知財求人 - 知財ポータルサイト「IP Force」
▶ 三菱電機株式会社の特許一覧 ▶ 三菱電機インフォメーションネットワーク株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-12-28
(45)【発行日】2024-01-12
(54)【発明の名称】情報処理装置、情報処理方法及び情報処理プログラム
(51)【国際特許分類】
G06F 21/55 20130101AFI20240104BHJP
H04L 43/00 20220101ALI20240104BHJP
【FI】
G06F21/55
H04L43/00
【請求項の数】
9
(21)【出願番号】P 2019233384
(22)【出願日】2019-12-24
(65)【公開番号】P2021103359
(43)【公開日】2021-07-15
【審査請求日】2022-09-29
(73)【特許権者】
【識別番号】000006013
【氏名又は名称】三菱電機株式会社
(73)【特許権者】
【識別番号】501158538
【氏名又は名称】三菱電機インフォメーションネットワーク株式会社
(74)【代理人】
【識別番号】110002491
【氏名又は名称】弁理士法人クロスボーダー特許事務所
(72)【発明者】
【氏名】岩崎 亜衣子
(72)【発明者】
【氏名】河内 清人
(72)【発明者】
【氏名】加藤 淳
(72)【発明者】
【氏名】平岡 俊哉
(72)【発明者】
【氏名】居城 秀明
(72)【発明者】
【氏名】黒瀧 大
【審査官】土谷 慎吾
(56)【参考文献】
【文献】特開2016-012240(JP,A)
【文献】米国特許出願公開第2018/0219876(US,A1)
【文献】KHALILI, Mina et al.,Monitoring and Improving Managed Security Services inside a Security Operation Center,EAI Endorsed Transactions on Security and Safety,EAI,2019年01月25日,Volume 5, Issue 18,pp. 1-20,[検索日 2023.10.26], インターネット<URL: https://eudl.eu/doi/10.4108/eai.8-4-2019.157413>
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/55
H04L 43/00
(57)【特許請求の範囲】
【請求項1】
新たに検知されたアノマリである新規アノマリの複数の属性の各々の過去のアノマリ分析での分析状況に基づき、前記複数の属性の中から、前記新規アノマリでの異常度が高く、過去のアノマリ分析により異常度が高い場合にはサイバー攻撃に関係する可能性が高いと推測されている属性を、前記新規アノマリの分析で重視することを推奨する推奨属性として選択する属性選択部と、前記属性選択部により選択された前記推奨属性を提示する属性提示部とを有する情報処理装置。
【請求項2】
前記属性選択部は、前記新規アノマリに類似する、過去に検知されたアノマリが存在するか否かを判定し、
前記新規アノマリに類似する、過去に検知されたアノマリが存在しない場合に、前記推奨属性を選択する請求項1に記載の情報処理装置。
【請求項3】
前記属性選択部は、前記新規アノマリの前記複数の属性を通知するアラート情報が発行された場合に、前記アラート情報で通知された前記複数の属性の中から前記推奨属性を選択する請求項1に記載の情報処理装置。
【請求項4】
前記属性選択部は、過去のアノマリ分析において重視された回数が多い属性を前記推奨属性として選択する請求項1に記載の情報処理装置。
【請求項5】
前記属性提示部は、過去のアノマリ分析で行われた属性ごとの分析方法を提示する請求項1に記載の情報処理装置。
【請求項6】
前記属性選択部は、特定の期間に行われたアノマリ分析での分析状況に基づき、前記推奨属性を選択する請求項1に記載の情報処理装置。
【請求項7】
前記属性選択部は、特定のイベントが発生する特定の期間に行われたアノマリ分析での分析状況に基づき、前記推奨属性を選択する請求項6に記載の情報処理装置。
【請求項8】
コンピュータが、新たに検知されたアノマリである新規アノマリの複数の属性の各々の過去のアノマリ分析での分析状況に基づき、前記複数の属性の中から、前記新規アノマリでの異常度が高く、過去のアノマリ分析により異常度が高い場合にはサイバー攻撃に関係する可能性が高いと推測されている属性を、前記新規アノマリの分析で重視することを推奨する推奨属性として選択し、前記コンピュータが、選択された前記推奨属性を提示する情報処理方法。
【請求項9】
新たに検知されたアノマリである新規アノマリの複数の属性の各々の過去のアノマリ分析での分析状況に基づき、前記複数の属性の中から、前記新規アノマリでの異常度が高く、過去のアノマリ分析により異常度が高い場合にはサイバー攻撃に関係する可能性が高いと推測されている属性を、前記新規アノマリの分析で重視することを推奨する推奨属性として選択する属性選択処理と、前記属性選択処理により選択された前記推奨属性を提示する属性提示処理とをコンピュータに実行させる情報処理プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、アノマリ分析に関する。
【背景技術】
【0002】
近年、正常な通信ログ又は端末ログを学習し、学習結果を用いてサイバー攻撃を検知するアノマリ検知技術(異常検知技術)が多く開発されている。アノマリ検知においては、アノマリ検知後の対応を素早く行う必要がある。このため、アノマリ検知を通知するアラートとともに、追加の情報を付加してその後の対応を補助する機能が求められている。
これに対し、例えば、特許文献1では、第1のアラートと、第1のアラートに先立って通知された第2のアラートとの間の類似度を求め、当該類似度を示す類似度情報を提示する技術が開示されている。
これに対し、例えば、特許文献1では、第1のアラートと、第1のアラートに先立って通知された第2のアラートとの間の類似度を求め、当該類似度を示す類似度情報を提示する技術が開示されている。
【先行技術文献】
【特許文献】
【0003】
【文献】国際公開WO2016/092836号
【発明の概要】
【発明が解決しようとする課題】
【0004】
特許文献1の技術では、第1のアラートに類似する第2のアラートが存在していれば、アノマリ検知後の対応を補助する情報として、例えば、第2のアラートでの対応履歴を提示することが可能である。しかし、第1のアラートに類似するアラートが存在しない場合は、第1のアラートに類似するアラートが存在していないことを提示できるのみである。
つまり、特許文献1の技術では、新たに検知されたアノマリが過去に検知されたアノマリに類似していない場合は、アノマリ検知後の対応を補助する情報を提示することができないという課題がある。
つまり、特許文献1の技術では、新たに検知されたアノマリが過去に検知されたアノマリに類似していない場合は、アノマリ検知後の対応を補助する情報を提示することができないという課題がある。
【0005】
本発明は、このような課題を解決することを主な目的とする。より具体的には、本発明は、新たに検知されたアノマリが過去に検知されたアノマリに類似していない場合でも、アノマリ検知後の対応を補助する情報を提示できる構成を得ることを主な目的とする。
【課題を解決するための手段】
【0006】
本発明に係る情報処理装置は、
新たに検知されたアノマリである新規アノマリの複数の属性の各々の過去のアノマリ分析での分析状況に基づき、前記複数の属性の中から、前記新規アノマリの分析で重視することを推奨する属性を推奨属性として選択する属性選択部と、
前記属性選択部により選択された前記推奨属性を提示する属性提示部とを有する。
新たに検知されたアノマリである新規アノマリの複数の属性の各々の過去のアノマリ分析での分析状況に基づき、前記複数の属性の中から、前記新規アノマリの分析で重視することを推奨する属性を推奨属性として選択する属性選択部と、
前記属性選択部により選択された前記推奨属性を提示する属性提示部とを有する。
【発明の効果】
【0007】
本発明によれば、新規アノマリが過去に検知されたアノマリに類似していない場合でも、アノマリ検知後の対応を補助する情報として、推奨属性を提示することができる。
【図面の簡単な説明】
【0008】
【図1】実施の形態1に係るシステム構成例を示す図。
【図2】実施の形態1に係る分析補助装置のハードウェア構成例を示す図。
【図3】実施の形態1に係る分析補助装置の機能構成例を示す図。
【図4】実施の形態1に係る分析補助装置の動作例を示すフローチャート。
【図5】実施の形態1に係る分析補助装置の動作例を示すフローチャート。
【図6】実施の形態1に係る分析結果入力画面の例を示す図。
【図7】実施の形態1に係るアラート情報の例を示す図。
【図8】実施の形態1に係る分析結果情報の例を示す図。
【図9】実施の形態1に係るベース値情報の例を示す図。
【図10】実施の形態1に係るアラート提示情報の生成過程を示す図。
【図11】実施の形態1に係るアラート提示情報の生成過程を示す図。
【図12】実施の形態2に係る分析補助装置の動作例を示すフローチャート。
【図13】実施の形態1に係る分析補助装置の動作例を示すフローチャート。
【図14】実施の形態2に係る相関値情報の例を示す図。
【図15】実施の形態2に係る分析結果入力画面の例を示す図。
【図16】実施の形態2に係るアラート提示情報の例を示す図。
【発明を実施するための形態】
【0009】
以下、本発明の実施の形態について、図を用いて説明する。以下の実施の形態の説明及び図面において、同一の符号を付したものは、同一の部分又は相当する部分を示す。
【0010】
実施の形態1.
***構成の説明***
図1は、本実施の形態に係るシステム構成例を示す。
図1に示すように、本実施の形態に係るシステムは、監視対象システム301、アノマリ検知装置303及び分析補助装置100で構成される。
分析補助装置100は、情報処理装置に相当する。また、分析補助装置100の動作手順は、情報処理方法に相当する。また、分析補助装置100の動作を実現するプログラムは、情報処理プログラムに相当する。
***構成の説明***
図1は、本実施の形態に係るシステム構成例を示す。
図1に示すように、本実施の形態に係るシステムは、監視対象システム301、アノマリ検知装置303及び分析補助装置100で構成される。
分析補助装置100は、情報処理装置に相当する。また、分析補助装置100の動作手順は、情報処理方法に相当する。また、分析補助装置100の動作を実現するプログラムは、情報処理プログラムに相当する。
【0011】
監視対象システム301は、ログ採取装置302を含む。
ログ採取装置302は、監視対象システム301内で発生した端末ログ、通信ログなどの対象システムログ106を採取する。また、ログ採取装置302は、採取した対象システムログ106をアノマリ検知装置303に送信する。
ログ採取装置302は、監視対象システム301内で発生した端末ログ、通信ログなどの対象システムログ106を採取する。また、ログ採取装置302は、採取した対象システムログ106をアノマリ検知装置303に送信する。
【0012】
アノマリ検知装置303は、類似度判定部304を含む。
類似度判定部304は、ログ採取装置302から送信された対象システムログ106を、ルール、機械学習等のアノマリ(異常)の判定ロジックを用いて、過去に収集された対象システムログと比較して分析する。そして、類似度判定部304は、分析結果を示すアラート情報107を生成し、アラート情報107を分析補助装置100に送信する。
また、類似度判定部304は、対象システムログ106から取得される複数の属性の各々に対して個別の異常度を算出する機能を備える。また、類似度判定部304は、新たなアラート情報107に類似する過去のアラート情報を抽出する機能を備える。
類似度判定部304は、ログ採取装置302から送信された対象システムログ106を、ルール、機械学習等のアノマリ(異常)の判定ロジックを用いて、過去に収集された対象システムログと比較して分析する。そして、類似度判定部304は、分析結果を示すアラート情報107を生成し、アラート情報107を分析補助装置100に送信する。
また、類似度判定部304は、対象システムログ106から取得される複数の属性の各々に対して個別の異常度を算出する機能を備える。また、類似度判定部304は、新たなアラート情報107に類似する過去のアラート情報を抽出する機能を備える。
【0013】
図7は、アラート情報107の例を示す。アラート情報107は、類似度判定部304で検知されたアノマリを通知する情報である。
アラート情報107には、アラートID(Identifier)、異常度(全体)、類似アラートID、識別子、属性、属性値、異常度が含まれる。
アラートIDには、アラート情報107を一意に識別可能な識別子が示される。
属性には、対象システムログ106に示された属性が示される。属性はアノマリの特徴である。
識別子には、属性を一意に識別可能な識別子が示される。
属性値には、属性の具体的な値が示される。
異常度には、属性ごとの異常度が示される。
異常度(全体)には、属性ごとの異常度を統合した異常度が示される。
類似アラートIDには、アラート情報107に類似する過去のアラート情報のアラートIDが記述される。アラート情報107に類似するアラート情報がない場合は、類似アラートIDの欄は空欄である。
アラート情報107には、アラートID(Identifier)、異常度(全体)、類似アラートID、識別子、属性、属性値、異常度が含まれる。
アラートIDには、アラート情報107を一意に識別可能な識別子が示される。
属性には、対象システムログ106に示された属性が示される。属性はアノマリの特徴である。
識別子には、属性を一意に識別可能な識別子が示される。
属性値には、属性の具体的な値が示される。
異常度には、属性ごとの異常度が示される。
異常度(全体)には、属性ごとの異常度を統合した異常度が示される。
類似アラートIDには、アラート情報107に類似する過去のアラート情報のアラートIDが記述される。アラート情報107に類似するアラート情報がない場合は、類似アラートIDの欄は空欄である。
【0014】
図2は、本実施の形態に係る分析補助装置100のハードウェア構成例を示す。
【0015】
分析補助装置100は、コンピュータである。
分析補助装置100は、ハードウェアとして、プロセッサ201、メモリ202、通信インタフェース203、補助記憶装置204及び入出力インタフェース205を備える。
補助記憶装置204には、後述する属性選択部101、属性提示部103及び分析結果取得部104の機能を実現するプログラムが記憶されている。
これらプログラムは、補助記憶装置204からメモリ202にロードされる。そして、プロセッサ201がこれらプログラムを実行して、後述する属性選択部101、属性提示部103及び分析結果取得部104の動作を行う。
図2では、プロセッサ201が属性選択部101、属性提示部103及び分析結果取得部104の機能を実現するプログラムを実行している状態を模式的に表している。
通信インタフェース203は、アノマリ検知装置303からアラート情報107を受信する。
入出力インタフェース205は、分析補助装置100を利用するアナリストに、後述する分析結果入力画面700を提示する。また、入出力インタフェース205は、アナリストによる分析結果入力画面700への入力内容を取得する。また、入出力インタフェース205は、後述するアラート提示情報1000又はアラート提示情報1001をアナリストに提示する。
分析補助装置100は、ハードウェアとして、プロセッサ201、メモリ202、通信インタフェース203、補助記憶装置204及び入出力インタフェース205を備える。
補助記憶装置204には、後述する属性選択部101、属性提示部103及び分析結果取得部104の機能を実現するプログラムが記憶されている。
これらプログラムは、補助記憶装置204からメモリ202にロードされる。そして、プロセッサ201がこれらプログラムを実行して、後述する属性選択部101、属性提示部103及び分析結果取得部104の動作を行う。
図2では、プロセッサ201が属性選択部101、属性提示部103及び分析結果取得部104の機能を実現するプログラムを実行している状態を模式的に表している。
通信インタフェース203は、アノマリ検知装置303からアラート情報107を受信する。
入出力インタフェース205は、分析補助装置100を利用するアナリストに、後述する分析結果入力画面700を提示する。また、入出力インタフェース205は、アナリストによる分析結果入力画面700への入力内容を取得する。また、入出力インタフェース205は、後述するアラート提示情報1000又はアラート提示情報1001をアナリストに提示する。
【0016】
図3は、本実施の形態に係る分析補助装置100の機能構成例を示す。
図3に示すように、分析補助装置100は、属性選択部101、分析結果記憶部102、属性提示部103及び分析結果取得部104で構成される。
図3に示すように、分析補助装置100は、属性選択部101、分析結果記憶部102、属性提示部103及び分析結果取得部104で構成される。
【0017】
分析結果記憶部102には、分析結果情報108とベース値情報109が記憶されている。
【0018】
図8は、分析結果情報108の例を示す。
分析結果情報108は、アラートID、判定結果及び識別子/異常度で構成される。
アラートIDには、アノマリ検知装置303から送信された過去のアラート情報107のアラートIDが示される。
判定結果には、過去のアラート情報107に対してアナリストが下した判定結果が示される。アナリストがアラート情報107を分析した結果、サイバー攻撃が発生していると判定した場合は、判定結果の欄に「攻撃」が記述される。一方、アナリストがアラート情報107を分析した結果、誤検知であると判定した場合は、判定結果の欄に「誤検知」が記述される。
識別子/異常度には、アナリストが判定を下す際に重視(着目)した属性の識別子と、当該識別子についてアラート情報107に記述されていた異常度が示される。
分析結果情報108は、アラートID、判定結果及び識別子/異常度で構成される。
アラートIDには、アノマリ検知装置303から送信された過去のアラート情報107のアラートIDが示される。
判定結果には、過去のアラート情報107に対してアナリストが下した判定結果が示される。アナリストがアラート情報107を分析した結果、サイバー攻撃が発生していると判定した場合は、判定結果の欄に「攻撃」が記述される。一方、アナリストがアラート情報107を分析した結果、誤検知であると判定した場合は、判定結果の欄に「誤検知」が記述される。
識別子/異常度には、アナリストが判定を下す際に重視(着目)した属性の識別子と、当該識別子についてアラート情報107に記述されていた異常度が示される。
【0019】
図9は、ベース値情報109の例を示す。
ベース値情報109には、属性の識別子ごとにベース値が記述されている。
識別子には、過去に受信された全てのアラート情報107から抽出された属性の識別子が示される。
ベース値は、アナリストがアノマリ分析において属性を重視した度合を示す。つまり、過去のアノマリ分析においてアナリストに重視された回数が多い属性ほどベース値が高くなる。アノマリ分析とは、アナリストがアラート情報107に示されるアノマリの属性を分析して、アラート情報107で示されるアノマリが誤検知に基づくものなのか、サイバー攻撃によるものなのかを判定する手順である。
ベース値情報109には、属性の識別子ごとにベース値が記述されている。
識別子には、過去に受信された全てのアラート情報107から抽出された属性の識別子が示される。
ベース値は、アナリストがアノマリ分析において属性を重視した度合を示す。つまり、過去のアノマリ分析においてアナリストに重視された回数が多い属性ほどベース値が高くなる。アノマリ分析とは、アナリストがアラート情報107に示されるアノマリの属性を分析して、アラート情報107で示されるアノマリが誤検知に基づくものなのか、サイバー攻撃によるものなのかを判定する手順である。
【0020】
属性選択部101は、新たに検知されたアノマリである新規アノマリをアナリストが分析する際に、新規アノマリの複数の属性の各々の過去のアノマリ分析での分析状況に基づき、複数の属性の中から、新規アノマリの分析で重視することを推奨する属性を推奨属性として選択する。新規アノマリとは、新たなアラート情報107で通知されるアノマリである。
つまり、属性選択部101は、アノマリ検知装置303から新たなアラート情報107を取得する。そして、属性選択部101は、取得した新たなアラート情報107の類似アラートIDの欄に過去の類似するアラート情報のアラートIDが記載されているか否かを判定する。つまり、属性選択部101は、新規アノマリに類似する、過去に検知されたアノマリが存在するか否かを判定する。
そして、新たなアラート情報107の類似アラートIDの欄にアラートIDが示されている場合、つまり、新規アノマリに類似する、過去に検知されたアノマリが存在する場合は、属性選択部101は、当該アラートIDに対応する分析結果情報108を分析結果記憶部102から取得する。更に、属性選択部101は、取得した分析結果情報108に記載されている属性の識別子とアラート情報107を属性提示部103に出力する。
一方、新たなアラート情報107の類似アラートIDの欄にアラートIDが示されていない場合、つまり、新規アノマリに類似する、過去に検知されたアノマリが存在しない場合は、属性選択部101は、アラート情報107で通知された複数の属性の中から推奨属性を選択する。具体的には、属性選択部101は、アラート情報107で通知された複数の属性のうち、ベース値情報109においてベース値が高い属性を推奨属性として選択する。そして、属性選択部101は、選択した推奨属性の識別子とアラート情報107を属性提示部103に出力する。
なお、属性選択部101により行われる処理は、属性選択処理に相当する。
つまり、属性選択部101は、アノマリ検知装置303から新たなアラート情報107を取得する。そして、属性選択部101は、取得した新たなアラート情報107の類似アラートIDの欄に過去の類似するアラート情報のアラートIDが記載されているか否かを判定する。つまり、属性選択部101は、新規アノマリに類似する、過去に検知されたアノマリが存在するか否かを判定する。
そして、新たなアラート情報107の類似アラートIDの欄にアラートIDが示されている場合、つまり、新規アノマリに類似する、過去に検知されたアノマリが存在する場合は、属性選択部101は、当該アラートIDに対応する分析結果情報108を分析結果記憶部102から取得する。更に、属性選択部101は、取得した分析結果情報108に記載されている属性の識別子とアラート情報107を属性提示部103に出力する。
一方、新たなアラート情報107の類似アラートIDの欄にアラートIDが示されていない場合、つまり、新規アノマリに類似する、過去に検知されたアノマリが存在しない場合は、属性選択部101は、アラート情報107で通知された複数の属性の中から推奨属性を選択する。具体的には、属性選択部101は、アラート情報107で通知された複数の属性のうち、ベース値情報109においてベース値が高い属性を推奨属性として選択する。そして、属性選択部101は、選択した推奨属性の識別子とアラート情報107を属性提示部103に出力する。
なお、属性選択部101により行われる処理は、属性選択処理に相当する。
【0021】
属性提示部103は、属性選択部101から出力された属性の識別子とアラート情報107から後述するアラート提示情報1000又はアラート提示情報1001を生成する。そして、属性提示部103は、アラート提示情報1000又はアラート提示情報1001を、入出力インタフェース205を介してアナリストに提示する。
属性提示部103により行われる処理は、属性提示処理に相当する。
属性提示部103により行われる処理は、属性提示処理に相当する。
【0022】
分析結果取得部104は、アナリストからアラート情報107に対するアノマリ分析の結果を取得し、分析結果情報108及びベース値情報109を生成する。
より具体的には、分析結果取得部104は、図6に示す分析結果入力画面700を入出力インタフェース205を介してアナリストに提示する。そして、分析結果取得部104は、分析結果入力画面700へのアナリストの入力内容に基づいて、分析結果情報108及びベース値情報109を生成する。
なお、図6の詳細は、後述する。
より具体的には、分析結果取得部104は、図6に示す分析結果入力画面700を入出力インタフェース205を介してアナリストに提示する。そして、分析結果取得部104は、分析結果入力画面700へのアナリストの入力内容に基づいて、分析結果情報108及びベース値情報109を生成する。
なお、図6の詳細は、後述する。
【0023】
***動作の説明***
次に、図4及び図5を参照して、本実施の形態に係る分析補助装置100の動作例を説明する。
図4は、新たなアラート情報107を取得した際の分析補助装置100の動作例を示す。
図5は、アナリストがアノマリ分析を完了した際の分析補助装置100の動作例を示す。
次に、図4及び図5を参照して、本実施の形態に係る分析補助装置100の動作例を説明する。
図4は、新たなアラート情報107を取得した際の分析補助装置100の動作例を示す。
図5は、アナリストがアノマリ分析を完了した際の分析補助装置100の動作例を示す。
【0024】
先ずは、図4を参照して、新たなアラート情報107を取得した際の分析補助装置100の動作例を説明する。
【0025】
ステップS101では、属性選択部101がアノマリ検知装置303から新たなアラート情報107を取得する。
【0026】
次に、属性選択部101は、ステップS102において、アラート情報107に類似するアラート情報の分析結果情報108が存在するか否かを判定する。
具体的には、属性選択部101は、取得したアラート情報107の類似アラートIDの欄に過去の類似するアラート情報のアラートIDが示されているか否かを判定する。
取得したアラート情報107の類似アラートIDの欄にアラートIDが示されている場合(ステップS102でYES)は、処理がステップS103に移行する。一方、取得したアラート情報107の類似アラートIDの欄にアラートIDが示されていない場合(ステップS102でNO)は、処理がステップS104に移行する。
具体的には、属性選択部101は、取得したアラート情報107の類似アラートIDの欄に過去の類似するアラート情報のアラートIDが示されているか否かを判定する。
取得したアラート情報107の類似アラートIDの欄にアラートIDが示されている場合(ステップS102でYES)は、処理がステップS103に移行する。一方、取得したアラート情報107の類似アラートIDの欄にアラートIDが示されていない場合(ステップS102でNO)は、処理がステップS104に移行する。
【0027】
ステップS103では、属性選択部101は、アラート情報107に類似するアラート情報の分析で重視された属性を取得する。
より具体的には、属性選択部101は、アラート情報107に類似するアラート情報の分析結果情報108を分析結果記憶部102から取得する。そして、属性選択部101は、取得した分析結果情報108に記載されている属性を取得する。
属性選択部101は、取得した属性とアラート情報107を属性提示部103に出力する。
より具体的には、属性選択部101は、アラート情報107に類似するアラート情報の分析結果情報108を分析結果記憶部102から取得する。そして、属性選択部101は、取得した分析結果情報108に記載されている属性を取得する。
属性選択部101は、取得した属性とアラート情報107を属性提示部103に出力する。
【0028】
ステップS104では、属性選択部101は、推奨属性を選択する。
より具体的には、属性選択部101は、分析結果記憶部102からベース値情報109を取得する。そして、属性選択部101は、アラート情報107に含まれる属性のうちベース値の高い属性を推奨属性として選択する。
属性選択部101は、例えば、アラート情報107に含まれる属性のうちベース値が閾値(例えば、「0.5」)よりも高い属性を推奨属性として選択する。また、属性選択部101は、ベース値が高い順にn個(nは2以上の任意の整数)を推奨属性として選択してもよい。
属性選択部101は、選択した推奨属性とアラート情報107を属性提示部103に出力する。
より具体的には、属性選択部101は、分析結果記憶部102からベース値情報109を取得する。そして、属性選択部101は、アラート情報107に含まれる属性のうちベース値の高い属性を推奨属性として選択する。
属性選択部101は、例えば、アラート情報107に含まれる属性のうちベース値が閾値(例えば、「0.5」)よりも高い属性を推奨属性として選択する。また、属性選択部101は、ベース値が高い順にn個(nは2以上の任意の整数)を推奨属性として選択してもよい。
属性選択部101は、選択した推奨属性とアラート情報107を属性提示部103に出力する。
【0029】
ステップS105において、属性提示部103は、アラート提示情報を生成し、生成したアラート提示情報を入出力インタフェース205を介してアナリストに提示する。
属性選択部101により分析結果情報108に含まれる属性とアラート情報107が出力された場合は、属性提示部103は、分析結果情報108に含まれる属性とアラート情報107が示されるアラート提示情報を生成する。
一方、属性選択部101により推奨属性とアラート情報107が出力された場合は、属性提示部103は、推奨属性とアラート情報107が示されるアラート提示情報を生成する。
属性選択部101により分析結果情報108に含まれる属性とアラート情報107が出力された場合は、属性提示部103は、分析結果情報108に含まれる属性とアラート情報107が示されるアラート提示情報を生成する。
一方、属性選択部101により推奨属性とアラート情報107が出力された場合は、属性提示部103は、推奨属性とアラート情報107が示されるアラート提示情報を生成する。
【0030】
【0031】
属性選択部101は、アラート情報107の「類似アラートID:1001」をキーに分析結果記憶部102の分析結果情報108を検索し、「アラートID:1001」が記載されている分析結果情報108を抽出する。
そして、属性選択部101は、抽出した分析結果情報108に記載されている識別子の中から、アラート情報107に含まれている識別子を抽出する。ここでは、属性選択部101は、R1、R7、R10、R11及びR12を抽出する。
属性選択部101は、アラート情報107と、分析結果情報108から抽出した識別子を属性提示部103に出力する。
属性提示部103は、アラート情報107と、分析結果情報108から抽出された識別子を用いて、アラート提示情報1000を生成する。
アラート提示情報1000には、アラート情報107の「アラートID:1003」と「異常度(全体):95%」とが示される。また、アラート提示情報1000には、分析結果情報108から抽出された識別子(R1、R7、R10、R11、R12)とこれら識別子に対応する属性と属性値とが示される。更に、アラート提示情報1000には、アラート情報107に示された各識別子に対応する異常度も示される。
そして、属性選択部101は、抽出した分析結果情報108に記載されている識別子の中から、アラート情報107に含まれている識別子を抽出する。ここでは、属性選択部101は、R1、R7、R10、R11及びR12を抽出する。
属性選択部101は、アラート情報107と、分析結果情報108から抽出した識別子を属性提示部103に出力する。
属性提示部103は、アラート情報107と、分析結果情報108から抽出された識別子を用いて、アラート提示情報1000を生成する。
アラート提示情報1000には、アラート情報107の「アラートID:1003」と「異常度(全体):95%」とが示される。また、アラート提示情報1000には、分析結果情報108から抽出された識別子(R1、R7、R10、R11、R12)とこれら識別子に対応する属性と属性値とが示される。更に、アラート提示情報1000には、アラート情報107に示された各識別子に対応する異常度も示される。
【0032】
図11は、図4のステップS102の判定が「NO」であった場合のアラート提示情報の生成過程を説明する。
属性選択部101は、アラート情報107の「類似アラートID:なし」により、分析結果記憶部102からベース値情報109を取得する。
そして、属性選択部101は、ベース値情報109から、アラート情報107に含まれている識別子のうちベース値が0.5以上の識別子を抽出する。ここでは、属性選択部101は、R1、R5及びR10を抽出する。なお、これらR1、R5及びR10に対応する属性が推奨属性に該当する。
属性選択部101は、アラート情報107と、ベース値情報109から抽出した識別子とベース値を属性提示部103に出力する。
属性提示部103は、アラート情報107と、ベース値情報109から抽出された識別子とベース値を用いて、アラート提示情報1001を生成する。
アラート提示情報1001には、アラート情報107の「アラートID:1005」と「異常度(全体):95%」とが示される。また、アラート提示情報1001には、ベース値情報109から抽出された識別子(R1、R5及びR10)とこれら識別子に対応する属性と属性値とが示される。更に、アラート提示情報1001には、アラート情報107に示された各識別子に対応する異常度と、ベース値情報109から抽出した各識別子に対応するベース値も示される。
属性選択部101は、アラート情報107の「類似アラートID:なし」により、分析結果記憶部102からベース値情報109を取得する。
そして、属性選択部101は、ベース値情報109から、アラート情報107に含まれている識別子のうちベース値が0.5以上の識別子を抽出する。ここでは、属性選択部101は、R1、R5及びR10を抽出する。なお、これらR1、R5及びR10に対応する属性が推奨属性に該当する。
属性選択部101は、アラート情報107と、ベース値情報109から抽出した識別子とベース値を属性提示部103に出力する。
属性提示部103は、アラート情報107と、ベース値情報109から抽出された識別子とベース値を用いて、アラート提示情報1001を生成する。
アラート提示情報1001には、アラート情報107の「アラートID:1005」と「異常度(全体):95%」とが示される。また、アラート提示情報1001には、ベース値情報109から抽出された識別子(R1、R5及びR10)とこれら識別子に対応する属性と属性値とが示される。更に、アラート提示情報1001には、アラート情報107に示された各識別子に対応する異常度と、ベース値情報109から抽出した各識別子に対応するベース値も示される。
【0033】
次に、図5を参照して、アナリストがアノマリ分析を完了した際の分析補助装置100の動作例を説明する。
【0034】
ステップS106では、分析結果取得部104は、アナリストからアノマリ分析の分析結果を取得する。
より具体的には、分析結果取得部104は、分析結果入力画面700を入出力インタフェース205を介してアナリストに提示し、アナリストに分析結果入力画面700の必要項目に分析結果を入力させる。
また、分析結果取得部104は、対応するアラート情報107を属性提示部103から取得する。
より具体的には、分析結果取得部104は、分析結果入力画面700を入出力インタフェース205を介してアナリストに提示し、アナリストに分析結果入力画面700の必要項目に分析結果を入力させる。
また、分析結果取得部104は、対応するアラート情報107を属性提示部103から取得する。
【0035】
図6は、図7に示すアラート情報107(アラートID:1001)に対する分析結果入力画面700の例を示す。
分析結果入力画面700では、アラート情報107の「アラートID:1001」が示される。また、アラート情報107に含まれる「異常度(全体):95%」が示される。更に、アラート情報107に示される識別子(R1、R2、R3等)と属性(Method、Scheme、Host等)と属性値(GET、http、www等)が示される。
更に、識別子ごとにチェックボックス701が設けられている。アナリストは、アノマリ分析において重視(着目)した属性の識別子のチェックボックス701にチェックをつける。アナリストは、複数のチェックボックスを選択可能である。
また、アナリストは、サイバー攻撃有無の判定結果をプルダウンリスト702を操作して指定する。図6では、「誤検知」が示されているが、アナリストはプルダウンにより「誤検知」と「攻撃」とを選択することができる。
アナリストは、入力内容が確定したら、確定ボタン703を押す。
なお、図6では、一例として、プルダウン形式及びチェックボックス形式が用いられているが、分析結果入力画面700における入力形式は問わない。
分析結果入力画面700では、アラート情報107の「アラートID:1001」が示される。また、アラート情報107に含まれる「異常度(全体):95%」が示される。更に、アラート情報107に示される識別子(R1、R2、R3等)と属性(Method、Scheme、Host等)と属性値(GET、http、www等)が示される。
更に、識別子ごとにチェックボックス701が設けられている。アナリストは、アノマリ分析において重視(着目)した属性の識別子のチェックボックス701にチェックをつける。アナリストは、複数のチェックボックスを選択可能である。
また、アナリストは、サイバー攻撃有無の判定結果をプルダウンリスト702を操作して指定する。図6では、「誤検知」が示されているが、アナリストはプルダウンにより「誤検知」と「攻撃」とを選択することができる。
アナリストは、入力内容が確定したら、確定ボタン703を押す。
なお、図6では、一例として、プルダウン形式及びチェックボックス形式が用いられているが、分析結果入力画面700における入力形式は問わない。
【0036】
次に、ステップS107において、分析結果取得部104は、分析結果情報108を生成する。
より具体的には、分析結果取得部104は、分析結果入力画面700においてアナリストにより選択された(チェックボックス701にチェックがつけられた)識別子とその異常度と、プルダウンリスト702により指定されたサイバー攻撃有無の判定結果と、アラートIDとを用いて、図8に示す分析結果情報108を生成する。
つまり、分析結果取得部104は、分析結果入力画面700に示されるアラートIDを分析結果情報108に記述する。また、分析結果取得部104は、分析結果入力画面700のプルダウンリスト702で指定された判定結果を分析結果情報108に記述する。また、分析結果取得部104は、分析結果入力画面700においてチェックボックスにチェックがつけられた識別子を分析結果情報108に記述する。また、分析結果取得部104は、アラート情報107に示される異常度を分析結果情報108に記述する。
そして、分析結果取得部104は、生成した分析結果情報108とアラート情報107を分析結果記憶部102に格納する。
より具体的には、分析結果取得部104は、分析結果入力画面700においてアナリストにより選択された(チェックボックス701にチェックがつけられた)識別子とその異常度と、プルダウンリスト702により指定されたサイバー攻撃有無の判定結果と、アラートIDとを用いて、図8に示す分析結果情報108を生成する。
つまり、分析結果取得部104は、分析結果入力画面700に示されるアラートIDを分析結果情報108に記述する。また、分析結果取得部104は、分析結果入力画面700のプルダウンリスト702で指定された判定結果を分析結果情報108に記述する。また、分析結果取得部104は、分析結果入力画面700においてチェックボックスにチェックがつけられた識別子を分析結果情報108に記述する。また、分析結果取得部104は、アラート情報107に示される異常度を分析結果情報108に記述する。
そして、分析結果取得部104は、生成した分析結果情報108とアラート情報107を分析結果記憶部102に格納する。
【0037】
次に、ステップS108において、分析結果取得部104は、ベース値情報109を更新する。
より具体的には、分析結果取得部104は、分析結果入力画面700でチェックボックスにチェックがつけられた識別子についてベース値を計算し、ベース値情報109を更新する。
分析結果取得部104は、識別子ごとに、以下の(式1)に従ってベース値を算出する。
識別子が重視(着目)された総回数÷アラート情報の総発行数 (式1)
(式1)において、「識別子が重視(着目)された総回数」は、これまで分析結果入力画面700においてチェックボックスにチェックがつけられた総回数である。分析結果記憶部102は、ステップS108の実施前の「識別子が重視(着目)された総回数」を記憶している。分析結果取得部104は、分析結果記憶部102から、ステップS108の実施前の「識別子が重視(着目)された総回数」を取得し、取得した「識別子が重視(着目)された総回数」に1を追加して、最新の「識別子が重視(着目)された総回数」を得る。
また、(式1)において、「アラート情報の総発行数」は、これまでにアノマリ検知装置303から発行されたアラート情報の総数である。属性選択部101はアラート情報107を受信する度に「アラート情報の総発行数」をカウントアップする。そして、分析結果記憶部102は、属性選択部101により計数された「アラート情報の総発行数」を記憶している。分析結果取得部104は、分析結果記憶部102から「アラート情報の総発行数」を取得し、(式1)に従って、属性ごとにベース値を算出する。
その後、分析結果取得部104は、更新後のベース値が示されるベース値情報109を分析結果記憶部102に格納する。
より具体的には、分析結果取得部104は、分析結果入力画面700でチェックボックスにチェックがつけられた識別子についてベース値を計算し、ベース値情報109を更新する。
分析結果取得部104は、識別子ごとに、以下の(式1)に従ってベース値を算出する。
識別子が重視(着目)された総回数÷アラート情報の総発行数 (式1)
(式1)において、「識別子が重視(着目)された総回数」は、これまで分析結果入力画面700においてチェックボックスにチェックがつけられた総回数である。分析結果記憶部102は、ステップS108の実施前の「識別子が重視(着目)された総回数」を記憶している。分析結果取得部104は、分析結果記憶部102から、ステップS108の実施前の「識別子が重視(着目)された総回数」を取得し、取得した「識別子が重視(着目)された総回数」に1を追加して、最新の「識別子が重視(着目)された総回数」を得る。
また、(式1)において、「アラート情報の総発行数」は、これまでにアノマリ検知装置303から発行されたアラート情報の総数である。属性選択部101はアラート情報107を受信する度に「アラート情報の総発行数」をカウントアップする。そして、分析結果記憶部102は、属性選択部101により計数された「アラート情報の総発行数」を記憶している。分析結果取得部104は、分析結果記憶部102から「アラート情報の総発行数」を取得し、(式1)に従って、属性ごとにベース値を算出する。
その後、分析結果取得部104は、更新後のベース値が示されるベース値情報109を分析結果記憶部102に格納する。
【0038】
***実施の形態の効果の説明***
本実施の形態によれば、アラート情報107に類似する過去のアラート情報がない場合でも、アナリストによるアノマリ分析を補助する情報として、推奨属性を提示することができる。
本実施の形態によれば、アラート情報107に類似する過去のアラート情報がない場合でも、アナリストによるアノマリ分析を補助する情報として、推奨属性を提示することができる。
【0039】
本実施の形態では、特に、経験の浅いアナリストがアラート情報107の分析を行う場合に有用である。
例えば、アノマリ検知装置303におけるアノマリ検知ロジックが未熟であった場合を考える。この場合に、当該ロジックを見直すまでの間、アノマリの検知に強く寄与した属性として、攻撃の成否の判定にアナリストがあまり用いない属性をアノマリ検知装置303が提示してしまう可能性がある。また、ログの分析においては、アノマリの検知に寄与した属性と、攻撃の成否の分析に用いられる特徴は異なることがある。
例えば、アノマリ検知装置303におけるアノマリ検知ロジックが未熟であった場合を考える。この場合に、当該ロジックを見直すまでの間、アノマリの検知に強く寄与した属性として、攻撃の成否の判定にアナリストがあまり用いない属性をアノマリ検知装置303が提示してしまう可能性がある。また、ログの分析においては、アノマリの検知に寄与した属性と、攻撃の成否の分析に用いられる特徴は異なることがある。
【0040】
例えば、アノマリ検知装置303が「普段アクセスしないようなサイトへのアクセスが増加した」というアノマリを検知した場合、当該アノマリの検知に強く寄与した属性は、「アクセス先」と「アクセス回数」になると考えられる。このアノマリが攻撃(マルウェア)によるものか誤検知かをアナリストがログ分析する場合、アクセス先が不審なためにアクセスが増加したのか、ユーザ操作によりアクセスが増加したのかを確認する必要がある。この確認のために、アナリストは「アクセス先」、「リファラー」等をまず確認する。このため、アノマリ検知装置303がアノマリの検知に強く寄与した属性として認識した「アクセス回数」は攻撃の成否の分析には用いられない。一方で、アノマリ検知装置303がアノマリの検知に強く寄与した属性として認識していない「リファラー」は、攻撃の成否の分析において着目される。このように、アノマリの検知に寄与した属性と攻撃の成否の分析に用いられる属性とは必ずしも一致しない。
他の例では、アノマリ検知装置303が「普段アクセスしないような時間にサイトへアクセスした」というアノマリを検知した場合は、当該アノマリの検知に強く寄与した属性は「時間」になると考えられる。しかし、前述のように、アナリストは「アクセス先」、「リファラー」等をまず確認する。このため、この例でも、アノマリの検知に寄与した属性と攻撃の成否の分析に用いられる属性とが一致しない。
他の例では、アノマリ検知装置303が「普段アクセスしないような時間にサイトへアクセスした」というアノマリを検知した場合は、当該アノマリの検知に強く寄与した属性は「時間」になると考えられる。しかし、前述のように、アナリストは「アクセス先」、「リファラー」等をまず確認する。このため、この例でも、アノマリの検知に寄与した属性と攻撃の成否の分析に用いられる属性とが一致しない。
【0041】
従って、攻撃の成否の判定にはアノマリの検知に強く寄与した属性以外の属性も提示する必要がある。仮に全ての属性を提示した場合は、経験の浅いアナリストは順番に全ての属性を分析していくことになるため、効率が悪い。
本実施の形態では、過去の攻撃の成否の分析(アノマリ分析)において経験豊富なアナリストが重視(着目)した属性を推奨属性として提示するため、経験の浅いアナリストであっても、推奨属性に絞って効率的に攻撃の成否の分析を行うことができる。
本実施の形態では、過去の攻撃の成否の分析(アノマリ分析)において経験豊富なアナリストが重視(着目)した属性を推奨属性として提示するため、経験の浅いアナリストであっても、推奨属性に絞って効率的に攻撃の成否の分析を行うことができる。
【0042】
実施の形態2.
本実施の形態では、主に実施の形態1との差異を説明する。
なお、以下で説明していない事項は、実施の形態1と同様である。
本実施の形態では、主に実施の形態1との差異を説明する。
なお、以下で説明していない事項は、実施の形態1と同様である。
【0043】
実施の形態2では、新たなアラート情報107に類似する過去のアラート情報がない場合に、ベース値が高い属性に加え、ベース値は高くないが、異常度が高く、攻撃が発生しているとの判定結果に強い相関がある属性を推奨属性として選択する例を説明する。
【0044】
***構成の説明***
本実施の形態においても、システム構成例は、図1に示す通りである。
また、分析補助装置100のハードウェア構成例は図2に示す通りであり、分析補助装置100の機能構成例は図3に示す通りである。
但し、本実施の形態では、分析結果記憶部102は図14に例示する相関値情報110を記憶している。相関値情報110では、属性の識別子ごとに相関値が示される。相関値は、異常度の高さと攻撃が発生しているとの判定結果との相関を表す。つまり、アラート情報107に異常度が高い属性が記載されており、当該属性の相関値が高いときには、サイバー攻撃が発生している可能性が高いと考えられる。
属性選択部101は、ベース値が高い属性に加えて、アナリストによる過去のアノマリ分析により異常度が高い場合にはサイバー攻撃に関係する可能性が高いと推測されている属性を推奨属性として選択する。より具体的には、属性選択部101は、ベース値は高くないが、異常度が高く、異常度と攻撃が発生しているとの判定結果との間に強い相関がある属性を推奨属性として選択する。属性選択部101は、分析結果記憶部102で記憶されている相関値情報110を参照して、攻撃が発生しているとの判定結果に強い相関がある属性を抽出する。
本実施の形態においても、システム構成例は、図1に示す通りである。
また、分析補助装置100のハードウェア構成例は図2に示す通りであり、分析補助装置100の機能構成例は図3に示す通りである。
但し、本実施の形態では、分析結果記憶部102は図14に例示する相関値情報110を記憶している。相関値情報110では、属性の識別子ごとに相関値が示される。相関値は、異常度の高さと攻撃が発生しているとの判定結果との相関を表す。つまり、アラート情報107に異常度が高い属性が記載されており、当該属性の相関値が高いときには、サイバー攻撃が発生している可能性が高いと考えられる。
属性選択部101は、ベース値が高い属性に加えて、アナリストによる過去のアノマリ分析により異常度が高い場合にはサイバー攻撃に関係する可能性が高いと推測されている属性を推奨属性として選択する。より具体的には、属性選択部101は、ベース値は高くないが、異常度が高く、異常度と攻撃が発生しているとの判定結果との間に強い相関がある属性を推奨属性として選択する。属性選択部101は、分析結果記憶部102で記憶されている相関値情報110を参照して、攻撃が発生しているとの判定結果に強い相関がある属性を抽出する。
【0045】
***動作の説明***
図12は、本実施の形態に係る、新たなアラート情報107を取得した際の分析補助装置100の動作例を示す。
図12は、本実施の形態に係る、新たなアラート情報107を取得した際の分析補助装置100の動作例を示す。
【0046】
【0047】
ステップS105では、属性選択部101は、ステップS104で選択されていない属性のうち、アラート情報107に示される異常度が高く、相関値情報110に示される相関値も高い属性を推奨属性として選択する。
具体的には、属性選択部101は、ステップS104で選択されていない属性のうち、新たなアラート情報107で閾値よりも高い異常度が示されている属性を抽出する。そして、属性選択部101は、抽出した属性の相関値が閾値よりも高い場合は、当該属性を推奨属性として選択する。
具体的には、属性選択部101は、ステップS104で選択されていない属性のうち、新たなアラート情報107で閾値よりも高い異常度が示されている属性を抽出する。そして、属性選択部101は、抽出した属性の相関値が閾値よりも高い場合は、当該属性を推奨属性として選択する。
【0048】
ステップS105では、属性提示部103はアラート提示情報1001を出力する場合は、ステップS104で選択された推奨属性とステップS105で選択された推奨属性をアラート提示情報1001に反映させる。
【0049】
【0050】
ステップS110において、分析結果取得部104は、アナリストの分析結果が「攻撃」であるか否かを判定する。
具体的には、分析結果取得部104は、図6に示す分析結果入力画面700のプルダウンリスト702で指定されている分析結果が「攻撃」であるか「誤検知」であるかを確認する。分析結果が「攻撃」である場合(ステップS110でYES)は、処理がステップS111に進む。一方、分析結果が「誤検知」である場合(ステップS110でNO)は、処理が終了する。
具体的には、分析結果取得部104は、図6に示す分析結果入力画面700のプルダウンリスト702で指定されている分析結果が「攻撃」であるか「誤検知」であるかを確認する。分析結果が「攻撃」である場合(ステップS110でYES)は、処理がステップS111に進む。一方、分析結果が「誤検知」である場合(ステップS110でNO)は、処理が終了する。
【0051】
ステップS111では、分析結果取得部104は、相関値情報110を更新する。
より具体的には、分析結果取得部104は、アナリストに「攻撃」と判定されたアラート情報107の異常度に基づき、相関値を更新し、更新後の相関値が示される相関値情報110を生成する。
例えば、分析結果取得部104は、属性ごとに、以下の(式2)に従って相関値を算出する。
属性の異常度が0.5以上で「攻撃」と判定されたアラート情報の総数÷当該属性が含まれるアラート情報の総数 (式2)
(式2)において、「属性の異常度が0.5以上で「攻撃」と判定されたアラート情報の総数」は、計算対象の属性(例えば、R1の属性)が含まれており、当該属性(R1の属性)の異常度が0.5以上であり、アナリストにより分析結果入力画面700において「攻撃」と判定されたアラート情報の総数である。
分析結果記憶部102は、ステップS111の実施前の「属性の異常度が0.5以上で「攻撃」と判定されたアラート情報の総数」を記憶している。分析結果取得部104は、分析結果記憶部102から、ステップS111の実施前の「属性の異常度が0.5以上で「攻撃」と判定されたアラート情報の総数」を取得する。そして、分析結果取得部104は、取得した「属性の異常度が0.5以上で「攻撃」と判定されたアラート情報の総数」に1を追加して、最新の「属性の異常度が0.5以上で「攻撃」と判定されたアラート情報の総数」を得る。
また、(式2)において、「当該属性が含まれるアラート情報の総数」は、計算対象の属性(例えば、R1の属性)が含まれるアラート情報107の総数である。「当該属性が含まれるアラート情報の総数」は、当該属性(例えば、R1の属性)が記述される全てのアラート情報107が対象になる(異常度が0.5未満のアラート情報107、アナリストにより「誤検知」と判定されたアラート情報107も対象)。
分析結果記憶部102は、ステップS111の実施前の「当該属性が含まれるアラート情報の総数」を記憶している。分析結果取得部104は、分析結果記憶部102から、ステップS111の実施前の「当該属性が含まれるアラート情報の総数」を取得する。そして、分析結果取得部104は、取得した「当該属性が含まれるアラート情報の総数」に1を追加して、最新の「当該属性が含まれるアラート情報の総数」を得る。
そして、分析結果取得部104は、(式2)に従って、属性ごとに相関値を算出する。
その後、分析結果取得部104は、更新後の相関値が示される相関値情報110を分析結果記憶部102に格納する。また、分析結果取得部104は、最新の「属性の異常度が0.5以上で「攻撃」と判定されたアラート情報の総数」と最新の「当該属性が含まれるアラート情報の総数」を分析結果記憶部102に格納する。
より具体的には、分析結果取得部104は、アナリストに「攻撃」と判定されたアラート情報107の異常度に基づき、相関値を更新し、更新後の相関値が示される相関値情報110を生成する。
例えば、分析結果取得部104は、属性ごとに、以下の(式2)に従って相関値を算出する。
属性の異常度が0.5以上で「攻撃」と判定されたアラート情報の総数÷当該属性が含まれるアラート情報の総数 (式2)
(式2)において、「属性の異常度が0.5以上で「攻撃」と判定されたアラート情報の総数」は、計算対象の属性(例えば、R1の属性)が含まれており、当該属性(R1の属性)の異常度が0.5以上であり、アナリストにより分析結果入力画面700において「攻撃」と判定されたアラート情報の総数である。
分析結果記憶部102は、ステップS111の実施前の「属性の異常度が0.5以上で「攻撃」と判定されたアラート情報の総数」を記憶している。分析結果取得部104は、分析結果記憶部102から、ステップS111の実施前の「属性の異常度が0.5以上で「攻撃」と判定されたアラート情報の総数」を取得する。そして、分析結果取得部104は、取得した「属性の異常度が0.5以上で「攻撃」と判定されたアラート情報の総数」に1を追加して、最新の「属性の異常度が0.5以上で「攻撃」と判定されたアラート情報の総数」を得る。
また、(式2)において、「当該属性が含まれるアラート情報の総数」は、計算対象の属性(例えば、R1の属性)が含まれるアラート情報107の総数である。「当該属性が含まれるアラート情報の総数」は、当該属性(例えば、R1の属性)が記述される全てのアラート情報107が対象になる(異常度が0.5未満のアラート情報107、アナリストにより「誤検知」と判定されたアラート情報107も対象)。
分析結果記憶部102は、ステップS111の実施前の「当該属性が含まれるアラート情報の総数」を記憶している。分析結果取得部104は、分析結果記憶部102から、ステップS111の実施前の「当該属性が含まれるアラート情報の総数」を取得する。そして、分析結果取得部104は、取得した「当該属性が含まれるアラート情報の総数」に1を追加して、最新の「当該属性が含まれるアラート情報の総数」を得る。
そして、分析結果取得部104は、(式2)に従って、属性ごとに相関値を算出する。
その後、分析結果取得部104は、更新後の相関値が示される相関値情報110を分析結果記憶部102に格納する。また、分析結果取得部104は、最新の「属性の異常度が0.5以上で「攻撃」と判定されたアラート情報の総数」と最新の「当該属性が含まれるアラート情報の総数」を分析結果記憶部102に格納する。
【0052】
***実施の形態の効果の説明***
以上のように、本実施の形態では、過去のアノマリ分析により異常度が高い場合には攻撃と強い相関があると判明している属性が高い異常度とともにアラート情報107に出現した場合は、当該属性も推奨属性としてアナリストに提示することができる。
このため、本実施の形態によれば、普段はアノマリ分析において着目されない属性が攻撃に関係している可能性が高い場合には、当該属性もアノマリ分析の対象とすることができる。
以上のように、本実施の形態では、過去のアノマリ分析により異常度が高い場合には攻撃と強い相関があると判明している属性が高い異常度とともにアラート情報107に出現した場合は、当該属性も推奨属性としてアナリストに提示することができる。
このため、本実施の形態によれば、普段はアノマリ分析において着目されない属性が攻撃に関係している可能性が高い場合には、当該属性もアノマリ分析の対象とすることができる。
【0053】
例えば、「アクセス先」及び「リファラー」に着目してアノマリ分析を行うことが多い場合は、「アクセス先」及び「リファラー」のベース値が高くなる。このため、実施の形態1によれば、「アクセス先」及び「リファラー」のみが推奨属性として選択される。
アノマリ検知装置303におけるアノマリ検知ロジックが未熟な場合、誤検知が多く出ることが想定される。このため、アナリストが「アクセス先」及び「リファラー」を確認して正常だった場合は、「誤検知」と判定する。
アノマリ検知ロジックが未熟な場合でも、例えば「アクセス回数」に関しては、異常度の大きさと真に攻撃であるとの判定に相関があるとする。ここで、「一般サイトへのアクセスの増加」とのアノマリが検知された場合を想定する。この場合は、アノマリ検知に寄与した属性は「アクセス回数」だと考えられる。本実施の形態では、「アクセス先」及び「リファラー」に加えて、「アクセス回数」が推奨属性として提示されるため、「アクセス先」及び「リファラー」が正常でも、アナリストは、「アクセス回数」に着目した分析を行うことができる。例えば、アナリストは、一般サイトを隠れ蓑にした攻撃通信の可能性を想定した分析を行うことができる。
アノマリ検知装置303におけるアノマリ検知ロジックが未熟な場合、誤検知が多く出ることが想定される。このため、アナリストが「アクセス先」及び「リファラー」を確認して正常だった場合は、「誤検知」と判定する。
アノマリ検知ロジックが未熟な場合でも、例えば「アクセス回数」に関しては、異常度の大きさと真に攻撃であるとの判定に相関があるとする。ここで、「一般サイトへのアクセスの増加」とのアノマリが検知された場合を想定する。この場合は、アノマリ検知に寄与した属性は「アクセス回数」だと考えられる。本実施の形態では、「アクセス先」及び「リファラー」に加えて、「アクセス回数」が推奨属性として提示されるため、「アクセス先」及び「リファラー」が正常でも、アナリストは、「アクセス回数」に着目した分析を行うことができる。例えば、アナリストは、一般サイトを隠れ蓑にした攻撃通信の可能性を想定した分析を行うことができる。
【0054】
実施の形態3.
本実施の形態では、主に実施の形態1との差異を説明する。
なお、以下で説明していない事項は、実施の形態1と同様である。
本実施の形態では、主に実施の形態1との差異を説明する。
なお、以下で説明していない事項は、実施の形態1と同様である。
【0055】
本実施の形態では、過去のアノマリ分析で行われた属性ごとの分析方法をアナリストに提示する例を説明する。
【0056】
【0057】
本実施の形態では、図5のステップS106において、分析結果取得部104は、属性ごとの分析方法を記入するための項目が含まれる分析結果入力画面を提示する。
アナリストは、実施の形態1で説明した項目への記入に加え、属性ごとの分析方法を記入する。
図15は、本実施の形態に係る分析結果入力画面750の例を示す。図15の分析結果入力画面750は、アナリストによる入力が完了した状態を示す。
図15に示す分析結果入力画面750では、図6に示す分析結果入力画面700と比較して、属性ごとに、分析方法751が記入されている。
そして、分析結果取得部104は、図15の分析結果入力画面750を分析結果記憶部102に格納する。
アナリストは、実施の形態1で説明した項目への記入に加え、属性ごとの分析方法を記入する。
図15は、本実施の形態に係る分析結果入力画面750の例を示す。図15の分析結果入力画面750は、アナリストによる入力が完了した状態を示す。
図15に示す分析結果入力画面750では、図6に示す分析結果入力画面700と比較して、属性ごとに、分析方法751が記入されている。
そして、分析結果取得部104は、図15の分析結果入力画面750を分析結果記憶部102に格納する。
【0058】
また、本実施の形態では、図4のステップS105において、属性提示部103が、図16に示すアラート提示情報1050をアナリストに提示する。
図16のアラート提示情報1050は、図11のアラート提示情報1001と比較して、分析方法1051の行が追加されている。そして、分析方法1051の行では、属性ごとに、過去のアノマリ分析での分析方法が示される。
属性提示部103は、図15の分析結果入力画面750により得られた過去のアノマリ分析での分析方法751の記述をアラート提示情報1050に反映させる。
なお、図16のアラート提示情報1050は、図11のアラート提示情報1001に分析方法1051の行が追加されているが、図10のアラート提示情報1000に分析方法1051の行を追加してもよい。
図16のアラート提示情報1050は、図11のアラート提示情報1001と比較して、分析方法1051の行が追加されている。そして、分析方法1051の行では、属性ごとに、過去のアノマリ分析での分析方法が示される。
属性提示部103は、図15の分析結果入力画面750により得られた過去のアノマリ分析での分析方法751の記述をアラート提示情報1050に反映させる。
なお、図16のアラート提示情報1050は、図11のアラート提示情報1001に分析方法1051の行が追加されているが、図10のアラート提示情報1000に分析方法1051の行を追加してもよい。
【0059】
本実施の形態によれば、属性ごとに分析方法が提示されるので、アナリストは効率的にアノマリ分析を行うことができる。
【0060】
実施の形態4.
本実施の形態では、主に実施の形態1との差異を説明する。
なお、以下で説明していない事項は、実施の形態1と同様である。
本実施の形態では、主に実施の形態1との差異を説明する。
なお、以下で説明していない事項は、実施の形態1と同様である。
【0061】
本実施の形態では、特定の期間に行われたアノマリ分析での分析状況に基づき、推奨属性を選択する例を説明する。
【0062】
例えば、企業では、特定の期間に特定のイベントが発生する。例えば、4月又は10月には、人事異動、新入社員の入社などのイベントが発生する。また、例えば、6月には株主総会といったイベントが発生する。
このような特定のイベントが発生する期間では、毎年、同様なアラート情報が発生することが想定される。
そこで、本実施の形態では、分析結果取得部104は、ベース値の算出のための期間を設定する。そして、分析結果取得部104は、期間ごとに、期間内に取得したアラート情報に基づいてベース値を算出する。例えば、分析結果取得部104は、月単位でベース値を算出する。そして、分析結果取得部104は、期間ごとのベース値が示されるベース値情報109を生成し、生成したベース値情報109を分析結果記憶部102に格納する。
本実施の形態では、属性選択部101は、新たなアラート情報107に類似する過去のアラート情報が存在しない場合は、現在に対応する期間のベース値を用いて推奨属性を選択する。例えば、現在が4月であれば、属性選択部101は、同様のイベントが発生していたと考えられる昨年の4月のベース値を用いて、推奨属性を選択する。
このような特定のイベントが発生する期間では、毎年、同様なアラート情報が発生することが想定される。
そこで、本実施の形態では、分析結果取得部104は、ベース値の算出のための期間を設定する。そして、分析結果取得部104は、期間ごとに、期間内に取得したアラート情報に基づいてベース値を算出する。例えば、分析結果取得部104は、月単位でベース値を算出する。そして、分析結果取得部104は、期間ごとのベース値が示されるベース値情報109を生成し、生成したベース値情報109を分析結果記憶部102に格納する。
本実施の形態では、属性選択部101は、新たなアラート情報107に類似する過去のアラート情報が存在しない場合は、現在に対応する期間のベース値を用いて推奨属性を選択する。例えば、現在が4月であれば、属性選択部101は、同様のイベントが発生していたと考えられる昨年の4月のベース値を用いて、推奨属性を選択する。
【0063】
本実施の形態によれば、同様なイベントが発生していたと考えられる期間に収集されたアラート情報に基づくベース値を用いて推奨属性を選択することで、実情に合わせて推奨属性を選択することができる。この結果、アナリストは効率的にアノマリ分析を行うことができる。
【0064】
以上、本発明の実施の形態について説明したが、これらの実施の形態のうち、2つ以上を組み合わせて実施しても構わない。
あるいは、これらの実施の形態のうち、1つを部分的に実施しても構わない。
あるいは、これらの実施の形態のうち、2つ以上を部分的に組み合わせて実施しても構わない。
なお、本発明は、これらの実施の形態に限定されるものではなく、必要に応じて種々の変更が可能である。
例えば、アラート情報107に類似する過去のアラート情報が存在し、類似する過去のアラート情報について「攻撃」と判定されている場合は、アラート提示情報1000に攻撃の進行度を表すフェーズ情報を記載してもよい。また、アラート提示情報1000に攻撃名を記載してもよい。また、過去のアラート情報に含まれる属性と新たなアラート情報107に含まれる属性との間の類似度をアラート提示情報1000に記載してもよい。更に、属性間の類似度を数値で表してもよいし、棒グラフ等で可視化してもよい。
あるいは、これらの実施の形態のうち、1つを部分的に実施しても構わない。
あるいは、これらの実施の形態のうち、2つ以上を部分的に組み合わせて実施しても構わない。
なお、本発明は、これらの実施の形態に限定されるものではなく、必要に応じて種々の変更が可能である。
例えば、アラート情報107に類似する過去のアラート情報が存在し、類似する過去のアラート情報について「攻撃」と判定されている場合は、アラート提示情報1000に攻撃の進行度を表すフェーズ情報を記載してもよい。また、アラート提示情報1000に攻撃名を記載してもよい。また、過去のアラート情報に含まれる属性と新たなアラート情報107に含まれる属性との間の類似度をアラート提示情報1000に記載してもよい。更に、属性間の類似度を数値で表してもよいし、棒グラフ等で可視化してもよい。
【0065】
***ハードウェア構成の補足説明***
最後に、分析補助装置100のハードウェア構成の補足説明を行う。
図2に示すプロセッサ201は、プロセッシングを行うIC(Integrated Circuit)である。
プロセッサ201は、CPU(Central Processing Unit)、DSP(Digital Signal Processor)等である。
図2に示すメモリ202は、RAM(Random Access Memory)である。
図2に示す補助記憶装置204は、ROM(Read Only Memory)、フラッシュメモリ、HDD(Hard Disk Drive)等である。
図2に示す通信インタフェース203は、データの通信処理を実行する電子回路である。
通信インタフェース203は、例えば、通信チップ又はNIC(Network Interface Card)である。
図2に示す入出力インタフェース205は、例えば、ディスプレイ装置、マウス、キーボード、タッチパネル等である。
最後に、分析補助装置100のハードウェア構成の補足説明を行う。
図2に示すプロセッサ201は、プロセッシングを行うIC(Integrated Circuit)である。
プロセッサ201は、CPU(Central Processing Unit)、DSP(Digital Signal Processor)等である。
図2に示すメモリ202は、RAM(Random Access Memory)である。
図2に示す補助記憶装置204は、ROM(Read Only Memory)、フラッシュメモリ、HDD(Hard Disk Drive)等である。
図2に示す通信インタフェース203は、データの通信処理を実行する電子回路である。
通信インタフェース203は、例えば、通信チップ又はNIC(Network Interface Card)である。
図2に示す入出力インタフェース205は、例えば、ディスプレイ装置、マウス、キーボード、タッチパネル等である。
【0066】
補助記憶装置204には、OS(Operating System)も記憶されている。
そして、OSの少なくとも一部がプロセッサ201により実行される。
プロセッサ201はOSの少なくとも一部を実行しながら、属性選択部101、属性提示部103及び分析結果取得部104の機能を実現するプログラムを実行する。
プロセッサ201がOSを実行することで、タスク管理、メモリ管理、ファイル管理、通信制御等が行われる。
また、属性選択部101、属性提示部103及び分析結果取得部104の処理の結果を示す情報、データ、信号値及び変数値の少なくともいずれかが、メモリ202、補助記憶装置204、プロセッサ201内のレジスタ及びキャッシュメモリの少なくともいずれかに記憶される。
また、属性選択部101、属性提示部103及び分析結果取得部104の機能を実現するプログラムは、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD等の可搬記録媒体に格納されていてもよい。そして、属性選択部101、属性提示部103及び分析結果取得部104の機能を実現するプログラムが格納された可搬記録媒体を流通させてもよい。
そして、OSの少なくとも一部がプロセッサ201により実行される。
プロセッサ201はOSの少なくとも一部を実行しながら、属性選択部101、属性提示部103及び分析結果取得部104の機能を実現するプログラムを実行する。
プロセッサ201がOSを実行することで、タスク管理、メモリ管理、ファイル管理、通信制御等が行われる。
また、属性選択部101、属性提示部103及び分析結果取得部104の処理の結果を示す情報、データ、信号値及び変数値の少なくともいずれかが、メモリ202、補助記憶装置204、プロセッサ201内のレジスタ及びキャッシュメモリの少なくともいずれかに記憶される。
また、属性選択部101、属性提示部103及び分析結果取得部104の機能を実現するプログラムは、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD等の可搬記録媒体に格納されていてもよい。そして、属性選択部101、属性提示部103及び分析結果取得部104の機能を実現するプログラムが格納された可搬記録媒体を流通させてもよい。
【0067】
また、属性選択部101、属性提示部103及び分析結果取得部104の「部」を、「回路」又は「工程」又は「手順」又は「処理」に読み替えてもよい。
また、分析補助装置100は、処理回路により実現されてもよい。処理回路は、例えば、ロジックIC(Integrated Circuit)、GA(Gate Array)、ASIC(Application Specific Integrated Circuit)、FPGA(Field-Programmable Gate Array)である。
この場合は、属性選択部101、属性提示部103及び分析結果取得部104は、それぞれ処理回路の一部として実現される。
なお、本明細書では、プロセッサと処理回路との上位概念を、「プロセッシングサーキットリー」という。
つまり、プロセッサと処理回路とは、それぞれ「プロセッシングサーキットリー」の具体例である。
また、分析補助装置100は、処理回路により実現されてもよい。処理回路は、例えば、ロジックIC(Integrated Circuit)、GA(Gate Array)、ASIC(Application Specific Integrated Circuit)、FPGA(Field-Programmable Gate Array)である。
この場合は、属性選択部101、属性提示部103及び分析結果取得部104は、それぞれ処理回路の一部として実現される。
なお、本明細書では、プロセッサと処理回路との上位概念を、「プロセッシングサーキットリー」という。
つまり、プロセッサと処理回路とは、それぞれ「プロセッシングサーキットリー」の具体例である。
【符号の説明】
【0068】
100 分析補助装置、101 属性選択部、102 分析結果記憶部、103 属性提示部、104 分析結果取得部、106 対象システムログ、107 アラート情報、108 分析結果情報、109 ベース値情報、110 相関値情報、201 プロセッサ、202 メモリ、203 通信インタフェース、204 補助記憶装置、205 入出力インタフェース、301 監視対象システム、302 ログ採取装置、303 アノマリ検知装置、304 類似度判定部、700 分析結果入力画面、750 分析結果入力画面、1000 アラート提示情報、1001 アラート提示情報、1050 アラート提示情報。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】