法律状态公告日
法律状态信息
法律状态
2018-08-28
授权
授权
2015-10-21
实质审查的生效 IPC(主分类):G06F21/55 申请日:20131108
实质审查的生效
2015-09-23
公开
公开
技术领域
本发明涉及攻击分析系统、协作装置、攻击分析协作方法和程序。尤其是,涉及 与攻击检测系统和日志分析系统协作而高效地进行攻击分析的攻击分析系统。
背景技术
近年来,恶意软件将机密信息泄漏到组织外的事故成为问题。使用恶意软件的网 络攻击逐渐高度化,例如存在非专利文献1所示的被称作APT(高度且持续的威胁: Advanced Persistent Threat)的攻击等。
在APT中,通过邮件附件等入侵到组织中的恶意软件感染计算机,进而,与攻 击者所运用的互联网上的C&C(Command&Control:命令和控制)服务器进行通信, 下载新恶意软件或攻击工具或者更新自身。进而,侦测组织内部,找到文件服务器, 将机密文件泄漏到C&C服务器。在将这些各活动视作攻击的情况下,各攻击耗费较 长时间而按阶段进行。例如,感染了计算机的恶意软件在感染后1个月不活动而隐藏 自身,1个月后才开始与C&C服务器进行通信。
这样,在APT中,多个攻击间隔地进行。
APT的对策存在各种方法。作为APT对策的产品,存在防止基于邮件的侵入的 产品、防止信息泄漏的产品等。
此外,作为APT对策的方法之一,存在自动进行日志分析的方法。在自动进行 日志分析的方法中,分析计算机、服务器、路由器等网络设备、防火墙、入侵检测系 统等安全设备等的日志,调查相互的相关关系,或者从日志中找出异常记录。自动进 行日志分析的方法是通过进行这样的分析来检测APT或观察经过过程的方法。
作为通过调查防火墙或入侵检测系统等安全设备的日志等的相关关系调来自动 地检测异常的产品的例子,存在SIEM(安全信息和事件管理:Security Information and Event Management)系统(参照专利文献1)。SIEM系统也被称作整合日志监视系统 等。
此外,存在如下日志分析系统:通过各种关键词对各种日志进行向下钻取(drill down),或者按时间顺序显示状况变化等,由此,人们发现异常。
在专利文献1中,提出了如下方法:在业务系统用服务器之外,导入中继服务器, 在中继服务器中进行用户认证,并收集利用日志。
现有技术文献
专利文献
专利文献1:日本特表2004-537075号公报
[非专利文献]
[非专利文献1]「新しいタイプの攻撃」の对策に向けた設計/運用ガイド,改订 第2版,IPA(面向“新型攻击”的对策的设计,运用指南,修订版第2版,IPA)。
发明内容
[发明要解决的问题]
在SIEM系统中,在内存中(on-memory)实时地监视事件(event),因此,实 质不能进行复杂的相关分析或多发事件的相关分析,从而存在不能对APT采用足够 的对策这样的问题。
此外,在日志分析系统中,能够对多个日志执行复杂的检索,但为了如相关分析 那样实时地检测事件,需要短时间地反复执行检索。因此,存在为了同时执行多个检 索条件而需要巨大的计算资源这样的问题。
即,存在如下问题:在基于对日志进行分析的方法的APT的检测中,无论是SIEM 系统还是日志分析系统,无法单独地完全对应。
本发明是为了解决上述那样问题而完成的,其目的在于,针对通过SIEM系统检 测出的攻击,基于攻击情景,与日志分析系统协作而高效地从日志中发现存在将要发 生的可能性的攻击迹象。
[用于解决问题的手段]
本发明的攻击分析系统的特征在于具有:
日志收集装置,其收集与监视对象网络连接的至少1个设备的日志并将其作为日 志信息存储在存储装置中;检测装置,其检测针对所述监视对象网络的攻击;以及分 析装置,其分析由所述日志收集装置收集的所述日志信息,
所述攻击分析系统具有协作装置,该协作装置与所述检测装置连接,并与所述分 析装置连接,
所述检测装置在检测到针对所述监视对象网络的攻击时,向所述协作装置发送警 告信息,该警告信息包含标识检测出的攻击的攻击标识符和发生所述检测出的攻击的 攻击发生时期,
所述协作装置具有:
攻击情景信息存储部,其预先将攻击情景信息存储在存储装置中,其中,所述攻 击情景信息包含分别标识针对所述监视对象网络预计要发生的多个攻击的多个攻击 标识符,且所述攻击情景信息包含所述多个攻击的发生序号和所述序号连续的两个攻 击的发生间隔,
时刻表分析请求部,在从所述检测装置接收到所述警告信息时,该时刻表分析请 求部基于接收到的所述警告信息和由所述攻击情景信息存储部存储的所述攻击情景 信息,通过处理装置来计算分析对象攻击预计要发生的预计发生时期,向所述分析装 置发送时刻表分析请求,其中,该时刻表分析请求是对计算出的所述预计发生时期的 所述日志信息进行分析的请求,该分析对象攻击是所述攻击情景信息中包含的所述多 个攻击中的在所述攻击发生时期的前后的时期预计要发生的攻击,且为与所述检测出 的攻击不同的攻击;
所述分析装置基于从所述协作装置的所述时刻表分析请求部发送的所述时刻表 分析请求,对所述预计发生时期的所述日志信息进行分析。
[发明效果]
根据本发明的攻击分析系统,协作装置将攻击情景信息存储在存储装置中,从检 测装置接收包含检测出的攻击的信息的警告信息,基于警告信息和攻击情景信息,计 算在检测出的攻击之后预计要发生的攻击的预计发生时期,按计算出的预计发生时期 来检索日志信息,向分析装置发送时刻表检索,从而使检测装置与分析装置协作,由 此,起到如下效果:能够高效地从日志信息中发现存在将要发生的可能性的攻击的迹 象。
附图说明
图1是示出实施方式1的日志分析协作系统1000的整体结构的图。
图2是示出实施方式1的日志分析协作装置1、日志记录器901、SIEM装置902、 日志分析装置903的硬件结构的一例的图。
图3是示出实施方式1的日志分析协作装置1的结构和动作的概要的图。
图4是示出实施方式1的警告信息1201的结构的一例的图。
图5是示出实施方式1的攻击情景1104的结构的一例的图。
图6是示出实施方式1的对策信息1107的结构的一例的图。
图7是示出实施方式1的资产信息1109的结构的一例的图。
图8是示出实施方式1的攻击可否判定部107的攻击可否判定处理的流程图。
图9是示出实施方式2的日志分析协作装置1的结构和动作的概要的图。
图10是示出实施方式4的日志分析协作装置1的结构和动作的概要的图。
图11是示出实施方式4的认证服务器10的结构和动作的图。
图12是示出由实施方式4的密码复位装置11生成的电子邮件的一例的图。
图13是示出实施方式4的密码复位装置11的结构和动作的图。
图14是示出实施方式4的密码复位装置11的复位用密码8203和密码复位通知 字面内容8202的生成方法的图。
具体实施方式
实施方式1.
图1是示出本实施方式的日志分析协作系统1000的整体结构的图。使用图1, 对本实施方式的日志分析协作系统1000(攻击分析系统的一例)的整体结构和动作 的概要进行说明。
在图1中,日志分析协作系统1000具有日志记录器901(日志收集装置的一例)、 SIEM装置902(检测装置的一例)、日志分析装置903(分析装置的一例)、日志分 析协作装置1(协作装置的一例)。
日志记录器901收集监视对象网络所具有的至少1个设备(通信设备904)的日 志,并将其作为日志信息存储在存储装置中。
日志记录器901与监视对象的PC或服务器等计算机904a、路由器等网络设备 904b、防火墙或入侵检测装置等安全设备904c、智能手机或平板PC等移动设备905 连接。
日志记录器901收集并蓄积计算机904a、网络设备904b、安全设备904c、移动 设备905等日志。
SIEM装置902对日志记录器901中蓄积的日志进行相关分析(correlation analysis)等来检测异常。SIEM装置902具有检测规则912。SIEM装置902例如将 检测规则912存储在存储装置中。
检测规则912是用于检测攻击等异常的日志分析的规则。检测规则912例如为相 关分析的规则。
日志分析装置903根据操作者进行的操作,通过关键词检索对日志记录器901 中蓄积的日志进行向下钻取等分析。此外,日志分析装置903根据操作者进行的操作, 使对特定的服务器的访问状况可视化,以能够目视观察状况的方式进行显示。这样, 在日志分析装置903中,根据操作者进行的操作,分析日志,使得操作者发现异常。
日志分析协作装置1位于SIEM装置902和日志分析装置903之间,与SIEM装 置902连接,并与日志分析装置903连接。
日志分析协作装置1与SIEM装置902和日志分析装置903协作。
日志分析协作装置1具有攻击情景DB1013、资产DB1015、安全对策DB1014。
对日志分析协作装置1与SIEM装置902和日志分析装置903协作的动作的概要 进行说明。
SIEM装置902从日志记录器901收集日志911,使用检测规则912执行实时的 相关分析。这样,SIEM装置902始终执行异常检测。
以下,使用图1,对SIEM装置902检测到异常的情况下的动作(攻击分析协作 方法)的一例进行说明。以下(1)~(8)对应于图1的(1)~(8)。
(1)SIEM装置902根据检测规则912中的检测规则B,检测攻击b(检测攻击)。
(2)SIEM装置902将“检测出攻击b”作为警告信息1201’通知给日志分析 协作装置1(警告信息发送处理、警告信息发送步骤)。日志分析协作装置1接收警 告信息(警告信息接收处理、警告信息接收步骤)。
(3)日志分析协作装置1从DB中检索在攻击b之后预计要发生的攻击c(下次 攻击)。日志分析协作装置1根据攻击情景DB1013、资产DB1015、安全对策DB1014, 判断在攻击b之后发生的攻击c的发生可能性。攻击情景DB1013、资产DB1015、 安全对策DB1014例如被存储在日志分析协作装置1具有的存储装置1’中。
(4)日志分析协作装置1为了从日志中检索攻击c的迹象,向日志分析装置903 请求时刻表检索915。换言之,日志分析协作装置1计算在攻击b(检测攻击、检测 出的攻击)之后预计要发生的攻击c(下次攻击、分析对象攻击)预计将要发生的时 期(预计发生时期),为了对攻击c(下次攻击)预计要发生的时期(预计发生时期) 的日志进行时刻表检索,向日志分析装置903请求时刻表检索915((3)、(4)的处 理是时刻表分析请求处理、时刻表分析请求步骤)。
(5)日志分析装置903基于时刻表检索915的请求,使日志记录器901执行时 刻表检索916。
(6)日志分析装置903接收时刻表检索916的检索结果917。
(7)日志分析装置903将接收到的检索结果917作为检索结果918,发送给日 志分析协作装置1。
(8)日志分析协作装置1接收(7)的结果,与执行与(7)的结果对应的处理 (日志信息分析处理、日志信息分析步骤)。
在(7)的结果为未检测出攻击c的情况下,日志分析协作装置1判断为攻击c 的发生时期有可能与攻击情景1104不相符。然后,日志分析协作装置1变更时刻表 检索915的时机,进一步向日志分析装置903发出时刻表检索915。
在(7)的结果是检测出攻击c的情况下,日志分析协作装置1在GUI上向操作 者通知“检索出攻击c”。操作者接收该通知,使用日志分析装置903,进一步对攻击 c的详细迹象等进行分析。
由于CPU、存储器、线路等的制约,移动设备905(特定的设备)有时难以始终 收集日志。因此,日志记录器901通常不对来自移动设备905的日志进行收集。或者, 日志记录器901也可以以1日1次等定期的或不定期的方式从移动设备905收集日志。
当在(1)~(3)中判断为攻击c是在移动设备905中发生的情况下,日志分析 协作装置1按照(4)的时刻表检索915的时机,在(4)的时刻表检索915之前,向 日志分析装置903通知时刻表收集915’((4)’)。
日志分析装置903将从日志分析协作装置1通知的时刻表收集915’作为时刻表 收集916’通知给日志记录器901((5)’)。
日志记录器901在从日志分析装置903被通知了时刻表收集916’时,向移动设 备905通知时刻表收集916”((5)”),从移动设备905收集日志917”((6)”)。 日志记录器901将来自移动设备905的日志的收集结果作为收集结果917’发送给日 志分析装置903((6)’)。
日志分析装置903在从日志记录器901接收到收集结果917’时,将其作为收集 结果918’发送给日志分析协作装置1((7)’)。
然后,日志分析协作装置1、日志分析装置903、日志记录器901执行上述(4)~ (7)。
以上,结束了日志分析协作系统1000的整体结构和动作的概要的说明。
图2是示出本实施方式的日志分析协作装置1、日志记录器901、SIEM装置902、 日志分析装置903的硬件结构的一例的图。
在图2中,日志分析协作装置1、日志记录器901、SIEM装置902、日志分析装 置903是计算机,具有LCD1901(Liquid Crystal Display:液晶显示器)、键盘1902 (K/B)、鼠标1903、FDD1904(Flexible Disc Drive:软盘驱动器)、CDD1905(Compact Disc Drive:CD驱动器)、打印机1906这样的硬件设备。这些硬件设备通过网线或信 号线连接。也可以使用CRT(Cathode Ray Tube:阴极摄像管)或其它显示装置来替 代LCD1901。也可以使用触摸面板、触摸板、轨迹球、手写板或其它定点设备来替 代鼠标1903。
日志分析协作装置1、日志记录器901、SIEM装置902、日志分析装置903具有 执行程序的CPU1911(Central Processing Unit:中央处理器)。CPU1911是处理装置 的一例。CPU1911经由总线1912,与ROM1913(Read Only Memory:只读存储器)、 RAM1914(Random Access Memory:随机存取存储器)、通信板1915、LCD1901、 键盘1902、鼠标1903、FDD1904、CDD1905、打印机1906、HDD1920(Hard Disk Drive: 硬盘驱动器)连接,来控制这些硬件设备。也可以使用闪速存储器、光盘装置、内存 卡读写器或其它记录介质来替代HDD1920。
RAM1914是易失性存储器的一例。ROM1913、FDD1904、CDD1905、HDD1920 是非易失性存储器的一例。它们是存储装置、存储部的一例。通信板1915、键盘1902、 鼠标1903、FDD1904、CDD1905是输入装置的一例。此外,通信板1915、LCD1901、 打印机1906是输出装置的一例。
通信板1915与LAN(Local Area Network:局域网)等连接。通信板1915不限 于LAN,也可以连接到IP-VPN(Internet Protocol Virtual Private Network,IP虚拟专 用网络)、广域LAN、ATM(Asynchronous Transfer Mode,异步传输模式)网络这样 的WAN(Wide Area Network:广域网)或互联网。LAN、WAN、互联网是网络的一 例。
在HDD1920中存储有操作系统1921(OS),视窗系统1922、程序组1923、文 件组1924。程序组1923的程序由CPU1911、操作系统1921、视窗系统1922执行。 在程序组1923中,包含执行在本实施方式的说明中作为“~部”说明的功能的程序。 程序由CPU1911读出并执行。在本实施方式的说明中作为“~数据”、“~信息”、“~ ID(标识符)”、“~标志位”、“~结果”说明的数据、信息、信号值或变量值或参数 作为“~文件”或“~数据库”或“~表”的各项目而包含在文件组1924中。“~文 件”或“~数据库”或“~表”被存储在RAM1914或HDD1920等记录介质中。RAM1914 或HDD1920等记录介质中存储的数据、信息、信号值、变量值或参数经由读写电路, 由CPU1911读出至主存储器或高速缓存,在提取、检索、参照、比较、运算、计算、 控制、输出、印刷、显示这样的CPU1911的处理(动作)中使用。在提取、检索、 参照、比较、运算、计算、控制、输出、印刷、显示这样的CPU1911的处理中,数 据、信息、信号值、变量值或参数暂时地中存储在主存储器、高速缓存或缓冲存储器 中。
在本实施方式的说明中使用框图或流程图的箭头的部分主要表示数据或信号的 输入/输出。数据或信号被记录在RAM1914等存储器、FDD1904软盘(FD)、CDD1905 光盘(CD)、HDD1920磁盘、光盘、DVD(Digital Versatile Disc:数字通用光盘)或 其它记录介质中。此外,数据或信号通过总线1912、信号线,网线或其它传输介质 进行传输。
在本实施方式的说明中,作为“~部”说明的内容也可以是“~电路”、“~装置”、 “~设备”,此外,也可以是“~步骤”、“~操作”、“~过程”、“~处理”。即,作为 “~部”说明的内容可以由ROM1913中存储的固件实现。或者,作为“~部”说明 的内容也可以仅由软件实现,或者仅由元件、设备、基板、布线这样的硬件实现。或 者,作为“~部”说明的内容也可以由软件和硬件的组合或者软件、硬件和固件的组 合来实现。固件和软件作为程序存储在软盘、光盘、磁盘、光盘、DVD等记录介质 中。程序由CPU1911读出,由CPU1911执行。即,程序使计算机作为在本实施方式 的说明中记述的“~部”而发挥功能。或者,程序使计算机执行在本实施方式的说明 记述的“~部”的操作或方法。
图3是示出本实施方式的日志分析协作装置1的结构和动作的概要的图。
使用图3,对本实施方式的日志分析协作装置1的结构进行说明。在本实施方式 中,日志分析协作装置1不使用时刻表收集部108、收集时刻表条件1204、外部协作 部(收集)109。
如图3所示,日志分析协作装置1具有输入部101、警告解释部102、攻击情景 DB检索部103、关联攻击提取部104、安全对策检索部105、资产DB检索部106、 攻击可否判定部107、时刻表检索部1010、外部协作部(检索)1011、输出部1012。
此外,日志分析协作装置1将攻击情景DB1013、安全对策DB1014、资产DB1015 存储在存储装置中。
输入部101输入警告信息1201’,输出数据1101。
警告解释部102输入数据1101,输出警告信息1102和资产检索信息1108。
攻击情景DB检索部103输入情景提取条件1202,使用攻击标识信息1103来检 索攻击情景DB1013。攻击情景DB检索部103输入作为检索结果的攻击情景1104。 此外,攻击情景DB检索部103将输入的攻击情景1104输出到关联攻击提取部104。
攻击情景DB1013将执行APT(高度且持续的威胁)的多个攻击的序列及其时间 间隔等信息保存为情景。
攻击情景DB1013是预先将攻击情景信息存储在存储装置的攻击情景信息存储 部的一例,攻击情景信息包含多个攻击标识符且包含多个攻击发生的序号和序号连续 的两个攻击的发生间隔,多个攻击标识符用于识别预计要对监视对象网络发生的多个 攻击中的各个攻击。
关联攻击提取部104输入关联攻击提取条件1203,将关联攻击信息1105输出到 安全对策检索部105和攻击可否判定部107。
安全对策检索部105输入关联攻击信息1105,使用关联攻击检索信息1106来检 索安全对策DB1014。进而,安全对策检索部105输入作为该检索结果的对策有无 1107’。安全对策检索部105将对策有无1107’输出到攻击可否判定部107。
安全对策DB1014保存与由入侵检测/防御装置等的进行的针对攻击的对策实施 相关的信息。
资产DB检索部106输入资产检索信息1108,使用资产检索信息1108来检索资 产DB1015。资产DB检索部106输入作为其检索结果的资产信息1109。
资产DB1015保存PC或服务器等资产ID、IP地址、所使用的OS或应用程序、 补丁应用状况等信息。
攻击可否判定部107输入资产信息1109、关联攻击信息1105和对策有无1107’, 将日志检索信息1113输出到时刻表检索部1010。
攻击情景DB检索部103、关联攻击提取部104、资产DB检索部106、攻击可否 判定部107是下次攻击信息取得部的一例。
时刻表检索部1010输入检索时刻表条件1205和日志检索信息1113,将检索命 令1114输出到外部协作部(检索)1011。时刻表检索部1010输入作为针对检索命令 1114的结果的检索结果1115。时刻表检索部1010是将作为对预计发生时期的日志信 息进行分析的请求的检索命令1114(时刻表分析请求)发送给日志分析装置903的 时刻表分析请求部的一例。
外部协作部(检索)1011从时刻表检索部1010输入检索命令1114,向外部输出 检索命令1208。外部协作部(检索)1011输入作为检索命令1208的结果的检索结果 1209,向时刻表检索部1010输出检索结果1115。
输出部1012从时刻表检索部1010输入检索结果1116,将检测结果1210输出到 外部。
图4是示出本实施方式的警告信息1201的结构的一例的图。图5是示出本实施 方式的攻击情景1104的结构的一例的图。图6是示出本实施方式的对策信息1107的 结构的一例的图。图7是示出本实施方式的资产信息1109的结构的一例的图。
接下来,使用图1、图3~图7,对日志分析协作装置1的动作进行说明。
如图1和图3所示,输入部101从SIEM装置902输入警告信息1201’。
警告信息1201’是将图4所示的警告信息1201格式化后而得的信息。如图4所 示,警告信息1201由以下的内容构成。
(a)日期时间:攻击发生的日期时间。
(b)攻击ID:标识攻击的信息。
(c)攻击类型:攻击的类型(例如DoS(Denial of Service:拒绝服务)攻击, 权限提升等)。
(d)脆弱性ID:在攻击通过恶意使用软件等的脆弱性而成功的情况下,其标识 信息(例如CVE编号(脆弱性标识编号))。
(e)攻击源信息:源IP/端口(Source IP/Port)、资产ID等与攻击源相关的信息。
(f)攻击目的地信息:目的地IP/端口(Destination IP/Port)、资产ID等与攻击 目的地相关的信息。
日志分析协作装置1将警告信息1201’例如作为UDP或TCP包进行输入。警告 信息1201’以将警告信息1201存储在包的主体部中的方式进行格式化。
输入部101从将警告信息1201格式化而得到的信息即警告信息1201’中取出作 为包的主体部的数据1101,将其输出到警告解释部102。即,数据1101是警告信息 1201。
警告解释部102输入作为警告信息1201的数据1101。警告解释部102将输入的 数据1101分解(解析)成日期时间、攻击ID、攻击类型、脆弱性ID、攻击源信息、 攻击目的地信息等构成要素。警告解释部102将该结果作为警告信息1102输出到攻 击情景DB检索部103。警告信息1102的内容与警告信息1201的内容相同。
攻击情景DB检索部103从警告信息1102中提取攻击ID、攻击类型、脆弱性ID, 将其作为攻击标识信息1103输出到攻击情景DB1013。
此时,攻击情景DB检索部103输入情景提取条件1202。情景提取条件1202是 指定从攻击情景DB1013检索的攻击情景1104的数量的条件。作为情景提取条件 1202,例如设1个、多个或指定的数量作为条件。此处,作为情景提取条件1202, 将从攻击情景DB1013检索的攻击情景1104的数量指定为“1个”。
接下来,使用图5,对攻击情景1104进行说明。
在攻击情景DB1013中,基于攻击标识信息1103,检索包含攻击ID或脆弱性ID 的攻击情景。
如图5所示,攻击情景1104构成为如下。
1104_e1:攻击情景要素1→1104_s1:间隔1→1104_e2:攻击情景要素2→1104_s2: 间隔2→1104_e3:攻击情景要素3。
攻击情景要素1104_ei(i=1、2、3)为1个1个的攻击的信息。
各个攻击情景要素1104_ei(i=1、2、3)由攻击标识信息1104_a、攻击信息1104_b、 对策标识信息1104_c、对策信息1104_d构成。这些信息是标识攻击的攻击标识符的 一例。
如图5所示,攻击标识信息1104_a、攻击信息1104_b、对策标识信息1104_c、 对策信息1104_d为以下的信息。
(a)攻击标识信息1104_a:攻击ID、攻击类型、脆弱性ID。
(b)攻击信息1104_b:受影响的产品(产品ID、版本信息、补丁ID)、所需的 执行权限、关键词、其它信息。
(c)对策标识信息1104_c:对策ID。
(d)对策信息1104_d:补丁ID、避免措施ID、避免措施内容、其它信息。
此处,攻击信息1104_b的关键词表示在攻击发生中可能发生的现象,例如,如 果发生OS的注册表的改写,则关键词为“OS、registry(注册表)、modify(改写)”。
图5所示的攻击情景1104示出了如下情景:首先发生攻击情景要素1:1104_e1, 在间隔1:1104_s1之后,发生攻击情景要素2:1104_e2,在间隔2:1104_s2之后, 发生攻击情景要素3:1104_e3。
间隔1:1104_s1为例如“24小时”。其表示,在攻击情景要素1:1104_e1之后 的24小时后,发生了攻击情景要素2:1104_e2。
日志分析协作装置1具有攻击情景DB存储部(参照图3)。攻击情景DB存储部 基于过去的事例,作成上述那样攻击情景1104,并保存在攻击情景DB1013中。
此外,构成攻击情景1104的攻击情景要素1104_ei可以1个以上,也可以为2 个、3个或更多。
攻击情景DB检索部103使用攻击标识信息1103来检索攻击情景DB1013。在攻 击情景DB检索部103中,例如,针对作为攻击标识信息1103的构成要素的攻击ID, 检索“攻击情景要素1104_e的攻击标识信息1104_a中包含的攻击情景”。
攻击情景DB检索部103如果不能根据攻击ID得到检索结果,则根据脆弱性ID 进行检索。
攻击情景DB检索部103从攻击情景DB1013提取如上述那样检索出的结果来作 为攻击情景1104。
如上所述,日志分析协作装置1从攻击情景DB1013提取如下攻击情景1104,该 攻击情景1104包含由从SIEM装置902接收到的警告信息1201’通知的攻击。
攻击情景DB检索部103将从攻击情景DB1013输入的攻击情景1104输出到关 联攻击提取部104。
关联攻击提取部104输入攻击情景1104,通过处理装置对攻击情景1104进行分 析。关联攻击提取部104提取与通知的攻击情景1104中包含的攻击相关的信息。
此时,关联攻击提取部104输入关联攻击提取条件1203。关联攻击提取条件1203 为以下的内容。
(a)在通知的攻击之后发生的攻击:n个(1~all(全部)),或在通知的攻击之 前发生的攻击:m个(1~all(全部))
例如,在关联攻击提取条件1203指定了“在通知的攻击之后发生的攻击:1个” 的情况下,仅提取通知的攻击之后发生的攻击和与其间隔相关的信息。在指定了“all (全部)”的情况下,提取在通知的攻击之后发生的全部攻击和与其间隔相关的信息。
由关联攻击提取部104提取出的攻击是预计在通知的攻击的前后的时期要发生 的分析对象攻击的一例。
例如,在关联攻击提取条件1203指定了“在通知的攻击之前发生的攻击:1个” 的情况下,仅提取在通知的攻击之前发生的攻击和与其间隔相关的信息。在指定了 “all”的情况下提取在通知的攻击之前发生的全部攻击和与其间隔相关的信息。
此处,假设关联攻击提取条件1203指定了“在通知的攻击之后发生的攻击:1 个”。
例如,警告信息1102中包含的攻击ID为攻击情景要素2:1104_e2的攻击ID。
攻击情景DB检索部103从攻击情景DB1013提取图5所示的攻击情景1104。
进而,关联攻击提取部104输入作为关联攻击提取条件1203的“在通知的攻击 之后发生的攻击:1个”,从攻击情景1104中提取“攻击情景要素3:1104_e3”作为 攻击情景要素2:1104_e2(通知的攻击)之后的攻击,提取“间隔2:1104_s2”作 为“间隔”。
即,在关联攻击提取部104提取出的关联攻击信息1105中,“在通知的攻击之后 发生的攻击”(下次攻击)(分析对象攻击)为“攻击情景要素3:1104_e3”,“间隔” 为“间隔2:1104_s2”(下次发生间隔)。
如上所述,关联攻击提取部104提取关联攻击信息1105。
接下来,关联攻击提取部104将关联攻击信息1105输出到安全对策检索部105。
安全对策检索部105使用输入的关联攻击信息1105来检索安全对策DB1014。具 体而言,安全对策检索部105使用输入的关联攻击信息1105中包含的“攻击情景要 素3:1104_e3”、“间隔2:1104_s2”,检索安全对策DB1014。
图6是示出安全对策DB1014中保存的对策信息1107的结构的图。
使用图6,对策信息1107的结构进行说明。
对策信息1107由攻击标识信息1107_a、攻击信息1107_b、对策标识信息1107_c、 对策信息1107_d、对策实施信息1107_e构成。
攻击标识信息1107_a、攻击信息1107_b、对策标识信息1107_c、对策信息1107_d、 对策实施信息1107_e的内容为如下信息。
(a)攻击标识信息1107_a:攻击ID、攻击类型、脆弱性ID。
(b)攻击信息1107_b:受影响的产品(产品ID、版本信息、补丁ID)、所需的 执行权限、关键词、其它信息。
(c)对策标识信息1107_c:对策ID。
(d)对策信息1107_d:补丁ID、避免措施ID、避免措施内容、其它信息。
(e)对策实施信息1107_e:有无实施对策(当前,是否通过入侵检测装置等实 施对策)。
安全对策检索部105使用输入的关联攻击信息1105,从安全对策DB1014中提取 对应的对策信息1107。具体而言,安全对策检索部105从安全对策DB1014中提取对 策信息1107的条目(entry),该对策信息1107的条目包含构成输入的关联攻击信息 1105中包含的“攻击情景要素3:1104_e3”的“攻击标识信息1104_a”所包含的攻 击ID或脆弱性ID。
安全对策检索部105提取所提取出的对策信息1107的条目中的对策实施信息 1107_e。安全对策检索部105提取作为提取出的对策实施信息1107_e的内容的有无 实施对策来作为对策有无1107’。
安全对策检索部105将从安全对策DB1014提取出的对策有无1107’输出到攻击 可否判定部107。
资产DB检索部106从警告解释部102输入资产检索信息1108。
资产检索信息1108是警告信息1102(图4的警告信息1201相当)的一部分的 信息,攻击目的地信息符合该情况。
攻击目的地信息是与目的地IP/端口(Destination IP/Port)、资产ID等攻击目的 地相关的信息。
资产DB检索部106将该攻击目的地信息中的目的地IP(或MAC)、资产ID等 能够确定资产的信息作为资产检索信息1108。
资产DB检索部106将资产检索信息1108输出到资产DB1015。
资产DB检索部106使用资产检索信息1108(能够确定资产的信息)来检索资产 DB1015。
资产DB检索部106从资产DB1015提取与资产检索信息1108匹配的条目,作 为资产信息1109。
图7是示出在资产DB1015中管理的资产信息1109的结构的图。
使用图7,对资产信息1109的结构进行说明。
资产信息1109由资产标识信息1109_a、资产OS信息1109_b、资产应用程序信 息1109_c、资产执行信息1109_d、资产安全施策信息1109_e构成。构成资产信息1109 的资产标识信息1109_a、资产OS信息1109_b、资产应用程序信息1109_c、资产执 行信息1109_d、资产安全施策信息1109_e的内容例如为如下信息。
(a)资产标识信息1109_a:资产ID、IP地址、MAC地址、用户ID。
(b)资产OS信息1109_b:OS(产品ID、版本信息)、应用补丁(补丁ID)/ 应用避免措施(避免措施ID)。
(c)资产应用程序信息1109_c:应用程序(产品ID、版本信息)、应用补丁(补 丁ID)/应用避免措施(避免措施ID)。
(d)资产执行信息1109_d:执行权限。
(e)资产安全施策信息1109_e:安全施策(安全设定、软件等)。
即,资产DB1015从自身保存的条目中检索资产检索信息1108(攻击目的地信息) 的目的地IP(或者MAC)/资产ID与资产标识信息1109_a匹配的条目,并将其作为 资产信息1109输出到资产DB检索部106。
资产DB检索部106将从资产DB1015输入的资产信息1109输出到攻击可否判 定部107。
攻击可否判定部107输入资产信息1109、关联攻击信息1105、对策有无1107’, 输出日志检索信息1113。
攻击可否判定部107通过执行攻击可否判定处理,输出日志检索信息1113。
图8是示出本实施方式的攻击可否判定部107的攻击可否判定处理的流程图。使 用图8,对攻击可否判定部107的攻击可否判定处理进行说明。
在S107_1中,攻击可否判定部107使用对策有无1107’,通过处理装置判断在 入侵检测装置等中是否对由关联攻击信息1105(攻击情景要素1104_e)中包含的攻 击标识信息1104_a所标识的攻击是否实施了对策。以下,将由关联攻击信息1105(攻 击情景要素1104_e)中包含的攻击标识信息1104_a所标识的攻击作为判定对象攻击。
具体而言,攻击可否判定部107使用对策有无1107’,通过处理装置,判断在入 侵检测装置等中是否对由所通知的攻击(攻击情景要素2:1104_e2)的下次攻击(攻 击情景要素3:1104_e3)的攻击标识信息1104_a所标识的攻击(判定对象攻击)实 施了对策。
在攻击可否判定部107中,如果判定对象攻击为已实施对策(S107_1:是),则 使处理进入到S107_9。在攻击可否判定部107中,如果判定对象攻击为未实施对策 (S107_1:否),则使处理进入S107_2。
在S107_2中,攻击可否判定部107针对判定对象攻击,调查作为攻击对象的资 产是否使用了相符的OS或应用程序。
该处理以如下方式执行。
如上所述,攻击可否判定部107输入与判定对象攻击对应的关联攻击信息1105。 在关联攻击信息1105(攻击情景要素1104_e)中的攻击信息1104_b中,作为受影响 的产品的信息而包含有“产品ID、版本信息、补丁ID”(参照图5)。
此外,如上所述,攻击可否判定部107输入与判定对象攻击对应的资产信息1109。
在资产信息1109中,包含:资产OS信息1109_b(OS(产品ID、版本信息)、 应用补丁(补丁ID)/应用避免措施(避免措施ID)、资产应用程序信息1109_c(应 用程序(产品ID、版本信息)、应用补丁(补丁ID)/应用避免措施(避免措施ID)。 资产OS信息1109_b、资产应用程序信息1109_c中的应用避免措施(避免措施ID) 也可以是措施实施设定。
攻击可否判定部107基于与判定对象攻击对应的关联攻击信息1105和与判定对 象攻击对应的资产信息1109,通过处理装置,判断作为攻击的对象的资产是否使用 了受影响的产品。
具体而言,攻击可否判定部107通过处理装置判定受攻击信息1104_b的影响的 产品的信息“产品ID、版本信息、补丁ID”与资产OS信息1109_b的“OS(产品 ID、版本信息)、应用补丁(补丁ID)”是否相符,或者是否与资产应用程序信息1109_c 的“应用程序(产品ID、版本信息)、应用补丁(补丁ID)”相符。
即,“产品ID、版本信息、补丁ID”是攻击信息1104_b、资产OS信息1109_b、 资产应用程序信息1109_c均包含的信息,因此,关于是否存在相符的信息,只要取 得产品ID、版本信息、补丁ID的匹配,即可判断。
攻击可否判定部107在判断为作为攻击的对象的资产使用了受影响的产品的情 况下(S107_2:是),使处理进入S107_3。在攻击可否判定部107判断为作为攻击的 对象的资产未使用受影响的产品的情况下(S107_2:否),使处理进入S107_9。
在S107_3中,攻击可否判定部107通过处理装置判断针对关联攻击信息1105(与 攻击情景要素1104_e相符)中包含的攻击标识信息1104_a所标识的攻击是否存在补 丁。
其是通过在关联攻击信息1105(与攻击情景要素1104_e相符)中包含的对策信 息1104_d的信息中是否存在补丁ID来判断的。
攻击可否判定部107在判断为存在补丁ID的情况下(S107_3:是),使处理进入 S107_4。在攻击可否判定部107判断为不存在补丁ID的情况下(S107_3:否),使 处理进入S107_5。
在S107_4中,攻击可否判定部107通过处理装置判断针对关联攻击信息1105(与 攻击情景要素1104_e相符)中包含的攻击标识信息1104_a所标识的攻击是否应用了 补丁。
其是通过关联攻击信息1105(与攻击情景要素1104_e相符)中包含的对策信息 1104_d的信息中的补丁ID是否与资产信息1109的资产OS信息1109_b或资产应用 程序信息1109_c中的补丁ID一致来判断的。
在攻击可否判定部107判断为补丁ID一致的情况下(S107_4:是),使处理进入 S107_9。攻击可否判定部107在判断为补丁ID不一致的情况下(S107_4:否),使 处理进入S107_5。
在S107_5中,攻击可否判定部107通过处理装置判断针对关联攻击信息1105(与 攻击情景要素1104_e相符)中包含的攻击标识信息1104_a所标识的攻击是否存在避 免措施。
其是通过在关联攻击信息1105(与攻击情景要素1104_e相符)中包含的对策信 息1104_d的信息中是否存在避免措施ID来判断的。
攻击可否判定部107在判断为存在避免措施ID的情况下(S107_5:是),使处理 进入S107_6。攻击可否判定部107在判断为不存在避免措施ID的情况下(S107_5: 否),使处理进入S107_7。
在S107_6中,攻击可否判定部107通过处理装置判断作为攻击对象的资产是否 实施了在S107_5中判断为存在的避免措施。
其是通过在资产信息1109中包含的资产OS信息1109_b或资产应用程序信息 1109_c中,应用避免措施(避免措施ID)与在S107_5中标识出的避免措施ID是否 一致来判断的。
攻击可否判定部107在判断为避免措施ID一致的情况下(S107_6:是),使处理 进入S107_9。攻击可否判定部107在判断为避免措施ID不一致的情况下(S107_6: 否),使处理进入S107_7。
在S107_7中,攻击可否判定部107通过处理装置判断作为攻击对象的资产是否 是通过关联攻击信息1105(与攻击情景要素1104_e相符)中包含的攻击标识信息 1104_a标识的攻击所需的执行权限执行的。
其可以通过处理装置判定攻击情景要素1104_e中包含的攻击信息1104_b的所需 的执行权限与资产信息1109的资产执行信息1109_d的执行权限是否一致来得到。
在对攻击情景要素1104_e中包含的攻击信息1104_b和资产信息1109的资产执 行信息1109_d授予执行权限的情况下,对执行权限的各个类型赋予ID(标识符), 由此,执行权限的比较变得容易。
攻击可否判定部107在判断为执行权限一致的情况下(S107_7:是),使处理进 入S107_8。攻击可否判定部107在判断为执行权限不一致的情况下(S107_7:否), 使处理进入S107_9。
最后,在S107_8中,攻击可否判定部107作出“攻击成功”这样的判断。
此外,在S107_9中,攻击可否判定部107作出“攻击不成功”这样的判断。
以上,结束了基于攻击可否判定部107进行的攻击可否判定处理的说明。
如上所述,攻击可否判定部107执行图8所示的攻击可否判定处理,来执行攻击 成功或攻击不成功的判断。
攻击可否判定部107在判断为攻击成功的情况下,生成日志检索信息1113,并 将其输出到时刻表检索部1010。
攻击可否判定部107生成作为以下的信息的日志检索信息1113。
攻击可否判定部107根据关联攻击信息1105中的“间隔2:1104_s2”,计算攻击 情景要素3下一次发生的时期。例如,如果在警告信息1201中通知的攻击(攻击情 景要素2)的日期时间(攻击发生日期时间)为“2012/09/24,09:00:00”,“间隔2: 1104_s2”为“24小时”,则计算出“2012/09/25,09:00:00”作为攻击发生预想日 期时间。
攻击可否判定部107根据攻击发生预想日期时间和资产信息1109中的资产标识 信息1109_a,生成检索日志的命令。
例如,从防火墙日志中检索对该资产的访问的情况下的防火墙日志检索命令为如 下这样。
假定在判定对象攻击中,在防火墙日志中发生一部分拒绝(deny)。假设该信息 被记录在作为攻击情景要素3的构成要素的攻击信息1104_b的关键词中。
<防火墙日志检索命令>
(a)检索条件:“攻击发生预想日期时间”and“IP地址(对应资产)为目的地 地址”and“关键词(防火墙、拒绝)”
(b)检索对象日志:防火墙日志
此外,在检索在判定对象攻击中作为攻击的对象的资产的资产日志的情况下,资 产日志检索命令为如下这样。
假定在判定对象攻击中在OS的日志中发生了注册表的改写。该信息记录在作为 攻击情景要素3的构成要素的攻击信息1104_b中。
<资产日志检索命令>
(a)检索条件:“攻击发生预想日期时间”and“(“IP地址”or“MAC地址”or “资产ID”)(均为相符资产)”and“关键词(OS、registry(注册表)、modify(改写))”。
(b)检索对象日志:相符资产的日志(OS、应用程序等)。
如上所述,攻击可否判定部107将在攻击发生预想日期时间能够掌握对相符资产 的访问、相符资产上的OS或应用程序的状况的日志作为对象,生成日志检索信息 1113。
日志检索信息1113为上述防火墙日志检索命令、资产日志检索命令等。
攻击可否判定部107将生成的日志检索信息1113输出到时刻表检索部1010。
时刻表检索部1010从攻击可否判定部107输入日志检索信息1113。
此外,时刻表检索部1010输入检索时刻表条件1205。
检索时刻表条件1205是通过时刻表指定由日志分析装置903进行检索的情况下 的条件。例如,从攻击发生预想日期时间起经过1小时,可以指定检索日志等条件。
此处,假设在检索时刻表条件1205中什么都不指定。
时刻表检索部1010输入日志检索信息1113和检索时刻表条件1205,将日志检 索信息1113和检索时刻表条件1205转换为日志分析装置903能够解释的检索命令 1114。时刻表检索部1010将转换后的检索命令1114输出到外部协作部(检索)1011。
外部协作部(检索)1011输入检索命令1114,将输入的检索命令1114作为检索 命令1208,发送给存在于日志分析协作装置1的外部的日志分析装置903(日志分析 系统)。该处理相当于与图1的(4)时刻表检索915。
日志分析装置903接收检索命令1208。日志分析装置903根据接收到的检索命 令1208,按攻击发生预想日期时间来执行检索。该处理相当于与图1的(5)时刻表 检索916。
日志分析装置903将是否根据时刻表检索检索出条目(有/无条目)作为检索结 果1209发送给日志分析协作装置1。
日志分析协作装置1的外部协作部(检索)1011从日志分析装置903接收检索 结果1209。外部协作部(检索)1011将接收到的检索结果1209作为检索结果1115 输出到时刻表检索部1010。时刻表检索部1010例如作成以下这样的消息(检索结果 1116)。
<检索结果1116>
(消息)“2012/09/25,09:00:00,在资产X中检测出攻击3”
攻击3是与攻击情景要素3对应的攻击的信息,是根据攻击情景而预想在攻击发 生预想日期时间发生的攻击。资产X是受到攻击情景要素2的攻击的资产。
上述消息能够根据日志检索信息1113来生成。
时刻表检索部1010将上述消息作为检索结果1116输出到输出部1012。
输出部1012将检索结果1116作为检测结果1210显示在日志分析协作装置1的 显示画面的GUI等中。
通过GUI显示该消息的、日志分析协作装置1的操作者能够向日志分析装置903 (图3)的操作者进行如下指示:基于该消息使用日志分析装置903详细地分析日志 或者作成报告等。
如上所述,在本实施方式的日志分析协作系统1000中,以SIEM装置902(SIEM 系统)中能够检测到的攻击为基点,针对日志分析协作装置1(日志分析协作系统) 下一次可能发生的攻击,使用攻击情景,求出攻击发生的预想日期时间。进而,日志 分析协作装置1基于攻击发生的预想日期时间,对日志分析装置903(日志分析系统) 进行时刻表检索,由此,起到能够高效地通过日志分析装置903(日志分析系统)检 索攻击的迹象这样的效果。
实施方式2.
在本实施方式中,主要对实施方式1的差异进行说明。
图9是示出本实施方式的日志分析协作装置1的结构和动作的概要的图。图9 是与图1对应的图,对于与图1相同的功能结构,标注相同的标号,省略其说明。
在本实施方式中,对移动设备905等那样因资源制约的关系而不能始终实施日志 收集的情况下的日志分析方法的方式进行说明。
如图9所示,关于本实施方式的日志分析协作装置1的结构和动作,与实施方式 1的差异是,增加了时刻表收集部108、外部协作部(收集)109和收集时刻表条件 1204的使用。
与从输入部101起到攻击可否判定部107为止的处理和从输入部101起到攻击可 否判定部107为止的处理相关的各信息和实施方式1相同,因此省略其说明。
攻击可否判定部107除了朝向日志检索信息1113的时刻表检索部1010进行输出 以外,还将日志收集信息1110输出到时刻表收集部108。
攻击可否判定部107生成作为以下的信息的日志收集信息1110。攻击可否判定 部107例如也可以输入收集时刻表条件1204,基于输入的收集时刻表条件1204,生 成日志收集信息1110。
首先,攻击可否判定部107根据关联攻击信息1105中的“间隔2:1104_s2”,计 算下一次攻击情景要素3发生的时期。例如,在警告信息1201中通知的攻击(攻击 情景要素2)的日期时间(攻击发生日期时间)为“2012/09/24,09:00:00”,如果 “间隔2:1104_s2”为“24小时”,则计算出“2012/09/25,09:00:00”作为攻击 发生预想日期时间。
此外,攻击可否判定部107生成根据攻击发生预想日期时间和资产信息1109中 的资产标识信息1109_a来收集日志的命令(日志收集命令)。
例如,日志收集命令为如下这样。
(a)收集条件:攻击发生预想日期时间。
(b)检索对象日志:“IP地址”or“MAC地址”or“资产ID”(均为相符资产)
攻击可否判定部107生成上述那样日志收集命令作为日志收集信息1110。
此外,收集时刻表条件1204例如是如下这样的附加条件:收集攻击发生预想日 期时间的前后1小时的日志。收集时刻表条件1204进一步对日志收集信息1110增加 条件。在该情况下,时刻表收集部108以如下方式加工日志收集信息1110。
(a)收集条件:攻击发生预想日期时间正负1小时。
(b)检索对象日志:“IP地址”or“MAC地址”or“资产ID”(均为相符资产)。
在攻击可否判定部107将日志收集信息1110输出到时刻表收集部108时,时刻 表收集部108将日志收集信息1110转换为日志分析装置903能够解释的收集命令 1111,并输出到外部协作部(收集)109。
外部协作部(收集)109向存在于日志分析协作装置1的外部的日志分析装置903 发送收集命令1206。该处理相当于与图1的(4)’时刻表收集915’。
日志分析装置903根据接收到的收集命令1206,向日志记录器901发出指示, 以在攻击发生预想日期时间(攻击发生预想日期时间的前后1小时)从相符资产执行 日志收集(时刻表收集)。该处理相当于图1的(5)’时刻表收集916’。
日志记录器901通过时刻表收集,仅在攻击发生预想日期时间(攻击发生预想日 期时间的前后1小时)从移动设备905收集日志。该处理相当于图1的(5)”时刻 表收集916”、(6)”日志917”。
日志记录器901将收集日志的结果作为收集结果917”通知给日志分析装置903。 日志分析装置903将从日志记录器901通知的收集结果917”作为收集结果1207发 送给日志分析协作装置1。
日志分析协作装置1的外部协作部(收集)109输入收集结果1207,将其作为收 集结果1112输出到时刻表收集部108。
通过以上那样的时刻表收集部108的处理,从移动设备905将日志时刻表收集到 日志记录器901中。此后,执行实施方式1中的时刻表检索部1010、外部协作部(检 索)1011、输出部1012的处理。
在本实施方式中,日志记录器901具有对移动设备905进行日志的收集的功能, 例如考虑如下机制:在移动设备905中安装日志收集用代理,日志记录器901向移动 设备905的日志收集用代理发出日志发送命令,由此,使日志记录器901发送移动设 备905的日志。这样的机制可以使用现有技术,日志收集的机制不限于代理方式,也 可以是非代理方式。此外,也可以是直接向日志记录器901发送收集命令1206那样 的方式。
在本实施方式中,对于不能始终日志收集的移动设备仅收集此时分析所需的日 志,因此,具有能够进行日志收集而不会对移动设备施加负担的效果。
实施方式3.
在本实施方式中,主要使用图9,对与实施方式1、2的差异进行说明。
在实施方式1中,对未对检索时刻表条件1205进行任何指定的情况进行说明。 在本实施方式中,对如下方式进行说明:作为检索时刻表条件1205,例如通过如下 这样进行指定,能够增加检索的变化。
时刻表检索部1010输入指定了“从攻击发生预想日期时间的前1小时起到攻击 发生预想日期时间为止来进行检索”或“检索攻击发生预想日期时间的前后1小时” 等条件来作为检索时刻表条件1205。
这些指定通过时刻表检索部107反映到日志检索信息1113的检索条件中,生成 检索命令1114。
此外,在判明在检索结果1115中未检索出条目的情况下,也可以指定进一步延 长时刻表检索的指示作为预先检索时刻表条件1205。
例如,时刻表检索部1010输入检索时刻表条件1205,该检索时刻表条件1205 指定“当在第1次检索结果1115中未检索出条目的情况下,每m小时进行n次相同 的时刻表检索”。在该情况下,时刻表检索部1010将“m小时n次”这样的条件反映 到检索条件的检索日期时间中,生成检索命令1114。
具体而言,当在检索时刻表条件1205中指定了“在第1次检索结果1115中未检 索出条目的情况下,每1小时进行2次相同的时刻表检索”的情况下,执行如下(a)~ (c)的时刻表检索。
(a)最初的检索的检索日期时间:2012/09/25,09:00:00。
(b)第2次检索的检索日期时间:2012/09/25、10:00:00。
(c)第3次检索的检索日期时间:2012/09/25、11:00:00。
此外,当在关联攻击提取条件1203中指定了“在检测出的攻击之前发生的攻击” 的情况下,关联攻击提取部104从攻击情景1104提取可能在检测出的攻击之前发生 的攻击的信息。在该情况下,检索时刻表条件1205以如下方式进行指定。由此,时 刻表检索部1010(期间指定分析请求部)能够针对有可能在检测出的攻击之前发生 的攻击的迹象,向日志分析装置903发送检索命令1114(检索命令1208),来请求检 索。
例如,假设由SIEM装置902检测出的攻击(由警告信息1201’通知的攻击) 与“攻击情景要素2:1104_e2”相符(参照图5)。在该情况下,“攻击情景要素1: 1104_e1”(前次攻击)有可能在“攻击情景要素2:1104_e2”的攻击的发生日期时间 的“间隔1:1104_s1”(前次发生间隔)之前的日期时间发生。
假设“间隔1:1104_s1”为“24小时”。利用该信息,例如在检索时刻表条件1205 中,指定比警告信息1201’中的日期时间(攻击发生日期时间:2012/09/24,09:00: 00)提前24小时的日期时间作为检索日期时间。即,在检索时刻表条件1205中,指 定“检索2012/09/23,09:00:00”。
不过,在该情况下,由于是已经过去的时间段的检索,因此,指示为不通过调度 方式(scheduling)进行检索,而立刻进行检索。
此外,用于检索的关键词等指定是与实施方式1相同的考虑方式,从攻击情景要 素1:1104_e1(前阶段的攻击)引用。
攻击情景DB检索部103、关联攻击提取部104、资产DB检索部106、攻击可否 判定部107是前次攻击信息取得部的一例。
在本实施方式中,通过指定检索时刻表条件1205,能够使检索日期时间具有范 围,或者能够指定第1次检索中未检索出条目的情况之后的检索方法,其结果是,具 有如下即使在偏离攻击发生预想日期时间的情况下也能够对应的效果。此外,从日志 中调查检测出的攻击的前阶段的攻击的迹象,因此,通过参照攻击情景,利用攻击发 生日期时间和攻击的间隔,能够将检索对象的时期指定为适当的过去时期,且能够针 对相符的过去的攻击的迹象来检索日志。
实施方式4.
在本实施方式中,主要对与实施方式1~3的差异进行说明。
对于与在实施方式1~3中说明的功能结构相同的功能结构,有时标注相同的标 号,省略其说明。
在本实施方式中,关于从SIEM装置902输出的警告信息1201’的攻击,预想 会通过冒充进行的非法访问为预想下一次要发生的攻击,对该情况下的对策进行说 明。
在APT中,有时使用“通过基于密码哈希的冒充进行的非法访问”。
“通过基于密码哈希的冒充进行的非法访问”为如下攻击。
在各种认证中,有时在存储器上缓存有密码的哈希或者在文件中保存有密码的哈 希。如果盗取该密码的哈希,即使仅根据盗取的密码的哈希不能知晓密码自身,但有 时冒充也会成功。
其恶意使用了如下情况:在认证中使用通过哈希对密码进行转换而得到的值的认 证方式较多。黑客欲盗取该密码哈希而进行恶意使用,但是通常如果OS不以管理者 权限工作,则恶意软件通常不能盗取密码哈希。
因此,在本实施方式中,对如下方式进行说明:在上述那样的预计要发生“通过 基于密码哈希的冒充进行的非法访问”攻击的情况下,检测/防止恶意使用了密码哈 希的冒充。
例如,在实施方式1中说明的预想的攻击(下次攻击)为“攻击情景要素3: 1104_e3”,在“攻击情景要素3:1104_e3”中,“通过基于密码哈希的冒充进行的非 法访问”如下这样进行定义。
<攻击情景要素3:1104_e3的内容>
(a)攻击标识信息1104_a:“攻击ID=1234”、“攻击类型=9(通过基于密码哈希 的冒充进行的非法访问)”、“脆弱性ID=无”。
(b)攻击信息1104_b:“受影响的产品(产品ID=OS_○○○,版本信息=ver1、 补丁ID=1、2、3、4、5)”、“所需的执行权限=管理者”、“关键词=无”、“其它信息= 无”。
(c)对策标识信息ID1104_c:“对策ID=1234’”。
(d)对策信息1104_d:“补丁ID=无”、“避免措施ID=789”、“避免措施内容(停 止管理者权限下的执行)”、“其它信息=无”。
在攻击标识信息1104_a的攻击类型中,赋予作为标识“通过基于密码哈希的冒 充进行的非法访问”的ID的“9”。
此外,假设在攻击对象的资产X的资产信息1109中,攻击对象的资产的执行权 限1109_d为“管理者”。
为了进行OS的补丁或应用程序的安装,往往需要管理者的权限,为了使方便性 优先,有时以管理者权限执行。
图10是示出本实施方式的日志分析协作装置1的结构和动作的概要的图。图10 是与图9对应的图,对于与图9相同的功能结构,标注相同的标号,省略其说明。
图10除了具有图9的结构,还具有外部协作部(对策)1071。
从输入部101起到资产DB检索部106为止的处理与在实施方式1中说明的内容 相同,因此省略说明。
攻击可否判定部107在实施图8的攻击可否判定处理的流程时,在S107_7中, 确认资产是以攻击所需的权限(管理者)执行的,因此,在S107_7中为“是”,成为 S107_8的“攻击成功”的判断。
除了上述处理,在本实施方式中,在攻击类型为9“通过基于密码哈希的冒充进 行的非法访问”的情况下,攻击可否判定部107还进行以下的处理。
在图10中,攻击可否判定部107生成以下的信息,输出到外部协作部(对策) 1071。
(a)在权限变更命令1119:在资产X中,在以管理者权限执行的情况下,变更 为以管理者权限以外的权限执行的命令。
(b)密码复位命令1117:变更资产X的管理者密码的命令。
外部协作部(对策)1071从攻击可否判定部107输入权限变更命令1119和密码 复位命令1117。外部协作部(对策)1071将输入的权限变更命令1119转换为权限变 更命令1211,并将输入的密码复位命令1117转换为密码复位命令1212,输出到日志 分析协作装置1的外部。
监视对象系统具有认证服务器10(或者与认证服务器类似的管理系统)(认证装 置)。认证服务器10通过认证信息来认证对监视对象系统、与监视对象系统连接的通 信设备904、移动设备905等的访问权限。认证信息例如为用户ID、密码等。
外部协作部(对策)1071将权限变更命令1211和密码复位命令1212发送给管 理系统整体的认证服务器10。
图11是示出本实施方式的认证服务器10的结构和动作的图。
如图11所示,认证服务器10从日志分析协作装置1接收权限变更命令1211, 将相符的资产的执行权限变更为管理者以外(S1001)。认证服务器10具有根据输入 的权限变更命令1211而将相符的资产的执行权限变更管理者以外的权限变更功能。
此外,如图11所示,认证服务器10具有密码复位装置11。认证服务器10从日 志分析协作装置1输入密码复位命令1212,将输入的密码复位命令1212转换为密码 复位命令8201,输入到密码复位装置11。
密码复位装置11在输入了密码复位命令8201时,生成用于使通信设备904的密 码复位的复位用密码8203、密码复位通知字面内容8202。密码复位装置11将复位用 密码8203、密码复位通知字面内容8202发送给通信设备904等(S1002、S1003)。 后面,将对生成复位用密码8203和密码复位通知字面内容8202的处理的详细情况进 行记述。
日志分析协作装置1的外部协作部(对策)1071将权限变更命令1119转换为上 述权限变更功能所解释的权限变更命令1211。同样,外部协作部(对策)1071将密 码复位命令1117转换为密码复位功能所解释的密码复位命令1212。
作为这样的权限变更功能、密码复位功能,例如,往往准备软件开发库等,或者 公开了命令格式或通信方式。
将权限变更命令1211从外部协作部(对策)1071发送到认证服务器10(或者类 似的管理系统)。认证服务器10使用权限变更功能,变更资产X的执行权限。
接下来,外部协作部(对策)1071将密码复位命令1212发送给认证服务器10 (或者类似的管理系统)。
此时,在认证服务器10(或者类似的管理系统)中,按照该密码复位命令1212, 调用安装有密码复位功能的模块。
在此,以下示出了接收密码复位命令1212并在认证服务器10(或者类似的管理 系统)中调用的模块的处理。
该模块利用下述所示的复位用密码将资产X的管理者的密码复位,然后通过下 述所示的字面内容将复位后的密码通知给用户。
此外,相符资产的密码的复位使用从认证服务器10(或者类似的管理系统)远 程地执行的密码复位功能。
本实施方式的密码复位装置11具有用于密码复位的密码生成功能和通知复位后 的密码的密码复位通知功能。
密码复位装置11为了进行密码的复位,执行如下处理。
(1)作为安全的密码,生成“pass_1”。
(2)针对作成的密码,应用预先准备的转换方法,生成新密码“pass_2”。
(3)使用转换后的密码“pass_2”,将相符资产的管理者的密码复位。
(4)将表示“pass_1”和在“(2)中应用的转换方法”的电子邮件发送给资产X 的用户。
通过上述那样处理,在预计要发生“通过基于密码哈希的冒充进行的非法访问” 攻击的情况下,在监视对象系统或监视对象设备中,自动地使密码复位,并将复位后 的密码通过电子邮件等通知给用户。
图12是示出由本实施方式的密码复位装置11生成的电子邮件的图,(a)是电子 邮件的一例,(b)是示出电子邮件的另一例的图。
图12(a)所示的“J9-n1*%4>^q”为“pass_1”。而且,“!J9-n1*%4>^q)” 为“pass_2”。
如图12(a)所示,通过邮件的字面内容,指示:从“pass_1”到“pass_2”的 转换方法(“在(2)中应用的转换方法”)为“请在下述的密码的紧前面追加‘!’, 在末尾追加‘)’,来作为密码输入。”。
图13是示出本实施方式的密码复位装置11的结构和动作的图。
图12(a)所示的密码的复位字面内容是由图13所示的密码复位装置11生成的。
密码复位装置11具有密码生成部801、转换规则选择部802、转换参数值生成部 803、文本模板选择部804、密码复位通知文本生成部805、转换规则文本模板DB806。
密码生成部801生成安全的密码。
转换规则选择部802选择转换密码生成部801生成的密码的规则。转换规则选择 部802从转换规则文本模板DB806中检索并取得转换规则。
转换参数值生成部803生成在转换密码时使用的转换用参数。
文本模板选择部804从转换规则文本模板DB806中检索并取得与转换密码的规 则成对的文本模板。
密码复位通知文本作成部805作成指示密码复位的文本,输出密码复位通知字面 内容8202和复位用密码8203。
转换规则文本模板DB806是保存密码的转换规则与文本模板的对的DB。密码转 换规则与文本模板的对(以下,记作密码转换规则+文本模板)通过标识该对的ID 而如下这样进行保存/管理。
ID1:密码转换规则1+文本模板1
ID2:密码转换规则2+文本模板2
···
IDn:密码转换规则n+文本模板n
图14是示出本实施方式的密码复位装置11的复位用密码8203和密码复位通知 字面内容8202的生成方法的图。
使用图13和图14,对密码复位装置11的动作进行说明。
密码复位装置11输入密码复位命令8201(认证服务器10(或者类似的管理系统) 中的指示)。将输入的密码复位命令8201被输入到密码生成部801和转换规则选择部 802。
密码生成部801利用规定的算法,生成安全的密码,并生成基本密码8101。
转换规则选择部802随机选择管理密码转换规则+文本模板的对的ID。例如,转 换规则选择部802选择“ID1”。接下来,转换规则选择部802将选择出“ID1”发送 给转换规则文本模板DB806,取得相符的条目、转换规则8106。
此处,如以下这样,根据与“ID1”对应的条目取得密码转换规则1。
ID1:密码转换规则1+文本模板1
转换规则选择部802将密码转换规则1作为密码转换规则8102输出到转换参数 值生成部803。
此处,密码转换规则1记述为如下这样。
<密码转换规则1>
append
param1=top,’!’
param2=tail,’)’
接下来,转换参数值生成部803解析该密码转换规则1,如以下这样生成转换参 数值8103(参照图14)。
append
param1=top,’!’
param2=tail,’)’
此处,param1和param2已经指定了值,因此,转换参数值生成部803将密码转 换规则1直接作为转换参数值8103输出。
在参数中没有设定值的情况下,转换参数值生成部803在参数中设定值,生成参 数值8103。
当在参数中没有设定值的情况下的转换参数值8103为如下这样。
append
param1=top,*
param2=tail,*
如上所述,当指定了在参数中没有设定值的情况下的转换参数值8103的情况下, 转换参数值生成部803在这种情况下选择任意字符而填充。填充“*”。
例如,转换参数值生成部803如果选择’]’和’>’,则解释为
append
param1=top,’]’
param2=tail,’>’。
字符数只要为1字符以上即可。
在该情况下,复位用密码为“]J9-n1*%4>^q>”。
接下来,转换规则选择部802将选择出“ID1”作为ID8104输出到文本模板选择 部804。
文本模板选择部804从转换规则选择部802输入ID8104(ID1)。文本模板选择 部804使用输入的ID8104(ID1)来检索转换规则文本模板DB806。文本模板选择部 804取得与ID8104(ID1)对应的文本模板1作为文本模板8107。此外,文本模板选 择部804向密码复位通知文本生成部805输出取得的文本模板1。
此处,文本模板1记述为如下这样(参照图14)。
<文本模板1>
Instruction:
在下述的密码的where1中,do1value1,在where2中,do1value2,作为密码输 入。
ToBeChanged:
where1、value1
where2、value2
do1
密码复位通知文本生成部805参照输入的转换参数值8103。
<转换参数值8103>
append
param1=top,’!’
param2=tail,’)’
此处,假设密码复位通知文本生成部805具有图14所示的转换表804a。
转换表804a例如记载了where的位置表示的变量和针对文本中的转换的对应。 转换表804a例如记载有如下内容。
(a)top→起始:top转换为起始(图14*2)。
(b)tail→末尾:tail转换为末尾(图14*3)。
除了上述内容以外,例如指定以下的内容等(未示出)。
(c)1→从起始起第1个:1表示从起始起第1个。
(d)2→从起始起第2个:2表示从起始起第2个。
密码复位通知文本生成部805例如基于转换表804a,如下这样来解释上述转换 参数值8103。
(1)由于是append,因此,将指定的值追加到指定的部位。
<指定的值>
根据param1,第1个:’!’
根据param2,第2个:’)’
<指定的部位>
根据param1,第1个:top→起始
根据param2,第2个:tail→末尾
进而,密码复位通知文本生成部805如下这样生成复位用的密码。
(1)针对基本密码8101(J9-n1*%4>^q)的复位用密码:“!J9-n1*%4>^q)”。
其在“J9-n1*%4>^q”的起始追加’!’,在末尾追加’)’。
接下来,密码复位通知文本生成部805参照输入的文本模板8105(文本模板1), 以如下方式进行解释。
(1)Instruction:读取之后的字符串,解释为密码的转换指示的文本。
在下述的密码的where1中do1value1,在where2中do1value2,作为密码输入。
(2)确定ToBeChanged:的部位,逐行读入。
得到(where1、value1)、(where2、value2)、(do1)。
进而,密码复位通知文本生成部805解析以下内容。
在密码的转换指示的文本“在下述的密码的where1中do1value1,在where2中 do1value2,作为密码输入”中,
利用表示第1个转换部位的字符串来置换与’where1’匹配的部位。
利用第1个转换用的值来置换与’value1’匹配的部位。
利用表示第2个转换部位的字符串来置换与’where2’匹配的部位。
利用第2个转换用的值来置换与’value2’匹配的部位。
利用表示转换方法的字符串置换的与’do1’匹配的部位。
接下来,密码复位通知文本生成部805参照转换参数值8103。
append
param1=top,’!’
param2=tail,’)’
该转换参数值8103已经如下这样解析。
(1)由于是append,因此,在指定的部位追加指定的值。
<指定的值>
根据param1,第1个:’!’
根据param2,第2个:’)’
<指定的部位>
根据param1,第1个:top→起始
根据param2,第2个:tail→末尾
由此,密码复位通知文本生成部805进行下一转换。
利用表示第1个转换部位的字符串置换与’where1’匹配的部位→起始’。
利用第1个转换用的值置换与’value1’匹配的部位→’!’。
其结果是,密码的转换指示的文本(以下,记作转换指示文本)如下这样进行转 换。
转换指示文本:“在下述的密码的起始do1’!’,在where2中do1value2,作为 密码输入”。
此处,“起始”和“’!’”为转换后的部分。
同样地,密码复位通知文本生成部805进行下一转换。
利用表示第2个转换部位的字符串置换与’where2’匹配的部位→’末尾’。
利用第2个转换用的值置换与’value2’匹配的部位→’)’。
其结果是,密码的转换指示文本转换为如下这样。
转换指示文本:“在下述的密码的起始处do1’!’,在末尾do1’)’,作为密码输 入”。
此处,“末尾”和“’)’”为转换后的部分。
最后,密码复位通知文本生成部805进行下一转换。
利用作为转换指示的“append→’追加’”置换do1的部位。
其结果是,密码的转换指示文本转换为如下这样。
转换指示文本:“请在下述的密码的起始追加’!’,在末尾追加’)’,作为密码输 入”。
此处,“追加”为转换后的部分。
密码复位通知文本生成部805最后在转换指示文本的末尾追加基本密码8101, 最终如下这样生成密码复位文本(转换指示文本)(图12(参照a))。
转换指示文本:
在下述的密码的紧前面追加’!’,在末尾追加’)’,然后作为密码输入。
J9-n1*%4>^q
进而,密码复位通知文本生成部805将密码复位文本(转换指示文本)作为密码 复位通知文本8202输出。此外,密码复位通知文本生成部805输出复位用密码8203。
认证服务器10(或者类似的管理系统)使用作为密码复位装置11的输出的复位 用密码8203,将资产X的管理者用密码复位(图10的S1002)。
此外,认证服务器10(或者类似的管理系统)接收作为密码复位装置11的输出 的密码复位通知文本8202,将密码复位通知文本8202作为邮件的字面内容,向资产 X的用户发送电子邮件(图11的S1003)。
资产X的用户在接收到该电子邮件时,读取邮件的字面内容,按照指示,输入 复位用密码作为复位后的密码。
也可以是,之后进一步由用户自身将密码复位。
接下来,对在密码复位装置11中密码复位处理的其它安装的方法进行说明。
如图12(b)所示,存在生成以下这样的字面内容来作为密码复位通知文本8202 的方法。
图12(b)所示的邮件字面内容显示“与图像一致的动物的编号,在下述的密码 的末尾追加其名字作为密码”,然后,显示基本密码“J9-n1*%4>^q”。此外,然后, 附加鱼的图像,显示选择项“1.tiger(老虎)、2.snake(蛇)、3.fish(鱼)、4.Michel (米歇尔)”。鱼的图像和选择项的位置也可以颠倒。
在该情况下,在转换规则文本模板DB806中,如下进行管理。
ID1:密码转换规则g+文本模板g+图像模板g。
密码转换规则g为如下内容。
<密码转换规则g>
append
param1=tail,’fish’
文本模板g为如下内容。
<文本模板g>
Instruction:
选择与图像一致的动物的编号,在下述的密码的where1中do1其名字来作为密 码。
ToBeChanged:
where1←value1为无。
do1
画像g为如下内容。
<画像g>
「鱼的图像」
「1.tiger(老虎)、2.snake(蛇)、3.fish(鱼)、4.Michel(米歇尔)」
密码生成部801、转换规则选择部802、转换参数值生成部803的处理与生成图 12(a)的邮件的情况下的处理相同。
文本模板选择部804除了取得文本模板g以外,还取得图像模板g,并输出到密 码复位通知文本生成部805。
密码复位通知文本生成部805与上述处理同样地,如下这样生成密码复位通知文 本8202(转换指示文本)。不过,在文本模板g中,ToBeChanged的value1不存在, 在Instruction的文本中也不存在与value1相当的部位,因此,不进行与该置换相关的 处理。
密码复位通知文本生成部805在转换指示文本:“选择与图像一致的动物的编号, 在下述的密码的末尾追加其名字作为密码”之后追加基本密码“J9-n1*%4>^q”。
接下来,密码复位通知文本生成部805在末尾追加图像模板g中的,’1.tiger、 2.snake、3.fish、4.Michel’。
此外,密码复位通知文本生成部805在密码复位通知文本8202中附加鱼的图像。
如上所述,密码复位通知文本生成部805生成密码复位通知文本8202。此外, 密码复位通知文本生成部805按照规则,生成“J9-n1*%4>^qfish”作为复位用密码 8203。
上述方式是安装的一例,可考虑改变密码转换规则、文本模板的安装,或者改变 针对基本密码的置换的方法,或者删除字符,或者将基本密码分割为一半而替换它们 等各种密码生成方法。
如上述那样,对本实施方式的日志分析协作系统1000具有如下特征的情况进行 说明。
在将来可能发生的攻击的信息中包含基于密码哈希进行的非法访问的情况下,日 志分析协作装置向认证系统输出命令,该命令将基于管理者权限的资产的执行变更为 基于其它权限的执行。
此外,日志分析协作装置通过在现有的认证系统中附加的装置生成新的管理者用 密码,利用该密码,从认证系统将相符资产的密码复位。此外,利用邮件将通知复位 后的密码的文章通知给相符资产的用户。此时,邮件的文章表示如下内容:“基本密 码”、“基本密码的转换方法(文本)”、“对基本密码实施了由文本所示的转换方法后 的密码是在复位中使用的密码”。
在上述密码生成方法中,特征部分在于“人如果不读取文本,则不能知晓密码生 成方法”这点。恶意软件即使接收包含密码复位通知文本8202的邮件,也不能解释 该转换规则,因此,防止了基于恶意软件进行的复位用密码的恶意使用。
如上所述,根据本实施方式的日志分析协作系统1000,在攻击情景中,在判断 为将要发生通过基于密码哈希的冒充进行的非法访问的情况下,根据资产信息,调查 攻击对象的资产的执行权限是否是管理者权限,在以管理者权限执行的情况下,经由 认证服务器,将执行权限设为管理者权限以外,由此,具有防止密码哈希被恶意软件 盗取而恶意使用于冒充的效果。
此外,根据本实施方式的日志分析协作系统1000,防止了冒充,因此,在将攻 击对象的资产中的用户(管理者)的密码强制复位,利用邮件将该复位后的密码通知 给攻击对象的资产中的用户(管理者)的情况下,如果人不能理解文章,则不能判断 出复位后的密码,因此,具有如下效果:即使恶意软件获得密码的通知邮件,也不能 知晓密码而不能恶意使用。
实施方式5.
在本实施方式中,主要对与实施方式1~4的差异进行说明。
对于与在实施方式1~4中说明的功能结构相同的功能结构,有时标注相同的标 号,省略其说明。
在实施方式1~4中,对如下方式进行了说明:日志分析协作系统1000基于包含 通过警告信息通知的攻击的攻击情景,按照预想发生攻击的时期从日志中检索将来可 能发生的攻击的发生,或者针对攻击可能发生时期,从日志中检索过去可能发生攻击 的迹象。
例如,考虑到:即使指定预想发生攻击的时期/可能发生攻击的时期来检索日志, 也未检索出相符的攻击的迹象。
在本实施方式中,对如下处理进行说明:日志分析协作装置1在示出检索出的条 目不存在的情况下,修正攻击情景1104,生成修正情景。
在图1的检索结果1209中不存在检索出的条目的情况下,日志分析协作装置1 生成修正情景并追加到攻击情景DB1013中,其中,该生成修正情景是从此时参照的 从攻击情景1104中删除向日志分析装置903请求检索的对象的攻击而得到的。
例如,对如下情况进行说明:在图5的攻击情景1104中,虽然进行日志的时刻 表检索,但对“攻击情景要素3:1104_e3”未发现迹象。在该情况下,日志分析协 作装置1从攻击情景1104中删除“攻击情景要素3:1104_e3”,生成新的攻击情景 1104’。
新的攻击情景1104’为以下这样的内容。
攻击情景1104’:“1104_e1:攻击情景要素1→1104_s1:间隔1→1104_e2:攻击 情景要素2”。
日志分析协作装置1将新生成的攻击情景1104’作为追加情景追加到攻击情景 DB1013中。
此外,对如下情况进行说明:基于“1104_s2:间隔2”的值的预想发生攻击的时 期实际上相对于在日志分析系统中检索出的时期靠前或靠后。
日志分析协作装置1可以将预想发生时期与实际发生时期的偏离反映(修正)到 “1104_s2:间隔2”中,来修正攻击情景1104。例如,针对修正前“1104_s2:间隔 2=24小时”的信息,以反映出预想发生时期与实际发生时期的偏离(例如24小时的 偏差)的方式进行修正的结果是“1104_s2:间隔2=48小时”。
或者,也可以考虑预想发生时期与实际发生时期的偏离(例如24小时的偏差) 而进行修正。在该情况下,以反映预想发生时期与实际发生时期的偏离(例如24小 时的偏差)方式修正的结果可以是“1104_s2:间隔2=24~48小时”。
如上所述,根据本实施方式的日志分析协作系统1000,能够将预想发生时期与 实际发生时期的偏离反映到攻击情景中,因此,能够执行精度高的时刻表检索。
实施方式6.
在本实施方式中,主要对与实施方式1~5的差异进行说明。
对于与在实施方式1~5中说明的功能结构相同的功能结构,有时标注相同的标 号,省略其说明。
根据攻击的类型,有时关于攻击间隔的信息不明。在本实施方式中,记述使用在 攻击情景1104中不包含间隔的情况下的情景的日志分析协作系统1000的动作。
在图5的攻击情景1104中,记述了间隔1:1104_s1、间隔2:1104_s2,而在本 实施方式中,使用不包含间隔1、间隔2这样的攻击间的发生时间攻击情景1104。
即,在本实施方式中,攻击情景1104为以下这样。
攻击情景要素1:1104_e1→攻击情景要素2:1104_e2→攻击情景要素3:1104_e3。
以下,对实施方式1中的日志分析协作装置1的动作与本实施方式中的日志分析 协作装置1的动作的差分进行说明。
在本实施方式中,在攻击情景中不包含间隔,因此,“攻击情景要素3:1104_e3” 与关联攻击信息1105相符。
在实施方式1中,在日志检索信息1113中包含的攻击发生预想日期时间的生成 中,使用了关联攻击信息1105中包含的间隔2,而在本实施方式中,没有“间隔” 的信息。本实施方式的日志分析协作装置1在检索时刻表条件1205中,替代“间隔” 的信息,而例如进行以下这样的指示。
<本实施方式的检索时刻表条件1205的具体例>
例1:“自攻击发生日期时间起,每m小时,按p小时的期间进行n次检索”。
例2:“自攻击发生日期时间起,1次检索,
第2次为第1次检索后1×m小时后p1小时的期间,
第3次为第2次检索后2×m小时后p2小时的期间,
第4次为第3次检索后3×m小时后p3小时的期间,
···同样进行n次检索”。在例2中,自检索到下一检索的期间逐渐变长。
例3:“自攻击发生日期时间起,1次检索,
第2次为第1次检索后1×m小时后的p1小时的期间,
第3次为第2次检索后2×m小时后的p2小时的期间,
第4次为第3次检索后4×m小时后的p3小时的期间,
···同样地进行n次检索”。在例3中,自检索起到下一检索为止的期间成倍地变 长。
此外,p1、p2、p3可以相同,也可以不同。
此外,“自攻击发生日期时间起”这部分也可以置换为“自当前的时刻,”、“自现 在之后的p小时起”、“自下一0时”等。
时刻表检索部1010接收这样进行时刻表检索的时期/期间/次数等信息作为检索 时刻表条件1205,生成检索命令1114。
攻击发生预想日期时间是基于检索时刻表条件1205生成的。例如,当在检索时 刻表条件1205中包含“自攻击发生日期时间起m小时”这样的条件的情况下,攻击 发生预想日期时间为“攻击发生日期时间+m小时后”(以后m小时后)。
在本实施方式中,不在攻击可否判定部107中生成攻击发生预想日期时间,而在 时刻表检索部1010中生成。因此,在实施方式1中,在攻击可否判定部107输出的 日志检索信息1113中,包含检索的日期时间作为检索条件,而在本实施方式中不包 含,由时刻表检索部1010生成/追加。
此外,在实施方式2中,攻击可否判定部107生成日志收集信息1110。在该日 志收集信息1110中,包含基于攻击发生预想日期时间的收集条件作为收集条件。该 攻击发生预想日期时间是基于攻击情景中包含的间隔计算出的。
另一方面,在本实施方式中,攻击发生预想日期时间是在时刻表收集部108中基 于收集时刻表条件1204生成的。在该情况下,收集时刻表条件1204与本实施方式中 的检索时刻表条件1205为相同的记述(“检索”这样的记述置换为“收集”)。
此外,也可以将本实施方式中的检索时刻表条件1205输入到攻击可否判定部 107,攻击可否判定部107根据检索时刻表条件1205,计算用于检索的攻击发生预想 日期时间。
此外,也可以将本实施方式中的收集时刻表条件1204输入到攻击可否判定部 107,攻击可否判定部107根据收集时刻表条件1204计算用于收集的攻击发生预想日 期时间。
此外,在上述例子中,将攻击发生日期时间设为未来,不过,在追溯过去而检索 要发生的攻击或收集日志的情况下,只要将m(时间)指定为负值即可。
此外,在本实施方式中,示出了关联攻击信息1105中包含的攻击情景要素为“攻 击情景要素3:1104_e3”的情况。
但是,例如,检索出的攻击情景1104有时为如以下这样,关联攻击信息1105中 包含的攻击情景要素的数量为多个。
检索出的攻击情景1104:“攻击情景要素1:1104_e1→攻击情景要素2:1104_e2 →攻击情景要素3:1104_e3→攻击情景要素4:1104_e4→攻击情景要素5:1104_e5”。
关联攻击信息1105中包含的攻击情景要素:“攻击情景要素3:1104_e3、攻击 情景要素4:1104_e4、攻击情景要素5:1104_e5”。
即,关联攻击信息1105中包含的攻击情景要素为多个。
在该情况下,攻击可否判定部107、时刻表检索部1010、时刻表收集部108可以 针对关联攻击信息1105中包含的这些多个攻击情景要素,进行与针对上述攻击情景 要素3:1104_e3的处理相同的处理。
以下,示出处理的例子。
关联攻击信息1105中包含的攻击情景要素为多个,因此,对策信息1107、对策 有无1107’通过安全对策检索部105返回与各攻击情景要素对应的内容。
攻击可否判定部107按照图8判定在由相符的资产信息1109所示的资产中是否 发生各攻击情景要素中包含的攻击。
针对通过图8的处理判断为在由相符的资产信息1109所示的资产中发生的攻击 情景要素,时刻表检索部1010执行日志检索。
接下来,对如下情况进行说明:判断为在相符的各资产信息1109所示的资产中 发生攻击情景要素3:1104_e3、攻击情景要素4:1104_e4、攻击情景要素5:1104_e5 中包含的各攻击。
首先,通过时刻表检索部1010,从日志中检索出与攻击情景要素3:1104_e3相 符的攻击。然后,时刻表检索部1010将日志中记录的攻击情景要素3:1104_e3的攻 击发生的日期时间作为攻击发生日期时间,应用进行检索时刻表条件1205中包含的 时刻表检索的时期/期间/次数等,进一步对攻击情景要素4:1104_e4进行时刻表检索。
接下来,在从日志中检索出攻击情景要素4:1104_e4的情况下,时刻表检索部 1010将发生了日志中记录的攻击情景要素4:1104_e4的攻击的日期时间作为攻击发 生日期时间,应用进行检索时刻表条件1205中包含的时刻表检索的时期/期间/次数 等,进一步对攻击情景要素5:1104_e5进行时刻表检索。
此外,时刻表检索部1010可以每当从日志中检索出各攻击情景要素时,将检索 结果1116输出到输出部1012,也可以在检索出攻击情景要素5:1104_e5的情况下, 汇总地输出全部检索结果。
在该情况下,关联攻击信息1105中包含的攻击情景要素为多个,时刻表收集部 108可以与时刻表检索部1010的处理同样地,对有可能包含后续的攻击情景要素的 日志进行时刻表收集。
此外,也可以是,在攻击可否判定部107判定为在攻击情景要素3:1104_e3、 攻击情景要素4:1104_e4、攻击情景要素5:1104_e5中,仅发生了一部分的攻击情 景要素攻击的情况下,将该判定为发生的攻击情景要素作为对象,由时刻表检索部 1010进行处理。或者,与判定结果无关地,针对全部攻击情景要素3:1104_e3、攻 击情景要素4:1104_e4、攻击情景要素5:1104_e5,由时刻表检索部1010进行处理。
如上所述,根据本实施方式的日志分析协作系统,即使所包含的攻击之间的发生 间隔不明的攻击情景,在检索时刻表条件中,通过给出与检索时期或间隔相关的信息, 能够计算攻击发生预想日期时间,进行时刻表检索。
此外,在收集时刻表条件中,通过给出与收集时期或间隔相关的信息,能够计算 攻击发生预想日期时间,进行日志的时刻表收集。
实施方式7.
在本实施方式中,主要对与实施方式1~6的差异进行说明。
针对与在实施方式1~6中说明的功能结构相同的功能结构,有时标注相同的标 号,省略其说明。
根据攻击的类型,间隔的信息或攻击之间联系有时是不明的。在本实施方式中, 针对使用了如下情景的日志分析协作系统1000的动作进行记述:在攻击情景1104中, 既不包含间隔,也不包含攻击之间的联系。
在图5的攻击情景1104中,作为间隔1:1104_s1、间隔2:1104_s2以及攻击之 间的联系,通过→而依次记述,而在本实施方式中,使用了既不包含间隔1、间隔2 这样的攻击间的发生时间也不包含攻击之间的联系的攻击情景1104。
即,攻击情景1104例如为以下这样。
攻击情景要素1:1104_e1、攻击情景要素2:1104_e2、攻击情景要素3:1104_e3、 攻击情景要素4:1104_e4、攻击情景要素5:1104_e5。
这样,本实施方式的攻击情景1104表示以没有“间隔”且没有“→”的方式构 成攻击情景的攻击组。
以下,对实施方式6中的日志分析协作装置1的动作的差分进行说明。
在本实施方式中,攻击情景DB检索部103将攻击标识信息1103(与实施方式1 中的例子相同)输出到攻击情景DB1013,取得攻击情景1104。在该情况下,在攻击 情景DB检索部103中,例如,针对作为攻击标识信息1103的构成要素的攻击ID而 检索“攻击情景要素1104_e的攻击标识信息1104_a中包含的攻击情景”。
关联攻击提取部104输入攻击情景1104,通过处理装置对攻击情景1104进行分 析。关联攻击提取部104提取与所通知的攻击情景1104中包含的攻击相关的信息。 此时,关联攻击提取部104输入关联攻击提取条件1203。关联攻击提取条件1203为 “除所通知的攻击以外的全部攻击”。
攻击情景1104为以下这样,警告信息1102中包含的攻击ID为攻击情景要素2: 1104_e2的攻击ID。
“攻击情景要素1:1104_e1、攻击情景要素2:1104_e2、攻击情景要素3:1104_e3、 攻击情景要素4:1104_e4、攻击情景要素5:1104_e5”。
由关联攻击提取部104提取出的关联攻击信息1105从攻击情景1104中除去了攻 击情景要素2,成为以下这样。
“攻击情景要素1:1104_e1、攻击情景要素3:1104_e3、攻击情景要素4:1104_e4、 攻击情景要素5:1104_e5”。
接下来,关联攻击提取部104、攻击可否判定部107、时刻表检索部1010、时刻 表收集部108针对攻击情景要素1、攻击情景要素3、攻击情景要素4、攻击情景要 素5,分别进行与实施方式6相同的处理。
即,在时刻表检索部1010中,针对各攻击情景要素,独立对攻击情景要素2: 1104_e2的攻击发生日期时间应用检索时刻表条件1205所示的检索的时期/期间/次 数,进行日志检索。进而,时刻表检索部1010输入针对各个攻击情景要素的检索结 果1115。
此外,时刻表收集部108同样地进行日志的收集。
在本实施方式中,在检索时刻表条件1205中,例如添加了如下条件:“当在t小 时以内由时刻表检索检索出攻击情景1104中的攻击情景要素的数量的s%的情况下, 判断为进行了符合情景的攻击”。t可以是0、正(未来)、负(过去)或者正负(以 攻击发生预想日期时间为基点的前后),也可以是0。
例如在s=60%、t=720的情况下,当在720小时(30日)以内检索出攻击情景要 素1、攻击情景要素3、攻击情景要素4、攻击情景要素5中的任意一个两个以上(攻 击情景要素2合计为3个以上)的情况下,时刻表检索部1010判断为进行符合攻击 情景的攻击,并将检索结果1116输出到输出部1012。也可以与攻击进程的判断分开 地,将每次检索结果作为检索结果1116输出。
或者也可以是,在检索时刻表条件1205中,如“当在t小时以内由时刻表检索 检索出攻击情景1104中的攻击的s%的情况下,判断为进行符合情景的攻击,在相同 的攻击为多次的情况也计数在内”所示那样,发出使多次检索出相同的攻击情景要素 的情况也计数在内的指示。
如上所述,根据本实施方式的日志分析协作系统,针对所包含的攻击之间的发生 间隔不明且之间的联系也不明的攻击情景,在检索时刻表条件中给出与检索时期或间 隔相关的信息,将检索出攻击情景中包含的要素的一定个数作为攻击成立的条件,由 此具有如下效果:针对符合情景的攻击,能够判断检索/攻击成立。
此外,根据本实施方式的日志分析协作系统,在收集时刻表条件中给出与收集时 期或间隔相关的信息,由此,具有如下效果:能够计算攻击发生预想日期时间,进行 日志的时刻表收集。在本实施方式中,在收集时刻表条件中给出的与收集时期或间隔 相关的信息例如为“以攻击发生预想日期时间为基点的t小时以内”等信息,这点与 实施方式6不同。
实施方式8.
在本实施方式中,主要对与实施方式1~7的差异进行说明。
针对与在实施方式1~7中说明的功能结构相同的功能结构,有时标注相同的标 号,省略其说明。
在实施方式1中,攻击情景中的攻击对象为由警告信息1102表示的资产。但是, 根据攻击,可能对其它资产进行攻击。
在本实施方式中,将目的地IP/Port、资产ID等作为资产检索信息1108的攻击目 的地信息输入到资产DB检索部106,作为资产检索信息1108输出到资产DB1015 的情况下,资产DB1015将关于从目的地IP或资产ID所示的资产以及能够从该目的 地IP经由网络连接的其它资产的信息作为资产信息1109返回到资产DB检索部106。
当在资产检索信息1108示出了Port的情况下,资产DB1015返回使用该Port的 资产的信息作为资产信息1109。
即,根据情况,资产信息1109为多个。
此外,资产DB1015也可以提取使用了与由目的地IP/Port、资产ID标识的资产 相同的OS或应用程序(版本、补丁应用状态相同)的资产。
此外,资产DB检索部106可以输入关联攻击信息1105(未图示),根据所包含 的攻击情景要素1104_e中的攻击信息1104_b中包含的受影响的产品(产品ID、版 本信息、补丁ID)的信息等,将可能受到攻击的资产的信息包含在资产检索信息1108 中,输出到资产DB1015。在该情况下,资产DB1015将使用了受到攻击影响的产品 的资产作为作为资产信息1109输出。
此外,作为攻击信息1104_b中包含的关键词/其它信息,例如,在示出了认证服 务器/文件服务器/DB服务器/路由器/开关这样的攻击对象的类型的情况下,资产 DB1015可以基于其类型进行检索,输出资产信息1109。
此外,攻击情景要素1104_e可能为1个以上,因此,在该情况下针对各个攻击 情景要素进行检索。
通过如上方式,能够得到作为接下来可能发生的攻击的对象的资产的信息。
进而,攻击可否判定部107针对1个以上的资产信息1109,分别进行与实施方 式1相同的处理(攻击可否判定部107、时刻表检索部1010、时刻表收集部108、输 出部1012)。
在本实施方式的日志分析协作装置1中,上述所示的例如“检索关于由目的地IP 所示的资产和能够从该目的地IP连接的其它资产的信息”这样的条件作为资产检索 条件(未图示)输入到资产DB检索部106。
如上所述,根据本实施方式的日志分析协作系统,除了能够检索受到了攻击的资 产以外,还能够检索可能受到攻击的资产,因此具有如下效果:能够根据情景,针对 可能受到攻击的资产,扩大日志检索的范围,降低日志检索的遗漏。
如上所述,在实施方式1~8中,对具有如下特征的日志分析协作系统1000进行 了说明。
日志分析协作装置(日志分析系统)从SIEM装置(SIEM系统)接收攻击的检 测。
日志分析协作装置参照从SIEM系统接收到的包含检测出的攻击的信息的攻击 情景,提取该攻击情景所记载的将来可能发生的攻击的信息。
日志分析协作装置参照攻击对象的资产的资产信息,参照安全对策,与将来可能 发生的攻击的信息进行对照,判定将来可能发生的攻击是否实际发生。
日志分析协作装置在判定为将来可能发生的攻击实际发生的情况下,指示日志分 析系统,按时刻表方式执行如下命令:在预想的攻击发生时期,检索残留有攻击的迹 象的日志。
日志分析协作装置根据攻击情景,取得过去有可能发生的攻击的信息,指示日志 分析系统检索该迹象。
根据上述日志分析协作系统1000,在基于日志分析的APT(攻击)的检测/经过 观察中,发挥SIEM系统和日志分析系统的特长,实现APT的检测/经过观察的效率 化。因此,在日志分析协作系统1000中,将SIEM系统用于基于复杂/非多发的事件 的相关分析进行的APT检测中。此外,针对后续的APT的攻击,按照APT攻击的 情景,在后续的攻击的发生预想时期对日志分析系统进行时刻表检索,由此,能够实 现日志分析的效率化。
此外,在实施方式1~8中,对具有如下特征的日志分析协作系统1000进行了说 明。
在判定为将来可能发生的攻击实际发生的情况下,日志分析协作装置向日志分析 系统(或者日志记录器等)输出如下命令:在预想的攻击发生时期收集残留有攻击的 迹象的日志。
由此,即使在难以始终收集日志的设备中,也能够进行高效的日志收集。
此外,在这些实施方式中,记述了在安全对策DB1014或资产DB1015中检索出 相符的条目的情况,但也存在相符的条目未登记的情况下或未检索出的情况。
在该情况下,可以设相符的对策有无1107’或资产信息1109为空,或者攻击可 否判定部107将其作为发生了关联攻击信息1105而推进处理。也可以是,在关联攻 击信息1105中包含多个攻击情景要素,针对一部分进行对策有无1107’或资产信息 1109的检索而不对剩余的进行检索的情况下,针对未检索的攻击情景要素,作为发 生了攻击而推进处理。
以上,对本发明的实施方式进行了说明,不过,也可以组合这些实施方式中的两 个以上来实施。或者,也可以部分地实施这些实施方式中的1个。或者,也可以部分 地组合这些实施方式中的两个以上来实施。此外,本发明不限于这些实施方式,也可 以根据需要而进行各种变更。
标号说明
1 日志分析协作装置;10 认证服务器;11 密码复位装置;101 输入部;102 警 告解释部;103 攻击情景DB检索部;104 关联攻击提取部;105 安全对策检索部; 106 资产DB检索部;107 攻击可否判定部;108 时刻表收集部;109 外部协作部(收 集);801 密码生成部;802 转换规则选择部;803 转换参数值生成部;804 文本模 板选择部;804a 转换表;805 密码复位通知文本生成部;806 转换规则文本模板DB; 901 日志记录器;902 SIEM装置;903 日志分析装置;904 通信设备;904a 计算机; 904b 网络设备;904c 安全设备;905 移动设备;911 日志;912 检测规则;915、 916 时刻表检索;917、918 检索结果;1000 日志分析协作系统;1010 时刻表检索 部;1011 外部协作部(检索);1012 输出部;1013 攻击情景DB;1014 安全对策 DB;1015 资产DB;1014 安全对策DB;1071 外部协作部(对策);1101 数据;1102 警告信息;1103 攻击标识信息;1104 攻击情景;1105 关联攻击信息;1106 关联攻 击检索信息;1107 对策信息;1107’ 对策有无;1108 资产检索信息;1109 资产信 息;1110 日志收集信息;1111 收集命令;1112 收集结果;1113 日志检索信息;1114 检索命令;1115 检索结果;1116 检索结果;1117 密码复位命令;1119 权限变更命 令;1201、1201’ 警告信息;1202 情景提取条件;1203 关联攻击提取条件;1204 收 集时刻表条件;1205 检索时刻表条件;1206 收集命令;1207 收集结果;1208 检索 命令;1209 检索结果;1211 权限变更命令;1212 密码复位命令;1901 LCD;1902 键盘;1903 鼠标;1904 FDD;1905 CDD;1906 打印机;1911 CPU;1912 总线; 1913 ROM;1914 RAM;1915 通信板;1920 HDD;1921 操作系统;1922 视窗系统; 1923 程序组;1924 文件组;8201 密码复位命令;8202 密码复位通知字面内容;8203 复位用密码。
机译: 攻击分析系统,协作装置,攻击分析协作方法和程序
机译: 攻击分析系统,协作装置,攻击分析协作方法和程序
机译: 攻击分析系统和协作装置以及攻击分析协作方法和程序
