知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024119095
(43)【公開日】2024-09-03
(54)【発明の名称】分析装置、分析プログラム及び分析方法
(51)【国際特許分類】
G06F 21/55 20130101AFI20240827BHJP
【FI】
G06F21/55 320
【審査請求】未請求
【請求項の数】5
【出願形態】OL
(21)【出願番号】P 2023025730
(22)【出願日】2023-02-22
(71)【出願人】
【識別番号】000000295
【氏名又は名称】沖電気工業株式会社
(74)【代理人】
【識別番号】100180275
【弁理士】
【氏名又は名称】吉田 倫太郎
(74)【代理人】
【識別番号】100161861
【弁理士】
【氏名又は名称】若林 裕介
(72)【発明者】
【氏名】中村 信之
(57)【要約】
【課題】 サイバー攻撃を検知した場合に、当該サイバー攻撃についてより的確な情報を提供する。
【解決手段】 本発明は、分析装置に関する。そして、本発明の分析装置は、分析対象となるノードごとのトラフィックデータに基づきサイバー攻撃を検知するサイバー攻撃検知手段からサイバー攻撃を検知したことを示す警告情報を収集する手段と、ノードごとのトラフィックデータに基づき、定常時と比較して有意に差がある事象を低次異常として検知する低次異常検知手段から低次異常を検知したことを示す低次異常情報を収集する低次異常情報収集手段と、同じノードで同じ時間帯の警告情報と低次異常情報とを紐づけたデータセットを抽出し、データセットに基づく情報を分析結果情報として生成する分析処理を行う分析処理手段と、分析結果情報を蓄積する分析結果情報蓄積手段と、分析結果情報蓄積手段が蓄積した分析結果情報を出力する出力手段とを有することを特徴とする。
【選択図】 図1
【解決手段】 本発明は、分析装置に関する。そして、本発明の分析装置は、分析対象となるノードごとのトラフィックデータに基づきサイバー攻撃を検知するサイバー攻撃検知手段からサイバー攻撃を検知したことを示す警告情報を収集する手段と、ノードごとのトラフィックデータに基づき、定常時と比較して有意に差がある事象を低次異常として検知する低次異常検知手段から低次異常を検知したことを示す低次異常情報を収集する低次異常情報収集手段と、同じノードで同じ時間帯の警告情報と低次異常情報とを紐づけたデータセットを抽出し、データセットに基づく情報を分析結果情報として生成する分析処理を行う分析処理手段と、分析結果情報を蓄積する分析結果情報蓄積手段と、分析結果情報蓄積手段が蓄積した分析結果情報を出力する出力手段とを有することを特徴とする。
【選択図】 図1
【特許請求の範囲】
【請求項1】
分析対象となるノードごとのトラフィックデータに基づきサイバー攻撃を検知するサイバー攻撃検知手段からサイバー攻撃を検知したことを示す警告情報を収集する警告情報収集手段と、
前記ノードごとの前記トラフィックデータに基づき、定常時と比較して有意に差がある事象を低次異常として検知する低次異常検知手段から低次異常を検知したことを示す低次異常情報を収集する低次異常情報収集手段と、
同じ前記ノードで同じ時間帯の前記警告情報と前記低次異常情報とを紐づけたデータセットを抽出し、前記データセットに基づく情報を分析結果情報として生成する分析処理を行う分析処理手段と、
前記分析結果情報を蓄積する分析結果情報蓄積手段と、
前記分析結果情報蓄積手段が蓄積した前記分析結果情報を出力する出力手段と
を有することを特徴とする分析装置。
前記ノードごとの前記トラフィックデータに基づき、定常時と比較して有意に差がある事象を低次異常として検知する低次異常検知手段から低次異常を検知したことを示す低次異常情報を収集する低次異常情報収集手段と、
同じ前記ノードで同じ時間帯の前記警告情報と前記低次異常情報とを紐づけたデータセットを抽出し、前記データセットに基づく情報を分析結果情報として生成する分析処理を行う分析処理手段と、
前記分析結果情報を蓄積する分析結果情報蓄積手段と、
前記分析結果情報蓄積手段が蓄積した前記分析結果情報を出力する出力手段と
を有することを特徴とする分析装置。
【請求項2】
前記分析結果情報蓄積手段が蓄積する前記分析結果情報には、前記分析結果情報に対応する事象に対する対応処置方法を示す対応処置情報を付加することが可能であり、
前記分析結果情報蓄積手段が蓄積する前記分析結果情報に対する前記対応処置情報の入力を受け付けることが可能な入力手段をさらに備える
ことを特徴とする請求項1に記載の分析装置。
前記分析結果情報蓄積手段が蓄積する前記分析結果情報に対する前記対応処置情報の入力を受け付けることが可能な入力手段をさらに備える
ことを特徴とする請求項1に記載の分析装置。
【請求項3】
前記分析処理手段は、新規に生成した前記分析結果情報と、前記警告情報及び前記低次異常情報との組み合わせが一致又は類似する前記分析結果情報を、前記分析結果情報蓄積手段に蓄積された前記分析結果情報から抽出し、抽出した前記分析結果情報に付加された前記対応処置情報をコピーして、前記新規に生成した前記分析結果情報に付加することを特徴とする請求項2に記載の分析装置。
【請求項4】
コンピュータを、
分析対象となるノードごとのトラフィックデータに基づきサイバー攻撃を検知するサイバー攻撃検知手段からサイバー攻撃を検知したことを示す警告情報を収集する警告情報収集手段と、
前記ノードごとの前記トラフィックデータに基づき、定常時と比較して有意に差がある事象を低次異常として検知する低次異常検知手段から低次異常を検知したことを示す低次異常情報を収集する低次異常情報収集手段と、
同じ前記ノードで同じ時間帯の前記警告情報と前記低次異常情報とを紐づけたデータセットを抽出し、前記データセットに基づく情報を分析結果情報として生成する分析処理を行う分析処理手段と、
前記分析結果情報を蓄積する分析結果情報蓄積手段と、
前記分析結果情報蓄積手段が蓄積した前記分析結果情報を出力する出力手段と
して機能させることを特徴とする分析プログラム。
分析対象となるノードごとのトラフィックデータに基づきサイバー攻撃を検知するサイバー攻撃検知手段からサイバー攻撃を検知したことを示す警告情報を収集する警告情報収集手段と、
前記ノードごとの前記トラフィックデータに基づき、定常時と比較して有意に差がある事象を低次異常として検知する低次異常検知手段から低次異常を検知したことを示す低次異常情報を収集する低次異常情報収集手段と、
同じ前記ノードで同じ時間帯の前記警告情報と前記低次異常情報とを紐づけたデータセットを抽出し、前記データセットに基づく情報を分析結果情報として生成する分析処理を行う分析処理手段と、
前記分析結果情報を蓄積する分析結果情報蓄積手段と、
前記分析結果情報蓄積手段が蓄積した前記分析結果情報を出力する出力手段と
して機能させることを特徴とする分析プログラム。
【請求項5】
分析装置が行う分析方法において、
前記分析装置は、警告情報収集手段、低次異常情報収集手段、分析処理手段、分析結果情報蓄積手段及び出力手段を有し、
前記警告情報収集手段は、分析対象となるノードごとのトラフィックデータに基づきサイバー攻撃を検知するサイバー攻撃検知手段からサイバー攻撃を検知したことを示す警告情報を収集し、
前記低次異常情報収集手段は、前記ノードごとの前記トラフィックデータに基づき、定常時と比較して有意に差がある事象を低次異常として検知する低次異常検知手段から低次異常を検知したことを示す低次異常情報を収集し、
前記分析処理手段は、同じ前記ノードで同じ時間帯の前記警告情報と前記低次異常情報とを紐づけたデータセットを抽出し、前記データセットに基づく情報を分析結果情報として生成する分析処理を行い、
前記分析結果情報蓄積手段は、前記分析結果情報を蓄積し、
前記出力手段は、前記分析結果情報蓄積手段が蓄積した前記分析結果情報を出力する
ことを特徴とする分析方法。
前記分析装置は、警告情報収集手段、低次異常情報収集手段、分析処理手段、分析結果情報蓄積手段及び出力手段を有し、
前記警告情報収集手段は、分析対象となるノードごとのトラフィックデータに基づきサイバー攻撃を検知するサイバー攻撃検知手段からサイバー攻撃を検知したことを示す警告情報を収集し、
前記低次異常情報収集手段は、前記ノードごとの前記トラフィックデータに基づき、定常時と比較して有意に差がある事象を低次異常として検知する低次異常検知手段から低次異常を検知したことを示す低次異常情報を収集し、
前記分析処理手段は、同じ前記ノードで同じ時間帯の前記警告情報と前記低次異常情報とを紐づけたデータセットを抽出し、前記データセットに基づく情報を分析結果情報として生成する分析処理を行い、
前記分析結果情報蓄積手段は、前記分析結果情報を蓄積し、
前記出力手段は、前記分析結果情報蓄積手段が蓄積した前記分析結果情報を出力する
ことを特徴とする分析方法。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は分析装置、分析プログラム及び分析方法に関し、例えば、IP通信を監視してサイバー攻撃を検知し、検知した結果を提示するシステムに適用し得る。
【背景技術】
【0002】
従来、サイバー攻撃を検知するシステムとしては、例えば、特許文献1に記載されたシステムが存在する。特許文献1に記載されたシステムは、サイバー攻撃が検知された際の警告情報と監視情報、及び警告情報に対するオペレータ毎の分析履歴を蓄積し、警告情報に対する対処方法として分析履歴の中からより近い対応処置を提示する。また、特許文献1に記載されたシステムでは、サイバー攻撃を検知した場合に、検知結果として、具体的な攻撃手法(例えば、DoS攻撃、ポートスキャン、ファイル送信等)、監視情報(例えば、通信量や接続先アドレス等)、及び対応処置内容をオペレータに提示する。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2019-028891号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら特許文献1に記載のシステムでは、サイバー攻撃として警告される警告情報の粒度が大きすぎる(つまり、サイバー攻撃としての警告情報のレベル(抽象度)が高すぎる)。そのため、特許文献1に記載のシステムでは、サイバー攻撃検知の提示を受けたオペレータにとっては対応処置が正確に絞れないという課題や、新たな攻撃手法が出てきた際には的確な対応処置を提示することができないという課題がある。また、従来のサイバー攻撃を検知するシステムでは、誤検知する頻度が多く、誤検知の中に埋もれた本当に対応処置が必要な警告情報を見落としてしまう課題がある。
【0005】
以上のような従来技術の問題に鑑みて、サイバー攻撃を検知した場合に、当該サイバー攻撃についてより的確な情報を提供することができる分析装置、分析プログラム及び分析方法が望まれている。
【課題を解決するための手段】
【0006】
第1の本発明の分析装置は、分析対象となるノードごとのトラフィックデータに基づきサイバー攻撃を検知するサイバー攻撃検知手段からサイバー攻撃を検知したことを示す警告情報を収集する警告情報収集手段と、前記ノードごとの前記トラフィックデータに基づき、定常時と比較して有意に差がある事象を低次異常として検知する低次異常検知手段から低次異常を検知したことを示す低次異常情報を収集する低次異常情報収集手段と、同じ前記ノードで同じ時間帯の前記警告情報と前記低次異常情報とを紐づけたデータセットを抽出し、前記データセットに基づく情報を分析結果情報として生成する分析処理を行う分析処理手段と、前記分析結果情報を蓄積する分析結果情報蓄積手段と、前記分析結果情報蓄積手段が蓄積した前記分析結果情報を出力する出力手段とを有することを特徴とする。
【0007】
第2の本発明の分析プログラムは、コンピュータを、分析対象となるノードごとのトラフィックデータに基づきサイバー攻撃を検知するサイバー攻撃検知手段からサイバー攻撃を検知したことを示す警告情報を収集する警告情報収集手段と、前記ノードごとの前記トラフィックデータに基づき、定常時と比較して有意に差がある事象を低次異常として検知する低次異常検知手段から低次異常を検知したことを示す低次異常情報を収集する低次異常情報収集手段と、同じ前記ノードで同じ時間帯の前記警告情報と前記低次異常情報とを紐づけたデータセットを抽出し、前記データセットに基づく情報を分析結果情報として生成する分析処理を行う分析処理手段と、前記分析結果情報を蓄積する分析結果情報蓄積手段と、前記分析結果情報蓄積手段が蓄積した前記分析結果情報を出力する出力手段として機能させることを特徴とする。
【0008】
第3の本発明は、分析装置が行う分析方法において、前記分析装置は、警告情報収集手段、低次異常情報収集手段、分析処理手段、分析結果情報蓄積手段及び出力手段を有し、前記警告情報収集手段は、分析対象となるノードごとのトラフィックデータに基づきサイバー攻撃を検知するサイバー攻撃検知手段からサイバー攻撃を検知したことを示す警告情報を収集し、前記低次異常情報収集手段は、前記ノードごとの前記トラフィックデータに基づき、定常時と比較して有意に差がある事象を低次異常として検知する低次異常検知手段から低次異常を検知したことを示す低次異常情報を収集し、前記分析処理手段は、同じ前記ノードで同じ時間帯の前記警告情報と前記低次異常情報とを紐づけたデータセットを抽出し、前記データセットに基づく情報を分析結果情報として生成する分析処理を行い、前記分析結果情報蓄積手段は、前記分析結果情報を蓄積し、前記出力手段は、前記分析結果情報蓄積手段が蓄積した前記分析結果情報を出力することを特徴とする。
【発明の効果】
【0009】
本発明によれば、サイバー攻撃を検知した場合に、当該サイバー攻撃についてより的確な情報を提供することができる。
【図面の簡単な説明】
【0010】
【図1】実施形態に係る分析装置の機能的構成について示したブロック図である。
【図2】実施形態に係る各装置の接続関係について示した図である。
【図3】実施形態に係る低次異常検知装置が検知する低次異常の例について示した図である。
【図4】実施形態に係る分析結果蓄積部に蓄積される分析結果情報の一覧について示した図である。
【図5】実施形態に係る分析結果表示画面の構成例について示した図である。
【図6】実施形態の変形例に係る分析結果蓄積部に蓄積される分析結果情報の一覧について示した図である。
【発明を実施するための形態】
【0011】
(A)主たる実施形態
以下、本発明による分析装置、分析プログラム及び分析方法の一実施形態を、図面を参照しながら詳述する。
以下、本発明による分析装置、分析プログラム及び分析方法の一実施形態を、図面を参照しながら詳述する。
【0012】
(A-1)実施形態の構成
図2は、この実施形態に関係する各装置の接続関係について示した図である。
図2は、この実施形態に関係する各装置の接続関係について示した図である。
【0013】
ここでは、監視装置群40を構成する各監視装置(サイバー攻撃検知装置41、低次異常検知装置42、・・・)は、監視対象(分析対象)となる監視対象ネットワークN1(分析対象ネットワーク)に接続された通信装置30(30ー1、30-2、・・・)の通信を監視する装置である。
【0014】
通信装置30の種類については限定されないものであるが、例えば、IoT(Internet of Things)機器、クライアントPC、サーバ装置、種々のネットワーク装置(例えば、ルータ等)等が含まれるようにしてもよい。
【0015】
図2の構成例では、各通信装置30が、監視対象ネットワークN1に接続されている。また、監視対象ネットワークN1では、外部ネットワークN2(外部ネットワーク)にアクセスする経路上にゲートウェイ20が配置されているものとする。つまり、図2の例では、監視対象ネットワークN1の各通信装置30は、ゲートウェイ20を経由して外部ネットワークN2に通信可能な構成となっているものとする。図2では、ゲートウェイ20において、内部側(監視対象ネットワークN1側)のインタフェース(LANインタフェース)を、インタフェース21としている。なお、監視対象ネットワークN1では、接続される通信装置30の数は限定されないものである。
【0016】
ここでは、監視対象ネットワークN1上の観測点(この実施形態の例では、ゲートウェイ20のインタフェース21)で送受信されるトラフィックデータ(パケットデータ)そのもの又はそれらのトラフィックデータを分析した結果のデータ(例えば、フローデータ等)を「監視データ」と呼ぶものとする。ここでは、監視データが、観測点を擁するゲートウェイ20から監視装置群40を構成する各監視装置群40に供給(例えば、任意の形式の電文やポートミラーリングの機能等により供給)されるものとする。言い換えると、この実施形態では、監視データを収集して監視装置群40を構成する各監視装置に供給する手段(以下、「監視データ収集手段」と呼ぶ)としてゲートウェイ20自体を用いるようにしてもよいが、監視データ収集手段は上記の構成に限定されず種々の構成を適用することができる。例えば、ゲートウェイ20のインタフェース21(観測点)が接続されているL2/L3スイッチ(図示せず)側で、ポートミラー機能により、インタフェース21が接続するL2/L3スイッチのポートのトラフィックのコピーを監視装置群40(各監視装置が接続するポート)に供給することにより監視データ収集手段を実現するようにしてもよい。以上のように、この実施形態において、監視データ収集手段の具体的な構成は限定されないものであり、種々の構成を適用することができる。
【0017】
なお、この実施形態では、監視データを収集する観測点(監視ポイント)としてゲートウェイ20のインタフェース21を適用しているが、観測点の位置や数については限定されないものである。また、この実施形態では、ゲートウェイ20に接続されている外部ネットワーク(監視対象ネットワークN1以外のネットワーク)は、外部ネットワークN2だけとしているが、他の任意のネットワーク(例えば、任意のキャリアネットワーク等)も外部ネットワークとして接続した構成(外部ネットワークを複数とする構成)としてもよい。
【0018】
サイバー攻撃検知装置41は、監視対象ネットワークN1におけるサイバー攻撃(例えば、外部ネットワークN2からのサイバー攻撃等)を検知して、その検知結果を分析装置10に通知するものである。サイバー攻撃検知装置41としては、例えば、種々のIDS(Intrusion Detection System)等の監視システムを適用することができる。この実施形態では、サイバー攻撃検知装置41は、既存のIDSと同様に、サイバー攻撃のパターンをシグネチャと呼ばれるパターンファイルとして保持しており、合致するパターンを検知すると、DoS攻撃やポートスキャンなどのサイバー攻撃として検知する構成となっているものとする。言い換えると、サイバー攻撃検知装置41は、監視データ(トラフィックデータ)に対して所定の検知ルールを用いて解析し、攻撃活動を検知した場合に、攻撃活動の種類等を特定する。サイバー攻撃検知装置41が検知する攻撃活動の種類としては、例えば、Dos攻撃、ポートスキャン、ファイル送信が挙げられる。サイバー攻撃検知装置41は、攻撃活動を検知すると、その検知結果に関する情報(以下、「警告情報」と呼ぶ)として、少なくとも、検知に対応する対象ノード(通信装置30)の識別子(例えば、IPアドレス)、検知した攻撃の種類の識別子としての名称(以下、「検知攻撃名」と呼ぶ)と、検知時刻(タイムスタンプ)を含む情報を分析装置10に通知するものとする。なお、警告情報において、検知した攻撃の種類の識別子の記述形式は限定されないものであり、検知攻撃名に対応する識別子(例えば、ID番号)を用いるようにしてもよい。
【0019】
低次異常検知装置42は、監視対象となる通信装置30(以下、「対象ノード」とも呼ぶ)ごとに、監視データを低次な切り口(メタ的な切り口)で分析処理(以下、このような分析処理を「低次分析処理」と呼ぶ)し、低次分析処理により検知された異常(以下、「低次異常」と呼ぶ)を分析装置10に通知する。低次分析処理としては、例えば、対象ノードごとのトラフィック量(例えば、送受信するIPパケットのパケット総数及び又はデータ総量)、ポートアクセス数(例えば、送受信するIPパケットに設定されたポート番号の数)、接続ノード数(例えば、IPパケットを送受信する相手の数(IPアドレス数))、アクセス先(例えば、IPパケットを送受信する相手の一覧(IPアドレスの一覧))、受信セッション数(例えば、接続を受けたセッションの数)等に基づいた分析処理が挙げられる。この実施形態において、低次異常検知装置42は、低次分析処理として、少なくとも対象ノードごとに、普段(定常状態;異常でない状態)と比較して、接続ノード数、ポートアクセス数、接続ノード数、又はアクセス先が異常(例えば、有意に差がある場合や外れ値に該当する場合等)である場合に低次異常を検知する処理を行うものとする。言い換えると、低次異常検知装置42は、ノードごとに定常時のトラフィック(監視データ)を記録しておき、定常時との差異が大きい/小さいなどの異常検知をもとに、定常時と比較して有意に差がある事象(定常時と比較して外れ値となる事象;定常時と比較して統計的に有意に差がある事象)を低次異常として検知するようにしてもよい。
【0020】
図3は、低次異常検知装置42が検知する低次異常の例について示した図である。
【0021】
図3では、低次異常の項目ごとに識別子としての「メタID」とその項目名(低次異常の内容)が図示されている。
【0022】
以下では、分析対象(監視対象)となるノード(監視対象ネットワークN1に接続する通信装置30)を「対象ノード」とも呼ぶものとする。
【0023】
図3では、「トラフィック量が普段より多い異常」、「トラフィック量が普段より少ない異常」、「ポートアクセス数が普段より多い異常」、「ポートアクセス数が普段より少ない異常」、「接続機器数が普段より多い異常」、「接続機器数が普段より少ない異常」、「普段アクセスしない機器への通信」及び「受信セッション数が普段より多い異常」にそれぞれ1~8のメタIDが付与されている。なお、図3に示す低次異常の種類は例示であり、種々の組み合わせを適用するようにしてもよい。
【0024】
ここでは、「トラフィック量が普段より多い異常」とは対象ノードにおいて定常時(異常でないときの状態)よりもトラフィック量が有意に多い状態(例えば、トラフィック量が定常状態に基づく所定の閾値よりも多い状態)を示し、「トラフィック量が普段より少ない異常」とは対象ノードにおいて定常時よりもトラフィック量が有意に少ない状態(例えば、トラフィック量が定常状態に基づく所定の閾値よりも少ない状態)を示しているものとする。また、ここでは、「ポートアクセス数が普段より多い異常」とは対象ノードにおいて定常時(異常でないときの状態)よりもポートアクセス数が有意に多い状態(例えば、ポートアクセス数が定常状態に基づく所定の閾値よりも多い状態)を示し、「ポートアクセス数が普段より少ない異常」とは対象ノードにおいて定常時よりもポートアクセス数が有意に少ない状態(例えば、ポートアクセス数が定常状態に基づく所定の閾値よりも少ない状態)を示しているものとする。さらに、ここでは、「接続機器数が普段より多い異常」とは対象ノードにおいて定常時(異常でないときの状態)よりも接続機器数が有意に多い状態(例えば、接続機器数が定常状態に基づく所定の閾値よりも多い状態)を示し、「接続機器数が普段より少ない異常」とは対象ノードにおいて定常時よりも接続機器数が有意に少ない状態(例えば、接続機器数が定常状態に基づく所定の閾値よりも少ない状態)を示しているものとする。さらにまた、ここでは、「普段アクセスしない機器への通信」とは、定常時(異常でないときの状態)に送受信するIPアドレスの一覧(以下、「定常時アクセスリスト」と呼ぶ)に含まれないIPアドレスとのパケット送信又は受信が発生した状態を示しているものとする。また、ここでは、「受信セッション数が普段より多い異常」とは、定常時(異常でないときの状態)よりも受けるセッション(例えば、TCPセッション等)の数が有意に多い状態(例えば、受けるセッション数が定常状態に基づく所定の閾値よりも多い状態)を示しているものとする。
【0025】
低次異常検知装置42において、各対象ノード(通信装置30)の低次分析処理(監視データとの比較)に用いるパラメータ(例えば、上記の各閾値や定常時アクセスリスト)を取得する方法については限定されないものであり、種々の低次分析処理を行うシステムと同様の処理を適用することができる。例えば、低次異常検知装置42において、各対象ノードの低次分析処理に用いるパラメータについては、予め設定された内容(各対象ノードについて一律の内容)としてもよいし、定常時の各対象ノードの監視データを学習(トレーニング)した結果(例えば、AIや所定のアルゴリズムに基づいて学習した結果)に基づいた内容としてもよい。
【0026】
この実施形態では、低次異常検知装置42は、各対象ノード(通信装置30)について、低次分析処理を行い、いずれかの低次異常が検知された場合には、少なくとも当該低次異常に対応する対象ノードの識別子(例えば、IPアドレス)、当該低次異常の識別子(例えば、メタID)、及び当該低次異常の検知時刻(タイムスタンプ)を含むデータ(以下、「低次異常情報」と呼ぶ)を分析装置10に通知するものとする。
【0027】
次に、分析装置10の内部構成について説明する。
【0028】
図1は、分析装置10の機能的構成について示したブロック図である。
【0029】
分析装置10は、警告情報収集部101、警告情報蓄積部102、低次異常情報収集部103、低次異常情報蓄積部104、分析処理部105、分析結果蓄積部106及び入出力部107を有している。
【0030】
分析装置10は、例えば、プロセッサやメモリ等を有するコンピュータ上にプログラム(実施形態に係る分析プログラムを含む)をインストールすることにより実現することができる。
【0031】
警告情報収集部101は、サイバー攻撃検知装置41から警告情報を収集(保持)する機能を担っている。警告情報収集部101は、収集した警告情報を警告情報蓄積部102に蓄積させる。
【0032】
警告情報蓄積部102は、供給された警告情報を蓄積(保持)する機能を担っている。
【0033】
低次異常情報収集部103は、低次異常検知装置42から供給される低次異常検知装置42を収集(保持)する機能を担っている。低次異常情報収集部103は、収集した低次異常情報を、低次異常情報蓄積部104に蓄積させる。
【0034】
低次異常情報蓄積部104は、供給された低次異常情報を蓄積(保持)する機能を担っている。
【0035】
分析処理部105は、警告情報蓄積部102に蓄積されている警告情報と、低次異常情報蓄積部104に蓄積されている低次異常情報を分析処理する機能を担っている。分析処理部105は、分析した結果を分析結果蓄積部106に供給する。
【0036】
分析結果蓄積部106は、分析処理部105から供給された分析結果を蓄積(保持)する機能を担っている。
【0037】
入出力部107は、外部装置(この実施形態の例では、オペレータOPが使用する端末TE)とのインタフェース(ユーザインタフェース)の機能を担っている。
【0038】
端末TEは、オペレータOP(例えば、監視対象ネットワークN1のネットワーク管理者、保守運用担当者等)が使用する端末(例えば、PC等の端末)であるものとする。
【0039】
分析処理部105は、例えば、端末TEに対して、操作画面(例えば、webサービスにより提供可能なweb画面;GUI画面)等のコンテンツを提供することができるものとする。分析処理部105が端末TEに対して操作画面(GUI画面)等のコンテンツを提供する具体的な方式については限定されないものであり種々の方式を適用することができる。また、分析処理部105は、端末TEからの操作入力(例えば、操作画面に対する操作や操作画面を介した情報入力)を受けることも可能であるものとする。
【0040】
この実施形態では、入出力部107は、端末TEに対して、分析処理部105による分析結果を提示するための操作画面(以下、「分析結果表示画面」と呼ぶ)を提示することができるものとする。
【0041】
分析処理部105は、警告情報蓄積部102に蓄積された警告情報と、低次異常情報蓄積部104に蓄積された低次異常情報を分析して、同じ監視データ(同じ事象;同じイベント)に基づいて発生したと推定される警告情報と低次異常情報の組(以下、この組を「データセット」と呼ぶものとする)を抽出する。そして、分析処理部105は、抽出したデータセットごとに分析結果の情報(以下、この情報を「分析結果情報」と呼ぶ)を生成し、生成した分析結果情報を分析結果蓄積部106に供給して蓄積(保持)させる。
【0042】
分析結果蓄積部106は、分析処理部105から供給された分析結果情報を保持する。
【0043】
入出力部107は、分析結果蓄積部106に蓄積された分析結果情報を表示した分析結果表示画面を端末TEに対して提示する。また、入出力部107は、分析結果表示画面に対する操作入力(オペレータOPによる操作入力)に応じて、分析結果蓄積部106の分析結果情報に対する編集処理を受け付けることができるものとする。
【0044】
(A-2)実施形態の動作
次に、この実施形態に係る分析装置10の動作(実施形態に係る分析方法)の詳細について説明する。
次に、この実施形態に係る分析装置10の動作(実施形態に係る分析方法)の詳細について説明する。
【0045】
警告情報収集部101は、サイバー攻撃検知装置41から供給される警告情報を保持して警告情報蓄積部102に蓄積させる。また、低次異常情報収集部103は、低次異常検知装置42から供給される低次異常情報を保持して低次異常情報蓄積部104に蓄積させる。
【0046】
次に、分析処理部105による処理の詳細について説明する。
【0047】
分析処理部105は、警告情報蓄積部102(警告情報)と、低次異常情報蓄積部104(低次異常情報)とを参照して分析し、同一事象に基づく警告情報と低次異常情報の組について抽出する。このとき、警告情報と低次異常情報は1対1の関係でなく、1対多の関係となる場合があってもよい。例えば、あるノードでDoS攻撃が発生している場合は、当該DoS攻撃に起因して複数種類の低次異常が発生する場合がある。DoS攻撃に関連する低次異常としては、例えば「トラフィック量が普段より多い異常」や「受信セッション数が普段より多い異常」が挙げられる。したがって、あるノードでDoS攻撃が発生している場合は、当該ノードについて同じ時間帯で同時間帯にDoS攻撃の警告情報に加えて、「トラフィック量が普段より多い異常」や「受信セッション数が普段より多い異常」の低次異常情報が発生することになる。
【0048】
具体的には、例えば、分析処理部105は、警告情報ごとに、同じ時間帯(例えば、検出時刻が同一又は近接した時刻(時間差が所定期間以内となる時刻))において、同一IPアドレス(同一の通信装置30)からの通信、又は、同一IPアドレス(同一の通信装置30)への通信に対して発生した低次異常情報があった場合、それらのログデータ(警告情報及び低次異常情報)の組を紐づけ、データセットとして取得するようにしてもよい。
【0049】
ここで、通信装置30-1のIPアドレスをIPアドレスAとする。このとき、IPアドレスAのノード(通信装置30-1)宛のDoS攻撃が発生しておりサイバー攻撃検知装置41により、当該攻撃が検出されて警告情報が生成され、分析装置10に供給されたものとする。そして、同じ時間帯において、低次異常検知装置42が、IPアドレスAについて「トラフィック量が普段より多い異常」と「受信セッション数が普段より多い異常」の低次異常を検知し、それぞれの低次異常について低次異常情報を生成し、分析装置10に供給したものとする。そうすると、分析処理部105は、IPアドレスAについて、同じ時間帯で、DoS警告情報と、2つの低次異常情報(「トラフィック量が普段より多い異常」と「受信セッション数が普段より多い異常」の低次異常)が抽出されるため、これらのログデータの組が1つのデータセットとして抽出されることになる。
【0050】
そして、分析処理部105は、抽出したデータセットに基づいて分析結果情報を生成し、生成した分析結果情報を分析結果蓄積部106に蓄積(追加)する。
【0051】
分析結果情報には、抽出したデータセットの警告情報に基づく情報と低次異常情報に基づく情報とが含まれる。低次異常情報に基づく情報としては、例えば、発生した低次異常に係るメタIDの一覧(以下、「低次異常リスト」と呼ぶ)が挙げられる。例えば、分析結果情報には、警告情報に低次異常リストを付加した情報を含むようにしてもよい。
【0052】
図4は、分析結果蓄積部106に蓄積される分析結果情報の一覧について示した図である。
【0053】
【0054】
この実施形態では、分析処理部105は、分析結果情報に対応処理(事象に対してオペレータOPが行うべき処置の内容)を示す文字列の情報を「対応処置情報」として付加するものとする。分析結果情報に付加される対応処置情報は、オペレータOP(端末TE)からの入力情報(入出力部107を介して入力される情報)に基づいて登録/編集可能とするようにしてもよい。そして、分析処理部105は、分析結果蓄積部106に蓄積されている分析結果情報(既に対応処置情報が付加された分析結果情報;以下、「既登録分析結果情報」と呼ぶ)に基づいて、最新に発生(検知)した分析結果情報(対応処置情報が未入力の分析結果情報;以下、「新規登録分析結果情報」と呼ぶ)の対応処置情報を入力するようにしてもよい。
【0055】
例えば、分析処理部105は、分析結果蓄積部106に蓄積されている既登録分析結果情報から、最新に発生した新規登録分析結果情報と、検知攻撃名と低次異常リスト内容の組合せが一致するものを抽出して、抽出した既登録分析結果情報の対応処置情報をコピーして新規登録分析結果情報の対応処置情報に設定するようにしてもよい。また、分析処理部105は、新規登録分析結果情報と、検知攻撃名と低次異常リスト内容の組合せが完全に一致する既登録分析結果情報が無い場合でも、類似する(一致度の高い)既登録分析結果情報を抽出するようにしてもよい。例えば、分析処理部105は、新規登録分析結果情報と、検知攻撃名と低次異常リスト内容の組合せが完全に一致する既登録分析結果情報はみつからないが、少なくとも検知攻撃名が一致し、低次異常リストについても不一致な要素が所定数以下(例えば、3以下)であれば類似するものとして抽出するようにしてもよい。例えば、分析結果蓄積部106の内容が図4のような状態であった場合を想定する。このとき、新規登録分析結果情報の攻撃検知名がDoS攻撃、低次異常リストの内容が1、3、5であったとする。そうすると、当該新規登録分析結果情報は、図4に示す管理番号1の既登録分析結果情報とは、攻撃検知名が一致し、低次異常リストで異なる要素が1つのみ(3以下)であるため、分析処理部105は当該新規登録分析結果情報の対応処置情報に、管理番号1の既登録分析結果情報の対応処置情報をコピーして設定することができる。
【0056】
また、分析処理部105は、新規登録分析結果情報と内容が一致又は類似する既登録分析結果情報が無い場合は、当該新規登録分析結果情報の対応処置情報は空欄のまま分析結果蓄積部106に設定するようにしてもよい。当該新規登録分析結果情報の対応処置情報については、後にオペレータOP(端末TE)からの入力(入出力部107を介した入力)を受けることができる。
【0057】
なお、分析処理部105は、警告情報と紐づけできない低次異常情報があった場合は、同じノード(通信装置30)について同時間帯(検出時刻が同一又は近接した時刻(時間差が所定期間以内となる時刻))に検知した低次異常情報を集めて1つのデータセットとし、当該データセット(警告情報を含まないデータセット)に基づいて1つの分析結果情報を生成するようにしてもよい。つまり、この実施形態において、分析結果蓄積部106には検知攻撃名を空欄とする分析結果情報が存在してもよい。検知攻撃名を空欄とする分析結果情報において、検知時刻は対応するデータセットを構成する低次異常情報のうちいずれかの検知時刻(例えば、最も最初の検知時刻)を選択して設定するようにしてもよい。分析処理部105は、検知攻撃名を空欄とする新規登録分析結果情報については、同じく検知攻撃名を空欄とする既登録分析結果情報から、低次異常リストが一致若しくは類似するものを抽出するようにしてもよい。
【0058】
以上のように、分析処理部105は分析処理等を行う。
【0059】
入出力部107は、分析結果蓄積部106の情報(すなわち、分析結果情報)を表示するための分析結果表示画面を生成して、端末TE(オペレータOP)に提示する処理を行う。例えば、入出力部107は、分析結果蓄積部106に分析結果情報が追加又は更新される度に分析結果表示画面を更新して最新の分析結果情報を含めて表示(リロード)するようにしてもよい。
【0060】
図5は、分析結果表示画面の構成例について示した図である。
【0061】
【0062】
図5に示すように、入出力部107は、分析結果表示画面に分析結果蓄積部106に記録された分析結果情報の一部又は全部を表示するようにしてもよいし、さらに情報を付加して表示するようにしてもよい。図5に示す分析結果表示画面では、低次異常リストについてメタIDだけではなく、当該メタIDに対応する項目名(低次異常の内容)のテキストが付記されている。
【0063】
入出力部107は、分析結果表示画面において、対応処置情報のセルの入力(空欄に対する入力)/更新(既入力内容の更新)を受け付ける構成としてもよい。その場合、入出力部107は、管理番号(列)ごとの対応処置情報のセルについてテキスト入力/更新を受付け、入力/更新されたテキストデータを当該管理番号に対応する分析結果情報に付加される対応処置情報として取得し、分析結果蓄積部106に入力/更新するようにしてもよい。
【0064】
以上のように、オペレータOPには、分析結果表示画面により攻撃手法(検知攻撃名)と低次異常リストを含む分析結果情報(イベント)が提示されることになる。これにより、オペレータOPは、攻撃手法(検知攻撃名)と低次異常リストに基づく事象(イベント)に応じた対処を行った後、分析結果表示画面に当該事象に対する対応処置情報を書き込んで記録(分析結果蓄積部106に記録)することができる。そして、オペレータOPにより対応処置情報が付加された既登録分析結果情報は分析処理部105により参照(フィードバック)され、新規登録分析結果情報に設定する対応処置情報の設定に活用されることになる。
【0065】
(A-3)実施形態の効果
この実施形態では、以下のような効果を奏することができる。
この実施形態では、以下のような効果を奏することができる。
【0066】
この実施形態の分析装置10では、オペレータOPにより対応処置情報が付加された既登録分析結果情報は分析処理部105により参照され、新規登録分析結果情報に設定する対応処置情報の設定に利用されることになる。つまり、この実施形態の分析装置10では、攻撃手法(検知攻撃名)と低次異常の内容(低次異常リストの内容)の組合せに応じた事象(イベント)に対して推奨される対応処置情報(オペレータOPにより入力された対応処置情報)が蓄積され、その推奨される対応処置情報が後の事象(イベント)の分析結果情報に対する対応処置情報に反映(フィードバック)されることになる。これにより、この実施形態の分析装置10から分析結果情報の提示を受けたオペレータOPは、当該分析結果情報に対応する事象について推奨される対応処置情報に沿った対処を行うことが可能となる。
【0067】
言い換えると、この実施形態の分析装置10を利用することで、攻撃検知名だけでは対応策が絞り切れない状況においても、攻撃検知名に低次異常リスト(普段との違いとして検知した異常検知情報)をメタ情報として付与してひとまとまりの事象(イベント)として扱って、より的確な内容(対応処置を判断しやすい内容)の分析結果情報をオペレータOPに提示することができる。
【0068】
また、この実施形態の分析装置10では、警告情報と紐づかない低次異常情報があった場合でも、検知攻撃名を空欄とする分析結果情報として分析結果蓄積部106に登録可能としている。これにより、この実施形態では、仮にサイバー攻撃検知装置41で検知されない攻撃が発生した場合でも、低次異常が発生していれば、分析処理部105が低次異常リストのみに基づいて攻撃性のあるイベントとして分析し、未知のサイバー攻撃かもしれない事象に対しても対応処置情報を蓄積し、オペレータOPへの推奨対応処置として提示することができる。
【0069】
(B)他の実施形態
本発明は、上記の各実施形態に限定されるものではなく、以下に例示するような変形実施形態も挙げることができる。
本発明は、上記の各実施形態に限定されるものではなく、以下に例示するような変形実施形態も挙げることができる。
【0070】
(B-1)上記の実施形態の分析装置10では、初期状態において、分析結果蓄積部106における既登録分析結果情報(対応処置情報まで含めて記述された分析結果情報)については空であるものとしていたが、予め別の環境(例えば、別の分析装置10)で生成された既登録分析結果情報を蓄積した状態から運用を開始するようにしてもよい。これにより、分析装置10を導入直後からでもオペレータOPに対して適切な対応処置情報を提供することが可能となる。また、上記のように、複数の環境(複数の環境の分析装置10)における既登録分析結果情報を共通の対応処置のノウハウとして統合してゆくことで、誤検知として埋もれてしまう警告情報の中から対応が必要な事象への対応の取りこぼしを抑止することができる。
【0071】
(B-2)上記の実施形態において、分析処理部105は、分析結果情報に、オペレータOPによる事象の解析に寄与するその他の情報(以下、「解析情報」と呼ぶ)を付加するようにしてもよい。
【0072】
例えば、解析情報として、低次異常リストに示される各低次異常に関するパラメータ(外れ値の対象となっているパラメータ)を入力するようにしてもよい。例えば、トラフィック量に関する低次異常(例えば、メタID1、2の低次異常)については実際に低次異常検知装置42で検知されたトラフィック量(例えば、MB/minを単位とする値)を解析情報に設定するようにしてもよい。また、例えば、ポートアクセス数に関する低次異常(例えば、メタID3、4の低次異常)については実際に低次異常検知装置42で検知されたポートアクセス数を解析情報に設定するようにしてもよい。さらに、例えば、接続機器数に関する低次異常(例えば、メタID5、6の低次異常)については実際に低次異常検知装置42で検知された接続機器数を解析情報に設定するようにしてもよい。
【0073】
この場合、低次異常検知装置42が出力する低次異常情報には、上記のような低次異常に対応するパラメータが含まれている必要がある。そして、分析処理部105は、低次異常情報に含まれている上記のパラメータを用いて対応する分析結果情報の解析情報の内容を設定する。
【0074】
図6は、分析結果蓄積部106に蓄積される分析結果情報に解析情報の行が付加された状態について示している。
【0075】
図6では解析情報に、低次異常リストに示される各低次異常に対応するパラメータ(実際のパラメータの異常値(外れ値)自体)が入力されている。例えば、管理番号1の分析結果情報では、メタID1、3、5に対応するパラメータとしてトラフィック量、ポートアクセス数及び接続機器数のパラメータが入力されている。
【0076】
(B-3)上記の実施形態では、分析装置10と監視装置群40(サイバー攻撃検知装置41、低次異常検知装置42)は別装置としているが、分析装置10に監視装置群40を搭載するようにしてもよい。また、上記の実施形態では、分析装置10と端末TE(オペレータOPとのユーザインタフェース)は別装置としているが、分析装置10自体にオペレータOPとのユーザインタフェース(例えば、ディスプレイやキーボード等のデバイス)を搭載するようにしてもよい。
【符号の説明】
【0077】
10…分析装置,20…ゲートウェイ,21…インタフェース,30…通信装置,40…監視装置群,41…サイバー攻撃検知装置,42…低次異常検知装置,101…警告情報収集部,102…警告情報蓄積部,103…低次異常情報収集部,104…低次異常情報蓄積部,105…分析処理部,107…入出力部,106…分析結果蓄積部,N1…監視対象ネットワーク,N2…外部ネットワーク
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】