知財求人 - 知財ポータルサイト「IP Force」
特開2025-36270セキュリティログデータの分析を用いたセキュリティ運営装置およびその方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2025036270
(43)【公開日】2025-03-14
(54)【発明の名称】セキュリティログデータの分析を用いたセキュリティ運営装置およびその方法
(51)【国際特許分類】
G06F 21/55 20130101AFI20250306BHJP
【FI】
G06F21/55 320
【審査請求】有
【請求項の数】12
【出願形態】OL
(21)【出願番号】P 2024145878
(22)【出願日】2024-08-27
(31)【優先権主張番号】10-2023-0114222
(32)【優先日】2023-08-30
(33)【優先権主張国・地域又は機関】KR
(31)【優先権主張番号】10-2023-0114225
(32)【優先日】2023-08-30
(33)【優先権主張国・地域又は機関】KR
(31)【優先権主張番号】10-2023-0114220
(32)【優先日】2023-08-30
(33)【優先権主張国・地域又は機関】KR
(31)【優先権主張番号】10-2023-0114221
(32)【優先日】2023-08-30
(33)【優先権主張国・地域又は機関】KR
(31)【優先権主張番号】10-2024-0015466
(32)【優先日】2024-01-31
(33)【優先権主張国・地域又は機関】KR
(31)【優先権主張番号】10-2024-0016277
(32)【優先日】2024-02-01
(33)【優先権主張国・地域又は機関】KR
(31)【優先権主張番号】10-2024-0050802
(32)【優先日】2024-04-16
(33)【優先権主張国・地域又は機関】KR
(31)【優先権主張番号】10-2024-0050807
(32)【優先日】2024-04-16
(33)【優先権主張国・地域又は機関】KR
(31)【優先権主張番号】10-2024-0087730
(32)【優先日】2024-07-03
(33)【優先権主張国・地域又は機関】KR
(31)【優先権主張番号】10-2024-0087765
(32)【優先日】2024-07-03
(33)【優先権主張国・地域又は機関】KR
(71)【出願人】
【識別番号】524321124
【氏名又は名称】コードワン インコーポレイテッド
(74)【代理人】
【識別番号】110001519
【氏名又は名称】弁理士法人太陽国際特許事務所
(72)【発明者】
【氏名】チュン、ヨン イル
(72)【発明者】
【氏名】イ、クァン モク
(72)【発明者】
【氏名】キム、チン ウォン
(72)【発明者】
【氏名】チョ、ユン キ
(72)【発明者】
【氏名】パン、ヘ チュ
(57)【要約】 (修正有)
【課題】セキュリティログデータの分析を用いたセキュリティ運営装置及びその方法を提供する。
【解決手段】セキュリティ運営システム100において、セキュリティ運営装置は、外部からセキュリティログデータ或いは攻撃イベントと判断されたセキュリティログデータを受信する通信部、セキュリティログデータを分析して、各セキュリティログデータからフィールド情報を抽出するログ分析部、抽出したフィールド情報を標準フォーマット形態に整形化するログ整形化部及びログ整形化部により整形化された標準フォーマットのセキュリティログデータを用いて、事前学習されたセキュリティログデータの危険度を判断する人工知能学習モデルを用いて、ログ整形化部で整形化されたセキュリティログデータが攻撃イベントか否かを判断し、攻撃イベントと判断されたセキュリティログデータに対する危険度を出力値として提供するセキュリティイベント危険度判断部を含む。
【選択図】図1
【解決手段】セキュリティ運営システム100において、セキュリティ運営装置は、外部からセキュリティログデータ或いは攻撃イベントと判断されたセキュリティログデータを受信する通信部、セキュリティログデータを分析して、各セキュリティログデータからフィールド情報を抽出するログ分析部、抽出したフィールド情報を標準フォーマット形態に整形化するログ整形化部及びログ整形化部により整形化された標準フォーマットのセキュリティログデータを用いて、事前学習されたセキュリティログデータの危険度を判断する人工知能学習モデルを用いて、ログ整形化部で整形化されたセキュリティログデータが攻撃イベントか否かを判断し、攻撃イベントと判断されたセキュリティログデータに対する危険度を出力値として提供するセキュリティイベント危険度判断部を含む。
【選択図】図1
【特許請求の範囲】
【請求項1】
外部からセキュリティログデータあるいは攻撃イベントと判断されたり判断されて処理されたセキュリティログデータを受信する通信部と、
前記通信部が受信したセキュリティログデータを分析して、各セキュリティログデータ内に含まれているそれぞれのデータおよびイベントを検知し、各セキュリティログデータからフィールド情報を抽出するログ分析部と、
前記ログ分析部から抽出したフィールド情報を標準フォーマット形態に整形化するログ整形化部と、
前記ログ整形化部により整形化された標準フォーマットのセキュリティログデータを用いて、事前学習されたセキュリティログデータの危険度を判断する人工知能学習モデルに基づいて、前記ログ整形化部で整形化されたセキュリティログデータが攻撃イベントか否かを判断し、前記攻撃イベントと判断されたセキュリティログデータに対する危険度を出力値として提供するセキュリティイベント危険度判断部と、を含むことを特徴とするセキュリティ運営装置。
前記通信部が受信したセキュリティログデータを分析して、各セキュリティログデータ内に含まれているそれぞれのデータおよびイベントを検知し、各セキュリティログデータからフィールド情報を抽出するログ分析部と、
前記ログ分析部から抽出したフィールド情報を標準フォーマット形態に整形化するログ整形化部と、
前記ログ整形化部により整形化された標準フォーマットのセキュリティログデータを用いて、事前学習されたセキュリティログデータの危険度を判断する人工知能学習モデルに基づいて、前記ログ整形化部で整形化されたセキュリティログデータが攻撃イベントか否かを判断し、前記攻撃イベントと判断されたセキュリティログデータに対する危険度を出力値として提供するセキュリティイベント危険度判断部と、を含むことを特徴とするセキュリティ運営装置。
【請求項2】
前記ログ整形化部により整形化された標準フォーマットは、
ログソース、イベント名、ソースIPアドレス、対象IPアドレス、MACアドレス、セキュリティログデータ重要度、状態コード、要請データ、要請データ長、プロトコル、ファイル名、原本ファイルのいずれか1つ以上を含むことを特徴とする請求項1に記載のセキュリティ運営装置。
ログソース、イベント名、ソースIPアドレス、対象IPアドレス、MACアドレス、セキュリティログデータ重要度、状態コード、要請データ、要請データ長、プロトコル、ファイル名、原本ファイルのいずれか1つ以上を含むことを特徴とする請求項1に記載のセキュリティ運営装置。
【請求項3】
前記ログ整形化部は、
各セキュリティログデータ内で標準フォーマット内のデータフィールドに相当するデータが存在しない場合、ナル(Null)またはパディング(Padding)値のいずれか1つを用いて満たすことにより、異機種のセキュリティログデータを1つの標準フォーマット形態に統合処理することを特徴とする請求項2に記載のセキュリティ運営装置。
各セキュリティログデータ内で標準フォーマット内のデータフィールドに相当するデータが存在しない場合、ナル(Null)またはパディング(Padding)値のいずれか1つを用いて満たすことにより、異機種のセキュリティログデータを1つの標準フォーマット形態に統合処理することを特徴とする請求項2に記載のセキュリティ運営装置。
【請求項4】
前記セキュリティイベント危険度判断部により判断されたセキュリティログデータに対する危険度または攻撃状態に関する情報に基づいて、セキュリティ危険の現状を視覚化する視覚化部をさらに含むことを特徴とする請求項1に記載のセキュリティ運営装置。
【請求項5】
前記視覚化部は、
前記セキュリティログデータから取得したIP情報、前記IP情報に対応する攻撃時間および攻撃タイプ、危険度レベル、処理状態を含む危険度テーブル情報を提供することを特徴とする請求項4に記載のセキュリティ運営装置。
前記セキュリティログデータから取得したIP情報、前記IP情報に対応する攻撃時間および攻撃タイプ、危険度レベル、処理状態を含む危険度テーブル情報を提供することを特徴とする請求項4に記載のセキュリティ運営装置。
【請求項6】
前記視覚化部は、
前記セキュリティイベント危険度判断部で判断された危険度が予め設定された基準値以下の攻撃イベントを低危険度テーブルに表示し、前記セキュリティイベント危険度判断部で判断された危険度が予め設定された基準値を超える攻撃イベントを中・高危険度テーブルに表示することを特徴とする請求項5に記載のセキュリティ運営装置。
前記セキュリティイベント危険度判断部で判断された危険度が予め設定された基準値以下の攻撃イベントを低危険度テーブルに表示し、前記セキュリティイベント危険度判断部で判断された危険度が予め設定された基準値を超える攻撃イベントを中・高危険度テーブルに表示することを特徴とする請求項5に記載のセキュリティ運営装置。
【請求項7】
外部からセキュリティログデータあるいは攻撃イベントと判断されたり判断されて処理されたセキュリティログデータを受信する通信部と、
事前学習されたセキュリティログデータの危険度を判断する人工知能学習モデルを用いて、各セキュリティログデータが攻撃イベントか否かを判断し、前記攻撃イベントと判断されたセキュリティログデータに対する危険度を出力値として提供するセキュリティイベント危険度判断部と、
前記セキュリティイベント危険度判断部で判断された危険度が予め設定された基準値以下の攻撃イベントに対して、予め格納された攻撃イベントに対する処理結果に基づいて、予め定められたルールベースで直接処理を行うセキュリティイベント自動処理部と、
前記セキュリティイベント危険度判断部で判断された危険度が予め設定された基準値以上の攻撃イベントに対して、予め処理された攻撃イベントおよび各攻撃イベントの対応策を参照して当該攻撃イベントへの対応策を提供し、セキュリティ分析家が用いるセキュリティ分析装置から提供した対応策に対する満足度を受信するセキュリティイベント処理提案部と、
前記セキュリティイベント危険度判断部で判断された危険度が予め設定された基準値以上の攻撃イベントに対して、予め格納された攻撃イベントに対する処理結果内で予め設定された基準値以上の攻撃イベントと類似の攻撃イベントおよびその対応策に対する満足度の優先順位による対応策、セキュリティ処理に用いられた回数による対応策または最近選択された対応策の少なくともいずれか1つの対応策を推奨するセキュリティイベント推奨順序管理部と、を含むことを特徴とするセキュリティ運営装置。
事前学習されたセキュリティログデータの危険度を判断する人工知能学習モデルを用いて、各セキュリティログデータが攻撃イベントか否かを判断し、前記攻撃イベントと判断されたセキュリティログデータに対する危険度を出力値として提供するセキュリティイベント危険度判断部と、
前記セキュリティイベント危険度判断部で判断された危険度が予め設定された基準値以下の攻撃イベントに対して、予め格納された攻撃イベントに対する処理結果に基づいて、予め定められたルールベースで直接処理を行うセキュリティイベント自動処理部と、
前記セキュリティイベント危険度判断部で判断された危険度が予め設定された基準値以上の攻撃イベントに対して、予め処理された攻撃イベントおよび各攻撃イベントの対応策を参照して当該攻撃イベントへの対応策を提供し、セキュリティ分析家が用いるセキュリティ分析装置から提供した対応策に対する満足度を受信するセキュリティイベント処理提案部と、
前記セキュリティイベント危険度判断部で判断された危険度が予め設定された基準値以上の攻撃イベントに対して、予め格納された攻撃イベントに対する処理結果内で予め設定された基準値以上の攻撃イベントと類似の攻撃イベントおよびその対応策に対する満足度の優先順位による対応策、セキュリティ処理に用いられた回数による対応策または最近選択された対応策の少なくともいずれか1つの対応策を推奨するセキュリティイベント推奨順序管理部と、を含むことを特徴とするセキュリティ運営装置。
【請求項8】
前記セキュリティイベント推奨順序管理部は、
前記セキュリティイベント危険度判断部で判断された危険度が予め設定された基準値以上の攻撃イベントと類似の攻撃イベントを、予め処理された攻撃イベントおよび各攻撃イベントの対応策内で探索した後、探索された結果として提供される対応策リストを満足度の高い順に整列して第1推奨リストを提供することを特徴とする請求項7に記載のセキュリティ運営装置。
前記セキュリティイベント危険度判断部で判断された危険度が予め設定された基準値以上の攻撃イベントと類似の攻撃イベントを、予め処理された攻撃イベントおよび各攻撃イベントの対応策内で探索した後、探索された結果として提供される対応策リストを満足度の高い順に整列して第1推奨リストを提供することを特徴とする請求項7に記載のセキュリティ運営装置。
【請求項9】
前記セキュリティイベント推奨順序管理部は、
最大満足度を有する攻撃イベントおよびその対応策と他の対応策との満足度の差が予め設定された誤差範囲以上かを判断し、前記第1推奨リストで他の対応策より予め設定された誤差範囲以上に高い満足度を有する単独の対応策が存在するかを判断して、当該攻撃イベントとその対応策を最適な対応策として推奨することを特徴とする請求項8に記載のセキュリティ運営装置。
最大満足度を有する攻撃イベントおよびその対応策と他の対応策との満足度の差が予め設定された誤差範囲以上かを判断し、前記第1推奨リストで他の対応策より予め設定された誤差範囲以上に高い満足度を有する単独の対応策が存在するかを判断して、当該攻撃イベントとその対応策を最適な対応策として推奨することを特徴とする請求項8に記載のセキュリティ運営装置。
【請求項10】
前記セキュリティイベント推奨順序管理部は、
他の対応策より予め設定された誤差範囲以上に高い満足度を有する対応策が複数存在する場合、当該の複数の対応策に対してセキュリティ処理に用いられた回数の高い順に整列して第2推奨リストを提供し、前記第2推奨リストで満足度とセキュリティ処理に用いられた回数が最大である対応策を推奨することを特徴とする請求項9に記載のセキュリティ運営装置。
他の対応策より予め設定された誤差範囲以上に高い満足度を有する対応策が複数存在する場合、当該の複数の対応策に対してセキュリティ処理に用いられた回数の高い順に整列して第2推奨リストを提供し、前記第2推奨リストで満足度とセキュリティ処理に用いられた回数が最大である対応策を推奨することを特徴とする請求項9に記載のセキュリティ運営装置。
【請求項11】
前記セキュリティイベント推奨順序管理部は、
前記第2推奨リストでセキュリティ処理に用いられた回数が予め設定された誤差範囲内に1つ以上の対応策が存在する場合、当該対応策に対して最近選択された対応策を推奨することを特徴とする請求項10に記載のセキュリティ運営装置。
前記第2推奨リストでセキュリティ処理に用いられた回数が予め設定された誤差範囲内に1つ以上の対応策が存在する場合、当該対応策に対して最近選択された対応策を推奨することを特徴とする請求項10に記載のセキュリティ運営装置。
【請求項12】
少なくとも1つのプロセッサを含むセキュリティ運営装置により行われる、セキュリティログデータの分析を用いたセキュリティ運営方法であって、
外部からセキュリティログデータあるいは攻撃イベントと判断されたり判断されて処理されたセキュリティログデータを受信する通信ステップと、
受信したセキュリティログデータを分析して、各セキュリティログデータ内に含まれているそれぞれのデータおよびイベントを検知し、各セキュリティログデータからフィールド情報を抽出するログ分析ステップと、
前記ログ分析ステップで抽出したフィールド情報を標準フォーマット形態に整形化するログ整形化ステップと、
前記ログ整形化ステップにより整形化された標準フォーマットのセキュリティログデータを用いて、事前学習されたセキュリティログデータの危険度を判断する人工知能学習モデルに基づいて、整形化されたセキュリティログデータが攻撃イベントか否かを判断し、前記攻撃イベントと判断されたセキュリティログデータに対する危険度を出力値として提供する判断ステップと、を含むことを特徴とするセキュリティ運営方法。
外部からセキュリティログデータあるいは攻撃イベントと判断されたり判断されて処理されたセキュリティログデータを受信する通信ステップと、
受信したセキュリティログデータを分析して、各セキュリティログデータ内に含まれているそれぞれのデータおよびイベントを検知し、各セキュリティログデータからフィールド情報を抽出するログ分析ステップと、
前記ログ分析ステップで抽出したフィールド情報を標準フォーマット形態に整形化するログ整形化ステップと、
前記ログ整形化ステップにより整形化された標準フォーマットのセキュリティログデータを用いて、事前学習されたセキュリティログデータの危険度を判断する人工知能学習モデルに基づいて、整形化されたセキュリティログデータが攻撃イベントか否かを判断し、前記攻撃イベントと判断されたセキュリティログデータに対する危険度を出力値として提供する判断ステップと、を含むことを特徴とするセキュリティ運営方法。
【発明の詳細な説明】
【技術分野】
【0001】
本実施例は、異機種のセキュリティログデータを定められた標準フォーマット形態に変換処理して、多様な状況で発生する攻撃イベントへの対応が容易となるようにする、セキュリティログデータの分析を用いたセキュリティ運営装置およびその方法に関する。
【背景技術】
【0002】
この部分に記述された内容は単に本実施例についての背景情報を提供するだけであり、従来技術を構成するものではない。
【0003】
現代社会の大部分の業務がインターネットによって行われ、機関、企業、産業体または銀行などを狙った多様なセキュリティ脅威が次第に増加してきている。これに加えて、ITの発達で複合的な攻撃技術を利用した新たな変種の脅威や多様な脅威の例が発生しており、ハッカーからの脅威または情報盗み取り攻撃の例もともに増加している。機関が多くのセキュリティソリューションを導入しているにもかかわらず被害を防げないケースが増加しており、このような脅威によってセキュリティ分野もその力量の限界に直面した状況である。これによって、ファイアウォール、侵入防止、探知システム、DDoS装置、L7ファイアウォール、ウェブファイアウォールおよびワクチンなどを用いて、ネットワークの境界を越えようとする攻撃を探知するセキュリティイベントモニタリングが絶対的に要求され、本格的なセキュリティオペレーションが始まった。
【0004】
セキュリティ運営センター(SOC:Security Operations Center)は、このような知能型脅威の拡散によって、セキュリティイベント情報を収集して処理するためのオペレーションセンターである。セキュリティ運営センターのセキュリティ分析家は、異常兆候の探知およびセキュリティシステムで発生する様々な業務の分析および解決を担う。セキュリティ分析家は、主にネットワークモニタリングを進行させて脅威の検知・分析および事件に対応し、以後、当該事件に対する報告書の作成を進行させる。検知ステップでは、セキュリティツールを活用して異常行動や危険要素を把握する。次のステップは分析で、検知されたイベントを記録したログが含んでいるデータを分析して脅威の程度と原因を把握する。対応ステップでは、分析から出た結果に基づいて対応戦略を立てて実行する。最後に、セキュリティ分析家は、セキュリティ事件の処理過程、処理結果および今後の対策などを記録して報告する。このために、セキュリティ分析家は、多様なセキュリティツールとシステムを活用しなければならず、リアルタイムにネットワークをモニタリングして異常行動を探知し、すでに発生した攻撃イベントの原因、結果および影響などを調べて、次に備える。セキュリティ分析家は、前述したすべての過程を経てセキュリティレベルを引き上げ、機関、企業、産業体または銀行などの資産を保護して業務環境の安定化を可能にする。
【0005】
従来のセキュリティ運営センターでは、セキュリティ分析家がすべての攻撃イベントに対していちいち対応して措置を取る方式を用いている。ただし、このような対応方式は次のような問題を引き起こす。
【0006】
まず、攻撃イベントは、多様な規模、パターンおよび複雑性を有するため、従来は、セキュリティ分析家がすべてのイベントをいちいち確認して対応しなければならなかった。しかし、攻撃イベントが入らない時点も存在するが、入ってきた場合、数分間数千から数万の攻撃イベントが入る場合も存在して、セキュリティ分析家がすべての攻撃イベントを集中度高く理解して適切に対応することは物理的にほぼ不可能であった。セキュリティ運営センターは、セキュリティイベントモニタリングの際、検知された攻撃イベントを記録したログが含んでいるセキュリティログデータを分析して脅威の程度と原因を把握するだけで、セキュリティ分析家に、それぞれのセキュリティログデータがどれだけ危険なのか、セキュリティログデータの間に相互関連性があるかを見せることができなかった。したがって、セキュリティ分析家は、セキュリティ危険の現状に対する現在状態を正確に認知しにくかっただけでなく、どの攻撃イベントに先に対応するかをひと目で把握することができなかった。また、セキュリティ分析家は、前は同一の攻撃にどのように対応していたかに対する方式を振り返り、これを処理していたが、多様な攻撃イベントに対してそれに符合する過去の攻撃イベントを見つけることも物理的に大きな困難があり、それらの処理過程および処理結果を確認することも大きな困難が存在していた。
【0007】
次に、攻撃イベントの発生時、対応までに長くかかるという点である。初心者のセキュリティ分析家の場合、複雑な攻撃パターンを分析して適切な対応策を講じるには相当時間がかかることが一般的であるが、その間により多くの被害が発生したりする。例えば、DDoSの場合、数分内にネットワーク全体を麻痺させかねず、このようなセキュリティイベントへの対応は非常に速やかに行われなければならない。ただし、セキュリティ分析家が個々人の能力によって攻撃イベントに対応する時点が異なることがあるので、適切な対応が困難になる恐れがあり、セキュリティ分析家の間でも知識や経験に差があるため、同一のイベントに対する判断と対応方法に一貫性が不十分であるという問題がある。
【0008】
最大の困難は、人員拡充と業務加重の問題である。セキュリティイベントモニタリングは絶え間なく行われなければならないので、多くのセキュリティ分析家を必要とする。通常、一定規模のセキュリティ運営センターは一定数のセキュリティ分析家を拡充し、交代勤務などで絶え間なくセキュリティイベントをモニタリングしてきたが、セキュリティ分析家がすべての攻撃イベントに対して前述した作業を行わなければならないので、セキュリティ分析家の判断力や集中力が大きく阻害される問題が存在していた。
【0009】
一方、従来のセキュリティ運営センターでは、多数異機種のハードウェアセキュリティ装置およびソフトウェアセキュリティプログラムを含むセキュリティデバイスごとにセキュリティログデータがそれぞれ異なる形態を有していて、それぞれの攻撃イベントをいちいち分析して対応処理するのに不都合があった。また、異機種のセキュリティログデータを人工知能ベースのアルゴリズムで学習する場合に、各セキュリティログデータのデータ形式が統一化されていないため、各データ形式によって多くのアルゴリズムを用いなければならないという不都合があった。すなわち、セキュリティデバイスごとに異なるログを用いていて、互いに異なる種類のログを分類、処理および分析することを自動化するためには、ログの種類ごとに異なるアルゴリズムや人工知能学習モデルを用いなければならず、互いに異なる種類のログを用いて学習に適用しにくい問題点がある。
【0010】
現在、セキュリティプログラムや開発会社ごとに異なるログ構造を用いていて、人工知能学習モデルを用いて学習、検証、実現するためには、1つの標準フォーマットでセキュリティログデータを統一化させる必要がある。例えば、ワクチンの場合に、セキュリティログデータに対象PC、シリアル番号、ログID、悪性コード発生経路、治療状態、検査方法、ユーザ、接続状態、感染者などの情報を含んでおり、ファイアウォールの場合に、セキュリティログデータに対象アドレス、ソースポート、対象ポート、事由、連結タグ、NATソースポート、NATソースアドレス、NAT対象アドレス、NAT連結タグなどの情報を含んでおり、DDoS対応の場合に、セキュリティログデータに日付、プロトコル、ソースIP、ソースポート、対象IP、対象ポートなどの情報を含んでおり、その他、ウェブファイアウォール、DRMなどのセキュリティログデータも装置ごとにそれぞれ多様な形式が用いられている。
【0011】
したがって、人工知能学習モデルを用いてセキュリティログデータを自動的に分析するためには、多様なセキュリティデバイスのセキュリティログデータを学習データとして適用する必要があり、複数のセキュリティデバイスから取得されたセキュリティログデータを統一化して効率的運用を可能にすることが必要である。
【発明の概要】
【発明が解決しようとする課題】
【0012】
本発明の一実施例は、セキュリティイベントモニタリングの際、検知された攻撃イベントを記録したログが含んでいる異機種のセキュリティログデータを定められた標準フォーマット形態に変換処理し、攻撃イベントの対応策に対するフィードバックの結果を反映したルールベースでセキュリティログデータを効率的に処理し、外部装置から行われるセキュリティ攻撃イベントの攻撃パターンを分析してセキュリティログデータの危険度レベルを算出した後、算出された危険度レベルに応じて異なる方式でセキュリティログデータの分析結果を視覚化することができ、攻撃イベントが行われる攻撃領域、セキュリティ攻撃イベントの種類および頻度を視覚化してセキュリティ分析装置に提供するセキュリティ運営装置およびその方法を提供することを、一つの目的とする。
【課題を解決するための手段】
【0013】
本実施例の一態様によれば、外部からセキュリティログデータあるいは攻撃イベントと判断されたり判断されて処理されたセキュリティログデータを受信する通信部と、前記通信部が受信したセキュリティログデータを分析して、各セキュリティログデータ内に含まれているそれぞれのデータおよびイベントを検知し、各セキュリティログデータからフィールド情報を抽出するログ分析部と、前記ログ分析部から抽出したフィールド情報を標準フォーマット形態に整形化するログ整形化部と、前記ログ整形化部により整形化された標準フォーマットのセキュリティログデータを用いて、事前学習されたセキュリティログデータの危険度を判断する人工知能学習モデルに基づいて、前記ログ整形化部で整形化されたセキュリティログデータが攻撃イベントか否かを判断し、前記攻撃イベントと判断されたセキュリティログデータに対する危険度を出力値として提供するセキュリティイベント危険度判断部とを含むことを特徴とする。
【0014】
本実施例の一態様によれば、前記ログ整形化部により整形化された標準フォーマットは、ログソース、イベント名、ソースIPアドレス、対象IPアドレス、MACアドレス、セキュリティログデータ重要度、状態コード、要請データ、要請データ長、プロトコル、ファイル名、原本ファイルのいずれか1つ以上を含むことを特徴とする。
【0015】
本実施例の一態様によれば、前記ログ整形化部は、各セキュリティログデータ内で標準フォーマット内のデータフィールドに相当するデータが存在しない場合、ナル(Null)またはパディング(Padding)値のいずれか1つを用いて満たすことにより、異機種のセキュリティログデータを1つの標準フォーマット形態に統合処理することを特徴とする。
【0016】
本実施例の一態様によれば、前記セキュリティイベント危険度判断部により判断されたセキュリティログデータに対する危険度または攻撃状態に関する情報に基づいて、セキュリティ危険の現状を視覚化する視覚化部をさらに含むことを特徴とする。
【0017】
本実施例の一態様によれば、前記視覚化部は、前記セキュリティログデータから取得したIP情報、前記IP情報に対応する攻撃時間および攻撃タイプ、危険度レベル、処理状態を含む危険度テーブル情報を提供することを特徴とする。
【0018】
本実施例の一態様によれば、前記視覚化部は、前記セキュリティイベント危険度判断部で判断された危険度が予め設定された基準値以下の攻撃イベントを低危険度テーブルに表示し、前記セキュリティイベント危険度判断部で判断された危険度が予め設定された基準値を超える攻撃イベントを中・高危険度テーブルに表示することを特徴とする。
【0019】
一方、本実施例の他の態様によれば、外部からセキュリティログデータあるいは攻撃イベントと判断されたり判断されて処理されたセキュリティログデータを受信する通信部と、事前学習されたセキュリティログデータの危険度を判断する人工知能学習モデルに基づいて、各セキュリティログデータが攻撃イベントか否かを判断し、前記攻撃イベントと判断されたセキュリティログデータに対する危険度を出力値として提供するセキュリティイベント危険度判断部と、前記セキュリティイベント危険度判断部で判断された危険度が予め設定された基準値以下の攻撃イベントに対して、予め格納された攻撃イベントに対する処理結果に基づいて、予め定められたルールベースで直接処理を行うセキュリティイベント自動処理部と、前記セキュリティイベント危険度判断部で判断された危険度が予め設定された基準値以上の攻撃イベントに対して、予め処理された攻撃イベントおよび各攻撃イベントの対応策を参照して当該攻撃イベントへの対応策を提供し、セキュリティ分析家が用いるセキュリティ分析装置から提供した対応策に対する満足度を受信するセキュリティイベント処理提案部と、前記セキュリティイベント危険度判断部で判断された危険度が予め設定された基準値以上の攻撃イベントに対して、予め格納された攻撃イベントに対する処理結果内で予め設定された基準値以上の攻撃イベントと類似の攻撃イベントおよびその対応策に対する満足度の優先順位による対応策、セキュリティ処理に用いられた回数による対応策または最近選択された対応策の少なくともいずれか1つの対応策を推奨するセキュリティイベント推奨順序管理部とを含むことを特徴とする。
【0020】
本実施例の一態様によれば、前記セキュリティイベント推奨順序管理部は、前記セキュリティイベント危険度判断部で判断された危険度が予め設定された基準値以上の攻撃イベントと類似の攻撃イベントを、予め処理された攻撃イベントおよび各攻撃イベントの対応策内で探索した後、探索された結果として提供される対応策リストを満足度の高い順に整列して第1推奨リストを提供することを特徴とする。
【0021】
本実施例の一態様によれば、前記セキュリティイベント推奨順序管理部は、最大満足度を有する攻撃イベントおよびその対応策と他の対応策との満足度の差が予め設定された誤差範囲以上かを判断し、前記第1推奨リストで他の対応策より予め設定された誤差範囲以上に高い満足度を有する単独の対応策が存在するかを判断して、当該攻撃イベントとその対応策を最適な対応策として推奨することを特徴とする。
【0022】
本実施例の一態様によれば、前記セキュリティイベント推奨順序管理部は、他の対応策より予め設定された誤差範囲以上に高い満足度を有する対応策が複数存在する場合、当該の複数の対応策に対してセキュリティ処理に用いられた回数の高い順に整列して第2推奨リストを提供し、前記第2推奨リストで満足度とセキュリティ処理に用いられた回数が最大である対応策を推奨することを特徴とする。
【0023】
本実施例の一態様によれば、前記セキュリティイベント推奨順序管理部は、前記第2推奨リストでセキュリティ処理に用いられた回数が予め設定された誤差範囲内に1つ以上の対応策が存在する場合、当該対応策に対して最近選択された対応策を推奨することを特徴とする。
【0024】
本実施例の一態様によれば、少なくとも1つのプロセッサを含むセキュリティ運営装置により行われる、セキュリティログデータの分析を用いたセキュリティ運営方法であって、外部からセキュリティログデータあるいは攻撃イベントと判断されたり判断されて処理されたセキュリティログデータを受信する通信ステップと、受信したセキュリティログデータを分析して、各セキュリティログデータ内に含まれているそれぞれのデータおよびイベントを検知し、各セキュリティログデータからフィールド情報を抽出するログ分析ステップと、前記ログ分析ステップで抽出したフィールド情報を標準フォーマット形態に整形化するログ整形化ステップと、前記ログ整形化ステップにより整形化された標準フォーマットのセキュリティログデータを用いて、事前学習されたセキュリティログデータの危険度を判断する人工知能学習モデルに基づいて、整形化されたセキュリティログデータが攻撃イベントか否かを判断し、前記攻撃イベントと判断されたセキュリティログデータに対する危険度を出力値として提供する判断ステップとを含むことを特徴とする。
【発明の効果】
【0025】
以上説明したように、本実施例の一態様によれば、セキュリティイベントモニタリングの際、検知された攻撃イベントを記録したログが含んでいる異機種のセキュリティログデータを定められた標準フォーマット形態に変換処理し、攻撃イベントの対応策に対するフィードバックの結果を反映したルールベースでセキュリティログデータを効率的に処理して、多様な状況で新たに発生した攻撃イベントへの対応が容易になり、人工知能学習モデルを用いて算出された各セキュリティログデータに対する危険度レベルに応じてセキュリティ危険の現状を視覚化してセキュリティ分析装置に提供することにより、セキュリティ分析家がこれらをひと目で把握可能で攻撃イベントに対する迅速な処理を行えるようにするという長所がある。
【0026】
また、本実施例の一態様によれば、外部装置から行われるセキュリティ攻撃イベントの攻撃パターンを分析し、セキュリティ攻撃イベントが行われる攻撃領域、セキュリティ攻撃イベントの種類および頻度を視覚化することができ、各セキュリティログデータに対する危険度レベルを算出して、算出された危険度レベルに応じてセキュリティ危険の現状に対する相互関連のある情報を隣接配列する方式で視覚化したり、危険度レベルに応じて攻撃イベントに関する情報をひと目で把握できるようにテーブル形態で視覚化して提供することにより、セキュリティ分析家がこれらをひと目で把握可能で攻撃イベントに対する迅速な処理を行えるようにするという長所がある。
【図面の簡単な説明】
【0027】
【図1】本発明の一実施例によるセキュリティ運営システムの構成を示す図である。
【図2】本発明の一実施例によるセキュリティ運営装置の構成を示す図である。
【図3】各セキュリティログデータの一例を示す図である。
【図4】本発明の一実施例による視覚化部の構成を示す図である。
【図5A】本発明の一実施例による危険度視覚化部の動作例を示す図である。
【図5B】本発明の一実施例による危険度視覚化部の動作例を示す図である。
【図5C】本発明の一実施例による危険度視覚化部の動作例を示す図である。
【図5D】本発明の一実施例による危険度視覚化部の動作例を示す図である。
【図6】本発明の一実施例による危険度視覚化部の動作例を示す図である。
【図7】本発明の一実施例による危険度視覚化部の動作例を示す図である。
【図8】本発明の一実施例による処理状況視覚化部の動作例を示す図である。
【図9】本発明の一実施例による攻撃位置視覚化部の動作例を示す図である。
【図10】本発明の一実施例による攻撃位置視覚化部の動作例を示す図である。
【図11】本発明の一実施例による攻撃位置視覚化部の動作例を示す図である。
【図12A】本発明の一実施例による攻撃位置視覚化部の動作例を示す図である。
【図12B】本発明の一実施例による攻撃位置視覚化部の動作例を示す図である。
【図13】本発明の一実施例による攻撃パターン視覚化部の動作例を示す図である。
【図14A】本発明の一実施例による攻撃パターン視覚化部の動作例を示す図である。
【図14B】本発明の一実施例による攻撃パターン視覚化部の動作例を示す図である。
【図14C】本発明の一実施例による攻撃パターン視覚化部の動作例を示す図である。
【図14D】本発明の一実施例による攻撃パターン視覚化部の動作例を示す図である。
【図15A】本発明の一実施例による攻撃パターン視覚化部の動作例を示す図である。
【図15B】本発明の一実施例による攻撃パターン視覚化部の動作例を示す図である。
【図15C】本発明の一実施例による攻撃パターン視覚化部の動作例を示す図である。
【図16】本発明の一実施例によるセキュリティ運営装置が各情報を視覚化する方法を示すフローチャートである。
【発明を実施するための形態】
【0028】
本発明は多様な変更が加えられて様々な実施例を有することができるが、特定の実施例を図面に例示して詳細に説明する。しかし、これは本発明を特定の実施形態に対して限定しようとするものではなく、本発明の思想および技術範囲に含まれるすべての変更、均等物または代替物を含むことが理解されなければならない。各図面を説明しながら、類似の参照符号を類似の構成要素に対して使用した。
【0029】
第1、第2、A、Bなどの用語は多様な構成要素を説明するのに使用できるが、前記構成要素は前記用語によって限定されてはならない。前記用語は、1つの構成要素を他の構成要素から区別する目的でのみ使用される。例えば、本発明の権利範囲を逸脱しない範囲で第1構成要素は第2構成要素と名付けられてもよく、類似して、第2構成要素も第1構成要素と名付けられてもよい。および/または、という用語は、複数の関連する記載項目の組み合わせまたは複数の関連する記載項目のいずれかの項目を含む。
【0030】
ある構成要素が他の構成要素に「連結されて」いたり「接続されて」いると言及された時には、その他の構成要素に直接的に連結されていたりまたは接続されていてもよいが、中間に他の構成要素が存在してもよいと理解されなければならない。これに対し、ある構成要素が他の構成要素に「直接連結されて」いたり「直接接続されて」いると言及された場合、中間に他の構成要素が存在しないことが理解されなければならない。
【0031】
本出願で使用した用語は単に特定の実施例を説明するために使用されたものであり、本発明を限定しようとする意図ではない。単数の表現は、文脈上明らかに異なって意味しない限り、複数の表現を含む。本出願において、「含む」または「有する」などの用語は、明細書上に記載された特徴、数字、段階、動作、構成要素、部品、またはこれらを組み合わせたものの存在または付加の可能性を予め排除しないことが理解されなければならない。
【0032】
他に定義されない限り、技術的または科学的な用語を含む、ここで使用されるすべての用語は、本発明の属する技術分野における通常の知識を有する者によって一般的に理解されるのと同じ意味を有している。
【0033】
一般的に使用される辞書に定義されているような用語は、関連技術の文脈上有する意味と一致する意味を有すると解釈されなければならず、本出願において明らかに定義しない限り、理想的または過度に形式的な意味で解釈されない。
【0034】
また、本発明の各実施例に含まれている各構成、過程、工程または方法などは、技術的に相互矛盾しない範囲内で共有できる。
【0035】
図1は、本発明の一実施例によるセキュリティ運営システムの構成を示す図である。
【0036】
図1を参照すれば、本発明の一実施例によるセキュリティ運営システム100は、セキュリティデバイス110a~110nと、セキュリティ運営装置120と、セキュリティ分析装置130とを含む。さらに、セキュリティ運営システム100は、セキュリティログ管理装置140をさらに含むことができる。
【0037】
セキュリティ運営システム100は、各セキュリティデバイス110a~110nから出力されるセキュリティログデータを分析して、各デバイスに攻撃イベントが発生したか否かを分析し、攻撃イベントの発生時、各イベントの危険度を分析して処理し、攻撃イベントの危険度・処理状況・状態に関する情報を視覚化する。ここで、攻撃イベントは、許可されていない装置が行う、(セキュリティ運営システムのユーザあるいは管理者が設定または定義した)セキュリティ政策に反するすべての行為を意味する。攻撃イベントは、システム100の外部からネットワークを経て行われる外部攻撃イベントと、資料の盗み取り、変更、外部への送付などシステム100の内部で行われる内部攻撃イベントとに区分される。セキュリティ運営システム100は、各デバイスに発生するすべての攻撃イベントを確認し、これらの危険度を分析して適切に処理する。これによって、セキュリティ分析家がすべての攻撃イベントをモニタリングしなければならない煩わしさを著しく減少させることができる。また、セキュリティ運営システム100は、攻撃イベントの危険度・処理状況・状態に関する情報を可視性高く視覚化することにより、セキュリティ分析家が現在行われている攻撃イベントとそれらの処理状況を一括的に把握できるようにする。
【0038】
セキュリティデバイス110a~110nは、機関、企業、産業体または銀行などの多様な場所に配置されて、多様な業務を行う機器である。前述のように、セキュリティデバイス110a~110nは、多様な種類で実現され、多様な種類のセキュリティプログラムを含む。主に用いられるセキュリティプログラムは、ファイアウォール、ウェブファイアウォール、ワクチン、DRM(Digital Rights Management)、IPS(Intrusion Prevention System)、DDoS対応プログラム、DLP(Data Loss Prevention)ソリューションおよび電子メールセキュリティプログラムなどがある。各セキュリティプログラムごとにそれぞれ多様な種類で実現され、多様な種類のセキュリティプログラムが各セキュリティデバイス110に内蔵されて動作する。このようなセキュリティプログラムは、攻撃イベントが発生する場合、セキュリティログデータを発生させ、セキュリティログデータは、攻撃行為に関連する多様な情報を含む。各セキュリティデバイス110は、セキュリティログデータをセキュリティ運営装置120に送信する。セキュリティ運営システム100内のセキュリティログ管理装置140が含まれる場合、セキュリティデバイス110は、場合によっては、セキュリティログデータをセキュリティ運営装置120に直接送信してもよく、セキュリティログ管理装置140に優先して送信してもよい。
【0039】
セキュリティ運営装置120は、各セキュリティデバイス110から送信されるすべてのセキュリティログデータを受信して、攻撃イベントが発生したか否かおよび攻撃イベントの危険度を判断し、判断された危険度に応じて適切に処理する。セキュリティ運営システム100内にセキュリティログ管理装置140が含まれる場合、セキュリティ運営装置120は、セキュリティログ管理装置140から送信される、攻撃イベントと判断されたセキュリティログデータを受信して危険度を判断し、判断された危険度に応じて適切に処理することができる。一方、セキュリティ運営装置120は、攻撃イベントの危険度の判断および処理過程で、攻撃イベントの危険度・処理状況・状態に関する情報を視覚化する。セキュリティ運営装置120は、視覚化した情報を自ら直接出力してもよく、適切なセキュリティ分析装置130a~130nに提供して、セキュリティ分析家が自ら利用するセキュリティ分析装置130を用いて確認できるようにする。セキュリティ運営装置120の具体的な構成および動作は、図2~16を参照して後述する。
【0040】
セキュリティ分析装置130は、セキュリティ分析家が用いる端末であって、セキュリティ運営装置120から処理結果を受信して、攻撃イベントに対する処理、分析および対応を進行させる。セキュリティ運営装置120は、後述のように、攻撃イベントの危険度に応じて直接処理してもよく、対応策を提案してもよい。セキュリティ運営装置120が攻撃イベントを直接処理した場合、セキュリティ分析装置130は、セキュリティ運営装置120から直接処理したという結果値を受信して出力することができる。これによって、セキュリティ分析家は、攻撃イベントがあり、当該イベントが処理完了したことを認知することができる。一方、セキュリティ運営装置120が相対的に危険度の高い攻撃イベントに対してそれと類似の攻撃イベントの対応策を提案することができ、セキュリティ分析装置130は、セキュリティ運営装置120が提案した対応策を受信して出力する。セキュリティ分析家は、セキュリティ分析装置130から出力される1つ以上の対応策を考慮して当該攻撃イベントに対して容易に処理可能である。さらに、セキュリティ分析装置130は、処理に利用した対応策の満足度をセキュリティ運営装置120にフィードバックすることができる。セキュリティ運営装置120は、後述のように、フィードバックされた情報(満足度)に基づいて、各攻撃イベントへの対応策を提案するにあたり、優先順位を決定することができる。
【0041】
さらに、セキュリティ運営システム100は、セキュリティログ管理装置140を含むことができる。セキュリティログ管理装置140は、セキュリティデバイス110a~110nからセキュリティログデータを受信して、各デバイスに攻撃イベントが発生したか否かを分析する。セキュリティログ管理装置140は、SIEM(Security Information and Event Management)で実現可能であり、各セキュリティデバイス110a~110nからセキュリティログデータをセキュリティ運営装置120に優先して受信する。セキュリティログ管理装置140は、セキュリティ運営システムのユーザあるいは管理者が決定したセキュリティ政策を格納し、受信したセキュリティログデータを分析して、セキュリティ政策に反するか否かを分析する。セキュリティログ管理装置140は、受信した各セキュリティログデータがセキュリティ政策に反するか否かによって、受信したセキュリティログデータが攻撃イベントか否かを判断する。セキュリティログ管理装置140は、受信したすべてのセキュリティログデータを格納し、そのうち攻撃イベントと判断されたセキュリティログデータのみセキュリティ運営装置120に送信することができる。これによって、セキュリティ運営装置120は、すべてのセキュリティログデータを分析する必要なく、セキュリティログ管理装置140から受信される攻撃イベントに対してのみ前述した動作を行うことができる。
【0042】
図2は、本発明の一実施例によるセキュリティ運営装置の構成を示す図である。
【0043】
図2を参照すれば、本発明の一実施例によるセキュリティ運営装置120は、通信部210と、ログ分析部215と、ログ整形化部220と、ログ学習部225と、セキュリティイベント危険度判断部230と、セキュリティイベント自動処理部235と、セキュリティイベント処理提案部240と、セキュリティイベント推奨順序管理部245と、視覚化部250と、データ格納および管理部255とを含む。
【0044】
通信部210は、各セキュリティデバイス110a~110nからセキュリティログデータを、あるいはシステム100内にセキュリティログ管理装置140が含まれている場合、セキュリティログ管理装置140から攻撃イベントと判断されたセキュリティログデータを受信する。場合によっては、通信部210は、セキュリティ分析装置130から攻撃イベントと判断されたりそれにより処理されたセキュリティログデータの情報を受信することができる。
【0045】
通信部210は、セキュリティイベント処理提案部240が選定した、1つ以上の攻撃イベントの対応策をセキュリティ分析装置130に送信する。また、通信部210は、セキュリティ分析装置130から提供した対応策に対する満足度を受信することができる。
【0046】
ログ分析部215は、通信部210が受信したセキュリティログデータを分析する。セキュリティログデータは、多様なセキュリティデバイス110から生成されて送信される。前述のように、セキュリティプログラムは、動作ごとに様々な形態に区分され、各形態のセキュリティプログラムごとに多様な種類が存在する。この時、セキュリティログデータに対しては標準が存在しないので、各セキュリティプログラムごとにそれぞれ異なるフォーマットのセキュリティログデータを生成する。ログ分析部215は、通信部210が受信する各セキュリティログデータを分析して、セキュリティログデータ内にどのような情報が含まれているかを分析する。
【0047】
一方、ログ分析部215は、分析結果に応じて、セキュリティログデータからIP情報を取得することができる。IP情報が流動性の場合、ログ分析部215は、IP情報に対応する攻撃時間および攻撃タイプに基づいて、確率値による攻撃パターンを抽出することができる。ログ分析部215は、抽出された攻撃パターンに対する分析結果に応じて、最終攻撃ソースを決定することができる。
【0048】
ログ整形化部220は、ログ分析部215が分析した各ログデータを標準フォーマット形態に整形化する。ログ整形化部220の動作例は、図3に例示されている。
【0049】
図3は、各セキュリティログデータの一例を示す図である。
【0050】
図3を参照すれば、前述のように、セキュリティログデータは、各セキュリティプログラムあるいはセキュリティデバイスごとにそれぞれ異なる形態を有する。各セキュリティログデータ内に含まれるか、含まれていないデータがそれぞれ異なることを確認することができる。
【0051】
ログ分析部215は、各セキュリティログデータ内にどのような情報が含まれているかを分析し、ログ整形化部220は、ログ分析部215が分析した情報に基づいて、各セキュリティログデータを標準形態に整形化する。
【0052】
ログ整形化部220により整形化された標準フォーマットは、次のように予め設定された情報、例えば、1.ログソース、2.イベント名、3.ソースIPアドレス、4.対象IPアドレス、5.MACアドレス、6.セキュリティログデータ重要度、7.状態コード、8.要請データ、9.要請データ長、10.プロトコル、11.ファイル名、12.原本ファイルを含む。
【0053】
第一、ログソースは、標準フォーマットに変換されるセキュリティログデータを生成した装置を指す。どのセキュリティデバイス110がセキュリティログデータを生成したかを意味する。
【0054】
第二、イベント名は、特定のセキュリティログデータが発生したことを指す。イベント名は、どのセキュリティログデータが発生したかを知ることができる情報を含み、セキュリティログデータの種類、発生時点、位置または原因などのセキュリティログデータをモニタリングするのに必要なすべての情報を含む。
【0055】
第三、ソースIPアドレスは、セキュリティデバイス110がセキュリティログデータを生成するように攻撃イベントを発生させた装置のIPアドレスを指す。セキュリティ分析家は、ソースIPアドレス情報を用いて攻撃イベントを発生させた装置を把握し、これに基づいて当該イベントを調べることができる。
【0056】
第四、対象IPアドレスは、攻撃イベントの対象になった装置(セキュリティデバイス)のIPアドレスを指す。
【0057】
第五、MACアドレスは、攻撃イベントの対象になった装置(セキュリティデバイス)のMAC(Media Access Control)アドレスを指す。
【0058】
第六、セキュリティログデータ重要度は、セキュリティログデータの緊迫性の程度を示す。各セキュリティログデータは、種類によって多様な重要度が割当てられる。一般的に、重要度は、低い方から高い順に、「DEBUG」、「INFO」、「WARN」、「ERROR」、「FATAL」などのカテゴリーで付与されてもよい。「DEBUG」レベルは、システムの詳細な動作情報を含むログデータを示し、セキュリティ分析家がコードの問題を診断するのに主に用いられる。「INFO」レベルは、システムの一般的な運営状態を示すログデータを意味する。「WARN」レベルのログデータは、システムに問題を引き起こしうる可能性が存在するデータを、「ERROR」または「FATAL」レベルのログデータは、システムに致命的な問題を引き起こしうるデータをそれぞれ意味する。
【0059】
第七、状態コードは、セキュリティデバイス110が外部と必要な作業を行うためのネットワーク連結時、ネットワークの連結状態を指す。例えば、セキュリティデバイス110が外部(例えば、サーバ)とHTTPプロトコルを用いてネットワーク連結されたならば、状態コードは、200(成功)、404(見つけられない)または500(サーバ内部エラー)などの値を有することができる。セキュリティ分析家は、状態コード情報を用いて攻撃イベントの発生を検知し、問題の原因などを分析して対応できる。
【0060】
第八、要請データは、セキュリティデバイス110が外部と必要な作業を行って送信したデータを指す。セキュリティデバイス110が外部(例えば、サーバ)とネットワークを用いて多様な作業を行う場合、作業を行って送信するデータを意味する。例えば、クライアントとサーバとの間の要請に用いられる方式は、GET、POST、PUT、DELETEまたはCONNECTなどがある。しかし、セキュリティを理由に、一般的な場合、GETとPOSTのみを許容する場合が大部分である。GETは、URL形式でウェブサーバ側データを要請し、検索語の伝達のように危険度と関係の少ない部分に用いられる。この時、データの量の4096bytesを超えることができない。一方、POST方式は、要請データをHTTP Bodyに入れて送信する。この時、IDとPWを含む個人情報の送信に用いられる。セキュリティ分析家は、要請データを用いてセキュリティデバイスの行動や攻撃イベントを調べたり追跡し、セキュリティ運営システムの作動状態をモニタリングすることができる。
【0061】
第九、要請データ長は、前述した要請データの大きさを指す。
【0062】
第十、プロトコルは、セキュリティデバイス110が外部とネットワーク連結をするにあたり、用いた規格の仕組みを指す。
【0063】
第十一、ファイル名は、セキュリティデバイス110がセキュリティプログラムとしてDRMを用いる場合、DRMによって管理されるファイルにアクセスしたデバイス情報(ID、MACまたは名前など)、DRMによって管理されるファイルを管理するセキュリティデバイス情報(ID、MACまたは名前など)、DRMによって管理されるファイル原本の名称、DRMによって管理されるファイルの変更/操作の有無および変更/操作時の変更されたファイルを指す。ファイル名は、セキュリティプログラムのうちDRMによって管理されるファイルに関連して特化されている情報であって、セキュリティ分析家が当該ファイルの不法複製や流布を検知して対応できるようにする。
【0064】
第十二、原本ファイルは、DRMによって管理されるファイルが生成された時、状態を有するファイルを指す。特定のファイルに変造や操作が発生した場合、セキュリティ分析家は、原本ファイル情報を用いて当該ファイルに復旧を進行させることができる。
【0065】
ログ整形化部220は、ログ分析部215が分析した各ログデータを前述した各情報を含む標準フォーマット形態に整形化する。前述のように、多様なセキュリティプログラムが多様な形態のセキュリティログデータを生産するため、標準フォーマット内に含まれているすべての情報を含んでいてもよいが、そうでなくてもよい。ログ整形化部220は、ログデータ内で標準フォーマット内のデータフィールドに相当するデータが存在する場合、当該データフィールドは、当該データで満たしかつ、ログデータ内で標準フォーマット内のデータフィールドに相当するデータが存在しない場合、ナル(Null)またはパディング(Padding)値を満たす。これによって、ログ整形化部220は、多様なセキュリティプログラムが生産する数多くの形態のセキュリティログデータを1つの標準フォーマット形態に統一化する。一方、図2には、ログ分析部215およびログ整形化部220が区分されて実現されたと示されているが、必ずしもこれに限定されるものではなく、両構成215、220は、1つの構成で実現されて、前述した動作をすべて行うことができる。
【0066】
ログ学習部225は、ログ整形化部220により整形化された標準フォーマットのセキュリティログデータの危険度を判断する人工知能学習モデルを学習する。ログ学習部225は、ログ整形化部220により整形化された標準フォーマットのセキュリティログデータを入力値として、セキュリティログデータが攻撃イベントか否か、および攻撃イベントの場合にどれだけの危険度を有するかに対する危険度レベルを数値化された出力値とした人工知能学習モデルを学習する。ログ学習部225は、LSTM(Long Short Term Memory)、GRU(Gated Recurrent Unit)、Vanilla RNN、Bidirectional RNNまたはTransformerなどのアーキテクチャに前述した入力値および出力値を学習する。ログ学習部225は、前述した学習モデルを学習して、ログ整形化部220で整形化されたセキュリティログデータが入力されれば、当該セキュリティログデータが攻撃イベントか否か、および攻撃イベントの場合にどれだけの危険度を有するかを判断できるようにする。
【0067】
一例として、ログ学習部225は、セキュリティログデータが攻撃イベントなのか、攻撃イベントの場合にどれだけ危険なのかに対する危険度レベルを判断するための分類基準に基づく学習データを用いて人工知能学習モデルを学習することができる。この時、セキュリティログ管理装置140は、各場所に適用された分類基準で複数のセキュリティログデータを収集し、各セキュリティログデータの(攻撃イベントの有無および危険度レベルを含む)分析結果を格納した後、これを学習データとして提供することができる。
【0068】
セキュリティイベント危険度判断部230は、ログ学習部225で学習された人工知能学習モデルを用いて、ログ整形化部220で整形化されたセキュリティログデータが攻撃イベントか否か、および攻撃イベントの場合にどれだけの危険度を有するかを判断する。ここで、攻撃イベントか否か、および攻撃イベントの場合にどれだけの危険度を有するかに対する分類基準は、各セキュリティ運営システムが用いられる場所のセキュリティ政策によって定められる。すなわち、前述した分類基準は、各セキュリティ運営システムが用いられる場所の多様なセキュリティ政策によって異なっていてもよい。ある1つの場所で問題のない行為が、他の場所では攻撃イベントであることも、ある1つの場所では低い危険度を有する攻撃イベントが、他の場所では非常に高い危険度を有する攻撃イベントであることもある。このように、セキュリティイベント危険度判断部230は、システム100が用いられる場所に符合する分類基準で学習を進行させて、攻撃イベントが発生したか否か、およびどれだけの危険度を有する攻撃イベントが発生したかを判断する。
【0069】
セキュリティイベント自動処理部235は、危険度が予め設定された基準値以下の攻撃イベントに対して直接処理を行う。セキュリティイベント危険度判断部230の判断により予め設定された基準値以下の危険度を有する攻撃イベントが発生した場合、セキュリティイベント自動処理部235は、そのような攻撃イベントに対してはセキュリティ運営システムのユーザあるいは管理者によって予め定められたルールベースで直接処理する。危険度が予め設定された基準値以下の、数多くの攻撃イベントが発生することがあり、これらのすべてに対してセキュリティ分析家が直接処理することは、セキュリティ分析家の集中力と判断力を阻害させる要因になる。このため、セキュリティイベント自動処理部235は、危険度が予め設定された基準値以下の攻撃イベントを直接処理する。もし、場合によっては、自動処理できない攻撃イベントが発生した場合、セキュリティイベント自動処理部235は、これをセキュリティ分析装置130に報知できる。
【0070】
セキュリティイベント処理提案部240は、危険度が予め設定された基準値以上の攻撃イベントに対してそれらの対応策をセキュリティ分析装置130に提供する。危険度が予め設定された基準値以上の攻撃イベントは、セキュリティデバイス110またはセキュリティ運営システム100全体に影響を及ぼしうるイベントであって、セキュリティ分析家が直接察して処理するものに相当する。このため、セキュリティイベント処理提案部240は、セキュリティイベント自動処理部235のような、当該イベントに対する直接的な処理は行わない。ただし、セキュリティ分析家が当該攻撃イベントを把握し、どの方法で処理しなければならないかいちいち過去の内訳を確認しながら処理する必要がないように、セキュリティ分析家のイベント処理を補助できるように動作する。セキュリティイベント処理提案部240は、セキュリティイベント推奨順序管理部245により整列された対応策を参照して、現在問題にされている、危険度が予め設定された基準値以上の攻撃イベントの対応策を提案する。提案される対応策は1つであってもよいが、順位を定めて複数個がともに提案されてもよい。
【0071】
セキュリティイベント推奨順序管理部245は、データ格納および管理部255内に格納された、予め処理された多様な攻撃イベントとそれらの対応策を参照して、それぞれの攻撃イベントに対して適切な対応策を立てる。セキュリティ分析家が満足感をもって効果的に処理できるように、セキュリティイベント推奨順序管理部245は、多様な攻撃イベントに対して予め処理された攻撃イベントの中から適切な攻撃イベントを選定して対応策を立てる。
【0072】
前述のように、セキュリティ運営装置120は、セキュリティ分析装置130に対応策を提供し、セキュリティ分析装置130から提供した対応策に対する満足度を受信する。セキュリティイベント推奨順序管理部245は、対応策を立てようとする、危険度が予め設定された基準値以上の(特定の)攻撃イベントと類似の攻撃イベントをデータ格納および管理部255内で探索した後、探索して出たリストを一次的に対応策に対する満足度の高い順に整列する。セキュリティイベント推奨順序管理部245は、最も満足度の高い攻撃イベントおよびその対応策の満足度と他の対応策の満足度との差が予め設定された誤差範囲以上に広がっているか否かを判断する。すなわち、他の対応策より予め設定された誤差範囲以上に高い満足度を有する唯一の対応策が存在するかを判断する。そのような対応策が唯一存在する場合、セキュリティイベント推奨順序管理部245は、当該攻撃イベントとそれの対応策を最適な対応策として立てる。ただし、他の対応策より予め設定された誤差範囲以上に高い満足度を有する対応策が複数存在する場合、セキュリティイベント推奨順序管理部245は、当該対応策に対して、2番目に処理に用いられた回数(割合)の高い順に整列する。すなわち、セキュリティイベント推奨順序管理部245は、満足度が高くて用いられた回数が多い対応策を優先的に対応策として立てる。ただし、処理に用いられた回数(割合)も、予め設定された誤差範囲内の対応策が存在することがある。このため、セキュリティイベント推奨順序管理部245は、当該対応策に対して、3番目により最近選択された対応策を優先して対応策として立てる。セキュリティ環境は持続的に変化し、新たな脅威、攻撃、技術または政策などが生じるため、セキュリティのトレンドと懸案を速やかに反映することが非常に重要である。このため、セキュリティイベント推奨順序管理部245は、3番目としてより最近選択された対応策を優先的に選択して対応策として立てる。これによって、セキュリティイベント推奨順序管理部245は、危険度がそれぞれの攻撃イベントに対して満足度が高く、頻繁に使用され、より最近選択された対応策を当該攻撃イベントの対応策として立てることができる。セキュリティイベント推奨順序管理部245は、前述した基準で優先順位を選定しかつ、最も高い優先順位を有するものを1つのみ対応策として立ててもよいが、前述した基準によって複数の対応策を順位を整列して対応策として立ててもよい。よって、セキュリティ分析家は、提供される情報に基づいて、問題にされる攻撃イベントを最も高い順位の対応策を参照して処理してもよく、提供された対応策の中から自ら任意の対応策を選択して処理してもよい。
【0073】
セキュリティイベント危険度判断部230、セキュリティイベント自動処理部235、セキュリティイベント処理提案部240およびセキュリティイベント推奨順序管理部245は、それぞれ区分されて実現されたと示されているが、必ずしもこれに限定されるものではなく、1つの危険度算出モジュール260の構成で実現されて、前述した動作をすべて行うことができる。
【0074】
すなわち、危険度算出モジュール260は、ログ分析部215の分析結果に基づいて、各セキュリティログデータに対する危険度レベルを算出し、予め格納された攻撃イベントに対する処理結果に基づいて、予め定められたルールベースの処理ロジックによって算出された危険度レベルに対応してセキュリティログデータの処理過程を行うことができる。
【0075】
この時、危険度算出モジュール260は、事前学習された人工知能学習モデルを用いて、各セキュリティログデータに対する危険度レベルを算出することができるが、人工知能アルゴリズム以外にも、現在取得された情報とすでに習得された情報とを比較分析する多様なアルゴリズムを適用して各セキュリティログデータに対する危険度レベルを算出してもよい。一例として、危険度算出モジュール260は、セキュリティログデータの比較分析過程を行うアルゴリズムを介して、データ格納および管理部255に予め格納された攻撃イベントの種類、危険度、処理状況および結果、対応策を含む処理結果と取得されたセキュリティログデータとを比較して、類似点および/または差異点に対する分析結果を導出することができる。危険度算出モジュール260は、セキュリティログデータの比較分析過程で導出された分析結果を用いて各セキュリティログデータの危険度レベルを算出することができる。
【0076】
視覚化部250は、ログ分析部215から分析されたセキュリティログデータあるいは攻撃イベントの危険度、処理状況および攻撃状態に関する情報を視覚化したり、視覚化した情報をセキュリティ分析装置130に提供する。視覚化部250は、前述した構成230~245により分析または処理された攻撃イベントの前述した情報を視覚化することができ、セキュリティ分析装置130から攻撃イベントと判断されたりそれにより処理された攻撃イベントの前述した情報を視覚化することもできる。視覚化部250は、図4に示されたように実現され、図5~15に例示されたように動作することができる。
【0077】
図4は、本発明の一実施例による視覚化部の構成を示す図である。
【0078】
図4を参照すれば、本発明の一実施例による視覚化部250は、危険度視覚化部410と、処理状況視覚化部420と、攻撃位置視覚化部430と、攻撃パターン視覚化部440とを含む。
【0079】
危険度視覚化部410は、各セキュリティデバイス110a~110nに加えられる攻撃イベントの危険度を視覚化する。危険度視覚化部410の動作例は、図5~7に示されている。
【0080】
図5~7は、本発明の一実施例による危険度視覚化部の動作例を示す図である。ここで、図5Aは、本発明の一実施例による危険度視覚化部が各セキュリティデバイスのネットワーク構造内で取得されたセキュリティログデータに関する情報を視覚化する例示画面を示す図であり、図5Bは、本発明の一実施例による視覚化部がセキュリティログデータの危険度レベルに応じて処理状況を視覚化して提供する例示画面を示す図であり、図5Cは、本発明の一実施例によるセキュリティログデータの危険度レベルに応じた処理状況を示す図であり、図5Dは、本発明の一実施例によるセキュリティログデータの危険度レベルに応じた処理状況が実行される例示画面を示す図である。
【0081】
図5Aを参照すれば、危険度視覚化部410は、各セキュリティデバイス110a~110nに加えられる攻撃イベントの危険度をそれぞれ視覚化する。危険度視覚化部410は、危険度のレベルを複数に区分して各レベルを区分し、各レベルの危険度に相当する攻撃イベントがどれだけ加えられたかを出力する。図5Aに例示されたように、危険度視覚化部410は、区分された各レベルを互いに異なる色あるいは彩度で区分することができ、各レベルに相当する攻撃イベントの頻度を出力する。危険度視覚化部410は、セキュリティログデータに対する関連度と危険度が隣り合うバーチャートを生成することができる。バーの順序は、危険度の最も高いセキュリティログデータから始めて逆順に配置されてもよいし、重要な順序から、左側から配置されてもよい。これによって、危険度視覚化部410は、危険度の最も高い左側がデータを視覚化することができ、セキュリティ分析家あるいはセキュリティ分析装置130がこれを優先して処理するように誘導することができる。バーチャートに反映されるセキュリティログデータに対する条件は、危険度が50%を超える場合であってもよい。
【0082】
また、危険度視覚化部410は、バーチャートを三次元に視覚化することができる。各バーの厚さは、関連度および危険度のセキュリティイベントの数量に応じて更新されてもよいし、危険度視覚化部410は、全体イベント発生量に応じて三次元チャート領域が流動的に更新することができる。
【0083】
図5Bおよび5Cを参照すれば、危険度視覚化部410は、危険度算出モジュール260で算出されるセキュリティログデータの危険度レベル、攻撃イベントの処理状況を視覚化して示すことができる。具体的には、危険度視覚化部410は、攻撃イベントがセキュリティイベント自動処理部235およびセキュリティイベント処理提案部240で処理される状況を視覚化する。
【0084】
すなわち、危険度算出モジュール260は、予め設定された基準値以下の危険度レベルを有する攻撃イベントを低危険度に分類し、セキュリティイベント自動処理部235は、事前に定められたルールベースの処理ロジックによって対応策を行い、当該対応策による処理記録や効率を視覚的に把握できるように、危険度視覚化部410が視覚化して提供する。
【0085】
危険度算出モジュール260は、予め設定された基準値を超える危険度レベルを有する攻撃イベントを中または高危険度に分類し、セキュリティイベント処理提案部240は、セキュリティイベント推奨順序管理部245により整列された対応策を参照して、危険度が予め設定された基準値以上の攻撃イベントの対応策を提案し、危険度視覚化部410は、処理された結果を視覚化して、セキュリティ分析装置130に処理現状を視覚化して提供する。
【0086】
万一、低危険度の攻撃イベントを含むセキュリティログデータが、データ格納および管理部255に予め格納された攻撃イベントではなく、新規セキュリティログデータの場合、セキュリティ分析装置130から新規セキュリティログデータに対する処理ロジックに対する選択入力を取得して対応できる。
【0087】
一方、危険度算出モジュール260は、中危険度以上の攻撃イベントの場合は、自動処理後に処理結果およびセキュリティ分析装置から受信された満足度などを数値化して格納することができ、セキュリティイベント推奨順序管理部245が推奨した対応策を選択して処理した場合に、当該対応策に対するフィードバックを取得して評価結果をデータ格納および管理部255に格納することができる。万一、セキュリティイベント推奨順序管理部245が推奨した対応策の評価結果が予め設定された点数以上に評価された場合、セキュリティ運営装置は、当該対応策に対する優先順位を上向き調整して提供することができる。すなわち、危険度算出モジュール260は、セキュリティイベント推奨順序管理部245が推奨した対応策に対する処理結果を、満足度、成功/失敗、処理時間、危険度レベルの情報とともに格納し、当該対応策の処理結果に対して周期的に統計を計算し、計算された統計結果をセキュリティイベント推奨順序管理部245に反映して推奨リストを更新することができる。
【0088】
図5に示されるように、セキュリティイベント推奨順序管理部245は、攻撃イベントのうち中危険度と高危険度を有するセキュリティログデータに対して適した対応策を提案し、セキュリティ分析装置の選択によって攻撃イベントを自動および手動処理可能である。この時、セキュリティ分析装置の画面には、日間統計、危険度別の自動処理率、リアルタイム攻撃状況、処理方策の選択に分割されて表示されてもよい。
【0089】
日間統計では、発生した攻撃イベントの数、自動処理された回数(割合)、中危険度と高危険度それぞれの割合および自動処理された割合を確認することができ、危険度別の自動処理率は、グラフで表示されて期間オプションの選択が可能であり、この時、単位は、週(過去7日間)、月(過去4週間)などで表示することができる。
【0090】
セキュリティ分析装置の画面には、リアルタイム攻撃状況テーブルに攻撃イベントを並べることができ、特定の攻撃イベントが選択されれば、当該攻撃イベントへの対応策と対応策の比重が表示されてもよい。
【0091】
前述のように、セキュリティデバイス110は、多様な種類で実現され、多様なソフトウェアベースのセキュリティプログラムとハードウェアベースのセキュリティプログラムが内蔵されて動作できる。危険度視覚化部410は、ソフトウェアベースのセキュリティプログラムやハードウェアベースのセキュリティプログラムを互いに異なる色や図形などに区分して表示することができる。
【0092】
一例として、少なくとも1つ以上のセキュリティプログラムの情報が合わされて発生する攻撃イベントの場合、危険度視覚化部410は、攻撃イベントが発生したセキュリティプログラムの色が対応する図形内に当該セキュリティデバイス110を表示することができる。また、危険度視覚化部410は、多重のセキュリティプログラムの情報が合わされて発生する攻撃イベントの場合、検知されたイベントに記録されたログデータに基づいて、セキュリティプログラムの関与程度に応じて色や図形の大きさや割合などを調節して表示することができる。
【0093】
また、危険度視覚化部410は、セキュリティデバイス110から危険度算出モジュール260に攻撃イベントが伝達される状況を、セキュリティプログラムと同一の色を有する図形で移動過程を表現してもよい。
【0094】
危険度視覚化部410は、セキュリティログデータから取得したIP情報、IP情報に対応する攻撃時間(または発生時間)および攻撃タイプ、危険度レベル、処理状態を含む危険度テーブル情報を提供することができる。この時、危険度テーブル情報は、低危険度テーブルと中・高危険度テーブルとに区分して提供されてもよい。
【0095】
危険度視覚化部410は、危険度算出モジュール260で算出された危険度レベルが予め設定された基準レベル以下の場合に、当該セキュリティログデータを低危険度テーブルに表示し、危険度レベルが予め設定された基準レベルを超えるセキュリティログデータを中・高危険度テーブルに表示する。この時、基準レベルは、危険度レベル「3」に設定できるが、セキュリティ運営システム100が用いられる場所に符合する分類基準によって、セキュリティ運営システムのユーザまたは管理者によって異なるように設定されてもよい。また、危険度視覚化部410は、危険度テーブル情報で攻撃イベントが発生したセキュリティプログラムの色と同一の色系で当該攻撃イベントに対する列の色を構成することができる。
【0096】
危険度視覚化部410は、危険度レベルに応じて、行(row)単位で色、線の形態、線の種類または線の厚さを異ならせて危険度テーブルを構成することができ、処理状態に相当する列(column)に当該攻撃イベントに対する処理中である旨を表示したり、当該攻撃イベントに対する処理完了を表示する少なくとも1つ以上のアイコンを含むことができる。ここで、アイコンは、記号、文字または図形の少なくとも1つ以上で構成されて、イメージまたはテキストの形式で視覚化されてもよい。したがって、危険度視覚化部410は、ローディングアイコン、矢印、テキスト、図形などの少なくとも1つ以上を組み合わせて、処理中、処理速度、完了などの処理状況を直観的に表現することができる。
【0097】
一例として、危険度レベルが高い攻撃イベントの場合、危険度テーブル情報の処理状態に相当する欄にローディングアイコンを配置し、危険度レベルが高いほど、または処理の優先順位が高いほど、矢印、ローディングバー、放射状ドットなどのローディングアイコンを速く回転する形態で表現されてもよい。危険度テーブル情報において処理の優先順位が高い列は、危険度レベルの高い列と同一のIPを有する列、同時に持続的に同一の攻撃が発生した場合に当該攻撃タイプを有する列になってもよい。
【0098】
危険度視覚化部410は、危険度レベルが高いほど、高い彩度と厚い輪郭線を有するように表現することができるが、一例として、低危険度テーブルは、中・高危険度テーブルに比べて彩度を低くしたり、輪郭線の厚さを薄く表示することができる。
【0099】
また、危険度視覚化部410は、セキュリティログデータに発生した攻撃イベントに対する処理完了時点から予め設定された時間が経過すれば、当該攻撃イベントが含まれている列(column)が予め設定された時間の間次第にブラーリング(blurring)処理されて消去されるようにしてもよい。すなわち、危険度視覚化部410は、危険度テーブル情報の処理状態に相当する列が「完了」というアイコンに変更された時点から一定時間経過すれば、当該列の彩度が低くなりつつ、スライドモーションで危険度テーブル情報から削除されるようにしてもよい。
【0100】
この時、危険度視覚化部410は、危険度テーブル情報の一側(例えば、左側)から攻撃イベントに関する情報が入ると、危険度テーブル情報の他側(例えば、右側)に処理完了した攻撃イベントに相当する列がスライドされて消えるように表現することができる。
【0101】
一方、図6に示されるように、危険度視覚化部410は、各セキュリティデバイス110a~110nが用いているセキュリティプログラムごとに各セキュリティプログラムに発生した攻撃イベントの発生頻度を区分して出力することができる。各セキュリティプログラムに発生した攻撃イベントを視覚化するにあたり、危険度視覚化部410は、各攻撃イベントの発生頻度を区分して出力することができる。一方、攻撃イベントは、いずれか1つのセキュリティプログラムに対してのみ加えられてもよいが、いくつかのセキュリティプログラムを連動して加えられてもよい。例えば、ファイアウォールとウェブファイアウォールともに対して連動して攻撃イベントが発生することも、ウェブファイアウォール、ワクチンまたはDRMともに攻撃イベントが発生することもある。あるいは、企業型DRMにおいて閲覧頻度の少ない機密文書をロック解除する場合には、いかなる攻撃イベントにも相当せず、当該DRMセキュリティデバイス内にログ記録のみ残る。しかし、当該文書のロックを解除した後、電子メールセキュリティを担う電子メールセキュリティプログラムにおいて、外部、例えば、競合会社の電子メールアドレスにメールを送る場合であれば、内部情報の機密漏れという(内部)攻撃イベントが発生したと判断できる。それぞれのセキュリティプログラムごとにセキュリティログデータを分析すれば、攻撃イベントとして見つからない行為が、いくつかの意味のあるセキュリティプログラムを連結してセキュリティログデータを分析すれば、攻撃イベントとして見つかる場合が存在する。また、ウェブファイアウォール(WAF)が内部アカウントのパスワード、APIキーまたは資格証明などが入ったファイルを探索しようとするクレデンシャルおよび設定探索(Credential and Configuration Discovery)イベントを探知した後、侵入防止システム(Intrusion Prevention System)が外部、あるいは最初に接続されたIPから、前記探索されたパスワード/資源を用いてログインあるいはアクセスを試みるイベントを確認した場合にも同様である。単一セキュリティプログラムのセキュリティログデータだけでは攻撃イベントであるかを知ることもできず、確認も不可能であるが、危険度視覚化部410は、連結されたセキュリティプログラムのセキュリティログデータを分析して攻撃イベントのパターンやタイプなどを確認して、この情報を視覚化することができる。セキュリティ分析家(あるいはセキュリティ分析装置)は、これを用いて隠されて複合的な攻撃に対して確認して対応できる。すなわち、セキュリティ分析家が確認できるように、攻撃イベントが様々なセキュリティプログラムと連動して加えられた場合、危険度視覚化部410は、攻撃イベントが連動して加えられたセキュリティプログラムをマッチングして当該攻撃イベントを区分して頻度とともに出力可能である。
【0102】
図7は、本発明の一実施例による危険度視覚化部が各セキュリティデバイスのネットワーク構造内で取得されたセキュリティログデータに関する情報を視覚化したものであって、図7に示されるように、危険度視覚化部410は、各セキュリティデバイス110a~110nが用いているセキュリティプログラムに対して、ネットワーク構造ごとに各セキュリティプログラムに発生した攻撃イベントの発生頻度を区分して出力することができる。危険度視覚化部410は、セキュリティデバイス110のネットワークから取得されたセキュリティログデータに基づいて攻撃タイプを決定し、決定された攻撃タイプが第1攻撃タイプの場合に、第2攻撃タイプとの関連度が予め設定された関連度以上の場合に、第1攻撃タイプと第2攻撃タイプとを隣接して配列して視覚化することができる。例えば、危険度視覚化部410は、ファイアウォールの第1攻撃タイプと第2攻撃タイプとの間の関連度に基づいて、攻撃タイプごとに攻撃イベントを隣接して視覚化することができ、ファイアウォールとウェブファイアウォールに対する危険度レベルに基づいて、攻撃イベントを隣接して視覚化することができ、ウェブファイアウォール、ワクチンまたはDRMなどの各位置配列を状況に応じて適応的に決定可能である。
【0103】
再度、図4を参照すれば、処理状況視覚化部420は、攻撃イベントがセキュリティイベント自動処理部235およびセキュリティイベント処理提案部240で処理される状況を視覚化する。処理状況視覚化部420の動作例は、図8に示されている。
【0104】
図8は、本発明の一実施例による処理状況視覚化部の動作例を示す図である。
【0105】
前述のように、セキュリティイベント自動処理部235は、危険度レベルが予め設定された基準値以下の攻撃イベントに対しては直接処理を行い、セキュリティイベント処理提案部240は、危険度レベルが予め設定された基準値以上の攻撃イベントに対しては前述した処理を行う。
【0106】
図8に示されるように、処理状況視覚化部420は、セキュリティイベント自動処理部235により処理された攻撃イベントの情報(標準フォーマットであってもよい)およびそれらの処理状況を視覚化することができ、同様に、セキュリティイベント処理提案部240により処理(対応策提案)された攻撃イベントの情報および処理状況を視覚化することができる。処理状況視覚化部420は、セキュリティイベント自動処理部235により処理された攻撃イベントに関するものと、セキュリティイベント処理提案部240により処理された攻撃イベントに関するものとを、互いに空間的におよび/または視覚的に区分して出力することができる。
【0107】
処理状況視覚化部420は、視覚化した情報を修正可能な状態でセキュリティ分析装置130に提供することができ、セキュリティ分析家は、視覚化された情報を受信して、必要に応じて適切に修正することができる。
【0108】
再度、図4を参照すれば、攻撃位置視覚化部430は、攻撃イベントを発生させた装置の攻撃位置および/または攻撃統計情報を視覚化する。攻撃位置視覚化部430は、セキュリティイベント自動処理部235により処理された攻撃イベントに対しては除外し、セキュリティイベント処理提案部240により処理された(相対的に危険度の高い)攻撃イベントに対してのみ視覚化を進行させることができる。攻撃位置視覚化部430の動作例は、図9~12に示されている。
【0109】
図9~12は、本発明の一実施例による攻撃位置視覚化部の動作例を示す図である。
【0110】
図9を参照すれば、攻撃位置視覚化部430は、攻撃イベントを発生させた装置の攻撃位置を細分化して視覚化する。攻撃位置視覚化部430は、単に国にとどまるのではなく、都市およびそれ以下の細部行政区域まで細分化してそれぞれ出力する。標準フォーマット内のソースIPアドレスに基づいて、攻撃イベントを発生させた装置の攻撃位置が細部行政区域まで確認できる。このため、攻撃位置視覚化部430は、攻撃イベントを発生させた装置の攻撃位置を細分化して視覚化する。
【0111】
攻撃位置視覚化部430は、攻撃イベントを発生させた装置の攻撃位置を視覚化するにあたり、攻撃イベントの発生危険度および回数に応じて異なるように視覚化することができる。例えば、攻撃位置視覚化部430は、第1タイプの攻撃イベントを第1色で、第2タイプの攻撃イベントを第2色で表示することができ、危険度が予め設定された基準値以上の攻撃イベントに対しては第1色の彩度を更新したり、攻撃発生領域の大きさを更新して提供することができる。また、攻撃位置視覚化部430は、攻撃等級、危険度レベルなどに対して区分して表示することができる。
【0112】
さらに、攻撃位置視覚化部430は、攻撃イベントを発生させた装置の攻撃位置を細分化して視覚化するにあたり、図10に示されるように、当該地域の地図にマッピングして視覚化することができる。IPに関する情報として攻撃国のみ表示すれば、攻撃装置あるいは攻撃地域に関する詳しい情報がなく、攻撃への対応や備えなどの細部的な方策を講じることが困難で無意味な情報にとどまってしまう。様々な攻撃が同時に行われている場合、全体地図において攻撃が発生する地域より、攻撃のない地域がより広く、多くて、敢えて全体地図の大きさに合わせてグラフィック化する必要がない。これによって、攻撃位置視覚化部430は、当該地域の地図にマッピングして視覚化するにあたり、各地域の実際の面積と関係なく攻撃イベントの発生頻度に応じて地域の面積または形態などを調整または変形して視覚化することができる。また、攻撃位置視覚化部430は、現在の攻撃地域だけをもって2D地図化してリアルタイムに情報を提供することができる。その方が全体的な流れの把握や現状況への備えなどに有利であり得る。さらに、リアルタイム攻撃量または攻撃頻度に応じて攻撃地域の色変化を提供してこそ、全体的な攻撃の流れ、攻撃処理の現状または攻撃に対応するセキュリティセンターのリアルタイム対応力などを確認し、セキュリティ担当者の増減、当該攻撃専門家の運営、セキュリティセンターの管理などへの変化と備えが可能になる。セキュリティ分析家は、より容易にどの地域で攻撃イベントが発生しているかを確認することができ、当該地域のIPを丸ごと遮断するなどの方策を講じることができる。また、攻撃位置視覚化部430は、セキュリティ分析家がセキュリティ装置ごとに攻撃の内訳を視覚化する時、当該セキュリティ装置の増設やセキュリティ強化などの政策を立てられるようにし、攻撃タイプごとにセキュリティ専門家を配置または対応できるようにする。
【0113】
図11に示されるように、攻撃位置視覚化部430は、各セキュリティプログラムに対する攻撃統計情報を視覚化することができる。攻撃位置視覚化部430は、各セキュリティプログラムに加えられた攻撃イベントを日、月、年の期間で平均して視覚化することができ、月平均または年平均をともに視覚化することができる。このため、攻撃位置視覚化部430は、セキュリティ分析家が各日または各月ごとに月平均または年平均対比の増減を確認できるようにする。また、攻撃位置視覚化部430は、特定の攻撃に適したセキュリティ分析家が配置され、人員を攻撃の流れによって増減できるようにセキュリティ政策を講じるようにできる。これによって、セキュリティセンターの運営および代案や備え、政策づくりに大きく役立つことができる。
【0114】
図12Aに示されるように、攻撃位置視覚化部430は、二次元地図あるいは三次元地図上にソースIPアドレスから対象IPアドレスを結ぶ矢印形態で攻撃イベントを視覚化することができる。攻撃位置視覚化部430は、セキュリティプログラムごとあるいは攻撃イベントタイプごとに線の形態、線の種類または線の色を異ならせて視覚化することができ、攻撃イベントの頻度(数字)を線の厚さで視覚化することができる。例えば、DDoS攻撃は赤色で、ウェブ弱点攻撃は青色で、非認可アクセス攻撃は黄色で視覚化することができる。攻撃位置視覚化部430は、すべてのセキュリティプログラムやすべての攻撃イベントタイプを一括的に表示してもよく、セキュリティプログラムや攻撃イベントタイプごとに区分して表示してもよい。これによって、セキュリティ分析家は、線の始点と終点、線の形態/種類/色および線の厚さでどの地域からどの地域にどのような攻撃イベントがどれだけ発生しているかを一括的に把握することができる。
【0115】
あるいは、図12Bに示されるように、攻撃位置視覚化部430は、攻撃イベントを発生させた装置の攻撃の現状をアニメーション形態でリアルタイム視覚化するにあたり、各攻撃タイプに対応する危険度レベルに応じて異なるように表示することができる。例えば、攻撃位置視覚化部430は、第1攻撃タイプの攻撃イベントを第1色で、第2タイプの攻撃イベントを第2色で表すことができ、危険度レベルが予め設定された基準値以上の攻撃イベントに対しては第1色の彩度を更新したり、攻撃発生領域の大きさを更新して提供することができる。また、攻撃位置視覚化部430は、攻撃タイプ、攻撃回数、攻撃等級、危険度レベルなどに対して区分して、矢印に対する色、明るさ、厚さおよび図形の種類など異なる表現方式で表示することができる。
【0116】
一例として、攻撃位置視覚化部430は、セキュリティプログラムごとあるいは攻撃イベントタイプごとに線の形態、線の種類または線の色を異ならせて視覚化することができ、攻撃イベントの頻度(数字)を線の厚さで視覚化することができる。例えば、攻撃タイプAとBは、レッド系の色で互いに異なるように表現され、DDoS攻撃などの攻撃タイプCとDは、ブルー系の色で互いに異なるように表現され、非認可アクセス攻撃などの攻撃タイプEとFは、グレー系の色で互いに異なるように表現されて視覚化されてもよい。攻撃位置視覚化部430は、すべてのセキュリティプログラムやすべての攻撃イベントタイプを一括的に表示してもよく、セキュリティプログラムや攻撃イベントタイプごとに区分して表示してもよい。これによって、セキュリティ分析家は、線の始点と終点、線の形態/種類/色および線の厚さでどの地域からどの地域にどのような攻撃イベントがどれだけ発生しているかを一括的に把握することができる。
【0117】
再度、図4を参照すれば、攻撃パターン視覚化部440は、起きていた攻撃イベントのパターンを視覚化する。攻撃パターン視覚化部440も、攻撃位置視覚化部430と同様に、セキュリティイベント自動処理部235により処理された攻撃イベントに対しては除外し、セキュリティイベント処理提案部240により処理された(相対的に危険度の高い)攻撃イベントに対してのみ視覚化を進行させることができる。攻撃パターン視覚化部440は、攻撃形態および攻撃時間を分析してこれを視覚化する。攻撃パターン視覚化部440の動作例は、図13~15に示されている。
【0118】
図13~15は、本発明の一実施例による攻撃パターン視覚化部の動作例を示す図である。
【0119】
図13を参照すれば、攻撃パターン視覚化部440は、起きた攻撃イベントの攻撃形態を視覚化する。攻撃パターン視覚化部440は、ログ分析部215の分析結果に応じて、IP情報および攻撃IPアドレスのヒストリ情報を取得することができる。攻撃IPアドレスのヒストリ情報は、各攻撃イベントのソースIPアドレス、攻撃位置、攻撃形態、対応状態および危険度を含み、攻撃パターン視覚化部440は、このような攻撃IPアドレスのヒストリ情報をまとめて視覚化することができる。既存のセキュリティオペレーションシステムでは、攻撃への対応のみあるだけで、何らかの予防や備えが難しかったが、攻撃パターン視覚化部440の視覚化によって、セキュリティ分析家あるいはセキュリティ分析装置130にIPアドレスベースのヒストリ情報を提供(視覚化)すれば、セキュリティ分析家が円滑に攻撃に対する予防や特定のパターンによる備えなどを進行させることができる。
【0120】
一方、図14Aに示されるように、攻撃パターン視覚化部440は、攻撃イベントが発生した時間帯をまとめて視覚化することができ、図14Bに示されるように、攻撃イベントの攻撃パターンをまとめて視覚化することができる。図14Cに示されるように、攻撃パターン視覚化部440は、まとめた攻撃イベントの発生時間帯および攻撃パターンを併合して、どの時間帯にどのようなパターンの攻撃イベントが発生したかをまとめて視覚化することができる。
【0121】
この時、ソースIPアドレスが互いに同一の場合、実質的に同じ装置から攻撃イベントが発生した場合もありうるが、迂回プログラムを用いて、互いに異なる装置であるものの、偶然に一致する場合も存在しうる。しかし、同一の攻撃パターンで同一の時間帯に攻撃イベントが発生したならば、ソースIPアドレスが互いに異なるとしても、両者は互いに同一の装置である可能性が高い。攻撃パターン視覚化部440は、攻撃イベントの発生時間帯および攻撃パターンを併合して視覚化することにより、図14Dに示されるように、セキュリティ分析家(あるいはセキュリティ分析装置)が互いに異なるIPの類似度あるいは一致確率を判断できるようにする。IPが異なっていても両者が互いに同一の装置の場合、対応策が類似することができ、どの時間帯にどのような攻撃パターンに予め備えられるかも事前に確認して備えることができる。これによって、VPN、ゾンビPCを用いる場合、攻撃者が誰なのか把握しにくいが、類似のパターンを検索して、同一人物または同一集団の攻撃が確認可能である。
【0122】
攻撃パターン視覚化部440は、図15A~15Cに示されるように、攻撃タイプごとに、攻撃地域と時間を視覚化することができる。特に、攻撃パターン視覚化部440は、攻撃タイプごとに攻撃地域を視覚化するにあたり、二次元地図にマッピングして視覚化することができ、攻撃地域とともに攻撃IPアドレス、攻撃イベントの危険度などをともに出力してセキュリティ分析家(あるいはセキュリティ分析装置)に提供することができる。
【0123】
このように、攻撃パターン視覚化部440は、セキュリティ分析家(あるいはセキュリティ分析装置)がどの装置により攻撃が入っているかを概略的に把握できるようにし、予め攻撃パターンおよび時間帯を把握して備えられるようにする。また、攻撃パターン視覚化部440の視覚化によって、セキュリティ分析家(あるいはセキュリティ分析装置)は、攻撃時間および攻撃時間パターンの分析で対応方法を立てることができる。さらに、特定の攻撃イベントに対応するための適切なセキュリティ分析家が当該時間に配置することができる。攻撃パターン視覚化部440は、攻撃タイプごとに視覚化を行うことができ、より具体的には、攻撃地域の視覚化または攻撃時間帯の視覚化を行うことができる。
【0124】
攻撃パターン視覚化部440の視覚化によって、セキュリティ分析家(あるいはセキュリティ分析装置)は、攻撃タイプごとに地域と時間帯の視覚化を進行させ、ヒストリを確認して攻撃のトレンドおよびパターンを確認することができ、これに備えて対応策や予防などの具体的なセキュリティ政策を立てて対応運営を管理することができる。攻撃パターン視覚化部440は、攻撃への対応および処理時間の視覚化を行うにあたり、セキュリティデバイスごとに年、月、週別の対応時間の視覚化を行ったり、攻撃タイプごとに年、月、週別の対応時間の視覚化を行うことができる。攻撃パターン視覚化部440は、セキュリティ分析家(あるいはセキュリティ分析装置)が対応時間の変化量による対応方法の切替、人員補充、方策づくりが可能であり、攻撃トレンドおよび攻撃の予測および対応策を立てられるようにする。
【0125】
攻撃パターン視覚化部440は、攻撃ソースに関する情報を取得し(例:攻撃ソースの同一性の有無決定)、攻撃への対応結果を視覚化してディスプレイすることができる。これによって、攻撃への対応結果が適切か否かをセキュリティ分析家が容易に確認することができる。セキュリティ分析家(あるいはセキュリティ分析装置)は、攻撃パターン視覚化部440の視覚化によって、攻撃ソースに関する情報に基づいて攻撃パターンを導出することができ、導出された攻撃パターンによって対応方法、対応人員などに関する情報を取得することができる。
【0126】
再度、図2を参照すれば、データ格納および管理部255は、ログ分析部215あるいはセキュリティイベント推奨順序管理部245で処理されるすべてのデータを格納して管理する。データ格納および管理部255は、格納されたデータに対して視覚化部250内の各視覚化部410~440が視覚化できるように、視覚化用にデータを変換可能である。データ格納および管理部255は、セキュリティログデータの危険度を判断する人工知能学習モデルおよび学習データを格納する。また、データ格納および管理部255は、セキュリティ運営システムのユーザあるいは管理者によって予め定められたルールを格納し、予め処理された攻撃イベントとそれらの対応策をマッチングして格納する。
【0127】
一方、セキュリティ運営装置120の前述した構成は、セキュリティ運営システム100内にセキュリティログ管理装置140が含まれていない場合に動作することができる。セキュリティ運営システム100内にセキュリティログ管理装置140が含まれている場合、通信部210は、大体、セキュリティログ管理装置140から攻撃イベントと判断されたセキュリティログデータを受信することができ、セキュリティイベント危険度判断部230は、攻撃イベントの有無を除いた、どれだけの危険度を有するかを判断することができる。
【0128】
図16は、本発明の一実施例によるセキュリティ運営装置が各情報を視覚化する方法を示すフローチャートである。
【0129】
通信部210は、各セキュリティデバイスからセキュリティログデータを受信する(S1710)。セキュリティ運営システム100がセキュリティログ管理装置140を含む場合、通信部210は、セキュリティログ管理装置140から攻撃イベントと判断されたセキュリティログデータを受信することができる。
【0130】
ログ分析部215は、受信したセキュリティログデータを分析し、ログ整形化部220は、標準ログデータのフォーマットに変換する(S1720)。
【0131】
セキュリティイベント危険度判断部230は、フォーマットが変換されたセキュリティログデータの危険度が予め設定された基準値以上か否かを判断する(S1730)。セキュリティイベント危険度判断部230は、ログ学習部225により学習された人工知能学習モデルを用いて、セキュリティログデータが攻撃イベントか否か、および攻撃イベントの場合に危険度が予め設定された基準値以上か否かを判断する。
【0132】
セキュリティログデータの危険度が予め設定された基準値以上の場合、危険度算出モジュール260は、予め格納された攻撃イベントに対する処理結果に基づいて、予め定められたルールベースの処理ロジックによって、算出された危険度レベルに対応してセキュリティログデータの処理過程を行う。すなわち、セキュリティイベント処理提案部240は、当該攻撃イベントと類似の攻撃イベントの対応策を案内したり、適切な対応策を推奨する(S1740)。
【0133】
セキュリティログデータの危険度が予め設定された基準値以下の場合、危険度算出モジュール260は、セキュリティイベント自動処理部235で当該攻撃イベントを予め設定された対応策によって自動的に処理する(S1750)。
【0134】
通信部210は、自動処理または推奨した対応策に対する評価をセキュリティ分析装置130から受信する(S1760)。セキュリティ運営装置120は、セキュリティ分析装置130から受信した評価に基づいて予め設定された期間ごとに優先順位情報を更新することができ、更新された優先順位情報に基づいて対応策の推奨が可能で、セキュリティ措置に対する迅速性が向上できる。
【0135】
また、セキュリティ運営装置120は、推奨した対応策に対する成功、失敗、処理時間、危険度だけでなく、セキュリティ分析装置130から受信した満足度、予後および経過などの処理結果をデータ格納および管理部255に格納することができ、データ格納および管理部255に格納されたデータを数値化した統計結果を用いて自体評価に用いてもよい。
【0136】
セキュリティ運営装置120は、数値化された統計結果に基づいて、予め設定された周期ごとに予め設定された基準値以上の危険度に相当する攻撃イベントに対するルールベースの処理ロジックを生成したり、前に適用したルールベースの処理ロジックにおいて特に有意な処理方式に重みを与えてセキュリティイベント推奨順序管理部に反映することができる。
【0137】
データ格納および管理部255は、攻撃イベントの危険度、攻撃地域、攻撃タイプ、処理内容、攻撃パターンまたは攻撃量情報に関するデータを管理する(S1770)。
【0138】
データ格納および管理部255は、攻撃イベントの危険度、攻撃地域、攻撃タイプ、処理内容、攻撃パターンまたは攻撃量情報に関するデータを視覚化用データに変換し、視覚化部250は、変換されたデータを視覚化する(S1780)。
【0139】
図16では、各過程を順次に実行すると記載しているが、これは本発明の一実施例の技術思想を例として説明したものに過ぎない。つまり、本発明の一実施例の属する技術分野における通常の知識を有する者であれば、本発明の一実施例の本質的な特性を逸脱しない範囲で各図面に記載された順序を変更して実行したり、各過程のうち1つ以上の過程を並列的に実行することで多様に修正および変形して適用可能なため、図16は、時系列的な順序に限定されるものではない。
【0140】
一方、図16に示された過程は、コンピュータ可読記録媒体にコンピュータ可読コードとして実現することが可能である。コンピュータ可読記録媒体は、コンピュータシステムによって読取可能なデータが格納されるすべての種類の記録装置を含む。すなわち、コンピュータ可読記録媒体は、マグネチック記憶媒体(例えば、ROM、フロッピー(登録商標)、ハードディスクなど)および光学的読取媒体(例えば、CD-ROM、DVDなど)のような記憶媒体を含む。また、コンピュータ可読記録媒体は、ネットワークで連結されたコンピュータシステムに分散して分散方式でコンピュータ可読コードが格納されて実行できる。
【0141】
以上の説明は、本実施例の技術思想を例として説明したものに過ぎず、本実施例の属する技術分野における通常の知識を有する者であれば本実施例の本質的な特性を逸脱しない範囲で多様な修正および変形が可能であろう。したがって、本実施例は本実施例の技術思想を限定するためではなく説明するためのものであり、このような実施例によって本実施例の技術思想の範囲が限定されるのではない。本実施例の保護範囲は、以下の特許請求の範囲によって解釈されなければならず、それと同等範囲内にあるすべての技術思想は本実施例の権利範囲に含まれると解釈されなければならない。
【符号の説明】
【0142】
100 セキュリティ運営システム
110 セキュリティデバイス
120 セキュリティ運営装置
130 セキュリティ分析装置
140 セキュリティログ管理装置
210 通信部
215 ログ分析部
220 ログ整形化部
225 ログ学習部
230 セキュリティイベント危険度判断部
235 セキュリティイベント自動処理部
240 セキュリティイベント処理提案部
245 セキュリティイベント推奨順序管理部
250 視覚化部
260 データ格納および管理部
410 危険度視覚化部
420 処理状況視覚化部
430 攻撃位置視覚化部
440 攻撃パターン視覚化部
110 セキュリティデバイス
120 セキュリティ運営装置
130 セキュリティ分析装置
140 セキュリティログ管理装置
210 通信部
215 ログ分析部
220 ログ整形化部
225 ログ学習部
230 セキュリティイベント危険度判断部
235 セキュリティイベント自動処理部
240 セキュリティイベント処理提案部
245 セキュリティイベント推奨順序管理部
250 視覚化部
260 データ格納および管理部
410 危険度視覚化部
420 処理状況視覚化部
430 攻撃位置視覚化部
440 攻撃パターン視覚化部
【図1】
【図2】
【図3】
【図4】
【図5A】
【図5B】
【図5C】
【図5D】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12A】
【図12B】
【図13】
【図14A】
【図14B】
【図14C】
【図14D】
【図15A】
【図15B】
【図15C】
【図16】
