JP2016122273A - アラート発信方法、プログラム、及び装置 - Google Patents

アラート発信方法、プログラム、及び装置 Download PDF

Info

Publication number
JP2016122273A
JP2016122273A JP2014260785A JP2014260785A JP2016122273A JP 2016122273 A JP2016122273 A JP 2016122273A JP 2014260785 A JP2014260785 A JP 2014260785A JP 2014260785 A JP2014260785 A JP 2014260785A JP 2016122273 A JP2016122273 A JP 2016122273A
Authority
JP
Japan
Prior art keywords
user
action log
terminal
users
report
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2014260785A
Other languages
English (en)
Inventor
芽生恵 牛田
Mebae Ushida
芽生恵 牛田
片山 佳則
Yoshinori Katayama
佳則 片山
剛陽 寺田
Takeaki Terada
剛陽 寺田
津田 宏
Hiroshi Tsuda
宏 津田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2014260785A priority Critical patent/JP2016122273A/ja
Priority to EP15201574.9A priority patent/EP3038005A1/en
Priority to US14/977,311 priority patent/US20160191553A1/en
Publication of JP2016122273A publication Critical patent/JP2016122273A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user

Abstract

【課題】サイバー攻撃を知らせるユーザを適切に判断して迅速に警告を発信する。
【解決手段】複数の端末3から各ユーザの行動ログを収集し、前記行動ログの類似性が高いユーザ同士をグループ化し、前記端末3aからサイバー攻撃の報告8aを受信すると、該報告8aで示されるユーザ(ユーザA)と同一グループに属する他のユーザ(ユーザB、ユーザX)の端末に警告8bを発信する処理をコンピュータ100が行う。
【選択図】図2

Description

本発明は、アラート発信方法、プログラム、及び装置に関する。
近年、ある特定の企業や職種につく人物を狙った、特殊なサイバー攻撃、いわゆる標的型攻撃が激化している。ネットワークシステムのコンピュータウイルスに対する耐性を強化する取り組みが行われている。
例えば、中継するフレームにウイルスを検出すると、ウイルス入りフレームの送り元とその宛先に対して、ウイルス検出警告メッセージを送信してウイルス検出の通知を行う技術等が知られている。
特開平9−269930号公報 特許第5385253号公報
ネットワークシステムに対する標的型攻撃において、サイバー攻撃の被害に合う人物は、業務内容や性格などに特徴があるのではないかと予想される。例えば、攻撃者は、特定の業務内容に従事している社員(営業、公報業務など)をターゲットにしたり、特定のWebサイトに水飲み場攻撃をしかけるなどの戦略をもっている場合がある。
この場合は、標的型攻撃のターゲットになるユーザに特徴がでる。また、攻撃は不特定多数の人に行われ、注意力が散漫など、特定の人物だけが攻撃にひっかかる場合がある。このように、標的型攻撃の被害にあうユーザに特徴がでる可能性がある。
しかしながら、上述した技術では、検出したウイルス入りフレームの宛先の人物と類似する特徴をもつ他の人物への被害を未然に防止する仕組みがないため、標的型のサイバー攻撃を完全に防ぐことは難しく、サイバー攻撃を未然に防ぐだけでなく、サイバー攻撃を受けてしまった場合に、同様の被害が起こらないように事後の対応を行うことができない。
したがって、1つの側面では、本発明は、サイバー攻撃を知らせるユーザを適切に判断して警告を発信することを目的とする。
一態様によれば、複数の端末から各ユーザの行動ログを収集し、前記行動ログの類似性が高いユーザ同士をグループ化し、前記端末対するサイバー攻撃の報告を受信すると、該報告で示されるユーザと同一グループに属する他のユーザの端末に警告を発信する処理をコンピュータが行うアラート発信方法が提供される。
また、上記課題を解決するための手段として、上記方法を行う装置、コンピュータに上記処理を実行させるためのプログラム、及び、そのプログラムを記憶した記憶媒体とすることもできる。
サイバー攻撃を知らせるユーザを適切に判断して警告を発信することができる。
通常時の動作例を示す図である。 サイバー攻撃を受けた際の動作例を示す図である。 アラート発信装置のハードウェア構成を示す図である。 端末のハードウェア構成を示す図である。 アラート発信装置の機能構成例を示す図である。 端末の機能構成例を示す図である。 通常運用例を説明するための図である。 サイバー攻撃を受けた際の運用例を説明するための図である。 実施例1における行動ログDBのデータ例を示す図である。 実施例1における行動ログ分析処理の第一の例を説明するためのフローチャート図である。 実施例1における行動ログ分析処理の第二の例を説明するためのフローチャート図である。 実施例1における類似度判定結果テーブルのデータ例を示す図である。 実施例2における行動ログDBのデータ例を示す図である。 実施例2における行動ログ分析処理の第一の例を説明するためのフローチャート図である。 実施例2における行動ログ分析処理の第二の例を説明するためのフローチャート図である。 実施例1又は実施例2における行動ログの他の例を示す図である。 実施例3における行動ログDBのデータ例を示す図である。 実施例3における行動ログ分析処理を説明するためのフローチャート図である。 階層的クラスタリングの結果例を示す図である。 実施例3における類似度判定結果テーブルのデータ例を示す図である。 実施例4における通常時の動作例を示す図である。 実施例4におけるサイバー攻撃を受けた際の動作例を示す図である。
以下、本発明の実施の形態を図面に基づいて説明する。先ず、サイバー攻撃を受けたユーザが、通常、行う対策について考察する。サイバー攻撃による被害が発生した場合、通常、以下のような対策が行われる場合が多い。
(対策1)
あるユーザがサイバー攻撃を受けた際、その被害報告を他のユーザに発信し警告することで、更なる被害が発生することを予防する。
(対策2)
企業等の組織において、サイバー攻撃を受けたユーザは、上長に被害を報告する。
上述したような対策には、以下の課題がある。
(対策1の課題)
すべての被害報告をすべてのユーザに即座に配信することは、情報の配信コストや、ユーザが情報を逐一確認するためのコストを考慮すると望ましくない。また、ユーザによる誤解などで、誤った情報が流れる可能性もある。
しかし、情報システム管理者などによって被害内容の精査後、関連するユーザを選択し警告をしていたのでは、迅速な対応ができず、さらなる被害の発生を予防することは難しい。
(対策2の課題)
上長が被害報告をされても、真に必要なユーザに迅速な情報共有、警告等を行えない可能性がある。
従って、本実施形態では、あるユーザがサイバー攻撃の被害に合ったときに、適切な他のユーザにのみ、直ちに警告を送信する仕組みを提供する。
本実施形態に係るシステムについて図1及び図2で説明する。図1は、通常時の動作例を示す図である。図1に示すシステム1000は、アラート発信装置100と、複数の端末3とを有する。アラート発信装置100は、ネットワーク2を介して複数の端末3に接続される。
図1において、システム1000は企業内に構築され、アラート発信装置100に接続される複数の端末3は、1又は2以上の部門の夫々に属するユーザによって利用される。
例えば、部門は、営業部4、技術部5等である。営業部4には、ユーザA、ユーザB、ユーザC等が所属している。また、技術部5には、ユーザX、ユーザY、ユーザZ等が所属している。複数の端末3は、ユーザAの端末3a、ユーザBの端末3b、ユーザCの端末3c、ユーザXの端末3x、ユーザYの端末3y、及びユーザZの端末3zを含む。
アラート発信装置100は、通常運用時には、各端末3から行動ログ7を収集して、蓄積されたログに基づいて、標的型のサイバー攻撃に備え、ユーザの行動特性を解析する。各端末3は、ユーザの操作に応じて、操作に係るログを行動ログ7としてアラート発信装置100へ送信する。
行動ログ7は、例えば、ユーザが送信メールの宛先、ユーザがアクセスしたWeb閲覧先、受信メールに対するユーザの操作を示す行動特性等を示す。本実施例では、インターネットの利用に関連する操作を示す情報が、行動ログ7としてアラート発信装置100に収集される。
アラート発信装置100は、収集した行動ログ7を分析して、ユーザ毎に、サイバー攻撃の被害に合った場合に報告する他ユーザとの対応付けを管理する。アラート発信装置100は、分析の結果、例えば、
ユーザAが被害にあった場合、ユーザBとユーザXとに報告する(第1対応策)
ユーザBが被害にあった場合、ユーザAとユーザZとに報告する(第2対応策)
等の対応を行うためのリストを作成する。
この例では、第1対応策では、営業部4に所属するユーザAが被害にあった場合、同じ営業部4に所属するユーザBと、異なる所属部門の技術部5に所属するユーザXが、警告対象となるユーザであることを示している。
また、第2対応策では、営業部4に所属するユーザBが被害にあった場合、同じ営業部4に所属するユーザAと、異なる所属部門の技術部5に所属するユーザZが、警告対象となるユーザであることを示している。
本実施形態では、サイバー攻撃の被害に合ったユーザの所属部門内の他のユーザを警告対象のユーザとして、必ずしも認識しない。他部門との連携を行う業務に関わるユーザである場合、同一部門内にサイバー攻撃に対する予防を周知するよりも、業務上関連の強い他部門のユーザに即時に報告することで、サイバー攻撃の被害があった場合に適切なユーザに絞って迅速に周知させることができ、従って、被害を最小限にすることができる。
図2は、サイバー攻撃を受けた際の動作例を示す図である。図2において、ユーザAが利用する端末3でサイバー攻撃を受けると、ユーザAの端末3は、端末3のウィルスチェック機能によるウィルス検出に応じて、被害報告8aをアラート発信装置100へ送信する。
アラート発信装置100は、上述したような複数の対応策から、被害報告8aの送信元に基づいて、警告8bを行う警告対象を特定して、特定した警告対象へサイバー攻撃を受ける可能性がある旨の警告8bを行う。
図2の例では、ユーザAがサイバー攻撃6を受けた場合のアラート発信装置100の動作例が示されている。アラート発信装置100は、被害報告8aを受けると、被害報告8aの送信元からユーザAを特定する。
アラート発信装置100は、特定した送信元に基づく対応策で指定される警告対象に警告8bを行う。警告8bは、アラート発信装置100から電子メール(以下、単に「メール」という)で、警告対象となるユーザ宛てに通知されてもよい。或いは、警告8bは、警告対象のユーザが利用する端末3に通知され、端末3が通知に応じて警告8bを表示するようにしてもよい。
上述したような、アラート発信装置100は、図3に示すようなハードウェア構成を有する。図3は、アラート発信装置のハードウェア構成を示す図である。図3において、アラート発信装置100は、コンピュータによって制御されるサーバ装置であって、CPU(Central Processing Unit)11aと、主記憶装置12aと、補助記憶装置13aと、入力装置14aと、表示装置15aと、通信I/F(インターフェース)17aと、ドライブ装置18aとを有し、バスB1に接続される。
CPU11aは、主記憶装置12aに格納されたプログラムに従ってアラート発信装置100を制御する。主記憶装置12aには、RAM(Random Access Memory)、ROM(Read Only Memory)等が用いられ、CPU11aにて実行されるプログラム、CPU11aでの処理に必要なデータ、CPU11aでの処理にて得られたデータ等を記憶又は一時保存する。
補助記憶装置13aには、HDD(Hard Disk Drive)等が用いられ、各種処理を実行するためのプログラム等のデータを格納する。補助記憶装置13aに格納されているプログラムの一部が主記憶装置12aにロードされ、CPU11aに実行されることによって、各種処理が実現される。
入力装置14aは、マウス、キーボード等を有し、管理者がアラート発信装置100による処理に必要な各種情報を入力するために用いられる。表示装置15aは、CPU11aの制御のもとに必要な各種情報を表示する。通信I/F17aは、有線又は無線などのネットワーク2を通じて通信を行う。通信I/F17aによる通信は無線又は有線に限定されるものではない。
アラート発信装置100によって行われる処理を実現するプログラムは、例えば、CD−ROM(Compact Disc Read-Only Memory)等の記憶媒体19によってアラート発信装置100に提供される。
ドライブ装置18aは、ドライブ装置18aにセットされた記憶媒体19a(例えば、CD−ROM等)とアラート発信装置100とのインターフェースを行う。
また、記憶媒体19aに、後述される本実施の形態に係る種々の処理を実現するプログラムを格納し、この記憶媒体19aに格納されたプログラムは、ドライブ装置18aを介してアラート発信装置100にインストールされる。インストールされたプログラムは、アラート発信装置100により実行可能となる。
尚、プログラムを格納する記憶媒体19aはCD−ROMに限定されず、コンピュータが読み取り可能な、構造(structure)を有する1つ以上の非一時的(non-transitory)な、有形(tangible)な媒体であればよい。コンピュータ読取可能な記憶媒体として、CD−ROMの他に、DVDディスク、USBメモリ等の可搬型記録媒体、フラッシュメモリ等の半導体メモリであっても良い。
また、プログラムは、外部提供サーバから通信I/F17aを介してダウンロードしインストールされてもよい。インストールされたプログラムは、補助記憶装置13aに格納される。
端末3は、図4に示すようなハードウェア構成を有する。図4は、端末のハードウェア構成を示す図である。図4において、端末3は、コンピュータによって制御されるノートブック型、ラップトップ型、タブレット型等の情報処理端末であって、CPU(Central Processing Unit)11bと、主記憶装置12bと、ユーザI/F(インターフェース)16bと、通信I/F17bと、ドライブ装置18bとを有し、バスB2に接続される。
CPU11bは、主記憶装置12bに格納されたプログラムに従って端末3を制御する。主記憶装置12bには、RAM(Random Access Memory)、ROM(Read Only Memory)等が用いられ、CPU11bにて実行されるプログラム、CPU11bでの処理に必要なデータ、CPU11bでの処理にて得られたデータ等を記憶又は一時保存する。主記憶装置12bに格納されているプログラムが、CPU11bに実行されることによって、各種処理が実現される。
ユーザI/F16bは、CPU11bの制御のもとに必要な各種情報を表示し、また、ユーザによる操作入力を可能とするタッチパネル等である。通信I/F17bによる通信は無線又は有線に限定されるものではない。ドライブ装置18bは、ドライブ装置18bにセットされた記憶媒体19b(例えば、SD(Secure Digital)メモリカード等)と端末3とのインターフェースを行う。
端末3によって行われる処理を実現するプログラムは、ネットワーク2等を介して、外部装置からダウンロードされる。又は、予め端末3の主記憶装置12bに記憶されていても良い。或いは、SDメモリカード等の記憶媒体19bからインストールされてもよい。
端末3は、デスクトップ型等の情報処理端末であっても良く、そのハードウェア構成は、図3のハードウェア構成と同様であるので、その説明を省略する。
図5は、アラート発信装置の機能構成例を示す図である。図5において、アラート発信装置100は、行動ログ収集部41と、行動ログ分析部42と、被害受信部43と、警告配信部44とを有する。補助記憶装置13aは、行動ログDB46、類似度判定結果テーブル47等を記憶する。
行動ログ収集部41は、各端末3から行動ログ7を受信し、行動ログDB46に蓄積する。行動ログ分析部42は、行動ログDB46を用いて、ユーザ間の特性の類似度を判定し、類似度判定結果テーブル47を作成し、補助記憶装置13aに記憶する。類似度判定結果テーブル47は、所定間隔で更新されるようにする。
被害受信部43は、端末3から被害報告8aを受信すると、警告配信部44に被害報告8aを通知する。警告配信部44は、類似度判定結果テーブル47を参照し、被害報告8aによって示されるユーザがサイバー攻撃を受けた場合の警告対象を取得して、警告8bを通知する。
図6は、端末の機能構成例を示す図である。図6において、端末3は、行動ログ抽出部31と、被害報告部32と、警告受信部33とを有する。補助記憶装置13bの一部が、行動ログ記憶部37として利用される。行動ログ記憶部37は、行動ログ7を一時的に蓄積する。
行動ログ抽出部31は、ユーザI/F16bの操作イベント、操作イベントに起因して発生した所定アプリケーションの動作イベント等に応じてログを作成し、作成したログのうち、本実施例において対象となる行動ログ7を抽出して、行動ログ記憶部37に記憶する。
行動ログ7は、ユーザ間の特性の類似度を判断するための情報を含む。行動ログ7の詳細は、実施例1、実施例2、及び実施例3において後述される。
被害報告部32は、端末3がサイバー攻撃の被害に合った場合、アラート発信装置100に被害報告8aを行う。被害報告8aは、被害のあった端末3のユーザ名を含む。ユーザ名は、ユーザIDを示す場合を含む。警告受信部33は、アラート発信装置100から警告8bを受けた場合、ユーザI/F16bに警告8bを表示し、ユーザに通知する。
次に、システム1000における運用例について図7及び図8で説明する。図7は、通常運用例を説明するための図である。図7において、通常運用時には、端末3a及び3bを含む夫々の端末3から行動ログ7が定期的に送信される。
端末3aにおいて、行動ログ抽出部31は、ユーザI/F16bの操作イベント、操作イベントに起因して発生した所定アプリケーションの動作イベント等に応じて作成したログから行動ログ7を抽出して、行動ログ記憶部37に記憶する。
端末3aの行動ログ抽出部31は、行動ログ記憶部37に記憶された行動ログ7を、定期的にアラート発信装置100へ送信する。
一方、端末3bにおいても、同様に、行動ログ抽出部31は、ユーザI/F16bの操作イベント、操作イベントに起因して発生した所定アプリケーションの動作イベント等に応じて作成したログから行動ログ7を抽出して、行動ログ記憶部37に記憶する。
端末3bの行動ログ抽出部31は、行動ログ記憶部37に記憶された行動ログ7を、定期的にアラート発信装置100へ送信する。
他の端末3においても、上記同様に行動ログ7を定期的にアラート発信装置100へ送信する。
アラート発信装置100では、端末3a及び3bを含む複数の端末3から行動ログ7を受信し、行動ログ分析部41は、複数の端末3の行動ログ7を用いて、ユーザ間の特性の類似度を分析する。類似度判定結果テーブル47が作成される。行動ログ分析部41は、定期的に、類似度判定結果テーブル47を更新する。
図8は、サイバー攻撃を受けた際の運用例を説明するための図である。図8において、ユーザAの端末3aがサイバー攻撃を受けると、被害にあったユーザ名をアラート発信装置100に送信する。
本実施形態では、被害の検知方法を限定しない。ユーザ自身が被害にあったと判断した又はその可能性があると判断した場合に、被害報告8aを送信してもよい。或いは、被害報告部32が、端末3aで動作するウイルスチェック機能を有するソフトウェア等がマルウェアを検知した際に自動的に、アラート発信装置100に被害報告8aを送信してもよい。
アラート発信装置100では、被害受信部42が、端末3aからの被害報告8aを受信すると、被害報告8aからユーザ名を取得し、警告配信部44に通知する。この例では、被害報告8aから、ユーザAのユーザ名が取得され、警告配信部44に通知される。
警告配信部44は、被害受信部42から通知されたユーザ名に係る類似度判定結果を、類似度判定結果テーブル47から取得して、取得した類似度判定結果で示される特性が類似すると判定された他のユーザに警告8bを送信する。
この例では、ユーザAに係る類似度判定結果により少なくともユーザBが示されていたとする。警告配信部44は、ユーザBを宛先とした警告8bを送信する。
端末3bでは、警告受信部44がアラート発信装置100の警告配信部44から警告8bを受信すると、ユーザI/F16bに警告8bの通知を表示する。
このように、被害を受けた各人が通知する対象者を判断する必要がなく、速やかに被害を受けた関係者等に警告8bを通知することができる。
次に、本実施形態を適用した種々の実施例について説明する。
・実施例1
メールの宛先を行動ログ7として収集し、相手先に基づいて、ユーザ間の類似度を判断する。2人のユーザが類似しているか否かはJaccard係数を用いて判定する。Jaccard係数は、0又は1を取る2つのn次元ベクトルの類似度を算出する指標の一つであり、2つのベクトルA、Bに対して、以下のように計算する。
Figure 2016122273
すべてのメールの宛先の夫々に対して、ユーザ毎に、メールを送信した場合は1、そうでない場合は0を示すベクトルを作成し、このベクトルに基づいて、Jaccard係数を計算し、Jaccard係数が与えられた閾値以下のユーザ同士を類似度の高いユーザ同士と判断する。Jaccaard係数を計算するために、実際には、取りうるすべてのメールの宛先を取得する必要はない。
・実施例2
閲覧したWebサイトのURL(Uniform Resource Locator)を行動ログ7として収取し、ユーザ間の類似度を判断する。2人のユーザが類似しているか否かは、実施例2と同様にJaccard係数を用いて判定できる。
この場合、すべてのWeb閲覧先の夫々に対して、ユーザ毎に、Webをアクセスした場合は1、そうでない場合は0を示すベクトルを作成し、このベクトルに基づいて、Jaccard係数を計算し、Jaccard係数が与えられた閾値以下のユーザ同士を類似度の高いユーザ同士と判断する。Jaccaard係数を計算するために、実際には、取りうるすべてのWeb閲覧先を取得する必要はない。
・実施例3
行動特性(n次元ベクトル)を行動ログ7として収集し、ユーザ間の類似度を判断する。行動特性は、打鍵記録などから判断してもよい。また、行動特性の判断は、各端末3で判断してもよいし、打鍵記録などのPC操作ログを行動ログ7として、アラート発信装置100に送信し、アラート発信装置100で行動特性を作成してもよい。
先ず、実施例1について説明する。図9は、実施例1における行動ログDBのデータ例を示す図である。図9に示す行動ログDB46−1では、ユーザ毎に、送信メールの宛先が行動ログ7として一覧で示される。
図9の例では、行動ログDB46−1において、ユーザAの送信メールの宛先が、「neko@jp.housewife.co.jp」、「sasaki@pmail.com」等のように一覧で示される。他のユーザについても同様である。
次に、実施例1における行動ログ分析部42による行動ログ分析処理について説明する。図10は、実施例1における行動ログ分析処理の第一の例を説明するためのフローチャート図である。図10において、行動ログ分析部42は、全てのユーザの行動ログ7を含む行動ログDB46−1と、閾値tとを読み込む(ステップS10)。
閾値tは、類似していると判定するための基準値を示す。類似度は、1に近い値程、類似していることを示し、0に近い程、類似していないことを示す。閾値tは、例えば、0.95等の値を示す。また、閾値tは、管理者等によって必要に応じて変更可能であってもよい。
行動ログDB46−1で管理される全てのユーザに対して、ステップS12からS22までの処理を行う(ステップS11)。行動ログ分析部42は、行動ログDB46−1から順にユーザ名を1つ取得して、ユーザAとする(ステップS12)。
そして、行動ログ分析部42は、ユーザAに対して、ユーザAを除く全てのユーザに対して、ステップS14からS21までの処理を行う(ステップS13)。行動ログ分析部42は、行動ログDB46−1から順にユーザA以外のユーザ名を1つ取得して、ユーザBとする(ステップS14)。
行動ログ分析部42は、行動ログDB46−1を参照して、ユーザAが送信メールの宛先の総数nを取得し(ステップS15)、同様にして、ユーザBが送信メールの宛先の総数nを取得する(ステップS16)。更に、ユーザAとユーザBとに共通する送信メールの宛先の総数nABを取得する(ステップS17)。
そして、行動ログ分析部42は、判定指数iを求める(ステップS18)。判定指数iは、ユーザAとユーザBとの類似度を表すJaccaard係数として、上述した数1で算出される。
行動ログ分析部42は、判定指数iが閾値tより大きいか否かを判断する(ステップS19)。判定指数iが閾値t以下の場合、行動ログ分析部42は、ユーザBは、ユーザAとに類似度がないと判断し、次のユーザとの類似度を判断するためにステップS21を介してステップS13へと戻り、上述した同様の処理を繰り返す。
一方、判定指数iが閾値tより大きい場合、行動ログ分析部42は、類似度判定結果テーブル47−1(図12)の「被害対象」がユーザAであるレコードの「警告対象」にユーザBを追加して(ステップS21)、次のユーザとの類似度を判断するためにステップS21を介してステップS13へと戻り、上述した同様の処理を繰り返す。
ユーザA以外の全てのユーザに対して、類似度判定を行ったら、行動ログ分析部42は、ユーザAとする次のユーザ名を選択するため、ステップS22を介してステップS11へと戻り、上述同様の処理を繰り返す。そして、全てのユーザの組み合せに対して類似度を判定したら、行動ログ分析部42は、この行動ログ分析処理を終了する。
図11は、実施例1における行動ログ分析処理の第二の例を説明するためのフローチャート図である。行動ログ分析処理の第二の例では、ユーザAとユーザBとで共通する送信メールの宛先の総数nABが与えられた閾値tとの比較により、ユーザAとユーザBとの間で特性の類似度を判断する。
図11において、行動ログ分析部42は、全てのユーザの行動ログ7を含む行動ログDB46−1(図9)と、閾値tとを読み込む(ステップS30)。
閾値tは、類似していると判定するための基準値を示す。閾値tは、正の整数値を示す。また、閾値tは、管理者等によって必要に応じて変更可能であってもよい。
行動ログDB46−1で管理される全てのユーザに対して、ステップS22からS29までの処理を行う(ステップS31)。行動ログ分析部42は、行動ログDB46−1から順にユーザ名を1つ取得して、ユーザAとする(ステップS32)。
そして、行動ログ分析部42は、ユーザAに対して、ユーザAを除く全てのユーザに対して、ステップS14からS21までの処理を行う(ステップS33)。行動ログ分析部42は、行動ログDB46−1から順にユーザA以外のユーザ名を1つ取得して、ユーザBとする(ステップS34)。
行動ログ分析部42は、行動ログDB46−1を参照して、ユーザAとユーザBとに共通する送信メールの宛先の総数nABを取得して(ステップS35)、共通する送信メールの宛先の総数nABが閾値tより多いか否かを判断する(ステップS36)。
総数nABが閾値t以下の場合、行動ログ分析部42は、ユーザBは、ユーザAとに類似度がないと判断し、次のユーザとの類似度を判断するためにステップS38を介してステップS33へと戻り、上述した同様の処理を繰り返す。
一方、総数nABが閾値tより大きい場合、行動ログ分析部42は、類似度判定結果テーブル47−1(図12)の「被害対象」がユーザAであるレコードの「警告対象」にユーザBを追加して(ステップS37)、次のユーザとの類似度を判断するためにステップS38を介してステップS33へと戻り、上述した同様の処理を繰り返す。
ユーザA以外の全てのユーザに対して、類似度判定を行ったら、行動ログ分析部42は、ユーザAとする次のユーザ名を選択するため、ステップS39を介してステップS31へと戻り、上述同様の処理を繰り返す。そして、全てのユーザの組み合せに対して類似度を判定したら、行動ログ分析部42は、この行動ログ分析処理を終了する。
行動ログ分析処理の第一の例(図10)により、類似度判定結果テーブル47−1が図12のように作成される。また、行動ログ分析処理の第二の例(図11)においても、同様の類似度判定結果テーブル47−1が作成される。
図12は、実施例1における類似度判定結果テーブルのデータ例を示す図である。図12において、類似度判定結果テーブル47−1は、被害対象毎に警告対象を対応付けたテーブルであり、被害対象、警告対象等の項目を有する。
被害対象は、サイバー攻撃の被害を受けた側のユーザ名を示す。被害対象となるユーザ名は、端末3から受信した被害報告8aから取得される。警告対象は、被害対象と特性に関連性のあると判断したユーザ名を1つ以上示す。被害対象のユーザ名が被害報告8aで示された場合、警告対象で示される1以上のユーザ名に基づいて、警告8bを送信するユーザを特定することができる。
この例では、被害対象がユーザAのレコードにおいて、ユーザAに対応付けられる警告対象は、ユーザB及びユーザXであることが分かる。ユーザAがサイバー攻撃の被害を受けた場合、ユーザBとユーザXとに警告8bが送信される。他のユーザに対しても同様である。
次に、実施例2について説明する。図13は、実施例2における行動ログDBのデータ例を示す図である。図13に示す行動ログDB46−2では、ユーザ毎に、Web閲覧先のURLを行動ログ7として一覧で示されている。
図13の例では、行動ログDB46−2において、ユーザAのWeb閲覧先が「http://www.neko/housewife/index.html」、「http://www.sample/test/index.html」等のように一覧で示される。他のユーザについても同様である。
次に、実施例2における行動ログ分析部42による行動ログ分析処理について説明する。実施例1における行動ログ分析処理と略同様であるので、同様の処理には同一のステップ番号を付し、その説明を省略し、異なる部分のみ以下に説明する。
図14は、実施例2における行動ログ分析処理の第一の例を説明するためのフローチャート図である。図14において、図10と同様に、行動ログ分析部42は、ステップS10からS14までの処理を行う。
ユーザAに対するユーザBのユーザ名を取得すると、行動ログ分析部42は、行動ログDB46−1を参照して、ユーザAのWeb閲覧先の総数nを取得し(ステップS15−2)、同様にして、ユーザBのWeb閲覧先の総数nを取得する(ステップS16−2)。更に、ユーザAとユーザBの共通するWeb閲覧先の総数nABを取得する(ステップS17−2)。
そして、行動ログ分析部42は、判定指数iを求める(ステップS18)。判定指数iは、上述した数1で算出される。
行動ログ分析部42は、判定指数iと閾値tとの比較より、ユーザBが、ユーザAと類似度があるか否かを判断することで、類似度判定結果テーブル47−1(図12)を作成する(ステップS19〜S20)。
そして、全てのユーザの組み合せに対して類似度を判定したら、行動ログ分析部42は、この行動ログ分析処理を終了する。
図15は、実施例2における行動ログ分析処理の第二の例を説明するためのフローチャート図である。図15において、図11と同様に、行動ログ分析部42は、ステップS30からS34までの処理を行う。
ユーザAに対するユーザBのユーザ名を取得すると、行動ログ分析部42は、行動ログDB46−1を参照して、ユーザAとユーザBの共通するWeb閲覧先の総数nABを取得して(ステップS35−2)、共通するWeb閲覧先の総数nABが閾値tより多いか否かを判断する(ステップS36)。
行動ログ分析部42は、Web閲覧先の総数nABと閾値tとの比較より、ユーザBが、ユーザAと類似度があるか否かを判断することで、類似度判定結果テーブル47−1(図12)を作成する(ステップS37)。
そして、全てのユーザの組み合せに対して類似度を判定したら、行動ログ分析部42は、この行動ログ分析処理を終了する。
実施例1及び実施例2の変形例として、ユーザが送信メールの文面等を形態素解析し、抽出した固有名詞を行動ログ7としてもよい。図16は、実施例1又は実施例2における行動ログの他の例を示す図である。
図16に示す行動ログDB46aでは、ユーザ毎に、送信メールの宛先が行動ログ7として一覧で示される。図16の例では、行動ログDB46aにおいて、ユーザAの利用する固有名詞が、「○×商事」、「△□商品」等のように一覧で示される。他のユーザについても同様である。
また、図16に示すような行動ログDB46aを用いた場合、行動ログ分析部42による行動ログ分析処理は、実施例1又は実施例2と同様の処理となる。実施例1のフローチャート(図10及び図11)において、行動ログDB46−1の代わりに行動ログDB46aを読み込み、「送信メールの宛先」を「固有名詞」と置き換えるのみで同様の処理となる。又は、実施例2のフローチャート(図14及び図15)において、行動ログDB46−2の代わりに行動ログDB46aを読み込み、「Web閲覧先」を「固有名詞」と置き換えるのみで同様の処理となる。従って、その詳細な説明を省略する。
次に、実施例3について説明する。実施例3では、行動ログ7に、ユーザ名とそのユーザが端末3を利用して行った行動項目とを含めるようにする。行動項目には、送受信メール数/日、パッチ適用間隔(日)などを含めてもよい。各端末3において、メールの送受信の日時、パッチ適用の日時等のログデータを蓄積しておき、行動ログ抽出部31は、所定日数間隔で、ログデータから行動ログ7を作成して、アラート発信装置100に送信する。
先ず、実施例3における行動特性について説明する。図17は、実施例3における行動ログDBのデータ例を示す図である。図17において、行動ログDB46−3は、ユーザ毎に、端末3を利用して行った行動のログを記憶し、送受信メール数/日、パッチ適用間隔(日)等の項目を有する。
送受信メール数/日は、端末3において、直近の所定日数期間における1日当たりの送受信メール数の平均値を示す。パッチ適用間隔(日)は、端末3において、直近の所定日数期間におけるパッチ適用間隔の平均値を示す。
アラート発信装置100は、行動ログDB46−3を参照して、各ユーザの直近の行動ログ7を用いて、階層的クラスタリングのアルゴリズムにより、ユーザをグループ化してもよい。行動ログ7の各項目値を示すn次元ベクトルとして、行動ログ分析部42による行動ログ分析処理(図18)を行う。ここで、nは項目の総数に相当する。
アラート発信装置100は、また、ユーザ毎に、蓄積された行動ログ7を用いて、各項目値の平均値、標準偏差等を求めて、n次元ベクトルとしてもよい。
図18は、実施例3における行動ログ分析処理を説明するためのフローチャート図である。図18において、行動ログ分析部42は、行動ログDB46−3及び閾値tを読み込む(ステップS50)。
行動ログ分析部42は、階層的クラスタリングのアルゴリズムを利用して、行動ログ7に基づいて、ユーザをクラスタに分類する(ステップS51)。
そして、行動ログ分析部42は、クラスタ間の距離が閾値t以下の各クラスタを1つ1つのグループとした類似度判定結果テーブル47−3(図20)を作成する(ステップS52)。類似度判定結果テーブル47は、補助記憶装置13aに記憶される。その後、行動ログ分析部42は、この行動ログ分析処理を終了する。
図19は、階層的クラスタリングの結果例を示す図である。図19では、縦軸にユーザ間の距離を示して、行動ログDB46−3を用いたクラスタリングの結果例を示す。この例では、閾値tにおいて、まず、ユーザAは、距離dで最も近いユーザBと1つのクラスタに分類され、更に、次に近い距離はdのユーザXを含めて、ユーザA、B、及びXとが1つのクラスタに分類される。
一方、ユーザYは、距離dで最も近いユーザZと1つのクラスタに分類される。ユーザA、B、及びXを含むクラスタは、ユーザY及びZを含むクラスタとの距離が閾値tより通り距離dであるため、1つのクラスタに分類されない。同様に、ユーザCは、他ユーザとで1つのクラスタを形成する。
グループ化は、閾値tの距離以内で形成されるクラスタをグループとみなす。つまり、ユーザA、B、及びXを含むクラスタが1グループ、ユーザY及びZを含むクラスタが1グループ、少なくともユーザCを含むクラスタが1グループ等となる。
上述に基づいて、実施例3で作成される類似度判定結果テーブル47−3は、図20に示されるように作成される。図20は、実施例3における類似度判定結果テーブルのデータ例を示す図である。
図20において、類似度判定結果テーブル47−3は、グループID、グループメンバ等の項目を有し、同一グループ内に分類されたユーザを示す。グループIDは、グループを一意に識別するための情報を示す。グループメンバは、同一グループ内に分類されたユーザ名を示す。
この例では、少なくとも、グループ1には、ユーザA、ユーザB、及びユーザXが分類され、グループ2には、ユーザY及びユーザZが分類されていることが示される。
警告配信部44は、被害受信部43から受信したユーザ名を含むグループ内の他のユーザ名を取得して、警告8bを送信する。
次に、本実施形態において、更に、ユーザ毎の行動ログ7に基づく状況を、管理者等に可視化して提示する場合を、実施例4として図21及び図22で説明する。
図21は、実施例4における通常時の動作例を示す図である。図21に示すシステム1002では、アラート発信装置100は、行動ログ分析部42による行動ログ分析結果を管理者60の管理者端末61に表示する。行動ログ分析結果として、類似度判定結果テーブル47を少なくとも表示可能とする。
図22は、実施例4におけるサイバー攻撃を受けた際の動作例を示す図である。図22に示すシステム1002では、アラート発信装置100は、被害報告8aを受信すると、管理者60宛てに被害報告8aを必ず送信する。管理者60は、管理者端末61にて、被害報告8aを精査した後に、必要と判断したユーザに警告8bを送信してもよい。
又は、アラート発信装置100は、全ユーザが閲覧可能なように、被害報告8aの通知があったことを公開するようにしてもよい。
更に、被害報告8aを受信すると、アラート発信装置100は、サイバー攻撃の被害にあいやすいユーザには常に警告を出すようにしてもよい。サイバー攻撃の被害にあいやすいユーザを予測するために、被害にあいやすい特徴的な行動特性に関する行動ログ7を収集して分析する。
例えば、図17に示すような行動ログDB46−3で管理する項目のように送受信メール数/日、パッチ適用期間(日)等の項目を予め定めておき、各端末3から行動ログ7として収集する。
送受信メール数/日、パッチ適用期間(日)等の項目において、それぞれの所定値以上となる項目数が多いほど、サイバー攻撃の被害にあいやすいユーザであると判断できる。
上述したように、本実施形態によれば、サイバー攻撃に対して、端末3から収集したユーザの行動ログでユーザをグループ化し、攻撃の報告に応じて、報告したユーザのグループ内の他ユーザに警告発信することで、報知するユーザに適切に警告できる。
本発明は、具体的に開示された実施例に限定されるものではなく、特許請求の範囲から逸脱することなく、主々の変形や変更が可能である。
以上の実施例1〜4を含む実施形態に関し、更に以下の付記を開示する。
(付記1)
複数の端末から各ユーザの行動ログを収集し、
前記行動ログの類似性が高いユーザ同士をグループ化し、
前記端末に対するサイバー攻撃の報告を受信すると、該報告で示されるユーザと同一グループに属する他のユーザの端末に警告を発信する
処理をコンピュータが行うアラート発信方法。
(付記2)
前記行動ログは、メールの宛先を示し、
前記コンピュータは、前記メールの宛先に基づいて前記ユーザをグループ化する
ことを特徴とする付記1記載のアラート発信方法。
(付記3)
前記行動ログは、Webサイトの閲覧先を示し、
前記コンピュータは、前記Webサイトの閲覧先の共通性に基づいて、前記ユーザをグループ化する
ことを特徴とする付記1記載のアラート発信方法。
(付記4)
前記行動ログは、前記ユーザの前記端末の操作に係る行動特性を示し、
前記コンピュータは、前記行動特性の類似度に基づいて、前記ユーザをグループ化する
ことを特徴とする付記1記載のアラート発信方法。
(付記5)
前記行動ログに係る分析結果を、管理者の端末にて表示可能とする
ことを特徴とする付記1記載のアラート発信方法。
(付記6)
前記サイバー攻撃の報告を受信すると、前記管理者に通知する
ことを特徴とする付記5記載のアラート発信方法。
(付記7)
前記サイバー攻撃の報告を精査した前記管理者による判断に基づくユーザへ前記警告を発信する
ことを特徴とする付記6記載のアラート発信方法。
(付記8)
前記サイバー攻撃の報告を前記ユーザの前記端末で閲覧可能とする
ことを特徴とする付記6記載のアラート発信方法。
(付記9)
複数の端末から各ユーザの行動ログを収集し、
前記行動ログの類似性が高いユーザ同士をグループ化し、
前記端末に対するサイバー攻撃の報告を受信すると、該報告で示されるユーザと同一グループに属する他のユーザの端末に警告を発信する
処理をコンピュータに行わせるアラート発信プログラム。
(付記10)
複数の端末から各ユーザの行動ログを収集する収集部と、
前記行動ログを分析して、類似性が高いユーザ同士をグループ化する分析部と、
前記端末に対するサイバー攻撃の報告を受信する被害受信部と、
前記報告で示されるユーザと同一グループに属する他のユーザの端末に警告を配信する配信部と
を有することを特徴とするアラート発信装置。
3、3a、3b、3c、3x、3y、3z 端末
7 行動ログ
8a 被害報告、 8b 警告
9a グループの階層構造、 9b グループ化閾値
11a CPU、 12a 主記憶装置
13a 補助記憶装置、 14a 入力装置
15a 表示装置、 16a 出力装置
17a 通信I/F、 18a ドライブ
19a 記憶媒体
11b CPU、 12b 主記憶装置
16b ユーザI/F、 17b 通信I/F
18b ドライブ、 19b 記憶媒体
31 行動ログ抽出部
32 被害報告部
33 警告受信部
37 行動ログ記憶部
41 行動ログ収集部
42 行動ログ分析部
43 被害受信部
44 警告配信部
46 行動ログDB
47 類似度判定結果テーブル

Claims (6)

  1. 複数の端末から各ユーザの行動ログを収集し、
    前記行動ログの類似性が高いユーザ同士をグループ化し、
    前記端末に対するサイバー攻撃の報告を受信すると、該報告で示されるユーザと同一グループに属する他のユーザの端末に警告を発信する
    処理をコンピュータが行うアラート発信方法。
  2. 前記行動ログは、メールの宛先を示し、
    前記コンピュータは、前記メールの宛先に基づいて前記ユーザをグループ化する
    ことを特徴とする請求項1記載のアラート発信方法。
  3. 前記行動ログは、Webサイトの閲覧先を示し、
    前記コンピュータは、前記Webサイトの閲覧先の共通性に基づいて、前記ユーザをグループ化する
    ことを特徴とする請求項1記載のアラート発信方法。
  4. 前記行動ログは、前記ユーザの前記端末の操作に係る行動特性を示し、
    前記コンピュータは、前記行動特性の類似度に基づいて、前記ユーザをグループ化する
    ことを特徴とする請求項1記載のアラート発信方法。
  5. 複数の端末から各ユーザの行動ログを収集し、
    前記行動ログの類似性が高いユーザ同士をグループ化し、
    前記端末に対するサイバー攻撃の報告を受信すると、該報告で示されるユーザと同一グループに属する他のユーザの端末に警告を発信する
    処理をコンピュータに行わせるアラート発信プログラム。
  6. 複数の端末から各ユーザの行動ログを収集する収集部と、
    前記行動ログを分析して、類似性が高いユーザ同士をグループ化する分析部と、
    前記端末に対するサイバー攻撃の報告を受信する被害受信部と、
    前記報告で示されるユーザと同一グループに属する他のユーザの端末に警告を配信する配信部と
    を有することを特徴とするアラート発信装置。
JP2014260785A 2014-12-24 2014-12-24 アラート発信方法、プログラム、及び装置 Withdrawn JP2016122273A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2014260785A JP2016122273A (ja) 2014-12-24 2014-12-24 アラート発信方法、プログラム、及び装置
EP15201574.9A EP3038005A1 (en) 2014-12-24 2015-12-21 Alert transmission program, alert transmission method, and alert transmission apparatus
US14/977,311 US20160191553A1 (en) 2014-12-24 2015-12-21 Alert transmission method, computer-readable recording medium, and alert transmission apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014260785A JP2016122273A (ja) 2014-12-24 2014-12-24 アラート発信方法、プログラム、及び装置

Publications (1)

Publication Number Publication Date
JP2016122273A true JP2016122273A (ja) 2016-07-07

Family

ID=55024879

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014260785A Withdrawn JP2016122273A (ja) 2014-12-24 2014-12-24 アラート発信方法、プログラム、及び装置

Country Status (3)

Country Link
US (1) US20160191553A1 (ja)
EP (1) EP3038005A1 (ja)
JP (1) JP2016122273A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018157344A (ja) * 2017-03-16 2018-10-04 日本電信電話株式会社 対処指示装置、対処指示方法、対処指示プログラム
JP2019145995A (ja) * 2018-02-20 2019-08-29 Kddi株式会社 攻撃予測装置、攻撃予測方法及び攻撃予測プログラム
JP2019220126A (ja) * 2018-06-19 2019-12-26 エーオー カスペルスキー ラボAO Kaspersky Lab ユーザのコンピュータ装置への攻撃に対抗するシステムおよび方法
JP2020510926A (ja) * 2017-02-27 2020-04-09 アマゾン・テクノロジーズ、インコーポレイテッド インテリジェントセキュリティ管理

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6690469B2 (ja) * 2016-08-26 2020-04-28 富士通株式会社 制御プログラム、制御方法および情報処理装置
CN110032597B (zh) * 2018-11-30 2023-04-11 创新先进技术有限公司 应用程序操作行为的可视化处理方法及装置

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09269930A (ja) 1996-04-03 1997-10-14 Hitachi Ltd ネットワークシステムの防疫方法及びその装置
US7028338B1 (en) * 2001-12-18 2006-04-11 Sprint Spectrum L.P. System, computer program, and method of cooperative response to threat to domain security
US7293290B2 (en) * 2003-02-06 2007-11-06 Symantec Corporation Dynamic detection of computer worms
US20040205419A1 (en) * 2003-04-10 2004-10-14 Trend Micro Incorporated Multilevel virus outbreak alert based on collaborative behavior
US7779463B2 (en) * 2004-05-11 2010-08-17 The Trustees Of Columbia University In The City Of New York Systems and methods for correlating and distributing intrusion alert information among collaborating computer systems
CA2531410A1 (en) * 2005-12-23 2007-06-23 Snipe Network Security Corporation Behavioural-based network anomaly detection based on user and group profiling
US7301450B2 (en) * 2006-03-14 2007-11-27 John Carrino Citizen communication center
US9336178B2 (en) * 2008-12-19 2016-05-10 Velocee Ltd. Optimizing content and communication in multiaccess mobile device exhibiting communication functionalities responsive of tempo spatial parameters
JP5385253B2 (ja) 2010-12-27 2014-01-08 ヤフー株式会社 複数人格維持・強化補助装置及び方法
US20130054433A1 (en) * 2011-08-25 2013-02-28 T-Mobile Usa, Inc. Multi-Factor Identity Fingerprinting with User Behavior
US9516039B1 (en) * 2013-11-12 2016-12-06 EMC IP Holding Company LLC Behavioral detection of suspicious host activities in an enterprise

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020510926A (ja) * 2017-02-27 2020-04-09 アマゾン・テクノロジーズ、インコーポレイテッド インテリジェントセキュリティ管理
US11102221B2 (en) 2017-02-27 2021-08-24 Amazon Technologies, Inc. Intelligent security management
JP2018157344A (ja) * 2017-03-16 2018-10-04 日本電信電話株式会社 対処指示装置、対処指示方法、対処指示プログラム
JP2019145995A (ja) * 2018-02-20 2019-08-29 Kddi株式会社 攻撃予測装置、攻撃予測方法及び攻撃予測プログラム
JP2019220126A (ja) * 2018-06-19 2019-12-26 エーオー カスペルスキー ラボAO Kaspersky Lab ユーザのコンピュータ装置への攻撃に対抗するシステムおよび方法

Also Published As

Publication number Publication date
EP3038005A1 (en) 2016-06-29
US20160191553A1 (en) 2016-06-30

Similar Documents

Publication Publication Date Title
CN108780479B (zh) 用于对异常进行检测和评分的系统和方法
US9832214B2 (en) Method and apparatus for classifying and combining computer attack information
US9237161B2 (en) Malware detection and identification
US20210173924A1 (en) Automated Cybersecurity Threat Detection with Aggregation and Analysis
CN108933785B (zh) 网络风险监控方法、装置、计算机设备及存储介质
JP2016122273A (ja) アラート発信方法、プログラム、及び装置
US9507936B2 (en) Systems, methods, apparatuses, and computer program products for forensic monitoring
Sarabi et al. Risky business: Fine-grained data breach prediction using business profiles
JP5990284B2 (ja) キャラクター・ヒストグラムを用いるスパム検出のシステムおよび方法
JP2015511340A (ja) オンライン不正行為の検出の動的採点集計のシステムおよび方法
CN110366845A (zh) 基于云中内容、活动、和元数据的安全性和合规性警报
US8347381B1 (en) Detecting malicious social networking profiles
CN111786950A (zh) 基于态势感知的网络安全监控方法、装置、设备及介质
US20220156372A1 (en) Cybersecurity system evaluation and configuration
JP7005936B2 (ja) 評価プログラム、評価方法および情報処理装置
Thonnard et al. Are you at risk? Profiling organizations and individuals subject to targeted attacks
US20230328097A1 (en) Method And Apparatus For Measuring Information System Device Integrity And Evaluating Endpoint Posture
Haupt et al. Robust identification of email tracking: A machine learning approach
CA3078261A1 (en) Systems and methods for cybersecurity risk assessment of users of a computer network
US10560473B2 (en) Method of network monitoring and device
EP3479279B1 (en) Dynamic ranking and presentation of endpoints based on age of symptoms and importance of the endpoint in the environment
Sarabi et al. Prioritizing Security Spending: A Quantitative Analysis of Risk Distributions for Different Business Profiles.
KR102366637B1 (ko) 전자 장치의 사이버 위협 탐지 방법
JP6623128B2 (ja) ログ分析システム、ログ分析方法及びログ分析装置
US11575702B2 (en) Systems, devices, and methods for observing and/or securing data access to a computer network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170605

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180222

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20180226