CN114787807A - 信息处理装置、信息处理方法和信息处理程序 - Google Patents
信息处理装置、信息处理方法和信息处理程序 Download PDFInfo
- Publication number
- CN114787807A CN114787807A CN202080085152.XA CN202080085152A CN114787807A CN 114787807 A CN114787807 A CN 114787807A CN 202080085152 A CN202080085152 A CN 202080085152A CN 114787807 A CN114787807 A CN 114787807A
- Authority
- CN
- China
- Prior art keywords
- attribute
- analysis
- abnormality
- information
- recommended
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
属性选择部(101)根据新检测到的异常即新异常的多个属性各自的过去的异常分析中的分析状况,从多个属性中选择推荐在新异常的分析中重视的属性作为推荐属性。属性提示部(103)提示由属性选择部(101)选择出的推荐属性。
Description
技术领域
本发明涉及异常分析。
背景技术
近年来,已开发出很多学习正常的通信日志或终端日志并使用学习结果来检测网络攻击的异常检测技术(amomaly检测技术)。在异常检测中,需要尽快进行异常检测后的应对。因此,要求与通知异常检测的警报一起输出追加信息而对异常检测后的应对进行辅助的功能。
与此相对,例如,在专利文献1中公开有如下技术:求出第1警报与在第1警报之前先通知的第2警报之间的相似度,提示表示该相似度的相似度信息。
现有技术文献
专利文献
专利文献1:国际公开WO2016/092836号
发明内容
发明要解决的课题
在专利文献1的技术中,如果存在与第1警报相似的第2警报,则例如能够提示第2警报的应对历史作为对异常检测后的应对进行辅助的信息。但是,在不存在与第1警报相似的警报的情况下,仅能够提示不存在与第1警报相似的警报。
即,在专利文献1的技术中存在如下课题:在新检测到的异常与过去检测到的异常不相似的情况下,无法提示对异常检测后的应对进行辅助的信息。
本发明的主要目的在于解决这种课题。更具体而言,本发明的主要目的在于,得到如下结构:在新检测到的异常与过去检测到的异常不相似的情况下,也能够提示对异常检测后的应对进行辅助的信息。
用于解决课题的手段
本发明的信息处理装置具有:属性选择部,其根据新检测到的异常即新异常的多个属性各自的过去的异常分析中的分析状况,从所述多个属性中选择推荐在所述新异常的分析中重视的属性作为推荐属性;以及属性提示部,其提示由所述属性选择部选择出的所述推荐属性。
发明效果
根据本发明,在新异常与过去检测到的异常不相似的情况下,也能够提示推荐属性作为对异常检测后的应对进行辅助的信息。
附图说明
图1是示出实施方式1的系统结构例的图。
图2是示出实施方式1的分析辅助装置的硬件结构例的图。
图3是示出实施方式1的分析辅助装置的功能结构例的图。
图4是示出实施方式1的分析辅助装置的动作例的流程图。
图5是示出实施方式1的分析辅助装置的动作例的流程图。
图6是示出实施方式1的分析结果输入画面的例子的图。
图7是示出实施方式1的警报信息的例子的图。
图8是示出实施方式1的分析结果信息的例子的图。
图9是示出实施方式1的基础值信息的例子的图。
图10是示出实施方式1的警报提示信息的生成过程的图。
图11是示出实施方式1的警报提示信息的生成过程的图。
图12是示出实施方式2的分析辅助装置的动作例的流程图。
图13是示出实施方式2的分析辅助装置的动作例的流程图。
图14是示出实施方式2的相关值信息的例子的图。
图15是示出实施方式2的分析结果输入画面的例子的图。
图16是示出实施方式2的警报提示信息的例子的图。
具体实施方式
下面,使用附图对实施方式进行说明。在以下的实施方式的说明和附图中,标注有相同标号的部分表示相同的部分或相当的部分。
实施方式1
***结构的说明***
图1示出本实施方式的系统结构例。
如图1所示,本实施方式的系统由监视对象系统301、异常检测装置303和分析辅助装置100构成。
分析辅助装置100相当于信息处理装置。此外,分析辅助装置100的动作顺序相当于信息处理方法。此外,实现分析辅助装置100的动作的程序相当于信息处理程序。
监视对象系统301包含日志采集装置302。
日志采集装置302采集监视对象系统301内发生的终端日志、通信日志等对象系统日志106。此外,日志采集装置302将采集到的对象系统日志106发送到异常检测装置303。
异常检测装置303包含相似度判定部304。
相似度判定部304使用规则、机器学习等的异常(anomaly)的判定逻辑,将从日志采集装置302发送的对象系统日志106与过去收集到的对象系统日志进行比较并分析。然后,相似度判定部304生成表示分析结果的警报信息107,将警报信息107发送到分析辅助装置100。
此外,相似度判定部304具有针对从对象系统日志106取得的多个属性分别计算单独的异常度的功能。此外,相似度判定部304具有提取与新的警报信息107相似的过去的警报信息的功能。
图7示出警报信息107的例子。警报信息107是通知由相似度判定部304检测到的异常的信息。
警报信息107包含有警报ID(Identifier:标识符)、异常度(整体)、相似警报ID、标识符、属性、属性值、异常度。
在警报ID中示出能够唯一地识别警报信息107的标识符。
在属性中示出对象系统日志106所示的属性。属性是异常的特征。
在标识符中示出能够唯一地识别属性的标识符。
在属性值中示出属性的具体值。
在异常度中示出每个属性的异常度。
在异常度(整体)中示出将每个属性的异常度统合而成的异常度。
在相似警报ID中记述与警报信息107相似的过去的警报信息的警报ID。在不存在与警报信息107相似的警报信息的情况下,相似警报ID的栏是空栏。
图2示出本实施方式的分析辅助装置100的硬件结构例。
分析辅助装置100是计算机。
作为硬件,分析辅助装置100具有处理器201、存储器202、通信接口203、辅助存储装置204和输入输出接口205。
在辅助存储装置204中存储有实现后述的属性选择部101、属性提示部103和分析结果取得部104的功能的程序。
这些程序从辅助存储装置204载入到存储器202。然后,处理器201执行这些程序,进行后述的属性选择部101、属性提示部103和分析结果取得部104的动作。
在图2中,示意地示出处理器201正在执行实现属性选择部101、属性提示部103和分析结果取得部104的功能的程序的状态。
通信接口203从异常检测装置303接收警报信息107。
输入输出接口205向利用分析辅助装置100的分析员提示后述的分析结果输入画面700。此外,输入输出接口205取得分析员对分析结果输入画面700的输入内容。此外,输入输出接口205向分析员提示后述的警报提示信息1000或警报提示信息1001。
图3示出本实施方式的分析辅助装置100的功能结构例。
如图3所示,分析辅助装置100由属性选择部101、分析结果存储部102、属性提示部103和分析结果取得部104构成。
在分析结果存储部102中存储有分析结果信息108和基础值信息109。
图8示出分析结果信息108的例子。
分析结果信息108由警报ID、判定结果和标识符/异常度构成。
在警报ID中示出从异常检测装置303发送的过去的警报信息107的警报ID。
在判定结果中示出分析员对过去的警报信息107作出的判定结果。在分析员对警报信息107进行分析后的结果是判定为发生了网络攻击的情情况下,在判定结果的栏中记述“攻击”。另一方面,在分析员对警报信息107进行分析后的结果是判定为是误检测的情况下,在判定结果的栏中记述“误检测”。
在标识符/异常度中示出在分析员作出判定时重视(关注)的属性的标识符和针对该标识符记述在警报信息107中的异常度。
图9示出基础值信息109的例子。
在基础值信息109中,按照属性的标识符记述有基础值。
在标识符中示出从过去接收到的全部警报信息107中提取出的属性的标识符。
基础值表示分析员在异常分析中重视属性的程度。即,在过去的异常分析中被分析员重视的次数越多的属性,则基础值越高。异常分析是如下顺序:分析员对警报信息107所示的异常的属性进行分析,判定由警报信息107表示的异常是基于误检测还是基于网络攻击。
属性选择部101在分析员对新检测到的异常即新异常进行分析时,根据新异常的多个属性各自的过去的异常分析中的分析状况,从多个属性中选择推荐在新异常的分析中重视的属性作为推荐属性。新异常是由新的警报信息107通知的异常。
即,属性选择部101从异常检测装置303取得新的警报信息107。然后,属性选择部101判定在取得的新的警报信息107的相似警报ID的栏中是否记载有过去的相似的警报信息的警报ID。即,属性选择部101判定是否存在与新异常相似的过去检测到的异常。
然后,在新的警报信息107的相似警报ID的栏中示出警报ID的情况下,即在存在与新异常相似的过去检测到的异常的情况下,属性选择部101从分析结果存储部102取得与该警报ID对应的分析结果信息108。进而,属性选择部101将取得的分析结果信息108中记载的属性的标识符和警报信息107输出到属性提示部103。
另一方面,在新的警报信息107的相似警报ID的栏中未示出警报ID的情况下,即在不存在与新异常相似的过去检测到的异常的情况下,警报信息107从由警报信息107通知的多个属性中选择推荐属性。具体而言,属性选择部101选择由警报信息107通知的多个属性中的、在基础值信息109中基础值高的属性作为推荐属性。然后,属性选择部101将选择出的推荐属性的标识符和警报信息107输出到属性提示部103。
另外,由属性选择部101进行的处理相当于属性选择处理。
属性提示部103根据从属性选择部101输出的属性的标识符和警报信息107生成后述的警报提示信息1000或警报提示信息1001。然后,属性提示部103经由输入输出接口205向分析员提示警报提示信息1000或警报提示信息1001。
由属性提示部103进行的处理相当于属性提示处理。
分析结果取得部104从分析员取得针对警报信息107的异常分析的结果,生成分析结果信息108和基础值信息109。
更具体而言,分析结果取得部104经由输入输出接口205向分析员提示图6所示的分析结果输入画面700。然后,分析结果取得部104根据分析员对分析结果输入画面700的输入内容生成分析结果信息108和基础值信息109。
另外,图6的详细情况在后面叙述。
***动作的说明***
接着,参照图4和图5对本实施方式的分析辅助装置100的动作例进行说明。
图4示出取得了新的警报信息107时的分析辅助装置100的动作例。
图5示出分析员完成了异常分析时的分析辅助装置100的动作例。
首先,参照图4对取得了新的警报信息107时的分析辅助装置100的动作例进行说明。
在步骤S101中,属性选择部101从异常检测装置303取得新的警报信息107。
接着,在步骤S102中,属性选择部101判定是否存在与警报信息107相似的警报信息的分析结果信息108。
具体而言,属性选择部101判定在取得的警报信息107的相似警报ID的栏中是否示出过去的相似的警报信息的警报ID。
在取得的警报信息107的相似警报ID的栏中示出警报ID的情况下(步骤S102:是),处理转移到步骤S103。另一方面,在取得的警报信息107的相似警报ID的栏中未示出警报ID的情况下(步骤S102:否),处理转移到步骤S104。
在步骤S103中,属性选择部101取得与警报信息107相似的警报信息的分析中被重视的属性。
更具体而言,属性选择部101从分析结果存储部102取得与警报信息107相似的警报信息的分析结果信息108。然后,属性选择部101取得已取得的分析结果信息108中记载的属性。
属性选择部101将取得的属性和警报信息107输出到属性提示部103。
在步骤S104中,属性选择部101选择推荐属性。
更具体而言,属性选择部101从分析结果存储部102取得基础值信息109。然后,属性选择部101选择警报信息107中包含的属性中的基础值高的属性作为推荐属性。
属性选择部101例如选择警报信息107中包含的属性中的基础值高于阈值(例如“0.5”)的属性作为推荐属性。此外,属性选择部101也可以按照基础值从高到低的顺序选择n个(n为2以上的任意整数)作为推荐属性。
属性选择部101将选择出的推荐属性和警报信息107输出到属性提示部103。
在步骤S105中,属性提示部103生成警报提示信息,经由输入输出接口205向分析员提示生成的警报提示信息。
在由属性选择部101输出了分析结果信息108中包含的属性和警报信息107的情况下,属性提示部103生成表示分析结果信息108中包含的属性和警报信息107的警报提示信息。
另一方面,在由属性选择部101输出了推荐属性和警报信息107的情况下,属性提示部103生成表示推荐属性和警报信息107的警报提示信息。
图10对图4的步骤S102的判定为“是”的情况下的警报提示信息的生成过程进行说明。
属性选择部101将警报信息107的“相似警报ID:1001”作为关键字来检索分析结果存储部102的分析结果信息108,提取记载有“警报ID:1001”的分析结果信息108。
然后,属性选择部101从提取出的分析结果信息108中记载的标识符中提取警报信息107中包含的标识符。这里,属性选择部101提取R1、R7、R10、R11、R12。
属性选择部101将警报信息107和从分析结果信息108中提取出的标识符输出到属性提示部103。
属性提示部103使用警报信息107和从分析结果信息108中提取出的标识符生成警报提示信息1000。
在警报提示信息1000中示出警报信息107的“警报ID:1003”和“异常度(整体):95%”。此外,在警报提示信息1000中示出从分析结果信息108中提取出的标识符(R1、R7、R10、R11、R12)、与这些标识符对应的属性和属性值。进而,在警报提示信息1000中还示出与警报信息107所示的各标识符对应的异常度。
图11对图4的步骤S102的判定为“否”的情况下的警报提示信息的生成过程进行说明。
属性选择部101根据警报信息107的“相似警报ID:无”,从分析结果存储部102取得基础值信息109。
然后,属性选择部101从基础值信息109中提取警报信息107中包含的标识符中的基础值为0.5以上的标识符。这里,属性选择部101提取R1、R5、R10。另外,与这些R1、R5、R10对应的属性相当于推荐属性。
属性选择部101将警报信息107、从基础值信息109中提取出的标识符和基础值输出到属性提示部103。
属性提示部103使用警报信息107、从基础值信息109中提取出的标识符和基础值生成警报提示信息1001。
在警报提示信息1001中示出警报信息107的“警报ID:1005”和“异常度(整体):95%”。此外,在警报提示信息1001中示出从基础值信息109中提取出的标识符(R1、R5、R10)、与这些标识符对应的属性和属性值。进而,在警报提示信息1001中还示出与警报信息107所示的各标识符对应的异常度、与从基础值信息109中提取出的各标识符对应的基础值。
接着,参照图5对分析员完成了异常分析时的分析辅助装置100的动作例进行说明。
在步骤S106中,分析结果取得部104从分析员取得异常分析的分析结果。
更具体而言,分析结果取得部104经由输入输出接口205向分析员提示分析结果输入画面700,使分析员向分析结果输入画面700的必要项目输入分析结果。
此外,分析结果取得部104从属性提示部103取得对应的警报信息107。
图6示出针对图7所示的警报信息107(警报ID:1001)的分析结果输入画面700的例子。
在分析结果输入画面700中,示出警报信息107的“警报ID:1001”。此外,示出警报信息107中包含的“异常度(整体):95%”。进而,示出警报信息107所示的标识符(R1、R2、R3等)、属性(Method、Scheme、Host等)和属性值(GET、http、www等)。
进而,按照每个标识符设置有复选框701。分析员对在异常分析中重视(关注)的属性的标识符的复选框701进行勾选。分析员能够选择多个复选框。
此外,分析员操作下拉列表702来指定有无网络攻击的判定结果。在图6中示出“误检测”,但是,分析员能够通过下拉来选择“误检测”和“攻击”。
分析员确定输入内容后,按下确定按钮703。
另外,在图6中,作为一例,使用下拉形式和复选框形式,但是,分析结果输入画面700中的输入形式是任意的。
接着,在步骤S107中,分析结果取得部104生成分析结果信息108。
更具体而言,分析结果取得部104使用在分析结果输入画面700中由分析员选择出的(对复选框701进行了勾选的)标识符及其异常度、通过下拉列表702指定的有无网络攻击的判定结果、警报ID生成图8所示的分析结果信息108。
即,分析结果取得部104在分析结果信息108中记述分析结果输入画面700所示的警报ID。此外,分析结果取得部104在分析结果信息108中记述通过分析结果输入画面700的下拉列表702指定的判定结果。此外,分析结果取得部104在分析结果信息108中记述在分析结果输入画面700中对复选框进行了勾选的标识符。此外,分析结果取得部104在分析结果信息108中记述警报信息107所示的异常度。
然后,分析结果取得部104将生成的分析结果信息108和警报信息107存储于分析结果存储部102。
接着,在步骤S108中,分析结果取得部104对基础值信息109进行更新。
更具体而言,分析结果取得部104针对在分析结果输入画面700中对复选框进行了勾选的标识符计算基础值,对基础值信息109进行更新。
分析结果取得部104按照每个标识符,按照以下的(式1)计算基础值。
标识符被重视(关注)的总次数÷警报信息的总发行数(式1)
在(式1)中,“标识符被重视(关注)的总次数”是此前在分析结果输入画面700中对复选框进行了勾选的总次数。分析结果存储部102存储有实施步骤S108之前的“标识符被重视(关注)的总次数”。分析结果取得部104从分析结果存储部102取得实施步骤S108之前的“标识符被重视(关注)的总次数”,对取得的“标识符被重视(关注)的总次数”追加1,得到最新的“标识符被重视(关注)的总次数”。
此外,在(式1)中,“警报信息的总发行数”是此前从异常检测装置303发行的警报信息的总数。属性选择部101每当接收警报信息107时,增加“警报信息的总发行数”。然后,分析结果存储部102存储有由属性选择部101计数出的“警报信息的总发行数”。分析结果取得部104从分析结果存储部102取得“警报信息的总发行数”,按照(式1),按照每个属性计算基础值。
然后,分析结果取得部104将示出更新后的基础值的基础值信息109存储于分析结果存储部102。
***实施方式的效果的说明***
根据本实施方式,在不存在与警报信息107相似的过去的警报信息的情况下,也能够提示推荐属性作为对分析员的异常分析进行辅助的信息。
在本实施方式中,在经验少的分析员进行警报信息107的分析的情况下特别有用。
例如,考虑异常检测装置303中的异常检测逻辑不成熟的情况。该情况下,在重新评估该逻辑之前的期间内,作为强烈有助于检测异常的属性,异常检测装置303可能提示分析员在攻击成功与否的判定中不怎么使用的属性。此外,在日志的分析中,有助于检测异常的属性和在攻击成功与否的分析中使用的特征有时不同。
例如,在异常检测装置303检测到“针对一般不访问的站点的访问增加”这样的异常的情况下,可认为强烈有助于检测该异常的属性成为“访问目的地”和“访问次数”。在分析员对该异常是基于攻击(恶意软件)还是基于误检测进行日志分析的情况下,需要确认是由于访问目的地不审而使访问增加还是由于用户操作而使访问增加。为了进行该确认,分析员首先确认“访问目的地”、“推荐人”等。因此,异常检测装置303识别为强烈有助于检测异常的属性的“访问次数”未用于攻击成功与否的分析。另一方面,异常检测装置303未识别为强烈有助于检测异常的属性的“推荐人”在攻击成功与否的分析中受到关注。这样,有助于检测异常的属性和在攻击成功与否的分析中使用的属性不一定一致。
在另一个例子中,在异常检测装置303检测到“在一般不访问的时间访问了站点”这样的异常的情况下,可认为强烈有助于检测该异常的属性成为“时间”。但是,如上所述,分析员首先确认“访问目的地”、“推荐人”等。因此,在该例子中,有助于检测异常的属性和在攻击成功与否的分析中使用的属性也不一致。
因此,在攻击成功与否的判定中,需要还提示强烈有助于检测异常的属性以外的属性。假设在提示了全部属性的情况下,经验少的分析员依次对全部属性进行分析,因此效率差。
在本实施方式中,提示在过去的攻击成功与否的分析(异常分析)中经验丰富的分析员重视(关注)的属性作为推荐属性,因此,即使是经验少的分析员,也能够缩小至推荐属性而高效地进行攻击成功与否的分析。
实施方式2
在本实施方式中,主要对与实施方式1的差异进行说明。
另外,以下未说明的事项与实施方式1相同。
在实施方式2中,说明如下例子:在不存在与新的警报信息107相似的过去的警报信息的情况下,在基础值高的属性的基础上,选择基础值不高但异常度高且与发生攻击这样的判定结果具有强相关性的属性作为推荐属性。
***结构的说明***
在本实施方式中,系统结构例也如图1所示。
此外,分析辅助装置100的硬件结构例如图2所示,分析辅助装置100的功能结构例如图3所示。
但是,在本实施方式中,分析结果存储部102存储有图14中例示的相关值信息110。在相关值信息110中,按照属性的标识符示出相关值。相关值表示异常度的高度与发生攻击这样的判定结果之间的相关性。即,在警报信息107中记载有异常度高的属性,在该属性的相关值高时,可认为发生网络攻击的可能性高。
属性选择部101在基础值高的属性的基础上,选择通过分析员的过去的异常分析而估计为在异常度高的情况下与网络攻击相关的可能性高的属性作为推荐属性。更具体而言,属性选择部101选择基础值不高但异常度高且在异常度与发生攻击这样的判定结果之间具有强相关性的属性作为推荐属性。属性选择部101参照分析结果存储部102中存储的相关值信息110,提取与发生攻击这样的判定结果具有强相关性的属性。
***动作的说明***
图12示出本实施方式的取得了新的警报信息107时的分析辅助装置100的动作例。
在图12中,步骤S101~S104与图4所示的步骤相同,因此省略说明。
在步骤S109中,属性选择部101选择在步骤S104中未选择的属性中的、警报信息107所示的异常度高且相关值信息110所示的相关值也高的属性作为推荐属性。
具体而言,属性选择部101提取在步骤S104中未选择的属性中的、在新的警报信息107中示出比阈值高的异常度的属性。然后,属性选择部101在提取出的属性的相关值高于阈值的情况下,选择该属性作为推荐属性。
在步骤S105中,属性提示部103在输出警报提示信息1001的情况下,将在步骤S104中选择出的推荐属性和在步骤S109中选择出的推荐属性反映到警报提示信息1001中。
图13示出本实施方式的分析员完成了异常分析时的分析辅助装置100的动作例。
在图13中,步骤S106~S108与图5所示的步骤相同,因此省略说明。
在步骤S110中,分析结果取得部104判定分析员的分析结果是否是“攻击”。
具体而言,分析结果取得部104确认由图6所示的分析结果输入画面700的下拉列表702指定的分析结果是“攻击”还是“误检测”。在分析结果是“攻击”的情况下(步骤S110:是),处理进入步骤S111。另一方面,在分析结果是“误检测”的情况下(步骤S110:否),处理结束。
在步骤S111中,分析结果取得部104对相关值信息110进行更新。
更具体而言,分析结果取得部104根据被分析员判定为“攻击”的警报信息107的异常值对相关值进行更新,生成示出更新后的相关值的相关值信息110。
例如,分析结果取得部104按照每个属性,按照以下的(式2)计算相关值。
属性的异常度为0.5以上且被判定为“攻击”的警报信息的总数÷包含该属性的警报信息的总数(式2)
在(式2)中,“属性的异常度为0.5以上且被判定为“攻击”的警报信息的总数”是包含计算对象的属性(例如R1的属性)、该属性(R1的属性)的异常值为0.5以上且由分析员在分析结果输入画面700中判定为“攻击”的警报信息的总数。
分析结果存储部102存储有实施步骤S111之前的“属性的异常度为0.5以上且被判定为“攻击”的警报信息的总数”。分析结果取得部104从分析结果存储部102取得实施步骤S111之前的“属性的异常度为0.5以上且被判定为“攻击”的警报信息的总数”。然后,分析结果取得部104对取得的“属性的异常度为0.5以上且被判定为“攻击”的警报信息的总数”追加1,得到最新的“属性的异常度为0.5以上且被判定为“攻击”的警报信息的总数”。
此外,在(式2)中,“包含该属性的警报信息的总数”是包含计算对象的属性(例如R1的属性)的警报信息107的总数。在“包含该属性的警报信息的总数”中,记述有该属性(例如R1的属性)的全部警报信息107成为对象(异常值小于0.5的警报信息107、由分析员判定为“误检测”的警报信息107均成为对象)。
分析结果存储部102存储有实施步骤S111之前的“包含该属性的警报信息的总数”。分析结果取得部104从分析结果存储部102取得实施步骤S111之前的“包含该属性的警报信息的总数”。然后,分析结果取得部104对取得的“包含该属性的警报信息的总数”追加1,得到最新的“包含该属性的警报信息的总数”。
然后,分析结果取得部104按照(式2),按照每个属性计算相关值。
然后,分析结果取得部104将示出更新后的相关值的相关值信息110存储于分析结果存储部102。此外,分析结果取得部104将最新的“属性的异常度为0.5以上且被判定为“攻击”的警报信息的总数”和最新的“包含该属性的警报信息的总数”存储于分析结果存储部102。
***实施方式的效果的说明***
如上所述,在本实施方式中,在通过过去的异常分析而判明为在异常值高的情况下与攻击具有强相关性的属性与高异常值一起出现在警报信息107中的情况下,能够向分析员还提示该属性作为推荐属性。
因此,根据本实施方式,在一般在异常分析中不被关注的属性与攻击相关的可能性高的情况下,该属性也能够成为异常分析的对象。
例如,在大多着眼于“访问目的地”和“推荐人”进行异常分析的情况下,“访问目的地”和“推荐人”的基础值变高。因此,根据实施方式1,仅选择“访问目的地”和“推荐人”作为推荐属性。
在异常检测装置303中的异常检测逻辑不成熟的情况下,设想大多出现误检测。因此,在分析员确认“访问目的地”和“推荐人”正常的情况下,判定为“误检测”。
在异常检测逻辑不成熟的情况下,例如,关于“访问次数”,也设为异常度的大小与真是攻击这样的判定具有相关性。这里,设想检测到“针对一般站点的访问的增加”这样的异常的情况。该情况下,可认为有助于检测异常的属性是“访问次数”。在本实施方式中,在“访问目的地”和“推荐人”的基础上,提示“访问次数”作为推荐属性,因此,即使“访问目的地”和“推荐人”正常,分析员也能够进行着眼于“访问次数”的分析。例如,分析员能够进行设想隐藏了一般站点的攻击通信可能性的分析。
实施方式3
在本实施方式中,主要对与实施方式1的差异进行说明。
另外,以下未说明的事项与实施方式1相同。
在本实施方式中,说明向分析员提示在过去的异常分析中进行的每个属性的分析方法的例子。
在本实施方式中,系统结构例也如图1所示。
此外,分析辅助装置100的硬件结构例如图2所示,分析辅助装置100的功能结构例如图3所示。
在本实施方式中,在图5的步骤S106中,分析结果取得部104提示包含用于记入每个属性的分析方法的项目的分析结果输入画面。
分析员在针对实施方式1中说明的项目的记入的基础上,记入每个属性的分析方法。
图15示出本实施方式的分析结果输入画面750的例子。图15的分析结果输入画面750示出分析员的输入已完成的状态。
在图15所示的分析结果输入画面750中,与图6所示的分析结果输入画面700相比,按照每个属性记入分析方法751。
而且,分析结果取得部104将图15的分析结果输入画面750存储于分析结果存储部102。
此外,在本实施方式中,在图4的步骤S105中,属性提示部103向分析员提示图16所示的警报提示信息1050。
图16的警报提示信息1050与图11的警报提示信息1001相比,追加有分析方法1051的行。而且,在分析方法1051的行中,按照每个属性示出过去的异常分析中的分析方法。
属性提示部103将由图15的分析结果输入画面750得到的过去的异常分析中的分析方法751的记述反映到警报提示信息1050中。
另外,图16的警报提示信息1050在图11的警报提示信息1001中追加有分析方法1051的行,但是,也可以在图10的警报提示信息1000中追加分析方法1051的行。
根据本实施方式,按照每个属性提示分析方法,因此,分析员能够高效地进行异常分析。
实施方式4
在本实施方式中,主要对与实施方式1的差异进行说明。
另外,以下未说明的事项与实施方式1相同。
在本实施方式中,说明根据在特定期间内进行的异常分析中的分析状况选择推荐属性的例子。
例如,在企业中,在特定期间内发生特定事件。例如,在日本,在4月或10月发生人事变动、新入职职员的入职等事件。此外,例如,在6月发生股东大会这样的事件。
在发生这种特定事件的期间内,设想每年发生相同的警报信息。
因此,在本实施方式中,分析结果取得部104设定用于计算基础值的期间。然后,分析结果取得部104按照每个期间,根据在期间内取得的警报信息计算基础值。例如,分析结果取得部104以月为单位计算基础值。然后,分析结果取得部104生成示出每个期间的基础值的基础值信息109,将生成的基础值信息109存储于分析结果存储部102。
在本实施方式中,属性选择部101在不存在与新的警报信息107相似的过去的警报信息的情况下,使用与当前对应的期间的基础值选择推荐属性。例如,如果当前是4月,则属性选择部101使用可认为发生了相同事件的去年4月的基础值选择推荐属性。
根据本实施方式,使用基于在可认为发生了相同事件的期间内收集到的警报信息的基础值选择推荐属性,由此,能够结合实际情况来选择推荐属性。其结果是,分析员能够高效地进行异常分析。
以上说明了本发明的实施方式,但是,也可以组合实施这些实施方式中的2个以上的实施方式。
或者,也可以部分地实施这些实施方式中的1个实施方式。
或者,也可以部分地组合实施这些实施方式中的2个以上的实施方式。
另外,本发明不限于这些实施方式,能够根据需要进行各种变更。
例如,在存在与警报信息107相似的过去的警报信息且针对相似的过去的警报信息判定为“攻击”的情况下,也可以在警报提示信息1000中记载表示攻击的进展度的阶段信息。此外,也可以在警报提示信息1000中记载攻击名。此外,也可以在警报提示信息1000中记载过去的警报信息中包含的属性与新的警报信息107中包含的属性之间的相似度。进而,可以利用数值表示属性之间的相似度,也可以利用柱状图等实现可视化。
***硬件结构的补充说明***
最后,进行分析辅助装置100的硬件结构的补充说明。
图2所示的处理器201是进行处理的IC(Integrated Circuit:集成电路)。
处理器201是CPU(Central Processing Unit:中央处理单元)、DSP(DigitalSignal Processor:数字信号处理器)等。
图2所示的存储器202是RAM(Random Access Memory:随机存取存储器)。
图2所示的辅助存储装置204是ROM(Read Only Memory:只读存储器)、闪存、HDD(Hard Disk Drive:硬盘驱动器)等。
图2所示的通信接口203是执行数据的通信处理的电子电路。
通信接口203例如是通信芯片或NIC(Network Interface Card:网络接口卡)。
图2所示的输入输出接口205例如是显示器装置、鼠标、键盘、触摸面板等。
在辅助存储装置204中还存储有OS(Operating System:操作系统)。
而且,OS的至少一部分由处理器201来执行。
处理器201一边执行OS的至少一部分,一边执行实现属性选择部101、属性提示部103和分析结果取得部104的功能的程序。
处理器201执行OS,由此进行任务管理、存储器管理、文件管理、通信控制等。
此外,表示属性选择部101、属性提示部103和分析结果取得部104的处理结果的信息、数据、信号值和变量值中的至少任意一方存储于存储器202、辅助存储装置204、处理器201内的寄存器和高速缓冲存储器中的至少任意一方。
此外,实现属性选择部101、属性提示部103和分析结果取得部104的功能的程序也可以存储于磁盘、软盘、光盘、高密度盘、蓝光(注册商标)盘、DVD等移动记录介质。而且,也可以使存储有实现属性选择部101、属性提示部103和分析结果取得部104的功能的程序的移动记录介质流通。
此外,也可以将属性选择部101、属性提示部103和分析结果取得部104的“部”改写成“电路”或“工序”或“顺序”或“处理”。
此外,分析辅助装置100也可以由处理电路实现。处理电路例如是逻辑IC(Integrated Circuit:集成电路)、GA(Gate Array:门阵列)、ASIC(Application SpecificIntegrated Circuit:专用集成电路)、FPGA(Field-Programmable Gate Array:现场可编程门阵列)。
该情况下,属性选择部101、属性提示部103和分析结果取得部104分别作为处理电路的一部分来实现。
另外,在本说明书中,将处理器和处理电路的上位概念称作“处理线路”。
即,处理器和处理电路分别是“处理线路”的具体例。
标号说明
100:分析辅助装置;101:属性选择部;102:分析结果存储部;103:属性提示部;104:分析结果取得部;106:对象系统日志;107:警报信息;108:分析结果信息;109:基础值信息;110:相关值信息;201:处理器;202:存储器;203:通信接口;204:辅助存储装置;205:输入输出接口;301:监视对象系统;302:日志采集装置;303:异常检测装置;304:相似度判定部;700:分析结果输入画面;750:分析结果输入画面;1000:警报提示信息;1001:警报提示信息;1050:警报提示信息。
Claims (10)
1.一种信息处理装置,该信息处理装置具有:
属性选择部,其根据新检测到的异常即新异常的多个属性各自的过去的异常分析中的分析状况,从所述多个属性中选择推荐在所述新异常的分析中重视的属性作为推荐属性;以及
属性提示部,其提示由所述属性选择部选择出的所述推荐属性。
2.根据权利要求1所述的信息处理装置,其中,
所述属性选择部判定是否存在与所述新异常相似的过去检测到的异常,
在不存在与所述新异常相似的过去检测到的异常的情况下,所述属性选择部选择所述推荐属性。
3.根据权利要求1所述的信息处理装置,其中,
在被发行了通知所述新异常的所述多个属性的警报信息的情况下,所述属性选择部从由所述警报信息通知的所述多个属性中选择所述推荐属性。
4.根据权利要求1所述的信息处理装置,其中,
所述属性选择部选择在过去的异常分析中被重视的次数多的属性作为所述推荐属性。
5.根据权利要求1所述的信息处理装置,其中,
所述属性选择部选择所述多个属性中的、所述新异常的异常度高且通过过去的异常分析而估计为在异常度高的情况下与网络攻击相关的可能性高的属性作为所述推荐属性。
6.根据权利要求1所述的信息处理装置,其中,
所述属性提示部提示在过去的异常分析中进行的每个属性的分析方法。
7.根据权利要求1所述的信息处理装置,其中,
所述属性选择部根据在特定期间内进行的异常分析中的分析状况来选择所述推荐属性。
8.根据权利要求7所述的信息处理装置,其中,
所述属性选择部根据在发生特定事件的特定期间内进行的异常分析中的分析状况来选择所述推荐属性。
9.一种信息处理方法,其中,
计算机根据新检测到的异常即新异常的多个属性各自的过去的异常分析中的分析状况,从所述多个属性中选择推荐在所述新异常的分析中重视的属性作为推荐属性,
所述计算机提示选择出的所述推荐属性。
10.一种信息处理程序,该信息处理程序使计算机执行以下处理:
属性选择处理,根据新检测到的异常即新异常的多个属性各自的过去的异常分析中的分析状况,从所述多个属性中选择推荐在所述新异常的分析中重视的属性作为推荐属性;以及
属性提示处理,提示通过所述属性选择处理选择出的所述推荐属性。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019-233384 | 2019-12-24 | ||
| JP2019233384A JP7412164B2 (ja) | 2019-12-24 | 2019-12-24 | 情報処理装置、情報処理方法及び情報処理プログラム |
| PCT/JP2020/031034 WO2021131146A1 (ja) | 2019-12-24 | 2020-08-17 | 情報処理装置、情報処理方法及び情報処理プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114787807A true CN114787807A (zh) | 2022-07-22 |
Family
ID=76575814
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080085152.XA Pending CN114787807A (zh) | 2019-12-24 | 2020-08-17 | 信息处理装置、信息处理方法和信息处理程序 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20220253529A1 (zh) |
| JP (1) | JP7412164B2 (zh) |
| CN (1) | CN114787807A (zh) |
| WO (1) | WO2021131146A1 (zh) |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016012240A (ja) | 2014-06-30 | 2016-01-21 | 株式会社日立製作所 | 異常検知システム |
| US11431792B2 (en) | 2017-01-31 | 2022-08-30 | Micro Focus Llc | Determining contextual information for alerts |
-
2019
- 2019-12-24 JP JP2019233384A patent/JP7412164B2/ja active Active
-
2020
- 2020-08-17 CN CN202080085152.XA patent/CN114787807A/zh active Pending
- 2020-08-17 WO PCT/JP2020/031034 patent/WO2021131146A1/ja active Application Filing
-
2022
- 2022-04-28 US US17/731,646 patent/US20220253529A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| JP2021103359A (ja) | 2021-07-15 |
| WO2021131146A1 (ja) | 2021-07-01 |
| JP7412164B2 (ja) | 2024-01-12 |
| US20220253529A1 (en) | 2022-08-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107301115B (zh) | 应用程序异常监控和恢复方法及设备 | |
| US8612372B2 (en) | Detection rule-generating facility | |
| JP6669156B2 (ja) | アプリケーション自動制御システム、アプリケーション自動制御方法およびプログラム | |
| JP6919569B2 (ja) | ログ分析システム、方法、及び記録媒体 | |
| JP6643211B2 (ja) | 異常検知システム及び異常検知方法 | |
| US20180293377A1 (en) | Suspicious behavior detection system, information-processing device, method, and program | |
| CN110945538B (zh) | 自动规则推荐引擎 | |
| US11418534B2 (en) | Threat analysis system and threat analysis method | |
| JP6780655B2 (ja) | ログ分析システム、方法およびプログラム | |
| Jiang et al. | Recommending new features from mobile app descriptions | |
| JP2014067369A (ja) | 情報処理装置,プログラム,情報処理方法 | |
| JP6674831B2 (ja) | 因果関係抽出装置、因果関係抽出方法及び因果関係抽出プログラム | |
| US10248517B2 (en) | Computer-implemented method, information processing device, and recording medium | |
| JP2018206316A (ja) | プラント運転監視システム及びプラント運転監視方法 | |
| CN112131249A (zh) | 一种攻击意图识别方法及装置 | |
| US20130198147A1 (en) | Detecting statistical variation from unclassified process log | |
| JP2013182468A (ja) | パラメータ値設定誤り検出システム、パラメータ値設定誤り検出方法およびパラメータ値設定誤り検出プログラム | |
| JP6515048B2 (ja) | インシデント管理システム | |
| CN115146263B (zh) | 用户账号的失陷检测方法、装置、电子设备及存储介质 | |
| CN114787807A (zh) | 信息处理装置、信息处理方法和信息处理程序 | |
| JP2011186706A (ja) | 情報処理装置、情報処理方法およびプログラム | |
| JP2014119982A (ja) | インシデント管理システム、インシデント管理方法、およびプログラム | |
| JP2007199809A (ja) | トラブル情報分析プログラム、トラブル情報分析装置およびトラブル情報分析方法 | |
| CN110956552A (zh) | 保险问题处理方法、装置、设备及存储介质 | |
| WO2024116314A1 (en) | Recommending apparatus, recommending method, and non-transitory computer-readable storage medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |