JP6977625B2 - 評価プログラム、評価方法および評価装置 - Google Patents

評価プログラム、評価方法および評価装置 Download PDF

Info

Publication number
JP6977625B2
JP6977625B2 JP2018041316A JP2018041316A JP6977625B2 JP 6977625 B2 JP6977625 B2 JP 6977625B2 JP 2018041316 A JP2018041316 A JP 2018041316A JP 2018041316 A JP2018041316 A JP 2018041316A JP 6977625 B2 JP6977625 B2 JP 6977625B2
Authority
JP
Japan
Prior art keywords
address
cyber
information
cyber attack
band
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018041316A
Other languages
English (en)
Other versions
JP2019159431A (ja
Inventor
剛 谷口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2018041316A priority Critical patent/JP6977625B2/ja
Priority to GB1900984.4A priority patent/GB2571830B/en
Priority to US16/257,638 priority patent/US11336663B2/en
Publication of JP2019159431A publication Critical patent/JP2019159431A/ja
Application granted granted Critical
Publication of JP6977625B2 publication Critical patent/JP6977625B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/668Internet protocol [IP] address subnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明の実施形態は、評価プログラム、評価方法および評価装置に関する。
近年、ネットワークを経由した不正アクセスなどのサイバー攻撃が深刻な問題となっている。このサイバー攻撃は多種多様な方法で実施される。よって、サイバー攻撃の対処には、過去に検知したサイバー攻撃ごとに、サイバー攻撃のイベント内容を分析して評価することが重要である。
イベント内容の分析に関する従来技術としては、通信先のアドレスおよび通信の発生日時のいずれか一方を縦軸とし、他方を横軸とする座標平面上に、通信が発生した回数に応じて大きさが異なる図形をログ情報に応じて配置して表示させる技術がある。
特開2017−45188号公報 特表2015−504542号公報
しかしながら、上記の従来技術では、複数のサイバー攻撃と、それらのサイバー攻撃の攻撃者が主に利用するIPアドレス帯域との関連性が分かりづらいという問題がある。
例えば、大規模な攻撃キャンペーンにおいては、同じIPアドレスの帯域に属する複数のIPアドレスが観察されることがある。このようなIPアドレスの帯域は、同じ攻撃者が継続的に利用するケースがあることから、サイバー攻撃との関連性の分析に有用な場合がある。
1つの側面では、サイバー攻撃とアドレス群との関連性を評価できる評価プログラム、評価方法および評価装置を提供することを目的とする。
第1の案では、サイバー攻撃に関する評価プログラムは、収集する処理と、特定する処理と、決定する処理と、算出する処理と、出力を行う処理とをコンピュータに実行させる。収集する処理は、複数のサイバー攻撃情報を収集する。特定する処理は、収集した複数のサイバー攻撃情報を分析して、複数のサイバー攻撃情報に含まれるサイバー攻撃元のアドレスを特定する。決定する処理は、特定したアドレスに基づいてサイバー攻撃の監視対象とするアドレス群を決定する。算出する処理は、決定したアドレス群に含まれるアドレスからのサイバー攻撃の検知状況に応じてアドレス群を監視対象とすることの信頼性に関する評価値を算出する。出力する処理は、算出した評価値に応じた出力を行う。
本発明の1実施態様によれば、サイバー攻撃とアドレス群との関連性を評価できる。
図1は、実施形態にかかる評価装置の機能構成例を示すブロック図である。 図2は、IPアドレス帯域の検知にかかる機能構成例を説明する説明図である。 図3は、サイバー脅威インテリジェンスを説明する説明図である。 図4は、前処理の一例を示すフローチャートである。 図5は、要素の抽出例を説明する説明図である。 図6は、前処理済みサイバー脅威インテリジェンスDBを説明する説明図である。 図7は、IPアドレス帯域検出処理の一例を示すフローチャートである。 図8−1は、IPアドレス帯域候補DBを説明する説明図である。 図8−2は、IPアドレス帯域候補DBを説明する説明図である。 図8−3は、IPアドレス帯域候補DBを説明する説明図である。 図9は、統合処理の一例を示すフローチャートである。 図10−1は、統合例を説明する説明図である。 図10−2は、統合例を説明する説明図である。 図11は、IPアドレス帯域DBを説明する説明図である。 図12は、入力情報に対する出力情報の具体例を説明する説明図である。 図13は、実施形態にかかる評価装置のハードウエア構成の一例を示すブロック図である。
以下、図面を参照して、実施形態にかかる評価プログラム、評価方法および評価装置を説明する。実施形態において同一の機能を有する構成には同一の符号を付し、重複する説明は省略する。なお、以下の実施形態で説明する評価プログラム、評価方法および評価装置は、一例を示すに過ぎず、実施形態を限定するものではない。また、以下の各実施形態は、矛盾しない範囲内で適宜組みあわせてもよい。
図1は、実施形態にかかる評価装置の機能構成例を示すブロック図である。実施形態にかかる評価装置1は、例えば、PC(パーソナルコンピュータ)などのコンピュータである。
図1に示すように、評価装置1は、サイバー攻撃にかかるキャンペーンの中で処理の対象とする対象キャンペーン12の入力を受け付け、サイバー脅威インテリジェンスDB10に格納された複数のサイバー脅威インテリジェンスの中で対象キャンペーン12に該当するサイバー脅威インテリジェンスを収集する。なお、キャンペーンとは、同じ攻撃者、同じ攻撃部隊または同じ攻撃作戦による一連のサイバー攻撃の活動(複数のサイバー攻撃の集合体)について付与された呼称である。
次いで、評価装置1は、収集したサイバー脅威インテリジェンスを分析して、対象キャンペーン12にかかるサイバー攻撃の監視対象とするアドレス群(IPアドレス帯域)と、アドレス群を監視対象とすることの信頼性に関する評価値(信頼度)とをIPアドレス帯域DB60に格納する。また、評価装置1は、対象キャンペーン12についての関連情報をキャンペーン関連情報DB50に格納する。
なお、アドレス群(IPアドレス帯域)は、幾つかのIPアドレスをグループとしてまとめたものであり、例えば「AAA.AAA.AAA.0/22」等のCIDR記法によるアドレスのグループ(CIDRブロック)などがある。本実施形態では、アドレス群(IPアドレス帯域)としてCIDRブロックを例示するが、ドメインごとにIPアドレスをグループ分けしてもよく、CIDRブロックに特にするものではない。
評価装置1では、このキャンペーン関連情報DB50およびIPアドレス帯域DB60に格納された情報に基づいて、入力装置102(図13参照)などを介して入力された入力情報71に対する出力情報72をモニタ103(図13参照)などに出力する。
具体的には、分析者が自組織で発生した怪しい通信に関するIPアドレスなどを「問い合わせIPアドレス」とする入力情報71を評価装置1に入力する。評価装置1では、入力されたIPアドレスをもとにIPアドレス帯域DB60を参照し、入力されたIPアドレスに該当するアドレス群のキャンペーンを関連が疑われる関連キャンペーンとする。
次いで、評価装置1は、関連キャンペーンに関する評価値(信頼度)をIPアドレス帯域DB60より読み出し、入力されたIPアドレスとの関連がどの程度疑われるかを示す信頼度付きの関連キャンペーンを含む出力情報72を出力する。また、評価装置1は、対象キャンペーン12ごとにサイバー脅威インテリジェンスより収集したキャンペーン関連情報の中から、関連キャンペーンについてキャンペーン関連情報をキャンペーン関連情報DB50より読み出し、信頼度付きの関連キャンペーンとともに出力情報72に含めて出力する。
これにより、分析者(ユーザ)は、問い合わせたIPアドレスがサイバー脅威インテリジェンスとして認識されていないIPアドレスであったとしても、信頼度付きの関連キャンペーンによりサイバー攻撃にかかるキャンペーンとの関連を評価できる。また、ユーザは、関連キャンペーンについてキャンペーン関連情報をもとに、問い合わせたIPアドレスとの関連が疑われる関連キャンペーンの被害を予防するための対策を実施することができる。
図1に示すように、評価装置1は、前処理部20、IPアドレス帯域検出部30、IPアドレス帯域統合部40およびインタフェース部70を有する。
前処理部20は、対象キャンペーン12の入力を受け付け、サイバー脅威インテリジェンスDB10に格納された複数のサイバー脅威インテリジェンスの中で対象キャンペーン12に該当するサイバー脅威インテリジェンスを収集して前処理を行う。すなわち、前処理部20は、収集部の一例である。
図2は、IPアドレス帯域の検知にかかる機能構成例を説明する説明図である。図2に示すように、前処理部20は、対象キャンペーン12とサイバー脅威インテリジェンスDB10とを入力とし、対象キャンペーン12に該当するサイバー脅威インテリジェンスを収集して前処理を行い、前処理後のデータを前処理済みサイバー脅威インテリジェンスDB10aとキャンペーン関連情報DB50とに格納する。
前処理済みサイバー脅威インテリジェンスDB10aは、サイバー脅威インテリジェンスより収集したIPアドレスやタイムスタンプ(時間情報)のデータを、キャンペーン名(またはキャンペーンID)とサイバー脅威インテリジェンスのIDとを関連付けて格納するデータベースである。キャンペーン関連情報DB50は、サイバー脅威インテリジェンスより収集した、対象キャンペーン12に関する手口、対処、利用する脆弱性などの関連情報をキャンペーン名(またはキャンペーンID)と関連付けて格納するデータベースである。
図3は、サイバー脅威インテリジェンスを説明する説明図である。図3に示すように、サイバー脅威インテリジェンス11では、STIX(Structured Threat Information eXpression)などの形式でサイバー攻撃の情報が記述される。例えば、STIXは、サイバー攻撃活動(Campaigns)、攻撃者(Threat_Actors)、攻撃手口(TTPs)、検知指標(Indicators)、観測事象(Observables)、インシデント(Incidents)、対処措置(Courses_Of_Action)、攻撃対象(Exploit_Targets)の8つの情報群から構成される。
すなわち、サイバー脅威インテリジェンス11は、サイバー攻撃情報の一例である。また、STIXバージョン1.1.1時点では、図3のように、XML(eXtensible Markup Language)形式で記述される。
例えば、「Observables」のタグで囲まれた領域11aには、観測されたIP、domain、マルウェアのハッシュ値などが記述される。「Indicators」のタグで囲まれた領域11bには、サイバー攻撃イベントを特徴づける指標を示す情報が個別に記述される。具体的には、領域11bでは、検知指標のタイプ、検知指標に関連する観測事象、攻撃段階フェーズ、痕跡などから検知指標を作成するために使用したツールと共に、サイバー攻撃を特徴づける指標について記述される。
また、「TTPs」のタグで囲まれた領域11cには、利用された攻撃手法、例えばスパムメールやマルウェア、水飲み場攻撃などが記述される。また、「Exploit_Targets」のタグで囲まれた領域11dには、脆弱性、脆弱性の種類、設定や構成などの視点から、攻撃の対象となりうるソフトウェアやシステムの弱点など、サイバー攻撃イベントにおいて攻撃の対象となる資産の弱点を示す情報が個別に記述される。
また、「Campaigns」のタグで囲まれた領域11eには、一連の攻撃(キャンペーン)につけられる名前などが記述される。すなわち、領域11eには、サイバー攻撃にかかるキャンペーンの情報が記述される。領域11eにおけるキャンペーンの名前を参照することで、サイバー脅威インテリジェンス11にかかるサイバー攻撃がどのキャンペーンに属するかを識別できる。
また、「Threat_Actors」のタグで囲まれた領域11fには、サイバー攻撃の攻撃者のタイプ、攻撃者の動機、攻撃者の熟練度、攻撃者の意図などの視点からサイバー攻撃に寄与している人/組織についての情報が個別に記述される。具体的には、領域11fでは、不正アクセス元(送信元)のIPアドレス、またはメールアドレス、ソーシャルネットワークサービスのアカウントの情報が記述される。
このように、サイバー脅威インテリジェンス11の領域11a〜11fには、サイバー攻撃にかかるキャンペーンを示すキャンペーンの名前とともに、サイバー攻撃の観測事象(IP、domain、ハッシュ値等)やTTP等のサイバー攻撃の特徴を示す情報、すなわちサイバー攻撃の特徴情報(検知指標)が記述される。なお、サイバー脅威インテリジェンス11を共有するためのソースとしては、AlienVaultが提供するフリーで利用可能なOTX(Open Threat Exchange)などが存在する。また、サイバー脅威インテリジェンス11を管理するためのプラットフォームを利用すれば、サイバー脅威インテリジェンス11の内容を確認したり、サイバー脅威インテリジェンス11間の関連を見たりすることも可能である。
前処理部20は、サイバー脅威インテリジェンスDB10に格納された複数のサイバー脅威インテリジェンス11より対象キャンペーン12に該当するものを収集して前処理を行い、前処理後のデータを前処理済みサイバー脅威インテリジェンスDB10aおよびキャンペーン関連情報DB50に格納する。
図4は、前処理の一例を示すフローチャートである。図4に示すように、前処理が開始されると、前処理部20は、対象キャンペーン12の入力を受け付ける(S0)。対象キャンペーン12については、例えば処理の対象とするキャンペーン名をリストとしてまとめたものを入力する。次いで、前処理部20は、サイバー脅威インテリジェンスDB10に格納されたサイバー脅威インテリジェンス11をパース、あるいは自然言語処理して、必要なデータ(要素)を抽出する(S1)。
図5は、要素の抽出例を説明する説明図である。図5に示すように、STIX形式のサイバー脅威インテリジェンス11の場合、前処理部20は、パーサによってXML形式で記述されたサイバー脅威インテリジェンス11の内容をパースする。これにより、前処理部20は、サイバー脅威インテリジェンス11に含まれる各要素を抽出する。なお、サイバー脅威インテリジェンス11が標準規格などで構造化されておらず、テキストによるレポート形式などである場合は、前処理部20は、既存の自然言語処理ツールを用いて抽出対象の要素を抽出してもよい。
例えば、前処理部20は、「AddressObj:Address_Value」というタグで囲まれた部分から、「XXX.XXX.XXX.XXX」、「YYY.YYY.YYY.YYY」などのIPアドレスを抽出する。同様に、前処理部20は、攻撃手口(TTPs)にかかるタグに囲まれた部分からは攻撃手口を抽出する。また、前処理部20は、対処措置(Courses_Of_Action)にかかるタグに囲まれた部分からは対処措置を抽出する。また、前処理部20は、攻撃対象(Exploit_Targets)にかかるタグに囲まれた部分から利用する脆弱性を抽出する。また、前処理部20は、キャンペーンにかかるタグに囲まれた部分からキャンペーンの名称を抽出する。なお、データが存在しない場合には、情報なしという扱いにする。また、サイバー脅威インテリジェンス11のタイトルが、「あるマルウェアに対するレポート,期間」のように、タイムスタンプ(時間情報)を含む場合にはその時間情報を抽出する。
次いで、前処理部20は、サイバー脅威インテリジェンス11より抽出した要素をもとに、対象キャンペーン12に対して関連するサイバー脅威インテリジェンス11であるか否かを判定する(S2)。具体的には、前処理部20は、サイバー脅威インテリジェンス11より抽出した要素におけるキャンペーン名が対象キャンペーン12のキャンペーン名に一致するか否かをもとに、対象キャンペーン12に対するサイバー脅威インテリジェンス11であるか否かを判定する。
対象キャンペーン12に対するサイバー脅威インテリジェンス11である場合(S2:YES)、前処理部20は、サイバー脅威インテリジェンス11より抽出した要素(IPアドレスやタイムスタンプ)のデータをキャンペーン名(またはキャンペーンID)とサイバー脅威インテリジェンス11のIDと関連付けて前処理済みサイバー脅威インテリジェンスDB10aに格納する。また、前処理部20は、対象キャンペーン12に対するサイバー脅威インテリジェンス11より抽出した要素(手口、対処、利用する脆弱性など)をキャンペーン名(またはキャンペーンID)と関連付けてキャンペーン関連情報DB50に格納する(S3)。
図6は、前処理済みサイバー脅威インテリジェンスDB10aを説明する説明図である。図6に示すように、前処理済みサイバー脅威インテリジェンスDB10aには、対象キャンペーン12を示すキャンペーン名(キャンペーン1)と、サイバー脅威インテリジェンス11のID(ID:1)、タイムスタンプ(2015年)とともに、サイバー脅威インテリジェンス11より抽出したIPアドレス(AAA.AAA.AAA.251,BBB.BBB.BBB.4,…)が格納される。
なお、対象キャンペーン12に対するサイバー脅威インテリジェンス11でない場合(S2:NO)、前処理部20は、S3の処理をスキップしてS4へ進む。
次いで、前処理部20は、サイバー脅威インテリジェンスDB10の中で要素の抽出として未選択のサイバー脅威インテリジェンス11が存在するか否かを判定する(S4)。存在する場合(S4:YES)、前処理部20は、未選択のサイバー脅威インテリジェンス11を要素の抽出対象として選択し、S0へ処理を戻す。存在しない場合(S4:NO)、全てのサイバー脅威インテリジェンス11について処理が終了したことから、前処理部20は、前処理を終了する。
図1、2に戻り、IPアドレス帯域検出部30は、前処理済みサイバー脅威インテリジェンスDB10aを入力として、IPアドレス帯域検出処理を行う。このIPアドレス帯域検出処理により、IPアドレス帯域検出部30は、対象キャンペーン12について各サイバー脅威インテリジェンス11から検出されたIPアドレス帯域の集合であるIPアドレス帯域候補群をIPアドレス帯域候補DB60aに格納する。
具体的には、IPアドレス帯域検出部30は、IPアドレス特定部31、IPアドレス帯域決定部32を有する。IPアドレス特定部31は、前処理済みサイバー脅威インテリジェンスDB10aを参照することで、収集した複数のサイバー脅威インテリジェンス11を分析し、複数のサイバー脅威インテリジェンス11に含まれるサイバー攻撃元のアドレスを特定する。すなわち、IPアドレス特定部31は、特定部の一例である。
IPアドレス帯域決定部32は、特定したアドレスに基づいてサイバー攻撃の監視対象とするアドレス群(IPアドレス帯域)を決定する。IPアドレス帯域決定部32は、決定したIPアドレス帯域をIPアドレス帯域候補DB60aに格納する。すなわち、IPアドレス帯域決定部32は、決定部の一例である。
ここで、IPアドレス帯域検出処理の詳細を説明する。図7は、IPアドレス帯域検出処理の一例を示すフローチャートである。
図7に示すように、IPアドレス帯域検出処理が開始されると、IPアドレス特定部31は、入力された前処理済みサイバー脅威インテリジェンスDB10aに含まれるサイバー脅威インテリジェンス11群の中から、まだ選択していないサイバー脅威インテリジェンス11を選択する(S10)。次いで、IPアドレス特定部31は、選択したサイバー脅威インテリジェンス11から未選択のIPアドレスを選択する(S11)。
次いで、IPアドレス帯域決定部32は、選択したIPアドレスがIPアドレス帯域候補DB60aに登録済みのIPアドレス帯域の中に含まれるか否かを判定する(S12)。具体的には、IPアドレス帯域決定部32は、IPアドレス帯域候補DB60aにIPアドレス帯域として登録された「AAA.AAA.AAA.0/22」等のCIDR記法によるCIDRブロックに、選択したIPアドレスが含まれるか否かを判定する。
含まれる場合(S12:YES)、IPアドレス帯域決定部32は、選択したIPアドレスが含まれるIPアドレス帯域の帯域内IPアドレスに選択したIPアドレスを追加登録し、このIPアドレスを選択済みとする(S13)。
含まれない場合(S12:NO)、IPアドレス帯域決定部32は、選択したIPアドレスを包括するIPアドレス帯域をIPアドレス帯域候補DB60aに新規登録し、このIPアドレスを選択済みとする(S14)。具体的には、IPアドレス帯域決定部32は、whoisサービスなどを利用して選択したIPアドレスを包括するCIDRブロックを特定し、特定したCIDRブロックをIPアドレス帯域候補DB60aに新規登録する。
次いで、IPアドレス特定部31は、未選択のIPアドレスが存在するか否かを判定し(S15)、存在する場合(S15:YES)はS11へ処理を戻す。存在しない場合(S15:NO)、IPアドレス特定部31は、サイバー脅威インテリジェンス11群の中から未選択のサイバー脅威インテリジェンス11が存在するか否かを判定し(S16)、存在する場合(S16:YES)はS10へ処理を戻す。存在しない場合(S16:NO)、IPアドレス特定部31はIPアドレス帯域検出処理を終了する。
図6を例にすると、IPアドレス特定部31は、まず、「キャンペーン1」の「ID:1」のサイバー脅威インテリジェンス11より、抽出された5つのIPアドレス(AAA.AAA.AAA.251,BBB.BBB.BBB.4,CCC.CCC.CCC.23,CCC.CCC.CCC.53,AAA.AAA.AAA.217)のいずれかを選択する。例えば、IPアドレス特定部31は、「AAA.AAA.AAA.251」を選択する。
次いで、IPアドレス帯域決定部32は、IPアドレス帯域候補DB60aの中に選択したIPアドレス「AAA.AAA.AAA.251」を含むIPアドレス帯域が存在するか否かを調べる。ここで、IPアドレス「AAA.AAA.AAA.251」は最初に選択したIPアドレスであるため、IPアドレス帯域候補DB60aには存在しない。よって、IPアドレス帯域決定部32は、whoisサービスなどを利用し、選択したIPアドレス「AAA.AAA.AAA.251」を包括するIPアドレス帯域「AAA.AAA.AAA.0/22」を特定してIPアドレス帯域候補DB60aに新規登録する。
図8−1〜図8−3は、IPアドレス帯域候補DB60aを説明する説明図である。図8−1〜図8−3に示すように、IPアドレス帯域候補DB60aは、「ID」、「IPアドレス帯域」、「帯域内IPアドレス」、「時間情報」、「whois」などの項目を有する。「ID」は、サイバー攻撃のキャンペーンを識別するキャンペーンIDなどを格納する。なお、IDの記載については、例えば「キャンペーン1−1」である場合、「キャンペーン1」における枝番が「1」のサイバー攻撃を示すものとする。
「IPアドレス帯域」は、例えば「AAA.AAA.AAA.0/22」等のCIDRブロックによるアドレスのグループを格納する。「帯域内IPアドレス」は、「IPアドレス帯域」に含まれる、登録済みのIPアドレスを格納する。「時間情報」は、IPアドレスとともに抽出したタイムスタンプなどを格納する。「whois」は、「IPアドレス帯域」についてwhoisサービスなどを利用して取得した情報(例えば登録者)を格納する。
図8−1の上段に示すIPアドレス帯域候補DB60aは、IPアドレス「AAA.AAA.AAA.251」を新規登録した結果である。この新規登録では、「ID」にIPアドレス「AAA.AAA.AAA.251」にかかるキャンペーンを示す「キャンペーン1−1」が登録される。また、「IPアドレス帯域」にはIPアドレス「AAA.AAA.AAA.251」を包括する「AAA.AAA.AAA.0/22」が登録される。また、「帯域内IPアドレス」には、選択したIPアドレス「AAA.AAA.AAA.251」が登録される。
また、「時間情報」には、選択したIPアドレス「AAA.AAA.AAA.251」とともに抽出した「2015年」などのタイムスタンプが登録される。なお、「時間情報」は、年単位としているが、月単位などで振り分けてもよい。
また、「whois」には、「IPアドレス帯域」についてwhoisサービスなどを利用して取得した「登録者A」などのCIDRブロックにかかる登録者情報が登録される。なお、「whois」は、登録者情報に限定するものではなく、登録者の国、登録機関名などを含めても構わない。
次いで、IPアドレス帯域検出部30は、前処理済みサイバー脅威インテリジェンスDB10aにおいて未選択のIPアドレスが存在しなくなるまで上記の処理(S11〜S14)を繰り返す。例えば、図6を例における「AAA.AAA.AAA.251」の次は、「BBB.BBB.BBB.4」を選択して処理を行う。
図8−1の上段に示すように、IPアドレス帯域候補DB60aには、「BBB.BBB.BBB.4」を含むIPアドレス帯域が存在しない。よって、IPアドレス帯域検出部30は、図8−1の中段に示すように、「BBB.BBB.BBB.4」にかかる情報をIPアドレス帯域候補DB60aに新規登録する。
図6の例における「BBB.BBB.BBB.4」に次いで、IPアドレス帯域検出部30は、「CCC.CCC.CCC.23」を選択して処理を行う。図8−1の中段に示すように、IPアドレス帯域候補DB60aには、「CCC.CCC.CCC.23」を含むIPアドレス帯域が存在しない。よって、IPアドレス帯域検出部30は、図8−1の下段に示すように、「CCC.CCC.CCC.23」にかかる情報をIPアドレス帯域候補DB60aに新規登録する。
図6の例における「CCC.CCC.CCC.23」に次いで、IPアドレス帯域検出部30は、「CCC.CCC.CCC.53」を選択して処理を行う。図8−1の下段に示すように、IPアドレス帯域候補DB60aには、「CCC.CCC.CCC.25」を含むIPアドレス帯域「CCC.CCC.CCC.0/24」が存在する。よって、IPアドレス帯域検出部30は、図8−2の上段に示すように、「CCC.CCC.CCC.53」にかかる情報をIPアドレス帯域候補DB60aに追加登録する。
図6の例における「CCC.CCC.CCC.53」に次いで、IPアドレス帯域検出部30は、「AAA.AAA.AAA.217」を選択して処理を行う。図8−2の上段に示すように、IPアドレス帯域候補DB60aには、「AAA.AAA.AAA.217」を含むIPアドレス帯域「AAA.AAA.AAA.0/22」が存在する。よって、IPアドレス帯域検出部30は、図8−2の下段に示すように、「AAA.AAA.AAA.217」にかかる情報をIPアドレス帯域候補DB60aに追加登録する。
これらの処理の後に、IPアドレス帯域検出部30は、次のサイバー脅威インテリジェンス11を選択し、同様の処理を繰り返す。図8−3は、全てのサイバー脅威インテリジェンス11についてIPアドレス帯域検出処理を行った後のIPアドレス帯域候補DB60aを例示している。
図1、2に戻り、IPアドレス帯域統合部40は、IPアドレス帯域候補DB60aを入力とし、統合処理を行うことで関連するIPアドレス帯域を統合してIPアドレス帯域DB60を出力する。また、IPアドレス帯域統合部40は、統合したIPアドレス帯域に含まれるアドレスからのサイバー攻撃の検知状況に応じて、IPアドレス帯域を監視対象とすることの信頼性に関する評価値(信頼度)を算出する。すなわち、IPアドレス帯域統合部40は、算出部の一例である。IPアドレス帯域統合部40は、算出した評価値をIPアドレス帯域に関連付けてIPアドレス帯域DB60に格納する。
ここで、統合処理の詳細を説明する。図9は、統合処理の一例を示すフローチャートである。
図9に示すように、統合処理が開始されると、IPアドレス帯域統合部40は、IPアドレス帯域候補DB60aの中から未選択のIPアドレス帯域を選択する(S20)。
次いで、IPアドレス帯域統合部40は、IPアドレス帯域候補DB60aにおける、選択したIPアドレス帯域以外の未選択のIPアドレス帯域の中に同じIPアドレス帯域が存在するか否かを判定する(S21)。
同じIPアドレス帯域が存在する場合(S21:YES)、IPアドレス帯域統合部40は、そのIPアドレス帯域に属するIPアドレスを時間情報ごとに統合し、IPアドレス帯域候補DB60aにおけるIPアドレス帯域候補は選択済みとする(S22)。
同じIPアドレス帯域が存在しない場合(S21:NO)、IPアドレス帯域統合部40は、IPアドレス帯域候補DB60aにおいて選択したIPアドレス帯域の候補は選択済みとする(S23)。
次いで、IPアドレス帯域統合部40は、IPアドレス帯域候補DB60aの中で未選択のIPアドレス帯域が存在するか否かを判定し(S24)、存在する場合(S24:YES)はS20へ処理を戻す。これにより、IPアドレス帯域統合部40は、関連するIPアドレス帯域を統合していく。
例えば、図8−3の例では、IPアドレス帯域統合部40は「ID」が「キャンペーン1−1」である「AAA.AAA.AAA.0/22」を最初に選択する。次いで、IPアドレス帯域統合部40は、選択した「AAA.AAA.AAA.0/22」以外の未選択のIPアドレス帯域の中に同じIPアドレス帯域が存在するか否かを調べる。ここでは、「ID」が「キャンペーン1−2」と「キャンペーン1−3」に「AAA.AAA.AAA.0/22」が存在する。そこで、IPアドレス帯域統合部40は、「ID」が「キャンペーン1−1」、「キャンペーン1−2」、「キャンペーン1−3」の「帯域内IPアドレス」を「時間情報」ごとに統合し、選択済みとする。
「キャンペーン1−1」の「帯域内IPアドレス」である「AAA.AAA.AAA.217」および「AAA.AAA.AAA.251」と、「キャンペーン1−2」の「帯域内IPアドレス」である「AAA.AAA.AAA.11」とは、「時間情報」が「2015年」として統合する。また、「キャンペーン1−3」の「帯域内IPアドレス」である「AAA.AAA.AAA.11」、「AAA.AAA.AAA.88」および「AAA.AAA.AAA.102」は、「時間情報」が「2016年」として統合する。
図10−1、図10−2は、統合例を説明する説明図である。「キャンペーン1−1」、「キャンペーン1−2」、「キャンペーン1−3」の「帯域内IPアドレス」を「時間情報」ごとに統合した結果は、図10−1のとおりである。
IPアドレス帯域統合部40は、次のIPアドレス帯域として、「BBB.BBB.BBB.0/27」を選択する。「BBB.BBB.BBB.0/27」には同じIPアドレス帯域が存在しないため、そのまま選択済みとする。したがって、図10−1のIPアドレス帯域候補DB60aからの変更はない。
IPアドレス帯域統合部40は、次のIPアドレス帯域として、「CCC.CCC.CCC.0/24」を選択する。「ID」の「キャンペーン1−1」と「キャンペーン1−3」は異なる「時間情報」であるため、まとめることなく統合する。統合した結果は、図10−2のようになる。IPアドレス帯域統合部40は、次のIPアドレス帯域として、「DDD.DDD.DDD.0/22」を選択するが、同じIPアドレス帯域が存在しないため、そのまま選択済みとする。IPアドレス帯域統合部40は、この処理をIPアドレス帯域候補DB60aのすべてのIPアドレス帯域に対して実施し、最終的に「ID」の列にキャンペーン名を残し、IPアドレス帯域として出力する。
図9に戻り、IPアドレス帯域候補DB60aの中で未選択のIPアドレス帯域が存在しない場合(S24:NO)、IPアドレス帯域統合部40は、IPアドレス帯域ごとに、IPアドレス帯域に含まれるIPアドレスからのサイバー攻撃の検知状況に応じて信頼度を算出する(S25)。
具体的には、IPアドレス帯域統合部40は、各IPアドレス帯域の「信頼度」は以下のように算出する。IPアドレス帯域統合部40は、IPアドレス帯域内のIPアドレスが「時間情報」に変化を伴って異なるIPアドレスになっている場合、監視対象とすることの信頼性が最も高い「高」とする。また、IPアドレス帯域統合部40は、同じ「時間情報」内で複数の異なるIPアドレスが属している場合、監視対象とすることの信頼性が中程度である「中」とする。また、IPアドレス帯域統合部40は、IPアドレス帯域に1つのIPアドレスしか属していない場合、監視対象とすることの信頼性が最も低い「低」と設定する。このように、IPアドレス帯域統合部40は、IPアドレス帯域に含まれるIPアドレスの中で、時間の変化に伴って異なるアドレスからのサイバー攻撃の検知がある場合に、ない場合に比べてより高い評価値を算出する。なお、上記の算出方法は、一例であり、この算出方法に限定したものではなく、別の方法で信頼度を算出しても構わない。
次いで、IPアドレス帯域統合部40は、算出した信頼度をIPアドレス帯域に関連付けてIPアドレス帯域DB60に格納する(S26)。図11は、IPアドレス帯域DB60を説明する説明図である。
図11に示すように、IPアドレス帯域DB60には、各キャンペーンにおけるIPアドレス帯域ごとに、算出された信頼度(高、中、低など)が関連付けて格納される。
図1に戻り、インタフェース部70は、キャンペーン関連情報DB50およびIPアドレス帯域DB60に格納された情報に基づいて、入力情報71に対する出力情報72を出力する。具体的には、インタフェース部70は、入力情報71における「問い合わせIPアドレス」をもとに、IPアドレス帯域DB60を参照する。ここで、「問い合わせIPアドレス」がIPアドレス帯域DB60における「帯域内IPアドレス」と一致する場合、「問い合わせIPアドレス」に該当するサイバー攻撃のキャンペーンがあることが分かる。よって、インタフェース部70は、「問い合わせIPアドレス」と「帯域内IPアドレス」とが一致する場合、一致するキャンペーン名を該当するサイバー攻撃のキャンペーンを示す確定情報とする出力情報72を出力する。
また、「問い合わせIPアドレス」がIPアドレス帯域DB60における「帯域内IPアドレス」と一致しないが、「問い合わせIPアドレス」が含まれるIPアドレス帯域が存在する場合は、そのIPアドレス帯域でのキャンペーン活動により、関連の疑わしいキャンペーンがあることが分かる。よって、インタフェース部70は、「問い合わせIPアドレス」が含まれるIPアドレス帯域がある場合、この「IPアドレス帯域」にかかるキャンペーン名を関連が疑わしいキャンペーンとし、関連付けられた信頼度(例えば、高、中、低)を関連性を示す評価値とする出力情報72を出力する。
なお、インタフェース部70は、「問い合わせIPアドレス」に関連するキャンペーンが存在しない場合は、存在なしとする出力情報72を出力する。また、インタフェース部70は、出力したキャンペーン名に対応する手口、対処、利用する脆弱性などのキャンペーン関連情報をキャンペーン関連情報DB50より取得し、出力情報72に含めて出力する。
図12は、入力情報71に対する出力情報72の具体例を説明する説明図である。なお、IPアドレス帯域DB60の格納内容については、図11に例示したとおりとする。
図12に示すように、ケースC1では、「AAA.AAA.AAA.11」を問い合わせIPアドレスとする入力情報71が入力される。このケースC1では、IPアドレス帯域DB60において(図11参照)、「帯域内IPアドレス」に一致するIPアドレスがある、「キャンペーン1」が該当する。よって、インタフェース部70は、「キャンペーン1」を確定情報とし、キャンペーン関連情報DB50より取得した「キャンペーン1」の関連情報を含めた出力情報72を出力する。
ケースC2では、「AAA.AAA.AAA.200」を問い合わせIPアドレスとする入力情報71が入力される。このケースC2では、IPアドレス帯域DB60において(図11参照)、「帯域内IPアドレス」と一致しないが、「AAA.AAA.AAA.200」が含まれる「IPアドレス帯域」の「AAA.AAA.AAA.0/22」が存在する。よって、インタフェース部70は、「AAA.AAA.AAA.0/22」にかかる「キャンペーン1」と、その信頼度「高」と、キャンペーン関連情報DB50より取得した「キャンペーン1」の関連情報とを含めた出力情報72を出力する。
ケースC3では、「FFF.FFF.FFF.60」を問い合わせIPアドレスとする入力情報71が入力される。このケースC3では、IPアドレス帯域DB60において(図11参照)、「帯域内IPアドレス」と一致しないが、「FFF.FFF.FFF.60」が含まれる「IPアドレス帯域」の「FFF.FFF.FFF.0/19」が存在する。よって、インタフェース部70は、「FFF.FFF.FFF.0/19」にかかる「キャンペーン1」と、その信頼度「低」と、キャンペーン関連情報DB50より取得した「キャンペーン1」の関連情報とを含めた出力情報72を出力する。
以上のように、評価装置1は、前処理部20と、IPアドレス帯域検出部30と、IPアドレス帯域統合部40と、インタフェース部70とを有する。前処理部20は、サイバー脅威インテリジェンスDB10より例えば対象キャンペーン12にかかる複数のサイバー脅威インテリジェンス11を収集する。IPアドレス帯域検出部30のIPアドレス特定部31は、収集した複数のサイバー脅威インテリジェンス11を分析して、複数のサイバー脅威インテリジェンス11に含まれるサイバー攻撃元のアドレスを特定する。IPアドレス帯域検出部30のIPアドレス帯域決定部32は、特定したアドレスに基づいてサイバー攻撃の監視対象とするアドレス群(例えば「AAA.AAA.AAA.0/22」等のCIDR記法によるアドレスのグループ(CIDRブロック))を決定する。IPアドレス帯域統合部40は、決定したアドレス群に含まれるアドレスからのサイバー攻撃の検知状況に応じてアドレス群を監視対象とすることの信頼性に関する評価値(信頼度)を算出する。IPアドレス帯域統合部40は、このアドレス群について算出した評価値をIPアドレス帯域DB60に格納する。インタフェース部70は、入力情報71に対し、IPアドレス帯域DB60に格納した評価値に応じた出力を行う。
このように、評価装置1は、サイバー攻撃の監視対象とするアドレス群について、アドレス群に含まれるアドレスからのサイバー攻撃の検知状況に応じてアドレス群を監視対象とすることの信頼性に関する評価値を出力するので、サイバー攻撃とアドレス群との関連性を評価できる。
また、前処理部20が対象キャンペーン12などの所定のサイバー攻撃の活動(キャンペーン)にかかるサイバー脅威インテリジェンス11をサイバー脅威インテリジェンスDB10より収集することで、評価装置1は、所定のサイバー攻撃の活動にかかるサイバー攻撃と、アドレス群との関連性を評価できる。
また、IPアドレス帯域統合部40は、アドレス群の評価値について、当該アドレス群に含まれるアドレスの中で、時間の変化に伴って異なるアドレスからのサイバー攻撃の検知がある場合に、サイバー攻撃の検知がない場合に比べてより高い評価値を算出する。
サイバー攻撃については、サイバー攻撃に用いるアドレスを、同じアドレス群内において時系列で少し変化させる場合がある。例えば、サイバー攻撃の攻撃者は、攻撃元が特定されないようにするため、サイバー攻撃に用いるアドレスを時系列で変化させることがある。このように、サイバー攻撃に用いるアドレスを変化させる場合、攻撃者は、「AAA.AAA.AAA.0/22」等の同じアドレス群内の別アドレスを用いる可能性が高い。したがって、アドレス群の評価値について、時間の変化に伴って異なるアドレスからのサイバー攻撃の検知がある場合にはより高い評価値とすることで、サイバー攻撃に用いられる可能性の高い、疑わしいアドレス群として評価することができる。
また、インタフェース部70は、入力情報71における問い合わせ対象のアドレス(例えばIPアドレス)を包括するアドレス群(例えばCIDRブロック)をもとに、このアドレス群について算出した評価値を出力する。例えば、ユーザは、あるIPアドレスが自組織に対する怪しい通信先として観察されたときに、観察されたIPアドレスを問い合わせ対象アドレスとする。これにより、ユーザは、怪しい通信先として観察されたIPアドレスを包括するアドレス群と、サイバー攻撃との関連性を評価できる。例えば、ユーザは、実際にはサイバー脅威インテリジェンス11として認識されていないIPアドレスであったとしても、IPアドレスを包括するアドレス群と、サイバー攻撃との関連性の評価によりサイバー攻撃との関連を疑い、サイバー攻撃による被害を予防するための対策を実施できる。
なお、図示した各装置の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。
また、評価装置1で行われる各種処理機能は、CPU(またはMPU、MCU(Micro Controller Unit)等のマイクロ・コンピュータ)上で、その全部または任意の一部を実行するようにしてもよい。また、各種処理機能は、CPU(またはMPU、MCU等のマイクロ・コンピュータ)で解析実行されるプログラム上、またはワイヤードロジックによるハードウエア上で、その全部または任意の一部を実行するようにしてもよいことは言うまでもない。また、評価装置1で行われる各種処理機能は、クラウドコンピューティングにより、複数のコンピュータが協働して実行してもよい。
ところで、上記の実施形態で説明した各種の処理は、予め用意されたプログラムをコンピュータで実行することで実現できる。そこで、以下では、上記の実施形態と同様の機能を有するプログラムを実行するコンピュータ(ハードウエア)の一例を説明する。図13は、実施形態にかかる評価装置1のハードウエア構成の一例を示すブロック図である。
図13に示すように、評価装置1は、各種演算処理を実行するCPU101と、データ入力を受け付ける入力装置102と、モニタ103と、スピーカ104とを有する。また、評価装置1は、記憶媒体からプログラム等を読み取る媒体読取装置105と、各種装置と接続するためのインタフェース装置106と、有線または無線により外部機器と通信接続するための通信装置107とを有する。また、評価装置1は、各種情報を一時記憶するRAM108と、ハードディスク装置109とを有する。また、評価装置1内の各部(101〜109)は、バス110に接続される。
ハードディスク装置109には、上記の実施形態で説明した前処理部20、IPアドレス帯域検出部30、IPアドレス帯域統合部40およびインタフェース部70等における各種の処理を実行するためのプログラム111が記憶される。また、ハードディスク装置109には、プログラム111が参照する各種データ112が記憶される。入力装置102は、例えば、操作者から操作情報の入力を受け付ける。モニタ103は、例えば、操作者が操作する各種画面を表示する。インタフェース装置106は、例えば印刷装置等が接続される。通信装置107は、LAN(Local Area Network)等の通信ネットワークと接続され、通信ネットワークを介した外部機器との間で各種情報をやりとりする。
CPU101は、ハードディスク装置109に記憶されたプログラム111を読み出して、RAM108に展開して実行することで、前処理部20、IPアドレス帯域検出部30、IPアドレス帯域統合部40およびインタフェース部70等にかかる各種の処理を行う。なお、プログラム111は、ハードディスク装置109に記憶されていなくてもよい。例えば、評価装置1が読み取り可能な記憶媒体に記憶されたプログラム111を読み出して実行するようにしてもよい。評価装置1が読み取り可能な記憶媒体は、例えば、CD−ROMやDVDディスク、USB(Universal Serial Bus)メモリ等の可搬型記録媒体、フラッシュメモリ等の半導体メモリ、ハードディスクドライブ等が対応する。また、公衆回線、インターネット、LAN等に接続された装置にこのプログラム111を記憶させておき、評価装置1がこれらからプログラム111を読み出して実行するようにしてもよい。
以上の実施形態に関し、さらに以下の付記を開示する。
(付記1)複数のサイバー攻撃情報を収集し、
収集した前記複数のサイバー攻撃情報を分析して、前記複数のサイバー攻撃情報に含まれるサイバー攻撃元のアドレスを特定し、
特定した前記アドレスに基づいて前記サイバー攻撃の監視対象とするアドレス群を決定し、
決定した前記アドレス群に含まれるアドレスからのサイバー攻撃の検知状況に応じて前記アドレス群を監視対象とすることの信頼性に関する評価値を算出し、
算出した前記評価値に応じた出力を行う、
処理をコンピュータに実行させることを特徴とするサイバー攻撃に関する評価プログラム。
(付記2)前記収集する処理は、所定のサイバー攻撃の活動にかかるサイバー攻撃情報を収集する、
ことを特徴とする付記1に記載の評価プログラム。
(付記3)前記算出する処理は、前記アドレス群に含まれるアドレスについて、時間の変化に伴って異なるアドレスからのサイバー攻撃の検知がある場合に、サイバー攻撃の検知がない場合に比べてより高い評価値を算出する、
ことを特徴とする付記1または2に記載の評価プログラム。
(付記4)前記出力を行う処理は、問い合わせ対象のアドレスを包括するアドレス群をもとに、当該アドレス群について算出した前記評価値を出力する、
ことを特徴とする付記1乃至3のいずれか一に記載の評価プログラム。
(付記5)複数のサイバー攻撃情報を収集し、
収集した前記複数のサイバー攻撃情報を分析して、前記複数のサイバー攻撃情報に含まれるサイバー攻撃元のアドレスを特定し、
特定した前記アドレスに基づいて前記サイバー攻撃の監視対象とするアドレス群を決定し、
決定した前記アドレス群に含まれるアドレスからのサイバー攻撃の検知状況に応じて前記アドレス群を監視対象とすることの信頼性に関する評価値を算出し、
算出した前記評価値に応じた出力を行う、
処理をコンピュータが実行することを特徴とするサイバー攻撃に関する評価方法。
(付記6)前記収集する処理は、所定のサイバー攻撃の活動にかかるサイバー攻撃情報を収集する、
ことを特徴とする付記5に記載の評価方法。
(付記7)前記算出する処理は、前記アドレス群に含まれるアドレスについて、時間の変化に伴って異なるアドレスからのサイバー攻撃の検知がある場合に、サイバー攻撃の検知がない場合に比べてより高い評価値を算出する、
ことを特徴とする付記5または6に記載の評価方法。
(付記8)前記出力を行う処理は、問い合わせ対象のアドレスを包括するアドレス群をもとに、当該アドレス群について算出した前記評価値を出力する、
ことを特徴とする付記5乃至7のいずれか一に記載の評価方法。
(付記9)複数のサイバー攻撃情報を収集する収集部と、
収集した前記複数のサイバー攻撃情報を分析して、前記複数のサイバー攻撃情報に含まれるサイバー攻撃元のアドレスを特定する特定部と、
特定した前記アドレスに基づいて前記サイバー攻撃の監視対象とするアドレス群を決定する決定部と、
決定した前記アドレス群に含まれるアドレスからのサイバー攻撃の検知状況に応じて前記アドレス群を監視対象とすることの信頼性に関する評価値を算出する算出部と、
算出した前記評価値に応じた出力を行う出力部と、
を有することを特徴とするサイバー攻撃に関する評価装置。
(付記10)前記収集部は、所定のサイバー攻撃の活動にかかるサイバー攻撃情報を収集する、
ことを特徴とする付記9に記載の評価装置。
(付記11)前記算出部は、前記アドレス群に含まれるアドレスについて、時間の変化に伴って異なるアドレスからのサイバー攻撃の検知がある場合に、サイバー攻撃の検知がない場合に比べてより高い評価値を算出する、
ことを特徴とする付記9または10に記載の評価装置。
(付記12)前記出力部は、問い合わせ対象のアドレスを包括するアドレス群をもとに、当該アドレス群について算出した前記評価値を出力する、
ことを特徴とする付記9乃至11のいずれか一に記載の評価装置。
1…評価装置
10…サイバー脅威インテリジェンスDB
10a…前処理済みサイバー脅威インテリジェンスDB
11…サイバー脅威インテリジェンス
11a〜11f…領域
12…対象キャンペーン
20…前処理部
30…IPアドレス帯域検出部
31…IPアドレス特定部
32…IPアドレス帯域決定部
40…IPアドレス帯域統合部
50…キャンペーン関連情報DB
60…IPアドレス帯域DB
60a…IPアドレス帯域候補DB
70…インタフェース部
71…入力情報
72…出力情報
101…CPU
102…入力装置
103…モニタ
104…スピーカ
105…媒体読取装置
106…インタフェース装置
107…通信装置
108…RAM
109…ハードディスク装置
110…バス
111…プログラム
112…各種データ
C1〜C3…ケース

Claims (6)

  1. 複数のサイバー攻撃情報を収集し、
    収集した前記複数のサイバー攻撃情報を分析して、前記複数のサイバー攻撃情報に含まれるサイバー攻撃元のアドレスを特定し、
    特定した前記アドレスに基づいて所定のサイバー攻撃の監視対象とするアドレス群を決定し、
    決定した前記アドレス群に含まれるアドレスからの前記所定のサイバー攻撃の検知状況に応じて前記アドレス群を監視対象とすることの信頼性に関する評価値を算出し、
    算出した前記評価値に応じた出力を行う、
    処理をコンピュータに実行させることを特徴とする評価プログラム。
  2. 前記収集する処理は、前記所定のサイバー攻撃の活動にかかるサイバー攻撃情報を収集する、
    ことを特徴とする請求項1に記載のサイバー攻撃に関する評価プログラム。
  3. 前記算出する処理は、前記アドレス群の評価値について、当該アドレス群に含まれるアドレスの中で、時間の変化に伴って異なるアドレスからの前記所定のサイバー攻撃の検知がある場合に、当該サイバー攻撃の検知がない場合に比べてより高い評価値を算出する、
    ことを特徴とする請求項1または2に記載の評価プログラム。
  4. 前記出力を行う処理は、問い合わせ対象のアドレスを包括するアドレス群をもとに、当該アドレス群について算出した前記評価値を出力する、
    ことを特徴とする請求項1乃至3のいずれか一項に記載の評価プログラム。
  5. 複数のサイバー攻撃情報を収集し、
    収集した前記複数のサイバー攻撃情報を分析して、前記複数のサイバー攻撃情報に含まれるサイバー攻撃元のアドレスを特定し、
    特定した前記アドレスに基づいて所定のサイバー攻撃の監視対象とするアドレス群を決定し、
    決定した前記アドレス群に含まれるアドレスからの前記所定のサイバー攻撃の検知状況に応じて前記アドレス群を監視対象とすることの信頼性に関する評価値を算出し、
    算出した前記評価値に応じた出力を行う、
    処理をコンピュータが実行することを特徴とするサイバー攻撃に関する評価方法。
  6. 複数のサイバー攻撃情報を収集する収集部と、
    収集した前記複数のサイバー攻撃情報を分析して、前記複数のサイバー攻撃情報に含まれるサイバー攻撃元のアドレスを特定する特定部と、
    特定した前記アドレスに基づいて所定のサイバー攻撃の監視対象とするアドレス群を決定する決定部と、
    決定した前記アドレス群に含まれるアドレスからの前記所定のサイバー攻撃の検知状況に応じて前記アドレス群を監視対象とすることの信頼性に関する評価値を算出する算出部と、
    算出した前記評価値に応じた出力を行う出力部と、
    を有することを特徴とするサイバー攻撃に関する評価装置。
JP2018041316A 2018-03-07 2018-03-07 評価プログラム、評価方法および評価装置 Active JP6977625B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2018041316A JP6977625B2 (ja) 2018-03-07 2018-03-07 評価プログラム、評価方法および評価装置
GB1900984.4A GB2571830B (en) 2018-03-07 2019-01-24 Recording medium on which evaluating program is recorded, evaluating method, and information processing apparatus
US16/257,638 US11336663B2 (en) 2018-03-07 2019-01-25 Recording medium on which evaluating program is recorded, evaluating method, and information processing apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018041316A JP6977625B2 (ja) 2018-03-07 2018-03-07 評価プログラム、評価方法および評価装置

Publications (2)

Publication Number Publication Date
JP2019159431A JP2019159431A (ja) 2019-09-19
JP6977625B2 true JP6977625B2 (ja) 2021-12-08

Family

ID=65655868

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018041316A Active JP6977625B2 (ja) 2018-03-07 2018-03-07 評価プログラム、評価方法および評価装置

Country Status (3)

Country Link
US (1) US11336663B2 (ja)
JP (1) JP6977625B2 (ja)
GB (1) GB2571830B (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7311354B2 (ja) * 2019-08-21 2023-07-19 株式会社日立製作所 ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム
US11503047B2 (en) 2020-03-13 2022-11-15 International Business Machines Corporation Relationship-based conversion of cyber threat data into a narrative-like format
US20210286879A1 (en) * 2020-03-13 2021-09-16 International Business Machines Corporation Displaying Cyber Threat Data in a Narrative
CN115102778B (zh) * 2022-07-11 2024-05-24 深信服科技股份有限公司 一种状态确定方法、装置、设备及介质

Family Cites Families (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3534305B2 (ja) * 2000-02-29 2004-06-07 日本電気株式会社 アドレス解決プロトコルを用いたipアドレス重複検出方法
US7257630B2 (en) * 2002-01-15 2007-08-14 Mcafee, Inc. System and method for network vulnerability detection and reporting
JP2005134972A (ja) * 2003-10-28 2005-05-26 Pfu Ltd ファイアウォール装置
US9185074B2 (en) * 2004-07-06 2015-11-10 Hewlett-Packard Development Company, L.P. Method and system for generating ranges of internet protocol addresses
US10225282B2 (en) * 2005-04-14 2019-03-05 International Business Machines Corporation System, method and program product to identify a distributed denial of service attack
US7530105B2 (en) * 2006-03-21 2009-05-05 21St Century Technologies, Inc. Tactical and strategic attack detection and prediction
US9275215B2 (en) * 2008-04-01 2016-03-01 Nudata Security Inc. Systems and methods for implementing and tracking identification tests
JP5011234B2 (ja) * 2008-08-25 2012-08-29 株式会社日立情報システムズ 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム
US9894093B2 (en) * 2009-04-21 2018-02-13 Bandura, Llc Structuring data and pre-compiled exception list engines and internet protocol threat prevention
US20130091580A1 (en) 2011-10-11 2013-04-11 Mcafee, Inc. Detect and Prevent Illegal Consumption of Content on the Internet
US8681007B2 (en) * 2012-01-06 2014-03-25 International Business Machines Corporation Managing a potential choking condition with a monitoring system
US9633201B1 (en) * 2012-03-01 2017-04-25 The 41St Parameter, Inc. Methods and systems for fraud containment
US8813228B2 (en) * 2012-06-29 2014-08-19 Deloitte Development Llc Collective threat intelligence gathering system
KR101884713B1 (ko) * 2012-07-20 2018-08-30 삼성전자주식회사 홈 네트워크 시스템 및 상기 시스템에서의 공유기의 네트워크 설정 방법
CA2886058A1 (en) * 2012-09-28 2014-04-03 Level 3 Communications, Llc Identifying and mitigating malicious network threats
US8973140B2 (en) * 2013-03-14 2015-03-03 Bank Of America Corporation Handling information security incidents
CN105210042B (zh) * 2013-03-14 2019-07-12 班杜拉有限责任公司 互联网协议威胁防护
US10015153B1 (en) * 2013-12-23 2018-07-03 EMC IP Holding Company LLC Security using velocity metrics identifying authentication performance for a set of devices
US8832832B1 (en) * 2014-01-03 2014-09-09 Palantir Technologies Inc. IP reputation
US9886581B2 (en) * 2014-02-25 2018-02-06 Accenture Global Solutions Limited Automated intelligence graph construction and countermeasure deployment
US10469514B2 (en) * 2014-06-23 2019-11-05 Hewlett Packard Enterprise Development Lp Collaborative and adaptive threat intelligence for computer security
US9753946B2 (en) * 2014-07-15 2017-09-05 Microsoft Technology Licensing, Llc Reverse IP databases using data indicative of user location
US9942250B2 (en) * 2014-08-06 2018-04-10 Norse Networks, Inc. Network appliance for dynamic protection from risky network activities
US9584533B2 (en) * 2014-11-07 2017-02-28 Arbor Networks, Inc. Performance enhancements for finding top traffic patterns
US20160171415A1 (en) * 2014-12-13 2016-06-16 Security Scorecard Cybersecurity risk assessment on an industry basis
JP6327567B2 (ja) * 2015-02-17 2018-05-23 日本電信電話株式会社 アンテナ装置及び電磁波伝送方法
US20160301658A1 (en) * 2015-04-10 2016-10-13 X15 Software, Inc. Method, apparatus, and computer-readable medium for efficient subnet identification
JP6360012B2 (ja) * 2015-08-04 2018-07-18 日本電信電話株式会社 ネットワーク統合システムおよびネットワーク統合方法
JP2017045188A (ja) 2015-08-25 2017-03-02 日本電信電話株式会社 通信記録確認装置、通信記録確認システム、通信記録確認方法および通信記録確認プログラム
US9699205B2 (en) * 2015-08-31 2017-07-04 Splunk Inc. Network security system
US10432521B2 (en) * 2016-01-28 2019-10-01 Verint Systems Ltd. System and method for identifying devices behind network address translators
US10552615B2 (en) * 2016-02-18 2020-02-04 Swimlane Llc Threat response systems and methods
US10069856B2 (en) * 2016-05-13 2018-09-04 King Abdulaziz City For Science And Technology System and method of comparative evaluation for phishing mitigation
US10554683B1 (en) * 2016-05-19 2020-02-04 Board Of Trustees Of The University Of Alabama, For And On Behalf Of The University Of Alabama In Huntsville Systems and methods for preventing remote attacks against transportation systems
US10594728B2 (en) * 2016-06-29 2020-03-17 AVAST Software s.r.o. Detection of domain name system hijacking
JP6786960B2 (ja) * 2016-08-26 2020-11-18 富士通株式会社 サイバー攻撃分析支援プログラム、サイバー攻撃分析支援方法およびサイバー攻撃分析支援装置
KR101712462B1 (ko) * 2016-10-14 2017-03-06 국방과학연구소 Ip 위험군 탐지 시스템
US11102239B1 (en) * 2017-11-13 2021-08-24 Twitter, Inc. Client device identification on a network

Also Published As

Publication number Publication date
GB2571830B (en) 2022-11-09
US11336663B2 (en) 2022-05-17
GB2571830A (en) 2019-09-11
US20190281075A1 (en) 2019-09-12
GB201900984D0 (en) 2019-03-13
JP2019159431A (ja) 2019-09-19

Similar Documents

Publication Publication Date Title
JP6977625B2 (ja) 評価プログラム、評価方法および評価装置
US10476904B2 (en) Non-transitory recording medium recording cyber-attack analysis supporting program, cyber-attack analysis supporting method, and cyber-attack analysis supporting apparatus
CN104509034B (zh) 模式合并以识别恶意行为
EP3287927B1 (en) Non-transitory computer-readable recording medium storing cyber attack analysis support program, cyber attack analysis support method, and cyber attack analysis support device
Perdisci et al. Alarm clustering for intrusion detection systems in computer networks
CN110431817A (zh) 识别恶意网络设备
JP7005936B2 (ja) 評価プログラム、評価方法および情報処理装置
CN111786950A (zh) 基于态势感知的网络安全监控方法、装置、设备及介质
US20150172303A1 (en) Malware Detection and Identification
CN113496033B (zh) 访问行为识别方法和装置及存储介质
CN110149319B (zh) Apt组织的追踪方法及装置、存储介质、电子装置
CN110188538B (zh) 采用沙箱集群检测数据的方法及装置
JP4773332B2 (ja) セキュリティ管理装置及びセキュリティ管理方法及びプログラム
EP3913888A1 (en) Detection method for malicious domain name in domain name system and detection device
Kim et al. CyTIME: Cyber Threat Intelligence ManagEment framework for automatically generating security rules
JP2013152497A (ja) ブラックリスト抽出装置、抽出方法および抽出プログラム
JP6984754B2 (ja) サイバー攻撃情報分析プログラム、サイバー攻撃情報分析方法および情報処理装置
JP2020072384A (ja) サイバー攻撃評価プログラム、サイバー攻撃評価方法および情報処理装置
WO2018211835A1 (ja) 評価プログラム、評価方法および情報処理装置
US20230379361A1 (en) System and method for generating cyber threat intelligence
JP2018022248A (ja) ログ分析システム、ログ分析方法及びログ分析装置
JP7424395B2 (ja) 分析システム、方法およびプログラム
JP2021111802A (ja) 検知プログラム、検知方法および情報処理装置
Slamet et al. Campus hybrid intrusion detection system using snort and c4. 5 algorithm
JP7405162B2 (ja) 分析システム、方法およびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201110

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210818

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210824

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210929

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211012

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211025

R150 Certificate of patent or registration of utility model

Ref document number: 6977625

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150