知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-03-18
(45)【発行日】2024-03-27
(54)【発明の名称】処理装置、処理方法、及び制御プログラム
(51)【国際特許分類】
G06F 21/55 20130101AFI20240319BHJP
H04L 67/75 20220101ALI20240319BHJP
H04L 43/062 20220101ALI20240319BHJP
【FI】
G06F21/55
H04L67/75
H04L43/062
【請求項の数】
12
(21)【出願番号】P 2022545003
(86)(22)【出願日】2020-08-27
(86)【国際出願番号】 JP2020032386
(87)【国際公開番号】W WO2022044207
(87)【国際公開日】2022-03-03
【審査請求日】2023-02-10
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100103894
【弁理士】
【氏名又は名称】家入 健
(72)【発明者】
【氏名】蛭田 将平
(72)【発明者】
【氏名】池田 聡
【審査官】土谷 慎吾
(56)【参考文献】
【文献】米国特許出願公開第2015/0007314(US,A1)
【文献】稲垣 洋介,外2名,“誤警報を削減し未知のDoS攻撃を検知するNIDS”,情報処理学会研究報告,日本,一般社団法人情報処理学会,2003年12月19日,Vol. 2003, No.126,p.13-18
【文献】佐々木 大寿,外3名,“パケット到着率に基づくDoS攻撃の検知手法に関する研究”,電子情報通信学会2005年通信ソサイエティ大会講演論文集,日本,一般社団法人電子情報通信学会,2005年09月07日,p.129
【文献】浦川 順平,外3名,“日本国内におけるDDoS攻撃の傾向分析”,2017年 暗号と情報セキュリティシンポジウム(SCIS2017)予稿集,日本,一般社団法人電子情報通信学会,2017年,p.1-8
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/55
H04L 67/75
H04L 43/062
(57)【特許請求の範囲】
【請求項1】
ネットワーク内の機器への失敗した攻撃に対応する複数の攻撃失敗トラフィックのそれぞれの第1種伝送実績指標の値及び第2種伝送実績指標の値、並びに、成功した攻撃に対応する複数の攻撃成功トラフィックのそれぞれの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値を取得する第1取得手段と、前記複数の攻撃失敗トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値、並びに、前記複数の攻撃成功トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値に基づいて、前記第1種伝送実績指標及び前記第2種伝送実績指標を2つの座標軸とする座標平面における、攻撃失敗エリア及び攻撃成功エリアを含む複数のエリアに関する情報を含む第1被攻撃分布情報を形成する分布形成手段と、
を具備する処理装置。
【請求項2】
請求項1記載の処理装置であって、前記分布形成手段は、
前記複数の攻撃失敗トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値に基づいて、前記攻撃失敗トラフィックについての前記座標平面における攻撃失敗確率密度の分布を算出すると共に、前記複数の攻撃成功トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値に基づいて、前記攻撃成功トラフィックについての前記座標平面における攻撃成功確率密度の分布を算出する確率密度分布算出手段と、
前記座標平面における各単位エリアを、各単位エリアの前記攻撃失敗確率密度及び前記攻撃成功確率密度のそれぞれとエリア判定閾値との大小に基づいて、攻撃失敗エリア、攻撃成功エリア、及び、攻撃未確認エリアのいずれかに割り振り、各単位エリアと各単位エリアに割り振られたエリア種別とを対応づけることにより、前記第1被攻撃分布情報を形成するエリア特定手段と、
を具備する、
処理装置。
【請求項3】
請求項2に記載の処理装置であって、前記ネットワーク内の機器への攻撃を検知するネットワーク型侵入検知装置から通知された第1セキュリティアラートに関連する複数の第1トラフィックフローの伝送実績を取得する第2取得手段を更に具備し、
前記第1被攻撃分布情報は、前記ネットワーク型侵入検知装置から通知された第2セキュリティアラートに関連し、
前記分布形成手段は、前記取得された複数の第1トラフィックフローの伝送実績に基づいて、各第1トラフィックフローの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値を算出し、算出された各第1トラフィックフローの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値に基づいて、前記座標平面における前記第1セキュリティアラートに関連する攻撃確認エリアに関する情報を含む第2被攻撃分布情報を形成し、
前記処理装置は、前記第1被攻撃分布情報と前記第2被攻撃分布情報とに基づいて、前記第1セキュリティアラートの優先度を判定する優先度判定手段を更に具備する、
処理装置。
【請求項4】
請求項3記載の処理装置であって、前記優先度判定手段は、
前記第2被攻撃分布情報が示す前記攻撃確認エリアの少なくとも一部が、前記第1被攻撃分布情報が示す前記攻撃成功エリアと重なる場合、前記第1セキュリティアラートに第1優先度を割り当て、
前記第2被攻撃分布情報が示す前記攻撃確認エリアと前記第1被攻撃分布情報が示す前記攻撃成功エリアとが重ならない場合、前記攻撃確認エリアにおいて前記攻撃失敗エリアと重ならない部分エリアの割合を算出し、
前記算出した割合が優先度判定閾値より大きい場合、前記第1セキュリティアラートに第2優先度を割り当て、
前記算出した割合が優先度判定閾値以下である場合、前記第1セキュリティアラートに第3優先度を割り当て、
前記第1優先度は、前記第2優先度と等しいか又は前記第2優先度よりも優先度が高く、
前記第3優先度は、前記第1優先度及び前記第2優先度のいずれよりも優先度が低い、
処理装置。
【請求項5】
請求項3又は4に記載の処理装置であって、前記第1セキュリティアラートの優先度及び前記第1セキュリティアラートに関連する前記複数の第1トラフィックフローに関する情報を表示手段に表示させる表示制御手段と、
前記表示された複数の第1トラフィックフローのそれぞれによる攻撃の成否を示すフィードバック信号を受け付ける受付手段と、
を具備する、
処理装置。
【請求項6】
請求項5記載の処理装置であって、前記複数の攻撃失敗トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値を保持する第1テーブル、並びに、前記複数の攻撃成功トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値を保持する第2テーブルは、記憶手段に記憶され、
前記処理装置は、前記フィードバック信号によって攻撃の成功が示された第1トラフィックフローの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値を用いて、前記第2テーブルを更新すると共に、前記フィードバック信号によって攻撃の失敗が示された第1トラフィックフローの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値を用いて、前記第1テーブルを更新する第1更新手段を更に具備する、
処理装置。
【請求項7】
請求項6記載の処理装置であって、前記分布形成手段は、前記形成した第1被攻撃分布情報を前記記憶手段へ出力することにより前記記憶手段に記憶させ、
前記処理装置は、前記更新後の第1テーブル及び前記更新後の第2テーブルに基づいて、前記記憶された第1被攻撃分布情報を更新する第2更新手段を更に具備する、
処理装置。
【請求項8】
請求項1記載の処理装置であって、前記座標平面において前記複数のエリアを互いに異なる態様で表示手段に表示させる表示制御手段を更に具備する、
処理装置。
【請求項9】
請求項2記載の処理装置であって、前記ネットワーク内の機器への攻撃を検知するネットワーク型侵入検知装置から通知された第1セキュリティアラートに関連する複数の第1トラフィックフローの伝送実績を取得する第2取得手段を更に具備し、
前記第1被攻撃分布情報は、前記ネットワーク型侵入検知装置から通知された第2セキュリティアラートに関連し、
前記分布形成手段は、前記取得された複数の第1トラフィックフローの伝送実績に基づいて、各第1トラフィックフローの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値を算出し、算出された各第1トラフィックフローの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値に基づいて、前記座標平面における前記第1セキュリティアラートに関連する攻撃確認エリアに関する情報を含む第2被攻撃分布情報を形成し、
前記処理装置は、前記座標平面において前記攻撃失敗エリア、前記攻撃成功エリア、及び、前記攻撃未確認エリアを互いに異なる態様で表示手段に表示させる第1表示態様、前記座標平面において前記攻撃確認エリアを前記表示手段に表示させる第2表示態様、並びに、前記座標平面において前記攻撃失敗エリア、前記攻撃成功エリア、前記攻撃未確認エリア、及び、前記攻撃確認エリアを前記表示手段に表示させる第3表示態様のうちで、前記表示手段による表示態様を制御する表示制御手段を更に具備する、
処理装置。
【請求項10】
ネットワーク内の機器への攻撃を検知するネットワーク型侵入検知装置から通知された第1セキュリティアラートに関連する複数の第1トラフィックフローの伝送実績を取得する取得手段と、前記取得された複数の第1トラフィックフローの伝送実績に基づいて、各第1トラフィックフローの第1種伝送実績指標の値及び第2種伝送実績指標の値を算出し、算出された各第1トラフィックフローの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値に基づいて、前記第1種伝送実績指標及び前記第2種伝送実績指標を2つの座標軸とする座標平面におけるエリアであって前記第1セキュリティアラートに関連する攻撃確認エリアに関する情報を含む第2被攻撃分布情報を形成する分布形成手段と、
前記第2被攻撃分布情報と、前記座標平面における攻撃失敗エリア及び攻撃成功エリアを含む複数のエリアに関する情報を含む第1被攻撃分布情報とに基づいて、前記第1セキュリティアラートの優先度を判定する優先度判定手段と、
を具備する処理装置。
【請求項11】
ネットワーク内の機器への失敗した攻撃に対応する複数の攻撃失敗トラフィックのそれぞれの第1種伝送実績指標の値及び第2種伝送実績指標の値、並びに、成功した攻撃に対応する複数の攻撃成功トラフィックのそれぞれの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値を取得すること、及び、前記複数の攻撃失敗トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値、並びに、前記複数の攻撃成功トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値に基づいて、前記第1種伝送実績指標及び前記第2種伝送実績指標を2つの座標軸とする座標平面における、攻撃失敗エリア及び攻撃成功エリアを含む複数のエリアに関する情報を含む第1被攻撃分布情報を形成すること、
を含む処理方法。
【請求項12】
ネットワーク内の機器への失敗した攻撃に対応する複数の攻撃失敗トラフィックのそれぞれの第1種伝送実績指標の値及び第2種伝送実績指標の値、並びに、成功した攻撃に対応する複数の攻撃成功トラフィックのそれぞれの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値を取得すること、及び、前記複数の攻撃失敗トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値、並びに、前記複数の攻撃成功トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値に基づいて、前記第1種伝送実績指標及び前記第2種伝送実績指標を2つの座標軸とする座標平面における、攻撃失敗エリア及び攻撃成功エリアを含む複数のエリアに関する情報を含む第1被攻撃分布情報を形成すること、
を含む、処理を処理装置に実行させる制御プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、処理装置、処理方法、及び制御プログラムが格納された非一時的なコンピュータ可読媒体に関する。
【背景技術】
【0002】
企業等を含む多く組織は、サイバー攻撃から組織の重要情報を守るために、SOC(Security Operation Center)を組織し、又は、外部のSOCサービスを利用している。SOCとは、情報セキュリティ機器及びサーバなどが生成するログを分析し、サイバー攻撃の検出及び通知を行う組織である。
【0003】
SOCで使用されている情報セキュリティ機器の1つに、ネットワーク型の侵入検知システム(IDS:Intrusion Detection System)がある。ネットワーク型の侵入検知システムは、ネットワーク上に存在する機器への攻撃を検知し、分析者にセキュリティアラートを通知する装置である。分析者は、セキュリティアラートに基づいて、攻撃を受けた機器をネットワークから切断するといった対策を講じている。
【0004】
関連する技術として、アラート情報とその重要度とを分析者に提示する装置が提案されている(例えば、特許文献1)。
【先行技術文献】
【特許文献】
【0005】
【文献】国際公開第2016/092834号
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明者は、特許文献1に開示されている装置が提示するアラート情報及びその重要度だけでは攻撃の分析に用いる情報が不十分である可能性があることを見出した。
【0007】
本開示の目的は、ネットワーク機器への攻撃についての分析に有用な情報を形成することができる、処理装置、処理方法、及び制御プログラムが格納された非一時的なコンピュータ可読媒体を提供することにある。
【課題を解決するための手段】
【0008】
第1の態様にかかる処理装置は、ネットワーク内の機器への失敗した攻撃に対応する複数の攻撃失敗トラフィックのそれぞれの第1種伝送実績指標の値及び第2種伝送実績指標の値、並びに、成功した攻撃に対応する複数の攻撃成功トラフィックのそれぞれの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値を取得する第1取得手段と、
前記複数の攻撃失敗トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値、並びに、前記複数の攻撃成功トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値に基づいて、前記第1種伝送実績指標及び前記第2種伝送実績指標を2つの座標軸とする座標平面における、攻撃失敗エリア及び攻撃成功エリアを含む複数のエリアに関する情報を含む第1被攻撃分布情報を形成する分布形成手段と、
を具備する。
前記複数の攻撃失敗トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値、並びに、前記複数の攻撃成功トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値に基づいて、前記第1種伝送実績指標及び前記第2種伝送実績指標を2つの座標軸とする座標平面における、攻撃失敗エリア及び攻撃成功エリアを含む複数のエリアに関する情報を含む第1被攻撃分布情報を形成する分布形成手段と、
を具備する。
【0009】
第2の態様にかかる処理装置は、ネットワーク内の機器への攻撃を検知するネットワーク型侵入検知装置から通知された第1セキュリティアラートに関連する複数の第1トラフィックフローの伝送実績を取得する取得手段と、
前記取得された複数の第1トラフィックフローの伝送実績に基づいて、各第1トラフィックフローの第1種伝送実績指標の値及び第2種伝送実績指標の値を算出し、算出された各第1トラフィックフローの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値に基づいて、前記第1種伝送実績指標及び前記第2種伝送実績指標を2つの座標軸とする座標平面におけるエリアであって前記第1セキュリティアラートに関連する攻撃確認エリアに関する情報を含む第2被攻撃分布情報を形成する分布形成手段と、
前記第2被攻撃分布情報と、前記座標平面における攻撃失敗エリア及び攻撃成功エリアを含む複数のエリアに関する情報を含む第1被攻撃分布情報とに基づいて、前記第1セキュリティアラートの優先度を判定する優先度判定手段と、
を具備する。
前記取得された複数の第1トラフィックフローの伝送実績に基づいて、各第1トラフィックフローの第1種伝送実績指標の値及び第2種伝送実績指標の値を算出し、算出された各第1トラフィックフローの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値に基づいて、前記第1種伝送実績指標及び前記第2種伝送実績指標を2つの座標軸とする座標平面におけるエリアであって前記第1セキュリティアラートに関連する攻撃確認エリアに関する情報を含む第2被攻撃分布情報を形成する分布形成手段と、
前記第2被攻撃分布情報と、前記座標平面における攻撃失敗エリア及び攻撃成功エリアを含む複数のエリアに関する情報を含む第1被攻撃分布情報とに基づいて、前記第1セキュリティアラートの優先度を判定する優先度判定手段と、
を具備する。
【0010】
第3の態様にかかる処理方法は、ネットワーク内の機器への失敗した攻撃に対応する複数の攻撃失敗トラフィックのそれぞれの第1種伝送実績指標の値及び第2種伝送実績指標の値、並びに、成功した攻撃に対応する複数の攻撃成功トラフィックのそれぞれの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値を取得すること、及び、
前記複数の攻撃失敗トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値、並びに、前記複数の攻撃成功トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値に基づいて、前記第1種伝送実績指標及び前記第2種伝送実績指標を2つの座標軸とする座標平面における、攻撃失敗エリア及び攻撃成功エリアを含む複数のエリアに関する情報を含む第1被攻撃分布情報を形成すること、
を含む。
前記複数の攻撃失敗トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値、並びに、前記複数の攻撃成功トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値に基づいて、前記第1種伝送実績指標及び前記第2種伝送実績指標を2つの座標軸とする座標平面における、攻撃失敗エリア及び攻撃成功エリアを含む複数のエリアに関する情報を含む第1被攻撃分布情報を形成すること、
を含む。
【0011】
第4の態様にかかる非一時的なコンピュータ可読媒体は、ネットワーク内の機器への失敗した攻撃に対応する複数の攻撃失敗トラフィックのそれぞれの第1種伝送実績指標の値及び第2種伝送実績指標の値、並びに、成功した攻撃に対応する複数の攻撃成功トラフィックのそれぞれの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値を取得すること、及び、
前記複数の攻撃失敗トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値、並びに、前記複数の攻撃成功トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値に基づいて、前記第1種伝送実績指標及び前記第2種伝送実績指標を2つの座標軸とする座標平面における、攻撃失敗エリア及び攻撃成功エリアを含む複数のエリアに関する情報を含む第1被攻撃分布情報を形成すること、
を含む、処理を処理装置に実行させる制御プログラムを格納している。
前記複数の攻撃失敗トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値、並びに、前記複数の攻撃成功トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値に基づいて、前記第1種伝送実績指標及び前記第2種伝送実績指標を2つの座標軸とする座標平面における、攻撃失敗エリア及び攻撃成功エリアを含む複数のエリアに関する情報を含む第1被攻撃分布情報を形成すること、
を含む、処理を処理装置に実行させる制御プログラムを格納している。
【発明の効果】
【0012】
本開示により、ネットワーク機器への攻撃についての分析に有用な情報を形成することができる、処理装置、処理方法、及び制御プログラムが格納された非一時的なコンピュータ可読媒体を提供することができる。
【図面の簡単な説明】
【0013】
【図1】第1実施形態における処理装置の一例を示すブロック図である。
【図2】第2実施形態における処理装置の一例を示すブロック図である。
【図3】第1テーブルの一例を示す図である。
【図4】第2テーブルの一例を示す図である。
【図5】確率密度分布の生成の説明に供する図である。
【図6】エリアテーブルの一例を示す図である。
【図7】第2実施形態における処理装置の処理動作の一例を示すフローチャートである。
【図8】第2実施形態における処理装置の処理動作の一例を示すフローチャートである。
【図9】第3実施形態におけるシステムの一例を示す図である。
【図10】アラート情報テーブルの一例を示す図である。
【図11】トラフィック情報テーブルの一例を示す図である。
【図12】第3実施形態における処理装置の一例を示すブロック図である。
【図13】第3実施形態における処理装置の処理動作の一例を示すフローチャートである。
【図14】第3実施形態における処理装置の処理動作の一例を示すフローチャートである。
【図15】第3実施形態における処理装置の処理動作の一例を示すフローチャートである。
【図16】第4実施形態における処理装置の一例を示すブロック図である。
【図17】表示の一例を示す図である。
【図18】第5実施形態における処理装置の一例を示すブロック図である。
【図19】第5実施形態における表示態様の一例を示す図である。
【図20】第6実施形態における処理装置の一例を示すブロック図である。
【図21】表示態様の切り替えの説明に供する図である。
【図22】ポップアップ表示の説明に供する図である。
【図23】ポップアップ表示の説明に供する図である。
【図24】ポップアップ表示の説明に供する図である。
【図25】ポップアップ表示の説明に供する図である。
【図26】第7実施形態における処理装置の一例を示すブロック図である。
【図27】処理装置のハードウェア構成例を示す図である。
【発明を実施するための形態】
【0014】
以下、図面を参照しつつ、実施形態について説明する。なお、実施形態において、同一又は同等の要素には、同一の符号を付し、重複する説明は省略される。
【0015】
【0016】
取得部11は、ネットワーク内の機器(不図示)への失敗した攻撃に対応する複数のトラフィック(以下では、「攻撃失敗トラフィック」と呼ぶことがある)のそれぞれの第1種伝送実績指標の値及び第2種伝送実績指標の値を取得する。また、取得部11は、ネットワーク内の機器(不図示)への成功した攻撃に対応する複数のトラフィック(以下では、「攻撃成功トラフィック」と呼ぶことがある)のそれぞれの第1種伝送実績指標の値及び第2種伝送実績指標の値を取得する。第1種伝送実績指標は、例えば、トラフィックについての単位時間当たりの送信バイト数の対数(常用対数又は自然対数)であってもよい。また、第2種伝送実績指標は、トラフィックについての単位時間当たりの受信バイト数の対数(常用対数又は自然対数)であってもよい。
【0017】
分布形成部12は、取得部11にて取得された上記の情報に基づいて、「第1被攻撃分布情報」を形成する。「第1被攻撃分布情報」は、第1種伝送実績指標及び第2種伝送実績指標を2つの座標軸とする座標平面における、「攻撃失敗エリア(セーフエリア)」及び「攻撃成功エリア(クリティカルエリア)」を含む複数のエリアに関する情報を含む。「攻撃失敗エリア」は、上記の座標平面におけるエリアであって攻撃が失敗する又は失敗する可能性が高いトラフィック伝送実績に対応するエリアである。「攻撃成功エリア」は、上記の座標平面におけるエリアであって攻撃が成功する又は成功する可能性が高いトラフィック伝送実績に対応するエリアである。
【0018】
以上で説明した処理装置10の構成により、「第1被攻撃分布情報」を形成することができる。「第1被攻撃分布情報」は、上記の通り、第1種伝送実績指標及び第2種伝送実績指標を2つの座標軸とする座標平面における、「攻撃失敗エリア」及び「攻撃成功エリア」に関する情報を含んでいる。上記の座標平面における「攻撃失敗エリア」及び「攻撃成功エリア」に関する情報は、攻撃の成否の傾向を分析する上で有用な情報である。すなわち、以上で説明した処理装置10の構成により、ネットワーク機器への攻撃についての分析に有用な情報を形成することができる。
【0019】
なお、上記の処理装置10は、ネットワーク内の機器への失敗した攻撃に対応する複数の攻撃失敗トラフィックのそれぞれの第1種伝送実績指標の値及び第2種伝送実績指標の値、並びに、成功した攻撃に対応する複数の攻撃成功トラフィックのそれぞれの第1種伝送実績指標の値及び第2種伝送実績指標の値を取得することと、複数の攻撃失敗トラフィックの第1種伝送実績指標の値及び第2種伝送実績指標の値、並びに、複数の攻撃成功トラフィックの第1種伝送実績指標の値及び第2種伝送実績指標の値に基づいて、第1種伝送実績指標及び第2種伝送実績指標を2つの座標軸とする座標平面における、攻撃失敗エリア及び攻撃成功エリアを含む複数のエリアに関する情報を含む第1被攻撃分布情報を形成することと、を含む処理方法を実行している。
【0020】
また、以上の説明では、第1種伝送実績指標及び第2種伝送実績指標という2つのパラメータに着目したが、本開示はこれに限定されるものではない。すなわち、「第1被攻撃分布情報」は、第1種伝送実績指標及び第2種伝送実績指標を含む3つ以上のパラメータに対応する複数の座標軸により規定される座標空間における、「攻撃失敗スペース(セーフスペース)」及び「攻撃成功スペース(クリティカルスペース)」を含む複数のスペースに関する情報を含んでいてもよい。この場合でも、「第1被攻撃分布情報」は、第1種伝送実績指標及び第2種伝送実績指標を2つの座標軸とする座標平面における、「攻撃失敗エリア(セーフエリア)」及び「攻撃成功エリア(クリティカルエリア)」を含む複数のエリアに関する情報を含んでいる。
【0021】
<第2実施形態>
第2実施形態は、「第1被攻撃分布情報」の具体的な形成方法の一例に関する。
第2実施形態は、「第1被攻撃分布情報」の具体的な形成方法の一例に関する。
【0022】
<処理装置の構成例>
図2は、第2実施形態における処理装置の一例を示すブロック図である。図2において処理装置20は、取得部11と、記憶部21と、分布形成部22とを有している。なお、ここでは、記憶部21が処理装置20に含まれるものとして説明するが、本実施形態はこれに限定されるものではなく、記憶部21は、処理装置20と別体で且つ処理装置20に接続された装置として構成されてもよい。
図2は、第2実施形態における処理装置の一例を示すブロック図である。図2において処理装置20は、取得部11と、記憶部21と、分布形成部22とを有している。なお、ここでは、記憶部21が処理装置20に含まれるものとして説明するが、本実施形態はこれに限定されるものではなく、記憶部21は、処理装置20と別体で且つ処理装置20に接続された装置として構成されてもよい。
【0023】
記憶部21は、第1テーブル(分布生成用レコードテーブル)21Aと、第2テーブル(クリティカルエリア生成用レコードテーブル)21Bとを記憶している。
【0024】
【0025】
図3に示すように第1テーブル21Aの複数のエントリ(複数の情報ユニット)は、それぞれ、攻撃失敗トラフィックに対応する。各エントリは、対応する攻撃失敗トラフィックに関係するセキュリティアラートのシグネチャID(SID)と、対応する攻撃失敗トラフィックに関する、宛先IPアドレス(Dst IP)と、宛先ポート番号(Dst Port)と、第1種伝送実績指標の値(Record 1)と、第2種伝送実績指標の値(Record 2)とを対応づけた状態で保持している。
【0026】
図4に示すように第2テーブル21Bの複数のエントリ(複数の情報ユニット)は、それぞれ、攻撃成功トラフィックに対応する。各エントリは、対応する攻撃成功トラフィックに関係するセキュリティアラートのシグネチャID(SID)と、対応する攻撃成功トラフィックに関する、宛先IPアドレス(Dst IP)と、宛先ポート番号(Dst Port)と、第1種伝送実績指標の値(Record 1)と、第2種伝送実績指標の値(Record 2)とを対応づけた状態で保持している。
【0027】
取得部11は、取得対象の組み合わせ(つまり、シグネチャID、宛先IPアドレス、及び、宛先ポート番号の組み合わせ)に対応する複数のエントリを第1テーブル21Aから取得する。また、取得部11は、上記の取得対象の組み合わせに対応する複数のエントリを第2テーブル21Bから取得する。すなわち、取得部11は、シグネチャID、宛先IPアドレス、及び、宛先ポート番号の組み合わせが共通する複数のエントリを1つの取得単位として取得する。なお、宛先IPアドレス及び宛先ポート番号を纏めて、「宛先情報」と呼ぶことができる。
【0028】
分布形成部22は、第1実施形態の分布形成部12と同様に、取得部11にて取得された上記の情報に基づいて、「第1被攻撃分布情報」を形成する。上記の通り、取得部11はシグネチャID、宛先IPアドレス、及び、宛先ポート番号の組み合わせが共通する複数のエントリを1つの取得単位として取得するので、分布形成部22は、シグネチャID、宛先IPアドレス、及び、宛先ポート番号の組み合わせについての「第1被攻撃分布情報」を形成する。
【0029】
例えば、分布形成部22は、確率密度分布算出部22Aと、エリア特定部22Bとを有する。
【0030】
確率密度分布算出部22Aは、複数の攻撃失敗トラフィックの第1種伝送実績指標の値及び第2種伝送実績指標の値に基づいて、攻撃失敗トラフィックについての上記の座標平面における「攻撃失敗確率密度」の分布を算出する。また、確率密度分布算出部22Aは、複数の攻撃成功トラフィックの第1種伝送実績指標の値及び第2種伝送実績指標の値に基づいて、攻撃成功トラフィックについての上記の座標平面における「攻撃成功確率密度」の分布を算出する。
【0031】
確率密度の算出には、Kernel density estimation(KDE)を用いることができる。すなわち、例えば、下記の式(1)を用いて、攻撃失敗確率密度f(x)を算出することができる。なお、攻撃成功確率密度fcri(x)も同様に算出することができる。
【0032】
【数1】
【0033】
ここで、式(1)において、xiは、攻撃失敗トラフィックのd次元の実績指標であり、nは、攻撃失敗トラフィックの要素数であり、hは、バンド幅であり、Kは、カーネル関数である。
【0034】
図5は、確率密度分布の生成の説明に供する図である。まず、上記の座標平面における格子点の集合gridが、例えば、次の式(2)のように定義される。すなわち、上記の座標平面を規定する2つの軸のそれぞれについて、0から1まで0.025刻みで格子点が定義される。以下では、各格子点を中心とした0.025×0.025の矩形エリアを「単位エリア」と呼ぶことがある。なお、ここでは、各格子点を中心とした0.025×0.025の矩形エリアを「単位エリア」としたが、これに限定されるものではなく、隣接する4つの格子点によって囲まれるエリアを「単位エリア」としてもよい。
【0035】
【数2】
【0036】
図5の右図に示すように、或る攻撃失敗トラフィックの第1種伝送実績指標の値及び第2種伝送実績指標の値に対応する点が一の単位エリア内に存在する場合、生成される分布では、その一の単位エリアの確率密度が最も高く、その一の単位エリアから離れるにつれて確率密度が低くなっていく。なお、或る攻撃失敗トラフィックの第1種伝送実績指標の値及び第2種伝送実績指標の値を式(1)のxiに代入し、式(2)で定義された格子点の集合の各格子点を式(1)のxに代入することで、図5の右図のような確率密度分布を求めることができる。
【0037】
エリア特定部22Bは、上記の座標平面における各単位エリアを、各単位エリアの攻撃失敗確率密度及び攻撃成功確率密度のそれぞれとエリア判定閾値Thareaとの大小に基づいて、攻撃失敗エリア(セーフエリア)、攻撃成功エリア(クリティカルエリア)、及び、攻撃未確認エリア(アンノウンエリア)のいずれかに割り振る。そして、エリア特定部22Bは、各単位エリアと各単位エリアに割り振られたエリア種別(エリアラベル)とを対応づけることにより、「第1被攻撃分布情報」を形成する。
【0038】
例えば、エリア特定部22Bは、上記の座標平面における各格子点について、fcri(x)>Thareaを満たす格子点に対してエリア種別「クリティカルエリア」を付与する。また、エリア特定部22Bは、上記の座標平面における各格子点について、f(x)>Thareaを満たす格子点に対してエリア種別「セーフエリア」を付与する。ここで、エリア特定部22Bは、fcri(x)>Tharea及びf(x)>Thareaの両方を満たす格子点に対しては、エリア種別「クリティカルエリア」を付与してもよい。また、エリア特定部22Bは、fcri(x)≦Tharea及びf(x)≦Thareaの両方を満たす格子点に対してはエリア種別「アンノウンエリア」を付与する。
【0039】
エリア特定部22Bは、形成した「第1被攻撃分布情報」を記憶部21へ出力することにより、「第1被攻撃分布情報(エリアテーブル21C)」を記憶部21に記憶させる。
【0040】
図6は、エリアテーブルの一例を示す図である。図6に示すようにエリアテーブル21Cの複数のエントリ(複数の情報ユニット)は、それぞれ、上記の座標平面の格子点に対応する。各エントリは、シグネチャID、宛先IPアドレス、及び宛先ポート番号の組み合わせと、格子点の座標(Grid 1, Grid 2)と、エリア種別(Area)とを対応づけた状態で保持している。シグネチャID、宛先IPアドレス、及び宛先ポート番号の組み合わせ毎に、エリアテーブル21Cは記憶される。
【0041】
<処理装置の動作例>
以上の構成を有する処理装置20の処理動作の一例について説明する。図7,8は、第2実施形態における処理装置の処理動作の一例を示すフローチャートである。図7,8のフローチャートは、シグネチャID、宛先IPアドレス、及び、宛先ポート番号の組み合わせ毎に実行される。
以上の構成を有する処理装置20の処理動作の一例について説明する。図7,8は、第2実施形態における処理装置の処理動作の一例を示すフローチャートである。図7,8のフローチャートは、シグネチャID、宛先IPアドレス、及び、宛先ポート番号の組み合わせ毎に実行される。
【0042】
取得部11は、取得対象の組み合わせに対応する複数のエントリを第1テーブル及び第2テーブルから取得する(ステップS101)。
【0043】
確率密度分布算出部22Aは、複数の攻撃失敗トラフィックの第1種伝送実績指標の値及び第2種伝送実績指標の値に基づいて、攻撃失敗確率密度f(x)を算出する(ステップS102)。また、確率密度分布算出部22Aは、複数の攻撃成功トラフィックの第1種伝送実績指標の値及び第2種伝送実績指標の値に基づいて、攻撃成功確率密度fcri(x)を算出する(ステップS102)。
【0044】
エリア特定部22Bは、各格子点(つまり、各単位エリア)に対してエリアラベルを割り当てる「ラベル割当処理」を実行する(ステップS103)。図8には「ラベル割当処理」の一例が示されている。
【0045】
図8に示すように、エリア特定部22Bは、処理対象の格子点(つまり、単位エリア)を1つ選択する(ステップS111)。
【0046】
エリア特定部22Bは、処理対象格子点に対応する攻撃成功確率密度fcri(x)の値がエリア判定閾値Tharea以下であるか否かを判定する(ステップS112)。
【0047】
処理対象格子点に対応する攻撃成功確率密度fcri(x)の値がエリア判定閾値Thareaより大きい場合(ステップS112NO)、エリア特定部22Bは、処理対象格子点に対してエリアラベル「クリティカルエリア」を割り当てる(ステップS113)。
【0048】
エリア特定部22Bは、全ての格子点を処理対象として選択したか否かを判定する(ステップS114)。全ての格子点を処理対象として選択した場合(ステップS114YES)、「ラベル割当処理」は終了する。
【0049】
まだ処理対象として選択していない格子点が存在する場合(ステップS114NO)、エリア特定部22Bは、まだ選択されていない格子点を処理対象格子点として選択する(ステップS111)。
【0050】
処理対象格子点に対応する攻撃成功確率密度fcri(x)の値がエリア判定閾値Tharea以下である場合(ステップS112YES)、エリア特定部22Bは、処理対象格子点に対応する攻撃失敗確率密度f(x)がエリア判定閾値Tharea以下であるか否かを判定する(ステップS115)。
【0051】
処理対象格子点に対応する攻撃失敗確率密度f(x)がエリア判定閾値Thareaより大きい場合(ステップS115NO)、エリア特定部22Bは、処理対象格子点に対してエリアラベル「セーフエリア」を割り当てる(ステップS116)。そして、処理ステップは、ステップS114へ移る。
【0052】
処理対象格子点に対応する攻撃成功確率密度fcri(x)の値がエリア判定閾値Tharea以下である場合(ステップS115YES)、エリア特定部22Bは、処理対象格子点に対してエリアラベル「アンノウンエリア」を割り当てる(ステップS117)。そして、処理ステップは、ステップS114へ移る。
【0053】
図7の説明に戻り、エリア特定部22Bは、形成した「第1被攻撃分布情報」を記憶部21へ出力することにより、「第1被攻撃分布情報(エリアテーブル21C)」を記憶部21に記憶させる(ステップS104)。
【0054】
<第3実施形態>
第3実施形態は、「第1被攻撃分布情報」を用いた、セキュリティアラートの「優先度判定」に関する。
第3実施形態は、「第1被攻撃分布情報」を用いた、セキュリティアラートの「優先度判定」に関する。
【0055】
【0056】
IDS30は、インターネットとイントラネットとの境界を流れるトラフィックフローを監視して、イントラネット内の機器への攻撃を検知する。そして、該攻撃が検知された場合、ネットワーク型進入検知装置20は、アラート対象フローの「フロー特定情報」及び「検知時刻」を含むセキュリティアラートを記憶装置40へ送出する。「フロー特定情報」は、例えば、アラート対象フローの「シグネチャID」、「送信元情報」、及び「宛先情報」である。「送信元情報」は、例えば、送信元IPアドレス(Src IP)、及び送信元ポート番号(Src Port)である。「宛先情報」は、例えば、宛先IPアドレス及び宛先ポート番号である。なお、以下では、アラート対象フローの「フロー特定情報」及び「検知時刻」をまとめて「アラート情報」と呼ぶことがある。
【0057】
アラート対象フローの「アラート情報」は、記憶装置40に記憶されているアラート情報テーブル40Aの1つのエントリとして、アラート情報テーブル40Aに保持される。図10は、アラート情報テーブルの一例を示す図である。
【0058】
また、IDS30は、インターネットとイントラネットとの境界を流れるトラフィックフローを監視して、各トラフィックフローの「トラフィック情報」を記憶装置40へ送出する。この「トラフィック情報」は、例えば、「フロー特定情報」、「通信時刻」、「伝送実績」、及び「通信時間(Duratioin)」を含む。「フロー特定情報」は、例えば、「送信元情報」、及び「宛先情報」である。「送信元情報」は、例えば、送信元IPアドレス(Src IP)、及び送信元ポート番号(Src Port)である。「宛先情報」は、例えば、宛先IPアドレス及び宛先ポート番号である。「伝送実績」は、送信実績(例えば、送信バイト(Bytes Sent))及び受信実績(例えば、受信バイト(Byte Received))である。なお、ここでは、IDS30がトラフィックフローを監視してトラフィック情報を送出するものとして説明したが、本開示はこれに限定されるものではない。システム1にIDS30と異なる装置(例えば、フロー監視装置)を設け、この装置が、トインターネットとイントラネットとの境界を流れるトラフィックフローを監視して、各トラフィックフローの「トラフィック情報」を記憶装置40へ送出してもよい。
【0059】
「トラフィック情報」は、記憶装置40に記憶されているトラフィック情報テーブル40Bの1つのエントリとして、トラフィック情報テーブル40Bに保持される。図11は、トラフィック情報テーブルの一例を示す図である。
【0060】
記憶装置40は、上記のアラート情報テーブル40A及びトラフィック情報テーブル40Bを記憶する。
【0061】
<処理装置の構成例>
図12は、第3実施形態における処理装置の一例を示すブロック図である。図12において処理装置50は、取得部11と、記憶部21と、取得部(第2取得部)51と、分布形成部52と、優先度判定部53とを有している。なお、ここでは取得部11と取得部51とを異なる構成要素として説明しているが、本実施形態はこれに限定されるものではなく、取得部11と取得部51とは1つの構成要素であってもよい。
図12は、第3実施形態における処理装置の一例を示すブロック図である。図12において処理装置50は、取得部11と、記憶部21と、取得部(第2取得部)51と、分布形成部52と、優先度判定部53とを有している。なお、ここでは取得部11と取得部51とを異なる構成要素として説明しているが、本実施形態はこれに限定されるものではなく、取得部11と取得部51とは1つの構成要素であってもよい。
【0062】
取得部51は、優先度判定の対象であるセキュリティアラート(以下では、「優先度判定アラート(第1セキュリティアラート)」と呼ぶことがある)に関連する複数のトラフィックフロー(以下では、「第1トラフィックフロー」と呼ぶことがある)の伝送実績を取得する。
【0063】
例えば、取得部51は、優先度判定アラートのシグネチャID、送信元IPアドレス、宛先IPアドレス、及び宛先ポート番号の組み合わせと同じ組み合わせに対応し且つ優先度判定アラートの検知時刻を含む「所定期間(つまり、関連アラート基準期間)」内の検知時刻に対応する、エントリ(つまり、「アラート情報ユニット」)をアラート情報テーブル40Aから取得する。以下では、ここで取得されたアラート情報ユニット及び優先度判定アラートのアラート情報ユニットを合わせて「関連アラート情報ユニットグループ」と呼ぶことがある。
【0064】
そして、取得部51は、「関連アラート情報ユニットグループ」に含まれる各アラート情報ユニットの送信元IPアドレス、宛先IPアドレス、及び宛先ポート番号の組み合わせと同じ組み合わせに対応し且つこの各アラート情報ユニットの検知時刻を含む「所定期間(関連トラフィック基準期間)」内の通信時刻に対応する、エントリ(つまり、「トラフィック情報ユニット」)をトラフィック情報テーブル40Bから取得する。以下では、ここで取得されたトラフィック情報ユニットのすべてをまとめて「関連トラフィック情報ユニットグループ」と呼ぶことがある。
【0065】
なお、優先度判定アラートは、アラート情報テーブル40Aに保持されているアラート情報ユニットのいずれかに対応するセキュリティアラートが選択されてもよい。
【0066】
分布形成部52は、第2実施形態の分布形成部22と同様に、「第1被攻撃分布情報」を形成する。
【0067】
また、分布形成部52は、取得部51にて取得された複数の第1トラフィックフローの伝送実績に基づいて、各第1トラフィックフローの第1種伝送実績指標の値及び第2種伝送実績指標の値を算出する。
【0068】
そして、分布形成部52は、算出した各第1トラフィックフローの第1種伝送実績指標の値及び第2種伝送実績指標の値に基づいて、上記の座標平面における第1セキュリティアラートに関連する「攻撃確認エリア(ヒットエリア)」に関する情報を含む「第2被攻撃分布情報」を形成する。
【0069】
例えば、分布形成部52は、指標算出部52Aと、確率密度分布算出部22Aと、エリア特定部22Bとを有している。
【0070】
指標算出部52Aは、取得部51にて取得された複数の第1トラフィックフローの伝送実績に基づいて、各第1トラフィックフローの第1種伝送実績指標の値及び第2種伝送実績指標の値を算出する。例えば、指標算出部52Aは、関連トラフィック情報ユニットグループの各トラフィック情報ユニットの送信実績を通信期間で除算することによって第1種伝送実績指標の値を算出し、受信実績を通信期間で除算することによって第2種伝送実績指標の値を算出する。
【0071】
第3実施形態において確率密度分布算出部22Aは、さらに、複数の第1トラフィックフローの第1種伝送実績指標の値及び第2種伝送実績指標の値に基づいて、第1トラフィックフローについての上記の座標平面における確率密度(「攻撃確認確率密度」)の分布を算出する。
【0072】
第3実施形態においてエリア特定部22Bは、さらに、上記の座標平面における格子点(単位エリア)であって「攻撃確認確率密度」がエリア判定閾値Thareaより大きい格子点(単位エリア)を攻撃確認エリア(ヒットエリア)に割り振る。そして、エリア特定部22Bは、攻撃確認エリアに割り振られた各単位エリアとエリアラベル「ヒットエリア」とを対応づけることにより、「第2被攻撃分布情報」を形成する。
【0073】
ここで、第3実施形態において上記の「第1被攻撃分布情報」は、「第2被攻撃分布情報」に対応する第1セキュリティアラートよりも前に(過去に)IDS30から通知されたセキュリティアラート(第2セキュリティアラート)に関連する。
【0074】
優先度判定部53は、優先度判定アラートのシグネチャID、宛先IPアドレス、及び、宛先ポート番号の組み合わせと同じ組み合わせに対応する「第1被攻撃分布情報」をエリアテーブル21Cから取得する。
【0075】
そして、優先度判定部53は、「第1被攻撃分布情報」と分布形成部52にて形成された「第2被攻撃分布情報」とに基づいて、第1セキュリティアラートの優先度を判定する。
【0076】
例えば、優先度判定部53は、第2被攻撃分布情報が示す「攻撃確認エリア(ヒットエリア)」の少なくとも一部が、第1被攻撃分布情報が示す「攻撃成功エリア(クリティカルエリア)」と重なる場合、優先度判定アラート(第1セキュリティアラート)に「第1優先度」を割り当てる。
【0077】
また、優先度判定部53は、第2被攻撃分布情報が示す「攻撃確認エリア」と第1被攻撃分布情報が示す「攻撃成功エリア」とが重ならない場合、攻撃確認エリアにおいて攻撃失敗エリアと重ならない部分エリアの割合(スコア)を算出する。例えば、攻撃確認エリアの格子点(単位エリア)の数をN、攻撃確認エリアの格子点(単位エリア)のうちで攻撃失敗エリア(セーフエリア)と重ならない格子点(単位エリア)の数をNsafeとした場合、上記の部分エリアの割合(スコア)Sは、例えば、次の式(3)によって算出される。
【0078】
【数3】
【0079】
そして、優先度判定部53は、算出した割合(スコア)Sが優先度判定閾値より大きい場合、優先度判定アラート(第1セキュリティアラート)に「第2優先度」を割り当てる。また、優先度判定部53は、算出した割合(スコア)Sが優先度判定閾値以下である場合、優先度判定アラート(第1セキュリティアラート)に「第3優先度」を割り当てる。
【0080】
ここで、例えば、第1優先度は、第2優先度と等しいか又は第2優先度よりも優先度が高く、第3優先度は、第1優先度及び第2優先度のいずれよりも優先度が低い。
【0081】
<処理装置の動作例>
以上の構成を有する処理装置50の処理動作の一例について説明する。図13-15は、第3実施形態における処理装置の処理動作の一例を示すフローチャートである。
以上の構成を有する処理装置50の処理動作の一例について説明する。図13-15は、第3実施形態における処理装置の処理動作の一例を示すフローチャートである。
【0082】
取得部51は、「関連アラート情報ユニットグループ」をアラート情報テーブル40Aから取得する(ステップS201)。
【0083】
取得部51は、「関連トラフィック情報ユニットグループ」をトラフィック情報テーブル40Bから取得する(ステップS202)。
【0084】
分布形成部52は、関連トラフィック情報ユニットグループの各トラフィック情報ユニットについての第1種伝送実績指標の値及び第2種伝送実績指標の値を算出する(ステップS203)。
【0085】
分布形成部52は、「第2被攻撃分布情報」の形成処理を実行する(ステップS204)。図14は、第2被攻撃分布情報の形成処理の一例を示すフローチャートである。
【0086】
分布形成部52は、ステップS203にて算出された第1種伝送実績指標の値及び第2種伝送実績指標の値に基づいて、「攻撃確認確率密度」を算出する(ステップS211)。
【0087】
分布形成部52は、処理対象の格子点(つまり、単位エリア)を1つ選択する(ステップS212)。
【0088】
分布形成部52は、処理対象格子点に対応する攻撃確認確率密度の値がエリア判定閾値Thareaより大きいか否かを判定する(ステップS213)。
【0089】
処理対象格子点に対応する攻撃確認確率密度の値がエリア判定閾値Thareaより大きい場合(ステップS213YES)、分布形成部52は、処理対象格子点に対してエリアラベル「ヒットエリア」を割り当てる(ステップS214)。
【0090】
分布形成部52は、全ての格子点を処理対象として選択したか否かを判定する(ステップS215)。全ての格子点を処理対象として選択した場合(ステップS215YES)、「第2被攻撃分布情報の形成処理」は終了する。
【0091】
まだ処理対象として選択していない格子点が存在する場合(ステップS215NO)、分布形成部52は、まだ選択されていない格子点を処理対象格子点として選択する(ステップS212)。
【0092】
処理対象格子点に対応する攻撃確認確率密度の値がエリア判定閾値Tharea以下である場合(ステップS213NO)、処理ステップは、ステップS215へ進む。
【0093】
図13の説明に戻り、優先度判定部53は、「第1被攻撃分布情報」をエリアテーブル21Cから取得する(ステップS205)。上記の通り、優先度判定部53は、優先度判定アラートのシグネチャID、宛先IPアドレス、及び、宛先ポート番号の組み合わせと同じ組み合わせに対応する「第1被攻撃分布情報」を取得する。
【0094】
優先度判定部53は、優先度判定アラートの優先度の判定処理を実行する(ステップS206)。図15は、優先度判定アラートの優先度の判定処理の一例を示すフローチャートである。
【0095】
優先度判定部53は、「第1被攻撃分布情報」の示すヒットエリアに対応する複数の格子点(単位エリア)のうちの1つの格子点を処理対象格子点として選択する(ステップS221)。
【0096】
優先度判定部53は、処理対象格子点が「第2被攻撃分布情報」の示すクリティカルエリアに対応するか否かを判定する(ステップS222)。
【0097】
処理対象格子点が「第2被攻撃分布情報」の示すクリティカルエリアに対応する場合(ステップS222YES)、優先度判定部53は、優先度判定アラートに第1優先度を割り当てる(ステップS223)。そして、優先度判定処理は終了する。
【0098】
処理対象格子点が「第2被攻撃分布情報」の示すクリティカルエリアに対応しない場合(ステップS222NO)、優先度判定部53は、処理対象格子点が「第2被攻撃分布情報」の示すセーフエリアに対応するか否かを判定する(ステップS224)。
【0099】
処理対象格子点が「第2被攻撃分布情報」の示すセーフエリアに対応する場合(ステップS224YES)、優先度判定部53は、カウンタ値を1つインクリメントする(ステップS225)。カウンタ値の初期値は、ゼロである。
【0100】
処理対象格子点が「第2被攻撃分布情報」の示すセーフエリアに対応しない場合(ステップS224NO)、処理ステップは、ステップS226へ進む。
【0101】
優先度判定部53は、「第1被攻撃分布情報」の示すヒットエリアに対応する全ての格子点を処理対象として選択したか否かを判定する(ステップS226)。
【0102】
まだ処理対象として選択していない格子点が存在する場合(ステップS226NO)、優先度判定部53は、まだ選択されていない格子点を処理対象格子点として選択する(ステップS221)。
【0103】
全ての格子点を処理対象として選択した場合(ステップS226YES)、優先度判定部53は、スコアSを上記の式(3)を用いて算出する。式(3)のNsafeとして、ステップS225でカウントされたカウンタ値が用いられる。
【0104】
優先度判定部53は、スコアSが優先度判定閾値より大きいか否かを判定する(ステップS228)。
【0105】
スコアSが優先度判定閾値より大きい場合(ステップS228YES)、優先度判定部53は、優先度判定アラートに「第2優先度」を割り当てる(ステップS229)。
【0106】
スコアSが優先度判定閾値以下である場合、(ステップS228NO)、優先度判定部53は、優先度判定アラートに「第3優先度」を割り当てる(ステップS230)。そして、優先度判定処理は終了する。
【0107】
<第4実施形態>
第4実施形態は、優先度判定アラートの優先度及び優先度判定アラートに関連する「関連トラフィック情報ユニットグループ」に関する情報の表示制御等に関する。なお、第4実施形態におけるシステムの基本構成は、第3実施形態におけるシステム1と同じである。すなわち、システム1における処理装置50を、第4実施形態の処理装置60で置き換えればよい。
第4実施形態は、優先度判定アラートの優先度及び優先度判定アラートに関連する「関連トラフィック情報ユニットグループ」に関する情報の表示制御等に関する。なお、第4実施形態におけるシステムの基本構成は、第3実施形態におけるシステム1と同じである。すなわち、システム1における処理装置50を、第4実施形態の処理装置60で置き換えればよい。
【0108】
図16は、第4実施形態における処理装置の一例を示すブロック図である。図16に示す処理装置60は、表示装置(不図示)と接続されている。図16において処理装置60は、取得部11と、記憶部21と、取得部51と、分布形成部52と、優先度判定部53と、表示制御部61と、受付部62と、更新部63とを有している。更新部63は、第1更新部63Aと、第2更新部63Bとを有している。
【0109】
表示制御部61は、優先度判定部53にて判定された優先度判定アラートの優先度と、「関連トラフィック情報ユニットグループ」に含まれる各トラフィック情報ユニットとを表示装置(不図示)に表示させる。表示制御部61は、さらに、「関連アラート情報ユニットグループ」に含まれる各アラート情報ユニットを表示装置(不図示)に表示させてもよい。表示制御部61は、さらに、表示装置(不図示)に表示されている各トラフィック情報ユニットに対応するチェックボックスを表示装置(不図示)に表示させてもよい。例えば、このチェックボックスに分析者がチェックを入れることによって、このチェックボックスに対応するトラフィック情報ユニットに対応するトラフィックフローの攻撃が成功したことを示す情報を入力することができる。また、チェックボックスに分析者がチェックを入れないことによって、このチェックボックスに対応するトラフィック情報ユニットに対応するトラフィックフローの攻撃が失敗したことを示す情報を入力することができる。図17は、表示の一例を示す図である。
【0110】
受付部62は、分析者による入力情報を受け付ける。すなわち、受付部62は、表示装置(不図示)に表示された複数のトラフィック情報ユニットに対応する複数のトラフィックフローのそれぞれによる攻撃の成否を示すフィードバック信号を受け付ける。
【0111】
第1更新部63Aは、フィードバック信号によって攻撃の成功が示されたトラフィックフロー(トラフィック情報ユニット)の第1種伝送実績指標の値及び第2種伝送実績指標の値を用いて、第2テーブル21Bを更新する。また、第1更新部63Aは、フィードバック信号によって攻撃の失敗が示されたトラフィックフロー(トラフィック情報ユニット)の第1種伝送実績指標の値及び第2種伝送実績指標の値を用いて、第1テーブル21Aを更新する。
【0112】
第2更新部63Bは、更新後の第1テーブル21A及び更新後の第2テーブル21Bを用いて、第2実施形態で説明した「第1被攻撃分布情報」の形成方法と同じ方法で、新たな「第1被攻撃分布情報」を形成する。そして、第2更新部63Bは、この新たな「第1被攻撃分布情報」によってエリアテーブル21Cを更新する。
【0113】
<第5実施形態>
第5実施形態は、第1実施形態及び第2実施形態で説明した「第1被攻撃分布情報」の表示制御に関する。
第5実施形態は、第1実施形態及び第2実施形態で説明した「第1被攻撃分布情報」の表示制御に関する。
【0114】
【0115】
表示制御部71は、上記の座標平面を表示装置(不図示)に表示させると共に、表示された座標平面において複数のエリアを互いに異なる態様で表示装置(不図示)に表示させる。図19は、第5実施形態における表示態様の一例を示す図である。
【0116】
例えば、表示制御部71は、攻撃失敗エリア(セーフエリア)、攻撃成功エリア(クリティカルエリア)、及び、攻撃未確認エリア(アンノウンエリア)のそれぞれを異なる色で表示させてもよい。例えば、攻撃失敗エリア(セーフエリア)を青、攻撃成功エリア(クリティカルエリア)を赤、攻撃未確認エリア(アンノウンエリア)を無色で表示させてもよい。
【0117】
以上で説明した処理装置70の構成により、攻撃の成否の傾向を分析する上で有用な情報を分析者に分かり易い態様で表示することができる。
【0118】
<第6実施形態>
第6実施形態は、第4実施形態で説明した「第1被攻撃分布情報」及び「第2被攻撃分布情報」の表示制御等に関する。
第6実施形態は、第4実施形態で説明した「第1被攻撃分布情報」及び「第2被攻撃分布情報」の表示制御等に関する。
【0119】
図20は、第6実施形態における処理装置の一例を示すブロック図である。図20において処理装置80は、取得部11と、記憶部21と、取得部51と、分布形成部52と、優先度判定部53と、更新部63と、表示制御部81と、受付部82とを有している。
【0120】
表示制御部81は、第1表示態様(DM1)、第2表示態様(DM2)、及び第3表示態様(DM3)のうちで、表示装置(不図示)に表示される表示態様を切り替える制御を実行する。図21は、表示態様の切り替えの説明に供する図である。
【0121】
図21に示すように、第1表示態様(DM1)では、「第1被攻撃分布情報」に基づいて、上記の座標平面が表示装置(不図示)に表示されると共に、表示された座標平面において攻撃失敗エリア、前記攻撃成功エリア、及び、攻撃未確認エリアが互いに異なる態様で表示される。
【0122】
第2表示態様(DM2)では、「第2被攻撃分布情報」に基づいて、上記の座標平面が表示装置(不図示)に表示されると共に、表示された座標平面において攻撃確認エリアが表示される。
【0123】
第3表示態様(DM3)では、「第1被攻撃分布情報」及び「第2被攻撃分布情報」に基づいて、記の座標平面が表示装置(不図示)に表示されると共に、表示された座標平面において攻撃失敗エリア、前記攻撃成功エリア、攻撃未確認エリア、及び攻撃確認エリアが互いに異なる態様で表示される。
【0124】
また、表示制御部81は、図22に示すように、表示装置(不図示)におけるカーソルの位置を認識し、カーソルが合わせられたエリアに対応する、アラート情報ユニット及びトラフィック情報ユニットがポップアップ表示されるように制御してもよい。図22は、ポップアップ表示の説明に供する図である。また、表示制御部81は、図23に示すように、カーソルが合わせられたエリアの種別に応じて異なる態様でポップアップ表示してもよい。図23は、ポップアップ表示の説明に供する図である。
【0125】
また、表示制御部81は、図24に示すように、ポップアップ表示されている各トラフィック情報ユニットに対応するチェックボックスを表示させてもよい。これにより、第4実施形態と同様に、チェックボックスに対応するトラフィック情報ユニットに対応するトラフィックフローの攻撃が成功したことを示す情報を入力することができる。図24は、ポップアップ表示の説明に供する図である。
【0126】
また、表示制御部81は、図25に示すように、表示装置(不図示)におけるカーソルの位置を認識し、カーソルをエリアに合わせた状態で右クリックされたことを検知すると「成功」選択ボタンを表示してもよい。この「成功」選択ボタンを分析者がクリックすることにより、このエリアに対応する全てのトラフィック情報ユニットに対応するトラフィックフローの攻撃が成功したことを示す情報を入力することができる。図25は、ポップアップ表示の説明に供する図である。
【0127】
受付部82は、分析者による入力情報を受け付ける。すなわち、受付部82は、表示装置(不図示)に表示された複数のトラフィック情報ユニットに対応する複数のトラフィックフローのそれぞれによる攻撃の成否を示すフィードバック信号を受け付ける。
【0128】
<第7実施形態>
第7実施形態は、優先度判定のバリエーションに関する。なお、第5実施形態におけるシステムの基本構成は、第3実施形態におけるシステム1と同じである。すなわち、システム1における処理装置50を、第7実施形態の処理装置90で置き換えればよい。
第7実施形態は、優先度判定のバリエーションに関する。なお、第5実施形態におけるシステムの基本構成は、第3実施形態におけるシステム1と同じである。すなわち、システム1における処理装置50を、第7実施形態の処理装置90で置き換えればよい。
【0129】
図26は、第7実施形態における処理装置の一例を示すブロック図である。図26において処理装置90は、取得部11と、取得部51と、記憶部91と、優先度判定部92とを有している。記憶部91は、第1テーブル21A及び第2テーブル21Bを記憶している。
【0130】
優先度判定部92は、ラベル割当部92Aと、指標算出部92Bと、判定処理部92Cとを有している。
【0131】
ラベル割当部92Aは、取得部11によって第1テーブル21Aから取得された各エントリ(以下では、「攻撃失敗エントリ」と呼ぶことがある)に対して、ラベル「攻撃失敗(セーフ)」を付与する。また、ラベル割当部92Aは、取得部11によって第2テーブル21Bから取得された各エントリ(以下では、「攻撃成功エントリ」と呼ぶことがある)に対して、ラベル「攻撃成功(クリティカル)」を付与する。ここで、取得部11によって第1テーブル21Aから取得された各攻撃失敗エントリ及び取得部11によって第2テーブル21Bから取得された各攻撃成功エントリについてのシグネチャID、宛先IPアドレス、及び、宛先ポート番号の組み合わせは、「優先度判定アラート」についての組み合わせと同じである。
【0132】
指標算出部92Bは、第3実施形態の指標算出部52Aと同様に、関連トラフィック情報ユニットグループの各トラフィック情報ユニットの第1種伝送実績指標の値及び第2種伝送実績指標の値を算出する。
【0133】
判定処理部92Cは、関連トラフィック情報ユニットグループの各トラフィック情報ユニットを「判定処理対象ユニット」として順次選択して、判定処理対象ユニットに対して次の処理を実行する。
【0134】
すなわち、判定処理部92Cは、判定処理対象ユニットの第1種伝送実績指標の値及び第2種伝送実績指標の値に対応する上記座標平面における点(以下では、「判定対象点」と呼ぶことがある)から所定距離(閾値Thdist)以内に存在する、攻撃成功エントリに対応する点(「攻撃成功点」)の数及び攻撃失敗エントリに対応する点(「攻撃失敗点」)の数をカウントする。上記の距離は、例えば、ユークリッド距離である。そして、判定処理部92Cは、攻撃成功点の数が攻撃失敗点の数以上である場合、判定処理対象ユニットに対してラベル「クリティカル」を割り当てる。また、攻撃成功点の数が攻撃失敗点の数より少ない場合、判定処理部92Cは、判定処理対象ユニットに対してラベル「セーフ」を割り当てる。また、攻撃成功点の数及び攻撃失敗点の数のいずれもがゼロである場合、判定処理部92Cは、判定処理対象ユニットに対してラベル「アンノウン」を割り当てる。
【0135】
そして、判定処理部92Cは、関連トラフィック情報ユニットグループのトラフィック情報ユニットのうちで1つでもラベル「クリティカル」が割り当てられたトラフィック情報ユニットが存在する場合、「優先度判定アラート」に対して上記の「第1優先度」を割り当てる。
【0136】
また、判定処理部92Cは、関連トラフィック情報ユニットグループのトラフィック情報ユニットのうちでラベル「クリティカル」が割り当てられたトラフィック情報ユニットが存在しない場合、次の式(4)を用いてスコアSを算出する。
【0137】
【数4】
【0138】
式(4)においてNsafeは、関連トラフィック情報ユニットグループのうちでラベル「セーフ」が割り当てられたトラフィック情報ユニットの数であり、Nunkは、関連トラフィック情報ユニットグループのうちでラベル「アンノウン」が割り当てられたトラフィック情報ユニットの数である。
【0139】
そして、判定処理部92Cは、算出したスコアSが優先度判定閾値より大きい場合、「優先度判定アラート」に対して上記の「第2優先度」を割り当てる。また、判定処理部92Cは、算出したスコアSが優先度判定閾値以下である場合、「優先度判定アラート」に対して上記の「第3優先度」を割り当てる。
【0140】
<他の実施形態>
図27は、処理装置のハードウェア構成例を示す図である。図27において処理装置100は、プロセッサ101と、メモリ102とを有している。プロセッサ101は、例えば、マイクロプロセッサ、MPU(Micro Processing Unit)、又はCPU(Central Processing Unit)であってもよい。プロセッサ101は、複数のプロセッサを含んでもよい。メモリ102は、揮発性メモリ及び不揮発性メモリの組み合わせによって構成される。メモリ102は、プロセッサ101から離れて配置されたストレージを含んでもよい。この場合、プロセッサ101は、図示されていないI/Oインタフェースを介してメモリ102にアクセスしてもよい。
図27は、処理装置のハードウェア構成例を示す図である。図27において処理装置100は、プロセッサ101と、メモリ102とを有している。プロセッサ101は、例えば、マイクロプロセッサ、MPU(Micro Processing Unit)、又はCPU(Central Processing Unit)であってもよい。プロセッサ101は、複数のプロセッサを含んでもよい。メモリ102は、揮発性メモリ及び不揮発性メモリの組み合わせによって構成される。メモリ102は、プロセッサ101から離れて配置されたストレージを含んでもよい。この場合、プロセッサ101は、図示されていないI/Oインタフェースを介してメモリ102にアクセスしてもよい。
【0141】
第1実施形態から第7実施形態の処理装置10,20,50,60,70,80,90は、それぞれ、図27に示したハードウェア構成を有することができる。第1実施形態から第7実施形態の処理装置10,20,50,60,70,80,90の取得部11,51と、分布形成部12,22,52と、優先度判定部53,92と、表示制御部61,71,81と、受付部62,82と、更新部63とは、プロセッサ101がメモリ102に記憶されたプログラムを読み込んで実行することにより実現されてもよい。記憶部21,91は、メモリ102によって実現されてもよい。プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、処理装置10,20,50,60,70,80,90に供給することができる。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば光磁気ディスク)を含む。さらに、非一時的なコンピュータ可読媒体の例は、CD-ROM(Read Only Memory)、CD-R、CD-R/Wを含む。さらに、非一時的なコンピュータ可読媒体の例は、半導体メモリを含む。半導体メモリは、例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(Random Access Memory)を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によって処理装置10,20,50,60,70,80,90に供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムを処理装置10,20,50,60,70,80,90に供給できる。
【0142】
以上、実施の形態を参照して本願発明を説明したが、本願発明は上記によって限定されるものではない。本願発明の構成や詳細には、発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
【0143】
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
【0144】
(付記1)
ネットワーク内の機器への失敗した攻撃に対応する複数の攻撃失敗トラフィックのそれぞれの第1種伝送実績指標の値及び第2種伝送実績指標の値、並びに、成功した攻撃に対応する複数の攻撃成功トラフィックのそれぞれの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値を取得する第1取得手段と、
前記複数の攻撃失敗トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値、並びに、前記複数の攻撃成功トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値に基づいて、前記第1種伝送実績指標及び前記第2種伝送実績指標を2つの座標軸とする座標平面における、攻撃失敗エリア及び攻撃成功エリアを含む複数のエリアに関する情報を含む第1被攻撃分布情報を形成する分布形成手段と、
を具備する処理装置。
ネットワーク内の機器への失敗した攻撃に対応する複数の攻撃失敗トラフィックのそれぞれの第1種伝送実績指標の値及び第2種伝送実績指標の値、並びに、成功した攻撃に対応する複数の攻撃成功トラフィックのそれぞれの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値を取得する第1取得手段と、
前記複数の攻撃失敗トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値、並びに、前記複数の攻撃成功トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値に基づいて、前記第1種伝送実績指標及び前記第2種伝送実績指標を2つの座標軸とする座標平面における、攻撃失敗エリア及び攻撃成功エリアを含む複数のエリアに関する情報を含む第1被攻撃分布情報を形成する分布形成手段と、
を具備する処理装置。
【0145】
(付記2)
付記1記載の処理装置であって、
前記分布形成手段は、
前記複数の攻撃失敗トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値に基づいて、前記攻撃失敗トラフィックについての前記座標平面における攻撃失敗確率密度の分布を算出すると共に、前記複数の攻撃成功トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値に基づいて、前記攻撃成功トラフィックについての前記座標平面における攻撃成功確率密度の分布を算出する確率密度分布算出手段と、
前記座標平面における各単位エリアを、各単位エリアの前記攻撃失敗確率密度及び前記攻撃成功確率密度のそれぞれとエリア判定閾値との大小に基づいて、攻撃失敗エリア、攻撃成功エリア、及び、攻撃未確認エリアのいずれかに割り振り、各単位エリアと各単位エリアに割り振られたエリア種別とを対応づけることにより、前記第1被攻撃分布情報を形成するエリア特定手段と、
を具備する、
処理装置。
付記1記載の処理装置であって、
前記分布形成手段は、
前記複数の攻撃失敗トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値に基づいて、前記攻撃失敗トラフィックについての前記座標平面における攻撃失敗確率密度の分布を算出すると共に、前記複数の攻撃成功トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値に基づいて、前記攻撃成功トラフィックについての前記座標平面における攻撃成功確率密度の分布を算出する確率密度分布算出手段と、
前記座標平面における各単位エリアを、各単位エリアの前記攻撃失敗確率密度及び前記攻撃成功確率密度のそれぞれとエリア判定閾値との大小に基づいて、攻撃失敗エリア、攻撃成功エリア、及び、攻撃未確認エリアのいずれかに割り振り、各単位エリアと各単位エリアに割り振られたエリア種別とを対応づけることにより、前記第1被攻撃分布情報を形成するエリア特定手段と、
を具備する、
処理装置。
【0146】
(付記3)
付記2に記載の処理装置であって、
前記ネットワーク内の機器への攻撃を検知するネットワーク型侵入検知装置から通知された第1セキュリティアラートに関連する複数の第1トラフィックフローの伝送実績を取得する第2取得手段を更に具備し、
前記第1被攻撃分布情報は、前記ネットワーク型侵入検知装置から通知された第2セキュリティアラートに関連し、
前記分布形成手段は、前記取得された複数の第1トラフィックフローの伝送実績に基づいて、各第1トラフィックフローの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値を算出し、算出された各第1トラフィックフローの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値に基づいて、前記座標平面における前記第1セキュリティアラートに関連する攻撃確認エリアに関する情報を含む第2被攻撃分布情報を形成し、
前記処理装置は、前記第1被攻撃分布情報と前記第2被攻撃分布情報とに基づいて、前記第1セキュリティアラートの優先度を判定する優先度判定手段を更に具備する、
処理装置。
付記2に記載の処理装置であって、
前記ネットワーク内の機器への攻撃を検知するネットワーク型侵入検知装置から通知された第1セキュリティアラートに関連する複数の第1トラフィックフローの伝送実績を取得する第2取得手段を更に具備し、
前記第1被攻撃分布情報は、前記ネットワーク型侵入検知装置から通知された第2セキュリティアラートに関連し、
前記分布形成手段は、前記取得された複数の第1トラフィックフローの伝送実績に基づいて、各第1トラフィックフローの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値を算出し、算出された各第1トラフィックフローの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値に基づいて、前記座標平面における前記第1セキュリティアラートに関連する攻撃確認エリアに関する情報を含む第2被攻撃分布情報を形成し、
前記処理装置は、前記第1被攻撃分布情報と前記第2被攻撃分布情報とに基づいて、前記第1セキュリティアラートの優先度を判定する優先度判定手段を更に具備する、
処理装置。
【0147】
(付記4)
付記3記載の処理装置であって、
前記優先度判定手段は、
前記第2被攻撃分布情報が示す前記攻撃確認エリアの少なくとも一部が、前記第1被攻撃分布情報が示す前記攻撃成功エリアと重なる場合、前記第1セキュリティアラートに第1優先度を割り当て、
前記第2被攻撃分布情報が示す前記攻撃確認エリアと前記第1被攻撃分布情報が示す前記攻撃成功エリアとが重ならない場合、前記攻撃確認エリアにおいて前記攻撃失敗エリアと重ならない部分エリアの割合を算出し、
前記算出した割合が優先度判定閾値より大きい場合、前記第1セキュリティアラートに第2優先度を割り当て、
前記算出した割合が優先度判定閾値以下である場合、前記第1セキュリティアラートに第3優先度を割り当て、
前記第1優先度は、前記第2優先度と等しいか又は前記第2優先度よりも優先度が高く、
前記第3優先度は、前記第1優先度及び前記第2優先度のいずれよりも優先度が低い、
処理装置。
付記3記載の処理装置であって、
前記優先度判定手段は、
前記第2被攻撃分布情報が示す前記攻撃確認エリアの少なくとも一部が、前記第1被攻撃分布情報が示す前記攻撃成功エリアと重なる場合、前記第1セキュリティアラートに第1優先度を割り当て、
前記第2被攻撃分布情報が示す前記攻撃確認エリアと前記第1被攻撃分布情報が示す前記攻撃成功エリアとが重ならない場合、前記攻撃確認エリアにおいて前記攻撃失敗エリアと重ならない部分エリアの割合を算出し、
前記算出した割合が優先度判定閾値より大きい場合、前記第1セキュリティアラートに第2優先度を割り当て、
前記算出した割合が優先度判定閾値以下である場合、前記第1セキュリティアラートに第3優先度を割り当て、
前記第1優先度は、前記第2優先度と等しいか又は前記第2優先度よりも優先度が高く、
前記第3優先度は、前記第1優先度及び前記第2優先度のいずれよりも優先度が低い、
処理装置。
【0148】
(付記5)
付記3又は4に記載の処理装置であって、
前記第1セキュリティアラートの優先度及び前記第1セキュリティアラートに関連する前記複数の第1トラフィックフローに関する情報を表示手段に表示させる表示制御手段と、
前記表示された複数の第1トラフィックフローのそれぞれによる攻撃の成否を示すフィードバック信号を受け付ける受付手段と、
を具備する、
処理装置。
付記3又は4に記載の処理装置であって、
前記第1セキュリティアラートの優先度及び前記第1セキュリティアラートに関連する前記複数の第1トラフィックフローに関する情報を表示手段に表示させる表示制御手段と、
前記表示された複数の第1トラフィックフローのそれぞれによる攻撃の成否を示すフィードバック信号を受け付ける受付手段と、
を具備する、
処理装置。
【0149】
(付記6)
付記5記載の処理装置であって、
前記複数の攻撃失敗トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値を保持する第1テーブル、並びに、前記複数の攻撃成功トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値を保持する第2テーブルは、記憶手段に記憶され、
前記処理装置は、前記フィードバック信号によって攻撃の成功が示された第1トラフィックフローの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値を用いて、前記第2テーブルを更新すると共に、前記フィードバック信号によって攻撃の失敗が示された第1トラフィックフローの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値を用いて、前記第1テーブルを更新する第1更新手段を更に具備する、
処理装置。
付記5記載の処理装置であって、
前記複数の攻撃失敗トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値を保持する第1テーブル、並びに、前記複数の攻撃成功トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値を保持する第2テーブルは、記憶手段に記憶され、
前記処理装置は、前記フィードバック信号によって攻撃の成功が示された第1トラフィックフローの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値を用いて、前記第2テーブルを更新すると共に、前記フィードバック信号によって攻撃の失敗が示された第1トラフィックフローの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値を用いて、前記第1テーブルを更新する第1更新手段を更に具備する、
処理装置。
【0150】
(付記7)
付記6記載の処理装置であって、
前記分布形成手段は、前記形成した第1被攻撃分布情報を前記記憶手段へ出力することにより前記記憶手段に記憶させ、
前記処理装置は、前記更新後の第1テーブル及び前記更新後の第2テーブルに基づいて、前記記憶された第1被攻撃分布情報を更新する第2更新手段を更に具備する、
処理装置。
付記6記載の処理装置であって、
前記分布形成手段は、前記形成した第1被攻撃分布情報を前記記憶手段へ出力することにより前記記憶手段に記憶させ、
前記処理装置は、前記更新後の第1テーブル及び前記更新後の第2テーブルに基づいて、前記記憶された第1被攻撃分布情報を更新する第2更新手段を更に具備する、
処理装置。
【0151】
(付記8)
付記1記載の処理装置であって、
前記座標平面において前記複数のエリアを互いに異なる態様で表示手段に表示させる表示制御手段を更に具備する、
処理装置。
付記1記載の処理装置であって、
前記座標平面において前記複数のエリアを互いに異なる態様で表示手段に表示させる表示制御手段を更に具備する、
処理装置。
【0152】
(付記9)
付記2記載の処理装置であって、
前記ネットワーク内の機器への攻撃を検知するネットワーク型侵入検知装置から通知された第1セキュリティアラートに関連する複数の第1トラフィックフローの伝送実績を取得する第2取得手段を更に具備し、
前記第1被攻撃分布情報は、前記ネットワーク型侵入検知装置から通知された第2セキュリティアラートに関連し、
前記分布形成手段は、前記取得された複数の第1トラフィックフローの伝送実績に基づいて、各第1トラフィックフローの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値を算出し、算出された各第1トラフィックフローの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値に基づいて、前記座標平面における前記第1セキュリティアラートに関連する攻撃確認エリアに関する情報を含む第2被攻撃分布情報を形成し、
前記処理装置は、前記座標平面において前記攻撃失敗エリア、前記攻撃成功エリア、及び、前記攻撃未確認エリアを互いに異なる態様で表示手段に表示させる第1表示態様、前記座標平面において前記攻撃確認エリアを前記表示手段に表示させる第2表示態様、並びに、前記座標平面において前記攻撃失敗エリア、前記攻撃成功エリア、前記攻撃未確認エリア、及び、前記攻撃確認エリアを前記表示手段に表示させる第3表示態様のうちで、前記表示手段による表示態様を制御する表示制御手段を更に具備する、
処理装置。
付記2記載の処理装置であって、
前記ネットワーク内の機器への攻撃を検知するネットワーク型侵入検知装置から通知された第1セキュリティアラートに関連する複数の第1トラフィックフローの伝送実績を取得する第2取得手段を更に具備し、
前記第1被攻撃分布情報は、前記ネットワーク型侵入検知装置から通知された第2セキュリティアラートに関連し、
前記分布形成手段は、前記取得された複数の第1トラフィックフローの伝送実績に基づいて、各第1トラフィックフローの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値を算出し、算出された各第1トラフィックフローの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値に基づいて、前記座標平面における前記第1セキュリティアラートに関連する攻撃確認エリアに関する情報を含む第2被攻撃分布情報を形成し、
前記処理装置は、前記座標平面において前記攻撃失敗エリア、前記攻撃成功エリア、及び、前記攻撃未確認エリアを互いに異なる態様で表示手段に表示させる第1表示態様、前記座標平面において前記攻撃確認エリアを前記表示手段に表示させる第2表示態様、並びに、前記座標平面において前記攻撃失敗エリア、前記攻撃成功エリア、前記攻撃未確認エリア、及び、前記攻撃確認エリアを前記表示手段に表示させる第3表示態様のうちで、前記表示手段による表示態様を制御する表示制御手段を更に具備する、
処理装置。
【0153】
(付記10)
ネットワーク内の機器への攻撃を検知するネットワーク型侵入検知装置から通知された第1セキュリティアラートに関連する複数の第1トラフィックフローの伝送実績を取得する取得手段と、
前記取得された複数の第1トラフィックフローの伝送実績に基づいて、各第1トラフィックフローの第1種伝送実績指標の値及び第2種伝送実績指標の値を算出し、算出された各第1トラフィックフローの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値に基づいて、前記第1種伝送実績指標及び前記第2種伝送実績指標を2つの座標軸とする座標平面におけるエリアであって前記第1セキュリティアラートに関連する攻撃確認エリアに関する情報を含む第2被攻撃分布情報を形成する分布形成手段と、
前記第2被攻撃分布情報と、前記座標平面における攻撃失敗エリア及び攻撃成功エリアを含む複数のエリアに関する情報を含む第1被攻撃分布情報とに基づいて、前記第1セキュリティアラートの優先度を判定する優先度判定手段と、
を具備する処理装置。
ネットワーク内の機器への攻撃を検知するネットワーク型侵入検知装置から通知された第1セキュリティアラートに関連する複数の第1トラフィックフローの伝送実績を取得する取得手段と、
前記取得された複数の第1トラフィックフローの伝送実績に基づいて、各第1トラフィックフローの第1種伝送実績指標の値及び第2種伝送実績指標の値を算出し、算出された各第1トラフィックフローの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値に基づいて、前記第1種伝送実績指標及び前記第2種伝送実績指標を2つの座標軸とする座標平面におけるエリアであって前記第1セキュリティアラートに関連する攻撃確認エリアに関する情報を含む第2被攻撃分布情報を形成する分布形成手段と、
前記第2被攻撃分布情報と、前記座標平面における攻撃失敗エリア及び攻撃成功エリアを含む複数のエリアに関する情報を含む第1被攻撃分布情報とに基づいて、前記第1セキュリティアラートの優先度を判定する優先度判定手段と、
を具備する処理装置。
【0154】
(付記11)
ネットワーク内の機器への失敗した攻撃に対応する複数の攻撃失敗トラフィックのそれぞれの第1種伝送実績指標の値及び第2種伝送実績指標の値、並びに、成功した攻撃に対応する複数の攻撃成功トラフィックのそれぞれの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値を取得すること、及び、
前記複数の攻撃失敗トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値、並びに、前記複数の攻撃成功トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値に基づいて、前記第1種伝送実績指標及び前記第2種伝送実績指標を2つの座標軸とする座標平面における、攻撃失敗エリア及び攻撃成功エリアを含む複数のエリアに関する情報を含む第1被攻撃分布情報を形成すること、
を含む処理方法。
ネットワーク内の機器への失敗した攻撃に対応する複数の攻撃失敗トラフィックのそれぞれの第1種伝送実績指標の値及び第2種伝送実績指標の値、並びに、成功した攻撃に対応する複数の攻撃成功トラフィックのそれぞれの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値を取得すること、及び、
前記複数の攻撃失敗トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値、並びに、前記複数の攻撃成功トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値に基づいて、前記第1種伝送実績指標及び前記第2種伝送実績指標を2つの座標軸とする座標平面における、攻撃失敗エリア及び攻撃成功エリアを含む複数のエリアに関する情報を含む第1被攻撃分布情報を形成すること、
を含む処理方法。
【0155】
(付記12)
ネットワーク内の機器への失敗した攻撃に対応する複数の攻撃失敗トラフィックのそれぞれの第1種伝送実績指標の値及び第2種伝送実績指標の値、並びに、成功した攻撃に対応する複数の攻撃成功トラフィックのそれぞれの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値を取得すること、及び、
前記複数の攻撃失敗トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値、並びに、前記複数の攻撃成功トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値に基づいて、前記第1種伝送実績指標及び前記第2種伝送実績指標を2つの座標軸とする座標平面における、攻撃失敗エリア及び攻撃成功エリアを含む複数のエリアに関する情報を含む第1被攻撃分布情報を形成すること、
を含む、処理を処理装置に実行させる制御プログラムが格納された非一時的なコンピュータ可読媒体。
ネットワーク内の機器への失敗した攻撃に対応する複数の攻撃失敗トラフィックのそれぞれの第1種伝送実績指標の値及び第2種伝送実績指標の値、並びに、成功した攻撃に対応する複数の攻撃成功トラフィックのそれぞれの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値を取得すること、及び、
前記複数の攻撃失敗トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値、並びに、前記複数の攻撃成功トラフィックの前記第1種伝送実績指標の値及び前記第2種伝送実績指標の値に基づいて、前記第1種伝送実績指標及び前記第2種伝送実績指標を2つの座標軸とする座標平面における、攻撃失敗エリア及び攻撃成功エリアを含む複数のエリアに関する情報を含む第1被攻撃分布情報を形成すること、
を含む、処理を処理装置に実行させる制御プログラムが格納された非一時的なコンピュータ可読媒体。
【符号の説明】
【0156】
1 システム
10 処理装置
11 取得部(第1取得部)
12 分布形成部
20 処理装置
21 記憶部
21A 第1テーブル(分布生成用レコードテーブル)
21B 第2テーブル(クリティカルエリア生成用レコードテーブル)
21C エリアテーブル
22 分布形成部
22A 確率密度分布算出部
22B エリア特定部
30 侵入検知システム(IDS)
40 記憶装置
40A アラート情報テーブル
40B トラフィック情報テーブル
50 処理装置
51 取得部(第2取得部)
52 分布形成部
52A 指標算出部
53 優先度判定部
60 処理装置
61 表示制御部
62 受付部
63 更新部
63A 第1更新部
63B 第2更新部
70 処理装置
71 表示制御部
80 処理装置
81 表示制御部
82 受付部
90 処理装置
91 記憶部
92 優先度判定部
92A ラベル割当部
92B 指標算出部
92C 判定処理部
10 処理装置
11 取得部(第1取得部)
12 分布形成部
20 処理装置
21 記憶部
21A 第1テーブル(分布生成用レコードテーブル)
21B 第2テーブル(クリティカルエリア生成用レコードテーブル)
21C エリアテーブル
22 分布形成部
22A 確率密度分布算出部
22B エリア特定部
30 侵入検知システム(IDS)
40 記憶装置
40A アラート情報テーブル
40B トラフィック情報テーブル
50 処理装置
51 取得部(第2取得部)
52 分布形成部
52A 指標算出部
53 優先度判定部
60 処理装置
61 表示制御部
62 受付部
63 更新部
63A 第1更新部
63B 第2更新部
70 処理装置
71 表示制御部
80 処理装置
81 表示制御部
82 受付部
90 処理装置
91 記憶部
92 優先度判定部
92A ラベル割当部
92B 指標算出部
92C 判定処理部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】