知財求人 - 知財ポータルサイト「IP Force」
▶ KDDI株式会社の特許一覧 ▶ KDDIデジタルセキュリティ株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-12-05
(45)【発行日】2024-12-13
(54)【発明の名称】攻撃検知装置、攻撃検知方法及び攻撃検知プログラム
(51)【国際特許分類】
G06F 21/55 20130101AFI20241206BHJP
【FI】
G06F21/55 320
【請求項の数】
11
(21)【出願番号】P 2021142311
(22)【出願日】2021-09-01
(65)【公開番号】P2023035449
(43)【公開日】2023-03-13
【審査請求日】2023-10-23
(73)【特許権者】
【識別番号】000208891
【氏名又は名称】KDDI株式会社
(73)【特許権者】
【識別番号】519429510
【氏名又は名称】KDDIデジタルセキュリティ株式会社
(74)【代理人】
【識別番号】100106002
【弁理士】
【氏名又は名称】正林 真之
(74)【代理人】
【識別番号】100120891
【弁理士】
【氏名又は名称】林 一好
(72)【発明者】
【氏名】田中 翔真
(72)【発明者】
【氏名】松中 隆志
(72)【発明者】
【氏名】窪田 歩
(72)【発明者】
【氏名】浦川 順平
【審査官】塩澤 如正
(56)【参考文献】
【文献】特開2009-217555(JP,A)
【文献】特開2018-148270(JP,A)
【文献】山村 翔 ほか,変化点検知を用いた新種スキャンの早期発見手法の検討,CSS2017 コンピュータセキュリティシンポジウム2017 論文集,日本,一般社団法人情報処理学会 コンピュータセキュリティ研究会 セキュリティ心理学とトラスト研究会,2017年10月16日,pp.823-830
【文献】平石 陽太 ほか,トラヒックパターン自動生成におけるDos攻撃検知,電子情報通信学会技術研究報告,日本,社団法人電子情報通信学会,2004年09月03日,第104巻,pp.13-18
【文献】平石 陽太 ほか,トラフィックパターンを用いた信頼性の高いDoS攻撃検出手法,マルチメディア,分散,協調とモバイル(DICOMO 2003)シンポジウム論文集,日本,社団法人情報処理学会,2003年06月04日,pp.361-364
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/00-21/88
(57)【特許請求の範囲】
【請求項1】
ネットワーク上で実行される攻撃について分析するための分析対象データを受領し、前記分析対象データについて、所定の集計項目ごとに観測件数を集計し、集計した前記観測件数を時系列データとして記録するように構成されている集計部と、前記時系列データについて前記集計項目ごとに所定期間にわたり時系列分析を行って変化点スコアを算出し、算出した前記変化点スコアに基づいて前記時系列データの時系列傾向の変化点を検知するように構成されている変化点検知部と、
前記変化点が検知された場合に、当該変化点検知時点直前の所定時間における前記時系列傾向に増加傾向があるか判定し、増加傾向があると判定した場合、前記変化点検知時点にネットワーク上における攻撃を検知したと判定してその旨を出力するように構成されている集計値傾向判定部と、
を備え、
前記集計値傾向判定部が、前記時系列傾向に増加傾向があるか判定した前記時系列データに係わる前記集計項目以外の他の少なくとも一の集計項目に係わる前記時系列データの時系列傾向について増加傾向があるかさらに判定し、増加傾向があると判定した場合、前記変化点検知時点にネットワーク上における攻撃を検知したと判定してその旨を出力する、攻撃検知装置。
【請求項2】
前記集計値傾向判定部が、前記変化点検知時点直前の所定時間における前記集計項目に対する前記時系列データに基づいて一次関数への線形回帰処理を行い、求められた回帰直線の傾きが所定の閾値よりも大であると判定した場合、前記時系列データの時系列傾向に増加傾向があると判定する、請求項1に記載の攻撃検知装置。
【請求項3】
前記集計値傾向判定部が、前記変化点検知時点直前の所定時間における前記集計項目に関するすべての集計値が所定の閾値よりも大であるとさらに判定した場合、前記時系列データの時系列傾向に増加傾向があると判定する、請求項2に記載の攻撃検知装置。
【請求項4】
前記集計値傾向判定部が、前記変化点検知時点直前の所定時間における前半期間の集計値の最大値より、前記変化点検知時点直前の所定時間における後半期間の集計値の最大値の方が大であるとさらに判定した場合、前記時系列データの時系列傾向に増加傾向があると判定する、請求項2に記載の攻撃検知装置。
【請求項5】
前記集計値傾向判定部が、前記変化点検知時点直前の所定時間において、当該所定時間における集計値について、その集計値のうちの最大値の所定割合以上の集計値をとる時点が所定の閾値以上存在するとさらに判定した場合、前記時系列データの時系列傾向に増加傾向があると判定する、請求項2に記載の攻撃検知装置。
【請求項6】
前記集計値傾向判定部が、前記変化点検知時点直前の所定時間における集計値の最大値が所定の閾値以上であるとさらに判定した場合、前記時系列データの時系列傾向に増加傾向があると判定する、請求項2に記載の攻撃検知装置。
【請求項7】
情報処理装置が、ネットワーク上で実行される攻撃について分析するための分析対象データを受領し、前記分析対象データについて、所定の集計項目ごとに観測件数を集計し、集計した前記観測件数を時系列データとして記録する処理と、
前記時系列データについて前記集計項目ごとに所定期間にわたり時系列分析を行って変化点スコアを算出し、算出した前記変化点スコアに基づいて前記時系列データの時系列傾向の変化点を検知する処理と、
前記変化点が検知された場合に、当該変化点検知時点直前の所定時間における前記時系列傾向に増加傾向があるか判定し、増加傾向があると判定した場合、前記変化点検知時点にネットワーク上における攻撃を検知したと判定してその旨を出力する処理と、
前記時系列傾向に増加傾向があるか判定した前記時系列データに係わる前記集計項目以外の他の少なくとも一の集計項目に係わる前記時系列データの時系列傾向について増加傾向があるかさらに判定し、増加傾向があると判定した場合、前記変化点検知時点にネットワーク上における攻撃を検知したと判定してその旨を出力する処理と、
を実行する攻撃検知方法。
【請求項8】
前記情報処理装置が、前記変化点検知時点直前の所定時間における前記集計項目に対する前記時系列データに基づいて一次関数への線形回帰処理を行い、求められた回帰直線の傾きが所定の閾値よりも大であると判定した場合、前記時系列データの時系列傾向に増加傾向があると判定する、請求項7に記載の攻撃検知方法。
【請求項9】
前記情報処理装置が、前記変化点検知時点直前の所定時間における前記集計項目に関するすべての集計値が所定の閾値よりも大であるとさらに判定した場合、前記時系列データの時系列傾向に増加傾向があると判定する、請求項8に記載の攻撃検知方法。
【請求項10】
前記情報処理装置が、前記変化点検知時点直前の所定時間における前半期間の集計値の最大値より、前記変化点検知時点直前の所定時間における後半期間の集計値の最大値の方が大であるとさらに判定した場合、前記時系列データの時系列傾向に増加傾向があると判定する、請求項8に記載の攻撃検知方法。
【請求項11】
情報処理装置に、ネットワーク上で実行される攻撃について分析するための分析対象データを受領し、前記分析対象データについて、所定の集計項目ごとに観測件数を集計し、集計した前記観測件数を時系列データとして記録する処理と、
前記時系列データについて前記集計項目ごとに所定期間にわたり時系列分析を行って変化点スコアを算出し、算出した前記変化点スコアに基づいて前記時系列データの時系列傾向の変化点を検知する処理と、
前記変化点が検知された場合に、当該変化点検知時点直前の所定時間における前記時系列傾向に増加傾向があるか判定し、増加傾向があると判定した場合、前記変化点検知時点にネットワーク上における攻撃を検知したと判定してその旨を出力する処理と、
前記時系列傾向に増加傾向があるか判定した前記時系列データに係わる前記集計項目以外の他の少なくとも一の集計項目に係わる前記時系列データの時系列傾向について増加傾向があるかさらに判定し、増加傾向があると判定した場合、前記変化点検知時点にネットワーク上における攻撃を検知したと判定してその旨を出力する処理と、
を実行させる、攻撃検知プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク上での攻撃を検知するための装置、方法及びプログラムに関する。
【背景技術】
【0002】
ネットワーク上にある特定のサーバ等を標的として大量のトラフィックを送信して攻撃し、その動作を阻害するDoS攻撃等のアクティビティが問題となっている。ネットワーク上の攻撃を早期に発見するための技術は、例えば非特許文献1、非特許文献2に開示されている。
非特許文献1では、時系列データにおいて時系列傾向が変化する時点である変化点を検知するための手法であるChangeFinderが提案されている。ChangeFinderでは、時系列データのある時点における時系列傾向の変化を定量的に把握するために、変化点スコアを算出する。変化点スコアの値は、例えば二段階学習とSDAR(Sequentially Discounting Auto Regressive learning)アルゴリズムを用いて算出される。
非特許文献2では、複数拠点に設置したハニーポットが受信したトラフィックについての情報に関し、その時系列傾向の変化に基づいて、新種の脆弱性の探索活動(スキャン)を検知する手法を提案している。具体的には、複数のハニーポットから定期的にログ情報を収集し、データベースに登録する。ログ情報には、通信プロトコル、送信元IPアドレス、送信先ポート番号、アクセス数、単位時間当たりの受信パケット数等の情報が含まれる。登録されたログ情報に基づいて、ハニーポットごとに通信プロトコル、送信先ポート番号のアクセス数、単位時間当たり受信パケット数の最大値を集計し、時系列データを作成する。そのデータの時系列傾向の変化は、例えばChangeFinderにより変化点として検知される。検知された変化点は、新種の可能性のある攻撃、あるいは攻撃傾向の変化が生じたものと推定することができる。新種スキャンは、単位時間当たりの受信パケット数に基づいて検知することができ、これにより攻撃者が新たに実行するDDoS攻撃を早期に発見して対策することが可能となるとしている。
非特許文献1では、時系列データにおいて時系列傾向が変化する時点である変化点を検知するための手法であるChangeFinderが提案されている。ChangeFinderでは、時系列データのある時点における時系列傾向の変化を定量的に把握するために、変化点スコアを算出する。変化点スコアの値は、例えば二段階学習とSDAR(Sequentially Discounting Auto Regressive learning)アルゴリズムを用いて算出される。
非特許文献2では、複数拠点に設置したハニーポットが受信したトラフィックについての情報に関し、その時系列傾向の変化に基づいて、新種の脆弱性の探索活動(スキャン)を検知する手法を提案している。具体的には、複数のハニーポットから定期的にログ情報を収集し、データベースに登録する。ログ情報には、通信プロトコル、送信元IPアドレス、送信先ポート番号、アクセス数、単位時間当たりの受信パケット数等の情報が含まれる。登録されたログ情報に基づいて、ハニーポットごとに通信プロトコル、送信先ポート番号のアクセス数、単位時間当たり受信パケット数の最大値を集計し、時系列データを作成する。そのデータの時系列傾向の変化は、例えばChangeFinderにより変化点として検知される。検知された変化点は、新種の可能性のある攻撃、あるいは攻撃傾向の変化が生じたものと推定することができる。新種スキャンは、単位時間当たりの受信パケット数に基づいて検知することができ、これにより攻撃者が新たに実行するDDoS攻撃を早期に発見して対策することが可能となるとしている。
【先行技術文献】
【非特許文献】
【0003】
【文献】Kenji Yamanishi, Jun-ichi Takeuchi, “A Unifying Framework for Detecting Outliers and Change Points from Non-stationary Time Series Data”, IEEE Transactions on Knowledge and Data Engineering, Vol. 18, No. 4, pp. 482-492, 2006
【文献】山村 翔、熊谷 充敏、神谷 和憲、倉上 弘、「変化点検知を用いた新種スキャンの早期発見手法の検討」、コンピュータセキュリティシンポジウム2017論文集、2017年10月、pp.823-830
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、非特許文献2は、DoS攻撃の予兆と考えられているスキャンの発生の検出に特化しており、ネットワーク上のサーバの脆弱性を狙うようなその他の攻撃において新たな攻撃の発生を予測するものではないという問題があった。また、非特許文献1で提案されているChangeFinderのような時系列傾向の変化点を検出する手法を単純に攻撃発生の推測に適用した場合、攻撃パケットが急激に減少した場合においても算出される変化点スコアの値が増加するため、当該スコアの増減のみから、攻撃発生との因果関係が強いと思われる攻撃パケットの急増のみを正確に検知することは難しいという問題もあった。
【0005】
本発明の目的の一つは、ネットワーク上で行われる種々の攻撃について早期に精度よく検知することを可能とする攻撃検知装置、攻撃検知方法及び攻撃検知プログラムを提供することである。
【課題を解決するための手段】
【0006】
本発明の一つに係る攻撃検知装置は、ネットワーク上で実行される攻撃について分析するための分析対象データを受領し、前記分析対象データについて、所定の集計項目ごとに観測件数を集計し、集計した前記観測件数を時系列データとして記録するように構成されている集計部と、前記時系列データについて前記集計項目ごとに所定期間にわたって時系列分析を行って変化点スコアを算出し、算出した前記変化点スコアに基づいて前記時系列データの時系列傾向の変化点を検知するように構成されている変化点検知部と、前記変化点が検知された場合に、当該変化点検知時点直前の所定時間における前記時系列傾向に増加傾向があるか判定し、増加傾向があると判定した場合、前記変化点検知時点にネットワーク上における攻撃を検知したと判定してその旨を出力するように構成されている集計値傾向判定部とを備えている。
【0007】
前記集計値傾向判定部が、前記変化点検知時点直前の所定時間における前記集計項目に対する前記時系列データに基づいて一次関数への線形回帰処理を行い、求められた回帰直線の傾きが所定の閾値よりも大であると判定した場合、前記時系列データの時系列傾向に増加傾向があると判定するようにしてもよい。
【0008】
前記集計値傾向判定部が、前記時系列傾向に増加傾向があるか判定した前記時系列データに係わる前記集計項目以外の他の少なくとも一の集計項目に係わる前記時系列データの時系列傾向について増加傾向があるかさらに判定し、増加傾向があると判定した場合、前記変化点検知時点にネットワーク上における攻撃を検知したと判定してその旨を出力するとしてもよい。
【0009】
前記集計値傾向判定部が、前記変化点検知時点直前の所定時間における前記集計項目に関するすべての集計値が所定の閾値よりも大であると判定した場合、前記時系列データの時系列傾向に増加傾向があると判定するようにしてもよい。
【0010】
前記集計値傾向判定部が、前記変化点検知時点直前の所定時間における前半期間の集計値の最大値より、前記変化点検知時点直前の所定時間における後半期間の集計値の最大値の方が大であると判定した場合、前記時系列データの時系列傾向に増加傾向があると判定するようにしてもよい。
【0011】
前記集計値傾向判定部が、前記変化点検知時点直前の所定時間において、当該所定時間における集計値について、その集計値のうちの最大値の所定割合以上の集計値をとる時点が所定の閾値以上存在すると判定した場合、前記時系列データの時系列傾向に増加傾向があると判定するようにしてもよい。
【0012】
前記集計値傾向判定部が、前記変化点検知時点直前の所定時間における集計値の最大値が所定の閾値以上であると判定した場合、前記時系列データの時系列傾向に増加傾向があると判定するようにしてもよい。
【0013】
本発明の他の態様に係る攻撃検知方法では、情報処理装置が、ネットワーク上で実行される攻撃について分析するための分析対象データを受領し、前記分析対象データについて、所定の集計項目ごとに観測件数を集計し、集計した前記観測件数を時系列データとして記録する処理と、前記時系列データについて前記集計項目ごとに所定期間にわたって時系列分析を行って変化点スコアを算出し、算出した前記変化点スコアに基づいて前記時系列データの時系列傾向の変化点を検知する処理と、前記変化点が検知された場合に、当該変化点検知時点直前の所定時間における前記時系列傾向に増加傾向があるか判定し、増加傾向があると判定した場合、前記変化点検知時点にネットワーク上における攻撃を検知したと判定してその旨を出力する処理とを実行する。
【0014】
本発明の他の態様に係る攻撃検知プログラムは、前記攻撃検知装置としてコンピュータを機能させるためのものである。
【発明の効果】
【0015】
本発明によれば、ネットワーク上で行われる種々の攻撃について早期に精度よく検知することが可能となる。
【図面の簡単な説明】
【0016】
【図1】本発明の一実施形態における攻撃検知装置の機能構成を例示する図である。
【図2】一実施形態における攻撃検知装置が備える集計部に与えられる入力データを例示する図である。
【図3】一実施形態における集計部によって作成される集計データを例示する図である。
【図4】一実施形態における攻撃検知装置による時系列傾向の変化点検知処理を例示的に説明する図である。
【図5】一実施形態における攻撃検知装置による集計値の増加傾向検知処理を例示的に説明する図である。
【図6】一実施形態における攻撃検知装置による攻撃検知の処理手順を例示するフローチャートである。
【図7】攻撃検知情報の出力表示例を示す図である。
【発明を実施するための形態】
【0017】
以下、本発明について、その実施形態に即して添付図面を参照しながら説明する。
本実施形態における攻撃検知装置は、他のネットワーク上の監視装置(例えば侵入検知システム(Intrusion Detection System、以下「IDS」と称する))が出力する監視ログ等を攻撃検知に関する分析対象のデータとして取り込み、所定の集計項目に従って時系列に集計して時系列データを生成する。そして攻撃検知装置は、時系列データについてその時系列傾向を分析し、時系列傾向が変化したこと、及び時系列傾向の変化が検知された集計項目について、その直近所定時間における集計値が増加していると判定した場合に、攻撃、あるいは攻撃の予兆を検知したと判定してその旨を出力する。
なお、攻撃検知装置にIDS等の監視装置の構成を備えておき、ネットワーク上のトラフィックデータを攻撃検知装置に直接取り込むようにしてもよい。
本実施形態における攻撃検知装置は、他のネットワーク上の監視装置(例えば侵入検知システム(Intrusion Detection System、以下「IDS」と称する))が出力する監視ログ等を攻撃検知に関する分析対象のデータとして取り込み、所定の集計項目に従って時系列に集計して時系列データを生成する。そして攻撃検知装置は、時系列データについてその時系列傾向を分析し、時系列傾向が変化したこと、及び時系列傾向の変化が検知された集計項目について、その直近所定時間における集計値が増加していると判定した場合に、攻撃、あるいは攻撃の予兆を検知したと判定してその旨を出力する。
なお、攻撃検知装置にIDS等の監視装置の構成を備えておき、ネットワーク上のトラフィックデータを攻撃検知装置に直接取り込むようにしてもよい。
【0018】
図1は、本実施形態における攻撃検知装置1の機能構成例を示す図である。
攻撃検知装置1は、サーバ又はパーソナルコンピュータなどの情報処理装置(コンピュータ)であり、制御部10及び記憶部20の他、各種データの入出力デバイス及び通信デバイスなどを備える。
攻撃検知装置1は、サーバ又はパーソナルコンピュータなどの情報処理装置(コンピュータ)であり、制御部10及び記憶部20の他、各種データの入出力デバイス及び通信デバイスなどを備える。
【0019】
制御部10は、攻撃検知装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、本実施形態における攻撃検知装置1の各機能を実現する。制御部10は、CPU等のプロセッサであってよい。
【0020】
記憶部20は、ハードウェア群を攻撃検知装置1として機能させるための各種プログラム、及び各種データなどの記憶領域であり、ROM、RAM、フラッシュメモリ又はハードディスク(HDD)などであってよい。具体的には、記憶部20は、本実施形態の各機能を制御部10に実行させるためのプログラム(攻撃検知プログラム)、各種パラメータ、外部の監視装置等から入力される入力データ、後述する集計部が作成する時系列データ、集計項目ごとの集計データなどを記憶する。
【0021】
制御部10は、集計部11と、検知部12とを備える。また検知部12は、変化点検知部121と、集計値傾向判定部122とを備える。
制御部10は、これらの機能部により、ネットワークから取り込んだ分析対象データに基づいて集計項目ごとに所定期間にわたって時系列データを生成し、その時系列データの時系列傾向に変化が生じたかを検知する。時系列傾向に変化が生じたと判定した場合、対応する集計項目の直近所定時間の単位時間当たりの集計件数に増加傾向が見られるかを判定し、増加傾向が見られると判定した場合、攻撃あるいは攻撃の予兆を検知したと判定して攻撃検知情報を出力する。
制御部10は、これらの機能部により、ネットワークから取り込んだ分析対象データに基づいて集計項目ごとに所定期間にわたって時系列データを生成し、その時系列データの時系列傾向に変化が生じたかを検知する。時系列傾向に変化が生じたと判定した場合、対応する集計項目の直近所定時間の単位時間当たりの集計件数に増加傾向が見られるかを判定し、増加傾向が見られると判定した場合、攻撃あるいは攻撃の予兆を検知したと判定して攻撃検知情報を出力する。
【0022】
本実施形態において、攻撃検知装置1がネットワークから取り込む分析対象データは、例えばネットワーク上にある他の監視装置から取得されるログデータである。図2に、本実施形態における攻撃検知装置1への入力データ21の構成例を示している。図2の例では、攻撃検知装置1に取り込まれるログデータは、該当データの検知日時、検知名を示すシグネチャ、当該検知に係る攻撃の種別、送信元IPアドレス、送信先IPアドレス等の情報が含まれる。なお、図2の入力データ21に含まれる情報の種類は例示であって、これらの情報に加えて、あるいはこれらの情報のいずれかに代えて他の情報を含めるようにしてもよい。
【0023】
集計部11は、ログデータを逐次取り込んで、図2に示すように、取り込み順の時系列に整理した時系列データである入力データ21を生成する。生成された入力データ21は、記憶部20に格納される。
【0024】
集計部11は、記憶部20に格納されている入力データ21に基づいて、あらかじめ指定した集計項目ごとに単位時間当たりの分析対象データの観測件数を時系列に集計して時系列データである集計データ22を生成する。
このときの集計項目としては入力データ21に含まれる情報の項目、例えば、前記のシグネチャ、攻撃種別等が挙げられる。なお、入力データ21の情報の項目のうちの2つ以上の項目を組み合わせてあらたな集計項目と規定し、そのあらたな集計項目ごとに集計してもよい。図3に集計データ22の構成例を示している。図3の例では、集計項目としてシグネチャと攻撃種別との組み合わせを採用しており、時間帯ごとに該当する集計項目の観測件数を集計している。集計データ22は、時間帯ごと、集計項目ごとに観測された件数についての時系列データとなっている。
このときの集計項目としては入力データ21に含まれる情報の項目、例えば、前記のシグネチャ、攻撃種別等が挙げられる。なお、入力データ21の情報の項目のうちの2つ以上の項目を組み合わせてあらたな集計項目と規定し、そのあらたな集計項目ごとに集計してもよい。図3に集計データ22の構成例を示している。図3の例では、集計項目としてシグネチャと攻撃種別との組み合わせを採用しており、時間帯ごとに該当する集計項目の観測件数を集計している。集計データ22は、時間帯ごと、集計項目ごとに観測された件数についての時系列データとなっている。
【0025】
検知部12は、変化点検知部121と、集計値傾向判定部122とを備えている。変化点検知部121は、図3に例示する集計データ22に対してChangeFinderによる変化点検知処理を行い、ネットワーク上の攻撃、あるいは攻撃の予兆としての、特定集計項目のデータの観測件数に有意な変化点が生じているかを、過去所定時間にわたって分析する。ChangeFinderによる変化点検知については例えば前記の非特許文献1に記載されている。
具体的には、変化点検知部121は、第1段階の学習として、時系列データXtとしての所定期間の集計データ22から自己回帰(AR)モデルに基づいて、各時刻tに対してオンライン忘却型学習アルゴリズムであるSDARアルゴリズムによる学習を行って確率密度関数を求める。学習した確率密度関数から、各時刻tについてデータXtの外れ値スコアを、シャノン情報量として計算する。次いで、一定時間Tに含まれるデータの外れ値スコアの平均を計算し、時間Tによって移動平均スコアの時系列を構成する。さらに第2段階の学習として、移動平均スコアの時系列に対してARモデルを当てはめ、学習させた時系列を求め、各時刻tにおいてシャノン情報量を、時刻tの変化点スコアとして計算する。ChangeFinderでは、上記の学習過程をオンラインで実行することができ、変化点スコアが大きいほどその時刻tが変化点である度合いが高いと判定される。変化点検知部121では、算出された変化点スコアがあらかじめ設定した所定の閾値より大となった場合に、対応する時刻が変化点であると判定するようにしている。
なお、ChangeFinderによる変化点検知処理は、オンライン学習により変化点スコアをリアルタイムで算出可能であること、SDARモデルを用いていることにより、学習プロセスでの計算量を低減可能であること等の点で有利であるが、他の手法による変化点検知を適用することを妨げるものではない。
具体的には、変化点検知部121は、第1段階の学習として、時系列データXtとしての所定期間の集計データ22から自己回帰(AR)モデルに基づいて、各時刻tに対してオンライン忘却型学習アルゴリズムであるSDARアルゴリズムによる学習を行って確率密度関数を求める。学習した確率密度関数から、各時刻tについてデータXtの外れ値スコアを、シャノン情報量として計算する。次いで、一定時間Tに含まれるデータの外れ値スコアの平均を計算し、時間Tによって移動平均スコアの時系列を構成する。さらに第2段階の学習として、移動平均スコアの時系列に対してARモデルを当てはめ、学習させた時系列を求め、各時刻tにおいてシャノン情報量を、時刻tの変化点スコアとして計算する。ChangeFinderでは、上記の学習過程をオンラインで実行することができ、変化点スコアが大きいほどその時刻tが変化点である度合いが高いと判定される。変化点検知部121では、算出された変化点スコアがあらかじめ設定した所定の閾値より大となった場合に、対応する時刻が変化点であると判定するようにしている。
なお、ChangeFinderによる変化点検知処理は、オンライン学習により変化点スコアをリアルタイムで算出可能であること、SDARモデルを用いていることにより、学習プロセスでの計算量を低減可能であること等の点で有利であるが、他の手法による変化点検知を適用することを妨げるものではない。
【0026】
図4に、以上の変化点検知処理について模式的に示している。ChangeFinderによって継続して算出される変化点スコアは所定の閾値と比較され、変化点スコアの値が閾値を上回ったことが観測された時刻tが、集計データの時系列に生じた変化点であると判定される。変化点スコアの閾値としては、例えば所定期間(例えば過去14日間)における変化点スコアに基づいて算出される100(1-α)%信頼区間(例えば95%信頼区間)の上限を設定することができるがこれに制約されるものではない。また本実施形態では過去14日間(T1=14日間)の時系列データに基づいて変化点スコアを算出しているが、対象とする時系列データの期間は適宜調整することができる。
【0027】
集計値傾向判定部122は、上記の処理によって変化点であると判定された時刻tから過去所定時間にわたっての集計データの増加傾向を調べる。具体的には、例えば、変化点であると判定された時刻tから過去12時間における時系列データを直線回帰し、得られた直線の傾きによって集計データの件数が直近過去において増加傾向にあるかを判定することができる。集計値傾向判定部122は、例えば、前記回帰直線の傾きが正であると判定した場合、集計データの時系列傾向が増加傾向であると判定することができる。
図5に、集計値傾向判定部122による集計値の時系列傾向判定処理について模式的に示している。変化点と判定された時刻tからT2=12時間前まで、すなわち、変化点検知時点直前12時間の時系列データについて回帰直線を求め、傾きが正となった場合に集計値の時系列傾向が増加傾向にあると判定している。
図5に、集計値傾向判定部122による集計値の時系列傾向判定処理について模式的に示している。変化点と判定された時刻tからT2=12時間前まで、すなわち、変化点検知時点直前12時間の時系列データについて回帰直線を求め、傾きが正となった場合に集計値の時系列傾向が増加傾向にあると判定している。
【0028】
なお、集計値傾向判定部122において、集計値の時系列傾向が増加傾向にあるか判定するための加重条件として、前記時間T2におけるすべての集計値が所定の閾値よりも大であるという条件を設定してもよい。この場合、所定の閾値は、例えば変化点前所定期間における集計値の平均をμ、標準偏差をσとしたときに、μ-2σと設定することができる。また、同様の加重条件として、ある所定期間Tの前半期間(t’-T≦t<t’-T/2)での集計値の最大値より、後半期間(t’-2/T≦t<t’)での集計値の最大値のほうが大であるという条件を設定してもよい。ここで、t’は検査対象の単位時間である。
このようにすることで、集計値に含まれる外れ値の影響等により、所定期間における集計データ22に関する直線回帰の結果が増加傾向にないと誤って判定されるおそれを低減することができる。
このようにすることで、集計値に含まれる外れ値の影響等により、所定期間における集計データ22に関する直線回帰の結果が増加傾向にないと誤って判定されるおそれを低減することができる。
【0029】
また、ネットワークの不具合等に起因する、ある集計項目についての集計値の突発的な増加、あるいは、集計値が0である状態が一定期間続いた後に0以外の値をとったことによる変化を変化点として検知することによる増加傾向の過検知を抑制するため、ある所定期間において、当該期間の集計値の最大値の所定割合以上の集計値をとる時点が所定の閾値以上存在するとしてもよい。あるいは、ある所定期間における集計値の最大値が所定閾値以上であると規定してもよい。
【0030】
なお、前記集計値の時系列傾向に増加傾向があると判定された場合に、その増加傾向が、宛先となるシステムへの一般ユーザによるアクセスの急増、システム障害等の、ネットワーク上の攻撃発生とは別の事象に起因する場合を除外する、すなわち攻撃発生についての過検知と考えられる事象を除外するために、集計値傾向判定部122は、前記集計項目とは別の他の集計項目を加味した集計データに対して、変化点検知処理、及び集計値増加傾向判定処理を実行するようにしてもよい。例えば、最初の集計項目として「宛先のシステム名」を使用し、宛先のシステム名が「システムA」の集計データにおいて時系列データの時系列傾向に増加傾向が検出された場合に、他の集計項目として「シグネチャのカテゴリ名」を追加して選択し、あらたな集計項目として、宛先のシステム名が「システムA」であり、かつシグネチャのカテゴリ名が「カテゴリA」の組み合わせを生成し、その集計項目に係わる時系列データの時系列傾向についてさらに増加傾向があるか判定するようにしてもよい。この場合、時系列傾向が変化し、かつ増加傾向であると判定された場合、判定の根拠となった新たな集計項目の項目値が所定の条件を満たす場合に、当該時間帯において攻撃が発生したと判定することができる。所定の条件としては、例えば、判定の根拠となった追加の集計項目の項目値の数が所定の閾値以下である、又は判定の根拠となった追加の集計項目の項目値の中に、あらかじめ除外候補として指定された項目値が含まれないという2つの条件のいずれかあるいは両方が成立する場合とすればよい。
【0031】
集計値傾向判定部122は、集計値の時系列傾向が増加傾向であると判定した場合、該当する集計項目についての集計データが変化点の直近で増加していることから、ネットワーク上で当該集計項目に関する攻撃、例えばSQL Injectionが発生していると判定して、その旨を出力する。
【0032】
次に、以上説明した構成を備えている、本実施形態による攻撃検知装置1の全体動作について、図6を参照して説明する。図6は攻撃検知装置1の全体動作を例示するフローチャートである。
攻撃検知装置1は、所定の時間間隔で(例えば1時間ごとに)図6に例示するデータ処理を実行する。あるいは、攻撃検知装置1は、分析対象データを受領したことを契機として図6に例示するデータ処理を実行するようにしてもよい。
攻撃検知装置1は、所定の時間間隔で(例えば1時間ごとに)図6に例示するデータ処理を実行する。あるいは、攻撃検知装置1は、分析対象データを受領したことを契機として図6に例示するデータ処理を実行するようにしてもよい。
【0033】
攻撃検知装置1が処理を開始すると、ステップS10において、集計部11が、分析対象データ、ここではネットワーク上の監視装置のログデータを取得する。次いで、ステップS20において、集計部11は、取得した分析対象データを所定の集計項目ごとに集計し、時系列データとしての集計データを生成する。
【0034】
ステップS30において、検知部12の変化点検知部121が、集計データの過去所定期間の時系列データに基づいて、ChangeFinderの手法により変化点スコアを算出する。
ステップS40において、変化点検知部121は、算出された変化点スコアに基づいて、変化点を検知したか判定する。変化点を検知していないと判定した場合(NOの場合)、ステップS10の集計部11による処理に戻る。変化点を検知したと判定した場合(YESの場合)、処理は集計値傾向判定部122によるステップS50に移る。
ステップS50において、集計値傾向判定部122は、検知された変化点の時刻tから過去12時間について集計データの時系列傾向を分析する。
ステップS60において、集計値傾向判定部122は、時系列傾向が増加傾向であるか判定し、増加傾向ではないと判定した場合(NOの場合)、集計部11のステップS10の処理に戻る。時系列傾向が増加傾向であると判定した場合(YESの場合)、ステップS70において、集計値傾向判定部122は、ネットワーク上でなんらかの攻撃が発生したと判定し、その旨を出力して処理を終了する。攻撃発生情報の出力先は、例えば攻撃検知装置1に設けられているモニタディスプレイ等の出力デバイスとすることができるが、特に制約はなく適宜決定すればよい。
ステップS40において、変化点検知部121は、算出された変化点スコアに基づいて、変化点を検知したか判定する。変化点を検知していないと判定した場合(NOの場合)、ステップS10の集計部11による処理に戻る。変化点を検知したと判定した場合(YESの場合)、処理は集計値傾向判定部122によるステップS50に移る。
ステップS50において、集計値傾向判定部122は、検知された変化点の時刻tから過去12時間について集計データの時系列傾向を分析する。
ステップS60において、集計値傾向判定部122は、時系列傾向が増加傾向であるか判定し、増加傾向ではないと判定した場合(NOの場合)、集計部11のステップS10の処理に戻る。時系列傾向が増加傾向であると判定した場合(YESの場合)、ステップS70において、集計値傾向判定部122は、ネットワーク上でなんらかの攻撃が発生したと判定し、その旨を出力して処理を終了する。攻撃発生情報の出力先は、例えば攻撃検知装置1に設けられているモニタディスプレイ等の出力デバイスとすることができるが、特に制約はなく適宜決定すればよい。
【0035】
なお、図6に例示しているデータ処理では、一つの集計項目に関する時系列データの変化点の有無、時系列傾向についてその増加傾向の有無を判定しているが、一つの集計項目について増加傾向があると判定された場合に、さらに他の集計項目の時系列データについて同様な増加傾向があるかさらに判定するようにしてもよい。この場合、図6に例示するフローチャートにおいて、ステップS60において増加傾向があると判定した場合(ステップS60がYES)、集計値傾向判定部122は、すでに増加傾向が判定された集計項目とは異なる他の集計項目を選択して、ステップS40の処理を実行することになる。
このように他の集計項目を用いて増加傾向の判定を行う場合において、使用する他の集計項目は複数であってもよい。例えば最初の集計項目が「宛先システム」であった場合に、追加で使用する他の集計項目として、例えば「シグネチャのカテゴリ名」と「送信元のネットワーク」とを用いて分析を行ってもよい。
また、他の集計項目を用いて増加傾向の判定を行う場合において、さらに他の集計項目を使用してステップS40からの処理を追加して実行するようにしてもよい。例えば、最初の集計項目として「宛先システム」を、他の集計項目として「シグネチャのカテゴリ名」を用いた場合、さらに他の集計項目として「送信元のネットワーク」を選択してさらに増加傾向の判定を実行させることができる。これは、具体的には、「宛先システム」が「システムA」かつ「シグネチャのカテゴリ名」が「カテゴリA」かつ「送信元のネットワーク」が「ネットワークA」であるという3つの集計項目についての時系列傾向で増加傾向が判定されることを意味している。
このような処理により、時系列傾向に増加傾向が検出された一つの集計項目に加えて、他の集計項目を加味した集計データを用いて増加傾向を判定することで、攻撃以外の原因による検知を抑制し、攻撃発生が疑われる事象をより精度よく検出することができる。
なお、集計値の時系列傾向に増加傾向があるかを判定するのに用いる集計項目の項目値は、過去の攻撃発生検知の傾向から攻撃発生と関連性が高いと考えられる項目値から選択する等、適宜のポリシーによって決定するようにしておけばよい。
このように他の集計項目を用いて増加傾向の判定を行う場合において、使用する他の集計項目は複数であってもよい。例えば最初の集計項目が「宛先システム」であった場合に、追加で使用する他の集計項目として、例えば「シグネチャのカテゴリ名」と「送信元のネットワーク」とを用いて分析を行ってもよい。
また、他の集計項目を用いて増加傾向の判定を行う場合において、さらに他の集計項目を使用してステップS40からの処理を追加して実行するようにしてもよい。例えば、最初の集計項目として「宛先システム」を、他の集計項目として「シグネチャのカテゴリ名」を用いた場合、さらに他の集計項目として「送信元のネットワーク」を選択してさらに増加傾向の判定を実行させることができる。これは、具体的には、「宛先システム」が「システムA」かつ「シグネチャのカテゴリ名」が「カテゴリA」かつ「送信元のネットワーク」が「ネットワークA」であるという3つの集計項目についての時系列傾向で増加傾向が判定されることを意味している。
このような処理により、時系列傾向に増加傾向が検出された一つの集計項目に加えて、他の集計項目を加味した集計データを用いて増加傾向を判定することで、攻撃以外の原因による検知を抑制し、攻撃発生が疑われる事象をより精度よく検出することができる。
なお、集計値の時系列傾向に増加傾向があるかを判定するのに用いる集計項目の項目値は、過去の攻撃発生検知の傾向から攻撃発生と関連性が高いと考えられる項目値から選択する等、適宜のポリシーによって決定するようにしておけばよい。
【0036】
以上のように、本実施形態による攻撃検知装置1では、ネットワーク上で発生する種々の攻撃を早期に精度よく検知することができる。
【0037】
集計値傾向判定部122によって検知された攻撃に関する攻撃検知情報の出力の一例を図7に示している。図7の例では、集計値傾向判定部122が、集計項目であるシグネチャ、攻撃種別に関し、集計データ22の時系列傾向に変化点が検知され、さらにその変化点直近の時系列傾向について増加傾向があると判定した場合について、検知時刻、シグネチャ及び攻撃種別、集計件数の増加率、及び攻撃確度の項目を含めてWebページを生成し、インターネットを通じて適宜の出力端末に表示させている表示画面例を示している。件数増加率は、時系列傾向が増加傾向にあると判定された集計項目につき、その増加傾向がどの程度であるかを定量的に提示するために、時系列データに基づく回帰直線の傾き等から算出、出力している情報である。また、攻撃確度は、出力された集計項目について、過去の攻撃発生と判定された事例に基づいて、今回の判定についてどの程度の確度が期待できるかを参考値として提示しているものである。攻撃検知情報としては、図7に例示する項目に限定されることなく、他の項目を含めて表示するようにしてよい。図7の表示画面は攻撃検知装置1のモニタディスプレイ等の出力デバイスに表示させてもよい。
【0038】
以上のように、本実施形態による攻撃検知装置1では、ネットワーク上での新たな攻撃発生を早期に検知することが可能となる。時系列データとしての集計データが有する時系列傾向の分析として、時系列傾向からの乖離に加えて観測事象(集計値)が増加傾向にあるかどうかをあわせて判定条件とすることで、攻撃発生との因果関係が強い事象を効果的に検出することができる。
【0039】
前記集計値傾向判定部が、前記変化点検知時点直前の所定時間における前記集計項目に対する前記時系列データに基づいて一次関数への線形回帰処理を行い、求められた回帰直線の傾きが所定の閾値よりも大であると判定した場合、前記時系列データの時系列傾向に増加傾向があると判定することができる。
このようにすれば、時系列データの時系列傾向が増加傾向にあることを定量的に判定することができる。
このようにすれば、時系列データの時系列傾向が増加傾向にあることを定量的に判定することができる。
【0040】
前記集計値傾向判定部が、前記時系列傾向に増加傾向があるか判定した前記時系列データに係わる前記集計項目以外の他の少なくとも一の集計項目に係わる前記時系列データの時系列傾向について増加傾向があるかさらに判定し、増加傾向があると判定した場合、前記変化点検知時点にネットワーク上における攻撃を検知したと判定してその旨を出力するように構成することができる。
このようにすれば、時系列傾向に増加傾向が検出された一つの集計項目に加えて、他の集計項目を加味した集計データを用いて増加傾向を判定することで、攻撃以外の原因による検知を抑制し、攻撃発生が疑われる事象をより精度よく検出することができる。
このようにすれば、時系列傾向に増加傾向が検出された一つの集計項目に加えて、他の集計項目を加味した集計データを用いて増加傾向を判定することで、攻撃以外の原因による検知を抑制し、攻撃発生が疑われる事象をより精度よく検出することができる。
【0041】
前記集計値傾向判定部が、前記変化点検知時点直前の所定時間における前記集計項目に関するすべての集計値が所定の閾値よりも大であると判定した場合、前記時系列データの時系列傾向に増加傾向があると判定するように構成することができる。また、前記集計値傾向判定部が、前記変化点検知時点直前の所定時間における前半期間の集計値の最大値より、前記変化点検知時点直前の所定時間における後半期間の集計値の最大値の方が大であると判定した場合、前記時系列データの時系列傾向に増加傾向があると判定するように構成することができる。
このようにすれば、集計値に含まれる外れ値の影響等により、所定期間における集計値に関する直線回帰の結果が増加傾向にないと誤って判定されるおそれを低減することができる。
このようにすれば、集計値に含まれる外れ値の影響等により、所定期間における集計値に関する直線回帰の結果が増加傾向にないと誤って判定されるおそれを低減することができる。
【0042】
前記集計値傾向判定部が、前記変化点検知時点直前の所定時間において、当該所定時間における集計値について、その集計値のうちの最大値の所定割合以上の集計値をとる時点が所定の閾値以上存在すると判定した場合、前記時系列データの時系列傾向に増加傾向があると判定するように構成することができる。また、前記集計値傾向判定部が、前記変化点検知時点直前の所定時間における集計値の最大値が所定の閾値以上であると判定した場合、前記時系列データの時系列傾向に増加傾向があると判定するように構成することができる。
このようにすれば、ネットワークの不具合等に起因する、ある集計項目についての集計値の突発的な増加、あるいは、集計値が0である状態が一定期間続いた後に0以外の値をとったことによる変化を変化点として検知することによる増加傾向の過検知を抑制することができる。
このようにすれば、ネットワークの不具合等に起因する、ある集計項目についての集計値の突発的な増加、あるいは、集計値が0である状態が一定期間続いた後に0以外の値をとったことによる変化を変化点として検知することによる増加傾向の過検知を抑制することができる。
【0043】
なお、前述の実施形態により、例えば、ネットワークを介した通信の安全性を向上させることができるので、国連が主導する持続可能な開発目標(SDGs)の目標9「レジリエントなインフラを整備し、持続可能な産業化を推進するとともに、イノベーションの拡大を図る」に貢献することが可能となる。
【0044】
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。
【0045】
攻撃検知装置1による攻撃検知方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD-ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。
【符号の説明】
【0046】
1 攻撃検知装置
10 制御部
11 集計部
12 検知部
121 変化点検知部
122 集計値傾向判定部
20 記憶部
10 制御部
11 集計部
12 検知部
121 変化点検知部
122 集計値傾向判定部
20 記憶部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】