JP2006504178A - Itインフラにおける総合侵害事故対応システムおよびその動作方法 - Google Patents

Itインフラにおける総合侵害事故対応システムおよびその動作方法 Download PDF

Info

Publication number
JP2006504178A
JP2006504178A JP2004546528A JP2004546528A JP2006504178A JP 2006504178 A JP2006504178 A JP 2006504178A JP 2004546528 A JP2004546528 A JP 2004546528A JP 2004546528 A JP2004546528 A JP 2004546528A JP 2006504178 A JP2006504178 A JP 2006504178A
Authority
JP
Japan
Prior art keywords
information
infringement
unit
accident
comprehensive
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004546528A
Other languages
English (en)
Inventor
ウンホ チェ
Original Assignee
ウンホ チェ
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ウンホ チェ filed Critical ウンホ チェ
Publication of JP2006504178A publication Critical patent/JP2006504178A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)

Abstract

本発明は,コンピュータシステムおよびネットワーク,アプリケーション,インターネットサービスなどからなる全国的,または,全社的なITインフラ(Information Technology Infrastructure )における総合侵害事故対応システムおよびその動作方法に関するものであって,保護対象にとって脅威となる広範囲な侵害事故要素(ハッキング,ウイルス,ウォーム,サイバーテロ,ネットワークスパイ,情報戦などの侵害事故および脆弱性情報)を自動的に収集/分類し,該組織別に必要な方式で情報を加工/分析して用いることができ,蓄積された情報保護関連情報の安全な共有システムおよびネットワーク提供,各侵害事故に対する攻撃評価と早期警報が可能であり,新しい侵害事故に対するテスト(シミュレーション)を遂行する。本発明を用いると,ハッキング,ウイルス,サイバーテロなどのような様々な侵害事故に対する情報を安全に共有できるだけでなく,各侵害事故に対する攻撃評価と早期予報/警報を通じて被害を最小化することができ,各侵害事故に対する攻撃評価とテスト(シミュレーション)とを遂行することにより効率のよい侵害対応が可能である。さらに,コンピュータフォレンジックDBを運営することにより,刑事/民事訴訟など,法的対応が必要な侵害事故発生時,証拠確保が可能になり,資産情報を管理して侵害事故による被害と復旧順位および復旧期間を自動的に算定することにより,事後管理が容易になる。

Description

本発明は,ITサイバー上における総合侵害事故対応システムおよびその動作方法に関し,より詳細には,システムに脅威となる広範囲な侵害事故要素(ハッキング,ウイルス,ウォーム,サイバーテロ,ネットワークスパイおよび情報戦などの侵害事故および脆弱性情報)に関する情報を自動的に収集/分類し,該組織別に適した方式で情報を加工/分析して利用でき,蓄積された情報保護関連情報の安全な共有および提供,各侵害事故に対する攻撃評価と早期警報が可能であり,また,新たな侵害事故および攻撃方法に対するテスト(シミュレーション)を遂行することにより,効率のよい侵害事故対応が可能な総合的な侵害事故対応システムとその動作方法に関する。
インターネットの拡散により,個人のインターネットバンキング,電子商取引の利用が急速に増加しており,また,企業,政府,銀行のサービスおよびマーケッティングがインターネットショッピングモール,ホームページなどを中心として急速に増加している。
このような状況において,個人情報やクレジットカードなど,金融信用情報や企業のマーケッティング,新製品開発情報を不当に取得したり,大規模インターネットサービスの中断,または,サービス不能事態を誘発したりするための各種不法な行為が漫然している。このような不法な行為,例えば,不法なハッキングや不特定多数を狙ったウォーム/ウイルスの流布などを防止し,これからのシステムを防御するための多数の侵入遮断システム,侵入探知システム,ウイルスワクチンなど,各種の情報保護システムが設けられている。しかし,このような各種情報保護システムにおいては,様々な不法行為に対する対応方法,パッチなどを互いに共有できず,各々,機関/会社毎に別途に独立して運営されている。
また,不当に金銭を受けた内部者や外部の不法ハッカーが会社の会員情報,新製品開発情報,金融取引情報などをシステムに不法接続して,ディスケット,ハードディスク,CD−ROM等の格納媒体に販売して流出させる事件が頻繁に発生している。
このような企業において,企業情報は,企業運営に必要であって,社内のみで制限的に使用され,企業情報を対外的に公開することは現実的に制限されている。即ち,企業が自ら選択して公開する情報の内容は,大部分,企業のイメージ向上に寄与できる宣伝性内容程度に制限されているが,企業の新製品,サービス,マーケッティング情報をハッキングして競業他社に販売したり,会社のイメージ損傷を狙ってサービスの中止や障害を起こしたり,また,ホームページなどをハッキングし,悪性ウイルス/ウォームなどを伝播する不法な事例が増加している。従って,これに対処する人材の確保,必要な情報保護製品の購買,情報保護組織運営などの措置を並行して行わなければならないが,経済的な理由で遂行できない場合が多い。
従って,大部分,少数の精鋭を投入することで,不法行為に対して効率よく対処できる全社的な,または,全国的な総合侵害事故対応システム(統合保安管制示ステム)を構築し,運営する必要がある。
本発明は,このような必要性によって着目したものであって,情報共有および分析センター(ISAC/S:Information Sharing & Analysis Center/System;以下,“ISAC”という)形態で実現された全社的総合侵害事故対応システム(または,統合保安管制システム)を構築する方法を提案し,これらのシステムと他のISACシステムや“企業統合情報保護管理システム(Enterprise Security Management System;
以下,“ESM”という)”等とが互いに連携して対応するネットワークを構築しようとする際,ISACとISAC,ESMとESM,ISACとMulti−ESMなどの方式で“信頼情報共有ネットワーク(Trusted Information Sharing Network)”を構築することにより,ハッキング/サイバーテロなどに対抗する情報の共有を可能にする方法に関する。
より詳細には,個人や民間のIT情報,会社の情報保護関連脆弱性情報などを遠隔地で相互間に共有すると共に,ハッキング,ウイルス,サイバーテロなどの認可されていない接続を含む侵害事故に総合的に対応できるように構成された情報共有および分析センター(ISAC/S:Information Sharing & Analysis Center/System)形態の全社的総合侵害事故対応システム(統合保安管制ステム),および,これらのISACおよびESM間の情報共有のための信頼情報共有ネットワーク(Trusted Information Sharing Network)の構築方法に関するものである。
図1は,個人情報やクレジットカード番号のような金融信用情報が流通される,一般的なインターネットサービスシステムの構成図である。
図1に示すように,一般的なインターネットサービスシステムは,使用者コンピュータ110,インターネット120,ISP122,ルータ124,スイッチングハブ126,WAPサーバ140,ウェブサーバ150,メールサーバ160,情報共有サーバ170,データベースサーバ180などからなる。
即ち,1人以上の使用者が使用者コンピュータ110を通じてインターネット120に物理的に接続し,会員加入や購買のための金融情報などの取得を要請すると,要請された情報の提供経路を最適化するルータ124と,情報の伝送速度を向上させるために受信されたパケットデータを解析し,データの最終の目的地を選別して送信するスイッチングハブ126と,使用者コンピュータ110のウェブブラウザーにより物理的に接続された状態で,1人以上の使用者が選択された投合情報ウェブページを使用者コンピュータ110に表示するウェブサーバ150と,投合情報ウェブページ上でなされる情報交換を通じて使用者相互間で情報を共有できるように支援する情報共有サーバ170と,使用者および使用者の投合行為に該当する情報を格納するデータベースサーバ180と,使用者相互間に結ばれた投合要請および投合結果の内容を,メールを通じて自動的に伝送するメールサーバ160と,使用者が移動通信端末機を通じて投合情報を要請すると,無線通信網を通じて伝送されるデータのプロトコルをインターネット120での情報伝送プロトコルに変換するワァプ(WAP:Wireless Application Protocol,
以下,WAPという)ゲートウェイ130と,WAPゲートウェイ130を通じて伝送された情報要請データを受信してCGI(Common Gateway Interface)スクリップトを通じてコンテンツデータベースに格納された1つ以上のコンテンツデータを検索して移動通信端末機に表示するWAPサーバ140などを含む。
使用者コンピュータ110は,インターネットサービス提供者(ISP : Internet Service Provider)122を通じてインターネット120に接続することもでき,LANを通じて接続することもできる。ウェブサーバ150は,1つ以上の投合情報ウェブページを使用者コンピュータ110に提供するウェブページ呼出モジュールを含む。
情報共有サーバ170は,ウェブページを通じて使用者の会員加入およびインターネット購買などを処理する会員加入モジュールと,会員加入した使用者のセクションおよびグループ設定を支援する会員セクション/グループモジュールと,使用者の投合要請情報を受信して投合を希望する使用者との情報共有および購買情報を処理する投合要請処理モジュールと,1人以上の使用者に対する投合要請内訳を検索する投合検索モジュールと,投合した使用者相互間にホームページを同時に共有できるように支援するホームページ共有モジュールとを含む。
データベースサーバ180は,会員に加入した1人以上の会員および使用者に対する詳細情報を格納する会員データベースと,会員に登録された使用者のセクションおよびグループ設定内訳情報を格納するセクション/グループデータベースと,使用者相互間に決定された投合結果情報を格納する投合データベースと,使用者により選択可能なホームページ製作データと,使用者の選択により完成したホームページデータを格納するホームページデータベースとを含む。
上記のように構成された個人間,部署間および組織間のインターネットサービスシステムにおいては,使用者に対して個人の関心分野の情報を分類した後,セクション別およびグループ別に情報を共有できるように,共有しようとする情報のセクションおよびグループを設定する。そして,1つ以上の使用者端末機に1つ以上の情報を表示して,情報の共有を希望する使用者と意気投合がなされるようにして,使用者の相互間に意気投合がなされると,上記使用者端末機を通じて各々の情報を共有し活用するように構成される。
上記のように,インターネット120上に情報共有サーバ170を構築し,多数の使用者が接続して情報を共有できるようにしているが,加入していない未加入者が悪意に侵入して,個人情報やクレジットカードおよびインターネットバンキングに使われる公認認証体系の情報など,金融信用情報の流通におけるシステム情報を獲得し,その後,不法に使用する場合が頻繁に発生しており,これに適切に対処できていない。また,この他にも悪意を有する者がコンピュータウイルスやウォームなどを拡散させて情報を破壊したり,重要サービスを麻痺させて情報通信基盤保護法に規定された重要施設に対するサイバーテロやサイバー犯罪などを起こしている。
従来,このようなハッキングなどの侵害事故を処理するためには,被害者が,個々に,該システムに対する被害程度や管理者,ブラックリスト(IP住所のような),事故発生時点までの該システムに対するログ/パッチ情報,履歴管理,そして,バックアップなどに関する情報等を,侵害事故対応チーム(CERT:Computer Emergency Response Team)等の情報保護専門機関に電話やEメールで相談し,該専門機関では,各々の相談内容を受信,自己のシステムに入力し,これに基づいて,侵害事故の内容を分析して判断する。従って,侵害事故分析に幾日,または,幾週もかかっていた。
また,企業体や会社において,電算担当者らがこのようなハッキングなどの攻撃にあった後,責任から逃れるためコンピュータに残っているログ等の侵入記録をフォーマットしてしまう,または,サービスの早急な再開のためにログを残しておかない状態で復旧することのみに関心を有することがある。従って,後になって侵害事故対応チーム(CERT:Computer Emergency Response Team ; 以下,“CERT”という)およびサイバー犯罪を担当する警察および国家情報院など,関係機関が事故事実を知ったとしても,被害状況および攻撃者の情報等証拠の大部分が残っていないので,犯人を索出することが困難な場合が多い。また,CERT,警察システムなどの関係機関システム間に,情報共有のための信頼性のあるネットワークが形成されていないので,自動化した総合的な共助体系を揃えて対応することは困難であった。
一方,現在は,個人や会社などの情報保護担当者が国内外のCERT,または,IBM(登録商標)やSUN(登録商標)などのハードウェア製作社,マイクロソフト(Microsoft)(登録商標)などの運営体制製作社から,脆弱点が公式に認定されたシステム/ネットワーク関連項目を,Eメールを通じて個々に受信格納した後,事故発生に対応している。しかし,このようにして伝えられる脆弱点情報メールがあまり多く,システム運営者やネットワーク管理者がその都度格納/管理することが困難であるだけでなく,その脆弱点と関連する事故が発生しても,これに適切に対応することが困難である。従って,一部の有料/無料サービスを受けたとしても量が多く,各組織の情報保護担当者が必要なシステムに対する情報をフィルタリングするのは一層困難であり,現状では適切に対応し難い。
また,同一な脆弱点項目であることにも拘わらず,分類体系,内容および形式の相異により,互いに区分し難いので,パッチに困難を経ている。
また,上記CERT機関,ハードウェア製作社,または,運営体制製作社などのホームページに接続して,現在運営中のシステムに対する脆弱性を点検して,これを受動的にパッチする方法もある。しかし,このようなパッチ業務は,サービスが遂行されている間には遂行することが困難であって,主にサービスが終了した夜間や休日に脆弱性点検を遂行せざるを得ない。また,毎日発表される新たな脆弱点DBなどの発表資料および内容があまり膨大で,機関や会社において,少数の情報保護人力だけでは充実な脆弱性点検を遂行することができなかった。従って,ハッキングなどの要因となるシステム脆弱性の発生を十分防止できず放置する場合が多くなり,実際に,システムがハッキングされたり,サービスを中断されたりする場合が多くなっている。
また,各組織の情報保護担当者が,自己の保有したシステムの脆弱性および履歴を詳細に把握して,新しく生じる脆弱点を毎日パッチし,これと連携して侵入探知システムから得られる攻撃情報に效果的に対応することは一層困難であり,随時に発生する悪性ウイルスおよびウォームにリアルタイム対応もできないことが現実的な問題点である。
このように,会社の重要情報システムおよび電算センター/電算システム,そして,金融,通信など,情報通信基盤保護法(大韓民国法律6383号)上に定義された主要情報通信基盤施設(CIP:Critical Infrastructure Protection)のような,重要なシステムをハッキングやサイバーテロから保護しなければならない必要が生じているにも拘わらず,それに対する効率の良い,一括的な方法が提示されていない。
このような現状に対応する目的で,前述のESM(企業統合情報保護管理システム; Enterprise Security Management)が開発され,一部使われている。このようなESMは,初期1段階製品ではネットワークやシステムリソース等の各種危険要素を分析し,モニタリングする一種の“管理ツール”であって,侵入遮断システム(F/W),侵入探知システム(IDS),アンチウイルス製品など,既存の多様な会社で生産された(Multi Vendor)情報保護ソリューションを統合して,1つの画面でモニタリングする方法を提供している。
しかし,ESMにおいても,あまり多くのイベントが発生するので,イベントを一定の方法でフィルタリングしたとしても管理者が連携関係や事故対応などの業務を処理するには,原始的で,不便である。ESMを効率良く運営するためには,多くの情報保護専門担当者を投入して分析しなければならないが,大部分の会社や組織は,人員不足により放置されている。
一方,2段階のESMでは,保安情報(イベント)間連携分析,相関関係分析,分析結果の伝播と対応を遂行しているが,今でもなお,多量のデータと分析根拠の不足により侵害事故対応,攻撃評価,早期予報/警報等に対する即時対応はできないでいる。
3段階では,まだ製品として市場には発表されていないが,データマイニング(Data Mining)等を通じた情報相関分析,侵害事故分析システム構築,事故予防機能強化を目標としているが,発注者が要求する一部の部分的な構成のみが実現されている。
従って,このようなサイバー上における効率のよい侵害対応が可能な“総合的な侵害事故対応システムとその動作方法”が提示される必要がある。
図2は,従来方式による侵害事故対応システムの一例であって,ESM210は,侵入探知システム(IDS),侵入防止システム(F/W;Fire Wall),VPN(Virtual Private Network),ウイルスワクチンおよび情報保護のための保安OSなどを含むエージェント/情報保護製品群212と,IDS,F/Wなどを含むESM自体の情報保護のためのESM情報保護体系部213と,カード門(RFカードシステムのような),指紋/虹彩/掌形認識/重量感知などの生体認識手段およびCCTVなどを含む接続統制部214と,これらの各構成要素を制御するESM管理システム部211とからなる。このようなESMは,企業などに含まれている各種システムに発生する事故事実を感知し,それをデータベースに格納する役割を担っている。
ESM管理システム部211は,エージェント/情報保護製品群213から発生する各種イベントに関する情報を総合的に集めて見るといった,一種のモニタリングシステムの機能も有する。即ち,各々のエージェント/情報保護製品群が収集した情報をモニタリングシステムに送ると,モニタ上で4等分,6等分など,必要なだけウィンドウが分割され,一度に見ることができるように情報が表示される。
しかし,従来方式では,このようなESMが各々の情報保護システムに分けられているので,総合的な対応が困難であっただけでなく,ESMにおいて,各製品別にあまり多くの情報を生成するので,それを完全に把握して対応することは容易でなかった。また,事故に対する軽重が把握されていないので不便であり,かつ,事故が発生する前に感知することが困難であったため実効性が劣っていた。
また,3段階のESMにより,事故に対する対応力がある程度向上することを期待したが,3段階のESMによっても統合されたサイバー事故に対する早期警報,コンピュータフォレンジックDBの活用,事故履歴管理,資産評価および復旧期間算定などの拡張された機能と他の外部ISACシステムおよび他のESMとの間の安全な情報共有を通じた統合侵害事故対応は不可能な状況である。
一方,インターネットの利用者の爆発的な増加により,ESMおよびESMに関連した下部情報保護システムに対するイベントおよびログは,その政策によって,一日数十メガからギガ単位の多くのデータを出しているので,国内情報保護の現実上,1〜2人の管理者がこのようなイベントに正確に対応可能な限界を超過している。従って,最近では,このようなイベントを本当に危険な攻撃とに区別して,脅威要素を除去する研究が始まっている。しかし,現実的には困難を経ており,特別な助けを受けていない状況である。即ち,危険度が高い攻撃が発生した場合,これを警報,または,アラームで知らせているが,後で受動的に過去の情報保護および事故履歴などを調べるので,既に被害を受けた状態において復旧しなければならないことが多い。
近年,重要情報の保護のためのESMに対する関心が高まるにつれて,米国,ヨーロッパなど先進国はこのような問題を政府レベルで対処しており,特に,米国は,金融,通信,電力,輸送などの重要情報通信基盤構造分野において,いろいろなESMおよびCERTシステム間のISAC(情報共有および分析センター; Information Sharing & Analysis Center)を17個も運営している。また,これを運営する知識およびノウハウを全て国家機密として取扱うので,内容が公開されていない。韓国でも情報通信基盤保護法第16条に,金融,通信などのISACセンターを設立することを定義しており,民間情報保護専門会社等もこれに対応するために,侵入遮断システムや侵入探知システム,アンチウイルスなど,従来の単純な情報保護製品のイベントおよびログなどを管理することを統合したESMとISACモデルを加味して総合侵害事故対応システム(統合保安管制システム)を構築することを目標として技術開発と人材確保を推進しているが,全体的な資金と技術人力不足により困難を経ている。
情報保護実態に関する研究結果報告書によると,最近の研究趨勢は,次のような4つの実態に基づいてなされている。
1)組織が内・外部からサイバー攻撃を受けている。
2)広範囲なサイバー攻撃が探知されている。
3)サイバー攻撃は深刻な経済損失をもたらし得る。
4)成功的な攻撃防御は,情報保護技術使用以上のものを要求する。
このような実態に対応するために,類似しているサイバーテロおよびハッキング危険に露出可能な同種産業別,または,同種機関/グループ/会社別に,共通対応するESMの構築や,ハッキング,ウォームウイルス,サイバーテロなど,侵害事故に対応する侵害事故対応チーム(CERT : Computer Emergency Response Team)構築/運営,および,様々なESMやCERTを統合管理する情報共有/分析手段としてのISAC,を設立し運営する目的で,法令に明示した各分野に対するセンター設立が具体化されているが,これに適用した技術モデルがない。従って,夫々推進されている実状である。
本発明は,様々な機関システムと連動して,全国的,または,全社的なシステムおよびネットワーク,アプリケーション,インターネットサービスに関連した情報保護情報を収集し,それを加工/分析してデータベースに管理し,必要な場合,加工/分析された情報を関連機関システムに提供し,実際システムに対する攻撃事故が予想される場合,攻撃評価を通じた早期警報を発令して予防活動を遂行するだけでなく,自己的な情報保護手段を備える,総合侵害事故対応システムと動作方法を提供することを目的とする。
本発明の他の目的は,テストベッドを用いて,新しい侵害事故に対し,システムと同一な条件でシミュレーションし,その結果をデータベースに格納するだけでなく,保護対象システムの資産を評価し,それに基づいて,事故による被害と復旧期間を算定し,事故発生時,コンピュータフォレンジック技法により格納した過去の事故履歴などを根拠として,告訴/告発措置により経済的な被害補償を受けることができる総合侵害事故対応システムを提供することにある。
本発明の他の目的は,システム情報保護情報の共有を必要とする他の機関システムとの連動のための他機関連動部を提供することにより,信頼性のある情報保護情報の共有が可能な総合侵害事故対応システムを提供することにある。
上記課題を解決するために,本発明による総合侵害事故対応システムは,所定の通信網を介して,保護を必要とする,保護対象となるコンピュータシステムおよびネットワーク,アプリケーション,インターネットサービスなどと関連した保安情報を収集し,ソースデータを格納する情報収集/管理部と,分析アルゴリズムを用いて収集された保安情報を加工および分析し,分析結果を格納・管理する情報加工/分析部と,加工/分析された保安情報を1つ以上の保護対象システム,または,外部システムに伝達する情報共有/検索/伝播部と,必要に応じて保安情報を所定の形式で出力するディスプレー部を含む運営システム部と,システム自体の情報保護のためのシステム自己情報保護部と,脆弱性情報を格納する脆弱性データベースとソース保安情報および加工/分析された情報を格納するソース/加工DBを含むデータベース部と,外部システムとの信頼性のある情報共有のための他機関連動部とを含む。
情報収集/管理部は,国内外のいろいろな機関,または,システムハードウェア製作社,運営体制(OS)製作社から脆弱点と公式に認定されて提供される項目を収集/分類/加工する脆弱点目録収集部と,脆弱点を周期的に点検し,それから発生した結果を収集する脆弱点スキャニング結果収集部と,ウェブロボットおよび検索エンジンを含む自動化した収集ツールを用いてハッキングを含む事故に対する情報と対処方法に対し,大学,研究所および政府機関らが発表した情報保護資料や参考文献を収集して格納する情報保護資料収集部と,ウイルス警報システム,エージェントおよび検索エンジンを含む自動化した収集ツールを用いて,コンピュータウイルスと関連した情報を収集して格納するウイルス情報収集部と,電話,ファックス,メールおよびウェブを含む通信手段を用いて侵害事故を申告受けて,侵害事故情報を受付/格納する侵害事故申告収集部と,総合侵害事故対応システムに関連しているシステムおよびネットワーク装備のシステム情報と,その重要度(資産価値)に関する資産情報を収集した後,定形化して格納するシステム資産情報収集部と,総合侵害事故対応システムに含まれている統合管理対象である侵入遮断システム(F/W),侵入探知システム(IDS),政策管理システム,ウイルスワクチンシステム,PC情報保護システム,逆追跡システム,認証システム,ネットワーク装備,仮想私設ネットワーク(VPN)等,1つ以上の情報保護関連製品から発生する情報保護関連イベントをリアルタイムで収集/格納する情報保護関連イベント収集部のうち,1つ以上を含む。
情報加工/分析部は,情報収集/管理部で収集された各種保安情報を様々な分類で検索および加工できるように正規化し,データベースとして構築するデータウェアハウジング部(Dataware Housing Part)と,データウェアハウジング部で構築されたデータベースに格納された情報にデータマイニング,または,知識基盤の分析アルゴリズムを適用して侵害事故および脆弱点,主要資産情報との相関関係,認識可能なパターンおよび事故/脆弱点を予防するための分類方法を含む分析アルゴリズムを管理し,該分析アルゴリズムにより分析を行う分析部とを含む。
運営システム部は,一種の総合状況室(Cyber Warroom)であり,加工/分析された情報保護情報を管理し,1つ以上の,保護対象システム,または,外部システムに伝達する情報共有/検索/伝播部と,必要とする情報保護情報を所定の形式で出力するディスプレー部の他に,侵害事故の水準を評価する侵害攻撃評価部と,新しく発見された侵害事故の場合,同一なシステム条件で侵害事故に対する結果をシミュレーションするテストベッド(Test−Bed)の中,1つ以上を更に備えることができる。
また,上記運営システム部は,テストベッド,または,侵害攻撃評価部の結果によって保護対象システム,または,外部システムに侵害事故に対する警報を伝達する早期予報/警報部(または,予報/警報システム; Early Warning System)を更に含むことができる。
また,運営システム部は,保護対象システムを含むシステムの重要度または資産価値を評価し,評価されたシステムの重要度に基づいて,侵害事故発生時,被害程度と復旧期間を予測する資産評価/復旧期間算定部を更に含むことができる。
また,上記運営システムは,テストベッドにおいて,シミュレーションされた侵害事故結果情報から教育情報を算出して格納/管理し,教育を必要とする外部端末機に伝送して教育を遂行するオンライン自動教育/訓練部を更に備えることができる。
システム自己情報保護部は,本発明により構築された総合侵害事故対応システム自体の情報保護のための構成要素であって,カード認証,パスワード,そして,虹彩認識,指紋認識,掌形認識,重量感知システムなどの二重化した生体認識器のうち,いずれかの1つ以上を含む物理的情報保護部と,認証システム,侵入遮断システム,ウイルス遮断システム,逆追跡システムおよびウォーターマーキング手段のうち,いずれかの1つ以上を含み,内部情報を保護するネットワーク/システム/文書情報保護部とを含む。
他機関連動部は,外部のシステムと相互交換される情報の管理機能を提供する機関情報管理部と,実際に外部システムとのデータ送受信を行うための暗号化,接続統制およびプロトコル変換を遂行するインターフェース部とを含む。
以上,全ての構成要素は,適切なハードウェアとソフトウェアで具現されることができ,全ての過程が自動的になされるようにする。
以上説明したように本発明によれば,ハッキング,ウイルス,サイバーテロなどのような様々な侵害事故に対して,自動的かつ体系的な対応が可能である。
具体的に考察すると,システムに対して脅威となる広範囲な脅威要素(脆弱性)を自動的に収集/分類し,該組織別に,必要な方式で情報を加工/分析して用いることができる。
また,蓄積された保安情報(侵害事故対応,脆弱点情報等)を効率よく共有することにより,必要な場合,容易に検索/提供を受けることができ,各侵害事故に対する攻撃評価と早期警報とを通じて被害を最小化することができる。また,各侵害事故に対する攻撃評価とテスト(シミュレーション)とを遂行することにより,効率のよい侵害対応が可能である。
更に,コンピュータフォレンジックDBを運営することにより,法的対応を必要とする侵害事故発生時に,証拠確保が可能であり,資産情報を管理して侵害事故による被害と復旧順位および復旧期間を自動的に算定するようにすることにより,事後管理が容易になる。
また,他機関連動機能を用いて侵害事故に対する情報を外部関連機関と信頼性のある方法で共有することにより,侵害事故に対する全体的な共同対応が可能である。
結果的に,本発明によると,サイバー上で発生する各種侵害事故や脆弱性に対する探知,分析および対応を自動化することにより,専門組織を別途に運営することによる業務および費用を低減でき,情報収集および適用,技術確保,人材および組織運営など,全ての要素に対する問題を低減できる環境を提供することができる。
本発明における“保安情報(Security Information)”とは,保護されなければならない情報と関連した全ての保護情報,即ち,“情報保護情報(Information required for protecting specific information to be protected)”を意味する広い概念で理解されなければならない。また,“保安情報”という用語と“情報保護情報”,“保安”という用語と“情報保護”とは同等な意味で使われる。
以下,添付の図面を参考にしつつ本発明の実施の形態に対して詳細に説明する。各図面の構成要素に参照符号を与えることにおいて,同一な構成要素に対しては,たとえ,別の図面上に表示されても,できる限り,同一な符号を与えていることに留意しなければならない。また,本発明の説明において,関連した公知構成,または,機能に対する具体的な説明が本発明の要旨を外れると判断される場合にはその詳細な説明は省略する。
図3は,本発明に係る総合侵害事故対応システムの全体構成を概略的に示すブロック図である。
本発明に係る総合侵害事故対応システムは,図示のように,ウェブ,電話,電子メール,ファックスなどの通信網を通じて保護を必要とする保護対象となるコンピュータシステムおよびネットワーク,アプリケーション,インターネットサービスなどに関連した保安情報を収集し,ソースデータを格納する情報収集/管理部1000と,知識基盤の分析アルゴリズムを用いて収集された保安情報を加工および分析し,分析結果を格納・管理する情報加工/分析部2000と,加工/分析された保安情報を等級別に分類/管理し,1つ以上の保護対象システム,または,外部システムに伝達する情報共有/検索/伝播部3100と必要な保安情報を所定の形式で出力するディスプレー部(Wallscreen,または,多量のモニタセットを意味)とを含む運営システム部3000と,総合侵害事故対応システムの自己の情報保護のためのシステム自己情報保護部4000と,脆弱性情報を格納する脆弱性データベース6100とソース保安情報および加工/分析された情報を格納するソース/加工DB6200とを含むデータベース部6000と,外部システムとの信頼性のある情報共有のための他機関連動部5000と,を含む。
図5に示すように,上記情報収集/管理部は,国内外のいろいろな機関,または,システムハードウェア製作社,運営体制(OS)製作社から脆弱点と公式認定されて提供される項目(脆弱点目録)を収集/分類/加工する脆弱点目録収集部1100と,システム,または,ネットワークの脆弱点を周期的に点検(スキャニング)し,それから発生した結果を収集する脆弱点点検スキャニング結果収集部1200と,ウェブロボットおよび検索エンジンのような自動化した収集ツールを用いて,ハッキングおよびサイバーテロのような侵害事故に対する情報と対処方法について情報保護会社,大学,研究所および政府機関らが発表した情報保護資料や参考文献を収集して格納する情報保護資料収集部1300と,ウイルス警報システム,エージェント,検索エンジンのような自動化した収集ツールを用いて,コンピュータウイルスとウォームと関連した情報を収集して格納するウイルス情報収集部1400と,電話,ファックス,メールおよびウェブのような通信手段を用いて,侵害事故を申告受け,侵害事故情報を事故受付DB6300に格納する侵害事故申告収集部1500と,総合侵害事故対応システムに関連しているシステムおよびネットワーク装備のシステム情報と,その重要度(資産価値)に関する資産情報を収集した後,定形化して格納するシステム資産情報収集部1600と,総合侵害事故対応システムに含まれている統合管理対象である侵入遮断システム(F/W),侵入探知システム(IDS),政策管理システム,コンピュータワクチンシステム,PC情報保護システム,逆追跡システム,認証システム,ネットワーク装備および仮想私設ネットワーク(VPN)のうち,いずれかの1つ以上の情報保護関連製品から発生するイベントをリアルタイムで収集/格納する情報保護関連イベント収集部1700と,を更に含むことができる。しかし,ここに限るのではない。
情報収集/管理部を構成する各々の細部構成要素の機能については図5〜図11を参考しながらより詳細に説明する。
情報加工/分析部2000は,情報収集/管理部1000で収集された各種情報を検索および加工できるように,いろいろな分類で正規化して,データベースで構築するデータウェアハウジング部(Dataware Housing Part; 図12の 2100)と,上記データウェアハウジング部2100で構築されたデータベースに格納された情報にデータマイニング,または,知識基盤の分析アルゴリズムを適用して,および,侵害事故および脆弱点,主要資産情報との相関関係,認識可能なパターン,事故/脆弱点を予防するための分類方法などのような分析アルゴリズムを適用して分析を行う情報分析部2200とを含む。
情報分析部2200は,また,特異ウォーム,ウイルスの伝播経路分析,主要分布時間,主要攻撃者,重要資産に分類された対象システム情報,攻撃種類,分析可能なパターン情報,危険度別対応措置および前もって設けられたセンサー位置などを検索および自動的に分析する機能を更に備えることができる。
このようなデータウェアハウジング部および情報分析部については図12および図13を参考しながらより詳細に説明する。
運営システム3000は,基本的に,加工/分析された保安情報を管理し,1つ以上の保護対象システムまたは外部システムに伝達する情報共有/検索/伝播部3100と,必要とする保安情報を所定の形式で出力するディスプレー部(
Wallscreen,または,多量のモニタセットを意味する)とを備え,その以外に,侵害事故の水準を評価する侵害攻撃評価部3200,および/または,新しく発見された侵害事故に対して,同一なシステム条件で侵害事故に対する結果をシミュレーションするテストベッド(Test−Bed; 3300)のうち,1つ以上を更に備えることができる。
また,運営システム3000は,テストベッド,または,侵害攻撃評価部の結果によって,保護対象システムもしくは外部システムに発生した,または今後発生する可能性のある侵害事故に対する警報を伝達する早期予報/警報部(または,予報/警報システム; Early Warning System)3400;および/または保護対象システムを含むシステムの重要度もしくは資産価値を評価し,評価されたシステム重要度に基づいて,侵害事故発生時,被害程度と復旧期間を予測する資産評価/復旧期間算定部3500とを更に含むことができる。このような攻撃評価部および資産評価/復旧期間算定部については図20および図22を参考しながらより詳細に説明する。
攻撃評価部は,情報加工/分析部と連動して侵害事故申告受付部が受けたサイバーテロ事故に対し,その攻撃内容を評価し,過去の攻撃技法および回数などで攻撃を分類し,予測可能なシナリオを構成して,テストベッドで実際にシミュレーションした結果を算出する。また,高い水準であると評価された攻撃技法および回数を記録したブラックリストIP抽出およびそれに対する対応現況管理(図23参考),事故発生時にコンピュータフォレンジックDBを自動的に生成(図21参考)する機能を有している。
早期予報/警報部3400は,更に,予報システムと警報システムとに区分でき,予報システムでは,脆弱点分析後,DB化した侵害事故情報,または,脆弱性目録を参照して,前もって定義された重要度により,攻撃行為のリアルタイム分析,重要パケット収集分析,予報/警報発令および伝播の機能を遂行し,警報システムは,重要トラヒック変動推移,前もって定義された脅威の増加趨勢,攻撃情報の総合,リアルタイム対応措置別ステップ決定/警報方法選択,事故および警報履歴管理を遂行する。
運営システムのディスプレー部(Wallscreen,または,多量のモニタセットを意味する)には,総合侵害事故対応システムに関連した各機関,支店や各会員社別に分析した後,DB化した脆弱点目録,リアルタイム分析された重要攻撃情報,収集/分析された重要パケット情報,予報/警報発令および伝播情報,重要トラヒック,脅威,攻撃情報の総合情報,リアルタイムステップ決定/警報情報,事故および警報履歴管理情報,特異(ウォーム)ウイルス伝播経路情報,時間情報,攻撃者情報,対象情報,種類,パターン情報,危険度情報,センサー位置情報などの(これに限るのではない)サイバーテロやハッキング/ウイルスやウォームの伝播などの事故現況および対応水準情報がディスプレーされる。
また,侵害事故申告受付内訳,侵害事故処理結果と予報/警報発送情報などを出力することができ,該機関システムのディスプレー部には未処理された侵害事故受付現況と新規脆弱性目録,予報/警報現況(予報/警報発送日付,脆弱性題目,状態,処理完了状態表示)などが出力され,該機関システムのディスプレーに含まれている侵害事故受付ウィンドウには受け付けられた侵害事故申告内容と侵害事故が受け付けられたホストの情報保護履歴(History)(即ち,解決された脆弱性と未解決された脆弱性,そして,侵害事故履歴)を出力することができる。
また,総合侵害事故処理システムの運営システム部は,脆弱点分析評価遂行の際,商用/フリースキャナを動作して出た結果を適切に抽出し,DBに格納された内容とスキャンされた結果とを比較/分析しなければならない。また,特定のESMの侵入探知システム(IDS)ログを重要度および優先順位別に表示できなければならない。更に,該ホストのOSやアプリケーションのようなホストの過去/現在の侵害事故受付履歴を算出して出力できなければならない。
運営システム部は,全体機関,または,当該機関のホストの侵害事故履歴を管理するべきであり,侵害事故に対する全ての関連内容がファイルに格納されて内部,または,外部の報告書作成時に反映されるべきである。また,脆弱性予報/警報関連ウィンドウでは,新規脆弱性の内容と該機関の関連ホストおよび運営体制などのリストを確認できることにより,ホスト別関連脆弱性,侵害事故履歴,スキャン結果が比較・管理されるべきである。
ESMは,企業統合情報保護管理システムであって,大企業,銀行,保険,通信会社など,大部分の電算システムやセンターを保有した機関/企業等が情報保護製品(Firewall,IDS,Virus等)を統合的に管理するシステムである。これは,主要情報保護製品らを1ケ所にまとめるコンソールのような役割のみを提供している。
本発明による情報収集/管理部,情報加工/分析部および運営システムは,このようなESM部の多くの機能を拡大自動化して,取り替えるものであり,従来のESM機能の他に,更に,詳細データ分析を遂行することができ,侵害事故に対する早期予報/警報,攻撃評価,コンピュータフォレンジックDB生成・管理,脅威管理,機関/会社/組織間に,信頼情報共有ネットワークの運営で,ハッキングなどの攻撃情報が交換できる機能の上位プログラムを更に備える。
運営システムの一部門であるテストベッド3300は,遠隔地から使用者がシミュレーションを通じてハッカーやサイバーテロなどを実行し得る環境を提供するものであって,新規に導入される情報保護製品およびサービスの試験/評価を遂行する機能を更に備え得る。
また,図示してはいないが,運営システムは,テストベッドにおいて,シミュレーションされた侵害事故結果情報から教育情報を算出して格納/管理し,教育を必要とする外部端末機に伝送して教育を遂行するオンライン自動教育/訓練部を更に備えることができる。
本発明により構築された総合侵害事故対応システム自体の情報保護を担当するシステム自己情報保護部は,カード認証部,パスワード認証部,生体(指紋,虹彩,掌形)認識部,CCTV,重量感知部などを含む物理的情報保護部(図16の4100)と,認証システム,侵入遮断システム,ウイルス遮断システム,逆追跡システム,ウォーターマーキングなどを含むネットワーク/システム/文書情報保護部(図16の4200)とを含むことができる。
他機関連動部5000は,外部のシステムと相互交換される情報の管理と実際の外部システムとのデータ送受信のために暗号化された標準フォーマットによって交換される情報に対して加工/分析/統計などの機能を遂行し,各機関の使用者等級によって接続統制を遂行し,外部の関連機関と必要な情報を安全に共有する構成要素である。
データベース部6000は,本発明による総合侵害事故対応方法の実施に必要な各種情報を種類別に格納する多様な下位データベースを含んでも良い。下位データベースの例としては,関連システムに対する各種脆弱点目録および脆弱点点検目録を格納している脆弱性DB6100(図18参考),収集された保安情報のソースデータおよび加工データが格納されているソース/加工DB6200,侵害事故申告受付部を通じて入力された侵害事故情報を格納する事故受付DB6300,脆弱性目録および侵害事故情報のうち,常習して発生するイベントを選別・格納するブラックリストDB6400(図23参考),侵害事故,または,脆弱性目録の中,関連者に早期予報/警報を必要とするイベントだけを選別・格納する警報DB6500,関連システムと使用者などに対する身上情報を格納するプロファイルDB6600,過去に発生した各種侵害事故や脆弱点とそれに対する対処方法と各種ログファイルなどを格納する事故履歴DB6700,侵害事故,または,脆弱点中,犯罪の対象となるイベントと関連した情報を抽出して格納するコンピュータフォレンジックDB6800(図21参考)などがあるが,これに限るのではない。また,このような下位データベースは必要によって2つ以上が1つのデータベースで実現されることもできる。
脆弱性DB6100には,脆弱点目録および脆弱点点検目録の他に,研究所,CERT,ハードウェア,OS製作社らが提供するパッチおよび勧告文(Advisory),そして,攻撃および防禦技法,各種ツール(ユーティリティ)などを重要度および大衆性程度なども追加に格納されていることができる。(図18参考)
収集された保安情報のソースデータおよび加工データが格納されているソース/加工DB6200は,更に,原始DB(または,ソースDB)と加工DBとに分けることができる。原始DBは,ネットワークから独立して別途に電算室に位置するサーバに格納されなければならず,各機関/会社の実際的な侵害事故被害状況,復旧方法および対応記録,ハッキング経由地記録,被害程度,過去履歴など,保安情報のソースデータを格納するDBである。加工DBは,ソースデータが政府機関/言論/他機関/会社に伝播される時,実際に避害にあった会社を推定可能であり,信頼性が喪失される可能性のある全ての情報を匿名で変換した加工データを格納するデータベースである。
事故受付DB6300に格納される具体的なデータは,侵害事故の発生時間,出発IP,経由地IP,最終目標IPおよびシステム情報,申告者/受付者情報,被害程度,関連ログのバックアップ情報などであっても良いが,これに限るのではない。
ブラックリストDB6400(図23参考)は,脆弱性目録および侵害事故情報のうち,同一な攻撃技法,類似する類型,一定期間一定回数以上の繰り返し,同一国家,同一ISP,攻撃対象ポート(Port)の一致などの基準を適用して分析した後,重要資産別優先順位,主要攻撃技法および被害などを考慮して,程度が酷い侵害事故,または,脆弱性と関連した情報を選別・格納するデータベースである。
予報/警報DB6500は,全国的システムや関連会員社,加入会社のシステム,ネットワークおよび情報保護関連者に,重要資産別,期間別,発令等級別,措置事項およびパッチ情報,優先順位など,早期予報/警報機能を遂行しながら,必要なイベントのみを選定してそのイベントに関する情報を格納する。
プロファイルDB6600は,全国的,または,全社的に保護しなければならない対象に登載された関連システムの導入情報,ハードウェア,OS,各種パッチ履歴,メインテナンス情報,類似事故およびサービス中断履歴などと,このようなシステムおよびネットワーク関連装備を運営した使用者,パスワード管理台帳などに対する各種情報を格納している。
事故履歴DB6700は,深刻な侵害事故発生時,過去に発生した各種侵害事故,脆弱点と対処方法,各種ログファイルなどをブラックリストDBと警報DB,そして,実際のソース/加工DBと比較し,総合的な履歴管理遂行結果である履歴内容を整理して格納し,自動メール発送および対応結果を報告書として作成および格納することに用いられる。
コンピュータフォレンジックDB6800(図21参考)は,ブラックリストDBおよび早期予報/警報システムと連携して,重要な侵害事故が予想されたり実際攻撃を遂行したりした対象者およびIPに対する関連記録から,被害程度によって犯罪対象となるイベントと関連した情報を抽出して,今後侵害事故で刑事告発したり経済的な被害および損失を補償受けようとする民事訴訟を提起する際,関連記録として提出されて法的証拠能力を表す基礎的な情報を格納する。
その他,本発明に係る総合侵害事故対応システムを構成する各構成要素の細部的な機能および構成は,図5〜図23を参考しながらより詳細に説明する。
図4a
および 図4bは,本発明に係る総合侵害事故対応システムの動作過程を示すものである。
本発明による侵害事故対応方式は,保安情報の収集(情報収集),保安情報のテスト/分析および攻撃評価,予報/警報および情報共有(他機関連動)のステップに大別される。
情報収集ステップでは,国内/海外情報保護ホームページにおいて,ウェブ(Web)ロボットなどの検索エンジンを用いて,情報保護動向,論文,報告書,パッチおよびアップデートプログラムなどを収集して活用し,企業統合情報保護管理システム(ESM)間には重要侵害者に対するブラックリスト(攻撃技法,類型,回数,国家,ISP,Port別等)を共有し,国内/海外CERT,ISACは侵害事故に対する協力(ハッキング事故受付/支援および新規ハッキング技術共有/伝播)を遂行し,ウイルスワクチン業体とはウイルス予報・警報(新規ウイルス,ウォーム情報ワクチンアップデートおよびパッチ)を行い,主要ISPとは,ネットワークトラヒック情報(トラヒック異常徴候情報,有害トラヒック分析情報等)を共有し,管制対象情報保護製品とは,Log分析/変換情報(IDS,Firewallログ情報,主要攻撃類型情報等)を共有する機能を有する。
多様なチャネルからの情報収集後,これをテストベッドで分析したり所定の分析アルゴリズムを用いて分析したりした後,そのデータを格納/管理する。このような一連の過程は本発明による総合侵害事故対応システムを構成する情報加工/分析部および運営システムにより遂行され,大きく,脅威分析,テスト,攻撃評価,警報および事故分析/対応の過程で遂行される。
テスト/分析/攻撃評価ステップでは,脆弱点分析後にDB化,重要攻撃リアルタイム分析,重要パケット収集分析,予報/警報発令および伝播などの攻撃評価を遂行し,重要トラヒック,脅威,攻撃情報の総合,リアルタイムステップ決定/警報,事故および警報履歴管理などのような早期警報準備過程と,特異ウォーム,ウイルス伝播経路分析,時間,攻撃者,対象,種類,パターン,危険度,センサー位置の検索および分析環境提供のような分析過程を遂行する。
また,本発明による運営システムのディスプレー部には脅威分析,攻撃評価,予報/警報(前もって準備された安全な伝播経路で,SMS(UMS),メッセンジャー,Secure E−mail等),事故分析および対応を各々のウィンドウで構成してリアルタイムに出力する。情報分析の際,必要ならば(例えば,新しい侵害事故である場合),テストベッド(Test−Bed)を通じて前もって大型侵害事故,サービス中断およびネットワーク不能事態を予測し分析できるシミュレーション環境を並行して運営し,攻撃被害/復旧期間予測などの業務を遂行することが可能である。
その後,早期予報/警報部を用いて,一般使用者,管制要員,CERT関係者,システム管理者など,関連者の端末機に予報/警報信号を伝達する(警報ステップ)。
他機関連動部5000では,信頼情報共有ネットワーク(Trusted Information Sharing Network)および関連システムを用いて本発明による侵害事故対応システムと個人や民間のITインフラ(Information Technology Infrastructure),会社の重要電算施設,情報通信基盤保護法上の主要情報共有および分析センター(ISAC:Information Sharing & Analysis Center),大規模管制センター,主要政府/公共機関のシステム,通信事業者,ISPなどの連動機関/会社/組織と必要な侵害事故,または,脆弱性情報を共有する。この際,このような情報共有過程は,運営システムのディスプレー部(Wallscreen,または,多量のモニターセットを意味する)に表示され,これに基づいて,利用者,管制要員,主要ISAC,CERT要員およびシステム(ネットワーク管理者)に予報/警報を発令しなければならない。
信頼情報共有ネットワーク(Trusted Information Sharing Network)およびサイバー状況室(Cyber Warroom)の関連システムは,自己と連結した全てのESM,CERT/ISAC,ウイルスワクチン業体,ISP,そして,該機関/会社および情報収集チャネルに連動した管制対象情報保護製品のログを暗号化した標準フォーマットで加工および分析し,統計を算出し,収集データの自動分類およびDB管理を行い,参加機関/会社/センター間に暗号化したファイル/画像/マルチメディア通信などの方法により必要な保安情報を共有できるシステム的環境を提供する。
図5は,本発明に係る情報収集/管理部の細部構成を図示する。
情報収集/管理部は,いかなる全ての通信網を通じてシステム情報保護と関連した情報を収集する機能を有するものであって,前述のように,国内外のいろいろな機関,または,システムハードウェア製作社,運営体制(OS)製作社から脆弱点と公式認定されて,提供される項目(脆弱点目録)を収集/分類/加工する脆弱点目録収集部1100と,システム,または,ネットワークの脆弱点を周期的に点検(スキャニング)し,それから発生した結果を収集する脆弱点スキャニング結果収集部1200と,ウェブロボット,検索エンジンのような自動化した収集ツールを用いてハッキング,サイバーテロのような侵害事故に対する情報と対処方法に対し,大学,研究所および政府機関らが発表した情報保護資料や参考文献を収集して格納する情報保護資料収集部1300と,ウイルス警報システム,エージェント,検索エンジンのような自動化した収集ツールを用いてコンピュータウイルスと関連した情報を収集して格納するウイルス情報収集部1400と,電話,ファックス,メールおよびウェブのような通信手段を用いて侵害事故を申告受け,侵害事故情報を事故受付DB6300に格納する侵害事故申告収集部1500と,総合侵害事故対応システムに関連しているシステムおよびネットワーク装備のシステム情報と,その重要度(資産価値)に関する資産情報を収集した後,定形化して格納するシステム資産情報収集部1600と,総合侵害事故対応システムに含まれている統合管理対象である侵入遮断システム(F/W),侵入探知システム(IDS),政策管理システム,コンピュータ防疫システム,PC情報保護システム,逆追跡システム,認証システム,ネットワーク装備,仮想私設ネットワーク(VPN)等,1つ以上の情報保護関連製品から発生する情報保護関連イベントをリアルタイムで収集/格納する情報保護関連イベント収集部1700などを含むとしても良い。
本実施の形態では,全ての構成要素を個別的に実現したが,必要の場合,1つ以上の構成要素機能を統合して実現することもできる。
図6は,情報収集/管理部を構成する細部構成要素である脆弱点目録収集部,情報保護資料収集部およびウイルス情報収集部の機能を説明する図面である。
脆弱点目録収集部1100は,国内/外のいろいろな機関システム,システムハードウェア製作社,運営体制製作社から脆弱点と公式認定された項目を,DB管理器を通じて分類加工し入力受ける機能を遂行する。入力方式は,ウェブを通じて自動に遂行することが好ましいが,所定の他の通信網を介する入力方式,または,管理者が直接入力する方式であるとしてもよい。
より詳細に説明すると,ハードウェア製作社からハードウェアと関連した一般情報やパッチ情報を収集し,運営体制製作社からは運営体制(Operating System;OS)のバージョン情報,パッチ情報,脆弱点(問題点,措置方法),対策などの情報を収集し,アプリケーション製作社からはアプリケーションプログラムのバージョン情報,パッチ情報および脆弱点/対策情報を収集する。このように収集した脆弱点情報は,脆弱性DBに格納/管理される。
情報保護資料収集部1300は,ウェブロボット,検索エンジンのような自動化した収集ツールを用いて,ハッキング,サイバーテロのような侵害事故に対する情報と対処方法(例えば,CVE/CAN情報,バグトラック(Bugtrack)情報等)に対し,大学,研究所および政府機関らが発表した情報保護資料や参考文献を収集して格納し,ウイルス情報収集部1400は,やはりウイルス警報システム,エージェントおよび検索エンジンのような自動化した収集ツールを用いてコンピュータウイルスとウォームと関連した情報を収集して格納する。
図7は,情報収集/管理部を構成する細部構成要素である脆弱点スキャニング結果収集部の機能を説明する図面である。
脆弱点スキャニング結果収集部1200は,ネットワーク,または,関連システムが有する脆弱点を周期的に点検し,その結果を収集する部分であって,ネットワーク基盤のスキャナとシステムホスト基盤のスキャナ,分散スキャナ,ウイルススキャナなどを用いて使用管理者が設定された時間に周期的に点検し,必要に応じて,随時に点検された結果を収集する過程である。収集された脆弱点点検結果データは脆弱点DBに格納される。
“脆弱性”とは,コンピュータDB,OS,ネットワーク装備などを統制するソフトウェアが保有している,ハッカー接続可能なホールおよびソフトウェア的な欠陥を意味するものであって,国内外の数多い情報保護会社,IBM,MS,HPのようなシステム関連会社システム,国内外の他のCERT,または,ISACで毎日新しく発見されたり,提供されたり,自己システムのスキャニングを通じて発見されたりするものであって,通常,平均的に一日に約10-100余件が発生することと知られている。
図8は,脆弱点目録収集部,情報保護資料収集部およびウイルス情報収集部が遂行するウェブロボットを用いた脆弱点自動化収集を示すブロック図である。
脆弱点目録収集部,情報保護資料収集部およびウイルス情報収集部は,ウェブ(Web)ロボット(Robot)のような自動化した収集ツールを用いて関連ホームページ,FTP,TELNET,会員加入有料/無料サイトおよびEメールグループなどをサーチしたり,参考文献などを通じて周期的に脆弱点情報(情報保護資料およびウイルス情報含み)を収集したりして脆弱点DBに格納する。また,収集したデータに基づいて,自動に報告書を生成し,これを配布する機能を遂行でき,必要に応じて,添付ファイルを有する報告書ファイルなどをロボットが持ってくることができ,自動的に関連サイトやリンクサイトを通じて情報を収集する。英語,日本語等,多国語サイトの場合,これを自動翻訳サイトを通じてハングルや英文で提供する学習機能を備えることができる。
図9は,情報収集/管理部を構成する細部構成要素である侵害事故申告受付部の機能を説明する図面である。
侵害事故申告受付部は,本発明による侵害事故対応システムに参加する機関の構成員らからハッキング,ウイルスおよびその他のサイバーテロなどによる侵害事故を,電話,ファックス(FAX),電子メール(Mail)などの通信手段とウェブ(Web)を通じて直接に申告を受ける機能を遂行する。
このように接収された侵害事故情報は事故受付DBに格納され,所定の侵害の可否の判断規則によって事故の攻撃性を評価(攻撃評価部)し,新しい侵害事故である場合,テストベッドを用いてシミュレーション(テストベッド)し,事故による被害や復旧期間の算定(資産評価/復旧期間算定部)の基礎資料として用いられる。
図10は,システムの資産情報を収集する資産情報収集部の機能を説明するブロック図である。
資産情報収集部は,保護しようとするシステムの主要資産に対する情報を収集する部分であって,対象は参加機関の主要システム,ネットワーク装備などを含む。評価対象の情報とその資産の重要度(資産価値)などを自動化して収集し,正規化(Normalization)して,プロファイルDBのような所定のデータベースに格納する。このような資料は,今後,攻撃評価と被害程度算定および復旧期間算定などに活用される。
図11は,情報収集/管理部を構成する細部構成要素である情報保護関連イベント収集部の機能を示すブロック図である。
情報保護関連イベント収集部は,統合管理対象である侵入遮断システム(Firewall;F/W),侵入探知システム(IDS),仮想私設網(VPN),ウイルスシステム,PC情報保護システム,逆追跡システム,認証システム(PKI基盤),ネットワーク装備などから発生するイベントの中,情報保護と関連したイベントをリアルタイムで収集して格納する機能をする。
情報保護関連イベント収集部の対象となる装置は,上記に列挙したものに限るのではなく,その他の情報保護装置を含むことができる。収集された各情報保護関連イベント情報は,所定のフィルタリング過程を経た後,データベース6000に格納される。
図12は,本発明による総合侵害事故対応システムに用いられる情報加工/分析部の細部構成を示すブロック図である。
情報加工/分析部2000は,情報収集/管理部で収集された大容量の保安情報を効率良く構築するためのデータウェアハウジング部2100とデータマイニング,または,知識基盤の分析アルゴリズムを適用して保安情報を分析する情報分析部2200とからなるとしても良い。
分析対象となる保安情報は,前述の脆弱点情報(脆弱点点検結果含み),ウイルス情報,情報保護関連情報,侵害事故申告情報などを全て含む概念であり,分析部で加工・分析されたデータはソース/加工DBに格納されて管理される。
図13は,情報加工/分析部におけるデータウェアハウジング構築過程を示すブロック図である。
大容量の収集された情報をデータベース化するデータウェアハウジング部は,収集される各種資料の形態をいろいろな分類で検索および加工可能に正規化しデータベースで構築する過程である。
詳細な過程を考察すると,まず,保安情報を入力受けた後(S2110),データをデータ類型別に分類する(S2120)。その後,該データに対し,要約/加工を加える必要があるかどうかを判断(S2130)した後,必要によって検索類型別に要約(S2150)したり,データフィールドを追加(S2140)したりして,データベースを生成(S2160)する。
図示してはいないが,情報分析部2200は,図13のように構築されたデータベースから各種侵害事故および脆弱点,そして,図10で収集された主要資産情報らとの相関関係,認識可能なパターン,これを予防するための分類方法など,各種分析のためのアルゴリズムを管理(アルゴリズムDBに追加,変更および削除含み)し,分析を遂行する機能を遂行する。
勿論,新しく発見される脆弱性情報,または,侵害事故に対しては,分析と別に,同一な環境下でテストした後,その重要度や攻撃程度および特性を把握し,重要度,または,特性によって,脆弱性DB,ソース/加工DB,侵害事故DBなどに格納される。
図14および図15は,運営システムに含まれる情報共有/検索/伝播部の機能を示すものであって,図14は,プロファイル管理機能を,図15は,早期予報/警報システムの分析結果によって情報の検索/伝播機能を説明している。
運営システムは,共有されるべき情報を類型別,または,等級別に分類するだけでなく,使用者/機関を等級別に分類し,参加機関使用者情報に基づいて情報への等級別接近制限を遂行する(プロファイル管理機能)。また,必要の場合,使用者の認証のために使用者の公認認証書情報を提供する部分を更に含むことができる。
このような情報加工/分析部のプロファイル管理機能は,該管制対象情報保護システム,主要サーバ,PC,ネットワーク装備などに対する各種OSバージョン,メインテナンス,事故履歴,パッチの可否,IDS履歴等,侵害事故処理のための最も基本的な要素の情報を対象とし,このようなプロファイル情報はプロファイルDB6600,または,ソース/加工DB6200に格納・管理される。
図15は,共有された情報の検索/伝播機能を説明するためのものであって,各種利用可能な伝送手段と媒体を用いて情報を提供する部分は,図14において使用者の検索要請を受信し,該使用者の分類等級と検索情報の等級によって要請された情報を有/無線伝送媒体(電話,FAX,Mail,文字メッセージ等)とウェブ(Web)を用いて該使用者に提供する。
図16は,本発明により構築された総合侵害事故対応システムの自己保護のためのシステム自己情報保護部の細部構成を図示する。
本発明により構築された総合侵害事故対応システムは,それ自体が1つの重要なシステムであるから,外部の認可されていない接続に対する保護やシステム/ネットワークエラーに対し,回避するための手段が必要である。このために,図16のようなシステム自己情報保護部を用いる。
自己情報保護部は,構築された総合侵害事故対応システムの物理的な情報保護のための物理的情報保護手段と,システム/ネットワークの保護のためのネットワークおよびシステム保護手段とを含む。
物理的情報保護手段は,カード認証方式,パスワード認証方式,指紋/虹彩などのような生体認識方式,CCTVなどとなることができるが,これに限られず,実施可能な全ての物理的情報保護手段を含む。ネットワークおよびシステム保護手段は,公認認証書基盤の認証システム,侵入遮断システム(防火壁),侵入探知システム(IDS)および事故ソースの逆追跡システムを含むネットワーク情報保護部(外部ネットワーク接近に対する情報保護手段)と,生成したファイルや文書のウォーターマーキング暗号化システムおよびPKI基盤のキー情報保護手段のような文書情報保護部(内部資料接近に対する情報保護手段)と,サーバ情報保護,運営体制情報保護(Secure OS)などのようなシステム情報保護部(内外部システム接近に対する情報保護手段)とを含む。このような物理的情報保護手段と,ネットワークおよびシステム保護手段は,従来の技術を用いて容易に実現できるので,その詳細な説明は省略する。
図17は,本発明による総合侵害事故対応システムが備える他の外部システムとの情報共有などのための他機関連動部を示すブロック図である。
他機関連動部5000は,外部の他のCERTシステム,情報共有/分析システム(ISAC),警察コンピュータ犯罪/サイバーテロシステム,重要基盤構造保護の総合保安管制システム(ESM)などの関連機関システムなどと連動して必要な情報を互いに共有するために導入されるものであって,相互交換される要約情報の連動機能を提供する機関/使用者情報管理部および交換情報管理部と実際に他機関システムとのデータ送受信のためのプロトコル変換を遂行するインターフェース部からなる。
このような他機関連動部は,まず,共有,または,交換する情報を分類して管理し,連動した他機関の情報を管理し,交換するべき情報が発生された場合,該情報を該他機関インターフェースと互換の形態でプロトコル変換した後,他機関に,接続統制および使用者等級別に区分されて伝送する機能を遂行する。
図18は,本発明に使われる脆弱性DB6100の細部構成を図示する。
本発明に係るシステムに使われるデータベース6000の中で,脆弱性DBは,ハッカー,ウイルスおよびウォーム製作者が全てのコンピュータ,データベース,運営体制(OS)およびネットワーク装備のソフトウェアで,外部や内部から攻撃して不法に接続できる脆弱点および対応方法を体系的に区分した部分をデータとして格納する所であって,新しく発見された全ての脆弱性情報は,同一な環境を揃えたテストベッドで試験をたどった後,その重要性および特性によって脆弱性DBに格納される。このような脆弱性DBは,一般情報フィールド,ソースデータフィールド,プロファイルデータフィールド,パッチ(Patch)データフィールド,ツール(Tool)データフィールド,諮問(Advisory)データフィールド,攻撃(Attack)データフィールド,防禦(Defense)データフィールドなどに分類され,格納され得るが,これに限るのではない。
一方,図示してはいないが,ソース/加工DB6200は,会員および加入機関に対する詳細情報を格納した1つのソースDBと事故履歴などを整理して加工された加工DBからなっている。
図19は,本発明に係るシステムを用いた情報保護および警報メカニズムを示すブロック図である。
情報保護製品,例えば,侵入探知システム(IDS)のイベントの中,危険度,目的地(Destination)IP,特定ソース(Source)IP,特定ポートなどを把握し,該当するイベントをブラックリスト(Black List)DB,IDS事故履歴(History)DBなどに分けて格納し,各DBから抽出されたデータを用いて,更に攻撃評価アルゴリズムを適用して攻撃程度を評価し,これによる早期予報/警報(Alter)DBを構築する。
この他にも,侵入遮断システム(Firewall),ウイルスワクチンサーバ,仮想私設網(VPN)等,情報保護製品から入る各種情報保護関連データを総合して攻撃を評価し,警報を発令することもできる。また,主要ホストに発生した,等,発生が予想される事故のシナリオを予想してテストベッドを通じてシミュレーションすることもでき,データを分析して同一類型攻撃回数,同一IPおよび攻撃時間帯などを把握してDBに格納・管理することもできる。また,このように格納されたデータに基づいて,予防レベルの教育/訓練データを生成でき,法的証拠として使われることができる情報のみを抽出してコンピュータフォレンジックDBで構築することもできる。
図20は,本発明による攻撃評価部の機能を図示する。
運営システムに含まれる‘攻撃評価部’は,侵入探知システムからのデータのうち,代表的なもののみを格納した侵入パターンDBと,脆弱性DBおよび国際DB(CVE)のような外部DBなどから出る情報を分析して,各侵害事故,または,脆弱点の攻撃類型,攻撃方法,攻撃ステップおよび予想される被害結果をネットワーク露出,システム露出,特定システム,サービス遅延,ネットワークサービス遅延,特定サービス遅延,管理者(Root)権限獲得,データの流出偽造/変造およびその他の項目などで把握する。次に,各侵害事故,または,脆弱点を侵入準備ステップ,攻撃ステップ,事後進行ステップなどに,時間によって再分類し,攻撃水準(ステップ)を算出した後,ソース(Source)IP別,インターネットサービス提供事業者(ISP)別,国家別,攻撃手法別,期間別等に分類・格納する。また,攻撃類型別に加重値を設定し,攻撃の反復性や地域性,ブラックリストに分類された攻撃地での攻撃であるかどうかを把握した後,これを事故履歴DBに格納し,警報を必要とする場合,該データを警報DBに格納する。運営システムの早期予報/警報部は,このような情報に基づいてステップ別の警報を発令する。
図21は,本発明に係るデータベースの中,コンピュータフォレンジックDBの構築方法について説明するための図面である。
図19のような情報保護警報メカニズムに使われる各DBから抽出されたデータを定形化し,同一手法,同一IP,国家,回数,攻撃ツールなどによって分類した後,各々の侵害事故,または,脆弱性情報に所定の法的侵害事故判断規則を適用する。適用した結果,今後,法的問題にすることができる(即ち,犯罪の対象となる)イベント(侵害事故,または,脆弱性)を決定し,そのイベントに関する情報を1つのデータベースに格納するのに,これをコンピュータフォレンジックDBという。
コンピュータフォレンジックDBは,システムに重大な危機が発生したり,システムダウンなど,莫大な被害を受けたりした場合,法的な措置のための根拠資料として用いられるところ,侵害事故発生時,コンピュータフォレンジックDBに基づいて,証拠を提示して,民/刑事裁判上の証拠として提示できるものである。
即ち,コンピュータフォレンジックDBは,ホスト別に法的な問題となる侵害事故と判明された等,そういう疑問がある情報の証拠確保および管理を遂行するものであって,具体的なフィールドとしては,侵害事故発生日時,発見者名前,侵害事故による被害結果,予想される被害結果などであることができ,具体的な証拠として,侵入防止システム(Firewall),または,侵入探知システム(IDS
System)のログ,ファイル,または,メールに添付されたウイルスファイルなどが共に格納され得る。
また,このようなコンピュータフォレンジックDBは,プロファイルDBに基づいて,ホスト分類,ホスト名前,ホストの位置に従う危険に露出される等級別程度,ホストの資産価値,ホストの使用用途,ホストを表す代表IP住所,使用するアプリケーション名と使われるポート番号などを格納・管理する機能を更に備えることができ,ホストの作業履歴が,作業日時,作業者名前,作業の種類(OS設置,OSパッチ,アプリケーション設置/パッチ,メインテナンス,障害確認等),システム管理部署名,作業開始時間,作業終了時間などで記述されて管理されることが好ましい。
図22は,本発明で使われる資産評価と復旧期間算定方式を示すブロック図である。
平常時に資産情報収集部は,システムと関連した全ての資産情報を収集し,重要度とデータの価値などを定形化して,等級別分類を遂行してプロファイルDBなどに格納しておく。このような資産情報に基づいて,重大な侵害事故,ウイルス感染およびサイバーテロによるサービス中断時,復旧の優先順位を見分けて,復旧期間を自動に算定できるようにする。
資産情報は,各システムおよびその構成要素の使用用途,資産価値などで構成されたテーブルとして整理され,資産評価/復旧期間算定部は,各資産に対する脆弱点DB,侵害事故履歴DB,プロファイルDBなどを参照し,復旧期間を予測する。復旧期間算定は,自動に遂行されることが好ましいが,手動で行うこともできる。また,復旧期間は,バックアップセンターやシステムを用いた復旧方法を考慮して決定され,システムの重要度によって復旧を二重化して構成することができる。
図23は,本発明のシステムに係るブラックリストDB構築および履歴管理方式を示すブロック図である。
ブラックリストDBは,平常時に侵入探知システム(IDS)などから抽出された履歴データに基づいて,警報発令時に参照されるデータベースであって,コンピュータフォレンジックDBと連動して定形化した侵害事故データから同一手法,同一IP,攻撃国家,攻撃回数,攻撃ツールなどに基づいて,ブラックリスト対象イベントを決定した後,格納・管理するものである。このようなブラックリストの抽出は,プロファイルDBと連携して侵害事故(Incident)シナリオの種類,上位攻撃水準別および予想される被害結果別に,各項目別オプションによって条件に合うイベントのみをブラックリスト対象と決定する。
運営システムは,総合履歴管理マネジャーを用いて全てのイベントに対する履歴(History)を管理し,各侵害事故,または,脆弱点発生時,その水準を把握してどのように対応するかを決定する(対応履歴プロセス)。このため,過去の侵害事故および脆弱性に対応した履歴,即ち,対応履歴(例:対応しない,注意要望,電話警告,公文発送,申告/告発,Eメール警告等)を整理することが好ましい。決定された対応方法によって,侵害事故,または,脆弱性ソースで所定のメール(警告メール,抗議メール,主義要求メール等)を伝送し,その対応結果を報告書として作成して置く。
以上のような総合侵害事故対応システムを用いた侵害事故対応方法は,1)情報収集/管理部が所定の通信網を通じて侵害事故および脆弱性情報のような保安情報を収集する情報収集ステップと,2)情報加工/管理部が収集された保安情報をデータベース化し,所定の分析アルゴリズムを用いて分析する情報加工/分析ステップと,3)加工/分析された保安情報を共有できるように管理し,外部の要請時に検索・提供する情報共有/検索/伝播ステップと,4)侵害事故および脆弱性情報の中,警報を必要とする場合,所定の早期警報情報を1つ以上の内外部システムに伝送する警報ステップとからなることができる。また,所定のシステム自己情報保護部を用いて構築された総合侵害事故対応システムの自己情報保護を遂行するステップ(自己情報保護ステップ)と,総合侵害事故対応システムが発生した情報の中,他機関と共有するべき情報を管理し,必要な他機関システムに伝送する他機関共有ステップも更に含むとしても良い。
また,攻撃評価部を用いて,各々の侵害事故および脆弱性目録に対し,攻撃程度を自動に評価し,その結果によって,警報の可否,コンピュータフォレンジックDB化の可否,ブラックリストDB化の可否などを決定する攻撃評価ステップを更に備えることもできる。
また,新しい侵害事故および脆弱性目録に対し,同一なシステム環境でその結果をシミュレーションし,その結果を格納するテスト(シミュレーション)ステップと,システムの資産評価と侵害事故発生時,復旧期間を自動に算定して提供する資産評価/復旧期間算定ステップとを更に備えることもできるものである。
以上の説明は,本発明の技術事象を例示的に説明したに過ぎず,本発明が属する技術分野で通常の知識を有する者であれば本発明の本質的な特性から外れない範囲で多様な修正および変形が可能である。従って,本発明に開示された実施の形態らは本発明の技術事象を限るのではなく,説明するためのものであって,このような実施の形態により本発明の技術事象の範囲が限るのではない。本発明の保護範囲は,下記の請求範囲により解析されるべきであり,それと同等な範囲内にある全ての技術事象は本発明の権利範囲に含まれるものと解析されるべきである。
一般的な金融信用情報が流通されるインターネット会員情報および購買システムを示すブロック構成図である。 従来の企業統合情報保護管理システム(ESM)の構成を示すブロック図である。 本発明の実施の形態に係る総合侵害事故対応システムの全体構成を概略的に示すブロック構成図である。 本発明に係る総合侵害事故対応システムの動作過程を示す図面である。 本発明に係る総合侵害事故対応システムの動作過程を示す図面である。 本発明に係る情報収集/管理部の細部構成を示す図面である。 情報収集/管理部を構成する細部構成要素である脆弱点目録収集部,情報保護資料収集部およびウイルス情報収集部の機能を説明する図面である。 情報収集/管理部を構成する細部構成要素である脆弱点スキャニング結果収集部の機能を説明する図面である。 脆弱点目録収集部,情報保護資料収集部およびウイルス情報収集部が遂行するウェブロボットを用いた脆弱点自動化収集を示すブロック図である。 情報収集/管理部を構成する細部構成要素である侵害事故申告受付部の機能を説明する図面である。 システムの資産情報を収集する資産情報収集部の機能を説明するブロック図である。 情報収集/管理部を構成する細部構成要素である情報保護関連イベント収集部の機能を示すブロック図である。 本発明に係る総合侵害事故対応システムに用いられる情報加工/分析部の細部構成を示すブロック図である。 情報加工/分析部におけるデータウェアハウジング構築過程を示すブロック図である。 運営システムに含まれる情報共有/検索/伝播部の機能を示すものであって,特に,プロファイル管理機能を説明する図面である。 運営システムに含まれる情報共有/検索/伝播部の機能を示すものであって,特に,情報の検索/伝播機能を説明する図面である。 本発明により構築された総合侵害事故対応システムの自己保護のためのシステム自己情報保護部の細部構成を示す図面である。 本発明に係る総合侵害事故対応システムが備える他の外部システムとの情報共有などのための他機関連動部を示すブロック図である。 本発明に使われる脆弱性DB6100の細部構成を示す図面である。 本発明に係るシステムを用いた情報保護および警報メカニズムを示すブロック図である。 本発明に係る攻撃評価部の機能を示す図面である。 本発明に係るデータベースの中,コンピュータフォレンジックDBの構築方法について説明するための図面である。 本発明で使われる資産評価と復旧期間算定方式を示すブロック図である。 本発明のシステムによるブラックリストDB構築および履歴管理方式を示すブロック図である。
符号の説明
110 使用者コンピュータ
120 インターネット
122 ISP
124 ルータ
126 スイッチングハブ
130 WAPゲートウェイ
140 WAPサーバ
150 ウェブサーバ
160 メールサーバ
170 情報共有サーバ
180 データベースサーバ
210 企業統合情報保護管理システム(ESM)
1000 情報収集/管理部
2000 情報加工/分析部
2100 データウェアハウジング部
2200 情報分析部
3000 運営システム部
3100 情報共有/検索/伝播部
3200 攻撃評価部
3300 テストベッド(Test−Bed)
3400 早期予報/警報部
3500 資産評価/復旧期間算定部
4000 システム自己情報保護部
5000 他機関連動部
6000 データベース

Claims (27)

  1. コンピュータシステム,ネットワーク,アプリケーション,インターネットサービスを含む,全国的,または,全社的なITインフラ(Information Technology Infrastructure)を介し,特定の保護対象にとって脅威となる広範囲な侵害事故および脆弱点を含む保安情報を収集し,ソースデータを格納する情報収集/管理部と;
    所定の分析アルゴリズムを用いて,前記収集された保安情報を加工および分析し,分析結果を格納・管理する情報加工/分析部と;
    前記加工/分析された保安情報を1つ以上の,保護対象システム,または,外部システムに伝達する情報共有/検索/伝播部と,必要に応じて保安情報を所定の形式で出力するディスプレー部とを含む運営システム部と;
    自己における情報保護のためのシステム自己情報保護部と;
    脆弱性情報を格納する脆弱性データベースとソース保安情報および加工/分析された情報を格納するソース/加工DBを含むデータベース部と;
    を含むことを特徴とする,コンピュータシステム上における総合侵害事故対応システム。
  2. ISAC,CERTおよびESMのいずれかを含む他の外部システムとの信頼性のある情報共有のための機関連動部を更に含むことを特徴とする,請求項1に記載のコンピュータシステム上における総合侵害事故対応システム。
  3. 前記情報収集/管理部は,国内外の様々な機関,または,システムハードウェア製作社,運営体制(OS)製作社から脆弱点と公式に認定されて提供される項目を収集/分類/加工する脆弱点目録収集部を含むことを特徴とする,請求項1に記載のコンピュータシステム上における総合侵害事故対応システム。
  4. 前記情報収集/管理部は,脆弱点を周期的に点検し,それから発生した結果を収集する脆弱点スキャニング結果収集部を含むことを特徴とする,請求項1に記載のコンピュータシステム上における総合侵害事故対応システム。
  5. 前記情報収集/管理部は,ウェブロボットおよび検索エンジンを含む自動化した収集ツールを用いて,ハッキングを含む事故に対する情報と対処方法に対し,CERT/ISAC,大学,研究所および政府機関らが発表した情報保護資料や参考文献を収集して格納する情報保護資料収集部を含むことを特徴とする,請求項1に記載のコンピュータシステム上における総合侵害事故対応システム。
  6. 前記情報収集/管理部は,ウイルス警報システム,エージェントおよび検索エンジンを含む自動化した収集ツールを用い,コンピュータウイルス/ウォームと関連した情報を収集して格納するウイルス情報収集部を含むことを特徴とする,請求項1に記載のコンピュータシステム上における総合侵害事故対応システム。
  7. 前記情報収集/管理部は,電話,ファックス,メールおよびウェブを含む通信手段を用いて侵害事故の申告を受け,侵害事故情報を受付/格納する侵害事故申告収集部を含むことを特徴とする,請求項1に記載のコンピュータシステム上における総合侵害事故対応システム。
  8. 前記情報収集/管理部は,総合侵害事故対応システムに関連しているシステムおよびネットワーク装備のシステム情報とその重要度(資産価値)に関する資産情報とを収集した後,定形化して格納するシステム資産情報収集部を含むことを特徴とする,請求項1に記載のコンピュータシステム上における総合侵害事故対応システム。
  9. 前記情報収集/管理部は,総合侵害事故対応システムに含まれている統合管理対象である侵入遮断システム(F/W),侵入探知システム(IDS),政策管理システム,コンピュータ防疫システム,PC情報保護システム,逆追跡システム,認証システム,ネットワーク装備,仮想私設ネットワーク(VPN)からなる群から選択される1以上の情報保護関連製品から発生する情報保護関連イベントをリアルタイムで収集/格納する情報保護関連イベント収集部を更に含むことを特徴とする,請求項1に記載のコンピュータシステム上における総合侵害事故対応システム。
  10. 前記情報加工/分析部は,情報収集/管理部で収集された各種保安情報を様々な分類で検索および加工できるように正規化してデータベースを構築するデータウェアハウジング部(Dataware Housing Part)と;
    該データウェアハウジング部で構築されたデータベースに格納された情報に,データマイニング,または,知識基盤の分析アルゴリズムを適用して侵害事故および脆弱点,主要資産情報との相関関係,認識可能なパターンおよび事故/脆弱点を予防するための分類方法を含む分析アルゴリズムを管理し,分析アルゴリズムによって分析を行う分析部と;
    を含むことを特徴とする,請求項1に記載のコンピュータシステム上における総合侵害事故対応システム。
  11. 前記データウェアハウジング部は,保安情報を受信して類型別に分類した後,該データに対して要約/加工を加える必要があるかどうかを判断し,必要に応じて検索類型別に要約し,または,データフィールドを追加してデータベースを生成することを特徴とする,請求項10に記載のコンピュータシステム上における総合侵害事故対応システム。
  12. 前記情報共有/検索/伝播部は,共有すべき情報を類型別,または,等級別に分類し,情報を共有する使用者/機関を等級別に分類して管理するプロファイル管理機能と,使用者の検索要請信号が受け付けられたとき,該情報を抽出して該使用者システムに伝送する機能と,を備えることを特徴とする,請求項1に記載のコンピュータシステム上における総合侵害事故対応システム。
  13. ハッキングおよびサイバーテロを含む前記侵害事故各々に対し,その攻撃内容を評価し,過去の攻撃技法および回数で攻撃を分類し,予測可能なシナリオを構成し,ステップ別には,脆弱点分析後のDB化,重要攻撃リアルタイム分析,重要パケット収集分析ならびに予報/警報発令および伝播過程を含む所定の攻撃評価機能を前もって定義された基準に自動的に遂行する攻撃評価部を更に含むことを特徴とする,請求項2に記載のコンピュータシステム上における総合侵害事故対応システム。
  14. 新しく発見した侵害事故,または,脆弱点を感知した場合,同一なシステム条件で該侵害事故,または,脆弱性に対する結果を予測可能なシナリオを構成して,攻撃の強度と被害予測および対応措置を算定できるようにシミュレーションするテストベッド(Test−Bed)を更に含むことを特徴とする,請求項13に記載のコンピュータシステム上における総合侵害事故対応システム。
  15. また,前記運営システムは,前記テストベッドおよび侵害攻撃評価部中,1つ以上の結果によって警報信号を発生し,保護対象システム,または,外部システムに侵害事故,または,脆弱点に対する警報信号を伝達する早期予報/警報部(または,予報/警報システム; Early Warning System)を更に含むことを特徴とする,請求項14に記載のコンピュータシステム上における総合侵害事故対応システム。
  16. 前記保護対象システムを含むシステム構成要素の重要度,または,資産価値を評価し,評価されたシステム重要度に基づいて,侵害事故発生時,被害程度と復旧期間を予測する資産評価/復旧期間算定部を更に含むことを特徴とする,請求項2に記載のコンピュータシステム上における総合侵害事故対応システム。
  17. 前記テストベッドにおいて,シミュレーションされた侵害事故結果情報から教育情報を算出して格納/管理し,教育を必要とする外部端末機に伝送して教育を遂行するオンライン自動教育/訓練部を更に備えることを特徴とする,請求項14に記載のコンピュータシステム上における総合侵害事故対応システム。
  18. 前記システム自己情報保護部は,前記総合侵害事故対応システム自体の情報保護のための構成要素であり,
    カード認証部,パスワード認証部,生体認識システム認証部およびCCTVの中,1つ以上を含む物理的情報保護部と;
    認証システム,侵入遮断システム,ウイルス遮断システム,逆追跡システムオおよびウォーターマーキング手段のうち,1つ以上を含むネットワーク/システム/文書情報保護部と;
    を含むことを特徴とする,請求項1に記載のコンピュータシステム上における総合侵害事故対応システム。
  19. 前記他機関連動部は,
    外部のシステムと相互交換される情報の管理と実際の外部システムとのデータ送受信を行うために,暗号化した標準フォーマットで前記交換される情報の加工/分析/統計機能を遂行し,各機関の使用者等級を分類/管理する機能を遂行し,前記外部システムと必要な情報を安全に共有する機能を提供する情報管理部と;
    実際に,外部システムとのデータ送受信を行うための接続統制(使用者等級に従うデータ提供)およびプロトコル変換を遂行するインターフェース部と;
    を含むことを特徴とする,請求項2に記載のコンピュータシステム上における総合侵害事故対応システム。
  20. 前記データベースは,関連システムに対する各種脆弱点目録および脆弱点点検目録を格納している脆弱性DB,収集された保安情報のソースデータおよび加工データが格納されているソース/加工DB,侵害事故申告受付部を通じて入力された侵害事故情報を格納する事故受付DB,脆弱性目録および侵害事故情報のうち,周期的に発生するイベントを選別・格納するブラックリストDB,侵害事故,または,脆弱性目録中,関連者に早期予報/警報が必要なイベントのみを選別・格納する予報/警報DB,関連システムおよび使用者等に対する履歴情報を格納するプロファイルDB,および過去に発生した各種侵害事故や脆弱点とそれに対する対処方法と各種ログファイルなどを格納する事故履歴DBからなる群から選択された1以上を含むことを特徴とする,請求項3に記載のコンピュータシステム上における総合侵害事故対応システム。
  21. 重要な侵害事故を予想し,または,実際の攻撃を遂行した対象者およびIPに対する関連記録から,被害程度によって犯罪対象になるイベントと関連した情報を抽出し,事後的に侵害事故により刑事告発するか経済的な被害および損失補償を受けようとする民事訴訟を提起する際,関連記録として提出され法的証拠能力を表す基礎的な情報を格納するコンピュータフォレンジックDBを含むことを特徴とする,請求項3,または,請求項20に記載のコンピュータシステム上における総合侵害事故対応システム。
  22. コンピュータシステム上における侵害事故対応のための自動化した総合侵害事故対応システムを用いた方法であって:
    情報収集/管理部が所定の通信網を通じて侵害事故および脆弱性情報を含む保安情報を自動的に収集する情報収集ステップと;
    情報収集/管理部が収集した情報をデータベース化し,所定の分析アルゴリズムを用いて自動的に分析する情報加工/分析ステップと;
    前記加工/分析された保安情報を共有できるように管理し,外部からの要請時,検索/提供する情報共有/検索/伝播ステップと;
    侵害事故および脆弱性情報のうち,警報が必要な場合,所定の早期警報情報を生成して1つ以上の内外部システムに伝送する予報/警報ステップと;
    を含むことを特徴とする,コンピュータシステムウ上における総合侵害事故対応方法。
  23. 所定のシステム自己情報保護部を用いて構築された総合侵害事故対応システムの自己情報保護を自動的に遂行する自己情報保護ステップを更に含むことを特徴とする,請求項22に記載のコンピュータシステム上における総合侵害事故対応方法。
  24. 総合侵害事故対応システムで生成された情報のうち,他機関と共有しなければならない情報を管理し,必要な他機関システムに伝送する他機関共有ステップを更に含むことを特徴とする,請求項22に記載のコンピュータシステム上における総合侵害事故対応方法。
  25. 予報/警報の可否,コンピュータフォレンジックDB化の可否,ブラックリストDB化の可否を決定するため,前記各々の侵害事故および脆弱性目録に対し,攻撃程度を自動的に評価する攻撃評価ステップを更に備えることを特徴とする,請求項22に記載のコンピュータシステム上における総合侵害事故対応方法。
  26. 新たな侵害事故および脆弱性目録発生の際,同一なシステム環境で該侵害事故,または,脆弱性に対する結果を自動的にシミュレーションし,その結果を格納するテスト(シミュレーション)ステップを更に備えることを特徴とする,請求項22に記載のコンピュータシステム上における総合侵害事故対応方法。
  27. 保護対象システムを含む関連システムの資産(重要度)を予め入力している基準で自動評価し,侵害事故発生時の被害程度および復旧期間のうち,1つ以上を自動的に算定して提供する資産評価/復旧期間算定ステップを更に備えることを特徴とする,請求項22に記載のコンピュータシステム上における総合侵害事故対応方法。
JP2004546528A 2002-10-22 2003-10-21 Itインフラにおける総合侵害事故対応システムおよびその動作方法 Pending JP2006504178A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20020064702 2002-10-22
PCT/KR2003/002210 WO2004038594A1 (en) 2002-10-22 2003-10-21 Integrated emergency response system in information infrastructure and operating method therefor

Publications (1)

Publication Number Publication Date
JP2006504178A true JP2006504178A (ja) 2006-02-02

Family

ID=32171511

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004546528A Pending JP2006504178A (ja) 2002-10-22 2003-10-21 Itインフラにおける総合侵害事故対応システムおよびその動作方法

Country Status (8)

Country Link
US (1) US20060031938A1 (ja)
EP (1) EP1563393A4 (ja)
JP (1) JP2006504178A (ja)
KR (1) KR20040035572A (ja)
CN (1) CN1705938A (ja)
AU (1) AU2003273085A1 (ja)
CA (1) CA2503343A1 (ja)
WO (1) WO2004038594A1 (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008015953A (ja) * 2006-07-10 2008-01-24 Hitachi Software Eng Co Ltd 情報資産の自動分類システム
JP2008167099A (ja) * 2006-12-28 2008-07-17 Mitsubishi Electric Corp セキュリティ管理装置及びセキュリティ管理方法及びプログラム
KR101282030B1 (ko) * 2007-01-26 2013-07-04 삼성전자주식회사 데이터의 보안 전송을 위한 화상형성장치 및 그 전송방법
KR101575282B1 (ko) * 2011-11-28 2015-12-09 한국전자통신연구원 보안관리 도메인들 간에 익명 식별자 기반의 보안정보를 공유하기 위한 에이전트 장치 및 방법
WO2017164269A1 (ja) * 2016-03-25 2017-09-28 日本電気株式会社 セキュリティリスク管理システム、サーバ、制御方法、非一時的なコンピュータ可読媒体
US9853994B2 (en) 2013-01-21 2017-12-26 Mitsubishi Electric Corporation Attack analysis system, cooperation apparatus, attack analysis cooperation method, and program
US11038901B2 (en) 2017-12-07 2021-06-15 Samsung Electronics Co., Ltd. Server and method for defending malicious code using same

Families Citing this family (215)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2003209194A1 (en) 2002-01-08 2003-07-24 Seven Networks, Inc. Secure transport for mobile communication network
US8468126B2 (en) * 2005-08-01 2013-06-18 Seven Networks, Inc. Publishing data in an information community
US7917468B2 (en) 2005-08-01 2011-03-29 Seven Networks, Inc. Linking of personal information management data
US20090077196A1 (en) * 2003-04-22 2009-03-19 Frantisek Brabec All-hazards information distribution method and system, and method of maintaining privacy of distributed all-hazards information
US7409428B1 (en) 2003-04-22 2008-08-05 Cooper Technologies Company Systems and methods for messaging to multiple gateways
US9100431B2 (en) 2003-07-01 2015-08-04 Securityprofiling, Llc Computer program product and apparatus for multi-path remediation
US9118710B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc System, method, and computer program product for reporting an occurrence in different manners
US9118708B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc Multi-path remediation
US9412123B2 (en) 2003-07-01 2016-08-09 The 41St Parameter, Inc. Keystroke analysis
US9118709B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US8984644B2 (en) 2003-07-01 2015-03-17 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US9350752B2 (en) 2003-07-01 2016-05-24 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US20070113272A2 (en) 2003-07-01 2007-05-17 Securityprofiling, Inc. Real-time vulnerability monitoring
US9118711B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US7558834B2 (en) * 2003-12-29 2009-07-07 Ebay Inc. Method and system to process issue data pertaining to a system
US20050193429A1 (en) * 2004-01-23 2005-09-01 The Barrier Group Integrated data traffic monitoring system
US10999298B2 (en) 2004-03-02 2021-05-04 The 41St Parameter, Inc. Method and system for identifying users and detecting fraud by use of the internet
EP1630710B1 (en) * 2004-07-21 2019-11-06 Microsoft Technology Licensing, LLC Containment of worms
CA2549577A1 (en) * 2004-09-09 2006-03-16 Avaya Technology Corp. Methods of and systems for network traffic security
US20060101519A1 (en) * 2004-11-05 2006-05-11 Lasswell Kevin W Method to provide customized vulnerability information to a plurality of organizations
US20080088428A1 (en) * 2005-03-10 2008-04-17 Brian Pitre Dynamic Emergency Notification and Intelligence System
US7596608B2 (en) * 2005-03-18 2009-09-29 Liveprocess Corporation Networked emergency management system
US8438633B1 (en) 2005-04-21 2013-05-07 Seven Networks, Inc. Flexible real-time inbox access
US8561190B2 (en) * 2005-05-16 2013-10-15 Microsoft Corporation System and method of opportunistically protecting a computer from malware
FR2887385B1 (fr) * 2005-06-15 2007-10-05 Advestigo Sa Procede et systeme de reperage et de filtrage d'informations multimedia sur un reseau
WO2006136660A1 (en) 2005-06-21 2006-12-28 Seven Networks International Oy Maintaining an ip connection in a mobile network
WO2007016304A2 (en) * 2005-08-01 2007-02-08 Hector Gomez Digital system and method for building emergency and disaster plan implementation
US8549639B2 (en) 2005-08-16 2013-10-01 At&T Intellectual Property I, L.P. Method and apparatus for diagnosing and mitigating malicious events in a communication network
US20070100643A1 (en) * 2005-10-07 2007-05-03 Sap Ag Enterprise integrity modeling
US20080082348A1 (en) * 2006-10-02 2008-04-03 Paulus Sachar M Enterprise Integrity Content Generation and Utilization
US8781930B2 (en) * 2005-10-07 2014-07-15 Sap Ag Enterprise integrity simulation
US8938671B2 (en) 2005-12-16 2015-01-20 The 41St Parameter, Inc. Methods and apparatus for securely displaying digital images
US11301585B2 (en) 2005-12-16 2022-04-12 The 41St Parameter, Inc. Methods and apparatus for securely displaying digital images
US20070143849A1 (en) * 2005-12-19 2007-06-21 Eyal Adar Method and a software system for end-to-end security assessment for security and CIP professionals
US8392999B2 (en) * 2005-12-19 2013-03-05 White Cyber Knight Ltd. Apparatus and methods for assessing and maintaining security of a computerized system under development
US8380696B1 (en) 2005-12-20 2013-02-19 Emc Corporation Methods and apparatus for dynamically classifying objects
US7476013B2 (en) 2006-03-31 2009-01-13 Federal Signal Corporation Light bar and method for making
US9346397B2 (en) 2006-02-22 2016-05-24 Federal Signal Corporation Self-powered light bar
US9002313B2 (en) 2006-02-22 2015-04-07 Federal Signal Corporation Fully integrated light bar
US7769395B2 (en) * 2006-06-20 2010-08-03 Seven Networks, Inc. Location-based operations and messaging
KR100791412B1 (ko) * 2006-03-13 2008-01-07 한국전자통신연구원 실시간 사이버위협정보 전송 시스템 및 방법
GB2432934B (en) 2006-03-14 2007-12-19 Streamshield Networks Ltd A method and apparatus for providing network security
JP4819542B2 (ja) * 2006-03-24 2011-11-24 株式会社日立製作所 脆弱性検証付きのバイオメトリクス認証システムおよび方法
US8151327B2 (en) 2006-03-31 2012-04-03 The 41St Parameter, Inc. Systems and methods for detection of session tampering and fraud prevention
CN100384158C (zh) * 2006-04-04 2008-04-23 华为技术有限公司 一种数字用户线路接入复用器的安全防护方法
KR100806751B1 (ko) * 2006-04-26 2008-02-27 한국전자통신연구원 인터넷 웜 시뮬레이션을 위한 가상 네트워크를 이용한대규모 네트워크 표현 시스템 및 방법
US20080001717A1 (en) * 2006-06-20 2008-01-03 Trevor Fiatal System and method for group management
US8055682B1 (en) * 2006-06-30 2011-11-08 At&T Intellectual Property Ii, L.P. Security information repository system and method thereof
CN101513008B (zh) * 2006-07-31 2012-09-19 意大利电信股份公司 在电信终端上实现安全性的系统
US20100027769A1 (en) * 2006-08-03 2010-02-04 Jeffrey Stevens Global telecommunications network proactive repository, with communication network overload management
WO2008046210A1 (en) * 2006-10-20 2008-04-24 Ray Ganong Software for web-based management of an organization's response to an event
KR100862187B1 (ko) * 2006-10-27 2008-10-09 한국전자통신연구원 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의인터넷 웜 탐지 장치 및 그 방법
KR100892415B1 (ko) * 2006-11-13 2009-04-10 한국전자통신연구원 사이버위협 예보 시스템 및 방법
US8191149B2 (en) 2006-11-13 2012-05-29 Electronics And Telecommunications Research Institute System and method for predicting cyber threat
US20080183520A1 (en) * 2006-11-17 2008-07-31 Norwich University Methods and apparatus for evaluating an organization
KR100708534B1 (ko) * 2007-01-04 2007-04-18 포인트아이 주식회사 유시티 통합 관제를 위한 데이터 관리 방법, 서버 및시스템
KR100838799B1 (ko) * 2007-03-09 2008-06-17 에스케이 텔레콤주식회사 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법
US8413247B2 (en) * 2007-03-14 2013-04-02 Microsoft Corporation Adaptive data collection for root-cause analysis and intrusion detection
US8955105B2 (en) * 2007-03-14 2015-02-10 Microsoft Corporation Endpoint enabled for enterprise security assessment sharing
US8959568B2 (en) * 2007-03-14 2015-02-17 Microsoft Corporation Enterprise security assessment sharing
US20080229419A1 (en) * 2007-03-16 2008-09-18 Microsoft Corporation Automated identification of firewall malware scanner deficiencies
US20080244742A1 (en) * 2007-04-02 2008-10-02 Microsoft Corporation Detecting adversaries by correlating detected malware with web access logs
US9083712B2 (en) * 2007-04-04 2015-07-14 Sri International Method and apparatus for generating highly predictive blacklists
KR100862194B1 (ko) * 2007-04-06 2008-10-09 한국전자통신연구원 침해사건 공유 장치 및 방법, 그리고 이를 포함하는네트워크 보안 시스템
US8805425B2 (en) * 2007-06-01 2014-08-12 Seven Networks, Inc. Integrated messaging
US20090016496A1 (en) * 2007-07-14 2009-01-15 Bulmer Michael W Communication system
EP2040435B1 (en) * 2007-09-19 2013-11-06 Alcatel Lucent Intrusion detection method and system
KR20090037538A (ko) * 2007-10-12 2009-04-16 한국정보보호진흥원 정보자산 모델링을 이용한 위험 평가 방법
KR100955282B1 (ko) * 2007-10-12 2010-04-30 한국정보보호진흥원 정보 계층 구조를 이용한 네트워크 위험 분석 방법
US8364181B2 (en) 2007-12-10 2013-01-29 Seven Networks, Inc. Electronic-mail filtering for mobile devices
US9002828B2 (en) * 2007-12-13 2015-04-07 Seven Networks, Inc. Predictive content delivery
CN101459660A (zh) 2007-12-13 2009-06-17 国际商业机器公司 用于集成多个威胁安全服务的方法及其设备
US8280905B2 (en) * 2007-12-21 2012-10-02 Georgetown University Automated forensic document signatures
US8312023B2 (en) * 2007-12-21 2012-11-13 Georgetown University Automated forensic document signatures
US20090210245A1 (en) * 2007-12-28 2009-08-20 Edwin Leonard Wold Drawing and data collection systems
US20090178131A1 (en) * 2008-01-08 2009-07-09 Microsoft Corporation Globally distributed infrastructure for secure content management
US8862657B2 (en) 2008-01-25 2014-10-14 Seven Networks, Inc. Policy based content service
US20090193338A1 (en) 2008-01-28 2009-07-30 Trevor Fiatal Reducing network and battery consumption during content delivery and playback
US8739289B2 (en) * 2008-04-04 2014-05-27 Microsoft Corporation Hardware interface for enabling direct access and security assessment sharing
EP2279465B1 (en) * 2008-04-17 2014-04-02 Siemens Aktiengesellschaft Method and system for cyber security management of industrial control systems
US8910255B2 (en) * 2008-05-27 2014-12-09 Microsoft Corporation Authentication for distributed secure content management system
US8787947B2 (en) 2008-06-18 2014-07-22 Seven Networks, Inc. Application discovery on mobile devices
US8078158B2 (en) 2008-06-26 2011-12-13 Seven Networks, Inc. Provisioning applications for a mobile device
US8112304B2 (en) 2008-08-15 2012-02-07 Raytheon Company Method of risk management across a mission support network
JP5011234B2 (ja) * 2008-08-25 2012-08-29 株式会社日立情報システムズ 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム
SE533757C2 (sv) * 2008-09-15 2010-12-28 Security Alliance Stockholm Ab Databehandlingssystem för samverkan mellan aktörer för skydd av ett område
US20100076748A1 (en) * 2008-09-23 2010-03-25 Avira Gmbh Computer-based device for generating multilanguage threat descriptions concerning computer threats
US8909759B2 (en) 2008-10-10 2014-12-09 Seven Networks, Inc. Bandwidth measurement
US8566947B1 (en) * 2008-11-18 2013-10-22 Symantec Corporation Method and apparatus for managing an alert level for notifying a user as to threats to a computer
KR101025502B1 (ko) * 2008-12-24 2011-04-06 한국인터넷진흥원 네트워크 기반의 irc와 http 봇넷을 탐지하여 대응하는 시스템과 그 방법
KR101007330B1 (ko) * 2008-12-24 2011-01-13 한국과학기술정보연구원 연구개발 모니터링 경보 시스템 및 방법
US20100205014A1 (en) * 2009-02-06 2010-08-12 Cary Sholer Method and system for providing response services
US9112850B1 (en) 2009-03-25 2015-08-18 The 41St Parameter, Inc. Systems and methods of sharing information through a tag-based consortium
US20100251376A1 (en) * 2009-03-27 2010-09-30 Kuity Corp Methodologies, tools and processes for the analysis of information assurance threats within material sourcing and procurement
WO2010144796A2 (en) * 2009-06-12 2010-12-16 QinetiQ North America, Inc. Integrated cyber network security system and method
KR101039717B1 (ko) * 2009-07-07 2011-06-09 한국전자통신연구원 사이버위협을 예측하기 위한 사이버위협 예측 엔진 시스템 및 상기 시스템을 이용한 사이버위협 예측 방법
KR101056268B1 (ko) * 2010-01-25 2011-08-11 주식회사 반딧불소프트웨어 컴퓨터통신이 가능한 단말장치에 대한 보안 점검 시스템 및 방법
US9544143B2 (en) 2010-03-03 2017-01-10 Duo Security, Inc. System and method of notifying mobile devices to complete transactions
US9532222B2 (en) 2010-03-03 2016-12-27 Duo Security, Inc. System and method of notifying mobile devices to complete transactions after additional agent verification
US8650248B2 (en) * 2010-05-25 2014-02-11 At&T Intellectual Property I, L.P. Methods and systems for selecting and implementing digital personas across applications and services
US8533319B2 (en) 2010-06-02 2013-09-10 Lockheed Martin Corporation Methods and systems for prioritizing network assets
US8838783B2 (en) 2010-07-26 2014-09-16 Seven Networks, Inc. Distributed caching for resource and mobile network traffic management
WO2012018430A1 (en) 2010-07-26 2012-02-09 Seven Networks, Inc. Mobile network traffic coordination across multiple applications
US8417823B2 (en) 2010-11-22 2013-04-09 Seven Network, Inc. Aligning data transfer to optimize connections established for transmission over a wireless network
WO2012060995A2 (en) 2010-11-01 2012-05-10 Michael Luna Distributed caching in a wireless network of content delivered for a mobile application over a long-held request
US8484314B2 (en) 2010-11-01 2013-07-09 Seven Networks, Inc. Distributed caching in a wireless network of content delivered for a mobile application over a long-held request
US8843153B2 (en) 2010-11-01 2014-09-23 Seven Networks, Inc. Mobile traffic categorization and policy for network use optimization while preserving user experience
GB2500327B (en) 2010-11-22 2019-11-06 Seven Networks Llc Optimization of resource polling intervals to satisfy mobile device requests
WO2012094675A2 (en) 2011-01-07 2012-07-12 Seven Networks, Inc. System and method for reduction of mobile network traffic used for domain name system (dns) queries
EP2700019B1 (en) 2011-04-19 2019-03-27 Seven Networks, LLC Social caching for device resource sharing and management
WO2012149221A2 (en) 2011-04-27 2012-11-01 Seven Networks, Inc. System and method for making requests on behalf of a mobile device based on atomic processes for mobile network traffic relief
WO2012149434A2 (en) 2011-04-27 2012-11-01 Seven Networks, Inc. Detecting and preserving state for satisfying application requests in a distributed proxy and cache system
EP2737742A4 (en) * 2011-07-27 2015-01-28 Seven Networks Inc AUTOMATIC PRODUCTION AND DISTRIBUTION OF GUIDELINES INFORMATION ON MOBILE MOBILE TRANSPORT IN A WIRELESS NETWORK
US8925091B2 (en) * 2011-09-01 2014-12-30 Dell Products, Lp System and method for evaluation in a collaborative security assurance system
US9467463B2 (en) 2011-09-02 2016-10-11 Duo Security, Inc. System and method for assessing vulnerability of a mobile device
KR20130030678A (ko) * 2011-09-19 2013-03-27 한국전자통신연구원 이기종 서비스 제공자간의 정보 공유 시스템 및 방법
US8732840B2 (en) * 2011-10-07 2014-05-20 Accenture Global Services Limited Incident triage engine
US9058486B2 (en) * 2011-10-18 2015-06-16 Mcafee, Inc. User behavioral risk assessment
US10754913B2 (en) 2011-11-15 2020-08-25 Tapad, Inc. System and method for analyzing user device information
WO2013086225A1 (en) 2011-12-06 2013-06-13 Seven Networks, Inc. A mobile device and method to utilize the failover mechanisms for fault tolerance provided for mobile traffic management and network/device resource conservation
US8934414B2 (en) 2011-12-06 2015-01-13 Seven Networks, Inc. Cellular or WiFi mobile traffic optimization based on public or private network destination
EP2788889A4 (en) 2011-12-07 2015-08-12 Seven Networks Inc FLEXIBLE AND DYNAMIC INTEGRATION SCHEMES OF A TRAFFIC MANAGEMENT SYSTEM WITH VARIOUS NETWORK OPERATORS TO REDUCE NETWORK TRAFFIC
WO2013086447A1 (en) 2011-12-07 2013-06-13 Seven Networks, Inc. Radio-awareness of mobile device for sending server-side control signals using a wireless network optimized transport protocol
WO2013090212A1 (en) 2011-12-14 2013-06-20 Seven Networks, Inc. Mobile network reporting and usage analytics system and method using aggregation of data in a distributed traffic optimization system
US8909202B2 (en) 2012-01-05 2014-12-09 Seven Networks, Inc. Detection and management of user interactions with foreground applications on a mobile device in distributed caching
WO2013116856A1 (en) 2012-02-02 2013-08-08 Seven Networks, Inc. Dynamic categorization of applications for network access in a mobile network
WO2013116852A1 (en) 2012-02-03 2013-08-08 Seven Networks, Inc. User as an end point for profiling and optimizing the delivery of content and data in a wireless network
US9633201B1 (en) * 2012-03-01 2017-04-25 The 41St Parameter, Inc. Methods and systems for fraud containment
US9521551B2 (en) 2012-03-22 2016-12-13 The 41St Parameter, Inc. Methods and systems for persistent cross-application mobile device identification
US8812695B2 (en) 2012-04-09 2014-08-19 Seven Networks, Inc. Method and system for management of a virtual network connection without heartbeat messages
US10263899B2 (en) 2012-04-10 2019-04-16 Seven Networks, Llc Enhanced customer service for mobile carriers using real-time and historical mobile application and traffic or optimization data associated with mobile devices in a mobile network
KR101691245B1 (ko) * 2012-05-11 2017-01-09 삼성에스디에스 주식회사 웹 서비스 모니터링 시스템 및 방법
US9069969B2 (en) * 2012-06-13 2015-06-30 International Business Machines Corporation Managing software patch installations
WO2014011216A1 (en) 2012-07-13 2014-01-16 Seven Networks, Inc. Dynamic bandwidth adjustment for browsing or streaming activity in a wireless network based on prediction of user behavior when interacting with mobile applications
WO2014022813A1 (en) 2012-08-02 2014-02-06 The 41St Parameter, Inc. Systems and methods for accessing records via derivative locators
US20140068696A1 (en) * 2012-08-30 2014-03-06 Sap Ag Partial and risk-based data flow control in cloud environments
US8806648B2 (en) * 2012-09-11 2014-08-12 International Business Machines Corporation Automatic classification of security vulnerabilities in computer software applications
US9161258B2 (en) 2012-10-24 2015-10-13 Seven Networks, Llc Optimized and selective management of policy deployment to mobile clients in a congested network to prevent further aggravation of network congestion
WO2014078569A1 (en) 2012-11-14 2014-05-22 The 41St Parameter, Inc. Systems and methods of global identification
US9106681B2 (en) 2012-12-17 2015-08-11 Hewlett-Packard Development Company, L.P. Reputation of network address
US9307493B2 (en) 2012-12-20 2016-04-05 Seven Networks, Llc Systems and methods for application management of mobile device radio state promotion and demotion
US9241314B2 (en) 2013-01-23 2016-01-19 Seven Networks, Llc Mobile device with application or context aware fast dormancy
US8874761B2 (en) 2013-01-25 2014-10-28 Seven Networks, Inc. Signaling optimization in a wireless network for traffic utilizing proprietary and non-proprietary protocols
CN103139213A (zh) * 2013-02-07 2013-06-05 苏州亿倍信息技术有限公司 一种处理网络登录的方法及系统
US8893230B2 (en) 2013-02-22 2014-11-18 Duo Security, Inc. System and method for proxying federated authentication protocols
US9338156B2 (en) 2013-02-22 2016-05-10 Duo Security, Inc. System and method for integrating two-factor authentication in a device
US9607156B2 (en) 2013-02-22 2017-03-28 Duo Security, Inc. System and method for patching a device through exploitation
US8750123B1 (en) 2013-03-11 2014-06-10 Seven Networks, Inc. Mobile device equipped with mobile network congestion recognition to make intelligent decisions regarding connecting to an operator network
US10440046B2 (en) 2015-09-25 2019-10-08 Intel Corporation Technologies for anonymous context attestation and threat analytics
US9065765B2 (en) 2013-07-22 2015-06-23 Seven Networks, Inc. Proxy server associated with a mobile carrier for enhancing mobile traffic management in a mobile network
US10902327B1 (en) 2013-08-30 2021-01-26 The 41St Parameter, Inc. System and method for device identification and uniqueness
CN104424043B (zh) * 2013-09-02 2017-11-28 深圳中兴网信科技有限公司 一种应用平台与插件间异常隔离的方法及系统
US9092302B2 (en) 2013-09-10 2015-07-28 Duo Security, Inc. System and method for determining component version compatibility across a device ecosystem
US9608814B2 (en) 2013-09-10 2017-03-28 Duo Security, Inc. System and method for centralized key distribution
US10616258B2 (en) * 2013-10-12 2020-04-07 Fortinet, Inc. Security information and event management
US9774448B2 (en) 2013-10-30 2017-09-26 Duo Security, Inc. System and methods for opportunistic cryptographic key management on an electronic device
US9762590B2 (en) 2014-04-17 2017-09-12 Duo Security, Inc. System and method for an integrity focused authentication service
US9830458B2 (en) * 2014-04-25 2017-11-28 Symantec Corporation Discovery and classification of enterprise assets via host characteristics
US10587641B2 (en) * 2014-05-20 2020-03-10 Micro Focus Llc Point-wise protection of application using runtime agent and dynamic security analysis
US9323930B1 (en) * 2014-08-19 2016-04-26 Symantec Corporation Systems and methods for reporting security vulnerabilities
US9614864B2 (en) * 2014-10-09 2017-04-04 Bank Of America Corporation Exposure of an apparatus to a technical hazard
US10091312B1 (en) 2014-10-14 2018-10-02 The 41St Parameter, Inc. Data structures for intelligently resolving deterministic and probabilistic device identifiers to device profiles and/or groups
US20160119365A1 (en) * 2014-10-28 2016-04-28 Comsec Consulting Ltd. System and method for a cyber intelligence hub
US10367828B2 (en) 2014-10-30 2019-07-30 International Business Machines Corporation Action response framework for data security incidents
WO2016068974A1 (en) 2014-10-31 2016-05-06 Hewlett Packard Enterprise Development Lp System and method for vulnerability remediation verification
WO2016068996A1 (en) * 2014-10-31 2016-05-06 Hewlett Packard Enterprise Development Lp Security record transfer in a computing system
KR101534194B1 (ko) * 2014-12-08 2015-07-08 한국인터넷진흥원 침입자 행동패턴을 반영한 사이버보안 교육훈련시스템 및 방법
US9979719B2 (en) 2015-01-06 2018-05-22 Duo Security, Inc. System and method for converting one-time passcodes to app-based authentication
US9641341B2 (en) 2015-03-31 2017-05-02 Duo Security, Inc. Method for distributed trust authentication
WO2016195847A1 (en) * 2015-06-01 2016-12-08 Duo Security, Inc. Method for enforcing endpoint health standards
US9774579B2 (en) 2015-07-27 2017-09-26 Duo Security, Inc. Method for key rotation
US10176329B2 (en) * 2015-08-11 2019-01-08 Symantec Corporation Systems and methods for detecting unknown vulnerabilities in computing processes
US20170085577A1 (en) * 2015-09-22 2017-03-23 Lorraine Wise Computer method for maintaining a hack trap
KR102431266B1 (ko) * 2015-09-24 2022-08-11 삼성전자주식회사 통신 시스템에서 정보 보호 장치 및 방법
DE102015119597B4 (de) * 2015-11-13 2022-07-14 Kriwan Industrie-Elektronik Gmbh Cyber-physikalisches System
JP6759572B2 (ja) 2015-12-15 2020-09-23 横河電機株式会社 統合生産システム
JP6693114B2 (ja) * 2015-12-15 2020-05-13 横河電機株式会社 制御装置及び統合生産システム
US10552615B2 (en) 2016-02-18 2020-02-04 Swimlane Llc Threat response systems and methods
US9898359B2 (en) * 2016-04-26 2018-02-20 International Business Machines Corporation Predictive disaster recovery system
RU2627386C1 (ru) * 2016-06-14 2017-08-10 Евгений Борисович Дроботун Стенд для испытаний автоматизированных систем в условиях воздействия вредоносных программ
US10348755B1 (en) * 2016-06-30 2019-07-09 Symantec Corporation Systems and methods for detecting network security deficiencies on endpoint devices
GB201617620D0 (en) * 2016-10-18 2016-11-30 Cybernetica As Composite digital signatures
US11201888B2 (en) 2017-01-06 2021-12-14 Mastercard International Incorporated Methods and systems for discovering network security gaps
KR101953638B1 (ko) * 2017-04-13 2019-03-04 국방과학연구소 군 사이버 모의침투 훈련을 위한 통합대시보드 장치 및 방법
RU2640629C1 (ru) * 2017-04-27 2018-01-10 Евгений Борисович Дроботун Способ оценки эффективности функционирования автоматизированных систем управления в условиях воздействия вредоносных программ
US10904272B2 (en) * 2017-11-02 2021-01-26 Allstate Insurance Company Consumer threat intelligence service
US10607013B2 (en) 2017-11-30 2020-03-31 Bank Of America Corporation System for information security threat assessment and event triggering
US10824734B2 (en) 2017-11-30 2020-11-03 Bank Of America Corporation System for recurring information security threat assessment
US10616261B2 (en) 2017-11-30 2020-04-07 Bank Of America Corporation System for information security threat assessment based on data history
US10412113B2 (en) 2017-12-08 2019-09-10 Duo Security, Inc. Systems and methods for intelligently configuring computer security
US11089024B2 (en) * 2018-03-09 2021-08-10 Microsoft Technology Licensing, Llc System and method for restricting access to web resources
KR102351150B1 (ko) 2018-04-23 2022-01-13 박준영 보상형 테스트베드 시스템 및 그 처리방법
CN109167799A (zh) * 2018-11-06 2019-01-08 北京华顺信安科技有限公司 一种用于智能网络信息系统的漏洞监控检测系统
US11658962B2 (en) 2018-12-07 2023-05-23 Cisco Technology, Inc. Systems and methods of push-based verification of a transaction
CN109977683A (zh) * 2019-04-08 2019-07-05 哈尔滨工业大学 一种经济管理信息安全系统
US11388188B2 (en) * 2019-05-10 2022-07-12 The Boeing Company Systems and methods for automated intrusion detection
CN110351113A (zh) * 2019-05-17 2019-10-18 国家工业信息安全发展研究中心 网络安全应急信息汇集分析系统
US11477240B2 (en) * 2019-06-26 2022-10-18 Fortinet, Inc. Remote monitoring of a security operations center (SOC)
KR102069326B1 (ko) * 2019-07-25 2020-01-22 한화시스템(주) 해상 사이버보안 인증 서비스 제공 시스템 및 방법
CN111143834A (zh) * 2019-11-12 2020-05-12 国家电网有限公司 一种电网内网安全管理与漏洞自动化验证方法及其系统
TWI812329B (zh) * 2019-11-20 2023-08-11 美商奈米創尼克影像公司 用於判定網路攻擊及產生警告之製造系統及電腦實施方法
CN111343169B (zh) * 2020-02-19 2022-02-11 中能融合智慧科技有限公司 一种工控环境下安全资源汇聚与情报共享的系统及方法
CN112199299B (zh) 2020-07-13 2022-05-17 支付宝(杭州)信息技术有限公司 一种生物识别设备的测试方法、装置、设备及系统
US11627162B2 (en) * 2020-07-14 2023-04-11 Capital One Services, Llc Methods and systems for processing cyber incidents in cyber incident management systems using dynamic processing hierarchies
CN111953697B (zh) * 2020-08-14 2023-08-18 上海境领信息科技有限公司 一种apt攻击识别及防御方法
CN111711557B (zh) * 2020-08-18 2020-12-04 北京赛宁网安科技有限公司 一种网络靶场用户远程接入系统与方法
KR102408489B1 (ko) * 2020-11-19 2022-06-13 주식회사 에이아이스페라 Ip 기반 보안 관제 방법 및 그 시스템
CN112583813A (zh) * 2020-12-09 2021-03-30 南京拟态智能技术研究院有限公司 一种网络安全预警系统
CN113179245B (zh) * 2021-03-19 2023-01-13 北京双湃智安科技有限公司 网络安全应急响应方法、系统、计算机设备及存储介质
CN114024768A (zh) * 2021-12-01 2022-02-08 北京天融信网络安全技术有限公司 一种基于DDoS攻击的安全防护方法及装置
CN115277070B (zh) * 2022-06-17 2023-08-29 西安热工研究院有限公司 一种网络安全运维热力图的生成方法
CN116389148B (zh) * 2023-04-14 2023-12-29 深圳市众云网有限公司 一种基于人工智能的网络安全态势预测系统
CN116757899B (zh) * 2023-08-22 2023-11-10 元尔科技(无锡)有限公司 智慧安全平台多部门联动处理方法
CN117061257A (zh) * 2023-10-13 2023-11-14 广州市零脉信息科技有限公司 一种网络安全评估系统
CN117932368A (zh) * 2024-03-22 2024-04-26 潍坊市平安消防工程有限公司 消防设施操作员实操管理系统及方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001060024A2 (en) * 2000-02-08 2001-08-16 Harris Corporation System and method for assessing the security vulnerability of a network
WO2001073553A1 (en) * 2000-03-27 2001-10-04 Network Security Systems, Inc. Internet/network security method and system for checking security of a client from a remote facility
JP2002251374A (ja) * 2000-12-20 2002-09-06 Fujitsu Ltd 情報管理システム、情報管理方法、およびその方法をコンピュータに実行させるプログラム、並びにそのプログラムを記録したコンピュータ読み取り可能な記録媒体

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6088804A (en) * 1998-01-12 2000-07-11 Motorola, Inc. Adaptive system and method for responding to computer network security attacks
US6324656B1 (en) * 1998-06-30 2001-11-27 Cisco Technology, Inc. System and method for rules-driven multi-phase network vulnerability assessment
US7047423B1 (en) * 1998-07-21 2006-05-16 Computer Associates Think, Inc. Information security analysis system
US6343362B1 (en) * 1998-09-01 2002-01-29 Networks Associates, Inc. System and method providing custom attack simulation language for testing networks
US6574737B1 (en) * 1998-12-23 2003-06-03 Symantec Corporation System for penetrating computer or computer network
US6397245B1 (en) * 1999-06-14 2002-05-28 Hewlett-Packard Company System and method for evaluating the operation of a computer over a computer network
US7073198B1 (en) * 1999-08-26 2006-07-04 Ncircle Network Security, Inc. Method and system for detecting a vulnerability in a network
US6957348B1 (en) * 2000-01-10 2005-10-18 Ncircle Network Security, Inc. Interoperability of vulnerability and intrusion detection systems
US7159237B2 (en) * 2000-03-16 2007-01-02 Counterpane Internet Security, Inc. Method and system for dynamic network intrusion monitoring, detection and response
KR20010090014A (ko) * 2000-05-09 2001-10-18 김대연 네트워크 보호 시스템
KR20020000225A (ko) * 2000-05-20 2002-01-05 김활중 컴퓨터 시스템의 통합적인 원격 보안 관리를 수행하는시스템 및 방법
GB0022485D0 (en) * 2000-09-13 2000-11-01 Apl Financial Services Oversea Monitoring network activity
US9027121B2 (en) * 2000-10-10 2015-05-05 International Business Machines Corporation Method and system for creating a record for one or more computer security incidents
US7168093B2 (en) * 2001-01-25 2007-01-23 Solutionary, Inc. Method and apparatus for verifying the integrity and security of computer networks and implementation of counter measures
CN1147795C (zh) * 2001-04-29 2004-04-28 北京瑞星科技股份有限公司 检测和清除已知及未知计算机病毒的方法、系统
US7325252B2 (en) * 2001-05-18 2008-01-29 Achilles Guard Inc. Network security testing
US20030028803A1 (en) * 2001-05-18 2003-02-06 Bunker Nelson Waldo Network vulnerability assessment system and method
US20020199122A1 (en) * 2001-06-22 2002-12-26 Davis Lauren B. Computer security vulnerability analysis methodology
US7096503B1 (en) * 2001-06-29 2006-08-22 Mcafee, Inc. Network-based risk-assessment tool for remotely detecting local computer vulnerabilities
US7356736B2 (en) * 2001-09-25 2008-04-08 Norman Asa Simulated computer system for monitoring of software performance
KR100448262B1 (ko) * 2002-03-19 2004-09-10 지승도 네트워크 보안 시뮬레이션 시스템
US6715084B2 (en) * 2002-03-26 2004-03-30 Bellsouth Intellectual Property Corporation Firewall system and method via feedback from broad-scope monitoring for intrusion detection
US7359962B2 (en) * 2002-04-30 2008-04-15 3Com Corporation Network security system integration
US7379857B2 (en) * 2002-05-10 2008-05-27 Lockheed Martin Corporation Method and system for simulating computer networks to facilitate testing of computer network security
CA2488901A1 (en) * 2002-06-18 2003-12-24 Computer Associates Think, Inc. Methods and systems for managing enterprise assets
US6952779B1 (en) * 2002-10-01 2005-10-04 Gideon Cohen System and method for risk detection and analysis in a computer network
US7308394B2 (en) * 2005-02-24 2007-12-11 Ultravision Security Systems, Inc. Method for modeling and testing a security system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001060024A2 (en) * 2000-02-08 2001-08-16 Harris Corporation System and method for assessing the security vulnerability of a network
JP2003523140A (ja) * 2000-02-08 2003-07-29 ハリス コーポレイション ネットワークのセキュリティ態勢を評価するためのシステム及び方法
WO2001073553A1 (en) * 2000-03-27 2001-10-04 Network Security Systems, Inc. Internet/network security method and system for checking security of a client from a remote facility
JP2003529254A (ja) * 2000-03-27 2003-09-30 ネットワーク セキュリティー システムズ, インコーポレーテッド 遠隔装置から顧客のセキュリティを検査するためのインターネット/ネットワーク・セキュリティ方法およびシステム
JP2002251374A (ja) * 2000-12-20 2002-09-06 Fujitsu Ltd 情報管理システム、情報管理方法、およびその方法をコンピュータに実行させるプログラム、並びにそのプログラムを記録したコンピュータ読み取り可能な記録媒体

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008015953A (ja) * 2006-07-10 2008-01-24 Hitachi Software Eng Co Ltd 情報資産の自動分類システム
JP2008167099A (ja) * 2006-12-28 2008-07-17 Mitsubishi Electric Corp セキュリティ管理装置及びセキュリティ管理方法及びプログラム
KR101282030B1 (ko) * 2007-01-26 2013-07-04 삼성전자주식회사 데이터의 보안 전송을 위한 화상형성장치 및 그 전송방법
KR101575282B1 (ko) * 2011-11-28 2015-12-09 한국전자통신연구원 보안관리 도메인들 간에 익명 식별자 기반의 보안정보를 공유하기 위한 에이전트 장치 및 방법
US9853994B2 (en) 2013-01-21 2017-12-26 Mitsubishi Electric Corporation Attack analysis system, cooperation apparatus, attack analysis cooperation method, and program
WO2017164269A1 (ja) * 2016-03-25 2017-09-28 日本電気株式会社 セキュリティリスク管理システム、サーバ、制御方法、非一時的なコンピュータ可読媒体
JP2017174289A (ja) * 2016-03-25 2017-09-28 日本電気株式会社 セキュリティリスク管理システム、サーバ、制御方法、プログラム
CN108885667A (zh) * 2016-03-25 2018-11-23 日本电气株式会社 安全风险管理系统、服务器、控制方法、以及非暂时性计算机可读介质
US10860722B2 (en) 2016-03-25 2020-12-08 Nec Corporation Security risk management system, server, control method, and non-transitory computer-readable medium
US11038901B2 (en) 2017-12-07 2021-06-15 Samsung Electronics Co., Ltd. Server and method for defending malicious code using same

Also Published As

Publication number Publication date
EP1563393A4 (en) 2010-12-22
US20060031938A1 (en) 2006-02-09
CA2503343A1 (en) 2004-05-06
EP1563393A1 (en) 2005-08-17
AU2003273085A1 (en) 2004-05-13
WO2004038594A1 (en) 2004-05-06
KR20040035572A (ko) 2004-04-29
CN1705938A (zh) 2005-12-07

Similar Documents

Publication Publication Date Title
JP2006504178A (ja) Itインフラにおける総合侵害事故対応システムおよびその動作方法
EP2498198B1 (en) Information system security based on threat vectors
Swanson et al. Generally accepted principles and practices for securing information technology systems
Jacobs Engineering information security: The application of systems engineering concepts to achieve information assurance
US20080201464A1 (en) Prevention of fraud in computer network
CN113542279A (zh) 一种网络安全风险评估方法、系统及装置
Shinde et al. Cyber incident response and planning: a flexible approach
CN117769706A (zh) 在网络中自动检测和解析网络安全的网络风险治理系统及方法
Yamin et al. Implementation of insider threat detection system using honeypot based sensors and threat analytics
Somepalli et al. Information security management
Gupta et al. Cybersecurity: a self-teaching introduction
Thomas et al. ETHICAL ISSUES OF USER BEHAVIORAL ANALYSIS THROUGH MACHINE LEARNING.
Alqudhaibi et al. Cybersecurity 4.0: safeguarding trust and production in the digital food industry era
He et al. Healthcare security incident response strategy-a proactive incident response (ir) procedure
Udofot et al. Factors related to small business cyber-attack protection in the United States
Bhardwaj et al. Sql injection attack detection, evidence collection, and notifying system using standard intrusion detection system in network forensics
Kaur et al. An introduction to security operations
Shihab et al. Moving towards PCI DSS 3.0 compliance: a case study of credit card data security audit in an online payment company
Wilshusen et al. Cybersecurity: Threats Impacting the Nation
Agbede Incident Handling and Response Process in Security Operations
Balon et al. Computer Intrusion Forensics Research Paper
Ghauri Digital Security Versus Private Information
Rabello et al. Proposed Incident Response Methodology for Data Leakage
Gunawan et al. Cybersecurity effectiveness: The role of internal auditor certification, risk assessment and senior management
Wang et al. Towards Trusted Data Processing for Information and Intelligence Systems

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080325

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20080625

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20080702

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20080724

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20080731

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080924

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20081111