信息处理系统、信息处理方法和程序技术方案

为了在包括网络以及经由网络进行通信的多个构成要素的系统中，当检测到攻击时，容易推定配合或参与了攻击的构成要素，信息处理系统，具有：取得部，取得包括网络以及通过所述网络进行通信的多个构成要素的系统的日志数据；输出部，当在所述系统检测到攻击时，基于所述日志数据和所述系统的网络结构信息，输出包含与所述攻击的路径相关联的所述构成要素的信息的1个以上的攻击路径的信息。息的1个以上的攻击路径的信息。息的1个以上的攻击路径的信息。

【技术实现步骤摘要】
【国外来华专利技术】信息处理系统、信息处理方法和程序


[0001]本专利技术涉及信息处理系统、信息处理方法和程序。

技术介绍

[0002]存在一种用于实现车辆用的SOC(安全操作中心)的技术，其通过分析来自安装在诸如汽车的车辆上的安全传感器的输出数据来检测诸如网络攻击之类的攻击，并确定其影响范围等。
[0003]例如，已知有在SOC服务器中，基于从车载网络发送的日志数据，检测异常动作，推定影响的范围、危险的程度、威胁的种类或原因等，向车辆发送对应指示的系统(例如，参照专利文献1)。
[0004]【现有技术文献】
[0005]【专利文献】
[0006]【专利文献1】日本特开2020
‑
119090号公报

技术实现思路

[0007]【专利技术所要解决的课题】
[0008]为了针对网络攻击等攻击采取对策，在由多个阶段构成的攻击中，优选在确定了配合或参与了该攻击的系统的构成要素之后，明确(可以从该构成要素的特征导出)由攻击产生的事件。特别地，在诸如由多个构成要件构成的车辆的系统中，很难在不确定配合或参与攻击的系统的构成要件的情况下将攻击成功的因素或攻击可能发生的事件明确化。
[0009]在专利文献1中，例如公开了将与产生表示异常动作的日志数据的装置连接在同一总线上的装置推定为异常动作所带来的影响的范围等，但仅凭此，难以推定配合或参与了攻击的装置。
[0010]本专利技术的一个实施方式是鉴于上述问题点而完成的，在包括网络以及经由网络进行通信的多个构成要素的系统中，当检测到攻击时，容易推定配合或参与了攻击的构成要素。
[0011]【解决课题的手段】
[0012]为了解决上述课题，根据本专利技术的一个实施方式的信息处理系统，具有：取得部，取得包括网络以及通过所述网络进行通信的多个构成要素的系统的日志数据；和输出部，当在所述系统检测到攻击时，基于所述日志数据和所述系统的网络结构信息(Network configuration information)，输出包含与所述攻击的路径相关联的所述构成要素的信息的1个以上的攻击路径的信息。
[0013]【专利技术的效果】
[0014]根据本专利技术的一个实施方式，在包括网络和通过网络进行通信的多个构成要素的系统中，当检测到攻击时，容易推定配合或参与攻击的构成要素。
附图说明
[0015]图1是示出根据一个实施方式的信息处理系统的整体结构的示例的图。
[0016]图2是示出根据一个实施方式的车载网络的结构的一例的图。
[0017]图3是示出根据一个实施方式的计算机的硬件结构的示例的图。
[0018]图4是示出根据一个实施方式的SOC服务器的功能结构的示例的图。
[0019]图5是示出根据一个实施方式的推定部的功能结构的示例的图。
[0020]图6A是示出根据一个实施方式的网络结构信息的示例的图(1)。
[0021]图6B是示出根据一个实施方式的网络结构信息的示例的图(2)。
[0022]图7A是示出根据一个实施方式的网络结构信息的示例的图(3)。
[0023]图7B是示出根据一个实施方式的网络结构信息的示例的图(4)。
[0024]图8A是示出根据一个实施方式的网络结构信息的示例的图(5)。
[0025]图8B是示出根据一个实施方式的网络结构信息的示例的图(6)。
[0026]图9A是示出根据一个实施方式的网络结构信息的示例的图(7)。
[0027]图9B是示出根据一个实施方式的网络结构信息的示例的图(8)。
[0028]图10A是示出根据一个实施方式的网络结构信息的示例的图(9)。
[0029]图10B是示出根据一个实施方式的网络结构信息的示例的图(10)。
[0030]图11是示出根据一个实施方式的日志数据的示例的图。
[0031]图12是示出根据一个实施方式的SOC服务器的处理的示例的流程图。
[0032]图13是示出根据一个实施方式的关联日志提取处理的示例的流程图。
[0033]图14A是用于对根据一个实施方式的关联日志提取处理进行说明的图(1)。
[0034]图14B是用于对根据一个实施方式的关联日志提取处理进行说明的图(2)。
[0035]图15是示出根据一个实施方式的日志数据的关联处理的示例的流程图。
[0036]图16是用于对根据一个实施方式的基于间接比较的提取处理进行说明的图。
[0037]图17是示出根据一个实施方式的构成要素的确定处理的示例的流程图。
[0038]图18是用于对根据一个实施方式的构成要素的确定处理进行说明的图。
[0039]图19是示出根据一个实施方式的连接关系的确定处理的示例的流程图。
[0040]图20是用于对根据一个实施方式的连接关系的确定处理进行说明的图。
[0041]图21是示出根据一个实施方式的攻击路径的确定处理的示例的流程图。
[0042]图22是用于对根据一个实施方式的攻击路径的确定处理进行说明的图。
具体实施方式
[0043]以下，参照附图说明本专利技术的实施方式。另外，以下说明的实施方式是一个示例，应用本专利技术的实施方式不限于以下的实施方式。
[0044]<整体结构>
[0045]图1是示出根据一个实施方式的信息处理系统的整体结构的示例的图。信息处理系统1包括例如能够经由通信网络彼此通信的SOC(安全操作中心)服务器10、SIRT(安全事件响应小组)服务器40等。
[0046]SOC服务器10是具有计算机的结构的信息处理装置、或包括多个信息处理装置的系统。SOC服务器10，例如取得汽车等车辆20发送的车载网络100的日志数据，使用取得的日
志数据，进行对车辆20的网络攻击的检测以及攻击路径的确定等的车辆用的安全监视。例如，当检测到针对车辆20的网络攻击(以下简称为“攻击”)时，SOC服务器10向SIRT服务器40等发送包括表示检测到攻击的信息和关于1个以上攻击路径的信息的报告。
[0047]在此，所谓攻击路径，表示与检测到的攻击的路径相关联的车载网络100的构成要素、该构成要素间的连接关系、或攻击的进行方向等。优选的是，攻击路径是以将与车载网络100连接的构成要素作为节点、将通信路径作为链路的有向图来表现攻击的进行的路径。但是，不限于此，攻击路径可以是不包含方向的无向图来表现的路径，也可以是列举了配合或参与攻击的构成要素的路径等。
[0048]SOC服务器10从收集自1个以上的车辆20的日志服务器30等取得1个以上的车辆20发送的日志数据31。但是，不限于此，SOC服务器10也可以经由移动通信网络从1个以上的车辆20取得1个以上的车辆20发送的日志数据31。例如，SOC服务器10可以具有日志服务器30的功能。
[0049]另外，SOC服务器10例如可以经由互联网等的通信网络本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种信息处理系统，具有：取得部，取得包括网络以及通过所述网络进行通信的多个构成要素的系统的日志数据；和输出部，当在所述系统检测到攻击时，基于所述日志数据和所述系统的网络结构信息，输出包含与所述攻击的路径相关联的所述构成要素的信息的1个以上的攻击路径的信息。2.根据权利要求1所述的信息处理系统，其中，具有推定部，其通过将所述取得部取得的所述日志数据中的规定期间的日志数据关联起来，来推定所述1个以上的攻击路径。3.根据权利要求2所述的信息处理系统，其中，所述推定部使用所述系统的网络结构信息来关联所述规定期间的日志数据。4.根据权利要求3所述的信息处理系统，其中，所述网络结构信息包括所述网络的拓扑的信息。5.根据权利要求4所述的信息处理系统，其中，所述推定部使用所述网络的拓扑的信息来确定与所述攻击的路径相关联的所述构成要素之间的连接关系，所述1个以上的攻击路径的信息包括表示与所述攻击的路径相关联的所述构成要素之间的连接关系的信息。6.根据权利要求3所述的信息处理系统，其中，所述网络结构信息包括与所述网络连接的构成要素间的通信模式的信息。7.根据权利要...

【专利技术属性】
技术研发人员：千叶靖伸，
申请(专利权)人：NTT安全日本株式会社，
类型：发明
国别省市：