JP2015142324A - Information sharing device, information sharing method, and information sharing program - Google Patents

Information sharing device, information sharing method, and information sharing program Download PDF

Info

Publication number
JP2015142324A
JP2015142324A JP2014015553A JP2014015553A JP2015142324A JP 2015142324 A JP2015142324 A JP 2015142324A JP 2014015553 A JP2014015553 A JP 2014015553A JP 2014015553 A JP2014015553 A JP 2014015553A JP 2015142324 A JP2015142324 A JP 2015142324A
Authority
JP
Japan
Prior art keywords
information
attack
terminal
service
identification information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014015553A
Other languages
Japanese (ja)
Other versions
JP6081386B2 (en
Inventor
博 胡
Hiroshi Ko
博 胡
邦夫 波戸
Kunio Namito
邦夫 波戸
祐一 村田
Yuichi Murata
祐一 村田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2014015553A priority Critical patent/JP6081386B2/en
Publication of JP2015142324A publication Critical patent/JP2015142324A/en
Application granted granted Critical
Publication of JP6081386B2 publication Critical patent/JP6081386B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

PROBLEM TO BE SOLVED: To identify service such as an application to be a cause of cyber attack.SOLUTION: An information sharing device is included in each system in a communication system and refers to identification information on an attack source terminal to identify a system accommodating the terminal. When having identified the system including the information sharing device as the system accommodating the attack source terminal and the attack source terminal uses service of another system, the information sharing device transmits attack information to the other system. When the system is not the identified system, the information sharing device transmits attack information to the identified system. An information sharing device included in a system, in the case of receiving attack information from another information sharing device and the system provides service for an attack source terminal, identifies the service as an attack cause.

Description

本発明は、情報共有装置、情報共有方法、および、情報共有プログラムに関する。   The present invention relates to an information sharing apparatus, an information sharing method, and an information sharing program.

携帯端末の高機能化とネットワークの多様化により、携帯端末がサイバー攻撃の攻撃元の端末として利用されてしまうことがある(非特許文献1,2参照)。   Due to the high functionality of mobile terminals and the diversification of networks, mobile terminals may be used as cyber attack source terminals (see Non-Patent Documents 1 and 2).

Adrienne Porter Felt他、“A Survey of Mobile Malware in the Wild”、2011年Adrienne Porter Felt et al., “A Survey of Mobile Malware in the Wild”, 2011 Aubrey-Derrick Schmidt他、“Smartphone Malware Evolution Revisited: Android Next Target?”、2009年Aubrey-Derrick Schmidt et al., “Smartphone Malware Evolution Revisited: Android Next Target?”, 2009

このような攻撃が発生した場合、攻撃元の情報として攻撃元の端末のIP(Internet Protocol)アドレスやMAC(Media Access Control)アドレス等のネットワーク空間の識別情報しか特定できない。このため、当該端末で利用しているアプリケーションが攻撃の原因だった場合、原因の特定が困難であるという問題があった。そこで本発明は、前記した問題を解決し、サイバー攻撃の原因を迅速に特定することを目的とする。   When such an attack occurs, only the identification information of the network space such as the IP (Internet Protocol) address and MAC (Media Access Control) address of the terminal of the attack source can be specified as the attack source information. For this reason, when the application used in the terminal is the cause of the attack, there is a problem that it is difficult to identify the cause. Accordingly, an object of the present invention is to solve the above-described problems and to quickly identify the cause of a cyber attack.

前記した課題を解決するために、本発明は、攻撃元の端末の識別情報を含む攻撃情報の入力を受け付ける入力部と、端末の識別情報ごとに、当該端末が収容されるシステムの識別情報を示した所属システム情報と、自身の情報共有装置の属するシステムである自システムの端末がサービスの提供を受けるシステム、および、自システムに接続される他のシステムを示したシステム相互接続情報と、前記端末の識別情報ごとに、当該端末に提供しているサービスの識別情報を示した提供サービス情報とを記憶する記憶部と、前記攻撃元の端末の識別情報および前記所属システム情報を参照して、当該端末が収容されるシステムを特定する所属システム特定部と、前記特定されたシステムが自システムであるとき、前記システム相互接続情報を参照して、前記攻撃元の端末が他のシステムのサービスの提供を受けている否かを判断する判断部と、前記特定されたシステムが自システムではないとき、前記特定されたシステムを前記攻撃情報の共有先として決定し、前記特定されたシステムが自システムである場合において、前記攻撃元の端末が他のシステムのサービスの提供を受けていると判断されたとき、前記システム相互接続情報を参照して、当該サービスの提供元のシステムを前記攻撃情報の共有先として決定する共有先決定部と、前記決定された共有先へ、前記攻撃情報を送信する共有情報送信部と、前記入力部経由で、他の情報共有装置から、前記攻撃情報の入力を受け付けたとき、前記攻撃情報と前記提供サービス情報とを参照して、前記攻撃元の端末に提供しているサービスの中から、攻撃の原因となっているサービスを特定する原因分析部とを備えることを特徴とする。   In order to solve the above-described problem, the present invention provides an input unit that receives input of attack information including identification information of an attack source terminal, and identification information of a system in which the terminal is accommodated for each terminal identification information. The system information shown, the system interconnection information indicating the system in which the terminal of the own system, which is the system to which the information sharing apparatus belongs, receives service, and other systems connected to the own system, For each terminal identification information, referring to the storage unit that stores the provided service information indicating the identification information of the service provided to the terminal, the identification information of the terminal of the attack source and the belonging system information, Refers to the system interconnection information when the identified system is the own system and the belonging system identification unit that identifies the system in which the terminal is accommodated. A determination unit that determines whether the attack source terminal is provided with a service of another system; and when the specified system is not a local system, the specified system is referred to as the attack information. When the identified system is its own system and it is determined that the terminal of the attack source is provided with the service of another system, refer to the system interconnection information. Then, a sharing destination determination unit that determines a system that provides the service as a sharing destination of the attack information, a shared information transmission unit that transmits the attack information to the determined sharing destination, and the input unit Then, when receiving the attack information input from another information sharing device, the server providing the attack source terminal with reference to the attack information and the provided service information. From the scan, characterized in that it comprises a cause analyzer for identifying a service that causes the attack.

本発明によれば、サイバー攻撃の原因を迅速に特定することができる。   According to the present invention, the cause of a cyber attack can be quickly identified.

図1は、通信システムの構成例を示す図である。FIG. 1 is a diagram illustrating a configuration example of a communication system. 図2は、図1の通信システムの処理の一例を示す図である。FIG. 2 is a diagram illustrating an example of processing of the communication system of FIG. 図3は、図1の通信システムの処理の一例を示す図である。FIG. 3 is a diagram illustrating an example of processing of the communication system of FIG. 図4は、図1の情報共有装置の機能ブロック図である。FIG. 4 is a functional block diagram of the information sharing apparatus of FIG. 図5は、図4の所属システム情報の一例を示す図である。FIG. 5 is a diagram illustrating an example of the belonging system information in FIG. 図6は、図4のサービス提供元システム情報の一例を示す図である。FIG. 6 is a diagram illustrating an example of the service provider system information in FIG. 図7は、図4のシステム相互接続情報の一例を示す図である。FIG. 7 is a diagram showing an example of the system interconnection information of FIG. 図8は、図4の識別情報変換テーブルの一例を示す図である。FIG. 8 is a diagram illustrating an example of the identification information conversion table of FIG. 図9は、図4の提供サービス情報の一例を示す図である。FIG. 9 is a diagram illustrating an example of the provided service information in FIG. 図10は、図4の情報共有装置の処理手順を示すフローチャートである。FIG. 10 is a flowchart showing a processing procedure of the information sharing apparatus of FIG. 図11は、図10の情報共有判断処理の処理手順を示すフローチャートである。FIG. 11 is a flowchart showing a processing procedure of the information sharing determination process of FIG. 図12は、図10の情報共有先決定処理の処理手順を示すフローチャートである。FIG. 12 is a flowchart showing a processing procedure of the information sharing destination determination process of FIG. 図13は、原因分析処理の処理手順を示すフローチャートである。FIG. 13 is a flowchart illustrating a processing procedure of cause analysis processing. 図14は、原因分析処理の具体例を説明するための図である。FIG. 14 is a diagram for explaining a specific example of the cause analysis process. 図15は、情報共有プログラムを実行するコンピュータを示す図である。FIG. 15 is a diagram illustrating a computer that executes an information sharing program.

以下、図面を参照しながら、本発明の実施形態を説明する。なお、この実施形態によりこの発明が限定されるものではない。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. In addition, this invention is not limited by this embodiment.

(第1の実施形態)
図1を用いて各実施形態の通信システムの構成を説明する。通信システムは、複数の事業者のシステムにより構成され、例えば、様々なWebサービスを提供するサービス事業者のシステムと、端末20(例えば、携帯電話機)に対し、移動通信網による通信サービスを提供する移動通信事業者のシステムと、端末20に対しアプリケーション(以下、適宜、アプリと略す)の配信等のサービスを提供するアプリケーション配信事業者のシステムとを備える。 (First embodiment)
The configuration of the communication system of each embodiment will be described with reference to FIG. The communication system is composed of a plurality of provider systems, and provides, for example, a service provider system that provides various Web services and a communication service using a mobile communication network to the terminal 20 (for example, a mobile phone). A mobile communication provider system; and an application distribution provider system that provides a service such as distribution of an application (hereinafter, abbreviated as an application as appropriate) to the terminal 20.

サービス事業者のシステムは、例えば、サーバ30等のWebサーバを用いてサービスを提供したり、インターネット網を用いてインターネット接続サービスを提供したりするシステムである。このサービス事業者のシステムは、インターネット網や、インターネット網に接続されるサーバ30等を備える。   The service provider system is a system that provides a service using a Web server such as the server 30 or provides an Internet connection service using an Internet network. This service provider system includes an Internet network, a server 30 connected to the Internet network, and the like.

移動通信事業者のシステムは、3G(第3世代移動通信システム)や、LTE(Long Term Evolution)等の移動通信網を備え、この移動通信網により端末20(20A〜20C等)の通信サービスを提供する。   The system of the mobile communication carrier includes a mobile communication network such as 3G (third generation mobile communication system) or LTE (Long Term Evolution), and the mobile communication network provides communication services for the terminals 20 (20A to 20C, etc.). provide.

アプリケーション配信事業者のシステムは、端末20に対し、アプリケーションの配信等のサービスを提供するサーバ40を備える。このサーバ40は、例えば、端末20に対し各種アプリケーション(アプリA,アプリB等)を配信するアプリケーション配信サーバである。   The system of the application distribution company includes a server 40 that provides services such as application distribution to the terminal 20. The server 40 is an application distribution server that distributes various applications (application A, application B, etc.) to the terminal 20, for example.

これらのシステムはそれぞれ、監視装置60、セキュリティ管理装置50、情報共有装置10(10A〜10C)を備え、インターネット等のネットワークにより接続される。破線で示す制御装置70については、システムが装備する場合と装備しない場合とがあり、装備する場合については後記する。   Each of these systems includes a monitoring device 60, a security management device 50, and an information sharing device 10 (10A to 10C), which are connected by a network such as the Internet. The control device 70 indicated by a broken line may or may not be equipped with the system, and will be described later.

監視装置60は、自システム内の装置やネットワークの監視を行い、攻撃を検知した場合、その攻撃内容を示す攻撃情報をセキュリティ管理装置50へ送信する。   The monitoring device 60 monitors devices and networks in its own system, and when an attack is detected, transmits the attack information indicating the attack content to the security management device 50.

セキュリティ管理装置50は、監視装置60から受信した攻撃情報を情報共有装置10へ送信する。また、このセキュリティ管理装置50は、監視装置60や、情報共有装置10から送信された攻撃情報を蓄積し、システムの管理者等の指示入力に基づき、これらの攻撃情報を出力するようにしてもよい。   The security management device 50 transmits the attack information received from the monitoring device 60 to the information sharing device 10. The security management device 50 may accumulate attack information transmitted from the monitoring device 60 or the information sharing device 10 and output the attack information based on an instruction input from a system administrator or the like. Good.

情報共有装置10は、セキュリティ管理装置50経由で攻撃情報を受信する。前記したとおり攻撃情報は、サイバー攻撃の攻撃内容を示した情報であり、攻撃元の端末20の識別情報を含む。この攻撃情報は、攻撃先の端末20の識別情報や、攻撃の種別、攻撃の日時等を含んでいてもよい。そして、情報共有装置10は、受信した攻撃情報の内容から、当該攻撃情報を他のシステムの情報共有装置10と共有すべきかを否かを判断し、共有すべきと判断したとき、この攻撃情報を他のシステムへ送信する。   The information sharing device 10 receives attack information via the security management device 50. As described above, the attack information is information indicating the attack content of the cyber attack, and includes identification information of the terminal 20 of the attack source. This attack information may include identification information of the attack destination terminal 20, an attack type, an attack date and time, and the like. Then, the information sharing device 10 determines whether or not the attack information should be shared with the information sharing device 10 of another system from the content of the received attack information. To other systems.

例えば、サービス事業者のシステムにおいてサーバ30に対するDDoS攻撃(Distributed Denial of Service attack)が検知された場合を考える。この場合、情報共有装置10Aは、受信した攻撃情報から、サーバ30への攻撃元の端末20が端末20A,20Bであり、これらの端末20A,20Bの属するシステム(移動通信事業者のシステム)を特定する。そして、情報共有装置10Aは、この攻撃情報を、移動通信事業者のシステムの情報共有装置10Bへ送信する。   For example, consider a case where a DDoS attack (Distributed Denial of Service attack) on the server 30 is detected in the service provider's system. In this case, in the information sharing apparatus 10A, from the received attack information, the terminal 20 that is the source of the attack on the server 30 is the terminals 20A and 20B, and the system to which these terminals 20A and 20B belong (the system of the mobile communication carrier) Identify. Then, the information sharing apparatus 10A transmits this attack information to the information sharing apparatus 10B of the mobile communication carrier system.

情報共有装置10Aからの攻撃情報を受信した情報共有装置10Bは、攻撃元の端末20A,20Bが利用している他のシステムのサービス(アプリケーション)があるか否かを確認し、利用しているサービスがあれば、そのサービスの提供元のシステムに対し、攻撃情報を送信する。例えば、端末20A,20Bが、アプリケーション配信事業者のサービス(サーバ40によるアプリケーション配信)を利用していた場合、このアプリケーション配信事業者のシステムの情報共有装置10Cへ攻撃情報を送信する。   The information sharing apparatus 10B that has received the attack information from the information sharing apparatus 10A checks whether or not there is a service (application) of another system used by the attack source terminals 20A and 20B. If there is a service, attack information is transmitted to the system that provides the service. For example, when the terminals 20A and 20B use the service of the application distributor (application distribution by the server 40), the attack information is transmitted to the information sharing apparatus 10C of the system of the application distributor.

情報共有装置10Bからの攻撃情報を受信した情報共有装置10Cは、攻撃情報に含まれる攻撃元の端末20A,20Bの識別情報から、これらの端末20へ配信したアプリケーション(例えば、アプリA)を特定する。そして、このアプリケーションの配信停止等を行う。   The information sharing apparatus 10C that has received the attack information from the information sharing apparatus 10B identifies the application (for example, the application A) distributed to these terminals 20 from the identification information of the attack source terminals 20A and 20B included in the attack information. To do. Then, the distribution of this application is stopped.

以上の処理を、具体例を交えながら、詳細に説明する。例えば、図2に示すように、アプリケーション配信事業者のサーバ40からマルウェアを含むアプリAが端末20A,20Bに配信され((1)アプリA(マルウェア)配信)、これが原因となりサービス事業者のシステムのサーバ30への攻撃が行われた場合を考える((2)攻撃)。この場合、攻撃を検知したサービス事業者のシステムの情報共有装置10Aは、端末20A,20Bが収容される移動通信事業者のシステムへ攻撃情報を送信する((3)攻撃情報)。この攻撃情報は、例えば、攻撃先アドレス(サーバ30のアドレス)および攻撃元アドレス(端末20A,20Bのアドレス)を含む。   The above process will be described in detail with specific examples. For example, as shown in FIG. 2, application A including malware is distributed from the server 40 of the application distributor to the terminals 20A and 20B ((1) distribution of application A (malware)). Let us consider a case where an attack on the server 30 is performed ((2) attack). In this case, the information sharing apparatus 10A of the service provider system that detected the attack transmits the attack information to the mobile communication provider system in which the terminals 20A and 20B are accommodated ((3) attack information). This attack information includes, for example, an attack destination address (the address of the server 30) and an attack source address (the addresses of the terminals 20A and 20B).

移動通信事業者のシステムの情報共有装置10Bは、受信した攻撃情報に含まれる攻撃元アドレス(例えば、端末20A,20BのIPアドレス)から、攻撃元の端末20A,20Bの端末番号(例えば、携帯電話機の番号)を特定する((4)番号を特定)。そして、情報共有装置10Bは、この端末番号から、端末20A,20Bが利用しているアプリケーションの提供事業者のシステムを特定し、この特定したシステムに対し、端末20A,20Bの番号情報(端末番号)を送信する((5)番号情報)。   The information sharing apparatus 10B of the mobile carrier's system uses the attack source addresses (for example, the IP addresses of the terminals 20A and 20B) included in the received attack information to determine the terminal numbers (for example, mobile phones) of the attack source terminals 20A and 20B. Phone number) ((4) specify number). Then, the information sharing apparatus 10B identifies the system of the provider of the application used by the terminals 20A and 20B from the terminal number, and the number information (terminal number) of the terminals 20A and 20B is identified with respect to the identified system. ) Is transmitted ((5) number information).

アプリケーション配信事業者のシステムの情報共有装置10Cは、受信した番号情報から、端末20A,20Bへ配信したアプリ(アプリA)を特定する((6)アプリを特定)。   The information sharing apparatus 10C of the application distributor's system specifies the application (application A) distributed to the terminals 20A and 20B from the received number information ((6) specifies the application).

その後、例えば、図3に示すようにアプリケーション配信事業者のシステムにおいて、サーバ40から、アプリAを削除したり、移動通信事業者のシステムにおいて、端末20A,20Bからの通信を遮断(攻撃遮断)したり、端末20A,20Bに対するアプリAの削除指示をしたりする等の対応策がとられる。   Thereafter, for example, as shown in FIG. 3, the application A is deleted from the server 40 in the system of the application distribution company, or the communication from the terminals 20A and 20B is blocked (attack blocking) in the system of the mobile communication company. Or a countermeasure such as instructing the terminals 20A and 20B to delete the application A is taken.

このようにすることで、端末20へ提供されたサービス(例えば、アプリケーションの配信等)が原因となってサイバー攻撃が発生した場合でも、攻撃原因となったサービスや端末20に対し、迅速かつ効率的な対応をすることができる。   In this way, even when a cyber attack occurs due to a service provided to the terminal 20 (for example, distribution of an application, etc.), the service and the terminal 20 that cause the attack can be quickly and efficiently performed. Can respond.

次に、図4を用いて、各システムの情報共有装置10について説明する。   Next, the information sharing apparatus 10 of each system will be described with reference to FIG.

情報共有装置10は、入出力部(入力部および出力部)11と、記憶部12と、制御部13とを備える。   The information sharing apparatus 10 includes an input / output unit (input unit and output unit) 11, a storage unit 12, and a control unit 13.

入出力部11は、情報共有装置10への各種情報の入力および情報共有装置10からの各種情報の出力を司る。例えば、入出力部11は、システム内のセキュリティ管理装置50から攻撃情報の入力を受け付けたり、他の情報共有装置10への攻撃情報を出力したりする。この入出力部11は、外部装置との間で情報の入出力や通信を行うためのインタフェースにより実現される。   The input / output unit 11 is responsible for inputting various information to the information sharing apparatus 10 and outputting various information from the information sharing apparatus 10. For example, the input / output unit 11 receives input of attack information from the security management device 50 in the system, or outputs attack information to other information sharing devices 10. The input / output unit 11 is realized by an interface for inputting / outputting information and communicating with an external device.

記憶部12は、所属システム情報と、サービス提供元システム情報と、システム相互接続情報と、識別情報変換テーブルと、提供サービス情報とを記憶する。この記憶部12は、RAM(Random Access Memory)やHDD(Hard Disk Drive、ハードディスクドライブ)等の記憶手段により実現される。   The storage unit 12 stores belonging system information, service provider system information, system interconnection information, an identification information conversion table, and provided service information. The storage unit 12 is realized by storage means such as a RAM (Random Access Memory) or an HDD (Hard Disk Drive).

所属システム情報は、端末20の識別情報(例えば、IPアドレス)ごとに、当該端末が収容されるシステムの識別情報を示した情報である。この所属システム情報は、自システム(自身の情報共有装置10の属するシステム)の端末20の識別情報のみならず、自システムに接続される他のシステムの端末20の識別情報も含む。例えば、図5に示す所属システム情報において、IPアドレスが「aaa」である端末20が収容される(所属する)システムは「サービス事業者(ISP)A」のシステムであり、IPアドレスが「bbb」である端末20が収容されるシステムは「移動通信事業者B」のシステムであることを示す。   The affiliation system information is information indicating the identification information of the system in which the terminal is accommodated for each identification information (for example, IP address) of the terminal 20. This belonging system information includes not only the identification information of the terminal 20 of the own system (the system to which the own information sharing apparatus 10 belongs) but also the identification information of the terminal 20 of another system connected to the own system. For example, in the affiliation system information shown in FIG. 5, the system in which the terminal 20 with the IP address “aaa” is accommodated (belongs to) is the system of “service provider (ISP) A”, and the IP address is “bbb”. "Indicates that the system in which the terminal 20 is accommodated is a system of" mobile carrier B ".

サービス提供元システム情報は、自システムで収容する端末20が他のシステムのサービスを利用している場合、当該サービスの提供元のシステムの識別情報を示した情報である。例えば、図6に示すサービス提供元システム情報において、IPアドレスが「bbb」である端末20が利用しているサービス(例えば、アプリケーション)の提供元は「アプリケーション配信事業者C」のシステムであり、IPアドレスが「ccc」である端末20が利用しているサービスの提供元は「アプリケーション配信事業者D」のシステムであることを示す。   The service provider system information is information indicating identification information of the service provider system when the terminal 20 accommodated in the own system uses a service of another system. For example, in the service provider system information shown in FIG. 6, the provider of the service (for example, application) used by the terminal 20 whose IP address is “bbb” is the system of “application distributor C”. It shows that the provider of the service used by the terminal 20 whose IP address is “ccc” is the system of “application distributor D”.

システム相互接続情報は、自システムの端末20に対しサービスを提供するシステム、および、自システムに接続される他のシステムを示した情報である。例えば、図7の符号102に示すシステム相互接続情報は、サービス事業者Aのシステム(例えば、インターネット網)と、移動通信事業者Bのシステム(例えば、移動通信網)とが相互に接続されることを示す。また、移動通信事業者Bのシステムと、アプリ配信事業者Cのシステム(例えば、アプリ配信サーバ)とが相互に接続されていることを示す。   The system interconnection information is information indicating a system that provides a service to the terminal 20 of the own system and other systems connected to the own system. For example, the system interconnection information indicated by reference numeral 102 in FIG. 7 connects the service provider A system (for example, the Internet network) and the mobile communication provider B system (for example, the mobile communication network) to each other. It shows that. Moreover, it shows that the system of the mobile communication carrier B and the system (for example, the application delivery server) of the application delivery provider C are connected to each other.

なお、図7に例示するシステム相互接続情報において、相互接続されるシステムがそれぞれ同じレイヤのサービスを提供している場合、それぞれのシステムを同じ高さに配し、異なるレイヤのサービスを提供している場合は、それぞれのシステムを異なる高さに配する。例えば、図7においてサービス事業者Aのシステムと、移動通信事業者Bのシステムとは同じレイヤのサービス(通信サービス)を提供していることを示す。また、アプリ配信事業者Cのシステムは、移動通信事業者Bのシステムからみて上位レイヤのサービス(アプリケーション配信サービス)を提供していることを示す。   In the system interconnection information illustrated in FIG. 7, when the interconnected systems provide services of the same layer, the systems are arranged at the same height to provide services of different layers. If so, place each system at a different height. For example, FIG. 7 shows that the service provider A system and the mobile communication provider B system provide the same layer of service (communication service). Further, it is shown that the system of the application distribution provider C provides an upper layer service (application distribution service) as viewed from the mobile communication provider B system.

識別情報変換テーブルは、自システムで収容する端末20の識別情報と、当該端末20の他のシステムにおける識別情報とを対応付けて示した情報である。例えば、自システムにおいて用いられる端末20の識別情報がIPアドレスであり、他のシステムで用いられる端末20の識別情報が端末番号である場合を考える。このような場合、識別情報変換テーブルは、図8に示すように、自システムで収容する端末20のIPアドレスごとに、当該IPアドレスに対応する端末番号を示す情報となる。図8に示す識別情報変換テーブルは、IPアドレスが「bbb」である端末20の端末番号は「ddd」であることを示す。このような識別情報変換テーブルを備えることで、例えば、端末20が携帯電話機である場合、ISP等のIPで通信を行うサービス事業者のシステムでは、端末20の識別情報としてIPアドレスが用いられ、移動通信事業者のシステムでは、端末番号(電話番号等)が用いられる場合でも、識別情報の変換を行うことができる。   The identification information conversion table is information indicating the identification information of the terminal 20 accommodated in the own system and the identification information in another system of the terminal 20 in association with each other. For example, consider a case where the identification information of the terminal 20 used in the own system is an IP address, and the identification information of the terminal 20 used in another system is a terminal number. In such a case, the identification information conversion table is information indicating the terminal number corresponding to the IP address for each IP address of the terminal 20 accommodated in the own system, as shown in FIG. The identification information conversion table shown in FIG. 8 indicates that the terminal number of the terminal 20 whose IP address is “bbb” is “ddd”. By providing such an identification information conversion table, for example, when the terminal 20 is a mobile phone, an IP address is used as the identification information of the terminal 20 in a system of a service provider that performs communication using IP such as ISP, In the system of the mobile communication carrier, identification information can be converted even when a terminal number (telephone number or the like) is used.

提供サービス情報は、端末20の識別情報ごとに、当該端末20に提供しているサービスの識別情報を示した情報である。例えば、図9に示す提供サービス情報は、自システムで提供しているサービスがアプリケーションの配信である場合の提供サービス情報を示す。図9に示す提供サービス情報は、端末20の端末番号ごとに、当該端末20に提供しているサービスの識別情報(配信したアプリケーションの識別情報)を示す。例えば、図9に示す提供サービス情報は、端末番号「ddd」の端末20に対し、「アプリA」が配信されたことを示す。   The provided service information is information indicating identification information of a service provided to the terminal 20 for each identification information of the terminal 20. For example, the provided service information illustrated in FIG. 9 indicates the provided service information when the service provided by the own system is application distribution. The provided service information shown in FIG. 9 indicates identification information (identification information of the distributed application) of the service provided to the terminal 20 for each terminal number of the terminal 20. For example, the provided service information illustrated in FIG. 9 indicates that “application A” has been distributed to the terminal 20 with the terminal number “ddd”.

次に、図4の制御部13を説明する。制御部13は、所属システム特定部130と、情報共有判断部(判断部)131と、共有先決定部132と、共有情報送信部133と、変換部134と、原因分析部135とを備える。破線で示す共有情報決定部136については、制御部13が装備する場合と装備しない場合とがあり、装備する場合について後記する。この制御部13は、情報共有装置10の備えるCPU(Central Processing Unit)によるプログラム実行処理や専用のハードウェアにより実現される。   Next, the control unit 13 in FIG. 4 will be described. The control unit 13 includes an affiliation system identification unit 130, an information sharing determination unit (determination unit) 131, a sharing destination determination unit 132, a shared information transmission unit 133, a conversion unit 134, and a cause analysis unit 135. About the shared information determination part 136 shown with a broken line, the case where it equips with the case where the control part 13 equips and the case where it equips is mentioned later. The control unit 13 is realized by a program execution process by a CPU (Central Processing Unit) included in the information sharing apparatus 10 and dedicated hardware.

所属システム特定部130は、攻撃元の端末20の識別情報をもとに、当該端末20が収容されるシステムを特定する。具体的には、所属システム特定部130は、入出力部11経由で受信した攻撃情報に含まれる攻撃元の端末20の識別情報と所属システム情報(図5参照)とを参照して、当該端末20が収容されるシステムを特定する。例えば、所属システム特定部130は、攻撃元の端末20のIPアドレスをもとに所属システム情報(図5参照)を参照して、当該端末20がどのシステムに収容されるかを特定する。   The affiliation system specifying unit 130 specifies the system in which the terminal 20 is accommodated based on the identification information of the attacking terminal 20. Specifically, the affiliation system specifying unit 130 refers to the identification information of the attack source terminal 20 and the affiliation system information (see FIG. 5) included in the attack information received via the input / output unit 11, and Identify the system in which 20 is housed. For example, the affiliation system specifying unit 130 refers to the affiliation system information (see FIG. 5) based on the IP address of the attack source terminal 20 and specifies which system the terminal 20 is accommodated in.

情報共有判断部131は、受信した攻撃情報を他のシステムの情報共有装置10と共有するか否かを判断する。具体的には、情報共有判断部131は、まず、所属システム特定部130により特定されたシステムが自システムであるか否かを判断する。そして、特定されたシステムが他のシステムである場合、および、特定されたシステムが自システムであるが、攻撃元の端末20が他のシステムのサービスを利用している場合、他のシステムの情報共有装置10との情報共有をする、つまり攻撃情報を送信すると判断する。なお、攻撃元の端末20が他のシステムのサービスを利用しているか否かは、例えば、システム相互接続情報(図7参照)やサービス提供元システム情報(図6参照)を参照して判断される。   The information sharing determination unit 131 determines whether to share the received attack information with the information sharing apparatus 10 of another system. Specifically, the information sharing determination unit 131 first determines whether or not the system specified by the affiliation system specifying unit 130 is its own system. When the identified system is another system, and when the identified system is its own system, but the attack source terminal 20 uses the service of another system, information on the other system It is determined that information is shared with the sharing apparatus 10, that is, attack information is transmitted. Whether or not the attack source terminal 20 uses a service of another system is determined with reference to, for example, system interconnection information (see FIG. 7) or service provider system information (see FIG. 6). The

共有先決定部132は、攻撃情報の共有先を決定する。具体的には、共有先決定部132は、所属システム特定部130により特定されたシステムが自システムではないとき、当該システムを攻撃情報の共有先として決定する。つまり、攻撃元の端末20が自システムの端末20ではないとき、共有先決定部132は、攻撃元の端末20の収容されるシステムを攻撃情報の共有先として決定する。一方、所属システム特定部130により特定されたシステムが自システムである場合において、当該端末20が他のシステムのサービスを利用しているとき、共有先決定部132は、当該サービスの提供元のシステムを攻撃情報の共有先として決定する。なお、当該端末20が利用しているサービスの提供元のシステムは、サービス提供元システム情報(図6参照)を参照して特定する。   The sharing destination determination unit 132 determines a sharing destination of attack information. Specifically, when the system specified by the belonging system specifying unit 130 is not the own system, the sharing destination determining unit 132 determines the system as a sharing destination of attack information. That is, when the attack source terminal 20 is not the terminal 20 of the own system, the sharing destination determination unit 132 determines the system accommodated by the attack source terminal 20 as the attack information sharing destination. On the other hand, when the system specified by the affiliation system specifying unit 130 is the local system, when the terminal 20 uses a service of another system, the sharing destination determining unit 132 sets the system that provides the service. Is determined as the sharing destination of attack information. The service provider system used by the terminal 20 is specified with reference to service provider system information (see FIG. 6).

共有情報送信部133は、共有先決定部132により決定された共有先へ、入出力部11経由で攻撃情報を送信する。   The shared information transmission unit 133 transmits the attack information to the sharing destination determined by the sharing destination determination unit 132 via the input / output unit 11.

変換部134は、必要に応じて、攻撃情報に示される攻撃元の端末20の識別情報の変換を行う。例えば、入出力部11経由で他のシステムから受け付けた攻撃情報に含まれる攻撃元の端末20の識別情報が、自システムで用いる識別情報ではない場合、識別情報変換テーブル(図8参照)を用いて、識別情報の変換を行う。具体例を挙げると、自システムでは端末20の識別情報として端末番号を用いるが、受け付けた攻撃情報には端末20のIPアドレスが記載されていた場合、識別情報変換テーブルを用いて、攻撃情報における攻撃元の端末20の識別情報(IPアドレス)を端末番号に変換する。そして、変換後の攻撃元の端末20の識別情報(端末番号)を含む攻撃情報を所属システム特定部130へ出力する。   The conversion unit 134 converts the identification information of the attack source terminal 20 indicated in the attack information as necessary. For example, when the identification information of the attack source terminal 20 included in the attack information received from another system via the input / output unit 11 is not the identification information used in the own system, the identification information conversion table (see FIG. 8) is used. The identification information is converted. As a specific example, the terminal number is used as the identification information of the terminal 20 in the own system. However, when the IP address of the terminal 20 is described in the received attack information, the identification information conversion table is used to The identification information (IP address) of the attack source terminal 20 is converted into a terminal number. Then, the attack information including the identification information (terminal number) of the converted attack source terminal 20 is output to the belonging system specifying unit 130.

また、共有情報送信部133において他のシステムの情報共有装置10へ攻撃情報を送信する場合において、当該他のシステムにおいて用いられる端末20の識別情報が、自システムで用いられる識別情報と異なることが分かっている場合、攻撃情報における攻撃元の端末20の識別情報を他のシステムの端末20の識別情報に変換して、共有情報送信部133へ出力してもよい。例えば、自システムで用いる端末20の識別情報はIPアドレスであるが、他のシステムで用いる端末20の識別情報が端末番号である場合、識別情報変換テーブル(図8参照)を用いて、攻撃情報における攻撃元の端末20の識別情報(IPアドレス)を端末番号に変換する。そして、変換後の攻撃元の端末20の識別情報(端末番号)を含む攻撃情報を共有情報送信部133へ出力する。   Further, when the shared information transmission unit 133 transmits attack information to the information sharing apparatus 10 of another system, the identification information of the terminal 20 used in the other system may be different from the identification information used in the own system. If it is known, the identification information of the attack source terminal 20 in the attack information may be converted into the identification information of the terminal 20 of another system and output to the shared information transmission unit 133. For example, when the identification information of the terminal 20 used in the own system is an IP address, but the identification information of the terminal 20 used in another system is a terminal number, the attack information is obtained using the identification information conversion table (see FIG. 8). The identification information (IP address) of the attack source terminal 20 is converted into a terminal number. Then, the attack information including the identification information (terminal number) of the converted attack source terminal 20 is output to the shared information transmitting unit 133.

なお、情報共有装置10が他のシステムとの間で端末20の識別情報の変換を行う必要がない場合、変換部134および識別情報変換テーブルを備える必要はない。   If the information sharing apparatus 10 does not need to convert the identification information of the terminal 20 with another system, it is not necessary to provide the conversion unit 134 and the identification information conversion table.

原因分析部135は、入力された攻撃情報と提供サービス情報(図9参照)とを参照して、サイバー攻撃の原因となっているサービス(例えば、アプリケーション)の分析を行う。例えば、原因分析部135は、入出力部11経由で入力された攻撃情報に示される攻撃元の端末20の識別情報(例えば、端末番号)と、提供サービス情報(図9参照)とを参照して、攻撃元の端末20に提供されているアプリケーションを特定する。そして、原因分析部135は、当該アプリケーションを攻撃の原因として特定する。特定したアプリケーションの情報は、例えば、セキュリティ管理装置50へ送信したり、システムの管理者の端末装置(図示省略)へ送信したりする。このようにすることでシステムの管理者等は、どのアプリケーションが原因となって攻撃を引き起こしたかを知ることができ、攻撃に対する対策を迅速にとることができる。   The cause analysis unit 135 analyzes the service (for example, application) that causes the cyber attack with reference to the input attack information and the provided service information (see FIG. 9). For example, the cause analysis unit 135 refers to the identification information (for example, the terminal number) of the attack source terminal 20 indicated in the attack information input via the input / output unit 11 and the provided service information (see FIG. 9). Thus, the application provided to the attack source terminal 20 is specified. Then, the cause analysis unit 135 identifies the application as the cause of the attack. The specified application information is transmitted to, for example, the security management device 50 or transmitted to a terminal device (not shown) of a system administrator. By doing so, the system administrator or the like can know which application caused the attack, and can quickly take countermeasures against the attack.

次に、図10を用いて情報共有装置10の処理手順を説明する。まず、情報共有装置10は入出力部11経由で攻撃情報の入力を受け付けると、所属システム特定部130は、所属システム情報(図5参照)を参照して、この攻撃情報に含まれる攻撃元の端末20のシステムを特定する(S1:所属システム特定)。   Next, the processing procedure of the information sharing apparatus 10 will be described with reference to FIG. First, when the information sharing apparatus 10 receives an input of attack information via the input / output unit 11, the belonging system specifying unit 130 refers to the belonging system information (see FIG. 5), and identifies the attack source included in the attack information. The system of the terminal 20 is specified (S1: belonging system specification).

次に、情報共有判断部131は、S1で特定されたシステムがどのシステムかにより、他のシステムとの間で攻撃情報を共有するか否かを判断する(S2:情報共有判断処理)。この情報共有判断処理の詳細は後記する。   Next, the information sharing determination unit 131 determines whether to share attack information with other systems depending on which system is identified in S1 (S2: information sharing determination process). Details of this information sharing determination process will be described later.

S2の処理の結果、情報共有判断部131が、他のシステムとの間で攻撃情報を共有すると判断した場合(S3で「共有する」)、共有先決定部132において攻撃情報の共有先を決定する(S4:情報共有先決定処理)。この情報共有先決定処理についても詳細は後記する。   If the information sharing determination unit 131 determines that the attack information is to be shared with other systems as a result of the processing of S2 ("share" in S3), the sharing destination determination unit 132 determines the sharing destination of the attack information (S4: Information sharing destination determination process). Details of this information sharing destination determination process will be described later.

S4の後、共有情報送信部133において、S4で決定した共有先へ攻撃情報を送信する(S5)。そして処理を終了する。   After S4, the shared information transmission unit 133 transmits the attack information to the sharing destination determined in S4 (S5). Then, the process ends.

一方、S2の処理の結果、情報共有判断部131が、攻撃情報を他のシステムとの間で共有しないと判断した場合(S3で「共有しない」)、原因分析部135は、入力された攻撃情報と提供サービス情報(図9参照)とを参照して、サイバー攻撃の原因となっているサービス(例えば、アプリケーション)の分析を行う(S6:原因分析)。例えば、原因分析部135は、攻撃元の端末20で利用されているアプリケーションを特定する。そして、原因分析部135は、特定したアプリケーションの情報を出力する等して処理を終了する。   On the other hand, when the information sharing determination unit 131 determines that the attack information is not shared with other systems as a result of the processing of S2 (“do not share” in S3), the cause analysis unit 135 receives the input attack. With reference to the information and the provided service information (see FIG. 9), the service (for example, application) causing the cyber attack is analyzed (S6: cause analysis). For example, the cause analysis unit 135 identifies an application used in the attack source terminal 20. Then, the cause analysis unit 135 ends the process by outputting information on the identified application.

このように各システムの情報共有装置10は、攻撃情報について他のシステムとの間で共有すべき場合は、当該他のシステムへ攻撃情報を送信し、共有する必要がない場合には、自システムにおいて攻撃情報に基づく攻撃原因の分析を行う。   As described above, when the information sharing apparatus 10 of each system should share the attack information with another system, the information sharing apparatus 10 transmits the attack information to the other system. The cause of the attack is analyzed based on the attack information.

次に、図11を用いて図10の情報共有判断処理を詳細に説明する。情報共有判断部131は、図10のS1で特定された攻撃元の端末20が収容されるシステムは、自システムではない場合(S11でNo)、攻撃情報を他のシステムとの間で共有すると判断する(S12)。一方、攻撃元の端末20が収容されるシステムが、自システムである場合(S11でYes)、情報共有判断部131は、システム相互接続情報(図7参照)を参照して、攻撃元の端末20が他のシステムのサービスを利用しているか否かを判断する(S13)。ここで、情報共有判断部131は、攻撃元の端末20が他のシステムのサービスを利用している場合(S13でYes)、情報共有判断部131は、攻撃情報を他のシステムとの間で共有すると判断する(S12)。一方、攻撃元の端末20が他のシステムのサービスを利用していない場合(S13でNo)、情報共有判断部131は、攻撃情報を他のシステムとの間で共有しないと判断する(S14)。   Next, the information sharing determination process of FIG. 10 will be described in detail with reference to FIG. When the system in which the attack source terminal 20 identified in S1 of FIG. 10 is accommodated is not its own system (No in S11), the information sharing determination unit 131 shares the attack information with other systems. Judgment is made (S12). On the other hand, when the system in which the attack source terminal 20 is accommodated is the own system (Yes in S11), the information sharing determination unit 131 refers to the system interconnection information (see FIG. 7) and refers to the attack source terminal. It is determined whether 20 is using a service of another system (S13). Here, when the attack source terminal 20 uses a service of another system (Yes in S13), the information sharing determination unit 131 transmits the attack information to the other system. It is determined to share (S12). On the other hand, when the attack source terminal 20 does not use the service of another system (No in S13), the information sharing determination unit 131 determines that the attack information is not shared with another system (S14). .

つまり、情報共有判断部131は、(1)攻撃元の端末20が他のシステムに属する場合、および、(2)攻撃元の端末20は自システムに属するが、他のシステムのサービスを利用している場合、攻撃情報を他のシステムとの間で共有すると判断する。   That is, the information sharing determination unit 131 uses (1) the case where the attack source terminal 20 belongs to another system, and (2) the attack source terminal 20 belongs to the own system, but uses services of other systems. If it is determined that the attack information is shared with other systems.

次に、図12を用いて図10の情報共有先決定処理を詳細に説明する。まず、共有先決定部132は、システム相互接続情報(図7参照)を参照し、攻撃情報の共有先が自システムと同一レイヤのシステムか、上位レイヤのシステムかを判断する(S21)。具体的には、共有先決定部132は、所属システム特定部130により特定された攻撃元の端末20の収容されるシステムが自システムと同一レイヤのシステムか、それとも、上位レイヤのシステムのサービスを利用しているシステムかを判断する。   Next, the information sharing destination determination process in FIG. 10 will be described in detail with reference to FIG. First, the sharing destination determining unit 132 refers to the system interconnection information (see FIG. 7), and determines whether the sharing destination of the attack information is the same layer system as the own system or a higher layer system (S21). Specifically, the sharing destination determination unit 132 determines whether the system in which the attack source terminal 20 identified by the belonging system identification unit 130 is accommodated is a system in the same layer as its own system, or a service in a higher layer system. Determine whether the system is in use.

S21で共有先決定部132が、攻撃情報の共有先が同一レイヤのシステムであると判断した場合(S21で「同一レイヤ」)、所属システム特定部130により特定されたシステムを攻撃情報の共有先として選択する(S22)。一方、共有先決定部132が、攻撃情報の共有先が上位レイヤのシステムであると判断した場合(S21で「上位レイヤ」)、サービス提供元システム情報(図6参照)を参照して、攻撃元の端末20が利用しているサービスの提供元のシステムを攻撃情報の共有先として選択する(S23)。   When the sharing destination determining unit 132 determines in S21 that the attack information sharing destination is a system of the same layer (“same layer” in S21), the system specified by the belonging system specifying unit 130 is identified as the sharing destination of the attack information. (S22). On the other hand, when the sharing destination determination unit 132 determines that the sharing destination of the attack information is an upper layer system (“upper layer” in S21), the attack is referred to the service provider system information (see FIG. 6). The system that provides the service used by the original terminal 20 is selected as the attack information sharing destination (S23).

つまり、共有先決定部132は、攻撃元の端末20が収容されるシステムや、攻撃元の端末20が利用しているサービスの提供元のシステムを、攻撃情報の共有先として決定する。そして、共有情報送信部133は、この決定された共有先のシステム(具体的には、当該システムの情報共有装置10)へ攻撃情報を送信する。このようにすることで、攻撃の原因となっている端末20を収容するシステムや、当該端末20へサービスを提供している(例えば、アプリケーションを配信している)システムに攻撃情報が到達するので、攻撃の原因を迅速かつ効率的に特定することができる。   In other words, the sharing destination determination unit 132 determines the system in which the attack source terminal 20 is accommodated and the service provider system used by the attack source terminal 20 as the attack information sharing destination. Then, the shared information transmitting unit 133 transmits attack information to the determined sharing destination system (specifically, the information sharing apparatus 10 of the system). By doing so, the attack information reaches the system that accommodates the terminal 20 that causes the attack and the system that provides the terminal 20 (for example, distributes the application). The cause of the attack can be identified quickly and efficiently.

(第2の実施形態)
なお、情報共有装置10の原因分析部135において、攻撃の原因となっているアプリケーションを分析する際、各アプリケーションが(攻撃元の端末20で利用されている割合)/(通信システム内のすべての端末20で利用されている割合)の値(乖離度)を用いてもよい。この場合の原因分析部135の処理を、図13を用いて説明する。なお、乖離度の計算にあたり、情報共有装置10は、過去に通信システム内で発生した攻撃に関する攻撃情報を蓄積しておくものとする。 (Second Embodiment)
When the cause analysis unit 135 of the information sharing apparatus 10 analyzes the application causing the attack, each application is (the ratio used by the terminal 20 of the attack source) / (all of the communication system). The value (ratio of deviation) used by the terminal 20 may be used. The processing of the cause analysis unit 135 in this case will be described with reference to FIG. In calculating the divergence degree, the information sharing apparatus 10 stores attack information related to attacks that have occurred in the communication system in the past.

原因分析部135は、蓄積された攻撃情報に含まれる攻撃元の端末20の識別情報と、提供サービス情報(図9参照)とを参照して、各攻撃元の端末20が利用しているアプリケーションを抽出する(S31)。   The cause analysis unit 135 refers to the identification information of the attack source terminal 20 included in the accumulated attack information and the provided service information (see FIG. 9), and the application used by each attack source terminal 20 Is extracted (S31).

S31の後、原因分析部135は、この特定したアプリケーションそれぞれについて、各攻撃元の端末20で利用されている割合と、すべての端末20で利用されている割合で乖離度を計算する(S32)。つまり、原因分析部135は、アプリケーションごとに(攻撃元の端末20で利用されている割合)/(攻撃元の端末20を含む各端末20で利用されている割合)の値(乖離度)を計算する。そして、原因分析部135は、乖離度が最も高いアプリケーションを攻撃の原因として特定する(S33)。   After S31, the cause analysis unit 135 calculates the divergence degree for each of the identified applications based on the ratio used by each attack source terminal 20 and the ratio used by all terminals 20 (S32). . That is, the cause analysis unit 135 calculates a value (divergence) of (a ratio used by the attack source terminal 20) / (a ratio used by each terminal 20 including the attack source terminal 20) for each application. calculate. Then, the cause analysis unit 135 identifies the application having the highest degree of divergence as the cause of the attack (S33).

このようにすることで、通信システム内の端末20全体で利用されている割合に対し、攻撃元の端末20において利用されている割合が高いアプリケーションを、攻撃の原因として特定できる。   By doing in this way, an application with a high ratio currently used in the terminal 20 of the attack origin can be specified as a cause of an attack with respect to the ratio currently used in the terminal 20 whole in a communication system.

このような原因分析処理の具体例を、図14を用いて説明する。ここでは、例えば、通信システムにおいて攻撃元の端末20と判断された端末20の台数は100台であり、このうち、アプリBは80台の端末20により利用され、アプリCは60台の端末20により利用されている場合を考える。また、通信システム全体の端末20の台数は10万台であり、このうち、アプリBは5万台の端末20に利用され、アプリCは500台の端末20に利用されているものとする。   A specific example of such cause analysis processing will be described with reference to FIG. Here, for example, the number of terminals 20 determined to be the attack source terminal 20 in the communication system is 100, of which application B is used by 80 terminals 20 and application C is 60 terminals 20. The case where it is used by is considered. Further, the total number of terminals 20 in the communication system is 100,000. Of these, application B is used for 50,000 terminals 20 and application C is used for 500 terminals 20.

このような場合、アプリBが攻撃元の端末20で利用されている割合は80台/100台=80%であり、アプリBが通信システム内のすべての端末20で利用されている割合は5万台/10万台=50%である。よって、アプリBの乖離度は、80%/50%=1.6である。   In such a case, the rate at which the app B is used by the attack source terminal 20 is 80/100 = 80%, and the rate at which the app B is used by all the terminals 20 in the communication system is 5 10,000 units / 100,000 units = 50%. Therefore, the divergence degree of the application B is 80% / 50% = 1.6.

また、アプリCが攻撃元の端末20で利用されている割合は60台/100台=60%であり、アプリCが通信システム内のすべての端末20で利用されている割合は500台/10万台=0.5%である。よって、アプリCの乖離度は、60%/0.5%=120である。   Further, the rate at which the application C is used by the attacking terminal 20 is 60/100 = 60%, and the rate at which the application C is used by all the terminals 20 in the communication system is 500/10. Ten thousand units = 0.5%. Therefore, the divergence degree of the application C is 60% / 0.5% = 120.

よって、原因分析部135は、通信システム全体としての利用の割合に対し、乖離度が最も高いアプリCを攻撃の原因として特定する。   Therefore, the cause analysis unit 135 identifies the application C having the highest divergence as the cause of the attack with respect to the usage ratio of the entire communication system.

なお、原因分析部135は、乖離度が最も高いアプリケーション以外にも、乖離度が所定の閾値以上となっているアプリケーションを攻撃の原因として特定してもよい。また、原因分析部135は、乖離度以外の値を用いて、攻撃元の端末20で共通して用いられている度合いが高いアプリケーションを特定するようにしてもよい。   The cause analysis unit 135 may identify an application having a divergence degree equal to or higher than a predetermined threshold as an attack cause in addition to the application having the highest divergence degree. In addition, the cause analysis unit 135 may specify an application having a high degree of common use in the attack source terminal 20 by using a value other than the divergence degree.

(その他の実施形態)
なお、前記した各実施形態の共有情報送信部133は、他のシステムの情報共有装置10から受信した攻撃情報を、自システムのセキュリティ管理装置50へ送信するようにしてもよい。このようにすることで、セキュリティ管理装置50において、自システムの端末20が原因となった攻撃に関するセキュリティ情報を蓄積することができる。 (Other embodiments)
Note that the shared information transmission unit 133 of each of the embodiments described above may transmit attack information received from the information sharing apparatus 10 of another system to the security management apparatus 50 of its own system. By doing in this way, in the security management apparatus 50, the security information regarding the attack caused by the terminal 20 of the own system can be accumulated.

なお、各実施形態の情報共有装置10は、図4の破線で示す共有情報決定部136をさらに備えていてもよい。この、共有情報決定部136は、他のシステムの情報共有装置10との間で共有する攻撃情報の内容を決定する。具体的には、共有情報決定部136は、入力された攻撃情報から、攻撃先の端末20の識別情報、攻撃の種別、および、攻撃の日時の少なくともいずれかの項目に関する情報を選択する。そして、共有情報送信部133は、共有情報決定部136により選択された情報を含む攻撃情報を、共有先のシステムへ送信する。なお、共有情報決定部136が攻撃情報のどの項目に関する情報を他のシステムの情報共有装置10との間で共有するかは、例えば、各システムの管理者等が設定しておくものとする。   Note that the information sharing apparatus 10 of each embodiment may further include a shared information determination unit 136 indicated by a broken line in FIG. The shared information determination unit 136 determines the content of attack information shared with the information sharing apparatus 10 of another system. Specifically, the shared information determination unit 136 selects information related to at least one of the identification information of the attack destination terminal 20, the type of attack, and the date and time of attack from the input attack information. Then, the shared information transmission unit 133 transmits the attack information including the information selected by the shared information determination unit 136 to the sharing destination system. It should be noted that the administrator of each system or the like sets, for example, which item of the attack information the shared information determination unit 136 shares with the information sharing apparatus 10 of another system.

このようにすることで、他のシステムとの間で共有する攻撃情報の内容を各システムの管理者等が選択することができる。例えば、他のシステムと共有する攻撃情報として攻撃元の端末20の識別情報のみならず、攻撃先の端末20の識別情報、攻撃の種別、および、攻撃の日時に関する情報を含めるようにすることで、より多くの情報からなる攻撃情報を他のシステムへ提供することができる。また、他のシステムの情報共有装置10において、より多くの情報に基づく攻撃原因の分析を行わせることができ、また、セキュリティ管理装置50により多くの情報を蓄積させることができる。   In this way, the administrator of each system can select the contents of attack information shared with other systems. For example, by including not only the identification information of the attack source terminal 20 but also the identification information of the attack destination terminal 20, the type of attack, and the date and time of the attack as attack information shared with other systems It is possible to provide attack information including more information to other systems. In addition, the information sharing apparatus 10 of another system can analyze the cause of the attack based on more information, and the security management apparatus 50 can accumulate more information.

なお、各実施形態において各情報共有装置10が保持するシステム相互接続情報(図7参照)は、図7の符号102に例示するような、通信システム間のすべてのシステム間の接続関係を示した情報に限定されない。例えば、自システムに隣接するシステムとの接続関係を示す情報のみを保持するようにしてもよい。具体例を挙げると、図7に示すシステム相互接続情報のうち、情報共有装置10Aは符号101に示す情報を保持し、情報共有装置10Bは符号102に示す情報を保持し、情報共有装置10Cは符号103に示す情報を保持するようにしてもよい。   Note that the system interconnection information (see FIG. 7) held by each information sharing apparatus 10 in each embodiment indicates a connection relationship between all systems between communication systems, as illustrated by reference numeral 102 in FIG. It is not limited to information. For example, you may make it hold | maintain only the information which shows the connection relationship with the system adjacent to a self-system. Specifically, among the system interconnection information shown in FIG. 7, the information sharing apparatus 10A holds the information indicated by reference numeral 101, the information sharing apparatus 10B holds the information indicated by reference numeral 102, and the information sharing apparatus 10C Information indicated by reference numeral 103 may be held.

さらに、各実施形態のシステムは、図1の制御装置70を備えるようにしてもよい。この制御装置70は、セキュリティ管理装置50からの指示に基づき、自システム内の装置(例えば、端末20)に対する接続制御等を行う。例えば、移動通信事業者のシステムのセキュリティ管理装置50は、情報共有装置10Bが受信した攻撃情報に基づき、攻撃元の端末20が端末20A,20Bであるという情報を得た場合を考える。この場合、セキュリティ管理装置50は、制御装置70に対し、端末20A,20Bの接続制御を指示する。この指示に基づき制御装置70は、端末20A,20Bに対し移動通信網経由で外部に接続できないような接続制御を行う(図3の「攻撃遮断」参照)。このようにすることで、攻撃元の端末20による攻撃の被害が拡大することを防止できる。   Furthermore, the system of each embodiment may include the control device 70 of FIG. The control device 70 performs connection control for a device (for example, the terminal 20) in the own system based on an instruction from the security management device 50. For example, consider a case where the security management device 50 of the system of the mobile communication carrier obtains information that the attack source terminal 20 is the terminals 20A and 20B based on the attack information received by the information sharing device 10B. In this case, the security management device 50 instructs the control device 70 to control connection of the terminals 20A and 20B. Based on this instruction, the control device 70 performs connection control so that the terminals 20A and 20B cannot be connected to the outside via the mobile communication network (see “attack blocking” in FIG. 3). By doing in this way, it can prevent that the damage of the attack by the terminal 20 of the attack origin spreads.

また、各実施形態の情報共有装置10は、攻撃の原因となるアプリケーションを特定したとき、このアプリケーションの配信を行うサーバ(例えば、サーバ40)に対し、当該アプリケーションの削除を指示するようにしてもよい。このようにすることでも、攻撃元の端末20による攻撃の被害が拡大することを防止できる。   In addition, when the application that causes the attack is identified, the information sharing apparatus 10 of each embodiment may instruct the server (for example, the server 40) that distributes the application to delete the application. Good. Also by doing this, it is possible to prevent the damage of the attack by the attack source terminal 20 from expanding.

なお、各実施形態において、システム相互接続情報とサービス提供元システム情報とは別個の情報として説明したが、サービス提供元システム情報の内容を、システム相互接続情報に含めるようにしてもよい。この場合、各システム内の端末20が利用しているサービスの提供元のシステムは、システム相互接続情報を参照して特定される。   In each embodiment, the system interconnection information and the service provider system information are described as separate information. However, the contents of the service provider system information may be included in the system interconnection information. In this case, the system that provides the service used by the terminal 20 in each system is specified with reference to the system interconnection information.

(プログラム)
また、上記実施形態に係る情報共有装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、情報共有装置10と同様の機能を実現する情報共有プログラムを実行するコンピュータの一例を説明する。 (program)
In addition, it is possible to create a program in which processing executed by the information sharing apparatus 10 according to the above embodiment is described in a language that can be executed by a computer. In this case, the same effect as the above-described embodiment can be obtained by the computer executing the program. Further, such a program may be recorded on a computer-readable recording medium, and the program recorded on the recording medium may be read by a computer and executed to execute the same processing as in the above embodiment. Hereinafter, an example of a computer that executes an information sharing program that realizes the same function as the information sharing apparatus 10 will be described.

図15に示すように、情報共有プログラムを実行するコンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。   As shown in FIG. 15, a computer 1000 that executes an information sharing program includes, for example, a memory 1010, a CPU 1020, a hard disk drive interface 1030, a disk drive interface 1040, a serial port interface 1050, a video adapter 1060, and a network. Interface 1070. These units are connected by a bus 1080.

メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。   The memory 1010 includes a ROM (Read Only Memory) 1011 and a RAM 1012. The ROM 1011 stores a boot program such as BIOS (Basic Input Output System). The hard disk drive interface 1030 is connected to the hard disk drive 1090. The disk drive interface 1040 is connected to the disk drive 1100. A removable storage medium such as a magnetic disk or an optical disk is inserted into the disk drive 1100, for example. For example, a mouse 1110 and a keyboard 1120 are connected to the serial port interface 1050. For example, a display 1130 is connected to the video adapter 1060.

ここで、図15に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各テーブルは、例えばハードディスクドライブ1090やメモリ1010に記憶される。   Here, as shown in FIG. 15, the hard disk drive 1090 stores, for example, an OS 1091, an application program 1092, a program module 1093, and program data 1094. Each table described in the above embodiment is stored in the hard disk drive 1090 or the memory 1010, for example.

また、情報共有プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、ハードディスクドライブ1090に記憶される。具体的には、上記実施形態で説明した情報共有装置10が実行する各処理が記述されたプログラムモジュールが、ハードディスクドライブ1090に記憶される。   Further, the information sharing program is stored in the hard disk drive 1090 as a program module 1093 in which a command executed by the computer 1000 is described, for example. Specifically, a program module describing each process executed by the information sharing apparatus 10 described in the above embodiment is stored in the hard disk drive 1090.

また、情報共有プログラムによる情報処理に用いられるデータは、プログラムデータ1094として、例えば、ハードディスクドライブ1090に記憶される。そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。   Data used for information processing by the information sharing program is stored as program data 1094 in, for example, the hard disk drive 1090. Then, the CPU 1020 reads out the program module 1093 and the program data 1094 stored in the hard disk drive 1090 to the RAM 1012 as necessary, and executes the above-described procedures.

なお、情報共有プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、情報共有プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。   The program module 1093 and the program data 1094 related to the information sharing program are not limited to being stored in the hard disk drive 1090. For example, the program module 1093 and the program data 1094 are stored in a removable storage medium and read by the CPU 1020 via the disk drive 1100 or the like. May be issued. Alternatively, the program module 1093 and the program data 1094 related to the information sharing program are stored in another computer connected via a network such as a LAN (Local Area Network) or a WAN (Wide Area Network), and are transmitted via the network interface 1070. May be read by the CPU 1020.

10 情報共有装置
11 入出力部
12 記憶部
13 制御部
20 端末
30,40 サーバ
50 セキュリティ管理装置
60 監視装置
70 制御装置
130 所属システム特定部
131 情報共有判断部
132 共有先決定部
133 共有情報送信部
134 変換部
135 原因分析部
136 共有情報決定部 DESCRIPTION OF SYMBOLS 10 Information sharing apparatus 11 Input / output part 12 Storage part 13 Control part 20 Terminal 30, 40 Server 50 Security management apparatus 60 Monitoring apparatus 70 Control apparatus 130 Affiliated system identification part 131 Information sharing judgment part 132 Sharing destination determination part 133 Shared information transmission part 134 Conversion unit 135 Cause analysis unit 136 Shared information determination unit

Claims (7)

攻撃元の端末の識別情報を含む攻撃情報の入力を受け付ける入力部と、
端末の識別情報ごとに、当該端末が収容されるシステムの識別情報を示した所属システム情報と、自身の情報共有装置の属するシステムである自システムの端末がサービスの提供を受けるシステム、および、自システムに接続される他のシステムを示したシステム相互接続情報と、前記端末の識別情報ごとに、当該端末に提供しているサービスの識別情報を示した提供サービス情報とを記憶する記憶部と、
前記攻撃元の端末の識別情報および前記所属システム情報を参照して、当該端末が収容されるシステムを特定する所属システム特定部と、
前記特定されたシステムが自システムであるとき、前記システム相互接続情報を参照して、前記攻撃元の端末が他のシステムのサービスの提供を受けている否かを判断する判断部と、
前記特定されたシステムが自システムではないとき、前記特定されたシステムを前記攻撃情報の共有先として決定し、
前記特定されたシステムが自システムである場合において、前記攻撃元の端末が他のシステムのサービスの提供を受けていると判断されたとき、前記システム相互接続情報を参照して、当該サービスの提供元のシステムを前記攻撃情報の共有先として決定する共有先決定部と、
前記決定された共有先へ、前記攻撃情報を送信する共有情報送信部と、
前記入力部経由で、他の情報共有装置から、前記攻撃情報の入力を受け付けたとき、前記攻撃情報と前記提供サービス情報とを参照して、前記攻撃元の端末に提供しているサービスの中から、攻撃の原因となっているサービスを特定する原因分析部と、
を備えることを特徴とする情報共有装置。 An input unit for receiving input of attack information including identification information of the terminal of the attack source;
For each terminal identification information, belonging system information indicating the identification information of the system in which the terminal is accommodated, a system in which the terminal of the own system, which is a system to which the information sharing apparatus belongs, receives the service, and A storage unit that stores system interconnection information indicating other systems connected to the system, and provided service information indicating identification information of a service provided to the terminal for each identification information of the terminal;
With reference to the identification information of the terminal of the attack source and the affiliation system information, an affiliation system identification unit that identifies a system in which the terminal is accommodated,
When the specified system is its own system, a determination unit that refers to the system interconnection information and determines whether the attack source terminal is provided with a service of another system;
When the identified system is not its own system, the identified system is determined as a sharing destination of the attack information;
When the specified system is its own system, when it is determined that the attack source terminal is provided with the service of another system, the service is provided with reference to the system interconnection information. A sharing destination determination unit that determines an original system as a sharing destination of the attack information;
A shared information transmission unit that transmits the attack information to the determined sharing destination;
Among the services provided to the attack source terminal with reference to the attack information and the provided service information when receiving the attack information input from another information sharing device via the input unit From the cause analysis unit that identifies the service that is causing the attack,
An information sharing apparatus comprising: 前記記憶部は、さらに、
自システムの端末の識別情報ごとに、当該端末の自システムに接続される他のシステムで用いられる識別情報を示した識別情報変換テーブルをさらに備え、
前記情報共有装置は、さらに、
前記攻撃元の端末が自システムの端末である場合において、前記他のシステムからの前記攻撃情報の入力を受け付けた際、前記識別情報変換テーブルを参照して、前記攻撃元の端末の識別情報を自システムで用いる識別情報へ変換する変換部を備えることを特徴とする請求項1に記載の情報共有装置。 The storage unit further includes:
For each identification information of the terminal of its own system, further comprising an identification information conversion table showing identification information used in another system connected to the terminal's own system,
The information sharing apparatus further includes:
When the attack source terminal is a terminal of its own system, when receiving the input of the attack information from the other system, the identification information of the attack source terminal is obtained by referring to the identification information conversion table. The information sharing apparatus according to claim 1, further comprising a conversion unit that converts the identification information to be used in the own system. 前記原因分析部が、前記攻撃の原因となっているサービスを特定するとき、
前記攻撃情報と前記提供サービス情報とを参照して、前記サービスが、前記攻撃元の端末に提供されている割合と、前記攻撃元の端末を含む各端末に提供されている割合とを計算し、前記計算したそれぞれの割合に基づき、前記攻撃の原因となっているサービスを特定することを特徴とする請求項1または請求項2に記載の情報共有装置。 When the cause analysis unit identifies the service causing the attack,
Referring to the attack information and the provided service information, calculate the ratio that the service is provided to the terminal that is the attack source and the ratio that is provided to each terminal including the terminal that is the attack source. The information sharing apparatus according to claim 1, wherein the service that causes the attack is specified based on the calculated ratios. 前記攻撃情報は、さらに、攻撃先の端末の識別情報、攻撃の種別、および、攻撃の日時の少なくともいずれかを含み、
前記共有情報送信部は、さらに、前記攻撃情報を、自システムのセキュリティ情報を蓄積するセキュリティ管理装置へ送信することを特徴とする請求項1ないし請求項3のいずれか1項に記載の情報共有装置。 The attack information further includes at least one of identification information of an attack destination terminal, an attack type, and an attack date and time,
4. The information sharing according to claim 1, wherein the shared information transmitting unit further transmits the attack information to a security management apparatus that accumulates security information of the own system. 5. apparatus. 前記情報共有装置は、さらに、
前記攻撃情報のうち、攻撃先の端末の識別情報、攻撃の種別、および、攻撃の日時の少なくともいずれかの項目に関する情報を選択する共有情報決定部を備え、
前記共有情報送信部は、前記攻撃元の端末の識別情報と、前記選択された項目の情報とを含む攻撃情報を、前記共有先へ送信することを特徴とする請求項4に記載の情報共有装置。 The information sharing apparatus further includes:
Among the attack information, comprising a shared information determination unit for selecting information regarding at least one of the identification information of the attack destination terminal, the type of attack, and the date and time of the attack,
5. The information sharing according to claim 4, wherein the shared information transmission unit transmits attack information including identification information of the terminal of the attack source and information of the selected item to the sharing destination. apparatus. 攻撃元の端末の識別情報を含む攻撃情報の入力を受け付ける入力ステップと、
端末の識別情報ごとに、当該端末が収容されるシステムの識別情報を示した所属システム情報と、前記攻撃元の端末の識別情報とを参照して、当該端末が収容されるシステムを特定する所属システム特定ステップと、
前記特定されたシステムが自身の情報共有装置の属するシステムである自システムであるとき、自システムの端末がサービスの提供を受けるシステム、および、自システムに接続される他のシステムを示したシステム相互接続情報を参照して、前記攻撃元の端末が他のシステムのサービスの提供を受けている否かを判断する判断ステップと、
前記特定されたシステムが自システムではないとき、前記特定されたシステムを前記攻撃情報の共有先として決定し、前記特定されたシステムが自システムである場合において、前記攻撃元の端末が他のシステムのサービスの提供を受けていると判断されたとき、前記システム相互接続情報を参照して、当該サービスの提供元のシステムを前記攻撃情報の共有先として決定する共有先決定ステップと、
前記決定された共有先へ、前記攻撃情報を送信する共有情報送信ステップと、
他の情報共有装置から、前記攻撃情報の入力を受け付けたとき、前記端末の識別情報ごとに、当該端末に提供しているサービスの識別情報を示した提供サービス情報と前記攻撃情報とを参照して、前記攻撃元の端末に提供しているサービスの中から、攻撃の原因となっているサービスを特定する原因分析ステップと、
をコンピュータが実行することを特徴とする情報共有方法。 An input step for receiving input of attack information including identification information of the terminal of the attack source;
For each terminal identification information, the affiliation system information indicating the identification information of the system in which the terminal is accommodated and the identification information of the attack source terminal are identified to identify the system in which the terminal is accommodated System specific steps;
When the identified system is the own system to which the own information sharing apparatus belongs, the system that shows the system in which the terminal of the own system receives the service and the other system connected to the own system A determination step of referring to connection information to determine whether the attack source terminal is provided with a service of another system;
When the identified system is not the own system, the identified system is determined as a sharing destination of the attack information, and when the identified system is the own system, the attack source terminal is another system. When it is determined that the service is provided, a sharing destination determining step of determining the system that provides the service as a sharing destination of the attack information with reference to the system interconnection information;
A shared information transmission step of transmitting the attack information to the determined sharing destination;
When receiving the attack information input from another information sharing device, for each piece of identification information of the terminal, refer to the provided service information indicating the identification information of the service provided to the terminal and the attack information. A cause analysis step for identifying a service causing the attack from services provided to the attack source terminal;
A computer-executable information sharing method. 攻撃元の端末の識別情報を含む攻撃情報の入力を受け付ける入力ステップと、
端末の識別情報ごとに、当該端末が収容されるシステムの識別情報を示した所属システム情報と、前記攻撃元の端末の識別情報とを参照して、当該端末が収容されるシステムを特定する所属システム特定ステップと、
前記特定されたシステムが自身の情報共有装置の属するシステムである自システムであるとき、自システムの端末がサービスの提供を受けるシステム、および、自システムに接続される他のシステムを示したシステム相互接続情報を参照して、前記攻撃元の端末が他のシステムのサービスの提供を受けている否かを判断する判断ステップと、
前記特定されたシステムが自システムではないとき、前記特定されたシステムを前記攻撃情報の共有先として決定し、前記特定されたシステムが自システムである場合において、前記攻撃元の端末が他のシステムのサービスの提供を受けていると判断されたとき、前記システム相互接続情報を参照して、当該サービスの提供元のシステムを前記攻撃情報の共有先として決定する共有先決定ステップと、
前記決定された共有先へ、前記攻撃情報を送信する共有情報送信ステップと、
他の情報共有装置から、前記攻撃情報の入力を受け付けたとき、前記端末の識別情報ごとに、当該端末に提供しているサービスの識別情報を示した提供サービス情報と前記攻撃情報とを参照して、前記攻撃元の端末に提供しているサービスの中から、攻撃の原因となっているサービスを特定する原因分析ステップと、
をコンピュータに実行させることを特徴とする情報共有プログラム。 An input step for receiving input of attack information including identification information of the terminal of the attack source;
For each terminal identification information, the affiliation system information indicating the identification information of the system in which the terminal is accommodated and the identification information of the attack source terminal are identified to identify the system in which the terminal is accommodated System specific steps;
When the identified system is the own system to which the own information sharing apparatus belongs, the system that shows the system in which the terminal of the own system receives the service and the other system connected to the own system A determination step of referring to connection information to determine whether the attack source terminal is provided with a service of another system;
When the identified system is not the own system, the identified system is determined as a sharing destination of the attack information, and when the identified system is the own system, the attack source terminal is another system. When it is determined that the service is provided, a sharing destination determining step of determining the system that provides the service as a sharing destination of the attack information with reference to the system interconnection information;
A shared information transmission step of transmitting the attack information to the determined sharing destination;
When receiving the attack information input from another information sharing device, for each piece of identification information of the terminal, refer to the provided service information indicating the identification information of the service provided to the terminal and the attack information. A cause analysis step for identifying a service causing the attack from services provided to the attack source terminal;
An information sharing program that causes a computer to execute the program.
JP2014015553A 2014-01-30 2014-01-30 Information sharing apparatus, information sharing method, and information sharing program Active JP6081386B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014015553A JP6081386B2 (en) 2014-01-30 2014-01-30 Information sharing apparatus, information sharing method, and information sharing program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014015553A JP6081386B2 (en) 2014-01-30 2014-01-30 Information sharing apparatus, information sharing method, and information sharing program

Publications (2)

Publication Number Publication Date
JP2015142324A true JP2015142324A (en) 2015-08-03
JP6081386B2 JP6081386B2 (en) 2017-02-15

Family

ID=53772392

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014015553A Active JP6081386B2 (en) 2014-01-30 2014-01-30 Information sharing apparatus, information sharing method, and information sharing program

Country Status (1)

Country Link
JP (1) JP6081386B2 (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018093384A (en) * 2016-12-05 2018-06-14 Kddi株式会社 Communication monitoring device, communication monitoring method, and communication monitoring program
JP2018093268A (en) * 2016-11-30 2018-06-14 Kddi株式会社 Communication monitoring device, communication monitoring method, and communication monitoring program
JP2018531527A (en) * 2015-12-28 2018-10-25 華為技術有限公司Huawei Technologies Co.,Ltd. Method and apparatus for identifying application information in network traffic
JP2019040533A (en) * 2017-08-28 2019-03-14 富士通株式会社 Cyber attack information processing program, cyber attack information processing method and information processing device
CN113056896A (en) * 2018-09-28 2021-06-29 奥兰治 Method for collaborating and requesting collaboration between protection services associated with at least one domain, corresponding agent and computer program
WO2021144978A1 (en) * 2020-01-17 2021-07-22 三菱電機株式会社 Attack estimation device, attack estimation method, and attack estimation program
JP2022050462A (en) * 2016-02-26 2022-03-30 オラクル・インターナショナル・コーポレイション Techniques for discovering and managing security of applications

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005159936A (en) * 2003-11-28 2005-06-16 Yokogawa Electric Corp Packet route tracing system
JP2005275683A (en) * 2004-03-24 2005-10-06 Mitsubishi Electric Corp Intrusion route tracing system
JP2007249348A (en) * 2006-03-14 2007-09-27 Nec Corp Data collection device and method in application trace-back and its program

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005159936A (en) * 2003-11-28 2005-06-16 Yokogawa Electric Corp Packet route tracing system
JP2005275683A (en) * 2004-03-24 2005-10-06 Mitsubishi Electric Corp Intrusion route tracing system
JP2007249348A (en) * 2006-03-14 2007-09-27 Nec Corp Data collection device and method in application trace-back and its program

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018531527A (en) * 2015-12-28 2018-10-25 華為技術有限公司Huawei Technologies Co.,Ltd. Method and apparatus for identifying application information in network traffic
US11855967B2 (en) 2015-12-28 2023-12-26 Huawei Technologies Co., Ltd. Method for identifying application information in network traffic, and apparatus
US11582188B2 (en) 2015-12-28 2023-02-14 Huawei Technologies Co., Ltd. Method for identifying application information in network traffic, and apparatus
JP2022050462A (en) * 2016-02-26 2022-03-30 オラクル・インターナショナル・コーポレイション Techniques for discovering and managing security of applications
JP7222061B2 (en) 2016-02-26 2023-02-14 オラクル・インターナショナル・コーポレイション Techniques for discovering and managing application security
JP2018093268A (en) * 2016-11-30 2018-06-14 Kddi株式会社 Communication monitoring device, communication monitoring method, and communication monitoring program
JP2018093384A (en) * 2016-12-05 2018-06-14 Kddi株式会社 Communication monitoring device, communication monitoring method, and communication monitoring program
JP2019040533A (en) * 2017-08-28 2019-03-14 富士通株式会社 Cyber attack information processing program, cyber attack information processing method and information processing device
US11075953B2 (en) 2017-08-28 2021-07-27 Fujitsu Limited Cyber attack information processing apparatus and method
CN113056896A (en) * 2018-09-28 2021-06-29 奥兰治 Method for collaborating and requesting collaboration between protection services associated with at least one domain, corresponding agent and computer program
CN113056896B (en) * 2018-09-28 2024-01-05 奥兰治 Method for collaboration and request collaboration between protection services associated with at least one domain, corresponding agent and computer program
US11985161B2 (en) 2018-09-28 2024-05-14 Orange Method of collaboration and for requesting collaboration between protecting services associated with at least one domain, corresponding agents and computer program
WO2021144978A1 (en) * 2020-01-17 2021-07-22 三菱電機株式会社 Attack estimation device, attack estimation method, and attack estimation program

Also Published As

Publication number Publication date
JP6081386B2 (en) 2017-02-15

Similar Documents

Publication Publication Date Title
JP6081386B2 (en) Information sharing apparatus, information sharing method, and information sharing program
US10348740B2 (en) Systems and methods for threat analysis of computer data
US10554691B2 (en) Security policy based on risk
KR102175193B1 (en) Systems and Methods for Automatic Device Detection
EP3646549B1 (en) Firewall configuration manager
US11671402B2 (en) Service resource scheduling method and apparatus
US10862854B2 (en) Systems and methods for using DNS messages to selectively collect computer forensic data
Khan et al. A comprehensive review on adaptability of network forensics frameworks for mobile cloud computing
Smys et al. Data elimination on repetition using a blockchain based cyber threat intelligence
JP6649296B2 (en) Security countermeasure design apparatus and security countermeasure design method
US20230169165A1 (en) Customer premises equipment implementation of dynamic residential threat detection
CN113922972B (en) Data forwarding method and device based on MD5 identification code
US20230171271A1 (en) Cloud-based implementation of dynamic threat detection
US10887218B2 (en) Enhanced dynamic encryption packet segmentation
CN111492621B (en) Server and method for controlling packet transmission
US11523293B1 (en) Wireless network monitoring system
US10320751B2 (en) DNS server selective block and DNS address modification method using proxy
US20230412617A1 (en) Hybrid customer premises equipment and cloud-based implementation of dynamic residential threat detection
US20230412631A1 (en) Methods and systems for system vulnerability determination and utilization for threat mitigation
US20230412630A1 (en) Methods and systems for asset risk determination and utilization for threat mitigation
CN115150129A (en) Container safety control method, container processing method, electronic device, and storage medium
CN115310128A (en) Risk operation behavior identification method and device, storage medium and computer equipment

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20151001

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20151005

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160224

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170113

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170117

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170118

R150 Certificate of patent or registration of utility model

Ref document number: 6081386

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150