JP6984754B2 - サイバー攻撃情報分析プログラム、サイバー攻撃情報分析方法および情報処理装置 - Google Patents

サイバー攻撃情報分析プログラム、サイバー攻撃情報分析方法および情報処理装置 Download PDF

Info

Publication number
JP6984754B2
JP6984754B2 JP2020530819A JP2020530819A JP6984754B2 JP 6984754 B2 JP6984754 B2 JP 6984754B2 JP 2020530819 A JP2020530819 A JP 2020530819A JP 2020530819 A JP2020530819 A JP 2020530819A JP 6984754 B2 JP6984754 B2 JP 6984754B2
Authority
JP
Japan
Prior art keywords
addresses
information
period
address
cyber attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020530819A
Other languages
English (en)
Other versions
JPWO2020017000A1 (ja
Inventor
剛 谷口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Publication of JPWO2020017000A1 publication Critical patent/JPWO2020017000A1/ja
Application granted granted Critical
Publication of JP6984754B2 publication Critical patent/JP6984754B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明の実施形態は、サイバー攻撃情報分析プログラム、サイバー攻撃情報分析方法および情報処理装置に関する。
近年、ネットワークを経由した不正アクセスなどのサイバー攻撃が深刻な問題となっている。このサイバー攻撃の対処には、日々観測される膨大なサイバー攻撃情報を分析して攻撃元を特定し、攻撃元の監視を行うことが重要である。
膨大なサイバー攻撃情報から攻撃元を特定する技術としては、攻撃をネットワーク機器が検知した検知時刻および検知時間を含む攻撃が行われた期間において、攻撃元通信装置が同一である複数の被攻撃先通信装置の組み合わせを抽出するものが知られている。
特開2015−76863号公報
しかしながら、サイバー攻撃に用いられるIPアドレスなどは、使い捨てIPアドレスの割合が極めて高い。このような使い捨てIPアドレスについては、分析したとしても労力の無駄となる場合がある。したがって、サイバー攻撃に用いられる多くのIPアドレスから分析を行うのに有意なものを特定する作業を要し、日々の多忙な業務の中で作業時間が限られる分析者においては、分析にかかる手間がかかるものであった。
1つの側面では、サイバー攻撃の分析に有意な情報の特定を支援可能とするサイバー攻撃情報分析プログラム、サイバー攻撃情報分析方法および情報処理装置を提供することを目的とする。
第1の案では、サイバー攻撃情報分析プログラムは、収集する処理と、特定する処理と、決定する処理と、出力する処理とをコンピュータに実行させる。収集する処理は、複数のサイバー攻撃情報を収集する。特定する処理は、収集した複数のサイバー攻撃情報を分析して、複数のサイバー攻撃情報に含まれるサイバー攻撃元の複数のアドレスを特定するとともに、特定した複数のサイバー攻撃元のアドレスそれぞれが観測された期間を特定する。決定する処理は、特定した複数のアドレスに対応する観測された期間の第1の期間分布と、アドレス帯域毎に観測された期間の第2の期間分布を比較した結果に応じて、アドレス帯域、またはアドレス帯域に含まれる一部のアドレスを監視対象として決定する。出力する処理は、決定したアドレス帯域、またはアドレス帯域に含まれる一部のアドレスの情報を出力する。
本発明の1実施態様によれば、サイバー攻撃の分析に有意な情報の特定を支援することができる。
図1は、実施形態にかかる情報処理装置の機能構成例を示すブロック図である。 図2は、サイバー脅威インテリジェンスを説明する説明図である。 図3は、前処理の一例を示すフローチャートである。 図4は、要素の抽出例を説明する説明図である。 図5−1は、IPアドレス群情報の一例を示す説明図である。 図5−2は、サイバー脅威インテリジェンス−IPアドレス群情報の一例を示す説明図である。 図6は、生存期間学習処理の一例を示すフローチャートである。 図7−1は、IPアドレス群情報の一例を示す説明図である。 図7−2は、サイバー脅威インテリジェンス−IPアドレス群情報の一例を示す説明図である。 図8は、検出処理の一例を示すフローチャートである。 図9は、生存期間情報の一例を示す説明図である。 図10は、出力リストの一例を示す説明図である。 図11−1は、生存期間の分布を説明する説明図である。 図11−2は、生存期間の分布を説明する説明図である。 図12は、実施形態にかかる情報処理装置のハードウエア構成の一例を示すブロック図である。
以下、図面を参照して、実施形態にかかるサイバー攻撃情報分析プログラム、サイバー攻撃情報分析方法および情報処理装置を説明する。実施形態において同一の機能を有する構成には同一の符号を付し、重複する説明は省略する。なお、以下の実施形態で説明するサイバー攻撃情報分析プログラム、サイバー攻撃情報分析方法および情報処理装置は、一例を示すに過ぎず、実施形態を限定するものではない。また、以下の各実施形態は、矛盾しない範囲内で適宜組みあわせてもよい。
図1は、実施形態にかかる情報処理装置の機能構成例を示すブロック図である。実施形態にかかる情報処理装置1は、例えば、PC(パーソナルコンピュータ)などのコンピュータである。
図1に示すように、情報処理装置1は、サイバー攻撃にかかるキャンペーンの中で処理の対象とする対象キャンペーン12の入力を受け付ける。次いで、情報処理装置1は、サイバー脅威インテリジェンスDB10に格納された複数のサイバー脅威インテリジェンスの中で対象キャンペーン12に該当するサイバー脅威インテリジェンスを収集する。
なお、キャンペーンとは、同じ攻撃者、同じ攻撃部隊または同じ攻撃作戦による一連のサイバー攻撃の活動(複数のサイバー攻撃の集合体)について付与された呼称である。例えば、ユーザ(分析者)は、対象キャンペーン12として、分析したいキャンペーンに対応するキャンペーン名やマルウエア名を入力する。また、対象キャンペーン12については、例えば処理の対象とするキャンペーン名をリストとしてまとめたものを入力してもよい。
図2は、サイバー脅威インテリジェンスを説明する説明図である。図2に示すように、サイバー脅威インテリジェンス11では、STIX(Structured Threat Information eXpression)などの形式でサイバー攻撃の情報が記述される。例えば、STIXは、サイバー攻撃活動(Campaigns)、攻撃者(Threat_Actors)、攻撃手口(TTPs)、検知指標(Indicators)、観測事象(Observables)、インシデント(Incidents)、対処措置(Courses_Of_Action)、攻撃対象(Exploit_Targets)の8つの情報群から構成される。
すなわち、サイバー脅威インテリジェンス11は、サイバー攻撃情報の一例である。また、STIXバージョン1.1.1時点では、図2のように、XML(eXtensible Markup Language)形式で記述される。
例えば、「Observables」のタグで囲まれた領域11aには、観測されたIP、domain、マルウエアのハッシュ値などが記述される。「Indicators」のタグで囲まれた領域11bには、サイバー攻撃イベントを特徴づける指標を示す情報が個別に記述される。具体的には、領域11bでは、検知指標のタイプ、検知指標に関連する観測事象、攻撃段階フェーズ、痕跡などから検知指標を作成するために使用したツールと共に、サイバー攻撃を特徴づける指標について記述される。
また、「TTPs」のタグで囲まれた領域11cには、利用された攻撃手法、例えばスパムメールやマルウエア、水飲み場攻撃などが記述される。また、「Exploit_Targets」のタグで囲まれた領域11dには、脆弱性、脆弱性の種類、設定や構成などの視点から、攻撃の対象となりうるソフトウェアやシステムの弱点など、サイバー攻撃イベントにおいて攻撃の対象となる資産の弱点を示す情報が個別に記述される。
また、「Campaigns」のタグで囲まれた領域11eには、一連の攻撃(キャンペーン)につけられる名前などが記述される。すなわち、領域11eには、サイバー攻撃にかかるキャンペーンの情報が記述される。領域11eにおけるキャンペーンの名前を参照することで、サイバー脅威インテリジェンス11にかかるサイバー攻撃がどのキャンペーンに属するかを識別できる。
また、「Threat_Actors」のタグで囲まれた領域11fには、サイバー攻撃の攻撃者のタイプ、攻撃者の動機、攻撃者の熟練度、攻撃者の意図などの視点からサイバー攻撃に寄与している人/組織についての情報が個別に記述される。具体的には、領域11fでは、不正アクセス元(攻撃元)のIPアドレス、またはメールアドレス、ソーシャルネットワークサービスのアカウントの情報が記述される。
このように、サイバー脅威インテリジェンス11の領域11a〜11fには、サイバー攻撃にかかるキャンペーンを示すキャンペーンの名前とともに、サイバー攻撃の観測事象(IP、domain、ハッシュ値等)やTTP等のサイバー攻撃の特徴を示す情報、すなわちサイバー攻撃の特徴情報(検知指標)が記述される。なお、サイバー脅威インテリジェンス11を共有するためのソースとしては、AlienVaultが提供するフリーで利用可能なOTX(Open Threat Exchange)などが存在する。また、サイバー脅威インテリジェンス11を管理するためのプラットフォームを利用すれば、サイバー脅威インテリジェンス11の内容を確認する、または、サイバー脅威インテリジェンス11間の関連を見ることも可能である。
次いで、情報処理装置1は、収集したサイバー脅威インテリジェンス11を分析して、対象キャンペーン12にかかるサイバー攻撃元の複数のアドレス(例えばIPアドレス)を特定する。また、情報処理装置1は、収集したサイバー脅威インテリジェンス11の分析により、特定したアドレスそれぞれが観測された期間(以下、生存期間と呼ぶ)を特定する。
次いで、情報処理装置1は、特定した複数のアドレスに対応する生存期間の全体分布と、アドレス帯域毎の生存期間の分布とを比較する。次いで、情報処理装置1は、全体分布と、アドレス帯域毎の分布との比較結果に応じて、アドレス帯域、またはアドレス帯域に含まれる一部のアドレスを監視対象として決定する。
次いで、情報処理装置1は、決定したアドレス帯域、またはアドレス帯域に含まれる一部のアドレスの情報を、例えばリスト形式の出力リスト51として出力する。例えば、情報処理装置1は、出力リスト51をモニタ103(図12参照)などに出力する。
出力された出力リスト51より、分析者(ユーザ)は、攻撃元のアドレスの生存期間が全体の分布と異なるアドレス帯域、またはアドレス帯域に含まれる一部のアドレスを監視対象として容易に知ることができる。
次に、情報処理装置1の詳細を説明する。情報処理装置1は、前処理部20、生存期間学習部30、検出部40および出力部50を有する。
前処理部20は、対象キャンペーン12の入力を受け付け、サイバー脅威インテリジェンスDB10に格納された複数のサイバー脅威インテリジェンス11の中で対象キャンペーン12に該当するサイバー脅威インテリジェンス11を収集して前処理を行う。すなわち、前処理部20は、収集部の一例である。
具体的には、前処理部20は、サイバー脅威インテリジェンスDB10に格納された複数のサイバー脅威インテリジェンス11より対象キャンペーン12に該当するものを収集して前処理を行い、前処理後のデータをIPアドレス群情報21およびサイバー脅威インテリジェンス−IPアドレス群情報22に格納する。
図3は、前処理の一例を示すフローチャートである。図3に示すように、対象キャンペーン12の入力を受け付けて前処理が開始されると、前処理部20は、サイバー脅威インテリジェンスDB10に格納されたサイバー脅威インテリジェンス11をパース、あるいは自然言語処理して、必要なデータ(要素)を抽出する(S10)。
図4は、要素の抽出例を説明する説明図である。図4に示すように、STIX形式のサイバー脅威インテリジェンス11の場合、前処理部20は、パーサによってXML形式で記述されたサイバー脅威インテリジェンス11の内容をパースする。これにより、前処理部20は、サイバー脅威インテリジェンス11に含まれる各要素を抽出する。なお、サイバー脅威インテリジェンス11が標準規格などで構造化されておらず、テキストによるレポート形式などである場合は、前処理部20は、既存の自然言語処理ツールを用いて抽出対象の要素を抽出してもよい。
例えば、前処理部20は、「AddressObj:Address_Value」というタグで囲まれた部分から、「XXX.XXX.XXX.XXX」、「YYY.YYY.YYY.YYY」などのIPアドレスを抽出する。同様に、前処理部20は、攻撃手口(TTPs)にかかるタグに囲まれた部分からは攻撃手口を抽出する。また、前処理部20は、対処措置(Courses_Of_Action)にかかるタグに囲まれた部分からは対処措置を抽出する。また、前処理部20は、攻撃対象(Exploit_Targets)にかかるタグに囲まれた部分から利用する脆弱性を抽出する。また、前処理部20は、キャンペーンにかかるタグに囲まれた部分からキャンペーンの名称を抽出する。なお、データが存在しない場合には、情報なしという扱いにする。また、サイバー脅威インテリジェンス11のタイトルが、「あるマルウェアに対するレポート,期間」のように、タイムスタンプ(時間情報)を含む場合にはその時間情報を抽出する。
次いで、前処理部20は、サイバー脅威インテリジェンス11より抽出した要素をもとに、対象キャンペーン12に対して関連するサイバー脅威インテリジェンス11であるか否かを判定する(S11)。具体的には、前処理部20は、サイバー脅威インテリジェンス11より抽出した要素におけるキャンペーン名が対象キャンペーン12のキャンペーン名に一致するか否かをもとに、対象キャンペーン12に対するサイバー脅威インテリジェンス11であるか否かを判定する。
対象キャンペーン12に対するサイバー脅威インテリジェンス11である場合(S11:YES)、前処理部20は、サイバー脅威インテリジェンス11より抽出した攻撃元を示すIPアドレスがIPアドレス群情報21に格納されていなければ格納する。また、前処理部20は、サイバー脅威インテリジェンス11を示すIDと関連付けてサイバー脅威インテリジェンス11より抽出したIPアドレスをサイバー脅威インテリジェンス−IPアドレス群情報22に格納する(S12)。
図5−1は、IPアドレス群情報21の一例を示す説明図である。図5−1に示すように、IPアドレス群情報21は、「x.x.1.1」などのサイバー脅威インテリジェンス11より抽出したIPアドレスと、IPアドレスに関連する情報(例えば「生存期間」)とを格納するデータテーブルなどである。
図5−2は、サイバー脅威インテリジェンス−IPアドレス群情報22の一例を示す説明図である。図5−2に示すように、サイバー脅威インテリジェンス−IPアドレス群情報22は、サイバー脅威インテリジェンス11を示すIDごとに、サイバー脅威インテリジェンス11より抽出した攻撃元を示すIPアドレスの情報を格納するデータテーブルなどである。例えば、サイバー脅威インテリジェンス−IPアドレス群情報22には、IDが「1」のサイバー脅威インテリジェンス11に紐づけて、サイバー脅威インテリジェンス11より抽出した「x.x.1.1」、「y.y.101.101」、「x.x.2.2」、「x.x.3.3」などのIPアドレスが格納されている。
なお、対象キャンペーン12に対するサイバー脅威インテリジェンス11でない場合(S11:NO)、前処理部20は、S12の処理をスキップしてS13へ進む。
次いで、前処理部20は、サイバー脅威インテリジェンスDB10の中で要素の抽出として未選択のサイバー脅威インテリジェンス11が存在するか否かを判定する(S13)。存在する場合(S13:YES)、前処理部20は、未選択のサイバー脅威インテリジェンス11を要素の抽出対象として選択し、S10へ処理を戻す。存在しない場合(S13:NO)、全てのサイバー脅威インテリジェンス11について処理が終了したことから、前処理部20は、前処理を終了する。
図1に戻り、生存期間学習部30は、前処理済みのサイバー脅威インテリジェンス−IPアドレス群情報22及びIPアドレス群情報21をもとに、サイバー攻撃元の複数のアドレス(例えばIPアドレス)を特定する。そして、生存期間学習部30は、生存期間学習処理により、特定したアドレスそれぞれの生存期間を特定し、特定した結果を生存期間情報32およびIPアドレス群情報31に格納する。すなわち、生存期間学習部30は、特定部の一例である。
図6は、生存期間学習処理の一例を示すフローチャートである。図6に示すように、生存期間学習処理が開始されると、生存期間学習部30は、入力されたIPアドレス群情報21から未選択のIPアドレスを選択する(S20)。具体的には、生存期間学習部30は、IPアドレス群情報21の中から「生存期間」にデータが格納されていないIPアドレスを選択する。
次いで、生存期間学習部30は、選択したIPアドレスのWHOISレコードを参照し、IPアドレスのアドレス帯域であるサブネットのデータを生存期間情報32に格納する(S21)。
なお、IPアドレス帯域(サブネット)は、幾つかのIPアドレスをグループとしてまとめたものであり、例えば「AAA.AAA.AAA.0/22」等のCIDR記法によるアドレスのグループ(CIDRブロック)などがある。本実施形態では、IPアドレス帯域(サブネット)としてCIDRブロックを例示するが、ドメインごとにIPアドレスをグループ分けしてもよく、CIDRブロックに特に限定するものではない。
次いで、生存期間学習部30は、IPアドレス帯域のデータをもとに、IPアドレス群情報21の未選択のIPアドレスの中から選択したIPアドレスと同じ帯域内のIPアドレスが存在すれば収集する(S22)。
次いで、生存期間学習部30は、サイバー脅威インテリジェンス−IPアドレス群情報22を参照し、S20で選択したIPアドレス、S22で収集したそれぞれのIPアドレスが出現するサイバー脅威インテリジェンス11の数を数える。次いで、カウントした数をもとに、生存期間学習部30は、それぞれのIPアドレスにおける生存期間を求め、IPアドレス群情報21および生存期間情報32に格納する(S23)。
サイバー脅威インテリジェンス11は、例えば週報などとして所定の周期で発行される。よって、サイバー脅威インテリジェンス11に記述されたIPアドレスは、そのサイバー脅威インテリジェンス11における週において攻撃元として生存している(観測された)アドレスということとなる。したがって、生存期間学習部30は、IPアドレスが出現するサイバー脅威インテリジェンス11の数を数えることでIPアドレスの生存期間(生存週)を求めることができる。
なお、本実施形態ではIPアドレスが存在するサイバー脅威インテリジェンス11の数がそのIPアドレスが生存した週に相当するものとしているが、生存期間の算出は上記の手法に限定しない。例えば日報を前提とする場合は、サイバー脅威インテリジェンス11の数をカウントすることで、生存日数を生存期間として求めることができる。また、サイバー脅威インテリジェンス11が日付情報を伴っている場合は、IPアドレスが出現するサイバー脅威インテリジェンス11を時系列順に並べ、最初(2018/1/1)と最後(2018/1/31)の日付情報をもとに、「2018/1/1〜2018/1/31」のような生存期間を算出してもよい。
次いで、生存期間学習部30は、IPアドレス群情報21の中で未選択のIPアドレスが存在するか否かを判定する(S24)。存在する場合(S24:YES)、生存期間学習部30は、未選択のIPアドレスを選択し、S20へ処理を戻す。存在しない場合(S24:NO)、全てのIPアドレスについて処理が終了したことから、生存期間学習部30は、生存期間学習処理を終了する。
図7−1は、IPアドレス群情報31の一例を示す説明図である。図7−1に示すように、IPアドレス群情報31は、IPアドレス群情報21において各IPアドレスの生存期間の情報を格納したものである。例えば、「x.x.1.1」については、生存期間学習部30が特定した生存期間「1(週)」が格納されている。
図7−2は、生存期間情報32の一例を示す説明図である。生存期間情報32は、IPアドレス帯域ごとの情報(帯域に含まれるIPアドレスおよび生存期間など)を格納するデータテーブルなどである。例えば、生存期間情報32には、「x.x.0.0/16」のIPアドレス帯域について、生存期間学習部30が特定したIPアドレス「x.x.1.1」、「x.x.2.2」、「x.x.3.3」、「x.x.4.4」…が格納されている。また、各IPアドレスについて、生存期間学習部30が特定した生存期間が格納されている。例えば、「x.x.1.1」には「1(週)」、「x.x.2.2」には「50(週)」、「x.x.3.3」には「25(週)」、「x.x.4.4」には「1(週)」が格納されている。
図1に戻り、検出部40は、IPアドレス群情報31及び生存期間情報32をもとに検出処理を行い、サイバー攻撃の分析に有意なものとして監視対象とする、アドレス帯域、またはアドレス帯域に含まれる一部のアドレスを検出する。具体的には、検出部40は、生存期間学習部30が特定した複数のIPアドレスに対応する生存期間の分布と、アドレス帯域毎の生存期間の分布とを比較する。次いで、検出部40は、分布の比較結果に応じて、アドレス帯域、またはアドレス帯域に含まれる一部のアドレスを監視対象として決定する。すなわち、検出部40は、決定部の一例である。
図8は、検出処理の一例を示すフローチャートである。図8に示すように、検出処理が開始されると、検出部40は、IPアドレス群情報31を参照してすべてのIPアドレスの生存期間を参照し、全体の統計情報を作成する(S30)。
ここで、本実施形態では、使い捨てIPアドレスとなっていない長寿命なIPアドレスに注目することから、長寿命なIPアドレスを識別するための長寿命閾値を求める。例えば、検出部40は、全体の統計情報から生存期間の上位5%となる生存期間を計算し、計算して得られた値を長寿命閾値とする。
次いで、検出部40は、生存期間情報32から未選択のIPアドレス帯域を選択する(S31)。次いで、検出部40は、選択したIPアドレス帯域に属するIPアドレスの生存期間を生存期間情報32より参照し、選択したIPアドレス帯域についての統計情報を作成する。ここでは、検出部40は、計算済みの長寿命閾値をもとに、IPアドレス帯域内の長寿命IPアドレスの割合(長寿命率)を以下の式(1)で計算し、計算結果を生存期間情報32に格納する(S32)。
長寿命率=(IPアドレス帯域内で長寿命閾値を上回る生存期間を持つIPアドレスの数)/(IPアドレス帯域内のIPアドレスの数)…(1)
図9は、生存期間情報32の一例を示す説明図であり、より具体的には、長寿命率の計算結果を格納した生存期間情報32の一例を示す図である。図9に示すように、生存期間情報32には、各IPアドレス帯域について、式(1)により計算した長寿命IPアドレスの割合(長寿命率)が格納される。
次いで、検出部40は、生存期間情報32の中で未選択のIPアドレス帯域が存在するか否かを判定する(S33)。存在する場合(S33:YES)、検出部40は、未選択のIPアドレス帯域を選択し、S31へ処理を戻す。存在しない場合(S33:NO)、検出部40はS34へ処理を進める。
S34において、検出部40は、生存期間情報32における各IPアドレス帯域の長寿命率をもとに、監視対象とするIPアドレス帯域と、帯域内の長寿命なIPアドレスとを出力リスト51に登録する。具体的には、検出部40は、長寿命率が所定の閾値を超えるIPアドレス帯域と、長寿命閾値を上回るIPアドレス(長寿命IPアドレスと呼ぶ)監視対象として出力リスト51に登録し(S34)、処理を終了する。
この閾値は、全体分布については5%を基準に長寿命閾値を設定したので、例えば5%よりも高くなるように設定する。これにより、検出部40は、全体の生存期間の分布と比較して、長寿命比率が高いIPアドレス帯域と、そのIPアドレス帯域における長寿命IPアドレスとを得ることができる。
なお、本実施形態では、統計情報として分布における上位5%値をもとにした長寿命閾値を計算し、IPアドレス帯域の長寿命比率が5%を超える閾値によって、全体分布と、IPアドレス帯域毎の分布との比較をおこなった。そして、全体分布に対して長寿命比率が5%を超えるIPアドレス帯域と、そのIPアドレス帯域における長寿命IPアドレスを監視対象とした。しかしながら、分布の比較を行う統計情報は、別のものを用いても構わない。例えば、生存期間の平均を計算し、全体の平均と、IPアドレス帯域における平均との違いをもとに、監視対象とするIPアドレス帯域と、そのIPアドレス帯域におけるIPアドレスとを求めてもよい。
図1に戻り、出力部50は、検出部40における検出結果(出力リスト51)を、ディスプレイへの表示やファイルなどに出力する。
図10は、出力リスト51の一例を示す説明図である。図10に示すように、出力リスト51は、監視対象とするIPアドレス帯域とその帯域の長寿命率、および、帯域内の長寿命IPアドレスとその生存期間を有する。例えば、出力リスト51には、監視対象とする「x.x.0.0/16」のIPアドレス帯域について、「72%」の長寿命率が格納されている。また、「x.x.0.0/16」のIPアドレス帯域内の長寿命IPアドレスおよび生存期間が格納されている。例えば、「x.x.2.2」には「50(週)」、「x.x.20.20」には「40(週)」、「x.x.30.30」には「30(週)」が格納されている。
この出力リスト51より、ユーザは、攻撃元のアドレスの生存期間が全体の分布と異なるIPアドレス帯域、またはアドレス帯域に含まれる長寿命IPアドレスを監視対象として容易に知ることができる。
図11−1、図11−2は、生存期間の分布を説明する説明図である。
図11−1に示すグラフG10は、ボットネットに対するサイバー脅威インテリジェンス11の全てのIPに対するヒストグラムである。グラフG10では、90%以上のIPが2週以内にサイバー脅威インテリジェンス11から消滅している。つまり,サイバー脅威インテリジェンス11の全体で見ると、大半は使い捨てIPアドレスである。
図11−1に示すグラフG11は、IPアドレス帯域が「x.x.0.0/16」のIPに対するヒストグラムである。また、グラフG12は、IPアドレス帯域が「y.y.0.0/16」のIPに対するヒストグラムである。本実施形態では、全体分布とIPアドレス帯域の分布との比較により、分布の異なる「x.x.0.0/16」が監視対象とされる。
したがって、グラフG11に示すようなヒストグラムの「x.x.0.0/16」を監視対象とすることで、長寿命比率が全体よりも高くなる。この例では、分布における上位5%値との兼ね合いで生存期間が3週以上であれば長寿命IPとなるので、「x.x.0.0/16」の長寿命率は大幅に高くなっている。このようなIPアドレス帯域は、攻撃者がそれぞれのIPアドレスを長く使っていることを意味するので、他の帯域と比較して攻撃者の意図が反映される可能性が高い。したがって、長寿命率が高いグラフG11のような「x.x.0.0/16」を監視対象とするとすることで、サイバー攻撃を効率よく分析できる。
図11−2に示すグラフG20は、ダウンローダに対するサイバー脅威インテリジェンス11の全てのIPに対するヒストグラムである。グラフG21は、IPアドレス帯域が「a.a.0.0/16」のIPに対するヒストグラムである。また、グラフG22は、IPアドレス帯域が「b.b.0.0/16」のIPに対するヒストグラムである。ダウンローダでは、4割近くが12週以上の生存期間であり、どのIPアドレス帯域においても大半がある程度の期間利用される。したがって、使い捨てIPアドレスの比率はそれほど高くなく、ボットネットの長寿命IPアドレスと比較して、長く利用されるIPアドレスの価値は比較的高くない。
(変形例)
なお、生存期間学習部30は、DNS(Domain Name System)を管理する所定の情報処理サーバへアクセスし、特定した複数のサイバー攻撃元のアドレスの少なくとも一部のアドレスに対応するドメインを特定してもよい。
また、出力部50は、生存期間学習部30がドメインを特定した時刻、またはDNSにアクセスした時刻とは異なる時刻にDNSに再度アクセスすることによって特定したドメインに対応するアドレスが前とは異なるか否かを判定する。次いで、出力部50は、特定したドメインに対応するアドレスが前とは異なる場合、新たに特定したアドレスの情報を出力リスト51に含めて出力する。
このように、情報処理装置1は、サイバー攻撃元のアドレスに対応するドメインを特定し、そのドメインに対応するアドレスを追跡するようにしてもよい。これにより、ユーザは、サイバー脅威インテリジェンス11より特定した複数のサイバー攻撃元のアドレスに対応するドメインについて、前回のアドレスとは異なる、ドメインに関連づいた別のIPアドレスを容易に追跡できる。
以上のように、情報処理装置1は、前処理部20と、生存期間学習部30と、検出部40と、出力部50とを有する。前処理部20は、複数のサイバー脅威インテリジェンス11を収集する。生存期間学習部30は、収集した複数のサイバー脅威インテリジェンス11を分析して、複数のサイバー脅威インテリジェンス11に含まれるサイバー攻撃元の複数のアドレスを特定する。また、生存期間学習部30は、特定した複数のサイバー攻撃元のアドレスそれぞれが観測された期間(生存期間)を特定する。検出部40は、特定した複数のアドレスに対応する生存期間の分布と、アドレス帯域毎の生存期間の分布を比較する。次いで、検出部40は、分布を比較した結果に応じて、アドレス帯域、またはアドレス帯域に含まれる一部のアドレスを監視対象として決定する。出力部50は、検出部40が決定したアドレス帯域、またはアドレス帯域に含まれる一部のアドレスの情報を出力する。
これにより、ユーザは、複数のサイバー攻撃元のアドレスそれぞれの生存期間の分布と、アドレス帯域毎の生存期間の分布とが異なるアドレス帯域、またはアドレス帯域に含まれる一部のアドレスを監視対象として容易に知ることができる。この監視対象は、生存期間の分布が例えば使い捨てIPアドレスの割合が極めて高い全体分布とは異なり、攻撃者が意図をもって利用している可能性が高い。したがって、ユーザは、サイバー攻撃の分析に有意な監視対象を容易に知ることができる。
また、生存期間学習部30は、所定の情報処理サーバ(DNS)へアクセスして、特定した複数のサイバー攻撃元のアドレスの少なくとも一部のアドレスに対応するドメインを特定する。出力部50は、ドメインを特定した時刻、またはDNSにアクセスした時刻とは異なる時刻にDNSに再度アクセスすることによって特定したドメインに対応するアドレスが前とは異なる場合、新たに特定したアドレスの情報を出力する。これにより、ユーザは、サイバー脅威インテリジェンス11より特定した複数のサイバー攻撃元のアドレスに対応するドメインについて、前回のアドレスとは異なる、ドメインに関連づいた別のIPアドレスを追跡することができ、分析の質を高めることが可能となる。
また、検出部40は、特定した複数のアドレスに対応する生存期間の分布よりも、アドレス帯域毎の生存期間の分布の方が、所定の閾値より長い期間観測されたアドレス(長寿命アドレス)の割合が多いか否かを判定する。次いで、検出部40は、割合が多いと判定したアドレス帯域、またはアドレス帯域に含まれる一部のアドレスを監視対象として決定する。これにより、ユーザは、長寿命アドレスの割合が多いアドレス帯域、またはアドレス帯域に含まれる一部のアドレスを監視対象として容易に知ることができる。
また、検出部40は、アドレス帯域に含まれるアドレスの中で所定の閾値より長い期間観測されたアドレス(長寿命アドレス)を監視対象として決定する。これにより、ユーザは、長寿命アドレスを監視対象として容易に知ることができる。
また、前処理部20が対象キャンペーン12などの所定のキャンペーンにかかるサイバー脅威インテリジェンス11をサイバー脅威インテリジェンスDB10より収集することで、ユーザは、所定のキャンペーンにかかるアドレス帯域、またはアドレス帯域に含まれる一部のアドレスを容易に知ることができる。
また、生存期間学習部30は、特定した複数のサイバー攻撃元のアドレスそれぞれが含まれるサイバー脅威インテリジェンス11を時系列順にカウントして生存期間を特定する。これにより、情報処理装置1は、週報または月報などの定期的に発行されるサイバー脅威インテリジェンス11より、サイバー攻撃元のアドレスが掲載されたサイバー脅威インテリジェンス11の数をカウントし、生存期間の特定を容易に行うことができる。
なお、図示した各装置の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。
また、情報処理装置1で行われる各種処理機能は、CPU(またはMPU、MCU(Micro Controller Unit)等のマイクロ・コンピュータ)上で、その全部または任意の一部を実行するようにしてもよい。また、各種処理機能は、CPU(またはMPU、MCU等のマイクロ・コンピュータ)で解析実行されるプログラム上、またはワイヤードロジックによるハードウエア上で、その全部または任意の一部を実行するようにしてもよいことは言うまでもない。また、情報処理装置1で行われる各種処理機能は、クラウドコンピューティングにより、複数のコンピュータが協働して実行してもよい。
ところで、上記の実施形態で説明した各種の処理は、予め用意されたプログラムをコンピュータで実行することで実現できる。そこで、以下では、上記の実施形態と同様の機能を有するプログラムを実行するコンピュータ(ハードウエア)の一例を説明する。図12は、実施形態にかかる情報処理装置1のハードウエア構成の一例を示すブロック図である。
図12に示すように、情報処理装置1は、各種演算処理を実行するCPU101と、データ入力を受け付ける入力装置102と、モニタ103と、スピーカ104とを有する。また、情報処理装置1は、記憶媒体からプログラム等を読み取る媒体読取装置105と、各種装置と接続するためのインタフェース装置106と、有線または無線により外部機器と通信接続するための通信装置107とを有する。また、情報処理装置1は、各種情報を一時記憶するRAM108と、ハードディスク装置109とを有する。また、情報処理装置1内の各部(501〜509)は、バス110に接続される。
ハードディスク装置109には、上記の実施形態で説明した前処理部20、生存期間学習部30、検出部40および出力部50等における各種の処理を実行するためのプログラム111が記憶される。また、ハードディスク装置109には、プログラム111が参照する各種データ112が記憶される。入力装置102は、例えば、操作者から操作情報の入力を受け付ける。モニタ103は、例えば、操作者が操作する各種画面を表示する。インタフェース装置106は、例えば印刷装置等が接続される。通信装置107は、LAN(Local Area Network)等の通信ネットワークと接続され、通信ネットワークを介した外部機器との間で各種情報をやりとりする。
CPU101は、ハードディスク装置109に記憶されたプログラム111を読み出して、RAM108に展開して実行することで、前処理部20、生存期間学習部30、検出部40および出力部50等にかかる各種の処理を行う。なお、プログラム111は、ハードディスク装置109に記憶されていなくてもよい。例えば、情報処理装置1が読み取り可能な記憶媒体に記憶されたプログラム111を読み出して実行するようにしてもよい。情報処理装置1が読み取り可能な記憶媒体は、例えば、CD−ROMやDVDディスク、USB(Universal Serial Bus)メモリ等の可搬型記録媒体、フラッシュメモリ等の半導体メモリ、ハードディスクドライブ等が対応する。また、公衆回線、インターネット、LAN等に接続された装置にこのプログラム111を記憶させておき、情報処理装置1がこれらからプログラム111を読み出して実行するようにしてもよい。
1…情報処理装置
10…サイバー脅威インテリジェンスDB
11…サイバー脅威インテリジェンス
11a〜11f…領域
12…対象キャンペーン
20…前処理部
21…IPアドレス群情報
22…サイバー脅威インテリジェンス−IPアドレス群情報
30…生存期間学習部
31…IPアドレス群情報
32…生存期間情報
40…検出部
50…出力部
51…出力リスト
101…CPU
102…入力装置
103…モニタ
104…スピーカ
105…媒体読取装置
106…インタフェース装置
107…通信装置
108…RAM
109…ハードディスク装置
110…バス
111…プログラム
112…各種データ
G10〜G22…グラフ

Claims (13)

  1. 複数のサイバー攻撃情報を収集し、
    収集した前記複数のサイバー攻撃情報を分析して、前記複数のサイバー攻撃情報に含まれるサイバー攻撃元の複数のアドレスを特定するとともに、特定した前記複数のサイバー攻撃元のアドレスそれぞれが観測された期間を特定し、
    特定した前記複数のアドレスに対応する観測された期間の第1の期間分布と、アドレス帯域毎に観測された期間の第2の期間分布を比較した結果に応じて、アドレス帯域、または前記アドレス帯域に含まれる一部のアドレスを監視対象として決定し、
    決定した前記アドレス帯域、または前記アドレス帯域に含まれる一部のアドレスの情報を出力する処理をコンピュータに実行させ、
    前記特定する処理は、所定の情報処理サーバへアクセスして、特定した前記複数のサイバー攻撃元のアドレスの少なくとも一部のアドレスに対応するドメインを特定し、
    前記出力する処理は、前記ドメインを特定した時刻、または前記情報処理サーバにアクセスした時刻とは異なる時刻に前記情報処理サーバに再度アクセスすることによって特定した前記ドメインに対応するアドレスが前記アドレスと異なる場合には、新たに特定した前記アドレスの情報も出力する、
    ことを特徴とするサイバー攻撃情報分析プログラム。
  2. 複数のサイバー攻撃情報を収集し、
    収集した前記複数のサイバー攻撃情報を分析して、前記複数のサイバー攻撃情報に含まれるサイバー攻撃元の複数のアドレスを特定するとともに、特定した前記複数のサイバー攻撃元のアドレスそれぞれが観測された期間を特定し、
    特定した前記複数のアドレスに対応する観測された期間の第1の期間分布と、アドレス帯域毎に観測された期間の第2の期間分布を比較した結果に応じて、アドレス帯域、または前記アドレス帯域に含まれる一部のアドレスを監視対象として決定し、
    決定した前記アドレス帯域、または前記アドレス帯域に含まれる一部のアドレスの情報を出力する処理をコンピュータに実行させ、
    前記決定する処理は、前記第1の期間分布と前記第2の期間分布を比較して、前記第1の期間分布よりも前記第2の期間分布のほうが、所定の閾値より長い期間観測されたアドレスの割合が多い場合に、前記第2の期間分布に対応するアドレス帯域、または前記アドレス帯域に含まれる一部のアドレスを監視対象として決定する、
    ことを特徴とするサイバー攻撃情報分析プログラム。
  3. 複数のサイバー攻撃情報を収集し、
    収集した前記複数のサイバー攻撃情報を分析して、前記複数のサイバー攻撃情報に含まれるサイバー攻撃元の複数のアドレスを特定するとともに、特定した前記複数のサイバー攻撃元のアドレスそれぞれが観測された期間を特定し、
    特定した前記複数のアドレスに対応する観測された期間の第1の期間分布と、アドレス帯域毎に観測された期間の第2の期間分布を比較した結果に応じて、アドレス帯域、または前記アドレス帯域に含まれる一部のアドレスを監視対象として決定し、
    決定した前記アドレス帯域、または前記アドレス帯域に含まれる一部のアドレスの情報を出力する処理をコンピュータに実行させ、
    前記決定する処理は、前記アドレス帯域に含まれるアドレスの中で所定の閾値より長い期間観測されたアドレスを監視対象として決定する、
    ことを特徴とするサイバー攻撃情報分析プログラム。
  4. 複数のサイバー攻撃情報を収集し、
    収集した前記複数のサイバー攻撃情報を分析して、前記複数のサイバー攻撃情報に含まれるサイバー攻撃元の複数のアドレスを特定するとともに、特定した前記複数のサイバー攻撃元のアドレスそれぞれが観測された期間を特定し、
    特定した前記複数のアドレスに対応する観測された期間の第1の期間分布と、アドレス帯域毎に観測された期間の第2の期間分布を比較した結果に応じて、アドレス帯域、または前記アドレス帯域に含まれる一部のアドレスを監視対象として決定し、
    決定した前記アドレス帯域、または前記アドレス帯域に含まれる一部のアドレスの情報を出力する処理をコンピュータに実行させ、
    前記特定する処理は、所定の周期で発行されるサイバー攻撃情報の中から、特定した前記複数のサイバー攻撃元のアドレスそれぞれが含まれるサイバー攻撃情報をカウントして前記観測された期間を特定する、
    ことを特徴とするサイバー攻撃情報分析プログラム。
  5. 前記収集する処理は、入力情報に対応するキャンペーンにかかるサイバー攻撃情報を収集する、
    ことを特徴とする請求項1に記載のサイバー攻撃情報分析プログラム。
  6. 複数のサイバー攻撃情報を収集し、
    収集した前記複数のサイバー攻撃情報を分析して、前記複数のサイバー攻撃情報に含まれるサイバー攻撃元の複数のアドレスを特定するとともに、特定した前記複数のサイバー攻撃元のアドレスそれぞれが観測された期間を特定し、
    特定した前記複数のアドレスに対応する観測された期間の第1の期間分布と、アドレス帯域毎に観測された期間の第2の期間分布を比較した結果に応じて、アドレス帯域、または前記アドレス帯域に含まれる一部のアドレスを監視対象として決定し、
    決定した前記アドレス帯域、または前記アドレス帯域に含まれる一部のアドレスの情報を出力する処理をコンピュータが実行し、
    前記特定する処理は、所定の情報処理サーバへアクセスして、特定した前記複数のサイバー攻撃元のアドレスの少なくとも一部のアドレスに対応するドメインを特定し、
    前記出力する処理は、前記ドメインを特定した時刻、または前記情報処理サーバにアクセスした時刻とは異なる時刻に前記情報処理サーバに再度アクセスすることによって特定した前記ドメインに対応するアドレスが前記アドレスと異なる場合には、新たに特定した前記アドレスの情報も出力する、
    ことを特徴とするサイバー攻撃情報分析方法。
  7. 複数のサイバー攻撃情報を収集し、
    収集した前記複数のサイバー攻撃情報を分析して、前記複数のサイバー攻撃情報に含まれるサイバー攻撃元の複数のアドレスを特定するとともに、特定した前記複数のサイバー攻撃元のアドレスそれぞれが観測された期間を特定し、
    特定した前記複数のアドレスに対応する観測された期間の第1の期間分布と、アドレス帯域毎に観測された期間の第2の期間分布を比較した結果に応じて、アドレス帯域、または前記アドレス帯域に含まれる一部のアドレスを監視対象として決定し、
    決定した前記アドレス帯域、または前記アドレス帯域に含まれる一部のアドレスの情報を出力する処理をコンピュータが実行し、
    前記決定する処理は、前記第1の期間分布と前記第2の期間分布を比較して、前記第1の期間分布よりも前記第2の期間分布のほうが、所定の閾値より長い期間観測されたアドレスの割合が多い場合に、前記第2の期間分布に対応するアドレス帯域、または前記アドレス帯域に含まれる一部のアドレスを監視対象として決定する、
    ことを特徴とするサイバー攻撃情報分析方法。
  8. 複数のサイバー攻撃情報を収集し、
    収集した前記複数のサイバー攻撃情報を分析して、前記複数のサイバー攻撃情報に含まれるサイバー攻撃元の複数のアドレスを特定するとともに、特定した前記複数のサイバー攻撃元のアドレスそれぞれが観測された期間を特定し、
    特定した前記複数のアドレスに対応する観測された期間の第1の期間分布と、アドレス帯域毎に観測された期間の第2の期間分布を比較した結果に応じて、アドレス帯域、または前記アドレス帯域に含まれる一部のアドレスを監視対象として決定し、
    決定した前記アドレス帯域、または前記アドレス帯域に含まれる一部のアドレスの情報を出力する処理をコンピュータが実行し、
    前記決定する処理は、前記アドレス帯域に含まれるアドレスの中で所定の閾値より長い期間観測されたアドレスを監視対象として決定する、
    ことを特徴とするサイバー攻撃情報分析方法。
  9. 複数のサイバー攻撃情報を収集し、
    収集した前記複数のサイバー攻撃情報を分析して、前記複数のサイバー攻撃情報に含まれるサイバー攻撃元の複数のアドレスを特定するとともに、特定した前記複数のサイバー攻撃元のアドレスそれぞれが観測された期間を特定し、
    特定した前記複数のアドレスに対応する観測された期間の第1の期間分布と、アドレス帯域毎に観測された期間の第2の期間分布を比較した結果に応じて、アドレス帯域、または前記アドレス帯域に含まれる一部のアドレスを監視対象として決定し、
    決定した前記アドレス帯域、または前記アドレス帯域に含まれる一部のアドレスの情報を出力する処理をコンピュータが実行し、
    前記特定する処理は、所定の周期で発行されるサイバー攻撃情報の中から、特定した前記複数のサイバー攻撃元のアドレスそれぞれが含まれるサイバー攻撃情報をカウントして前記観測された期間を特定する、
    ことを特徴とするサイバー攻撃情報分析方法。
  10. 複数のサイバー攻撃情報を収集する収集部と、
    収集した前記複数のサイバー攻撃情報を分析して、前記複数のサイバー攻撃情報に含まれるサイバー攻撃元の複数のアドレスを特定するとともに、特定した前記複数のサイバー攻撃元のアドレスそれぞれが観測された期間を特定する特定部と、
    特定した前記複数のアドレスに対応する観測された期間の第1の期間分布と、アドレス帯域毎に観測された期間の第2の期間分布を比較した結果に応じて、アドレス帯域、または前記アドレス帯域に含まれる一部のアドレスを監視対象として決定する決定部と、
    決定した前記アドレス帯域、または前記アドレス帯域に含まれる一部のアドレスの情報を出力する出力部と、を有し、
    前記特定部は、所定の情報処理サーバへアクセスして、特定した前記複数のサイバー攻撃元のアドレスの少なくとも一部のアドレスに対応するドメインを特定し、
    前記出力部は、前記ドメインを特定した時刻、または前記情報処理サーバにアクセスした時刻とは異なる時刻に前記情報処理サーバに再度アクセスすることによって特定した前記ドメインに対応するアドレスが前記アドレスと異なる場合には、新たに特定した前記アドレスの情報も出力する、
    を有することを特徴とする情報処理装置。
  11. 複数のサイバー攻撃情報を収集する収集部と、
    収集した前記複数のサイバー攻撃情報を分析して、前記複数のサイバー攻撃情報に含まれるサイバー攻撃元の複数のアドレスを特定するとともに、特定した前記複数のサイバー攻撃元のアドレスそれぞれが観測された期間を特定する特定部と、
    特定した前記複数のアドレスに対応する観測された期間の第1の期間分布と、アドレス帯域毎に観測された期間の第2の期間分布を比較した結果に応じて、アドレス帯域、または前記アドレス帯域に含まれる一部のアドレスを監視対象として決定する決定部と、
    決定した前記アドレス帯域、または前記アドレス帯域に含まれる一部のアドレスの情報を出力する出力部と、を有し、
    前記決定部は、前記第1の期間分布と前記第2の期間分布を比較して、前記第1の期間分布よりも前記第2の期間分布のほうが、所定の閾値より長い期間観測されたアドレスの割合が多い場合に、前記第2の期間分布に対応するアドレス帯域、または前記アドレス帯域に含まれる一部のアドレスを監視対象として決定する、
    ことを特徴とする情報処理装置。
  12. 複数のサイバー攻撃情報を収集する収集部と、
    収集した前記複数のサイバー攻撃情報を分析して、前記複数のサイバー攻撃情報に含まれるサイバー攻撃元の複数のアドレスを特定するとともに、特定した前記複数のサイバー攻撃元のアドレスそれぞれが観測された期間を特定する特定部と、
    特定した前記複数のアドレスに対応する観測された期間の第1の期間分布と、アドレス帯域毎に観測された期間の第2の期間分布を比較した結果に応じて、アドレス帯域、または前記アドレス帯域に含まれる一部のアドレスを監視対象として決定する決定部と、
    決定した前記アドレス帯域、または前記アドレス帯域に含まれる一部のアドレスの情報を出力する出力部と、を有し、
    前記決定部は、前記アドレス帯域に含まれるアドレスの中で所定の閾値より長い期間観測されたアドレスを監視対象として決定する、
    ことを特徴とする情報処理装置。
  13. 複数のサイバー攻撃情報を収集する収集部と、
    収集した前記複数のサイバー攻撃情報を分析して、前記複数のサイバー攻撃情報に含まれるサイバー攻撃元の複数のアドレスを特定するとともに、特定した前記複数のサイバー攻撃元のアドレスそれぞれが観測された期間を特定する特定部と、
    特定した前記複数のアドレスに対応する観測された期間の第1の期間分布と、アドレス帯域毎に観測された期間の第2の期間分布を比較した結果に応じて、アドレス帯域、または前記アドレス帯域に含まれる一部のアドレスを監視対象として決定する決定部と、
    決定した前記アドレス帯域、または前記アドレス帯域に含まれる一部のアドレスの情報を出力する出力部と、を有し、
    前記特定部は、所定の周期で発行されるサイバー攻撃情報の中から、特定した前記複数のサイバー攻撃元のアドレスそれぞれが含まれるサイバー攻撃情報をカウントして前記観測された期間を特定する、
    ことを特徴とする情報処理装置。
JP2020530819A 2018-07-19 2018-07-19 サイバー攻撃情報分析プログラム、サイバー攻撃情報分析方法および情報処理装置 Active JP6984754B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2018/027140 WO2020017000A1 (ja) 2018-07-19 2018-07-19 サイバー攻撃情報分析プログラム、サイバー攻撃情報分析方法および情報処理装置

Publications (2)

Publication Number Publication Date
JPWO2020017000A1 JPWO2020017000A1 (ja) 2021-05-20
JP6984754B2 true JP6984754B2 (ja) 2021-12-22

Family

ID=69163797

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020530819A Active JP6984754B2 (ja) 2018-07-19 2018-07-19 サイバー攻撃情報分析プログラム、サイバー攻撃情報分析方法および情報処理装置

Country Status (4)

Country Link
US (1) US20210152573A1 (ja)
EP (1) EP3826242B1 (ja)
JP (1) JP6984754B2 (ja)
WO (1) WO2020017000A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7468298B2 (ja) 2020-10-28 2024-04-16 富士通株式会社 情報処理プログラム、情報処理方法、および情報処理装置
CN113438103B (zh) * 2021-06-08 2023-08-22 博智安全科技股份有限公司 一种大规模网络靶场及其构建方法、构建装置、构建设备

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050249214A1 (en) * 2004-05-07 2005-11-10 Tao Peng System and process for managing network traffic
US20100138919A1 (en) * 2006-11-03 2010-06-03 Tao Peng System and process for detecting anomalous network traffic
JP5011234B2 (ja) * 2008-08-25 2012-08-29 株式会社日立情報システムズ 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム
KR101219538B1 (ko) * 2009-07-29 2013-01-08 한국전자통신연구원 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치 및 그 방법
US8874763B2 (en) * 2010-11-05 2014-10-28 At&T Intellectual Property I, L.P. Methods, devices and computer program products for actionable alerting of malevolent network addresses based on generalized traffic anomaly analysis of IP address aggregates
US9038177B1 (en) * 2010-11-30 2015-05-19 Jpmorgan Chase Bank, N.A. Method and system for implementing multi-level data fusion
WO2014026220A1 (en) * 2012-08-13 2014-02-20 Mts Consulting Pty Limited Analysis of time series data
US9197657B2 (en) * 2012-09-27 2015-11-24 Hewlett-Packard Development Company, L.P. Internet protocol address distribution summary
JP6201614B2 (ja) 2013-10-11 2017-09-27 富士通株式会社 ログ分析装置、方法およびプログラム
US10902114B1 (en) * 2015-09-09 2021-01-26 ThreatQuotient, Inc. Automated cybersecurity threat detection with aggregation and analysis
JP6690469B2 (ja) * 2016-08-26 2020-04-28 富士通株式会社 制御プログラム、制御方法および情報処理装置

Also Published As

Publication number Publication date
EP3826242A1 (en) 2021-05-26
EP3826242B1 (en) 2022-08-10
JPWO2020017000A1 (ja) 2021-05-20
WO2020017000A1 (ja) 2020-01-23
EP3826242A4 (en) 2021-07-21
US20210152573A1 (en) 2021-05-20

Similar Documents

Publication Publication Date Title
Wang et al. Delving into internet DDoS attacks by botnets: characterization and analysis
US10867034B2 (en) Method for detecting a cyber attack
Perdisci et al. Alarm clustering for intrusion detection systems in computer networks
US11882137B2 (en) Network security blacklist derived from honeypot statistics
Griffioen et al. Quality evaluation of cyber threat intelligence feeds
EP2180660B1 (en) Method and system for statistical analysis of botnets
IL257849B1 (en) Systems and methods for detecting and scoring anomalies
US11336663B2 (en) Recording medium on which evaluating program is recorded, evaluating method, and information processing apparatus
JP7005936B2 (ja) 評価プログラム、評価方法および情報処理装置
EP2577552A2 (en) Dynamic multidimensional schemas for event monitoring priority
CN110149319B (zh) Apt组织的追踪方法及装置、存储介质、电子装置
JP6030272B2 (ja) ウェブサイト情報抽出装置、システム、ウェブサイト情報抽出方法、および、ウェブサイト情報抽出プログラム
Vaarandi et al. Using security logs for collecting and reporting technical security metrics
US20210360013A1 (en) Detection method for malicious domain name in domain name system and detection device
CN105959290A (zh) 攻击报文的检测方法及装置
JP6984754B2 (ja) サイバー攻撃情報分析プログラム、サイバー攻撃情報分析方法および情報処理装置
JP7115221B2 (ja) サイバー攻撃評価プログラム、サイバー攻撃評価方法および情報処理装置
CN114301659A (zh) 网络攻击预警方法、***、设备及存储介质
JP2018060288A (ja) ネットワーク監視装置、ネットワーク監視プログラム及びネットワーク監視方法
JP2018195197A (ja) 評価プログラム、評価方法および情報処理装置
Lutf Threat intelligence sharing: a survey
KR101469283B1 (ko) 기업 네트워크 분석 시스템 및 그 방법
JP2021111802A (ja) 検知プログラム、検知方法および情報処理装置
Vetrivel et al. Birds of a Feather? A Comparative Analysis of DDoS Victimisation by IoT Botnet and Amplification Attacks
CN114531307B (zh) 主动防御网关的api模型构建与防御方法及***

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201112

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201112

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210831

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211020

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211026

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211108

R150 Certificate of patent or registration of utility model

Ref document number: 6984754

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150