JP2017528853A - コンピュータネットワークへの攻撃を検出する方法 - Google Patents
コンピュータネットワークへの攻撃を検出する方法 Download PDFInfo
- Publication number
- JP2017528853A JP2017528853A JP2017522730A JP2017522730A JP2017528853A JP 2017528853 A JP2017528853 A JP 2017528853A JP 2017522730 A JP2017522730 A JP 2017522730A JP 2017522730 A JP2017522730 A JP 2017522730A JP 2017528853 A JP2017528853 A JP 2017528853A
- Authority
- JP
- Japan
- Prior art keywords
- computer network
- warning messages
- warning
- type
- messages
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 91
- 230000005856 abnormality Effects 0.000 claims abstract description 32
- 238000004458 analytical method Methods 0.000 claims description 47
- 241000700605 Viruses Species 0.000 claims description 15
- 230000008569 process Effects 0.000 claims description 14
- 238000001514 detection method Methods 0.000 claims description 6
- 230000000694 effects Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 12
- 238000007726 management method Methods 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000001960 triggered effect Effects 0.000 description 3
- 230000003044 adaptive effect Effects 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000002596 correlated effect Effects 0.000 description 2
- 230000007613 environmental effect Effects 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000010223 real-time analysis Methods 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0604—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0681—Configuration of triggering conditions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
2014年7月18日に出願された欧州特許出願第14177647.6号の優先権が主張され、その開示全体は参照によりここに組み込まれる。
本発明は、コンピュータネットワークへの攻撃を検出する方法及び解析システムに関する。
IT 情報技術
SIEM セキュリティ情報及びイベント管理
SIM セキュリティ情報管理
SEM セキュリティイベント管理
C2サーバ コマンド制御サーバ
102 警告メッセージ
110 警告メッセージの総量
111 第1タイプの異常
112 第2タイプの異常
113 第3タイプの異常
114 第4タイプの異常
108 警報信号
200 解析システム
201 受信モジュール
203 比較モジュール
205 出力モジュール
204 警告メッセージ
206 比較結果
300 解析システム
301 受信モジュール
307 分類モジュール
303 比較モジュール
305 出力モジュール
304 警告メッセージ
310 異常のタイプ
306 比較結果
108 コンピュータネットワークへの攻撃についての警報信号又は表示
400 コンピュータネットワークのインターネットウェブページへの攻撃についてのシナリオ
410 コンピュータネットワーク
411 インターネットウェブページ
420 小グループのユーザ
500 企業内のコンピュータネットワークのネットワーク型コンピュータグループへのウイルス攻撃についてのシナリオ
510 企業内のコンピュータネットワーク
511、513、515 コンピュータネットワークにおけるコンピュータ
512、514、516 コンピュータ上のプロセスリスト
P1、P2、P3 コンピュータで稼働するプロセス
PVirus コンピュータ上のマルウェア
600 コンピュータネットワークへの攻撃の表示を判定する方法
601 第1の方法ステップ:受信する
603 第2の方法ステップ:比較する
605 第3の方法ステップ:出力する
Claims (15)
- 複数のコンピュータを備えるコンピュータネットワークにおいて攻撃を検出する方法であって、
前記コンピュータから複数の警告メッセージを受信するステップであって、前記警告メッセージが前記コンピュータネットワークの異質タイプの異常に基づくステップ、
前記複数の受信警告メッセージからの警告メッセージ数を所定のイベント閾値と比較するステップであって、前記警告メッセージ数が前記コンピュータネットワークの単一タイプの異常に基づくステップ、及び
前記コンピュータネットワークの同一タイプの異常に基づく前記警告メッセージ数が前記イベント閾値を下回る場合に警報信号を出力するステップ
を備える方法。 - 前記複数の警告メッセージが所定の時間間隔で受信される、請求項1に記載の方法。
- 前記複数の警告メッセージの個々の警告メッセージが示す前記異常のタイプによって前記複数の警告メッセージを分類するステップ
をさらに備える請求項2に記載の方法。 - 前記警告メッセージのコンテンツに基づいて前記複数の警告メッセージの警告メッセージが示す前記異常のタイプを判定するステップ
をさらに備える請求項2に記載の方法。 - 前記コンピュータネットワークにおける同一タイプの異常に基づいて前記警告メッセージ数を判定するために、同じタイプに分類される、所定の時間間隔で受信される警告メッセージを計数するステップ
をさらに備える請求項3に記載の方法。 - 前記イベント閾値を下回る前記警告メッセージ数に基づいて前記コンピュータネットワークへの攻撃の前記存在の確率の値を判定するステップ
をさらに備える請求項1に記載の方法。 - 前記確率の値を判定する前記ステップが、以下の所定のパラメータ:前記コンピュータネットワークの個別のユーザグループの脅威の可能性についてのブラックリスト、ホワイトリスト、閾値、イベント相関値及び定義の少なくとも1つにさらに基づく、請求項6に記載の方法。
- 前記確率の値を判定する前記ステップが、前記コンピュータネットワークのウェブページへの訪問者数にさらに基づく、請求項6に記載の方法。
- 前記確率の値を判定する前記ステップが、前記コンピュータネットワークにおいて稀に実行されるプロセス(PVirus)の頻度にさらに基づく、請求項6に記載の方法。
- 前記確率の値を判定する前記ステップが、前記コンピュータネットワークにおける前記複数のコンピュータの所定のグループのコンピュータでのみ所定の時間から実行されたプログラム(PVirus)の頻度にさらに基づく、請求項6に記載の方法。
- 前記複数の警告メッセージの警告メッセージが、前記複数のコンピュータの少なくとも1つにおける以下のシステム:ウイルススキャナ、プロキシサーバ、侵入検知システム(IDS)、ファイアウォール、オペレーティングシステム、ログ管理システム並びにセキュリティ情報及びイベント管理(SIEM)システムの1以上を使用して生成される、請求項1に記載の方法。
- 前記イベント閾値を下回る前記警告メッセージ数に基づいて前記イベント閾値を調整するステップ
をさらに備える請求項1に記載の方法。 - 以下のイベント:ユーザフィードバック、前記コンピュータネットワークの前記ネットワークアーキテクチャの変化、前記コンピュータネットワークにおける前記コンピュータ数の変化の少なくとも1つの関数として前記イベント閾値を適応的に調整するステップ
をさらに備える請求項1に記載の方法。 - 複数のコンピュータを備えるコンピュータネットワークにおいて攻撃を検出するための解析システムであって、
前記コンピュータから複数の警告メッセージを受信するように構成された受信モジュールであって、前記警告メッセージが前記コンピュータネットワークの異質タイプの異常に基づく受信モジュール、
前記複数の受信警告メッセージからの警告メッセージ数を所定のイベント閾値と比較するように構成された比較モジュールであって、前記警告メッセージ数が前記コンピュータネットワークの単一タイプの異常に基づく比較モジュール、及び
前記コンピュータネットワークにおける同一タイプの異常に基づく前記警告メッセージ数が前記所定のイベント閾値を下回る場合に警報信号を出力するように構成された出力モジュール
を備える解析システム。 - 個々の警告メッセージが示す前記異常のタイプによって前記複数の警告メッセージを分類するように構成された分類モジュール
をさらに備える請求項14に記載の解析システム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP14177647.6 | 2014-07-18 | ||
EP14177647.6A EP2975801B1 (de) | 2014-07-18 | 2014-07-18 | Verfahren zum Erkennen eines Angriffs in einem Computernetzwerk |
PCT/EP2015/065547 WO2016008778A1 (de) | 2014-07-18 | 2015-07-08 | Verfahren zum erkennen eines angriffs in einem computernetzwerk |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017528853A true JP2017528853A (ja) | 2017-09-28 |
JP6442051B2 JP6442051B2 (ja) | 2018-12-19 |
Family
ID=51212712
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017522730A Active JP6442051B2 (ja) | 2014-07-18 | 2015-07-08 | コンピュータネットワークへの攻撃を検出する方法 |
Country Status (7)
Country | Link |
---|---|
US (1) | US9900327B2 (ja) |
EP (1) | EP2975801B1 (ja) |
JP (1) | JP6442051B2 (ja) |
CN (1) | CN106537872B (ja) |
CA (1) | CA2954552C (ja) |
PL (1) | PL2975801T3 (ja) |
WO (1) | WO2016008778A1 (ja) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7056752B2 (ja) * | 2018-10-11 | 2022-04-19 | 日本電信電話株式会社 | 分析装置、分析システム、分析方法及びプログラム |
FR3095313A1 (fr) * | 2019-04-18 | 2020-10-23 | Orange | Procédé et dispositif de traitement d’un message d’alerte notifiant une anomalie détectée dans un trafic émis via un réseau |
CN112104480B (zh) * | 2020-08-05 | 2022-10-21 | 福建天泉教育科技有限公司 | 提高告警质量的方法及其系统 |
US11799879B2 (en) | 2021-05-18 | 2023-10-24 | Bank Of America Corporation | Real-time anomaly detection for network security |
US11792213B2 (en) | 2021-05-18 | 2023-10-17 | Bank Of America Corporation | Temporal-based anomaly detection for network security |
US11588835B2 (en) | 2021-05-18 | 2023-02-21 | Bank Of America Corporation | Dynamic network security monitoring system |
CN114024831B (zh) * | 2021-11-08 | 2024-01-26 | 中国工商银行股份有限公司 | 一种异常事件预警方法、装置和系统 |
CN114567482A (zh) * | 2022-02-28 | 2022-05-31 | 天翼安全科技有限公司 | 一种告警分类方法、装置、电子设备及存储介质 |
CN115118463A (zh) * | 2022-06-10 | 2022-09-27 | 深信服科技股份有限公司 | 一种失陷主机检测方法、装置、电子设备及存储介质 |
CN114978778B (zh) * | 2022-08-01 | 2022-10-28 | 北京六方云信息技术有限公司 | 基于因果推断的多步攻击检测方法、装置及设备 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0334039A (ja) * | 1989-06-30 | 1991-02-14 | Nec Corp | ネットワーク管理における障害メッセージ管理方式 |
WO1999050750A1 (fr) * | 1998-04-01 | 1999-10-07 | Hitachi, Ltd. | Procede et dispositif de production de messages et support d'enregistrement servant a stocker un programme de production de messages |
JP2000148276A (ja) * | 1998-11-05 | 2000-05-26 | Fujitsu Ltd | セキュリティ監視装置,セキュリティ監視方法およびセキュリティ監視用プログラム記録媒体 |
JP2001356939A (ja) * | 2000-06-13 | 2001-12-26 | Tokyo Electric Power Co Inc:The | ログ情報解析装置、方法および記録媒体 |
JP2007094997A (ja) * | 2005-09-30 | 2007-04-12 | Fujitsu Ltd | Idsのイベント解析及び警告システム |
JP2010152773A (ja) * | 2008-12-26 | 2010-07-08 | Mitsubishi Electric Corp | 攻撃判定装置及び攻撃判定方法及びプログラム |
JP2010237975A (ja) * | 2009-03-31 | 2010-10-21 | Fujitsu Social Science Laboratory Ltd | インシデント監視装置,方法,プログラム |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7475405B2 (en) * | 2000-09-06 | 2009-01-06 | International Business Machines Corporation | Method and system for detecting unusual events and application thereof in computer intrusion detection |
CN1848765A (zh) * | 2006-03-10 | 2006-10-18 | 四川大学 | 基于免疫的网络入侵危险性评估方法 |
US8205244B2 (en) * | 2007-02-27 | 2012-06-19 | Airdefense, Inc. | Systems and methods for generating, managing, and displaying alarms for wireless network monitoring |
US8504504B2 (en) * | 2008-09-26 | 2013-08-06 | Oracle America, Inc. | System and method for distributed denial of service identification and prevention |
CN101399672B (zh) * | 2008-10-17 | 2011-03-02 | 章毅 | 一种多神经网络融合的入侵检测方法 |
KR101061375B1 (ko) * | 2009-11-02 | 2011-09-02 | 한국인터넷진흥원 | Uri 타입 기반 디도스 공격 탐지 및 대응 장치 |
CN101741847B (zh) * | 2009-12-22 | 2012-11-07 | 北京锐安科技有限公司 | 一种ddos攻击检测方法 |
FI20096394A0 (fi) * | 2009-12-23 | 2009-12-23 | Valtion Teknillinen | Tunkeutumisen havaitseminen viestintäverkoissa |
WO2013016245A1 (en) * | 2011-07-22 | 2013-01-31 | Anne-Marie Turgeon | Systems and methods for network monitoring and testing using intelligent sequencing |
US9503463B2 (en) * | 2012-05-14 | 2016-11-22 | Zimperium, Inc. | Detection of threats to networks, based on geographic location |
CN103856455A (zh) * | 2012-12-04 | 2014-06-11 | 中山大学深圳研究院 | 一种保护计算机网络避免数据洪水攻击的方法及系统 |
-
2014
- 2014-07-18 PL PL14177647T patent/PL2975801T3/pl unknown
- 2014-07-18 EP EP14177647.6A patent/EP2975801B1/de active Active
-
2015
- 2015-07-08 WO PCT/EP2015/065547 patent/WO2016008778A1/de active Application Filing
- 2015-07-08 CA CA2954552A patent/CA2954552C/en active Active
- 2015-07-08 CN CN201580039167.1A patent/CN106537872B/zh active Active
- 2015-07-08 JP JP2017522730A patent/JP6442051B2/ja active Active
- 2015-07-17 US US14/801,913 patent/US9900327B2/en active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0334039A (ja) * | 1989-06-30 | 1991-02-14 | Nec Corp | ネットワーク管理における障害メッセージ管理方式 |
WO1999050750A1 (fr) * | 1998-04-01 | 1999-10-07 | Hitachi, Ltd. | Procede et dispositif de production de messages et support d'enregistrement servant a stocker un programme de production de messages |
JP2000148276A (ja) * | 1998-11-05 | 2000-05-26 | Fujitsu Ltd | セキュリティ監視装置,セキュリティ監視方法およびセキュリティ監視用プログラム記録媒体 |
JP2001356939A (ja) * | 2000-06-13 | 2001-12-26 | Tokyo Electric Power Co Inc:The | ログ情報解析装置、方法および記録媒体 |
JP2007094997A (ja) * | 2005-09-30 | 2007-04-12 | Fujitsu Ltd | Idsのイベント解析及び警告システム |
JP2010152773A (ja) * | 2008-12-26 | 2010-07-08 | Mitsubishi Electric Corp | 攻撃判定装置及び攻撃判定方法及びプログラム |
JP2010237975A (ja) * | 2009-03-31 | 2010-10-21 | Fujitsu Social Science Laboratory Ltd | インシデント監視装置,方法,プログラム |
Also Published As
Publication number | Publication date |
---|---|
CA2954552A1 (en) | 2016-01-21 |
CN106537872B (zh) | 2020-11-24 |
US20160021128A1 (en) | 2016-01-21 |
EP2975801A1 (de) | 2016-01-20 |
PL2975801T3 (pl) | 2017-07-31 |
US9900327B2 (en) | 2018-02-20 |
EP2975801B1 (de) | 2016-06-29 |
JP6442051B2 (ja) | 2018-12-19 |
CN106537872A (zh) | 2017-03-22 |
WO2016008778A1 (de) | 2016-01-21 |
CA2954552C (en) | 2019-08-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6442051B2 (ja) | コンピュータネットワークへの攻撃を検出する方法 | |
US10467411B1 (en) | System and method for generating a malware identifier | |
Ponomarev et al. | Industrial control system network intrusion detection by telemetry analysis | |
US7228564B2 (en) | Method for configuring a network intrusion detection system | |
US7752665B1 (en) | Detecting probes and scans over high-bandwidth, long-term, incomplete network traffic information using limited memory | |
US8931099B2 (en) | System, method and program for identifying and preventing malicious intrusions | |
US8949668B2 (en) | Methods and systems for use in identifying abnormal behavior in a control system including independent comparisons to user policies and an event correlation model | |
EP3068095B1 (en) | Monitoring apparatus and method | |
Singh et al. | Analysis of host-based and network-based intrusion detection system | |
US11700269B2 (en) | Analyzing user behavior patterns to detect compromised nodes in an enterprise network | |
Hajj et al. | Anomaly‐based intrusion detection systems: The requirements, methods, measurements, and datasets | |
US20030188189A1 (en) | Multi-level and multi-platform intrusion detection and response system | |
US20040103021A1 (en) | System and method of detecting events | |
US20080141332A1 (en) | System, method and program product for identifying network-attack profiles and blocking network intrusions | |
US7836503B2 (en) | Node, method and computer readable medium for optimizing performance of signature rule matching in a network | |
CN114124516B (zh) | 态势感知预测方法、装置及系统 | |
JP2015179979A (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
CN114006723A (zh) | 基于威胁情报的网络安全预测方法、装置及系统 | |
CN114189361B (zh) | 防御威胁的态势感知方法、装置及系统 | |
GB2381722A (en) | intrusion detection (id) system which uses signature and squelch values to prevent bandwidth (flood) attacks on a server | |
CN114301706B (zh) | 基于目标节点中现有威胁的防御方法、装置及系统 | |
CN114006722B (zh) | 发现威胁的态势感知验证方法、装置及系统 | |
US20230283621A1 (en) | Systems, Methods, and Media for Distributed Network Monitoring Using Local Monitoring Devices | |
US20210126925A1 (en) | Extraction apparatus, extraction method, computer readable medium | |
CN114172881B (zh) | 基于预测的网络安全验证方法、装置及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180228 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180313 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180613 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180719 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180814 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181018 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20181025 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181122 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6442051 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |