JP2018121262A - Security monitoring server, security monitoring method, program - Google Patents
Security monitoring server, security monitoring method, program Download PDFInfo
- Publication number
- JP2018121262A JP2018121262A JP2017012558A JP2017012558A JP2018121262A JP 2018121262 A JP2018121262 A JP 2018121262A JP 2017012558 A JP2017012558 A JP 2017012558A JP 2017012558 A JP2017012558 A JP 2017012558A JP 2018121262 A JP2018121262 A JP 2018121262A
- Authority
- JP
- Japan
- Prior art keywords
- attack detection
- entry
- security monitoring
- detail
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、IDS(Intrusion Detection System)、IPS(Intrusion Protection System)、攻撃検知システムに利用可能なセキュリティ監視サーバ、セキュリティ監視方法、プログラムに関する。 The present invention relates to an IDS (Intrusion Detection System), an IPS (Intrusion Protection System), a security monitoring server, a security monitoring method, and a program that can be used in an attack detection system.
近年、ネットワークを介してつながるサーバなどのインフラに対する攻撃の脅威が増大している。また、IoT(Internet of Things)時代を向かえ、検知対象となる機器の数が爆発的に増加することが予測される。攻撃検知システムの従来技術として、特許文献1がある。またネットワーク監視装置の従来技術として、特許文献2がある。 In recent years, threats of attacks against infrastructures such as servers connected via a network are increasing. Moreover, it is predicted that the number of devices to be detected will explode in the IoT (Internet of Things) era. There exists patent document 1 as a prior art of an attack detection system. Further, there is Patent Document 2 as a conventional technique of a network monitoring device.
従来技術を利用して、多数の機器を対象に多くの計算量(深い分析)を伴う攻撃検知を行う場合、計算リソースが多量に必要となることが課題であった。そこで本発明では、計算リソースを効果的に用いることができるセキュリティ監視サーバを提供することを目的とする。 When attack detection involving a large amount of calculation (deep analysis) is performed on a large number of devices using the conventional technology, it is a problem that a large amount of calculation resources are required. Therefore, an object of the present invention is to provide a security monitoring server that can effectively use computing resources.
本発明のセキュリティ監視サーバは、発信元特定部と、攻撃検知詳細度決定部と、攻撃検知部と、高次検知必要性判断部を含む。 The security monitoring server of the present invention includes a transmission source specifying unit, an attack detection detail level determination unit, an attack detection unit, and a high-order detection necessity determination unit.
発信元特定部は、受信した情報に基づいて情報の発信元を特定する。攻撃検知詳細度決定部は、過去に受信した情報の発信元と過去に受信した情報の脅威レベルとを対応付けてエントリとして予め記憶する脅威レベルデータベースと、特定された発信元とを照合し、受信した情報に対する攻撃検知の詳細度を決定する。攻撃検知部は、受信した情報に対して、決定された詳細度に基づく攻撃検知を実行する。高次検知必要性判断部は、攻撃検知の結果に基づいて、受信した情報に対する高次な攻撃検知の必要性を判断する。攻撃検知詳細度決定部は、高次な攻撃検知の必要性があると判断された場合に、攻撃検知の結果に基づいて、受信した情報に対する攻撃検知の詳細度を再度決定する。 The transmission source specifying unit specifies the transmission source of the information based on the received information. The attack detection detail level determination unit collates the identified sender with a threat level database that stores the sender of the information received in the past and the threat level of the information received in the past in advance as an entry, Determine the level of detail of attack detection for the received information. The attack detection unit performs attack detection on the received information based on the determined level of detail. The higher-order detection necessity determination unit determines the necessity of higher-order attack detection for the received information based on the attack detection result. When it is determined that there is a need for higher-level attack detection, the attack detection detail level determination unit determines again the detail level of attack detection for the received information based on the result of attack detection.
本発明のセキュリティ監視サーバによれば、計算リソースを効果的に用いることができる。 According to the security monitoring server of the present invention, computational resources can be used effectively.
以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。 Hereinafter, embodiments of the present invention will be described in detail. In addition, the same number is attached | subjected to the structure part which has the same function, and duplication description is abbreviate | omitted.
以下、図1、図2を参照して実施例1の攻撃検知システムの構成及び動作を説明する。図1に示すように本実施例の攻撃検知システム1000は、セキュリティ監視サーバ1、管理者端末91、サービス提供サーバ92、スイッチ/ルータ93、セキュリティアプライアンス94、脅威レベルデータベース95などを含んで構成される。なお、脅威レベルデータベース95は、セキュリティ監視サーバ1のハードウェア内の記憶領域としてもよい。
Hereinafter, the configuration and operation of the attack detection system according to the first embodiment will be described with reference to FIGS. 1 and 2. As shown in FIG. 1, the
本実施例のセキュリティ監視サーバ1は、情報受信部11と、処理前データベース11aと、発信元特定部12と、処理済データベース12aと、攻撃検知詳細度決定部13と、攻撃検知部14と、検知結果データベース14aと、高次検知必要性判断部15と、結果保存部16を含む。図1に示すように、発信元特定部12は復号部121、ヘッダ解析部122、ペイロード解析部123、統計部124などを含んで構成されてもよい。
The security monitoring server 1 of the present embodiment includes an
情報受信部11は、任意のクライアント端末(以下、発信元とも表記される)から任意の情報を受信する(S11)。受信した情報は、処理前データベース11aに格納される。
The
なお、本実施例で攻撃検知対象とされるクライアント端末(発信元)としては、例えばPCなどの端末や、IoT端末(制御系、センシング系など)、検知に低遅延性が求められる端末が想定される。 In addition, as a client terminal (source) that is targeted for attack detection in this embodiment, for example, a terminal such as a PC, an IoT terminal (control system, sensing system, etc.), or a terminal that requires low delay in detection is assumed. Is done.
受信する情報の抽象度は、小さな情報単位としてはパケット、中規模な情報の単位としてデータ(例えばセンサデータひとつ分)、大規模な情報の単位として、所定のIPアドレスから一度のセッション、あるいは一定時間内に行われたセッションで送信された通信情報の全て、などが考えられる。後述するように、所定の情報単位ごとに攻撃検知が行われ、検知結果を記憶するためのエントリが生成される。攻撃検知やエントリ生成の対象となる情報の単位の抽象度については、自由度を持たせることができるものとする。例えば、パケットごとに攻撃検知、エントリ生成が実行されてもよいし、データごとに攻撃検知、エントリ生成を実行されてもよい。あるいは所定のIPアドレスから一度のセッションで送信された通信情報の全てに対して攻撃検知、エントリ生成が実行されてもよい。 The degree of abstraction of information received is a packet as a small information unit, data as a medium information unit (for example, one sensor data), a single session from a predetermined IP address as a large information unit, or a constant All the communication information transmitted in the session performed within the time can be considered. As will be described later, attack detection is performed for each predetermined information unit, and an entry for storing the detection result is generated. It is assumed that the degree of abstraction of the unit of information that is the target of attack detection and entry generation can have a degree of freedom. For example, attack detection and entry generation may be executed for each packet, or attack detection and entry generation may be executed for each data. Alternatively, attack detection and entry generation may be performed on all communication information transmitted from a predetermined IP address in a single session.
発信元特定部12は、ステップS11で受信した情報に基づいて情報の発信元を特定する(S12)。同図の構成例に従って具体的に説明するならば、復号部121は、受信した情報の復号処理を実行する。ヘッダ解析部122は、受信した情報のヘッダを解析する。ペイロード解析部123は、受信した情報のペイロード部分の解析を実行する。統計部124は、上記のデータを統計解析する。発信元の特定は、上述の情報を用い、様々な方法で実現できる。例えば、上述のように解析されたヘッダからIPアドレスなどの個別の識別子を抽出し、これを情報の発信元として用いてもよい。また例えば、解析されたヘッダからセッションIDなどを抽出し、これを情報の発信元として用いてもよい。ステップS12において生成されたデータは、処理済データベース12aに格納される。
The transmission
図3に示すように、脅威レベルデータベース95には、過去の通信を対象として、発信元を特定する情報(例えばIPアドレスや端末ID)に紐づけて、一次検知(分析A)の検知結果、二次検知(分析B)の検知結果、…といった具合に、攻撃検知の詳細度(以下、次数ともいう)ごとに、攻撃検知の結果が記憶されていてもよい。これに加え、脅威レベルデータベース95には、詳細度ごとの攻撃検知結果から導き出される脅威レベルが対応付けられて記憶されているものとする。なお、図3の例に限らず、詳細度ごとの攻撃検知結果そのものを脅威レベルとして扱っても構わない。また、脅威レベルデータベース95には、発信元を特定する情報(例えばIPアドレスや端末ID)だけでなく、通信セッションやパケットを特定する情報に紐づけて、各種の攻撃検知結果や脅威レベルが記憶されていてもよい。
As shown in FIG. 3, in the
脅威レベルは、0または1の2値としてもよいし、3値以上の数値を設定してもよい。例えば脅威レベルに10種類の数字0,1,…,9を設定し、数字が大きければ大きいほど悪性度が強いことを意味するものとし、脅威レベルカラムの数字が9であれば明らかな悪性としてもよい。 The threat level may be a binary value of 0 or 1, or a numerical value of 3 or more may be set. For example, 10 numbers 0, 1,..., 9 are set for the threat level, and the larger the number, the stronger the malignancy, and if the number in the threat level column is 9, it is clearly malignant. Also good.
本明細書では、少なくとも発信元を特定する情報とこれに対応する脅威レベルを含む情報のセットをエントリと呼ぶ。従って、脅威レベルデータベース95には、少なくとも、過去に受信した情報の発信元(例えばIPアドレスや端末ID)と過去に受信した情報の脅威レベルとが対応付けられてエントリとして予め記憶されているものとする。
In this specification, a set of information including at least information specifying a transmission source and a corresponding threat level is referred to as an entry. Accordingly, the
攻撃検知詳細度決定部13は、脅威レベルデータベース95の各エントリと、ステップS12において特定された発信元とを照合し、ステップS11で受信した情報に対する攻撃検知の詳細度を決定する(S13)。より具体的には、攻撃検知詳細度決定部13は、ステップS12において発信元が特定された通信に対し、これと同一の発信元に該当するエントリが脅威レベルデータベース95に存在するか否かを確認する。攻撃検知詳細度決定部13は、例えば以下のようなルールで、受信した情報に対する攻撃検知の詳細度を決定してもよい。
The attack detection detail
具体例1)
脅威レベルデータベース95に対応するエントリがなかった場合、詳細度(次数)を1次と設定する。一方、脅威レベルデータベース95に対応するエントリがあった場合、詳細度(次数)をエントリが示す脅威レベルの一つ上の次数に設定する。
Specific example 1)
If there is no entry corresponding to the
具体例2)
脅威レベルデータベース95に対応するエントリがなかった場合、詳細度(次数)を1次と設定する。一方、脅威レベルデータベース95に対応するエントリがあった場合、詳細度(次数)をエントリが示す脅威レベルと等しい次数に設定する。
Specific example 2)
If there is no entry corresponding to the
予め用意される攻撃検知アルゴリズムには、予め詳細度(次数)が与えられているものとする。本実施例で用いることができる攻撃検知アルゴリズムとしては、例えばルールベース攻撃検知、ポートスキャニングの検知、利用ポートの変化検知、トラヒック流量の変化検知、パケット受信タイミングの変化検知、DPI、時系列データとして取得されたデータを用いて予測されたデータと、実測されたデータとのはずれ具合で異常を検知する攻撃検知などが挙げられる。攻撃検知アルゴリズムが詳細かつ高コストであるほど、詳細度(次数)が高く設定される。 Assume that the attack detection algorithm prepared in advance is given a degree of detail (order) in advance. Examples of attack detection algorithms that can be used in this embodiment include rule-based attack detection, port scanning detection, port change detection, traffic flow change detection, packet reception timing change detection, DPI, and time series data. Examples include attack detection that detects anomalies based on a deviation between data predicted using acquired data and measured data. As the attack detection algorithm is more detailed and expensive, the degree of detail (order) is set higher.
次に、攻撃検知部14は、ステップS11で受信した情報に対して、ステップS13で決定された詳細度(次数)に基づく攻撃検知を実行する(S14)。
Next, the
攻撃検知の結果が正常であった場合(S14aN)、結果保存部16は、発信元を特定する情報と、検知結果を検知結果データベース14aおよび脅威レベルデータベース95に保存する(S16)。図4に示すように、検知結果データベース14aには、アノマリ識別子、タイムスタンプ、発信元を特定する情報(IPアドレスや端末ID)、詳細度ごとの検知結果、詳細度ごとの検知回数、最終検知結果、対処済フラグなどが保存される。
When the attack detection result is normal (S14aN), the
一方、攻撃検知の結果が正常でない場合(懸念有、または異常有であった場合、S14aY)、高次検知必要性判断部15は、受信した情報に対する高次な攻撃検知の必要性を判断する(S15)。高次な攻撃検知の必要性があると判断されなかった場合(S15aN)、結果保存部16は、発信元を特定する情報と、検知結果を検知結果データベース14aおよび脅威レベルデータベース95に保存する(S16)。S15aNに該当する場合として具体的には以下のようなケースが考えられる。
1)該当の通信が異常(不正)であることが明白であるため、さらに高次な攻撃検知を実行する必要性が乏しい。例えば、前述の脅威レベルカラムの数字が9である場合などには、該当の通信が悪性であることが明白であるため、さらに高次な攻撃検知を省略することができ、計算リソースを効果的に用いることができる。
2)すでに最高次の攻撃検知が実行されており、これよりも高次な攻撃検知が実行できない。
On the other hand, when the attack detection result is not normal (if there is a concern or abnormality, S14aY), the high-order detection
1) Since it is clear that the corresponding communication is abnormal (unauthorized), it is less necessary to perform higher-order attack detection. For example, when the number in the above-mentioned threat level column is 9, since it is clear that the corresponding communication is malignant, it is possible to omit higher-order attack detection and effectively use the computational resources. Can be used.
2) The highest order attack detection has already been executed, and higher order attack detection cannot be executed.
一方、高次な攻撃検知の必要性があると判断された場合(S15aY)、攻撃検知詳細度決定部13は、攻撃検知の結果に基づいて、受信した情報に対する攻撃検知の詳細度を再度決定する(S13)。攻撃検知部14は、再度決定された詳細度(次数)に基づく攻撃検知を再度実行する(S14)。ステップS14aYの場合、高次検知必要性判断部15は、さらに高次な攻撃検知の必要性を判断する(S15)。このように、S14aY,S15aYを充たす限りにおいて、ステップS13、S14、S15が繰り返し実行される。攻撃検知詳細度決定部13の詳細度(次数)の再決定方法として以下の具体的方法が考えられる。
On the other hand, if it is determined that there is a need for higher-order attack detection (S15aY), the attack detection detail
具体例1)
対象の攻撃検知の詳細度(次数)を常に1増やす。
Specific example 1)
Always increase the detail (degree) of target attack detection by 1.
具体例2)
ステップS14の攻撃検知アルゴリズムの出力が、正常/懸念有り/異常有りの3段階で表現される場合、
出力=懸念有り→判断結果=Yes(次数を1増やす)
出力=異常有り→判断結果=Yes(次数を2増やす)
※出力=正常(懸念有り、異常有りの何れにも該当しない)の場合は、S14aNの分岐を通り、ステップS16が実行されてフローが終了となる。
Specific example 2)
When the output of the attack detection algorithm in step S14 is expressed in three stages of normal / concerned / abnormal,
Output = Concern → Judgment result = Yes (Increment the order by 1)
Output = Abnormal → Judgment result = Yes (Order is increased by 2)
* If the output is normal (not applicable to any concern or abnormality), the process passes through the branch of S14aN, and step S16 is executed to complete the flow.
具体例3)
ステップS14の攻撃検知アルゴリズムの出力が、正常/懸念有り/異常有りの3段階で表現される場合、
出力=懸念有り→判断結果=No(次数を増やさない→S15aN→エンド)
出力=異常有り→判断結果=Yes(次数を1増やす)
※出力=正常(懸念有り、異常有りの何れにも該当しない)の場合は、S14aNの分岐を通り、ステップS16が実行されてフローが終了となる。
Specific example 3)
When the output of the attack detection algorithm in step S14 is expressed in three stages of normal / concerned / abnormal,
Output = Concern → Judgment result = No (Do not increase the order → S15aN → End)
Output = Abnormal → Judgment result = Yes (Order is increased by 1)
* If the output is normal (not applicable to any concern or abnormality), the process passes through the branch of S14aN, and step S16 is executed to complete the flow.
具体例4)
ステップS14の攻撃検知アルゴリズムの出力が、異常の有無を数値で表現する場合。例えば、攻撃検知アルゴリズムの出力が0.0〜1.0であって、値が1.0に近づくほど異常性が高く、異常有無判断の閾値が0.5だった場合。
Specific example 4)
When the output of the attack detection algorithm in step S14 expresses the presence / absence of an abnormality as a numerical value. For example, when the output of the attack detection algorithm is 0.0 to 1.0, the anomaly is higher as the value approaches 1.0, and the threshold for determining whether there is an abnormality is 0.5.
出力=0.5以上0.6未満→判断結果=Yes(次数を1増やす)
出力=0.6以上0.7未満→判断結果=Yes(次数を2増やす)
出力=0.7以上0.8未満→判断結果=Yes(次数を3増やす)
出力=0.8以上0.9未満→判断結果=Yes(次数を4増やす)
出力=0.9以上→判断結果=Yes(次数を5増やす)
※出力=正常(出力=0.5未満)の場合は、S14aNの分岐を通り、ステップS16が実行されてフローが終了となる。
Output = 0.5 or more and less than 0.6 → Judgment result = Yes (the order is increased by 1)
Output = 0.6 or more and less than 0.7 → Judgment result = Yes (increment the order by 2)
Output = 0.7 or more and less than 0.8 → Judgment result = Yes (the order is increased by 3)
Output = 0.8 or more and less than 0.9 → Judgment result = Yes (the order is increased by 4)
Output = 0.9 or higher → Judgment result = Yes (the order is increased by 5)
* When output = normal (output = less than 0.5), the process passes through the branch of S14aN, and step S16 is executed to complete the flow.
本実施例のセキュリティ監視サーバ1によれば、危険性の低いクライアント端末(機器)については、早々に攻撃検知を打ち切る(ステップS14aN→ステップS16)ため、計算リソースが無駄にならない。 According to the security monitoring server 1 of the present embodiment, for the client terminal (device) with a low risk, the attack detection is immediately terminated (step S14aN → step S16), so that calculation resources are not wasted.
また、明らかに不正なクライアント端末(機器)についても同様に、早々に攻撃検知を打ち切る(ステップS15aN)ため、計算リソースが無駄にならない。 Similarly, the attack detection is terminated immediately for an apparently unauthorized client terminal (device) as well (step S15aN), so that computational resources are not wasted.
また、該当のクライアント端末(機器)の危険性がグレーゾーンにある場合(ステップS14aYかつステップS15aY)は、ステップS13〜S15を繰り返し実行することにより、攻撃検知の信頼性が担保される。 When the risk of the corresponding client terminal (device) is in the gray zone (steps S14aY and S15aY), the reliability of attack detection is ensured by repeatedly executing steps S13 to S15.
また、脅威レベルデータベース95にエントリとして登録されているクライアント端末(機器)については、登録済みの脅威レベルに応じた詳細度が最初に設定されるため、詳細度の低い攻撃検知が適宜スキップされ、計算リソースが無駄にならない。
Further, for the client terminal (device) registered as an entry in the
このように、本実施例のセキュリティ監視サーバ1によれば、計算リソースを効果的に用いることができる。 Thus, according to the security monitoring server 1 of the present embodiment, it is possible to effectively use the computational resources.
以下、図5、図6を参照して実施例2の攻撃検知システムの構成及び動作を説明する。図5に示すように本実施例の攻撃検知システム2000は、セキュリティ監視サーバ2、管理者端末91、サービス提供サーバ92、スイッチ/ルータ93、セキュリティアプライアンス94、脅威レベルデータベース95などを含んで構成され、実施例1との相違点は、セキュリティ監視サーバ2のみである。
Hereinafter, the configuration and operation of the attack detection system according to the second embodiment will be described with reference to FIGS. 5 and 6. As shown in FIG. 5, the
本実施例のセキュリティ監視サーバ2は、情報受信部11と、処理前データベース11aと、発信元特定部12と、処理済データベース12aと、攻撃検知詳細度決定部23と、攻撃検知部24と、検知結果データベース14aと、高次検知必要性判断部25と、結果保存部26と、類似機器探索部27を含む。
The security monitoring server 2 of the present embodiment includes an
本実施例のセキュリティ監視サーバ2は、実施例1と同様に、図2に記載のフロー(ステップS11〜S16)を実行する。すなわち、本実施例のセキュリティ監視サーバ2は、情報を受信し(S11)、その発信元を特定し(S12)、攻撃検知の詳細度を決定し(S13)、攻撃検知を実行し(S14)、必要に応じて高次な攻撃検知の必要性を判断し(S15)、必要に応じてループ処理を実行し、検知結果などを脅威レベルデータベース95に記憶する(S16)。 As in the first embodiment, the security monitoring server 2 according to the present embodiment executes the flow (steps S11 to S16) illustrated in FIG. That is, the security monitoring server 2 according to the present embodiment receives information (S11), specifies the source (S12), determines the detail level of attack detection (S13), and executes attack detection (S14). If necessary, the necessity of high-order attack detection is determined (S15), loop processing is executed as necessary, and the detection result and the like are stored in the threat level database 95 (S16).
本実施例のセキュリティ監視サーバ2は、攻撃検知対象となっている情報についてS14aYに該当した場合、すなわち正常でない(懸念有、または異常有を示す)検知結果が出た場合に、図2のフローと並行して、後述する類似機器のエントリに対して図6のフローを実行する。 The security monitoring server 2 according to the present embodiment performs the flow of FIG. 2 when the information corresponding to the attack detection target corresponds to S14aY, that is, when a detection result that is not normal (indicates that there is a concern or abnormality) is output. In parallel with this, the flow of FIG. 6 is executed for an entry of a similar device to be described later.
具体的には、類似機器探索部27は、受信した情報に対して実行された攻撃検知の結果が正常でない場合(S14aY)に、これに対応する発信元と類似の特徴を有する機器、すなわち類似機器のエントリを脅威レベルデータベース95から探索する(S27)。ここで「特徴」とは、OS、機種、使用しているアプリケーション、ミドルウェア、ネットワーク的特徴などのクライアント環境を示す指標を意味する。また、「特徴」のバリエーションの一つとして、データの構造やデータの特徴的なパターン(例えば、シグネチャとして登録対象となるような特徴的な文字列パターン)を含めてもよい。これ以外にも、類似判断の基準となる「特徴」は任意のルールで定めることができる。
Specifically, when the result of attack detection performed on the received information is not normal (S14aY), the similar
高次検知必要性判断部25は、探索されたエントリに対する高次な攻撃検知の必要性を判断する(S25)。高次な攻撃検知の必要性があると判断されなかった場合(S25aN)、フローは終了する(エンド)。
The high-order detection
一方、探索されたエントリに対して高次な攻撃検知の必要性があると判断された場合(S25aY)、攻撃検知詳細度決定部23は、探索されたエントリに対する攻撃検知の詳細度を決定する(S23)。例外的な場合を除き、攻撃検知詳細度決定部23は、探索されたエントリを優先的に詳細度(次数)が高い攻撃検知の対象とする。攻撃検知詳細度決定部23は、対象のエントリをどの詳細度(次数)の攻撃検知アルゴリズムの対象とするか、任意のルールで定めることが可能である。
On the other hand, when it is determined that there is a need for higher-order attack detection for the searched entry (S25aY), the attack detection detail
攻撃検知部24は、探索されたエントリに対して、決定された詳細度に基づく攻撃検知を実行する(S24)。攻撃検知の結果が正常でない場合(S24aY)、高次検知必要性判断部25は、さらに高次な攻撃検知の必要性を判断する(S25)。このように、S24aY,S25aYを充たす限りにおいて、ステップS23、S24、S25が繰り返し実行される。攻撃検知の結果が正常である場合(S24aN)、結果保存部26は、探索されたエントリの検知結果を検知結果データベース14aおよび脅威レベルデータベース95に保存する(S26)。
The
本実施例のセキュリティ監視サーバ2によれば、攻撃検知の結果が正常でない発信元に類似する機器(類似機器)について、並行して別のフローにより攻撃検知が実施されるため、攻撃検知の信頼性がさらに向上する。 According to the security monitoring server 2 of the present embodiment, since the attack detection is performed by another flow in parallel for a device (similar device) similar to a sender whose result of attack detection is not normal, the reliability of attack detection The nature is further improved.
以下、図7、図8を参照して実施例3の攻撃検知システムの構成及び動作を説明する。図7に示すように本実施例の攻撃検知システム3000は、セキュリティ監視サーバ3、管理者端末91、サービス提供サーバ92、スイッチ/ルータ93、セキュリティアプライアンス94、脅威レベルデータベース95などを含んで構成され、実施例1、2との相違点は、セキュリティ監視サーバ3のみである。
Hereinafter, the configuration and operation of the attack detection system according to the third embodiment will be described with reference to FIGS. As shown in FIG. 7, the
本実施例のセキュリティ監視サーバ3は、情報受信部11と、処理前データベース11aと、発信元特定部12と、処理済データベース12aと、攻撃検知詳細度決定部33と、攻撃検知部34と、検知結果データベース14aと、高次検知必要性判断部35と、結果保存部36と、リソース確認部38と、サンプル抽出部39を含む。
The security monitoring server 3 of the present embodiment includes an
本実施例のセキュリティ監視サーバ3は、実施例1、2と同様に、図2に記載のフロー(ステップS11〜S16)を実行する。すなわち、本実施例のセキュリティ監視サーバ3は、情報を受信し(S11)、その発信元を特定し(S12)、攻撃検知の詳細度を決定し(S13)、攻撃検知を実行し(S14)、必要に応じて高次な攻撃検知の必要性を判断し(S15)、必要に応じてループ処理を実行し、検知結果などを脅威レベルデータベース95に記憶する(S16)。 The security monitoring server 3 according to the present embodiment executes the flow (steps S11 to S16) illustrated in FIG. That is, the security monitoring server 3 of the present embodiment receives information (S11), identifies the source (S12), determines the detail level of attack detection (S13), and executes attack detection (S14). If necessary, the necessity of high-order attack detection is determined (S15), loop processing is executed as necessary, and the detection result and the like are stored in the threat level database 95 (S16).
本実施例のセキュリティ監視サーバ3は、攻撃検知対象となっている情報についてS14aNに該当した場合、すなわち正常な(懸念有、異常有のいずれでもない)検知結果が出た場合に、図2のフローと並行して、後述するサンプル機器のエントリに対して図8のフローを実行する。 The security monitoring server 3 of the present embodiment corresponds to S14aN for the information that is an attack detection target, that is, when a normal (not concerned or abnormal) detection result is output, In parallel with the flow, the flow of FIG. 8 is executed for an entry of a sample device to be described later.
具体的には、リソース確認部38は、受信した情報に対して実行された攻撃検知の結果が正常である場合(S14aN)に、セキュリティ監視サーバ3の現在の計算リソースを確認する(S38)。
Specifically, the
サンプル抽出部39は、確認された計算リソースが所定値を超える場合に(S38aY)、サンプルとなる機器、すなわちサンプル機器のエントリを脅威レベルデータベースから抽出する(S39)。一方、確認された計算リソースが所定値を超えない場合(S38aN)、並行処理を断念してフローは終了する(エンド)。
When the confirmed calculation resource exceeds a predetermined value (S38aY), the
抽出の方法として、例えばランダムなエントリをサンプリングする方法、エントリを先着順に抽出する方法などが考えられる。抽出するエントリの個数は、計算リソースに比例して増加させてもよい。エントリが抽出されなかった場合(S39aN)、並行処理を断念してフローは終了する(エンド)。 As extraction methods, for example, a method of sampling random entries, a method of extracting entries in the order of arrival, and the like can be considered. The number of entries to be extracted may be increased in proportion to the calculation resource. If no entry is extracted (S39aN), the parallel processing is abandoned and the flow ends (END).
エントリが抽出された場合(S39aY)、高次検知必要性判断部35は、抽出されたエントリに対する高次な攻撃検知の必要性を判断する(S35)。高次な攻撃検知の必要性があると判断されなかった場合(S35aN)、フローは終了する(エンド)。
When the entry is extracted (S39aY), the high-order detection
一方、抽出されたエントリに対して高次な攻撃検知の必要性があると判断された場合(S35aY)、攻撃検知詳細度決定部33は、抽出されたエントリに対する攻撃検知の詳細度を決定する(S33)。攻撃検知詳細度決定部33は、抽出されたエントリを、優先的に詳細度(次数)が高い攻撃検知の対象とする。
On the other hand, when it is determined that there is a need for high-level attack detection for the extracted entry (S35aY), the attack detection detail
攻撃検知部34は、抽出されたエントリに対して、決定された詳細度に基づく攻撃検知を実行する(S34)。攻撃検知の結果が正常でない場合(S34aY)、高次検知必要性判断部35は、さらに高次な攻撃検知の必要性を判断する(S35)。このように、S34aY,S35aYを充たす限りにおいて、ステップS33、S34、S35が繰り返し実行される。攻撃検知の結果が正常である場合(S34aN)、結果保存部36は、抽出されたエントリの検知結果を検知結果データベース14aおよび脅威レベルデータベース95に保存する(S36)。
The
本実施例のセキュリティ監視サーバ3によれば、攻撃検知対象に対する攻撃検知の結果が正常である場合、計算リソースに余裕があれば、エントリに対して、並行して別のフローにより、より深い攻撃検知が実施されるため、計算リソースを効率的に用いながら、攻撃検知の信頼性を向上させることができる。 According to the security monitoring server 3 of the present embodiment, when the attack detection result for the attack detection target is normal, if there is a surplus in computational resources, a deeper attack can be performed on the entry by another flow in parallel. Since detection is performed, it is possible to improve the reliability of attack detection while efficiently using computational resources.
<補記>
本発明の装置は、例えば単一のハードウェアエンティティとして、キーボードなどが接続可能な入力部、液晶ディスプレイなどが接続可能な出力部、ハードウェアエンティティの外部に通信可能な通信装置(例えば通信ケーブル)が接続可能な通信部、CPU(Central Processing Unit、キャッシュメモリやレジスタなどを備えていてもよい)、メモリであるRAMやROM、ハードディスクである外部記憶装置並びにこれらの入力部、出力部、通信部、CPU、RAM、ROM、外部記憶装置の間のデータのやり取りが可能なように接続するバスを有している。また必要に応じて、ハードウェアエンティティに、CD−ROMなどの記録媒体を読み書きできる装置(ドライブ)などを設けることとしてもよい。このようなハードウェア資源を備えた物理的実体としては、汎用コンピュータなどがある。
<Supplementary note>
The apparatus of the present invention includes, for example, a single hardware entity as an input unit to which a keyboard or the like can be connected, an output unit to which a liquid crystal display or the like can be connected, and a communication device (for example, a communication cable) capable of communicating outside the hardware entity. Can be connected to a communication unit, a CPU (Central Processing Unit, may include a cache memory or a register), a RAM or ROM that is a memory, an external storage device that is a hard disk, and an input unit, an output unit, or a communication unit thereof , A CPU, a RAM, a ROM, and a bus connected so that data can be exchanged between the external storage devices. If necessary, the hardware entity may be provided with a device (drive) that can read and write a recording medium such as a CD-ROM. A physical entity having such hardware resources includes a general-purpose computer.
ハードウェアエンティティの外部記憶装置には、上述の機能を実現するために必要となるプログラムおよびこのプログラムの処理において必要となるデータなどが記憶されている(外部記憶装置に限らず、例えばプログラムを読み出し専用記憶装置であるROMに記憶させておくこととしてもよい)。また、これらのプログラムの処理によって得られるデータなどは、RAMや外部記憶装置などに適宜に記憶される。 The external storage device of the hardware entity stores a program necessary for realizing the above functions and data necessary for processing the program (not limited to the external storage device, for example, reading a program) It may be stored in a ROM that is a dedicated storage device). Data obtained by the processing of these programs is appropriately stored in a RAM or an external storage device.
ハードウェアエンティティでは、外部記憶装置(あるいはROMなど)に記憶された各プログラムとこの各プログラムの処理に必要なデータが必要に応じてメモリに読み込まれて、適宜にCPUで解釈実行・処理される。その結果、CPUが所定の機能(上記、…部、…手段などと表した各構成要件)を実現する。 In the hardware entity, each program stored in an external storage device (or ROM or the like) and data necessary for processing each program are read into a memory as necessary, and are interpreted and executed by a CPU as appropriate. . As a result, the CPU realizes a predetermined function (respective component requirements expressed as the above-described unit, unit, etc.).
本発明は上述の実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。また、上記実施形態において説明した処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されるとしてもよい。 The present invention is not limited to the above-described embodiment, and can be appropriately changed without departing from the spirit of the present invention. In addition, the processing described in the above embodiment may be executed not only in time series according to the order of description but also in parallel or individually as required by the processing capability of the apparatus that executes the processing. .
既述のように、上記実施形態において説明したハードウェアエンティティ(本発明の装置)における処理機能をコンピュータによって実現する場合、ハードウェアエンティティが有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記ハードウェアエンティティにおける処理機能がコンピュータ上で実現される。 As described above, when the processing functions in the hardware entity (the apparatus of the present invention) described in the above embodiments are realized by a computer, the processing contents of the functions that the hardware entity should have are described by a program. Then, by executing this program on a computer, the processing functions in the hardware entity are realized on the computer.
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリなどどのようなものでもよい。具体的には、例えば、磁気記録装置として、ハードディスク装置、フレキシブルディスク、磁気テープなどを、光ディスクとして、DVD(Digital Versatile Disc)、DVD−RAM(Random Access Memory)、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)などを、光磁気記録媒体として、MO(Magneto-Optical disc)などを、半導体メモリとしてEEP−ROM(Electronically Erasable and Programmable-Read Only Memory)などを用いることができる。 The program describing the processing contents can be recorded on a computer-readable recording medium. The computer-readable recording medium may be any recording medium such as a magnetic recording device, an optical disk, a magneto-optical recording medium, or a semiconductor memory. Specifically, for example, as a magnetic recording device, a hard disk device, a flexible disk, a magnetic tape or the like, and as an optical disk, a DVD (Digital Versatile Disc), a DVD-RAM (Random Access Memory), a CD-ROM (Compact Disc Read Only). Memory), CD-R (Recordable) / RW (ReWritable), etc., magneto-optical recording medium, MO (Magneto-Optical disc), etc., semiconductor memory, EEP-ROM (Electronically Erasable and Programmable-Read Only Memory), etc. Can be used.
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROMなどの可搬型記録媒体を販売、譲渡、貸与などすることによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。 Further, this program is distributed by selling, transferring, or lending a portable recording medium such as a DVD or CD-ROM in which the program is recorded. Furthermore, the program may be distributed by storing the program in a storage device of the server computer and transferring the program from the server computer to another computer via a network.
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータなど)を含むものとする。 A computer that executes such a program first stores, for example, a program recorded on a portable recording medium or a program transferred from a server computer in its own storage device. When executing the process, the computer reads a program stored in its own recording medium and executes a process according to the read program. As another execution form of the program, the computer may directly read the program from a portable recording medium and execute processing according to the program, and the program is transferred from the server computer to the computer. Each time, the processing according to the received program may be executed sequentially. Also, the program is not transferred from the server computer to the computer, and the above-described processing is executed by a so-called ASP (Application Service Provider) type service that realizes the processing function only by the execution instruction and result acquisition. It is good. Note that the program in this embodiment includes information that is used for processing by an electronic computer and that conforms to the program (data that is not a direct command to a computer but has a property that defines the processing of the computer).
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、ハードウェアエンティティを構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。 In this embodiment, a hardware entity is configured by executing a predetermined program on a computer. However, at least a part of these processing contents may be realized by hardware.
Claims (8)
過去に受信した情報の発信元と過去に受信した情報の脅威レベルとを対応付けてエントリとして予め記憶する脅威レベルデータベースと、特定された前記発信元とを照合し、受信した前記情報に対する攻撃検知の詳細度を決定する攻撃検知詳細度決定部と、
受信した前記情報に対して、決定された前記詳細度に基づく攻撃検知を実行する攻撃検知部と、
前記攻撃検知の結果に基づいて、受信した前記情報に対する高次な攻撃検知の必要性を判断する高次検知必要性判断部を含み、
前記攻撃検知詳細度決定部は、
高次な攻撃検知の必要性があると判断された場合に、前記攻撃検知の結果に基づいて、受信した前記情報に対する攻撃検知の詳細度を再度決定する
セキュリティ監視サーバ。 A source identifying unit that identifies the source of the information based on the received information;
Detecting an attack on the received information by collating the source of the information received in the past with the threat level database stored in advance as an entry in association with the threat level of the information received in the past and the specified source An attack detection detail level determination unit that determines the level of detail of
An attack detection unit that performs attack detection based on the determined degree of detail for the received information;
Based on the result of the attack detection, including a higher-order detection necessity determination unit that determines the necessity of higher-order attack detection for the received information,
The attack detection detail level determination unit
A security monitoring server that determines again the level of detail of attack detection for the received information based on the result of attack detection when it is determined that there is a need for high-order attack detection.
受信した前記情報に対して実行された前記攻撃検知の結果が正常でない場合に、これに対応する発信元と類似の特徴を有する機器、すなわち類似機器の前記エントリを前記脅威レベルデータベースから探索する類似機器探索部をさらに含み、
前記高次検知必要性判断部は、
探索された前記エントリに対する高次な攻撃検知の必要性を判断し、
前記攻撃検知詳細度決定部は、
探索された前記エントリに対して高次な攻撃検知の必要性があると判断された場合に、探索された前記エントリに対する攻撃検知の詳細度を決定し、
前記攻撃検知部は、
探索された前記エントリに対して、決定された前記詳細度に基づく攻撃検知を実行する
セキュリティ監視サーバ。 The security monitoring server according to claim 1,
When the result of the attack detection performed on the received information is not normal, a device having characteristics similar to that of the corresponding sender, that is, a similar device that searches the threat level database for the entry of the similar device A device search unit;
The higher-order detection necessity determination unit
Determine the necessity of high-order attack detection for the searched entry,
The attack detection detail level determination unit
When it is determined that there is a need for high-order attack detection for the searched entry, the level of detail of attack detection for the searched entry is determined;
The attack detection unit
A security monitoring server that performs attack detection on the searched entry based on the determined degree of detail.
前記特徴には、OS、機種、使用しているアプリケーション、ミドルウェア、ネットワーク的特徴、データの構造、データの特徴的なパターンの何れか一つが含まれる
セキュリティ監視サーバ。 The security monitoring server according to claim 2,
The security monitoring server includes any one of an OS, a model, an application being used, middleware, a network characteristic, a data structure, and a characteristic pattern of data.
受信した前記情報に対して実行された前記攻撃検知の結果が正常である場合に、前記セキュリティ監視サーバの現在の計算リソースを確認するリソース確認部と、
前記確認された計算リソースが所定値を超える場合に、サンプルとなる機器、すなわちサンプル機器の前記エントリを前記脅威レベルデータベースから抽出するサンプル抽出部をさらに含み、
前記高次検知必要性判断部は、
抽出された前記エントリに対する高次な攻撃検知の必要性を判断し、
前記攻撃検知詳細度決定部は、
抽出された前記エントリに対して高次な攻撃検知の必要性があると判断された場合に、抽出された前記エントリに対する攻撃検知の詳細度を決定し、
前記攻撃検知部は、
抽出された前記エントリに対して、決定された前記詳細度に基づく攻撃検知を実行する
セキュリティ監視サーバ。 The security monitoring server according to claim 1,
A resource confirmation unit for confirming a current calculation resource of the security monitoring server when a result of the attack detection performed on the received information is normal;
A sample extractor for extracting the entry of a sample device, i.e., the sample device, from the threat level database when the confirmed calculation resource exceeds a predetermined value;
The higher-order detection necessity determination unit
Determine the necessity of high-level attack detection for the extracted entry,
The attack detection detail level determination unit
When it is determined that there is a need for high-level attack detection for the extracted entry, the degree of detail of attack detection for the extracted entry is determined,
The attack detection unit
A security monitoring server that performs attack detection on the extracted entry based on the determined degree of detail.
受信した情報に基づいて情報の発信元を特定するステップと、
過去に受信した情報の発信元と過去に受信した情報の脅威レベルとを対応付けてエントリとして予め記憶する脅威レベルデータベースと、特定された前記発信元とを照合し、受信した前記情報に対する攻撃検知の詳細度を決定するステップと、
受信した前記情報に対して、決定された前記詳細度に基づく攻撃検知を実行するステップと、
前記攻撃検知の結果に基づいて、受信した前記情報に対する高次な攻撃検知の必要性を判断するステップと、
高次な攻撃検知の必要性があると判断された場合に、前記攻撃検知の結果に基づいて、受信した前記情報に対する攻撃検知の詳細度を再度決定するステップを含む
セキュリティ監視方法。 A security monitoring method executed by the security monitoring server,
Identifying the source of the information based on the received information;
Detecting an attack on the received information by collating the source of the information received in the past with the threat level database stored in advance as an entry in association with the threat level of the information received in the past and the specified source Determining the level of detail of
Performing attack detection on the received information based on the determined degree of detail;
Determining the necessity of high-order attack detection for the received information based on the result of the attack detection;
A security monitoring method including a step of re-determining the level of detail of attack detection for the received information based on a result of the attack detection when it is determined that there is a need for high-order attack detection.
受信した前記情報に対して実行された前記攻撃検知の結果が正常でない場合に、これに対応する発信元と類似の特徴を有する機器、すなわち類似機器の前記エントリを前記脅威レベルデータベースから探索するステップと、
探索された前記エントリに対する高次な攻撃検知の必要性を判断するステップと、
探索された前記エントリに対して高次な攻撃検知の必要性があると判断された場合に、探索された前記エントリに対する攻撃検知の詳細度を決定するステップと、
探索された前記エントリに対して、決定された前記詳細度に基づく攻撃検知を実行するステップをさらに含む
セキュリティ監視方法。 The security monitoring method according to claim 5,
When the result of the attack detection performed on the received information is not normal, searching for an entry having a similar characteristic to the corresponding source, that is, the entry of the similar apparatus from the threat level database When,
Determining the necessity of high-order attack detection for the searched entry;
Determining the level of detail of attack detection for the searched entry when it is determined that there is a need for higher order attack detection for the searched entry;
A security monitoring method further comprising the step of performing attack detection based on the determined degree of detail for the searched entry.
受信した前記情報に対して実行された前記攻撃検知の結果が正常である場合に、前記セキュリティ監視サーバの現在の計算リソースを確認するステップと、
前記確認された計算リソースが所定値を超える場合に、サンプルとなる機器、すなわちサンプル機器の前記エントリを前記脅威レベルデータベースから抽出するステップと、
抽出された前記エントリに対する高次な攻撃検知の必要性を判断するステップと、
抽出された前記エントリに対して高次な攻撃検知の必要性があると判断された場合に、抽出された前記エントリに対する攻撃検知の詳細度を決定するステップと、
抽出された前記エントリに対して、決定された前記詳細度に基づく攻撃検知を実行するステップを含む
セキュリティ監視方法。 The security monitoring method according to claim 5,
If the result of the attack detection performed on the received information is normal, checking the current computing resource of the security monitoring server;
Extracting the entry of a sample device, i.e., a sample device, from the threat level database when the confirmed computational resource exceeds a predetermined value;
Determining the need for higher order attack detection on the extracted entries;
Determining the level of detail of attack detection for the extracted entry if it is determined that there is a need for higher order attack detection for the extracted entry;
A security monitoring method comprising a step of executing attack detection based on the determined degree of detail for the extracted entry.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017012558A JP6602799B2 (en) | 2017-01-26 | 2017-01-26 | Security monitoring server, security monitoring method, program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017012558A JP6602799B2 (en) | 2017-01-26 | 2017-01-26 | Security monitoring server, security monitoring method, program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018121262A true JP2018121262A (en) | 2018-08-02 |
JP6602799B2 JP6602799B2 (en) | 2019-11-06 |
Family
ID=63044008
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017012558A Active JP6602799B2 (en) | 2017-01-26 | 2017-01-26 | Security monitoring server, security monitoring method, program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6602799B2 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115221530A (en) * | 2022-09-15 | 2022-10-21 | 平安银行股份有限公司 | Interface security scanning method, device and system in SDLC (software development Link control) process |
US11870792B2 (en) | 2018-03-23 | 2024-01-09 | Nippon Telegraph And Telephone Corporation | Abnormal traffic analysis apparatus, abnormal traffic analysis method, and abnormal traffic analysis program |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050028013A1 (en) * | 2002-11-07 | 2005-02-03 | Craig Cantrell | Active network defense system and method |
JP2006345014A (en) * | 2005-06-07 | 2006-12-21 | Nippon Telegr & Teleph Corp <Ntt> | System and method for protecting offensive traffic |
JP2006352669A (en) * | 2005-06-17 | 2006-12-28 | Fujitsu Ltd | Attack detection/defense system |
JP2012114719A (en) * | 2010-11-25 | 2012-06-14 | Kddi Corp | Detection device, detection method, and detection program |
CN105282169A (en) * | 2015-11-04 | 2016-01-27 | 中国电子科技集团公司第四十一研究所 | DDoS attack warning method and system based on SDN controller threshold |
-
2017
- 2017-01-26 JP JP2017012558A patent/JP6602799B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050028013A1 (en) * | 2002-11-07 | 2005-02-03 | Craig Cantrell | Active network defense system and method |
JP2006345014A (en) * | 2005-06-07 | 2006-12-21 | Nippon Telegr & Teleph Corp <Ntt> | System and method for protecting offensive traffic |
JP2006352669A (en) * | 2005-06-17 | 2006-12-28 | Fujitsu Ltd | Attack detection/defense system |
JP2012114719A (en) * | 2010-11-25 | 2012-06-14 | Kddi Corp | Detection device, detection method, and detection program |
CN105282169A (en) * | 2015-11-04 | 2016-01-27 | 中国电子科技集团公司第四十一研究所 | DDoS attack warning method and system based on SDN controller threshold |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11870792B2 (en) | 2018-03-23 | 2024-01-09 | Nippon Telegraph And Telephone Corporation | Abnormal traffic analysis apparatus, abnormal traffic analysis method, and abnormal traffic analysis program |
CN115221530A (en) * | 2022-09-15 | 2022-10-21 | 平安银行股份有限公司 | Interface security scanning method, device and system in SDLC (software development Link control) process |
CN115221530B (en) * | 2022-09-15 | 2022-12-23 | 平安银行股份有限公司 | Interface security scanning method, device and system in SDLC (software development Link control) process |
Also Published As
Publication number | Publication date |
---|---|
JP6602799B2 (en) | 2019-11-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11973799B2 (en) | Domain name processing systems and methods | |
US9990583B2 (en) | Match engine for detection of multi-pattern rules | |
KR101337874B1 (en) | System and method for detecting malwares in a file based on genetic map of the file | |
CN110414236B (en) | Malicious process detection method and device | |
US10482240B2 (en) | Anti-malware device, anti-malware system, anti-malware method, and recording medium in which anti-malware program is stored | |
WO2018076697A1 (en) | Method and apparatus for detecting zombie feature | |
US11323461B2 (en) | Systems and methods for intercepting malicious messages based on application priority | |
US20230262077A1 (en) | Cybersecurity systems and methods for protecting, detecting, and remediating critical application security attacks | |
JP6691240B2 (en) | Judgment device, judgment method, and judgment program | |
JP6602799B2 (en) | Security monitoring server, security monitoring method, program | |
CN107070845B (en) | System and method for detecting phishing scripts | |
CN112839055B (en) | Network application identification method and device for TLS encrypted traffic and electronic equipment | |
EP3848822B1 (en) | Data classification device, data classification method, and data classification program | |
JP2008140102A (en) | Information processor, leak information determination method and program | |
CN111030978B (en) | Malicious data acquisition method and device based on block chain and storage device | |
US11330010B2 (en) | Detecting malicious web pages by analyzing elements of hypertext markup language (HTML) files | |
CN114697066A (en) | Network threat detection method and device | |
Fang et al. | Pbdt: Python backdoor detection model based on combined features | |
CN113726826B (en) | Threat information generation method and device | |
Nalinipriya et al. | Ransomware recognition in blockchain network using water moth flame optimization‐aware DRNN | |
Preethi et al. | Analysis of Phishing Attack in Distributed Cloud Systems Using Machine Learning | |
JP2015138331A (en) | Information terminal, execution form monitor method and program | |
US11886584B2 (en) | System and method for detecting potentially malicious changes in applications | |
EP4095727A1 (en) | System and method for detecting potentially malicious changes in applications | |
US11233809B2 (en) | Learning device, relearning necessity determination method, and relearning necessity determination program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181206 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190926 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191008 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191009 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6602799 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |