CN113544676B - 攻击估计装置、攻击估计方法和记录介质 - Google Patents
攻击估计装置、攻击估计方法和记录介质 Download PDFInfo
- Publication number
- CN113544676B CN113544676B CN201980093613.5A CN201980093613A CN113544676B CN 113544676 B CN113544676 B CN 113544676B CN 201980093613 A CN201980093613 A CN 201980093613A CN 113544676 B CN113544676 B CN 113544676B
- Authority
- CN
- China
- Prior art keywords
- attack
- abstract
- tree
- determined
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 70
- 238000011109 contamination Methods 0.000 claims abstract description 29
- 238000012790 confirmation Methods 0.000 claims abstract description 28
- 238000001514 detection method Methods 0.000 claims abstract description 19
- 238000010200 validation analysis Methods 0.000 claims description 4
- 238000012545 processing Methods 0.000 description 28
- 238000010586 diagram Methods 0.000 description 12
- 238000012795 verification Methods 0.000 description 11
- 238000011084 recovery Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 238000007796 conventional method Methods 0.000 description 3
- 230000001419 dependent effect Effects 0.000 description 2
- 208000015181 infectious disease Diseases 0.000 description 2
- 238000011835 investigation Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1415—Saving, restoring, recovering or retrying at system level
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/86—Event-based monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
攻击估计装置具有:存储部,其保持攻击树、抽象攻击树和确认日志管理信息;以及预测部,其在接收到通知发生了对分析对象系统的攻击的检测警报的情况下,参照攻击树、抽象攻击树和确认日志管理信息,预测由攻击造成的污染范围,预测部在未能确定与攻击对应的威胁痕迹信息的情况下,判断为发生了未知的攻击作为攻击,参照抽象攻击树来确定抽象攻击名称,参照确认日志管理信息来确定残留有由未知的攻击造成的痕迹的可能性高的设备,并且与所确定的设备对应地确定日志的具体部位,由此预测由未知的攻击造成的污染范围。
Description
技术领域
本发明涉及估计由对分析对象系统的攻击造成的污染范围的攻击估计装置、攻击估计方法和记录介质。
背景技术
由于近年来的围绕企业的环境变化,企业的风险多样化且变质,重要信息的流出、非法访问、系统故障等与围绕信息资产的故障相关的信息安全事件频繁发生。
为了应对该发生,除了针对应保护的系统的事先安全分析以外,还要求为了防备意外状况而检测与围绕信息资产的故障相关的攻击的系统。作为对检测这样的攻击的对策进行辅助的技术,提出若干使用攻击树方法的技术(例如,参照非专利文献1)。
在安全分析中,使对象的资产价值和威胁明确化,对高风险值的资产价值和威胁优先地实施对策。为此,在从对象的系统结构信息中系统性地提取攻击过程时使用攻击树。存在如下现有技术:导出针对系统的攻击树,由此全面地找出脆弱部位,提示减轻风险对策(例如,参照专利文献1)。
此外,存在如下现有技术:基于由专家手工生成的攻击树,自动生成观察IDS(Intrusion Detection System:侵入检测系统)输出的警报相关性的规则,将可能产生的IDS的警报与攻击树的各节点对应起来,由此生成规则(例如,参照非专利文献2)。并且,存在自动生成用于穿透测试的攻击树的现有技术(例如,参照专利文献2)。
可考虑通过应用这些现有技术,自动生成与攻击手段对应的检测规则即定义威胁痕迹信息(IOC:Indicators of Compromise)的攻击树,能够使用威胁痕迹信息,进行基于攻击树的攻击检测以及感染部位的确定。
但是,关于攻击树的全面性,有时有较多不完美的方面,实际发生的威胁在分析中无法确定。例如,在未知的利用脆弱性的攻击的情况下,在分析的阶段不存在其攻击手段,因此,树中不存在其攻击路径。
作为解决这些课题的一个方法,提出有如下现有技术:在基于多级攻击的攻击脚本中,如果关于无法观测的事件能够观测前后事件的发生,则视为观测到相应事件,由此防止多级攻击的漏检(例如,参照专利文献3)。
现有技术文献
专利文献
专利文献1:日本特许第5406195号公报
专利文献2:美国特许第9894090号
专利文献3:日本特许第6000495号公报
非专利文献
非专利文献1:B.Schneier:Attack trees:modeling security threats,Dr.Dobb's Journal,December 1999,URL:<https://www.schneier.com/academic/archives/1999/12/attack_trees.html>
非专利文献2:Godefroy,Erwan,et al."Automatic generation of correlationrules to detect complex attack scenarios."Information Assurance and Security(IAS),2014 10th International Conference on.IEEE,2014.
发明内容
发明要解决的课题
但是,现有技术存在以下的课题。
在如上所述使用攻击树的情况下,存在只能针对已知的攻击确定攻击和感染部位的课题。
本发明正是为了解决如上所述的课题而完成的,其目的在于,得到一种攻击估计装置、攻击估计方法和记录介质,能够推测由未知的攻击造成的痕迹。
用于解决课题的手段
本发明的攻击估计装置具有:攻击树存储部,其保存将在分析对象系统中能够事先设想的攻击方法与威胁痕迹信息关联起来的攻击树;抽象攻击树存储部,其保存将攻击方法与提高了攻击方法的抽象度的抽象攻击名称关联起来的抽象攻击树;确认日志管理信息存储部,其保存将抽象攻击名称、确认日志的设备和日志的具体部位关联起来的确认日志管理信息;以及预测部,其在接收到通知发生了对分析对象系统的攻击的检测警报的情况下,参照攻击树、抽象攻击树和确认日志管理信息,预测由攻击造成的污染范围,预测部在接收到检测警报的情况下,参照攻击树来确定与攻击对应的威胁痕迹信息,预测部在能确定与攻击对应的威胁痕迹信息的情况下,判断为发生了已知的攻击作为攻击,根据所确定的威胁痕迹信息来预测污染范围,预测部在未能确定与攻击对应的威胁痕迹信息的情况下,判断为发生了未知的攻击作为攻击,预测部在判断为发生了未知的攻击的情况下,参照抽象攻击树来确定抽象攻击名称,参照所确定的抽象攻击名称和确认日志管理信息,来确定确认日志的设备作为残留有由未知的攻击造成的痕迹的可能性高的设备,并且,与所确定的设备对应地确定日志的具体部位,由此预测由未知的攻击造成的污染范围。
此外,本发明的攻击估计方法具有以下步骤:存储步骤,使存储部保存将在分析对象系统中能够事先设想的攻击方法与威胁痕迹信息关联起来的攻击树、将攻击方法与提高了攻击方法的抽象度的抽象攻击名称关联起来的抽象攻击树以及将抽象攻击名称、确认日志的设备和日志的具体部位关联起来的确认日志管理信息;以及预测步骤,在接收到通知发生了对分析对象系统的攻击的检测警报的情况下,参照攻击树、抽象攻击树和确认日志管理信息,预测由攻击造成的污染范围,在预测步骤中接收到检测警报的情况下,参照攻击树来确定与攻击对应的威胁痕迹信息,在预测步骤中能确定与攻击对应的威胁痕迹信息的情况下,判断为发生了已知的攻击作为攻击,根据所确定的威胁痕迹信息来预测污染范围,在预测步骤中未能确定与攻击对应的威胁痕迹信息的情况下,判断为发生了未知的攻击作为攻击,在预测步骤中判断为发生了未知的攻击的情况下,参照抽象攻击树来确定抽象攻击名称,参照所确定的抽象攻击名称和确认日志管理信息,来确定确认日志的设备作为残留有由未知的攻击造成的痕迹的可能性高的设备,并且,与所确定的设备对应地确定日志的具体部位,由此预测由未知的攻击造成的污染范围。
此外,本发明的存储有攻击估计程序的计算机能读取的记录介质,该攻击估计程序使计算机执行以下步骤:存储步骤,使存储部保存将在分析对象系统中能够事先设想的攻击方法与威胁痕迹信息关联起来的攻击树、将攻击方法与提高了攻击方法的抽象度的抽象攻击名称关联起来的抽象攻击树以及将抽象攻击名称、确认日志的设备和日志的具体部位关联起来的确认日志管理信息;以及预测步骤,在接收到通知发生了对分析对象系统的攻击的检测警报的情况下,参照攻击树、抽象攻击树和确认日志管理信息,预测由攻击造成的污染范围,其中,在预测步骤中接收到检测警报的情况下,参照攻击树来确定与攻击对应的威胁痕迹信息,在预测步骤中能确定与攻击对应的威胁痕迹信息的情况下,判断为发生了已知的攻击作为攻击,根据所确定的威胁痕迹信息来预测污染范围,在预测步骤中未能确定与攻击对应的威胁痕迹信息的情况下,判断为发生了未知的攻击作为攻击,在预测步骤中判断为发生了未知的攻击的情况下,参照抽象攻击树来确定抽象攻击名称,参照所确定的抽象攻击名称和确认日志管理信息,来确定确认日志的设备作为残留有由未知的攻击造成的痕迹的可能性高的设备,并且,与所确定的设备对应地确定日志的具体部位,由此预测由未知的攻击造成的污染范围。
发明效果
根据本发明,能够得到一种攻击估计装置、攻击估计方法和记录介质,能够推测由未知的攻击造成的痕迹。
附图说明
图1是示出本发明实施方式1中的攻击估计装置的硬件结构例的图。
图2是示出本发明实施方式1中的攻击估计装置的功能结构例的图。
图3是示出在本发明实施方式1的攻击估计装置中估计网络攻击痕迹信息所需的数据的生成过程的流程图。
图4是示出本发明实施方式1中的攻击树存储部中保存的攻击树的数据结构的图。
图5是示出本发明实施方式1中的抽象攻击树存储部中保存的抽象攻击树的数据结构的图。
图6是示出本发明实施方式1中的确认日志管理信息存储部中保存的确认日志管理信息的数据结构的图。
图7是示出本发明实施方式1的攻击估计装置中执行的攻击估计方法的一系列动作的流程图。
图8是本发明实施方式2中的攻击估计装置的功能结构例。
图9是示出将本发明实施方式2中的恢复手段信息存储部中保存的恢复作业与作业时间对应起来的恢复手段信息的数据结构的图。
具体实施方式
以下,使用附图说明本发明的攻击估计装置、攻击估计方法和记录介质的优选实施方式。本发明的攻击估计装置涉及能够估计由未知的网络攻击造成的痕迹信息的“网络攻击痕迹信息估计装置”。在以下的说明中,将“网络攻击痕迹信息估计装置”简称作“攻击估计装置”来进行说明。
实施方式1
图1是示出本发明实施方式1中的攻击估计装置的硬件结构例的图。在图1所示的本实施方式1的攻击估计装置1中,驱动装置101、辅助存储装置103、存储器装置104、CPU105和接口装置106分别通过总线B相互地连接。
实现攻击估计装置1的一系列处理的程序由CD-ROM等记录介质102提供。当将存储有程序的记录介质102安装于驱动装置101时,从记录介质102经由驱动装置101将程序安装到辅助存储装置103。
但是,程序的安装不一定需要使用记录介质1002来进行,也可以经由网络从其他计算机下载。辅助存储装置103存储已安装的程序,并且存储必要的文件或数据等。
在具有程序的启动指示的情况下,存储器装置104从辅助存储装置103读出并存储程序。相当于计算机的CPU 105依照存储器装置104中存储的程序执行攻击估计装置1的功能。接口装置106作为用于与网络连接的接口使用。
另外,攻击估计装置1也可以由具有如图1所示的硬件的多个计算机构成。即,攻击估计装置1执行的处理也可以分散到多个计算机中执行。
图2是示出本发明实施方式1中的攻击估计装置1的功能结构例的图。图2所示的攻击估计装置具有攻击树生成处理部201、攻击树抽象化处理部202、健全性确认处理部203、攻击日志预测部204、系统结构信息存储部205、脆弱性信息存储部206、攻击树存储部207、抽象攻击树存储部208和确认日志管理信息存储部209。
图3是示出在本发明实施方式1的攻击估计装置1中估计网络攻击痕迹信息所需的数据的生成过程的流程图。使用图3,对事先生成估计网络攻击痕迹信息所需的数据的过程进行说明。另外,在系统结构信息存储部205中存储有记载有分析对象系统的信息的数据,在脆弱性信息存储部206中存储有蓄积有安全威胁现象的数据。
此外,作为进行攻击估计的预阶段,以下说明的步骤S101~步骤S103的处理相当于如下存储步骤:使存储部预先存储估计攻击所需的数据。
在步骤S101中,攻击树生成处理部201使用系统结构信息存储部205和脆弱性信息存储部206中存储的各个数据,生成将分析对象系统中的攻击的路径、被攻击的设备、攻击方法和脆弱性关联起来的攻击树。并且,攻击树生成处理部201将生成的攻击树保存到攻击树存储部207。
攻击树的生成处理和保存处理能够通过作为现有技术文献而举出的专利文献1、2和非专利文献2来实现,省略详细说明。
图4是示出本发明实施方式1中的攻击树存储部207中保存的攻击树的数据结构的图。在攻击树存储部207中,如图4所示,将“ID”、“从(From)”、“至(To)”、“攻击方法”、“攻击方法ID”和“威胁痕迹信息(IOC)”的各数据关联起来作为攻击树保存。
通过与示作攻击树的“从(From)”以及“至(To)”相关的信息,确定分析对象系统中的攻击的路径以及被攻击的设备。此外,通过示作攻击树的“威胁痕迹信息(IOC)”,确定受到攻击的部位的脆弱性。
如图4所示,根据系统结构信息存储部205和脆弱性信息存储部206的信息,在由攻击树生成处理部201导出的攻击树中保存有作为威胁痕迹信息的IOC。
作为一例,在图4中的ID 5中,示出如下内容:在从设备A对设备D利用软件的脆弱性Z而发生了由攻击方法ID=D4的攻击造成的威胁的情况下,作为该IOC,包含软件名称、版本、作为痕迹的文件路径的信息等,该软件名称包含脆弱性。
作为威胁痕迹信息的IOC是指在发生了图4所示的各攻击方法的任意攻击的情况下,汇集作为痕迹而残留于设备的信息。因此,在发生了图4中汇集的已知的攻击的情况下,通过参照威胁痕迹信息,能够确定痕迹。
接着,在步骤S102中,攻击树抽象化处理部202将攻击树存储部207中保存的攻击树的攻击方法分类成提高了抽象度的攻击项目。并且,攻击树抽象化处理部202将分类后的抽象攻击树保存到抽象攻击树存储部208。
图5是示出本发明实施方式1中的抽象攻击树存储部208中保存的抽象攻击树的数据结构的图。攻击树存储部207中保存的攻击方法被分类成提高了抽象度的攻击项目,作为图5所示的数据保存到抽象攻击树存储部208。
具体而言,如图5所示,在抽象攻击树存储部208中,将“抽象攻击名称”、“攻击方法ID列表”和“攻击的阶段”的各数据关联起来作为抽象攻击树保存。
如图4所示,攻击树存储部207中保存的攻击树的数据根据设备的脆弱性和每个攻击方法ID的IOC详细地进行分类。与此相对,攻击树抽象化处理部202例如按照基于网络杀伤链(Cyber-Kill-Chain)的攻击阶段对攻击方法进行分类,由此,分类成1级抽象度较高的攻击项目。
网络杀伤链是指按照每个阶段对攻击者的运动即攻击的阶段进行分类而得到的框架。具体而言,攻击者的动作被分类成“侦察”、“武器化”、“发布”、“攻击(Explutes)”、“安装”、“远程操作(C&C)”、“侵入扩大”和“目标执行”的各阶段(进程)。
作为一例,作为与图5的“攻击方法ID列表”中的攻击方法ID=D4对应的数据,保存“抽象攻击名称”作为远程访问,保存“攻击的阶段”作为远程操作。
接着,在步骤S103中,攻击树抽象化处理部202按照由抽象攻击树存储部208分类后的每个抽象攻击名称,对确认日志的设备以及日志的具体部位进行定义。并且,攻击树抽象化处理部202将定义的数据作为确认日志管理信息保存到确认日志管理信息存储部209。
图6是示出本发明实施方式1中的确认日志管理信息存储部209中保存的确认日志管理信息的数据结构的图。与“抽象攻击名称”对应地将“确认日志的设备”与“日志的具体部位”的项目的数据关联起来,作为确认日志管理信息保存到确认日志管理信息存储部20。
在此,“确认日志的设备”是指在进行了与抽象攻击名称对应的攻击时残留有痕迹的可能性较高的设备。此外,“日志的具体部位”是指关于“确认日志的设备”的日志规定了具体的日志项目的部位。
接着,使用图7,对由本实施方式1的攻击估计装置执行的估计未知的网络攻击的处理进行说明。图7是示出在本发明实施方式1的攻击估计装置中执行的攻击估计方法的一系列动作的流程图。
另外,以下说明的步骤S201~步骤S207的处理相当于进行攻击估计的预测步骤。此外,执行步骤S201~步骤S207的处理的健全性确认处理部203和攻击日志预测部204相当于预测部。
首先,在步骤S201中,健全性确认处理部203在发生了网络攻击时,接收检测警报。
接着,在步骤S202中,健全性确认处理部203根据攻击树存储部207中保存的攻击树,进行分析对象系统的设备中是否存在对应的IOC的调查。
例如,在图4的ID 5中,从设备A对设备D具有发生利用软件的脆弱性Z的攻击的威胁,作为发生了攻击时的IOC,包含软件名称、版本、作为痕迹的文件路径的信息等,该软件名称包含脆弱性。健全性确认处理部203确认IOC是否存在于设备D。然后,在IOC存在于设备D的情况下,即能确定威胁痕迹信息的情况下,健全性确认处理部203能够视作该部位的树的攻击成立。
因此,在步骤S203中,健全性确认处理部203判断是否能确定IOC作为调查结果。在攻击树的攻击路径成立的情况下,即存在攻击路径成立的IOC的情况下,健全性确认处理部203判断为没有未知的攻击而是已知的攻击,结束一系列处理。
另一方面,在针对攻击树的一个攻击路径没有找到IOC的情况下,健全性确认处理部203判断为已知的攻击方法不成立而替代地进行了未知的攻击,进入步骤S204以后的处理。
然后,在进入步骤S204的情况下,关于对应的攻击树,攻击日志预测部204参照抽象攻击树存储部208中保存的抽象攻击树来确定抽象攻击名称。
并且,在步骤S205中,攻击日志预测部204与“抽象攻击名称”对应地参照确认日志管理信息存储部209中保存的确认日志管理信息,来确定“确认日志的设备”和“日志的具体部位”。即,攻击日志预测部204确定“确认日志的设备”作为残留有由未知的攻击造成的痕迹的可能性高的设备,并且与所确定的设备对应地确定“日志的具体部位”,由此预测由未知的攻击造成的污染范围。
例如,在图4的ID 5中,攻击方法ID是D4。因此,攻击日志预测部204参照图5所示的抽象攻击树,由此能够确定“抽象攻击名称”是远程访问。并且,攻击日志预测部204参照图6所示的确认日志管理信息,由此能够确定与远程访问对应的“确认日志的设备”为防火墙(FireWall)并且“日志的具体部位”是发送源/发送目的地地址或者发送目的地端口。
接着,在步骤S206中,攻击日志预测部204根据攻击树前后的痕迹信息来估计要确认的日志的时间段。例如,在图4中,关于假设是未知的攻击的ID 5的攻击,攻击树前后的ID是ID 6和ID 3。并且,健全性确认处理部203能够根据通过调查而确定的图4的ID 6和ID 3各自中的IOC的时间戳信息,估计出ID 5在该期间的时间段被攻击。
接着,在步骤S207中,关于与抽象攻击名称对应的“确认日志的设备”,攻击日志预测部204提取在步骤S206中估计出的时间段的日志作为可疑日志,结束一系列处理。
攻击估计装置1执行图7所示的流程图的一系列处理,由此,针对已知的攻击和未知的攻击中的任何攻击,都能够预测由攻击造成的污染范围。
另外,在图4中的攻击方法的从(From)与至(To)不同的情况下,即是针对另一设备的攻击的情况下,攻击日志预测部204除了日志的时间段以外,还能够将与估计出进行了攻击的发送源和发送目的地的设备相关的日志锁定成可疑日志。
作为判断是否存在由未知的攻击造成的非法日志的方法,攻击日志预测部204能够使用如下“行为异常检测技术”等:判断是否没有虽然是正常的日志但日志的输出方式与平时不同的日志。
如上所述,实施方式1的攻击估计装置能够进行由未知的攻击造成的痕迹推测。此外,能够防止将在攻击树的攻击路径中未能确定IOC的攻击误判断为进行了已知的攻击。
实施方式2
图8是本发明实施方式2中的攻击估计装置1的功能结构例。图8所示的攻击估计装置除了之前的实施方式1中的图2的组件以外,还具有恢复作业确定部210和恢复手段信息存储部211。因此,以下,以作为新追加的组件的恢复作业确定部210和恢复手段信息存储部211的功能为中心进行说明。
在之前的实施方式1中,在发生了包含未知的攻击的网络攻击的情况下,能估计出感染部位。但是,在实际的运用中,在进行了估计作业之后,需要实施污染范围的恢复作业。因此,在本实施方式2中,对附加有能够根据估计出的感染部位的IOC来预测系统整体的恢复花费的过程和时间的功能的攻击估计装置1进行说明。
关于攻击树存储部207的被定义为IOC的信息,恢复手段信息存储部211保存污染范围的恢复作业内容和修复所需的恢复作业时间。该恢复作业时间例如是在注册表因攻击而被改写的情况下为了恢复至原来的状态花费的作业时间。
图9是示出将本发明实施方式2中的恢复手段信息存储部211中保存的恢复作业内容与恢复作业时间对应起来的恢复手段信息的数据结构的图。另外,也能够替代定义与IOC相应的多个恢复作业时间,将从定期备份中恢复的1个过程的恢复作业时间定义成恢复手段信息。
此外,有时也根据攻击的种类而需要安装着的软件的重新安装、OS的初始化、设备的重新启动等。因此,由恢复手段信息存储部211和系统结构信息存储部205分担定义这些作业花费的时间。
作为一例,系统结构信息存储部205能够保存各设备中安装着的软件、设备的性能信息、设备间的依存关系等用于确定恢复作业时间的数据。
为了修复通过之前的实施方式1中的一系列处理确定的包含未知的攻击的攻击的痕迹,恢复作业确定部210参照系统结构信息存储部205、攻击树存储部207和恢复手段信息存储部211中保存的确定恢复作业时间所需的信息。具体而言,恢复作业确定部210判断用于修复IOC的时间、根据设备的依存关系进行设备恢复的顺序、依存的设备的停止、有无启动处理的必要性等。
例如,在通过有向图表现设备间的依存关系的情况下,恢复作业确定部210能够通过如下所述的过程确定恢复作业时间。在此,在进行伴随某一设备的停止的修复时,成为使图的相邻的依存对象设备先停止的规则。恢复作业确定部210根据基于这样的规则的有向图,导出全部设备的修复花费的过程,由此,能够求出恢复过程,确定这些修复时间的合计作为恢复作业时间。
如上所述,实施方式2的攻击估计装置在被进行了未知的网络攻击时,不仅能够估计攻击的痕迹,还能够根据所确定的攻击的痕迹信息来预测并确定从由攻击造成的损害中恢复所需的时间。
总结上述实施方式1、2的攻击估计装置的特征如下所述。在企业受到以目标型攻击为中心的高级网络攻击的情况下,实施方式1、2的攻击估计装置能够确定被污染的范围,估计恢复花费的作业和时间。
具体而言,实施方式1、2的攻击估计装置生成全面性地记述有在分析对象系统中事先能够设想的攻击活动和对应的威胁痕迹信息的攻击树。然后,实施方式1、2的攻击估计装置在检测出攻击之后,沿着攻击树调查各设备内的攻击的痕迹,确定攻击的路径。
此时,在受到未知的攻击的情况下,有可能没有找到由事先的攻击树分析造成的IOC而无法确定污染范围。因此,针对在攻击树上没能确认IOC的攻击活动,实施方式1、2的攻击估计装置基于受到同种未知的攻击的可能性高这样的假设,确定残留有痕迹的可能性高的设备的日志、时间段、日志的部位。
其结果是,即使在发生了未知的攻击的情况下,实施方式1的攻击估计装置也能够进行污染范围的确定。并且,实施方式2的攻击估计装置除了实施方式1的攻击估计装置具有的效果以外,还能够估计恢复确定为已被污染的范围花费的作业和时间。
标号说明
1:攻击估计装置;101:驱动装置;102:记录介质;103:辅助存储装置;104:存储器装置;105:CPU;106:接口装置;201:攻击树生成处理部;202:攻击树抽象化处理部;203:健全性确认处理部;204:攻击日志预测部;205:系统结构信息存储部;206:脆弱性信息存储部;207:攻击树存储部;208:抽象攻击树存储部;209:确认日志管理信息存储部;210:恢复作业确定部;211:恢复手段信息存储部。
Claims (4)
1.一种攻击估计装置,其中,该攻击估计装置具有:
攻击树存储部,其保存将在分析对象系统中能够事先设想的攻击方法与威胁痕迹信息关联起来的攻击树;
抽象攻击树存储部,其保存将所述攻击方法与通过对所述攻击方法进行分类而提高了所述攻击方法的抽象度的抽象攻击名称关联起来的抽象攻击树;
确认日志管理信息存储部,其保存将所述抽象攻击名称、确认日志的设备和所述日志的具体部位关联起来的确认日志管理信息;以及
预测部,其在接收到通知发生了对所述分析对象系统的攻击的检测警报的情况下,参照所述攻击树、所述抽象攻击树和所述确认日志管理信息,预测由所述攻击造成的污染范围,
所述预测部在接收到所述检测警报的情况下,参照所述攻击树来确定与所述攻击对应的所述威胁痕迹信息,
所述预测部在能确定与所述攻击对应的所述威胁痕迹信息的情况下,判断为发生了已知的攻击作为所述攻击,根据所确定的所述威胁痕迹信息来预测所述污染范围,
所述预测部在未能确定与所述攻击对应的所述威胁痕迹信息的情况下,判断为发生了未知的攻击作为所述攻击,
所述预测部在判断为发生了所述未知的攻击的情况下,参照所述抽象攻击树来确定所述抽象攻击名称,
所述预测部参照所确定的所述抽象攻击名称和所述确认日志管理信息,将确认所述日志的设备确定为残留有由所述未知的攻击造成的痕迹的可能性高的设备,并且,与所确定的所述设备对应地确定所述日志的具体部位,由此预测由所述未知的攻击造成的所述污染范围。
2.根据权利要求1所述的攻击估计装置,其中,该攻击估计装置还具有:
恢复手段信息存储部,其保存将所述污染范围的恢复作业内容与恢复作业时间对应起来的恢复手段信息;以及
恢复作业确定部,其参照所述恢复手段信息,确定为了修复由所述预测部预测出的所述污染范围所需的所述恢复作业内容和所述恢复作业时间。
3.一种攻击估计方法,其中,该攻击估计方法具有以下步骤:
存储步骤,使存储部保存将在分析对象系统中能够事先设想的攻击方法与威胁痕迹信息关联起来的攻击树、将所述攻击方法与通过对所述攻击方法进行分类而提高了所述攻击方法的抽象度的抽象攻击名称关联起来的抽象攻击树以及将所述抽象攻击名称、确认日志的设备和所述日志的具体部位关联起来的确认日志管理信息;以及
预测步骤,在接收到通知发生了对所述分析对象系统的攻击的检测警报的情况下,参照所述攻击树、所述抽象攻击树和所述确认日志管理信息,预测由所述攻击造成的污染范围,
在所述预测步骤中接收到所述检测警报的情况下,参照所述攻击树来确定与所述攻击对应的所述威胁痕迹信息,
在所述预测步骤中能确定与所述攻击对应的所述威胁痕迹信息的情况下,判断为发生了已知的攻击作为所述攻击,根据所确定的所述威胁痕迹信息来预测所述污染范围,
在所述预测步骤中未能确定与所述攻击对应的所述威胁痕迹信息的情况下,判断为发生了未知的攻击作为所述攻击,
在所述预测步骤中判断为发生了所述未知的攻击的情况下,参照所述抽象攻击树来确定所述抽象攻击名称,
在所述预测步骤中,参照所确定的所述抽象攻击名称和所述确认日志管理信息,将确认所述日志的设备确定为残留有由所述未知的攻击造成的痕迹的可能性高的设备,并且,与所确定的所述设备对应地确定所述日志的具体部位,由此预测由所述未知的攻击造成的所述污染范围。
4.一种存储有攻击估计程序的计算机能读取的记录介质,该攻击估计程序使计算机执行以下步骤:
存储步骤,使存储部保存将在分析对象系统中能够事先设想的攻击方法与威胁痕迹信息关联起来的攻击树、将所述攻击方法与通过对所述攻击方法进行分类而提高了所述攻击方法的抽象度的抽象攻击名称关联起来的抽象攻击树以及将所述抽象攻击名称、确认日志的设备和所述日志的具体部位关联起来的确认日志管理信息;以及
预测步骤,在接收到通知发生了对所述分析对象系统的攻击的检测警报的情况下,参照所述攻击树、所述抽象攻击树和所述确认日志管理信息,预测由所述攻击造成的污染范围,其中,
在所述预测步骤中接收到所述检测警报的情况下,参照所述攻击树来确定与所述攻击对应的所述威胁痕迹信息,
在所述预测步骤中能确定与所述攻击对应的所述威胁痕迹信息的情况下,判断为发生了已知的攻击作为所述攻击,根据所确定的所述威胁痕迹信息来预测所述污染范围,
在所述预测步骤中未能确定与所述攻击对应的所述威胁痕迹信息的情况下,判断为发生了未知的攻击作为所述攻击,
在所述预测步骤中判断为发生了所述未知的攻击的情况下,参照所述抽象攻击树来确定所述抽象攻击名称,
在所述预测步骤中,参照所确定的所述抽象攻击名称和所述确认日志管理信息,将确认所述日志的设备确定为残留有由所述未知的攻击造成的痕迹的可能性高的设备,并且,与所确定的所述设备对应地确定所述日志的具体部位,由此预测由所述未知的攻击造成的所述污染范围。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2019/010044 WO2020183615A1 (ja) | 2019-03-12 | 2019-03-12 | 攻撃推定装置、攻撃制御方法、および攻撃推定プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113544676A CN113544676A (zh) | 2021-10-22 |
| CN113544676B true CN113544676B (zh) | 2024-07-26 |
Family
ID=72427354
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980093613.5A Active CN113544676B (zh) | 2019-03-12 | 2019-03-12 | 攻击估计装置、攻击估计方法和记录介质 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11893110B2 (zh) |
| JP (1) | JP6918269B2 (zh) |
| CN (1) | CN113544676B (zh) |
| WO (1) | WO2020183615A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7427574B2 (ja) * | 2020-11-30 | 2024-02-05 | 株式会社日立製作所 | 状態診断装置、及び状態診断方法 |
| CN112887303B (zh) * | 2021-01-25 | 2022-09-30 | 中国人民解放军92493部队参谋部 | 一种串入式威胁接入管控系统及方法 |
| WO2023223515A1 (ja) * | 2022-05-19 | 2023-11-23 | 日本電信電話株式会社 | 攻撃経路推定システム、攻撃経路推定装置、攻撃経路推定方法及びプログラム |
Family Cites Families (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4265163B2 (ja) * | 2002-07-18 | 2009-05-20 | ソニー株式会社 | ネットワーク・セキュリティ・システム、情報処理装置及び情報処理方法、並びにコンピュータ・プログラム |
| JP2005085158A (ja) * | 2003-09-10 | 2005-03-31 | Toshiba Corp | 不正アクセス検出装置およびコンピュータネットワーク上に於ける異常データ検出方法 |
| WO2009047113A1 (en) | 2007-10-10 | 2009-04-16 | Telefonaktiebolaget Lm Ericsson (Publ) | Apparatus for reconfiguration of a technical system based on security analysis and a corresponding technical decision support system and computer program product |
| JP5264470B2 (ja) * | 2008-12-26 | 2013-08-14 | 三菱電機株式会社 | 攻撃判定装置及びプログラム |
| US8863293B2 (en) * | 2012-05-23 | 2014-10-14 | International Business Machines Corporation | Predicting attacks based on probabilistic game-theory |
| EP2947595A4 (en) * | 2013-01-21 | 2016-06-08 | Mitsubishi Electric Corp | ATTACK ANALYSIS SYSTEM, COORDINATION DEVICE, ATTACK ANALYSIS COORDINATION PROCEDURE AND PROGRAM |
| JP6000495B2 (ja) | 2014-02-26 | 2016-09-28 | 三菱電機株式会社 | 攻撃検知装置、攻撃検知方法、及び攻撃検知プログラム |
| US9438623B1 (en) * | 2014-06-06 | 2016-09-06 | Fireeye, Inc. | Computer exploit detection using heap spray pattern matching |
| US9882929B1 (en) * | 2014-09-30 | 2018-01-30 | Palo Alto Networks, Inc. | Dynamic selection and generation of a virtual clone for detonation of suspicious content within a honey network |
| CA2981864A1 (en) * | 2015-04-10 | 2016-10-13 | PhishMe, Inc. | Suspicious message processing and incident response |
| US10192051B2 (en) * | 2015-06-17 | 2019-01-29 | Accenture Global Services Limited | Data acceleration |
| US9894090B2 (en) | 2015-07-14 | 2018-02-13 | Sap Se | Penetration test attack tree generator |
| CN105100122A (zh) * | 2015-09-08 | 2015-11-25 | 南京联成科技发展有限公司 | 一种基于大数据分析的威胁检测和预警的方法及系统 |
| US10609079B2 (en) * | 2015-10-28 | 2020-03-31 | Qomplx, Inc. | Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management |
| US10193906B2 (en) * | 2015-12-09 | 2019-01-29 | Checkpoint Software Technologies Ltd. | Method and system for detecting and remediating polymorphic attacks across an enterprise |
| JP6774881B2 (ja) * | 2016-05-18 | 2020-10-28 | 株式会社日立製作所 | 業務処理システム監視装置および監視方法 |
| US10366229B2 (en) * | 2016-06-20 | 2019-07-30 | Jask Labs Inc. | Method for detecting a cyber attack |
| US20180004958A1 (en) * | 2016-07-01 | 2018-01-04 | Hewlett Packard Enterprise Development Lp | Computer attack model management |
| CN106375339B (zh) * | 2016-10-08 | 2019-07-09 | 电子科技大学 | 基于事件滑动窗口的攻击模式检测方法 |
| US11146578B2 (en) * | 2016-12-16 | 2021-10-12 | Patternex, Inc. | Method and system for employing graph analysis for detecting malicious activity in time evolving networks |
| CN107046543A (zh) * | 2017-04-26 | 2017-08-15 | 国家电网公司 | 一种面向攻击溯源的威胁情报分析系统 |
| US20190222604A1 (en) * | 2018-01-12 | 2019-07-18 | Vimal Vaidya | Method and apparatus for measuring and predicting threat responsiveness |
| US11258818B2 (en) * | 2018-01-31 | 2022-02-22 | Ironsdn Corp. | Method and system for generating stateful attacks |
| US10944770B2 (en) * | 2018-10-25 | 2021-03-09 | EMC IP Holding Company LLC | Protecting against and learning attack vectors on web artifacts |
| CN109067815B (zh) * | 2018-11-06 | 2021-11-19 | 深信服科技股份有限公司 | 攻击事件溯源分析方法、系统、用户设备及存储介质 |
| US11431734B2 (en) * | 2019-04-18 | 2022-08-30 | Kyndryl, Inc. | Adaptive rule generation for security event correlation |
-
2019
- 2019-03-12 CN CN201980093613.5A patent/CN113544676B/zh active Active
- 2019-03-12 WO PCT/JP2019/010044 patent/WO2020183615A1/ja active Application Filing
- 2019-03-12 JP JP2021504681A patent/JP6918269B2/ja active Active
-
2021
- 2021-07-27 US US17/386,169 patent/US11893110B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| WO2020183615A1 (ja) | 2020-09-17 |
| JP6918269B2 (ja) | 2021-08-11 |
| JPWO2020183615A1 (ja) | 2021-09-13 |
| US11893110B2 (en) | 2024-02-06 |
| CN113544676A (zh) | 2021-10-22 |
| US20210357501A1 (en) | 2021-11-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2637121A1 (en) | A method for detecting and removing malware | |
| US8739288B2 (en) | Automatic detection of vulnerability exploits | |
| US20120060220A1 (en) | Systems and methods for computer security employing virtual computer systems | |
| US20140053267A1 (en) | Method for identifying malicious executables | |
| CN113544676B (zh) | 攻击估计装置、攻击估计方法和记录介质 | |
| CN105408911A (zh) | 硬件和软件执行概况分析 | |
| Vaidya et al. | Security issues in language-based software ecosystems | |
| US10839074B2 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
| WO2017040957A1 (en) | Process launch, monitoring and execution control | |
| WO2021121382A1 (en) | Security management of an autonomous vehicle | |
| CN113632432A (zh) | 一种攻击行为的判定方法、装置及计算机存储介质 | |
| US11003772B2 (en) | System and method for adapting patterns of malicious program behavior from groups of computer systems | |
| US10204036B2 (en) | System and method for altering application functionality | |
| US10880316B2 (en) | Method and system for determining initial execution of an attack | |
| KR101428915B1 (ko) | 안드로이드 보안을 위한 피드백 기반 어플리케이션 재가공 프레임워크 방법과 그 시스템 | |
| CN102073818A (zh) | 一种漏洞检测设备和方法 | |
| CN115879070B (zh) | 安全加固方法、装置、存储介质及备份服务器 | |
| KR100745640B1 (ko) | 커널 메모리를 보호하는 방법 및 그 장치 | |
| RU2468427C1 (ru) | Система и способ защиты компьютерной системы от активности вредоносных объектов | |
| KR101872605B1 (ko) | 지능형 지속위협 환경의 네트워크 복구 시스템 | |
| US20190294795A1 (en) | Threat Detection System | |
| CN113779561B (zh) | 内核漏洞处理方法、装置、存储介质及电子设备 | |
| US11960368B1 (en) | Computer-implemented system and method for recovering data in case of a computer network failure | |
| JP2024098521A (ja) | ソースコード修正支援装置およびソースコード修正支援方法 | |
| CN113569239A (zh) | 恶意软件分析方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |