JP2019536158A - 検知結果が有効であるかないかを検証する方法およびシステム - Google Patents
検知結果が有効であるかないかを検証する方法およびシステム Download PDFInfo
- Publication number
- JP2019536158A JP2019536158A JP2019525866A JP2019525866A JP2019536158A JP 2019536158 A JP2019536158 A JP 2019536158A JP 2019525866 A JP2019525866 A JP 2019525866A JP 2019525866 A JP2019525866 A JP 2019525866A JP 2019536158 A JP2019536158 A JP 2019536158A
- Authority
- JP
- Japan
- Prior art keywords
- event
- valid
- analyzed
- security
- management server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 59
- 238000001514 detection method Methods 0.000 title abstract description 26
- 238000012545 processing Methods 0.000 claims abstract description 28
- 238000010219 correlation analysis Methods 0.000 claims abstract description 5
- 230000000875 corresponding effect Effects 0.000 claims description 38
- 230000004044 response Effects 0.000 claims description 24
- 230000002596 correlated effect Effects 0.000 claims description 2
- 230000008569 process Effects 0.000 description 31
- 238000012790 confirmation Methods 0.000 description 15
- 238000010586 diagram Methods 0.000 description 14
- 230000005540 biological transmission Effects 0.000 description 8
- 230000006870 function Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 238000004590 computer program Methods 0.000 description 4
- 239000002699 waste material Substances 0.000 description 4
- 238000013480 data collection Methods 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 229960005486 vaccine Drugs 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
検知結果が有効であるかないかを検証する方法およびシステムを提供する。有効であるかないかを検証する方法は、セキュリティ情報イベント管理(Security Information & Event Management:SIEM)サーバにおいて、複数のセキュリティサービスから検知されたイベントを受信し、受信された前記イベントを相関分析し、受信された前記イベントのうち予め設定された相関ルールに該当するイベントを分析対象のイベントとして決定することにより、前記セキュリティ情報イベント管理サーバから前記分析対象のイベントを受信して登録する工程と、前記複数のセキュリティサービスのうち登録された前記イベントに対応するセキュリティサービスから、登録された前記イベントのローデータを収集する工程と、収集された前記ローデータを分析し、登録された前記イベントにおける攻撃対象のネットワーク上の位置情報を取得する工程と、取得された前記位置情報に基づいて前記分析対象のイベントが有効であるかないかを判定する工程と、前記分析対象のイベントが有効でないと判定された場合、前記分析対象のイベントの例外処理メッセージを生成して前記セキュリティ情報イベント管理サーバに送信する工程と、を有する。
Description
以下の説明は、検知結果が有効であるかないかを検証する方法およびシステムに関する。
不正侵入検知システム(Intrusion Detection System:IDS)/不正侵入防止システム(Intrusion Prevention System:IPS)は、ネットワーク上でワクチンと同じような役割をするものであって、ネットワーク上での攻撃を検知/防止するためのサービスである。このようなIDS/IPSは、保護しようとするシステムに印加されなかった行為や非正常的な挙動を検知し、検知した不正行為を区分し、その侵入をリアルタイムで防ぐ機能を行う。さらに、内部ネットワークの挙動を検知して記録しておき、異常状況が発生したときには即時にそれを把握し、不正行為を引き起こしたパケットを遮断して内部システムのセキュリティを実現する。このようなIDS/IPSは、一例として、複数のコンポーネントによって構成される。センサはセキュリティイベントを発生させ、コンソールは発生したイベントをモニタリングしてセンサを制御あるいは警戒(alert)し、中央エンジンはセンサによって記録されたイベントをデータベースに記録したり、システム規則に基づいて受信したセキュリティイベントから警告を生成したりする。例えば、特許文献1は、相互協力的なマルチサーバによる侵入検知システムおよび方法、侵入検知統制システム、および方法について開示している。
なお、このような侵入検知システムを含む多様な異種のセキュリティサービスによって検知されてデータベースに記録された検知結果が有効であるかないかは、保護しようとするシステムのために配置された管制人員のように人間が直接検証しなければならない。例えば、管制センターの担当者が、同じ形態の検知結果に対する応答内容を確認する有効であるかないかの検証を行わなければならないのである。しかしながら、大部分の検知結果は、影響力のない検知結果を含んでいる。例えば、特定ページに対して、実際には攻撃されそうになったにも関わらず、サーバが要求されたページを見つけられずに404エラーメッセージを返す場合のように、実際には影響力のないサイトへの攻撃に対しても検知結果が生成および記録されてしまうことがある。この場合、管制人員は、このように影響力もない上に検知結果全体で大多数を占める検知結果に対しても、不必要とも言える検証作業を直接処理しなければならない。言い換えれば、すべての検知結果が有効であるかないかを人間が直接検証することは、極めて非効率的であるという問題を抱えている。
セキュリティ動作と関連して検知されるイベントの影響力に応じて、有効であるかないかの検証の必要性が低い検知結果に対する有効であるかないかの確認を自動化することにより、不必要な資源の浪費を防ぐことができ、ネットワークを介した攻撃に対する対応の効率性を高めることができる、有効であるかないかを検証する方法およびシステムを提供する。
セキュリティ情報イベント管理(Security Information & Event Management:SIEM)サーバなどのセキュリティ管理サーバにおいて、複数のセキュリティサービスから検知されたイベントを受信し、受信された前記イベントを相関分析し、受信された前記イベントのうち予め設定された相関ルールに該当するイベントを分析対象のイベントとして決定することにより、前記セキュリティ管理サーバから前記分析対象のイベントを受信して登録する工程と、前記複数のセキュリティサービスのうち登録された前記イベントに対応するセキュリティサービスから、登録された前記イベントのロー(raw)データを収集する工程と、収集された前記ローデータを分析し、登録された前記イベントにおける攻撃対象のネットワーク上の位置情報を取得する工程と、取得された前記位置情報に基づいて前記分析対象のイベントが有効であるかないかを判定する工程と、前記分析対象のイベントが有効でないと判定された場合、前記分析対象のイベントの例外処理メッセージを生成して前記セキュリティ管理サーバに送信する工程と、を有する、有効であるかないかを検証する方法を提供する。
セキュリティ管理サーバにおいて、複数のセキュリティサービスから検知されたイベントを受信し、受信された前記イベントを相関分析し、受信された前記イベントのうち予め設定された相関ルールに該当するイベントを分析対象のイベントとして決定することにより、前記セキュリティ管理サーバから前記分析対象のイベントを受信して登録する手段と、前記複数のセキュリティサービスのうち登録された前記イベントに対応するセキュリティサービスから、登録された前記イベントのローデータを収集する手段と、収集された前記ローデータを分析し、登録された前記イベントにおける攻撃対象のネットワーク上の位置情報を取得する手段と、取得された前記位置情報に基づいて前記分析対象のイベントが有効であるかないかを判定する手段と、前記分析対象のイベントが有効でないと判定された場合、前記分析対象のイベントの例外処理メッセージを生成して前記セキュリティ管理サーバに送信する手段と、を有する、有効であるかないかを検証するサーバを提供する。
セキュリティ動作と関連して検知されるイベントの影響力に応じて、有効であるかないかの検証の必要性が低い検知結果に対する有効であるかないかの確認を自動化することにより、不必要な資源の浪費を防ぐことができ、ネットワークを介した攻撃に対する対応の効率性を高めることができる。
以下、実施形態について、添付の図面を参照しながら詳しく説明する。
図1は、本発明の一実施形態における、有効であるかないかを検証するシステムの全体構成の例を示した図である。
図1において、点線ボックス110は、不正侵入検知/防止システム(Intrusion Detection/Prevention System:IDS/IPS)、クラウド・セキュリティ・ソリューションであるディープセキュリティ(Deepsecurity)、およびSEPM(Symantec Endpoint Protection Manager)などのようなセキュリティサービスを示している。このようなセキュリティサービスは、既に周知のとおりである。したがって、図1に示したセキュリティサービスの他にも、HIDS(Host−based Intrusion Detection System)などのようにやはり周知の多様なセキュリティサービスのうちの1つ以上が本発明の実施形態のために利用されてもよいこと、さらにこのようなセキュリティサービスがネットワークを介した攻撃を検知するためにどのように動作するかについては、当業者であれば容易に理解することができるであろう。
このようなセキュリティサービスで検知されたイベントは、セキュリティ情報イベント管理(SIEM)サーバ120に送信されてよい。図1に示した(1)の過程は、セキュリティサービスで検知されたイベントがセキュリティ情報イベント管理サーバ120に送信される過程の例であってよい。
また、セキュリティ情報イベント管理サーバ120は、異種(複数)のイベントを相関分析し、予め設定された相関ルールに該当するイベントを決定してよい。例えば、2つ以上のセキュリティサービスにおいて、第1イベントおよび第2イベントが予め設定された時間間隔(一例として、1分間隔)以内に発生してセキュリティ情報イベント管理サーバ120に送信された場合、セキュリティ情報イベント管理サーバ120は、第1イベントおよび第2イベントを相関ルールに該当するイベントとして決定してよい。このような相関ルールは、セキュリティ情報イベント管理に関する周知の技術から、当業者が容易に理解することができるであろう。この場合、セキュリティ情報イベント管理サーバ120は、決定されたイベントをセキュリティ管制業務管理サーバ130に送信し、業務として登録されるようにしてよい。図1に示した(2)の過程が、このようなイベントをセキュリティ情報イベント管理サーバ120からセキュリティ管制業務管理サーバ130に送信して登録する過程の例であってよい。例えば、セキュリティ情報イベント管理サーバ120は、決定されたイベントに関するセキュリティ情報イベント管理チケットを生成してセキュリティ管制業務管理サーバ130に送信してよく、セキュリティ管制業務管理サーバ130が受信したセキュリティ情報イベント管理チケットを登録することにより、特定の攻撃に対するイベント(分析対象のイベント/分析が要求されるイベント)を登録してよい。
セキュリティ管制業務管理サーバ130は、業務として登録された攻撃に対するイベントの情報を管制人員に提供し、登録されたイベントを管制人員が処理できるように機能を提供してよい。例えば、セキュリティ管制業務管理サーバ130は、管制人員が個別のイベントに関する詳細情報を詳察しながら個別のイベントの攻撃が有効であるかないかを検証して、個別のイベントが有効であるかないかを指定することのできるユーザインタフェースを管制人員に提供してよい。このようなセキュリティ管制業務管理サーバ130は、一例として、脅威管理システム(Threat Management System:TMS)のような技術から、当業者が容易に理解することができるであろう。
一方、登録されたすべてのイベントが有効であるかないかを人間が直接検証することは極めて非効率的であることは、上述したとおりである。このような問題を解決するために、本実施形態に係る有効であるかないかを検証するシステムは、図1に示すように、イベント分析サーバ140およびログ確認サーバ150を備えてよい。図1の実施形態に係る有効であるかないかを検証するシステムは、セキュリティ管制業務管理サーバ130、イベント分析サーバ140、およびログ確認サーバ150を個別装置として備えているが、実施形態によっては、イベント分析サーバ140およびログ確認サーバ150は、セキュリティ管制業務管理サーバ130と統合される1つのシステムで構成されてもよい。例えば、1つのサーバ装置から、セキュリティ管制業務管理サーバ130、イベント分析サーバ140、およびログ確認サーバ150が提供しようとするすべての機能を提供することも可能である。
イベント分析サーバ140は、セキュリティ管制業務管理サーバ130に登録されたイベントを収集してよい。例えば、イベント分析サーバ140は、予め設定された時間間隔(一例として、1分間隔)ごとにセキュリティ管制業務管理サーバ130に登録されたイベントを収集してよい。図1に示した(3)の過程は、イベント分析サーバ140が登録されたイベントを収集する過程の例であってよい。
また、イベント分析サーバ140は、収集したイベントをログ確認サーバ150に伝達してよい。例えば、図1に示した(4)の過程は、イベント分析サーバ140が収集したイベントをログ確認サーバ150に挿入(insert)する過程の例であってよい。
ログ確認サーバ150は、受信したイベントに対応するローデータを、該当のイベントを生成したセキュリティサービスのデータベース160から収集してよい。例えば、ログ確認サーバ150は、受信したイベントの名称および送信元のIPアドレス/ポート番号、さらに送信先のIPアドレス/ポート番号などの情報を利用しながら該当のイベントを生成したセキュリティサービスのデータベース160を照会してよく、照会結果として該当のイベントに対応するローデータを得てよい。図1に示した(5)の過程は、ローデータを収集する過程の例であってよい。
ログ確認サーバ150は、収集したローデータをパースしてよい。図1に示した(6)の過程は、収集したローデータをパースする過程の例であってよい。例えば、ローデータのパースは、該当のイベントに対応する攻撃が対象とするページのURI(Uniform Resource Identifier)を抽出するために行われてよい。
また、ログ確認サーバ150は、パースした情報を利用してイベントに対応する攻撃と同じ攻撃を実施して応答結果を確認してよい。例えば、ログ確認サーバ150は、抽出したURIを利用して確認されたページに対して、ネットワーク170を介して実際の攻撃と同じ攻撃を実行することにより、該当のページの応答結果を確認してよい。図1に示した(7)の過程は、このような応答結果を確認するための過程の例であってよい。
ログ確認サーバ150は、確認された応答結果をイベント分析サーバ140に伝達してよい。図1に示した(8)の過程は、このような応答結果を伝達するための過程の例であってよい。
イベント分析サーバ140は、伝達された応答結果を分析してイベントのリスク程度を決定してよい。例えば、上述した(7)の過程において、URIを利用して実行された攻撃によって該当のページを見つけることができないというHTTP404メッセージが受信された場合、該当の攻撃は影響力のない攻撃と判定されてよく、該当のイベントはリスクが低いイベントとして決定されてよい。このとき、イベント分析サーバ140は、リスクが大きいイベント(一例として、リスクが予め設定された程度以上のイベント)に対しては、セキュリティ情報イベント管理イベントをセキュリティ情報イベント管理サーバ120に送信してよい。一方、イベント分析サーバ140は、リスクが低いイベント(一例として、リスクが予め設定された程度未満のイベント)に対しては、例外処理メッセージをセキュリティ情報イベント管理サーバ120に送信してよい。図1に示した(9)の過程は、このようなセキュリティ情報イベント管理イベントおよび/または例外処理メッセージを送信する過程の例であってよい。
このとき、セキュリティ情報イベント管理サーバ120は、例外処理メッセージの受信により、例外処理メッセージに対応するイベントをセキュリティ情報イベント管理フィルタに追加してよい。この場合、以後からは、同じURIに対して発生する攻撃によるイベントは、セキュリティ情報イベント管理サーバ120で追加的にフィルタリングされてよい。したがって、このような例外処理されたイベントはセキュリティ管制業務管理サーバ130に伝達されないようになるし、同じ攻撃のための多数のパケットが存在することから、このような例外処理が増加するほど、セキュリティ管制業務管理サーバ130で管制人員が有効であるかないかを検証しなければならないイベントの数が急激に減少するようになる。言い換えれば、本実施形態に係る有効であるかないかを検証するシステムにより、影響力のないイベントに対して有効であるかないかは自動的に検証されるようになるため、不必要な資源の浪費を防ぐことができ、ネットワークを介した攻撃に対する対応の効率性を高めることができる。
図2は、本発明の一実施形態における、IDS管理コンソールで検知されたイベントリストの例を示した図である。セキュリティサービスであるIDSは、ネットワークトラフィック(一例として、受信したパケット)でセキュリティ攻撃と判定される文字列に対し、事前に登録されたパターンと一致するトラフィックを検知してよい。図2のイベントリストは、IDSで検知されたイベントのリストを意味してよく、図2に示すように、攻撃類型(Attack Type)、署名グループ(Signature Group)、深刻度(Severity)、検知された時刻(Time detected)、送信元IPアドレス(Source IP)、攻撃者ポート(Attacker port)、送信先IPアドレス(Destination IP)、送信先ポート(Destination Port)のような情報を含んでよい。
図3は、本発明の一実施形態における、IDS管理コンソールで検知されたイベントに関する詳細情報の例を示した図であり、図4は、本発明の一実施形態における、IDS管理コンソールで検知されたイベントに関する実際のネットワークパケット情報の例を示した図である。図3は、1つのイベントが、イベント名、送信元IPアドレス、送信元ポート、送信先IPアドレス、送信先ポート、検知された時刻などを利用して識別されることを間接的に示している。また、図4は、1つのイベントに対して実際のネットワークパケット情報が管理されることを示している。
また、IDSのようなセキュリティサービスで検知されたイベントは、セキュリティ情報イベント管理サーバ120に送信されてよく、セキュリティ情報イベント管理サーバ120は、受信したイベントに対し、相関ルールにしたがって条件をチェックして警告(Alert)を発生させるかを判定してよく、追加の分析が必要なイベントに対しては警告を発生させてよい。
図5は、本発明の一実施形態における、セキュリティ情報イベント管理サーバで発生する警告の例を示した図である。図5は、警告が発生したイベントに関する情報および関連データの例を示している。このような情報は、セキュリティ情報イベント管理サーバ120からセキュリティ管制業務管理サーバ130に送信され、セキュリティ管制業務管理サーバ130に登録されてよい。
図6は、本発明の一実施形態における、登録されたイベントの待機リストの例を示した図である。図6は、セキュリティ管制業務管理サーバ130が管制人員に提供するユーザインタフェース画面の一部600であり、セキュリティ管制業務管理サーバ130に登録されて有効であるかないかの検証のために待機中であるイベントのリストを示している。このとき、管制人員は、画面600に示されたイベントを選択することで各イベントの詳細情報を確認し、選択したイベントが有効であるかないかを検証してよい。例えば、図6の「探察」ボタン610は、選択されたイベントが有効である検知であることを指定するために利用されてよく、「誤探」ボタン620は、選択されたイベントが有効でない検知であることを指定するために利用されてよい。
このように、セキュリティ管制業務管理サーバ130に登録されたイベントに対しては、管制人員がその度に手動で有効であるかないかを検証する必要があった。しかしながら、本発明の実施形態では、上述したように、イベント分析サーバ140およびログ確認サーバ150が影響力のないイベントに対する例外処理をセキュリティ情報イベント管理サーバ120に登録し、セキュリティ情報イベント管理サーバ120が影響力のないイベントをフィルタリングしてセキュリティ管制業務管理サーバ130に登録されないようにすることにより、管制人員が有効であるかないかを手動で検証しなければならないイベントの数を減らすことができる。
図7は、本発明の一実施形態における、検知されたイベントの影響力を確認する例を示した図である。
第1点線ボックス710は、図1に示した(5)の過程によってログ確認サーバ150が受信したイベントを生成したセキュリティサービスのデータベース160から収集したローデータの例を示している。
また、第2点線ボックス720は、図1に示した(6)の過程によってログ確認サーバ150がローデータをパースして抽出したURL(Uniform Resource Locator)の例を示している。
さらに、第3点線ボックス730は、図1に示した(7)の過程によってログ確認サーバ150が抽出したURLにアクセスすることによって該当のサーバから受信した応答結果(URLに対応するページのソースコード)の例を示している。
上述したように、ログ確認サーバ150は、受信した応答結果をイベント分析サーバ140に送信してよく、イベント分析サーバ140は、応答結果から404応答コードを確認することにより、該当のイベントには影響力がないことを確認してよい。
第4点線ボックス740は、該当の攻撃の識別子(USD_316_Eval_One_Line_PHP_WebShell_090803)と対象IPアドレス(125.6.190.6)、さらに対象ポート番号80を示している。セキュリティ情報イベント管理サーバ120は、このような攻撃、対象IPアドレス、および対象ポート番号を例外処理することにより、以後からは該当の攻撃や対象に対してイベントが発生しないように措置してよい。
図7は、影響力のないイベントに対する例外処理の実施形態について説明したが、実施形態によっては、影響力の高いイベントに対し、イベントの登録だけではなく、セキュリティ情報イベント管理サーバ120からセキュリティ管制業務管理サーバ130に別途の警告メッセージを送信することにより、管制人員が影響力の高いイベントを見逃さないようにすることも可能である。
図8は、本発明の一実施形態における、有効であるかないかを検証するサーバの内部構成を説明するためのブロック図である。本実施形態では、セキュリティ管制業務管理サーバ130、イベント分析サーバ140、およびログ確認サーバ150が1つの装置である有効であるかないかを検証するサーバ800として実現された例について説明する。有効であるかないかを検証するサーバ800は、図8に示すように、メモリ810、プロセッサ820、通信モジュール830、および入力/出力インタフェース840を含んでよい。メモリ810は、コンピュータ読み取り可能な記録媒体であって、RAM(random access memory)、ROM(read only memory)、およびディスクドライブのような永続的大容量記録装置を含んでよい。ここで、ROMおよび永続的大容量記録装置は、メモリ810とは区分される別の永続的記録装置として含まれてもよい。また、メモリ810には、オペレーティングシステムと少なくとも1つのプログラムコードとが記録されてよい。このようなソフトウェア構成要素は、メモリ810とは別のコンピュータ読み取り可能な記録媒体からロードされてよい。このような別のコンピュータ読み取り可能な記録媒体は、フロッピー(登録商標)ドライブ、ディスク、テープ、DVD/CD−ROMドライブ、メモリカードなどのコンピュータ読み取り可能な記録媒体を含んでよい。他の実施形態において、ソフトウェア構成要素は、コンピュータ読み取り可能な記録媒体ではない通信モジュール830を通じてメモリ810にロードされてもよい。
プロセッサ820は、基本的な算術、ロジック、および入力/出力演算を実行することにより、コンピュータプログラムの命令を処理するように構成されてよい。命令は、メモリ810または通信モジュール830によって、プロセッサ820に提供されてよい。例えば、プロセッサ820は、メモリ810にロードされたプログラムコードにしたがって受信される命令を実行するように構成されてよい。
通信モジュール830は、ネットワークを介して他の物理的な機器と互いに通信するための機能を提供してよい。一例として、通信モジュール830は、セキュリティ情報イベント管理サーバ120やセキュリティサービスとの間でネットワークを介してデータを送受信するための機能を提供してよい。
入力/出力インタフェース840は、入力/出力装置850とのインタフェースのための手段であってよい。例えば、入力/出力装置850において、入力装置は、キーボードまたはマウスなどの装置を含んでよく、出力装置は、ディスプレイやスピーカのような装置を含んでよい。図8において、入力/出力装置850は、有効であるかないかを検証するサーバ800とは別の装置で表現されてもよいが、実施形態によっては、入力/出力装置850が有効であるかないかを検証するサーバ800に含まれるように有効であるかないかを検証するサーバ800が実現されてもよい。
また、他の実施形態において、有効であるかないかを検証するサーバ800は、図8の構成要素よりも多くの構成要素を含んでもよい。しかしながら、大部分の従来技術的構成要素を明確に図に示す必要はない。例えば、有効であるかないかを検証するサーバ800は、物理的な各種ボタンやタッチパネル、光出力装置などの多様な構成要素をさらに含むように実現されてもよい。
図9は、本発明の一実施形態における、有効であるかないかを検証するサーバのプロセッサが含むことのできる構成要素の例を示したブロック図であり、図10は、本発明の一実施形態における、有効であるかないかを検証するサーバが実行することのできる有効であるかないかを検証する方法の例を示したフローチャートである。また、図11および図12は、本発明の一実施形態における、有効であるかないかを検証する方法がさらに含むことのできる工程の例を示した図である。
図9は、上述した有効であるかないかを検証するサーバ800のプロセッサ820が含むことのできる構成要素として、イベント登録部910、ローデータ収集部920、位置情報取得部930、判定部940、および例外処理メッセージ送信部950を示している。また、プロセッサ820は、図9に示すように、実施形態によっては、有効メッセージ送信部960、警告メッセージ受信部970、およびユーザインタフェース提供部980のうちの少なくとも1つをさらに含んでもよい。このようなプロセッサ820およびプロセッサ820の構成要素は、図10の有効であるかないかを検証する方法が含む工程1010〜1060、さらに図11および12に示す工程1110、1120、および1210を実行してよい。このとき、プロセッサ820およびプロセッサ820の構成要素は、メモリ810が含むオペレーティングシステムのコードおよび/または少なくとも1つのコンピュータプログラムのコードによる命令を実行するように実現されてよい。ここで、プロセッサ820の構成要素は、有効であるかないかを検証するサーバ800に記録されたコンピュータプログラムのコードが提供する制御命令にしたがってプロセッサ820によって実行される、プロセッサ820の互いに異なる機能の表現であってよい。例えば、プロセッサ820は、有効であるかないかを検証するサーバ800の制御と関連する命令がロードされたメモリ810から必要な制御命令を読み取ってよく、読み取られた制御命令にしたがって以下で説明される工程1010〜1060、1110、1120、および1210を実行するように、有効であるかないかを検証するサーバ800を制御してよい。
工程1010において、イベント登録部910は、セキュリティ情報イベント管理(SIEM)サーバにおいて、異種(複数)のセキュリティサービスから検知されたイベントを受信し、受信されたイベントなどを相関分析し、受信されたイベントのうち予め設定された相関ルールに該当するイベントを、分析対象のイベント(分析が要求されるイベント)として決定することにより、セキュリティ情報イベント管理サーバから分析対象のイベントを受信して登録するように、有効であるかないかを検証するサーバ800を制御してよい。ここで、セキュリティ情報イベント管理サーバは、図1を参照しながら説明したセキュリティ情報イベント管理サーバ120に対応してよい。言い換えれば、セキュリティ情報イベント管理サーバは、図1の点線ボックス110に示すような異種のセキュリティサービスから検知されたイベントを受信してよく、受信されたイベントを相関分析し、このようなイベントのうち予め設定された相関ルールに該当するイベントを有効であるかないかを検証するサーバ800に送信して登録されるようにしてよい。このとき、イベント登録部910は、セキュリティ情報イベント管理サーバから受信したイベントを登録するように、有効であるかないかを検証するサーバ800を制御してよい。
上述した工程1010の後には、図12に示す工程1210が実行されてよい。
工程1210において、ユーザインタフェース提供部980は、登録されたイベントに対して有効であるかないかを指定することのできるユーザインタフェースを提供してよい。例えば、上述した図6のように、有効であるかないかを検証するサーバ800に登録されたイベントの待機リストと、このような待機リスト上のイベントに対して有効であるかないかを指定することのできるユーザインタフェースが、管制人員に提供されてよい。このようなユーザインタフェースは、有効であるかないかを検証するサーバ800と直接接続されるディスプレイまたは有効であるかないかを検証するサーバ800と通信する管制人員の端末のディスプレイを通じて管制人員に表示されてよい。
工程1020において、ローデータ収集部920は、異種のセキュリティサービスのうち登録されたイベントに対応するセキュリティサービスから、登録されたイベントのローデータを収集するように、有効であるかないかを検証するサーバ800を制御してよい。例えば、前述の登録されたイベントが、図1で第1点線ボックス110に示されたIDS/IPSセキュリティサービスで生成されたイベントである場合、有効であるかないかを検証するサーバ800は、ローデータ収集部920の制御にしたがってIDS/IPSセキュリティサービスにアクセスし、IDS/IPSセキュリティサービスが含むデータベースから登録されたイベントのローデータを収集してよい。ローデータの例は、図7を参照しながら説明したとおりである。
工程1030において、位置情報取得部930は、収集されたローデータを分析し、登録されたイベントにおける攻撃対象のネットワーク上の位置情報を取得してよい。このようなネットワーク上の位置情報は、URLを含むURIであってよい。上述した実施形態ではネットワーク上の特定のページに限定して説明したが、ネットワーク上の攻撃がページに限定されることはない。言い換えれば、本実施形態において、ネットワーク上の位置情報は、攻撃者のパケットが対象とするネットワーク上のソースに関する位置情報を意味してよい。
工程1040において、判定部940は、取得された位置情報に基づいて分析対象のイベントが有効であるかないかを判定してよい。例えば、判定部940は、取得された位置情報に基づいて前述の攻撃と同じ攻撃を実施し、取得された位置情報に対応するシステムからの応答結果を確認および分析し、分析対象のイベントが有効であるかないかを判定してよい。より具体的な例として、取得された位置情報は、ネットワーク上のページに対するURIを含んでよい。この場合、判定部940は、URIからページへの接続を試みてページの状態に対する応答コードを受信し、受信した応答コードを分析することで、分析対象のイベントが有効であるかないかを判定してよい。HTTP404コードのように未検出ページに対する攻撃は影響力がないため、イベントが有効でないことについては、上述したとおりである。
工程1050は、有効であるかないかの判定により、有効でない場合は工程1060が実行され、有効である場合は図11の工程1110が実行されることを示している。
工程1060において、例外処理メッセージ送信部950は、分析対象のイベントが有効でないと判定された場合、分析対象のイベントの例外処理メッセージを生成してセキュリティ情報イベント管理サーバに送信するように、有効であるかないかを検証するサーバ800を制御してよい。この場合、セキュリティ情報イベント管理サーバは、例外処理メッセージに対応するイベントが異種のセキュリティサービスから再検知されて受信された場合には、再検知されて受信されたイベントを例外処理するように予め設定された相関ルールを更新してよい。すなわち、例外処理メッセージに対応するイベントは、セキュリティ情報イベント管理サーバでフィルタリングされて、有効であるかないかを検証するサーバ800に登録されなくなるため、これにより、管制人員が有効であるかないかを検証しなければならないイベントの数が減るようになる。
工程1110において、有効メッセージ送信部960は、分析対象のイベントが有効であると判定された場合、分析対象のイベントに対する有効メッセージをセキュリティ情報イベント管理サーバに送信するように、有効であるかないかを検証するサーバ800を制御してよい。例えば、特定のイベントに対してリスクが高いと決定された場合、有効であるかないかを検証するサーバ800は、セキュリティ情報イベント管理サーバに該当のイベントに対する有効メッセージを送信してよい。
工程1120において、警告メッセージ受信部970は、セキュリティ情報イベント管理サーバにおいて、有効メッセージに対応するイベントが異種のセキュリティサービスから再検知されて受信された場合、セキュリティ情報イベント管理サーバが再検知されて受信されたイベントに対して生成した警告メッセージを、セキュリティ情報イベント管理サーバから受信するように、有効であるかないかを検証するサーバ800を制御してよい。言い換えれば、セキュリティ情報イベント管理サーバは、有効メッセージに対応するイベントが異種のセキュリティサービスから再検知されて受信された場合、工程1010において説明したように、該当のイベントを有効であるかないかを検証するサーバ800に登録するだけでなく、別途の警告メッセージを有効であるかないかを検証するサーバ800にさらに送信してよい。この場合、有効であるかないかを検証するサーバ800は、警告メッセージに基づいたイベントに関する追加情報や警告を管制人員に提供することにより、管制人員が該当のイベントに対する分析を見逃さないようにすることができる。
以上のように、本発明の実施形態によると、セキュリティ動作と関連して検知されるイベントの影響力に応じて、有効であるかないかの検証の必要性が低い検知結果に対する有効であるかないかの確認を自動化することにより、不必要な資源の浪費を防ぐことができ、ネットワークを介した攻撃に対する対応の効率性を高めることができる。
上述したシステムまたは装置は、ハードウェア構成要素、ソフトウェア構成要素、またはハードウェア構成要素とソフトウェア構成要素との組み合わせによって実現されてよい。例えば、実施形態で説明された装置および構成要素は、例えば、プロセッサ、コントローラ、ALU(arithmetic logic unit)、デジタル信号プロセッサ、マイクロコンピュータ、FPGA(field programmable gate array)、PLU(programmable logic unit)、マイクロプロセッサ、または命令を実行して応答することができる様々な装置のように、1つ以上の汎用コンピュータまたは特殊目的コンピュータを利用して実現されてよい。処理装置は、オペレーティングシステム(OS)およびOS上で実行される1つ以上のソフトウェアアプリケーションを実行してよい。また、処理装置は、ソフトウェアの実行に応答し、データにアクセスし、データを記録、操作、処理、および生成してもよい。理解の便宜のために、1つの処理装置が使用されるとして説明される場合もあるが、当業者は、処理装置が複数個の処理要素および/または複数種類の処理要素を含んでもよいことが理解できるであろう。例えば、処理装置は、複数個のプロセッサまたは1つのプロセッサおよび1つのコントローラを含んでよい。また、並列プロセッサのような、他の処理構成も可能である。
ソフトウェアは、コンピュータプログラム、コード、命令、またはこれらのうちの1つ以上の組み合わせを含んでもよく、思うままに動作するように処理装置を構成したり、独立的または集合的に処理装置に命令したりしてよい。ソフトウェアおよび/またはデータは、処理装置に基づいて解釈されたり、処理装置に命令またはデータを提供したりするために、いかなる種類の機械、コンポーネント、物理装置、仮想装置、コンピュータ記録媒体または装置に永続的または一時的に具現化されてよい。ソフトウェアは、ネットワークによって接続されたコンピュータシステム上に分散され、分散された状態で記録されても実行されてもよい。ソフトウェアおよびデータは、1つ以上のコンピュータ読み取り可能な記録媒体に記録されてよい。
実施形態に係る方法は、多様なコンピュータ手段によって実行可能なプログラム命令の形態で実現されてコンピュータ読み取り可能な媒体に記録されてよい。コンピュータ読み取り可能な媒体は、プログラム命令、データファイル、データ構造などを単独でまたは組み合わせて含んでよい。媒体に記録されるプログラム命令は、実施形態のために特別に設計されて構成されたものであってもよいし、コンピュータソフトウェア当業者に公知な使用可能なものであってもよい。コンピュータ読み取り可能な記録媒体の例としては、ハードディスク、フロッピー(登録商標)ディスク、および磁気テープのような磁気媒体、CD−ROM、DVDのような光媒体、フロプティカルディスク(floptical disk)のような光磁気媒体、およびROM、RAM、フラッシュメモリなどのようなプログラム命令を記録して実行するように特別に構成されたハードウェア装置が含まれる。プログラム命令の例は、コンパイラによって生成されるもののような機械語コードだけではなく、インタプリタなどを使用してコンピュータによって実行される高級言語コードを含む。
以上のように、実施形態を、限定された実施形態および図面に基づいて説明したが、当業者であれば、上述した記載から多様な修正および変形が可能であろう。例えば、説明された技術が、説明された方法とは異なる順序で実行されたり、かつ/あるいは、説明されたシステム、構造、装置、回路などの構成要素が、説明された方法とは異なる形態で結合されたりまたは組み合わされたり、他の構成要素または均等物によって対置されたり置換されたとしても、適切な結果を達成することができる。
したがって、異なる実施形態であっても、特許請求の範囲と均等なものであれば、添付される特許請求の範囲に属する。
820:プロセッサ
910:イベント登録部
920:ローデータ収集部
930:位置情報取得部
940:判定部
950:例外処理メッセージ送信部
960:有効メッセージ送信部
970:警告メッセージ受信部
980:ユーザインタフェース提供部
910:イベント登録部
920:ローデータ収集部
930:位置情報取得部
940:判定部
950:例外処理メッセージ送信部
960:有効メッセージ送信部
970:警告メッセージ受信部
980:ユーザインタフェース提供部
Claims (13)
- セキュリティ管理サーバにおいて、複数のセキュリティサービスから検知されたイベントを受信し、受信された前記イベントを相関分析し、受信された前記イベントのうち予め設定された相関ルールに該当するイベントを分析対象のイベントとして決定することにより、前記セキュリティ管理サーバから前記分析対象のイベントを受信して登録する工程と、
前記複数のセキュリティサービスのうち登録された前記イベントに対応するセキュリティサービスから、登録された前記イベントのローデータを収集する工程と、
収集された前記ローデータを分析し、登録された前記イベントにおける攻撃対象のネットワーク上の位置情報を取得する工程と、
取得された前記位置情報に基づいて前記分析対象のイベントが有効であるかないかを判定する工程と、
前記分析対象のイベントが有効でないと判定された場合、前記分析対象のイベントの例外処理メッセージを生成して前記セキュリティ管理サーバに送信する工程と、を有する、有効であるかないかを検証する方法。 - 前記セキュリティ管理サーバは、前記例外処理メッセージに対応するイベントが前記複数のセキュリティサービスから再検知されて受信された場合、再検知されて受信された前記イベントを例外処理するように前記予め設定された相関ルールを更新する、請求項1に記載の方法。
- 前記分析対象のイベントが有効であると判定された場合、前記分析対象のイベントに対する有効メッセージを前記セキュリティ管理サーバに送信する工程と、
前記セキュリティ管理サーバで前記有効メッセージに対応するイベントが前記複数のセキュリティサービスから再検知されて受信された場合、前記セキュリティ管理サーバが再検知されて受信された前記イベントに対して生成した警告メッセージを前記セキュリティ管理サーバから受信する工程と、をさらに有する、請求項1に記載の方法。 - 前記分析対象のイベントが有効であるかないかを判定する工程は、
取得された前記位置情報に基づいて前記攻撃と同じ攻撃を実施し、取得された前記位置情報に対応するシステムからの応答結果を確認および分析して前記分析対象のイベントが有効であるかないかを判定する、請求項1に記載の方法。 - 取得された前記位置情報は、ネットワーク上のページに対するURIを含み、
前記分析対象のイベントが有効であるかないかを判定する工程は、
前記URIから前記ページへの接続を試みて前記ページの状態に対する応答コードを受信し、受信された前記応答コードを分析して前記分析対象のイベントが有効であるかないかを判定する、請求項1に記載の方法。 - 登録された前記イベントに対して有効であるかないかを指定することのできるユーザインタフェースを提供する工程をさらに有する、請求項1に記載の方法。
- 請求項1〜6のうちのいずれか一項に記載の方法をコンピュータに実行させるプログラム。
- セキュリティ管理サーバにおいて、複数のセキュリティサービスから検知されたイベントを受信し、受信された前記イベントを相関分析し、受信された前記イベントのうち予め設定された相関ルールに該当するイベントを分析対象のイベントとして決定することにより、前記セキュリティ管理サーバから前記分析対象のイベントを受信して登録する手段と、
前記複数のセキュリティサービスのうち登録された前記イベントに対応するセキュリティサービスから、登録された前記イベントのローデータを収集する手段と、
収集された前記ローデータを分析し、登録された前記イベントにおける攻撃対象のネットワーク上の位置情報を取得する手段と、
取得された前記位置情報に基づいて前記分析対象のイベントが有効であるかないかを判定する手段と、
前記分析対象のイベントが有効でないと判定された場合、前記分析対象のイベントの例外処理メッセージを生成して前記セキュリティ管理サーバに送信する手段と、を有する、有効であるかないかを検証するサーバ。 - 前記セキュリティ管理サーバは、前記例外処理メッセージに対応するイベントが前記複数のセキュリティサービスから再検知されて受信された場合、再検知されて受信された前記イベントを例外処理するように前記予め設定された相関ルールを更新する、請求項8に記載のサーバ。
- 前記分析対象のイベントが有効であると判定された場合、前記分析対象のイベントに対する有効メッセージを前記セキュリティ管理サーバに送信する手段と、
前記セキュリティ管理サーバで前記有効メッセージに対応するイベントが前記複数のセキュリティサービスから再検知されて受信された場合、前記セキュリティ管理サーバが再検知されて受信された前記イベントに対して生成した警告メッセージを前記セキュリティ管理サーバから受信する手段と、をさらに有する、請求項8に記載のサーバ。 - 前記分析対象のイベントが有効であるかないかを判定する手段は、
取得された前記位置情報に基づいて前記攻撃と同じ攻撃を実施し、取得された前記位置情報に対応するシステムからの応答結果を確認および分析して前記分析対象のイベントが有効であるかないかを判定する、請求項8に記載のサーバ。 - 取得された前記位置情報は、ネットワーク上のページに対するURIを含み、
前記分析対象のイベントが有効であるかないかを判定する手段は、
前記URIから前記ページへの接続を試みて前記ページの状態に対する応答コードを受信し、受信された前記応答コードを分析して前記分析対象のイベントが有効であるかないかを判定する、請求項8に記載のサーバ。 - 登録された前記イベントに対して有効であるかないかを指定することのできるユーザインタフェースを提供する手段をさらに有する、請求項8に記載のサーバ。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/KR2016/013526 WO2018097344A1 (ko) | 2016-11-23 | 2016-11-23 | 탐지 결과의 유효성을 검증하는 방법 및 시스템 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019536158A true JP2019536158A (ja) | 2019-12-12 |
| JP6932779B2 JP6932779B2 (ja) | 2021-09-08 |
Family
ID=62195863
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019525866A Active JP6932779B2 (ja) | 2016-11-23 | 2016-11-23 | 検知結果が有効であるかないかを検証する方法およびシステム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11956264B2 (ja) |
| JP (1) | JP6932779B2 (ja) |
| WO (1) | WO2018097344A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102361766B1 (ko) * | 2021-10-08 | 2022-02-14 | 주식회사 이글루시큐리티 | 자산 서버 정보를 수집함으로써 siem의 경보 규칙을 최적화하는 방법 및 이를 지원하는 장치 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10904288B2 (en) * | 2017-04-18 | 2021-01-26 | Perspecta Labs Inc. | Identifying and deceiving adversary nodes and maneuvers for attack deception and mitigation |
| EP3451626B1 (en) * | 2017-08-31 | 2021-11-17 | FIMER S.p.A. | Method and system for data stream processing |
| US10819652B2 (en) | 2018-07-02 | 2020-10-27 | Amazon Technologies, Inc. | Access management tags |
| US11388192B2 (en) | 2018-07-09 | 2022-07-12 | Blackberry Limited | Managing third party URL distribution |
| CN109240922B (zh) * | 2018-08-30 | 2021-07-09 | 北京大学 | 基于RASP提取webshell软件基因进行webshell检测的方法 |
| CN114567480B (zh) * | 2022-02-28 | 2024-03-12 | 天翼安全科技有限公司 | 有效攻击告警识别的方法、装置、安全网络及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11143738A (ja) * | 1997-11-07 | 1999-05-28 | Hitachi Ltd | 計算機システムの監視方法 |
| JP2008083751A (ja) * | 2006-09-25 | 2008-04-10 | Hitachi Information Systems Ltd | 不正アクセス対応ネットワークシステム |
| JP2013011949A (ja) * | 2011-06-28 | 2013-01-17 | Nippon Telegr & Teleph Corp <Ntt> | 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム |
| CN104580230A (zh) * | 2015-01-15 | 2015-04-29 | 广州唯品会信息科技有限公司 | 网站攻击验证方法及装置 |
| US20150229660A1 (en) * | 2014-02-13 | 2015-08-13 | Siemens Aktiengesellschaft | Method for Monitoring Security in an Automation Network, and Automation Network |
| US9306962B1 (en) * | 2013-07-25 | 2016-04-05 | Niddel Corp | Systems and methods for classifying malicious network events |
Family Cites Families (47)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20010056362A1 (en) * | 1998-07-29 | 2001-12-27 | Mike Hanagan | Modular, convergent customer care and billing system |
| US6473772B1 (en) * | 1998-12-17 | 2002-10-29 | International Business Machines Corporation | Apparatus and methods for dynamic simulation event triggering |
| US6856950B1 (en) * | 1999-10-15 | 2005-02-15 | Silicon Graphics, Inc. | Abstract verification environment |
| KR20010079361A (ko) * | 2001-07-09 | 2001-08-22 | 김상욱 | 네트워크 상태 기반의 방화벽 장치 및 그 방법 |
| US8087054B2 (en) * | 2002-09-30 | 2011-12-27 | Eastman Kodak Company | Automated event content processing method and system |
| KR100456635B1 (ko) * | 2002-11-14 | 2004-11-10 | 한국전자통신연구원 | 분산 서비스 거부 공격 대응 시스템 및 방법 |
| US7469287B1 (en) * | 2003-11-17 | 2008-12-23 | Lockheed Martin Corporation | Apparatus and method for monitoring objects in a network and automatically validating events relating to the objects |
| US9584522B2 (en) * | 2004-02-26 | 2017-02-28 | Vmware, Inc. | Monitoring network traffic by using event log information |
| US7783544B2 (en) * | 2004-12-21 | 2010-08-24 | Weather Risk Solutions, Llc | Financial activity concerning tropical weather events |
| EP1961162B1 (en) * | 2005-12-15 | 2010-08-25 | BRITISH TELECOMMUNICATIONS public limited company | Call admission control in an ad hoc network |
| US7956735B2 (en) * | 2006-05-15 | 2011-06-07 | Cernium Corporation | Automated, remotely-verified alarm system with intrusion and video surveillance and digital video recording |
| US7937334B2 (en) * | 2006-05-31 | 2011-05-03 | Lockheed Martin Corporation | System and method for defining normal operating regions and identifying anomalous behavior of units within a fleet, operating in a complex, dynamic environment |
| US8276115B2 (en) * | 2007-02-06 | 2012-09-25 | Progress Software Corporation | Automated construction and deployment of complex event processing applications and business activity monitoring dashboards |
| US7974888B2 (en) * | 2007-03-30 | 2011-07-05 | Amazon Technologies, Inc. | Services for providing item association data |
| KR100956498B1 (ko) | 2008-01-09 | 2010-05-07 | 한양대학교 산학협력단 | 상호 협력적인 다중 서버를 통한 침입 탐지 시스템 및 방법그리고 침입 탐지 통제 시스템 및 방법 |
| US8150674B2 (en) * | 2009-06-02 | 2012-04-03 | At&T Intellectual Property I, Lp | Automated testing platform for event driven systems |
| KR20110006175A (ko) * | 2009-07-13 | 2011-01-20 | 국방과학연구소 | 우선순위 기반의 침해감내 프록시 시스템 및 방법 |
| KR101250899B1 (ko) * | 2009-08-27 | 2013-04-04 | 한국전자통신연구원 | 응용계층 분산 서비스 거부 공격 탐지 및 차단 장치 및 그 방법 |
| US9866426B2 (en) * | 2009-11-17 | 2018-01-09 | Hawk Network Defense, Inc. | Methods and apparatus for analyzing system events |
| GB2497018A (en) * | 2010-08-10 | 2013-05-29 | Ibm | A method and system to automatically testing a web application |
| US8660979B2 (en) * | 2011-03-03 | 2014-02-25 | Hewlett-Packard Development Company, L.P. | Event prediction |
| US8578493B1 (en) * | 2011-05-10 | 2013-11-05 | Narus, Inc. | Botnet beacon detection |
| US9030522B2 (en) * | 2011-06-24 | 2015-05-12 | At&T Intellectual Property I, Lp | Apparatus and method for providing media content |
| US9811667B2 (en) * | 2011-09-21 | 2017-11-07 | Mcafee, Inc. | System and method for grouping computer vulnerabilities |
| KR101280910B1 (ko) * | 2011-12-15 | 2013-07-02 | 한국전자통신연구원 | 고속 패킷 처리를 위한 네트워크 프로세서 기반 2단계 침입탐지장치 및 방법 |
| US9384018B2 (en) * | 2012-07-27 | 2016-07-05 | Vmware, Inc. | Virtual intelligent platform management interface for hardware components |
| US20140075018A1 (en) * | 2012-09-11 | 2014-03-13 | Umbel Corporation | Systems and Methods of Audience Measurement |
| US10467327B1 (en) * | 2013-03-15 | 2019-11-05 | Matan Arazi | Real-time event transcription system and method |
| US9413762B2 (en) * | 2013-06-17 | 2016-08-09 | Cable Television Laboratories, Inc. | Asynchronous user permission model for applications |
| US9892178B2 (en) * | 2013-09-19 | 2018-02-13 | Workday, Inc. | Systems and methods for interest-driven business intelligence systems including event-oriented data |
| TWI525543B (zh) * | 2013-11-20 | 2016-03-11 | 財團法人資訊工業策進會 | 混合式動態碼編譯裝置、方法及其服務系統 |
| US9749146B2 (en) * | 2014-10-21 | 2017-08-29 | Electronics And Telecommunications Research Institute | Apparatus and methods for providing home network service |
| US20160117778A1 (en) * | 2014-10-23 | 2016-04-28 | Insurance Services Office, Inc. | Systems and Methods for Computerized Fraud Detection Using Machine Learning and Network Analysis |
| US9576466B2 (en) * | 2014-11-04 | 2017-02-21 | Canary Connect, Inc. | Backup contact for security/safety monitoring system |
| WO2016093553A1 (ko) * | 2014-12-12 | 2016-06-16 | 서울대학교 산학협력단 | 이벤트 데이터를 수집하는 시스템, 이벤트 데이터를 수집하는 방법, 이벤트 데이터를 수집하는 서비스 서버 및 카메라 |
| US9819722B2 (en) * | 2014-12-23 | 2017-11-14 | Dell Products, L.P. | System and method for controlling an information handling system in response to environmental events |
| US9686296B1 (en) * | 2015-01-06 | 2017-06-20 | Blackpoint Holdings, Llc | Systems and methods for providing network security monitoring |
| KR102059688B1 (ko) * | 2015-01-13 | 2019-12-27 | 한국전자통신연구원 | 사이버 블랙박스 시스템 및 그 방법 |
| US10230742B2 (en) * | 2015-01-30 | 2019-03-12 | Anomali Incorporated | Space and time efficient threat detection |
| US20160314224A1 (en) * | 2015-04-24 | 2016-10-27 | Northrop Grumman Systems Corporation | Autonomous vehicle simulation system |
| US9786146B2 (en) * | 2015-05-22 | 2017-10-10 | 3Si Security Systems, Inc. | Asset tracking device configured to selectively retain information during loss of communication |
| US20170034108A1 (en) * | 2015-07-30 | 2017-02-02 | Facebook, Inc. | Determining event recommendability in online social networks |
| US10467885B2 (en) * | 2015-09-30 | 2019-11-05 | Alarm.Com Incorporated | Drone-augmented emergency response services |
| US20170178013A1 (en) * | 2015-12-21 | 2017-06-22 | International Business Machines Corporation | Augmented reality recommendations in emergency situations |
| US20170238882A1 (en) * | 2016-02-18 | 2017-08-24 | Shanghai United Imaging Healthcare Co., Ltd. | System and method for medical imaging |
| US10380100B2 (en) * | 2016-04-27 | 2019-08-13 | Western Digital Technologies, Inc. | Generalized verification scheme for safe metadata modification |
| US20180089288A1 (en) * | 2016-09-26 | 2018-03-29 | Splunk Inc. | Metrics-aware user interface |
-
2016
- 2016-11-23 WO PCT/KR2016/013526 patent/WO2018097344A1/ko active Application Filing
- 2016-11-23 JP JP2019525866A patent/JP6932779B2/ja active Active
-
2019
- 2019-05-06 US US16/403,994 patent/US11956264B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11143738A (ja) * | 1997-11-07 | 1999-05-28 | Hitachi Ltd | 計算機システムの監視方法 |
| JP2008083751A (ja) * | 2006-09-25 | 2008-04-10 | Hitachi Information Systems Ltd | 不正アクセス対応ネットワークシステム |
| JP2013011949A (ja) * | 2011-06-28 | 2013-01-17 | Nippon Telegr & Teleph Corp <Ntt> | 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム |
| US9306962B1 (en) * | 2013-07-25 | 2016-04-05 | Niddel Corp | Systems and methods for classifying malicious network events |
| US20150229660A1 (en) * | 2014-02-13 | 2015-08-13 | Siemens Aktiengesellschaft | Method for Monitoring Security in an Automation Network, and Automation Network |
| CN104580230A (zh) * | 2015-01-15 | 2015-04-29 | 广州唯品会信息科技有限公司 | 网站攻击验证方法及装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102361766B1 (ko) * | 2021-10-08 | 2022-02-14 | 주식회사 이글루시큐리티 | 자산 서버 정보를 수집함으로써 siem의 경보 규칙을 최적화하는 방법 및 이를 지원하는 장치 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11956264B2 (en) | 2024-04-09 |
| JP6932779B2 (ja) | 2021-09-08 |
| US20190260797A1 (en) | 2019-08-22 |
| WO2018097344A1 (ko) | 2018-05-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6932779B2 (ja) | 検知結果が有効であるかないかを検証する方法およびシステム | |
| US10467411B1 (en) | System and method for generating a malware identifier | |
| US10855700B1 (en) | Post-intrusion detection of cyber-attacks during lateral movement within networks | |
| US10601848B1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
| US20200050765A1 (en) | Methods and apparatus for identifying and removing malicious applications | |
| EP3373179B1 (en) | Information processing device, information processing method, and information processing program | |
| EP3214568B1 (en) | Method, apparatus and system for processing cloud application attack behaviours in cloud computing system | |
| US20160261624A1 (en) | Computer Implemented Techniques for Detecting, Investigating and Remediating Security Violations to IT Infrastructure | |
| US7941854B2 (en) | Method and system for responding to a computer intrusion | |
| CN104704472A (zh) | 侧信道攻击的检测和缓解 | |
| CN107547490B (zh) | 一种扫描器识别方法、装置及系统 | |
| US20160373447A1 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
| JP6717206B2 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム | |
| JP7204247B2 (ja) | 脅威対応自動化方法 | |
| JP6524789B2 (ja) | ネットワーク監視方法、ネットワーク監視プログラム及びネットワーク監視装置 | |
| JP2014086821A (ja) | 不正コネクション検出方法、ネットワーク監視装置及びプログラム | |
| CN110099044A (zh) | 云主机安全检测系统及方法 | |
| CN109120626A (zh) | 安全威胁处理方法、系统、安全感知服务器及存储介质 | |
| KR102040371B1 (ko) | 네트워크 공격 패턴 분석 및 방법 | |
| US10963562B2 (en) | Malicious event detection device, malicious event detection method, and malicious event detection program | |
| KR20180013270A (ko) | 효율적인 침해사고 대응을 위한 침해지표 자동 생성 방법 및 시스템 | |
| JP2010250607A (ja) | 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム | |
| KR20150091713A (ko) | 공격특성 dna 분석 장치 및 그 방법 | |
| JP2020129166A (ja) | 計算機システム、インシデントによる業務システムへの影響の分析方法、及び分析装置 | |
| CN114912104A (zh) | 基于容器宿主机的安全保护方法、装置以及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191112 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210126 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210325 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20210414 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20210412 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210720 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210818 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6932779 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |