JP7427146B1 - 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム - Google Patents
攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム Download PDFInfo
- Publication number
- JP7427146B1 JP7427146B1 JP2023571392A JP2023571392A JP7427146B1 JP 7427146 B1 JP7427146 B1 JP 7427146B1 JP 2023571392 A JP2023571392 A JP 2023571392A JP 2023571392 A JP2023571392 A JP 2023571392A JP 7427146 B1 JP7427146 B1 JP 7427146B1
- Authority
- JP
- Japan
- Prior art keywords
- attack
- analysis
- target
- target device
- cyber
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 205
- 230000008859 change Effects 0.000 claims abstract description 40
- 238000000034 method Methods 0.000 claims description 16
- 230000008569 process Effects 0.000 claims description 9
- 230000004044 response Effects 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 20
- 238000004891 communication Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 7
- 238000001514 detection method Methods 0.000 description 5
- 239000000284 extract Substances 0.000 description 5
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 2
- 230000036962 time dependent Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
攻撃分析装置(100)は、各々に対して分析優先度が設定されている複数の機器を備える攻撃対象システムが備える機器である対象機器がサイバー攻撃である対象攻撃を受けた場合に、対象攻撃の内容に応じて対象機器に対応する分析優先度を変更する分析優先度変更部(130)を備える。攻撃対象システムが備える複数の機器を攻撃対象機器群としたとき、攻撃対象機器群に含まれている各機器がサイバー攻撃を受けた場合において、攻撃対象機器群に含まれている各機器に対するサイバー攻撃は、攻撃対象機器群に含まれている各機器に対応する分析優先度に応じて順に分析される。
Description
本開示は、攻撃分析装置、攻撃分析方法、及び攻撃分析プログラムに関する。
ハニーポットとは、意図的に攻撃を受けやすいように設定した端末をインターネット上に公開することによってサイバー攻撃を誘引し、誘引したサイバー攻撃を観測及び分析するシステムである。
ハニーポットは通常大量の攻撃通信を受信するため、受信した攻撃通信の分析に時間がかかる。攻撃通信はサイバー攻撃を示す通信である。一方、製品に大きな影響が及ぶサイバー攻撃を観測した場合において、すぐに対策を検討するために観測したサイバー攻撃を素早く分析する必要がある。
ハニーポットは通常大量の攻撃通信を受信するため、受信した攻撃通信の分析に時間がかかる。攻撃通信はサイバー攻撃を示す通信である。一方、製品に大きな影響が及ぶサイバー攻撃を観測した場合において、すぐに対策を検討するために観測したサイバー攻撃を素早く分析する必要がある。
システムを模擬したハニーポットは、大量のサイバー攻撃通信を受信し続けている。また、「情報を収集した後にさらなるサイバー攻撃を行う」といった複数の段階から成るサイバー攻撃もある。そのため、時系列に沿って全てのサイバー攻撃を分析することには多くの時間と手間がかかる。
特許文献1は、時間依存パラメータと、非時間依存パラメータとに基づいてサイバー攻撃に関する優先度を計算する技術を開示している。しかしながら、当該技術によれば、サイバー攻撃による製品への影響を考慮して用意された分析優先度を使用せず、また、観測したサイバー攻撃の内容に応じて分析優先度を変更しない。そのため、当該技術には、対応する分析優先度が高い機器に対するサイバー攻撃を優先的に分析することができないという課題がある。
本開示は、サイバー攻撃による製品への影響を考慮して用意された分析優先度を使用し、また、観測したサイバー攻撃の内容に応じて分析優先度を変更することにより、対応する分析優先度が高い機器に対するサイバー攻撃を優先的に分析することができるようにすることを目的とする。
特許文献1は、時間依存パラメータと、非時間依存パラメータとに基づいてサイバー攻撃に関する優先度を計算する技術を開示している。しかしながら、当該技術によれば、サイバー攻撃による製品への影響を考慮して用意された分析優先度を使用せず、また、観測したサイバー攻撃の内容に応じて分析優先度を変更しない。そのため、当該技術には、対応する分析優先度が高い機器に対するサイバー攻撃を優先的に分析することができないという課題がある。
本開示は、サイバー攻撃による製品への影響を考慮して用意された分析優先度を使用し、また、観測したサイバー攻撃の内容に応じて分析優先度を変更することにより、対応する分析優先度が高い機器に対するサイバー攻撃を優先的に分析することができるようにすることを目的とする。
本開示に係る攻撃分析装置は、
各々に対して分析優先度が設定されている複数の機器を備える攻撃対象システムが備える機器である対象機器がサイバー攻撃である対象攻撃を受けた場合に、前記対象攻撃の内容に応じて前記対象機器に対応する分析優先度を変更する分析優先度変更部
を備える攻撃分析装置であって、
前記攻撃対象システムが備える複数の機器を攻撃対象機器群としたとき、前記攻撃対象機器群に含まれている各機器がサイバー攻撃を受けた場合において、前記攻撃対象機器群に含まれている各機器に対するサイバー攻撃は、前記攻撃対象機器群に含まれている各機器に対応する分析優先度に応じて順に分析される。
各々に対して分析優先度が設定されている複数の機器を備える攻撃対象システムが備える機器である対象機器がサイバー攻撃である対象攻撃を受けた場合に、前記対象攻撃の内容に応じて前記対象機器に対応する分析優先度を変更する分析優先度変更部
を備える攻撃分析装置であって、
前記攻撃対象システムが備える複数の機器を攻撃対象機器群としたとき、前記攻撃対象機器群に含まれている各機器がサイバー攻撃を受けた場合において、前記攻撃対象機器群に含まれている各機器に対するサイバー攻撃は、前記攻撃対象機器群に含まれている各機器に対応する分析優先度に応じて順に分析される。
本開示によれば、分析優先度変更部がサイバー攻撃の内容に応じて分析優先度を変更する。ここで、分析優先度はサイバー攻撃による製品への影響を考慮して用意されたものであってもよい。従って、本開示によれば、サイバー攻撃による製品への影響を考慮して用意された分析優先度を使用し、また、観測したサイバー攻撃の内容に応じて分析優先度を変更することにより、対応する分析優先度が高い機器に対するサイバー攻撃を優先的に分析することができるようにすることができる。
実施の形態の説明及び図面において、同じ要素及び対応する要素には同じ符号を付している。同じ符号が付された要素の説明は、適宜に省略又は簡略化する。図中の矢印はデータの流れ又は処理の流れを主に示している。また、「部」を、「回路」、「工程」、「手順」、「処理」又は「サーキットリー」に適宜読み替えてもよい。
本明細書において、サイバー攻撃を単に「攻撃」と表記することもある。
本明細書において、サイバー攻撃を単に「攻撃」と表記することもある。
実施の形態1.
以下、本実施の形態について、図面を参照しながら詳細に説明する。
以下、本実施の形態について、図面を参照しながら詳細に説明する。
***構成の説明***
図1は、本実施の形態に係る攻撃分析システム90の構成例を示している。攻撃分析システム90は、図1に示すように、攻撃分析装置100と、ハニーポット200と、外部セキュリティ機関300とを備える。攻撃分析システム90が備える各要素は、ネットワークを介して通信可能に接続している。
図1は、本実施の形態に係る攻撃分析システム90の構成例を示している。攻撃分析システム90は、図1に示すように、攻撃分析装置100と、ハニーポット200と、外部セキュリティ機関300とを備える。攻撃分析システム90が備える各要素は、ネットワークを介して通信可能に接続している。
攻撃分析システム90は、ハニーポット200内において攻撃を観測した場合に各機器に対応する分析優先度に応じて攻撃分析の優先度を設定する手段を用いる。攻撃分析システム90では、攻撃分析によって今後攻撃を受ける可能性の高い機器に対応する分析優先度を変更することにより、複数の段階から成る攻撃を効率的に分析する。
具体例として、機器1は重要な情報を保有しているため、機器1に対応する対応する分析優先度が相対的に高い場合を考える。この場合において、機器1が攻撃を受けた場合に、機器1に対する攻撃は迅速に分析される。
別の具体例として、機器2は、特に重要な情報を保有していないため、機器2に対応する分析優先度が相対的に低い場合を考える。この場合において、機器2が攻撃を受けた場合に、機器2に対する攻撃対策の優先度を相対的に低くする。
別の具体例として、攻撃により機器3に関する情報が漏洩した場合に、漏洩した情報に基づく次の攻撃が実行される可能性がある。そのため、次の攻撃に備えて、機器3に対応する分析優先度を相対的に高くする。
具体例として、機器1は重要な情報を保有しているため、機器1に対応する対応する分析優先度が相対的に高い場合を考える。この場合において、機器1が攻撃を受けた場合に、機器1に対する攻撃は迅速に分析される。
別の具体例として、機器2は、特に重要な情報を保有していないため、機器2に対応する分析優先度が相対的に低い場合を考える。この場合において、機器2が攻撃を受けた場合に、機器2に対する攻撃対策の優先度を相対的に低くする。
別の具体例として、攻撃により機器3に関する情報が漏洩した場合に、漏洩した情報に基づく次の攻撃が実行される可能性がある。そのため、次の攻撃に備えて、機器3に対応する分析優先度を相対的に高くする。
攻撃分析装置100は、図1に示すように、攻撃分析部110と、資産情報作成部120と、分析優先度変更部130とを備える。また、攻撃分析装置100は、攻撃情報DB(Database)190と、資産DB191と、関係情報DB192とを記憶する。
ハニーポット200は、攻撃検知部210と、各機器とを備える。ハニーポット200が備える各機器は、各機器のエミュレータ等であってもよい。ハニーポット200は攻撃対象システムに当たる。ハニーポット200は、製品に対応するシステムであってもよい。「機器」を「端末」に読み替えてもよい。攻撃対象システムは、各々に対して分析優先度が設定されている複数の機器を備える。攻撃対象機器群に含まれている各機器がサイバー攻撃を受けた場合において、攻撃対象機器群に含まれている各機器に対するサイバー攻撃は、攻撃対象機器群に含まれている各機器に対応する分析優先度に応じて順に分析される。攻撃対象機器群は、攻撃対象システムが備える複数の機器から成る。
なお、攻撃分析システム90は、ハニーポット200の代わりに、攻撃対象システムとして実運用しているシステムを備えてもよい。即ち、実運用しているシステムに対するセキュリティ分析製品に用いられる技術として本実施の形態が活用されてもよい。
ハニーポット200は、攻撃検知部210と、各機器とを備える。ハニーポット200が備える各機器は、各機器のエミュレータ等であってもよい。ハニーポット200は攻撃対象システムに当たる。ハニーポット200は、製品に対応するシステムであってもよい。「機器」を「端末」に読み替えてもよい。攻撃対象システムは、各々に対して分析優先度が設定されている複数の機器を備える。攻撃対象機器群に含まれている各機器がサイバー攻撃を受けた場合において、攻撃対象機器群に含まれている各機器に対するサイバー攻撃は、攻撃対象機器群に含まれている各機器に対応する分析優先度に応じて順に分析される。攻撃対象機器群は、攻撃対象システムが備える複数の機器から成る。
なお、攻撃分析システム90は、ハニーポット200の代わりに、攻撃対象システムとして実運用しているシステムを備えてもよい。即ち、実運用しているシステムに対するセキュリティ分析製品に用いられる技術として本実施の形態が活用されてもよい。
攻撃分析部110は、ハニーポット200が備える各機器に対する攻撃を分析し、分析した結果を示すデータを攻撃情報として攻撃情報DB190に格納する。この際、攻撃分析部110は、具体例として、通信ログを分析することにより、どこからどの端末に対するどういう攻撃があったのかを分析する。攻撃分析部110は、攻撃により窃取された情報と、攻撃により生じた各機器の異常等を分析してもよい。
資産情報作成部120は、資産DB191を作成する。
分析優先度変更部130は、対象機器が対象攻撃を受けた場合に、対象攻撃の内容に応じて対象機器に対応する分析優先度を変更する。対象機器は、攻撃対象システムが備える機器である。対象攻撃はサイバー攻撃である。分析優先度変更部130は、対象機器が対象攻撃を受けた場合に、対象機器に格納されているデータの重要度に応じて対象機器に対応する分析優先度を変更してもよい。分析優先度変更部130は、対象システムが備える複数の機器のうち、対象攻撃において窃取された情報に基づいて実行される攻撃を受けると考えられる各機器に対応する分析優先度を変更してもよい。窃取された情報は、不正にアクセスされた情報である。
具体例として、分析優先度変更部130は、攻撃情報DB190と、資産DB191と、関係情報DB192とを適宜参照して、必要に応じて各機器に対応する分析優先度を変更する。通常はハニーポット200に対する攻撃の量が膨大であるため、各機器に対して分析優先度を設定することによって分析対象とする攻撃を絞り込む。分析優先度が相対的に高い機器の数は、計算リソースの量と、攻撃の分析に費やすことができる時間等に応じて定められてもよい。
具体例として、分析優先度変更部130は、攻撃情報DB190と、資産DB191と、関係情報DB192とを適宜参照して、必要に応じて各機器に対応する分析優先度を変更する。通常はハニーポット200に対する攻撃の量が膨大であるため、各機器に対して分析優先度を設定することによって分析対象とする攻撃を絞り込む。分析優先度が相対的に高い機器の数は、計算リソースの量と、攻撃の分析に費やすことができる時間等に応じて定められてもよい。
攻撃情報DB190は、攻撃情報を示すデータを格納する。
資産DB191は、資産を示すデータを格納する。資産は、具体例として、各機器と、各機器に格納されているデータとから成る。
関係情報DB192は、関係情報を示すデータを格納する。関係情報は、資産に関係がある情報である。
資産DB191は、資産を示すデータを格納する。資産は、具体例として、各機器と、各機器に格納されているデータとから成る。
関係情報DB192は、関係情報を示すデータを格納する。関係情報は、資産に関係がある情報である。
攻撃検知部210は、ハニーポット200が備える各機器に対する攻撃を検知し、検知した結果を攻撃分析装置100に通知する。
図2は、分析優先度変更部130の処理の具体例を説明する図である。ここで、各クライアントは機器に当たり、各サーバは機器に当たる。また、各機器に対する攻撃が検知される前において、各クライアントに対応する分析優先度が「小」に設定されており、各サーバに対応する分析優先度が「中」に設定されているものとする。
図2の(a)は、攻撃によってクライアント1からサービスのアカウント情報が漏洩した場合における具体例を示している。本例において、分析優先度変更部130は、サーバ1において当該サービスが稼働しているためにサーバ1に対する不正ログインが今後実行される可能性が高いものとして、サーバ1に対応する分析優先度をより高くする。
図2の(b)は、攻撃によってクライアント1からファイルサーバのアドレス情報(パス情報)が漏洩した場合における具体例を示している。本例において、分析優先度変更部130は、サーバ2において当該ファイルサーバが稼働しているためにサーバ2に対する不正ログインが今後実行される可能性が高いものとして、サーバ2に対応する分析優先度をより高くする。なお、分析優先度変更部130は、文書データが窃取された場合において、窃取された文書データに基づく今後の攻撃がないものと判断して各機器に対応する分析優先度を変更しなくてもよい。
図2の(a)は、攻撃によってクライアント1からサービスのアカウント情報が漏洩した場合における具体例を示している。本例において、分析優先度変更部130は、サーバ1において当該サービスが稼働しているためにサーバ1に対する不正ログインが今後実行される可能性が高いものとして、サーバ1に対応する分析優先度をより高くする。
図2の(b)は、攻撃によってクライアント1からファイルサーバのアドレス情報(パス情報)が漏洩した場合における具体例を示している。本例において、分析優先度変更部130は、サーバ2において当該ファイルサーバが稼働しているためにサーバ2に対する不正ログインが今後実行される可能性が高いものとして、サーバ2に対応する分析優先度をより高くする。なお、分析優先度変更部130は、文書データが窃取された場合において、窃取された文書データに基づく今後の攻撃がないものと判断して各機器に対応する分析優先度を変更しなくてもよい。
図3は、本実施の形態に係る攻撃分析装置100のハードウェア構成例を示している。攻撃分析装置100はコンピュータから成る。攻撃分析装置100は複数のコンピュータから成ってもよい。
攻撃分析装置100は、本図に示すように、プロセッサ11と、メモリ12と、補助記憶装置13と、入出力IF(Interface)14と、通信装置15等のハードウェアを備えるコンピュータである。これらのハードウェアは、信号線19を介して適宜接続されている。
プロセッサ11は、演算処理を行うIC(Integrated Circuit)であり、かつ、コンピュータが備えるハードウェアを制御する。プロセッサ11は、具体例として、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、又はGPU(Graphics Processing Unit)である。
攻撃分析装置100は、プロセッサ11を代替する複数のプロセッサを備えてもよい。複数のプロセッサはプロセッサ11の役割を分担する。
攻撃分析装置100は、プロセッサ11を代替する複数のプロセッサを備えてもよい。複数のプロセッサはプロセッサ11の役割を分担する。
メモリ12は、典型的には揮発性の記憶装置であり、具体例としてRAM(Random Access Memory)である。メモリ12は、主記憶装置又はメインメモリとも呼ばれる。メモリ12に記憶されたデータは、必要に応じて補助記憶装置13に保存される。
補助記憶装置13は、典型的には不揮発性の記憶装置であり、具体例として、ROM(Read Only Memory)、HDD(Hard Disk Drive)、又はフラッシュメモリである。補助記憶装置13に記憶されたデータは、必要に応じてメモリ12にロードされる。
メモリ12及び補助記憶装置13は一体的に構成されていてもよい。
メモリ12及び補助記憶装置13は一体的に構成されていてもよい。
入出力IF14は、入力装置及び出力装置が接続されるポートである。入出力IF14は、具体例として、USB(Universal Serial Bus)端子である。入力装置は、具体例として、キーボード及びマウスである。出力装置は、具体例として、ディスプレイである。
通信装置15は、レシーバ及びトランスミッタである。通信装置15は、具体例として、通信チップ又はNIC(Network Interface Card)である。
攻撃分析装置100の各部は、他の装置等と通信する際に、入出力IF14及び通信装置15を適宜用いてもよい。
補助記憶装置13は攻撃分析プログラムを記憶している。攻撃分析プログラムは、攻撃分析装置100が備える各部の機能をコンピュータに実現させるプログラムである。攻撃分析プログラムは、メモリ12にロードされて、プロセッサ11によって実行される。攻撃分析装置100が備える各部の機能は、ソフトウェアにより実現される。
攻撃分析プログラムを実行する際に用いられるデータと、攻撃分析プログラムを実行することによって得られるデータ等は、記憶装置に適宜記憶される。攻撃分析装置100の各部は記憶装置を適宜利用する。記憶装置は、具体例として、メモリ12と、補助記憶装置13と、プロセッサ11内のレジスタと、プロセッサ11内のキャッシュメモリとの少なくとも1つから成る。なお、データという用語と情報という用語とは同等の意味を有することもある。記憶装置は、コンピュータと独立したものであってもよい。
メモリ12及び補助記憶装置13の機能は、他の記憶装置によって実現されてもよい。
メモリ12及び補助記憶装置13の機能は、他の記憶装置によって実現されてもよい。
攻撃分析プログラムは、コンピュータが読み取り可能な不揮発性の記録媒体に記録されていてもよい。不揮発性の記録媒体は、具体例として、光ディスク又はフラッシュメモリである。攻撃分析プログラムは、プログラムプロダクトとして提供されてもよい。
***動作の説明***
攻撃分析装置100の動作手順は攻撃分析方法に相当する。また、攻撃分析装置100の動作を実現するプログラムは攻撃分析プログラムに相当する。
攻撃分析装置100の動作手順は攻撃分析方法に相当する。また、攻撃分析装置100の動作を実現するプログラムは攻撃分析プログラムに相当する。
図4は、事前準備における資産情報作成部120の処理の一例を示すフローチャートである。図4を用いて資産情報作成部120の処理を説明する。
(ステップS101)
資産情報作成部120は、資産DB191と、関係情報DB192との各々を作成する。なお、情報の種類に応じて、資産情報作成部120は各DBとして複数のDBを作成してもよい。
図5は、資産DB191に格納されるデータの具体例を示している。本例において、資産情報は、各機器を示す情報と、各機器の構成を示す情報と、各機器が保有するデータを示す情報と、各機器に対応する分析優先度を示す情報とから成る。資産情報作成部120は、資産情報を資産DB191に格納する。また、資産情報作成部120は、各機器に対応する分析優先度を設定し、設定した分析優先度を資産DB191に格納する。分析者等が分析優先度を設定してもよい。分析優先度は、サイバー攻撃による製品への影響を考慮して設定された分析優先度であってもよい。
図6は、関係情報DB192に格納されるデータの具体例を示している。関係情報DB192_1は、アカウント情報の関係情報を示している。関係情報DB192_2は、ファイルサーバのアドレスに関する関係情報を示している。
なお、各機器が保有しているデータが他の機器においても共有されている場合、資産情報作成部120は、共有されているデータを示す情報を関係情報DB192に格納する。
資産情報作成部120は、資産DB191と、関係情報DB192との各々を作成する。なお、情報の種類に応じて、資産情報作成部120は各DBとして複数のDBを作成してもよい。
図5は、資産DB191に格納されるデータの具体例を示している。本例において、資産情報は、各機器を示す情報と、各機器の構成を示す情報と、各機器が保有するデータを示す情報と、各機器に対応する分析優先度を示す情報とから成る。資産情報作成部120は、資産情報を資産DB191に格納する。また、資産情報作成部120は、各機器に対応する分析優先度を設定し、設定した分析優先度を資産DB191に格納する。分析者等が分析優先度を設定してもよい。分析優先度は、サイバー攻撃による製品への影響を考慮して設定された分析優先度であってもよい。
図6は、関係情報DB192に格納されるデータの具体例を示している。関係情報DB192_1は、アカウント情報の関係情報を示している。関係情報DB192_2は、ファイルサーバのアドレスに関する関係情報を示している。
なお、各機器が保有しているデータが他の機器においても共有されている場合、資産情報作成部120は、共有されているデータを示す情報を関係情報DB192に格納する。
図7は、運用時における攻撃分析システム90の処理の一例を示すフローチャートである。図7を用いて攻撃分析システム90の処理を説明する。
(ステップS111)
攻撃検知部210は、ハニーポット200に対する攻撃を検知し、検知した攻撃を示すデータを攻撃分析装置100に送信する。
攻撃検知部210は、ハニーポット200に対する攻撃を検知し、検知した攻撃を示すデータを攻撃分析装置100に送信する。
(ステップS112)
攻撃分析部110は、ハニーポット200から攻撃を示すデータを受信し、受信したデータが示す各攻撃のログを分析することにより各攻撃により不正アクセスされたデータ特定し、特定したデータを示すデータを攻撃情報DB190に格納する。
その後、攻撃分析部110は、資産DB191に格納されている資産情報であって各攻撃における不正アクセス先に対応する資産情報と、外部セキュリティ機関300の攻撃情報等に基づいて今後の攻撃可能性の有無を判定する。攻撃分析部110は、判定した結果を示すデータを攻撃情報DB190に格納する。
図8は、攻撃情報DB190に格納されるデータの具体例を示している。当該データは、各攻撃について、攻撃を受けた機器と、不正にアクセスされたデータと、今後の攻撃可能性とを示す。
なお、資産DB191において、情報ごとに今後の攻撃可能性の有無が事前に設定されていてもよい。具体例として、資産DB191において、アカウントを示す情報に対して今後の攻撃可能性があることを示す情報が設定されている。このとき、攻撃分析部110は、アカウントを示す情報に対する不正アクセスがあった場合に、当該アカウントを示す情報に対応する機器について、今後の攻撃可能性があると判定する。
攻撃分析部110は、ハニーポット200から攻撃を示すデータを受信し、受信したデータが示す各攻撃のログを分析することにより各攻撃により不正アクセスされたデータ特定し、特定したデータを示すデータを攻撃情報DB190に格納する。
その後、攻撃分析部110は、資産DB191に格納されている資産情報であって各攻撃における不正アクセス先に対応する資産情報と、外部セキュリティ機関300の攻撃情報等に基づいて今後の攻撃可能性の有無を判定する。攻撃分析部110は、判定した結果を示すデータを攻撃情報DB190に格納する。
図8は、攻撃情報DB190に格納されるデータの具体例を示している。当該データは、各攻撃について、攻撃を受けた機器と、不正にアクセスされたデータと、今後の攻撃可能性とを示す。
なお、資産DB191において、情報ごとに今後の攻撃可能性の有無が事前に設定されていてもよい。具体例として、資産DB191において、アカウントを示す情報に対して今後の攻撃可能性があることを示す情報が設定されている。このとき、攻撃分析部110は、アカウントを示す情報に対する不正アクセスがあった場合に、当該アカウントを示す情報に対応する機器について、今後の攻撃可能性があると判定する。
(ステップS113)
攻撃情報DB190において今後の攻撃可能性があると設定されている攻撃がある場合、ステップS114が次に実行される。それ以外の場合、ステップS116が次に実行される。
攻撃情報DB190において今後の攻撃可能性があると設定されている攻撃がある場合、ステップS114が次に実行される。それ以外の場合、ステップS116が次に実行される。
(ステップS114)
分析優先度変更部130は、攻撃情報DB190において今後の攻撃可能性があると設定されている攻撃により不正アクセスされたデータを共有している他の機器を、関係情報DB192から抽出する。図8において、攻撃情報DB190において今後の攻撃可能性があると設定されている攻撃は、サービスXのアカウント情報に対する不正アクセスと、サーバ2のアドレス情報に対する不正アクセスとの各々である。
具体例として、図8に示すクライアント1のサービスXのアカウント情報は、関係情報DB192_1に示すようにサーバ1において利用されるデータである。そのため、分析優先度変更部130は、サーバ1が今後攻撃される可能性があると判定する。
別の具体例として、図8に示すサーバ2のアドレス情報は、関係情報DB192_2に示すようにサーバ2内のファイルサーバにアクセスするために利用されるデータである。そのため、分析優先度変更部130は、サーバ2が今後攻撃される可能性があると判定する。
分析優先度変更部130は、攻撃情報DB190において今後の攻撃可能性があると設定されている攻撃により不正アクセスされたデータを共有している他の機器を、関係情報DB192から抽出する。図8において、攻撃情報DB190において今後の攻撃可能性があると設定されている攻撃は、サービスXのアカウント情報に対する不正アクセスと、サーバ2のアドレス情報に対する不正アクセスとの各々である。
具体例として、図8に示すクライアント1のサービスXのアカウント情報は、関係情報DB192_1に示すようにサーバ1において利用されるデータである。そのため、分析優先度変更部130は、サーバ1が今後攻撃される可能性があると判定する。
別の具体例として、図8に示すサーバ2のアドレス情報は、関係情報DB192_2に示すようにサーバ2内のファイルサーバにアクセスするために利用されるデータである。そのため、分析優先度変更部130は、サーバ2が今後攻撃される可能性があると判定する。
(ステップS115)
分析優先度変更部130は、攻撃情報DB190において今後の攻撃可能性があると設定されている各攻撃を受けた機器に対応する分析優先度と、ステップS114において関係情報DB192から抽出した各機器に対応する分析優先度とを適宜変更する。
図9は、図5と図6と図8とに対応する図であり、分析優先度を変更する処理の具体例を説明する図である。
具体例として、クライアント1は、攻撃情報DB190において今後の攻撃可能性があると設定されている攻撃を受けた機器に当たる。そのため、分析優先度変更部130は、クライアント1に対応する分析優先度を高くする。また、サーバ1はクライアント1に対する攻撃により漏洩したアカウント情報を利用するサービスXを運用する。そのため、分析優先度変更部130は、サーバ1に対応する分析優先度を高くする。
また、別の具体例として、分析優先度変更部130は、不正アクセスを受けたクライアント1に対応する分析優先度と、クライアント1に対する攻撃により漏洩したアドレス情報を用いてアクセスすることができるサーバ2に対応する分析優先度とを高くする。
分析優先度変更部130は、攻撃情報DB190において今後の攻撃可能性があると設定されている各攻撃を受けた機器に対応する分析優先度と、ステップS114において関係情報DB192から抽出した各機器に対応する分析優先度とを適宜変更する。
図9は、図5と図6と図8とに対応する図であり、分析優先度を変更する処理の具体例を説明する図である。
具体例として、クライアント1は、攻撃情報DB190において今後の攻撃可能性があると設定されている攻撃を受けた機器に当たる。そのため、分析優先度変更部130は、クライアント1に対応する分析優先度を高くする。また、サーバ1はクライアント1に対する攻撃により漏洩したアカウント情報を利用するサービスXを運用する。そのため、分析優先度変更部130は、サーバ1に対応する分析優先度を高くする。
また、別の具体例として、分析優先度変更部130は、不正アクセスを受けたクライアント1に対応する分析優先度と、クライアント1に対する攻撃により漏洩したアドレス情報を用いてアクセスすることができるサーバ2に対応する分析優先度とを高くする。
(ステップS116)
攻撃分析システム90が攻撃観測を継続する場合、ステップS111が再度実行される。それ以外の場合、攻撃分析システム90は本フローチャートの処理を終了する。
なお、分析優先度変更部130は、必要に応じて分析優先度を変更してよい。具体例として、ある機器に対して対策を適用することによって当該ある機器に対する今後の攻撃可能性のリスクが低下した場合、分析優先度変更部130は当該ある機器に対応する分析優先度を元の値に変更する。
攻撃分析システム90が攻撃観測を継続する場合、ステップS111が再度実行される。それ以外の場合、攻撃分析システム90は本フローチャートの処理を終了する。
なお、分析優先度変更部130は、必要に応じて分析優先度を変更してよい。具体例として、ある機器に対して対策を適用することによって当該ある機器に対する今後の攻撃可能性のリスクが低下した場合、分析優先度変更部130は当該ある機器に対応する分析優先度を元の値に変更する。
***実施の形態1の効果の説明***
本実施の形態によれば、資産内容に応じて設定された分析優先度を使用することができ、また、攻撃内容に応じて分析優先度を変更することができる。攻撃の分析対象である各機器に対応する分析優先度を設定することにより、攻撃を分析する作業を効率化することができる。また、攻撃内容に応じて分析優先度を変更することにより、攻撃状況に応じて分析及び対策の優先順位を決めることができる。
本実施の形態を活用することにより、観測した複数の攻撃の中で、分析優先度が相対的に高い機器に対する攻撃を優先的に分析することができる。
さらに、本実施の形態によれば、観測した攻撃に基づいて今後の攻撃において狙われる可能性が高い機器が判明した場合に、狙われる可能性が高い機器に対応する分析優先度を変更することができる。従って、本実施の形態によれば、ある攻撃を足掛かりにして別の攻撃を行うといった複数の段階から成る攻撃に対して対応することができる。具体例として、「情報を収集した後にさらなる攻撃を行う」といった複数の段階から成る攻撃に対して、情報収集されたことを検知した段階において次段階の攻撃において狙われる可能性がある機器に対応する分析優先度を高くすることにより、次段階の攻撃を受けたときに当該機器に対する攻撃を迅速に分析することができる。
本実施の形態によれば、資産内容に応じて設定された分析優先度を使用することができ、また、攻撃内容に応じて分析優先度を変更することができる。攻撃の分析対象である各機器に対応する分析優先度を設定することにより、攻撃を分析する作業を効率化することができる。また、攻撃内容に応じて分析優先度を変更することにより、攻撃状況に応じて分析及び対策の優先順位を決めることができる。
本実施の形態を活用することにより、観測した複数の攻撃の中で、分析優先度が相対的に高い機器に対する攻撃を優先的に分析することができる。
さらに、本実施の形態によれば、観測した攻撃に基づいて今後の攻撃において狙われる可能性が高い機器が判明した場合に、狙われる可能性が高い機器に対応する分析優先度を変更することができる。従って、本実施の形態によれば、ある攻撃を足掛かりにして別の攻撃を行うといった複数の段階から成る攻撃に対して対応することができる。具体例として、「情報を収集した後にさらなる攻撃を行う」といった複数の段階から成る攻撃に対して、情報収集されたことを検知した段階において次段階の攻撃において狙われる可能性がある機器に対応する分析優先度を高くすることにより、次段階の攻撃を受けたときに当該機器に対する攻撃を迅速に分析することができる。
***他の構成***
<変形例1>
図10は、本変形例に係る攻撃分析装置100のハードウェア構成例を示している。
攻撃分析装置100は、プロセッサ11、プロセッサ11とメモリ12、プロセッサ11と補助記憶装置13、あるいはプロセッサ11とメモリ12と補助記憶装置13とに代えて、処理回路18を備える。
処理回路18は、攻撃分析装置100が備える各部の少なくとも一部を実現するハードウェアである。
処理回路18は、専用のハードウェアであってもよく、また、メモリ12に格納されるプログラムを実行するプロセッサであってもよい。
<変形例1>
図10は、本変形例に係る攻撃分析装置100のハードウェア構成例を示している。
攻撃分析装置100は、プロセッサ11、プロセッサ11とメモリ12、プロセッサ11と補助記憶装置13、あるいはプロセッサ11とメモリ12と補助記憶装置13とに代えて、処理回路18を備える。
処理回路18は、攻撃分析装置100が備える各部の少なくとも一部を実現するハードウェアである。
処理回路18は、専用のハードウェアであってもよく、また、メモリ12に格納されるプログラムを実行するプロセッサであってもよい。
処理回路18が専用のハードウェアである場合、処理回路18は、具体例として、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)又はこれらの組み合わせである。
攻撃分析装置100は、処理回路18を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路18の役割を分担する。
攻撃分析装置100は、処理回路18を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路18の役割を分担する。
攻撃分析装置100において、一部の機能が専用のハードウェアによって実現されて、残りの機能がソフトウェア又はファームウェアによって実現されてもよい。
処理回路18は、具体例として、ハードウェア、ソフトウェア、ファームウェア、又はこれらの組み合わせにより実現される。
プロセッサ11とメモリ12と補助記憶装置13と処理回路18とを、総称して「プロセッシングサーキットリー」という。つまり、攻撃分析装置100の各機能構成要素の機能は、プロセッシングサーキットリーにより実現される。
他の実施の形態に係る攻撃分析装置100についても、本変形例と同様の構成であってもよい。
プロセッサ11とメモリ12と補助記憶装置13と処理回路18とを、総称して「プロセッシングサーキットリー」という。つまり、攻撃分析装置100の各機能構成要素の機能は、プロセッシングサーキットリーにより実現される。
他の実施の形態に係る攻撃分析装置100についても、本変形例と同様の構成であってもよい。
実施の形態2.
以下、主に前述した実施の形態と異なる点について、図面を参照しながら説明する。
以下、主に前述した実施の形態と異なる点について、図面を参照しながら説明する。
***構成の説明***
図11は、本実施の形態に係る攻撃分析システム90の構成例を示している。本実施の形態に係る攻撃分析装置100は、図11に示すように脆弱性情報DB193をさらに記憶する。攻撃分析装置100は、関係情報DB192を記憶してもよい。
本実施の形態に係る攻撃分析装置100は、ハニーポット200内の各機器が脆弱性をつかれて攻撃を受けた場合において、同様の脆弱性を有する他機器の分析優先度を変更する機能を有する。具体例として、クライアント1に搭載されているソフトウェアaの脆弱性を突いた攻撃を検知した場合に、同じソフトウェアaが搭載されているクライアント2が今後攻撃される可能性が高いものとして、クライアント2に対応する分析優先度を高くする。
図11は、本実施の形態に係る攻撃分析システム90の構成例を示している。本実施の形態に係る攻撃分析装置100は、図11に示すように脆弱性情報DB193をさらに記憶する。攻撃分析装置100は、関係情報DB192を記憶してもよい。
本実施の形態に係る攻撃分析装置100は、ハニーポット200内の各機器が脆弱性をつかれて攻撃を受けた場合において、同様の脆弱性を有する他機器の分析優先度を変更する機能を有する。具体例として、クライアント1に搭載されているソフトウェアaの脆弱性を突いた攻撃を検知した場合に、同じソフトウェアaが搭載されているクライアント2が今後攻撃される可能性が高いものとして、クライアント2に対応する分析優先度を高くする。
本実施の形態に係る分析優先度変更部130は、対象攻撃が対象脆弱性に起因する場合において、攻撃対象システムが備える複数の機器のうち、対象機器以外の対象脆弱性を有する各機器に対応する分析優先度を変更する。対象脆弱性は対象機器が有する脆弱性である。
脆弱性情報DB193は、機器又はソフトウェア等の脆弱性を示す情報を格納する。
***動作の説明***
以下、事前準備における資産情報作成部120の処理について、実施の形態1との差異を説明する。
以下、事前準備における資産情報作成部120の処理について、実施の形態1との差異を説明する。
(ステップS101)
資産情報作成部120は、実施の形態1に係るステップS101の処理に加えて下記の処理を実行する。
資産情報作成部120は、資産情報に加えて各機器に搭載されている各FW(firmware)と各SW(software)との各々バージョンを示す情報を資産DB191に格納する。図12は、資産DB191に格納されるデータの具体例を示している。
また、資産情報作成部120は、外部セキュリティ機関300の情報に基づいて脆弱性情報DB193を作成する。図13は、脆弱性情報DB193に格納されるデータの具体例を示している。当該データは、各機器に搭載されているFW及びSWのバージョン毎の脆弱性を示す。
資産情報作成部120は、実施の形態1に係るステップS101の処理に加えて下記の処理を実行する。
資産情報作成部120は、資産情報に加えて各機器に搭載されている各FW(firmware)と各SW(software)との各々バージョンを示す情報を資産DB191に格納する。図12は、資産DB191に格納されるデータの具体例を示している。
また、資産情報作成部120は、外部セキュリティ機関300の情報に基づいて脆弱性情報DB193を作成する。図13は、脆弱性情報DB193に格納されるデータの具体例を示している。当該データは、各機器に搭載されているFW及びSWのバージョン毎の脆弱性を示す。
図14は、運用時における攻撃分析システム90の処理の一例を示すフローチャートである。図14を用いて攻撃分析システム90の処理を説明する。なお、攻撃分析システム90は、実施の形態1に係る攻撃分析システム90の処理に加えて下記の処理を実行してもよい。
(ステップS212)
攻撃分析部110は、ハニーポット200から攻撃を示すデータを受信し、受信したデータが示す各攻撃のログを分析することにより各攻撃により不正アクセスされたデータ特定し、特定したデータを示すデータを攻撃情報DB190に格納する。
その後、攻撃分析部110は、資産DB191に格納されている資産情報であって各攻撃における不正アクセス先に対応する資産情報と、外部セキュリティ機関300の攻撃情報等に基づいて、各攻撃において利用された脆弱性を判定する。攻撃分析部110は、判定した結果を示すデータを攻撃情報DB190に格納する。
図15は、攻撃情報DB190に格納されるデータの具体例を示している。
攻撃分析部110は、ハニーポット200から攻撃を示すデータを受信し、受信したデータが示す各攻撃のログを分析することにより各攻撃により不正アクセスされたデータ特定し、特定したデータを示すデータを攻撃情報DB190に格納する。
その後、攻撃分析部110は、資産DB191に格納されている資産情報であって各攻撃における不正アクセス先に対応する資産情報と、外部セキュリティ機関300の攻撃情報等に基づいて、各攻撃において利用された脆弱性を判定する。攻撃分析部110は、判定した結果を示すデータを攻撃情報DB190に格納する。
図15は、攻撃情報DB190に格納されるデータの具体例を示している。
(ステップS213)
分析優先度変更部130は、攻撃情報DB190と脆弱性情報DB193とを参照し、攻撃分析部110によって判定された脆弱性が他の機器にもあるか否かを判定する。
当該脆弱性が他の機器にもあると判定された場合、ステップS214が次に実行される。それ以外の場合、ステップS116が次に実行される。
分析優先度変更部130は、攻撃情報DB190と脆弱性情報DB193とを参照し、攻撃分析部110によって判定された脆弱性が他の機器にもあるか否かを判定する。
当該脆弱性が他の機器にもあると判定された場合、ステップS214が次に実行される。それ以外の場合、ステップS116が次に実行される。
(ステップS214)
分析優先度変更部130は、攻撃情報DB190と脆弱性情報DB193とを参照し、攻撃分析部110によって判定された脆弱性がある他の各機器を関連機器として抽出する。
具体例として、図13及び図15に示すようにクライアント1に搭載されているソフトウェアaは脆弱性を利用されて不正アクセスを受けた。また、クライアント1に搭載されているソフトウェアaのバージョンと同じバージョンであるソフトウェアaがクライアント2に搭載されている。そのため、分析優先度変更部130は、クライアント2がクライアント1に対する攻撃と同様の攻撃を今後受ける可能性があると判定し、クライアント2を関連機器として抽出する。
分析優先度変更部130は、攻撃情報DB190と脆弱性情報DB193とを参照し、攻撃分析部110によって判定された脆弱性がある他の各機器を関連機器として抽出する。
具体例として、図13及び図15に示すようにクライアント1に搭載されているソフトウェアaは脆弱性を利用されて不正アクセスを受けた。また、クライアント1に搭載されているソフトウェアaのバージョンと同じバージョンであるソフトウェアaがクライアント2に搭載されている。そのため、分析優先度変更部130は、クライアント2がクライアント1に対する攻撃と同様の攻撃を今後受ける可能性があると判定し、クライアント2を関連機器として抽出する。
(ステップS215)
分析優先度変更部130は、ステップS214において抽出した各関連機器に対応する分析優先度を適宜変更する。
図16は、図12と図13と図15とに対応する図であり、分析優先度を変更する処理の具体例を説明する図である。本例において、分析優先度変更部130は、不正アクセスを受けたクライアント1に対応する分析優先度と、不正アクセスを受けたクライアント1が有する脆弱性と同様の脆弱性を有するクライアント2に対応する分析優先度との各々を高くする。
分析優先度変更部130は、ステップS214において抽出した各関連機器に対応する分析優先度を適宜変更する。
図16は、図12と図13と図15とに対応する図であり、分析優先度を変更する処理の具体例を説明する図である。本例において、分析優先度変更部130は、不正アクセスを受けたクライアント1に対応する分析優先度と、不正アクセスを受けたクライアント1が有する脆弱性と同様の脆弱性を有するクライアント2に対応する分析優先度との各々を高くする。
***実施の形態2の効果の説明***
本実施の形態によれば、攻撃を受けた対象機器が有する脆弱性と同じ脆弱性を有する各機器に対応する分析優先度を、各機器に対する攻撃が観測される前に上げることができる。
本実施の形態によれば、攻撃を受けた対象機器が有する脆弱性と同じ脆弱性を有する各機器に対応する分析優先度を、各機器に対する攻撃が観測される前に上げることができる。
***他の実施の形態***
前述した各実施の形態の自由な組み合わせ、あるいは各実施の形態の任意の構成要素の変形、もしくは各実施の形態において任意の構成要素の省略が可能である。
また、実施の形態は、実施の形態1から2で示したものに限定されるものではなく、必要に応じて種々の変更が可能である。フローチャート等を用いて説明した手順は適宜変更されてもよい。
前述した各実施の形態の自由な組み合わせ、あるいは各実施の形態の任意の構成要素の変形、もしくは各実施の形態において任意の構成要素の省略が可能である。
また、実施の形態は、実施の形態1から2で示したものに限定されるものではなく、必要に応じて種々の変更が可能である。フローチャート等を用いて説明した手順は適宜変更されてもよい。
11 プロセッサ、12 メモリ、13 補助記憶装置、14 入出力IF、15 通信装置、18 処理回路、19 信号線、90 攻撃分析システム、100 攻撃分析装置、110 攻撃分析部、120 資産情報作成部、130 分析優先度変更部、190 攻撃情報DB、191 資産DB、192 関係情報DB、193 脆弱性情報DB、200 ハニーポット、210 攻撃検知部、300 外部セキュリティ機関。
Claims (5)
- 各々に対して分析優先度が設定されている複数の機器を備える攻撃対象システムが備える機器である対象機器がサイバー攻撃である対象攻撃を受けた場合に、前記対象攻撃の内容に応じて前記対象機器に対応する分析優先度を変更する分析優先度変更部
を備える攻撃分析装置であって、
前記攻撃対象システムが備える複数の機器を攻撃対象機器群としたとき、前記攻撃対象機器群に含まれている各機器がサイバー攻撃を受けた場合において、前記攻撃対象機器群に含まれている各機器に対するサイバー攻撃は、前記攻撃対象機器群に含まれている各機器に対応する分析優先度に応じて順に分析され、
前記攻撃対象機器群に含まれている各機器に対応する分析優先度は、前記攻撃対象機器群に含まれている各機器に対するサイバー攻撃による前記攻撃対象システムへの影響に対応して設定されており、
前記分析優先度変更部は、前記対象機器がサイバー攻撃を受けた場合において、前記攻撃対象機器群に含まれている機器のうち、前記対象機器が保有している情報の漏洩によってサイバー攻撃を受ける可能性がある前記対象機器以外の各機器に対応する分析優先度を変更する攻撃分析装置。 - 前記分析優先度変更部は、前記対象攻撃が、前記対象機器が有する脆弱性である対象脆弱性に起因する場合において、前記攻撃対象システムが備える複数の機器のうち、前記対象機器以外の前記対象脆弱性を有する各機器に対応する分析優先度を変更する請求項1に記載の攻撃分析装置。
- 前記攻撃対象システムはハニーポットである請求項1又は2に記載の攻撃分析装置。
- コンピュータが、各々に対して分析優先度が設定されている複数の機器を備える攻撃対象システムが備える機器である対象機器がサイバー攻撃である対象攻撃を受けた場合に、前記対象攻撃の内容に応じて前記対象機器に対応する分析優先度を変更する攻撃分析方法であって、
前記攻撃対象システムが備える複数の機器を攻撃対象機器群としたとき、前記攻撃対象機器群に含まれている各機器がサイバー攻撃を受けた場合において、前記攻撃対象機器群に含まれている各機器に対するサイバー攻撃は、前記攻撃対象機器群に含まれている各機器に対応する分析優先度に応じて順に分析され、
前記攻撃対象機器群に含まれている各機器に対応する分析優先度は、前記攻撃対象機器群に含まれている各機器に対するサイバー攻撃による前記攻撃対象システムへの影響に対応して設定されており、
前記コンピュータは、前記対象機器がサイバー攻撃を受けた場合において、前記攻撃対象機器群に含まれている機器のうち、前記対象機器が保有している情報の漏洩によってサイバー攻撃を受ける可能性がある前記対象機器以外の各機器に対応する分析優先度を変更する攻撃分析方法。 - 各々に対して分析優先度が設定されている複数の機器を備える攻撃対象システムが備える機器である対象機器がサイバー攻撃である対象攻撃を受けた場合に、前記対象攻撃の内容に応じて前記対象機器に対応する分析優先度を変更する分析優先度変更処理
をコンピュータである攻撃分析装置に実行させる攻撃分析プログラムであって、
前記攻撃対象システムが備える複数の機器を攻撃対象機器群としたとき、前記攻撃対象機器群に含まれている各機器がサイバー攻撃を受けた場合において、前記攻撃対象機器群に含まれている各機器に対するサイバー攻撃は、前記攻撃対象機器群に含まれている各機器に対応する分析優先度に応じて順に分析され、
前記攻撃対象機器群に含まれている各機器に対応する分析優先度は、前記攻撃対象機器群に含まれている各機器に対するサイバー攻撃による前記攻撃対象システムへの影響に対応して設定されており、
前記分析優先度変更処理では、前記対象機器がサイバー攻撃を受けた場合において、前記攻撃対象機器群に含まれている機器のうち、前記対象機器が保有している情報の漏洩によってサイバー攻撃を受ける可能性がある前記対象機器以外の各機器に対応する分析優先度を変更する攻撃分析プログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2023023773 | 2023-06-27 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP7427146B1 true JP7427146B1 (ja) | 2024-02-02 |
Family
ID=89718082
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2023571392A Active JP7427146B1 (ja) | 2023-06-27 | 2023-06-27 | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7427146B1 (ja) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014089609A (ja) | 2012-10-30 | 2014-05-15 | Hitachi Advanced Systems Corp | プログラム解析方法およびプログラム解析システム |
| JP2020149390A (ja) | 2019-03-14 | 2020-09-17 | 三菱電機株式会社 | サイバー攻撃検知装置 |
-
2023
- 2023-06-27 JP JP2023571392A patent/JP7427146B1/ja active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014089609A (ja) | 2012-10-30 | 2014-05-15 | Hitachi Advanced Systems Corp | プログラム解析方法およびプログラム解析システム |
| JP2020149390A (ja) | 2019-03-14 | 2020-09-17 | 三菱電機株式会社 | サイバー攻撃検知装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9253208B1 (en) | System and method for automated phishing detection rule evolution | |
| CN103886252B (zh) | 受信进程地址空间中执行的软件代码的恶意性的选择评估 | |
| CN109586282B (zh) | 一种电网未知威胁检测***及方法 | |
| US9239922B1 (en) | Document exploit detection using baseline comparison | |
| US20090133125A1 (en) | Method and apparatus for malware detection | |
| EP3337106B1 (en) | Identification system, identification device and identification method | |
| JP6687761B2 (ja) | 結合装置、結合方法および結合プログラム | |
| US11048795B2 (en) | System and method for analyzing a log in a virtual machine based on a template | |
| US8332941B2 (en) | Exploit nonspecific host intrusion prevention/detection methods and systems and smart filters therefor | |
| RU2724790C1 (ru) | Система и способ формирования журнала при исполнении файла с уязвимостями в виртуальной машине | |
| Continella et al. | Prometheus: Analyzing WebInject-based information stealers | |
| US11019494B2 (en) | System and method for determining dangerousness of devices for a banking service | |
| KR20180081053A (ko) | 도메인 생성 알고리즘(dga) 멀웨어 탐지를 위한 시스템 및 방법들 | |
| US20170155683A1 (en) | Remedial action for release of threat data | |
| US8839432B1 (en) | Method and apparatus for performing a reputation based analysis on a malicious infection to secure a computer | |
| Bhuiyan et al. | API vulnerabilities: Current status and dependencies | |
| TWI817062B (zh) | 使用進程資訊來檢測網頁後門的方法及系統 | |
| US8516100B1 (en) | Method and apparatus for detecting system message misrepresentation using a keyword analysis | |
| US20220237302A1 (en) | Rule generation apparatus, rule generation method, and computer-readable recording medium | |
| CN110659478B (zh) | 在隔离的环境中检测阻止分析的恶意文件的方法 | |
| JP7427146B1 (ja) | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム | |
| US10635811B2 (en) | System and method for automation of malware unpacking and analysis | |
| WO2021144978A1 (ja) | 攻撃推定装置、攻撃推定方法及び攻撃推定プログラム | |
| US20220237303A1 (en) | Attack graph processing device, method, and program | |
| JP7180765B2 (ja) | 学習装置、判定装置、学習方法、判定方法、学習プログラムおよび判定プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231116 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20231116 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20231116 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231226 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240123 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7427146 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |