ホーム > 特許ランキング > 財団法人 資訊工業策進会
知財求人 - 知財ポータルサイト「IP Force」
特開2021-44791攻撃経路の検出方法、攻撃経路の検出システム及び非一時的なコンピュータ読み取り可能な記録媒体
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】特開2021-44791(P2021-44791A)
(43)【公開日】2021年3月18日
(54)【発明の名称】攻撃経路の検出方法、攻撃経路の検出システム及び非一時的なコンピュータ読み取り可能な記録媒体
(51)【国際特許分類】
H04L 12/70 20130101AFI20210219BHJP
G06F 21/55 20130101ALI20210219BHJP
【FI】
H04L12/70 100Z
G06F21/55
【審査請求】有
【請求項の数】17
【出願形態】OL
【全頁数】22
(21)【出願番号】特願2019-178427(P2019-178427)
(22)【出願日】2019年9月30日
(31)【優先権主張番号】108132856
(32)【優先日】2019年9月11日
(33)【優先権主張国】TW
(71)【出願人】
【識別番号】502003596
【氏名又は名称】財団法人 資訊工業策進会
【氏名又は名称原語表記】INSTITUTE FOR INFORMATION INDUSTRY
(74)【代理人】
【識別番号】110002527
【氏名又は名称】特許業務法人北斗特許事務所
(72)【発明者】
【氏名】鍾 孟軒
(72)【発明者】
【氏名】李 杰
(72)【発明者】
【氏名】張 孝賢
【テーマコード(参考)】
5K030
【Fターム(参考)】
5K030GA15
5K030HA08
5K030HC01
5K030JA10
5K030LC13
5K030LE16
5K030MA01
5K030MB01
5K030MC07
5K030MC08
5K030MC09
5K030MD07
5K030MD08
(57)【要約】
【課題】攻撃経路の検出方法に関する。【解決手段】ホストログセットに基づいて、複数台のホスト同士のリンク関係を確立して、ホスト関係図を生成させる工程と、ホスト関係図に異常状態の発生した少なくとも1つのホストをマークする工程と、ホストの各々の対応するリスク値を計算する工程と、異常状態の発生していないホストにおいて、対応するリスク値が第1の閾値より大きいかを判断して、リスク値が第1の閾値より大きいホストを高リスクのホストとする工程と、ホスト関係図におけるホスト同士のリンク関係に基づいて、高リスクのホストと異常状態の発生した少なくとも1つのホストとの間から少なくとも1つのホスト攻撃経路を捜す工程と、を備える攻撃経路の検出方法。
【選択図】図1
【特許請求の範囲】
【請求項1】
ホストの各々の対応するログを含むホストログセットに基づいて、複数台のホスト同士のリンク関係を確立して、ホスト関係図を生成させる工程と、
前記ホスト関係図に異常状態の発生した少なくとも1つのホストをマークする工程と、
前記ホストの各々のリスク値を計算する工程と、
前記異常状態の発生していないホストにおいて、対応する前記リスク値が第1の閾値より大きいかを判断して、前記リスク値が前記第1の閾値より大きいホストを高リスクのホストとする工程と、
前記ホスト関係図における前記ホスト同士の前記リンク関係に基づいて、前記高リスクのホストと前記異常状態の発生した前記少なくとも1つのホストとの間から少なくとも1つのホスト攻撃経路を捜す工程と、
を備える攻撃経路の検出方法。
前記ホスト関係図に異常状態の発生した少なくとも1つのホストをマークする工程と、
前記ホストの各々のリスク値を計算する工程と、
前記異常状態の発生していないホストにおいて、対応する前記リスク値が第1の閾値より大きいかを判断して、前記リスク値が前記第1の閾値より大きいホストを高リスクのホストとする工程と、
前記ホスト関係図における前記ホスト同士の前記リンク関係に基づいて、前記高リスクのホストと前記異常状態の発生した前記少なくとも1つのホストとの間から少なくとも1つのホスト攻撃経路を捜す工程と、
を備える攻撃経路の検出方法。
【請求項2】
前記異常状態の発生した前記少なくとも1つのホストをマークする工程において、
リンク異常検出モデルによって前記ホストの各々の通信量にリンク異常が発生したかを判断して、前記リンク異常の発生したホストを前記異常状態の発生した前記少なくとも1つのホストとする工程を更に含む請求項1に記載の攻撃経路の検出方法。
リンク異常検出モデルによって前記ホストの各々の通信量にリンク異常が発生したかを判断して、前記リンク異常の発生したホストを前記異常状態の発生した前記少なくとも1つのホストとする工程を更に含む請求項1に記載の攻撃経路の検出方法。
【請求項3】
複数台のトレーニングホストの複数のトレーニング通信量データを含むトレーニング通信量データセットを入力し、且つ前記トレーニング通信量データの各々がそれぞれマーク結果に対応し、前記マーク結果が前記トレーニングホストの各々の通信量に異常が発生したかを表す工程と、
前記トレーニング通信量データ及びその対応する前記マーク結果をトレーニングして、前記リンク異常検出モデルを生成させる工程と、
を更に備える請求項2に記載の攻撃経路の検出方法。
前記トレーニング通信量データ及びその対応する前記マーク結果をトレーニングして、前記リンク異常検出モデルを生成させる工程と、
を更に備える請求項2に記載の攻撃経路の検出方法。
【請求項4】
前記異常状態の発生した前記少なくとも1つのホストをマークする工程において、
前記ホストログセットに基づいて前記ホストの各々のファイル関係図を確立し、前記ファイル関係図の各々が対応する前記ホストにおける複数のファイルの間の関係を含み、且つ前記ファイルの各々がハッシュ値に対応する工程と、
それぞれ前記ハッシュ値の各々によって対応する前記ファイルに悪意データを有するかを判断し、前記悪意データを有しないファイルを正常ファイルとマークし、且つ前記悪意データを有するファイルを悪意ファイルとマークする工程と、
前記悪意ファイルを有するホストを前記異常状態の発生した前記少なくとも1つのホストとする工程と、
を含む請求項2に記載の攻撃経路の検出方法。
前記ホストログセットに基づいて前記ホストの各々のファイル関係図を確立し、前記ファイル関係図の各々が対応する前記ホストにおける複数のファイルの間の関係を含み、且つ前記ファイルの各々がハッシュ値に対応する工程と、
それぞれ前記ハッシュ値の各々によって対応する前記ファイルに悪意データを有するかを判断し、前記悪意データを有しないファイルを正常ファイルとマークし、且つ前記悪意データを有するファイルを悪意ファイルとマークする工程と、
前記悪意ファイルを有するホストを前記異常状態の発生した前記少なくとも1つのホストとする工程と、
を含む請求項2に記載の攻撃経路の検出方法。
【請求項5】
前記正常ファイルの各々の感染確率値を計算する工程と、
前記ファイル関係図の各々において、前記正常ファイルの各々の前記感染確率値が第2の閾値より大きいかを判断する工程と、
前記ファイル関係図の各々において、前記感染確率値が前記第2の閾値より大きい前記少なくとも1つの正常ファイルと前記少なくとも1つの悪意ファイルとの間から少なくとも1つのファイル攻撃経路を捜す工程と、
を更に備える請求項4に記載の攻撃経路の検出方法。
前記ファイル関係図の各々において、前記正常ファイルの各々の前記感染確率値が第2の閾値より大きいかを判断する工程と、
前記ファイル関係図の各々において、前記感染確率値が前記第2の閾値より大きい前記少なくとも1つの正常ファイルと前記少なくとも1つの悪意ファイルとの間から少なくとも1つのファイル攻撃経路を捜す工程と、
を更に備える請求項4に記載の攻撃経路の検出方法。
【請求項6】
前記ホストの各々の前記リスク値を計算する工程において、
順次に前記異常状態の発生していない前記ホストの中の1つを選択して被選択ホストとする工程と、
前記被選択ホストの第1のリスク指標及び第2のリスク指標に基づいて対応する前記リスク値を計算し、前記第1のリスク指標は前記被選択ホストが他のホストにより感染される確率を表し、且つ前記第2のリスク指標は前記被選択ホストが自身で感染される確率を表す工程と、
を含む請求項1〜5の何れか1項に記載の攻撃経路の検出方法。
順次に前記異常状態の発生していない前記ホストの中の1つを選択して被選択ホストとする工程と、
前記被選択ホストの第1のリスク指標及び第2のリスク指標に基づいて対応する前記リスク値を計算し、前記第1のリスク指標は前記被選択ホストが他のホストにより感染される確率を表し、且つ前記第2のリスク指標は前記被選択ホストが自身で感染される確率を表す工程と、
を含む請求項1〜5の何れか1項に記載の攻撃経路の検出方法。
【請求項7】
前記リンク異常の発生したホストを判断する工程の後で、
前記ホスト同士の前記リンク関係に基づいて前記リンク異常の発生したホストがソース端末ホストを有するかを判断する工程と、
有する場合、前記ソース端末ホストを前記高リスクのホストとする工程と、
を更に備える請求項2に記載の攻撃経路の検出方法。
前記ホスト同士の前記リンク関係に基づいて前記リンク異常の発生したホストがソース端末ホストを有するかを判断する工程と、
有する場合、前記ソース端末ホストを前記高リスクのホストとする工程と、
を更に備える請求項2に記載の攻撃経路の検出方法。
【請求項8】
前記ホスト攻撃経路は、前記リンク異常の発生したホスト、前記悪意ファイルの発生したホスト及び前記高リスクのホストを含む請求項4に記載の攻撃経路の検出方法。
【請求項9】
ホストログセットを記憶するための記憶装置と、
前記ホストの各々の対応するログを含む前記ホストログセットに基づいて、複数台のホスト同士のリンク関係を確立して、ホスト関係図を生成させるためのホスト関連付け要素と、前記ホスト関連付け要素に電気的に接続され、前記ホスト関係図に異常状態の発生した少なくとも1つのホストをマークするための異常フラグ要素と、前記異常フラグ要素に電気的に接続され、前記ホストの各々の対応するリスク値を計算し、前記異常状態の発生していないホストにおいて、対応する前記リスク値が第1の閾値より大きいかを判断して、前記リスク値が前記第1の閾値より大きいホストを高リスクのホストとするためのホスト計算要素と、を含み、前記記憶装置に電気的に接続されるプロセッサと、
を備え、
前記ホスト計算要素は、前記ホスト関係図における前記ホスト同士の前記リンク関係に基づいて、前記高リスクのホストと前記異常状態の発生した前記少なくとも1つのホストとの間から少なくとも1つのホスト攻撃経路を捜す攻撃経路の検出システム。
前記ホストの各々の対応するログを含む前記ホストログセットに基づいて、複数台のホスト同士のリンク関係を確立して、ホスト関係図を生成させるためのホスト関連付け要素と、前記ホスト関連付け要素に電気的に接続され、前記ホスト関係図に異常状態の発生した少なくとも1つのホストをマークするための異常フラグ要素と、前記異常フラグ要素に電気的に接続され、前記ホストの各々の対応するリスク値を計算し、前記異常状態の発生していないホストにおいて、対応する前記リスク値が第1の閾値より大きいかを判断して、前記リスク値が前記第1の閾値より大きいホストを高リスクのホストとするためのホスト計算要素と、を含み、前記記憶装置に電気的に接続されるプロセッサと、
を備え、
前記ホスト計算要素は、前記ホスト関係図における前記ホスト同士の前記リンク関係に基づいて、前記高リスクのホストと前記異常状態の発生した前記少なくとも1つのホストとの間から少なくとも1つのホスト攻撃経路を捜す攻撃経路の検出システム。
【請求項10】
前記異常フラグ要素は、リンク異常検出モデルによって前記ホストの各々の通信量にリンク異常が発生したかを判断して、前記リンク異常の発生したホストを前記異常状態の発生した前記少なくとも1つのホストとする請求項9に記載の攻撃経路の検出システム。
【請求項11】
前記異常フラグ要素は、複数台のトレーニングホストの複数のトレーニング通信量データを含むトレーニング通信量データセットを入力し、且つ前記トレーニング通信量データ及びその各々の対応するマーク結果をトレーニングして、前記リンク異常検出モデルを生成させ、前記マーク結果は前記トレーニングホストの各々の通信量に異常が発生したかを表す請求項10に記載の攻撃経路の検出システム。
【請求項12】
前記異常フラグ要素は、
前記ホストログセットに基づいて前記ホストの各々のファイル関係図を確立することに用いられ、前記ファイル関係図の各々が対応する前記ホストにおける複数のファイルの間の関係を含み、且つ前記ファイルの各々がハッシュ値に対応するファイル関連付け要素と、
前記ファイル関連付け要素に電気的に接続され、それぞれ前記ハッシュ値の各々によって対応する前記ファイルに悪意データを有するかを判断し、前記悪意データを有しないファイルを正常ファイルとマークし、前記悪意データを有するファイルを悪意ファイルとマークし、且つ前記悪意ファイルを有するホストを前記異常状態の発生した前記少なくとも1つのホストとする悪意ファイル判断要素と、
を含む請求項10に記載の攻撃経路の検出システム。
前記ホストログセットに基づいて前記ホストの各々のファイル関係図を確立することに用いられ、前記ファイル関係図の各々が対応する前記ホストにおける複数のファイルの間の関係を含み、且つ前記ファイルの各々がハッシュ値に対応するファイル関連付け要素と、
前記ファイル関連付け要素に電気的に接続され、それぞれ前記ハッシュ値の各々によって対応する前記ファイルに悪意データを有するかを判断し、前記悪意データを有しないファイルを正常ファイルとマークし、前記悪意データを有するファイルを悪意ファイルとマークし、且つ前記悪意ファイルを有するホストを前記異常状態の発生した前記少なくとも1つのホストとする悪意ファイル判断要素と、
を含む請求項10に記載の攻撃経路の検出システム。
【請求項13】
前記異常フラグ要素は、
前記悪意ファイル判断要素に電気的に接続され、前記正常ファイルの各々の感染確率値を計算し、前記ファイル関係図の各々において、前記正常ファイルの各々の対応する前記感染確率値が第2の閾値より大きいかを判断し、且つ前記感染確率値が前記第2の閾値より大きい前記少なくとも1つの正常ファイルと前記少なくとも1つの悪意ファイルとの間から少なくとも1つのファイル攻撃経路を捜すためのファイル計算要素を更に含む請求項12に記載の攻撃経路の検出システム。
前記悪意ファイル判断要素に電気的に接続され、前記正常ファイルの各々の感染確率値を計算し、前記ファイル関係図の各々において、前記正常ファイルの各々の対応する前記感染確率値が第2の閾値より大きいかを判断し、且つ前記感染確率値が前記第2の閾値より大きい前記少なくとも1つの正常ファイルと前記少なくとも1つの悪意ファイルとの間から少なくとも1つのファイル攻撃経路を捜すためのファイル計算要素を更に含む請求項12に記載の攻撃経路の検出システム。
【請求項14】
前記ホスト計算要素は順次に前記異常状態の発生していない前記ホストの中の1つを選択して被選択ホストとし、且つ前記被選択ホストの第1のリスク指標及び第2のリスク指標に基づいて対応する前記リスク値を計算し、前記第1のリスク指標は、前記被選択ホストが他のホストにより感染される確率を表し、且つ前記第2のリスク指標は、前記被選択ホストが自身で感染する確率を表す請求項9〜13の何れか1項に記載の攻撃経路の検出システム。
【請求項15】
前記ホスト計算要素は、前記ホスト同士の前記リンク関係に基づいて前記リンク異常の発生したホストがソース端末ホストを有するかを判断し、有する場合、前記ソース端末ホストを前記高リスクのホストとする請求項10に記載の攻撃経路の検出システム。
【請求項16】
前記ホスト攻撃経路は、前記リンク異常の発生したホスト、前記悪意ファイルの発生したホスト及び前記高リスクのホストを含む請求項12に記載の攻撃経路の検出システム。
【請求項17】
少なくとも1つの指令プログラムを含み、プロセッサによって前記少なくとも1つの指令プログラムを実行して、攻撃経路の検出方法を実行する非一時的なコンピュータ読み取り可能な記録媒体において、
前記ホストの各々の対応するログを含むホストログセットに基づいて、複数台のホスト同士のリンク関係を確立して、ホスト関係図を生成させる工程と、
前記ホスト関係図に異常状態の発生した少なくとも1つのホストをマークし、前記ホストの各々の対応するリスク値を計算する工程と、
前記異常状態の発生していないホストにおいて、対応する前記リスク値が第1の閾値より大きいかを判断して、前記リスク値が前記第1の閾値より大きいホストを高リスクのホストとする工程と、
前記ホスト関係図における前記ホスト同士の前記リンク関係に基づいて、前記高リスクのホストと前記異常状態の発生した前記少なくとも1つのホストとの間から少なくとも1つの攻撃経路を捜す工程と、
を備える非一時的なコンピュータ読み取り可能な記録媒体。
前記ホストの各々の対応するログを含むホストログセットに基づいて、複数台のホスト同士のリンク関係を確立して、ホスト関係図を生成させる工程と、
前記ホスト関係図に異常状態の発生した少なくとも1つのホストをマークし、前記ホストの各々の対応するリスク値を計算する工程と、
前記異常状態の発生していないホストにおいて、対応する前記リスク値が第1の閾値より大きいかを判断して、前記リスク値が前記第1の閾値より大きいホストを高リスクのホストとする工程と、
前記ホスト関係図における前記ホスト同士の前記リンク関係に基づいて、前記高リスクのホストと前記異常状態の発生した前記少なくとも1つのホストとの間から少なくとも1つの攻撃経路を捜す工程と、
を備える非一時的なコンピュータ読み取り可能な記録媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本開示内容は、情報セキュリティ方法及びシステムに関し、特に、攻撃経路の検出方法、攻撃経路の検出システム及び非一時的なコンピュータ読み取り可能な記録媒体に関する。
【背景技術】
【0002】
持続的標的型攻撃(Advanced persistent threat;APT)とは、コンピュータに秘匿して継続的に侵入する過程であり、APT攻撃のイニシエータが一般的に特定の主体に対する継続的で効果的な能力や意図を有し、ハッカーが企業の内部ネットワークに入って十分な権限を取得すると、内部に拡散して、企業の社内ネットワークに持続的に攻撃してデータを窃取する。
【発明の概要】
【発明が解決しようとする課題】
【0003】
しかしながら、通常のウィルス対策ソフトでは、内部に拡散する場合の攻撃経路を検出できないため、内部に拡散する感染範囲を効果的に追跡することも困難である。これにより、如何に内部に拡散する場合の攻撃経路を自動的に検出して、管理者の追跡時間を低減するかは、本分野で解決されようとする問題である。
【課題を解決するための手段】
【0004】
本開示内容の第1の態様は、ホストの各々の対応するログを含むホストログセットに基づいて、複数台のホスト同士のリンク関係を確立して、ホスト関係図を生成させる工程と、ホスト関係図に異常状態の発生した少なくとも1つのホストをマークし、ホストの各々の対応するリスク値を計算する工程と、異常状態の発生していないホストにおいて、対応するリスク値が第1の閾値より大きいかを判断して、リスク値が第1の閾値より大きいホストを高リスクのホストとする工程と、ホスト関係図におけるホスト同士のリンク関係に基づいて、高リスクのホストと異常状態の発生した少なくとも1つのホストとの間から少なくとも1つのホスト攻撃経路を捜す工程と、を備える攻撃経路の検出方法を提供する。
【0005】
本開示内容の第2の態様は、ホストログセット及びトレーニング通信量(流量)データセットを記憶するための記憶装置と、ホストの各々の対応するログを含むホストログセットに基づいて、複数台のホスト同士のリンク関係を確立して、ホスト関係図を生成させるためのホスト関連付け要素と、ホスト関連付け要素に電気的に接続され、ホスト関係図に異常状態の発生した少なくとも1つのホストをマークするための異常フラグ要素と、異常フラグ要素に電気的に接続され、ホストの各々の対応するリスク値を計算し、異常状態の発生していないホストにおいて、対応するリスク値が第1の閾値より大きいかを判断して、リスク値が第1の閾値より大きいホストを高リスクのホストとするためのホスト計算要素と、を含み、記憶装置に電気的に接続されるプロセッサと、を備え、ホスト計算要素は、ホスト関係図におけるホスト同士のリンク関係に基づいて、高リスクのホストと異常状態の発生した少なくとも1つのホストとの間から少なくとも1つの攻撃経路を捜す攻撃経路の検出システムを提供する。
【0006】
本願の第3の態様は、少なくとも1つの指令プログラムを含み、プロセッサによって少なくとも1つの指令プログラムを実行して、攻撃経路の検出方法を実行する非一時のコンピュータ読み取り可能な記録媒体において、ホストの各々の対応するログを含むホストログセットに基づいて、複数台のホスト同士のリンク関係を確立して、ホスト関係図を生成させる工程と、ホスト関係図に異常状態の発生した少なくとも1つのホストをマークし、ホストの各々の対応するリスク値を計算する工程と、異常状態の発生していないホストにおいて、対応するリスク値が第1の閾値より大きいかを判断して、リスク値が第1の閾値より大きいホストを高リスクのホストとする工程と、ホスト関係図におけるホスト同士のリンク関係に基づいて、高リスクのホストと異常状態の発生した少なくとも1つのホストとの間から少なくとも1つの攻撃経路を捜す工程と、を備える非一時的なコンピュータ読み取り可能な記録媒体を提供する。
【発明の効果】
【0007】
本開示の攻撃経路の検出方法、攻撃経路の検出システム及び非一時的なコンピュータ読み取り可能な記録媒体は、主に、従来のホスト内部のログのみによる異常検出の問題を改善し、ホスト同士のリンク関係を分析し及び異常点を検出することで、疑わしい攻撃経路を探し出し、次に、疑わしい攻撃経路を管理者に提供し、管理者の追跡時間を減少するという効果を達成する。なお、前もってAPT攻撃の開始点を検出することによって、APT攻撃イベントの発生確率を低下させることもできる。
【図面の簡単な説明】
【0008】
下記添付図面の説明は、本発明の上記、他の目的、特徴、メリット及び実施形態をより分かりやすくするためのものである。【図1】本願のある実施例による攻撃経路の検出システムを示す模式図である
【図2】本願のある実施例による異常フラグ要素を示す模式図である。
【図3】本願のある実施例による攻撃経路の検出方法を示すフロー図である。
【図4】本願のある実施例によるホスト関係図を示す模式図である。
【図5】本願のある実施例による工程S320を示す詳細なフロー図である。
【図6】本願のある実施例によるホスト関係図を示す模式図である。
【図7】本願のある実施例によるホスト関係図を示す模式図である。
【図8A】本願のある実施例によるリスク値を有するホスト関係図を示す模式図である。
【図9A】本願のある実施例によるホスト関係図を示す模式図である。
【発明を実施するための形態】
【0009】
以下に、図面で本発明の複数の実施形態を説明するが、明らかに説明するために、数多くの実際の細部を以下の説明で併せて説明する。しかしながら、理解すべきなのは、これらの実際の細部が、本発明を制限するためのものではない。つまり、本発明の実施形態の一部において、これらの実際の細部は、必要ないものである。また、図面を簡略化するために、ある従来慣用の構造及び要素は、図面において簡単で模式的に示される。
【0010】
本明細書では、ある要素が「接続される」又は「結合される」と呼ばれる場合、「電気的に接続される」又は「電気的に結合される」ものであってもよい。「接続」又は「結合」は、2つ又は複数の要素同士の互いの組み合わせた操作又は相互作用を表すことに用いられてもよい。また、本明細書で「第1の」、「第2の」等の用語によって異なる要素を説明するが、この用語は単に同じ技術用語で説明される要素又は操作を区別するためのものだけである。上下文で明示しない限り、この用語は、順序又は順位を特に指示又は示唆するものではなく、本発明を限定するためのものでもない。
【0011】
図1を参照されたい。図1は、本願のある実施例による攻撃経路の検出システム100を示す模式図である。図1に示すように、攻撃経路の検出システム100は、記憶装置110と、プロセッサ130と、を備える。記憶装置110は、プロセッサ130に電気的に接続される。記憶装置110は、ホストログセットを記憶することに用いられる。プロセッサ130は、ホスト関連付け要素131、異常フラグ要素132及びホスト計算要素133を含む。異常フラグ要素132、ホスト関連付け要素131及びホスト計算要素133が電気的に接続される。
【0012】
本発明の各実施例において、プロセッサ130は、マイクロコントローラ(microcontroller)、マイクロプロセッサ(microprocessor)、デジタルシグナルプロセッサ(digital signal processor)のような集積回路、専用集積回路(application specific integrated circuit;ASIC)、ロジック回路又は他の類似な要素又は上記要素の組み合わせとして実施されてよい。記憶装置110は、メモリ、ハードディスク、フラッシュドライブ、メモリカード等で実現されてよい。
【0013】
図2を参照されたい。図2は、本願のある実施例による異常フラグ要素を示す模式図である。異常フラグ要素132は、ファイル関連付け要素1321、悪意ファイル判断要素1322及びファイル計算要素1323を含む。悪意ファイル判断要素1322、ファイル関連付け要素1321及びファイル計算要素1323が電気的に接続される。
【0014】
本願のある実施例による攻撃経路の検出方法を示すフロー図である図3を参照されたい。攻撃経路の検出方法300は図1の攻撃経路の検出システム100に適用されることができ、プロセッサ130は下記に説明する攻撃経路の検出方法300の工程によって、複数台のホストにおける異常の有無を判断して、複数台のホスト同士のリンク関係に基づいて疑わしい攻撃経路を検出することに用いられる。
【0015】
図1及び図3を同時に参照すると、まず、工程S310において、プロセッサ130のホスト関連付け要素131は、ホストログセットに基づいて、複数台のホスト同士のリンク関係を確立して、ホスト関係図を生成させる。ホストログセットは、ホストの各々の対応するログを含む。一実施例において、ホスト関連付け要素131は、監視ツール(例えば、Procmon、Sysmon等の監視プログラム)によって複数台のホストの各々のログを収集し、次に、複数台のホストの各々の対応するログに対して所望のデータフィールド(例えば、イベント発生時間、プログラムID、プログラム経路、ソースIPアドレス、目的地IPアドレス、目的地プログラム等)を抽出して、プログラム及びファイル或いはプログラムとプログラムとの間のリンク関係を確立することができる。例として、AコンピュータがリモートプログラムによってDコンピュータにリンクされる場合、AコンピュータがDコンピュータにリンクされると理解されてもよい。
【0016】
従って、ホストの間のプログラムのリンク関係を分析することで、ホスト関係図を描くことができる。本願のある実施例によるホスト関係図を示す模式図である図4を参照されたい。図4に示すように、ホスト関係図400はホストA〜Lを含み、ホスト関係図400から直ちに企業の社内ネットワークにおけるホストA〜Lの間のリンク関係を見出すことができる。注意すべきなのは、ホストA〜Lの間のリンク関係が目的端末ホストとソース端末ホストとの関係以外に、リンクが発生するタイムスタンプを更に含むので、タイムスタンプによってホストA〜Lの間のリンクの先後関係が分かる。例として、ホストDはホストAとホストBの目的端末ホストであり、ホストDはホストGとホストHのソース端末ホストであり、ホストEはホストHの目的端末ホストである。
【0017】
図3に戻ると、工程S320において、プロセッサ130の異常フラグ要素132は、ホスト関係図に異常状態の発生した少なくとも1つのホストをマークする。一実施例において、工程S320は、工程S321〜S324を更に含み、本願のある実施例による工程S320を示す詳細なフロー図である図5を併せて参照されたい。工程S321において、プロセッサ130の異常フラグ要素132は、リンク異常検出モデルによってホストの各々の通信量にリンク異常が発生したかを判断して、リンク異常の発生したホストを異常状態の発生した少なくとも1つのホストとする。
【0018】
従って、工程S321を実行する前に、まず、リンク異常検出モデルを確立する必要がある。更に言えば、異常フラグ要素132には、複数台のトレーニングホストの複数のトレーニング通信量データを含むトレーニング通信量データセットを入力される。トレーニング通信量データの各々がそれぞれマーク結果に対応し、マーク結果の各々はトレーニングホストの各々の通信量に異常が発生したかを表す。次に、異常フラグ要素132は、トレーニング通信量データ及び対応するマーク結果をトレーニングデータとしてトレーニングする。一実施例において、トレーニング形態としてサポートベクターマシン(Support vector machine;SVM)、畳み込みニューラルネットワーク(Convolutional neural network;CNN)又はK-近傍法(K-Nearest neighbor algorithm;KNN)等の形態を採用して、分類器(Classifier)をトレーニングする。トレーニングされた分類器は、リンク異常検出モデルであり、且つ複数台のホストの各々の通信量に異常が発生したかを判断することに用いることができる。注意すべきなのは、トレーニング通信量データは、主に、コマンドコントロールチャネル(Command and control channel;C&C channel)の通信量であり、分類器は、特にC&Cチャネルで伝送されるパケットのペイロード(payload)に対してリンク異常判断を行う。
【0019】
他の実施例において、リンク異常検出モデルは、外部のプロセッサによってトレーニングされた後で、記憶装置110に記憶されてもよいが、本開示はこれに限定されない。工程S321を実行する必要がある場合、異常フラグ要素132は、記憶装置110からリンク異常検出モデルを取得して、ホストの各々の通信量にリンク異常が発生するかを判断する。
【0020】
従って、異常フラグ要素132がリンク異常の発生したホストを判断した後で、リンク異常の発生したホストを異常状態の発生したホストとして、ホスト関係図に異常状態の発生した少なくとも1つのホストをマークする。本願のある実施例によるホスト関係図を示す模式図である図6を参照されたい。図4に示す実施例に続いて、異常フラグ要素132は、リンク異常検出モデルによってホストA〜Lにリンク異常の状況が発生するかを判断し、リンク異常の状況の発生したホストがある場合、リンク異常のホストに対してホスト関係図においてリンク異常フラグをマークする。例として、図6に示すように、異常フラグ要素132は、ホストDにリンク異常の状況が発生したと判断すると、ホストDの位置にリンク異常フラグM1をマークし、つまりホストDがリンク異常の発生したホストであり、且つリンク異常の発生したホストDを異常状態の発生したホストとする。
【0021】
図5に戻ってまた図2を同時に参照すると、工程S322において、異常フラグ要素132のファイル関連付け要素1321は、ホストログセットに基づいてホストの各々のファイル関係図を確立する。ファイル関係図の各々は対応するホストにおける複数のファイルの間の関係を含み、且つファイルの各々がハッシュ値(Hash Value)に対応する。本実施例において、ホストログセットは、複数台のホストの各々内のプログラムとファイル或いはファイル同士の関係を含み、またファイルの各々がハッシュ値に対応する。例として、使用者は、ウィンドウズエクスプローラ(Windows Explorer)(「ウィンドウズ」は、登録商標)によってテキストファイル(text file)を開くことができ、つまりプログラムがファイルにリンクされる。別の状況において、使用者は、ウィンドウズエクスプローラによってブラウザプログラム(Web browser)を作成することもでき、つまりプログラムがプログラムにリンクされる。そのため、ホストログの記録した内容に基づいて、ファイル関係図を生成させることができる。ファイルの各々の対応するハッシュ値の生成について、プロセッサ130は、ハッシュ演算アルゴリズムによってファイルの各々を対応するハッシュ値に変換し、且つ他の形態によってハッシュ値を生成させてもよいが、本開示はこれに限定されない。
【0022】
次に、工程S323において、異常フラグ要素132の悪意ファイル判断要素1322は、それぞれハッシュ値の各々によって対応するファイルに悪意データを有するかを判断し、悪意データを有しないファイルを正常ファイルとマークし、且つ悪意データを有するファイルを悪意ファイルとマークし、且つ工程S324において、悪意ファイルを有するホストを異常状態の発生した少なくとも1つのホストとする。本願のある実施例によるホスト関係図を示す模式図である図7を参照されたい。図6に示す実施例に続いて、悪意ファイル判断要素1322は、ハッシュ値によってホストの各々(ホストA〜L)の内部に悪意データのファイルを有するかを判断し、内部のファイルに悪意データを有するホストがある場合、悪意ファイルを有するホストに対して、ホスト関係図において異常イベントマークをマークする。例として、図7に示すように、悪意ファイル判断要素1322は、ホストLに悪意ファイルを有すると判断すると、ホストLの位置に異常イベントマークM2をマークし、つまりホストLに悪意ファイルを有し、且つ悪意ファイルを有するホストLを異常状態の発生したホストとする。
【0023】
注意すべきなのは、工程S321の操作と工程S322〜S324の操作との間に先後関係はなく、工程S321の操作を実行してから工程S322〜S324の操作を実行し、或いは工程S322〜S324の操作を実行してから工程S321の操作を実行してもよいが、本開示はこれに限定されない。
【0024】
図3に戻ると、上記の操作を経過した(つまり、工程S320を実行した)後で、ホスト関係図に異常状態の発生したホスト(ホストD及びホストL)が既にマークされる。次に、工程S330において、ホスト計算要素133は、ホストの各々の対応するリスク値を計算する。更に言えば、ホスト計算要素133は、異常状態の発生したホストの対応するリスク値を異常リスク値と設定する。図8Aを同時に参照すると、例として、ホスト計算要素133は、リンク異常の発生したホストDの対応するリスク値及び悪意ファイルを有するホストLの対応するリスク値を異常リスク値と設定する。本実施例において、異常リスク値は1であってよく、つまりホスト計算要素133は、異常状態の発生したホストの感染される確率が1であると判断する。
【0025】
また、ホスト計算要素133は、更に、ホスト関係図におけるホストの各々の間のリンク関係に基づいてリンク異常の発生したホストがソース端末ホストを有するかを判断し、ソース端末ホストを有する場合、ソース端末ホストを高リスクのホストとする。高リスクのホストは、このホストの感染される確率が高いことを表す。図8Aを同時に参照すると、例として、ホスト計算要素133は、ホストD及びホストLの対応するリスク値を1と設定した後で、更に、リンク異常の発生したホストDがそれぞれホストAとホストBであるソース端末ホストを有すると判断する。次に、ホスト計算要素133は、ホストAとホストBを高リスクのホストとする。本実施例において、ホスト計算要素133は、ホストAとホストBのリスク値を1と設定する。
【0026】
異常状態の発生していないホストに対して、ホスト計算要素133は、異常状態の発生していないホストの中の1つを順次に選択して被選択ホストとし、次に、被選択ホストの第1のリスク指標及び第2のリスク指標に基づいて対応するリスク値を計算する。本実施例において、第1のリスク指標は被選択ホストの他のホストにより感染される確率を表し、第2のリスク指標は被選択ホストが自身で感染する確率を表す。図8Aを同時に参照すると、例として、ホスト計算要素133は、ベイズネットワーク(Bayesian Network)によってそれぞれ異常状態の発生していないホストC、E〜Kの対応するリスク値を計算する。第1のリスク指標はベイズネットワークにおける接触感染率(Contact infection rate)を表し、第2のリスク指標はベイズネットワークにおける内因性感染率(Instrinsic infection rate)を表す。この実施例において、接触感染率が0.9と設定され、内因性感染率が0.0001と設定され、ホストGのリスク値がホストDのリスク値によって推測され、ホストGの条件確率が表1に示すようなものであるため、ホストGの感染される確率は0.9である。
【0027】
【表1】
【0028】
上記実施例に続いて、ホストHのリスク値はホストD及びホストEのリスク値によって推測され、ホストHの条件確率が表2に示すようなものであるため、ホストHの感染される確率は0.85である。この状況で、ホストEに異常の状況が検出されず且つホストEがホストDにリンクされていなく、ホストDにより感染される条件はないため、ホストEのリスク値を0と仮定する。
【0029】
【表2】
【0030】
上記実施例に続いて、ホストFのリスク値はホストCのリスク値によって推測され、ホストFの条件確率が表3に示すようなものであるため、ホストFの感染される確率は0.0001である。この状況で、ホストCに異常の状況が検出されず且つホストCがホストDにリンクされていなく、ホストDにより感染される条件はないため、ホストCのリスク値を0と仮定する。
【0031】
【表3】
【0032】
上記実施例に続いて、ホストJのリスク値はホストF、ホストG及びホストHのリスク値によって推測され、ホストJの条件確率が表4に示すようなものであるため、ホストJの感染される確率は0.846である。ホストI、Kのリスク値の計算方法は上記と同様であるので、ここで繰り返して説明しない。これにより、ホストIのリスク値は0.00019であり、ホストKのリスク値は0.719である。図8Aに、それぞれホストA〜Lの対応するリスク値を示す。
【0033】
【表4】
【0034】
図3に戻ると、ホストの各々の対応するリスク値を計算(工程S330)した後で、ホスト計算要素133は、次に、異常状態の発生していないホストにおいて、対応するリスク値が第1の閾値より大きいかを判断して、リスク値が第1の閾値より大きいホストを高リスクのホストとする(工程S340)。この実施例において、第1の閾値を0.75と仮定し、ホスト計算要素133は、異常状態の発生していないホストC、E〜Kにおいて、ホストG、H、Jのリスク値が第1の閾値より大きいと判断して、ホストG、H、Jを高リスクのホストとする。
【0035】
そして、図8B及び図3を参照されたい。図8Bは、図8Aの高リスクのホストと異常状態の発生したホストを含むホスト関係図の模式図である。高リスクのホストはホストA、B、G、H、Jであり、異常状態の発生したホストはホストD、Lである。工程S340の後で、ホスト計算要素133は、更に、ホスト関係図におけるホスト同士のリンク関係に基づいて、高リスクのホストと異常状態の発生したホストの間から少なくとも1つのホスト攻撃経路を捜す(工程S350)。この実施例において、深さ優先探索演算法(Depth First Search;DFS)によってホスト攻撃経路を探し出してよいが、本開示はこれに限定されない。
【0036】
そのため、ホスト計算要素133は、図8BにおけるホストA、B、D、G、H、J、Lの間のリンク関係に基づいて、4本のホスト攻撃経路を探し出す。1番目のホスト攻撃経路はホストA→ホストD→ホストG→ホストJ→ホストLである。2番目のホスト攻撃経路はホストA→ホストD→ホストH→ホストJ→ホストLである。3番目のホスト攻撃経路はホストB→ホストD→ホストG→ホストJ→ホストLである。4番目のホスト攻撃経路はホストB→ホストD→ホストH→ホストJ→ホストLである。
【0037】
別の実施例において、本願のある実施例によるホスト関係図を示す模式図である図9Aを参照されたい。この状況で、プロセッサ130は、ホストLのみがリンク異常の発生したホストであることを判断し、且つ他のホストからは悪意ファイルが見付けられていない。プロセッサ130は、ホストLを異常状態の発生したホストとして、ホストLの位置に異常イベントマークM3をマークする。次に、上記ホスト計算要素133は、リンク異常の発生したホストがソース端末ホストを有するかを捜す方法に基づいて、ホストLのソース端末ホストがホストJであると判断して(高リスクのホストとする)、ホストJのリスク値を1と設定する。上記ホスト計算要素133は、異常状態の発生していないホストA〜I、Kから高リスクのホストを捜す方法に基づいて、ホストKのリスク値が0.9であり且つ他のホストA〜Iのリスク値が0であると計算して、更に、高リスクのホストがホストKであると判断する。図9Aに、それぞれホストA〜Lの対応するリスク値を示す。
【0038】
また、図9Aの高リスクのホストと異常状態の発生したホストを含むホスト関係図の模式図である図9Bを参照されたい。ホスト計算要素133は、図9BにおけるホストJ、K、Lの間のリンク関係に基づいて、2本のホスト攻撃経路を探し出す。1番目のホスト攻撃経路はホストJ→ホストKである。2番目の攻撃経路はホストJ→ホストLである。
【0039】
プロセッサ130は、複数台のホスト同士の疑わしい攻撃経路を検出する以外、複数台のホストの各々における悪意ファイルの攻撃経路を検出することもできる。本願のある実施例による悪意ファイルの攻撃経路の検出を示すフロー図である図10を参照されたい。図10に示すように、上記工程S324の操作に続いて、更に、異常フラグ要素132のファイル計算要素1323が正常ファイルの各々の感染確率値を計算する工程S325を実行する。一実施例において、ファイル計算要素1323は、ベイズネットワーク(Bayesian Network)によって正常ファイルの各々の感染確率値を計算する。ファイル計算要素1323が正常ファイルの感染確率値を計算する操作形態については、上記ホスト計算要素133が異常状態の発生していないホストのリスク値を計算する操作形態に類似しているので、ここで繰り返して説明しない。
【0040】
次に、工程S326において、ファイル計算要素1323はホストの各々のファイル関係図において、正常ファイルの各々の感染確率値が第2の閾値より大きいかを判断する。この実施例において、第2の閾値が0.8と設定されてよく、且つこの工程の操作形態が工程S340に類似しているので、ここで繰り返して説明しない。
【0041】
次に、工程S327において、ファイル計算要素1323はホストの各々のファイル関係図において、感染確率値が第2の閾値より高い少なくとも1つの正常ファイル及び少なくとも1つの悪意ファイルの間から少なくとも1つのファイル攻撃経路を捜す。この実施例において、深さ優先探索演算法(Depth First Search;DFS)によってファイル攻撃経路を探し出すことができるが、本開示はこれに限定されなく、この工程の操作形態が工程S350に類似しているので、ここで繰り返して説明しない。
【0042】
上記本願の実施形態から分かるように、本開示内容は、主に、従来のホスト内部のログのみによる異常検出の問題を改善し、ホスト同士のリンク関係を分析し及び異常点を検出することで、疑わしい攻撃経路を探し出し、次に、疑わしい攻撃経路を管理者に提供し、管理者の追跡時間を減少するという効果を達成する。なお、前もってAPT攻撃の開始点を検出することによって、APT攻撃イベントの発生確率を低下させることもできる。
【0043】
また、上記例示は順次の模範的な工程を含むが、これらの工程は示される順序で実行されてもよいし、異なる順序で上記工程を実行することも、本開示内容の考慮範囲内にある。本開示内容の実施例の精神や範囲内で、状況に応じて増加し、代わり取って、順序を変更し、及び/又は上記工程を省略してもよい。
【0044】
本発明では、実施形態を上記の通りに開示したが、これは本発明を限定するものではなく、当業者であれば、本発明の精神や範囲から逸脱しない限り、多様の変更や修飾を加えることができる。従って、本発明の保護範囲は、後の特許請求の範囲で指定した内容を基準とするものである。
【符号の説明】
【0045】
100:攻撃経路の検出システム110:記憶装置
130:プロセッサ
131:ホスト関連付け要素
132:異常フラグ要素
133:ホスト計算要素
1321:ファイル関連付け要素
1322:悪意ファイル判断要素
1323:ファイル計算要素
M1、M2、M3:マーク
A、B、C、D、E、F、G、H、I、J、K、L:ホスト
300:攻撃経路の検出方法
S310〜S350、S321〜S327:工程
【手続補正書】
【提出日】2021年1月6日
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
複数台のホストの各々に対応するログを含むホストログセットに基づいて、前記複数台のホスト同士のリンク関係を示す情報を作成して、ホスト関係図を生成させる工程と、
前記複数台のホストのうち異常状態の発生した少なくとも1つのホストを前記ホスト関係図にマークする工程と、
前記複数台のホストの各々のリスク値を計算する工程と、
前記複数台のホストのうち前記異常状態の発生していないホストに対応する前記リスク値が第1の閾値より大きいかを判断して、前記リスク値が前記第1の閾値より大きいホストを高リスクのホストとする工程と、
前記ホスト関係図における前記複数台のホスト同士の前記リンク関係に基づいて、前記高リスクのホストと前記異常状態の発生した前記少なくとも1つのホストとの間から少なくとも1つのホスト攻撃経路を捜す工程と、
を備え、
前記異常状態の発生した前記少なくとも1つのホストを前記ホスト関係図にマークする工程は、
前記ホストログセットに基づいて、前記複数台のホストの各々のファイル関係図を示す情報を作成し、前記ファイル関係図が、対応するホストにおける複数のファイルの間のファイルリンク関係を含み、且つ前記複数のファイルの各々がハッシュ値に対応する工程と、
前記ハッシュ値によって、前記ハッシュ値に対応するファイルが悪意データを有するかを判断する工程と、
を含む、
攻撃経路の検出方法。
前記複数台のホストのうち異常状態の発生した少なくとも1つのホストを前記ホスト関係図にマークする工程と、
前記複数台のホストの各々のリスク値を計算する工程と、
前記複数台のホストのうち前記異常状態の発生していないホストに対応する前記リスク値が第1の閾値より大きいかを判断して、前記リスク値が前記第1の閾値より大きいホストを高リスクのホストとする工程と、
前記ホスト関係図における前記複数台のホスト同士の前記リンク関係に基づいて、前記高リスクのホストと前記異常状態の発生した前記少なくとも1つのホストとの間から少なくとも1つのホスト攻撃経路を捜す工程と、
を備え、
前記異常状態の発生した前記少なくとも1つのホストを前記ホスト関係図にマークする工程は、
前記ホストログセットに基づいて、前記複数台のホストの各々のファイル関係図を示す情報を作成し、前記ファイル関係図が、対応するホストにおける複数のファイルの間のファイルリンク関係を含み、且つ前記複数のファイルの各々がハッシュ値に対応する工程と、
前記ハッシュ値によって、前記ハッシュ値に対応するファイルが悪意データを有するかを判断する工程と、
を含む、
攻撃経路の検出方法。
【請求項2】
前記異常状態の発生した前記少なくとも1つのホストを前記ホスト関係図にマークする工程において、
リンク異常検出モデルによって前記複数台のホストの各々の通信量にリンク異常が発生したかを判断して、前記リンク異常の発生したホストを前記異常状態の発生した前記少なくとも1つのホストとする工程を更に含む、
請求項1に記載の攻撃経路の検出方法。
リンク異常検出モデルによって前記複数台のホストの各々の通信量にリンク異常が発生したかを判断して、前記リンク異常の発生したホストを前記異常状態の発生した前記少なくとも1つのホストとする工程を更に含む、
請求項1に記載の攻撃経路の検出方法。
【請求項3】
複数台のトレーニングホストの複数のトレーニング通信量データを含むトレーニング通信量データセットを入力し、且つ前記複数のトレーニング通信量データの各々がそれぞれマーク結果に対応し、前記マーク結果が前記複数台のトレーニングホストの各々の通信量に異常が発生したかを表す工程と、
前記複数のトレーニング通信量データ及び前記複数のトレーニング通信量データの各々に対応する前記マーク結果をトレーニングして、前記リンク異常検出モデルを生成させる工程と、
を更に備える、
請求項2に記載の攻撃経路の検出方法。
前記複数のトレーニング通信量データ及び前記複数のトレーニング通信量データの各々に対応する前記マーク結果をトレーニングして、前記リンク異常検出モデルを生成させる工程と、
を更に備える、
請求項2に記載の攻撃経路の検出方法。
【請求項4】
前記異常状態の発生した前記少なくとも1つのホストを前記ホスト関係図にマークする工程において、
前記悪意データを有しないファイルを正常ファイルとマークし、且つ前記悪意データを有するファイルを悪意ファイルとマークする工程と、
前記悪意ファイルを有するホストを前記異常状態の発生した前記少なくとも1つのホストとする工程、
を含む、
請求項2に記載の攻撃経路の検出方法。
前記悪意データを有しないファイルを正常ファイルとマークし、且つ前記悪意データを有するファイルを悪意ファイルとマークする工程と、
前記悪意ファイルを有するホストを前記異常状態の発生した前記少なくとも1つのホストとする工程、
を含む、
請求項2に記載の攻撃経路の検出方法。
【請求項5】
前記正常ファイルの感染確率値を計算する工程と、
前記ファイル関係図において、前記正常ファイルの前記感染確率値が第2の閾値より大きいかを判断する工程と、
前記ファイル関係図において、前記感染確率値が前記第2の閾値より大きい前記正常ファイルと前記悪意ファイルとの間から少なくとも1つのファイル攻撃経路を捜す工程と、
を更に備える、
請求項4に記載の攻撃経路の検出方法。
前記ファイル関係図において、前記正常ファイルの前記感染確率値が第2の閾値より大きいかを判断する工程と、
前記ファイル関係図において、前記感染確率値が前記第2の閾値より大きい前記正常ファイルと前記悪意ファイルとの間から少なくとも1つのファイル攻撃経路を捜す工程と、
を更に備える、
請求項4に記載の攻撃経路の検出方法。
【請求項6】
前記複数台のホストの各々の前記リスク値を計算する工程において、
順次に前記異常状態の発生していない前記ホストを選択して被選択ホストとする工程と、
前記被選択ホストの第1のリスク指標及び第2のリスク指標に基づいて、対応する前記リスク値を計算し、前記第1のリスク指標は、前記被選択ホストが他のホストにより感染する確率を表し、且つ前記第2のリスク指標は、前記被選択ホストが自身で感染する確率を表す工程と、
を含む、
請求項1〜5の何れか1項に記載の攻撃経路の検出方法。
順次に前記異常状態の発生していない前記ホストを選択して被選択ホストとする工程と、
前記被選択ホストの第1のリスク指標及び第2のリスク指標に基づいて、対応する前記リスク値を計算し、前記第1のリスク指標は、前記被選択ホストが他のホストにより感染する確率を表し、且つ前記第2のリスク指標は、前記被選択ホストが自身で感染する確率を表す工程と、
を含む、
請求項1〜5の何れか1項に記載の攻撃経路の検出方法。
【請求項7】
前記複数台のホスト同士の前記リンク関係に基づいて、前記リンク異常の発生した前記ホストがソース端末ホストを有するかを判断する工程と、
前記リンク異常の発生した前記ホストが前記ソース端末ホストを有する場合、前記ソース端末ホストを前記高リスクのホストとする工程と、
を更に備える、
請求項2に記載の攻撃経路の検出方法。
前記リンク異常の発生した前記ホストが前記ソース端末ホストを有する場合、前記ソース端末ホストを前記高リスクのホストとする工程と、
を更に備える、
請求項2に記載の攻撃経路の検出方法。
【請求項8】
前記ホスト攻撃経路は、前記リンク異常の発生した前記ホスト、前記悪意ファイルを有する前記ホスト及び前記高リスクのホストを含む、
請求項4に記載の攻撃経路の検出方法。
請求項4に記載の攻撃経路の検出方法。
【請求項9】
複数台のホストの各々に対応するログを含むホストログセットを記憶するための記憶装置と、
前記記憶装置に電気的に接続されるプロセッサと、
を備え、
前記プロセッサは、
前記ホストログセットに基づいて、前記複数台のホスト同士のリンク関係を示す情報を作成して、ホスト関係図を生成させるためのホスト関連付け要素と、
前記ホスト関連付け要素に電気的に接続され、前記複数台のホストのうち異常状態の発生した少なくとも1つのホストを前記ホスト関係図にマークするための異常フラグ要素と、
前記異常フラグ要素に電気的に接続され、前記複数台のホストの各々のリスク値を計算し、前記複数台のホストのうち前記異常状態の発生していないホストに対応する前記リスク値が第1の閾値より大きいかを判断して、前記リスク値が前記第1の閾値より大きいホストを高リスクのホストとするためのホスト計算要素と、を含み、
前記ホスト計算要素は、前記ホスト関係図における前記複数台のホスト同士の前記リンク関係に基づいて、前記高リスクのホストと前記異常状態の発生した前記少なくとも1つのホストとの間から少なくとも1つのホスト攻撃経路を捜し、
前記異常フラグ要素は、
前記ホストログセットに基づいて、前記複数台のホストの各々のファイル関係図を示す情報を作成するように構成されており、前記ファイル関係図が、前記複数台のホストの各々に対応する複数のファイルの間のファイルリンク関係を含み、且つ前記複数のファイルの各々が、ハッシュ値に対応するファイルが悪意データを有するかを判断するために用いられるように前記ハッシュ値に対応するファイル関連付け要素、
を含む、
攻撃経路の検出システム。
前記記憶装置に電気的に接続されるプロセッサと、
を備え、
前記プロセッサは、
前記ホストログセットに基づいて、前記複数台のホスト同士のリンク関係を示す情報を作成して、ホスト関係図を生成させるためのホスト関連付け要素と、
前記ホスト関連付け要素に電気的に接続され、前記複数台のホストのうち異常状態の発生した少なくとも1つのホストを前記ホスト関係図にマークするための異常フラグ要素と、
前記異常フラグ要素に電気的に接続され、前記複数台のホストの各々のリスク値を計算し、前記複数台のホストのうち前記異常状態の発生していないホストに対応する前記リスク値が第1の閾値より大きいかを判断して、前記リスク値が前記第1の閾値より大きいホストを高リスクのホストとするためのホスト計算要素と、を含み、
前記ホスト計算要素は、前記ホスト関係図における前記複数台のホスト同士の前記リンク関係に基づいて、前記高リスクのホストと前記異常状態の発生した前記少なくとも1つのホストとの間から少なくとも1つのホスト攻撃経路を捜し、
前記異常フラグ要素は、
前記ホストログセットに基づいて、前記複数台のホストの各々のファイル関係図を示す情報を作成するように構成されており、前記ファイル関係図が、前記複数台のホストの各々に対応する複数のファイルの間のファイルリンク関係を含み、且つ前記複数のファイルの各々が、ハッシュ値に対応するファイルが悪意データを有するかを判断するために用いられるように前記ハッシュ値に対応するファイル関連付け要素、
を含む、
攻撃経路の検出システム。
【請求項10】
前記異常フラグ要素は、リンク異常検出モデルによって前記複数台のホストの各々の通信量にリンク異常が発生したかを判断して、前記リンク異常の発生したホストを前記異常状態の発生した前記少なくとも1つのホストとする、
請求項9に記載の攻撃経路の検出システム。
請求項9に記載の攻撃経路の検出システム。
【請求項11】
前記異常フラグ要素は、
複数台のトレーニングホストの複数のトレーニング通信量データを含むトレーニング通信量データセットを入力するように構成されており、且つ前記複数のトレーニング通信量データの各々がそれぞれマーク結果に対応し、前記マーク結果が前記複数台のトレーニングホストの各々の通信量に異常が発生したかを表し、
前記複数のトレーニング通信量データ及び前記複数のトレーニング通信量データの各々に対応する前記マーク結果をトレーニングして、前記リンク異常検出モデルを生成させるように構成されている、
請求項10に記載の攻撃経路の検出システム。
複数台のトレーニングホストの複数のトレーニング通信量データを含むトレーニング通信量データセットを入力するように構成されており、且つ前記複数のトレーニング通信量データの各々がそれぞれマーク結果に対応し、前記マーク結果が前記複数台のトレーニングホストの各々の通信量に異常が発生したかを表し、
前記複数のトレーニング通信量データ及び前記複数のトレーニング通信量データの各々に対応する前記マーク結果をトレーニングして、前記リンク異常検出モデルを生成させるように構成されている、
請求項10に記載の攻撃経路の検出システム。
【請求項12】
前記異常フラグ要素は、
前記ファイル関連付け要素に電気的に接続され、前記ハッシュ値によって、前記対応するファイルが前記悪意データを有するかを判断し、前記悪意データを有しないファイルを正常ファイルとマークし、前記悪意データを有するファイルを悪意ファイルとマークし、且つ前記悪意ファイルを有するホストを前記異常状態の発生した前記少なくとも1つのホストとする悪意ファイル判断要素、
を含む、
請求項10に記載の攻撃経路の検出システム。
前記ファイル関連付け要素に電気的に接続され、前記ハッシュ値によって、前記対応するファイルが前記悪意データを有するかを判断し、前記悪意データを有しないファイルを正常ファイルとマークし、前記悪意データを有するファイルを悪意ファイルとマークし、且つ前記悪意ファイルを有するホストを前記異常状態の発生した前記少なくとも1つのホストとする悪意ファイル判断要素、
を含む、
請求項10に記載の攻撃経路の検出システム。
【請求項13】
前記異常フラグ要素は、
前記悪意ファイル判断要素に電気的に接続され、前記正常ファイルの感染確率値を計算し、前記ファイル関係図において、前記正常ファイルの前記感染確率値が第2の閾値より大きいかを判断し、且つ、前記ファイル関係図において、前記感染確率値が前記第2の閾値より大きい前記正常ファイルと前記悪意ファイルとの間から少なくとも1つのファイル攻撃経路を捜すためのファイル計算要素を更に含む、
請求項12に記載の攻撃経路の検出システム。
前記悪意ファイル判断要素に電気的に接続され、前記正常ファイルの感染確率値を計算し、前記ファイル関係図において、前記正常ファイルの前記感染確率値が第2の閾値より大きいかを判断し、且つ、前記ファイル関係図において、前記感染確率値が前記第2の閾値より大きい前記正常ファイルと前記悪意ファイルとの間から少なくとも1つのファイル攻撃経路を捜すためのファイル計算要素を更に含む、
請求項12に記載の攻撃経路の検出システム。
【請求項14】
前記ホスト計算要素は、
順次に前記異常状態の発生していない前記ホストを選択して被選択ホストとし、且つ
前記被選択ホストの第1のリスク指標及び第2のリスク指標に基づいて、対応する前記リスク値を計算するように構成されており、前記第1のリスク指標は、前記被選択ホストが他のホストにより感染する確率を表し、且つ前記第2のリスク指標は、前記被選択ホストが自身で感染する確率を表す、
請求項9〜13の何れか1項に記載の攻撃経路の検出システム。
順次に前記異常状態の発生していない前記ホストを選択して被選択ホストとし、且つ
前記被選択ホストの第1のリスク指標及び第2のリスク指標に基づいて、対応する前記リスク値を計算するように構成されており、前記第1のリスク指標は、前記被選択ホストが他のホストにより感染する確率を表し、且つ前記第2のリスク指標は、前記被選択ホストが自身で感染する確率を表す、
請求項9〜13の何れか1項に記載の攻撃経路の検出システム。
【請求項15】
前記ホスト計算要素は、
前記複数台のホスト同士の前記リンク関係に基づいて、前記リンク異常の発生した前記ホストがソース端末ホストを有するかを判断し、前記リンク異常の発生した前記ホストが前記ソース端末ホストを有する場合、前記ソース端末ホストを前記高リスクのホストとする、
請求項10に記載の攻撃経路の検出システム。
前記複数台のホスト同士の前記リンク関係に基づいて、前記リンク異常の発生した前記ホストがソース端末ホストを有するかを判断し、前記リンク異常の発生した前記ホストが前記ソース端末ホストを有する場合、前記ソース端末ホストを前記高リスクのホストとする、
請求項10に記載の攻撃経路の検出システム。
【請求項16】
前記ホスト攻撃経路は、前記リンク異常の発生した前記ホスト、前記悪意ファイルを有する前記ホスト及び前記高リスクのホストを含む、
請求項12に記載の攻撃経路の検出システム。
請求項12に記載の攻撃経路の検出システム。
【請求項17】
少なくとも1つの指令プログラムを含み、プロセッサによって前記少なくとも1つの指令プログラムを実行して、攻撃経路の検出方法を実行する非一時的なコンピュータ読み取り可能な記録媒体において、
複数台のホストの各々に対応するログを含むホストログセットに基づいて、前記複数台のホスト同士のリンク関係を示す情報を作成して、ホスト関係図を生成させる工程と、
前記複数台のホストのうち異常状態の発生した少なくとも1つのホストを前記ホスト関係図にマークし、前記複数台のホストの各々のリスク値を計算する工程と、
前記複数台のホストのうち前記異常状態の発生していないホストに対応する前記リスク値が第1の閾値より大きいかを判断して、前記リスク値が前記第1の閾値より大きいホストを高リスクのホストとする工程と、
前記ホスト関係図における前記複数台のホスト同士の前記リンク関係に基づいて、前記高リスクのホストと前記異常状態の発生した前記少なくとも1つのホストとの間から少なくとも1つの攻撃経路を捜す工程と、
を備え、
前記異常状態の発生した前記少なくとも1つのホストを前記ホスト関係図にマークする工程は、
前記ホストログセットに基づいて、前記複数台のホストの各々のファイル関係図を示す情報を作成し、前記ファイル関係図が、対応するホストにおける複数のファイルの間のファイルリンク関係を含み、且つ前記複数のファイルの各々がハッシュ値に対応する工程と、
前記ハッシュ値によって、前記ハッシュ値に対応するファイルが悪意データを有するかを判断する工程と、
を含む、
非一時的なコンピュータ読み取り可能な記録媒体。
複数台のホストの各々に対応するログを含むホストログセットに基づいて、前記複数台のホスト同士のリンク関係を示す情報を作成して、ホスト関係図を生成させる工程と、
前記複数台のホストのうち異常状態の発生した少なくとも1つのホストを前記ホスト関係図にマークし、前記複数台のホストの各々のリスク値を計算する工程と、
前記複数台のホストのうち前記異常状態の発生していないホストに対応する前記リスク値が第1の閾値より大きいかを判断して、前記リスク値が前記第1の閾値より大きいホストを高リスクのホストとする工程と、
前記ホスト関係図における前記複数台のホスト同士の前記リンク関係に基づいて、前記高リスクのホストと前記異常状態の発生した前記少なくとも1つのホストとの間から少なくとも1つの攻撃経路を捜す工程と、
を備え、
前記異常状態の発生した前記少なくとも1つのホストを前記ホスト関係図にマークする工程は、
前記ホストログセットに基づいて、前記複数台のホストの各々のファイル関係図を示す情報を作成し、前記ファイル関係図が、対応するホストにおける複数のファイルの間のファイルリンク関係を含み、且つ前記複数のファイルの各々がハッシュ値に対応する工程と、
前記ハッシュ値によって、前記ハッシュ値に対応するファイルが悪意データを有するかを判断する工程と、
を含む、
非一時的なコンピュータ読み取り可能な記録媒体。
【手続補正2】
【補正対象書類名】明細書
【補正対象項目名】0004
【補正方法】変更
【補正の内容】
【0004】
本開示内容の第1の態様は、複数台のホストの各々に対応するログを含むホストログセットに基づいて、複数台のホスト同士のリンク関係を示す情報を作成して、ホスト関係図を生成させる工程と、複数台のホストのうち異常状態の発生した少なくとも1つのホストをホスト関係図にマークし、複数台のホストの各々のリスク値を計算する工程と、複数台のホストのうち異常状態の発生していないホストに対応するリスク値が第1の閾値より大きいかを判断して、リスク値が第1の閾値より大きいホストを高リスクのホストとする工程と、ホスト関係図における複数台のホスト同士のリンク関係に基づいて、高リスクのホストと異常状態の発生した少なくとも1つのホストとの間から少なくとも1つのホスト攻撃経路を捜す工程と、を備える攻撃経路の検出方法を提供する。異常状態の発生した少なくとも1つのホストをホスト関係図にマークする工程は、ホストログセットに基づいて、複数台のホストの各々のファイル関係図を示す情報を作成する工程と、ハッシュ値によって、ハッシュ値に対応するファイルが悪意データを有するかを判断する工程と、を含む。ファイル関係図が、対応するホストにおける複数のファイルの間のファイルリンク関係を含み、且つ複数のファイルの各々がハッシュ値に対応する。
【手続補正3】
【補正対象書類名】明細書
【補正対象項目名】0005
【補正方法】変更
【補正の内容】
【0005】
本開示内容の第2の態様は、複数台のホストの各々に対応するログを含むホストログセット及びトレーニング通信量(流量)データセットを記憶するための記憶装置と、記憶装置に電気的に接続されるプロセッサと、を備え、プロセッサは、ホストログセットに基づいて、複数台のホスト同士のリンク関係を示す情報を作成して、ホスト関係図を生成させるためのホスト関連付け要素と、ホスト関連付け要素に電気的に接続され、複数台のホストのうち異常状態の発生した少なくとも1つのホストをホスト関係図にマークするための異常フラグ要素と、異常フラグ要素に電気的に接続され、複数台のホストの各々のリスク値を計算し、複数台のホストのうち異常状態の発生していないホストに対応するリスク値が第1の閾値より大きいかを判断して、リスク値が第1の閾値より大きいホストを高リスクのホストとするためのホスト計算要素と、を含み、ホスト計算要素は、ホスト関係図における複数台のホスト同士のリンク関係に基づいて、高リスクのホストと異常状態の発生した少なくとも1つのホストとの間から少なくとも1つの攻撃経路を捜す攻撃経路の検出システムを提供する。異常フラグ要素は、ホストログセットに基づいて、複数台のホストの各々のファイル関係図を示す情報を作成するためのファイル関連付け要素、を含む。ファイル関係図が、複数台のホストの各々に対応する複数のファイルの間のファイルリンク関係を含み、且つ複数のファイルの各々が、ハッシュ値に対応するファイルが悪意データを有するかを判断するために用いられるようにハッシュ値に対応する。
【手続補正4】
【補正対象書類名】明細書
【補正対象項目名】0006
【補正方法】変更
【補正の内容】
【0006】
本願の第3の態様は、少なくとも1つの指令プログラムを含み、プロセッサによって少なくとも1つの指令プログラムを実行して、攻撃経路の検出方法を実行する非一時のコンピュータ読み取り可能な記録媒体において、複数台のホストの各々に対応するログを含むホストログセットに基づいて、複数台のホスト同士のリンク関係を示す情報を作成して、ホスト関係図を生成させる工程と、複数台のホストのうち異常状態の発生した少なくとも1つのホストをホスト関係図にマークし、複数台のホストの各々のリスク値を計算する工程と、複数台のホストのうち異常状態の発生していないホストに対応するリスク値が第1の閾値より大きいかを判断して、リスク値が第1の閾値より大きいホストを高リスクのホストとする工程と、ホスト関係図における複数台のホスト同士のリンク関係に基づいて、高リスクのホストと異常状態の発生した少なくとも1つのホストとの間から少なくとも1つの攻撃経路を捜す工程と、を備える非一時的なコンピュータ読み取り可能な記録媒体を提供する。異常状態の発生した少なくとも1つのホストをホスト関係図にマークする工程は、ホストログセットに基づいて、複数台のホストの各々のファイル関係図を示す情報を作成する工程と、ハッシュ値によって、ハッシュ値に対応するファイルが悪意データを有するかを判断する工程と、を含む。ファイル関係図が、対応するホストにおける複数のファイルの間のファイルリンク関係を含み、且つ複数のファイルの各々がハッシュ値に対応する。