CN107077563A - 信息处理装置、信息处理方法以及程序 - Google Patents
信息处理装置、信息处理方法以及程序 Download PDFInfo
- Publication number
- CN107077563A CN107077563A CN201480083332.9A CN201480083332A CN107077563A CN 107077563 A CN107077563 A CN 107077563A CN 201480083332 A CN201480083332 A CN 201480083332A CN 107077563 A CN107077563 A CN 107077563A
- Authority
- CN
- China
- Prior art keywords
- candidate
- information
- state
- progress
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
候选事件导出部(101)导出成为监视对象候选的事件作为候选事件,所述事件是预计在包含多个系统结构要素(300)的信息系统(200)中发生的事件。属性确定部(102)导出多个系统结构要素(300)中的、参与候选事件的发生的系统结构要素(300)作为候选系统结构要素,并确定候选系统结构要素的属性。监视对象决定部(103)对由属性确定部(102)确定的候选系统结构要素的属性进行分析,决定是否将候选事件设为监视对象。
Description
技术领域
本发明涉及检测对信息系统的攻击的技术。
背景技术
作为对信息系统的攻击,例如存在有针对性的攻击。
在有针对性的攻击中,攻击者伪装成正规用户进行活动,因此难以区分正规的活动和攻击活动。
为了正确地区分正规的活动和攻击活动,需要调整优化用于攻击检测的检测规则。
但是,在以往的集成日志监视中,难以调整优化检测规则以取得攻击的检测遗漏和误检测的平衡。
针对该情况,提出了如下方法:将由于攻击者进行的活动而观测到的事件的推移定义为场景,在观测到依照场景的事件发生的情况下,视作发生了攻击(例如,非专利文献1)。
具体而言,在非专利文献1的方法中,分别针对被认作在有针对性的攻击中发生的多个事件,定义攻击活动定义信息。
在攻击活动定义信息中,定义事件的内容、用于发生事件的先决条件、表示由于事件的发生而期待攻击者得到的新的知识和状态的达成状态等。
对于有针对性的攻击的检测,有针对性的攻击检测S/W(Software:软件)接收从SIEM(Security Information and Event Management:安全信息和事件管理)等的安全设备发送来的事件,在判断为有针对性的攻击的概率较高的情况下,向管理者进行警报。
在尚未达到进行警报程度的概率的情况下,有针对性的攻击检测S/W灵活运用与接收到的事件对应的攻击活动定义信息,预计接下来要发生的事件。
此外,有针对性的攻击检测S/W根据需要使用预计出的事件,对SIEM或监视对象网络上的设备变更监视设定,使得能够进行更详细的监视。
但是,在非专利文献1的方法中,利用攻击活动定义信息的定义方法时存在如下课题:预计接下来要发生的事件大量出现,事件的监视花费较高的负荷。
即,在非专利文献1的方法中,存在如下课题:在作为事件的监视而例如根据日志等来分析攻击的痕迹时,花费较高的检索负荷。
针对该情况,存在使用白名单来预先定义不是监视对象的事件的现有技术(例如,专利文献1~4)。
此外,存在用于将曾经不是监视对象的事件在之后设为监视对象的技术(专利文献5)。
现有技术文献
专利文献
专利文献1:日本特开2006-53788号公报
专利文献2:日本特开2006-65835号公报[日本特许4624181号]
专利文献3:日本特开2006-163931号公报[日本特许4420804号]
专利文献4:日本特开2007-94997号公报[日本特许4619254号]
专利文献5:日本特开2008-59552号公报[日本特许4041845号]
非专利文献
非专利文献1:河内清人、榊原裕之、桜井鐘治“使用了场景的网络攻击检测方式的提案”、SCIS 2014,2014年1月23日
发明内容
发明要解决的课题
在使用白名单的方法中,需要准备按照每个事件定义用于设为不是监视对象的条件的白名单。
被认作在有针对性的攻击中发生的事件的数量庞大,在与按照每个事件定义的白名单进行对照来决定是否将事件设为监视对象的方法中,需要从众多的白名单中检索作为对照对象的白名单。
因此,在使用白名单的方法中,运算负荷高并且需要较长的运算时间。
本发明正是鉴于这种情况而完成的,其主要目的在于,提供一种结构,能够减少决定是否将事件设为监视对象所需的运算负荷和运算时间。
用于解决课题的手段
本发明的信息处理装置具有:
候选事件导出部,其导出成为监视对象候选的事件作为候选事件,所述事件是预计在包含多个系统结构要素的信息系统中发生的事件;
属性确定部,其导出所述多个系统结构要素中的、参与所述候选事件的发生的系统结构要素作为候选系统结构要素,并确定所述候选系统结构要素的属性;以及
监视对象决定部,其对由所述属性确定部确定的所述候选系统结构要素的属性进行分析,决定是否将所述候选事件设为监视对象。
发明效果
在本发明中,根据与事件相比个数大幅度减少的系统结构要素的属性,决定是否将候选事件设为监视对象。
因此,能够减少决定是否将候选事件设为监视对象所需的运算负荷和运算时间。
附图说明
图1是示出实施方式1的信息系统和信息处理装置的结构例的图。
图2是示出实施方式1的信息处理装置的动作例的流程图。
图3是示出实施方式1的攻击事件预测装置的结构例的图。
图4是示出实施方式1的攻击事件定义信息的例子的图。
图5是示出实施方式1的达成状态信息的例子的图。
图6是示出实施方式1的攻击事件预测装置的动作例的流程图。
图7是示出实施方式1的攻击事件定义信息的例子的图。
图8是示出实施方式1的临时候选事件定义信息的例子的图。
图9是示出实施方式1的达成状态信息的例子的图。
图10是示出实施方式1的候选事件定义信息的例子的图。
图11是示出实施方式2的攻击事件预测装置的结构例的图。
图12是示出实施方式2的与File1相关的结构信息的例子的图。
图13是示出实施方式2的与H_1相关的结构信息的例子的图。
图14是示出实施方式2的与USER1相关的结构信息的例子的图。
图15是示出实施方式2的结构信息数据库中存储的结构信息的例子的图。
图16是示出实施方式2的结构信息数据库中存储的结构信息的例子的图。
图17是示出实施方式2的排除规则一览的例子的图。
图18是示出实施方式2的攻击事件预测装置的动作例的流程图。
图19是示出实施方式2的监视事件判定信息生成部、监视事件判定部、判定结果处理部的图。
图20是示出实施方式2的监视事件判定信息生成部、监视事件判定部、判定结果处理部的动作例的流程图。
图21是示出实施方式3的攻击事件预测装置的结构例的图。
图22是示出实施方式3的排除事件信息表的例子的图。
图23是示出实施方式3的攻击事件预测装置的动作例的流程图。
图24是示出实施方式4的信息系统和信息处理装置的结构例的图。
图25是示出实施方式4的信息处理装置的动作例的流程图。
图26是示出实施方式4的攻击事件预测装置的结构例的图。
图27是示出实施方式4的攻击事件预测装置的动作例的流程图。
图28是示出实施方式4的已取得的监视事件定义信息的例子的流程图。
图29是示出实施方式4的已取得的达成状态信息的例子的流程图。
图30是示出实施方式5的数据库管理工具的结构例的图。
图31是示出实施方式5的数据库管理工具的动作例的流程图。
图32是示出实施方式5的攻击事件定义信息的编辑画面的例子的流程图。
图33是示出实施方式5的排除规则的编辑画面的例子的流程图。
图34是示出实施方式1~5的信息处理装置的硬件结构例的图。
具体实施方式
实施方式1
***信息处理装置100的结构的说明***
图1示出本实施方式的信息处理装置100和信息系统200的结构例。
信息系统200包含多个系统结构要素300。
系统结构要素300包含终端装置、服务器装置这样的计算机要素。
此外,系统结构要素300包含使用终端装置的用户、管理信息系统200的系统管理者这样的人的要素。
而且,系统结构要素300包含文件、表、函数、变量、常数这样的数据要素。
此外,在信息系统200中发生事件,由信息系统200包含的SIEM等安全设备,检测作为对信息系统200的攻击的前兆的攻击前兆事件(以下也称作攻击事件)。
将由安全设备检测到的攻击前兆事件通知给信息处理装置100。
在信息处理装置100中,候选事件导出部101导出成为监视对象候选的事件作为候选事件,所述事件是预计在信息系统200中发生的事件。
例如,候选事件导出部101导出预计在有对信息系统200的攻击的情况下在信息系统200中发生的事件,作为候选事件。
更具体而言,在从信息系统200的安全设备通知了攻击前兆事件的情况下,导出预计接着攻击前兆事件而在信息系统200中发生的事件,作为候选事件。
另外,“监视”是指,为了分析攻击的进展程度而定期或不定期地通过日志检索等调查有无发生事件。
例如,假设在发生了事件A后发生事件B的情况下认定为攻击的进展阶段从等级1进展到等级2的场景。
该情况下,在发生了事件A后,将预计接下来要发生的事件B设为监视对象,定期或不定期地检索日志,由此判定是否生了事件B。
并且。在通过日志检索确认到发生了事件B的情况下,可知攻击的进展阶段进展到等级2。
属性确定部102导出多个系统结构要素300中的、参与候选事件的发生的系统结构要素作为候选系统结构要素。
“参与”的意思包含候选事件的发生主体的系统结构要素、作为候选事件的客体的系统结构要素、在候选事件中用作参数的系统结构要素等。
此外,属性确定部102确定候选系统结构要素的属性。
监视对象决定部103对由属性确定部102确定的候选系统结构要素的属性进行分析,决定是否将候选事件设为监视对象。
***信息处理装置100的动作的说明***
接着,说明信息处理装置100的动作例。
图2是示出信息处理装置100的动作例的流程图。
在本实施方式中,根据候选系统结构要素的属性,决定是否将候选事件设为监视对象。
首先,在S11中,候选事件导出部101导出候选事件。
如上所述,例如在从信息系统200内的安全设备通知了攻击前兆事件的情况下,候选事件导出部101导出预计接着攻击前兆事件而发生的事件,作为候选事件。
候选事件导出部101对候选事件的导出方法的详情容后再述。
另外,将S11称作候选事件导出处理。
接着,在S12中,属性确定部102导出候选系统结构要素。
此外,在S13中,属性确定部102确定候选系统结构要素的属性。
候选系统结构要素的导出方法、候选系统结构要素的属性判定方法的详情容后再述。
另外,将S12和S13称作属性确定处理。
接着,在S14中,监视对象决定部103对在S13中由属性确定部102确定的候选系统结构要素的属性进行分析,决定是否将候选事件设为监视对象。
另外,将S14称作监视对象决定处理。
如上所述,被决定为监视对象的候选事件成为用于分析攻击的进展程度的日志检索的对象。
另一方面,未作为监视对象的候选事件不成为用于分析攻击的进展程度的日志检索的对象。
***攻击事件预测装置1的结构的说明***
图3示出本实施方式的攻击事件预测装置1的结构例。
攻击事件预测装置1是将图1所示的信息处理装置100进一步具体化而成的装置。
如图3所示,攻击事件预测装置1由攻击事件检索部2、攻击事件数据库3、达成状态存储部4、下一事件检索部5、可发生判定部6、监视事件判定信息生成部7、判定信息数据库8、监视事件判定部9、判定结果处理部10以及监视事件存储部11构成。
可发生判定部6与图1所示的候选事件导出部101对应。
监视事件判定信息生成部7与图1所示的属性确定部102对应。
监视事件判定部9和判定结果处理部10与图1所示的监视对象决定部103对应。
攻击事件检索部2从外部接收检测警报400。
此外,攻击事件检索部2从攻击事件数据库3中检索与检测警报400对应的攻击事件定义信息。
此外,攻击事件检索部2将从检测警报400得到的信息记载到从攻击事件数据库3得到的攻击事件定义信息的已绑定变量。
检测警报400是从信息系统200包含的各种设备发送的警告消息,通知攻击前兆事件(攻击事件)的发生。
作为检测警报400的一例,有IDS(Intrusion Detection System:入侵检测系统)警报。
检测警报400包含可能作为对信息系统200的攻击的一环而发送的分组的发送方的IP地址和端口号、发送目的地的IP地址和端口号、TCP(Transmission ControlProtocol:传输控制协议)或UDP(User Datagram Protocol:用户数据报协议)等协议、检测到的攻击事件(登录、端口扫描等)的信息。
攻击事件数据库3蓄积有攻击事件定义信息。
攻击事件定义信息是预先定义攻击事件的详情的信息。
图4示出攻击事件定义信息的例子。
如图4所示,攻击事件定义信息12由先决条件13、事件14、达成状态15、已绑定变量信息16构成。
在先决条件13中,以谓词逻辑的形式记述有用于发生攻击事件的前提条件。
即,在先决条件13中,记述有观测到攻击事件前的攻击的进展阶段(事件前阶段)。
例如,图4的标号17所示的谓词逻辑“login(A,H)”表示需要“A登录到H”的状态作为用于发生攻击事件的先决条件。
另外,标号17所示的“A”和“H”是变量,将从检测警报400得到的具体的值等保存到已绑定变量信息16一栏。
事件14表示在进行对信息系统200的攻击的过程中在信息系统200中观测到的攻击事件。
对事件14定义有事件发生源18、事件类别19、事件参数20。
事件发生源18表示将攻击事件定义信息12作为对象的事件发生源。
标号21表示许可作为发生源的值,在该例中,通过变量H与先决条件17关联起来(处于“$H”的开头的美元标记($)表示H为变量)。
事件类别19指定将攻击事件定义信息12作为对象的事件的类别。
具体的事件类别如标号22那样指定。
事件参数20表示事件的参数。
在事件参数20中,指定将攻击事件定义信息12作为对象的值。
在图4所示的例子中,要求用标号23表示的USER这一名称的参数取与用标号17表示的变量A相同的值。
在发生了与攻击事件定义信息12的标号18~20的项目匹配的事件时,达成状态15用谓词逻辑示出攻击者已达成的状态。
即,在达成状态15中,记述有观测到与标号18~20的项目匹配的事件后的攻击的进展阶段(事件后阶段)。
达成状态15也被称作进展状态。
在图4的例子中,标号24的“hasSecret(A,H)”示出是“用户A已得到主机H的机密”的阶段。
在检测警报400中,与图4的攻击事件定义信息12同样地,通知事件发生源、事件类别、事件参数。
在图4的攻击事件定义信息12中,虽然未确定事件发生源21、事件参数23的各变量的值,但在检测警报400中,确定了事件发生源、事件参数的各变量的值。
在检测警报400中已确定的值被存储在已绑定变量信息16一栏。
已绑定变量信息16是用于存储从检测警报400得到的变量的具体值作为绑定值的栏。
例如,在图4的标号25中,可知变量“A”被绑定成“USER1”。
此外,可知变量“H”被绑定成“H_1”。
即,在检测警报400中,记述有“USER1”作为变量“A”的具体值,记述有“H_1”作为变量“H”的具体值。
另外,由攻击事件检索部2向已绑定变量信息16存储变量的具体值。
以上叙述的攻击事件定义信息12是针对被认为是在有针对性的攻击中发生的多个攻击事件预先定义的,以能够检索的状态存储在攻击事件数据库3内。
另外,已绑定变量信息16一栏中记载的绑定值“USER1”、“H_1”是信息系统200包含的系统结构要素300。
达成状态存储部4中存储有达成状态信息。
达成状态信息是表示通过攻击事件达成的状态即攻击的进展状态的信息。
图5示出达成状态信息的例子。
如图5所示,达成状态信息26存储有谓词逻辑,该谓词逻辑表示已经通过攻击事件达成的事项。
例如,标号27的谓词逻辑“Login(USER1、H_1)”表示用户“USER1”已经登录到主机“H_1”这一事项。
下一事件检索部5从攻击事件数据库3中检索攻击事件定义信息,取得检索到的攻击事件定义信息,攻击事件定义信息在先决条件中包含与输入的攻击事件定义信息的达成状态相同的谓词逻辑。
在检索的结果是存在多个符合的攻击事件定义信息的情况下,下一事件检索部5取得多个攻击事件定义信息。
下一事件检索部5在取得攻击事件定义信息后,将从攻击事件检索部2输入的攻击事件定义信息的达成状态涉及的已绑定变量信息(具体值)存储到取得的攻击事件定义信息的已绑定变量信息中。
并且,下一事件检索部5输出在已绑定变量信息中记述具体值后的攻击事件定义信息,作为表示接下来要发生的事件的候选的临时候选事件定义信息。
此外,将用临时候选事件定义信息定义的事件称作临时候选事件。
由后述的可发生判定部6选择出的事件是作为监视对象的候选事件,由下一事件检索部5提取出的临时候选事件是可能被选择为候选事件的事件。
可发生判定部6判定从下一事件检索部5输入的1个以上的临时候选事件当前是否能够发生。
具体而言,可发生判定部6确认输入的临时候选事件定义信息的先决条件中记载的谓词逻辑是否全部被存储在达成状态存储部4中。
在输入的临时候选事件定义信息的先决条件中记载的谓词逻辑全部被记述在达成状态存储部4的达成状态信息中的情况下,可发生判定部6选择输入的临时候选事件定义信息中记载的临时候选事件,作为候选事件。
可发生判定部6将记述有候选事件的临时候选事件定义信息作为候选事件定义信息,输出到监视事件判定信息生成部7。
监视事件判定信息生成部7取得从可发生判定部6输出的候选事件定义信息。
并且,监视事件判定信息生成部7从候选事件定义信息的已绑定变量信息中,导出参与候选事件的发生的系统结构要素即候选系统结构要素。
而且,监视事件判定信息生成部7确定候选系统结构要素的属性。
具体而言,监视事件判定信息生成部7参照判定信息数据库8的判定信息,确定候选系统结构要素的属性。
在判定信息中,按照每个系统结构要素记述有系统结构要素的属性。
监视事件判定信息生成部7从判定信息中得到候选系统结构要素的属性。
并且,监视事件判定信息生成部7将候选系统结构要素信息的属性通知给监视事件判定部9。
此外,监视事件判定信息生成部7将从可发生判定部6取得的候选事件定义信息输出到监视事件判定部9。
监视事件判定部9对从监视事件判定信息生成部7通知的候选系统结构要素的属性进行分析,判定是否将候选事件设为监视对象。
监视事件判定部9将判定结果和从监视事件判定信息生成部7取得的候选事件定义信息输出到判定结果处理部10。
判定结果处理部10取得监视事件判定部9输出的判定结果和候选事件定义信息,进行候选事件的登记处理或排除处理。
具体而言,在由监视事件判定部9决定将候选事件设为监视对象的情况下,判定结果处理部10将候选事件定义信息作为监视事件定义信息输出到监视事件存储部11。
另一方面,在由监视事件判定部9决定不将候选事件设为监视对象的情况下,判定结果处理部10不将候选事件定义信息输出到监视事件存储部11。
判定结果处理部10可以删除候选事件定义信息,此外,也可以将候选事件定义信息退避到监视事件存储部11以外的存储区域中。
另外,将监视事件判定部9决定为监视对象的候选事件称作监视事件。
此外,将记述有监视事件的详情的候选事件定义信息称作监视事件定义信息。
监视事件存储部11存储从判定结果处理部10输出的监视事件定义信息。
***攻击事件预测装置1的动作的说明***
接着,参照图6说明实施方式1的攻击事件预测装置1的动作。
图6是示出实施方式1的攻击事件预测装置1的处理流程的流程图。
首先,在步骤S101中,攻击事件检索部2接收检测警报400。
如上所述,检测警报400是从信息系统200内的设备发送的警告消息。
接着,在步骤S102中,攻击事件检索部2访问攻击事件数据库3,取得与检测警报400对应的攻击事件定义信息。
具体而言,攻击事件检索部2取得记载有与检测警报400中记载的事件类别(例如,ANOMALOUS_FILE_ACCESS)相同的事件类别的攻击事件定义信息。
此外,攻击事件检索部2将从检测警报400得到的事件发生源的具体值、事件参数的具体值代入到取得的攻击事件定义信息的已绑定变量信息中。
攻击事件检索部2将已绑定变量信息中记述有具体值的攻击事件定义信息输出到下一事件检索部5。
在步骤S103中,攻击事件检索部2从达成状态存储部4中读出与在S102中取得的攻击事件定义信息的达成状态匹配的达成状态信息,并以已绑定变量信息中记载的具体值,置换所读出的达成状态信息中记载的谓词逻辑中的变量。
然后,步骤S104中,攻击事件检索部2将以已绑定变量信息中记载的具体值置换变量后的达成状态信息存储到达成状态存储部4中。
在步骤S105中,下一事件检索部5检索攻击事件数据库3,取得在先决条件中记载有攻击事件定义信息的达成状态中记载的谓词逻辑的攻击事件定义信息。
接着,下一事件检索部5在步骤S106中导出临时候选事件。
具体而言,下一事件检索部5将在S102中从攻击事件检索部2输入的攻击事件定义信息的已绑定变量信息中的用于达成状态的值,代入到在S105中得到的攻击事件定义信息的已绑定变量信息。
下一事件检索部5将代入值后的攻击事件定义信息作为临时候选事件定义信息,输出到可发生判定部6。
图7示出攻击事件定义信息28的例子。
图8示出临时候选事件定义信息29的例子。
图7的攻击事件定义信息28是由攻击事件检索部2基于检测警报400得到的攻击事件定义信息的例子。
图8的临时候选事件定义信息29是由下一事件检索部5基于攻击事件定义信息28得到的临时候选事件定义信息的例子。
即,在图8的临时候选事件定义信息29中,与图7的攻击事件定义信息的达成状态30的谓词逻辑31“hasSecret(A,H)”相同的谓词逻辑被记载在先决条件32的谓词逻辑33中。
此外,达成条件30的谓词逻辑31中的变量“A”和变量“H”的具体值作为绑定值被记载在已绑定变量信息37中。
具体而言,变量“A”的绑定值是“USER1”,变量“H”的绑定值是“H_1。
接着,在步骤S107中,可发生判定部6导出候选事件。
即,可发生判定部6取得临时候选事件定义信息29,确认取得的临时候选事件定义信息29表示的临时候选事件当前是否能够发生。
更具体而言,可发生判定部6将临时候选事件的先决条件32的谓词逻辑33和已绑定变量信息36输入到达成状态存储部4,进行是否存在符合输入的谓词逻辑33的达成状态信息的检索。
此时,在临时候选事件定义信息29的先决条件32包含的变量的绑定值记述在已拘束变量信息36中的情况下,可发生判定部6检索谓词逻辑与绑定值的双方一致的达成状态信息。
此外,在临时候选事件定义信息29的已绑定变量信息36中未记述绑定值的情况下,可发生判定部6将达成状态信息中记述的具体值作为绑定值,记载到临时候选事件定义信息29的已绑定变量信息36中。
在检索的结果是临时候选事件定义信息29的先决条件32的谓词逻辑33全部已存储在达成状态存储部4中的情况下,可发生判定部6将临时候选事件定义信息29作为候选事件定义信息输出到监视事件判定信息生成部7。
图9示出可发生判定部6的动作时的达成状态存储部4保存的达成状态信息的例子。
图10示出可发生判定部6生成的候选事件定义信息的例子。
可发生判定部6确认符合图8的临时候选事件定义信息29的先决条件32中记载的谓词逻辑33“hasSecret(A,H)”、“canRead(A,F)”和已绑定变量信息36的绑定值的组合的达成状态信息是否被存储在达成状态存储部4中。
对于“hasSecret(A,H)”,存在与谓词逻辑和绑定值的组合一致的“hasSecret(“USER1”,“H_1”)”这一达成状态信息。
另一方面,对于“canRead(A,F)”,虽然谓词逻辑一致但不存在绑定值,因此,可发生判定部6将达成状态存储部4中存储的谓词逻辑40的具体值“File1”追加记述成已绑定变量信息36的变量名“F”的绑定值。
如标号42所示,图10的候选事件定义信息39是追加记述有“File1”作为已绑定变量信息41的变量名“F”的绑定值后的候选事件定义信息。
另外,图10的候选事件定义信息39的已绑定变量信息41中记述的绑定值即“USER1”、“H_1”、“File1”表示参与候选事件的发生的系统结构要素300,相当于候选系统结构要素。
在步骤S108中,监视事件判定信息生成部7取得从可发生判定部6输出的候选事件定义信息39。
并且,监视事件判定信息生成部7从候选事件定义信息39的已绑定变量信息41中,提取作为候选系统结构要素的“USER1”、“H_1”、“File1”。
而且,监视事件判定信息生成部7确定候选系统结构要素的属性。
具体而言,参照判定信息数据库8的判定信息,确定候选系统结构要素的属性。
在判定信息中,按照每个系统结构要素记述有系统结构要素的属性。
监视事件判定信息生成部7从判定信息中得到候选系统结构要素的属性。
并且,监视事件判定信息生成部7将候选系统结构要素信息的属性通知给监视事件判定部9。
此外,监视事件判定信息生成部7将从可发生判定部6取得的候选事件定义信息输出到监视事件判定部9。
在步骤S109中,监视事件判定部9对从监视事件判定信息生成部7通知的候选系统结构要素的属性进行分析,判定是否将候选事件设为监视对象。
监视事件判定部9将判定结果和从监视事件判定信息生成部7取得的候选事件定义信息输出到判定结果处理部10。
在步骤S110中,判定结果处理部10取得监视事件判定部9输出的判定结果和候选事件定义信息,进行候选事件的登记处理或排除处理。
具体而言,在由监视事件判定部9决定将候选事件设为监视对象的情况下,判定结果处理部10将候选事件定义信息作为监视事件定义信息输出到监视事件存储部11。
另一方面,在由监视事件判定部9决定不将候选事件设为监视对象的情况下,判定结果处理部10不将候选事件定义信息输出到监视事件存储部11。
***效果的说明***
如上所述,在本实施方式中,根据与事件相比个数大幅度减少的系统结构要素的属性,决定是否将候选事件设为监视对象。
因此,能够减少决定是否将候选事件设为监视对象所需的运算负荷和运算时间,能够高效地灵活运用用于事件监视的资源。
此外,由于事件的数量庞大,因此,对于系统管理者而言,按照每个事件在白名单中定义用于设为不是监视对象的条件成为重大的负担,但根据本实施方式,通过使用系统结构要素的属性进行定义,能够减轻系统管理者的负担。
实施方式2
在本实施方式中,说明候选系统结构要素的属性的导出方法和使用候选系统结构要素的属性决定是否将候选事件设为监视对象的方法的详情。
以下,主要说明与实施方式1的差异。
以下未说明的事项与实施方式1相同。
***信息处理装置100的结构的说明***
在本实施方式中,信息处理装置100的结构例也如图1所示。
在本实施方式中,监视对象决定部103取得排除规则,在该排除规则中用系统结构要素的属性定义了从监视对象排除的事件的条件。
此外,监视对象决定部103对由属性确定部102确定的候选系统结构要素的属性和在排除规则中定义的系统结构要素的属性进行比较,在候选系统结构要素的属性与在排除规则中定义的系统结构要素的属性一致的情况下,将候选事件从监视对象中排除。
另一方面,在候选系统结构要素的属性与在排除规则中定义的系统结构要素的属性不一致的情况下,监视对象决定部103将候选事件设为监视对象。
***攻击事件预测装置43的结构的说明***
图11是示出本实施方式的攻击事件预测装置43的结构图。
攻击事件预测装置43是将本实施方式的信息处理装置100进一步具体化而成的装置。
在图11中,攻击事件预测装置43由攻击事件检索部2、攻击事件数据库3、达成状态存储部4、下一事件检索部5、可发生判定部6、监视事件判定信息生成部44、结构信息数据库45、监视事件判定部46、排除规则数据库47、判定结果处理部48以及监视事件存储部11构成。
攻击事件预测装置43与实施方式1的攻击事件预测装置1同样地,根据从外部得到的检测警报400,确定作为监视对象的监视事件。
但是,攻击事件预测装置43的内部结构与攻击事件预测装置1不同。
在图11中,攻击事件检索部2、攻击事件数据库3、达成状态存储部4、下一事件检索部5、可发生判定部6以及监视事件存储部11与实施方式1的攻击事件预测装置1的攻击事件检索部2、攻击事件数据库3、达成状态存储部4、下一事件检索部5、可发生判定部6以及监视事件存储部11相同。
另外,在本实施方式中,可发生判定部6与图1所示的候选事件导出部101对应,监视事件判定信息生成部44与图1所示的属性确定部102对应,监视事件判定部46和判定结果处理部48与图1所示的监视对象决定部103对应。
监视事件判定信息生成部44将从可发生判定部6输入的候选事件定义信息的已绑定变量信息内的绑定值输入到结构信息数据库45,取得与绑定值相关的结构信息。
结构信息是表示绑定值中记述的候选系统结构要素的属性的信息。
例如,如果是文件,则将所属的网络组或与阅览许可相关的限制事项等记载在结构信息中,如果是主机名,则将IP地址或网络组等记载在结构信息中,如果是用户,则将保存的权限信息等记载在结构信息中。
监视事件判定信息生成部44从结构信息数据库45取得结构信息,得到候选系统结构要素的属性。
图12、图13、图14示出结构信息的例子。
图12示出与绑定值“File1”相关的结构信息49。
结构信息49由种类50、网络组51、阅览许可52构成。
结构信息按照每个种类而不同。
即,图12的结构信息49是种类50为“文件”的结构信息,图13的结构信息53是种类54为“主机”的结构信息,图14的结构信息58是种类59为“用户”的结构信息。
在图12的结构信息49中记载有如下属性:文件“File1”所属的网络组51是“N_1”,文件“File1”的阅览许可是仅“管理人员以上”被许可。
图13所示的主机“H_1”的结构信息53由种类54、IP地址55、网络组56、漏洞信息57构成。
在结构信息53中记载有如下属性:赋予给主机“H_1”的IP地址55是“192.168.0.1”,主机“H_1”所属的网络组56是“N_2”,作为漏洞信息57,主机“H_1”未实施“CVE-000-002”的对策。
图14所示的用户“USER1”的结构信息58由种类59、权限60构成。
在结构信息58中记载有用户“USER1”的权限60为“一般”的属性。
接着,图15和图16示出由结构信息数据库45存储的结构信息的例子。
在图15的结构信息61中,按照每个绑定值(例如文件名62、主机名63、用户名64),定义了系统结构要素300的属性(例如网络组65、阅览许可66)。
系统管理者可以根据网络结构等手动地输入系统结构要素300的属性,也可以使用工具自动地收集系统结构要素300的属性,生成结构信息61。
此外,在图16的结构信息67中,按照每个主机69,定义了有无实施针对漏洞信息68的对策。
另外,图16中记载的CVE是Common Vulnerabilities and Exposures(通用漏洞披露)的意思。
在图16的结构信息67中,用“Y”表现出对主机“H_1”实施了针对漏洞信息CVE-000-001的对策。
另一方面,用“N”表现出对主机“H_1”未实施针对漏洞信息CVE-000-002的对策。
这样,在结构信息61和结构信息67中定义了系统结构要素300的属性。
也可以如蓄积结构信息61的结构信息数据库、蓄积结构信息67的结构信息数据库那样,存在多个数据库。
监视事件判定部46将来自监视事件判定信息生成部44的结构信息作为输入,从排除规则数据库47取得排除规则,确认输入的结构信息示出的属性是否符合排除规则,判定是否将候选事件设为监视对象。
并且,监视事件判定部46将判定结果输出到判定结果处理部48。
图17示出排除规则数据库47保存的排除规则一览的例子。
在排除规则一览71中,按照每个ID 72记载有排除规则73。
在图17的排除规则一览71中,排除规则73用文章记述,但只要是能够与结构信息进行比较的规则,则可以是任何形式。
例如,排除规则73也可以用谓词逻辑记述。
判定结果处理部48将从可发生判定部6输出的候选事件定义信息和监视事件判定部46的判定结果作为输入。
判定结果处理部48进行排除由监视事件判定部46判定为不需要监视的候选事件的处理。
此外,判定结果处理部48将由监视事件判定部46判定为监视对象的候选事件定义信息作为监视事件定义信息输出到监视事件存储部11。
***攻击事件预测装置43的动作的说明***
接着,参照图18说明实施方式2的攻击事件预测装置43的动作。
图18是示出实施方式2的攻击事件预测装置43的整体处理流程的流程图。
首先,在步骤S201中,进行与S101~S107相同的处理。
接着,在步骤S202中,监视事件判定信息生成部44将输入的候选事件定义信息的已绑定变量信息的绑定值输出到结构信息数据库45,取得与已绑定变量信息相关的结构信息。
即,监视事件判定信息生成部44取得表示候选系统结构要素的属性的结构信息,判定候选系统结构要素的属性。
接着,监视事件判定信息生成部44将从结构信息数据库45取得的结构信息输出到监视事件判定部46。
在步骤S203中,监视事件判定部46从排除规则数据库47取得排除规则一览,判定在S202中输入到监视事件判定部46的结构信息的属性是否符合排除规则一览中记载的排除规则中的任意排除规则。
如上所述,在候选系统结构要素的属性与在排除规则中定义的系统结构要素的属性一致的情况下,监视事件判定部46判定为不需要监视候选事件。
另一方面,在候选系统结构要素的属性与在排除规则中定义的系统结构要素的属性不一致的情况下,监视事件判定部46将候选事件设为监视对象。
监视事件判定部46将判定结果输出到判定结果处理部48。
在步骤S204中,判定结果处理部48排除由监视事件判定部46判定为不需要监视的候选事件定义信息。
此外,判定结果处理部48将由监视事件判定部46判定为监视对象的候选事件定义信息作为监视事件定义信息输出到监视事件存储部11。
在步骤S205中,监视事件存储部11存储从判定结果处理部48输出的监视事件定义信息。
以上是本实施方式中的攻击事件预测装置43的动作说明。
以下,详细说明使用结构信息来判定不需要监视的候选事件的处理。
图19示出攻击事件预测装置43中的、用于判定不需要监视的候选事件的功能。
用于判定不需要监视的候选事件的功能由监视事件判定信息生成部44、结构信息数据库45、监视事件判定部46、排除规则数据库47、判定结果处理部48构成。
此外,监视事件判定信息生成部44由已绑定变量提取部74、结构信息取得部75构成。
已绑定变量提取部74从输入的候选事件定义信息中取得已绑定变量信息的绑定值。
结构信息取得部75将已绑定变量提取部74提取出的绑定值作为输入,从结构信息数据库45中取得与绑定值相关的结构信息,将取得的结构信息输出到监视事件判定部46。
接着,参照图20说明用于判定不需要监视的候选事件的动作。
首先,在步骤S301中,将候选事件定义信息输入到监视事件判定信息生成部44。
接着,在步骤S302中,监视事件判定信息生成部44内的已绑定变量提取部74从输入的候选事件定义信息中,提取已绑定变量信息的绑定值。
假设将图10的候选事件定义信息39输入到监视事件判定信息生成部44的情况。
已绑定变量提取部74从候选事件定义信息39中提取绑定值“USER1”、“H_1”、“File1”。
在步骤S303中,将在S302中提取出的绑定值输入到结构信息取得部75,结构信息取得部75将绑定值输入到结构信息数据库45。
即,结构信息取得部75将绑定值“USER1”、“H_1”、“File1”输入到结构信息数据库45。
在步骤S304中,结构信息取得部75取得与在S303中输入到结构信息数据库45的绑定值相关的结构信息。
例如,结构信息取得部75取得图12的结构信息49、图13的结构信息53、图14的结构信息58。
在步骤S305中,向监视事件判定部46输入在S304中取得的结构信息和已绑定变量信息。
在步骤S306中,监视事件判定部46从排除规则数据库47取得排除规则一览,调查在与输入到监视事件判定部46的已绑定变量信息包含的绑定值相关的结构信息中,是否没有符合排除规则的结构信息。
例如,监视事件判定部46针对图12的结构信息49、图13的结构信息53、图14的结构信息58取得图17的排除规则一览71。
在图12的结构信息49中,File1的阅览许可52为“管理人员以上”,此外,在图14的结构信息58中,USER1的权限60为“一般”。
因此,监视事件判定部46判断为符合排除规则一览71中的、与ID:001对应的排除规则“针对“管理人员以上的”阅览许可的对象,用户不具有所需的权限”。
在步骤S307中,在S306中的确认结果是存在匹配排除规则的结构信息的情况下,监视事件判定部46判定为不需要监视在已绑定变量信息中包含符合的结构信息中记述的属性的候选事件。
在步骤S308中,判断是否针对全部候选事件完成了步骤S302~步骤S307的处理。
如果针对全部候选事件完成了步骤S302~步骤S307的处理,则进行步骤S309。
在针对任意候选事件尚未完成步骤S302~步骤S307的处理的情况下,针对未处理的候选事件进行步骤S302~步骤S307的处理。
在步骤S309中,向判定结果处理部48输入候选事件定义信息和直到步骤S308为止得到的全部判定结果,判定结果处理部48排除判定为不需要监视的候选事件定义信息,将剩余的候选事件定义信息作为监视事件定义信息输出到监视事件存储部11。
***效果的说明***
如上所述,在本实施方式中,从候选事件的已绑定变量信息中取得结构信息,根据取得的结构信息,与预先确定的排除规则进行比较,由此,能够确定不需要监视的候选事件。
在结构信息中记述有系统结构要素的属性,此外,排除规则也以系统结构要素的属性记述有不需要监视的事件的条件。
因此,与实施方式1同样地,能够根据与事件相比个数大幅度减少的系统结构要素的属性,决定是否将候选事件设为监视对象。
因此,能够减少决定是否将候选事件设为监视对象所需的运算负荷和运算时间。
此外,能够减轻系统管理者的负担。
实施方式3
在本实施方式中,说明如下例子:例如在通过漏洞信息和网络信息等的更新而使排除规则无效化的情况下,将根据无效化的排除规则而设为不是监视对象的候选事件设为监视对象。
以下,主要说明与实施方式2的差异。
以下未说明的事项与实施方式2相同。
***信息处理装置100的结构的说明***
在本实施方式中,信息处理装置100的结构例也如图1所示。
在本实施方式中,在将候选事件从监视对象中排除后排除规则被无效化的情况下,监视对象决定部103将候选事件设为监视对象。
***攻击事件预测装置76的结构的说明***
图21是示出本实施方式的攻击事件预测装置76的结构图。
攻击事件预测装置76是将本实施方式的信息处理装置100进一步具体化而成的装置。
如图21所示,攻击事件预测装置76由攻击事件检索部2、攻击事件数据库3、达成状态存储部4、下一事件检索部5、可发生判定部6、监视事件判定信息生成部44、结构信息数据库45、监视事件判定部46、排除规则数据库47、判定结果处理部48、监视事件恢复处理部77、排除事件存储部78以及监视事件存储部11构成。
攻击事件预测装置76与实施方式2的攻击事件预测装置43同样地,根据从外部得到的检测警报400,确定作为监视对象的监视事件。
但是,在图21中,与图11相比,追加有监视事件恢复处理部77和排除事件存储部78。
在图21中,攻击事件检索部2、攻击事件数据库3、达成状态存储部4、下一事件检索部5、可发生判定部6以及监视事件存储部11与实施方式1的攻击事件预测装置1的攻击事件检索部2、攻击事件数据库3、达成状态存储部4、下一事件检索部5、可发生判定部6以及监视事件存储部11相同。
此外,结构信息数据库45、监视事件判定部46、排除规则数据库47以及判定结果处理部48与实施方式2的攻击事件预测装置43的结构信息数据库45、监视事件判定部46、排除规则数据库47以及判定结果处理部48相同。
另外,在本实施方式中,可发生判定部6与图1所示的候选事件导出部101对应,监视事件判定信息生成部44与图1所示的属性确定部102对应,监视事件判定部46、判定结果处理部48和监视事件恢复处理部77与图1所示的监视对象决定部103对应。
监视事件恢复处理部77取得无效化的排除规则的ID。
此外,监视事件恢复处理部77请求排除规则数据库47对符合取得的ID的排除规则进行无效化。
此外,监视事件恢复处理部77从排除事件存储部78中存储的、已从监视对象中排除的候选事件的候选事件定义信息中,提取根据符合取得的ID的排除规则而从监视对象中排除的候选事件的候选事件定义信息。
并且,监视事件恢复处理部77将提取出的候选事件定义信息存储到监视事件存储部11中。
排除事件存储部78存储由判定结果处理部48从监视对象中排除的候选事件定义信息。
另外,在图21中,由于制图方面的理由,省略了检测警报400的图示,但在本实施方式中,攻击事件检索部2也接收检测警报400。
图22示出排除事件存储部78中的存储内容的例子。
排除事件存储部78存储有排除事件信息表。
排除事件信息表由排除规则ID 80、先决条件81、事件82、达成状态83、已绑定变量信息84构成。
排除规则ID 80是判定从监视对象中排除候选事件时使用的排除规则的ID。
先决条件81、事件82、达成状态83、已绑定变量信息84是被记述在候选事件定义信息中的信息。
在图22中,作为例子,示出将图10的候选事件从监视对象中排除时的排除事件信息表。
***攻击事件预测装置76的动作的说明***
接着,参照图23说明实施方式3的攻击事件预测装置76的动作。
图23是示出实施方式3的攻击事件预测装置76的整体处理流程的流程图。
首先,在步骤S401中,攻击事件预测装置76的用户将无效化的排除规则的ID输入到监视事件恢复处理部77。
在步骤S402中,监视事件恢复处理部77请求排除规则数据库47对与ID对应的排除规则进行无效化。
接收到无效化请求的排除规则数据库47使与符合的ID对应的排除规则无效化。
无效化的排除规则不被用于监视事件判定部46的判定。
在步骤S403中,监视事件恢复处理部77从排除事件存储部78中,取得与在步骤S401中输入的ID对应的排除事件信息表内的记录。
排除事件存储部78将传递给监视事件恢复处理部77的记录从排除事件信息表中删除。
在步骤S404中,监视事件恢复处理部77检索排除事件存储部78,确认从排除事件存储部78取得的记录所示的候选事件是否符合其它排除规则。
即,监视事件恢复处理部77确认在事件82一栏中示出的候选事件是否被记载在排除事件信息表的其它记录中,事件82由在步骤S403中取得的记录示出。
在候选事件还符合其它排除规则而被设为不是监视对象的情况下,记载有该候选事件的记录存在于在S403中取得的记录以外。
在S404的处理后,在步骤S405中,根据是否存在记载有候选事件的其它记录,将处理分支。
当不存在其它记录时,监视事件恢复处理部77进行S407的处理。
当存在其它记录时,监视事件恢复处理部77进行S406的处理。
在步骤S406中,监视事件恢复处理部77不将候选事件设为监视的对象。
在步骤S407中,如果在S403的处理中取得的候选事件为多个,则判断是否针对全部候选事件进行了是否符合其它排除规则的确认。
当存在未确认的候选事件时,监视事件恢复处理部77对未确认的候选事件反复进行步骤S404之后的处理。
在对全部候选事件的确认完成时,监视事件恢复处理部77将候选事件作为监视事件输出到监视事件存储部11。
***效果的说明***
如上所述,在本实施方式中,将曾经不是监视对象的候选事件重新指定成监视对象,因此,能够灵活地应对更新了漏洞信息或网络信息等的结果是需要监视不是监视对象的候选事件的情况等。
实施方式4
在实施方式1~3中,说明了仅将作为监视对象选择出的候选事件定义信息存储到监视事件存储部11中的例子。
在本实施方式中,说明如下例子:将全部监视事件定义信息存储到监视事件存储部11中,根据针对信息系统200的攻击的进展状态,将监视事件存储部11中存储的监视事件定义信息从监视对象中排除。
以下,主要说明与实施方式1的差异。
以下未说明的事项与实施方式1相同。
***信息处理装置150的结构的说明***
图24示出本实施方式的信息处理装置150和信息系统200的结构例。
信息系统200与图1所示的信息系统200同样地,包含多个系统结构要素300。
另外,省略信息系统200和系统结构要素300的说明。
在信息处理装置150中,候选事件导出部151导出预计在有对信息系统200的攻击时在信息系统200中发生的事件,作为候选事件。
更具体而言,在发生了作为对信息系统200的攻击的前兆的攻击前兆事件时,候选事件导出部151导出预计接着攻击前兆事件而在信息系统200中发生的事件,作为候选事件。
此外,候选事件导出部151导出发生了候选事件时对信息系统200的攻击的进展状态即候选进展状态。
此外,候选事件导出部151导出多个系统结构要素300中的、参与候选事件的发生的系统结构要素作为候选系统结构要素。
信息存储部152存储表示候选事件的内容的候选事件信息1521和表示候选进展状态的候选进展状态信息1522。
此外,信息存储部152存储表示候选系统结构要素的候选系统结构要素信息1523。
具体而言,候选事件信息1521是图10所示的用标号1521的点划线围成的范围的信息。
具体而言,候选进展状态信息1522是图10所示的用标号1522的点划线围成的范围的信息。
具体而言,候选系统结构要素信息1523是图10所示的用标号1523的点划线围成的范围的信息。
进展状态检测部153检测对信息系统200的攻击的进展状态。
更具体而言,进展状态检测部153与多个系统结构要素300中的任意系统结构要素300对应地,检测对信息系统200的攻击的进展状态。
在判定时刻到来时,信息管理部154判定候选进展状态信息1522所示的候选进展状态与直到判定时刻之前由进展状态检测部153检测到的检测进展状态是否一致,在候选进展状态与检测进展状态一致的情况下,从信息存储部152中删除候选事件信息1521和候选进展状态信息1522。
更具体而言,判定候选进展状态信息1522所示的候选进展状态与直到判定时刻之前由进展状态检测部153检测到的检测进展状态是否一致、以及候选系统结构要素信息1523所示的候选系统结构要素与直到判定时刻之前由进展状态检测部153检测到的检测系统结构要素是否一致,在候选进展状态与检测进展状态一致且候选系统结构要素与检测系统结构要素一致的情况下,从信息存储部152中删除候选事件信息1521、候选进展状态信息1522和候选系统结构要素信息1523。
***信息处理装置150的动作的说明***
接着,说明信息处理装置150的动作例。
图25是示出信息处理装置150的动作例的流程图。
在本实施方式中,不进行是否将候选事件设为监视对象的判定,而将候选事件信息1521等存储在信息存储部152中,根据当前的攻击的进展状态,将已经不需要监视的候选系统的候选事件信息1521等从信息存储部152中删除。
首先,在S21中,候选事件导出部151导出候选事件。
例如在从信息系统200内的安全设备通知了攻击前兆事件的情况下,候选事件导出部101导出预计接着攻击前兆事件而发生的事件,作为候选事件。
候选事件的导出方法例如与实施方式1中示出的相同。
将S21称作候选事件导出处理。
接着,在S22中,候选事件导出部151导出发生了候选事件时对信息系统200的攻击的进展状态即候选进展状态。
候选进展状态是在S21中导出的候选事件的达成状态。
此外,候选事件导出部151导出多个系统结构要素300中的、参与候选事件的发生的系统结构要素作为候选系统结构要素。
接着,在S23中,信息存储部152存储表示候选事件的内容的候选事件信息1521和表示候选进展状态的候选进展状态信息1522。
此外,信息存储部152存储表示候选系统结构要素的候选系统结构要素信息1523。
将S23称作信息存储处理。
接着,在S24中,进展状态检测部153检测对信息系统200的攻击的进展状态。
更具体而言,进展状态检测部153与多个系统结构要素300中的任意系统结构要素300对应地,检测对信息系统200的攻击的进展状态。
进展状态检测部153例如接收在实施方式1中说明的检测警报400,并对检测警报400进行分析,由此检测对信息系统200的攻击的进展状态。
将S24称作进展状态检测处理。
周期性或非周期性地反复进行S24的处理。
接着,在S25中,在判定时刻到来时,信息管理部154判定候选进展状态信息1522所示的候选进展状态与直到判定时刻之前由进展状态检测部153检测到的检测进展状态是否一致、以及候选系统结构要素信息1523所示的候选系统结构要素与直到判定时刻之前由进展状态检测部153检测到的检测系统结构要素是否一致。
将S25称作信息管理处理。
接着,在S26中,在候选进展状态与检测进展状态一致且候选系统结构要素与检测系统结构要素一致的情况下,信息管理部154从信息存储部152中删除候选事件信息1521、候选进展状态信息1522和候选系统结构要素信息1523。
***攻击事件预测装置85的结构的说明***
图26示出本实施方式的攻击事件预测装置85的结构例。
攻击事件预测装置85是将图24所示的信息处理装置150进一步具体化而成的装置。
如图26所示,攻击事件预测装置85由攻击事件检索部2、攻击事件数据库3、达成状态存储部4、下一事件检索部5、可发生判定部6、监视事件判定信息生成部86、监视事件判定部87、判定结果处理部88以及监视事件存储部11构成。
攻击事件预测装置85与其它实施方式的攻击事件预测装置同样地,根据从外部得到的检测警报400,确定监视对象的监视事件。
在图26中,攻击事件检索部2、攻击事件数据库3、达成状态存储部4、下一事件检索部5、可发生判定部6以及监视事件存储部11与实施方式1的攻击事件检索部2、攻击事件数据库3、达成状态存储部4、下一事件检索部5、可发生判定部6以及监视事件存储部11相同。
监视事件判定信息生成部86将可发生判定部6导出候选事件作为触发进行动作。
监视事件判定信息生成部86取得监视事件存储部11中存储的全部候选事件定义信息,此外,取得达成状态存储部4中存储的全部达成状态信息,将取得的候选事件定义信息和达成状态信息输出到监视事件判定部87。
监视事件判定部87确认达成状态信息中是否存在匹配如下组合的达成状态,该组合是从监视事件判定信息生成部86输入的候选事件定义信息中记载的候选事件的达成状态的谓词逻辑、和与对应于谓词逻辑的变量相关的绑定值的组合。
在达成状态信息中存在与谓词逻辑和绑定值的组合匹配的达成状态的情况下,监视事件判定部87判定为不需要监视符合的候选事件。
判定结果处理部88请求监视事件存储部11删除监视事件判定部87判定为不需要监视的候选事件的候选事件定义信息。
另外,可发生判定部6与图24中示出的候选事件导出部151对应,监视事件存储部11与图24中示出的信息存储部152对应,攻击事件检索部2与图24中示出的进展状态检测部153对应。
此外,监视事件判定信息生成部86、监视事件判定部87和判定结果处理部88与图24中示出的信息管理部154对应。
***攻击事件预测装置85的动作的说明***
接着,参照图27说明实施方式4的攻击事件预测装置85的动作例。
图27是示出实施方式4的攻击事件预测装置85的处理流程的流程图。
首先,在步骤S501中,进行与S101~S107相同的处理。
在步骤S502中,监视事件存储部11存储从可发生判定部6输出的全部候选事件定义信息。
将由监视事件存储部11存储的候选事件定义信息称作监视事件定义信息。
即,在本实施方式中,不像在实施方式2中说明那样使用排除规则来选择作为监视对象的候选事件和不是监视对象的候选事件。
但是,也可以使用排除规则来选择作为监视对象的候选事件和不是监视对象的候选事件。
步骤S503中,在S502的处理完成后,可发生判定部6起动监视事件判定信息生成部86。
在步骤S504中,监视事件判定信息生成部86从监视事件存储部11中取得当前由监视事件存储部11存储的全部监视事件定义信息。
此外,监视事件判定信息生成部86从达成状态存储部4中取得当前存储着的全部达成状态信息。
此外,监视事件判定信息生成部86将取得的监视事件定义信息和达成状态信息输出到监视事件判定部87。
在步骤S505中,监视事件判定部87确认达成状态信息中是否存在匹配如下组合的达成状态,该组合是监视事件定义信息的达成状态中记载的谓词逻辑、和谓词逻辑中记载的变量的绑定值的组合。
在步骤S506中,根据达成状态信息中是否存在匹配如下组合的达成状态,使处理分支,该组合是监视事件定义信息的达成状态中记载的谓词逻辑、和谓词逻辑中记载的变量的绑定值的组合。
在达成状态信息中存在匹配达成状态的谓词逻辑和绑定值的组合的达成状态的情况下,监视事件判定部87进行S507的处理。
在达成状态信息中不存在匹配达成状态的谓词逻辑和绑定值的组合的达成状态的情况下,监视事件判定部87进行S508的处理。
在步骤S507中,判定为不需要监视达成状态的谓词逻辑和绑定值的组合匹配达成状态信息内的达成状态的监视事件。
即,对信息系统200的攻击进展的结果是监视事件的达成状态已在信息系统200中达成,因此已经不需要继续监视该监视事件,因此,监视事件判定部87判定为不需要监视该监视事件。
使用图28和图29说明S507的处理。
图28示出监视事件判定信息生成部86从监视事件存储部11取得的监视事件定义信息89。
此外,图29示出监视事件判定信息生成部86取得的达成状态信息90。
监视事件定义信息89的达成状态91的谓词逻辑“hasSecret(A、H)”、和已绑定变量信息93内的与变量“A”和变量“H”相关的绑定值94的值“USER1”、“H_1”的组合,与处于达成状态信息90内的谓词逻辑95“hasSecret(“USER1”,“H_1”)一致。
因此,监视事件判定部87判定为不需要监视在监视事件定义信息89的[事件]一栏中确定的监视事件。
返回图27,在步骤S508中,根据是否已对在S504中从监视事件判定信息生成部86输出的全部监视事件定义信息实施了S505~S507的处理,使处理分支。
在已对全部监视事件定义信息实施了S505~S507的处理的情况下,进行S509的处理。
在对一个以上的监视事件定义信息未实施S505~S507的处理的情况下,监视事件判定部87对未实施处理的监视事件定义信息实施S505~S507的处理。
在步骤S509中,判定结果处理部88请求监视事件存储部11从监视事件存储部11中删除在S507中判定为不需要监视的监视事件的监视事件定义信息。
***效果的说明***
如上所述,本实施方式中,通过对已达成的状态和通过监视事件达成的状态进行比较,能够从监视对象中排除处于由于某个攻击而已经达成的状态的前一阶段的监视事件,能够高效地灵活运用用于事件监视的资源。
实施方式5
在本实施方式中,说明用于管理各种数据库的管理工具。
***结构的说明***
如图30所示,本实施方式的数据库管理工具900向用户提示编辑画面950,受理来自用户的指示,编辑数据库包含的项目。
本实施方式的数据库管理工具900可以安装于实施方式1的攻击事件预测装置1、实施方式2的攻击事件预测装置43、实施方式3的攻击事件预测装置76、实施方式4的攻击事件预测装置85中的任何装置。
数据库管理工具进行在实施方式1~4中使用的各种数据库(例如,攻击事件数据库等)的内容的追加、删除、变更。
数据库管理工具900相当于规则编辑工具的例子。
如图30所示,编辑画面950由编辑对象选择区域960、编辑区域970、编辑对象显示区域980、编辑内容决定区域990构成。
编辑对象选择区域960显示进行编辑的数据库的候选,使用户选择编辑对象的数据库。
编辑区域970显示用户选择的数据库的项目的详情,受理编辑内容的指示。
编辑对象显示区域980显示在编辑对象选择区域960中用户选择的数据库,此外,使得用户能够选择所显示的数据库内的项目。
编辑内容决定区域990受理对用户选择的数据库的内容的追加、变更或删除等编辑类别的指示。
***动作的说明***
接着,参照图31说明实施方式5的数据库管理工具900的动作例。
图31是示出实施方式5的数据库管理工具900的处理流程的流程图。
在数据库管理工具900将编辑画面950显示在显示器上的状态下,在步骤S601中,根据用户是否进行编辑,使处理分支。
在用户结束编辑的情况下,处理结束。
在用户进行编辑的情况下,进行S602的处理。
在步骤S602中,在编辑对象选择区域960上显示数据库管理工具900能够编辑的数据库,用户从编辑对象选择区域960中选择编辑对象的数据库。
在步骤S603中,数据库管理工具900在编辑对象显示区域980中显示用户选择的数据库包含的项目。
在步骤S604中,根据编辑内容,使处理分支。
在数据库中新追加(新生成)项目的情况下,进行S605的处理。
在数据库的项目变更或数据库的项目删除的的情况下,进行S608的处理。
在步骤S605中,数据库管理工具900在编辑对象显示区域980中新追加项目,用户选择追加的项目。
在步骤S606中,数据库管理工具900在编辑区域970中显示在S605中选择的项目,项目的内容成为可编辑。
用户在编辑区域970中编辑该项目。
在步骤S607中编辑完成后,进行S601的处理。
在步骤S608中,用户从显示于编辑对象显示区域980的项目中,选择进行变更或删除的项目。
在步骤S609中,根据是对在S608中选择的项目进行变更还是进行删除,使处理分支。
在变更的情况下,进行S606的处理。
在删除的情况下,进行S610的处理。
在步骤S610中,数据库管理工具900删除在S608中选择的项目。
然后,进行S601的处理。
图32和图33示出编辑画面950的具体例。
图32示出用于攻击事件定义信息的编辑的编辑画面951。
图33示出用于排除规则的编辑的编辑画面952。
图32的编辑画面951中,在编辑对象选择区域961中,有用于选择作为编辑对象的数据库的“攻击事件定义信息”、“排除规则”、“结构信息”的选择栏。
图32示出选择了攻击事件定义信息的状态的编辑画面951的例子。
在编辑对象显示区域981中显示攻击事件定义信息的详细内容。
在编辑对象显示区域981中,按照每个项目,显示攻击事件定义信息的ID和事件类别。
在用户选择显示于编辑对象显示区域981的项目时,攻击事件定义信息的详情信息显示在编辑区域971中。
在图32中,示出在编辑内容决定区域991中选择了攻击事件定义信息的新生成的状态。
在编辑对象显示区域981中追加标号9811的“EV003”,成为选择了“EV003”的状态。
在编辑区域971中,显示与在编辑对象显示区域981中选择的标号9811的“EV003”相关的编辑画面。
在攻击事件定义信息的ID 9711中显示“EV003”,其它栏为空白栏。
图33示出在编辑对象选择区域961中选择了排除规则的状态的编辑画面952的例子。
在编辑对象显示区域982中显示排除规则的详细内容。
在编辑对象显示区域982中,按照每个项目,显示排除规则的ID和排除规则名称。
在用户选择显示于编辑对象显示区域982的项目时,排除规则的详情信息显示在编辑区域972中。
在图33中,示出在编辑对象显示区域982中选择了排除规则的新生成的状态。
在编辑对象显示区域982中追加标号9821的“RU003”,成为选择了“RU003”的状态。
在编辑区域972中,显示与在编辑对象显示区域982中选择的标号9821的“RU003”相关的编辑画面。
在攻击事件定义信息的ID 9721中显示“RU003”,其它栏为空白栏。
在规则名称9722中,指定表示排除规则的名称。
用户能够任意地指定排除规则的名称。
在规则检查对象9723中,指定作为基于排除规则的判定对象的事件。
在排除判定条件9724中,指定用于从监视对象中排除事件的条件。
***效果的说明***
如上所述,根据本实施方式,用户能够容易地编辑实施方式1至实施方式4的数据库。
以上说明了本发明的实施方式,但也可以组合实施这些实施方式中的两个以上。
或者,也可以部分地实施这些实施方式中的1个。
或者,还可以部分地组合实施这些实施方式中的两个以上。
另外,本发明不限于这些实施方式,能够根据需要进行各种变更。
最后,参照图34说明实施方式1~5所示的信息处理装置100、信息处理装置150、攻击事件预测装置1、攻击事件预测装置43、攻击事件预测装置76、攻击事件预测装置85(以下称作信息处理装置100等)的硬件结构例。
信息处理装置100等是计算机,能够用程序实现信息处理装置100等各要素。
作为信息处理装置100等的硬件结构,在总线上连接有运算装置901、外部存储装置902、主存储装置903、通信装置904、输入输出装置905。
运算装置901是执行程序的CPU(Central Processing Unit:中央处理单元)。
外部存储装置902例如是ROM(Read Only Memory:只读存储器)或闪存、硬盘装置。
主存储装置903是RAM(Random Access Memory:随机存取存储器)。
通信装置904例如是NIC(Network Interface Card:网络接口卡)。
输入输出装置905例如是鼠标、键盘、显示装置等。
程序通常被存储在外部存储装置902中,在被加载到主存储装置903的状态下,依次被读入到运算装置901中并执行。
程序是实现作为图1所示的“~部”(除“~存储部”以外,以下也同样如此)说明的功能的程序。
而且,在外部存储装置902中还存储有操作系统(OS),将OS的至少一部分加载到主存储装置903,运算装置901在执行OS的同时,执行实现图1所示的“~部”的功能的程序。
此外,在实施方式1~5的说明中,将示出作为“判断”、“判定”、“决定”、“确定”、“分析”、“取得”、“导出”、“提取”、“检测”、“设定”、“确认”、“选择”、“生成”、“输入”、“输出”等说明的处理结果的信息、数据、信号值以及变量值,作为文件存储到主存储装置903中。
另外,图34的结构只是示出信息处理装置100等的硬件结构的一例,信息处理装置100等的硬件结构不限于图34中记载的结构,也可以是其它结构。
此外,能够通过实施方式1~5所示的步骤,实现本发明的信息处理方法。
标号说明
1:攻击事件预测装置;2:攻击事件检索部;3:攻击事件数据库;4:达成状态存储部;5:下一事件检索部;6:可发生判定部;7:监视事件判定信息生成部;8:判定信息数据库;9:监视事件判定部;10:判定结果处理部;11:监视事件存储部;43:攻击事件预测装置;44:监视事件判定信息生成部;45:结构信息数据库;46:监视事件判定部;47:排除规则数据库;48:判定结果处理部;74:已绑定变量提取部;75:结构信息取得部;76:攻击事件预测装置;77:监视事件恢复处理部;78:排除事件存储部;85:攻击事件预测装置;86:监视事件判定信息生成部;87:监视事件判定部;88:判定结果处理部;100:信息处理装置;101:候选事件导出部;102:属性确定部;103:监视对象决定部;150:信息处理装置;151:候选事件导出部;152:信息存储部;153:进展状态检测部;154:信息管理部;200:信息系统;300:系统结构要素;400:检测警报;900:数据库管理工具;950:编辑画面;960:编辑对象选择区域;970:编辑区域;980:编辑对象显示区域;990:编辑内容决定区域;1521:候选事件信息;1522:候选进展状态信息;1523:候选系统结构要素信息。
Claims (14)
1.一种信息处理装置,其中,该信息处理装置具有:
候选事件导出部,其导出成为监视对象候选的事件作为候选事件,所述事件是预计在包含多个系统结构要素的信息系统中发生的事件;
属性确定部,其导出所述多个系统结构要素中的、参与所述候选事件的发生的系统结构要素作为候选系统结构要素,并确定所述候选系统结构要素的属性;以及
监视对象决定部,其对由所述属性确定部确定的所述候选系统结构要素的属性进行分析,决定是否将所述候选事件设为监视对象。
2.根据权利要求1所述的信息处理装置,其中,
所述候选事件导出部导出预计在有对所述信息系统的攻击的情况下在所述信息系统中发生的事件,作为所述候选事件。
3.根据权利要求2所述的信息处理装置,其中,
在发生了作为对所述信息系统的攻击的前兆的攻击前兆事件时,所述候选事件导出部导出预计接着所述攻击前兆事件而在所述信息系统中发生的事件,作为所述候选事件。
4.根据权利要求1所述的信息处理装置,其中,
所述监视对象决定部取得排除规则,在该排除规则中用系统结构要素的属性定义了从监视对象排除的事件的条件,
所述监视对象决定部对由所述属性确定部确定的所述候选系统结构要素的属性和在所述排除规则中定义的系统结构要素的属性进行比较,在所述候选系统结构要素的属性与在所述排除规则中定义的系统结构要素的属性一致的情况下,将所述候选事件从监视对象中排除。
5.根据权利要求4所述的信息处理装置,其中,
在所述候选系统结构要素的属性与在所述排除规则中定义的系统结构要素的属性不一致的情况下,所述监视对象决定部将所述候选事件设为监视对象。
6.根据权利要求4所述的信息处理装置,其中,
在将所述候选事件从监视对象中排除后所述排除规则被无效化的情况下,所述监视对象决定部将所述候选事件设为监视对象。
7.根据权利要求4所述的信息处理装置,其特征在于,
所述信息处理装置还具有进行所述排除规则的编辑的规则编辑工具。
8.一种信息处理装置,其中,该信息处理装置具有:
候选事件导出部,其导出预计在有对信息系统的攻击的情况下在所述信息系统中发生的事件作为候选事件,并导出发生了所述候选事件时对所述信息系统的攻击的进展状态即候选进展状态;
信息存储部,其存储表示所述候选事件的内容的候选事件定义信息和表示所述候选进展状态的候选进展状态信息;
进展状态检测部,其检测对所述信息系统的攻击的进展状态;以及
信息管理部,其在判定时刻到来时,判定所述候选进展状态信息所示的所述候选进展状态与直到所述判定时刻之前由所述进展状态检测部检测到的检测进展状态是否一致,在所述候选进展状态与所述检测进展状态一致的情况下,从所述信息存储部中删除所述候选事件定义信息和所述候选进展状态信息。
9.根据权利要求8所述的信息处理装置,其中,
在发生了作为对所述信息系统的攻击的前兆的攻击前兆事件时,所述候选事件导出部导出预计接着所述攻击前兆事件而在所述信息系统中发生的事件,作为所述候选事件。
10.根据权利要求9所述的信息处理装置,其中,
所述候选事件导出部导出预计在有对包含多个系统结构要素的所述信息系统的攻击的情况下在所述信息系统中发生的事件作为候选事件,并导出所述多个系统结构要素中的、参与所述候选事件的发生的系统结构要素作为候选系统结构要素,
所述信息存储部存储表示所述候选系统结构要素的候选系统结构要素信息,
所述进展状态检测部与所述多个系统结构要素中的任意系统结构要素对应地,检测对所述信息系统的攻击的进展状态,
在判定时刻到来时,所述信息管理部判定所述候选进展状态信息所示的所述候选进展状态与直到所述判定时刻之前由所述进展状态检测部检测到的检测进展状态是否一致、以及所述候选系统结构要素信息所示的所述候选系统结构要素与直到所述判定时刻之前由所述进展状态检测部检测到的检测系统结构要素是否一致,在所述候选进展状态与所述检测进展状态一致且所述候选系统结构要素与所述检测系统结构要素一致的情况下,从所述信息存储部中删除所述候选事件定义信息、所述候选进展状态信息和所述候选系统结构要素信息。
11.一种信息处理方法,其中,
计算机导出成为监视对象候选的事件作为候选事件,所述事件是预计在包含多个系统结构要素的信息系统中发生的事件,
所述计算机导出所述多个系统结构要素中的、参与所述候选事件的发生的系统结构要素作为候选系统结构要素,并确定所述候选系统结构要素的属性,
所述计算机对所述候选系统结构要素的属性进行分析,决定是否将所述候选事件设为监视对象。
12.一种信息处理方法,其中,
计算机导出预计在有对信息系统的攻击的情况下在所述信息系统中发生的事件作为候选事件,并导出发生了所述候选事件时对所述信息系统的攻击的进展状态即候选进展状态,
所述计算机使存储装置存储表示所述候选事件的内容的候选事件定义信息和表示所述候选进展状态的候选进展状态信息,
所述计算机检测对所述信息系统的攻击的进展状态,
所述计算机在判定时刻到来时,判定所述候选进展状态信息所示的所述候选进展状态与直到所述判定时刻之前检测到的检测进展状态是否一致,在所述候选进展状态与所述检测进展状态一致的情况下,从所述存储装置中删除所述候选事件定义信息和所述候选进展状态信息。
13.一种程序,其中,该程序使计算机执行以下处理:
候选事件导出处理,导出成为监视对象候选的事件作为候选事件,所述事件是预计在包含多个系统结构要素的信息系统中发生的事件;
属性确定处理,导出所述多个系统结构要素中的、参与所述候选事件的发生的系统结构要素作为候选系统结构要素,并确定所述候选系统结构要素的属性;以及
监视对象决定处理,对通过所述属性确定处理确定的所述候选系统结构要素的属性进行分析,决定是否将所述候选事件设为监视对象。
14.一种程序,其中,该程序使计算机执行以下处理:
候选事件导出处理,导出预计在有对信息系统的攻击的情况下在所述信息系统中发生的事件作为候选事件,并导出发生了所述候选事件时对所述信息系统的攻击的进展状态即候选进展状态;
信息存储处理,使存储装置存储表示所述候选事件的内容的候选事件定义信息和表示所述候选进展状态的候选进展状态信息;
进展状态检测处理,检测对所述信息系统的攻击的进展状态;以及
信息管理处理,在判定时刻到来时,判定所述候选进展状态信息所示的所述候选进展状态与直到所述判定时刻之前通过所述进展状态检测处理检测到的检测进展状态是否一致,在所述候选进展状态与所述检测进展状态一致的情况下,从所述存储装置中删除所述候选事件定义信息和所述候选进展状态信息。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2014/080252 WO2016075825A1 (ja) | 2014-11-14 | 2014-11-14 | 情報処理装置及び情報処理方法及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107077563A true CN107077563A (zh) | 2017-08-18 |
Family
ID=55953938
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480083332.9A Pending CN107077563A (zh) | 2014-11-14 | 2014-11-14 | 信息处理装置、信息处理方法以及程序 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20170277887A1 (zh) |
| JP (1) | JP6058246B2 (zh) |
| CN (1) | CN107077563A (zh) |
| WO (1) | WO2016075825A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113228017A (zh) * | 2018-12-27 | 2021-08-06 | 三菱电机株式会社 | 攻击树生成装置、攻击树生成方法以及攻击树生成程序 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10515062B2 (en) | 2016-05-09 | 2019-12-24 | Sumo Logic, Inc. | Searchable investigation history for event data store |
| TWI627859B (zh) * | 2017-04-21 | 2018-06-21 | 晨星半導體股份有限公司 | 應用於多媒體裝置的解碼電路及相關的解碼方法 |
| JP7125317B2 (ja) * | 2018-09-28 | 2022-08-24 | アズビル株式会社 | 不正アクセス監視装置および方法 |
| KR20200058147A (ko) | 2018-11-19 | 2020-05-27 | 삼성전자주식회사 | 전자 장치 및 그의 제어 방법 |
| FR3104761A1 (fr) * | 2019-12-12 | 2021-06-18 | Orange | Procédé de surveillance de données transitant par un équipement utilisateur |
| US20230214495A1 (en) * | 2022-01-04 | 2023-07-06 | International Business Machines Corporation | Dynamic prioritization of vulnerability exclusion renewals |
| JPWO2023195307A1 (zh) * | 2022-04-08 | 2023-10-12 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6681331B1 (en) * | 1999-05-11 | 2004-01-20 | Cylant, Inc. | Dynamic software system intrusion detection |
| JP2005202664A (ja) * | 2004-01-15 | 2005-07-28 | Mitsubishi Electric Corp | 不正アクセス統合対応システム |
| CN1734389A (zh) * | 2004-08-12 | 2006-02-15 | 株式会社Ntt都科摩 | 软件动作监视装置以及软件动作监视方法 |
| JP2009123052A (ja) * | 2007-11-16 | 2009-06-04 | Kddi Corp | ポリシ生成システム、プログラム、および記録媒体 |
| US20090319247A1 (en) * | 2008-06-18 | 2009-12-24 | Eads Na Defense Security And Systems Solutions Inc | Systems and Methods for A Simulated Network Environment and Operation Thereof |
| CN101933057A (zh) * | 2007-02-15 | 2010-12-29 | 安全局西格玛股份公司 | 用于远程控制和查看的移动系统和方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0512065A (ja) * | 1991-06-21 | 1993-01-22 | Hitachi Ltd | プログラム実行状況監視方法 |
| JP2008083751A (ja) * | 2006-09-25 | 2008-04-10 | Hitachi Information Systems Ltd | 不正アクセス対応ネットワークシステム |
| JP5731223B2 (ja) * | 2011-02-14 | 2015-06-10 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 異常検知装置、監視制御システム、異常検知方法、プログラムおよび記録媒体 |
| WO2014013603A1 (ja) * | 2012-07-20 | 2014-01-23 | 株式会社日立製作所 | 監視システム及び監視プログラム |
| US10282542B2 (en) * | 2013-10-24 | 2019-05-07 | Mitsubishi Electric Corporation | Information processing apparatus, information processing method, and computer readable medium |
| US9916445B2 (en) * | 2014-02-26 | 2018-03-13 | Mitsubishi Electric Corporation | Attack detection device, attack detection method, and non-transitory computer readable recording medium recorded with attack detection program |
-
2014
- 2014-11-14 WO PCT/JP2014/080252 patent/WO2016075825A1/ja active Application Filing
- 2014-11-14 US US15/506,674 patent/US20170277887A1/en not_active Abandoned
- 2014-11-14 JP JP2016558425A patent/JP6058246B2/ja active Active
- 2014-11-14 CN CN201480083332.9A patent/CN107077563A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6681331B1 (en) * | 1999-05-11 | 2004-01-20 | Cylant, Inc. | Dynamic software system intrusion detection |
| JP2005202664A (ja) * | 2004-01-15 | 2005-07-28 | Mitsubishi Electric Corp | 不正アクセス統合対応システム |
| CN1734389A (zh) * | 2004-08-12 | 2006-02-15 | 株式会社Ntt都科摩 | 软件动作监视装置以及软件动作监视方法 |
| CN101933057A (zh) * | 2007-02-15 | 2010-12-29 | 安全局西格玛股份公司 | 用于远程控制和查看的移动系统和方法 |
| JP2009123052A (ja) * | 2007-11-16 | 2009-06-04 | Kddi Corp | ポリシ生成システム、プログラム、および記録媒体 |
| US20090319247A1 (en) * | 2008-06-18 | 2009-12-24 | Eads Na Defense Security And Systems Solutions Inc | Systems and Methods for A Simulated Network Environment and Operation Thereof |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113228017A (zh) * | 2018-12-27 | 2021-08-06 | 三菱电机株式会社 | 攻击树生成装置、攻击树生成方法以及攻击树生成程序 |
| US11899788B2 (en) | 2018-12-27 | 2024-02-13 | Mitsubishi Electric Corporation | Attack tree generation device, attack tree generation method, and computer readable medium |
| CN113228017B (zh) * | 2018-12-27 | 2024-05-14 | 三菱电机株式会社 | 攻击树生成装置、攻击树生成方法以及计算机可读取的记录介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2016075825A1 (ja) | 2017-04-27 |
| WO2016075825A1 (ja) | 2016-05-19 |
| JP6058246B2 (ja) | 2017-01-11 |
| US20170277887A1 (en) | 2017-09-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107077563A (zh) | 信息处理装置、信息处理方法以及程序 | |
| CN103827810B (zh) | 资产模型导入连接器 | |
| CN104509034B (zh) | 模式合并以识别恶意行为 | |
| US9306889B2 (en) | Method and device for processing messages | |
| CN104040550B (zh) | 集成安全策略和事件管理 | |
| US20180307832A1 (en) | Information processing device, information processing method, and computer readable medium | |
| CN109842628A (zh) | 一种异常行为检测方法及装置 | |
| CN106209759A (zh) | 检测驻留在网络上的可疑文件 | |
| CN108989150A (zh) | 一种登录异常检测方法及装置 | |
| EP3068095A2 (en) | Monitoring apparatus and method | |
| CN111786950A (zh) | 基于态势感知的网络安全监控方法、装置、设备及介质 | |
| US10037316B2 (en) | Selective capture of incoming email messages for diagnostic analysis | |
| CN107408181A (zh) | 恶意软件感染终端的检测装置、恶意软件感染终端的检测系统、恶意软件感染终端的检测方法以及恶意软件感染终端的检测程序 | |
| KR100966073B1 (ko) | 단말 사용자 관리 장치 및 방법 | |
| US11475127B2 (en) | Information processing device and information processing method | |
| CN112153044A (zh) | 流量数据的检测方法及相关设备 | |
| JP2019101672A (ja) | サイバー攻撃情報処理プログラム、サイバー攻撃情報処理方法および情報処理装置 | |
| KR20210030361A (ko) | 컴퓨터 보안 사건을 보고하기 위한 시스템 및 방법 | |
| CN104486320B (zh) | 基于蜜网技术的内网敏感信息泄露取证系统及方法 | |
| KR102516819B1 (ko) | 빅데이터를 기반으로 위협 이벤트를 분석하고 대응하도록 지원하는 방법 및 이를 이용한 서버 | |
| CN111221722A (zh) | 行为检测方法、装置、电子设备及存储介质 | |
| JPWO2018146757A1 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| KR20160089800A (ko) | 사이버 침해 사고 조사 장치 및 방법 | |
| CN109492399A (zh) | 风险文件检测方法、装置及计算机设备 | |
| CN109800571A (zh) | 事件处理方法和装置、以及存储介质和电子装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| AD01 | Patent right deemed abandoned | ||
| AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20201222 |