JP5970041B2 - イベント分析に基づくサイバー攻撃探知装置及び方法 - Google Patents
イベント分析に基づくサイバー攻撃探知装置及び方法 Download PDFInfo
- Publication number
- JP5970041B2 JP5970041B2 JP2014211238A JP2014211238A JP5970041B2 JP 5970041 B2 JP5970041 B2 JP 5970041B2 JP 2014211238 A JP2014211238 A JP 2014211238A JP 2014211238 A JP2014211238 A JP 2014211238A JP 5970041 B2 JP5970041 B2 JP 5970041B2
- Authority
- JP
- Japan
- Prior art keywords
- event
- user terminal
- web
- access
- attack detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
110 イベント受信部
120 モデル生成部
121 パターン抽出モジュール
123 モデル生成モジュール
130 攻撃探知部
140 アクセス制御部
200 ウェブサーバ
300 ユーザ端末
Claims (10)
- ウェブページを管理するウェブサーバと前記ウェブページを利用する少なくとも1つのユーザによって運用される少なくとも1つのユーザ端末がネットワークに接続された情報通信システムにおいて、
前記ウェブサーバに接続し、前記ウェブページで提供するウェブサービスを利用する少なくとも1つのユーザの動作によって前記少なくとも1つのユーザ端末から発生するイベントを受信するイベント受信部と、
前記受信したイベントに基づいて前記ウェブサービスを利用する少なくとも1つのユーザの動作に相応するイベントパターン(pattern)を抽出し、イベントモデルを生成するモデル生成部と、
前記生成されたイベントモデルと特定ユーザ端末から受信したイベントを比較し、前記特定ユーザ端末の前記ウェブサーバに対するアクセスが攻撃であるか否かを探知する攻撃探知部とを含み、
前記モデル生成部は、
前記ウェブサービスを利用する少なくとも1つのユーザの要請により発生する前記ウェブページ間の移動経路に沿って前記イベント受信部で受信したイベントの順序を組み合わせて少なくとも1つのイベントパターンを抽出するパターン抽出モジュールと、
前記抽出された少なくとも1つのイベントパターンを収集し、前記収集したイベントパターンを統計的に分析してあらかじめ設定されたアクセス頻度閾値よりも高い頻度で発生する前記イベントパターンのみが含まれるようにイベントモデルを生成するモデル生成モジュールと、を含むことを特徴とするサイバー攻撃探知装置。 - 前記アクセス頻度閾値は、
前記統計的に分析されたイベントモデルで相対的に低い頻度で発生するイベント流れの頻度数に基づいてあらかじめ設定されることを特徴とする請求項1に記載のサイバー攻撃探知装置。 - 前記攻撃探知部は、
前記イベントモデルと前記特定ユーザ端末から受信したイベントの流れを比較し、前記特定ユーザ端末から受信したイベント流れが前記イベントモデルの範囲を逸脱する場合に対して前記特定ユーザ端末の前記ウェブサーバに対するアクセスを攻撃として探知することを特徴とする請求項1に記載のサイバー攻撃探知装置。 - 前記特定ユーザ端末の前記ウェブサーバに対するアクセスが攻撃として探知されることで、前記特定ユーザ端末の前記ウェブサーバに対するアクセスを遮断するアクセス制御部をさらに含むことを特徴とする請求項3に記載のサイバー攻撃探知装置。
- 前記ウェブページは、
前記ウェブページを識別するページ識別アドレスに基づいて前記少なくとも1つのユーザ端末から発生するイベントに相応するウェブページが提供されるように、移動経路を示すことで、抽象化されることを特徴とする請求項1に記載のサイバー攻撃探知装置。 - ウェブページを管理するウェブサーバと前記ウェブページを利用する少なくとも1つのユーザによって運用される少なくとも1つのユーザ端末がネットワークに接続された情報通信システムのサイバー攻撃探知装置で行われる方法において、
前記ウェブサーバに接続し、前記ウェブページから提供するウェブサービスを利用する少なくとも1つのユーザの動作によって前記少なくとも1つのユーザ端末から発生するイベントを受信する段階と、
前記受信したイベントに基づいて前記ウェブサービスを利用する少なくとも1つのユーザの動作に相応するイベントパターン(pattern)を抽出してイベントモデルを生成する段階と、
前記生成されたイベントモデルと特定ユーザ端末から受信したイベントを比較し、前記特定ユーザ端末の前記ウェブサーバに対するアクセスが攻撃であるか否かを探知する段階とを含み、
前記イベントモデルを生成する段階は、
前記ウェブサービスを利用する少なくとも1つのユーザの要請により発生する前記ウェブページ間の移動経路に沿って前記受信したイベントの順序を組み合わせて少なくとも1つのイベントパターンを抽出し、
前記抽出された少なくとも1つのイベントパターンを収集し、前記収集したイベントパターンを統計的に分析して、あらかじめ設定されたアクセス頻度閾値よりも高い頻度で発生する前記イベントパターンのみが含まれるようにイベントモデルを生成することを特徴とするサイバー攻撃探知方法。 - 前記アクセス頻度閾値は、
前記統計的に分析されたイベントモデルで相対的に低い頻度で発生するイベント流れの頻度数に基づいてあらかじめ設定されることを特徴とする請求項6に記載のサイバー攻撃探知方法。 - 前記攻撃であるか否かを探知する段階は、
前記イベントモデルと前記特定ユーザ端末から受信したイベントの流れを比較し、前記特定ユーザ端末から受信したイベント流れが前記イベントモデルの範囲を逸脱する場合に対して前記特定ユーザ端末の前記ウェブサーバに対するアクセスを攻撃として探知することを特徴とする請求項6に記載のサイバー攻撃探知方法。 - 前記特定ユーザ端末を利用した前記ウェブサーバのアクセスが攻撃として探知されることで、前記特定ユーザ端末の前記ウェブサーバに対するアクセスを遮断する段階をさらに含むことを特徴とする請求項8に記載のサイバー攻撃探知方法。
- 前記ウェブページは、
前記ウェブページを識別するページ識別アドレスに基づいて前記少なくとも1つのユーザ端末から発生するイベントに相応するウェブページが提供されるように、移動経路を示すことで、抽象化されることを特徴とする請求項6に記載のサイバー攻撃探知方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR10-2013-0122343 | 2013-10-15 | ||
KR20130122343A KR101388090B1 (ko) | 2013-10-15 | 2013-10-15 | 이벤트 분석에 기반한 사이버 공격 탐지 장치 및 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015079512A JP2015079512A (ja) | 2015-04-23 |
JP5970041B2 true JP5970041B2 (ja) | 2016-08-17 |
Family
ID=50658418
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014211238A Active JP5970041B2 (ja) | 2013-10-15 | 2014-10-15 | イベント分析に基づくサイバー攻撃探知装置及び方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9817969B2 (ja) |
EP (1) | EP2863611B1 (ja) |
JP (1) | JP5970041B2 (ja) |
KR (1) | KR101388090B1 (ja) |
Families Citing this family (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9712549B2 (en) * | 2015-01-08 | 2017-07-18 | Imam Abdulrahman Bin Faisal University | System, apparatus, and method for detecting home anomalies |
US9680646B2 (en) * | 2015-02-05 | 2017-06-13 | Apple Inc. | Relay service for communication between controllers and accessories |
CN106257886B (zh) * | 2015-06-17 | 2020-06-23 | 腾讯科技(深圳)有限公司 | 一种信息处理方法、装置、终端及服务器 |
US11848940B2 (en) * | 2015-08-28 | 2023-12-19 | The Boeing Company | Cumulative trajectory of cyber reconnaissance indicators |
JP6827266B2 (ja) * | 2016-01-15 | 2021-02-10 | 富士通株式会社 | 検知プログラム、検知方法および検知装置 |
US10911482B2 (en) | 2016-03-29 | 2021-02-02 | Singapore University Of Technology And Design | Method of detecting cyber attacks on a cyber physical system which includes at least one computing device coupled to at least one sensor and/or actuator for controlling a physical process |
KR101796205B1 (ko) * | 2017-04-17 | 2017-11-13 | 주식회사 넷앤드 | 보안 강화를 위해 입력된 명령어 학습 기반 이상 사용자를 탐지하는 서버 접근 통제 시스템 |
US10749791B2 (en) | 2017-11-15 | 2020-08-18 | Bank Of America Corporation | System for rerouting electronic data transmissions based on generated solution data models |
US10713224B2 (en) | 2017-11-15 | 2020-07-14 | Bank Of America Corporation | Implementing a continuity plan generated using solution data modeling based on predicted future event simulation testing |
US10496460B2 (en) | 2017-11-15 | 2019-12-03 | Bank Of America Corporation | System for technology anomaly detection, triage and response using solution data modeling |
US10970406B2 (en) | 2018-05-08 | 2021-04-06 | Bank Of America Corporation | System for mitigating exposure associated with identified unmanaged devices in a network using solution data modelling |
US10977283B2 (en) | 2018-05-08 | 2021-04-13 | Bank Of America Corporation | System for mitigating intentional and unintentional exposure using solution data modelling |
US10936984B2 (en) | 2018-05-08 | 2021-03-02 | Bank Of America Corporation | System for mitigating exposure associated with identified impacts of technological system changes based on solution data modelling |
US11023835B2 (en) | 2018-05-08 | 2021-06-01 | Bank Of America Corporation | System for decommissioning information technology assets using solution data modelling |
US10956566B2 (en) * | 2018-10-12 | 2021-03-23 | International Business Machines Corporation | Multi-point causality tracking in cyber incident reasoning |
US11301496B2 (en) * | 2018-12-26 | 2022-04-12 | Imperva, Inc. | Using access logs for network entities type classification |
US20210226969A1 (en) | 2020-01-22 | 2021-07-22 | Forcepoint, LLC | Determining an Abstraction Level for Contents of an Entity Behavior Catalog |
KR102331931B1 (ko) | 2020-05-28 | 2021-11-26 | 국방과학연구소 | 사이버 공격에 따른 피해 평가 장치, 방법, 컴퓨터 판독 가능한 기록매체 및 컴퓨터 프로그램 |
KR102658384B1 (ko) | 2021-10-12 | 2024-04-18 | 한전케이디엔주식회사 | 사내용 모바일 보안 에이전트 사이버공격 대응 방법 및 장치 |
Family Cites Families (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7370357B2 (en) * | 2002-11-18 | 2008-05-06 | Research Foundation Of The State University Of New York | Specification-based anomaly detection |
KR20080029426A (ko) * | 2006-09-29 | 2008-04-03 | 구본현 | 웹 보안 시스템 및 방법 |
KR100894331B1 (ko) * | 2006-11-15 | 2009-04-24 | 한국전자통신연구원 | 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의침입 탐지 시스템 및 방법 |
KR100851521B1 (ko) | 2007-01-31 | 2008-08-11 | 성균관대학교산학협력단 | 취약점 분석을 위한 사이버 공격 시스템 및 그 공격 방법 |
US9712560B2 (en) * | 2007-11-05 | 2017-07-18 | Cabara Software Ltd. | Web page and web browser protection against malicious injections |
US8949990B1 (en) * | 2007-12-21 | 2015-02-03 | Trend Micro Inc. | Script-based XSS vulnerability detection |
US9123027B2 (en) * | 2010-10-19 | 2015-09-01 | QinetiQ North America, Inc. | Social engineering protection appliance |
US8347103B2 (en) * | 2009-01-13 | 2013-01-01 | Nic, Inc. | System and method for authenticating a user using a graphical password |
US8356001B2 (en) * | 2009-05-19 | 2013-01-15 | Xybersecure, Inc. | Systems and methods for application-level security |
KR101219538B1 (ko) | 2009-07-29 | 2013-01-08 | 한국전자통신연구원 | 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치 및 그 방법 |
US8549641B2 (en) * | 2009-09-03 | 2013-10-01 | Palo Alto Research Center Incorporated | Pattern-based application classification |
US8205258B1 (en) * | 2009-11-30 | 2012-06-19 | Trend Micro Incorporated | Methods and apparatus for detecting web threat infection chains |
KR101156005B1 (ko) | 2009-12-16 | 2012-06-18 | 한전케이디엔주식회사 | 네트워크 공격 탐지 및 분석 시스템 및 그 방법 |
SG182716A1 (en) | 2010-01-26 | 2012-08-30 | Silver Tail Systems Inc | System and method for network security including detection of man-in-the-browser attacks |
CN103078864B (zh) * | 2010-08-18 | 2015-11-25 | 北京奇虎科技有限公司 | 一种基于云安全的主动防御文件修复方法 |
US8521667B2 (en) * | 2010-12-15 | 2013-08-27 | Microsoft Corporation | Detection and categorization of malicious URLs |
US8838992B1 (en) * | 2011-04-28 | 2014-09-16 | Trend Micro Incorporated | Identification of normal scripts in computer systems |
KR20130085570A (ko) | 2011-12-22 | 2013-07-30 | 한국전자통신연구원 | 단말 중심 사이버 공격 방지 방법 및 그에 따른 단말 장치 |
US9215248B1 (en) * | 2012-08-31 | 2015-12-15 | Fastly Inc. | User access rate limiting among content delivery nodes |
-
2013
- 2013-10-15 KR KR20130122343A patent/KR101388090B1/ko active IP Right Grant
-
2014
- 2014-10-15 JP JP2014211238A patent/JP5970041B2/ja active Active
- 2014-10-15 US US14/514,516 patent/US9817969B2/en active Active
- 2014-10-15 EP EP14188953.5A patent/EP2863611B1/en active Active
Also Published As
Publication number | Publication date |
---|---|
KR101388090B1 (ko) | 2014-04-22 |
EP2863611A1 (en) | 2015-04-22 |
JP2015079512A (ja) | 2015-04-23 |
EP2863611B1 (en) | 2018-02-07 |
US9817969B2 (en) | 2017-11-14 |
US20150106933A1 (en) | 2015-04-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5970041B2 (ja) | イベント分析に基づくサイバー攻撃探知装置及び方法 | |
Karim et al. | Botnet detection techniques: review, future trends, and issues | |
KR101689299B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
US9942250B2 (en) | Network appliance for dynamic protection from risky network activities | |
Patsakis et al. | Encrypted and covert DNS queries for botnets: Challenges and countermeasures | |
US20140380478A1 (en) | User centric fraud detection | |
Mahmoud et al. | A survey on botnet architectures, detection and defences. | |
US11258812B2 (en) | Automatic characterization of malicious data flows | |
CN104954384B (zh) | 一种保护Web应用安全的url拟态方法 | |
CN111786966A (zh) | 浏览网页的方法和装置 | |
Ghafir et al. | Malicious file hash detection and drive-by download attacks | |
CN105915532A (zh) | 一种失陷主机的识别方法及装置 | |
Irfan et al. | A framework for cloud forensics evidence collection and analysis using security information and event management | |
CN113518064B (zh) | 挑战黑洞攻击的防御方法、装置、计算机设备和存储介质 | |
KR101250899B1 (ko) | 응용계층 분산 서비스 거부 공격 탐지 및 차단 장치 및 그 방법 | |
Xue et al. | Design and implementation of a malware detection system based on network behavior | |
Seo et al. | A study on efficient detection of network-based IP spoofing DDoS and malware-infected Systems | |
Girija Devi et al. | Security breach and forensics in intelligent systems | |
Oo et al. | Enhancement of preventing application layer based on DDoS attacks by using hidden semi-Markov model | |
Lu et al. | Detecting command and control channel of botnets in cloud | |
Guarda et al. | Botnets the cat-mouse hunting | |
Paul et al. | Fast-flux botnet detection from network traffic | |
Kang et al. | Whitelist generation technique for industrial firewall in SCADA networks | |
KR101686472B1 (ko) | 네트워크 보안 장치, 네트워크 보안 장치에서 수행되는 악성 행위 방어 방법 | |
Vadlamani | A survey on detection and defense of application layer DDoS attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150924 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20151020 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20160119 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160212 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160628 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160708 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5970041 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |