JP2019179486A - 情報処理装置、制御方法、及びプログラム - Google Patents
情報処理装置、制御方法、及びプログラム Download PDFInfo
- Publication number
- JP2019179486A JP2019179486A JP2018069580A JP2018069580A JP2019179486A JP 2019179486 A JP2019179486 A JP 2019179486A JP 2018069580 A JP2018069580 A JP 2018069580A JP 2018069580 A JP2018069580 A JP 2018069580A JP 2019179486 A JP2019179486 A JP 2019179486A
- Authority
- JP
- Japan
- Prior art keywords
- event
- monitoring data
- determination
- determination model
- score
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
<概要>
図1は、実施形態1の情報処理装置の動作の概要を表す図である。図1は情報処理装置2000の動作についての理解を容易にするための概念的な図であり、情報処理装置2000の動作を具体的に限定するものではない。
コンピュータシステムで発生するイベントの中には、そのイベントが一度発生しただけでは、そのイベントが正常なものであるか否かを判断することが難しいものがある。そのため、コンピュータシステムで発生するイベントを継続的に監視していくことが好適である。
図2は、実施形態1の情報処理装置2000の構成を例示する図である。情報処理装置2000は、判定部2020及び更新部2040を有する。判定部2020は、監視データ30を取得し、判定モデル20を用いて、監視データ30によって表されるイベントが警告対象のイベントであるか否かを判定する。更新部2040は、監視データ30及びその監視データ30についての判定部2020による判定の結果に基づいて、判定モデル20の更新を行う。
情報処理装置2000の各機能構成部は、各機能構成部を実現するハードウエア(例:ハードワイヤードされた電子回路など)で実現されてもよいし、ハードウエアとソフトウエアとの組み合わせ(例:電子回路とそれを制御するプログラムの組み合わせなど)で実現されてもよい。以下、情報処理装置2000の各機能構成部がハードウエアとソフトウエアとの組み合わせで実現される場合について、さらに説明する。
監視対象システム10は、1つ以上のコンピュータで構成されるコンピュータシステムである。監視対象システム10を構成するコンピュータは、PC、サーバマシン、タブレット端末、又はスマートフォンなどといった任意のコンピュータである。
図4は、実施形態1の情報処理装置2000によって実行される処理の流れを例示するフローチャートである。判定部2020は、監視データ30を取得する(S102)。更新部2040は、判定モデル20を用いて、監視データ30によって表されるイベントが警告対象のイベントであるか否かを判定する(S104)。更新部2040は、監視データ30及びその監視データ30についての判定部2020による判定の結果に基づいて、判定モデル20を更新する(S106)。
監視データ30は、イベントを表す情報を示す。前述したように、イベントとは、監視対象システム10の振る舞い(プロセスの振る舞いや外部からの入力)である。なお、プロセスの振る舞いについて、或るプロセスが他のプロセスを客体として活動する場合、これらのプロセスは互いに同一の OS(Operating System)上で動作するものであってもよいし、互いに異なる OS 上で動作するものであってもよい。後者の例としては、例えば、ソケットインタフェースを利用することで、或るプロセスが他の OS 上で動作する別のプロセスと通信を行うことが考えられる。ただし、他の OS 上で動作するプロセスを客体とした振る舞いは、出力デバイス(例えばネットワークインタフェース)に対する出力として表されてもよい。
判定部2020は監視データ30を取得する(S102)。判定部2020が監視データ30を取得する方法は様々である。例えば判定部2020は、監視データ30が記憶されている記憶装置から、監視データ30を取得する。この記憶装置は、情報処理装置2000の外部に設けられていてもよいし、内部に設けられていてもよい。その他にも例えば、判定部2020は、他の装置(例えば監視対象装置12)から送信される監視データ30を受信してもよい。
判定モデル20について説明する。まず、発生が稀なイベントは、注目すべきイベントであると考えられる。なぜなら、頻繁に発生するイベントは正常なイベントである蓋然性が高い一方、発生が稀なイベントは異常なイベントである蓋然性が高いと言えるためである。例えば、マルウエアなどによるサイバー攻撃に関連するイベント(マルウエアによるファイルアクセスなど)は、通常のプロセスが発生させるイベントと比較し、発生が稀である。
更新部2040は、監視データ30、及びその監視データ30についての判定モデル20による判定の結果に基づいて、判定モデル20を更新する。ここで前述したように、基本的には、判定モデル20は、監視対象システム10において発生する回数や頻度が比較的少ないイベントを警告対象とし、監視対象システム10において発生する回数や頻度が比較的多いイベントを警告対象でないイベントとする。これを実現する単純な方法としては、或るイベントが発生する度にそのイベントのスコアを増加させるという方法がある。こうすることで、イベントの発生数が多いほどイベントのスコアが大きくなる。
更新部2040は、監視データ30が表すイベントについて必ずしもスコアを増加させるのではなく、場合によってはスコアを増加させないようにする。図6は、更新方法の例1の流れを例示するフローチャートである。
更新部2040は、監視データ30が表すイベントについて、状況に応じて異なる増加量でスコアを増加させる。図7は、更新方法の例2の流れを例示するフローチャートである。
前述したように、警告対象であると判定され、なおかつ所定の条件を満たすイベントについては、判定モデル20におけるそのイベントのスコアを増加させないようにしたり、スコアの増加量を比較的少なくしたりする。例えば所定の条件は、「所定のプログラムに関連するイベントである」という条件である。例えば、所定のプログラムをマルウエア等のサイバー攻撃に関連するプログラムとすることで、「サイバー攻撃に関連するイベントである」という所定の条件を作ることができる。
監視データ30が表すイベントが警告対象のイベントであると判定された場合、警告対象のイベントが発生したことを監視対象システム10の管理者等が把握できるようにすることが好適である。そこで例えば、情報処理装置2000は、監視データ30が表すイベントが警告対象のイベントであると判定された場合に、所定の警告情報を出力する。
図8は、実施形態2の情報処理装置2000の動作の概要を表す図である。図8は情報処理装置2000の動作についての理解を容易にするための概念的な図であり、情報処理装置2000の動作を具体的に限定するものではない。
図9は、実施形態2の情報処理装置2000の機能構成を例示する図である。実施形態2の情報処理装置2000は、判定部2020、第2更新部2060、及び修正部2080を有する。判定部2020は、監視データ30を取得し、判定モデル20を用いて、監視データ30によって表されるイベントが警告対象であるか否かを判定する。第2更新部2060は、監視データ30を用いて判定モデルの更新を行う。修正部2080は、監視データ30についての判定部2020による判定の結果に基づいて、その監視データ30に基づいて更新された判定モデル20を修正する。
実施形態2の情報処理装置2000を実現する計算機のハードウエア構成は、実施形態1と同様に、例えば図3によって表される。ただし、本実施形態の情報処理装置2000を実現する計算機1000のストレージデバイス1080には、本実施形態の情報処理装置2000の機能を実現するプログラムモジュールがさらに記憶される。
図10は、実施形態2の情報処理装置2000が判定モデル20を更新する流れを例示する図である。情報処理装置2000は監視データ30を取得する(S402)。判定部2020は、判定モデル20を用いて、監視データ30によって表されるイベントが警告対象のイベントであるか否かを判定する(S404)。第2更新部2060は、監視データ30を用いて判定モデル20を更新する(S406)。
判定モデル20の更新と修正の方法の具体例を、実施形態1における判定モデル20の更新方法と対比して説明する。
例えば実施形態1において、更新部2040は、判定部2020によって警告対象のイベントであると判定され、なおかつ所定の条件を満たすイベントについては、判定モデル20におけるそのイベントのスコアを増加させないようにする。実施形態2の情報処理装置2000は、判定モデル20の修正によってこれと同様のことを実現する。そのために、例えば第2更新部2060と修正部2080は以下のように動作する。
例えば実施形態1において、更新部2040は、監視データ30が表すイベントについて、状況に応じて異なる増加量でスコアを増加させる。実施形態2の情報処理装置2000は、判定モデル20の修正によってこれと同様のことを実現する。そのために、例えば第2更新部2060と修正部2080は以下のように動作する。なお、スコアの増加量は、図7で説明した通り、d1、d2、又は d3 であるとする。
判定モデル20の修正方法は、上述のようなスコアの値を変更する方法に限定されない。例えば修正部2080は、判定モデル20の修正が必要な場合、判定モデル20の更新の少なくとも一部をキャンセルし、実施形態1の更新部2040に判定モデル20の更新をやり直させてもよい。この場合、実施形態2の情報処理装置2000は、第2更新部2060に加え、更新部2040を有する。
1. イベントを表す監視データを取得し、イベントが警告対象であるか否かを判定する判定モデルを用いて、前記取得した監視データによって表されるイベントが警告対象であるか否かを判定する判定部と、
前記監視データ及び前記判定部によるその監視データについての判定結果に基づいて、前記判定モデルの更新を行う更新部と、を有する情報処理装置。
2. 前記判定モデルは、各イベントについてのスコアを保持しており、前記監視データが表すイベントのスコアが閾値以上である場合に、そのイベントが警告対象であると判定し、
前記更新部は、前記監視データが表すイベントが警告対象であると判定された場合に、そのイベントが所定の条件を満たすか否かを判定し、
前記更新部は、
前記監視データが表すイベントが警告対象でないと判定された場合と、前記監視データが表すイベントが前記所定の条件を満たさないと判定された場合とにおいて、前記判定モデルにおけるそのイベントのスコアを増加させ、
前記監視データが表すイベントが前記所定の条件を満たすと判定された場合において、前記判定モデルにおけるそのイベントのスコアを増加させない、1.に記載の情報処理装置。
3. 前記判定モデルは、各イベントについてのスコアを保持しており、前記監視データが表すイベントのスコアが閾値以上である場合に、そのイベントが警告対象であると判定し、
前記更新部は、前記監視データが表すイベントについて、前記判定モデルが示すそのイベントのスコアを増加させ、
前記更新部は、前記監視データが表すイベントが警告対象であると判定された場合、そのイベントが所定の条件を満たすか否かを判定し、そのイベントが所定の条件を満たす場合、そのイベントが所定の条件を満たさない場合よりも小さい増加量で、そのイベントのスコアを増加させる、1.に記載の情報処理装置。
4. 前記所定の条件は、サイバー攻撃に関連するイベントであるという条件である、2.又は3.に記載の情報処理装置。
前記監視データを用いて前記判定モデルの更新を行う更新部と、
前記監視データについての判定部による判定の結果に基づいて、その監視データに基づいて更新された前記判定モデルを修正する修正部と、を有する情報処理装置。
6. 前記修正部は、定期的に前記判定モデルの修正を行う、5.に記載の情報処理装置。
7. 前記判定モデルは、各イベントについてのスコアを保持しており、前記監視データが表すイベントのスコアが閾値以上である場合に、そのイベントが警告対象であると判定し、
前記更新部は、前記監視データが表すイベントのスコアを増加させることで前記判定モデルを更新し、
前記修正部は、前記監視データが表すイベントが警告対象であると判定された場合に、そのイベントが所定の条件を満たすか否かを判定し、そのイベントが所定の条件を満たす場合、その監視データに基づく更新によって増加した分だけそのイベントのスコアを小さくするように、そのイベントのスコアを変更する、5.又は6.に記載の情報処理装置。
8. 前記修正部は、
前回前記判定モデルを修正した時点以降に取得した前記監視データであり、なおかつ前記判定部によって警告対象であると判定された前記監視データのうち、取得した時点が最も早い前記監視データを特定し、
前記特定した監視データを取得した時点における前記判定モデルで現在の前記判定モデルを置き換え、
前記特定した監視データを取得した時点以降に取得された前記監視データ、及びその監視データについて前記判定部が行った判定の結果に基づいて、前記判定モデルを更新する、5.又は6.に記載の情報処理装置。
イベントを表す監視データを取得し、イベントが警告対象であるか否かを判定する判定モデルを用いて、前記取得した監視データによって表されるイベントが警告対象であるか否かを判定する判定ステップと、
前記監視データ及び前記判定ステップによるその監視データについての判定結果に基づいて、前記判定モデルの更新を行う更新ステップと、を有する制御方法。
10. 前記判定モデルは、各イベントについてのスコアを保持しており、前記監視データが表すイベントのスコアが閾値以上である場合に、そのイベントが警告対象であると判定し、
前記更新ステップにおいて、前記監視データが表すイベントが警告対象であると判定された場合に、そのイベントが所定の条件を満たすか否かを判定し、
前記更新ステップにおいて、
前記監視データが表すイベントが警告対象でないと判定された場合と、前記監視データが表すイベントが前記所定の条件を満たさないと判定された場合とにおいて、前記判定モデルにおけるそのイベントのスコアを増加させ、
前記監視データが表すイベントが前記所定の条件を満たすと判定された場合において、前記判定モデルにおけるそのイベントのスコアを増加させない、9.に記載の制御方法。
11. 前記判定モデルは、各イベントについてのスコアを保持しており、前記監視データが表すイベントのスコアが閾値以上である場合に、そのイベントが警告対象であると判定し、
前記更新ステップにおいて、前記監視データが表すイベントについて、前記判定モデルが示すそのイベントのスコアを増加させ、
前記更新ステップにおいて、前記監視データが表すイベントが警告対象であると判定された場合、そのイベントが所定の条件を満たすか否かを判定し、そのイベントが所定の条件を満たす場合、そのイベントが所定の条件を満たさない場合よりも小さい増加量で、そのイベントのスコアを増加させる、9.に記載の制御方法。
12. 前記所定の条件は、サイバー攻撃に関連するイベントであるという条件である、10.又は11.に記載の制御方法。
イベントを表す監視データを取得し、イベントが警告対象であるか否かを判定する判定モデルを用いて、前記取得した監視データによって表されるイベントが警告対象であるか否かを判定する判定ステップと、
前記監視データを用いて前記判定モデルの更新を行う更新ステップと、
前記監視データについての判定ステップによる判定の結果に基づいて、その監視データに基づいて更新された前記判定モデルを修正する修正ステップと、を有する制御方法。
14. 前記修正ステップにおいて、定期的に前記判定モデルの修正を行う、13.に記載の制御方法。
15. 前記判定モデルは、各イベントについてのスコアを保持しており、前記監視データが表すイベントのスコアが閾値以上である場合に、そのイベントが警告対象であると判定し、
前記更新ステップにおいて、前記監視データが表すイベントのスコアを増加させることで前記判定モデルを更新し、
前記修正ステップにおいて、前記監視データが表すイベントが警告対象であると判定された場合に、そのイベントが所定の条件を満たすか否かを判定し、そのイベントが所定の条件を満たす場合、その監視データに基づく更新によって増加した分だけそのイベントのスコアを小さくするように、そのイベントのスコアを変更する、13.又は14.に記載の制御方法。
16. 前記修正ステップにおいて、
前回前記判定モデルを修正した時点以降に取得した前記監視データであり、なおかつ前記判定ステップによって警告対象であると判定された前記監視データのうち、取得した時点が最も早い前記監視データを特定し、
前記特定した監視データを取得した時点における前記判定モデルで現在の前記判定モデルを置き換え、
前記特定した監視データを取得した時点以降に取得された前記監視データ、及びその監視データについて前記判定ステップが行った判定の結果に基づいて、前記判定モデルを更新する、13.又は14.に記載の制御方法。
12 監視対象装置
20 判定モデル
30 監視データ
200 テーブル
202 主体情報
204 客体情報
206 内容情報
208 プロセス名
210 パス
212 種別
214 識別情報
1000 計算機
1020 バス
1040 プロセッサ
1060 メモリ
1080 ストレージデバイス
1100 入出力インタフェース
1120 ネットワークインタフェース
2000 情報処理装置
2020 判定部
2040 更新部
2060 第2更新部
2080 修正部
Claims (11)
- イベントを表す監視データを取得し、イベントが警告対象であるか否かを判定する判定モデルを用いて、前記取得した監視データによって表されるイベントが警告対象であるか否かを判定する判定部と、
前記監視データ及び前記判定部によるその監視データについての判定結果に基づいて、前記判定モデルの更新を行う更新部と、を有する情報処理装置。 - 前記判定モデルは、各イベントについてのスコアを保持しており、前記監視データが表すイベントのスコアが閾値以上である場合に、そのイベントが警告対象であると判定し、
前記更新部は、前記監視データが表すイベントが警告対象であると判定された場合に、そのイベントが所定の条件を満たすか否かを判定し、
前記更新部は、
前記監視データが表すイベントが警告対象でないと判定された場合と、前記監視データが表すイベントが前記所定の条件を満たさないと判定された場合とにおいて、前記判定モデルにおけるそのイベントのスコアを増加させ、
前記監視データが表すイベントが前記所定の条件を満たすと判定された場合において、前記判定モデルにおけるそのイベントのスコアを増加させない、請求項1に記載の情報処理装置。 - 前記判定モデルは、各イベントについてのスコアを保持しており、前記監視データが表すイベントのスコアが閾値以上である場合に、そのイベントが警告対象であると判定し、
前記更新部は、前記監視データが表すイベントについて、前記判定モデルが示すそのイベントのスコアを増加させ、
前記更新部は、前記監視データが表すイベントが警告対象であると判定された場合、そのイベントが所定の条件を満たすか否かを判定し、そのイベントが所定の条件を満たす場合、そのイベントが所定の条件を満たさない場合よりも小さい増加量で、そのイベントのスコアを増加させる、請求項1に記載の情報処理装置。 - 前記所定の条件は、サイバー攻撃に関連するイベントであるという条件である、請求項2又は3に記載の情報処理装置。
- イベントを表す監視データを取得し、イベントが警告対象であるか否かを判定する判定モデルを用いて、前記取得した監視データによって表されるイベントが警告対象であるか否かを判定する判定部と、
前記監視データを用いて前記判定モデルの更新を行う更新部と、
前記監視データについての判定部による判定の結果に基づいて、その監視データに基づいて更新された前記判定モデルを修正する修正部と、を有する情報処理装置。 - 前記修正部は、定期的に前記判定モデルの修正を行う、請求項5に記載の情報処理装置。
- 前記判定モデルは、各イベントについてのスコアを保持しており、前記監視データが表すイベントのスコアが閾値以上である場合に、そのイベントが警告対象であると判定し、
前記更新部は、前記監視データが表すイベントのスコアを増加させることで前記判定モデルを更新し、
前記修正部は、前記監視データが表すイベントが警告対象であると判定された場合に、そのイベントが所定の条件を満たすか否かを判定し、そのイベントが所定の条件を満たす場合、その監視データに基づく更新によって増加した分だけそのイベントのスコアを小さくするように、そのイベントのスコアを変更する、請求項5又は6に記載の情報処理装置。 - 前記修正部は、
前回前記判定モデルを修正した時点以降に取得した前記監視データであり、なおかつ前記判定部によって警告対象であると判定された前記監視データのうち、取得した時点が最も早い前記監視データを特定し、
前記特定した監視データを取得した時点における前記判定モデルで現在の前記判定モデルを置き換え、
前記特定した監視データを取得した時点以降に取得された前記監視データ、及びその監視データについて前記判定部が行った判定の結果に基づいて、前記判定モデルを更新する、請求項5又は6に記載の情報処理装置。 - コンピュータによって実行させる制御方法であって、
イベントを表す監視データを取得し、イベントが警告対象であるか否かを判定する判定モデルを用いて、前記取得した監視データによって表されるイベントが警告対象であるか否かを判定する判定ステップと、
前記監視データ及び前記判定ステップによるその監視データについての判定結果に基づいて、前記判定モデルの更新を行う更新ステップと、を有する制御方法。 - コンピュータによって実行させる制御方法であって、
イベントを表す監視データを取得し、イベントが警告対象であるか否かを判定する判定モデルを用いて、前記取得した監視データによって表されるイベントが警告対象であるか否かを判定する判定ステップと、
前記監視データを用いて前記判定モデルの更新を行う更新ステップと、
前記監視データについての判定ステップによる判定の結果に基づいて、その監視データに基づいて更新された前記判定モデルを修正する修正ステップと、を有する制御方法。 - 請求項9又は10に記載の制御方法の各ステップをコンピュータに実行させるプログラム。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018069580A JP7200496B2 (ja) | 2018-03-30 | 2018-03-30 | 情報処理装置、制御方法、及びプログラム |
TW108110193A TW201947443A (zh) | 2018-03-30 | 2019-03-25 | 資訊處理裝置、控制方法及程式產品 |
US16/370,164 US11201874B2 (en) | 2018-03-30 | 2019-03-29 | Information processing apparatus, control method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018069580A JP7200496B2 (ja) | 2018-03-30 | 2018-03-30 | 情報処理装置、制御方法、及びプログラム |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2019179486A true JP2019179486A (ja) | 2019-10-17 |
JP2019179486A5 JP2019179486A5 (ja) | 2021-03-25 |
JP7200496B2 JP7200496B2 (ja) | 2023-01-10 |
Family
ID=68057390
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018069580A Active JP7200496B2 (ja) | 2018-03-30 | 2018-03-30 | 情報処理装置、制御方法、及びプログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US11201874B2 (ja) |
JP (1) | JP7200496B2 (ja) |
TW (1) | TW201947443A (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11055412B2 (en) * | 2018-12-20 | 2021-07-06 | At&T Intellectual Property I, L.P. | Method and system for stake-based event management with ledgers |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007183911A (ja) * | 2006-08-17 | 2007-07-19 | Intelligent Wave Inc | 不正操作監視プログラム、不正操作監視方法、及び不正操作監視システム |
JP2013232716A (ja) * | 2012-04-27 | 2013-11-14 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃判定装置、攻撃判定方法及び攻撃判定プログラム |
JP2014096142A (ja) * | 2012-10-09 | 2014-05-22 | Canon Electronics Inc | 情報処理装置、情報処理システムおよび情報処理方法 |
JP2014179074A (ja) * | 2013-03-13 | 2014-09-25 | General Electric Co <Ge> | 産業用制御システムのためのインテリジェントサイバーフィジカル侵入検出および侵入防止システムならびに方法 |
JP2016057875A (ja) * | 2014-09-10 | 2016-04-21 | 日本電気株式会社 | イベント推定装置、イベント推定方法、及び、イベント推定プログラム |
JP2017208598A (ja) * | 2016-05-16 | 2017-11-24 | 株式会社日立製作所 | 不正通信検知システム及び不正通信検知方法 |
US20180089430A1 (en) * | 2016-09-23 | 2018-03-29 | 1E Limited | Computer security profiling |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8751633B2 (en) * | 2010-04-01 | 2014-06-10 | Cloudflare, Inc. | Recording internet visitor threat information through an internet-based proxy service |
US10834590B2 (en) * | 2010-11-29 | 2020-11-10 | Biocatch Ltd. | Method, device, and system of differentiating between a cyber-attacker and a legitimate user |
JP5682978B2 (ja) | 2013-01-16 | 2015-03-11 | Necプラットフォームズ株式会社 | セキュリティシステム、セキュリティ制御方法およびセキュリティ制御プログラム |
US9189627B1 (en) * | 2013-11-21 | 2015-11-17 | Fireeye, Inc. | System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection |
US9419992B2 (en) * | 2014-08-13 | 2016-08-16 | Palantir Technologies Inc. | Unwanted tunneling alert system |
EP3210364B8 (en) * | 2014-10-21 | 2021-03-10 | Proofpoint, Inc. | Systems and methods for application security analysis |
US10395029B1 (en) * | 2015-06-30 | 2019-08-27 | Fireeye, Inc. | Virtual system and method with threat protection |
US9537880B1 (en) * | 2015-08-19 | 2017-01-03 | Palantir Technologies Inc. | Anomalous network monitoring, user behavior detection and database system |
US10681074B2 (en) * | 2015-10-28 | 2020-06-09 | Qomplx, Inc. | System and method for comprehensive data loss prevention and compliance management |
US10380348B2 (en) * | 2016-11-21 | 2019-08-13 | ZingBox, Inc. | IoT device risk assessment |
US10805324B2 (en) * | 2017-01-03 | 2020-10-13 | General Electric Company | Cluster-based decision boundaries for threat detection in industrial asset control system |
WO2018230988A1 (ko) * | 2017-06-16 | 2018-12-20 | 주식회사 페스카로 | Can 통신 기반 해킹공격 탐지 방법 및 시스템 |
US10909239B2 (en) * | 2017-06-29 | 2021-02-02 | Webroot, Inc. | Advanced file modification heuristics |
US20190007451A1 (en) * | 2017-06-30 | 2019-01-03 | Stp Ventures, Llc | System and method of automatically collecting and rapidly aggregating global security threat indicators to customer environments |
EP3704584A4 (en) * | 2017-10-31 | 2021-08-18 | GoSecure, Inc. | ANALYSIS AND REPORTING OF SUSPECT E-MAILS |
US10826932B2 (en) * | 2018-08-22 | 2020-11-03 | General Electric Company | Situation awareness and dynamic ensemble forecasting of abnormal behavior in cyber-physical system |
US10922652B2 (en) * | 2019-04-16 | 2021-02-16 | Advanced New Technologies Co., Ltd. | Blockchain-based program review system, method, computing device and storage medium |
-
2018
- 2018-03-30 JP JP2018069580A patent/JP7200496B2/ja active Active
-
2019
- 2019-03-25 TW TW108110193A patent/TW201947443A/zh unknown
- 2019-03-29 US US16/370,164 patent/US11201874B2/en active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007183911A (ja) * | 2006-08-17 | 2007-07-19 | Intelligent Wave Inc | 不正操作監視プログラム、不正操作監視方法、及び不正操作監視システム |
JP2013232716A (ja) * | 2012-04-27 | 2013-11-14 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃判定装置、攻撃判定方法及び攻撃判定プログラム |
JP2014096142A (ja) * | 2012-10-09 | 2014-05-22 | Canon Electronics Inc | 情報処理装置、情報処理システムおよび情報処理方法 |
JP2014179074A (ja) * | 2013-03-13 | 2014-09-25 | General Electric Co <Ge> | 産業用制御システムのためのインテリジェントサイバーフィジカル侵入検出および侵入防止システムならびに方法 |
JP2016057875A (ja) * | 2014-09-10 | 2016-04-21 | 日本電気株式会社 | イベント推定装置、イベント推定方法、及び、イベント推定プログラム |
JP2017208598A (ja) * | 2016-05-16 | 2017-11-24 | 株式会社日立製作所 | 不正通信検知システム及び不正通信検知方法 |
US20180089430A1 (en) * | 2016-09-23 | 2018-03-29 | 1E Limited | Computer security profiling |
Also Published As
Publication number | Publication date |
---|---|
US11201874B2 (en) | 2021-12-14 |
JP7200496B2 (ja) | 2023-01-10 |
US20190306177A1 (en) | 2019-10-03 |
TW201947443A (zh) | 2019-12-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109997139B (zh) | 利用基于散列的指纹检测恶意软件 | |
CN109565522B (zh) | 检测与远程存储的内容相关联的批量操作 | |
JP2020004009A (ja) | 異常検知装置、および、異常検知方法 | |
WO2016208159A1 (ja) | 情報処理装置、情報処理システム、情報処理方法、及び、記憶媒体 | |
US10623426B1 (en) | Building a ground truth dataset for a machine learning-based security application | |
JP2019079492A (ja) | コンボリューションのポピュラリティに基づいて異常なイベントを検出するシステムおよび方法 | |
JP2014071796A (ja) | マルウェア検知装置、マルウェア検知システム、マルウェア検知方法、及びプログラム | |
US11528296B2 (en) | Unauthorized data manipulation detection | |
JP6459289B2 (ja) | マルウェア推定装置、マルウェア推定方法、及び、マルウェア推定プログラム | |
JP7200496B2 (ja) | 情報処理装置、制御方法、及びプログラム | |
US9154519B1 (en) | System and method for antivirus checking of objects from a plurality of virtual machines | |
CN117061254B (zh) | 异常流量检测方法、装置和计算机设备 | |
JP2007183911A (ja) | 不正操作監視プログラム、不正操作監視方法、及び不正操作監視システム | |
US8798982B2 (en) | Information processing device, information processing method, and program | |
US11899793B2 (en) | Information processing apparatus, control method, and program | |
EP3799367B1 (en) | Generation device, generation method, and generation program | |
US20220156371A1 (en) | Warning apparatus, control method, and program | |
WO2020255359A1 (ja) | セキュリティ訓練支援装置、セキュリティ訓練支援方法、及びコンピュータ読み取り可能な記録媒体 | |
JP4852124B2 (ja) | 異常データ検出装置、異常データ検出方法及び異常データ検出プログラム | |
WO2020065778A1 (ja) | 情報処理装置、制御方法、及びプログラム | |
JP5243111B2 (ja) | 脆弱性対策システム、脆弱性対策サーバ、脆弱性対策方法、及びプログラム | |
US20230214479A1 (en) | Method and system for detecting and preventing unauthorized access to a computer | |
KR102462113B1 (ko) | 영-동역학 공격을 방어하는 샘플 데이터 시스템 및 그 샘플링 방법 | |
KR102535251B1 (ko) | 전자 장치의 사이버 보안 리포트 생성 방법 | |
WO2023032015A1 (ja) | 攻撃分析支援装置、攻撃分析支援方法、およびコンピュータ読み取り可能な記録媒体 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210209 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210209 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20211122 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211207 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220203 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20220628 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220921 |
|
C60 | Trial request (containing other claim documents, opposition documents) |
Free format text: JAPANESE INTERMEDIATE CODE: C60 Effective date: 20220921 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20220930 |
|
C21 | Notice of transfer of a case for reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C21 Effective date: 20221004 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221122 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221205 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7200496 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |