CN105359139A - 安全信息管理系统及安全信息管理方法 - Google Patents
安全信息管理系统及安全信息管理方法 Download PDFInfo
- Publication number
- CN105359139A CN105359139A CN201480035891.2A CN201480035891A CN105359139A CN 105359139 A CN105359139 A CN 105359139A CN 201480035891 A CN201480035891 A CN 201480035891A CN 105359139 A CN105359139 A CN 105359139A
- Authority
- CN
- China
- Prior art keywords
- security information
- keyword
- classification
- calculating part
- degree
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2115—Third party
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2151—Time stamp
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
在安全信息管理系统(10)中收集有关安全的信息即安全信息。并且,安全信息管理系统(10)参照按照每个属性存储有关安全的关键词的安全辞典,从作为比较与安全信息之间的关联性的基准的参照源安全信息中提取关键词,将该提取的关键词和所收集的安全信息中包含的关键词进行比较,来计算参照源安全信息和安全信息之间的关联度。并且,所计算出的关联度越高的安全信息,安全信息管理系统(10)越优先输出。
Description
技术领域
本发明涉及安全信息管理系统及安全信息管理方法。
背景技术
以往,在具有信息系统资产的组织中,为了使稳定的组织活动持续进行,信息系统资产的管理员(以下记述为系统管理员)收集并掌握与所属组织和管理对象的信息系统资产的关联性较高的安全信息,以便在发现重大的威胁时能够迅速应对。
关于这样的安全信息,由安全研究机构和安全运营商等通过因特网上的信息提供服务器等不断地公开新的信息。关于在因特网上公开的安全信息,例如公知有构成信息系统的软件和硬件的安全方面的缺陷、有关其对策方法的信息等。
例如作为收集/提供安全信息的方法,例如公知有关于安全信息中的脆弱性信息收集在因特网上的信息提供服务器中公开的脆弱性信息的方法(参照专利文献1)。在该方法中,通过进行基于所收集的多个脆弱性信息的参照关系等关系性的汇集、所汇集的脆弱性信息与系统管理员管理的信息系统资产的关联性的判定,系统管理员汇集并提供应该优先浏览的脆弱性信息。
【现有技术文献】
【专利文献】
【专利文献1】日本专利第4935399号公报
发明内容
发明要解决的问题
但是,在上述的收集/提供安全信息的方法中,对于脆弱性信息以外的安全信息不能判定关联性并提供给系统管理员。因此,存在如下问题:系统管理员有时不能容易地收集与作为参照基准的参照源安全信息之间的关联性较高的安全信息。
例如,在将某个安全信息作为参照源安全信息、并以该参照源安全信息中包含的关键词为线索使用在因特网上提供的检索引擎等进行收集的情况下,在系统管理员不具备有关安全的知识时,将不能选择恰当的关键词,不能收集关联性较高的安全信息。
另外,在以该参照源安全信息中包含的关键词为线索使用在因特网上提供的检索引擎等进行收集时,即使是系统管理员具备有关安全的知识的情况下,根据输入到检索引擎的关键词,也会以混合存在许多关联性较低的安全信息和安全信息以外的一般信息的状态,提示检索结果,判别关联性较高的安全信息需要许多功夫。
因此,本发明的目的在于,容易地收集与参照源安全信息之间的关联性较高的安全信息。
用于解决问题的手段
为了解决上述问题并达到目的,本发明的安全信息管理系统的特征在于具有:收集部,其收集有关安全的信息即安全信息;计算部,其参照按照每个属性存储有关所述安全的关键词的安全辞典,从作为比较与所述安全信息之间的关联性的基准的参照源安全信息中提取关键词,将该提取的关键词和由所述收集部收集的安全信息中包含的关键词进行比较,来计算所述参照源安全信息和所述安全信息之间的关联度;以及输出部,由所述计算部计算出的关联度越高的安全信息,越由该输出部优先输出。
另外,安全信息管理方法由安全信息管理装置执行,该安全信息管理方法的特征在于包括:收集步骤,收集有关安全的信息即安全信息;计算步骤,参照按照每个属性存储有关所述安全的关键词的安全辞典,从作为比较与所述安全信息之间的关联性的基准的参照源安全信息中提取关键词,将该提取的关键词和通过所述收集步骤收集的安全信息中包含的关键词进行比较,来计算所述参照源安全信息和所述安全信息之间的关联度;以及输出步骤,通过所述计算步骤计算出的关联度越高的安全信息,在该输出步骤中越优先输出。
发明效果
本发明公开的安全信息管理系统和安全信息管理方法能够容易收集与参照源安全信息之间的关联性较高的安全信息。
附图说明
图1是示出第一实施方式的安全信息管理系统的结构的一例的图。
图2是示出通过第一实施方式的安全辞典存储部的安全辞典而提取的信息的一例的图。
图3是示出通过第一实施方式的安全信息蓄积部存储的信息的一例的图。
图4是说明安全信息关联性计算部的脆弱性分数计算处理的一例的图。
图5是用于说明第一实施方式的安全信息管理装置的安全信息提供处理的流程的流程图。
图6是示出执行安全信息管理程序的计算机的图。
具体实施方式
下面,参照附图详细说明本发明的安全信息管理系统及安全信息管理方法的实施方式。另外,本发明不受该实施方式限定。
[第一实施方式]
在以下的实施方式中顺序地说明第一实施方式的安全信息管理系统及安全信息管理方法的处理的流程,最后说明第一实施方式的效果。
[系统的结构]
首先,说明应用第一实施方式的安全信息管理装置的安全信息管理系统100的结构的一例。图1是示出第一实施方式的安全信息管理系统的结构的一例的图。如图1所示,应用第一实施方式的安全信息管理装置10的安全信息管理系统100具有安全信息管理装置10、安全信息提供服务器20、和客户端终端30。并且,在安全信息管理系统100中,安全信息管理装置10和安全信息提供服务器20通过因特网40相连接。安全信息管理装置10通过输入输出接口部15与客户端终端30连接。
安全信息提供服务器20是公开安全信息的服务器。例如,安全信息提供服务器20公开构成信息系统的软件和硬件的安全方面的缺陷(例如,有时表述为“脆弱性”、“安全漏洞”等)、和有关其对策方法的文本信息(以下称为脆弱性信息),作为安全信息。
另外,例如作为安全信息,安全信息提供服务器20公开上述的安全方面的缺陷的恶意使用技术(有时表述为“PoC(ProofofConcept:为观点提供证据)”、“利用(Exploit)”等)、和有关其对策方法的文本信息。
此外,例如作为安全信息,安全信息提供服务器20公开使用上述的恶意使用技术生成的、以对第三者的信息系统产生危害为目的的恶性程序(有时表述为“(计算机)病毒”、“恶意软件”等)、和有关其对策方法的文本信息。
此外,例如作为安全信息,安全信息提供服务器20公开使用上述的恶性程序执行的、对其它组织的信息系统的攻击(有时表述为“标的型攻击”、“APT(AdvancedPersistentThreat:高持续性威胁)攻击”、“网站攻击”等)的新闻和事例相关的文本信息。
客户端终端30是便于系统管理员使用安全信息管理系统100而使用的、搭载了标准的Web浏览器的PC等信息处理装置。另外,客户端终端30从安全信息管理装置10接收与参照源的安全信息的关联性较高的安全信息,并显示该安全信息。
[安全信息管理装置的结构]
下面,说明图1所示的安全信息管理装置10的结构。如图1所示,安全信息管理装置10具有安全信息收集部11、安全信息蓄积部12、安全辞典存储部13、安全辞典管理部14、输入输出接口部15、和安全信息关联性计算部16。
安全信息收集部11收集有关安全的信息即安全信息。具体而言,安全信息收集部11以规定的时间间隔定期访问安全信息提供服务器20并取得安全信息。这些安全信息是作为HTML和PDF等一般的文档文件取得的。并且,安全信息收集部11将所取得的文件加工成规定的格式,赋予追加信息,存储在安全信息蓄积部12中。另外,安全信息收集部11在将所取得的文件加工成规定的格式时,参照安全辞典存储部13。
例如,安全信息收集部11提取文档文件的题目和正文,参照在安全辞典存储部13中存储的安全辞典,提取该题目和正文中包含的关键词。安全信息收集部11设定作为收集对象的安全信息提供服务器20的“URL列表”、系统管理员从每个安全信息提供服务器20以不同格式提供的安全信息中提取需要的“题目”和“正文”用的“剪切位置信息”、表示对安全信息提供服务器20进行收集的定时的“表示时刻和间隔的信息”,作为设定信息。安全信息收集部11根据这些设定信息进行动作。其中,“剪切位置信息”是按每个URL列表定义的信息。
例如,安全信息收集部11在利用设定信息指定的时刻,从利用URL列表指定的安全信息提供服务器20,取得记载了安全信息的HTML文件和PDF等文档文件。并且,安全信息收集部11根据“剪切位置信息”,从所取得的文件中提取该安全信息的“题目”和“正文”。
然后,安全信息收集部11通过与安全辞典的比较,提取包含于所提取的“题目”和“正文”中的关键词,将信息提供服务器的URL、收集文件的时刻、所提取的“题目”和“正文”、所提取的所有关键词存储在安全信息蓄积部12中(以后使用图2详细说明)。然后,安全信息收集部11反复进行上述的处理,一直到对所有的URL列表完成处理为止。
安全信息蓄积部12保存从安全信息收集部11接收到的安全信息和追加信息。并且,安全信息蓄积部12将安全信息关联性计算部16请求的安全信息发送给安全信息关联性计算部16。并且,在安全信息蓄积部12中,作为安全信息的属性,按照脆弱性的类别、产品或者服务的类别、产品的提供商或者服务的提供商的类别、国家或组织的类别、或者服务器攻击的类别,登记了有关安全的关键词。
在此,使用图3的示例说明安全信息蓄积部12存储的信息例。图3是示出通过第一实施方式的安全信息蓄积部存储的信息的一例的图。如图3所示,安全信息蓄积部12对于每个安全信息,按照“脆弱性”、“产品/服务”、“产品/服务提供商”、“国家/组织名称”及“服务器攻击”的类别,存储由安全信息收集部11提取的关键词。
安全辞典存储部13存储在判定安全信息的关联性时参照的、有关安全领域的关键词的集合。在安全辞典存储部13中存储了按照属性存储有关安全的关键词的安全辞典,例如存储脆弱性辞典、产品/服务辞典、产品/服务提供商辞典、国家/组织名称辞典、服务器攻击辞典,作为表示安全信息的特征的关键词的集合。
安全辞典存储部13例如存储缓存上溢、交叉网站脚本等作为脆弱性辞典(包括相应同义词),例如存储Windows(注册商标)7、WindowsServer2012、Twitter(注册商标)等作为产品/服务辞典(包括相应同义词),例如存储Microsoft(注册商标)、Google(注册商标)等作为产品/服务提供商辞典(包括相应同义词),例如存储中国、韩国、众议院、企业名称等作为国家/组织名称辞典(包括相应同义词),例如存储服务器攻击、标的型攻击、标的型邮件、信息泄露、篡改等作为服务器攻击辞典(包括相应同义词)。
另外,对各辞典集合的生成例进行说明。脆弱性辞典是通过专用的网络爬虫等收集对脆弱性进行解释的在国内外的网站上刊载的关键词并进行登记而成的。另外,产品/服务提供商辞典是通过专用的网络爬虫等将在提供脆弱性信息的国内外的网站上登记的产品/服务提供商的名称作为关键词进行收集并登记而成的。另外,产品/服务辞典是通过专用的网络爬虫等将在产品/服务提供商运营的产品介绍网站上登记的产品/服务的名称和版本作为关键词进行收集并登记而成的。另外,国家/组织名称辞典是通过专用的网络爬虫等收集国内外的官方政府机构、上市企业等的列表并进行登记而成的。另外,服务器攻击辞典是通过专用的网络爬虫等收集对服务器攻击的各种手段和方法进行解释的在国内外的网站上刊载的关键词并进行登记而成的。除上述以外,也可以由系统管理员通过安全辞典管理部14手动登记。
在此,使用图2说明通过安全辞典存储部13的安全辞典而提取的信息的一例。图2是示出通过第一实施方式的安全辞典存储部的安全辞典而提取的信息的一例的图。如图2示例的那样,安全信息蓄积部12存储“从信息提供服务器(安全信息提供服务器20)取得的安全信息的文件的URL”、“从信息提供服务器收集安全信息的文件的时刻”、“题目”、“正文”和“关键词”,作为安全信息。“题目”、“正文”和“关键词”是参照在安全辞典存储部13中存储的安全辞典从安全信息的文件中提取的信息。另外,所提取的所有关键词根据各个安全辞典的分类进行存储。此外,在一个关键词也没有提取出来的情况下,对应于关键词的“内容”被存储为空。
安全辞典管理部14对辞典中包含的有关安全领域的关键词进行追加、删除。例如,安全辞典管理部14接受系统管理员的操作指示,对有关安全领域的关键词进行追加、删除。
输入输出接口部15接收来自客户端终端30的请求,作为针对请求的答复,向客户端终端30发送关联性判定的结果。具体而言,输入输出接口部15从系统管理员的客户端终端30接收参照源安全信息、脆弱性分数的阈值、产品/服务分数的阈值、产品/服务提供商分数的阈值、国家/组织名称分数的阈值、和服务器攻击分数的阈值,并向安全信息关联性计算部16发送。
其中,脆弱性分数是指表示在使用“脆弱性辞典”比较参照源安全信息和在安全信息蓄积部12中蓄积的各个安全信息时的关联性的数值。产品/服务分数是指表示在使用“产品/服务辞典”比较参照源安全信息和在安全信息蓄积部12中蓄积的各个安全信息时的关联性的数值。产品/服务提供商分数是指表示在使用“产品/服务提供商辞典”比较参照源安全信息和在安全信息蓄积部12中蓄积的各个安全信息时的关联性的数值。国家/组织名称分数是指表示在使用“国家/组织名称辞典”比较参照源安全信息和在安全信息蓄积部12中蓄积的各个安全信息时的关联性的数值。服务器攻击分数是指表示在使用“服务器攻击辞典”比较参照源安全信息和在安全信息蓄积部12中蓄积的各个安全信息时的关联性的数值。
另外,脆弱性分数的阈值、产品/服务分数的阈值、产品/服务提供商分数的阈值、国家/组织名称分数的阈值以及服务器攻击分数的阈值,是根据上述5种分数对参照源安全信息和在安全信息蓄积部12中蓄积的各个安全信息判定关联性用的指标值。将在安全信息蓄积部12中蓄积的安全信息中具有超过阈值的分数的安全信息,判定为“与参照源安全信息具有关联性”。另外,各个阈值是由系统管理员对上述5种分数分别独立设定的。例如,系统管理员从客户端终端30通过输入输出接口15向安全信息关联性计算部16发送各个阈值。
也可以在参照源安全信息的输入中搭载如下的功能:显示出能够输入任意文本的文本框,并让系统管理员输入。在参照源安全信息的输入中,也可以在客户端终端30的浏览器画面中显示按钮,该按钮用于进行通过单击而向安全信息关联性计算部16发送显示中的安全信息的操作。也可以在各个阈值的输入中搭载如下的功能:将在分数计算式中可取的值显示为选项,并让系统管理员选择。
另外,在各个阈值的输入中也可以搭载如下的功能:预先设定标准的值,在没有来自系统管理员的阈值输入的情况下,设为使用该标准的值,减轻系统管理员每次输入阈值的操作负担。
另外,输入输出接口部15从安全信息关联性计算部16接收分数合计值,将表示与参照源安全信息的关联性的5种分数全部超过所发送的阈值的安全信息,按照合计值从高到低的顺序显示于客户端终端30。另外,也可以搭载如下的功能:在显示时,利用安全信息具有的“从信息提供服务器取得的安全信息的文件的URL”、“从信息提供服务器收集安全信息的文件的时刻”、使用了“安全信息的“题目”和“正文”中包含的关键词”的文件,进一步圈定要显示的安全信息。也可以搭载如下的功能:在显示与参照源安全信息的关联性较高的安全信息后,将所显示的结果以文本文件和PDF等文档文件的形式输出到外部。
安全信息关联性计算部16参照按照属性存储有关安全的关键词的安全辞典存储部13,从作为比较与安全信息之间的关联性的基准的参照源安全信息中提取关键词,将该提取的关键词与由安全信息收集部11收集的安全信息中包含的关键词进行比较,来计算参照源安全信息和安全信息之间的关联度。
安全信息关联性计算部16根据来自输入输出接口部15的请求,取得在安全信息蓄积部12中存储的安全信息,并进行关联性判定。并且,安全信息关联性计算部16将关联性判定结果通过输入输出接口部15发送给客户端终端30。由安全信息关联性计算部16计算出的关联度越高的安全信息,越优先由输入输出接口部15向客户端终端30输出。
例如,安全信息关联性计算部16通过输入输出接口部15从客户端终端30接收作为比较与安全信息蓄积部12中的安全信息之间的关联性的基准的参照源安全信息、脆弱性分数的阈值、产品/服务分数的阈值、产品/服务提供商分数的阈值、国家/组织名称分数的阈值、和服务器攻击分数的阈值,作为设定信息。
下面,说明安全信息关联性计算部16的具体的处理流程。安全信息关联性计算部16参照安全辞典,按照脆弱性的类别、产品或服务的类别、产品提供商或服务提供商的类别、国家或组织名称的类别、或者服务器攻击的类别,分别从参照源安全信息中提取关键词。
并且,安全信息关联性计算部16将从参照源安全信息中提取的关键词、与在安全信息蓄积部12中蓄积的各个安全信息的脆弱性关键词进行比较,并计算脆弱性分数。具体而言,安全信息关联性计算部16参照安全辞典,按照脆弱性的类别、产品或服务的类别、产品提供商或服务提供商的类别、国家或组织名称的类别、或者服务器攻击的类别,分别从参照源安全信息中提取关键词,并将从参照源安全信息中提取的关键词和由收集部收集的安全信息中包含的关键词分别进行比较,计算参照源安全信息和安全信息的关联度。
在此,使用图4的示例说明安全信息关联性计算部16的脆弱性分数计算处理的一例。图4是说明安全信息关联性计算部的脆弱性分数计算处理的一例的图。如图4所示,首先安全信息关联性计算部16通过输入输出接口部15从客户端终端30接收包括文本和正文的参照源安全信息。
然后,安全信息关联性计算部16例如从参照源安全信息中提取“缓存上溢”作为脆弱性辞典中包含的关键词。并且,安全信息关联性计算部16将从参照源安全信息中提取的关键词“缓存上溢”、和在安全信息蓄积部12中蓄积的安全信息A、B的脆弱性关键词进行比较,计算脆弱性分数。
在图4的示例中,安全信息A的脆弱性关键词是“缓存上溢”,与从参照源安全信息中提取的关键词一致,因而计算出安全信息A的脆弱性分数“a”。此外,安全信息B的脆弱性关键词是“交叉网站脚本”,与从参照源安全信息中提取的关键词不一致,因而计算出安全信息B的脆弱性分数“b”。安全信息A的脆弱性分数“a”是比安全信息B的脆弱性分数“b”高的分数。例如,也可以根据一致的关键词个数计算分数。例如,设安全信息A的脆弱性分数为“1”,设安全信息B的脆弱性分数为“0”。
另外,也可以使用商用/免费的机器学习库计算分数,能够分别进行特征向量化,利用数值求出特征向量之间的相似度。通过使用该方法,也能够判定如关键词不完全一致那样的具有相似关键词的安全信息彼此的相似度。
然后,安全信息关联性计算部16对“产品/服务辞典”同样计算产品/服务分数。并且,安全信息关联性计算部16对“产品/服务提供商辞典”同样计算产品/服务提供商分数。
然后,安全信息关联性计算部16对“国家/组织名称辞典”同样计算国家/组织名称分数。并且,安全信息关联性计算部16对“服务器攻击辞典”同样计算服务器攻击分数。另外,也可以对各个分数设定加权。
并且,安全信息关联性计算部16合计分数。然后,安全信息关联性计算部16按照分数的合计值从高到低的顺序,将安全信息蓄积部12的安全信息排序。但是,在排序时,将具有至少一个低于上述5种阈值的分数的安全信息从排序对象中去除。
并且,安全信息关联性计算部16按照所排序的顺序,向输入输出接口部15发送安全信息。另外,为了提高处理的速度,也可以对此时发送的安全信息的件数设定系统的上限。
[安全信息管理装置的处理]
下面,使用图5说明第一实施方式的安全信息管理装置10的处理。图5是用于说明第一实施方式的安全信息管理装置的安全信息提供处理的流程的流程图。
首先,使用图5说明第一实施方式的安全信息管理装置的安全信息提供处理的流程。如图5所示,安全信息管理装置10的安全信息关联性计算部16在通过输入输出接口部15从客户端终端30接收到参照源安全信息时(步骤S101),安全信息关联性计算部16从参照源安全信息中提取安全辞典中包含的关键词(步骤S102)。
然后,安全信息关联性计算部16将从参照源安全信息中提取的关键词、和在安全信息蓄积部12中蓄积的各个安全信息的脆弱性关键词进行比较,并计算脆弱性分数(步骤S103)。
安全信息关联性计算部16对“产品/服务辞典”,与步骤S103一样地计算产品/服务分数(步骤S104)。并且,安全信息关联性计算部16对“产品/服务提供商辞典”,与步骤S103一样地计算产品/服务提供商分数(步骤S105)。
然后,安全信息关联性计算部16对“国家/组织名称辞典”,与步骤S103一样地计算国家/组织名称分数(步骤S106)。并且,安全信息关联性计算部16对“服务器攻击辞典”,与步骤S103一样地计算服务器攻击分数(步骤S107)。
并且,安全信息关联性计算部16合计各个分数(步骤S108)。然后,安全信息关联性计算部16按照分数的合计值从高到低的顺序,将安全信息蓄积部12的安全信息排序(步骤S109)。但是,在排序时,将具有至少一个低于上述5种阈值的分数的安全信息从排序对象中去除。
并且,安全信息关联性计算部16按照所排序的顺序,向输入输出接口部15发送安全信息(步骤S110)。
[第一实施方式的效果]
如上所述,在第一实施方式的安全信息管理装置10中收集有关安全的信息即安全信息。并且,安全信息管理装置10参照按照属性存储有关安全的关键词的安全辞典,从作为比较与安全信息之间的关联性的基准的参照源安全信息中提取关键词,将该提取的关键词和所收集的安全信息中包含的关键词进行比较,来计算参照源安全信息和安全信息之间的关联度。并且,所计算出的关联度越高的安全信息,越由安全信息管理装置10优先输出。因此,能够容易输出与参照源安全信息之间的关联性较高的安全信息。
并且,在安全信息管理装置10中从安全信息提供服务器20以规定的时间间隔收集包括安全信息的文件信息,提取该文件信息的题目和正文,并提取该题目和正文中包含的关键词。安全信息管理装置10将所提取的题目和正文中包含的关键词和从参照源安全信息中提取的关键词进行比较,并计算关联度。因此,能够将安全信息的题目和正文中包含的关键词与从参照源安全信息中提取的关键词进行比较,并适当计算关联度。
并且,在安全信息管理装置10中判定从参照源安全信息中提取的关键词和所收集的安全信息中包含的关键词是否一致,在一致的情况下计算出比不一致的情况高的关联度。因此,能够容易计算关联度。
并且,在安全信息管理装置10中,对计算出关联度的安全信息按照关联度从高到低的顺序进行排序,并按照所排序的顺序输出安全信息。因此,能够容易理解地输出与参照源安全信息的关联性较高的安全信息。
并且,在安全信息管理装置10中,作为安全信息的属性,按照脆弱性的类别、产品或服务的类别、产品提供商或服务提供商的类别、国家或组织名称的类别、或者服务器攻击的类别,在安全辞典中登记有关安全的关键词。并且,安全信息管理装置10参照安全辞典,按照脆弱性的类别、产品或服务的类别、产品提供商或服务提供商的类别、国家或组织名称的类别、或者服务器攻击的类别,从参照源安全信息中分别提取关键词。因此,能够恰当地提取关键词。
并且,在安全信息管理装置10中参照安全辞典,按照脆弱性的类别、产品或服务的类别、产品提供商或服务提供商的类别、国家或组织名称的类别、或者服务器攻击的类别,从参照源安全信息中分别提取关键词,将从参照源安全信息中提取的关键词和所收集的安全信息中包含的关键词分别进行比较,计算参照源安全信息和安全信息之间的关联度。因此,能够容易计算关联度。
[系统结构等]
另外,图示的各个装置的各个构成要素是功能概念性的要素,在物理上不一定需要按照图示构成。即,各个装置的分解/整合的具体方式不限于图示的方式,能够对其全部或者一部分按照各种负载和使用状况等,以任意的单位进行功能性或者物理性的分解/整合来构成。例如,也可以将安全信息收集部11和安全信息关联性计算部16进行整合。另外,由各个装置执行的各个处理功能的全部或者任意一部分能够由CPU以及在该CPU进行分析并执行的程序来实现,或者也可以作为基于有线逻辑的硬件来实现。
另外,在本实施例中说明的各个处理中,作为自动进行的处理而说明的处理的全部或者一部分也能够手动进行,或者作为手动进行的处理而说明的处理的全部或者一部分也能够利用公知的方法自动进行。另外,关于在上述说明书中和附图中示出的处理步骤、控制步骤、具体名称、包括各种数据和参数的信息,除特别注明的情况以外能够任意变更。
[程序]
另外,也能够生成用计算机可以执行的语言记述在上述实施方式中说明的安全信息管理装置10执行的处理的程序。例如,也能够生成用计算机可以执行的语言记述第一实施方式的安全信息管理装置10执行的处理的安全信息管理程序。在这种情况下,通过由计算机执行安全信息管理程序,能够得到与上述实施方式相同的效果。另外,通过将该安全信息管理程序记录在计算机能够读取的记录介质中,使计算机读取并执行被记录在该记录介质中的安全信息管理程序,也可以实现与上述第一实施方式相同的处理。下面,说明执行用于实现与图1所示的安全信息管理装置10相同的功能的安全信息管理程序的计算机的一例。
图6是示出执行安全信息管理程序的计算机1000的图。如图6所示,计算机1000例如具有存储器1010、CPU1020、硬盘驱动接口1030、盘驱动接口1040、串行端口接口1050、视频转换器1060、网络接口1070,这些各个部分通过总线1080相连接。
存储器1010如图6所示包括ROM(ReadOnlyMemory:只读存储器)1011和RAM1012。ROM1011存储例如BIOS(BasicInputOutputSystem:基本输入输出系统)等启动程序。硬盘驱动接口1030如图6所示,与硬盘驱动1031连接。盘驱动接口1040如图6所示,与盘驱动1041连接。例如,将磁盘和光盘等可插拔的记录介质插入盘驱动1041中。串行端口接口1050如图6所示,例如与鼠标1051、键盘1052连接。视频转换器1060如图6所示,与例如显示器1061连接。
其中,如图6所示,硬盘驱动1031存储例如OS1091、应用程序1092、程序模块1093、程序数据1094。即,将上述的安全信息管理程序作为记述了由计算机1000执行的指令的程序模块,存储在例如硬盘驱动1031中。
另外,将在上述实施方式中说明的各种数据作为程序数据存储在例如存储器1010和硬盘驱动1031中。并且,CPU1020根据需要将在存储器1010和硬盘驱动1031中存储的程序模块1093和程序数据1094读出到RAM1012中,并执行各种处理步骤。
另外,安全信息管理程序的程序模块1093和程序数据1094不限于存储在硬盘驱动1031中,例如也可以存储在可插拔的存储介质中,并通过盘驱动等由CPU1020读出。或者,也可以将安全信息管理程序的程序模块1093和程序数据1094存储在通过网络(LAN(LocalAreaNetwork:局域网)、WAN(WideAreaNetwork:广域网)等)而连接的其它计算机中,并通过网络接口1070由CPU1020读出。
标号说明
10安全信息管理装置;11安全信息收集部;12安全信息蓄积部;13安全辞典存储部;14安全辞典管理部;15输入输出接口部;16安全信息关联性计算部;20安全信息提供服务器;30客户端终端;40因特网;100安全信息管理系统。
Claims (12)
1.一种安全信息管理系统,其特征在于,该安全信息管理系统具有:
收集部,其收集有关安全的信息即安全信息;
计算部,其参照按照每个属性存储有关所述安全的关键词的安全辞典,从作为比较与所述安全信息之间的关联性的基准的参照源安全信息中提取关键词,将该提取的关键词和由所述收集部收集的安全信息中包含的关键词进行比较,来计算所述参照源安全信息和所述安全信息之间的关联度;以及
输出部,由所述计算部计算出的关联度越高的安全信息,越由该输出部优先输出。
2.根据权利要求1所述的安全信息管理系统,其特征在于,
所述收集部以规定的时间间隔从外部的装置收集包括安全信息的文件信息,提取该文件信息的题目和正文,并提取该题目和正文中包含的关键词,
所述计算部将由所述收集部提取的题目和正文中包含的关键词、与从所述参照源安全信息中提取的关键词进行比较,来计算关联度。
3.根据权利要求1所述的安全信息管理系统,其特征在于,
所述计算部判定从所述参照源安全信息中提取的关键词和由所述收集部收集的安全信息中包含的关键词是否一致,在一致的情况下计算出比不一致的情况高的关联度。
4.根据权利要求2所述的安全信息管理系统,其特征在于,
所述计算部判定从所述参照源安全信息中提取的关键词和由所述收集部收集的安全信息中包含的关键词是否一致,在一致的情况下计算出比不一致的情况高的关联度。
5.根据权利要求1所述的安全信息管理系统,其特征在于,
所述计算部对于计算出关联度的安全信息,按照关联度从高到低的顺序进行排序,
所述输出部按照由所述计算部排序的顺序输出所述安全信息。
6.根据权利要求2所述的安全信息管理系统,其特征在于,
所述计算部对于计算出关联度的安全信息,按照关联度从高到低的顺序进行排序,
所述输出部按照由所述计算部排序的顺序输出所述安全信息。
7.根据权利要求3所述的安全信息管理系统,其特征在于,
所述计算部对于计算出关联度的安全信息,按照关联度从高到低的顺序进行排序,
所述输出部按照由所述计算部排序的顺序输出所述安全信息。
8.根据权利要求4所述的安全信息管理系统,其特征在于,
所述计算部对于计算出关联度的安全信息,按照关联度从高到低的顺序进行排序,
所述输出部按照由所述计算部排序的顺序输出所述安全信息。
9.根据权利要求1~8中任意一项所述的安全信息管理系统,其特征在于,
作为所述安全信息的属性,按照脆弱性的类别、产品或者服务的类别、产品的提供商或者服务的提供商的类别、国家或组织的类别、或者服务器攻击的类别,将有关安全的关键词登记在所述安全辞典中,
所述计算部参照所述安全辞典,按照所述脆弱性的类别、所述产品或者服务的类别、所述产品的提供商或者服务的提供商的类别、所述国家或组织的类别、或者所述服务器攻击的类别,分别从所述参照源安全信息中提取关键词。
10.根据权利要求9所述的安全信息管理系统,其特征在于,
所述计算部参照所述安全辞典,按照所述脆弱性的类别、所述产品或者服务的类别、所述产品的提供商或者服务的提供商的类别、所述国家或组织的类别、或者所述服务器攻击的类别,分别从所述参照源安全信息中提取关键词,并将从所述参照源安全信息中提取的关键词和由所述收集部收集的安全信息中包含的关键词分别进行比较,计算所述参照源安全信息和所述安全信息之间的关联度。
11.根据权利要求10所述的安全信息管理系统,其特征在于,
所述计算部参照所述安全辞典,按照所述脆弱性的类别、所述产品或者服务的类别、所述产品的提供商或者服务的提供商的类别、所述国家或组织的类别、或者所述服务器攻击的类别,分别从所述参照源安全信息中提取关键词,并将从所述参照源安全信息中提取的关键词和由所述收集部收集的安全信息中包含的关键词分别进行比较来计算关联度,将各个关联度进行合计来计算分数,
由所述计算部计算出的分数越高的安全信息,越由所述输出部优先输出。
12.一种由安全信息管理装置执行的安全信息管理方法,其特征在于,该安全信息管理方法包括:
收集步骤,收集有关安全的信息即安全信息;
计算步骤,参照按照每个属性存储有关所述安全的关键词的安全辞典,从作为比较与所述安全信息之间的关联性的基准的参照源安全信息中提取关键词,将该提取的关键词和通过所述收集步骤收集的安全信息中包含的关键词进行比较,来计算所述参照源安全信息和所述安全信息之间的关联度;以及
输出步骤,通过所述计算步骤计算出的关联度越高的安全信息,在该输出步骤中越优先输出。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013-132057 | 2013-06-24 | ||
| JP2013132057 | 2013-06-24 | ||
| PCT/JP2014/066193 WO2014208427A1 (ja) | 2013-06-24 | 2014-06-18 | セキュリティ情報管理システム及びセキュリティ情報管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105359139A true CN105359139A (zh) | 2016-02-24 |
| CN105359139B CN105359139B (zh) | 2019-04-09 |
Family
ID=52141767
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480035891.2A Active CN105359139B (zh) | 2013-06-24 | 2014-06-18 | 安全信息管理系统及安全信息管理方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10789366B2 (zh) |
| EP (1) | EP2998884B1 (zh) |
| JP (1) | JP6042541B2 (zh) |
| CN (1) | CN105359139B (zh) |
| WO (1) | WO2014208427A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110851826A (zh) * | 2018-08-01 | 2020-02-28 | 深信服科技股份有限公司 | 一种篡改页面的检测方法、装置、设备及可读存储介质 |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6838560B2 (ja) * | 2015-12-14 | 2021-03-03 | 日本電気株式会社 | 情報分析システム、情報分析方法、及び、プログラム |
| JP6691240B2 (ja) * | 2017-01-31 | 2020-04-28 | 日本電信電話株式会社 | 判定装置、判定方法、および、判定プログラム |
| DE102017202002A1 (de) * | 2017-02-08 | 2018-08-09 | Siemens Aktiengesellschaft | Verfahren und Computer zum kryptografischen Schützen von Steuerungskommunikation in und/oder Service-Zugang zu IT-Systemen, insbesondere im Zusammenhang mit der Diagnose und Konfiguration in einem Automatisierungs-, Steuerungs- oder Kontrollsystem |
| CN107038381A (zh) * | 2017-04-14 | 2017-08-11 | 济南浪潮高新科技投资发展有限公司 | 一种基于绑定机制的管理固件保护方法 |
| GB2563618B (en) * | 2017-06-20 | 2020-09-16 | Arm Ip Ltd | Electronic system vulnerability assessment |
| US10812510B2 (en) * | 2018-01-12 | 2020-10-20 | The Boeing Company | Anticipatory cyber defense |
| JP6977577B2 (ja) * | 2018-01-18 | 2021-12-08 | 富士通株式会社 | サイバー脅威評価装置、サイバー脅威評価プログラムおよびサイバー脅威評価方法 |
| JP6934838B2 (ja) * | 2018-05-10 | 2021-09-15 | 株式会社日立製作所 | 構造化支援システム及び構造化支援方法 |
| JP6883561B2 (ja) * | 2018-09-27 | 2021-06-09 | Kddi株式会社 | 脆弱性推定装置及び脆弱性推定方法 |
| CN112152964A (zh) * | 2019-06-26 | 2020-12-29 | 中兴通讯股份有限公司 | 网络攻击防御方法、装置、接收设备及计算机存储介质 |
| KR20210081156A (ko) | 2019-12-23 | 2021-07-01 | 삼성전자주식회사 | 전자 장치 및 그 제어 방법 |
| WO2021144954A1 (en) * | 2020-01-17 | 2021-07-22 | Nec Corporation | Attack information processing apparatus, attack information processing method, and computer readable medium |
| KR102287394B1 (ko) * | 2020-12-21 | 2021-08-06 | 한국인터넷진흥원 | 익스플로잇 공격 유형 분류 방법 및 그 장치 |
| JP7554139B2 (ja) | 2021-03-02 | 2024-09-19 | 株式会社日立製作所 | 不正侵害分析支援装置、及び不正侵害分析支援方法 |
| JP7433551B1 (ja) | 2022-03-23 | 2024-02-19 | 三菱電機株式会社 | リスク抽出装置、リスク抽出方法、リスク抽出プログラム |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050050045A1 (en) * | 2002-08-23 | 2005-03-03 | Hiroshi Taira | Program, system and method for analyzing retrieval keyword |
| US20060010129A1 (en) * | 2004-07-09 | 2006-01-12 | Fuji Xerox Co., Ltd. | Recording medium in which document management program is stored, document management method, and document management apparatus |
| CN101911067A (zh) * | 2008-01-08 | 2010-12-08 | 三菱电机株式会社 | 信息过滤系统、信息过滤方法以及信息过滤程序 |
| CN103299304A (zh) * | 2011-01-13 | 2013-09-11 | 三菱电机株式会社 | 分类规则生成装置、分类规则生成方法、分类规则生成程序以及记录介质 |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001043236A (ja) * | 1999-07-30 | 2001-02-16 | Matsushita Electric Ind Co Ltd | 類似語抽出方法、文書検索方法及びこれらに用いる装置 |
| US6807569B1 (en) * | 2000-09-12 | 2004-10-19 | Science Applications International Corporation | Trusted and anonymous system and method for sharing threat data to industry assets |
| US20020038430A1 (en) * | 2000-09-13 | 2002-03-28 | Charles Edwards | System and method of data collection, processing, analysis, and annotation for monitoring cyber-threats and the notification thereof to subscribers |
| US7941491B2 (en) * | 2004-06-04 | 2011-05-10 | Messagemind, Inc. | System and method for dynamic adaptive user-based prioritization and display of electronic messages |
| JP2007058514A (ja) * | 2005-08-24 | 2007-03-08 | Mitsubishi Electric Corp | 情報処理装置及び情報処理方法及びプログラム |
| US8544098B2 (en) * | 2005-09-22 | 2013-09-24 | Alcatel Lucent | Security vulnerability information aggregation |
| US7624103B2 (en) * | 2006-07-21 | 2009-11-24 | Aol Llc | Culturally relevant search results |
| JP4935399B2 (ja) | 2007-02-13 | 2012-05-23 | 日本電気株式会社 | セキュリティ運用管理システム、方法およびプログラム |
| US8302197B2 (en) * | 2007-06-28 | 2012-10-30 | Microsoft Corporation | Identifying data associated with security issue attributes |
| JP2009015570A (ja) * | 2007-07-04 | 2009-01-22 | Nippon Telegr & Teleph Corp <Ntt> | 脆弱性情報流通システムおよび方法 |
| US8166551B2 (en) | 2007-07-17 | 2012-04-24 | Oracle International Corporation | Automated security manager |
| US8886728B2 (en) * | 2008-12-12 | 2014-11-11 | At&T Intellectual Property I, L.P. | Method and apparatus for reclassifying e-mail or modifying a spam filter based on users' input |
| US8041729B2 (en) * | 2009-02-20 | 2011-10-18 | Yahoo! Inc. | Categorizing queries and expanding keywords with a coreference graph |
| JP2011003182A (ja) * | 2009-05-19 | 2011-01-06 | Studio Ousia Inc | キーワード表示方法およびそのシステム |
| JP2011141840A (ja) * | 2010-01-08 | 2011-07-21 | Toshiba Corp | イベント通知装置およびイベント通知方法 |
| JP5776169B2 (ja) * | 2010-11-30 | 2015-09-09 | アイシン・エィ・ダブリュ株式会社 | 交通環境情報辞書作成装置、交通環境情報辞書作成方法、及び交通環境情報辞書作成プログラム |
| JP5854187B2 (ja) * | 2011-05-24 | 2016-02-09 | 日本電気株式会社 | 業務フロー検索装置、業務フロー検索方法、およびプログラム |
| JP5638590B2 (ja) * | 2012-11-22 | 2014-12-10 | 株式会社東芝 | コンテンツ出力装置、コンテンツ出力方法及びプログラム |
-
2014
- 2014-06-18 EP EP14816872.7A patent/EP2998884B1/en active Active
- 2014-06-18 WO PCT/JP2014/066193 patent/WO2014208427A1/ja active Application Filing
- 2014-06-18 CN CN201480035891.2A patent/CN105359139B/zh active Active
- 2014-06-18 JP JP2015524004A patent/JP6042541B2/ja active Active
- 2014-06-18 US US14/898,388 patent/US10789366B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050050045A1 (en) * | 2002-08-23 | 2005-03-03 | Hiroshi Taira | Program, system and method for analyzing retrieval keyword |
| US20060010129A1 (en) * | 2004-07-09 | 2006-01-12 | Fuji Xerox Co., Ltd. | Recording medium in which document management program is stored, document management method, and document management apparatus |
| CN101911067A (zh) * | 2008-01-08 | 2010-12-08 | 三菱电机株式会社 | 信息过滤系统、信息过滤方法以及信息过滤程序 |
| CN103299304A (zh) * | 2011-01-13 | 2013-09-11 | 三菱电机株式会社 | 分类规则生成装置、分类规则生成方法、分类规则生成程序以及记录介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110851826A (zh) * | 2018-08-01 | 2020-02-28 | 深信服科技股份有限公司 | 一种篡改页面的检测方法、装置、设备及可读存储介质 |
| CN110851826B (zh) * | 2018-08-01 | 2023-07-11 | 深信服科技股份有限公司 | 一种篡改页面的检测方法、装置、设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2998884B1 (en) | 2017-11-01 |
| CN105359139B (zh) | 2019-04-09 |
| JP6042541B2 (ja) | 2016-12-14 |
| JPWO2014208427A1 (ja) | 2017-02-23 |
| WO2014208427A1 (ja) | 2014-12-31 |
| US10789366B2 (en) | 2020-09-29 |
| EP2998884A4 (en) | 2016-12-28 |
| US20160140344A1 (en) | 2016-05-19 |
| EP2998884A1 (en) | 2016-03-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105359139A (zh) | 安全信息管理系统及安全信息管理方法 | |
| Rao et al. | Jail-Phish: An improved search engine based phishing detection system | |
| CN102171702B (zh) | 机密信息的检测 | |
| CN103559235B (zh) | 一种在线社交网络恶意网页检测识别方法 | |
| US20120197934A1 (en) | Real time searching and reporting | |
| CN111585955B (zh) | 一种http请求异常检测方法及系统 | |
| CN101853277A (zh) | 一种基于分类和关联分析的漏洞数据挖掘方法 | |
| CN101751458A (zh) | 一种网络舆情监控系统及方法 | |
| Kurogome et al. | EIGER: automated IOC generation for accurate and interpretable endpoint malware detection | |
| CN106021418B (zh) | 新闻事件的聚类方法及装置 | |
| Dobolyi et al. | Phishmonger: A free and open source public archive of real-world phishing websites | |
| CN108874996A (zh) | 网站分类方法及装置 | |
| Zhang et al. | Toward unsupervised protocol feature word extraction | |
| EP3705974B1 (en) | Classification device, classification method, and classification program | |
| CN110572402B (zh) | 基于网络访问行为分析的互联网托管网站检测方法、系统和可读存储介质 | |
| CN109064067B (zh) | 基于互联网的金融风险运营主体判定方法及装置 | |
| CN108875050B (zh) | 面向文本的数字取证分析方法、装置和计算机可读介质 | |
| Choudhary et al. | Role of ranking algorithms for information retrieval | |
| CN110008701A (zh) | 基于elf文件特征的静态检测规则提取方法及检测方法 | |
| CN107729206A (zh) | 告警日志的实时分析方法、系统和计算机处理设备 | |
| Zou et al. | Improving log-based fault diagnosis by log classification | |
| Moumtzidou et al. | Discovery of environmental nodes in the web | |
| JP2024534446A (ja) | メタデータ駆動型データ取り込み | |
| Kryszkiewicz* | Generalized disjunction-free representation of frequent patterns with negation | |
| CN114765599A (zh) | 子域名采集方法、装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |