CN112136132A - 设置场所选定支援装置、设置场所选定支援方法及设置场所选定支援程序 - Google Patents
设置场所选定支援装置、设置场所选定支援方法及设置场所选定支援程序 Download PDFInfo
- Publication number
- CN112136132A CN112136132A CN201880093477.5A CN201880093477A CN112136132A CN 112136132 A CN112136132 A CN 112136132A CN 201880093477 A CN201880093477 A CN 201880093477A CN 112136132 A CN112136132 A CN 112136132A
- Authority
- CN
- China
- Prior art keywords
- combination
- unit
- selection support
- installation location
- location selection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000009434 installation Methods 0.000 title claims abstract description 71
- 238000000034 method Methods 0.000 title claims description 16
- 238000001514 detection method Methods 0.000 claims abstract description 62
- 238000004891 communication Methods 0.000 claims abstract description 54
- 239000000284 extract Substances 0.000 claims abstract description 16
- 230000009467 reduction Effects 0.000 claims abstract description 12
- 238000012545 processing Methods 0.000 claims description 25
- 238000004364 calculation method Methods 0.000 claims description 15
- 239000011159 matrix material Substances 0.000 claims description 11
- 239000013598 vector Substances 0.000 claims description 6
- 230000008569 process Effects 0.000 claims description 4
- 238000011946 reduction process Methods 0.000 claims 1
- 230000006870 function Effects 0.000 description 34
- 238000010586 diagram Methods 0.000 description 11
- 230000004048 modification Effects 0.000 description 7
- 238000012986 modification Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 6
- 208000018208 Hyperimmunoglobulinemia D with periodic fever Diseases 0.000 description 3
- 206010072219 Mevalonic aciduria Diseases 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- DTXLBRAVKYTGFE-UHFFFAOYSA-J tetrasodium;2-(1,2-dicarboxylatoethylamino)-3-hydroxybutanedioate Chemical compound [Na+].[Na+].[Na+].[Na+].[O-]C(=O)C(O)C(C([O-])=O)NC(C([O-])=O)CC([O-])=O DTXLBRAVKYTGFE-UHFFFAOYSA-J 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 239000002131 composite material Substances 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
组合确定部(27)确定能够设置对非法的访问进行检测的入侵检测系统的结构要素的组合,该结构要素的组合是构成对象系统的1个以上的结构要素的组合。组合削减部(28)从由组合确定部确定的组合,抽出满足由设置条件输入部(22)受理的设置条件且能够检测阈值比值以上的由攻击信息输入部(24)受理的攻击信息所表示的非法通信的组合。
Description
技术领域
本发明涉及对检测非法的访问的入侵检测系统(Intrusion Detection System,IDS)的设置场所的选定进行支援的技术。
背景技术
在IT(Information Technology,信息技术)系统的开发中,必须通过进行安全分析来确定威胁,在将所需的安全策略明确化之后,实施或者导入适合的安全策略。
为了实施这个作业,需要具有与安全有关的高度的专业知识的分析员。该作业是即使由具有与安全有关的高度的专业知识的分析员实施也花费大量时间的作业。
在专利文献1中记载有如下内容:能够与攻击的实际状况对应地,针对应处置的攻击活动的每个组合,选择最佳的策略候选的组合。
现有技术文献
专利文献1:日本专利第6253862号公报
发明内容
通过使用专利文献1记载的技术,能够决定适合于各个运营商的安全策略的组合。但是,存在需要作出更详细的决定的安全策略。具体而言,在采用“导入入侵检测系统”这样的安全策略的情况下,只是通过“导入入侵检测系统”,会在入侵检测系统的设置场所方面存在随意性。
本发明的目的在于支援入侵检测系统的设置场所的选定。
本发明所涉及的设置场所选定支援装置具备:
组合确定部,确定能够设置对非法的访问进行检测的入侵检测系统的结构要素的组合,该结构要素的组合是构成对象系统的1个以上的结构要素的组合;以及
组合削减部,从由所述组合确定部确定的组合,抽出能够检测攻击信息所表示的非法通信的组合。
在本发明中,确定能够设置入侵检测系统的结构要素的组合,抽出能够检测非法通信的组合。由此,应设置入侵检测系统的场所被限定。因此,容易选定应设置入侵检测系统的场所。
附图说明
图1是实施方式1所涉及的设置场所选定支援装置10的硬件结构图。
图2是实施方式1所涉及的设置场所选定支援装置10的功能结构图。
图3是示出实施方式1所涉及的设置场所选定支援装置10的动作的流程图。
图4是示出实施方式1所涉及的系统结构信息的例子的图。
图5是示出变换图4所示的系统结构信息得到的图形的图。
图6是示出从图5所示的系统结构信息确定的组合的图。
图7是示出作为实施方式1所涉及的攻击信息的攻击树(attack tree)的例子的图。
图8是实施方式1所涉及的覆盖率的计算方法的说明图。
图9是示出实施方式1所涉及的覆盖率的计算结果的例子的图。
图10是示出储存于实施方式1所涉及的产品信息存储部34的信息的图。
图11是示出实施方式1所涉及的目标函数的例子的图。
图12是变形例1所涉及的设置场所选定支援装置10的结构图。
(符号说明)
10:设置场所选定支援装置;11:处理器;12:存储装置;13:数据接口;14:输入接口;15:显示接口;16:电子电路;21:系统结构输入部;22:设置条件输入部;23:阈值输入部;24:攻击信息输入部;25:参数输入部;26:设置场所确定部;27:组合确定部;28:组合削减部;29:检测部位确定部;30:覆盖率计算部;31:目标函数生成部;32:目标函数计算部;33:输出部;34:产品信息存储部;50:对象系统;51:服务器;52:计算机;53:客户终端。
具体实施方式
实施方式1.
***结构的说明***
参照图1,说明实施方式1所涉及的设置场所选定支援装置10的硬件结构。
设置场所选定支援装置10是计算机。
设置场所选定支援装置10具备处理器11、存储装置12、数据接口13、输入接口14以及显示接口15的硬件。处理器11经由信号线而与其它硬件连接,控制这些其它硬件。
处理器11是进行处理的IC(Integrated Circuit,集成电路)。作为具体例,处理器11是CPU(Central Processing Unit,中央处理单元)、DSP(Digital Signal Processor,数字信号处理器)、GPU(Graphics Processing Unit,图形处理单元)。
存储装置12是存储数据的存储装置。作为具体例,存储装置12是HDD(Hard DiskDrive,硬盘驱动器)。另外,存储装置12也可以是SD(日本注册商标,Secure Digital(安全数字))存储卡、CF(CompactFlash(紧凑闪存),日本注册商标)、NAND闪存、软盘、光盘、紧凑盘(Compact disc)、蓝光(日本注册商标)盘、DVD(Digital Versatile Disk)这样的可移动记录介质。
数据接口13是进行与外部的装置之间的数据的输入输出的装置。作为具体例,数据接口13是Ethernet(以太网,日本注册商标)的端口。
输入接口14是用于连接由用户操作的输入装置的装置。作为具体例,输入接口14是USB(Universal Serial Bus,通用串行总线)的端口。
显示接口15是用于连接显示装置的装置。作为具体例,显示接口15是HDMI(日本注册商标,High-Definition Multimedia Interface(高清晰度多媒体接口))的端口。
参照图2,说明实施方式1所涉及的设置场所选定支援装置10的功能结构。
作为功能结构要素,设置场所选定支援装置10具备系统结构输入部21、设置条件输入部22、阈值输入部23、攻击信息输入部24、参数输入部25、设置场所确定部26、组合确定部27、组合削减部28、检测部位确定部29、覆盖率计算部30、目标函数生成部31、目标函数计算部32、输出部33以及产品信息存储部34。
系统结构输入部21、设置条件输入部22、阈值输入部23、攻击信息输入部24以及参数输入部25的功能通过数据接口13和输入接口14中的至少任意一个来实现。设置场所确定部26、组合确定部27、组合削减部28、检测部位确定部29、覆盖率计算部30、目标函数生成部31以及目标函数计算部32的功能通过处理器11来实现。输出部33的功能通过显示接口15来实现。产品信息存储部34的功能通过存储装置12来实现。
设置场所确定部26、组合确定部27、组合削减部28、检测部位确定部29、覆盖率计算部30、目标函数生成部31以及目标函数计算部32的功能结构要素的功能通过软件来实现。在存储装置12中,储存有实现这些功能结构要素的功能的程序。该程序由处理器11读入并由处理器11执行。由此,实现这些功能结构要素的功能。
此外,在图1中,处理器11只示出1个。但是,处理器11也可以是多个,也可以由多个处理器11协作地执行实现各功能的程序。
***动作的说明***
参照图3至图10,说明实施方式1所涉及的设置场所选定支援装置10的动作。
实施方式1所涉及的设置场所选定支援装置10的动作与实施方式1所涉及的设置场所选定支援方法相当。另外,实施方式1所涉及的设置场所选定支援装置10的动作与实施方式1所涉及的设置场所选定支援程序的处理相当。
(图3的步骤S1:系统结构输入处理)
系统结构输入部21受理设置入侵检测系统的对象系统50的系统结构信息的输入。
具体而言,由用户制作对象系统50的系统结构信息。系统结构输入部21取得所制作的系统结构信息。系统结构输入部21将取得的系统结构信息写入到存储装置12。
如图4所示,作为具体例,系统结构信息是通过Microsoft Visio(日本注册商标)这样的现有的作图软件来制作的附图数据。在图4中,作为结构要素,对象系统具备服务器51、3台计算机52A~52C、客户终端53以及通信通路X、Y。在对象系统50中,服务器51和计算机52A~52C经由通信通路X连接,计算机52A~52C和客户终端53经由通信通路Y连接。
此外,系统结构信息也可以如通过用于使用明文(plain text)表现图形的DOT语言来表示系统结构的数据那样,是其它形式的数据。
(图3的步骤S2:设置场所确定处理)
设置场所确定部26将在步骤S1中受理的系统结构信息变换为图形。
具体而言,设置场所确定部26从存储装置12读出系统结构信息。设置场所确定部26通过将系统结构信息表示的对象系统50的结构要素表示为节点(以下称为结构节点),并将各结构节点之间的连接表示为边(edge),从而将系统结构信息变换为图形。并且,设置场所确定部26抽出所变换的图形中的各结构节点作为能够设置入侵检测系统的场所,对各结构节点分配作为标识符的结构节点编号。设置场所确定部26将对各结构节点分配结构节点编号得到的图形写入到存储装置12。
如图5所示,在图4所示的系统结构信息的情况下,将作为对象系统50的结构要素的服务器51、3台计算机52A~52C、客户终端53、通信通路X以及通信通路Y表示为结构节点。并且,以使服务器51和计算机52A~52C经由通信通路X连接、并使计算机52A~52C和客户终端53经由通信通路Y连接的方式设置边。在图5中,对服务器51分配节点编号“1”,对通信通路X分配节点编号“2”,对计算机52A分配节点编号“3”,对计算机52B分配节点编号“4”,对计算机52C分配节点编号“5”,对通信通路Y分配节点编号“6”,对客户终端53分配节点编号“7”。
(图3的步骤S3:组合确定处理)
组合确定部27确定能够设置入侵检测系统的结构要素的组合,该结构要素的组合是构成对象系统50的1个以上的结构要素的组合。
具体而言,设为对象系统50包括n个结构要素。n是1以上的整数。组合确定部27关于i=1、……、n的各整数i,确定结构要素的所有组合。组合确定部27将所确定的组合写入到存储装置12。
在图5所示的对象系统50的情况下,n=7。如图6所示,在图5所示的对象系统50的情况下,关于i=1、……,7的各整数i,在结构节点编号“1”至结构节点编号“7”之中确定i个结构节点的组合。
(图3的步骤S4:设置条件输入处理)
设置条件输入部22受理入侵检测系统的设置条件的输入。
具体而言,由用户制作入侵检测系统的设置条件。设置条件输入部22取得所制作的设置条件。设置条件输入部22将所取得的设置条件写入到存储装置12。
作为具体例,设置条件有“不设置装置上的入侵检测系统(Host-Based IDS,HIDS(基于主机的IDS))”这样的条件和“关于结构节点编号XX的结构要素无法设置入侵检测系统”这样的条件等。
(图3的步骤S5:第1组合削减处理)
组合削减部28从在步骤S3中确定的所有组合,抽出满足在步骤S4中受理的设置条件的组合。满足设置条件的组合是指在考虑设置条件的情况下能够设置入侵检测系统的组合。
具体而言,组合削减部28从存储装置12读出在步骤S3中确定的所有组合和在步骤S4中受理的设置条件。组合削减部28从读出的所有组合中,除去不满足读出的设置条件的组合,抽出剩余的组合。由此,组合削减部28削减组合数。组合削减部28将抽出的组合写入到存储装置12。
作为具体例,在设置条件是“不设置装置上的入侵检测系统(Host-Based IDS,HIDS)”这样的条件的情况下,组合削减部28关于包括作为装置的结构节点的结构节点编号“1”、“3”、“4”、“5”、“7”的结构节点的所有组合,视为是不满足设置条件的组合而除去。然后,组合削减部28抽出不包括结构节点编号“1”、“3”、“4”、“5”、“7”的组合。
有时由于运营商或者装置的制约,由用户预先在某种程度上判明无法指定为入侵检测系统的设置场所或者作为入侵检测系统的设置部位不适合这样的场所。在有这样的制约的情况下,将该制约作为设置条件,以削减设置场所选定支援装置10的处理量为目的而进行步骤S4至步骤S5的处理。因此,在没有这样的制约的情况下,省略步骤S4至步骤S5的处理。
(图3的步骤S6:攻击信息输入处理)
攻击信息输入部24受理定义了针对对象系统50的攻击的攻击信息的输入。
具体而言,由用户进行安全分析,制作攻击信息。攻击信息输入部24取得所制作的攻击信息。攻击信息输入部24将所取得的攻击信息写入到存储装置12。
在实施方式1中,设为攻击信息是利用树结构来表现攻击的目标以及手法的攻击树。在实施方式1中,如图7所示,攻击树为关于各节点(以下称为攻击节点)示出攻击树中的攻击节点的位置、活动内容以及类别的数据构造。活动内容包括种类和详情。攻击树的描述方法不限定于图7所示的方法,也可以用XML(Extensible Markup Language,可扩展标记语言)数据来描述。
在此,设为在攻击树中至少1个包括类别为“非法通信”的攻击节点。在类别为“非法通信”的攻击节点的详情中示出非法通信的发送源及发送目的地和所经由的通信通路。
(图3的步骤S7:检测部位确定处理)
检测部位确定部29根据在步骤S6中受理的攻击信息,确定检测非法通信的部位。
具体而言,检测部位确定部29从存储装置12,读出在作为通过步骤S6受理的攻击信息的攻击树中类别为“非法通信”的攻击节点的详情的信息。检测部位确定部29确定所读出的攻击节点的详情的信息表示的非法通信的发送源及发送目的地和经由的通信通路。在此,在针对根据某个攻击节点而确定的发送源、发送目的地以及通信通路设置入侵检测系统时,能够检测作为该攻击节点表示的攻击的非法通信。因此,检测部位确定部29将根据某个攻击节点而确定的发送源、发送目的地以及通信通路处理为对作为该攻击节点所表示的攻击的非法通信进行检测的部位。检测部位确定部29将所确定的检测非法通信的部位写入到存储装置12。
在实施方式1中,检测部位确定部29将检测攻击节点所表示的非法通信的部位表示为矩阵。
具体而言,如图8所示的覆盖矩阵(cover matrix)C所示。在此,关于攻击信息,作为类别为“非法通信”的攻击,示出关于i=1、……、m的各整数i的非法通信ai。另外,设为对象系统50包括关于j=1、……、n的各整数j的结构要素bj。检测部位确定部29当在结构要素bj处设置了入侵检测系统的情况下,在能够检测非法通信ai时对i行j列的要素cij设定1,在不能检测非法通信ai时对i行j列的要素cij设定0,而生成覆盖矩阵C。检测部位确定部29将所生成的覆盖矩阵C写入到存储装置12。
在覆盖矩阵C中,第j列的要素是与结构要素bj有关的信息。即,第j列的要素为1的行表示的非法通信是通过在结构要素bj处设置入侵检测系统而能够检测的非法通信。
(图3的步骤S8:覆盖率计算处理)
覆盖率计算部30在步骤S8中根据所确定的检测非法通信的部位,将在步骤S5中抽出的各组合作为对象,计算对象的组合能够检测的非法通信的比值即覆盖率。
具体而言,覆盖率计算部30对图8所示的设置列矢量x中的、包含于对象的组合的结构要素bj的行j的要素xj设定1,对其它要素xj设定0。覆盖率计算部30计算覆盖矩阵C与设置列矢量x之积,计算具有j=1、……、m的要素dj的覆盖列矢量d。覆盖率计算部30将覆盖列矢量d中的具有0以外的值的要素dj的个数除以值m,计算对象的组合能够检测的非法通信的比值。
其结果,如图9所示,关于在步骤S5中抽出的各组合,得到覆盖率和可检测的非法通信的编号。非法通信的编号意味着非法通信ai的下标i。
(图3的步骤S9:阈值输入处理)
阈值输入部23受理覆盖率的阈值的输入。
具体而言,由用户设定阈值。阈值输入部23取得所设定的阈值。阈值输入部23将所取得的阈值写入到存储装置12。
此外,在将阈值用100%来固定的情况下,步骤S9的处理被省略。
(图3的步骤S10:第2组合削减处理)
组合削减部28从在步骤S5中抽出的组合,抽出能够检测在步骤S9中受理的阈值以上的比值的非法通信的组合。
具体而言,组合削减部28从存储装置12读出在步骤S9中受理的阈值。组合削减部28参照在步骤S8中计算出的关于各组合的覆盖率,除去比阈值低的覆盖率的组合,抽出剩余的组合。由此,组合削减部28削减组合数。组合削减部28将抽出的组合写入到存储装置12。
(图3的步骤S11:参数输入处理)
参数输入部25受理用于决定入侵检测系统的设置场所的参数的输入。
具体而言,参数输入部25由用户输入参数。参数输入部25取得所输入的参数。参数输入部25将所取得的参数写入到存储装置12。
作为具体例,参数是入侵检测系统的设置数的最大数、与设置入侵检测系统的情况相关的最大价格、以及设置的入侵检测系统的处理量的余力的最低值等。此外,关于设置的每个入侵检测系统的价格以及吞吐量这样的属性值,如图10所示设为事先存储于产品信息存储部34。
(图3的步骤S12:目标函数生成处理)
目标函数生成部31从存储装置12读出在步骤S11中受理的参数,并且读出存储于产品信息存储部34的属性值。目标函数生成部31根据读出的参数以及属性值,生成用于决定在步骤S10中抽出的组合的目标函数。
作为具体例,如图11的式1所示,例举使设置的入侵检测系统的数量变少的目标函数。作为其它具体例,如图11的式2所示,例举使与入侵检测系统的设置相关的成本变少的目标函数。作为其它具体例,如图11的式3所示,例举使从吞吐量减去通信量(traffic)的最大值而得到的处理量的富余变大的目标函数。此外,在图11的式3中取i之和,但如图11的式4所示,还考虑关于各个i而使处理量的富余变大的目标函数。
此外,在图11所示的式子中,与i有关的和表示图8所示的设置列矢量x中的与非零的要素xj有关的和。在图11中,NIDS是基于网络的IDS(Network Based IDS)的简称。另外,在图11中,下标h表示是与HIDS有关的参数,下标n表示是与NIDS有关的参数。
(图3的步骤S13:目标函数计算处理)
目标函数计算部32使用加权平均法和约束方法(constraint method)这样的现有的解决方案或者解算器(solver),求解在步骤S12中生成的目标函数。由此,目标函数计算部32从在步骤S10中抽出的组合,确定1个组合以及设置于组合中包含的各节点的具体的入侵检测系统。
(图3的步骤S14:输出处理)
输出部33将在步骤S13中确定的组合输出到显示装置。
具体而言,将在步骤S13中确定的组合所包含的节点以及设置于各节点的具体的入侵检测系统,输出到显示装置。
***实施方式1的效果***
如以上那样,实施方式1所涉及的设置场所选定支援装置10确定能够设置入侵检测系统的结构要素的组合,抽出能够检测非法通信的组合。由此,应设置入侵检测系统的场所被限定。因此,容易选定应设置入侵检测系统的场所。
即,以往,考虑设置目的、监视员的数量、IDS的规格、数据流(量、方向)以及预算等,通过人工来决定入侵检测系统的设置场所。关于这个作业,在系统的规模变大而威胁的数量变多时,作业负荷高。通过导入实施方式1所涉及的设置场所选定支援装置10,能够减轻该作业负荷。
另外,实施方式1所涉及的设置场所选定支援装置10抽出能够对攻击信息所表示的非法通信之中的阈值以上的比值的非法通信进行检测的组合。由此,应设置入侵检测系统的场所被进一步限定。因此,更容易选定应设置入侵检测系统的场所。
另外,实施方式1所涉及的设置场所选定支援装置10抽出满足设置条件的组合。由此,应设置入侵检测系统的场所被进一步限定。因此,更容易选定应设置入侵检测系统的场所。
另外,实施方式1所涉及的设置场所选定支援装置10通过计算目标函数,确定适合于目标的组合。由此,容易选定适合于目标的设置场所。
***其它结构***
<变形例1>
在实施方式1中,各功能结构要素通过软件来实现。但是,作为变形例1,各功能结构要素也可以通过硬件来实现。关于该变形例1,说明与实施方式1不同的点。
参照图12,说明变形例1所涉及的设置场所选定支援装置10的硬件结构。
在各功能结构要素通过硬件来实现的情况下,设置场所选定支援装置10代替处理器11和存储装置12而具备电子电路16。电子电路16是实现设置场所确定部26、组合确定部27、组合削减部28、检测部位确定部29、覆盖率计算部30、目标函数生成部31、目标函数计算部32、输出部33、产品信息存储部34以及存储装置12的功能的专用的电路。
作为电子电路16,设想单一电路、复合电路、被编程的处理器、被并行编程的处理器、逻辑IC、GA(Gate Array,门阵列)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)。
既可以通过1个电子电路16来实现各功能结构要素,也可以将各功能结构要素分散到多个电子电路16来实现。
<变形例2>
作为变形例2,也可以通过硬件来实现一部分的各功能结构要素,并通过软件来实现其它的各功能结构要素。
将处理器11、存储装置12以及电子电路16称为处理电路。即,通过处理电路来实现各功能结构要素的功能。
Claims (8)
1.一种设置场所选定支援装置,具备:
组合确定部,确定能够设置对非法的访问进行检测的入侵检测系统的结构要素的组合,该结构要素的组合是构成对象系统的1个以上的结构要素的组合;以及
组合削减部,从由所述组合确定部确定的组合,抽出能够检测攻击信息所表示的非法通信的组合。
2.根据权利要求1所述的设置场所选定支援装置,其中,
所述组合削减部抽出能够检测所述攻击信息所表示的非法通信之中的阈值以上的比值的非法通信的组合。
3.根据权利要求2所述的设置场所选定支援装置,其中,
所述攻击信息示出关于i=1、……、m的各整数i的非法通信ai,
所述对象系统包括关于j=1、……、n的各整数j的结构要素bj,
所述设置场所选定支援装置还具备覆盖率计算部,
在结构要素bj处设置所述入侵检测系统的情况下,所述覆盖率计算部计算矩阵C与对包含于对象的组合的结构要素bj的行j的要素xj设定1并对其它要素设定0而成的列矢量x之积,计算具有j=1、……、m的要素dj的列矢量d,将具有0以外的值的要素dj的个数除以值m而计算所述对象的组合能够检测的非法通信的比值,其中,所述矩阵C是在能够检测非法通信ai的情况下对i行j列的要素cij设定1、且在无法检测非法通信ai的情况下对所述要素cij设定0而成的矩阵,
所述组合削减部根据由所述覆盖率计算部计算出的比值,抽出能够检测所述阈值以上的比值的非法通信的组合。
4.根据权利要求1至3中的任意一项所述的设置场所选定支援装置,其中,
所述设置场所选定支援装置还具备设置条件输入部,该设置条件输入部受理所述入侵检测系统的设置条件的输入,
所述组合削减部抽出能够检测所述非法通信并且满足由所述设置条件输入部受理的所述设置条件的组合。
5.根据权利要求1至3中的任意一项所述的设置场所选定支援装置,其中,
所述设置场所选定支援装置还具备函数计算部,该函数计算部通过求解用于决定由所述组合削减部抽出的组合的目标函数,确定推荐的组合。
6.根据权利要求5所述的设置场所选定支援装置,其中,
根据设置的入侵检测系统的数量、与设置入侵检测系统的情况相关的成本以及设置的入侵检测系统的处理余力中的至少任一个来设定所述目标函数。
7.一种设置场所选定支援方法,其中,
组合确定部确定能够设置对非法的访问进行检测的入侵检测系统的结构要素的组合,该结构要素的组合是构成对象系统的1个以上的结构要素的组合,
组合削减部从确定的组合,抽出能够检测攻击信息所表示的非法通信的组合。
8.一种设置场所选定支援程序,使计算机执行:
组合确定处理,确定能够设置对非法的访问进行检测的入侵检测系统的结构要素的组合,该结构要素的组合是构成对象系统的1个以上的结构要素的组合;以及
组合削减处理,从通过所述组合确定处理确定的组合,抽出能够检测攻击信息所表示的非法通信的组合。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2018/019665 WO2019224911A1 (ja) | 2018-05-22 | 2018-05-22 | 設置場所選定支援装置、設置場所選定支援方法及び設置場所選定支援プログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112136132A true CN112136132A (zh) | 2020-12-25 |
Family
ID=68616928
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201880093477.5A Pending CN112136132A (zh) | 2018-05-22 | 2018-05-22 | 设置场所选定支援装置、设置场所选定支援方法及设置场所选定支援程序 |
Country Status (4)
Country | Link |
---|---|
US (1) | US11991206B2 (zh) |
JP (1) | JP6762455B2 (zh) |
CN (1) | CN112136132A (zh) |
WO (1) | WO2019224911A1 (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10749890B1 (en) | 2018-06-19 | 2020-08-18 | Architecture Technology Corporation | Systems and methods for improving the ranking and prioritization of attack-related events |
US10817604B1 (en) | 2018-06-19 | 2020-10-27 | Architecture Technology Corporation | Systems and methods for processing source codes to detect non-malicious faults |
US11429713B1 (en) | 2019-01-24 | 2022-08-30 | Architecture Technology Corporation | Artificial intelligence modeling for cyber-attack simulation protocols |
US11128654B1 (en) | 2019-02-04 | 2021-09-21 | Architecture Technology Corporation | Systems and methods for unified hierarchical cybersecurity |
US11403405B1 (en) | 2019-06-27 | 2022-08-02 | Architecture Technology Corporation | Portable vulnerability identification tool for embedded non-IP devices |
US11444974B1 (en) * | 2019-10-23 | 2022-09-13 | Architecture Technology Corporation | Systems and methods for cyber-physical threat modeling |
US11503075B1 (en) | 2020-01-14 | 2022-11-15 | Architecture Technology Corporation | Systems and methods for continuous compliance of nodes |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070083927A1 (en) * | 2005-10-11 | 2007-04-12 | Intel Corporation | Method and system for managing denial of services (DoS) attacks |
US20100058456A1 (en) * | 2008-08-27 | 2010-03-04 | Sushil Jajodia | IDS Sensor Placement Using Attack Graphs |
CN102546638A (zh) * | 2012-01-12 | 2012-07-04 | 冶金自动化研究设计院 | 一种基于场景的混合入侵检测方法及系统 |
JP5723050B1 (ja) * | 2014-08-29 | 2015-05-27 | グリー株式会社 | ゲームプログラム、コンピュータの制御方法、およびコンピュータ |
US9635039B1 (en) * | 2013-05-13 | 2017-04-25 | Fireeye, Inc. | Classifying sets of malicious indicators for detecting command and control communications associated with malware |
US20170230413A1 (en) * | 2016-02-10 | 2017-08-10 | Verisign Inc. | Techniques for detecting attacks in a publish-subscribe network |
US20170237772A1 (en) * | 2013-09-17 | 2017-08-17 | Ologn Technologies Ag | Systems, Methods and Apparatuses for Prevention of Relay Attacks |
CN107104960A (zh) * | 2017-04-20 | 2017-08-29 | 四川电科智造科技有限公司 | 一种基于机器学习的工业控制系统入侵检测方法 |
CN107331097A (zh) * | 2017-08-01 | 2017-11-07 | 中科融通物联科技无锡有限公司 | 基于目标位置信息融合的周界防入侵装置与方法 |
US20180063085A1 (en) * | 2016-08-23 | 2018-03-01 | Cisco Technology, Inc. | Automatic firewall configuration based on aggregated cloud managed information |
US20180114421A1 (en) * | 2016-10-26 | 2018-04-26 | Ring Inc. | Customizable Intrusion Zones for Audio/Video Recording and Communication Devices |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7251831B2 (en) | 2001-04-19 | 2007-07-31 | International Business Machines Corporation | Method and system for architecting a secure solution |
JP4649080B2 (ja) | 2001-09-17 | 2011-03-09 | 株式会社東芝 | ネットワーク侵入検知システム、装置及びプログラム |
JP3649180B2 (ja) | 2001-12-06 | 2005-05-18 | 日本電気株式会社 | セキュリティ管理システムおよび経路指定プログラム |
JP4520703B2 (ja) | 2003-03-31 | 2010-08-11 | 富士通株式会社 | 不正アクセス対処システム、及び不正アクセス対処処理プログラム |
JP4222184B2 (ja) | 2003-04-24 | 2009-02-12 | 日本電気株式会社 | セキュリティ管理支援システム、セキュリティ管理支援方法およびプログラム |
US7228564B2 (en) * | 2003-07-24 | 2007-06-05 | Hewlett-Packard Development Company, L.P. | Method for configuring a network intrusion detection system |
CN101258470B (zh) | 2005-09-07 | 2011-08-03 | 国际商业机器公司 | 将保护代理自动部署到连接至分布式计算机网络的设备 |
US7966659B1 (en) * | 2006-04-18 | 2011-06-21 | Rockwell Automation Technologies, Inc. | Distributed learn mode for configuring a firewall, security authority, intrusion detection/prevention devices, and the like |
JP2010033100A (ja) | 2006-10-26 | 2010-02-12 | Nec Corp | 通信装置およびネットワークへの不正侵入検知装置 |
US8504504B2 (en) * | 2008-09-26 | 2013-08-06 | Oracle America, Inc. | System and method for distributed denial of service identification and prevention |
JP4814988B2 (ja) | 2009-11-02 | 2011-11-16 | 富士通株式会社 | 不正アクセス対処システム、及び不正アクセス対処処理プログラム |
JP6253862B1 (ja) | 2017-01-18 | 2017-12-27 | 三菱電機株式会社 | 情報処理装置、情報処理方法及び情報処理プログラム |
US10700940B2 (en) * | 2017-11-29 | 2020-06-30 | Amazon Technologies, Inc. | Network planning and optimization |
-
2018
- 2018-05-22 CN CN201880093477.5A patent/CN112136132A/zh active Pending
- 2018-05-22 WO PCT/JP2018/019665 patent/WO2019224911A1/ja active Application Filing
- 2018-05-22 JP JP2020520903A patent/JP6762455B2/ja active Active
-
2020
- 2020-09-30 US US17/039,293 patent/US11991206B2/en active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070083927A1 (en) * | 2005-10-11 | 2007-04-12 | Intel Corporation | Method and system for managing denial of services (DoS) attacks |
US20100058456A1 (en) * | 2008-08-27 | 2010-03-04 | Sushil Jajodia | IDS Sensor Placement Using Attack Graphs |
CN102546638A (zh) * | 2012-01-12 | 2012-07-04 | 冶金自动化研究设计院 | 一种基于场景的混合入侵检测方法及系统 |
US9635039B1 (en) * | 2013-05-13 | 2017-04-25 | Fireeye, Inc. | Classifying sets of malicious indicators for detecting command and control communications associated with malware |
US20170237772A1 (en) * | 2013-09-17 | 2017-08-17 | Ologn Technologies Ag | Systems, Methods and Apparatuses for Prevention of Relay Attacks |
JP5723050B1 (ja) * | 2014-08-29 | 2015-05-27 | グリー株式会社 | ゲームプログラム、コンピュータの制御方法、およびコンピュータ |
US20170230413A1 (en) * | 2016-02-10 | 2017-08-10 | Verisign Inc. | Techniques for detecting attacks in a publish-subscribe network |
US20180063085A1 (en) * | 2016-08-23 | 2018-03-01 | Cisco Technology, Inc. | Automatic firewall configuration based on aggregated cloud managed information |
US20180114421A1 (en) * | 2016-10-26 | 2018-04-26 | Ring Inc. | Customizable Intrusion Zones for Audio/Video Recording and Communication Devices |
CN107104960A (zh) * | 2017-04-20 | 2017-08-29 | 四川电科智造科技有限公司 | 一种基于机器学习的工业控制系统入侵检测方法 |
CN107331097A (zh) * | 2017-08-01 | 2017-11-07 | 中科融通物联科技无锡有限公司 | 基于目标位置信息融合的周界防入侵装置与方法 |
Also Published As
Publication number | Publication date |
---|---|
US20210168170A1 (en) | 2021-06-03 |
JP6762455B2 (ja) | 2020-09-30 |
US11991206B2 (en) | 2024-05-21 |
WO2019224911A1 (ja) | 2019-11-28 |
JPWO2019224911A1 (ja) | 2020-09-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112136132A (zh) | 设置场所选定支援装置、设置场所选定支援方法及设置场所选定支援程序 | |
US10521587B1 (en) | Detecting code obfuscation using recurrent neural networks | |
JP7287480B2 (ja) | 解析機能付与装置、解析機能付与方法及び解析機能付与プログラム | |
US11176248B2 (en) | Remediation of security vulnerabilities in computer software | |
US10310956B2 (en) | Techniques for web service black box testing | |
EP3107025A1 (en) | Log analysis device, unauthorized access auditing system, log analysis program, and log analysis method | |
US20090193411A1 (en) | Method and system for assessing deployment and un-deployment of software installations | |
JP6632777B2 (ja) | セキュリティ設計装置、セキュリティ設計方法およびセキュリティ設計プログラム | |
CN107239689A (zh) | 一种基于众包的验证信息的识别方法及系统 | |
Mishra et al. | Vmprotector: Malign process detection for protecting virtual machines in cloud environment | |
JP2017107405A (ja) | セキュリティ対策立案支援方式 | |
CN112367336B (zh) | webshell拦截检测方法、装置、设备及可读存储介质 | |
CN117581224A (zh) | 用于对汽车级应用程序进行排名的专家启发法、机器及深度学习的混合学习 | |
WO2018163274A1 (ja) | リスク分析装置、リスク分析方法及びリスク分析プログラム | |
US8914884B1 (en) | System and methods for protecting data from input devices | |
US20220121752A1 (en) | Identifying security vulnerabilities using modeled attribute propagation | |
CN113420302A (zh) | 主机漏洞检测方法及装置 | |
WO2020008632A1 (ja) | 仮説推論装置、仮説推論方法、及びコンピュータ読み取り可能な記録媒体 | |
US20210385235A1 (en) | Security analysis assistance apparatus, security analysis assistance method, and computer-readable recording medium | |
CN112929365A (zh) | 一种远程命令检测方法、装置及电子设备 | |
JP6584737B1 (ja) | 脅威特定装置、脅威特定方法及び脅威特定プログラム | |
WO2019142335A1 (ja) | セキュリティ設計装置、セキュリティ設計方法およびセキュリティ設計プログラム | |
US20160004853A1 (en) | Preventing unauthorized access to computer software applications | |
JP5999191B2 (ja) | セキュリティ機能設計支援装置、セキュリティ機能設計支援方法、およびプログラム | |
US20230334159A1 (en) | Information processing device, information processing method, and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |