@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00192156,
 author = {千田, 忠賢 and 鐘本, 楊 and 青木, 一史 and 三好, 潤 and Nariyoshi, Chida and Yo, Kanemoto and Kazufumi, Aoki and Jun, Miyoshi},
 book = {コンピュータセキュリティシンポジウム2018論文集},
 issue = {2},
 month = {2020-10-15},
 note = {インシデント調査では，分析者が被害の発生した環境からネットワーク・端末レベルのログを収集・分析し，攻撃ベクトルや情報漏えいの有無など，攻撃者の一連の行動 (攻撃シナリオ) を再構築することが必要となる．しかし，既存手法では自動で攻撃シナリオを再構築できておらず，分析者は依然としてインシデント調査に多くの時間を費やしている．本論文では，インシデントが発生した際に収集したログから，攻撃シナリオを自動で再構築する手法を提案する．インシデントに関係するログを抽出する手法は既に多く提案されているが，攻撃シナリオを再構築するものはいまだに存在していなかった．提案手法では，攻撃者の行動を形式文法で定義する．形式文法で定義された行動を，収集したログから検出し行動間の関連付けを行った後，攻撃シナリオとして再構築する．評価では，実際に起きた攻撃を再現し収集したログを用い，既存手法と比較することにより提案手法の有効性を示す．, In an incident investigation, the investigator collects network and endpoint logs and analyzes the logs to reconstruct the attack scenarios.Despite the advances made by techniques that make the investigation more efficient,  the reconstruction is still largely a manual process.As a result, the investigation takes an enormous amount of time.In this paper, we present ELL, a formal grammar to define attack scenarios over logs, and show an algorithm to reconstruct the attack scenarios from the logs.Our evaluation with an actual ATP attack demonstrates that ELL has an expressiveness to define the attack scenarios over logs and the algorithm can reconstruct the attack scenarios from the logs.},
 pages = {433--440},
 publisher = {情報処理学会},
 title = {行動表現文法<em>ELL</em>を用いた攻撃シナリオ再構築技術},
 volume = {2018},
 year = {}
}