JP2008167099A - Device and method for managing security, and program - Google Patents
Device and method for managing security, and program Download PDFInfo
- Publication number
- JP2008167099A JP2008167099A JP2006353624A JP2006353624A JP2008167099A JP 2008167099 A JP2008167099 A JP 2008167099A JP 2006353624 A JP2006353624 A JP 2006353624A JP 2006353624 A JP2006353624 A JP 2006353624A JP 2008167099 A JP2008167099 A JP 2008167099A
- Authority
- JP
- Japan
- Prior art keywords
- scenario
- security
- incident
- occurrence
- meta information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、不正アクセスを含むセキュリティインシデントが発生した場合に、セキュリティインシデントの発生シナリオを特定する技術に関する。 The present invention relates to a technique for specifying a security incident occurrence scenario when a security incident including unauthorized access occurs.
近年、インターネットの普及に伴い、ネットワークを介して様々なサービスが提供されるようになってきている。
例えば、インターネットを介して銀行と取引を行うオンラインバンキングや、自宅のPC(Personal Computer)や携帯端末からでも買い物が可能なインターネットショッピングなど、身近なところでも、サービスが提供されている。
このように、インターネットや情報技術が社会インフラとして、その重要性が増す一方で、ネットワーク経由の不正アクセスも増加の一途を辿っており、深刻な問題となっている。
In recent years, with the spread of the Internet, various services have been provided through networks.
For example, services are also provided in familiar places such as online banking in which transactions are made with a bank via the Internet, and Internet shopping that allows shopping from a home PC (Personal Computer) or a mobile terminal.
As described above, while the importance of the Internet and information technology as social infrastructure has increased, unauthorized access via the network has been increasing and has become a serious problem.
こうした、ネットワーク経由の不正アクセスに対する対策技術のひとつに、侵入検知技術がある。
侵入検知技術は、監視対象上で不正アクセスが発生した際に、それを検知するための技術である。
侵入検知技術は、その検出方式の違いから、不正検出方式と異常検出方式とに分類される。
不正検出方式では、個々の不正アクセスの特徴から不正アクセスを検出するためのパターン(シグネチャ)を定義し、定義したシグネチャと一致するデータやログが発生した場合に、不正アクセスの発生として検出する。
一方の、異常検出方式では、不正アクセスが発生した場合には、監視対象システム上で、通常とは異なる何らかの異常が観測されるという考えに基づいて、監視対象システムの通常状態を定義して、定義した通常状態と、観測された状態との差異を検出することによって不正アクセスの発生を検出する。
One of countermeasures against such unauthorized access via a network is intrusion detection technology.
The intrusion detection technology is a technology for detecting when an unauthorized access occurs on a monitoring target.
Intrusion detection technology is classified into a fraud detection method and an anomaly detection method based on the difference in detection method.
In the fraud detection method, a pattern (signature) for detecting unauthorized access is defined from the characteristics of each unauthorized access, and when data or a log that matches the defined signature occurs, it is detected as the occurrence of unauthorized access.
On the other hand, in the anomaly detection method, when an unauthorized access occurs, the normal state of the monitored system is defined based on the idea that some abnormalities are observed on the monitored system, The occurrence of unauthorized access is detected by detecting the difference between the defined normal state and the observed state.
現在、一般に普及している侵入検知装置では、不正検出方式に基づいている。
不正検出方式では、検出用のシグネチャと観測データとの単純なパターンマッチングにより不正アクセスを検出できるため、高速処理が可能であり、かつ、不正アクセスの特徴をシグネチャとして正しく定義できれば、検知精度が高いという利点がある。
しかしながら、不正アクセスを検出できるかどうかは、検出するためのシグネチャが定義され、侵入検知装置に設定されているかどうかで決まるため、新規に発生した攻撃や、ワームの亜種など、侵入検知装置に設定されているシグネチャと一部でも特徴の異なる攻撃については検出できないという課題がある。
ここで、ワームの亜種とは、既に出回っているワームの一部を変更して作られたウイルスのことを指す。基本的な動作は、オリジナルのワームと同様であるが、一部が変更されたことによって、オリジナルのワームを検知するためのシグネチャでは検知できないため、亜種を不正検出方式で検知するためには、新たなシグネチャが必要となる。
Currently, intrusion detection devices that are widely used are based on fraud detection methods.
In the unauthorized detection method, unauthorized access can be detected by simple pattern matching between the detection signature and the observation data, so high-speed processing is possible, and if the unauthorized access features can be correctly defined as signatures, detection accuracy is high. There is an advantage.
However, whether or not unauthorized access can be detected depends on whether or not a signature for detection is defined and set in the intrusion detection device. Therefore, intrusion detection devices such as newly generated attacks and worm variants can be used. There is a problem that an attack with a characteristic that is partially different from the set signature cannot be detected.
Here, the worm variant refers to a virus that is created by modifying a part of the worm that is already on the market. The basic operation is the same as that of the original worm, but it cannot be detected by the signature for detecting the original worm due to some changes. A new signature is needed.
これに対して、異常検出方式では、不正アクセスによってシステムで発生する異常を検出することによって不正アクセスを検出するため、個々の不正アクセスの特徴を抽出したシグネチャによらず、不正アクセスを検出できるため、新規に発生した攻撃であっても早期検出が可能であることから、近年、注目を浴びている。 On the other hand, in the anomaly detection method, since unauthorized access is detected by detecting an anomaly that occurs in the system due to unauthorized access, it is possible to detect unauthorized access regardless of the signature that extracted the characteristics of each unauthorized access. In recent years, it has been attracting attention because it is possible to detect an early attack even for a newly generated attack.
異常検出方式に基づく侵入検知装置による、不正アクセス検知および対策技術としては、例えば、図2に示すような、特許文献1に開示の技術がある。
従来技術1では、パッシブホストセンサ11と呼ばれる、一種のおとりシステムを異常検出方式に基づく侵入検知装置として利用する。
おとりシステムとは、脆弱性があるように見せかけた(あるいは、実際に脆弱性のある)端末をネットワーク上に非公開で設置しておき、端末に対するアクセスを観察することによって、不正アクセスの手法を詳細化するためのシステムである。
非公開であるため、通常は、おとりシステムの端末に対するアクセスは発生しないと考えられる。したがって、おとりシステムの端末に対するアクセスは、全て、悪意を持って行われていると推定されるため、おとりシステムの端末に対するアクセス(=異常)を検出することによって不正アクセスを検出する。
特許文献1の技術では、不正アクセス検知後の対策として、パッシブホストセンサ11での観測結果を元に、不正アクセスを検知するためのシグネチャを自動で生成し、以後の攻撃を不正検出方式に基づく侵入検知装置で検知できるようにしている。
In the
A decoy system is a method of unauthorized access by installing a device that appears to be vulnerable (or that is actually vulnerable) on the network and observing access to the device. This is a system for refinement.
Since it is not disclosed, it is considered that access to the terminal of the decoy system does not normally occur. Accordingly, it is presumed that all accesses to the decoy system terminal are performed with malicious intent, and therefore unauthorized access is detected by detecting access (= abnormal) to the decoy system terminal.
In the technique of
しかしながら、特許文献1の技術を含め、一般に、異常検出方式に基づく侵入検知装置では、監視対象上で検出された異常を、不正アクセスとしてひとくくりで捉えているため、それがどのような不正アクセスであるのか、例えば、既知のワームに関する亜種によるアクセスなのか、それとも、新規のワームによるアクセスなのかなど、検知した不正アクセスの詳細を特定するためには、記録されているログや、セキュリティ関連の情報を、収集・分析しなければならず、不正アクセスの詳細を特定するのに時間がかかってしまうという課題がある。
However, in general, the intrusion detection apparatus based on the abnormality detection method including the technique of
本発明は、上記のような課題を解決することを主な目的の一つとし、例えば異常検出方式に基づく侵入検知において、なんらかの不正アクセスに関する異常を検出した場合に、それが、どのような不正アクセスを検出したものであるのかを特定することを主な目的とする。 One of the main objects of the present invention is to solve the above-mentioned problems. For example, in the intrusion detection based on the anomaly detection method, when an anomaly related to unauthorized access is detected, The main purpose is to identify whether access is detected.
本発明に係るセキュリティ管理装置は、
監視対象におけるセキュリティインシデントの発生を検知する検知装置に接続されたセキュリティ管理装置であって、
セキュリティインシデントの発生シナリオの要素となるシナリオ要素と当該シナリオ要素に関連するセキュリティ属性とを示すインシデントメタ情報を、複数記憶するインシデントメタ情報データベースと、
前記検知装置にて検知された検知セキュリティインシデントのセキュリティ属性を示す検知セキュリティインシデント情報を、前記検知装置から受信する検知セキュリティインシデント情報受信部と、
前記検知セキュリティインシデント情報に示される検知セキュリティインシデントのセキュリティ属性と所定の範囲で一致するセキュリティ属性が示されているインシデントメタ情報を抽出するインシデントメタ情報抽出部と、
前記インシデントメタ情報抽出部により抽出されたインシデントメタ情報に示されるシナリオ要素を用いて検知セキュリティインシデントの発生シナリオを生成する発生シナリオ生成部とを有することを特徴とする。
The security management device according to the present invention is:
A security management device connected to a detection device that detects the occurrence of a security incident in a monitoring target,
An incident meta information database for storing a plurality of incident meta information indicating scenario elements which are elements of a security incident occurrence scenario and security attributes related to the scenario elements;
A detection security incident information receiving unit for receiving detection security incident information indicating a security attribute of a detection security incident detected by the detection device from the detection device;
An incident meta information extracting unit that extracts incident meta information indicating a security attribute that matches the security attribute of the detected security incident indicated in the detected security incident information within a predetermined range;
An occurrence scenario generation unit that generates an occurrence scenario of a detected security incident using a scenario element indicated in the incident meta information extracted by the incident meta information extraction unit.
本発明によれば、セキュリティ属性に対応させてシナリオ要素を示すインシデントメタ情報を蓄積し、セキュリティインシデントが検知された場合に、検知されたセキュリティインシデントのセキュリティ属性に一致するセキュリティ属性のシナリオ要素を抽出し、抽出したシナリオ要素を用いて検知セキュリティインシデントの発生シナリオを生成するので、検知セキュリティインシデントのセキュリティ属性に対応した適切な発生シナリオを生成することができ、これにより、セキュリティインシデントの検知直後に当該セキュリティインシデントの詳細を特定できるため、セキュリティインシデントに対して、早期に最善の対策が可能となる。 According to the present invention, incident meta information indicating scenario elements corresponding to security attributes is accumulated, and when a security incident is detected, a scenario element of a security attribute that matches the security attribute of the detected security incident is extracted. Therefore, an occurrence scenario of a detected security incident is generated using the extracted scenario elements, so that an appropriate occurrence scenario corresponding to the security attribute of the detected security incident can be generated. Since the details of the security incident can be specified, it is possible to take the best countermeasure against the security incident at an early stage.
実施の形態1.
不正アクセスを含めて、一般に、監視対象ネットワーク上で発生するセキュリティ上の問題として捉えられる事象のことを、セキュリティインシデントと呼ぶ。セキュリティインシデントの例としては、不正アクセスの他、例えば、トラフィック異常、踏み台、SPAMメール、サービス妨害行為、データの破壊、意図しない情報の開示や、さらにそれらに至るための行為(事象)などである。
セキュリティインシデントは、“いつ、どこで、誰が、なぜ、何が、どうやって”発生したのかについて説明するために、様々な情報要素によって構成される一連の発生シナリオとして、詳細化される。
そこで、本実施の形態では、例えば、異常検出方式に基づく侵入検知において、なんらかのセキュリティインシデント発生に起因する異常が検知された場合に、発生した可能性の高いセキュリティインシデントについての発生シナリオを、普段から収集しているセキュリティ関連情報に基づいて生成することにより、発生したセキュリティインシデントの内容を特定、詳細化する。
なお、以下、発生シナリオをインシデントシナリオ、合成シナリオ又は単にシナリオともいう。
An event that is generally regarded as a security problem that occurs on the monitored network, including unauthorized access, is called a security incident. Examples of security incidents include unauthorized access, traffic anomalies, springboards, SPAM mail, service denials, data destruction, unintentional information disclosure, and actions (events) to reach them. .
Security incidents are refined as a series of occurrence scenarios composed of various information elements to explain when, where, who, why, what, and how.
Therefore, in this embodiment, for example, in an intrusion detection based on an anomaly detection method, when an anomaly due to the occurrence of some security incident is detected, an occurrence scenario for a security incident that is likely to occur is usually By generating based on the security-related information collected, the contents of the security incident that occurred are identified and detailed.
Hereinafter, the occurrence scenario is also referred to as an incident scenario, a combined scenario, or simply a scenario.
図1は、本実施の形態に係るシステム構成例を示すシステム構成図である。
図1において、100はインターネット、101は監視対象ネットワーク、110は侵入検知装置(検知装置)、111はセキュリティインシデント特定装置(セキュリティ管理装置)、112はセキュリティ情報収集装置を表している。
なお、本実施の形態における侵入検知装置110は、特に断らない限り、異常検出方式に基づいて不正アクセスの検知を行うものとして、説明を進める。
これは、本実施の形態が、異常検出方式に基づく侵入検知装置で検知された不正アクセスの内容についての詳細化に主眼をおいているためである。
しかしながら、侵入検知装置110が、不正検出方式に基づいて不正アクセスの検知を行うようにしてもよい。
FIG. 1 is a system configuration diagram showing a system configuration example according to the present embodiment.
In FIG. 1,
The
This is because the present embodiment focuses on the details of the contents of unauthorized access detected by the intrusion detection device based on the abnormality detection method.
However, the
図1において、侵入検知装置110は、監視対象ネットワーク101上で観測した様々なデータを元に、セキュリティインシデントの発生を検出する。以降では、セキュリティインシデントとして、不正アクセスが検知された場合を例にして説明する。
侵入検知装置110が分析対象とするデータに関しては、システムへ導入した侵入検知装置の実装に依存し、本明細書では、侵入検知装置110が分析するデータについて、特に制限するものではないが、例えば、ネットワークトラフィックに関するデータ、監視対象ネットワーク101上に設定された、ファイアウォール、侵入検知装置(検出方式は問わない)などのセキュリティ監視装置で記録されたデータ(セキュリティログ)、監視対象ネットワーク101に接続されている各端末内部から収集されたデータなどがある。
In FIG. 1, the
The data to be analyzed by the
セキュリティ情報収集装置112は、インターネット100上の情報サイトから、セキュリティに関係する情報を逐次、もしくは、定期的に収集している。
The security
セキュリティインシデント特定装置111は、監視対象ネットワーク101を監視している侵入検知装置110が、監視対象ネットワーク101上における不正アクセスの発生を検知した場合に、インシデントメタ情報を元に、発生したセキュリティインシデントの発生シナリオを特定する。
ここで、インシデントメタ情報とは、セキュリティ情報収集装置112が収集した情報に加え、例えば、メンテナンス情報などの監視対象ネットワーク固有の情報も含め、セキュリティインシデント発生のシナリオの構成要素となる、種々の情報を指している。
インシデントメタ情報は、セキュリティインシデントの発生シナリオの要素となるシナリオ要素を示すとともに、当該シナリオ要素に関連するセキュリティ属性を示すタグ情報が含まれる。
詳細は後述するが、例えば、図4に示すワーム情報411、脆弱性情報412、セキュリティ情勢情報413のそれぞれがインシデントメタ情報である。
ワーム情報411のうち「ワーム名」の欄に示される情報がシナリオ要素である。同様に、脆弱性情報412では、「脆弱性ID」の欄に示される情報がシナリオ要素であり、セキュリティ情勢情報413では、「内容」の欄に示される情報がシナリオ要素である。セキュリティインシデント特定装置111は、これらのシナリオ要素を組み合わせてセキュリティインシデントの発生シナリオを生成する。
また、ワーム情報411のうち421で示す矩形で囲まれた部分が、タグ情報であり、「ワーム名」に示されるワームのセキュリティ属性を示している。
同様に、脆弱性情報412では422で示す矩形で囲まれた部分がタグ情報であり、セキュリティ情勢情報413では423で示す矩形で囲まれた部分がタグ情報である。
なお、インシデントメタ情報は、略してメタ情報と表記する場合もある。
When the
Here, the incident meta information includes various information that is a constituent element of the scenario of the occurrence of the security incident including information unique to the monitored network such as maintenance information in addition to the information collected by the security
The incident meta information includes a scenario element that is an element of a security incident occurrence scenario and tag information that indicates a security attribute related to the scenario element.
Although details will be described later, for example, each of the
Of the
In addition, a portion surrounded by a rectangle denoted by
Similarly, in the
The incident meta information may be abbreviated as meta information for short.
ここで、本実施の形態に係るセキュリティインシデント特定装置111の動作例を概説しておく。
セキュリティインシデント特定装置111は、セキュリティ情報収集装置112が収集したセキュリティ情報等からタグ情報を抽出し、タグ情報とともにセキュリティ情報をインシデントメタ情報として複数蓄積記憶している。
侵入検知装置110にて検知された不正アクセス(検知セキュリティインシデント)の特徴パラメータ(セキュリティ属性)を示す特徴パラメータ情報(検知セキュリティインシデント情報)を侵入検知装置110から受信した場合に、セキュリティインシデント特定装置111は、特徴パラメータ情報に示される不正アクセスの特徴パラメータと所定の範囲で一致するタグ情報(セキュリティ属性)が含まれているインシデントメタ情報を抽出する。
そして、セキュリティインシデント特定装置111は、抽出したインシデントメタ情報に示されるシナリオ要素を用いて検知された不正アクセスの発生シナリオを生成する。
具体的には、セキュリティインシデント特定装置111は、通常二つ以上のインシデントメタ情報を抽出し、抽出した二つ以上のインシデントメタ情報に示されるシナリオ要素のうち相関関係にあるシナリオ要素同士を組み合わせて発生シナリオを生成する。
また、セキュリティインシデント特定装置111は、生成した発生シナリオに対するシナリオスコア(評価値)を設定し、生成した発生シナリオと当該発生シナリオのシナリオスコアを表示する。
Here, an example of the operation of the security
The security
When the feature parameter information (detected security incident information) indicating the feature parameter (security attribute) of unauthorized access (detected security incident) detected by the
Then, the security
Specifically, the security
Also, the security
次に、図3を用いて、セキュリティインシデント特定装置111内部の構成例を説明する。
図3は、セキュリティインシデント特定装置111内部の構成例を表している。
図3において、110は侵入検知装置(検知装置)、111はセキュリティインシデント特定装置(セキュリティ管理装置)、112はセキュリティ情報収集装置、300はデータベース管理部、301はユーザ入力部、302はインシデントメタ情報データベース、303は不正アクセス特徴パラメータ抽出部(検知セキュリティインシデント情報受信部)、304はインシデントメタ情報抽出部、305はインシデントシナリオ合成部(発生シナリオ生成部)、306はシナリオスコア計算部(評価値設定部)、307は合成シナリオデータベース、308は合成シナリオ表示部(表示部)を表している。
Next, a configuration example inside the security
FIG. 3 shows a configuration example inside the security
In FIG. 3, 110 is an intrusion detection device (detection device), 111 is a security incident identification device (security management device), 112 is a security information collection device, 300 is a database management unit, 301 is a user input unit, and 302 is incident meta information. Database, 303 unauthorized access feature parameter extraction unit (detection security incident information receiving unit), 304 incident meta information extraction unit, 305 incident scenario synthesis unit (occurrence scenario generation unit), 306 scenario score calculation unit (evaluation value setting) Part), 307 denotes a synthetic scenario database, and 308 denotes a synthetic scenario display part (display part).
データベース管理部300は、セキュリティ情報収集装置112によってインターネットの情報サイトから収集されたセキュリティに関連する情報や、ユーザ入力部301を介してユーザによって入力される監視対象ネットワーク固有の情報といった、セキュリティインシデント発生のシナリオの構成要素となる種々の情報を、インシデントメタ情報データベース302へ、逐次、もしくは、定期的に投入する。
また、その際に、格納する情報に関するタグ情報を抽出し、検索および取り出し可能な形式でデータベースに投入する。
ここで、タグ情報とは、収集したセキュリティ情報が、どのような情報に関するものであるのかを、手動、もしくは、自動で抽出したものであり、例えば、ワームに関する情報であれば、種別(ワーム)、発見日時、悪用する脆弱性の識別子、感染拡散形式(メールによる拡散、ネットワークから直接感染など)、攻撃に使用するプロトコル/ポート番号、発生地域といったセキュリティ属性(コンピュータセキュリティに関する属性・特徴)に関する情報が、タグ情報となる。
加えて、対策が明確化されている場合には、対策情報(脆弱性の修正パッチに関する情報、セキュリティ機器の設定内容など)と対応づけしておく。
データベース管理部300で付与されたタグは、インシデントメタ情報抽出部304において、侵入検知装置110で検知された不正アクセスに関連する可能性があるインシデントメタ情報を抽出する際に、キーワード検索の対象となる。
The
At that time, tag information relating to information to be stored is extracted and input into a database in a format that can be searched and retrieved.
Here, the tag information is information about what kind of information the collected security information relates to, either manually or automatically extracted. For example, if it is information about a worm, the type (worm) Information on security attributes (computer security attributes / features) such as the date and time of discovery, the identifier of the vulnerability to be exploited, the spread type of infection (spread by e-mail, direct infection from the network, etc.) Is tag information.
In addition, if the countermeasure is clarified, it is associated with countermeasure information (information on the patch for correcting the vulnerability, setting contents of the security device, etc.).
The tag assigned by the
ユーザ入力部301は、ユーザによる、上記、監視対象ネットワーク固有のインシデントメタ情報のデータベース投入、手動によるタグ情報付与、インシデントメタ情報データベースの管理を可能とするユーザインタフェースである。
The
インシデントメタ情報データベース302では、セキュリティ情報収集装置112で収集されたセキュリティ関連情報、および、ユーザ入力部301からユーザによって入力された情報に対して、データベース管理部300でタグ付けされたインシデントメタ情報データを検索可能な形式で保存する。
In the incident
不正アクセス特徴パラメータ抽出部303では、侵入検知装置110で検知された不正アクセスに関する特徴パラメータ情報(検知セキュリティインシデント情報)を受信し、受信した特徴パラメータ情報に示される特徴パラメータ(セキュリティ属性)を抽出する。
特徴パラメータとしては、例えば、ネットワーク不正アクセスを検知した場合には、検知時刻、通信プロトコル、宛先ポート番号、発信元および宛先IPアドレス、発信元および宛先の地域や国名、組織情報、攻撃種別(ワーム、DoS:Denial of Service、スキャン)がある。
The unauthorized access feature
The characteristic parameters include, for example, when network unauthorized access is detected, detection time, communication protocol, destination port number, source and destination IP address, source and destination area and country names, organization information, attack type (worm) DoS: Denial of Service (scanning).
インシデントメタ情報抽出部304は、不正アクセス特徴パラメータ抽出部303で特定された不正アクセスの特徴パラメータを、単体、もしくは、複数組み合わせて検索キーとして、インシデントメタ情報データベースに保存されているインシデントメタ情報に付与されたタグ部分を検索し、侵入検知装置110が検出した不正アクセスと関係する可能性があるインシデントメタ情報を抽出する。
つまり、インシデントメタ情報抽出部304は、特徴パラメータ情報に示される特徴パラメータと所定の範囲で一致するタグ情報が示されているインシデントメタ情報を抽出する。
The incident meta
In other words, the incident meta
インシデントシナリオ合成部305では、インシデントメタ情報抽出部304で抽出された個々のインシデントメタ情報を組み合わせて、セキュリティインシデントのシナリオを合成する。
ただし、シナリオ合成の際には、シナリオとして明らかに冗長となるものは削除することにより、合成されるシナリオ数を抑える。
冗長なシナリオであるかどうかの判断は、インシデントメタ情報間の相関関係によって行う。
相関関係とは、新しいインシデントメタ情報が、既存のあるインシデントメタ情報と関係がある場合に、それ関係を形式的に表したものである。相関関係は、概念的には、新しいインシデントメタ情報から、既存のあるインシデントメタ情報へのリンク(一方向)となる。新しいインシデントメタ情報が、既存の複数のインシデントメタ情報と関係がある場合には、それぞれのインシデントメタ情報へのリンク(新しいインシデントメタ情報を中心とした、スター型)となる。
The incident
However, at the time of scenario synthesis, the scenario that is clearly redundant is deleted to reduce the number of scenarios to be synthesized.
Whether or not the scenario is redundant is determined based on the correlation between the incident meta information.
The correlation is a formally representing the relationship when new incident meta information is related to existing incident meta information. Conceptually, the correlation is a link (one direction) from new incident meta information to existing incident meta information. When the new incident meta information is related to a plurality of existing incident meta information, a link to each incident meta information (star type centering on the new incident meta information) is provided.
図11は、インシデントメタ情報間の相関関係を示している。
例えば、図11(a)では、インシデントメタ情報Bは、別のあるインシデントメタ情報Aに関する追加情報であり、インシデントメタ情報Cはインシデントメタ情報Bの追加情報である場合、メタ情報Cとメタ情報Bのシナリオ要素の両者が同時に含まれるシナリオ及びメタ情報Bとメタ情報Aのシナリオ要素の両者が同時に含まれるシナリオは残すが、Cのシナリオ要素は含むがメタ情報Bのシナリオ要素は含まないシナリオは削除し(シナリオとして採用しない)、メタ情報Bのシナリオ要素は含むがメタ情報Aのシナリオ要素は含まないシナリオは削除する(シナリオとして採用しない)例を示している。
図11(b)の例では、同時に含まれるべきインシデントメタ情報のシナリオ要素同士が同一シナリオに含まれていない場合は、このようなシナリオは不要であるため、削除することが示されている。
つまり、メタ情報Aとメタ情報B、および、メタ情報Aとメタ情報Cは相関関係にあるため、メタ情報B、もしくは、メタ情報Cを含むシナリオのうち、これらと相関関係にあるメタ情報Aが含まれていないシナリオは冗長なシナリオであるため削除される。
なお、メタ情報Bとメタ情報Cの間には相関関係はないため、同一シナリオに同時に含まれていてもよい。
このような、インシデントメタ情報間の相関関係を示す相関関係情報が、インシデントメタ情報データベース302に格納されている。
そして、以上のような合成シナリオ数削減ポリシに従って、例えば、図11(c)に示すように、相関関係情報では、特定攻撃Bの情報(例えば、特定のワームのメタ情報)と脆弱性Aの情報(例えば、特定攻撃Bが攻撃対象とする脆弱性のメタ情報)とは相関関係があると記述する。
これは、特定攻撃Bのインシデントメタ情報のシナリオ要素がシナリオに含まれるならば、特定攻撃Bが攻撃対象とする脆弱性Aのインシデントメタ情報のシナリオ要素も必ずシナリオに含まれることになる一方で、特定攻撃Bが攻撃対象としていない(つまり相関関係のない)脆弱性Cのインシデントメタ情報のシナリオ要素は、特定攻撃Bのインシデントメタ情報のシナリオ要素と同じシナリオに含まれてはならず、このようなシナリオは削除の対象となる。
FIG. 11 shows the correlation between incident meta information.
For example, in FIG. 11A, when the incident meta information B is additional information related to another incident meta information A, and the incident meta information C is additional information of the incident meta information B, the meta information C and the meta information A scenario in which both scenario elements of B are included at the same time and a scenario in which both scenario elements of meta information B and meta information A are included at the same time remain, but a scenario element of C is included but a scenario element of meta information B is not included Is deleted (not adopted as a scenario), and a scenario including a scenario element of meta information B but not including a scenario element of meta information A is deleted (not adopted as a scenario).
In the example of FIG. 11 (b), when scenario elements of incident meta information that should be included at the same time are not included in the same scenario, such a scenario is unnecessary and is therefore deleted.
That is, since the meta information A and the meta information B and the meta information A and the meta information C have a correlation, the meta information A having a correlation with the meta information B or the scenario including the meta information C is correlated. Scenarios that do not include are deleted because they are redundant scenarios.
Since there is no correlation between the meta information B and the meta information C, they may be included in the same scenario at the same time.
Such correlation information indicating a correlation between incident meta information is stored in the incident
Then, according to the composite scenario reduction policy as described above, for example, as shown in FIG. 11C, in the correlation information, the information of the specific attack B (for example, meta information of the specific worm) and the vulnerability A It is described that there is a correlation with information (for example, vulnerability meta information targeted by the specific attack B).
This is because if the scenario element of the incident meta information of the specific attack B is included in the scenario, the scenario element of the incident meta information of the vulnerability A targeted by the specific attack B is always included in the scenario. The scenario element of the incident meta information of the vulnerability C that is not targeted by the specific attack B (that is, has no correlation) must not be included in the same scenario as the scenario element of the incident meta information of the specific attack B. Such scenarios are subject to deletion.
シナリオスコア計算部306では、インシデントシナリオ合成部305で合成された各シナリオに対して、そのシナリオが特定したい侵入検知装置で検出した不正アクセスのセキュリティインシデント発生シナリオであるかどうかを判断するための指標となるシナリオスコア(評価値)を計算して付与する。
シナリオスコアは、発生シナリオを構成しているシナリオ要素のインシデントメタ情報の新しさ、インシデントメタ情報の数、および、重み係数に基づいて定量化する。
例えば、不正アクセスの検知時刻と、合成したシナリオを構成している個々のシナリオ要素のインシデントメタ情報の日付の差分(ただし、検知時刻>情報の日付)の逆数に対して、それぞれの情報の重み係数を掛け合わせたものを、足し合わせるといった方法で定量化する。
すなわち、より新しい情報や、より多くの情報、より重み係数の高い情報を含むシナリオに対しては、高いスコアで表されるようにする。
これは、セキュリティインシデントの特性上、過去に発生したセキュリティインシデントに対しては、順次対策が実施されることにより、時間の経過とともに、発生しにくくなることに基づいている。
ただし、侵入検知装置110で検知した不正アクセスに関する情報がどこにも存在しない場合(完全に未知の不正アクセスであった場合)、インシデントシナリオ合成部305で、正しくセキュリティインシデントの発生シナリオが生成されていない場合も考えられる。
そこで、シナリオスコアに閾値を設定し、閾値を越えるシナリオスコアを持つシナリオが合成されなかった場合には、“未知の不正アクセスが発生”というシナリオを生成して、シナリオスコアとして、閾値と同じ値を付与する。これにより、完全に未知の攻撃を検知した場合であっても、誤った発生シナリオによって、セキュリティインシデントの内容を特定することを防ぐ。
In the scenario
The scenario score is quantified based on the novelty of incident meta information, the number of incident meta information, and a weighting factor of scenario elements constituting the occurrence scenario.
For example, the weight of each information with respect to the reciprocal of the difference between the date of detection of unauthorized access and the date of incident meta information of individual scenario elements that compose the combined scenario (however, detection time> date of information) Quantify by multiplying the coefficients and adding them together.
In other words, a scenario including newer information, more information, and information with a higher weighting coefficient is represented with a higher score.
This is based on the fact that due to the characteristics of security incidents, countermeasures are sequentially implemented for security incidents that have occurred in the past, and are less likely to occur over time.
However, when there is no information regarding unauthorized access detected by the intrusion detection device 110 (when it is a completely unknown unauthorized access), the incident
Therefore, when a threshold is set for the scenario score and a scenario having a scenario score exceeding the threshold is not synthesized, a scenario “unknown illegal access occurs” is generated, and the scenario score has the same value as the threshold. Is granted. As a result, even if a completely unknown attack is detected, it is possible to prevent the content of the security incident from being specified by an erroneous occurrence scenario.
合成シナリオデータベース307では、インシデントシナリオ合成部305で合成されたシナリオ、および、それぞれのシナリオに対して、シナリオスコア計算部306で付与されたシナリオスコアを対応付けて保存しておく。
In the
合成シナリオ表示部308では、合成シナリオデータベース307に保存されている合成シナリオ及びシナリオスコアを読み出して、ユーザに表示する。
In the synthesis
次に、図3、図4及び図8〜図11のフローチャートを用いて、セキュリティインシデント特定装置111の動作について説明する。
以下の説明では、例として、監視対象ネットワーク101上で、Aワームの亜種(Aワームから派生して作成されたワーム)が発生し、侵入検知装置110で、Aワームの亜種が発生したことによって引き起こされた異常を検知した場合を想定する。
ただし、侵入検知装置110での異常検知時点では、検知した異常が、Aワームの亜種が発生したことによって引き起こされたことは、不明であることに注意する。
Next, the operation of the security
In the following description, for example, an A worm variant (a worm derived from the A worm) is generated on the monitored
However, it should be noted that at the time of detecting an abnormality in the
まず、セキュリティインシデント特定装置111の通常時(不正アクセス未検知時)の動作例について、図8のフローチャートを参照しながら説明する。
セキュリティインシデント特定装置111では、通常時、データベース管理部300が、セキュリティ情報収集装置112からのセキュリティ情報を受信し、また、ユーザ入力部301を介してユーザからの情報を入力する(S801)。
そして、データベース管理部300は、収集されたセキュリティ情報からタグ情報を抽出し(S802)、タグ情報を抽出したセキュリティ情報をインシデントメタ情報のレコードとしてインシデントメタ情報データベース302に登録する(S803)。
First, an operation example of the security
In the security
Then, the
図4の例では、ワーム情報411(ワーム名:Aワーム、Bワーム)や、脆弱性情報412(脆弱性ID:XX_123、XX_125)等のインシデントメタ情報が収集され、インシデントメタ情報データベース302へ登録されている状態にある。
In the example of FIG. 4, incident meta information such as worm information 411 (worm name: A worm, B worm) and vulnerability information 412 (vulnerability ID: XX_123, XX_125) is collected and registered in the incident
次に、監視対象ネットワーク101を監視している侵入検知装置110で、不正アクセスの発生が検知された場合の、セキュリティインシデント特定装置111の動作例を図9を参照しながら説明する。
まず、侵入検知装置110が検知した不正アクセスの内容が、セキュリティインシデント特定装置111に特徴パラメータ情報として通知され、セキュリティインシデント特定装置111では、不正アクセス特徴パラメータ抽出部303が特徴パラメータ情報を受信する(S901)(検知セキュリティインシデント情報受信ステップ)。
セキュリティインシデント特定装置111では、次に、不正アクセス特徴パラメータ抽出部303が、侵入検知装置110が検知した不正アクセスの特徴パラメータ情報から、特徴パラメータを抽出する(S902)。
図4に示す例では、特徴パラメータ情報400から(1)検知した日付は2006年10月10日 10時10分00秒である、(2)不正アクセスの宛先はTCP/80ポート宛である、(3)攻撃種別はワームである、という特徴パラメータが抽出される。
Next, an operation example of the security
First, the content of unauthorized access detected by the
Next, in the security
In the example shown in FIG. 4, (1) the detected date is 10:10:10 on October 10, 2006, and (2) the destination of unauthorized access is the TCP / 80 port, in the example shown in FIG. (3) The feature parameter that the attack type is a worm is extracted.
次に、インシデントメタ情報抽出部304が、得られた特徴パラメータを検索キーとしてインシデントメタ情報データベース302を検索して侵入検知装置110が検知した侵入イベント(不正アクセス)と関連したインシデントメタ情報を抽出する(S903)(データベース検索ステップ)(インシデントメタ情報抽出ステップ)。
図4の例では、上記で抽出された(1)、(2)、(3)の特徴パラメータを検索キーとして、インシデントメタ情報データベース302を検索とすると、(A)Aワームに関する情報、(B)脆弱性XX_123に関する情報、(C)脆弱性XX_125に関する情報、(D)Aワーム流行の警告、に関する情報の、4つのインシデントメタ情報が抽出される。
つまり、ワーム情報411では、(2)不正アクセスの宛先はTCP/80ポート宛である、(3)攻撃種別はワームである、との特徴パラメータに合致する、プロトコル:TCP、関連ポート:80、攻撃種別:ワームというタグ情報を有する(A)Aワームに関する情報が抽出される。
同様に、脆弱性情報412では、(2)不正アクセスの宛先はTCP/80ポート宛である、(3)攻撃種別はワームである、との特徴パラメータに合致する、プロトコル:TCP、関連ポート:80、攻撃種別:−(攻撃種別は問わない)というタグ情報を有する(B)脆弱性XX_123に関する情報、(C)脆弱性XX_125に関する情報が抽出される。
同様に、セキュリティ情勢情報413では、(2)不正アクセスの宛先はTCP/80ポート宛である、(3)攻撃種別はワームである、との特徴パラメータに合致する、プロトコル:TCP、関連ポート:80、攻撃種別:ワームというタグ情報を有する(D)Aワーム流行の警告、に関する情報が抽出される。
Next, the incident meta
In the example of FIG. 4, if the incident meta-
That is, in the
Similarly, in the
Similarly, in the
次に、インシデントシナリオ合成部305が、検索の結果抽出されたインシデントメタ情報を組み合わせてインシデントシナリオを合成する(S904)(発生シナリオ生成ステップ)。
インシデントシナリオ合成の詳細な手順は、図10のフローチャートとともに後述する。
ここでは、図4の例を用いて、インシデントシナリオ合成の概念を説明する。
抽出されたインシデントメタ情報(A)、(B)、(C)、(D)のそれぞれに含まれているシナリオ要素を組み合わせてセキュリティインシデントの発生シナリオを合成する。
単純には15通り(2の4乗―1)の組み合わせが存在するが、シナリオの組み合わせとして冗長となるものを、インシデントメタ情報間の相関関係を元に、削除する。
図4の例でいえば、(D)は(A)に関する追加情報であり、(D)と(A)のシナリオ要素が同時に含まれているシナリオのみを残し、(A)もしくは(D)が、単体で含まれているシナリオは削除の対象となる。
また、(A)は(B)の脆弱性を攻撃するワームに関する情報であるため(A)が含まれるシナリオには必ず(B)が含まれるといえる。つまり、(A)と(B)のシナリオ要素が同時に含まれているシナリオのみを残し、(A)もしくは(B)が、単体で含まれているシナリオは削除の対象となる。
また、逆に、(A)は(C)の脆弱性を攻撃するワームではないため(A)と(C)を同時に含むシナリオは事実に矛盾している。このため、(A)と(C)のシナリオ要素が同時に含まれているシナリオは削除の対象となる。
前述したように、このようなインシデントメタ情報間の相関関係は、相関関係情報に示されており、インシデントシナリオ合成部305は、相関関係情報を参照して、シナリオの生成を行う。
上記に基づき、合成シナリオを絞り込むと、シナリオ1:(A)―(B)―(D)、シナリオ2:(B)―(C)、シナリオ3:(B)、シナリオ4:(C)に加えて、シナリオ5:“インシデントメタ情報を1つも含まないシナリオ”(=未知ワーム発生のシナリオ)の、計5つのシナリオに絞り込まれる。これらを、分かりやすく文章形式のシナリオに置き換えたのが、図5である。
Next, the incident
The detailed procedure of the incident scenario synthesis will be described later together with the flowchart of FIG.
Here, the concept of incident scenario composition will be described using the example of FIG.
A scenario of occurrence of a security incident is synthesized by combining scenario elements included in each of the extracted incident meta information (A), (B), (C), and (D).
Simply, there are 15 (2 4 -1) combinations, but redundant combinations of scenarios are deleted based on the correlation between incident meta information.
In the example of FIG. 4, (D) is additional information related to (A), leaving only the scenario in which the scenario elements (D) and (A) are included at the same time, and (A) or (D) Scenarios that are included alone are subject to deletion.
Further, since (A) is information on a worm that attacks the vulnerability of (B), it can be said that (B) is always included in a scenario including (A). That is, only the scenario in which the scenario elements (A) and (B) are included at the same time is left, and the scenario in which (A) or (B) is included as a single unit is to be deleted.
On the other hand, since (A) is not a worm that attacks the vulnerability of (C), the scenario including both (A) and (C) is contradictory to the fact. For this reason, a scenario in which scenario elements (A) and (C) are included at the same time is to be deleted.
As described above, the correlation between such incident meta information is indicated in the correlation information, and the incident
Based on the above, if the synthesis scenario is narrowed down, scenario 1: (A)-(B)-(D), scenario 2: (B)-(C), scenario 3: (B), scenario 4: (C) In addition, the scenario 5 is narrowed down to a total of five scenarios: “a scenario that does not include any incident meta information” (= an unknown worm occurrence scenario). FIG. 5 shows these scenarios replaced with easy-to-understand sentences.
次に、合成されたシナリオに対して、シナリオスコア計算部306が、シナリオスコアを計算する(S905)。
簡単化のために、重み係数を1、閾値を0.0111とした場合のシナリオスコア(不正アクセスの検知時刻と、合成したシナリオを構成している個々インシデントメタ情報の日付の差分の和)を計算すると、シナリオ1:1.1444、シナリオ2:0.0889、シナリオ3:0.0333、シナリオ4:0.0555となる。また、シナリオ5に対するシナリオスコアは、定義より閾値と同値なので、0.0111となる。
従って、説明に用いた例では、シナリオ1に対して最も高いスコアが付与される。
Next, the scenario
For the sake of simplification, the scenario score (sum of the unauthorized access detection time and the difference between the dates of the individual incident meta information constituting the synthesized scenario) when the weighting factor is 1 and the threshold is 0.0111 is used. When calculated, scenario 1: 1.1444, scenario 2: 0.0889, scenario 3: 0.0333, scenario 4: 0.0555. The scenario score for scenario 5 is 0.0111 because it is equal to the threshold value by definition.
Therefore, in the example used for the description, the highest score is assigned to
図12に、各シナリオに対するシナリオスコアの算出式を示す。
シナリオ1を例にしてシナリオスコアの算出式を説明する。
シナリオ1の生成には、メタ情報(A)、(B)、(D)のシナリオ要素が用いられている。
メタ情報(A)の日付は、2006年10月1日であり、特徴パラメータの日付は2006年10月10日であり、両者の日付の差異は、9日である。メタ情報(B)では、30日の差、メタ情報(C)では、1日の差である。これらの日付の差異の逆数を加算して、図11に示すように、1.1444とのシナリオスコアが得られる。
シナリオ2〜4についても、同様の計算によりシナリオスコアが得られる。
シナリオ5については、メタ情報がなく、シナリオスコアが0になってしまうので、閾値である0.0111(この例では、90日の逆数を閾値としている)を設定している。
FIG. 12 shows a scenario score calculation formula for each scenario.
The scenario score calculation formula will be described using
For generation of
The date of the meta information (A) is October 1, 2006, the date of the feature parameter is October 10, 2006, and the difference between the two dates is nine days. In the meta information (B), the difference is 30 days, and in the meta information (C), the difference is one day. By adding the reciprocal of these date differences, a scenario score of 1.1444 is obtained as shown in FIG.
For
For scenario 5, since there is no meta information and the scenario score becomes 0, a threshold value of 0.0111 (in this example, the reciprocal of 90 days is set as the threshold value) is set.
このように、シナリオスコア計算部306は、発生シナリオの生成に用いられたシナリオ要素ごとに、対応するインシデントメタ情報に示されたタグ情報(上記の例では日付)と特徴パラメータ情報に示された不正アクセスの特徴パラメータ(上記の例では日付)との近似度合いに基づいて評価値(上記の例では日数差の逆数)を設定し、シナリオ要素ごとの評価値を加算して発生シナリオの評価値(シナリオスコア)を設定する。
また、シナリオスコア計算部306は、新しいシナリオ要素ほど高い値を付与して、シナリオ要素ごとに評価値を設定し、シナリオ要素ごとの評価値を加算して発生シナリオの評価値を設定している。
更に、シナリオスコア計算部306は、発生シナリオの評価値に対する閾値を設定しており、いずれかの発生シナリオの評価値が閾値を下回っている場合に、当該発生シナリオの評価値を閾値と同じ値に設定している。
なお、上記の例では、説明を簡単にするために、日付を最小単位として差分をとっているが、最小単位として、時、分、秒などより細かい単位で差分をとってもよい。このように、最小単位を細かい単位にすれば、インシデントメタ情報の作成時と不正アクセス発生時との間の時間差に対応させて、より詳細にシナリオスコアを規定することができる。
As described above, the scenario
In addition, the scenario
Furthermore, the scenario
In the above example, in order to simplify the explanation, the difference is taken with the date as the minimum unit, but the difference may be taken with a smaller unit such as hour, minute, second as the minimum unit. In this way, if the minimum unit is set to a fine unit, the scenario score can be defined in more detail in correspondence with the time difference between the time when the incident meta information is created and the time when unauthorized access occurs.
次に、合成されたシナリオ、および、それらに対して計算されたシナリオスコアは、合成シナリオデータベース307に保存され(S906)、合成シナリオ表示部308を通じてユーザに表示される。
Next, the synthesized scenarios and the scenario scores calculated for them are stored in the synthesized scenario database 307 (S906) and displayed to the user through the synthesized
次に、図10を参照して、インシデントシナリオ合成処理(発生シナリオ生成ステップ)における動作を説明する。
先ず、インシデントシナリオ合成部305は、抽出されたN個のインシデントメタ情報のシナリオ要素を単純に組み合わせてシナリオ候補を合成する(S1001)。
次に、インシデントシナリオ合成部305は、合成されたシナリオ候補の中から1つのシナリオ候補を選択し(S1002)、選択したシナリオ候補を構成するインシデントメタ情報において相関関係情報が存在するインシデントメタ情報があるか否かを判断する(S1003)。
相関関係情報が存在するインシデントメタ情報がない場合は、インシデントシナリオ合成部305は、S1009に進み、当該シナリオ候補を合成シナリオのリストに追加する。
他方、相関関係情報が存在するインシデントメタ情報がある場合は、インシデントシナリオ合成部305は、相関関係情報が存在するインシデントメタ情報のうちの一つを選択し(S1004)、選択したインシデントメタ情報の相関関係情報において当該インシデントメタ情報と相関関係にあるとされているインシデントメタ情報がS1002で選択されたシナリオ候補に含まれているか否かを判断する(S1005)。
Next, the operation in the incident scenario synthesis process (occurrence scenario generation step) will be described with reference to FIG.
First, the incident
Next, the incident
If there is no incident meta information in which correlation information exists, the incident
On the other hand, when there is incident meta information in which correlation information exists, the incident
S1005で「いいえ」の場合、当該シナリオ候補には、相関関係にあるシナリオ要素が含まれていないので、削除の対象となり、インシデントシナリオ合成部305は、S1010に進み、全てのシナリオ候補に対して冗長の調査を行っていれば、処理を終了し、調査を行っていないシナリオ候補が残っていれば、S1002に戻り、次のシナリオ候補の調査を行う。
一方、S1005で「はい」の場合、更に、インシデントシナリオ合成部305は、選択されたインシデントメタ情報が特定の脆弱性を攻撃する攻撃(ワームなど)についての攻撃情報であるか否かを判断し(S1006)、そうであれば、更に、当該インシデントメタ情報が対象としている攻撃が攻撃する脆弱性以外の脆弱性情報が含まれるか否かを判断する(S1007)。
ここでは、説明を簡単にするため、インシデントメタ情報を特定の攻撃に関する情報である攻撃情報(例えば、図4の(A)Aワームに関する情報、(D)Aワーム流行の警告)と特定の脆弱性に関する情報である脆弱性情報(例えば、(B)脆弱性XX_123に関する情報、(C)脆弱性XX_125に関する情報)に分けて説明している。相関関係情報では、特定の攻撃情報と特定の脆弱性情報との間で相関関係があることが示されている。
S1006において「いいえ」である場合、つまり、攻撃対象としていない脆弱性のインシデントメタ情報のシナリオ要素がシナリオ候補に含まれていない場合は、相関関係情報を持つインシデントメタ情報が当該シナリオ候補内に他に存在するか否かを判断し(S1008)、相関関係情報を持つ全てのインシデント情報についての検証が終了している場合は、検証の対象としているシナリオ候補を合成シナリオのリストへ追加する。
そして、インシデントシナリオ合成部305は、S1010に進み、全てのシナリオ候補に対して冗長の調査を行っていれば、処理を終了し、調査を行っていないシナリオ候補が残っていれば、S1002に戻り、次のシナリオ候補の調査を行う。
他方、S1007で「はい」だった場合は、当該シナリオは削除対象なので、合成シナリオのリストへの追加を行わずに、S1010に進む。
以上の手順にて、インシデントシナリオ合成部305は、シナリオの合成を行って、図5に示すようなシナリオを完成させる。
In the case of “No” in S1005, the scenario candidate does not include a correlated scenario element. Therefore, the scenario candidate is to be deleted, and the incident
On the other hand, if “Yes” in S1005, the incident
Here, in order to simplify the explanation, the incident meta information is attack information (for example, (A) information on A worm, (D) A worm epidemic warning in FIG. 4) and specific vulnerability. It is divided into vulnerability information (for example, (B) information related to vulnerability XX_123, (C) information related to vulnerability XX_125). The correlation information indicates that there is a correlation between specific attack information and specific vulnerability information.
If “No” in S1006, that is, if the scenario element of the incident meta information of the vulnerability that is not targeted for attack is not included in the scenario candidate, the incident meta information having the correlation information is included in the scenario candidate. (S1008), and if all of the incident information having correlation information has been verified, the candidate scenario to be verified is added to the combined scenario list.
Then, the incident
On the other hand, if “Yes” in S1007, the scenario is a deletion target, so the process proceeds to S1010 without adding the combined scenario to the list.
In accordance with the above procedure, the incident
以上のように、セキュリティに関連する情報や、監視対象ネットワークに固有の情報などをインシデントメタ情報データベースへ登録しておき、異常検出方式に基づく侵入検知装置110において、不正アクセスを検出した場合に、その不正アクセスと関連があるインシデントメタ情報を抽出し、さらに、抽出されたインシデントメタ情報を元に発生したシナリオを合成することによって、セキュリティインシデントの発生シナリオを特定することができる。
また、合成されたセキュリティインシデントの発生シナリオに対しては、シナリオスコアが付与されており、合成されたシナリオから実際に発生したセキュリティインシデントのシナリオを絞り込む際の指標とすることができる。
そして、これにより、不正アクセスの検知直後に、発生したセキュリティインシデントの詳細を特定できるため、不正アクセスに対して、早期に最善の対策が可能となる。
As described above, when security-related information or information specific to the monitored network is registered in the incident meta information database, and the
In addition, a scenario score is given to the generated scenario of the security incident, and it can be used as an index for narrowing down the scenario of the security incident actually generated from the combined scenario.
As a result, the details of the security incident that has occurred can be specified immediately after the unauthorized access is detected, so that the best measures can be taken early against unauthorized access.
以上、本実施の形態では、以下の機能を備えた、セキュリティインシデント特定装置について説明した。
1)インターネットから収集されたセキュリティ関連情報や、ユーザ入力機能によって入力された情報に対して、タグ付けして、インシデントメタ情報データベースへ格納するためのデータベース管理機能、
2)インシデントメタ情報データベースからインシデントメタ情報を抽出する際の検索キーとする不正アクセスの特徴パラメータを、侵入検知装置で検知した異常検知イベントに含まれる情報から抽出するための、不正アクセス特徴パラメータ抽出機能、
3)不正アクセス特徴パラメータ抽出機能で抽出された不正アクセス特徴パラメータを検索キーとして、インシデントメタ情報データベースから侵入検知装置で検知した不正アクセスに関連するインシデントメタ情報を抽出するための、インシデントメタ情報抽出機能、
4)インシデントメタ情報抽出機能で抽出したインシデントメタ情報を組み合わせて、セキュリティインシデントの発生シナリオを合成するための、インシデントシナリオ合成機能、
5)インシデントシナリオ合成機能によって合成されたシナリオに対して、シナリオ内容の評価指標となるシナリオスコアを付与する、シナリオスコア計算機能、
6)インシデントシナリオ合成機能で合成されたシナリオ、および、シナリオに値して付与されたシナリオスコアを保存しておくための、合成シナリオデータベース、
7)合成シナリオデータベースから合成シナリオを抽出して、ユーザに表示する、合成シナリオ表示機能。
As described above, in the present embodiment, the security incident identification device having the following functions has been described.
1) A database management function for tagging security-related information collected from the Internet and information input by a user input function and storing it in the incident meta information database,
2) Unauthorized access feature parameter extraction for extracting unauthorized access feature parameters as search keys when extracting incident meta information from the incident meta information database from information included in an anomaly detection event detected by an intrusion detection device function,
3) Incident meta information extraction for extracting incident meta information related to unauthorized access detected by the intrusion detection device from the incident meta information database using the unauthorized access feature parameter extracted by the unauthorized access feature parameter extraction function as a search key. function,
4) An incident scenario composition function for combining the incident meta information extracted by the incident meta information extraction function to synthesize a security incident occurrence scenario,
5) A scenario score calculation function for assigning a scenario score as an evaluation index of the scenario contents to the scenario synthesized by the incident scenario synthesis function,
6) A synthetic scenario database for storing the scenario synthesized by the incident scenario synthesis function and the scenario score assigned to the scenario.
7) A synthetic scenario display function for extracting a synthetic scenario from a synthetic scenario database and displaying it to the user.
実施の形態2.
以上の実施の形態1では、侵入検知装置で不正アクセスが検知された後に、不正アクセス特徴パラメータを元に、インシデントメタ情報データベースから関連するインシデントメタ情報を抽出して、セキュリティインシデントの発生シナリオを合成するものであるが、抽出されるインシデントメタ情報の数によっては、組み合わせの数が増加し、シナリオの合成に時間がかかってしまうことも考えられる。
In the first embodiment described above, after unauthorized access is detected by the intrusion detection device, related incident meta information is extracted from the incident meta information database based on the unauthorized access feature parameter, and a security incident occurrence scenario is synthesized. However, depending on the number of extracted incident meta information, the number of combinations may increase, and it may take time to synthesize scenarios.
そこで、本実施の形態では、通常時に、インシデントメタ情報データベースへの情報の登録と平行して、シナリオ合成処理を行い、合成したシナリオを合成シナリオデータベースに保存しておき、侵入検知装置110で不正アクセスを検知した場合に、既に合成済みのシナリオから関連するシナリオを抽出することによって、検知した不正アクセスに関するセキュリティインシデントの発生シナリオを特定する。
また、通常時から、シナリオが合成され、合成シナリオデータベースに保存されているため、ユーザは、適宜、合成シナリオデータベースから、シナリオを読み出して、今後、起こる可能性のセキュリティインシデントのシナリオを元に、事前の対策をとることができる。
Therefore, in the present embodiment, in the normal time, scenario synthesis processing is performed in parallel with the registration of information in the incident meta information database, and the synthesized scenario is stored in the synthesis scenario database, and the
In addition, since the scenario is synthesized from the normal time and stored in the synthesis scenario database, the user appropriately reads out the scenario from the synthesis scenario database, and based on the scenario of a security incident that may occur in the future, Proactive measures can be taken.
図6は、本実施の形態に係るセキュリティインシデント特定装置111の構成例を示す。
図6では、図3の構成と比較して、インシデントシナリオ選択部309(発生シナリオ選択部)が追加されている。他の構成要素は、図3において説明したものと同様なので説明を省略する。なお、本実施の形態では、合成シナリオデータベース307は、発生シナリオデータベースとして機能する。
インシデントシナリオ選択部309は、侵入検知装置110が不正アクセスを検知し、特徴パラメータ情報が送信された際に、合成シナリオデータベース307に格納されているインシデントシナリオから特徴パラメータに合致するインシデントシナリオを選択する。合成シナリオデータベースに蓄積されているインシデントシナリオは、予めインシデントシナリオ合成部305で生成されたものである。
FIG. 6 shows a configuration example of the security
In FIG. 6, an incident scenario selection unit 309 (occurrence scenario selection unit) is added as compared with the configuration of FIG. The other components are the same as those described with reference to FIG. In the present embodiment, the
The incident
つまり、本実施の形態では、不正アクセスの検知前、例えば、インシデントメタ情報データベース302に新たなインシデントメタ情報が格納された際に、インシデントメタ情報抽出部304が、インシデントメタ情報データベースを検索し、新たなインシデントメタ情報のタグ情報(セキュリティ属性)と所定の範囲で一致するタグ情報を有するインシデントメタ情報を抽出する(データベース検索ステップ)。
たとえば、“Aワーム流行の警告”に関するインシデントメタ情報が収集された場合には、関連するタグ情報として、日付、プロトコル、関連ポート、攻撃種別などが得られる(侵入検知時と同等な情報)ので、これをインシデントメタ情報抽出に用いて、タグ情報が一致するインシデントメタ情報を抽出する。
そして、実施の形態1と同様の手順で、インシデントシナリオ合成部305が、抽出されたインシデントメタ情報のシナリオ要素のうち新たなインシデントメタ情報のシナリオ要素と相関関係にあるシナリオ要素を判断し、これらシナリオ要素同士を組み合わせて発生シナリオを生成する(発生シナリオ生成ステップ)。
また、インシデントシナリオ合成部305は、それぞれのシナリオの生成に用いたインシデントメタ情報のタグ情報と、それぞれのシナリオを対応づける。つまり、例えば、図5に示すシナリオ1(組み合わせパターン:(A)−(B)−(D))が生成された場合は、このシナリオ1と図4に示す(A)Aワームに関する情報のタグ情報421の該当部分、(B)脆弱性XX_123に関する情報のタグ情報422の該当部分、(D)Aワーム流行の警告のタグ情報423の該当部分とを対応づける。
次に、インシデントシナリオ合成部305は、生成したシナリオを合成シナリオデータベースに格納する(データベース格納ステップ)。
そして、不正アクセス特徴パラメータ抽出部303が、侵入検知装置110から特徴パラメータ情報を受信した際に(セキュリティインシデント情報受信ステップ)、インシデントシナリオ選択部309が、特徴パラメータ情報に示される不正アクセスの特徴パラメータと、それぞれの発生シナリオの生成に用いられたシナリオ要素に関連するタグ情報(セキュリティ属性)とに基づいて、合成シナリオデータベース307に格納されている発生シナリオの中から特定の発生シナリオを選択する(発生シナリオ選択ステップ)。
インシデントシナリオ選択部309は、特徴パラメータ情報に示された特徴パラメータ(日付、プロトコル、宛先ポート、攻撃種別など)に一致するタグ情報(日付、プロトコル、関連ポート、攻撃種別など)が対応づけられているシナリオを選択する。
以降は、実施の形態1と同様に、シナリオスコア計算部306が、選択されたシナリオに対してシナリオスコアを付与し、合成シナリオ表示部308が、選択されたシナリオとそのシナリオスコアを表示する。
That is, in the present embodiment, before detecting unauthorized access, for example, when new incident meta information is stored in the incident
For example, if incident meta information related to “A worm epidemic warning” is collected, date, protocol, related port, attack type, etc. can be obtained as related tag information (information equivalent to that at the time of intrusion detection). This is used for incident meta information extraction to extract incident meta information with matching tag information.
Then, in the same procedure as in the first embodiment, the incident
Further, the incident
Next, the incident
When the unauthorized access feature
The incident
Thereafter, as in the first embodiment, the scenario
以上の実施の形態2では、不正アクセスが検知されるよりも前に、あらかじめセキュリティインシデント発生のシナリオを生成しておくことによって、不正アクセス検知後のセキュリティインシデントの発生シナリオの特定を高速化できる。
加えて、ユーザは、事前に合成されたシナリオを見ることによって、今後、起こりえるセキュリティインシデントに関するリスク分析が可能となり、事前の対策をとることができる。
In the second embodiment described above, by generating a security incident occurrence scenario in advance before unauthorized access is detected, it is possible to speed up identification of a security incident occurrence scenario after unauthorized access detection.
In addition, the user can analyze a risk related to a possible security incident in the future by looking at a scenario synthesized in advance, and can take a precaution.
実施の形態2では、以下の機能を備えた、セキュリティインシデント特定装置について説明した。
1)インターネットから収集されたセキュリティ関連情報や、ユーザ入力機能によって入力された情報に対して、タグ付けして、インシデントメタ情報データベースへ格納するためのデータベース管理機能、
2)インシデントメタ情報データベースへ新規に追加されたインシデントメタ情報のタグ情報を検索キーとして、インシデントメタ情報データベースから、関連するインシデントメタ情報を抽出するための、インシデントメタ情報抽出機能、
3)インシデントメタ情報抽出機能で抽出したインシデントメタ情報を組み合わせて、セキュリティインシデントの発生シナリオを合成するための、インシデントシナリオ合成機能、
4)インシデントシナリオ合成機能で合成されたシナリオ、および、シナリオに値して付与されたシナリオスコアを保存しておくための、合成シナリオデータベース、
5)合成シナリオデータベースから合成シナリオを抽出する際の検索キーとする不正アクセスの特徴パラメータを侵入検知装置で検知した異常検知イベントに含まれる情報から抽出するための、不正アクセス特徴パラメータ抽出機能、
6)合成シナリオデータベースから抽出されたシナリオに対して、シナリオ内容の評価指標となるシナリオスコアを付与する、シナリオスコア計算機能、
7)抽出された合成シナリオを、ユーザに表示する、合成シナリオ表示機能。
In the second embodiment, the security incident identification device having the following functions has been described.
1) A database management function for tagging security-related information collected from the Internet and information input by a user input function and storing it in the incident meta information database,
2) Incident meta information extraction function for extracting related incident meta information from the incident meta information database using the tag information of the incident meta information newly added to the incident meta information database as a search key,
3) An incident scenario composition function for combining the incident meta information extracted by the incident meta information extraction function to synthesize the occurrence scenario of the security incident,
4) A synthetic scenario database for storing scenarios synthesized by the incident scenario synthesis function and scenario scores assigned to the scenarios.
5) Unauthorized access feature parameter extraction function for extracting from the information included in the abnormality detection event detected by the intrusion detection device as an unauthorized access feature parameter as a search key when extracting a synthesis scenario from the synthesis scenario database;
6) A scenario score calculation function for assigning a scenario score as an evaluation index of the scenario content to the scenario extracted from the synthetic scenario database.
7) A synthetic scenario display function for displaying the extracted synthetic scenario to the user.
実施の形態3.
以上の、実施の形態1及び実施の形態2では、セキュリティインシデント特定装置111で合成されたセキュリティインシデントの発生シナリオは、合成シナリオデータベース307に登録され、それを、ユーザからの要求、もしくは、自動で画面に表示している。
しかしながら、この場合、検知した不正アクセスに対して、実際に被害を抑えるための対策をとるのは、ユーザとなるため、運用コストが高く、また、対策をとるまでの間に、被害が拡大してしまう恐れもある。
そこで、実施の形態3では、実施の形態1及び実施の形態2に記載のセキュリティインシデント特定装置111の機能に加え、自動対策機能を備えることにより、導出したセキュリティインシデントの発生シナリオに応じて、監視対象ネットワーク上の対策手段(Firewall、ルータ、IDS(Intrusion Detection System)を含む、一般的なセキュリティ対策機器)と連携して対策をとることを可能とする。
Embodiment 3 FIG.
In the first embodiment and the second embodiment described above, the security incident occurrence scenario synthesized by the security
However, in this case, since it is the user who actually takes measures to suppress damage against detected unauthorized access, the operating cost is high, and the damage increases until countermeasures are taken. There is also a risk.
Therefore, in the third embodiment, in addition to the functions of the security
図7は、本実施の形態に係るセキュリティインシデント特定装置111の構成例を示す。
図7では、図3の構成と比較して、対策措置実施部310が追加されている。他の構成要素は、図3において説明したものと同様なので説明を省略する。
なお、図7では、図3の構成に対策措置実施部310を追加したものであるが、図6の構成に対策措置実施部310を追加するようにしてもよい。
本実施の形態に係るセキュリティインシデント特定装置111では、インシデントメタ情報の収集管理、シナリオの生成、シナリオスコア計算に関する処理は、実施の形態1及び実施の形態2と同じである。
FIG. 7 shows a configuration example of the security
In FIG. 7, a countermeasure
In FIG. 7, the
In the security
対策措置実施部310は、シナリオスコア計算部306によりシナリオスコアが設定された発生シナリオのうちスコアが最も高い発生シナリオに対応させてセキュリティインシデントに対処するための対策措置を実施する。
具体的には、対策措置実施部310は、監視対象ネットワーク101上に設置された、Firewall、ルータ、IDSといった、セキュリティ対策機器へリモートから接続して、アクセス制御設定などを変更する。
例えば、実施の形態1で記載した例では、図5で示した、5つのシナリオが生成されるが、その中で、シナリオスコアが最も高かった(シナリオスコア=1.1444)組み合わせパターン(A)−(B)−(D)のシナリオに沿って対策を行う場合、対策措置実施部310は、Firewall、ルータでは、TCP/80ポートのトラフィックを一次的に帯域制御するよう設定(ワームによる影響を抑止する目的)したり、IDSでは、Aワームのシグネチャがあれば有効化したり、といった対策を自動で実施する。
The
Specifically, the countermeasure
For example, in the example described in the first embodiment, the five scenarios shown in FIG. 5 are generated, and among them, the scenario score is the highest (scenario score = 1.1444). Combination pattern (A) -When measures are taken in accordance with the scenario (B)-(D), the countermeasure
以上の実施の形態3では、セキュリティインシデント特定装置で合成されたセキュリティインシデントの発生シナリオに応じて、監視対象ネットワーク上の対策手段(Firewall、ルータ、IDSを含む、一般的なセキュリティ対策機器)と連携して対策をとることを可能としているため、被害拡大の軽減を目的とした早期対策を、人的コストをかけずに実現できる。 In the third embodiment described above, cooperation with countermeasure means (general security countermeasure devices including Firewall, router, IDS) on the monitoring target network according to the security incident occurrence scenario synthesized by the security incident identification device Therefore, it is possible to implement early measures aimed at reducing damage expansion without incurring human costs.
本実施の形態では、自動対策機能を備えることにより、特定したセキュリティインシデントに対して、監視対象ネットワーク上の対策手段(Firewall、ルータなど)と連携して対策をとることが可能な、セキュリティインシデント特定装置について説明した。 In this embodiment, by providing an automatic countermeasure function, it is possible to identify a security incident that can be taken in cooperation with countermeasure means (Firewall, router, etc.) on the monitored network for the identified security incident. The apparatus has been described.
最後に、実施の形態1〜3で説明した侵入検知装置110、セキュリティインシデント特定装置111、セキュリティ情報収集装置112のハードウェア構成例について説明する。
図13は、実施の形態1〜3に示す侵入検知装置110、セキュリティインシデント特定装置111、セキュリティ情報収集装置112のハードウェア資源の一例を示す図である。なお、図13の構成は、あくまでも侵入検知装置110、セキュリティインシデント特定装置111、セキュリティ情報収集装置112のハードウェア構成の一例を示すものであり、侵入検知装置110、セキュリティインシデント特定装置111、セキュリティ情報収集装置112のハードウェア構成は図13に記載の構成に限らず、他の構成であってもよい。
Finally, hardware configuration examples of the
FIG. 13 is a diagram illustrating an example of hardware resources of the
図13において、侵入検知装置110、セキュリティインシデント特定装置111、セキュリティ情報収集装置112は、プログラムを実行するCPU911(Central Processing Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介して、例えば、ROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、表示装置901、キーボード902、マウス903、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。更に、CPU911は、FDD904(Flexible Disk Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907と接続していてもよい。また、磁気ディスク装置920の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。
通信ボード915、キーボード902、スキャナ装置907、FDD904などは、入力部、入力装置の一例である。
また、通信ボード915、表示装置901、プリンタ装置906などは、出力部、出力装置の一例である。
In FIG. 13, an
The
The
Further, the
通信ボード915は、図1に示すように、ネットワークに接続されている。例えば、通信ボード915は、LAN(ローカルエリアネットワーク)、インターネット、WAN(ワイドエリアネットワーク)などに接続されていても構わない。
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
As shown in FIG. 1, the
The
上記プログラム群923には、実施の形態1〜3の説明において「〜部」、「〜機能」として説明している機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
ファイル群924には、実施の形態1〜3の説明において、「〜の判断」、「〜の計算」、「〜の比較」、「〜の評価」、「〜の抽出」、「〜の更新」、「〜の設定」、「〜の合成」、「〜の生成」、「〜の登録」等として説明している処理の結果を示す情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリになどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、実施の形態1〜3で示すフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
The
In the
The arrows in the flowcharts shown in the first to third embodiments mainly indicate input / output of data and signals. The data and signal values are the memory of the
また、実施の形態1〜3の説明において「〜部」、「〜機能」として説明しているものは、「〜回路」、「〜装置」、「〜機器」、であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」、「〜機能」として説明しているものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、実施の形態1〜3の「〜部」、「〜機能」としてコンピュータを機能させるものである。あるいは、実施の形態1〜3の「〜部」、「〜機能」の手順や方法をコンピュータに実行させるものである。
In addition, in the description of the first to third embodiments, what is described as “to part” and “to function” may be “to circuit”, “to device”, and “to device”. , “˜step”, “˜procedure”, and “˜processing”. That is, what is described as “˜unit” and “˜function” may be realized by firmware stored in the
このように、実施の形態1〜3に示す侵入検知装置110、セキュリティインシデント特定装置111、セキュリティ情報収集装置112は、処理装置たるCPU、記憶装置たるメモリ、磁気ディスク等、入力装置たるキーボード、マウス、通信ボード等、出力装置たる表示装置、通信ボード等を備えるコンピュータであり、上記したように「〜部」、「〜機能」として示された機能をこれら処理装置、記憶装置、入力装置、出力装置を用いて実現するものである。
As described above, the
100 インターネット、101 監視対象ネットワーク、110 侵入検知装置、111 セキュリティインシデント特定装置、112 セキュリティ情報収集装置、300 データベース管理部、301 ユーザ入力部、302 インシデントメタ情報データベース、303 不正アクセス特徴パラメータ抽出部、304 インシデントメタ情報抽出部、305 インシデントシナリオ合成部、306 シナリオスコア計算部、307 合成シナリオデータベース、308 合成シナリオ表示部、309 インシデントシナリオ選択部、310 対策措置実施部。 100 Internet, 101 Monitored Network, 110 Intrusion Detection Device, 111 Security Incident Identification Device, 112 Security Information Collection Device, 300 Database Management Unit, 301 User Input Unit, 302 Incident Meta Information Database, 303 Unauthorized Access Feature Parameter Extraction Unit, 304 Incident meta information extraction unit, 305 incident scenario synthesis unit, 306 scenario score calculation unit, 307 synthesis scenario database, 308 synthesis scenario display unit, 309 incident scenario selection unit, 310 countermeasure measure implementation unit.
Claims (16)
セキュリティインシデントの発生シナリオの要素となるシナリオ要素と当該シナリオ要素に関連するセキュリティ属性とを示すインシデントメタ情報を、複数記憶するインシデントメタ情報データベースと、
前記検知装置にて検知された検知セキュリティインシデントのセキュリティ属性を示す検知セキュリティインシデント情報を、前記検知装置から受信する検知セキュリティインシデント情報受信部と、
前記検知セキュリティインシデント情報に示される検知セキュリティインシデントのセキュリティ属性と所定の範囲で一致するセキュリティ属性が示されているインシデントメタ情報を抽出するインシデントメタ情報抽出部と、
前記インシデントメタ情報抽出部により抽出されたインシデントメタ情報に示されるシナリオ要素を用いて検知セキュリティインシデントの発生シナリオを生成する発生シナリオ生成部とを有することを特徴とするセキュリティ管理装置。 A security management device connected to a detection device that detects the occurrence of a security incident in a monitoring target,
An incident meta information database for storing a plurality of incident meta information indicating scenario elements which are elements of a security incident occurrence scenario and security attributes related to the scenario elements;
A detection security incident information receiving unit for receiving detection security incident information indicating a security attribute of a detection security incident detected by the detection device from the detection device;
An incident meta information extracting unit that extracts incident meta information indicating a security attribute that matches the security attribute of the detected security incident indicated in the detected security incident information within a predetermined range;
A security management apparatus comprising: an occurrence scenario generation unit that generates an occurrence scenario of a detected security incident using a scenario element indicated in the incident meta information extracted by the incident meta information extraction unit.
前記発生シナリオ生成部により生成された発生シナリオに対する評価値を設定する評価値設定部を有することを特徴とする請求項1に記載のセキュリティ管理装置。 The security management device further includes:
The security management apparatus according to claim 1, further comprising an evaluation value setting unit that sets an evaluation value for the occurrence scenario generated by the occurrence scenario generation unit.
二つ以上のインシデントメタ情報を抽出し、
前記発生シナリオ生成部は、
前記インシデントメタ情報抽出部により抽出された二つ以上のインシデントメタ情報に示されるシナリオ要素のうち相関関係にあるシナリオ要素同士を組み合わせて発生シナリオを生成することを特徴とする請求項1に記載のセキュリティ管理装置。 The incident meta information extraction unit
Extract two or more incident meta information,
The occurrence scenario generation unit
The occurrence scenario is generated by combining the scenario elements correlated with each other among the scenario elements indicated by the two or more incident meta information extracted by the incident meta information extraction unit. Security management device.
前記発生シナリオ生成部により生成された発生シナリオと当該発生シナリオに対して前記評価値設定部により設定された評価値とを表示する表示部を有することを特徴とする請求項2に記載のセキュリティ管理装置。 The security management device further includes:
The security management according to claim 2, further comprising a display unit that displays the generated scenario generated by the generated scenario generation unit and the evaluation value set by the evaluation value setting unit for the generated scenario. apparatus.
セキュリティインシデントの発生シナリオの要素となるシナリオ要素と当該シナリオ要素に関連するセキュリティ属性とを示すインシデントメタ情報を、複数記憶するインシデントメタ情報データベースと、
前記複数のインシデントメタ情報に示されるシナリオ要素のうちセキュリティ属性が所定の範囲で一致し相関関係にある二つ以上のシナリオ要素同士を組み合わせてセキュリティインシデントの発生シナリオを生成する発生シナリオ生成部と、
前記発生シナリオ生成部により生成された発生シナリオを記憶する発生シナリオデータベースと、
前記検知装置にて検知された検知セキュリティインシデントのセキュリティ属性を示す検知セキュリティインシデント情報を、前記検知装置から受信する検知セキュリティインシデント情報受信部と、
前記検知セキュリティインシデント情報に示される検知セキュリティインシデントのセキュリティ属性と、それぞれの発生シナリオの生成に用いられたシナリオ要素に関連するセキュリティ属性とに基づいて、前記発生シナリオデータベースに格納されている発生シナリオの中から特定の発生シナリオを選択する発生シナリオ選択部とを有することを特徴とするセキュリティ管理装置。 A security management device connected to a detection device that detects the occurrence of a security incident in a monitoring target,
An incident meta information database for storing a plurality of incident meta information indicating scenario elements which are elements of a security incident occurrence scenario and security attributes related to the scenario elements;
An occurrence scenario generation unit that generates a security incident occurrence scenario by combining two or more scenario elements having security attributes that match and correlate within a predetermined range among the scenario elements indicated in the plurality of incident meta information;
An occurrence scenario database for storing the occurrence scenario generated by the occurrence scenario generation unit;
A detection security incident information receiving unit for receiving detection security incident information indicating a security attribute of a detection security incident detected by the detection device from the detection device;
The occurrence scenario stored in the occurrence scenario database based on the security attribute of the detection security incident indicated in the detection security incident information and the security attribute related to the scenario element used to generate each occurrence scenario. A security management apparatus comprising: an occurrence scenario selection unit that selects a specific occurrence scenario from the inside.
前記発生シナリオ選択部により選択された発生シナリオに対する評価値を設定する評価値設定部とを有することを特徴とする請求項5に記載のセキュリティ管理装置。 The security management device further includes:
The security management apparatus according to claim 5, further comprising an evaluation value setting unit that sets an evaluation value for the occurrence scenario selected by the occurrence scenario selection unit.
前記発生シナリオ選択部により選択された発生シナリオと当該発生シナリオに対して前記評価値設定部により設定された評価値とを表示する表示部を有することを特徴とする請求項6に記載のセキュリティ管理装置。 The security management device further includes:
The security management according to claim 6, further comprising a display unit that displays an occurrence scenario selected by the occurrence scenario selection unit and an evaluation value set by the evaluation value setting unit for the occurrence scenario. apparatus.
評価値設定対象の発生シナリオの生成に用いられたシナリオ要素ごとに、対応するインシデントメタ情報に示されたセキュリティ属性と前記検知セキュリティインシデント情報に示された検知セキュリティインシデントのセキュリティ属性との近似度合いに基づいて評価値を設定し、シナリオ要素ごとの評価値を加算して発生シナリオの評価値を設定することを特徴とする請求項2又は6に記載のセキュリティ管理装置。 The evaluation value setting unit
For each scenario element used to generate an occurrence scenario for which an evaluation value is to be set, the degree of approximation between the security attribute indicated in the corresponding incident meta information and the security attribute of the detected security incident indicated in the detected security incident information is The security management device according to claim 2 or 6, wherein an evaluation value is set based on the evaluation value, and an evaluation value for each scenario element is added to set the evaluation value of the generated scenario.
新しいシナリオ要素ほど高い値を付与して、評価値設定対象の発生シナリオの生成に用いられたシナリオ要素ごとに評価値を設定し、シナリオ要素ごとの評価値を加算して発生シナリオの評価値を設定することを特徴とする請求項2又は6に記載のセキュリティ管理装置。 The evaluation value setting unit
A higher value is assigned to a new scenario element, an evaluation value is set for each scenario element used to generate an occurrence scenario for which an evaluation value is to be set, and the evaluation value for each occurrence is calculated by adding the evaluation value for each scenario element. The security management device according to claim 2, wherein the security management device is set.
発生シナリオの評価値に対する閾値を設定しており、いずれかの発生シナリオの評価値が前記閾値を下回っている場合に、当該発生シナリオの評価値を前記閾値と同じ値に設定することを特徴とする請求項2又は6に記載のセキュリティ管理装置。 The evaluation value setting unit
A threshold value is set for the evaluation value of the occurrence scenario, and when the evaluation value of any occurrence scenario is lower than the threshold value, the evaluation value of the occurrence scenario is set to the same value as the threshold value. The security management device according to claim 2 or 6.
前記評価値設定部により評価値が設定された発生シナリオに対応させて前記検知セキュリティインシデントに対処するための対策措置を実施する対策措置実施部を有することと特徴とする請求項2又は6に記載のセキュリティ管理装置。 The security management device further includes:
7. The apparatus according to claim 2, further comprising a countermeasure implementation unit that implements a countermeasure for dealing with the detected security incident in association with the occurrence scenario in which the evaluation value is set by the evaluation value setting unit. Security management device.
前記評価値設定部により評価値が設定された発生シナリオが複数存在する場合に、評価値が最も高い発生シナリオに対応させて前記検知セキュリティインシデントに対処するための対策措置を実施することを特徴とする請求項11に記載のセキュリティ管理装置。 The countermeasure implementation department
When there are a plurality of occurrence scenarios for which an evaluation value is set by the evaluation value setting unit, a countermeasure is taken to deal with the detected security incident in association with the occurrence scenario with the highest evaluation value. The security management device according to claim 11.
セキュリティインシデントの発生シナリオの要素となるシナリオ要素と当該シナリオ要素に関連するセキュリティ属性とを示すインシデントメタ情報を複数記憶するインシデントメタ情報データベースを、コンピュータが検索するデータベース検索ステップと、
コンピュータが、前記検知装置にて検知された検知セキュリティインシデントのセキュリティ属性を示す検知セキュリティインシデント情報を、前記検知装置から受信する検知セキュリティインシデント情報受信ステップと、
コンピュータが、前記検知セキュリティインシデント情報に示される検知セキュリティインシデントのセキュリティ属性と所定の範囲で一致するセキュリティ属性が示されているインシデントメタ情報を抽出するインシデントメタ情報抽出ステップと、
コンピュータが、前記インシデントメタ情報抽出ステップにより抽出されたインシデントメタ情報に示されるシナリオ要素を用いて検知セキュリティインシデントの発生シナリオを生成する発生シナリオ生成ステップとを有することを特徴とするセキュリティ管理方法。 A security management method using a computer connected to a detection device that detects the occurrence of a security incident in a monitoring target,
A database search step in which a computer searches for an incident meta information database storing a plurality of incident meta information indicating scenario elements which are elements of a security incident occurrence scenario and security attributes related to the scenario elements;
A detection security incident information receiving step in which a computer receives detection security incident information indicating a security attribute of a detection security incident detected by the detection device from the detection device;
Incident meta information extraction step for the computer to extract incident meta information indicating a security attribute that matches the security attribute of the detected security incident indicated in the detected security incident information within a predetermined range;
A security management method comprising: an occurrence scenario generation step in which a computer generates an occurrence scenario of a detected security incident using a scenario element indicated in the incident meta information extracted by the incident meta information extraction step.
セキュリティインシデントの発生シナリオの要素となるシナリオ要素と当該シナリオ要素に関連するセキュリティ属性とを示すインシデントメタ情報を複数記憶するインシデントメタ情報データベースを、コンピュータが検索するデータベース検索ステップと、
コンピュータが、前記複数のインシデントメタ情報に示されるシナリオ要素のうちセキュリティ属性が所定の範囲で一致し相関関係にある二つ以上のシナリオ要素同士を組み合わせてセキュリティインシデントの発生シナリオを生成する発生シナリオ生成ステップと、
コンピュータが、前記発生シナリオ生成ステップにより生成された発生シナリオを発生シナリオデータベースに格納するデータベース格納ステップと、
コンピュータが、前記検知装置にて検知された検知セキュリティインシデントのセキュリティ属性を示す検知セキュリティインシデント情報を、前記検知装置から受信する検知セキュリティインシデント情報受信ステップと、
コンピュータが、前記検知セキュリティインシデント情報に示される検知セキュリティインシデントのセキュリティ属性と、それぞれの発生シナリオの生成に用いられたシナリオ要素に関連するセキュリティ属性とに基づいて、前記発生シナリオデータベースに格納されている発生シナリオの中から特定の発生シナリオを選択する発生シナリオ選択ステップとを有することを特徴とするセキュリティ管理方法。 A security management method using a computer connected to a detection device that detects the occurrence of a security incident in a monitoring target,
A database search step in which a computer searches for an incident meta information database storing a plurality of incident meta information indicating scenario elements which are elements of a security incident occurrence scenario and security attributes related to the scenario elements;
Generation scenario generation in which a computer generates a security incident occurrence scenario by combining two or more scenario elements whose security attributes are matched and correlated in a predetermined range among the scenario elements indicated in the plurality of incident meta information Steps,
A database storage step in which the computer stores the occurrence scenario generated by the occurrence scenario generation step in an occurrence scenario database;
A detection security incident information receiving step in which a computer receives detection security incident information indicating a security attribute of a detection security incident detected by the detection device from the detection device;
The computer is stored in the occurrence scenario database based on the security attributes of the detected security incidents indicated in the detected security incident information and the security attributes related to the scenario elements used to generate each occurrence scenario. A security management method comprising: a generation scenario selection step of selecting a specific generation scenario from the generation scenarios.
セキュリティインシデントの発生シナリオの要素となるシナリオ要素と当該シナリオ要素に関連するセキュリティ属性とを示すインシデントメタ情報を複数記憶するインシデントメタ情報データベースを検索するデータベース検索処理と、
前記検知装置にて検知された検知セキュリティインシデントのセキュリティ属性を示す検知セキュリティインシデント情報を、前記検知装置から受信する検知セキュリティインシデント情報受信処理と、
前記検知セキュリティインシデント情報に示される検知セキュリティインシデントのセキュリティ属性と所定の範囲で一致するセキュリティ属性が示されているインシデントメタ情報を抽出するインシデントメタ情報抽出処理と、
前記インシデントメタ情報抽出処理により抽出されたインシデントメタ情報に示されるシナリオ要素を用いて検知セキュリティインシデントの発生シナリオを生成する発生シナリオ生成処理とを実行させることを特徴とするプログラム。 To a computer connected to a detection device that detects the occurrence of a security incident in the monitoring target,
A database search process for searching an incident meta information database for storing a plurality of incident meta information indicating a scenario element which is an element of a security incident occurrence scenario and a security attribute related to the scenario element;
Detection security incident information receiving processing for receiving detection security incident information indicating a security attribute of a detection security incident detected by the detection device from the detection device;
Incident meta information extraction processing for extracting incident meta information indicating a security attribute that matches the security attribute of the detected security incident indicated in the detected security incident information within a predetermined range;
A program for executing an occurrence scenario generation process for generating an occurrence scenario of a detected security incident using a scenario element indicated in the incident meta information extracted by the incident meta information extraction process.
セキュリティインシデントの発生シナリオの要素となるシナリオ要素と当該シナリオ要素に関連するセキュリティ属性とを示すインシデントメタ情報を複数記憶するインシデントメタ情報データベースを検索するデータベース検索処理と、
前記複数のインシデントメタ情報に示されるシナリオ要素のうちセキュリティ属性が所定の範囲で一致し相関関係にある二つ以上のシナリオ要素同士を組み合わせてセキュリティインシデントの発生シナリオを生成する発生シナリオ生成処理と、
前記発生シナリオ生成処理により生成された発生シナリオを発生シナリオデータベースに格納するデータベース格納処理と、
前記検知装置にて検知された検知セキュリティインシデントのセキュリティ属性を示す検知セキュリティインシデント情報を、前記検知装置から受信する検知セキュリティインシデント情報受信処理と、
前記検知セキュリティインシデント情報に示される検知セキュリティインシデントのセキュリティ属性と、それぞれの発生シナリオの生成に用いられたシナリオ要素に関連するセキュリティ属性とに基づいて、前記発生シナリオデータベースに格納されている発生シナリオの中から特定の発生シナリオを選択する発生シナリオ選択処理とを実行させることを特徴とするプログラム。 To a computer connected to a detection device that detects the occurrence of a security incident in the monitoring target,
A database search process for searching an incident meta information database for storing a plurality of incident meta information indicating a scenario element which is an element of a security incident occurrence scenario and a security attribute related to the scenario element;
An occurrence scenario generation process for generating an occurrence scenario of a security incident by combining two or more scenario elements whose security attributes are matched and correlated within a predetermined range among the scenario elements indicated in the plurality of incident meta information,
Database storage processing for storing the occurrence scenario generated by the occurrence scenario generation processing in the occurrence scenario database;
Detection security incident information receiving processing for receiving detection security incident information indicating a security attribute of a detection security incident detected by the detection device from the detection device;
The occurrence scenario stored in the occurrence scenario database based on the security attribute of the detection security incident indicated in the detection security incident information and the security attribute related to the scenario element used to generate each occurrence scenario. A program for executing an occurrence scenario selection process for selecting a specific occurrence scenario from among them.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006353624A JP4773332B2 (en) | 2006-12-28 | 2006-12-28 | Security management apparatus, security management method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006353624A JP4773332B2 (en) | 2006-12-28 | 2006-12-28 | Security management apparatus, security management method, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008167099A true JP2008167099A (en) | 2008-07-17 |
JP4773332B2 JP4773332B2 (en) | 2011-09-14 |
Family
ID=39695944
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006353624A Expired - Fee Related JP4773332B2 (en) | 2006-12-28 | 2006-12-28 | Security management apparatus, security management method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4773332B2 (en) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011176434A (en) * | 2010-02-23 | 2011-09-08 | Nippon Telegr & Teleph Corp <Ntt> | System, method, and apparatus for cause specification cooperating with detection of change in traffic amount, and program |
WO2015059791A1 (en) * | 2013-10-24 | 2015-04-30 | 三菱電機株式会社 | Information processing device, information processing method, and program |
JP2015121968A (en) * | 2013-12-24 | 2015-07-02 | 三菱電機株式会社 | Log analyzer, log analysis method, and log analysis program |
JP2016099857A (en) * | 2014-11-25 | 2016-05-30 | 株式会社日立システムズ | Fraudulent program handling system and fraudulent program handling method |
US9916445B2 (en) | 2014-02-26 | 2018-03-13 | Mitsubishi Electric Corporation | Attack detection device, attack detection method, and non-transitory computer readable recording medium recorded with attack detection program |
JP2019101448A (en) * | 2017-11-28 | 2019-06-24 | 株式会社 インターコム | Security control system and security control method |
WO2019180989A1 (en) * | 2018-03-20 | 2019-09-26 | 日本電気株式会社 | Hearing system, threat response system, method, and program |
US10476904B2 (en) | 2016-08-26 | 2019-11-12 | Fujitsu Limited | Non-transitory recording medium recording cyber-attack analysis supporting program, cyber-attack analysis supporting method, and cyber-attack analysis supporting apparatus |
WO2020105156A1 (en) * | 2018-11-21 | 2020-05-28 | 三菱電機株式会社 | Scenario generation device, scenario generation method, and scenario generation program |
DE112021008185T5 (en) | 2021-09-06 | 2024-09-05 | Mitsubishi Electric Corporation | ATTACK SCENARIO GENERATING DEVICE, ATTACK SCENARIO GENERATING METHOD AND ATTACK SCENARIO GENERATING PROGRAM |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005136526A (en) * | 2003-10-28 | 2005-05-26 | Fujitsu Ltd | Illegitimate access detecting apparatus, illegitimate access detecting method, and illegitimate access detecting program |
JP2006504178A (en) * | 2002-10-22 | 2006-02-02 | ウンホ チェ | Comprehensive infringement accident response system in IT infrastructure and its operation method |
JP2008154010A (en) * | 2006-12-19 | 2008-07-03 | Mitsubishi Electric Corp | Data processor, and data processing method and program |
-
2006
- 2006-12-28 JP JP2006353624A patent/JP4773332B2/en not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006504178A (en) * | 2002-10-22 | 2006-02-02 | ウンホ チェ | Comprehensive infringement accident response system in IT infrastructure and its operation method |
JP2005136526A (en) * | 2003-10-28 | 2005-05-26 | Fujitsu Ltd | Illegitimate access detecting apparatus, illegitimate access detecting method, and illegitimate access detecting program |
JP2008154010A (en) * | 2006-12-19 | 2008-07-03 | Mitsubishi Electric Corp | Data processor, and data processing method and program |
Non-Patent Citations (1)
Title |
---|
榊原 裕之 他: "5E-3 定点観測による不正アクセス分析システムの提案", 第68回(平成18年)全国大会講演論文集(3) データベースとメディア ネットワーク, JPN6011017404, 7 March 2006 (2006-03-07), pages 3 - 339, ISSN: 0001891608 * |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011176434A (en) * | 2010-02-23 | 2011-09-08 | Nippon Telegr & Teleph Corp <Ntt> | System, method, and apparatus for cause specification cooperating with detection of change in traffic amount, and program |
US10282542B2 (en) | 2013-10-24 | 2019-05-07 | Mitsubishi Electric Corporation | Information processing apparatus, information processing method, and computer readable medium |
WO2015059791A1 (en) * | 2013-10-24 | 2015-04-30 | 三菱電機株式会社 | Information processing device, information processing method, and program |
JP6053948B2 (en) * | 2013-10-24 | 2016-12-27 | 三菱電機株式会社 | Information processing apparatus, information processing method, and program |
JP2015121968A (en) * | 2013-12-24 | 2015-07-02 | 三菱電機株式会社 | Log analyzer, log analysis method, and log analysis program |
US9916445B2 (en) | 2014-02-26 | 2018-03-13 | Mitsubishi Electric Corporation | Attack detection device, attack detection method, and non-transitory computer readable recording medium recorded with attack detection program |
JP2016099857A (en) * | 2014-11-25 | 2016-05-30 | 株式会社日立システムズ | Fraudulent program handling system and fraudulent program handling method |
US10476904B2 (en) | 2016-08-26 | 2019-11-12 | Fujitsu Limited | Non-transitory recording medium recording cyber-attack analysis supporting program, cyber-attack analysis supporting method, and cyber-attack analysis supporting apparatus |
JP2019101448A (en) * | 2017-11-28 | 2019-06-24 | 株式会社 インターコム | Security control system and security control method |
WO2019180989A1 (en) * | 2018-03-20 | 2019-09-26 | 日本電気株式会社 | Hearing system, threat response system, method, and program |
JPWO2019180989A1 (en) * | 2018-03-20 | 2021-02-18 | 日本電気株式会社 | Hearing systems, threat response systems, methods and programs |
JP7036193B2 (en) | 2018-03-20 | 2022-03-15 | 日本電気株式会社 | Hearing systems, threat response systems, methods and programs |
WO2020105156A1 (en) * | 2018-11-21 | 2020-05-28 | 三菱電機株式会社 | Scenario generation device, scenario generation method, and scenario generation program |
JPWO2020105156A1 (en) * | 2018-11-21 | 2021-04-01 | 三菱電機株式会社 | Scenario generator, scenario generator and scenario generator |
DE112021008185T5 (en) | 2021-09-06 | 2024-09-05 | Mitsubishi Electric Corporation | ATTACK SCENARIO GENERATING DEVICE, ATTACK SCENARIO GENERATING METHOD AND ATTACK SCENARIO GENERATING PROGRAM |
Also Published As
Publication number | Publication date |
---|---|
JP4773332B2 (en) | 2011-09-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4773332B2 (en) | Security management apparatus, security management method, and program | |
US11444786B2 (en) | Systems and methods for digital certificate security | |
US10235524B2 (en) | Methods and apparatus for identifying and removing malicious applications | |
JP5557623B2 (en) | Infection inspection system, infection inspection method, recording medium, and program | |
US9300682B2 (en) | Composite analysis of executable content across enterprise network | |
US8181248B2 (en) | System and method of detecting anomaly malicious code by using process behavior prediction technique | |
US9876813B2 (en) | System and method for web-based log analysis | |
EP2941714B1 (en) | Method and apparatus for identifying computing resource trajectory | |
JP6717206B2 (en) | Anti-malware device, anti-malware system, anti-malware method, and anti-malware program | |
JP2010146457A (en) | Information processing system and program | |
Kim et al. | Automated dataset generation system for collaborative research of cyber threat analysis | |
JP5656266B2 (en) | Blacklist extraction apparatus, extraction method and extraction program | |
JP5791548B2 (en) | Address extraction device | |
Roschke et al. | Using vulnerability information and attack graphs for intrusion detection | |
RU2481633C2 (en) | System and method for automatic investigation of safety incidents | |
WO2020246227A1 (en) | Rule generation device, rule generation method, and computer readable storage medium | |
JP7000271B2 (en) | Vehicle unauthorized access countermeasure device and vehicle unauthorized access countermeasure method | |
JP5966076B1 (en) | Information processing apparatus, information processing method, and program | |
KR100961870B1 (en) | Web security system and method by examination in each network layer | |
CN115134106A (en) | Method and computer program product for detecting hacker attacks | |
Kaushik et al. | Perspectives on Ethical Hacking and Penetration Testing | |
RU2769651C2 (en) | Method for forming a signature for detecting unauthorised access to a computer obtained using remote administration means, and system implementing the method | |
JP6105792B1 (en) | Information processing apparatus, information processing method, and program | |
Al Shamsi | Mapping, Exploration, and Detection Strategies for Malware Universe | |
JP6063593B1 (en) | Information processing apparatus, information processing method, and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20091001 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110322 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110412 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110513 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110621 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110623 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140701 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4773332 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |