JP2020515962A - Apt攻撃に対する防御 - Google Patents
Apt攻撃に対する防御 Download PDFInfo
- Publication number
- JP2020515962A JP2020515962A JP2019552980A JP2019552980A JP2020515962A JP 2020515962 A JP2020515962 A JP 2020515962A JP 2019552980 A JP2019552980 A JP 2019552980A JP 2019552980 A JP2019552980 A JP 2019552980A JP 2020515962 A JP2020515962 A JP 2020515962A
- Authority
- JP
- Japan
- Prior art keywords
- stage
- data
- attack
- threat
- threat data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004458 analytical method Methods 0.000 claims abstract description 78
- 238000004891 communication Methods 0.000 claims abstract description 59
- 238000000034 method Methods 0.000 claims abstract description 46
- 230000007123 defense Effects 0.000 claims abstract description 32
- 230000000694 effects Effects 0.000 claims description 20
- 238000011835 investigation Methods 0.000 claims description 16
- 238000009434 installation Methods 0.000 claims description 14
- 238000007619 statistical method Methods 0.000 claims description 11
- 238000007418 data mining Methods 0.000 claims description 7
- 238000013507 mapping Methods 0.000 claims description 6
- 241000700605 Viruses Species 0.000 claims description 5
- 230000001066 destructive effect Effects 0.000 claims description 5
- 230000008030 elimination Effects 0.000 claims description 4
- 238000003379 elimination reaction Methods 0.000 claims description 4
- 230000002085 persistent effect Effects 0.000 claims description 4
- 230000002265 prevention Effects 0.000 claims description 4
- 238000012502 risk assessment Methods 0.000 claims description 3
- 238000011156 evaluation Methods 0.000 claims description 2
- 230000007613 environmental effect Effects 0.000 claims 1
- 230000008569 process Effects 0.000 abstract description 15
- 230000006870 function Effects 0.000 description 12
- 238000012546 transfer Methods 0.000 description 8
- 238000001514 detection method Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 230000009471 action Effects 0.000 description 5
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012098 association analyses Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000004141 dimensional analysis Methods 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000000414 obstructive effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
本願は、2017年3月27日に提出された中国特許出願第201710188038.Xであり、発明名称が「APT攻撃に対する防御方法及びシステム」である中国特許出願の優先権を主張し、当該出願の内容は全て本願に取り込まれる。
(1)攻撃の目的はますます明確になり、攻撃の範囲はますます集中するようになり、攻撃領域は単純なコンピューターネットワークから産業用制御システムまで広がり、大企業や国のインフラストラクチャおよび重要な機器に向ける傾向がある。(2)攻撃の動作を検出するのは困難である。APT攻撃は、通常、ゼロデー脆弱性、新しいトロイの木馬、およびフィッシング手法を利用しているため、特徴に基づくセキュリティ検出手法によってこれに対して効果的に検出することは非常に困難である。たとえば、Flameウイルスにはワーム、バックドア、トロイの木馬、ボットネット、ソーシャルエンジニアリングなどの特徴があり、Flameウイルスのプログラムのコードサイズは650,000行に達し、通常のスパイウェアの100倍である。(3)非常に隠されており、長期間持続する。APT攻撃は、発生前に防衛施設からの検出を避けることができ、潜伏期間はますます長くなり、大量の機密情報を収集する。その隠蔽に基づいて、他の未発見の脅威が大量に存在する可能性があるため、国家安全保障と市民権を深刻に脅かす。
図1は、本願に係る方法のフローチャートである。当該方法は、例として、本願に係るAPT攻撃防御システム(APT Defense System、以降APTDSと呼び)に適用可能である。図1に示すように、この方法は、下記のステップを含む。
本願の例で、通信データはイベントと、トラフィックと、脅威情報と、脆弱性データとを含む。さらに、イベントはセキュリティイベントと、オペレーティングシステムイベントと、データベースイベントと、アプリケーションイベントと、認証イベントとを含む。トラフィックは、APT攻撃に関する元のトラフィックと、ネットワークアクセス通信動作を記録するためのトラフィックログとを含む。
イベントはセキュリティ検出機能を持つエンティティからのものであってもよく、例えば、FW(Firewall:ファイアウォール)やIPS(Intrusion Prevention System:侵入防止システム)、オペレーティングシステム(例えば、Windows(登録商標))、データベース、AAA(Authentication, Authorization and Accounting:認証・許可・課金)サーバー、アプリケーションなどである。前記エンティティは、異常な状況を発見した場合、或いは、注意が必要なイベントを検出した場合、対応の記録を行う。
トラフィック収集は、攻撃の証拠の保存及び審査のために、攻撃に関する元のトラフィックを収集することを含む。一方、ネットワークに異常があるかどうかの判断及びその後のデータ分析のために、ユーザーネットワークアクセス通信動作を記録するトラフィックログを収集することを含む。
脅威情報には、主に、脅威があるIPアドレスや、ドメイン名、URL(Uniform Resource Locator:ユニフォームリソースロケータ)、イベント証拠、脅威解決案などの情報を記録する。APTDSは、STIX(Structured Threat Information eXpression)またはTAXII(Trusted Automated eXchangeof Indicator Information)プロトコルを介して、脅威情報元と対話し、脅威情報データを取得してローカルデータベースに書き込む。脅威情報元は、例えば、ThreatBookや360Securityなどがある。
本願の例で、APT攻撃が、ホスト、Web、データベースの脆弱性を利用してターゲットネットワークを侵害する可能性を考慮する。このため、APTDSは、事前に脆弱性スキャンを行ってネットワークにおいてAPT攻撃に利用されやすい脆弱性があるかどうかを判断する。脆弱性スキャンの内容は、ホスト、Web、データベース、ネットワークデバイスにおける脆弱性と、ホストにおける違法プログラムとを含み、APT攻撃に利用されやすい脆弱性は、システム配置不備や、システムパッチの更新がタイムリーではないこと、弱いパスワード、インストールすべきでないソフトウェア、発生すべきでないプロセスが存在することなどを含む。
(1)環境認識段階では、ネットワークにおける攻撃者に利用されやすい脆弱性を検出する。
攻撃者は、システムスキャンやポートスキャン、脆弱性スキャン、プロトコルスキャンなどを利用し、被攻撃対象に脆弱性があるかどうか、攻撃される可能性があるかどうかを確認する。したがって、APTDSは、脅威データに含まれるイベントのタイプ(ポートスキャン、過剰なpingパケットなど)を選出し、イントラネットスキャン動作に関するイベントを調査・スニッフィング段階にマッピングする。
攻撃者は、被攻撃対象に対して攻撃を開始する場合、ホストブラストやPing to Dealth、ICMP(Internet Control Message Protocol:Internet制御メッセージプロトコル)フラッディングなどの手段によって、被攻撃対象にログインすることや被攻撃対象にDOS攻撃することなどの破壊活動を行う。これらの攻撃は、FWによって発見され、APTDSに報告される。APTDSは、脅威データに含まれるこれらのタイプのイベントを、標的型攻撃段階にマッピングする。
図1に示すフローからわかるように、本願の例で、イベントや、トラフィックや、脅威情報や、脆弱性データなどのマルチソースデータを収集したので、より多い種類のデータを収集され、データ関連分析によって脅威データを選出し、選出された脅威データが対応するAPT攻撃段階にマッピングされ、異なるAPT攻撃段階に対して対応する防御対策が採用されるため、APT攻撃処理はよりターゲットを絞り、APT攻撃に対してより効果的に検出して対応することができる。
調査・スニッフィング段階、標的型攻撃段階、ツール設置段階、不審な活動段階にマッピングされた各脅威データについて、APTDSは、脅威データに関する不審なIPアドレスを特定し、取得されたすべての通信データから不審なIPアドレスに関するイベント及びトラフィックログを照会し、照会されたイベント及びトラフィックログを時系列で表示する。
APTDSは1日に数十万の通信データを収集する場合があり、ユーザーは各通信データに注意を払う時間がないため、APTDSは、ネットワークリスク評価とセキュリティアラーム生成のために、これらの通信データを異なるディメンションから分析する。したがって、ユーザーはネットワークのセキュリティ状況とAPT攻撃ステータスを完全に認識する。具体的には、以下のディメンションを含む。
図4は、本願の実施例によるAPT攻撃に対する防御のシステムのハードウェア構成図である。APT攻撃に対する防御のシステム40は、プロセッサ41と、機械可読記憶媒体42とを含む。プロセッサ41と機械可読記憶媒体42とは、システムバス43を介して通信する。そして、プロセッサ41は、機械可読記憶媒体42に記憶されたAPT攻撃に対する防御の論理30に対応する機械実行可能命令を読出して実行することにより、前記APT攻撃に対する防御方法を行う。
ネットワークにおける通信データを取得するデータ取得ユニット301と、
前記通信データに対して関連分析を行い、関連分析の結果に基づいて前記通信データ中の脅威データを選出するデータ関連ユニット302と、
キルチェーンモデルに従って、選出された各脅威データを対応するAPT攻撃段階にそれぞれマッピングするキルチェーン分析ユニット303と、
複数の前記APT攻撃段階に対応する防御対策に基づいて、各脅威データに関するネットワークエンティティに対して防御を行う防御配備ユニット304と、を含む。
脅威データが環境認識段階にマッピングされた場合、前記防御配備ユニット304は、脅威データに基づいて、脆弱性があるネットワークエンティティを特定し、特定されたネットワークエンティティに対し、パッチ適用、安全でない配置の解消、ウイルスの排除作業のうち少なくとも一つ作業を行い、
脅威データが調査・スニッフィング段階にマッピングされた場合、前記防御配備ユニット304は、設定されたACL、またはセキュリティ対策を、FW及びIPSへ発信し、且つ、脅威データに関する攻撃者のIPアドレスを、前記脅威データに関する制御ノードのブラックリストに追加し、
脅威データが標的型攻撃段階にマッピングされた場合、前記防御配備ユニット304は、設定されたACL、またはセキュリティ対策を、FW及びIPSへ発信し、AAAサーバーと前記脅威データに関するサーバーとを強化し、且つ、脅威データに関する攻撃者のIPアドレスを、前記脅威データに関する制御ノードのブラックリストに追加し、
脅威データがツール設置段階にマッピングされた場合、前記防御配備ユニット304は、設定されたACL、またはセキュリティ対策を、FW及びIPSへ発信し、AAAサーバーと前記脅威データに関するサーバーを強化し、WAF対策WAFデバイスへ発信し、且つ、脅威データに関する攻撃者のIPアドレスを前記脅威データに関する制御ノードのブラックリストに追加し、
脅威データが不審な活動段階にマッピングされた場合、前記防御配備ユニット304は、設定されたACL、またはセキュリティ対策を、FW及びIPSへ発信し、AAAサーバーと前記脅威データに関するサーバーとを強化し、且つ、脅威データに関する攻撃者のIPアドレスを、前記脅威データに関する制御ノードのブラックリストに追加する。
動作軌跡分析ユニットは、調査・スニッフィング段階、標的型攻撃段階、ツール設置段階、不審な活動段階にマッピング的各脅威データについて、当該脅威データに関する不審なIPアドレスを特定し、前記通信データ中から当該不審なIPアドレスに関するイベント及びトラフィックログを照会し、照会されたとイベント及びトラフィックログを時系列で表現する。
マルチディメンション分析ユニットは、ネットワークリスク評価とセキュリティアラーム生成のために、以下のうち少なくとも1つの分析を行う。
装置実施例は、基本的に方法実施例に対応するため、関連箇所は、方法実施例の部分の説明を参照すれば良い。以上記述された装置実施例は、ただ模式的なものであり、その中で記載された分離部品として説明されたユニットは、物理的に分かれていてもいなくても良く、ユニットとして表示された部品は、物理ユニットであってもなくても良く、即ち、一つの場所に位置しても良く、又は複数のネットワークユニットに分布されても良い。実際の必要に基づいてそのうち一部又は全部のモジュールを選んで本実施例の方案の目的を実現する。当業者は、進歩性に値する労働をせずに、理解し実施可能である。
Claims (15)
- 高度で持続的な脅威(APT)攻撃に対する防御方法であって、
ネットワークにおける通信データを取得することと、
前記通信データに対して関連分析を行い、関連分析の結果に基づいて、前記通信データ中の脅威データを選出することと、
キルチェーンモデルに従って、選出された各脅威データを対応するAPT攻撃段階にそれぞれマッピングすることと、
複数の前記APT攻撃段階に対応する防御対策に基づいて、各脅威データに関するネットワークエンティティに対して防御を行うことと、を含むことを特徴とする防御方法。 - 前記APT攻撃段階は、環境認識段階と、調査・スニッフィング段階と、標的型攻撃段階と、ツール設置段階と、不審な活動段階とを含み、
前記環境認識段階では、ネットワークにおける、攻撃者によって利用される脆弱性を検出し、
前記調査・スニッフィング段階では、前記攻撃者が被攻撃対象の脆弱性を検出し、
前記標的型攻撃段階では、前記攻撃者が前記被攻撃対象に対して攻撃を開始し、
前記ツール設置段階では、前記攻撃者が前記被攻撃対象の脆弱性を利用して前記被攻撃対象に攻撃ツールを埋め込み、
前記不審な活動段階では、前記攻撃者が前記被攻撃対象を制御し、ネットワークにおけるデータを取得し、また、破壊活動を行うことを特徴とする請求項1に記載の方法。 - 前記通信データは、イベントと、トラフィックと、脅威情報と、脆弱性データとのうち少なくとも一つを含み、
前記イベントは、セキュリティイベントと、オペレーティングシステムイベントと、データベースイベントと、アプリケーションイベントと、認証イベントとのうち少なくとも一つを含み、
前記トラフィックは、攻撃に関する元のトラフィックと、ネットワークアクセス通信動作を記録するトラフィックログとのうち少なくとも一つを含むことを特徴とする請求項1に記載の方法。 - 前記防御対策は、
脅威データが環境認識段階にマッピングされた場合、当該脅威データに基づいて脆弱性があるネットワークエンティティを特定し、特定されたネットワークエンティティに対し、パッチの適用と、安全でない配置の解消と、ウイルスの排除とのうち少なくとも一つ作業を行うことを含み、
脅威データが調査・スニッフィング段階にマッピングされた場合、設定されたアクセス制御リストACLまたはセキュリティ対策をファイアウォールFW及び侵入防止システムIPSへ発信し、且つ、当該脅威データに関する攻撃者のインターネットプロトコル(IP)アドレスを前記脅威データに関する制御ノードのブラックリストに追加し、
脅威データが標的型攻撃段階にマッピングされた場合、設定されたACLまたはセキュリティ対策をFW及びIPSへ発信し、AAAサーバーと前記脅威データに関するサーバーとを強化し、且つ、当該脅威データに関する攻撃者のIPアドレスを前記脅威データに関する制御ノードのブラックリストに追加し、
脅威データがツール設置段階にマッピングされた場合、設定されたACLまたはセキュリティ対策をFW及びIPSへ発信し、AAAサーバーと前記脅威データに関するサーバーとを強化し、ウェブサイトアプリケーションファイアウォール(WAF)対策をWAFデバイスへ発信し、且つ、当該脅威データに関する攻撃者のIPアドレスを前記脅威データに関する制御ノードのブラックリストに追加し、
脅威データが不審な活動段階にマッピングされた場合、設定されたACLまたはセキュリティ対策をFW及びIPSへ発信し、AAAサーバーと前記脅威データに関するサーバーとを強化し、且つ、当該脅威データに関する攻撃者のIPアドレスを前記脅威データに関する制御ノードのブラックリストに追加することを特徴とする請求項2に記載の方法。 - 前記防御方法は、
調査・スニッフィング段階、標的型攻撃段階、ツール設置段階、不審な活動段階にマッピングされた各脅威データについて、
当該脅威データに関する不審なIPアドレスを特定することと、
前記通信データ中から、当該不審なIPアドレスに関するイベント及びトラフィックログを照会することと、
照会されたイベント及びトラフィックログを時系列で表現することと、を更に含むことを特徴とする請求項2に記載の方法。 - 前記防御方法においてネットワークリスク評価及びセキュリティアラーム生成のために、イベント関係分析と、APT攻撃段階のデータマイニング分析と、ホストディメンション分析と、アプリケーションのディメンション分析と、データベースのディメンション分析とのうち少なくとも一つ分析を行うことを更に含み、
前記イベント関係分析では、イベントタイプの異なる、関連する被攻撃対象のIPアドレスが同じである複数のイベントを関連付け、且つ、脅威情報に記録されたIPアドレス、ドメイン名、URLに基づいて、同一IPアドレス、同一ドメイン名、同一URLに関するイベントを見つけ、
前記APT攻撃段階のデータマイニング分析では、同一APT攻撃段階にマッピングされた脅威データに対し、それぞれ分析を行い、
前記ホストのディメンション分析では、前記通信データにおけるオペレーティングシステムイベントに対し、統計分析と傾向分析を行い、
前記アプリケーションのディメンション分析では、前記通信データにおけるアプリケーションイベントに対し、統計分析と傾向分析を行い、
前記データベースのディメンション分析では、前記通信データにおけるデータベースイベントに対し、統計分析と傾向分析を行うことを特徴とする請求項3に記載の方法。 - 前記制御ノードは、FWと、AAAサーバーと、Windowsサーバーと、Linuxサーバーとのうち少なくとも一つを含むことを特徴とする請求項4に記載の方法。
- 高度で持続的な脅威(APT)攻撃に対する防御システムであって、
プロセッサと機械可読記憶媒体と、
前記機械可読記憶媒体には、前記プロセッサが実行する機械実行可能命令を記憶しており、前記プロセッサは、前記機械実行可能命令を実行することにより、
ネットワークにおける通信データを取得することと、
前記通信データに対して関連分析を行い、関連分析の結果に基づいて、前記通信データ中の脅威データを選出することと、
キルチェーンモデルに従って、選出された各脅威データを対応するAPT攻撃段階にそれぞれマッピングすることと、
複数の前記APT攻撃段階に対応する防御対策に基づいて、各脅威データに関するネットワークエンティティに対して防御を行うことと、を実行させることを特徴とする防御システム。 - 前記APT攻撃段階は、環境認識段階と、調査・スニッフィング段階と、標的型攻撃段階と、ツール設置段階と、不審な活動段階とを含み、
前記環境認識段階では、ネットワークにおける、攻撃者によって利用される脆弱性を検査し、
前記調査・スニッフィング段階では、前記攻撃者が被攻撃対象の脆弱性を検出し、
前記標的型攻撃段階では、前記攻撃者が前記被攻撃対象に対して攻撃を開始し、
前記ツール設置段階では、攻撃者が前記被攻撃対象の脆弱性を利用して前記被攻撃対象に攻撃ツールを埋め込み、
前記不審な活動段階では、前記攻撃者が前記被攻撃対象を制御し、ネットワークにおけるデータを取得し、また、破壊活動を行うことを特徴とする請求項8に記載のシステム。 - 前記通信データは、イベントと、トラフィックと、脅威情報と、脆弱性データとのうち少なくとも一つを含み、
前記イベントは、セキュリティイベントと、オペレーティングシステムイベントと、データベースイベントと、アプリケーションイベントと、認証イベントとのうち少なくとも一つを含み、
前記トラフィックは、攻撃に関する元のトラフィックと、ネットワークアクセス通信動作を記録するトラフィックログとのうち少なくとも一つを含むことを特徴とする請求項8に記載のシステム。 - 前記防御対策は、
脅威データが環境認識段階にマッピングされた場合、当該脅威データに基づいて脆弱性があるネットワークエンティティを特定し、特定されたネットワークエンティティに対し、パッチの適用と、安全でない配置の解消と、ウイルスの排除とのうち少なくとも一つ作業を行うことを含み、
脅威データが調査・スニッフィング段階にマッピングされた場合、設定されたアクセス制御リストACLまたはセキュリティ対策をファイアウォールFW及び侵入防止システムIPSへ発信し、且つ、当該脅威データに関する攻撃者のインターネットプロトコル(IP)アドレスを前記脅威データに関する制御ノードのブラックリストに追加し、
脅威データが標的型攻撃段階にマッピングされた場合、設定されたACLまたはセキュリティ対策をFW及びIPSへ発信し、AAAサーバーと前記脅威データに関するサーバーとを強化し、且つ、当該脅威データに関する攻撃者のIPアドレスを前記脅威データに関する制御ノードのブラックリストに追加し、
脅威データがツール設置段階にマッピングされた場合、設定されたACLまたはセキュリティ対策をFW及びIPSへ発信し、AAAサーバーと前記脅威データに関するサーバーとを強化し、ウェブサイトアプリケーションファイアウォール(WAF)対策をWAFデバイスへ発信し、且つ、当該脅威データに関する攻撃者のIPアドレスを、前記脅威データに関する制御ノードのブラックリストに追加し、
脅威データが不審な活動段階にマッピングされた場合、設定されたACLまたはセキュリティ対策をFW及びIPSへ発信し、AAAサーバーと前記脅威データに関するサーバーとを強化し、且つ、当該脅威データに関する攻撃者のIPアドレスを前記脅威データに関する制御ノードのブラックリストに追加することを特徴とする請求項9に記載のシステム。 - 前記プロセッサは、更に、前記機械実行可能命令を実行することにより、
調査・スニッフィング段階、標的型攻撃段階、ツール設置段階、不審な活動段階にマッピング的各脅威データについて、当該脅威データに関する不審なIPアドレスを特定することと、
前記通信データ中から当該不審なIPアドレスに関するイベント及びトラフィックログを照会することと、
照会されたイベント及びトラフィックログを時系列で表現することと、を実行させることを特徴とする請求項9に記載のシステム。 - 前記プロセッサは、更に、前記機械実行可能命令を実行することにより、
ネットワークリスク評価及びセキュリティアラーム生成のために、イベント関係分析と、APT攻撃段階のデータマイニング分析と、ホストディメンション分析と、アプリケーションのディメンション分析と、データベースのディメンション分析とのうち少なくとも一つ分析を行うことをさらに実行させ、
前記イベント関係分析では、イベントタイプの異なる、関連する被攻撃対象のIPアドレスが同じである複数のイベントを関連付け、且つ、脅威情報に記録されたIPアドレス、ドメイン名、URLに基づいて、同一IPアドレス、同一ドメイン名、同一URLに関するイベントを見つけ、
前記APT攻撃段階のデータマイニング分析では、同一APT攻撃段階にマッピングされた脅威データに対し、それぞれ分析を行い、
前記ホストのディメンション分析では、前記通信データにおけるオペレーティングシステムイベントに対し、統計分析と傾向分析を行い、
前記アプリケーションのディメンション分析では、前記通信データにおけるアプリケーションイベントに対し、統計分析と傾向分析を行い、
前記データベースのディメンション分析では、前記通信データにおけるデータベースイベントに対し、統計分析と傾向分析を行うことを特徴とする請求項10に記載のシステム。 - 前記制御ノードは、FWと、AAAサーバーと、Windowsサーバーと、Linuxサーバーとのうち少なくとも一つを含むことを特徴とする請求項11に記載のシステム。
- 機械実行可能命令を記憶する機械可読記憶媒体であって、高度で持続的な脅威(APT)攻撃に対する防御システムのプロセッサは、機械実行可能命令を呼び出し実行することにより、
ネットワークにおける通信データを取得することと、
前記通信データに対して関連分析を行い、関連分析の結果に基づいて、前記通信データ中の脅威データを選出することと、
キルチェーンモデルに従って、選出された各脅威データを対応するAPT攻撃段階にそれぞれマッピングすることと、
複数の前記APT攻撃段階に対応する防御対策に基づいて、各脅威データに関するネットワークエンティティに対して防御を行うことと、を実行させることを特徴とする機械可読記憶媒体。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710188038.X | 2017-03-27 | ||
CN201710188038.XA CN108259449B (zh) | 2017-03-27 | 2017-03-27 | 一种防御apt攻击的方法和系统 |
PCT/CN2018/080223 WO2018177210A1 (zh) | 2017-03-27 | 2018-03-23 | 防御apt攻击 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020515962A true JP2020515962A (ja) | 2020-05-28 |
JP6894003B2 JP6894003B2 (ja) | 2021-06-23 |
Family
ID=62721770
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019552980A Active JP6894003B2 (ja) | 2017-03-27 | 2018-03-23 | Apt攻撃に対する防御 |
Country Status (5)
Country | Link |
---|---|
US (1) | US11405419B2 (ja) |
EP (1) | EP3588898B1 (ja) |
JP (1) | JP6894003B2 (ja) |
CN (1) | CN108259449B (ja) |
WO (1) | WO2018177210A1 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2022086181A (ja) * | 2020-11-30 | 2022-06-09 | 株式会社日立製作所 | 状態診断装置、及び状態診断方法 |
JP2022126818A (ja) * | 2021-06-25 | 2022-08-30 | 阿波▲羅▼智▲聯▼(北京)科技有限公司 | セキュリティ情報の処理方法、装置、電子機器、記憶媒体およびコンピュータプログラム |
Families Citing this family (67)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10812521B1 (en) * | 2018-08-10 | 2020-10-20 | Amazon Technologies, Inc. | Security monitoring system for internet of things (IOT) device environments |
CN109088899B (zh) * | 2018-10-30 | 2021-04-27 | 福州大学 | 一种针对xss攻击的apt预警方法 |
CN109067815B (zh) * | 2018-11-06 | 2021-11-19 | 深信服科技股份有限公司 | 攻击事件溯源分析方法、系统、用户设备及存储介质 |
US11411967B2 (en) * | 2018-11-30 | 2022-08-09 | Cisco Technology, Inc. | Synergistic DNS security update |
CN109660539B (zh) * | 2018-12-20 | 2020-12-25 | 北京神州绿盟信息安全科技股份有限公司 | 失陷设备识别方法、装置、电子设备及存储介质 |
CN109922069B (zh) * | 2019-03-13 | 2020-12-25 | 中国科学技术大学 | 高级持续性威胁的多维关联分析方法及系统 |
CN110191083B (zh) * | 2019-03-20 | 2020-09-25 | 中国科学院信息工程研究所 | 面向高级持续性威胁的安全防御方法、装置与电子设备 |
CN111030973B (zh) * | 2019-03-29 | 2023-02-24 | 安天科技集团股份有限公司 | 一种基于标识文件定位攻击的方法、装置及存储设备 |
JP7180500B2 (ja) | 2019-03-29 | 2022-11-30 | オムロン株式会社 | 制御システム、および設定方法 |
US11334666B2 (en) * | 2019-04-15 | 2022-05-17 | Qualys Inc. | Attack kill chain generation and utilization for threat analysis |
US11343263B2 (en) * | 2019-04-15 | 2022-05-24 | Qualys, Inc. | Asset remediation trend map generation and utilization for threat mitigation |
US11431734B2 (en) * | 2019-04-18 | 2022-08-30 | Kyndryl, Inc. | Adaptive rule generation for security event correlation |
CN110149319B (zh) * | 2019-04-26 | 2021-11-23 | 奇安信科技集团股份有限公司 | Apt组织的追踪方法及装置、存储介质、电子装置 |
CN110191118B (zh) * | 2019-05-28 | 2021-06-01 | 哈尔滨工程大学 | 一种面向网络安全设备的统一指控方法及系统 |
CN110224947A (zh) * | 2019-06-05 | 2019-09-10 | 东软集团股份有限公司 | 一种多核转发系统中的报文处理方法、装置及设备 |
CN112152962B (zh) * | 2019-06-26 | 2022-10-28 | 北京观成科技有限公司 | 一种威胁检测方法及系统 |
CN110602042B (zh) * | 2019-08-07 | 2022-04-29 | 中国人民解放军战略支援部队信息工程大学 | 基于级联攻击链模型的apt攻击行为分析检测方法及装置 |
CN110677400B (zh) * | 2019-09-20 | 2020-09-29 | 武汉思普崚技术有限公司 | 一种局域网环境中主机和服务的攻击暴露面分析方法及系统 |
CN112702300B (zh) * | 2019-10-22 | 2023-03-28 | 华为技术有限公司 | 一种安全漏洞的防御方法和设备 |
CN112822147B (zh) * | 2019-11-18 | 2022-12-06 | 上海云盾信息技术有限公司 | 一种用于分析攻击链的方法、系统及设备 |
CN111104670B (zh) * | 2019-12-11 | 2023-09-01 | 国网甘肃省电力公司电力科学研究院 | 一种apt攻击的识别和防护方法 |
CN111339398A (zh) * | 2019-12-19 | 2020-06-26 | 杭州安恒信息技术股份有限公司 | 一种多元化大数据情报分析系统及其分析方法 |
CN111147504B (zh) * | 2019-12-26 | 2022-11-22 | 深信服科技股份有限公司 | 威胁检测方法、装置、设备和存储介质 |
CN113139180B (zh) * | 2020-01-20 | 2023-12-01 | 中国电信股份有限公司 | 注入攻击检测模型生成装置、注入攻击检测装置及方法 |
US11729198B2 (en) * | 2020-05-21 | 2023-08-15 | Tenable, Inc. | Mapping a vulnerability to a stage of an attack chain taxonomy |
CN113486351A (zh) * | 2020-06-15 | 2021-10-08 | 中国民用航空局空中交通管理局 | 一种民航空管网络安全检测预警平台 |
CN111880884A (zh) * | 2020-07-30 | 2020-11-03 | 北京微步在线科技有限公司 | 一种告警显示系统及显示方法 |
CN114257391B (zh) * | 2020-09-24 | 2024-01-26 | 中国电信股份有限公司 | 风险评估方法、装置及计算机可读存储介质 |
CN112291260A (zh) * | 2020-11-12 | 2021-01-29 | 福建奇点时空数字科技有限公司 | 一种面向apt攻击的网络安全威胁隐蔽目标识别方法 |
CN112532631A (zh) * | 2020-11-30 | 2021-03-19 | 深信服科技股份有限公司 | 一种设备安全风险评估方法、装置、设备及介质 |
CN114697052B (zh) * | 2020-12-25 | 2023-10-27 | 北京国双千里科技有限公司 | 网络防护方法及装置 |
CN112565300B (zh) * | 2020-12-25 | 2023-04-07 | 联通(广东)产业互联网有限公司 | 基于行业云黑客攻击识别与封堵方法、系统、装置及介质 |
CN114697057B (zh) * | 2020-12-28 | 2023-02-10 | 华为技术有限公司 | 获取编排剧本信息的方法、装置及存储介质 |
CN113037713B (zh) * | 2021-02-07 | 2023-02-03 | 深信服科技股份有限公司 | 网络攻击的对抗方法、装置、设备及存储介质 |
US20220286475A1 (en) * | 2021-03-08 | 2022-09-08 | Tenable, Inc. | Automatic generation of vulnerabity metrics using machine learning |
CN113037785B (zh) * | 2021-05-26 | 2021-09-21 | 杭州海康威视数字技术股份有限公司 | 多层次全周期物联网设备僵尸网络防御方法、装置及设备 |
CN113364750B (zh) * | 2021-05-26 | 2022-06-24 | 浙江工业大学 | 一种基于Snort和OpenFlow启发式诱导APT攻击引入蜜罐的方法 |
CN113746832B (zh) * | 2021-09-02 | 2022-04-29 | 华中科技大学 | 多方法混合的分布式apt恶意流量检测防御系统及方法 |
CN113868656B (zh) * | 2021-09-30 | 2022-05-13 | 中国电子科技集团公司第十五研究所 | 一种基于行为模式的apt事件同源判定方法 |
CN114143064B (zh) * | 2021-11-26 | 2024-06-18 | 国网四川省电力公司信息通信公司 | 一种多源网络安全告警事件溯源与自动处置方法及装置 |
CN114172709B (zh) * | 2021-11-30 | 2024-05-24 | 中汽创智科技有限公司 | 一种网络多步攻击检测方法、装置、设备及存储介质 |
CN114205166A (zh) * | 2021-12-17 | 2022-03-18 | 浙江泰嘉光电科技有限公司 | 病毒防护系统 |
US11874933B2 (en) | 2021-12-29 | 2024-01-16 | Qualys, Inc. | Security event modeling and threat detection using behavioral, analytical, and threat intelligence attributes |
CN114363036B (zh) * | 2021-12-30 | 2023-05-16 | 绿盟科技集团股份有限公司 | 一种网络攻击路径获取方法、装置及电子设备 |
CN113992454A (zh) * | 2021-12-30 | 2022-01-28 | 北京微步在线科技有限公司 | 一种攻击溯源方法及装置 |
US20230224275A1 (en) * | 2022-01-12 | 2023-07-13 | Bank Of America Corporation | Preemptive threat detection for an information system |
CN114584351A (zh) * | 2022-02-21 | 2022-06-03 | 北京恒安嘉新安全技术有限公司 | 一种监控方法、装置、电子设备以及存储介质 |
CN115225304B (zh) * | 2022-03-24 | 2023-05-05 | 国家计算机网络与信息安全管理中心 | 一种基于概率图模型的网络攻击路径预测方法及系统 |
CN114726623B (zh) * | 2022-04-08 | 2023-11-28 | 北京天融信网络安全技术有限公司 | 一种高级威胁攻击评估方法、装置、电子设备及存储介质 |
CN114915452B (zh) * | 2022-04-11 | 2022-12-06 | 中国信息通信研究院 | 一种网络实体威胁标签的标定方法、系统及存储介质 |
CN114760140A (zh) * | 2022-04-21 | 2022-07-15 | 湖南三湘银行股份有限公司 | 一种基于聚类分析的apt攻击溯源图分析方法及装置 |
CN114928493B (zh) * | 2022-05-23 | 2023-04-21 | 禅境科技股份有限公司 | 基于威胁攻击大数据的威胁情报生成方法及ai安全系统 |
CN114866329B (zh) * | 2022-05-24 | 2023-02-07 | 北京皓宽网络科技有限公司 | 应用ai和大数据分析的威胁态势预测方法及威胁感知系统 |
CN114866330B (zh) * | 2022-05-25 | 2023-01-31 | 深圳微言科技有限责任公司 | 采用ai和大数据分析的威胁攻击防护决策方法及ai系统 |
CN115001849B (zh) * | 2022-07-06 | 2023-11-10 | 湖北集防科技有限公司 | 针对大数据安全漏洞挖掘的漏洞修复方法及漏洞修复系统 |
CN115208684B (zh) * | 2022-07-26 | 2023-03-14 | 中国电子科技集团公司第十五研究所 | 一种基于超图关联的apt攻击线索拓展方法和装置 |
CN115001868B (zh) * | 2022-08-01 | 2022-10-11 | 北京微步在线科技有限公司 | Apt攻击同源分析方法、装置、电子设备及存储介质 |
CN115473675B (zh) * | 2022-08-08 | 2024-05-14 | 永信至诚科技集团股份有限公司 | 一种网络安全态势感知方法、装置、电子设备及介质 |
CN115396169B (zh) * | 2022-08-18 | 2024-06-25 | 上海交通大学 | 基于ttp的多步骤攻击检测与场景还原的方法及系统 |
CN115664708A (zh) * | 2022-09-16 | 2023-01-31 | 深信服科技股份有限公司 | 一种攻击确定方法、装置、设备及介质 |
CN115643116A (zh) * | 2022-12-23 | 2023-01-24 | 北京六方云信息技术有限公司 | 网络设备的防护方法、系统、终端设备以及存储介质 |
CN116319077B (zh) * | 2023-05-15 | 2023-08-22 | 鹏城实验室 | 网络攻击检测方法和装置、设备、存储介质和产品 |
CN116506208B (zh) * | 2023-05-17 | 2023-12-12 | 河南省电子信息产品质量检验技术研究院 | 一种基于局域网内计算机软件信息安全维护系统 |
CN116506225A (zh) * | 2023-06-27 | 2023-07-28 | 武汉中科通达高新技术股份有限公司 | 协作式DDoS攻击检测方法、系统、设备及存储介质 |
CN116827697B (zh) * | 2023-08-30 | 2023-11-03 | 北京安天网络安全技术有限公司 | 网络攻击事件的推送方法、电子设备及存储介质 |
CN117411669A (zh) * | 2023-09-14 | 2024-01-16 | 广州大学 | 一种基于时间卷积网络的apt攻击阶段检测方法、系统、介质及设备 |
CN116996326B (zh) * | 2023-09-26 | 2023-12-26 | 国网江西省电力有限公司信息通信分公司 | 基于蜜网的协同式主动防御方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005136526A (ja) * | 2003-10-28 | 2005-05-26 | Fujitsu Ltd | 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム |
JP2015121968A (ja) * | 2013-12-24 | 2015-07-02 | 三菱電機株式会社 | ログ分析装置及びログ分析方法及びログ分析プログラム |
Family Cites Families (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9310323B2 (en) * | 2009-05-16 | 2016-04-12 | Rapiscan Systems, Inc. | Systems and methods for high-Z threat alarm resolution |
CN101610174B (zh) * | 2009-07-24 | 2011-08-24 | 深圳市永达电子股份有限公司 | 一种日志事件关联分析系统与方法 |
US10069854B2 (en) * | 2012-11-17 | 2018-09-04 | The Trustees Of Columbia University In The City Of New York | Methods, systems and media for evaluating layered computer security products |
US9628507B2 (en) * | 2013-09-30 | 2017-04-18 | Fireeye, Inc. | Advanced persistent threat (APT) detection center |
CN103916385A (zh) * | 2014-03-13 | 2014-07-09 | 南京理工大学 | 一种基于智能算法的waf安全监测系统 |
CN105024976B (zh) * | 2014-04-24 | 2018-06-26 | 中国移动通信集团山西有限公司 | 一种高级持续威胁攻击识别方法及装置 |
CN103916406B (zh) * | 2014-04-25 | 2017-10-03 | 上海交通大学 | 一种基于dns日志分析的apt攻击检测方法 |
WO2015178933A1 (en) * | 2014-05-23 | 2015-11-26 | Hewlett-Packard Development Company, L.P. | Advanced persistent threat identification |
US10084813B2 (en) * | 2014-06-24 | 2018-09-25 | Fireeye, Inc. | Intrusion prevention and remedy system |
CN104283889B (zh) * | 2014-10-20 | 2018-04-24 | 国网重庆市电力公司电力科学研究院 | 基于网络架构的电力系统内部apt攻击检测及预警系统 |
WO2016064919A1 (en) * | 2014-10-21 | 2016-04-28 | Abramowitz Marc Lauren | Dynamic security rating for cyber insurance products |
WO2016089567A1 (en) * | 2014-12-01 | 2016-06-09 | Empow Cyber Security Ltd. | A cyber-security system and methods thereof for detecting and mitigating advanced persistent threats |
US10438207B2 (en) * | 2015-04-13 | 2019-10-08 | Ciena Corporation | Systems and methods for tracking, predicting, and mitigating advanced persistent threats in networks |
US9654485B1 (en) * | 2015-04-13 | 2017-05-16 | Fireeye, Inc. | Analytics-based security monitoring system and method |
US9699205B2 (en) | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
US20170223030A1 (en) * | 2016-01-29 | 2017-08-03 | Splunk Inc. | Detection of security transactions |
US10230745B2 (en) * | 2016-01-29 | 2019-03-12 | Acalvio Technologies, Inc. | Using high-interaction networks for targeted threat intelligence |
CN106209867B (zh) * | 2016-07-15 | 2020-09-01 | 北京元支点信息安全技术有限公司 | 一种高级威胁防御方法及系统 |
CN106357689B (zh) * | 2016-11-07 | 2019-07-09 | 北京奇虎科技有限公司 | 威胁数据的处理方法及系统 |
US10812499B2 (en) * | 2017-11-09 | 2020-10-20 | Accenture Global Solutions Limited | Detection of adversary lateral movement in multi-domain IIOT environments |
CN107888607B (zh) | 2017-11-28 | 2020-11-06 | 新华三技术有限公司 | 一种网络威胁检测方法、装置及网络管理设备 |
-
2017
- 2017-03-27 CN CN201710188038.XA patent/CN108259449B/zh active Active
-
2018
- 2018-03-23 US US16/498,371 patent/US11405419B2/en active Active
- 2018-03-23 JP JP2019552980A patent/JP6894003B2/ja active Active
- 2018-03-23 WO PCT/CN2018/080223 patent/WO2018177210A1/zh unknown
- 2018-03-23 EP EP18774308.3A patent/EP3588898B1/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005136526A (ja) * | 2003-10-28 | 2005-05-26 | Fujitsu Ltd | 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム |
JP2015121968A (ja) * | 2013-12-24 | 2015-07-02 | 三菱電機株式会社 | ログ分析装置及びログ分析方法及びログ分析プログラム |
Non-Patent Citations (1)
Title |
---|
武藤 健一郎: "標的型攻撃検知機構の実証実験", 電子情報通信学会技術研究報告, vol. 115, no. 81, JPN6020038088, 4 June 2015 (2015-06-04), JP, pages 45 - 50, ISSN: 0004361722 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2022086181A (ja) * | 2020-11-30 | 2022-06-09 | 株式会社日立製作所 | 状態診断装置、及び状態診断方法 |
JP7427574B2 (ja) | 2020-11-30 | 2024-02-05 | 株式会社日立製作所 | 状態診断装置、及び状態診断方法 |
JP2022126818A (ja) * | 2021-06-25 | 2022-08-30 | 阿波▲羅▼智▲聯▼(北京)科技有限公司 | セキュリティ情報の処理方法、装置、電子機器、記憶媒体およびコンピュータプログラム |
JP7389860B2 (ja) | 2021-06-25 | 2023-11-30 | 阿波▲羅▼智▲聯▼(北京)科技有限公司 | セキュリティ情報の処理方法、装置、電子機器、記憶媒体およびコンピュータプログラム |
Also Published As
Publication number | Publication date |
---|---|
JP6894003B2 (ja) | 2021-06-23 |
EP3588898A4 (en) | 2020-02-19 |
US20210112092A1 (en) | 2021-04-15 |
CN108259449A (zh) | 2018-07-06 |
CN108259449B (zh) | 2020-03-06 |
EP3588898B1 (en) | 2023-07-12 |
WO2018177210A1 (zh) | 2018-10-04 |
US11405419B2 (en) | 2022-08-02 |
EP3588898A1 (en) | 2020-01-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6894003B2 (ja) | Apt攻撃に対する防御 | |
US10230761B1 (en) | Method and system for detecting network compromise | |
US10587636B1 (en) | System and method for bot detection | |
JP6104149B2 (ja) | ログ分析装置及びログ分析方法及びログ分析プログラム | |
US8931099B2 (en) | System, method and program for identifying and preventing malicious intrusions | |
US9667589B2 (en) | Logical / physical address state lifecycle management | |
US8561177B1 (en) | Systems and methods for detecting communication channels of bots | |
US8898788B1 (en) | Systems and methods for malware attack prevention | |
US9027135B1 (en) | Prospective client identification using malware attack detection | |
EP2715975B1 (en) | Network asset information management | |
US10389760B2 (en) | Adaptive network security policies | |
CN105915532A (zh) | 一种失陷主机的识别方法及装置 | |
KR101072981B1 (ko) | 분산 서비스 거부 공격의 방어 시스템 | |
Sayyed et al. | Intrusion Detection System | |
Hatada et al. | Finding new varieties of malware with the classification of network behavior | |
Singh et al. | A review on intrusion detection system | |
Kumar et al. | Recent advances in intrusion detection systems: An analytical evaluation and comparative study | |
Karie et al. | Cybersecurity Incident Response in the Enterprise | |
Sarkunavathi et al. | A Detailed Study on Advanced Persistent Threats: A Sophisticated Threat | |
Firefly | RFC 9424 Indicators of Compromise (IoCs) and Their Role in Attack Defence | |
CN118337540B (zh) | 一种基于物联网的网络入侵攻击识别系统及方法 | |
US8806211B2 (en) | Method and systems for computer security | |
Misbahuddin et al. | Dynamic IDP Signature processing by fast elimination using DFA | |
CN116074022A (zh) | 基于过程管控和人工智能的自动识别横向移动的方法 | |
CN112637217A (zh) | 基于诱饵生成的云计算系统的主动防御方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190926 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200925 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201006 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210105 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210525 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210602 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6894003 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |