JP7705202B2 - 攻撃経路生成方法および攻撃経路生成装置 - Google Patents
攻撃経路生成方法および攻撃経路生成装置 Download PDFInfo
- Publication number
- JP7705202B2 JP7705202B2 JP2022054604A JP2022054604A JP7705202B2 JP 7705202 B2 JP7705202 B2 JP 7705202B2 JP 2022054604 A JP2022054604 A JP 2022054604A JP 2022054604 A JP2022054604 A JP 2022054604A JP 7705202 B2 JP7705202 B2 JP 7705202B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- attack path
- path
- primary
- devices
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
図1は、実施形態にかかる攻撃分析システムの構成の一例を示す図である。実施形態の攻撃分析システムには、車両VHに搭載された統合ログ監視装置(以下、IDM(Integrated Detection log Manager)装置)10が含まれており、IDM装置10が監視する車載装置群100へのサイバー攻撃についての分析および対策等のサポートを行う。
次に、図2及び図3を用いて、IDM装置10のハードウェア構成および機能構成の例について説明する。
次に、図4~図6を用いて、IDM装置10の集計部102がログに対して行う集計について説明する。図4は、実施形態にかかるIDM装置10がIDSセンサ群100aから取得するログLGの一例を示す図である。
次に、図7を用いて、IDM装置10の一次生成部103が、図6のフィッティング処理後のデータに対して行う一次的な攻撃経路の生成について説明する。
次に、図8~図11を用いて、IDM装置10の二次生成部104が行う二次的な攻撃経路の生成について説明する。
次に、図12を用いて、IDM装置10の推定部105が行う攻撃シナリオの推定について説明する。図12は、実施形態にかかるIDM装置10が攻撃シナリオの推定に用いる既知攻撃データベース107bの一例を示す図である。
次に、図13及び図14を用いて、実施形態のIDM装置10による攻撃経路生成方法の例について説明する。図13は、実施形態にかかるIDM装置10による攻撃経路生成処理の手順の一例を示すフロー図である。
サイバー攻撃の高度化により、サイバー攻撃を完全に防御するのは困難となりつつあり、サイバー攻撃発生後の対策が重要となっている。また、車載装置群等の制御システムにおいては、セキュリティ対策が万全でない場合もあり、攻撃の発生から非常に短時間で、機器の誤作動または破壊に至ってしまう可能性がある。
次に、図15~図19を用いて、実施形態の変形例1のIDM装置210について説明する。変形例のIDM装置210は、二次的な攻撃経路を生成する際に、生成した攻撃経路に含まれる複数の車載装置をグループとして扱う点が上述の実施形態とは異なる。
次に、図20~図23を用いて、実施形態の変形例2のIDM装置310について説明する。変形例2のIDM装置310は、事象EVの発生数をカウントする点が上述の実施形態とはことなる。
20 データセンタ
21 SIEM装置
22 データベース
100 車載装置群
100a IDSセンサ群
101 取得部
102 集計部
103 一次生成部
104 二次生成部
105 推定部
106 出力部
107 記憶部
107a ネットワーク構成データベース
107b 既知攻撃データベース
218 グループ生成部
318 目標推測部
NTc ネットワーク
NTe 外部ネットワーク
VH 車両
Claims (9)
- 分岐および合流の少なくともいずれかを含むネットワークに接続され、それぞれが攻撃検知機能を有する複数の装置におけるログを取得することで、前記複数の装置における攻撃経路を生成する情報処理装置にて実行される攻撃経路生成方法であって、
取得した前記ログに基づいて分岐および合流のない一次的な攻撃経路を生成し、
前記ログに基づいて前記一次的な攻撃経路から分岐し、または前記一次的な攻撃経路に合流する二次的な攻撃経路を生成し、
生成した前記一次的な攻撃経路および前記二次的な攻撃経路を、攻撃判定を行う装置に出力し、
前記二次的な攻撃経路は、
前記一次的な攻撃経路に含まれる装置であって前記ネットワークの合流点または分岐点に接続される装置に対する攻撃と想定される事象から一定時間内に攻撃と想定される事象が起きている上流側または下流側の装置を含めた攻撃経路である、
攻撃経路生成方法。 - 前記二次的な攻撃経路を生成する場合、
前記複数の装置のうち、前記一次的な攻撃経路に含まれる装置であって前記ネットワークの分岐点に接続される第1の装置に対する前記事象と、前記ネットワークの分岐先に接続される2つ以上の装置の中で前記一次的な攻撃経路に含まれない第2の装置に対する前記事象とが第1の期間内に起きている場合には、前記一次的な攻撃経路から前記第2の装置へと分岐する経路を生成する、
請求項1に記載の攻撃経路生成方法。 - 前記一次的な攻撃経路として第1の攻撃経路と第2の攻撃経路とを生成し、
前記二次的な攻撃経路を生成する場合、
前記複数の装置のうち、前記第1の攻撃経路に含まれる装置であって前記ネットワークの分岐点に接続される第3の装置に対する前記事象と、前記ネットワークの分岐先に接続される2つ以上の装置の中で前記第1の攻撃経路に含まれない第4の装置に対する前記事象とが前記第1の期間内に起きている場合には、前記第1の攻撃経路から前記第4の装置へと分岐する経路を生成する、
請求項2に記載の攻撃経路生成方法。 - 前記二次的な攻撃経路を生成する場合、
前記複数の装置のうち、前記一次的な攻撃経路に含まれる装置であって前記ネットワークの合流点に接続される第5の装置に対する前記事象と、前記第5の装置の上流側で前記合流点と接続している2つ以上の装置の中で前記一次的な攻撃経路に含まれない第6の装置に対する前記事象とが第2の期間内に起きている場合には、前記第6の装置から前記一次的な攻撃経路に合流する経路を生成する、
請求項1または請求項2に記載の攻撃経路生成方法。 - 前記一次的な攻撃経路として第1の攻撃経路と第2の攻撃経路とを生成し、
前記二次的な攻撃経路を生成する場合、
前記複数の装置のうち、前記第1の攻撃経路に含まれる装置であって前記ネットワークの合流点に接続される第7の装置に対する前記事象と、前記第7の装置の上流側で前記合流点と接続している2つ以上の装置の中で前記第1の攻撃経路に含まれない第8の装置に対する前記事象とが前記第2の期間内に起きている場合には、前記第8の装置から前記第2の攻撃経路に合流する経路を生成する、
請求項4に記載の攻撃経路生成方法。 - 第3の期間内に前記事象が発生した数を攻撃発生数としてカウントし、前記二次的な攻撃経路が分岐している場合に、複数の分岐先のうち前記攻撃発生数が他の分岐先より多かった分岐先の装置の下流側に接続される1つ以上の装置へと向かう攻撃経路を生成する、
請求項1から請求項5のいずれか1項に記載の攻撃経路生成方法。 - 前記複数の装置のうち2つ以上の装置を含む前記一次的な攻撃経路のグループを生成し、
前記二次的な攻撃経路を生成する場合、
前記複数の装置のうち、前記グループに付随する分岐路上にある第9の装置に対する攻撃と、前記グループに下流側で接続される第10の装置に対する攻撃とが第4の期間内に起きている場合には、前記グループから前記第9の装置へと分岐する経路を生成する、
請求項1乃至請求項4のいずれか1項に記載の攻撃経路生成方法。 - 既知の攻撃シナリオに基づいて前記事象における攻撃シナリオを推定する、
請求項1から請求項7のいずれか1項に記載の攻撃経路生成方法。 - 分岐および合流の少なくともいずれかを含むネットワークに接続され、それぞれが攻撃検知機能を有する車載電子制御ユニットとして構成される複数の装置におけるログを取得することで、前記複数の装置における攻撃経路を生成する車載用の攻撃経路生成装置であって、
取得した前記ログに基づいて分岐および合流のない一次的な攻撃経路を生成する一次生成部と、
前記ログに基づいて前記一次的な攻撃経路から分岐し、または前記一次的な攻撃経路に合流する二次的な攻撃経路を生成する二次生成部と、
生成した前記一次的な攻撃経路および前記二次的な攻撃経路を、攻撃判定を行う外部装置に出力する出力部と、を備え、
前記二次生成部は、
前記一次的な攻撃経路に含まれる装置であって前記ネットワークの合流点または分岐点に接続される装置に対する攻撃と想定される事象から一定時間内に攻撃と想定される事象が起きている上流側または下流側の装置を含めた二次的な攻撃経路を生成する、
攻撃経路生成装置。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022054604A JP7705202B2 (ja) | 2022-03-29 | 2022-03-29 | 攻撃経路生成方法および攻撃経路生成装置 |
| US18/101,773 US12375511B2 (en) | 2022-03-29 | 2023-01-26 | Attack path generation method and attack path generation device |
| DE102023103676.9A DE102023103676A1 (de) | 2022-03-29 | 2023-02-15 | Angriffswegerstellungsverfahren und Angriffswegerstellungsvorrichtung |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022054604A JP7705202B2 (ja) | 2022-03-29 | 2022-03-29 | 攻撃経路生成方法および攻撃経路生成装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2023147061A JP2023147061A (ja) | 2023-10-12 |
| JP7705202B2 true JP7705202B2 (ja) | 2025-07-09 |
Family
ID=88018814
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022054604A Active JP7705202B2 (ja) | 2022-03-29 | 2022-03-29 | 攻撃経路生成方法および攻撃経路生成装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US12375511B2 (ja) |
| JP (1) | JP7705202B2 (ja) |
| DE (1) | DE102023103676A1 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20240028233A (ko) * | 2022-08-24 | 2024-03-05 | 현대자동차주식회사 | 차량 사이버 보안을 위한 공격 경로 분석 장치 및 그 분석 방법 |
| JP2024041334A (ja) * | 2022-09-14 | 2024-03-27 | 株式会社デンソー | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム |
| KR102708849B1 (ko) * | 2023-10-12 | 2024-09-25 | (주)아스트론시큐리티 | 위협 시나리오를 판단하는 방법 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005101854A (ja) | 2003-09-24 | 2005-04-14 | Intelligent Cosmos Research Institute | パケット追跡装置、パケット追跡システム、パケット追跡方法およびパケット追跡プログラム |
| US20210075822A1 (en) | 2019-09-11 | 2021-03-11 | Institute For Information Industry | Attack path detection method, attack path detection system and non-transitory computer-readable medium |
| US20220092177A1 (en) | 2019-03-27 | 2022-03-24 | British Telecommunications Public Limited Company | Adaptive computer security |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013169148A1 (en) * | 2012-05-11 | 2013-11-14 | Saab Ab | A method for resource allocation in mission planning |
| US9680855B2 (en) * | 2014-06-30 | 2017-06-13 | Neo Prime, LLC | Probabilistic model for cyber risk forecasting |
| US10616271B2 (en) * | 2017-01-03 | 2020-04-07 | Microsemi Frequency And Time Corporation | System and method for mitigating distributed denial of service attacks |
| US11244048B2 (en) * | 2017-03-03 | 2022-02-08 | Nippon Telegraph And Telephone Corporation | Attack pattern extraction device, attack pattern extraction method, and attack pattern extraction program |
| JP6831763B2 (ja) | 2017-09-08 | 2021-02-17 | 株式会社日立製作所 | インシデント分析装置およびその分析方法 |
| US11206281B2 (en) * | 2019-05-08 | 2021-12-21 | Xm Cyber Ltd. | Validating the use of user credentials in a penetration testing campaign |
| JP7074739B2 (ja) * | 2019-10-21 | 2022-05-24 | 矢崎総業株式会社 | 脆弱性評価装置 |
| WO2021130897A1 (ja) * | 2019-12-25 | 2021-07-01 | 日本電気株式会社 | 分析装置、分析方法及び分析プログラムが格納された非一時的なコンピュータ可読媒体 |
| US11544527B2 (en) * | 2020-02-06 | 2023-01-03 | International Business Machines Corporation | Fuzzy cyber detection pattern matching |
| US11770387B1 (en) * | 2020-07-17 | 2023-09-26 | Rapid7, Inc. | Graph-based detection of lateral movement in computer networks |
-
2022
- 2022-03-29 JP JP2022054604A patent/JP7705202B2/ja active Active
-
2023
- 2023-01-26 US US18/101,773 patent/US12375511B2/en active Active
- 2023-02-15 DE DE102023103676.9A patent/DE102023103676A1/de active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005101854A (ja) | 2003-09-24 | 2005-04-14 | Intelligent Cosmos Research Institute | パケット追跡装置、パケット追跡システム、パケット追跡方法およびパケット追跡プログラム |
| US20220092177A1 (en) | 2019-03-27 | 2022-03-24 | British Telecommunications Public Limited Company | Adaptive computer security |
| US20210075822A1 (en) | 2019-09-11 | 2021-03-11 | Institute For Information Industry | Attack path detection method, attack path detection system and non-transitory computer-readable medium |
Also Published As
| Publication number | Publication date |
|---|---|
| US20230319085A1 (en) | 2023-10-05 |
| US12375511B2 (en) | 2025-07-29 |
| DE102023103676A1 (de) | 2023-10-05 |
| JP2023147061A (ja) | 2023-10-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7705202B2 (ja) | 攻撃経路生成方法および攻撃経路生成装置 | |
| Fachkha et al. | Internet-scale Probing of CPS: Inference, Characterization and Orchestration Analysis. | |
| KR101538709B1 (ko) | 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법 | |
| US9985982B1 (en) | Method and apparatus for aggregating indicators of compromise for use in network security | |
| US8949668B2 (en) | Methods and systems for use in identifying abnormal behavior in a control system including independent comparisons to user policies and an event correlation model | |
| CN116760636A (zh) | 一种未知威胁的主动防御系统和方法 | |
| US9369484B1 (en) | Dynamic security hardening of security critical functions | |
| JP7738985B2 (ja) | コンピュータネットワークにおけるデータ効率のよい脅威検出の方法 | |
| US20170230396A1 (en) | Network system | |
| JP2024538734A (ja) | 車両ネットワークのための普遍的な侵入検出および防止方法 | |
| Wang et al. | An adversary-centric behavior modeling of DDoS attacks | |
| US20170134400A1 (en) | Method for detecting malicious activity on an aircraft network | |
| JP2018160786A (ja) | 監視装置、監視方法およびコンピュータプログラム | |
| Chaudhary et al. | Analysis of fuzzy logic based intrusion detection systems in mobile ad hoc networks | |
| Ferrando et al. | Classification of device behaviour in internet of things infrastructures: towards distinguishing the abnormal from security threats | |
| Lee et al. | Real-time analysis of intrusion detection alerts via correlation | |
| Sebbar et al. | Secure data sharing framework based on supervised machine learning detection system for future SDN-based networks | |
| Kendrick et al. | A self-organising multi-agent system for decentralised forensic investigations | |
| CN115865487B (zh) | 一种具有隐私保护功能的异常行为分析方法和装置 | |
| WO2012054055A1 (en) | Distributed network instrumentation system | |
| KR102131496B1 (ko) | 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법 | |
| Pan et al. | Anomaly behavior analysis for building automation systems | |
| Jiang et al. | Anomaly Detection and Access Control for Cloud-Edge Collaboration Networks. | |
| Nakahara et al. | Malware Detection for IoT Devices using Automatically Generated White List and Isolation Forest. | |
| CN110881016A (zh) | 一种网络安全威胁评估方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20240226 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20240911 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20250529 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20250610 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20250624 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7705202 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |