IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 日本電気株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 日本電気株式会社の特許一覧

<>
  • 特許-推論装置、推論方法、及び、プログラム 図1
  • 特許-推論装置、推論方法、及び、プログラム 図2
  • 特許-推論装置、推論方法、及び、プログラム 図3
  • 特許-推論装置、推論方法、及び、プログラム 図4
  • 特許-推論装置、推論方法、及び、プログラム 図5
  • 特許-推論装置、推論方法、及び、プログラム 図6
  • 特許-推論装置、推論方法、及び、プログラム 図7
  • 特許-推論装置、推論方法、及び、プログラム 図8
  • 特許-推論装置、推論方法、及び、プログラム 図9
  • 特許-推論装置、推論方法、及び、プログラム 図10
  • 特許-推論装置、推論方法、及び、プログラム 図11
  • 特許-推論装置、推論方法、及び、プログラム 図12
  • 特許-推論装置、推論方法、及び、プログラム 図13
  • 特許-推論装置、推論方法、及び、プログラム 図14
  • 特許-推論装置、推論方法、及び、プログラム 図15
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-11-11
(45)【発行日】2024-11-19
(54)【発明の名称】推論装置、推論方法、及び、プログラム
(51)【国際特許分類】
   G06F 21/55 20130101AFI20241112BHJP
   G06N 5/04 20230101ALI20241112BHJP
【FI】
G06F21/55 320
G06N5/04
【請求項の数】 10
(21)【出願番号】P 2023539222
(86)(22)【出願日】2021-08-02
(86)【国際出願番号】 JP2021028549
(87)【国際公開番号】W WO2023012849
(87)【国際公開日】2023-02-09
【審査請求日】2024-01-31
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100107331
【弁理士】
【氏名又は名称】中村 聡延
(74)【代理人】
【識別番号】100104765
【弁理士】
【氏名又は名称】江上 達夫
(74)【代理人】
【識別番号】100131015
【弁理士】
【氏名又は名称】三輪 浩誉
(72)【発明者】
【氏名】本浦 庄太
【審査官】石坂 知樹
(56)【参考文献】
【文献】国際公開第2020/161780(WO,A1)
【文献】特開2018-005282(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/55
G06N 5/04
(57)【特許請求の範囲】
【請求項1】
サイバー攻撃に係る情報が記録された観測ログと、過去の攻撃事案から類推した攻撃者の特徴と、に基づく推論処理を行うことにより、前記攻撃者が前記観測ログに相当する情報を残したと仮定した場合における攻撃の手口が階層的に抽象化された、前記攻撃者による攻撃の全体像を取得する推論手段と、
前記攻撃者による攻撃の全体像と、前記攻撃者の特徴と、がどの程度類似しているかを示す値である類似度を取得する類似度取得手段と、
を備える推論装置。
【請求項2】
サイバー攻撃に係る情報が記録された観測ログに基づく推論処理を行うことにより、前記観測ログに対応する攻撃の手口が階層的に抽象化された、攻撃の全体像を取得する推論手段と、
前記攻撃の全体像と、過去の攻撃事案から類推した攻撃者の特徴と、がどの程度類似しているかを示す値である類似度を取得する類似度取得手段と、
複数の前記攻撃者各々に対応する複数の前記類似度が取得された場合に、各類似度を降順に並べたランキングを表示するための表示画面を生成する表示画面生成手段と、
を備える推論装置。
【請求項3】
前記類似度取得手段は、さらに、前記攻撃者の特徴に類似している他の過去の攻撃事案を取得する請求項1または2に記載の推論装置。
【請求項4】
前記類似度取得手段は、前記類似度に基づき、前記攻撃者が実際に攻撃を行った可能性の度合いを表す確率値を算出する請求項1または2に記載の推論装置。
【請求項5】
複数の前記攻撃者各々に対応する複数の前記類似度が取得された場合に、各類似度を降順に並べたランキングを表示するための表示画面を生成する表示画面生成手段をさらに有する請求項1に記載の推論装置。
【請求項6】
前記攻撃者による攻撃の全体像を表示するための表示画面を生成する表示画面生成手段をさらに有する請求項1に記載の推論装置。
【請求項7】
サイバー攻撃に係る情報が記録された観測ログと、過去の攻撃事案から類推した攻撃者の特徴と、に基づく推論処理を行うことにより、前記攻撃者が前記観測ログに相当する情報を残したと仮定した場合における攻撃の手口が階層的に抽象化された、前記攻撃者による攻撃の全体像を取得し、
前記攻撃者による攻撃の全体像と、前記攻撃者の特徴と、がどの程度類似しているかを示す値である類似度を取得する推論方法。
【請求項8】
サイバー攻撃に係る情報が記録された観測ログに基づく推論処理を行うことにより、前記観測ログに対応する攻撃の手口が階層的に抽象化された、攻撃の全体像を取得し、
前記攻撃の全体像と、過去の攻撃事案から類推した攻撃者の特徴と、がどの程度類似しているかを示す値である類似度を取得し、
複数の前記攻撃者各々に対応する複数の前記類似度が取得された場合に、各類似度を降順に並べたランキングを表示するための表示画面を生成する推論方法。
【請求項9】
サイバー攻撃に係る情報が記録された観測ログと、過去の攻撃事案から類推した攻撃者の特徴と、に基づく推論処理を行うことにより、前記攻撃者が前記観測ログに相当する情報を残したと仮定した場合における攻撃の手口が階層的に抽象化された、前記攻撃者による攻撃の全体像を取得し、
前記攻撃者による攻撃の全体像と、前記攻撃者の特徴と、がどの程度類似しているかを示す値である類似度を取得する処理をコンピュータに実行させるプログラム。
【請求項10】
サイバー攻撃に係る情報が記録された観測ログに基づく推論処理を行うことにより、前記観測ログに対応する攻撃の手口が階層的に抽象化された、攻撃の全体像を取得し、
前記攻撃の全体像と、過去の攻撃事案から類推した攻撃者の特徴と、がどの程度類似しているかを示す値である類似度を取得し、
複数の前記攻撃者各々に対応する複数の前記類似度が取得された場合に、各類似度を降順に並べたランキングを表示するための表示画面を生成する処理をコンピュータに実行させるプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、仮説推論の技術に関する。
【背景技術】
【0002】
仮説推論は、論理式で与えられた推論知識(ルール)と、観測された事象とから妥当な仮説を導く手法である。例えば、サイバーセキュリティの分野では、コンピュータシステムにおいて観測された事象がサイバー攻撃によるものであるかを判断する場合に、仮説推論を適用することができる。例えば、特許文献1には、重み付き仮説推論により生成された仮説候補に対し、観測の時間的な前後関係を反映させる技術が開示されている。
【0003】
一方、特許文献2には、標的型攻撃やマルウェアの活動内容を表現する構造である複数の不審活動グラフの類似度を算出する技術が開示されている。また、特許文献2には、不審活動グラフの分析結果のレコードに予想攻撃元を対応付ける技術が開示されている。
【先行技術文献】
【特許文献】
【0004】
【文献】国際公開WO2021/090497号公報
【文献】特開2016-206943号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかし、特許文献1には、サイバー攻撃を行う攻撃者に係る情報を用いて推論処理を行う観点について特に開示等されていない。そのため、特許文献1に開示された技術によれば、サイバー攻撃を行う攻撃者の推定に係る推定精度が低くなってしまう、という問題点がある。
【0006】
また、特許文献2に開示された技術によれば、例えば、不審活動検知装置が設置されたネットワークへのアクセスが制限されている等の理由により不審活動グラフの入手が困難な状況において、当該不審活動グラフの分析結果のレコードに対応付けられる予想攻撃元の推定精度が低くなってしまう、という問題点がある。
【0007】
本開示の1つの目的は、サイバー攻撃を行う攻撃者の推定に係る推定精度を向上することにある。
【課題を解決するための手段】
【0008】
本開示の一つの観点では、推論装置は、
サイバー攻撃に係る情報が記録された観測ログと、過去の攻撃事案から類推した攻撃者の特徴と、に基づく推論処理を行うことにより、前記攻撃者が前記観測ログに相当する情報を残したと仮定した場合における攻撃の手口が階層的に抽象化された、前記攻撃者による攻撃の全体像を取得する推論手段と、
前記攻撃者による攻撃の全体像と、前記攻撃者の特徴と、がどの程度類似しているかを示す値である類似度を取得する類似度取得手段と、を備える。
【0009】
本開示の他の観点では、推論装置は、
サイバー攻撃に係る情報が記録された観測ログに基づく推論処理を行うことにより、前記観測ログに対応する攻撃の手口が階層的に抽象化された、攻撃の全体像を取得する推論手段と、
前記攻撃の全体像と、過去の攻撃事案から類推した攻撃者の特徴と、がどの程度類似しているかを示す値である類似度を取得する類似度取得手段と、
複数の前記攻撃者各々に対応する複数の前記類似度が取得された場合に、各類似度を降順に並べたランキングを表示するための表示画面を生成する表示画面生成手段と、を備える。
【0010】
本開示のさらに他の観点では、推論方法は、
サイバー攻撃に係る情報が記録された観測ログと、過去の攻撃事案から類推した攻撃者の特徴と、に基づく推論処理を行うことにより、前記攻撃者が前記観測ログに相当する情報を残したと仮定した場合における攻撃の手口が階層的に抽象化された、前記攻撃者による攻撃の全体像を取得し、
前記攻撃者による攻撃の全体像と、前記攻撃者の特徴と、がどの程度類似しているかを示す値である類似度を取得する。
【0011】
本開示のさらに他の観点では、推論方法は、
サイバー攻撃に係る情報が記録された観測ログに基づく推論処理を行うことにより、前記観測ログに対応する攻撃の手口が階層的に抽象化された、攻撃の全体像を取得し、
前記攻撃の全体像と、過去の攻撃事案から類推した攻撃者の特徴と、がどの程度類似しているかを示す値である類似度を取得し、
複数の前記攻撃者各々に対応する複数の前記類似度が取得された場合に、各類似度を降順に並べたランキングを表示するための表示画面を生成する。
【0012】
本開示のさらに他の観点では、プログラムは、
サイバー攻撃に係る情報が記録された観測ログと、過去の攻撃事案から類推した攻撃者の特徴と、に基づく推論処理を行うことにより、前記攻撃者が前記観測ログに相当する情報を残したと仮定した場合における攻撃の手口が階層的に抽象化された、前記攻撃者による攻撃の全体像を取得し、
前記攻撃者による攻撃の全体像と、前記攻撃者の特徴と、がどの程度類似しているかを示す値である類似度を取得する処理をコンピュータに実行させる
【0013】
本開示のさらに他の観点では、記録媒体は、
サイバー攻撃に係る情報が記録された観測ログに基づく推論処理を行うことにより、前記観測ログに対応する攻撃の手口が階層的に抽象化された、攻撃の全体像を取得し、
前記攻撃の全体像と、過去の攻撃事案から類推した攻撃者の特徴と、がどの程度類似しているかを示す値である類似度を取得し、
複数の前記攻撃者各々に対応する複数の前記類似度が取得された場合に、各類似度を降順に並べたランキングを表示するための表示画面を生成する処理をコンピュータに実行させるプログラムを記録する。
【発明の効果】
【0014】
本開示によれば、サイバー攻撃を行う攻撃者の推定に係る推定精度を向上することが可能となる。
【図面の簡単な説明】
【0015】
図1】第1実施形態に係る推論装置のハードウェア構成を示すブロック図。
図2】第1実施形態に係る推論装置の機能構成を示す図。
図3】第1実施形態に係る推論装置の推論処理に用いられる観測ログの一例を示す図。
図4】第1実施形態に係る推論装置の推論処理に用いられる攻撃者特徴情報の一例を示す図。
図5】第1実施形態に係る推論装置の推論処理に用いられる攻撃者特徴情報の一例を示す図。
図6】第1実施形態に係る推論装置の推論処理により得られる推論結果の一例を説明するための図。
図7】第1実施形態に係る推論装置の推論処理により得られる推論結果の一例を説明するための図。
図8】第1実施形態に係る推論装置により生成される攻撃者推定情報の一例を示す図。
図9】第1実施形態に係る推論装置の処理に応じて表示される表示画面の一例を説明するための図。
図10】第1実施形態に係る推論装置において行われる処理を説明するためのフローチャート。
図11】第1実施形態の変形例に係る推論装置において行われる処理を説明するためのフローチャート。
図12】第2の実施形態に係る推論装置の機能構成を示すブロック図。
図13】第2の実施形態に係る推論装置において行われる処理を説明するためのフローチャート。
図14】第3の実施形態に係る推論装置の機能構成を示すブロック図。
図15】第3の実施形態に係る推論装置において行われる処理を説明するためのフローチャート。
【発明を実施するための形態】
【0016】
以下、図面を参照して、本開示の好適な実施形態について説明する。
【0017】
<第1の実施形態>
[ハードウェア構成]
図1は、推論装置100のハードウェア構成を示すブロック図である。図示のように、推論装置100は、インタフェース(IF)11と、プロセッサ12と、メモリ13と、記録媒体14と、データベース(DB)15と、表示部16と、入力部17と、を備える。
【0018】
IF11は、外部装置との間でデータの入出力を行う。具体的に、推論に用いられる観測情報は、IF11を通じて入力される。また、推論装置100により得られる攻撃者推定情報(後述)等はIF11を通じて外部装置へ出力される。
【0019】
プロセッサ12は、CPU(Central Processing Unit)、GPU(Graphics Processing Unit)などのコンピュータであり、予め用意されたプログラムを実行することにより、推論装置100の全体を制御する。具体的に、プロセッサ12は、後述する推論処理等の処理を実行する。
【0020】
メモリ13は、ROM(Read Only Memory)、RAM(Random Access Memory)などにより構成される。メモリ13は、プロセッサ12による各種の処理の実行中に作業メモリとしても使用される。
【0021】
記録媒体14は、ディスク状記録媒体、半導体メモリなどの不揮発性で非一時的な記録媒体であり、推論装置100に対して着脱可能に構成される。記録媒体14は、プロセッサ12が実行する各種のプログラムを記録している。推論装置100が各種の処理を実行する際には、記録媒体14に記録されているプログラムがメモリ13にロードされ、プロセッサ12により実行される。
【0022】
データベース15は、IF11を通じて入力された観測情報等を記憶する。また、データベース15は、後述の攻撃者推定部22の処理により得られた推論結果等を記憶する。また、データベース15には、後述の攻撃者特徴情報が格納されている。
【0023】
表示部16は、例えば、液晶モニタ等のような表示装置により構成されている。また、表示部16は、必要に応じ、推論結果等の情報を表示する。
【0024】
入力部17は、例えば、キーボード、マウス及びタッチパネル等のような入力装置により構成されている。
【0025】
[機能構成]
図2は、第1実施形態に係る推論装置の機能構成を示す図である。
【0026】
推論装置100は、入力受付部21と、攻撃者推定部22と、情報出力部23と、を有している。
【0027】
入力受付部21は、ネットワークドメインNDXに対する攻撃に応じて実際に観測されたイベント等が記録されている観測ログの入力を受け付ける。
【0028】
具体的には、前述の観測ログには、例えば、ネットワークドメインNDXに属するいずれかのコンピュータにおいて実際に発生したイベントの内容と、当該イベントの発生時刻(タイムスタンプ)と、が時系列に沿って並べられた情報が含まれている。すなわち、前述の観測ログには、サイバー攻撃に係る情報が記録されている。
【0029】
攻撃者推定部22は、推論部31と、類似度取得部32と、攻撃者データベース33と、を有している。また、攻撃者推定部22は、入力受付部21において入力を受け付けた観測ログ(以降、観測ログLXと称する)に基づき、ネットワークドメインNDXに対して攻撃を行ったと推定される攻撃者に係る情報である攻撃者推定情報を得るための処理を行う。また、攻撃者推定部22は、前述の処理により得られた攻撃者推定情報を情報出力部23へ出力する。
【0030】
推論部31は、推論エンジン31aと、推論用ルール格納部31bと、を有している。また、推論部31は、観測ログLXと、攻撃者データベース33に格納されている攻撃者特徴情報AFJ(後述)と、に基づいて推論処理を行う。また、推論部31は、推論処理により得られた推論結果を類似度取得部32へ出力する。
【0031】
推論エンジン31aは、推論用ルール格納部31bに格納されている推論用ルールを用いた推論処理を行うことにより、攻撃者特徴情報AFJにより示される攻撃者がネットワークドメインNDXに対して攻撃を行った際に観測ログLXに相当する情報を残したと仮定した場合における、当該ネットワークドメインNDXに対する攻撃の全体像を推定する。また、推論エンジン31aは、攻撃者特徴情報AFJにより示される複数の攻撃者各々について推論処理を行う。すなわち、本実施形態の推論処理により得られる推論結果には、攻撃者特徴情報AFJにより示される複数の攻撃者各々が独立してネットワークドメインNDXに対して攻撃を行った際に観測ログLXに相当する情報を残したと仮定した場合における、当該ネットワークドメインNDXに対する複数の攻撃の全体像が含まれている。
【0032】
推論用ルール格納部31bには、推論エンジン31aの推論処理に用いられる推論用ルールが格納されている。
【0033】
なお、本実施形態の推論エンジン31aには、国際公開WO2021/090497号公報に開示されているような、重み付き仮説推論により生成された仮説候補に対し、観測の時間的な前後関係を反映させる技術が用いられているものとする。
【0034】
また、本実施形態の推論用ルール格納部31bには、国際公開WO2021/090497号公報に開示されているルール(推論知識)に対し、TTP(Tactics, Techniques and Procedures)の観点を組み込んだ推論用ルールが格納されているものとする。
【0035】
TTPは、攻撃者によるサイバー攻撃の手口を階層的に抽象化(モデル化)したフレームワークである。具体的には、例えば、MITRE社により開示されているTTPのフレームワーク(https://attack.mitre.org/)においては、攻撃者によるサイバー攻撃の手口が、「Tactics」、「Techniques」及び「Procedures」の3階層の抽象度で表されている。そして、以降においては、MITRE社により開示されているTTPのフレームワークが推論用ルールに組み込まれている場合を例に挙げて説明を行う。また、以降の説明においては、MITRE社により開示されているTTPのフレームワークを単にTTPと略記する。
【0036】
類似度取得部32は、推論部31により得られた推論結果と、攻撃者特徴情報AFJと、に基づき、当該攻撃者特徴情報AFJにより示される複数の攻撃者のうちの一の攻撃者がネットワークドメインNDXに対して攻撃を行ったと仮定した場合の攻撃の全体像と、当該攻撃者特徴情報AFJにより示される当該一の攻撃者の特徴と、がどの程度類似しているかを示す値である類似度を取得する。また、類似度取得部32は、攻撃者特徴情報AFJにより示される複数の攻撃者各々に対応する複数の類似度を取得し、当該取得した複数の類似度を降順に並べた攻撃者推定情報を生成し、当該生成した攻撃者推定情報を情報出力部23へ出力する。
【0037】
攻撃者データベース33には、複数の攻撃者各々の特徴を表す攻撃者特徴情報AFJが格納されている。
【0038】
攻撃者Zの特徴を表す攻撃者特徴情報AFJZには、当該攻撃者Zにより行われたと考えられる過去の攻撃事案における公開レポートの内容から類推した攻撃の手口をTTPに基づいて抽象化した情報である抽象化情報と、当該抽象化情報により表される攻撃の手口の特異性を評価した値である評価値と、を関連付けた情報が含まれている。すなわち、攻撃者特徴情報AFJには、複数の攻撃者各々の特徴を表す情報として、前述の攻撃者特徴情報AFJZと同様の情報が含まれている。
【0039】
本実施形態においては、TTPに基づく抽象化情報を作成する際の公開レポートとして、例えば、https://content.secureworks.com/~/media/Files/JP/Reports/Secureworks-Bronze-Butler-Report.ashx?modified=20180419151034等を用いることができる。
【0040】
情報出力部23は、攻撃者推定部22から出力される攻撃者推定情報等を表示するための表示画面を生成し、当該生成した表示画面を表示装置へ出力する。すなわち、情報出力部23は、表示画面生成手段としての機能を有している。また、情報出力部23は、攻撃者推定部22から出力される攻撃者推定情報等を含むデータを外部装置へ出力する。
【0041】
[推論装置において行われる処理の具体例]
ここで、本実施形態の推論装置100において行われる処理の具体例について説明する。図3は、第1実施形態に係る推論装置の推論処理に用いられる観測ログの一例を示す図である。
【0042】
(観測情報の入力)
入力受付部21は、ネットワークドメインND1に対する攻撃に応じて実際に観測された観測ログとして、図3に示すような観測ログL1の入力を受け付ける。
【0043】
図3の観測ログL1には、PC_123からPC_456へのセッションハイジャックが時刻T11において発生したこと、管理者権限が必要なタスクの予約が当該時刻T11よりも後の時刻T21において発生したこと、及び、大規模圧縮ファイルの作成が当該時刻T21よりも後の時刻T31において発生したことが記録されている。
【0044】
(推論処理)
推論部31は、観測ログL1と、攻撃者データベース33に格納されている攻撃者特徴情報AFJと、に基づいて推論処理を行う。
【0045】
図4及び図5は、第1実施形態に係る推論装置の推論処理に用いられる攻撃者特徴情報の一例を示す図である。
【0046】
攻撃者特徴情報AFJには、例えば、図4に示すような攻撃者特徴情報AFJAと、図5に示すような攻撃者特徴情報AFJBと、が含まれている。
【0047】
攻撃者特徴情報AFJAには、攻撃者Aの特徴を表す抽象化情報及び評価値が含まれている。また、攻撃者特徴情報AFJBには、攻撃者Bの特徴を表す抽象化情報及び評価値が含まれている。
【0048】
攻撃者特徴情報AFJAの抽象化情報のうちの「Lateral Movement」は、攻撃者Aにより行われたと考えられる過去の攻撃事案における公開レポートに含まれている「横断的侵害を行います」との文言から類推した攻撃の手口を抽象的に表したものに相当する。また、前述の「Lateral Movement」は、TTPにおいて最も高い抽象度に設定されている「Tactic」に相当する。
【0049】
攻撃者特徴情報AFJAの抽象化情報のうちの「Impact」は、攻撃者Aにより行われたと考えられる過去の攻撃事案における公開レポートに含まれている「基幹システムの制御に攻撃を加えます」との文言から類推した攻撃の手口を抽象的に表したものに相当する。また、前述の「Impact」は、TTPにおいて最も高い抽象度に設定されている「Tactic」に相当する。
【0050】
攻撃者特徴情報AFJAの抽象化情報のうちの「File Deletion」は、攻撃者Aにより行われたと考えられる過去の攻撃事案における公開レポートに含まれている「目的を達成後にその証跡を削除します」との文言から類推した攻撃の手口を抽象的に表したものに相当する。また、前述の「File Deletion」は、TTPにおいて2番目に高い抽象度に設定されている「Technique」に相当する。
【0051】
攻撃者特徴情報AFJBの抽象化情報のうちの「Lateral Movement」は、攻撃者Bにより行われたと考えられる過去の攻撃事案における公開レポートに含まれている「他端末に感染を拡大します」との文言から類推した攻撃の手口を抽象的に表したものに相当する。
【0052】
攻撃者特徴情報AFJBの抽象化情報のうちの「Privilege Escalation」は、攻撃者Bにより行われたと考えられる過去の攻撃事案における公開レポートに含まれている「認証サーバの管理者権限を窃取します」との文言から類推した攻撃の手口を抽象的に表したものに相当する。また、前述の「Privilege Escalation」は、TTPにおいて最も高い抽象度に設定されている「Tactic」に相当する。
【0053】
攻撃者特徴情報AFJBの抽象化情報のうちの「Data from Network Shared Drive⇒Data Compressed」は、攻撃者Bにより行われたと考えられる過去の攻撃事案における公開レポートに含まれている「情報収集と圧縮ファイルの生成を行います」との文言から類推した攻撃の手口を抽象的に表したものに相当する。また、前述の「Data from Network Shared Drive」及び「Data Compressed」は、TTPにおいて2番目に高い抽象度に設定されている「Technique」に相当する。
【0054】
なお、本実施形態においては、1つの公開レポートの内容に対応する抽象化情報として、「Tactics」、「Techniques」及び「Procedures」のうちのいずれかに相当する情報が1つ以上含まれていればよい。
【0055】
攻撃者特徴情報AFJA及びAFJBに含まれる評価値は、以下の数式(1)を用いて算出される値である。なお、以下の数式(1)において、EVは評価値を表し、AGNは攻撃者特徴情報AFJに含まれる攻撃者の総数を表し、ATNは当該攻撃者特徴情報AFJにおいて同一の抽象化情報を有する攻撃者の数を表し、lnは自然対数を表すものとする。
【0056】
【数1】
具体的には、例えば、「Lateral Movement」は、攻撃者特徴情報AFJA及びAFJBの両方に含まれているため、評価値EV=0となる。また、例えば、「Impact」は、攻撃者特徴情報AFJAに含まれている一方で攻撃者特徴情報AFJBには含まれていないため、評価値EV=ln(2)となる。
【0057】
図6及び図7は、第1実施形態に係る推論装置の推論処理により得られる推論結果の一例を説明するための図である。
【0058】
推論部31は、観測ログL1と、攻撃者特徴情報AFJAと、に基づいて推論処理を行うことにより、ネットワークドメインND1に対する攻撃が攻撃者Aによるものであると仮定した場合の推論結果として、例えば、図6に示すような推論結果HRAを取得する。また、推論部31は、観測ログL1と、攻撃者特徴情報AFJBと、に基づいて推論処理を行うことにより、ネットワークドメインND1に対する攻撃が攻撃者Bによるものであると仮定した場合の推論結果として、例えば、図7に示すような推論結果HRBを取得する。また、推論部31は、推論処理により得られた推論結果HRA及びHRBを類似度取得部32へ出力する。
【0059】
推論結果HRAは、攻撃者AがネットワークドメインND1に対して攻撃を行った際に観測ログL1に相当する情報を残したと仮定した場合における当該ネットワークドメインND1に対する攻撃の手口が階層的に抽象化された、攻撃者Aによる攻撃の全体像に相当する。
【0060】
推論結果HRBは、攻撃者AがネットワークドメインND1に対して攻撃を行った際に観測ログL1に相当する情報を残したと仮定した場合における当該ネットワークドメインND1に対する攻撃の手口が階層的に抽象化された、攻撃者Bによる攻撃の全体像に相当する。
【0061】
推論結果HRA及びHRB各々に含まれる抽象化情報(「Tactics」及び「Techniques」)は、推論エンジン31aにより適宜選択される。また、推論結果HRA及びHRB各々における発生時刻は、観測ログL1の発生時刻に対応する時刻として設定される。また、推論結果HRA及びHRB各々におけるログは、TTPにおいて3番目に高い(最も低い)抽象度に設定されている「Procedures」に相当する。また、図7の推論結果HRBにおける時刻T22の列に示す抽象化情報及びログは、観測ログL1及び攻撃者特徴情報AFJBに基づく仮説として、推論エンジン31aにより追加された攻撃の手口に相当する。時刻T22は、時刻T21よりも後かつ時刻T31よりも前の時刻に相当する。
【0062】
なお、本実施形態においては、どのような内容の抽象化情報及びログを仮説として追加するかについては、推論エンジン31aが適宜選択するものとする。また、本実施形態においては、仮説としての抽象化情報及びログをどこに追加するかについては、推論エンジン31aが適宜選択するものとする。
【0063】
(類似度の取得)
類似度取得部32は、推論部31により得られた推論結果HRAと、攻撃者特徴情報AFJAと、に基づき、攻撃者Aによる攻撃の全体像と、当該攻撃者特徴情報AFJAにより示される当該攻撃者Aの特徴と、がどの程度類似しているかを示す値である類似度DSAを取得する。また、類似度取得部32は、推論部31により得られた推論結果HRBと、攻撃者特徴情報AFJBと、に基づき、攻撃者Bによる攻撃の全体像と、当該攻撃者特徴情報AFJBにより示される当該攻撃者Bの特徴と、がどの程度類似しているかを示す値である類似度DSBを取得する。
【0064】
類似度DSA及びDSBは、例えば、TF-IDF(Term Trequency-Inverse Document Frequency)のアイデアに基づくコサイン類似度の計算を行うことにより取得することができる。
【0065】
ここで、類似度DSBの具体的な取得方法について説明する。
【0066】
類似度取得部32は、攻撃者特徴情報AFJBに含まれる抽象化情報と、推論結果HRBに含まれる抽象化情報と、を比較することにより、当該推論結果HRBの攻撃の手口における、当該攻撃者特徴情報AFJBに含まれる攻撃の手口の出現の有無を特定する。そして、このような類似度取得部32の処理によれば、推論結果HRBにおいて、「Lateral Movement」、「Privilege Escalation」、及び、「Data from Network Shared Drive⇒Data Compressed」が出現したことが特定される。
【0067】
類似度取得部32は、攻撃者特徴情報AFJBに含まれる評価値(0,ln(2),ln(2))と、前述のように特定した出現の有無を出現していれば1として記述しかつ出現していなければ0として記述した(1,1,1)と、における要素毎の積を計算することにより、計算結果(0,ln(2),ln(2))を取得する。
【0068】
類似度取得部32は、前述の評価値(0,ln(2),ln(2))と、前述の計算結果(0,ln(2),ln(2))と、を各々ベクトルとしてコサイン類似度を計算することにより、類似度DSBを取得する。
【0069】
コサイン類似度は、下記数式(2)により計算することができる。そのため、例えば、下記数式において、ベクトルXに評価値(0,ln(2),ln(2))を適用し、ベクトルYに計算結果(0,ln(2),ln(2))を適用することにより、cos(X,Y)に相当する類似度DSBの値として1を得ることができる
【0070】
【数2】
以上に述べた類似度DSBの取得方法は、類似度DSAの取得においても略同様に適用される。
【0071】
なお、本実施形態においては、上記数式(2)の分母の値が0になることに起因し、cos(X,Y)が解なしとなる場合には、類似度=0に設定される。従って、本実施形態の類似度取得部32は、類似度DSAの値として0を取得する。
【0072】
(攻撃者推定情報の表示等)
類似度取得部32は、攻撃者Aに対応する類似度DSAと、攻撃者Bに対応する類似度DSBと、を降順に並べた攻撃者推定情報ASJを生成し、当該生成した攻撃者推定情報ASJを情報出力部23へ出力する。図8は、第1実施形態に係る推論装置により生成される攻撃者推定情報の一例を示す図である。
【0073】
攻撃者推定情報ASJは、例えば、図8に示すような情報として生成される。具体的には、攻撃者推定情報ASJは、攻撃者特徴情報AFJに含まれる各攻撃者(に対応する名称)を、ネットワークドメインND1に対して攻撃を行った可能性の高い順に並べたランキング表として生成される。
【0074】
情報出力部23は、攻撃者推定部22から出力される攻撃者推定情報ASJに含まれるランキング表を表示するための表示画面を生成し、当該生成した表示画面を表示装置へ出力する。すなわち、情報出力部23は、複数の攻撃者各々に対応する複数の類似度が取得された場合に、各類似度を降順に並べたランキングを表示するための表示画面を生成する。
【0075】
本実施形態によれば、例えば、複数の過去の攻撃事案が攻撃者データベース33に格納されている場合において、類似度取得部32は、攻撃者推定情報ASJを生成する際に、当該複数の過去の攻撃事案の中で攻撃者AまたはBの特徴に類似している攻撃事案を取得し、当該取得した攻撃事案を前述のランキング表に対して加えるようにしてもよい。すなわち、本実施形態によれば、類似度取得部32は、攻撃者Aまたは攻撃者Bの特徴に類似している他の過去の攻撃事案を取得するようにしてもよい。
【0076】
本実施形態によれば、類似度取得部32は、類似度DSA及びDSBに基づき、攻撃者AがネットワークドメインND1に対して実際に攻撃を行った可能性(信頼度)の度合いを表す確率値PSAと、攻撃者BがネットワークドメインND1に対して実際に攻撃を行った可能性(信頼度)の度合いを表す確率値PSBと、を算出するようにしてもよい。具体的には、類似度取得部32は、例えば、類似度DSA及びDSBに対してソフトマックス関数を適用することにより、確率値PSA及びPSBの合計値が100%となるように各確率値を算出するようにしてもよい。また、本実施形態によれば、類似度取得部32は、攻撃者推定情報ASJを生成する際に、確率値PSA及びPSBを前述のランキング表に対して加えるようにしてもよい。
【0077】
本実施形態によれば、例えば、特定のマルウェアのハッシュ値、及び、サイバー攻撃の際に用いられたIPアドレス等のようなIoC(Indicator of Compromise)が攻撃者特徴情報AFJに含まれていてもよい。IoCは、攻撃者により行われた攻撃の痕跡を示す痕跡情報と言い換えてもよい。
【0078】
本実施形態によれば、推論部31が、攻撃者特徴情報AFJ及びIoCを用いて推論処理を行うようにしてもよい。また、本実施形態によれば、類似度取得部32が、攻撃者推定情報ASJを生成する際に、IoCを前述のランキング表に対して加えるようにしてもよい。
【0079】
本実施形態によれば、情報出力部23が、例えば、推論結果HRA及びHRBと、攻撃者特徴情報AFJA及びAFJBと、確率値PSA及びPSBと、に基づき、図9に示すような表示画面JDGを生成するようにしてもよい。換言すると、情報出力部23は、攻撃者による攻撃の全体像を表示するための表示画面を生成するものであってもよい。図9は、第1実施形態に係る推論装置の処理に応じて表示される表示画面の一例を説明するための図である。
【0080】
図9の表示画面JDGにおける左側の表示領域には、攻撃者A及び攻撃者Bのうちのいずれかを選択可能な選択欄SLRと、当該攻撃者Bが選択されていることを示す選択枠SLWと、確率値PSB(73%)と、確率値PSA(27%)と、が表示されている。また、選択欄SLRにおいては、確率値PSBに対応する攻撃者Bが最上部に表示されているとともに、確率値PSAに対応する攻撃者Aが当該攻撃者Bの下部に表示されている。また、図9の表示画面JDGにおける右側の表示領域には、選択欄SLRにおいて選択されている攻撃者Bによる攻撃の全体像ATBが表示されている。
【0081】
全体像ATBによれば、図7の「Tactic」に属する要素同士が、同図の発生時刻の順番に応じた向きの矢印により繋がれている。また、全体像ATBによれば、図7における一の発生時刻の「ログ」、「Technique」、「Tactic」が、この順番に応じた向きの矢印により繋がれている。また、全体像ATBによれば、推論結果HRBのうちの仮説として追加された要素(図7の時刻T22の列に相当する要素)が、他の要素とは異なる態様で表示されている。また、全体像ATBによれば、攻撃者特徴情報AFJB及び推論結果HRBの両者に共通している攻撃の手口が強調表示されている。
【0082】
なお、全体像ATBは、推論結果HRBのうちの仮説として追加された要素、並びに、攻撃者特徴情報AFJB及び当該推論結果HRBの両者に共通している攻撃の手口を識別可能な限りにおいては、色付きで表示されるものであってもよい。また、全体像ATBには、IoCを示す情報が含まれていてもよい。
【0083】
(処理フロー)
図10は、第1実施形態に係る推論装置において行われる処理を説明するためのフローチャートである。
【0084】
まず、入力受付部21は、ネットワークドメインND1に対する攻撃に応じて実際に観測されたイベント等が記録されている観測ログL1の入力を受け付ける(ステップS11)。
【0085】
次に、推論部31は、ステップS11において入力された観測ログL1と、攻撃者データベース33に格納されている攻撃者特徴情報AFJA及びAFJBと、に基づいて推論処理を行うことにより、推論結果HRA及びHRBを取得する(ステップS12)。
【0086】
次に、類似度取得部32は、ステップS12において得られた推論結果HRAと、攻撃者特徴情報AFJAと、に基づいて類似度DSAを取得する(ステップS13)。また、類似度取得部32は、ステップS12において得られた推論結果HRBと、攻撃者特徴情報AFJBと、に基づいて類似度DSBを取得する(ステップS13)。
【0087】
類似度取得部32は、ステップS13において得られた類似度DSA及びDSBを降順に並べた攻撃者推定情報ASJを生成し、当該生成した攻撃者推定情報ASJを情報出力部23へ出力する(ステップS14)。そして、このような類似度取得部32の処理に応じ、攻撃者推定情報ASJに含まれるランキング表が表示装置に表示される。
【0088】
以上に述べたように、本実施形態によれば、サイバー攻撃に係る情報が記録された観測ログと、過去の攻撃事案から類推した攻撃者の特徴と、に基づいて推論処理を行うとともに、当該推論処理により得られた攻撃の全体像と、当該攻撃者の特徴と、がどの程度似ているかを推定することができる。また、以上に述べたように、本実施形態によれば、例えば、大規模圧縮ファイルの作成等のような、明確な痕跡を残さない攻撃の手口が一連の攻撃プロセスに含まれている場合であっても、当該一連の攻撃プロセスを実際に行った攻撃者の推定に有用な情報を得ることができる。そのため、本実施形態によれば、サイバー攻撃を行う攻撃者の推定に係る推定精度を向上させることができる。
【0089】
(変形例)
以下、上記の実施形態に対する変形例を説明する。なお、以降においては、簡単のため、既述の処理等を適用可能な部分に関する具体的な説明を適宜省略するものとする。図11は、第1実施形態の変形例に係る推論装置において行われる処理を説明するためのフローチャートである。
【0090】
本実施形態の推論部31は、入力受付部21において入力を受け付けた観測ログL1に基づいてネットワークドメインND1に対する攻撃の全体像ATXを推定するための推論処理を行うものであってもよい。また、本実施形態の類似度取得部32は、全体像ATXと、攻撃者特徴情報AFJA及びAFJBと、を用いて類似度DSA及びDSBを取得するものであってもよい。このような処理の具体例について以下に述べる。
【0091】
まず、入力受付部21は、ネットワークドメインND1に対する攻撃に応じて実際に観測されたイベント等が記録されている観測ログL1の入力を受け付ける(ステップS21)。
【0092】
次に、推論部31は、ステップS21において入力された観測ログL1に基づいて推論処理を行うことにより、当該観測ログL1に対応する攻撃の手口が階層的に抽象化された攻撃の全体像ATXに相当する推論結果HRXを取得する(ステップS22)。
【0093】
ここで、推論結果HRXは、可能な限り仮説を含まずかつ観測ログL1に近いものとして取得される。そのため、ステップS22においては、図6の推論結果HRAと同様の推論結果HRXが取得される。
【0094】
次に、類似度取得部32は、ステップS22において得られた推論結果HRXと、攻撃者特徴情報AFJAと、に基づき、全体像ATXと、当該攻撃者特徴情報AFJAにより示される当該攻撃者Aの特徴と、がどの程度類似しているかを示す値である類似度DSCを取得する(ステップS23)。また、類似度取得部32は、ステップS22において得られた推論結果HRXと、攻撃者特徴情報AFJBと、に基づき、全体像ATXと、当該攻撃者特徴情報AFJBにより示される当該攻撃者Bの特徴と、がどの程度類似しているかを示す値である類似度DSDを取得する(ステップS23)。
【0095】
ステップS23においては、前述の方法と同様の方法を用いて類似度を取得することができる。そのため、ステップS23においては、類似度DSCの値として0が取得されるとともに、類似度DSDの値として1/√2が取得される。
【0096】
類似度取得部32は、ステップS23において得られた類似度DSC及びDSDを降順に並べた攻撃者推定情報ASKを生成し、当該生成した攻撃者推定情報ASKを情報出力部23へ出力する(ステップS24)。そして、このような類似度取得部32の処理に応じ、攻撃者推定情報ASKに含まれるランキング表が表示装置に表示される。なお、攻撃者推定情報ASKは、図8に例示した攻撃者推定情報ASJと同様のものとして生成される。
【0097】
以上に述べたように、本変形例によれば、サイバー攻撃に係る情報が記録された観測ログに基づいて推論処理を行うとともに、当該推論処理により得られた攻撃の全体像と、過去の攻撃事案から類推した攻撃者の特徴と、がどの程度似ているかを推定することができる。また、以上に述べたように、本変形例によれば、例えば、大規模圧縮ファイルの作成等のような、明確な痕跡を残さない攻撃の手口が一連の攻撃プロセスに含まれている場合であっても、当該一連の攻撃プロセスを実際に行った攻撃者の推定に有用な情報を得ることができる。そのため、本変形例によれば、サイバー攻撃を行う攻撃者の推定に係る推定精度を向上させることができる。
【0098】
<第2の実施形態>
図12は、第2の実施形態に係る推論装置の機能構成を示すブロック図である。
【0099】
本実施形態に係る推論装置100Aは、推論装置100と同様のハードウェア構成を有している。また、推論装置100Aは、推論手段41と、類似度取得手段42と、を有している。
【0100】
図13は、第2の実施形態に係る推論装置において行われる処理を説明するためのフローチャートである。
【0101】
推論手段41は、サイバー攻撃に係る情報が記録された観測ログと、過去の攻撃事案から類推した攻撃者の特徴と、に基づく推論処理を行うことにより、前記攻撃者が前記観測ログに相当する情報を残したと仮定した場合における攻撃の手口が階層的に抽象化された、前記攻撃者による攻撃の全体像を取得する(ステップS41)。
【0102】
類似度取得手段42は、攻撃者による攻撃の全体像と、攻撃者の特徴と、がどの程度類似しているかを示す値である類似度を取得する(ステップS42)。
【0103】
本実施形態によれば、サイバー攻撃を行う攻撃者の推定に係る推定精度を向上させることができる。
【0104】
<第3の実施形態>
図14は、第3の実施形態に係る推論装置の機能構成を示すブロック図である。
【0105】
本実施形態に係る推論装置100Bは、推論装置100と同様のハードウェア構成を有している。また、推論装置100Bは、推論手段51と、類似度取得手段52と、を有している。
【0106】
図15は、第3の実施形態に係る推論装置において行われる処理を説明するためのフローチャートである。
【0107】
推論手段51は、サイバー攻撃に係る情報が記録された観測ログに基づく推論処理を行うことにより、前記観測ログに対応する攻撃の手口が階層的に抽象化された、攻撃の全体像を取得する(ステップS51)。
【0108】
類似度取得手段52は、攻撃の全体像と、過去の攻撃事案から類推した攻撃者の特徴と、がどの程度類似しているかを示す値である類似度を取得する(ステップS52)。
【0109】
本実施形態によれば、サイバー攻撃を行う攻撃者の推定に係る推定精度を向上させることができる。
【0110】
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
【0111】
(付記1)
サイバー攻撃に係る情報が記録された観測ログと、過去の攻撃事案から類推した攻撃者の特徴と、に基づく推論処理を行うことにより、前記攻撃者が前記観測ログに相当する情報を残したと仮定した場合における攻撃の手口が階層的に抽象化された、前記攻撃者による攻撃の全体像を取得する推論手段と、
前記攻撃者による攻撃の全体像と、前記攻撃者の特徴と、がどの程度類似しているかを示す値である類似度を取得する類似度取得手段と、
を備える推論装置。
【0112】
(付記2)
サイバー攻撃に係る情報が記録された観測ログに基づく推論処理を行うことにより、前記観測ログに対応する攻撃の手口が階層的に抽象化された、攻撃の全体像を取得する推論手段と、
前記攻撃の全体像と、過去の攻撃事案から類推した攻撃者の特徴と、がどの程度類似しているかを示す値である類似度を取得する類似度取得手段と、
を備える推論装置。
【0113】
(付記3)
前記類似度取得手段は、さらに、前記攻撃者の特徴に類似している他の過去の攻撃事案を取得する付記1または2の推論装置。
【0114】
(付記4)
前記類似度取得手段は、前記類似度に基づき、前記攻撃者が実際に攻撃を行った可能性の度合いを表す確率値を算出する付記1または2の推論装置。
【0115】
(付記5)
前記攻撃者の特徴には、前記攻撃者により行われた攻撃の痕跡を示す痕跡情報が含まれている付記1または2の推論装置。
【0116】
(付記6)
複数の前記攻撃者各々に対応する複数の前記類似度が取得された場合に、各類似度を降順に並べたランキングを表示するための表示画面を生成する表示画面生成手段をさらに有する付記1または2の推論装置。
【0117】
(付記7)
前記攻撃者による攻撃の全体像を表示するための表示画面を生成する表示画面生成手段をさらに有する付記1の推論装置。
【0118】
(付記8)
サイバー攻撃に係る情報が記録された観測ログと、過去の攻撃事案から類推した攻撃者の特徴と、に基づく推論処理を行うことにより、前記攻撃者が前記観測ログに相当する情報を残したと仮定した場合における攻撃の手口が階層的に抽象化された、前記攻撃者による攻撃の全体像を取得し、
前記攻撃者による攻撃の全体像と、前記攻撃者の特徴と、がどの程度類似しているかを示す値である類似度を取得する推論方法。
【0119】
(付記9)
サイバー攻撃に係る情報が記録された観測ログに基づく推論処理を行うことにより、前記観測ログに対応する攻撃の手口が階層的に抽象化された、攻撃の全体像を取得し、
前記攻撃の全体像と、過去の攻撃事案から類推した攻撃者の特徴と、がどの程度類似しているかを示す値である類似度を取得する推論方法。
【0120】
(付記10)
サイバー攻撃に係る情報が記録された観測ログと、過去の攻撃事案から類推した攻撃者の特徴と、に基づく推論処理を行うことにより、前記攻撃者が前記観測ログに相当する情報を残したと仮定した場合における攻撃の手口が階層的に抽象化された、前記攻撃者による攻撃の全体像を取得し、
前記攻撃者による攻撃の全体像と、前記攻撃者の特徴と、がどの程度類似しているかを示す値である類似度を取得する処理をコンピュータに実行させるプログラムを記録した記録媒体。
【0121】
(付記11)
サイバー攻撃に係る情報が記録された観測ログに基づく推論処理を行うことにより、前記観測ログに対応する攻撃の手口が階層的に抽象化された、攻撃の全体像を取得し、
前記攻撃の全体像と、過去の攻撃事案から類推した攻撃者の特徴と、がどの程度類似しているかを示す値である類似度を取得する処理をコンピュータに実行させるプログラムを記録した記録媒体。
【0122】
以上、実施形態及び実施例を参照して本開示を説明したが、本開示は上記実施形態及び実施例に限定されるものではない。本開示の構成や詳細には、本開示のスコープ内で当業者が理解し得る様々な変更をすることができる。
【符号の説明】
【0123】
12 プロセッサ
21 入力受付部
22 攻撃者推定部
23 情報出力部
31 推論部
32 類似度取得部
33 攻撃者データベース
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
図14
図15
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.