Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7019533B2 - 攻撃検知装置、攻撃検知システム、攻撃検知方法および攻撃検知プログラム - Google Patents
[go: Go Back, main page]

JP7019533B2 - 攻撃検知装置、攻撃検知システム、攻撃検知方法および攻撃検知プログラム - Google Patents

攻撃検知装置、攻撃検知システム、攻撃検知方法および攻撃検知プログラム Download PDF

Info

Publication number
JP7019533B2
JP7019533B2 JP2018153468A JP2018153468A JP7019533B2 JP 7019533 B2 JP7019533 B2 JP 7019533B2 JP 2018153468 A JP2018153468 A JP 2018153468A JP 2018153468 A JP2018153468 A JP 2018153468A JP 7019533 B2 JP7019533 B2 JP 7019533B2
Authority
JP
Japan
Prior art keywords
attack
detection
risk value
detection rule
vulnerability information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018153468A
Other languages
English (en)
Other versions
JP2020028092A (ja
Inventor
正將 石井
鐘治 桜井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2018153468A priority Critical patent/JP7019533B2/ja
Publication of JP2020028092A publication Critical patent/JP2020028092A/ja
Application granted granted Critical
Publication of JP7019533B2 publication Critical patent/JP7019533B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本願は、攻撃検知装置、攻撃検知システム、攻撃検知方法および攻撃検知プログラムに関するものである。
近年、サイバー攻撃は高度化されつつあり、従来のファイアウォール、侵入検知システム(IDS:Intrusion Detecion System)または侵入防御システム(IPS:Intrusion Prevention System)といったセキュリティ機器の配備による入口対策だけでは防ぎきることが難しくなっている。高度化したサイバー攻撃の対策の1つに、セキュリティ情報およびイベント管理(SIEM:Security Information and Event Management)と呼ばれるシステムがある。SIEMとは、監視対象システム内にある計算機、サーバ、およびルータ等のネットワーク機器、ファイアウォールまたはIDS/IPSといったセキュリティ機器が出力したログを相関分析することで、サイバー攻撃を検知するシステムである。
しかしながら、SIEMでは検索対象の全ログを読み込んで相関分析を行うため、監視対象システムの内部に多数の機器がある場合および並行して複数のサイバー攻撃を検知する場合に処理負荷が増大することになる。その場合、実時間では処理ができないという課題があった。
この課題を解決するために、不正通信を行うサイバー攻撃の検知において、監視対象システムの内部の機器からブラックリストにある通信先と通信した回数をカウントしておき、期間内に一定回数以上の通信が行われた場合に、サイバー攻撃を検知するといった手法が開示されている(例えば、特許文献1参照)。
特開2015-179979号公報
上記特許文献1においては、ブラックリストにある通信先と通信した回数に応じてサイバー攻撃の検知を行うため、検知の実行回数を減らして、実時間での処理を可能としている。しかしながら、通信が一定回数以上行われるサイバー攻撃を想定しているため、監視対象システムの内部で行われる外部との通信を伴わないサイバー攻撃および通信頻度が低いサイバー攻撃の検出ができないという課題があった。また、ブラックリストを使用するため未知の通信先からのサイバー攻撃を検出できないという課題もあった。
本願は前記のような課題を解決するためになされたものであり、外部との通信を伴わないサイバー攻撃および未知の通信先からのサイバー攻撃を含む脆弱性を悪用したサイバー攻撃を外部のシステムから得られた脆弱性情報を元に早期に検知し、検知ルールに従ったログの相関分析を行う実行周期を調整して処理負荷を低減することを目的とする。
本願に開示される攻撃検知装置は、複数の構成機器を備えた監視対象システムで発生したログが格納されているログDBと、構成機器とログの相関分析の条件とが記録された検知ルールが格納されている検知ルールDBと、検知ルールに従ったログの相関分析を予め定められた実行周期で行うことによりサイバー攻撃を検知して出力する検知エンジンと、を備えた攻撃検知装置において、攻撃検知装置で過去に検知した脆弱性情報が格納されている脆弱性情報記録DBと、新規の脆弱性情報を取得する脆弱性情報取得部と、複数の構成機器に関する構成情報が格納されている構成情報DBと、新規の脆弱性情報と構成情報とから脆弱性のある構成機器を対象機器として判定する対象機器判定部と、対象機器判定部の判定結果と検知ルールDBに格納された検知ルールとから対象機器と構成機器とが一致する検知ルールを判定する検知ルール判定部と、新規の脆弱性情報から脆弱性のリスク値を計算するリスク値計算部と、リスク値が高まるのに応じて、検知ルール判定部で判定した検知ルールに従ったログの相関分析を行う実行周期が縮まるように更新する実行周期更新部とを備えたものである。
本願に開示される攻撃検知装置によれば、脆弱性を悪用したサイバー攻撃を早期に検知することができ、検知ルールに従ったログの相関分析を行う実行周期を調整して処理負荷を低減することができる。
実施の形態1に係る攻撃検知装置を含むシステム構成図である。 攻撃検知装置のハードウエアの一例を示す構成図である。 実施の形態1に係る攻撃検知装置の処理を示すフローチャートである。 実施の形態1に係る脆弱性情報を示す図である。 実施の形態1に係る構成情報を示す図である。 実施の形態1に係る検知ルールを示す図である。 実施の形態1に係るリスク値の計算方法を示す図である。 実施の形態1に係る検知ルールの実行周期の更新内容を示す図である。 実施の形態1に係る検知ルールの実行周期を変更した場合の検知ルールの実行タイミングを示す図である。 実施の形態2に係る攻撃検知装置のシステム構成図である。 実施の形態2に係る攻撃検知装置の処理を示すフローチャートである。 実施の形態2に係る攻撃シナリオを示す図である。 実施の形態3に係る脆弱性情報の項目を示す図である。 実施の形態3に係るリスク値の計算方法を示す図である。 実施の形態4に係る構成情報を示す図である。 実施の形態4に係る脆弱性情報の項目を示す図である。 実施の形態4に係るリスク値の計算方法を示す図である。
以下、実施の形態の攻撃検知装置を図に基づいて説明するが、各図において同一、または相当部材、部位については同一符号を付して説明する。
実施の形態1.
図1は実施の形態1に係る攻撃検知装置100を含むシステム構成図である。攻撃検知装置100は、監視対象システム200、脆弱性情報公開システム300、および監視端末400と接続されている。攻撃検知システム500は、攻撃検知装置100と監視端末400とで構成される。攻撃検知装置100はサイバー攻撃を検知する機能を有した装置であり、監視対象システム200の内部で発生するログを収集し、予め定められた実行周期にて検知ルールに従ったログの相関分析を行うことでサイバー攻撃を検知し、検知した結果を監視端末400に出力する。監視対象システム200は、計算機、サーバ、ネットワーク機器、セキュリティ機器などの複数の構成機器を備えた情報システムである。なお、図1において複数の構成機器は、機器A~機器Cとして示す。脆弱性情報公開システム300は、攻撃検知装置100の外部に設置されたシステムで、ソフトウェア(以下、S/Wと記す)の脆弱性情報を公開するシステムである。監視端末400は、攻撃検知装置100から出力されたサイバー攻撃の検知結果を表示する端末であり、監視員が使用する。
攻撃検知装置100は、4つのデータベース(以下、DBと記す。脆弱性情報記録DB107、構成情報DB108、検知ルールDB109、ログDB110)と、検知ルールに従ったログの相関分析を行う実行周期(以下、検知ルールの実行周期と記す)の更新に係る脆弱性情報取得部101、対象機器判定部102、検知ルール判定部103、リスク値計算部104、実行周期更新部105と、検知エンジン106とを備える。
ログDB110には監視対象システム200で発生したログが格納され、検知ルールDB109には機器A~Cとログの相関分析の条件が記録された検知ルールが格納されている。検知エンジン106は、後述する実行周期の更新が可能な予め定められた実行周期にて検知ルールに従ったログの相関分析を行うことによりサイバー攻撃を検知し、検知した結果を監視端末400に出力する。
攻撃検知装置100は、ハードウエアの一例を図2に示すように、プロセッサ111と記憶装置112から構成される。記憶装置112は、図示していないが、ランダムアクセスメモリ等の揮発性記憶装置と、フラッシュメモリ等の不揮発性の補助記憶装置とを具備する。また、フラッシュメモリの代わりにハードディスクの補助記憶装置を具備してもよい。プロセッサ111は、記憶装置112から入力されたプログラムを実行する。この場合、補助記憶装置から揮発性記憶装置を介してプロセッサ111にプログラムが入力される。また、プロセッサ111は、演算結果等のデータを記憶装置112の揮発性記憶装置に出力してもよいし、揮発性記憶装置を介して補助記憶装置にデータを保存してもよい。
次に、攻撃検知装置100における検知ルールの実行周期の更新動作について説明する。図3は、検知ルールの実行周期を更新する処理を示すフローチャートである。脆弱性情報記録DB107には、攻撃検知装置100で過去に検知した脆弱性情報が格納されている。脆弱性情報取得部101は、脆弱性情報公開システム300から脆弱性情報を取得する(ステップS100)。なお、脆弱性情報公開システム300は一般的にウェブで脆弱性情報が公開されているシステムであり、例えば情報処理推進機構(IPA)により運営されているJVNiPediaである。脆弱性情報には、例えば図4に示すように、脆弱性の概要、対象となるS/WとS/Wのバージョン、影響度などが記録されている。脆弱性情報取得部101は、過去の脆弱性情報を元に取得した脆弱性情報が新規の脆弱性情報かどうかを判定する(ステップS101)。判定において、取得した脆弱性情報が新規の脆弱性情報であった場合は、取得した新規の脆弱性情報を脆弱性情報記録DB107に記録するとともに、対象機器判定部102に通知する(ステップS102)。ステップS100からステップS102が脆弱性情報取得ステップとなる。取得した脆弱性情報が過去の脆弱性情報と同じであった場合は、実行周期の更新は行わずに更新動作を終了する。
構成情報DB108には、機器A~Cに関する構成情報が格納されている。例えば構成情報には、図5に示すように、構成機器とその機器で動作しているS/WとS/Wのバージョンが記録されている。対象機器判定部102では、通知された新規の脆弱性情報と構成情報とから脆弱性のある機器が監視対象システム200内で使用されているかを判定するステップを行う(ステップS103)。判定において、脆弱性のある機器が使用されている場合は、使用されている機器を対象機器として判定し、脆弱性情報と対象機器を検知ルール判定部103に通知する。図4に示した脆弱性情報および図5に示した構成情報においては、脆弱性の対象となるS/W(HogeSoftware Ver1.1)が機器Aで動作しているため、機器Aが脆弱性のある対象機器として判定される。脆弱性のある機器が使用されていない場合は、実行周期の更新は行わずに更新動作を終了する。
検知ルール判定部103では、通知された対象機器判定部102の判定結果と検知ルールDB109に格納されている検知ルールとから対象機器と機器A~Cとを比較し、これらが一致する検知ルールを関連する検知ルールとして判定するステップを行う(ステップS104)。検知ルールには、例えば図6に示すように、機器Aと機器Aのログの相関分析の条件が記録されている。相関分析の条件の例としては、ログイン失敗回数n回発生(n値は条件設定時に決定)、またはログa5回連続発生後にログb発生などがあるが、これらに限るものではない。判定において、関連する検知ルールがあった場合は脆弱性情報をリスク値計算部104に通知する。ここでは対象機器が機器Aであり、図6に示した検知ルールでは構成機器が機器Aで双方が機器Aで一致するため、検知ルール判定部103は図6の検知ルールを関連する検知ルールとして判定し、リスク値計算部104に通知する。関連する検知ルールがない場合は、実行周期の更新は行わずに更新動作を終了する。
リスク値計算部104では、通知された脆弱性情報から脆弱性のリスク値を計算し、計算したリスク値を実行周期更新部105に通知するステップを行う(ステップS105)。例えばリスク値の計算方法には、図7に示すように、脆弱性情報に含まれる影響度の項目を影響度に応じたリスク値に変換する方法がある。ここでは影響度が大きいほど、大きい自然数をリスク値として付与している。また、図7ではリスク値を1~3の3段階としているがこれに限るものではなく、監視対象システム200に応じてさらに複数の段階に変更しても構わない。
実行周期更新部105では、通知されたリスク値を元に検知ルール判定部103で判定した関連する検知ルールの実行周期を更新するステップを行う(ステップS106)。例えば検知ルールの実行周期の更新内容は、図8に示すように、得られたリスク値に応じて実行周期を1/N(Nは自然数)に更新する。図7ではリスク値をリスクが高まるほど大きい自然数としたので、図8ではNに図7で計算したリスク値を代入して更新する実行周期としている。リスク値が高まるほどNの値を大きくすることで実行周期が縮まるように更新されるため、サイバー攻撃の検知を早めることができる。検知ルールの実行周期の更新により、更新動作を終了する。
なお、Nを自然数ではない値として実行周期を更新した場合、サイバー攻撃の検知が遅くなることがある。図9は、検知ルールの実行周期を変更した場合の検知ルールの実行タイミングの1例を示す図である。ここでは検知ルールの実行周期を1/2(N=2)、もしくは2/3(N=1.5)としている。実行周期更新前は、図9の上段に示した1の時点でサイバー攻撃を検知している。実行周期を1/2とした場合、検知ルールの実行タイミングは図9の中段に示した2または3となり、サイバー攻撃発生がBのタイミングでは更新周期変更前と同じ3の時点で、サイバー攻撃発生がAのタイミングでは更新周期変更前よりも早い2の時点でサイバー攻撃を検知することができる。しかし、実行周期を2/3とした場合、検知ルールの実行タイミングは図9の下段に示した4もしくは5となるため、5の時点のように変更前の1の時点よりもサイバー攻撃を検知するタイミングが遅くなることがある。サイバー攻撃を検知するタイミングが遅くなることを避けるために、Nを自然数として実行周期を更新する。
更新した実行周期を元に戻す方法としては、例えばS/Wのバージョンアップによる方法または脆弱性が解消された場合に手動で更新周期を戻す方法などがあるが、これらの方法に限るものではない。また、本実施の形態では検知ルールと構成機器を関連付けて対象機器に関連する検知ルールの実行周期を更新しているがこれに限るものではなく、検知ルールとS/Wを関連付けても構わない。
以上のように、この攻撃検知装置100では外部のシステムから得られた新規の脆弱性情報を元にリスク値を計算し、リスク値の高い脆弱性に関連する検知ルールを高頻度で実行するように実行周期を更新するため、脆弱性を悪用したサイバー攻撃を早期に検知することできる。また、サイバー攻撃検知のセキュリティを確保したまま検知ルールの実行回数を減らすことができるため、攻撃検知装置の処理負荷を低減することができる。
なお、攻撃検知装置100が実行する処理についてコンピュータが実行可能な言語で記述したプログラムを作成でき、コンピュータがプログラムを実行することにより、上記実施の形態と同等の効果を得ることができる。
実施の形態2.
実施の形態2における攻撃検知装置100の構成と動作について説明する。図10は実施の形態2に係る攻撃検知装置100を含むシステム構成図で、図11は攻撃検知装置100の検知ルールの実行周期を更新する処理を示すフローチャートである。実施の形態1では検知ルールの実行周期を更新することでサイバー攻撃検知のセキュリティの確保および処理負荷の低減を実現していたが、脆弱性によって引き起こされる事象がログに残らない場合は個々の検知ルールの実行周期を上げても脆弱性を悪用したサイバー攻撃の検知ができないため、実施の形態2では攻撃シナリオに基づいて、特定のサイバー攻撃に関連する一連の検知ルールの実行周期をまとめて更新するものである。なお、他の構成については、実施の形態1の記載と同様であるため同一の符号を付して説明を省略する。
攻撃検知装置100は、図10に示すように、図1に示した攻撃検知装置100に攻撃シナリオDB600を加えて5つのDBを備えたものである。他の構成は図1と同様である。攻撃シナリオDB600は、サイバー攻撃の攻撃フェーズ毎の内容と検知方法と構成機器と検知ルールとが記録された攻撃シナリオを格納する。
次に、攻撃検知装置100における検知ルールの実行周期の更新動作について、図11を参照して説明する。なお、脆弱性情報の取得から脆弱性の対象機器が監視対象システム内で使用されているかを判定するまでのステップS100からステップS103の処理は実施の形態1と同様であるため、説明を省略する。
検知ルール判定部103では、通知された対象機器判定部102の判定結果と攻撃シナリオDB600に格納されている攻撃シナリオとから対象機器(実施の形態1と同様に機器Aとする)と構成機器とを比較し、これらが一致する攻撃シナリオを関連する攻撃シナリオとして判定するステップを行う(ステップS200)。例えば攻撃シナリオには、図12に示すように、サイバー攻撃を何段階かのフェーズに分類して、各フェーズの内容、検知方法、構成機器及び検知ルールが記録されている。図12は、機器Aのデータ漏えいを行うサイバー攻撃を侵入、感染、攻撃、外部通信の4段階のフェーズに分類した攻撃シナリオの例である。判定において、関連する攻撃シナリオがあった場合は脆弱性情報をリスク値計算部104に通知する。関連する攻撃シナリオがない場合は、実行周期の更新は行わずに更新動作を終了する。
リスク値計算部104では、通知された脆弱性情報から脆弱性のリスク値を計算し、計算したリスク値を実行周期更新部105に通知するステップを行う(ステップS105)。リスク値の計算方法は実施の形態1と同様であるため、説明を省略する。
実行周期更新部105では、通知されたリスク値が高まるのに応じて検知ルール判定部103で判定した関連する攻撃シナリオに紐付いた一連の検知ルールの実行周期が縮まるように更新するステップを行う(ステップS201)。図12の例では攻撃シナリオの構成機器に機器Aが存在するため、検知ルール(1)~(5)が一連の検知ルールとなり、機器Aおよびファイアウォールの双方の検知ルールが一連の検知ルールとなる。この場合、機器Aの検知ルールだけでなくファイアウォールの検知ルールの実行周期も変更されるため、サイバー攻撃の早期検知が可能となる。検知ルールの実行周期の更新内容は、実施の形態1と同様なため説明を省略する。実行周期の更新により、更新動作を終了する。
なお、本実施の形態では攻撃シナリオと構成機器を関連付けて対象機器に関連する攻撃シナリオに紐付いた一連の検知ルールの実行周期を更新しているがこれに限るものではなく、攻撃シナリオとS/Wを関連付けても構わない。
以上のように、この攻撃検知装置100では攻撃シナリオDB600に格納された攻撃シナリオに基づいて、特定のサイバー攻撃に関連する一連の検知ルールの実行周期をまとめて更新するため、脆弱性によって引き起こされる事象がログに残らない場合でも、脆弱性を悪用したサイバー攻撃を早期に検知することができる。
実施の形態3.
実施の形態3における攻撃検知装置100の動作について説明する。実施の形態1では脆弱性情報に含まれる影響度のみの項目から脆弱性のリスク値を計算していたが、脆弱性情報に複数の項目がある場合には脆弱性の実態に合った適切なリスク値の計算ができなくなるおそれがあるため、実施の形態3では脆弱性情報に含まれる複数の脆弱性に係る項目を利用してリスク値を計算するものである。なお、実施の形態3におけるシステム構成図およびフローチャートは実施の形態1と同様である。
攻撃検知装置100の検知ルールの実行周期の更新動作における脆弱性のリスク値の計算方法について、図13、図14を参照して説明する。図13は脆弱性情報の脆弱性に係る項目を示す図で、図14はリスク値の計算方法を示す図である。例えば脆弱性に係る項目は、図13に示すように、機密性への影響度、完全性への影響度、可用性への影響度、攻撃条件の複雑度という4つが設けられ、それぞれの項目のリスクの程度の段階は高、中、低の3段階とし、各影響度については懸念されるリスクが高いほど大きい自然数(ここでは1~3)をリスク値として付与している。リスク値の計算方法は、図14に示すように、まず脆弱性情報にある機密性への影響度、完全性への影響度、可用性への影響度の3つ項目の最大値を脆弱性の影響度として定義し、攻撃条件の複雑度と脆弱性の影響度を乗じた値をリスク値とする。例えば、攻撃条件の複雑度が低(容易に攻撃可能で付与した数値は3)で影響度が高い脆弱性(付与した数値は3)の場合、リスク値の計算結果は9で最大となる。逆に、攻撃条件の複雑度が高(攻撃が難しく付与した数値は1)で影響度の低い脆弱性(付与した数値は1)の場合、リスク値の計算結果は1で最小となる。このような計算方法とすることで、脆弱性の実体に合わせたリスク値の計算が可能となる。
なお、本実施の形態で示した脆弱性情報の項目およびリスク値の計算方法は1例でこれに限るものではなく、得られる脆弱性情報の項目、監視対象システム200に応じて変更しても構わない。
以上のように、この攻撃検知装置100では脆弱性情報に含まれる複数の脆弱性に係る項目を利用してリスク値を計算するため、脆弱性の実体に合わせてリスク値を計算することができる。
実施の形態4.
実施の形態4における攻撃検知装置100の動作について説明する。実施の形態1では脆弱性情報だけからリスク値を計算しており、各構成機器の役割に関わらず動作S/Wが同じ構成機器のリスク値は同じと考えられていたが、例えば重要データを格納するデータベースサーバと負荷分散のために多重化されているアプリケーションサーバのように役割の異なる構成機器ではサイバー攻撃を受けた際のシステムへの影響度が変わるため、実施の形態4では構成機器の役割から情報資産価値を事前に定義しておき、構成機器の情報資産価値と脆弱性情報を元にリスク値を計算するものである。なお、実施の形態4におけるシステム構成図およびフローチャートは実施の形態1と同様である。
攻撃検知装置100の検知ルールの実行周期の更新動作における脆弱性のリスク値の計算方法について、図15~図17を参照して説明する。図15は構成情報DB108に格納された構成情報を示す図で、図16は脆弱性情報の脆弱性に係る項目を示す図で、図17はリスク値の計算方法を示す図である。例えば構成情報には、図15に示すように、構成機器とその機器で動作しているS/WとS/Wのバージョンに加えて、情報資産価値が記録されている。情報資産価値は、各構成機器において機密性、完全性、可用性の3つの観点で、それぞれ高、中、低の3段階で設定されたものである。例えば、データベースサーバのように、格納されているデータの漏えいおよび改ざんが問題となる構成機器では、機密性、完全性の項目が高く設定され、セキュリティ機器のようにデータは保持しないが常時稼働していることが重要になる構成機器では可用性の項目が高く設定される。図15に示した構成機器は前者に相当するため、機密性、完全性の項目を高く設定している。
例えば脆弱性に係る項目は、図16に示すように、機密性への影響度、完全性への影響度、可用性への影響度という3つが設けられ、それぞれの項目のリスクの程度の段階は高、中、低の3段階とし、各影響度については段階が高いほど大きい自然数(ここでは1~3)をリスク値として付与している。リスク値の計算方法は、図17に示すように、対象機器として判定された構成機器において、まず機密性、完全性、可用性のそれぞれについて、情報資産価値と脆弱性情報の影響度を乗じて情報資産への影響度を計算する。次に機密性、完全性、可用性のそれぞれの情報資産への影響度の中で、最大値をリスク値とする。このような計算方法とすることで、例えば機密性への影響の高い脆弱性が発生した場合、気密性についての情報資産価値が高い機器のリスク値が高くなり、構成機器の役割をリスク値に反映することが可能となる。
なお、本実施の形態で示した情報資産価値の項目、脆弱性情報の項目およびリスクの計算方法は1例でこれに限るものではなく、得られる脆弱性情報の項目、監視対象システム200に応じて変更しても構わない。
以上のように、この攻撃検知装置100では構成機器の役割から情報資産価値を事前に定義しておき、構成機器の情報資産価値と脆弱性情報を元にリスク値を計算するため、構成機器の役割をリスク値に反映することができ、適切な検知ルールの実行周期を設定することができる。
本願は、様々な例示的な実施の形態及び実施例が記載されているが、1つ、または複数の実施の形態に記載された様々な特徴、態様、及び機能は特定の実施の形態の適用に限られるのではなく、単独で、または様々な組み合わせで実施の形態に適用可能である。
従って、例示されていない無数の変形例が、本願明細書に開示される技術の範囲内において想定される。例えば、少なくとも1つの構成要素を変形する場合、追加する場合または省略する場合、さらには、少なくとも1つの構成要素を抽出し、他の実施の形態の構成要素と組み合わせる場合が含まれるものとする。
100 攻撃検知装置、101 脆弱性情報取得部、102 対象機器判定部、103 検知ルール判定部、104 リスク値計算部、105 実行周期更新部、106 検知エンジン、107 脆弱性情報記録DB、108 構成情報DB、109 検知ルールDB、110 ログDB、111 プロセッサ、112 記憶装置、200 監視対象システム、300 脆弱性情報公開システム、400 監視端末、500 攻撃検知システム、600 攻撃シナリオDB

Claims (7)

  1. 複数の構成機器を備えた監視対象システムで発生したログが格納されているログDBと、
    前記構成機器と前記ログの相関分析の条件とが記録された検知ルールが格納されている検知ルールDBと、
    前記検知ルールに従った前記ログの相関分析を予め定められた実行周期で行うことによりサイバー攻撃を検知して出力する検知エンジンと、を備えた攻撃検知装置において、
    前記攻撃検知装置で過去に検知した脆弱性情報が格納されている脆弱性情報記録DBと、
    新規の脆弱性情報を取得する脆弱性情報取得部と、
    前記複数の構成機器に関する構成情報が格納されている構成情報DBと、
    前記新規の脆弱性情報と前記構成情報とから脆弱性のある構成機器を対象機器として判定する対象機器判定部と、
    前記対象機器判定部の判定結果と前記検知ルールDBに格納された前記検知ルールとから前記対象機器と前記構成機器とが一致する検知ルールを判定する検知ルール判定部と、
    前記新規の脆弱性情報から脆弱性のリスク値を計算するリスク値計算部と、
    前記リスク値が高まるのに応じて、前記検知ルール判定部で判定した検知ルールに従った前記ログの相関分析を行う実行周期が縮まるように更新する実行周期更新部と、を備えたことを特徴とする攻撃検知装置。
  2. サイバー攻撃の攻撃フェーズ毎の内容と検知方法と構成機器と検知ルールとが記録された攻撃シナリオが格納されている攻撃シナリオDBをさらに備え、
    前記検知ルール判定部は、前記対象機器判定部の判定結果と前記攻撃シナリオとから前記対象機器と前記構成機器とが一致する攻撃シナリオを判定し、
    前記リスク値計算部は、前記新規の脆弱性情報から脆弱性のリスク値を計算し、
    前記実行周期更新部は、前記リスク値が高まるのに応じて、前記検知ルール判定部で判定した攻撃シナリオに記録された検知ルールに従った前記ログの相関分析を行う実行周期が縮まるように更新することを特徴とする請求項1に記載の攻撃検知装置。
  3. 前記リスク値計算部は、前記新規の脆弱性情報が備える複数の脆弱性に係る項目に基づいて前記リスク値を計算することを特徴とする請求項1または請求項2に記載の攻撃検知装置。
  4. 前記構成情報には前記構成機器の情報資産価値が含まれており、
    前記リスク値計算部は、前記新規の脆弱性情報が備える複数の脆弱性に係る項目と前記情報資産価値とに基づいて前記リスク値を計算することを特徴とする請求項1から3のいずれか1項に記載の攻撃検知装置。
  5. 請求項1から4のいずれか1項に記載した攻撃検知装置と、前記攻撃検知装置から出力されたサイバー攻撃の検知結果を表示する監視端末とを備えたことを特徴とする攻撃検知システム。
  6. サイバー攻撃を検知して出力する攻撃検知装置の攻撃検知方法において、
    取得した新規の脆弱性情報と監視対象システムが備える複数の構成機器に関する構成情報とから脆弱性のある構成機器を対象機器として判定し、
    前記構成機器と前記監視対象システムで発生したログの相関分析の条件とが記録された検知ルールと、前記対象機器の判定結果とから前記構成機器と前記対象機器とが一致する検知ルールを判定し、
    前記新規の脆弱性情報から脆弱性のリスク値を計算し、
    前記リスク値が高まるのに応じて、判定した検知ルールに従った前記ログの相関分析を行う実行周期が縮まるように更新することを特徴とする攻撃検知方法。
  7. サイバー攻撃を検知して出力する攻撃検知装置の攻撃検知プログラムにおいて、
    前記攻撃検知装置で過去に検知した脆弱性情報を元に新規の脆弱性情報を取得する脆弱性情報取得ステップと、
    前記新規の脆弱性情報と監視対象システムが備える複数の構成機器に関する構成情報とから脆弱性のある構成機器を対象機器として判定する対象機器判定ステップと、
    前記構成機器と前記監視対象システムで発生したログの相関分析の条件とが記録された検知ルールと、前記対象機器判定ステップの判定結果とから前記構成機器と前記対象機器とが一致する検知ルールを判定する検知ルール判定ステップと、
    前記新規の脆弱性情報から脆弱性のリスク値を計算するリスク値計算ステップと、
    前記リスク値が高まるのに応じて、前記検知ルール判定ステップで判定した検知ルールに従った前記ログの相関分析を行う実行周期が縮まるように更新する実行周期更新ステップと、を備えたことを特徴とする攻撃検知プログラム。
JP2018153468A 2018-08-17 2018-08-17 攻撃検知装置、攻撃検知システム、攻撃検知方法および攻撃検知プログラム Active JP7019533B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018153468A JP7019533B2 (ja) 2018-08-17 2018-08-17 攻撃検知装置、攻撃検知システム、攻撃検知方法および攻撃検知プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018153468A JP7019533B2 (ja) 2018-08-17 2018-08-17 攻撃検知装置、攻撃検知システム、攻撃検知方法および攻撃検知プログラム

Publications (2)

Publication Number Publication Date
JP2020028092A JP2020028092A (ja) 2020-02-20
JP7019533B2 true JP7019533B2 (ja) 2022-02-15

Family

ID=69620477

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018153468A Active JP7019533B2 (ja) 2018-08-17 2018-08-17 攻撃検知装置、攻撃検知システム、攻撃検知方法および攻撃検知プログラム

Country Status (1)

Country Link
JP (1) JP7019533B2 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7384743B2 (ja) * 2020-05-13 2023-11-21 株式会社日立製作所 攻撃シナリオの危険度評価装置およびその方法
CN113037555B (zh) * 2021-03-12 2022-09-20 中国工商银行股份有限公司 风险事件标记方法、风险事件标记装置和电子设备
JP7800200B2 (ja) * 2022-02-24 2026-01-16 株式会社リコー 情報処理装置、情報処理方法、およびプログラム
US12267351B2 (en) 2022-10-05 2025-04-01 Denso Corporation System and method for dynamically updating firewall rules for a vehicle network of a vehicle
CN115987672B (zh) * 2022-12-28 2023-09-26 北京天融信网络安全技术有限公司 网络设备的风险确定方法、装置、设备及介质
CN119128890B (zh) * 2024-02-04 2025-06-24 广州市昊恒信息科技有限公司 一种基于漏洞扫描的漏洞闭环处理方法及系统
WO2025177424A1 (ja) * 2024-02-20 2025-08-28 Ntt株式会社 検知装置および検知方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005135239A (ja) 2003-10-31 2005-05-26 Fujitsu Social Science Laboratory Ltd 情報セキュリティ管理プログラム、情報セキュリティ管理装置および管理方法
US20060265324A1 (en) 2005-05-18 2006-11-23 Alcatel Security risk analysis systems and methods
CN101610174A (zh) 2009-07-24 2009-12-23 深圳市永达电子股份有限公司 一种日志关联分析系统与方法
WO2014112185A1 (ja) 2013-01-21 2014-07-24 三菱電機株式会社 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム
WO2018079439A1 (ja) 2016-10-27 2018-05-03 日本電気株式会社 インシデント影響範囲推定装置、インシデント影響範囲推定方法、記録媒体及びシステム

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005135239A (ja) 2003-10-31 2005-05-26 Fujitsu Social Science Laboratory Ltd 情報セキュリティ管理プログラム、情報セキュリティ管理装置および管理方法
US20060265324A1 (en) 2005-05-18 2006-11-23 Alcatel Security risk analysis systems and methods
CN101610174A (zh) 2009-07-24 2009-12-23 深圳市永达电子股份有限公司 一种日志关联分析系统与方法
WO2014112185A1 (ja) 2013-01-21 2014-07-24 三菱電機株式会社 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム
WO2018079439A1 (ja) 2016-10-27 2018-05-03 日本電気株式会社 インシデント影響範囲推定装置、インシデント影響範囲推定方法、記録媒体及びシステム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
K.karen, M. Souppaya著, NRIセキュアテクノロジーズ株式会社監訳,コンピュータセキュリティログ管理ガイド,日本,米国国立標準技術研究所,2006年09月,pp.2-7,3-1,3-2,3-3,3-5,4-5,4-6,4-7,https://www.ipa.go.jp/files/000025363.pdf

Also Published As

Publication number Publication date
JP2020028092A (ja) 2020-02-20

Similar Documents

Publication Publication Date Title
JP7019533B2 (ja) 攻撃検知装置、攻撃検知システム、攻撃検知方法および攻撃検知プログラム
US10791133B2 (en) System and method for detecting and mitigating ransomware threats
KR101255359B1 (ko) 사용자 변경가능 파일들의 효과적인 화이트 리스팅
Kamtuo et al. Machine Learning for SQL injection prevention on server-side scripting
US10291630B2 (en) Monitoring apparatus and method
JP6774881B2 (ja) 業務処理システム監視装置および監視方法
US20170061126A1 (en) Process Launch, Monitoring and Execution Control
US11750634B1 (en) Threat detection model development for network-based systems
JP7552899B2 (ja) リスク分析装置、方法、及びプログラム
US20100014432A1 (en) Method for identifying undesirable features among computing nodes
US20170155683A1 (en) Remedial action for release of threat data
US11893110B2 (en) Attack estimation device, attack estimation method, and attack estimation program
JP6712207B2 (ja) セキュリティ対策装置
CN110868403B (zh) 一种识别高级持续性攻击apt的方法及设备
CN111183620A (zh) 入侵调查
CN113872959A (zh) 一种风险资产等级判定和动态降级方法和装置及设备
CN109543457A (zh) 管控智能合约之间调用的方法及装置
US20250310372A1 (en) Techniques for mapping security controls to cyber threats
KR20190020523A (ko) 로그 분석을 이용한 공격 탐지 장치 및 방법
US20250190553A1 (en) Security method for identifying kill chains
CN117093985A (zh) 一种api的安全检测方法、装置、电子设备和存储介质
JP7168010B2 (ja) 行動計画推定装置、行動計画推定方法、及びプログラム
KR101934381B1 (ko) 해킹툴 탐지 방법 및 이를 수행하는 사용자 단말 및 서버
KR102929741B1 (ko) 제로데이 공격 대응 시스템 및 방법
CN114676313A (zh) 问题处理方法、装置及存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210303

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20210303

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211109

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220105

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220202

R151 Written notification of patent or utility model registration

Ref document number: 7019533

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250