JP6000495B2 - 攻撃検知装置、攻撃検知方法、及び攻撃検知プログラム - Google Patents
攻撃検知装置、攻撃検知方法、及び攻撃検知プログラム Download PDFInfo
- Publication number
- JP6000495B2 JP6000495B2 JP2016504857A JP2016504857A JP6000495B2 JP 6000495 B2 JP6000495 B2 JP 6000495B2 JP 2016504857 A JP2016504857 A JP 2016504857A JP 2016504857 A JP2016504857 A JP 2016504857A JP 6000495 B2 JP6000495 B2 JP 6000495B2
- Authority
- JP
- Japan
- Prior art keywords
- event
- stage
- attack
- unit
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims description 81
- 238000000034 method Methods 0.000 description 128
- 238000010586 diagram Methods 0.000 description 18
- 230000005540 biological transmission Effects 0.000 description 5
- 230000001419 dependent effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000012804 iterative process Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
また、この特許文献1の手法は、イベントの検知に漏れがある場合、依存関係の判定を行なうために、各イベントの管理対象の依存関係をプロセス割当テーブルによって保持することが開示されている。このため、全てのイベントの管理対象の依存関係を保持する必要があり、管理するイベントの数の増大に従ってイベントの管理対象の依存関係が爆発的に増加してしまうという課題があった。
また、本発明は、イベントに事前条件と結果を定義することにより、発生したイベントと依存関係のあるイベントを動的に調べ、全てのイベントの管理対象の依存関係を保持することなく、システムが検知することのできないイベントの推定を行なうことにより、管理するイベントの数の増大に従ってイベントの管理対象の依存関係が爆発的に増加することを防止することを目的とする。
図1は、実施の形態1に係る攻撃検知装置の一構成例を示す構成図である。
図1において、攻撃検知装置1は、アラート受信部2、アラート解釈部3、イベント列生成部4、イベントデータベース5、イベント検索部6、イベント列記憶部7、検知状態管理部8により構成される。
図2は、実施の形態1に係る攻撃検知装置の処理の流れを示すフローチャートである。
図3は、攻撃イベント定義情報の例を示す図である。
図3の攻撃イベント定義情報9のように、攻撃イベント定義情報は、事前条件10、イベント11、達成状態12、攻撃確度13、観測可否14で構成されている。
る。
イベント発生源16は、攻撃イベント定義情報9が対象とするイベント発生源を示している。符号19は、発生源として許される値を示しており、この例では変数Hによって事前条件15と関連付けられている(「$H」の冒頭にあるドルマーク($)は、Hが変数であることを示している)。
イベント種別17は、攻撃イベント定義情報9が対象としているイベントの種別を指定している。具体的なイベント種別は、符号20のように指定される。
イベントパラメータ18は、イベントのパラメータを示す。イベントパラメータ18では、攻撃イベント定義情報9が対象とする値が指定されている。図3に示した例では、符号21でUSERという名称のパラメータが符号15で示されている変数Aと同じ値をとることが求められている。
図4は、イベントデータベース5に格納された攻撃イベント定義情報9の一例である。
図4の格納例では、攻撃イベント定義情報9に定義される情報の他、攻撃イベントを検知した際に記録される発生時刻、発生源、送信先などの情報も含まれている。発生源は、例えば、発信元IPアドレスであり、送信先は、送信先URLが記録される。なお、図4の格納例では、攻撃イベントが検知される前の状態を示しており、発生時刻、発生源、送信先は空欄になっている。
まず、イベント列生成部4の構成に関して説明する。
図5は、実施の形態1に係るイベント列生成部4の一構成例を示す構成図である。
図6は、実施の形態1に係る判定部25の処理の流れを示すフローチャートである。
図7は、実施の形態1に係る推定部26の処理の流れを示すフローチャートである。
図8は、実施の形態1に係る生成部28の処理の流れを示すフローチャートである。
以上の実施の形態1では、システムが観測することができないイベントは発生したとみなしてイベント列を生成するようにしたものであるが、実施の形態2では、あるイベントAが観測できないとき、その事前条件を満たすイベントB、及びイベントAの達成状態を事前条件に持つイベントXの両者を観測できたとき、イベントAを発生したものとみなしてイベント列を生成し、検知精度をさらに向上させる実施形態を示す。
図9において、イベント列生成部4は、判定部25、記憶部27、生成部28については、実施の形態1と同様の構成となる。以下、推定部26および観測待機イベント記憶部29について説明する。
アラート解釈部3から出力された攻撃イベントは、判定部25に入力される。判定部25の動作については、図6と同様である。判定部25に入力された攻撃イベントは、判定部25内の処理によって、推定部26または生成部28に入力される。
図10は、実施の形態2に係る推定部26の処理の流れを示すフローチャートである。
以上の実施の形態2では、直前のイベントと直後のイベントを観測できているか否かによって、システムが観測することができないイベントを発生したものとみなすようにしたが、イベント間の依存度合い(発生確率)を評価しないため、実際には観測したとは考えにくいようなイベントを観測したものとみなしてしまう可能性がある。そこで、実施の形態3では、イベント連鎖の発生確率を用いて、システムが観測することのできないイベントか否かを評価し、発生確率が閾値を越えた場合に発生したものと判定することができるような実施形態を示す。
図11において、イベント列生成部4は、図5の構成に加え、複数のイベントが連鎖する確率である連鎖確率を記憶する連鎖確率記憶部30を備えている。
アラート解釈部3から出力された攻撃イベントは、判定部25に入力される。判定部25の動作については、図6と同様である。判定部25に入力された攻撃イベントは、判定部25内の処理によって、推定部26または生成部28に入力される。
以下、図12を参照して、実施の形態3に係る推定部26の処理の流れを説明する。
以下、図13を参照して、実施の形態3に係る生成部28の処理の流れを説明する。
以上の実施の形態1〜3は、システムが観測することのできない攻撃イベントに関する攻撃イベント推定の手法であるが、本実施の形態4では、システムが検知漏れによって観測することのできなかった攻撃イベントを推定し、イベント列を生成する実施形態を示す。
図14において、イベント列生成部4は、図5の構成に加え、イベントの検知漏れ率を記憶する検知漏れ率記憶部31を備えている。
アラート解釈部3から出力された攻撃イベントは、判定部25に入力される。判定部25の動作については、図6と同様である。判定部25に入力された攻撃イベントは、判定部25内の処理によって、推定部26または生成部28に入力される。
以下、図15を参照して、実施の形態4に係る推定部26の処理の流れを説明する。
以上の実施の形態1〜4は、イベント列生成のために複数の事前条件が必要であるという仮定がなく、イベント列は1列となっていることを前提としていた。本実施の形態5では、複数の事前条件によってイベント列が生成される場合においてもイベント発生の推定を行ない、イベント列の生成が可能になる実施形態を示す。
図16において、イベント列生成部4は、図5の構成に加え、攻撃イベントの推定処理の終了を判定する終了判定部32、及び判定部25と推定部26による判定結果を格納する判定結果テーブル33を備えている。
図17は、実施の形態5に係る判定結果テーブル33の格納例を示す図である。
図17において、システムが観測できないイベントである「パスワード流出」が、推定部26の推定結果により、発生したものとみなされて発生判定が「可」と判定された例である。
以下、判定部25の動作について説明する。
図18は、実施の形態5に係る判定部25の処理の流れを示すフローチャートである。
図19は、実施の形態5に係る終了判定部32の処理の流れを示すフローチャートである。
以上が、、終了判定部32の処理の流れである。
図20は、実施の形態5に係る推定部26の処理の流れを示すフローチャートである。
図21は、実施の形態5に係る生成部28の処理の流れを示すフローチャートである。
以上の実施の形態1〜5は、観測された攻撃イベントの事前条件を利用し、過去に発生したイベントを遡るように検索することによってイベント列の生成を行なっていた。本実施の形態6では、観測された攻撃イベントの結果から次に観測することが期待される攻撃イベントを記憶し、新たに観測された攻撃イベントが、既存のイベント列に追加可能であるかどうかをより効率良く判定することが可能になる実施形態を示す。
図22において、攻撃検知装置1は、図1の構成に加えて、イベント列記憶部7に記憶されているイベント列のいずれかに追加可能な攻撃イベントを記憶する観測期待イベント記憶部34を備える。
図23において、アラート解釈部3から入力された攻撃イベントは、判定部25に入力される。判定部25は、観測期待イベント記憶部34内を検索し、入力された攻撃イベントが含まれているかどうかを調べ、イベント列に追加可能なイベントかどうかを判定する。
図24は、実施の形態6に係る攻撃検知装置の処理の流れを示すフローチャートである。
次に、ステップS1305において、アラート解釈部3は、イベント列生成部4に攻撃イベントを入力する。
図25は、実施の形態6に係る判定部25の処理の流れを示すフローチャートである。
図26は、実施の形態6に係る推定部26の処理の流れを示すフローチャートである。
図27は、実施の形態6に係る生成部28の処理の流れを示すフローチャートである。
Claims (8)
- 情報システムに対する攻撃が行われる過程において前記情報システムで観測されるイベントと、前記イベントが観測される前の攻撃の進展段階であるイベント前段階と、前記イベントが観測された後の攻撃の進展段階であるイベント後段階とが記述されるイベント段階情報を、複数のイベントに対して記憶するイベント段階情報記憶部と、
前記情報システムで観測された観測イベントを通知する観測イベント通知情報を受信する観測イベント通知情報受信部と、
前記観測イベント通知情報で通知されている観測イベントが記述されているイベント段階情報を前記イベント段階情報記憶部から検索し、検索したイベント段階情報のイベント前段階に合致するイベント後段階または検索したイベント段階情報のイベント後段階に合致するイベント前段階が記述されているイベント段階情報を前記イベント段階情報記憶部から検索し、検索したイベント段階情報のイベントが観測できない観測不可イベントである場合、前記観測不可イベントが観測されたとみなして前記観測イベントと前記観測不可イベントとを依存関係で接続してイベント列を生成するイベント列生成部と
を備える攻撃検知装置。 - 前記イベント列生成部は、前記観測不可イベントのイベント前段階に合致するイベント後段階または前記観測不可イベントのイベント後段階に合致するイベント前段階が記述されているイベント段階情報を前記イベント段階情報記憶部から検索し、検索したイベント段階情報のイベントが観測されていた場合、前記観測不可イベントが観測されたとみなして前記観測イベントと前記観測不可イベントとを依存関係で接続してイベント列を生成する請求項1記載の攻撃検知装置。
- 複数のイベントの連鎖確率を記憶する連鎖確率記憶部を備え、
前記イベント列生成部は、前記連鎖確率記憶部に記憶された前記連鎖確率に基づいてイベント列の発生確率を算出し、この発生確率が閾値以上である場合に、前記観測不可イベントが観測されたとみなして前記観測イベントと前記観測不可イベントとを依存関係で接続してイベント列を生成する請求項1記載の攻撃検知装置。 - イベントの検知漏れ率を記憶する検知漏れ率記憶部を備え、
前記イベント列生成部は、前記検知漏れ率記憶部に記憶された前記検知漏れ率が閾値を越えた場合に、前記観測不可イベントが観測されたとみなして前記観測イベントと前記観測不可イベントとを依存関係で接続してイベント列を生成する請求項1記載の攻撃検知装置。 - 前記イベント段階情報記憶部が記憶する前記イベント段階情報に前記イベント前段階または前記イベント後段階が複数記述され、
前記イベント列生成部は、前記イベント段階情報に記述された複数の前記イベント前段階または前記イベント後段階の観測可否の判定結果に基づき、イベント列を生成する請求項1から請求項4のいずれか一項に記載の攻撃検知装置。 - 前記観測イベントのイベント後段階が合致するイベント前段階が記述されているイベント段階情報を記憶する観測期待イベント記憶部を備え、
前記イベント列生成部は、観測イベントが前記イベント前段階に記述されているイベント段階情報を前記観測期待イベント記憶部から検索してイベント列を生成する請求項1から請求項4のいずれか一項に記載の攻撃検知装置。 - 情報システムに対する攻撃を検知する攻撃検知装置の攻撃検知方法であって、
イベント段階情報記憶部が、前記情報システムに対する攻撃が行われる過程において前記情報システムで観測されるイベントと、前記イベントが観測される前の攻撃の進展段階であるイベント前段階と、前記イベントが観測された後の攻撃の進展段階であるイベント後段階とが記述されるイベント段階情報を、複数のイベントに対して記憶するイベント段階情報記憶ステップと、
観測イベント通知情報受信部が、前記情報システムで観測された観測イベントを通知する観測イベント通知情報を受信するステップと、
イベント列生成部が、前記観測イベント通知情報で通知されている観測イベントが記述されているイベント段階情報を前記イベント段階情報記憶部から検索し、検索したイベント段階情報のイベント前段階に合致するイベント後段階または検索したイベント段階情報のイベント後段階に合致するイベント前段階が記述されているイベント段階情報を前記イベント段階情報記憶部から検索し、検索したイベント段階情報のイベントが観測できない観測不可イベントである場合、前記観測不可イベントが観測されたとみなして前記観測イベントと前記観測不可イベントとを依存関係で接続してイベント列を生成するイベント列生成ステップと
を備える攻撃検知方法。 - 情報システムに対する攻撃が行われる過程において前記情報システムで観測されるイベントと、前記イベントが観測される前の攻撃の進展段階であるイベント前段階と、前記イベントが観測された後の攻撃の進展段階であるイベント後段階とが記述されるイベント段階情報を、複数のイベントに対して記憶するコンピュータに、
前記情報システムで観測された観測イベントを通知する観測イベント通知情報を受信する観測イベント通知情報受信処理と、
前記観測イベント通知情報で通知されている観測イベントが記述されているイベント段階情報を検索し、検索したイベント段階情報のイベント前段階に合致するイベント後段階または検索したイベント段階情報のイベント後段階に合致するイベント前段階が記述されているイベント段階情報を検索し、検索したイベント段階情報のイベントが観測できない観測不可イベントである場合、前記観測不可イベントが観測されたとみなして前記観測イベントと前記観測不可イベントとを依存関係で接続してイベント列を生成するイベント列生成処理とを実行させる攻撃検知プログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2014/001000 WO2015128896A1 (ja) | 2014-02-26 | 2014-02-26 | 攻撃検知装置、攻撃検知方法、及び攻撃検知プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP6000495B2 true JP6000495B2 (ja) | 2016-09-28 |
JPWO2015128896A1 JPWO2015128896A1 (ja) | 2017-03-30 |
Family
ID=54008271
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016504857A Active JP6000495B2 (ja) | 2014-02-26 | 2014-02-26 | 攻撃検知装置、攻撃検知方法、及び攻撃検知プログラム |
Country Status (5)
Country | Link |
---|---|
US (1) | US9916445B2 (ja) |
EP (1) | EP3113061B1 (ja) |
JP (1) | JP6000495B2 (ja) |
CN (1) | CN106062765B (ja) |
WO (1) | WO2015128896A1 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPWO2020105156A1 (ja) * | 2018-11-21 | 2021-04-01 | 三菱電機株式会社 | シナリオ生成装置、シナリオ生成方法およびシナリオ生成プログラム |
WO2021156966A1 (ja) * | 2020-02-05 | 2021-08-12 | 日本電気株式会社 | 分析システム、方法およびプログラム |
US11893110B2 (en) | 2019-03-12 | 2024-02-06 | Mitsubishi Electric Corporation | Attack estimation device, attack estimation method, and attack estimation program |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102014213752A1 (de) * | 2014-07-15 | 2016-01-21 | Siemens Aktiengesellschaft | Rechenvorrichtung und Verfahren zum Erkennen von Angriffen auf ein technisches System anhand von Ereignissen einer Ereignisfolge |
US10356109B2 (en) * | 2014-07-21 | 2019-07-16 | Entit Software Llc | Security indicator linkage determination |
JP6058246B2 (ja) * | 2014-11-14 | 2017-01-11 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
US10104100B1 (en) * | 2016-03-03 | 2018-10-16 | Symantec Corporation | Systems and methods for detecting anomalies that are potentially indicative of malicious attacks |
US10262132B2 (en) | 2016-07-01 | 2019-04-16 | Entit Software Llc | Model-based computer attack analytics orchestration |
WO2019058489A1 (ja) * | 2017-09-21 | 2019-03-28 | 三菱電機株式会社 | アラート頻度制御装置およびアラート頻度制御プログラム |
CN108875364B (zh) * | 2017-12-29 | 2020-06-26 | 北京安天网络安全技术有限公司 | 未知文件的威胁性判定方法、装置、电子设备及存储介质 |
JP6847326B2 (ja) * | 2018-11-01 | 2021-03-24 | 三菱電機株式会社 | 情報処理装置、情報処理方法及び情報処理プログラム |
US11055408B2 (en) * | 2018-11-30 | 2021-07-06 | International Business Machines Corporation | Endpoint detection and response attack process tree auto-play |
JP7537382B2 (ja) | 2021-06-30 | 2024-08-21 | 株式会社デンソー | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム |
CN113793227B (zh) * | 2021-09-16 | 2023-10-31 | 中国电子科技集团公司第二十八研究所 | 一种用于社交网络事件的类人智能感知与预测方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040093510A1 (en) * | 2002-11-07 | 2004-05-13 | Kari Nurmela | Event sequence detection |
WO2015059791A1 (ja) * | 2013-10-24 | 2015-04-30 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
Family Cites Families (33)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7203962B1 (en) * | 1999-08-30 | 2007-04-10 | Symantec Corporation | System and method for using timestamps to detect attacks |
US7032114B1 (en) * | 2000-08-30 | 2006-04-18 | Symantec Corporation | System and method for using signatures to detect computer intrusions |
BR0102542B1 (pt) * | 2001-04-04 | 2009-01-13 | método e sistema de captura e armazenamento de uma seqüência de imagens associadas a uma ou mais infrações de tránsito . | |
EP1405187B1 (en) | 2001-07-06 | 2019-04-10 | CA, Inc. | Method and system for correlating and determining root causes of system and enterprise events |
FR2852754B1 (fr) * | 2003-03-20 | 2005-07-08 | At & T Corp | Systeme et methode de protection d'un reseau de transmission ip contre les attaques de deni de service |
JP3999188B2 (ja) | 2003-10-28 | 2007-10-31 | 富士通株式会社 | 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム |
JP4060263B2 (ja) | 2003-11-18 | 2008-03-12 | Kddi株式会社 | ログ分析装置およびログ分析プログラム |
JP2005198031A (ja) | 2004-01-07 | 2005-07-21 | Mitsubishi Electric Corp | ソフトウェア無線機 |
JP4500921B2 (ja) | 2004-01-09 | 2010-07-14 | Kddi株式会社 | ログ分析装置、ログ分析方法およびログ分析プログラム |
JP2005244429A (ja) | 2004-02-25 | 2005-09-08 | Intelligent Cosmos Research Institute | ネットワーク異常検出の特徴量抽出方法、その方法をコンピュータに実行させるプログラム、その特徴量抽出装置およびネットワーク異常検出システム |
JP4624181B2 (ja) | 2004-07-28 | 2011-02-02 | 株式会社エヌ・ティ・ティ・データ | 不正アクセス対策制御装置および不正アクセス対策制御プログラム |
JP4170299B2 (ja) | 2005-01-31 | 2008-10-22 | 独立行政法人 宇宙航空研究開発機構 | 通信状態遷移モニタ方法及びこれを利用した通信状態遷移モニタ装置 |
US7716739B1 (en) * | 2005-07-20 | 2010-05-11 | Symantec Corporation | Subjective and statistical event tracking incident management system |
JP2007242002A (ja) | 2006-02-10 | 2007-09-20 | Mitsubishi Electric Corp | ネットワーク管理装置及びネットワーク管理方法及びプログラム |
JP4773332B2 (ja) | 2006-12-28 | 2011-09-14 | 三菱電機株式会社 | セキュリティ管理装置及びセキュリティ管理方法及びプログラム |
US8051204B2 (en) * | 2007-04-05 | 2011-11-01 | Hitachi, Ltd. | Information asset management system, log analysis server, log analysis program, and portable medium |
EP2040435B1 (en) | 2007-09-19 | 2013-11-06 | Alcatel Lucent | Intrusion detection method and system |
JP5237034B2 (ja) | 2008-09-30 | 2013-07-17 | 株式会社日立製作所 | イベント情報取得外のit装置を対象とする根本原因解析方法、装置、プログラム。 |
FR2936914B1 (fr) | 2008-10-02 | 2011-10-14 | Valeo Equip Electr Moteur | Dispositif de redressement de courant pour machine electrique tournante et machine electrique tournante comportant un tel dispositif. |
JP5066544B2 (ja) | 2009-03-31 | 2012-11-07 | 株式会社富士通ソーシアルサイエンスラボラトリ | インシデント監視装置,方法,プログラム |
JP2010250607A (ja) | 2009-04-16 | 2010-11-04 | Hitachi Ltd | 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム |
CN101599958A (zh) * | 2009-07-02 | 2009-12-09 | 西安电子科技大学 | 基于场景的关联引擎系统及其数据处理方法 |
US8595176B2 (en) * | 2009-12-16 | 2013-11-26 | The Boeing Company | System and method for network security event modeling and prediction |
US20110270957A1 (en) * | 2010-04-30 | 2011-11-03 | The Phan | Method and system for logging trace events of a network device |
JP5685922B2 (ja) | 2010-12-17 | 2015-03-18 | 富士通株式会社 | 管理装置、管理プログラム、および管理方法 |
US8904531B1 (en) * | 2011-06-30 | 2014-12-02 | Emc Corporation | Detecting advanced persistent threats |
US8743200B2 (en) * | 2012-01-16 | 2014-06-03 | Hipass Design Llc | Activity monitor |
WO2013114830A1 (ja) | 2012-02-02 | 2013-08-08 | 日本電気株式会社 | プロセス予測実行装置及びプロセス予測実行方法 |
US20130325787A1 (en) * | 2012-06-04 | 2013-12-05 | Intelligent Software Solutions, Inc. | Temporal Predictive Analytics |
US8930964B2 (en) * | 2012-07-31 | 2015-01-06 | Hewlett-Packard Development Company, L.P. | Automatic event correlation in computing environments |
JP6047017B2 (ja) * | 2013-01-11 | 2016-12-21 | キヤノン株式会社 | パターン抽出装置および制御方法 |
JP5972401B2 (ja) * | 2013-01-21 | 2016-08-17 | 三菱電機株式会社 | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム |
US20160164893A1 (en) * | 2013-07-17 | 2016-06-09 | Hewlett-Packard Development Company, L.P. | Event management systems |
-
2014
- 2014-02-26 JP JP2016504857A patent/JP6000495B2/ja active Active
- 2014-02-26 CN CN201480076371.6A patent/CN106062765B/zh not_active Expired - Fee Related
- 2014-02-26 EP EP14883911.1A patent/EP3113061B1/en not_active Not-in-force
- 2014-02-26 US US15/121,716 patent/US9916445B2/en not_active Expired - Fee Related
- 2014-02-26 WO PCT/JP2014/001000 patent/WO2015128896A1/ja active Application Filing
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040093510A1 (en) * | 2002-11-07 | 2004-05-13 | Kari Nurmela | Event sequence detection |
WO2015059791A1 (ja) * | 2013-10-24 | 2015-04-30 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
Non-Patent Citations (1)
Title |
---|
JPN6014021519; 河内 清人 Kiyoto KAWAUCHI: '一階述語論理を用いた脆弱性診断ツール A Vulnerability Assessment Tool Using First-Order Predicate Lo' 情報処理学会研究報告 Vol.2002 No.122 IPSJ SIG Notes 第2002巻, 20021220, p.43-48, 社団法人情報処理学会 Information Processing Socie * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPWO2020105156A1 (ja) * | 2018-11-21 | 2021-04-01 | 三菱電機株式会社 | シナリオ生成装置、シナリオ生成方法およびシナリオ生成プログラム |
US11893110B2 (en) | 2019-03-12 | 2024-02-06 | Mitsubishi Electric Corporation | Attack estimation device, attack estimation method, and attack estimation program |
WO2021156966A1 (ja) * | 2020-02-05 | 2021-08-12 | 日本電気株式会社 | 分析システム、方法およびプログラム |
Also Published As
Publication number | Publication date |
---|---|
WO2015128896A1 (ja) | 2015-09-03 |
CN106062765A (zh) | 2016-10-26 |
JPWO2015128896A1 (ja) | 2017-03-30 |
US20160378980A1 (en) | 2016-12-29 |
CN106062765B (zh) | 2017-09-22 |
EP3113061B1 (en) | 2018-11-28 |
EP3113061A4 (en) | 2017-09-27 |
US9916445B2 (en) | 2018-03-13 |
EP3113061A1 (en) | 2017-01-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6000495B2 (ja) | 攻撃検知装置、攻撃検知方法、及び攻撃検知プログラム | |
JP6048688B2 (ja) | イベント解析装置、イベント解析方法およびコンピュータプログラム | |
US9952921B2 (en) | System and method for detecting and predicting anomalies based on analysis of time-series data | |
CN106104496B (zh) | 用于任意时序的不受监督的异常检测 | |
US10282542B2 (en) | Information processing apparatus, information processing method, and computer readable medium | |
US9792388B2 (en) | Pattern extraction apparatus and control method therefor | |
JP6280862B2 (ja) | イベント分析システムおよび方法 | |
US20170069198A1 (en) | Method for calculating error rate of alarm | |
CN110086643B (zh) | 一种风险识别方法、终端及存储介质 | |
US20220222266A1 (en) | Monitoring and alerting platform for extract, transform, and load jobs | |
US9684711B2 (en) | System and method for providing agent service to user terminal | |
JP2019057139A (ja) | 運用管理システム、監視サーバ、方法およびプログラム | |
KR20210002594A (ko) | 데이터 처리 장치 및 데이터 처리 방법 | |
JP5711675B2 (ja) | ネットワーク異常検出装置およびネットワーク異常検出方法 | |
CN109542959B (zh) | 监察系统的业务数据显示方法、装置和计算机设备 | |
CN108256327B (zh) | 一种文件检测方法及装置 | |
KR102115734B1 (ko) | 공격ㆍ이상 검지 장치, 공격ㆍ이상 검지 방법, 및 공격ㆍ이상 검지 프로그램 | |
JP6263487B2 (ja) | プロセス抽出装置、プロセス抽出方法、及びプログラム | |
CN110489611B (zh) | 一种智能的线索分析方法及系统 | |
JP5751396B2 (ja) | 周期性検出方法、周期性検出装置および周期性検出プログラム | |
JP2016218636A (ja) | システムモデル生成支援装置、システムモデル生成支援方法、及び、プログラム | |
JP6513001B2 (ja) | 故障検知装置、故障検知方法、及びプログラム | |
KR20180090037A (ko) | 비정상행위를 탐지하는 프로토콜 변환 방법 및 장치 | |
JP5228498B2 (ja) | 検索方法 | |
CN116208363A (zh) | 网络攻击工具的挖掘方法、装置、设备以及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160802 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160830 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6000495 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |