信息处理装置、信息处理方法和信息处理程序与流程

本发明涉及检测针对信息系统的攻击活动的技术。

背景技术：

作为与本发明相关联的技术，存在专利文献1～3公开的技术。

在专利文献1中，根据服务器发送的url(uniformresourcelocator：统一资源定位符)的目的地或变量值计算特征量，判定是否是与监视装置具有的签名相似的url。由此，能够检测使用不与监视装置具有的签名完全一致的url的目的地或变量值的攻击的通信，能够检测针对终端或服务器的未知的攻击。专利文献1的判定签名的相似的功能的目的是追加新的攻击模式。

在专利文献2中，着眼于以cpu(centralprocessingunit：中央处理单元)利用率为代表的计算机的资源信息大多由于安全侵害行为而变动，计算当前的cpu使用率和过去的cpu使用率的特征量。然后，在计算结果符合记载有资源信息的条件的规则的情况下，判定为异常。由此，能够应对针对计算机系统的安全侵害行为而不用对大量的各种日志信息进行分析。

存在如下课题：在远程发出维护指示时，在监视图像中很难没有错误地指示维护部位。与此相对，在专利文献3中，组合监视对象设备的图像信息和监视对象设备的cad(computer-aideddesign：计算机辅助设计)信息而生成坐标信息，使用坐标信息指示维护部位。

现有技术文献

专利文献

专利文献1：日本特开2013-011949号公报

专利文献2：日本特开2016-184358号公报

专利文献3：日本特许4661512号

技术实现要素：

发明要解决的课题

在监视攻击活动的安全监视中心，分析员决定针对检测到的攻击活动的应对处置。更具体而言，分析员根据安全监视中心中保管的过去攻击活动的历史，决定针对检测到的攻击活动的应对处置。但是，即使是相同的攻击活动，根据监视目的地网络的结构和进行了应对的分析员的经验等，也会选择不同的应对处置。因此，针对相同的攻击活动，存在应对处置不同的多个历史。

存在如下课题：在经验较少的分析员进行应对的情况下，很难适当地判断应该参考应对处置不同的多个历史中的哪个历史。此外，存在如下课题：当无法从多个历史中选择适合于当前攻击活动的历史时，采取错误的应对处置，无法有效地应对攻击活动。

在专利文献1～3中，无法解决这些课题。

本发明的主要目的在于解决上述课题。具体而言，主要目的在于针对检测到的攻击活动采取适当的应对处置。

用于解决课题的手段

本发明的信息处理装置具有：选择部，其在使用检测规则检测到攻击活动的情况下，对检测到所检测到的攻击活动即当前攻击活动时的状况、分别检测到使用所述检测规则过去检测到的多个攻击活动即多个过去攻击活动时的状况、以及所述检测规则作为前提的状况进行分析，根据分析结果，从所述多个过去攻击活动中选择任意数量的攻击活动；以及应对处置提示部，其提示对由所述选择部选择出的攻击活动进行的应对处置。

发明效果

在本发明中，对检测到当前攻击活动时的状况、分别检测到多个过去攻击活动时的状况、以及检测规则作为前提的状况进行分析。然后，在本发明中，从多个过去攻击活动中选择适合于当前攻击活动的过去攻击活动，提示对选择出的过去攻击活动的应对处置。

因此，根据本发明，分析员能够采取适合于检测到的攻击活动的应对处置。

附图说明

图1是示出实施方式1的网络结构例的图。

图2是示出实施方式1的攻击活动分析辅助装置的功能结构例的图。

图3是示出实施方式1的攻击活动分析辅助装置的处理流程的流程图。

图4是示出实施方式1的分析历史表的例子的图。

图5是示出实施方式1的设备管理表的例子的图。

图6是示出实施方式1的相似历史比较表的例子的图。

图7是示出实施方式1的选择出的分析历史的例子的图。

图8是示出实施方式1的针对操作员的提示例的图。

图9是示出实施方式1的检测日志的例子的图。

图10是示出实施方式1的攻击活动分析辅助装置的硬件结构例的图。

具体实施方式

下面，使用附图对本发明的实施方式进行说明。在以下的实施方式的说明和附图中，标注有相同标号的部分表示相同的部分或相当的部分。

实施方式1

***结构的说明***

图1示出本实施方式的网络结构例。

在本实施方式中，通过防火墙11区分外部网络16和内部网络18。防火墙11与外部网络16、dmz(demilitarizedzone：非军事区)网络17和内部网络18连接。能够通过防火墙11和dmz网络17防止从外部网络16到内部网络18的攻击活动。

dmz网络17包含有入侵检测装置12、代理服务器13和多个监视对象14。

入侵检测装置12与防火墙11连接。

入侵检测装置12利用检测规则调查通过防火墙11的外部网络16与dmz网络17之间的通信、以及外部网络16与内部网络18之间的通信。而且，入侵检测装置12在检测到来自外部网络16的攻击活动的情况下，生成表示检测到该攻击活动时的状况的检测日志。

代理服务器13与防火墙11连接。

代理服务器13对从内部网络18内的监视对象15到外部网络16的通信进行中继。进而，代理服务器13对从外部网络16到监视对象15的通信进行中继。

监视对象14与防火墙11连接。

监视对象14包含有邮件服务器、web服务器等。

内部网络18包含有多个监视对象15和攻击活动分析辅助装置01。

监视对象15与防火墙11连接。

监视对象15包含有个人终端、文件服务器、ad(activedirectory：活动目录)服务器等。

攻击活动分析辅助装置01与内部网络18连接，监视与dmz网络17连接的监视对象14和与内部网络18连接的监视对象15。

攻击活动分析辅助装置01存储有表示检测到针对监视对象14和监视对象15的攻击活动时的状况和应对处置的分析历史。分析历史的详细情况容后再述。

在产生了从外部网络16针对dmz网络17或内部网络18的攻击活动的情况下，攻击活动分析辅助装置01使用显示装置10向操作员提示与产生的攻击活动相似的过去攻击活动的分析历史。

另外，攻击活动是指产生信息安全上的威胁的所有活动。攻击活动包含有各种非法访问、被称作“…攻击”的攻击、这些攻击的预备动作等。

另外，攻击活动分析辅助装置01相当于信息处理装置。此外，由攻击活动分析辅助装置01进行的动作相当于信息处理方法。

图2示出攻击活动分析辅助装置01的功能结构例，图10示出攻击活动分析辅助装置01的硬件结构例。

本实施方式的攻击活动分析辅助装置01是计算机。

作为硬件，如图10所示，攻击活动分析辅助装置01具有处理器101、存储装置102、网络接口103、显示接口104和输入接口105。

此外，作为功能结构，如图2所示，攻击活动分析辅助装置01具有警告信息收集部02、监视信息收集部03、分析信息计算部04、警告重要度估计部05、警告信息蓄积部06、监视信息蓄积部07和分析历史蓄积部08。

存储装置102存储有实现警告信息收集部02、监视信息收集部03、分析信息计算部04和警告重要度估计部05的功能的程序。

而且，处理器101执行这些程序，进行后述的警告信息收集部02、监视信息收集部03、分析信息计算部04和警告重要度估计部05的动作。

在图10中，示意地示出处理器101执行实现警告信息收集部02、监视信息收集部03、分析信息计算部04和警告重要度估计部05的功能的程序的状态。

实现警告信息收集部02、监视信息收集部03、分析信息计算部04和警告重要度估计部05的功能的程序相当于信息处理程序。

此外，警告信息蓄积部06、监视信息蓄积部07和分析历史蓄积部08通过存储装置102实现。

网络接口103是与内部网络18的通信缆线之间的接口。

显示接口104是与显示装置10之间的接口。

输入接口105是与输入装置09之间的接口。

在图2中，警告信息收集部02经由网络接口103从入侵检测装置12收集检测日志。此外，警告信息收集部02将收集到的检测日志存储在警告信息蓄积部06中。

监视信息收集部03经由网络接口103从代理服务器13收集代理日志。监视信息收集部03将收集到的代理日志存储在监视信息蓄积部07中。

分析信息计算部04在由入侵检测装置12检测到攻击活动的情况下，对检测到所检测到的攻击活动即当前攻击活动时的状况、分别检测到使用检测规则过去检测到的多个攻击活动即多个过去攻击活动时的状况、以及检测规则作为前提的状况进行分析。另外，分别检测到多个过去攻击活动时的状况记载于分析历史蓄积部08中蓄积的分析历史中。此外，表示检测规则作为前提的状况的信息例如存储在存储装置102中。

具体而言，分析信息计算部04对检测到当前攻击活动时的状况与分别检测到多个过去攻击活动时的状况的相似度进行分析。此外，分析信息计算部04对分别检测到多个过去攻击活动时的状况与检测规则作为前提的状况的相似度进行分析。例如，分析信息计算部04对检测到当前攻击活动的时刻与分别检测到多个过去攻击活动的时段的相似度进行分析。此外，分析信息计算部04对检测到当前攻击活动时的通信量与分别检测到多个过去攻击活动时的通信量的相似度进行分析。此外，分析信息计算部04对分别检测到多个过去攻击活动的时段与检测规则作为前提的时段的相似度进行分析。此外，分析信息计算部04对分别检测到多个过去攻击活动时的通信量与检测规则作为前提的通信量的相似度进行分析。进而，分析信息计算部04对多个过去攻击活动各自的目标设备的种类与检测规则作为前提的目标设备的种类的相似度进行分析。

然后，分析信息计算部04根据分析结果，从多个过去攻击活动中选择任意数量的攻击活动。

分析信息计算部04相当于选择部。此外，由分析信息计算部04进行的处理相当于选择处理。

警告重要度估计部05通过显示装置10向操作员提示对由分析信息计算部04选择出的攻击活动进行的应对处置。

在由分析信息计算部04选择了2个以上的攻击活动的情况下，警告重要度估计部05决定选择出的2个以上的攻击活动之间的序列。警告重要度估计部05例如根据选择出的2个以上的攻击活动各自的应对处置的重要度，决定选择出的2个以上的攻击活动之间的序列。然后，警告重要度估计部05按照所决定的序列，提示对选择出的2个以上的攻击活动进行的应对处置。

警告重要度估计部05相当于应对处置提示部。此外，由警告重要度估计部05进行的处理相当于应对处置提示处理。

警告信息蓄积部06蓄积检测日志。

监视信息蓄积部07蓄积代理日志。

分析历史蓄积部08蓄积分析历史。

接着，对本实施方式中处理的数据进行说明。

图4示出分析信息计算部04生成的分析历史表203的例子。

如图4所示，分析历史表203包含有多个对过去攻击活动进行分析的结果即分析历史。图4的各记录是分析历史。各分析历史包含有分析历史编号、警告名、产生时段、应对处置、解析信息。

分析历史编号是由分析信息计算部04自动设定的序号。

应对处置由攻击活动分析辅助装置01的操作员来指定。

警告名、产生时段是根据从入侵检测装置12发送的检测日志而生成的。入侵检测装置12利用检测规则对从外部网络16到内部网络18的通信进行解析。在检测到攻击活动的情况下，入侵检测装置12根据检测规则确定攻击活动的种类。入侵检测装置12确定检测到的攻击的种类例如是dos攻击、端口扫描、文件发送中的哪一种。然后，入侵检测装置12将确定的攻击的种类作为警告名包含在检测日志中。此外，入侵检测装置12将检测到攻击活动的日期时间包含在检测日志中。

此外，解析信息的值也是根据检测日志而生成的。例如，入侵检测装置12根据在攻击活动中使用的通信数据的发送目的地的ip地址确定攻击活动的通信目的地，将确定的通信目的地的种类包含在检测日志中。此外，入侵检测装置12也可以仅将在攻击活动中使用的通信数据的发送目的地的ip地址包含在检测日志中。该情况下，分析信息计算部04根据检测日志中包含的发送目的地的ip地址确定通信目的地的种类。更具体而言，分析信息计算部04使用图5中例示的设备管理表204确定通信目的地的种类。在图5的设备管理表204中示出分别构成监视对象14和监视对象15的设备的ip地址，按照每个ip地址示出各设备的用途。设备的用途是邮件服务器、web服务器、个人终端、文件服务器、ad服务器等。分析信息计算部04将检测日志所示的发送目的地的ip地址与设备管理表204进行核对，确定通信目的地的种类。

此外，入侵检测装置12将检测到攻击活动时的dmz网络17或内部网络18的通信量包含在检测日志中。

另外，入侵检测装置12也可以不确定通信目的地的种类和通信量中的至少任意一方。即，入侵检测装置12也可以不将通信目的地的种类和通信量中的至少任意一方包含在检测日志中。该情况下，分析信息计算部04根据代理日志生成解析信息。

即，代理服务器13也可以确定通信目的地的种类和检测到攻击活动时的通信量，将确定的通信目的地的种类和通信量记载在代理日志中。

图6示出相似历史比较表205的例子。

如图6所示，相似历史比较表205由分析历史编号、检测规则作为前提的状况、检测过去攻击活动时的状况构成。

分析历史编号表示图5的分析历史编号。

在“检测规则作为前提的状况”中，示出在生成检测规则时作为前提的状况。在图6的例子中，示出用于检测dos攻击的检测规则作为前提的状况。“检测规则作为前提的状况”例如是时段、通信量和目标设备。在图6的例子中，在产生dos攻击的时段为“10：00～12：00”，此外，产生dos攻击时的通信量为5000访问/分，此外，dos攻击设为目标的设备为web服务器这样的前提下，生成用于检测dos攻击的检测规则。

在“检测过去攻击活动时的状况”中，示出检测判定为dos攻击的过去攻击活动即应用用于检测dos攻击的检测规则检测到的过去攻击活动时的状况。“检测过去攻击活动时的状况”例如是时段、通信量和目标设备。检测到分析历史编号：1的dos攻击的时段为“10：00～12：00”，检测到该dos攻击时的通信量为5500访问/分，此外，该dos攻击设为目标的设备为web服务器。

相似历史比较表205用于按照每个过去攻击活动对检测规则作为前提的状况和检测到各攻击活动时的状况进行比较。

图6示出与dos攻击有关的相似历史比较表205，但是，针对其他攻击活动(端口扫描、文件发送等)，也存在同样的相似历史比较表205。

图9示出入侵检测装置12新检测到攻击活动时从入侵检测装置12向攻击活动分析辅助装置01发送的检测日志301的例子。

检测日志301由警告名、产生日期时间和解析信息构成。

警告名、产生日期时间和解析信息各自的意思与图4所示的内容相同。

图4所示的警告名、产生日期时间和解析信息是过去检测到的过去攻击活动的属性，与此相对，图9所示的警告名、产生日期时间和解析信息是新检测到的当前攻击活动的属性。

在图9中，示出解析信息的值还作为检测日志301从入侵检测装置12发送的例子，但是，如上所述，解析信息的值也可以作为代理日志从代理服务器13发送。

***动作的说明***

接着，对本实施方式的攻击活动分析辅助装置01的动作例进行说明。

图3是示出攻击活动分析辅助装置01的动作例的流程图。

如果图4所示的分析历史表203未蓄积在分析历史蓄积部08中，则分析信息计算部04生成分析历史表203，作为初始设定(步骤s001)。

此外，如果需要，则分析信息计算部04生成监视对象14和监视对象15的设备管理表204。

警告信息收集部02从入侵检测装置12定期地接收检测日志，将接收到的检测日志存储在警告信息蓄积部06中(步骤s002)。

入侵检测装置12在未检测到攻击活动的情况下也定期地发送检测日志。入侵检测装置12在未检测到攻击活动的情况下，发送与检测到攻击活动时的检测日志不同的检测日志。例如，入侵检测装置12发送图9的警告名的栏为空栏的检测日志。

警告信息收集部02判定接收到的检测日志是否通知检测到攻击活动的检测日志(步骤s003)。例如，警告信息收集部02判定在接收到的检测日志的警告名的栏中是否设定有值。

如果接收到的检测日志是通知检测到攻击活动的检测日志，则处理转移到步骤s004。另一方面，如果接收到的检测日志不是通知检测到攻击活动的检测日志，则处理返回步骤s002。

这里，假设警告信息收集部02接收到图9所示的检测日志301。即，假设由入侵检测装置12检测到dos攻击。

在步骤s003为“是”的情况下，即在入侵检测装置12中检测到攻击活动的情况下，警告信息收集部02将从入侵检测装置12接收到的检测日志输出到分析信息计算部04。

分析信息计算部04从分析历史蓄积部08取得与从警告信息收集部02取得的检测日志所示的警告名对应的分析历史表203(步骤s004)。具体而言，分析信息计算部04取得与图9的检测日志301的警告名即dos攻击对应的图4的分析历史表203。

接着，分析信息计算部04从分析历史表203提取表示与检测日志所示的通信目的地共同的通信目的地的分析历史(步骤s005)。

在图4的例子中，分析信息计算部04提取通信目的地为web服务器的分析历史编号1、3、4、5、10的分析历史。

接着，分析信息计算部04对在步骤s005中提取出的分析历史的相似度进行分析(步骤s006)。

在相似度的分析中使用相似历史比较表205。具体而言，分析信息计算部04计算检测日志所示的检测到当前攻击活动的时刻与分析历史编号1、3、4、5、10的“检测过去攻击活动时的状况”的“产生时段”所示的时段的相似度。此外，分析信息计算部044计算检测日志所示的检测到当前攻击活动时的通信量与分析历史编号1、3、4、5、10的“检测过去攻击活动时的状况”的“通信量”所示的通信量的相似度。此外，分析信息计算部04计算分析历史编号1、3、4、5、10的“检测过去攻击活动时的状况”的“产生时段”所示的时段与“检测规则作为前提的状况”的“产生时段”所示的时段的相似度。此外，分析信息计算部04计算分析历史编号1、3、4、5、10的“检测过去攻击活动时的状况”的“通信量”所示的通信量与“检测规则作为前提的状况”的“通信量”所示的通信量的相似度。进而，分析信息计算部04计算分析历史编号1、3、4、5、10的“检测过去攻击活动时的状况”的“目标”所示的设备的种类与“检测规则作为前提的状况”的“目标”所示的设备的种类的相似度。

在图9的检测日志301中，产生时刻为“10：18”，通信量为“5500访问/分”。因此，在与当前攻击活动之间的关系中，对分析历史编号1、3、4赋予较高的相似度。此外，在图6的“检测规则作为前提的状况”中，产生时段为“10：00～12：00”，“通信量”为“5000”，“目标”为“web”。因此，在与检测规则之间的关系中，也对分析历史编号1、3、4赋予较高的相似度。另外，在本实施方式中，相似度的计算方法本身是任意的。

其结果是，在图6的例子中，分析信息计算部04选择相似度较高的分析历史编号1、3、4的分析历史，作为适合于新产生的检测日志分析的历史。

然后，分析信息计算部04将分析历史编号1、3、4的分析历史(图4的相应记录)输出到警告重要度估计部05。

警告重要度估计部05从分析信息计算部04取得分析历史，按照取得的分析历史的重要度，经由显示装置10向操作员提示所取得的分析历史(步骤s007)。

警告重要度估计部05在从分析信息计算部04取得的分析历史为一个的情况下，经由显示装置10向操作员提示所取得的分析历史。

另一方面，在从分析信息计算部04取得的分析历史为多个的情况下，警告重要度估计部05判定分析历史的重要度。然后，警告重要度估计部05按照重要度的顺序决定多个分析历史之间的序列，按照所决定的序列，经由显示装置10向操作员提示多个分析历史。

分析历史的重要度的判定方法如下所述。

首先，警告重要度估计部05根据分析历史内的“应对处置”中记载的是否需要对策的项目，将需要对策的分析历史重新排列到上位。接着，将在分析历史内的“应对处置”中记载的处置内容的项目中记载有“向客户通报”的分析历史重新排列到上位。

图7示出向警告重要度估计部05通知的分析历史的顺序。在图7的例子中，按照分析历史编号1、3、4的顺序从分析信息计算部04向警告重要度估计部05进行通知。

图8示出由警告重要度估计部05变更顺序后的分析历史的顺序。在图8的例子中，分析历史被变更成分析例示编号3、1、4的顺序。即，记载有“向客户通报”的分析历史编号3的分析历史的重要度最高，记载有“需要对策”的分析历史编号1的分析历史的重要度第2高。

警告重要度估计部05按照图8所示的顺序向操作员提示多个分析历史。

操作员能够参考从警告重要度估计部05提示的分析历史的“应对处置”的栏的记载，研究针对新检测到的当前攻击活动的应对处置。

另外，在由操作员决定针对新检测到的当前攻击活动的应对处置后，分析信息计算部04将表示图9的检测日志301的记载内容和由操作员决定的应对处置的新记录追加到分析历史表203中。

***实施方式的效果的说明***

这样，在本实施方式中，对检测到当前攻击活动时的状况、分别检测到多个过去攻击活动时的状况、以及检测规则作为前提的状况进行分析。然后，在本实施方式中，从多个过去攻击活动中选择适合于当前攻击活动的过去攻击活动，提示针对选择出的过去攻击活动的应对处置。因此，根据本实施方式，即使是经验较少的分析员(操作员)，也能够采取适合于当前攻击活动的应对处置。

***硬件结构的说明***

最后，进行攻击活动分析辅助装置01的硬件结构的补充说明。

图10所示的处理器101是进行处理的ic(integratedcircuit：集成电路)。

处理器101是cpu、dsp(digitalsignalprocessor：数字信号处理器)等。

图3所示的存储装置102是ram(randomaccessmemory：随机存取存储器)、rom(readonlymemory：只读存储器)、闪存、hdd(harddiskdrive：硬盘驱动器)等。

图3所示的网络接口103是执行数据的通信处理的电子电路。

网络接口103例如是通信芯片或nic(networkinterfacecard：网络接口卡)。

此外，在存储装置102中还存储有os(operatingsystem：操作系统)。

而且，os的至少一部分由处理器101执行。

处理器101一边执行os的至少一部分，一边执行实现警告信息收集部02、监视信息收集部03、分析信息计算部04和警告重要度估计部05的功能的程序。

处理器101执行os，由此进行任务管理、存储管理、文件管理、通信控制等。

此外，表示警告信息收集部02、监视信息收集部03、分析信息计算部04和警告重要度估计部05的处理结果的信息、数据、信号值和变量值中的至少任意一方存储在存储装置102、处理器101内的寄存器和高速缓冲存储器中的至少任意一方中。

此外，实现警告信息收集部02、监视信息收集部03、分析信息计算部04和警告重要度估计部05的功能的程序也可以存储在磁盘、软盘、光盘、高密度盘、蓝光(注册商标)盘、dvd等移动存储介质中。

此外，也可以将警告信息收集部02、监视信息收集部03、分析信息计算部04和警告重要度估计部05的“部”改写成“电路”或“工序”或“步骤”或“处理”。

此外，攻击活动分析辅助装置01也可以通过处理电路实现。处理电路例如是逻辑ic(integratedcircuit：集成电路)、ga(gatearray：门阵列)、asic(applicationspecificintegratedcircuit：面向特定用途的集成电路)、fpga(field-programmablegatearray：现场可编程门阵列)。

该情况下，警告信息收集部02、监视信息收集部03、分析信息计算部04和警告重要度估计部05分别作为处理电路的一部分来实现。

另外，在本说明书中，将处理器、存储器、处理器与存储器的组合以及处理电路的上位概念称作“处理线路”。

即，处理器、存储器、处理器与存储器的组合以及处理电路分别是“处理线路”的具体例。

标号说明

01：攻击活动分析辅助装置；02：警告信息收集部；03：监视信息收集部；04：分析信息计算部；05：警告重要度估计部；06：警告信息蓄积部；07：监视信息蓄积部；08：分析历史蓄积部；09：输入装置；10：显示装置；11：防火墙；12：入侵检测装置；13：代理服务器；14：监视对象；15：监视对象；16：外部网络；17：dmz网络；18：内部网络；101：处理器；102：存储装置；103：网络接口；104：显示接口；105：输入接口。