(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-11-21
(45)【発行日】2023-11-30
(54)【発明の名称】セキュリティ情報の処理方法、装置、電子機器、記憶媒体およびコンピュータプログラム
(51)【国際特許分類】
G06F 21/55 20130101AFI20231122BHJP
【FI】
G06F21/55
(21)【出願番号】P 2022102090
(22)【出願日】2022-06-24
【審査請求日】2022-06-24
(31)【優先権主張番号】202110716015.8
(32)【優先日】2021-06-25
(33)【優先権主張国・地域又は機関】CN
(73)【特許権者】
【識別番号】521208273
【氏名又は名称】阿波▲羅▼智▲聯▼(北京)科技有限公司
【氏名又は名称原語表記】APOLLO INTELLIGENT CONNECTIVITY(BEIJING)TECHNOLOGY CO.,LTD.
【住所又は居所原語表記】101, 1st Floor, Building 1, Yard 7, Ruihe West 2nd Road, Beijing Economic and Technological Development Zone, Beijing 100176, China
(74)【代理人】
【識別番号】100145403
【氏名又は名称】山尾 憲人
(74)【代理人】
【識別番号】100189555
【氏名又は名称】徳山 英浩
(72)【発明者】
【氏名】汪 明偉
【審査官】平井 誠
(56)【参考文献】
【文献】特開2021-093203(JP,A)
【文献】特表2020-515962(JP,A)
【文献】国際公開第2020/212093(WO,A1)
【文献】米国特許出願公開第2019/0141058(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/00-88
(57)【特許請求の範囲】
【請求項1】
目標機器に対するセキュリティ警報情報について標準化処理を行って、標準化データを取得することと、
前記標準化データと攻撃行動知識ベースにおける攻撃データとの間の類似度を特定することと、
前記類似度に基づいて、前記目標機器のセキュリティ情報を更新することと、を含
み、
前記標準化データと攻撃行動知識ベースにおける攻撃データとの間の類似度を特定することは、
前記標準化データにおける少なくとも一つの第1のキーワードを特定することと、
攻撃行動知識ベースにおける攻撃データのそれぞれに対して、前記攻撃データにおける少なくとも一つの第2のキーワードを特定することと、
前記少なくとも一つの第1のキーワードおよび前記少なくとも一つの第2のキーワードに基づいて、前記標準化データと前記攻撃データとの間の類似度を特定することと、を含む
セキュリティ情報の処理方法。
【請求項2】
前記セキュリティ警報情報を標準化して標準化データを取得することは、
前記セキュリティ警報情報を解析して、少なくとも一つの目標フィールドを特定することと、
所定のフォーマットに基づいて、前記少なくとも一つの目標フィールドを前記標準化データにおけるフィールドに変換することと、を含む
請求項1に記載の方法。
【請求項3】
前記所定のフォーマットは、標準化脅威情報表現式を含む
請求項2に記載の方法。
【請求項4】
前記少なくとも一つの第1のキーワードおよび前記少なくとも一つの第2のキーワードに基づいて、前記標準化データと前記攻撃データとの間の類似度を特定することは、
前記少なくとも一つの第1のキーワードと前記少なくとも一つの第2のキーワードとを統合して、キーワードセットを取得することと、
前記キーワードセットにおけるそれぞれのキーワードの前記標準化データにおける単語頻度を特定して、第1の単語頻度特徴ベクトルを取得することと、
前記キーワードセットにおけるそれぞれのキーワードの前記攻撃データにおける単語頻度を特定して、第2の単語頻度特徴ベクトルを取得することと、
前記第1の単語頻度特徴ベクトルと前記第2の単語頻度特徴ベクトルとの間のコサイン類似度を計算して、前記標準化データと前記攻撃データとの間の類似度とすることと、を含む
請求項
1に記載の方法。
【請求項5】
前記類似度に基づいて、前記目標機器のセキュリティ情報を更新することは、
前記攻撃行動知識ベースにおける、前記標準化データとの類似度が最も高い目標攻撃データを特定することと、
前記目標攻撃データの類似度が類似度閾値より大きい場合、前記目標攻撃データに基づいて、目標機器のセキュリティ情報を更新することと、を含む
請求項
1に記載の方法。
【請求項6】
前記攻撃データは、戦術フィールドを含み、
前記セキュリティ情報は、攻撃チェーンを含み、
前記目標攻撃データに基づいて、目標機器のセキュリティ情報を更新することは、
前記目標攻撃データにおける戦術フィールドに対応する戦術識別子を前記攻撃チェーンに添加することを含む
請求項
5に記載の方法。
【請求項7】
目標機器に対するセキュリティ警報情報について標準化処理を行って、標準化データを取得するための標準化モジュールと、
前記標準化データと攻撃行動知識ベースにおける攻撃データとの間の類似度を特定するための類似度特定モジュールと、
前記類似度に基づいて、前記目標機器のセキュリティ情報を更新するための更新モジュールと、を含
み、
前記類似度特定モジュールは、
前記標準化データにおける少なくとも一つの第1のキーワードを特定するための第1の特定サブモジュールと、
攻撃行動知識ベースにおける攻撃データのそれぞれに対して、前記攻撃データにおける少なくとも一つの第2のキーワードを特定するための第2の特定サブモジュールと、
前記少なくとも一つの第1のキーワードおよび前記少なくとも一つの第2のキーワードに基づいて、前記標準化データと前記攻撃データとの間の類似度を特定するための第3の特定サブモジュールと、を含む
セキュリティ情報の処理装置。
【請求項8】
前記標準化モジュールは、
前記セキュリティ警報情報を解析して、少なくとも一つの目標フィールドを特定するための解析サブモジュールと、
所定のフォーマットに基づいて、前記少なくとも一つの目標フィールドを前記標準化データにおけるフィールドに変換するための変換サブモジュールと、を含む
請求項
7に記載の装置。
【請求項9】
前記所定のフォーマットは、標準化脅威情報表現式を含む
請求項
8に記載の装置。
【請求項10】
前記第3の特定サブモジュールは、
前記少なくとも一つの第1のキーワードと前記少なくとも一つの第2のキーワードとを統合して、キーワードセットを取得するための統合ユニットと、
前記キーワードセットにおけるそれぞれのキーワードの前記標準化データにおける単語頻度を特定して、第1の単語頻度特徴ベクトルを取得するための第1の特定ユニットと、
前記キーワードセットにおけるそれぞれのキーワードの前記攻撃データにおける単語頻度を特定して、第2の単語頻度特徴ベクトルを取得するための第2の特定ユニットと、
前記第1の単語頻度特徴ベクトルと前記第2の単語頻度特徴ベクトルとの間のコサイン類似度を計算して、前記標準化データと前記攻撃データとの間の類似度とするための計算ユニットと、を含む
請求項
7に記載の装置。
【請求項11】
前記更新モジュールは、
前記攻撃行動知識ベースにおける、前記標準化データとの類似度が最も高い目標攻撃データを特定するための第4の特定サブモジュールと、
前記目標攻撃データの類似度が類似度閾値より大きい場合、前記目標攻撃データに基づいて、目標機器のセキュリティ情報を更新するための更新サブモジュールと、を含む
請求項
7または
10に記載の装置。
【請求項12】
前記攻撃データは、戦術フィールドを含み、
前記セキュリティ情報は、攻撃チェーンを含み、
前記更新サブモジュールは、
前記目標攻撃データにおける戦術フィールドに対応する戦術識別子を前記攻撃チェーンに添加するための添加ユニットを含む
請求項
11に記載の装置。
【請求項13】
少なくとも一つのプロセッサと、
前記少なくとも一つのプロセッサと通信接続されたメモリとを、含み、
前記メモリには、前記少なくとも一つのプロセッサにより実行される命令が記憶されており、前記命令は、前記少なくとも一つのプロセッサが請求項1~
6のいずれか一項に記載の方法を実行することができるように、前記少なくとも一つのプロセッサにより実行される
電子機器。
【請求項14】
コンピュータに請求項1~
6のいずれか一項に記載の方法を実行させるためのコンピュータ命令を記憶した非一時的なコンピュータ可読記憶媒体。
【請求項15】
プロセッサに実行される時に請求項1~
6のいずれか一項に記載の方法を実現するコンピュータプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、コンピュータ技術分野に関し、特に車のインターネットや情報セキュリティ技術分野に関する。
【背景技術】
【0002】
「インターネット+」の全面的な推進に伴い、情報技術の国家社会経済建設における応用もますます広くなる。それに応じて、新型ネットワークセキュリティの脅威もより顕著になり、従来の「防護」を主とするネットワークセキュリティ防御系は、大きな挑戦に直面する。新型ネットワークセキュリティの脅威に面し、将来のネットワークセキュリティ防御系は、ネットワークセキュリティの監視および応答能力をより重視する。したがって、どのようにネットワークセキュリティの脅威行動をタイムリーに発見して、ネットワークの脅威応答の効率を向上させるかは、早急に解決すべき問題となる。
【発明の概要】
【0003】
本開示は、セキュリティ情報の処理方法、装置、電子機器、記憶媒体およびコンピュータプログラムを提供する。
【0004】
本開示の一態様によれば、目標機器に対するセキュリティ警報情報について標準化処理を行って、標準化データを取得することと、前記標準化データと攻撃行動知識ベースにおける攻撃データとの間の類似度を特定することと、前記類似度に基づいて、前記目標機器のセキュリティ情報を更新することと、を含むセキュリティ情報の処理方法を提供する。
【0005】
本開示の別の態様によれば、目標機器に対するセキュリティ警報情報について標準化処理を行って、標準化データを取得するための標準化モジュールと、前記標準化データと攻撃行動知識ベースにおける攻撃データとの間の類似度を特定するための特定モジュールと、前記類似度に基づいて、前記目標機器のセキュリティ情報を更新するための更新モジュールと、を含むセキュリティ情報の処理装置を提供する。
【0006】
本開示の別の態様によれば、少なくとも一つのプロセッサと、前記少なくとも一つのプロセッサと通信接続されたメモリとを、含み、前記メモリには、前記少なくとも一つのプロセッサにより実行される命令が記憶されており、前記命令が前記少なくとも一つのプロセッサが本開示の実施例に示された方法を実行することができるように、前記少なくとも一つのプロセッサにより実行される、電子機器を提供する。
【0007】
本開示の実施例の別の態様によれば、コンピュータに本開示の実施例に示された方法を実行させるためのコンピュータ命令を記憶した非一時的なコンピュータ可読記憶媒体を提供する。
【0008】
本開示の実施例の別の態様によれば、プロセッサに実行される時に本開示の実施例に示された方法を実現するコンピュータプログラムを提供する。
【0009】
本部分に記述される内容は、本開示の実施例のキーポイントまたは重要な特徴を示すことを意図するものではなく、本開示の範囲を制限するためのものでもないことを理解すべきである。本開示の他の特徴は、以下の明細書を通して、容易に理解されるようになる。
【図面の簡単な説明】
【0010】
図面は、本方案をよりよく理解するためのものであり、本開示を限定するものではない。
【0011】
【
図1】本開示の実施例に係るセキュリティ情報を処理する方法および装置を適用できる例示的なシステム構造を示す概略図である。
【
図2】本開示の実施例に係るセキュリティ情報を処理する方法のフローチャートを示す概略図である。
【
図3】本開示の実施例に係る標準化データと攻撃行動知識ベースにおける攻撃データとの間の類似度を特定する方法のフローチャートを示す概略図である。
【
図4】本開示の実施例に係るセキュリティ情報を処理する方法を示す概略図である。
【
図5】本開示の実施例に係るセキュリティ情報を処理する装置のブロック図を示す概略図である。
【
図6】本開示の実施例を実施できる例示的な電子機器のブロック図を示す概略図である。
【発明を実施するための形態】
【0012】
以下、図面を参照しながら、本開示の例示的な実施例について説明し、容易に理解するために、その中には本開示の実施例の様々な詳細を含んでおり、それらは単なる例示するものと見なされるべきである。したがって、当業者は、ここで記述される実施例に対して様々な変更や修正を行ってもよく、本開示の範囲および精神から逸脱することにならないと理解すべきである。同様に、明確および簡潔するために、以下の記述では、周知の機能および構成の記述を省略する。
【0013】
図1は、本開示の実施例に係るセキュリティ情報を処理する方法および装置を適用できる例示的なシステム構造100を示す概略図である。
図1に示すのは、本開示の実施例を適用できるシステム構造の例示に過ぎず、当業者に本開示の技術内容を理解させるためのものであり、本開示の実施例が他の機器、システム、環境又は場面に適用できないことを意味しないことに注意すべきである。
【0014】
図1に示すように、この実施例に係るシステム構造100は、端末機器101、102、103、ネットワーク104、脅威分析プラットフォーム105および攻撃行動知識ベース106を含んでもよい。ネットワーク104は、端末機器101、102、103とクラウド105との間に通信リンクの媒体を提供するためのものである。ネットワーク104は、例えば有線、無線通信リンク又は光ファイバーケーブルなどの様々な接続タイプを含んでもよい。
【0015】
本開示の実施例によれば、端末機器101、102、103がネットワーク攻撃を受けた場合、端末機器101、102、103は、該ネットワーク攻撃の攻撃行動に基づいて、対応するセキュリティ警報情報を生成する。端末機器101、102、103には、端末機器101、102、103のセキュリティ警報情報を収集し、かつネットワーク104を介してセキュリティ警報情報を脅威分析プラットフォーム105に報告するためのセキュリティデータプローブが配置されてもよい。
【0016】
端末機器101、102、103は、ネットワーク通信をサポートする様々な電子機器であってもよく、スマート車載システム、車載センサ、スマート交通端末機器などを含むが、これらに限られない。
【0017】
脅威分析プラットフォーム105は、受信されたセキュリティ警報情報などのデータに対して分析などの処理を行い、かつ処理結果(例えばセキュリティ警報情報に基づいて生成された分析結果など)を端末機器にフィードバックするために用いられてもよい。
【0018】
脅威分析プラットフォーム105は、サーバ又は複数のサーバで構成されたサーバクラスタに配置してもよい。ここで、該サーバは、クラウドサーバであってもよく、クラウドコンピューティングサーバ又はクラウドホストとも呼ばれ、クラウドコンピューティングサービスシステムのうちの一つのホスト製品であり、それにより、従来の物理ホストとVPSサービス(「Virtual Private Server」、又は「VPS」と略称する)に存在する管理難度が大きく、サービス拡張性が弱いという欠陥を解決している。該サーバは、分散システムのサーバであってもよく、又はブロックチェーンを結合したサーバであってもよい。
【0019】
本開示の実施例によれば、攻撃行動知識ベース106は、実世界に対する観測や収集を介して得られた攻撃者攻撃行動情報により確立されてもよく、攻撃者の攻撃ライフサイクルおよび使用される技術および手段を反映してもよい。攻撃行動知識ベース106は、例えばATT&CK(Adversarial Tactics, Techniques, and Common Knowledge、拮抗戦術、技術および常識)モデルに基づいてもよい。ATT&CKモデルは、抽象のレベルが低く、使用者が戦術および戦略を対応付けることを効果的に支援することができ、かつ現在の攻撃がどのライフサイクルにあるかをより明確に反映することができる。
【0020】
なお、本開示の実施例が提供するセキュリティ情報を処理する方法は、脅威分析プラットフォーム105により実行することができる。対応的に、本開示の実施例が提供するセキュリティ情報を処理する装置は、脅威分析プラットフォーム105に設置することができる。本開示の実施例が提供するセキュリティ情報を処理する方法は、脅威解析プラットフォーム105と異なり且つ端末機器101、102、103および/または脅威解析プラットフォーム105と通信可能なサーバ又はサーバクラスタによって実行されてもよい。対応的に、本開示の実施例が提供するセキュリティ情報を処理する装置は、脅威分析プラットフォーム105と異なり且つ端末機器101、102、103および/または脅威分析プラットフォーム105と通信可能なサーバ又はサーバクラスタに設置されてもよい。
【0021】
図1における端末機器、ネットワーク、脅威分析プラットフォームおよび攻撃行動知識ベースの数は単に概略的なものと理解すべきである。実現の必要に応じて、任意の数の端末機器、ネットワーク、脅威分析プラットフォームおよび攻撃行動知識ベースを有してもよい。
【0022】
図2は、本開示の実施例に係るセキュリティ情報を処理する方法のフローチャートを示す概略図である。
【0023】
図2に示すように、該セキュリティ情報を処理する方法200は、操作S210~S230を含んでもよい。
【0024】
操作S210において、目標機器に対するセキュリティ警報情報について標準化処理を行って、標準化データを取得する。
【0025】
次に、操作S220において、標準化データと攻撃行動知識ベースにおける攻撃データとの間の類似度を特定する。
【0026】
操作S230において、類似度に基づいて、目標機器のセキュリティ情報を更新する。
【0027】
本開示の実施例によれば、端末機器にセキュリティデータプローブを予め配置することができる。そこで、各端末機器に配置されたセキュリティデータプローブにより、対応する端末機器のセキュリティ警報情報を収集して、脅威分析プラットフォームにアップロードすることができる。本開示の他の実施例によれば、脅威分析プラットフォームは、第三者の脅威分析プラットフォームにアクセスして、第三者の脅威分析プラットフォームからのセキュリティ警報情報を取得してもよい。
【0028】
本開示の実施例によれば、セキュリティ警報情報を解析して、少なくとも一つの目標フィールドを取得することができる。次に、所定のフォーマットに基づいて、少なくとも一つの目標フィールドを標準化データにおけるフィールドに変換する。ここで、所定のフォーマットは、例えば標準化脅威情報表現式(Structured Threat Information eXpression、STIX)を含んでもよい。構造化脅威情報表現式は、イベント関連性とカバー性を示すための言語であり、構造的なネットワーク側脅威情報を表現するために用いられる。
【0029】
本開示の実施例によれば、攻撃データは、ネットワーク攻撃を記述するためのデータであり、例えば、手順(Procedures)フィールド、技術(Techniques)フィールドおよび戦術(Tactics)フィールドを含むことができ、ここで、戦術フィールドは、攻撃者がなぜ攻撃するかを記述するために用いられ、攻撃者の攻撃意図を反映している。戦術フィールドにより、対応する攻撃段階を特定することができる。例えば、戦術フィールドは、初期アクセス(Initial Access)、指令実行(Execution)、永続化(Persistence)、権限向上(Privilege Escalation)、回避防御(Defense Evasion)、証明書取得(Credential Access)、探索(Discovery)、横方向移動(Lateral Movement)、情報収集(Collection)、データ窃取(Exfiltration)、命令制御(Command and Control)などを含んでもよい。例示的に、本実施例において、各戦術は、一つ又は複数の技術に対応することができ、技術フィールドは、攻撃者が戦術を完了するように何をしたかを記述するために用いられる。本実施例において、各技術は、一つ又は複数の手順に対応することができ、手順フィールドは、攻撃の手順を記述するために用いられる。
【0030】
本開示の実施例によれば、目標機器のセキュリティ情報は、目標機器が位置するセキュリティ状態を反映することができ、目標機器のセキュリティ情報を更新することにより、ユーザ又は分析システムが攻撃者の攻撃意図を抽出して把握することを支援できる。
【0031】
本開示の実施例によれば、セキュリティ情報は、例えば攻撃チェーンを含むことができ、攻撃チェーンは、機器が攻撃された場合に経験する攻撃段階を反映することができる。攻撃チェーンの形式として、デバイスおよび人の読み取り可能性を両立させるようにすることができる。これに基づいて、セキュリティ情報を更新する場合、目標攻撃データにおける戦術フィールドに対応する戦術識別子を攻撃チェーンに添加して攻撃チェーンを更新することができる。
【0032】
例えば、標準化データには機器の唯一の識別子が含まれ、機器の唯一の識別子により機器の現在の攻撃チェーン状態を検索することができる。該機器がこの前に攻撃を受けたことがない場合、攻撃チェーンが空である。このような場合、現在の戦術識別子を一つのデータ項目として、攻撃チェーンに添加することができる。該機器がこの前に攻撃を受けたことがある場合、現在の攻撃チェーンは空ではない。このような場合、戦術識別子を攻撃チェーンの尾部に添加し、かつ、攻撃の方向を示すために、前回の攻撃時に添加された戦術識別子の指向を現在添加された戦術識別子に指向するように設定することができる。
【0033】
本開示の実施例に係るセキュリティ情報を処理する方法によれば、大量のセキュリティ警報情報から、有効な脅威行動情報を抽出する効率を向上させることができ、さらに、セキュリティ脅威に対する発見および応答の効率を向上させることができる。
【0034】
以下、
図3を参照しながら、標準化データと攻撃行動知識ベースにおける攻撃データとの間の類似度を特定する操作をさらに説明する。
【0035】
図3は、本開示の実施例に係る標準化データと攻撃行動知識ベースにおける攻撃データとの間の類似度を特定する方法のフローチャートを示す概略図である。
【0036】
図3に示すように、該標準化データと攻撃行動知識ベースにおける攻撃データとの間の類似度を特定する方法320は、例えば操作S321~S323を含んでもよい。
【0037】
操作S321において、標準化データにおける少なくとも一つの第1のキーワードを特定する。
【0038】
本開示の実施例によれば、標準化データは、攻撃行動を記述するためのフィールドを含み、該フィールドに対して単語分割処理を行って、少なくとも一つの第1のキーワードを取得することができる。
【0039】
次に、操作S322において、攻撃行動知識ベースにおける攻撃データのそれぞれに対して、攻撃データの手順フィールドにおける少なくとも一つの第2のキーワードを特定する。
【0040】
本開示の実施例によれば、攻撃データにおける手順フィールドに対して単語分割処理を行って、少なくとも一つの第2のキーワードを取得することができる。
【0041】
操作S323において、少なくとも一つの第1のキーワードおよび少なくとも一つの第2のキーワードに基づいて、標準化データと攻撃データとの間の類似度を特定する。
【0042】
本開示の実施例によれば、少なくとも一つの第1のキーワードと少なくとも一つの第2のキーワードとの間の類似度に基づいて、標準化データと攻撃データとの間の類似度を特定することができる。
【0043】
例示的に、本実施例において、少なくとも一つの第1のキーワードと少なくとも一つの第2のキーワードとを統合して、キーワードセットを取得することができる。次に、キーワードセットにおけるそれぞれのキーワードの標準化データにおける単語頻度を特定して、第1の単語頻度特徴ベクトルを取得する。キーワードセットにおけるそれぞれのキーワードの攻撃データにおける単語頻度を特定して、第2の単語頻度特徴ベクトルを取得する。第1の単語頻度特徴ベクトルと第2の単語頻度特徴ベクトルとの間のコサイン類似度を計算して、標準化データと攻撃データとの間の類似度とする。
【0044】
例えば、標準化データにおいて攻撃行動を記述するためのフィールドs1は、
というものである。攻撃データにおける手順フィールドS2は、
というものである。
【0045】
それぞれ上記s1およびS2に対して単語分割処理を行って、以下の単語ベクトルS1およびS2を取得する。
【0046】
【0047】
次に、S1およびS2における全ての単語を統計し、S1およびS2に出現した全ての単語に対して重複排除を行って融合し、以下のような一つのキーワードセットを取得する:
【0048】
上記キーワードセットにおけるそれぞれのキーワードに対して、S1およびS2におけるそれぞれのキーワードの出現頻度をそれぞれ特定し、以下の単語頻度特徴ベクトルAおよびBを取得する。ここで、単語頻度特徴ベクトルにおける各要素は、対応するキーワードの単語ベクトルにおける出現頻度を表す。
【0049】
A:[1210110110]
B:[1211011011]
【0050】
次に、以下の公式に基づいて、AとBとの間のコサイン類似度を計算することができる。
【0051】
【0052】
ここで、similarityは、AとBとの間のコサイン類似度であり、θは、AとBとの間の夾角であり、Aiは、Aにおけるi番目の元素であり、Biは、Bにおけるi番目の元素であり、nは、A(又はB)における元素総数である。本実施例において、コサイン類似度の範囲は、[-1、1]の間にあり、二つのベクトルの間のコサイン類似度が1に近いほど二つのベクトルの類似度が大きいことを示す。
【0053】
本開示の実施例によれば、類似度を特定した後、攻撃行動知識ベースにおける、標準化データとの類似度が最も高い目標攻撃データを特定し、そして、目標攻撃データの類似度が類似度閾値より大きい場合、目標攻撃データに基づいて、目標機器のセキュリティ情報を更新することができる。ここで、類似度閾値は、実際の需要に応じて設定することができ、本開示は、類似度閾値の具体的な値を具体的に限定しない。例示的に、本実施例において、類似度閾値が0.5であってもよい。
【0054】
本開示の実施例によれば、標準化データと攻撃行動知識ベースにおける攻撃データとの間の類似度を特定することにより、標準化データに対応する攻撃データを取得することができ、すなわち、攻撃者の攻撃方式、攻撃意図などの情報を取得することができ、それにより、機器のセキュリティ状態をより明確かつ正確に反映することができる。
【0055】
以下、
図4を参照しながら、具体的な実施例に基づいて上記のセキュリティ情報を処理する方法をさらに説明する。当業者であれば理解されるように、以下の例示的な実施例は単に本開示を理解するために用いられ、本開示はこれに限られない。
【0056】
図4は、本開示の実施例に係るセキュリティ情報を処理する方法を示す概略図である。例示的に、本実施例において、該方法は脅威分析プラットフォームにより実行することができる。
【0057】
図4に示すように、各端末機器に配置されたセキュリティデータプローブは、対応する端末機器のセキュリティ警報情報41を収集して、脅威分析プラットフォームにアップロードする。また、脅威分析プラットフォームは、直接的に第三者の脅威分析プラットフォームにアクセスして、セキュリティ警報情報41を取得してもよい。
【0058】
脅威分析プラットフォームは、セキュリティ警報情報41を取得した後、セキュリティ警報情報41に対してSTIXフォーマットに応じてデータ標準化を行って、標準化データ42を取得することができる。理解できるように、取得されたセキュリティ警報情報41が既にSTIXフォーマットであれば、データ標準化を行う必要がない。
【0059】
次に、標準化データ42における攻撃行動を記述するための目標フィールドと、ATT&CK知識ベースにおける複数の攻撃データ43の手順フィールドとをマッチングする。目標フィールドに対して、それぞれの攻撃データにおける手順フィールドと類似度計算を行って、目標フィールドとそれぞれの手順フィールドとの類似度を取得する。全ての手順フィールドにおける類似度が最も高い手順フィールドに対して、該類似度が類似度閾値より大きいか否かを特定し、類似度が類似度閾値より大きい場合、該手順フィールドが属する技術フィールドを特定し、そして該技術フィールドが属する戦術フィールドを特定することにより、目標攻撃データ44を取得する。
【0060】
目標攻撃データ44を取得した後、目標攻撃データの戦術識別子45を取得して、機器に対応する攻撃チェーン46を取得し、その後、戦術識別子45を該機器の既存の攻撃チェーン46に加えることができる。例示的に、本実施例において、該機器の既存の攻撃チェーン46は空ではない。これに基づいて、戦術識別子45を攻撃チェーン46の尾部に添加し、かつ、攻撃の方向を示すために、前回の攻撃時に添加された戦術識別子の指向を現在添加された戦術識別子に指向するように設定することができる。
【0061】
図5は、本開示の実施例に係るセキュリティ情報を処理する装置のブロック図を示す概略図である。
【0062】
図5に示すように、該セキュリティ情報を処理する装置500は、標準化モジュール510、類似度特定モジュール520および更新モジュール530を含む。
【0063】
標準化モジュール510は、目標機器に対するセキュリティ警報情報について標準化処理を行って、標準化データを取得するために用いられる。
【0064】
類似度特定モジュール520は、標準化データと攻撃行動知識ベースにおける攻撃データとの間の類似度を特定するために用いられる。
【0065】
更新モジュール530は、類似度に基づいて、目標機器のセキュリティ情報を更新するために用いられる。
【0066】
本開示の実施例によれば、標準化モジュールは、解析サブモジュールおよび変換サブモジュールを含んでもよい。ここで、解析サブモジュールは、セキュリティ警報情報を解析して、少なくとも一つの目標フィールドを特定するために用いられる。変換サブモジュールは、所定のフォーマットに基づいて、少なくとも一つの目標フィールドを標準化データにおけるフィールドに変換するために用いられる。
【0067】
本開示の実施例によれば、所定のフォーマットは、標準化脅威情報表現式を含んでもよい。
【0068】
本開示の実施例によれば、類似度特定モジュールは、第1の特定サブモジュール、第2の特定サブモジュールおよび第3の特定サブモジュールを含んでもよい。ここで、第1の特定サブモジュールは、標準化データにおける少なくとも一つの第1のキーワードを特定するために用いられる。第2の特定サブモジュールは、攻撃行動知識ベースにおける攻撃データのそれぞれに対して、攻撃データにおける少なくとも一つの第2のキーワードを特定するために用いられる。第3の特定サブモジュールは、少なくとも一つの第1のキーワードおよび少なくとも一つの第2のキーワードに基づいて、標準化データと攻撃データとの間の類似度を特定するために用いられる。
【0069】
本開示の実施例によれば、第3の特定サブモジュールは、統合ユニット、第1の特定ユニット、第2の特定ユニットおよび計算ユニットを含んでもよい。ここで、統合ユニットは、少なくとも一つの第1のキーワードと少なくとも一つの第2のキーワードとを統合して、キーワードセットを取得するために用いられる。第1の特定ユニットは、キーワードセットにおけるそれぞれのキーワードの標準化データにおける単語頻度を特定して、第1の単語頻度特徴ベクトルを取得するために用いられる。第2の特定ユニット は、キーワードセットにおけるそれぞれのキーワードの攻撃データにおける単語頻度を特定して、第2の単語頻度特徴ベクトルを取得するために用いられる。計算ユニットは、第1の単語頻度特徴ベクトルと第2の単語頻度特徴ベクトルとの間のコサイン類似度を計算して、標準化データと攻撃データとの間の類似度とするために用いられる。
【0070】
本開示の実施例によれば、更新モジュールは、第4の特定サブモジュールおよび更新サブモジュールを含んでもよい。ここで、第4の特定サブモジュールは、攻撃行動知識ベースにおける、標準化データとの類似度が最も高い目標攻撃データを特定するために用いられる。更新サブモジュールは、目標攻撃データの類似度が類似度閾値より大きい場合、目標攻撃データに基づいて、目標機器のセキュリティ情報を更新するために用いられる。
【0071】
本開示の実施例によれば、攻撃データは、戦術フィールドを含んでもよく、セキュリティ情報は、攻撃チェーンを含んでもよい。
【0072】
本開示の実施例によれば、更新サブモジュールは、目標攻撃データにおける戦術フィールドに対応する戦術識別子を攻撃チェーンに添加するための添加ユニット を含んでもよい。
【0073】
なお、本開示の技術案において、係わるユーザ個人情報の取得、記憶および応用などは、いずれも相関法規の規定に適合し、かつ公序良俗に反しない。
【0074】
本開示の実施例によれば、本開示は、さらに電子機器、可読記憶媒体およびコンピュータプログラム製品を提供する。
【0075】
図6は、本開示の実施例を実施できる例示的な電子機器600のブロック図を示す概略図である。電子機器は、様々な形式のデジタルコンピュータを示すことを意図し、例えば、ラップトップ型コンピュータ、デスクトップコンピュータ、作業台、パーソナルデジタルアシスタント、サーバ、ブレードサーバ、大型コンピュータおよび他の適宜なコンピュータがある。電子機器は、さらに様々な形式の移動装置を示してもよく、例えば、パーソナルデジタルアシスタント、携帯電話、スマートフォン、ウェアラブル機器および他の類似の計算装置がある。本明細書に示された部材、それらの接続と関係、および、それらの機能は、例示に過ぎず、本明細書に記述されたおよび/または要求された本開示の実現を限定するものではない。
【0076】
図6に示すように、機器600は、リードオンリーメモリ(ROM)602に記憶されたコンピュータプログラム又は記憶ユニット608からランダムアクセスメモリ(RAM)603にロードされたコンピュータプログラムに基づいて、様々な適宜な動作および処理を実行できる計算ユニット601を含む。RAM603において、機器600の操作に必要な様々なプログラムおよびデータをさらに記憶してもよい。計算ユニット601、ROM602およびRAM603は、バス604を介して相互に接続されている。バス604には、さらに、入力/出力(I/O)インタフェース605が接続されている。
【0077】
機器600における複数の部品は、I/Oインタフェース605に接続されており、例えばキーボード、マウスなどの入力ユニット606と、例えば様々なタイプのディスプレイ、スピーカなどの出力ユニット607と、例えば磁気ディスク、光ディスクなどの記憶ユニット608と、例えばネットワークカード、モデム、無線通信トランシーバなどの通信ユニット609と、を含む。通信ユニット609は、機器600がインターネットのようなコンピュータネットワークおよび/または様々な電気通信網を介して他の機器と情報/データをやり取りすることを可能にする。
【0078】
計算ユニット601は、処理および計算能力を有する様々な汎用および/または専用の処理モジュールであってもよい。計算ユニット601のいくつかの例示としては、中央処理ユニット(CPU)、画像処理ユニット(GPU)、様々な専用の人工知能(AI)計算チップ、様々なデバイス学習モデルアルゴリズムを実行する計算ユニット 、デジタルシグナルプロセッサ(DSP)、任意の適宜なプロセッサ、コントローラ、マイクロコントローラなどが挙げられるが、これらに限られない。計算ユニット601は、上記の各方法および処理、例えばセキュリティ情報を処理する方法を実行する。例えば、いくつかの実施例において、セキュリティ情報を処理する方法は、有形のものとしてデバイス可読媒体、例えば記憶ユニット608に含まれるコンピュータソフトウェアプログラムとして実現される。いくつかの実施例において、コンピュータプログラムの一部又は全部は、ROM602および/または通信ユニット609を介して機器600にロードおよび/またはインストールされる。コンピュータプログラムがRAM603にロードされかつ計算ユニット601により実行される場合、上記のセキュリティ情報を処理する方法の一つ又は複数のステップを実行することができる。代替的に、他の実施例において、計算ユニット601は、他の任意の適宜な方式(例えばファームウェアによる方式)により、セキュリティ情報を処理する方法を実行するように構成されてもよい。
【0079】
本明細書における上記のシステムおよび技術の様々な実施形態は、デジタル電子回路システム、集積回路システム、フィールド・プログラマブル・ゲート・アレイ(FPGA)、専用集積回路(ASIC)、専用標準製品(ASSP)、システム・オン・チップのシステム(SOC)、負荷プログラマブルロジック機器(CPLD)、コンピュータハードウェア、ファームウェア、ソフトウェアおよび/またはそれらの組合せにおいて実現することができる。これらの各種実施形態は、1つ又は複数のコンピュータプログラムで実行されることを含んでもよく、この1つ又は複数のコンピュータプログラムが、少なくとも1つのプログラマブルプロセッサを含むプログラマブルシステム上に実行および/または解釈されてもよく、このプログラマブルプロセッサは専用又は汎用プログラマブルプロセッサであり、記憶システムと、少なくとも1つの入力装置と、少なくとも1つの出力装置とから、データおよび命令を受信し、データおよび命令をこの記憶システムと、この少なくとも1つの入力装置と、この少なくとも1つの出力装置とに転送してもよい。
【0080】
本開示の方法を実施するためのプログラムコードは、一つ又は複数のプログラミング言語の任意の組合せによって書かれてもよい。これらのプログラムコードは、汎用コンピュータ、専用コンピュータ又は他のプログラマブルデータ処理装置のプロセッサ又はコントローラに提供され、プログラムコードがプロセッサ又はコントローラにより実行される時にフローチャートおよび/またはブロック図に規定された機能・操作が実施されるようにしてもよい。プログラムコードは、完全にデバイスに実行されてもよく、部分的にデバイスに実行されてもよく、独立ソフトウェアパックとして部分的にデバイスに実行されかつ部分的に遠隔デバイスに実行され、或いは完全に遠隔デバイス又はサーバに実行されてもよい。
【0081】
本開示のコンテキストにおいて、デバイス可読媒体は、命令実行システム、装置又は機器に使用される或いは命令実行システム、装置又は機器と組合せて使用されるプログラムを含むか記憶する有形の媒体であってもよい。デバイス可読媒体は、デバイス可読信号媒体又はデバイス可読記憶媒体であってもよい。デバイス可読媒体は、電子、磁気的、光学的、電磁気的や赤外のもの、又は半導体システム、装置又は機器、或いは上記内容の任意の適宜な組合せを含むが、これらに限られない。デバイス可読記憶媒体のより具体的な例示は、1つ又は複数のラインによる電気接続、携帯コンピュータディスク、ハードディスク、ランダムアクセスメモリ(RAM)、リードオンリーメモリ(ROM)、消去可能なプログラマブルリードオンリーメモリ(EPROM又はフラッシュメモリ)、ファイバ、携帯コンパクトディスクリードオンリーメモリ(CD-ROM)、光学的記憶機器、磁気的記憶機器、又は上記内容の任意の適宜な組合せを含む。
【0082】
ユーザとのインタラクティブを提供するために、コンピュータでここで記述したシステムおよび技術を実施してもよく、このコンピュータは、ユーザに情報を表示するための表示装置(例えば、CRT(陰極線管)又はLCD(液晶ディスプレイ)モニタ)と、キーボードおよびポインティング装置(例えば、マウス又はトラックボール)とを有し、ユーザは、このキーボードおよびこのポインティング装置によって、入力をコンピュータに提供することができる。他の種類の装置は、ユーザとのインタラクティブを提供するためのものであってもよく、例えば、ユーザに提供するフィードバックは、任意の形式のセンサーフィードバック(例えば、視覚フィードバック、聴覚フィードバック、又は触覚フィードバック)であってもよく、任意の形式(声入力、語音入力、又は触覚入力を含む)でユーザからの入力を受信してもよい。
【0083】
ここで記述されたシステムおよび技術は、バックグラウンド部品を含む計算システム(例えば、データサーバとする)、又はミドルウェア部品を含む計算システム(例えば、アプリケーションサーバ)、又はフロントエンド部品を含む計算システム(例えば、グラフィカル・ユーザ・インタフェース又はネットワークブラウザを有するユーザコンピュータ、ユーザはこのグラフィカル・ユーザ・インタフェース又はこのネットワークブラウザを介してここで説明したシステムおよび技術の実施形態とインタラクティブすることができる)、又はこのようなバックグラウンド部品、ミドルウェア部品、或いはフロントエンド部品の任意の組合せを含む計算システムで実施されてもよい。任意の形式又は媒体のデジタルデータ通信(例えば、通信ネットワーク)を介してシステムの部品を相互に接続してもよい。通信ネットワークの例示は、ローカルエリアネットワーク(LAN)と、広域ネットワーク(WAN)と、インターネットを含む。
【0084】
コンピュータシステムは、クライアントとサーバとを含んでもよい。クライアントとサーバとは、一般的に互いに離れて、且つ通常に通信ネットワークを介してインタラクティブする。相応するコンピュータで実行されるとともに、互いにクライアント-サーバの関係を有するコンピュータプログラムによって、クライアントとサーバとの関係を形成する。
【0085】
以上に示した様々な形式のフローを利用して、ステップを並び替え、追加又は削除することができると理解すべきである。例えば、本開示に記載された各ステップは、並行に実行されてもよいし、順に実行されてもよいし、異なる順序で実行されてもよく、本開示が開示した技術案が所望する結果を実現できる限り、本明細書はここで限定しない。
【0086】
以上説明したセキュリティ情報の処理方法、装置、電子機器、記憶媒体およびコンピュータプログラムは、以下のように表現することができる。
【0087】
第1態様のセキュリティ情報の処理方法は、
目標機器に対するセキュリティ警報情報について標準化処理を行って、標準化データを取得することと、
前記標準化データと攻撃行動知識ベースにおける攻撃データとの間の類似度を特定することと、
前記類似度に基づいて、前記目標機器のセキュリティ情報を更新することと、を含む。
【0088】
第2態様のセキュリティ情報の処理方法は、
第1態様に記載の方法であって、
前記セキュリティ警報情報を標準化して標準化データを取得することは、
前記セキュリティ警報情報を解析して、少なくとも一つの目標フィールドを特定することと、
所定のフォーマットに基づいて、前記少なくとも一つの目標フィールドを前記標準化データにおけるフィールドに変換することと、を含む。
【0089】
第3態様のセキュリティ情報の処理方法は、
第2態様に記載の方法であって、
前記所定のフォーマットは、標準化脅威情報表現式を含む。
【0090】
第4態様のセキュリティ情報の処理方法は、
第1態様に記載の方法であって、
前記標準化データと攻撃行動知識ベースにおける攻撃データとの間の類似度を特定することは、
前記標準化データにおける少なくとも一つの第1のキーワードを特定することと、
攻撃行動知識ベースにおける攻撃データのそれぞれに対して、前記攻撃データにおける少なくとも一つの第2のキーワードを特定することと、
前記少なくとも一つの第1のキーワードおよび前記少なくとも一つの第2のキーワードに基づいて、前記標準化データと前記攻撃データとの間の類似度を特定することと、を含む。
【0091】
第5態様のセキュリティ情報の処理方法は、
第4態様に記載の方法であって、
前記少なくとも一つの第1のキーワードおよび前記少なくとも一つの第2のキーワードに基づいて、前記標準化データと前記攻撃データとの間の類似度を特定することは、
前記少なくとも一つの第1のキーワードと前記少なくとも一つの第2のキーワードとを統合して、キーワードセットを取得することと、
前記キーワードセットにおけるそれぞれのキーワードの前記標準化データにおける単語頻度を特定して、第1の単語頻度特徴ベクトルを取得することと、
前記キーワードセットにおけるそれぞれのキーワードの前記攻撃データにおける単語頻度を特定して、第2の単語頻度特徴ベクトルを取得することと、
前記第1の単語頻度特徴ベクトルと前記第2の単語頻度特徴ベクトルとの間のコサイン類似度を計算して、前記標準化データと前記攻撃データとの間の類似度とすることと、を含む。
【0092】
第6態様のセキュリティ情報の処理方法は、
第4又は5態様に記載の方法であって、
前記類似度に基づいて、前記目標機器のセキュリティ情報を更新することは、
前記攻撃行動知識ベースにおける、前記標準化データとの類似度が最も高い目標攻撃データを特定することと、
前記目標攻撃データの類似度が類似度閾値より大きい場合、前記目標攻撃データに基づいて、目標機器のセキュリティ情報を更新することと、を含む。
【0093】
第7態様のセキュリティ情報の処理方法は、
第6態様に記載の方法であって、
前記攻撃データは、戦術フィールドを含み、
前記セキュリティ情報は、攻撃チェーンを含み、
前記目標攻撃データに基づいて、目標機器のセキュリティ情報を更新することは、
前記目標攻撃データにおける戦術フィールドに対応する戦術識別子を前記攻撃チェーンに添加することを含む。
【0094】
第8態様のセキュリティ情報の処理装置は、
目標機器に対するセキュリティ警報情報について標準化処理を行って、標準化データを取得するための標準化モジュールと、
前記標準化データと攻撃行動知識ベースにおける攻撃データとの間の類似度を特定するための類似度特定モジュールと、
前記類似度に基づいて、前記目標機器のセキュリティ情報を更新するための更新モジュールと、を含む。
【0095】
第9態様のセキュリティ情報の処理装置は、
第8態様に記載の装置であって、
前記標準化モジュールは、
前記セキュリティ警報情報を解析して、少なくとも一つの目標フィールドを特定するための解析サブモジュールと、
所定のフォーマットに基づいて、前記少なくとも一つの目標フィールドを前記標準化データにおけるフィールドに変換するための変換サブモジュールと、を含む。
【0096】
第10態様のセキュリティ情報の処理装置は、
第9態様に記載の装置であって、
前記所定のフォーマットは、標準化脅威情報表現式を含む。
【0097】
第11態様のセキュリティ情報の処理装置は、
第8態様に記載の装置であって、
前記類似度特定モジュールは、
前記標準化データにおける少なくとも一つの第1のキーワードを特定するための第1の特定サブモジュールと、
攻撃行動知識ベースにおける攻撃データのそれぞれに対して、前記攻撃データにおける少なくとも一つの第2のキーワードを特定するための第2の特定サブモジュールと、
前記少なくとも一つの第1のキーワードおよび前記少なくとも一つの第2のキーワードに基づいて、前記標準化データと前記攻撃データとの間の類似度を特定するための第3の特定サブモジュールと、を含む。
【0098】
第12態様のセキュリティ情報の処理装置は、
第11態様に記載の装置であって、
前記第3の特定サブモジュールは、
前記少なくとも一つの第1のキーワードと前記少なくとも一つの第2のキーワードとを統合して、キーワードセットを取得するための統合ユニットと、
前記キーワードセットにおけるそれぞれのキーワードの前記標準化データにおける単語頻度を特定して、第1の単語頻度特徴ベクトルを取得するための第1の特定ユニットと、
前記キーワードセットにおけるそれぞれのキーワードの前記攻撃データにおける単語頻度を特定して、第2の単語頻度特徴ベクトルを取得するための第2の特定ユニットと、
前記第1の単語頻度特徴ベクトルと前記第2の単語頻度特徴ベクトルとの間のコサイン類似度を計算して、前記標準化データと前記攻撃データとの間の類似度とするための計算ユニットと、を含む。
【0099】
第13態様のセキュリティ情報の処理装置は、
第11又は12態様に記載の装置であって、
前記更新モジュールは、
前記攻撃行動知識ベースにおける、前記標準化データとの類似度が最も高い目標攻撃データを特定するための第4の特定サブモジュールと、
前記目標攻撃データの類似度が類似度閾値より大きい場合、前記目標攻撃データに基づいて、目標機器のセキュリティ情報を更新するための更新サブモジュールと、を含む。
【0100】
第14態様のセキュリティ情報の処理装置は、
第13態様に記載の装置であって、
前記攻撃データは、戦術フィールドを含み、
前記セキュリティ情報は、攻撃チェーンを含み、
前記更新サブモジュールは、
前記目標攻撃データにおける戦術フィールドに対応する戦術識別子を前記攻撃チェーンに添加するための添加ユニットを含む。
【0101】
第15態様の電子機器は、
少なくとも一つのプロセッサと、
前記少なくとも一つのプロセッサと通信接続されたメモリとを、含み、
前記メモリには、前記少なくとも一つのプロセッサにより実行される命令が記憶されており、前記命令は、前記少なくとも一つのプロセッサが第1~7態様のいずれか一つに記載の方法を実行することができるように、前記少なくとも一つのプロセッサにより実行される。
【0102】
第16態様のコンピュータ可読記憶媒体は、
コンピュータに第1~7態様のいずれか一つに記載の方法を実行させるためのコンピュータ命令を記憶した非一時的なコンピュータ可読記憶媒体である。
【0103】
第17態様のコンピュータプログラムは、
プロセッサに実行される時に第1~7態様のいずれか一つに記載の方法を実現する。
【0104】
上述した具体的な実施形態は、本開示の保護範囲に対する限定を構成しない。当業者は、設計要求や他の要因に応じて、様々な修正、組合、サブ組合および置換を行うことができると理解すべきである。本開示の趣旨および原則の範囲内になされた任意の修正、等価な置換、改進などは、いずれも本開示の保護範囲内に含まれるべきである。