満たすと判定された前記イベントとを対応づけた攻撃情報を生成する生成手段と、を有する攻撃情報生成装置。
　（付記２）
　前記所定条件は、前記対象攻撃の複数回の実行それぞれについて特定された前記イベントの出現数の統計値が閾値以上であることである、付記１に記載の攻撃情報生成装置。
　（付記３）
　前記特定手段は、
　　前記対象攻撃の実行期間における前記ログの中に対応するエントリが存在する前記イベントの出現数を１とし、
　　前記対象攻撃の実行期間における前記ログの中に対応するエントリが存在しない前記イベントの出現数を０とする、付記１又は２に記載の攻撃情報生成装置。
　（付記４）
　前記特定手段は、
　　前記ログにおいて前記対象攻撃の実行期間に記録されている複数のエントリのうち、１つ以上の所定の項目において互いに一致又は類似する値が示されている各前記エントリを、互いに同一の前記イベントを表す前記エントリとして特定し、
　　各前記イベントについて、そのイベントを表すものとして特定された前記エントリの数に基づいて、そのイベントの出現数を特定する、付記１から３いずれか一項に記載の攻撃情報生成装置。
　（付記５）
　前記生成手段は、前記対象攻撃の実行期間の長さを特定し、当該実行期間の長さを前記攻撃情報に含める、付記１から４いずれか一項に記載の攻撃情報生成装置。
　（付記６）
　前記攻撃情報に含める前記対象攻撃の実行期間の長さは、複数回実行された前記対象攻撃それぞれの実行期間の長さの統計値である、付記５に記載の攻撃情報生成装置。
　（付記７）
　前記対象攻撃の複数回の実行のうち、少なくとも２回の実行は、互いに異なるテスト環境で行われる、付記１から６いずれか一項に記載の攻撃情報生成装置。
　（付記８）
　前記特定手段は、複数種類の前記ログそれぞれについて、各前記イベントの出現数の特定を行い、
　前記生成手段は、前記攻撃情報に、前記イベントを表すエントリが抽出された前記ログの種類を含める、付記１から７いずれか一項に記載の攻撃情報生成装置。
　（付記９）
　コンピュータによって実行される制御方法であって、
　対象攻撃の複数回の実行それぞれについて、その実行期間におけるログを用いて、１つ以上のイベントそれぞれの出現数を特定する特定ステップと、
　前記イベントごとに、前記対象攻撃の複数回の実行それぞれについて特定されたそのイベントの出現数が、所定条件を満たすか否かを判定する判定ステップと、
　前記対象攻撃と、出現数が前記所定条件を満たすと判定された前記イベントとを対応づけた攻撃情報を生成する生成ステップと、を有する制御方法。
　（付記１０）
　前記所定条件は、前記対象攻撃の複数回の実行それぞれについて特定された前記イベントの出現数の統計値が閾値以上であることである、付記９に記載の制御方法。
　（付記１１）
　前記特定ステップにおいて、
　　前記対象攻撃の実行期間における前記ログの中に対応するエントリが存在する前記イベントの出現数を１とし、
　　前記対象攻撃の実行期間における前記ログの中に対応するエントリが存在しない前記イベントの出現数を０とする、付記９又は１０に記載の制御方法。
　（付記１２）
　前記特定ステップにおいて、
　　前記ログにおいて前記対象攻撃の実行期間に記録されている複数のエントリのうち、１つ以上の所定の項目において互いに一致又は類似する値が示されている各前記エントリを、互いに同一の前記イベントを表す前記エントリとして特定し、
　　各前記イベントについて、そのイベントを表すものとして特定された前記エントリの数に基づいて、そのイベントの出現数を特定する、付記９から１１いずれか一項に記載の制御方法。
　（付記１３）
　前記生成ステップにおいて、前記対象攻撃の実行期間の長さを特定し、当該実行期間の長さを前記攻撃情報に含める、付記９から１２いずれか一項に記載の制御方法。
　（付記１４）
　前記攻撃情報に含める前記対象攻撃の実行期間の長さは、複数回実行された前記対象攻撃それぞれの実行期間の長さの統計値である、付記１３に記載の制御方法。
　（付記１５）
　前記対象攻撃の複数回の実行のうち、少なくとも２回の実行は、互いに異なるテスト環境で行われる、付記９から１３いずれか一項に記載の制御方法。
　（付記１６）
　前記特定ステップにおいて、複数種類の前記ログそれぞれについて、各前記イベントの出現数の特定を行い、
　前記生成ステップにおいて、前記攻撃情報に、前記イベントを表すエントリが抽出された前記ログの種類を含める、付記９から１５いずれか一項に記載の制御方法。
　（付記１７）
　対象攻撃の複数回の実行それぞれについて、その実行期間におけるログを用いて、１つ以上のイベントそれぞれの出現数を特定する特定ステップと、
　前記イベントごとに、前記対象攻撃の複数回の実行それぞれについて特定されたそのイベントの出現数が、所定条件を満たすか否かを判定する判定ステップと、
　前記対象攻撃と、出現数が前記所定条件を満たすと判定された前記イベントとを対応づけた攻撃情報を生成する生成ステップと、をコンピュータに実行させるプログラム。
　（付記１８）
　前記所定条件は、前記対象攻撃の複数回の実行それぞれについて特定された前記イベントの出現数の統計値が閾値以上であることである、付記１７に記載のプログラム。
　（付記１９）
　前記特定ステップにおいて、
　　前記対象攻撃の実行期間における前記ログの中に対応するエントリが存在する前記イベントの出現数を１とし、
　　前記対象攻撃の実行期間における前記ログの中に対応するエントリが存在しない前記イベントの出現数を０とする、付記１７又は１８に記載のプログラム。　
（付記２０）
　前記特定ステップにおいて、
　　前記ログにおいて前記対象攻撃の実行期間に記録されている複数のエントリのうち、１つ以上の所定の項目において互いに一致又は類似する値が示されている前記エントリを、互いに同一の前記イベントを表す前記エントリとして特定し、
　　各前記イベントについて、そのイベントを表すものとして特定された前記エントリの数に基づいて、そのイベントの出現数を特定する、付記１７から１９いずれか一項に記載のプログラム。
　（付記２１）
　前記生成ステップにおいて、前記対象攻撃の実行期間の長さを特定し、当該実行期間の長さを前記攻撃情報に含める、付記１７から２０いずれか一項に記載のプログラム。
　（付記２２）
　前記攻撃情報に含める前記対象攻撃の実行期間の長さは、複数回実行された前記対象攻撃それぞれの実行期間の長さの統計値である、付記２１に記載のプログラム。
　（付記２３）
　前記対象攻撃の複数回の実行のうち、少なくとも２回の実行は、互いに異なるテスト環境で行われる、付記１７から２２いずれか一項に記載のプログラム。
　（付記２４）
　前記特定ステップにおいて、複数種類の前記ログそれぞれについて、各前記イベントの出現数の特定を行い、
　前記生成ステップにおいて、前記攻撃情報に、前記イベントを表すエントリが抽出された前記ログの種類を含める、付記１７から２３いずれか一項に記載のプログラム。

　この出願は、２０２０年１２月２４日に出願された日本出願特願２０２０－２１５０７４を基礎とする優先権を主張し、その開示の全てをここに取り込む。

１０　　　　　　ログ
３０　　　　　　攻撃情報
３２　　　　　　攻撃識別子
３４　　　　　　ログ種別
３６　　　　　　イベント識別子
３８　　　　　　攻撃長
４０　　　　　　攻撃ログ
４２　　　　　　攻撃識別子
４４　　　　　　実行期間
４６　　　　　　開始時点
４８　　　　　　終了時点
５０　　　　　　イベント同定ルール
５２　　　　　　ログ種別
５４　　　　　　ルール
５００　　　　　　コンピュータ
５０２　　　　　　バス
５０４　　　　　　プロセッサ
５０６　　　　　　メモリ
５０８　　　　　　ストレージデバイス
５１０　　　　　　入出力インタフェース
５１２　　　　　　ネットワークインタフェース
２０００　　　　　攻撃情報生成装置
２０２０　　　　　特定部
２０４０　　　　　判定部
２０６０　　　　　生成部

Claims

　対象攻撃の複数回の実行それぞれについて、その実行期間におけるログを用いて、１つ以上のイベントそれぞれの出現数を特定する特定手段と、
　前記イベントごとに、前記対象攻撃の複数回の実行それぞれについて特定されたそのイベントの出現数が、所定条件を満たすか否かを判定する判定手段と、
　前記対象攻撃と、出現数が前記所定条件を満たすと判定された前記イベントとを対応づけた攻撃情報を生成する生成手段と、を有する攻撃情報生成装置。
　前記所定条件は、前記対象攻撃の複数回の実行それぞれについて特定された前記イベントの出現数の統計値が閾値以上であることである、請求項１に記載の攻撃情報生成装置。
　前記特定手段は、
　　前記対象攻撃の実行期間における前記ログの中に対応するエントリが存在する前記イベントの出現数を１とし、
　　前記対象攻撃の実行期間における前記ログの中に対応するエントリが存在しない前記イベントの出現数を０とする、請求項１又は２に記載の攻撃情報生成装置。
　前記特定手段は、
　　前記ログにおいて前記対象攻撃の実行期間に記録されている複数のエントリのうち、１つ以上の所定の項目において互いに一致又は類似する値が示されている各前記エントリを、互いに同一の前記イベントを表す前記エントリとして特定し、
　　各前記イベントについて、そのイベントを表すものとして特定された前記エントリの数に基づいて、そのイベントの出現数を特定する、請求項１から３いずれか一項に記載の攻撃情報生成装置。
　前記生成手段は、前記対象攻撃の実行期間の長さを特定し、当該実行期間の長さを前記攻撃情報に含める、請求項１から４いずれか一項に記載の攻撃情報生成装置。
　前記攻撃情報に含める前記対象攻撃の実行期間の長さは、複数回実行された前記対象攻撃それぞれの実行期間の長さの統計値である、請求項５に記載の攻撃情報生成装置。
　前記対象攻撃の複数回の実行のうち、少なくとも２回の実行は、互いに異なるテスト環境で行われる、請求項１から６いずれか一項に記載の攻撃情報生成装置。
　前記特定手段は、複数種類の前記ログそれぞれについて、各前記イベントの出現数の特定を行い、
　前記生成手段は、前記攻撃情報に、前記イベントを表すエントリが抽出された前記ログの種類を含める、請求項１から７いずれか一項に記載の攻撃情報生成装置。
　コンピュータによって実行される制御方法であって、
　対象攻撃の複数回の実行それぞれについて、その実行期間におけるログを用いて、１つ以上のイベントそれぞれの出現数を特定する特定ステップと、
　前記イベントごとに、前記対象攻撃の複数回の実行それぞれについて特定されたそのイベントの出現数が、所定条件を満たすか否かを判定する判定ステップと、
　前記対象攻撃と、出現数が前記所定条件を満たすと判定された前記イベントとを対応づけた攻撃情報を生成する生成ステップと、を有する制御方法。
　前記所定条件は、前記対象攻撃の複数回の実行それぞれについて特定された前記イベントの出現数の統計値が閾値以上であることである、請求項９に記載の制御方法。
　前記特定ステップにおいて、
　　前記対象攻撃の実行期間における前記ログの中に対応するエントリが存在する前記イベントの出現数を１とし、
　　前記対象攻撃の実行期間における前記ログの中に対応するエントリが存在しない前記イベントの出現数を０とする、請求項９又は１０に記載の制御方法。
　前記特定ステップにおいて、
　　前記ログにおいて前記対象攻撃の実行期間に記録されている複数のエントリのうち、１つ以上の所定の項目において互いに一致又は類似する値が示されている各前記エントリを、互いに同一の前記イベントを表す前記エントリとして特定し、
　　各前記イベントについて、そのイベントを表すものとして特定された前記エントリの数に基づいて、そのイベントの出現数を特定する、請求項９から１１いずれか一項に記載の制御方法。
　前記生成ステップにおいて、前記対象攻撃の実行期間の長さを特定し、当該実行期間の長さを前記攻撃情報に含める、請求項９から１２いずれか一項に記載の制御方法。
　前記攻撃情報に含める前記対象攻撃の実行期間の長さは、複数回実行された前記対象攻撃それぞれの実行期間の長さの統計値である、請求項１３に記載の制御方法。
　前記対象攻撃の複数回の実行のうち、少なくとも２回の実行は、互いに異なるテスト環境で行われる、請求項９から１３いずれか一項に記載の制御方法。
　前記特定ステップにおいて、複数種類の前記ログそれぞれについて、各前記イベントの出現数の特定を行い、
　前記生成ステップにおいて、前記攻撃情報に、前記イベントを表すエントリが抽出された前記ログの種類を含める、請求項９から１５いずれか一項に記載の制御方法。
　対象攻撃の複数回の実行それぞれについて、その実行期間におけるログを用いて、１つ以上のイベントそれぞれの出現数を特定する特定ステップと、
　前記イベントごとに、前記対象攻撃の複数回の実行それぞれについて特定されたそのイベントの出現数が、所定条件を満たすか否かを判定する判定ステップと、
　前記対象攻撃と、出現数が前記所定条件を満たすと判定された前記イベントとを対応づけた攻撃情報を生成する生成ステップと、をコンピュータに実行させるプログラムが格納されている非一時的なコンピュータ可読媒体。
　前記所定条件は、前記対象攻撃の複数回の実行それぞれについて特定された前記イベントの出現数の統計値が閾値以上であることである、請求項１７に記載のコンピュータ可読媒体。
　前記特定ステップにおいて、
　　前記対象攻撃の実行期間における前記ログの中に対応するエントリが存在する前記イベントの出現数を１とし、
　　前記対象攻撃の実行期間における前記ログの中に対応するエントリが存在しない前記イベントの出現数を０とする、請求項１７又は１８に記載のコンピュータ可読媒体。　
　前記特定ステップにおいて、
　　前記ログにおいて前記対象攻撃の実行期間に記録されている複数のエントリのうち、１つ以上の所定の項目において互いに一致又は類似する値が示されている前記エントリを、互いに同一の前記イベントを表す前記エントリとして特定し、
　　各前記イベントについて、そのイベントを表すものとして特定された前記エントリの数に基づいて、そのイベントの出現数を特定する、請求項１７から１９いずれか一項に記載のコンピュータ可読媒体。
　前記生成ステップにおいて、前記対象攻撃の実行期間の長さを特定し、当該実行期間の長さを前記攻撃情報に含める、請求項１７から２０いずれか一項に記載のコンピュータ可読媒体。
　前記攻撃情報に含める前記対象攻撃の実行期間の長さは、複数回実行された前記対象攻撃それぞれの実行期間の長さの統計値である、請求項２１に記載のコンピュータ可読媒体。
　前記対象攻撃の複数回の実行のうち、少なくとも２回の実行は、互いに異なるテスト環境で行われる、請求項１７から２２いずれか一項に記載のコンピュータ可読媒体。
　前記特定ステップにおいて、複数種類の前記ログそれぞれについて、各前記イベントの出現数の特定を行い、
　前記生成ステップにおいて、前記攻撃情報に、前記イベントを表すエントリが抽出された前記ログの種類を含める、請求項１７から２３いずれか一項に記載のコンピュータ可読媒体。