JP7140268B2 - 警告装置、制御方法、及びプログラム - Google Patents
警告装置、制御方法、及びプログラム Download PDFInfo
- Publication number
- JP7140268B2 JP7140268B2 JP2021508423A JP2021508423A JP7140268B2 JP 7140268 B2 JP7140268 B2 JP 7140268B2 JP 2021508423 A JP2021508423 A JP 2021508423A JP 2021508423 A JP2021508423 A JP 2021508423A JP 7140268 B2 JP7140268 B2 JP 7140268B2
- Authority
- JP
- Japan
- Prior art keywords
- event
- information
- threat
- event information
- indicated
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Debugging And Monitoring (AREA)
Description
<概要>
図1は、実施形態1の警告装置の動作の概要を表す図である。図1は警告装置2000の動作についての理解を容易にするための概念的な図であり、警告装置2000の動作を具体的に限定するものではない。
本実施形態の警告装置2000によれば、検出イベント情報(対象システムで実際に発生したイベントの集合を示す情報)と脅威情報30(脅威活動を表すイベント集合を示す情報)とを比較することにより、検出イベント情報と関連度の高い脅威情報30が特定される。これにより、対象システムで発生している蓋然性が高い脅威を表す脅威情報30を特定することができる。そして警告装置2000は、特定した脅威情報30に関する警告情報を生成・出力する。よって、警告装置2000のユーザ(対象システムの管理者やユーザ)は、対象システムで発生している可能性がある脅威を容易に把握することができる。
図2は、実施形態1の警告装置2000の構成を例示する図である。警告装置2000は、第1生成部2020、特定部2040、第2生成部2060、及び出力部2080を有する。第1生成部2020は、第1検出イベント情報10を取得し、第1検出イベント情報10によって表されるイベント集合を第2の抽象レベルで表す第2検出イベント情報20を生成する。特定部2040は、複数の脅威情報30の中から、第1検出イベント情報10及び第2検出イベント情報20のうちの少なくとも一方との関連度が高い脅威情報30を特定する。第2生成部2060は、特定された脅威情報30、及び脅威情報30との関連度が高いイベント情報に対応する抽象レベルに基づいて、警告情報40を生成する。出力部2080は、警告情報40を出力する。
警告装置2000の各機能構成部は、各機能構成部を実現するハードウエア(例:ハードワイヤードされた電子回路など)で実現されてもよいし、ハードウエアとソフトウエアとの組み合わせ(例:電子回路とそれを制御するプログラムの組み合わせなど)で実現されてもよい。以下、警告装置2000の各機能構成部がハードウエアとソフトウエアとの組み合わせで実現される場合について、さらに説明する。
図4は、実施形態1の警告装置2000によって実行される処理の流れを例示するフローチャートである。第1生成部2020は、第1検出イベント情報10を取得する(S102)。第1生成部2020は、第1検出イベント情報10を用いて第2検出イベント情報20を生成する(S104)。特定部2040は、複数の脅威情報30の中から、検出イベント情報との関連度が高い(第1検出イベント情報10及び第2検出イベント情報20のうちの少なくとも一方との関連度が高い)脅威情報30を特定する(S106)。第2生成部2060は、特定された脅威情報30及びその合致レベルに基づいて、警告情報40を生成する(S108)。出力部2080は、生成された警告情報40を出力する(S110)。
イベントは、対象システム上で発生する種々の事象である。例えばイベントは、対象システム上で(対象システムに含まれるいずれかの端末上で)動作するプロセスの活動を表す。例えばプロセスの活動は、システムコール単位で記録される。なお、対象システムを構成する端末は、物理マシンであってもよいし、仮想マシンであってもよい。
イベント集合は、互いに関連する1つ以上のイベントのまとまりである。例えば、「或るイベントの客体が別のイベントにおいて主体となっている場合に、これらのイベントを連結する」という操作によって連結される複数のイベントを、同一のイベント集合に含めるようにする。
第1検出イベント情報10は、第1の抽象度でイベント集合を表現した情報である。例えば第1検出イベント情報10は、イベントの主体及び客体それぞれについて、それらを一意に特定可能な識別情報を示す。例えばプロセスの識別情報は、プロセスIDやそのプロセスを実現するプログラムの実行ファイルの名前やパスなどである。また、ファイルの識別情報は、例えば、ファイルの名前やパスである。
第1生成部2020は、第1検出イベント情報10を取得する(S102)。第1生成部2020が第1検出イベント情報10を取得する方法は様々である。例えば第1生成部2020は、他の装置から送信される第1検出イベント情報10を取得する。その他にも例えば、第1生成部2020は、記憶装置から第1検出イベント情報10を読み出すことで、第1検出イベント情報10を取得してもよい。
第1生成部2020は、第1検出イベント情報10から第2検出イベント情報20を生成する(S104)。ここで、第1検出イベント情報10から第2検出イベント情報20を生成するルール(すなわち、イベント集合の表現を第1の抽象度から第2の抽象度に変換するルール)は、予め定めておく。
第1生成部2020は、第2検出イベント情報20に加え、第1検出イベント情報10によって表されるイベント集合を第2の抽象レベルよりもさらに高い抽象度で表現した検出イベント情報を生成してもよい。例えば第1生成部2020は、第1検出イベント情報10によって表されるイベント集合を、第2の抽象レベルよりも高い第3の抽象レベルで表現した第3検出イベント情報を生成する。同様に、第4の抽象レベルや第5の抽象レベルでの抽象化を行ってもよい。すなわち、第1生成部2020は、第1検出イベント情報10を用い、第1検出イベント情報10によって表されるイベント集合をそれぞれ異なる抽象レベルで表現した第2検出イベント情報から第 n 検出イベント情報(n は2以上の整数)を生成する。ここで、n の値が大きいほど抽象度が高くなるものとする。
脅威情報30は、コンピュータシステムにとって脅威となる活動である脅威活動を表すイベント集合を示す情報である。例えば脅威情報30は、特定のマルウエアの活動や、特定のセキュリティホールを突いた侵入活動などを、それらの活動を構成するイベント集合で表現した情報である。例えば脅威情報30は、実際に或るコンピュータシステムで発見された脅威活動や原理的に発生しうることが研究者等によって発見された脅威活動に関する情報をソースとして生成することができる。このように脅威情報30のソースとなる情報(以下、ソース情報)としては、例えば、論文、セキュリティに関する研究活動のレポート、セキュリティ関連企業等のWeb ページ、又は SNS(Social Networking Service)に投稿された記事などといった様々な形態の情報を利用することができる。なお、ソース情報は、脅威情報30を生成する人によって手動で収集されてもよいし、クローラなどを使ってネットワーク上から自動で収集されてもよい。
特定部2040は、検出イベント情報との関連度が高い脅威情報30を特定する(S106)。そのために、特定部2040は、検出イベント情報によって表されているイベント集合と、脅威情報30によって表されている脅威イベント集合との間の関連度を算出する。具体的には、特定部2040は、同一の抽象レベルの検出イベント情報と脅威イベント情報との間で関連度を算出する。
以下、検出イベント情報と脅威イベント情報との間で関連度を算出する方法について説明する。例えば、検出イベント情報と脅威イベント情報との関連度は、以下のようにして算出することができる。
イベントデータ同士が合致するかどうかの判定は、イベントデータをそのまま比較する(例えば文字列同士の合致判定を行う)ことで行われてもよいし、イベントデータを比較が容易な他のデータに変換した上で行われてもよい。後者の場合、例えば、特定部2040は、イベントデータを任意の規則で数値(イベント値)に変換する。例えばイベント値としては、ハッシュ値を用いることができる。
脅威活動の種類によっては、イベントの集合だけではなく、その他の付加的な情報を用いることにより、対象システムにおいてその脅威活動が発生しているか否かをより正確に判定できるものがある。そこで、特定部2040は、イベント集合に加え、他の付加的な情報を利用して、検出イベント情報と脅威イベント情報とが合致するか否かを判定してもよい。
第2生成部2060は、特定部2040によって特定された脅威情報30及びその合致レベルに基づいて、警告情報40を生成する(S108)。例えば、或る脅威情報30に含まれる第1脅威イベント情報32が第1検出イベント情報10と高い関連度を持つと特定された場合、警告情報40は、その脅威情報30及び「第1の抽象レベル」という合致レベルに基づいて生成される。ここで、合致レベルの具体的な利用方法については後述する。
出力部2080は警告情報40を出力する(S110)。ここで、警告情報40の出力態様は任意である。例えば出力部2080は、警告装置2000に接続されているディスプレイ装置に警告情報40を表示させる。その他にも例えば、出力部2080は、任意の記憶装置に警告情報40を格納してもよい。その他にも例えば、出力部2080は、警告装置2000以外の装置に警告情報40を送信してもよい。例えば警告情報40は、対象システムの管理者等の端末に送信される。対象システムの管理者等は、その端末を操作することで、その端末に接続されているディスプレイ装置で、警告情報40を閲覧する。
警告装置2000は、出力した警告情報40について、ユーザからフィードバックを受け付けてもよい。具体的には、警告情報40に、検出イベント情報と脅威情報30との間で合致したイベントを表す情報(図11におけるイベントのグラフなど)が含まれているとする。この場合において、ユーザが、検出されたイベントは脅威を表すものではないと判断したとする。この場合、ユーザは、検出されたイベントが脅威を表していない(すなわち、警告に誤りがある)ことを示す入力を、警告装置2000に対して行う。警告装置2000は、この入力に基づいて、検出されたイベントの重要度を下げる(例えば、そのイベントの重要度を、現在の値に1より小さい所定の係数を掛けた値に更新する)処理を行う。このようにすることで、ユーザの知識を活かして警告装置2000がより正確な警告情報40を生成できるようになる。
警告装置2000は、対象システムの正常な活動を表す情報をさらに利用してもよい。この情報を正常情報と呼ぶ。正常情報は、対象システムの正常な活動をイベント集合で表す。より具体的には、正常情報は、同一のイベント集合をそれぞれ異なる抽象レベルで表す複数の正常イベント情報を有する。以下、正常情報に対応するイベント集合を第 n の抽象レベルで表現する正常イベント集合を、第 n 正常イベント集合と表記する。
1. 対象システムにおいて発生したイベントの集合であるイベント集合を第1の抽象レベルで表す第1の検出イベント情報を取得し、前記取得した第1の検出イベント情報によって表される前記イベント集合を第2の抽象レベルで表す第2の検出イベント情報を生成する第1生成部と、
それぞれが脅威活動を表す複数の脅威情報の中から、第1の前記検出イベント情報及び第2の前記検出イベント情報のうちの少なくとも一方との関連度が高い前記脅威情報を特定する特定部と、
前記特定された脅威情報と、その脅威情報との関連度が高い前記検出イベント情報に対応する抽象レベルである合致レベルとに基づいて、前記対象システムで発生している脅威に関する警告情報を生成する第2生成部と、を有する警告装置。
2. 前記イベントは、前記対象システム上で動作するプロセスの活動を表す、1.に記載の警告装置。
3. 前記第1の抽象レベルで表されたイベント集合では、イベントの主体であるプロセスの実行ファイル又はイベントの客体であるファイルについて、その識別情報が示され、
前記第2の抽象レベルで表されたイベント集合では、イベントの主体であるプロセスの実行ファイル又はイベントの客体であるファイルについて、その種類が示される、1.又は2.に記載の警告装置。
4. 前記脅威情報は、その脅威情報が表すイベント集合を第1の抽象度で表す第1の脅威イベント情報と、その脅威情報が表すイベント集合を第2の抽象度で表す第2の脅威イベント情報とを含み、
前記特定部は、
第1の前記検出イベント情報と各前記脅威情報の第1の脅威イベント情報との間で第1関連度を算出し、
第2の前記検出イベント情報と各前記脅威情報の第2の脅威イベント情報との間で第2関連度を算出し、
第1関連度又は第2関連度の少なくとも一方が閾値以上である前記脅威情報を特定する、1.乃至3.いずれか一つに記載の警告装置。
5. 前記第1生成部は、前記第1関連度が閾値以上である前記脅威情報が存在しない場合に、前記第2の検出イベント情報の生成を行う、4.に記載の警告装置。
6. 前記特定部は、前記検出イベント情報に示されるイベント集合と前記脅威イベント情報に示されるイベント集合との間で合致するイベントの総数を、前記脅威イベント情報に示されるイベント集合に含まれるイベントの総数で割ることで、前記検出イベント情報と前記脅威イベント情報との間の関連度を算出する、4.又は5.に記載の警告装置。
7. 前記特定部は、前記検出イベント情報に示されるイベント集合と前記脅威イベント情報に示されるイベント集合との間で合致する各イベントに付された重みの総和を、前記脅威イベント情報に示されるイベント集合に含まれる各イベントに付された重みの総和で割ることで、前記検出イベント情報と前記脅威イベント情報との間の関連度を算出する、4.又は5.に記載の警告装置。
8. 前記脅威イベント情報は、各イベントについてそのイベントを数値で表したイベント値を示し、
前記特定部は、
前記検出イベント情報に示されている各イベントについて、そのイベントを数値で表したイベント値を算出し、
前記検出イベント情報に示されている各イベント値と、前記脅威イベント情報に示されている各イベント値とを比較することで、前記検出イベント情報に示されているイベントと前記脅威イベント情報に示されているイベントとが合致するか否かを判定する、4.乃至7.いずれか一つに記載の警告装置。
9. 前記脅威イベント情報は、前記イベント集合に含まれるイベントで扱われるデータのサイズに関する条件を示し、
前記特定部は、前記検出イベント情報と前記脅威イベント情報との間の関連度を、前記検出イベント情報に示されるイベント集合と前記脅威イベント情報に示されるイベント集合との間でイベントが合致する度合い、及び前記検出イベント情報によって示されるイベントにおいて前記脅威イベント情報に示される前記条件が満たされるか否かの判定の結果に基づいて算出する、4.乃至8.いずれか一つに記載の警告装置。
10. 前記警告情報は、前記検出イベント情報と前記特定された脅威情報との間で合致するイベントが前記合致レベルに応じた度合いで強調されている情報を含む、1.乃至9.いずれか一つに記載の警告装置。
対象システムにおいて発生したイベントの集合であるイベント集合を第1の抽象レベルで表す第1の検出イベント情報を取得し、前記取得した第1の検出イベント情報によって表される前記イベント集合を第2の抽象レベルで表す第2の検出イベント情報を生成する第1生成ステップと、
それぞれが脅威活動を表す複数の脅威情報の中から、第1の前記検出イベント情報及び第2の前記検出イベント情報のうちの少なくとも一方との関連度が高い前記脅威情報を特定する特定ステップと、
前記特定された脅威情報と、その脅威情報との関連度が高い前記検出イベント情報に対応する抽象レベルである合致レベルとに基づいて、前記対象システムで発生している脅威に関する警告情報を生成する第2生成ステップと、を有する制御方法。
12. 前記イベントは、前記対象システム上で動作するプロセスの活動を表す、11.に記載の制御方法。
13. 前記第1の抽象レベルで表されたイベント集合では、イベントの主体であるプロセスの実行ファイル又はイベントの客体であるファイルについて、その識別情報が示され、
前記第2の抽象レベルで表されたイベント集合では、イベントの主体であるプロセスの実行ファイル又はイベントの客体であるファイルについて、その種類が示される、11.又は12.に記載の制御方法。
14. 前記脅威情報は、その脅威情報が表すイベント集合を第1の抽象度で表す第1の脅威イベント情報と、その脅威情報が表すイベント集合を第2の抽象度で表す第2の脅威イベント情報とを含み、
前記特定ステップにおいて、
第1の前記検出イベント情報と各前記脅威情報の第1の脅威イベント情報との間で第1関連度を算出し、
第2の前記検出イベント情報と各前記脅威情報の第2の脅威イベント情報との間で第2関連度を算出し、
第1関連度又は第2関連度の少なくとも一方が閾値以上である前記脅威情報を特定する、11.乃至13.いずれか一つに記載の制御方法。
15. 前記第1生成ステップにおいて、前記第1関連度が閾値以上である前記脅威情報が存在しない場合に、前記第2の検出イベント情報の生成を行う、14.に記載の制御方法。
16. 前記特定ステップにおいて、前記検出イベント情報に示されるイベント集合と前記脅威イベント情報に示されるイベント集合との間で合致するイベントの総数を、前記脅威イベント情報に示されるイベント集合に含まれるイベントの総数で割ることで、前記検出イベント情報と前記脅威イベント情報との間の関連度を算出する、14.又は15.に記載の制御方法。
17. 前記特定ステップにおいて、前記検出イベント情報に示されるイベント集合と前記脅威イベント情報に示されるイベント集合との間で合致する各イベントに付された重みの総和を、前記脅威イベント情報に示されるイベント集合に含まれる各イベントに付された重みの総和で割ることで、前記検出イベント情報と前記脅威イベント情報との間の関連度を算出する、14.又は15.に記載の制御方法。
18. 前記脅威イベント情報は、各イベントについてそのイベントを数値で表したイベント値を示し、
前記特定ステップにおいて、
前記検出イベント情報に示されている各イベントについて、そのイベントを数値で表したイベント値を算出し、
前記検出イベント情報に示されている各イベント値と、前記脅威イベント情報に示されている各イベント値とを比較することで、前記検出イベント情報に示されているイベントと前記脅威イベント情報に示されているイベントとが合致するか否かを判定する、14.乃至17.いずれか一つに記載の制御方法。
19. 前記脅威イベント情報は、前記イベント集合に含まれるイベントで扱われるデータのサイズに関する条件を示し、
前記特定ステップにおいて、前記検出イベント情報と前記脅威イベント情報との間の関連度を、前記検出イベント情報に示されるイベント集合と前記脅威イベント情報に示されるイベント集合との間でイベントが合致する度合い、及び前記検出イベント情報によって示されるイベントにおいて前記脅威イベント情報に示される前記条件が満たされるか否かの判定の結果に基づいて算出する、14.乃至18.いずれか一つに記載の制御方法。
20. 前記警告情報は、前記検出イベント情報と前記特定された脅威情報との間で合致するイベントが前記合致レベルに応じた度合いで強調されている情報を含む、11.乃至19.いずれか一つに記載の制御方法。
Claims (21)
- 対象システムにおいて発生したイベントの集合であるイベント集合を第1の抽象レベルで表す第1の検出イベント情報を取得し、前記取得した第1の検出イベント情報によって表される前記イベント集合を第2の抽象レベルで表す第2の検出イベント情報を生成する第1生成部と、
それぞれが脅威活動を表す複数の脅威情報の中から、第1の前記検出イベント情報及び第2の前記検出イベント情報のうちの少なくとも一方との関連度が高い前記脅威情報を特定する特定部と、
前記特定された脅威情報と、その脅威情報との関連度が高い前記検出イベント情報に対応する抽象レベルである合致レベルとに基づいて、前記対象システムで発生している脅威に関する警告情報を生成する第2生成部と、を有する警告装置。 - 前記イベントは、前記対象システム上で動作するプロセスの活動を表す、請求項1に記載の警告装置。
- 前記第1の抽象レベルで表されたイベント集合では、イベントの主体であるプロセスの実行ファイル又はイベントの客体であるファイルについて、その識別情報が示され、
前記第2の抽象レベルで表されたイベント集合では、イベントの主体であるプロセスの実行ファイル又はイベントの客体であるファイルについて、その種類が示される、請求項1又は2に記載の警告装置。 - 前記脅威情報は、その脅威情報が表すイベント集合を第1の抽象度で表す第1の脅威イベント情報と、その脅威情報が表すイベント集合を第2の抽象度で表す第2の脅威イベント情報とを含み、
前記特定部は、
第1の前記検出イベント情報と各前記脅威情報の第1の脅威イベント情報との間で第1関連度を算出し、
第2の前記検出イベント情報と各前記脅威情報の第2の脅威イベント情報との間で第2関連度を算出し、
第1関連度又は第2関連度の少なくとも一方が閾値以上である前記脅威情報を特定する、請求項1乃至3いずれか一項に記載の警告装置。 - 前記第1生成部は、前記第1関連度が閾値以上である前記脅威情報が存在しない場合に、前記第2の検出イベント情報の生成を行う、請求項4に記載の警告装置。
- 前記特定部は、前記検出イベント情報に示されるイベント集合と前記脅威イベント情報に示されるイベント集合との間で合致するイベントの総数を、前記脅威イベント情報に示されるイベント集合に含まれるイベントの総数で割ることで、前記検出イベント情報と前記脅威イベント情報との間の関連度を算出する、請求項4又は5に記載の警告装置。
- 前記特定部は、前記検出イベント情報に示されるイベント集合と前記脅威イベント情報に示されるイベント集合との間で合致する各イベントに付された重みの総和を、前記脅威イベント情報に示されるイベント集合に含まれる各イベントに付された重みの総和で割ることで、前記検出イベント情報と前記脅威イベント情報との間の関連度を算出する、請求項4又は5に記載の警告装置。
- 前記脅威イベント情報は、各イベントについてそのイベントを数値で表したイベント値を示し、
前記特定部は、
前記検出イベント情報に示されている各イベントについて、そのイベントを数値で表したイベント値を算出し、
前記検出イベント情報に示されている各イベント値と、前記脅威イベント情報に示されている各イベント値とを比較することで、前記検出イベント情報に示されているイベントと前記脅威イベント情報に示されているイベントとが合致するか否かを判定する、請求項4乃至7いずれか一項に記載の警告装置。 - 前記脅威イベント情報は、前記イベント集合に含まれるイベントで扱われるデータのサイズに関する条件を示し、
前記特定部は、前記検出イベント情報と前記脅威イベント情報との間の関連度を、前記検出イベント情報に示されるイベント集合と前記脅威イベント情報に示されるイベント集合との間でイベントが合致する度合い、及び前記検出イベント情報によって示されるイベントにおいて前記脅威イベント情報に示される前記条件が満たされるか否かの判定の結果に基づいて算出する、請求項4乃至8いずれか一項に記載の警告装置。 - 前記警告情報は、前記検出イベント情報と前記特定された脅威情報との間で合致するイベントが前記合致レベルに応じた度合いで強調されている情報を含む、請求項1乃至9いずれか一項に記載の警告装置。
- コンピュータによって実行される制御方法であって、
対象システムにおいて発生したイベントの集合であるイベント集合を第1の抽象レベルで表す第1の検出イベント情報を取得し、前記取得した第1の検出イベント情報によって表される前記イベント集合を第2の抽象レベルで表す第2の検出イベント情報を生成する第1生成ステップと、
それぞれが脅威活動を表す複数の脅威情報の中から、第1の前記検出イベント情報及び第2の前記検出イベント情報のうちの少なくとも一方との関連度が高い前記脅威情報を特定する特定ステップと、
前記特定された脅威情報と、その脅威情報との関連度が高い前記検出イベント情報に対応する抽象レベルである合致レベルとに基づいて、前記対象システムで発生している脅威に関する警告情報を生成する第2生成ステップと、を有する制御方法。 - 前記イベントは、前記対象システム上で動作するプロセスの活動を表す、請求項11に記載の制御方法。
- 前記第1の抽象レベルで表されたイベント集合では、イベントの主体であるプロセスの実行ファイル又はイベントの客体であるファイルについて、その識別情報が示され、
前記第2の抽象レベルで表されたイベント集合では、イベントの主体であるプロセスの実行ファイル又はイベントの客体であるファイルについて、その種類が示される、請求項11又は12に記載の制御方法。 - 前記脅威情報は、その脅威情報が表すイベント集合を第1の抽象度で表す第1の脅威イベント情報と、その脅威情報が表すイベント集合を第2の抽象度で表す第2の脅威イベント情報とを含み、
前記特定ステップにおいて、
第1の前記検出イベント情報と各前記脅威情報の第1の脅威イベント情報との間で第1関連度を算出し、
第2の前記検出イベント情報と各前記脅威情報の第2の脅威イベント情報との間で第2関連度を算出し、
第1関連度又は第2関連度の少なくとも一方が閾値以上である前記脅威情報を特定する、請求項11乃至13いずれか一項に記載の制御方法。 - 前記第1生成ステップにおいて、前記第1関連度が閾値以上である前記脅威情報が存在しない場合に、前記第2の検出イベント情報の生成を行う、請求項14に記載の制御方法。
- 前記特定ステップにおいて、前記検出イベント情報に示されるイベント集合と前記脅威イベント情報に示されるイベント集合との間で合致するイベントの総数を、前記脅威イベント情報に示されるイベント集合に含まれるイベントの総数で割ることで、前記検出イベント情報と前記脅威イベント情報との間の関連度を算出する、請求項14又は15に記載の制御方法。
- 前記特定ステップにおいて、前記検出イベント情報に示されるイベント集合と前記脅威イベント情報に示されるイベント集合との間で合致する各イベントに付された重みの総和を、前記脅威イベント情報に示されるイベント集合に含まれる各イベントに付された重みの総和で割ることで、前記検出イベント情報と前記脅威イベント情報との間の関連度を算出する、請求項14又は15に記載の制御方法。
- 前記脅威イベント情報は、各イベントについてそのイベントを数値で表したイベント値を示し、
前記特定ステップにおいて、
前記検出イベント情報に示されている各イベントについて、そのイベントを数値で表したイベント値を算出し、
前記検出イベント情報に示されている各イベント値と、前記脅威イベント情報に示されている各イベント値とを比較することで、前記検出イベント情報に示されているイベントと前記脅威イベント情報に示されているイベントとが合致するか否かを判定する、請求項14乃至17いずれか一項に記載の制御方法。 - 前記脅威イベント情報は、前記イベント集合に含まれるイベントで扱われるデータのサイズに関する条件を示し、
前記特定ステップにおいて、前記検出イベント情報と前記脅威イベント情報との間の関連度を、前記検出イベント情報に示されるイベント集合と前記脅威イベント情報に示されるイベント集合との間でイベントが合致する度合い、及び前記検出イベント情報によって示されるイベントにおいて前記脅威イベント情報に示される前記条件が満たされるか否かの判定の結果に基づいて算出する、請求項14乃至18いずれか一項に記載の制御方法。 - 前記警告情報は、前記検出イベント情報と前記特定された脅威情報との間で合致するイベントが前記合致レベルに応じた度合いで強調されている情報を含む、請求項11乃至19いずれか一項に記載の制御方法。
- 請求項11乃至20いずれか一項に記載の制御方法の各ステップをコンピュータに実行させるプログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2019/012496 WO2020194449A1 (ja) | 2019-03-25 | 2019-03-25 | 警告装置、制御方法、及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2020194449A1 JPWO2020194449A1 (ja) | 2020-10-01 |
JP7140268B2 true JP7140268B2 (ja) | 2022-09-21 |
Family
ID=72609267
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021508423A Active JP7140268B2 (ja) | 2019-03-25 | 2019-03-25 | 警告装置、制御方法、及びプログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US20220156371A1 (ja) |
JP (1) | JP7140268B2 (ja) |
WO (1) | WO2020194449A1 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113949621B (zh) * | 2021-12-22 | 2022-03-29 | 北京微步在线科技有限公司 | 入侵事件的告警关联方法、装置、电子设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013098915A (ja) | 2011-11-04 | 2013-05-20 | Omron Corp | ソリッドステートリレー及び負荷駆動回路 |
JP2017527931A (ja) | 2014-08-11 | 2017-09-21 | センチネル ラボズ イスラエル リミテッド | マルウェア検出の方法及びそのシステム |
WO2018070404A1 (ja) | 2016-10-14 | 2018-04-19 | 日本電気株式会社 | マルウェア解析装置、マルウェア解析方法、及び、マルウェア解析プログラムが格納された記録媒体 |
WO2019049243A1 (ja) | 2017-09-06 | 2019-03-14 | 日本電気株式会社 | 端末装置、端末装置による動作情報の報告制御方法、及び、端末装置による動作情報の報告制御プログラムが格納された記録媒体 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013098915A1 (ja) * | 2011-12-26 | 2013-07-04 | 株式会社日立製作所 | 管理サーバ、管理システム、および、管理方法 |
IL219597A0 (en) * | 2012-05-03 | 2012-10-31 | Syndrome X Ltd | Malicious threat detection, malicious threat prevention, and a learning systems and methods for malicious threat detection and prevention |
US8752178B2 (en) * | 2013-07-31 | 2014-06-10 | Splunk Inc. | Blacklisting and whitelisting of security-related events |
JP2016053956A (ja) * | 2014-09-02 | 2016-04-14 | エスケー インフォセック カンパニー リミテッドSK INFOSEC Co.,Ltd. | ウェブ基盤の悪性コード探知システムおよび方法 |
GB2574209B (en) * | 2018-05-30 | 2020-12-16 | F Secure Corp | Controlling Threats on a Computer System by Searching for Matching Events on other Endpoints |
US11941054B2 (en) * | 2018-10-12 | 2024-03-26 | International Business Machines Corporation | Iterative constraint solving in abstract graph matching for cyber incident reasoning |
US11184374B2 (en) * | 2018-10-12 | 2021-11-23 | International Business Machines Corporation | Endpoint inter-process activity extraction and pattern matching |
US10956566B2 (en) * | 2018-10-12 | 2021-03-23 | International Business Machines Corporation | Multi-point causality tracking in cyber incident reasoning |
-
2019
- 2019-03-25 US US17/439,509 patent/US20220156371A1/en active Pending
- 2019-03-25 JP JP2021508423A patent/JP7140268B2/ja active Active
- 2019-03-25 WO PCT/JP2019/012496 patent/WO2020194449A1/ja active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013098915A (ja) | 2011-11-04 | 2013-05-20 | Omron Corp | ソリッドステートリレー及び負荷駆動回路 |
JP2017527931A (ja) | 2014-08-11 | 2017-09-21 | センチネル ラボズ イスラエル リミテッド | マルウェア検出の方法及びそのシステム |
WO2018070404A1 (ja) | 2016-10-14 | 2018-04-19 | 日本電気株式会社 | マルウェア解析装置、マルウェア解析方法、及び、マルウェア解析プログラムが格納された記録媒体 |
WO2019049243A1 (ja) | 2017-09-06 | 2019-03-14 | 日本電気株式会社 | 端末装置、端末装置による動作情報の報告制御方法、及び、端末装置による動作情報の報告制御プログラムが格納された記録媒体 |
Non-Patent Citations (1)
Title |
---|
芝田 文 ほか,マルウェア動的解析のネットワーク接続制御を支援するユーザインタフェースの提案,情報処理学会研究報告 IPSJ SIG Technical Reports,日本,社団法人情報処理学会 Information Processing Socie,2009年02月26日,Vol.2009, No.20,p.277-279 |
Also Published As
Publication number | Publication date |
---|---|
US20220156371A1 (en) | 2022-05-19 |
WO2020194449A1 (ja) | 2020-10-01 |
JPWO2020194449A1 (ja) | 2020-10-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11258805B2 (en) | Computer-security event clustering and violation detection | |
US11392689B2 (en) | Computer-security violation detection using coordinate vectors | |
US9237161B2 (en) | Malware detection and identification | |
US20090013405A1 (en) | Heuristic detection of malicious code | |
CN114679329B (zh) | 用于基于赝象对恶意软件自动分组的系统 | |
US10440042B1 (en) | Domain feature classification and autonomous system vulnerability scanning | |
CN112866023B (zh) | 网络检测、模型训练方法、装置、设备及存储介质 | |
CN111373376A (zh) | 可疑邮件的分析和报告 | |
KR102007809B1 (ko) | 이미지를 이용한 신경망 기반 익스플로잇킷 탐지 시스템 | |
US10454967B1 (en) | Clustering computer security attacks by threat actor based on attack features | |
US11797668B2 (en) | Sample data generation apparatus, sample data generation method, and computer readable medium | |
JP6674036B2 (ja) | 分類装置、分類方法及び分類プログラム | |
CN107395650B (zh) | 基于沙箱检测文件识别木马回连方法及装置 | |
US10623426B1 (en) | Building a ground truth dataset for a machine learning-based security application | |
CN109492118A (zh) | 一种数据检测方法及检测装置 | |
Walenstein et al. | Header information in malware families and impact on automated classifiers | |
US11423099B2 (en) | Classification apparatus, classification method, and classification program | |
US10158664B2 (en) | Malicious code detection | |
Deore et al. | Mdfrcnn: Malware detection using faster region proposals convolution neural network | |
JP5441043B2 (ja) | プログラム、情報処理装置、及び情報処理方法 | |
JP7140268B2 (ja) | 警告装置、制御方法、及びプログラム | |
CN112329012A (zh) | 针对包含JavaScript的恶意PDF文档的检测方法及电子设备 | |
JP6623128B2 (ja) | ログ分析システム、ログ分析方法及びログ分析装置 | |
JPWO2019053844A1 (ja) | メール検査装置、メール検査方法およびメール検査プログラム | |
CN112347477A (zh) | 家族变种恶意文件挖掘方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210922 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210922 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220809 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220822 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7140268 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |