JP7019533B2 - 攻撃検知装置、攻撃検知システム、攻撃検知方法および攻撃検知プログラム - Google Patents
攻撃検知装置、攻撃検知システム、攻撃検知方法および攻撃検知プログラム Download PDFInfo
- Publication number
- JP7019533B2 JP7019533B2 JP2018153468A JP2018153468A JP7019533B2 JP 7019533 B2 JP7019533 B2 JP 7019533B2 JP 2018153468 A JP2018153468 A JP 2018153468A JP 2018153468 A JP2018153468 A JP 2018153468A JP 7019533 B2 JP7019533 B2 JP 7019533B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- detection
- risk value
- detection rule
- vulnerability information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
図1は実施の形態1に係る攻撃検知装置100を含むシステム構成図である。攻撃検知装置100は、監視対象システム200、脆弱性情報公開システム300、および監視端末400と接続されている。攻撃検知システム500は、攻撃検知装置100と監視端末400とで構成される。攻撃検知装置100はサイバー攻撃を検知する機能を有した装置であり、監視対象システム200の内部で発生するログを収集し、予め定められた実行周期にて検知ルールに従ったログの相関分析を行うことでサイバー攻撃を検知し、検知した結果を監視端末400に出力する。監視対象システム200は、計算機、サーバ、ネットワーク機器、セキュリティ機器などの複数の構成機器を備えた情報システムである。なお、図1において複数の構成機器は、機器A~機器Cとして示す。脆弱性情報公開システム300は、攻撃検知装置100の外部に設置されたシステムで、ソフトウェア(以下、S/Wと記す)の脆弱性情報を公開するシステムである。監視端末400は、攻撃検知装置100から出力されたサイバー攻撃の検知結果を表示する端末であり、監視員が使用する。
実施の形態2における攻撃検知装置100の構成と動作について説明する。図10は実施の形態2に係る攻撃検知装置100を含むシステム構成図で、図11は攻撃検知装置100の検知ルールの実行周期を更新する処理を示すフローチャートである。実施の形態1では検知ルールの実行周期を更新することでサイバー攻撃検知のセキュリティの確保および処理負荷の低減を実現していたが、脆弱性によって引き起こされる事象がログに残らない場合は個々の検知ルールの実行周期を上げても脆弱性を悪用したサイバー攻撃の検知ができないため、実施の形態2では攻撃シナリオに基づいて、特定のサイバー攻撃に関連する一連の検知ルールの実行周期をまとめて更新するものである。なお、他の構成については、実施の形態1の記載と同様であるため同一の符号を付して説明を省略する。
実施の形態3における攻撃検知装置100の動作について説明する。実施の形態1では脆弱性情報に含まれる影響度のみの項目から脆弱性のリスク値を計算していたが、脆弱性情報に複数の項目がある場合には脆弱性の実態に合った適切なリスク値の計算ができなくなるおそれがあるため、実施の形態3では脆弱性情報に含まれる複数の脆弱性に係る項目を利用してリスク値を計算するものである。なお、実施の形態3におけるシステム構成図およびフローチャートは実施の形態1と同様である。
実施の形態4における攻撃検知装置100の動作について説明する。実施の形態1では脆弱性情報だけからリスク値を計算しており、各構成機器の役割に関わらず動作S/Wが同じ構成機器のリスク値は同じと考えられていたが、例えば重要データを格納するデータベースサーバと負荷分散のために多重化されているアプリケーションサーバのように役割の異なる構成機器ではサイバー攻撃を受けた際のシステムへの影響度が変わるため、実施の形態4では構成機器の役割から情報資産価値を事前に定義しておき、構成機器の情報資産価値と脆弱性情報を元にリスク値を計算するものである。なお、実施の形態4におけるシステム構成図およびフローチャートは実施の形態1と同様である。
従って、例示されていない無数の変形例が、本願明細書に開示される技術の範囲内において想定される。例えば、少なくとも1つの構成要素を変形する場合、追加する場合または省略する場合、さらには、少なくとも1つの構成要素を抽出し、他の実施の形態の構成要素と組み合わせる場合が含まれるものとする。
Claims (7)
- 複数の構成機器を備えた監視対象システムで発生したログが格納されているログDBと、
前記構成機器と前記ログの相関分析の条件とが記録された検知ルールが格納されている検知ルールDBと、
前記検知ルールに従った前記ログの相関分析を予め定められた実行周期で行うことによりサイバー攻撃を検知して出力する検知エンジンと、を備えた攻撃検知装置において、
前記攻撃検知装置で過去に検知した脆弱性情報が格納されている脆弱性情報記録DBと、
新規の脆弱性情報を取得する脆弱性情報取得部と、
前記複数の構成機器に関する構成情報が格納されている構成情報DBと、
前記新規の脆弱性情報と前記構成情報とから脆弱性のある構成機器を対象機器として判定する対象機器判定部と、
前記対象機器判定部の判定結果と前記検知ルールDBに格納された前記検知ルールとから前記対象機器と前記構成機器とが一致する検知ルールを判定する検知ルール判定部と、
前記新規の脆弱性情報から脆弱性のリスク値を計算するリスク値計算部と、
前記リスク値が高まるのに応じて、前記検知ルール判定部で判定した検知ルールに従った前記ログの相関分析を行う実行周期が縮まるように更新する実行周期更新部と、を備えたことを特徴とする攻撃検知装置。 - サイバー攻撃の攻撃フェーズ毎の内容と検知方法と構成機器と検知ルールとが記録された攻撃シナリオが格納されている攻撃シナリオDBをさらに備え、
前記検知ルール判定部は、前記対象機器判定部の判定結果と前記攻撃シナリオとから前記対象機器と前記構成機器とが一致する攻撃シナリオを判定し、
前記リスク値計算部は、前記新規の脆弱性情報から脆弱性のリスク値を計算し、
前記実行周期更新部は、前記リスク値が高まるのに応じて、前記検知ルール判定部で判定した攻撃シナリオに記録された検知ルールに従った前記ログの相関分析を行う実行周期が縮まるように更新することを特徴とする請求項1に記載の攻撃検知装置。 - 前記リスク値計算部は、前記新規の脆弱性情報が備える複数の脆弱性に係る項目に基づいて前記リスク値を計算することを特徴とする請求項1または請求項2に記載の攻撃検知装置。
- 前記構成情報には前記構成機器の情報資産価値が含まれており、
前記リスク値計算部は、前記新規の脆弱性情報が備える複数の脆弱性に係る項目と前記情報資産価値とに基づいて前記リスク値を計算することを特徴とする請求項1から3のいずれか1項に記載の攻撃検知装置。 - 請求項1から4のいずれか1項に記載した攻撃検知装置と、前記攻撃検知装置から出力されたサイバー攻撃の検知結果を表示する監視端末とを備えたことを特徴とする攻撃検知システム。
- サイバー攻撃を検知して出力する攻撃検知装置の攻撃検知方法において、
取得した新規の脆弱性情報と監視対象システムが備える複数の構成機器に関する構成情報とから脆弱性のある構成機器を対象機器として判定し、
前記構成機器と前記監視対象システムで発生したログの相関分析の条件とが記録された検知ルールと、前記対象機器の判定結果とから前記構成機器と前記対象機器とが一致する検知ルールを判定し、
前記新規の脆弱性情報から脆弱性のリスク値を計算し、
前記リスク値が高まるのに応じて、判定した検知ルールに従った前記ログの相関分析を行う実行周期が縮まるように更新することを特徴とする攻撃検知方法。 - サイバー攻撃を検知して出力する攻撃検知装置の攻撃検知プログラムにおいて、
前記攻撃検知装置で過去に検知した脆弱性情報を元に新規の脆弱性情報を取得する脆弱性情報取得ステップと、
前記新規の脆弱性情報と監視対象システムが備える複数の構成機器に関する構成情報とから脆弱性のある構成機器を対象機器として判定する対象機器判定ステップと、
前記構成機器と前記監視対象システムで発生したログの相関分析の条件とが記録された検知ルールと、前記対象機器判定ステップの判定結果とから前記構成機器と前記対象機器とが一致する検知ルールを判定する検知ルール判定ステップと、
前記新規の脆弱性情報から脆弱性のリスク値を計算するリスク値計算ステップと、
前記リスク値が高まるのに応じて、前記検知ルール判定ステップで判定した検知ルールに従った前記ログの相関分析を行う実行周期が縮まるように更新する実行周期更新ステップと、を備えたことを特徴とする攻撃検知プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018153468A JP7019533B2 (ja) | 2018-08-17 | 2018-08-17 | 攻撃検知装置、攻撃検知システム、攻撃検知方法および攻撃検知プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018153468A JP7019533B2 (ja) | 2018-08-17 | 2018-08-17 | 攻撃検知装置、攻撃検知システム、攻撃検知方法および攻撃検知プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020028092A JP2020028092A (ja) | 2020-02-20 |
| JP7019533B2 true JP7019533B2 (ja) | 2022-02-15 |
Family
ID=69620477
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018153468A Active JP7019533B2 (ja) | 2018-08-17 | 2018-08-17 | 攻撃検知装置、攻撃検知システム、攻撃検知方法および攻撃検知プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7019533B2 (ja) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7384743B2 (ja) * | 2020-05-13 | 2023-11-21 | 株式会社日立製作所 | 攻撃シナリオの危険度評価装置およびその方法 |
| CN113037555B (zh) * | 2021-03-12 | 2022-09-20 | 中国工商银行股份有限公司 | 风险事件标记方法、风险事件标记装置和电子设备 |
| JP7800200B2 (ja) * | 2022-02-24 | 2026-01-16 | 株式会社リコー | 情報処理装置、情報処理方法、およびプログラム |
| US12267351B2 (en) | 2022-10-05 | 2025-04-01 | Denso Corporation | System and method for dynamically updating firewall rules for a vehicle network of a vehicle |
| CN115987672B (zh) * | 2022-12-28 | 2023-09-26 | 北京天融信网络安全技术有限公司 | 网络设备的风险确定方法、装置、设备及介质 |
| CN119128890B (zh) * | 2024-02-04 | 2025-06-24 | 广州市昊恒信息科技有限公司 | 一种基于漏洞扫描的漏洞闭环处理方法及系统 |
| WO2025177424A1 (ja) * | 2024-02-20 | 2025-08-28 | Ntt株式会社 | 検知装置および検知方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005135239A (ja) | 2003-10-31 | 2005-05-26 | Fujitsu Social Science Laboratory Ltd | 情報セキュリティ管理プログラム、情報セキュリティ管理装置および管理方法 |
| US20060265324A1 (en) | 2005-05-18 | 2006-11-23 | Alcatel | Security risk analysis systems and methods |
| CN101610174A (zh) | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析系统与方法 |
| WO2014112185A1 (ja) | 2013-01-21 | 2014-07-24 | 三菱電機株式会社 | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム |
| WO2018079439A1 (ja) | 2016-10-27 | 2018-05-03 | 日本電気株式会社 | インシデント影響範囲推定装置、インシデント影響範囲推定方法、記録媒体及びシステム |
-
2018
- 2018-08-17 JP JP2018153468A patent/JP7019533B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005135239A (ja) | 2003-10-31 | 2005-05-26 | Fujitsu Social Science Laboratory Ltd | 情報セキュリティ管理プログラム、情報セキュリティ管理装置および管理方法 |
| US20060265324A1 (en) | 2005-05-18 | 2006-11-23 | Alcatel | Security risk analysis systems and methods |
| CN101610174A (zh) | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析系统与方法 |
| WO2014112185A1 (ja) | 2013-01-21 | 2014-07-24 | 三菱電機株式会社 | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム |
| WO2018079439A1 (ja) | 2016-10-27 | 2018-05-03 | 日本電気株式会社 | インシデント影響範囲推定装置、インシデント影響範囲推定方法、記録媒体及びシステム |
Non-Patent Citations (1)
| Title |
|---|
| K.karen, M. Souppaya著, NRIセキュアテクノロジーズ株式会社監訳,コンピュータセキュリティログ管理ガイド,日本,米国国立標準技術研究所,2006年09月,pp.2-7,3-1,3-2,3-3,3-5,4-5,4-6,4-7,https://www.ipa.go.jp/files/000025363.pdf |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2020028092A (ja) | 2020-02-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7019533B2 (ja) | 攻撃検知装置、攻撃検知システム、攻撃検知方法および攻撃検知プログラム | |
| US10791133B2 (en) | System and method for detecting and mitigating ransomware threats | |
| KR101255359B1 (ko) | 사용자 변경가능 파일들의 효과적인 화이트 리스팅 | |
| Kamtuo et al. | Machine Learning for SQL injection prevention on server-side scripting | |
| US10291630B2 (en) | Monitoring apparatus and method | |
| JP6774881B2 (ja) | 業務処理システム監視装置および監視方法 | |
| US20170061126A1 (en) | Process Launch, Monitoring and Execution Control | |
| US11750634B1 (en) | Threat detection model development for network-based systems | |
| JP7552899B2 (ja) | リスク分析装置、方法、及びプログラム | |
| US20100014432A1 (en) | Method for identifying undesirable features among computing nodes | |
| US20170155683A1 (en) | Remedial action for release of threat data | |
| US11893110B2 (en) | Attack estimation device, attack estimation method, and attack estimation program | |
| JP6712207B2 (ja) | セキュリティ対策装置 | |
| CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
| CN111183620A (zh) | 入侵调查 | |
| CN113872959A (zh) | 一种风险资产等级判定和动态降级方法和装置及设备 | |
| CN109543457A (zh) | 管控智能合约之间调用的方法及装置 | |
| US20250310372A1 (en) | Techniques for mapping security controls to cyber threats | |
| KR20190020523A (ko) | 로그 분석을 이용한 공격 탐지 장치 및 방법 | |
| US20250190553A1 (en) | Security method for identifying kill chains | |
| CN117093985A (zh) | 一种api的安全检测方法、装置、电子设备和存储介质 | |
| JP7168010B2 (ja) | 行動計画推定装置、行動計画推定方法、及びプログラム | |
| KR101934381B1 (ko) | 해킹툴 탐지 방법 및 이를 수행하는 사용자 단말 및 서버 | |
| KR102929741B1 (ko) | 제로데이 공격 대응 시스템 및 방법 | |
| CN114676313A (zh) | 问题处理方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210303 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20210303 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20211109 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220105 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220202 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 7019533 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |