JP6053948B2 - 情報処理装置及び情報処理方法及びプログラム - Google Patents
情報処理装置及び情報処理方法及びプログラム Download PDFInfo
- Publication number
- JP6053948B2 JP6053948B2 JP2015543647A JP2015543647A JP6053948B2 JP 6053948 B2 JP6053948 B2 JP 6053948B2 JP 2015543647 A JP2015543647 A JP 2015543647A JP 2015543647 A JP2015543647 A JP 2015543647A JP 6053948 B2 JP6053948 B2 JP 6053948B2
- Authority
- JP
- Japan
- Prior art keywords
- event
- information
- stage
- observation
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 230000010365 information processing Effects 0.000 title claims description 31
- 238000003672 processing method Methods 0.000 title claims description 4
- 238000000034 method Methods 0.000 claims description 104
- 238000012545 processing Methods 0.000 claims description 100
- 238000012544 monitoring process Methods 0.000 claims description 86
- 230000008569 process Effects 0.000 claims description 86
- 238000000605 extraction Methods 0.000 claims description 19
- 238000009795 derivation Methods 0.000 claims description 13
- 239000000284 extract Substances 0.000 claims description 12
- 238000009825 accumulation Methods 0.000 claims description 7
- 230000000694 effects Effects 0.000 description 398
- 238000001514 detection method Methods 0.000 description 70
- 238000004364 calculation method Methods 0.000 description 34
- 238000012217 deletion Methods 0.000 description 29
- 230000037430 deletion Effects 0.000 description 29
- 230000001186 cumulative effect Effects 0.000 description 18
- 238000010586 diagram Methods 0.000 description 11
- 230000005540 biological transmission Effects 0.000 description 10
- 230000008859 change Effects 0.000 description 10
- 230000004913 activation Effects 0.000 description 5
- 238000012790 confirmation Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000007704 transition Effects 0.000 description 3
- 238000003491 array Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 230000002250 progressing effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
しかし、近年マルウェアにより端末が乗っ取られ、マルウェアが端末のユーザに成りすまして行う攻撃が主流になりつつある。
このため、昨今では、単一のイベントだけでは情報システムに対する攻撃が行われていると判定することが難しくなってきている。
発生し得る攻撃シナリオは、攻撃の順番や想定する攻撃手法を若干入れ替えるだけで無数に発生するため、全ての攻撃シナリオを網羅することは困難である。
また、新たな監視対象装置の導入や、新たな攻撃手法の発見などにより、発生するイベントに追加があった場合、既存のシナリオ全てに変更を加えなければならないという課題がある。
ユーザに成りすまして行われる攻撃を検知するためには、時として監視対象装置に非常に負荷がかかるような監視や、大量の誤検知を生み出す可能性がある監視を実施しなければならない場合がある。
このような監視を常時実施することは計算機コストあるいは運用コストが必要であるため現実的ではない。
そのためこのような監視は、監視がどうしても必要な場合(監視すればイベントを検知できる可能性が高い場合)に限り、かつ監視対象を極力限定して(例えば特定の端末だけに監視対象を絞って)行うことが望まれる。
しかし、非特許文献1では、次にどのような攻撃通知が起きそうかを予想することは無いため、このような、必要に応じて監視設定を変更することはできない。
情報システムに対する攻撃が行われる過程において前記情報システムで観測されるイベントと、前記イベントが観測される前の攻撃の進展段階であるイベント前段階と、前記イベントが観測された後の攻撃の進展段階であるイベント後段階とが記述されるイベント段階情報を、複数のイベントに対して記憶するイベント段階情報記憶部と、
前記情報システムで観測された観測イベントを通知する観測イベント通知情報を受信する観測イベント通知情報受信部と、
前記観測イベント通知情報で通知されている観測イベントが記述されているイベント段階情報を前記イベント段階情報記憶部から検索し、検索したイベント段階情報から前記観測イベントのイベント後段階を取得し、取得した前記観測イベントのイベント後段階に合致するイベント前段階が記述されているイベント段階情報を前記イベント段階情報記憶部から検索し、検索したイベント段階情報に基づき、前記情報システムで今後観測されると予測されるイベントを観測予測イベントとして抽出する観測予測イベント抽出部とを有することを特徴とする。
このため、事前に攻撃シナリオやロジックツリーを用意しなくても、情報システムで今後観測されるイベントを予測することができる。
本実施の形態では、事前に攻撃シナリオやツリーを網羅的に用意しなくても、一連の攻撃活動が発生した場合に攻撃を検知可能とする攻撃検知装置を説明する。
また、新たな監視装置の導入や、新たな攻撃手法の発見などにより、発生するイベントに追加があった場合にも、柔軟に対応できるようにする攻撃検知装置を説明する。
さらに、常時実施するには高コストな監視を、必要な時に限って実施できるようにする攻撃検知装置を説明する。
図1において、攻撃検知装置101は、ネットワーク123を介して、情報システムを構成する機器である監視対象装置と接続されている。
攻撃検知装置101は、情報処理装置の例に相当する。
監視対象装置としては、IDS、ファイアウォール、認証サーバ、ファイルサーバ、SIEM(Security Information Event Management)などが考えられるが、監視対象装置はこれらに限定されるものではない。
各監視対象装置内には、監視対象装置が観測したイベント(観測イベントともいう)を通知する観測イベント通知情報を生成する機能(イベント生成部118、121)と、生成された観測イベント通知情報を攻撃検知装置101に送信する機能(イベント送信部117、120)が含まれている。
なお、監視対象装置が観測したイベントには、監視対象装置内で発生したイベントも含まれる。
つまり、観測イベント通知情報は、監視対象内で発生したイベントも通知する。
なお、以下では、「観測イベント通知情報を受信する」ことを、「イベントを受信する」とも表記する。
判定の結果、情報システムに対する攻撃が行われていると判断した場合には、攻撃発生判定部106は、表示部115を通じてユーザに攻撃が行われている旨の通知を行う。
攻撃活動予測部105が予測したイベントは、攻撃活動候補記憶部104によって記憶される。
推論ルールには推論ロジックが記述されており、推論実施部103は推論ロジックを参照して推論を実施する。
攻撃活動定義情報は、イベント段階情報の例に相当する。
構成情報には、例えばホスト名とIP(Internet Protocol)アドレスの対応関係や、ユーザ名とユーザが所属するグループとの対応関係などが記述されている。
また、達成事象データベース109は、段階記憶部の例に相当する。
また、イベント受信部108は、観測イベント通知情報受信部の例に相当する。
また、推論実施部103、攻撃活動予測部105、攻撃発生判定部106、攻撃活動状況情報検索部107、イベント生成設定変更部122は、観測予測イベント抽出部の例に相当する。
また、攻撃活動予測部105は、イベント段階情報加工部の例にも相当する。
攻撃検知装置101は、監視対象装置116、119から送信されてきた観測イベント通知情報から、観測イベントが攻撃に起因して発生したと仮定した場合に、次に監視対象装置116、119で観測される可能性のあるイベントを予測する。
そして、攻撃検知装置101は、一定回数以上において予測が現実のものとなった場合に、攻撃が発生したとみなす。
以下では、イベントの予測方式の概略を、図3、図4及び図5を用いながら説明する。
図中の要素201〜206は攻撃活動定義情報を示している。
図4及び図5は、攻撃活動定義情報の例を示す。
図4の攻撃活動定義情報301のように、攻撃活動定義情報は、事前条件303、イベント304、達成事象308、攻撃確度309で構成されている。
また、図5の攻撃活動定義情報302のように、攻撃活動定義情報は、監視設定317を含む場合もある。
つまり、事前条件303には、イベント304が観測される前の攻撃の進展段階(イベント前段階)が記述されている。
例えば図4の符号310で示す述語論理は、事前条件として、「AがHにログインしている」段階であることを表している。
なお、符号310で示されるA、Hは変数であり、観測イベントから得られた値などによって具体的な値(例えば“user001”等)に束縛される。
イベント304に対して、イベント発生源305、イベント種別306、イベントパラメータ307が定義されている。
イベント発生源305は、攻撃活動定義情報301が対象とするイベント発生源を示している。
符号311は、発生源として許される値を示しており、この例では変数Hによって事前条件310と関連付けられている(「$H」の冒頭にあるドルマーク($)は、Hが変数であることを示している)。
イベント種別306は、攻撃活動定義情報301が対象としているイベントの種別を指定している。
具体的なイベント種別は符号312のように指定される。
イベントパラメータ307は、イベントのパラメータを示す。
イベントパラメータ307では、攻撃活動定義情報301が対象とする値が指定されている。
図4に示した例では、USERという名称のパラメータが符号310で示されている変数Aと同じ値をとることが求められている。
図4の攻撃活動定義情報301では、イベント発生源305、イベントパラメータ307の各変数の値は特定されていないが、観測イベント通知情報では、イベント発生源、イベントパラメータの各変数の値が特定されている。
つまり、達成事象308には、符号305〜307の項目に合致するイベントが観測された後の攻撃の進展段階(イベント後段階)が記述されている。
図4の例では、「ユーザAがホストHの機密を入手した」段階であることが示されている。
図4の例では符号315で示すように、確度値を0.5と定義している。
なお、図5の符号316に示すようにアンダースコア(“_”)一文字で示される変数は、任意の値をとれることを示している。
コマンド318は、攻撃活動定義情報302で定義されているイベントを観測するために監視対象装置に監視設定を変更させるために使用するコマンドである。
監視対象装置319は、コマンドの送信先の監視対象装置を指定する。
コマンドの送信先の監視対象装置が変数で表されている場合は、続く述語論理(322)を満たす値が選択される。
起動確度323は、監視設定を変更するために、最低限必要となる累積の攻撃確度値(後述)を示す。
起動確度323は、監視対象装置に所定の監視操作を開始させるための閾値であり、監視操作開始閾値の例に相当する。
コマンドパラメータ320は、コマンドに付与するパラメータ情報である。
具体的な情報は、符号321に示されるように名称=値で指定される。
図3は、攻撃活動定義情報205に記述されているイベント220にマッチするイベントが監視対象装置116又は監視対象装置119で観測された状況を示している。
イベント220にマッチするイベントが観測されると、攻撃検知装置101は、観測されたイベントと同じイベント220が記述されている攻撃活動定義情報205を検索する。
次に、攻撃検知装置101は、検索した攻撃活動定義情報205に記述されている達成事象に依存している、他の攻撃活動定義情報を検索する。
ここで、攻撃活動定義情報Aが攻撃活動定義情報Bに依存しているとは、攻撃活動定義情報Aの事前条件の一部または全部が、攻撃活動定義情報Bの達成事象によって満たされることを意味する。
つまり、攻撃活動定義情報Aが攻撃活動定義情報Bに依存しているとは、攻撃活動定義情報Bの達成事象が、事前条件として攻撃活動定義情報Aに記述されていることを意味する。
図3では、このような依存関係を実線矢印207〜211で示している。
具体的には、攻撃活動定義情報204は、攻撃活動定義情報205にのみ依存している。
また、攻撃活動定義情報201は、攻撃活動定義情報202と攻撃活動定義情報205に依存している。
また、攻撃活動定義情報202は、攻撃活動定義情報203と攻撃活動定義情報206に依存している。
なお、破線矢印212〜216は、攻撃検知装置101による攻撃活動定義情報の検索方向を示している。
攻撃活動定義情報204では、観測されたイベントにより得られる達成事象以外に事前条件が無いので、全ての事前条件が満たされている。
そして、攻撃検知装置101は、攻撃活動定義情報204に記載されているイベント219を、次に発生し得るイベント(観測予測イベント)の一つとして抽出する。
一方、攻撃活動定義情報201では、観測されたイベントにより得られる達成事象以外に事前条件があるので、全ての事前条件が満たされている訳ではない。
そして、攻撃検知装置101は、満たされていない事前条件を満たすような達成事象が定義されている攻撃活動定義情報(図3の例では攻撃活動定義情報202)を検索する。
さらに、攻撃検知装置101は、攻撃活動定義情報202の事前条件が全て満たされているかどうかをチェックする。
図3の例では、攻撃活動定義情報202の事前条件は2つあるが、2つの事前条件はどちらも満たされていない。
このため、攻撃検知装置101は、それぞれの事前条件を満たすような達成事象が定義されている攻撃活動定義情報(図3の例では攻撃活動定義情報203と攻撃活動定義情報206)を検索する。
攻撃検知装置101は、このように再帰的に攻撃活動定義情報を検索し、既に全ての事前条件が満たされている攻撃活動定義情報を見つけたら、その攻撃活動定義情報に定義されているイベントを次に発生し得るイベント(観測予測イベント)として抽出する(図3ではイベント217とイベント218を抽出する)。
抽出されたイベントは、後述する攻撃活動状況情報に記述され、攻撃活動状況情報が攻撃検知装置101内で保持される。
図6に示す通り、攻撃活動状況情報401は、攻撃活動定義情報402、束縛済み変数情報403、累積攻撃確度404で構成されている。
攻撃活動定義情報402は、図4及び図5で示した攻撃活動定義情報と同一である。
束縛済み変数情報403は、攻撃活動定義情報中の各変数が束縛されている値(変数値)を格納しているテーブルである。
束縛済み変数情報403は、変数名405と束縛値406の2列で構成されている。
累積攻撃確度404には、攻撃活動状況情報401が生成された時点における累積の攻撃確度値が格納されている。
図6に示すように、攻撃活動状況情報401では、イベントに関連する束縛値(変数値)と、累算された攻撃確度値とが、攻撃活動定義情報402(イベント段階情報)に対応付けられている。
図7は、本実施の形態に係る攻撃検知装置101の動作の概要を示すフローチャートである。
前述したように、観測イベント通知情報では、図4の攻撃活動定義情報301のイベント発生源305、イベント種別306、イベントパラメータ307に対応させて、イベント発生源、イベント種別、イベントパラメータの値が特定されている。
具体的には、攻撃活動状況情報検索部107は、観測イベント通知情報で通知される観測イベントのイベント種別に合致するイベント種別が攻撃活動定義情報402のイベント種別(図4のイベント種別305)の欄に記述され、観測イベント通知情報で通知される観測イベントを特定する変数値(イベント発生源の変数値とイベントパラメータの変数値)に合致する変数値が束縛済み変数情報403に記述されている攻撃活動状況情報401を検索する。
そして、攻撃活動状況情報検索部107は、検索した攻撃活動定義情報に観測イベント通知情報で通知されたイベント発生源の変数値とイベントパラメータの変数値を束縛済み変数情報403に設定して新たな攻撃活動状況情報を生成する。
具体的には、推論実施部103は、攻撃活動定義情報の事前条件の全てについて、合致する達成事象が達成事象データベースに登録されているかどうかを判断する。
攻撃活動予測部105が、S510において、この攻撃活動定義情報から攻撃活動状況情報を生成し、生成した攻撃活動状況情報を攻撃活動候補記憶部104に登録する。
これにより、次に観測されると予測されるイベントが記述された攻撃活動状況情報が攻撃活動候補記憶部104に登録される。
なお、攻撃活動予測部105は、具体的には、攻撃活動定義情報に、S503で更新された累積攻撃確度404の値と、S502で受信された観測イベント通知情報に記述されている変数値とを対応付けて、新たな攻撃活動状況情報を生成する。
S511において、そのような攻撃活動定義情報が存在しないことが判明した場合、攻撃活動予測部105は、次に観測されるイベントの予測は行わない。
そして、再びS502にて、イベント受信部108が新たな観測イベント通知情報の到着を待つ。
一方、S511で、事前条件を満たす達成事象が記述されている攻撃活動定義情報が見つかった場合には、攻撃活動予測部105が、再びS508において、見つけた攻撃活動定義情報の事前条件が成立しているかを確認する。
このようにしてS508からS511までを繰り返すことで、図3で示したようなイベント予測が行われる。
本実施の形態に係る推論実施部103では、達成事象データベース109、推論ルールデータベース110、構成情報データベース112に述語論理の形で記述された情報に基づき事前条件が成立しているか否かの判断を行う。
達成事象データベース109には、図8の符号601に示すように、達成した事象を表す述語論理が格納されている。
例えば、符号602はユーザ“alice”がホスト“host001”にログインした、という事象を示している。
構成情報データベース112も同様に情報システムの構成に関する情報が述語論理として格納される。
推論ルールデータベース110には、常に成立するような推論ルールが記録される。
推論ルールデータベース110は、図9の符号701に示すように、ゴール702と条件703の二つの列で構成されている。
ゴール702には、条件703が成立した時に何が成立するかが定義される。
ゴール702、条件703ともに述語論理を用いて定義される。
符号704、705は推論ルールデータベース110に格納される情報の例を示している。
この例では、ファイルFの読取権限を持つグループがGであり、ユーザUがグループGに属している(705)ならば、ユーザUはファイルFを読むことが可能である(704)旨を表している。
はじめに図7のS503の詳細を図10〜図13に示すフローチャートを用いながら説明する。
図10〜図13の処理は攻撃活動状況情報検索部107で実行される。
検索サブルーチンの検索結果は二つの集合からなる。
一つは検索によってヒットした既存の攻撃活動状況情報401であり、S804では変数Hitに格納される。
もう一つは変数Hitに含まれる攻撃活動状況情報401の複製であり、攻撃活動状況情報401に含まれる束縛済み変数情報403が、観測イベントに含まれていた内容によって更新された後のものである。
Hitに含まれている攻撃活動状況情報401は既に事前条件が成立しているため、S805において当該攻撃活動状況情報401は攻撃活動候補記憶部104から削除される。
もし、攻撃活動状況情報401中の攻撃活動定義情報402に監視設定317が定義されていた場合には、攻撃活動状況情報検索部107は、監視設定317の解除を、イベント生成設定変更部122を通じて監視コマンド設定対象の監視対象装置に送信する。
次に、S807において、攻撃活動状況情報検索部107は、集合CLを初期化する。
S808は、ロードされた全ての攻撃活動定義情報に対しループ内の処理が行われることを示している。
ループを回る毎に変数Dに各攻撃活動定義情報が代入される。
作成した新たな攻撃活動状況情報はS811において、S807で初期化された集合CLに格納される。
しかし、検索された攻撃活動状況情報の中には事前条件が満たされていないものが含まれる可能性があるため、攻撃活動状況情報検索部107は、S814において事前条件未達情報削除処理(後述)を呼出す。
そして、攻撃活動状況情報検索部107は、検索にヒットした攻撃活動状況情報から事前条件を満たしていない攻撃活動状況情報を取り除いた結果を、再び集合Ret2に代入する。
最後に、攻撃活動状況情報検索部107は、S804で得られた集合Retと、S814で得られた集合Ret2の和集合をとり、和集合を呼び出し元へ返す(S815)。
図11、図12は、検索サブルーチンの詳細を示すフローチャートである。
図11、図12の検索サブルーチンは、図2に図示していない、攻撃活動状況情報検索部107の内部要素である検索サブルーチン実行部が行う。
ループでは、検索サブルーチン実行部は、まずS904において確認対象の攻撃活動状況情報Cを複製し、複製した攻撃活動状況情報Cを変数C’に格納する。
S905から始まるループは、ループ変数attrに、集合{“イベント発生源”、“イベント種別”}の各要素が代入されることを示している。
S906で、確認対象の攻撃活動状況情報C’内の攻撃活動定義情報で定義されているattrに対応する要素の値が定数ならば、処理はS907に分岐し、変数valに定数値が代入される。
attrに対応する要素の値が定数でなければ、処理はS909に分岐し、検索サブルーチン実行部は、この要素の値として参照されている変数が束縛済みかどうかを、確認対象の攻撃活動状況情報C’内の束縛済み変数情報を参照して確認する。
もし変数が束縛済みであれば、処理はS910に分岐し、変数valに、当該変数が束縛されている値が代入される。
もし変数がまだ束縛されていない状態であったならば、処理はS911に分岐し、検索サブルーチン実行部は、当該変数を、観測イベントEの対応する値で束縛するよう、確認対象の攻撃活動状況情報C’内の束縛済み変数情報を更新する。
S907及びS910のように、当該変数に対して既に何らかの値が割り当てられていた場合には、S908において、検索サブルーチン実行部は、その値が観測イベントEの対応する値と一致するかどうかを比較する。
もし一致しない場合(S908でNO)には、検索サブルーチン実行部は、確認対象の攻撃活動状況情報C’は観測イベントEに合致しないと判断し、S918を経て、次の攻撃活動状況情報に対する確認へと移る。
処理の流れはS905からS912に示した内容と殆ど同一であるが、比較対象がイベントパラメータになっている点だけが異なる。
なお、S1003やS1005などで使われている括弧(“[“、”]”)表記は、括弧の左側に位置する変数から、括弧内の変数が示すイベントパラメータを取り出す操作を意味している。
確認対象の攻撃活動状況情報C’のイベントパラメータと観測イベントEのイベントパラメータとが一致していることが確認されたならば、S1010の(B)を経て、処理が図11のS914へと戻る。
検索サブルーチン実行部が、確認対象の攻撃活動状況情報C’のイベントパラメータと観測イベントEのイベントパラメータとが一致していないことを確認した場合は、処理が、S1011の(C)を経て図11のS917へと戻る。
処理が図11のS915に到達した時点で、確認対象の攻撃活動状況情報C’は観測イベントEに合致するとみなされ、確認対象の攻撃活動状況情報C’はS915、S916において戻り値となる集合に格納される。
全ての攻撃活動状況情報に対して確認が終了したら、検索サブルーチン実行部は、S919にて戻り値集合を呼び出し元へ返し、処理を終了する。
図13は、事前条件未達情報削除処理の詳細を示すフローチャートである。
図13の事前条件未達情報削除処理は、図2に図示していない、攻撃活動状況情報検索部107の内部要素である事前条件未達情報削除処理部が行う。
そして、攻撃活動状況情報Cの束縛済み変数情報に値が登録されていれば、事前条件未達情報削除処理部は、事前条件内の変数をその値で置換する。
次に、S1105において、推論実施部103が呼出され、推論実施部103が、事前条件式が成立しているかを確認する。
事前条件が成立していなければ、処理がS1108へ分岐し、次の攻撃活動状況情報の確認に移行する。
事前条件が成立していた場合は、推論実施部103は、事前条件中の未束縛の変数に対し、具体的な値を事前条件未達情報削除処理部に返す。
そこで、S1106において、事前条件未達情報削除処理部は、未束縛の変数が推論実施部103から得られた値で束縛されるように攻撃活動状況情報Cの束縛済み変数情報を更新する。
その後、事前条件未達情報削除処理部は、S1107において、戻り値変数に攻撃活動状況情報Cを登録し、S1108を経て、次の攻撃活動状況情報の確認に移行する。
図14の処理は攻撃発生判定部106で実行される。
そして、攻撃発生判定部106は、S1207で、加算結果であるgと事前に定義された攻撃判定閾値とを比較する。
加算結果gが攻撃判定閾値を超えた場合に、処理がS1208に分岐し、攻撃発生判定部106は、戻り値変数Retへ攻撃活動状況情報Cを格納する。
攻撃活動状況情報の集合CL内の全ての攻撃活動状況情報について判定が終了すると、攻撃発生判定部106は、S1210にて戻り値変数Retを呼び出し元へ返し、処理を終了する。
図14の処理により攻撃が行われていると判定された攻撃時活動状況情報は、図7のS506にてユーザに通知される。
なお、S507以降の処理は、S503で得られた観測イベントに合致する攻撃活動状況情報の集合に含まれる各攻撃活動状況情報に対して個別に実施される。
図15は、達成事象算出・登録部102の動作例を示すフローチャートである。
そして、達成事象算出・登録部102は、S1303において、攻撃活動状況情報Cの束縛済み変数情報の内容を取り出す。
更に、達成事象算出・登録部102は、S1305にて、取り出した達成事象で参照されている各変数に、各変数が束縛されている値を代入する。
そして、達成事象算出・登録部102は、S1306にて、代入結果を戻り値変数Retに代入する。
そして、派生達成事象算出処理により得られた、推論ルールを介して得られる達成事象を戻り値変数Retに付け加え、S1308において呼び出し元へ戻り値変数Retを返し、処理を終了する。
図16は、派生達成事象算出処理の詳細を示すフローチャートである。
なお、図16の派生達成事象算出処理は、図2に図示していない、達成事象算出・登録部102の内部要素である派生達成事象算出処理部が行う。
派生達成事象算出処理部は、まず、引数として与えられた達成事象が成立する以前から、既に成立している達成事象をS1402〜S1406で求め、引数として与えられた達成事象が成立した後に成立している事象をS1407〜S1412で求め、S1402〜S1406で求めた達成事象とS1407〜S1412で求めた達成事象との差分を求める。
これにより、派生達成事象算出処理部は、引数として与えられた達成事象集合により、新たに達成された達成事象を求める。
また、派生達成事象算出処理部は、S1403から開始されるループで、推論ルールデータベース110中の各レコードに含まれるゴールが、成立しているかを確認する(S1404)。
ゴールが既に成立していたら、処理がS1405に分岐し、派生達成事象算出処理部は、成立しているゴールの変数が全て具体値で置換された述語の集合を、変数G0に格納する。
これにより、推論実施部103は、新たに達成された事象を、推論に反映することが可能となる。
次に、派生達成事象算出処理部は、S1408において、達成事象登録後に得られた達成事象を格納する変数G1に、達成事象登録後に得られた達成事象を格納する。
派生達成事象算出処理部は、S1411において、成立しているゴールの変数が全て具体値で置換された述語の集合を、変数G1に格納する。
攻撃活動予測部105の動作を図17、図18及び図19を参照しながら説明する。
図17は、攻撃活動予測部105の処理を示すフローチャートである。
次に、攻撃活動予測部105は、S1506で、引数として与えられた達成事象と同じ述語を使った項が、S1505で取り出した事前条件に存在するかを確認する。
もし該当する項が存在したならば、攻撃活動予測部105は、攻撃活動定義情報Dが達成事象に依存する攻撃活動定義情報であるとみなし、処理がS1507に分岐する。
攻撃活動予測部105は、S1507、S1508で、攻撃活動定義情報Dを含んだ攻撃活動状況情報Cを生成する。
また、攻撃活動予測部105は、S1509で、実行可能活動検索処理(後述)が呼び出す。
実行可能活動検索処理により、攻撃活動状況情報Cが依存している攻撃活動定義情報の中から、現在事前条件を満たしている攻撃活動定義情報が検索され、攻撃活動予測部105は、検索された攻撃活動定義情報を内包する攻撃活動状況情報の集合を得る。
攻撃活動予測部105は、S1510で、実行可能活動検索処理から得た攻撃活動状況情報の集合を戻り値変数Retに追加する。
また、攻撃活動予測部105は、S1511で、次の攻撃活動定義情報に対し同様な処理を行う。
そして、攻撃活動予測部105は、S1513にて、戻り値変数Retを呼び出し元へ返し、処理を終了する。
図18及び図19は実行可能活動検索処理の内容を示すフローチャートである。
なお、図18及び図19の実行可能活動検索処理は、図2に図示していない、攻撃活動予測部105の内部要素である実行可能活動検索処理部が行う。
次に、実行可能活動検索処理部は、攻撃活動状況情報Cの事前条件の各変数を攻撃活動状況情報Cの束縛済み変数情報に記載された情報で置換し、変数が置換された後の事前条件が成立しているかどうか推論実施部103を用いて確認する(S1604)。
もし既に事前条件が成立しているならば、処理がS1605に分岐し、実行可能活動検索処理部は、事前条件中で束縛されていない変数の具体値(推論実施部103が返す具体値)を、攻撃活動状況情報Cの束縛済み変数情報に記録する。
そして、実行可能活動検索処理部は、攻撃活動状況情報Cを戻り値変数Retに格納し、S1616で、戻り値変数Retが呼び出し元へ返され、実行可能活動検索処理部の処理が終了する。
S1607から始まるループでは、攻撃活動状況情報Cの事前条件(変数は束縛済み)に含まれる各項がそれぞれ達成事象データベース109内の達成事象により成立可能かどうかを推論実施部103でテストし、達成事象データベース109内の達成事象で成立しない項tに対して処理が行われる。
次に、実行可能活動検索処理部は、S1609から始まるループの中で、取得した各攻撃活動定義情報D2に対し、S1610、S1611で攻撃活動定義情報D2を内包する攻撃活動状況情報を作成する。
さらに、実行可能活動検索処理部は、S1612において、攻撃活動状況情報C2の達成事象のうち、tで示される項の既に束縛済みの変数を、攻撃活動状況情報C2の束縛済み変数情報へ登録する。
こうして得られた攻撃活動状況情報C2を引数として、実行可能活動検索処理部は、S1613にて実行可能活動検索処理部自身を再帰的に呼出す。
そして、実行可能活動検索処理部は、得られた結果を戻り値変数Retに追加し、S1614にて、ループの先頭へ戻り、次の攻撃活動定義情報について同様な処理を行う。
最終的に全ての項tに対して処理を終了した時点で、S1616が実行され、戻り値変数Retが呼び出し元に返され、実行可能活動検索処理部の処理が終了する。
もし、抽出された攻撃活動状況情報の中に、監視設定317を含む攻撃活動状況情報が存在する場合には、イベント生成設定変更部122により、監視設定317の起動確度323よりも攻撃活動状況情報の累積攻撃確度値が上回っているかが確認される。
攻撃活動状況情報の累積攻撃確度値が起動確度323を上回っている場合は、イベント生成設定変更部122は、監視対象装置319の内容に従って監視対象装置を選択し、監視設定のコマンド318及びコマンドパラメータ320の内容を、選択した監視対象装置に送信する。
累積攻撃確度値が、起動確度323以下の場合には、当該攻撃活動状況情報は、攻撃活動候補記憶部104への登録も行われない。
そして、攻撃活動状況情報検索部及び攻撃活動予測部により、事前に全ての攻撃シナリオを定義することなく、複数のステップを経て実施される攻撃を検知できるという効果がある。
このため、常時実施するには高コストな監視を、必要な時に限って実施することができる、という効果がある。
このため、各攻撃活動定義情報には最低限の達成事象のみを記述するだけでよい、という効果がある。
このため、イベント上には現れない情報システムの構成に関する情報も考慮した事前条件を記述できる、という効果がある。
このため、攻撃者の挙動に近い一連のイベントが発生した場合のみユーザに攻撃の発生を通知することが可能となり、誤検知を低減できるという効果がある。
事前条件、達成事象、イベント内容を含んだ攻撃活動定義情報と、
攻撃活動定義情報を格納する攻撃活動定義情報データベースと、
発生したイベントに対応する攻撃活動定義情報を検索し、検索した攻撃活動定義情報の達成事象に依存する攻撃活動定義情報を検索し、検索した攻撃活動定義情報から、次に発生するイベントを予測する攻撃活動予測部とを説明した。
以上の実施の形態1では、イベントが発生しても、そのイベントの事前条件が成立しない限り、発生したイベントは無視される(図13のS1105でNOの場合)。
つまり、実施の形態1では、図3に示すイベント220が発生した際に、攻撃活動定義情報205に記述されている事前条件が成立していないと、イベント220の次に発生するイベントを予測する処理は行われない。
本実施の形態では、発生したイベントの攻撃活動定義情報205に記述されている事前条件が不成立であっても、次に発生するイベントを予測する処理を実施する例を説明する。
成立必須フラグ2116のフラグ値2117がTrueであれば、事前条件が不成立の場合は、次に発生するイベントを予測する処理は行われない。
成立必須フラグ2116のフラグ値2117がFalseであれば、事前条件が不成立の場合でも、次に発生するイベントを予測する処理は行われる。
つまり、Falseのフラグ値2117は、事前条件(イベント前段階)が不成立であっても観測予測イベントを抽出する処理を実施する旨を示す識別子であり、処理実施識別子の例に相当する。
図21の攻撃活動定義情報の要素のうち、成立必須フラグ2116とフラグ値2117以外の要素は、図4に示したものと同様であり、説明を省略する。
また、本実施の形態に係るシステム構成は図1に示すものと同様であり、また、本実施の形態に係る攻撃検知装置101の構成例は図2に示すものと同様である。
以下では、主に実施の形態1との違いを説明する。
以下で説明していない事項は、実施の形態1と同様である。
図22のフローは、実施の形態1で説明した図13のフローの代わりに行われる。
事前条件未達情報削除処理部は、成立必須フラグ2116のフラグ値2117がFalseの場合は、事前条件が不成立であっても、観測イベント通知情報で通知されたイベントを図13で説明した変数Retに格納する。
具体的な処理は、図22を参照しながら以下に説明する。
S2205でNOに分岐した場合、すなわち、観測イベント通知情報で通知されたイベントの攻撃活動定義2101に記述されている事前条件2103が不成立の場合に、事前条件未達情報削除処理部は、成立必須フラグ2116のフラグ値2117を参照する(S2210)。
フラグ値2117がTrueであった場合には、事前条件未達情報削除処理部の処理は、S2208へと分岐し、実施の形態1と同様に、観測イベント通知情報で通知されたイベントは無視され、観測予測イベントを抽出する処理が行われない。
フラグ値2117がFalseであった場合には、処理はS2211へと分岐する。
S2211では、事前条件未達情報削除処理部は、S2204において変数が束縛値に置換された事前条件式の各項のうち、未束縛の変数を含まない項を達成事象データベースに登録し、S2207へと進む。
その後、S504以降の処理が行われ(図22は、図7のS503の詳細を示す図10のS814の詳細を示すため)、実施の形態1で示した手順にて、観測予測イベントを抽出する処理が行われる。
このため、その後の攻撃活動予測において、従来は予測されなかったイベントの発生も予測することができるという効果がある。
以上の実施の形態1及び2では、監視対象装置から観測イベント通知情報で通知されたイベントに基づいて将来のイベントを予測していた。
本実施の形態では、監視対象装置からの観測イベント通知情報で通知されなかったイベントを含む、監視対象装置での観測された全てのイベントを用いて、事前条件の成立有無を判断する例を説明する。
本実施の形態では、攻撃検知装置101に接続する監視対象装置2303と監視対象装置2308の構成が、実施の形態1と異なる。
攻撃検知装置101の内部構成例は、図2に示す通りである。
以下では、主に実施の形態1及び実施の形態2との違いを説明する。
以下で説明していない事項は、実施の形態1又は実施の形態2と同様である。
また、イベント生成部2305、2310も、図1に示すイベント生成部118、121と同じである。
但し、イベント生成部118、121は、観測された全てのイベントを観測イベント通知情報で攻撃検知装置101に通知していたが、イベント生成部2305、2310は、観測されたイベントのうち特定のイベントのみを観測イベント通知情報で攻撃検知装置101に通知する。
観測イベント通知情報で通知するイベントは、攻撃検知装置101のイベント生成設定変更部122が設定する。
例えば、監視に要するコストが一定レベル以下のイベントのみを観測イベント通知情報で通知するように設定することが考えられる。
攻撃検知装置101は、イベント220よりも以前に観測イベント通知情報で通知されているイベントに基づいて、攻撃活動定義情報205に記述されている事前条件が成立しているか否かの判定を行う。
すなわち、攻撃検知装置101は、通知されていないイベント(例えば高コストのイベント)によってイベント220の事前条件が成立している場合であっても、イベント220の事前条件は成立していないと判定し、また、攻撃確度値の累算も行わない。
しかしながら、通知されていないイベント(例えば高コストのイベント)によってイベント220の事前条件が成立している場合は、実際に攻撃活動が進行しているので、イベント220が含まれる攻撃活動に高い累積攻撃確度値が与えられるべきである。
このように、実際は攻撃活動が進行していても、観測イベント通知情報でイベントが通知されていないと、攻撃活動の検知が行われない場合や、攻撃活動の検知が遅れてしまう場合がある。
そして、過去入力検索部2307、2312が、入力蓄積部2306、2311に蓄積されているイベント導出情報を検索する。
入力蓄積部2306、2311には、イベント導出情報として、イベントの元になる監視対象装置2303、2308への入力情報が蓄積される。
例えば、IDS(Intrusion Detection System)のようにパケットを監視して、攻撃を見つけるような監視対象装置の場合は、入力蓄積部2306、2311には、パケットが蓄積される。
同様に、サーバ等で発生するログを監視して、攻撃を見つけるような監視対象装置の場合は、入力蓄積部2306、2311には、ログが蓄積される。
本実施の形態では、蓄積されたパケットや、ログを(コストの関係でリアルタイムでは行えない方法で)再調査することにより、埋もれていたイベントを見つけられるようにしている。
つまり、事前条件未達情報削除処理部は、入力蓄積部2306、2311のイベント導出情報を解析して、観測イベント通知情報で通知されていないイベントを含むいずれかのイベントによって図3のイベント220の事前条件が成立しているか否かを判定する。
そして、図3のイベント220の事前条件が成立している場合に、事前条件未達情報削除処理部は、更に、入力蓄積部2306、2311のイベント導出情報を時間的に遡って、依存関係にあるイベントを検出する。
そして、事前条件未達情報削除処理部は、検出したイベント列の先頭から順次イベント220まで攻撃確度値を累算する。
例えば、図30に示すように、イベント220の攻撃活動定義情報205の事前条件がイベント231の攻撃活動定義情報241の達成事象に記述さているとする。
また、イベント231の攻撃活動定義情報241の事前条件がイベント232の攻撃活動定義情報242の達成事象に記述さているとする。
同様に、イベント232の攻撃活動定義情報242の事前条件がイベント233の攻撃活動定義情報243の達成事象に記述さているとする。
事前条件未達情報削除処理部は、イベント220から遡って、順に、イベント231、イベント232、イベント233というイベント列を検出する。
更に、事前条件未達情報削除処理部は、イベント233、イベント232、イベント231、イベント220の攻撃確度値を累算する。
そして、攻撃発生判定部106が、攻撃確度値の累算値が閾値を超えている場合に、表示部115を通じて、ユーザに攻撃の発生を通知する(図7のS506)。
S2401からS2405までは、図13のS1101からS1105までと同じである。
S2405において、事前条件式が成立していなかった場合は、事前条件未達情報削除処理部は、S2410にて攻撃活動状況情報Cに対する過去イベント検索処理を呼び出し、過去イベント検索処理の結果を変数Rに格納する。
S2601に示す通り、過去イベント検索処理は検索対象とする攻撃活動状況情報Cを引数として呼び出される。
次に、S2602で、攻撃活動状況情報Cの事前条件を構成している各項の中で、未成立の項の集合が変数TSに代入される。
S2603で、添え字変数i及び戻り値を格納する変数CSが初期化される。
S2604で、変数ADBに攻撃活動定義情報データベースに記憶された攻撃活動定義情報一覧が代入される。
S2606では、変数evsが空の配列で、また変数effectsが空の集合で初期化される。
S2608では、現在の監視対象装置の設定で変数eの値が検知可能かどうかが確認される。
既に変数eの値が検知可能な状態であった場合、処理がYESに分岐し、S2613を経てループの先頭S2607に処理が戻り、変数eの次の値に対して処理が継続される。
S2608で処理がNOに分岐すると、次にS2609において、変数eの達成事象が変数tで表される項にマッチ可能かが確認される。
変数eの達成事象が変数tで表される項にマッチしない場合は、S2609から処理がNOに分岐し、S2613を経てループの先頭S2607に処理が戻り、変数eの次の値に対して処理が継続される。
S2609で処理がYESに分岐すると、次にS2610で変数eの達成事象で使用されている変数が、変数t中の値で束縛される。
次に、S2611で、変数eにマッチするイベントが過去に発生していないかの検索が行われる。
この検索は以下にて実施される。
変数e中のイベントの中で使用されている変数のうち、S2610で束縛された変数を束縛値で置換し、置換後のイベントを監視対象装置上の過去入力検索部に入力して過去入力検索部を呼び出す。
そして、過去入力検索部が入力蓄積部に蓄積されている情報を検索する。
検索の結果該当するイベントが検出された場合に、検出されたイベントの内容を反映した攻撃活動状況情報が作成され、作成された攻撃活動状況情報が変数Cpに代入される。
変数Cpに代入される攻撃活動状況情報の攻撃活動定義情報は、変数eで表される攻撃活動定義情報と同じである。
変数eで表される攻撃活動定義情報中のイベントの記述に使用されている変数は、検索されたイベントの内容で束縛される。
検索の結果、変数Cpが見つかった場合、つまり、変数eにマッチするイベントが見つかった場合に、S2612で処理がYESに分岐し、端子(I)を経て図27のS2701に処理が移る。
S2612で処理がNOに分岐した場合は、S2613を経てループの先頭S2607に処理が戻り、変数eの次の値に対して処理が行われる。
変数Cpの事前条件が満たされていた場合は、処理がYESに分岐し、S2702にて、変数Cpを唯一の要素として持つ配列が作成され、作成された配列が変数evsに代入される。
その後、S2703にて、変数effectsに変数Cpの達成事象が追加され、端子(K)へと処理が遷移する。
過去イベント検索処理の結果は変数Esに格納される。
変数Esは、攻撃活動状況情報のツリーの配列である。
S2705にて変数EsがNULLであった場合、処理がYESに分岐し、S2706にて変数Cpの成立必須フラグがFalseかどうかが確認される。
変数Cpの成立必須フラグがFalseであった場合、処理がYESに分岐し、端子(J)を経て処理がS2614に進む。
S2706で処理がNOに分岐した場合は、S2707において変数effectsに変数Cpの事前条件の各項のうち、未束縛の変数を含まない項が追加される。
その後、S2708にて変数effectsに変数Cpの達成事象が追加され、端子(J)へと処理が遷移する。
その後、S2710で、変数Cpを根ノードとし、変数Esの各要素(要素の一つ一つが木構造のデータとなっている)を子ノードとするツリーが作成され、作成されたツリーが変数evsに代入される。
その後、S2711で、変数effectsに、変数Cpの達成事象が追加され、端子(J)へと処理が遷移する。
変数evsが空だった場合は、処理がYESに分岐し、S2618で、呼び出し元にnullが返され、処理が終了する。
S2614で処理がNOに分岐した場合は、変数CSのi番目の要素として変数evsの値が格納され、iに1が加算される。
その後、S2616を経て処理がループS2605に戻り、変数tの次の値について処理が行われる。
S2410で返された結果がnullであった場合は、S2411から処理がYESに分岐し、処理がS2412に進む。
以降の動作は実施の形態2と同様である。
S2501では、変数Rに格納されている攻撃活動状況情報と達成事象集合がそれぞれ変数Es及び変数effectsに代入される。
次に、S2502において、変数Cの累積攻撃確度値が、変数Es中の全ての配列中の各ツリーの根ノードの攻撃活動状況情報の累積攻撃確度値と各ツリーの根ノードの攻撃確度値を足し合わせた値に更新される。
その後、S2503にて、変数Es内の全攻撃活動状況情報が変数Retに追加され、さらに、S2504にて、変数effectsに格納された達成事象が達成事象データベースへ登録される。
その後端子(G)を経て処理がS2407に戻る。
このため、実施の形態1及び実施の形態2では、本来はより高い累積攻撃確度値が与えられるべき一連の攻撃活動が、実際よりも低い累積攻撃確度値になってしまい、攻撃活動の検知から漏れるあるいは検知が遅れるという課題を解決できるという効果がある。
実施の形態1〜3では、攻撃活動定義情報中の攻撃確度値は、攻撃活動定義情報の作成者が定義する必要があった。
次に、本実施の形態では、平常時のイベントの発生頻度から攻撃確度値を自動決定する例を説明する。
図28において、攻撃検知装置2801は、実施の形態1で示した攻撃検知装置101に攻撃確度値決定部2802及びモード切り換え部2803を追加した構成となっている。
つまり、本実施の形態に係る攻撃検知装置2801は、図2に示す構成に、攻撃確度値決定部2802及びモード切り換え部2803を追加した構成となっている。
攻撃確度値決定部2802は、攻撃活動定義情報に記述される攻撃確度値を、観測イベント通知情報の受信頻度に基づき決定する。
モード切り換え部2803は、攻撃検知装置2801の動作モードを切り換える。
監視対象装置116、119は、実施の形態1で示したものと同じである。
以下では、主に実施の形態1との違いを説明する。
以下で説明していない事項は、実施の形態1と同様である。
はじめに管理者は攻撃検知装置2801のモード切り換え部2803を通じて攻撃検知装置2801の動作モードを通常運用モードから攻撃確度値決定モードに切り換える。
この攻撃確度値決定モードでは、監視対象装置116、119からの観測イベント通知情報は攻撃確度値決定部2802に送られる。
また、攻撃確度値決定部2802は、攻撃活動定義情報ごとにカウンタを管理しており(初期値は0)、攻撃確度値決定モード中に観測イベント通知情報を受信するごとに、該当する攻撃活動定義情報に対応するカウンタの値を1増加させる。
攻撃確度値決定部2802は、通常運用モードへの切り換えまでに計数された各攻撃活動定義情報のカウンタ値を基に、各攻撃活動定義情報の攻撃確度値を決定する。
攻撃確度値は、例えば次のような算出式により決定することができる。
攻撃確度値=1/(カウンタ値+1)
本実施の形態によれば、攻撃確度値の決定を自動化することができる、という効果がある。
また、観測イベント通知情報の受信時に増加させるカウンタ値も1に限定されるものではない。
実施の形態1では、構成情報は、構成情報・推論ルール編集部113を通じて、管理者が入力する必要があった。
次に、本実施の形態では、ネットワーク上に接続されているアカウント管理サーバ装置や構成管理データベースから構成情報を自動で入手できる構成を説明する。
本実施の形態における攻撃検知装置2901は、実施の形態1で示した攻撃検知装置101に構成情報収集部2902を追加した構成となっている。
つまり、本実施の形態に係る攻撃検知装置2901は、図2に示す構成に、構成情報収集部2902を追加した構成となっている。
構成情報収集部2902は、情報システムに含まれる構成管理データベース2906及びアカウント管理サーバ装置2907から構成情報を収集する。
監視対象装置116、119は、実施の形態1で示したものと同じである。
構成管理データベース2906は、ネットワーク123上の機器の製品名やバージョン、IPアドレス、ホスト名等を管理するデータベースである。
また、アカウント管理サーバ装置2907は、ネットワーク123を利用しているユーザのアカウント情報を管理するサーバである。
そして、構成情報収集部2902は、述語論理表現に変換後の収集情報(構成情報)を構成情報データベース112に格納する。
同様に、構成情報収集部2902は、初期化時あるいは定期的にアカウント管理サーバ装置2907にもアクセスし、ユーザ名やグループの情報を収集し、収集した情報を述語論理による表現に変換する。
そして、構成情報収集部2902は、述語論理表現に変換後の収集情報(構成情報)を構成情報データベース112に格納する。
攻撃検知装置101はコンピュータであり、攻撃検知装置101の各要素をプログラムで実現することができる。
攻撃検知装置101のハードウェア構成としては、バスに、演算装置901、外部記憶装置902、主記憶装置903、通信装置904、入出力装置905が接続されている。
外部記憶装置902は、例えばROM(Read Only Memory)やフラッシュメモリ、ハードディスク装置である。
主記憶装置903は、RAM(Random Access Memory)である。
通信装置904は、イベント受信部108の物理層に対応する。
入出力装置905は、例えばマウス、キーボード、ディスプレイ装置等である。
プログラムは、図2等に示す「〜部」(攻撃活動候補記憶部104を除く、以下も同様)として説明している機能を実現するプログラムである。
更に、外部記憶装置902にはオペレーティングシステム(OS)も記憶されており、OSの少なくとも一部が主記憶装置903にロードされ、演算装置901はOSを実行しながら、図2等に示す「〜部」の機能を実現するプログラムを実行する。
また、実施の形態1〜5の説明において、「〜の判断」、「〜の判定」、「〜の抽出」、「〜の検知」、「〜の設定」、「〜の登録」、「〜の予測」、「〜の選択」、「〜の生成」、「〜の入力」、「〜の出力」等として説明している処理の結果を示す情報やデータや信号値や変数値が主記憶装置903にファイルとして記憶されている。
また、暗号鍵・復号鍵や乱数値やパラメータが、主記憶装置903にファイルとして記憶されてもよい。
また、実施の形態1〜5に示した監視対象装置も、図20のハードウェア構成をしていてもよいし、他のハードウェア構成であってもよい。
Claims (18)
- 情報システムに対する攻撃が行われる過程において前記情報システムで観測されるイベントと、前記イベントが観測される前の攻撃の進展段階であるイベント前段階と、前記イベントが観測された後の攻撃の進展段階であるイベント後段階とが記述されるイベント段階情報を、複数のイベントに対して記憶するイベント段階情報記憶部と、
前記情報システムで観測された観測イベントを通知する観測イベント通知情報を受信する観測イベント通知情報受信部と、
前記観測イベント通知情報で通知されている観測イベントが記述されているイベント段階情報を前記イベント段階情報記憶部から検索し、検索したイベント段階情報から前記観測イベントのイベント後段階を取得し、取得した前記観測イベントのイベント後段階に合致するイベント前段階が記述されているイベント段階情報を前記イベント段階情報記憶部から検索し、検索したイベント段階情報に基づき、前記情報システムで今後観測されると予測されるイベントを観測予測イベントとして抽出する観測予測イベント抽出部とを有することを特徴とする情報処理装置。 - 前記情報処理装置は、更に、
前記観測イベント通知情報受信部により観測イベント通知情報が受信され、前記観測予測イベント抽出部により観測イベントのイベント後段階が取得される度に、取得されたイベント後段階を記憶する段階記憶部を有し、
前記イベント段階情報記憶部は、
1つ以上のイベント前段階が記述されているイベント段階情報を記憶しており、
前記観測予測イベント抽出部は、
前記観測イベントのイベント後段階に基づいて検索したイベント段階情報に記述されているイベント前段階と前記段階記憶部に記憶されているイベント後段階とを比較し、検索したイベント段階情報に記述されている全てのイベント前段階に合致するイベント後段階が前記段階記憶部に記憶されている場合に、検索したイベント段階情報に記述されているイベントを、前記観測予測イベントとして抽出することを特徴とする請求項1に記載の情報処理装置。 - 前記観測予測イベント抽出部は、
前記観測イベントのイベント後段階に基づいて検索したイベント段階情報に記述されているイベント前段階と前記段階記憶部に記憶されているイベント後段階とを比較した結果、検索したイベント段階情報に記述されている少なくとも1つのイベント前段階に対して、合致するイベント後段階が前記段階記憶部に記憶されていない場合に、
合致するイベント後段階が前記段階記憶部に記憶されていないイベント前段階に合致するイベント後段階が記述されているイベント段階情報を検索し、
検索したイベント段階情報に記述されているイベント前段階と前記段階記憶部に記憶されているイベント後段階とを比較し、
検索したイベント段階情報に記述されている全てのイベント前段階に合致するイベント後段階が前記段階記憶部に記憶されている場合に、検索したイベント段階情報に記述されているイベントを、前記観測予測イベントとして抽出し、
検索したイベント段階情報に記述されている少なくとも1つのイベント前段階に対して、合致するイベント後段階が前記段階記憶部に記憶されていない場合に、合致するイベント後段階が前記段階記憶部に記憶されていないイベント前段階に合致するイベント後段階が記述されているイベント段階情報を検索することを特徴とする請求項2に記載の情報処理装置。 - 前記イベント段階情報記憶部は、
イベントが観測された際の前記情報システムに対する攻撃の確度を示す攻撃確度値が記述されるイベント段階情報を記憶し、
前記情報処理装置は、更に、
前記観測予測イベント抽出部により観測予測イベントが抽出される度に、抽出された観測予測イベントが記述されているイベント段階情報に、抽出された観測予測イベントに先行して抽出された観測予測イベントが前記情報システムで観測される度に累算された攻撃確度値の累算値を対応付けるイベント段階情報加工部を有し、
前記観測予測イベント抽出部は、
前記観測イベント通知情報受信部により受信された観測イベント通知情報で通知されている観測イベントが記述されているイベント段階情報を検索し、検索したイベント段階情報に攻撃確度値の累算値が対応付けられている場合に、
検索したイベント段階情報に対応付けられている攻撃確度値の累算値に、検索したイベント段階情報に記述されている攻撃確度値を累算して、攻撃確度値の累算値を更新し、
更新後の攻撃確度値の累算値が攻撃判定閾値を超えている場合に、前記情報システムに対する攻撃が行われていると判定することを特徴とする請求項1に記載の情報処理装置。 - 前記イベント段階情報加工部は、
前記観測予測イベント抽出部により前記観測イベントに基づいて新たな観測予測イベントが抽出された場合に、前記新たな観測予測イベントが記述されているイベント段階情報に、前記更新後の攻撃確度値の累算値を対応付けることを特徴とする請求項4に記載の情報処理装置。 - 前記観測予測イベント抽出部は、
前記情報システムに対する攻撃が行われていると判定した場合に、前記情報システムに対する攻撃が行われていることを通知する通知メッセージを出力することを特徴とする請求項4に記載の情報処理装置。 - 前記観測イベント通知情報受信部は、
観測イベントの種別と、観測イベントを特定する変数値とを通知する観測イベント通知情報を受信し、
前記イベント段階情報加工部は、
前記観測イベント通知情報受信部により観測イベント通知情報が受信され、前記観測予測イベント抽出部により観測予測イベントが抽出される度に、
抽出された観測予測イベントが記述されているイベント段階情報に、抽出された観測予測イベントに先行して抽出された観測予測イベントが前記情報システムで観測される度に累算された攻撃確度値の累算値を対応付けるとともに、抽出された観測予測イベントの抽出に用いられた観測イベント通知情報で通知された変数値を対応付け、
前記観測予測イベント抽出部は、
前記観測イベント通知情報受信部により受信された観測イベント通知情報で通知されている観測イベントの種別に対応するイベントが記述されているイベント段階情報を検索し、検索したイベント段階情報に対応付けられている変数値と前記観測イベント通知情報で通知されている変数値とを比較し、
検索したイベント段階情報に対応付けられている変数値と前記観測イベント通知情報で通知されている変数値とが一致する場合に、検索したイベント段階情報に対応付けられている攻撃確度値の累算値に、検索したイベント段階情報に記述されている攻撃確度値を累算して、攻撃確度値の累算値を更新することを特徴とする請求項4に記載の情報処理装置。 - 前記イベント段階情報記憶部は、
前記情報システムに含まれる機器に所定の監視操作を開始させるための監視操作開始閾値が記述されているイベント段階情報を記憶し、
前記観測予測イベント抽出部は、
更新後の攻撃確度値の累算値が前記監視操作開始閾値を超えている場合に、前記情報システムに含まれる機器に前記監視操作を開始させることを特徴とする請求項4に記載の情報処理装置。 - 前記観測予測イベント抽出部は、
推論ロジックが記述されている推論ルール情報を参照して、検索したイベント段階情報に記述されているイベント前段階と前記段階記憶部に記憶されているイベント後段階とを比較することを特徴とする請求項2に記載の情報処理装置。 - 前記観測予測イベント抽出部は、
前記情報システムの構成が記述されている構成情報を参照して、検索したイベント段階情報に記述されているイベント前段階と前記段階記憶部に記憶されているイベント後段階とを比較することを特徴とする請求項2に記載の情報処理装置。 - 前記イベント段階情報記憶部は、
前記イベント前段階及び前記イベント後段階の少なくともいずれかが述語論理により記述されているイベント段階情報を記憶していることを特徴とする請求項1に記載の情報処理装置。 - 前記イベント段階情報記憶部は、
いずれかのイベントに対して、イベント前段階が不成立であっても観測予測イベントを抽出する処理を実施する旨を示す識別子である処理実施識別子が記述されているイベント段階情報を記憶し、
前記観測予測イベント抽出部は、
前記観測イベント通知情報受信部により受信された観測イベント通知情報で通知されている観測イベントが記述されているイベント段階情報を検索し、
検索したイベント段階情報に処理実施識別子が記述されている場合に、検索したイベント段階情報に記述されているイベント前段階が不成立であっても、検索したイベント段階情報から前記観測イベントのイベント後段階を取得し、取得した前記観測イベントのイベント後段階に合致するイベント前段階が記述されているイベント段階情報を前記イベント段階情報記憶部から検索し、検索したイベント段階情報に基づき、前記観測予測イベントを抽出し、
検索したイベント段階情報に処理実施識別子が記述されていない場合に、検索したイベント段階情報に記述されているイベント前段階が不成立であれば、観測予測イベントを抽出する処理を行わないことを特徴とする請求項1に記載の情報処理装置。 - 前記情報システムは、
前記観測イベント通知情報で通知されなかったイベントを含む前記情報システムでのイベントを導出可能なイベント導出情報を蓄積しており、
前記観測予測イベント抽出部は、
前記観測イベント通知情報受信部により受信された観測イベント通知情報で通知されている観測イベントが記述されているイベント段階情報を検索し、
前記情報システムに蓄積されているイベント導出情報に基づき、検索したイベント段階情報に記述されているイベント前段階の成立有無の判定を行い、
前記イベント前段階が成立している場合に、検索したイベント段階情報から前記観測イベントのイベント後段階を取得し、取得した前記観測イベントのイベント後段階に合致するイベント前段階が記述されているイベント段階情報を前記イベント段階情報記憶部から検索し、検索したイベント段階情報に基づき、前記観測予測イベントを抽出することを特徴とする請求項1に記載の情報処理装置。 - 前記イベント段階情報記憶部は、
イベントが観測された際の前記情報システムに対する攻撃の確度を示す攻撃確度値が記述されるイベント段階情報を記憶し、
前記観測予測イベント抽出部は、
前記情報システムに蓄積されているイベント導出情報に基づき、検索したイベント段階情報に記述されているイベント前段階の成立有無の判定を行った結果、前記イベント前段階が成立している場合に、
前記情報システムに蓄積されているイベント導出情報を解析して前記イベント段階情報記憶部に記憶されている複数のイベント段階情報の中から1つ以上のイベント段階情報を選択し、選択したイベント段階情報に記述されている攻撃確度値と、検索したイベント段階情報に記述されている攻撃確度値とを累算して、攻撃確度値の累算値を得ることを特徴とする請求項13に記載の情報処理装置。 - 前記情報処理装置は、更に、
前記イベント段階情報に記述される攻撃確度値を、前記観測イベント通知情報受信部による前記観測イベント通知情報の受信頻度に基づき決定する攻撃確度値決定部を有することを特徴とする請求項4又は14に記載の情報処理装置。 - 前記情報処理装置は、更に、
前記情報システムから前記構成情報を収集する構成情報収集部を有することを特徴とする請求項10に記載の情報処理装置。 - 情報システムに対する攻撃が行われる過程において前記情報システムで観測されるイベントと、前記イベントが観測される前の攻撃の進展段階であるイベント前段階と、前記イベントが観測された後の攻撃の進展段階であるイベント後段階とが記述されるイベント段階情報を、複数のイベントに対して記憶するコンピュータが行う情報処理方法であって、
前記コンピュータが、前記情報システムで観測された観測イベントを通知する観測イベント通知情報を受信し、
前記コンピュータが、前記観測イベント通知情報で通知されている観測イベントが記述されているイベント段階情報を検索し、検索したイベント段階情報から前記観測イベントのイベント後段階を取得し、取得した前記観測イベントのイベント後段階に合致するイベント前段階が記述されているイベント段階情報を検索し、検索したイベント段階情報に基づき、前記情報システムで今後観測されると予測されるイベントを観測予測イベントとして抽出することを特徴とする情報処理方法。 - 情報システムに対する攻撃が行われる過程において前記情報システムで観測されるイベントと、前記イベントが観測される前の攻撃の進展段階であるイベント前段階と、前記イベントが観測された後の攻撃の進展段階であるイベント後段階とが記述されるイベント段階情報を、複数のイベントに対して記憶するコンピュータに、
前記情報システムで観測された観測イベントを通知する観測イベント通知情報を受信する観測イベント通知情報受信処理と、
前記観測イベント通知情報で通知されている観測イベントが記述されているイベント段階情報を検索し、検索したイベント段階情報から前記観測イベントのイベント後段階を取得し、取得した前記観測イベントのイベント後段階に合致するイベント前段階が記述されているイベント段階情報を検索し、検索したイベント段階情報に基づき、前記情報システムで今後観測されると予測されるイベントを観測予測イベントとして抽出する観測予測イベント抽出処理とを実行させることを特徴とするプログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2013/078774 WO2015059791A1 (ja) | 2013-10-24 | 2013-10-24 | 情報処理装置及び情報処理方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP6053948B2 true JP6053948B2 (ja) | 2016-12-27 |
JPWO2015059791A1 JPWO2015059791A1 (ja) | 2017-03-09 |
Family
ID=52992428
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015543647A Expired - Fee Related JP6053948B2 (ja) | 2013-10-24 | 2013-10-24 | 情報処理装置及び情報処理方法及びプログラム |
Country Status (5)
Country | Link |
---|---|
US (1) | US10282542B2 (ja) |
EP (1) | EP3062258A4 (ja) |
JP (1) | JP6053948B2 (ja) |
CN (1) | CN105683987B (ja) |
WO (1) | WO2015059791A1 (ja) |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9916445B2 (en) * | 2014-02-26 | 2018-03-13 | Mitsubishi Electric Corporation | Attack detection device, attack detection method, and non-transitory computer readable recording medium recorded with attack detection program |
WO2016075825A1 (ja) * | 2014-11-14 | 2016-05-19 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
JP6285390B2 (ja) * | 2015-04-22 | 2018-02-28 | 株式会社日立製作所 | サイバー攻撃分析装置及びサイバー攻撃分析方法 |
US10440036B2 (en) | 2015-12-09 | 2019-10-08 | Checkpoint Software Technologies Ltd | Method and system for modeling all operations and executions of an attack and malicious process entry |
US10462160B2 (en) * | 2015-12-09 | 2019-10-29 | Check Point Software Technologies Ltd. | Method and system for identifying uncorrelated suspicious events during an attack |
US10880316B2 (en) | 2015-12-09 | 2020-12-29 | Check Point Software Technologies Ltd. | Method and system for determining initial execution of an attack |
US10193906B2 (en) * | 2015-12-09 | 2019-01-29 | Checkpoint Software Technologies Ltd. | Method and system for detecting and remediating polymorphic attacks across an enterprise |
CN108351939A (zh) * | 2015-12-14 | 2018-07-31 | 三菱电机株式会社 | 信息处理装置、信息处理方法和信息处理程序 |
US20190141059A1 (en) * | 2016-06-23 | 2019-05-09 | Mitsubishi Electric Corporation | Intrusion detection apparatus and computer readable medium |
US11120131B2 (en) | 2018-07-30 | 2021-09-14 | Rubrik, Inc. | Ransomware infection detection in filesystems |
JP7152657B2 (ja) * | 2018-09-14 | 2022-10-13 | 富士通株式会社 | 監視装置、監視方法及び監視プログラム |
WO2020161780A1 (ja) * | 2019-02-04 | 2020-08-13 | 日本電気株式会社 | 行動計画推定装置、行動計画推定方法、及びコンピュータ読み取り可能な記録媒体 |
JP7186637B2 (ja) * | 2019-02-21 | 2022-12-09 | 三菱電機株式会社 | 検知ルール群調整装置および検知ルール群調整プログラム |
US12045342B2 (en) * | 2019-10-28 | 2024-07-23 | Nec Corporation | Information processing device, display method, and non-transitory computer readable medium |
WO2021144859A1 (ja) * | 2020-01-14 | 2021-07-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 侵入経路分析装置および侵入経路分析方法 |
WO2021255841A1 (ja) * | 2020-06-16 | 2021-12-23 | 日本電気株式会社 | 情報検索装置、情報検索方法、及びコンピュータ読み取り可能な記録媒体 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003100619A1 (fr) * | 2002-05-28 | 2003-12-04 | Fujitsu Limited | Dispositif, programme et procede de detection d'acces non autorise |
JP2005341217A (ja) * | 2004-05-27 | 2005-12-08 | Fujitsu Ltd | 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置 |
JP2008167099A (ja) * | 2006-12-28 | 2008-07-17 | Mitsubishi Electric Corp | セキュリティ管理装置及びセキュリティ管理方法及びプログラム |
JP2009129332A (ja) * | 2007-11-27 | 2009-06-11 | Kddi Corp | ポリシ生成システム、プログラム、および記録媒体 |
Family Cites Families (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2143815B (en) | 1983-05-19 | 1988-01-20 | Ciba Geigy Ag | Process for the preparation of micro biocidal 1-triazolylethyl ether derivatives |
US7163713B2 (en) * | 1999-07-31 | 2007-01-16 | The Regents Of The University Of California | Method for making dense crack free thin films |
IL152502A0 (en) | 2000-04-28 | 2003-05-29 | Internet Security Systems Inc | Method and system for managing computer security information |
US7603709B2 (en) * | 2001-05-03 | 2009-10-13 | Computer Associates Think, Inc. | Method and apparatus for predicting and preventing attacks in communications networks |
US7042852B2 (en) * | 2002-05-20 | 2006-05-09 | Airdefense, Inc. | System and method for wireless LAN dynamic channel change with honeypot trap |
US6952779B1 (en) * | 2002-10-01 | 2005-10-04 | Gideon Cohen | System and method for risk detection and analysis in a computer network |
JP2004145413A (ja) | 2002-10-22 | 2004-05-20 | Mitsubishi Electric Corp | セキュリティホール診断システム |
US7234166B2 (en) | 2002-11-07 | 2007-06-19 | Stonesoft Corporation | Event sequence detection |
JP2005316779A (ja) | 2004-04-28 | 2005-11-10 | Intelligent Cosmos Research Institute | 不正アクセス検出装置ならびに検知ルール生成装置、検知ルール生成方法および検知ルール生成プログラム |
JP2006350543A (ja) | 2005-06-14 | 2006-12-28 | Mitsubishi Electric Corp | ログ分析装置 |
US7716739B1 (en) * | 2005-07-20 | 2010-05-11 | Symantec Corporation | Subjective and statistical event tracking incident management system |
US7762076B2 (en) * | 2005-10-20 | 2010-07-27 | United Technologies Corporation | Attachment of a ceramic combustor can |
US8776217B2 (en) * | 2006-11-03 | 2014-07-08 | Alcatel Lucent | Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis |
CN101075917B (zh) | 2007-07-16 | 2010-08-25 | 华为技术有限公司 | 一种预测网络攻击行为的方法及装置 |
ES2401456T3 (es) | 2007-12-28 | 2013-04-19 | Essilor International (Compagnie Generale D'optique) | Método para seleccionar curvas de base para una lente oftálmica y método de fabricación de lentes de gafas relacionadas |
US8612372B2 (en) * | 2008-08-29 | 2013-12-17 | International Business Machines Corporation | Detection rule-generating facility |
KR101039717B1 (ko) | 2009-07-07 | 2011-06-09 | 한국전자통신연구원 | 사이버위협을 예측하기 위한 사이버위협 예측 엔진 시스템 및 상기 시스템을 이용한 사이버위협 예측 방법 |
US8566956B2 (en) * | 2010-06-23 | 2013-10-22 | Salesforce.Com, Inc. | Monitoring and reporting of data access behavior of authorized database users |
JP2012068903A (ja) | 2010-09-24 | 2012-04-05 | Dts Kk | ウェブアプリケーションファイアーウォールプログラム |
JP2012133407A (ja) | 2010-12-17 | 2012-07-12 | Ntt Comware Corp | 不正アクセス検出装置、不正アクセス検出システム、不正アクセス検出方法及びプログラム |
US20130019309A1 (en) * | 2011-07-12 | 2013-01-17 | Raytheon Bbn Technologies Corp. | Systems and methods for detecting malicious insiders using event models |
DE102014213752A1 (de) * | 2014-07-15 | 2016-01-21 | Siemens Aktiengesellschaft | Rechenvorrichtung und Verfahren zum Erkennen von Angriffen auf ein technisches System anhand von Ereignissen einer Ereignisfolge |
EP3172691A4 (en) * | 2014-07-21 | 2018-04-11 | Hewlett-Packard Enterprise Development LP | Security indicator linkage determination |
US10015189B2 (en) * | 2016-02-09 | 2018-07-03 | International Business Machine Corporation | Detecting and predicting cyber-attack phases in adjacent data processing environment regions |
US10601845B2 (en) * | 2016-09-06 | 2020-03-24 | Radware, Ltd. | System and method for predictive attack sequence detection |
-
2013
- 2013-10-24 US US15/025,153 patent/US10282542B2/en active Active
- 2013-10-24 WO PCT/JP2013/078774 patent/WO2015059791A1/ja active Application Filing
- 2013-10-24 CN CN201380080452.9A patent/CN105683987B/zh active Active
- 2013-10-24 EP EP13896096.8A patent/EP3062258A4/en not_active Withdrawn
- 2013-10-24 JP JP2015543647A patent/JP6053948B2/ja not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003100619A1 (fr) * | 2002-05-28 | 2003-12-04 | Fujitsu Limited | Dispositif, programme et procede de detection d'acces non autorise |
JP2005341217A (ja) * | 2004-05-27 | 2005-12-08 | Fujitsu Ltd | 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置 |
JP2008167099A (ja) * | 2006-12-28 | 2008-07-17 | Mitsubishi Electric Corp | セキュリティ管理装置及びセキュリティ管理方法及びプログラム |
JP2009129332A (ja) * | 2007-11-27 | 2009-06-11 | Kddi Corp | ポリシ生成システム、プログラム、および記録媒体 |
Also Published As
Publication number | Publication date |
---|---|
WO2015059791A1 (ja) | 2015-04-30 |
US10282542B2 (en) | 2019-05-07 |
JPWO2015059791A1 (ja) | 2017-03-09 |
EP3062258A4 (en) | 2017-05-31 |
EP3062258A1 (en) | 2016-08-31 |
US20160239661A1 (en) | 2016-08-18 |
CN105683987B (zh) | 2018-11-16 |
CN105683987A (zh) | 2016-06-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6053948B2 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
US11343268B2 (en) | Detection of network anomalies based on relationship graphs | |
US11606379B1 (en) | Identifying threat indicators by processing multiple anomalies | |
US11258807B2 (en) | Anomaly detection based on communication between entities over a network | |
CN108280367B (zh) | 数据操作权限的管理方法、装置、计算设备及存储介质 | |
JP6239215B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
CN101569129B (zh) | 网络安全系统和方法 | |
EP3113061B1 (en) | Attack detection device, attack detection method, and attack detection program | |
CN111277637B (zh) | 会话群组的合并方法、装置、终端及存储介质 | |
JP5542859B2 (ja) | ログ管理装置、ログ蓄積方法、ログ検索方法、およびプログラム | |
CN103984891A (zh) | 网络安全系统和方法 | |
JPWO2014174681A1 (ja) | 特定装置、特定方法、および特定プログラム | |
US20230104626A1 (en) | Securely sharing public and private blockchain data | |
JP2014235632A (ja) | 文書管理システム、文書管理システムの制御方法、及び、プログラム | |
CN109388970A (zh) | 数据处理方法和装置 | |
CN111931203A (zh) | 一种敏感数据分析方法、装置、设备及存储介质 | |
KR102693969B1 (ko) | 클라우드 이벤트에 대한 매핑 정보를 생성하는 방법 및 매핑 서버 | |
CN117194205A (zh) | 业务系统运行质量信息确定方法、故障注入任务创建方法 | |
CN114666203A (zh) | 规则处理方法、装置、电子设备和介质 | |
CN118132374A (zh) | 应用程序的后台启动检测方法、装置和计算机设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161101 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161129 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6053948 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |