知財求人 - 知財ポータルサイト「IP Force」
特開2024-17039攻撃状況出力プログラム、攻撃状況出力装置、攻撃状況出力システム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024017039
(43)【公開日】2024-02-08
(54)【発明の名称】攻撃状況出力プログラム、攻撃状況出力装置、攻撃状況出力システム
(51)【国際特許分類】
G06F 21/55 20130101AFI20240201BHJP
【FI】
G06F21/55 320
【審査請求】未請求
【請求項の数】7
【出願形態】OL
(21)【出願番号】P 2022119406
(22)【出願日】2022-07-27
(71)【出願人】
【識別番号】000005223
【氏名又は名称】富士通株式会社
(74)【代理人】
【識別番号】100087480
【弁理士】
【氏名又は名称】片山 修平
(72)【発明者】
【氏名】及川 孝徳
(72)【発明者】
【氏名】小久保 博崇
(72)【発明者】
【氏名】森川 郁也
(57)【要約】 (修正有)
【課題】優先して対処すべき端末を判断できる情報を出力する攻撃状況出力プログラム、攻撃状況出力装置、攻撃状況出力システムを提供する。
【解決手段】複数のユーザ端末と、検出装置としてのIDS(Intrusion Detection System)端末と、攻撃状況出力装置と、インターネットなどのネットワークに接続されている攻撃状況出力システムにおいて、攻撃状況出力装置20は、IDSアラートDBから抽出条件を満たすIDSアラートを抽出するIDSアラート抽出部、ユーザ端末単位でまとめられたIDSアラートを用いて、異常な端末(アノマリ端末)を検出するアノマリ検出を実行するアノマリ検出部及び異常な端末の情報(IPアドレス)と、異常な端末として検出されたときの抽出条件に対応する攻撃内容の情報と、を関連付けて出力する結果出力部を有する。
【選択図】図4
【解決手段】複数のユーザ端末と、検出装置としてのIDS(Intrusion Detection System)端末と、攻撃状況出力装置と、インターネットなどのネットワークに接続されている攻撃状況出力システムにおいて、攻撃状況出力装置20は、IDSアラートDBから抽出条件を満たすIDSアラートを抽出するIDSアラート抽出部、ユーザ端末単位でまとめられたIDSアラートを用いて、異常な端末(アノマリ端末)を検出するアノマリ検出を実行するアノマリ検出部及び異常な端末の情報(IPアドレス)と、異常な端末として検出されたときの抽出条件に対応する攻撃内容の情報と、を関連付けて出力する結果出力部を有する。
【選択図】図4
【特許請求の範囲】
【請求項1】
攻撃の脅威度を含む通信の情報の中から前記脅威度が第1条件を満たす第1の通信の情報を抽出し、
各端末の前記第1の通信の情報を用いて、異常な端末を検出するアノマリ検出処理を実行し、
前記アノマリ検出処理により異常な端末として検出された第1の端末の情報と、前記第1条件に対応する攻撃内容の情報と、を関連付けて出力する、
処理をコンピュータに実行させる攻撃状況出力プログラム。
各端末の前記第1の通信の情報を用いて、異常な端末を検出するアノマリ検出処理を実行し、
前記アノマリ検出処理により異常な端末として検出された第1の端末の情報と、前記第1条件に対応する攻撃内容の情報と、を関連付けて出力する、
処理をコンピュータに実行させる攻撃状況出力プログラム。
【請求項2】
前記第1条件を異ならせて、前記抽出する処理と、前記アノマリ検出処理と、を複数回実行し、
前記出力する処理では、前記複数回のアノマリ検出処理のうちの少なくとも1回において異常な端末として検出された第1の端末の情報と、前記第1の端末に関する前記複数回のアノマリ検出処理の結果に対応する攻撃内容の情報と、を関連付けて出力する、ことを特徴とする請求項1に記載の攻撃状況出力プログラム。
前記出力する処理では、前記複数回のアノマリ検出処理のうちの少なくとも1回において異常な端末として検出された第1の端末の情報と、前記第1の端末に関する前記複数回のアノマリ検出処理の結果に対応する攻撃内容の情報と、を関連付けて出力する、ことを特徴とする請求項1に記載の攻撃状況出力プログラム。
【請求項3】
前記抽出する処理を、前記第1の通信を抽出する条件が緩くなるように前記第1条件を段階的に変更しつつ、複数回実行し、
前記出力する処理では、前記第1の端末が、前記第1条件を変更する前と後において異常な端末と検出されたか否かと、前記第1の端末の前記第1の通信の数が、前記第1条件を変更する前と後において変化したか否かと、に基づいて、出力する攻撃内容の情報を決定する、ことを特徴とする請求項2に記載の攻撃状況出力プログラム。
前記出力する処理では、前記第1の端末が、前記第1条件を変更する前と後において異常な端末と検出されたか否かと、前記第1の端末の前記第1の通信の数が、前記第1条件を変更する前と後において変化したか否かと、に基づいて、出力する攻撃内容の情報を決定する、ことを特徴とする請求項2に記載の攻撃状況出力プログラム。
【請求項4】
前記抽出する処理を、前記第1の通信を抽出する条件が重複しないように前記第1条件を段階的に変更しつつ、複数回実行し、
前記出力する処理では、前記第1の端末が、前記アノマリ検出処理において異常な端末と検出されたときの前記第1条件の内容と、前記アノマリ検出処理において異常な端末と検出されなかったときの前記第1条件で前記第1の通信が抽出されていたか否かと、に基づいて、出力する攻撃内容の情報を決定する、ことを特徴とする請求項2に記載の攻撃状況出力プログラム。
前記出力する処理では、前記第1の端末が、前記アノマリ検出処理において異常な端末と検出されたときの前記第1条件の内容と、前記アノマリ検出処理において異常な端末と検出されなかったときの前記第1条件で前記第1の通信が抽出されていたか否かと、に基づいて、出力する攻撃内容の情報を決定する、ことを特徴とする請求項2に記載の攻撃状況出力プログラム。
【請求項5】
前記出力する処理において出力する攻撃内容の情報は、攻撃に関連する脅威度と、潜伏端末の業務に関連する脅威度と、の少なくとも一方の情報であることを特徴とする請求項1~4のいずれか一項に記載の攻撃状況出力プログラム。
【請求項6】
攻撃の脅威度を含む通信の情報の中から前記脅威度が第1条件を満たす第1の通信の情報を抽出する抽出部と、
各端末の前記第1の通信の情報を用いて、異常な端末を検出するアノマリ検出処理を実行する実行部と、
前記アノマリ検出処理により異常な端末として検出された第1の端末の情報と、前記第1条件に対応する攻撃内容の情報と、を関連付けて出力する出力部と、を備える攻撃状況出力装置。
各端末の前記第1の通信の情報を用いて、異常な端末を検出するアノマリ検出処理を実行する実行部と、
前記アノマリ検出処理により異常な端末として検出された第1の端末の情報と、前記第1条件に対応する攻撃内容の情報と、を関連付けて出力する出力部と、を備える攻撃状況出力装置。
【請求項7】
攻撃の脅威度を含む通信の情報を検出する検出装置と、
前記検出装置の検出結果を取得し、取得した検出結果から、前記脅威度が第1条件を満たす第1の通信の情報を抽出し、各端末の前記第1の通信の情報を用いて、異常な端末を検出するアノマリ検出処理を実行し、前記アノマリ検出処理により異常な端末として検出された第1の端末の情報と、前記第1条件に対応する攻撃内容の情報と、を関連付けて出力する、攻撃状況出力装置と、
を備える攻撃状況出力システム。
前記検出装置の検出結果を取得し、取得した検出結果から、前記脅威度が第1条件を満たす第1の通信の情報を抽出し、各端末の前記第1の通信の情報を用いて、異常な端末を検出するアノマリ検出処理を実行し、前記アノマリ検出処理により異常な端末として検出された第1の端末の情報と、前記第1条件に対応する攻撃内容の情報と、を関連付けて出力する、攻撃状況出力装置と、
を備える攻撃状況出力システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、攻撃状況出力プログラム、攻撃状況出力装置、攻撃状況出力システムに関する。
【背景技術】
【0002】
コンピュータ及び電気通信網の発達に伴い、データ通信が飛躍的に普及している。企業ばかりでなく一般個人もインターネットに接続し、各種情報をダウンロードしたり、自分のウェブページを設けて情報を発信するようになってきている。
【0003】
近年、一部の悪意を持つ者がコンピュータウイルスをばら撒いたり、コンピュータへ不正にアクセスして個人情報や秘密情報を盗み出したり、特定のサーバへ攻撃を仕掛けてその利用をできなくするようなことが発生している。不正アクセスを防止するための装置として、ファイアウォールコンピュータのほか、内部ネットワークを流れるデータを監視して不正なアクセスを検知する不正侵入検知装置(Intrusion Detection System:IDS)が知られている。
【0004】
不正侵入検知装置(IDS)は、ネットワークに流れるパケットを監視して、不正アクセスの可能性のあるパケットを発見したときにアラートを行うとともに、当該通信記録を収集して保存する装置である。不正侵入検知装置は、Dos(Denial of Services)攻撃やDDos(Distributed Denial of Service)攻撃を検知することができる。また、IDSによる不正アクセス検知の方式としては、「シグネチャ」ベースの侵入検知が知られている。この方式は、予め登録されたシグネチャと呼ばれる侵入手口のパターンとマッチングを行うことにより侵入を検知するというものである。
【0005】
また、最近では、IDSで検知されたアラート(誤検知も含む)を用いて、異常な端末(不審な端末)を検出する技術としてアノマリ端末検出技術が知られている。この技術は、アラートを送信元端末単位でまとめ、端末の多くは正常な端末であるという前提の下、教師なし学習により異常な端末を検出するというものである。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】国際公開第2021/038870
【特許文献2】特開2010-55566号公報
【特許文献3】米国特許出願公開第2016/0359891号明細書
【特許文献4】米国特許出願公開第2017/0323102号明細書
【発明の概要】
【発明が解決しようとする課題】
【0007】
IDSで利用するシグネチャには脅威度が設定されているため、IDSで検知されるアラートにも脅威度が紐づけられている。したがって、IDSで検知されたアラートを用いて異常な端末をアノマリ検出する場合、脅威度に基づいてアラートを取捨選択することで、アノマリ検出の精度を高めることができる。
【0008】
しかしながら、アノマリ検出の結果として異常な端末の情報が出力されても、異常な端末それぞれがどのような攻撃をしているのかは不明である。したがって、管理者等は、異常な端末のうち、いずれの端末を優先して対処すべきかを判断するのが難しい。
【0009】
1つの側面では、本発明は、優先して対処すべき端末を判断できる情報を出力することが可能な攻撃状況出力プログラム、攻撃状況出力装置及び攻撃状況出力システムを提供することを目的とする。
【課題を解決するための手段】
【0010】
一つの態様では、攻撃状況出力プログラムは、攻撃の脅威度を含む通信の情報の中から前記脅威度が第1条件を満たす第1の通信の情報を抽出し、各端末の前記第1の通信の情報を用いて、異常な端末を検出するアノマリ検出処理を実行し、前記アノマリ検出処理により異常な端末として検出された第1の端末の情報と、前記第1条件に対応する攻撃内容の情報と、を関連付けて出力する、処理をコンピュータに実行させるプログラムである。
【発明の効果】
【0011】
優先して対処すべき端末を判断できる情報を出力することができる。
【図面の簡単な説明】
【0012】
【図1】一実施形態に係る攻撃状況出力システムの構成を概略的に示す図である。
【図2】IDSアラートの一例を示す図である。
【図3】攻撃状況出力装置のハードウェア構成の一例を示す図である。
【図4】攻撃状況出力装置の機能ブロック図である。
【図10】攻撃状況決定条件の一例を示す図である。
【図11】管理者へ提示する画面例を示す図である。
【図13】攻撃状況出力装置の処理を示すフローチャートである。
【図14】中間データの一例を示す図である。
【図18】変形例1に係る攻撃状況出力装置の処理を示すフローチャートである。
【図19】変形例2において用いる攻撃状況決定条件を示す図である。
【図20】変形例2に係る攻撃状況出力装置の処理を示すフローチャートである。
【発明を実施するための形態】
【0013】
【0014】
図1には、一実施形態に係る攻撃状況出力システム100の構成が概略的に示されている。図1の攻撃状況出力システム100は、複数のユーザ端末70と、検出装置としてのIDS(Intrusion Detection System)端末20と、攻撃状況出力装置30と、を備える。攻撃状況出力システム100に含まれる各装置は、インターネットなどのネットワーク80に接続されている。
【0015】
ユーザ端末70は、コンピュータ端末などの情報処理装置であり、ネットワーク80へアクセスする機能(ネットワーク80を介して情報を送受信する機能)を有する。
【0016】
IDS端末20は、情報処理装置(ワークステーションやサーバなど)又はネットワークアプライアンス装置である。IDS端末20は、ネットワーク80を流れる全てのパケットを監視し、検出ルール(シグネチャ)に合致する通信を、攻撃活動の可能性のある不審な通信としてアラートする。ここで、IDSのオープンソースソフトウェア(OSS)としては、SnortやSuricataなどが知られている。IDSアラートは、例えば、図2に示すようなデータ構造を有する。なお、本実施形態では、図2の1行で示されるアラートをIDSアラートと呼び、複数のIDSアラートを含んでIDSアラート群と呼ぶものとする。IDSアラートは、図2に示すように、日時(Date)、プロトコル(Protocol)、送信元IP(SrcIP)、送信元ポート(SrcPort)、送信先IP(DstIP)、送信先ポート(DstPort)、脅威度(PriorityやSeverity)、シグネチャID(SID)等の情報を含む。なお、「脅威度」は、IDSアラートが攻撃であった場合の被害の深刻度を示す指標値である。図2において、例えば、上から1つ目と2つ目のIDSアラートは、脅威度「3」のシグネチャ「10001」と合致した通信であり、上から3つ目のIDSアラートは、脅威度「1」のシグネチャ「12004」と合致した通信である。IDS端末20は、図2のようなIDSアラート群を攻撃状況出力装置30へ送信する。シグネチャの記述形式は製品などによって異なる。一例としては、その操作に必要な権限が大きさによって脅威度が決まる。管理者権限でないと実行できない操作であれば脅威度が高くなる。
【0017】
攻撃状況出力装置30は、ユーザ端末70のセキュリティに関する状況を管理するセンタに設置されている情報処理装置(ワークステーションやサーバなど)である。攻撃状況出力装置30は、IDS端末20から送信されてきたIDSアラート群(図2)を取得して分析し、異常な端末に関する情報を出力する。
【0018】
ここで、IDS端末20から送信されてくるIDSアラートの中には、シグネチャに合致する業務通信(誤検知)も含まれている。攻撃活動には、業務において頻繁に行われる操作も用いられるためである。そこで、本実施形態の攻撃状況出力装置30は、膨大な数のIDSアラートの中から特に不審なものを抽出するためのアプローチとして「アノマリ検出」を実行する。
【0019】
図3には、攻撃状況出力装置30のハードウェア構成の一例が示されている。図3に示すように、攻撃状況出力装置30は、CPU(Central Processing Unit)90、ROM(Read Only Memory)92、RAM(Random Access Memory)94、記憶部(ここではSSD(Solid State Drive)やHDD(Hard Disk Drive))96、ネットワークインタフェース97、表示部93、入力部95、及び可搬型記憶媒体用ドライブ99等を備えている。表示部93は、液晶ディスプレイや有機ELディスプレイ等を含み、入力部95は、キーボード、マウス、タッチパネル等を含む。これら攻撃状況出力装置30の構成各部は、バス98に接続されている。攻撃状況出力装置30では、ROM92あるいは記憶部96に格納されているプログラム(攻撃状況出力プログラムを含む)、或いは可搬型記憶媒体用ドライブ99が可搬型記憶媒体91から読み取ったプログラムをCPU90が実行することにより、図4に示す各部の機能が実現されている。なお、図4の各部の機能は、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路により実現されてもよい。
【0020】
図4には、攻撃状況出力装置30の機能ブロック図が示されている。図4に示すように、攻撃状況出力装置30は、抽出部としてのIDSアラート抽出部40と、実行部としてのアノマリ検出部42と、検出結果分析部44と、結果出力部46と、を有する。
【0021】
IDSアラート抽出部40は、IDSアラートDB50に格納されているIDSアラート(IDS端末20から取得したIDSアラート群)の一部または全部(第1の通信の情報)を、フィルタ条件(第1条件)に基づいて抽出する。また、IDSアラート抽出部40は、抽出したIDSアラートを送信元のユーザ端末70ごと(SrcIPごと)にまとめる処理を実行する。なお、本実施形態におけるフィルタ条件(抽出条件とも呼ぶ)は、脅威度「3」以上、「2」以上、「1」以上というように抽出範囲(下限値)を段階的に変更するものである。ただし、これに限らず、フィルタ条件(抽出条件)には、脅威度「1」以下、「2」以下、「3」以下というように抽出範囲(上限値)を段階的に変更するものもある。また、フィルタ条件(抽出条件)には、脅威度「1」のみ、「2」のみ、「3」のみというように抽出範囲を段階的に変更するものもある。管理者は、どのフィルタ条件を用いるかを予め設定することができる。
【0022】
アノマリ検出部42は、送信元のユーザ端末70(SrcIP)ごとにまとめられたIDSアラート(群)を用いて、アノマリ検出を実行する。アノマリ検出は、アノマリ検知、異常検知、Anomaly Detectionなどとも呼ばれ、与えられたデータ全体の大部分が正常であるという前提に基づいて異常なデータを検出する「教師なし学習」に分類される機械学習である。
【0023】
ここで、一例として、図5(a)に示すようなIDSアラート群がIDSアラートDB50に格納されているとする。なお、図5(a)においては、説明に必要な列以外の列を省略して示している。この場合に、脅威度(Priority)「1」以上という条件でIDSアラートを抽出し、ユーザ端末70ごと(SrcIPごと)にまとめた結果、図5(b)に示すようになったとする。なお、図5(b)には、送信元IP「10.10.10.10」と「10.200.10.3」のIDSアラートをまとめた例が示されているが、その他の送信元IPのIDSアラートについても同様にまとめられる。
【0024】
一方、図6(a)に示すように、脅威度(Priority)「3」以上という条件でIDSアラートを抽出した場合に、ユーザ端末70ごと(SrcIPごと)に抽出されたIDSアラートをまとめた結果、図6(b)に示すようになったとする。
【0025】
図5(c)には、図5(b)に示すユーザ端末70単位でまとめられたIDSアラート(脅威度「1」以上)を用いてアノマリ検出を実行した結果が模式的に示されている。また、図6(c)には、図6(b)に示すユーザ端末70単位でまとめられたIDSアラート(脅威度「3」以上)を用いてアノマリ検出を実行した結果が模式的に示されている。図5(c)においては、IPアドレス「10.10.10.10」のユーザ端末70が異常な端末(アノマリ)として検出されているが、図6(c)においては、IPアドレス「10.10.10.10」のユーザ端末70が異常な端末として検出されていない。このように、IDSアラートの抽出条件が異なると、異常な端末の検出結果が変わる可能性がある。
【0026】
なお、図5(a)~図5(c)、図6(a)~図6(c)の例は、抽出するIDSアラートが多いときにIPアドレス「10.10.10.10」のユーザ端末70が異常な端末として検出される例を示しているが、その逆もある。例えば、図7(a)~図7(c)の例では、脅威度「1」以上という条件でIDSアラートを抽出した場合に、IPアドレス「10.10.10.10」のユーザ端末70が異常な端末として検出されない。一方、図8(a)~図8(c)の例のように、脅威度「3」以上という条件でIDSアラートを抽出すると、IPアドレス「10.10.10.10」のユーザ端末70が異常な端末として検出される。
【0027】
以上のことから、アノマリ検出においては、適切にIDSアラートの抽出条件を設定しないと、異常な端末を検出できない可能性や、攻撃を見逃す可能性があると考えられる。また、抽出条件を段階的に変えて複数回のアノマリ検出を行ったとしても、単に複数回のアノマリ検出の結果を出力するだけでは、どの端末を優先して対処すべきかわからないと考えられる。
【0028】
そこで、本実施形態においては、検出結果分析部44は、抽出条件を段階的に変化させつつアノマリ検出を実行した結果を用いて、各ユーザ端末70の攻撃状況を分析することとする。ここで、検出結果分析部44は、IDSアラートが攻撃の場合には、脅威度の内容に基づいて攻撃進行段階が推測できる、という性質を利用して、攻撃状況の分析を行う。
【0029】
上述したとおり、脅威度は、「その操作に必要な権限が大きさ(例:管理者権限でないと実行できないのでリスク高)」で決められることが多い。
一方、標的型攻撃は、「情報窃取」または「破壊」を目的に、攻撃者が攻撃対象組織内での自身のできることを増やしていく(権限を大きくしてく)方向に進行する。
つまり、
(1)脅威度が低いアラートのみであれば、攻撃者は権限を大きくするために権限の小さい操作で試行錯誤している攻撃初期(諜報活動)と分析でき、
(2)脅威度が低~高すべてのアラートを含む場合には、攻撃中期(探索、情報収集、感染拡大、など幅広い活動)と分析でき、
(3)脅威度が高いアラートのみであれば、試行錯誤は終了し、最終目的である「情報窃取」「破壊」を実施している攻撃末期(破壊的活動)と分析できる。
一方、標的型攻撃は、「情報窃取」または「破壊」を目的に、攻撃者が攻撃対象組織内での自身のできることを増やしていく(権限を大きくしてく)方向に進行する。
つまり、
(1)脅威度が低いアラートのみであれば、攻撃者は権限を大きくするために権限の小さい操作で試行錯誤している攻撃初期(諜報活動)と分析でき、
(2)脅威度が低~高すべてのアラートを含む場合には、攻撃中期(探索、情報収集、感染拡大、など幅広い活動)と分析でき、
(3)脅威度が高いアラートのみであれば、試行錯誤は終了し、最終目的である「情報窃取」「破壊」を実施している攻撃末期(破壊的活動)と分析できる。
【0030】
なお、アラートが業務の場合(誤検知であった場合)には、脅威度が高いアラートが発生しているユーザ端末70は、権限の大きい操作をしている重要な業務端末である可能性が高いと分析できる。
【0031】
例えば、IDSアラート抽出部40が、抽出条件を脅威度「3」以上と設定して、IDSアラートを抽出し、アノマリ検出部42が、抽出されたIDSアラートをユーザ端末70単位にまとめて、アノマリ検出を実行する。次いで、IDSアラート抽出部40が、抽出条件を脅威度「2」以上と設定して、IDSアラートを抽出し、アノマリ検出部42が、抽出されたIDSアラートをユーザ端末70単位にまとめて、アノマリ検出を実行する。更に、IDSアラート抽出部40が、抽出条件を脅威度「1」以上と設定して、IDSアラートを抽出し、アノマリ検出部42が、抽出されたIDSアラートをユーザ端末70単位にまとめて、アノマリ検出を実行する。これらのアノマリ検出の結果、ある端末について、図9(a)に示すような結果が得られたとする。なお、図9(a)の「アノマリ検出」の行には、各条件下でアノマリ検出を行った結果、その端末が異常な端末として検出された場合に「TRUE」、異常な端末として検出されなかった場合に「FALSE」が格納される。また、「アラート数変化」の行には、各条件を用いたときにアラート数がその前の条件のときから変化していれば「あり」、変化していなければ「なし」が格納される。具体的には、抽出条件が脅威度「3」以上のときにIDSアラートが抽出されれば「あり」、抽出されなければ「なし」となる。また、抽出条件が脅威度「2」以上のときにIDSアラートが抽出され、その数が脅威度「3」以上のときに抽出されたIDSアラートの数と異なる場合には「あり」、そうでなければ「なし」となる。また、脅威度「1」以上のときにIDSアラートが抽出され、その数が脅威度「2」以上のときに抽出されたIDSアラートの数と異なる場合には「あり」、そうでなければ「なし」となる。
【0032】
検出結果分析部44は、図9(a)の結果を用いることで、攻撃の状況(「攻撃に関連するアラートの脅威度」、「潜伏端末の業務に関連するアラートの脅威度」)を分析する。例えば、図9(a)の場合、脅威度が「1」以上「2」未満のIDSアラートによって「FALSE」になっている。すなわち、「1」以上「2」未満のアラートは業務活動であり、業務活動に潜伏して「2」以上のアラートの攻撃活動が行われていると考えられる。したがって、検出結果分析部44は、「攻撃に関連するアラート脅威度」が「2」以上であり、「潜伏端末の業務に関連するアラート脅威度」が「1」以上であると分析する。
【0033】
また、例えば、図9(b)のような結果が得られた場合、業務なら本来は「3」以上と「1」以上の両方のIDSアラートが含まれるはずだが、「1」以上が無いためにアノマリ検出された可能性がある。したがって、この場合には、検出結果分析部44は、「攻撃に関連するアラート脅威度」は「3」以上、「潜伏端末の業務に関連するアラート脅威度」は「無し」と分析する。
【0034】
【0035】
図4に戻り、結果出力部46は、検出結果分析部44の分析結果をまとめた画面を生成し、表示部93に表示することにより、管理者に提示する。図11には、管理者に提示する画面例が示されている。結果出力部46は、図11の画面を生成する際に、図12(a)に示す攻撃段階テーブルと、図12(b)に示す潜伏端末の重要度テーブルと、を参照する。なお、図12(a)、図12(b)のテーブルの詳細については後述する。
【0036】
(攻撃状況出力装置30の処理について)
次に、攻撃状況出力装置30の処理について、図13のフローチャートに沿って、その他図面を適宜参照しつつ詳細に説明する。なお、図13の処理は、抽出条件を脅威度「3」以上、「2」以上、「1」以上というように下限を段階的に下げていく場合の処理である。
次に、攻撃状況出力装置30の処理について、図13のフローチャートに沿って、その他図面を適宜参照しつつ詳細に説明する。なお、図13の処理は、抽出条件を脅威度「3」以上、「2」以上、「1」以上というように下限を段階的に下げていく場合の処理である。
【0037】
図13の処理が開始されると、まずステップS10において、IDSアラート抽出部40が、脅威度の下限値を示すパラメータnを3に設定する(n=3)。
【0038】
次いで、ステップS12では、IDSアラート抽出部40が、IDSアラートDB50から脅威度n以上(ここでは、3以上)のIDSアラートを抽出する。ここで、IDSアラート抽出部40は、抽出したIDSアラートをユーザ端末70単位にまとめる処理も実行する。
【0039】
次いで、ステップS14では、アノマリ検出部42が、抽出したIDSアラートに対してアノマリ検出を実行する。
【0040】
次いで、ステップS16では、アノマリ検出部42が、アノマリ検出の結果を中間データに記録する。ここで、中間データは、図14に示すようなデータであるものとする。図14に示すように、中間データには、各ユーザ端末70のIPアドレスに対応付けて、抽出条件(3以上、2以上、1以上)ごとに、「アノマリ検出(TRUE/FALSE)」と、「アラート数変化(あり/なし)」が記録される。
【0041】
次いで、ステップS18では、IDSアラート抽出部40が、パラメータnの値が1であるか否かを判断する。この判断が否定された場合には、ステップS20に移行し、IDSアラート抽出部40は、パラメータnを1デクリメントする(n=n-1)。その後は、ステップS12に戻り、n=2の状態(抽出条件が脅威度2以上)で、ステップS12~S18、S20の処理、判断が実行される。更に、n=1の状態(抽出条件が脅威度1以上)で、ステップS12~S18の処理、判断が実行される。すなわち、抽出条件を段階的に緩くなるように変更しつつ、IDSアラートの抽出とアノマリ検出が実行される。その後、ステップS18の判断が肯定されると、ステップS22に移行する。
【0042】
ステップS22に移行すると、検出結果分析部44は、中間データと、攻撃状況決定条件から各ユーザ端末70の攻撃状況を分析する。具体的には、検出結果分析部44は、図14の中間データを、図10の攻撃状況決定条件に照らし合わせることで、攻撃状況を分析する。図15には、図14の中間データの分析結果が示されている。
【0043】
例えば、図14の中間データのIPアドレス「10.10.10.10」の端末の場合、抽出条件「3以上」については、図10の条件1に当てはまる。したがって、検出結果分析部44は、「攻撃に関連するアラート脅威度」に「3以上」を設定する。
【0044】
また、図14の中間データのIPアドレス「10.200.10.2」の端末場合、抽出条件「3以上」、「2以上」、「1以上」が図10の条件1に当てはまる。したがって、検出結果分析部44は、「攻撃に関連するアラート脅威度」に「3以上、2以上、1以上」を設定する。
【0045】
また、図14の中間データのIPアドレス「10.200.10.3」の端末場合、抽出条件「2以上」は、図10の条件1に当てはまる。したがって、検出結果分析部44は、「攻撃に関連するアラート脅威度」に「2以上」を設定する。一方、抽出条件「1以上」は、図10の条件2に当てはまる。したがって、検出結果分析部44は、「潜伏端末の業務に関連するアラート脅威度」に「1以上」を設定する。
【0046】
【0047】
更に、図14の中間データの「10.200.10.5」の場合、抽出条件「1以上」が図10の条件3に当てはまる。したがって、検出結果分析部44は、抽出条件「2以上」より前で、かつ「TRUE」になるまでの「FALSE」かつアラート数が「あり」の変更条件(ここでは「3以上」)を「攻撃に関連するアラート脅威度」に設定する。
【0048】
図13に戻り、次のステップS24では、結果出力部46が、分析結果を出力する。このとき、結果出力部46は、図15の分析結果を、図12(a)、図12(b)のテーブルに基づいて加工して、図11のような画面を生成し、生成した画面を表示部93上に表示する。具体的には、結果出力部46は、図12(a)のテーブルに基づいて、各ユーザ端末70の「攻撃に関連するアラート脅威度」から、各ユーザ端末70の「攻撃段階(攻撃初期/攻撃末期/攻撃初期)」を特定する。また、結果出力部46は、図12(b)のテーブルに基づいて、各ユーザ端末70の「潜伏端末の業務に関連するアラート脅威度」から、「潜伏端末の重要度(高/中/低)」を特定する。また、結果出力部46は、「潜伏端末の重要度」が高、中、低のいずれであっても、図11の画面の「潜伏」を「あり」とする。
【0049】
以上の処理により、図13の全処理が終了する。図11の画面には、各ユーザ端末70の攻撃段階、潜伏有無、潜伏端末の重要度が含まれている。したがって、管理者は、図11の画面を確認することで、どのユーザ端末70から優先して対処するかを適切に判断することが可能である。
【0050】
これまでの説明からわかるように、本実施形態においては、検出結果分析部44と、結果出力部46と、により、異常な端末とされた端末の情報と、攻撃内容の情報と、を関連付けて出力する出力部としての機能が実現されている。
【0051】
以上、詳細に説明したように、本実施形態によると、IDS端末20は、通信を監視して、複数の攻撃の脅威度のいずれかに分類される通信を検出条件(シグネチャ)に従って検出する。すなわち、IDS端末20は、攻撃の脅威度を含む通信の情報を検出する。また、攻撃状況出力装置30において、IDSアラート抽出部40は、IDSアラートDB50から、ある抽出条件を満たすIDSアラートを抽出する(S12)。また、アノマリ検出部42は、各ユーザ端末70の抽出されたIDSアラートを用いて、異常な端末(アノマリ端末)を検出するアノマリ検出を実行する(S14)。そして、検出結果分析部44と結果出力部46は、異常な端末の情報(IPアドレス)と、異常な端末として検出されたときの抽出条件に対応する攻撃内容の情報と、を関連付けて出力する(S22、S24、図11)。これにより、攻撃状況出力装置30は、優先して対処すべきユーザ端末70を判断できる情報を出力することができる。したがって、管理者は、図11の画面を確認することで、どのユーザ端末70から優先して対処するかを適切に判断することが可能である。
【0052】
また、本実施形態では、IDSアラート抽出部40が用いる抽出条件を異ならせて、IDSアラートを抽出する処理(S12)とアノマリ検出する処理(S14)と、が複数回実行される。また、検出結果分析部44と結果出力部46は、異常な端末として少なくとも1回検出されたユーザ端末70の情報(IPアドレス)と、複数回のアノマリ検出の結果に対応する攻撃内容の情報と、を関連付けて出力する。これにより、複数回のアノマリ検出の結果に対応する詳細な攻撃内容の情報を管理者に提供することができる。また、本実施形態によれば、管理者は抽出条件を手動で変更しなくてもよく、IDS端末20から得られたIDSアラート群から適切な情報を得ることが可能である。
【0053】
また、本実施形態では、IDSアラート抽出部40が用いる抽出条件が緩くなるように段階的に異ならせて、IDSアラートを抽出する処理(S12)とアノマリ検出する処理(S14)と、が複数回実行される。また、検出結果分析部44と結果出力部46は、抽出条件を変更する前後において異常な端末と検出されたか(TRUE/FALSE)と、抽出されたIDSアラートの数が変化したか(あり/なし)に基づいて、出力する情報を決定する(図10参照)。これにより、精度の高い攻撃内容の情報を管理者に提供することができる。
【0054】
なお、上記実施形態では、検出結果分析部44は、図10の攻撃状況決定条件に基づいて、図15に示すような分析を行う場合について説明したが、これに限られるものではない。例えば、図16、図17のように、中間データに含まれる可能性のある「TRUE/FALSE」、「あり/なし」の全組み合わせに対して、「攻撃に関連するアラート脅威度」と「潜伏端末の業務に関連するアラート脅威度」とを紐づけた表を予め用意してもよい。この場合、検出結果分析部44は、図14の中間データを図16、図17の表に当てはめるだけで、図15の分析結果を得ることができるため、処理負荷を軽減することができる。
【0055】
(変形例1)
上記実施形態では、IDSアラート抽出部40は、脅威度「3」以上、「2」以上、「1」以上、というように抽出条件を段階的に変更する場合について説明した。この方法によれば、脅威度の高いアラートを重視した分析が可能である。ただし、これに限らず、例えば、IDSアラート抽出部40は、脅威度「1」以下、「2」以下、「3」以下というように抽出条件を段階的に変更してもよい。この方法によれば、脅威度の低いアラートを重視した分析が可能である。
上記実施形態では、IDSアラート抽出部40は、脅威度「3」以上、「2」以上、「1」以上、というように抽出条件を段階的に変更する場合について説明した。この方法によれば、脅威度の高いアラートを重視した分析が可能である。ただし、これに限らず、例えば、IDSアラート抽出部40は、脅威度「1」以下、「2」以下、「3」以下というように抽出条件を段階的に変更してもよい。この方法によれば、脅威度の低いアラートを重視した分析が可能である。
【0056】
図18には、変形例1を採用した場合の攻撃状況出力装置30の処理がフローチャートにて示されている。図18の処理においては、図13のステップS10、S12、S18、S20に代えて、ステップS10’、S12’、S18’、S20’が実行される。
【0057】
具体的には、図18のステップS10’では、IDSアラート抽出部40が、脅威度の上限値を示すパラメータnを1に設定する(n=1)。
【0058】
次いで、ステップS12’では、IDSアラート抽出部40が、IDSアラートDB50から脅威度n以下のIDSアラートを抽出する。また、IDSアラート抽出部40は、抽出したIDSアラートをユーザ端末70単位にまとめる処理も実行する。その後は、ステップS14、S16が、上記実施形態と同様に実行される。
【0059】
そして、ステップS18’に移行すると、IDSアラート抽出部40は、パラメータnの値が3であるか否かを判断する。この判断が否定された場合には、ステップS20’に移行し、IDSアラート抽出部40は、パラメータnを1インクリメントする(n=n+1)。その後は、ステップS12’に戻る。
【0060】
なお、ステップS22、S24の処理については、上記実施形態と同様である。すなわち、検出結果分析部44は、図10と同様の攻撃状況決定条件を用いて図14と同様の中間データから、図15と同様の分析結果を得る。そして、結果出力部46は、図15と同様の分析結果から、図11と同様の画面を生成し、表示部93上に表示する。
【0061】
以上のように、本変形例1では、IDSアラートの抽出条件として脅威度の上限値を段階的に変更する。このようにしても上記実施形態と同様の効果を得ることができる。
【0062】
(変形例2)
上記実施形態及び変形例1では、抽出条件の下限値又は上限値を段階的に変更する場合について説明したが、これに限られるものではない。例えば、IDSアラート抽出部40は、抽出対象の脅威度を「1」のみ、「2」のみ、「3」のみ、というように段階的に変更してもよい。すなわち、抽出条件が重複しないように段階的に変更してもよい。この方法によれば、個別の脅威度を重視した分析が可能である。
上記実施形態及び変形例1では、抽出条件の下限値又は上限値を段階的に変更する場合について説明したが、これに限られるものではない。例えば、IDSアラート抽出部40は、抽出対象の脅威度を「1」のみ、「2」のみ、「3」のみ、というように段階的に変更してもよい。すなわち、抽出条件が重複しないように段階的に変更してもよい。この方法によれば、個別の脅威度を重視した分析が可能である。
【0063】
図19には、変形例2において用いる攻撃状況決定条件が示されている。本変形例2では、各抽出条件において異常な端末とされたか(TRUE/FALSE)とIDSアラートが抽出されたか(あり/なし)に対応付けて、「攻撃に関連するアラート脅威度」と「潜伏端末の業務に関連するアラート脅威度」が管理されている。なお、本変形例2では、異常な端末とされた抽出条件(「TRUE」となった抽出条件)が、そのまま「攻撃に関連するアラート脅威度」となる。また、異常な端末とされなかったが、IDSアラートが抽出された抽出条件(「FALSE(アラートあり)」となった抽出条件)が「潜伏端末の業務に関連するアラート脅威度」となる。
【0064】
図20には、本変形例2を採用した場合の攻撃状況出力装置30の処理がフローチャートにて示されている。図20の処理においては、図18のステップS12’に代えて、ステップS12”が実行されるが、その他の処理は図18と同様となっている。ステップS12”においては、IDSアラート抽出部40が、IDSアラートDB50から脅威度nのIDSアラートを抽出する。なお、検出結果分析部44は、ステップS22において、図19の攻撃状況決定条件を用いて、アノマリ検出部42の処理結果を分析する。
【0065】
なお、図20においては、図18と同様、ステップS10’、S18’、S20’を実行する場合について説明したが、これに限られるものではない。すなわち、図20のステップS10’、S18’、S20’に代えて、図13のステップS10、S18、S20を実行することとしてもよい。
【0066】
なお、上記実施形態及び変形例では、抽出条件を段階的に変更して、アラートの抽出とアノマリ検出を実行し、異常な端末とされたときの抽出条件に対応する攻撃内容の情報をユーザ端末70の情報と対応付けて出力することとした。しかしながら、これに限らず、1つの抽出条件(第1条件)を用いてアラートを抽出して、アノマリ検出を実行し、その抽出条件に対応する攻撃内容の情報をユーザ端末70の情報と対応付けて出力することとしてもよい。このようにしても、優先して対処すべき端末を判断できる情報を出力することができる。
【0067】
なお、上記の処理機能は、コンピュータによって実現することができる。その場合、処理装置が有すべき機能の処理内容を記述したプログラムが提供される。そのプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。処理内容を記述したプログラムは、コンピュータで読み取り可能な記憶媒体(ただし、搬送波は除く)に記録しておくことができる。
【0068】
プログラムを流通させる場合には、例えば、そのプログラムが記録されたDVD(Digital Versatile Disc)、CD-ROM(Compact Disc Read Only Memory)などの可搬型記憶媒体の形態で販売される。また、プログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することもできる。
【0069】
プログラムを実行するコンピュータは、例えば、可搬型記憶媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、自己の記憶装置に格納する。そして、コンピュータは、自己の記憶装置からプログラムを読み取り、プログラムに従った処理を実行する。なお、コンピュータは、可搬型記憶媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することもできる。また、コンピュータは、サーバコンピュータからプログラムが転送されるごとに、逐次、受け取ったプログラムに従った処理を実行することもできる。
【0070】
上述した実施形態は本発明の好適な実施の例である。但し、これに限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々変形実施可能である。
【0071】
なお、以上の実施形態及び変形例の説明に関して、更に以下の付記を開示する。
(付記1) 攻撃の脅威度を含む通信の情報の中から前記脅威度が第1条件を満たす第1の通信の情報を抽出し、
各端末の前記第1の通信の情報を用いて、異常な端末を検出するアノマリ検出処理を実行し、
前記アノマリ検出処理により異常な端末として検出された第1の端末の情報と、前記第1条件に対応する攻撃内容の情報と、を関連付けて出力する、
処理をコンピュータに実行させる攻撃状況出力プログラム。
(付記2) 前記第1条件を異ならせて、前記抽出する処理と、前記アノマリ検出処理と、を複数回実行し、
前記出力する処理では、前記複数回のアノマリ検出処理のうちの少なくとも1回において異常な端末として検出された第1の端末の情報と、前記第1の端末に関する前記複数回のアノマリ検出処理の結果に対応する攻撃内容の情報と、を関連付けて出力する、ことを特徴とする付記1に記載の攻撃状況出力プログラム。
(付記3) 前記抽出する処理を、前記第1の通信を抽出する条件が緩くなるように前記第1条件を段階的に変更しつつ、複数回実行し、
前記出力する処理では、前記第1の端末が前記第1条件を変更する前と後において異常な端末と検出されたか否かと、前記第1の端末の前記第1の通信の数が、前記第1条件を変更する前と後において変化したか否かと、に基づいて、出力する攻撃内容の情報を決定する、ことを特徴とする付記2に記載の攻撃状況出力プログラム。
(付記4) 前記抽出する処理を、前記第1の通信を抽出する条件が重複しないように前記第1条件を段階的に変更しつつ、複数回実行し、
前記出力する処理では、前記第1の端末が前記アノマリ検出処理において異常な端末と検出されたときの前記第1条件の内容と、前記アノマリ検出処理において異常な端末と検出されなかったときの前記第1条件で前記第1の通信が抽出されていたか否かと、に基づいて、出力する攻撃内容の情報を決定する、ことを特徴とする付記2に記載の攻撃状況出力プログラム。
(付記5) 前記出力する処理において出力する攻撃内容の情報は、攻撃に関連する脅威度と、潜伏端末の業務に関連する脅威度と、の少なくとも一方の情報であることを特徴とする付記1~4のいずれかに記載の攻撃状況出力プログラム。
(付記6) 攻撃の脅威度を含む通信の情報の中から前記脅威度が第1条件を満たす第1の通信の情報を抽出する抽出部と、
各端末の前記第1の通信の情報を用いて、異常な端末を検出するアノマリ検出処理を実行する実行部と、
前記アノマリ検出処理により異常な端末として検出された第1の端末の情報と、前記第1条件に対応する攻撃内容の情報と、を関連付けて出力する出力部と、を備える攻撃状況出力装置。
(付記7) 前記抽出部と前記実行部とが、前記第1条件を異ならせて、前記抽出する処理と前記アノマリ検出処理と、を複数回実行し、
前記出力部は、前記複数回のアノマリ検出処理のうちの少なくとも1回において異常な端末として検出された第1の端末の情報と、前記第1の端末に関する前記複数回のアノマリ検出処理の結果に対応する攻撃内容の情報と、を関連付けて出力する、ことを特徴とする付記6に記載の攻撃状況出力装置。
(付記8) 前記抽出部は、前記第1の通信を抽出する条件が緩くなるように前記第1条件を段階的に変更しつつ、前記抽出する処理を複数回実行し
前記出力部は、前記第1の端末が前記第1条件を変更する前と後において異常な端末と検出されたか否かと、前記第1の端末の前記第1の通信の数が、前記第1条件を変更する前と後において変化したか否かと、に基づいて、出力する攻撃内容の情報を決定する、ことを特徴とする付記7に記載の攻撃状況出力装置。
(付記9) 前記抽出部は、前記第1の通信を抽出する条件が重複しないように前記第1条件を段階的に変更しつつ、前記抽出する処理を複数回実行し、
前記出力部は、前記第1の端末が前記アノマリ検出処理において異常な端末と検出されたときの前記第1条件の内容と、前記アノマリ検出処理において異常な端末と検出されなかったときの前記第1条件で前記第1の通信が抽出されていたか否かと、に基づいて、出力する攻撃内容の情報を決定する、ことを特徴とする付記7に記載の攻撃状況出力装置。
(付記10) 前記出力部が出力する攻撃内容の情報は、攻撃に関連する脅威度と、潜伏端末の業務に関連する脅威度と、の少なくとも一方の情報であることを特徴とする付記6~9のいずれかに記載の攻撃状況出力装置。
(付記11) 攻撃の脅威度を含む通信の情報を検出する検出装置と、
前記検出装置の検出結果を取得し、取得した検出結果から、前記脅威度が第1条件を満たす第1の通信の情報を抽出し、各端末の前記第1の通信の情報を用いて、異常な端末を検出するアノマリ検出処理を実行し、前記アノマリ検出処理により異常な端末として検出された第1の端末の情報と、前記第1条件に対応する攻撃内容の情報と、を関連付けて出力する、攻撃状況出力装置と、
を備える攻撃状況出力システム。
(付記1) 攻撃の脅威度を含む通信の情報の中から前記脅威度が第1条件を満たす第1の通信の情報を抽出し、
各端末の前記第1の通信の情報を用いて、異常な端末を検出するアノマリ検出処理を実行し、
前記アノマリ検出処理により異常な端末として検出された第1の端末の情報と、前記第1条件に対応する攻撃内容の情報と、を関連付けて出力する、
処理をコンピュータに実行させる攻撃状況出力プログラム。
(付記2) 前記第1条件を異ならせて、前記抽出する処理と、前記アノマリ検出処理と、を複数回実行し、
前記出力する処理では、前記複数回のアノマリ検出処理のうちの少なくとも1回において異常な端末として検出された第1の端末の情報と、前記第1の端末に関する前記複数回のアノマリ検出処理の結果に対応する攻撃内容の情報と、を関連付けて出力する、ことを特徴とする付記1に記載の攻撃状況出力プログラム。
(付記3) 前記抽出する処理を、前記第1の通信を抽出する条件が緩くなるように前記第1条件を段階的に変更しつつ、複数回実行し、
前記出力する処理では、前記第1の端末が前記第1条件を変更する前と後において異常な端末と検出されたか否かと、前記第1の端末の前記第1の通信の数が、前記第1条件を変更する前と後において変化したか否かと、に基づいて、出力する攻撃内容の情報を決定する、ことを特徴とする付記2に記載の攻撃状況出力プログラム。
(付記4) 前記抽出する処理を、前記第1の通信を抽出する条件が重複しないように前記第1条件を段階的に変更しつつ、複数回実行し、
前記出力する処理では、前記第1の端末が前記アノマリ検出処理において異常な端末と検出されたときの前記第1条件の内容と、前記アノマリ検出処理において異常な端末と検出されなかったときの前記第1条件で前記第1の通信が抽出されていたか否かと、に基づいて、出力する攻撃内容の情報を決定する、ことを特徴とする付記2に記載の攻撃状況出力プログラム。
(付記5) 前記出力する処理において出力する攻撃内容の情報は、攻撃に関連する脅威度と、潜伏端末の業務に関連する脅威度と、の少なくとも一方の情報であることを特徴とする付記1~4のいずれかに記載の攻撃状況出力プログラム。
(付記6) 攻撃の脅威度を含む通信の情報の中から前記脅威度が第1条件を満たす第1の通信の情報を抽出する抽出部と、
各端末の前記第1の通信の情報を用いて、異常な端末を検出するアノマリ検出処理を実行する実行部と、
前記アノマリ検出処理により異常な端末として検出された第1の端末の情報と、前記第1条件に対応する攻撃内容の情報と、を関連付けて出力する出力部と、を備える攻撃状況出力装置。
(付記7) 前記抽出部と前記実行部とが、前記第1条件を異ならせて、前記抽出する処理と前記アノマリ検出処理と、を複数回実行し、
前記出力部は、前記複数回のアノマリ検出処理のうちの少なくとも1回において異常な端末として検出された第1の端末の情報と、前記第1の端末に関する前記複数回のアノマリ検出処理の結果に対応する攻撃内容の情報と、を関連付けて出力する、ことを特徴とする付記6に記載の攻撃状況出力装置。
(付記8) 前記抽出部は、前記第1の通信を抽出する条件が緩くなるように前記第1条件を段階的に変更しつつ、前記抽出する処理を複数回実行し
前記出力部は、前記第1の端末が前記第1条件を変更する前と後において異常な端末と検出されたか否かと、前記第1の端末の前記第1の通信の数が、前記第1条件を変更する前と後において変化したか否かと、に基づいて、出力する攻撃内容の情報を決定する、ことを特徴とする付記7に記載の攻撃状況出力装置。
(付記9) 前記抽出部は、前記第1の通信を抽出する条件が重複しないように前記第1条件を段階的に変更しつつ、前記抽出する処理を複数回実行し、
前記出力部は、前記第1の端末が前記アノマリ検出処理において異常な端末と検出されたときの前記第1条件の内容と、前記アノマリ検出処理において異常な端末と検出されなかったときの前記第1条件で前記第1の通信が抽出されていたか否かと、に基づいて、出力する攻撃内容の情報を決定する、ことを特徴とする付記7に記載の攻撃状況出力装置。
(付記10) 前記出力部が出力する攻撃内容の情報は、攻撃に関連する脅威度と、潜伏端末の業務に関連する脅威度と、の少なくとも一方の情報であることを特徴とする付記6~9のいずれかに記載の攻撃状況出力装置。
(付記11) 攻撃の脅威度を含む通信の情報を検出する検出装置と、
前記検出装置の検出結果を取得し、取得した検出結果から、前記脅威度が第1条件を満たす第1の通信の情報を抽出し、各端末の前記第1の通信の情報を用いて、異常な端末を検出するアノマリ検出処理を実行し、前記アノマリ検出処理により異常な端末として検出された第1の端末の情報と、前記第1条件に対応する攻撃内容の情報と、を関連付けて出力する、攻撃状況出力装置と、
を備える攻撃状況出力システム。
【符号の説明】
【0072】
20 IDS端末(検出装置)
30 攻撃状況出力装置
40 IDSアラート抽出部(抽出部)
42 アノマリ検出部(実行部)
44 検出結果分析部(出力部の一部)
46 結果出力部(出力部の一部)
100 攻撃状況出力システム
30 攻撃状況出力装置
40 IDSアラート抽出部(抽出部)
42 アノマリ検出部(実行部)
44 検出結果分析部(出力部の一部)
46 結果出力部(出力部の一部)
100 攻撃状況出力システム
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】