JP5972401B2 - 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム - Google Patents

攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム Download PDF

Info

Publication number
JP5972401B2
JP5972401B2 JP2014557329A JP2014557329A JP5972401B2 JP 5972401 B2 JP5972401 B2 JP 5972401B2 JP 2014557329 A JP2014557329 A JP 2014557329A JP 2014557329 A JP2014557329 A JP 2014557329A JP 5972401 B2 JP5972401 B2 JP 5972401B2
Authority
JP
Japan
Prior art keywords
attack
information
analysis
log
search
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014557329A
Other languages
English (en)
Other versions
JPWO2014112185A1 (ja
Inventor
裕之 榊原
裕之 榊原
鐘治 桜井
鐘治 桜井
河内 清人
清人 河内
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Application granted granted Critical
Publication of JP5972401B2 publication Critical patent/JP5972401B2/ja
Publication of JPWO2014112185A1 publication Critical patent/JPWO2014112185A1/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラムに関する。特に、攻撃検知システムとログ分析システムとを連携して効率的に攻撃分析を行う攻撃分析システムに関する。
近年、マルウェアが機密情報を組織外に漏洩させる事故が問題となっている。マルウェアを用いたサイバー攻撃は高度化されつつあり、例えば、非特許文献1に示されるAPT(高度かつ継続的な脅威:Advanced・Persistent・Threat)と呼ばれる攻撃等がある。
APTでは、添付メールなどで組織に侵入したマルウェアが、計算機に感染し、さらに、攻撃者が運用するインターネット上のC&C(Command&Control)サーバと通信し、新しいマルウェアや攻撃ツールをダウンロードしたり自身をアップデートする。そして、組織内を偵察し、ファイルサーバを見つけ、機密ファイルをC&Cサーバへ漏洩する。これらの各活動を、攻撃とみなした場合、各攻撃は、長時間かけて段階的に行われる。例えば、計算機に感染したマルウェアは、感染後、1ヶ月は活動せず身を潜め、1ヵ月後にC&Cサーバと通信を開始する。
このように、APTでは、複数の攻撃が、時間をおいて行われる。
APTの対策には、様々な方法がある。APT対策の製品として、メールによる侵入を防止する製品、情報漏洩を防止する製品などがある。
また、APT対策の方法の一つとして自動的にログ分析する方法がある。自動的にログ分析する方法は、計算機、サーバ、ルータ等のネットワーク機器、ファイアウォール、侵入検知システム等のセキュリティ機器等のログを分析し、相互の相関関係を調べる、あるいはログから異常な記録を見つける。自動的にログ分析する方法は、このような分析をすることにより、APTを検知する、あるいは経過を観察する方法である。
ファイアウォール、あるいは侵入検知システム等のセキュリティ機器のログなどの相関関係を調べることで自動的に異常を検知する製品の例として、SIEM(セキュリティ情報およびイベント管理:Security・Information・and・Event・Management)システムがある(特許文献1参照)。SIEMシステムは、統合ログ監視システムなどと呼ばれることもある。
また、各種ログを様々なキーワードでドリルダウンする、あるいは時系列で状況変化を表示する等により、人間が異常を発見するログ分析システムがある。
特許文献1では、業務システム用サーバとは別に中継サーバを導入し、中継サーバにおいてユーザ認証を行なうとともに、利用ログを収集する方法が提案されている。
特表2004−537075号公報
「新しいタイプの攻撃」の対策に向けた設計・運用ガイド,改訂第2版,IPA
SIEMシステムでは、オンメモリでリアルタイムにイベントを監視しているので、複雑な相関分析や多発するイベントの相関分析は実質的にはできないため、APTに対して十分な対策がとれないという課題がある。
また、ログ分析システムでは、複数のログに対して複雑な検索を実行することができるが、相関分析のようにリアルタイムにイベントを検知するためには検索を短時間に繰り返し実行する必要がある。したがって、複数の検索式を多数同時に行うために、膨大な計算リソースが必要であるという課題がある。
つまり、ログを分析する方法によるAPTの検知においては、SIEMシステムもログ分析ステムも単体では対応しきれないという課題がある。
本発明は、上記のような課題を解決するためになされたものであり、SIEMシステムで検知した攻撃について、攻撃シナリオを元にログ分析システムを連携させ、将来起こる可能性のある攻撃の痕跡をログから効率よく発見することを目的とする。
本発明に係る攻撃分析システムは、
監視対象ネットワークに接続される機器のログ情報を収集するログ収集装置と、
前記監視対象ネットワークに対する攻撃を検知し、検知した攻撃が発生した攻撃発生時期を含む警告情報を送信する検知装置と、
前記監視対象ネットワークに対して発生すると予測される複数の攻撃を示す攻撃シナリオ情報を記憶し、前記検知装置から受信した前記警告情報と前記攻撃シナリオ情報とに基づいて、前記攻撃発生時期の前後の時期において発生すると予測される攻撃の予測発生時期を算出し、算出した前記予測発生時期の前記ログ情報を分析する要求であるスケジュール分析要求を送信する連携装置と、
前記連携装置から送信された前記スケジュール分析要求に基づいて、前記ログ収集装置により収集された前記ログ情報のうち、前記予測発生時期の前記ログ情報を分析する分析装置とを備える
本発明に係る攻撃分析システムによれば、連携装置が攻撃シナリオ情報を記憶装置に記憶し、検知した攻撃の情報を含む警告情報を検知装置から受信し、警告情報と攻撃シナリオ情報とに基づいて、検知した攻撃の次に発生すると予測される攻撃の予測発生時期を算出し、算出した予測発生時期にログ情報を検索するようにスケジュール検索を分析装置に送信するので、検知装置と分析装置を連携させることにより、将来起こる可能性のある攻撃の痕跡をログ情報から効率よく発見することができるという効果を奏する。
実施の形態1に係るログ分析連携システム1000の全体構成を示す図である。 実施の形態1に係るログ分析連携装置1、ロガー901、SIEM装置902、ログ分析装置903のハードウェア構成の一例を示す図である。 実施の形態1に係るログ分析連携装置1の構成及び動作の概要を示す図である。 実施の形態1に係る警告情報1201の構成の一例を示す図である。 実施の形態1に係る攻撃シナリオ1104の構成の一例を示す図である。 実施の形態1に係る対策情報1107の構成の一例を示す図である。 実施の形態1に係る資産情報1109の構成の一例を示す図である。 実施の形態1に係る攻撃可否判定部107の攻撃可否判定処理を示すフローチャートである。 実施の形態2に係るログ分析連携装置1の構成及び動作の概要を示す図である。 実施の形態4に係るログ分析連携装置1の構成及び動作の概要を示す図である。 実施の形態4に係る認証サーバ10の構成と動作とを示す図である。 実施の形態4に係るパスワードリセット装置11により生成される電子メールの一例を示す図である。 実施の形態4に係るパスワードリセット装置11の構成と動作とを示す図である。 実施の形態4に係るパスワードリセット装置11のリセット用パスワード8203及びパスワードリセット通知文面8202の生成方法を示す図である。
実施の形態1.
図1は、本実施の形態に係るログ分析連携システム1000の全体構成を示す図である。図1を用いて、本実施の形態に係るログ分析連携システム1000(攻撃分析システムの一例)の全体構成と動作の概要について説明する。
図1において、ログ分析連携システム1000は、ロガー901(ログ収集装置の一例)、SIEM装置902(検知装置の一例)、ログ分析装置903(分析装置の一例)、ログ分析連携装置1(連携装置の一例)を備える。
ロガー901は、監視対象ネットワークが備える少なくとも1つの機器(通信機器904)のログを収集して記憶装置にログ情報として記憶する。
ロガー901は、監視対象のPCやサーバなどの計算機904a、ルータなどのネットワーク機器904b、ファイアウォールや侵入検知装置などのセキュリティ機器904c、スマートフォンやタブレットPCなどのモバイル機器905と接続する。
ロガー901は、計算機904a、ネットワーク機器904b、セキュリティ機器904c、モバイル機器905等のログを収集、蓄積する。
SIEM装置902は、ロガー901に蓄積されたログを相関分析するなどして異常を検知する。SIEM装置902は、検知ルール912を備える。SIEM装置902は、例えば、検知ルール912を記憶装置に記憶する。
検知ルール912は、攻撃などの異常を検知するためのログ分析のルールである。検知ルール912は、例えば、相関分析のルールである。
ログ分析装置903は、オペレータによる操作により、ロガー901に蓄積されたログをキーワード検索でドリルダウンする等の分析をする。また、ログ分析装置903は、オペレータによる操作により、特定のサーバへのアクセス状況を可視化し、状況を目視できるように表示する。このように、ログ分析装置903では、オペレータによる操作によりログを分析し、オペレータが異常を発見する。
ログ分析連携装置1は、SIEM装置902とログ分析装置903との間に位置し、SIEM装置902と接続するとともにログ分析装置903と接続する。
ログ分析連携装置1は、SIEM装置902とログ分析装置903とを連携する。
ログ分析連携装置1は、攻撃シナリオDB1013、資産DB1015、セキュリティ対策DB1014を備える。
ログ分析連携装置1がSIEM装置902とログ分析装置903とを連携する動作の概要について説明する。
SIEM装置902は、ロガー901からログ911を収集し、検知ルール912を用いて、リアルタイムの相関分析を実行する。このように、SIEM装置902は、常に異常検知を実行している。
以下に、図1を用いて、SIEM装置902が異常を検知した場合の動作(攻撃分析連携方法)の一例について説明する。以下の(1)〜(8)は、図1の(1)〜(8)に対応する。
(1)SIEM装置902は、検知ルール912における検知ルールBにより、攻撃b(検知攻撃)を検知する。
(2)SIEM装置902は、攻撃bを検知したことを警告情報1201’として、ログ分析連携装置1に通知する(警告情報送信処理,警告情報送信工程)。ログ分析連携装置1は、警告情報を受信する(警告情報受信処理,警告情報受信工程)。
(3)ログ分析連携装置1は、攻撃bの次に起こると予測される攻撃c(次攻撃)を、DBから検索する。ログ分析連携装置1は、攻撃bの後に起こる攻撃cの発生の可能性を、攻撃シナリオDB1013、資産DB1015、セキュリティ対策DB1014から判断する。攻撃シナリオDB1013、資産DB1015、セキュリティ対策DB1014は、例えば、ログ分析連携装置1の備える記憶装置1’に記憶されている。
(4)ログ分析連携装置1は、ログ分析装置903に対し、攻撃cの痕跡をログから検索するためにスケジュール検索915を依頼する。言い換えると、ログ分析連携装置1は、攻撃b(検知攻撃、検知した攻撃)の次に発生すると予測される攻撃c(次攻撃、分析対象攻撃)が発生すると予測される時期(予測発生時期)を算出し、攻撃c(次攻撃)が発生すると予測される時期(予測発生時期)のログをスケジュール検索するために、ログ分析装置903に対し、スケジュール検索915を依頼する((3),(4)の処理は、スケジュール分析要求処理,スケジュール分析要求工程)。
(5)ログ分析装置903は、スケジュール検索915の依頼にもとづき、ロガー901に対してスケジュール検索916を実行する。
(6)ログ分析装置903は、スケジュール検索916の検索結果917を受信する。
(7)ログ分析装置903は、受信した検索結果917を検索結果918として、ログ分析連携装置1へ送信する。
(8)ログ分析連携装置1は、(7)の結果を受信し、(7)の結果に応じた処理を実行する(ログ情報分析処理,ログ情報分析工程)。
ログ分析連携装置1は、(7)の結果、攻撃cが検出されなかった場合、攻撃cの発生時期が攻撃シナリオ1104と合っていない可能性があると判断する。そして、ログ分析連携装置1は、スケジュール検索915のタイミングを変更し、さらに、ログ分析装置903へスケジュール検索915を発行する。
ログ分析連携装置1は、(7)の結果、攻撃cが検出された場合は、攻撃cが検索されたことをGUI上でオペレータに通知する。オペレータは、この通知を受け、ログ分析装置903を用いてさらに詳しく攻撃cの痕跡などを分析する。
モバイル機器905(特定の機器)は、CPU、メモリ、回線等の制約により、常にログを収集することが難しい場合がある。したがって、ロガー901は、通常は、モバイル機器905からのログは行わない。あるいは、ロガー901は、1日に1回等の定期的あるいは不定期に、モバイル機器905からログを収集するとしてもよい。
ログ分析連携装置1は、(1)〜(3)において、攻撃cがモバイル機器905で発生すると判断した場合、(4)のスケジュール検索915のタイミングで、(4)のスケジュール検索915の前にスケジュール収集915’をログ分析装置903へ通知する((4)’)。
ログ分析装置903は、ログ分析連携装置1から通知されたスケジュール収集915’を、スケジュール収集916’としてロガー901へ通知する((5)’)。
ロガー901は、ログ分析装置903からスケジュール収集916’を通知されると、モバイル機器905にスケジュール収集916’’を通知し((5)’’)、モバイル機器905からログ917’’を収集する((6)’’)。ロガー901は、モバイル機器905からのログの収集結果を、収集結果917’として、ログ分析装置903へ送信する((6)’)。
ログ分析装置903は、ロガー901から収集結果917’を受信すると、収集結果918’としてログ分析連携装置1へ送信する((7)’)。
この後、ログ分析連携装置1、ログ分析装置903、ロガー901は、上記(4)〜(7)を実行する。
以上で、ログ分析連携システム1000の全体構成と動作の概要についての説明を終わる。
図2は、本実施の形態に係るログ分析連携装置1、ロガー901、SIEM装置902、ログ分析装置903のハードウェア構成の一例を示す図である。
図2において、ログ分析連携装置1、ロガー901、SIEM装置902、ログ分析装置903は、コンピュータであり、LCD1901(Liquid・Crystal・Display)、キーボード1902(K/B)、マウス1903、FDD1904(Flexible・Disc・Drive)、CDD1905(Compact・Disc・Drive)、プリンタ1906といったハードウェアデバイスを備えている。これらのハードウェアデバイスはケーブルや信号線で接続されている。LCD1901の代わりに、CRT(Cathode・Ray・Tube)、あるいは、その他の表示装置が用いられてもよい。マウス1903の代わりに、タッチパネル、タッチパッド、トラックボール、ペンタブレット、あるいは、その他のポインティングデバイスが用いられてもよい。
ログ分析連携装置1、ロガー901、SIEM装置902、ログ分析装置903は、プログラムを実行するCPU1911(Central・Processing・Unit)を備えている。CPU1911は、処理装置の一例である。CPU1911は、バス1912を介してROM1913(Read・Only・Memory)、RAM1914(Random・Access・Memory)、通信ボード1915、LCD1901、キーボード1902、マウス1903、FDD1904、CDD1905、プリンタ1906、HDD1920(Hard・Disk・Drive)と接続され、これらのハードウェアデバイスを制御する。HDD1920の代わりに、フラッシュメモリ、光ディスク装置、メモリカードリーダライタ、あるいは、その他の記録媒体が用いられてもよい。
RAM1914は、揮発性メモリの一例である。ROM1913、FDD1904、CDD1905、HDD1920は、不揮発性メモリの一例である。これらは、記憶装置、記憶部の一例である。通信ボード1915、キーボード1902、マウス1903、FDD1904、CDD1905は、入力装置の一例である。また、通信ボード1915、LCD1901、プリンタ1906は、出力装置の一例である。
通信ボード1915は、LAN(Local・Area・Network)等に接続されている。通信ボード1915は、LANに限らず、IP−VPN(Internet・Protocol・Virtual・Private・Network)、広域LAN、ATM(Asynchronous・Transfer・Mode)ネットワークといったWAN(Wide・Area・Network)、あるいは、インターネットに接続されていても構わない。LAN、WAN、インターネットは、ネットワークの一例である。
HDD1920には、オペレーティングシステム1921(OS)、ウィンドウシステム1922、プログラム群1923、ファイル群1924が記憶されている。プログラム群1923のプログラムは、CPU1911、オペレーティングシステム1921、ウィンドウシステム1922により実行される。プログラム群1923には、本実施の形態の説明において「〜部」として説明する機能を実行するプログラムが含まれている。プログラムは、CPU1911により読み出され実行される。ファイル群1924には、本実施の形態の説明において、「〜データ」、「〜情報」、「〜ID(識別子)」、「〜フラグ」、「〜結果」として説明するデータや情報や信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」や「〜テーブル」の各項目として含まれている。「〜ファイル」や「〜データベース」や「〜テーブル」は、RAM1914やHDD1920等の記録媒体に記憶される。RAM1914やHDD1920等の記録媒体に記憶されたデータや情報や信号値や変数値やパラメータは、読み書き回路を介してCPU1911によりメインメモリやキャッシュメモリに読み出され、抽出、検索、参照、比較、演算、計算、制御、出力、印刷、表示といったCPU1911の処理(動作)に用いられる。抽出、検索、参照、比較、演算、計算、制御、出力、印刷、表示といったCPU1911の処理中、データや情報や信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
本実施の形態の説明において用いるブロック図やフローチャートの矢印の部分は主としてデータや信号の入出力を示す。データや信号は、RAM1914等のメモリ、FDD1904のフレキシブルディスク(FD)、CDD1905のコンパクトディスク(CD)、HDD1920の磁気ディスク、光ディスク、DVD(Digital・Versatile・Disc)、あるいは、その他の記録媒体に記録される。また、データや信号は、バス1912、信号線、ケーブル、あるいは、その他の伝送媒体により伝送される。
本実施の形態の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜工程」、「〜手順」、「〜処理」であってもよい。即ち、「〜部」として説明するものは、ROM1913に記憶されたファームウェアで実現されていても構わない。あるいは、「〜部」として説明するものは、ソフトウェアのみ、あるいは、素子、デバイス、基板、配線といったハードウェアのみで実現されていても構わない。あるいは、「〜部」として説明するものは、ソフトウェアとハードウェアとの組み合わせ、あるいは、ソフトウェアとハードウェアとファームウェアとの組み合わせで実現されていても構わない。ファームウェアとソフトウェアは、プログラムとして、フレキシブルディスク、コンパクトディスク、磁気ディスク、光ディスク、DVD等の記録媒体に記憶される。プログラムはCPU1911により読み出され、CPU1911により実行される。即ち、プログラムは、本実施の形態の説明で述べる「〜部」としてコンピュータを機能させるものである。あるいは、プログラムは、本実施の形態の説明で述べる「〜部」の手順や方法をコンピュータに実行させるものである。
図3は、本実施の形態に係るログ分析連携装置1の構成及び動作の概要を示す図である。
図3を用いて、本実施の形態に係るログ分析連携装置1の構成を説明する。本実施の形態では、ログ分析連携装置1は、スケジュール収集部108、収集スケジュール条件1204、外部連携部(収集)109は使用しない。
図3に示すように、ログ分析連携装置1は、入力部101、警告解釈部102、攻撃シナリオDB検索部103、関連攻撃抽出部104、セキュリティ対策検索部105、資産DB検索部106、攻撃可否判定部107、スケジュール検索部1010、外部連携部(検索)1011、出力部1012を備える。
また、ログ分析連携装置1は、攻撃シナリオDB1013、セキュリティ対策DB1014、資産DB1015を記憶装置に記憶する。
入力部101は、警告情報1201’を入力し、データ1101を出力する。
警告解釈部102は、データ1101を入力し、警告情報1102と資産検索情報1108を出力する。
攻撃シナリオDB検索部103は、シナリオ抽出条件1202を入力し、攻撃識別情報1103を用いて攻撃シナリオDB1013を検索する。攻撃シナリオDB検索部103は、検索結果である攻撃シナリオ1104を入力する。また、攻撃シナリオDB検索部103は、入力した攻撃シナリオ1104を関連攻撃抽出部104へ出力する。
攻撃シナリオDB1013は、APT(高度かつ継続的な脅威)を実行する複数の攻撃のシーケンスと、その時間間隔などの情報をシナリオとして保存する。
攻撃シナリオDB1013は、監視対象ネットワークに対して発生すると予測される複数の攻撃の各々を識別する複数の攻撃識別子を含む攻撃シナリオ情報であって、複数の攻撃の発生する順番と、順番が連続する2つの攻撃の発生間隔とを含む攻撃シナリオ情報を予め記憶装置に記憶する攻撃シナリオ情報記憶部の一例である。
関連攻撃抽出部104は、関連攻撃抽出条件1203を入力し、関連攻撃情報1105をセキュリティ対策検索部105と、攻撃可否判定部107へ出力する。
セキュリティ対策検索部105は、関連攻撃情報1105を入力し、関連攻撃検索情報1106を用いて、セキュリティ対策DB1014を検索する。そして、セキュリティ対策検索部105は、その検索結果である、対策有無1107’を入力する。セキュリティ対策検索部105は、対策有無1107’を攻撃可否判定部107へ出力する。
セキュリティ対策DB1014は、侵入検知/防御装置などによる攻撃への対策実施に関わる情報を保存する。
資産DB検索部106は、資産検索情報1108を入力し、資産検索情報1108を用いて資産DB1015を検索する。資産DB検索部106は、その検索結果である資産情報1109を入力する。
資産DB1015は、PCやサーバなどの、資産ID、IPアドレス、使用OSやアプリケーション、パッチ適用状況などの情報を保存する。
攻撃可否判定部107は、資産情報1109と、関連攻撃情報1105と、対策有無1107’とを入力し、ログ検索情報1113をスケジュール検索部1010に出力する。
攻撃シナリオDB検索部103、関連攻撃抽出部104、資産DB検索部106、攻撃可否判定部107は、次攻撃情報取得部の一例である。
スケジュール検索部1010は、検索スケジュール条件1205とログ検索情報1113とを入力し、検索命令1114を外部連携部(検索)1011へ出力する。スケジュール検索部1010は、検索命令1114に対する結果である、検索結果1115を入力する。スケジュール検索部1010は、予測発生時期のログ情報を分析する要求である検索命令1114(スケジュール分析要求)をログ分析装置903に送信するスケジュール分析要求部の一例である。
外部連携部(検索)1011は、スケジュール検索部1010から検索命令1114を入力し、外部へ検索命令1208を出力する。外部連携部(検索)1011は、検索命令1208の結果である検索結果1209を入力し、スケジュール検索部1010へ検索結果1115を出力する。
出力部1012は、スケジュール検索部1010から検索結果1116を入力し、検知結果1210を外部へ出力する。
図4は、本実施の形態に係る警告情報1201の構成の一例を示す図である。図5は、本実施の形態に係る攻撃シナリオ1104の構成の一例を示す図である。図6は、本実施の形態に係る対策情報1107の構成の一例を示す図である。図7は、本実施の形態に係る資産情報1109の構成の一例を示す図である。
次に、図1、図3〜図7を用いて、ログ分析連携装置1の動作について説明する。
図1及び図3に示すように、入力部101は、SIEM装置902から警告情報1201’を入力する。
警告情報1201’は、図4に示す警告情報1201が、フォーマット化された情報である。図4に示すように、警告情報1201は、以下の内容から構成される。
(a)日時:攻撃が発生した日時。
(b)攻撃ID:攻撃を識別する情報。
(c)攻撃種別:攻撃の種別(例えば、DoS(Denial・of・Service)攻撃、権限昇格など)。
(d)脆弱性ID:攻撃がソフトウェアなどの脆弱性を悪用することで成り立つ場合、その識別情報(例えば、CVE番号(脆弱性識別番号))。
(e)攻撃元情報:SourceIP/Port、資産IDなど攻撃元に関する情報。
(f)攻撃先情報:DestinationIP/Port、資産IDなど攻撃先に関する情報。
ログ分析連携装置1は、警告情報1201’を、例えば、UDPやTCPパケットとして入力する。警告情報1201’は、パケットのボディ部に警告情報1201を格納する形でフォーマット化される。
入力部101は、警告情報1201がフォーマット化された情報である警告情報1201’から、パケットのボディ部であるデータ1101を取り出し、警告解釈部102へ出力する。すなわち、データ1101とは、警告情報1201のことである。
警告解釈部102は、警告情報1201であるデータ1101を入力する。警告解釈部102は、入力したデータ1101を、日時、攻撃ID、攻撃種別、脆弱性ID、攻撃元情報、攻撃先情報などの構成要素に分解する(解釈する)。警告解釈部102は、この結果を、警告情報1102とし、攻撃シナリオDB検索部103へ出力する。警告情報1102の内容は、警告情報1201の内容と同じである。
攻撃シナリオDB検索部103は、警告情報1102から、攻撃ID、攻撃種別、脆弱性IDを抽出し、攻撃識別情報1103として、攻撃シナリオDB1013に出力する。
このとき、攻撃シナリオDB検索部103は、シナリオ抽出条件1202を入力する。シナリオ抽出条件1202とは、攻撃シナリオDB1013から検索する攻撃シナリオ1104の数を指定する条件である。シナリオ抽出条件1202としては、例えば、1つ、複数、あるいは指定された数を条件とする。ここでは、シナリオ抽出条件1202として、攻撃シナリオDB1013から検索する攻撃シナリオ1104の数は「1つ」として指定するものとする。
次に、図5を用いて、攻撃シナリオ1104について説明する。
攻撃シナリオDB1013では、攻撃識別情報1103に基づいて、攻撃ID若しく脆弱性IDが含まれる攻撃シナリオを検索する。
図5に示すように、攻撃シナリオ1104は、以下のように構成される。
1104_e1:攻撃シナリオ要素1→1104_s1:間隔1→1104_e2:攻撃シナリオ要素2→1104_s2:間隔2→1104_e3:攻撃シナリオ要素3。
攻撃シナリオ要素1104_ei(i=1,2,3)は、1つ1つの攻撃の情報である。
それぞれの攻撃シナリオ要素1104_ei(i=1,2,3)は、攻撃識別情報1104_a、攻撃情報1104_b、対策識別情報1104_c、対策情報1104_dから構成される。これらの情報は、攻撃を識別する攻撃識別子の一例である。
図5に示すように、攻撃識別情報1104_a、攻撃情報1104_b、対策識別情報1104_c、対策情報1104_dとは、以下の情報である。
(a)攻撃識別情報1104_a:攻撃ID、攻撃種別、脆弱性ID。
(b)攻撃情報1104_b:影響を受ける製品(製品ID、バージョン情報、パッチID)、必要とする実行権限、キーワード、その他の情報。
(c)対策識別情報1104_c:対策ID。
(d)対策情報1104_d:パッチID、回避策ID、回避策内容、その他の情報。
ここで、攻撃情報1104_bのキーワードとは、攻撃発生において起こりうる事象を示すもので、例えば、OSのレジストリの書き換えが発生するのであれば、キーワードは、「OS、registry、modify」である。
図5に示す攻撃シナリオ1104は、攻撃シナリオ要素1:1104_e1が最初に発生し、間隔1:1104_s1の後、攻撃シナリオ要素2:1104_e2が発生し、間隔2:1104_s2の後、攻撃シナリオ要素3:1104_e3が発生するというシナリオを示している。
間隔1:1104_s1は、例えば「24時間」である。これは、攻撃シナリオ要素1:1104_e1の後、24時間後に攻撃シナリオ要素2:1104_e2が発生することを示す。
ログ分析連携装置1は、攻撃シナリオDB記憶部(図3参照)を備える。攻撃シナリオDB記憶部は、過去の事例に基づき、上記のような攻撃シナリオ1104を作成し、攻撃シナリオDB1013に保存する。
なお、攻撃シナリオ1104を構成する攻撃シナリオ要素1104_eiは1つ以上であり、2つでも、3つでも、それ以上でも構わない。
攻撃シナリオDB検索部103は、攻撃識別情報1103を用いて、攻撃シナリオDB1013を検索する。攻撃シナリオDB検索部103は、例えば、攻撃識別情報1103の構成要素である攻撃IDが、「攻撃シナリオ要素1104_eの攻撃識別情報1104_aに含まれる攻撃シナリオ」を検索する。
攻撃シナリオDB検索部103は、攻撃IDで検索結果を得ることができなければ、脆弱性IDで検索する。
攻撃シナリオDB検索部103は、上記の様にして検索された結果を、攻撃シナリオ1104として、攻撃シナリオDB1013から抽出する。
以上のように、ログ分析連携装置1は、SIEM装置902から受信した警告情報1201’により通知された攻撃が含まれる攻撃シナリオ1104を、攻撃シナリオDB1013から抽出する。
攻撃シナリオDB検索部103は、攻撃シナリオDB1013から入力された攻撃シナリオ1104を関連攻撃抽出部104へ出力する。
関連攻撃抽出部104は、攻撃シナリオ1104を入力し、処理装置により、攻撃シナリオ1104を分析する。関連攻撃抽出部104は、通知された攻撃シナリオ1104に含まれる攻撃に関連する情報を抽出する。
このとき、関連攻撃抽出部104は、関連攻撃抽出条件1203を入力する。関連攻撃抽出条件1203とは、以下の内容である。
(a)通知された攻撃の以降に発生する攻撃:n個(1〜all)、又は、通知された攻撃の以前に発生する攻撃:m個(1〜all)
例えば、関連攻撃抽出条件1203が、「通知された攻撃の以降に発生する攻撃:1個」と指定された場合、通知された攻撃の次に起こる攻撃と、その間隔に関しての情報のみを抽出する。allと指定された場合は、通知された攻撃の後に起こる全ての攻撃とその間隔に関しての情報を抽出する。
関連攻撃抽出部104により抽出される攻撃は、通知された攻撃の前後の時期において発生すると予測される分析対象攻撃の一例である。
例えば、関連攻撃抽出条件1203が、「通知された攻撃の以前に発生する攻撃:1個」と指定された場合、通知された攻撃の前に起こる攻撃とその間隔に関しての情報のみを抽出する。allと指定された場合は、通知された攻撃の前に起こる全ての攻撃とその間隔に関しての情報を抽出する。
ここでは、関連攻撃抽出条件1203は、「通知された攻撃の以降に発生する攻撃:1個」と指定されたものとする。
例えば、警告情報1102に含まれる攻撃IDが攻撃シナリオ要素2:1104_e2の攻撃IDであるとする。
攻撃シナリオDB検索部103は、図5に示す攻撃シナリオ1104を攻撃シナリオDB1013から抽出する。
そして、関連攻撃抽出部104は、関連攻撃抽出条件1203である「通知された攻撃の以降に発生する攻撃:1個」を入力し、攻撃シナリオ1104から攻撃シナリオ要素2:1104_e2(通知された攻撃)の以降の攻撃として「攻撃シナリオ要素3:1104_e3」を抽出し、「間隔」として「間隔2:1104_s2」を抽出する。
すなわち、関連攻撃抽出部104が抽出した関連攻撃情報1105は、「通知された攻撃の以降に発生する攻撃」(次攻撃)(分析対象攻撃)として「攻撃シナリオ要素3:1104_e3」、「間隔」として「間隔2:1104_s2」(次発生間隔)である。
以上のように、関連攻撃抽出部104は、関連攻撃情報1105を抽出する。
次に、関連攻撃抽出部104は、関連攻撃情報1105をセキュリティ対策検索部105に出力する。
セキュリティ対策検索部105は、入力した関連攻撃情報1105を用いて、セキュリティ対策DB1014を検索する。具体的には、セキュリティ対策検索部105は、入力した関連攻撃情報1105に含まれる「攻撃シナリオ要素3:1104_e3」、「間隔2:1104_s2」を用いて、セキュリティ対策DB1014を検索する。
図6は、セキュリティ対策DB1014に格納される対策情報1107の構成を示す図である。
図6を用いて、対策情報1107の構成について説明する。
対策情報1107は、攻撃識別情報1107_a、攻撃情報1107_b、対策識別情報1107_c、対策情報1107_d、対策実施情報1107_eから構成される。
攻撃識別情報1107_a、攻撃情報1107_b、対策識別情報1107_c、対策情報1107_d、対策実施情報1107_eの内容は、以下の情報である。
(a)攻撃識別情報1107_a:攻撃ID、攻撃種別、脆弱性ID。
(b)攻撃情報1107_b:影響を受ける製品(製品ID、バージョン情報、パッチID)、必要とする実行権限、キーワード、その他の情報。
(c)対策識別情報1107_c:対策ID。
(d)対策情報1107_d:パッチID、回避策ID、回避策内容、その他の情報。
(e)対策実施情報1107_e:対策実施の有無(現在、侵入検知装置などで対策を実施しているか否か)。
セキュリティ対策検索部105は、入力した関連攻撃情報1105を用いて、セキュリティ対策DB1014から対応する対策情報1107を抽出する。具体的には、セキュリティ対策検索部105は、入力した関連攻撃情報1105に含まれる「攻撃シナリオ要素3:1104_e3」を構成する「攻撃識別情報1104_a」に含まれる攻撃IDあるいは脆弱性IDを含む対策情報1107のエントリをセキュリティ対策DB1014から抽出する。
セキュリティ対策検索部105は、抽出した対策情報1107のエントリにおける対策実施情報1107_eを抽出する。セキュリティ対策検索部105は、抽出した対策実施情報1107_eの内容である対策実施の有無を対策有無1107’として抽出する。
セキュリティ対策検索部105は、セキュリティ対策DB1014から抽出した対策有無1107’を攻撃可否判定部107へ出力する。
資産DB検索部106は、警告解釈部102から資産検索情報1108を入力する。
資産検索情報1108は、警告情報1102(図4の警告情報1201に相当)の一部の情報であり、攻撃先情報が該当する。
攻撃先情報は、DestinationIP/Port、資産IDなど攻撃先に関する情報である。
資産DB検索部106は、この攻撃先情報のうち、DestinationIP(或いはMAC)、資産IDなど、資産を特定できる情報を資産検索情報1108とする。
資産DB検索部106は、資産検索情報1108を資産DB1015に出力する。
資産DB検索部106は、資産検索情報1108(資産を特定できる情報)を用いて、資産DB1015を検索する。
資産DB検索部106は、資産検索情報1108にマッチするエントリを資産DB1015から資産情報1109として抽出する。
図7は、資産DB1015で管理する資産情報1109の構成を示す図である。
図7を用いて、資産情報1109の構成について説明する。
資産情報1109は、資産識別情報1109_a、資産OS情報1109_b、資産アプリ情報1109_c、資産実行情報1109_d、資産セキュリティ施策情報1109_eから構成される。資産情報1109を構成する資産識別情報1109_a、資産OS情報1109_b、資産アプリ情報1109_c、資産実行情報1109_d、資産セキュリティ施策情報1109_eの内容は、例えば、以下の情報である。
(a)資産識別情報1109_a:資産ID、IPアドレス、MACアドレス、ユーザID。
(b)資産OS情報1109_b:OS(製品ID、バージョン情報)、適用パッチ(パッチID)/適用回避策(回避策ID)。
(c)資産アプリ情報1109_c:アプリ(製品ID、バージョン情報)、適用パッチ(パッチID)/適用回避策(回避策ID)。
(d)資産実行情報1109_d:実行権限。
(e)資産セキュリティ施策情報1109_e:セキュリティ施策(セキュリティ設定、ソフトなど)。
つまり、資産DB1015は、資産検索情報1108(攻撃先情報)のDestinationIP(或いはMAC)/資産IDが、資産識別情報1109_aにマッチするエントリを、自身に保存しているエントリから検索し、資産情報1109として資産DB検索部106へ出力する。
資産DB検索部106は、資産DB1015から入力した資産情報1109を攻撃可否判定部107へ出力する。
攻撃可否判定部107は、資産情報1109、関連攻撃情報1105、対策有無1107’を入力し、ログ検索情報1113を出力する。
攻撃可否判定部107は、攻撃可否判定処理を実行することにより、ログ検索情報1113を出力する。
図8は、本実施の形態に係る攻撃可否判定部107の攻撃可否判定処理を示すフローチャートである。図8を用いて、攻撃可否判定部107の攻撃可否判定処理について説明する。
S107_1において、攻撃可否判定部107は、関連攻撃情報1105(攻撃シナリオ要素1104_e)に含まれる攻撃識別情報1104_aで識別される攻撃が侵入検知装置などで対策されているか否かについて、対策有無1107’を用いて、処理装置により判断する。以下、関連攻撃情報1105(攻撃シナリオ要素1104_e)に含まれる攻撃識別情報1104_aで識別される攻撃を、判定対象攻撃とする。
具体的には、攻撃可否判定部107は、通知された攻撃(攻撃シナリオ要素2:1104_e2)の次の攻撃(攻撃シナリオ要素3:1104_e3)の攻撃識別情報1104_aで識別される攻撃(判定対象攻撃)が侵入検知装置などで対策されているか否かについて、対策有無1107’を用いて、処理装置により判断する。
攻撃可否判定部107は、判定対象攻撃が対策実施済であれば(S107_1でYES)、S107_9に処理を進める。攻撃可否判定部107は、判定対象攻撃が対策未実施であれば(S107_1でNO)、S107_2に処理を進める。
S107_2において、攻撃可否判定部107は、判定対象攻撃について、攻撃対象となる資産は、該当するOSやアプリケーションを使用しているか調べる。
この処理は、以下のように実行される。
上述したように、攻撃可否判定部107は、判定対象攻撃に対応する関連攻撃情報1105を入力する。関連攻撃情報1105(攻撃シナリオ要素1104_e)における攻撃情報1104_bには、影響を受ける製品の情報が「製品ID、バージョン情報、パッチID」として含まれている(図5参照)。
また、上述したように、攻撃可否判定部107は、判定対象攻撃に対応する資産情報1109を入力する。
資産情報1109には、資産OS情報1109_b(OS(製品ID、バージョン情報)、適用パッチ(パッチID)/適用回避策(回避策ID)、資産アプリ情報1109_c(アプリ(製品ID、バージョン情報)、適用パッチ(パッチID)/適用回避策(回避策ID)が含まれている。資産OS情報1109_b、資産アプリ情報1109_cにおける適用回避策(回避策ID)は、施策設定でもよい。
攻撃可否判定部107は、判定対象攻撃に対応する関連攻撃情報1105と判定対象攻撃に対応する資産情報1109とに基づいて、攻撃の対象となる資産が、影響を受ける製品を使っているかどうかを処理装置により判断する。
具体的には、攻撃可否判定部107は、攻撃情報1104_bの影響を受ける製品の情報「製品ID、バージョン情報、パッチID」が、資産OS情報1109_bの「OS(製品ID、バージョン情報)、適用パッチ(パッチID)」に該当するか、あるいは、資産アプリ情報1109_cの「アプリ(製品ID、バージョン情報)、適用パッチ(パッチID)」に該当するかを処理装置により判定する。
つまり、「製品ID、バージョン情報、パッチID」は、攻撃情報1104_b、資産OS情報1109_b、資産アプリ情報1109_cの何れにも含まれる情報であるから、該当するものがあるか無いかは、製品ID、バージョン情報、パッチIDのマッチングを取れば判断できる。
攻撃可否判定部107は、攻撃の対象となる資産が影響を受ける製品を使っていると判断した場合は(S107_2でYES)、S107_3に処理を進める。攻撃可否判定部107は、攻撃の対象となる資産が影響を受ける製品を使っていないと判断した場合は(S107_2でNO)、S107_9に処理を進める。
S107_3において、攻撃可否判定部107は、関連攻撃情報1105(攻撃シナリオ要素1104_eに該当)に含まれる攻撃識別情報1104_aで識別される攻撃について、パッチが存在するか否かを処理装置により判断する。
これは、関連攻撃情報1105(攻撃シナリオ要素1104_eに該当)に含まれる、対策情報1104_dの情報において、パッチIDが存在するか否かで判断する。
攻撃可否判定部107は、パッチIDが存在すると判断した場合は(S107_3でYES)、S107_4に処理を進める。攻撃可否判定部107は、パッチIDが存在しないと判断した場合は(S107_3でNO)、S107_5に処理を進める。
S107_4において、攻撃可否判定部107は、関連攻撃情報1105(攻撃シナリオ要素1104_eに該当)に含まれる攻撃識別情報1104_aで識別される攻撃について、パッチを適用しているか否かを処理装置により判断する。
これは、関連攻撃情報1105(攻撃シナリオ要素1104_eに該当)に含まれる、対策情報1104_dの情報におけるパッチIDが、資産情報1109の、資産OS情報1109_b或いは資産アプリ情報1109_cにおけるパッチIDに一致するか否かで判断する。
攻撃可否判定部107は、パッチIDが一致すると判断した場合は(S107_4でYES)、S107_9に処理を進める。攻撃可否判定部107は、パッチIDが一致しないと判断した場合は(S107_4でNO)、S107_5に処理を進める。
S107_5において、攻撃可否判定部107は、関連攻撃情報1105(攻撃シナリオ要素1104_eに該当)に含まれる攻撃識別情報1104_aで識別される攻撃について、回避策はあるか否かを処理装置により判断する。
これは、関連攻撃情報1105(攻撃シナリオ要素1104_eに該当)に含まれる、対策情報1104_dの情報において、回避策IDが存在するか否かで判断する。
攻撃可否判定部107は回避策IDが存在すると判断した場合は(S107_5でYES)、S107_6に処理を進める。攻撃可否判定部107は、回避策IDが存在しないと判断した場合は(S107_5でNO)、S107_7に処理を進める。
S107_6において、攻撃可否判定部107は、攻撃対象となる資産は、S107_5で存在すると判断した回避策を実施しているか否かを処理装置により判断する。
これは、資産情報1109に含まれる資産OS情報1109_b、又は、資産アプリ情報1109_cにおいて、適用回避策(回避策ID)がS107_5において識別した回避策IDと一致するか否かで判断する。
攻撃可否判定部107は回避策IDが一致すると判断した場合は(S107_6でYES)、S107_9に処理を進める。攻撃可否判定部107は、回避策IDが一致しないと判断した場合は(S107_6でNO)、S107_7に処理を進める。
S107_7において、攻撃可否判定部107は、攻撃対象となる資産は、関連攻撃情報1105(攻撃シナリオ要素1104_eに該当)に含まれる攻撃識別情報1104_aで識別される攻撃が必要とする実行権限で実行されているか否かを処理装置により判断する。
これは、攻撃シナリオ要素1104_eに含まれる攻撃情報1104_bの必要とする実行権限と、資産情報1109の資産実行情報1109_dの実行権限とが一致するか否かを処理装置により判定すればよい。
攻撃シナリオ要素1104_eに含まれる攻撃情報1104_b、及び、資産情報1109の資産実行情報1109_dに実行権限を実装する場合においては、実行権限の種類別にID(識別子)を付与することにより、実行権限の比較が容易となる。
攻撃可否判定部107は、実行権限が一致すると判断した場合は(S107_7でYES)、S107_8に処理を進める。攻撃可否判定部107は、実行権限が一致しないと判断した場は(S107_7でNO)、S107_9に処理を進める。
最後に、S107_8において、攻撃可否判定部107は、「攻撃は成功する」という判断をする。
また、S107_9において、攻撃可否判定部107は、「攻撃は成功しない」という判断をする。
以上で、攻撃可否判定部107による攻撃可否判定処理の説明を終わる。
以上のように、攻撃可否判定部107は、図8に示す攻撃可否判定処理を実行し、攻撃が成功する、あるいは、攻撃が成功しない、の判断を実行する。
攻撃可否判定部107は、攻撃が成功する、と判断した場合、ログ検索情報1113を生成し、スケジュール検索部1010へ出力する。
攻撃可否判定部107は、以下の情報であるログ検索情報1113を生成する。
攻撃可否判定部107は、関連攻撃情報1105における「間隔2:1104_s2」から、次に攻撃シナリオ要素3が発生する時期を計算する。例えば、警告情報1201において、通知された攻撃(攻撃シナリオ要素2)の日時(攻撃発生日時)が「2012/09/24,09:00:00」であり、「間隔2:1104_s2」が「24時間」であれば、「2012/09/25,09:00:00」が攻撃発生予想日時として算出される。
攻撃可否判定部107は、攻撃発生予想日時と、資産情報1109における資産識別情報1109_aとから、ログを検索する命令を生成する。
例えば、この資産へのアクセスをファイアウォールログから検索する場合のファイアウォールログ検索命令は以下のようになる。
判定対象攻撃では、ファイアウォールログで一部denyが発生すると仮定する。この情報は、攻撃シナリオ要素3の構成要素である攻撃情報1104_bのキーワードに記録されているものとする。
<ファイアウォールログ検索命令>
(a)検索条件:「攻撃発生予想日時」and「IPアドレス(該当資産のもの)が宛先」and「キーワード(ファイアウォール、deny)」
(b)検索対象ログ:ファイアウォールログ
また、判定対象攻撃において攻撃の対象となる資産における資産ログを検索する場合の、資産ログ検索命令は以下のようになる。
判定対象攻撃では、OSのログでレジストリの書き換えが発生すると仮定する。この情報は、攻撃シナリオ要素3の構成要素である攻撃情報1104_bに記録されている。
<資産ログ検索命令>
(a)検索条件:「攻撃発生予想日時」and「(「IPアドレス」or「MACアドレス」or「資産ID」)(何れも該当資産のもの)」and「キーワード(OS,registry,modify)」。
(b)検索対象ログ:該当資産のログ(OS、アプリなど)。
以上のように、攻撃可否判定部107は、攻撃発生予想日時に、該当資産へのアクセスや該当資産上のOSやアプリの状況を把握できるログを対象として、ログ検索情報1113を生成する。
ログ検索情報1113は、上述したファイアウォールログ検索命令、資産ログ検索命令等である。
攻撃可否判定部107は、生成したログ検索情報1113を、スケジュール検索部1010に出力する。
スケジュール検索部1010は、攻撃可否判定部107からログ検索情報1113を入力する。
さらに、スケジュール検索部1010は、検索スケジュール条件1205を入力する。
検索スケジュール条件1205は、スケジュールによりログ分析装置903で検索を行う場合の条件を指定するものである。例えば、攻撃発生予想日時から、1時間にわたり、ログを検索するなどの条件を指定できる。
ここでは、検索スケジュール条件1205では何も指定しないとする。
スケジュール検索部1010は、ログ検索情報1113と検索スケジュール条件1205とを入力し、ログ検索情報1113と検索スケジュール条件1205とをログ分析装置903が解釈可能な検索命令1114に変換する。スケジュール検索部1010は、変換した検索命令1114を、外部連携部(検索)1011に出力する。
外部連携部(検索)1011は、検索命令1114を入力し、入力した検索命令1114を検索命令1208として、ログ分析連携装置1の外部に存在するログ分析装置903(ログ分析システム)向けに送信する。この処理は、図1の(4)スケジュール検索915に相当する。
ログ分析装置903は、検索命令1208を受信する。ログ分析装置903は、受信した検索命令1208にしたがって、攻撃発生予想日時に検索を実行する。この処理は、図1の(5)スケジュール検索916に相当する。
ログ分析装置903は、スケジュール検索によりエントリが検索されたか否か(エントリ有/無し)を検索結果1209として、ログ分析連携装置1に送信する。
ログ分析連携装置1の外部連携部(検索)1011は、ログ分析装置903から検索結果1209を受信する。外部連携部(検索)1011は、受信した検索結果1209を検索結果1115としてスケジュール検索部1010へ出力する。スケジュール検索部1010は、例えば、以下のようなメッセージ(検索結果1116)を作成する。
<検索結果1116>
(メッセージ)「2012/09/25,09:00:00に、資産Xにおいて、攻撃3が検知されました」
攻撃3は、攻撃シナリオ要素3に対応する攻撃の情報であり、攻撃シナリオにしたがって、攻撃発生予想日時に発生が予想されたものである。資産Xは、攻撃シナリオ要素2の攻撃を受けた資産である。
上記のメッセージは、ログ検索情報1113から生成可能である。
スケジュール検索部1010は、上記のメッセージを、検索結果1116として出力部1012に出力する。
出力部1012は、検索結果1116を検知結果1210として、ログ分析連携装置1の表示画面のGUI等に表示する。
このメッセージをGUIで表示された、ログ分析連携装置1のオペレータは、ログ分析装置903(図3)のオペレータに、当メッセージに基づき、ログ分析装置903を用いて詳細にログを分析する、あるいは、レポートを作成するなどを指示することができる。
以上のように、本実施の形態に係るログ分析連携システム1000では、SIEM装置902(SIEMシステム)で検知可能な攻撃を基点として、ログ分析連携装置1(ログ分析連携システム)が次に起こりうる攻撃について、攻撃シナリオを用いて、攻撃発生の予想日時を求める。そして、ログ分析連携装置1は、攻撃発生の予想日時に基づいて、ログ分析装置903(ログ分析システム)をスケジュール検索することで、効率よく、攻撃の痕跡をログ分析装置903(ログ分析システム)で検索することができるという効果を奏する。
実施の形態2.
本実施の形態では、主に、実施の形態1との差異について説明する。
図9は、本実施の形態に係るログ分析連携装置1の構成及び動作の概要を示す図である。図9は、図1に対応する図であり、図1と同様の機能構成については同一の符号を付し、その説明を省略する。
本実施の形態では、モバイル機器905等のように、リソース制約の関係からログ収集を常に実施できない場合におけるログ分析方法の態様について説明する。
図9に示すように、本実施の形態に係るログ分析連携装置1の構成及び動作についての実施の形態1との差異は、スケジュール収集部108と、外部連携部(収集)109と、収集スケジュール条件1204との使用が加わったことである。
入力部101から攻撃可否判定部107までの処理、及び入力部101から攻撃可否判定部107までの処理に関わる各情報は、実施の形態1と同様であるため、その説明を省略する。
攻撃可否判定部107は、ログ検索情報1113のスケジュール検索部1010への出力に加えて、ログ収集情報1110をスケジュール収集部108に出力する。
攻撃可否判定部107は、以下の情報であるログ収集情報1110を生成する。攻撃可否判定部107は、例えば、収集スケジュール条件1204を入力し、入力した収集スケジュール条件1204に基づいてログ収集情報1110を生成するとしてもよい。
まず、攻撃可否判定部107は、関連攻撃情報1105における「間隔2:1104_s2」から、次に攻撃シナリオ要素3が発生する時期を計算する。例えば、警告情報1201において、通知された攻撃(攻撃シナリオ要素2)の日時(攻撃発生日時)が「2012/09/24,09:00:00」であり、「間隔2:1104_s2」が「24時間」であれば、「2012/09/25,09:00:00」が攻撃発生予想日時として算出される。
また、攻撃可否判定部107は、攻撃発生予想日時と、資産情報1109における資産識別情報1109_aとから、ログを収集する命令(ログ収集命令)を生成する。
例えば、ログ収集命令は以下のようになる。
(a)収集条件:攻撃発生予想日時。
(b)検索対象ログ:「IPアドレス」or「MACアドレス」or「資産ID」(何れも該当資産のもの)
攻撃可否判定部107は、上記のようなログ収集命令をログ収集情報1110として生成する。
なお、収集スケジュール条件1204は、例えば、攻撃発生予想日時の前後1時間のログを収集するというような収集の付加条件である。収集スケジュール条件1204は、ログ収集情報1110に対してさらに条件を加えるものである。この場合は、スケジュール収集部108が、以下のようにログ収集情報1110を加工する。
(a)収集条件:攻撃発生予想日時プラスマイナス1時間。
(b)検索対象ログ:「IPアドレス」or「MACアドレス」or「資産ID」(何れも該当資産のもの)。
攻撃可否判定部107がログ収集情報1110をスケジュール収集部108へ出力すると、スケジュール収集部108は、ログ収集情報1110をログ分析装置903が解釈可能な収集命令1111に変換して、外部連携部(収集)109に出力する。
外部連携部(収集)109は、ログ分析連携装置1の外部に存在するログ分析装置903に対して、収集命令1206を送信する。この処理は、図1の(4)’スケジュール収集915’に相当する。
ログ分析装置903は、受信した収集命令1206にしたがって、攻撃発生予想日時(攻撃発生予想日時の前後1時間)に該当資産からログ収集を実行するように(スケジュール収集)、ロガー901に指示を出す。この処理は、図1の(5)’スケジュール収集916’に相当する。
ロガー901は、スケジュール収集により、攻撃発生予想日時(攻撃発生予想日時の前後1時間)のみ、モバイル機器905からログを収集する。この処理は、図1の(5)’’スケジュール収集916’’、(6)’’ログ917’’に相当する。
ロガー901は、ログを収集した結果をログ分析装置903へ収集結果917’’として通知する。ログ分析装置903は、ロガー901から通知された収集結果917’’を収集結果1207として、ログ分析連携装置1に送信する。
ログ分析連携装置1の外部連携部(収集)109は、収集結果1207を入力し、収集結果1112としてスケジュール収集部108へ出力する。
以上のようなスケジュール収集部108の処理により、モバイル機器905からログがロガー901にスケジュール収集された。これ以降は、実施の形態1における、スケジュール検索部1010、外部連携部(検索)1011、出力部1012の処理を実行する。
本実施の形態では、ロガー901がモバイル機器905に対してログの収集を行う機能を有しており、例えば、モバイル機器905にログ収集用エージェントをインストールし、ロガー901が、モバイル機器905のログ収集用エージェントに対して、ログの送信命令を送ることで、ロガー901にモバイル機器905のログを送信させるような仕組みが考えられる。この様な仕組みは既存の技術を用いればよく、ログ収集の仕組みは、エージェント方式に限定せず、エージェントレス方式であっても良い。また、収集命令1206を直接ロガー901に送信するような方式でも良い。
本実施の形態では、常にログ収集が不可能なモバイル機器に対して、分析に必要なログをそのときだけに限り収集するので、モバイル機器に負担をかけずに、ログの収集が可能となる効果がある。
実施の形態3.
本実施の形態では、主に、実施の形態1,2との差異について図9を用いて説明する。
実施の形態1では、検索スケジュール条件1205には、何も指定しない場合について説明した。本実施の形態では、検索スケジュール条件1205として、例えば、以下のように指定することで検索のバリエーションを増やすことができる態様について説明する。
スケジュール検索部1010は、検索スケジュール条件1205として、「攻撃発生予想日時の前1時間から攻撃発生予想日時まで検索する」、あるいは、「攻撃発生予想日時の前後1時間を検索する」等と指定された条件を入力する。
これらの指定は、スケジュール検索部107により、ログ検索情報1113の検索条件に反映され、検索命令1114が生成される。
また、検索結果1115において、エントリが検索されなかったことが判明した場合には、スケジュール検索を更に延長する指示を予め検索スケジュール条件1205として指定してもよい。
例えば、スケジュール検索部1010は、「1度目の検索結果1115においてエントリが検索されなかった場合、m時間おきに、n回、同様のスケジュール検索を行う」と指定された検索スケジュール条件1205を入力する。この場合、スケジュール検索部1010は、検索条件の検索日時に「m時間おき・n回」という条件を反映し、検索命令1114を生成する。
具体的には、検索スケジュール条件1205に「1度目の検索結果1115においてエントリが検索されなかった場合、1時間おきに、2回、同様のスケジュール検索を行う」と指定された場合、以下の(a)〜(c)のスケジュール検索が実行される。
(a)最初の検索における検索日時:2012/09/25,09:00:00。
(b)2回目の検索における検索日時:2012/09/25,10:00:00。
(c)3回目の検索における検索日時:2012/09/25,11:00:00。
また、関連攻撃抽出部104は、関連攻撃抽出条件1203において「検知された攻撃の以前に発生した攻撃」が指定されていた場合、攻撃シナリオ1104から検知された攻撃よりも前に発生していたであろう攻撃の情報を抽出する。その場合、検索スケジュール条件1205を以下の様に指定する。これにより、スケジュール検索部1010(期間指定分析要求部)は、検知された攻撃よりも前に発生していたであろう攻撃の痕跡について、ログ分析装置903に検索命令1114(検索命令1208)を送信して、検索を依頼することができる。
例えば、SIEM装置902により検知された攻撃(警告情報1201’により通知された攻撃)が、「攻撃シナリオ要素2:1104_e2」に該当したとする(図5参照)。その場合、「攻撃シナリオ要素1:1104_e1」(前攻撃)が、「攻撃シナリオ要素2:1104_e2」の攻撃の発生日時の「間隔1:1104_s1」(前発生間隔)前の日時に発生している可能性がある。
「間隔1:1104_s1」が「24時間」であったとする。この情報を利用し、例えば、検索スケジュール条件1205には、警告情報1201’における日時(攻撃発生日時:2012/09/24,09:00:00)よりも24時間前を検索日時として指定する。つまり、検索スケジュール条件1205には、「2012/09/23,09:00:00を検索する」と指定する。
但し、この場合は、既に過去の時間帯の検索なので、スケジューリングで検索するのではなく、直ぐに検索をするように指示する。
また、検索に用いるキーワードなどの指定は、実施の形態1と同様の考え方であり、攻撃シナリオ要素1:1104_e1(前段の攻撃)から引用する。
攻撃シナリオDB検索部103、関連攻撃抽出部104、資産DB検索部106、攻撃可否判定部107は、前攻撃情報取得部の一例である。
本実施の形態では、検索スケジュール条件1205を指定することで、検索日時に幅を持たせたり、1回目の検索でエントリが検索されなかった場合の、その後の検索方法を指定することが可能であり、この結果、攻撃発生予想日時がずれた場合にも対応できる効果がある。また、検知された攻撃の前段階の攻撃の痕跡をログから調べるため、攻撃シナリオを参照し、攻撃発生日時と攻撃の間隔を利用することで、検索対象の時期を適切な過去に指定した上で、該当する過去の攻撃の痕跡について、ログを検索することができる。
実施の形態4.
本実施の形態では、主に、実施の形態1〜3との差異について説明する。
実施の形態1〜3において説明した機能構成と同様の機能構成については同一の符号を付し、その説明を省略する場合がある。
本実施の形態では、SIEM装置902から出力される警告情報1201’の攻撃について、次に発生が予想される攻撃として成りすましによる不正アクセスが予想された場合の対策について説明する。
APTにおいては、「パスワードハッシュによる成りすましによる不正アクセス」が使われることがある。
「パスワードハッシュによる成りすましによる不正アクセス」とは、次のような攻撃をいう。
様々な認証において、パスワードのハッシュがメモリ上にキャッシュされる、あるいはファイルに保存されることがある。このパスワードのハッシュを盗めば、盗んだパスワードのハッシュのみで、パスワード自体を知らなくとも、成りすましが成功することがある。
これは、パスワードをハッシュで変換した値を認証で用いる認証方式が多いことを悪用している。ハッカーは、このパスワードハッシュを盗み、悪用しようとするが、一般的には、OSが管理者権限で動いていないと、マルウェアがパスワードハッシュを盗むことができないとされる。
そこで、本実施の形態では、上記のような「パスワードハッシュによる成りすましによる不正アクセス」攻撃が発生することが予測された場合に、パスワードハッシュを悪用する成りすましを検知・防止する方式について説明する。
例えば、実施の形態1において説明した予想される攻撃(次攻撃)が、「攻撃シナリオ要素3:1104_e3」であり、「攻撃シナリオ要素3:1104_e3」においては、「パスワードハッシュによる成りすましによる不正アクセス」が以下のように定義されているとする。
<攻撃シナリオ要素3:1104_e3の内容>
(a)攻撃識別情報1104_a:「攻撃ID=1234」、「攻撃種別=9(パスワードハッシュによる成りすましによる不正アクセス)」、「脆弱性ID=無し」。
(b)攻撃情報1104_b:「影響を受ける製品(製品ID=OS_○○○、バージョン情報=ver1、パッチID=1,2,3,4,5)」、「必要とする実行権限=管理者」、「キーワード=無し」、「その他情報=無し」。
(c)対策識別情報ID1104_c:「対策ID=1234’」。
(d)対策情報1104_d:「パッチID=無し」、「回避策ID=789」、「回避策内容(管理者権限での実行を止める)」、「その他情報=無し」。
攻撃識別情報1104_aの攻撃種別には、「パスワードハッシュによる成りすましによる不正アクセス」を識別するIDである「9」が付与されている。
また、攻撃対象の資産Xの資産情報1109において、攻撃対象の資産の実行権限1109_dは、「管理者」であるとする。
OSのパッチやアプリケーションのインストールを行うためには、管理者の権限が必要であることが多く、利便性を優先し、管理者権限で実行している場合がある。
図10は、本実施の形態に係るログ分析連携装置1の構成及び動作の概要を示す図である。図10は、図9に対応する図であり、図9と同様の機能構成については同一の符号を付し、その説明を省略する。
図10は、図9の構成に加え、外部連携部(対策)1071を備える。
入力部101から資産DB検索部106までの処理は、実施の形態1で説明したものと同様なので説明を省略する。
攻撃可否判定部107は、図8の攻撃可否判定処理のフローを実施した際に、S107_7において、資産が攻撃に必要な権限(管理者)で実行されていることを確認するので、S107_7においてYESとなり、S107_8の「攻撃は成功する」の判断となる。
上記の処理に加えて、本実施の形態では、攻撃可否判定部107は、攻撃種別が9「パスワードハッシュによる成りすましによる不正アクセス」であった場合に、以下の処理を行う。
図10において、攻撃可否判定部107は、以下の情報を生成し、外部連携部(対策)1071へ出力する。
(a)権限変更命令1119:資産Xにおいて、管理者権限で実行している場合、管理者権限以外の権限で実行するように変更する命令。
(b)パスワードリセット命令1117:資産Xにおける管理者のパスワードを変更する命令。
外部連携部(対策)1071は、攻撃可否判定部107から権限変更命令1119とパスワードリセット命令1117とを入力する。外部連携部(対策)1071は、入力した権限変更命令1119を権限変更命令1211に変換するとともに、入力したパスワードリセット命令1117をパスワードリセット命令1212に変換し、ログ分析連携装置1の外部に出力する。
監視対象システムは、認証サーバ10(あるいは、認証サーバに類する管理システム)(認証装置)を備える。認証サーバ10は、監視対象システム、監視対象システムに接続されている通信機器904、モバイル機器905等へのアクセス権限を認証情報により認証する。認証情報とは、例えば、ユーザID、パスワード等である。
外部連携部(対策)1071は、権限変更命令1211とパスワードリセット命令1212とを、システム全体を管理している認証サーバ10へ送信する。
図11は、本実施の形態に係る認証サーバ10の構成と動作とを示す図である。
図11に示すように、認証サーバ10は、ログ分析連携装置1から権限変更命令1211を受けて、該当する資産の実行権限を管理者以外に変更する(S1001)。認証サーバ10は、入力した権限変更命令1211により、該当する資産の実行権限を管理者以外に変更する権限変更機能を備える。
また、図11に示すように、認証サーバ10は、パスワードリセット装置11を備える。認証サーバ10は、ログ分析連携装置1からパスワードリセット命令1212を入力し、入力したパスワードリセット命令1212をパスワードリセット命令8201に変換し、パスワードリセット装置11に入力する。
パスワードリセット装置11は、パスワードリセット命令8201を入力すると、通信機器904のパスワードをリセットするためのリセット用パスワード8203、パスワードリセット通知文面8202を生成する。パスワードリセット装置11は、リセット用パスワード8203、パスワードリセット通知文面8202を通信機器904等に送信する(S1002,S1003)。リセット用パスワード8203及びパスワードリセット通知文面8202を生成する処理の詳細については後述する。
ログ分析連携装置1の外部連携部(対策)1071は、権限変更命令1119を、上記権限変更機能が解釈する権限変更命令1211として変換する。同様に、外部連携部(対策)1071は、パスワードリセット命令1117をパスワードリセット機能が解釈するパスワードリセット命令1212として変換する。
このような権限変更機能、パスワードリセット機能としては、例えば、ソフトウェア開発ライブラリなどが用意されていたり、あるいは、命令フォーマットや通信方式が開示されていることが多い。
権限変更命令1211は、外部連携部(対策)1071から、認証サーバ10(或いは類する管理システム)へ送信される。認証サーバ10は、権限変更機能を用いて、資産Xの実行権限を変更する。
次に、外部連携部(対策)1071は、パスワードリセット命令1212を認証サーバ10(或いは類する管理システム)へ送信する。
この時、認証サーバ10(或いは類する管理システム)においては、このパスワードリセット命令1212にしたがって、パスワードリセット機能を実装するモジュールを呼び出す。
ここで、パスワードリセット命令1212を受けて、認証サーバ10(或いは類する管理システム)で呼び出すモジュールの処理を以下に示す。
当モジュールは、資産Xの管理者のパスワードを、下記に示すリセット用パスワードでリセットしたうえで、リセット後のパスワードを、下記に示す文面でユーザに通知する。
なお、該当資産のパスワードのリセットは、認証サーバ10(或いは類する管理システム)からリモートで実行するパスワードリセット機能を使用する。
本実施の形態に係るパスワードリセット装置11は、パスワードリセットのためのパスワード生成機能と、リセット後のパスワードを通知するパスワードリセット通知機能とを備える。
パスワードリセット装置11は、パスワードのリセットのために以下の処理を実行する。
(1)安全なパスワードとして、「pass_1」を生成する。
(2)作成したパスワードについて、予め用意した変換方法を適用し、新しいパスワード「pass_2」を生成する。
(3)変換したパスワード「pass_2」を用いて、該当資産の管理者のパスワードをリセットする。
(4)「pass_1」と「(2)で適用した変換方法」とを示した電子メールを資産Xのユーザに送信する。
上記のような処理により、「パスワードハッシュによる成りすましによる不正アクセス」攻撃が発生することが予測された場合、監視対象システムあるいは監視対象機器においてパスワードが自動的にリセットされ、リセット後のパスワードはユーザに電子メールなどで通知されることとなる。
図12は、本実施の形態に係るパスワードリセット装置11により生成される電子メールを示す図であり、(a)は電子メールの一例、(b)は電子メールの他の例を示した図である。
図12(a)に示す「J9−n1*%4>^q」が「pass_1」である。そして、「!J9−n1*%4>^q)」が「pass_2」である。
図12(a)に示すように、「pass_1」から「pass_2」への変換方法(「(2)で適用した変換方法」)は、「下記のパスワードの直前に’!’を末尾に’)’を追加し、パスワードとして入力してください。」と、メールの文面で指示する。
図13は、本実施の形態に係るパスワードリセット装置11の構成と動作とを示す図である。
図12(a)に示すパスワードのリセット文面は、図13に示すパスワードリセット装置11により生成される。
パスワードリセット装置11は、パスワード生成部801、変換ルール選択部802,変換パラメータ値生成部803、文書テンプレート選択部804、パスワードリセット通知文書生成部805、変換ルール文書テンプレートDB806を備える。
パスワード生成部801は、安全なパスワードを生成する。
変換ルール選択部802は、パスワード生成部801で生成したパスワードを変換するルールを選択する。変換ルール選択部802は、変換ルールを、変換ルール文書テンプレートDB806から検索し取得する。
変換パラメータ値生成部803は、パスワードを変換する際に使用する変換用パラメータを生成する。
文書テンプレート選択部804は、パスワードを変換するルールと対になる文書テンプレートを、変換ルール文書テンプレートDB806から検索し取得する。
パスワードリセット通知文書作成部805は、パスワードリセットを指示する文書を作成し、パスワードリセット通知文面8202と、リセット用パスワード8203とを出力する。
変換ルール文書テンプレートDB806は、パスワードの変換ルールと文書テンプレートとの対を保存するDBである。パスワード変換ルールと文書テンプレートとの対(以下、パスワード変換ルール+文書テンプレートと記載する)は、この対を識別するIDにより、以下のように保存・管理されている。
ID1:パスワード変換ルール1+文書テンプレート1
ID2:パスワード変換ルール2+文書テンプレート2
・・・
IDn:パスワード変換ルールn+文書テンプレートn
図14は、本実施の形態に係るパスワードリセット装置11のリセット用パスワード8203及びパスワードリセット通知文面8202の生成方法を示す図である。
図13及び図14を用いて、パスワードリセット装置11の動作について説明する。
パスワードリセット装置11は、パスワードリセット命令8201(認証サーバ10(或いは類する管理システム)における指示)を入力する。入力されたパスワードリセット命令8201は、パスワード生成部801と変換ルール選択部802とに入力される。
パスワード生成部801は、所定のアルゴリズムで、安全なパスワードを生成し、ベースパスワード8101を生成する。
変換ルール選択部802は、ランダムに、パスワード変換ルール+文書テンプレートの対を管理しているIDを選択する。例えば、変換ルール選択部802は、「ID1」を選択する。続けて、変換ルール選択部802は、選択した「ID1」を変換ルール文書テンプレートDB806に送信し、該当するエントリの、変換ルール8106を取得する。
ここでは、以下のように「ID1」に対応するエントリから、パスワード変換ルール1を取得する。
ID1:パスワード変換ルール1+文書テンプレート1
変換ルール選択部802は、パスワード変換ルール1をパスワード変換ルール8102として、変換パラメータ値生成部803に出力する。
ここで、パスワード変換ルール1は、以下のように記述されているとする。
<パスワード変換ルール1>
append
param1=top,’!’
param2=tail,’)’
次に、変換パラメータ値生成部803は、このパスワード変換ルール1を解釈し、変換パラメータ値8103を以下のように生成する(図14参照)。
append
param1=top,’!’
param2=tail,’)’
ここでは、param1とparam2とに、既に値が指定されているため、変換パラメータ値生成部803は、パスワード変換ルール1をそのまま変換パラメータ値8103として出力する。
パラメータに値が設定されていない場合は、変換パラメータ値生成部803は、パラメータに値を設定してパラメータ値8103を生成する。
パラメータに値が設定されていない場合の変換パラメータ値8103は、以下のようになる。
append
param1=top,*
param2=tail,*
上記のようにパラメータに値が設定されていない場合の変換パラメータ値8103が指定された場合は、変換パラメータ値生成部803は、任意の文字をその場で選択して当てはめる。「*」に当てはめる。
例えば、変換パラメータ値生成部803は、’]’と’>’を選択したのであれば、
append
param1=top,’]’
param2=tail,’>’
と解釈する。文字数は1文字以上であればよい。
この場合、リセット用パスワードは、「]J9−n1*%4>^q>」となる。
次に、変換ルール選択部802は、選択した「ID1」をID8104として文書テンプレート選択部804へ出力する。
文書テンプレート選択部804は、変換ルール選択部802からID8104(ID1)を入力する。文書テンプレート選択部804は、入力したID8104(ID1)を用いて、変換ルール文書テンプレートDB806を検索する。文書テンプレート選択部804は、ID8104(ID1)に対応する文書テンプレート1を文書テンプレート8107として取得する。さらに、文書テンプレート選択部804は、パスワードリセット通知文書生成部805に取得した文書テンプレート1を出力する。
ここで、文書テンプレート1は、以下のように記述されているとする(図14参照)。
<文書テンプレート1>
Instruction:
下記のパスワードのwhere1にvalue1をwhere2にvalue2をdo1し、パスワードとして入力してください。
ToBeChanged:
where1,value1
where2,value2
do1
パスワードリセット通知文書生成部805は、入力した変換パラメータ値8103を参照する。
<変換パラメータ値8103>
append
param1=top,’!’
param2=tail,’)’
ここで、パスワードリセット通知文書生成部805は、図14に示す変換表804aを備えるものとする。
変換表804aは、例えば、whereの位置に表される変数と、文書中の変換についての対応を記載したものである。変換表804aは、例えば、次のような内容が記載されている。
(a)top→先頭:topは先頭と変換する(図14の*2)。
(b)tail→末尾:tailは末尾と変換する(図14の*3)。
上記の内容の他に、例えば、以下の内容等を指定する(図示は無し)。
(c)1→先頭から1番目:1は先頭から1番目を意味する。
(d)2→先頭から2番目:2は先頭から2番目を意味する。
パスワードリセット通知文書生成部805は、例えば、変換表804aに基づいて、上記変換パラメータ値8103を、次のように解釈する。
(1)appendなので、指定された値を、指定された箇所に追加する。
<指定された値>
param1より、1つ目:’!’
param2より、2つ目:’)’
<指定された箇所>
param1より、1つ目:top→先頭
param2より、2つ目:tail→末尾
そして、パスワードリセット通知文書生成部805は、リセット用のパスワードを以下のように生成する。
(1)ベースパスワード8101(J9−n1*%4>^q)に対するリセット用パスワード:「!J9−n1*%4>^q)」。
これは、「J9−n1*%4>^q」の先頭に’!’を追加し、末尾に’)’を追加したものである。
次に、パスワードリセット通知文書生成部805は、入力した文書テンプレート8105(文書テンプレート1)を参照し、以下のように解釈する。
(1)Instruction:以降の文字列を読み込み、パスワードの変換指示の文書と解釈する。
下記のパスワードのwhere1にvalue1をwhere2にvalue2をdo1し、パスワードとして入力してください。
(2)ToBeChanged:の箇所を特定し、1行ずつ読み込む。
(where1,value1)、(where2,value2)、(do1)を得る。
そして、パスワードリセット通知文書生成部805は、以下を解釈する。
パスワードの変換指示の文書「下記のパスワードのwhere1にvalue1をwhere2にvalue2をdo1し、パスワードとして入力してください」において、
’where1’とマッチする箇所を、1つ目の変換箇所を示す文字列で置換する。
’value1’とマッチする箇所を、1つ目の変換用の値で置換する。
’where2’とマッチする箇所を、2つ目の変換箇所を示す文字列で置換する。
’value2’とマッチする箇所を、2つ目の変換用の値で置換する。
’do1’とマッチする箇所を、変換方法を示す文字列で置換する。
次に、パスワードリセット通知文書生成部805は、変換パラメータ値8103を参照する。
append
param1=top,’!’
param2=tail,’)’
この変換パラメータ値8103は、既に、次のように解釈されている。
(1)appendなので、指定された値を、指定された箇所に追加する。
<指定された値>
param1より、1つ目:’!’
param2より、2つ目:’)’
<指定された箇所>
param1より、1つ目:top→先頭
param2より、2つ目:tail→末尾
以上より、パスワードリセット通知文書生成部805は、次の変換を行う。
’where1’とマッチする箇所を1つ目の変換箇所を示す文字列で置換する→’先頭’。
’value1’とマッチする箇所を、1つ目の変換用の値で置換する→’!’。
この結果、パスワードの変換指示の文書(以下、変換指示文書とする)は、以下のように変換される。
変換指示文書:「下記のパスワードの先頭に’!’をwhere2にvalue2をdo1し、パスワードとして入力してください」。
ここでは、「先頭」と「’!’」とが、変換された部分である。
同様に、パスワードリセット通知文書生成部805は、次の変換を行う。
’where2’とマッチする箇所を2つ目の変換箇所を示す文字列で置換する→’末尾’。
’value2’とマッチする箇所を、2つ目の変換用の値で置換する→’)’。
この結果、パスワードの変換指示文書は、以下のように変換される。
変換指示文書:「下記のパスワードの先頭に’!’を末尾に’)’をdo1し、パスワードとして入力してください」。
ここでは、「末尾」と「’)’」とが、変換された部分である。
最後に、パスワードリセット通知文書生成部805は、次の変換を行う。
do1の箇所を、変換指示である「append→’追加’」で置換する。
この結果、パスワードの変換指示文書は、以下のように変換される。
変換指示文書:「下記のパスワードの先頭に’!’を末尾に’)’を追加し、パスワードとして入力してください」。
ここでは、「追加」が、変換された部分である。
パスワードリセット通知文書生成部805は、最後に、変換指示文書の末尾にベースパスワード8101を追加し、最終的にパスワードリセット文書(変換指示文書)を以下のように生成する(図12(a)参照)。
変換指示文書:
下記のパスワードの直前に’!’を末尾に’)’を加えてから、パスワードとして入力してください。
J9−n1*%4>^q
そして、パスワードリセット通知文書生成部805は、パスワードリセット文書(変換指示文書)をパスワードリセット通知文書8202として出力する。また、パスワードリセット通知文書生成部805は、リセット用パスワード8203を出力する。
認証サーバ10(或いは類する管理システム)は、パスワードリセット装置11の出力であるリセット用パスワード8203を用いて、資産Xの管理者用パスワードをリセットする(図10のS1002)。
さらに、認証サーバ10(或いは類する管理システム)は、パスワードリセット装置11の出力であるパスワードリセット通知文書8202を受け取り、パスワードリセット通知文書8202をメールの文面とし、資産Xのユーザへ電子メールを送信する(図11のS1003)。
資産Xのユーザは、この電子メールを受け取ると、メールの文面を読んで指示に従い、リセット用パスワードをリセット後のパスワードとして入力する。
その後、さらにユーザ自身でパスワードをリセットしても良い。
次に、パスワードリセット装置11において、パスワードリセット処理の他の実装の方法について説明する。
図12(b)に示すように、パスワードリセット通知文書8202として以下のような文面を生成する方法がある。
図12(b)に示すメール文面は、「画像と一致する動物の番号を選択して、下記のパスワードの末尾に、その名前を追加しパスワードとしてください」として、その後にベースパスワード「J9−n1*%4>^q」が表示される。また、その後には魚の画像が添付され、選択枝「1.tiger,2.snake,3.fish,4.Michel」が表示される。魚の画像と選択肢の位置は、逆でもよい。
この場合、変換ルール文書テンプレートDB806では、以下を管理する。
ID1:パスワード変換ルールg+文書テンプレートg+画像テンプレートg。
パスワード変換ルールgは、以下の内容となる。
<パスワード変換ルールg>
append
param1=tail,’fish’
文書テンプレートgは、以下の内容となる。
<文書テンプレートg>
Instruction:
画像と一致する動物の番号を選択して、下記のパスワードのwhere1に、その名前をdo1しパスワードとしてください。
ToBeChanged:
where1←value1は無い。
do1
画像テンプレートgは、以下の内容となる。
<画像テンプレートg>
「魚の画像」
「1.tiger,2.snake,3.fish,4.Michel」
パスワード生成部801、変換ルール選択部802、変換パラメータ値生成部803の処理は、図12(a)のメールを生成する場合の処理と同様である。
文書テンプレート選択部804は、文書テンプレートgに加え、画像テンプレートgも取得し、パスワードリセット通知文書生成部805へ出力する。
パスワードリセット通知文書生成部805は、上述した処理と同様に、以下のようにパスワードリセット通知文書8202(変換指示文書)を生成する。但し、文書テンプレートgには、ToBeChangedのvalue1は存在せず、Instructionの文書中にもvalue1に相当する箇所は無いので、この置換に関する処理は行わない。
パスワードリセット通知文書生成部805は、変換指示文書:「画像と一致する動物の番号を選択して、下記のパスワードの末尾に、その名前を追加しパスワードとしてください」の後に、ベースパスワード「J9−n1*%4>^q」を追加する。
次に、パスワードリセット通知文書生成部805は、末尾に、画像テンプレートgにおける、’1.tiger,2.snake,3.fish,4.Michel’を追加する。
さらに、パスワードリセット通知文書生成部805は、パスワードリセット通知文書8202に、魚の画像を添付する。
以上のように、パスワードリセット通知文書生成部805は、パスワードリセット通知文書8202を生成する。また、パスワードリセット通知文書生成部805は、ルールに従い、「J9−n1*%4>^qfish」をリセット用パスワード8203として生成する。
上記は実装の一例であるが、パスワード変換ルール、文書テンプレートの実装を変え、ベースパスワードに対する置換の方法を変えたり、文字を削除したり、ベースパスワードを半分に分割しそれらを入れ替えるなど、様々なパスワード生成方法が考えられる。
以上のように、本実施の形態に係るログ分析連携システム1000は、次のような特徴を備えることを説明した。
ログ分析連携装置は、将来に起こりうる攻撃の情報に、パスワードハッシュによる不正アクセスが含まれていた場合、認証システムに、管理者権限による資産の実行を、その他の権限による実行に変更する命令を出力する。
さらに、ログ分析連携装置は、既存の認証システムにアドオンする装置により、新しい管理者用パスワードを生成し、認証システムから、そのパスワードで該当資産のパスワードをリセットする。さらに、リセットしたパスワードを通知する文章をメールで、該当資産のユーザに通知する。その際に、メールの文章は、「ベースパスワード」、「ベースパスワードの変換方法(文書)」、「ベースパスワードに対して、文書で示された変換方法を施したパスワードが、リセットに使用したパスワードであること」を示す内容である。
上述したパスワード生成方法において特徴的なのは、「人間が文書を読まないとパスワード生成方法は分からない」点である。マルウェアは、パスワードリセット通知文書8202を含んだメールを受け取っても、その変換ルールを解釈できないので、マルウェアによるリセット用パスワードの悪用防止となる。
以上のように、本実施の形態に係るログ分析連携システム1000によれば、攻撃シナリオにおいて、将来、パスワードハッシュによる成りすましによる不正アクセスが起こると判断された場合、資産情報から攻撃対象の資産の実行権限が管理者権限か調べ、管理者権限で実行されている場合は、認証サーバ経由で、実行権限を管理者権限以外にすることで、パスワードハッシュがマルウェアにより盗まれ、成りすましに悪用されることを防ぐ効果がある。
さらに、本実施の形態に係るログ分析連携システム1000によれば、成りすましを防止するため、攻撃対象の資産におけるユーザ(管理者)のパスワードを強制リセットし、そのリセットしたパスワードを攻撃対象の資産におけるユーザ(管理者)へメールで通知する場合に、人間が文章を理解しないと、リセットしたパスワードを判断できないようにしたので、マルウェアがパスワードの通知メールを入手しても、パスワードが分からず、悪用できないという効果がある。
実施の形態5.
本実施の形態では、主に、実施の形態1〜4との差異について説明する。
実施の形態1〜4において説明した機能構成と同様の機能構成については同一の符号を付し、その説明を省略する場合がある。
実施の形態1〜4において、ログ分析連携システム1000は、警告情報で通知された攻撃を含む攻撃シナリオに基づいて、将来起こりうる攻撃の発生を攻撃発生が予想される時期にログから検索する、あるいは過去に起こり得た攻撃の痕跡を攻撃発生したであろう時期についてログから検索する方式について説明した。
例えば、攻撃発生が予想される時期/攻撃発生したであろう時期を指定してログを検索しても、該当する攻撃の痕跡が検索されないことが考えられる。
本実施の形態では、ログ分析連携装置1は、検索されたエントリが無かったことが示された場合は、攻撃シナリオ1104を修正して修正シナリオを生成する処理について説明する。
ログ分析連携装置1は、図1の検索結果1209に、検索されたエントリが無かったことが示された場合は、そのとき参照した攻撃シナリオ1104から、ログ分析装置903へ検索を依頼した対象の攻撃を削除した修正シナリオを生成し、攻撃シナリオDB1013に追加する。
例えば、図5の攻撃シナリオ1104において、ログのスケジュール検索をしても「攻撃シナリオ要素3:1104_e3」について痕跡が見つからなかった場合について説明する。この場合、ログ分析連携装置1は、攻撃シナリオ1104から、「攻撃シナリオ要素3:1104_e3」を削除して、新たな攻撃シナリオ1104’を生成する。
新たな攻撃シナリオ1104’は、以下のような内容となる。
攻撃シナリオ1104’:「1104_e1:攻撃シナリオ要素1→1104_s1:間隔1→1104_e2:攻撃シナリオ要素2」。
ログ分析連携装置1は、新たに生成した攻撃シナリオ1104’を追加シナリオとして攻撃シナリオDB1013に追加する。
また、「1104_s2:間隔2」の値に基づいた攻撃発生が予想される時期が、実際にログ分析システムで検索された時期に対して、進んでいたり、遅れていたりした場合について説明する。
ログ分析連携装置1は、予想発生時期と実際の発生時期とのずれを「1104_s2:間隔2」に反映(修正)し、攻撃シナリオ1104を修正しても良い。例えば、修正前は「1104_s2:間隔2=24時間」であった情報を、予想発生時期と実際の発生時期とのずれ(例えば、24時間のずれ)を反映して修正した結果、「1104_s2:間隔2=48時間」としてもよい。
或いは、予想発生時期と実際の発生時期とのずれ(例えば、24時間のずれ)を加味して修正してもよい。この場合は、予想発生時期と実際の発生時期とのずれ(例えば、24時間のずれ)を反映して修正した結果、「1104_s2:間隔2=24〜48時間」としてもよい。
以上のように、本実施の形態に係るログ分析連携システム1000によれば、予想発生時期と実際の発生時期とのずれを攻撃シナリオに反映させることができるので、精度の高いスケジュール検索を実行することができる。
実施の形態6.
本実施の形態では、主に、実施の形態1〜5との差異について説明する。
実施の形態1〜5において説明した機能構成と同様の機能構成については同一の符号を付し、その説明を省略する場合がある。
攻撃の種類によっては、攻撃の間隔についての情報が不明な場合がある。本実施の形態では、攻撃シナリオ1104に間隔を含まない場合のシナリオを用いたログ分析連携システム1000の動作について記述する。
図5の攻撃シナリオ1104において、間隔1:1104_s1、間隔2:1104_s2が記述されているが、本実施の形態では、間隔1、間隔2という攻撃間の発生時間を含まない攻撃シナリオ1104を用いる。
つまり、本実施の形態では、攻撃シナリオ1104は以下である。
攻撃シナリオ要素1:1104_e1→攻撃シナリオ要素2:1104_e2→攻撃シナリオ要素3:1104_e3。
以下に、実施の形態1におけるログ分析連携装置1の動作と、本実施の形態におけるログ分析連携装置1の動作との差分について説明する。
本実施の形態では、攻撃シナリオにおいて間隔を含まないため、関連攻撃情報1105には「攻撃シナリオ要素3:1104_e3」が該当する。
実施の形態1では、ログ検索情報1113に含まれる攻撃発生予想日時の生成に、関連攻撃情報1105に含まれる間隔2を使用するが、本実施の形態では「間隔」の情報が無い。本実施の形態に係るログ分析連携装置1は、「間隔」の情報の代わりに、検索スケジュール条件1205において、例えば、以下のような指示を行う。
<本実施の形態に係る検索スケジュール条件1205の具体例>
例1:「攻撃発生日時からm時間おきにp時間の期間をn回検索せよ」。
例2:「攻撃発生日時から1回検索、
2回目は1回目の検索後1×m時間後にp1時間の期間、
3回目は2回目の検索後2×m時間後にp2時間の期間、
4回目は3回目の検索後3×m時間後にp3時間の期間、
・・・同様にn回検索せよ」。例2では検索から次の検索までの期間が段々長くなる。
例3:「攻撃発生日時から1回検索、
2回目は1回目の検索後1×m時間後にp1時間の期間、
3回目は2回目の検索後2×m時間後にp2時間の期間、
4回目は3回目の検索後4×m時間後にp3時間の期間、
・・・同様にn回検索せよ」。例3では検索から次の検索までの期間が倍で長くなる。
また、p1、p2、p3は同じでも異なっても良い。
また、「攻撃発生日時から」という部分も、「現在の時刻から」「今からp時間から」「次の0時から」などに置き換えても良い。
スケジュール検索部1010は、このようにスケジュール検索を行う時期・期間・回数などの情報を検索スケジュール条件1205として受け取り、検索命令1114を生成する。
攻撃発生予想日時は、検索スケジュール条件1205をもとに生成される。例えば、検索スケジュール条件1205で、「攻撃発生日時からm時間おき」という条件が含まれていた場合は、攻撃発生予想日時は、「攻撃発生日時+m時間後」(以後m時間後)である。
本実施の形態では、攻撃可否判定部107では攻撃発生予想日時を生成せず、スケジュール検索部1010で生成する。従って、実施の形態1では攻撃可否判定部107が出力するログ検索情報1113に検索条件として検索の日時が含まれていたが、本実施の形態では含まれず、スケジュール検索部1010で生成・追加する。
また、実施の形態2においては、攻撃可否判定部107がログ収集情報1110を生成する。このログ収集情報1110には、収集条件として攻撃発生予想日時をもとにした収集条件が含まれている。この攻撃発生予想日時は攻撃シナリオに含まれる間隔を元に算出される。
一方、本実施の形態では、攻撃発生予想日時は、スケジュール収集部108において、収集スケジュール条件1204をもとに生成される。この場合、収集スケジュール条件1204は、本実施の形態における検索スケジュール条件1205と同様の記述となる(「検索せよ」という記述が「収集せよ」と置き換わる)。
また、本実施の形態における検索スケジュール条件1205を攻撃可否判定部107に入力し、攻撃可否判定部107が検索スケジュール条件1205から検索のための攻撃発生予想日時を算出しても良い。
また、本実施の形態における収集スケジュール条件1204を攻撃可否判定部107に入力し、攻撃可否判定部107が収集スケジュール条件1204から収集のための攻撃発生予想日時を算出しても良い。
また、上記の例では、攻撃発生日時を未来としたが、過去に遡って発生していたであろう攻撃を検索したり、ログを収集する場合は、m(時間)をマイナスの値に指定すればよい。
なお、本実施の形態では、関連攻撃情報1105に含まれる攻撃シナリオ要素が「攻撃シナリオ要素3:1104_e3」である場合を示した。
しかし、例えば、検索された攻撃シナリオ1104が以下のとおりであり、関連攻撃情報1105に含まれる攻撃シナリオ要素の数が複数の場合もある。
検索された攻撃シナリオ1104:「攻撃シナリオ要素1:1104_e1→攻撃シナリオ要素2:1104_e2→攻撃シナリオ要素3:1104_e3→攻撃シナリオ要素4:1104_e4→攻撃シナリオ要素5:1104_e5」。
関連攻撃情報1105に含まれる攻撃シナリオ要素:「攻撃シナリオ要素3:1104_e3、攻撃シナリオ要素4:1104_e4、攻撃シナリオ要素5:1104_e5」。
すなわち、関連攻撃情報1105に含まれる攻撃シナリオ要素が複数の場合である。
この場合、攻撃可否判定部107、スケジュール検索部1010、スケジュール収集部108は、関連攻撃情報1105に含まれる、これらの複数の攻撃シナリオ要素について、上述した攻撃シナリオ要素3:1104_e3に対する処理と同様の処理を行っても良い。
以下に処理の例を示す。
関連攻撃情報1105に含まれる攻撃シナリオ要素が複数であるため、対策情報1107、対策有無1107’は、セキュリティ対策検索部105により各攻撃シナリオ要素に対応したものが返される。
攻撃可否判定部107は、各攻撃シナリオ要素に含まれる攻撃が、該当する資産情報1109で示される資産において発生するか否かを、図8にしたがって判定する。
図8の処理により該当する資産情報1109で示される資産で発生すると判断された攻撃シナリオ要素について、スケジュール検索部1010は、ログの検索を実行する。
次に、攻撃シナリオ要素3:1104_e3、攻撃シナリオ要素4:1104_e4、攻撃シナリオ要素5:1104_e5に含まれる各攻撃が、該当する各資産情報1109で示される資産で発生すると判断された場合について説明する。
まず、攻撃シナリオ要素3:1104_e3に該当する攻撃が、スケジュール検索部1010によってログから検索される。その後、スケジュール検索部1010は、ログに記録された攻撃シナリオ要素3:1104_e3の攻撃が発生した日時を攻撃発生日時として、検索スケジュール条件1205に含まれるスケジュール検索を行う時期・期間・回数などを適用して、さらに、攻撃シナリオ要素4:1104_e4をスケジュール検索する。
次に、スケジュール検索部1010は、攻撃シナリオ要素4:1104_e4がログから検索された場合は、ログに記録された攻撃シナリオ要素4:1104_e4の攻撃が発生した日時を攻撃発生日時として、検索スケジュール条件1205に含まれるスケジュール検索を行う時期・期間・回数などを適用して、さらに、攻撃シナリオ要素5:1104_e5をスケジュール検索する。
なお、スケジュール検索部1010は、各攻撃シナリオ要素がログから検索されるたびに検索結果1116を出力部1012に出力しても良いし、攻撃シナリオ要素5:1104_e5が検索された場合に、まとめて、全ての検索結果を出力しても良い。
この場合、関連攻撃情報1105に含まれる攻撃シナリオ要素は複数であり、スケジュール収集部108は、スケジュール検索部1010の処理と同様に、後続する攻撃シナリオ要素を含む可能性のあるログをスケジュール収集しても良い。
また、攻撃可否判定部107が、攻撃シナリオ要素3:1104_e3、攻撃シナリオ要素4:1104_e4、攻撃シナリオ要素5:1104_e5のうち、一部の攻撃シナリオ要素のみ攻撃が発生すると判定した場合は、その発生すると判定した攻撃シナリオ要素を対象として、スケジュール検索部1010で処理を行う様にしてもよい。或いは、判定結果に関わらず、攻撃シナリオ要素3:1104_e3、攻撃シナリオ要素4:1104_e4、攻撃シナリオ要素5:1104_e5の全てについてスケジュール検索部1010で処理しても良い。
以上のように、本実施の形態に係るログ分析連携システムによれば、内包する攻撃間の発生間隔が不明な攻撃シナリオでも、検索スケジュール条件において検索時期や間隔に関する情報を与えることで攻撃発生予想日時を算出しスケジュール検索することが可能である。
また、収集スケジュール条件においても収集時期や間隔に関する情報を与えることで攻撃発生予想日時を算出しログのスケジュール収集をすることが可能である。
実施の形態7.
本実施の形態では、主に、実施の形態1〜6との差異について説明する。
実施の形態1〜6において説明した機能構成と同様の機能構成については同一の符号を付し、その説明を省略する場合がある。
攻撃の種類によっては、間隔の情報や攻撃間の繋がりが不明な場合がある。本実施の形態では、攻撃シナリオ1104に間隔も攻撃間の繋がりも含まない場合のシナリオを用いたログ分析連携システム1000の動作について記述する。
図5の攻撃シナリオ1104において、間隔1:1104_s1、間隔2:1104_s2、また、攻撃間の繋がりとしてその順番が→で記述されているが、本実施の形態では、間隔1、間隔2という攻撃間の発生時間も、攻撃間の繋がりも含まない攻撃シナリオ1104を用いる。
つまり、攻撃シナリオ1104は例えば以下である。
攻撃シナリオ要素1:1104_e1、攻撃シナリオ要素2:1104_e2、攻撃シナリオ要素3:1104_e3、攻撃シナリオ要素4:1104_e4、攻撃シナリオ要素5:1104_e5。
このように、本実施の形態に係る攻撃シナリオ1104は、「間隔」も「→」も無く、攻撃シナリオを構成する攻撃群を意味する。
以下に、実施の形態6におけるログ分析連携装置1の動作との差分について説明する。
本実施の形態では、攻撃シナリオDB検索部103は、攻撃識別情報1103(実施の形態1における例と同じとする)を攻撃シナリオDB1013に出力し、攻撃シナリオ1104を取得する。この場合、攻撃シナリオDB検索部103は、例えば、攻撃識別情報1103の構成要素である攻撃IDが、「攻撃シナリオ要素1104_eの攻撃識別情報1104_aに含まれる攻撃シナリオ」を検索する。
関連攻撃抽出部104は、攻撃シナリオ1104を入力し、処理装置により、攻撃シナリオ1104を分析する。関連攻撃抽出部104は、通知された攻撃シナリオ1104に含まれる攻撃に関連する情報を抽出する。このとき、関連攻撃抽出部104は、関連攻撃抽出条件1203を入力する。関連攻撃抽出条件1203は「通知された攻撃を除く全ての攻撃」である。
攻撃シナリオ1104が以下であり、警告情報1102に含まれる攻撃IDが攻撃シナリオ要素2:1104_e2の攻撃IDであるとする。
「攻撃シナリオ要素1:1104_e1、攻撃シナリオ要素2:1104_e2、攻撃シナリオ要素3:1104_e3、攻撃シナリオ要素4:1104_e4、攻撃シナリオ要素5:1104_e5」。
関連攻撃抽出部104で抽出される関連攻撃情報1105は、攻撃シナリオ1104から攻撃シナリオ要素2を除いた以下である。
「攻撃シナリオ要素1:1104_e1、攻撃シナリオ要素3:1104_e3、攻撃シナリオ要素4:1104_e4、攻撃シナリオ要素5:1104_e5」。
次に、関連攻撃抽出部104、攻撃可否判定部107、スケジュール検索部1010、スケジュール収集部108は、攻撃シナリオ要素1、攻撃シナリオ要素3、攻撃シナリオ要素4、攻撃シナリオ要素5の各々について、実施の形態6と同様の処理を行う。
つまり、スケジュール検索部1010では、各攻撃シナリオ要素について、個別に、検索スケジュール条件1205に示される検索する時期・期間・回数を、攻撃シナリオ要素2:1104_e2の攻撃発生日時に適用して、ログの検索を行う。そして、スケジュール検索部1010は、各々の攻撃シナリオ要素についての検索結果1115を入力する。
また、同様にスケジュール収集部108はログの収集を行う。
本実施の形態では、検索スケジュール条件1205において、例えば、「攻撃シナリオ1104における攻撃シナリオ要素の数のs%がt時間以内にスケジュール検索で検索された場合に、シナリオに沿った攻撃が進行と判断」という条件を加える。tは0でもプラス(未来)でもマイナス(過去)でもプラスマイナス(攻撃発生予想日時を基点とした前後)でも0でも良い。
スケジュール検索部1010は、例えば、s=60%、t=720の場合、攻撃シナリオ要素1、攻撃シナリオ要素3、攻撃シナリオ要素4、攻撃シナリオ要素5のうち、いずれか2つ以上が(攻撃シナリオ要素2とあわせて3つ以上)が720時間(30日)以内に検索された場合に、攻撃シナリオに従った攻撃が進行していると判断して、検索結果1116を出力部1012に出力する。攻撃進行の判断とは別に、毎回の検索結果を検索結果1116として出力しても良い。
あるいは、検索スケジュール条件1205において、「攻撃シナリオ1104における攻撃のs%がt時間以内にスケジュール検索で検索された場合に、シナリオに沿った攻撃が進行と判断、同じ攻撃が複数回の場合もカウントに数える」のように、同じ攻撃シナリオ要素が複数回検索された場合もカウントに含める指示を与えても良い。
以上のように、本実施の形態に係るログ分析連携システムによれば、内包する攻撃間の発生間隔が不明であり、かつ、その繋がりが不明な攻撃シナリオでも、検索スケジュール条件で検索時期や間隔に関する情報を与え、攻撃シナリオに含まれる要素の一定個数が検索されたことを攻撃成立の条件とすることで、シナリオに沿った攻撃を検索・攻撃成立を判断することが可能となる効果がある。
また、本実施の形態に係るログ分析連携システムによれば、収集スケジュール条件で収集時期や間隔に関する情報を与えることで攻撃発生予想日時を算出しログのスケジュール収集が可能となる効果がある。本実施の形態においては収集スケジュール条件で与える収集時期や間隔に関する情報とは、例えば、「攻撃発生予想日時を基点としてt時間以内」などの情報であり、この点が実施の形態6と異なる点である。
実施の形態8.
本実施の形態では、主に、実施の形態1〜7との差異について説明する。
実施の形態1〜7において説明した機能構成と同様の機能構成については同一の符号を付し、その説明を省略する場合がある。
実施の形態1においては、攻撃シナリオにおける攻撃対象は、警告情報1102で示される資産とした。しかし、攻撃によっては他の資産へ攻撃が行われる可能性がある。
本実施の形態では、資産検索情報1108の攻撃先情報として、DestinationIP/Port、資産IDなどが資産DB検索部106に入力され、資産検索情報1108として資産DB1015に出力された場合、資産DB1015は、DestinationIPや資産IDで示される資産と、そのDestinationIPからネットワークを介して接続可能な他の資産についての情報を資産情報1109として資産DB検索部106へ返す。
資産検索情報1108にPortが示された場合は、そのPortを使用している資産の情報を、資産DB1015は資産情報1109として返す。
つまり、場合によっては資産情報1109は複数である。
また、資産DB1015は、DestinationIP/Port、資産IDで識別される資産と同じOSやアプリケーション(バージョン、パッチ適用状態が同じもの)を使用している資産を抽出してもよい。
また、資産DB検索部106は、(図示していないが)関連攻撃情報1105を入力し、含まれる攻撃シナリオ要素1104_eにおける攻撃情報1104_bに含まれる、影響を受ける製品(製品ID、バージョン情報、パッチID)の情報などから、攻撃を受けうる資産の情報を資産検索情報1108に含めて資産DB1015に出力しても良い。この場合、資産DB1015は攻撃の影響を受けうる製品を使用している資産を資産情報1109として出力する。
また、攻撃情報1104_bに含まれる、キーワード/その他の情報として、例えば、認証サーバ/ファイルサーバ/DBサーバ/ルータ/スイッチといった攻撃対象の種別が示されている場合は、その種別をもとに資産DB1015は検索を行い資産情報1109を出力してもよい。
なお、攻撃シナリオ要素1104_eは1つ以上ありえるので、その場合は各々について検索を行う。
以上のようにすることで、次に起こりうる攻撃の対象となる資産の情報を得ることができる。
そして、攻撃可否判定部107は、1つ以上の資産情報1109の各々について、実施の形態1と同様の処理を行う(攻撃可否判定部107、スケジュール検索部1010、スケジュール収集部108、出力部1012)。
本実施の形態に係るログ分析連携装置1では、上記に示される、例えば、「DestinationIPで示される資産とそのDestinationIPから接続可能な他の資産についての情報を検索せよ」という条件は、(図示していないが)資産検索条件として、資産DB検索部106に入力される。
以上のように、本実施の形態に係るログ分析連携システムによれば、攻撃を受けうる資産について、攻撃を受けた資産以外も検索できるようにしたので、シナリオに沿って攻撃を受けうる資産についてログ検索の範囲を拡大でき、ログ検索の取りこぼしを低減する効果がある。
以上のように、実施の形態1〜8において、次のような特徴を備えるログ分析連携システム1000について説明した。
ログ分析連携装置(ログ分析システム)は、SIEM装置(SIEMシステム)から攻撃の検知を受け取る。
ログ分析連携装置は、SIEMシステムから受け取った、検知された攻撃の情報が含まれる、攻撃シナリオを参照し、その攻撃シナリオに記載される、将来に起こりうる攻撃の情報を抽出する。
ログ分析連携装置は、攻撃対象の資産の資産情報を参照し、セキュリティ対策を参照し、将来に起こりうる攻撃の情報と突合せ、将来に起こりうる攻撃が、実際に起こるか判定する。
ログ分析連携装置は、将来に起こりうる攻撃が、実際に起こると判定した場合に、ログ分析システムに、予想される攻撃発生時期に、攻撃の痕跡が残るログを検索する命令をスケジュール実行するように指示する。
ログ分析連携装置は、攻撃シナリオにより、過去に発生した可能性のある攻撃の情報を取得し、ログ分析システムにその痕跡を検索するように指示する。
上記ログ分析連携システム1000によれば、ログ分析によるAPT(攻撃)の検知/経過観察において、SIEMシステムとログ分析システムの特長を活かし、APTの検知/経過観察を効率化する。そのため、ログ分析連携システム1000では、SIEMシステムを複雑・多発ではないイベントの相関分析によるAPT検知に使用する。また、後続するAPTの攻撃については、APT攻撃のシナリオに従い、後続する攻撃の発生予想時期に、ログ分析システムをスケジュール検索することで、ログ分析の効率化を実現することができる。
また、実施の形態1〜8において、次のような特徴を備えるログ分析連携システム1000について説明した。
ログ分析連携装置は、将来に起こりうる攻撃が、実際に起こると判定した場合に、ログ分析システム(或いはロガーなど)に、予想される攻撃発生時期に攻撃の痕跡が残るログを収集する命令を出力する。
これにより、常にログの収集が困難な機器においても、効率的なログ収集を行うことができる。
なお、これらの実施の形態では、セキュリティ対策DB1014や資産DB1015において、該当するエントリが検索される場合を記述しているが、該当するエントリが未登録の場合や検索されない場合がある。
その場合は、該当する対策有無1107’や資産情報1109は空になるが、攻撃可否判定部107は、関連攻撃情報1105が発生するものとして処理を進めてよい。関連攻撃情報1105に複数の攻撃シナリオ要素が含まれ、一部について対策有無1107’や資産情報1109が検索され、残りについて検索されない場合は、検索されなかった攻撃シナリオ要素については、攻撃が発生するものとして処理を進めてよい。
以上、本発明の実施の形態について説明したが、これらの実施の形態のうち、2つ以上を組み合わせて実施しても構わない。あるいは、これらの実施の形態のうち、1つを部分的に実施しても構わない。あるいは、これらの実施の形態のうち、2つ以上を部分的に組み合わせて実施しても構わない。なお、本発明は、これらの実施の形態に限定されるものではなく、必要に応じて種々の変更が可能である。
1 ログ分析連携装置、10 認証サーバ、11 パスワードリセット装置、101 入力部、102 警告解釈部、103 攻撃シナリオDB検索部、104 関連攻撃抽出部、105 セキュリティ対策検索部、106 資産DB検索部、107 攻撃可否判定部、108 スケジュール収集部、109 外部連携部(収集)、801 パスワード生成部、802 変換ルール選択部、803 変換パラメータ値生成部、804 文書テンプレート選択部、804a 変換表、805 パスワードリセット通知文書生成部、806 変換ルール文書テンプレートDB、901 ロガー、902 SIEM装置、903 ログ分析装置、904 通信機器、904a 計算機、904b ネットワーク機器、904c セキュリティ機器、905 モバイル機器、911 ログ、912 検知ルール、915,916 スケジュール検索、917,918 検索結果、1000 ログ分析連携システム、1010 スケジュール検索部、1011 外部連携部(検索)、1012 出力部、1013 攻撃シナリオDB、1014 セキュリティ対策DB、1015 資産DB、1014 セキュリティ対策DB、1071 外部連携部(対策)、1101 データ、1102 警告情報、1103 攻撃識別情報、1104 攻撃シナリオ、1105 関連攻撃情報、1106 関連攻撃検索情報、1107 対策情報、1107’ 対策有無、1108 資産検索情報、1109 資産情報、1110 ログ収集情報、1111 収集命令、1112 収集結果、1113 ログ検索情報、1114 検索命令、1115 検索結果、1116 検索結果、1117 パスワードリセット命令、1119 権限変更命令、1201,1201’ 警告情報、1202 シナリオ抽出条件、1203 関連攻撃抽出条件、1204 収集スケジュール条件、1205 検索スケジュール条件、1206 収集命令、1207 収集結果、1208 検索命令、1209 検索結果、1211 権限変更命令、1212 パスワードリセット命令、1901 LCD、1902 キーボード、1903 マウス、1904 FDD、1905 CDD、1906 プリンタ、1911 CPU、1912 バス、1913 ROM、1914 RAM、1915 通信ボード、1920 HDD、1921 オペレーティングシステム、1922 ウィンドウシステム、1923 プログラム群、1924 ファイル群、8201 パスワードリセット命令、8202 パスワードリセット通知文面、8203 リセット用パスワード。

Claims (16)

  1. 監視対象ネットワークに接続される少なくとも1つの機器のログを収集して記憶装置にログ情報として記憶するログ収集装置と、前記監視対象ネットワークに対する攻撃を検知する検知装置と、前記ログ収集装置により収集された前記ログ情報を分析する分析装置とを備える攻撃分析システムであって、
    前記検知装置に接続されるとともに、前記分析装置に接続される連携装置を備え、
    前記検知装置は、
    前記監視対象ネットワークに対する攻撃を検知すると、検知した攻撃を識別する攻撃識別子と前記検知した攻撃が発生した攻撃発生時期とを含む警告情報を前記連携装置に送信し、
    前記連携装置は、
    前記監視対象ネットワークに対して発生すると予測される複数の攻撃の各々を識別する複数の攻撃識別子を含む攻撃シナリオ情報を予め記憶装置に記憶する攻撃シナリオ情報記憶部と、
    前記検知装置から前記警告情報を受信すると、受信した前記警告情報と前記攻撃シナリオ情報記憶部により記憶された前記攻撃シナリオ情報とに基づいて、前記攻撃シナリオ情報に含まれる前記複数の攻撃のうち前記攻撃発生時期の前後の時期において発生すると予測される攻撃である分析対象攻撃であって、前記検知した攻撃とは別の攻撃である分析対象攻撃が発生すると予測される予測発生時期を処理装置により算出し、算出した前記予測発生時期の前記ログ情報を分析する要求であるスケジュール分析要求を前記分析装置に送信するスケジュール分析要求部と
    を備え、
    前記分析装置は、
    前記連携装置の前記スケジュール分析要求部から送信された前記スケジュール分析要求に基づいて、前記予測発生時期の前記ログ情報を分析する攻撃分析システム。
  2. 前記連携装置は、
    前記攻撃シナリオ情報から前記分析対象攻撃の攻撃識別子を取得する次攻撃情報取得部を備え、
    前記スケジュール分析要求部は、
    前記次攻撃情報取得部により取得された前記分析対象攻撃の攻撃識別子と前記予測発生時期とを前記スケジュール分析要求に含めて送信し、
    前記分析装置は、
    前記スケジュール分析要求部から送信された前記スケジュール分析要求に含まれる前記分析対象攻撃の攻撃識別子と前記予測発生時期とに基づいて、前記予測発生時期の前記ログ情報を処理装置により分析し、前記予測発生時期に前記分析対象攻撃が発生したか否かを判定する請求項1に記載の攻撃分析システム。
  3. 前記攻撃シナリオ情報記憶部は、
    前記複数の攻撃の発生する順番と、前記順番が連続する2つの攻撃の発生間隔とを含む前記攻撃シナリオ情報を予め記憶装置に記憶し、
    前記次攻撃情報取得部は、
    前記検知装置から前記警告情報を受信すると、受信した前記警告情報と前記攻撃シナリオ情報記憶部により記憶された前記攻撃シナリオ情報とに基づいて、前記警告情報に含まれる攻撃識別子により識別される攻撃の次に発生すると予測される次攻撃である前記分析対象攻撃の攻撃識別子と、前記警告情報に含まれる攻撃識別子により識別される攻撃と前記次攻撃との発生間隔である次発生間隔とを取得し、
    前記スケジュール分析要求部は、
    前記次攻撃情報取得部により取得された前記次発生間隔と、前記警告情報に含まれる前記攻撃発生時期とに基づいて、前記次攻撃が発生すると予測される前記予測発生時期を算出する請求項2に記載の攻撃分析システム。
  4. 前記連携装置は、
    前記検知装置から前記警告情報を受信すると、受信した前記警告情報と前記攻撃シナリオ情報記憶部により記憶された前記攻撃シナリオ情報とに基づいて、前記警告情報に含まれる攻撃識別子により識別される攻撃の1つ前に発生した可能性のある前攻撃である前記分析対象攻撃の攻撃識別子と、前記前攻撃と前記警告情報に含まれる攻撃識別子により識別される攻撃との発生間隔である前発生間隔とを取得する前攻撃情報取得部と、
    前記前攻撃情報取得部により取得された前記前発生間隔と、前記警告情報に含まれる前記攻撃発生時期とに基づいて、前記前攻撃が発生した可能性のある発生可能時期を算出し、算出した前記発生可能時期の前記ログ情報を分析する要求である期間指定分析要求を前記分析装置に送信する期間指定分析要求部と
    を備え、
    前記分析装置は、
    前記連携装置の前記期間指定分析要求部から送信された前記期間指定分析要求に基づいて、前記発生可能時期の前記ログ情報を分析する請求項3に記載の攻撃分析システム。
  5. 前記攻撃シナリオ情報記憶部は、
    前記複数の攻撃の発生する順番を含む前記攻撃シナリオ情報を予め記憶装置に記憶し、
    前記次攻撃情報取得部は、
    前記検知装置から前記警告情報を受信すると、受信した前記警告情報と前記攻撃シナリオ情報記憶部により記憶された前記攻撃シナリオ情報とに基づいて、前記警告情報に含まれる攻撃識別子により識別される攻撃の次に発生すると予測される次攻撃を前記分析対象攻撃とし、前記分析対象攻撃の攻撃識別子を取得し、
    前記スケジュール分析要求部は、
    前記予測発生時期を算出するための検索スケジュール条件を入力し、入力した検索スケジュール条件と前記攻撃発生時期とに基づいて、前記予測発生時期を算出する請求項2に記載の攻撃分析システム。
  6. 前記スケジュール分析要求部は、
    前記攻撃発生時期を基点とする検索時期及び検索間隔を含む前記検索スケジュール条件を入力する請求項5に記載の攻撃分析システム。
  7. 前記次攻撃情報取得部は、
    前記検知装置から前記警告情報を受信すると、受信した前記警告情報と前記攻撃シナリオ情報記憶部により記憶された前記攻撃シナリオ情報とに基づいて、前記警告情報に含まれる攻撃識別子により識別される攻撃以外の攻撃を前記分析対象攻撃とし、前記分析対象攻撃の攻撃識別子を取得し、
    前記スケジュール分析要求部は、
    前記予測発生時期を算出するための検索スケジュール条件を入力し、入力した検索スケジュール条件と前記攻撃発生時期とに基づいて、前記予測発生時期を算出する請求項2に記載の攻撃分析システム。
  8. 前記スケジュール分析要求部は、
    前記攻撃発生時期を基点とする検索時期を含むとともに、前記分析対象攻撃が発生したと判定するための判定条件を含む前記検索スケジュール条件を入力し、
    前記スケジュール分析要求部は、さらに、
    前記スケジュール分析要求に前記判定条件を含めて送信し、
    前記分析装置は、
    前記スケジュール分析要求部から送信された前記スケジュール分析要求に含まれる前記分析対象攻撃の攻撃識別子と前記予測発生時期と前記判定条件とに基づいて、前記予測発生時期に前記分析対象攻撃が発生したか否かを判定する請求項7に記載の攻撃分析システム。
  9. 前記警告情報は、さらに、
    前記検知した攻撃の対象となる資産である攻撃対象資産の情報を含み、
    前記次攻撃情報取得部は、さらに、
    前記警告情報と前記攻撃シナリオ情報記憶部により記憶された前記攻撃シナリオ情報とに基づいて、前記警告情報に含まれる攻撃識別子により識別される攻撃の攻撃対象資産の情報を抽出するとともに、抽出した前記攻撃対象資産の情報に関連する資産の情報である対象関連資産を攻撃の対象とする関連攻撃を前記分析対象攻撃に含める請求項5から8のいずれか1項に記載の攻撃分析システム。
  10. 前記監視対象ネットワークは、
    前記ログ収集装置がログ収集命令を受信した場合に前記ログ収集装置によりログが収集される特定の機器を接続し、
    前記スケジュール分析要求部は、
    前記スケジュール分析要求を前記分析装置に送信する前に、前記特定の機器の前記予測発生時期のログを収集する命令である前記ログ収集命令を前記ログ収集装置に送信し、
    前記ログ収集装置は、
    前記スケジュール分析要求部から前記ログ収集命令を受信すると、受信した前記ログ収集命令に基づいて、前記特定の機器の前記予測発生時期のログを収集し、収集したログを特定機器ログ情報として記憶装置に記憶するとともに、前記ログ収集命令に対するログ収集応答を前記連携装置に送信し、
    前記スケジュール分析要求部は、
    前記ログ収集装置から前記ログ収集応答を受信すると、前記予測発生時期の前記特定機器ログ情報を分析する要求である特定機器分析要求を前記分析装置に送信する請求項1から9のいずれか1項に記載の攻撃分析システム。
  11. 前記次攻撃情報取得部は、
    前記検知装置から受信した前記警告情報に含まれる攻撃識別子により識別される攻撃の次に発生すると予測された次攻撃が成功するか否かを処理装置により判定し、前記次攻撃が成功すると判定した場合に、前記次攻撃の攻撃識別子と前記次発生間隔とを取得する請求項3または4に記載の攻撃分析システム。
  12. 前記監視対象ネットワークは、
    前記機器へのアクセス権限を認証情報により認証する認証装置を備え、
    前記次攻撃情報取得部は、
    前記次攻撃が成功すると判定した場合に、前記次攻撃が成りすましによる不正アクセスであるか否かを処理装置により判定し、前記次攻撃が成りすましによる不正アクセスであると判定した場合に、前記機器へのアクセス権限を変更する要求である権限変更要求を前記認証装置に送信する請求項11に記載の攻撃分析システム。
  13. 前記認証装置は、
    前記認証情報としてパスワードを用いて認証し、
    前記次攻撃情報取得部は、
    前記次攻撃が成りすましによる不正アクセスであると判定した場合に、さらに、前記パスワードを変更する要求であるパスワード変更要求を前記認証装置に送信する請求項12に記載の攻撃分析システム。
  14. 監視対象ネットワークが備える少なくとも1つの機器のログを収集して記憶装置にログ情報として記憶するログ収集装置と、前記監視対象ネットワークに対する攻撃を検知する検知装置と、前記ログ収集装置により収集された前記ログ情報を分析する分析装置とを具備する攻撃分析システムに備えられる連携装置であって
    前記監視対象ネットワークに対して発生すると予測される複数の攻撃の各々を識別する複数の攻撃識別子を含む攻撃シナリオ情報を予め記憶装置に記憶する攻撃シナリオ情報記憶部と、
    前記検知装置から送信される警告情報であって、前記監視対象ネットワークに対する攻撃を識別する攻撃識別子と前記監視対象ネットワークに対する攻撃が発生した攻撃発生時期とを含む警告情報を受信し、受信した前記警告情報と前記攻撃シナリオ情報記憶部により記憶された前記攻撃シナリオ情報とに基づいて、前記攻撃シナリオ情報に含まれる前記複数の攻撃のうち前記攻撃発生時期の前後の時期において発生すると予測される攻撃である分析対象攻撃であって、前記警告情報に含まれる攻撃識別子により識別される攻撃とは別の攻撃である分析対象攻撃が発生すると予測される予測発生時期を算出し、算出した前記予測発生時期を含む期間の前記ログ情報を分析する要求であるスケジュール分析要求を前記分析装置に送信するスケジュール分析要求部と
    を備える連携装置。
  15. 監視対象ネットワークに接続される少なくとも1つの機器のログを収集して記憶装置にログ情報として記憶するログ収集装置と、
    前記監視対象ネットワークに対する攻撃を検知する検知装置と、
    前記ログ収集装置により収集された前記ログ情報を分析する分析装置と、
    前記検知装置に接続されるとともに前記分析装置に接続され、前記監視対象ネットワークに対して発生すると予測される複数の攻撃の各々を識別する複数の攻撃識別子を含む攻撃シナリオ情報を予め記憶装置に記憶する攻撃シナリオ情報記憶部を備える連携装置と
    を備える攻撃分析システムの攻撃分析連携方法であって、
    前記検知装置が、前記監視対象ネットワークに対する攻撃を検知すると、検知した攻撃を識別する攻撃識別子と前記検知した攻撃が発生した攻撃発生時期とを含む警告情報を前記連携装置に送信し、
    前記連携装置のスケジュール分析要求部が、前記検知装置から前記警告情報を受信すると、受信した前記警告情報と前記攻撃シナリオ情報記憶部により記憶された前記攻撃シナリオ情報とに基づいて、前記攻撃シナリオ情報に含まれる前記複数の攻撃のうち前記攻撃発生時期の前後の時期において発生すると予測される攻撃である分析対象攻撃であって、前記検知した攻撃とは別の攻撃である分析対象攻撃が発生すると予測される予測発生時期を算出し、算出した前記予測発生時期の前記ログ情報を分析する要求であるスケジュール分析要求を前記分析装置に送信し、
    前記分析装置が、前記連携装置の前記スケジュール分析要求部から送信された前記スケジュール分析要求に基づいて、前記予測発生時期の前記ログ情報を分析する攻撃分析連携方法。
  16. 監視対象ネットワークが備える少なくとも1つの機器のログを収集して記憶装置にログ情報として記憶するログ収集装置と、前記監視対象ネットワークに対する攻撃を検知する検知装置と、前記ログ収集装置により収集された前記ログ情報を分析する分析装置とを具備する攻撃分析システムに備えられ、前記監視対象ネットワークに対して発生すると予測される複数の攻撃の各々を識別する複数の攻撃識別子を含む攻撃シナリオ情報を予め記憶装置に記憶する攻撃シナリオ情報記憶部を備える連携装置のプログラムであって、
    処理装置が、前記検知装置から送信される警告情報であって、前記監視対象ネットワークに対する攻撃を識別する攻撃識別子と前記監視対象ネットワークに対する攻撃が発生した攻撃発生時期とを含む警告情報を受信する警告情報受信処理と、
    処理装置が、受信した前記警告情報と前記攻撃シナリオ情報記憶部により記憶された前記攻撃シナリオ情報とに基づいて、前記攻撃シナリオ情報に含まれる前記複数の攻撃のうち前記攻撃発生時期の前後の時期において発生すると予測される攻撃である分析対象攻撃であって、前記警告情報に含まれる攻撃識別子により識別される攻撃とは別の攻撃である分析対象攻撃が発生すると予測される予測発生時期を算出し、算出した前記予測発生時期を含む期間の前記ログ情報を分析する要求であるスケジュール分析要求を前記分析装置に送信するスケジュール分析要求処理と
    をコンピュータである前記連携装置に実行させるプログラム。
JP2014557329A 2013-01-21 2013-11-08 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム Active JP5972401B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2013008724 2013-01-21
JP2013008724 2013-01-21
PCT/JP2013/080252 WO2014112185A1 (ja) 2013-01-21 2013-11-08 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム

Publications (2)

Publication Number Publication Date
JP5972401B2 true JP5972401B2 (ja) 2016-08-17
JPWO2014112185A1 JPWO2014112185A1 (ja) 2017-01-19

Family

ID=51209297

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014557329A Active JP5972401B2 (ja) 2013-01-21 2013-11-08 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム

Country Status (5)

Country Link
US (1) US9853994B2 (ja)
EP (1) EP2947595A4 (ja)
JP (1) JP5972401B2 (ja)
CN (1) CN104937605B (ja)
WO (1) WO2014112185A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200038151A (ko) * 2018-10-02 2020-04-10 국방과학연구소 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 방법 및 장치

Families Citing this family (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10367827B2 (en) * 2013-12-19 2019-07-30 Splunk Inc. Using network locations obtained from multiple threat lists to evaluate network data or machine data
JP6000495B2 (ja) * 2014-02-26 2016-09-28 三菱電機株式会社 攻撃検知装置、攻撃検知方法、及び攻撃検知プログラム
US10721267B1 (en) * 2014-07-18 2020-07-21 NortonLifeLock Inc. Systems and methods for detecting system attacks
JP6294847B2 (ja) * 2015-03-12 2018-03-14 株式会社日立製作所 ログ管理制御システムおよびログ管理制御方法
JP6285390B2 (ja) * 2015-04-22 2018-02-28 株式会社日立製作所 サイバー攻撃分析装置及びサイバー攻撃分析方法
US10454963B1 (en) * 2015-07-31 2019-10-22 Tripwire, Inc. Historical exploit and vulnerability detection
US9853940B2 (en) * 2015-09-24 2017-12-26 Microsoft Technology Licensing, Llc Passive web application firewall
JP6328595B2 (ja) * 2015-09-29 2018-05-23 東芝テック株式会社 情報処理装置及びプログラム
JP6714337B2 (ja) 2015-10-16 2020-06-24 キヤノン株式会社 情報処理装置、情報処理方法およびプログラム
EP3314515B1 (en) * 2016-01-25 2020-03-18 Hewlett-Packard Development Company, L.P. Notice of intrusion into firmware
US10528725B2 (en) 2016-11-04 2020-01-07 Microsoft Technology Licensing, Llc IoT security service
JP6903901B2 (ja) * 2016-11-28 2021-07-14 富士通株式会社 攻撃検知装置、攻撃検知プログラム及び攻撃検知方法
JP6656211B2 (ja) * 2017-08-02 2020-03-04 三菱電機株式会社 情報処理装置、情報処理方法及び情報処理プログラム
US10708292B2 (en) * 2017-11-28 2020-07-07 Aetna Inc. Vulnerability contextualization
JP6824151B2 (ja) * 2017-12-26 2021-02-03 三菱電機株式会社 インシデント対応支援装置
US20210034740A1 (en) * 2018-03-19 2021-02-04 Nec Corporation Threat analysis system, threat analysis method, and threat analysis program
JP6921776B2 (ja) * 2018-03-22 2021-08-18 株式会社日立製作所 インシデント検知システムおよびその方法
JP7213626B2 (ja) * 2018-06-20 2023-01-27 三菱電機株式会社 セキュリティ対策検討ツール
JP7019533B2 (ja) * 2018-08-17 2022-02-15 三菱電機株式会社 攻撃検知装置、攻撃検知システム、攻撃検知方法および攻撃検知プログラム
CN111224928B (zh) * 2018-11-26 2021-11-30 ***通信集团辽宁有限公司 网络攻击行为的预测方法、装置、设备及存储介质
CN109784043A (zh) * 2018-12-29 2019-05-21 北京奇安信科技有限公司 攻击事件还原方法、装置、电子设备及存储介质
US11405413B2 (en) * 2019-02-01 2022-08-02 Microsoft Technology Licensing, Llc Anomaly lookup for cyber security hunting
JP6918269B2 (ja) * 2019-03-12 2021-08-11 三菱電機株式会社 攻撃推定装置、攻撃制御方法、および攻撃推定プログラム
JP7202932B2 (ja) * 2019-03-14 2023-01-12 三菱電機株式会社 サイバー攻撃検知装置
CN112087414A (zh) * 2019-06-14 2020-12-15 北京奇虎科技有限公司 挖矿木马的检测方法及装置
US11336682B2 (en) * 2019-07-09 2022-05-17 Nice Ltd. System and method for generating and implementing a real-time multi-factor authentication policy across multiple channels
US11632386B2 (en) * 2019-07-19 2023-04-18 Rochester Institute Of Technology Cyberattack forecasting using predictive information
US11290473B2 (en) 2019-08-08 2022-03-29 Microsoft Technology Licensing, Llc Automatic generation of detection alerts
JP7296470B2 (ja) * 2019-10-29 2023-06-22 日立Astemo株式会社 分析装置及び分析方法
US10917401B1 (en) 2020-03-24 2021-02-09 Imperva, Inc. Data leakage prevention over application programming interface
US11652833B2 (en) 2020-07-24 2023-05-16 Microsoft Technology Licensing, Llc Detection of anomalous count of new entities
CN112187719B (zh) * 2020-08-31 2023-04-14 新浪技术(中国)有限公司 被攻击服务器的信息获取方法、装置和电子设备
CN112114995B (zh) * 2020-09-29 2023-12-12 中科安信(山西)科技有限公司 基于进程的终端异常分析方法、装置、设备及存储介质
CN112738071B (zh) * 2020-12-25 2023-07-28 中能融合智慧科技有限公司 一种攻击链拓扑的构建方法及装置
CN113259361B (zh) * 2021-05-20 2022-03-22 常州皓焱信息科技有限公司 互联网安全数据处理方法及***
CN114301712B (zh) * 2021-12-31 2023-04-07 西安交通大学 一种基于图方法的工业互联网告警日志关联分析方法及***

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003100619A1 (fr) * 2002-05-28 2003-12-04 Fujitsu Limited Dispositif, programme et procede de detection d'acces non autorise
JP2005136526A (ja) * 2003-10-28 2005-05-26 Fujitsu Ltd 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム
US20070169194A1 (en) * 2004-12-29 2007-07-19 Church Christopher A Threat scoring system and method for intrusion detection security networks
US7865954B1 (en) * 2007-08-24 2011-01-04 Louisiana Tech Research Foundation; A Division Of Louisiana Tech University Foundation, Inc. Method to detect SYN flood attack

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4700884B2 (ja) 2000-04-28 2011-06-15 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピュータのセキュリティ情報を管理するための方法およびシステム
US9027121B2 (en) * 2000-10-10 2015-05-05 International Business Machines Corporation Method and system for creating a record for one or more computer security incidents
KR20040035572A (ko) 2002-10-22 2004-04-29 최운호 정보 인프라에서의 종합 침해사고 대응시스템 및 그운영방법
JP2004318552A (ja) * 2003-04-17 2004-11-11 Kddi Corp Idsログ分析支援装置、idsログ分析支援方法及びidsログ分析支援プログラム
JP4371905B2 (ja) * 2004-05-27 2009-11-25 富士通株式会社 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置
US7716739B1 (en) * 2005-07-20 2010-05-11 Symantec Corporation Subjective and statistical event tracking incident management system
US8191149B2 (en) * 2006-11-13 2012-05-29 Electronics And Telecommunications Research Institute System and method for predicting cyber threat
KR100935861B1 (ko) 2007-11-12 2010-01-07 한국전자통신연구원 네트워크 보안 위험도 예측 방법 및 장치

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003100619A1 (fr) * 2002-05-28 2003-12-04 Fujitsu Limited Dispositif, programme et procede de detection d'acces non autorise
JP2005136526A (ja) * 2003-10-28 2005-05-26 Fujitsu Ltd 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム
US20070169194A1 (en) * 2004-12-29 2007-07-19 Church Christopher A Threat scoring system and method for intrusion detection security networks
US7865954B1 (en) * 2007-08-24 2011-01-04 Louisiana Tech Research Foundation; A Division Of Louisiana Tech University Foundation, Inc. Method to detect SYN flood attack

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200038151A (ko) * 2018-10-02 2020-04-10 국방과학연구소 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 방법 및 장치
KR102254142B1 (ko) * 2018-10-02 2021-05-20 국방과학연구소 폐쇄 네트워크에 대한 감시 및 정찰을 수행하는 방법 및 장치

Also Published As

Publication number Publication date
EP2947595A1 (en) 2015-11-25
WO2014112185A1 (ja) 2014-07-24
JPWO2014112185A1 (ja) 2017-01-19
CN104937605A (zh) 2015-09-23
EP2947595A4 (en) 2016-06-08
US20150256554A1 (en) 2015-09-10
CN104937605B (zh) 2018-08-28
US9853994B2 (en) 2017-12-26

Similar Documents

Publication Publication Date Title
JP5972401B2 (ja) 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム
US11240262B1 (en) Malware detection verification and enhancement by coordinating endpoint and malware detection systems
US11831785B2 (en) Systems and methods for digital certificate security
EP3127301B1 (en) Using trust profiles for network breach detection
US10154066B1 (en) Context-aware compromise assessment
CN106687971B (zh) 用来减少软件的攻击面的自动代码锁定
US9300682B2 (en) Composite analysis of executable content across enterprise network
US11100241B2 (en) Virtual trap protection of data elements
US10142343B2 (en) Unauthorized access detecting system and unauthorized access detecting method
US11328056B2 (en) Suspicious event analysis device and related computer program product for generating suspicious event sequence diagram
US10091225B2 (en) Network monitoring method and network monitoring device
US10757029B2 (en) Network traffic pattern based machine readable instruction identification
EP3692695B1 (en) Intrusion investigation
Yamada et al. RAT-based malicious activities detection on enterprise internal networks
JP5413010B2 (ja) 分析装置、分析方法およびプログラム
US20220237302A1 (en) Rule generation apparatus, rule generation method, and computer-readable recording medium
KR102311997B1 (ko) 인공지능 행위분석 기반의 edr 장치 및 방법
Hatada et al. Finding new varieties of malware with the classification of network behavior
WO2015178002A1 (ja) 情報処理装置、情報処理システム及び通信履歴解析方法
JP6760884B2 (ja) 生成システム、生成方法及び生成プログラム
Hovmark et al. Towards Extending Probabilistic Attack Graphs with Forensic Evidence: An investigation of property list files in macOS
Svensson et al. Navigating the Shadows: Overcoming Obstacles Posed by Anti-forensic Tools

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160614

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160712

R150 Certificate of patent or registration of utility model

Ref document number: 5972401

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250