JP2023527753A - ナレッジ生成装置、制御方法、及びプログラム - Google Patents
ナレッジ生成装置、制御方法、及びプログラム Download PDFInfo
- Publication number
- JP2023527753A JP2023527753A JP2022570415A JP2022570415A JP2023527753A JP 2023527753 A JP2023527753 A JP 2023527753A JP 2022570415 A JP2022570415 A JP 2022570415A JP 2022570415 A JP2022570415 A JP 2022570415A JP 2023527753 A JP2023527753 A JP 2023527753A
- Authority
- JP
- Japan
- Prior art keywords
- attack
- environmental conditions
- affected
- environmental condition
- environmental
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 35
- PWPJGUXAGUPAHP-UHFFFAOYSA-N lufenuron Chemical compound C1=C(Cl)C(OC(F)(F)C(C(F)(F)F)F)=CC(Cl)=C1NC(=O)NC(=O)C1=C(F)C=CC=C1F PWPJGUXAGUPAHP-UHFFFAOYSA-N 0.000 title 1
- 230000007613 environmental effect Effects 0.000 claims abstract description 449
- 230000001131 transforming effect Effects 0.000 claims description 12
- 238000001514 detection method Methods 0.000 description 20
- 238000003780 insertion Methods 0.000 description 15
- 230000037431 insertion Effects 0.000 description 15
- 238000012502 risk assessment Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 11
- 238000006243 chemical reaction Methods 0.000 description 9
- 230000007717 exclusion Effects 0.000 description 9
- 238000012545 processing Methods 0.000 description 7
- 238000012549 training Methods 0.000 description 5
- 239000000872 buffer Substances 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/022—Knowledge engineering; Knowledge acquisition
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Mathematical Physics (AREA)
- Computational Linguistics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Medical Informatics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
図1は、実施形態1のナレッジ生成装置2000の概念を示す図である。なお、図1はナレッジ生成装置2000の動作を限定するものではなく、ナレッジ生成装置2000の可能な動作の例を示すにすぎない。
上述したように、実施形態1のナレッジ生成装置2000は、環境条件(攻撃成功のために満たされるべきコンピュータ環境の構成に関するもの)をナレッジ情報に含めるかどうかを、その環境条件によって影響を受ける攻撃の集合の特徴に基づいて決める。言い換えれば、その環境条件によって影響を受ける攻撃の集合の特徴に基づいて、ナレッジ情報に含めることが決まった環境条件のみが、ユーザに提供される。そのため、実施形態1のナレッジ生成装置2000は、リスク評価の観点から提供されることが有用なナレッジのみを有効にする。言い換えれば、リスク評価の観点から有用でないナレッジをユーザに提供することを避けることができる。
図2は、実施形態1のナレッジ生成装置2000の機能構成の例を示すブロック図である。図2において、ナレッジ生成装置2000は、取得部2020、検出部2040、及び生成部2060を有する。取得部2020は、複数の攻撃結果情報100を取得する。検出部2040は、複数の攻撃結果情報100の比較を通じて1つ以上の環境条件を検出する。生成部2060は、選択ルール200に基づいて、検出された環境条件の中から1つ以上の環境条件を選択し、選択された環境条件を示すナレッジ情報300を生成する。
ナレッジ生成装置2000は、1つ以上のコンピュータで実現されうる。それら1つ以上のコンピュータのそれぞれは、ナレッジ生成装置2000を実現するために作成された専用のコンピュータであってもよいし、パーソナルコンピュータ(PC: Personal Computer)、サーバマシン又はモバイルデバイスなどの汎用のコンピュータであってもよい。ナレッジ生成装置2000は、コンピュータにアプリケーションをインストールすることで実現されうる。そのアプリケーションは、コンピュータをナレッジ生成装置2000として機能させるプログラムで実現される。言い換えれば、そのプログラムは、ナレッジ生成装置2000の機能構成部を実装したものである。
前述した通り、攻撃結果情報100は、コンピュータ環境に対して実行された攻撃の構成、攻撃されたコンピュータ環境の構成、及び攻撃結果を含みうる。攻撃の構成は、エクスプロイトコード及びペイロードなどといった、1つ以上の属性を含みうる。エクスプロイトコードは、コンピュータ環境の弱点(すなわち脆弱性)を突くためのプログラムを含む。ペイロードは、コンピュータ環境の脆弱性をうまく突いた後に達成したい目的のためのプログラムを含む。例えば、エクスプロイトコードは、コンピュータ環境のバッファオーバーフロー脆弱性を突くためのプログラムであることがあり、ペイロードは、エクスプロイトコードによってコンピュータ環境のバッファがオーバーフローした後にそのコンピュータ環境で実行されるべきマルウエアでありうる。
攻撃結果情報100の具体的な構成は限定されない。図5は、攻撃結果情報100の構成の例を示す。図5において、攻撃結果情報100は、テーブル形式で構成されている。攻撃結果情報100は、攻撃識別情報(ID: identifier)110、攻撃構成120、環境構成130、及び結果140という列を含む。攻撃識別情報は、コンピュータ環境に対して実行された各攻撃に割り当てられた識別情報を表す。
攻撃結果情報100は、様々な攻撃及びコンピュータ環境の構成の下で、コンピュータ環境を攻撃することにより、生成される。単純な例として、可能な攻撃の構成がN通りあり、可能なコンピュータ環境の構成がM通りあるとする。この場合、理論的には、可能な攻撃が NxM 通り存在しうる。そのため、これら NxM 通りの可能な各攻撃をコンピュータ環境に対して実行することで、NxM 個の攻撃結果情報100を生成しうる。しかしながら、攻撃結果情報100を生成するために、可能な攻撃の全てを実行する必要はない。
取得部2020は、複数の攻撃結果情報100を取得する(S102)。攻撃結果情報100を取得する方法は様々である。例えば、取得部2020によって取得されるべき攻撃結果情報100は、取得部2020からアクセス可能なストレージデバイスに予め格納されている。この場合、取得部2020は、そのストレージデバイスから複数の攻撃結果情報100を読み出す。その他にも例えば、攻撃結果情報100は、攻撃結果情報100を生成したシステムによって送信された攻撃結果情報100を受信してもよい。その他にも例えば、ナレッジ生成装置2000自身が攻撃結果情報100を生成してもよい。
検出部2040は、コンピュータ環境への攻撃の成功に必要な環境条件を検出する(S106)。この決定は、取得した複数の攻撃結果情報100を比較することによって行われる。例えば、検出部2040は、攻撃構成に基づいて、複数の攻撃結果情報100をグループに分ける。具体的には、攻撃構成が互いに同じである複数の攻撃結果情報100が、同一のグループに分類される。そして、グループごとに、検出部2040は、そのグループに含まれる複数の攻撃結果情報100を互いに比較する。こうすることにより、検出部2040は、そのグループに対応する攻撃の達成に必要なコンピュータ環境の構成に関する1つ以上の条件を検出する。上述した比較によって検出されたコンピュータ環境の構成に関する条件は、コンピュータ環境として扱われる。なお、環境条件を検出するために取得した複数の攻撃結果情報100を比較する具体的な方法は、前述した方法に限定されない。
生成部2060は、選択ルール200に基づいて、ステップS104において検出された環境条件の中から、ナレッジ情報300に含めるべき環境条件を選択する(S106)。ナレッジ情報300に環境条件を含めるかどうかは、その環境条件に影響される攻撃の集合の特徴に基づいて決定される。なお、「攻撃が環境条件に影響される」とは、「その環境条件が有効の場合にはその攻撃が成功する一方で、その環境条件が無効の場合にはその攻撃が成功しない」ことを意味する。
以下、選択ルール200の例が記述される。例えば、各環境条件は、その環境条件に影響される攻撃の集合の特徴に基づいて、環境条件の複数のグループのうちの1つに分類される。この場合、挿入条件は、ナレッジ情報300に含められるべき環境条件の1つ以上のグループを表す。
生成部2060は、S106において選択された(ナレッジ情報300に含めるべきであると判定された)環境条件が含まれるナレッジ情報300を生成する(S108)。ナレッジ情報300の構成は、特定のものに限定されない。図14及び図15はナレッジ情報300の構成の例を示す。図14において、生成部2060は、選択された環境条件のリストを示す1つのナレッジ情報300を生成する。
実施形態2のナレッジ生成装置2000は、攻撃によって生じる問題であって一般化された態様で表されたものと共に攻撃の成功に必要な環境条件を示すナレッジ情報300を提供する。この一般化を実行する具体的な方法は、実施形態1に記述された通りである。実施形態2のナレッジ生成装置2000は、攻撃の集合の特徴に基づいてナレッジ情報300に含めるべき環境条件を絞り込む必要はない。
リスク評価の観点からは、攻撃によって生じる問題を一般化された態様で認識できることが好適である。実施形態2のナレッジ生成装置によれば、攻撃によって生じる問題を一般化された態様で示すナレッジ情報を得ることができる。そのため、実施形態2のナレッジ生成装置は、リスク評価に有用なナレッジを提供することができる。
図17は、実施形態2のナレッジ生成装置2000の機能構成の例を示すブロック図である。実施形態2のナレッジ生成装置2000は、取得部2020、検出部2040、及び第2生成部2080を有する。取得部2020は、複数の攻撃結果情報100を取得する。検出部2040は、複数の攻撃結果情報100を互いに比較することで、攻撃に影響を与える環境条件を検出する。第2生成部2080は、一般化問題及びその一般化問題に対応する環境条件を含むナレッジ情報300を生成する。
実施形態2のナレッジ生成装置2000のハードウエア構成は、実施形態1のナレッジ生成装置2000のハードウエア構成と同様に、図3で表されうる。しかしながら、実施形態2のストレージデバイス1080は、実施形態2のナレッジ生成装置2000の機能を実装するプログラムを格納する。
図18は、実施形態2のナレッジ生成装置2000によって実行される処理の流れを示すフローチャートである。取得部2020は、複数の攻撃結果情報100を取得する(S202)。検出部2040は、複数の攻撃結果情報100を互いに比較することにより、攻撃に影響を与える環境条件を検出する(S204)。少なくとも一つの環境条件に影響される各攻撃について、第2生成部2080は、変換ルール400に従って、攻撃結果情報100の攻撃結果を一般化問題に変換する(S206)。各一般化問題について、第2生成部2080は、その一般化問題とその一般化問題に対応する環境条件を含むナレッジ情報300を生成する(S208)。
(付記1)
少なくとも一つのプロセッサと、
命令が格納されているメモリとを有し、
前記少なくとも一つのプロセッサは、前記命令を実行することにより、
コンピュータ環境に対して実行される攻撃の構成と、前記コンピュータ環境の構成と、前記攻撃の結果とをそれぞれが示す複数の攻撃結果情報を取得し、
前記複数の攻撃結果情報の比較により、それぞれが前記攻撃の成功に必要な前記コンピュータ環境に関する条件である一つ以の環境条件を検出し、かつ、
前記検出された環境条件のうちの一部を含むナレッジ情報を生成し、前記検出された環境条件のうちの前記一部は選択ルールに基づいて選択され、前記選択ルールは、前記環境条件に影響される攻撃の集合の特徴に基づいて前記環境条件を選択するかどうかを決定するルールであること、
を実行するように構成されるナレッジ生成装置。
(付記2)
前記選択ルールは、前記環境条件が前記コンピュータ環境の通常の動作に必要である場合には、前記環境条件を前記ナレッジ情報に含めないように決定するルールを含む、付記1に記載のナレッジ生成装置。
(付記3)
前記攻撃の前記構成は、その攻撃を構成するエクスプロイトコード及びペイロードを含み、かつ、
前記環境条件に影響される前記攻撃の前記集合の前記特徴は、前記環境条件に影響される前記エクスプロイトコードの数と、前記環境条件に影響される前記ペイロードの数とで表される、付記1に記載のナレッジ生成装置。
(付記4)
前記選択ルールは、前記環境条件の一つ以上のグループを示し、
前記環境条件は、前記環境条件に影響される前記攻撃の前記集合の前記特徴に基づいて前記グループに分類され、
前記選択ルールに示される前記グループは、選択されるべき前記環境条件を示し、
前記ナレッジ情報の生成は、
前記検出された環境条件を前記グループに分類し、
前記選択ルールに示されるいずれか一つのグループに含まれる、前記検出された環境条件を選択し、かつ、
前記選択された環境条件が含まれる前記ナレッジ情報を生成することを含む、付記3に記載のナレッジ生成装置。
(付記5)
前記選択ルールは、前記環境条件の1つ以上のグループを示し、
前記環境条件は、前記環境条件に影響される前記攻撃の前記集合の前記特徴に基づいて前記グループに分類され、
前記選択ルールに示される前記グループは、選択されないべき前記環境条件を含み、
前記ナレッジ情報の生成は、
前記検出された環境条件を前記グループに分類し、
前記選択ルールに示されるいずれの前記グループにも含まれない、前記検出された環境条件を選択し、かつ、
前記選択された環境条件が含まれる前記ナレッジ情報を生成することを含む、付記3に記載のナレッジ生成装置。
(付記6)
前記選択ルールは、前記環境条件に影響される前記エクスプロイトコードの数の閾値を示し、
前記ナレッジ情報の生成は、
前記環境条件に影響される前記エクスプロイトコードの数が閾値以上である場合に、その検出された環境条件を選択し、かつ、
前記選択された環境条件が含まれる前記ナレッジ情報を生成することを含む、付記3に記載のナレッジ生成装置。
(付記7)
前記選択ルールは、前記環境条件に影響される前記エクスプロイトコードの数の第1閾値と、前記環境条件に影響される前記ペイロードの数の第2閾値とを示し、
前記ナレッジ情報の生成は、
前記環境条件に影響される前記エクスプロイトコードの数が前記第1閾値以上であり、なおかつ、前記環境条件に影響される前記ペイロードの数が前記第2閾値以上である場合に、その検出された環境条件を選択し、かつ、
前記選択された環境条件が含まれる前記ナレッジ情報を生成することを含む、付記3に記載のナレッジ生成装置。
(付記8)
前記ナレッジ情報の生成は、
前記選択された環境条件に影響される前記攻撃の前記結果から一般化された問題への変換を、前記攻撃の前記結果と前記一般化された問題との所定の対応関係に基づいて実行し、
各前記一般化された問題について、前記一般化された問題と、その結果がその一般化された問題に変換された前記攻撃に影響される前記選択された環境条件とが含まれる前記ナレッジ情報を生成することを含む、付記1から7いずれか一項に記載のナレッジ生成装置。
(付記9)
少なくとも一つのプロセッサと、
命令が格納されているメモリとを有し、
前記少なくとも一つのプロセッサは、前記命令を実行することにより、
コンピュータ環境に対して実行される攻撃の構成と、前記コンピュータ環境の構成と、前記攻撃の結果とをそれぞれが示す複数の攻撃結果情報を取得し、
前記複数の攻撃結果情報の比較により、それぞれが前記攻撃の成功に必要な前記コンピュータ環境に関する条件である一つ以の環境条件を検出し、
前記検出された環境条件に影響される前記攻撃の前記結果から一般化された問題への変換を、前記攻撃の前記結果と前記一般化された問題との所定の対応関係に基づいて実行し、かつ、
各前記一般化された問題について、前記一般化された問題と、その結果がその一般化された問題に変換された前記攻撃に影響される前記選択された環境条件とが含まれるナレッジ情報を生成すること、
を実行するように構成されるナレッジ生成装置。
(付記10)
コンピュータ環境に対して実行される攻撃の構成と、前記コンピュータ環境の構成と、前記攻撃の結果とをそれぞれが示す複数の攻撃結果情報を取得し、
前記複数の攻撃結果情報の比較により、それぞれが前記攻撃の成功に必要な前記コンピュータ環境に関する条件である一つ以の環境条件を検出し、かつ、
前記検出された環境条件のうちの一部を含むナレッジ情報を生成し、前記検出された環境条件のうちの前記一部は選択ルールに基づいて選択され、前記選択ルールは、前記環境条件に影響される攻撃の集合の特徴に基づいて前記環境条件を選択するかどうかを決定するルールであること、を含む、コンピュータによって実行される制御方法。
(付記11)
前記選択ルールは、前記環境条件が前記コンピュータ環境の通常の動作に必要である場合には、前記環境条件を前記ナレッジ情報に含めないように決定するルールを含む、付記10に記載の制御方法。
(付記12)
前記攻撃の前記構成は、その攻撃を構成するエクスプロイトコード及びペイロードを含み、かつ、
前記環境条件に影響される前記攻撃の前記集合の前記特徴は、前記環境条件に影響される前記エクスプロイトコードの数と、前記環境条件に影響される前記ペイロードの数とで表される、付記10に記載の制御方法。
(付記13)
前記選択ルールは、前記環境条件の一つ以上のグループを示し、
前記環境条件は、前記環境条件に影響される前記攻撃の前記集合の前記特徴に基づいて前記グループに分類され、
前記選択ルールに示される前記グループは、選択されるべき前記環境条件を示し、
前記ナレッジ情報の生成は、
前記検出された環境条件を前記グループに分類し、
前記選択ルールに示されるいずれか一つのグループに含まれる、前記検出された環境条件を選択し、かつ、
前記選択された環境条件が含まれる前記ナレッジ情報を生成することを含む、付記12に記載の制御方法。
(付記14)
前記選択ルールは、前記環境条件の1つ以上のグループを示し、
前記環境条件は、前記環境条件に影響される前記攻撃の前記集合の前記特徴に基づいて前記グループに分類され、
前記選択ルールに示される前記グループは、選択されないべき前記環境条件を含み、
前記ナレッジ情報の生成は、
前記検出された環境条件を前記グループに分類し、
前記選択ルールに示されるいずれの前記グループにも含まれない、前記検出された環境条件を選択し、かつ、
前記選択された環境条件が含まれる前記ナレッジ情報を生成することを含む、付記12に記載の制御方法。
(付記15)
前記選択ルールは、前記環境条件に影響される前記エクスプロイトコードの数の閾値を示し、
前記ナレッジ情報の生成は、
前記環境条件に影響される前記エクスプロイトコードの数が閾値以上である場合に、その検出された環境条件を選択し、かつ、
前記選択された環境条件が含まれる前記ナレッジ情報を生成することを含む、付記12に記載の制御方法。
(付記16)
前記選択ルールは、前記環境条件に影響される前記エクスプロイトコードの数の第1閾値と、前記環境条件に影響される前記ペイロードの数の第2閾値とを示し、
前記ナレッジ情報の生成は、
前記環境条件に影響される前記エクスプロイトコードの数が前記第1閾値以上であり、なおかつ、前記環境条件に影響される前記ペイロードの数が前記第2閾値以上である場合に、その検出された環境条件を選択し、かつ、
前記選択された環境条件が含まれる前記ナレッジ情報を生成することを含む、付記12に記載の制御方法。
(付記17)
前記ナレッジ情報の生成は、
前記選択された環境条件に影響される前記攻撃の前記結果から一般化された問題への変換を、前記攻撃の前記結果と前記一般化された問題との所定の対応関係に基づいて実行し、
各前記一般化された問題について、前記一般化された問題と、その結果がその一般化された問題に変換された前記攻撃に影響される前記選択された環境条件とが含まれる前記ナレッジ情報を生成することを含む、付記10から16いずれか一項に記載の制御方法。
(付記18)
コンピュータ環境に対して実行される攻撃の構成と、前記コンピュータ環境の構成と、前記攻撃の結果とをそれぞれが示す複数の攻撃結果情報を取得し、
前記複数の攻撃結果情報の比較により、それぞれが前記攻撃の成功に必要な前記コンピュータ環境に関する条件である一つ以の環境条件を検出し、
前記検出された環境条件に影響される前記攻撃の前記結果から一般化された問題への変換を、前記攻撃の前記結果と前記一般化された問題との所定の対応関係に基づいて実行し、かつ、
各前記一般化された問題について、前記一般化された問題と、その結果がその一般化された問題に変換された前記攻撃に影響される前記選択された環境条件とが含まれるナレッジ情報を生成すること、を含む、コンピュータによって実行される制御方法。
(付記19)
コンピュータ環境に対して実行される攻撃の構成と、前記コンピュータ環境の構成と、前記攻撃の結果とをそれぞれが示す複数の攻撃結果情報を取得し、
前記複数の攻撃結果情報の比較により、それぞれが前記攻撃の成功に必要な前記コンピュータ環境に関する条件である一つ以の環境条件を検出し、かつ、
前記検出された環境条件のうちの一部を含むナレッジ情報を生成し、前記検出された環境条件のうちの前記一部は選択ルールに基づいて選択され、前記選択ルールは、前記環境条件に影響される攻撃の集合の特徴に基づいて前記環境条件を選択するかどうかを決定するルールであること、をコンピュータに実行させるプログラムが格納されている、非一時的なコンピュータ可読記憶媒体。
(付記20)
前記選択ルールは、前記環境条件が前記コンピュータ環境の通常の動作に必要である場合には、前記環境条件を前記ナレッジ情報に含めないように決定するルールを含む、付記19に記載の記憶媒体。
(付記21)
前記攻撃の前記構成は、その攻撃を構成するエクスプロイトコード及びペイロードを含み、かつ、
前記環境条件に影響される前記攻撃の前記集合の前記特徴は、前記環境条件に影響される前記エクスプロイトコードの数と、前記環境条件に影響される前記ペイロードの数とで表される、付記19に記載の記憶媒体。
(付記22)
前記選択ルールは、前記環境条件の一つ以上のグループを示し、
前記環境条件は、前記環境条件に影響される前記攻撃の前記集合の前記特徴に基づいて前記グループに分類され、
前記選択ルールに示される前記グループは、選択されるべき前記環境条件を示し、
前記ナレッジ情報の生成は、
前記検出された環境条件を前記グループに分類し、
前記選択ルールに示されるいずれか一つのグループに含まれる、前記検出された環境条件を選択し、かつ、
前記選択された環境条件が含まれる前記ナレッジ情報を生成することを含む、付記21に記載の記憶媒体。
(付記23)
前記選択ルールは、前記環境条件の1つ以上のグループを示し、
前記環境条件は、前記環境条件に影響される前記攻撃の前記集合の前記特徴に基づいて前記グループに分類され、
前記選択ルールに示される前記グループは、選択されないべき前記環境条件を含み、
前記ナレッジ情報の生成は、
前記検出された環境条件を前記グループに分類し、
前記選択ルールに示されるいずれの前記グループにも含まれない、前記検出された環境条件を選択し、かつ、
前記選択された環境条件が含まれる前記ナレッジ情報を生成することを含む、付記21に記載の記憶媒体。
(付記24)
前記選択ルールは、前記環境条件に影響される前記エクスプロイトコードの数の閾値を示し、
前記ナレッジ情報の生成は、
前記環境条件に影響される前記エクスプロイトコードの数が閾値以上である場合に、その検出された環境条件を選択し、かつ、
前記選択された環境条件が含まれる前記ナレッジ情報を生成することを含む、付記21に記載の記憶媒体。
(付記25)
前記選択ルールは、前記環境条件に影響される前記エクスプロイトコードの数の第1閾値と、前記環境条件に影響される前記ペイロードの数の第2閾値とを示し、
前記ナレッジ情報の生成は、
前記環境条件に影響される前記エクスプロイトコードの数が前記第1閾値以上であり、なおかつ、前記環境条件に影響される前記ペイロードの数が前記第2閾値以上である場合に、その検出された環境条件を選択し、かつ、
前記選択された環境条件が含まれる前記ナレッジ情報を生成することを含む、付記21に記載の記憶媒体。
(付記26)
前記ナレッジ情報の生成は、
前記選択された環境条件に影響される前記攻撃の前記結果から一般化された問題への変換を、前記攻撃の前記結果と前記一般化された問題との所定の対応関係に基づいて実行し、
各前記一般化された問題について、前記一般化された問題と、その結果がその一般化された問題に変換された前記攻撃に影響される前記選択された環境条件とが含まれる前記ナレッジ情報を生成することを含む、付記19から25いずれか一項に記載の記憶媒体。
(付記27)
コンピュータ環境に対して実行される攻撃の構成と、前記コンピュータ環境の構成と、前記攻撃の結果とをそれぞれが示す複数の攻撃結果情報を取得し、
前記複数の攻撃結果情報の比較により、それぞれが前記攻撃の成功に必要な前記コンピュータ環境に関する条件である一つ以の環境条件を検出し、
前記検出された環境条件に影響される前記攻撃の前記結果から一般化された問題への変換を、前記攻撃の前記結果と前記一般化された問題との所定の対応関係に基づいて実行し、かつ、
各前記一般化された問題について、前記一般化された問題と、その結果がその一般化された問題に変換された前記攻撃に影響される前記選択された環境条件とが含まれるナレッジ情報を生成すること、をコンピュータに実行させるプログラムが格納されている非一時的なコンピュータ可読記憶媒体。
110 攻撃識別情報
120 攻撃構成
121 エクスプロイトコード
122 ペイロード
130 環境構成
131 OS
132 パッケージリスト
133 サービスリスト
134 ポートリスト
140 結果140
200 選択ルール200
300 ナレッジ情報
400 変換ルール
420 生記述
440 一般化問題
1000 コンピュータ
1020 バス
1040 プロセッサ
1060 メモリ
1080 ストレージデバイス
1100 入出力インタフェース
1120 ネットワークインタフェース
2000 ナレッジ生成装置2000
2020 取得部
2040 検出部
2060 生成部
2080 第2生成部
検出部2040は、コンピュータ環境への攻撃の成功に必要な環境条件を検出する(S106)。この検出は、取得した複数の攻撃結果情報100を比較することによって行われる。例えば、検出部2040は、攻撃構成に基づいて、複数の攻撃結果情報100をグループに分ける。具体的には、攻撃構成が互いに同じである複数の攻撃結果情報100が、同一のグループに分類される。そして、グループごとに、検出部2040は、そのグループに含まれる複数の攻撃結果情報100を互いに比較する。こうすることにより、検出部2040は、そのグループに対応する攻撃の達成に必要なコンピュータ環境の構成に関する1つ以上の条件を検出する。上述した比較によって検出されたコンピュータ環境の構成に関する条件は、環境条件として扱われる。なお、環境条件を検出するために取得した複数の攻撃結果情報100を比較する具体的な方法は、前述した方法に限定されない。
Claims (27)
- 少なくとも一つのプロセッサと、
命令が格納されているメモリとを有し、
前記少なくとも一つのプロセッサは、前記命令を実行することにより、
コンピュータ環境に対して実行される攻撃の構成と、前記コンピュータ環境の構成と、前記攻撃の結果とをそれぞれが示す複数の攻撃結果情報を取得し、
前記複数の攻撃結果情報の比較により、それぞれが前記攻撃の成功に必要な前記コンピュータ環境に関する条件である一つ以の環境条件を検出し、かつ、
前記検出された環境条件のうちの一部を含むナレッジ情報を生成し、前記検出された環境条件のうちの前記一部は選択ルールに基づいて選択され、前記選択ルールは、前記環境条件に影響される攻撃の集合の特徴に基づいて前記環境条件を選択するかどうかを決定するルールであること、
を実行するように構成されるナレッジ生成装置。 - 前記選択ルールは、前記環境条件が前記コンピュータ環境の通常の動作に必要である場合には、前記環境条件を前記ナレッジ情報に含めないように決定するルールを含む、請求項1に記載のナレッジ生成装置。
- 前記攻撃の前記構成は、その攻撃を構成するエクスプロイトコード及びペイロードを含み、かつ、
前記環境条件に影響される前記攻撃の前記集合の前記特徴は、前記環境条件に影響される前記エクスプロイトコードの数と、前記環境条件に影響される前記ペイロードの数とで表される、請求項1に記載のナレッジ生成装置。 - 前記選択ルールは、前記環境条件の一つ以上のグループを示し、
前記環境条件は、前記環境条件に影響される前記攻撃の前記集合の前記特徴に基づいて前記グループに分類され、
前記選択ルールに示される前記グループは、選択されるべき前記環境条件を示し、
前記ナレッジ情報の生成は、
前記検出された環境条件を前記グループに分類し、
前記選択ルールに示されるいずれか一つのグループに含まれる、前記検出された環境条件を選択し、かつ、
前記選択された環境条件が含まれる前記ナレッジ情報を生成することを含む、請求項3に記載のナレッジ生成装置。 - 前記選択ルールは、前記環境条件の1つ以上のグループを示し、
前記環境条件は、前記環境条件に影響される前記攻撃の前記集合の前記特徴に基づいて前記グループに分類され、
前記選択ルールに示される前記グループは、選択されないべき前記環境条件を含み、
前記ナレッジ情報の生成は、
前記検出された環境条件を前記グループに分類し、
前記選択ルールに示されるいずれの前記グループにも含まれない、前記検出された環境条件を選択し、かつ、
前記選択された環境条件が含まれる前記ナレッジ情報を生成することを含む、請求項3に記載のナレッジ生成装置。 - 前記選択ルールは、前記環境条件に影響される前記エクスプロイトコードの数の閾値を示し、
前記ナレッジ情報の生成は、
前記環境条件に影響される前記エクスプロイトコードの数が閾値以上である場合に、その検出された環境条件を選択し、かつ、
前記選択された環境条件が含まれる前記ナレッジ情報を生成することを含む、請求項3に記載のナレッジ生成装置。 - 前記選択ルールは、前記環境条件に影響される前記エクスプロイトコードの数の第1閾値と、前記環境条件に影響される前記ペイロードの数の第2閾値とを示し、
前記ナレッジ情報の生成は、
前記環境条件に影響される前記エクスプロイトコードの数が前記第1閾値以上であり、なおかつ、前記環境条件に影響される前記ペイロードの数が前記第2閾値以上である場合に、その検出された環境条件を選択し、かつ、
前記選択された環境条件が含まれる前記ナレッジ情報を生成することを含む、請求項3に記載のナレッジ生成装置。 - 前記ナレッジ情報の生成は、
前記選択された環境条件に影響される前記攻撃の前記結果から一般化された問題への変換を、前記攻撃の前記結果と前記一般化された問題との所定の対応関係に基づいて実行し、
各前記一般化された問題について、前記一般化された問題と、その結果がその一般化された問題に変換された前記攻撃に影響される前記選択された環境条件とが含まれる前記ナレッジ情報を生成することを含む、請求項1から7いずれか一項に記載のナレッジ生成装置。 - 少なくとも一つのプロセッサと、
命令が格納されているメモリとを有し、
前記少なくとも一つのプロセッサは、前記命令を実行することにより、
コンピュータ環境に対して実行される攻撃の構成と、前記コンピュータ環境の構成と、前記攻撃の結果とをそれぞれが示す複数の攻撃結果情報を取得し、
前記複数の攻撃結果情報の比較により、それぞれが前記攻撃の成功に必要な前記コンピュータ環境に関する条件である一つ以の環境条件を検出し、
前記検出された環境条件に影響される前記攻撃の前記結果から一般化された問題への変換を、前記攻撃の前記結果と前記一般化された問題との所定の対応関係に基づいて実行し、かつ、
各前記一般化された問題について、前記一般化された問題と、その結果がその一般化された問題に変換された前記攻撃に影響される前記選択された環境条件とが含まれるナレッジ情報を生成すること、
を実行するように構成されるナレッジ生成装置。 - コンピュータ環境に対して実行される攻撃の構成と、前記コンピュータ環境の構成と、前記攻撃の結果とをそれぞれが示す複数の攻撃結果情報を取得し、
前記複数の攻撃結果情報の比較により、それぞれが前記攻撃の成功に必要な前記コンピュータ環境に関する条件である一つ以の環境条件を検出し、かつ、
前記検出された環境条件のうちの一部を含むナレッジ情報を生成し、前記検出された環境条件のうちの前記一部は選択ルールに基づいて選択され、前記選択ルールは、前記環境条件に影響される攻撃の集合の特徴に基づいて前記環境条件を選択するかどうかを決定するルールであること、を含む、コンピュータによって実行される制御方法。 - 前記選択ルールは、前記環境条件が前記コンピュータ環境の通常の動作に必要である場合には、前記環境条件を前記ナレッジ情報に含めないように決定するルールを含む、請求項10に記載の制御方法。
- 前記攻撃の前記構成は、その攻撃を構成するエクスプロイトコード及びペイロードを含み、かつ、
前記環境条件に影響される前記攻撃の前記集合の前記特徴は、前記環境条件に影響される前記エクスプロイトコードの数と、前記環境条件に影響される前記ペイロードの数とで表される、請求項10に記載の制御方法。 - 前記選択ルールは、前記環境条件の一つ以上のグループを示し、
前記環境条件は、前記環境条件に影響される前記攻撃の前記集合の前記特徴に基づいて前記グループに分類され、
前記選択ルールに示される前記グループは、選択されるべき前記環境条件を示し、
前記ナレッジ情報の生成は、
前記検出された環境条件を前記グループに分類し、
前記選択ルールに示されるいずれか一つのグループに含まれる、前記検出された環境条件を選択し、かつ、
前記選択された環境条件が含まれる前記ナレッジ情報を生成することを含む、請求項12に記載の制御方法。 - 前記選択ルールは、前記環境条件の1つ以上のグループを示し、
前記環境条件は、前記環境条件に影響される前記攻撃の前記集合の前記特徴に基づいて前記グループに分類され、
前記選択ルールに示される前記グループは、選択されないべき前記環境条件を含み、
前記ナレッジ情報の生成は、
前記検出された環境条件を前記グループに分類し、
前記選択ルールに示されるいずれの前記グループにも含まれない、前記検出された環境条件を選択し、かつ、
前記選択された環境条件が含まれる前記ナレッジ情報を生成することを含む、請求項12に記載の制御方法。 - 前記選択ルールは、前記環境条件に影響される前記エクスプロイトコードの数の閾値を示し、
前記ナレッジ情報の生成は、
前記環境条件に影響される前記エクスプロイトコードの数が閾値以上である場合に、その検出された環境条件を選択し、かつ、
前記選択された環境条件が含まれる前記ナレッジ情報を生成することを含む、請求項12に記載の制御方法。 - 前記選択ルールは、前記環境条件に影響される前記エクスプロイトコードの数の第1閾値と、前記環境条件に影響される前記ペイロードの数の第2閾値とを示し、
前記ナレッジ情報の生成は、
前記環境条件に影響される前記エクスプロイトコードの数が前記第1閾値以上であり、なおかつ、前記環境条件に影響される前記ペイロードの数が前記第2閾値以上である場合に、その検出された環境条件を選択し、かつ、
前記選択された環境条件が含まれる前記ナレッジ情報を生成することを含む、請求項12に記載の制御方法。 - 前記ナレッジ情報の生成は、
前記選択された環境条件に影響される前記攻撃の前記結果から一般化された問題への変換を、前記攻撃の前記結果と前記一般化された問題との所定の対応関係に基づいて実行し、
各前記一般化された問題について、前記一般化された問題と、その結果がその一般化された問題に変換された前記攻撃に影響される前記選択された環境条件とが含まれる前記ナレッジ情報を生成することを含む、請求項10から16いずれか一項に記載の制御方法。 - コンピュータ環境に対して実行される攻撃の構成と、前記コンピュータ環境の構成と、前記攻撃の結果とをそれぞれが示す複数の攻撃結果情報を取得し、
前記複数の攻撃結果情報の比較により、それぞれが前記攻撃の成功に必要な前記コンピュータ環境に関する条件である一つ以の環境条件を検出し、
前記検出された環境条件に影響される前記攻撃の前記結果から一般化された問題への変換を、前記攻撃の前記結果と前記一般化された問題との所定の対応関係に基づいて実行し、かつ、
各前記一般化された問題について、前記一般化された問題と、その結果がその一般化された問題に変換された前記攻撃に影響される前記選択された環境条件とが含まれるナレッジ情報を生成すること、を含む、コンピュータによって実行される制御方法。 - コンピュータ環境に対して実行される攻撃の構成と、前記コンピュータ環境の構成と、前記攻撃の結果とをそれぞれが示す複数の攻撃結果情報を取得し、
前記複数の攻撃結果情報の比較により、それぞれが前記攻撃の成功に必要な前記コンピュータ環境に関する条件である一つ以の環境条件を検出し、かつ、
前記検出された環境条件のうちの一部を含むナレッジ情報を生成し、前記検出された環境条件のうちの前記一部は選択ルールに基づいて選択され、前記選択ルールは、前記環境条件に影響される攻撃の集合の特徴に基づいて前記環境条件を選択するかどうかを決定するルールであること、をコンピュータに実行させるプログラムが格納されている、非一時的なコンピュータ可読記憶媒体。 - 前記選択ルールは、前記環境条件が前記コンピュータ環境の通常の動作に必要である場合には、前記環境条件を前記ナレッジ情報に含めないように決定するルールを含む、請求項19に記載の記憶媒体。
- 前記攻撃の前記構成は、その攻撃を構成するエクスプロイトコード及びペイロードを含み、かつ、
前記環境条件に影響される前記攻撃の前記集合の前記特徴は、前記環境条件に影響される前記エクスプロイトコードの数と、前記環境条件に影響される前記ペイロードの数とで表される、請求項19に記載の記憶媒体。 - 前記選択ルールは、前記環境条件の一つ以上のグループを示し、
前記環境条件は、前記環境条件に影響される前記攻撃の前記集合の前記特徴に基づいて前記グループに分類され、
前記選択ルールに示される前記グループは、選択されるべき前記環境条件を示し、
前記ナレッジ情報の生成は、
前記検出された環境条件を前記グループに分類し、
前記選択ルールに示されるいずれか一つのグループに含まれる、前記検出された環境条件を選択し、かつ、
前記選択された環境条件が含まれる前記ナレッジ情報を生成することを含む、請求項21に記載の記憶媒体。 - 前記選択ルールは、前記環境条件の1つ以上のグループを示し、
前記環境条件は、前記環境条件に影響される前記攻撃の前記集合の前記特徴に基づいて前記グループに分類され、
前記選択ルールに示される前記グループは、選択されないべき前記環境条件を含み、
前記ナレッジ情報の生成は、
前記検出された環境条件を前記グループに分類し、
前記選択ルールに示されるいずれの前記グループにも含まれない、前記検出された環境条件を選択し、かつ、
前記選択された環境条件が含まれる前記ナレッジ情報を生成することを含む、請求項21に記載の記憶媒体。 - 前記選択ルールは、前記環境条件に影響される前記エクスプロイトコードの数の閾値を示し、
前記ナレッジ情報の生成は、
前記環境条件に影響される前記エクスプロイトコードの数が閾値以上である場合に、その検出された環境条件を選択し、かつ、
前記選択された環境条件が含まれる前記ナレッジ情報を生成することを含む、請求項21に記載の記憶媒体。 - 前記選択ルールは、前記環境条件に影響される前記エクスプロイトコードの数の第1閾値と、前記環境条件に影響される前記ペイロードの数の第2閾値とを示し、
前記ナレッジ情報の生成は、
前記環境条件に影響される前記エクスプロイトコードの数が前記第1閾値以上であり、なおかつ、前記環境条件に影響される前記ペイロードの数が前記第2閾値以上である場合に、その検出された環境条件を選択し、かつ、
前記選択された環境条件が含まれる前記ナレッジ情報を生成することを含む、請求項21に記載の記憶媒体。 - 前記ナレッジ情報の生成は、
前記選択された環境条件に影響される前記攻撃の前記結果から一般化された問題への変換を、前記攻撃の前記結果と前記一般化された問題との所定の対応関係に基づいて実行し、
各前記一般化された問題について、前記一般化された問題と、その結果がその一般化された問題に変換された前記攻撃に影響される前記選択された環境条件とが含まれる前記ナレッジ情報を生成することを含む、請求項19から25いずれか一項に記載の記憶媒体。 - コンピュータ環境に対して実行される攻撃の構成と、前記コンピュータ環境の構成と、前記攻撃の結果とをそれぞれが示す複数の攻撃結果情報を取得し、
前記複数の攻撃結果情報の比較により、それぞれが前記攻撃の成功に必要な前記コンピュータ環境に関する条件である一つ以の環境条件を検出し、
前記検出された環境条件に影響される前記攻撃の前記結果から一般化された問題への変換を、前記攻撃の前記結果と前記一般化された問題との所定の対応関係に基づいて実行し、かつ、
各前記一般化された問題について、前記一般化された問題と、その結果がその一般化された問題に変換された前記攻撃に影響される前記選択された環境条件とが含まれるナレッジ情報を生成すること、をコンピュータに実行させるプログラムが格納されている非一時的なコンピュータ可読記憶媒体。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2020/021308 WO2021240770A1 (en) | 2020-05-29 | 2020-05-29 | Knowledge generation apparatus, control method, and storage device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2023527753A true JP2023527753A (ja) | 2023-06-30 |
JP7460242B2 JP7460242B2 (ja) | 2024-04-02 |
Family
ID=78723286
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022570415A Active JP7460242B2 (ja) | 2020-05-29 | 2020-05-29 | ナレッジ生成装置、制御方法、及びプログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US20230214496A1 (ja) |
JP (1) | JP7460242B2 (ja) |
WO (1) | WO2021240770A1 (ja) |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6116524B2 (ja) | 2014-06-05 | 2017-04-19 | 株式会社日立システムズ | プログラム解析装置、プログラム解析方法及びプログラム解析システム |
JP6454617B2 (ja) | 2015-07-31 | 2019-01-16 | 株式会社日立製作所 | マルウェア動作環境推定方法、その装置およびシステム |
WO2019093059A1 (ja) | 2017-11-10 | 2019-05-16 | 国立研究開発法人産業技術総合研究所 | 脅威分析装置、脅威分析方法、及び脅威分析プログラム |
-
2020
- 2020-05-29 US US17/927,640 patent/US20230214496A1/en active Pending
- 2020-05-29 JP JP2022570415A patent/JP7460242B2/ja active Active
- 2020-05-29 WO PCT/JP2020/021308 patent/WO2021240770A1/en active Application Filing
Also Published As
Publication number | Publication date |
---|---|
JP7460242B2 (ja) | 2024-04-02 |
US20230214496A1 (en) | 2023-07-06 |
WO2021240770A1 (en) | 2021-12-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10956477B1 (en) | System and method for detecting malicious scripts through natural language processing modeling | |
EP3716110B1 (en) | Computer-security event clustering and violation detection | |
US11899786B2 (en) | Detecting security-violation-associated event data | |
Zarni Aung | Permission-based android malware detection | |
RU2706896C1 (ru) | Система и способ выявления вредоносных файлов с использованием модели обучения, обученной на одном вредоносном файле | |
US10015185B1 (en) | Risk score aggregation for automated detection of access anomalies in a computer network | |
Khasawneh et al. | Ensemble learning for low-level hardware-supported malware detection | |
EP3716111B1 (en) | Computer-security violation detection using coordinate vectors | |
CN109145600B (zh) | 使用静态分析元素检测恶意文件的***和方法 | |
US8479296B2 (en) | System and method for detecting unknown malware | |
CN110383278A (zh) | 用于检测恶意计算事件的***和方法 | |
Khasawneh et al. | EnsembleHMD: Accurate hardware malware detectors with specialized ensemble classifiers | |
US9762593B1 (en) | Automatic generation of generic file signatures | |
US10853489B2 (en) | Data-driven identification of malicious files using machine learning and an ensemble of malware detection procedures | |
US8626675B1 (en) | Systems and methods for user-specific tuning of classification heuristics | |
US11669779B2 (en) | Prudent ensemble models in machine learning with high precision for use in network security | |
Yerima et al. | Android malware detection: An eigenspace analysis approach | |
JP2017142744A (ja) | 情報処理装置、ウィルス検出方法及びプログラム | |
Jiang et al. | Android malware family classification based on sensitive opcode sequence | |
KR20200045529A (ko) | 신분 인증 방법, 장치, 서버 및 컴퓨터 판독 가능 매체 | |
Pathak et al. | Study on decision tree and KNN algorithm for intrusion detection system | |
Falor et al. | A deep learning approach for detection of SQL injection attacks using convolutional neural networks | |
Dehkordy et al. | DroidTKM: Detection of trojan families using the KNN classifier based on manhattan distance metric | |
Fernando et al. | Network attacks identification using consistency based feature selection and self organizing maps | |
KR20180133726A (ko) | 특징 벡터를 이용하여 데이터를 분류하는 장치 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230208 Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221117 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20221117 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20231114 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240207 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240220 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240314 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7460242 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |