JP2017004233A - サイバー攻撃対策範囲優先度付けシステム、サイバー攻撃対策範囲優先度付け方法 - Google Patents

サイバー攻撃対策範囲優先度付けシステム、サイバー攻撃対策範囲優先度付け方法 Download PDF

Info

Publication number
JP2017004233A
JP2017004233A JP2015117066A JP2015117066A JP2017004233A JP 2017004233 A JP2017004233 A JP 2017004233A JP 2015117066 A JP2015117066 A JP 2015117066A JP 2015117066 A JP2015117066 A JP 2015117066A JP 2017004233 A JP2017004233 A JP 2017004233A
Authority
JP
Japan
Prior art keywords
information
countermeasure
countermeasure range
malware
range
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015117066A
Other languages
English (en)
Other versions
JP6490502B2 (ja
Inventor
直樹 下間
Naoki Shimoma
直樹 下間
林 直樹
Naoki Hayashi
直樹 林
倫宏 重本
Michihiro Shigemoto
倫宏 重本
哲郎 鬼頭
Tetsuo Kito
哲郎 鬼頭
仲小路 博史
Hiroshi Nakakoji
博史 仲小路
淳弥 楠美
Junya Kusumi
淳弥 楠美
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Systems Ltd
Original Assignee
Hitachi Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Systems Ltd filed Critical Hitachi Systems Ltd
Priority to JP2015117066A priority Critical patent/JP6490502B2/ja
Priority to PCT/JP2016/065539 priority patent/WO2016199582A1/ja
Publication of JP2017004233A publication Critical patent/JP2017004233A/ja
Application granted granted Critical
Publication of JP6490502B2 publication Critical patent/JP6490502B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】ファイル操作を含む様々なマルウェアに対する対策を効率的に行うことを可能とする。【解決手段】複数の構成要素から構成され、マルウェアに感染した構成要素に対する対策範囲を優先付けるサイバー攻撃対策範囲優先度付けシステムであって、構成要素を感染させたマルウェアの特性を示す特性情報を取得し、記憶部に記憶された構成要素同士の関係を示す関係情報と特性情報とに基づいて、特性情報に示されるマルウェアの感染タイプにおける構成要素と感染した構成要素との距離を算出し、算出した距離と対策範囲を示す優先度付けポリシーとを対応付けたポリシー情報とに基づいて、対策範囲の優先度を定める対策範囲優先度付け部、を備える。【選択図】図1

Description

本発明は、企業などの組織内でマルウェア感染を確認した際にマルウェア感染の対策をするにあたり、対策範囲の優先度付けを行うシステムに関するものである。
近年、不審ファイル添付型の攻撃メール(不審メール)などによる、企業を狙ったサイバー攻撃が増加している。この中で、セキュリティ管理者は日々、膨大な数の不審メールや不審検体報告に対応しており、不審メールの検知、解析、対応(マルウェア感染が疑われる対象の特定と感染範囲の特定、注意喚起)に追われている。
マルウェア感染が発覚した際には、セキュリティ管理者は当該感染端末を基点として社内でほかにも感染端末がないかどうかを調査し、感染端末のネットワーク隔離やプロキシのブラックリスト追加などの対処を行う必要がある(これらの調査、対処を総称して対策と呼ぶ)。
しかし、社員数が多く規模の大きい企業全体で上記の対策を行うには、調査対象となる端末の数やファイルのアクセスログ、ネットワークログの数が膨大となり、手間がかかってしまうことが課題となる。
上記の、マルウェア感染の対策範囲の特定に要する手間の軽減に関連する技術として、特許文献1(「ウィルス被害範囲予測システム」)がある。特許文献1は、日々、各クライアント端末の操作ログを記憶し、クライアントの感染が検出されたとき、上記操作ログから当該クライアントが操作したファイルを特定し、当該ファイルにアクセスした別のクライアントを特定することで、ネットワーク・システム全体のなかで感染可能性がある範囲を特定し、対策の優先度を上げる。そして、優先度の高い範囲から調査することで、感染範囲の特定に要する手間を軽減する技術である。
特開2009−176137号公報
マルウェアの感染方法には特許文献1で取り上げているファイル操作による感染のほか、メールによる感染、Webサイトの閲覧による感染など、様々な種類がある。しかし、特許文献1に記載の技術ではファイルの操作ログによる対策範囲の特定以外は行っていないため、ファイル操作による感染以外のマルウェアには対応できない。
本発明は、上記に鑑みてなされたものであって、ファイル操作を含む様々なマルウェアに対する対策を効率的に行うことが可能なサイバー攻撃対策範囲優先度付けシステム、サイバー攻撃対策範囲優先度付け方法を提供することを目的とする。
上記課題を解決し、目的を達成するために、本発明にかかるサイバー攻撃対策範囲優先度付けシステムは、複数の構成要素から構成され、マルウェアに感染した構成要素に対する対策範囲を優先付けるサイバー攻撃対策範囲優先度付けシステムであって、前記構成要素を感染させた前記マルウェアの特性を示す特性情報を取得し、記憶部に記憶された前記構成要素同士の関係を示す関係情報と前記特性情報とに基づいて、前記特性情報に示される前記マルウェアの感染タイプにおける前記構成要素と前記感染した構成要素との距離を算出し、算出した前記距離と前記対策範囲を示す優先度付けポリシーとを対応付けたポリシー情報とに基づいて、前記対策範囲の優先度を定める対策範囲優先度付け部、を備えることを特徴とするサイバー攻撃対策範囲優先度付けシステムとして構成される。
また、本発明は、上記サイバー攻撃対策範囲優先度付けシステムで行われるサイバー攻撃対策範囲優先度付け方法としても把握される。
本発明によれば、ファイル操作を含む様々なマルウェアに対する対策を効率的に行うことが可能となる。
システムの全体構成図である。 システムの構成図の例である。 属性情報DBの構成の例である。 関係情報DBのメールのやり取り関係情報テーブルの構成の例である。 関係情報DBのSNSの交流関係情報テーブルの構成の例である。 関係情報DBの事業部署間の交流関係情報テーブルの構成の例である。 対策範囲優先度付けポリシーDBの構成の例である。 動作特性情報DBの構成の例である。 対策履歴情報DBの構成の例である。 関係情報DB作成・更新の全体概要フローの例である。 対策範囲優先度付けの全体概要フローの例である。 関係情報DB作成・更新の詳細フローの例である。 対策範囲優先度付け詳細フローの例である。 実施例2に該当する対策範囲優先度付けポリシーDBの構成の例である。 実施例2に該当する対策範囲優先度付け詳細フローの例である。
以下、本発明の実施形態を、図面に示す実施例を基に説明する。なお、実施形態は下記に限定されるものではない。
まず、本発明を適用したサイバー攻撃対策範囲優先度付けシステムの全体構成図を、図1を用いて説明する。サイバー攻撃対策範囲優先度付けシステム101は構成要素として、関係情報DB(Data Base)102、対策範囲優先度付けポリシーDB103、属性情報DB104、動作特性情報DB105、対策範囲履歴情報DB106、関係情報作成・更新機能107、対策範囲優先度付け機能108とを有する。
前記サイバー攻撃対策範囲優先度付けシステム101は、ある組織のクライアント端末109でマルウェア感染を確認した際、当該感染クライアント端末109の構成情報(所有者情報や端末のIP情報など)を取得する。
また、前記クライアント端末109で動作したマルウェアの挙動や動作特性をマルウェア解析機能110で解析した結果を前記動作特性情報DB105に格納する。前記サイバー攻撃対策範囲優先度付けシステム101はまた、当該組織の日頃の業務処理において発生するメールサーバ111やネットワーク機器112等からの通信ログを取得し、関係情報作成・更新機能107で当該組織のクライアント端末109間の関係性に関する情報を、前記属性情報DB104と関係情報DB102とを用いて生成し、関係情報DB102に格納する。本処理の内容については下記で説明する。
当該組織のあるクライアント端末109でマルウェア感染を確認した際には、前記サイバー攻撃対策範囲優先度付けシステム101は感染クライアント端末の構成情報とマルウェアの動作特性情報と、当該組織におけるクライアント端末109間の関係情報とを用いて、マルウェア感染の対策範囲の優先度付けを計算し、計算結果のリスト情報を対策実施機能113に出力する。前記対策実施機能113では、取得した前記リスト情報を基に、対策実施策(感染クライアント端末109のほか、感染の可能性が高いクライアント端末に対して注意喚起メールを送信するなど)をセキュリティ担当者端末114へ送信する。
前記システムは、図2に示すような通常のコンピュータシステムにより実現することができる。具体的には、CPU201、メモリ202、記憶装置203、入力装置204、出力装置205、通信制御装置206、これらを相互に接続するバス207からなる。CPU201は、記憶装置203に記憶され、メモリ202に展開された各種プログラムを実行する。入力装置204は例えばキーボード、マウスなどであり、出力装置205は例えばディスプレイである。通信制御装置206は、例えば無線ネットワークインターフェース、ネットワークインターフェースカードである。これらは、バス207によって相互に接続される。以下に示す各機能(関係情報作成・更新機能107、対策範囲優先度付け機能108、対策実施機能113)は、実際には、例えば、サーバやPC(Personal Computer)等の一般的な情報処理装置にインストールされた、関係情報作成・更新部、対策範囲優先度付け部、対策実施部として動作するプログラムを実行することにより、上記各機能が実現される。 なお、本システムでは属性情報DB104と対策範囲優先度付けポリシーDB103は、企業ごとに、予めインプット情報として保持する。属性情報は、当該システムの各構成要素を一意に特定するための情報であって、当該構成要素が人であれば社員IDや氏名、所属部署や職位、メールアドレス情報などで、当該構成要素が部署組織であれば部署名や業務区分、所在地情報などがある。
対策範囲優先度付けポリシー情報は、当該組織のネットワーク・システムにおいてマルウェア感染した構成要素を検知した際に、感染可能性がある範囲をどの範囲に設定し、対策の優先度をどの値に設定するかを定めた情報である。
また、関係情報DB102は、当該組織の日頃の業務などで行われた処理や動作の履歴を示すログ情報から、当該組織の各構成要素間の関係性の情報を保持する。関係性の情報は、構成要素が当該組織の社員で、ログ情報がメールの送受信ログであれば、社員同士のメールのやり取り関係がある。また構成要素が社員で、ログ情報がSNSでのメッセージ送受信ログであれば、社員同士の交流関係などがある。
関係性の情報は、前記メールのやり取りのレイヤであっても良いし、前記SNSでのレイヤや、構成要素間のパケット通信でのレイヤであってもよい。なお、構成要素は社員のほかに、事業部署やコンピュータ端末、複数の端末から構成される情報システムや、ネットワークセグメントなどであってもよい。また、関係情報DB102は構成要素間の関係性によって複数のテーブル構造をとり得る。たとえば、構成要素間での前記メールのやり取り関係を保持するテーブル構造や、前記SNSでの社員同士の交流関係を保持するテーブル構造などがある。
そして、動作特性情報DB105、対策履歴情報DB106は、当該組織固有のインプット情報ではなく、当該組織でマルウェア感染対策を実施した際に取得した情報や、当該組織の外部から取得した情報として保持する。マルウェアの動作特性情報は、マルウェアの特徴情報や動作環境の条件に関する情報などがある。また対策履歴情報は、過去のマルウェア対策事例でどういったマルウェアに対してどの範囲まで対策を実施したかや、今後の対策のポリシー情報などがある。
以下では、上記の各DBの内容について説明する。まず、図3を用いて属性情報DB104の構成を示す。属性情報DB3301は、本実施形態のシステムが対象とする企業に所属する全ての社員の個別情報を保持する。具体的には、属性情報DB3301は社員ID3302、メールアドレス3303、氏名3304、事業所名3305、部署名3306、部署区分3307、職位3308、所有端末IPアドレス3309、OS3310、ブラウザ3312、Word3313、最終ログイン日時3314からなる。
社員ID3302は、当該企業において各社員を一意に特定する情報を保持する。メールアドレス3303は、各社員に個別に割り当てられたメールアドレスの情報を保持する。氏名3304は、当該社員の氏名の情報を保持する。事業所名3305は、当該社員が所属する事業所名の情報を保持する。部署区分3307は、当該社員が所属する部署の業務区分情報を保持する。職位3308は、当該社員の職位の情報を保持する。所有端末IPアドレス3309は、当該社員が所有する端末のIPの情報を保持する。OS3310は、当該社員の所有端末のOSの情報を保持する。ブラウザ3311は、当該社員の所有端末で使用するブラウザの情報を保持する。Word3313は、当該社員の所有端末にインストールされているアプリケーションの例であり、当該アプリケーションの名称やバージョン情報などを保持する。最終ログイン日時3314は、当該社員が所有端末からログインした最終日時の情報を保持する。
たとえば、社員ID3302が「001」で、氏名3304が「花子」さんのメールアドレス3303は「Hanako@aaa.com」である。所属している事業所名3305は「AAA」で、職位308が「事業所長」であるため、部署名306については「−(該当無し)」、部署区分307についても同様に「−(該当無し)」となる。また、所有している端末は1台で、所有端末IPアドレス308は「10.0.0.1」、OS310は「Win7」、ブラウザ311は「IE9」、インストールされているアプリケーションのうち、Word312のバージョンは「Office2013」、所有端末での最終ログイン日時313は「2015/01/01」となる。
なお、属性情報DB301で保持する社員の個別情報は上記に限るものでなく、所属部署の所在地情報やネットワークセグメントの情報、年齢情報などであってもよい。また、本例では構成要素が社員の場合での属性情報DB104について説明したが、構成要素が部署の場合や情報システムの場合ごとに、属性情報DB104の構造は変わるものである。
次に、図4(a)〜(c)の各テーブル401、411、421を用いて関係情報DB102の構成を示す。
まず、図4(a)に示すメールのやり取り関係情報テーブル401について説明する。メールのやり取り関係情報テーブル401は、当該組織の各社員について、当該社員が日頃の業務においてメールのやり取りをする関係にある、ほかの社員や社外の人物との関係性の情報を保持する。
具体的には、メールとのやり取り関係情報テーブル401は社員ID402、関係者情報403からなる。社員ID402は、当該企業の各社員を一意に特定する情報を保持する。関係者情報403は、当該社員が日頃の業務でメールのやり取り関係にある人物の、社員であれば社員IDを、社外の人物であればその人物のメールアドレスの情報を保持する。当該社員と関係のある人物として、前記関係者情報403に前記人物に関する情報を保持する判定基準には、ある回数以上のメールのやり取りがあったかどうか、または当該社員からメールを送信したことがあるかどうかなどがある。
たとえば、社員ID402が「002」の社員について、当該社員とメールのやり取り関係にある関係者は、関係者情報403から、社員ID402「023」、「030」を持つ2人の社員と、メールアドレスが「Jiro@abc.com」である社外の人物であることが分かる。
図4(b)に示すSNSの交流関係情報テーブル411、図4(c)に示す事業部署間の交流関係情報テーブル421も同様に、たとえば社員ID412が「002」の社員について、当該社員とSNSの交流関係にある関係者は、関係者情報413から、社員ID412「001」、「030」を持つ2人の社員と、メールアドレスが「Taro@abc.com」である社外の人物であることが分かる。また事業部署間の交流関係であれば、たとえば事業部署名422が「AAA/CC」(AAA事業所のCC部署)と関係のある関係事業部署は、関係事業部署情報423から、事業部署名が「AAA/BB」(AAA事業部のBB部署)である事業部署であることが分かる。
次に、図6を用いてマルウェアの動作特性情報DB601の構成を示す。動作特性情報DB601は、当該組織で検知されたマルウェアに関する情報、もしくは当該組織外部から提供されたマルウェアに関する情報を保持する。
具体的には、動作特性情報DB601はマルウェアID602、ハッシュ値603、SNS604、メール605、OS606、ブラウザ607、Word608、時限式609などからなる。なお、動作特性情報DB601に保持する情報はほかにも、アンチウィルスソフトでのスキャン結果の情報でも良く、マルウェアの表層解析の結果の情報を保持していても良い。
マルウェアID602は、あるマルウェアを一意に識別するための情報を保持する。ハッシュ値603は、当該マルウェアのハッシュ値の情報を保持する。SNS604、メール605は、当該マルウェアがSNSやメールを介して感染が拡大するタイプであるかどうかの情報を保持する。すなわち、マルウェアの感染タイプが、構成要素間のやり取りで感染が拡大するか否かにより定められている。図6では、SNSやメールにより感染が拡大する場合はYes、拡大しない場合はNoが設定されていることを示している。
OS606やブラウザ607、Word608は、当該マルウェアが当該項目のアプリ、OSの、どのバージョンの場合に、マルウェアが動作するタイプであるかどうかの情報を保持する。時限式609は、当該マルウェアが特定の日時に動作するタイプであるかどうかの情報と、その日時情報とを保持する。
次に、図5を用いて対策範囲優先度付けポリシーDB108の構成を示す。対策範囲優先度付けポリシーDB501は、当該組織においてマルウェアに感染した構成要素(感染構成要素)を検知した際、優先的に対策すべき範囲の優先度付けのポリシー情報を保持する。
具体的には、対策範囲優先度付けポリシーDB501は、対策範囲分類要素502、(メールのやり取り関係での)感染構成要素からの距離503、職位504、最終ログイン日時とマルウェア動作日時との関係505、対策範囲優先度付けポリシー506などからなる。
対策範囲分類要素502は、当該組織でマルウェア感染した構成要素を検知した際に、当該組織の構成要素を分類する軸となる、各分類要素の情報を保持する。以下では、構成要素を当該組織の社員を指すものとして説明する。
前記対策範囲分類要素502の一つである、(メールのやり取り関係での)感染構成要素からの距離503は、前記関係情報DB102でのメールのやり取り関係情報テーブル401において、感染構成要素を基点として関係者情報403の関係者の構成要素をたどったとき、最短でいくつの構成要素を介して当該構成要素にたどり着くかを計算した数を保持する。
ここでは、構成要素が「端末」であり、距離を計算する際に「メールのやり取り関係」での感染構成要素と当該構成要素間にある、その他構成要素の数を距離として扱っているが、関係情報DB102の各テーブルで、定義されるものであるとする。また、前記各テーブルにおいて、感染構成要素から当該構成要素へその他構成要素をたどってもたどり着けない場合、感染構成要素と当該構成要素との距離は「∞(無限大)」であるとする。前記距離の定義は、本実施例での一つの例であって、この限りではない。
職位504は、当該構成要素である、端末の所有者の職位情報を保持する。最終ログイン日時とマルウェア動作日時との関係505は、当該構成要素である社員が所有端末にログインした最終日時と、前記動作特性情報DB601で説明したマルウェアの動作日時情報と時系列で比較したときの関係情報を保持する。対策範囲優先度付けポリシー506は、当該構成要素に対して割り当てる、対策の優先度情報を保持する。本実施例では、優先度は感染構成要素からの前記距離が近いほど高い値となり、距離が遠くなるほど低い値となる。距離が「∞(無限大)」の場合には、優先度は「0」となる。ただし、距離が遠い場合でも、前記対策範囲分類要素のほかの要素の情報により、優先度の高さも変化する。さらに、本対策範囲優先度付けポリシーDB501は当該組織における全ての構成要素に対して優先度付けを行う際に適用する。なお、上記優先度の設定は一例であって、この限りではない。
たとえば、ある組織において事業所長の端末でマルウェア感染を検知したとき、端末の所有者を構成要素として捉えることができる。また、本事例でのマルウェアの動作日時は「2014/12/1」で、当該事業所長の端末への最終ログイン日時は「2014/12/31」であるとする。このとき、当該対策範囲優先度付けポリシーDB501は以下のように見ることができる。すなわち、当該構成要素が感染構成要素であるため、対策範囲分類要素502における(メールのやり取り関係での)感染構成要素からの距離503は「0」であり、当該構成要素の職位504は「事業所長」、最終ログイン日時とマルウェア動作日時との関係は「マルウェア動作日時≦最終ログイン日時」の行が該当する。このとき、当該構成要素に対する対策の優先度は、対策優先度付けポリシー506から、「3」が割り当てられることが分かる。
次に、図7を用いて対策履歴情報DB106の構成を示す。対策履歴情報DB701は、マルウェアの特徴情報や感染範囲に関する情報、今後の対策ポリシー情報などを保持する。具体的には、対策履歴情報DB701は、ハッシュ値703、ファイル名704などを有するマルウェアの特徴情報702と、過去の対策履歴情報⇒今後の対策ポリシー情報705などからなる。マルウェアの特徴情報702は、マルウェアのハッシュ値703やファイル名704をはじめとする、マルウェアの特徴情報を保持する。また、過去の対策履歴情報⇒今後の対策ポリシー705は、過去にどの範囲でマルウェア感染が確認されたかという情報や、今後どの範囲の構成要素に対して対策の優先度を割り当てるかの情報などを保持する。
以上の各DBを基に、本実施形態のシステムは対象とする組織におけるマルウェア感染対策範囲の優先度付けを行う。
以下では、本発明を適用したサイバー攻撃対策範囲優先度付けシステム101の全体の処理概要について、図8(a)、(b)で示すような全体の処理フローに従って説明する。本実施形態のシステムではそれぞれ、図8(a)に示す関係情報DB作成・更新処理と図8(b)に示す対策範囲優先度付け処理の2つが独立して動作する。
関係情報DB作成・更新処理では、メールサーバ111やネットワーク機器112等のネットワーク通信ログ等を取得し、関係情報DBを作成・更新する。また、対策範囲優先度付け処理では、当該組織で感染構成要素を検知した際に、当該感染構成要素の情報を取得し、属性情報DB104、関係情報DB102、対策範囲優先度付けポリシーDB103、動作特性情報DB105、対策履歴情報DB106の情報を基に、当該組織におけるマルウェア感染の対策範囲の優先度付けを行う。以下では、前記2つの処理内容について、それぞれ説明する。
まず、図8(a)を用いて関係情報作成・更新機能107による、関係情報DB作成・更新の処理フローの概要について説明する。
関係情報DB作成・更新の全体概要フローではまず、当該組織の業務のなかで日々発生するログ情報(メールの送受信ログやその他ネットワーク通信ログ等のネットワーク・システムのログ情報、またはファイル・システムのアクセスログ等のログ情報)を取得する(ステップ801)。
次に、前記取得したログ情報を基に、どの種別の関係情報DB102に作成・更新処理を行うかを決定する(ステップ802)。
そして、前記決定した関係情報DB102に対して作成・更新処理を行う(ステップ803)ことで、関係情報DB作成・更新の全体概要フローを終了する。本処理の詳細については後述する。
次に、図8(b)を用いて対策範囲優先度付け機能108による、対策範囲優先度付け処理の処理フローの概要について説明する。
対策範囲優先度付けの全体概要フローではまず、マルウェア感染を検知した構成要素の情報(例えば構成要素が端末所有者であれば所有端末のIPアドレスなど)を受信する(ステップ811)。
次に、前記取得した構成要素の情報を基に、当該組織における対策範囲の優先度付けを行う(ステップ812)。本処理の詳細については後述する。
次に、前記ステップ812で得られた対策範囲(たとえば、優先度を上げて調査する端末のIPアドレスのリストなど)を、本実施形態のシステムとは別の、対策実施機能へのインプット情報として送信する(ステップ813)ことで、対策範囲優先度付けの全体概要フローを終了する。
以上が本実施形態のシステムにおける、関係情報DB作成・更新処理と対策範囲優先度付け処理のそれぞれの全体の処理概要である。
次に、前記ステップ802の関係情報DB作成・更新処理の詳細について、図9に示すような処理フローに従って説明する。本実施例では取得するログ情報の例として、メールサーバ111からのメールの送受信ログに関して説明する。
関係情報DB作成・更新の詳細フローでは、ある組織において運用されているメールサーバ111から取得したメールの送受信ログから、送信元、送信先の人物がそれぞれ社員であるかどうかを判定し、社員同士または社員と社外の人物との関係の度合いを関係情報DB102に記憶させる処理を説明する。なお、本処理フローでは前記メールサーバ111のメール受信ログを取得する。
まず、取得したメール受信ログから送信先メールアドレス抽出し(ステップ901)、前記送信先メールアドレスをキーにして、当該組織の属性情報DB102から、該当する社員が存在するかどうかを検索する(ステップ902)。
上記検索(ステップ902)の結果、該当する社員が当該組織において存在しない場合、本詳細フローの関係情報DB作成・更新処理を終了する。また、該当する社員が当該組織において存在する場合、ステップ904の処理に進む(ステップ903)。
次に、取得したメール受信ログから送信元メールアドレス抽出し、前記送信元メールアドレスをキーにして、当該組織の属性情報DB102から、該当する社員が存在するかどうかを検索する(ステップ904)。
上記検索(ステップ904)の結果、該当する社員が当該組織において存在しない場合、ステップ906の処理に進む。また、該当する社員が当該組織において存在する場合、ステップ908の処理に進む(ステップ905)。
上記判定(ステップ905)の結果、前記送信元メールアドレスを持つ社員が当該組織において存在しない場合、前記送信元メールアドレスの人物が社外の人物であることが分かる。また、前記送信先メールアドレスを持つ社員の社員IDを属性情報DB301から特定し、関係情報DB401において、前記特定した社員IDに該当する行の関係者情報のうち、前記送信元メールアドレスが記憶されているかどうかを検索する(ステップ906)。
上記ステップ906の検索の結果、前記送信元メールアドレスが存在する場合、前記送信先メールアドレスを持つ社員と前記送信元メールアドレスを持つ社外の人物は関係者同士の関係にあるということが分かる。このとき、既に関係者情報403に前記送信元メールアドレスを持つ人物の固有情報(例えばメールアドレス)が記憶されており、追記の必要がないと判定し、処理を終了する。また、前記送信元メールアドレスが存在しない場合、ステップ908の処理に進む(ステップ907)。
本処理ステップでは、前記送信先メールアドレスを持つ社員と前記送信元メールアドレスを持つ社外の人物は本処理ステップのタイミングで関係者同士となったと判定し、関係者情報403に前記送信元メールアドレスを追記する(ステップ908)。
次に、ステップ908以降の処理について説明する。
上記ステップ905の検索の結果、前記送信元メールアドレスを持つ人物が当該組織の社員であると判定できた場合、当該社員の社員IDを属性情報DB301から特定し、関係情報DB403において、送信先社員の社員IDに該当する行の関係情報のうち、送信元社員の、特定した前記社員IDが記憶されているかどうかを検索する(ステップ909)。
上記ステップ909の検索の結果、送信元社員の社員IDが存在する場合、前記送信先社員と前記送信元社員とは関係者同士の関係にあるということが分かる。このとき、既に関係者情報403に前記送信元社員の固有情報(例えば社員ID)が記憶されており、追記の必要がないと判定し、処理を終了する。また、送信元社員の前記社員IDが存在しない場合、ステップ910の処理に進む(ステップ910)。
本処理ステップでは、送信先社員と送信元社員とが本処理ステップのタイミングで関係者同士となったと判定し、関係者情報403に送信元社員の前記社員IDを追記する(ステップ911)。以上が、関係情報DB作成・更新処理の詳細である。
次に、前記ステップ812の対策範囲優先度付け処理の詳細について、図10に示すような処理フローに従って説明する。はじめに、実施例1について説明する。
対策範囲優先度付け機能108は、動作特性DB105から感染が検知されたマルウェアの動作特性情報を取得する(ステップ1001)。次に、前記取得した動作特性情報を基に、該当する関係情報テーブルを選択する(ステップ1002)。例えば、感染が検知されたマルウェアがマルウェアID「001」である場合、そのマルウェア「SNS」および「メール」により感染するタイプであるため、図4(a)に示したメールのやりとり関係情報テーブルおよび図4(b)に示したSNSの交流関係情報テーブルを選択する。
次に、該当する関係情報テーブルに記憶されている当該構成要素と感染構成要素との距離を算出する(ステップ1003)。例えば、図4(a)に示したメールのやりとり関係情報テーブルでは、当該構成要素が社員ID「001」、感染構成要素が社員ID「003」である場合、両者の距離は「1」となる。 次に、属性情報DB104から当該構成要素の情報を検索し、該当する属性情報(例えば、職位)を取得する(ステップ1004)。 次に、感染構成要素からの距離と前記取得した属性情報(例えば、職位)を基に、対策範囲優先度付けポリシー情報DB103から該当するポリシー情報を取得し(ステップ1005)、前記取得したポリシー情報を基に、当該構成要素に優先度を割り当てる(ステップ1006)。例えば、当該構成要素が感染構成要素から距離「1」だけ離れており、当該構成要素の職位が「事業所長」である場合、図5に示したように、対策範囲優先度付けポリシーとして「3」が取得され、当該構成要素に割り当てられる。
ステップ1006の処理の結果、全ての構成要素への優先度付け処理が完了していればステップ1008の処理に進み、完了していなければステップ1007の処理に進む(ステップ1007)。
ステップ1007の処理の結果、全ての構成要素への優先度付け処理が完了していないとき、優先度付け未処理の構成要素を選択し、当該構成要素について、ステップ10003の処理に進む(ステップ1008)。
ステップ1007の処理の結果、全ての構成要素への優先度付け処理が完了したとき、対策履歴DB106に当該マルウェアの動作特性に類似する事例があるかどうかを検索し、類似する事例が見つかったとき、ステップ1009の処理に進み、類似する事例が見つからなかったとき、ステップ1012の処理に進む(ステップ1009)。このとき、どういった事例を類似のものであると判定するかについては、マルウェアのファイル名の類似や出力ファイルが同じであるものなどがある。
ステップ1009の処理の結果、当該マルウェアの動作特性に類似する事例が見つかったとき、該当する過去の対策履歴情報⇒今後の対策ポリシー情報705から、対策履歴情報を取得する(ステップ1010)。例えば、ファイル名が類似するマルウェアが「ABC.exe」である場合、メールのやりとり関係の距離が「10」の構成要素で感染が確認された場合には、今後上記条件に該当する構成要素に優先度「3」を割り当てるという上記対策履歴情報を取得する。
次に、前記取得した対策履歴情報から、どの概念での距離であるかを判定し、該当する関係情報テーブルを選択する(ステップ1011)。例えば、上記例では、距離が「メール」でのやり取りという概念におけるものであることが判定される。
次に、前記取得した対策履歴情報から、該当する構成要素を選択し、該当する優先度を前記選択した構成要素に割り当てて、ステップ1013の処理に進む(ステップ1012)。例えば、上記対策履歴情報が取得された場合、メールのやりとり関係の距離が「10」の構成要素に優先度「3」を割り当てる。
つまり、ステップ1008〜1011においては、対策範囲の優先度を定めたマルウェアに類似するマルウェアがあるか否かを判定し、類似するマルウェアがあると判定した場合、類似するマルウェアが感染した構成要素に、マルウェアについて定めた対策範囲の優先度を割り当てている。
最後に、上記のステップで優先度を割り当てた構成要素のリスト情報を出力する(ステップ1013)。
以上が、当該組織のある構成要素でサイバー攻撃を検知した際の、対策範囲の優先度付け処理の詳細である。これにより、感染構成要素を基点にして当該組織のどの範囲の構成要素から優先的に対策すべきかを判断する手間が軽減できる。 このように、本システムによれば、対策が必要な当該システムの構成要素の優先度付けを行うことができるため、優先度の高い範囲から対策を実施することで、ネットワーク経由で感染を広げるタイプのマルウェアに対する効率的なマルウェアの対策(感染調査や、感染した当該構成要素への対処)を実施することができる。
次に、実施例2について説明する。本実施例では、実施例1で用いた対策範囲優先度付けポリシーDB501の構成を拡張した、図11の対策範囲優先度付けポリシーDB1101を利用する。
具体的には、対策範囲優先度付けポリシーDB1101は、対策範囲分類要素1102、(メールでのやり取り関係での)感染構成要素からの距離1103、職位1104、対策範囲優先度付けポリシー1105、当該構成要素の優先度1106、優先度付け拡張ポリシー1107、優先度1108、対象範囲1109などからなる。
本構成での対策範囲優先度付けポリシーDB1101の見方は基本的に、前記対策範囲優先度付けポリシーDB501と同様であるため、以下では、前記対策範囲優先度付けポリシーDB501の構成に追加した、優先度付け拡張ポリシー1107と優先度1108、対象範囲1109について説明する。具体的には、前記対策範囲優先度付けポリシーDB501が、対策範囲分類要素502の各分類要素に該当する構成要素に対して割り当てる優先度のポリシー情報を保持していたのに対し、対策範囲優先度付けポリシーDB1101は当該構成要素からさらに、優先度を割り当てる対象範囲の情報とその優先度の情報を保持するものである。
たとえば、(メールのやり取り関係での)感染構成要素からの距離1103が「2」の構成要素に対し、当該構成要素の職位1104が「事業部長」であれば、当該構成要素へ割り当てる優先度は当該構成要素の優先度1106から「4」であることが分かり、さらに、優先度付け拡張ポリシー1107の優先度1108、対象範囲1109の情報から、「当該構成要素からの距離3までの構成要素」すべてに対し、優先度「3」を割り当てることが分かる。図11では、上記職位が「事業部長」であれば、職位「部課長」よりも地位が高く、対策範囲とすべき構成要素(感染によって影響を与えうる構成要素。すなわち当該構成要素を中心としたときに周辺の構成要素から構成される当該構成要素のすそのの範囲。)までの距離の値も大きくなると考えられるため、職位「部課長」の優先度よりも職位「事業部長」の優先度のほうが大きくなっている。 このとき、対象範囲1109での距離の概念については、本例では対策範囲分類要素1102の要素にある(メールのやり取り関係での)感染構成要素からの距離1103であるが、必ずしもこれと一致させる必要はない。また、前記優先度付け拡張ポリシー1107を適用することで、各構成要素に対して割り当てることができる優先度に重複が生じる場合には、本実施例ではより高い優先度を適用しているが、優先度の最終的な適用ポリシーについてはこれに限るものではない。
以下では、実施例2の処理について説明する。実施例2ではまず、実施例1でのステップ1001からステップ1007までの処理は同じで、ステップ1006において優先度付け処理が全ての構成要素へ完了した結果を取得する(ステップ1202)。
次に、前記取得したすべての構成要素のうち、前記対策範囲優先度付けポリシーDB1101から、優先度付け拡張ポリシー1107に従った優先度付け処理が未処理の任意の構成要素を選択する(ステップ1202)。
次に、前記選択した構成要素に該当する優先度付け拡張ポリシー情報を取得する(1203)。
次に、前記取得した優先度付け拡張ポリシーの対象範囲に該当する構成要素を抽出する(ステップ1204)。
次に、前記抽出した構成要素に対し、前記取得した優先度付け拡張ポリシーの優先度を割り当てる(ステップ1205)。
次に、全ての構成要素への優先度付け処理が完了したかどうかを判定し、完了していればステップ1207に進み、完了していなければステップ1202の処理に進む(ステップ1206)。
ステップ1206の処理の結果、全ての構成要素への優先度付け処理が完了したとき、以降の処理は実施例1の処理と同様に、ステップ1008の処理からステップ1011の処理を行う(ステップ1207)。
最後に、上記のステップで優先度を割り当てた構成要素のリスト情報を出力する(ステップ1208)。
以上が、実施例2における対策範囲優先度付け処理の詳細である。これにより、感染構成要素以外の構成要素が仮に感染していた場合で、かつ前記感染構成要素以外の構成要素とその周囲の構成要素を優先的に対策すべき場合でも、対策の優先度を上げるべきであると判断する手間が軽減できる。
101:サイバー攻撃対策範囲優先度付けシステム
102:関係情報DB
103:対策範囲優先度付けポリシーDB
104:属性情報DB
105:動作特性情報DB
106:対策履歴情報DB
107:関係情報作成・更新機能
108:対策範囲優先度付け機能。

Claims (12)

  1. 複数の構成要素から構成され、マルウェアに感染した構成要素に対する対策範囲を優先付けるサイバー攻撃対策範囲優先度付けシステムであって、
    前記構成要素を感染させた前記マルウェアの特性を示す特性情報を取得し、記憶部に記憶された前記構成要素同士の関係を示す関係情報と前記特性情報とに基づいて、前記特性情報に示される前記マルウェアの感染タイプにおける前記構成要素と前記感染した構成要素との距離を算出し、算出した前記距離と前記対策範囲を示す優先度付けポリシーとを対応付けたポリシー情報とに基づいて、前記対策範囲の優先度を定める対策範囲優先度付け部、
    を備えることを特徴とするサイバー攻撃対策範囲優先度付けシステム。
  2. 請求項1に記載のサイバー攻撃対策範囲優先度付けシステムであって、
    前記対策範囲優先度付け部は、前記記憶部に記憶された前記構成要素の組織上の属性を示す属性情報と算出した前記距離と前記ポリシー情報とに基づいて、前記対策範囲の優先度を定める、
    ことを特徴とするサイバー攻撃対策範囲優先度付けシステム。
  3. 請求項1に記載のサイバー攻撃対策範囲優先度付けシステムであって、
    前記構成要素間で行われた履歴情報に基づいて、前記関係情報を生成する関係情報生成部、
    を備えることを特徴とするサイバー攻撃対策範囲優先度付けシステム。
  4. 請求項2に記載のサイバー攻撃対策範囲優先度付けシステムであって、
    前記対策範囲優先度付け部は、前記構成要素間のやり取りで感染が拡大するか否かにより定められた前記マルウェアの感染タイプと前記属性情報と算出した前記距離と前記ポリシー情報とに基づいて、前記対策範囲の優先度を定める、
    ことを特徴とするサイバー攻撃対策範囲優先度付けシステム。
  5. 請求項1に記載のサイバー攻撃対策範囲優先度付けシステムであって、
    前記記憶部は、前記感染した構成要素に対する過去の対策履歴を記憶し、
    前記対策範囲優先度付け部は、前記過去の対策履歴の中から前記対策範囲の優先度を定めた前記マルウェアに類似するマルウェアがあるか否かを判定し、前記類似するマルウェアがあると判定した場合、前記類似するマルウェアが感染した構成要素に、前記マルウェアについて定めた前記対策範囲の優先度を割り当てる、
    ことを特徴とするサイバー攻撃対策範囲優先度付けシステム。
  6. 請求項2に記載のサイバー攻撃対策範囲優先度付けシステムであって、
    前記対策範囲優先度付け部は、前記対策範囲の優先度を定めた前記構成要素の周辺の構成要素について、前記属性情報に応じて定められた前記対策範囲を示す拡張優先度付けポリシーと前記距離とに基づいて、前記対策範囲の優先度を定める、
    ことを特徴とするサイバー攻撃対策範囲優先度付けシステム。
  7. 複数の構成要素から構成され、マルウェアに感染した構成要素に対する対策範囲を優先付けるサイバー攻撃対策範囲優先度付け方法であって、
    前記構成要素を感染させた前記マルウェアの特性を示す特性情報を取得する取得ステップと、
    記憶部に記憶された前記構成要素同士の関係を示す関係情報と前記特性情報とに基づいて、前記特性情報に示される前記マルウェアの感染タイプにおける前記構成要素と前記感染した構成要素との距離を算出する算出ステップと、
    算出した前記距離と前記対策範囲を示す優先度付けポリシーとを対応付けたポリシー情報とに基づいて、前記対策範囲の優先度を定める対策範囲優先度付けステップと、
    を含むことを特徴とするサイバー攻撃対策範囲優先度付け方法。
  8. 請求項7に記載のサイバー攻撃対策範囲優先度付け方法であって、
    前記対策範囲優先度付けステップでは、前記記憶部に記憶された前記構成要素の組織上の属性を示す属性情報と算出した前記距離と前記ポリシー情報とに基づいて、前記対策範囲の優先度を定める、
    ことを特徴とするサイバー攻撃対策範囲優先度付け方法。
  9. 請求項7に記載のサイバー攻撃対策範囲優先度付け方法であって、
    前記構成要素間で行われた履歴情報に基づいて、前記関係情報を生成する関係情報生成ステップ、
    をさらに含むことを特徴とするサイバー攻撃対策範囲優先度付け方法。
  10. 請求項8に記載のサイバー攻撃対策範囲優先度付け方法であって、
    前記対策範囲優先度付けステップでは、前記構成要素間のやり取りで感染が拡大するか否かにより定められた前記マルウェアの感染タイプと前記属性情報と算出した前記距離と前記ポリシー情報とに基づいて、前記対策範囲の優先度を定める、
    ことを特徴とするサイバー攻撃対策範囲優先度付け方法。
  11. 請求項7に記載のサイバー攻撃対策範囲優先度付け方法であって、
    前記対策範囲優先度付けステップでは、前記記憶部に記憶された前記感染した構成要素に対する過去の対策履歴の中から前記対策範囲の優先度を定めた前記マルウェアに類似するマルウェアがあるか否かを判定し、前記類似するマルウェアがあると判定した場合、前記類似するマルウェアが感染した構成要素に、前記マルウェアについて定めた前記対策範囲の優先度を割り当てる、
    ことを特徴とするサイバー攻撃対策範囲優先度付け方法。
  12. 請求項8に記載のサイバー攻撃対策範囲優先度付け方法であって、
    前記対策範囲優先度付けステップでは、前記対策範囲の優先度を定めた前記構成要素の周辺の構成要素について、前記属性情報に応じて定められた前記対策範囲を示す拡張優先度付けポリシーと前記距離とに基づいて、前記対策範囲の優先度を定める、
    ことを特徴とするサイバー攻撃対策範囲優先度付け方法。
JP2015117066A 2015-06-10 2015-06-10 サイバー攻撃対策範囲優先度付けシステム、サイバー攻撃対策範囲優先度付け方法 Active JP6490502B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2015117066A JP6490502B2 (ja) 2015-06-10 2015-06-10 サイバー攻撃対策範囲優先度付けシステム、サイバー攻撃対策範囲優先度付け方法
PCT/JP2016/065539 WO2016199582A1 (ja) 2015-06-10 2016-05-26 サイバー攻撃対策範囲優先度付けシステム、サイバー攻撃対策範囲優先度付け方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015117066A JP6490502B2 (ja) 2015-06-10 2015-06-10 サイバー攻撃対策範囲優先度付けシステム、サイバー攻撃対策範囲優先度付け方法

Publications (2)

Publication Number Publication Date
JP2017004233A true JP2017004233A (ja) 2017-01-05
JP6490502B2 JP6490502B2 (ja) 2019-03-27

Family

ID=57503445

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015117066A Active JP6490502B2 (ja) 2015-06-10 2015-06-10 サイバー攻撃対策範囲優先度付けシステム、サイバー攻撃対策範囲優先度付け方法

Country Status (2)

Country Link
JP (1) JP6490502B2 (ja)
WO (1) WO2016199582A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11720844B2 (en) 2018-08-31 2023-08-08 Sophos Limited Enterprise network threat detection

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004178033A (ja) * 2002-11-25 2004-06-24 Hitachi Ltd 分散システムにおけるセキュリティ管理支援方法およびプログラム
JP2006252277A (ja) * 2005-03-11 2006-09-21 Nec Corp コンピュータウィルス感染エリア検出方法及びネットワークシステム
JP2008140300A (ja) * 2006-12-05 2008-06-19 Hitachi Ltd ストレージシステム及びウィルス感染拡散防止方法並びにウィルス除去支援方法
JP2009176132A (ja) * 2008-01-25 2009-08-06 Sky Co Ltd ウィルス被害範囲予測システム
JP2010267128A (ja) * 2009-05-15 2010-11-25 Ntt Docomo Inc 解析システム、解析装置、検知方法、解析方法及びプログラム
JP2011101172A (ja) * 2009-11-05 2011-05-19 Nec Corp ワーム感染源特定システム、特定方法および特定プログラム、エージェント並びにマネージャコンピュータ
US20130067589A1 (en) * 2008-06-27 2013-03-14 Bank Of America Corporation Dynamic community generator

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004178033A (ja) * 2002-11-25 2004-06-24 Hitachi Ltd 分散システムにおけるセキュリティ管理支援方法およびプログラム
JP2006252277A (ja) * 2005-03-11 2006-09-21 Nec Corp コンピュータウィルス感染エリア検出方法及びネットワークシステム
JP2008140300A (ja) * 2006-12-05 2008-06-19 Hitachi Ltd ストレージシステム及びウィルス感染拡散防止方法並びにウィルス除去支援方法
JP2009176132A (ja) * 2008-01-25 2009-08-06 Sky Co Ltd ウィルス被害範囲予測システム
US20130067589A1 (en) * 2008-06-27 2013-03-14 Bank Of America Corporation Dynamic community generator
JP2010267128A (ja) * 2009-05-15 2010-11-25 Ntt Docomo Inc 解析システム、解析装置、検知方法、解析方法及びプログラム
JP2011101172A (ja) * 2009-11-05 2011-05-19 Nec Corp ワーム感染源特定システム、特定方法および特定プログラム、エージェント並びにマネージャコンピュータ

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11720844B2 (en) 2018-08-31 2023-08-08 Sophos Limited Enterprise network threat detection
US11727333B2 (en) 2018-08-31 2023-08-15 Sophos Limited Endpoint with remotely programmable data recorder

Also Published As

Publication number Publication date
JP6490502B2 (ja) 2019-03-27
WO2016199582A1 (ja) 2016-12-15

Similar Documents

Publication Publication Date Title
US11470029B2 (en) Analysis and reporting of suspicious email
US11997115B1 (en) Message platform for automated threat simulation, reporting, detection, and remediation
US11012472B2 (en) Security rule generation based on cognitive and industry analysis
US10121000B1 (en) System and method to detect premium attacks on electronic networks and electronic devices
US10387667B2 (en) Method and system for anonymizing activity records
US9509715B2 (en) Phishing and threat detection and prevention
EP4052156B1 (en) Campaign intelligence and visualization for combating cyberattacks
US11562064B2 (en) Machine learning-based security alert escalation guidance
CA3120469A1 (en) Threat detection platforms for detecting, characterizing, and remediating email-based threats in real time
US8856928B1 (en) Protecting electronic assets using false profiles in social networks
US20120011245A1 (en) Monitoring communications
JP2019519018A (ja) ネットワーク化コンピュータシステムアーキテクチャにおけるセキュリティリスクを低減させるための方法および装置
US10454967B1 (en) Clustering computer security attacks by threat actor based on attack features
WO2017019717A1 (en) Dynamic attachment delivery in emails for advanced malicious content filtering
WO2015116694A1 (en) User reporting and automatic threat processing of suspicious email
US11201875B2 (en) Web threat investigation using advanced web crawling
JP6490502B2 (ja) サイバー攻撃対策範囲優先度付けシステム、サイバー攻撃対策範囲優先度付け方法
AU2011276987B2 (en) Monitoring communications
US11831661B2 (en) Multi-tiered approach to payload detection for incoming communications
US11770388B1 (en) Network infrastructure detection
US20240187425A1 (en) Campaign intelligence and visualization for combating cyberattacks
US20230117268A1 (en) User entity normalization and association

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171222

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190205

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190227

R150 Certificate of patent or registration of utility model

Ref document number: 6490502

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250