JP5972401B2 - 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム - Google Patents
攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム Download PDFInfo
- Publication number
- JP5972401B2 JP5972401B2 JP2014557329A JP2014557329A JP5972401B2 JP 5972401 B2 JP5972401 B2 JP 5972401B2 JP 2014557329 A JP2014557329 A JP 2014557329A JP 2014557329 A JP2014557329 A JP 2014557329A JP 5972401 B2 JP5972401 B2 JP 5972401B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- information
- analysis
- log
- search
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
このように、APTでは、複数の攻撃が、時間をおいて行われる。
また、APT対策の方法の一つとして自動的にログ分析する方法がある。自動的にログ分析する方法は、計算機、サーバ、ルータ等のネットワーク機器、ファイアウォール、侵入検知システム等のセキュリティ機器等のログを分析し、相互の相関関係を調べる、あるいはログから異常な記録を見つける。自動的にログ分析する方法は、このような分析をすることにより、APTを検知する、あるいは経過を観察する方法である。
監視対象ネットワークに接続される機器のログ情報を収集するログ収集装置と、
前記監視対象ネットワークに対する攻撃を検知し、検知した攻撃が発生した攻撃発生時期を含む警告情報を送信する検知装置と、
前記監視対象ネットワークに対して発生すると予測される複数の攻撃を示す攻撃シナリオ情報を記憶し、前記検知装置から受信した前記警告情報と前記攻撃シナリオ情報とに基づいて、前記攻撃発生時期の前後の時期において発生すると予測される攻撃の予測発生時期を算出し、算出した前記予測発生時期の前記ログ情報を分析する要求であるスケジュール分析要求を送信する連携装置と、
前記連携装置から送信された前記スケジュール分析要求に基づいて、前記ログ収集装置により収集された前記ログ情報のうち、前記予測発生時期の前記ログ情報を分析する分析装置とを備える。
図1は、本実施の形態に係るログ分析連携システム1000の全体構成を示す図である。図1を用いて、本実施の形態に係るログ分析連携システム1000(攻撃分析システムの一例)の全体構成と動作の概要について説明する。
ロガー901は、監視対象のPCやサーバなどの計算機904a、ルータなどのネットワーク機器904b、ファイアウォールや侵入検知装置などのセキュリティ機器904c、スマートフォンやタブレットPCなどのモバイル機器905と接続する。
ロガー901は、計算機904a、ネットワーク機器904b、セキュリティ機器904c、モバイル機器905等のログを収集、蓄積する。
検知ルール912は、攻撃などの異常を検知するためのログ分析のルールである。検知ルール912は、例えば、相関分析のルールである。
ログ分析連携装置1は、SIEM装置902とログ分析装置903とを連携する。
ログ分析連携装置1は、攻撃シナリオDB1013、資産DB1015、セキュリティ対策DB1014を備える。
以下に、図1を用いて、SIEM装置902が異常を検知した場合の動作(攻撃分析連携方法)の一例について説明する。以下の(1)〜(8)は、図1の(1)〜(8)に対応する。
(2)SIEM装置902は、攻撃bを検知したことを警告情報1201’として、ログ分析連携装置1に通知する(警告情報送信処理,警告情報送信工程)。ログ分析連携装置1は、警告情報を受信する(警告情報受信処理,警告情報受信工程)。
(3)ログ分析連携装置1は、攻撃bの次に起こると予測される攻撃c(次攻撃)を、DBから検索する。ログ分析連携装置1は、攻撃bの後に起こる攻撃cの発生の可能性を、攻撃シナリオDB1013、資産DB1015、セキュリティ対策DB1014から判断する。攻撃シナリオDB1013、資産DB1015、セキュリティ対策DB1014は、例えば、ログ分析連携装置1の備える記憶装置1’に記憶されている。
(5)ログ分析装置903は、スケジュール検索915の依頼にもとづき、ロガー901に対してスケジュール検索916を実行する。
(6)ログ分析装置903は、スケジュール検索916の検索結果917を受信する。
(7)ログ分析装置903は、受信した検索結果917を検索結果918として、ログ分析連携装置1へ送信する。
ログ分析連携装置1は、(7)の結果、攻撃cが検出されなかった場合、攻撃cの発生時期が攻撃シナリオ1104と合っていない可能性があると判断する。そして、ログ分析連携装置1は、スケジュール検索915のタイミングを変更し、さらに、ログ分析装置903へスケジュール検索915を発行する。
ログ分析連携装置1は、(7)の結果、攻撃cが検出された場合は、攻撃cが検索されたことをGUI上でオペレータに通知する。オペレータは、この通知を受け、ログ分析装置903を用いてさらに詳しく攻撃cの痕跡などを分析する。
ログ分析装置903は、ログ分析連携装置1から通知されたスケジュール収集915’を、スケジュール収集916’としてロガー901へ通知する((5)’)。
ログ分析装置903は、ロガー901から収集結果917’を受信すると、収集結果918’としてログ分析連携装置1へ送信する((7)’)。
この後、ログ分析連携装置1、ログ分析装置903、ロガー901は、上記(4)〜(7)を実行する。
図3を用いて、本実施の形態に係るログ分析連携装置1の構成を説明する。本実施の形態では、ログ分析連携装置1は、スケジュール収集部108、収集スケジュール条件1204、外部連携部(収集)109は使用しない。
また、ログ分析連携装置1は、攻撃シナリオDB1013、セキュリティ対策DB1014、資産DB1015を記憶装置に記憶する。
警告解釈部102は、データ1101を入力し、警告情報1102と資産検索情報1108を出力する。
攻撃シナリオDB1013は、監視対象ネットワークに対して発生すると予測される複数の攻撃の各々を識別する複数の攻撃識別子を含む攻撃シナリオ情報であって、複数の攻撃の発生する順番と、順番が連続する2つの攻撃の発生間隔とを含む攻撃シナリオ情報を予め記憶装置に記憶する攻撃シナリオ情報記憶部の一例である。
セキュリティ対策検索部105は、関連攻撃情報1105を入力し、関連攻撃検索情報1106を用いて、セキュリティ対策DB1014を検索する。そして、セキュリティ対策検索部105は、その検索結果である、対策有無1107’を入力する。セキュリティ対策検索部105は、対策有無1107’を攻撃可否判定部107へ出力する。
資産DB1015は、PCやサーバなどの、資産ID、IPアドレス、使用OSやアプリケーション、パッチ適用状況などの情報を保存する。
次に、図1、図3〜図7を用いて、ログ分析連携装置1の動作について説明する。
警告情報1201’は、図4に示す警告情報1201が、フォーマット化された情報である。図4に示すように、警告情報1201は、以下の内容から構成される。
(a)日時:攻撃が発生した日時。
(b)攻撃ID:攻撃を識別する情報。
(c)攻撃種別:攻撃の種別(例えば、DoS(Denial・of・Service)攻撃、権限昇格など)。
(d)脆弱性ID:攻撃がソフトウェアなどの脆弱性を悪用することで成り立つ場合、その識別情報(例えば、CVE番号(脆弱性識別番号))。
(e)攻撃元情報:SourceIP/Port、資産IDなど攻撃元に関する情報。
(f)攻撃先情報:DestinationIP/Port、資産IDなど攻撃先に関する情報。
入力部101は、警告情報1201がフォーマット化された情報である警告情報1201’から、パケットのボディ部であるデータ1101を取り出し、警告解釈部102へ出力する。すなわち、データ1101とは、警告情報1201のことである。
このとき、攻撃シナリオDB検索部103は、シナリオ抽出条件1202を入力する。シナリオ抽出条件1202とは、攻撃シナリオDB1013から検索する攻撃シナリオ1104の数を指定する条件である。シナリオ抽出条件1202としては、例えば、1つ、複数、あるいは指定された数を条件とする。ここでは、シナリオ抽出条件1202として、攻撃シナリオDB1013から検索する攻撃シナリオ1104の数は「1つ」として指定するものとする。
攻撃シナリオDB1013では、攻撃識別情報1103に基づいて、攻撃ID若しく脆弱性IDが含まれる攻撃シナリオを検索する。
1104_e1:攻撃シナリオ要素1→1104_s1:間隔1→1104_e2:攻撃シナリオ要素2→1104_s2:間隔2→1104_e3:攻撃シナリオ要素3。
それぞれの攻撃シナリオ要素1104_ei(i=1,2,3)は、攻撃識別情報1104_a、攻撃情報1104_b、対策識別情報1104_c、対策情報1104_dから構成される。これらの情報は、攻撃を識別する攻撃識別子の一例である。
(a)攻撃識別情報1104_a:攻撃ID、攻撃種別、脆弱性ID。
(b)攻撃情報1104_b:影響を受ける製品(製品ID、バージョン情報、パッチID)、必要とする実行権限、キーワード、その他の情報。
(c)対策識別情報1104_c:対策ID。
(d)対策情報1104_d:パッチID、回避策ID、回避策内容、その他の情報。
なお、攻撃シナリオ1104を構成する攻撃シナリオ要素1104_eiは1つ以上であり、2つでも、3つでも、それ以上でも構わない。
攻撃シナリオDB検索部103は、上記の様にして検索された結果を、攻撃シナリオ1104として、攻撃シナリオDB1013から抽出する。
(a)通知された攻撃の以降に発生する攻撃:n個(1〜all)、又は、通知された攻撃の以前に発生する攻撃:m個(1〜all)
関連攻撃抽出部104により抽出される攻撃は、通知された攻撃の前後の時期において発生すると予測される分析対象攻撃の一例である。
攻撃シナリオDB検索部103は、図5に示す攻撃シナリオ1104を攻撃シナリオDB1013から抽出する。
そして、関連攻撃抽出部104は、関連攻撃抽出条件1203である「通知された攻撃の以降に発生する攻撃:1個」を入力し、攻撃シナリオ1104から攻撃シナリオ要素2:1104_e2(通知された攻撃)の以降の攻撃として「攻撃シナリオ要素3:1104_e3」を抽出し、「間隔」として「間隔2:1104_s2」を抽出する。
すなわち、関連攻撃抽出部104が抽出した関連攻撃情報1105は、「通知された攻撃の以降に発生する攻撃」(次攻撃)(分析対象攻撃)として「攻撃シナリオ要素3:1104_e3」、「間隔」として「間隔2:1104_s2」(次発生間隔)である。
以上のように、関連攻撃抽出部104は、関連攻撃情報1105を抽出する。
セキュリティ対策検索部105は、入力した関連攻撃情報1105を用いて、セキュリティ対策DB1014を検索する。具体的には、セキュリティ対策検索部105は、入力した関連攻撃情報1105に含まれる「攻撃シナリオ要素3:1104_e3」、「間隔2:1104_s2」を用いて、セキュリティ対策DB1014を検索する。
図6を用いて、対策情報1107の構成について説明する。
攻撃識別情報1107_a、攻撃情報1107_b、対策識別情報1107_c、対策情報1107_d、対策実施情報1107_eの内容は、以下の情報である。
(a)攻撃識別情報1107_a:攻撃ID、攻撃種別、脆弱性ID。
(b)攻撃情報1107_b:影響を受ける製品(製品ID、バージョン情報、パッチID)、必要とする実行権限、キーワード、その他の情報。
(c)対策識別情報1107_c:対策ID。
(d)対策情報1107_d:パッチID、回避策ID、回避策内容、その他の情報。
(e)対策実施情報1107_e:対策実施の有無(現在、侵入検知装置などで対策を実施しているか否か)。
セキュリティ対策検索部105は、セキュリティ対策DB1014から抽出した対策有無1107’を攻撃可否判定部107へ出力する。
資産検索情報1108は、警告情報1102(図4の警告情報1201に相当)の一部の情報であり、攻撃先情報が該当する。
攻撃先情報は、DestinationIP/Port、資産IDなど攻撃先に関する情報である。
資産DB検索部106は、資産検索情報1108を資産DB1015に出力する。
資産DB検索部106は、資産検索情報1108(資産を特定できる情報)を用いて、資産DB1015を検索する。
図7を用いて、資産情報1109の構成について説明する。
(a)資産識別情報1109_a:資産ID、IPアドレス、MACアドレス、ユーザID。
(b)資産OS情報1109_b:OS(製品ID、バージョン情報)、適用パッチ(パッチID)/適用回避策(回避策ID)。
(c)資産アプリ情報1109_c:アプリ(製品ID、バージョン情報)、適用パッチ(パッチID)/適用回避策(回避策ID)。
(d)資産実行情報1109_d:実行権限。
(e)資産セキュリティ施策情報1109_e:セキュリティ施策(セキュリティ設定、ソフトなど)。
攻撃可否判定部107は、攻撃可否判定処理を実行することにより、ログ検索情報1113を出力する。
具体的には、攻撃可否判定部107は、通知された攻撃(攻撃シナリオ要素2:1104_e2)の次の攻撃(攻撃シナリオ要素3:1104_e3)の攻撃識別情報1104_aで識別される攻撃(判定対象攻撃)が侵入検知装置などで対策されているか否かについて、対策有無1107’を用いて、処理装置により判断する。
この処理は、以下のように実行される。
資産情報1109には、資産OS情報1109_b(OS(製品ID、バージョン情報)、適用パッチ(パッチID)/適用回避策(回避策ID)、資産アプリ情報1109_c(アプリ(製品ID、バージョン情報)、適用パッチ(パッチID)/適用回避策(回避策ID)が含まれている。資産OS情報1109_b、資産アプリ情報1109_cにおける適用回避策(回避策ID)は、施策設定でもよい。
つまり、「製品ID、バージョン情報、パッチID」は、攻撃情報1104_b、資産OS情報1109_b、資産アプリ情報1109_cの何れにも含まれる情報であるから、該当するものがあるか無いかは、製品ID、バージョン情報、パッチIDのマッチングを取れば判断できる。
これは、関連攻撃情報1105(攻撃シナリオ要素1104_eに該当)に含まれる、対策情報1104_dの情報において、パッチIDが存在するか否かで判断する。
これは、関連攻撃情報1105(攻撃シナリオ要素1104_eに該当)に含まれる、対策情報1104_dの情報におけるパッチIDが、資産情報1109の、資産OS情報1109_b或いは資産アプリ情報1109_cにおけるパッチIDに一致するか否かで判断する。
これは、関連攻撃情報1105(攻撃シナリオ要素1104_eに該当)に含まれる、対策情報1104_dの情報において、回避策IDが存在するか否かで判断する。
これは、資産情報1109に含まれる資産OS情報1109_b、又は、資産アプリ情報1109_cにおいて、適用回避策(回避策ID)がS107_5において識別した回避策IDと一致するか否かで判断する。
これは、攻撃シナリオ要素1104_eに含まれる攻撃情報1104_bの必要とする実行権限と、資産情報1109の資産実行情報1109_dの実行権限とが一致するか否かを処理装置により判定すればよい。
攻撃シナリオ要素1104_eに含まれる攻撃情報1104_b、及び、資産情報1109の資産実行情報1109_dに実行権限を実装する場合においては、実行権限の種類別にID(識別子)を付与することにより、実行権限の比較が容易となる。
また、S107_9において、攻撃可否判定部107は、「攻撃は成功しない」という判断をする。
以上で、攻撃可否判定部107による攻撃可否判定処理の説明を終わる。
攻撃可否判定部107は、攻撃が成功する、と判断した場合、ログ検索情報1113を生成し、スケジュール検索部1010へ出力する。
攻撃可否判定部107は、関連攻撃情報1105における「間隔2:1104_s2」から、次に攻撃シナリオ要素3が発生する時期を計算する。例えば、警告情報1201において、通知された攻撃(攻撃シナリオ要素2)の日時(攻撃発生日時)が「2012/09/24,09:00:00」であり、「間隔2:1104_s2」が「24時間」であれば、「2012/09/25,09:00:00」が攻撃発生予想日時として算出される。
判定対象攻撃では、ファイアウォールログで一部denyが発生すると仮定する。この情報は、攻撃シナリオ要素3の構成要素である攻撃情報1104_bのキーワードに記録されているものとする。
(a)検索条件:「攻撃発生予想日時」and「IPアドレス(該当資産のもの)が宛先」and「キーワード(ファイアウォール、deny)」
(b)検索対象ログ:ファイアウォールログ
判定対象攻撃では、OSのログでレジストリの書き換えが発生すると仮定する。この情報は、攻撃シナリオ要素3の構成要素である攻撃情報1104_bに記録されている。
(a)検索条件:「攻撃発生予想日時」and「(「IPアドレス」or「MACアドレス」or「資産ID」)(何れも該当資産のもの)」and「キーワード(OS,registry,modify)」。
(b)検索対象ログ:該当資産のログ(OS、アプリなど)。
ログ検索情報1113は、上述したファイアウォールログ検索命令、資産ログ検索命令等である。
攻撃可否判定部107は、生成したログ検索情報1113を、スケジュール検索部1010に出力する。
さらに、スケジュール検索部1010は、検索スケジュール条件1205を入力する。
検索スケジュール条件1205は、スケジュールによりログ分析装置903で検索を行う場合の条件を指定するものである。例えば、攻撃発生予想日時から、1時間にわたり、ログを検索するなどの条件を指定できる。
ここでは、検索スケジュール条件1205では何も指定しないとする。
(メッセージ)「2012/09/25,09:00:00に、資産Xにおいて、攻撃3が検知されました」
攻撃3は、攻撃シナリオ要素3に対応する攻撃の情報であり、攻撃シナリオにしたがって、攻撃発生予想日時に発生が予想されたものである。資産Xは、攻撃シナリオ要素2の攻撃を受けた資産である。
上記のメッセージは、ログ検索情報1113から生成可能である。
出力部1012は、検索結果1116を検知結果1210として、ログ分析連携装置1の表示画面のGUI等に表示する。
本実施の形態では、主に、実施の形態1との差異について説明する。
図9は、本実施の形態に係るログ分析連携装置1の構成及び動作の概要を示す図である。図9は、図1に対応する図であり、図1と同様の機能構成については同一の符号を付し、その説明を省略する。
(a)収集条件:攻撃発生予想日時。
(b)検索対象ログ:「IPアドレス」or「MACアドレス」or「資産ID」(何れも該当資産のもの)
攻撃可否判定部107は、上記のようなログ収集命令をログ収集情報1110として生成する。
(a)収集条件:攻撃発生予想日時プラスマイナス1時間。
(b)検索対象ログ:「IPアドレス」or「MACアドレス」or「資産ID」(何れも該当資産のもの)。
本実施の形態では、主に、実施の形態1,2との差異について図9を用いて説明する。
実施の形態1では、検索スケジュール条件1205には、何も指定しない場合について説明した。本実施の形態では、検索スケジュール条件1205として、例えば、以下のように指定することで検索のバリエーションを増やすことができる態様について説明する。
これらの指定は、スケジュール検索部107により、ログ検索情報1113の検索条件に反映され、検索命令1114が生成される。
例えば、スケジュール検索部1010は、「1度目の検索結果1115においてエントリが検索されなかった場合、m時間おきに、n回、同様のスケジュール検索を行う」と指定された検索スケジュール条件1205を入力する。この場合、スケジュール検索部1010は、検索条件の検索日時に「m時間おき・n回」という条件を反映し、検索命令1114を生成する。
具体的には、検索スケジュール条件1205に「1度目の検索結果1115においてエントリが検索されなかった場合、1時間おきに、2回、同様のスケジュール検索を行う」と指定された場合、以下の(a)〜(c)のスケジュール検索が実行される。
(a)最初の検索における検索日時:2012/09/25,09:00:00。
(b)2回目の検索における検索日時:2012/09/25,10:00:00。
(c)3回目の検索における検索日時:2012/09/25,11:00:00。
「間隔1:1104_s1」が「24時間」であったとする。この情報を利用し、例えば、検索スケジュール条件1205には、警告情報1201’における日時(攻撃発生日時:2012/09/24,09:00:00)よりも24時間前を検索日時として指定する。つまり、検索スケジュール条件1205には、「2012/09/23,09:00:00を検索する」と指定する。
また、検索に用いるキーワードなどの指定は、実施の形態1と同様の考え方であり、攻撃シナリオ要素1:1104_e1(前段の攻撃)から引用する。
攻撃シナリオDB検索部103、関連攻撃抽出部104、資産DB検索部106、攻撃可否判定部107は、前攻撃情報取得部の一例である。
本実施の形態では、主に、実施の形態1〜3との差異について説明する。
実施の形態1〜3において説明した機能構成と同様の機能構成については同一の符号を付し、その説明を省略する場合がある。
「パスワードハッシュによる成りすましによる不正アクセス」とは、次のような攻撃をいう。
これは、パスワードをハッシュで変換した値を認証で用いる認証方式が多いことを悪用している。ハッカーは、このパスワードハッシュを盗み、悪用しようとするが、一般的には、OSが管理者権限で動いていないと、マルウェアがパスワードハッシュを盗むことができないとされる。
(a)攻撃識別情報1104_a:「攻撃ID=1234」、「攻撃種別=9(パスワードハッシュによる成りすましによる不正アクセス)」、「脆弱性ID=無し」。
(b)攻撃情報1104_b:「影響を受ける製品(製品ID=OS_○○○、バージョン情報=ver1、パッチID=1,2,3,4,5)」、「必要とする実行権限=管理者」、「キーワード=無し」、「その他情報=無し」。
(c)対策識別情報ID1104_c:「対策ID=1234’」。
(d)対策情報1104_d:「パッチID=無し」、「回避策ID=789」、「回避策内容(管理者権限での実行を止める)」、「その他情報=無し」。
攻撃識別情報1104_aの攻撃種別には、「パスワードハッシュによる成りすましによる不正アクセス」を識別するIDである「9」が付与されている。
OSのパッチやアプリケーションのインストールを行うためには、管理者の権限が必要であることが多く、利便性を優先し、管理者権限で実行している場合がある。
入力部101から資産DB検索部106までの処理は、実施の形態1で説明したものと同様なので説明を省略する。
(a)権限変更命令1119:資産Xにおいて、管理者権限で実行している場合、管理者権限以外の権限で実行するように変更する命令。
(b)パスワードリセット命令1117:資産Xにおける管理者のパスワードを変更する命令。
図11に示すように、認証サーバ10は、ログ分析連携装置1から権限変更命令1211を受けて、該当する資産の実行権限を管理者以外に変更する(S1001)。認証サーバ10は、入力した権限変更命令1211により、該当する資産の実行権限を管理者以外に変更する権限変更機能を備える。
この時、認証サーバ10(或いは類する管理システム)においては、このパスワードリセット命令1212にしたがって、パスワードリセット機能を実装するモジュールを呼び出す。
当モジュールは、資産Xの管理者のパスワードを、下記に示すリセット用パスワードでリセットしたうえで、リセット後のパスワードを、下記に示す文面でユーザに通知する。
(1)安全なパスワードとして、「pass_1」を生成する。
(2)作成したパスワードについて、予め用意した変換方法を適用し、新しいパスワード「pass_2」を生成する。
(3)変換したパスワード「pass_2」を用いて、該当資産の管理者のパスワードをリセットする。
(4)「pass_1」と「(2)で適用した変換方法」とを示した電子メールを資産Xのユーザに送信する。
図12(a)に示すように、「pass_1」から「pass_2」への変換方法(「(2)で適用した変換方法」)は、「下記のパスワードの直前に’!’を末尾に’)’を追加し、パスワードとして入力してください。」と、メールの文面で指示する。
図12(a)に示すパスワードのリセット文面は、図13に示すパスワードリセット装置11により生成される。
変換ルール選択部802は、パスワード生成部801で生成したパスワードを変換するルールを選択する。変換ルール選択部802は、変換ルールを、変換ルール文書テンプレートDB806から検索し取得する。
文書テンプレート選択部804は、パスワードを変換するルールと対になる文書テンプレートを、変換ルール文書テンプレートDB806から検索し取得する。
変換ルール文書テンプレートDB806は、パスワードの変換ルールと文書テンプレートとの対を保存するDBである。パスワード変換ルールと文書テンプレートとの対(以下、パスワード変換ルール+文書テンプレートと記載する)は、この対を識別するIDにより、以下のように保存・管理されている。
ID1:パスワード変換ルール1+文書テンプレート1
ID2:パスワード変換ルール2+文書テンプレート2
・・・
IDn:パスワード変換ルールn+文書テンプレートn
図13及び図14を用いて、パスワードリセット装置11の動作について説明する。
ID1:パスワード変換ルール1+文書テンプレート1
<パスワード変換ルール1>
append
param1=top,’!’
param2=tail,’)’
append
param1=top,’!’
param2=tail,’)’
append
param1=top,*
param2=tail,*
append
param1=top,’]’
param2=tail,’>’
と解釈する。文字数は1文字以上であればよい。
この場合、リセット用パスワードは、「]J9−n1*%4>^q>」となる。
<文書テンプレート1>
Instruction:
下記のパスワードのwhere1にvalue1をwhere2にvalue2をdo1し、パスワードとして入力してください。
ToBeChanged:
where1,value1
where2,value2
do1
<変換パラメータ値8103>
append
param1=top,’!’
param2=tail,’)’
変換表804aは、例えば、whereの位置に表される変数と、文書中の変換についての対応を記載したものである。変換表804aは、例えば、次のような内容が記載されている。
(b)tail→末尾:tailは末尾と変換する(図14の*3)。
(c)1→先頭から1番目:1は先頭から1番目を意味する。
(d)2→先頭から2番目:2は先頭から2番目を意味する。
(1)appendなので、指定された値を、指定された箇所に追加する。
<指定された値>
param1より、1つ目:’!’
param2より、2つ目:’)’
<指定された箇所>
param1より、1つ目:top→先頭
param2より、2つ目:tail→末尾
(1)ベースパスワード8101(J9−n1*%4>^q)に対するリセット用パスワード:「!J9−n1*%4>^q)」。
これは、「J9−n1*%4>^q」の先頭に’!’を追加し、末尾に’)’を追加したものである。
(1)Instruction:以降の文字列を読み込み、パスワードの変換指示の文書と解釈する。
下記のパスワードのwhere1にvalue1をwhere2にvalue2をdo1し、パスワードとして入力してください。
(2)ToBeChanged:の箇所を特定し、1行ずつ読み込む。
(where1,value1)、(where2,value2)、(do1)を得る。
パスワードの変換指示の文書「下記のパスワードのwhere1にvalue1をwhere2にvalue2をdo1し、パスワードとして入力してください」において、
’where1’とマッチする箇所を、1つ目の変換箇所を示す文字列で置換する。
’value1’とマッチする箇所を、1つ目の変換用の値で置換する。
’where2’とマッチする箇所を、2つ目の変換箇所を示す文字列で置換する。
’value2’とマッチする箇所を、2つ目の変換用の値で置換する。
’do1’とマッチする箇所を、変換方法を示す文字列で置換する。
append
param1=top,’!’
param2=tail,’)’
(1)appendなので、指定された値を、指定された箇所に追加する。
<指定された値>
param1より、1つ目:’!’
param2より、2つ目:’)’
<指定された箇所>
param1より、1つ目:top→先頭
param2より、2つ目:tail→末尾
’where1’とマッチする箇所を1つ目の変換箇所を示す文字列で置換する→’先頭’。
’value1’とマッチする箇所を、1つ目の変換用の値で置換する→’!’。
変換指示文書:「下記のパスワードの先頭に’!’をwhere2にvalue2をdo1し、パスワードとして入力してください」。
ここでは、「先頭」と「’!’」とが、変換された部分である。
’where2’とマッチする箇所を2つ目の変換箇所を示す文字列で置換する→’末尾’。
’value2’とマッチする箇所を、2つ目の変換用の値で置換する→’)’。
変換指示文書:「下記のパスワードの先頭に’!’を末尾に’)’をdo1し、パスワードとして入力してください」。
ここでは、「末尾」と「’)’」とが、変換された部分である。
do1の箇所を、変換指示である「append→’追加’」で置換する。
変換指示文書:「下記のパスワードの先頭に’!’を末尾に’)’を追加し、パスワードとして入力してください」。
ここでは、「追加」が、変換された部分である。
変換指示文書:
下記のパスワードの直前に’!’を末尾に’)’を加えてから、パスワードとして入力してください。
J9−n1*%4>^q
資産Xのユーザは、この電子メールを受け取ると、メールの文面を読んで指示に従い、リセット用パスワードをリセット後のパスワードとして入力する。
その後、さらにユーザ自身でパスワードをリセットしても良い。
図12(b)に示すメール文面は、「画像と一致する動物の番号を選択して、下記のパスワードの末尾に、その名前を追加しパスワードとしてください」として、その後にベースパスワード「J9−n1*%4>^q」が表示される。また、その後には魚の画像が添付され、選択枝「1.tiger,2.snake,3.fish,4.Michel」が表示される。魚の画像と選択肢の位置は、逆でもよい。
ID1:パスワード変換ルールg+文書テンプレートg+画像テンプレートg。
<パスワード変換ルールg>
append
param1=tail,’fish’
<文書テンプレートg>
Instruction:
画像と一致する動物の番号を選択して、下記のパスワードのwhere1に、その名前をdo1しパスワードとしてください。
ToBeChanged:
where1←value1は無い。
do1
<画像テンプレートg>
「魚の画像」
「1.tiger,2.snake,3.fish,4.Michel」
文書テンプレート選択部804は、文書テンプレートgに加え、画像テンプレートgも取得し、パスワードリセット通知文書生成部805へ出力する。
次に、パスワードリセット通知文書生成部805は、末尾に、画像テンプレートgにおける、’1.tiger,2.snake,3.fish,4.Michel’を追加する。
さらに、パスワードリセット通知文書生成部805は、パスワードリセット通知文書8202に、魚の画像を添付する。
ログ分析連携装置は、将来に起こりうる攻撃の情報に、パスワードハッシュによる不正アクセスが含まれていた場合、認証システムに、管理者権限による資産の実行を、その他の権限による実行に変更する命令を出力する。
さらに、ログ分析連携装置は、既存の認証システムにアドオンする装置により、新しい管理者用パスワードを生成し、認証システムから、そのパスワードで該当資産のパスワードをリセットする。さらに、リセットしたパスワードを通知する文章をメールで、該当資産のユーザに通知する。その際に、メールの文章は、「ベースパスワード」、「ベースパスワードの変換方法(文書)」、「ベースパスワードに対して、文書で示された変換方法を施したパスワードが、リセットに使用したパスワードであること」を示す内容である。
本実施の形態では、主に、実施の形態1〜4との差異について説明する。
実施の形態1〜4において説明した機能構成と同様の機能構成については同一の符号を付し、その説明を省略する場合がある。
本実施の形態では、ログ分析連携装置1は、検索されたエントリが無かったことが示された場合は、攻撃シナリオ1104を修正して修正シナリオを生成する処理について説明する。
攻撃シナリオ1104’:「1104_e1:攻撃シナリオ要素1→1104_s1:間隔1→1104_e2:攻撃シナリオ要素2」。
或いは、予想発生時期と実際の発生時期とのずれ(例えば、24時間のずれ)を加味して修正してもよい。この場合は、予想発生時期と実際の発生時期とのずれ(例えば、24時間のずれ)を反映して修正した結果、「1104_s2:間隔2=24〜48時間」としてもよい。
本実施の形態では、主に、実施の形態1〜5との差異について説明する。
実施の形態1〜5において説明した機能構成と同様の機能構成については同一の符号を付し、その説明を省略する場合がある。
つまり、本実施の形態では、攻撃シナリオ1104は以下である。
攻撃シナリオ要素1:1104_e1→攻撃シナリオ要素2:1104_e2→攻撃シナリオ要素3:1104_e3。
本実施の形態では、攻撃シナリオにおいて間隔を含まないため、関連攻撃情報1105には「攻撃シナリオ要素3:1104_e3」が該当する。
例1:「攻撃発生日時からm時間おきにp時間の期間をn回検索せよ」。
例2:「攻撃発生日時から1回検索、
2回目は1回目の検索後1×m時間後にp1時間の期間、
3回目は2回目の検索後2×m時間後にp2時間の期間、
4回目は3回目の検索後3×m時間後にp3時間の期間、
・・・同様にn回検索せよ」。例2では検索から次の検索までの期間が段々長くなる。
例3:「攻撃発生日時から1回検索、
2回目は1回目の検索後1×m時間後にp1時間の期間、
3回目は2回目の検索後2×m時間後にp2時間の期間、
4回目は3回目の検索後4×m時間後にp3時間の期間、
・・・同様にn回検索せよ」。例3では検索から次の検索までの期間が倍で長くなる。
また、p1、p2、p3は同じでも異なっても良い。
また、「攻撃発生日時から」という部分も、「現在の時刻から」「今からp時間から」「次の0時から」などに置き換えても良い。
攻撃発生予想日時は、検索スケジュール条件1205をもとに生成される。例えば、検索スケジュール条件1205で、「攻撃発生日時からm時間おき」という条件が含まれていた場合は、攻撃発生予想日時は、「攻撃発生日時+m時間後」(以後m時間後)である。
一方、本実施の形態では、攻撃発生予想日時は、スケジュール収集部108において、収集スケジュール条件1204をもとに生成される。この場合、収集スケジュール条件1204は、本実施の形態における検索スケジュール条件1205と同様の記述となる(「検索せよ」という記述が「収集せよ」と置き換わる)。
また、本実施の形態における収集スケジュール条件1204を攻撃可否判定部107に入力し、攻撃可否判定部107が収集スケジュール条件1204から収集のための攻撃発生予想日時を算出しても良い。
また、上記の例では、攻撃発生日時を未来としたが、過去に遡って発生していたであろう攻撃を検索したり、ログを収集する場合は、m(時間)をマイナスの値に指定すればよい。
しかし、例えば、検索された攻撃シナリオ1104が以下のとおりであり、関連攻撃情報1105に含まれる攻撃シナリオ要素の数が複数の場合もある。
関連攻撃情報1105に含まれる攻撃シナリオ要素:「攻撃シナリオ要素3:1104_e3、攻撃シナリオ要素4:1104_e4、攻撃シナリオ要素5:1104_e5」。
すなわち、関連攻撃情報1105に含まれる攻撃シナリオ要素が複数の場合である。
関連攻撃情報1105に含まれる攻撃シナリオ要素が複数であるため、対策情報1107、対策有無1107’は、セキュリティ対策検索部105により各攻撃シナリオ要素に対応したものが返される。
攻撃可否判定部107は、各攻撃シナリオ要素に含まれる攻撃が、該当する資産情報1109で示される資産において発生するか否かを、図8にしたがって判定する。
図8の処理により該当する資産情報1109で示される資産で発生すると判断された攻撃シナリオ要素について、スケジュール検索部1010は、ログの検索を実行する。
この場合、関連攻撃情報1105に含まれる攻撃シナリオ要素は複数であり、スケジュール収集部108は、スケジュール検索部1010の処理と同様に、後続する攻撃シナリオ要素を含む可能性のあるログをスケジュール収集しても良い。
また、収集スケジュール条件においても収集時期や間隔に関する情報を与えることで攻撃発生予想日時を算出しログのスケジュール収集をすることが可能である。
本実施の形態では、主に、実施の形態1〜6との差異について説明する。
実施の形態1〜6において説明した機能構成と同様の機能構成については同一の符号を付し、その説明を省略する場合がある。
つまり、攻撃シナリオ1104は例えば以下である。
攻撃シナリオ要素1:1104_e1、攻撃シナリオ要素2:1104_e2、攻撃シナリオ要素3:1104_e3、攻撃シナリオ要素4:1104_e4、攻撃シナリオ要素5:1104_e5。
このように、本実施の形態に係る攻撃シナリオ1104は、「間隔」も「→」も無く、攻撃シナリオを構成する攻撃群を意味する。
本実施の形態では、攻撃シナリオDB検索部103は、攻撃識別情報1103(実施の形態1における例と同じとする)を攻撃シナリオDB1013に出力し、攻撃シナリオ1104を取得する。この場合、攻撃シナリオDB検索部103は、例えば、攻撃識別情報1103の構成要素である攻撃IDが、「攻撃シナリオ要素1104_eの攻撃識別情報1104_aに含まれる攻撃シナリオ」を検索する。
「攻撃シナリオ要素1:1104_e1、攻撃シナリオ要素2:1104_e2、攻撃シナリオ要素3:1104_e3、攻撃シナリオ要素4:1104_e4、攻撃シナリオ要素5:1104_e5」。
「攻撃シナリオ要素1:1104_e1、攻撃シナリオ要素3:1104_e3、攻撃シナリオ要素4:1104_e4、攻撃シナリオ要素5:1104_e5」。
つまり、スケジュール検索部1010では、各攻撃シナリオ要素について、個別に、検索スケジュール条件1205に示される検索する時期・期間・回数を、攻撃シナリオ要素2:1104_e2の攻撃発生日時に適用して、ログの検索を行う。そして、スケジュール検索部1010は、各々の攻撃シナリオ要素についての検索結果1115を入力する。
また、同様にスケジュール収集部108はログの収集を行う。
スケジュール検索部1010は、例えば、s=60%、t=720の場合、攻撃シナリオ要素1、攻撃シナリオ要素3、攻撃シナリオ要素4、攻撃シナリオ要素5のうち、いずれか2つ以上が(攻撃シナリオ要素2とあわせて3つ以上)が720時間(30日)以内に検索された場合に、攻撃シナリオに従った攻撃が進行していると判断して、検索結果1116を出力部1012に出力する。攻撃進行の判断とは別に、毎回の検索結果を検索結果1116として出力しても良い。
本実施の形態では、主に、実施の形態1〜7との差異について説明する。
実施の形態1〜7において説明した機能構成と同様の機能構成については同一の符号を付し、その説明を省略する場合がある。
資産検索情報1108にPortが示された場合は、そのPortを使用している資産の情報を、資産DB1015は資産情報1109として返す。
つまり、場合によっては資産情報1109は複数である。
なお、攻撃シナリオ要素1104_eは1つ以上ありえるので、その場合は各々について検索を行う。
そして、攻撃可否判定部107は、1つ以上の資産情報1109の各々について、実施の形態1と同様の処理を行う(攻撃可否判定部107、スケジュール検索部1010、スケジュール収集部108、出力部1012)。
ログ分析連携装置(ログ分析システム)は、SIEM装置(SIEMシステム)から攻撃の検知を受け取る。
ログ分析連携装置は、SIEMシステムから受け取った、検知された攻撃の情報が含まれる、攻撃シナリオを参照し、その攻撃シナリオに記載される、将来に起こりうる攻撃の情報を抽出する。
ログ分析連携装置は、攻撃対象の資産の資産情報を参照し、セキュリティ対策を参照し、将来に起こりうる攻撃の情報と突合せ、将来に起こりうる攻撃が、実際に起こるか判定する。
ログ分析連携装置は、将来に起こりうる攻撃が、実際に起こると判定した場合に、ログ分析システムに、予想される攻撃発生時期に、攻撃の痕跡が残るログを検索する命令をスケジュール実行するように指示する。
ログ分析連携装置は、攻撃シナリオにより、過去に発生した可能性のある攻撃の情報を取得し、ログ分析システムにその痕跡を検索するように指示する。
ログ分析連携装置は、将来に起こりうる攻撃が、実際に起こると判定した場合に、ログ分析システム(或いはロガーなど)に、予想される攻撃発生時期に攻撃の痕跡が残るログを収集する命令を出力する。
これにより、常にログの収集が困難な機器においても、効率的なログ収集を行うことができる。
その場合は、該当する対策有無1107’や資産情報1109は空になるが、攻撃可否判定部107は、関連攻撃情報1105が発生するものとして処理を進めてよい。関連攻撃情報1105に複数の攻撃シナリオ要素が含まれ、一部について対策有無1107’や資産情報1109が検索され、残りについて検索されない場合は、検索されなかった攻撃シナリオ要素については、攻撃が発生するものとして処理を進めてよい。
Claims (16)
- 監視対象ネットワークに接続される少なくとも1つの機器のログを収集して記憶装置にログ情報として記憶するログ収集装置と、前記監視対象ネットワークに対する攻撃を検知する検知装置と、前記ログ収集装置により収集された前記ログ情報を分析する分析装置とを備える攻撃分析システムであって、
前記検知装置に接続されるとともに、前記分析装置に接続される連携装置を備え、
前記検知装置は、
前記監視対象ネットワークに対する攻撃を検知すると、検知した攻撃を識別する攻撃識別子と前記検知した攻撃が発生した攻撃発生時期とを含む警告情報を前記連携装置に送信し、
前記連携装置は、
前記監視対象ネットワークに対して発生すると予測される複数の攻撃の各々を識別する複数の攻撃識別子を含む攻撃シナリオ情報を予め記憶装置に記憶する攻撃シナリオ情報記憶部と、
前記検知装置から前記警告情報を受信すると、受信した前記警告情報と前記攻撃シナリオ情報記憶部により記憶された前記攻撃シナリオ情報とに基づいて、前記攻撃シナリオ情報に含まれる前記複数の攻撃のうち前記攻撃発生時期の前後の時期において発生すると予測される攻撃である分析対象攻撃であって、前記検知した攻撃とは別の攻撃である分析対象攻撃が発生すると予測される予測発生時期を処理装置により算出し、算出した前記予測発生時期の前記ログ情報を分析する要求であるスケジュール分析要求を前記分析装置に送信するスケジュール分析要求部と
を備え、
前記分析装置は、
前記連携装置の前記スケジュール分析要求部から送信された前記スケジュール分析要求に基づいて、前記予測発生時期の前記ログ情報を分析する攻撃分析システム。 - 前記連携装置は、
前記攻撃シナリオ情報から前記分析対象攻撃の攻撃識別子を取得する次攻撃情報取得部を備え、
前記スケジュール分析要求部は、
前記次攻撃情報取得部により取得された前記分析対象攻撃の攻撃識別子と前記予測発生時期とを前記スケジュール分析要求に含めて送信し、
前記分析装置は、
前記スケジュール分析要求部から送信された前記スケジュール分析要求に含まれる前記分析対象攻撃の攻撃識別子と前記予測発生時期とに基づいて、前記予測発生時期の前記ログ情報を処理装置により分析し、前記予測発生時期に前記分析対象攻撃が発生したか否かを判定する請求項1に記載の攻撃分析システム。 - 前記攻撃シナリオ情報記憶部は、
前記複数の攻撃の発生する順番と、前記順番が連続する2つの攻撃の発生間隔とを含む前記攻撃シナリオ情報を予め記憶装置に記憶し、
前記次攻撃情報取得部は、
前記検知装置から前記警告情報を受信すると、受信した前記警告情報と前記攻撃シナリオ情報記憶部により記憶された前記攻撃シナリオ情報とに基づいて、前記警告情報に含まれる攻撃識別子により識別される攻撃の次に発生すると予測される次攻撃である前記分析対象攻撃の攻撃識別子と、前記警告情報に含まれる攻撃識別子により識別される攻撃と前記次攻撃との発生間隔である次発生間隔とを取得し、
前記スケジュール分析要求部は、
前記次攻撃情報取得部により取得された前記次発生間隔と、前記警告情報に含まれる前記攻撃発生時期とに基づいて、前記次攻撃が発生すると予測される前記予測発生時期を算出する請求項2に記載の攻撃分析システム。 - 前記連携装置は、
前記検知装置から前記警告情報を受信すると、受信した前記警告情報と前記攻撃シナリオ情報記憶部により記憶された前記攻撃シナリオ情報とに基づいて、前記警告情報に含まれる攻撃識別子により識別される攻撃の1つ前に発生した可能性のある前攻撃である前記分析対象攻撃の攻撃識別子と、前記前攻撃と前記警告情報に含まれる攻撃識別子により識別される攻撃との発生間隔である前発生間隔とを取得する前攻撃情報取得部と、
前記前攻撃情報取得部により取得された前記前発生間隔と、前記警告情報に含まれる前記攻撃発生時期とに基づいて、前記前攻撃が発生した可能性のある発生可能時期を算出し、算出した前記発生可能時期の前記ログ情報を分析する要求である期間指定分析要求を前記分析装置に送信する期間指定分析要求部と
を備え、
前記分析装置は、
前記連携装置の前記期間指定分析要求部から送信された前記期間指定分析要求に基づいて、前記発生可能時期の前記ログ情報を分析する請求項3に記載の攻撃分析システム。 - 前記攻撃シナリオ情報記憶部は、
前記複数の攻撃の発生する順番を含む前記攻撃シナリオ情報を予め記憶装置に記憶し、
前記次攻撃情報取得部は、
前記検知装置から前記警告情報を受信すると、受信した前記警告情報と前記攻撃シナリオ情報記憶部により記憶された前記攻撃シナリオ情報とに基づいて、前記警告情報に含まれる攻撃識別子により識別される攻撃の次に発生すると予測される次攻撃を前記分析対象攻撃とし、前記分析対象攻撃の攻撃識別子を取得し、
前記スケジュール分析要求部は、
前記予測発生時期を算出するための検索スケジュール条件を入力し、入力した検索スケジュール条件と前記攻撃発生時期とに基づいて、前記予測発生時期を算出する請求項2に記載の攻撃分析システム。 - 前記スケジュール分析要求部は、
前記攻撃発生時期を基点とする検索時期及び検索間隔を含む前記検索スケジュール条件を入力する請求項5に記載の攻撃分析システム。 - 前記次攻撃情報取得部は、
前記検知装置から前記警告情報を受信すると、受信した前記警告情報と前記攻撃シナリオ情報記憶部により記憶された前記攻撃シナリオ情報とに基づいて、前記警告情報に含まれる攻撃識別子により識別される攻撃以外の攻撃を前記分析対象攻撃とし、前記分析対象攻撃の攻撃識別子を取得し、
前記スケジュール分析要求部は、
前記予測発生時期を算出するための検索スケジュール条件を入力し、入力した検索スケジュール条件と前記攻撃発生時期とに基づいて、前記予測発生時期を算出する請求項2に記載の攻撃分析システム。 - 前記スケジュール分析要求部は、
前記攻撃発生時期を基点とする検索時期を含むとともに、前記分析対象攻撃が発生したと判定するための判定条件を含む前記検索スケジュール条件を入力し、
前記スケジュール分析要求部は、さらに、
前記スケジュール分析要求に前記判定条件を含めて送信し、
前記分析装置は、
前記スケジュール分析要求部から送信された前記スケジュール分析要求に含まれる前記分析対象攻撃の攻撃識別子と前記予測発生時期と前記判定条件とに基づいて、前記予測発生時期に前記分析対象攻撃が発生したか否かを判定する請求項7に記載の攻撃分析システム。 - 前記警告情報は、さらに、
前記検知した攻撃の対象となる資産である攻撃対象資産の情報を含み、
前記次攻撃情報取得部は、さらに、
前記警告情報と前記攻撃シナリオ情報記憶部により記憶された前記攻撃シナリオ情報とに基づいて、前記警告情報に含まれる攻撃識別子により識別される攻撃の攻撃対象資産の情報を抽出するとともに、抽出した前記攻撃対象資産の情報に関連する資産の情報である対象関連資産を攻撃の対象とする関連攻撃を前記分析対象攻撃に含める請求項5から8のいずれか1項に記載の攻撃分析システム。 - 前記監視対象ネットワークは、
前記ログ収集装置がログ収集命令を受信した場合に前記ログ収集装置によりログが収集される特定の機器を接続し、
前記スケジュール分析要求部は、
前記スケジュール分析要求を前記分析装置に送信する前に、前記特定の機器の前記予測発生時期のログを収集する命令である前記ログ収集命令を前記ログ収集装置に送信し、
前記ログ収集装置は、
前記スケジュール分析要求部から前記ログ収集命令を受信すると、受信した前記ログ収集命令に基づいて、前記特定の機器の前記予測発生時期のログを収集し、収集したログを特定機器ログ情報として記憶装置に記憶するとともに、前記ログ収集命令に対するログ収集応答を前記連携装置に送信し、
前記スケジュール分析要求部は、
前記ログ収集装置から前記ログ収集応答を受信すると、前記予測発生時期の前記特定機器ログ情報を分析する要求である特定機器分析要求を前記分析装置に送信する請求項1から9のいずれか1項に記載の攻撃分析システム。 - 前記次攻撃情報取得部は、
前記検知装置から受信した前記警告情報に含まれる攻撃識別子により識別される攻撃の次に発生すると予測された次攻撃が成功するか否かを処理装置により判定し、前記次攻撃が成功すると判定した場合に、前記次攻撃の攻撃識別子と前記次発生間隔とを取得する請求項3または4に記載の攻撃分析システム。 - 前記監視対象ネットワークは、
前記機器へのアクセス権限を認証情報により認証する認証装置を備え、
前記次攻撃情報取得部は、
前記次攻撃が成功すると判定した場合に、前記次攻撃が成りすましによる不正アクセスであるか否かを処理装置により判定し、前記次攻撃が成りすましによる不正アクセスであると判定した場合に、前記機器へのアクセス権限を変更する要求である権限変更要求を前記認証装置に送信する請求項11に記載の攻撃分析システム。 - 前記認証装置は、
前記認証情報としてパスワードを用いて認証し、
前記次攻撃情報取得部は、
前記次攻撃が成りすましによる不正アクセスであると判定した場合に、さらに、前記パスワードを変更する要求であるパスワード変更要求を前記認証装置に送信する請求項12に記載の攻撃分析システム。 - 監視対象ネットワークが備える少なくとも1つの機器のログを収集して記憶装置にログ情報として記憶するログ収集装置と、前記監視対象ネットワークに対する攻撃を検知する検知装置と、前記ログ収集装置により収集された前記ログ情報を分析する分析装置とを具備する攻撃分析システムに備えられる連携装置であって、
前記監視対象ネットワークに対して発生すると予測される複数の攻撃の各々を識別する複数の攻撃識別子を含む攻撃シナリオ情報を予め記憶装置に記憶する攻撃シナリオ情報記憶部と、
前記検知装置から送信される警告情報であって、前記監視対象ネットワークに対する攻撃を識別する攻撃識別子と前記監視対象ネットワークに対する攻撃が発生した攻撃発生時期とを含む警告情報を受信し、受信した前記警告情報と前記攻撃シナリオ情報記憶部により記憶された前記攻撃シナリオ情報とに基づいて、前記攻撃シナリオ情報に含まれる前記複数の攻撃のうち前記攻撃発生時期の前後の時期において発生すると予測される攻撃である分析対象攻撃であって、前記警告情報に含まれる攻撃識別子により識別される攻撃とは別の攻撃である分析対象攻撃が発生すると予測される予測発生時期を算出し、算出した前記予測発生時期を含む期間の前記ログ情報を分析する要求であるスケジュール分析要求を前記分析装置に送信するスケジュール分析要求部と
を備える連携装置。 - 監視対象ネットワークに接続される少なくとも1つの機器のログを収集して記憶装置にログ情報として記憶するログ収集装置と、
前記監視対象ネットワークに対する攻撃を検知する検知装置と、
前記ログ収集装置により収集された前記ログ情報を分析する分析装置と、
前記検知装置に接続されるとともに前記分析装置に接続され、前記監視対象ネットワークに対して発生すると予測される複数の攻撃の各々を識別する複数の攻撃識別子を含む攻撃シナリオ情報を予め記憶装置に記憶する攻撃シナリオ情報記憶部を備える連携装置と
を備える攻撃分析システムの攻撃分析連携方法であって、
前記検知装置が、前記監視対象ネットワークに対する攻撃を検知すると、検知した攻撃を識別する攻撃識別子と前記検知した攻撃が発生した攻撃発生時期とを含む警告情報を前記連携装置に送信し、
前記連携装置のスケジュール分析要求部が、前記検知装置から前記警告情報を受信すると、受信した前記警告情報と前記攻撃シナリオ情報記憶部により記憶された前記攻撃シナリオ情報とに基づいて、前記攻撃シナリオ情報に含まれる前記複数の攻撃のうち前記攻撃発生時期の前後の時期において発生すると予測される攻撃である分析対象攻撃であって、前記検知した攻撃とは別の攻撃である分析対象攻撃が発生すると予測される予測発生時期を算出し、算出した前記予測発生時期の前記ログ情報を分析する要求であるスケジュール分析要求を前記分析装置に送信し、
前記分析装置が、前記連携装置の前記スケジュール分析要求部から送信された前記スケジュール分析要求に基づいて、前記予測発生時期の前記ログ情報を分析する攻撃分析連携方法。 - 監視対象ネットワークが備える少なくとも1つの機器のログを収集して記憶装置にログ情報として記憶するログ収集装置と、前記監視対象ネットワークに対する攻撃を検知する検知装置と、前記ログ収集装置により収集された前記ログ情報を分析する分析装置とを具備する攻撃分析システムに備えられ、前記監視対象ネットワークに対して発生すると予測される複数の攻撃の各々を識別する複数の攻撃識別子を含む攻撃シナリオ情報を予め記憶装置に記憶する攻撃シナリオ情報記憶部を備える連携装置のプログラムであって、
処理装置が、前記検知装置から送信される警告情報であって、前記監視対象ネットワークに対する攻撃を識別する攻撃識別子と前記監視対象ネットワークに対する攻撃が発生した攻撃発生時期とを含む警告情報を受信する警告情報受信処理と、
処理装置が、受信した前記警告情報と前記攻撃シナリオ情報記憶部により記憶された前記攻撃シナリオ情報とに基づいて、前記攻撃シナリオ情報に含まれる前記複数の攻撃のうち前記攻撃発生時期の前後の時期において発生すると予測される攻撃である分析対象攻撃であって、前記警告情報に含まれる攻撃識別子により識別される攻撃とは別の攻撃である分析対象攻撃が発生すると予測される予測発生時期を算出し、算出した前記予測発生時期を含む期間の前記ログ情報を分析する要求であるスケジュール分析要求を前記分析装置に送信するスケジュール分析要求処理と
をコンピュータである前記連携装置に実行させるプログラム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013008724 | 2013-01-21 | ||
JP2013008724 | 2013-01-21 | ||
PCT/JP2013/080252 WO2014112185A1 (ja) | 2013-01-21 | 2013-11-08 | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP5972401B2 true JP5972401B2 (ja) | 2016-08-17 |
JPWO2014112185A1 JPWO2014112185A1 (ja) | 2017-01-19 |
Family
ID=51209297
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014557329A Active JP5972401B2 (ja) | 2013-01-21 | 2013-11-08 | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム |
Country Status (5)
Country | Link |
---|---|
US (1) | US9853994B2 (ja) |
EP (1) | EP2947595A4 (ja) |
JP (1) | JP5972401B2 (ja) |
CN (1) | CN104937605B (ja) |
WO (1) | WO2014112185A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20200038151A (ko) * | 2018-10-02 | 2020-04-10 | 국방과학연구소 | 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 방법 및 장치 |
Families Citing this family (36)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10367827B2 (en) * | 2013-12-19 | 2019-07-30 | Splunk Inc. | Using network locations obtained from multiple threat lists to evaluate network data or machine data |
JP6000495B2 (ja) * | 2014-02-26 | 2016-09-28 | 三菱電機株式会社 | 攻撃検知装置、攻撃検知方法、及び攻撃検知プログラム |
US10721267B1 (en) * | 2014-07-18 | 2020-07-21 | NortonLifeLock Inc. | Systems and methods for detecting system attacks |
JP6294847B2 (ja) * | 2015-03-12 | 2018-03-14 | 株式会社日立製作所 | ログ管理制御システムおよびログ管理制御方法 |
JP6285390B2 (ja) * | 2015-04-22 | 2018-02-28 | 株式会社日立製作所 | サイバー攻撃分析装置及びサイバー攻撃分析方法 |
US10454963B1 (en) * | 2015-07-31 | 2019-10-22 | Tripwire, Inc. | Historical exploit and vulnerability detection |
US9853940B2 (en) * | 2015-09-24 | 2017-12-26 | Microsoft Technology Licensing, Llc | Passive web application firewall |
JP6328595B2 (ja) * | 2015-09-29 | 2018-05-23 | 東芝テック株式会社 | 情報処理装置及びプログラム |
JP6714337B2 (ja) | 2015-10-16 | 2020-06-24 | キヤノン株式会社 | 情報処理装置、情報処理方法およびプログラム |
EP3314515B1 (en) * | 2016-01-25 | 2020-03-18 | Hewlett-Packard Development Company, L.P. | Notice of intrusion into firmware |
US10528725B2 (en) | 2016-11-04 | 2020-01-07 | Microsoft Technology Licensing, Llc | IoT security service |
JP6903901B2 (ja) * | 2016-11-28 | 2021-07-14 | 富士通株式会社 | 攻撃検知装置、攻撃検知プログラム及び攻撃検知方法 |
JP6656211B2 (ja) * | 2017-08-02 | 2020-03-04 | 三菱電機株式会社 | 情報処理装置、情報処理方法及び情報処理プログラム |
US10708292B2 (en) * | 2017-11-28 | 2020-07-07 | Aetna Inc. | Vulnerability contextualization |
JP6824151B2 (ja) * | 2017-12-26 | 2021-02-03 | 三菱電機株式会社 | インシデント対応支援装置 |
US20210034740A1 (en) * | 2018-03-19 | 2021-02-04 | Nec Corporation | Threat analysis system, threat analysis method, and threat analysis program |
JP6921776B2 (ja) * | 2018-03-22 | 2021-08-18 | 株式会社日立製作所 | インシデント検知システムおよびその方法 |
JP7213626B2 (ja) * | 2018-06-20 | 2023-01-27 | 三菱電機株式会社 | セキュリティ対策検討ツール |
JP7019533B2 (ja) * | 2018-08-17 | 2022-02-15 | 三菱電機株式会社 | 攻撃検知装置、攻撃検知システム、攻撃検知方法および攻撃検知プログラム |
CN111224928B (zh) * | 2018-11-26 | 2021-11-30 | ***通信集团辽宁有限公司 | 网络攻击行为的预测方法、装置、设备及存储介质 |
CN109784043A (zh) * | 2018-12-29 | 2019-05-21 | 北京奇安信科技有限公司 | 攻击事件还原方法、装置、电子设备及存储介质 |
US11405413B2 (en) * | 2019-02-01 | 2022-08-02 | Microsoft Technology Licensing, Llc | Anomaly lookup for cyber security hunting |
JP6918269B2 (ja) * | 2019-03-12 | 2021-08-11 | 三菱電機株式会社 | 攻撃推定装置、攻撃制御方法、および攻撃推定プログラム |
JP7202932B2 (ja) * | 2019-03-14 | 2023-01-12 | 三菱電機株式会社 | サイバー攻撃検知装置 |
CN112087414A (zh) * | 2019-06-14 | 2020-12-15 | 北京奇虎科技有限公司 | 挖矿木马的检测方法及装置 |
US11336682B2 (en) * | 2019-07-09 | 2022-05-17 | Nice Ltd. | System and method for generating and implementing a real-time multi-factor authentication policy across multiple channels |
US11632386B2 (en) * | 2019-07-19 | 2023-04-18 | Rochester Institute Of Technology | Cyberattack forecasting using predictive information |
US11290473B2 (en) | 2019-08-08 | 2022-03-29 | Microsoft Technology Licensing, Llc | Automatic generation of detection alerts |
JP7296470B2 (ja) * | 2019-10-29 | 2023-06-22 | 日立Astemo株式会社 | 分析装置及び分析方法 |
US10917401B1 (en) | 2020-03-24 | 2021-02-09 | Imperva, Inc. | Data leakage prevention over application programming interface |
US11652833B2 (en) | 2020-07-24 | 2023-05-16 | Microsoft Technology Licensing, Llc | Detection of anomalous count of new entities |
CN112187719B (zh) * | 2020-08-31 | 2023-04-14 | 新浪技术(中国)有限公司 | 被攻击服务器的信息获取方法、装置和电子设备 |
CN112114995B (zh) * | 2020-09-29 | 2023-12-12 | 中科安信(山西)科技有限公司 | 基于进程的终端异常分析方法、装置、设备及存储介质 |
CN112738071B (zh) * | 2020-12-25 | 2023-07-28 | 中能融合智慧科技有限公司 | 一种攻击链拓扑的构建方法及装置 |
CN113259361B (zh) * | 2021-05-20 | 2022-03-22 | 常州皓焱信息科技有限公司 | 互联网安全数据处理方法及*** |
CN114301712B (zh) * | 2021-12-31 | 2023-04-07 | 西安交通大学 | 一种基于图方法的工业互联网告警日志关联分析方法及*** |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003100619A1 (fr) * | 2002-05-28 | 2003-12-04 | Fujitsu Limited | Dispositif, programme et procede de detection d'acces non autorise |
JP2005136526A (ja) * | 2003-10-28 | 2005-05-26 | Fujitsu Ltd | 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム |
US20070169194A1 (en) * | 2004-12-29 | 2007-07-19 | Church Christopher A | Threat scoring system and method for intrusion detection security networks |
US7865954B1 (en) * | 2007-08-24 | 2011-01-04 | Louisiana Tech Research Foundation; A Division Of Louisiana Tech University Foundation, Inc. | Method to detect SYN flood attack |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4700884B2 (ja) | 2000-04-28 | 2011-06-15 | インターナショナル・ビジネス・マシーンズ・コーポレーション | コンピュータのセキュリティ情報を管理するための方法およびシステム |
US9027121B2 (en) * | 2000-10-10 | 2015-05-05 | International Business Machines Corporation | Method and system for creating a record for one or more computer security incidents |
KR20040035572A (ko) | 2002-10-22 | 2004-04-29 | 최운호 | 정보 인프라에서의 종합 침해사고 대응시스템 및 그운영방법 |
JP2004318552A (ja) * | 2003-04-17 | 2004-11-11 | Kddi Corp | Idsログ分析支援装置、idsログ分析支援方法及びidsログ分析支援プログラム |
JP4371905B2 (ja) * | 2004-05-27 | 2009-11-25 | 富士通株式会社 | 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置 |
US7716739B1 (en) * | 2005-07-20 | 2010-05-11 | Symantec Corporation | Subjective and statistical event tracking incident management system |
US8191149B2 (en) * | 2006-11-13 | 2012-05-29 | Electronics And Telecommunications Research Institute | System and method for predicting cyber threat |
KR100935861B1 (ko) | 2007-11-12 | 2010-01-07 | 한국전자통신연구원 | 네트워크 보안 위험도 예측 방법 및 장치 |
-
2013
- 2013-11-08 JP JP2014557329A patent/JP5972401B2/ja active Active
- 2013-11-08 WO PCT/JP2013/080252 patent/WO2014112185A1/ja active Application Filing
- 2013-11-08 CN CN201380070764.1A patent/CN104937605B/zh not_active Expired - Fee Related
- 2013-11-08 US US14/433,560 patent/US9853994B2/en active Active
- 2013-11-08 EP EP13872002.4A patent/EP2947595A4/en not_active Withdrawn
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003100619A1 (fr) * | 2002-05-28 | 2003-12-04 | Fujitsu Limited | Dispositif, programme et procede de detection d'acces non autorise |
JP2005136526A (ja) * | 2003-10-28 | 2005-05-26 | Fujitsu Ltd | 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム |
US20070169194A1 (en) * | 2004-12-29 | 2007-07-19 | Church Christopher A | Threat scoring system and method for intrusion detection security networks |
US7865954B1 (en) * | 2007-08-24 | 2011-01-04 | Louisiana Tech Research Foundation; A Division Of Louisiana Tech University Foundation, Inc. | Method to detect SYN flood attack |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20200038151A (ko) * | 2018-10-02 | 2020-04-10 | 국방과학연구소 | 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 방법 및 장치 |
KR102254142B1 (ko) * | 2018-10-02 | 2021-05-20 | 국방과학연구소 | 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 방법 및 장치 |
Also Published As
Publication number | Publication date |
---|---|
EP2947595A1 (en) | 2015-11-25 |
WO2014112185A1 (ja) | 2014-07-24 |
JPWO2014112185A1 (ja) | 2017-01-19 |
CN104937605A (zh) | 2015-09-23 |
EP2947595A4 (en) | 2016-06-08 |
US20150256554A1 (en) | 2015-09-10 |
CN104937605B (zh) | 2018-08-28 |
US9853994B2 (en) | 2017-12-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5972401B2 (ja) | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム | |
US11240262B1 (en) | Malware detection verification and enhancement by coordinating endpoint and malware detection systems | |
US11831785B2 (en) | Systems and methods for digital certificate security | |
EP3127301B1 (en) | Using trust profiles for network breach detection | |
US10154066B1 (en) | Context-aware compromise assessment | |
CN106687971B (zh) | 用来减少软件的攻击面的自动代码锁定 | |
US9300682B2 (en) | Composite analysis of executable content across enterprise network | |
US11100241B2 (en) | Virtual trap protection of data elements | |
US10142343B2 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
US11328056B2 (en) | Suspicious event analysis device and related computer program product for generating suspicious event sequence diagram | |
US10091225B2 (en) | Network monitoring method and network monitoring device | |
US10757029B2 (en) | Network traffic pattern based machine readable instruction identification | |
EP3692695B1 (en) | Intrusion investigation | |
Yamada et al. | RAT-based malicious activities detection on enterprise internal networks | |
JP5413010B2 (ja) | 分析装置、分析方法およびプログラム | |
US20220237302A1 (en) | Rule generation apparatus, rule generation method, and computer-readable recording medium | |
KR102311997B1 (ko) | 인공지능 행위분석 기반의 edr 장치 및 방법 | |
Hatada et al. | Finding new varieties of malware with the classification of network behavior | |
WO2015178002A1 (ja) | 情報処理装置、情報処理システム及び通信履歴解析方法 | |
JP6760884B2 (ja) | 生成システム、生成方法及び生成プログラム | |
Hovmark et al. | Towards Extending Probabilistic Attack Graphs with Forensic Evidence: An investigation of property list files in macOS | |
Svensson et al. | Navigating the Shadows: Overcoming Obstacles Posed by Anti-forensic Tools |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160614 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160712 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5972401 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |