JP6918269B2 - 攻撃推定装置、攻撃制御方法、および攻撃推定プログラム - Google Patents
攻撃推定装置、攻撃制御方法、および攻撃推定プログラム Download PDFInfo
- Publication number
- JP6918269B2 JP6918269B2 JP2021504681A JP2021504681A JP6918269B2 JP 6918269 B2 JP6918269 B2 JP 6918269B2 JP 2021504681 A JP2021504681 A JP 2021504681A JP 2021504681 A JP2021504681 A JP 2021504681A JP 6918269 B2 JP6918269 B2 JP 6918269B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- tree
- abstract
- log
- threat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 70
- 238000012790 confirmation Methods 0.000 claims description 43
- 238000011084 recovery Methods 0.000 claims description 32
- 238000004458 analytical method Methods 0.000 claims description 18
- 238000001514 detection method Methods 0.000 claims description 18
- 238000011109 contamination Methods 0.000 claims description 12
- 238000012545 processing Methods 0.000 description 28
- 238000007726 management method Methods 0.000 description 22
- 238000010586 diagram Methods 0.000 description 6
- 238000007796 conventional method Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000001419 dependent effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 208000015181 infectious disease Diseases 0.000 description 2
- 238000011835 investigation Methods 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 238000013349 risk mitigation Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 239000013598 vector Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1415—Saving, restoring, recovering or retrying at system level
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/86—Event-based monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、分析対象システムに対する攻撃による汚染範囲を推定する攻撃推定装置、攻撃制御方法、および攻撃推定プログラムに関する。
近年の企業を取り巻く環境変化により、企業のリスクは、多様化および変質しており、重要情報の流出、不正アクセス、システム障害など、情報資産を巡るトラブルに繋がる情報セキュリティインシデントの発生が頻発している。
この発生に対処するため、守るべきシステムに対する事前のセキュリティ分析に加え、不慮の事態に備えて、情報資産を巡るトラブルに繋がる攻撃を検知するシステムが求められている。このような攻撃を検知する対策を支援する技術として、アタックツリー手法を用いたものがいくつか提案されている(例えば、非特許文献1参照)。
セキュリティ分析では、対象の資産価値および脅威を明確化し、高リスク値のものに対して優先的に対策を実施していく。そのために、対象のシステム構成情報から攻撃手順を系統的に抽出する際にアタックツリーが用いられる。システムに対するアタックツリーを導出することで、網羅的に脆弱な個所を見つけ出し、リスク軽減策を提示する従来技術がある(例えば、特許文献1参照)。
また、専門家の手で作成したアタックツリーを基に、IDS(Intrusion Detection System:侵入検知システム)が出力するアラートの相関を見るルールを自動で作成し、アタックツリーの各ノードに対し発生しうるIDSのアラートを対応づけることで、ルールを作成する従来技術がある(例えば、非特許文献2参照)。さらに、ペネトレーションテストに用いるアタックツリーを自動で生成する従来技術がある(例えば、特許文献2参照)。
これらの従来技術を応用することにより、攻撃手段に対応する検知ルール、すなわち脅威痕跡情報(Indicators of Compromise:IOC)を定義したアタックツリーを自動で生成し、脅威痕跡情報を用いることで、アタックツリーに基づいた攻撃検知と感染箇所の特定ができると考えられる。
しかしながら、アタックツリーの網羅性に関しては、完璧ではない点も多く、実際に発生した脅威が、分析では特定できていないこともある。例えば、未知の脆弱性を利用した攻撃の場合、分析の段階でその攻撃手段が存在しないため、ツリーにはその攻撃経路が存在しないこととなる。
これらの課題を解決する方法の1つとして、多段攻撃による攻撃シナリオにおいて、観測することができないイベントに関して前後のイベントの発生を観測することができれば、該当イベントを観測したとみなすことによって、多段攻撃の検知漏れを防ぐ従来技術が提案されている(例えば、特許文献3参照)。
B. Schneier: Attack trees: modeling security threats, Dr. Dobb's Journal, December 1999, URL:<https://www.schneier.com/academic/archives/1999/12/attack_trees.html>
Godefroy, Erwan, et al. "Automatic generation of correlation rules to detect complex attack scenarios." Information Assurance and Security (IAS), 2014 10th International Conference on. IEEE, 2014.
しかしながら、従来技術には、以下のような課題がある。
上記のように、アタックツリーを用いた場合、既知の攻撃に対してしか攻撃および感染箇所を特定することができない課題がある。
上記のように、アタックツリーを用いた場合、既知の攻撃に対してしか攻撃および感染箇所を特定することができない課題がある。
本発明は、前記のような課題を解決するためになされたものであり、未知の攻撃による痕跡の推測を可能とする攻撃推定装置、攻撃制御方法、および攻撃推定プログラムを得ることを目的とする。
本発明に係る攻撃推定装置は、分析対象システムで事前に想定されうる攻撃手法と、脅威痕跡情報とが関連付けられたアタックツリーを保持するアタックツリー記憶部と、攻撃手法と、攻撃手法の抽象度を上げた抽象的な攻撃名とが関連付けられた抽象アタックツリーを保持する抽象アタックツリー記憶部と、抽象的な攻撃名と、ログを確認する機器と、ログの具体的な箇所とが関連付けられた確認ログ管理情報を保持する確認ログ管理情報記憶部と、分析対象システムに対する攻撃が発生したことを知らせる検知アラートを受信した場合に、アタックツリー、抽象アタックツリー、および確認ログ管理情報を参照し、攻撃による汚染範囲を予測する予測部とを備え、予測部は、検知アラートを受信した場合には、アタックツリーを参照することで、攻撃に対応する脅威痕跡情報を特定し、攻撃に対応する脅威痕跡情報が特定できた場合には、攻撃として既知の攻撃が発生したと判断し、特定した脅威痕跡情報から汚染範囲を予測し、攻撃に対応する脅威痕跡情報が特定できなかった場合には、攻撃として未知の攻撃が発生したと判断し、未知の攻撃が発生したと判断した場合には、抽象アタックツリーを参照することで、抽象的な攻撃名を特定し、特定した抽象的な攻撃名と、確認ログ管理情報とを参照することで、未知の攻撃による痕跡が残っている可能性が高い機器としてログを確認する機器を特定するとともに、特定した機器に対応してログの具体的な箇所を特定することで未知の攻撃による汚染範囲を予測するものである。
また、本発明に係る攻撃推定方法は、分析対象システムで事前に想定されうる攻撃手法と、脅威痕跡情報とが関連付けられたアタックツリーと、攻撃手法と、攻撃手法の抽象度を上げた抽象的な攻撃名とが関連付けられた抽象アタックツリーと、抽象的な攻撃名と、ログを確認する機器と、ログの具体的な箇所とが関連付けられた確認ログ管理情報とを記憶部に保持させる記憶ステップと、分析対象システムに対する攻撃が発生したことを知らせる検知アラートを受信した場合に、アタックツリー、抽象アタックツリー、および確認ログ管理情報を参照し、攻撃による汚染範囲を予測する予測ステップとを有し、記憶ステップおよび予測ステップは、コンピュータにより実行され、予測ステップは、検知アラートを受信した場合には、アタックツリーを参照することで、攻撃に対応する脅威痕跡情報を特定し、攻撃に対応する脅威痕跡情報が特定できた場合には、攻撃として既知の攻撃が発生したと判断し、特定した脅威痕跡情報から汚染範囲を予測し、攻撃に対応する脅威痕跡情報が特定できなかった場合には、攻撃として未知の攻撃が発生したと判断し、未知の攻撃が発生したと判断した場合には、抽象アタックツリーを参照することで、抽象的な攻撃名を特定し、特定した抽象的な攻撃名と、確認ログ管理情報とを参照することで、未知の攻撃による痕跡が残っている可能性が高い機器としてログを確認する機器を特定するとともに、特定した機器に対応してログの具体的な箇所を特定することで未知の攻撃による汚染範囲を予測するものである。
また、本発明に係る攻撃推定プログラムは、分析対象システムで事前に想定されうる攻撃手法と、脅威痕跡情報とが関連付けられたアタックツリーと、攻撃手法と、攻撃手法の抽象度を上げた抽象的な攻撃名とが関連付けられた抽象アタックツリーと、抽象的な攻撃名と、ログを確認する機器と、ログの具体的な箇所とが関連付けられた確認ログ管理情報とを記憶部に保持させる記憶ステップと、分析対象システムに対する攻撃が発生したことを知らせる検知アラートを受信した場合に、アタックツリー、抽象アタックツリー、および確認ログ管理情報を参照し、攻撃による汚染範囲を予測する予測ステップとをコンピュータに実行させる攻撃推定プログラムであって、予測ステップでは、検知アラートを受信した場合には、アタックツリーを参照することで、攻撃に対応する脅威痕跡情報を特定し、攻撃に対応する脅威痕跡情報が特定できた場合には、攻撃として既知の攻撃が発生したと判断し、特定した脅威痕跡情報から汚染範囲を予測し、攻撃に対応する脅威痕跡情報が特定できなかった場合には、攻撃として未知の攻撃が発生したと判断し、未知の攻撃が発生したと判断した場合には、抽象アタックツリーを参照することで、抽象的な攻撃名を特定し、特定した抽象的な攻撃名と、確認ログ管理情報とを参照することで、未知の攻撃による痕跡が残っている可能性が高い機器としてログを確認する機器を特定するとともに、特定した機器に対応してログの具体的な箇所を特定することで未知の攻撃による汚染範囲を予測するものである。
本発明によれば、未知の攻撃による痕跡の推測を可能とする攻撃推定装置、攻撃制御方法、および攻撃推定プログラムを得ることができる。
以下、本発明の攻撃推定装置、攻撃制御方法、および攻撃推定プログラムの好適な実施の形態につき図面を用いて説明する。本発明に係る攻撃推定装置は、未知のサイバー攻撃による痕跡情報を推定可能な「サイバー攻撃痕跡情報推定装置」に関するものである。以下の説明では、「サイバー攻撃痕跡情報推定装置」のことを単に「攻撃推定装置」と称して説明する。
実施の形態1.
図1は、本発明の実施の形態1における攻撃推定装置のハードウェア構成例を示す図である。図1に示す本実施の形態1に係る攻撃推定装置1は、ドライブ装置101と、補助記憶装置103と、メモリ装置104と、CPU105と、インタフェース装置106のそれぞれが、バスBで相互に接続されている。
図1は、本発明の実施の形態1における攻撃推定装置のハードウェア構成例を示す図である。図1に示す本実施の形態1に係る攻撃推定装置1は、ドライブ装置101と、補助記憶装置103と、メモリ装置104と、CPU105と、インタフェース装置106のそれぞれが、バスBで相互に接続されている。
攻撃推定装置1の一連処理を実現するプログラムは、CD−ROM等の記録媒体102によって提供される。プログラムを記憶した記録媒体102がドライブ装置101にセットされると、記録媒体102からドライブ装置101を介して、プログラムが補助記憶装置103にインストールされる。
ただし、プログラムのインストールは、必ずしも記録媒体102を用いて行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置103は、インストールされたプログラムを格納するとともに、必要なファイル、データ等を格納する。
メモリ装置104は、プログラムの起動指示があった場合に、補助記憶装置103からプログラムを読み出して格納する。コンピュータに相当するCPU105は、メモリ装置104に格納されたプログラムに従って攻撃推定装置1に係る機能を実行する。インタフェース装置106は、ネットワークに接続するためのインタフェースとして用いられる。
なお、攻撃推定装置1は、図1に示されるようなハードウェアを有する複数のコンピュータによって構成されてもよい。すなわち、攻撃推定装置1が実行する処理は、複数のコンピュータに分散されて実行されてもよい。
図2は、本発明の実施の形態1における攻撃推定装置1の機能構成例を示す図である。図2に示した攻撃推定装置は、アタックツリー生成処理部201、アタックツリー抽象化処理部202、健全性確認処理部203、攻撃ログ予測部204、システム構成情報記憶部205、脆弱性情報記憶部206、アタックツリー記憶部207、抽象アタックツリー記憶部208、および確認ログ管理情報記憶部209を有する。
図3は、本発明の実施の形態1に係る攻撃推定装置1において、サイバー攻撃痕跡情報の推定に必要なデータの作成手順を示したフローチャートである。図3を用いて、サイバー攻撃痕跡情報の推定に必要なデータを事前に作成する手順について説明する。なお、システム構成情報記憶部205には、分析対象システムの情報が記載されたデータが記憶されており、脆弱性情報記憶部206には、セキュリティの脅威事象を蓄積したデータが記憶されている。
また、以下に説明するステップS101〜ステップS103の処理は、攻撃推定を行う前段階として、攻撃推定に必要となるデータをあらかじめ記憶部に記憶させておく記憶ステップに相当する。
ステップS101において、アタックツリー生成処理部201は、システム構成情報記憶部205および脆弱性情報記憶部206に記憶されているそれぞれのデータを用いて、分析対象システムにおける攻撃の経路、攻撃される設備、攻撃手法、および脆弱性を関連付けたアタックツリーを生成する。さらに、アタックツリー生成処理部201は、生成したアタックツリーをアタックツリー記憶部207に保存する。
アタックツリーの生成処理および保存処理は、先行技術文献として挙げた特許文献1、2、および非特許文献2によって実現が可能であり、詳細な説明を省略する。
図4は、本発明の実施の形態1におけるアタックツリー記憶部207に保持されているアタックツリーのデータ構造を示す図である。アタックツリー記憶部207には、図4に示すように、「ID」、「From」、「To」、「攻撃手法」、「攻撃手法ID」、および「脅威痕跡情報(IOC)」の各データが関連付けられて、アタックツリーとして保持されている。
アタックツリーとして示された「From」および「To」に関する情報により、分析対象システムにおける攻撃の経路、および攻撃される設備が特定される。また、アタックツリーとして示された「脅威痕跡情報(IOC)」により、攻撃を受けた箇所の脆弱性が特定される。
システム構成情報記憶部205および脆弱性情報記憶部206の情報に基づいて、アタックツリー生成処理部201により導出されたアタックツリーには、図4に示すように、脅威痕跡情報であるIOCが保持されている。
一例として、図4におけるID5では、設備Aから設備Dに対して、ソフトウェアの脆弱性Zを利用して、攻撃手法ID=D4の攻撃による脅威が発生した場合に、そのIOCとして、脆弱性を含むソフトウェア名、バージョン、痕跡となるファイルパスの情報等が含まれることが示されている。
脅威痕跡情報であるIOCとは、図4に示した各攻撃手法のいずれかの攻撃が発生した場合に、痕跡として設備に残る情報をまとめたものである。従って、図4にまとめたような既知の攻撃が発生した場合には、脅威痕跡情報を参照することによって、痕跡の特定が可能である。
次に、ステップS102において、アタックツリー抽象化処理部202は、アタックツリー記憶部207に保持されたアタックツリーの攻撃手法を、抽象度を上げた攻撃の項目に分類する。さらに、アタックツリー抽象化処理部202は、分類した抽象アタックツリーを抽象アタックツリー記憶部208に保存する。
図5は、本発明の実施の形態1における抽象アタックツリー記憶部208に保持されている抽象アタックツリーのデータ構造を示す図である。抽象アタックツリー記憶部208には、アタックツリー記憶部207に保持された攻撃手法が、抽象度を上げた攻撃の項目に分類され、図5に示すデータとして、保存されている。
具体的には、抽象アタックツリー記憶部208には、図5に示すように、「抽象的な攻撃名」、「攻撃手法IDリスト」、および「攻撃の段階」の各データが関連付けられて、抽象アタックツリーとして保持されている。
アタックツリー記憶部207に保持されたアタックツリーのデータは、図4に示したように、設備の脆弱性および攻撃手法ID毎のIOCによって詳細に分類されている。これに対して、アタックツリー抽象化処理部202は、例えば、サイバーキルチェーンによる攻撃の段階に従って攻撃手法を分類することで、1段抽象度の高い攻撃の項目に分類する。
サイバーキルチェーンとは、攻撃者の動き、すなわち攻撃の段階、を段階毎に分類したフレームワークである。具体的には、攻撃者の動きは、「偵察」、「武器化」、「配送」、「攻撃(エクスプロイト)」、「インストール」、「遠隔操作(C&C)」、「侵入拡大」、および「目的実行」の各段階(プロセス)に分類される。
一例として、図5における「攻撃手法IDリスト」中の攻撃手法ID=D4に対応するデータとしては、「抽象的な攻撃名」がリモートアクセスとして保存され、「攻撃の段階」が遠隔操作として保存されている。
次に、ステップS103において、アタックツリー抽象化処理部202は、抽象アタックツリー記憶部208で分類された抽象的な攻撃名ごとに、ログを確認する機器、およびログの具体的な箇所を定義する。さらに、アタックツリー抽象化処理部202は、定義したデータを確認ログ管理情報として、確認ログ管理情報記憶部209に保存する。
図6は、本発明の実施の形態1における確認ログ管理情報記憶部209に保持されている確認ログ管理情報のデータ構造を示す図である。確認ログ管理情報記憶部209には、「抽象的な攻撃名」に対応して、「ログを確認する機器」および「ログの具体的な箇所」の項目のデータが関連付けられて、確認ログ管理情報として保存されている。
ここで、「ログを確認する機器」とは、抽象的な攻撃名に対応する攻撃が行われた際に、痕跡が残る可能性が高い機器を意味している。また、「ログの具体的な箇所」とは、「ログを確認する機器」のログに関して、具体的なログの項目を規定したものである。
次に、本実施の形態1に係る攻撃推定装置により実行される、未知のサイバー攻撃を推定する処理について、図7を用いて説明する。図7は、本発明の実施の形態1に係る攻撃推定装置において実行される攻撃推定方法の一連動作を示したフローチャートである。
なお、以下に説明するステップS201〜ステップS207の処理は、攻撃推定を行う予測ステップに相当する。また、ステップS201〜ステップS207の処理を実行する健全性確認処理部203および攻撃ログ予測部204は、予測部に相当する。
まず、ステップS201において、健全性確認処理部203は、サイバー攻撃が発生した際に、検知アラートを受信する。
次に、ステップS202において、健全性確認処理部203は、アタックツリー記憶部207に保存されたアタックツリーに基づいて、分析対象システムの設備に対応するIOCが存在するか否かの調査を行う。
例えば、図4のID5では、設備Aから設備Dに対して、ソフトウェアの脆弱性Zを利用した攻撃が発生する脅威があり、発生した場合のIOCとして、脆弱性を含むソフトウェア名、バージョン、痕跡となるファイルパスの情報等が含まれている。健全性確認処理部203は、IOCが設備Dに存在するか否かを確認する。そして、健全性確認処理部203は、IOCが設備Dに存在する場合、すなわち、脅威痕跡情報を特定できた場合には、当該箇所のツリーの攻撃が成立しているとみなすことができる。
そこで、ステップS203において、健全性確認処理部203は、調査の結果としてIOCが特定できたか否かを判断する。アタックツリーの攻撃経路が成立した場合、すなわち攻撃経路が成立するIOCが存在した場合には、健全性確認処理部203は、未知の攻撃が無く、既知の攻撃であると判断し、一連処理を終了する。
一方、アタックツリーの攻撃経路の1つに対してIOCが見つからなかった場合には、健全性確認処理部203は、既知の攻撃手法が成立せず、代わりに未知の攻撃が行われたと判断し、ステップS204以降の処理に進む。
そして、ステップS204に進んだ場合には、攻撃ログ予測部204は、該当するアタックツリーに関して、抽象アタックツリー記憶部208に保存されている抽象アタックツリーを参照することで、抽象的な攻撃名を特定する。
さらに、ステップS205において、攻撃ログ予測部204は、「抽象的な攻撃名」に対応して確認ログ管理情報記憶部209に保存されている確認ログ管理情報を参照することで、「ログを確認する機器」および「ログの具体的な箇所」を特定する。すなわち、攻撃ログ予測部204は、未知の攻撃による痕跡が残っている可能性が高い機器として「ログを確認する機器」を特定するとともに、特定した機器に対応して「ログの具体的な箇所」を特定することで、未知の攻撃による汚染範囲を予測する。
例えば、図4のID5は、攻撃手法IDがD4である。そこで、攻撃ログ予測部204は、図5に示した抽象アタックツリーを参照することで、「抽象的な攻撃名」がリモートアクセスであると特定できる。さらに、攻撃ログ予測部204は、図6に示した確認ログ管理情報を参照することで、リモートアクセスに該当する「ログを確認する機器」がFireWallであり、「ログの具体的な箇所」が送信元/送信先アドレス、あるいは送信先ポートであると特定できる。
次に、ステップS206において、攻撃ログ予測部204は、アタックツリーの前後の痕跡の情報から、確認するログの時間帯を推定する。例えば、図4で、未知の攻撃と想定されたID5の攻撃に関して、アタックツリーの前後のIDは、ID6とID3である。さらに、健全性確認処理部203は、調査によって特定した図4のID6とID3のそれぞれにおける、IOCのタイムスタンプの情報から、ID5がその間の時間帯に攻撃されたと推定することができる。
次に、ステップS207において、攻撃ログ予測部204は、抽象的な攻撃名に対応する「ログを確認する機器」に関して、ステップS206で推定した時間帯のログを、不審なログとして抽出し、一連処理を終了する。
攻撃推定装置1は、図7に示したフローチャートによる一連処理を実行することで、基地の攻撃および未知の攻撃のいずれに対しても、攻撃による汚染範囲を予測することができる。
なお、図4における攻撃手法のFromとToが違う場合、すなわち別の機器に対する攻撃である場合には、攻撃ログ予測部204は、ログの時間帯に加えて、攻撃が行われたと推定される送信元と送信先の設備に関するログを、不審なログとして絞り込むことができる。
未知の攻撃による不正なログが存在するか否かを判断する方法として、攻撃ログ予測部204は、正常のログであるが、普段とログの出方が異なるものがないかどうかを判断する「振る舞い異常検知技術」などを用いることができる。
以上のように、実施の形態1に係る攻撃推定装置は、未知の攻撃による痕跡の推測を行うことができる。また、アタックツリーの攻撃経路においてIOCが特定できなかった攻撃を、既知の攻撃がなされたとして誤判断してしまうことを防ぐことができる。
実施の形態2.
図8は、本発明の実施の形態2における攻撃推定装置1の機能構成例である。図8に示した攻撃推定装置は、先の実施の形態1における図2のコンポーネントに加え、復旧作業特定部210および復旧手段情報記憶部211をさらに有する。そこで、新たに追加されたコンポーネントである復旧作業特定部210および復旧手段情報記憶部211の機能を中心に、以下に説明する。
図8は、本発明の実施の形態2における攻撃推定装置1の機能構成例である。図8に示した攻撃推定装置は、先の実施の形態1における図2のコンポーネントに加え、復旧作業特定部210および復旧手段情報記憶部211をさらに有する。そこで、新たに追加されたコンポーネントである復旧作業特定部210および復旧手段情報記憶部211の機能を中心に、以下に説明する。
先の実施の形態1では、未知の攻撃を含むサイバー攻撃が発生した場合に、感染箇所を推定することができた。しかしながら、実際の運用では、推定作業が行われた後に、汚染範囲の復旧作業を実施する必要がある。そこで、本実施の形態2では、推定した感染箇所のIOCを元に、システム全体の復旧にかかる手順と時間を予測できる機能を付加した攻撃推定装置1について説明する。
復旧手段情報記憶部211は、アタックツリー記憶部207のIOCに定義された情報に関して、汚染範囲の復旧作業内容と、修復に要する復旧作業時間とを保持する。この復旧作業時間は、例えば、攻撃によってレジストリが書き換えられた場合に、元の状態に復旧するためにかかる作業時間である。
図9は、本発明の実施の形態2における復旧手段情報記憶部211に保持されている復旧作業内容と復旧作業時間とを対応付けた復旧手段情報のデータ構造を示す図である。なお、IOCに応じた複数の復旧作業時間を定義する代わりに、定期バックアップから復元する1手順だけの復旧作業時間を復旧手段情報として定義することもできる。
また、攻撃の種類によっては、インストールされているソフトウェアの再インストール、OSの初期化、機器の再起動などが必要な場合もある。従って、復旧手段情報記憶部211およびシステム構成情報記憶部205で分担して、これらの作業にかかる時間が定義される。
一例として、システム構成情報記憶部205は、各設備にインストールされているソフトウェア、設備の性能情報、設備間の依存関係など、復旧作業時間の特定に使用されるデータを保持することができる。
復旧作業特定部210は、先の実施の形態1における一連処理で特定した、未知の攻撃を含む攻撃の痕跡を修復するため、システム構成情報記憶部205、アタックツリー記憶部207、および復旧手段情報記憶部211に保存されている、復旧作業時間の特定に必要な情報を参照する。具体的には、復旧作業特定部210は、IOCを修復するための時間、設備の依存関係から設備の復旧を行う順番、依存する機器の停止、起動処理の必要性の有無、などを判断する。
例えば、設備間の依存関係が有向グラフによって表現される場合には、復旧作業特定部210は、次のような手順で復旧作業時間を特定することができる。ここで、ある設備の停止を伴う修復を行う際には、グラフの隣接する依存先の設備を先に停止するルールとする。このようなルールによる有向グラフに基づいて、復旧作業特定部210は、全ての設備の修復にかかる手順を導出することで、復旧手順を求め、それらの修復時間の合計を復旧作業時間として特定することができる。
以上のように、実施の形態2に係る攻撃推定装置は、未知のサイバー攻撃が行われた際に、攻撃の痕跡の推定が可能になるだけでなく、特定した攻撃の痕跡情報から、攻撃による被害から復旧するために要する時間を予測して特定することができる。
上述した実施の形態1、2に係る攻撃推定装置の特徴をまとめると、以下のようになる。実施の形態1、2に係る攻撃推定装置は、企業が標的型攻撃を中心とする高度サイバー攻撃を受けた場合に、汚染された範囲を特定し、復旧にかかる作業と時間を推定することができる。
具体的には、実施の形態1、2に係る攻撃推定装置は、事前に分析対象システムで想定されうる攻撃活動と、対応する脅威痕跡情報を、網羅的に記述したアタックツリーを生成しておく。そして、実施の形態1、2に係る攻撃推定装置は、攻撃を検知後に、アタックツリーに沿って各設備内における攻撃の痕跡を調査し、攻撃の経路を特定する。
その際、未知の攻撃を受けた場合、事前のアタックツリー分析によるIOCが見つけられず汚染範囲の特定ができない可能性がある。そこで、実施の形態1、2に係る攻撃推定装置は、アタックツリー上でIOCが確認できなかった攻撃活動については、同種の未知の攻撃を受けた可能性が高いという仮定のもと、痕跡が残っている可能性の高い機器のログ、時間帯、ログの箇所を特定する。
この結果、実施の形態1に係る攻撃推定装置は、未知の攻撃が発生した場合でも、汚染範囲の特定を行うことができる。さらに、実施の形態2に係る攻撃推定装置は、実施の形態1に係る攻撃推定装置が有する効果に加え、汚染されたと特定された範囲の復旧にかかる作業と時間を推定することができる。
1 攻撃推定装置、101 ドライブ装置、102 記録媒体、103 補助記憶装置、104 メモリ装置、105 CPU、106 インタフェース装置、201 アタックツリー生成処理部、202 アタックツリー抽象化処理部、203 健全性確認処理部、204 攻撃ログ予測部、205 システム構成情報記憶部、206 脆弱性情報記憶部、207 アタックツリー記憶部、208 抽象アタックツリー記憶部、209 確認ログ管理情報記憶部、210 復旧作業特定部、211 復旧手段情報記憶部。
Claims (4)
- 分析対象システムで事前に想定されうる攻撃手法と、脅威痕跡情報とが関連付けられたアタックツリーを保持するアタックツリー記憶部と、
前記攻撃手法と、前記攻撃手法の抽象度を上げた抽象的な攻撃名とが関連付けられた抽象アタックツリーを保持する抽象アタックツリー記憶部と、
前記抽象的な攻撃名と、ログを確認する機器と、前記ログの具体的な箇所とが関連付けられた確認ログ管理情報を保持する確認ログ管理情報記憶部と、
前記分析対象システムに対する攻撃が発生したことを知らせる検知アラートを受信した場合に、前記アタックツリー、前記抽象アタックツリー、および前記確認ログ管理情報を参照し、前記攻撃による汚染範囲を予測する予測部と
を備え、
前記予測部は、
前記検知アラートを受信した場合には、前記アタックツリーを参照することで、前記攻撃に対応する前記脅威痕跡情報を特定し、
前記攻撃に対応する前記脅威痕跡情報が特定できた場合には、前記攻撃として既知の攻撃が発生したと判断し、特定した前記脅威痕跡情報から前記汚染範囲を予測し、
前記攻撃に対応する前記脅威痕跡情報が特定できなかった場合には、前記攻撃として未知の攻撃が発生したと判断し、
前記未知の攻撃が発生したと判断した場合には、前記抽象アタックツリーを参照することで、前記抽象的な攻撃名を特定し、
特定した前記抽象的な攻撃名と、前記確認ログ管理情報とを参照することで、前記未知の攻撃による痕跡が残っている可能性が高い機器として前記ログを確認する機器を特定するとともに、特定した前記機器に対応して前記ログの具体的な箇所を特定することで前記未知の攻撃による前記汚染範囲を予測する
攻撃推定装置。 - 前記汚染範囲の復旧作業内容と、復旧作業時間とが対応付けられた復旧手段情報を保持する復旧手段情報記憶部と、
前記復旧手段情報を参照し、前記予測部により予測された前記汚染範囲を修復するために必要となる前記復旧作業内容および前記復旧作業時間を特定する復旧作業特定部と
をさらに備える請求項1に記載の攻撃推定装置。 - 分析対象システムで事前に想定されうる攻撃手法と、脅威痕跡情報とが関連付けられたアタックツリーと、前記攻撃手法と、前記攻撃手法の抽象度を上げた抽象的な攻撃名とが関連付けられた抽象アタックツリーと、前記抽象的な攻撃名と、ログを確認する機器と、前記ログの具体的な箇所とが関連付けられた確認ログ管理情報とを記憶部に保持させる記憶ステップと、
前記分析対象システムに対する攻撃が発生したことを知らせる検知アラートを受信した場合に、前記アタックツリー、前記抽象アタックツリー、および前記確認ログ管理情報を参照し、前記攻撃による汚染範囲を予測する予測ステップと
を有し、前記記憶ステップおよび前記予測ステップは、コンピュータにより実行され、
前記予測ステップは、
前記検知アラートを受信した場合には、前記アタックツリーを参照することで、前記攻撃に対応する前記脅威痕跡情報を特定し、
前記攻撃に対応する前記脅威痕跡情報が特定できた場合には、前記攻撃として既知の攻撃が発生したと判断し、特定した前記脅威痕跡情報から前記汚染範囲を予測し、
前記攻撃に対応する前記脅威痕跡情報が特定できなかった場合には、前記攻撃として未知の攻撃が発生したと判断し、
前記未知の攻撃が発生したと判断した場合には、前記抽象アタックツリーを参照することで、前記抽象的な攻撃名を特定し、
特定した前記抽象的な攻撃名と、前記確認ログ管理情報とを参照することで、前記未知の攻撃による痕跡が残っている可能性が高い機器として前記ログを確認する機器を特定するとともに、特定した前記機器に対応して前記ログの具体的な箇所を特定することで前記未知の攻撃による前記汚染範囲を予測する
攻撃推定方法。 - 分析対象システムで事前に想定されうる攻撃手法と、脅威痕跡情報とが関連付けられたアタックツリーと、前記攻撃手法と、前記攻撃手法の抽象度を上げた抽象的な攻撃名とが関連付けられた抽象アタックツリーと、前記抽象的な攻撃名と、ログを確認する機器と、前記ログの具体的な箇所とが関連付けられた確認ログ管理情報とを記憶部に保持させる記憶ステップと、
前記分析対象システムに対する攻撃が発生したことを知らせる検知アラートを受信した場合に、前記アタックツリー、前記抽象アタックツリー、および前記確認ログ管理情報を参照し、前記攻撃による汚染範囲を予測する予測ステップと
をコンピュータに実行させる攻撃推定プログラムであって、
前記予測ステップでは、
前記検知アラートを受信した場合には、前記アタックツリーを参照することで、前記攻撃に対応する前記脅威痕跡情報を特定し、
前記攻撃に対応する前記脅威痕跡情報が特定できた場合には、前記攻撃として既知の攻撃が発生したと判断し、特定した前記脅威痕跡情報から前記汚染範囲を予測し、
前記攻撃に対応する前記脅威痕跡情報が特定できなかった場合には、前記攻撃として未知の攻撃が発生したと判断し、
前記未知の攻撃が発生したと判断した場合には、前記抽象アタックツリーを参照することで、前記抽象的な攻撃名を特定し、
特定した前記抽象的な攻撃名と、前記確認ログ管理情報とを参照することで、前記未知の攻撃による痕跡が残っている可能性が高い機器として前記ログを確認する機器を特定するとともに、特定した前記機器に対応して前記ログの具体的な箇所を特定することで前記未知の攻撃による前記汚染範囲を予測する
攻撃推定プログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2019/010044 WO2020183615A1 (ja) | 2019-03-12 | 2019-03-12 | 攻撃推定装置、攻撃制御方法、および攻撃推定プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP6918269B2 true JP6918269B2 (ja) | 2021-08-11 |
| JPWO2020183615A1 JPWO2020183615A1 (ja) | 2021-09-13 |
Family
ID=72427354
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021504681A Active JP6918269B2 (ja) | 2019-03-12 | 2019-03-12 | 攻撃推定装置、攻撃制御方法、および攻撃推定プログラム |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11893110B2 (ja) |
| JP (1) | JP6918269B2 (ja) |
| CN (1) | CN113544676A (ja) |
| WO (1) | WO2020183615A1 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7427574B2 (ja) | 2020-11-30 | 2024-02-05 | 株式会社日立製作所 | 状態診断装置、及び状態診断方法 |
| CN112887303B (zh) * | 2021-01-25 | 2022-09-30 | 中国人民解放军92493部队参谋部 | 一种串入式威胁接入管控***及方法 |
| WO2023223515A1 (ja) * | 2022-05-19 | 2023-11-23 | 日本電信電話株式会社 | 攻撃経路推定システム、攻撃経路推定装置、攻撃経路推定方法及びプログラム |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4265163B2 (ja) * | 2002-07-18 | 2009-05-20 | ソニー株式会社 | ネットワーク・セキュリティ・システム、情報処理装置及び情報処理方法、並びにコンピュータ・プログラム |
| JP2005085158A (ja) * | 2003-09-10 | 2005-03-31 | Toshiba Corp | 不正アクセス検出装置およびコンピュータネットワーク上に於ける異常データ検出方法 |
| US8646085B2 (en) | 2007-10-10 | 2014-02-04 | Telefonaktiebolaget L M Ericsson (Publ) | Apparatus for reconfiguration of a technical system based on security analysis and a corresponding technical decision support system and computer program product |
| JP5264470B2 (ja) * | 2008-12-26 | 2013-08-14 | 三菱電機株式会社 | 攻撃判定装置及びプログラム |
| US8863293B2 (en) * | 2012-05-23 | 2014-10-14 | International Business Machines Corporation | Predicting attacks based on probabilistic game-theory |
| EP2947595A4 (en) * | 2013-01-21 | 2016-06-08 | Mitsubishi Electric Corp | ATTACK ANALYSIS SYSTEM, COORDINATION DEVICE, ATTACK ANALYSIS COORDINATION PROCEDURE AND PROGRAM |
| WO2015128896A1 (ja) | 2014-02-26 | 2015-09-03 | 三菱電機株式会社 | 攻撃検知装置、攻撃検知方法、及び攻撃検知プログラム |
| US9438623B1 (en) * | 2014-06-06 | 2016-09-06 | Fireeye, Inc. | Computer exploit detection using heap spray pattern matching |
| US9882929B1 (en) * | 2014-09-30 | 2018-01-30 | Palo Alto Networks, Inc. | Dynamic selection and generation of a virtual clone for detonation of suspicious content within a honey network |
| CA2981864A1 (en) * | 2015-04-10 | 2016-10-13 | PhishMe, Inc. | Suspicious message processing and incident response |
| US10043006B2 (en) * | 2015-06-17 | 2018-08-07 | Accenture Global Services Limited | Event anomaly analysis and prediction |
| US9894090B2 (en) | 2015-07-14 | 2018-02-13 | Sap Se | Penetration test attack tree generator |
| US10609079B2 (en) * | 2015-10-28 | 2020-03-31 | Qomplx, Inc. | Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management |
| US10193906B2 (en) * | 2015-12-09 | 2019-01-29 | Checkpoint Software Technologies Ltd. | Method and system for detecting and remediating polymorphic attacks across an enterprise |
| JP6774881B2 (ja) * | 2016-05-18 | 2020-10-28 | 株式会社日立製作所 | 業務処理システム監視装置および監視方法 |
| US10366229B2 (en) * | 2016-06-20 | 2019-07-30 | Jask Labs Inc. | Method for detecting a cyber attack |
| US20180004958A1 (en) * | 2016-07-01 | 2018-01-04 | Hewlett Packard Enterprise Development Lp | Computer attack model management |
| CN106375339B (zh) * | 2016-10-08 | 2019-07-09 | 电子科技大学 | 基于事件滑动窗口的攻击模式检测方法 |
| US11146578B2 (en) * | 2016-12-16 | 2021-10-12 | Patternex, Inc. | Method and system for employing graph analysis for detecting malicious activity in time evolving networks |
| CN107046543A (zh) * | 2017-04-26 | 2017-08-15 | 国家电网公司 | 一种面向攻击溯源的威胁情报分析*** |
| US20190222604A1 (en) * | 2018-01-12 | 2019-07-18 | Vimal Vaidya | Method and apparatus for measuring and predicting threat responsiveness |
| US11258818B2 (en) * | 2018-01-31 | 2022-02-22 | Ironsdn Corp. | Method and system for generating stateful attacks |
| US10944770B2 (en) * | 2018-10-25 | 2021-03-09 | EMC IP Holding Company LLC | Protecting against and learning attack vectors on web artifacts |
| CN109067815B (zh) * | 2018-11-06 | 2021-11-19 | 深信服科技股份有限公司 | 攻击事件溯源分析方法、***、用户设备及存储介质 |
| US11431734B2 (en) * | 2019-04-18 | 2022-08-30 | Kyndryl, Inc. | Adaptive rule generation for security event correlation |
-
2019
- 2019-03-12 CN CN201980093613.5A patent/CN113544676A/zh active Pending
- 2019-03-12 WO PCT/JP2019/010044 patent/WO2020183615A1/ja active Application Filing
- 2019-03-12 JP JP2021504681A patent/JP6918269B2/ja active Active
-
2021
- 2021-07-27 US US17/386,169 patent/US11893110B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US20210357501A1 (en) | 2021-11-18 |
| JPWO2020183615A1 (ja) | 2021-09-13 |
| WO2020183615A1 (ja) | 2020-09-17 |
| US11893110B2 (en) | 2024-02-06 |
| CN113544676A (zh) | 2021-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2637121A1 (en) | A method for detecting and removing malware | |
| JP6918269B2 (ja) | 攻撃推定装置、攻撃制御方法、および攻撃推定プログラム | |
| JP6774881B2 (ja) | 業務処理システム監視装置および監視方法 | |
| US20140053267A1 (en) | Method for identifying malicious executables | |
| CN105408911A (zh) | 硬件和软件执行概况分析 | |
| US8561179B2 (en) | Method for identifying undesirable features among computing nodes | |
| CN113761519B (zh) | 一种Web应用程序的检测方法、装置及存储介质 | |
| US10839074B2 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
| WO2006092931A1 (ja) | ネットワーク接続制御プログラム、ネットワーク接続の制御方法及びネットワーク接続制御システム | |
| US11425170B2 (en) | System and method for deploying and configuring cyber-security protection solution using portable storage device | |
| CN113632432A (zh) | 一种攻击行为的判定方法、装置及计算机存储介质 | |
| KR100745639B1 (ko) | 파일 시스템 및 레지스트리를 보호하는 방법 및 그 장치 | |
| KR100745640B1 (ko) | 커널 메모리를 보호하는 방법 및 그 장치 | |
| JP7019533B2 (ja) | 攻撃検知装置、攻撃検知システム、攻撃検知方法および攻撃検知プログラム | |
| US11068594B2 (en) | Threat detection system | |
| CN108429746B (zh) | 一种面向云租户的隐私数据保护方法及*** | |
| CN102073818A (zh) | 一种漏洞检测设备和方法 | |
| CN113872959A (zh) | 一种风险资产等级判定和动态降级方法和装置及设备 | |
| CN117081818A (zh) | 基于智能合约防火墙的攻击交易识别与拦截方法及*** | |
| Xu et al. | DR@ FT: efficient remote attestation framework for dynamic systems | |
| US11449610B2 (en) | Threat detection system | |
| KR20180044507A (ko) | 지능형 지속위협 환경의 네트워크 복구 시스템 | |
| RU2468427C1 (ru) | Система и способ защиты компьютерной системы от активности вредоносных объектов | |
| US11960368B1 (en) | Computer-implemented system and method for recovering data in case of a computer network failure | |
| WO2018079867A1 (ko) | 지능형 지속위협 환경의 네트워크 복구 시스템을 이용한 복구 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210323 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20210323 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20210427 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210511 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210528 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210622 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210720 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6918269 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |