• 検索結果がありません。

攻撃シナリオを用いた多段攻撃検知手法の検討

N/A
N/A
Info
ダウンロード
Protected

Academic year: 2021

シェア "攻撃シナリオを用いた多段攻撃検知手法の検討"

Copied!
2
0
0

読み込み中.... (全文を見る)

今ダウンロードする ( 2 ページ )

全文

(1)情報処理学会第 76 回全国大会. 3E-5. 攻撃シナリオを用いた多段攻撃検知手法の検討* 居城 秀明, 河内 清人, 桜井 鐘治† 三菱電機株式会社. 情報技術総合研究所‡. きるはずの多段攻撃がイベント列として見なさ れず,検知漏れが発生するという課題がある. 脆弱性を悪用し,複数の既存攻撃を組み合わ 2.3. 本稿でのアプローチ せることで,対応が難しく執拗なサイバー攻撃 そこで本稿では,攻撃シナリオに観測不可イ が出現してきている[1].特定企業等を狙ったこ ベントを含む場合,イベント列生成時に観測不 うした攻撃は標的型攻撃と呼ばれ,セキュリテ 可イベントの推定を行う手法を提案する.これ ィ上の重大な脅威となっている.こうした脅威 に対し,従来からの予防的対策では限界があり, により多段攻撃の検知精度向上が期待できる. 3. 提案手法 攻撃の段階ごとに発生する事象を異常として検 知することで,攻撃者の目標達成を阻止するこ 図 1は提案手法による多段攻撃の検知方法を とが必要である[2]. 説明したものである.観測された攻撃イベント 本稿では、複数の攻撃を組み合わせた多段攻 を入力とし,生成したイベント列をイベント列 撃の検知手法を利用して、標的型攻撃を検知す DB§に登録・更新する.イベント列 DB の状態を確 る手法を考える.既存の手法[3]において課題の 認し,一定の基準を満たした場合に通知するこ 1 つである,システムの観測できない攻撃を含む とで多段攻撃を検知する.以下に観測不可イベ 場合の多段攻撃で,攻撃イベントを推定するこ ントを推定する 3 つの手法を提案する.ここで とにより多段攻撃を検知する手法を提案する. 各提案手法は,攻撃イベント対し,システムが これにより多段攻撃を利用した標的型攻撃の検 観測可能かどうかのパラメータを事前に定義す 知精度向上が望める. るものとする. 3.1. 提案手法 1 2. 多段攻撃検知 イベント列生成時,観測不可イベントは観測 2.1. 多段攻撃検知手法 したものとみなすことで推定を行う手法を説明 多段攻撃は,攻撃者が 1 つの目的のために複 する.具体的な実現方法は次のとおりである. 数の段階に分かれた攻撃を行うことを指す.標 1. 入力された攻撃イベントの事前条件を結果 的型攻撃は多段攻撃にあたる.文献[3]では多段 に持つ攻撃イベントを含むイベント列を, 攻撃を検知するために各攻撃イベント(例: イベント列 DB から検索する IDS(Intrusion Detection System)からのアラー 2. 対応するイベント列がない場合,入力イベ ントの事前条件を結果に持つような攻撃イ ト)に対し,攻撃イベントが成立するための必要 ベントをイベント DB**から検索する.対応す 条件(事前条件),及び攻撃イベントが発生した るイベント列が見つかった場合は入力イベ ことによる状態変化(結果)を定義している.そ ントを対応するイベント列に追加し,イベ して攻撃イベントの結果が他の攻撃イベントの ント列 DB を更新後,処理を完了する 3. イベント検索の結果,得られた攻撃イベン 事前条件となるようにつなげたイベント列(攻撃 トが観測不可イベントと設定されていた場 シナリオ)が生成可能かどうかで多段攻撃を検知 合,検索結果の攻撃イベントを観測したも する手法が提案されている. のと見なす.その後,観測したものと見な 2.2. 既存手法における課題 した攻撃イベントを入力イベントとして 1. しかし,イベントの中にはログに記載されな を行う.観測可能であった場合は得られた 攻撃イベントを観測したものとはみなさず, いイベント,コストとのトレードオフ等で監視 入力イベントを新たなイベント列としてイ 対象外とされ,システムが観測することのでき ベント列 DB に登録し処理を完了する ないイベント(以下これらを観測不可イベントと 3.2. 提案手法 2 よぶ)がある.このとき,従来の手法において, イベント列生成時,観測不可イベントを以下 本来観測可能であればイベント列として検知で の方法で推定する.  観測不可イベントの事前条件を結果に持つ,. 1. はじめに. *. Extension of multi-stage attack detection using attack. † Hideaki IJIRO, Kiyoto KAWAUCHI, Shoji SAKURAI ‡. §. Mitsubishi Electric Corporation, Information Technology R&D Center, 5-1-1, Ofuna, Kamakura, Kanagawa, 247-8501, Japan. イベント列生成機能によって作成された、攻撃イベント間の 依存関係を含む攻撃イベントの集合を格納したデータベース **. 3-541. 攻撃イベントを格納したデータベース. Copyright 2014 Information Processing Society of Japan. All Rights Reserved..

(2) 情報処理学会第 76 回全国大会. 図 1 多段攻撃検知手法の説明図 及び結果を事前条件に持つ攻撃イベントが 観測されているかどうかを確認する  上記攻撃イベントがともに観測されていた 場合,該当する観測不可イベントを観測し たものと見なす 具体的な実現方法は次のとおりである. 1. 入力された攻撃イベントの事前条件を結果 に持つ攻撃イベントを含むイベント列を, イベント列 DB から検索する 2. 対応するイベント列がない場合,入力イベ ントの事前条件を結果に持つような攻撃イ ベントをイベント DB から検索する.対応す るイベント列が見つかった場合は入力イベ ントを対応するイベント列に追加し,イベ ント列 DB を更新後処理を完了する 3. イベント検索の結果,得られた攻撃イベン トが観測不可イベントと設定されていた場 合,さらに観測不可イベントの事前条件を 結果に持つような攻撃イベントを含む,イ ベント列を検索する.観測可能であった場 合は得られた攻撃イベントを観測したもの とはみなさず,入力イベントを新たなイベ ント列としてイベント列 DB に登録し処理を 完了する 4. 対応するイベント列が見つかった場合は観 測不可イベントを観測したものと見なす. その後,入力イベント,得られた攻撃イベ ントを対応するイベント列に追加しイベン ト列 DB を更新後処理を完了する.対応する イベント列が見つからなかった場合は得ら れた攻撃イベントを観測したものとはみな さず,入力イベントを新たなイベント列と してイベント列 DB に登録し処理を完了する 3.3. 提案手法 3 イベント列生成時,観測不可イベントを以下 の方法で推定する.  観測不可イベントの事前条件を結果に持つ, 及び結果を事前条件に持つ攻撃イベントに 基づいて発生確率を計算する.発生確率は 過去の事例に基づき事後確率を計算する  発生確率が一定のしきい値を超えている場. 合は発生したものと見なす 具体的な実現方法は次のとおりである. 1. 入力された攻撃イベントの事前条件を結果 に持つ攻撃イベントを含むイベント列を, イベント列 DB から検索する 2. 対応するイベント列がない場合,入力イベ ントの事前条件を結果に持つ攻撃イベント をイベント DB から検索する.対応するイベ ント列が見つかった場合は入力イベントを 対応するイベント列に追加し,イベント列 DB を更新後処理を完了する 3. イベント検索の結果,得られた攻撃イベン トが観測不可イベントと設定されていた場 合,得られた観測不可イベントに観測判定 待ちイベントのタグ付けを行う.観測可能 であった場合は得られた攻撃イベントを観 測したものとはみなさず,入力イベントを 新たなイベント列としてイベント列 DB に登 録し処理を完了する 4. タグ付けされた攻撃イベントを観測したも のと同じように扱い,提案手法 1 と同様に イベント列を生成する 5. タグ付けされた攻撃イベントに対し,事前 条件を結果に持つ,および結果を事前条件 に持つ攻撃イベントに基づく,攻撃イベン トの発生確率を計算する.このとき発生確 率が一定のしきい値以上であった場合は, 該当するイベントは発生したものと見なす. しきい値に満たなかった場合はタグ付けさ れたイベントを観測されなかったものと見 なし,接続されたイベント列を各々別のイ ベント列としてイベント列 DB に登録する. 4. 考察 各提案手法による効果は次のとおりである. 提案手法 1 は観測不可イベントを含む場合でも イベント列を生成することができるため,多段 攻撃の検知漏れを防ぐことができる.提案手法 2 は提案手法 1 で発生すると考えられる多段攻撃 の誤検知を防ぐことができる.提案手法 3 は発 生確率により観測不可イベントを評価できるた め,提案手法 2 と比べて検知精度が向上するこ とが期待できる.. 5. まとめと今後の課題 本稿は攻撃シナリオを用いた多段攻撃検知手 法においてシステムが観測できない推定を行う 手法を提案した.今後は各提案手法を実装評価 し,有用性を検証する.. 6. 参考文献 [1] [2]. [3]. 3-542. 情報処理推進機構, “IPA テクニカルウォッチ『新し いタイプの攻撃』に関するレポート,” 2010 年 12 月. 日本セキュリティ監査協会, APT による攻撃対策と情 報セキュリティ監査研究会, “APT 対策入門,” イン プレス R&D, 2012 年. Y. C. D. S. R. Peng Ning, “ Constructing Attack Scenarios through Correlation of Intrusion Alerts,” CCS’02, 2002.. Copyright 2014 Information Processing Society of Japan. All Rights Reserved..

(3)

図 1 多段攻撃検知手法の説明図

参照

今ダウンロードする ( PDF - 2 ページ - 319.15 KB )

関連したドキュメント

本資料は 作成時点の法規制の概要等をまとめたものです 最新の法令による規制や解釈については 該当する法令条文又は 通知等を必ずご参照ください 石綿障害予防規則等の一部を改正する省令 ( 令和 2 年 7 月 1 日公布 ) について 令和 2 年 11 月

事前調査を行う者の要件の新設 ■

MULTIPLE DISTRICT EXTENSION CHAIRMAN

複合地区GMTコーディネーター就任の検討対象となるライオンは、本役職の資格条件を満たしてい

石 川

共通点が多い 2 。そのようなことを考えあわせ ると、リードの因果論は結局、・ヒュームの因果

平成23年度水道技術研修

注)○のあるものを使用すること。

事 務 連 絡 令 和 3 年 4 月 1 日 各都道府県知事 殿 各府省庁担当課室 各位

地域の感染状況等に応じて、知事の判断により、 「入場をする者の 整理等」 「入場をする者に対するマスクの着用の周知」

国民の保護に関する業務計画

この国民の保護に関する業務計画(以下「この計画」という。

主催 : 東京都環境局/東京都冷凍空調設備協会

電子式の検知機を用い て、配管等から漏れるフ ロンを検知する方法。検 知機の精度によるが、他

柏崎刈羽原子力発電所 6号及び7号炉

検討対象は、 RCCV とする。比較する応答結果については、応力に与える影響を概略的 に評価するために適していると考えられる変位とする。