特許第6656211号(P6656211)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 三菱電機株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 三菱電機株式会社の特許一覧 ▶ 三菱電機インフォメーションネットワーク株式会社の特許一覧

特許6656211情報処理装置、情報処理方法及び情報処理プログラム
<>
  • 特許6656211-情報処理装置、情報処理方法及び情報処理プログラム 図000002
  • 特許6656211-情報処理装置、情報処理方法及び情報処理プログラム 図000003
  • 特許6656211-情報処理装置、情報処理方法及び情報処理プログラム 図000004
  • 特許6656211-情報処理装置、情報処理方法及び情報処理プログラム 図000005
  • 特許6656211-情報処理装置、情報処理方法及び情報処理プログラム 図000006
  • 特許6656211-情報処理装置、情報処理方法及び情報処理プログラム 図000007
  • 特許6656211-情報処理装置、情報処理方法及び情報処理プログラム 図000008
  • 特許6656211-情報処理装置、情報処理方法及び情報処理プログラム 図000009
  • 特許6656211-情報処理装置、情報処理方法及び情報処理プログラム 図000010
  • 特許6656211-情報処理装置、情報処理方法及び情報処理プログラム 図000011
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6656211
(24)【登録日】2020年2月6日
(45)【発行日】2020年3月4日
(54)【発明の名称】情報処理装置、情報処理方法及び情報処理プログラム
(51)【国際特許分類】
   G06F 21/55 20130101AFI20200220BHJP
【FI】
   G06F21/55 320
   G06F21/55 340
【請求項の数】9
【全頁数】15
(21)【出願番号】特願2017-150179(P2017-150179)
(22)【出願日】2017年8月2日
(65)【公開番号】特開2019-28891(P2019-28891A)
(43)【公開日】2019年2月21日
【審査請求日】2019年7月30日
(73)【特許権者】
【識別番号】000006013
【氏名又は名称】三菱電機株式会社
(73)【特許権者】
【識別番号】501158538
【氏名又は名称】三菱電機インフォメーションネットワーク株式会社
(74)【代理人】
【識別番号】110002491
【氏名又は名称】溝井国際特許業務法人
(72)【発明者】
【氏名】大野 一広
(72)【発明者】
【氏名】伊藤 久繁
(72)【発明者】
【氏名】高橋 雅香
【審査官】 吉田 歩
(56)【参考文献】
【文献】 特開2011−76161(JP,A)
【文献】 国際公開第2016/147403(WO,A1)
【文献】 桜井 鐘治 ほか1名,標的型攻撃監視における見える化の提案,2013年 暗号と情報セキュリティシンポジウム概要集,電子情報通信学会,2013年 1月22日,p.1-5
【文献】 馬場 敏文,検知/防御のメカニズムと活用のポイントがすべてわかる IDS/IPS完全教本 基本機能から導入・運用時の留意点まで徹底解説,NETWORK WORLD,日本,(株)IDGジャパン,2008年 3月 1日,第13巻3号,p.70-78
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/55
(57)【特許請求の範囲】
【請求項1】
検知ルールを用いて攻撃活動が検知された場合に、検知された攻撃活動である現在の攻撃活動が検知された際の状況と、前記検知ルールを用いて過去に検知された複数の攻撃活動である複数の過去の攻撃活動のそれぞれが検知された際の状況と、前記検知ルールが前提としている状況とを分析し、分析結果に基づき、前記複数の過去の攻撃活動の中から任意数の攻撃活動を選択する選択部と、
前記選択部により選択された攻撃活動に対して行われた対応処置を提示する対応処置提示部とを有する情報処理装置。
【請求項2】
前記選択部は、
前記現在の攻撃活動が検知された際の状況と前記複数の過去の攻撃活動のそれぞれが検知された際の状況との類似度を分析し、前記複数の過去の攻撃活動のそれぞれが検知された際の状況と前記検知ルールが前提としている状況との類似度を分析する請求項1に記載の情報処理装置。
【請求項3】
前記選択部は、
前記現在の攻撃活動が検知された時刻と前記複数の過去の攻撃活動のそれぞれが検知された時間帯との類似度と、前記現在の攻撃活動が検知された際の通信量と前記複数の過去の攻撃活動のそれぞれが検知された際の通信量との類似度と、前記複数の過去の攻撃活動のそれぞれが検知された時間帯と前記検知ルールが前提とする時間帯との類似度と、前記複数の過去の攻撃活動のそれぞれが検知された際の通信量と前記検知ルールが前提とする通信量との類似度とを分析する請求項1に記載の情報処理装置。
【請求項4】
前記選択部は、
前記複数の過去の攻撃活動のそれぞれのターゲットの機器の種類と、前記検知ルールが前提とするターゲットの機器の種類との類似度を分析する請求項3に記載の情報処理装置。
【請求項5】
前記対応処置提示部は、
前記選択部により前記複数の過去の攻撃活動の中から2以上の攻撃活動が選択された場合に、選択された2以上の攻撃活動の間の序列を決定し、決定した序列に従って、選択された2以上の攻撃活動に対して行われた対応処置を提示する請求項1に記載の情報処理装置。
【請求項6】
前記対応処置提示部は、
選択された2以上の攻撃活動の各々の対応処置の重要度に基づき、選択された2以上の攻撃活動の間の序列を決定する請求項に記載の情報処理装置。
【請求項7】
前記選択部は、
前記現在の攻撃活動の種類と同じ種類の複数の過去の攻撃活動であって、前記現在の攻撃活動のターゲットの機器の種類と同じ種類の機器をターゲットとする複数の過去の攻撃活動のそれぞれが検知された際の状況を分析する請求項1に記載の情報処理装置。
【請求項8】
検知ルールを用いて攻撃活動が検知された場合に、コンピュータが、検知された攻撃活動である現在の攻撃活動が検知された際の状況と、前記検知ルールを用いて過去に検知された複数の攻撃活動である複数の過去の攻撃活動のそれぞれが検知された際の状況と、前記検知ルールが前提としている状況とを分析し、分析結果に基づき、前記複数の過去の攻撃活動の中から任意数の攻撃活動を選択する選択処理と、
前記コンピュータが、前記選択処理により選択された攻撃活動に対して行われた対応処置を提示する対応処置提示処理とを有する情報処理方法。
【請求項9】
検知ルールを用いて攻撃活動が検知された場合に、検知された攻撃活動である現在の攻撃活動が検知された際の状況と、前記検知ルールを用いて過去に検知された複数の攻撃活動である複数の過去の攻撃活動のそれぞれが検知された際の状況と、前記検知ルールが前提としている状況とを分析し、分析結果に基づき、前記複数の過去の攻撃活動の中から任意数の攻撃活動を選択する選択処理と、
前記選択処理により選択された攻撃活動に対して行われた対応処置を提示する対応処置提示処理とをコンピュータに実行させる情報処理プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報システムに対する攻撃活動を検知する技術に関する。
【背景技術】
【0002】
本発明に関連する技術として、特許文献1〜3に開示の技術がある。
【0003】
特許文献1では、サーバーが送信するURL(Uniform Resource Locator)の宛先又は変数値から特徴量が算出され、監視装置が持つシグネチャに類似するURLであるかが判定される。これにより、監視装置が持つシグネチャに完全に一致しないURLの宛先又は変数値を用いた攻撃の通信を検知し、端末やサーバーへの未知の攻撃を検知することが可能である。特許文献1のシグネチャの類似を判定する機能の目的は新たな攻撃パターンを追加することである。
【0004】
特許文献2では、CPU(Central Processing Unit)利用率に代表される計算機のリソース情報がセキュリティ侵害行為で変動することが多いことに着眼し、現在のCPU使用率と過去のCPU使用率の特徴量が算出される。そして、算出結果がリソース情報の条件を記載したルールと合致した場合に、異常と判定される。これにより、大量の様々なログ情報を分析することなく計算機システムへのセキュリティ侵害に対処することが可能である。
【0005】
遠隔からメンテナンス指示を出す際に、監視画像ではメンテナンス箇所を誤りなく指示することが困難であるという課題がある。これに対して特許文献3では、監視対象設備の画像情報と設備のCAD(Computer−Aided Design)情報を組み合わせて座標情報が作成され、座標情報を用いてメンテナンス箇所が指示される。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2013−011949号公報
【特許文献2】特開2016−184358号公報
【特許文献3】特許4661512号
【発明の概要】
【発明が解決しようとする課題】
【0007】
攻撃活動を監視するセキュリティ監視センターでは、アナリストが、検知された攻撃活動への対応処置を決定する。より具体的には、アナリストはセキュリティ監視センターに保管されている過去の攻撃活動の履歴をもとに、検知された攻撃活動に対する対応処置を決定する。ただし、同じ攻撃活動であっても、監視先のネットワークの構成及び対処したアナリストの経験等により異なる対応処置が選択される。このため、同じ攻撃活動に対して対応処置が異なる履歴が複数存在することになる。
経験の浅いアナリストが対応にあたった場合に、対応処置が異なる複数の履歴のうちのどの履歴を参考にすべきかを適切に判断することが困難であるという課題がある。また、複数の履歴から現在の攻撃活動に適した履歴を選択できないと、誤った対応処置がとられ、攻撃活動に有効に対処できないという課題がある。
特許文献1〜3では、これらの課題を解決することはできない。
【0008】
本発明は、上記の課題を解決することを主な目的とする。具体的には、検知された攻撃活動に対して適切な対応処置がとられるようにすることを主な目的する。
【課題を解決するための手段】
【0009】
本発明に係る情報処理装置は、
検知ルールを用いて攻撃活動が検知された場合に、検知された攻撃活動である現在の攻撃活動が検知された際の状況と、前記検知ルールを用いて過去に検知された複数の攻撃活動である複数の過去の攻撃活動のそれぞれが検知された際の状況と、前記検知ルールが前提としている状況とを分析し、分析結果に基づき、前記複数の過去の攻撃活動の中から任意数の攻撃活動を選択する選択部と、
前記選択部により選択された攻撃活動に対して行われた対応処置を提示する対応処置提示部とを有する。
【発明の効果】
【0010】
本発明では、現在の攻撃活動が検知された際の状況と、複数の過去の攻撃活動のそれぞれが検知された際の状況と、検知ルールが前提とする状況とを分析する。そして、本発明では、複数の過去の攻撃活動の中から現在の攻撃活動に適した過去の攻撃活動が選択され、選択した過去の攻撃活動に対する対応処置が提示される。
このため、本発明によれば、アナリストは、検知された攻撃活動に適した対応処置をとることができる。
【図面の簡単な説明】
【0011】
図1】実施の形態1に係るネットワーク構成例を示す図。
図2】実施の形態1に係る攻撃活動分析支援装置の機能構成例を示す図。
図3】実施の形態1に係る攻撃活動分析支援装置の処理の流れを示すフローチャート図。
図4】実施の形態1に係る分析履歴テーブルの例を示す図。
図5】実施の形態1に係る機器管理テーブルの例を示す図。
図6】実施の形態1に係る類似履歴比較テーブルの例を示す図。
図7】実施の形態1に係る選択された分析履歴の例を示す図。
図8】実施の形態1に係るオペレーターへの提示例を示す図。
図9】実施の形態1に係る検知ログの例を示す図。
図10】実施の形態1に係る攻撃活動分析支援装置のハードウェア構成例を示す図。
【発明を実施するための形態】
【0012】
以下、本発明の実施の形態について、図を用いて説明する。以下の実施の形態の説明及び図面において、同一の符号を付したものは、同一の部分または相当する部分を示す。
【0013】
実施の形態1.
***構成の説明***
図1は、本実施の形態に係るネットワーク構成例を示す。
【0014】
本実施の形態では、ファイアウォール11により、外部ネットワーク16と内部ネットワーク18とが区別されている。ファイアウォール11は、外部ネットワーク16とDMZ(DeMilitarized Zone)ネットワーク17と内部ネットワーク18とに接続されている。ファイアウォール11及びDMZネットワーク17により、外部ネットワーク16から内部ネットワーク18への攻撃活動を防ぐことができる。
【0015】
DMZネットワーク17には、侵入検知装置12、プロキシサーバー13及び複数の監視対象14が含まれる。
【0016】
侵入検知装置12はファイアウォール11と接続する。
侵入検知装置12は、ファイアウォール11を通過する外部ネットワーク16とDMZネットワーク17との通信と、外部ネットワーク16と内部ネットワーク18との通信を検知ルールを用いて調査する。そして、侵入検知装置12は、外部ネットワーク16からの攻撃活動を検知した場合に、当該攻撃活動を検知した際の状況が示される検知ログを生成する。
【0017】
プロキシサーバー13は、ファイアウォール11と接続する。
プロキシサーバー13は、内部ネットワーク18内の監視対象15から外部ネットワーク16への通信を中継する。さらに、プロキシサーバー13は、外部ネットワーク16から監視対象15への通信を中継する。
【0018】
監視対象14はファイアウォール11と接続する。
監視対象14にはメールサーバー、Webサーバー等が含まれる。
【0019】
内部ネットワーク1には、複数の監視対象15と攻撃活動分析支援装置01が含まれる。
監視対象15は、ファイアウォール11と接続する。
監視対象15には個人端末、ファイルサーバー、AD(Active Directory)サーバー等が含まれる。
【0020】
攻撃活動分析支援装置01は、内部ネットワーク18に接続し、DMZネットワーク17に接続された監視対象14及び内部ネットワーク18に接続された監視対象15を監視する。
攻撃活動分析支援装置01は、監視対象14及び監視対象15への攻撃活動が検知された際の状況及び対応処置が示される分析履歴を記憶している。分析履歴の詳細は後述する。
外部ネットワーク16からDMZネットワーク17又は内部ネットワーク18に対する攻撃活動が発生した場合に、攻撃活動分析支援装置01は発生した攻撃活動に類似する過去の分析履歴を表示装置10を用いてオペレーターに提示する。
なお、攻撃活動とは、情報セキュリティ上の脅威を発生させるあらゆる活動である。攻撃活動には、各種の不正アクセス、「・・・攻撃」と称される攻撃、これら攻撃の予備動作等が含まれる。
なお、攻撃活動分析支援装置01は情報処理装置に相当する。また、攻撃活動分析支援装置01により行われる動作は、情報処理方法に相当する。
【0021】
図2は、攻撃活動分析支援装置01の機能構成例を示し、図10は、攻撃活動分析支援装置01のハードウェア構成例を示す。
【0022】
本実施の形態に係る攻撃活動分析支援装置01は、コンピュータである。
攻撃活動分析支援装置01は、ハードウェアとして、プロセッサ101、記憶装置102、ネットワークインタフェース103、表示インタフェース104及び入力インタフェース105を備える。
また、攻撃活動分析支援装置01は、機能構成として、警告情報収集部02、監視情報収集部03、分析情報算出部04、警告重要度推定部05、警告情報蓄積部06、監視情報蓄積部07及び分析履歴蓄積部08を備える。
記憶装置102には、警告情報収集部02、監視情報収集部03、分析情報算出部04及び警告重要度推定部05の機能を実現するプログラムが記憶されている。
そして、プロセッサ101がこれらプログラムを実行して、後述する警告情報収集部02、監視情報収集部03、分析情報算出部04及び警告重要度推定部05の動作を行う。
図10では、プロセッサ101が警告情報収集部02、監視情報収集部03、分析情報算出部04及び警告重要度推定部05の機能を実現するプログラムを実行している状態を模式的に表している。
警告情報収集部02、監視情報収集部03、分析情報算出部04及び警告重要度推定部05の機能を実現するプログラムは、情報処理プログラムに相当する。
また、警告情報蓄積部06、監視情報蓄積部07及び分析履歴蓄積部08は、記憶装置102により実現される。
ネットワークインタフェース103は、内部ネットワーク18の通信ケーブルとのインタフェースである。
表示インタフェース104は、表示装置10とのインタフェースである。
入力インタフェース105は、入力装置09とのインタフェースである。
【0023】
図2において、警告情報収集部02は、ネットワークインタフェース103を介して侵入検知装置12から検知ログを収集する。また、警告情報収集部02は、収集した検知ログを警告情報蓄積部06に格納する。
【0024】
監視情報収集部03は、ネットワークインタフェース103を介してプロキシサーバー13からプロキシログを収集する。監視情報収集部03は、収集したプロキシログを監視情報蓄積部07に格納する。
【0025】
分析情報算出部04は、侵入検知装置12により攻撃活動が検知された場合に、検知された攻撃活動である現在の攻撃活動が検知された際の状況と、検知ルールを用いて過去に検知された複数の攻撃活動である複数の過去の攻撃活動のそれぞれが検知された際の状況と、検知ルールが前提としている状況とを分析する。なお、複数の過去の攻撃活動のそれぞれが検知された際の状況は、分析履歴蓄積部08に蓄積されている分析履歴に記載されている。また、検知ルールが前提としている状況が示される情報は、例えば、記憶装置102で記憶されている。
分析情報算出部04は、具体的には、現在の攻撃活動が検知された際の状況と複数の過去の攻撃活動のそれぞれが検知された際の状況との類似度を分析し、また、複数の過去の攻撃活動のそれぞれが検知された際の状況と検知ルールが前提としている状況との類似度を分析する。例えば、分析情報算出部04は、現在の攻撃活動が検知された時刻と複数の過去の攻撃活動のそれぞれが検知された時間帯との類似度を分析する。また、分析情報算出部04は、現在の攻撃活動が検知された際の通信量と複数の過去の攻撃活動のそれぞれが検知された際の通信量との類似度を分析する。また、分析情報算出部04は、複数の過去の攻撃活動のそれぞれが検知された時間帯と検知ルールが前提とする時間帯との類似度を分析する。また、分析情報算出部04は、複数の過去の攻撃活動のそれぞれが検知された際の通信量と検知ルールが前提とする通信量との類似度を分析する。更に、分析情報算出部04は、複数の過去の攻撃活動のそれぞれのターゲットの機器の種類と検知ルールが前提とするターゲットの機器の種類との類似度を分析する。
そして、分析情報算出部04は、分析結果に基づき、複数の過去の攻撃活動の中から任意数の攻撃活動を選択する。
分析情報算出部04は選択部に相当する。また、分析情報算出部04により行われる処理は、選択処理に相当する。
【0026】
警告重要度推定部05は、分析情報算出部04により選択された攻撃活動に対して行われた対応処置を表示装置10を通じてオペレーターに提示する。
分析情報算出部04により2以上の攻撃活動が選択された場合に、警告重要度推定部05は、選択された2以上の攻撃活動の間の序列を決定する。警告重要度推定部05は、例えば、選択された2以上の攻撃活動の各々の対応処置の重要度に基づき、選択された2以上の攻撃活動の間の序列を決定する。そして、警告重要度推定部05は、決定した序列に従って、選択された2以上の攻撃活動に対して行われた対応処置を提示する。
警告重要度推定部05は、対応処置提示部に相当する。また、警告重要度推定部05により行われる処理は、対応処置提示処理に相当する。
【0027】
警告情報蓄積部06は、検知ログを蓄積する。
【0028】
監視情報蓄積部07は、プロキシログを蓄積する。
【0029】
分析履歴蓄積部08は、分析履歴を蓄積する。
【0030】
次に、本実施の形態で扱われるデータを説明する。
【0031】
図4は、分析情報算出部04が生成する分析履歴テーブル203の例を示す。
【0032】
図4に示すように、分析履歴テーブル203には、過去の攻撃活動を分析した結果である分析履歴が複数含まれる。図4の各レコードが分析履歴である。各分析履歴には、分析履歴番号、警告名、発生時間帯、対応処置、解析情報が含まれる。
【0033】
分析履歴番号は、分析情報算出部04により自動的に設定される通し番号である。
対応処置は、攻撃活動分析支援装置01のオペレーターにより指定される。
【0034】
警告名、発生時間帯は、侵入検知装置12から送信された検知ログから生成される。侵入検知装置12は、外部ネットワーク16から内部ネットワーク18への通信を検知ルールを用いて解析し、攻撃活動を検知した場合に、検知ルールに基づき、攻撃活動の種類を特定する。侵入検知装置12は、検知した攻撃の種類が、例えば、Dos攻撃、ポートスキャン、ファイル送信のうちのいずれであるかを特定する。そして、侵入検知装置12は、特定した攻撃の種類を警告名として検知ログに含ませる。また、侵入検知装置12は、攻撃活動を検知した日時を検知ログに含ませる。
また、解析情報の値も、検知ログから生成される。例えば、侵入検知装置12は、攻撃活動に用いられる通信データの送信先のIPアドレスから攻撃活動の通信先を特定し、特定した通信先の種類を検知ログに含ませる。また、侵入検知装置12は、攻撃活動に用いられる通信データの送信先のIPアドレスのみを検知ログに含ませるようにしてもよい。この場合は、分析情報算出部04が検知ログに含まれる送信先のIPアドレスから通信先の種類を特定する。より具体的には、分析情報算出部04は図5に例示する機器管理テーブル204を用いて通信先の種類を特定する。図5の機器管理テーブル204には、監視対象14及び監視対象15のそれぞれを構成する機器のIPアドレスが示され、IPアドレスごとに、各機器の用途が示される。機器の用途はメールサーバー、Webサーバー、個人端末、ファイルサーバー、ADサーバー等である。分析情報算出部04は、検知ログで示される送信先のIPアドレスを機器管理テーブル204と照合して、通信先の種類を特定する。
また、侵入検知装置12は、攻撃活動を検知した際のDMZネットワーク17または内部ネットワーク18の通信量を検知ログに含ませる。
なお、侵入検知装置12は、通信先の種類及び通信量の少なくともいずれか特定しなくてもよい。つまり、侵入検知装置12は、通信先の種類及び通信量の少なくともいずれかを検知ログに含めなくてもよい。この場合は、分析情報算出部04は、プロキシログから解析情報を生成する。
つまり、プロキシサーバー13は、通信先の種類及び攻撃活動が検知された際の通信量を特定し、特定した通信先の種類及び通信量をプロキシログに記載してもよい。
【0035】
図6は、類似履歴比較テーブル205の例を示す。
【0036】
図6に示すように、類似履歴比較テーブル205は、分析履歴番号、検知ルールが前提とする状況、過去の攻撃活動の検知時の状況で構成される。
分析履歴番号は、図5の分析履歴番号を示す。
「検知ルールが前提とする状況」では、検知ルールが生成される際に前提とされた状況が示される。図6の例では、DoS攻撃を検知するための検知ルールが前提とする状況が示される。「検知ルールが前提とする状況」は、例えば、時間帯と通信量とターゲットの機器である。図6の例では、DoS攻撃が発生する時間帯が「10:00−12:00」であり、また、DoS攻撃が発生する際の通信量が5000アクセス/分であり、また、DoS攻撃がターゲットにする機器がWebサーバーであるとの前提で、DoS攻撃を検知するための検知ルールが生成されている。
「過去の攻撃活動の検知時の状況」では、DoS攻撃と判定された過去の攻撃活動、すなわち、Dos攻撃を検知するための検知ルールが適用されて検知された過去の攻撃活動の検知時の状況が示される。「過去の攻撃活動の検知時の状況」は、例えば、時間帯と通信量とターゲットの機器である。分析履歴番号:1のDoS攻撃が検知された時間帯は「10:00−12:00」であり、当該DoS攻撃が検知された際の通信量は5500アクセス/分であり、また、当該DoS攻撃がターゲットにした機器はWebサーバーである。
類似履歴比較テーブル205は、過去の攻撃活動ごとに、検知ルールが前提とする状況と、各攻撃活動が検知された際の状況との比較に用いられる。
【0037】
図6は、DoS攻撃についての類似履歴比較テーブル205を示すが、他の攻撃活動(ポートスキャン、ファイル送信等)についても、同様の類似履歴比較テーブル205が存在する。
【0038】
図9は、侵入検知装置12が新たに攻撃活動を検知した際に侵入検知装置12から攻撃活動分析支援装置01に送信される検知ログ301の例を示す。
【0039】
検知ログ301は、警告名、発生日時及び解析情報で構成される。
警告名、発生日時及び解析情報のそれぞれの意味は、図4に示すものと同じである。
図4に示す警告名、発生日時及び解析情報は、過去に検知された過去の攻撃活動の属性であるのに対し、図9に示す警告名、発生日時及び解析情報は、新たに検知された現在の攻撃活動の属性である。
図9では、解析情報の値も検知ログ301として侵入検知装置12から送信される例を示すが、前述したように、解析情報の値はプロキシログとしてプロキシサーバー13から送信されてもよい。
【0040】
***動作の説明***
次に、本実施の形態に係る攻撃活動分析支援装置01の動作例を説明する。
図3は、攻撃活動分析支援装置01の動作例を示すフローチャートである。
【0041】
図4に示す分析履歴テーブル203が分析履歴蓄積部08に蓄積されていなければ、分析情報算出部04が初期設定として、分析履歴テーブル203を生成する(ステップS001)。
また、分析情報算出部04は、必要であれば、監視対象14と監視対象15の機器管理テーブル204を生成する。
【0042】
警告情報収集部02は侵入検知装置12から定期的に検知ログを受信し、受信した検知ログを警告情報蓄積部06に格納する(ステップS002)。
侵入検知装置12は、攻撃活動を検知していない場合にも検知ログを定期的に送信する。侵入検知装置12は、攻撃活動を検知していない場合は、攻撃活動を検知した場合の検知ログとは異なる検知ログを送信する。例えば、侵入検知装置12は、図9の警告名の欄が空欄の検知ログを送信する。
警告情報収集部02は、受信した検知ログが攻撃活動の検知を通知する検知ログが否かを判定する(ステップS003)。例えば、警告情報収集部02は、受信した検知ログの警告名の欄に値が設定されているか否かを判定する。
受信した検知ログが攻撃活動の検知を通知する検知ログであれば、処理がステップS004に移行する。一方、受信した検知ログが攻撃活動の検知を通知する検知ログでなければ、処理がステップS002に戻る。
ここでは、警告情報収集部02が図9に示す検知ログ301を受信したと仮定する。つまり、侵入検知装置12によりDoS攻撃が検知されたものとする。
【0043】
ステップS003がYESの場合、すなわち、侵入検知装置12において攻撃活動が検知された場合は、警告情報収集部02は、侵入検知装置12から受信した検知ログを分析情報算出部04に出力する。
分析情報算出部04は、分析履歴蓄積部08から、警告情報収集部02から取得した検知ログに示される警告名に対応する分析履歴テーブル203を取得する(ステップS004)。具体的には、分析情報算出部04は、図9の検知ログ301の警告名であるDoS攻撃に対応する図4の分析履歴テーブル203を取得する。
【0044】
次に、分析情報算出部04は、分析履歴テーブル203から、検知ログに示される通信先と共通の通信先が示される分析履歴を抽出する(ステップS005)。
図4の例では、分析情報算出部04は、通信先がWebサーバーである分析履歴番号1、3、4、5、10の分析履歴を抽出する。
【0045】
次に、分析情報算出部04は、ステップS005で抽出した分析履歴の類似度を分析する(ステップS006)。
類似度の分析には、類似履歴比較テーブル205が用いられる。具体的には、分析情報算出部04は、検知ログに示される現在の攻撃活動が検知された時刻と、分析履歴番号1、3、4、5、10の「過去の攻撃活動の検知時の状況」の「発生時間帯」に示される時間帯との類似度を算出する。また、分析情報算出部04は、検知ログに示される現在の攻撃活動が検知された際の通信量と分析履歴番号1、3、4、5、10の「過去の攻撃活動の検知時の状況」の「通信量」に示される通信量との類似度を算出する。また、分析情報算出部04は、分析履歴番号1、3、4、5、10の「過去の攻撃活動の検知時の状況」の「発生時間帯」に示される時間帯と「検知ルールが前提とする状況」の「発生時間帯」に示される時間帯との類似度を算出する。また、分析情報算出部04は、分析履歴番号1、3、4、5、10の「過去の攻撃活動の検知時の状況」の「通信量」に示される通信量と「検知ルールが前提とする状況」の「通信量」に示される通信量との類似度を算出する。更に、分析情報算出部04は、分析履歴番号1、3、4、5、10の「過去の攻撃活動の検知時の状況」の「ターゲット」に示される機器の種類と「検知ルールが前提とする状況」「ターゲット」に示される機器の種類との類似度を算出する。
【0046】
図9の検知ログ301では、発生時刻は「10:18」であり、通信量は「5500アクセス/分」である。このため、現在の攻撃活動との関係では、分析履歴番号1、3、4に高い類似度が付与される。また、図6の「検知ルールが前提とする状況」では発生時間帯は「10:00−12:00」であり、「通信量」は「5000」であり、「ターゲット」は「Web」である。このため、検知ルールとの関係でも、分析履歴番号1、3、4に高い類似度が付与される。なお、本実施の形態では、類似度の算出方法自体は問わない。
この結果、図6の例では、分析情報算出部04は、新規に発生した検知ログの分析に適した履歴として、類似度の高い分析履歴番号1、3、4の分析履歴を選択する。
そして、分析情報算出部04は、分析履歴番号1、3、4の分析履歴(図4の該当するレコード)を警告重要度推定部05に出力する。
【0047】
警告重要度推定部05は、分析情報算出部04から分析履歴を取得し、取得した分析履歴の重要度に従って、取得した分析履歴を表示装置10を介してオペレーターに提示する(ステップS007)。
警告重要度推定部05は、分析情報算出部04から取得した分析履歴が一つである場合は、取得した分析履歴を表示装置10を介してオペレーターに提示する。
一方、分析情報算出部04から取得した分析履歴が複数である場合は、警告重要度推定部05は、分析履歴の重要度を判定する。そして、警告重要度推定部05は、重要度の順に複数の分析履歴の間の序列を決定し、決定した序列に従って、複数の分析履歴を表示装置10を介してオペレーターに提示する。
分析履歴の重要度の判定方法は以下のとおりである。
まず、警告重要度推定部05は、分析履歴内の「対応処置」に記載された対策の要否の項目から、対策が必要であった分析履歴を上位に並べ替える。次に分析履歴内の「対応処置」に記載された処置内容の項目に「客先に通報」が記載されている分析履歴を上位に並べ替える。
図7は、警告重要度推定部05に通知された分析履歴の順序を示す。図7の例では、分析履歴番号1、3、4の順序で分析情報算出部04から警告重要度推定部05に通知されている。
図8は、警告重要度推定部05により順序が変更されたのちの分析履歴の順序を示す。図8の例では、分析歴番号3、1、4の順序に変更されている。つまり、「客先に通報」が記載されている分析履歴番号3の分析履歴が最も重要度が高く、「対策要」が記載されている分析履歴番号1の分析履歴が2番目に重要度が高い。
警告重要度推定部05は、図8に示す順序で複数の分析履歴をオペレーターに提示する。
オペレーターは、警告重要度推定部05から提示された分析履歴の「対応処置」の欄の記載を参考に、新たに検知された現在の攻撃活動に対する対応処置を検討することができる。
なお、新たに検知された現在の攻撃活動に対する対応処置がオペレーターにより決定された後に、分析情報算出部04は、図9の検知ログ301の記載内容とオペレータにより決定された対応処置とが示される新たなレコードを分析履歴テーブル203に追加する。
【0048】
***実施の形態の効果の説明***
このように、本実施の形態では、現在の攻撃活動が検知された際の状況と、複数の過去の攻撃活動のそれぞれが検知された際の状況と、検知ルールが前提とする状況とを分析する。そして、本実施の形態では、複数の過去の攻撃活動の中から現在の攻撃活動に適した過去の攻撃活動が選択され、選択された過去の攻撃活動に対する対応処置が提示される。このため、本実施の形態によれば、経験の浅いアナリスト(オペレーター)であっても、現在の攻撃活動に適した対応処置をとることができる。
【0049】
***ハードウェア構成の説明***
最後に、攻撃活動分析支援装置01のハードウェア構成の補足説明を行う。
図10に示すプロセッサ101は、プロセッシングを行うIC(Integrated Circuit)である。
プロセッサ101は、CPU、DSP(Digital Signal Processor)等である。
図3に示す記憶装置102は、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ、HDD(Hard Disk Drive)等である。
図3に示すネットワークインタフェース103は、データの通信処理を実行する電子回路である。
ネットワークインタフェース103は、例えば、通信チップ又はNIC(Network Interface Card)である。
【0050】
また、記憶装置102には、OS(Operating System)も記憶されている。
そして、OSの少なくとも一部がプロセッサ101により実行される。
プロセッサ101はOSの少なくとも一部を実行しながら、警告情報収集部02、監視情報収集部03、分析情報算出部04及び警告重要度推定部05の機能を実現するプログラムを実行する。
プロセッサ101がOSを実行することで、タスク管理、メモリ管理、ファイル管理、通信制御等が行われる。
また、警告情報収集部02、監視情報収集部03、分析情報算出部04及び警告重要度推定部05の処理の結果を示す情報、データ、信号値及び変数値の少なくともいずれかが、記憶装置102、プロセッサ101内のレジスタ及びキャッシュメモリの少なくともいずれかに記憶される。
また、警告情報収集部02、監視情報収集部03、分析情報算出部04及び警告重要度推定部05の機能を実現するプログラムは、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD等の可搬記憶媒体に記憶されてもよい。
【0051】
また、警告情報収集部02、監視情報収集部03、分析情報算出部04及び警告重要度推定部05の「部」を、「回路」又は「工程」又は「手順」又は「処理」に読み替えてもよい。
また、攻撃活動分析支援装置01は、処理回路により実現されてもよい。処理回路は、例えば、ロジックIC(Integrated Circuit)、GA(Gate Array)、ASIC(Application Specific Integrated Circuit)、FPGA(Field−Programmable Gate Array)である。
この場合は、警告情報収集部02、監視情報収集部03、分析情報算出部04及び警告重要度推定部05は、それぞれ処理回路の一部として実現される。
なお、本明細書では、プロセッサと、メモリと、プロセッサとメモリの組合せと、処理回路との上位概念を、「プロセッシングサーキットリー」という。
つまり、プロセッサと、メモリと、プロセッサとメモリの組合せと、処理回路とは、それぞれ「プロセッシングサーキットリー」の具体例である。
【符号の説明】
【0052】
01 攻撃活動分析支援装置、02 警告情報収集部、03 監視情報収集部、04 分析情報算出部、05 警告重要度推定部、06 警告情報蓄積部、07 監視情報蓄積部、08 分析履歴蓄積部、09 入力装置、10 表示装置、11 ファイアウォール、12 侵入検知装置、13 プロキシサーバー、14 監視対象、15 監視対象、16 外部ネットワーク、17 DMZネットワーク、18 内部ネットワーク、101 プロセッサ、102 記憶装置、103 ネットワークインタフェース、104 表示インタフェース、105 入力インタフェース。
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.