JP2015142324A - Information sharing device, information sharing method, and information sharing program - Google Patents
Information sharing device, information sharing method, and information sharing program Download PDFInfo
- Publication number
- JP2015142324A JP2015142324A JP2014015553A JP2014015553A JP2015142324A JP 2015142324 A JP2015142324 A JP 2015142324A JP 2014015553 A JP2014015553 A JP 2014015553A JP 2014015553 A JP2014015553 A JP 2014015553A JP 2015142324 A JP2015142324 A JP 2015142324A
- Authority
- JP
- Japan
- Prior art keywords
- information
- attack
- terminal
- service
- identification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Description
本発明は、情報共有装置、情報共有方法、および、情報共有プログラムに関する。 The present invention relates to an information sharing apparatus, an information sharing method, and an information sharing program.
携帯端末の高機能化とネットワークの多様化により、携帯端末がサイバー攻撃の攻撃元の端末として利用されてしまうことがある(非特許文献1,2参照)。 Due to the high functionality of mobile terminals and the diversification of networks, mobile terminals may be used as cyber attack source terminals (see Non-Patent Documents 1 and 2).
このような攻撃が発生した場合、攻撃元の情報として攻撃元の端末のIP(Internet Protocol)アドレスやMAC(Media Access Control)アドレス等のネットワーク空間の識別情報しか特定できない。このため、当該端末で利用しているアプリケーションが攻撃の原因だった場合、原因の特定が困難であるという問題があった。そこで本発明は、前記した問題を解決し、サイバー攻撃の原因を迅速に特定することを目的とする。 When such an attack occurs, only the identification information of the network space such as the IP (Internet Protocol) address and MAC (Media Access Control) address of the terminal of the attack source can be specified as the attack source information. For this reason, when the application used in the terminal is the cause of the attack, there is a problem that it is difficult to identify the cause. Accordingly, an object of the present invention is to solve the above-described problems and to quickly identify the cause of a cyber attack.
前記した課題を解決するために、本発明は、攻撃元の端末の識別情報を含む攻撃情報の入力を受け付ける入力部と、端末の識別情報ごとに、当該端末が収容されるシステムの識別情報を示した所属システム情報と、自身の情報共有装置の属するシステムである自システムの端末がサービスの提供を受けるシステム、および、自システムに接続される他のシステムを示したシステム相互接続情報と、前記端末の識別情報ごとに、当該端末に提供しているサービスの識別情報を示した提供サービス情報とを記憶する記憶部と、前記攻撃元の端末の識別情報および前記所属システム情報を参照して、当該端末が収容されるシステムを特定する所属システム特定部と、前記特定されたシステムが自システムであるとき、前記システム相互接続情報を参照して、前記攻撃元の端末が他のシステムのサービスの提供を受けている否かを判断する判断部と、前記特定されたシステムが自システムではないとき、前記特定されたシステムを前記攻撃情報の共有先として決定し、前記特定されたシステムが自システムである場合において、前記攻撃元の端末が他のシステムのサービスの提供を受けていると判断されたとき、前記システム相互接続情報を参照して、当該サービスの提供元のシステムを前記攻撃情報の共有先として決定する共有先決定部と、前記決定された共有先へ、前記攻撃情報を送信する共有情報送信部と、前記入力部経由で、他の情報共有装置から、前記攻撃情報の入力を受け付けたとき、前記攻撃情報と前記提供サービス情報とを参照して、前記攻撃元の端末に提供しているサービスの中から、攻撃の原因となっているサービスを特定する原因分析部とを備えることを特徴とする。 In order to solve the above-described problem, the present invention provides an input unit that receives input of attack information including identification information of an attack source terminal, and identification information of a system in which the terminal is accommodated for each terminal identification information. The system information shown, the system interconnection information indicating the system in which the terminal of the own system, which is the system to which the information sharing apparatus belongs, receives service, and other systems connected to the own system, For each terminal identification information, referring to the storage unit that stores the provided service information indicating the identification information of the service provided to the terminal, the identification information of the terminal of the attack source and the belonging system information, Refers to the system interconnection information when the identified system is the own system and the belonging system identification unit that identifies the system in which the terminal is accommodated. A determination unit that determines whether the attack source terminal is provided with a service of another system; and when the specified system is not a local system, the specified system is referred to as the attack information. When the identified system is its own system and it is determined that the terminal of the attack source is provided with the service of another system, refer to the system interconnection information. Then, a sharing destination determination unit that determines a system that provides the service as a sharing destination of the attack information, a shared information transmission unit that transmits the attack information to the determined sharing destination, and the input unit Then, when receiving the attack information input from another information sharing device, the server providing the attack source terminal with reference to the attack information and the provided service information. From the scan, characterized in that it comprises a cause analyzer for identifying a service that causes the attack.
本発明によれば、サイバー攻撃の原因を迅速に特定することができる。 According to the present invention, the cause of a cyber attack can be quickly identified.
以下、図面を参照しながら、本発明の実施形態を説明する。なお、この実施形態によりこの発明が限定されるものではない。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. In addition, this invention is not limited by this embodiment.
(第1の実施形態)
図1を用いて各実施形態の通信システムの構成を説明する。通信システムは、複数の事業者のシステムにより構成され、例えば、様々なWebサービスを提供するサービス事業者のシステムと、端末20(例えば、携帯電話機)に対し、移動通信網による通信サービスを提供する移動通信事業者のシステムと、端末20に対しアプリケーション(以下、適宜、アプリと略す)の配信等のサービスを提供するアプリケーション配信事業者のシステムとを備える。
(First embodiment)
The configuration of the communication system of each embodiment will be described with reference to FIG. The communication system is composed of a plurality of provider systems, and provides, for example, a service provider system that provides various Web services and a communication service using a mobile communication network to the terminal 20 (for example, a mobile phone). A mobile communication provider system; and an application distribution provider system that provides a service such as distribution of an application (hereinafter, abbreviated as an application as appropriate) to the
サービス事業者のシステムは、例えば、サーバ30等のWebサーバを用いてサービスを提供したり、インターネット網を用いてインターネット接続サービスを提供したりするシステムである。このサービス事業者のシステムは、インターネット網や、インターネット網に接続されるサーバ30等を備える。
The service provider system is a system that provides a service using a Web server such as the
移動通信事業者のシステムは、3G(第3世代移動通信システム)や、LTE(Long Term Evolution)等の移動通信網を備え、この移動通信網により端末20(20A〜20C等)の通信サービスを提供する。 The system of the mobile communication carrier includes a mobile communication network such as 3G (third generation mobile communication system) or LTE (Long Term Evolution), and the mobile communication network provides communication services for the terminals 20 (20A to 20C, etc.). provide.
アプリケーション配信事業者のシステムは、端末20に対し、アプリケーションの配信等のサービスを提供するサーバ40を備える。このサーバ40は、例えば、端末20に対し各種アプリケーション(アプリA,アプリB等)を配信するアプリケーション配信サーバである。
The system of the application distribution company includes a
これらのシステムはそれぞれ、監視装置60、セキュリティ管理装置50、情報共有装置10(10A〜10C)を備え、インターネット等のネットワークにより接続される。破線で示す制御装置70については、システムが装備する場合と装備しない場合とがあり、装備する場合については後記する。
Each of these systems includes a
監視装置60は、自システム内の装置やネットワークの監視を行い、攻撃を検知した場合、その攻撃内容を示す攻撃情報をセキュリティ管理装置50へ送信する。
The
セキュリティ管理装置50は、監視装置60から受信した攻撃情報を情報共有装置10へ送信する。また、このセキュリティ管理装置50は、監視装置60や、情報共有装置10から送信された攻撃情報を蓄積し、システムの管理者等の指示入力に基づき、これらの攻撃情報を出力するようにしてもよい。
The
情報共有装置10は、セキュリティ管理装置50経由で攻撃情報を受信する。前記したとおり攻撃情報は、サイバー攻撃の攻撃内容を示した情報であり、攻撃元の端末20の識別情報を含む。この攻撃情報は、攻撃先の端末20の識別情報や、攻撃の種別、攻撃の日時等を含んでいてもよい。そして、情報共有装置10は、受信した攻撃情報の内容から、当該攻撃情報を他のシステムの情報共有装置10と共有すべきかを否かを判断し、共有すべきと判断したとき、この攻撃情報を他のシステムへ送信する。
The
例えば、サービス事業者のシステムにおいてサーバ30に対するDDoS攻撃(Distributed Denial of Service attack)が検知された場合を考える。この場合、情報共有装置10Aは、受信した攻撃情報から、サーバ30への攻撃元の端末20が端末20A,20Bであり、これらの端末20A,20Bの属するシステム(移動通信事業者のシステム)を特定する。そして、情報共有装置10Aは、この攻撃情報を、移動通信事業者のシステムの情報共有装置10Bへ送信する。
For example, consider a case where a DDoS attack (Distributed Denial of Service attack) on the
情報共有装置10Aからの攻撃情報を受信した情報共有装置10Bは、攻撃元の端末20A,20Bが利用している他のシステムのサービス(アプリケーション)があるか否かを確認し、利用しているサービスがあれば、そのサービスの提供元のシステムに対し、攻撃情報を送信する。例えば、端末20A,20Bが、アプリケーション配信事業者のサービス(サーバ40によるアプリケーション配信)を利用していた場合、このアプリケーション配信事業者のシステムの情報共有装置10Cへ攻撃情報を送信する。
The
情報共有装置10Bからの攻撃情報を受信した情報共有装置10Cは、攻撃情報に含まれる攻撃元の端末20A,20Bの識別情報から、これらの端末20へ配信したアプリケーション(例えば、アプリA)を特定する。そして、このアプリケーションの配信停止等を行う。
The
以上の処理を、具体例を交えながら、詳細に説明する。例えば、図2に示すように、アプリケーション配信事業者のサーバ40からマルウェアを含むアプリAが端末20A,20Bに配信され((1)アプリA(マルウェア)配信)、これが原因となりサービス事業者のシステムのサーバ30への攻撃が行われた場合を考える((2)攻撃)。この場合、攻撃を検知したサービス事業者のシステムの情報共有装置10Aは、端末20A,20Bが収容される移動通信事業者のシステムへ攻撃情報を送信する((3)攻撃情報)。この攻撃情報は、例えば、攻撃先アドレス(サーバ30のアドレス)および攻撃元アドレス(端末20A,20Bのアドレス)を含む。
The above process will be described in detail with specific examples. For example, as shown in FIG. 2, application A including malware is distributed from the
移動通信事業者のシステムの情報共有装置10Bは、受信した攻撃情報に含まれる攻撃元アドレス(例えば、端末20A,20BのIPアドレス)から、攻撃元の端末20A,20Bの端末番号(例えば、携帯電話機の番号)を特定する((4)番号を特定)。そして、情報共有装置10Bは、この端末番号から、端末20A,20Bが利用しているアプリケーションの提供事業者のシステムを特定し、この特定したシステムに対し、端末20A,20Bの番号情報(端末番号)を送信する((5)番号情報)。
The
アプリケーション配信事業者のシステムの情報共有装置10Cは、受信した番号情報から、端末20A,20Bへ配信したアプリ(アプリA)を特定する((6)アプリを特定)。
The
その後、例えば、図3に示すようにアプリケーション配信事業者のシステムにおいて、サーバ40から、アプリAを削除したり、移動通信事業者のシステムにおいて、端末20A,20Bからの通信を遮断(攻撃遮断)したり、端末20A,20Bに対するアプリAの削除指示をしたりする等の対応策がとられる。
Thereafter, for example, as shown in FIG. 3, the application A is deleted from the
このようにすることで、端末20へ提供されたサービス(例えば、アプリケーションの配信等)が原因となってサイバー攻撃が発生した場合でも、攻撃原因となったサービスや端末20に対し、迅速かつ効率的な対応をすることができる。 In this way, even when a cyber attack occurs due to a service provided to the terminal 20 (for example, distribution of an application, etc.), the service and the terminal 20 that cause the attack can be quickly and efficiently performed. Can respond.
次に、図4を用いて、各システムの情報共有装置10について説明する。
Next, the
情報共有装置10は、入出力部(入力部および出力部)11と、記憶部12と、制御部13とを備える。
The
入出力部11は、情報共有装置10への各種情報の入力および情報共有装置10からの各種情報の出力を司る。例えば、入出力部11は、システム内のセキュリティ管理装置50から攻撃情報の入力を受け付けたり、他の情報共有装置10への攻撃情報を出力したりする。この入出力部11は、外部装置との間で情報の入出力や通信を行うためのインタフェースにより実現される。
The input /
記憶部12は、所属システム情報と、サービス提供元システム情報と、システム相互接続情報と、識別情報変換テーブルと、提供サービス情報とを記憶する。この記憶部12は、RAM(Random Access Memory)やHDD(Hard Disk Drive、ハードディスクドライブ)等の記憶手段により実現される。
The
所属システム情報は、端末20の識別情報(例えば、IPアドレス)ごとに、当該端末が収容されるシステムの識別情報を示した情報である。この所属システム情報は、自システム(自身の情報共有装置10の属するシステム)の端末20の識別情報のみならず、自システムに接続される他のシステムの端末20の識別情報も含む。例えば、図5に示す所属システム情報において、IPアドレスが「aaa」である端末20が収容される(所属する)システムは「サービス事業者(ISP)A」のシステムであり、IPアドレスが「bbb」である端末20が収容されるシステムは「移動通信事業者B」のシステムであることを示す。
The affiliation system information is information indicating the identification information of the system in which the terminal is accommodated for each identification information (for example, IP address) of the terminal 20. This belonging system information includes not only the identification information of the terminal 20 of the own system (the system to which the own
サービス提供元システム情報は、自システムで収容する端末20が他のシステムのサービスを利用している場合、当該サービスの提供元のシステムの識別情報を示した情報である。例えば、図6に示すサービス提供元システム情報において、IPアドレスが「bbb」である端末20が利用しているサービス(例えば、アプリケーション)の提供元は「アプリケーション配信事業者C」のシステムであり、IPアドレスが「ccc」である端末20が利用しているサービスの提供元は「アプリケーション配信事業者D」のシステムであることを示す。 The service provider system information is information indicating identification information of the service provider system when the terminal 20 accommodated in the own system uses a service of another system. For example, in the service provider system information shown in FIG. 6, the provider of the service (for example, application) used by the terminal 20 whose IP address is “bbb” is the system of “application distributor C”. It shows that the provider of the service used by the terminal 20 whose IP address is “ccc” is the system of “application distributor D”.
システム相互接続情報は、自システムの端末20に対しサービスを提供するシステム、および、自システムに接続される他のシステムを示した情報である。例えば、図7の符号102に示すシステム相互接続情報は、サービス事業者Aのシステム(例えば、インターネット網)と、移動通信事業者Bのシステム(例えば、移動通信網)とが相互に接続されることを示す。また、移動通信事業者Bのシステムと、アプリ配信事業者Cのシステム(例えば、アプリ配信サーバ)とが相互に接続されていることを示す。
The system interconnection information is information indicating a system that provides a service to the
なお、図7に例示するシステム相互接続情報において、相互接続されるシステムがそれぞれ同じレイヤのサービスを提供している場合、それぞれのシステムを同じ高さに配し、異なるレイヤのサービスを提供している場合は、それぞれのシステムを異なる高さに配する。例えば、図7においてサービス事業者Aのシステムと、移動通信事業者Bのシステムとは同じレイヤのサービス(通信サービス)を提供していることを示す。また、アプリ配信事業者Cのシステムは、移動通信事業者Bのシステムからみて上位レイヤのサービス(アプリケーション配信サービス)を提供していることを示す。 In the system interconnection information illustrated in FIG. 7, when the interconnected systems provide services of the same layer, the systems are arranged at the same height to provide services of different layers. If so, place each system at a different height. For example, FIG. 7 shows that the service provider A system and the mobile communication provider B system provide the same layer of service (communication service). Further, it is shown that the system of the application distribution provider C provides an upper layer service (application distribution service) as viewed from the mobile communication provider B system.
識別情報変換テーブルは、自システムで収容する端末20の識別情報と、当該端末20の他のシステムにおける識別情報とを対応付けて示した情報である。例えば、自システムにおいて用いられる端末20の識別情報がIPアドレスであり、他のシステムで用いられる端末20の識別情報が端末番号である場合を考える。このような場合、識別情報変換テーブルは、図8に示すように、自システムで収容する端末20のIPアドレスごとに、当該IPアドレスに対応する端末番号を示す情報となる。図8に示す識別情報変換テーブルは、IPアドレスが「bbb」である端末20の端末番号は「ddd」であることを示す。このような識別情報変換テーブルを備えることで、例えば、端末20が携帯電話機である場合、ISP等のIPで通信を行うサービス事業者のシステムでは、端末20の識別情報としてIPアドレスが用いられ、移動通信事業者のシステムでは、端末番号(電話番号等)が用いられる場合でも、識別情報の変換を行うことができる。 The identification information conversion table is information indicating the identification information of the terminal 20 accommodated in the own system and the identification information in another system of the terminal 20 in association with each other. For example, consider a case where the identification information of the terminal 20 used in the own system is an IP address, and the identification information of the terminal 20 used in another system is a terminal number. In such a case, the identification information conversion table is information indicating the terminal number corresponding to the IP address for each IP address of the terminal 20 accommodated in the own system, as shown in FIG. The identification information conversion table shown in FIG. 8 indicates that the terminal number of the terminal 20 whose IP address is “bbb” is “ddd”. By providing such an identification information conversion table, for example, when the terminal 20 is a mobile phone, an IP address is used as the identification information of the terminal 20 in a system of a service provider that performs communication using IP such as ISP, In the system of the mobile communication carrier, identification information can be converted even when a terminal number (telephone number or the like) is used.
提供サービス情報は、端末20の識別情報ごとに、当該端末20に提供しているサービスの識別情報を示した情報である。例えば、図9に示す提供サービス情報は、自システムで提供しているサービスがアプリケーションの配信である場合の提供サービス情報を示す。図9に示す提供サービス情報は、端末20の端末番号ごとに、当該端末20に提供しているサービスの識別情報(配信したアプリケーションの識別情報)を示す。例えば、図9に示す提供サービス情報は、端末番号「ddd」の端末20に対し、「アプリA」が配信されたことを示す。 The provided service information is information indicating identification information of a service provided to the terminal 20 for each identification information of the terminal 20. For example, the provided service information illustrated in FIG. 9 indicates the provided service information when the service provided by the own system is application distribution. The provided service information shown in FIG. 9 indicates identification information (identification information of the distributed application) of the service provided to the terminal 20 for each terminal number of the terminal 20. For example, the provided service information illustrated in FIG. 9 indicates that “application A” has been distributed to the terminal 20 with the terminal number “ddd”.
次に、図4の制御部13を説明する。制御部13は、所属システム特定部130と、情報共有判断部(判断部)131と、共有先決定部132と、共有情報送信部133と、変換部134と、原因分析部135とを備える。破線で示す共有情報決定部136については、制御部13が装備する場合と装備しない場合とがあり、装備する場合について後記する。この制御部13は、情報共有装置10の備えるCPU(Central Processing Unit)によるプログラム実行処理や専用のハードウェアにより実現される。
Next, the
所属システム特定部130は、攻撃元の端末20の識別情報をもとに、当該端末20が収容されるシステムを特定する。具体的には、所属システム特定部130は、入出力部11経由で受信した攻撃情報に含まれる攻撃元の端末20の識別情報と所属システム情報(図5参照)とを参照して、当該端末20が収容されるシステムを特定する。例えば、所属システム特定部130は、攻撃元の端末20のIPアドレスをもとに所属システム情報(図5参照)を参照して、当該端末20がどのシステムに収容されるかを特定する。
The affiliation
情報共有判断部131は、受信した攻撃情報を他のシステムの情報共有装置10と共有するか否かを判断する。具体的には、情報共有判断部131は、まず、所属システム特定部130により特定されたシステムが自システムであるか否かを判断する。そして、特定されたシステムが他のシステムである場合、および、特定されたシステムが自システムであるが、攻撃元の端末20が他のシステムのサービスを利用している場合、他のシステムの情報共有装置10との情報共有をする、つまり攻撃情報を送信すると判断する。なお、攻撃元の端末20が他のシステムのサービスを利用しているか否かは、例えば、システム相互接続情報(図7参照)やサービス提供元システム情報(図6参照)を参照して判断される。
The information sharing
共有先決定部132は、攻撃情報の共有先を決定する。具体的には、共有先決定部132は、所属システム特定部130により特定されたシステムが自システムではないとき、当該システムを攻撃情報の共有先として決定する。つまり、攻撃元の端末20が自システムの端末20ではないとき、共有先決定部132は、攻撃元の端末20の収容されるシステムを攻撃情報の共有先として決定する。一方、所属システム特定部130により特定されたシステムが自システムである場合において、当該端末20が他のシステムのサービスを利用しているとき、共有先決定部132は、当該サービスの提供元のシステムを攻撃情報の共有先として決定する。なお、当該端末20が利用しているサービスの提供元のシステムは、サービス提供元システム情報(図6参照)を参照して特定する。
The sharing
共有情報送信部133は、共有先決定部132により決定された共有先へ、入出力部11経由で攻撃情報を送信する。
The shared
変換部134は、必要に応じて、攻撃情報に示される攻撃元の端末20の識別情報の変換を行う。例えば、入出力部11経由で他のシステムから受け付けた攻撃情報に含まれる攻撃元の端末20の識別情報が、自システムで用いる識別情報ではない場合、識別情報変換テーブル(図8参照)を用いて、識別情報の変換を行う。具体例を挙げると、自システムでは端末20の識別情報として端末番号を用いるが、受け付けた攻撃情報には端末20のIPアドレスが記載されていた場合、識別情報変換テーブルを用いて、攻撃情報における攻撃元の端末20の識別情報(IPアドレス)を端末番号に変換する。そして、変換後の攻撃元の端末20の識別情報(端末番号)を含む攻撃情報を所属システム特定部130へ出力する。
The
また、共有情報送信部133において他のシステムの情報共有装置10へ攻撃情報を送信する場合において、当該他のシステムにおいて用いられる端末20の識別情報が、自システムで用いられる識別情報と異なることが分かっている場合、攻撃情報における攻撃元の端末20の識別情報を他のシステムの端末20の識別情報に変換して、共有情報送信部133へ出力してもよい。例えば、自システムで用いる端末20の識別情報はIPアドレスであるが、他のシステムで用いる端末20の識別情報が端末番号である場合、識別情報変換テーブル(図8参照)を用いて、攻撃情報における攻撃元の端末20の識別情報(IPアドレス)を端末番号に変換する。そして、変換後の攻撃元の端末20の識別情報(端末番号)を含む攻撃情報を共有情報送信部133へ出力する。
Further, when the shared
なお、情報共有装置10が他のシステムとの間で端末20の識別情報の変換を行う必要がない場合、変換部134および識別情報変換テーブルを備える必要はない。
If the
原因分析部135は、入力された攻撃情報と提供サービス情報(図9参照)とを参照して、サイバー攻撃の原因となっているサービス(例えば、アプリケーション)の分析を行う。例えば、原因分析部135は、入出力部11経由で入力された攻撃情報に示される攻撃元の端末20の識別情報(例えば、端末番号)と、提供サービス情報(図9参照)とを参照して、攻撃元の端末20に提供されているアプリケーションを特定する。そして、原因分析部135は、当該アプリケーションを攻撃の原因として特定する。特定したアプリケーションの情報は、例えば、セキュリティ管理装置50へ送信したり、システムの管理者の端末装置(図示省略)へ送信したりする。このようにすることでシステムの管理者等は、どのアプリケーションが原因となって攻撃を引き起こしたかを知ることができ、攻撃に対する対策を迅速にとることができる。
The
次に、図10を用いて情報共有装置10の処理手順を説明する。まず、情報共有装置10は入出力部11経由で攻撃情報の入力を受け付けると、所属システム特定部130は、所属システム情報(図5参照)を参照して、この攻撃情報に含まれる攻撃元の端末20のシステムを特定する(S1:所属システム特定)。
Next, the processing procedure of the
次に、情報共有判断部131は、S1で特定されたシステムがどのシステムかにより、他のシステムとの間で攻撃情報を共有するか否かを判断する(S2:情報共有判断処理)。この情報共有判断処理の詳細は後記する。
Next, the information sharing
S2の処理の結果、情報共有判断部131が、他のシステムとの間で攻撃情報を共有すると判断した場合(S3で「共有する」)、共有先決定部132において攻撃情報の共有先を決定する(S4:情報共有先決定処理)。この情報共有先決定処理についても詳細は後記する。
If the information sharing
S4の後、共有情報送信部133において、S4で決定した共有先へ攻撃情報を送信する(S5)。そして処理を終了する。
After S4, the shared
一方、S2の処理の結果、情報共有判断部131が、攻撃情報を他のシステムとの間で共有しないと判断した場合(S3で「共有しない」)、原因分析部135は、入力された攻撃情報と提供サービス情報(図9参照)とを参照して、サイバー攻撃の原因となっているサービス(例えば、アプリケーション)の分析を行う(S6:原因分析)。例えば、原因分析部135は、攻撃元の端末20で利用されているアプリケーションを特定する。そして、原因分析部135は、特定したアプリケーションの情報を出力する等して処理を終了する。
On the other hand, when the information sharing
このように各システムの情報共有装置10は、攻撃情報について他のシステムとの間で共有すべき場合は、当該他のシステムへ攻撃情報を送信し、共有する必要がない場合には、自システムにおいて攻撃情報に基づく攻撃原因の分析を行う。
As described above, when the
次に、図11を用いて図10の情報共有判断処理を詳細に説明する。情報共有判断部131は、図10のS1で特定された攻撃元の端末20が収容されるシステムは、自システムではない場合(S11でNo)、攻撃情報を他のシステムとの間で共有すると判断する(S12)。一方、攻撃元の端末20が収容されるシステムが、自システムである場合(S11でYes)、情報共有判断部131は、システム相互接続情報(図7参照)を参照して、攻撃元の端末20が他のシステムのサービスを利用しているか否かを判断する(S13)。ここで、情報共有判断部131は、攻撃元の端末20が他のシステムのサービスを利用している場合(S13でYes)、情報共有判断部131は、攻撃情報を他のシステムとの間で共有すると判断する(S12)。一方、攻撃元の端末20が他のシステムのサービスを利用していない場合(S13でNo)、情報共有判断部131は、攻撃情報を他のシステムとの間で共有しないと判断する(S14)。
Next, the information sharing determination process of FIG. 10 will be described in detail with reference to FIG. When the system in which the
つまり、情報共有判断部131は、(1)攻撃元の端末20が他のシステムに属する場合、および、(2)攻撃元の端末20は自システムに属するが、他のシステムのサービスを利用している場合、攻撃情報を他のシステムとの間で共有すると判断する。
That is, the information sharing
次に、図12を用いて図10の情報共有先決定処理を詳細に説明する。まず、共有先決定部132は、システム相互接続情報(図7参照)を参照し、攻撃情報の共有先が自システムと同一レイヤのシステムか、上位レイヤのシステムかを判断する(S21)。具体的には、共有先決定部132は、所属システム特定部130により特定された攻撃元の端末20の収容されるシステムが自システムと同一レイヤのシステムか、それとも、上位レイヤのシステムのサービスを利用しているシステムかを判断する。
Next, the information sharing destination determination process in FIG. 10 will be described in detail with reference to FIG. First, the sharing
S21で共有先決定部132が、攻撃情報の共有先が同一レイヤのシステムであると判断した場合(S21で「同一レイヤ」)、所属システム特定部130により特定されたシステムを攻撃情報の共有先として選択する(S22)。一方、共有先決定部132が、攻撃情報の共有先が上位レイヤのシステムであると判断した場合(S21で「上位レイヤ」)、サービス提供元システム情報(図6参照)を参照して、攻撃元の端末20が利用しているサービスの提供元のシステムを攻撃情報の共有先として選択する(S23)。
When the sharing
つまり、共有先決定部132は、攻撃元の端末20が収容されるシステムや、攻撃元の端末20が利用しているサービスの提供元のシステムを、攻撃情報の共有先として決定する。そして、共有情報送信部133は、この決定された共有先のシステム(具体的には、当該システムの情報共有装置10)へ攻撃情報を送信する。このようにすることで、攻撃の原因となっている端末20を収容するシステムや、当該端末20へサービスを提供している(例えば、アプリケーションを配信している)システムに攻撃情報が到達するので、攻撃の原因を迅速かつ効率的に特定することができる。
In other words, the sharing
(第2の実施形態)
なお、情報共有装置10の原因分析部135において、攻撃の原因となっているアプリケーションを分析する際、各アプリケーションが(攻撃元の端末20で利用されている割合)/(通信システム内のすべての端末20で利用されている割合)の値(乖離度)を用いてもよい。この場合の原因分析部135の処理を、図13を用いて説明する。なお、乖離度の計算にあたり、情報共有装置10は、過去に通信システム内で発生した攻撃に関する攻撃情報を蓄積しておくものとする。
(Second Embodiment)
When the
原因分析部135は、蓄積された攻撃情報に含まれる攻撃元の端末20の識別情報と、提供サービス情報(図9参照)とを参照して、各攻撃元の端末20が利用しているアプリケーションを抽出する(S31)。
The
S31の後、原因分析部135は、この特定したアプリケーションそれぞれについて、各攻撃元の端末20で利用されている割合と、すべての端末20で利用されている割合で乖離度を計算する(S32)。つまり、原因分析部135は、アプリケーションごとに(攻撃元の端末20で利用されている割合)/(攻撃元の端末20を含む各端末20で利用されている割合)の値(乖離度)を計算する。そして、原因分析部135は、乖離度が最も高いアプリケーションを攻撃の原因として特定する(S33)。
After S31, the
このようにすることで、通信システム内の端末20全体で利用されている割合に対し、攻撃元の端末20において利用されている割合が高いアプリケーションを、攻撃の原因として特定できる。
By doing in this way, an application with a high ratio currently used in the
このような原因分析処理の具体例を、図14を用いて説明する。ここでは、例えば、通信システムにおいて攻撃元の端末20と判断された端末20の台数は100台であり、このうち、アプリBは80台の端末20により利用され、アプリCは60台の端末20により利用されている場合を考える。また、通信システム全体の端末20の台数は10万台であり、このうち、アプリBは5万台の端末20に利用され、アプリCは500台の端末20に利用されているものとする。
A specific example of such cause analysis processing will be described with reference to FIG. Here, for example, the number of
このような場合、アプリBが攻撃元の端末20で利用されている割合は80台/100台=80%であり、アプリBが通信システム内のすべての端末20で利用されている割合は5万台/10万台=50%である。よって、アプリBの乖離度は、80%/50%=1.6である。
In such a case, the rate at which the app B is used by the
また、アプリCが攻撃元の端末20で利用されている割合は60台/100台=60%であり、アプリCが通信システム内のすべての端末20で利用されている割合は500台/10万台=0.5%である。よって、アプリCの乖離度は、60%/0.5%=120である。
Further, the rate at which the application C is used by the attacking
よって、原因分析部135は、通信システム全体としての利用の割合に対し、乖離度が最も高いアプリCを攻撃の原因として特定する。
Therefore, the
なお、原因分析部135は、乖離度が最も高いアプリケーション以外にも、乖離度が所定の閾値以上となっているアプリケーションを攻撃の原因として特定してもよい。また、原因分析部135は、乖離度以外の値を用いて、攻撃元の端末20で共通して用いられている度合いが高いアプリケーションを特定するようにしてもよい。
The
(その他の実施形態)
なお、前記した各実施形態の共有情報送信部133は、他のシステムの情報共有装置10から受信した攻撃情報を、自システムのセキュリティ管理装置50へ送信するようにしてもよい。このようにすることで、セキュリティ管理装置50において、自システムの端末20が原因となった攻撃に関するセキュリティ情報を蓄積することができる。
(Other embodiments)
Note that the shared
なお、各実施形態の情報共有装置10は、図4の破線で示す共有情報決定部136をさらに備えていてもよい。この、共有情報決定部136は、他のシステムの情報共有装置10との間で共有する攻撃情報の内容を決定する。具体的には、共有情報決定部136は、入力された攻撃情報から、攻撃先の端末20の識別情報、攻撃の種別、および、攻撃の日時の少なくともいずれかの項目に関する情報を選択する。そして、共有情報送信部133は、共有情報決定部136により選択された情報を含む攻撃情報を、共有先のシステムへ送信する。なお、共有情報決定部136が攻撃情報のどの項目に関する情報を他のシステムの情報共有装置10との間で共有するかは、例えば、各システムの管理者等が設定しておくものとする。
Note that the
このようにすることで、他のシステムとの間で共有する攻撃情報の内容を各システムの管理者等が選択することができる。例えば、他のシステムと共有する攻撃情報として攻撃元の端末20の識別情報のみならず、攻撃先の端末20の識別情報、攻撃の種別、および、攻撃の日時に関する情報を含めるようにすることで、より多くの情報からなる攻撃情報を他のシステムへ提供することができる。また、他のシステムの情報共有装置10において、より多くの情報に基づく攻撃原因の分析を行わせることができ、また、セキュリティ管理装置50により多くの情報を蓄積させることができる。
In this way, the administrator of each system can select the contents of attack information shared with other systems. For example, by including not only the identification information of the
なお、各実施形態において各情報共有装置10が保持するシステム相互接続情報(図7参照)は、図7の符号102に例示するような、通信システム間のすべてのシステム間の接続関係を示した情報に限定されない。例えば、自システムに隣接するシステムとの接続関係を示す情報のみを保持するようにしてもよい。具体例を挙げると、図7に示すシステム相互接続情報のうち、情報共有装置10Aは符号101に示す情報を保持し、情報共有装置10Bは符号102に示す情報を保持し、情報共有装置10Cは符号103に示す情報を保持するようにしてもよい。
Note that the system interconnection information (see FIG. 7) held by each
さらに、各実施形態のシステムは、図1の制御装置70を備えるようにしてもよい。この制御装置70は、セキュリティ管理装置50からの指示に基づき、自システム内の装置(例えば、端末20)に対する接続制御等を行う。例えば、移動通信事業者のシステムのセキュリティ管理装置50は、情報共有装置10Bが受信した攻撃情報に基づき、攻撃元の端末20が端末20A,20Bであるという情報を得た場合を考える。この場合、セキュリティ管理装置50は、制御装置70に対し、端末20A,20Bの接続制御を指示する。この指示に基づき制御装置70は、端末20A,20Bに対し移動通信網経由で外部に接続できないような接続制御を行う(図3の「攻撃遮断」参照)。このようにすることで、攻撃元の端末20による攻撃の被害が拡大することを防止できる。
Furthermore, the system of each embodiment may include the
また、各実施形態の情報共有装置10は、攻撃の原因となるアプリケーションを特定したとき、このアプリケーションの配信を行うサーバ(例えば、サーバ40)に対し、当該アプリケーションの削除を指示するようにしてもよい。このようにすることでも、攻撃元の端末20による攻撃の被害が拡大することを防止できる。
In addition, when the application that causes the attack is identified, the
なお、各実施形態において、システム相互接続情報とサービス提供元システム情報とは別個の情報として説明したが、サービス提供元システム情報の内容を、システム相互接続情報に含めるようにしてもよい。この場合、各システム内の端末20が利用しているサービスの提供元のシステムは、システム相互接続情報を参照して特定される。 In each embodiment, the system interconnection information and the service provider system information are described as separate information. However, the contents of the service provider system information may be included in the system interconnection information. In this case, the system that provides the service used by the terminal 20 in each system is specified with reference to the system interconnection information.
(プログラム)
また、上記実施形態に係る情報共有装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、情報共有装置10と同様の機能を実現する情報共有プログラムを実行するコンピュータの一例を説明する。
(program)
In addition, it is possible to create a program in which processing executed by the
図15に示すように、情報共有プログラムを実行するコンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
As shown in FIG. 15, a
メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
The
ここで、図15に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各テーブルは、例えばハードディスクドライブ1090やメモリ1010に記憶される。
Here, as shown in FIG. 15, the hard disk drive 1090 stores, for example, an
また、情報共有プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、ハードディスクドライブ1090に記憶される。具体的には、上記実施形態で説明した情報共有装置10が実行する各処理が記述されたプログラムモジュールが、ハードディスクドライブ1090に記憶される。
Further, the information sharing program is stored in the hard disk drive 1090 as a
また、情報共有プログラムによる情報処理に用いられるデータは、プログラムデータ1094として、例えば、ハードディスクドライブ1090に記憶される。そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
Data used for information processing by the information sharing program is stored as
なお、情報共有プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、情報共有プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
The
10 情報共有装置
11 入出力部
12 記憶部
13 制御部
20 端末
30,40 サーバ
50 セキュリティ管理装置
60 監視装置
70 制御装置
130 所属システム特定部
131 情報共有判断部
132 共有先決定部
133 共有情報送信部
134 変換部
135 原因分析部
136 共有情報決定部
DESCRIPTION OF
Claims (7)
端末の識別情報ごとに、当該端末が収容されるシステムの識別情報を示した所属システム情報と、自身の情報共有装置の属するシステムである自システムの端末がサービスの提供を受けるシステム、および、自システムに接続される他のシステムを示したシステム相互接続情報と、前記端末の識別情報ごとに、当該端末に提供しているサービスの識別情報を示した提供サービス情報とを記憶する記憶部と、
前記攻撃元の端末の識別情報および前記所属システム情報を参照して、当該端末が収容されるシステムを特定する所属システム特定部と、
前記特定されたシステムが自システムであるとき、前記システム相互接続情報を参照して、前記攻撃元の端末が他のシステムのサービスの提供を受けている否かを判断する判断部と、
前記特定されたシステムが自システムではないとき、前記特定されたシステムを前記攻撃情報の共有先として決定し、
前記特定されたシステムが自システムである場合において、前記攻撃元の端末が他のシステムのサービスの提供を受けていると判断されたとき、前記システム相互接続情報を参照して、当該サービスの提供元のシステムを前記攻撃情報の共有先として決定する共有先決定部と、
前記決定された共有先へ、前記攻撃情報を送信する共有情報送信部と、
前記入力部経由で、他の情報共有装置から、前記攻撃情報の入力を受け付けたとき、前記攻撃情報と前記提供サービス情報とを参照して、前記攻撃元の端末に提供しているサービスの中から、攻撃の原因となっているサービスを特定する原因分析部と、
を備えることを特徴とする情報共有装置。 An input unit for receiving input of attack information including identification information of the terminal of the attack source;
For each terminal identification information, belonging system information indicating the identification information of the system in which the terminal is accommodated, a system in which the terminal of the own system, which is a system to which the information sharing apparatus belongs, receives the service, and A storage unit that stores system interconnection information indicating other systems connected to the system, and provided service information indicating identification information of a service provided to the terminal for each identification information of the terminal;
With reference to the identification information of the terminal of the attack source and the affiliation system information, an affiliation system identification unit that identifies a system in which the terminal is accommodated,
When the specified system is its own system, a determination unit that refers to the system interconnection information and determines whether the attack source terminal is provided with a service of another system;
When the identified system is not its own system, the identified system is determined as a sharing destination of the attack information;
When the specified system is its own system, when it is determined that the attack source terminal is provided with the service of another system, the service is provided with reference to the system interconnection information. A sharing destination determination unit that determines an original system as a sharing destination of the attack information;
A shared information transmission unit that transmits the attack information to the determined sharing destination;
Among the services provided to the attack source terminal with reference to the attack information and the provided service information when receiving the attack information input from another information sharing device via the input unit From the cause analysis unit that identifies the service that is causing the attack,
An information sharing apparatus comprising:
自システムの端末の識別情報ごとに、当該端末の自システムに接続される他のシステムで用いられる識別情報を示した識別情報変換テーブルをさらに備え、
前記情報共有装置は、さらに、
前記攻撃元の端末が自システムの端末である場合において、前記他のシステムからの前記攻撃情報の入力を受け付けた際、前記識別情報変換テーブルを参照して、前記攻撃元の端末の識別情報を自システムで用いる識別情報へ変換する変換部を備えることを特徴とする請求項1に記載の情報共有装置。 The storage unit further includes:
For each identification information of the terminal of its own system, further comprising an identification information conversion table showing identification information used in another system connected to the terminal's own system,
The information sharing apparatus further includes:
When the attack source terminal is a terminal of its own system, when receiving the input of the attack information from the other system, the identification information of the attack source terminal is obtained by referring to the identification information conversion table. The information sharing apparatus according to claim 1, further comprising a conversion unit that converts the identification information to be used in the own system.
前記攻撃情報と前記提供サービス情報とを参照して、前記サービスが、前記攻撃元の端末に提供されている割合と、前記攻撃元の端末を含む各端末に提供されている割合とを計算し、前記計算したそれぞれの割合に基づき、前記攻撃の原因となっているサービスを特定することを特徴とする請求項1または請求項2に記載の情報共有装置。 When the cause analysis unit identifies the service causing the attack,
Referring to the attack information and the provided service information, calculate the ratio that the service is provided to the terminal that is the attack source and the ratio that is provided to each terminal including the terminal that is the attack source. The information sharing apparatus according to claim 1, wherein the service that causes the attack is specified based on the calculated ratios.
前記共有情報送信部は、さらに、前記攻撃情報を、自システムのセキュリティ情報を蓄積するセキュリティ管理装置へ送信することを特徴とする請求項1ないし請求項3のいずれか1項に記載の情報共有装置。 The attack information further includes at least one of identification information of an attack destination terminal, an attack type, and an attack date and time,
4. The information sharing according to claim 1, wherein the shared information transmitting unit further transmits the attack information to a security management apparatus that accumulates security information of the own system. 5. apparatus.
前記攻撃情報のうち、攻撃先の端末の識別情報、攻撃の種別、および、攻撃の日時の少なくともいずれかの項目に関する情報を選択する共有情報決定部を備え、
前記共有情報送信部は、前記攻撃元の端末の識別情報と、前記選択された項目の情報とを含む攻撃情報を、前記共有先へ送信することを特徴とする請求項4に記載の情報共有装置。 The information sharing apparatus further includes:
Among the attack information, comprising a shared information determination unit for selecting information regarding at least one of the identification information of the attack destination terminal, the type of attack, and the date and time of the attack,
5. The information sharing according to claim 4, wherein the shared information transmission unit transmits attack information including identification information of the terminal of the attack source and information of the selected item to the sharing destination. apparatus.
端末の識別情報ごとに、当該端末が収容されるシステムの識別情報を示した所属システム情報と、前記攻撃元の端末の識別情報とを参照して、当該端末が収容されるシステムを特定する所属システム特定ステップと、
前記特定されたシステムが自身の情報共有装置の属するシステムである自システムであるとき、自システムの端末がサービスの提供を受けるシステム、および、自システムに接続される他のシステムを示したシステム相互接続情報を参照して、前記攻撃元の端末が他のシステムのサービスの提供を受けている否かを判断する判断ステップと、
前記特定されたシステムが自システムではないとき、前記特定されたシステムを前記攻撃情報の共有先として決定し、前記特定されたシステムが自システムである場合において、前記攻撃元の端末が他のシステムのサービスの提供を受けていると判断されたとき、前記システム相互接続情報を参照して、当該サービスの提供元のシステムを前記攻撃情報の共有先として決定する共有先決定ステップと、
前記決定された共有先へ、前記攻撃情報を送信する共有情報送信ステップと、
他の情報共有装置から、前記攻撃情報の入力を受け付けたとき、前記端末の識別情報ごとに、当該端末に提供しているサービスの識別情報を示した提供サービス情報と前記攻撃情報とを参照して、前記攻撃元の端末に提供しているサービスの中から、攻撃の原因となっているサービスを特定する原因分析ステップと、
をコンピュータが実行することを特徴とする情報共有方法。 An input step for receiving input of attack information including identification information of the terminal of the attack source;
For each terminal identification information, the affiliation system information indicating the identification information of the system in which the terminal is accommodated and the identification information of the attack source terminal are identified to identify the system in which the terminal is accommodated System specific steps;
When the identified system is the own system to which the own information sharing apparatus belongs, the system that shows the system in which the terminal of the own system receives the service and the other system connected to the own system A determination step of referring to connection information to determine whether the attack source terminal is provided with a service of another system;
When the identified system is not the own system, the identified system is determined as a sharing destination of the attack information, and when the identified system is the own system, the attack source terminal is another system. When it is determined that the service is provided, a sharing destination determining step of determining the system that provides the service as a sharing destination of the attack information with reference to the system interconnection information;
A shared information transmission step of transmitting the attack information to the determined sharing destination;
When receiving the attack information input from another information sharing device, for each piece of identification information of the terminal, refer to the provided service information indicating the identification information of the service provided to the terminal and the attack information. A cause analysis step for identifying a service causing the attack from services provided to the attack source terminal;
A computer-executable information sharing method.
端末の識別情報ごとに、当該端末が収容されるシステムの識別情報を示した所属システム情報と、前記攻撃元の端末の識別情報とを参照して、当該端末が収容されるシステムを特定する所属システム特定ステップと、
前記特定されたシステムが自身の情報共有装置の属するシステムである自システムであるとき、自システムの端末がサービスの提供を受けるシステム、および、自システムに接続される他のシステムを示したシステム相互接続情報を参照して、前記攻撃元の端末が他のシステムのサービスの提供を受けている否かを判断する判断ステップと、
前記特定されたシステムが自システムではないとき、前記特定されたシステムを前記攻撃情報の共有先として決定し、前記特定されたシステムが自システムである場合において、前記攻撃元の端末が他のシステムのサービスの提供を受けていると判断されたとき、前記システム相互接続情報を参照して、当該サービスの提供元のシステムを前記攻撃情報の共有先として決定する共有先決定ステップと、
前記決定された共有先へ、前記攻撃情報を送信する共有情報送信ステップと、
他の情報共有装置から、前記攻撃情報の入力を受け付けたとき、前記端末の識別情報ごとに、当該端末に提供しているサービスの識別情報を示した提供サービス情報と前記攻撃情報とを参照して、前記攻撃元の端末に提供しているサービスの中から、攻撃の原因となっているサービスを特定する原因分析ステップと、
をコンピュータに実行させることを特徴とする情報共有プログラム。 An input step for receiving input of attack information including identification information of the terminal of the attack source;
For each terminal identification information, the affiliation system information indicating the identification information of the system in which the terminal is accommodated and the identification information of the attack source terminal are identified to identify the system in which the terminal is accommodated System specific steps;
When the identified system is the own system to which the own information sharing apparatus belongs, the system that shows the system in which the terminal of the own system receives the service and the other system connected to the own system A determination step of referring to connection information to determine whether the attack source terminal is provided with a service of another system;
When the identified system is not the own system, the identified system is determined as a sharing destination of the attack information, and when the identified system is the own system, the attack source terminal is another system. When it is determined that the service is provided, a sharing destination determining step of determining the system that provides the service as a sharing destination of the attack information with reference to the system interconnection information;
A shared information transmission step of transmitting the attack information to the determined sharing destination;
When receiving the attack information input from another information sharing device, for each piece of identification information of the terminal, refer to the provided service information indicating the identification information of the service provided to the terminal and the attack information. A cause analysis step for identifying a service causing the attack from services provided to the attack source terminal;
An information sharing program that causes a computer to execute the program.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014015553A JP6081386B2 (en) | 2014-01-30 | 2014-01-30 | Information sharing apparatus, information sharing method, and information sharing program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014015553A JP6081386B2 (en) | 2014-01-30 | 2014-01-30 | Information sharing apparatus, information sharing method, and information sharing program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015142324A true JP2015142324A (en) | 2015-08-03 |
JP6081386B2 JP6081386B2 (en) | 2017-02-15 |
Family
ID=53772392
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014015553A Active JP6081386B2 (en) | 2014-01-30 | 2014-01-30 | Information sharing apparatus, information sharing method, and information sharing program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6081386B2 (en) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018093384A (en) * | 2016-12-05 | 2018-06-14 | Kddi株式会社 | Communication monitoring device, communication monitoring method, and communication monitoring program |
JP2018093268A (en) * | 2016-11-30 | 2018-06-14 | Kddi株式会社 | Communication monitoring device, communication monitoring method, and communication monitoring program |
JP2018531527A (en) * | 2015-12-28 | 2018-10-25 | 華為技術有限公司Huawei Technologies Co.,Ltd. | Method and apparatus for identifying application information in network traffic |
JP2019040533A (en) * | 2017-08-28 | 2019-03-14 | 富士通株式会社 | Cyber attack information processing program, cyber attack information processing method and information processing device |
CN113056896A (en) * | 2018-09-28 | 2021-06-29 | 奥兰治 | Method for collaborating and requesting collaboration between protection services associated with at least one domain, corresponding agent and computer program |
WO2021144978A1 (en) * | 2020-01-17 | 2021-07-22 | 三菱電機株式会社 | Attack estimation device, attack estimation method, and attack estimation program |
JP2022050462A (en) * | 2016-02-26 | 2022-03-30 | オラクル・インターナショナル・コーポレイション | Techniques for discovering and managing security of applications |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005159936A (en) * | 2003-11-28 | 2005-06-16 | Yokogawa Electric Corp | Packet route tracing system |
JP2005275683A (en) * | 2004-03-24 | 2005-10-06 | Mitsubishi Electric Corp | Intrusion route tracing system |
JP2007249348A (en) * | 2006-03-14 | 2007-09-27 | Nec Corp | Data collection device and method in application trace-back and its program |
-
2014
- 2014-01-30 JP JP2014015553A patent/JP6081386B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005159936A (en) * | 2003-11-28 | 2005-06-16 | Yokogawa Electric Corp | Packet route tracing system |
JP2005275683A (en) * | 2004-03-24 | 2005-10-06 | Mitsubishi Electric Corp | Intrusion route tracing system |
JP2007249348A (en) * | 2006-03-14 | 2007-09-27 | Nec Corp | Data collection device and method in application trace-back and its program |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018531527A (en) * | 2015-12-28 | 2018-10-25 | 華為技術有限公司Huawei Technologies Co.,Ltd. | Method and apparatus for identifying application information in network traffic |
US11855967B2 (en) | 2015-12-28 | 2023-12-26 | Huawei Technologies Co., Ltd. | Method for identifying application information in network traffic, and apparatus |
US11582188B2 (en) | 2015-12-28 | 2023-02-14 | Huawei Technologies Co., Ltd. | Method for identifying application information in network traffic, and apparatus |
JP2022050462A (en) * | 2016-02-26 | 2022-03-30 | オラクル・インターナショナル・コーポレイション | Techniques for discovering and managing security of applications |
JP7222061B2 (en) | 2016-02-26 | 2023-02-14 | オラクル・インターナショナル・コーポレイション | Techniques for discovering and managing application security |
JP2018093268A (en) * | 2016-11-30 | 2018-06-14 | Kddi株式会社 | Communication monitoring device, communication monitoring method, and communication monitoring program |
JP2018093384A (en) * | 2016-12-05 | 2018-06-14 | Kddi株式会社 | Communication monitoring device, communication monitoring method, and communication monitoring program |
JP2019040533A (en) * | 2017-08-28 | 2019-03-14 | 富士通株式会社 | Cyber attack information processing program, cyber attack information processing method and information processing device |
US11075953B2 (en) | 2017-08-28 | 2021-07-27 | Fujitsu Limited | Cyber attack information processing apparatus and method |
CN113056896A (en) * | 2018-09-28 | 2021-06-29 | 奥兰治 | Method for collaborating and requesting collaboration between protection services associated with at least one domain, corresponding agent and computer program |
CN113056896B (en) * | 2018-09-28 | 2024-01-05 | 奥兰治 | Method for collaboration and request collaboration between protection services associated with at least one domain, corresponding agent and computer program |
US11985161B2 (en) | 2018-09-28 | 2024-05-14 | Orange | Method of collaboration and for requesting collaboration between protecting services associated with at least one domain, corresponding agents and computer program |
WO2021144978A1 (en) * | 2020-01-17 | 2021-07-22 | 三菱電機株式会社 | Attack estimation device, attack estimation method, and attack estimation program |
Also Published As
Publication number | Publication date |
---|---|
JP6081386B2 (en) | 2017-02-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6081386B2 (en) | Information sharing apparatus, information sharing method, and information sharing program | |
US10348740B2 (en) | Systems and methods for threat analysis of computer data | |
US10554691B2 (en) | Security policy based on risk | |
KR102175193B1 (en) | Systems and Methods for Automatic Device Detection | |
EP3646549B1 (en) | Firewall configuration manager | |
US11671402B2 (en) | Service resource scheduling method and apparatus | |
US10862854B2 (en) | Systems and methods for using DNS messages to selectively collect computer forensic data | |
Khan et al. | A comprehensive review on adaptability of network forensics frameworks for mobile cloud computing | |
Smys et al. | Data elimination on repetition using a blockchain based cyber threat intelligence | |
JP6649296B2 (en) | Security countermeasure design apparatus and security countermeasure design method | |
US20230169165A1 (en) | Customer premises equipment implementation of dynamic residential threat detection | |
CN113922972B (en) | Data forwarding method and device based on MD5 identification code | |
US20230171271A1 (en) | Cloud-based implementation of dynamic threat detection | |
US10887218B2 (en) | Enhanced dynamic encryption packet segmentation | |
CN111492621B (en) | Server and method for controlling packet transmission | |
US11523293B1 (en) | Wireless network monitoring system | |
US10320751B2 (en) | DNS server selective block and DNS address modification method using proxy | |
US20230412617A1 (en) | Hybrid customer premises equipment and cloud-based implementation of dynamic residential threat detection | |
US20230412631A1 (en) | Methods and systems for system vulnerability determination and utilization for threat mitigation | |
US20230412630A1 (en) | Methods and systems for asset risk determination and utilization for threat mitigation | |
CN115150129A (en) | Container safety control method, container processing method, electronic device, and storage medium | |
CN115310128A (en) | Risk operation behavior identification method and device, storage medium and computer equipment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20151001 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20151005 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160224 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170113 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170117 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170118 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6081386 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |