JP7140268B2 - 警告装置、制御方法、及びプログラム - Google Patents

警告装置、制御方法、及びプログラム Download PDF

Info

Publication number
JP7140268B2
JP7140268B2 JP2021508423A JP2021508423A JP7140268B2 JP 7140268 B2 JP7140268 B2 JP 7140268B2 JP 2021508423 A JP2021508423 A JP 2021508423A JP 2021508423 A JP2021508423 A JP 2021508423A JP 7140268 B2 JP7140268 B2 JP 7140268B2
Authority
JP
Japan
Prior art keywords
event
information
threat
event information
indicated
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021508423A
Other languages
English (en)
Other versions
JPWO2020194449A1 (ja
Inventor
淳 西岡
純明 榮
和彦 磯山
悦子 市原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2020194449A1 publication Critical patent/JPWO2020194449A1/ja
Application granted granted Critical
Publication of JP7140268B2 publication Critical patent/JP7140268B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明はコンピュータシステムにおける脅威の検出に関する。
コンピュータシステムでは、マルウエアなどといった脅威が発生しうる。そこで、このような脅威に関してコンピュータシステムを監視する技術が開発されている。
例えば特許文献1の技術は、対象システムにおけるデータの送受信の態様を解析した結果に基づいて、脅威事例データベースから、対象システムに想定される脅威を抽出する。例えばこの発明は、「一般利用者が、インターネットを介し、IDやパスワードを暗号化せずに平文でサーバへ送信する」という処理が行われていることについて、「利用者になりすまされる」という脅威が想定されるという情報を出力する。
特開2008-152556号公報
特許文献1では、データの送受信に関連して発生する脅威のみが対象となっている。そのため、データの送受信以外によって生じる脅威を検出することはできない。
本発明は、上述の課題に鑑みてなされたものであり、その目的の一つは、様々な脅威の発生を検出できる技術を提供することである。
本発明の警告装置は、1)対象システムにおいて発生したイベントの集合であるイベント集合を第1の抽象レベルで表す第1の検出イベント情報を取得し、取得した第1の検出イベント情報によって表されるイベント集合を第2の抽象レベルで表す第2の検出イベント情報を生成する第1生成部と、2)それぞれが脅威活動を表す複数の脅威情報の中から、第1の検出イベント情報及び第2の検出イベント情報のうちの少なくとも一方との関連度が高い脅威情報を特定する特定部と、3)特定された脅威情報と、その脅威情報との関連度が高い検出イベント情報に対応する抽象レベルである合致レベルとに基づいて、対象システムで発生している脅威に関する警告情報を生成する第2生成部と、を有する。
本発明の制御方法は、コンピュータによって実行される。当該制御方法は、1)対象システムにおいて発生したイベントの集合であるイベント集合を第1の抽象レベルで表す第1の検出イベント情報を取得し、取得した第1の検出イベント情報によって表されるイベント集合を第2の抽象レベルで表す第2の検出イベント情報を生成する第1生成ステップと、2)それぞれが脅威活動を表す複数の脅威情報の中から、第1の検出イベント情報及び第2の検出イベント情報のうちの少なくとも一方との関連度が高い脅威情報を特定する特定ステップと、3)特定された脅威情報と、その脅威情報との関連度が高い検出イベント情報に対応する抽象レベルである合致レベルとに基づいて、対象システムで発生している脅威に関する警告情報を生成する第2生成ステップと、を有する。
本発明のプログラムは、本発明の制御方法が有する各ステップをコンピュータに実行させる。
本発明によれば、様々な脅威の発生を検出できる技術が提供される。
上述した目的、およびその他の目的、特徴および利点は、以下に述べる好適な実施の形態、およびそれに付随する以下の図面によってさらに明らかになる。
実施形態1の警告装置の動作の概要を表す図である。 実施形態1の警告装置の構成を例示する図である。 警告装置を実現するための計算機を例示する図である。 実施形態1の警告装置によって実行される処理の流れを例示するフローチャートである。 イベントを表す情報の構造をテーブル形式で例示する図である。 イベント集合を構成する方法を例示する図である。 イベント集合を構成する方法を例示する図である。 イベント集合を構成する方法を例示する図である。 3つ以上の抽象レベルを利用するケースを例示する図である。 イベント集合に加え、読み書きされるデータのサイズに基づいて、脅威活動を定めるケースを例示する図である。 警告情報を例示する図である。
以下、本発明の実施の形態について、図面を用いて説明する。尚、すべての図面において、同様な構成要素には同様の符号を付し、適宜説明を省略する。また、特に説明する場合を除き、各ブロック図において、各ブロックは、ハードウエア単位の構成ではなく、機能単位の構成を表している。
[実施形態1]
<概要>
図1は、実施形態1の警告装置の動作の概要を表す図である。図1は警告装置2000の動作についての理解を容易にするための概念的な図であり、警告装置2000の動作を具体的に限定するものではない。
警告装置2000は、監視対象のシステム(以下、対象システム)で発生したイベントの集合(互いに関連する1つ以上のイベントのまとまり)について、そのイベント集合が対象システムで生じている何らかの脅威を表しているか否かを特定する。イベントとしては、例えば、プロセスによるデータの読み書きや他のプロセスの起動などといった様々なものを扱うことができる。そして、イベント集合が表している脅威が特定されたら、警告装置2000は、その脅威に関する警告情報40を出力する。
ここで、対象システムにおける脅威とは、不正アクセスによるシステムへの不正操作や情報漏洩などを意味する。例えば、対象システムの中でマルウエアが活動しているといったことが、脅威の一例である。
上述した機能を実現するために、例えば警告装置2000は以下のように動作する。警告装置2000は、第1検出イベント情報10を取得する。第1検出イベント情報10は、対象システムで発生したイベント集合を(各イベントを)、第1の抽象レベル(抽象度合い)で表す。さらに警告装置2000は、第1検出イベント情報10を用いて第2検出イベント情報20を生成する。第2検出イベント情報20は、第1検出イベント情報10によって表されるイベント集合を(各イベントを)、第2の抽象レベルで表す。
ここで、イベントの表し方の抽象レベルとは、イベントをどの程度抽象的に表すかの度合いを意味する。イベントは、より低い抽象レベルで表すほど、より具体的に表されることになる。例えば、イベントの主体のプロセスを実行ファイルの名称で表すケースと、実行ファイルの種類(ブラウザなどといったアプリケーションの種類)で表すケースとでは、前者の方がイベントをより具体的に表しているといえる。そのため、前者の表現の方が後者の表現よりも抽象レベルが低い。
ここで、第2の抽象レベルは、第1の抽象レベルよりも抽象度が高い。すなわち、第2検出イベント情報20は、第1検出イベント情報10によって表されているイベント集合を、より高い抽象度で表現した情報である。例えば第1検出イベント情報10はイベントの主体や客体をその識別情報(例えば、ファイル名の本体及び拡張子)で表す一方で、第2検出イベント情報20はイベントの主体や客体をそれらの種類を表す情報(例えば拡張子)で表す。以下、第1検出イベント情報10と第2検出イベント情報20を総称して検出イベント情報とも表記する。
さらに警告装置2000は、様々な脅威それぞれについて予め定められている脅威情報30を利用する。脅威情報30では、その脅威情報30で表す脅威(その脅威情報30に対応する脅威)がイベント集合で表されている。
より具体的には、脅威情報30は、第1脅威イベント情報32及び第2脅威イベント情報34を含む。第1脅威イベント情報32では、脅威を表すイベント集合が第1の抽象レベルで表されている。一方、第2脅威イベント情報34では、脅威を表すイベント集合が第2の抽象レベルで表されている。すなわち、1つの脅威情報30に含まれる第1脅威イベント情報32と第2脅威イベント情報34は、同一の脅威を表すイベント集合を互いに異なる抽象度で表す。以下、第1脅威イベント情報32と第2脅威イベント情報34を総称して脅威イベント情報とも表記する。
警告装置2000は、複数の脅威情報30の中から、検出イベント情報との関連度が高い脅威イベント情報を示すものを特定する。具体的には、第1検出イベント情報10との関連度が高い第1脅威イベント情報32を示すか、又は第2検出イベント情報20との関連度が高い第2脅威イベント情報34を示す脅威情報30が特定される。
さらに警告装置2000は、特定した脅威情報30と、その脅威情報30との関連度が高いものとして特定された検出イベント情報の抽象レベル(以下、合致レベル)とに基づいて、対象システムにおいて発生している脅威に関する警告情報40を生成する。第1検出イベント情報10と或る脅威情報30の第1脅威イベント情報32との関連度が高いと特定された場合には、合致レベルは第1の抽象レベルとなる。一方、第2検出イベント情報20と或る脅威情報30の第2脅威イベント情報34との関連度が高いと特定された場合には、合致レベルは第2の抽象レベルとなる。そして警告装置2000は、生成した警告情報40を出力する。
<作用効果>
本実施形態の警告装置2000によれば、検出イベント情報(対象システムで実際に発生したイベントの集合を示す情報)と脅威情報30(脅威活動を表すイベント集合を示す情報)とを比較することにより、検出イベント情報と関連度の高い脅威情報30が特定される。これにより、対象システムで発生している蓋然性が高い脅威を表す脅威情報30を特定することができる。そして警告装置2000は、特定した脅威情報30に関する警告情報を生成・出力する。よって、警告装置2000のユーザ(対象システムの管理者やユーザ)は、対象システムで発生している可能性がある脅威を容易に把握することができる。
ここで、イベントとしては、プロセスによるデータの読み書きや他のプロセスの起動などといった種々のイベントを扱うことができる。そのため、本実施形態の警告装置2000によれば、データの送受信に限らず、対象システムにおける様々な活動に関して、脅威の発生を検出することができる。
さらに、本実施形態の警告装置2000では、同一のイベント集合が、それぞれ抽象度の異なる複数の抽象レベルで表現される。具体的には、対象システムで実際に発生したイベントの集合について、そのイベント集合を第1の抽象レベルで表す第1検出イベント情報10が得られる。さらに、第1検出イベント情報10によって表されるイベント集合を第2の抽象レベルで表す第2検出イベント情報20が生成される。また、脅威情報30では、予め、脅威活動を表すイベント集合がそれぞれ異なる複数の抽象レベルで表現されている(第1脅威イベント情報32及び第2脅威イベント情報34)。
警告装置2000は、第1検出イベント情報10と第1脅威イベント情報32との比較、及び第2検出イベント情報20と第2脅威イベント情報34との比較を行う。これにより、脅威活動を表すイベント集合と合致する脅威情報30が特定できるだけでなく、これらがどの程度の抽象度で合致するのかについても特定できる。そして、警告装置2000は、この「どの程度の抽象レベルで合致するのか」という点も考慮して、警告情報40の生成を行う。よって、警告装置2000のユーザは、対象システムで発生している可能性がある脅威を把握できることに加え、その脅威がどの程度の確からしさで発生しているのかについても把握することができる。
以下、本実施形態の警告装置2000についてさらに詳細に説明する。
<警告装置2000の機能構成の例>
図2は、実施形態1の警告装置2000の構成を例示する図である。警告装置2000は、第1生成部2020、特定部2040、第2生成部2060、及び出力部2080を有する。第1生成部2020は、第1検出イベント情報10を取得し、第1検出イベント情報10によって表されるイベント集合を第2の抽象レベルで表す第2検出イベント情報20を生成する。特定部2040は、複数の脅威情報30の中から、第1検出イベント情報10及び第2検出イベント情報20のうちの少なくとも一方との関連度が高い脅威情報30を特定する。第2生成部2060は、特定された脅威情報30、及び脅威情報30との関連度が高いイベント情報に対応する抽象レベルに基づいて、警告情報40を生成する。出力部2080は、警告情報40を出力する。
<警告装置2000のハードウエア構成>
警告装置2000の各機能構成部は、各機能構成部を実現するハードウエア(例:ハードワイヤードされた電子回路など)で実現されてもよいし、ハードウエアとソフトウエアとの組み合わせ(例:電子回路とそれを制御するプログラムの組み合わせなど)で実現されてもよい。以下、警告装置2000の各機能構成部がハードウエアとソフトウエアとの組み合わせで実現される場合について、さらに説明する。
図3は、警告装置2000を実現するための計算機1000を例示する図である。計算機1000は任意の計算機である。例えば計算機1000は、Personal Computer(PC)やサーバマシンなどの据え置き型の計算機である。その他にも例えば、計算機1000は、スマートフォンやタブレット端末などの可搬型の計算機である。計算機1000は、警告装置2000を実現するために設計された専用の計算機であってもよいし、汎用の計算機であってもよい。
計算機1000は、バス1020、プロセッサ1040、メモリ1060、ストレージデバイス1080、入出力インタフェース1100、及びネットワークインタフェース1120を有する。バス1020は、プロセッサ1040、メモリ1060、ストレージデバイス1080、入出力インタフェース1100、及びネットワークインタフェース1120が、相互にデータを送受信するためのデータ伝送路である。ただし、プロセッサ1040などを互いに接続する方法は、バス接続に限定されない。
プロセッサ1040は、CPU(Central Processing Unit)、GPU(Graphics Processing Unit)、FPGA(Field-Programmable Gate Array)などの種々のプロセッサである。メモリ1060は、RAM(Random Access Memory)などを用いて実現される主記憶装置である。ストレージデバイス1080は、ハードディスク、SSD(Solid State Drive)、メモリカード、又は ROM(Read Only Memory)などを用いて実現される補助記憶装置である。
入出力インタフェース1100は、計算機1000と入出力デバイスとを接続するためのインタフェースである。例えば入出力インタフェース1100には、キーボードなどの入力装置や、ディスプレイ装置などの出力装置が接続される。
ネットワークインタフェース1120は、計算機1000を通信網に接続するためのインタフェースである。この通信網は、例えば LAN(Local Area Network)や WAN(Wide Area Network)である。ネットワークインタフェース1120が通信網に接続する方法は、無線接続であってもよいし、有線接続であってもよい。
ストレージデバイス1080は、警告装置2000の各機能構成部を実現するプログラムモジュールを記憶している。プロセッサ1040は、これら各プログラムモジュールをメモリ1060に読み出して実行することで、各プログラムモジュールに対応する機能を実現する。
<処理の流れ>
図4は、実施形態1の警告装置2000によって実行される処理の流れを例示するフローチャートである。第1生成部2020は、第1検出イベント情報10を取得する(S102)。第1生成部2020は、第1検出イベント情報10を用いて第2検出イベント情報20を生成する(S104)。特定部2040は、複数の脅威情報30の中から、検出イベント情報との関連度が高い(第1検出イベント情報10及び第2検出イベント情報20のうちの少なくとも一方との関連度が高い)脅威情報30を特定する(S106)。第2生成部2060は、特定された脅威情報30及びその合致レベルに基づいて、警告情報40を生成する(S108)。出力部2080は、生成された警告情報40を出力する(S110)。
なお、警告装置2000によって実行される処理の流れは、図4に示すものに限定されない。例えば警告装置2000は、第2検出イベント情報20を生成する前に、各脅威情報30に含まれる第1脅威イベント情報32を第1検出イベント情報10と比較し、第1検出イベント情報10との関連度が高い第1脅威イベント情報32を含む脅威情報30が存在しなかった場合に、第2検出イベント情報20を生成してもよい。そして、警告装置2000は、生成した第2検出イベント情報20と各脅威情報30に含まれる第2脅威イベント情報34とを比較することで、第2検出イベント情報20との関連度が高い第2脅威イベント情報34を含む脅威情報30を特定する。
この点については、後述するように第2の抽象レベル以上の抽象度の情報を扱う場合についても同様である。すなわち、警告装置2000は、第 n の抽象レベルの検出イベント情報と第 n の抽象レベルの脅威イベント情報との間に関連度の高いものが見つからなかった場合に、第 (n+1) の抽象レベルの検出イベント情報を生成するようにする。
<イベントについて>
イベントは、対象システム上で発生する種々の事象である。例えばイベントは、対象システム上で(対象システムに含まれるいずれかの端末上で)動作するプロセスの活動を表す。例えばプロセスの活動は、システムコール単位で記録される。なお、対象システムを構成する端末は、物理マシンであってもよいし、仮想マシンであってもよい。
イベントは、例えば、イベントが発生した端末の識別情報、イベントの主体、イベントの客体、主体が客体について行った活動の内容、及び発生時刻という5つの要素を示す情報によって表される。そこで例えば、イベントを表す情報は、大別して、端末の識別情報、主体を表す主体情報、客体を表す客体情報、活動の内容を表す内容情報、及び発生時刻という5つの項目で構成される。
端末の識別情報は、端末を識別できる任意の情報である。例えば、端末のネットワークアドレス(IP アドレスや MAC アドレス)や UUID(Universally Unique Identifier)などを端末の識別情報として利用できる。
主体情報は、主体であるプロセスを識別できる任意の識別情報である。以下、プロセスを識別する情報をプロセス識別情報と呼ぶ。具体的には、プロセス識別情報は、プロセスID(Identifier)を含む。ただし、複数のスレッドが動作するプロセスについてのプロセス識別情報は、プロセスIDに加え、スレッドIDをさらに含む。
また、プロセス識別情報は、プロセスの実行ファイルに関する情報をさらに含む。プロセスの実行ファイルに関する情報とは、例えば、実行ファイルの名称やパス、実行ファイルのハッシュ値、実行ファイルのデジタル署名、又は実行ファイルで実現されるアプリケーションの名称などである。
客体情報は、例えば、その客体の種類及び識別情報である。客体の種類は、例えば、プロセス、ファイル、又はソケットなどである。客体がプロセスである場合、客体情報にはそのプロセスのプロセス識別情報が含まれる。
客体がファイルである場合、客体情報には、そのファイルを識別する情報(以下、ファイル識別情報)が含まれる。ファイル識別情報は、例えばファイルの名称やパスなどである。また、客体がファイルである場合、客体情報には、そのファイルのハッシュ値や、ファイルシステムの識別子とファイルシステム上でのファイルを構成するディスクブロックの識別子(inode 番号やオブジェクトID)の組み合わせなどが含まれていてもよい。
客体がソケットである場合、例えば客体情報には、ソケットに割り当てられた識別子が含まれる。
内容情報は、例えば、種々ある活動内容に割り当てられた識別情報である。例えば、「起動する」、「停止する」、「オープンする」、「データを読み込む」、及び「データを書き込む」などといった活動の内容に、互いに異なる識別子を割り当てておく。なお、ソケットに対するアクセスは、そのソケットに対応づけられた他の装置へのアクセスを意味する。
図5は、イベントを表す情報の構造をテーブル形式で例示する図である。以下、図5のテーブルをイベントテーブル200と呼ぶ。イベントテーブル200の各レコードは、1つのイベントを表す。イベントテーブル200は、大別して、端末識別情報201、主体情報202、客体情報204、内容情報206、及び発生時刻207という5つの項目を含む。主体情報202は、プロセスID208、スレッドID209、及びパス210という3つの項目を含む。客体情報204は、種類212及び識別情報214という2つの項目を含む。発生時刻207は、イベントが発生した時刻を示す。
ここで、各イベントは、対象システム上におけるプロセスの活動を記録することで生成される。プロセスの活動を記録する技術には、既存の技術を利用することができる。
<イベント集合について>
イベント集合は、互いに関連する1つ以上のイベントのまとまりである。例えば、「或るイベントの客体が別のイベントにおいて主体となっている場合に、これらのイベントを連結する」という操作によって連結される複数のイベントを、同一のイベント集合に含めるようにする。
ここで、システム上で発生したイベントを連結してグラフで表現することがある。イベント集合は、このようにイベントを連結してグラフで表現する場合に1つのグラフを構成する複数のイベントで構成することができる。例えば図1では、1つのグラフを構成するイベント群をイベント集合として扱っている。
なお、或るイベントの客体が別のイベントにおいて主体となっていたとしても、これらのイベントが関連していないと考えられることもある。例えば、これらのイベントの発生時刻が大きく異なる場合には、これらのイベントは関連していない蓋然性が高い。そこで、イベント同士を連結する条件として、これらのイベントの発生時刻の差が所定値以下であるという条件をさらに設けてもよい。なお、このようにイベントの連結について設ける具体的な条件については、イベント同士を連結してグラフを生成する既存手法において利用されている種々の条件を利用することができる。
ここで、イベント集合を構成する方法(複数のイベントを同一のイベント集合に含める方法)は、連結されるイベントを同一のイベント集合に含めるという方法だけに限定されない。すなわち、イベントのつながりをグラフで表現した場合において互いに連結されない複数のグラフに含まれる各イベントが、同一のイベント集合に含まれるようにしてもよい。
例えば、「着目するプロセスから派生したプロセスやファイルに関係したイベントを、まとめて1つのイベント集合に含める」という方法を採用することができる。図6から図8は、イベント集合を構成する方法を例示する図である。図6では、スケジュールタスクの生成に関連する複数のイベント、及びそのスケジュールタスクの実行に関連する複数のイベントが、1つのイベント集合に含められている。すなわち、スケジュールタスクを生成するプロセス(ドット柄で表したプロセス)が「着目するプロセス」として扱われ、スケジュールタスクを実行するプロセス、及びそのスケジュールタスクの実行によって生成されるプロセスが、「着目するプロセスから派生したプロセス」として扱われている。図6のように表されるイベント集合によって実現される脅威としては、例えば、「マルウエアを生成した後、所定の時間後にそのマルウエアの実行を行う」という脅威が考えられる。
図7では、端末Aから端末Bへファイルをアップロードするイベント、及びそのファイルに対するアクセスするイベントが、同一のイベント集合に含められている。すなわち、ファイルを他の端末にアップロードするプロセス(ドット柄で表したプロセス)が「着目するプロセス」として扱われ、そのプロセスによってアップロードされたファイル(斜線で表したファイル)が「着目するプロセスから派生したファイル」として扱われている。
図8では、外部記憶装置にファイルを格納するイベント、及びその外部記憶装置からそのファイルを読み出して利用するイベントが、同一のイベント集合に含められている。すなわち、外部記憶装置にファイルを格納するプロセス(ドット柄で表したプロセス)が「着目するプロセス」として扱われ、その外部記憶装置に格納されたファイル(斜線で表したファイル)が「着目するプロセスから派生したファイル」として扱われている。なお、外部記憶装置に格納されたファイルを読み出すプロセスと、読み出したファイルを利用するプロセスとは、異なっていてもよいし(図8上段の例)、同一であってもよい(図8下段の例)。
ここで、外部記憶装置は、USB メモリや SD カードなどといった可搬型の記憶装置であってもよいし、NAS(Network Attached Storage)などの据え置き型の記憶装置であってもよい(図8の例では USB メモリ)。
なお、「着目するプロセス」には、様々なものを採用できる。例えば、警告装置2000の内部又は外部に設けられた異常検知システムによって何らかの異常が検知されたイベントの主体又は客体のプロセスを、着目するプロセスとして扱う。この異常検知システムには、既存のシステムを利用することができる。例えば、「通常では発生しないプロセスの活動をルールとして定めておき、そのようなルールに合致するイベントを異常なイベントとして検知する」という動作を行う異常検知システムを利用する。
<第1検出イベント情報10と第2検出イベント情報20について>
第1検出イベント情報10は、第1の抽象度でイベント集合を表現した情報である。例えば第1検出イベント情報10は、イベントの主体及び客体それぞれについて、それらを一意に特定可能な識別情報を示す。例えばプロセスの識別情報は、プロセスIDやそのプロセスを実現するプログラムの実行ファイルの名前やパスなどである。また、ファイルの識別情報は、例えば、ファイルの名前やパスである。
第2検出イベント情報20は、第1検出イベント情報10によって表されているイベント集合を、第1検出イベント情報10よりも高い抽象度で表現する情報である。例えば、第2検出イベント情報20は、イベントの主体や客体の識別情報の代わりに、それらの種類を表す情報を示す。例えばプロセスの種類は、そのプロセスとして実行されているプログラムの種類(ブラウザ、文書作成ソフト、又は表計算ソフトなど)で表すことができる。ファイルの種類は、例えば、HTML ファイル、PDF ファイル、又は表計算ファイルなどがある。
また、第1検出イベント情報10と第2検出イベント情報20において、活動内容が異なる抽象度で表されていてもよい。例えば、活動内容がネットワークを介したデータの書き込み(送信)である場合において、第1検出イベント情報10では特定の通信プロトコルを利用した書き込みであることを示す一方、第2検出イベント情報20では通信プロトコルを示さずに単に書き込みであることのみを示すという方法を採用しうる。
なお、第2検出イベント情報20は、イベントの主体、客体、及び活動内容の少なくとも1つが第1検出イベント情報10よりも高い抽象度で表されていればよい。
<第1検出イベント情報10の取得:S102>
第1生成部2020は、第1検出イベント情報10を取得する(S102)。第1生成部2020が第1検出イベント情報10を取得する方法は様々である。例えば第1生成部2020は、他の装置から送信される第1検出イベント情報10を取得する。その他にも例えば、第1生成部2020は、記憶装置から第1検出イベント情報10を読み出すことで、第1検出イベント情報10を取得してもよい。
さらに第1生成部2020は、対象システムで発生した各イベントを示す情報(例えば図5に示すイベントテーブル200)を取得してイベントをグルーピングすることにより、1つ以上の第1検出イベント情報10を生成してもよい。なお、システムで発生したイベントを記録する方法、及びその記録された情報を取得する方法には、既存の方法を利用することができる。また、対象システムで発生したイベントをグルーピングしてイベント集合にまとめる(複数のイベントを1つのイベント集合にまとめる)方法については、前述した通りである。
第1生成部2020は、対象システムで発生した全てのイベントを対象として第1検出イベント情報10の生成を行ってもよいし、特定のイベントに着目して第1検出イベント情報10の生成を行ってもよい。例えば前述した異常検知システムを導入して異常なイベントの検知を行い、異常なイベントについてのみイベント集合を生成するようにしてもよい。すなわち、異常なイベントと関連を持たないイベントについては、第1検出イベント情報10の生成が行われない。
その他にも例えば、着目するイベントは、予め定義されたイベントであってもよい。着目するイベントを定義した情報は、第1生成部2020からアクセス可能な記憶装置に記憶させておく。
<第2検出イベント情報20の生成:S104>
第1生成部2020は、第1検出イベント情報10から第2検出イベント情報20を生成する(S104)。ここで、第1検出イベント情報10から第2検出イベント情報20を生成するルール(すなわち、イベント集合の表現を第1の抽象度から第2の抽象度に変換するルール)は、予め定めておく。
例えば、第1検出イベント情報10においてはイベントの主体を識別情報で表し、第2検出イベント情報20においてはイベントの主体をその種類を表す種類情報で表すとする。この場合、変換ルールには、主体の識別情報を種類情報に変換すること、及びその変換方法を定めておく。例えば、主体の識別情報をプロセスの実行ファイル名で表し、主体の種類を拡張子で表すとする。この場合、実行ファイル名から拡張子部分を抽出するという変換方法により、主体の識別情報を主体の種類情報に変換できる。
<<第2の抽象レベルよりも高い抽象度のイベント情報の生成>>
第1生成部2020は、第2検出イベント情報20に加え、第1検出イベント情報10によって表されるイベント集合を第2の抽象レベルよりもさらに高い抽象度で表現した検出イベント情報を生成してもよい。例えば第1生成部2020は、第1検出イベント情報10によって表されるイベント集合を、第2の抽象レベルよりも高い第3の抽象レベルで表現した第3検出イベント情報を生成する。同様に、第4の抽象レベルや第5の抽象レベルでの抽象化を行ってもよい。すなわち、第1生成部2020は、第1検出イベント情報10を用い、第1検出イベント情報10によって表されるイベント集合をそれぞれ異なる抽象レベルで表現した第2検出イベント情報から第 n 検出イベント情報(n は2以上の整数)を生成する。ここで、n の値が大きいほど抽象度が高くなるものとする。
図9は、3つ以上の抽象レベルを利用するケースを例示する図である。第1検出イベント情報10では、プロセス、ファイル、及び通信先の端末がいずれも一意に可能な識別情報で表されている。これに対し、第2検出イベント情報20では、客体がプロセス又はファイルである場合に、識別情報の代わりに種類情報が用いられている。さらに、第3検出イベント情報では、通信を表すイベントにおいて、客体として、通信先の識別情報の代わりに通信プロトコルを表す情報が示されている。そして、第4検出イベント情報では、主体を表す情報が省略される。すなわち、主体が特定されなくなる。
なお、図9に例示する第3の抽象レベルにおいて、通信プロトコルは、トランスポート層の通信プロトコルだけでなく、他の層のプロトコル(例えば、IP などのネットワーク層のプロトコルや、HTTP などのアプリケーション層等のプロトコルなど)であってもよい。
また、図9に示すように、抽象化の内容によっては、抽象化の前後でその内容が変化しないこともある。例えば「通信先を通信プロトコルで表す」という抽象化を行う場合、イベント集合の中に通信を表すイベント含まれていなければ、抽象化の前後でイベント集合が変化しない。
<脅威情報30について>
脅威情報30は、コンピュータシステムにとって脅威となる活動である脅威活動を表すイベント集合を示す情報である。例えば脅威情報30は、特定のマルウエアの活動や、特定のセキュリティホールを突いた侵入活動などを、それらの活動を構成するイベント集合で表現した情報である。例えば脅威情報30は、実際に或るコンピュータシステムで発見された脅威活動や原理的に発生しうることが研究者等によって発見された脅威活動に関する情報をソースとして生成することができる。このように脅威情報30のソースとなる情報(以下、ソース情報)としては、例えば、論文、セキュリティに関する研究活動のレポート、セキュリティ関連企業等のWeb ページ、又は SNS(Social Networking Service)に投稿された記事などといった様々な形態の情報を利用することができる。なお、ソース情報は、脅威情報30を生成する人によって手動で収集されてもよいし、クローラなどを使ってネットワーク上から自動で収集されてもよい。
或る脅威活動を表す脅威情報30は、その脅威活動を構成するイベント集合(以下、脅威イベント集合)をそれぞれ異なる抽象レベルで表現した複数の脅威イベント情報で構成される。脅威情報30は、少なくとも、対応する脅威イベント集合を第1の抽象レベルで表現した第1脅威イベント情報32、及びその脅威イベント集合を第2の抽象レベルで表現した第2脅威イベント情報を含む。さらに、検出イベント情報と同様に、第2の抽象レベルよりも高い抽象度の脅威イベント情報が含まれてもよい。具体的には、脅威イベント集合を第3の抽象レベルで表した第3脅威イベント情報や、脅威イベント集合を第4の抽象レベルで表した第4脅威イベント情報などが含まれてもよい。すなわち、1つの脅威活動に対応する脅威情報30は、その脅威活動を表すイベント集合がそれぞれ異なる抽象レベルで表現された第1脅威イベント情報から第 n 脅威イベント情報を含むことができる(n は2以上の任意の整数)。
脅威情報30は、脅威イベント情報以外の情報を含んでもよい。例えば、脅威情報30は、その脅威情報30が表す脅威活動に関する説明を含む。脅威活動に関する説明は、例えば、攻撃の内容、攻撃の対象、及び攻撃が突くシステムの脆弱性などに関する情報を含む。さらに脅威情報30は、IOC(Indicator of Compromise)を含んでもよい。IOC とは、マルウエア等の被害を受けたシステムから取得された、マルウエア等の活動の痕跡を表すデータである。例えば IOC には、マルウエア等のハッシュ値や、マルウエア等が行った通信の通信先の IP アドレスやドメイン名などが含まれる。
ここで、ソース情報を用いた脅威情報30の生成は、人手で行われてもよいし、コンピュータ(例えば警告装置2000)によって自動で行われてもよい。以下、後者の場合について、説明を容易にするために脅威情報30が警告装置2000によって生成されるものとして説明を行う。
例えば、警告装置2000は、ソース情報を構成する文章から所定のルールに従ってイベントを抽出することで、イベント集合を生成する。そして、警告装置2000は、抽出されたイベント集合について、第1脅威情報から第 n 脅威情報を生成する。例えば、警告装置2000は、ソース情報に表されている抽象レベルでイベント集合を表した情報を、第1脅威イベント情報として生成する。そして、生成した第1脅威イベント情報から、他の抽象レベルの脅威イベント情報を生成する。
ここで、ソース情報を構成する文章から所定のルールに従ってイベントを抽出する技術には、自然言語処理の分野などで利用されている既存の技術を利用することができる。例えば、単語の集合や文章と、それらによって表されるイベントとを対応づけたイベント抽出ルールを定めておく。そして警告装置2000は、この抽出ルールを用いてソース情報から1つ以上のイベントを抽出し、抽出されたイベントの集合を脅威イベント集合として定義する。
なお、第1脅威イベント情報を第2脅威イベント情報に変換するルールなど、より高い脅威イベント情報への変換を行うルールには、検出イベント情報をより高い抽象度の検出イベント情報に変換するルールと同様のルールを利用することができる。
さらに、警告装置2000は、ソース情報から、脅威活動に関する説明や IOC などの抽出も行う。これらの抽出を実現するルールも、ソース情報からイベントを抽出するルールと同様に予め定めておく。
<検出イベント情報と脅威情報30の比較:S106>
特定部2040は、検出イベント情報との関連度が高い脅威情報30を特定する(S106)。そのために、特定部2040は、検出イベント情報によって表されているイベント集合と、脅威情報30によって表されている脅威イベント集合との間の関連度を算出する。具体的には、特定部2040は、同一の抽象レベルの検出イベント情報と脅威イベント情報との間で関連度を算出する。
例えば、或る脅威情報30を検出イベント情報と比較する場合、特定部2040は、第 n 検出イベント情報とその脅威情報30に含まれる第 n 脅威イベント情報とを、各 n についてそれぞれ比較する。すなわち、第1検出イベント情報10については、その脅威情報30に含まれる第1脅威イベント情報32との関連度が算出され、第2検出イベント情報20については、その脅威情報30に含まれる第2脅威イベント情報34との関連度が算出される。以下、脅威情報30に含まれる第 n 脅威イベント情報と第 n 検出イベント情報との関連度を、第 n 関連度と表記する。
特定部2040は、脅威情報30の中から、その脅威情報30について算出された各第 n 関連度のいずれか一つ以上が高い(所定の閾値以上である)脅威情報30を、検出イベント情報との関連度が高い脅威情報30として特定する。
<<関連度の算出方法>>
以下、検出イベント情報と脅威イベント情報との間で関連度を算出する方法について説明する。例えば、検出イベント情報と脅威イベント情報との関連度は、以下のようにして算出することができる。
まず、検出イベント情報と脅威イベント情報において各イベントを表すデータを、イベントデータと呼ぶ。例えばイベントデータは、イベントの主体を表す文字列、イベントの客体を表す文字列、及び活動内容を表す文字列を連結したデータである。ここで、文字列 x と文字列 y を連結した文字列を x+y と表記する場合、主体が s1 であり、客体が o1 であり、活動内容が d1 であるイベント1のイベントデータ e1 は、e1=s1+o1+d1 で表される。
第1検出イベント情報10と第2検出イベント情報20とでは、これらによって表されるイベント集合は同じであっても、その表現の抽象度が異なる。そのため、これらの情報では、同一のイベントが互いに異なるイベントデータで表される。例えば、xyz.exe という実行ファイルのプロセスが主体であり、abc.txt というファイルが客体であり、活動内容が read であるイベント1があるとする。そして、第1検出イベント情報10では客体を識別情報で表し、第2検出イベント情報20では客体を種類情報で表すとする。この場合、第1検出イベント情報10が示すイベントデータ e1 は 「"xyz.exe"+"abc.txt"+"read"」という文字列になる。一方、第2検出イベント情報20が示すイベントデータ e2 は、「"xyz.exe"+"txt"+"read"」という文字列となる。
特定部2040は、検出イベント情報におけるイベントデータの集合と、脅威イベント情報におけるイベントデータの集合との重複度合い(合致度合い)に基づいて、検出イベント情報と脅威イベント情報との間の関連度を算出する。イベントの発生順序を考慮せずに関連度を算出する場合、例えば関連度は、以下の式(1)又は式(2)を用いて算出される。
Figure 0007140268000001
 ここで、x は関連度を表す。E は、脅威イベント情報に示されているイベントデータの集合である。S は、脅威イベント情報と検出イベント情報とで互いに合致するイベントデータの集合である。|| は、集合の要素数を表す。w はイベントデータに付されている重みである。各イベントデータに付す重みは、脅威情報30で予め定めておく。
式(1)では、脅威イベント情報と検出イベント情報との間で合致するイベントデータの数を、脅威イベント情報に示されているイベントの総数で割った値として、関連度が定められている。一方、式(2)では、脅威イベント情報と検出イベント情報との間で合致する各イベントデータに付された重みの総和を、脅威イベント情報に示されている各イベントデータに付された重みの総和で割った値として、関連度が定められている。ここで、イベントデータ同士の合致を判定する方法については後述する。
イベントの発生順序を考慮して関連度を算出する場合、例えば特定部2040は、脅威イベント情報と検出イベント情報との間で、順序が合致しているイベントデータの重複を1つ以上特定する。以下、説明を容易にするため、順序を考慮する必要があるイベント集合を、イベント順列とも呼ぶ。
例えば、検出イベント情報に {a,b,c,d} というイベント順列集合が示されており、脅威イベント情報に {b,d,c} というイベント順列が示されているとする。この場合、これらのイベント順列には、{b,d} 及び {b,c} という重複がある。いずれのイベント順列においても、d と c は b の後に発生しているためである。
特定部2040は、検出イベント情報と脅威イベント情報との間で重複するイベント順列(前述の例における {b,d} 及び {b,c})に基づいて、これらの関連度を算出する。具体的には、以下の式(3)又は(4)を用いて関連度が算出される。
Figure 0007140268000002
 ここで、P は検出イベント情報と脅威イベント情報との間で重複するイベント順列の集合(前述の例における {b,d} 及び {b,c} で構成される集合)である。その他の記号については、式(1)及び式(2)と同様である。
式(3)では、検出イベント情報と脅威イベント情報との間で重複する各イベント順列の要素数の最大値を、脅威イベント情報に示されているイベントの総数で割った値として、関連度が定められている。一方、式(4)では、検出イベント情報と脅威イベント情報との間で重複する各イベント順列についてその中に含まれるイベントデータの重みの総和が算出され、その総和の最大値を脅威イベント情報に示されている各イベントデータに付された重みの総和で割った値として、関連度が定められている。
イベントの発生順序を考慮するか否かは、脅威情報ごとに定められていてもよいし、脅威情報にかかわらず固定で定められていてもよい。例えば脅威情報に、イベントの発生順序を考慮するか否かを示すフラグを設けておく。また、イベントの発生順序を考慮するか否かは、脅威イベント情報ごとに定められていてもよい。
なお、脅威イベント情報において、全てのイベントの発生順序ではなく、一部のイベントの発生順序が定められていてもよい。すなわち、脅威イベント情報において、イベント集合の一部について順序が指定されている(イベント順列が示されている)ケースである。例えば、4つのイベント a, b, c, d が含まれる脅威イベント情報において、「a は必ず b の前に発生する」という発生順序のみを定めておくといったことが考えられる。
この場合、例えば特定部2040は、1)脅威イベント情報に示されているイベント集合と検出イベント情報に示されているイベント集合との間の関連度、及び2)脅威イベント情報に示されているイベント順列と検出イベント情報に示されているイベント順列との関連度という2つの関連度を算出する。前者はイベントの発生順序を考慮しないケースにおける関連度であり、後者はイベントの発生順序を考慮するケースにおける関連度である。そして特定部2040は、算出した2つの関連度の統計値(平均値、最大値、又は最小値など)を、脅威イベント情報と検出イベント情報との関連度として扱う。
<<イベントデータ同士の合致を判定する方法>>
イベントデータ同士が合致するかどうかの判定は、イベントデータをそのまま比較する(例えば文字列同士の合致判定を行う)ことで行われてもよいし、イベントデータを比較が容易な他のデータに変換した上で行われてもよい。後者の場合、例えば、特定部2040は、イベントデータを任意の規則で数値(イベント値)に変換する。例えばイベント値としては、ハッシュ値を用いることができる。
例えば特定部2040は、対比するイベント情報と脅威イベント情報それぞれに示されているイベントデータについてそのイベント値を算出し、イベント値の集合同士を比較することで、イベント情報と脅威イベント情報との間で一致しているイベントデータを特定する。ただし、脅威イベント情報に示されているイベントデータについては、予めイベント値に変換して脅威イベント情報に含めておくことが好適である。
<<付加情報をさらに利用した一致判定>>
脅威活動の種類によっては、イベントの集合だけではなく、その他の付加的な情報を用いることにより、対象システムにおいてその脅威活動が発生しているか否かをより正確に判定できるものがある。そこで、特定部2040は、イベント集合に加え、他の付加的な情報を利用して、検出イベント情報と脅威イベント情報とが合致するか否かを判定してもよい。
付加的な情報としては、例えば、読み書きされるデータのサイズを用いることができる。図10は、イベント集合に加え、読み書きされるデータのサイズに基づいて、脅威活動を定めるケースを例示する図である。図10の上段は、ファイルのダウンロードを表している。ファイルのダウンロードは、例えば、1)ネットワーク上の通信先から read する、2)read したデータを一時ファイルに write する、3)最後に一時ファイルの名前を本来の名称に変更するというイベント集合で表される。ここで、イベントだけを見ると、1)で read されたデータと、2)で write されるデータが同じものであるかが分からない。例えば、2)におけるファイルへの write が、1)におけるファイルの read とは無関係である可能性もある。
この例では、1)で read されるデータの内容と2)で write されるデータの内容が同じであれば、ファイルのダウンロードを表すイベント集合であると考えられる。ただし図10では、このようにデータの内容を比較する代わりに、データのサイズを比較している。すなわち、上述した read のイベントと write のイベントがファイルのダウンロードを表すイベント集合を構成するか否かが、read されたデータのサイズと write されたデータのサイズとを比較することで判断される。
具体的には、read されたデータのサイズが write されたデータのサイズより小さければ、read のイベントと write のイベントがファイルのダウンロードを表すイベント集合を構成しないと考えられる。一方で、read されたデータのサイズが write されたデータのサイズ以上であれば、read のイベントと write のイベントがファイルのダウンロードを表すイベント集合を構成すると考えられる。なお、データのアップロードについても同様のことがいえる。
このように、データの内容の代わりにデータサイズを比較することには、比較処理に要する時間が短いというメリットや、比較のためにデータの内容を記録しておくという必要がないといったメリットがある。
図10の下段は、中間者によるデータ転送を表している。具体的には、プロセスBが、プロセスAとCの間におけるデータの送受信を仲介している。この例では、「プロセスAがプロセスBに対して write したデータが、プロセスBがプロセスCに対して write したデータと同じである」という条件を満たせば、プロセスAからプロセスCへのデータ送信をプロセスBが仲介したことになる。逆の流れについても同様である。
ただし実際には、ダウンロードの例と同様に、プロセスBがデータの送信を仲介しているかどうかを判定する条件として、「プロセスAがプロセスBに対して write したデータのサイズが、プロセスBがプロセスCに対して write したデータのサイズとほぼ同じである」というデータサイズに関する条件を用いることが好適である。
以上のように、図10で例示したような脅威活動についての脅威情報30では、イベント集合に加え、データの読み書きにおけるデータサイズについての条件を定めておく。さらに、第1検出イベント情報10においても、読み書きされたデータのサイズが示されているようにする。そして、特定部2040は、前述した方法でイベント集合同士の合致度合いを算出することに加え、上述したデータサイズに関する条件が満たされているか否かを判定する。
ここで、データサイズの条件に関する判定の結果を利用する方法は様々である。例えば特定部2040は、脅威情報30と検出イベント情報とについて、前述したデータサイズに関する条件が満たされていなければ、イベント集合同士の合致度合いにかかわらず、その脅威情報30を、検出イベント情報と関連度が高いものとして特定しないようにする。
その他にも例えば、特定部2040は、データサイズに関する条件が満たされているか否かに応じて、イベント集合同士の合致度合いに基づいて算出された関連度の値を補正する。例えば、上述したデータサイズに関する条件が満たされていない場合、特定部2040は、イベント集合同士の合致度合いに基づいて算出された関連度に対し、0より大きく1より小さい所定の補正係数を掛けることで、その関連度をより小さい値に補正する。
<警告情報の生成:S108>
第2生成部2060は、特定部2040によって特定された脅威情報30及びその合致レベルに基づいて、警告情報40を生成する(S108)。例えば、或る脅威情報30に含まれる第1脅威イベント情報32が第1検出イベント情報10と高い関連度を持つと特定された場合、警告情報40は、その脅威情報30及び「第1の抽象レベル」という合致レベルに基づいて生成される。ここで、合致レベルの具体的な利用方法については後述する。
例えば第2生成部2060は、脅威情報30によって表される脅威に関する説明やその脅威に対する対応策を、警告情報40に含める。脅威に関する説明や対応策は、予め脅威情報30に含めておく。
ここで、脅威に関する説明のうち、検出イベント情報と脅威情報30との間で合致したイベントについての記述を強調することが好ましい。強調の方法としては、例えば、他の記述とは異なる文字色にしたり、下線や枠線などを付したりする方法がある。
その他にも例えば、第2生成部2060は、検出イベント情報と脅威情報30との間で合致したイベントを表す情報を警告情報40に含めてもよい。具体的には、検出イベント情報によって表されるイベント集合のグラフ表現を警告情報40に含め、そのグラフにおいて、脅威情報30と合致したイベントを強調表示するようにする。
図11は、警告情報40を例示する図である。図11の警告情報40には、脅威情報30の名称(概要)、合致レベル、第1検出イベント情報10によって表されるイベントのグラフ表現、脅威に関する説明、及び対策手法の説明が含まれている。また、イベントのグラフにおいて、脅威情報30と合致したイベントが、ドット柄で塗られた枠で囲まれている。
合致レベルは、脅威に関する説明やイベントのグラフを強調する際において、その強調の態様を決定するために利用できる。すなわち、第2生成部2060は、合致レベルに応じて、強調の方法を異ならせる。例えば、合致レベルが低いほど、脅威に関する説明やイベントのグラフにおける強調が、より強く行われるようにする。強調の強さは、例えば、色をより目立つに色にしたり、下線や枠線などの太さをより太くしたりすることなどによって、強くすることができる。
ここで、特定部2040によって特定される脅威情報30は、1つではなく、複数である可能性もある。この場合、第2生成部2060は、特定された全ての脅威情報30について警告情報40を生成してもよいし、一部の脅威情報30について警告情報40を生成してもよい。
後者の場合、まず第2生成部2060は、各脅威情報30についての合致レベルを考慮する。すなわち、第2生成部2060は、検出イベント情報との関連度が高いと特定された脅威情報30のうち、その合致レベルが低いものを優先して、警告情報40を生成する。例えば第2生成部2060は、特定された脅威情報30を合致レベルの昇順でソートした場合に所定の順位以内に入るものについてのみ、警告情報40を生成する。
また、第2生成部2060は、合致レベルに加え、関連度の高さを考慮してもよい。すなわち、第2生成部2060は、特定された脅威情報30を合致レベルの昇順でソートし、さらに同一の合致レベルの脅威情報30について関連度の降順でソートした場合において、所定の順位以内に入る脅威情報30についてのみ、警告情報40を生成する。なお、「所定の順位」については、特定部2040からアクセス可能な記憶装置に予め記憶させておく。
<警告情報40の出力:S110>
出力部2080は警告情報40を出力する(S110)。ここで、警告情報40の出力態様は任意である。例えば出力部2080は、警告装置2000に接続されているディスプレイ装置に警告情報40を表示させる。その他にも例えば、出力部2080は、任意の記憶装置に警告情報40を格納してもよい。その他にも例えば、出力部2080は、警告装置2000以外の装置に警告情報40を送信してもよい。例えば警告情報40は、対象システムの管理者等の端末に送信される。対象システムの管理者等は、その端末を操作することで、その端末に接続されているディスプレイ装置で、警告情報40を閲覧する。
<ユーザからのフィードバック>
警告装置2000は、出力した警告情報40について、ユーザからフィードバックを受け付けてもよい。具体的には、警告情報40に、検出イベント情報と脅威情報30との間で合致したイベントを表す情報(図11におけるイベントのグラフなど)が含まれているとする。この場合において、ユーザが、検出されたイベントは脅威を表すものではないと判断したとする。この場合、ユーザは、検出されたイベントが脅威を表していない(すなわち、警告に誤りがある)ことを示す入力を、警告装置2000に対して行う。警告装置2000は、この入力に基づいて、検出されたイベントの重要度を下げる(例えば、そのイベントの重要度を、現在の値に1より小さい所定の係数を掛けた値に更新する)処理を行う。このようにすることで、ユーザの知識を活かして警告装置2000がより正確な警告情報40を生成できるようになる。
同様に、警告装置2000は、警告が正しいことを示す入力を、ユーザから受け付けてもよい。この場合、警告装置2000は、警告情報40に含めた検出イベント情報に含まれるイベントの重要度を上げる(例えば、そのイベントの重要度を、現在の値に1より大きい所定の係数を掛けた値に更新する)処理を行う。
<変形例>
警告装置2000は、対象システムの正常な活動を表す情報をさらに利用してもよい。この情報を正常情報と呼ぶ。正常情報は、対象システムの正常な活動をイベント集合で表す。より具体的には、正常情報は、同一のイベント集合をそれぞれ異なる抽象レベルで表す複数の正常イベント情報を有する。以下、正常情報に対応するイベント集合を第 n の抽象レベルで表現する正常イベント集合を、第 n 正常イベント集合と表記する。
特定部2040は、検出イベント情報と脅威イベント情報との関連度を算出することに加え、検出イベント情報と正常イベント情報との関連度を算出する。具体的には、各正常情報について、その正常情報に含まれる第 n 正常イベント情報と、第 n 検出イベント情報との関連度を算出する。なお、検出イベント情報と正常イベント情報とについて関連度を算出する方法には、検出イベント情報と脅威イベント情報とについて関連度を算出する方法と同じ方法を利用できる。
警告装置2000は、検出イベント情報と正常情報との関連度に基づいて、警告情報40の生成や出力を制御する。例えば第2生成部2060は、検出イベント情報との関連度が高い正常情報についての情報を警告情報に含める。ただし、警告情報に正常情報についての情報を含めるのは、検出イベント情報が脅威活動を表している蓋然性よりも、検出イベント情報が正常な活動を表している蓋然性の方が高いと考えられる場合のみであってもよい。その他にもたとえば、第2生成部2060は、検出イベント情報が脅威活動を表している蓋然性よりも、検出イベント情報が正常な活動を表している蓋然性の方が高いと考えられる場合には、警告情報40を生成しないようにしてもよい。
ここで、検出イベント情報が脅威活動を表している蓋然性よりも、検出イベント情報が正常な活動を表している蓋然性の方が高いか否かを判定する方法は様々である。例えば第2生成部2060は、検出イベント情報との関連度が所定値以上であると特定された正常イベント情報のうち、抽象レベルが最小であるものを特定する。同様に、第2生成部2060は、検出イベント情報との関連度が所定値以上であると特定された脅威イベント情報のうち、抽象レベルが最小であるものを特定する。こうすることで、最も低い抽象度で(最も具体的な表現で)検出イベント情報と合致する正常イベント情報、及び最も低い抽象度で(最も具体的な表現で)検出イベント情報と合致する脅威イベント情報が特定される。
まず第2生成部2060は、特定された正常イベント情報と脅威イベント情報の抽象レベルを比較する。特定された正常イベント情報の抽象レベルが、特定された脅威イベント情報の抽象レベルよりも低ければ、第2生成部2060は、検出イベント情報が正常な活動を表している蓋然性の方が高いと判定する。一方、特定された正常イベント情報の抽象レベルが、特定された脅威イベント情報の抽象レベルよりも高ければ、第2生成部2060は、検出イベント情報が脅威活動を表している蓋然性の方が高いと判定する。
特定された正常イベント情報の抽象レベルと、特定された脅威イベント情報の抽象レベルとが等しい場合、第2生成部2060は、これらについて算出された関連度を比較する。正常イベント情報について算出された関連度が脅威イベント情報について算出された関連度より大きい場合、第2生成部2060は、検出イベント情報が正常な活動を表している蓋然性の方が高いと判定する。一方、正常イベント情報について算出された関連度が脅威イベント情報について算出された関連度以下であれば、第2生成部2060は、検出イベント情報が脅威活動を表している蓋然性の方が高いと判定する。
以上、図面を参照して本発明の実施形態について述べたが、これらは本発明の例示であり、上記各実施形態の組み合わせ、又は上記以外の様々な構成を採用することもできる。
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
1. 対象システムにおいて発生したイベントの集合であるイベント集合を第1の抽象レベルで表す第1の検出イベント情報を取得し、前記取得した第1の検出イベント情報によって表される前記イベント集合を第2の抽象レベルで表す第2の検出イベント情報を生成する第1生成部と、
それぞれが脅威活動を表す複数の脅威情報の中から、第1の前記検出イベント情報及び第2の前記検出イベント情報のうちの少なくとも一方との関連度が高い前記脅威情報を特定する特定部と、
前記特定された脅威情報と、その脅威情報との関連度が高い前記検出イベント情報に対応する抽象レベルである合致レベルとに基づいて、前記対象システムで発生している脅威に関する警告情報を生成する第2生成部と、を有する警告装置。
2. 前記イベントは、前記対象システム上で動作するプロセスの活動を表す、1.に記載の警告装置。
3. 前記第1の抽象レベルで表されたイベント集合では、イベントの主体であるプロセスの実行ファイル又はイベントの客体であるファイルについて、その識別情報が示され、
前記第2の抽象レベルで表されたイベント集合では、イベントの主体であるプロセスの実行ファイル又はイベントの客体であるファイルについて、その種類が示される、1.又は2.に記載の警告装置。
4. 前記脅威情報は、その脅威情報が表すイベント集合を第1の抽象度で表す第1の脅威イベント情報と、その脅威情報が表すイベント集合を第2の抽象度で表す第2の脅威イベント情報とを含み、
前記特定部は、
第1の前記検出イベント情報と各前記脅威情報の第1の脅威イベント情報との間で第1関連度を算出し、
第2の前記検出イベント情報と各前記脅威情報の第2の脅威イベント情報との間で第2関連度を算出し、
第1関連度又は第2関連度の少なくとも一方が閾値以上である前記脅威情報を特定する、1.乃至3.いずれか一つに記載の警告装置。
5. 前記第1生成部は、前記第1関連度が閾値以上である前記脅威情報が存在しない場合に、前記第2の検出イベント情報の生成を行う、4.に記載の警告装置。
6. 前記特定部は、前記検出イベント情報に示されるイベント集合と前記脅威イベント情報に示されるイベント集合との間で合致するイベントの総数を、前記脅威イベント情報に示されるイベント集合に含まれるイベントの総数で割ることで、前記検出イベント情報と前記脅威イベント情報との間の関連度を算出する、4.又は5.に記載の警告装置。
7. 前記特定部は、前記検出イベント情報に示されるイベント集合と前記脅威イベント情報に示されるイベント集合との間で合致する各イベントに付された重みの総和を、前記脅威イベント情報に示されるイベント集合に含まれる各イベントに付された重みの総和で割ることで、前記検出イベント情報と前記脅威イベント情報との間の関連度を算出する、4.又は5.に記載の警告装置。
8. 前記脅威イベント情報は、各イベントについてそのイベントを数値で表したイベント値を示し、
前記特定部は、
前記検出イベント情報に示されている各イベントについて、そのイベントを数値で表したイベント値を算出し、
前記検出イベント情報に示されている各イベント値と、前記脅威イベント情報に示されている各イベント値とを比較することで、前記検出イベント情報に示されているイベントと前記脅威イベント情報に示されているイベントとが合致するか否かを判定する、4.乃至7.いずれか一つに記載の警告装置。
9. 前記脅威イベント情報は、前記イベント集合に含まれるイベントで扱われるデータのサイズに関する条件を示し、
前記特定部は、前記検出イベント情報と前記脅威イベント情報との間の関連度を、前記検出イベント情報に示されるイベント集合と前記脅威イベント情報に示されるイベント集合との間でイベントが合致する度合い、及び前記検出イベント情報によって示されるイベントにおいて前記脅威イベント情報に示される前記条件が満たされるか否かの判定の結果に基づいて算出する、4.乃至8.いずれか一つに記載の警告装置。
10. 前記警告情報は、前記検出イベント情報と前記特定された脅威情報との間で合致するイベントが前記合致レベルに応じた度合いで強調されている情報を含む、1.乃至9.いずれか一つに記載の警告装置。
11. コンピュータによって実行される制御方法であって、
対象システムにおいて発生したイベントの集合であるイベント集合を第1の抽象レベルで表す第1の検出イベント情報を取得し、前記取得した第1の検出イベント情報によって表される前記イベント集合を第2の抽象レベルで表す第2の検出イベント情報を生成する第1生成ステップと、
それぞれが脅威活動を表す複数の脅威情報の中から、第1の前記検出イベント情報及び第2の前記検出イベント情報のうちの少なくとも一方との関連度が高い前記脅威情報を特定する特定ステップと、
前記特定された脅威情報と、その脅威情報との関連度が高い前記検出イベント情報に対応する抽象レベルである合致レベルとに基づいて、前記対象システムで発生している脅威に関する警告情報を生成する第2生成ステップと、を有する制御方法。
12. 前記イベントは、前記対象システム上で動作するプロセスの活動を表す、11.に記載の制御方法。
13. 前記第1の抽象レベルで表されたイベント集合では、イベントの主体であるプロセスの実行ファイル又はイベントの客体であるファイルについて、その識別情報が示され、
前記第2の抽象レベルで表されたイベント集合では、イベントの主体であるプロセスの実行ファイル又はイベントの客体であるファイルについて、その種類が示される、11.又は12.に記載の制御方法。
14. 前記脅威情報は、その脅威情報が表すイベント集合を第1の抽象度で表す第1の脅威イベント情報と、その脅威情報が表すイベント集合を第2の抽象度で表す第2の脅威イベント情報とを含み、
前記特定ステップにおいて、
第1の前記検出イベント情報と各前記脅威情報の第1の脅威イベント情報との間で第1関連度を算出し、
第2の前記検出イベント情報と各前記脅威情報の第2の脅威イベント情報との間で第2関連度を算出し、
第1関連度又は第2関連度の少なくとも一方が閾値以上である前記脅威情報を特定する、11.乃至13.いずれか一つに記載の制御方法。
15. 前記第1生成ステップにおいて、前記第1関連度が閾値以上である前記脅威情報が存在しない場合に、前記第2の検出イベント情報の生成を行う、14.に記載の制御方法。
16. 前記特定ステップにおいて、前記検出イベント情報に示されるイベント集合と前記脅威イベント情報に示されるイベント集合との間で合致するイベントの総数を、前記脅威イベント情報に示されるイベント集合に含まれるイベントの総数で割ることで、前記検出イベント情報と前記脅威イベント情報との間の関連度を算出する、14.又は15.に記載の制御方法。
17. 前記特定ステップにおいて、前記検出イベント情報に示されるイベント集合と前記脅威イベント情報に示されるイベント集合との間で合致する各イベントに付された重みの総和を、前記脅威イベント情報に示されるイベント集合に含まれる各イベントに付された重みの総和で割ることで、前記検出イベント情報と前記脅威イベント情報との間の関連度を算出する、14.又は15.に記載の制御方法。
18. 前記脅威イベント情報は、各イベントについてそのイベントを数値で表したイベント値を示し、
前記特定ステップにおいて、
前記検出イベント情報に示されている各イベントについて、そのイベントを数値で表したイベント値を算出し、
前記検出イベント情報に示されている各イベント値と、前記脅威イベント情報に示されている各イベント値とを比較することで、前記検出イベント情報に示されているイベントと前記脅威イベント情報に示されているイベントとが合致するか否かを判定する、14.乃至17.いずれか一つに記載の制御方法。
19. 前記脅威イベント情報は、前記イベント集合に含まれるイベントで扱われるデータのサイズに関する条件を示し、
前記特定ステップにおいて、前記検出イベント情報と前記脅威イベント情報との間の関連度を、前記検出イベント情報に示されるイベント集合と前記脅威イベント情報に示されるイベント集合との間でイベントが合致する度合い、及び前記検出イベント情報によって示されるイベントにおいて前記脅威イベント情報に示される前記条件が満たされるか否かの判定の結果に基づいて算出する、14.乃至18.いずれか一つに記載の制御方法。
20. 前記警告情報は、前記検出イベント情報と前記特定された脅威情報との間で合致するイベントが前記合致レベルに応じた度合いで強調されている情報を含む、11.乃至19.いずれか一つに記載の制御方法。
21. 11.乃至20.いずれか一つに記載の制御方法の各ステップをコンピュータに実行させるプログラム。

Claims (21)

  1. 対象システムにおいて発生したイベントの集合であるイベント集合を第1の抽象レベルで表す第1の検出イベント情報を取得し、前記取得した第1の検出イベント情報によって表される前記イベント集合を第2の抽象レベルで表す第2の検出イベント情報を生成する第1生成部と、
    それぞれが脅威活動を表す複数の脅威情報の中から、第1の前記検出イベント情報及び第2の前記検出イベント情報のうちの少なくとも一方との関連度が高い前記脅威情報を特定する特定部と、
    前記特定された脅威情報と、その脅威情報との関連度が高い前記検出イベント情報に対応する抽象レベルである合致レベルとに基づいて、前記対象システムで発生している脅威に関する警告情報を生成する第2生成部と、を有する警告装置。
  2. 前記イベントは、前記対象システム上で動作するプロセスの活動を表す、請求項1に記載の警告装置。
  3. 前記第1の抽象レベルで表されたイベント集合では、イベントの主体であるプロセスの実行ファイル又はイベントの客体であるファイルについて、その識別情報が示され、
    前記第2の抽象レベルで表されたイベント集合では、イベントの主体であるプロセスの実行ファイル又はイベントの客体であるファイルについて、その種類が示される、請求項1又は2に記載の警告装置。
  4. 前記脅威情報は、その脅威情報が表すイベント集合を第1の抽象度で表す第1の脅威イベント情報と、その脅威情報が表すイベント集合を第2の抽象度で表す第2の脅威イベント情報とを含み、
    前記特定部は、
    第1の前記検出イベント情報と各前記脅威情報の第1の脅威イベント情報との間で第1関連度を算出し、
    第2の前記検出イベント情報と各前記脅威情報の第2の脅威イベント情報との間で第2関連度を算出し、
    第1関連度又は第2関連度の少なくとも一方が閾値以上である前記脅威情報を特定する、請求項1乃至3いずれか一項に記載の警告装置。
  5. 前記第1生成部は、前記第1関連度が閾値以上である前記脅威情報が存在しない場合に、前記第2の検出イベント情報の生成を行う、請求項4に記載の警告装置。
  6. 前記特定部は、前記検出イベント情報に示されるイベント集合と前記脅威イベント情報に示されるイベント集合との間で合致するイベントの総数を、前記脅威イベント情報に示されるイベント集合に含まれるイベントの総数で割ることで、前記検出イベント情報と前記脅威イベント情報との間の関連度を算出する、請求項4又は5に記載の警告装置。
  7. 前記特定部は、前記検出イベント情報に示されるイベント集合と前記脅威イベント情報に示されるイベント集合との間で合致する各イベントに付された重みの総和を、前記脅威イベント情報に示されるイベント集合に含まれる各イベントに付された重みの総和で割ることで、前記検出イベント情報と前記脅威イベント情報との間の関連度を算出する、請求項4又は5に記載の警告装置。
  8. 前記脅威イベント情報は、各イベントについてそのイベントを数値で表したイベント値を示し、
    前記特定部は、
    前記検出イベント情報に示されている各イベントについて、そのイベントを数値で表したイベント値を算出し、
    前記検出イベント情報に示されている各イベント値と、前記脅威イベント情報に示されている各イベント値とを比較することで、前記検出イベント情報に示されているイベントと前記脅威イベント情報に示されているイベントとが合致するか否かを判定する、請求項4乃至7いずれか一項に記載の警告装置。
  9. 前記脅威イベント情報は、前記イベント集合に含まれるイベントで扱われるデータのサイズに関する条件を示し、
    前記特定部は、前記検出イベント情報と前記脅威イベント情報との間の関連度を、前記検出イベント情報に示されるイベント集合と前記脅威イベント情報に示されるイベント集合との間でイベントが合致する度合い、及び前記検出イベント情報によって示されるイベントにおいて前記脅威イベント情報に示される前記条件が満たされるか否かの判定の結果に基づいて算出する、請求項4乃至8いずれか一項に記載の警告装置。
  10. 前記警告情報は、前記検出イベント情報と前記特定された脅威情報との間で合致するイベントが前記合致レベルに応じた度合いで強調されている情報を含む、請求項1乃至9いずれか一項に記載の警告装置。
  11. コンピュータによって実行される制御方法であって、
    対象システムにおいて発生したイベントの集合であるイベント集合を第1の抽象レベルで表す第1の検出イベント情報を取得し、前記取得した第1の検出イベント情報によって表される前記イベント集合を第2の抽象レベルで表す第2の検出イベント情報を生成する第1生成ステップと、
    それぞれが脅威活動を表す複数の脅威情報の中から、第1の前記検出イベント情報及び第2の前記検出イベント情報のうちの少なくとも一方との関連度が高い前記脅威情報を特定する特定ステップと、
    前記特定された脅威情報と、その脅威情報との関連度が高い前記検出イベント情報に対応する抽象レベルである合致レベルとに基づいて、前記対象システムで発生している脅威に関する警告情報を生成する第2生成ステップと、を有する制御方法。
  12. 前記イベントは、前記対象システム上で動作するプロセスの活動を表す、請求項11に記載の制御方法。
  13. 前記第1の抽象レベルで表されたイベント集合では、イベントの主体であるプロセスの実行ファイル又はイベントの客体であるファイルについて、その識別情報が示され、
    前記第2の抽象レベルで表されたイベント集合では、イベントの主体であるプロセスの実行ファイル又はイベントの客体であるファイルについて、その種類が示される、請求項11又は12に記載の制御方法。
  14. 前記脅威情報は、その脅威情報が表すイベント集合を第1の抽象度で表す第1の脅威イベント情報と、その脅威情報が表すイベント集合を第2の抽象度で表す第2の脅威イベント情報とを含み、
    前記特定ステップにおいて、
    第1の前記検出イベント情報と各前記脅威情報の第1の脅威イベント情報との間で第1関連度を算出し、
    第2の前記検出イベント情報と各前記脅威情報の第2の脅威イベント情報との間で第2関連度を算出し、
    第1関連度又は第2関連度の少なくとも一方が閾値以上である前記脅威情報を特定する、請求項11乃至13いずれか一項に記載の制御方法。
  15. 前記第1生成ステップにおいて、前記第1関連度が閾値以上である前記脅威情報が存在しない場合に、前記第2の検出イベント情報の生成を行う、請求項14に記載の制御方法。
  16. 前記特定ステップにおいて、前記検出イベント情報に示されるイベント集合と前記脅威イベント情報に示されるイベント集合との間で合致するイベントの総数を、前記脅威イベント情報に示されるイベント集合に含まれるイベントの総数で割ることで、前記検出イベント情報と前記脅威イベント情報との間の関連度を算出する、請求項14又は15に記載の制御方法。
  17. 前記特定ステップにおいて、前記検出イベント情報に示されるイベント集合と前記脅威イベント情報に示されるイベント集合との間で合致する各イベントに付された重みの総和を、前記脅威イベント情報に示されるイベント集合に含まれる各イベントに付された重みの総和で割ることで、前記検出イベント情報と前記脅威イベント情報との間の関連度を算出する、請求項14又は15に記載の制御方法。
  18. 前記脅威イベント情報は、各イベントについてそのイベントを数値で表したイベント値を示し、
    前記特定ステップにおいて、
    前記検出イベント情報に示されている各イベントについて、そのイベントを数値で表したイベント値を算出し、
    前記検出イベント情報に示されている各イベント値と、前記脅威イベント情報に示されている各イベント値とを比較することで、前記検出イベント情報に示されているイベントと前記脅威イベント情報に示されているイベントとが合致するか否かを判定する、請求項14乃至17いずれか一項に記載の制御方法。
  19. 前記脅威イベント情報は、前記イベント集合に含まれるイベントで扱われるデータのサイズに関する条件を示し、
    前記特定ステップにおいて、前記検出イベント情報と前記脅威イベント情報との間の関連度を、前記検出イベント情報に示されるイベント集合と前記脅威イベント情報に示されるイベント集合との間でイベントが合致する度合い、及び前記検出イベント情報によって示されるイベントにおいて前記脅威イベント情報に示される前記条件が満たされるか否かの判定の結果に基づいて算出する、請求項14乃至18いずれか一項に記載の制御方法。
  20. 前記警告情報は、前記検出イベント情報と前記特定された脅威情報との間で合致するイベントが前記合致レベルに応じた度合いで強調されている情報を含む、請求項11乃至19いずれか一項に記載の制御方法。
  21. 請求項11乃至20いずれか一項に記載の制御方法の各ステップをコンピュータに実行させるプログラム。
JP2021508423A 2019-03-25 2019-03-25 警告装置、制御方法、及びプログラム Active JP7140268B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2019/012496 WO2020194449A1 (ja) 2019-03-25 2019-03-25 警告装置、制御方法、及びプログラム

Publications (2)

Publication Number Publication Date
JPWO2020194449A1 JPWO2020194449A1 (ja) 2020-10-01
JP7140268B2 true JP7140268B2 (ja) 2022-09-21

Family

ID=72609267

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021508423A Active JP7140268B2 (ja) 2019-03-25 2019-03-25 警告装置、制御方法、及びプログラム

Country Status (3)

Country Link
US (1) US20220156371A1 (ja)
JP (1) JP7140268B2 (ja)
WO (1) WO2020194449A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113949621B (zh) * 2021-12-22 2022-03-29 北京微步在线科技有限公司 入侵事件的告警关联方法、装置、电子设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013098915A (ja) 2011-11-04 2013-05-20 Omron Corp ソリッドステートリレー及び負荷駆動回路
JP2017527931A (ja) 2014-08-11 2017-09-21 センチネル ラボズ イスラエル リミテッド マルウェア検出の方法及びそのシステム
WO2018070404A1 (ja) 2016-10-14 2018-04-19 日本電気株式会社 マルウェア解析装置、マルウェア解析方法、及び、マルウェア解析プログラムが格納された記録媒体
WO2019049243A1 (ja) 2017-09-06 2019-03-14 日本電気株式会社 端末装置、端末装置による動作情報の報告制御方法、及び、端末装置による動作情報の報告制御プログラムが格納された記録媒体

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013098915A1 (ja) * 2011-12-26 2013-07-04 株式会社日立製作所 管理サーバ、管理システム、および、管理方法
IL219597A0 (en) * 2012-05-03 2012-10-31 Syndrome X Ltd Malicious threat detection, malicious threat prevention, and a learning systems and methods for malicious threat detection and prevention
US8752178B2 (en) * 2013-07-31 2014-06-10 Splunk Inc. Blacklisting and whitelisting of security-related events
JP2016053956A (ja) * 2014-09-02 2016-04-14 エスケー インフォセック カンパニー リミテッドSK INFOSEC Co.,Ltd. ウェブ基盤の悪性コード探知システムおよび方法
GB2574209B (en) * 2018-05-30 2020-12-16 F Secure Corp Controlling Threats on a Computer System by Searching for Matching Events on other Endpoints
US11941054B2 (en) * 2018-10-12 2024-03-26 International Business Machines Corporation Iterative constraint solving in abstract graph matching for cyber incident reasoning
US11184374B2 (en) * 2018-10-12 2021-11-23 International Business Machines Corporation Endpoint inter-process activity extraction and pattern matching
US10956566B2 (en) * 2018-10-12 2021-03-23 International Business Machines Corporation Multi-point causality tracking in cyber incident reasoning

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013098915A (ja) 2011-11-04 2013-05-20 Omron Corp ソリッドステートリレー及び負荷駆動回路
JP2017527931A (ja) 2014-08-11 2017-09-21 センチネル ラボズ イスラエル リミテッド マルウェア検出の方法及びそのシステム
WO2018070404A1 (ja) 2016-10-14 2018-04-19 日本電気株式会社 マルウェア解析装置、マルウェア解析方法、及び、マルウェア解析プログラムが格納された記録媒体
WO2019049243A1 (ja) 2017-09-06 2019-03-14 日本電気株式会社 端末装置、端末装置による動作情報の報告制御方法、及び、端末装置による動作情報の報告制御プログラムが格納された記録媒体

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
芝田 文 ほか,マルウェア動的解析のネットワーク接続制御を支援するユーザインタフェースの提案,情報処理学会研究報告 IPSJ SIG Technical Reports,日本,社団法人情報処理学会 Information Processing Socie,2009年02月26日,Vol.2009, No.20,p.277-279

Also Published As

Publication number Publication date
US20220156371A1 (en) 2022-05-19
WO2020194449A1 (ja) 2020-10-01
JPWO2020194449A1 (ja) 2020-10-01

Similar Documents

Publication Publication Date Title
US11258805B2 (en) Computer-security event clustering and violation detection
US11392689B2 (en) Computer-security violation detection using coordinate vectors
US9237161B2 (en) Malware detection and identification
US20090013405A1 (en) Heuristic detection of malicious code
CN114679329B (zh) 用于基于赝象对恶意软件自动分组的系统
US10440042B1 (en) Domain feature classification and autonomous system vulnerability scanning
CN112866023B (zh) 网络检测、模型训练方法、装置、设备及存储介质
CN111373376A (zh) 可疑邮件的分析和报告
KR102007809B1 (ko) 이미지를 이용한 신경망 기반 익스플로잇킷 탐지 시스템
US10454967B1 (en) Clustering computer security attacks by threat actor based on attack features
US11797668B2 (en) Sample data generation apparatus, sample data generation method, and computer readable medium
JP6674036B2 (ja) 分類装置、分類方法及び分類プログラム
CN107395650B (zh) 基于沙箱检测文件识别木马回连方法及装置
US10623426B1 (en) Building a ground truth dataset for a machine learning-based security application
CN109492118A (zh) 一种数据检测方法及检测装置
Walenstein et al. Header information in malware families and impact on automated classifiers
US11423099B2 (en) Classification apparatus, classification method, and classification program
US10158664B2 (en) Malicious code detection
Deore et al. Mdfrcnn: Malware detection using faster region proposals convolution neural network
JP5441043B2 (ja) プログラム、情報処理装置、及び情報処理方法
JP7140268B2 (ja) 警告装置、制御方法、及びプログラム
CN112329012A (zh) 针对包含JavaScript的恶意PDF文档的检测方法及电子设备
JP6623128B2 (ja) ログ分析システム、ログ分析方法及びログ分析装置
JPWO2019053844A1 (ja) メール検査装置、メール検査方法およびメール検査プログラム
CN112347477A (zh) 家族变种恶意文件挖掘方法和装置

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210922

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210922

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220809

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220822

R151 Written notification of patent or utility model registration

Ref document number: 7140268

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151