JP2019204264A - 信頼度算出装置、信頼度算出方法及びプログラム - Google Patents
信頼度算出装置、信頼度算出方法及びプログラム Download PDFInfo
- Publication number
- JP2019204264A JP2019204264A JP2018098709A JP2018098709A JP2019204264A JP 2019204264 A JP2019204264 A JP 2019204264A JP 2018098709 A JP2018098709 A JP 2018098709A JP 2018098709 A JP2018098709 A JP 2018098709A JP 2019204264 A JP2019204264 A JP 2019204264A
- Authority
- JP
- Japan
- Prior art keywords
- information
- reliability
- threat information
- threat
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N7/00—Computing arrangements based on specific mathematical models
- G06N7/01—Probabilistic graphical models, e.g. probabilistic networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Data Mining & Analysis (AREA)
- Algebra (AREA)
- Computational Mathematics (AREA)
- Mathematical Physics (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- Pure & Applied Mathematics (AREA)
- Probability & Statistics with Applications (AREA)
- Mathematical Optimization (AREA)
- Mathematical Analysis (AREA)
- Databases & Information Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Debugging And Monitoring (AREA)
Abstract
【課題】信頼度が不明確な脅威情報の信頼度の算出を可能とすること。【解決手段】信頼度算出装置は、入力された第1の脅威情報に関連する情報を収集する第1の収集部と、信頼度が付与されている脅威情報を記憶する記憶部から、前記関連する情報に関連する第2の脅威情報を収集する第2の収集部と、前記第1の脅威情報、前記関連する情報及び前記第2の脅威情報をノードとし、関連を有する情報に係るノード間が接続されたグラフを生成する生成部と、前記グラフに対して確率伝搬法を適用して、前記第2の脅威情報の信頼度に基づいて前記第1の脅威情報の信頼度を算出する算出部と、を有する。【選択図】図2
Description
本発明は、信頼度算出装置、信頼度算出方法及びプログラムに関する。
脅威情報(Cyber Threat Intelligence)とは、サイバー攻撃の検知や対処において必要となるサイバー攻撃や脅威に関連する攻撃者や攻撃目的、攻撃手法や発生した攻撃を検知するための情報をまとめたものである。例えば、攻撃者が利用したIPアドレスやドメイン名のブラックリスト情報、攻撃者に関する情報、攻撃に対する対処方法に関する情報などが脅威情報の一例である。これらの脅威情報は、豊富な関連情報と共に流通されており、投稿者又は提供元の情報、更新頻度(情報の登録・追加・修正)、説明文、一連の攻撃に関するIPアドレス/ドメイン名間の関係(通信・フロー)などが含まれている。
サイバー攻撃の検知や対処を実施するセキュリティオペレーションでは、取得した脅威情報について、悪性の真偽を判断した上で意思決定を行うことが重要な要素の1つである。特に、アナリストやオペレータは、脅威情報の悪性の真偽を判断するための信頼度を算出するために、データ分析や情報収集によって仮説検証のプロセスを繰り返し実行することで、脅威情報に対する信頼度を算出する。したがって、高い信頼度である脅威情報ならば早期の意思決定が可能である。
なお、信頼度とは、脅威情報の悪性が真である確度を確率で表現したものであり、0≦P(x)≦1で表すことができる。例えば、脅威情報の悪性が真である確度が高い脅威情報とは、P(x)が1に近い脅威情報をいい、脅威情報の悪性が偽である確度が高い脅威情報とは、P(x)が0に近い脅威情報であるといえる。
ネットワークにおける攻撃通信の検出及び脅威情報の抽出では、主な攻撃検知方法としてシグネチャ型又は機械学習型の攻撃検知装置が存在する。
シグネチャ型攻撃検知装置では、シグネチャルールとのパターンマッチングに基づき攻撃を検知するため、既知の攻撃には有効であるが、亜種の攻撃や未知な攻撃の検知には不向きであるといえる。
一方、機械学習型攻撃検知装置は、攻撃通信又は正常通信のトラフィックの特徴を学習し、通信の特徴や振る舞いをもとに攻撃を検知する。したがって、機械学習型攻撃検知装置では、未知な攻撃も検出可能、かつ、早期の攻撃を検知可能であるが、ネットワークから振る舞い検知によって抽出した脅威情報では、IPアドレス・ドメイン名間の関係のみしか得られないため、悪性と疑われるIPアドレスやドメイン名の真偽がはっきりしない(信頼度が不明確)、かつ、関連情報を得られない状態である。
従来、悪性の真偽がわからない(信頼度が不明確な)脅威情報に対して、脅威スコアや信頼度を計算する技術が有る。
非特許文献1では、DNS(Domain Name System)名前解決結果に基づくIPアドレスとドメイン名間の関係、及びその一部に関する確定した信頼度が与えられており、真偽が分からないIPアドレス/ドメイン名について、グラフの関係性から脅威情報の信頼度を確率伝搬手法によって計算している。
非特許文献2では、脅威情報とその関連する情報が与えられており、豊富な関連情報から信頼度の特徴量を生成し、機械学習手法(DBN)によって脅威情報の信頼度を計算している。
風戸雄太, 福田健介, 菅原俊治. "DNS グラフ上でのグラフ分析と脅威スコア伝搬による悪性ドメイン特定." コンピュータ ソフトウェア 33.3 (2016): 3_16-3_28.
Li, Lei, Xiaoyong Li, and Yali Gao. "MTIV: A Trustworthiness Determination Approach for Threat Intelligence." International Conference on Security, Privacy and Anonymity in Computation, Communication and Storage. Springer, Cham, 2017.
しかしながら、非特許文献1及び2では、ネットワークの振る舞い検知から抽出されたような信頼度が不明確な脅威情報、例えば、IPアドレス/ドメイン名間の関係のみの情報では、これらの文献において与えられることが前提とされている関連情報を含まないため、悪性の真偽の判定を行うことは困難である。
本発明は、上記の点に鑑みてなされたものであって、信頼度が不明確な脅威情報の信頼度の算出を可能とすることを目的とする。
そこで上記課題を解決するため、信頼度算出装置は、入力された第1の脅威情報に関連する情報を収集する第1の収集部と、信頼度が付与されている脅威情報を記憶する記憶部から、前記関連する情報に関連する第2の脅威情報を収集する第2の収集部と、前記第1の脅威情報、前記関連する情報及び前記第2の脅威情報をノードとし、関連を有する情報に係るノード間が接続されたグラフを生成する生成部と、前記グラフに対して確率伝搬法を適用して、前記第2の脅威情報の信頼度に基づいて前記第1の脅威情報の信頼度を算出する算出部と、を有する。
信頼度が不明確な脅威情報の信頼度の算出を可能とすることができる。
以下、図面に基づいて本発明の実施の形態を説明する。図1は、本発明の実施の形態における信頼度算出装置10のハードウェア構成例を示す図である。図1の信頼度算出装置10は、それぞれバスBで相互に接続されているドライブ装置100、補助記憶装置102、メモリ装置103、CPU104、インタフェース装置105、表示装置106、及び入力装置107等を有する。
信頼度算出装置10での処理を実現するプログラムは、CD−ROM等の記録媒体101によって提供される。プログラムを記憶した記録媒体101がドライブ装置100にセットされると、プログラムが記録媒体101からドライブ装置100を介して補助記憶装置102にインストールされる。但し、プログラムのインストールは必ずしも記録媒体101より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置102は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。
メモリ装置103は、プログラムの起動指示があった場合に、補助記憶装置102からプログラムを読み出して格納する。CPU104は、メモリ装置103に格納されたプログラムに従って信頼度算出装置10に係る機能を実現する。インタフェース装置105は、ネットワークに接続するためのインタフェースとして用いられる。表示装置106はプログラムによるGUI(Graphical User Interface)等を表示する。入力装置107はキーボード及びマウス等で構成され、様々な操作指示を入力させるために用いられる。
図2は、本発明の実施の形態における信頼度算出装置10の機能構成例を示す図である。図2において、信頼度算出装置10は、入力部11、関連情報収集部12、グラフ変換部13、信頼度計算部14、出力部15及び格納部16等を有する。これら各部は、信頼度算出装置10にインストールされた1以上のプログラムが、CPU104に実行させる処理により実現される。
入力部11は、信頼度が不明確な脅威情報(以下「対象脅威情報」という。)を信頼度の算出対象として入力する。対象脅威情報には関連情報が含まれない。また、対象脅威情報は、過去の脅威情報として存在しない値である。なお、信頼度とは、脅威情報の悪性が真である確度を確率で表現したものであり、0≦P(x)≦1で表すことができる。例えば、脅威情報の悪性が真である確度が高い脅威情報とは、P(x)が1に近い脅威情報をいい、脅威情報の悪性が偽である確度が高いとは、P(x)が0に近い脅威情報であるといえる。
関連情報収集部12は、対象脅威情報を構成する値(IPアドレス、ドメイン名等)に対して、対象脅威情報に関連する情報(関連情報)を検索及び収集し、収集結果を一時的に記録する。図2において、関連情報収集部12は、OSINT収集部121、NW観測情報収集部122及び蓄積脅威情報収集部123等を含む。
OSINT収集部121は、オープンソースインテリジェンス(OSINT)等の公開情報をOSINTサイト20等に問い合わせて関連情報を収集する。
NW観測情報収集部122は、ネットワークで観測できる情報を関連情報として収集する。例えば、NW観測情報収集部122は、DNS名前解決を行うDNSサーバ30や、ネットワークで収集したフロー情報(ネットワークに存在するフローエクスポータおよびフローコレクタで観測・収集したフロー情報)を格納するフロー観測情報管理装置40等へ問い合わせを行うことで、関連情報を収集する。
蓄積脅威情報収集部123は、過去に利用された、登録された、又は共有された脅威情報(以下、「蓄積脅威情報」という。)を蓄積(記憶)及び管理する脅威情報管理装置50へ問い合わせて、該当する蓄積脅威情報を関連情報として収集する。蓄積脅威情報は、例えば、ドメイン名やIPアドレス、マルウェアのファイルハッシュ値などであり、悪性の信頼度が付与されており、その関連情報も存在する。
グラフ変換部13は、対象脅威情報及び収集された各関連情報を、ノードとリンクで表されるグラフ構造に変換する。この際、ノードには脅威情報の値または収集した関連情報の値が格納され、関連のあるノード間がリンクによって接続される。
信頼度計算部14は、確率伝搬法を用いて蓄積脅威情報から信頼度をノード間で伝搬させ、対象脅威情報の信頼度を算出する。
出力部15は、対象脅威情報の信頼度の算出結果と収集された関連情報とを出力する。出力形態は所定のものに限定されない。表示装置106へ表示されてもよいし、補助記憶装置102に記憶されてもよいし、ネットワークを介して転送されてもよい。
格納部16は、対象脅威情報、収集された関連情報、及び算出された信頼度を含む情報を新たな脅威情報として脅威情報管理装置50へ格納する。
なお、図2において、脅威情報管理装置50は、過去に利用された、又は共有された脅威情報を蓄積及び管理するデータベースを有するコンピュータである。
フロー観測情報管理装置40は、ネットワークに存在するフローエクスポータ及びフローコレクタから収集したネットワークのフロー情報を格納及び管理するデータベースを有するコンピュータである。
OSINTサイト20は、主にインターネットで公開されているオープンソースインテリジェンスのホームページ又はサービスである。例えば、IPアドレスやドメイン名の所有者情報を提供するWHOIS検索サービスや、AS(Autonomous System)番号の検索サイトや、GeoIP検索サイトや、レピュテーションサイト(VirusTotal等)等がOSINTサイト20の一例として挙げられる。
DNSサーバ30は、ドメイン名とIPアドレスの対応を管理し、主としてドメイン名からIPアドレスへの変換、及びその逆の要求を受け付ける装置である。
以下、信頼度算出装置10が実行する処理手順について説明する。図3は、信頼度算出装置10が実行する処理手順の一例を説明するためのフローチャートである。
ステップS101において、入力部11は、対象脅威情報を入力する。対象脅威情報は、入力装置107を介して入力されてもよいし、ネットワークを介して受信されてもよい。なお、対象脅威情報は、例えば、IPアドレス若しくはドメイン名、又はIPアドレス及びドメイン名の双方等を値として含む。
続いて、OSINT収集部121は、対象脅威情報の値に関するWHOIS登録情報、AS番号、GeoIP情報(国名、都市名、ISP(Internet Service Provider)名等)を、OSINTサイト20から検索し、検索された情報を対象脅威情報に対する関連情報として収集する(S102)。例えば、WHOIS登録情報の検索では、対象脅威情報のIPアドレス又はドメイン名の所有者情報や登録者情報を取得することができ、AS番号の検索では、対象脅威情報のIPアドレスが属するAS番号を取得することができる。なお、対象脅威情報が複数の値(例えば、IPアドレス及びドメイン名)を含む場合、値ごとに関連情報が収集される。
続いて、NW観測情報収集部122は、対象脅威情報に関連するフロー観測情報をフロー観測情報管理装置40から検索すると共に、対象脅威情報に関するDNS名前解決結果をDNSサーバ30から検索し、検索された情報(フロー観測情報、DNS名前解決結果)を対象脅威情報に対する関連情報として収集する(S103)。なお、フロー観測情報とは、送信元及び宛先の組ごとに統計情報を含む情報をいう。対象脅威情報に関連するフロー観測情報とは、対象脅威情報の値(IPアドレス又はドメイン名等)を、送信元及び宛先の少なくともいずれか一方を送信元又は宛先等に含むフロー観測情報をいう。また、対象脅威情報に関するDNS名前解決結果とは、対象脅威情報の値がドメイン名であればIPアドレスであり、対象脅威情報の値がIPアドレスであればドメイン名(逆引きの結果)である。
続いて、蓄積脅威情報収集部123は、ステップS102又はS103において収集された関連情報と関連の有る蓄積脅威情報を脅威情報管理装置50へ問い合わせて、該当する蓄積脅威情報を関連情報として収集する(S104)。関連情報と関連の有る蓄積脅威情報とは、当該関連情報を値として含む蓄積脅威情報をいう。この際、当該関連情報は、値ごと(パラメータごと)の単位とされる。例えば、フロー観測情報であれば、送信元アドレス及び宛先アドレスのそれぞれが、個別の関連情報として扱われる。他の関連情報についても同様である。
続いて、グラフ変換部13は、対象脅威情報及び収集された各関連情報をノードとし、関連を有するノード間がリンクで接続されたグラフを生成する(S105)。各ノードには、対応する対象脅威情報の値又は関連情報の値が格納される。
図4は、対象脅威情報及び収集された各関連情報に基づくグラフの一例を示す図である。図4の(1)では、対象脅威情報に対応するノードと、対象脅威情報に基づいて収集された各関連情報(すなわち、蓄積脅威情報を除く各関連情報)に対応するノードとがリンクによって接続された状態が示されている。すなわち、図4(1)は、対象脅威情報から、WHOIS登録情報、DNS名前解決結果、フロー観測情報が1つずつ収集された例に対応する。
(2)では、更に、(1)における各関連情報に対応するノードと、当該各関連情報に基づいて収集された各蓄積脅威情報に対応するノードとがリンクによって接続されて、グラフが完成した状態が示されている。すなわち、図4(2)は、WHOIS登録情報及びDNS名前解決結果のそれぞれから、2つの蓄積脅威情報が収集され、フロー観測情報から1つの蓄積脅威情報が収集された例に対応する。
なお、グラフにおける各ノードは、対象脅威情報又は関連情報の値ごとに配置される。また、グラフにおける矢印の方向は、関連の方向を示す。すなわち、矢印の元に基づいて、矢印の先が検索された(収集された)ことを示す。
続いて、信頼度計算部14は、ステップS105において生成されたグラフに対してグラフ分析手法である確率伝搬法(Belief Propagation)を適用して、蓄積脅威情報のノードに与えられている信頼度をノード間で伝搬することで対象脅威情報の信頼度P(x)を計算する(S106)。ここで、信頼度計算における信頼度伝搬の伝搬式の一例は、以下の通りである。
P(x)=Σ{1/(t−t0)}wP
w:情報源ごとの重み
t:現在の時刻
t0:蓄積脅威情報の登録時刻、
P:リンクが存在する蓄積脅威情報の各ノードの信頼度
但し、t=t0の場合、t−t0=1
ここで、wの値は、0以上1未満であり、ユーザによって任意に設定される。
P(x)=Σ{1/(t−t0)}wP
w:情報源ごとの重み
t:現在の時刻
t0:蓄積脅威情報の登録時刻、
P:リンクが存在する蓄積脅威情報の各ノードの信頼度
但し、t=t0の場合、t−t0=1
ここで、wの値は、0以上1未満であり、ユーザによって任意に設定される。
図5は、信頼度の計算を説明するための図である。図5において、太線の矢印が、信頼度の伝搬を示している。なお、信頼度の伝搬については、非特許文献1に詳しい。信頼度の計算では、対象の脅威情報の信頼度P(x)が収束するまで計算が実施されるため、対象脅威情報と関連情報とからなるグラフ全体の信頼度を伝搬して利用することが可能である。また、信頼度の伝搬式に時刻の差分の逆数(1/(t−t0))を入れることで、相対的に古い蓄積脅威情報の信頼度の影響(対象脅威情報の信頼度に対する影響)を小さくすることができる。
続いて、出力部15は、対象脅威情報の信頼度の計算結果と収集された関連情報とを出力する(S107)。
続いて、格納部16は、対象脅威情報、収集された関連情報を含み、算出された信頼度が付与された情報を新たな脅威情報として脅威情報管理装置50へ格納する(S108)。
上述したように、本実施の形態によれば、信頼度が不明確な脅威情報の信頼度の算出を可能とすることができる。特に、信頼度が不明確な脅威情報の信頼度算出に関して、複数の情報源から収集した関連情報に基づいてグラフ構造を生成し、グラフ分析手法による信頼度の伝搬を用いることで、信頼度の算出の精度及び効率性を高くすることができる。その結果、サイバー攻撃に対し、これまでより早期で、かつ、より精度が高くより網羅性の高い検知・対処が可能となる。
また、信頼度が算出された対象脅威情報を、その関連情報及び信頼度とともに蓄積することで、蓄積脅威情報を拡充することが可能となる。
また、対象脅威情報と関連するネットワーク観測情報とOSINT情報を収集することで、過去に蓄積した蓄積脅威情報との関連付けと精度の高い信頼度が算出とが可能となる。
また、関連情報の収集・拡充、信頼度の算出によって、多数の脅威情報の選別に要する運用者負担削減や誤検知の削減による、効率的なセキュリティオペレーションを可能とすることができる。
なお、本実施の形態において、OSINT収集部121及びNW観測情報収集部122は、第1の収集部の一例である。蓄積脅威情報収集部123は、第2の収集部の一例である。グラフ変換部13は、生成部の一例である。信頼度計算部14は、算出部の一例である。脅威情報管理装置50は、記憶部の一例である。対象脅威情報は、第1の脅威情報の一例である。蓄積脅威情報は、第2の脅威情報の一例である。
以上、本発明の実施の形態について詳述したが、本発明は斯かる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
10 信頼度算出装置
11 入力部
12 関連情報収集部
13 グラフ変換部
14 信頼度計算部
15 出力部
16 格納部
20 OSINTサイト
30 DNSサーバ
40 フロー観測情報管理装置
50 脅威情報管理装置
100 ドライブ装置
101 記録媒体
102 補助記憶装置
103 メモリ装置
104 CPU
105 インタフェース装置
106 表示装置
107 入力装置
121 OSINT収集部
122 NW観測情報収集部
123 蓄積脅威情報収集部
B バス
11 入力部
12 関連情報収集部
13 グラフ変換部
14 信頼度計算部
15 出力部
16 格納部
20 OSINTサイト
30 DNSサーバ
40 フロー観測情報管理装置
50 脅威情報管理装置
100 ドライブ装置
101 記録媒体
102 補助記憶装置
103 メモリ装置
104 CPU
105 インタフェース装置
106 表示装置
107 入力装置
121 OSINT収集部
122 NW観測情報収集部
123 蓄積脅威情報収集部
B バス
Claims (6)
- 入力された第1の脅威情報に関連する情報を収集する第1の収集部と、
信頼度が付与されている脅威情報を記憶する記憶部から、前記関連する情報に関連する第2の脅威情報を収集する第2の収集部と、
前記第1の脅威情報、前記関連する情報及び前記第2の脅威情報をノードとし、関連を有する情報に係るノード間が接続されたグラフを生成する生成部と、
前記グラフに対して確率伝搬法を適用して、前記第2の脅威情報の信頼度に基づいて前記第1の脅威情報の信頼度を算出する算出部と、
を有することを特徴とする信頼度算出装置。 - 前記算出部によって算出された信頼度が付与された前記第1の脅威情報を前記記憶部に格納する格納部、
を有することを特徴とする請求項1記載の信頼度算出装置。 - 前記算出部は、相対的に古い前記第2の脅威情報の信頼度の影響が小さくなるように前記の脅威情報の信頼度を算出する、
ことを特徴とする請求項1又は2記載の信頼度算出装置。 - 前記関連する情報は、オープンソースインテリジェンス又はネットワークの観測情報を含む、
ことを特徴とする請求項1乃至3いずれか一項記載の信頼度算出装置。 - 入力された第1の脅威情報に関連する情報を収集する第1の収集手順と、
信頼度が付与されている脅威情報を記憶する記憶部から、前記関連する情報に関連する第2の脅威情報を収集する第2の収集手順と、
前記第1の脅威情報、前記関連する情報及び前記第2の脅威情報をノードとし、関連を有する情報に係るノード間が接続されたグラフを生成する生成手順と、
前記グラフに対して確率伝搬法を適用して、前記第2の脅威情報の信頼度に基づいて前記第1の脅威情報の信頼度を算出する算出手順と、
をコンピュータが実行することを特徴とする信頼度算出方法。 - 請求項1乃至4いずれか一項記載の各部としてコンピュータを機能させることを特徴とするプログラム。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018098709A JP6988690B2 (ja) | 2018-05-23 | 2018-05-23 | 信頼度算出装置、信頼度算出方法及びプログラム |
| PCT/JP2019/018937 WO2019225381A1 (ja) | 2018-05-23 | 2019-05-13 | 信頼度算出装置、信頼度算出方法及びプログラム |
| US17/055,892 US11522902B2 (en) | 2018-05-23 | 2019-05-13 | Reliability calculation apparatus, reliability calculation method and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018098709A JP6988690B2 (ja) | 2018-05-23 | 2018-05-23 | 信頼度算出装置、信頼度算出方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019204264A true JP2019204264A (ja) | 2019-11-28 |
| JP6988690B2 JP6988690B2 (ja) | 2022-01-05 |
Family
ID=68616646
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018098709A Active JP6988690B2 (ja) | 2018-05-23 | 2018-05-23 | 信頼度算出装置、信頼度算出方法及びプログラム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11522902B2 (ja) |
| JP (1) | JP6988690B2 (ja) |
| WO (1) | WO2019225381A1 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020035424A (ja) * | 2018-07-03 | 2020-03-05 | ザ・ボーイング・カンパニーThe Boeing Company | ネットワークへの脅威のインジケータの抽出及び応答 |
| JP2021099589A (ja) * | 2019-12-20 | 2021-07-01 | 株式会社日立製作所 | 情報セキュリティ支援システム、情報セキュリティ支援方法 |
| JP7494065B2 (ja) | 2020-09-14 | 2024-06-03 | Kddi株式会社 | 検知装置、検知方法及び検知プログラム |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11928208B2 (en) * | 2018-10-02 | 2024-03-12 | Nippon Telegraph And Telephone Corporation | Calculation device, calculation method, and calculation program |
| US11201890B1 (en) | 2019-03-29 | 2021-12-14 | Mandiant, Inc. | System and method for adaptive graphical depiction and selective remediation of cybersecurity threats |
| US11477226B2 (en) * | 2019-04-24 | 2022-10-18 | Saudi Arabian Oil Company | Online system identification for data reliability enhancement |
| US11677775B2 (en) * | 2020-04-10 | 2023-06-13 | AttackIQ, Inc. | System and method for emulating a multi-stage attack on a node within a target network |
| CN113839954A (zh) * | 2021-09-27 | 2021-12-24 | 杭州安恒信息技术股份有限公司 | 一种威胁情报获取方法、装置、设备及存储介质 |
| CN114463538B (zh) * | 2022-04-11 | 2022-07-12 | 北京中瑞方兴科技有限公司 | 一种检测可变情报板发布内容可信性的方法及系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016140038A1 (ja) * | 2015-03-05 | 2016-09-09 | 日本電信電話株式会社 | 通信先悪性度算出装置、通信先悪性度算出方法及び通信先悪性度算出プログラム |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8813228B2 (en) * | 2012-06-29 | 2014-08-19 | Deloitte Development Llc | Collective threat intelligence gathering system |
| US20150215334A1 (en) * | 2012-09-28 | 2015-07-30 | Level 3 Communications, Llc | Systems and methods for generating network threat intelligence |
| US9635049B1 (en) * | 2014-05-09 | 2017-04-25 | EMC IP Holding Company LLC | Detection of suspicious domains through graph inference algorithm processing of host-domain contacts |
| US20170041332A1 (en) * | 2015-08-07 | 2017-02-09 | Cisco Technology, Inc. | Domain classification based on domain name system (dns) traffic |
| WO2017048250A1 (en) * | 2015-09-16 | 2017-03-23 | Hewlett Packard Enterprise Development Lp | Confidence levels in reputable entities |
| US10958667B1 (en) * | 2016-06-03 | 2021-03-23 | Mcafee Llc | Determining computing system incidents using node graphs |
| US20180159876A1 (en) * | 2016-12-05 | 2018-06-07 | International Business Machines Corporation | Consolidating structured and unstructured security and threat intelligence with knowledge graphs |
| US10681070B2 (en) | 2017-05-26 | 2020-06-09 | Qatar Foundatiion | Method to identify malicious web domain names thanks to their dynamics |
| US11431745B2 (en) * | 2018-04-30 | 2022-08-30 | Microsoft Technology Licensing, Llc | Techniques for curating threat intelligence data |
-
2018
- 2018-05-23 JP JP2018098709A patent/JP6988690B2/ja active Active
-
2019
- 2019-05-13 WO PCT/JP2019/018937 patent/WO2019225381A1/ja active Application Filing
- 2019-05-13 US US17/055,892 patent/US11522902B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016140038A1 (ja) * | 2015-03-05 | 2016-09-09 | 日本電信電話株式会社 | 通信先悪性度算出装置、通信先悪性度算出方法及び通信先悪性度算出プログラム |
Non-Patent Citations (2)
| Title |
|---|
| 浅井 麻友子 ほか1名: "DNSグラフ分析に基づく悪性ドメインの検知手法の提案", 研究報告セキュリティ心理学とトラスト, JPN6019026545, 22 September 2017 (2017-09-22), JP, ISSN: 0004629701 * |
| 風戸 雄太 ほか2名: "DNSグラフ上でのグラフ分析と脅威スコア伝搬による悪性ドメイン特定", コンピュータソフトウェア, vol. 第33巻・第3号, JPN6019026543, 25 July 2016 (2016-07-25), JP, pages 16 - 28, ISSN: 0004629700 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020035424A (ja) * | 2018-07-03 | 2020-03-05 | ザ・ボーイング・カンパニーThe Boeing Company | ネットワークへの脅威のインジケータの抽出及び応答 |
| JP7340368B2 (ja) | 2018-07-03 | 2023-09-07 | ザ・ボーイング・カンパニー | ネットワークへの脅威のインジケータの抽出及び応答 |
| JP2021099589A (ja) * | 2019-12-20 | 2021-07-01 | 株式会社日立製作所 | 情報セキュリティ支援システム、情報セキュリティ支援方法 |
| JP7245765B2 (ja) | 2019-12-20 | 2023-03-24 | 株式会社日立製作所 | 情報セキュリティ支援システム、情報セキュリティ支援方法 |
| JP7494065B2 (ja) | 2020-09-14 | 2024-06-03 | Kddi株式会社 | 検知装置、検知方法及び検知プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6988690B2 (ja) | 2022-01-05 |
| US11522902B2 (en) | 2022-12-06 |
| WO2019225381A1 (ja) | 2019-11-28 |
| US20210203686A1 (en) | 2021-07-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6988690B2 (ja) | 信頼度算出装置、信頼度算出方法及びプログラム | |
| Muñoz-González et al. | Exact inference techniques for the analysis of Bayesian attack graphs | |
| Wei et al. | SybilDefender: A defense mechanism for sybil attacks in large social networks | |
| US8260914B1 (en) | Detecting DNS fast-flux anomalies | |
| US20160226893A1 (en) | Methods for optimizing an automated determination in real-time of a risk rating of cyber-attack and devices thereof | |
| WO2020133986A1 (zh) | 僵尸网络域名家族的检测方法、装置、设备及存储介质 | |
| De Silva et al. | Compromised or {Attacker-Owned}: A large scale classification and study of hosting domains of malicious {URLs} | |
| CN111104579A (zh) | 一种公网资产的识别方法、装置及存储介质 | |
| EP3913888A1 (en) | Detection method for malicious domain name in domain name system and detection device | |
| Thejas et al. | A multi-time-scale time series analysis for click fraud forecasting using binary labeled imbalanced dataset | |
| Carter et al. | Probabilistic threat propagation for malicious activity detection | |
| He et al. | Malicious domain detection via domain relationship and graph models | |
| US20160337389A1 (en) | Discovering yet unknown malicious entities using relational data | |
| Weber et al. | Unsupervised clustering for identification of malicious domain campaigns | |
| Tran et al. | DNS graph mining for malicious domain detection | |
| CN112968870A (zh) | 一种基于频繁项集的网络团伙发现方法 | |
| Sharma et al. | Ransomware Attack Detection in the Internet of Things using Machine Learning Approaches | |
| Chiba et al. | Botprofiler: Profiling variability of substrings in http requests to detect malware-infected hosts | |
| JP2012175296A (ja) | 通信分類装置及び方法 | |
| US20230008765A1 (en) | Estimation apparatus, estimation method and program | |
| CN112235134B (zh) | 基于ip连接概率分类的路由器所有权探测方法及系统 | |
| US11533293B2 (en) | Scoring domains and IPS using domain resolution data to identify malicious domains and IPS | |
| CN110147506B (zh) | Url的去重方法与装置 | |
| Degani et al. | Generative adversarial networks for subdomain enumeration | |
| Manggalanny et al. | Combination of DNS traffic analysis: A design to enhance APT detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200819 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211102 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211115 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6988690 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |