知財求人 - 知財ポータルサイト「IP Force」
▶ KDDI株式会社の特許一覧 ▶ KDDIデジタルセキュリティ株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023023456
(43)【公開日】2023-02-16
(54)【発明の名称】攻撃検知装置、攻撃検知方法及び攻撃検知プログラム
(51)【国際特許分類】
G06F 21/55 20130101AFI20230209BHJP
【FI】
G06F21/55 320
【審査請求】未請求
【請求項の数】13
【出願形態】OL
(21)【出願番号】P 2021129017
(22)【出願日】2021-08-05
(71)【出願人】
【識別番号】000208891
【氏名又は名称】KDDI株式会社
(71)【出願人】
【識別番号】519429510
【氏名又は名称】KDDIデジタルセキュリティ株式会社
(74)【代理人】
【識別番号】100106002
【弁理士】
【氏名又は名称】正林 真之
(74)【代理人】
【識別番号】100120891
【弁理士】
【氏名又は名称】林 一好
(72)【発明者】
【氏名】松中 隆志
(72)【発明者】
【氏名】渡辺 龍
(72)【発明者】
【氏名】窪田 歩
(72)【発明者】
【氏名】浦川 順平
(57)【要約】
【課題】ネットワーク上で行われる種々の攻撃について早期に検知することが可能とすること。
【解決手段】攻撃検知装置1は、ネットワーク上で実行される攻撃について分析するための分析対象データを受領し、前記分析対象データに、攻撃の属性に関連する情報である攻撃関連情報を付与するように構成されている攻撃関連情報付与部11と、前記攻撃関連情報が付与された前記分析対象データについて、前記攻撃関連情報のうちの所定の項目ごとに観測件数を集計し、集計した前記観測件数を時系列データとして記録するように構成されている集計部12と、前記時系列データに対して時系列分析を行い、その時系列傾向に所定の変化が生じたと判定した場合、前記攻撃が発生したと判定して、判定の原因となった前記時系列データと攻撃関連情報とを出力するように構成されている検知部13とを備える。
【選択図】図1
【解決手段】攻撃検知装置1は、ネットワーク上で実行される攻撃について分析するための分析対象データを受領し、前記分析対象データに、攻撃の属性に関連する情報である攻撃関連情報を付与するように構成されている攻撃関連情報付与部11と、前記攻撃関連情報が付与された前記分析対象データについて、前記攻撃関連情報のうちの所定の項目ごとに観測件数を集計し、集計した前記観測件数を時系列データとして記録するように構成されている集計部12と、前記時系列データに対して時系列分析を行い、その時系列傾向に所定の変化が生じたと判定した場合、前記攻撃が発生したと判定して、判定の原因となった前記時系列データと攻撃関連情報とを出力するように構成されている検知部13とを備える。
【選択図】図1
【特許請求の範囲】
【請求項1】
ネットワーク上で実行される攻撃について分析するための分析対象データを受領し、前記分析対象データに、攻撃の属性に関連する情報である攻撃関連情報を付与するように構成されている攻撃関連情報付与部と、
前記攻撃関連情報が付与された前記分析対象データについて、前記攻撃関連情報のうちの所定の項目ごとに観測件数を集計し、集計した前記観測件数を時系列データとして記録するように構成されている集計部と、
前記時系列データに対して時系列分析を行い、その時系列傾向に所定の変化が生じたと判定した場合、前記攻撃が発生したと判定して、判定の原因となった前記時系列データと攻撃関連情報とを出力するように構成されている検知部と、を備えている攻撃検知装置。
前記攻撃関連情報が付与された前記分析対象データについて、前記攻撃関連情報のうちの所定の項目ごとに観測件数を集計し、集計した前記観測件数を時系列データとして記録するように構成されている集計部と、
前記時系列データに対して時系列分析を行い、その時系列傾向に所定の変化が生じたと判定した場合、前記攻撃が発生したと判定して、判定の原因となった前記時系列データと攻撃関連情報とを出力するように構成されている検知部と、を備えている攻撃検知装置。
【請求項2】
前記検知部は、所定期間に記録された前記時系列データに基づいて分析対象とする期間における前記時系列データの推定値を算出し、当該推定値に基づいて設定された閾値により前記時系列傾向に変化があるか判定する、請求項1に記載の攻撃検知装置。
【請求項3】
ネットワーク上の攻撃に対する脆弱性を示す脆弱性情報を、前記検知部から出力される前記攻撃関連情報に基づいて検索し、前記攻撃関連情報と関連を有する脆弱性情報があると判定した場合、当該脆弱性情報を出力するように構成されている深刻度推定部を備えている、請求項1又は2に記載の攻撃検知装置。
【請求項4】
前記脆弱性情報と関連付けられた、当該脆弱性情報の深刻度を示す情報である深刻度情報を保持しており、前記深刻度推定部は、検索された前記脆弱性情報に関連付けられている深刻度情報を出力する、請求項3に記載の攻撃検知装置。
【請求項5】
前記深刻度情報として、前記攻撃関連情報に基づいて算出される、共通脆弱性評価システムの現状評価基準による現状値を用いる、請求項4に記載の攻撃検知装置。
【請求項6】
前記分析対象データには、ネットワークから取得されるトラフィックデータ、又はネットワーク上の監視装置から出力される監視データログが含まれる、請求項1から5までのいずれか一項に記載の攻撃検知装置。
【請求項7】
情報処理装置が、
ネットワーク上で実行される攻撃について分析するための分析対象データを受領し、前記分析対象データに、攻撃の属性に関連する情報である攻撃関連情報を付与し、
前記攻撃関連情報が付与された前記分析対象データについて、前記攻撃関連情報のうちの所定の項目ごとに観測件数を集計し、集計した前記観測件数を時系列データとして記録し、
前記時系列データに対して時系列分析を行い、その時系列傾向に所定の変化が生じたと判定した場合、前記攻撃が発生したと判定して、判定の原因となった前記時系列データと攻撃関連情報とを出力する、攻撃検知方法。
ネットワーク上で実行される攻撃について分析するための分析対象データを受領し、前記分析対象データに、攻撃の属性に関連する情報である攻撃関連情報を付与し、
前記攻撃関連情報が付与された前記分析対象データについて、前記攻撃関連情報のうちの所定の項目ごとに観測件数を集計し、集計した前記観測件数を時系列データとして記録し、
前記時系列データに対して時系列分析を行い、その時系列傾向に所定の変化が生じたと判定した場合、前記攻撃が発生したと判定して、判定の原因となった前記時系列データと攻撃関連情報とを出力する、攻撃検知方法。
【請求項8】
前記情報処理装置が、所定期間に記録された前記時系列データに基づいて分析対象とする期間における前記時系列データの推定値を算出し、当該推定値に基づいて設定された閾値により前記時系列傾向に変化があるか判定する、請求項7に記載の攻撃検知方法。
【請求項9】
前記情報処理装置が、ネットワーク上の攻撃に対する脆弱性を示す脆弱性情報を、前記攻撃関連情報に基づいて検索し、前記攻撃関連情報と関連を有する脆弱性情報があると判定した場合、当該脆弱性情報を出力する、請求項7又は8に記載の攻撃検知方法。
【請求項10】
前記情報処理装置が、前記脆弱性情報と関連付けられた、当該脆弱性情報の深刻度を示す情報である深刻度情報を保持しており、検索された前記脆弱性情報に関連付けられている深刻度情報を出力する、請求項9に記載の攻撃検知方法。
【請求項11】
前記深刻度情報として、前記攻撃関連情報に基づいて算出される、共通脆弱性評価システムの現状評価基準による現状値を用いる、請求項10に記載の攻撃検知方法。
【請求項12】
前記分析対象データには、ネットワークから取得されるトラフィックデータ、又はネットワーク上の監視装置から出力される監視データログが含まれる、請求項7から11までのいずれか一項に記載の攻撃検知方法。
【請求項13】
情報処理装置に、
ネットワーク上で実行される攻撃について分析する対象となる分析対象データを受領し、前記分析対象データに、攻撃の属性に関連する情報である攻撃関連情報を付与し、
前記攻撃関連情報が付与された前記分析対象データについて、前記攻撃関連情報のうちの所定の項目ごとの観測件数を集計し、集計した前記観測件数を時系列データとして記録し、
前記時系列データに対して時系列分析を行い、その時系列傾向に所定の変化が生じたと判定した場合、前記攻撃が発生したと判定して、判定の原因となった前記時系列データと攻撃関連情報とを出力する処理を実行させる、攻撃検知プログラム。
ネットワーク上で実行される攻撃について分析する対象となる分析対象データを受領し、前記分析対象データに、攻撃の属性に関連する情報である攻撃関連情報を付与し、
前記攻撃関連情報が付与された前記分析対象データについて、前記攻撃関連情報のうちの所定の項目ごとの観測件数を集計し、集計した前記観測件数を時系列データとして記録し、
前記時系列データに対して時系列分析を行い、その時系列傾向に所定の変化が生じたと判定した場合、前記攻撃が発生したと判定して、判定の原因となった前記時系列データと攻撃関連情報とを出力する処理を実行させる、攻撃検知プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク上での攻撃を検知するための装置、方法及びプログラムに関する。
【背景技術】
【0002】
ネットワーク上にある特定のサーバ等を標的として大量のトラフィックを送信して攻撃し、その動作を阻害するDDoS攻撃等のアクティビティが問題となっている。ネットワーク上の攻撃を早期に発見するための技術は、例えば非特許文献1に開示されている。
非特許文献1では、複数拠点に設置したハニーポットが受信したトラフィックについての情報に関し、その時系列傾向の変化に基づいて、新種の脆弱性の探索活動(スキャン)を検知する手法を提案している。具体的には、複数のハニーポットから定期的にログ情報を収集し、データベースに登録する。ログ情報には、通信プロトコル、送信元IPアドレス、送信先ポート番号、アクセス数、単位時間当たりの受信パケット数等の情報が含まれる。登録されたログ情報に基づいて、ハニーポットごとに通信プロトコル、送信先ポート番号のアクセス数、単位時間当たり受信パケット数の最大値を集計し、時系列データを作成する。そのデータの時系列傾向の変化は、例えば二段階学習とSDAR(Sequentially Discounting Auto Regressive learning)アルゴリズムを用いるChangeFinderにより変化点として検知される。ChangeFinderの適用により検知された変化点は、新種の可能性のある攻撃、あるいは攻撃傾向の変化が生じたものと推定することができる。新種スキャンは、単位時間当たりの受信パケット数に基づいて検知することができ、これにより攻撃者が新たに実行するDDoS攻撃を早期に発見して対策することが可能となるとしている。
非特許文献1では、複数拠点に設置したハニーポットが受信したトラフィックについての情報に関し、その時系列傾向の変化に基づいて、新種の脆弱性の探索活動(スキャン)を検知する手法を提案している。具体的には、複数のハニーポットから定期的にログ情報を収集し、データベースに登録する。ログ情報には、通信プロトコル、送信元IPアドレス、送信先ポート番号、アクセス数、単位時間当たりの受信パケット数等の情報が含まれる。登録されたログ情報に基づいて、ハニーポットごとに通信プロトコル、送信先ポート番号のアクセス数、単位時間当たり受信パケット数の最大値を集計し、時系列データを作成する。そのデータの時系列傾向の変化は、例えば二段階学習とSDAR(Sequentially Discounting Auto Regressive learning)アルゴリズムを用いるChangeFinderにより変化点として検知される。ChangeFinderの適用により検知された変化点は、新種の可能性のある攻撃、あるいは攻撃傾向の変化が生じたものと推定することができる。新種スキャンは、単位時間当たりの受信パケット数に基づいて検知することができ、これにより攻撃者が新たに実行するDDoS攻撃を早期に発見して対策することが可能となるとしている。
【先行技術文献】
【非特許文献】
【0003】
【非特許文献1】山村 翔、熊谷 充敏、神谷 和憲、倉上 弘、「変化点検知を用いた新種スキャンの早期発見手法の検討」、コンピュータセキュリティシンポジウム2017論文集、2017年10月、pp.823-830
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、非特許文献1の提案手法では、ハニーポットで観測されたトラフィック自体に関連するデータ、例えば送信元IPアドレス、送信先ポート番号、単位時間当たりの受信パケット数等のデータのみについて集計してその時系列傾向の変化に基づいて新種スキャンを検知している。したがって、確かにDDoS攻撃の早期検知には有用であるとしても、ネットワーク上で行われるそれ以外の攻撃を早期検知するのに広く適用するのは事実上困難であるという問題があった。
【0005】
本発明の目的の一つは、ネットワーク上で行われる種々の攻撃について早期に検知することを可能とする攻撃検知装置、攻撃検知方法及び攻撃検知プログラムを提供することである。
【課題を解決するための手段】
【0006】
本発明の一つに係る攻撃検知装置は、ネットワーク上で実行される攻撃について分析するための分析対象データを受領し、前記分析対象データに、攻撃の属性に関連する情報である攻撃関連情報を付与するように構成されている攻撃関連情報付与部と、前記攻撃関連情報が付与された前記分析対象データについて、前記攻撃関連情報のうちの所定の項目ごとに観測件数を集計し、集計した前記観測件数を時系列データとして記録するように構成されている集計部と、前記時系列データに対して時系列分析を行い、その時系列傾向に所定の変化が生じたと判定した場合、前記攻撃が発生したと判定して、判定の原因となった前記時系列データと攻撃関連情報とを出力するように構成されている検知部と、を備えている。
【0007】
前記検知部は、所定期間に記録された前記時系列データに基づいて分析対象とする期間における前記時系列データの推定値を算出し、当該推定値に基づいて設定された閾値により前記時系列傾向に変化があるか判定するとしてもよい。
【0008】
ネットワーク上の攻撃に関連する脆弱性を示す脆弱性情報を、前記検知部から出力される前記攻撃関連情報に基づいて検索し、前記攻撃関連情報と関連を有する脆弱性情報があると判定した場合、当該脆弱性情報を出力するように構成されている深刻度推定部を備えているとしてもよい。
【0009】
前記脆弱性情報と関連付けられた、当該脆弱性情報の深刻度を示す情報である深刻度情報を保持しており、前記深刻度推定部は、検索された前記脆弱性情報に関連付けられている深刻度情報を出力するとしてもよい。
【0010】
前記深刻度情報として、前記攻撃関連情報に基づいて算出される、共通脆弱性評価システムの現状評価基準による現状値を用いるとしてもよい。
【0011】
前記分析対象データは、ネットワークから取得されるトラフィックデータ、又はネットワーク上の監視装置から出力される監視データログのいずれかであってよい。
【0012】
本発明の他の態様に係る攻撃検知方法では、情報処理装置が、ネットワーク上で実行される攻撃について分析するための分析対象データを受領し、前記分析対象データに、攻撃の属性に関連する情報である攻撃関連情報を付与し、前記攻撃関連情報が付与された前記分析対象データについて、前記攻撃関連情報のうちの所定の項目ごとに観測件数を集計し、集計した前記観測件数を時系列データとして記録し、前記時系列データに対して時系列分析を行い、その時系列傾向に所定の変化が生じたと判定した場合、前記攻撃が発生したと判定して、判定の原因となった前記時系列データと攻撃関連情報とを出力する。
【0013】
本発明の他の態様に係る攻撃検知プログラムは、前記攻撃検知装置としてコンピュータを機能させるためのものである。
【発明の効果】
【0014】
本発明によれば、ネットワーク上で行われる種々の攻撃について早期に検知することが可能となる。
【図面の簡単な説明】
【0015】
【図1】本発明の一実施形態における攻撃検知装置の機能構成を例示する図である。
【図2】一実施形態における攻撃検知装置が備える攻撃関連情報付与部の機能構成を例示する図である。
【図3】一実施形態における攻撃関連情報付与部が付与する攻撃関連情報の構成例を示す図である。
【図4】一実施形態における攻撃検知装置による時系列傾向変化の検知処理を例示的に説明する図である。
【図5】一実施形態における攻撃検知装置による攻撃検知の処理手順を示すフローチャートである。
【図6】本発明の他の実施形態における攻撃検知装置の機能構成を例示する図である。
【図7】他の実施形態における深刻度推定部が利用する対応表の構成例を示す図である。
【図8】他の実施形態における攻撃検知装置による攻撃検知の処理手順を示すフローチャートである。
【図9】他の実施形態における深刻度の表示画面の構成例を示す図である。
【発明を実施するための形態】
【0016】
以下、本発明について、その実施形態に即して添付図面を参照しながら説明する。
[実施形態1]
まず本発明の一実施形態における攻撃検知装置について説明する。
本実施形態における攻撃検知装置は、ネットワークから取得するトラフィックデータ、他のネットワーク上の監視装置(例えば侵入検知システム(Intrusion Detection System、以下「IDS」と称する))が出力する監視ログ等を攻撃検知に関する分析対象のデータとして取り込み、このデータに攻撃の属性あるいは性質を示す情報である攻撃関連情報を付与し、所定の集計項目に従って時系列に集計して時系列データを生成する。そして攻撃検知装置は、時系列データについてその時系列傾向を分析し、時系列傾向が変化したことを検知した場合に、攻撃、あるいは攻撃の予兆を検知したと判定してその旨を出力する。
[実施形態1]
まず本発明の一実施形態における攻撃検知装置について説明する。
本実施形態における攻撃検知装置は、ネットワークから取得するトラフィックデータ、他のネットワーク上の監視装置(例えば侵入検知システム(Intrusion Detection System、以下「IDS」と称する))が出力する監視ログ等を攻撃検知に関する分析対象のデータとして取り込み、このデータに攻撃の属性あるいは性質を示す情報である攻撃関連情報を付与し、所定の集計項目に従って時系列に集計して時系列データを生成する。そして攻撃検知装置は、時系列データについてその時系列傾向を分析し、時系列傾向が変化したことを検知した場合に、攻撃、あるいは攻撃の予兆を検知したと判定してその旨を出力する。
【0017】
図1は、本実施形態における攻撃検知装置1の機能構成例を示す図である。
攻撃検知装置1は、サーバ又はパーソナルコンピュータなどの情報処理装置(コンピュータ)であり、制御部10及び記憶部20の他、各種データの入出力デバイス及び通信デバイスなどを備える。
攻撃検知装置1は、サーバ又はパーソナルコンピュータなどの情報処理装置(コンピュータ)であり、制御部10及び記憶部20の他、各種データの入出力デバイス及び通信デバイスなどを備える。
【0018】
制御部10は、攻撃検知装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、本実施形態における攻撃検知装置1の各機能を実現する。制御部10は、CPU等のプロセッサであってよい。
【0019】
記憶部20は、ハードウェア群を攻撃検知装置1として機能させるための各種プログラム、及び各種データなどの記憶領域であり、ROM、RAM、フラッシュメモリ又はハードディスク(HDD)などであってよい。具体的には、記憶部20は、本実施形態の各機能を制御部10に実行させるためのプログラム(攻撃検知プログラム)、各種パラメータ、侵入検知ルール及びこのプログラムが処理対象とする時系列データなどを記憶する。
【0020】
制御部10は、攻撃関連情報付与部11と、集計部12と、検知部13とを備える。
制御部10は、これらの機能部により、ネットワークから取り込んだ分析対象データに攻撃関連情報を付与するとともに時系列データとして記録し、その時系列傾向に所定の判定基準に基づく変化が検知された場合に、攻撃あるいは攻撃の予兆を検知したと判定して攻撃関連情報とともに出力する。
制御部10は、これらの機能部により、ネットワークから取り込んだ分析対象データに攻撃関連情報を付与するとともに時系列データとして記録し、その時系列傾向に所定の判定基準に基づく変化が検知された場合に、攻撃あるいは攻撃の予兆を検知したと判定して攻撃関連情報とともに出力する。
【0021】
攻撃関連情報付与部11は、ネットワークから取り込んだ分析対象データに対して攻撃関連情報を付与する。分析対象データは、例えばネットワークから取得されるトラフィックデータ、又はネットワーク上にある他の監視装置から取得されるログデータである。
図2に、本実施形態における攻撃関連情報付与部11の構成例を示している。攻撃関連情報付与部11は、取り込んだ分析対象データに攻撃関連情報を付与する機能を有する部分である関連情報付与部110を備える。
図2に、本実施形態における攻撃関連情報付与部11の構成例を示している。攻撃関連情報付与部11は、取り込んだ分析対象データに攻撃関連情報を付与する機能を有する部分である関連情報付与部110を備える。
【0022】
分析対象データがトラフィックデータである場合、攻撃関連情報付与部11は一般的な侵入検知システム(IDS)120の機能を含む。IDS120には、そのIDS120がトラフィックデータ監視に利用する検知ルール121が記憶される。検知ルール121は、例えばルールの名称、各ルールを識別するための識別符号であるルール識別子,リファレンス情報としての影響製品及び脆弱性識別子を含む。影響製品は、対応する検知ルールが分析対象であるトラフィックデータと合致したと判定された場合に影響を受けると考えられる製品名称、脆弱性識別子は、各脆弱性情報を識別するための識別符号であり、例えば共通脆弱性識別子(CVE)が該当する。検知ルール121は、記憶部120に格納するようにしてもよい。IDS120の検知結果に由来する攻撃関連情報としては、例えば、検知名(シグネチャ)、攻撃種別、攻撃対象製品、攻撃対象の脆弱性識別子、トラフィックのプロトコル(トランスポート層(TCP/UDP/ICMP)、アプリケーション層(HTTP/SSH/DNS))、検知結果についての良性・悪性判定等が挙げられる。
【0023】
分析対象データがIDS等の他の監視装置から取得されるログデータである場合、付与される攻撃関連情報は、例えばその監視装置がトラフィックデータを検査した結果得られる検査結果データである。この場合、攻撃関連情報付与部11には、図2に例示したようなIDS120は設けられない。攻撃関連情報付与部11は、IDS等の他の監視装置からのログデータを取得し、当該監視装置の検知結果に由来する攻撃関連情報として、前記例示したような攻撃関連情報を付与する。図3に、攻撃関連情報の付与例を示している。分析対象データに攻撃関連情報が付与され、集計データとして記憶部20に時系列に格納される。
【0024】
集計部12は、攻撃関連情報付与部11で攻撃関連情報が付与された分析対象データに基づいて、あらかじめ指定した集計項目ごとに単位時間当たりの分析対象データの観測件数を時系列に集計して時系列データを生成する。
このときの集計項目としては、例えば、前記の攻撃関連情報、分析対象データの元となったトラフィックの宛先ポート番号、IDSによる検査での良性・悪性の判定結果が挙げられる。なお、前記した集計項目のうちの2つ以上の集計項目を組み合わせてあらたな集計項目と規定し(例えば、攻撃種別と攻撃対象の製品との組み合わせ)、そのあらたな集計項目ごとに集計してもよい。
このときの集計項目としては、例えば、前記の攻撃関連情報、分析対象データの元となったトラフィックの宛先ポート番号、IDSによる検査での良性・悪性の判定結果が挙げられる。なお、前記した集計項目のうちの2つ以上の集計項目を組み合わせてあらたな集計項目と規定し(例えば、攻撃種別と攻撃対象の製品との組み合わせ)、そのあらたな集計項目ごとに集計してもよい。
【0025】
検知部13は、集計された時系列データに対して時系列分析を行い、観測される分析対象データの観測件数が所定の条件を満たした場合に、その条件成立時点を攻撃判定時点と判定してその旨を所定の形式で出力する。
具体的には、検知部13は、所定期間の集計データに基づいて、自己回帰和分移動平均(ARIMA)モデルを用いて検知対象とする時間帯における分析対象データの観測件数を推定する。知られているように、ARIMAモデルは、p次の自己回帰(AR)モデルと、q次の移動平均(MA)モデルとを、d階の和分過程で結合して得られるモデルである。ARIMAモデルを最適化するためのパラメータ値p,d,qの組み合わせの選択に当たっては、検知部13は、各パラメータの総当たりの組み合わせに対し、所定期間の時系列データを用いて推定を行う。そして、例えば、推定結果の赤池情報量基準(Akaike Information Criterion:AIC)のもっとも低いパラメータの組み合わせが探索される。
具体的には、検知部13は、所定期間の集計データに基づいて、自己回帰和分移動平均(ARIMA)モデルを用いて検知対象とする時間帯における分析対象データの観測件数を推定する。知られているように、ARIMAモデルは、p次の自己回帰(AR)モデルと、q次の移動平均(MA)モデルとを、d階の和分過程で結合して得られるモデルである。ARIMAモデルを最適化するためのパラメータ値p,d,qの組み合わせの選択に当たっては、検知部13は、各パラメータの総当たりの組み合わせに対し、所定期間の時系列データを用いて推定を行う。そして、例えば、推定結果の赤池情報量基準(Akaike Information Criterion:AIC)のもっとも低いパラメータの組み合わせが探索される。
【0026】
検知部13は、生成したARIMAモデルによって算出された検知対象期間の推定値に基づいて、その期間に観測される分析対象データの件数に変化が見られるかを判定する。例えば検知部13は、前記判定の閾値として、ARIMAモデルによる観測件数推定値の100(1-α)%信頼区間(例えば95%信頼区間)の上限を設定するように構成することができる。図4に、このような攻撃検知判定の概要を例示している。検知部13は、分析対象データの観測件数が、例えば前記したように設定された閾値を超えた時点を、攻撃を検知した時点と判定する。そして、検知部13は、集計データの集計項目と検知時点が属する時間帯とを出力する。
【0027】
次に、以上説明した構成を備えている、本実施形態による攻撃検知装置1の全体動作について、図5を参照して説明する。図5は攻撃検知装置1の全体動作を例示するフローチャートである。
攻撃検知装置1は、所定の時間間隔で(例えば1時間ごとに)図5に例示するデータ処理を実行する。あるいは、攻撃検知装置1は、分析対象データを受領したことを契機として図5に例示するデータ処理を実行するようにしてもよい。
攻撃検知装置1は、所定の時間間隔で(例えば1時間ごとに)図5に例示するデータ処理を実行する。あるいは、攻撃検知装置1は、分析対象データを受領したことを契機として図5に例示するデータ処理を実行するようにしてもよい。
【0028】
攻撃検知装置1が処理を開始すると、ステップS10において、攻撃関連情報付与部11が、分析対象データを取得する。次いで、ステップS20において、攻撃関連情報付与部11は、取得した分析対象データに対して、攻撃関連情報を付与する。このステップS20での攻撃関連情報付与処理は、図2に関して説明したように、前記した攻撃関連情報付与部11の構成の相違によってその内容が異なる。
【0029】
攻撃関連情報付与部11がIDS120を備える場合、攻撃関連情報付与部11は、ネットワーク上を流通する、ハニーポット等に誘引されたトラフィックデータを取得し、自身が備えるIDSによりこれを解析する。攻撃関連情報付与部11は、IDSの解析結果に対して攻撃関連情報を付与して集計部12に出力する。
一方、攻撃関連情報付与部11が他の監視装置からその監視ログデータを分析対象データとして受領する場合、攻撃関連情報付与部11は、受領した監視装置の監視ログデータに対して攻撃関連情報を付与して集計部12に出力する。
一方、攻撃関連情報付与部11が他の監視装置からその監視ログデータを分析対象データとして受領する場合、攻撃関連情報付与部11は、受領した監視装置の監視ログデータに対して攻撃関連情報を付与して集計部12に出力する。
【0030】
ステップS30において、集計部12は、攻撃関連情報のうちの所定の項目ごとに分析対象データの観測件数を集計し、時系列データとして記憶部20に格納する。次いでステップS40において、集計部12は、記憶部20に格納した所定期間(例えば直近2週間)の時系列データについて時系列分析を実行し、分析対象期間(例えば分析時点から1週間後)までの時系列データの推定値を算出する。この推定値算出には、前記のように、例えばARIMAモデルが利用される。また検知部13は、ステップS40において、時系列データの推定値から後述の時系列傾向の変化を検出するための判定用閾値を生成する。
【0031】
次いでステップS50において、検知部13が、時系列データの推定値に基づく閾値と直近の期間(例えば過去1時間)の時系列データとを比較し、その時系列傾向が変化したかを判定する。時系列傾向に変化がないと判定した場合(S50:NO)、検知部13は、そのまま処理を終了する。ステップS50において、検知部13が、直近の期間の時系列データが判定閾値を上回り、時系列傾向が変化したと判定した場合(S50:YES)、検知部13は、判定の根拠となった時系列データとそれに付与されている攻撃関連情報とを攻撃発生情報として出力して処理を終了する。攻撃発生情報の出力先は、例えば攻撃検知装置1に設けられているモニタディスプレイ等の出力デバイスとすることができるが、特に制約はなく適宜決定すればよい。
【0032】
以上のように、本実施形態による攻撃検知装置1では、ネットワーク上で発生する種々の攻撃を早期に検知することができる。また検知された攻撃に関連する攻撃関連情報が合わせて出力されるので、検知された攻撃の属性をも知ることができる。
【0033】
[実施形態2]
次に、以上の実施形態1による攻撃検知装置1のバリエーションとして、他の実施形態による攻撃検知装置1について説明する。実施形態1と同じあるいは同等の構成要素については同一の符号を用いる。図6に、本実施形態による攻撃検知装置1の構成例を示している。
図6に例示する本実施形態による攻撃検知装置1は、実施形態1による攻撃検知装置1(図1)に対して、制御部10に深刻度推定部14が設けられている点と、記憶部20に対応表21が格納されている点とが相違している。以下、実施形態1との相違点について説明する。
次に、以上の実施形態1による攻撃検知装置1のバリエーションとして、他の実施形態による攻撃検知装置1について説明する。実施形態1と同じあるいは同等の構成要素については同一の符号を用いる。図6に、本実施形態による攻撃検知装置1の構成例を示している。
図6に例示する本実施形態による攻撃検知装置1は、実施形態1による攻撃検知装置1(図1)に対して、制御部10に深刻度推定部14が設けられている点と、記憶部20に対応表21が格納されている点とが相違している。以下、実施形態1との相違点について説明する。
【0034】
深刻度推定部14は、検知部13が攻撃の予兆を検知したと判定して攻撃発生情報を出力した場合、この攻撃発生情報を取得し、後述する脆弱性情報及び対応表21を検索して、検知された攻撃が攻撃対象に与えると考えられる影響の大きさを深刻度として評価し出力する機能を有する。
具体的には、深刻度推定部14は、検知部13から取得した攻撃発生情報に含まれる集計項目をキーとして、ネットワーク上に公開されている脆弱性情報を検索し、攻撃発生情報に関連する脆弱性情報があるかを調べる。脆弱性情報としては、例えば公開されている共通脆弱性識別子(CVE)を用いることができる。
具体的には、深刻度推定部14は、検知部13から取得した攻撃発生情報に含まれる集計項目をキーとして、ネットワーク上に公開されている脆弱性情報を検索し、攻撃発生情報に関連する脆弱性情報があるかを調べる。脆弱性情報としては、例えば公開されている共通脆弱性識別子(CVE)を用いることができる。
【0035】
脆弱性情報の検索は、集計項目に応じて実行することができる。例えば、集計項目が攻撃対象の製品・攻撃対象の脆弱性の識別子である場合は、当該製品に影響を及ぼす脆弱性情報、当該脆弱性と一致する脆弱性情報を検索する。集計項目が攻撃対象のプロトコル(アプリケーション層)・トラフィックの宛先ポート番号である場合は、後述する対応表21を検索して当該プロトコルに対応する製品情報及び当該製品情報に関連する脆弱性の識別子を取得し、当該製品情報および当該脆弱性の識別子をもとに脆弱性情報を検索する。集計項目が攻撃対象のプロトコル(トランスポート層)の場合は、脆弱性情報の全文検索を行い、当該プロトコルの名称が掲載された脆弱性情報を取得する。
【0036】
また深刻度推定部14は、攻撃発生情報に基づいて、対応表21を検索する。対応表21の構成例を、図7に示している。図7に例示するように、対応表21は、アプリケーションプロトコルと当該アプリケーションを公開する際に開放されるポート番号、利用される製品および当該製品に関連する脆弱性の識別子が対応付けて格納されている表である。対応表21の実現例として、インターネット検索サービスであるShodan(https://www.shodan.io/)から取得される情報をもとに対応表を作成する方法が考えられる。Shodanの検索機能を利用することで、アプリケーションプロトコルに対応するポート番号、製品、さらに製品に関連する脆弱性の識別子を取得することができる。
【0037】
該当する脆弱性情報が存在した場合、当該脆弱性の深刻度を生成し、当該脆弱性情報とあわせて出力する。出力される深刻度の例として、例えば当該脆弱性に関連する攻撃が観測されたことを示すテキスト(例えば、「SMBプロトコルを標的とした攻撃が観測されました」)を、攻撃発生情報に含まれる集計項目の情報とともに出力してもよい。
また、例えばCVSSv3(例えば、https://www.ipa.go.jp/security/vuln/CVSSv3.htmlを参照)における現状評価基準の現状値を、関連する攻撃の観測の有無を加味して算出し、その値を深刻度として出力してもよい。攻撃観測の有無を加味する方法として、例えば評価項目「攻撃される可能性(E)」の評価結果を「容易に攻撃可能(H)」として現状評価基準の現状値を算出することができる。
また、例えばCVSSv3(例えば、https://www.ipa.go.jp/security/vuln/CVSSv3.htmlを参照)における現状評価基準の現状値を、関連する攻撃の観測の有無を加味して算出し、その値を深刻度として出力してもよい。攻撃観測の有無を加味する方法として、例えば評価項目「攻撃される可能性(E)」の評価結果を「容易に攻撃可能(H)」として現状評価基準の現状値を算出することができる。
【0038】
次に、以上説明した構成を備えている、本実施形態による攻撃検知装置1の全体動作について、図8を参照して説明する。図8は本実施形態の攻撃検知装置1の全体動作を例示するフローチャートである。なお、以下の説明では、実施形態1に関する図5のフローチャートと同等の処理に関しては説明を省略する。
【0039】
本実施形態の攻撃検知装置1は、実施形態1と同様にして処理を開始すると、ステップS10からステップS50までは、実施形態1と同様の処理を実行する。ステップS50において、分析対象期間における時系列データの時系列傾向に変化があると判定した場合(S50:YES)、攻撃検知装置1は、ステップS60において、判定の根拠となった時系列データとその攻撃関連情報とにより脆弱性情報及び対応表21を検索する。対応する脆弱性情報があると判定した場合(S60:YES)、検知部13は、ステップS70において、該当する攻撃関連情報に基づいて抽出された深刻度を判定する。次いで検知部13は、時系列傾向が変化したと判定された時系列データ及びその関連情報に基づいて抽出された脆弱性情報を、ステップS70で求めた深刻度とともに出力して処理を終了する。一方、ステップS60で対応する脆弱性情報がないと判定した場合(S60:NO)、検知部13は実施形態1の場合と同様に、得られた攻撃発生情報を出力して処理を終了する。情報の出力先は、実施形態1の場合と同様に考えればよい。
【0040】
深刻度推定部14の出力の一例を図9に示している。図9は、例えば深刻度推定部14が検索、あるいは算出した脆弱性とその深刻度とによりWebページを生成し、インターネットを通じて適宜の出力端末に表示させている表示画面例を示している。図9には、深刻度推定部14の出力例として、プロトコル(アプリケーション層)、あて先ポート番号、製品名称、脆弱性識別子、及び深刻度を示すテキストの項目が含まれているが、これらの項目に限定されることなく、前記したCVSSv3における現状評価基準の現状値等を含めてもよい。図9の表示画面は攻撃検知装置1のモニタディスプレイ等の出力デバイスに表示させてもよい。
【0041】
以上のように、本実施形態による攻撃検知装置1では、実施形態1と同様に、ネットワーク上で発生する攻撃を早期に検知することができる。また検知された攻撃に関連する攻撃関連情報が合わせて出力されるので、検知された攻撃の属性をも知ることができる。さらに、本実施形態による攻撃検知装置1では、攻撃の早期検知のみならず、検知された攻撃がどのような脆弱性に関連しているか、またその脆弱性が有する深刻度について、客観的な評価情報を出力するので、ユーザは、検知された攻撃が関連する脆弱性及びその深刻度に応じて当該攻撃に対してどのような対策を講じるべきであるかを的確に把握することができる。
【0042】
攻撃検知装置1では、前記検知部は、所定期間に記録された前記時系列データに基づいて分析対象とする期間における前記時系列データの推定値を算出し、当該推定値に基づいて設定された閾値により前記時系列傾向に変化があるか判定するようにしてもよい。
このようにすれば、時系列傾向に変化があった時点を攻撃の予兆を観測した時点として早期に精度よく検知することができる。
このようにすれば、時系列傾向に変化があった時点を攻撃の予兆を観測した時点として早期に精度よく検知することができる。
【0043】
攻撃検知装置1は、ネットワーク上の攻撃に関連する脆弱性を示す脆弱性情報を、前記検知部から出力される前記攻撃関連情報に基づいて検索し、前記攻撃関連情報と関連を有する脆弱性情報があると判定した場合、当該脆弱性情報を出力するように構成されている深刻度推定部を備えるようにしてもよい。
このようにすれば、当該脆弱性に関連した攻撃の発生状況を加味して、当該脆弱性の深刻度を客観的に評価することができる。
このようにすれば、当該脆弱性に関連した攻撃の発生状況を加味して、当該脆弱性の深刻度を客観的に評価することができる。
【0044】
攻撃検知装置1は、前記脆弱性情報と関連付けられた、当該脆弱性情報の深刻度を示す情報である深刻度情報を保持しており、前記深刻度推定部は、検索された前記脆弱性情報に関連付けられている深刻度情報を出力するようにしてもよい。
このようにすれば、検知した攻撃が有する脆弱性のみならず、その脆弱性が有する深刻度を客観的に評価することができる。
このようにすれば、検知した攻撃が有する脆弱性のみならず、その脆弱性が有する深刻度を客観的に評価することができる。
【0045】
前記深刻度情報として、前記攻撃関連情報に基づいて算出される、共通脆弱性評価システムの現状評価基準による現状値を用いるようにしてもよい。
このようにすれば、ユーザは、深刻度情報によって、脆弱性が及ぼす影響について客観的に評価することができ、対応優先度の決定等に利用することができる。
このようにすれば、ユーザは、深刻度情報によって、脆弱性が及ぼす影響について客観的に評価することができ、対応優先度の決定等に利用することができる。
【0046】
前記分析対象データには、ネットワークから取得されるトラフィックデータ、又はネットワーク上の監視装置から出力される監視データログが含まれるようにしてよい。
このようにすれば、ハニーポットに誘引されるトラフィックデータを取得して直接分析すること、あるいは他の監視装置の出力を利用してネットワークの挙動を監視することができる。
このようにすれば、ハニーポットに誘引されるトラフィックデータを取得して直接分析すること、あるいは他の監視装置の出力を利用してネットワークの挙動を監視することができる。
【0047】
なお、前述の実施形態により、例えば、ネットワークを介した通信の安全性を向上させることができるので、国連が主導する持続可能な開発目標(SDGs)の目標9「レジリエントなインフラを整備し、持続可能な産業化を推進するとともに、イノベーションの拡大を図る」に貢献することが可能となる。
【0048】
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。
【0049】
攻撃検知装置1による攻撃検知方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD-ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。
【符号の説明】
【0050】
1 攻撃検知装置
10 制御部
11 攻撃関連情報付与部
12 集計部
13 検知部
14 深刻度推定部
20 記憶部
10 制御部
11 攻撃関連情報付与部
12 集計部
13 検知部
14 深刻度推定部
20 記憶部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】