JP6442051B2 - コンピュータネットワークへの攻撃を検出する方法 - Google Patents
コンピュータネットワークへの攻撃を検出する方法 Download PDFInfo
- Publication number
- JP6442051B2 JP6442051B2 JP2017522730A JP2017522730A JP6442051B2 JP 6442051 B2 JP6442051 B2 JP 6442051B2 JP 2017522730 A JP2017522730 A JP 2017522730A JP 2017522730 A JP2017522730 A JP 2017522730A JP 6442051 B2 JP6442051 B2 JP 6442051B2
- Authority
- JP
- Japan
- Prior art keywords
- computer network
- type
- warning messages
- warning
- messages
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims description 85
- 238000004458 analytical method Methods 0.000 claims description 53
- 230000005856 abnormality Effects 0.000 claims description 35
- 230000008569 process Effects 0.000 claims description 15
- 241000700605 Viruses Species 0.000 claims description 13
- 238000001514 detection method Methods 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 6
- 230000002596 correlated effect Effects 0.000 claims description 3
- 230000000875 corresponding effect Effects 0.000 claims 8
- 230000000694 effects Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 12
- 238000007726 management method Methods 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000001960 triggered effect Effects 0.000 description 3
- 230000003044 adaptive effect Effects 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000007613 environmental effect Effects 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000010223 real-time analysis Methods 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0604—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0681—Configuration of triggering conditions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
2014年7月18日に出願された欧州特許出願第14177647.6号の優先権が主張され、その開示全体は参照によりここに組み込まれる。
本発明は、コンピュータネットワークへの攻撃を検出する方法及び解析システムに関する。
IT 情報技術
SIEM セキュリティ情報及びイベント管理
SIM セキュリティ情報管理
SEM セキュリティイベント管理
C2サーバ コマンド制御サーバ
102 警告メッセージ
110 警告メッセージの総量
111 第1タイプの異常
112 第2タイプの異常
113 第3タイプの異常
114 第4タイプの異常
108 警報信号
200 解析システム
201 受信モジュール
203 比較モジュール
205 出力モジュール
204 警告メッセージ
206 比較結果
300 解析システム
301 受信モジュール
307 分類モジュール
303 比較モジュール
305 出力モジュール
304 警告メッセージ
310 異常のタイプ
306 比較結果
108 コンピュータネットワークへの攻撃についての警報信号又は表示
400 コンピュータネットワークのインターネットウェブページへの攻撃についてのシナリオ
410 コンピュータネットワーク
411 インターネットウェブページ
420 小グループのユーザ
500 企業内のコンピュータネットワークのネットワーク型コンピュータグループへのウイルス攻撃についてのシナリオ
510 企業内のコンピュータネットワーク
511、513、515 コンピュータネットワークにおけるコンピュータ
512、514、516 コンピュータ上のプロセスリスト
P1、P2、P3 コンピュータで稼働するプロセス
PVirus コンピュータ上のマルウェア
600 コンピュータネットワークへの攻撃の表示を判定する方法
601 第1の方法ステップ:受信する
603 第2の方法ステップ:比較する
605 第3の方法ステップ:出力する
Claims (11)
- 複数のコンピュータを備えるコンピュータネットワークにおいて警告メッセージを解析する方法であって、
解析システムが、前記コンピュータから複数の警告メッセージを受信するステップであって、受信した前記警告メッセージが前記コンピュータネットワークの種々のタイプの異常と対応する、ステップ、
前記複数の警告メッセージの個々の警告メッセージが示す前記コンピュータネットワークにおける異常のタイプによって前記複数の警告メッセージを分類するステップ、
前記解析システムが、前記コンピュータネットワークにおける第1のタイプの異常と対応する受信した警告メッセージ数が所定のイベント閾値を下回ることを判定することにより、前記コンピュータネットワークにおける前記第1のタイプの異常が稀に発生する異常であると判定するステップ、
前記第1のタイプの異常が稀に発生する異常であると判定するステップに応答して、
前記解析システムが、警報信号を出力するステップ、
前記解析システムが、
前記コンピュータネットワークにおける前記第1のタイプの異常と対応する受信された警告メッセージ数と所定のイベント閾値との差、
前記コンピュータネットワークにおいて稀に実行されるプロセスの頻度、および/または、
所定の時間から、前記コンピュータネットワークにおける複数のコンピュータの内の所定のグループのコンピュータでのみ実行されたプログラムの頻度に基づいて、前記第1のタイプの異常が前記コンピュータネットワーク上の攻撃と対応する確率を判定するステップ、及び
前記判定された確率が特定の閾値を超えたことに応答して、前記解析システムが、前記判定された確率とイベントとを相関させ、前記解析システムが前記イベントを出力するステップ
を備える方法。 - 前記複数の警告メッセージが所定の時間間隔において受信される、請求項1に記載の方法。
- 前記警告メッセージのコンテンツに基づいて前記複数の警告メッセージの警告メッセージが示す異常のタイプを判定するステップ
をさらに備える請求項2に記載の方法。 - 前記所定の時間間隔において受信される、前記第1のタイプの異常と対応するとして分類された警告メッセージを計数することにより、前記コンピュータネットワークにおける前記第1のタイプの異常と対応する受信した前記警告メッセージ数を判定するステップ
をさらに備える請求項2に記載の方法。 - 前記確率を判定する前記ステップが、以下の所定のパラメータ:前記コンピュータネットワークの個別のユーザグループの脅威の可能性についてのブラックリスト、ホワイトリスト、閾値、イベント相関値及び定義の少なくとも1つにさらに基づく、請求項1に記載の方法。
- 前記確率を判定する前記ステップが、前記コンピュータネットワークのウェブページへの訪問者数にさらに基づく、請求項1に記載の方法。
- 前記複数の警告メッセージの警告メッセージが、前記複数のコンピュータの少なくとも1つにおける以下のシステム:ウイルススキャナ、プロキシサーバ、侵入検知システム(IDS)、ファイアウォール、オペレーティングシステム、ログ管理システム並びにセキュリティ情報及びイベント管理(SIEM)システムの1以上を使用して生成される、請求項1に記載の方法。
- 前記コンピュータネットワークにおける前記第1のタイプの異常と対応する受信した警告メッセージ数が前記所定のイベント閾値を下回る度合いに基づいて前記所定のイベント閾値を調整するステップ
をさらに備える請求項1に記載の方法。 - ユーザフィードバック、前記コンピュータネットワークのネットワークアーキテクチャの変化、前記コンピュータネットワークにおける前記コンピュータ数の変化の少なくとも1つの関数として前記所定のイベント閾値を適応的に調整するステップ
をさらに備える請求項1に記載の方法。 - 複数のコンピュータを備えるコンピュータネットワークにおいて警告メッセージを解析するための解析システムであって、プロセッサとプロセッサ実行可能命令を有する非一時的なコンピュータ可読媒体とを備え、前記プロセッサ実行可能命令は、
前記コンピュータから複数の警告メッセージを受信するステップであって、前記警告メッセージが前記コンピュータネットワークの種々のタイプの異常と対応する、ステップと、
前記複数の警告メッセージの個々の警告メッセージが示す前記コンピュータネットワークにおける異常のタイプによって前記複数の警告メッセージを分類するステップと、
前記複数の受信警告メッセージからの警告メッセージ数を所定のイベント閾値と比較するステップであって、前記警告メッセージ数が前記コンピュータネットワークの1つのタイプの異常に基づく、ステップと、
前記コンピュータネットワークにおける同一タイプの異常に基づく前記警告メッセージ数が前記所定のイベント閾値を下回る場合に警報信号を出力するステップと、
前記コンピュータネットワークにおける第1のタイプの異常と対応する受信した警告メッセージ数を判定することにより、前記コンピュータネットワークにおける前記第1のタイプの異常が稀に発生する異常であると判定するステップの実行を促進し、
前記第1のタイプの異常が稀に発生する異常であると判定するステップに応答して、
警報信号を出力するステップと、
前記コンピュータネットワークにおける前記第1のタイプの異常と対応する受信された警告メッセージ数と所定のイベント閾値との差、
前記コンピュータネットワークにおいて稀に実行されるプロセスの頻度、および/または、
所定の時間から、前記コンピュータネットワークにおける複数のコンピュータの内のコンピュータの所定のグループでのみ実行されたプログラムの頻度
に基づいて、前記第1のタイプの異常が前記コンピュータネットワーク上の攻撃と対応する確率を判定するステップと、
前記判定された確率が特定の閾値を超えたことに応答して、前記判定された確率とイベントとを相関させ、前記イベントを出力するステップ
を前記プロセッサに実行させる解析システム。 - 前記プロセッサ実行可能命令は、実行されると、個々の警告メッセージが示す前記異常のタイプによって前記複数の警告メッセージを分類するステップ
をさらに促進する請求項10に記載の解析システム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP14177647.6 | 2014-07-18 | ||
EP14177647.6A EP2975801B1 (de) | 2014-07-18 | 2014-07-18 | Verfahren zum Erkennen eines Angriffs in einem Computernetzwerk |
PCT/EP2015/065547 WO2016008778A1 (de) | 2014-07-18 | 2015-07-08 | Verfahren zum erkennen eines angriffs in einem computernetzwerk |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017528853A JP2017528853A (ja) | 2017-09-28 |
JP6442051B2 true JP6442051B2 (ja) | 2018-12-19 |
Family
ID=51212712
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017522730A Active JP6442051B2 (ja) | 2014-07-18 | 2015-07-08 | コンピュータネットワークへの攻撃を検出する方法 |
Country Status (7)
Country | Link |
---|---|
US (1) | US9900327B2 (ja) |
EP (1) | EP2975801B1 (ja) |
JP (1) | JP6442051B2 (ja) |
CN (1) | CN106537872B (ja) |
CA (1) | CA2954552C (ja) |
PL (1) | PL2975801T3 (ja) |
WO (1) | WO2016008778A1 (ja) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102018212657A1 (de) * | 2018-07-30 | 2020-01-30 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz |
EP3805928A4 (en) * | 2018-10-11 | 2022-03-16 | Nippon Telegraph And Telephone Corporation | ANALYSIS DEVICE, ANALYSIS SYSTEM, ANALYSIS METHOD AND PROGRAM |
FR3095313A1 (fr) * | 2019-04-18 | 2020-10-23 | Orange | Procédé et dispositif de traitement d’un message d’alerte notifiant une anomalie détectée dans un trafic émis via un réseau |
CN112104480B (zh) * | 2020-08-05 | 2022-10-21 | 福建天泉教育科技有限公司 | 提高告警质量的方法及其系统 |
US11792213B2 (en) | 2021-05-18 | 2023-10-17 | Bank Of America Corporation | Temporal-based anomaly detection for network security |
US11588835B2 (en) | 2021-05-18 | 2023-02-21 | Bank Of America Corporation | Dynamic network security monitoring system |
US11799879B2 (en) | 2021-05-18 | 2023-10-24 | Bank Of America Corporation | Real-time anomaly detection for network security |
CN114024831B (zh) * | 2021-11-08 | 2024-01-26 | 中国工商银行股份有限公司 | 一种异常事件预警方法、装置和系统 |
CN114567482A (zh) * | 2022-02-28 | 2022-05-31 | 天翼安全科技有限公司 | 一种告警分类方法、装置、电子设备及存储介质 |
CN115118463A (zh) * | 2022-06-10 | 2022-09-27 | 深信服科技股份有限公司 | 一种失陷主机检测方法、装置、电子设备及存储介质 |
CN114978778B (zh) * | 2022-08-01 | 2022-10-28 | 北京六方云信息技术有限公司 | 基于因果推断的多步攻击检测方法、装置及设备 |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0334039A (ja) * | 1989-06-30 | 1991-02-14 | Nec Corp | ネットワーク管理における障害メッセージ管理方式 |
WO1999050750A1 (fr) * | 1998-04-01 | 1999-10-07 | Hitachi, Ltd. | Procede et dispositif de production de messages et support d'enregistrement servant a stocker un programme de production de messages |
JP2000148276A (ja) * | 1998-11-05 | 2000-05-26 | Fujitsu Ltd | セキュリティ監視装置,セキュリティ監視方法およびセキュリティ監視用プログラム記録媒体 |
JP2001356939A (ja) * | 2000-06-13 | 2001-12-26 | Tokyo Electric Power Co Inc:The | ログ情報解析装置、方法および記録媒体 |
US7475405B2 (en) * | 2000-09-06 | 2009-01-06 | International Business Machines Corporation | Method and system for detecting unusual events and application thereof in computer intrusion detection |
JP4619254B2 (ja) * | 2005-09-30 | 2011-01-26 | 富士通株式会社 | Idsのイベント解析及び警告システム |
CN1848765A (zh) * | 2006-03-10 | 2006-10-18 | 四川大学 | 基于免疫的网络入侵危险性评估方法 |
US8205244B2 (en) * | 2007-02-27 | 2012-06-19 | Airdefense, Inc. | Systems and methods for generating, managing, and displaying alarms for wireless network monitoring |
US8504504B2 (en) * | 2008-09-26 | 2013-08-06 | Oracle America, Inc. | System and method for distributed denial of service identification and prevention |
CN101399672B (zh) * | 2008-10-17 | 2011-03-02 | 章毅 | 一种多神经网络融合的入侵检测方法 |
JP5264470B2 (ja) * | 2008-12-26 | 2013-08-14 | 三菱電機株式会社 | 攻撃判定装置及びプログラム |
JP5066544B2 (ja) * | 2009-03-31 | 2012-11-07 | 株式会社富士通ソーシアルサイエンスラボラトリ | インシデント監視装置,方法,プログラム |
KR101061375B1 (ko) * | 2009-11-02 | 2011-09-02 | 한국인터넷진흥원 | Uri 타입 기반 디도스 공격 탐지 및 대응 장치 |
CN101741847B (zh) * | 2009-12-22 | 2012-11-07 | 北京锐安科技有限公司 | 一种ddos攻击检测方法 |
FI20096394A0 (fi) * | 2009-12-23 | 2009-12-23 | Valtion Teknillinen | Tunkeutumisen havaitseminen viestintäverkoissa |
EP2734927A4 (en) * | 2011-07-22 | 2015-07-22 | Empirix Inc | NETWORK MONITORING AND TESTING SYSTEMS AND METHODS THROUGH INTELLIGENT SEQUENCING |
US9503463B2 (en) * | 2012-05-14 | 2016-11-22 | Zimperium, Inc. | Detection of threats to networks, based on geographic location |
CN103856455A (zh) * | 2012-12-04 | 2014-06-11 | 中山大学深圳研究院 | 一种保护计算机网络避免数据洪水攻击的方法及系统 |
-
2014
- 2014-07-18 PL PL14177647T patent/PL2975801T3/pl unknown
- 2014-07-18 EP EP14177647.6A patent/EP2975801B1/de active Active
-
2015
- 2015-07-08 WO PCT/EP2015/065547 patent/WO2016008778A1/de active Application Filing
- 2015-07-08 JP JP2017522730A patent/JP6442051B2/ja active Active
- 2015-07-08 CN CN201580039167.1A patent/CN106537872B/zh active Active
- 2015-07-08 CA CA2954552A patent/CA2954552C/en active Active
- 2015-07-17 US US14/801,913 patent/US9900327B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US20160021128A1 (en) | 2016-01-21 |
CA2954552C (en) | 2019-08-20 |
CN106537872A (zh) | 2017-03-22 |
US9900327B2 (en) | 2018-02-20 |
EP2975801B1 (de) | 2016-06-29 |
PL2975801T3 (pl) | 2017-07-31 |
EP2975801A1 (de) | 2016-01-20 |
CA2954552A1 (en) | 2016-01-21 |
WO2016008778A1 (de) | 2016-01-21 |
CN106537872B (zh) | 2020-11-24 |
JP2017528853A (ja) | 2017-09-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6442051B2 (ja) | コンピュータネットワークへの攻撃を検出する方法 | |
US11775622B2 (en) | Account monitoring | |
US10467411B1 (en) | System and method for generating a malware identifier | |
US10686814B2 (en) | Network anomaly detection | |
US8949668B2 (en) | Methods and systems for use in identifying abnormal behavior in a control system including independent comparisons to user policies and an event correlation model | |
US7228564B2 (en) | Method for configuring a network intrusion detection system | |
Hajj et al. | Anomaly‐based intrusion detection systems: The requirements, methods, measurements, and datasets | |
EP1995929B1 (en) | Distributed system for the detection of eThreats | |
EP3068095B1 (en) | Monitoring apparatus and method | |
Singh et al. | Analysis of host-based and network-based intrusion detection system | |
US11700269B2 (en) | Analyzing user behavior patterns to detect compromised nodes in an enterprise network | |
US20140165207A1 (en) | Method for detecting anomaly action within a computer network | |
US8898784B1 (en) | Device for and method of computer intrusion anticipation, detection, and remediation | |
US20060294588A1 (en) | System, method and program for identifying and preventing malicious intrusions | |
EP2835948B1 (en) | Method for processing a signature rule, server and intrusion prevention system | |
US20230283621A1 (en) | Systems, Methods, and Media for Distributed Network Monitoring Using Local Monitoring Devices | |
CN114006723A (zh) | 基于威胁情报的网络安全预测方法、装置及系统 | |
JP2015179979A (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
Li et al. | Operational security log analytics for enterprise breach detection | |
WO2023239813A1 (en) | A unifying of the network device entity and the user entity for better cyber security modeling along with ingesting firewall rules to determine pathways through a network | |
US11405411B2 (en) | Extraction apparatus, extraction method, computer readable medium | |
CN114189361B (zh) | 防御威胁的态势感知方法、装置及系统 | |
CN114006722B (zh) | 发现威胁的态势感知验证方法、装置及系统 | |
JP2018142197A (ja) | 情報処理装置、方法およびプログラム | |
CN114338189B (zh) | 基于节点拓扑关系链的态势感知防御方法、装置及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180228 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180313 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180613 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180719 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180814 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181018 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20181025 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181122 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6442051 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |