CN118076952A - 控制方法、服务器、程序以及安全分析系统 - Google Patents
控制方法、服务器、程序以及安全分析系统 Download PDFInfo
- Publication number
- CN118076952A CN118076952A CN202280067291.9A CN202280067291A CN118076952A CN 118076952 A CN118076952 A CN 118076952A CN 202280067291 A CN202280067291 A CN 202280067291A CN 118076952 A CN118076952 A CN 118076952A
- Authority
- CN
- China
- Prior art keywords
- analysis
- transaction data
- information
- result
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 909
- 238000000034 method Methods 0.000 title claims abstract description 130
- 238000012795 verification Methods 0.000 claims abstract description 153
- 238000004891 communication Methods 0.000 claims description 59
- 238000012544 monitoring process Methods 0.000 claims description 6
- 238000012545 processing Methods 0.000 description 39
- 230000006870 function Effects 0.000 description 25
- 230000008569 process Effects 0.000 description 16
- 238000010586 diagram Methods 0.000 description 15
- 238000004590 computer program Methods 0.000 description 13
- 230000005540 biological transmission Effects 0.000 description 9
- 230000006399 behavior Effects 0.000 description 7
- 230000002860 competitive effect Effects 0.000 description 6
- 230000005856 abnormality Effects 0.000 description 5
- 239000000470 constituent Substances 0.000 description 4
- 239000000284 extract Substances 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 239000007787 solid Substances 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 208000015181 infectious disease Diseases 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本发明的控制方法由分别具有分布式账本的多个服务器中的一个服务器执行,取得包含唯一地表示分析的委托的分析委托ID和对能够用于该分析的关联信息的访问方法的委托事务数据(S1),将取得的委托事务数据包含在区块中并记录到分布式账本中(S2)。取得包含与所记录的委托事务数据中包含的分析委托ID对应的分析结果、该关联信息中与分析结果关联的日志信息、以及成为分析结果的依据的威胁智能信息的分析事务数据(S3),取得针对分析事务数据的正当性的验证结果并生成包含其的区块(S4),在根据所取得的验证结果示出验证了分析事务数据的正当性的情况下,将包含分析事务数据的区块记录于分布式账本(S5)。
Description
技术领域
本发明涉及控制方法、服务器、程序以及安全分析系统。
背景技术
例如在专利文献1中,作为用于对信息安全中的威胁进行分析的技术,公开了能够对信息安全中的威胁的分析进行支援的威胁分析支援装置等。
另一方面,信息安全中的威胁高度化且复杂化,分析者需要高的专业性。因此,企业等用户向专业的分析者委托通过IDS(Intrusion DetectionSystem:入侵检测系统)、SIEM(Security Information and Event Management:安全信息和事件管理)等检测出的异常的分析的情况增加。作为专业的分析者,例如已知有SOC(Security OperationCenter:安全运营中心)等,用户与一个公司的SOC经营者签订合同,接受信息安全中的威胁的监视服务。
现有技术文献
专利文献
专利文献1:日本特开2022-101716号公报
发明内容
发明所要解决的课题
但是,在接受一个公司的SOC经营者的监视服务的情况下,存在监视服务的费用高涨、或存在限制能够应对的时间段的问题。另外,还存在由于仅由属于一个公司的SOC经营者的分析者进行异常的分析,因此用户难以验证分析结果的正当性,即使有不正当也难以注意的问题。而且,在上述专利文献1所公开的技术中,也无法消除这些问题。
本发明是鉴于上述情况而完成的,提供能够验证安全分析的分析结果的正当性且能够抑制不正当的控制方法等。
用于解决课题的手段
为了达成上述目的,本发明的一个方式所涉及的控制方法是由具备分别具有分布式账本的多个服务器的安全分析系统中的一个服务器执行的控制方法,取得包含委托事务数据,所述委托事务数据唯一地表示分析的委托的分析委托ID和对能够用于所述分析的关联信息的访问方法,将所取得的所述委托事务数据包含在区块中并记录于所述分布式账本中,取得分析事务数据,所述分析事务数据包含与所记录的所述委托事务数据所包含的所述分析委托ID对应的分析结果、所述关联信息中的与所述分析结果关联的日志信息以及成为所述分析结果的依据的威胁智能信息,生成包含所述分析事务数据的区块,取得针对所述分析事务数据所包含的所述分析结果的正当性的验证结果,在根据所取得的所述验证结果示出所述分析事务数据所包含的所述分析结果的正当性被验证的情况下,将包含所述分析事务数据的区块记录于所述分布式账本。
另外,这些整体或具体的方式可以通过系统、方法、集成电路、计算机程序或计算机可读取的CD-ROM等记录介质来实现,也可以通过系统、方法、集成电路、计算机程序及记录介质的任意组合来实现。
发明效果
根据本发明的控制方法等,能够验证安全分析的分析结果的正当性,并且能够抑制不正当。
附图说明
图1是表示实施方式的安全分析系统的结构的一例的框图。
图2是表示实施方式的分析委托设定存储部中保存的默认的设定信息的一例的图。
图3是表示实施方式的分析委托表的一例的图。
图4是表示进行了实施方式的访问方法的安全产品的画面的一例的图。
图5是表示实施方式的分析事务数据所包含的分析结果的一例的图。
图6是表示实施方式的威胁智能信息的一例的图。
图7是实施方式的进行分析事务数据中包含的分析结果的正当性的验证的方法的一例的说明图。
图8A表示对实施方式的同一分析委托ID生成的分析事务数据1中包含的分析结果的一例。
图8B表示对实施方式的同一分析委托ID生成的分析事务数据2中包含的分析结果的一例。
图9是表示由实施方式的安全分析系统执行的处理概要的流程图。
图10是表示本实施方式的警报分析处理例的概要的流程图。
图11是表示图10所示的智能合约登记处理的详细情况的流程图。
图12是表示图10所示的警报分析委托处理的详细情况的流程图。
图13是表示图10所示的分析结果发送处理的详细情况的流程图。
图14是表示图10所示的验证结果发送处理的详细情况的流程图。
图15是表示图10所示手续费的支付处理的详细情况的流程图。
图16是表示实施方式的警报分析处理的一例的时序图。
图17是表示实施方式的威胁搜寻分析处理的一例的时序图。
图18是本发明的在区块链中委托安全分析的平台的说明图。
具体实施方式
本发明的第一方式是由具备分别具有分布式账本的多个服务器的安全分析系统中的一个服务器执行的控制方法,该控制方法取得包含唯一地表示分析的委托的分析委托ID和对能够用于所述分析的关联信息的访问方法的委托事务数据,将取得的所述委托事务数据包含在区块中记录到所述分布式账本中,取得包含与所记录的所述委托事务数据中包含的所述分析委托ID对应的分析结果、所述关联信息中的与所述分析结果关联的日志信息、以及成为所述分析结果的依据的威胁智能信息的分析事务数据,生成包含所述分析事务数据的区块,取得针对所述分析事务数据中包含的所述分析结果的正当性的验证结果,在根据取得的所述验证结果示出所述分析事务数据中包含的所述分析结果的正当性被验证的情况下,将包含所述分析事务数据的区块记录于所述分布式账本。
由此,能够验证安全分析的分析结果的正当性,并且能够抑制不正当。
更具体而言,在验证了针对分析事务数据所包含的分析结果的正当性的情况下,将包含所生成的分析事务数据的区块记录于分布式账本。
由此,不仅能够验证安全分析的分析结果的正当性,还能够活用区块链的不可篡改性的功能来抑制不正当行为。
此外,由于委托事务数据被记录在分布式账本中,因此不限于一个公司的SOC经营者,能够通过多个SOC经营者即多个分析者以重复方式进行安全分析的委托。其结果,能够在分析者间以竞争原理使其工作,因此能够高速且低成本地得到安全分析的分析结果。
在此,本发明的第二方式是第一方式的控制方法的基础上,例如,所述分析是由安全产品产生的警报的分析,所述委托事务数据包含由安全产品产生的警报的信息、所述分析委托ID以及所述访问方法,所述分析事务数据所包含的所述日志信息是所述关联信息中的与所述分析结果关联且用于所述分析的日志信息,所述分析事务数据所包含的所述威胁智能信息是成为所述分析结果的依据且相当于所述警报的原因的威胁智能信息。
由此,作为安全分析进行由安全产品产生的警报的分析,因此能够验证所产生的警报的分析结果的正当性,并且能够抑制不正当。进而,由于能够在分析者间以竞争原理使其工作,因此能够高速且低成本地得到警报的分析结果。
另外,本发明的第三方式是第二方式的控制方法的基础上,例如,所述委托事务数据所包含的所述访问方法是能够用于所述分析且所述分析所需的关联信息的访问场所以及访问权限。
这样,提供了为了对在安全产品中产生的警报进行分析所需的关联信息的访问单元。由此,能够更容易地进行由安全产品产生的警报的分析。
另外,本发明的第四方式是第一方式的控制方法的基础上,例如,所述分析是威胁搜寻的分析,所述委托事务数据所包含的访问方法包含关联信息的访问场所以及访问权限,关联信息即表示能够用于所述分析的执行安全监视的环境,所述分析事务数据所包含的所述日志信息是所述关联信息中的与所述分析结果关联且访问所述环境而得到的日志信息,所述分析事务数据所包含的所述威胁智能信息是成为所述分析结果的依据且与所述日志信息相关的威胁智能信息。
由此,作为安全分析进行威胁搜寻的分析,因此能够验证威胁搜寻的分析结果的正当性,并且能够抑制不正当。进而,由于能够在分析者间以竞争原理使其工作,因此能够高速且低成本地得到威胁搜寻的分析结果。
另外,本发明的第五方式是第一方式~第四方式中的任一方式的控制方法的基础上,例如,在所述委托事务数据中还包含表示针对所述分析的委托的分析手续费的信息。
这样,向分析者提供委托的安全分析的报酬,因此成为分析者进行安全分析的奖励。因此,能够迅速地进行安全分析。
另外,本发明的第六方式是第一方式~第五方式中的任一方式的控制方法的基础上,例如,还在取得了所述委托事务数据之后且取得所述分析事务数据之前,取得包含所述分析委托ID和表示取消分析委托的信息的取消事务数据,并将所述取消事务数据记录于所述分布式账本的情况下,取消由所述分析委托ID确定的分析委托。
由此,在进行了安全分析的委托之后,在该委托与其他委托没有差异而变得不需要、或者该委托错误的情况下,能够取消该委托。
另外,本发明的第七方式是第一方式~第六方式中的任一方式的控制方法的基础上,例如,所述分析事务数据所包含的所述威胁智能信息被实施基于被认证的安全企业的数字签名。
这样,对作为开放信息的威胁智能信息实施基于能够信赖的安全企业的数字签名。由此,能够防止威胁智能信息被随意地捏造。
另外,本发明的第八方式是第一方式~第七方式中的任一方式的控制方法的基础上,例如,所述正当性的验证结果是通过进行所述分析事务数据所包含的所述威胁智能信息内存在的恶意软件的签名信息与所述分析事务数据所包含的所述日志信息所包含的追踪(trace)中的字节串之间的匹配而得到的结果。
这样,进行作为威胁智能信息中包含的包数据的字节串的签名与日志信息中包含的包数据的字节串之间的匹配。而且,在匹配的结果为大致一致的情况下,验证了分析结果的正当性。
另外,本发明的第九方式是第一方式~第七方式中的任一方式的控制方法的基础上,例如,所述正当性的验证结果是通过进行规格书信息中包含的通信的产生条件与所述分析事务数据中包含的日志信息中包含的实际产生的通信内容之间的匹配而得到的结果。
这样,进行规格书信息中包含的通信的产生条件与观测到的通信内容的匹配。而且,在匹配的结果为大致一致的情况下,验证了分析结果的正当性。
另外,本发明的第十方式是第一方式~第九方式中的任一方式的控制方法的基础上,例如,所述委托事务数据还包含一个以上的指定所述分析的种类的标签,所述分析事务数据还包含一个以上的表示为了得到所述分析结果而进行的所述分析的种类的标签。
这样,通过在委托事务数据和分析事务数据中包含表示分析的种类的标签,作为通过该分析判明的事项,明确警报的原因、警报的影响范围、有无感染、或者对被窃取的数据进行分析等。由此,能够更容易地验证安全分析的分析结果的正当性。
另外,本发明的第十一方式是第一方式~第十方式中的任一方式的控制方法的基础上,例如,能够确定所述访问方法中包含的信息中的委托所述分析的用户的信息被匿名化。
由此,IP地址、MAC地址等能够确定委托分析的用户的信息被匿名化,因此用户能够不确定地得到安全分析的分析结果。
另外,本发明的第十二方式是第一方式~第十一方式中的任一方式的控制方法的基础上,例如,在所述委托事务数据所包含的访问方法中,包含对委托所述分析的用户利用的SIEM(Security Information and EventManagement:安全信息和事件管理)的远程访问权。
由此,提供能够经由作为委托分析的用户所利用的安全产品即SIEM得到能够用于分析的关联信息的访问单元。由此,能够更容易地进行安全分析。
另外,本发明的第十三方式是第一方式~第十二方式中的任一方式的控制方法的基础上,例如,在所述委托事务数据所包含的访问方法中,包含表示用于取得能够用于所述分析的关联信息中的所述分析所需的日志信息的操作的信息。
由此,作为得到能够用于分析的关联信息的访问单元,提供用于得到该分析所需的日志信息的操作。由此,能够更容易地进行安全分析。
另外,本发明的第十四方式是第一方式~第十三方式中的任一方式的控制方法的基础上,例如,在所取得的所述验证结果中示出所述分析事务数据被从验证对象中排除的情况下,所述分析事务数据不被记录于所述分布式账本。
在此,本发明的第十五方式是第十四方式的控制方法的基础上,例如,算出验证对象的所述分析事务数据中包含的分析结果与在所述验证对象过去产生的所述分析事务数据中包含的分析结果之间的相似度,在算出的所述相似度超过规定的阈值的情况下,不验证针对所述验证对象的所述分析事务数据中包含的所述分析结果的正当性,在所述验证结果中示出所述验证对象的所述分析事务数据被从所述验证对象中排除。
这样,在针对一个安全分析的委托生成包含相同的分析结果的多个分析事务数据的情况下,未验证非最先生成的分析事务数据中包含的分析结果,不记录到分布式账本中。由此,能够在分析者间以竞争原理使其工作,因此能够高速且低成本地得到安全分析的分析结果。
另外,本发明的一个方式所涉及的服务器是具备分别具有分布式账本的多个服务器的安全分析系统中的一个服务器,具备处理器和存储器,所述处理器使用所述存储器来取得包含唯一地表示分析的委托的分析委托ID和对能够用于所述分析的关联信息的访问方法的委托事务数据,所述处理器将取得的所述委托事务数据包含在区块中并记录到所述分布式账本中,所述处理器取得分析事务数据并生成包含所述分析事务数据的区块,所述分析事务数据包含与所记录的所述委托事务数据所包含的所述分析委托ID对应的分析结果、所述关联信息中的与所述分析结果关联的日志信息以及成为所述分析结果的依据的威胁智能信息,所述处理器取得针对所述分析事务数据所包含的所述分析结果的正当性的验证结果,所述处理器在根据所取得的所述验证结果示出所述分析事务数据所包含的所述分析结果的正当性被验证的情况下,将包含所述分析事务数据的区块记录于所述分布式账本。
另外,本发明的一个方式所涉及的安全分析系统具备:用户终端,委托分析;分析者终端,执行所述分析的委托;以及多个服务器,分别具有分布式账本,所述多个服务器中的一个服务器具有处理器和存储器,所述处理器使用所述存储器从所述用户终端取得委托事务数据,所述委托事务数据包含唯一地表示所述分析的委托的分析委托ID和对能够在所述分析中利用的关联信息的访问方法,所述处理器将取得的所述委托事务数据包含在区块中并记录到所述分布式账本中,所述处理器从所述分析者终端取得分析事务数据,所述分析事务数据包含与所记录的所述委托事务数据所包含的所述分析委托ID对应的分析结果、所述关联信息中的与所述分析结果关联的日志信息、以及成为所述分析结果的依据的威胁智能信息,所述处理器取得针对所述分析事务数据所包含的所述分析结果的正当性的验证结果,生成包含所述分析事务数据的区块,所述处理器在根据所取得的所述验证结果示出所述分析事务数据所包含的所述分析结果的正当性被验证的情况下,将包含所述分析事务数据的区块记录于所述分布式账本。
以下,参照附图对实施方式进行说明。另外,以下说明的实施方式均表示本发明的优选的一个具体例。即,以下的实施方式所示的数值、构成要素、构成要素的配置以及连接方式、步骤、步骤的顺序等是一个例子,并不是限定本发明的主旨。本发明基于权利要求书的记载来确定。因此,以下的实施方式中的构成要素中的、独立权利要求中没有记载的构成要素不一定用于实现本发明的课题,但作为构成更优选的方式的构成要素进行说明。
(实施方式)
以下,参照附图对实施方式的安全分析系统进行说明。
[安全分析系统1的结构]
本发明的安全分析系统1在实现了在区块链中委托安全分析的机制的基础上,能够验证安全分析的分析结果的正当性,并且能够抑制不正当。
图1是表示实施方式的安全分析系统1的结构的一例的框图。
如图1所示,本实施方式的安全分析系统1具备用户终端10、区块链平台20、一个以上的分析者终端30、一个以上的验证者终端40。它们经由未图示的网络可通信地连接。网络可以由任何通信线路或网络组成,例如包括互联网等。另外,在图1中,示出了安全分析系统1具备多个分析者终端30和多个验证者终端40的情况的例子,但不限于此。即,安全分析系统1只要具备一个以上的分析者终端30和一个以上的验证者终端40即可。
[用户终端10]
用户终端10是在作为安全产品导入IDS或SIEM的用户企业、用户设施中使用的个人计算机、平板电脑等终端设备。用户终端10能够与网络连接,能够与构成区块链平台20的多个服务器进行通信。
在本实施方式中,用户终端10在用户企业或用户设施中使用,作为安全分析的委托,进行由安全产品产生的警报的分析的委托。另外,安全分析不限于警报的分析。在以SOC进行的分析中也包含威胁搜寻,因此安全分析也可以是威胁搜寻的分析。威胁搜寻的分析是针对利用以往的方法难以检测的威胁,假设它们已经侵入威胁而对在网络内部发生了什么、可疑的日志等进行收集、分析的方法。
如图1所示,用户终端10具备分析委托设定存储部101、通信部102、分析委托执行受理部103以及分析委托生成部104。在此,用户终端10具备处理器和存储有使处理器执行规定的处理的程序的存储器和通信接口等。即,用户终端10通过处理器使用存储器执行规定的程序来实现各结构的功能。
以下,对各结构进行说明。
<分析委托设定存储部101>
分析委托设定存储部101保存有安全分析的委托所需的默认的设定信息。分析委托设定存储部101通过HDD(Hard Disk Drive:硬盘驱动器)或者SSD(Solid State Drive:固态驱动器)等来实现。
图2是表示实施方式的分析委托设定存储部101中保存的默认的设定信息的一例的图。在图2中示出在用户保有的SIEM中产生了警报的情况下利用的默认的设定信息的一例。
在图2中,根据警报的类别(alert_type),示出了包含允许访问哪个日志(available_log_type)、可利用的日志的期间的指定(available_relative_period)的信息的默认的设定信息。另外,默认的设定信息中也可以包含分析手续费(analysis_fee)的信息。此外,这些设定信息是默认值,因此能够变更。在图2所示的例子中,作为警报的类别,示出了可疑的通信和暴力(bruteforce)攻击。
<通信部102>
通信部102是无线或有线通信接口,与构成区块链平台20的多个服务器进行通信。另外,通信部102发送事务数据、取得分析结果的确定通知。
在本实施方式中,通信部102将由后述的分析委托生成部104生成的委托事务数据或用于登记分析手续费的事务数据发送到构成区块链平台的多个服务器中的一个服务器。另外,通信部102有时也将由后述的分析委托生成部104生成的取消事务数据发送到一个服务器。
<分析委托执行受理部103>
分析委托执行受理部103受理表示是否向区块链平台20进行安全分析的委托的用户的输入。分析委托执行受理部103在受理了进行安全分析的委托的意思的输入的情况下,从分析委托设定存储部101取得安全分析的委托所需的设定信息,如果取得的设定信息的项目没有变更,则将取得的设定信息确定为分析委托设定信息。
另外,分析委托执行受理部103受理表示是否进行分析手续费的池处理的用户的输入。
此外,分析委托执行受理部103在用户想要取消分析的委托的情况下,受理表示取消对象的分析的委托的分析委托ID和表示取消该分析的委托的信息的输入。
<分析委托生成部104>
分析委托生成部104生成包含唯一地表示分析的委托的分析委托ID和对能够用于分析的关联信息的访问方法的委托事务数据。
更具体而言,分析委托生成部104生成包含由安全产品产生的警报的信息、唯一地表示分析的委托的分析委托ID、以及向能够用于分析的关联信息的访问方法的委托事务数据。通过生成这样的委托事务数据,作为安全分析,进行由安全产品产生的警报的分析。在此,委托事务数据所包含的访问方法也可以包含能够用于警报的分析的分析所需的关联信息的访问场所以及访问权限。通过包括这样的访问方法,能够提供用于进行在安全产品中产生的警报的分析所需的关联信息的访问单元。由此,能够更容易地进行由安全产品产生的警报的分析。
另外,委托事务数据中还可以包含表示针对分析的委托的分析手续费的信息,也可以包含1个以上的指定分析的种类的标签。通过在委托事务数据中包含表示分析手续费的信息,向分析者提供委托的安全分析的报酬,从而成为分析者进行安全分析的奖励。因此,能够期待能够迅速地进行安全分析。另外,通过在委托事务数据中包含表示分析的种类的标签,作为通过该分析判明的事项,例如明确化警报的原因、警报的影响范围、有无感染、或者对被窃取的数据进行分析等。
委托事务数据中包括的访问方法可以包括对委托分析的用户使用的SIEM的远程访问权,或者可以包括表示用于取得能够用于分析的关联信息中的分析所需的日志信息的操作的信息。在访问方法中包含对SIEM的远程访问权的情况下,提供经由作为委托分析的用户所利用的安全产品的SIEM得到能够用于分析的关联信息的访问单元。由此,能够更容易地进行安全分析。另外,在访问方法中包含表示用于取得分析所需的日志信息的操作的信息的情况下,作为得到能够用于分析的关联信息的访问单元,提供用于得到该分析所需的日志信息的操作。由此,能够更容易地进行安全分析。
而且,在委托事务数据所包含的访问方法所包含的信息中,能够确定委托分析的用户的信息也可以被匿名化。由此,IP地址、MAC地址等能够确定委托分析的用户的信息被匿名化,因此用户能够不被确定自身而得到安全分析的分析结果。
在本实施方式中,分析委托生成部104基于所确定的分析委托设定信息,为了进行安全分析的委托,生成包含表示安全分析的委托的信息的委托事务数据。更具体而言,分析委托生成部104基于所确定的分析委托设定信息,生成分析委托表,生成包含表示所生成的分析委托表的数据的委托事务数据。
图3是表示实施方式的分析委托表的一例的图。在图3中示出了在用户保有的SIEM中产生了警报的情况下由用户终端10生成的警报分析委托表的一例。
如图3所示,在警报分析委托表中,至少包含警报的分析委托ID(request_id)、在用户环境中产生了警报的时刻(date)、以及在用户环境中定义的警报类别(alert_type)。在警报分析委托表中也可以包含用户环境中的警报的标识符(alert_id)。
另外,在警报分析委托表中包含分析者向能够利用于警报分析的关联信息的访问方法。在图3所示的例子中,作为访问方法,包括分析者能够利用的SIEM软件名(available_siem)、分析者能够访问的SIEM日志的期间(available_period)、分析者能够利用的日志类别(available_log_type)、分析者用于访问SIEM的URL(access_url)等。此外,访问方法也可以是产生的警报的IDS日志和用户的分析环境的访问单元。另外,在图3所示的警报分析委托表中还包含进行警报分析的情况下的分析手续费(analysis_fee)。
这样,在图3所示的分析委托表中,包含由安全产品产生的警报的信息、分析委托ID、对能够用于分析的关联信息的访问方法、以及分析手续费。
另外,分析委托生成部104在分析委托执行受理部103受理了进行分析手续费的池处理的意思的输入的情况下,生成用于登记分析手续费的支付用的池金的事务数据。
另外,分析委托生成部104在分析委托执行受理部103受理了表示取消对象的分析的委托的分析委托ID和表示取消该分析的委托的信息的输入的情况下,生成包含分析委托ID和表示取消分析委托的信息的取消事务数据。另外,在不是进行警报分析而是进行威胁搜寻分析的委托的情况下,在委托事务数据所包含的访问方法中,包含能够用于威胁搜寻的分析并表示执行安全监视的环境的关联信息的访问场所以及访问权限即可。由此,作为安全分析进行威胁搜寻的分析。
[区块链平台20]
区块链平台20可以实现区块链,如以太坊、EOS、Ripple、NEM、Quorum、HyperledgerFabric等,由多个节点组成。多个节点分别经由网络可通信地连接,独立地动作。多个节点例如是服务器,但一部分节点也可以是智能手机、平板电脑、个人计算机。在本实施方式中,区块链平台20由多个服务器构成,例如以实现以太坊等区块链的方式进行说明。另外,多个服务器分别具有分布式账本,在分布式账本中存储有区块链。换言之,多个服务器分别管理区块链。
如图1所示,构成区块链平台20的多个服务器分别具备通信部201、区块链存储部202以及处理部203。多个服务器的每一个例如能够通过CPU等处理器使用存储器执行程序来实现通信功能以及处理功能。
<通信部201>
通信部201是无线或有线的通信接口,与其他服务器进行通信,或与连接于网络的用户终端10、分析者终端30或验证者终端40进行通信。
在本实施方式中,通信部201能够发送或取得事务数据。另外,通信部201也可以取得针对分析结果的正当性的验证结果。
更具体而言,通信部201例如取得包含唯一地表示分析的委托的分析委托ID和对能够用于该分析的关联信息的访问方法的委托事务数据。另外,通信部201例如取得包含与委托事务数据所包含的分析委托ID对应的分析结果、关联信息中的与分析结果关联的日志信息、以及成为分析结果的依据的威胁智能信息的分析事务数据。另外,通信部201例如取得针对分析事务数据所包含的分析结果的正当性的验证结果。此外,通信部201有时也取得包含针对分析结果的正当性的验证结果的事务数据。另外,分析的委托不仅有警报分析的委托,还有威胁搜寻分析的委托。
<区块链存储部202>
区块链存储部202存储有与其他服务器等区块链相同内容的区块链。区块链存储部202存储分布式账本,分布式账本存储区块链。另外,区块链存储部202通过HDD(HardDisk Drive:硬盘驱动器)或者SSD(Solid StateDrive:固态驱动器)等来实现。
<处理部203>
处理部203例如能够通过CPU等处理器使用存储器执行程序来实现以下的处理功能。
在本实施方式中,处理部203在与其他服务器之间执行关于事务数据的一致性算法,或验证取得的事务数据。处理部203能够通过取得的事务数据的格式是否一致、以及签名是否正当等而验证取得的事务数据。
另外,处理部203还进行将经过了一致性算法的事务数据记录到分布式账本即区块链的处理。处理部203生成包含经过了一致性算法的一个以上的事务数据的区块链的区块,并记录于区块链。另外,处理部203进行记录于分布式账本即区块链、且执行在存储器上(on memory)运行的智能合约的处理。
更具体而言,处理部203例如将由通信部201取得的委托事务数据包含在区块中而记录于分布式账本即区块链。另外,处理部203例如在通过由通信部201取得的验证结果表示分析事务数据中包含的分析结果的正当性被验证的情况下,将分析事务数据包含在区块中并记录到分布式账本中。
另外,处理部203生成包含针对特定的分析事务数据的验证事务数据的区块,并记录于分布式账本即区块链。于是,以此为触发,处理部203进行执行在存储器上运行的智能合约,并将分析手续费发送到制作了特定的分析事务数据的分析者和制作了该验证事务数据的分析者的处理。
此外,处理部203在取得了委托事务数据之后且在取得分析事务数据之前取得了取消事务数据的情况下,进行将包含该取消事务数据的区块记录到分布式账本即区块链的处理。在该情况下,取消由取消事务数据中包含的分析委托ID确定的分析委托。由此,在进行了安全分析的委托之后,在该委托与其他委托没有差异而变得不需要、或者该委托错误的情况下,能够取消该委托。
[分析者终端30]
分析者终端30是在SOC经营者等中使用的个人计算机、平板电脑等终端设备。此外,分析者终端30也可以被作为分析者的个人使用。分析者终端30能够与网络连接,能够与构成区块链平台20的多个服务器进行通信。
在本实施方式中,分析者终端30被用于属于SOC经营者等的分析者。分析者终端30基于记录于区块链的安全分析的委托,利用规格书、威胁智能信息进行安全分析,由此制作分析结果,生成包含制作的分析结果的分析事务数据。如图1所示,分析者终端30具备通信部301、分析信息输入部302以及分析事务生成部303。在此,分析者终端30具备处理器和存储有使处理器执行规定的处理的程序的存储器和通信接口等。即,分析者终端30通过处理器使用存储器执行规定的程序来实现各结构的功能。
以下,对各结构进行说明。
<通信部301>
通信部301是无线或有线通信接口,与构成区块链平台20的多个服务器进行通信。在本实施方式中,通信部301访问记录在区块链中的委托事务数据,取得委托事务数据中包含的信息,或发送事务数据。
在本实施方式中,通信部301访问记录在区块链中的委托事务数据,取得警报的信息、分析委托ID、以及对能够用于分析的关联信息的访问方法。另外,通信部301将由后述的分析事务生成部303生成的分析事务数据发送到构成区块链平台的多个服务器中的一个服务器。
<分析信息输入部302>
分析信息输入部302取得由通信部301输入的委托事务数据所包含的信息。分析者使用公开的威胁智能信息,将进行了安全分析而得到的分析结果输入到分析信息输入部302。分析信息输入部302通过输入分析结果来取得分析结果。
在本实施方式中,分析信息输入部302取得由通信部301输入的委托事务数据中包含的警报的信息、分析委托ID、以及对能够用于分析的关联信息的访问方法。分析信息输入部302通过取得的访问方法,取得分析者进行安全分析所需的警报的概要、日志信息。
分析者将通过使用取得到的警报的概要、日志信息和公开的威胁智能信息进行警报的分析而得到的结果即分析结果输入到分析信息输入部302。这样,分析信息输入部302能够取得与委托事务数据所包含的分析委托ID对应的分析结果。
图4是表示进行了实施方式的访问方法的安全产品的画面的一例的图。在图4中,示出了通过访问图3所示的URL(access_url),能够经由用户保有的SIEM的画面取得在SIEM中产生的警报的概要和分析所需的日志信息的情况的一例。
此外,在图4所示的例子中,示出了从Ticket(券)的行到Model Breached(模型违背)的行为警报的概要即与警报相关的信息,在Model Breached之下的行中,示出能够通过下载取得特定期间的日志信息。
<分析事务生成部303>
分析事务生成部303基于输入到分析信息输入部302的分析结果,生成分析事务数据。
更具体而言,分析事务生成部303生成包含与委托事务数据所包含的分析委托ID对应的分析结果、关联信息中的与分析结果关联的日志信息、以及成为分析结果的依据的威胁智能信息的分析事务数据。在此,分析事务数据所包含的日志信息是关联信息中与分析结果相关联且用于分析的日志信息。分析事务数据所包含的威胁智能信息是成为分析结果的依据且相当于警报的原因的威胁智能信息。此外,在分析事务数据所包含的威胁智能信息中,也可以实施基于被认证的安全企业的数字签名。这样,通过对作为公开信息的威胁智能信息实施基于能够信赖的安全企业的数字签名,能够防止威胁智能信息被随意地捏造。
在分析事务数据中还可以包含一个以上的表示为了得到分析结果而进行的分析的种类的标签。通过在分析事务数据中包含表示分析的种类的标签,能够明确通过该分析判明的警报的原因、警报的影响范围、有无感染、或者对被窃取的数据进行分析等事项。由此,后述的分析结果的正当性的验证有可能变得容易。
图5是表示实施方式的分析事务数据所包含的分析结果的一例的图。
在图5所示的分析结果中,包含分析委托ID(request_id)、在用户环境中产生了警报的时刻(date)、未图示的用户环境中的警报的标识符(alert_id)、以及分析结果的类别(type)。另外,在图5所示的分析结果中还包含分析者利用的日志种类(log_type)、分析者分析出的警报的威胁种类(threat_type)。图5所示的分析结果还包括分析者利用的公开的威胁智能信息的标识符(cti_id)和分析者利用的公开的威胁智能信息的信息源(cti_source)等。
这样,在图5所示的分析结果中包含与分析委托ID对应的分析结果、关联信息中与分析结果关联的日志信息、以及成为分析结果的依据的威胁智能信息。
图6是表示实施方式的威胁智能信息的一例的图。
图6所示的威胁智能信息是图5所示的分析结果中包含的威胁智能信息的详细信息,并被公开。
图6所示的威胁智能信息包括威胁智能信息的种类(type)、威胁智能信息的标识符(id)以及表示威胁的产生的特征(pattern)。威胁智能信息的标识符(id)与图5所示的分析结果中包含的威胁智能信息的标识符(cti_id)相同。图6所示的indicator(指针)表示用于检测威胁的威胁的特征。图6所示的威胁智能信息以作为以标准化/结构化的形式记述威胁信息的格式的STIX(Structured Threat Information eXpression:结构化威胁信息表达)来记述。
此外,如图6所示,在威胁智能信息中,包含与确定了怎样的信息并何时制作相关的信息。
[验证者终端40]
验证者终端40是个人计算机、平板电脑等终端设备。验证者终端40能够与网络连接,能够与构成区块链平台20的多个服务器进行通信。
在本实施方式中,验证者终端40由进行分析结果的验证的验证者使用,进行记录在区块链中的安全分析的分析结果的验证。如图1所示,验证者终端40具备通信部401、分析结果验证部402以及事务生成部403。在此,验证者终端40具备处理器和存储有使处理器执行规定的处理的程序的存储器和通信接口等。即,验证者终端40通过处理器使用存储器执行规定的程序来实现各结构的功能。
以下,对各结构进行说明。
<通信部401>
通信部401是无线或有线通信接口,与构成区块链平台20的多个服务器进行通信。在本实施方式中,通信部401访问发送到区块链而生成的区块所包含的分析事务数据并取得分析事务数据所包含的分析结果、发送针对分析结果的正当性的验证结果、发送所生成的事务数据。
在本实施方式中,通信部401访问发送到区块链而生成的区块所包含的分析事务数据,取得分析事务数据所包含的分析结果和分析结果所示的威胁智能信息。另外,通信部401将针对由后述的分析结果验证部402生成的分析结果的正当性的验证结果发送到构成区块链平台20的多个服务器中的一个服务器。此外,通信部401在由后述的事务生成部403生成了包含针对分析结果的正当性的验证结果的验证事务数据的情况下,将验证事务数据发送到构成区块链平台的一个服务器即可。
另外,通信部401在由事务生成部403生成了包含智能合约的事务数据的情况下,将包含智能合约的事务数据向一个服务器发送。
<分析结果验证部402>
分析结果验证部402验证由通信部401取得的分析事务数据中包含的分析结果的正当性,制作作为验证的结果的验证结果。在此,分析结果验证部402也可以通过进行分析事务数据所包含的威胁智能信息内存在的恶意软件的签名信息与分析事务数据所包含的日志信息所包含的追踪中的字节串之间的匹配来制作验证结果。分析结果验证部402在匹配的结果为大致一致的情况下,验证了分析结果的正当性,因此制作表示验证了分析事务数据中包含的分析结果的正当性的验证结果。另外,分析结果验证部402也可以通过进行规格书信息中包含的通信的产生条件与分析事务数据中包含的日志信息中包含的实际产生的通信内容的匹配来制作验证结果。并且,分析结果验证部402在匹配的结果为大致一致的情况下,验证分析结果的正当性,因此制作表示验证了分析事务数据中包含的分析结果的正当性的验证结果。
图7是实施方式的进行分析事务数据中包含的分析结果的正当性的验证的方法的一例的说明图。在图7所示的例子中,使用验证者终端40的验证者使用图3所示的警报分析委托表和图6所示的威胁智能信息,进行图5所示的分析结果的正当性的验证。
首先,验证者在图3所示的警报分析委托表和图5所示的分析结果中,确认a所示的分析委托ID(request_id)和时刻(date)。即,首先,验证者确认发送到区块链而生成的区块中包含的分析事务数据中包含的验证对象的分析结果与哪个警报分析委托对应、警报分析委托表中记载的时刻与分析结果中记载的时刻是否接近。接近的时间例如为1小时以内,但不限于此,可以是几分钟以内,也可以是几小时以内。
接着,验证者在图5所示的分析结果中,如b所示,从日志类别(log_type)及时刻(date)等提取图7的最下段所示的表的行所示的与分析结果关联的日志信息。即,首先,验证者根据分析结果中记载的日志类别(log_type)和时刻(date),提取时刻(date)、发送源(src_ip)、发送目的地(dst_ip)、URL信息(url)等,作为与分析结果相关联的日志信息而保有。
另外,验证者如c所示,从图5所示的分析结果中记载的信息中提取成为分析结果的依据的威胁智能信息。即,首先,验证者基于分析结果中记载的威胁智能信息的标识符(cti_id)和威胁智能信息的信息源(cti_source),提取成为分析结果的依据的威胁智能信息。
接着,验证者通过将提取出的日志信息与提取出的威胁智能信息进行比较,来确认分析结果是否正当。
在图7所示的例子中,在图5所示的分析结果中,分析者分析出的警报的威胁种类(threat_type)记载为“indicator_for_malicious_url”。因此,验证者如d所示,确认提取出的日志信息中的URL信息与作为提取出的威胁智能信息的“‘type’:‘indicator’”所示的标签中的特征(pattern)记载的“url:value=‘http://mal_xxx.com/’”中包含的URL信息是否一致。在两者的URL信息一致的情况下,能够确认分析结果是正当的。这样,验证者通过进行威胁智能信息中包含的恶意软件的URL等字节串与日志信息中的URL等字节串的匹配,能够验证分析结果的正当性。
此外,在分析结果中记载的警报的威胁种类(threat_type)不是“indicator_for_malicious_url”的情况下,进行与其威胁种类相应的验证。
例如,有时在委托事务数据中包含的警报的信息中有包含追踪(原始的包的字节串信息)的情况。在该情况下,也可以通过进行威胁智能信息所包含的恶意软件的签名信息与从分析结果提取的日志信息所包含的追踪中的字节串的正则表达式之间的匹配,来验证分析结果的正当性。另外,例如,有时在委托事务数据所包含的警报的信息中包含通过与控制控制器的通信异常而取得的追踪(原始的包的字节串信息)。在该情况下,例如通过进行BACnet的PICCS等规格书信息中包含的通信的产生条件与从分析结果提取的日志信息中包含的实际产生的通信内容之间的匹配,能够验证分析结果的正当性。
另外,有时在由通信部401取得的分析事务数据所包含的分析结果即验证对象的分析结果之前存在针对同一分析委托ID的分析结果。
在该情况下,分析结果验证部402在进行验证对象的分析结果的正当性验证之前,计算验证对象的分析结果与存在的针对同一分析委托ID的分析结果的相似度,在计算出的相似度超过阈值的情况下,不进行验证对象的分析结果的正当性验证。换言之,分析结果验证部402首先计算验证对象的分析事务数据中包含的分析结果与在验证对象过去产生的分析事务数据中包含的分析结果的相似度。在计算出的相似度超过规定的阈值的情况下,分析结果验证部402不验证针对验证对象的分析事务数据中包含的分析结果的正当性。然后,分析结果验证部402制作表示验证对象的分析事务数据被从验证对象中排除的验证结果。这样,当表示将分析事务数据从验证对象中排除的验证结果发送到构成区块链平台20的多个服务器中的一个服务器时,包含分析事务数据的区块不被记录在分布式账本中。
此外,在包含该验证结果的验证事务数据被生成并被发送至构成区块链平台20的多个服务器中的一个服务器的情况下,也可以设为不将针对该分析结果的验证事务数据记录于分布式账本。在该情况下,包含分析事务数据的区块已经生成,记录或不记录于分布式账本均可。这是因为,通过不将包含验证事务数据的区块记录到分布式账本中,能够使得制作了与验证事务数据中包含的该验证结果对应的分析结果的分析者终端30无法得到报酬。
因此,在针对一个安全分析的委托,生成包含相同的分析结果的多个分析事务数据,生成包含该分析事务数据的区块并记录于分布式账本的情况下,未验证在非最先生成的分析事务数据中包含的分析结果,验证事务不记录于区块链。由此,能够在分析者间以竞争原理使其工作,因此能够高速且低成本地得到安全分析的分析结果。
在此,对针对同一分析委托ID而生成的两个分析事务数据中包含的分析结果的相似度的计算方法的一例进行说明。
图8A表示对实施方式的同一分析委托ID生成的分析事务数据1中包含的分析结果的一例。图8B表示对实施方式的同一分析委托ID生成的分析事务数据2中包含的分析结果的一例。
例如,验证者能够使用下述的(式1)~(式3),将图8A所示的分析结果和图8B所示的分析结果的相似度计算为分析结果中包含的日志信息的时刻(date)之间的距离和分析结果中利用的威胁智能信息(cti)间的距离之和。
dist(analysis1,analysis2)=datedist(date 1,date 2)+ctidist(cti1,cti2)(式1)
datedist(date 1,date 2)=|date 1的UNIXTIME-date 2的UNIX_TIME|/86400(式2)
ctidist(cti1,cti2)=1-(cti1与cti2的相似度被缩放为0~1而得到的值)(式3)
在此,date 1是图8A所示的分析事务数据1的分析结果中包含的时刻(date),date2是图8B所示的分析事务数据2的分析结果中包含的时刻(date)。86400相当于将一天即24小时换算为秒的值。另外,同样地,cti1是从图8A所示的分析事务数据1的分析结果中提取的威胁智能信息,cti2是从图8B所示的分析事务数据2的分析结果中提取的威胁智能信息。
另外,以安全关联企业间的威胁信息交换为目的,在以标准化/结构化的形式记述威胁信息的格式即STIX2中,准备在0~100的范围输出两个威胁智能信息间的相似度的方法。在该方法中,按name等字段进行加权,按各威胁智能信息的每个字段进行比较,以(一致的字段的总权重)/(比较对象的字段的总权重)那样的形式计算相似度。
并且,验证者在dist(analysis1,analysis2)<T的情况下,即计算出的dist(analysis1,analysis2)小于阈值T的情况下,能够判定为两者的分析结果类似或相同。换言之,验证者在计算出的dist(analysis1,analysis2)小于阈值T的情况下,能够判定为图8A所示的分析结果和图8B所示的分析结果的相似度超过了规定的阈值,两者的分析结果类似或相同。
<事务生成部403>
事务生成部403也可以生成包含由分析结果验证部402生成的验证结果的验证事务数据。
另外,事务生成部403也可以通过验证者的操作,生成用于支付分析手续费的智能合约,生成包含生成的智能合约的事务数据。在此,在所生成的智能合约的支付函数中,例如也可以嵌入有将委托安全分析的用户所设定的分析手续费中的八成分配给分析者、将剩余的二成在验证了该分析者进行的分析结果的一个以上的验证者间分配的逻辑。嵌入所生成的智能合约的支付函数中的逻辑不限于该例,只要是分析者进行分析的奖励和验证者进行验证的奖励的范围,就可以适当决定。
此外,在安全分析的委托不是警报分析的委托而是威胁搜寻分析的委托的情况下,分析事务数据所包含的日志信息只要是关联信息中的与分析结果关联且访问用户环境而得到的日志信息即可。在该情况下,分析事务数据所包含的威胁智能信息只要是成为分析结果的依据且与该日志信息相关的威胁智能信息即可。
[动作]
接着,对由如上构成的安全分析系统1执行的处理进行说明。
[处理概要]
图9是表示由实施方式的安全分析系统1执行的处理概要的流程图。图9所示的处理概要是由实施方式所涉及的安全分析系统1所具有的多个服务器中的一个服务器执行的控制方法。多个服务器分别具有分布式账本。换言之,多个服务器管理区块链。
首先,一个服务器取得包含唯一地表示分析的委托的分析委托ID和对能够用于分析的关联信息的访问方法的委托事务数据(S1)。在本实施方式中,委托事务数据是在用户企业等中安全产品产生了警报的情况下由用户终端10生成并发送至一个服务器的数据。
接着,一个服务器将在步骤S1中取得的委托事务数据包含在区块中并记录在分布式账本中(S2)。
接着,一个服务器取得包含与委托事务数据所包含的分析委托ID对应的分析结果、关联信息中的与分析结果相关联的日志信息、和成为分析结果的依据的威胁智能信息的分析事务数据(S3)。在本实施方式中,分析事务数据由分析者终端30生成并发送至一个服务器。分析事务数据中包含基于记录于分布式账本的安全分析的委托,利用规格书、威胁智能信息进行安全分析而制作的分析结果。
接着,一个服务器取得针对在步骤S3中取得的分析事务数据中包含的分析结果的正当性的验证结果(S4)。在本实施方式中,一个以上的验证者使用验证者终端40进行记录于分布式账本的安全分析的分析结果的验证,制作验证结果。一个以上的验证者也可以生成包含所制作的验证结果的验证事务数据,并发送至一个服务器。另外,在分布式账本中记录的安全分析的分析结果与之前记录在分布式账本中的其他分析结果类似的情况下,作为无效的分析结果,不验证针对分析结果的正当性,制作表示该意思的验证结果。
接着,一个服务器在通过在步骤S4中取得的验证结果示出分析事务数据中包含的分析结果的正当性被验证的情况下,将分析事务数据包含在区块中并记录到分布式账本中(S5)。
[警报分析处理]
接着,对由安全分析系统1执行的警报分析处理例进行说明。
图10是表示实施方式的警报分析处理例的概要的流程图。图11是表示图10所示的智能合约登记处理(步骤S10)的详细情况的流程图。图12是表示图10所示的警报分析委托处理(步骤S12)的详细情况的流程图。图13是表示图10所示的分析结果发送处理(步骤S13)的详细情况的流程图。图14是表示图10所示的验证结果发送处理(步骤S14)的详细情况的流程图。图15是表示图10所示的手续费支付处理(步骤S15)的详细情况的流程图。
首先,在图10中,安全分析系统1执行智能合约登记处理(S10)。
更详细而言,如图11所示,验证者终端40为了通过验证者的操作委托安全分析,制作分析手续费池函数和手续费支付函数,并登记到区块链(S101)。在本实施方式中,验证者终端40生成由制作出的分析手续费池函数和手续费支付函数构成的用于支付分析手续费的智能合约,并发送到构成区块链平台20的多个服务器中的一个服务器。由此,智能合约被登记在区块链中并运行。
接着,在图10中,安全分析系统1执行分析手续费池处理(S11)。在本实施方式中,用户终端10生成用于登记分析手续费的支付用的池金的事务数据,并发送到管理区块链的多个服务器中的一个服务器。由此,执行分析手续费池处理,将分析手续费的支付用的池金登记到区块链。
接着,在图10中,安全分析系统1执行警报分析委托处理(S12)。
更详细而言,如图12所示,首先,设为用户侧保有的SIEM等安全产品产生了警报(S121)。接着,用户终端10取得表示是否委托所产生的警报的分析的用户的输入(S122)。接着,用户终端10确认是否输入了委托所产生的警报的分析(S123),在输入了委托的情况下(S123:是),取得分析委托所需的默认的设定信息(S124)。此外,用户终端10在步骤S123中没有输入委托的情况下(S123:否),结束警报分析委托处理。接着,用户终端10根据用户的输入来变更设定信息(S125)。此外,在默认的设定信息不变的情况下,跳过步骤S125。接着,用户终端10基于确定的设定信息即分析委托设定信息,生成警报分析的委托事务数据(S126)。接着,用户终端10通过将在步骤S126中生成的委托事务数据发送到一个服务器,将该委托事务数据发送到区块链(S127)。
接着,在图10中,安全分析系统1执行分析结果发送处理(S13)。
更详细而言,如图13所示,首先,分析者终端30基于记录于区块链的委托事务数据所包含的警报分析的委托,利用规格书、威胁智能信息进行安全分析,由此制作分析结果(S131)。接着,分析者终端30基于在步骤S131中生成的分析结果生成分析事务数据(S132)。接着,分析者终端30通过将在步骤S132中生成的分析事务数据发送到一个服务器,将该分析事务数据发送到区块链(S133)。
接着,在图10中,安全分析系统1执行验证结果发送处理(S14)。
更详细而言,如图14所示,首先,验证者终端40调查在验证对象的分析结果之前是否存在针对同一分析委托ID的分析结果(S141)。此外,步骤S141在步骤S13中被发送到区块链而生成的区块所包含的分析事务数据所包含的分析结果的验证之前进行。接着,验证者终端40确认在已经存在分析结果即验证对象的分析结果之前是否存在针对同一分析委托ID的分析结果(S142)。
在步骤S142中,在已经存在分析结果的情况下(S142:是),验证者终端40计算已经存在的分析结果与验证对象的分析结果之间的距离(S143)。接着,验证者终端40通过确认在步骤S143中计算出的距离是否小于阈值,判定两者的分析结果是否类似(S144)。在步骤S144中,如果计算出的距离不小于阈值(S144:否),则两者的分析结果不类似,因此验证者终端40进入步骤S145。此外,在步骤S142中,在并非已经存在分析结果的情况下(S142:否),验证者终端40进入步骤S145,验证验证对象的分析结果的正当性(S145)。
接着,验证者终端40如果在步骤S145中验证的结果是该分析结果正当(S146:是),则生成包含针对该分析结果的验证结果的验证事务数据(S147)。接着,验证者终端40通过将生成的验证事务数据发送到一个服务器,将该验证事务数据发送到区块链(S148)。此外,验证者终端40也可以不生成该验证事务数据,而仅将针对该分析结果的验证结果发送到区块链。
此外,在步骤S144中,在计算出的距离小于阈值的情况下(S144:是),两者的分析结果类似,因此,验证者终端40不进行验证对象的分析结果的验证,不生成包含针对该分析结果的验证结果的验证事务数据(S149)。在该情况下,验证者终端40将表示验证对象的分析结果被从验证对象中排除的验证结果发送到区块链即可。
另外,在步骤S146中,如果在步骤S145中验证的结果是该分析结果不合法(S146:否),则验证者终端40不生成包含针对该分析结果的验证结果的验证事务数据(S149)。在该情况下,验证者终端40将表示验证对象的分析结果不合法的验证结果发送到区块链即可。
接着,在图10中,安全分析系统1执行手续费支付处理(S15)。
更详细而言,如图15所示,首先,构成区块链平台20的多个服务器中的一个服务器生成包含针对特定的分析事务数据的验证事务数据的区块(S151)。接着,作为针对该分析事务数据的验证事务数据的数量,该一个服务器将在步骤S151中到生成区块前为止所确定的总数设为M,将区块生成后的总数设为N,(S152)。在此,M、N是自然数。接着,该一个服务器确认是否满足M<阈值Th且N≥阈值Th(S153),在满足的情况下(S153:是),向分析事务数据的制作者和验证事务数据的制作者分配并发送分析手续费(S154)。此外,该一个服务器在步骤S153中,在M<阈值Th且不满足N≥阈值Th的情况下(S153:否),结束手续费支付处理。
这样,安全分析系统1实现在区块链上委托安全分析的机制,实现能够验证安全分析的分析结果的正当性且能够抑制不正当的机制。
[警报分析处理的时序]
接着,使用时序图对由安全分析系统1执行的警报分析处理进行说明。
图16是表示实施方式的警报分析处理的一例的时序图。在此,以生成包含验证结果的验证事务数据的情况为例进行说明。
首先,验证者终端40生成用于支付分析手续费的智能合约,生成包含所生成的智能合约的第一事务数据(S201)。
接着,验证者终端40将在步骤S201中生成的第一事务数据发送到区块链平台20(S202)。在本实施方式中,验证者终端40将在步骤S201中生成的第一事务数据发送到构成区块链平台20的多个服务器中的一个服务器。
接下来,区块链平台20在取得第一事务数据时,生成包含所取得的第一事务数据的区块并记录于区块链(S203)。具体而言,构成区块链平台20的多个服务器中的一个服务器在取得1事务数据时,生成包含所取得的第一事务数据的区块。该一个服务器经过与其他服务器进行的规定的一致性算法,将包含生成的第一事务数据的区块记录到区块链中。
另外,用户终端10生成用于登记分析手续费的支付用的池金的第二事务数据(S204),并发送至区块链平台20(S205)。
接下来,区块链平台20在取得第二事务数据时,生成包含所取得的第二事务数据的区块并记录于区块链(S206)。
另外,在用户侧保有的IDS等安全产品中产生了警报的情况下,用户终端10生成用于进行警报分析的委托的第三事务数据(S207)。该第三事务数据是上述的委托事务数据,包含表示IDS日志等产生的警报的信息、对分析对象的用户环境的访问方法、以及分析手续费的信息。
接着,用户终端10将在步骤S207中生成的第三事务数据发送到区块链平台20(S208)。
接下来,区块链平台20在取得第三事务数据时,生成包含所取得的第三事务数据的区块并记录于区块链(S209)。
接着,分析者终端30取得记录于区块链的第三事务数据所包含的表示警报分析的委托的警报分析委托信息(S210),实施警报分析(S211)。在本实施方式中,分析者终端30基于取得到的警报分析委托信息,利用规格书、威胁智能信息进行警报分析,由此制作分析结果(在此称为警报分析结果)。
接着,分析者终端30生成包含通过在步骤S211中进行警报分析而得到的警报分析结果的第四事务数据(S212)。该第四事务数据是上述的分析事务数据。
接着,分析者终端30将在步骤S212中生成的第四事务数据发送到区块链平台20(S213)。
接下来,区块链平台20在取得第四事务数据时,生成包含所取得的第四事务数据的区块(S214)。
接着,验证者终端40取得所生成的区块所包含的第四事务数据所包含的警报分析结果(S215)。此外,在生成的区块被记录于分布式账本的情况下,验证者终端40能够从区块链取得包含于第四事务数据的警报分析结果。另一方面,在所生成的区块未被记录在区块链中的情况下,能够从包含被广播的第四事务数据的区块取得第四事务数据所包含的警报分析结果。这是因为,当生成包括第四事务数据的区块时,在被广播且经过一致性算法后,生成的区块被确定并记被录在区块链中。
接着,验证者终端40验证在步骤S215中取得的警报分析结果的正当性(S216)。此外,在验证警报分析结果的正当性时,也进行与已经存在的警报分析结果的相似度判定等。
接着,验证者终端40生成包含通过在步骤S216中验证警报分析结果的正当性而得到的验证结果的第五事务数据(S217)。该第五事务数据是上述的验证事务数据。
接着,验证者终端40将在步骤S217中生成的第五事务数据发送到区块链平台20(S218)。
接下来,区块链平台20在取得第五事务数据时,生成包含取得的第五事务数据的区块,与包含第四事务数据的区块一起记录于区块链(S219)。另外,在包含第四事务数据的区块已经记录于区块链的情况下,仅生成仅包含所取得的第五事务数据的区块并记录于区块链即可。
接着,区块链平台20以记录有包含第四事务数据及第五事务数据的区块为触发,执行从智能合约中的池金中支付支付手续费的支付函数(S220)。
接下来,区块链平台20通过在步骤S220中执行支付函数,将分析手续费从池金发送至分析者终端30(S221),并将验证手续费发送至验证者终端40(S222)。由于验证手续费是在步骤S207中包含于第三事务数据的分析手续费的一部分,因此在上述中也称为分析手续费。
接着,验证者终端40当取得在步骤S222中发送的验证手续费时,将警报分析结果的确定通知发送到用户终端10(S223)。
如上所述,作为安全分析,仅在对由安全产品产生的警报进行分析而生成的分析事务数据中包含的针对警报分析结果的正当性被验证的情况下,将分析事务数据记录在分布式账本中。
由此,不仅能够验证所产生的警报的分析结果的正当性,还能够利用区块链的不可篡改性的功能来抑制不正当行为。
另外,警报分析的报酬利用智能合约自动地提供给分析者,因此成为分析者进行警报分析的奖励。同样地,由于警报分析的报酬被分配给利用智能合约自动地验证了分析结果的一个以上的验证者,因此成为验证者进行警报分析结果的验证的奖励。由此,能够迅速地进行委托的警报分析。
[威胁搜寻的时序]
接着,使用时序图,对由安全分析系统1执行的威胁搜寻分析处理进行说明。威胁搜寻分析的委托是在安全产品中未产生警报的阶段进行的安全分析的委托。
图17是表示实施方式的威胁搜寻分析处理的一例的时序图。此外,步骤S301~步骤S306与图16中说明的步骤S201~步骤S206的处理相同,因此省略说明。以下,以生成包含验证结果的验证事务数据的情况为例进行说明。
在步骤S307中,用户终端10生成用于进行威胁搜寻分析的委托的第三事务数据。该第三事务数据是上述的委托事务数据,包含表示对分析对象的用户环境的访问方法和分析手续费的信息。
接着,用户终端10将在步骤S307中生成的第三事务数据发送到区块链平台20(S308)。
接下来,区块链平台20在取得第三事务数据时,生成包含所取得的第三事务数据的区块并记录于区块链(S309)。
接着,分析者终端30取得表示被记录于区块链的第三事务数据所包含的威胁搜寻分析的委托的威胁搜寻分析委托信息(S310),实施威胁分析(S311)。例如,分析者终端30基于所取得的威胁搜寻分析委托信息,利用规格书、威胁智能信息进行威胁分析,由此制作分析结果(在此称为威胁分析结果)。
接着,分析者终端30生成包含通过在步骤S311中进行威胁搜寻分析而得到的威胁分析结果的第四事务数据(S312)。该第四事务数据对应于上述的分析事务数据。
接着,分析者终端30将在步骤S312中生成的第四事务数据发送到区块链平台20(S313)。
接下来,区块链平台20在取得第四事务数据时,生成包含所取得的第四事务数据的区块(S314)。
接着,验证者终端40取得所生成的区块所包含的第四事务数据所包含的威胁分析结果(S315)。另外,在所生成的区块被记录于区块链的情况下,验证者终端40能够从区块链取得第四事务数据所包含的威胁分析结果。另一方面,在所生成的区块未被记录于区块链的情况下,能够从包含被广播的第四事务数据的区块取得第四事务数据所包含的威胁分析结果。
接着,验证者终端40验证在步骤S315中取得的威胁分析结果的正当性(S316)。另外,在威胁分析结果的正当性的验证时,也进行与已经存在的威胁分析结果的相似度判定等。
接着,验证者终端40生成包含通过在步骤S316中验证威胁分析结果的正当性而得到的验证结果的第五事务数据(S317)。该第五事务数据对应于上述的验证事务数据。
接着,验证者终端40将在步骤S317中生成的第五事务数据发送到区块链平台20(S318)。
接下来,区块链平台20在取得第五事务数据时,生成包含所取得的第五事务数据的区块,与包含第四事务数据的区块一起记录于区块链(S319)。另外,在包含第四事务数据的区块已经记录于区块链的情况下,只要生成包含所取得的第五事务数据的区块并记录于区块链即可。
接着,区块链平台20以记录有包含第四事务数据及第五事务数据的区块为触发,执行从智能合约中的池金中支付支付手续费的支付函数(S320)。
接下来,区块链平台20通过在步骤S320中执行支付函数,将分析手续费从池金发送至分析者终端30(S321),并将验证手续费发送至验证者终端40(S322)。验证手续费是在步骤S307中包含于第三事务数据的分析手续费的一部分。
接着,验证者终端40当取得在步骤S322中发送的验证手续费时,将威胁分析结果的确定通知发送到用户终端10(S323)。
如上所述,在安全产品中未产生警报的阶段,仅在验证了针对进行威胁搜寻分析而生成的分析事务数据所包含的威胁分析结果的正当性的情况下,将分析事务数据记录于分布式账本。
由此,不仅能够验证所产生的威胁分析结果的正当性,还能够活用区块链的不可篡改性的功能来抑制不正当行为。
另外,威胁搜寻分析的报酬利用智能合约自动提供给分析者,因此成为分析者进行威胁搜寻分析的奖励。同样地,威胁搜寻分析的报酬被分配给利用智能合约自动地验证了分析结果的一个以上的验证者,因此成为验证者进行威胁搜寻分析结果的验证的奖励。由此,能够迅速地进行委托的威胁搜寻分析。
[效果等]
如上所述,根据实施方式的安全分析系统1的控制方法等,能够验证安全分析的分析结果的正当性,并且能够抑制不正当。更具体而言,仅在验证了针对分析事务数据所包含的分析结果的正当性的情况下,将分析事务数据记录于分布式账本。由此,不仅能够验证所产生的警报的分析结果的正当性,还能够利用区块链的不可篡改性的功能来抑制不正当行为。
此外,由于委托事务数据被记录在分布式账本中,因此不限于一个公司的SOC经营者,能够通过多个SOC经营者即多个分析者以重复方式进行安全分析的委托。其结果,能够在分析者间以竞争原理使其工作,因此能够高速且低成本地得到安全分析的分析结果。
图18是本发明涉及的在区块链上委托安全分析的平台1a的说明图。在图18中,示出了用户10a在区块链20a上委托安全分析的委托,将多个分析者30a中的一人进行安全分析而得到的分析结果发送到区块链20a的平台1a。在此,用户10a是导入了IDS或者SIEM这样的安全产品的企业、工厂、设施等,进行使用上述的用户终端10生成包含安全分析的委托的委托事务数据,并记录于区块链20a。多个分析者30a典型地属于多个SOC经营者,但也可以是能够进行安全分析的个人。分析者30a使用上述的分析者终端30,根据记录在区块链20a中的安全分析的委托进行安全分析。分析者30a生成包含进行了安全分析的结果得到的分析结果的分析事务数据并发送至区块链20a。在区块链20a中,生成包含所发送的分析事务数据的区块。区块链20a是由上述区块链平台20实现的区块链。
另外,在图18中,示出了一个以上的验证者40a通过规定的验证算法验证分析结果的正当性,仅包括了包含验证了正当性的分析结果的分析事务数据的区块被记录于区块链20a的平台1a。
一个以上的验证者40a典型地为被信赖的多个机关,但也可以是属于该多个机关的人。这是因为,如果与分析者30a串通,则有担忧将所串通的分析者30a的分析结果无条件地验证为正当的分析结果。此外,在不存在上述的担忧的情况下,一个以上的验证者40a分别可以是个人。一个以上的验证者40a分别使用上述的验证者终端40,验证分析事务数据中包含的分析结果的正当性,将验证了正当性的结果得到的验证结果发送到区块链20a。在区块链20a中,仅记录包括了包含由所取得的验证结果示出了正当性的分析结果的分析事务数据的区块。另外,分析事务数据只要格式正确则作为区块生成,也可以记录在区块链20a中。在该情况下,虽然记录在区块链20a中,但分析事务数据中包含的分析结果并非作为正确的分析被受理(记录)即可。而且,在分析结果不正确的情况下,不将由验证者生成的验证事务数据记录在区块链20a中即可。即,即使在分析事务数据被记录于区块链20a的情况下,由验证者生成的验证事务数据也不会被记录于区块链20a阈值以上的数量。其结果,能够使制作了不正确的分析结果的分析者30a无法得到报酬。
这样,图18所示的平台1a无需针对每个用户10a进行系统构建,能够在利用了区块链20a的一个区块链平台20上实现。另外,在图18所示的平台1a中,通过利用区块链20a能够采用竞争方式,因此能够使竞争性原理作用于分析者30a之间。另外,在图18所示的平台1a中,通过利用区块链20a,分析结果被公开,因此不会出现特定的分析者间的串通导致的不正当行为等。
因此,不仅能够验证安全分析的分析结果的正当性,还能够活用区块链的不可篡改性的功能来抑制不正当行为。
进而,在图18所示的平台1a中,通过利用智能合约,能够构成在记录了包含分析事务数据的区块的定时将分析手续费向分析者30a等汇款的机制。即,在图18所示的平台1a中,能够自动进行分析手续费的支付。由此,能够给予分析者30a进行安全分析的奖励,能够给予验证者40a进行安全分析的分析结果的验证的奖励。
因此,根据图18所示的平台1a,用户10a不仅能够接受便宜且高速的安全分析的服务的提供,还能够验证正确地进行了安全分析。另外,根据图18所示的平台1a,验证者40a通过验证安全分析的正当性来接受报酬,分析者30a能够由具有安全分析技术的一个人参与并接受报酬。
另外,设想多个分析者30a针对一个安全分析的委托制作同一分析结果的情况。与此相对,在图18所示的平台1a中,使用引用了分析事务数据中包含的分析结果的日志信息间的相似度、利用的威胁智能信息间的相似度,计算分析结果的相似度。而且,在相似度较高的情况下,通过不认为包含最先的分析结果以外的分析结果的分析事务数据是正当的分析结果(不生成验证事务)来解决。
另外,将与用户10a所产生的警报相关的所有日志信息、或者用于进行威胁搜寻的分析的全部用户环境在安全分析的委托时包含并发送至区块链20a,鉴于相关信息的预测的困难度、容量等而不现实。在此,用户环境是导入安全产品而运用的设备、网络、系统、应用等的设定、结构等环境。与此相对,在图18所示的平台1a中,将对包含能够用于安全分析的用户环境的关联信息的访问方法在安全分析的委托时包含并发送至区块链20a。由此,分析者30a能够取得安全分析所需的关联信息,能够进行安全分析。
[其他实施方式等]
以上,基于上述的实施方式对本发明进行了说明,但本发明当然不限定于上述的实施方式。以下的情况也包含在本发明中。
(1)具体而言,上述实施方式中的各装置是由微处理器、ROM、RAM、硬盘单元、显示器单元、键盘、鼠标等构成的计算机系统。在所述RAM或硬盘单元中记录有计算机程序。所述微处理器按照所述计算机程序进行动作,由此各装置实现其功能。在此,计算机程序是为了实现规定的功能而组合多个表示针对计算机的指示的指令代码而构成的。
(2)上述实施方式中的各装置的构成要素的一部分或全部也可以由一个系统LSI(Large Scale Integration:大规模集成电路)构成。系统LSI是将多个构成部集成在一个芯片上而制造的超多功能LSI,具体而言,是包含微处理器、ROM、RAM等而构成的计算机系统。在所述RAM中记录有计算机程序。所述微处理器按照所述计算机程序进行动作,由此系统LSI实现其功能。
另外,构成上述各装置的构成要素的各部既可以单独地单芯片化,也可以以包含一部分或全部的方式单芯片化。
另外,在此,作为系统LSI,但根据集成度的不同,有时也被称为IC、LSI、超级LSI、超LSI。另外,集成电路化的方法不限于LSI,也可以通过专用电路或通用处理器来实现。在LSI制造后,也可以利用能够程序化的FPGA(Field Programmable Gate Array:现场可编程门阵列)、能够重构LSI内部的电路单元的连接、设定的可重构处理器。
进而,如果出现通过半导体技术的进步或派生的其他技术置换为LSI的集成电路化的技术,则当然也可以使用该技术进行功能块的集成化。可以应用生物技术等。
(3)构成上述各装置的构成要素的一部分或全部也可以由能够拆装于各装置的IC卡或单体的模块构成。所述IC卡或所述模块是由微处理器、ROM、RAM等构成的计算机系统。IC卡或模块可以包括上述超多功能LSI。微处理器按照计算机程序进行动作,从而所述IC卡或所述模块实现其功能。该IC卡或该模块也可以具有防篡改性。
(4)本发明也可以是上述所示的方法。另外,可以是通过计算机实现这些方法的计算机程序,也可以是由所述计算机程序构成的数字信号。
另外,本发明也可以将所述计算机程序或所述数字信号记录在计算机可读取的记录介质,例如软盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(注册商标)Disc)、半导体存储器等中。另外,也可以是记录在这些记录介质中的所述数字信号。
另外,本发明也可以经由电气通信线路、无线或有线通信线路、以互联网为代表的网络、数据广播等来传送所述计算机程序或所述数字信号。
另外,本发明也可以是具备微处理器和存储器的计算机系统,上述存储器记录上述计算机程序,上述微处理器按照上述计算机程序进行动作。
另外,也可以通过将所述程序或者所述数字信号记录并移送到所述记录介质,或者经由所述网络等移送所述程序或者所述数字信号,从而通过独立的其他计算机系统来实施。
(5)也可以分别组合上述实施方式和上述变形例。
[工业上的可用性]
本发明可以用于控制方法、服务器、程序和安全分析系统,例如可以用于利用区块链平台对信息安全中的威胁进行分析的控制方法、服务器、程序和安全分析系统等。
符号说明
1 安全分析系统
1a 平台
10 用户终端
10a 用户
20 区块链平台
20a 区块链
30 分析者终端
30a 分析者
40 验证者终端
40a 验证者
101 分析委托设定存储部
102、201、301、401 通信部
103 分析委托执行受理部
104 分析委托生成部
202 区块链存储部
203 处理部
302 分析信息输入部
303 分析事务生成部
402 分析结果验证部
403 事务生成部
Claims (18)
1.一种控制方法,
是由具备分别具有分布式账本的多个服务器的安全分析系统中的一个服务器执行的控制方法,
在该控制方法中,
取得委托事务数据,所述委托事务数据包含唯一地表示分析的委托的分析委托ID和对能够用于所述分析的关联信息的访问方法,
将取得的所述委托事务数据包含在区块中记录到所述分布式账本中,
取得分析事务数据并生成包含所述分析事务数据的区块,所述分析事务数据包含与所记录的所述委托事务数据中包含的所述分析委托ID对应的分析结果、所述关联信息中的与所述分析结果关联的日志信息、以及成为所述分析结果的依据的威胁智能信息,
取得针对所述分析事务数据中包含的所述分析结果的正当性的验证结果,
在根据取得的所述验证结果示出所述分析事务数据中包含的所述分析结果的正当性被验证的情况下,将包含所述分析事务数据的区块记录于所述分布式账本。
2.根据权利要求1所述的控制方法,
所述分析是由安全产品产生的警报的分析,
所述委托事务数据包含由安全产品产生的警报的信息、所述分析委托ID以及所述访问方法,
所述分析事务数据所包含的所述日志信息是所述关联信息中的与所述分析结果关联且用于了所述分析的日志信息,
所述分析事务数据所包含的所述威胁智能信息是成为所述分析结果的依据且相当于所述警报的原因的威胁智能信息。
3.根据权利要求2所述的控制方法,
所述委托事务数据所包含的所述访问方法包含能够用于所述分析且所述分析所需的关联信息的访问场所以及访问权限。
4.根据权利要求1所述的控制方法,
所述分析是威胁搜寻的分析,
所述委托事务数据所包含的访问方法包含关联信息的访问场所以及访问权限,所述关联信息能够用于所述分析且表示执行安全监视的环境,
所述分析事务数据所包含的所述日志信息是所述关联信息中的与所述分析结果关联且访问所述环境而得到的日志信息,
所述分析事务数据所包含的所述威胁智能信息是成为所述分析结果的依据且与所述日志信息相关的威胁智能信息。
5.根据权利要求1至4中的任一项所述的控制方法,
所述委托事务数据还包含表示针对所述分析的委托的分析手续费的信息。
6.根据权利要求1至4中的任一项所述的控制方法,
还在取得了所述委托事务数据之后且取得所述分析事务数据之前,取得包含所述分析委托ID和表示取消分析委托的信息的取消事务数据,并将所述取消事务数据记录于所述分布式账本的情况下,
取消由所述分析委托ID确定的分析委托。
7.根据权利要求1至4中任一项所述的控制方法,
所述分析事务数据所包含的所述威胁智能信息被实施基于被认证的安全企业的数字签名。
8.根据权利要求1至4中任一项所述的控制方法,
所述正当性的验证结果是通过进行所述分析事务数据所包含的所述威胁智能信息内存在的恶意软件的签名信息与所述分析事务数据所包含的所述日志信息所包含的追踪中的字节串之间的匹配而得到的结果。
9.根据权利要求1至4中任一项所述的控制方法,
所述正当性的验证结果是通过进行规格书信息所包含的通信的产生条件与所述分析事务数据所包含的日志信息所包含的实际产生的通信内容之间的匹配而得到的结果。
10.根据权利要求1至4中任一项所述的控制方法,
所述委托事务数据还包含一个以上的指定所述分析的种类的标签,
所述分析事务数据还包含一个以上的表示为了得到所述分析结果而进行的所述分析的种类的标签。
11.根据权利要求1至4中任一项所述的控制方法,
所述访问方法所包含的信息中的能够确定委托所述分析的用户的信息被匿名化。
12.根据权利要求1至4中任一项所述的控制方法,
在所述委托事务数据所包含的访问方法中包含对委托所述分析的用户利用的SIEM即安全信息和事件管理的远程访问权。
13.根据权利要求1至4中任一项所述的控制方法,
所述委托事务数据所包含的访问方法中包含表示用于取得能够用于所述分析的关联信息中的所述分析所需的日志信息的操作的信息。
14.根据权利要求1至4中任一项所述的控制方法,
在取得到的所述验证结果示出所述分析事务数据被从验证对象中排除的情况下,所述分析事务数据不被记录于所述分布式账本。
15.根据权利要求14所述的控制方法,
算出验证对象的所述分析事务数据所包含的分析结果与在所述验证对象之前产生的所述分析事务数据所包含的分析结果之间的相似度,在算出的所述相似度超过规定的阈值的情况下,不验证针对所述验证对象的所述分析事务数据所包含的所述分析结果的正当性,在所述验证结果中示出所述验证对象的所述分析事务数据被从所述验证对象中排除。
16.一种服务器,
是具备分别具有分布式账本的多个服务器的安全分析系统中的一个服务器,
该服务器具备处理器和存储器,
所述处理器使用所述存储器,取得委托事务数据,所述委托事务数据包含唯一地表示分析的委托的分析委托ID和对能够用于所述分析的关联信息的访问方法,
所述处理器将取得的所述委托事务数据包含在区块中并记录到所述分布式账本中,
所述处理器取得分析事务数据并生成包含所述分析事务数据的区块,所述分析事务数据包含与所记录的所述委托事务数据中包含的所述分析委托ID对应的分析结果、所述关联信息中的与所述分析结果关联的日志信息、以及成为所述分析结果的依据的威胁智能信息,
所述处理器取得针对所述分析事务数据中包含的所述分析结果的正当性的验证结果,
所述处理器在根据取得的所述验证结果示出所述分析事务数据中包含的所述分析结果的正当性被验证的情况下,将包含所述分析事务数据的区块记录于所述分布式账本。
17.一种程序,
是用于执行具备分别具有分布式账本的多个服务器的安全分析系统中的控制方法的程序,
所述程序用于使计算机执行:
取得委托事务数据,所述委托事务数据包含唯一地表示分析的委托的分析委托ID和对能够用于所述分析的关联信息的访问方法,
将所取得的所述委托事务数据包含在区块中并记录在所述分布式账本中,
取得分析事务数据,所述分析事务数据包含与所记录的所述委托事务数据中包含的所述分析委托ID对应的分析结果、所述关联信息中的与所述分析结果关联的日志信息、以及成为所述分析结果的依据的威胁智能信息,
取得针对所述分析事务数据中包含的所述分析结果的正当性的验证结果,生成包含所述分析事务数据的区块,
在根据取得的所述验证结果示出所述分析事务数据中包含的所述分析结果的正当性被验证的情况下,将包含所述分析事务数据的区块记录于所述分布式账本。
18.一种安全分析系统,具备:
用户终端,委托分析;
分析者终端,执行所述分析的委托;以及,
多个服务器,分别具有分布式账本,
所述多个服务器中的一个服务器具有处理器和存储器,
所述处理器使用所述存储器,从所述用户终端取得委托事务数据,所述委托事务数据包含唯一地表示所述分析的委托的分析委托ID和对能够用于所述分析的关联信息的访问方法,
所述处理器将取得的所述委托事务数据包含在区块中并记录到所述分布式账本中,
所述处理器从所述分析者终端取得分析事务数据,所述分析事务数据包含与所记录的所述委托事务数据所包含的所述分析委托ID对应的分析结果、所述关联信息中的与所述分析结果关联的日志信息、以及成为所述分析结果的依据的威胁智能信息,
所述处理器取得针对所述分析事务数据所包含的所述分析结果的正当性的验证结果,生成包含所述分析事务数据的区块,
所述处理器在根据取得的所述验证结果示出所述分析事务数据所包含的所述分析结果的正当性被验证的情况下,将包含所述分析事务数据的区块记录于所述分布式账本。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US202163255103P | 2021-10-13 | 2021-10-13 | |
| US63/255,103 | 2021-10-13 | ||
| PCT/JP2022/038219 WO2023063392A1 (ja) | 2021-10-13 | 2022-10-13 | 制御方法、サーバ、プログラム、及び、セキュリティ分析システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN118076952A true CN118076952A (zh) | 2024-05-24 |
Family
ID=85988725
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202280067291.9A Pending CN118076952A (zh) | 2021-10-13 | 2022-10-13 | 控制方法、服务器、程序以及安全分析系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20240232416A1 (zh) |
| JP (1) | JPWO2023063392A1 (zh) |
| CN (1) | CN118076952A (zh) |
| WO (1) | WO2023063392A1 (zh) |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110462619B (zh) * | 2017-04-03 | 2023-07-25 | 株式会社野村综合研究所 | 检测系统、检测方法、以及计算机程序 |
| JP6933112B2 (ja) * | 2017-11-30 | 2021-09-08 | 富士通株式会社 | サイバー攻撃情報処理プログラム、サイバー攻撃情報処理方法および情報処理装置 |
| US10771239B2 (en) * | 2018-04-18 | 2020-09-08 | International Business Machines Corporation | Biometric threat intelligence processing for blockchains |
-
2022
- 2022-10-13 CN CN202280067291.9A patent/CN118076952A/zh active Pending
- 2022-10-13 JP JP2023554619A patent/JPWO2023063392A1/ja active Pending
- 2022-10-13 WO PCT/JP2022/038219 patent/WO2023063392A1/ja active Application Filing
-
2024
- 2024-03-22 US US18/613,584 patent/US20240232416A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023063392A1 (ja) | 2023-04-20 |
| JPWO2023063392A1 (zh) | 2023-04-20 |
| US20240232416A1 (en) | 2024-07-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Sharma et al. | Blockchain-based privacy preservation for IoT-enabled healthcare system | |
| CN101971591B (zh) | 分析网址的系统及方法 | |
| CN101375546B (zh) | 用于欺骗监控、检测和分层用户鉴权的系统和方法 | |
| US20160359819A1 (en) | Encryption and Distribution of Health-related Data | |
| CN110413908A (zh) | 基于网站内容对统一资源定位符进行分类的方法和装置 | |
| US20140350968A1 (en) | Collocated systems for storing, processing and utilizing genetic information | |
| US20150161413A1 (en) | Encryption and distribution of health-related data | |
| AU2020245462A1 (en) | Verification of electronic identity components | |
| CN104158828B (zh) | 基于云端内容规则库识别可疑钓鱼网页的方法及系统 | |
| CN112801827A (zh) | 一种基于区块链的知识产权管理系统 | |
| Qabalin et al. | Android spyware detection using machine learning: a novel dataset | |
| US20210104326A1 (en) | Detecting prescription drug abuse using a distributed ledger and machine learning | |
| Reedy | Interpol review of digital evidence for 2019–2022 | |
| Alghassab | Analyzing the impact of cybersecurity on monitoring and control systems in the energy sector | |
| Popchev et al. | Oracles Integration in Blockchain-Based Platform for Smart Crop Production Data Exchange | |
| Georgiopoulou et al. | GDPR compliance: proposed technical and organizational measures for cloud provider | |
| Johnson et al. | Quantitative information security risk estimation using probabilistic attack graphs | |
| JP2003256063A (ja) | プログラム管理方法 | |
| CN117493288B (zh) | 一种基于数据协调安全算法的健康档案共享方法及系统 | |
| CN112347457A (zh) | 异常账户检测方法、装置、计算机设备和存储介质 | |
| CN114398465A (zh) | 互联网服务平台的异常处理方法、装置和计算机设备 | |
| JP7170689B2 (ja) | 出力装置、出力方法及び出力プログラム | |
| JP7100607B2 (ja) | 異常検知システム、及び異常検知方法 | |
| CN118076952A (zh) | 控制方法、服务器、程序以及安全分析系统 | |
| US20150127378A1 (en) | Systems for storing, processing and utilizing proprietary genetic information |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |