CN104620252B - 信息处理装置及信息处理方法 - Google Patents
信息处理装置及信息处理方法 Download PDFInfo
- Publication number
- CN104620252B CN104620252B CN201380046779.4A CN201380046779A CN104620252B CN 104620252 B CN104620252 B CN 104620252B CN 201380046779 A CN201380046779 A CN 201380046779A CN 104620252 B CN104620252 B CN 104620252B
- Authority
- CN
- China
- Prior art keywords
- affairs
- state
- emulsion
- latitude
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
Abstract
不使用关联规则,在存在对信息系统进行攻击的可能性的情况下,将攻击的进展状况可视化,来向用户显示警告。表存储部(1001)存储过去事例表,在过去事例表中示出依照过去事例中的事态的发生模式将作为攻击的进展度的阶段值连接起来而得到的阶段串。阶段串生成部(1002)依照在信息系统中发生的事态的发生模式,连接阶段值而得到阶段串。相似度计算部(1003)计算由阶段串生成部(1002)得到的阶段串与过去事例表中示出的阶段串之间的相似度。攻击状况可视化部(1004)根据由阶段串生成部(1002)得到的阶段串和由相似度计算部(1003)得到的相似度的计算结果,将对信息系统的攻击的进展状况可视化。
Description
技术领域
涉及将对信息系统的威胁可视化的技术。
背景技术
在现有的威胁可视化方式中,通过规定了被视作威胁的事态的发生顺序的关联规则,判断威胁的发生,并在画面中显示与该关联规则相符的事态群,来向用户进行警告(例如,专利文献1)。
现有技术文献
专利文献
专利文献1:日本特表2004-537075号公报
发明内容
发明要解决的问题
在现有的威胁可视化方式中,存在如果关联规则中规定的事态未全部出现则不向用户显示警告画面这样的问题。
关联规则中规定的事态是在网络设备及服务器和PC(Personal Computer:个人计算机)等计算机中发生的被视作具有恶意的行为的异常事态。
例如传感器检测这样的事态,向用户对画面进行监视的装置通知检测出的事态,但在利用传感器进行的对这些异常事态的检测中,可能会产生检测遗漏。
因此,在现有的威胁可视化方式中,存在如下问题:尽管实际对信息系统进行了攻击,但由于1个事态的检测遗漏而没有满足关联规则,从而没有向用户显示警告。
本发明以解决上述问题为主要目的,其主要目的在于,不使用关联规则,在存在对信息系统进行攻击的可能性的情况下,将攻击的进展状况可视化,来向用户显示警告。
用于解决问题的手段
本发明的信息处理装置的特征在于具有:攻击事态表存储部,其存储攻击事态表,在该攻击事态表中,针对因对信息系统的攻击而发生的多个事态中的各个事态示出发生各个事态时的攻击的进展度;攻击事态进展度串表存储部,其存储攻击事态进展度串表,在该攻击事态进展度串表中,依照攻击序列中的事态的发生模式,将对应的事态的进展度连接起来得到的字符串作为攻击事态进展度串示出;发生事态进展度串导出部,其依照在所述信息系统中发生的事态的发生模式,将对应的事态的进展度连接起来,导出作为字符串的发生事态进展度串;相似度计算部,其计算由所述发生事态进展度串导出部导出的发生事态进展度串与所述攻击事态进展度串表中示出的攻击事态进展度串之间的相似度;以及攻击状况可视化部,其根据由所述发生事态进展度串导出部得到的发生事态进展度串和所述相似度计算部的相似度计算结果,将对所述信息系统的攻击的进展状况可视化。
发明效果
在本发明中,按照在信息系统中发生的事态的发生模式,导出发生事态进展度串,并计算发生事态进展度串与攻击事态进展度串之间的相似度。
此外,在本发明中,根据发生事态进展度串和相似度的计算结果,将对信息系统的攻击的进展状况可视化。
因此,根据本发明,不需要使用关联规则,能够避免因1个事态的检测遗漏而不满足关联规则从而没有向用户显示警告的情况,能够在存在进行攻击的可能性的情况下向用户显示警告。
附图说明
图1是示出实施方式1的信息系统的结构例的图。
图2是示出实施方式1的威胁可视化系统的硬件结构例的图。
图3是示出实施方式1的威胁可视化系统的硬盘内的数据例的图。
图4是示出实施方式1的威胁可视化系统的RAM内的数据例的图。
图5是示出实施方式1的威胁可视化系统的功能结构例的图。
图6是示出实施方式1的攻击事态表的例子的图。
图7是示出实施方式1的过去事例表的例子的图。
图8是示出实施方式1的攻击情景表的例子的图。
图9是示出实施方式1的攻击阶段表的例子的图。
图10是示出实施方式1的安全威胁分布画面的例子的图。
图11是示出实施方式1的安全成长过程显示画面的例子的图。
图12是示出实施方式1的威胁可视化系统的动作的概要的流程图。
图13是示出实施方式1的威胁可视化系统的动作的详细内容的流程图。
图14是示出实施方式1的威胁可视化系统的动作的详细内容的流程图。
图15是示出实施方式1的威胁可视化系统的动作的详细内容的流程图。
图16是示出实施方式1的威胁可视化系统的动作的详细内容的流程图。
图17是示出实施方式1的威胁可视化系统的动作的详细内容的流程图。
图18是示出实施方式1的威胁可视化系统的动作的详细内容的流程图。
具体实施方式
实施方式1.
在本实施方式中,对如下结构进行说明:即使在发生各异常事态的检测遗漏的情况下,在存在进行攻击的可能性时,也向用户显示警告。
图1示出了本实施方式的信息系统的结构例。
本实施方式的信息系统例如由威胁可视化系统100、LAN(Local Area Network:局域网)110、日志服务器111、PC 112、认证服务器113、文件服务器114、邮件服务器115、IDS(Intrusion Detection System:入侵检测系统)/IPS(Intrusion Prevention System:入侵防御系统)116、网络代理117和防火墙118构成。
威胁可视化系统100是将对信息系统的威胁可视化的计算机,相当于信息处理装置的例子。
威胁可视化系统100与LAN 110连接。
日志服务器111、PC 112、认证服务器113、文件服务器114、邮件服务器115、IDS/IPS 116、网络代理117以及防火墙118与LAN 110连接。
防火墙118与互联网119连接。
PC 112通常存在多个。
PC 112相当于终端装置的例子。
如图2所示,威胁可视化系统100具有CPU 101、RAM(Random Access Memory:随机存取存储器)102、ROM(Read Only Memory:只读存储器)103、硬盘104、显示器105、键盘106、鼠标107和通信板108,它们与总线109连接。
此外,威胁可视化系统100具有图5所示的功能结构。
在图5中,表存储部1001存储用于将对信息系统的威胁可视化的各种表。
各种表的详细情况将在后面记述。
表存储部1001相当于攻击事态表存储部和攻击事态进展度串表存储部的例子。
此外,表存储部1001由图2的RAM 102和硬盘104实现。
阶段串生成部1002依照在信息系统中发生的事态的发生模式,将作为事态的进展度的阶段值连接起来,生成阶段串(发生事态进展度串)。
阶段串生成部1002相当于发生事态进展度串导出部的例子。
此外,阶段串生成部1002例如构成为程序,并由图2的CPU 101执行实现阶段串生成部1002的程序。
相似度计算部1003计算由阶段串生成部1002得到的阶段串(发生事态进展度串)与后述的过去事例表或攻击情景表中示出的阶段串(攻击事态进展度串)之间的相似度。
相似度计算部1003例如也构成为程序,并由图2的CPU 101执行实现相似度计算部1003的程序。
攻击状况可视化部1004根据由阶段串生成部1002得到的阶段串和由相似度计算部1003得到相似度的计算结果,将对信息系统的攻击的进展状况可视化。
攻击状况可视化部1004例如也构成为程序,并由图2的CPU 101执行实现攻击状况可视化部1004的程序。
输入部1005从威胁可视化系统100的用户输入各种数据。
输入部1005由图2的键盘106和鼠标107实现。
输出部1006向威胁可视化系统100的用户显示各种数据。
例如,输出部1006向用户显示由攻击状况可视化部1004可视化后的攻击的进展状况。
输出部1006由图2的显示器105实现。
通信部1007通过LAN 110,与其它装置进行通信。
例如,通信部1007从日志服务器111接收日志数据。
通信部1007由图2的通信板108实现。
图3示出图2的硬盘104中保存的表。
在硬盘104中,保存有攻击事态表201、过去事例表202、攻击情景表203和威胁可视化程序204。
威胁可视化程序204是实现图5的阶段串生成部1002、相似度计算部1003和攻击状况可视化部1004的程序。
威胁可视化程序204被装载到RAM 102中,CPU 101从RAM 102读出威胁可视化程序204,执行威胁可视化程序204,实现图5的阶段串生成部1002、相似度计算部1003和攻击状况可视化部1004的功能。
此外,虽然在图3中省略了图示,但硬盘104保存有OS(Operating System:操作系统),CPU 101利用OS,执行威胁可视化程序204。
图4示出在RAM 102上生成的表。
在RAM 102上,通过威胁可视化程序204生成攻击阶段表301。
图6示出攻击事态表201的结构。
攻击事态表201是针对因对信息系统的攻击而发生的多个事态中的各个事态示出各事态发生时的攻击进展度的表。
如图6所示,在攻击事态表201中,针对因攻击发生的各事态,具有设备类别401、事态ID402、事态说明403、阶段404。
设备类别401示出了事态的发生来源的设备(PC 112、认证服务器113等)。
在事态ID402的栏中,示出各事态的标识符。
在事态说明403的栏中,示出各事态的概要。
在阶段404的栏中,示出表示攻击的进展度、所处阶段的阶段值。
例如,可以考虑将攻击处于“入侵”阶段时观测到的事态设为阶段“1”,将攻击处于“探索”阶段时观测到的事态设为阶段“2”,将攻击处于“权限升级”阶段时观测到的事态设为阶段“3”,将攻击处于“信息窃取”阶段时观测到的事态设为阶段“4”。
图7示出了过去事例表202的结构。
过去事例表202是按发生顺序示出在过去的攻击事例(攻击序列)中发生的事态的表。
过去事例表202具有过去事例ID501、事态ID串502和阶段串503。
在过去事例ID501的栏中,示出过去事例的标识符。
在事态ID串502的栏中,按发生顺序示出在过去的攻击事例中发生的事态的事态ID。
在阶段串503的栏中,示出按发生顺序将和事态ID列502的栏所示的各事态ID对应的阶段404的值连接起来得到的字符串(阶段串)。
阶段串503的栏中示出的字符串相当于攻击事态进展度串的例子。
过去事例表202相当于攻击事态进展度串表的例子。
图8示出了攻击情景表203的结构。
攻击情景表203按发生顺序示出在设想的攻击(攻击序列)中设想要发生的事态的表。
将实际上没有发生但设想要发生的攻击称作攻击情景(attack scenario)。
例如,可以考虑将使过去实际发生的一部分攻击变形后的攻击作为攻击情景来使用。
攻击情景表203具有情景ID601、事态ID列602和阶段串603。
在情景ID601的栏中,示出攻击情景的标识符。
在事态ID列602的栏中,按发生顺序示出在被进行攻击的情况下设想要发生的事态的事态ID。
在阶段串603的栏中,示出按发生顺序将与事态ID列602的栏所示的各事态ID对应的阶段404的值连接起来得到的字符串(阶段串)。
阶段串603的栏中示出的字符串相当于攻击事态进展度串的例子。
攻击情景表203也相当于攻击事态进展度串表的例子。
图9示出了攻击阶段表301的结构。
攻击阶段表301是阶段串生成部1002解析来自日志服务器111的日志数据,依照在信息系统中发生的事态的发生模式而生成的表。
攻击阶段表301具有设备ID701、阶段串702、最大阶段703、更新日期时间704、过去事例ID705、事例相似度706、情景ID707和情景相似度708。
在设备ID701的栏中,通常示出PC 112的IP(Internet Protocol:互联网协议)地址(设备ID701不限于IP地址,只要是能够唯一标识PC即可,也可以是MAC(Media AccessControl:介质访问控制)地址等)。
在阶段串702的栏中,示出按发生顺序将与通过日志数据的解析提取出的各事态对应的阶段404的值连接起来得到的字符串。
在最大阶段703的栏中,示出阶段串702中的最大值。
在更新日期时间704的栏中,示出阶段串生成部1002最后参照的日志数据中记载的日期时间。
在过去事例ID705的栏中,示出过去事例的过去事例ID501,其是事例相似度706的栏中示出的相似度的计算基础。
在事例相似度706的栏中,示出相似度计算部1003针对阶段串702计算出的过去事例的相似度中的最大相似度。
在情景ID707的栏中示出了攻击情景的情景ID601,其是情景相似度708的栏中示出的相似度的计算基础。
在情景相似度708的栏中,示出相似度计算部1003针对阶段串702计算出的攻击情景的相似度中的最大相似度。
图10示出了安全威胁分布画面的画面例。
安全威胁分布画面801具有阶段显示802、合计数显示803、过去事例显示选择框804、攻击情景显示选择框805和相似度显示区域806。
阶段显示802显示阶段名。
合计数显示803显示属于该阶段的设备的合计数。
过去事例显示选择框804是用于选择显示与过去事例的相似性的复选框。
攻击情景显示选择框805是用于选择显示与攻击情景的相似性的复选框。
相似度显示区域806依照相似度,显示属于该阶段的设备。
安全威胁分布画面801由攻击状况可视化部1004生成,并由输出部1006显示。
在相似度显示区域806中,△表示与过去事例的相似度,□表示与攻击情景的相似度。
△和□分别表示PC 112。
相似度显示区域806的横轴示出相似度的值(0.0~1.0),纵轴示出PC 112的个数。
在安全威胁分布画面801中,针对攻击阶段表(图9)的每一个设备ID,在与最大阶段703的值对应的阶段的相似度显示区域806内,在与事例相似度706的值对应的位置处描绘△,在与情景相似度708的值对应的位置处描绘□。
例如,在图9的第一行的记录(设备ID:ID1)中,最大阶段703为“3”,事例相似度706为“0.57”,因此,例如在图10的标号807的位置处描绘△(在图10中,阶段3的攻击情景显示选择框805未被选中,因此,不显示关于情景相似度708的“0.66”的□)。
同样,在图9的第二行的记录(设备ID:ID2)中,最大阶段703为“2”,事例相似度706为“0.57”,因此,例如在图10的标号808的位置处描绘△(在图10中,阶段2的攻击情景显示选择框805未被选中,因此,不显示关于情景相似度708的“0.5”的□)。
这样,在安全威胁分布画面801中,描绘按每一PC 112提取出的最大阶段703与最大相似度(事例相似度706、情景相似度708)之间的关系,显示示出多个PC 112中的最大阶段703与最大相似度的分布的曲线图,由此,能够将对信息系统的攻击的进展状况可视化。
图11示出了安全成长过程显示画面的画面例。
安全成长过程显示画面901具有成长过程显示区域902和相似度显示903,其中,在成长过程显示区域902中,使关于特定设备的事态的发生过程与相似的过去事例的发生过程一并显示,在相似度显示903中,显示这些发生过程的相似度。
即,在安全成长过程显示画面901中,在成长过程显示区域902中,以曲线图显示特定的PC 112的阶段串702中的阶段值的变化和过去事例ID705中示出的过去事例的阶段串603中的阶段值的变化。
此外,在相似度显示903中,示出该PC 112的事例相似度706的值。
在图11中,示出使关于特定设备的事态的发生过程与相似的过去事例的发生过程一并显示的例子,也可以使关于特定设备的事态的发生过程与相似的攻击情景的发生过程一并显示。
在安全成长过程显示画面901中,通过这样的形式,将对信息系统的攻击的进展状况可视化。
接下来,对动作进行说明。
普通用户使用PC 112,访问认证服务器113,在进行基于用户ID和密码的认证之后,访问文件服务器114。
此外,该用户使用PC 112,访问邮件服务器115,进行邮件的读写。
此外,该用户使用PC 112,经由网络代理117、进而经由防火墙118访问互联网119。
在普通用户的这些操作中,PC 112、认证服务器113、文件服务器114、邮件服务器115、网络代理117、防火墙118输出规定的日志数据(以下也简称作日志)。
此外,IDS/IPS 116在LAN 110上观测到与规定条件相符的包的通信的情况下,输出规定的日志数据。
这些设备的日志数据被传送到日志服务器111,在日志服务器111中,依照日志数据中记载的时刻的时间顺序进行记录。
在威胁可视化系统100中,硬盘104上保存的威胁可视化程序204从硬盘104经由总线109被装载到RAM 102上,并由CPU 101执行。
威胁可视化程序204经由LAN 110,依次取出日志服务器111中按时间顺序记录的日志。
来自日志服务器111的日志包含关于所记录的各发生事态的事态发生日期时间、日志类别、事态ID、装置ID和事态说明。
事态发生日期时间示出发生日志中记录的事态的日期时间。
日志类别示出发生日志中记录的事态的设备的类别。
事态ID示出能够唯一标识各发生事态的类别的ID。
装置ID示出唯一标识发生了事态的装置的ID。
此外,在记录有包等的通过的日志的情况下,包含发送来源的装置ID和发送目的地的装置ID这两个装置ID。
事态说明示出关于发生的各事态的详细情况的说明。
图12示出了针对取出的日志中记录的发生事态,一个一个地由威胁可视化系统100执行处理的大致流程。
关于图12所示的步骤S1001~S1003的处理,例如以5分钟为周期反复执行。
此外,5分钟周期只是示例,可根据信息系统的规模及/或安全策略设为任意的周期。
此外,在图12~图18的流程图中,作为阶段串生成部1002、相似度计算部1003和攻击状况可视化部1004的动作,对处理步骤进行说明。
此外,在图13~图18中说明的变量值及计数器值例如在CPU 101的寄存器或RAM102管理。
在步骤S1001中,基于阶段串生成部1002取出的日志中记录的发生事态,生成关于PC 112的攻击阶段串(详细情况将后述)。
接下来,在步骤S1002中,相似度计算部1003计算在步骤S1001中生成的攻击阶段串与过去事例的相似度、在步骤S1001中生成的攻击阶段串与攻击情景的相似度。
此外,在步骤S1003中,攻击状况可视化部1004将在步骤S1001中生成的攻击阶段串和在步骤S1002中计算出的相似度显示在显示器105上。
在图13中,对步骤S1001的处理进行详细说明。
在步骤S2001中,阶段串生成部1002判定关于与取出的日志中记录的发生事态的装置ID匹配的PC 112的最大阶段703是否为0。
当在步骤S2001中判定为最大阶段703为0的情况下,阶段串生成部1002执行步骤S2004。
当在步骤S2001中判定为最大阶段703不为0的情况下,在步骤S2002中,阶段串生成部1002判定事态发生日期时间与关于PC 112的更新日期时间704之差是否为T1以上。
当在步骤S2002中判定为日期时间之差为T1以上的情况下,在步骤S2003中,阶段串生成部1002对攻击阶段表301上的关于PC 112的记录进行初始化。
具体而言,阶段串生成部1002将阶段串702更新为0,将最大阶段703更新为0,将更新日期时间704更新为没有记录(-)。
当在步骤S2002中判定为日期时间之差小于T1的情况下,阶段串生成部1002执行步骤S2004。
在步骤S2004中,阶段串生成部1002通过事态ID402判定在攻击事态表201中是否存在与取出的日志中记录的发生事态的事态ID一致的事态ID。
当在步骤S2004中判定为在攻击事态表201中不存在与日志中记录的发生事态的事态ID一致的事态ID的情况下,阶段串生成部1002结束处理。
另一方面,当在步骤S2004中判定为在攻击事态表201中存在与日志中记录的发生事态的事态ID一致的事态ID的情况下,在步骤S2005中,阶段串生成部1002将匹配的事态的阶段值追加到攻击阶段表301上的关于PC 112的记录的阶段串702的最后。
接下来,在步骤S2006中,阶段串生成部1002对从攻击事态表201得到的之前的阶段值与攻击阶段表301上的关于PC 112的记录的最大阶段703进行比较。
当在步骤S2006中阶段值不大于最大阶段703的情况下,在步骤S2008中,阶段串生成部1002将攻击阶段表301上的关于PC 112的记录的更新日期时间704置换为发生事态的事态发生日期时间而进行更新,并结束处理。
另一方面,当在步骤S2006中阶段值大于最大阶段703的情况下,在步骤S2007中,阶段串生成部1002将攻击阶段表301上的关于PC 112的记录的最大阶段703置换为该阶段值而进行更新,然后执行步骤S2008。
在图14中,对步骤S1002的处理进行详细说明。
在步骤S3001中,相似度计算部1003分别将过去事例表202的用于存储过去事例ID501的变量A初始化为作为最初ID的0001,将用于存储相似度的变量B初始化为0。
接下来,在步骤S3002中,相似度计算部1003计算变量A的过去事例ID的阶段串503与PC 112的阶段串702之间的相似度S。
具体而言,在设Levenshtein编辑距离计算函数为D、变量A的过去事例ID的阶段串503为P1、PC 112的阶段串702为P2的情况下,按下式来进行相似度S的计算,其中,在Levenshtein编辑距离计算函数中,将插入、删除、置换作为1次编辑操作来计算两个字符串之间的编辑距离。
而且,在下式中,|x|为字符串x的长度,Max()是返回多个自变量中的最大自变量值的函数。
[式1]
接下来,在步骤S3003中,相似度计算部1003判定在步骤S3002中计算出的相似度S是否大于变量B的相似度。
当在步骤S3003中判定为相似度S大于变量B的相似度的情况下,在步骤S3004中,相似度计算部1003将攻击阶段表301中的关于PC 112的事例相似度706和变量B更新为相似度S,将攻击阶段表301中的关于PC 112的过去事例ID705更新为变量A。
接下来,在步骤S3005中,相似度计算部1003检查变量A是否是过去事例表202的最后的过去事例ID,在不是最后的过去事例ID的情况下,在步骤S3006中将变量A更新为过去事例表202的下一过去事例ID,反复进行步骤S3002以后的处理。
另一方面,当在步骤S3005中变量A是过去事例表202的最后的过去事例ID的情况下,接着执行步骤S3007。
在步骤S3007中,相似度计算部1003分别将用于存储攻击情景表203的情景ID601的变量C初始化为作为最初的ID的0001,将用于存储相似度的变量E初始化为0。
接下来,在步骤S3008中,相似度计算部1003计算变量C的情景ID的阶段串603与PC112的阶段串702之间的相似度S。
关于相似度S的计算,利用与步骤S3002相同的式子进行计算。
接下来,在步骤S3009中,相似度计算部1003判定在步骤S3008中计算出的相似度S是否大于变量E的相似度。
当在步骤S3009中判定为相似度S大于变量E的相似度的情况下,在步骤S3010中,相似度计算部1003将攻击阶段表301中的关于PC 112的情景相似度708和变量E更新为相似度S,将攻击阶段表301中的关于PC 112的情景ID707更新为变量C的值。
接下来,在步骤S3011中,相似度计算部1003检查变量C是否是攻击情景表203的最后的情景ID,在不是最后的情景ID的情况下,在步骤S3012中,将变量C更新为攻击情景表203的下一情景ID,反复进行步骤S3008以后的处理。
另一方面,当在步骤S3011中变量C为攻击情景表203的最后的情景ID的情况下,结束处理。
在图15~图17中,对步骤S1003的处理进行详细说明。
在步骤S4001中,攻击状况可视化部1004将设备ID用变量F设置为0001,将4个计数器N1~N4初始化为0(图15)。
接下来,在步骤S4002中,攻击状况可视化部1004检查变量F的设备ID是否大于最后的设备ID(图15)。
当在步骤S4002中变量F的设备ID大于最后的设备ID的情况下,在步骤S4025中,攻击状况可视化部1004在阶段1到阶段4的合计显示803中显示计数器N1~N4的值(图15)。
当在步骤S4002中变量F的设备ID不大于最后的设备ID的情况下,在步骤S4003中,根据最大阶段703的值,改变接下来的处理。
在最大阶段703为1的情况下,在步骤S4004中,攻击状况可视化部1004确认阶段1的过去事例显示选择框804是否被选中(图16)。
当在步骤S4004中确认到过去事例显示选择框804被选中的情况下,在步骤S4005中,攻击状况可视化部1004在与阶段1的相似度显示区域806内的事例相似度706的值对应的位置处描绘‘△’(图16)。
接下来,在步骤S4006中,攻击状况可视化部1004确认阶段1的攻击情景显示选择框805是否被选中(图16)。
当在步骤S4006中攻击情景显示选择框805被选中的情况下,在步骤S4007中,攻击状况可视化部1004在与阶段1的相似度显示区域806内的情景相似度708的值对应的位置处描绘‘□’(图16)。
接下来,在步骤S4008中,攻击状况可视化部1004使计数器N1加1(图16)。
然后,在步骤S4024中,攻击状况可视化部1004使存储了设备ID的变量F加1,反复进行步骤S4002以后的处理。
在步骤S4003中,在最大阶段为2、3、4的情况下,也进行如图16和图17所示那样相同的处理。
在最大阶段为2、3、4的情况下,攻击状况可视化部1004的动作也相同,因此省略说明。
另一方面,当在步骤S4003中最大阶段为0的情况下,在步骤S4024中,攻击状况可视化部1004使存储了设备ID的变量F加1,反复进行步骤S4002以后的处理。
在图18中,说明了安全成长过程显示画面901进行显示时的处理,其中,该安全成长过程显示画面901在利用鼠标107选择了图10的安全威胁分布显示中显示的△或□时显示。
在步骤S5001中,攻击状况可视化部1004从攻击阶段表301取得与所选择的设备ID相关的阶段串702。
接下来,在步骤S5002中,攻击状况可视化部1004依照之前取得的阶段串702,在成长过程显示区域902中显示曲线图。
接下来,在步骤S5003中,攻击状况可视化部1004检查所选择的是否为过去事例。
在通过步骤S5003的选中而选择出的是过去事例的情况下,在步骤S5004中,攻击状况可视化部1004从攻击阶段表301取得与选择出的设备ID相关的过去事例ID705。
接下来,在步骤S5005中,攻击状况可视化部1004从过去事例表202取得与过去事例ID705对应的阶段串503。
接下来,在步骤S5006中,攻击状况可视化部1004依照阶段串503,在成长过程显示区域902中显示曲线图。
接下来,在步骤S5007中,攻击状况可视化部1004将事例相似度706显示在相似度显示903中,结束处理。
当在步骤S5003中选择的不是过去事例的情况下,攻击状况可视化部1004执行步骤S5008~步骤S5011的处理,依照阶段串603,在成长过程显示区域902中显示曲线图,在相似度显示903中显示情景相似度708(处理与步骤S5004~S5007相同,因而省略说明)。
如上所述,在本实施方式的威胁可视化系统中,将威胁的成长过程划分成攻击阶段,根据与过去的事例及攻击情景之间的相似性,以可视化方式进行显示,因此,用户能够基于相似性来判断威胁程度。
此外,在本实施方式的威胁可视化系统中,以可视化方式显示威胁的成长过程,因此,用户能够掌握威胁以怎样的程度成长。
以上,在本实施方式中,对如下的威胁可视化方式进行了说明:使用攻击事态表和过去事例表,针对每一阶段,根据与过去事例的相似度来显示进展中的威胁,其中,在所述攻击事态表中,将威胁划分成攻击阶段,在所述过去事例表中,将在过去事例中发生的事态划分成攻击阶段来进行记录。
此外,在本实施方式中,对如下的威胁可视化方法进行了说明:使用攻击事态表和攻击情景表,针对每一阶段,根据与攻击情景的相似度来显示进展中的威胁,其中,在所述攻击事态表中,将威胁划分成攻击阶段,在攻击情景表中,根据攻击情景将发生的事态划分成攻击阶段来进行记录。
此外,在本实施方式中,对如下的威胁可视化方法进行了说明:按照入侵攻击的每一阶段,对发生进展中的威胁的设备进行合计并显示。
此外,在本实施方式中,对如下的威胁可视化方法进行了说明:将威胁的成长过程与相似的过去事例的成长过程一并利用曲线图进行显示。
此外,在本实施方式中,对如下的威胁可视化方法进行了说明:将威胁的成长过程与相似的攻击情景的成长过程一并利用曲线图进行显示。
标号说明
100 威胁可视化系统,1001 表存储部,1002 阶段串生成部,1003 相似度计算部,1004 攻击状况可视化部,1005 输入部,1006 输出部,1007 通信部。
Claims (9)
1.一种信息处理装置,其特征在于,该信息处理装置具有:
攻击事态表存储部,其存储攻击事态表,在该攻击事态表中,针对因对信息系统的攻击而发生的多个事态中的各个事态示出发生各个事态时的攻击的进展度,其中,所述攻击的进展度是指基于将威胁的成长过程划分成多个攻击阶段,对所述信息系统的攻击所处的攻击阶段的阶段值;
攻击事态进展度串表存储部,其存储攻击事态进展度串表,在该攻击事态进展度串表中,依照攻击序列中的事态的发生模式,将对应的事态的进展度连接起来得到的字符串作为攻击事态进展度串示出;
发生事态进展度串导出部,其依照在所述信息系统中发生的事态的发生模式,将对应的事态的进展度连接起来,导出作为字符串的发生事态进展度串;
相似度计算部,其计算由所述发生事态进展度串导出部导出的发生事态进展度串与所述攻击事态进展度串表中示出的攻击事态进展度串之间的相似度;以及
攻击状况可视化部,其根据由所述发生事态进展度串导出部得到的发生事态进展度串和所述相似度计算部的相似度计算结果,将对所述信息系统的攻击的进展状况可视化。
2.根据权利要求1所述的信息处理装置,其特征在于,
所述攻击事态进展度串表存储部存储攻击事态进展度串表,在该攻击事态进展度串表中,针对多个攻击序列中的各个攻击序列,依照各个攻击序列中的事态的发生模式,将对应的事态的进展度连接起来得到的字符串作为攻击事态进展度串示出,
所述相似度计算部计算由所述发生事态进展度串导出部导出的发生事态进展度串与所述攻击事态进展度串表中示出的多个攻击事态进展度串中的各个攻击事态进展度串之间的相似度,
所述攻击状况可视化部从由所述发生事态进展度串导出部导出的发生事态进展度串中包含的进展度中提取最大进展度,从由所述相似度计算部计算出的多个相似度中提取最大相似度,使用提取出的最大进展度和最大相似度,将对所述信息系统的攻击的进展状况可视化。
3.根据权利要求2所述的信息处理装置,其特征在于,
所述信息处理装置以包含多个终端装置的信息系统为对象,
所述发生事态进展度串导出部针对所述信息系统中包含的每一个终端装置,依照在各个终端装置中发生的事态的发生模式,将对应的事态的进展度连接起来,导出作为字符串的发生事态进展度串,
所述相似度计算部针对每一个终端装置,计算由所述发生事态进展度串导出部导出的发生事态进展度串与所述攻击事态进展度串表中示出的多个攻击事态进展度串中的各个攻击事态进展度串之间的相似度,
所述攻击状况可视化部针对每一个终端装置,从由所述发生事态进展度串导出部导出的发生事态进展度串中包含的进展度中提取最大进展度,针对每一个终端装置,从由所述相似度计算部计算出的多个相似度中提取最大相似度,针对每一个终端装置,使用提取出的最大进展度和最大相似度,将对所述信息系统的攻击的进展状况可视化。
4.根据权利要求3所述的信息处理装置,其特征在于,
所述攻击状况可视化部描绘针对每一个终端装置提取出的最大进展度与最大相似度之间的关系,对示出所述多个终端装置中的最大进展度与最大相似度的分布的曲线图进行显示,而将对所述信息系统的攻击的进展状况可视化。
5.根据权利要求4所述的信息处理装置,其特征在于,
所述攻击状况可视化部按照每个进展度显示该进展度为最大进展度的终端装置的数量,而将对所述信息系统的攻击的进展状况可视化。
6.根据权利要求1所述的信息处理装置,其特征在于,
所述信息处理装置以包含多个终端装置的信息系统为对象,
所述攻击事态进展度串表存储部存储攻击事态进展度串表,在该攻击事态进展度串表中,针对多个攻击序列中的各个攻击序列,依照各个攻击序列中的事态的发生模式,将对应的事态的进展度连接起来得到的字符串作为攻击事态进展度串示出,
所述发生事态进展度串导出部针对所述信息系统中包含的每一个终端装置,依照在各个终端装置中发生的事态的发生模式,将对应的事态的进展度连接起来,导出作为字符串的发生事态进展度串,
所述相似度计算部针对每一个终端装置,计算由所述发生事态进展度串导出部得到的发生事态进展度串与所述攻击事态进展度串表中示出的多个攻击事态进展度串中的各个攻击事态进展度串之间的相似度,
所述攻击状况可视化部在对特定的终端装置计算出的多个相似度中,选择在最大相似度的计算中使用的攻击事态进展度串,对示出所述特定的终端装置的发生事态进展度串中的进展度的变化和选择出的攻击事态进展度串中的进展度的变化的曲线图进行显示,而将对所述信息系统的攻击的进展状况可视化。
7.根据权利要求1所述的信息处理装置,其特征在于,
所述攻击事态进展度串表存储部存储攻击事态进展度串表,在该攻击事态进展度串表中,针对过去的攻击的攻击序列示出攻击事态进展度串。
8.根据权利要求1所述的信息处理装置,其特征在于,
所述攻击事态进展度串表存储部存储攻击事态进展度串表,在该攻击事态进展度串表中,针对设想的攻击的攻击序列示出攻击事态进展度串。
9.一种信息处理方法,其是计算机执行的信息处理方法,该计算机具有:
攻击事态表存储部,其存储攻击事态表,在该攻击事态表中,针对因对信息系统的攻击而发生的多个事态中的各个事态示出发生各个事态时的攻击的进展度,其中,所述攻击的进展度是指基于将威胁的成长过程划分成多个攻击阶段,对所述信息系统的攻击所处的攻击阶段的阶段值;以及
攻击事态进展度串表存储部,其存储攻击事态进展度串表,在该攻击事态进展度串表中,依照攻击序列中的事态的发生模式,将对应的事态的进展度连接起来得到的字符串作为攻击事态进展度串示出,
其特征在于,所述信息处理方法具有如下步骤:
所述计算机依照在所述信息系统中发生的事态的发生模式,将对应的事态的进展度连接起来,导出作为字符串的发生事态进展度串;
所述计算机计算导出的发生事态进展度串与所述攻击事态进展度串表中示出的攻击事态进展度串之间的相似度;以及
所述计算机根据导出的发生事态进展度串和相似度的计算结果,将对所述信息系统的攻击的进展状况可视化。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012205836 | 2012-09-19 | ||
JP2012-205836 | 2012-09-19 | ||
PCT/JP2013/073197 WO2014045827A1 (ja) | 2012-09-19 | 2013-08-29 | 情報処理装置及び情報処理方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104620252A CN104620252A (zh) | 2015-05-13 |
CN104620252B true CN104620252B (zh) | 2017-06-23 |
Family
ID=50341149
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380046779.4A Expired - Fee Related CN104620252B (zh) | 2012-09-19 | 2013-08-29 | 信息处理装置及信息处理方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US20150205956A1 (zh) |
EP (1) | EP2899665B1 (zh) |
JP (1) | JP5868514B2 (zh) |
CN (1) | CN104620252B (zh) |
WO (1) | WO2014045827A1 (zh) |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6677169B2 (ja) * | 2014-12-10 | 2020-04-08 | 日本電気株式会社 | 通信監視システム、重要度算出装置及びその算出方法、提示装置、並びにコンピュータ・プログラム |
US10805337B2 (en) * | 2014-12-19 | 2020-10-13 | The Boeing Company | Policy-based network security |
JP6285390B2 (ja) * | 2015-04-22 | 2018-02-28 | 株式会社日立製作所 | サイバー攻撃分析装置及びサイバー攻撃分析方法 |
US20190018959A1 (en) * | 2015-12-09 | 2019-01-17 | Nec Corporation | Diagnosis device, diagnosis method, and non-transitory recording medium |
US10754719B2 (en) | 2015-12-09 | 2020-08-25 | Nec Corporation | Diagnosis device, diagnosis method, and non-volatile recording medium |
JP2017129894A (ja) * | 2016-01-18 | 2017-07-27 | 三菱電機株式会社 | サイバー攻撃検知システム |
US20170272453A1 (en) * | 2016-03-15 | 2017-09-21 | DataVisor Inc. | User interface for displaying network analytics |
US9973522B2 (en) * | 2016-07-08 | 2018-05-15 | Accenture Global Solutions Limited | Identifying network security risks |
JP6786959B2 (ja) | 2016-08-26 | 2020-11-18 | 富士通株式会社 | サイバー攻撃分析支援プログラム、サイバー攻撃分析支援方法およびサイバー攻撃分析支援装置 |
KR102152218B1 (ko) * | 2016-12-16 | 2020-09-07 | 미쓰비시덴키 가부시키가이샤 | 검색 시스템 |
JP6671557B2 (ja) * | 2017-09-21 | 2020-03-25 | 三菱電機株式会社 | アラート頻度制御装置およびアラート頻度制御プログラム |
GB201812171D0 (en) * | 2018-07-26 | 2018-09-12 | Senseon Tech Ltd | Cyber defence system |
JP6984761B2 (ja) * | 2018-10-10 | 2021-12-22 | 日本電信電話株式会社 | 情報処理装置及び情報処理プログラム |
JP7283315B2 (ja) * | 2019-09-10 | 2023-05-30 | 沖電気工業株式会社 | 異常検知装置、異常検知プログラム、及び異常検知方法 |
WO2021059520A1 (ja) * | 2019-09-27 | 2021-04-01 | 日本電気株式会社 | 分析システム、方法およびプログラム |
US20240086523A1 (en) * | 2019-10-28 | 2024-03-14 | Nec Corporation | Information processing device, display method, and non-transitory computer readable medium |
WO2023228399A1 (ja) * | 2022-05-27 | 2023-11-30 | 三菱電機株式会社 | セキュリティ分析装置、セキュリティ分析方法及びセキュリティ分析プログラム |
US20240061937A1 (en) * | 2022-08-16 | 2024-02-22 | Upsight Security Inc. | Anti-malware behavioral graph engines, systems and methods |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6681331B1 (en) * | 1999-05-11 | 2004-01-20 | Cylant, Inc. | Dynamic software system intrusion detection |
CN102236764A (zh) * | 2011-06-30 | 2011-11-09 | 北京邮电大学 | 用于Android系统的抵御桌面信息攻击的方法和监控系统 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0985995B1 (en) * | 1998-09-09 | 2003-08-13 | International Business Machines Corporation | Method and apparatus for intrusion detection in computers and computer networks |
WO2001084285A2 (en) | 2000-04-28 | 2001-11-08 | Internet Security Systems, Inc. | Method and system for managing computer security information |
JP4190765B2 (ja) * | 2002-01-18 | 2008-12-03 | 株式会社コムスクエア | セキュリティレベル情報提供方法及びシステム |
JP2004054706A (ja) * | 2002-07-22 | 2004-02-19 | Sofutekku:Kk | セキュリティリスク管理システム、そのプログラムおよび記録媒体 |
US7324108B2 (en) * | 2003-03-12 | 2008-01-29 | International Business Machines Corporation | Monitoring events in a computer network |
JP3999188B2 (ja) * | 2003-10-28 | 2007-10-31 | 富士通株式会社 | 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム |
US8539546B2 (en) * | 2010-10-22 | 2013-09-17 | Hitachi, Ltd. | Security monitoring apparatus, security monitoring method, and security monitoring program based on a security policy |
JP5832951B2 (ja) * | 2012-04-27 | 2015-12-16 | 日本電信電話株式会社 | 攻撃判定装置、攻撃判定方法及び攻撃判定プログラム |
-
2013
- 2013-08-29 US US14/420,079 patent/US20150205956A1/en not_active Abandoned
- 2013-08-29 WO PCT/JP2013/073197 patent/WO2014045827A1/ja active Application Filing
- 2013-08-29 CN CN201380046779.4A patent/CN104620252B/zh not_active Expired - Fee Related
- 2013-08-29 JP JP2014536717A patent/JP5868514B2/ja not_active Expired - Fee Related
- 2013-08-29 EP EP13839403.6A patent/EP2899665B1/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6681331B1 (en) * | 1999-05-11 | 2004-01-20 | Cylant, Inc. | Dynamic software system intrusion detection |
CN102236764A (zh) * | 2011-06-30 | 2011-11-09 | 北京邮电大学 | 用于Android系统的抵御桌面信息攻击的方法和监控系统 |
Also Published As
Publication number | Publication date |
---|---|
EP2899665A4 (en) | 2016-05-25 |
WO2014045827A1 (ja) | 2014-03-27 |
JP5868514B2 (ja) | 2016-02-24 |
CN104620252A (zh) | 2015-05-13 |
US20150205956A1 (en) | 2015-07-23 |
EP2899665A1 (en) | 2015-07-29 |
JPWO2014045827A1 (ja) | 2016-08-18 |
EP2899665B1 (en) | 2020-03-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104620252B (zh) | 信息处理装置及信息处理方法 | |
Pan et al. | On the risk of misinformation pollution with large language models | |
Mao et al. | BaitAlarm: detecting phishing sites using similarity in fundamental visual features | |
Kara et al. | The rise of ransomware: Forensic analysis for windows based ransomware attacks | |
US20130067572A1 (en) | Security event monitoring device, method, and program | |
WO2009131469A1 (en) | Fraudulent page detection | |
CN101447991A (zh) | 用于测试入侵检测系统的测试装置及测试方法 | |
CN109155774A (zh) | 用于检测安全威胁的系统和方法 | |
Gashi et al. | An experimental study of diversity with off-the-shelf antivirus engines | |
Holt | Understanding the state of criminological scholarship on cybercrimes | |
CN106973051B (zh) | 建立检测网络威胁模型的方法、装置和存储介质 | |
JP2018196054A (ja) | 評価プログラム、評価方法および情報処理装置 | |
Beltzung et al. | Real-time detection of fake-shops through machine learning | |
CN115134147A (zh) | 电子邮件检测方法及装置 | |
CN105069158B (zh) | 数据挖掘方法及系统 | |
Elshoush et al. | Intrusion alert correlation framework: An innovative approach | |
Jeyaraj et al. | Cybersecurity threats and organisational response: textual analysis and panel regression | |
Li et al. | Defending against insertion-based textual backdoor attacks via attribution | |
Wortman et al. | SMART: security model adversarial risk-based tool for systems security design evaluation | |
Schmerl et al. | Explorative visualization of log data to support forensic analysis and signature development | |
Huang et al. | A game theoretic approach for inspecting web-based malvertising | |
Abraham et al. | A survey on preventing crypto ransomware using machine learning | |
Vlachos et al. | The SAINT observatory subsystem: an open-source intelligence tool for uncovering cybersecurity threats | |
Team | Unintentional insider threats: A review of phishing and malware incidents by economic sector | |
De Faveri et al. | Visual modeling of cyber deception |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170623 Termination date: 20200829 |