JP2016033690A - 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 - Google Patents
不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 Download PDFInfo
- Publication number
- JP2016033690A JP2016033690A JP2012281989A JP2012281989A JP2016033690A JP 2016033690 A JP2016033690 A JP 2016033690A JP 2012281989 A JP2012281989 A JP 2012281989A JP 2012281989 A JP2012281989 A JP 2012281989A JP 2016033690 A JP2016033690 A JP 2016033690A
- Authority
- JP
- Japan
- Prior art keywords
- decoy
- log
- behavior pattern
- intrusion detection
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2123—Dummy operation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 組織内部ネットワークへ攻撃者の侵入を許してしまった場合に、標的型攻撃が発生していることを検知する
【解決手段】 ネットワーク経由でアクセス可能な機器におとりを生成するおとり生成手段と、前記おとり生成手段により生成された前記おとりに対するアクセス制御のログを収集するログ収集手段と、ネットワークに攻撃者が侵入した場合に観測されるアクセス制御の事象のパターンを示す挙動パターンを格納する挙動パターンデータベースと、前記ログ収集手段により収集されたログに含まれる前記おとりに対するアクセス制御の事象のパターンと、前記挙動パターンデータベースに格納された前記挙動パターンとの一致度に基づいて攻撃者の侵入を検知するログ分析手段とを備える。
【選択図】 図2
【解決手段】 ネットワーク経由でアクセス可能な機器におとりを生成するおとり生成手段と、前記おとり生成手段により生成された前記おとりに対するアクセス制御のログを収集するログ収集手段と、ネットワークに攻撃者が侵入した場合に観測されるアクセス制御の事象のパターンを示す挙動パターンを格納する挙動パターンデータベースと、前記ログ収集手段により収集されたログに含まれる前記おとりに対するアクセス制御の事象のパターンと、前記挙動パターンデータベースに格納された前記挙動パターンとの一致度に基づいて攻撃者の侵入を検知するログ分析手段とを備える。
【選択図】 図2
Description
本発明は、ネットワークへの不正な侵入を検知する不正侵入検知装置に関する。
近年、標的とする組織や個人を絞り込み、ユーザを巧みに騙してプログラムをダウンロード・実行させたり、未知の脆弱性を悪用したりといった手口で標的固有のマルウェアを組織内部の端末へ感染させることにより、機密情報の窃取や社内システムの破壊などを行なうことを目的とした標的型攻撃が増えている。標的型攻撃で用いられるマルウェアは、ウイルス対策ソフトウェアによる検知を回避するように作られているため、ウイルス対策ソフトウェアによって防ぐことは難しい。
従来の不正検知装置では、例えば、特許文献1に開示されているように、不正な攻撃や侵入を示す挙動を特定する挙動情報を予めデータベース化して保持しておき、端末上で動作するプロセスの挙動を監視中に、挙動情報と一致する挙動をプロセスが行なった場合に、不正な攻撃や侵入が行われたものとして検知する方式が提案されている。
また、例えば、特許文献2では、ネットワークでのウイルス感染を検出することを目的に、ネットワークを介してアクセス可能なおとり手段として、サーバ、フォルダ、アプリケーション等を監視ネットワーク上に設置しておき、おとり手段へのアクセスを検出することによって、ウイルスの侵入を検出し、かつ、ウイルスの侵入を検出したとき、ウイルス侵入時に取得した通信情報から当該ウイルスの送信元となっているコンピュータを検出することよって、未知のウイルスを検出する方法も提案されている。
従来の不正検知装置(例えば、特許文献1)では、監視対象となる全てのプロセスに関して、正常動作時にどんな挙動を示すのかを明らかにした上で、さらに、正常動作時には示されない挙動を全てデータベース化して保持しておかなければ、検知漏れが発生するという問題点があった。なお、そもそもコンピュータ上で動作する全てのプロセスに関して、正常動作時にどんな挙動を示すのかを明らかにすることは、事実上困難である。
また、従来のおとり手段を用いたウイルスの検出方式(例えば、特許文献2)では、おとり手段にアクセスした発信元が、本当にウイルスに感染しているのか、または、設定ミスや操作ミスなどの人為的な要因によってアクセスが発生したのかについては、単におとり手段へアクセスしたという事象を観測しただけでは、判別することができないという問題があった。
この発明は上記のような問題点を解決するためになされたもので、標的型攻撃によって、組織外部ネットワークから、組織内部ネットワークへ攻撃者の侵入を許してしまった場合に、攻撃者が組織内部ネットワーク内を探索する挙動を検出することによって、標的型攻撃が発生していることを検知することを目的とする。
上記で述べた課題を解決するため、本発明の不正侵入検知装置は、ネットワーク経由でアクセス可能な機器におとりを生成するおとり生成手段と、前記おとり生成手段により生成された前記おとりに対するアクセス制御のログを収集するログ収集手段と、ネットワークに攻撃者が侵入した場合に観測されるアクセス制御の事象のパターンを示す挙動パターンを格納する挙動パターンデータベースと、前記ログ収集手段により収集されたログに含まれる前記おとりに対するアクセス制御の事象のパターンと、前記挙動パターンデータベースに格納された前記挙動パターンとの一致度に基づいて攻撃者の侵入を検知するログ分析手段とを備えることとしたものである。
また、本発明に係る不正侵入検知方法は、おとり生成手段が、ネットワーク経由でアクセス可能な機器におとりを生成するおとり生成ステップと、ログ収集手段が、前記おとり生成手段により生成された前記おとりに対するアクセス制御のログを収集するログ収集ステップと、挙動パターンデータベースが、ネットワークに攻撃者が侵入した場合に観測されるアクセス制御の事象のパターンを示す挙動パターンを格納する挙動パターンデータベース格納ステップと、ログ分析手段が、前記ログ収集手段により収集されたログに含まれる前記おとりに対するアクセス制御の事象のパターンと、前記挙動パターンデータベースに格納された前記挙動パターンとの一致度に基づいて攻撃者の侵入を検知するログ分析ステップとを備えることとしたものである。
また、本発明に係る不正侵入検知プログラムは、コンピュータを、ネットワーク経由でアクセス可能な機器におとりを生成するおとり生成手段と、前記おとり生成手段により生成された前記おとりに対するアクセス制御のログを収集するログ収集手段と、ネットワークに攻撃者が侵入した場合に観測されるアクセス制御の事象のパターンを示す挙動パターンを格納する挙動パターンデータベースと、前記ログ収集手段により収集されたログに含まれる前記おとりに対するアクセス制御の事象のパターンと、前記挙動パターンデータベースに格納された前記挙動パターンとの一致度に基づいて攻撃者の侵入を検知するログ分析手段として機能させることとしたものである。
また、本発明に係る不正侵入検知プログラムを記録したコンピュータ読み取り可能な記録媒体は、コンピュータを、ネットワーク経由でアクセス可能な機器におとりを生成するおとり生成手段と、前記おとり生成手段により生成された前記おとりに対するアクセス制御のログを収集するログ収集手段と、ネットワークに攻撃者が侵入した場合に観測されるアクセス制御の事象のパターンを示す挙動パターンを格納する挙動パターンデータベースと、前記ログ収集手段により収集されたログに含まれる前記おとりに対するアクセス制御の事象のパターンと、前記挙動パターンデータベースに格納された前記挙動パターンとの一致度に基づいて攻撃者の侵入を検知するログ分析手段として機能させるための不正侵入検知プログラムを記録させることとしたものである。
本発明によれば、おとりへのアクセスの有無により、内部ネットワークへ攻撃者が侵入した疑いのある事象を検出し、おとりへアクセスしたユーザ及び端末に関する挙動パターンから判別するようにしているので、標的型攻撃によって攻撃者が内部ネットワークへ侵入していることを検知することができるようになるという効果がある。
実施の形態1.
図1は、本発明の実施の形態1に係る不正侵入検知装置の一実施例を示す構成図である。
図1において、不正侵入検知装置1、ファイルサーバ2、端末A3、端末B4、メールサーバ5、認証サーバ6が、組織内部のネットワーク7を介して接続されている。また、端末A3は、マルウェアに感染しており、攻撃者サーバ8からインターネット9、ファイアウォール10、プロキシ11を通じて、遠隔操作されているものとする。
図1は、本発明の実施の形態1に係る不正侵入検知装置の一実施例を示す構成図である。
図1において、不正侵入検知装置1、ファイルサーバ2、端末A3、端末B4、メールサーバ5、認証サーバ6が、組織内部のネットワーク7を介して接続されている。また、端末A3は、マルウェアに感染しており、攻撃者サーバ8からインターネット9、ファイアウォール10、プロキシ11を通じて、遠隔操作されているものとする。
図2は、不正侵入検知装置1の構成の一例を示す図である。
不正侵入検知装置1は、おとり生成手段12、ログ収集分析手段13を備えている。おとり生成手段12は、さらに、おとり作成登録手段14、おとり情報データベース15、おとりデータベース16を備えている。また、ログ収集分析手段13は、ログ収集手段17、ログ分析手段18、ログデータベース19、挙動パターンデータベース20で構成されている。
不正侵入検知装置1は、おとり生成手段12、ログ収集分析手段13を備えている。おとり生成手段12は、さらに、おとり作成登録手段14、おとり情報データベース15、おとりデータベース16を備えている。また、ログ収集分析手段13は、ログ収集手段17、ログ分析手段18、ログデータベース19、挙動パターンデータベース20で構成されている。
ログ収集分析手段13の挙動パターンデータベース20には、標的型攻撃によって、内部ネットワークに攻撃者が侵入した場合に観測される事象のパターンが挙動パターンとして格納されている。具体的には、「同じ端末から複数の異なるユーザでの認証が行われている」、「特定のユーザアカウントによるファイルやフォルダへのアクセス拒否が普段よりも多く発生している」、「特定端末から不審なWebサイトへ頻繁にアクセスしている」、「端末を利用しているユーザが不審なファイルが添付されたメールを受信していた」などが、事象のパターン(挙動パターン)の例である。
また、ログ収集分析手段13のログデータベース19には、ファイアウォール10、プロキシ11、メールサーバ5、認証サーバ6、ファイルサーバ2、端末A3、端末B4などの様々な機器から収集したログが格納されている。ログの格納では、収集した各ログの形式にあわせて作成したテーブルへログを格納するとしてもよいが、本発明では、一般に「統合ログ管理システム」と呼ばれるログ収集装置のように、形式の異なる各ログを単一の形式に変換し、一元管理することを想定する。
図3は、ファイルサーバ2の構成の一例を示す図である。
ファイルサーバ2では、データ記憶部21に、フォルダ22〜24やファイル25〜27を電子データとして保管している。ここで、フォルダ22は、おとりフォルダを表わし、ファイル25は、おとりファイルを表している。これらのフォルダ22とファイル25は、本実施の形態を説明するために、便宜上、他のフォルダやファイルと区別して示しているが、実際は、他のフォルダやファイルとは区別がつかないものとする。保管している電子データ22〜27は、組織内部のネットワーク7で接続された他の端末A3、端末B4からアクセス可能であるものとする。
ファイルサーバ2では、データ記憶部21に、フォルダ22〜24やファイル25〜27を電子データとして保管している。ここで、フォルダ22は、おとりフォルダを表わし、ファイル25は、おとりファイルを表している。これらのフォルダ22とファイル25は、本実施の形態を説明するために、便宜上、他のフォルダやファイルと区別して示しているが、実際は、他のフォルダやファイルとは区別がつかないものとする。保管している電子データ22〜27は、組織内部のネットワーク7で接続された他の端末A3、端末B4からアクセス可能であるものとする。
また、ファイルサーバ2上の電子データ22〜27は、認証サーバ6による適切なユーザ認証に基づいたアクセス制御の設定がなされているものとする。従って、アクセス権が無いユーザが、電子データ22〜27のフォルダやファイルにアクセスした場合には、アクセスが拒否されたログがログデータベース19に記録される。この他、アクセスが許可された場合にも、ログが記録される。
図4は、ログデータベース19に格納されるログのデータ格納形式28の一例を示す。
図4に示すように、ログには、日時、データ属性(ファイルアクセス、またはユーザ認証)、端末名、ユーザ名、アクセス制御対象名(フォルダパス、またはファイルパス)、アクセス制御結果(許可、または拒否)、ユーザ認証結果(許可、または拒否)が項目として記載されている。
ファイルサーバ2上で記録されたフォルダやファイルへのアクセスに関するログは、ネットワーク7を介して不正侵入検知装置1へ収集され、ログ収集分析手段13のログ収集手段17によって、ログデータベース19へ格納される。不正侵入検知装置1へ収集されたログは、ログデータベース19からログ分析手段18によって参照され、不正侵入を検知するために分析される。なお、図1では、ネットワーク7によって不正侵入検知装置1とその他の機器が接続されているが、不正侵入検知装置1には、ネットワーク上の各機器で発生するログが収集されれば良いため、図1の構成に限らず、各機器とログ収集用のネットワークを別途構成してもよい。
図4に示すように、ログには、日時、データ属性(ファイルアクセス、またはユーザ認証)、端末名、ユーザ名、アクセス制御対象名(フォルダパス、またはファイルパス)、アクセス制御結果(許可、または拒否)、ユーザ認証結果(許可、または拒否)が項目として記載されている。
ファイルサーバ2上で記録されたフォルダやファイルへのアクセスに関するログは、ネットワーク7を介して不正侵入検知装置1へ収集され、ログ収集分析手段13のログ収集手段17によって、ログデータベース19へ格納される。不正侵入検知装置1へ収集されたログは、ログデータベース19からログ分析手段18によって参照され、不正侵入を検知するために分析される。なお、図1では、ネットワーク7によって不正侵入検知装置1とその他の機器が接続されているが、不正侵入検知装置1には、ネットワーク上の各機器で発生するログが収集されれば良いため、図1の構成に限らず、各機器とログ収集用のネットワークを別途構成してもよい。
次に、不正侵入検知装置1の動作について説明する。
不正侵入検知装置1の動作は、(1)おとり作成、(2)ログ収集、(3)ログ分析による侵入検知、の3つの動作がある。それぞれの動作について、図5、図6、図7を用いて説明する。
不正侵入検知装置1の動作は、(1)おとり作成、(2)ログ収集、(3)ログ分析による侵入検知、の3つの動作がある。それぞれの動作について、図5、図6、図7を用いて説明する。
まず、図5を用いて(1)おとり作成時の動作について説明する。
図5は、不正侵入検知装置1のおとり生成手段12の動作を示すフローチャートである。
以下、おとり生成手段12によるおとり作成の動作は、定期的もしくはランダムな時間間隔で動作するものとする。
図5は、不正侵入検知装置1のおとり生成手段12の動作を示すフローチャートである。
以下、おとり生成手段12によるおとり作成の動作は、定期的もしくはランダムな時間間隔で動作するものとする。
図5において、まず、ステップS101において、おとり生成手段12は、おとり作成登録手段14により、おとり情報データベース15を参照して、現在、ファイルサーバ2上に設置されているおとり情報を取得する。
図6は、おとり情報データベース15のデータ構造29を示す図である。
図6の1行目は、おとり情報の項目を示すカラム名を表している。2行目以降、おとりを設置したファイルサーバ名、おとりの属性(ファイル、またはフォルダの別)、おとりの分類(個人、客先、仕様など)、及びそのファイルサーバ上でおとりが設置されているパス(設置パス)が登録されている。
図6は、おとり情報データベース15のデータ構造29を示す図である。
図6の1行目は、おとり情報の項目を示すカラム名を表している。2行目以降、おとりを設置したファイルサーバ名、おとりの属性(ファイル、またはフォルダの別)、おとりの分類(個人、客先、仕様など)、及びそのファイルサーバ上でおとりが設置されているパス(設置パス)が登録されている。
次に、ステップS102において、おとり作成登録手段14は、ステップS101で取得したおとりの設置パス上におとりがあった場合、Yesの分岐に進み、ステップS103の処理を行なう。おとりが無かった場合、Noの分岐に進み、ステップS105の処理を行なう。
次に、ステップS103において、おとり作成登録手段14は、設置パス上に既に設置されていたおとりをファイルサーバ2から削除するとともに、ステップS104において、おとり情報データベース15から、ファイルサーバ2から削除したおとりのおとり情報を削除する。
次に、ステップS105において、おとり作成登録手段14は、ファイルサーバ2へアクセスして、おとりを作成する任意のフォルダをランダムに選択する。
その後、ステップS106において、おとり作成登録手段14は、おとりデータベース16を参照して、おとりとなるフォルダもしくはファイルをランダムに選択する。
図7は、おとりデータベース16のデータ構造30を示す図である。
図7の1行目は、おとりの項目を示すカラム名を表している。2行目以降、おとりファイルの属性(ファイル、またはフォルダの別)、おとりの分類(個人、客先、仕様など)、及びおとりの基となる電子データがおとりファイルとして登録されている。なお、フォルダは、フォルダ以下に複数のファイルをおとりとしておくため、フォルダを含め複数のファイルを1つのファイルに圧縮してまとめている。おとりのファイル名やフォルダ名は、攻撃者が興味を持ってアクセスしそうな名称にしておくことで、おとりによる侵入の検出率を上げることができる。
図7は、おとりデータベース16のデータ構造30を示す図である。
図7の1行目は、おとりの項目を示すカラム名を表している。2行目以降、おとりファイルの属性(ファイル、またはフォルダの別)、おとりの分類(個人、客先、仕様など)、及びおとりの基となる電子データがおとりファイルとして登録されている。なお、フォルダは、フォルダ以下に複数のファイルをおとりとしておくため、フォルダを含め複数のファイルを1つのファイルに圧縮してまとめている。おとりのファイル名やフォルダ名は、攻撃者が興味を持ってアクセスしそうな名称にしておくことで、おとりによる侵入の検出率を上げることができる。
次に、ステップS107において、おとり作成登録手段14は、ステップS105により選択したフォルダへおとりを作成する。
最後に、ステップS108において、おとり作成登録手段14は、作成したおとりのおとり情報を、おとり情報データベース15へ登録して、おとり生成の動作を終了する。
次に、図8を用いて、不正侵入検知装置1の(2)ログ収集の動作について説明する。
図8は、不正侵入検知装置1のログ収集手段17の動作を示すフローチャートである。
まず、ステップS201で、ログ収集手段17は、監視しているネットワーク7上に接続された各機器からログを受信したか否かを判定する。ログを受信した場合、ステップS202の分岐に進み、ログを受信していない場合は、ログを受信するのを待機する。
次に、ステップS202において、ログ収集手段17は、受信したログを、ログデータベース19へ逐次格納していく。
図8は、不正侵入検知装置1のログ収集手段17の動作を示すフローチャートである。
まず、ステップS201で、ログ収集手段17は、監視しているネットワーク7上に接続された各機器からログを受信したか否かを判定する。ログを受信した場合、ステップS202の分岐に進み、ログを受信していない場合は、ログを受信するのを待機する。
次に、ステップS202において、ログ収集手段17は、受信したログを、ログデータベース19へ逐次格納していく。
次に、図9を用いて(3)ログ分析による侵入検知の動作について説明する。
図9は、不正侵入検知装置1のログ分析手段18の動作を示すフローチャートである。
図9は、不正侵入検知装置1のログ分析手段18の動作を示すフローチャートである。
ログ分析による侵入検知は、ファイルサーバ2に設置したおとりへのアクセスが発生した場合の動作である。おとりへのアクセスの発生は、ファイルサーバ2から送られてくるアクセス制御のログを監視し、おとり情報データベース15に格納されているおとり情報と一致するアクセス制御のログを不正侵入検知装置1が受信した場合に、おとりへのアクセスが発生したと判断する。
図9において、まず、ステップS301において、ログ分析手段18は、最初にカウンタXの値を0に初期化する。
次に、ステップS302において、ログ分析手段18は、挙動パターンデータベース20から、挙動パターンを1つ読み込む。
図10は、挙動パターンデータベース20のデータ構造31を示す図である。
図10の1行目は、挙動パターンを示すカラム名を表している。2行目以降、挙動パターンの一覧が格納されている。なお、挙動パターンは、図10に記載のものだけに限らず、ユーザが独自に定義して登録及び削除することもできる。
図10は、挙動パターンデータベース20のデータ構造31を示す図である。
図10の1行目は、挙動パターンを示すカラム名を表している。2行目以降、挙動パターンの一覧が格納されている。なお、挙動パターンは、図10に記載のものだけに限らず、ユーザが独自に定義して登録及び削除することもできる。
次に、ステップS303において、ログ分析手段18は、挙動パターンの読み込みに成功した場合、Yesの分岐に進み、ステップS304の処理を行なう。
次に、ステップS304において、ログ分析手段18は、アクセス制御のログから、おとりにアクセスしたユーザ及び端末を特定し、その情報を基に、ログデータベース19を検索する。
次に、ステップS305において、ログ分析手段18は、ログデータベース19を検索した結果、S302で読み込んだ挙動パターンと一致する事象が発生していた場合、Yesの分岐に進み、ステップS306において、カウンタXに1を加算し、ステップS302の処理に戻る。
次に、ステップS304において、ログ分析手段18は、アクセス制御のログから、おとりにアクセスしたユーザ及び端末を特定し、その情報を基に、ログデータベース19を検索する。
次に、ステップS305において、ログ分析手段18は、ログデータベース19を検索した結果、S302で読み込んだ挙動パターンと一致する事象が発生していた場合、Yesの分岐に進み、ステップS306において、カウンタXに1を加算し、ステップS302の処理に戻る。
また、ステップS305において、挙動パターンに一致する事象が検出されなかった場合にも、ステップS302の処理に戻る。
以上のようにして、ステップS302からステップS306の処理を繰り返し、ステップS303で挙動パターンの読み込みに失敗した場合は、挙動パターンデータベース20の全ての項目について処理が完了したものと判断し、Noの分岐に進んで、ステップS307の処理を行なう。
次に、ステップS307において、ログ分析手段18は、その時のカウンタXの値と予め与えられている閾値とを比較し、カウンタXが閾値以上だった場合は、Yesの分岐に進み、ステップS307において、挙動パターンへの一致度としておとりへのアクセス頻度(カウンタX)が多いため標的型攻撃発生と判断して、処理を終了する。
また、カウンタXの値が閾値未満だった場合は、そのまま処理を終了する。この場合、発生したおとりへのアクセスは、正規のユーザによる操作ミスや設定ミスなど無害なものであったと判断される。
また、カウンタXの値が閾値未満だった場合は、そのまま処理を終了する。この場合、発生したおとりへのアクセスは、正規のユーザによる操作ミスや設定ミスなど無害なものであったと判断される。
以上のように、おとりへのアクセスの有無により、組織内部のネットワークへ攻撃者が侵入した疑いのある事象を検出し、おとりへアクセスしたユーザ及び端末に関する挙動パターンから判別するようにしているので、標的型攻撃によって攻撃者が組織内部のネットワークへ侵入していることを検知することができるようになるという効果がある。
更に、おとりへのアクセス頻度に基づいて標的型攻撃発生を判断することにより、おとりへのアクセスが、攻撃者によるものか、正規のユーザが誤ってアクセスしてしまったものであるのかを、適切に判定できるようになるという効果がある。
実施の形態2.
実施の形態1では、おとりへのアクセス頻度に基づいて標的型攻撃発生を判断するようにしたが、挙動パターンへの一致度合いとしたおとりへのアクセス頻度に代えて、おとりに対して重要度を与え、この重要度を考慮して標的型攻撃発生を判断するようにしても良い。
実施の形態1では、おとりへのアクセス頻度に基づいて標的型攻撃発生を判断するようにしたが、挙動パターンへの一致度合いとしたおとりへのアクセス頻度に代えて、おとりに対して重要度を与え、この重要度を考慮して標的型攻撃発生を判断するようにしても良い。
図11は、おとりデータベース16のデータ構造30に重要度を付与した一例32を示す図である。
本実施の形態2では、おとりファイルに付与する重要度は、おとりファイルが含む情報の重要性に応じて、予め設定されているものとする。
本実施の形態2では、おとりファイルに付与する重要度は、おとりファイルが含む情報の重要性に応じて、予め設定されているものとする。
次に、図12を用いて本実施の形態2における(3)ログ分析による侵入検知の動作について説明する。
図12は、おとりファイルに付与された重要度を用いる場合の不正侵入検知装置1のログ分析手段18の動作を示すフローチャートである。
図12は、おとりファイルに付与された重要度を用いる場合の不正侵入検知装置1のログ分析手段18の動作を示すフローチャートである。
図12のステップS401からステップS405までの処理は、実施の形態1における図9のステップS301からステップS305までの処理と同様の処理であるため、説明を省略する。
次に、ステップS406において、ログ分析手段18は、アクセスされたおとりについて、おとりデータベース16中でおとりに付与されている重要度を参照し、カウンタXに重要度を加算して、ステップS402の処理に戻る。
次に、ステップS406において、ログ分析手段18は、アクセスされたおとりについて、おとりデータベース16中でおとりに付与されている重要度を参照し、カウンタXに重要度を加算して、ステップS402の処理に戻る。
次に、ステップS407において、ログ分析手段18は、その時のカウンタXの値と予め与えられている閾値とを比較し、カウンタXが閾値以上だった場合は、Yesの分岐に進み、ステップS408において、挙動パターンへの一致度として重要度の積算値(カウンタX)が高いため標的型攻撃発生と判断して、処理を終了する。
以上のように、おとりファイルに付与された重要度を利用して標的型攻撃発生を判断するようにしたことにより、重要な情報に対する標的型攻撃が発生したことを、より適切に判定できるようになるという効果がある。
なお、重要度は、おとりファイルに付与する場合の他に、挙動パターンデータベース20に格納された挙動パターン別に重要度を付与し、ステップS406において、検出された挙動パターンに付与された重要度をカウンタXに加算しても良い。
これにより、重要な挙動パターンに対する標的型攻撃が発生したことを、より適切に判定できるようになるという効果がある。
これにより、重要な挙動パターンに対する標的型攻撃が発生したことを、より適切に判定できるようになるという効果がある。
さらに、挙動パターンへの一致度としては、不審なWebサイトへのアクセス数(カウンタX)を利用しても良い。この場合、不審なWebサイトのリストをブラックリストとして記憶しておき、特定の端末のアクセス制御のログに含まれるアクセス先に不審なWebサイトが所定数以上含まれる場合に、挙動パターンへの一致度として不審なWebサイトへのアクセス数(カウンタX)が高いため標的型攻撃発生と判断する。
これにより、不審なWebサイトを利用する標的型攻撃が発生したことを、より適切に判定できるようになるという効果がある。
これにより、不審なWebサイトを利用する標的型攻撃が発生したことを、より適切に判定できるようになるという効果がある。
さらにまた、挙動パターンへの一致度としては、ユーザが受信するメールの中に不審なメールが含まれている頻度を利用しても良い。不審なメールであるか否かの判定は、例えば、ユーザが受信するメールの件名、本文、添付ファイル名などの文字情報に、「重要情報」、「重要なお知らせ」、「顧客リスト」などの特定のキーワードを含んでいる場合に不審なメールであると判定する。ログ分析手段18は、これらの特定のキーワードのリストを予め記憶しておき、挙動パターンと一致する事象を検出する処理の中で、特定のキーワードのリストを参照して、ユーザの受信メールの文字情報に含まれる特定のキーワードを抽出して、例えば、抽出した特定のキーワード数をカウンタXに加算して、標的型攻撃発生を判断する。
これにより、不審なメールを利用する標的型攻撃が発生したことを、より適切に判定できるようになるという効果がある。
これにより、不審なメールを利用する標的型攻撃が発生したことを、より適切に判定できるようになるという効果がある。
実施の形態3.
以上の実施の形態1では、ファイルサーバ2へおとりを作成する際に、ファイルサーバ2上のランダムに選択したフォルダへおとりデータベース16から選択したおとりを設置するようにしたものであるが、次に、おとりを作成する場合に、攻撃者にとっておとりをより分かりにくくする実施形態を示す。
以上の実施の形態1では、ファイルサーバ2へおとりを作成する際に、ファイルサーバ2上のランダムに選択したフォルダへおとりデータベース16から選択したおとりを設置するようにしたものであるが、次に、おとりを作成する場合に、攻撃者にとっておとりをより分かりにくくする実施形態を示す。
実施の形態1では、ファイルサーバ2上で任意に選択したフォルダへ、おとりデータベース16に登録されているフォルダやファイルをおとりとして作成していた。通常、ファイルサーバ2上のフォルダの中には、そのフォルダ名で関連付けられた類似のフォルダやファイルが格納される。例えば、「店舗一覧」という名前のフォルダには、「○○店」、「××店」といった類似した名前を持つフォルダやファイルが格納されている。このため、ファイルサーバ2上で任意に選択したフォルダ内に既に存在するフォルダやファイルと明らかに異なる名前のおとりを作成しても、攻撃者から見て、不審に感じられ、おとりであると見破られてしまう可能性が高まる。そこで、作成したおとりの名前を、おとりを作成する前に、フォルダ内に存在していたフォルダやファイルの名前を基に、類義語辞書を用いて得られた類義語を基に変更することを考える。
図13は、本発明の実施の形態2に係る不正侵入検知装置1の一実施例を示す構成図である。
図13では、図2の実施の形態1の構成に加え、類義語辞書33が新たに追加されている。その他の構成は、実施の形態1と同様であるため、説明を省略する。
図13では、図2の実施の形態1の構成に加え、類義語辞書33が新たに追加されている。その他の構成は、実施の形態1と同様であるため、説明を省略する。
実施の形態2のおとり作成登録手段14は、ランダムに選択したフォルダにおとりを作成する際に、類義語辞書33を参照して、作成しようとするフォルダやファイルの名前に含まれる単語を抽出し、この単語に対応付けられた類義語を検索し、得られた類義語を用いて、生成しようとしているフォルダやファイルの名前に含まれる単語を置換して、複数の別の名前のおとりフォルダやファイルを作成する。
以上のように、類義語辞書を使っておとりの名前に、おとりを作成するフォルダ内のその他のフォルダやファイルの名前と類似する名前をつけることによって、攻撃者は、おとりかどうかを見分けにくくなるため、侵入の検知率を向上させることができるようになる。
また、おとりファイルの名前だけを変更するのではなく、おとりファイルが内部に格納している文字情報、画像情報や数値データなどのコンテンツについても、おとりファイルの名前から類推できる代表的なコンテンツに変更するようにすることもできる。この場合は、おとり作成手段12は、単語に対応付けられた代表コンテンツを格納する代表コンテンツ記憶部を新たに設けておき、おとりファイルの名前に含まれる単語に対応する代表コンテンツを代表コンテンツ記憶部から取得し、おとりファイルが内部に格納しているコンテンツを代表コンテンツに変更する。
これにより、攻撃者に対して、おとりファイルがおとりかどうかをより見分けにくくすることができる。
これにより、攻撃者に対して、おとりファイルがおとりかどうかをより見分けにくくすることができる。
さらに、実際に攻撃者がアクセスしたと判定されたおとりファイルについて、アクセス履歴を保存しておき、アクセス履歴を利用して、攻撃者が標的にし易いおとりファイルを作成することもできる。
図14は、本発明の実施の形態2に係る不正侵入検知装置1において、アクセス履歴を利用しておとりファイルの名前を変更する一実施例を示す構成図である。
図14では、図2の実施の形態1の構成に加え、アクセス履歴34が新たに追加されている。その他の構成は、実施の形態1と同様であるため、説明を省略する。
図14では、図2の実施の形態1の構成に加え、アクセス履歴34が新たに追加されている。その他の構成は、実施の形態1と同様であるため、説明を省略する。
ログ分析手段18は、アクセス制御のログから、挙動パターンと一致する事象を検出した場合、検出されたおとりファイルへのアクセスがあったことをアクセス履歴34に記録する。
図15は、アクセス履歴34のデータ構造35を示す図である。
図15に示すように、アクセス履歴34には、おとりの属性(ファイル、またはフォルダ)、おとりの分類(個人、客先、仕様など)、及びおとりの基となる電子データ(おとりファイル)、及びアクセス頻度が項目として記録されている。
図15は、アクセス履歴34のデータ構造35を示す図である。
図15に示すように、アクセス履歴34には、おとりの属性(ファイル、またはフォルダ)、おとりの分類(個人、客先、仕様など)、及びおとりの基となる電子データ(おとりファイル)、及びアクセス頻度が項目として記録されている。
おとり作成登録手段14は、ランダムに選択したフォルダにおとりを作成する際に、アクセス履歴34を参照し、アクセス頻度が高いおとりファイルを優先的に作成するようにする。
これにより、実際に攻撃者が標的にし易いおとりファイルを作成することができ、侵入の検知率を向上させることができるようになる。
これにより、実際に攻撃者が標的にし易いおとりファイルを作成することができ、侵入の検知率を向上させることができるようになる。
1 不正侵入検知装置、2 ファイルサーバ、3 端末A、4 端末B、5 メールサーバ、6 認証サーバ、7 ネットワーク、8 攻撃者サーバ、9 インターネット、10 ファイアウォール、11 プロキシ、12 おとり生成手段、13 ログ収集分析手段、14 おとり作成登録手段、15 おとり情報データベース、16 おとりデータベース、17 ログ収集手段、18 ログ分析手段、19 ログデータベース、20 挙動パターンデータベース、21 データ記憶部、22〜24 フォルダ、25〜27 ファイル、28 ログのデータ格納形式、29 おとり情報データベース15のデータ構造、30 おとりデータベース16のデータ構造、31 挙動パターンデータベース20のデータ構造、32 おとりデータベース16のデータ構造30に重要度を付与した一例、33 類義語辞書、34 アクセス履歴。
Claims (12)
- ネットワーク経由でアクセス可能な機器におとりを生成するおとり生成手段と、
前記おとり生成手段により生成された前記おとりに対するアクセス制御のログを収集するログ収集手段と、
ネットワークに攻撃者が侵入した場合に観測されるアクセス制御の事象のパターンを示す挙動パターンを格納する挙動パターンデータベースと、
前記ログ収集手段により収集されたログに含まれる前記おとりに対するアクセス制御の事象のパターンと、前記挙動パターンデータベースに格納された前記挙動パターンとの一致度に基づいて攻撃者の侵入を検知するログ分析手段と
を備えた不正侵入検知装置。 - 前記ログ分析手段は、前記おとりに対するアクセス制御の事象のパターンと前記挙動パターンデータベースに格納された挙動パターンとが一致する頻度により攻撃者の侵入を検知する請求項1記載の不正侵入検知装置。
- 前記ログ分析手段は、前記おとりに対するアクセス制御の事象のパターンと前記挙動パターンデータベースに格納された挙動パターンとが一致する場合、前記おとりに付与された重要度により攻撃者の侵入を検知する請求項1記載の不正侵入検知装置。
- 前記ログ分析手段は、前記おとりに対するアクセス制御の事象のパターンと前記挙動パターンデータベースに格納された挙動パターンとが一致する場合、前記挙動パターンに付与された重要度により攻撃者の侵入を検知する請求項1記載の不正侵入検知装置。
- 前記ログ分析手段は、予め記憶されたWebサイトのリストを参照し、前記おとりに対するアクセス制御の事象に含まれる前記Webサイトの数により攻撃者の侵入を検知する請求項1記載の不正侵入検知装置。
- 前記ログ分析手段は、予め記憶された特定キーワードのリストを参照し、ユーザが受信したメールに含まれる前記特定キーワードを抽出することにより攻撃者の侵入を検知する請求項1記載の不正侵入検知装置。
- 前記ログ分析手段が攻撃者のアクセスを検知したおとりへのアクセス頻度を記憶するアクセス履歴を備え、
前記おとり生成手段は、前記アクセス履歴に記憶された前記アクセス頻度に基づいて前記おとりを生成する請求項1から請求項6のいずれかに記載の不正侵入検知装置。 - 単語に対応付けられた類義語を格納する類義語辞書を備え、
前記おとり生成手段は、前記おとりの名前に含まれる単語を、この単語に対応する前記類義語辞書に格納された前記類義語により置換した名前のおとりを生成する請求項1から請求項7のいずれかに記載の不正侵入検知装置。 - 単語に対応付けられた代表コンテンツを格納する代表コンテンツ記憶部を備え、
前記おとり生成手段は、前記おとりの名前に含まれる単語に対応する前記代表コンテンツを前記代表コンテンツ記憶部から取得し、前記おとり内部のコンテンツを前記代表コンテンツに変更する請求項1から請求項8のいずれかに記載の不正侵入検知装置。 - おとり生成手段が、ネットワーク経由でアクセス可能な機器におとりを生成するおとり生成ステップと、
ログ収集手段が、前記おとり生成手段により生成された前記おとりに対するアクセス制御のログを収集するログ収集ステップと、
挙動パターンデータベースが、ネットワークに攻撃者が侵入した場合に観測されるアクセス制御の事象のパターンを示す挙動パターンを格納する挙動パターンデータベース格納ステップと、
ログ分析手段が、前記ログ収集手段により収集されたログに含まれる前記おとりに対するアクセス制御の事象のパターンと、前記挙動パターンデータベースに格納された前記挙動パターンとの一致度に基づいて攻撃者の侵入を検知するログ分析ステップと
を備えた不正侵入検知方法。 - コンピュータを、
ネットワーク経由でアクセス可能な機器におとりを生成するおとり生成手段と、
前記おとり生成手段により生成された前記おとりに対するアクセス制御のログを収集するログ収集手段と、
ネットワークに攻撃者が侵入した場合に観測されるアクセス制御の事象のパターンを示す挙動パターンを格納する挙動パターンデータベースと、
前記ログ収集手段により収集されたログに含まれる前記おとりに対するアクセス制御の事象のパターンと、前記挙動パターンデータベースに格納された前記挙動パターンとの一致度に基づいて攻撃者の侵入を検知するログ分析手段として機能させるための不正侵入検知プログラム。 - コンピュータを、
ネットワーク経由でアクセス可能な機器におとりを生成するおとり生成手段と、
前記おとり生成手段により生成された前記おとりに対するアクセス制御のログを収集するログ収集手段と、
ネットワークに攻撃者が侵入した場合に観測されるアクセス制御の事象のパターンを示す挙動パターンを格納する挙動パターンデータベースと、
前記ログ収集手段により収集されたログに含まれる前記おとりに対するアクセス制御の事象のパターンと、前記挙動パターンデータベースに格納された前記挙動パターンとの一致度に基づいて攻撃者の侵入を検知するログ分析手段として機能させるための不正侵入検知プログラムを記録したコンピュータ読み取り可能な記録媒体。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012281989A JP2016033690A (ja) | 2012-12-26 | 2012-12-26 | 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 |
PCT/JP2013/006230 WO2014103115A1 (ja) | 2012-12-26 | 2013-10-22 | 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012281989A JP2016033690A (ja) | 2012-12-26 | 2012-12-26 | 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2016033690A true JP2016033690A (ja) | 2016-03-10 |
Family
ID=51020256
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012281989A Pending JP2016033690A (ja) | 2012-12-26 | 2012-12-26 | 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP2016033690A (ja) |
WO (1) | WO2014103115A1 (ja) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109074452A (zh) * | 2016-03-15 | 2018-12-21 | 赛门铁克公司 | 用于生成绊网文件的系统和方法 |
KR20190080446A (ko) * | 2017-12-28 | 2019-07-08 | 숭실대학교산학협력단 | 랜섬웨어 탐지 방법, 이를 수행하기 위한 기록매체 및 램섬웨어 탐지 시스템 |
JP2019220126A (ja) * | 2018-06-19 | 2019-12-26 | エーオー カスペルスキー ラボAO Kaspersky Lab | ユーザのコンピュータ装置への攻撃に対抗するシステムおよび方法 |
CN113572778A (zh) * | 2021-07-27 | 2021-10-29 | 北京卫达信息技术有限公司 | 检测非法侵入网络的方法 |
WO2024121951A1 (ja) * | 2022-12-06 | 2024-06-13 | 三菱電機株式会社 | 配置場所選定装置、配置場所選定方法、及び配置場所選定プログラム |
JP7499669B2 (ja) | 2020-10-05 | 2024-06-14 | 三菱電機株式会社 | 欺瞞システム、欺瞞方法および欺瞞プログラム |
WO2024171423A1 (ja) * | 2023-02-17 | 2024-08-22 | 三菱電機株式会社 | 情報処理装置、情報処理方法、及び情報処理プログラム |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6436171B2 (ja) * | 2014-09-19 | 2018-12-12 | 日本電気株式会社 | 情報生成装置、情報生成方法およびプログラム |
WO2016088351A1 (ja) | 2014-12-01 | 2016-06-09 | 日本電気株式会社 | ダミー情報挿入装置、ダミー情報挿入方法および記録媒体 |
JP2018041163A (ja) * | 2016-09-05 | 2018-03-15 | 富士通株式会社 | マルウエア検知プログラム、マルウエア検知装置及びマルウエア検知方法 |
CN113572776A (zh) * | 2021-07-27 | 2021-10-29 | 北京卫达信息技术有限公司 | 非法侵入检测装置及方法 |
JP7361997B1 (ja) * | 2022-12-06 | 2023-10-16 | 三菱電機株式会社 | 配置場所選定装置、配置場所選定方法、及び配置場所選定プログラム |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4309102B2 (ja) * | 2002-07-16 | 2009-08-05 | Necネクサソリューションズ株式会社 | 不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラム |
JP4196989B2 (ja) * | 2003-03-17 | 2008-12-17 | セイコーエプソン株式会社 | ウィルスの感染を阻止する方法およびシステム |
JP2005316779A (ja) * | 2004-04-28 | 2005-11-10 | Intelligent Cosmos Research Institute | 不正アクセス検出装置ならびに検知ルール生成装置、検知ルール生成方法および検知ルール生成プログラム |
JP5456462B2 (ja) * | 2007-04-18 | 2014-03-26 | 株式会社日立ソリューションズ | 電子メールのフィルタリング手段を備えた機器 |
US8458179B2 (en) * | 2007-11-29 | 2013-06-04 | Palo Alto Research Center Incorporated | Augmenting privacy policies with inference detection |
US8621635B2 (en) * | 2008-08-18 | 2013-12-31 | Microsoft Corporation | Web page privacy risk detection |
JP2012216083A (ja) * | 2011-03-31 | 2012-11-08 | Nifty Corp | 文書作成装置、文書作成プログラム、文書作成方法及び文書作成装置を用いた漏洩元特定システム |
-
2012
- 2012-12-26 JP JP2012281989A patent/JP2016033690A/ja active Pending
-
2013
- 2013-10-22 WO PCT/JP2013/006230 patent/WO2014103115A1/ja active Application Filing
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109074452A (zh) * | 2016-03-15 | 2018-12-21 | 赛门铁克公司 | 用于生成绊网文件的系统和方法 |
CN109074452B (zh) * | 2016-03-15 | 2021-12-03 | 诺顿卫复客公司 | 用于生成绊网文件的系统和方法 |
KR20190080446A (ko) * | 2017-12-28 | 2019-07-08 | 숭실대학교산학협력단 | 랜섬웨어 탐지 방법, 이를 수행하기 위한 기록매체 및 램섬웨어 탐지 시스템 |
KR102000369B1 (ko) | 2017-12-28 | 2019-07-15 | 숭실대학교산학협력단 | 랜섬웨어 탐지 방법, 이를 수행하기 위한 기록매체 및 램섬웨어 탐지 시스템 |
JP2019220126A (ja) * | 2018-06-19 | 2019-12-26 | エーオー カスペルスキー ラボAO Kaspersky Lab | ユーザのコンピュータ装置への攻撃に対抗するシステムおよび方法 |
JP7499669B2 (ja) | 2020-10-05 | 2024-06-14 | 三菱電機株式会社 | 欺瞞システム、欺瞞方法および欺瞞プログラム |
CN113572778A (zh) * | 2021-07-27 | 2021-10-29 | 北京卫达信息技术有限公司 | 检测非法侵入网络的方法 |
WO2024121951A1 (ja) * | 2022-12-06 | 2024-06-13 | 三菱電機株式会社 | 配置場所選定装置、配置場所選定方法、及び配置場所選定プログラム |
WO2024171423A1 (ja) * | 2023-02-17 | 2024-08-22 | 三菱電機株式会社 | 情報処理装置、情報処理方法、及び情報処理プログラム |
Also Published As
Publication number | Publication date |
---|---|
WO2014103115A1 (ja) | 2014-07-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2014103115A1 (ja) | 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 | |
Niakanlahiji et al. | Phishmon: A machine learning framework for detecting phishing webpages | |
US9311476B2 (en) | Methods, systems, and media for masquerade attack detection by monitoring computer user behavior | |
US10505986B1 (en) | Sensor based rules for responding to malicious activity | |
CN103368957B (zh) | 对网页访问行为进行处理的方法及系统、客户端、服务器 | |
CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
JP5144488B2 (ja) | 情報処理システムおよびプログラム | |
US11960604B2 (en) | Online assets continuous monitoring and protection | |
JP6717206B2 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム | |
CN101971591A (zh) | 分析网址的系统及方法 | |
CN108768989A (zh) | 一种采用拟态技术的apt攻击防御方法、系统 | |
JP4823813B2 (ja) | 異常検知装置、異常検知プログラム、および記録媒体 | |
JP2009223375A (ja) | 悪性Webサイト判定装置、悪性Webサイト判定システム、それらの方法、プログラム | |
WO2020022456A1 (ja) | 情報処理装置、情報処理方法、及び情報処理プログラム | |
US9239907B1 (en) | Techniques for identifying misleading applications | |
JPWO2015097889A1 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
CN115001724B (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 | |
JP2010182020A (ja) | 不正検知装置およびプログラム | |
CN113572776A (zh) | 非法侵入检测装置及方法 | |
Kergl et al. | Detection of zero day exploits using real-time social media streams | |
US11770388B1 (en) | Network infrastructure detection | |
Bo et al. | Tom: A threat operating model for early warning of cyber security threats | |
Sykosch et al. | Hunting observable objects for indication of compromise | |
US12079335B2 (en) | System context database management | |
CN113572778A (zh) | 检测非法侵入网络的方法 |